專利名稱:用以傳送加密訪問控制信息的系統(tǒng)的制作方法
背景技術:
本發(fā)明有關一種在不同的有條件訪問系統(tǒng)之間共享有條件訪問數(shù)據(jù)(比如控制字等)的系統(tǒng)����。該CA數(shù)據(jù)用來加密訪問控制數(shù)據(jù)���,該數(shù)據(jù)隨后被解密并存儲在授權終端中�����。在一實施例中��,本發(fā)明被用來以不同的格式在一有線電視頭端中提供CA數(shù)據(jù),以便授權用戶終端群訪問加密節(jié)目服務�����。
本文將使用下列的首字母縮略詞及術語ATM-異步傳輸模式CA-有條件訪問CAP-有條件訪問供應商CPU-中央處理單元CRC-循環(huán)冗余校驗CW-控制字DES-數(shù)據(jù)加密標準DS-數(shù)據(jù)流ECM-授權控制信息EMM-授權管理信息IP-因特網(wǎng)協(xié)議LAN-局域網(wǎng)MMDS-多通道多點分布系統(tǒng)MPEG-運動圖像專家組OOB-頻帶外P-節(jié)目/內(nèi)容標識符或描述符PAT-節(jié)目關聯(lián)表PC-個人計算機
PID-信息包標識符PMT-節(jié)目映射表QAM-E交調(diào)幅SAT-衛(wèi)星SONET-同步光纖網(wǎng)絡STA-用戶終端授權T-時間TCP-傳輸控制協(xié)議UDP-用戶數(shù)據(jù)報協(xié)議VOD-視頻點播用戶終端對數(shù)據(jù)的訪問必須加以嚴格地控制���,以便保持用戶網(wǎng)絡(如有線電視網(wǎng)絡等)在經(jīng)濟上的生命力�。因此��,已開發(fā)出多種方案來加密所傳送的數(shù)據(jù)(例如使用諸如DES等加密方案),并只將相關聯(lián)的CA數(shù)據(jù)提供給特定的授權終端���。通常根據(jù)一種或多種密鑰將該數(shù)據(jù)加密���,且該CA數(shù)據(jù)可讓授權終端接收該密鑰,以便將該數(shù)據(jù)解密���。此外��,要頻繁更改密鑰�,比如以每秒鐘或更快的速度改變密鑰�����。
為了促進各供應商間之競爭�,網(wǎng)絡操作員及其他人士經(jīng)常使用不同來源的終端。該不同的來源(或甚至來自相同來源的不同機型)由于使用了專用的訪問控制方案��,所以通常要求該CA數(shù)據(jù)要有一種專用的格式���。然而���,也必須保證不同終端之間相互可操作性�����。此外��,必須小心地使以不同格式供應的CA數(shù)據(jù)同步���,且必須處理諸如密碼處理時間、密碼改變的頻度(例如密碼的持續(xù)期間)�、對初始化的考慮等因素。
因此�,最好是能提供一種可在網(wǎng)絡中與不同類型的終端相兼容的格式傳送CA數(shù)據(jù)的系統(tǒng),且該系統(tǒng)可解決上述以及其他一些要考慮問題���。該系統(tǒng)應可讓來自兩家或更多家CA供應商的設備相互通信�,比如在一個共享的頭端中�,以便將相應的CA數(shù)據(jù)傳送同步化。
該系統(tǒng)應適用于載有CA數(shù)據(jù)的任何網(wǎng)絡����,其中包括電視網(wǎng)絡(包括衛(wèi)星��、纜線、光纖�、混合式光纖-同軸纜線、MMDS�����、或其他陸地廣播網(wǎng)絡)以及計算機網(wǎng)絡(其中包括多點傳輸IP及ATM網(wǎng)絡)�。
該系統(tǒng)應該能夠傳送CA數(shù)據(jù)(比如用于加密的控制字),從一個主要(主)CAP(其對加密進行控制)傳送到一個或多個輔助CAP��。CA數(shù)據(jù)應該以具有訪問控制節(jié)目服務的頻帶內(nèi)方式�����,或以諸如通過一種使用以太網(wǎng)標準的獨立網(wǎng)絡頻帶外方式���,將該CA數(shù)據(jù)傳送到該輔助CAP���。
應在根據(jù)諸如該輔助CAP處理時間需要的足夠前置時間內(nèi),將該CA數(shù)據(jù)傳送到該輔助CAP�。
該系統(tǒng)應不需要輔助CAP向主要CAP請求CA數(shù)據(jù)。
該系統(tǒng)應該能夠以真正的實時″線上″方式實現(xiàn)諸如視頻�����、音頻、及計算機游戲等數(shù)據(jù)的加密�。
作為可選項,該系統(tǒng)應能夠預先將CA數(shù)據(jù)傳送到輔助CAP以備使用����,比如在視頻點播服務中,該內(nèi)容預先經(jīng)過加密及存儲�����,隨后提供給用戶終端�。
該系統(tǒng)應與集中式或分布式CA網(wǎng)絡相兼容。
該系統(tǒng)應可用于基于包的信息傳送系統(tǒng)���,該系統(tǒng)需要共享CA數(shù)據(jù)���,諸如SONET、ATM�����、IP�、及MPEG網(wǎng)絡。
本發(fā)明提供了一種具有上述及其他優(yōu)點的系統(tǒng)��。
本發(fā)明提供了用來將加密的控制字和相關聯(lián)的時序及節(jié)目數(shù)據(jù)����,從主要(主)有條件訪問供應商(CAP)串流化到一個或多個輔助CAP的一種系統(tǒng)。該輔助CAP不需要根據(jù)其所需而要求控制字����。因此,CA系統(tǒng)的擴充性優(yōu)于目前一般所用的請求/響應方案����,這是因為在一個″滑動窗″(″sliding window″)中,提供了用于當前加密期及若干未來的加密期中的持續(xù)性串流CA數(shù)據(jù)����,以便讓該輔助CAP開始預先準備其各個CA數(shù)據(jù)?���?蓪⒈景l(fā)明用于任何信息包型分布式系統(tǒng),其中包括一個寬帶電視網(wǎng)絡頭端��。本發(fā)明可讓任何數(shù)目的有條件訪問供應商(CAP)將一相應格式的CA數(shù)據(jù)提供給一數(shù)據(jù)流的至少一個服務(例如一電視頻道)�����。
可讓一主要有條件訪問供應商(CAP)及至少一個輔助CAP以各自不同的格式提供有條件訪問(CA)數(shù)據(jù)以控制對至少一個數(shù)據(jù)服務的訪問,用于此目的的特定方法包含下列步驟(a)在該主要CAP上�,提供第一格式的第一CA數(shù)據(jù),以便在多個后續(xù)的加密期將至少一個數(shù)據(jù)服務加密��,并提供時間數(shù)據(jù)����,以便識別其后續(xù)的加密期。將該第一CA數(shù)據(jù)及該時間數(shù)據(jù)自該主要CAP提供給該至少一個輔助CAP�����。
該至少一個輔助CAP響應該第一CA數(shù)據(jù)及時間數(shù)據(jù)��,而在其后續(xù)的加密期中提供一種不同的第二格式的第二CA數(shù)據(jù)���。將其中包括至少一個加密數(shù)據(jù)服務以及第一及第二CA數(shù)據(jù)的一數(shù)據(jù)流提供給各用戶終端��,該用戶終端包括與該第一CA數(shù)據(jù)相兼容的至少一個第一用戶終端以及與該第二CA數(shù)據(jù)相兼容的一第二用戶終端��。
本發(fā)明也提供了一種相對應的裝置��。
圖2顯示一種根據(jù)本發(fā)明而以加密節(jié)目數(shù)據(jù)通過頻帶內(nèi)方式分配CA數(shù)據(jù)的結構�����。
圖3顯示根據(jù)本發(fā)明而在各后續(xù)的加密期中將節(jié)目(P)���、控制字(CW)、及時間數(shù)據(jù)(TD)插入信息包的情形�。
圖4顯示根據(jù)本發(fā)明的有線電視頭端結構。
圖5顯示根據(jù)本發(fā)明的CAP-1模塊配置及信號流�。
圖6顯示根據(jù)本發(fā)明而具有信息包標識符(PID)的一種CAP-1模塊配置及信號流。
在一特定實施例中��,要求實時將一持續(xù)串流的加密控制字傳送到不同的CA系統(tǒng)�。利用該控制字將數(shù)據(jù)流加密,以便讓具有各個不同CA格式的終端所使用���。
與現(xiàn)有的請求/響應協(xié)議相比����,本發(fā)明不需要各輔助CAP向第一主要或主CAP請求該控制字��。
圖1顯示一種根據(jù)本發(fā)明已從加密節(jié)目數(shù)據(jù)以頻帶外方式分配CA數(shù)據(jù)的結構�。
數(shù)據(jù)(例如節(jié)目數(shù)據(jù))經(jīng)由一輸入子系統(tǒng)被提供給一加密子系統(tǒng)(105),其中根據(jù)從第一(主)有條件訪問供應商(CAP)(110)提供的一控制字(CW)而將該數(shù)據(jù)加密��。將該加密的節(jié)目數(shù)據(jù)經(jīng)由一路徑(145)而提供給一CA消息插入子系統(tǒng)(150)�����,該CA消息插入子系統(tǒng)(150)在一非實時CA數(shù)據(jù)傳送實施例中可包含CA消息累積、同步����、及內(nèi)容播放子系統(tǒng)(152)。在該實施例中���,該節(jié)目數(shù)據(jù)被預先加密并存儲�,比如存儲在一與功能(150)相關的文件服務器中�����,以供以后向該終端播放�。此外,該CA數(shù)據(jù)被累積并與該節(jié)目數(shù)據(jù)同步���。該配置可用于諸如一VOD系統(tǒng)�����。
在向終端播放節(jié)目之前�,用于加密整個節(jié)目(如電影)的CA數(shù)據(jù),從該主要CAP提供給該輔助CAP��。
在一實時實施例中�,并沒有存儲完整的加密節(jié)目數(shù)據(jù),這是因為該輔助CAP實質上以實時方式使用來自主要CAP的CA數(shù)據(jù)����,以準備其CA數(shù)據(jù),并以最小的延遲將該CA數(shù)據(jù)從所有的CAP傳送到終端����。
注意��,這里以舉例的方式顯示三個CAP���,但本發(fā)明也可適用于兩個或更多個CAP�����。
可在諸如具有指標″N″至″N+K-1″的K個連續(xù)加密期中提供各控制字或其他的CA數(shù)據(jù)�。因此���,例如���,加密子系統(tǒng)(105)利用控制字CWN在時間TN將對應于該加密期的節(jié)目數(shù)據(jù)加密�?���?梢砸匀魏芜m當?shù)母袷教峁┰摃r間。對于實時應用而言��,該時間可以是一絕對時間���,而對于一非實時應用而言�,該時間可以是一相對時間�,例如自一電影開始后算起的時間、或其他類似的時間�。
作為可選項,可將一節(jié)目識別碼P提供給該加密子系統(tǒng)��,因而可識別要施加CA數(shù)據(jù)的確切節(jié)目���。在某些情形中���,可以不要求獨立的識別碼。例如�,對于MPEG-2節(jié)目數(shù)據(jù)而言,MPEG復用已識別出每一節(jié)目。
CAP-1因此將K個加密期中的(以某種加密形式)P��、CW�、T數(shù)據(jù)經(jīng)由一個網(wǎng)絡或多個網(wǎng)絡(130)提供給各輔助CAP(亦即CAP-2(115)及CAP-3(120)。CAP-2(115)及CAP-3(120)在指定的時間并針對指定的節(jié)目利用該控制字將CA數(shù)據(jù)(例如MPEG ECM等授權消息)經(jīng)由一個或多個網(wǎng)絡(140)而提供給消息插入子系統(tǒng)(150)��。在該實施例中��,網(wǎng)絡(140)系來自路徑(145)并在頻帶外�����。該消息插入子系統(tǒng)(150)將對應的CA數(shù)據(jù)插入從加密子系統(tǒng)(105)所提供的數(shù)據(jù)流���,并將一對應的數(shù)據(jù)流經(jīng)由一傳送子系統(tǒng)(155)而輸出到與每一CAP相關聯(lián)的解密子系統(tǒng)。
例如�����,CAP解密子系統(tǒng)(160)���、(170)�����、及(180)提供對應的輸出數(shù)據(jù)��,以供后續(xù)的傳統(tǒng)處理���。該解密子系統(tǒng)(160)���、(170)、及(180)可以是諸如作為一CA系統(tǒng)信號流終點的在使用者家中的用戶終端���、或移動無線單元(在家中或便攜式的����,比如個人數(shù)字助理)�。
雖然圖中只舉例顯示三個解密子系統(tǒng),但是每一子系統(tǒng)都可代表與相關聯(lián)的CA格式相兼容的一組終端����。
圖2顯示一種根據(jù)本發(fā)明而從加密節(jié)目數(shù)據(jù)頻帶內(nèi)方式分配CA數(shù)據(jù)的結構。
相同代號的元件在各圖示中相互對應���。
在此處���,加密節(jié)目數(shù)據(jù)及CA數(shù)據(jù)系在路徑(210)及(230)上而相互處于頻帶內(nèi)�����。具體而言��,將該節(jié)目數(shù)據(jù)提供給一CAP-1消息插入子系統(tǒng)及一數(shù)據(jù)加密子系統(tǒng)(205)�����。在路徑(210)上���,將其中包括加密數(shù)據(jù)CAP-1CA數(shù)據(jù)(CW)的(P,CW����,T)數(shù)據(jù)提供給一CAP-2消息插入子系統(tǒng)(225),其中系根據(jù)(P����,CW�����,T)數(shù)據(jù)而提供CAP-2CA數(shù)據(jù)����。在路徑(230)上����,將加密節(jié)目數(shù)據(jù)�����、CAP-1CA數(shù)據(jù)�、CAP-2CA數(shù)據(jù)、及(P����,CW,T)數(shù)據(jù)提供給一CAP-3消息插入子系統(tǒng)(245)�����,其中根據(jù)(P�,CW,T)數(shù)據(jù)而提供CAP-3CA數(shù)據(jù)����。該非實時CA數(shù)據(jù)傳送實施例的一個作為可選的CA消息累積、同步����、及內(nèi)容播放子系統(tǒng)(252)遵循CAP-3消息插入功能(245)���。
可將每一CAP的加密節(jié)目數(shù)據(jù)及CA數(shù)據(jù)經(jīng)由一傳送子系統(tǒng)(155)而提供給解密子系統(tǒng)(160)、(170)���、及(180)����。
一接口密碼流通網(wǎng)絡(250)可讓CAP-2子系統(tǒng)(225)及CAP-3子系統(tǒng)(245)與CAP-1子系統(tǒng)(205)互動��,以便取得用來將加密(P�,CW,T)數(shù)據(jù)解密的數(shù)據(jù)���。
圖3顯示根據(jù)本發(fā)明而在各后續(xù)的加密期中將節(jié)目識別碼(P)���、控制字(CW)、及時間數(shù)據(jù)(TD)插入信息包之情形���。
在不同的加密期,可將一不同的CW用來將節(jié)目數(shù)據(jù)加密��。此外,該CAP也利用該控制字來產(chǎn)生其對應的CA數(shù)據(jù)�����。因此�����,必須在使用之前(亦即有足夠的前置時間)就將該CW提供給該輔助CAP�。
圖中顯示若干連續(xù)的CW期間(300)、(310)�����、(320)����、(330)、...�����、(340)�、(350)、(360)�����、(370)。出現(xiàn)時間(epoch)就是控制字為有效的時間間隔或加密期�。
設有與CAP-1功能(110)或(205)相關聯(lián)的一控制字插入器,且該控制字插入器在線上工作����,以便在該控制字的各個應用時間之前計算節(jié)目數(shù)據(jù)的控制字。對于多路復用的輸入節(jié)目數(shù)據(jù)而言��,可將一控制字用于該多路復用中的每一節(jié)目�����?����?筛鶕?jù)可用的數(shù)據(jù)信息包大小及所選擇的控制字大小而限制該前置時間(超前的加密期數(shù)目)����。可以諸如每個節(jié)目服務的每一秒有一個的速率而提供控制字���。在此種情形中��,該加密期是一秒���。
CAP-1(110)、(205)的控制字插入器利用一共享的接口密碼且按照一規(guī)定的算法而將該控制字加密�����,并在將該控制字用來加密該節(jié)目數(shù)據(jù)的時間T中插入該控制字���。此外�����,可在每一信息包中提供未來的K-1個期間之(P�����,CW�����,T)值��。
例如��,可在加密期N(300)中�,將信息包(305)自CAP-1提供給CAP-2、及CAP-3���。該信息包(305)具有一信息包標頭����,該信息包標頭可包括節(jié)目識別碼(P)����、以及在諸如由滑動窗(390)所指示的加密期N至N+14中的后續(xù)的(CW,T)數(shù)據(jù)�。可在信息包(305)結束時提供CRC數(shù)據(jù)�����。
實際工作中�����,可以在時間上將信息包(305)與諸如一多路復用中的各節(jié)目中所含節(jié)目等其他的信息包在時間上多路復用�,且在單個加密期中可將該信息包(305)重復多次。因為該信息包的速率對應于通常短于該加密期的一期間,所以會發(fā)生上述的情形��。
可在次一加密期N+1(310)中�,將一信息包(315)從CAP-1提供給CAP-2及CAP-3。該信息包(315)也具有一設有節(jié)目識別碼(P)的信息包標頭���、以及后續(xù)的如滑動窗(395)所示的在加密期N+1至N+15中的(CW,T)數(shù)據(jù)�����、及CRC數(shù)據(jù)�����。
同樣地��,可于下一加密期N+2(320)提供一信息包(325)���。該信息包(325)包括加密期N+2至N+16的(CW�,T)數(shù)據(jù)�。相關聯(lián)的滑動窗(397)遵循滑動窗(390)及(395)的模式。在遵循信息包(305)�、(315)、及(325)模式的后續(xù)加密期中提供額外的信息包。
該輔助CAP可有利地在一特定控制字下����,在將(P,CW�����,T)數(shù)據(jù)加密的加密期之前就接收該數(shù)據(jù)�。例如,信息包(305)在從出現(xiàn)時間(300)(其起始時間為TN)至出現(xiàn)時間(340)(其起始時間為TN+14)為止的各出現(xiàn)時間(加密期)中提供CW數(shù)據(jù)����。因此,該CAP具有數(shù)個加密期的前置時間��,以便在適當?shù)目刂谱窒庐a(chǎn)生其CA數(shù)據(jù)��。因此���,可以適應每一CAP的處理延遲�����。此外�,該結構可以順利地進行系統(tǒng)啟動,讓每一輔助CAP在可能的最早加密期中開始輸出其CA數(shù)據(jù)��。這對實時的應用尤其重要����,在實時的應用中,用于輔助CAP的CA數(shù)據(jù)��,一旦產(chǎn)生��,隨即就被傳送到終端�����。
對于預先加密并存儲節(jié)目數(shù)據(jù)以供未來播放的非實時應用而言��,將(P����,CW��,T)數(shù)據(jù)傳送到該輔助CAP的特定傳送時間相對不那么�����。通常可在需要該數(shù)據(jù)之前很長的時間即提供該數(shù)據(jù)����。
對于實時應用而言,應根據(jù)輔助CAP的計算延遲����、信息包大小、控制字長短���、及時間參數(shù)T的長短(例如字節(jié)數(shù))來選擇滑動窗大小或預測期間��。對于一特定的信息包有效載荷而言���,一個較大的控制字需要一個較短的滑動窗大小?����;瑒哟?390)���、(395)���、(397)可表示包含在個別被分配給(通過使用信息包標識符)特定CAP的信息包中的信息���,并且可表示該數(shù)據(jù)在數(shù)個加密期延續(xù)到未來的方式。例如��,假設使用標準的DES加密時���,一特定的信息包可包含十五個連續(xù)的(CW����,T)數(shù)據(jù)對���,但是亦可根據(jù)實施方式而使用任何數(shù)目的數(shù)據(jù)對�。對于實時應用而言��,加密期N的(CW�,T)數(shù)據(jù)是現(xiàn)有的加密期�����,而后續(xù)的期間則是未來的加密期����。
對于非實時應用而言�����,主要及輔助CAP的CA數(shù)據(jù)系與該CA數(shù)據(jù)所應用的節(jié)目數(shù)據(jù)部分同步���。因此,在回放(例如檢索)該節(jié)目數(shù)據(jù)時�����,可播放每一CAP的CA數(shù)據(jù)����,并以與加密節(jié)目數(shù)據(jù)同步的方式提供該CA數(shù)據(jù)。在此種情形中�����,該(T)數(shù)據(jù)可遵循諸如節(jié)目開始時間等的該節(jié)目的某一基準時間點而指定一加密期�。該(T)數(shù)據(jù)因而可指定一相對時間,而不是指定一絕對時間���。此外�,該輔助CAP累積(CW���,T)數(shù)據(jù)���,并利用該(CW���,T)數(shù)據(jù)來準備其CA數(shù)據(jù),且隨后在適當?shù)臅r間連同加密節(jié)目數(shù)據(jù)而存儲該CA數(shù)據(jù)�����,以供播放���?���?稍谠摲菍崟r實施例的子系統(tǒng)(152)或(252)上提供一存儲體���。
圖4顯示根據(jù)本發(fā)明的一種有線電視頭端結構。
數(shù)碼有線電視或其他的寬帶網(wǎng)絡頭端(400)中包含一CAP-1控制器(410)及一CAP-2控制器(455)��,這些控制器被配置成以個別不同的CA格式提供各STA(例如在MPEG協(xié)定中熟知的EMMs)�����。為了簡化顯示,圖中只顯示一個輔助CAP�,但是可將本發(fā)明擴展到任何數(shù)目的輔助CAP。
此外�����,請注意����,雖然討論了一個MPEG的特定實例,但是本發(fā)明可通用于任何打包數(shù)據(jù)通信方案中���。
CAP-1控制器(410)根據(jù)諸如DES等的一種加密方案而產(chǎn)生加密密鑰��。CAP-1控制器(410)亦將相關聯(lián)的各STA提供給一OOB調(diào)制器(415)���,且將所得到的調(diào)制后信號提供給一頭端組合器(435)。同樣地��,該CAP-2控制器以一對應的格式將各STA提供給一OOB調(diào)制器(450)����,且將所得到的調(diào)制后信號提供給該頭端組合器(435)。頭端組合器(435)將信號經(jīng)由一傳統(tǒng)的分配網(wǎng)絡而輸出到一終端群。
CAP-1控制器(410)亦將控制����、狀態(tài)、及節(jié)目控制數(shù)據(jù)(包括控制字)提供給一CAP-1功能(425)��,該CAP-1功能(425)包含-CA數(shù)據(jù)加密器及插入器�����、一節(jié)目數(shù)據(jù)加密器�、及一調(diào)制器?����?蓪AP-1功能(425)實施為諸如一模塊化處理系統(tǒng)中的模塊����。CAP-1功能(425)可以根據(jù)電路板而配置為不同的功能,例如接收衛(wèi)星信號����、對數(shù)據(jù)進行解密及提取等的不同功能。
CAP-1功能(425)亦可接收節(jié)目數(shù)據(jù)輸入����,例如包含視頻、音頻及計算機游戲等的衛(wèi)星傳送節(jié)目�����。這是可由不同的CA系統(tǒng)進行訪問控制的數(shù)據(jù)����。也可用替代的方式或增添的方式從本地節(jié)目來源或一存儲裝置中提供數(shù)據(jù)。例如���,對于VOD系統(tǒng)而言�,可響應來自某些上傳流�����、頻帶外通道中的用戶請求�����,而從存儲設備中提供節(jié)目�。
CAP-1功能(425)根據(jù)控制、狀態(tài)����、及節(jié)目控制數(shù)據(jù)而將輸入數(shù)據(jù)流加密���,以便將包含加密頻帶內(nèi)(CW,T)數(shù)據(jù)的一加密輸出數(shù)據(jù)流″DS-out″提供給一CAP-2CA數(shù)據(jù)插入器(440)����。該CAP-2CA數(shù)據(jù)可包含諸如MPEG ECMs。CAP-1功能(425)也可將其本身的CA數(shù)據(jù)(為CAP-1格式)插入該實施例中相關聯(lián)的信息包標識符所識別的信息包上的DS-out中�����。一般而言��,該輔助CAP本身不需要CAP-1CA數(shù)據(jù)���。
結合圖3所作討論�,CAP-2CA數(shù)據(jù)插入器(440)根據(jù)所接收的(P��,CW��,T)數(shù)據(jù)而在適當?shù)募用芷诋a(chǎn)生CA數(shù)據(jù)�����。可將該CAP-2CA數(shù)據(jù)插入用來(在DS-out)中提供(CW�����,T)數(shù)據(jù)的相同信息包(在DS-in中)����。在此種方式下�,DS-out中的(CW,T)信息包可用來作為CAP-2CA數(shù)據(jù)的一″位置保持″信息包��。
CAP-1功能(425)接收DS-in�����,調(diào)制該DS-in(利用諸如QAM調(diào)制)���,并將調(diào)制后的DS-in提供給一作為可選的向上變頻器(430)�����。然后將該對應的向上變頻信號提供給頭端組合器(435)��,以便諸如經(jīng)由一纜線網(wǎng)絡而分配到一終端群����。
在一特定實例中,DS-out符合MPEG-2或類似的標準����,其中包含一傳輸多路復用,比如多個節(jié)目��,并且包含一用來列出界定每一節(jié)目的節(jié)目識別碼的PAT�。這些是該PMT節(jié)目識別碼。CAP-2CA數(shù)據(jù)插入器(440)中包含一用來檢視該PAT的分析器�,并檢查該節(jié)目識別碼是否為諸如″HBO″等的某一節(jié)目。該″HBO″節(jié)目又包括一具有用來界定諸如HBO的視頻數(shù)據(jù)的若干節(jié)目識別碼的PMT�、HBO的一個或多個頻道的音頻數(shù)據(jù)以及HBO的若干ECM節(jié)目識別碼?����?衫妹恳患用芊諆?nèi)的MPEG結構″CA描述碼″傳送該ECM節(jié)目識別碼��。因此�����,可在CAP-2的ECM節(jié)目識別碼下�����,在ECM位置保持信息包中傳送DS-out中的(CW,T)數(shù)據(jù)�����。
當在一TS PMT部分中發(fā)現(xiàn)與節(jié)目元素相關聯(lián)的ECM數(shù)據(jù)時�����,″CA描述碼″指示該ECM數(shù)據(jù)的位置(傳輸信息包之節(jié)目識別碼值)�。當在一CA部分中發(fā)現(xiàn)該ECM數(shù)據(jù)時��,將該ECM數(shù)據(jù)稱為EMMs��。
請注意�,使用MPEG的該例中不需要(P),這是因為MPEG信息包標頭傳送該信息包的節(jié)目識別碼�、以及該數(shù)據(jù)所參照的內(nèi)容。在更一般性的情形中�����,CAP-1功能(425)提供三元組(P�,CW���,T)。
CAP-2CA數(shù)據(jù)插入器(440)恢復在這些ECM節(jié)目識別碼下的加密(CW��,T)數(shù)據(jù)���,將該(CW��,T)數(shù)據(jù)解密��,并利用該控制字形成其本身的ECMs�。然后在經(jīng)過網(wǎng)絡延遲時間之后����,并且在T數(shù)據(jù)所指定的時間上,該CAP-2ECM在與數(shù)據(jù)流DS-in中相同的ECM節(jié)目識別碼下����,以CAP-2ECM數(shù)據(jù)覆蓋該(CW,T)數(shù)據(jù)����,而隨即又將該CAP-2ECM數(shù)據(jù)送回到CAP-1功能(425)。
CAP-2CA數(shù)據(jù)插入器(440)可響應利用諸如TCP/IP協(xié)定而經(jīng)由路由器(420)從CAP-1控制器(410)接收的接口密碼數(shù)據(jù)。CAP-2CA數(shù)據(jù)插入器(440)可利用該密碼數(shù)據(jù)���,將DS-out上傳送的加密(CW��,T)數(shù)據(jù)流解密�����??蓪⒁还蚕砻荑€系統(tǒng)用于此種用途�����。路由器(420)可用來作為一防火墻��,使CAP-2系統(tǒng)無法取得來自CAP-1系統(tǒng)的其他數(shù)據(jù)����。
不同的終端與來自諸如CAP-1及CAP-2的不同CA格式相兼容�����,并且可根據(jù)分別傳送到該終端的STA(例如EMM)��,而將該終端設定成取得在指定的節(jié)目識別碼上出現(xiàn)的對應CA數(shù)據(jù)�。例如��,節(jié)目″HBO″可以具有傳輸流中的一對應節(jié)目識別碼(例如PID#160)上格式為CAP-1格式的CA數(shù)據(jù)��,而可在一不同的對應節(jié)目識別碼(例如PID#170)上提供格式為CAP-2格式的CA數(shù)據(jù)�。需要不同CA數(shù)據(jù)格式的終端從而能夠共存于相同的網(wǎng)絡中�����。
可插入DS-out中的一MPEG傳輸流信息包中的加密(CW�����,T)數(shù)據(jù)對的數(shù)目取決于若干因素�,其中包括可用的信息包有效載荷、控制字長短�、及加密期的持續(xù)時間。表1顯示一可用信息包有效載荷的示例�。
表1-信息包有效載荷預計MPEG信息包大小188字節(jié)起始碼4字節(jié)CRC 4字節(jié)可用信息包有效載荷 180字節(jié)可根據(jù)數(shù)據(jù)元素的多少而計算可在可用信息包有效載荷中傳送的(CW,T)數(shù)據(jù)對數(shù)目����。對于一使用8字節(jié)控制字及4字節(jié)啟動時間的基于DES的實施例而言,可以將15個(CW�����,T)數(shù)據(jù)對插入可用的信息包有效載荷(180字節(jié))中。對于一基于三元組DES的加密方案(表2)的類似計算顯示可將五個(CW����,T)數(shù)據(jù)對裝入可用的信息包有效載荷中,因而在現(xiàn)有的后續(xù)的四個加密期中提供了該控制字��。
表2-信息包數(shù)據(jù)分析DES三元組DES控制字容量(字節(jié))832凈有效載荷-私有數(shù)據(jù)流消息(字節(jié)) 180 180時間(字節(jié)) 44每一信息包的CW持續(xù)時間(具有1CW/秒/服務之秒數(shù)) 11每一信息包中的(CW���,T)數(shù)據(jù)對 15 15按照該方法��,可將一持續(xù)數(shù)據(jù)流的有效控制字從CAP-1功能(425)提供給CAP-2CA數(shù)據(jù)插入器(440)�����。
上述只是一個例子,且可根據(jù)諸如以太網(wǎng)絡或ATM等所用的通信結構而改變信息包中的數(shù)據(jù)分配���。
雖然在圖4所示實例中��,可以頻帶內(nèi)信息包方式將該控制字及啟動時間提供給CAP-2CA數(shù)據(jù)插入器(440)�,但是必須建立一條額外的通信鏈路��,使CAP-1控制字插入器(在功能(425))能夠與CAP-2CA數(shù)據(jù)插入器(440)通信。為了達到此目的�����,可利用一以太網(wǎng)絡鏈路來處理鏈路加密建立及接口密鑰協(xié)商消息�����。例如�,Diffie-Hellman密碼交換協(xié)定、公開密鑰算法��、安全套接層或任何其他共享密鑰配置可支持該接口加密要求��。此外��,可利用相同的密碼對一多路復用流內(nèi)所有CAP-2CA節(jié)目識別碼上的所有(CW�,T)或(P,CW���,T)信息包加密�,從而減少了計算上的要求�����。
不需要經(jīng)常改變該接口密碼,或許可以每隔六小時或十二小時改變一次�����,因而該接口上只需要極低的數(shù)據(jù)傳輸速率要求��。因此�,可將CAP-1功能(425)上的一個以太網(wǎng)端口及一CAP-2網(wǎng)絡LAN連線用來與CAP-2CA數(shù)據(jù)插入器(440)進行通信?��?衫寐酚善?420)來控制CAP-1與CAP-2頭端LAN之間的網(wǎng)絡通信���,并確保除了尋址到CAP-2CA數(shù)據(jù)插入器(440)的消息以外,不會將CAP-1消息提供給CAP-2網(wǎng)絡����。
可利用CAP-1功能(425)來分配CAP-2CA數(shù)據(jù)插入器(440)的目的地址及TCP端口。需要有一超時機制來確保CAP-2CA數(shù)據(jù)插入器(440)是有效并且在線�����。
圖5顯示根據(jù)本發(fā)明的CAP-1模塊配置及信號流����。
圖中將CAP-1功能(425)的示例配置顯示為若干模塊,該若干模塊中包括一用來接收輸入數(shù)據(jù)流之L頻帶功能(560)��。一解密/抽取功能(562)解密并提取該數(shù)據(jù)流���。一數(shù)據(jù)加密功能(564)將該數(shù)據(jù)流重新加密����,例如根據(jù)一局域網(wǎng)供應商所使用的CAP-1加密方案���。當該數(shù)據(jù)流是一包括多個服務的傳輸流(TS)時�����,可利用一不同的控制字將該TS的每一服務(例如每一TS有10-12個服務)加密�。此外��,利用每一服務的控制字來形成對應的CAP-1CA數(shù)據(jù)��。在一(P�,CW,T)數(shù)據(jù)加密及插入功能(566)上����,將該(P���,CW,T)數(shù)據(jù)加密并插入該數(shù)據(jù)流中�����。仍然如前文所述���,可以不需要(P)數(shù)據(jù)���,但圖中為了顧及一般性而顯示了該(P)數(shù)據(jù)?����?梢宰鳛镈S-out提供該DS�����,從一輸出接口(568)提供給CAP-2CA數(shù)據(jù)插入器(440)���。
將DS-in經(jīng)由一輸入接口(570)而送回到CAP-1功能(425)�,并提供給調(diào)制器(572)��。CAP-1功能(425)中亦包含諸如CPU等的一系統(tǒng)控制器(574)及一電源供應器���。系統(tǒng)控制器(574)經(jīng)由路徑(575)而與CAP-1功能(425)中的其他功能通信�����,以便協(xié)調(diào)并監(jiān)視這些功能的活動�����。
請注意����,可在方便時提供調(diào)制器(572)���。調(diào)制器(572)無須是CAP-1功能(425)的一部分����,而可以是一獨立的裝置�����,調(diào)制器(572)也可以與諸如CAP-2 CA數(shù)據(jù)插入器(440)相關聯(lián)��。
可以修改CAP-1功能(425),以便同時處理多個數(shù)據(jù)流�,在此種情形中,輸出功能(568)及輸入功能(570)與每一額外數(shù)據(jù)流的一額外輔助CAP插入器(例如第三數(shù)據(jù)流的一CAP-3插入器等)通信���?����?蓪⑴c調(diào)制器(572)類似的一額外調(diào)制器提供給每一額外的數(shù)據(jù)流����。
可以一種插入CAP-1功能(425)的背板模塊(電路板)的形式提供該CW加密及插入功能(566)���,或者以一種獨立頭端產(chǎn)品的形式提供該CW加密及插入功能(566)�����。
CAP-1功能(425)的消息協(xié)議可利用已知的技術命令該CW加密及插入功能(566)��。
此外�,也可將CAP-1CA數(shù)據(jù)插入CAP-2CA數(shù)據(jù)之后的數(shù)據(jù)流����,但是在大多數(shù)系統(tǒng)中需要(諸如利用信息包位置保持區(qū)而)預先保留空間��。在此種情形中��,將在輸入功能(570)之后提供CAP-1CA數(shù)據(jù)插入器。
圖6顯示根據(jù)本發(fā)明而具有信息包標識符(PID)過濾的CAP-1模塊配置及信號流��。
考慮到在將數(shù)據(jù)流DS-out送回到CAP-1功能(425′)的一修改過后的輸入接口(570′)之前���,CAP-2CA數(shù)據(jù)插入器(440)(或其他的輔助CA數(shù)據(jù)插入器)可能多少會損壞該數(shù)據(jù)流DS-out�����。因此�����,必須更正并偵測此一問題�����。
此處�,在圖2中�,可將作為DS-out拷貝之一的數(shù)據(jù)流DS-out′從輸出接口(568′)提供給一與輸入接口(570′)相關聯(lián)的緩沖器(605),而保留該數(shù)據(jù)流DS-out′。輸入接口(570′)也包含一組合器(610)及一信息包過濾器(615)�。建立信息包過濾器(例如信息包標識符過濾器)(615),以便可以只通過被插入DS-in的CAP-2CA數(shù)據(jù)插入器的信息包標識符�。在組合器(610)上,來自信息包過濾器(615)的過濾后數(shù)據(jù)與來自緩沖器(605)的緩沖數(shù)據(jù)組合�。主要由于與CAP-2CA數(shù)據(jù)插入器(440)相關聯(lián)的處理延遲,所以緩沖器(605)需要暫時存儲來自DS-out′的數(shù)據(jù)���。
在替代方式中��,開發(fā)出一種串流比較模塊�����,以便解決傳輸流可能被損壞的問題���。該串流比較模塊可基于一修改過的輸入接口,且可不斷地執(zhí)行DS-out′與DS-in間之差異比較����,且不理會與指定的CAP-2節(jié)目識別碼有關之數(shù)據(jù)。以一適當?shù)闹鹞粓?zhí)行的比較功能取代組合器(610)及信息包過濾器(615)���,即可實現(xiàn)此種配置�����。如果偵測到DS-out′與DS-in之間具有被認為是顯著(例如影響到系統(tǒng))的差異�,則DS-out′可通過輸入接口(570′),因而有效地繞過被視為已損壞數(shù)據(jù)流之DS-in����。
雖然任一方式都具有可行性,但是信息包過濾器(615)較易于實施�,且與比較法相比�,在計算上較不復雜。
現(xiàn)在應可了解����,本發(fā)明提供了一種用來將加密CA數(shù)據(jù)從一主要(或主)有條件訪問供應商(CAP)串流化到一個或多個輔助CAP的系統(tǒng)。該輔助CAP不需要按照需求而請求控制字�����。此外�����,可在一″滑動窗″中提供一當前加密期及若干將來加密期的控制字��,輔助CAP開始預先準備其各自的CA數(shù)據(jù)。
在一非實時實施例中���,可將節(jié)目數(shù)據(jù)預先加密���,并在諸如一文件服務器上累積CA數(shù)據(jù),并使該CA數(shù)據(jù)與加密節(jié)目數(shù)據(jù)同步�����,以供將來的恢復�����。該輔助CAP必須準備其用于同步的CA數(shù)據(jù)���。當檢索節(jié)目數(shù)據(jù)并將節(jié)目數(shù)據(jù)傳送到一用戶終端時����,可與作為該CA數(shù)據(jù)施加對象的節(jié)目數(shù)據(jù)區(qū)段同步的方式�����,連同該節(jié)目數(shù)據(jù)而傳送來自主要及輔助CAP之CA數(shù)據(jù)�����。
可將本發(fā)明用于任何信息包型分布式系統(tǒng),其中包括諸如以太網(wǎng)絡及SONET等的虛擬私有網(wǎng)絡��。
雖然已參照各特定實施例而對本發(fā)明作出說明����,但是本領域中專業(yè)人員可以理解,在不脫離本發(fā)明各權利要求范圍所述的精神及范圍下�����,尚可對本發(fā)明作出多種改編及修訂�����。
權利要求
1.一種方法���,用于讓一主要有條件訪問供應商(CAP)及至少一個輔助CAP以各自不同的格式提供有條件訪問(CA)數(shù)據(jù),以對至少一個數(shù)據(jù)服務的訪問進行控制�,其包含下列步驟(a)在該主要CAP上,提供第一格式的第一CA數(shù)據(jù)����,以便在多個后續(xù)的加密期將至少一個數(shù)據(jù)服務加密�,并提供時間數(shù)據(jù)�,以便識別該后續(xù)的加密期;(b)將該第一CA數(shù)據(jù)及該時間數(shù)據(jù)從該主要CAP中提供給該至少一個輔助CAP�;其中該至少一個輔助CAP響應該第一CA數(shù)據(jù)及該時間數(shù)據(jù),而在該后續(xù)的加密期中提供一種不同的具有第二格式的第二CA數(shù)據(jù)�;以及(c)將其中包括至少一個加密數(shù)據(jù)服務以及第一及第二CA數(shù)據(jù)的一數(shù)據(jù)流提供給各用戶終端,該用戶終端包括與該第一CA數(shù)據(jù)相兼容的至少一個第一用戶終端以及與該第二CA數(shù)據(jù)相兼容的一個第二用戶終端��。
2.如權利要求1所述的方法����,其中該時間數(shù)據(jù)指示該加密期的各起始時間。
3.如權利要求2所述的方法�����,其中該時間數(shù)據(jù)指定該加密期的絕對時間�。
4.如權利要求2所述的方法,其中根據(jù)該至少一個數(shù)據(jù)服務的一參考時間��,該時間數(shù)據(jù)指定該加密期的相對時間����。
5.如權利要求1所述的方法,其中可在至少一個加密期的前置時間下�,將每一加密期的該第一CA數(shù)據(jù)提供給該至少一個輔助CAP��。
6.如權利要求5所述的方法����,其中該前置時間可響應該至少一個輔助CAP所需的處理時間�����。
7.如權利要求5所述的方法����,其中可在連續(xù)信息包中,將該第一CA數(shù)據(jù)及時間數(shù)據(jù)提供給該至少一個輔助CAP���,而每一信息包都包含該第一CA數(shù)據(jù)及多個加密期的時間數(shù)據(jù)���。
8.如權利要求7所述的方法�����,其中該多個加密期中包含一當前加密期及若干將來的加密期���。
9.如權利要求1所述的方法�����,其中該第一CA數(shù)據(jù)中包含每一加密期的一控制字����。
10.如權利要求1所述的方法,其中該第一CA數(shù)據(jù)及時間數(shù)據(jù)可實時地從該主要CAP串流化到該至少一個輔助CAP�����,而不需要自其發(fā)出請求�。
11.如權利要求10所述的方法,其中該至少一個輔助CAP可在接收到該第一CA數(shù)據(jù)及時間數(shù)據(jù)之后�,以基本上實時的方式提供其第二CA數(shù)據(jù)。
12.如權利要求1所述的方法�����,包含下列進一步的步驟使該第一CA數(shù)據(jù)及該第二CA數(shù)據(jù)與該至少一個加密數(shù)據(jù)服務同步����;以及存儲該第一及第二同步后CA數(shù)據(jù)以及該至少一個加密數(shù)據(jù)服務,以供后續(xù)的檢索�,而提供該數(shù)據(jù)流。
13.如權利要求12所述的方法�,包含下列進一步的步驟檢索該第一及第二同步后CA數(shù)據(jù)以及該至少一個加密數(shù)據(jù)服務��,以便響應一用戶請求而提供該數(shù)據(jù)流���。
14.如權利要求13所述的方法,其中可提供該用戶請求��,作為視頻點播服務的一部分��。
15.如權利要求1所述的方法�����,其中該主要CAP將一節(jié)目識別碼提供給該至少一個輔助CAP�,以便將該第一CA數(shù)據(jù)及該時間數(shù)據(jù)系與該至少一個數(shù)據(jù)服務相關聯(lián)之消息通知該至少一個輔助CAP。
16.如權利要求1所述的方法�����,其中可將該第一CA數(shù)據(jù)及時間數(shù)據(jù)從該主要CAP經(jīng)由一CA數(shù)據(jù)傳送網(wǎng)絡而提供給該至少一個輔助CAP����。
17.如權利要求1所述的方法����,其中以頻帶外方式由該加密數(shù)據(jù)服務將該第一及第二CA數(shù)據(jù)提供給一消息插入子系統(tǒng)��,以便形成該數(shù)據(jù)流�����。
18.如權利要求1所述的方法��,其中以在該加密數(shù)據(jù)服務頻帶內(nèi)之方式����,將該第一及第二CA數(shù)據(jù)提供給一消息插入子系統(tǒng)���,以便形成該數(shù)據(jù)流����。
19.如權利要求1所述的方法��,其中可將該第一CA數(shù)據(jù)及該時間數(shù)據(jù)從該主要CAP提供給多個輔助CAP���,每一輔助CAP可響應該第一CA數(shù)據(jù)及時間數(shù)據(jù)����,以便在連續(xù)的加密期中提供不同的、各自格式的CA數(shù)據(jù)�;該數(shù)據(jù)流包含具有不同的、各自格式的該CA數(shù)據(jù)�;以及該用戶終端包含與該不同的、各自格式相兼容之各自的用戶終端�����。
20.如權利要求1所述的方法���,其中在一第一數(shù)據(jù)流中�,將該第一CA數(shù)據(jù)��、時間數(shù)據(jù)及加密數(shù)據(jù)服務從該主要CAP提供給該至少一個輔助CAP����,以便插入該第二CA數(shù)據(jù),并將一對應的第二數(shù)據(jù)流送回到該主要CAP����,以便形成要提供給該用戶終端的該數(shù)據(jù)流。
21.如權利要求20所述的方法��,其包含下列進一步的步驟在該主要CAP上保留一份該第一數(shù)據(jù)流的拷貝��;在該主要CAP上過濾從該至少一個輔助CAP送回的該第二數(shù)據(jù)流,以便恢復該第二CA數(shù)據(jù)�;以及將該恢復的第一CA數(shù)據(jù)與第一數(shù)據(jù)流的該保留拷貝組合�,以便形成要提供給該用戶終端的數(shù)據(jù)流。
22.如權利要求20所述的方法��,其包含下列進一步的步驟在該主要CAP上保留一份該第一數(shù)據(jù)流的拷貝���;在該主要CAP上將該第二數(shù)據(jù)流與該第一數(shù)據(jù)流的保留拷貝相比較��,以便決定兩者之間的偏差���。
23.如權利要求22所述的方法,其包含下列進一步的步驟如果偵測到該偏差����,則利用不包含該第二CA數(shù)據(jù)的該第一數(shù)據(jù)流的該保留拷貝來形成要提供給該用戶終端的該數(shù)據(jù)流。
24.如權利要求20所述的方法��,其中可以該第一數(shù)據(jù)流的各對應信息包中的對應第二CA數(shù)據(jù)覆蓋該第一CA數(shù)據(jù)�����,而形成該第二數(shù)據(jù)流�。
25.如權利要求1所述的方法,其中該第一CA數(shù)據(jù)中包含授權控制信息。
26.如權利要求1所述的方法����,其中可在一頭端中提供該主要CAP及該至少一個輔助CAP。
27.如權利要求1所述的方法����,其中可以一加密形式將該第一CA數(shù)據(jù)從該主要CAP提供給該至少一個輔助CAP,該方法包含下列進一步的步驟將數(shù)據(jù)提供給該至少一個輔助CAP���,以便將該加密的第一CA數(shù)據(jù)解密��。
28.一種可讓一主要有條件訪問供應商(CAP)及至少一個輔助CAP以各自不同的格式提供有條件訪問(CA)數(shù)據(jù)���,以控制對至少一個數(shù)據(jù)服務的訪問的裝置,其包括一主要CAP��,該主要CAP提供第一格式的第一CA數(shù)據(jù)��,以便在多個后續(xù)的加密期中將至少一個數(shù)據(jù)服務加密����,并提供時間數(shù)據(jù),以便識別該后續(xù)的加密期����;將該第一CA數(shù)據(jù)及該時間數(shù)據(jù)從該主要CAP傳送給該至少一個輔助CAP的裝置��;其中該至少一個輔助CAP響應該第一CA數(shù)據(jù)及時間數(shù)據(jù)�,而在該后續(xù)的加密期中提供一種不同的第二格式的第二CA數(shù)據(jù)����;以及提供數(shù)據(jù)流的裝置�,用以將其中包括至少一個加密數(shù)據(jù)服務以及第一及第二CA數(shù)據(jù)的一數(shù)據(jù)流提供給各用戶終端,該用戶終端包括與該第一CA數(shù)據(jù)相兼容的至少一個第一用戶終端以及與該第二CA數(shù)據(jù)相兼容的一第二用戶終端����。
全文摘要
一種系統(tǒng),用來將諸如控制字等加密有條件訪問(CA)數(shù)據(jù)從一主要或主有條件訪問供應商(CAP)(110)串流化到一個或多個輔助CAP(115���,120)的系統(tǒng)����。該主要CAP(110)根據(jù)相關聯(lián)的CA數(shù)據(jù)�,而將諸如電視節(jié)目等要施加訪問控制的內(nèi)容(節(jié)目數(shù)據(jù))加密。第一組用戶終端與該主要CAP(110)的CA數(shù)據(jù)相兼容��。然后將該CA數(shù)據(jù)提供給該輔助CAP(115���,120)����,以便以與其他組的終端相兼容的該輔助CAP相關聯(lián)之格式提供該內(nèi)容的對應CA數(shù)據(jù)。
文檔編號H04N7/167GK1444826SQ01813609
公開日2003年9月24日 申請日期2001年5月16日 優(yōu)先權日2000年6月2日
發(fā)明者G·T·哈欽斯, E·J·斯普龍克, L·D·文斯, R·迪科里, M·德彼得羅 申請人:通用儀器公司