CN102802036B - 一种数字电视认证的***及方法 - Google Patents
一种数字电视认证的***及方法 Download PDFInfo
- Publication number
- CN102802036B CN102802036B CN201210260758.XA CN201210260758A CN102802036B CN 102802036 B CN102802036 B CN 102802036B CN 201210260758 A CN201210260758 A CN 201210260758A CN 102802036 B CN102802036 B CN 102802036B
- Authority
- CN
- China
- Prior art keywords
- certificate
- sim card
- key
- digital television
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 230000005540 biological transmission Effects 0.000 claims abstract description 15
- 239000013256 coordination polymer Substances 0.000 claims description 15
- 230000007246 mechanism Effects 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 6
- 238000013475 authorization Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000001914 filtration Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 238000004080 punching Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 239000004575 stone Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/41—Structure of client; Structure of client peripherals
- H04N21/418—External card to be used in combination with the client device, e.g. for conditional access
- H04N21/4181—External card to be used in combination with the client device, e.g. for conditional access for conditional access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/23—Processing of content or additional data; Elementary server operations; Server middleware
- H04N21/235—Processing of additional data, e.g. scrambling of additional data or processing content descriptors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/266—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
- H04N21/26613—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing keys in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/41—Structure of client; Structure of client peripherals
- H04N21/418—External card to be used in combination with the client device, e.g. for conditional access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/435—Processing of additional data, e.g. decrypting of additional data, reconstructing software from modules extracted from the transport stream
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/44—Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs
- H04N21/4405—Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs involving video stream decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/45—Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
- H04N21/462—Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
- H04N21/4623—Processing of entitlement messages, e.g. ECM [Entitlement Control Message] or EMM [Entitlement Management Message]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/63—Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
- H04N21/633—Control signals issued by server directed to the network components or client
- H04N21/6332—Control signals issued by server directed to the network components or client directed to client
- H04N21/6334—Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Databases & Information Systems (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
本发明适用于数字电视技术领域,提供了一种数字电视认证的***及方法,所述***包括:认证服务器随机生成一个字符串,将所述字符串作为会话密钥SEK发送至SIM卡,SIM卡模块根据所述会话密钥SEK以及所述SIM卡的身份ID,生成对称加密密钥CT,根据所述对称加密密钥CT对认证服务器发送的加密控制字ECW进行解密,得到控制字CW,传送所述控制字CW至数字电视主芯片,以使数字电视主芯片根据所述控制字CW对认证服务器传送的加密传输流TS进行解扰。本发明,会话密钥SEK为随机产生的,因而对称加密密钥CT随着会话密钥SEK的不同而变化,克服了软硬件捆绑,算法单一,升级更换不方便,CA卡易被复制而无法防范的问题。
Description
技术领域
本发明属于数字电视技术领域,提供了一种数字电视认证的***及方法。
背景技术
目前,数字电视条件接收***(Conditional Access System,CAS)是数字电视业务链条中的核心环节,它实现了数字电视业务数据的产品分割、数据加密、授权访问控制等用户授权管理功能,保证用户通过单项的有线网络合法的收看数字电视运营商提供的加密付费电视节目,也是广电数字电视运营商收费的技术基石。
现有的数字电视条件接收***CAS一般采用三层密钥(或者多层密钥)体系来对原始的数字电视数据进行加扰保护。传统的三层密钥体系包括控制字(Control Word,CW)、业务密钥(Service Key,SK)及用户密钥(PersonalDistribute Key,PDK)。前端加扰***采用控制字CW对数字电视的音视频、数据业务进行加扰,同时前端数字电视条件接收***CAS通过业务密钥SK对控制字CW进行加扰保护,生成加密控制字ECW,由用户密钥PDK进行对加密控制字ECW保护生成用户授权管理信息(Entitle Manage Message,EMM)后,传输至机顶盒接收模块。
在现有CA卡认证方式中,数字电视终端软件冲接收数据包,数字电视滤波模块对数据包进行滤波处理,将滤波得到用户授权管理信息EMM、授权控制信息ECM数据发送给CA卡,CA卡使用用户密钥PDK对用户授权管理信息EMM进行解扰,获取业务密钥SK信息,然后通过业务密钥SK对授权控制信息(Entitlement Control Message,ECM)进行解扰,获得加密控制字ECW,对加密控制字ECW进行解扰,获得控制字CW,将控制字CW进行加密传输给数字电视上的即可通讯模块,机卡通讯模块将控制字CW明文存放到数字电视的RAM中,由数字电视的主芯片读取,进行解扰和解码。
在这种传统模式中,用户的唯一标识由CA卡来提供,CA卡与机顶盒频繁进行通讯,如果被黑客破解,存在算法被借去的风险,升级不方便而且成本巨大。
发明内容
本发明实施例提供了一种数字电视认证的***及方法,旨在解决现有CA卡认证方法中,软硬件捆绑,升级更换不方便,且更换成本巨大,CA易被复制而无法防范的问题。
一方面,提供一种数字电视认证的***,包括数字电视,所述数字电视包括数字电视主芯片,其特征在于,所述***还包括:内置有SIM卡的SIM卡模块和与所述SIM卡无线连接的认证服务器;
所述SIM卡模块还包括:
对称密钥生成单元,用于根据所述SIM卡接收到的会话密钥SEK以及所述SIM卡的身份ID,生成对称加密密钥CT;
控制字获取单元,用于根据所述对称加密密钥CT对所述认证服务器发送的加密控制字ECW进行解密,得到控制字CW;
所述SIM卡模块还与所述数字电视主芯片通过通用接口连接,用于传送所述控制字CW至所述数字电视主芯片,以使所述数字电视主芯片根据所述控制字CW对所述认证服务器传送的加密传输流TS进行解扰。
所述认证服务器包括:
会话密钥生成单元,用于随机生成一个字符串,将所述字符串作为会话密钥SEK;
会话密钥发送单元,用于发送所述会话密钥SEK至所述SIM卡模块。
另一方面,提供一种数字电视认证的方法,其特征在于,所述方法包括:
接收认证服务器发送的会话密钥SEK,根据所述会话密钥SEK和SIM卡的身份ID,生成对称加密密钥CT;
根据所述对称加密密钥CT对所述认证服务器发送的加密控制字ECW进行解密,得到控制字CW;
传送所述控制字CW至所述数字电视主芯片,以使所述数字电视主芯片根据所述控制字CW对所述认证服务器传送的加密传输流TS进行解扰。
在本发明实施例中,认证服务器随机生成一个字符串,将所述字符串作为会话密钥SEK,发送所述会话密钥SEK至所述SIM卡模块,SIM卡模块根据所述会话密钥SEK和SIM卡的身份ID,生成对称加密密钥CT,根据所述对称加密密钥CT对所述认证服务器发送的加密控制字ECW进行解密,得到控制字CW,传送所述控制字CW至所述数字电视主芯片,以使所述数字电视主芯片根据所述控制字CW对所述认证服务器传送的加密传输流TS进行解扰,获得明文流,本发明,会话密钥SEK为随机产生的,因而对称加密密钥CT随着会话密钥SEK的不同而变化,克服了软硬件捆绑,算法单一,升级更换不方便,CA卡易被复制而无法防范的问题。
附图说明
图1是本发明实施例一提供的数字电视认证的***的结构图;
图2是本发明实施例二提供的数字电视认证的方法的实现流程图;
图3是本发明实施例三提供的认证服务器端实现认证的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在本发明实施例中,所述***包括:数字电视包括数字电视主芯片、内置有SIM卡的SIM卡模块和认证服务器,认证服务器随机生成一个字符串,将所述字符串作为会话密钥SEK,发送所述会话密钥SEK至SIM卡模块,所述SIM卡模块根据所述SIM卡接收到的会话密钥SEK以及所述SIM卡的身份ID,生成对称加密密钥CT,据所述对称加密密钥CT对所述认证服务器发送的加密控制字ECW进行解密,得到控制字CW,传送所述控制字CW至所述数字电视主芯片,以使所述数字电视主芯片根据所述控制字CW对所述认证服务器传送的加密传输流TS进行解扰,实现数字电视认证的目的。
以下结合具体实施例对本发明的实现进行详细描述:
实施例一
图1示出了本发明实施例一提供的数字电视认证的***的结构图,为了便于说明,仅示出了与本发明实施例相关的部分。在本实施例中,该数字电视认证的***包括:数字电视11、SIM卡模块12和认证服务器13。
在本实施例中,SIM卡模块12和认证服务器13具有满足需要的CPU处理能力,双方持有同一个密钥管理中心的证书和公钥。所述同一个密钥管理中心的证书包括:SIM卡模块端的原始证书、用第二私钥SP对原始证书的摘要进行签名的签名结果、认证服务器端的数字证书,所述公钥包括基于PKI公钥机制的RSA非对称加密算法第一公钥CK、第二公钥SK、加密公钥UK、第一私钥CP、第二私钥SP和解密私钥UP,还包括对称加密密钥CT和MD5算法。
其中,数字电视11,包括数字电视主芯片,包括:
用户口令验证单元111,用于对所述SIM卡模块中存储的原始口令与用户输入的口令是否一致进行验证;
程序代码验证单元112,用于对所述SIM卡模块中存储的程序代码的完整性进行验证;
SIM卡身份认证单元113,用于对所述SIM卡模块的身份ID进行验证;
证书完整验证单元114,用于对所述SIM卡模块中存储的原始证书的完整性进行验证;
TS接收单元115,用于接收认证服务器发送的加密传输流TS,利用SIM卡模块传递的控制字CW对所述加密传输流TS进行解扰,获取明文流。
SIM卡模块12,内置SIM卡,通过通用接口与所述数字电视连接,在本实施例中,所述通用接口是USB接口,包括:
加密单元121,用于对所述SIM卡模块中存储的原始证书使用第一公钥CK加密,得到验证证书;
签名单元122,用于对所述SIM卡模块中存储的原始证书取MD5摘要值,再使用第一私钥CP对所述摘要值签名,获得验证签名;
授权证书解密单元123,用于使用第二公钥SK对所述SIM卡接收到的用户密钥授权证书解密,获得用户密钥授权证书明文,从所述用户密钥授权证书明文中提取出用户密钥索引;
用户密钥获取单元124,用于根据所述SIM卡的身份ID以及所述用户密钥索引,获得加密公钥UK和解密私钥UP;
会话密钥解密单元125,用于使用所述解密私钥UP对所述SIM卡接收到的加密会话密钥SEK解密,获得签名,用第一公钥CK进行解密验证,获取会话密钥SEK;
对称密钥生成单元126,用于根据所述SIM卡接收到的会话密钥SEK以及所述SIM卡的身份ID,生成对称加密密钥CT;
控制字获取单元127,用于根据所述对称加密密钥CT对所述认证服务器发送的加密控制字ECW进行解密,得到控制字CW。
所述SIM卡模块还与所述数字电视主芯片通过通用接口连接,用于传送所述控制字CW至所述数字电视主芯片,以使所述数字电视主芯片根据所述控制字CW对所述认证服务器传送的加密传输流TS进行解扰。
SIM卡,其内部存储区域分两部分;非对称加密区和对称加密区,所述非对称加密区存储了用第一私钥CP对程序代码的摘要进行签名的签名结果、用第二私钥SP对程序代码的摘要进行签名的签名结果、用第二私钥SP对原始证书的摘要进行签名的签名结果、SIM卡的身份ID、程序代码、原始口令、原始证书和所述基于PKI公钥机制的RSA非对称加密算法,所述对称加密区用来存储通信时的对称加密密钥CT和临时通讯信息。
认证服务器13,与所述SIM卡模块无线连接,包括:
证书有效验证单元131,用于对所述SIM卡发送的验证证书使用第一私钥CP解密,获得明文证书,取所述明文证书的MD5摘要获得摘要值r1,同时对所述SIM卡发送的验证签名使用第一公钥CK进行验证得到摘要值r2,最后比较r1和r2是否相等,如果相等,则验证SIM卡传递的验证证书是原始证书,若SIM卡传递的验证证书是原始证书,判断所述明文证书的有效期,如果明文证书在有效期内,则所述SIM卡发送的验证证书有效,发送用户密钥授权证书至所述SIM卡;
授权证书生成单元132,用于对所述认证服务器端存储的数字证书使用第二私钥SP进行加密,生成用户密钥授权证书;
授权证书发送单元133,用于传送所述用户密钥授权证书至SIM卡;
会话密钥生成单元134,用于随机生成一个字符串,将所述字符串作为会话密钥SEK;
在本实施例中,所述字符串为16为字符。
会话密钥加密单元135,用于对所述随机生成的字符串用第一私钥CP进行签名,再用所述加密公钥UK对所述签名进行加密,获得加密会话密钥SEK;
会话密钥发送单元136,用于发送所述会话密钥SEK至所述SIM卡;
TS发送单元137,用于使用控制字CW对数字电视的音视频、数据业务进行加扰获得加密数据流TS,传送加密数据流TS至数字电视主芯片。
本发明实施例提供的数字电视认证的***可以应用在后述对应的方法实施例二中,详情参见上述实施例二的描述,在此不再赘述。
实施例二
图2示出了本发明实施例二提供的数字电视认证的方法的实现流程,详述如下:
在本实施例中,进行数字电视认证之前,数字电视主芯片需要进行本地身份验证包括用户口令验证、程序代码验证、SIM卡身份认证和证书验证。
在本实施例中,用户口令验证,用于对所述SIM卡模块中存储的原始口令与用户输入的口令是否一致进行验证,具体步骤:
步骤1,数字电视提示用户输入6-16位十进制用户口令,用户通过遥控器输入用户口令,数字电视主芯片接收用户口令;
步骤2,取非对称区存储的原始口令的MD5摘要值r0;
步骤3,对所述用户口令进行MD5取摘要值r1;
步骤4,对比r0与r1,若r1==r0,则登陆***;
步骤5,若r1!=r0,判断登录次数N是否小于等于5,若N<5,清除r1,返回登录界面,同时N=N+1,判断登录次数N=5,则直接退出***,锁定登录,同时置N=1。(N为正整数,初次登录N=1)。
在本实施例中,程序代码验证,用于对所述SIM卡模块中存储的程序代码的完整性进行验证,具体步骤:
步骤11,数字电视主芯片对存储在非对称加密区的程序代码用MD5取摘要得到摘要值r1;
步骤12,从非对称加密区读取用第二私钥SP对程序代码的摘要进行签名的签名结果,利用第二公钥SK对所述签名结果进行解密验证的得到摘要值r2;
步骤13,对比r1与r2,如果r1==r2,则验证通过;
步骤14,若r1!=r2,则验证不通过,退出***,锁定登录。
在本实施例中,SIM卡身份认证,用于对所述SIM卡模块的身份ID进行验证,具体步骤:
步骤21,数字电视主芯片读取SIM卡的身份ID,对身份ID用MD5取摘要得到摘要值r1;
步骤22,从非对称加密区读取用第一私钥CP对程序代码的摘要进行签名的签名结果,利用第一公钥CK对所述签名结果进行解密验证得到摘要值r2;
步骤23,对比r1与r2,如果r1==r2,则验证通过;
步骤24,若r1!=r2,则验证不通过,退出***,锁定登录。
在本实施例中,原始证书验证,用于对所述SIM卡模块中存储的原始证书的完整性进行验证,具体步骤:
步骤31,数字电视主芯片读取原始证书,对原始证书用MD5取摘要得到摘要值r1;
步骤32,从非对称加密区读取用第二私钥SP对原始证书的摘要进行签名的签名结果,利用第二公钥SK对所述签名结果进行解密验证得到摘要值r2;
步骤33,对比r1与r2,如果r1==r2,则验证通过;
步骤34,若r1!=r2,则验证不通过,退出***,锁定登录。
在本实施例中,SIM卡传递验证证书和验证签名至认证服务器,请求验证,具体步骤:
步骤41,对原始证书用第一公钥CK进行加密,得到验证证书;
步骤42,对原始证书用MD5取摘要值,再用第一私钥CP对所述摘要值签名得到的验证签名;
步骤43,SIM卡传送所述验证证书和所述验证签名至认证服务器。
在认证服务器接收到SIM卡传送的验证证书和验证签名之后,证书有效验证的步骤:认证服务器对所述SIM卡发送的验证证书使用第一私钥CP解密,获得明文证书,取所述明文证书的MD5摘要获得摘要值r1,同时对所述SIM卡发送的验证签名使用第一公钥CK进行验证得到摘要值r2,最后比较r1和r2是否相等,如果相等,则SIM卡传递的验证证书是原始证书,若SIM卡传递的验证证书是原始证书,判断所述明文证书的有效期,如果明文证书在有效期内,则所述SIM卡发送的验证证书有效,若为非原始证书或有效性到期,则发送指令,退出***。
在认证服务器验证证书有效后,为了保证会话密钥传递的安全性,认证服务器对本端的数字证书用第二私钥SP进行加密得到用户密钥授权证书,传输至SIM卡。
SIM卡接收认证服务器发送的用户密钥授权证书。
SIM卡模块通过用户密钥授权证书获取用户密钥的步骤:
步骤45,使用第二公钥SK对所述认证服务器发送的用户密钥授权证书解密,获得用户密钥授权证书明文,从所述用户密钥授权证书明文中提取出用户密钥索引;
步骤46,根据所述SIM卡的身份ID以及所述用户密钥索引,获得加密公钥UK和解密私钥UP;
步骤47,使用解密私钥UP对所述认证服务器发送的加密会话密钥SEK解密,获得签名,用第一公钥CK对所述签名进行解密验证,获取会话密钥SEK。
在步骤S201中,接收认证服务器发送的会话密钥SEK,根据所述会话密钥SEK和SIM卡的身份ID,生成对称加密密钥CT。
在本实施例中,认证服务器端随机产生16位字符串,将所述字符串作为会话密钥SEK。
所述会话密钥SEK还可以经过认证服务器加密,具体步骤:
步骤51,用第一私钥CP对所述字符串进行签名得到认证签名;
步骤52,使用加密公钥UK对所述认证签名进行加密获得会话密钥SEK。
将所述会话密钥SEK或者加密会话密钥SEK传递至SIM卡。
SIM卡接收认证服务器发送的会话密钥SEK或者加密会话密钥SEK。
其中,SIM卡模块解密加密会话密钥SEK的步骤:
步骤53,用解密私钥UP对加密会话密钥SEK进行解密获得认证签名;
步骤54,用第一公钥CK对所述认证签名进行解密验证,获得会话密钥SEK。
SIM卡模块验证所述消息来自认证服务器,然后根据所述会话密钥SEK和身份ID,通过hash函数计算的结果,生成对称加密密钥CT,生成对称加密区,将对称加密密钥CT和临时通讯消息存储在该对称加密区。
在步骤S202中,根据所述对称加密密钥CT对所述认证服务器发送的加密控制字ECW进行解密,得到控制字CW。
认证服务器发送加密控制字ECW至SIM卡。
SIM卡接收加密控制字ECW,SIM卡模块利用对称加密密钥CT对所述加密控制字ECW解密获取控制字CW。
在步骤S203中,传送所述控制字CW至所述数字电视主芯片,以使所述数字电视主芯片根据所述控制字CW对所述认证服务器传送的加密传输流TS进行解扰。
在本实施例中,认证服务器传送加密传输流TS给数字电视主芯片。
SIM卡模块传送所述控制字CW至所述数字电视主芯片,以使所述数字电视主芯片根据所述控制字CW对所述认证服务器传送的加密传输流TS进行解扰,获得明文流。
实施三
图3示出了本发明实施例三提供的认证服务器端认证的流程,详述如下:
在本实施例中,认证服务器接收到SIM卡传送的验证证书和验证签名之后,证书有效性验证的步骤:
步骤301,对所述SIM卡发送的验证证书使用第一私钥CP解密,获得明文证书,再取所述明文证书的MD5摘要获得摘要值r1;
步骤302,对所述SIM卡发送的验证签名使用第一公钥CK进行验证得到摘要值r2;
步骤303,比较r1和r2是否相等,如果相等,则验证SIM卡传递的验证证书是原始证书,执行步骤304;
步骤304,判断所述明文证书的有效期,如果明文证书在有效期内,则所述SIM卡发送的验证证书有效,若为非原始证书或有效性到期,则发送指令,退出***。
在验证证书有效后,为了保证会话密钥传递的安全性,认证服务器对本端数字证书用第二私钥SP进行加密得到用户密钥授权证书,传输至SIM卡,SIM卡接收所述用户密钥授权证书。SIM卡模块使用第二公钥SK对所述用户密钥授权证书解密,获得用户密钥授权证书明文,通过所述用户密钥授权证书明文获得用户密钥索引,根据所述SIM卡的身份ID以及所述用户密钥索引,获得加密公钥UK和解密私钥UP。
在步骤S301中,随机生成一个字符串,将所述字符串作为会话密钥SEK。
在本实施例中,认证服务器可以随机生成一个字符串,将所述字符串作为会话密钥SEK,所述字符串为16为字符。
作为优选方案,认证服务器也可以随机生成一个字符串,使用第一私钥CP对所述字符串进行签名得到认证签名,然后使用加密公钥UK对所述认证签名进行加密,将结果作为会话密钥SEK。
在步骤S302中,发送所述会话密钥SEK至所述SIM卡。
在本实施例中,认证服务器发送所述述会话密钥SEK至所述SIM卡。SIM卡模块根据所述会话密钥SEK和SIM卡的身份ID,生成对称加密密钥CT,同时,对认证服务器传送的加密控制字ECW使用对称加密密钥CT解密,获得控制字CW,之后,数字电视主芯片对认证服务器发送的加密数据流TS使用控制字CW解扰,获得明文流。
值得注意的是,上述***实施例中,所包括的各个单元只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
另外,本领域普通技术人员可以理解实现上述各实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,相应的程序可以存储于一计算机可读取存储介质中,所述的存储介质,如ROM/RAM、磁盘或光盘等。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种数字电视认证的***,包括数字电视,所述数字电视包括数字电视主芯片,其特征在于,所述***还包括:内置有SIM卡的SIM卡模块和与所述SIM卡无线连接的认证服务器;
所述SIM卡模块包括:
对称密钥生成单元,用于根据所述SIM卡接收到的会话密钥SEK以及所述SIM卡的身份ID,生成对称加密密钥CT;
控制字获取单元,用于根据所述对称加密密钥CT对所述认证服务器发送的加密控制字ECW进行解密,得到控制字CW;
所述SIM卡模块还与所述数字电视主芯片通过通用接口连接,用于传送所述控制字CW至所述数字电视主芯片,以使所述数字电视主芯片根据所述控制字CW对所述认证服务器传送的加密传输流TS进行解扰;
所述认证服务器包括:
会话密钥生成单元,用于随机生成一个字符串,将所述字符串作为会话密钥SEK;
会话密钥发送单元,用于发送所述会话密钥SEK至所述SIM卡模块。
2.如权利要求1所述的数字电视认证的***,其特征在于,所述SIM卡模块还包括:
授权证书解密单元,用于使用第二公钥SK对所述SIM卡接收到的用户密钥授权证书解密,获得用户密钥授权证书明文,从所述用户密钥授权证书明文中提取出用户密钥索引;
用户密钥获取单元,用于根据所述SIM卡的身份ID以及所述用户密钥索引,获得加密公钥UK和解密私钥UP;
会话密钥解密单元,用于使用解密私钥UP对所述SIM卡接收到的加密会话密钥SEK解密,获得签名,再使用第一公钥CK对所述签名进行解密验证,得到会话密钥SEK;
所述认证服务器还包括:
授权证书生成单元,用于对所述认证服务器端存储的数字证书使用第二私钥SP进行加密,生成用户密钥授权证书;
授权证书发送单元,用于传送所述用户密钥授权证书至SIM卡;
会话密钥加密单元,用于对所述随机生成的字符串用第一私钥CP进行签名,用所述加密公钥UK对所述签名进行加密,获得加密会话密钥SEK。
3.如权利要求1所述的数字电视认证的***,其特征在于,所述SIM卡模块还包括:
加密单元,用于对所述SIM卡模块中存储的原始证书使用第一公钥CK加密,得到验证证书;
签名单元,用于对所述SIM卡模块中存储的原始证书取MD5摘要值,再使用第一私钥CP对所述摘要值签名,获得验证签名;
所述认证服务器还包括:
证书有效验证单元,用于对所述SIM卡发送的验证证书使用第一私钥CP解密,获得明文证书,取所述明文证书的MD5摘要获得摘要值r1,同时对所述SIM卡发送的验证签名使用第一公钥CK进行验证得到摘要值r2,最后比较r1和r2是否相等,如果相等,则验证SIM卡传递的验证证书是原始证书,若SIM卡传递的验证证书是原始证书,判断所述明文证书的有效期,如果明文证书在有效期内,则所述SIM卡发送的验证证书有效,发送用户密钥授权证书至所述SIM卡。
4.如权利要求1所述的数字电视认证的***,其特征在于,所述数字电视主芯片包括:
证书完整验证单元,用于对所述SIM卡模块中存储的原始证书的完整性进行验证;
SIM卡身份认证单元,用于对所述SIM卡模块的身份ID进行验证;
程序代码验证单元,用于对所述SIM卡模块中存储的程序代码的完整性进 行验证;
用户口令验证单元,用于对所述SIM卡模块中存储的原始口令与用户输入的口令是否一致进行验证。
5.如权利要求1至4任意一项所述的数字电视认证的***,其特征在于,所述***使用基于PKI公钥机制进行相应的验证。
6.一种数字电视认证的方法,其特征在于,所述方法包括:
接收认证服务器发送的会话密钥SEK,根据所述会话密钥SEK和SIM卡的身份ID,生成对称加密密钥CT;
根据所述对称加密密钥CT对所述认证服务器发送的加密控制字ECW进行解密,得到控制字CW;
传送所述控制字CW至所述数字电视主芯片,以使所述数字电视主芯片根据所述控制字CW对所述认证服务器传送的加密传输流TS进行解扰。
7.如权利要求6所述的数字电视认证的方法,其特征在于,在所述接收认证服务器发送的会话密钥SEK之前,还包括:
使用第二公钥SK对认证服务器发送的用户密钥授权证书解密,获得用户密钥授权证书明文,从所述用户密钥授权证书明文中提取出用户密钥索引;
根据所述SIM卡的身份ID以及所述用户密钥索引,获得加密公钥UK和解密私钥UP;
使用所述解密私钥UP对所述认证服务器发送的加密会话密钥SEK解密,获得签名,用第一公钥CK进行解密验证,获取会话密钥SEK。
8.如权利要求7所述的数字电视认证的方法,其特征在于,在所述使用第二公钥SK对所述认证服务器发送的用户密钥授权证书解密之前,还包括:
对原始证书使用第一公钥CK加密,得到验证证书;
对原始证书取MD5摘要值,再使用第一私钥CP对所述摘要值签名,获得验证签名。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210260758.XA CN102802036B (zh) | 2012-07-26 | 2012-07-26 | 一种数字电视认证的***及方法 |
| US13/844,880 US8909919B2 (en) | 2012-07-26 | 2013-03-16 | Authentication system and method for digital televisions |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210260758.XA CN102802036B (zh) | 2012-07-26 | 2012-07-26 | 一种数字电视认证的***及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102802036A CN102802036A (zh) | 2012-11-28 |
| CN102802036B true CN102802036B (zh) | 2015-04-29 |
Family
ID=47200988
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210260758.XA Active CN102802036B (zh) | 2012-07-26 | 2012-07-26 | 一种数字电视认证的***及方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8909919B2 (zh) |
| CN (1) | CN102802036B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10700856B2 (en) * | 2013-11-19 | 2020-06-30 | Network-1 Technologies, Inc. | Key derivation for a module using an embedded universal integrated circuit card |
| CN103888259B (zh) * | 2014-03-12 | 2017-11-10 | 天地融科技股份有限公司 | 一种用户身份识别卡 |
| CN103944724B (zh) * | 2014-04-18 | 2017-10-03 | 天地融科技股份有限公司 | 一种用户身份识别卡 |
| CN105791954B (zh) * | 2014-12-23 | 2019-02-01 | 深圳Tcl新技术有限公司 | 数字电视终端条件接收方法、终端及*** |
| KR102425368B1 (ko) * | 2016-05-02 | 2022-07-27 | 삼성전자주식회사 | 가상 sim 운용 방법 및 그 장치 |
| US10601822B2 (en) * | 2017-02-10 | 2020-03-24 | Brett Littrell | Multifactor authentication device |
| AU2018228890B2 (en) * | 2017-03-01 | 2020-08-06 | Apple Inc. | System access using a mobile device |
| CN110365470B (zh) | 2018-03-26 | 2023-10-10 | 华为技术有限公司 | 一种密钥生成方法和相关装置 |
| JP7470313B2 (ja) * | 2018-06-26 | 2024-04-18 | 日本通信株式会社 | オンラインサービス提供システム |
| CN110162317B (zh) * | 2019-04-02 | 2022-11-18 | 苏州摩比信通智能***有限公司 | 一种提高单片机固件升级安全性的单片机结构和方法 |
| CN111787369B (zh) * | 2019-04-03 | 2022-05-03 | 深圳Tcl数字技术有限公司 | 一种智能电视root权限控制方法、***及存储介质 |
| CN111787530B (zh) * | 2020-08-06 | 2024-01-09 | 联通雄安产业互联网有限公司 | 一种基于sim卡的区块链数字身份管理方法 |
| WO2022056747A1 (zh) * | 2020-09-16 | 2022-03-24 | 华为技术有限公司 | 一种内容传输保护的方法及其相关设备 |
| CN114666665B (zh) * | 2020-12-23 | 2023-08-01 | 深圳Tcl新技术有限公司 | 一种证书的认证方法、存储介质及电视 |
| CN112862047B (zh) * | 2021-02-06 | 2023-09-15 | 陈永林 | 双重授权的智能防伪标签生成方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1512778A (zh) * | 2002-12-31 | 2004-07-14 | 北京中视联数字***有限公司 | 一种数字电视条件接收装置 |
| CN1949862A (zh) * | 2005-10-13 | 2007-04-18 | 三星电子株式会社 | 数字广播条件接收***和方法 |
| CN101094383A (zh) * | 2007-07-09 | 2007-12-26 | 中国网络通信集团公司 | Iptv认证鉴权方法、服务器及*** |
| CN101720013A (zh) * | 2009-12-15 | 2010-06-02 | 四川长虹电器股份有限公司 | 防破解机顶盒条件接收方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6697489B1 (en) * | 1999-03-30 | 2004-02-24 | Sony Corporation | Method and apparatus for securing control words |
| US7477744B2 (en) * | 2001-06-08 | 2009-01-13 | Irdeto Eindhoven B.V. | Device and method for selectively supplying access to a service encrypted using a control word, and smart card |
| US20050130585A1 (en) * | 2003-11-14 | 2005-06-16 | Cingular Wireless Ii, Llc | Subscriber identity module with video permissions |
| US8713702B2 (en) * | 2004-06-21 | 2014-04-29 | Intel Corporation | Digital media content distribution |
| US8453185B2 (en) * | 2008-12-08 | 2013-05-28 | Echostar Global B.V. | Data transmission from a set-top box |
| US9392318B2 (en) * | 2011-06-14 | 2016-07-12 | Sony Corporation | Receiver device with multiple decryption modes |
-
2012
- 2012-07-26 CN CN201210260758.XA patent/CN102802036B/zh active Active
-
2013
- 2013-03-16 US US13/844,880 patent/US8909919B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1512778A (zh) * | 2002-12-31 | 2004-07-14 | 北京中视联数字***有限公司 | 一种数字电视条件接收装置 |
| CN1949862A (zh) * | 2005-10-13 | 2007-04-18 | 三星电子株式会社 | 数字广播条件接收***和方法 |
| CN101094383A (zh) * | 2007-07-09 | 2007-12-26 | 中国网络通信集团公司 | Iptv认证鉴权方法、服务器及*** |
| CN101720013A (zh) * | 2009-12-15 | 2010-06-02 | 四川长虹电器股份有限公司 | 防破解机顶盒条件接收方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102802036A (zh) | 2012-11-28 |
| US20140032898A1 (en) | 2014-01-30 |
| US8909919B2 (en) | 2014-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102802036B (zh) | 一种数字电视认证的***及方法 | |
| KR101366243B1 (ko) | 인증을 통한 데이터 전송 방법 및 그 장치 | |
| CN102594558B (zh) | 一种可信计算环境的匿名数字证书***及验证方法 | |
| CN107358441B (zh) | 支付验证的方法、***及移动设备和安全认证设备 | |
| CN101212293B (zh) | 一种身份认证方法及*** | |
| CN109218825B (zh) | 一种视频加密*** | |
| CN101783800B (zh) | 一种嵌入式***安全通信方法、装置及*** | |
| CN101094062B (zh) | 利用存储卡实现数字内容安全分发和使用的方法 | |
| CN103491097A (zh) | 基于公钥密码体制的软件授权*** | |
| CN101262332A (zh) | 用于在移动装置和主机装置之间相互认证的方法和*** | |
| CN111970114B (zh) | 文件加密方法、***、服务器和存储介质 | |
| CN104424446A (zh) | 一种安全认证和传输的方法和*** | |
| CN102075802A (zh) | 一种机顶盒和智能卡安全通信的方法 | |
| CN101305542A (zh) | 一种数字证书与密钥下载方法 | |
| CN103905388A (zh) | 一种认证方法、认证装置、智能卡、服务器 | |
| CN101860433A (zh) | 用于接收广播内容的方法和设备 | |
| CN113868684A (zh) | 一种签名方法、装置、服务端、介质以及签名*** | |
| CN102065092A (zh) | 一种机顶盒应用程序数字签名认证方法及其*** | |
| US20220171832A1 (en) | Scalable key management for encrypting digital rights management authorization tokens | |
| CN101562520B (zh) | 业务密钥分发方法及***、密钥分发方法 | |
| CN105471657B (zh) | 一种虚拟机域间通信日志管理方法、装置及*** | |
| CN102938759A (zh) | 加密裁决服务器及其使用方法 | |
| CN103873257A (zh) | 密钥更新、数字签名及签名验证的方法及装置 | |
| CN102917252B (zh) | Iptv节目流内容保护***及方法 | |
| CN105191332A (zh) | 用于在未压缩的视频数据中嵌入水印的方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |