專(zhuān)利名稱(chēng):用于管理存儲(chǔ)在個(gè)人數(shù)字記錄器上的加密內(nèi)容的權(quán)利的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及有條件訪(fǎng)問(wèn)業(yè)務(wù)的接收器/解碼器領(lǐng)域,尤其涉及具有諸如硬盤(pán)的存儲(chǔ)單元的接收器領(lǐng)域�。
背景技術(shù):
磁盤(pán)(硬盤(pán))的存儲(chǔ)容量和速度領(lǐng)域中的技術(shù)進(jìn)步使得可以存儲(chǔ)所傳送的視頻內(nèi)容,從而使用者可離線(xiàn)進(jìn)行訪(fǎng)問(wèn)���。
已知有ReplayTV商標(biāo)或Tivo商標(biāo)的這種記錄器��。這種記錄器提供幾十小時(shí)的數(shù)字傳輸容量。然而���,這些記錄器沒(méi)有直接集成在有條件訪(fǎng)問(wèn)業(yè)務(wù)的接收器/解碼器中�,尤其是,內(nèi)容沒(méi)有特別的保護(hù)存儲(chǔ)在磁盤(pán)上,使得在以商業(yè)分銷(xiāo)目的復(fù)制磁盤(pán)的情況下�����,不可能收取有關(guān)于復(fù)制內(nèi)容的著作權(quán)費(fèi)�����。
反之,在付費(fèi)數(shù)字電視系統(tǒng)中�,傳送到這些接收器的數(shù)字流是加密的���,以控制該使用以及限定這種使用的條件��。這種加密利用控制字進(jìn)行����,控制字以有規(guī)則的時(shí)間間隔(通常在5和30秒之間)改變,以阻止試圖恢復(fù)該控制字的攻擊��。
依據(jù)具體的實(shí)施例�����,控制字以更長(zhǎng)的時(shí)間間隔改變��,這意味著對(duì)于給定的事件,以一個(gè)單一的控制字來(lái)加密�。
對(duì)于能夠解密由這些控制字加密的數(shù)字流的接收機(jī)來(lái)說(shuō)�,控制字獨(dú)立于控制消息(ECM)中的數(shù)字流傳送到接收機(jī)�����,該控制消息(ECM)由操作系統(tǒng)(CAS)和用戶(hù)單元的安全模塊之間的傳送系統(tǒng)的專(zhuān)用密鑰加密。事實(shí)上�,安全操作在據(jù)稱(chēng)不可侵犯的安全單元(SC)中進(jìn)行,安全單元通常是智能卡的形式��。該單元可以是可拆卸的��,也可直接集成在接收器中����。
在控制消息(ECM)的解密期間,在安全單元(SC)中證實(shí)存在訪(fǎng)問(wèn)所考慮的數(shù)字流的權(quán)利�。這種權(quán)利可由授權(quán)消息(EMM)來(lái)管理�����,授權(quán)消息(EMM)控制安全單元(SC)中的這一權(quán)利�����。同樣地存在其他的可能性�����,如發(fā)送解密密鑰����。
在本說(shuō)明書(shū)中,使用術(shù)語(yǔ)“事件”用于根據(jù)公知的控制字方法加密的視頻�����、音頻(例如MP3)或數(shù)據(jù)(例如游戲程序)�����,每個(gè)事件可以被一個(gè)或幾個(gè)控制字加密���,每個(gè)控制字具有確定的有效期。
目前�����,根據(jù)訂購(gòu)、事件的購(gòu)買(mǎi)或每時(shí)間單位付費(fèi)的原則對(duì)使用這類(lèi)事件進(jìn)行計(jì)費(fèi)。
訂購(gòu)允許定義與這些事件的一個(gè)或幾個(gè)傳輸頻道相關(guān)的權(quán)利�,并且如果在用戶(hù)的安全單元中存在該權(quán)利�����,則允許用戶(hù)以解密的形式獲得這些事件�。
同時(shí),可定義專(zhuān)用于事件(如電影或足球比賽)的權(quán)利。用戶(hù)可(例如通過(guò)購(gòu)買(mǎi))獲得該權(quán)利����,并且利用該權(quán)利具體管理該事件,這種方法被稱(chēng)為按次付費(fèi)(pay-per-view��,PPV)。
對(duì)于每時(shí)間單位收費(fèi)�����,安全單元包括依據(jù)使用者實(shí)際消費(fèi)而進(jìn)行扣除的信用量(credit)��。以這種方式���,例如����,將根據(jù)所選擇的頻道或事件每分鐘扣除單元的信用量���。可根據(jù)技術(shù)實(shí)現(xiàn)以期間或指定時(shí)間的價(jià)值來(lái)改變記帳單位�,甚至組合這兩種參數(shù)來(lái)使記價(jià)與所傳送事件類(lèi)型相適應(yīng)。
控制消息(ECM)不僅包含控制字�,而且包含控制字在接收器/解碼器中出現(xiàn)的條件���。在控制字的解密期間����,將證實(shí)與信息所宣告的訪(fǎng)問(wèn)條件相關(guān)的權(quán)利或授權(quán)在安全單元中是否出現(xiàn)�。
僅在比較結(jié)果為肯定時(shí)��,控制字才返回用戶(hù)單元。控制字包含在被傳輸密鑰TK加密的控制消息ECM中��。
對(duì)于安全單元中存在的權(quán)利�����,在該單元內(nèi)通常由權(quán)利管理消息(EMM)來(lái)收費(fèi)����,出于安全性方面的原因���,其通常由被稱(chēng)為權(quán)利密鑰(RK)的不同密鑰加密�����。
依據(jù)已知形式的付費(fèi)電視傳輸���,在給定的時(shí)間�����,解密事件需要下述三種元素——被一個(gè)或幾個(gè)控制字(CW)加密的事件;——包含控制字(CW)和訪(fǎng)問(wèn)條件(AC)的一個(gè)或多個(gè)控制消息(ECM)����;——存儲(chǔ)在安全單元中���,允許改變所述訪(fǎng)問(wèn)條件的相應(yīng)權(quán)利。
依據(jù)已知的設(shè)計(jì)��,存儲(chǔ)在存儲(chǔ)單元如硬盤(pán)中的被加密事件至少伴隨著一個(gè)或數(shù)個(gè)控制消息ECM。
由于解密的事實(shí),ECM消息之后段(posteriori)可能是問(wèn)題���,尤其是因?yàn)閭鬏斆荑€的改變,在歐洲專(zhuān)利文獻(xiàn)EP 0 912 052中建議了第一種解決方案�,在該方案中��,這些消息在安全單元中解密,并在存儲(chǔ)到磁盤(pán)之前重新加密���。
該方案解決了傳輸密鑰的工作壽命的問(wèn)題���,但在記錄時(shí)在安全單元上產(chǎn)生了大的處理負(fù)擔(dān),而且不知道記錄的內(nèi)容是否在某一天使用��。另外,安全系統(tǒng)的一個(gè)基本規(guī)則是只有在權(quán)利存在時(shí)��,才向使用者單元返回控制字�����。在這種情況下�����,如果考慮付費(fèi)點(diǎn)播���,很可能這些權(quán)利不存在����。當(dāng)使用者決定點(diǎn)播該事件時(shí),權(quán)利將在以后進(jìn)行的購(gòu)買(mǎi)期間來(lái)獲得����。
因?yàn)樵谫?gòu)買(mǎi)的時(shí)候不得不一直傳送權(quán)利消息EMM��,以在安全單元內(nèi)計(jì)費(fèi)���,因此文獻(xiàn)EP 0 912 052不能解決訪(fǎng)問(wèn)權(quán)利的問(wèn)題。
這樣��,該文獻(xiàn)所描述的方案僅適用于權(quán)利已在安全單元中出現(xiàn)的被傳送事件,以授權(quán)ECM的解密和重新加密��。
另一方面是持有者的權(quán)利保有���。例如��,當(dāng)持有者A具有頻道M�、N�、P的接收權(quán)時(shí)�����,則他/她有權(quán)觀看這些頻道��,并因而有權(quán)任意地記錄和觀看在他/她的存儲(chǔ)單元中的事件。每次使用這種事件都需要安全單元解密該消息ECM并返回控制字。因而�,與該事件相關(guān)聯(lián)的權(quán)利在安全單元中出現(xiàn)是很重要的���。
在通過(guò)訂購(gòu)獲得事件的情況下,該事件的識(shí)別與訂購(gòu)的頻道(例如M)相關(guān)聯(lián)����。因而����,帶有標(biāo)識(shí)符M的所有事件都被授權(quán)���,并且控制字被返回解碼器���。
這些權(quán)利隨后與被標(biāo)識(shí)符(如M)限定的特定頻道相關(guān)聯(lián)。當(dāng)用戶(hù)取消他/她的訂購(gòu)�����、或?qū)⑵湫薷挠糜谄渌l道時(shí)�����,因?yàn)榘踩珕卧獙⒕芙^重新傳送控制字��,對(duì)應(yīng)的權(quán)利將不再出現(xiàn)���,結(jié)果存儲(chǔ)單元中記錄的事件將不可訪(fǎng)問(wèn)�����。
如果頻道M的標(biāo)識(shí)符變?yōu)樾碌牧?,則這種情況也會(huì)發(fā)生���。因而,當(dāng)重新組織頻道,使本頻道的標(biāo)識(shí)符由J4替代了M時(shí)����,可能會(huì)發(fā)生這種情況��。從傳送權(quán)利的角度看,應(yīng)將這種改變及時(shí)通知安全單元�����,而且用戶(hù)記錄沒(méi)有不相符����。
對(duì)于所記錄的事件����,結(jié)果更具有戲劇性。因?yàn)橄鄳?yīng)的權(quán)利不在安全單元中出現(xiàn)���,重新分配將導(dǎo)致所記錄的事件不可訪(fǎng)問(wèn)����。
發(fā)明內(nèi)容
本發(fā)明的目的是提出一種被控制字(CW)加密的事件的存儲(chǔ)方法,即使在存儲(chǔ)和收看之間發(fā)生了某些修改�,也可保證在任何期望的時(shí)間來(lái)訪(fǎng)問(wèn)該事件。
通過(guò)在與安全單元(SC)連接的接收和解密單元(例如機(jī)頂盒或STB)中被一個(gè)或幾個(gè)控制字(CW)加密的事件的存儲(chǔ)方法實(shí)現(xiàn)該目的����,這些控制字(CW)和必要權(quán)利包含在控制消息(ECM)中����,其特征在于�,所述方法包括如下步驟在存儲(chǔ)單元中存儲(chǔ)加密事件和控制消息(ECM)���;向安全單元(SC)傳送控制消息(ECM)�;驗(yàn)證對(duì)所述事件的訪(fǎng)問(wèn)權(quán)利是否包含在所述安全單元(SC)中;使用包含在安全單元(SC)中并專(zhuān)用于各安全單元的密鑰(K)確定全部或部分控制消息(ECM)的收據(jù)(Q)��;在存儲(chǔ)單元中存儲(chǔ)所述收據(jù)(Q)�����。
根據(jù)本發(fā)明的第一實(shí)施例,該收據(jù)由基于部分或全部控制消息的簽名構(gòu)成�,并構(gòu)成允許以后使用該事件的超級(jí)權(quán)利��,在證實(shí)安全單元中的一般權(quán)利之前,優(yōu)先驗(yàn)證該收據(jù)���。一旦由給定的控制消息所承認(rèn)����,則導(dǎo)致一般的訪(fǎng)問(wèn)條件被忽視���。
依據(jù)本發(fā)明的第二實(shí)施例��,在收據(jù)產(chǎn)生期間�����,除簽名之外,添加了新的部分��,其描述了當(dāng)其在安全單元出現(xiàn)時(shí)���,怎樣處理該控制消息���。該條件將可忽略所有在該信息中發(fā)布的條件(其使得回到前一解決方案)或發(fā)布其它的條件�����,諸如處理再現(xiàn)的權(quán)利�����、或定義時(shí)間窗口授權(quán)這種再現(xiàn)����。
為確定簽名,優(yōu)選地采用整個(gè)事件不會(huì)改變的部分。事實(shí)上���,消息ECM大致包含兩部分a.用于解密的控制字(或偶數(shù)和奇數(shù)字)b.返回控制字的必要權(quán)利。
該收據(jù)允許標(biāo)識(shí)一個(gè)控制消息����,以及增加目的是處理再現(xiàn)模式的其他信息�。隨后的目的是以非模棱兩可的方式識(shí)別控制消息。在實(shí)踐中發(fā)現(xiàn)����,部分b(即必要權(quán)利)改變的頻率比控制字的低����。這就是為什么優(yōu)選地選擇該部分來(lái)計(jì)算簽名����。然而,不排除根據(jù)控制字或這兩部分的組合來(lái)確定該簽名����。
對(duì)于簽名的計(jì)算,由單向函數(shù)確定所考慮的部分的唯一圖像(image)��,并不和這些數(shù)據(jù)相沖突。其承認(rèn)沒(méi)有和該函數(shù)產(chǎn)生相同結(jié)果的不同數(shù)據(jù)組存在���。圖像H由哈希型(hash type)函數(shù)產(chǎn)生�。所使用的算法可以是SHA-1或MD5型����,該圖像以唯一的方式表達(dá)了數(shù)據(jù)組��。
利用加密密鑰K對(duì)這些數(shù)據(jù)加密包括下面的操作�����。
在被密鑰K加密的操作之前��,可以增加描述新的訪(fǎng)問(wèn)條件的數(shù)據(jù)字段CD�����。構(gòu)成收據(jù)的這些數(shù)據(jù)(H和CD)的組隨后被簽名密鑰K加密�����。
在本發(fā)明的精神中�,術(shù)語(yǔ)“收據(jù)”表示其由代表訪(fǎng)問(wèn)條件(例如在最簡(jiǎn)單的情形中)的數(shù)據(jù)組和因加密密鑰K所關(guān)系的一個(gè)安全單元的唯一性來(lái)確定����。依據(jù)一個(gè)實(shí)施例����,可以直接由該密鑰加密控制消息ECM的訪(fǎng)問(wèn)條件,而無(wú)需通過(guò)哈希運(yùn)算�。
依據(jù)另一實(shí)施例,可確定訪(fǎng)問(wèn)條件的這個(gè)唯一圖像(哈希函數(shù))���,并隨后由第一密鑰K1加密該圖像����,以相同密鑰K1或第二密鑰K2增加新的訪(fǎng)問(wèn)條件CD以及使得其全部加密�����。
在下面參照作為非限定性示例給出的附圖的詳細(xì)描述幫助下��,可以更好地理解本發(fā)明���,其中圖1示出了依據(jù)本發(fā)明第一實(shí)施例的帶有存儲(chǔ)單元的用戶(hù)單元STB;圖2示出了在圖1的存儲(chǔ)單元中存儲(chǔ)的數(shù)據(jù)組;圖3示出了依據(jù)本發(fā)明一個(gè)實(shí)施例的控制消息ECM的結(jié)構(gòu)。
具體實(shí)施例方式
圖1所示的解碼器STB接收加密形式的輸入數(shù)據(jù)�。這些數(shù)據(jù)存儲(chǔ)在存儲(chǔ)單元HD內(nèi)��,并顯然包括所考慮的事件EV和控制消息ECM��。
以這種方式���,依據(jù)本發(fā)明�,這兩組數(shù)據(jù)附帶有在圖2中由收據(jù)Q的方框示出的新組��。
本文給出不同塊的大小作為示例���。因而�,可考慮事件EV占用最大部分��、控制消息ECM占用小部分����。并依據(jù)一個(gè)實(shí)施例��,一個(gè)單一的數(shù)據(jù)足夠用于這些數(shù)據(jù)組。
實(shí)際上�,如果在控制消息的訪(fǎng)問(wèn)條件的一部分上來(lái)執(zhí)行簽名,則簽名將對(duì)全部所考慮的事件不變��。
圖3示出了控制消息ECM的結(jié)構(gòu)��。如前所述,該信息包含控制字CW和訪(fǎng)問(wèn)條件�����。這些條件被分為兩個(gè)部分����。一個(gè)部分專(zhuān)用于傳送條件ACB�����,一個(gè)部分專(zhuān)用于再現(xiàn)條件ACR。該信息還包括時(shí)間標(biāo)記TP���。
在這些條件中��,可發(fā)現(xiàn)——頻道(或服務(wù))的數(shù)目�����,尤其是可用于訂購(gòu)的�;——事件的主題(例如體育��、新聞、成人)——分級(jí)(主要時(shí)間����、下午、重新傳送)——刺激購(gòu)買(mǎi)的數(shù)目��。
對(duì)條件的復(fù)制使得可以在再現(xiàn)期間管理事件���。收據(jù)Q可以表示需要完全與再現(xiàn)條件相符合,或相反地�����,表示忽略這些條件�。
以地區(qū)斷電功能為例����。該功能允許在例如運(yùn)動(dòng)場(chǎng)周?chē)?0KM內(nèi)的運(yùn)動(dòng)事件接收的斷電��。雖然在該事件時(shí)刻斷電有意義�����,但在數(shù)天之后,就沒(méi)有理由斷電了���。
傳送條件ACB可包括通過(guò)安全單元號(hào)碼區(qū)段或郵政區(qū)號(hào)的斷電條件����。該再現(xiàn)ACR的條件可包括對(duì)自某一日期起全部的簡(jiǎn)單授權(quán)(只要其他條件諸如訂購(gòu)被履行)��。
在再現(xiàn)期間��,首先訪(fǎng)問(wèn)收據(jù)Q�,并利用密鑰K解密���,以獲得簽名SGN和新的訪(fǎng)問(wèn)條件CD。
簽名SGN及新CD條件隨后被保留在安全單元的存儲(chǔ)器中��,當(dāng)安全單元中出現(xiàn)控制消息ECM時(shí)�,由哈希函數(shù)在含有權(quán)利AC的部分ECM上判定唯一的圖像H′���,并依據(jù)本實(shí)施例比較該圖像H′的值與簽名SGN�。
如果兩個(gè)值相等���,安全單元采用收據(jù)的CD條件部分限定的條件。如果CD條件是“免費(fèi)訪(fǎng)問(wèn)”��,則不再要求驗(yàn)證包含在控制消息ECM中的條件,并因而消除了由傳輸頻道的結(jié)構(gòu)改變引起的問(wèn)題��。
依據(jù)另一實(shí)施例���,新條件CD重新傳輸再現(xiàn)條件ACR�。在這些條件中�����,不涉及隨時(shí)間改變的頻道或其他元素(結(jié)構(gòu)條件)����,而涉及允許訪(fǎng)問(wèn)的期間或允許訪(fǎng)問(wèn)的次數(shù)的條件�����。應(yīng)當(dāng)理解��,在這種情況下,在收據(jù)形成期間�,驗(yàn)證了與定購(gòu)或其他關(guān)聯(lián)的訪(fǎng)問(wèn)條件。
收據(jù)可以被改進(jìn)��。在特定的情況下�����,存儲(chǔ)新收據(jù)比存儲(chǔ)舊的更有利。明顯的是刺激購(gòu)買(mǎi)的情況。在這種情況下��,在存儲(chǔ)期間產(chǎn)生第一收據(jù)���,而用戶(hù)沒(méi)有購(gòu)買(mǎi)該事件。
包含在收據(jù)中的條件將重新發(fā)送包含在控制消息ECM中的條件���。
當(dāng)用戶(hù)決定購(gòu)買(mǎi)該事件時(shí)����,如果條件是這樣定義的��,則無(wú)需保留該事件產(chǎn)生開(kāi)啟使用之途徑的新收據(jù)�����。該收據(jù)隨后被傳送到存儲(chǔ)單元以替換舊的收據(jù)。
權(quán)利要求
1.一種用于在與安全單元(SC)連接的接收和解密單元(STB)中被一個(gè)或幾個(gè)控制字(CW)加密的事件的存儲(chǔ)方法��,用于訪(fǎng)問(wèn)所述事件的所述控制字(CW)和必要權(quán)利包含在控制消息(ECM)中����,其特征在于�,所述方法包括以下步驟在存儲(chǔ)單元中存儲(chǔ)所述加密事件以及控制消息(ECM)�����;向安全單元(SC)傳送所述控制消息(ECM)����;驗(yàn)證對(duì)所述事件的訪(fǎng)問(wèn)權(quán)利是否包含在所述安全單元(SC)中;基于包含在安全單元(SC)中并特定于各安全單元的密鑰(K)確定包含全部或部分控制消息(ECM)的簽名(SGN)的收據(jù)(Q)���;在所述存儲(chǔ)單元中存儲(chǔ)所述收據(jù)(Q)�����。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于���,僅在所述訪(fǎng)問(wèn)權(quán)利出現(xiàn)在所述安全單元中時(shí)才計(jì)算所述收據(jù)(Q)�����。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述收據(jù)(Q)還包含條件部分(CD)�,其描述與所述事件傳輸?shù)慕Y(jié)構(gòu)配置無(wú)關(guān)的新條件。
全文摘要
本發(fā)明的目的是提出一種被控制字(CW)加密的事件的存儲(chǔ)方法��,即使在存儲(chǔ)時(shí)刻和收看時(shí)刻之間����,這些事件的標(biāo)識(shí)符的名稱(chēng)發(fā)生了某些修改�����,也可保證在任何期望的時(shí)間訪(fǎng)問(wèn)該事件���。由在與安全單元(SC)連接的接收和解密單元(STB)中這種事件的一種存儲(chǔ)方法實(shí)現(xiàn)該目的����。所述控制字(CW)和必要權(quán)利包含在控制消息(ECM)中�����,其特征在于,所述方法包括以下步驟在存儲(chǔ)單元中存儲(chǔ)加密事件以及控制消息(ECM)�;向安全單元(SC)傳送控制消息(ECM);驗(yàn)證對(duì)訪(fǎng)問(wèn)所述事件的訪(fǎng)問(wèn)權(quán)利是否包含在所述安全單元(SC)中��;如果是���,則基于包含在安全單元(SC)中并特定于各安全單元的密鑰(K)確定全部或部分控制消息(ECM)的收據(jù)(Q)����;在存儲(chǔ)單元中存儲(chǔ)所述收據(jù)(Q)����。
文檔編號(hào)H04N7/167GK1647532SQ03808565
公開(kāi)日2005年7月27日 申請(qǐng)日期2003年4月15日 優(yōu)先權(quán)日2002年4月19日
發(fā)明者馬爾科·撒西利 申請(qǐng)人:納格拉影像股份有限公司