專利名稱:解除與再激活安全模塊的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于解除(deactivate)與再激活安全模塊,特別是用于對有條件訪問數(shù)據(jù)的訪問控制的一種方法��,這方法允許在更新期間以新的安全模塊代替例如以芯片卡的形式制成的安全模塊����。
背景技術(shù):
具體來說,在付費(fèi)TV領(lǐng)域�,安全模塊包含三個不同的角色,這些角色的每一個具有不同的權(quán)限和用于轉(zhuǎn)移或使用這些權(quán)限的手段�����。這些角色是安全模塊的用戶�����,操作者和制造者�����。
用戶可以獲得與由操作者提出的事件或事件組相聯(lián)系的權(quán)限。一旦通過定購或者通過推動購買獲得這些權(quán)限����,借助于管理消息(EMM)這些權(quán)限被加載到用戶安全模塊。當(dāng)接收者收到對應(yīng)于其權(quán)限已經(jīng)獲得的事件的加密內(nèi)容時��,安全模塊對接收者給出必要的手段以解碼該內(nèi)容���。這樣該事件可以明文顯示����。
如果權(quán)限在安全模塊中不存在�,則用來加密對應(yīng)于事件的內(nèi)容的控制字不由安全模塊發(fā)送回解碼器,且事件不能以明文顯示����。
上述的第二角色,操作者具有與希望廣播的事件相聯(lián)系的權(quán)限及加密手段�����。這些加密方法用來加密事件的內(nèi)容��,以便以只有獲得這些權(quán)限的用戶才能夠以明文看到該事件的方式廣播�����。通常,要傳送的內(nèi)容借助于控制字加密���,控制字按規(guī)律的間隔改變���,以防止控制字解密,該控制字可用來使已經(jīng)以所述控制字加密的事件的重要部分可視化�。
如所周知����,這些控制字在與事件對應(yīng)的的內(nèi)容流不相關(guān)的控制消息流(ECM)中被傳送到用戶。
第三個角色是安全模塊提供者��。提供者與操作者類似��,具有與事件不相關(guān)但與安全模塊管理相關(guān)聯(lián)的權(quán)限�����。他還具有使用特別高的安全級別加密的手段���。實(shí)際上��,如果安全模塊的安全性被破壞��,則易于使用偽造的安全模塊�����,當(dāng)解碼器問在安全模塊中是否包含與特定事件相關(guān)聯(lián)的權(quán)限時�����,將不變地作出肯定的回答����。這種情形下,操作者將不能再出售任何與他建議廣播的事件相關(guān)的權(quán)限���。
由于這些不同的原因�����,建議把可訪問高級別功能的實(shí)體數(shù)目限制到最小�。
然而實(shí)際上���,操作者可能需要加入與全部安全模塊參數(shù)集相關(guān)的一定高級別的功能����。具體來說,這出現(xiàn)在當(dāng)必須實(shí)現(xiàn)新的安全模塊�����,特別由于模塊的更新時����。
當(dāng)前,在這種更新中��,用戶例如通過郵件接收一個新的安全模塊�����,并具有一定的時間撤銷老的安全模塊�,以將其銷毀或?qū)⑵浒l(fā)送回提供者�����,并代以新的模塊�����。
從模塊提供者的觀點(diǎn)來說,對于這些代替可以使用兩種方法�����。這些方法之一在于在寄存器中引入預(yù)定的值�,以便指示卡不得再使用,另一方法在于刪除寄存器中所有的值�。
在改變寄存器中的值的第一個方法中,向安全模塊發(fā)送一個命令�����。管理中心作為安全的管理消息(EMM)傳送這一命令�����。該消息可單個地發(fā)送給每一用戶�,或一個或幾個用戶組,或所有的用戶����。這一消息的目的是在專用存儲器部分中寫入該安全模塊不再有效。每次啟動所述模塊的內(nèi)部軟件將校驗(yàn)這一值���,并且如果這一值指示模塊無效��,保持在待命模式��。這一方法的優(yōu)點(diǎn)在于����,在任何更新問題的情形下,能夠發(fā)送新的消息�,其再次改變相關(guān)寄存器中的預(yù)定值,以便再激活卡�。這方法的缺陷在于這樣的事實(shí),即知道包含在安全模塊中的數(shù)據(jù)寄存器結(jié)構(gòu)的人員�����,能夠修改適當(dāng)?shù)募拇嫫髦袛?shù)據(jù)的值����,并使安全模塊再激活���。因而���,兩個安全模塊可同時存在,這是不希望有的情形����。
第二個方法在于刪除寄存器中所有的值以及權(quán)限���,并借助于也是包含在管理消息中的命令進(jìn)行,這一消息是被加密的��。這一命令激活存在于安全模塊中的軟件���,并在制造期間被引入�����。這一方法的優(yōu)點(diǎn)在于�����,一旦命令被傳送并由安全模塊接收���,就不能通過對寄存器之一的值的作用再激活卡。這就防止了卡的任何非授權(quán)使用��。其缺陷在于其也阻止了卡被安全模塊的操作者或提供者激活�����,而這在任何更新問題的情形下可能是需要的。
發(fā)明內(nèi)容
本發(fā)明是要通過執(zhí)行一種安全模塊更新方法��,避免先有技術(shù)過程的缺陷��,其中特別困難的是在非授權(quán)下再激活先前解除的模塊�����,同時還提供了借助于授權(quán)角色再激活所述模塊的可能性�����。此外�,操作者和/或模塊提供者能夠進(jìn)行先前被解除的模塊的再激活,而無須把由提供者保持的安全性轉(zhuǎn)移到操作者����。
這一目的是通過一種用于解除和再激活安全模塊的方法實(shí)現(xiàn)的,該模塊特別用于有條件訪問的數(shù)據(jù)的訪問控制�,安全模塊包含多個含有值的寄存器,這一方法包括發(fā)送含有可執(zhí)行代碼的至少一個管理消息的步驟�,所述可執(zhí)行代碼加載到安全模塊的存儲器并然后執(zhí)行����。
參照不同實(shí)施例和附圖的說明將可更好地理解本發(fā)明及其優(yōu)點(diǎn)��,其中圖1表示根據(jù)本發(fā)明方法的第一實(shí)施例�,其中安全模塊被解除��;圖2表示該方法的一個實(shí)施例��,其中在圖1中公開的已解除的模塊被再激活��;圖3示意圖表示根據(jù)本發(fā)明過程的幾組安全模塊的解除��;圖4示出根據(jù)圖3所示公開的方法已解除的一組安全模塊的再激活��。
具體實(shí)施例方式
在根據(jù)本發(fā)明方法的第一實(shí)施例中���,安全模塊能夠同時或批量地被解除����。在本實(shí)施例的說明中�,同時或批量的解除之間是沒有區(qū)別的。這第一實(shí)施例示出在更新問題的情形下解除和再激活安全模塊的一種方法�,不論被處理的模塊數(shù)目或這些模塊處理的時延如何。
根據(jù)本發(fā)明的方法���,當(dāng)希望更新安全模塊或模塊組時����,管理中心向這一模塊組發(fā)送一個特定的管理消息。這一管理消息包含一個可執(zhí)行代碼(RUM-EMM)���。
這一代碼被加載到安全模塊的存儲器中��,并作用于其寄存器R1��,R2��,R3�����,Rn以及包含在這些寄存器中的數(shù)據(jù)值����,或作用于讀取這些值的途徑��,以便按模塊操作者和/或提供者已知的方式修改這一數(shù)據(jù)�。為此,可考慮不同的修改數(shù)據(jù)方式��。包含在寄存器中的數(shù)據(jù)可借助于對稱或非對稱加密密鑰被加密;能夠借助于簡單的函數(shù)(異或���,偏移,…)對寄存器擾頻�����;能夠混合幾個寄存器的內(nèi)容�。還能夠在不改變寄存器的數(shù)據(jù)或內(nèi)容之下通過對分配表中的指針加密或擾頻而使它們的讀取成為不可能。還能夠發(fā)送一個可執(zhí)行代碼以代替安全模塊的主要元件����。這些主要元件例如可能涉及控制消息(ECM)讀取容量。然而����,一定的主要元件不應(yīng)當(dāng)被修改,因?yàn)闆]有它們將不能使解除的模塊再激活�����。這些元件例如是處理管理消息(EMM)容量的數(shù)據(jù)�����。當(dāng)然,也可提供這些不同的技術(shù)的組合�����。
因而可執(zhí)行程序或代碼不僅作用于已確定的寄存器的值���,而且作用于幾個寄存器的幾個值�����。應(yīng)當(dāng)注意��,包含在寄存器中所有的數(shù)據(jù)保持在安全模塊中�,但已受到使模塊不能使用的修改���。由于實(shí)際的原因��,存儲器的這一改變將由這一失效在寄存器中的輸入伴隨��,以防止模塊把已改變的數(shù)據(jù)作為真實(shí)數(shù)據(jù)處理���。可執(zhí)行代碼還能夠從安全模塊存儲器刪除這一代碼被結(jié)束���,使得代碼一旦已執(zhí)行����,則其不能在模塊中再存在,或這一代碼至少一部分不再存在��。根據(jù)實(shí)際但非必須的一實(shí)施例�����,可執(zhí)行代碼能夠與存儲在安全模塊中的一個或多個程序元件一同工作���,使得可執(zhí)行代碼與這些程序元件必須呈現(xiàn)出能夠進(jìn)行模塊的更新。這些程序元件例如可用于在存儲器中寫入�����,刪除存儲器的一部分等�。
按上述所作,即使知道模塊的寄存器結(jié)構(gòu)��,如果不能得到用于擾頻或加密的可執(zhí)行代碼���,則解除的模塊的再激活也將是不可能的�����。擾頻在圖1中示意公開�。應(yīng)當(dāng)注意,如前所述可執(zhí)行代碼可包括由管理中心發(fā)送的部分���,以及在安全模塊中存儲的另一部分���,這兩部分應(yīng)當(dāng)一同工作以進(jìn)行模塊的再激活。存儲在安全模塊中的可執(zhí)行代碼部分的分析不允許發(fā)送的可執(zhí)行代碼部分被推導(dǎo)出來�。這樣就不能在沒有授權(quán)之下再激活先前解除的模塊。
圖2示出根據(jù)參照圖1所述的方法���,希望再激活已解除的安全模塊的部分或全部的情形�。例如當(dāng)在更新模塊時出現(xiàn)問題時�����,可能有這樣的情形�。這種情形下,管理中心使用與先前發(fā)送的代碼逆向作用�,向被解除的模塊或模塊組發(fā)送一個可執(zhí)行代碼(RUN-EMM-1)。這一新的代碼具有修改先前由用來擾頻或加密的可執(zhí)行代碼處理過的寄存器值的功能����。這一再激活可在屬于預(yù)定組的所有模塊或只是它們的某些中進(jìn)行���。明顯的是,這只有當(dāng)?shù)玫皆试S反擾頻或解碼的可執(zhí)行代碼時才能進(jìn)行�����。
與先有技術(shù)中的處理相比��,這一方法呈現(xiàn)不同的優(yōu)點(diǎn)�����。一方面�,它是可逆的����,這意味著如果由于任何原因需要進(jìn)行已確定組的安全模塊的再激活,則這能夠易于進(jìn)行�。另一方面,它提供了非常好的安全性���,因?yàn)樵诓恢涝试S對其進(jìn)行反擾頻的代碼時�����,就不能使已解除的模塊再激活�����。
上述方法能夠由操作者或安全模塊的提供者兩者使用��。然而����,由于在一這操作期間安全級別必須顯著地高,最好是安全模塊提供者負(fù)責(zé)該方法�。
在以下的說明中,根據(jù)本發(fā)明的方法中所述的實(shí)施例考慮了與被處理的安全模塊的數(shù)目��、可用帶寬及處理這些模塊所需時間相關(guān)的要求�����。
實(shí)際上�,明顯的是,要改變大量的安全模塊�,不能對每一模塊發(fā)送包含可執(zhí)行代碼的消息。實(shí)際上,為了使更新有效率�����,必須在例如一年這樣的長時間周期廣播更新消息���。反之�����,則希望能夠?qū)λ幸桓碌哪K或它們的大部分只廣播一個消息���。
首先,安全模塊被劃分為組�,例如這些組按安全模塊制造日期,以及它們與用戶組或希望進(jìn)行安全模塊改變的組的部分的對應(yīng)關(guān)系定義���。
作為一例,能夠把將接收一個新安全模塊的人群劃分為四個組��,命名為L1到L4���,如圖3中示意所示�����。每一組接收一個管理消息����,該消息以特定標(biāo)記的形式包含其所屬的組的號碼L1,L2�����,L3或L4��。這一消息可在相當(dāng)長的時間周期例如6個月到一年期間發(fā)送����,以保證所有用戶收到該消息。標(biāo)記是為此目的在安全模塊中引入到寄存器之一的一個特定值���。包含該標(biāo)記的管理消息可同時送給所有安全模塊�,或按另一方式一次交替地發(fā)送給一組�,具體取決于被處理的模塊數(shù)目和可用帶寬。一個優(yōu)越的實(shí)施例在于每次按規(guī)則間隔例如每周向一個組發(fā)送管理消息��。應(yīng)當(dāng)注意�,按默認(rèn),每一安全模塊可包含其值為零的一個標(biāo)記。當(dāng)明確了模塊已收到包含標(biāo)記的一個消息時���,必須理解除非明顯另有規(guī)定��,否則這標(biāo)記已有了一個非零的值����。
在一些時間之后��,當(dāng)所有組的安全模塊的大部分可能已收到標(biāo)記時��,模塊提供者發(fā)送先前根據(jù)圖1所述的一個可執(zhí)行代碼RUN-EMM�����。這一代碼首先驗(yàn)證包含該標(biāo)記的寄存器的內(nèi)容�,以便驗(yàn)證安全模塊是否屬于必須進(jìn)行更新的組之一。根據(jù)一特定實(shí)施例��,標(biāo)記寄存器的內(nèi)容在正常使用狀態(tài)�,也就是說當(dāng)不計劃進(jìn)行更新時可以是零��,并在計劃進(jìn)行更新其模塊收到標(biāo)記時高于零���。這種情形下����,可執(zhí)行代碼由其標(biāo)記嚴(yán)格高于零的所有安全模塊,就是說由其已收到并處理了包含標(biāo)記的管理消息的所有模塊�,來執(zhí)行。如上所述�����,這一代碼有對安全模塊不同寄存器的內(nèi)容擾頻或加密的效果�,以便使得在沒有配置反擾頻或解密代碼情形下任何人都不能使用。
這一可執(zhí)行代碼RUN-EMM在很長的時間周期期間可規(guī)則地發(fā)送�����,使得其作用于所有如以上定義的包含標(biāo)記的安全模塊�。因而如果包含標(biāo)記的安全模塊從它所連接的解碼器撤出,如果其再被引入到解碼器�,則將被解除。
根據(jù)一個實(shí)施例����,替代在所有其標(biāo)記高于零的模塊中執(zhí)行代碼,還能夠只在其中標(biāo)記具有確定值例如3的安全模塊中執(zhí)行代碼���。這種情形下����,每一組安全模塊被獨(dú)立處理,其允許更靈活地更新模塊��,但需要對含有可執(zhí)行代碼的消息更復(fù)雜的管理�。
發(fā)送含有可執(zhí)行代碼的消息并這樣與其相關(guān)的安全性由提供者管理。對于操作者����,他管理含有標(biāo)記的消息的發(fā)送,并通知提供者關(guān)于含有可執(zhí)行代碼的消息何時能夠被發(fā)送的時間����。
當(dāng)一組的安全模塊例如由于錯誤的更新必須被再激活時,可能有兩個變種�����。在第一個變種中��,一個確定的組被再激活��。作為一個例子���,圖4中的號碼3的組在如上所述被解除之后被再激活���。這種情形下,當(dāng)借助于其標(biāo)記識別出要被再激活的組時�����,安全模塊提供者發(fā)送類似于根據(jù)圖2所述的可執(zhí)行代碼����,其作用是對寄存器及模塊的值反擾頻。為此����,這一可執(zhí)行代碼首先確定安全模塊中標(biāo)記的值。然后其比較這一值與必須對其作用的模塊組的值����。如果這一值與該標(biāo)記相同,則代碼被執(zhí)行且寄存器被反擾頻�。因而所述的安全模塊被再激活。其中標(biāo)記的值不同于被再激活的組的值的模塊保持解除并于是不可使用�。
在這一方法的變種中,再激活不作用于預(yù)定的組���,但作用于呈現(xiàn)確定特性的所有安全模塊�。當(dāng)模塊或模塊組必須被再激活時,操作者首先發(fā)送含有預(yù)定標(biāo)記例如具有值-1的一個消息�。這一標(biāo)記代替先前包含在相關(guān)模塊中的標(biāo)記。
這種情形下�,然后提供者發(fā)送含有如前所述可執(zhí)行代碼的消息,其作用是對具有值為-1的標(biāo)記的安全模塊的寄存器和值反擾頻����。這一類型的消息可由安全模塊提供者按規(guī)則發(fā)送。至于操作者��,他能夠發(fā)送修改標(biāo)記的值的消息��,使得它們有-1的值����。因而,操作者本身能夠獨(dú)立于模塊提供者管理安全模塊的再激活���,而后者不必向操作者傳送特別秘密的加密數(shù)據(jù)����。
這一方法與先有技術(shù)中的處理相比呈現(xiàn)若干優(yōu)點(diǎn)��。實(shí)際上,在這些過程中����,安全模塊包含一個程序�,其允許預(yù)定的寄存器的值被改變,以致激活或解除模塊��。這種情形下����,模塊的詳細(xì)分析允許知道程序的效果,以及由此程序的最終模仿��。此外���,由于該程序存儲在模塊中�����,其只能在模塊制造期間按預(yù)見的起作用�����。因而其不呈現(xiàn)任何發(fā)展的可能性��。在根據(jù)本發(fā)明的方法中���,可執(zhí)行代碼在使用時的發(fā)送防止了內(nèi)容的分析����,并允許代碼被發(fā)送��,其對應(yīng)于在這時刻實(shí)際的應(yīng)用����,這樣能夠按要求以重要的方式發(fā)展。
權(quán)利要求
1.一種安全模塊解除和再激活方法���,特別用于對有條件訪問的數(shù)據(jù)的訪問控制����,安全模塊包含多個含有值的寄存器(R1���,R2����,R3,Rn)����,該方法包括發(fā)送含有可執(zhí)行代碼的至少一個管理消息(RUN-EMM)的步驟,所述可執(zhí)行代碼加載到安全模塊的存儲器并然后被執(zhí)行���。
2.根據(jù)權(quán)利要求1的方法����,其特征在于�����,所述可執(zhí)行代碼(RUN-EMM)以可逆的方式修改包含在寄存器(R1�����,R2����,R3�����,Rn)中的所述值。
3.根據(jù)權(quán)利要求1或2的方法�,其特征在于,所述可執(zhí)行代碼(RUN-EMM)混合包含在寄存器(R1����,R2,R3����,Rn)中的所述值。
4.根據(jù)權(quán)利要求1或2的方法�����,其特征在于���,所述可執(zhí)行代碼(RUN-EMM)加密包含在寄存器(R1�,R2��,R3�,Rn)中的所述值。
5.根據(jù)權(quán)利要求1的方法����,其特征在于,包括發(fā)送含有標(biāo)記的消息的預(yù)先步驟,所述標(biāo)記對于確定的安全模塊組是共同的����,并對于每一組是不同的。
6.根據(jù)權(quán)利要求5的方法�,其特征在于,所述可執(zhí)行代碼(RUN-EMM)作用于含有標(biāo)記的所有安全模塊��。
7.根據(jù)權(quán)利要求5的方法�����,其特征在于�����,所述可執(zhí)行代碼(RUN-EMM)作用于含有具有確定值的標(biāo)記的所有安全模塊���。
8.根據(jù)權(quán)利要求1的解除和再激活方法,其特征在于�����,包括發(fā)送含有用于模塊再激活的可執(zhí)行代碼(RUN-EMM-1)的另一消息的步驟��,所述可執(zhí)行代碼(RUN-EMM-1)具有與用于安全模塊的解除的可執(zhí)行代碼(RUN-EMM)相反的功能。
9.根據(jù)權(quán)利要求8的方法����,其中安全模塊包含一個標(biāo)記,其特征在于���,包括確定每一安全模塊中的標(biāo)記的值的步驟�,以及發(fā)送至少一個含有可執(zhí)行再激活代碼(RUN-EMM-1)消息的步驟�����,所述可執(zhí)行代碼(RUN-EMM-1)具有與用于安全模塊解除的可執(zhí)行代碼(RUN-EMM)相反的功能�����,所述代碼在含有預(yù)定值標(biāo)記的所有安全模塊中執(zhí)行�����。
10.根據(jù)權(quán)利要求8的方法����,其特征在于包括發(fā)送用于修改標(biāo)記的值的消息的步驟,所述消息作用于所有含有預(yù)定值標(biāo)記的安全模塊����,使得這一標(biāo)記具有唯一預(yù)定基準(zhǔn)值��,并在于包括發(fā)送至少一個包含可執(zhí)行代碼(RUN-EMM-1)的消息的步驟����,所述可執(zhí)行代碼(RUN-EMM-1)具有與用于安全模塊解除的可執(zhí)行代碼(RUN-EMM)相反的功能����,所述代碼在含有預(yù)定基準(zhǔn)值標(biāo)記的所有安全模塊中執(zhí)行。
全文摘要
解除與再激活安全模塊的方法����,特別用來控制對有條件訪問的數(shù)據(jù)的訪問。這種安全模塊包括含有值的多個寄存器(R
文檔編號H04N7/16GK1757049SQ200480005807
公開日2006年4月5日 申請日期2004年3月2日 優(yōu)先權(quán)日2003年3月3日
發(fā)明者亨利·庫德爾斯基, 奧利維爾·布理克, 克里斯琴·威爾茲, 帕特里克·霍爾特 申請人:納格拉卡德股份有限公司