專(zhuān)利名稱:通過(guò)安全模塊驗(yàn)證產(chǎn)品接入的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)字付費(fèi)電視領(lǐng)域�,其中用戶購(gòu)買(mǎi)根據(jù)付費(fèi)而進(jìn)行廣播的產(chǎn)品的消費(fèi)權(quán)。該付費(fèi)是從存儲(chǔ)在與用戶單元或解碼器相關(guān)的安全模塊中的信用記錄來(lái)借記的����。
背景技術(shù):
安全模塊的作用是用于控制接入傳輸由廣播服務(wù)器使得用戶可用的加密的數(shù)字?jǐn)?shù)據(jù)的流。例如�����,在付費(fèi)電視領(lǐng)域�,解碼器根據(jù)與所述解碼器相關(guān)的安全模塊中登記的權(quán)利來(lái)允許接入和譯碼廣播的加密音頻/視頻數(shù)據(jù)流。
通常��,安全模塊被定義為受保護(hù)的電子模塊以防止被篡改���,例如插入到恰當(dāng)?shù)淖x卡器中的可移動(dòng)的微處理器卡�,讀卡器連接該模塊和解碼器��。
該安全模塊提供有通信接口�,從管理中心接收用于管理接入廣播的數(shù)據(jù)的權(quán)利的消息。這些消息被稱為管理消息EMM(授權(quán)管理消息)��。
文檔WO03/085959描述了包括管理中心的系統(tǒng),該管理中心發(fā)送由包括在控制消息(ECM)中的控制字加密的數(shù)據(jù)流���。該數(shù)據(jù)流流向連接至由唯一的地址識(shí)別的安全模塊的至少一個(gè)用戶單元�。該模塊包括信用記錄�,其基于產(chǎn)品的購(gòu)買(mǎi)和數(shù)據(jù)流的消耗而減少。為了重新載入信用記錄��,用戶將代表安全模塊的唯一地址的標(biāo)識(shí)符和表示重新載入的數(shù)量的價(jià)值代碼傳送至管理中心��。管理中心在將允許重新載入信用記錄的加密的管理消息(EMM)發(fā)送至安全模塊之前處理和驗(yàn)證該價(jià)值代碼����。
當(dāng)在安全模塊中的信用記錄是充足的時(shí)候����,可以進(jìn)行兩個(gè)模式的購(gòu)買(mǎi),即 -本地購(gòu)買(mǎi)用戶決定使用部分或全部信用記錄來(lái)購(gòu)買(mǎi)產(chǎn)品��。因此����,在信用記錄減少之后,在安全模塊中創(chuàng)建新的權(quán)利來(lái)接收所述產(chǎn)品��。
-通過(guò)管理中心購(gòu)買(mǎi)用戶呼叫管理中心來(lái)購(gòu)買(mǎi)產(chǎn)品。然后管理中心發(fā)送包含對(duì)所述產(chǎn)品的接入權(quán)利以及從安全模塊的信用記錄中要被減少的數(shù)量的加密的管理消息(EMM)�����。
在兩種情況下����,通過(guò)處理包含產(chǎn)品的權(quán)利以及對(duì)應(yīng)的花費(fèi)的消息來(lái)進(jìn)行購(gòu)買(mǎi)。如果可用的信用記錄是充足的����,安全模塊處理該消息,即����,減少信用記錄并驗(yàn)證權(quán)利。在接收時(shí)�,該權(quán)利由此授權(quán)對(duì)廣播的產(chǎn)品的接入。
如果存儲(chǔ)在安全模塊中的信用記錄不是足夠的��,接收的EMM管理消息被拒絕并且不可能接入要求的產(chǎn)品��。當(dāng)用戶單元不可用并且由此不能驗(yàn)證要求的權(quán)利時(shí)�����,也可以產(chǎn)生相同的效果。因此��,接入控制系統(tǒng)和管理中心沒(méi)有任何關(guān)于信用記錄的實(shí)際使用的信息�,其當(dāng)不得不建立產(chǎn)品提供商的扣除時(shí)是一個(gè)缺點(diǎn)。
由于用戶單元沒(méi)有對(duì)于接入控制系統(tǒng)的直接的反饋通道��,關(guān)于發(fā)送消息的產(chǎn)品的有效消耗率不能被確定����。實(shí)際上,發(fā)送的消息的數(shù)量大于實(shí)際本地被處理以釋放對(duì)產(chǎn)品的接入的消息的數(shù)量��,管理中心可以支付給提供商一些剩余的權(quán)利和/或產(chǎn)品��,其既沒(méi)有被消耗����,也沒(méi)有被用戶支付��。
在通過(guò)管理中心購(gòu)買(mǎi)的時(shí)候���,用戶發(fā)送請(qǐng)求���,該請(qǐng)求包含安全模塊標(biāo)識(shí)符以及與產(chǎn)品或選擇的服務(wù)相關(guān)的代碼��。當(dāng)通過(guò)獨(dú)立于廣播的數(shù)據(jù)的接收通道的反饋通道進(jìn)行發(fā)送時(shí)�,例如通過(guò)電話或通過(guò)短消息(SMS)發(fā)送請(qǐng)求時(shí)�����,不能進(jìn)行安全模塊標(biāo)識(shí)符與有效用戶的對(duì)應(yīng)關(guān)系的驗(yàn)證���。實(shí)際上���,可能通過(guò)例如適當(dāng)?shù)能浖园踩K標(biāo)識(shí)符產(chǎn)生一些服務(wù)和產(chǎn)品代碼,并且將它們發(fā)送至管理中心�。管理中心分析這些請(qǐng)求,接收那些中心的數(shù)據(jù)庫(kù)已知的安全模塊標(biāo)識(shí)符的請(qǐng)求��,以廣播指向與識(shí)別的安全模塊標(biāo)識(shí)符相關(guān)的單元的管理消息EMM��。在接收這些EMM消息的時(shí)候�,對(duì)應(yīng)于識(shí)別的模塊的標(biāo)識(shí)符的安全模塊將它們的信用記錄借記(debit)在不知相關(guān)的單元的用戶的情況下。在輸入代表用戶的代碼中出現(xiàn)的錯(cuò)誤也可以導(dǎo)致EMM消息的發(fā)送�,導(dǎo)致另一個(gè)用戶單元的信用記錄的不適當(dāng)?shù)慕栌洝_@樣借記的概率與網(wǎng)絡(luò)中的服務(wù)中的單位數(shù)目成比例地增加�����。
文檔US6810525描述了通過(guò)通信網(wǎng)絡(luò)用于推動(dòng)服務(wù)的購(gòu)買(mǎi)的方法和系統(tǒng)。服務(wù)購(gòu)買(mǎi)請(qǐng)求是從訂購(gòu)終端發(fā)送至接入控制中心的���,接入控制中心產(chǎn)生包括服務(wù)標(biāo)識(shí)符和相關(guān)的權(quán)利的加密的消息�����。該終端接收這個(gè)消息以及選擇的服務(wù)的花費(fèi)���,并且驗(yàn)證可用的信用記錄是否是充足的。在驗(yàn)證成功的情況下����,通過(guò)終端的應(yīng)用產(chǎn)生安全標(biāo)志。在接入控制中心處理購(gòu)買(mǎi)請(qǐng)求之前�����,將這個(gè)標(biāo)志發(fā)送到網(wǎng)絡(luò)的服務(wù)器來(lái)確定訂購(gòu)者的權(quán)利的狀態(tài)�。這個(gè)服務(wù)購(gòu)買(mǎi)系統(tǒng)被應(yīng)用至雙向網(wǎng)絡(luò)配置,其中訂購(gòu)者終端永久地連接至驗(yàn)證標(biāo)志的接入控制中心和服務(wù)器���。由于這個(gè)系統(tǒng)使用根據(jù)終端優(yōu)選地使用反饋通道的驗(yàn)證標(biāo)志的點(diǎn)對(duì)點(diǎn)發(fā)送,這個(gè)系統(tǒng)構(gòu)成了對(duì)從其他用戶的不期望的借記的問(wèn)題的解決方案。然而��,在具有獨(dú)立于僅用于發(fā)送請(qǐng)求的終端的反饋通道的廣播系統(tǒng)中�,不容易自動(dòng)地執(zhí)行該方法。手動(dòng)執(zhí)行將暗示用戶發(fā)送兩個(gè)消息購(gòu)買(mǎi)請(qǐng)求和終端生成的標(biāo)志�。這個(gè)方法對(duì)于在線可用的快速?zèng)_動(dòng)購(gòu)買(mǎi)是不舒服的和苛求的。
文檔EP1398966描述了用于由接收機(jī)的用戶執(zhí)行的交易而沒(méi)有反饋通道的系統(tǒng)�。該系統(tǒng)包括廣播中心(頭端)、通信網(wǎng)絡(luò)和提供有適于通過(guò)通信網(wǎng)絡(luò)接收廣播中心發(fā)送的數(shù)字?jǐn)?shù)據(jù)的顯示器的接收機(jī)����。該接收機(jī)包括配置以顯示識(shí)別模塊的第一唯一代碼的安全模塊;這個(gè)代碼使得能夠創(chuàng)建交易標(biāo)志�����。也顯示識(shí)別要被訂購(gòu)的服務(wù)或產(chǎn)品的第二代碼�,這個(gè)代碼包括在廣播的產(chǎn)品的數(shù)據(jù)中。在購(gòu)買(mǎi)的時(shí)候����,用戶選擇產(chǎn)品,并將其標(biāo)識(shí)代碼和價(jià)格與安全模塊的唯一代碼(交易標(biāo)志)一起發(fā)送至廣播中心���。該發(fā)送通過(guò)獨(dú)立于接收機(jī)的通道執(zhí)行����,例如語(yǔ)音電話、短消息(SMS)等��。廣播中心將該標(biāo)志解碼���,并在安全模塊的數(shù)據(jù)庫(kù)中識(shí)別從標(biāo)志提取的標(biāo)識(shí)符之后釋放該產(chǎn)品�����。
這個(gè)系統(tǒng)通過(guò)發(fā)送能夠被廣播中心識(shí)別的并且對(duì)應(yīng)于一些服務(wù)中的安全模塊的識(shí)別代碼來(lái)致力于來(lái)自其他用戶的不期望的借記的問(wèn)題����。由于該系統(tǒng)處理以廣播模式的數(shù)據(jù)傳輸��,向網(wǎng)絡(luò)的所有接收機(jī)廣播允許看到產(chǎn)品以及在給定的接收機(jī)上的信用記錄的借記的管理消息�。在文檔EP1398966中提及的標(biāo)志的加密可以是這個(gè)問(wèn)題的解決方案。然而�����,加密密鑰和安全模塊的標(biāo)識(shí)符可以由惡意第三方確定�����,其可以由此系統(tǒng)地產(chǎn)生標(biāo)志以引起在或多或少的數(shù)目的接收機(jī)中的借記。
發(fā)明內(nèi)容
本發(fā)明的目的在于通過(guò)允許管理中心通過(guò)管理消息來(lái)確保提供給用戶的權(quán)利的改進(jìn)的控制以防止上述缺點(diǎn)�����。實(shí)際上��,僅當(dāng)存儲(chǔ)在用戶單元的信用記錄是充足的時(shí)候�,管理中心發(fā)送該消息��。
另一個(gè)目的是提供從發(fā)送包含管理中心識(shí)別的安全模塊的標(biāo)識(shí)符的假請(qǐng)求而導(dǎo)致的信用記錄的不恰當(dāng)?shù)慕栌浀钠帘巍?br>
這個(gè)目的通過(guò)一種方法實(shí)現(xiàn)��,該方法用于通過(guò)與雙向連接至發(fā)送指向安全模塊的管理消息的接入控制系統(tǒng)的用戶單元相關(guān)聯(lián)的安全模塊驗(yàn)證對(duì)產(chǎn)品的接入�,所述消息由接入控制系統(tǒng)在接收請(qǐng)求接入由廣播數(shù)字?jǐn)?shù)據(jù)組成的產(chǎn)品的權(quán)利之后生成,所述方法包括以下步驟 -購(gòu)買(mǎi)由用戶單元提出的產(chǎn)品��,并且安全模塊驗(yàn)證與產(chǎn)品相關(guān)的價(jià)值數(shù)量是否由剩余的信用記錄覆蓋����, -在確定為是的情況下,確定代表購(gòu)買(mǎi)的產(chǎn)品的代碼����, -在連接至用戶單元的顯示裝置上顯示所述代碼, -通過(guò)獨(dú)立于用戶單元的通道將至少包括所述代碼和代表安全模塊的標(biāo)識(shí)符的標(biāo)識(shí)符的請(qǐng)求發(fā)送至管理中心��, -接入控制系統(tǒng)驗(yàn)證代碼和安全模塊的標(biāo)識(shí)符的有效性, -發(fā)送指向與所述安全模塊相關(guān)的用戶單元的權(quán)利確認(rèn)消息�����, 本方法的特征在于�����,在購(gòu)買(mǎi)產(chǎn)品的過(guò)程中�����,當(dāng)剩余的信用記錄等于或大于與所述產(chǎn)品相關(guān)的價(jià)值數(shù)量時(shí)��,將臨時(shí)權(quán)利登記到安全模塊中�,所述的臨時(shí)權(quán)利由從管理中心接收的權(quán)利確認(rèn)消息來(lái)被確定權(quán)利替換,所述確定權(quán)利通過(guò)借記與所述產(chǎn)品相關(guān)的價(jià)值數(shù)量來(lái)授權(quán)對(duì)購(gòu)買(mǎi)的產(chǎn)品的接入��。
解決方案包括在接入控制系統(tǒng)證明安全模塊實(shí)際上適于創(chuàng)建用于購(gòu)買(mǎi)選擇的產(chǎn)品的權(quán)利�����。在購(gòu)買(mǎi)產(chǎn)品的過(guò)程中���,將與所述產(chǎn)品相關(guān)的價(jià)值數(shù)量和在安全模塊中剩余的信用記錄相比較�����。當(dāng)剩余的信用記錄等于或大于與產(chǎn)品相關(guān)的價(jià)值數(shù)量時(shí)�,在安全模塊中存儲(chǔ)臨時(shí)權(quán)利。識(shí)別特定于這個(gè)產(chǎn)品的權(quán)利的代碼與識(shí)別安全模塊的唯一數(shù)字相關(guān)聯(lián)�,并且然后以權(quán)利請(qǐng)求的方式被發(fā)送至管理中心�����。在接收到該請(qǐng)求的時(shí)候�����,接入控制系統(tǒng)產(chǎn)生權(quán)利確定消息���,其包括確定權(quán)利和作為接入確定權(quán)利的條件的識(shí)別代碼��。安全模塊接收這個(gè)確認(rèn)消息��,并且僅當(dāng)識(shí)別代碼對(duì)應(yīng)于臨時(shí)權(quán)利時(shí)�,使用消息的確定權(quán)利來(lái)取代臨時(shí)權(quán)利��。由此授權(quán)對(duì)產(chǎn)品的接入�����。否則,在不同的確定權(quán)利標(biāo)識(shí)符或沒(méi)有包括在臨時(shí)權(quán)利之中的情況下����,管理消息被拒絕,并且由于缺乏有效的權(quán)利拒絕對(duì)產(chǎn)品的接入���。
這個(gè)方法的優(yōu)點(diǎn)在于僅當(dāng)成功執(zhí)行安全模塊的信用記錄的驗(yàn)證時(shí)才由接入控制系統(tǒng)產(chǎn)生和發(fā)送確認(rèn)消息�。換句話說(shuō)��,如果與產(chǎn)品要求的相比安全模塊的初始信用記錄是不充足的�����,不產(chǎn)生向管理中心的請(qǐng)求�。
通常,管理中心和接入控制系統(tǒng)是兩個(gè)分開(kāi)的實(shí)體����。第一實(shí)體包含與管理權(quán)利請(qǐng)求的用戶的接口,同時(shí)第二實(shí)體根據(jù)從第一實(shí)體接收的請(qǐng)求生成用于用戶單元管理消息�。在某些配置中,這兩個(gè)實(shí)體可以集合在全局管理系統(tǒng)中。
這個(gè)方法解決了由其他用戶產(chǎn)生的不期望的借記的問(wèn)題�,因?yàn)閷?duì)購(gòu)買(mǎi)的產(chǎn)品的確定的接入的權(quán)利僅授予安全模塊包含對(duì)應(yīng)于選擇的產(chǎn)品的臨時(shí)權(quán)利的單元。沒(méi)有這個(gè)權(quán)利或?qū)?yīng)于不同的安全模塊和/或產(chǎn)品的另一個(gè)權(quán)利的單元將不受到權(quán)利確認(rèn)消息的影響�。因此,對(duì)于要被確定地借記的信用記錄的必要的補(bǔ)充條件是存在對(duì)應(yīng)于產(chǎn)品和給定安全模塊的臨時(shí)權(quán)利����。
本發(fā)明將從參考給出作為非限制例子的附圖的詳細(xì)描述中得到更好理解。
圖1表示執(zhí)行該方法的第一實(shí)施例的系統(tǒng)框體����,其中指向管理中心的用于接入權(quán)利的請(qǐng)求包括特定于購(gòu)買(mǎi)的產(chǎn)品的購(gòu)買(mǎi)代碼���;以及 圖2表示執(zhí)行該方法的第二實(shí)施例的系統(tǒng)框體����,其中指向管理中心的用于接入權(quán)利的請(qǐng)求包括從安全模塊和產(chǎn)品的標(biāo)識(shí)符計(jì)算的購(gòu)買(mǎi)代碼��。
具體實(shí)施例方式 在圖1表示的方法的第一實(shí)施例中�����,用戶從例如電視顯示器顯示的列表選擇產(chǎn)品(P1)����。產(chǎn)品的購(gòu)買(mǎi)使得進(jìn)行在與用戶單元(STB)或解碼器相關(guān)的安全模塊(SM)中存儲(chǔ)的信用記錄的驗(yàn)證處理�。這個(gè)信用記錄期望等于或大于選擇的產(chǎn)品(P1)的花費(fèi)���。在進(jìn)一步的實(shí)施例中���,特別是在同時(shí)購(gòu)買(mǎi)若干產(chǎn)品的情況下,對(duì)應(yīng)的花費(fèi)的數(shù)量可以被存儲(chǔ)在處理的信用記錄的寄存器中��,剩余的信用記錄被臨時(shí)借記���。這個(gè)處理對(duì)應(yīng)于產(chǎn)品的臨時(shí)購(gòu)買(mǎi)��,這將在以后由接入控制系統(tǒng)(CAS)驗(yàn)證��。
當(dāng)產(chǎn)品(P1)的價(jià)值數(shù)量對(duì)應(yīng)于低于或等于在模塊(SM)中剩余的信用記錄的借記時(shí)����,在安全模塊(SM)中登記臨時(shí)權(quán)利(D1t)�。特定于購(gòu)買(mǎi)的產(chǎn)品(P1)的代碼(CP1)或者從臨時(shí)權(quán)利(D1t)生成或者從產(chǎn)品(P1)的描述提取。根據(jù)配置例子��,這個(gè)代碼可以由安全模塊(SM)存儲(chǔ)并且當(dāng)執(zhí)行借記時(shí)與臨時(shí)權(quán)利(D1t)相關(guān)聯(lián)�����。
在解碼器(STB)中安裝的應(yīng)用允許為用戶顯示代碼,例如在電視顯示器上或在分離的圖形顯示器上顯示���。為了確認(rèn)購(gòu)買(mǎi)�,用戶通過(guò)它的安全模塊的標(biāo)識(shí)符(IDSM)將這個(gè)代碼(CP1)發(fā)送至管理中心(CG)����。
請(qǐng)求信息RQ(IDSM,CP1)通過(guò)例如固定或移動(dòng)電話網(wǎng)���、因特網(wǎng)或其他傳輸通道的通信通道被發(fā)送至管理中心(CG)����,通信通道通常獨(dú)立于解碼器(STB)�����。
請(qǐng)求RQ(IDSM�����,CP1)也可以以短消息SMS���、通過(guò)語(yǔ)音服務(wù)器����、通過(guò)電子郵件或通過(guò)管理中心(CG)同意的其他任意支持發(fā)送�����。
根據(jù)實(shí)施例����,解碼器通過(guò)藍(lán)牙或紅外IrDA(紅外數(shù)據(jù)聯(lián)盟)無(wú)線連接來(lái)發(fā)送請(qǐng)求至移動(dòng)電話。然后從接收的數(shù)據(jù)創(chuàng)建短消息(SMS)���,并且通過(guò)移動(dòng)網(wǎng)絡(luò)將短消息發(fā)送至管理中心�����。
根據(jù)另一個(gè)例子�����,解碼器提供有與管理中心的臨時(shí)連接�,其僅用于請(qǐng)求的發(fā)送而建立��。
管理中心(CG)向接入控制系統(tǒng)(CAS)提供請(qǐng)求參數(shù)。接入控制系統(tǒng)(CAS)首先驗(yàn)證安全模塊的標(biāo)識(shí)符(IDSM)以及產(chǎn)品代碼(CP1)的一致性�。驗(yàn)證的肯定結(jié)果授權(quán)產(chǎn)生包含確定權(quán)利(D1)的標(biāo)識(shí)符的確認(rèn)消息(CEMM)。
安全模塊(SM)通過(guò)解碼器(STB)接收消息(CEMM)��,并且如果臨時(shí)權(quán)利(D1t)實(shí)際上存儲(chǔ)在安全模塊(SM)中���,以確定權(quán)利(D1)取代臨時(shí)權(quán)利(D1t)�����。由此���,以前進(jìn)行的原來(lái)的購(gòu)買(mǎi)由授權(quán)對(duì)產(chǎn)品(P1)的接入而得到驗(yàn)證。
為了驗(yàn)證的目的���,確認(rèn)消息進(jìn)一步包括產(chǎn)品代碼(CP1’)��,僅當(dāng)產(chǎn)品代碼(CP1’)對(duì)應(yīng)于原來(lái)購(gòu)買(mǎi)的產(chǎn)品(P1)時(shí)����,用確定權(quán)利(D1)來(lái)取代臨時(shí)權(quán)利(D1t)���。在安全模塊存儲(chǔ)產(chǎn)品代碼(CP1)的實(shí)施例中�,由確認(rèn)消息(CEMM)返回的代碼(CP1’)必須與存儲(chǔ)的代碼(CP1)相同�。
這個(gè)方法的第一實(shí)施例的安全性可以是以伴隨有效產(chǎn)品代碼(CP1)的有效安全模塊(SM)標(biāo)識(shí)符(IDSM)來(lái)攻擊存包含請(qǐng)求RQ(IDSM,CP1)的重復(fù)發(fā)送的系統(tǒng)的目標(biāo)����。這些請(qǐng)求由于發(fā)送不會(huì)被驗(yàn)證的確認(rèn)消息(CEMM)而可以使接入控制系統(tǒng)過(guò)載。此外�,對(duì)于提供商的消耗的產(chǎn)品的統(tǒng)計(jì)和扣除將被嚴(yán)重影響。實(shí)際上���,接入控制系統(tǒng)(CAS)發(fā)送大量不必要的消息(CEMM)而不必然授權(quán)對(duì)產(chǎn)品(P1)的接入��。雖然有效的安全模塊標(biāo)識(shí)符(IDSM)��,確定權(quán)利(D1)可以是無(wú)效的��,因?yàn)槠洳粚?duì)應(yīng)于任何臨時(shí)權(quán)利(D1t)�,由此引起確認(rèn)信息(CEMM)被接收確定權(quán)利(D1)的單元(STB)拒絕���。
對(duì)于這種攻擊的屏蔽包含��,一方面�,安全模塊(SM)從購(gòu)買(mǎi)的產(chǎn)品(P1)和安全模塊的標(biāo)識(shí)符(IDP1)計(jì)算臨時(shí)權(quán)利的標(biāo)識(shí)符(IDD1t)�,另一方面����,通過(guò)用戶單元(STB)的個(gè)人密鑰(Kp)加密臨時(shí)權(quán)利的標(biāo)識(shí)符(IDD1t)�。這樣獲得的密碼形成了購(gòu)買(mǎi)代碼(CAP1)。
對(duì)管理中心(CG)的權(quán)利請(qǐng)求RQ(IDSM��,CAP1�����,IDP1)包括安全模塊的標(biāo)識(shí)符(IDSM)�����、購(gòu)買(mǎi)代碼(CAP1)以及購(gòu)買(mǎi)產(chǎn)品的標(biāo)識(shí)符(IDP1)���。接收到請(qǐng)求RQ(IDSM�����,CAP1�����,IDP1)��,接入控制系統(tǒng)(CAS)知道用戶單元的個(gè)人密鑰(Kp)���、產(chǎn)品的識(shí)別碼(IDPI)和安全模塊的標(biāo)識(shí)符(IDSM)來(lái)重新計(jì)算購(gòu)買(mǎi)代碼(CAP1)。以這種方式可以在響應(yīng)于請(qǐng)求準(zhǔn)備確認(rèn)信息(CEMM)之前確定接收的購(gòu)買(mǎi)代碼(CAP1)是否是有效的�����。在比較成功的情況下�,接入控制系統(tǒng)(CAS)僅向由安全模塊的標(biāo)識(shí)符(IDSM)識(shí)別的單元(STB)發(fā)送包含授權(quán)接入產(chǎn)品(P1)的確定權(quán)利(D1)的條件消息(CEMM)。
該方法的這個(gè)實(shí)施例具有使得上述系統(tǒng)攻擊更困難的優(yōu)點(diǎn)�����,因?yàn)橘?gòu)買(mǎi)代碼(CAP1)依賴于安全模塊的標(biāo)識(shí)符(IDSM)和產(chǎn)品的標(biāo)識(shí)符(IDP1)���,而不再如第一實(shí)施例中那樣依賴于產(chǎn)品的標(biāo)識(shí)符(IDP1)���。此外,以安全模塊(SM)的秘密個(gè)人密鑰(Kp)加密購(gòu)買(mǎi)代碼(CAP1)�����。
圖2所示的第二實(shí)施例允許通過(guò)增強(qiáng)的購(gòu)買(mǎi)代碼(CAP1)獲得處理的更高的安全性,增強(qiáng)的購(gòu)買(mǎi)代碼(CAP1)不僅僅依賴于購(gòu)買(mǎi)的產(chǎn)品(P1)�����,還依賴于安全模塊(SM)�����。實(shí)際上��,后者從產(chǎn)品的標(biāo)識(shí)符(IDP1)以及從安全模塊的標(biāo)識(shí)符(IDSM)通過(guò)以用戶單元(STB)的個(gè)人密鑰(Kp)將它們加密來(lái)計(jì)算這個(gè)代碼(CAP1)��。為了通過(guò)通信通道被發(fā)送至管理中心(CG)�����,密碼Kp(IDP1�,IDSM)或獲得的購(gòu)買(mǎi)代碼(CAP1)被顯示在可用的顯示裝置上。應(yīng)該注意的是個(gè)人密鑰既可以是對(duì)稱類(lèi)型也可以是非對(duì)稱類(lèi)型���。
管理中心(CG)將請(qǐng)求RQ(IDSM�����,CAP1����,IDP1)引導(dǎo)至接入控制系統(tǒng)(CAS)用以驗(yàn)證安全模塊的標(biāo)識(shí)符(IDSM)和產(chǎn)品的標(biāo)識(shí)符(IDP1)的一致性以及購(gòu)買(mǎi)代碼(CAP1)。購(gòu)買(mǎi)代碼由接入控制系統(tǒng)(CAS)重新計(jì)算并且與請(qǐng)求中包含的一個(gè)相比較�。
當(dāng)確認(rèn)密碼Kp(IDP1���,IDSM)的內(nèi)容的有效性的時(shí)候�����,接入控制系統(tǒng)(CAS)產(chǎn)生包含條件確認(rèn)消息(CEMM)���,包含確定權(quán)利(D1)以及臨時(shí)權(quán)利(D1t)的標(biāo)識(shí)符作為消息的接收條件。
消息(CEMM)優(yōu)選地由所述安全模塊(SM)的個(gè)人密鑰加密�����。如在第一實(shí)施例中���,當(dāng)臨時(shí)的標(biāo)識(shí)符是正確的時(shí)候�,確認(rèn)消息(CEMM)的權(quán)利(D1)取代臨時(shí)權(quán)利(D1t)��。確定權(quán)利(D1)允許對(duì)購(gòu)買(mǎi)的產(chǎn)品(P1)的接入��。
當(dāng)消息(CEMM)沒(méi)有由用戶單元(STB)接收或不是由管理中心發(fā)送的時(shí)候,在創(chuàng)建這個(gè)權(quán)利(D1t)之后沒(méi)有接收到消息的預(yù)定周期結(jié)束之后時(shí)����、或者在廣播已經(jīng)創(chuàng)建了這個(gè)權(quán)利(D1t)的產(chǎn)品(P1)的時(shí)候,臨時(shí)權(quán)利(D1t)終止�����。在這個(gè)實(shí)施例中����,在購(gòu)買(mǎi)時(shí)登記的產(chǎn)品的代碼包含關(guān)于廣播日期和小時(shí)的信息。在臨時(shí)權(quán)利(D1t)終止的時(shí)候���,安全模塊的剩余信用記錄的數(shù)量被復(fù)位到購(gòu)買(mǎi)產(chǎn)品(P1)之前的初始值�����,由此允許安全模塊對(duì)于產(chǎn)品進(jìn)行新的接入驗(yàn)證���。
當(dāng)驗(yàn)證沒(méi)有成功時(shí),接入控制系統(tǒng)(CAS)不產(chǎn)生任何消息(CEMM)��。如果密碼Kp(IDP1���,IDSM)不是正確的�,不發(fā)送消息(CEMM)并且臨時(shí)權(quán)利(D1t)將持續(xù)到其終止。在兩種情況下����,由于在安全模塊(SM)中缺少確定權(quán)利(D1),對(duì)于“預(yù)購(gòu)”產(chǎn)品(P1)的接入維持禁止���。
這兩個(gè)實(shí)施例允許接入控制系統(tǒng)(CAS)將安全模塊(SM)和購(gòu)買(mǎi)的產(chǎn)品(P1)的標(biāo)識(shí)符(IDSM,IDP1)分別存儲(chǔ)在數(shù)據(jù)庫(kù)(DB)中�。優(yōu)選地當(dāng)購(gòu)買(mǎi)代碼(CAP1)的各自的產(chǎn)品代碼(CP1)被成功驗(yàn)證時(shí)發(fā)生這個(gè)記錄。這允許為了報(bào)償產(chǎn)品提供商而建立用戶單元購(gòu)買(mǎi)的產(chǎn)品的歷史�、扣除和統(tǒng)計(jì)。
簡(jiǎn)化的方法包含向管理中心發(fā)生表示信用記錄的信息�。在購(gòu)買(mǎi)之前,用戶讓用戶單元生成購(gòu)買(mǎi)代碼���。這個(gè)代碼由剩余的信用記錄和安全模塊的標(biāo)識(shí)符形成���。其也可以由例如日期的時(shí)間值完成。
這個(gè)代碼被用戶與它的安全模式的標(biāo)識(shí)符以及期望的產(chǎn)品的標(biāo)識(shí)符一起發(fā)送���。接入控制系統(tǒng)或管理中心基于接收的安全模塊標(biāo)識(shí)符來(lái)從代碼中提取信用記錄的值�。如果信用記錄相對(duì)于產(chǎn)品的價(jià)格是足夠的,包含權(quán)利和產(chǎn)品的價(jià)值數(shù)量的對(duì)應(yīng)的購(gòu)買(mǎi)消息被發(fā)送至安全模塊����。安全模塊在存儲(chǔ)權(quán)利和由此允許接入產(chǎn)品之前驗(yàn)證信用記錄實(shí)際上對(duì)于期望的產(chǎn)品是否是足夠的。
應(yīng)該注意的是這個(gè)簡(jiǎn)化的方法并不比圖1的第一實(shí)施例更安全����,其同樣地易受到包含在如上所述的接入控制系統(tǒng)中的攻擊。
權(quán)利要求
1.一種方法����,用于通過(guò)與雙向連接至發(fā)送指向安全模塊(SM)的管理消息的接入控制系統(tǒng)的用戶單元(STB)相關(guān)聯(lián)的安全模塊(SM)驗(yàn)證對(duì)產(chǎn)品(P1)的接入,所述消息由接入控制系統(tǒng)(CAS)在接收請(qǐng)求接入由廣播數(shù)字?jǐn)?shù)據(jù)組成的產(chǎn)品的權(quán)利之后生成��,所述方法包括以下步驟
-購(gòu)買(mǎi)由用戶單元提出的產(chǎn)品����,并且安全模塊(SM)驗(yàn)證與產(chǎn)品(P1)相關(guān)的價(jià)值數(shù)量是否由剩余的信用記錄覆蓋,
-在確定為是的情況下�����,確定代表購(gòu)買(mǎi)的產(chǎn)品(P1)的代碼(CP1)�����,
-在連接至用戶單元(STB)的顯示裝置上顯示所述代碼(CP1),
-通過(guò)獨(dú)立于用戶單元(STB)的通道將至少包括所述代碼(CP1)和代表安全模塊(SM)的標(biāo)識(shí)符(IDSM)的標(biāo)識(shí)符(ID’SM)的請(qǐng)求(RQ)發(fā)送至管理中心(CG)�����,
-接入控制系統(tǒng)(CAS)驗(yàn)證代碼(CP1)和安全模塊的標(biāo)識(shí)符(IDSM)的有效性��,
-發(fā)送指向與所述安全模塊(SM)相關(guān)的用戶單元(STB)的權(quán)利確認(rèn)消息(CEMM)�����,
本方法的特征在于�����,在購(gòu)買(mǎi)產(chǎn)品(P1)的過(guò)程中���,當(dāng)剩余的信用記錄等于或大于與所述產(chǎn)品(P1)相關(guān)的價(jià)值數(shù)量時(shí),將臨時(shí)權(quán)利(D1t)登記到安全模塊(SM)中�,所述的臨時(shí)權(quán)利(D1t)由從管理中心(CG)接收的權(quán)利確認(rèn)消息(CEMM)來(lái)被確定權(quán)利(D1)替換,所述確定權(quán)利(D1)通過(guò)借記與所述產(chǎn)品(P1)相關(guān)的價(jià)值數(shù)量來(lái)授權(quán)對(duì)購(gòu)買(mǎi)的產(chǎn)品(P1)的接入��。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于��,確認(rèn)消息(CEMM)包括產(chǎn)品代碼(CP1’)���,其中當(dāng)確認(rèn)消息(CEMM)的產(chǎn)品代碼(CP1’)對(duì)應(yīng)于原來(lái)購(gòu)買(mǎi)的產(chǎn)品(P1)時(shí),確認(rèn)消息(CEMM)的確定權(quán)利(D1)取代安全模塊(SM)中存儲(chǔ)的臨時(shí)權(quán)利(D1t)��。
3.根據(jù)權(quán)利要求2所述的方法���,其特征在于�����,產(chǎn)品代碼(CP1’)對(duì)應(yīng)于在指向管理中心的請(qǐng)求中發(fā)送的代碼(CP1)�。
4.根據(jù)權(quán)利要求1所述的方法���,其特征在于�����,代碼(CP1)包含在與廣播的產(chǎn)品(P1)或與要被廣播的產(chǎn)品相關(guān)的通用管理消息中�����。
5.根據(jù)權(quán)利要求1所述的方法�����,其特征在于��,由電話以短消息的形式或者通過(guò)語(yǔ)音服務(wù)器���、通過(guò)電子郵件或任何其他管理中心支持的通道發(fā)送請(qǐng)求(RQ)至管理中心(CG)�����。
6.根據(jù)權(quán)利要求1所述的方法���,其特征在于,代碼包含有購(gòu)買(mǎi)的產(chǎn)品(P1)的標(biāo)識(shí)符(IDP1)和以用戶單元(STB)的個(gè)人密鑰(Kp)加密的安全模塊(SM)的標(biāo)識(shí)符(IDSM)形成的密碼Kp(IDSM���,IDP1)。
7.根據(jù)權(quán)利要求6所述的方法����,其特征在于,請(qǐng)求(RQ)進(jìn)一步包括購(gòu)買(mǎi)的產(chǎn)品(P1)的標(biāo)識(shí)符(IDP1)�。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于����,接入控制系統(tǒng)(CAS)驗(yàn)證代碼(CP1)或密碼Kp(IDSM��,IDP1)的一致性以及安全模塊(SM)的標(biāo)識(shí)符的一致性��,并且僅當(dāng)驗(yàn)證是肯定的時(shí)候��,授權(quán)發(fā)送確認(rèn)消息(CEMM)至所述安全模塊(SM)�。
9.根據(jù)權(quán)利要求8所述的方法�,其特征在于,接入控制系統(tǒng)(CAS)在接收到請(qǐng)求(RQ)時(shí)從安全模塊和產(chǎn)品的標(biāo)識(shí)符(IDSM���,IDP1)重新計(jì)算密碼Kp(IDSM����,IDP1)��,并且將其與包含在請(qǐng)求(RQ)中的密碼比較�,當(dāng)比較的結(jié)果是肯定的時(shí)候,接入控制系統(tǒng)(CAS)發(fā)送包括肯定的權(quán)利(D1)以及臨時(shí)權(quán)利(D1t)的標(biāo)識(shí)符的確認(rèn)消息(CEMM)作為所述消息的接收條件��。
全文摘要
本發(fā)明涉及一種方法�,用于通過(guò)與雙向連接至發(fā)送指向安全模塊(SM)的管理消息的接入控制系統(tǒng)的用戶單元(STB)相關(guān)聯(lián)的安全模塊(SM)驗(yàn)證對(duì)產(chǎn)品(P1)的接入,該接入控制系統(tǒng)發(fā)送指向安全模塊(SM)的管理消息,所述消息由接入控制系統(tǒng)(CAS)在接收請(qǐng)求接入由廣播數(shù)字?jǐn)?shù)據(jù)組成的產(chǎn)品的權(quán)利之后生成����。所述方法包括以下步驟購(gòu)買(mǎi)由用戶單元提出的產(chǎn)品,并且安全模塊(SM)驗(yàn)證與產(chǎn)品(P1)相關(guān)的價(jià)值數(shù)量是否由剩余的信用記錄覆蓋���,在肯定響應(yīng)的情況下����,確定代表購(gòu)買(mǎi)的產(chǎn)品(P1)的代碼(CP1)����;所述代碼(CP1)顯示在與用戶單元(STB)相關(guān)的可視化元件上;至少包括所述代碼(CP1)和代表安全模塊(SM)的標(biāo)識(shí)符(IDSM)的標(biāo)識(shí)符(ID’SM)的請(qǐng)求(RQ)被通過(guò)通道發(fā)送到管理中心(CG)��,其獨(dú)立于用戶單元(STB)�����;接入控制系統(tǒng)(CAS)檢查代碼(CP1)和安全模塊的標(biāo)識(shí)符(IDSM)的有效性�,并且發(fā)送指向與安全模塊(SM)相關(guān)的用戶單元(STB)的權(quán)利確認(rèn)消息(CEMM)。本發(fā)明的特征在于在購(gòu)買(mǎi)產(chǎn)品(P1)的過(guò)程中�,當(dāng)剩余的信用記錄等于或大于與所述產(chǎn)品(P1)相關(guān)的價(jià)值數(shù)量時(shí)�����,將臨時(shí)權(quán)利(D1t)寫(xiě)入到安全模塊(SM)中,所述的臨時(shí)權(quán)利(D1t)由從管理中心(CG)接收的權(quán)利確認(rèn)消息(CEMM)來(lái)被確定權(quán)利(D1)替換����,確定權(quán)利(D1)通過(guò)借記與所述產(chǎn)品(P1)相關(guān)的價(jià)值數(shù)量來(lái)授權(quán)對(duì)購(gòu)買(mǎi)的產(chǎn)品(P1)的接入。
文檔編號(hào)H04N7/173GK101401425SQ200780008816
公開(kāi)日2009年4月1日 申請(qǐng)日期2007年3月13日 優(yōu)先權(quán)日2006年3月13日
發(fā)明者洛朗斯·帕里佐 申請(qǐng)人:耐瑞唯信有限公司