專利名稱:接收機和安全模塊之間的匹配機制的制作方法
技術領域:
本發(fā)明涉及一種接收機和安全模塊之間信息傳輸?shù)目刂葡到y(tǒng),尤其用于付費電視系統(tǒng)��,還涉及擾頻信息傳輸?shù)目刂品椒ā?br>
付費電視解擾系統(tǒng)由接收機和安全模塊組成��。該模塊是可拆卸或者固定的��。接收機的目的是解擾所接收的信號�����。安全模塊的主要目的是通過驗證解擾授權和通過按照需要提供操作解擾模塊所需的信息���,例如通過提供解擾向量��,也稱作控制字來控制操作��。
現(xiàn)有的系統(tǒng)使用詢問其安全模塊的接收機,安全模塊通過提供解擾所需的信息來應答���。在給定的時間��,對于相同的傳輸廣播��,所有的安全模塊用相同的信息來應答��。因為信息在安全模塊和接收機之間低速率(大約20至30字節(jié)/秒)傳輸�����,截取者可以使用該信息從而公開廣播��,例如通過互聯(lián)網(wǎng)�����。
因而��,存在的問題是如何使接收機和安全模塊相互協(xié)作���,以便-給定的安全模塊可以僅在為所述安全模塊設計的接收機中使用�����;-安全模塊和接收機之間交換的信息流是唯一的�。這種唯一性防止該信息流的公共廣播允許其它接收機在沒有為此目的提供的安全模塊的情況下工作����。
針對上述問題建議的解決方案使用至少一個專用于接收機的加密密鑰,這個(或這些)密鑰被稱為匹配密鑰���。至少一個密鑰對于每個接收機是不同的����。在所述接收機的制造過程中或者在后續(xù)步驟中,這個(或這些)密鑰被安裝在接收機的非易失存儲器中����。該接收機不提供外部環(huán)境訪問這個(這些)密鑰的方法。
將這個密鑰編程在安全模塊中的一種可能方法是使用中央信息系統(tǒng)���,該系統(tǒng)管理該組接收機�,并可以在視頻傳輸流中將用于編程該密鑰的信息嵌入安全模塊的保密非易失性存儲器中����。當然,這個程序的格式化是保密的�����。
當從安全模塊向接收機傳輸保密信息和/或系統(tǒng)操作所需的信息時(一般是控制字���,并且其它信息可以如此被傳輸),安全模塊使用單個接收機/安全模塊對公用的一個或多個唯一匹配密鑰加密該信息�。可以使用任何加密方法,只要安全模塊知道該方法���,并且接收機知道相應的解密方法����。一旦接收機接收到該信息���,則由所述接收機使用所知的解密方法和在其非易失性存儲器中存儲的匹配密鑰解密該信息���。因而所述信息是未編碼信息并可以由所述接收機使用。
因此�����,本發(fā)明建議一種接收機和安全模塊之間信息傳輸?shù)目刂葡到y(tǒng)����,尤其用于一個付費電視系統(tǒng),其中所傳輸?shù)男畔⒈焕靡环矫娲鎯υ诮邮諜C中�,另一方面存儲在安全模塊中的至少一個唯一加密密鑰加密和解密。
本發(fā)明還涉及一種用于解擾擾頻信息的系統(tǒng)��,并涉及一種包括一傳輸控制系統(tǒng)的收費電視系統(tǒng)��。
而且本發(fā)明還涉及一種接收機和安全模塊之間信息傳輸?shù)目刂品椒ǎ绕溆糜谝环N收費電視系統(tǒng)�����,特征在于至少一個唯一匹配密鑰一方面被存儲在接收機中�,另一方面被存儲在安全模塊中,和特征在于利用至少一個所述唯一密鑰加密和解密接收機和安全模塊之間傳輸?shù)男畔ⅰ?br>
根據(jù)本發(fā)明的這種解決方案解決了所造成的問題����。這是因為-被插入到已匹配安全模塊的接收機之外的一個接收機中的安全模塊將向這個另外的接收機提供使用一個密鑰加密的保密信息和/或系統(tǒng)操作所需的信息流,該密鑰并不對應于用于解密該信息的密鑰�。因此,結果是無法使用的�;-來自安全模塊的保密信息和/或系統(tǒng)操作所需的信息流不能被分配給多個接收機。僅與提供保密和/或必需信息流的卡相匹配的接收機能夠成功地解密所述信息流��。
該系統(tǒng)可以包括一種用于驗證匹配過程的機制�����。中央信息系統(tǒng)可以將接收機專用的一個號碼寫入與所述接收機匹配的安全模塊中��,利用由后者隨機生成的一個號碼����,或者可以簡單地使用其序列號。對接收機開放的一種方法是自由地驗證寫入安全模塊的該個人號碼����,并比較它與接收機非易失性存儲器中所存儲的個人號碼。
這種機制的優(yōu)點是不使用不正確的數(shù)據(jù)��。加密之后使用不同密鑰解密的結果通常提供一個偽隨機結果��。如果未認識到結果是錯誤的��,并且如果就如此使用這個結果�����,這將導致接收機或與其連接的裝置被破壞�����。
某些類型的接收機具有可拆卸解擾模塊�。該模塊負責多個操作,其中包括所接收信號的解擾操作���。然后�,在可拆卸安全模塊和這個可拆卸解擾模塊之間傳輸保密信息����。然后���,如上所述在接收機和安全模塊之間通信的加密機制按照原樣在可拆卸安全模塊和可拆卸解擾模塊之間傳輸。
同樣���,然后��,如上所述安全模塊和接收機之間的匹配方法在可拆卸安全模塊和可拆卸解擾模塊之間傳輸����。
然后���,在可拆卸解擾模塊和接收機之間傳輸解擾后的信息�����。然后���,安全模塊和接收機之間通信的加密機制和匹配機制按照原樣在接收機和可拆卸解擾模塊之間傳輸。
由可拆卸解擾模塊和可拆卸安全模塊提供的功能可以由稱作可拆卸解擾-安全模塊的單個模塊執(zhí)行����。然后���,如上所述的匹配機制按照原樣在可拆卸解擾-安全模塊和接收機之間傳輸���。
在所有的上述情況中���,匹配密鑰或者密鑰可以用于加密保密數(shù)據(jù)和/或系統(tǒng)操作所需的數(shù)據(jù)流,分別通過反向在相反方向中-接收機和可拆卸安全模塊��;-可拆卸解擾模塊和可拆卸安全模塊��;-接收機和可拆卸解擾模塊����;-接收機和可拆卸解擾-安全模塊。
在一個匹配密鑰專用于一個設備(接收機或可拆卸模塊)的所有情況下���,同樣的原理適用于專用于一組設備的一個匹配密鑰(或多個匹配密鑰)的使用��。
圖1圖示使用一個接收機和一個可拆卸安全模塊的結構�。
圖2圖示使用一個接收機��、一個可拆卸解擾模塊和一個可拆卸安全模塊的結構���。
圖3圖示使用一個接收機和一個可拆卸解擾-安全模塊的結構����。
圖1中的接收機A從諸如衛(wèi)星接收機的信源或者通過電纜接收擾頻視頻信息流。幾兆比特每秒的這個信息流在接收機A中被整形�,然后傳輸給負責解擾和管理擾頻視頻信息訪問授權的控制單元B。為此���,這個控制單元B定期詢問可拆卸安全模塊C(信道3)����,它用保密數(shù)據(jù)和/或控制單元B操作所需的數(shù)據(jù)流應答后者(信道4)���。這些交換低速進行��,并可以由在市場上可購買到的智能卡的微處理器輕易處理��。根據(jù)本發(fā)明�,可拆卸安全模塊C在非易失性存儲器中包括至少一個加密密鑰K��,該密鑰加密發(fā)往接收機A的保密數(shù)據(jù)和/或控制單元B操作所需的數(shù)據(jù)(信道4)��。該密鑰K對于接收機A是唯一的并被寫入可拆卸安全模塊C中,使信息流4對于這個系統(tǒng)是唯一的��。在后一情況下����,該信息4的公共廣播對于其它接收機將不再有任何用處,因為它們不具有相同的密鑰K�����,信息流是完全無法理解的�����。利用信息4�����,控制單元B可以恢復解擾后的視頻信號2����,予以處理�����,然后以標準格式(PAL、SECAM�、NTSC)傳輸給視頻監(jiān)視器。
本發(fā)明的變型使用發(fā)送到可拆卸安全模塊C的信息3的相同類型的加密�,使用相同的密鑰K或者使用不同的密鑰J,該密鑰對于由接收機A和可拆卸安全模塊C構成的系統(tǒng)是可拆卸的和專用的��。因此��,使根據(jù)信息流4恢復密鑰K變得更加困難�。
圖2圖示使用結合控制單元B的可拆卸解擾模塊D的變型。在這種情況下����,擾頻視頻流1由接收機A整形并發(fā)送給可拆卸解擾模塊D。在圖1的情況中所述的接收機A和可拆卸安全模塊C之間的操作模式這次被應用于可拆卸解擾模塊D和可拆卸安全模塊C之間的對話����。密鑰K被寫入可拆卸解擾模塊D的保密部分而非接收機A。因此�����,可拆卸安全模塊C提供給可拆卸解擾模塊D的信息被加密���,因此對于另一個可拆卸解擾模塊D是沒有價值的��。
因此����,可以看出發(fā)送給接收機A的信息包括可以被輕易使用,例如用于非法拷貝的解擾視頻信息流6��。在本發(fā)明的一種變型中����,信息流6在被發(fā)送給接收機A用于由解密單元E’解密之前在可拆卸解擾模塊D中被加密。使用僅專用于接收機A/可拆卸解擾模塊D系統(tǒng)的密鑰K’執(zhí)行該操作�����。因此���,信息流6不再具有任何意義,并且可以僅由具有相同密鑰K’的接收機A理解�。
接收機A可以向擾頻視頻流1添加用于可拆卸解擾模塊D的控制信息。為了防止該信息被公開和防止理解加密機制的機會���,該信息由加密單元E加密以獲取包含加密的控制信息的擾頻視頻流6�。
圖3圖示將可拆卸安全模塊合并到可拆卸解擾-安全模塊F中的一種本發(fā)明的變型���。該模塊的功能是解擾和管理由接收機A接收的視頻信號的授權����。根據(jù)本發(fā)明,這個模塊包括專用于接收機A和寫入該可拆卸解擾-安全模塊F的唯一加密密鑰���。同樣�,解擾的視頻流6被用這個密鑰加密����,并以這種格式發(fā)送給接收機A。利用解密單元E’和通過使用相同的唯一密鑰����,后者將可以恢復未編碼視頻信號。
通過模擬與圖2相關的所述操作���,在擾頻視頻流1中包含的控制信息可以在其被發(fā)送到可拆卸解擾-安全模塊F之前被單元E利用唯一的加密密鑰加密�。
在與圖1至圖3相關的所有所述例子中�����,可以檢驗匹配���。在圖1的情況下��,接收機將一個個人號碼�����,例如它的序列號���,寫入可拆卸安全模塊C�。因此����,接收機可以在任何時候驗證可拆卸安全模塊C是否是用于它的真正的安全模塊。在圖2所示的例子的環(huán)境下�,可以在兩個級別上進行檢查,即可拆卸解擾模塊D和可拆卸安全模塊C之間的第一級別和可拆卸解擾模塊D和接收機A之間的第二級別�����。如果發(fā)送給接收機A的未擾頻信息6是加密的��,該第二級別尤其重要�。
在圖3所示的解決方案中�����,在接收機A和可拆卸解擾-安全模塊F之間檢查匹配。
在本發(fā)明的一種實施例中���,接收機A是使用控制字(解擾信號所需的信息)以便解擾視頻信號的MPEG解碼器����。這些控制字由可拆卸安全模塊C提供��。這個模塊����,例如一個智能卡,包括一個用于存儲它們的非易失性存儲器����。
在本發(fā)明的一種實施例中,可拆卸解擾模塊D是一個包括MPEG解碼器(控制單元B)的PCMCIA型的卡���。
在本發(fā)明的一種實施例中����,可拆卸解擾-安全模塊F以結合MPEG解碼器和安全模塊C’的智能卡的形式被制造����。
在本發(fā)明的一種實施例中��,唯一的加密密鑰K對于一組接收機是公用的���。這種可能性是有利的,例如在一所具有若干接收機的學校中���,這些接收機根據(jù)需要應用相同的可拆卸安全模塊�。同樣����,若干可拆卸安全模塊包括相同的加密密鑰,以便可以被放置在該組中的任何一個接收機中�。在這種情況下,對不再專用于一個接收機而是公用于一組接收機的一個號碼執(zhí)行匹配檢查�。可以用由兩個部分組成的一個號碼生成一個組合���,一部分定義組,另一部分定義接收機���??紤]個人號碼的唯一性,然后僅在這個號碼的組部分上執(zhí)行匹配符合測試���。
權利要求
1.一種尤其用于付費電視系統(tǒng)的包括在安全裝置(C��、D���、F)和接收機(A)之間的信息傳輸控制系統(tǒng),特征在于安全裝置(C���、D�����、F)向接收機(A)發(fā)送的至少一些信息(4��、6)被用唯一的加密密鑰加密��。
2.根據(jù)權利要求1的信息傳輸控制系統(tǒng)����,特征在于唯一的加密密鑰對于一組接收機是公用的����。
3.根據(jù)權利要求1或2的信息傳輸控制系統(tǒng)�,特征在于接收機(A)發(fā)送給安全裝置(C�、D、F)的至少一些信息(3��、5)被用唯一的加密密鑰加密��。
4.根據(jù)權利要求1至3的信息傳輸控制系統(tǒng)�,特征在于接收機(A)包括可以被寫入安全裝置(C、D����、F)的一個個人號碼,所述接收機(A)可以在任意時間驗證寫入所述安全裝置(C�����、D�����、F)的該個人號碼的一致性��。
5.根據(jù)權利要求4的信息傳輸控制系統(tǒng)����,特征在于個人號碼包括專用于一組接收機的部分和專用于一個接收機的部分,和特征在于在專用于一組接收機的部分上驗證匹配的一致性�����。
6.根據(jù)權利要求1至5的信息傳輸控制系統(tǒng)����,特征在于接收機(A)包括一個控制單元(B),和特征在于安全裝置包括一個可拆卸安全模塊(C)�,在其中存儲機密信息(4)和控制單元(B)操作所需的信息(4)。
7.根據(jù)權利要求1至5的信息傳輸控制系統(tǒng)�����,特征在于安全裝置包括一個可拆卸解擾安全模塊(F)�����,該模塊(F)包括一個控制單元(B)和一個安全單元(C’)����,這些單元負責解擾和鑒權視頻信息。
8.一種尤其用于付費電視系統(tǒng)的包括在安全裝置(C�、D、F)和接收機(A)之間的信息傳輸控制系統(tǒng),特征在于這些安全裝置包括一個可拆卸安全模塊(C)和一個包括一控制單元(B)的可拆卸解擾模塊(D)����,和特征在于至少一些機密信息和/或控制單元(B)操作所需的信息(4)在被發(fā)送給可拆卸解擾模塊(D)之前由可拆卸安全模塊(C)利用唯一的加密密鑰加密。
9.根據(jù)權利要求8的信息傳輸控制系統(tǒng)�����,特征在于可拆卸解擾模塊(D)發(fā)送給安全模塊(C)的至少一些信息(3)被用唯一的加密密鑰加密�����。
10.根據(jù)權利要求8或9的付費電視系統(tǒng)�,特征在于可拆卸解擾模塊(D)包括一個個人號碼,該個人號碼可以被寫入可拆卸安全模塊(C)�����,所述可拆卸解擾模塊(D)可以在任何時候驗證寫入所述可拆卸安全模塊(C)的該個人號碼的一致性���。
11.根據(jù)權利要求10的信息傳輸控制系統(tǒng)�����,特征在于個人號碼包括專用于一組可拆卸解擾模塊(D)的部分和專用于一個可拆卸解擾模塊(D)的部分�����,和特征在于在專用于一組可拆卸解擾模塊(D)的部分上驗證匹配的一致性���。
12.根據(jù)權利要求9至11的信息傳輸控制系統(tǒng),特征在于從接收機(A)發(fā)送給可拆卸解擾模塊(D)的至少一部分信息(5)被用唯一的加密密鑰加密�。
13.根據(jù)權利要求9至12的信息傳輸控制系統(tǒng),特征在于從可拆卸解擾模塊(D)發(fā)送給接收機(A)的至少一部分信息(6)被用唯一的加密密鑰加密�����。
14.根據(jù)權利要求12或13的信息傳輸控制系統(tǒng)��,特征在于接收機(A)包括可以被寫入可拆卸解擾模塊(D)的一個個人號碼�����,所述接收機(A)可以在任何時候驗證寫入所述可拆卸解擾模塊(D)的該個人號碼的一致性��。
15.一種尤其在付費電視系統(tǒng)中的接收機(A)和安全裝置(C�、D、F)之間信息傳輸?shù)目刂品椒?���,特征在于至少一個唯一加密密鑰一方面被存儲在接收機(A)中,另一方面被存儲在安全裝置中,和特征在于接收機(A)和安全裝置之間傳輸?shù)男畔⒈焕弥辽僖粋€所述的唯一加密密鑰加密和解密���。
16.根據(jù)權利要求15的方法��,特征在于接收機(A)的個人號碼在初始化操作過程中被寫入安全裝置��,和特征在于接收機(A)可以在任何時候檢查寫入所述安全裝置的該個人號碼的一致性��。
17.可拆卸安全模塊(C)�,將被連接到接收機(A)作為付費電視系統(tǒng)的一部分���,它包括至少一個非易失性存儲器�,用于存儲保密數(shù)據(jù)和/或操作解擾系統(tǒng)和與接收機(A)傳輸?shù)难b置所必需的數(shù)據(jù)����,特征在于該可拆卸安全模塊(C)包括用于加密傳輸?shù)难b置,和特征在于這個存儲器還包括作用于傳輸加密裝置的至少一個加密密鑰���。
18.一種可拆卸解擾模塊(D)�����,包括控制單元(B)���,與可拆卸安全模塊(C)傳輸?shù)牡谝谎b置(3�����、4)��,與接收機(A)傳輸?shù)牡诙b置(5,6)和一個非易失性存儲器��,特征在于它包括第一加密裝置,和特征在于這個存儲器包括作用于第一加密裝置的至少一個加密密鑰��,該第一加密裝置將用于加密第一傳輸裝置(3���、4)的傳輸����。
19.根據(jù)權利要求18的可拆卸安全模塊�,其特征在于它包括第二加密裝置,并且上述存儲器包括至少一個作用于第二加密裝置的加密密鑰��,該第二加密密鑰將用于加密第二傳輸裝置(5,6)的傳輸�����。
20.一種用于付費電視的可拆卸接收器,包括向安全裝置(C����、D、F)傳輸?shù)膫鬏斞b置�����,非易失存儲器����,其特征在于它包括來自或朝向安全裝置(C、D�����、F)的傳輸加密裝置���,并且該存儲器包括至少一個作用于傳輸加密裝置的加密密鑰��。
全文摘要
用于控制接收機和安全模塊之間信息傳輸?shù)南到y(tǒng),尤其用于付費電視系統(tǒng),其中利用一方面存儲在接收機中,另一方面存儲在安全模塊中的一個唯一加密密鑰加密和解密所傳輸?shù)男畔ⅰ?br>
文檔編號H04N7/167GK1314047SQ99805934
公開日2001年9月19日 申請日期1999年5月6日 優(yōu)先權日1998年5月7日
發(fā)明者安德烈·庫德斯基, 馬科·薩瑟利 申請人:納格拉卡德股份有限公司