專利名稱：用于獲得控制字的有條件權(quán)利處理的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種在接收器中獲得控制字的方法和一種用于獲得控制字的接收器。 更具體地，本發(fā)明涉及一種在例如付費(fèi)電視系統(tǒng)的有條件訪問系統(tǒng)中的方法和接收器。
背景技術(shù)：
例如付費(fèi)電視應(yīng)用的有條件訪問應(yīng)用使用接收器來安全地處理權(quán)利和存儲(chǔ)解密密鑰。典型地，在有多個(gè)層的密鑰管理結(jié)構(gòu)中組織密鑰。每個(gè)層用于傳送較低等級(jí)層的密 鑰。密鑰被更新以控制對(duì)加密內(nèi)容的訪問。用于解密付費(fèi)電視內(nèi)容的密鑰作為控制字CW 為人所知。來自向接收器提供新密鑰值的首端(head-end)系統(tǒng)的權(quán)利消息被稱為積極權(quán) 禾|J。例如權(quán)利控制消息(ECM)的積極權(quán)利典型地被保護(hù)，并且不利地會(huì)引入顯著的帶寬開 銷。消極權(quán)利是例如權(quán)利管理消息(EMM)的權(quán)利消息，其指示接收器廢止并不再使用特定 密鑰，導(dǎo)致接收器不能解密付費(fèi)電視內(nèi)容。有條件訪問系統(tǒng)典型地使用積極權(quán)利和消極權(quán) 利的混合物。如果接收器阻止或移除消極權(quán)利，那么不利的是接收器就可以使用非授權(quán)的 密鑰來解密內(nèi)容。傳統(tǒng)上，付費(fèi)電視的實(shí)施依賴于硬件防篡改，以保護(hù)密碼密鑰的儲(chǔ)存以及確保權(quán) 利消息的未修改處理。防篡改硬件的例子是智能卡和嵌入于數(shù)字電視接收器中的安全計(jì)算 芯片裝置。芯片制造的不斷進(jìn)步和相關(guān)成本的降低使得期望付費(fèi)電視實(shí)施移除這樣的特殊 硬件部件。人們知道付費(fèi)電視方案不需要特殊的防篡改芯片。這樣的方案使用軟件防篡改來 保護(hù)數(shù)字電視接收器中的權(quán)利處理步驟和密鑰存儲(chǔ)。軟件防篡改技術(shù)被用于PC、移動(dòng)電話 和IPTV設(shè)備的DRM系統(tǒng)中。

發(fā)明內(nèi)容
本發(fā)明的目的是提供一種有條件權(quán)利處理的改進(jìn)方案，其中控制字的廢止不能被 接收器阻止并且其可被用于硬件防篡改環(huán)境和軟件防篡改環(huán)境中。根據(jù)本發(fā)明的一個(gè)方面，提出了一種用于獲得控制字的接收器中的方法。該方法 包括獲得兩個(gè)或更多個(gè)子密鑰的步驟，每個(gè)子密鑰在來自首端系統(tǒng)的子密鑰特定權(quán)利消息 中接收的權(quán)利數(shù)據(jù)的控制下。該方法還包括組合這些子密鑰以獲得控制字的步驟。根據(jù)本發(fā)明的一個(gè)方面，提出了一種用于獲得控制字的接收器。該接收器包括被 配置用于接收兩個(gè)或更多個(gè)子密鑰特定權(quán)利消息的輸入模塊。每個(gè)子密鑰特定權(quán)利消息包 括一個(gè)子密鑰的權(quán)利數(shù)據(jù)。該接收器還包括被配置用于獲得兩個(gè)或更多個(gè)子密鑰的處理 器，每個(gè)子密鑰在相應(yīng)權(quán)利數(shù)據(jù)的控制下。該處理器還被配置用于組合這些子密鑰以獲得 控制字。每個(gè)子密鑰特定權(quán)利消息包括一個(gè)特定子密鑰的權(quán)利數(shù)據(jù)?！霸跈?quán)利數(shù)據(jù)的控制 下”指的是權(quán)利數(shù)據(jù)被用于獲得子密鑰；以及依賴于權(quán)利數(shù)據(jù)的內(nèi)容，獲得的子密鑰是有效的或者是無效的。有效的子密鑰可被組合以獲得有效的控制字。無效的子密鑰導(dǎo)致控制 字變得不可獲得或?qū)е芦@得無效的控制字。權(quán)利數(shù)據(jù)例如是用于對(duì)加密的子密鑰進(jìn)行解密 的解密密鑰或用于對(duì)變換的子密鑰進(jìn)行變換的種子(或復(fù)合物(compound))。由于沒有具著直接控制控制字的有效性的權(quán)利數(shù)據(jù)的權(quán)利消息，接收器不能阻止 這樣的權(quán)利消息從而阻止控制字的廢止。代替地，對(duì)兩個(gè)或更多子密鑰(每個(gè)在在子密鑰 特定權(quán)利消息中接收的權(quán)利數(shù)據(jù)的控制下)進(jìn)行處理以獲得控制字。因此，本發(fā)明有利地 防止接收器通過阻止權(quán)利消息來阻止控制字的廢止。
獲得的控制字隨后可被用于對(duì)例如付費(fèi)電視內(nèi)容的加密的內(nèi)容進(jìn)行解密。所有權(quán)利消息可從單個(gè)首端系統(tǒng)接收。另選地，從兩個(gè)或更多個(gè)首端系統(tǒng)接收權(quán) 利消息。權(quán)利要求2和10的實(shí)施例有利地使單一接收器或一組接收器能夠廢止控制字。權(quán)利要求3和11的實(shí)施例有利地使單一接收器或一組接收器能夠更高效地廢止 控制字。權(quán)利要求4和12的實(shí)施例有利地在使用硬件防篡改的接收器中實(shí)現(xiàn)了本發(fā)明。權(quán)利要求5和13的實(shí)施例有利地不僅針對(duì)控制字而且針對(duì)在獲得子密鑰的處理 中使用的解密密鑰實(shí)現(xiàn)了本發(fā)明。權(quán)利要求6和14的實(shí)施例有利地在使用軟件防篡改的接收器中實(shí)現(xiàn)了本發(fā)明。權(quán)利要求7和15的實(shí)施例有利地不僅針對(duì)控制字而且針對(duì)在獲得子密鑰的處理 中使用的種子實(shí)現(xiàn)了本發(fā)明。權(quán)利要求8和16的實(shí)施例有利地實(shí)現(xiàn)了與現(xiàn)有的解密和內(nèi)容解碼芯片組的兼容性。在下文中，將更詳細(xì)地描述本發(fā)明的實(shí)施例。但是，應(yīng)該理解，這些實(shí)施例不應(yīng)被 解釋為對(duì)本發(fā)明的保護(hù)范圍的限制。


將通過參照在附圖中示出的示例性實(shí)施例更加詳細(xì)地解釋本發(fā)明的各方面，在附 圖中圖1示出了現(xiàn)有技術(shù)付費(fèi)電視應(yīng)用的芯片組及其硬件功能；圖2A示出了用于本發(fā)明的示例性實(shí)施例的軟件防篡改方案的應(yīng)用基元 (primitive)的框圖；圖2B示出了用于本發(fā)明的示例性實(shí)施例的軟件防篡改方案的移除基元的框圖；圖2C示出了用于本發(fā)明的示例性實(shí)施例的軟件防篡改方案的條件基元的框圖；圖2D示出了用于本發(fā)明的示例性實(shí)施例的軟件防篡改方案的移除基元和應(yīng)用基 元的組合的框圖；圖2E示出了用于本發(fā)明的示例性實(shí)施例的軟件防篡改方案的復(fù)合物的安全相關(guān) 性的框圖；圖3示出了使用積極權(quán)利的接收器中的有條件訪問密鑰處理；圖4示出了本發(fā)明的示例性實(shí)施例的分離CW密鑰傳送處理；圖5示出了本發(fā)明的示例性實(shí)施例的分離CW密鑰傳送處理；
圖6示出了本發(fā)明的示例性實(shí)施例的分離CW密鑰傳送處理；圖7示出了本發(fā)明的示例性實(shí)施例的使用分離密鑰傳送的接收器中的有條件訪 問密鑰處理；圖8示出了本發(fā)明的示例性實(shí)施例的在接收器中獲得控制字的方法的步驟；圖9出了本發(fā)明的示例性實(shí)施例的在接收器中獲得控制字的方法的步驟；圖10示出了本發(fā)明的示例性實(shí)施例的在基于硬件防篡改技術(shù)的接收器中獲得控 制字的方法的步驟；圖11示出了本發(fā)明的示例性實(shí)施例的在基于軟件防篡改技術(shù)的接收器中獲得控 制字的方法的步驟；以及圖12示出了一般地闡明變換函數(shù)和加密的圖。
具體實(shí)施例方式使用采用付費(fèi)電視應(yīng)用的有條件訪問系統(tǒng)依賴于內(nèi)容數(shù)據(jù)流的加密。接收器(也被稱為機(jī)頂盒或STB)需要相關(guān)的密鑰以在解碼前解密流。首端系統(tǒng)中的密鑰管理系統(tǒng)管 理并控制在接收器中對(duì)加密的內(nèi)容的訪問。在當(dāng)前的半導(dǎo)體芯片裝置中，內(nèi)容流的批量解 密是在專門的硬件線路中執(zhí)行的。另外，這樣的芯片可以包含有著特定密鑰管理工具的標(biāo) 準(zhǔn)對(duì)稱加密電路。圖1示出了與付費(fèi)電視應(yīng)用相關(guān)的現(xiàn)有技術(shù)芯片組及其硬件功能的例子。該芯片 的硬件解密塊100包含下列密鑰的記憶存儲(chǔ)芯片組會(huì)話密鑰CSSK、芯片組序列號(hào)(也被 熟知為公開芯片標(biāo)識(shí)符)CSSN、芯片組唯一密鑰CSUK和控制字CW。CSSN和CSUK通常在制 造過程中被存儲(chǔ)在一次可編程存儲(chǔ)器中。其值在初始編程步驟后無法修改。芯片制造商在 每個(gè)芯片中燒制唯一的CSSN和CSUK。CSSN和CSUK由付費(fèi)電視供應(yīng)商產(chǎn)生。CSSN可從外 部訪問，但CSUK僅供在裝置內(nèi)使用。CSSK以加密形式{CSSK}cslK被裝載到芯片組中。芯片 組用CSM解密加密的CSSK并為在解密硬件中進(jìn)一步使用而將其存儲(chǔ)起來。{CSSK}。suk被 存儲(chǔ)于STB的非易失性存儲(chǔ)器中。在上電時(shí)，STB取回{CSSK}csuk數(shù)據(jù)以將CSSK裝載到芯 片中。CSSK被用于以加密的形式{CW}。SSK裝載控制字(CW)。芯片用CSSK對(duì)數(shù)據(jù)解擾，并存 儲(chǔ)CW以在內(nèi)容解碼模塊中對(duì)被保護(hù)內(nèi)容流進(jìn)行解擾時(shí)使用。每個(gè)STB使用唯一的CSSK以 防止批量解擾密鑰(即控制字)在因特網(wǎng)或任何其他通信基礎(chǔ)結(jié)構(gòu)上的共享。密鑰管理基礎(chǔ)結(jié)構(gòu)和防篡改基元被設(shè)計(jì)為將一個(gè)共同的CW裝載到批量數(shù)據(jù)流解 擾器(例如TDES、DVB-CSA或AES)中，但是將對(duì)CW的訪問僅限制為授權(quán)的設(shè)備。軟件防篡改技術(shù)使用基本基元來模糊軟件代碼變換。本發(fā)明的軟件防篡改方案使 用三個(gè)基本基元“應(yīng)用(Apply) ”、“移除(Remove) ”和“條件(Condition) ”。圖2A、圖2B 和圖2C分別示出了應(yīng)用基元A、移除基元R和條件基元C的框圖。符號(hào)A(D，S) =As(D)= Dts描述了根據(jù)參數(shù)“種子” S變換數(shù)據(jù)元素D的“應(yīng)用”步驟。符號(hào)R(DTS，S) = Rs(Dts)= D描述了基于“種子” S逆轉(zhuǎn)對(duì)數(shù)據(jù)元素D的變換的“移除”步驟。種子需要對(duì)于兩個(gè)函數(shù) AO和RO相同，以使其相互變?yōu)槟婧瘮?shù)。通過應(yīng)用和移除步驟處理的數(shù)據(jù)D和Dts具有相 同的大小(字節(jié)數(shù))。第三基元C(DnD2) =Cdi(D2) =Des是有條件的變換，其中，輸出是兩 個(gè)輸入的相關(guān)。再一次，基元保留了輸入數(shù)據(jù)的大小。軟件防篡改基元的另一個(gè)元素是種子S是由多個(gè)輸入?yún)?shù)的混合物構(gòu)成的。這使得難以從輸入數(shù)據(jù)中提取各個(gè)數(shù)據(jù)元素。參數(shù)混合函數(shù)被表示為f(A，B) =<A，B>。函 數(shù)的結(jié)果<A，B>被稱為A和B的“復(fù)合物”。該復(fù)合物的大小(字節(jié))大于輸入?yún)?shù)A和B 的組合大小?；杀唤M合以提供實(shí)現(xiàn)有條件訪問系統(tǒng)所需的密鑰管理功能的基本步驟。該組 合產(chǎn)生新的操作且各個(gè)步驟在新的功能塊內(nèi)不再是可見的。有兩個(gè)用于密鑰管理的實(shí)例 移除基元和應(yīng)用基元的組合以及復(fù)合物的安全相關(guān)。圖2D示出了移除基元和應(yīng)用基元的組合的實(shí)例。該變換將復(fù)合物<P，S>用于組 合的移除和應(yīng)用操作。RpAs塊通過將使用種子P的變換替換為使用種子S的變換來修改數(shù) 據(jù)(Data)。應(yīng)注意的是，該塊的所有接口或者被變換或者是復(fù)合物。這意味著在被變換的 數(shù)據(jù)上發(fā)生操作且產(chǎn)生了被變換的數(shù)據(jù)。因此，該函數(shù)在被變換的域空間發(fā)生，且在任一接 口上沒有揭示“明文”版本的參數(shù)。被用于產(chǎn)生復(fù)合物<P，S>的函數(shù)是唯一的并與組合的 應(yīng)用和移除操作的實(shí)現(xiàn)有聯(lián)系。圖2E示出了復(fù)合物的安全相關(guān)的實(shí)例。其被用于有條件權(quán)利處理并且是所有三 個(gè)基本基元的組合。條件塊與移除和應(yīng)用塊RpAs組合以執(zhí)行復(fù)合物的安全相關(guān)。應(yīng)用和移除基元的主要效果是其實(shí)現(xiàn)了使用被變換的參數(shù)對(duì)被變換的數(shù)據(jù)的操 作。因此，對(duì)輸入的監(jiān)視將不會(huì)揭示任何有用的信息。軟件防篡改基元的實(shí)現(xiàn)使得非常難 獲得相關(guān)數(shù)據(jù)的實(shí)際值。在傳統(tǒng)的有條件訪問處理中，使用明文密鑰處理權(quán)利，并且結(jié)果產(chǎn) 生另一個(gè)明文密鑰。該明文密鑰被以明文形式存儲(chǔ)在智能卡的非易失性存儲(chǔ)器中，該存儲(chǔ) 器是硬件防篡改的。在軟件防篡改方法中，密鑰被以“復(fù)合物”的形式存儲(chǔ)且權(quán)利處理產(chǎn)生 另一個(gè)權(quán)利(被變換的密鑰的形式)。內(nèi)容接收器硬件提供一種安全機(jī)制以將系統(tǒng)范圍的CW裝載到用于將被保護(hù)的內(nèi) 容流轉(zhuǎn)換為解碼格式的芯片中。這樣的機(jī)制的一個(gè)例子已利用圖1中進(jìn)行了討論。加密形 式對(duì)于每個(gè)接收器是唯一的。需要秘密CSSK(或者CSUK)以將CW裝載到接收器/芯片中。 權(quán)利處理包括用使用軟件防篡改基元利用本地CSSK來加密CW。由于基本基元之間的接口 能被攻擊者容易地監(jiān)視，這些通信路徑應(yīng)是安全的。這是通過使用“應(yīng)用，，和“移除”操作 的變換步驟實(shí)現(xiàn)的。這些接口只攜帶保護(hù)包含于其中的信息的復(fù)合物。圖3示出了使用積極權(quán)利的接收器中的基本有條件訪問密鑰處理的圖。在該例子 中，基本有條件訪問處理被分割為兩個(gè)基本部分安全計(jì)算環(huán)境和通用處理環(huán)境。通用處理 環(huán)境針對(duì)外部接口，諸如存儲(chǔ)器、數(shù)據(jù)通信和用戶交互。安全計(jì)算環(huán)境針對(duì)密鑰和成種子的 處理。處理由一個(gè)或多個(gè)處理器(未示出)執(zhí)行。ECM傳送路徑用于接收來自首端系統(tǒng)的 權(quán)利控制消息(ECM)。ECM包括加密的或被變換的CW。EMM傳送路徑用于接收來自首端系統(tǒng) 的權(quán)利管理消息(EMM)。EMM包括用于解密或變換被加密或變換的CW的密鑰或種子。ECM 傳送路徑和EMM傳送路徑通常實(shí)現(xiàn)在用于接收ECM和EMM的輸入模塊中。軟件防篡改基元 具有對(duì)攻擊者無用的輸入和輸出。在圖3的例子中，使用兩層的密鑰層級(jí)結(jié)構(gòu)。在被變換 的控制字CWDgp上的“移除”操作需要在一復(fù)合物中與Gl結(jié)合地分發(fā)的P。進(jìn)而，Gl在一復(fù) 合物中與Ul結(jié)合地分發(fā)。在兩個(gè)移除/應(yīng)用操作后，最后的步驟是在TDES加密白盒模塊 中使用例如芯片組會(huì)話密鑰CSSK的接收器特定密鑰來加密被變換的控制字CWDTU。CSSK通 常在權(quán)利消息之一中提供。由此獲得的加密控制字{CW}。SSK可以使用例如圖1的接收器硬 件芯片的解密算法進(jìn)行解密。
圖3的處理可被修改以創(chuàng)建多個(gè)密鑰層。最簡(jiǎn)單的形式只使用單個(gè)層，其中所有P值在一個(gè)混合物中與U結(jié)合地分發(fā)(因此沒有任何G)。圖3給出了有著兩層的情況。這 增加了第二組密鑰層，這使得可以在一個(gè)G下組合多個(gè)U。這減少了分發(fā)對(duì)P的更新所需 的帶寬。另外的密鑰等級(jí)需要相應(yīng)的移除增加階段。兩個(gè)(或更多個(gè))密鑰層的主要好處 是與單層密鑰層級(jí)結(jié)構(gòu)相比，減少了向授權(quán)接收器分發(fā)密鑰所需要的帶寬。在硬件和軟件防篡改方案兩者中，密鑰層級(jí)結(jié)構(gòu)中的一個(gè)重要問題在用戶停止訂 閱且相應(yīng)的接收器需要被禁用時(shí)發(fā)生。在圖3的兩層密鑰層級(jí)結(jié)構(gòu)中，這涉及從接收器移 除G信息。一種選擇是向被禁用的接收器發(fā)送一個(gè)新的復(fù)合物<G，U>。由于新復(fù)合物的傳 送是不確定的(例如接收器可被關(guān)閉)，所以更新消息需要被重復(fù)。然而，如果攻擊者能夠 影響通用處理環(huán)境，擇這些更新消息可能被阻止，這將導(dǎo)致接收器繼續(xù)解擾被終止的訂閱。 為了反擊這樣的攻擊，需要改變G的實(shí)際值并向具有有效訂閱的組中的所有接收器分發(fā)新 的<G，U>值。這在一個(gè)組成員的用戶狀態(tài)改變后潛在要求潛在的大數(shù)量的對(duì)所有剩余組成 員的更新。由于消息傳送是不確定的，組密鑰更新消息需要被重復(fù)。更新消息抽泣需要快 到足以允許長(zhǎng)期未連接到有條件訪問流的接收器快速接收所有必要的更新。顯然，對(duì)于這 種類型的權(quán)利處理，存在顯著的帶寬問題。一種高效的處理停止的成員資格的機(jī)制是消極權(quán)利消息。這是通知接收器停止使 用特定密鑰的消息。顯然，可以阻止這樣的消極權(quán)利的接收或從存儲(chǔ)器中將其移除。即使權(quán) 利未被修改，權(quán)利處理也可能被禁用。因此，系統(tǒng)需要增強(qiáng)消極權(quán)利的接收和適當(dāng)?shù)奶幚?。在本發(fā)明中，通過將較低等級(jí)密鑰分為兩個(gè)或更多個(gè)子密鑰來處理。這些子密鑰 需要在密鑰層級(jí)結(jié)構(gòu)中使用前在接收器中被組合。此外，可以將其它等級(jí)的密鑰分為兩個(gè) 或更多個(gè)子密鑰，這些密鑰需要在接收器中組合。圖4示出了被分為兩個(gè)子密鑰CWl和CW2的最低等級(jí)CW密鑰的分離密鑰傳送的 示例。圖4的密鑰層級(jí)結(jié)構(gòu)示出了 “CW1”子密鑰在“P”的保護(hù)下被分發(fā)?！癈W2”子密鑰在 “G”的保護(hù)下被分發(fā)。“P”和“G”是硬件防篡改實(shí)現(xiàn)情況下的密鑰或軟件防篡改實(shí)現(xiàn)情況 下的種子?？梢允褂谩癠”等級(jí)代替“G”等級(jí)來分發(fā)CW2子密鑰。由于為了計(jì)算“CW”需要 Cffl和CW2子密鑰兩者，兩個(gè)并行的處理序列產(chǎn)生CWl和CW2子密鑰。當(dāng)使用消極權(quán)利消息 來控制“CW2”子密鑰的獲取時(shí)，“CW2”子密鑰與一個(gè)組成員資格向量組合并在“G”下被分 發(fā)。在接收器中，“G”被與成員資格號(hào)組合地存儲(chǔ)。在處理消極權(quán)利期間，成員資格號(hào)被用 于驗(yàn)證成員資格向量中的成員資格。成員資格檢查的結(jié)果與CW2合并輸出。接著，通過組 合Cffl禾口 CW2獲得CW。圖5示出了被分為三個(gè)子密鑰CWl、CW2和CW3的最低等級(jí)CW密鑰的分離密鑰傳 送的示例。圖5的密鑰層級(jí)結(jié)構(gòu)示出了 “CW1”密鑰在“P”的保護(hù)下被分發(fā)?！癈W2”密鑰在 “G”的保護(hù)下被分發(fā)?！癈W3”密鑰在“U”的保護(hù)下被分發(fā)?！癙”、“G”和“U”是硬件防篡改 實(shí)現(xiàn)情況下的密鑰或軟件防篡改實(shí)現(xiàn)情況下的種子。由于為了計(jì)算“CW”密鑰需要全部的 CffUCW2和CW3，三個(gè)并行的處理序列產(chǎn)生CW1、CW2和CW3子密鑰。當(dāng)使用消極權(quán)利消息來 控制“CW2”子密鑰的獲取時(shí)，“CW2”子密鑰被與一個(gè)組成員資格向量組合并在“G”下被分 發(fā)。在接收器中，“G”與成員資格號(hào)組合地存儲(chǔ)。在處理消極權(quán)利期間，成員資格號(hào)被用于 驗(yàn)證成員資格向量中的成員資格。成員資格檢查的結(jié)果與CW2合并輸出。類似地，用“U” 驗(yàn)證組成員資格，“U”有效地驗(yàn)證在一個(gè)大于由在“G”下的組成員資格向量定義的組的組中的成員資格。接著，通過組合CW1、CW2和CW3獲得CW。圖6示出了被分為兩個(gè)子密鑰CWl和CW2的最低等級(jí)CW密鑰的分離密鑰傳送的 示例。此外，“P”被分為兩個(gè)子部分Pl和P2。子部分Pl和P2是硬件防篡改實(shí)現(xiàn)情況下的 子密鑰或軟件防篡改實(shí)現(xiàn)情況下的子種子。由于為了計(jì)算“P”需要Pl和P2兩者，兩個(gè)并 行的處理序列產(chǎn)生Pl和P2子部分?！癙1”子部分在“G”的保護(hù)下被分發(fā)。“P2”子部分在 “U”的保護(hù)下被分發(fā)。“P”、“G”和“U”是硬件防篡改實(shí)現(xiàn)情況下的密鑰或軟件防篡改實(shí)現(xiàn) 情況下的種子。當(dāng)使用消極權(quán)利消息來控制“P2”子部分的獲取時(shí)，“P2”子部分被與一個(gè) 組成員資格向量組合并在“U”下被分發(fā)。在接收器中，“U”與成員資格號(hào)組合地存儲(chǔ)。在 處理消極權(quán)利期間，成員資格號(hào)被用于驗(yàn)證成員資格向量中的成員資格。成員資格檢查的 結(jié)果與P2合并輸出。接著，通過組合Pl和P2獲得“P”。“CW2”密鑰在“P”的保護(hù)下被分 發(fā)。“CW1”密鑰在“G”的保護(hù)下被分發(fā)。由于為了計(jì)算“CW”密鑰需要CWl和CW2兩者，兩 個(gè)并行的處理序列產(chǎn)生CWl和CW2子密鑰。當(dāng)使用消極權(quán)利消息來控制“CW1”子密鑰的獲 取時(shí)，"Cffl，，子密鑰與一個(gè)組成員資格向量組合并在“G”下被分發(fā)。在接收器中，“G”與成 員資格號(hào)組合地存儲(chǔ)。在處理消極權(quán)利期間，成員資格號(hào)被用于驗(yàn)證成員資格向量中的成 員資格。成員資格檢查的結(jié)果被與CW2合并輸出。接著，通過組合CWl和CW2獲得“CW”密 鑰。代替組成員資格向量，任何其它組成員資格數(shù)據(jù)可被用于指示接收器在一個(gè)組中 的成員資格。已付費(fèi)的訂閱例如可導(dǎo)致組成員資格。組成員資格數(shù)據(jù)有效地指示密鑰或種 子是否將被接收器廢止。組成員資格數(shù)據(jù)通常由首端系統(tǒng)管理。在組合子密鑰后獲得的“CW”密鑰可以是加密形式的并且需要在隨后的解密處理 中被解密。本發(fā)明不局限于所提供的例子。分離密鑰處理可被用在層級(jí)結(jié)構(gòu)的任何層中，并 且一個(gè)或多個(gè)密鑰或種子可被分為任意數(shù)量的子部分。典型地，至少兩個(gè)并行計(jì)算序列被 使用一個(gè)用于在積極權(quán)利中分發(fā)的密鑰/種子的第一子部分；一個(gè)用于在消極權(quán)利中分 發(fā)的密鑰/種子的第二子部分。消極權(quán)利通常包含傳達(dá)當(dāng)前組成員資格狀態(tài)的成員資格表。這是針對(duì)所有組成 員(S卩，組中的所有接收器)的共享消息。對(duì)于大小為N的組，這總計(jì)為N比特的二元陣 列。接收器使用唯一的組成員資格號(hào)作為對(duì)成員資格陣列的索引以獲得當(dāng)前成員資格狀 態(tài)。因此，成員資格檢測(cè)包括向每個(gè)成員給予唯一的號(hào)并單獨(dú)地分發(fā)具有成員資格表的消 極權(quán)利。
圖7中示出了接收器中的有條件訪問密鑰處理的例子，其中CW被分為子密鑰且成 員資格檢查被耦合到權(quán)利處理。兩級(jí)密鑰層級(jí)結(jié)構(gòu)類似于在圖3的例子中描述的結(jié)構(gòu)。另 夕卜，有條件權(quán)利處理使用安全相關(guān)實(shí)例來執(zhí)行組成員資格檢查。相關(guān)階段的結(jié)果是控制字 差別密鑰CWDK的計(jì)算。為了計(jì)算CW，需要CWDK子密鑰和CWD子密鑰兩者。CW是在TDES 加密白盒中通常通過將CWDK值與CWD值相加而計(jì)算的。依賴于實(shí)現(xiàn)方式，其它計(jì)算可被用 于從CWDK和CWD計(jì)算CW，例如將CWDK和CWD相乘，從CWD中減去CWDK，或?qū)WDK和CWD 應(yīng)用任何預(yù)定函數(shù)。TDES加密白盒用本地CSSK加密CW。另外的計(jì)算只需要在對(duì)CWDK復(fù) 合物<CWDKTG2，vector)的EMM更新之后執(zhí)行，盡管更頻繁的重新計(jì)算可能發(fā)生。當(dāng)成員資 格沒有變化時(shí)，復(fù)合物可保持不變。對(duì)于尚未接收到該復(fù)合物的最新版本的接收器，可能需要進(jìn)一步的重復(fù)。CWDK復(fù)合物對(duì)組中的所有成員都是相同的。針對(duì)接收器的唯一元素是成 員資格組號(hào)‘n’，其可保持不變。有條件處理因此實(shí)現(xiàn)了較低的有條件訪問數(shù)據(jù)帶寬，因?yàn)?CffDK復(fù)合物是管理組成員資格的高效方法。所提供的例子描述了基于軟件防篡改技術(shù)的有條件訪問系統(tǒng)。本發(fā)明不僅局限于 軟件防篡改環(huán)境且也可被用于硬件防篡改環(huán)境。本發(fā)明可被用于對(duì)較低值內(nèi)容使用軟件權(quán) 利處理并且對(duì)于高值內(nèi)容使用基于權(quán)利處理的智能卡的混合型有條件訪問接收器。權(quán)利消息通常從一個(gè)首端系統(tǒng)發(fā)送到接收器。權(quán)利消息可以從兩個(gè)或更多個(gè)首端 系統(tǒng)發(fā)送。在后一情況下，在所有首端系統(tǒng)的控制下獲取有效CW，使得每個(gè)首端系統(tǒng)能夠通 過不發(fā)送需要的權(quán)利數(shù)據(jù)，發(fā)送無效的權(quán)利數(shù)據(jù)或發(fā)送反映CW的廢止的組成員資格數(shù)據(jù) 來廢止CW。圖8示出了能夠由如上所述的接收器執(zhí)行的用于獲取控制字CW的方法的步驟。在 步驟1，獲得兩個(gè)或更多個(gè)子密鑰，例如CWl和CW2。每個(gè)子密鑰在從首端系統(tǒng)接收到的一 個(gè)權(quán)利消息的控制之下。在步驟2，將子密鑰CWl和CW2組合以獲得控制字CW。圖9示出了能夠由如上所述的接收器執(zhí)行的用于獲取控制字的方法的步驟。除了 針對(duì)圖8描述的步驟外，在步驟3，對(duì)在圖7中通過“vector”表示的組成員資格數(shù)據(jù)進(jìn)行 處理，以確定對(duì)于接收器是否要廢止控制字CW。如果控制字CW要被廢止，在消極權(quán)利消息 的控制下的子密鑰例如為圖7中的CWDK，在步驟2A中禁止子密鑰CWDK的獲取或在步驟2B 中獲得無效的子密鑰CWDK。圖10示出了能夠由如上所述的基于硬件防篡改技術(shù)的接收器執(zhí)行的用于獲取控 制字的方法的步驟。在步驟10，兩個(gè)或更多個(gè)子密鑰被接收，每個(gè)都在各自的解密密鑰下 (例如在“P”密鑰、“G”密鑰和“U”密鑰下)被加密。在步驟11，使用各自的解密密鑰P、 G和U對(duì)加密的子密鑰進(jìn)行解密。接著，將這樣獲得的子密鑰在步驟2組合以獲得控制字 CW?？蛇x地，將獲得的控制字在例如CSSK的接收器唯一密鑰下加密。加密可在如圖7所示 的TDES加密白盒中執(zhí)行。在此情況下，可執(zhí)行步驟30以獲得接收器唯一密鑰(CSSK)并且 可執(zhí)行步驟31以使用CSSK密鑰解密控制字{CW}CSSK。步驟30和31例如由圖1的芯片組 執(zhí)行。圖10中的虛線指示這些步驟是可選的。圖11示出了能夠由如上所述的基于軟件防篡改技術(shù)的接收器執(zhí)行的用于獲取控 制字的方法的步驟。在步驟20，兩個(gè)或更多個(gè)變換的子密鑰被接收。在步驟21，使用在對(duì) 每個(gè)子密鑰的權(quán)利消息中接收的種子對(duì)變換的子密鑰進(jìn)行變換。在例如三個(gè)接收的子密鑰 CW1、CW2和CW3的情況下，種子P、G和U可分別被用于變換各個(gè)子密鑰。接著，把這樣獲得 的子密鑰在步驟2組合以獲得控制字CW。如利用圖7解釋的，可執(zhí)行幾個(gè)變換步驟以獲得 子密鑰。此外，組合步驟2通常是在與執(zhí)行最后一個(gè)變換步驟的塊相同的塊中執(zhí)行的，以避 免在塊之間傳輸明文的CW。這個(gè)塊是例如圖7所示的TDES加密白盒模塊?？蛇x地，將獲得 的控制字在例如CSSK的接收器唯一密鑰下加密。加密可在TDES加密白盒中執(zhí)行。在此情 況下，可執(zhí)行步驟30以獲得接收器唯一密鑰(CSSK)并且可執(zhí)行步驟31以使用CSSK密鑰 解密控制字{CW}CSSK。步驟30和31例如由圖1的芯片組執(zhí)行。圖10中的虛線指示這些步 驟是可選的。參考圖12 —般性地闡明變換函數(shù)和加密的概念。假設(shè)，在非變換的數(shù)據(jù)空間中存在具有多個(gè)數(shù)據(jù)元素的輸入域ID。使用某密鑰的加密函數(shù)E被定義并被配置為接收輸入域ID的數(shù)據(jù)元素作為輸入，以在輸出域OD中傳送相應(yīng)的加密的數(shù)據(jù)元素。通過應(yīng)用解密函數(shù)D，可通過對(duì)輸出域OD的數(shù)據(jù)元素應(yīng)用解密函 數(shù)D而獲得輸入域ID的原始數(shù)據(jù)元素。在非安全環(huán)境中，假定對(duì)手能夠控制輸入和輸出數(shù)據(jù)元素以及加密函數(shù)E的實(shí)現(xiàn) 的操作，以發(fā)現(xiàn)嵌入于實(shí)現(xiàn)中的機(jī)密信息(例如密鑰)。在這樣的非安全環(huán)境中，通過將變換函數(shù)應(yīng)用于輸入域ID和輸出域0D，即變換函 數(shù)是輸入和輸出操作，獲得額外的安全性。變換函數(shù)Tl將來自輸入域ID的數(shù)據(jù)元素映射 到變換的數(shù)據(jù)空間的變換的輸入域ID’的變換的數(shù)據(jù)元素。類似地，變換函數(shù)T2將來自輸 出域OD的數(shù)據(jù)元素映射到變換的輸出域0D’。變換的加密和解密函數(shù)E’和D’現(xiàn)在可在 ID’和0D，之間用變換的密鑰定義。Tl和T2是雙射的。與加密技術(shù)一起使用變換函數(shù)Tl和T2意味著，代替將輸入域ID的數(shù)據(jù)元素輸入 到加密函數(shù)E來獲得輸出域OD的加密的數(shù)據(jù)元素，通過應(yīng)用變換函數(shù)Tl將域ID’的變換 的數(shù)據(jù)元素輸入到變換的加密函數(shù)E’。變換的加密函數(shù)E’在加密操作中組合逆變換函數(shù) ΤΓ1和/或T2—1以保護(hù)機(jī)密信息，例如密鑰。然后，獲得域0D’的變換的加密數(shù)據(jù)元素。通 過在安全部分中執(zhí)行Tl和/或T2，用于加密函數(shù)E或解密函數(shù)D的密鑰既無法當(dāng)在變換數(shù) 據(jù)空間中分析輸入數(shù)據(jù)和輸出數(shù)據(jù)時(shí)被取回，也無法當(dāng)分析E’和/或D’的白盒實(shí)現(xiàn)時(shí)被 取回。變換函數(shù)Tl和T2之一應(yīng)該是非平凡函數(shù)。在Tl是平凡函數(shù)的情況下，輸入域ID 和ID’是同一個(gè)域。在T2是平凡函數(shù)的情況下，輸出域是同一個(gè)域。
權(quán)利要求
一種在接收器中獲得控制字(CW)的方法，該方法包括如下步驟獲得(1)兩個(gè)或更多個(gè)子密鑰(CW1、CW2、CW3)，每個(gè)所述子密鑰在來自首端系統(tǒng)的子密鑰特定權(quán)利消息中接收的權(quán)利數(shù)據(jù)的控制下；組合(2)所述子密鑰(CW1、CW2、CW3)以獲得控制字(CW)。
2.如權(quán)利要求1所述的方法，其中至少一個(gè)所述子密鑰特定權(quán)利消息是積極權(quán)利消 息，并且其中至少一個(gè)所述子密鑰特定權(quán)利消息是消極權(quán)利消息。
3.如權(quán)利要求2所述的方法，其中消極權(quán)利消息包括針對(duì)一個(gè)或多個(gè)接收器指示控制 字(CW)是否要被廢止的組成員資格數(shù)據(jù)，所述方法還包括如下步驟處理(3)所述組成員資格數(shù)據(jù)以針對(duì)接收器確定控制字(CW)是否要被廢止；以及如果控制字(CW)要被廢止，則對(duì)于在消極權(quán)利消息的控制下的子密鑰，禁止(2A)獲得 該子密鑰，或者獲得(2B) —個(gè)無效的子密鑰。
4.如權(quán)利要求1至3中任一項(xiàng)所述的方法，其中所述接收器包括硬件防篡改技術(shù)，并 且其中所述權(quán)利數(shù)據(jù)包括解密密鑰(P，G，U)，所述方法還包括接收(10)兩個(gè)或更多個(gè)加密 的子密鑰的步驟，每個(gè)加密的子密鑰是在對(duì)應(yīng)的解密密鑰(P，G，U)下加密的，并且其中獲 得(1)兩個(gè)或更多個(gè)子密鑰(CWl、Cff2, CW3)的步驟包括使用對(duì)應(yīng)的解密密鑰(P，G，U)對(duì) 加密的子密鑰進(jìn)行解密(11)的步驟。
5.如權(quán)利要求4所述的方法，其中通過組合兩個(gè)或更多個(gè)解密子密鑰(P1，P2)獲得所 述解密密鑰(P，G，U)中的一個(gè)或多個(gè)，每個(gè)解密子密鑰是在解密子密鑰特定權(quán)利消息中接 收的其它權(quán)利數(shù)據(jù)的控制下獲得的。
6.如權(quán)利要求1至3中任一項(xiàng)所述的方法，其中所述接收器包括軟件防篡改技術(shù)，并且 其中每個(gè)權(quán)利消息包括種子(P，G，U)，所述方法還包括接收(20)兩個(gè)或更多個(gè)變換的子密 鑰的步驟，并且其中獲得(1)兩個(gè)或更多個(gè)子密鑰(CW1、CW2、CW3)的步驟包括使用對(duì)應(yīng)的 種子(P，G，U)對(duì)變換的子密鑰進(jìn)行變換(21)的步驟。
7.如權(quán)利要求6所述的方法，其中通過組合兩個(gè)或更多個(gè)子種子(P1，P2)獲得所述種 子(P，G，U)中的一個(gè)或多個(gè)，每個(gè)子種子是在子種子特定權(quán)利消息中接收的其它權(quán)利數(shù)據(jù) 的控制下獲得的。
8.如在前權(quán)利要求中任一項(xiàng)所述的方法，其中獲得的控制字(CW)在接收器唯一密鑰 (CSSK)下被加密，并且所述方法還包括獲得(30)接收器唯一密鑰(CSSK)并使用該接收器 唯一密鑰(CSSK)來解密(31)獲得的控制字(CW)的步驟。
9.一種用于獲得控制字(CW)的接收器，包括輸入模塊(ECM/EMM傳送路徑)，被配置用于接收兩個(gè)或更多個(gè)子密鑰特定權(quán)利消息， 每個(gè)所述子密鑰特定權(quán)利消息包括用于一個(gè)子密鑰的權(quán)利數(shù)據(jù)；以及處理器，被配置用來獲得每個(gè)均在對(duì)應(yīng)的權(quán)利數(shù)據(jù)的控制下的兩個(gè)或更多個(gè)子密鑰 (CWD，CWDK)，該處理器還被配置用來組合所述子密鑰(CWD，CWDK)以獲得控制字(CW)。
10.如權(quán)利要求9所述的接收器，其中至少一個(gè)所述子密鑰特定權(quán)利消息是積極權(quán)利 消息，并且其中至少一個(gè)所述子密鑰特定權(quán)利消息是消極權(quán)利消息。
11.如權(quán)利要求10所述的接收器，其中消極權(quán)利消息包括針對(duì)一個(gè)或多個(gè)接收器指示 控制字(CW)是否要被廢止的組成員資格數(shù)據(jù)(vector)，其中所述處理器還被配置用來處 理所述組成員資格數(shù)據(jù)(vector)以針對(duì)接收器確定控制字(CW)是否要被廢止，并且其中所述處理器還被配置用來阻止獲得所述子密鑰(CWD，CffDK)或者用來獲得一個(gè)無效的子密 鑰(CWD，CffDK)。
12.如權(quán)利要求9至11中任一項(xiàng)所述的接收器，包括硬件防篡改技術(shù)，其中權(quán)利數(shù)據(jù)包 括解密密鑰(P，G，U)，其中輸入模塊(ECM/EMM傳送路徑)還被配置用來接收兩個(gè)或更多個(gè) 加密的子密鑰，每個(gè)加密的子密鑰是在對(duì)應(yīng)的解密密鑰(P，G，U)下加密的，并且其中所述 處理器被配置用來通過使用對(duì)應(yīng)的解密密鑰(P，G，U)對(duì)加密的子密鑰進(jìn)行解密而獲得所 述兩個(gè)或更多個(gè)子密鑰(CW1、CW2、CW3)。
13.如權(quán)利要求12所述的接收器，其中所述處理器還被配置用來通過組合兩個(gè)或更多 個(gè)解密子密鑰(P1，P2)而獲得所述解密密鑰(P，G，U)中的一個(gè)或多個(gè)，每個(gè)解密子密鑰是 在解密子密鑰特定權(quán)利消息中接收的其它權(quán)利數(shù)據(jù)的控制下獲得的。
14.如權(quán)利要求9至11中任一項(xiàng)所述的接收器，包括軟件防篡改技術(shù)，其中每個(gè)權(quán)利消 息包括種子(P，G，U)，其中輸入模塊(ECM/EMM傳送路徑)還被配置用來接收兩個(gè)或更多個(gè) 變換的子密鑰，并且其中所述處理器被配置用來通過使用對(duì)應(yīng)的種子(P，G，U)對(duì)變換的子 密鑰進(jìn)行變換而獲得所述兩個(gè)或更多個(gè)子密鑰(CW1、CW2、CW3)。
15.如權(quán)利要求14所述的接收器，其中接收器還被配置用來通過組合兩個(gè)或更多個(gè)子 種子(P1，P2)而獲得所述種子(P，G，U)中的一個(gè)或多個(gè)，每個(gè)子種子是在子種子特定權(quán)利 消息中接收的其它權(quán)利數(shù)據(jù)的控制下獲得的。
16.如權(quán)利要求9至15中任一項(xiàng)所述的接收器，其中處理器還被配置用來獲得作為在 接收器唯一密鑰(CSSK)下被加密的加密的控制字({CW}。SSK)的控制字(CW)，并且所述接 收器還包括硬件解密塊(100)，該硬件解密塊(100)被配置用來獲得所述接收器唯一密鑰 (CSSK)并使用所述接收器唯一密鑰(CSSK)對(duì)加密的控制字({CW}。SSK)進(jìn)行解密。
全文摘要
本發(fā)明涉及用于獲得控制字的有條件權(quán)利處理。本發(fā)明提供一種用于獲得控制字的改進(jìn)方法和改進(jìn)接收器。在接收器中獲得兩個(gè)或更多個(gè)子密鑰。每個(gè)子密鑰在權(quán)利消息中接收的密鑰的控制下被加密或者在權(quán)利消息中接收的種子的控制下被變換。在解密或變換后，這些子密鑰被組合以獲得控制字。通常，至少一個(gè)權(quán)利消息是積極權(quán)利消息并且至少一個(gè)權(quán)利消息是消極權(quán)利消息。本發(fā)明可被用于例如付費(fèi)電視系統(tǒng)的有條件訪問系統(tǒng)。
文檔編號(hào)H04N7/16GK101827248SQ20101014217
公開日2010年9月8日 申請(qǐng)日期2010年3月2日 優(yōu)先權(quán)日2009年3月2日
發(fā)明者A·A·瓦杰斯, A·E·萬弗瑞斯特, E·貝內(nèi)德特, P·A·埃森 申請(qǐng)人:耶德托存取公司