CN1255266A - 防止欺诈性接入一个条件接入系统的方法和装置 - Google Patents

Abstract

如果一个接收机/解码器已经接收到至少一个先前日历时期的一个先前EMM的话,则编程该接收机/解码器只接收当前授权控制消息(EMM)。当其被接收到时,它被用于检查在该接收机/解码器中的当前权限。本发明防止原来用户通过断开解码器(在授权消息能够更新该解码器的存储器以防止解密之前)然后重新连接该解码器(以便被错误地当作合法具有这些权限的新用户)而欺诈性获得权限。

Description

防止欺诈性接入一个条件接入系统的方法和装置

本发明涉及一种用于防止欺诈性接入连接到用户接收机/解码器的条件接入系统的方法和装置。该技术可以用于数据通信领域，其中例如由一个授权的用户接收机/解码器接收和解码被传输的加密数据。

此间所用术语“接收机/解码器”指的是一个用于接收编码或者未编码信号，例如电视和/或无线电信号的接收机。该术语也可以指一个用于解码所接收信号的解码器。这种接收机/解码器的实施例可以包括与接收机集成在一起的解码器，例如在“机顶盒”中用于解码接收到的信号，或者用作与一个物理上分开的接收机结合使用的解码器。

上面提到该接收机/解码器被“连接到”条件接入系统，包括该接收机/解码器或者形成该条件接入系统的一部分或者与其分开两种可能。

本发明特别可以、但不限于用于具有下面某些或者全部优选特征的大市场广播系统。它可以是一个信息广播系统，优选是一个无线电和/或电视广播系统；它可以是一个卫星系统(虽然它可以应用于有线或地面传输)；它可以是一个数字系统，优选使用MPEG、更希望使用MPEG-2压缩系统用于数据/信号传输；它可以给予交互性的可能；它也可以是一个智能卡。另外，本发明可以与一个数字音像传输系统合用。在本发明的上下文中，术语“数字音像传输系统”指所有传输或广播主要是音像或多媒体数字数据的传输系统。虽然本发明可特别应用于广播数字电视系统，但是本发明也可以同样用于过滤由一个固定电信网络为多媒体因特网应用等发送的数据。

这里所用的术语“智能卡”包括、但不限于任何基于芯片的，拥有例如微处理器和/或存储器的卡设备。该术语还包括具有多种物理形状的芯片设备，例如钥匙形状的设备，它们常常用于TV解码器系统中。

术语MPEG指数据传输标准，它由国际标准组织工作组“动画专家组”开发，特别但不限于MPEG-2标准，它为数字应用而开发并陈述在文件ISO 13818-1、ISO 13818-2、ISO 13818-3和ISO 13818-4中，在本发明申请的上下文中，该术语包括MPEG格式可应用于数字数据传输领域的所有变体、修改或发展。

本发明的目的是提供一种数据通信方法、发射机和接收机/解码器，它们可以在安全的基础上用于提供数据给例如具有接收权限的用户或者其它买主。

在现有的广播系统中，用户使用智能卡得到接收权限，而根据本发明发现，存在防止滥用该卡骗取权限所有者的问题。

例如，在一个已知的MPEG电视用户系统中，当然可以例如以月为基础检查不同用户或用户组的权限，然后从一个中心站给每一用户或者用户组发送授权消息，授予(或者封锁)使用权限。适合的是，授权消息只是在不同位图位置处的“1”或“0”，它被分配给该月的各用户身份，只在“1”出现时给在各自位图位置的用户授予使用权限，而“0”拒绝使用该权限。

根据本发明确定该系统有下述问题。例如，如果原来的用户停止对该权限付款，过去一定时间后，系统在先前指定的位图位置将不再标识原来的用户，于是该位置可能重新分配给一个“新”用户的身份。如果该新用户为使用该权限付款并从而被授权使用该权限，则在该位图位置处重新为“1”。如果在“原来”用户的接收机/解码器上在下一授权消息能够更新一个链接的条件接入系统(与“原来用户”关联)之前解码器断开连接，以及如果解码器后来重新连接(或者如果时钟重新设定)的话，则会把“原来”用户错误地作为“新”用户，被授权使用该权限，从而“原来”用户欺诈获得该权限。

本发明寻求解决该问题以及其它类似或相关问题，其中用户权限可以在一段时期上授予，通常取决于但不限于帐目结算。例如，可以考虑付费以外的事情授权，其中可以给不同用户授权使用一个系统，获得对一个安全区域或安全信息或某些其它安全服务的接入。

在本发明的上下文中使用术语“EMM”和“ECM”。

授权管理消息即EMM是分配给一个用户或者一个用户组的消息。它通常由一个订购授权系统产生，并用MPEG-2流多路转换。它通常使用所谓的“管理”密码例如为组使用加密。因此，可以用一个对一个用户组中的所有用户公共的密码加密。

授权控制消息即ECM是关于一个加密节目发送的消息。ECM能使用户解密一个控制字以获得解密一个电视(或类似)节目的权限。一个密码(此处指一个“ECM密码”)通过EMM传递给一个用户，因为由该用户使用的智能卡需要ECM密码来解密该ECM。解密的ECM用于解密该控制字，并从而解密该节目。

根据本发明的一个方面，提供一种防止欺诈性接入一个条件接入系统的方法，该条件接入系统连接到用户接收机/解码器，用于接收一用户组的授权管理消息(EMM)，以使所述系统为各用户提供接入，所述方法包括步骤：

如果一个接收机/解码器已至少接收到一个先前日历时期的一个先前的EMM的话，则编程该接收机/解码器只接受当前日历时期的一个当前EMM。

因此可以解决防止欺诈性接入的问题。

该方法优选进一步包括步骤：

使用当前EMM传输冗余日期信息；接收当前的EMM和使用冗余日期信息来检验是否已接收到所述先前的EMM。

在第一优选实施例中，每一EMM中包括涉及当前接入权限的权限日期信息和涉及先前接入权限的相应检验日期信息，这样的检验日期信息组成冗余日期信息。这可以是实施本发明的一种特别高效的方式。

在第二优选实施例中，冗余日期信息是先前日历时期的一个ECM密钥。这是表示该种信息一种方便的替代方式。

用户权限可能以规律的时间基础改变，而冗余日期信息可以涉及一个紧接在前面的时期。

在本发明图示的一个例子中，其中接收机/解码器是在一个广播系统中的多个接收机/解码器中的一个，用户需要为接收一个或多个节目的权限当月付费，而用户权限可以以月为基础改变(因为一些用户未付费)。然后可以使用位图指示当月的权限。在这种情况下，当解码器接收到当前EMM时，冗余日期信息，例如“先前的”ECM密钥，应该是紧接在前面的一月的。然而，顺序时期不是必需的，因为“当前”和“先前”时期可能在时间上是不相邻的，而在这种时期之间可能有不规则的实际时间。然而，通常先前的EMM是为一个紧接在前面的日历时期，且时期是顺序的。

当用户权限有所变化时，优选在当前EMM中包括一个用户位图，它具有表示该组用户的订购权限的位置。然而，在所有用户被授权，例如所有用户为各日历时期他们的订购付费的场合，这一点不是必须的；因此这一点有可能只发生在用户权限有变化的场合。

根据本发明的另一方面，提供一个发射机供在防止欺诈性接入一个条件接入系统的方法中使用，该系统连接到用户接收机/解码器上，用于接收一组用户的一个授权管理消息(EMM)，以使所述系统为各用户提供接入，该接收机/解码器被编程为只接收当前日历时期的当前EMM，如果它已接收到先前日历时期的至少一个先前EMM的话，该发射机包括：

用当前日历时期的一个当前EMM传输冗余日期信息的设备，使得接收机/解码器可以使用该冗余日期信息来检查是否已接收到所述先前EMM。

每一EMM优选包括涉及当前接入权限的权限日期信息和涉及先前接入权限的相应检验日期信息，这样的检验日期信息组成冗余日期信息。另一可选择的方案是该冗余日期信息可以是一个先前日历时期的一个ECM密钥。

根据本发明的另一方面，提供一个在防止欺诈性接入一个条件接入系统的方法中使用的接收机/解码器，所述接收机/解码器连接到该条件接入系统上，用于接收一组用户的授权管理消息(EMM)，以使所述系统为各用户提供接入，该接收机/解码器包括：

如果已经接收到先前日历时期的至少一个先前EMM的话，被编程为只接收当前日历时期的当前EMM的设备。

可以编程所述设备以通过使用在当前EMM包括的冗余日期信息检查是否已经接收到所述先前的EMM。

每一EMM可以包含关于当前接入权限的权限日期信息和关于先前接入权限的相应检验日期信息，这样的检验日期信息组成冗余日期信息。另一可选择的方案是该冗余日期信息可以是一个先前日历时期的一个ECM密钥。

本发明进一步提供一个基本上在这里参考附图说明且在附图中表示的接收机/解码器。

虽然本发明的优选实施例涉及卫星电视系统，但是本发明可应用于其它包括有线网络的其它数据通信网络(不一定处理电视信号)。

下面纯粹以举例方式参考附图说明本发明的优选特征。

图1表示一个数字电视系统的总结构；

图2表示一个智能卡的总结构；

图3表示用于条件接入系统中所用的授权管理消息(EMM)的结构；

图4表示由对在一组中的所有用户共用的一个组管理密钥Kg加密的EMM的结构，用于图示在现有系统中存在的问题；

图5表示按照本发明的加密的EMM的部分结构；

图6表示第一优选实施例；

图7是表示第一优选实施例的流程图；以及

图8表示另一个优选实施例。

图1表示一个数字广播和接收系统1000，它包括一个常规数字电视系统2000，该系统使用已知的MPEG-2压缩系统来传输压缩的数字信号。位于广播中心里的MPEG-2压缩器2002接收数字信号流(通常为视频信号流)。压缩器2002通过连线2006连接到多路转换器和加密器2004。多路转换器2004接收多个另外的输入信号，组装一个或多个传送流，经由链路2010传输压缩的数字信号到广播中心的发射机2008链路2010当然可以采取多种形式，包括电信链路。发射机2008经由上行链路2012向卫星转发器2014发射电磁信号，在这里它们被电子处理，并经由抽象的下行链路2016广播到地面接收机/解码器2018，通常为由终端用户拥有或租用的碟形天线。由接收机/解码器2018接收的信号被传输到终端用户拥有或租用，并连接到终端用户的电视装置2022上的集成接收机/解码器2020。接收机/解码器2020把压缩的MPEG-2信号解码为用于电视装置2022的电视信号。

条件接入系统3000(允许在条件基础上的接入)连接到多路转换器2004和接收机/解码器2020，一部分位于广播中心，一部分位于解码器。它能使终端用户从一个或多个广播供应商接入数字电视广播。智能卡能够解密与商业供货有关的消息(也就是说，广播供应商卖的一个或一系列电视节目)，它能插进接收机/解码器2020。使用解码器2020和智能卡，终端用户可以以订购方式或按每次观看付费方式购买收视权限。

条件接入系统3000包括用户授权系统(SAS)。该SAS通过各自的TCP-IP链路(也可以使用其它类型的链路)与一个或多个用户管理系统(SMS)相连，每一个广播供应商有一个SMS。另一可选择的方案是，两个广播供应商可以共享一个SMS，或者一个供应商可以使用两个SMS，等等。

交互系统4000也连接到多路转换器2004和接收机/解码器2020，同样一部分位于广播中心，一部分位于解码器，能使终端用户经由一个被调制解调的返回信道4002与各种应用程序交互作用。

由于数字电视系统的构造和操作众所周知，详细的细节不再叙述。

一个子代(daughter)或“用户”智能卡在图2中示意性表示，它包含一个8位微处理器100，例如摩托罗拉6805微处理器，具有连接到一个标准触点阵列的输入/输出总线，它在使用时与接收机/解码器2020的读卡机里的一个相应触点阵列连接，读卡机为常规设计。微处理器100还用总线连接到优选屏蔽的ROM 104，RAM 106和EEPROM 108。该智能卡遵守ISO 7816-1、7816-2和7816-3标准协议，它们分别决定智能卡的某些物理参数，芯片上的触点位置，和在外部系统(特别是接收机/解码器2020)和该智能卡之间一定的通讯，因此它们不在这儿进一步叙述。微处理器100的一个功能是管理智能卡里的存储器。

现在参考图3叙述典型EMM的结构。基本上，EMM作为一个数字数据位序列实现，它包含头标3060，EMM本体(proper)3062和签名3064。头标3060依次包含类型标识符3066、长度标识符3068、该EMM的一个可选地址3070、操作者标识符3072和密钥标识符3074。类型标识符3066标识该类型是个人、用户组、听众或某些其他类型，长度标识符3068给出该EMM的长度。EMM本体3062当然根据它的类型而变化。但是，在本上下文里该EMM是所谓的“组更新”EMM，如不久描述的。最后，典型8字节长度的签名3064提供一些检查该EMM里其余数据错误的方法。

本发明主要涉及以下背景。

在使用MPEG的现有广播系统里，为了减少发送每月用户授权(EMM)消息需要的带宽，惯常使用组更新EMM，它用对该组所有用户公共的组管理密钥Kg来加密。如图4所示，EMM本体包括一个通常为256位的用户位图3100。位图的每一位对应一个用户。在所给例子中，位#3对应于用户#3。该EMM本体还包括权限部分3102，它详述该组所有用户该月的订购权限，以及包括该月和通常下个月的ECM密钥。假定用户已经正确付了一月份的收视费，该位置上的正位1的出现将给用户的解码器(在他用密钥Kg解密该消息后)指示，该用户的确被授权接收由收视权限部分规定的该组中节目。有效使用以ECM密钥解密的ECM对单个节目译码。

如果用户没有支付二月份的必需费用，则该位图将在该位置包含一个零位0。在接收机/解码器里的智能卡对该消息解码后，位#3处零的出现将对解码器指示，它不再被授权接收这些权限。智能卡将记下这点并采取适当动作。实际上，删除有关密钥的指令可在一个分开的EMM中发送。

对三月份这一月来说，新用户很有可能被带进组里。这经常发生，因为用户组经常重组以减少组的数量和需要发送的EMM消息的数量。在这种情况下，新用户将被分配给位#3。当新用户用其密钥Kg解码该消息时，他将在该位置处检测到正位1，指示他被授权接收相应于该组的权限。

现在发现以上描述的系统容易被欺诈性使用。在用户#3的例子里，他可以只在二月份断开解码器。如果他这样做，他不会收到二月份的EMM，也不会收到删除有关密钥的指令。

在三月份重新连接解码器，能使现在的欺诈解码器解码三月份的EMM，包括位#3的正位消息(打算用于新用户的)。然后解码器将断定它可以继续获取与该组关联的权限，并且出现反常的情况，即组消息的位#3将实际上给予两个解码器权限；新的正当的用户和前一个欺诈性用户。

该问题通过与每个EMM传输顺序冗余检查日期信息来克服，如图5的略图所示。如果每个接收机/解码器2020已经至少收到前一月的EMM，则将其编程为仅接受一个EMM消息。因为权限每月变化，所以只需要相对于先前权限(它包含在先前权限部分3104中)检查存储在解码器里的当前权限(其包含在当前权限部分3102中)。

在现在参考图6详细叙述的第一优选实施例中，借助于形式为检验日期3110的冗余日期信息相对于先前权限检查存储在接收机/解码器中的当前权限。由于EMM本体3062除了权限日期(或过时日期)3112外，还包含检查日期3110，表示包含在该EMM中的新权限生效的日期。。检查日期比权利日期早一个月(或另一个合适的时间期间)。EMM本体还包含以一个或通常多个ECM密钥3114形式的权限自身；至少提供一个本月的ECM密钥，以及在本优选实施例中下月的一个ECM密钥。

图6还表示图2所示智能卡的EEPROM108的有关内容。这些内容是存入智能卡的权限日期3116。

现在参考图7的流程图说明处理组更新EMM的方式。在第一步骤3200，接收机/解码器2020接收EMM并把有关数据传递给智能卡，所述智能卡被插入接收机/解码器并为此目的考虑作为接收机/解码器的一部分。该EMM由与各种存储器104、106和108结合的智能卡微处理器100来处理。在第二步骤3202，相对于有关用户检查用户位图3100。如果“1”出现在位图里的相关位置上，则微处理器就进一步处理该EMM，如果“0”出现在相关位置上，则处理停止。在第三步骤3204，存储的权限日期3116与检查日期3110核对。如果检查日期小于或等于存储的权限日期，那么处理就继续；否则处理停止。在第四即最后步骤3206，存储的权限日期3116在微处理器的控制下转换成新广播的权限日期3112。从而能恰当使用广播ECM密钥3114。

现在返回图6，参考表示(作为例子)1998年一月、二月和三月的三行介绍第一优选实施例的操作。首先可以理解，组更新EMM在整个有关月以多次广播。对于1997年十二月份这一月，智能卡EEPROM108将存入权限日期31.1.98，以便能够使用十二月份的相关ECM密钥。对一月份来说，假定与十二月份EMM一起广播一月份(下个月)ECM密钥，而且权限日期是31.1.98，则用户将会继续具有权限，即使在成功收到一月份EMM之前。在第一次成功收到一月份EMM时，由于检查日期31.1.98不晚于存储权限日期31.1.98，则存储的权限日期就变化为新广播权限日期3112，它为28.2.98。在一月份里进一步收到一月份EMM，执行图7所示步骤3200到3206，但是存储的权限日期不变。

在二月里，如果一方面用户#3保持他的接收机/解码器2020开关为开，则二月份EMM将被收到并传送到智能卡，但是因为(图7的步骤3202)位图里有关位置值是“0”，因此存储的权限日期将不变，作为28.2.98保留。另一方面，如果接收机/解码器2020开关设置为关，相似地，存储的权限日期将不变，尽管(这将会理解)是由于不同的原因。

在三月份里，不管用户位图的有关位置现值是“1”还是“0”，存储的权限日期将仍然不变，因为检查日期31.3.98将晚于存储的权限日期28.2.98，因此用户将没有他能用于三月份的ECM密钥。因此他的权限将被有效停止。实际上，该权限只能通过一个专门重激活EMM来恢复。

第二优选实施例可认为与第一优选实施例密切相关，其中，在广播EMM中的检查日期3110由前一月的ECM密钥置换，存储的权限日期3116由当月的(与下月的相反)ECM密钥置换。因此在当月的消息中广播上月的ECM密钥。比较ECM自身之间或者与这些ECM密钥关联的(并与之广播的)日期。在无论哪种情况，都认为该广播ECM密钥表示冗余日期信息，因为ECM密钥自身与某特定月关联。

因此，参考图5，在第一次接收到一月份EMM之前(它将包含十二月份ECM密钥作为冗余日期信息)，智能卡将在其内存储十二月份ECM密钥。广播和存储的ECM密钥之间的比较结果将是肯定的，因此将把十二月份ECM密钥改变为一月份ECM密钥。

如果欺诈用户在二月份已经断开解码器，则接收到的最后权限将是一月份。当三月份的EMM到达时，解码器将检测到没有二月份的ECM密钥，采取相应的动作，例如，警告系统当局出现问题，拒绝传送三月份的权限，等等。

前两个优选实施例特别优越，因为它们使用存储在智能卡中的信息，这些信息通常无论如何也要存储。这允许经济地使用智能卡内的存储空间。

在第三优选实施例中，在智能卡中存储前面几个月的冗余日期信息。例如，除存储上月信息外，还可以存储上上月或更前面月份的信息。

在第四优选实施例中，可以用任何合适的检验数据3110(例如一个完全不同的、可能是随机的检查日期或者其它随机数)代替检查日期3110，而且这可以相应代替存储的权限日期3116存储在智能卡中。在这种情况下，除权限日期3112以外，可能广播另外的检验数据，有可能是为下月而存储在智能卡中的数据而不是权限日期3112，供与检验数据3110进行比较。

在第五实施例中，不广播冗余日期信息；而由智能卡或者接收机/解码器保存是否接收到每一月的EMM的一个记录。如果上月的EMM未接收到的话，则按照上面第一实施例所述，停止对本月EMM的进一步执行。该记录例如可以采取表的形式。该表可以包括每一月的EMM或ECM或其一部分。

作为上面的一种变体，如果所有用户正确地交付了他们的收视费，则可能不需用EMM发送用户位图，因为该消息将完全由正1值组成。因此，为简单起见，位图只为用户改变发送，如图8所示。

应该理解，上面叙述的本发明仅作为例子，可以在本发明的范围内对细节加以修改。

Claims (17)

1.防止欺诈性接入一个条件接入系统的方法，该条件接入系统连接到用户的接收机/解码器，用以接收给一个用户组的授权管理消息(EMM)，使所述系统为各用户提供接入，该方法包括步骤：

如果接收机/解码器已经至少接收到前一日历时期的一个先前的EMM，则编程该接收机/解码器只接受当前日历时期的一个当前的EMM。

2.根据权利要求1的方法，进一步包括步骤：

发送具有当前EMM的冗余日期信息；接收该当前EMM，并使用冗余日期信息检查是否收到所述先前的EMM。

3.根据权利要求2的方法，其中，每一EMM包括涉及当前接入权限的权限日期信息和涉及一个先前接入权限的相应检查日期信息，这种检查日期信息组成冗余日期信息。

4.根据权利要求2或3的方法，其中，冗余日期信息是先前日历时期的一个ECM密钥。

5.根据权利要求2到4中任何一个权利要求的方法，其中，用户权限以规律的时间基础改变，冗余日期信息涉及最接近的前一时期。

6.根据前述权利要求中任何一个权利要求的方法，其中，日历时期在时间上不相邻，和/或在这种时期之间存在不规律的实际时间量。

7.根据前述权利要求中任何一个权利要求的方法，其中，可选仅当用户权限改变时当前EMM包括一个用户位图，它有表示该组用户订购权限的位置。

8.用在防止欺诈性接入一个条件接入系统的方法中的发射机，所述条件接入系统连接到用户的接收机/解码器，用以接收给一个用户组的授权管理消息(EMM)，使所述系统为各用户提供接入，如果接收机/解码器已经至少接收到一个前一日历时期的一个先前的EMM，则编程该接收机/解码器只接收当前日历时期的一个当前的EMM，该发射机包括：

发送具有当前日历时期的一个当前EMM的冗余日期信息的设备，使得该冗余日期信息可以由接收机/解码器使用来检查是否接收到所述先前EMM。

9.根据权利要求8的发射机，其中，每一EMM包括涉及一个当前接入权限的权限日期信息和涉及一个先前接入权限的相应检查日期信息，这种检查日期信息组成冗余日期信息。

10.根据权利要求8或9的发射机，其中，冗余日期信息是先前日历时期的一个ECM密钥。

11.用在防止欺诈性接入一个条件接入系统的方法中的接收机/解码器，所述接收机/解码器连接到该条件接入系统，用以接收给一个用户组的授权管理消息(EMM)，使所述系统为各用户提供接入，该接收机/解码器包括：

编程为只接受当前日历时期的一个当前EMM的设备，如果该设备已经至少接收到一个前一日历时期的一个先前的EMM的话。

12.根据权利要求11的接收机/解码器，其中，编程所述设备通过使用包括在当前EMM中的冗余日期信息检查是否接收到所述先前EMM。

13.根据权利要求12的接收机/解码器，其中，每一EMM包括涉及一个当前接入权限的权限日期信息和涉及一个先前接入权限的相应检查日期信息，这种检查日期信息组成冗余日期信息。

14.根据权利要求12或13的接收机/解码器，其中，冗余日期信息是先前日历时期的一个ECM密钥。

15.基本上如在此间参考附图说明的防止欺诈性接入的一种方法。

16.基本上如在此间参考附图说明并在其中表示的一种发射机。

17.基本上如在此间参考附图说明的接收机/解码器。

Images