專利名稱:對象和資源的安全系統(tǒng)的制作方法
本申請要求下列權(quán)益1999年10月8日提交的申請?zhí)?0/158,491的美國臨時專利申請��;1998年11月12日提交的申請?zhí)?0/165,094和1999年12月30日提交的申請?zhí)?0/174,037的美國臨時專利申請����。
背景技術(shù):
本發(fā)明一般涉及安全訪問系統(tǒng),尤其是涉及保護信息的安全�����。
有線電視經(jīng)營商通過有限制的訪問(CA)系統(tǒng)為用戶分配視頻流����。CA系統(tǒng)從有線電視提供者的前端設(shè)備分配視頻流到與一個用戶有關(guān)的機頂盒。該前端設(shè)備包括硬件����,它接收視頻流�,并將其分配到CA系統(tǒng)中的機頂盒����。允許選擇機頂盒�����,根據(jù)有線電視提供者給機頂盒發(fā)送的授權(quán)信息解碼某些視頻流�。以相似的方式,其他視頻節(jié)目提供者使用衛(wèi)星天線無線地分配視頻內(nèi)容到機頂箱����。
視頻節(jié)目向所有機頂盒廣播,但只有那些機頂盒的一個子集允許訪問指定的視頻節(jié)目����。例如,只有那些訂了按觀看次數(shù)付費的拳擊賽的才允許觀看比賽���,雖然每個機頂盒可以接受對此比賽的經(jīng)加密的數(shù)據(jù)流����。一旦一個用戶訂了按觀看次數(shù)付費的節(jié)目��,授權(quán)消息以加密的形式被廣播至所有的機頂盒。只有那些授權(quán)信息希望給予的特定的機頂盒能解密它����。解密的授權(quán)信息中有一個(關(guān))鍵碼,它解碼按觀看次數(shù)付費的節(jié)目���。機頂盒用此鍵碼在接收到按觀看次數(shù)付費的節(jié)目時實時地解密它���。某些系統(tǒng)標(biāo)志授權(quán)消息。
只在最近���,存儲多個小時的視頻信息成為現(xiàn)實���。每個視頻節(jié)目作為壓縮的MPEG2數(shù)據(jù)流發(fā)送到機頂盒。一個小時的視頻信息約對應(yīng)于1千兆字節(jié)的壓縮數(shù)據(jù)���。因為在今天多個千兆字節(jié)存儲很普通��,現(xiàn)在能存儲多個小時的視頻信號����。相反�����,傳統(tǒng)的CA系統(tǒng)認為內(nèi)容是短暫且不能存儲的。換言之�����,傳統(tǒng)的系統(tǒng)設(shè)計成認為視頻節(jié)目太大無法保存任何時間��。本專業(yè)熟練人員認識到��,存儲多個千兆字節(jié)視頻節(jié)目的能力引起對在CA系統(tǒng)中附加的安全措施的要求�����。
某些系統(tǒng)將個人計算機與電視相結(jié)合顯示內(nèi)容�。如WebTVTM那樣的產(chǎn)品將網(wǎng)絡(luò)瀏覽和電子郵件(e-mail)功能與TV相結(jié)合��。在其他系統(tǒng)中���,個人計算機(PC)連結(jié)到因特網(wǎng)服務(wù)提供者(ISP)���,后者提供網(wǎng)絡(luò)瀏覽和電子郵件功能。如電子郵件程序那樣的軟件程序趨于變小且易于存儲�。本專業(yè)熟練人員認識到�,那些PC不提供足夠的安全性���,因而易受病毒和黑客的侵襲�。
如上所述��,傳統(tǒng)的CA系統(tǒng)只檢查視頻流的授權(quán)����。隨著更大存儲媒體及更小的與因特網(wǎng)有關(guān)的程序的出現(xiàn),內(nèi)容能被存儲并在無限期的時間內(nèi)駐留在用戶����。為維持對此內(nèi)容的控制,需要附加的安全措施�。
發(fā)明內(nèi)容
按照本發(fā)明,在有限制的訪問系統(tǒng)中提供對象和資源的安全性����。鑒別和/或授權(quán)的檢查在一系列檢查點完成以保證對象和資源的安全性。當(dāng)對象或資源的目的變得明朗以及在處理對象與資源的其他時間�����,檢查點啟動這些檢查。
在一特定實施例中�,揭示一種信息安全的方法。在接收信息以后��,該信息首次被鑒別����,該信息也被授權(quán)和存儲。在某些點�,該信息被第二次鑒別。
在另一個實施例中����,揭示了內(nèi)容遞交系統(tǒng)��,它包括一存儲器�,一網(wǎng)絡(luò)端口和若干檢查點。內(nèi)容通過網(wǎng)絡(luò)端口被接收并保存在存儲器中�。每片內(nèi)容至少經(jīng)受兩個檢查點。
在又一個實施例中����,揭示了鑒別和授權(quán)信息的方法。接受信息以后��,它被鑒別和授權(quán)。運行再次檢查鑒別或授權(quán)的過程����。
在另外一個實施例中,揭示了提供給有限訪問機頂盒的內(nèi)容的鑒別和授權(quán)方法�。在有限制訪問的機頂盒中接收內(nèi)容。在有限制訪問機頂盒中內(nèi)容首次被鑒別�。當(dāng)內(nèi)容在機頂盒中被訪問時,內(nèi)容第二次被鑒別�����。
通過下述參照附圖所作的詳細說明��,可更好地理解本發(fā)明����。
圖1是方框圖,示出內(nèi)容遞交系統(tǒng)的一個實施例�;圖2是一方框圖,示出與其環(huán)境接口的機頂盒的一個實施例�;圖3是一流程圖,示出在第一安全級上分配一個對象的過程的一個實施例���;圖4是一流程圖���,示出在第二安全級上分配一個對象的過程的一個實施例��;圖5是一方框圖��,示出授權(quán)消息的一個實施例���;圖6是一方框圖,示出對象消息的實施例�����。
圖7是一方框圖�,示出簽名(signatory)組的一個實施例,它包括授權(quán)消息和對象消息部分�����。
圖8是一流程圖����,示出在第三安全級中加載一對象的過程的一個實施例�����;圖9是一流程圖,示出在第四安全級中加載一對象的過程的一個實施例�����;圖10是一流程圖�����,示出在第四安全級中加載一對象的過程的另一個實施例���;圖11是一流程圖���,示出在第五安全級中檢查連續(xù)運行對象的方法的一個特定實施例的描述本發(fā)明在信息的整個壽命中鑒別與授權(quán)電視機頂盒中的信息。增加存儲介質(zhì)的規(guī)模并減少需要新的安全措施新型內(nèi)容的規(guī)模����,以便鑒別信息的來源及授權(quán)信息的使用。
在圖中�����,類似的部件和/或特征具有相同的參照標(biāo)號�����。此外,同樣類型的各種部件通過該標(biāo)號后的虛線及區(qū)分類似部件的第二標(biāo)號來區(qū)分��。如果在說明書中只使用第一標(biāo)號���,該說明能用于具有第二標(biāo)號的若干類似部件中的任何一個�。
首先參考圖1�,示出內(nèi)容遞交系統(tǒng)100的一個實施例的方框圖。提交系統(tǒng)100根據(jù)需滿足的某些條件可選擇地將內(nèi)容提供給許多用戶����。在系統(tǒng)100中包括前端設(shè)備104,若干機頂盒108����,當(dāng)?shù)毓?jié)目接收器112,衛(wèi)星天線116和因特網(wǎng)120����。
前端設(shè)備104接收內(nèi)容并分配內(nèi)容至用戶���。內(nèi)容可包括視頻�����、聲頻����、交互式視頻、軟件��、固件和/或數(shù)據(jù)���。此內(nèi)容從各種來源收到�����,包括衛(wèi)星天線116����、當(dāng)?shù)毓?jié)目接收器112���、微波接收器���、包交換網(wǎng)絡(luò)、因特網(wǎng)120等����。每個機頂盒108具有單獨的地址�,允許發(fā)送權(quán)利信息到單獨的機頂盒108����。以此方式,一個機頂盒108-1可對某些特定內(nèi)容授權(quán)而另外的108-2可能沒有授權(quán)��。在前端設(shè)備104中的設(shè)備調(diào)節(jié)哪些機頂盒108對該內(nèi)容授權(quán)����。
內(nèi)容一般以數(shù)字格式通過包含多個內(nèi)容流的模擬載波信道分配。所有內(nèi)容流多路傳輸至數(shù)字流中����,它被調(diào)制到模擬載波信道。分別的內(nèi)容流由包識別符(PID)信息區(qū)分����,使得各個內(nèi)容流能按照它們單獨的PID信息取出。在系統(tǒng)100的本實施例中約有120個模擬載波信道�。其他實施例能用衛(wèi)星天線、微波天線�����、RF發(fā)送器���、包交換網(wǎng)絡(luò)�����、蜂窩數(shù)據(jù)調(diào)制解調(diào)器�����、載波電流��、電話線或因特網(wǎng)分配內(nèi)容�。
參考圖2�,示出一顯示系統(tǒng)200的實施例的方框圖。此實施例通過各種安全級提供多級對象和資源的安全性�����。在顯示系統(tǒng)200中包括一機頂盒108�、網(wǎng)絡(luò)208、打印機212���、電視顯示器216和無線輸入設(shè)備218��。這些部件以這樣的方法結(jié)合�,使得用戶能享用內(nèi)容提供者提供的內(nèi)容。此內(nèi)容可以是視頻�、聲頻、軟件�����、固件����、交互式電視、數(shù)據(jù)或其他信息����。在此實施例中,內(nèi)容提供者是有線電視提供者��。
網(wǎng)絡(luò)208用作在機頂盒108和有線電視提供者的前端設(shè)備104之間信息傳輸?shù)那?���。在此實施例中,網(wǎng)絡(luò)具有120個模擬信道和一個雙向數(shù)據(jù)控制信道����。通常,模擬信道載送內(nèi)容而控制數(shù)據(jù)信道載送控制和權(quán)利信息。每個模擬載波信道具有若干多路復(fù)合成一個數(shù)據(jù)流的數(shù)字信道����,其中數(shù)字信道由包識別符(PID)區(qū)分����。雙向控制信道是頻帶外的信道,它以一個頻率廣播數(shù)據(jù)到機頂盒108�,并以另一個頻率從機頂盒108接收數(shù)據(jù)。使用本專業(yè)熟知的存儲和前向方法將返回數(shù)據(jù)排隊�,以減少在使用高峰期間的過載。另外的實施例可使用電纜調(diào)制解調(diào)器或數(shù)字用戶線(DSL)用于控制信息和內(nèi)容����,其中內(nèi)容被格式化成包交換數(shù)據(jù)。
打印機212是可選的附件�,某些用戶可以購買并將其加到他們的顯示系統(tǒng)200。當(dāng)使用機頂盒108于個人計算機任務(wù)時����,打印機212可打印如電子郵件、網(wǎng)頁��、賬單信息等數(shù)據(jù)���。如在下面所解釋�����,使用象打印機那樣的外圍設(shè)備的能力由授權(quán)的驗證所管理����。使用管理功能,與機頂盒兼容的打印機212在得到適當(dāng)?shù)氖跈?quán)以前不能使用�。
電視顯示器216為用戶提供對應(yīng)于內(nèi)容的聲頻和/或視頻。顯示器216通常接收對應(yīng)于頻道3�����,頻道4或合成頻道的載波上調(diào)制的模擬視頻信號��。例如���,機頂盒108產(chǎn)生調(diào)制到適當(dāng)頻道的NTSC信號��。其他實施例能使用視頻監(jiān)視器或數(shù)字顯示器而替代電視顯示216���。使用數(shù)字顯示減輕了機頂盒108的模擬量轉(zhuǎn)換的需要,因為如液晶顯示器那樣的數(shù)字顯示器使用數(shù)字信息制成顯示圖形�����。
無線輸入設(shè)備218允許用戶和機頂盒108之間的交互作用。設(shè)備218可以是遠程控制器�����、鼠標(biāo)�、鍵盤�、游戲控制器�、筆式輸入板或其他輸入機構(gòu)。在輸入設(shè)備218上的紅外收發(fā)器與機頂盒108上的類似收發(fā)器通訊���,提供無線通信��。在另外例子中����,替代紅外收發(fā)器可使用RF鏈接或有線鏈接。
機頂盒108具有實現(xiàn)對象和資源的鑒別和授權(quán)的零部件���。對象是數(shù)字信息的集合���,如軟件����、驅(qū)動程序�、固件���、數(shù)據(jù)、視頻或聲頻����。資源是一個對象在操作時需要的任何事物��,如另外對象或物理設(shè)備��。在機頂盒108中包括一控制器220、存儲器228、打印機端口232����、網(wǎng)絡(luò)端口236����、訪問控制處理器240�、顯示接口244和紅外(IR)端口248���。這些方框經(jīng)過總線132互相通訊���,其中每一框具有不同的地址�����,以便在總線132上唯一地識別它�。
控制器220使用可靠安全的操作系統(tǒng)管理機頂盒108的操作。如數(shù)字對象解密和解壓縮那樣的功能在控制器220中完成���,另外的功能有如用戶切換電視頻道和為用戶提供菜單等。在控制器中包括一處理器���、一加密引擎、當(dāng)?shù)卮鎯ζ?�,以及在計算機系統(tǒng)中常用的部件。
在另外的實施例中�,控制器220還可以包括一附加的安全微處理器,用于鍵碼保護或密碼處理���。在希望高級別安全的某些系統(tǒng)中這是很合適的��。
機頂盒108包括一存儲器塊228。此存儲器228是固態(tài)存儲器�����,能包括RAM��、ROM���、閃存和其他易失和非易失性存儲器���。對象和資源存入存儲器為以后運行所用。在執(zhí)行過程中��,程序加載入存儲器228���,并在其中執(zhí)行�����,并使用存儲器228作為暫存的空間��。鍵碼�、序列號和授權(quán)被存入非易失性閃存存儲器中�����。
此實施例包括打印機端口232�����,用于接口到任選的打印機212。除非授權(quán)�,打印機端口232資源不能用于程序���。如下進一步說明��,每個對象必須是有使用如打印機端口232那樣的資源的授權(quán)。通過有線或無線傳輸機制��,數(shù)據(jù)以串行或并行方式從打印機端口232送到打印機212�����。
一般說來���,檢查點是一個時間點或一個處理步驟�,其中確認一個對象的鑒別和/或授權(quán)�。當(dāng)請求打印時遇到一個檢查點。檢查點鑒別并授權(quán)請求打印的對象���。檢查點放在一個對象中而鑒別和/或授權(quán)在另外對象中運行(如操作系統(tǒng)檢查正在運行的應(yīng)用的鑒別和授權(quán))�。理想的是,當(dāng)對象的目的成為明瞭時執(zhí)行檢查點���。在打印機端口232的情況���,當(dāng)它用于打印東西時其目的成為明瞭�。因此,當(dāng)打印任何東西時�����,檢查點觸發(fā)對使用打印機端口232資源的對象的檢查。通常用于打印的檢查點在操作系統(tǒng)中�。
網(wǎng)絡(luò)端口236允許在機頂盒108和前端設(shè)備104之間的雙向通訊。在網(wǎng)絡(luò)端口236中包括一調(diào)諧器和解調(diào)器�,調(diào)諧模擬載波信道并解調(diào)MPEG數(shù)據(jù)流,以允許單向提交內(nèi)容���。在網(wǎng)絡(luò)端口236中還包括控制數(shù)據(jù)收發(fā)器或電纜調(diào)制解調(diào)器���,它允許控制數(shù)據(jù)信息和/或內(nèi)容的雙向通訊。為了更均勻地分配控制數(shù)據(jù)信道到前端設(shè)備104的加載�����,可使用存儲和前向方法����。
將數(shù)字視頻信號調(diào)制到與電視顯示器216兼容的模擬信號的工作由顯示接口244完成。如上所討論�,電視顯示216通常接收在頻道3�、頻道4或合成頻道上調(diào)制的信號�。對于接收數(shù)字輸入的顯示器�����,如LCD顯示器�����,顯示接口244完成數(shù)字輸入所需的任何格式化工作����。
IR端口248與無線輸入設(shè)備218雙向通訊。在IR端口248中包括IR收發(fā)器,它提供與輸入設(shè)備218的無線通訊路徑��。在IR接口248中的另外電子線路將由收發(fā)器收到的模擬信號轉(zhuǎn)換成相應(yīng)的數(shù)字信號并從相應(yīng)數(shù)字信號轉(zhuǎn)換成發(fā)送到收發(fā)器的模擬信號?��?刂破?20處理數(shù)字信號��,使用戶能控制機頂盒108中某些功能���。
訪問控制處理器(ACP)240控制機頂盒108中的安全功能。例如�����,ACP240在控制器220控制下或與控制器220無關(guān)地完成鑒別和授權(quán)��,這將在下面討論中說明�����。為完成此任務(wù)�����,ACP240包括處理器�����、RAM和ROM���,配合執(zhí)行與控制器220無關(guān)的軟件���。ACP240還包括解密引擎和用于破譯內(nèi)容及計算電子簽名(signature)的散列函數(shù)。在某些實施例中��,檢查點嵌入在控制器220上運行的軟件��,它觸發(fā)ACP240完成安全檢查����。
ACP240還屏蔽操作系統(tǒng)(OS)以保證OS的適當(dāng)功能。通過觀察對象的起動�,ACP240能監(jiān)視哪個應(yīng)用對象在運行。若必要���,在檢查點檢測到錯誤或授權(quán)已過期的情況下�,ACP240能取消運行應(yīng)用程序��。此外�,ACP240能監(jiān)視存儲器228,以確定在存儲器228中未予授權(quán)的任何應(yīng)用程序��。臨時存儲器的大小也能被監(jiān)視以檢測隱藏在臨時存儲器中的應(yīng)用程序。此外��,ACP240能對存儲器中的對象隨機執(zhí)行檢查點以確認它們的鑒別和/或授權(quán)���。ACP240遇到的問題報告到OS或前端設(shè)備104��。用這些方法�����,ACP240表現(xiàn)得象在機頂盒108中的軟件安全警衛(wèi)�,使得異常情況被檢測并報告�����。
根據(jù)在機頂盒中希望的特征和所需的安全性��,在內(nèi)容遞交系統(tǒng)100中激活不同等級的安全性���。在第一級安全中����,對象以加密的形式通過網(wǎng)絡(luò)208發(fā)送到機頂盒108�����。包含解密鍵碼的授權(quán)消息送到機頂盒108�����。機頂盒108使用此解密鍵碼解密并使用該對象�。
參考圖3,示出在第一安全級分配一對象的過程的一個實施例的流程圖����。此過程在步驟304開始,其中在前端設(shè)備104中形成授權(quán)消息����。在授權(quán)消息中包括能解密有關(guān)對象的鍵碼。在步驟308中�,授權(quán)消息和對象經(jīng)過網(wǎng)絡(luò)208送到機頂盒108。接收到授權(quán)消息和對象之后����,在步驟316中它們互相關(guān)聯(lián)。該鍵碼從授權(quán)消息中提取�����,并在步驟320、324和328中寫到存儲器228以前用于解密對象��。此過程通過使用加密提供鑒別和授權(quán)���。
參考圖4�����,示出在第二安全級中分配一對象的過程的一個實施例的流程圖�����。在第二安全級中����,使用電子簽名在對象下載時鑒別它�����。換言之�����,第二安全級在對象下載時加一個檢查點在該對象中。在步驟404��,電子簽名由一個簽名組產(chǎn)生�,后者包括在前端設(shè)備104中授權(quán)消息和對象消息的部分�。授權(quán)消息是與對象消息有關(guān)的元數(shù)據(jù),且該對象消息包含將用于機頂盒108的對象�����。
在步驟408中��,在授權(quán)消息中的電子簽名和對象經(jīng)過網(wǎng)絡(luò)208分別送到機頂盒108�����。最好使用非對稱的電子簽名(如基于RSA�、DSA或ECC的),但對稱的電子簽名(如DES或三重DES)也能使用���。在接收電子簽名和對象時并在存儲該對象前�����,在步驟420和424計算該電子簽名并由ACP240檢查���。如果計算的和收到的電子簽名吻合����,在步驟428存儲該對象��。否則���,如果不吻合�����,在步驟432丟棄該對象�����,處理循環(huán)回到步驟412等等另外的對象的拷貝���。
參考圖5-7,以方框圖的形式分別示出授權(quán)消息500��、對象消息600和簽名組700�。在圖5的授權(quán)消息500中包括授權(quán)首部504、授權(quán)數(shù)據(jù)結(jié)構(gòu)508��、電子簽名512,和第一檢查和516�。授權(quán)消息500具有用于鑒別和授權(quán)對象消息600的信息。形成圖6的對象消息的是對象首部604��、對象608和第二檢查和612����。對象消息600用于對對象608的傳輸�����。簽名組700包括安排成端對端的授權(quán)消息500和對象消息600��。電子簽名512在整個簽名組700中計算��。尤其是�,圖7的簽名組700包括授權(quán)首部504、授權(quán)數(shù)據(jù)結(jié)構(gòu)508���、對象首部604和對象608����。
授權(quán)首部504指出授權(quán)消息500的結(jié)構(gòu)��。在首部504中包括子型識別符和消息版本。子型識別符區(qū)分各種類型的授權(quán)消息500��。在此實施例中�,有對應(yīng)于對象和資源的授權(quán)消息子型。對象子型具有對應(yīng)的對象消息600�����,但資源子型卻沒有��。因此���,子型識別符被用于確定是否有與授權(quán)消息500相關(guān)的對象消息600��。對一給定的系統(tǒng)��,有若干類型的對象子型和資源子型�����,且消息版本允許區(qū)分不同的類型�����。
授權(quán)數(shù)據(jù)結(jié)構(gòu)508提供授權(quán)信息給機頂盒108�。在授權(quán)消息子型對應(yīng)于一個對象的情況,授權(quán)數(shù)據(jù)結(jié)構(gòu)508包含對象識別符�、軟件版本、價格信息����、權(quán)利信息、壽命信息以及一個或多個節(jié)目等級����。對象識別符對每個對象608是唯一的�,并將授權(quán)消息500認為是由其對應(yīng)的對象消息600造成的。版本消息包括在數(shù)據(jù)結(jié)構(gòu)508中�����,指出對象608的版本����。
部分授權(quán)數(shù)據(jù)結(jié)構(gòu)508被用于確定對象608對該機頂盒108的可用性。費用信息向機頂盒108����,有時向用戶,指出與對象608相關(guān)的價格�。權(quán)利信息被用于確定該特定的機頂盒108是否授權(quán)接收該對象608���。如果對象608用對稱鍵碼加密,權(quán)利信息可以包括一鍵碼��。如果機頂盒108對該對象未授權(quán)��,當(dāng)接收到對應(yīng)的對象608時不需要處理它���。壽命信息使對象608的授權(quán)期滿�,以防止在某個日期或時間之后的使用��。使用節(jié)目等級將對象608的授權(quán)限制到預(yù)定的等級�����,使得機頂盒108只能訪問在預(yù)定等級中的對象608��。
使用電子簽名512來驗證授權(quán)消息500和對應(yīng)的對象消息600是否可靠��。在整個簽名組中運行如SHA-1或MD5那樣的散列函數(shù)��。然后其結(jié)果通過如RSA那樣的簽名算法運行�,以產(chǎn)生電子簽名。另外�����,簡單的CRC算法可用于散列函數(shù),然后通過如三重DES或DES那樣的加密算法發(fā)送結(jié)果以產(chǎn)生電子簽名��。當(dāng)編譯授權(quán)消息500時�����,在將電子簽名512插入授權(quán)消息500以前���,前端設(shè)備104在整個簽名組700上計算電子簽名512���。機頂盒108在接收授權(quán)和對象消息500,600后計算簽名組700的電子簽名��。一旦計算了電子簽名�����,它針對接收的電子簽名進行核對以鑒別授權(quán)和對象消息500�,600兩部分���。如果該電子簽名不匹配�����,機頂盒108丟棄該對象消息600�,因為它認為是從不適當(dāng)?shù)膩碓磥淼摹?br>
用線性或非線性算法計算第一和第二檢查和516、612�。當(dāng)數(shù)據(jù)經(jīng)網(wǎng)絡(luò)208傳送到機頂盒108時,檢查和516�����、612驗證數(shù)據(jù)完整性的錯誤�。例如,檢查和可以是循環(huán)冗余校驗(CRC)��。消息假脫機程序208在消息500發(fā)出時計算檢查和516�,并將該檢查和516掛在消息500之末端。相反����,機頂盒108在接收到消息500時計算檢查和,并針對在接收的消息500中的檢查和核對計算的檢查和����。如果計算的和接收的檢查和不匹配,在發(fā)送中發(fā)生錯誤���。帶錯誤的消息500��、600被丟棄��,然后前端設(shè)備104發(fā)送替代的消息500�、600。
對象首部604包括對象消息600的屬性�。在對象首部604中包括首部的長度、對象長度�����、對象識別符��、軟件版本和域識別符���。首部長度和對象長度分別表示對象首部604的長度和對象608的長度����。如上所述�,對象識別符提供唯一的碼�����,它將授權(quán)消息500歸屬于對象信息600。軟件版本指出對象的版本���。為不同的有線電視提供者指定域識別符����,使得可以接收對象608的所有機頂盒108能對與它們的域有關(guān)的對象608作屏幕顯示�。
對象608包括系統(tǒng)100提供給機頂盒108的內(nèi)容。若干類型的信息能嵌入一個對象�����,如可執(zhí)行程序���、固件更新�、運行程序(如Java或ActiveX)�、節(jié)目表、賬單信息��、視頻���、聲頻或數(shù)據(jù)��。在鑒別或授權(quán)后立即或晚一些時候就能使用對象608��。此外���,授權(quán)能編程成一定時間后過期���。
具體參考圖7,示出簽名組700�����。此組700包括授權(quán)消息500和對象消息600部分�����。計算電子簽名512所使用的所有數(shù)據(jù)包括在簽名組700中�����。因為電子簽名需要從授權(quán)消息500和對象消息600兩者來的部分����,電子簽名檢查失敗表示授權(quán)消息500和軟件消息600中之一不能證實來自可靠的來源?���?煽康膩碓词钱a(chǎn)生該電子簽名512的有線電視提供者。
參考圖8����,畫出在第三安全級中加載一對象的過程的一個實施例。此實施例在開始以前鑒別對象�,所以網(wǎng)絡(luò)操作員的認可被確認。在第一步804中����,控制器220從存儲器228中讀出授權(quán)和對象消息500、600�。對象消息600在步驟808加載到ACP140,而授權(quán)消息在步驟812加載�����。
一旦加載了對象和授權(quán)消息600�����、500����,簽名組700的所有部分對ACP240可用。在步驟816中,ACP240在簽名組700上計算電子簽名�����。ACP240在步驟824中作出判斷�����,在授權(quán)信息500中的電子簽名512是否匹配計算的電子簽名��。如果匹配��,對象608是授權(quán)的��,且對象608由OS加載到存儲器228并允許執(zhí)行��。反之��,如果電子簽名不匹配�,ACP240丟棄該對象608,并通知OS有一個錯誤�����。電子簽名的不匹配可以是存儲過程中的訛誤���,盜版變換了對象608��,或病毒破壞了對象608的結(jié)果�����。
參考圖9�,示出在第四安全級中加載對象的過程的一個實施例�。該實施例在發(fā)出對象608之前檢查授權(quán)。類似于上面說明的一級安全�,此實施例使用加密來達到授權(quán)檢查。在第一步904���,對象消息600以加密形式寫入存儲器228��。在某些實施例中��,從網(wǎng)絡(luò)208以加密形式接收對象消息����,使得不需要另外加密步驟����。
當(dāng)希望加載對象608時�,在步驟908從存儲器228取出授權(quán)和對象消息500����、600。授權(quán)消息500包括解密對象消息600所必要的鍵碼��。在步驟912中此鍵碼和對象消息600加載到ACP����。對象608在步驟916解密。如果用于解密的鍵碼不是對于對象608授權(quán)的鍵碼�����,解碼過程將不成功�����,最后結(jié)果是不可譯碼的���。相反�����,如果鍵碼正確在步驟920明文的對象回到OS執(zhí)行����。
參考圖10,示出在第四安全級中加載對象的過程的另一個實施例的流程圖���。在此實施例中�����,為了在加載前確認對象608是授權(quán)的,檢查授權(quán)消息500中的權(quán)利���。在步驟1004中�����,從存儲器讀出授權(quán)消息500����。接著在步驟1008控制器220加載授權(quán)消息到ACP240��。
一旦ACP240具有授權(quán)消息500����,在步驟1012檢查其中的權(quán)利信息���。在步驟1016通過檢查權(quán)利信息作出判斷,對象608是否被授權(quán)����。如果對象608被授權(quán),由OS將其加載入存儲器并執(zhí)行���。相反����,通知OS有一個失敗的授權(quán)嘗試且如果沒有權(quán)利使用對象608�����,該對象608在步驟1024被丟棄�����。
雖然上面沒有說明�,在對象604加載以前,四級安全的授權(quán)通常與三級安全的授權(quán)一樣完成����。授權(quán)在鑒別以前完成����,因為授權(quán)是更快的過程�����。在完成鑒別與授權(quán)以后返回給OS的狀態(tài)是NOT AUTHORIZED(未授權(quán))��,AUTHORIZED BUTNOT AUTHENTICATED(授權(quán)但未鑒別)�,或AUTHORIZED AND AUTENTICATED(授權(quán)且鑒別)。
參考圖11����,畫出在第五安全級中檢查連續(xù)運行的對象的過程的一個實施例的流程圖���?�?梢钥吹?,正運行的對象也應(yīng)被鑒別��,保證它們沒有被更換或修改�����。此外,周期地驗證授權(quán)使得能考慮到連續(xù)運行一段時間的應(yīng)用的過期情況���??墒褂妙A(yù)定的周期�����,或使用不定改變的周期�。
該過程在步驟1104開始,其中從存儲器228讀出對象��。在加載對象608以前���,它具有第一電子簽名��,但在對象608加載入存儲器228以后����,被加載對象的電子簽名不同了�����。如本專業(yè)熟練人員所知,地址從虛擬地址翻譯成實際地址���,使電子簽名改變了�。因此����,在步驟1108重新計算電子簽名以產(chǎn)生指出被加載對象的第二電子簽名。注意到��,對象應(yīng)那樣地加載并保持在存儲器228中�,使得第二電子簽名不變。例如����,加載的對象不應(yīng)有使電子簽名改變的自修改碼。
OS具有安排成規(guī)則間隔的檢查點����。它們觸發(fā)周期的鑒別和授權(quán)���。在步驟1112��,過程等待下一個定時檢查點���。通常這些預(yù)定的檢查點至少每星期或每月一次�。因為有線電視每月付費�,希望在支付周期之后檢查未授權(quán)的持續(xù)運行的應(yīng)用。在步驟1116通過把授權(quán)消息500�、已加載的對象及第二電子簽名加載到ACP240完成鑒別和授權(quán)。
在步驟1120作出判斷���,在1116完成的鑒別和授權(quán)是否成功�����。如果成功��,過程循環(huán)回到步驟1112等待下一個檢查點����。否則����,當(dāng)鑒別或授權(quán)檢查失敗時,對象從存儲器228清除并丟棄�。最好,ACP240是判斷定時檢查點的時間源�。ACP240不容易受為避免授權(quán)過期而撥回時鐘的影響。此外,ACP240不運行能改變時間的應(yīng)用軟件�����,并需要安全命令來改變時間��。安全命令能使用加密或電子簽名保證鑒別任何時間改變����。
參考圖12,在安全級六中示出允許自由預(yù)看一個對象的過程的實施例的流程圖��。如本專業(yè)中所知��,用戶在可能購買軟件以前希望嘗試此軟件����。因此,第六安全級允許在請求購買軟件前使用一段時間�。
過程在步驟1204開始,其中從存儲器228取出對象608�。在步驟1208�,對象608加載入存儲器228,然后開始執(zhí)行���。在步驟1212開始一個倒計時計時器���,它倒計時到零時���,試用期間結(jié)束?�?梢岳斫庹嫊r計時器也能確定試用期間的過期��。在步驟1216����,用戶采樣對象608直到試用期間結(jié)束。在步驟1220����,通過注意到倒計時計時器達到其較低界限或零時,判斷采樣周期結(jié)束����。
在步驟1224給用戶購買對象608的選擇。構(gòu)成購買屏幕并由機頂盒108呈現(xiàn)給用戶以加速購買對象608�。如果未選擇購買,在步驟1232中對象608從存儲器228刪除并被丟棄��。相反,在步驟1228���,該對象保存在存儲器且權(quán)利信息被更新以反映已購買����。另外的實施例可以使用簡化的演示軟件��,它能一直運行��,但少了在購買版本中有的重要功能��。如果用戶喜歡簡化的版本����,用戶很可能購買全的版本以得到所減少的重要功能。
參考圖13����,以流程圖的形式畫出在第七安全級中監(jiān)視安全檢查的過程的一個實施例。在此實施例中���,ACP240屏蔽OS做雙重檢查���,使得規(guī)則地遇到檢查點。此過程在步驟1304開始�,其中記錄最后OS檢查點的時間。檢查點是在OS或其他軟件中的預(yù)定位置����,它引起鑒別和/或授權(quán)的確認。因為ACP240通常涉及鑒別和授權(quán)過程�����,ACP240能跟蹤檢查點的執(zhí)行�����。在步驟1308����,啟動倒計時計時器。我們再次注意到�,此計時能是正計時而非倒計時。
在步驟1312作出判斷���,ACP240是否觀察到檢查點��。如果觀察到檢查點���,過程循環(huán)回到步驟1304���,其中復(fù)位倒計時計時器以致從新開始。相反����,如果未觀察到檢查點,在步驟1316完成定時器的檢查�。如果計時器未過期,過程循環(huán)回到步驟1312����,再次嘗試觀察檢查點。當(dāng)計時器確實過期而未達到檢查點���,過程繼續(xù)到步驟1320���,其中ACP240向前端設(shè)備104報告一個錯誤。
雖然上面的實施例討論對有關(guān)單個對象608的檢查點的測試���,可以理解����,以上述方式在機頂盒108可以對每個對象608測試檢查點。為了檢測執(zhí)行那個對象608中的錯誤可以對每個對象608設(shè)計傳統(tǒng)的準(zhǔn)則��。此外�,我們注意到可靠或安全的操作系統(tǒng)一般不需要ACP240檢查異常的行為���。為防止黑客����、盜版����、病毒和存儲器錯誤,對操作系統(tǒng)正常功能的檢查(如檢查規(guī)則的檢查點)增加一個額外的安全層�����。
參考圖14����,示出使用權(quán)標(biāo)達到第八安全級的過程的一個實施例的流程圖。此實施例使用密文標(biāo)記檢查對象608的授權(quán)��。密文標(biāo)記是常規(guī)操作關(guān)鍵對象的加密部分��。密文標(biāo)記的解密產(chǎn)生明文標(biāo)記,它被插入對象608以允許正常執(zhí)行�����。
在步驟1404��,過程從加密部分對象產(chǎn)生密文標(biāo)記開始����。在步驟1408為解密密文標(biāo)記所需的鍵碼被存入ACP240并與對象608相關(guān)聯(lián)。在步驟1412��,帶著嵌入的密文標(biāo)記的對象被寫入存儲器228��,在那里等待購買��。過程在步驟1416處等待�����,直到用戶購買對象608�����。在步驟1418,密文標(biāo)記從對象刪除并送到ACP240去解密��。在步驟1420和1424得到的明文標(biāo)記返回到OS并結(jié)合到對象608�,使得對象608能工作。通過只加密一部分對象608而不是整個對象608��,解密過程加速了����。
上述討論涉及在操作系統(tǒng)上運行應(yīng)用程序或?qū)ο?08���。此概念可同樣應(yīng)用于JavaTM虛擬機(JVH)上運行的JavaTM應(yīng)用程序�。為有助于此抽象�,結(jié)合圖15解釋超排列和子排列(Superordination and Subordination)的概念。超排列和子排列確定哪一個對象608有責(zé)任加檢查點到另一個對象�。在與其他對象608和資源發(fā)生正常交互作用期間,檢查點被加到對象608�����。
具體參考圖15��,示出在機頂盒中的某些對象608和資源�。接近圖15底部的對象是對靠近圖15頂部的對象的超排列。就是說,靠近圖15頂部的對象是該圖中較低的那些的子排列���,超排列對象負責(zé)將檢查點加到子排列對象�����。例如�,硬件1504將檢查點加到BIOS1508���、OS1512等上面的子排列層����。BIOS1508加檢查點到OS1512���,但不能加到硬件1504�。在同一排列層中的對象在互相作用時能加檢查點到該層中另外的對象中���。例如����,應(yīng)用程序1516能要求執(zhí)行在驅(qū)動程序1518上的檢查點����。
超排列對象設(shè)計成與ACP240結(jié)合起動執(zhí)行檢查點���,而子排列對象設(shè)計成被加上檢查點。例如����,BIOS1508需要在自引導(dǎo)過程、在執(zhí)行和/或周期地運行期間執(zhí)行在OS1512上的檢查點�����。驅(qū)動程序?qū)ο?518在安裝時或正常操作期間練習(xí)時經(jīng)受檢查點檢查����。數(shù)據(jù)文件對象1522每當(dāng)訪問該文件中的數(shù)據(jù)時經(jīng)受檢查點檢查���。HTML對象1528每當(dāng)它由瀏覽器應(yīng)用程序1516解釋時����,評審為檢查點的一部分��。
根據(jù)上面描述��,容易明白本發(fā)明的一系列優(yōu)點。擁有多個檢查點��,檢查授權(quán)和/或鑒別提供了更嚴(yán)密的安全性��。用該加強的安全性��,有線電視盜用者會更少偷到對象�,病毒可能不再需要關(guān)注,黑客可能更多被查到���。
也可使用本發(fā)明的一系列變化及修改��。例如��,上面討論談及多級安全性�。應(yīng)理解����,這些級別可以組合達到特定系統(tǒng)的安全目的。此外�����,上述實施例涉及有線電視�,但是其原則同樣可應(yīng)用于衛(wèi)星電視系統(tǒng)����、因特網(wǎng)服務(wù)提供者�、計算機系統(tǒng)和其他內(nèi)容提供者。
上述實施例討論對于對象的某些評價方法�����。其他實施例可對第一次使用有一個價格���,并周期性地需要另外的維護支付���。價格可以是每次使用支付,對每個特征有附加費用����。例如起動電子郵件程序是一個價格�,打印每個電子郵件增加另外的費用。另外��,視頻節(jié)目可具有有剛小于兩倍運行時間的壽命周期����,允許暫停以及停止回放��,但不允許看節(jié)目兩次�����,視頻可具有如一個小時或一天的固定的壽命周期�����。
雖然參考特定實施例描述了本發(fā)明��,但實施例僅是說明性的�,不是對本發(fā)明的限制���,本發(fā)明的范圍唯一地由附在后面的權(quán)利要求確定���。
權(quán)利要求
1.一種用于信息安全的方法,其特征在于�����,所述方法包括下列步驟接收信息���;第一次鑒別所述信息��;授權(quán)所述信息�;存儲所述信息;且第二次鑒別所述信息��。
2.如權(quán)利要求1所述的信息安全的方法����,其特征在于,所述的方法還包括檢測一個事件的步驟���,該事件啟動授權(quán)檢查和鑒別檢查中的至少一個�。
3.如權(quán)利要求2所述的信息安全的方法����,其特征在于,所述事件是檢查點���、不可預(yù)見周期�、預(yù)定周期與預(yù)定時間表中至少一個���。
4.如權(quán)利要求1所述的信息安全的方法,其特征在于����,所述信息包括軟件�����、驅(qū)動程序�、固件���、視頻���、聲頻和數(shù)據(jù)中的至少一個。
5.如權(quán)利要求1所述的信息安全的方法��,其特征在于所述第一次鑒別信息的步驟包括在下載以后鑒別所述信息�;和所述第二次鑒別信息的步驟包括在使用該信息前鑒別該信息。
6.如權(quán)利要求1所述的信息安全的方法���,其特征在于�,所述方法還包括檢索信息���,其中所述信息包括應(yīng)用程序�����;鑒別所述應(yīng)用程序��;并運行所述應(yīng)用程序����。
7.如權(quán)利要求6所述的信息安全的方法,其特征在于���,所述的鑒別所述應(yīng)用程序的步驟包括解密所述信息的至少一部分�����。
8.如權(quán)利要求1所述的信息安全的方法����,其特征在于還包括接收第一授權(quán)信息��;接收第二授權(quán)信息��,它替代第一授權(quán)信息以擴展授權(quán)的權(quán)利�����。
9.如權(quán)利要求1所述的信息安全的方法,其特征在于還包括下列步驟在應(yīng)用程序執(zhí)行期間識別一檢查點����;和響應(yīng)上述步驟��,完成鑒別和授權(quán)中的至少一個�。
10.一種內(nèi)容遞交系統(tǒng),其特征在于包括存儲內(nèi)容的一個存儲器�;接收內(nèi)容的一個網(wǎng)絡(luò)端口;和在軟件中的多個檢查點����,其中每段內(nèi)容至少經(jīng)受兩個檢查點。
11.如權(quán)利要求10所述的內(nèi)容遞交系統(tǒng)��,其特征在于��,多個檢查點中的每一個啟動鑒別和授權(quán)中的至少一個����。
12.如權(quán)利要求10所述的內(nèi)容遞交系統(tǒng),其特征在于���,所述內(nèi)容包括軟件�����、驅(qū)動程序�����、固件���、視頻���、聲頻和數(shù)據(jù)中的至少一個。
13.如權(quán)利要求10所述的內(nèi)容遞交系統(tǒng)��,其特征在于�,還包括耦聯(lián)到網(wǎng)絡(luò)端口的內(nèi)容提供者。
14.如權(quán)利要求10所述的內(nèi)容遞交系統(tǒng)�,其特征在于,還包括訪問控制處理器�����,它完成鑒別和授權(quán)中的至少一個�����。
15.一種鑒別和授權(quán)信息的方法,其特征在于��,所述方法包括下列步驟接收信息�����;鑒別所述信息���;授權(quán)所述信息;如運行過程�,它檢查鑒別和授權(quán)中的至少一個。
16.如權(quán)利要求15所述的鑒別和授權(quán)信息的方法���,其特征在于����,所述方法還包括一檢測事件的步驟����,該事件啟動鑒別和授權(quán)中至少一個。
17.如權(quán)利要求16所述的鑒別和授權(quán)信息的方法�,其特征在于,所述事件是檢查點�����、不可預(yù)見的周期、預(yù)定周期和預(yù)定時間表中的至少一個�����。
18.如權(quán)利要求15所述的鑒別和授權(quán)信息的方法����,其特征在于,鑒別信息的所述步驟包括解密所述信息的至少一部分��。
19.如權(quán)利要求15所述的鑒別和授權(quán)信息的方法���,其特征在于�����,所述信息包括軟件���、驅(qū)動程序、固件��、視頻��、聲頻和數(shù)據(jù)中的至少一個。
20.如權(quán)利要求15所述的鑒別和授權(quán)信息的方法����,其特征在于,還包括下列步驟接收第一授權(quán)信息����;和接收第二授權(quán)信息,它替代第一授權(quán)信息以擴展授權(quán)權(quán)利���。
21.一種供給有條件訪問的機頂盒的內(nèi)容的鑒別和授權(quán)方法,其特征在于��,包括下述步驟�����;在有條件訪問的機頂盒中接收所述內(nèi)容�;在有條件訪問的機頂盒中第一次鑒別所述內(nèi)容,和當(dāng)所述內(nèi)容在有條件訪問的機頂盒中被訪問時第二次鑒別所述內(nèi)容�。
22.如權(quán)利要求21所述的鑒別和授權(quán)對象的方法,其特征在于��,所述內(nèi)容包括對象和資源之一��。
23.如權(quán)利要求21所述的鑒別和授權(quán)對象的方法,其特征在于��,所述的有條件訪問機頂盒與一圖像顯示裝置集成���。
全文摘要
在有限制的訪問系統(tǒng)中使用檢查點保證對象和資源的安全�����。在一系列檢查點完成鑒別和/或授權(quán)檢查以保證對象和資源的安全性�。當(dāng)對象或資源的目的變得明顯以及在處理對象或資源的其他時間�,檢查點觸發(fā)檢查。
文檔編號H04N7/167GK1402935SQ00816331
公開日2003年3月12日 申請日期2000年10月6日 優(yōu)先權(quán)日1999年10月8日
發(fā)明者E·J·斯普蘭克 申請人:通用器材公司