專利名稱:用于保護(hù)廣播消息的安全模塊的撤銷方法
技術(shù)領(lǐng)域:
本發(fā)明涉及安全模塊的安全性領(lǐng)域����,這些模塊旨在包含允許對(duì)服 務(wù)或性能進(jìn)行訪問的個(gè)人數(shù)據(jù)和秘密。本發(fā)明尤其適用于付費(fèi)電視領(lǐng)域����,在該領(lǐng)域中內(nèi)容以加密形式廣 播���,而對(duì)該內(nèi)容的解密則在確定條件下授權(quán)。
背景技術(shù):
眾所周知����,為了能夠觀看尤其像是電影、體育賽事或比賽之類付 費(fèi)電視事件����,若干流被廣播到多媒體單元,例如解碼器��。具體地講���,一方面��,這些流是具有加密數(shù)據(jù)流形式的事件文件�����;另一方面����,則是 允許對(duì)數(shù)據(jù)流進(jìn)行解密的控制消息流。數(shù)據(jù)流的內(nèi)容由定期恢復(fù) (renew)的"控制字"(控制字-cw)加密����。第二流被稱作ECM (Entitlement Control Message,授4又控制消息)流并且可由兩種不 同方式形成。按照第一種方法��,控制字由被稱為傳輸密鑰TK的密鑰 加密�,該密鑰通常屬于管理中心和與接收機(jī)/解碼器相關(guān)聯(lián)的安全模塊 之間的傳輸系統(tǒng)?��?刂谱质墙柚鷤鬏斆荑€TK對(duì)控制消息進(jìn)行解密而 獲得的��。按照第二種方法,ECM流不直接包含加密的控制字�,而是包含 允許確定控制字的信息。所述對(duì)控制字的確定可以借助不同的操作����, 特別是解密來(lái)執(zhí)行;該解密可以直接產(chǎn)生控制字���,這與以上第一種方 法相對(duì)應(yīng)�����,但該解密也可以產(chǎn)生包含控制字的數(shù)據(jù)項(xiàng)���,而控制字則必 須從數(shù)據(jù)片段中提取�。更具體地�,數(shù)據(jù)可以包含控制字以及與要廣播 的內(nèi)容相關(guān)聯(lián)的值,尤其是對(duì)該內(nèi)容的訪問條件����。允許確定控制字的 另 一操作例如可以具體使用該信息的單向散列函數(shù)。在一種本領(lǐng)域技術(shù)人員周知的方法中����,安全模塊實(shí)質(zhì)上可以按照四種不同的形式產(chǎn)生。其中一種形式是微處理器卡�����、智能卡��、或更一 般而言的是電子模塊(采取密鑰�����、標(biāo)記等形式)���。這類模塊通??梢?除并且可以與解碼器相連接。帶有電觸點(diǎn)的形式被最廣泛地使用��,但也不排除沒有觸點(diǎn)的連接�����,例如ISO 14443類型����。第二種公知形式是通常以不可移除和確定的方式置于解碼器外殼內(nèi)的集成電路外殼。 一種變形是由安裝在基板或諸如SIM模塊連接 器的連接器上的電路組成的��。在第三種形式中��,安全模塊被集成到還具有其他功能的集成電路外殼中����,例如解碼器的解擾模塊或解碼器的微處理器中���。在第四實(shí)施例中��,安全模塊不采取實(shí)物形式�����,而是僅以軟件形式 實(shí)現(xiàn)其功能���。已知在這四種情況下����,雖然安全級(jí)別不同但功能相同���, 因此所關(guān)心的是無(wú)需考慮其執(zhí)行功能的方式或其采取的形式的安全 模塊���。在對(duì)控制消息(ECM)進(jìn)行解密時(shí),在安全模塊中驗(yàn)證是否有 訪問所述內(nèi)容的權(quán)利��。該權(quán)利可以由將這一權(quán)利栽入到安全模塊中的 授壽又消息(EMM ( Entitlement Management Message )=授權(quán)管理消 息)來(lái)管理�。條件訪問數(shù)字?jǐn)?shù)據(jù)的廣播被示意性地分為三個(gè)模塊。第 一模塊負(fù) 責(zé)通過(guò)控制字cw對(duì)數(shù)字?jǐn)?shù)據(jù)進(jìn)行加密并廣播該數(shù)據(jù)�。第二模塊準(zhǔn)備包含控制字cw以及訪問條件的控制消息ECM,并為用戶廣播這些消息�����。第三模塊準(zhǔn)備并傳送授權(quán)消息EMM����,該消息負(fù)責(zé)在與接收機(jī)相連接的安全模塊中定義接收權(quán)利�����。雖然前兩個(gè)模塊通常獨(dú)立于接收者�,但是第三模塊管理用戶的集 合并為一個(gè)用戶���、 一組用戶或所有用戶廣播數(shù)據(jù)���。用于繞過(guò)安全性的一種方法的確復(fù)雜但卻切實(shí)可行,該方法包括 通過(guò)短路權(quán)利的驗(yàn)證部分來(lái)分析授權(quán)的安全模塊的內(nèi)容(逆向工程)��, 以便仿制安全部分(對(duì)消息進(jìn)行解密)�。于是就可能產(chǎn)生真正安全模 塊的"克隆"。因此這一克隆將處置(dispose)允許對(duì)控制消息ECM中包含的控制字CW進(jìn)行解密的傳輸密鑰�。由于權(quán)利在該克隆中不用 經(jīng)過(guò)驗(yàn)證,所以克隆就能像帶有解密裝置的原模塊那樣起作用����,因此 無(wú)需擁有權(quán)利就能執(zhí)行這一解密�����。在付費(fèi)電視系統(tǒng)中,可以更換傳輸密鑰����。為此,原則上可以使用 兩種方法��。第一種方法包括向所有的解碼器廣播新的傳輸密鑰���。解碼 器于是就能被更新���,使得一旦新密鑰被使用,這些解碼器就能解碼事 件���。這類更新不能排除克隆的解碼器�,這是因?yàn)榭寺〉慕獯a器處置相 關(guān)解密密鑰因而也能接收這類更新消息�。假設(shè)每一個(gè)安全模塊包括至少 一個(gè)唯一 的密鑰,第二種方法則包 括在由該唯一 的密鑰加密的消息中傳送新的傳輸密鑰���。在這種情況 下��,消息的數(shù)目至少等于所安裝的安全模塊的數(shù)目�����,以便單獨(dú)地恢復(fù) 該傳輸密鑰���。眾所周知��,如果模塊被禁用���,(也就是說(shuō)如果不提供主 機(jī)設(shè)備),那么該模塊在主機(jī)設(shè)備上電時(shí)將不會(huì)接收到這一消息并且 也不再能向用戶提供她/他本具有合法權(quán)利的服務(wù)�。為了避免這種情 況,在將消息發(fā)送至模塊的過(guò)程中���,該消息被重復(fù)多次以確保其已經(jīng) 被其接收者正確接收�����。由于有限的可用帶寬并且為了確保每一個(gè)訂戶都接收到了新密 鑰��,有必要在使用該新密鑰之前傳送消息����,例如提前一個(gè)月在一天中 的不同時(shí)間重復(fù)每一個(gè)消息���。其后��,克隆模塊的擁有者會(huì)向?yàn)槠涮峁┻@一克隆并處置從可信模 塊提取新傳輸密鑰的裝置的技術(shù)人員請(qǐng)求該新傳輸密鑰���。 一旦提供了 密鑰,例如在互聯(lián)網(wǎng)上�����,所有的克隆于是都能在激活新密鑰之前被更 新��。以這種方式�,克隆總可保持可用狀態(tài)。其結(jié)果是���,通過(guò)全局地或單獨(dú)地傳輸來(lái)發(fā)送傳輸密鑰都具有不能 消除克隆模塊的缺點(diǎn)�����。發(fā)明內(nèi)容因此�,本發(fā)明的目的是提出一種防止濫用條件訪問數(shù)據(jù)的方法�, 尤其是防止借助其安全性已經(jīng)泄密的安全模塊的克隆所進(jìn)行的濫用。這個(gè)目的是借助一種旨在接收被廣播到多個(gè)安全模塊的安全消息的安全模塊的撤銷(revocation)方法來(lái)實(shí)現(xiàn)的���,所述安全模塊包 括至少一個(gè)個(gè)人密鑰����,該方法在撤銷之前包括以下步驟將安全模塊的集合分為至少兩個(gè)組;為每一個(gè)組確定包括公鑰和多個(gè)不同私鑰的非對(duì)稱密鑰�;為每一個(gè)安全模塊載入一個(gè)私鑰;根據(jù)廣播�,為每個(gè)組準(zhǔn)備一個(gè)安全消息,所述安全消息由所述組 的公鑰加密�;撤銷包括以下步驟除了 一個(gè)或多個(gè)要被撤銷的安全模塊之外,向與要被撤銷的安全 模塊相同的組中的每一個(gè)成員發(fā)送與另 一組的公鑰相對(duì)應(yīng)的新私鑰����, 每一個(gè)私鑰由所述安全模塊的個(gè)人密鑰加密。生成組非對(duì)稱密鑰的一個(gè)實(shí)例使用Boneh-Franklin系統(tǒng)(Dan Boneh, Matthew K.FrankUn: An Efficient Public Key Traitor Tracing Scheme( —種有效的公鑰���,反逆者追蹤方案).CRYPTO 1999:338-353 )���。 知道公鑰,就可能從中生成多個(gè)私鑰��,每個(gè)私鑰都允許對(duì)由該公鑰加 密的消息進(jìn)行解密����。這允許通過(guò)發(fā)送有限數(shù)目的不同消息而在每個(gè)安全模塊中放置 一個(gè)不同的密鑰。
本發(fā)明將借助對(duì)作為非限制性示例給出的附圖的詳細(xì)說(shuō)明而得 到更好地理解,在附圖中�����,圖l示意性地示出了發(fā)射機(jī)和付費(fèi)電視接收機(jī);圖2示出了分成4個(gè)組的分配�����,其中每一個(gè)組都包括3個(gè)安全模塊����;圖3示出了在安全模塊撤銷之后的組的分配。
具體實(shí)施方式
7在對(duì)由管理中心CG準(zhǔn)備并從中發(fā)送到多個(gè)STB多媒體單元的 安全消息進(jìn)行廣播的領(lǐng)域中��,需要在全局尋址(即對(duì)所有單元使用相 同消息)和單獨(dú)尋址(即每一個(gè)單元使用一個(gè)消息)之間進(jìn)行折衷����。在第一種情況下,由于只有一個(gè)消息允許例如要更換的傳輸密 鑰��,因此系統(tǒng)速度很快����。所述密鑰是對(duì)包含控制字cw的消息進(jìn)行加 密的密鑰。可以想象第二種情況的結(jié)果����,因?yàn)槠浔仨毝ㄆ趯⑿畔魉椭撩恳?個(gè)安全模塊。這就是為什么根據(jù)本發(fā)明的方案將安全模塊的集合分組���,每一組 能夠包含幾百個(gè)模塊�����。根據(jù)一種變形��,每一組包括256個(gè)成員���。因此, 一百萬(wàn)訂戶表示大約4000個(gè)組�����,于是就需要4000個(gè)消息來(lái)恢復(fù)傳輸 密鑰或更新安全程序��。管理中心CG將安全消息發(fā)送到多媒體單元STB�。這些單元STB 包括在圖1中被示例為插入式智能卡的安全裝置SC。當(dāng)對(duì)此安全模塊進(jìn)行私人化時(shí)�����,載入屬于每一個(gè)模塊的密鑰。每 一個(gè)模塊攜帶一個(gè)標(biāo)識(shí)號(hào)碼UA���,用以追蹤被引入模塊中的密鑰���。管理中心CG處置數(shù)據(jù)庫(kù),該數(shù)據(jù)庫(kù)則帶有用于每一個(gè)安全模塊 的個(gè)人密鑰的列表��??梢栽谒饺嘶K(通常是在遞送之前)的過(guò)程中或在啟動(dòng)過(guò)程 中的站點(diǎn)上執(zhí)行將模塊分成組的管理����。根據(jù)本發(fā)明,密鑰或信息片段 對(duì)于訪問由管理中心控制的服務(wù)是必需的�����。其對(duì)于權(quán)利管理來(lái)說(shuō)可以 是獨(dú)立的或補(bǔ)充的步驟��。該密鑰或信息對(duì)于所有安全模塊都是可訪問 的這一事實(shí)不意味著該服務(wù)對(duì)于處置這些安全模塊的訂戶來(lái)說(shuō)是可 i方問的����。如上所述,將安全模塊指定給一個(gè)組,例如組GrA���。指定可以 在安裝模塊時(shí)進(jìn)行�,或者可以通過(guò)發(fā)送與該組GrA相對(duì)應(yīng)的個(gè)人私 鑰進(jìn)行���。這一密鑰的發(fā)送通過(guò)由該安全模塊的個(gè)人密鑰之一對(duì)所述密 鑰進(jìn)行加密而得到保護(hù)�����。根據(jù)圖2中的示例�,安全模塊SC1A����、 SC2A 和SC3A是組GrA的一部分。秘密信息在管理中心CG中由密鑰KGrA加密并且由安全模塊的每一個(gè)私鑰解密�����。按照相同方式�,其它組GrB、 GrC或GrD也包括安全模塊SC..B�����、 SC..C或SC"D。因此��,安全模塊的集合通過(guò)發(fā)送與組一樣多的不同消息來(lái)接收對(duì) 于條件訪問系統(tǒng)的正確運(yùn)行所必需的秘密信息��。請(qǐng)注意在機(jī)頂盒不具 有返回信道的情況下不能避免消息的重復(fù)���。管理中心將根據(jù)預(yù)定時(shí)間 表重復(fù)消息�,例如每天在隨機(jī)選擇的不同時(shí)間重復(fù)一次消息����。當(dāng)檢測(cè)到安全模塊克隆時(shí),例如�����,如果這一模塊已經(jīng)因?yàn)槊荑€提 取而泄密��,則會(huì)在所有克隆中發(fā)現(xiàn)該個(gè)人私鑰����。一旦克隆已知��,就可以通過(guò)將該克隆模塊的私鑰和管理中心中存 儲(chǔ)的私鑰相比較來(lái)確定哪個(gè)安全模塊已泄密�。管理中心保留著載入到 每一個(gè)安全模塊中的私鑰的副本����。在本發(fā)明的示例中��,要撤銷的模塊 是模塊SC1A�����。因此組GrA將在其再也無(wú)法發(fā)送借助公鑰KGrA加密 的秘密消息時(shí)消失�。在停止發(fā)送由組密鑰KGrA加密的消息之前,除 了已被破壞的安全模塊之外的所有安全模塊必需換組�����。在圖3的示例中�,安全模塊SC2A被移入組B,模塊SC2A被移 入組D����。這一操作通過(guò)發(fā)送其新成員資格的組密鑰來(lái)執(zhí)行。這一組密 鑰由安全模塊的個(gè)人密鑰加密��,使得該消息只能被有關(guān)的安全模塊所 解釋���。 一旦從泄密組中移除了未被破壞的成員�,就中斷具有組密鑰A 的消息發(fā)送。此時(shí)���,由于不再能接收秘密消息��,所有的克隆都將停止 運(yùn)行�。未撤銷的成員向其它組的移動(dòng)可以被執(zhí)行為向其它現(xiàn)有組移動(dòng)�����, 或者可以通過(guò)創(chuàng)建新組來(lái)實(shí)現(xiàn)�。組成員資格的確定則是遵循在帶有公鑰和多個(gè)私鑰的非對(duì)稱系 統(tǒng)中生成的唯一私鑰的存在狀態(tài)的指示。根據(jù)另一個(gè)實(shí)施例�,組標(biāo)識(shí) 符也被傳送,以便從屬于其它組的消息中濾出屬于該組的消息����。秘密 信息由所述組的公鑰加密����,并且組標(biāo)識(shí)符被添加到所述消息中。這樣 就允許對(duì)消息進(jìn)行解密�����,并且能夠?qū)崿F(xiàn)若使用錯(cuò)誤密鑰則相同內(nèi)容變 為隨機(jī)的效果。該組標(biāo)識(shí)符優(yōu)選地由已從安全模塊接收該標(biāo)識(shí)符的主機(jī)設(shè)備進(jìn)行測(cè)試���。該安全消息只有在包含與安全模塊的標(biāo)識(shí)符相同的 標(biāo)識(shí)符時(shí)才被傳送至安全模塊����。
秘密信息可以采取幾種形式����。文獻(xiàn)WO0156287描述了組合信息 以獲得控制字的方法。秘密信息可以是將要與控制消息中包含的控制 字CW相組合的主控制字�,或者是用于對(duì)包含主控制字的消息進(jìn)行解 密的密鑰。
秘密信息的另一種形式是傳輸密鑰的形式��。該密鑰用于對(duì)控制消 息ECM進(jìn)行解密以及提取控制字�����。該傳輸密鑰例如可以每月更換�。
實(shí)踐中,例如在更換傳輸密鑰的過(guò)程中��,將新密鑰發(fā)送到所有安 全模塊會(huì)耗費(fèi)一定時(shí)間�����。安全模塊于是將處置兩條秘密信息, 一個(gè)是 當(dāng)前使用而另一個(gè)則準(zhǔn)備接管�����。在傳輸密鑰的情況下��,控制消息的頭 部將包含一個(gè)指示���,用來(lái)表示將要使用哪一個(gè)傳輸密鑰�����。 一個(gè)簡(jiǎn)單的 系統(tǒng)將定義偶數(shù)傳輸密鑰和奇數(shù)傳輸密鑰���。控制消息ECM將包含定 義奇偶的位���,由此確定要使用的密鑰����。
為了避免給惡意第三方留有發(fā)現(xiàn)該條秘密信息的時(shí)間���,根據(jù)發(fā)明 的一個(gè)變形做出設(shè)定以便借助釋放密鑰來(lái)對(duì)該條秘密消息進(jìn)行加密��。 該密鑰是全局的并且無(wú)需考慮安全模塊分組狀態(tài)就可使用���。因此,每 一個(gè)安全模塊將接收由其組密鑰和全局密鑰加密的消息����。還可以發(fā)送 帶有由全局密鑰加密并且還由組密鑰額外加密的釋放密鑰的釋放消
在激活例如傳輸密鑰的該條秘密信息之前不久,管理中心CG發(fā) 送包含根據(jù)上述實(shí)施例之一加密的全局密鑰的消息���。此時(shí)���,每一個(gè)模 塊都將能夠處置這條秘密信息,從而允許其處理相對(duì)應(yīng)的安全數(shù)據(jù)����。
10
權(quán)利要求
1. 一種旨在接收被廣播到多個(gè)安全模塊的安全消息的安全模塊的撤銷方法,所述安全模塊包括至少一個(gè)個(gè)人密鑰�����,該方法在撤銷之前包括以下步驟將安全模塊的集合分為至少兩個(gè)組�����;為每一個(gè)組確定包括公鑰和多個(gè)不同私鑰的非對(duì)稱密鑰;為每一個(gè)安全模塊載入一個(gè)私鑰��;為每一個(gè)組傳輸一個(gè)安全消息����,所述消息由所述組的公鑰加密;撤銷包括以下步驟除了一個(gè)或多個(gè)要被撤銷的安全模塊之外����,向與要被撤銷的安全模塊相同的組中的每一個(gè)成員發(fā)送與另一個(gè)組的公鑰相對(duì)應(yīng)的新私鑰,每一個(gè)私鑰由所述安全模塊的個(gè)人密鑰加密��。
2. 根據(jù)權(quán)利要求1所述的撤銷方法��,用于付費(fèi)電視系統(tǒng)���,其中 音頻/視頻數(shù)據(jù)流由控制字(CW)加密����,該控制字在控制消息(ECM) 中被傳送���,所述消息由傳輸密鑰加密����,其特征在于所述安全消息包含 對(duì)控制消息(ECM)進(jìn)行解密所必需的傳輸密鑰���。
3. 根據(jù)權(quán)利要求1所述的撤銷方法����,用于付費(fèi)電視系統(tǒng)���,其中 音頻/視頻數(shù)據(jù)流由控制字(CW)加密�����,該控制字在控制消息(ECM) 中被傳送��,所述消息由傳輸密鑰加密���,其特征在于所述安全消息包含 控制字(CW)的主加密密鑰。
4. 根據(jù)權(quán)利要求1所述的撤銷方法�,其特征在于所述安全消息 包含所述安全模塊的軟件的更新。
5. 根據(jù)權(quán)利要求1所述的撤銷方法��,其中所述安全模塊包含公 用密鑰���,其特征在于所述安全消息的內(nèi)容被釋放密鑰過(guò)加密��,所述釋 放密鑰被該安全模塊的公用密鑰加密并且在激活該安全消息的內(nèi)容 之前立刻被傳送���。
6. 根據(jù)權(quán)利要求1至5中任一個(gè)所述的撤銷方法��,其特征在于 除了 一個(gè)或多個(gè)要被撤銷的安全模塊之外��,撤銷組的成員被重新指定到不同的現(xiàn)有組�����。
7.根據(jù)權(quán)利要求1至5中任一個(gè)所述的撤銷方法����,其特征在于 除了 一個(gè)或多個(gè)要被撤銷的安全模塊之外�����,撤銷組的成員被重新指定 到新組����。
全文摘要
本發(fā)明的目的是提出一種防止濫用條件訪問數(shù)據(jù)的方法,尤其是防止借助其安全性已被泄密的安全模塊的克隆所進(jìn)行的濫用���。該目的是通過(guò)旨在接收被廣播到多個(gè)安全模塊的安全消息的安全模塊的撤銷方法來(lái)實(shí)現(xiàn)的�,所述安全模塊包括至少一個(gè)個(gè)人密鑰,該方法在撤銷之前包括將安全模塊的集合分為至少兩個(gè)組���;為每一個(gè)組確定包括公鑰和多個(gè)不同私鑰的非對(duì)稱密鑰��;為每一個(gè)安全模塊載入一個(gè)私鑰;為每一個(gè)組傳輸一個(gè)安全消息���,所述安全消息由所述組的公鑰加密���;撤銷步驟包括除了一個(gè)或多個(gè)要被撤銷的安全模塊之外,向與要被撤銷的安全模塊相同的組中的每一個(gè)成員發(fā)送與另一個(gè)組的公鑰相對(duì)應(yīng)的新私鑰���,每一個(gè)私鑰由所述安全模塊的個(gè)人密鑰加密����。
文檔編號(hào)H04N7/16GK101507272SQ200780030334
公開日2009年8月12日 申請(qǐng)日期2007年8月15日 優(yōu)先權(quán)日2006年8月17日
發(fā)明者P·朱諾 申請(qǐng)人:納格拉卡德股份有限公司