KR20080054751A - Apparatus and method for conditional access - Google Patents
Apparatus and method for conditional access Download PDFInfo
- Publication number
- KR20080054751A KR20080054751A KR1020060127268A KR20060127268A KR20080054751A KR 20080054751 A KR20080054751 A KR 20080054751A KR 1020060127268 A KR1020060127268 A KR 1020060127268A KR 20060127268 A KR20060127268 A KR 20060127268A KR 20080054751 A KR20080054751 A KR 20080054751A
- Authority
- KR
- South Korea
- Prior art keywords
- message
- emm
- ecm
- authentication
- management message
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000004891 communication Methods 0.000 claims abstract description 13
- 238000012797 qualification Methods 0.000 claims description 12
- 238000010295 mobile communication Methods 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 abstract 1
- 239000000284 extract Substances 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/63—Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
- H04N21/633—Control signals issued by server directed to the network components or client
- H04N21/6332—Control signals issued by server directed to the network components or client directed to client
- H04N21/6334—Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key
- H04N21/63345—Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key by transmitting keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/41—Structure of client; Structure of client peripherals
- H04N21/418—External card to be used in combination with the client device, e.g. for conditional access
- H04N21/4181—External card to be used in combination with the client device, e.g. for conditional access for conditional access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/44—Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs
- H04N21/4405—Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs involving video stream decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/45—Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
- H04N21/462—Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
- H04N21/4623—Processing of entitlement messages, e.g. ECM [Entitlement Control Message] or EMM [Entitlement Management Message]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04H—BROADCAST COMMUNICATION
- H04H2201/00—Aspects of broadcast communication
- H04H2201/10—Aspects of broadcast communication characterised by the type of broadcast system
- H04H2201/11—Aspects of broadcast communication characterised by the type of broadcast system digital multimedia broadcasting [DMB]
Landscapes
- Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
Description
도 1은 종래의 제한 수신 방법인 CAS 시스템을 나타낸 구성도.1 is a block diagram showing a CAS system which is a conventional limited reception method.
도 2는 본 발명의 실시 예에 따른 이동통신 단말기의 제한 수신 장치를 나타낸 구성도. 2 is a block diagram illustrating an apparatus for receiving a restriction of a mobile communication terminal according to an exemplary embodiment of the present invention.
도 3은 본 발명에 따른 X.509 인증 프로토콜의 포맷을 나타낸 예시도.3 is an exemplary diagram illustrating a format of an X.509 authentication protocol according to the present invention.
도 4a는 본 발명에 따른 송신 측에서 X.509를 이용한 인증 부호화 과정을 나타낸 예시도.4A is an exemplary diagram illustrating an authentication encoding process using X.509 at a transmitting side according to the present invention.
도 4b는 본 발명에 따른 수신 측에서 X.509를 이용한 제한 수신 인증 과정을 나타낸 예시도.Figure 4b is an exemplary view showing a limited reception authentication process using X.509 at the receiving side according to the present invention.
도 5는 본 발명의 실시 예에 의한 송신 측에서 ECM 및 EMM을 생성하고 스크램블링 방법을 나타낸 순서도.5 is a flowchart illustrating a method of generating and scrambling an ECM and an EMM at a transmitting side according to an embodiment of the present invention.
도 6은 본 발명의 다른 실시 예에 의한 EMM 및 ECM을 수신하고 디스크램블링 방법을 나타낸 순서도.6 is a flowchart illustrating a method of receiving and descrambling an EMM and an ECM according to another embodiment of the present invention.
*도면의 주요 부분에 대한 부호의 설명** Description of the symbols for the main parts of the drawings *
11. 스크램블러 12. 제어 단어 발생부11. Scrambler 12. Control word generator
13. ECM 암호화부 14. 가입자 관리부13.
15. EMM 암호화부 16. 먹스(MUX)15.EMM encryption section 16.MUX
17. 디먹스(DEMUX) 18. 디스크램블러17.DEMUX 18.Descrambler
19. CA 서브-시스템 210. 디스플레이 부19. CA Sub-system 210. Display Section
220. 제어부 230. 통신 모듈220.
240. IC 카드 241. 마이크로 프로세서240.IC card 241.Microprocessor
243. 개인 키 생성부 245. 단말기 인증 정보 저장부243. Private
250. 키 입력부250. Key Entry
본 발명은 이동통신 단말기에 관한 것으로, 더욱 상세하게는 제한 수신 시스템 CAS를 모발일 뱅킹 칩에 구현하여 DMB 방송에 등록된 사용자에게만 시청 권리를 제공하는 제한 수신 장치 및 그 방법에 관한 것이다. The present invention relates to a mobile communication terminal, and more particularly, to a conditional access device and a method of providing a viewing right only to a user registered in a DMB broadcast by implementing a conditional access system CAS in a mobile banking chip.
일반적으로, DMB에서 사용되는 CAS(Conditional Access System)는 기존의 CAS 솔루션에서와 동일한 방법을 사용하며, 실제로 각 방송 사업자마다 다른 CAS를 사용하고 있다. 이러한 방법은 각 방송 사업자들이 하나의 CAS 솔루션에 종속되는 것을 방지해주는 장점을 가지지만, 사용자 입장에서 여러 방송을 보기 위해서 모든 CAS를 지원하는 장비를 보유해야만 시청이 가능하게 되는 문제점이 있다. In general, the CAS (Conditional Access System) used in the DMB uses the same method as the existing CAS solution, and actually uses a different CAS for each broadcaster. This method has the advantage of preventing each broadcaster from being dependent on a single CAS solution, but there is a problem in that viewing is required only if the user has a device supporting all CAS in order to view multiple broadcasts.
도 1은 종래의 제한 수신 방법인 CAS 시스템을 나타낸 구성도이다.1 is a block diagram showing a CAS system which is a conventional limited reception method.
스크램블러(11)는 비 인가된 수신자는 시청할 수 없도록 원래의 TV 신호 형태를 변형시키는 것으로, 전송되는 방송 프로그램과 프로그램 정보, 패키지 정보 등과 제어 단어 발생부(12)로부터 입력되는 제어단어(Control Word)를 스크램블링하여 출력한다. 제어 단어 발생부(12)는 유료 콘텐츠를 스크램블링하기 위해 임의의 값으로 제어 단어(CW)로 불리는 Key 값을 생성한다. The
ECM 암호화부(13)는 프로그램 정보 및 패키지 정보 등을 수신하여 수신자격 제어 메시지(Entitlement Control Message 이하, ECM)를 암호화한다. EMM 암호화부(15)는 가입자 정보 및 구매 정보를 가입자 관리부(14)로부터 입력받아 수신자격 관리 메시지(Entitlement Management Message 이하, EMM)를 암호화한다. 먹스(MUX,16)는 스크램블 된 프로그램, ECM, EMM을 입력받아 멀티플렉싱하여 출력한다. The
디먹스(DEMUX, 17)는 수신한 방송 신호로부터 프로그램, ECM, EMM을 역 다중화하여 출력한다. 디스크램블러(18)는 디스크램블링 키인 제어 단어(CW)를 갖는 수신기에서만 수행된다. CA 서브-시스템(19)으로부터 추출된 제어 단어(CW)를 이용하여 수신된 방송 프로그램을 디스크램블링한다. The
현재 각 방송 사업자는 자신의 유료 콘텐츠를 시청할 수 있도록 하는데 있어서 일반적으로 스마트 카드를 사용하고 있고, 이것은 수신자가 EMC 및 EMM을 복호화하여 최종적으로 원하는 제어 단어(CW)를 얻는데 사용된다. 즉, 사용자는 각 방송 사업자의 콘텐츠를 시청하기 위해 각 방송 사업자들로부터 인증을 받기 위한 스마트 카드를 구비해야 시청이 가능하다.Currently, each broadcaster generally uses a smart card in order to be able to watch their paid content, which is used by the receiver to decrypt the EMC and the EMM to finally obtain the desired control word (CW). That is, in order to view the contents of each broadcasting company, the user must have a smart card for authentication from each broadcasting company.
이는 사용자가 원하는 방송을 시청하기 위해 모든 스마트 카드를 구비해야 하며 또, 원하는 방송을 시청하기 위해 해당하는 스마트 카드를 항상 교체해야 하 는 문제점이 있다. This requires a user to have all the smart cards in order to watch the desired broadcast, and there is a problem that the corresponding smart card must always be replaced to watch the desired broadcast.
본 발명은 모바일 뱅킹 칩을 이용하여 DMB 단말기에서 제한 수신 기능을 구현하는데 그 목적이 있다. An object of the present invention is to implement a limited reception function in a DMB terminal using a mobile banking chip.
특히, 사용자가 원하는 다양한 DMB 방송의 유료 콘텐츠 시청하기 위해 복수 개의 스마트 카드 교체 불편을 제거하고 모바일 뱅킹 칩으로 인증을 이루는데 그 목적이 있다. In particular, the purpose of eliminating the inconvenience of replacing a plurality of smart cards in order to watch the paid content of various DMB broadcasts desired by the user and to achieve authentication with a mobile banking chip.
또한, 양방향 통신에서 추가적인 장치 없이 사용자가 모바일 뱅킹 칩에 포함된 서명 알고리즘 및 암호화 알고리즘을 사용하여 안전하게 상호 커뮤니케이션을 제공하는데 그 목적이 있다. In addition, the purpose of the two-way communication in order to provide the user with a secure communication using the signature algorithm and encryption algorithm included in the mobile banking chip without additional devices.
상기의 목적을 달성하기 위한 본 발명의 제한 수신 장치는 방송 프로그램, 자격 관리 메시지 및 자격 제어 메시지를 포함하는 방송 데이터를 수신하는 통신 모듈; 상기 방송 데이터로부터 자격 관리 메시지 및 자격 제어 메시지를 개인 키를 이용하여 인증하고 상기 인증된 자격 제어 메시지로부터 제어단어(CW)를 추출하는 IC 카드; 상기 자격 제어 메시지의 인증 여부에 따라 상기 추출된 제어 단어를 이용하여 상기 수신된 방송 데이터의 디스크램블링을 제어하는 제어부; 및 상기 디스크램블링된 방송 데이터를 출력하는 디스플레이 부를 포함한다.The limited reception device according to the present invention for achieving the above object comprises a communication module for receiving broadcast data including a broadcast program, a qualification management message and a qualification control message; An IC card for authenticating a credential management message and a credential control message from the broadcast data using a private key and extracting a control word (CW) from the authenticated credential control message; A controller configured to control descrambling of the received broadcast data using the extracted control word according to whether the qualification control message is authenticated; And a display unit configured to output the descrambled broadcast data.
상기 IC 카드는 자격 관리 메시지(EMM)를 인증하고 획득된 인증 키를 이용하여 자격 제어 메시지(ECM)를 인증하는 마이크로 프로세서; 상기 자격 관리 메시 지(EMM)를 인증하기 위한 송신 측의 공개 키와 쌍을 이루는 개인 키를 제공하는 개인 키 생성부; 및 상기 인증된 자격 관리 메시지로부터 가입자 정보를 갱신하여 저장하는 단말기 인증 정보 저장부를 포함하는 것을 특징으로 한다.The IC card may include a microprocessor for authenticating a credential management message (EMM) and authenticating a credential control message (ECM) using the obtained authentication key; A private key generation unit for providing a private key paired with a public key of a transmitting side for authenticating the entitlement management message (EMM); And a terminal authentication information storage unit for updating and storing subscriber information from the authenticated qualification management message.
상기 통신 모듈은 이동통신을 위한 무선 신호를 수신하는 것을 특징으로 한다.The communication module may receive a radio signal for mobile communication.
상기 수신된 방송 데이터는 유료 방송 콘텐츠인 것을 특징으로 한다.The received broadcast data may be paid broadcast content.
상기 개인 키는 X.509 인증서를 이용하는 것을 특징으로 한다.The private key is characterized by using an X.509 certificate.
또한, 본 발명은 방송 수신기의 제한 수신 방법에 있어서, 가입자 정보를 포함하는 자격 관리 메시지(EMM)를 수신하는 단계; 상기 수신된 자격 관리 메시지(EMM)를 송신 측의 공개 키와 쌍을 이루는 개인 키를 이용하여 인증하는 단계; 상기 인증된 자격 관리 메시지(EMM)로부터 인증 키를 획득하는 단계; 상기 획득된 인증 키를 이용하여 자격 제어 메시지(ECM)를 인증하는 단계; 및 상기 인증된 자격 제어 메시지(ECM)로부터 제어 단어(CW)를 추출하여 방송 데이터를 디스크램블링하는 단계를 포함하여 이루어진다.In addition, the present invention provides a method of limiting reception of a broadcast receiver, the method comprising: receiving an entitlement management message (EMM) including subscriber information; Authenticating the received entitlement management message (EMM) using a private key paired with a public key of a sender; Obtaining an authentication key from the authenticated credential management message (EMM); Authenticating a qualification control message (ECM) using the obtained authentication key; And descrambling broadcast data by extracting a control word (CW) from the authenticated entitlement control message (ECM).
상기 공개 키와 개인 키는 X.509 인증서를 이용하는 것을 특징으로 한다.The public key and the private key are characterized by using an X.509 certificate.
상기 인증 단계는 서명 알고리즘인 RSA(Rivest SHamir Adleman)와 DSA(Digital Signature Algorithm) 중 적어도 하나를 사용하는 것을 특징으로 한다.The authentication step is characterized by using at least one of the signature algorithm RSA (Rivest SHamir Adleman) and DSA (Digital Signature Algorithm).
본 발명의 또 다른 관점에서 제한 수신 방법은 제어 단어(CW)를 생성하는 단계; 상기 생성된 제어 단어(CW)를 암호화하여 방송 데이터 정보를 포함하는 자격 제어 메시지(ECM)를 생성하는 단계; 인증 키를 암호화하여 가입자 정보를 포함하는 자격 관리 메시지(EMM)를 생성하는 단계; 상기 생성된 자격 관리 메시지를 공개 키를 이용하여 인증 메시지를 추가하는 단계; 및 상기 생성된 자격 제어 메시지(ECM)와 인증된 자격 관리 메시지(EMM)를 스크램블링 하여 송신하는 단계를 포함하여 이루어진다.In another aspect of the present invention, a method of receiving a restriction may include generating a control word (CW); Generating an entitlement control message (ECM) including broadcast data information by encrypting the generated control word (CW); Generating an entitlement management message (EMM) containing the subscriber information by encrypting the authentication key; Adding an authentication message to the generated entitlement management message using a public key; And scrambling the generated entitlement control message (ECM) and an authenticated entitlement management message (EMM).
상기 각 메시지 생성 단계는 서명 알고리즘을 적용하는 것을 특징으로 한다.Each message generating step is characterized by applying a signature algorithm.
본 발명의 목적과 특징 및 장점은 첨부 도면 및 다음의 상세한 설명을 참조함으로써 더욱 쉽게 이해될 수 있을 것이다. 본 발명을 설명함에 있어서, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 설명을 생략한다. The objects, features and advantages of the present invention will be more readily understood by reference to the accompanying drawings and the following detailed description. In describing the present invention, when it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the subject matter of the present invention, the description thereof will be omitted.
도 2는 본 발명의 실시 예에 따른 이동통신 단말기의 제한 수신 장치를 나타낸 구성도이다.2 is a block diagram illustrating an apparatus for receiving a restriction of a mobile communication terminal according to an exemplary embodiment of the present invention.
본 발명에 따른 이동통신 단말기는 디스플레이 부(210), 제어부(220), 통신 모듈(230), IC 카드(240), 키 입력부(250)를 포함한다. The mobile communication terminal according to the present invention includes a
키 입력부(250)는 DMB 시청을 위한 메뉴 선택 입력과 채널 선택 신호를 사용자로부터 입력받는다. 통신 모듈(230)은 DMB 시청을 위한 튜너와 이동 통신을 위한 RF 통신부를 포함한다. 특히 본 발명에 따른 통신 모듈(230)은 송신 측으로부터 자격관리 메시지(EMM)를 수신한다.The
IC 카드(240)는 유료 방송 시청을 위해 가입자에게 제공되는 자체 프로세서와 메모리를 가진 칩을 내장하고 있다. 본 발명에 따른 IC 카드(240)는 마이크로프 로세서(241), 개인 키 생성부(243) 및 단말기 인증 정보 저장부(245)를 포함한다.
마이크로프로세서(241)는 X.509 인증서로부터 공개 키(Public Key)로 암호화된 메시지를 수신하여 자신의 개인 키(Private Key)로 복호화하여 메시지를 읽는다. 개인 키 생성부(243)는 수신된 메시지를 디지털 서명하기 위해 송신 측에서 사용한 공개 키(Public Key)와 쌍을 이루는 개인 키(Private Key)를 제공한다.The
제어부는 자격관리 메시지(EMM) 및 자격 제어 메시지(ECM)의 인증을 판별하여 만약 개인 키에 근거하여 수신된 EMM 내부의 서명이 IC 카드(240)에서 연산된 서명의 값과 다를 경우 해당 수신된 EMM은 사용되지 않는다. 또한, ECM 내부의 서명과 IC 카드(240)에서 연산된 서명의 값이 틀릴 경우 해당 수신된 ECM은 사용하지 않는다. The controller determines the authentication of the credential management message (EMM) and the credential control message (ECM). If the received signature in the EMM is different from the value calculated by the
디스플레이 부(210)는 획득된 제어단어(CW)를 이용하여 디스클램블링된 유료 방송 콘텐츠를 출력한다. The
단말기 인증 정보 저장부(245)는 자격관리 메시지(EMM)에 의해 전달되는 명령을 수행하고 생성된 가입자 정보를 갱신하여 저장한다.The terminal authentication
도 3은 본 발명에 따른 X.509 인증 프로토콜의 포맷을 나타낸 예시도이다.3 is an exemplary diagram illustrating a format of an X.509 authentication protocol according to the present invention.
X.509는 공개키 기반구조(Public Key Infrastructure, 이하 'PKI')에서 사용하는 표준 인증서 형식이다. PKI에서 사용하는 공개키, 개인키 같은 비대칭 키를 X.509 인증서로 관리한다. X.509 인증서는 X.500 디렉터리 추천 목록의 한 부분으로 1988년에 처음으로 ITU-T와 ISO/IEC에 의해 발표된 인증서 형식이다. X.509(V1)은 1993년 디렉터리 접근 제어를 위한 두 가지 내용을 추가하기 위해 X.509(V2) 형 식으로 개정되었다. 그리도 e메일의 보안 요소 등 새로운 개념이 포함된 X.509(V3)가 1996년에 발표되었다. X.509 is a standard certificate format used by the Public Key Infrastructure (PKI). Asymmetric keys such as public and private keys used in PKI are managed with X.509 certificates. X.509 certificates are part of the X.500 Directory Recommendation List, a form of certificate first published by ITU-T and ISO / IEC in 1988. X.509 (V1) was revised in X.509 (V2) format in 1993 to add two entries for directory access control. And in 1996, X.509 (V3) was released, which included new concepts such as the security elements of e-mail.
X.509 포맷은 인증서 버전, CA(Certificate Authority)에 의해 할당된 정수의 고유번호로 각각의 인증서의 일련 번호인 시리얼 번호, CA가 인증서 서명하기 위해 사용한 RSA(Rivest SHamir Adleman)나 DSA(Digital Signature Algorithm) 등과 같은 알고리즘을 식별하기 위한 서명 알고리즘 ID, 인증서를 발급하고 서명한 CA 이름인 Issuer Name, 인증서가 유효한 기간을 표시하는 Validate Period, 인증서의 소유자 즉 인증서의 공개키 항목에 나타난 공개 키를 소유한 개체 이름 Subject Name, 이때 CA에 의해 확인된 각각의 주체 명은 고유한 이름이어야 한다. 키가 사용하는 알고리즘의 식별자 및 키 값이 저장되는 Subject Public Key Information, Signed By Issuer는 전자 서명으로 메시지를 해쉬 알고리즘을 사용하여 특정 길이의 값을 생성한다. 그리고 이값을 발행자의 개인키로 암호화한다. The X.509 format is the certificate version, a unique number assigned by a Certificate Authority (CA), a serial number that is the serial number of each certificate, and the Rivest SHamir Adleman (RSA) or Digital Signature used by the CA to sign the certificate. Signature algorithm ID to identify the algorithm, Issuer Name, which is the name of the CA that issued and signed the certificate, Validate Period that indicates the validity period of the certificate, and the owner of the certificate, that is, the public key indicated in the public key entry of the certificate. An object name Subject Name, where each subject name identified by the CA must be a unique name. Subject Public Key Information, Signed By Issuer, which stores the identifier and key value of the algorithm used by the key, generates a value of a specific length by using a hash algorithm to hash the message with an electronic signature. This value is then encrypted with the issuer's private key.
X.509 Version 2에는 발급자명의 재사용을 위한 선택 항목인 Issuer Unique Identifier, 주체명의 재사용을 위한 선택 항목인 Subject Unique Identifier를 포함하며, Version 3에는 확장 필드인 Exentions이 추가된다. 확장 필드는 확장 형태, Criticality Indicator 그리고 확장 값 세 가지로 구성된다. 확장 형태는 의미와 형태 정보(문자열, 날짜 혹은 복잡한 데이터 구조 등)에 대한 객체 식별자이다. Criticality Indicator는 확장을 인식하지 못한 경우 이를 무시해도 무방한가를 결정해 주는 식별자이다. 그리고 확장 값은 확장 형태에 기술된 자료의 실제적 정보이다.X.509
도 4a는 본 발명에 따른 송신 측에서 X.509를 이용한 인증 부호화 과정을 나타낸 예시도이다.4A is an exemplary diagram illustrating an authentication encoding process using X.509 at a transmitting side according to the present invention.
본원 발명에 따른 서명과 암호화 및 복호화 알고리즘은 PKI(Public Key Infrastructure)에서 표준 인증서로 사용되는 X.509를 이용한다. X.509는 전자 상거래에서 널리 사용되고 있으며, 안전한 전자 상거래를 위해서 사용되는 개별 사용자들의 공개 키를 포함하고 있다. 서명 알고리즘은 공개 키(Public Key) 알고리즘인 RSA(Rivest Shamir Adleman)와 ECDSA(Elliptic Curve Digital Signature Algorithm)가 주로 사용되며 암호화 및 복호화를 위한 알고리즘은 EDES(Data Encryption Standard)와 국내 표준인 SEED가 주로 사용된다. 본 발명에 따른 인증 과정을 수행하기 위해서 먼저 방송 사업자는 사용자의 X.509에 대한 등록이 요청된다. 등록방법은 현재 PKI에서 사용되는 방식을 적용한다. The signature, encryption, and decryption algorithm according to the present invention uses X.509, which is used as a standard certificate in PKI (Public Key Infrastructure). X.509 is widely used in electronic commerce and contains the public keys of individual users used for secure electronic commerce. The signature algorithm is mainly used by the public key algorithm Rivet Shamir Adleman (RSA) and the Elliptic Curve Digital Signature Algorithm (ECDSA). Used. In order to perform the authentication process according to the present invention, a broadcaster is first requested to register a user's X.509. The registration method applies the method currently used in PKI.
먼저, 송신 측에서 자격 관리 메시지(EMM)에 대한 암호화 및 인증 메시지를 추가하는 과정을 X.509의 공개 키(Public Key)에 수행한다. 자격 관리 메시지(EMM)를 이용하여 수신기별로 수신 가능한 자격을 암호화하여 전송한다. 이 신호는 수신기의 고유번호와 일치할 때만 해독이 가능하여 인증 키(Authentication key)를 구할 수 있다.First, the sender adds an encryption and authentication message for an EMM to a public key of X.509. Encryptable credentials for each receiver are transmitted by using an entitlement management message (EMM). This signal can only be decrypted when it matches the unique number of the receiver, so that an authentication key can be obtained.
암호화 및 인증 메시지를 포함하는 공개 키를 수신하여 송신 측에서 사용한 공개 키와 쌍을 이루는 개인 키(Private Key)를 가진 유일한 사용자만이 EMM 인증 절차를 수행할 수 있다. 자격 제어 메시지(Entitlement Control Message)를 이용하여 제어 단어(CW)를 암호화하여 수신기에 전송한다. Only a user having a private key paired with the public key used by the sender by receiving a public key including an encryption and authentication message can perform the EMM authentication procedure. The control word (CW) is encrypted using the Entitlement Control Message and transmitted to the receiver.
즉, 사용자의 인증을 위해서 사용하는 스마트 카드 없이 X.509만을 이용하여 EMM을 수신하고 인증할 수 있다. 또한, X.509를 저장할 수 있는 외부 저장 매체를 가지고서도 이러한 EMM 인증 과정을 수행한다. In other words, EMM can be received and authenticated using only X.509 without smart card used for user authentication. It also performs this EMM authentication process with an external storage medium that can store X.509.
도 4b는 본 발명에 따른 수신 측에서 X.509를 이용한 제한 수신 인증 과정을 나타낸 예시도이다.4B is an exemplary view illustrating a limited reception authentication process using X.509 at a receiving side according to the present invention.
제한 수신 과정은 유료 콘텐츠를 스크램블링하기 위해서 제어 단어 생성기(Control Word Generator)로부터 임의의 값으로 생성되는 제어 단어(CW)로 불리는 Key 값을 사용한다.The limited reception process uses a key value called a control word (CW), which is generated at an arbitrary value from a control word generator, to scramble the paid content.
제어 단어(CW)를 획득하는 과정은 EMM에 대한 인증이 필요하다. X.509를 통해 EMM 암호화 및 인증메시지에 추가된 공개키와 쌍을 이루는 개인 키(Private Key)를 가진 유일한 수신기가 EMM에 대한 인증을 수행할 수 있다. 이때, 수신된 EMM은 IC 카드 내부의 고유한 개인 키(Private Key)를 이용하여 서명 알고리즘을 통해 자신에게 보내진 EMM인지를 확인해야 한다. EMM 인증 및 복호화를 수행하여 인증 키(Authentication key)를 획득한다. The process of acquiring the control word CW requires authentication of the EMM. With X.509, only receivers with a private key paired with a public key added to an EMM encryption and authentication message can authenticate to the EMM. At this time, the received EMM needs to check whether the EMM is sent to itself through a signature algorithm using a unique private key inside the IC card. EMM authentication and decryption are performed to obtain an authentication key.
IC 카드에서 EMM에서 전달받은 인증 키(Authentication key)를 이용하여 ECM을 해독하여 CW를 구한다. 상기 획득된 CW를 이용하여 암호화된 비트 스트림을 디스크램블러에서 역암호화하여 정상적인 비트 스트림 형태로 변환시킨다.The CW is obtained by decrypting the ECM using the authentication key received from the EMM in the IC card. The encrypted bit stream is de-encrypted by the descrambler using the obtained CW and converted into a normal bit stream form.
상기 ECM, EMM에 대한 암호화 및 복호화를 수행하는 서명 및 보안 알고리즘은 각 CAS 솔루션 마다 다르다.Signature and security algorithms for encrypting and decrypting the ECM and EMM are different for each CAS solution.
도 5는 본 발명의 실시 예에 의한 송신 측에서 ECM 및 EMM을 생성하고 스크 램블링 방법을 나타낸 순서도이다.5 is a flowchart illustrating a method of generating and scrambling an ECM and an EMM at a transmitter according to an embodiment of the present invention.
방송 데이터를 암호화하고 복호화하는 제어단어(CW)를 생성한다(S501). 제어 단어(CW)를 암호화하기 위한 인증 키(AK)를 생성한다(S503). 인증 키(AK)를 이용하여 제어단어(CW)를 암호화하고, 서명 알고리즘을 수행하여 자격제어 메시지(ECM)를 생성한다(S505). X.509 인증서의 공개 키(Public Key)를 선택한다(S507). 선택된 공개 키(Public Key)를 이용하여 인증키(AK) 암호화 및 서명 알고리즘을 수행하여 자격관리 메시지(EMM)를 생성한다(S509). 수신자격이 없는 수신자는 시청이 불가능하도록 제어단어(CW)를 이용하여 방송 콘텐츠를 스크램블링한다(S511).A control word (CW) for encrypting and decrypting broadcast data is generated (S501). An authentication key AK is generated to encrypt the control word CW (S503). The control word CW is encrypted using the authentication key AK, and a signature algorithm is performed to generate an entitlement control message ECM (S505). A public key of an X.509 certificate is selected (S507). A credential management message (EMM) is generated by performing an authentication key (AK) encryption and signature algorithm using the selected public key (S509). The receiver without the recipient qualification scrambles the broadcast content using the control word CW so that viewing is not possible (S511).
도 6은 본 발명의 다른 실시 예에 의한 EMM 및 ECM을 수신하고 디스크램블링 방법을 나타낸 순서도이다.6 is a flowchart illustrating a method of receiving and descrambling an EMM and an ECM according to another embodiment of the present invention.
수신 단에서는 인증키(AK)를 개인키(Private Key)로 복호화하고 복호화된 인증키를 다시 제어 단어(CW)를 획득, 획득된 제어 단어를 통해 데이터를 디스클램블링하여 시청 가능한 형태의 신호로 출력하는 과정이다. 먼저, 자격관리 메시지(EMM)를 수신한다(S600). 수신된 EMM은 X.509 인증서를 통한 고유한 개인 키(Private Key)를 근거하여 해당 수신 EMM이 자신의 EMM인지 판별한다. 이때 서명 알고리즘을 사용한다(S602, S604). 만약 개인 키에 근거하여 수신된 EMM 내부의 서명이 IC 카드에서 연산된 서명의 값과 다를 경우 해당 수신된 EMM은 사용되지 않는다. IC 카드의 고유한 개인 키 값에 의해서 수신기에 보내진 유일한 EMM 만이 IC 카드에서 인증이 된다. The receiving end decrypts the authentication key (AK) into a private key, obtains the control word CW again from the decrypted authentication key, and descrambles the data through the obtained control word to form a viewable signal. The process of printing. First, a qualification management message (EMM) is received (S600). The received EMM determines whether the received EMM is its own EMM based on a unique Private Key through the X.509 certificate. At this time, a signature algorithm is used (S602 and S604). If the signature inside the received EMM based on the private key differs from the value of the signature computed on the IC card, the received EMM is not used. Only the EMM sent to the receiver by the IC card's unique private key value is authenticated by the IC card.
수신된 EMM이 자신의 것으로 인증되면 EMM의 암호화된 인증 키(AK)를 X.509 인증서의 개인 키(Private Key)를 이용하여 복호화하여 획득한다. 이때 사용되는 것은 보안 알고리즘이다(S606). 획득된 인증 키(AK)를 근거하여 수신된 ECM을 서명 알고리즘을 이용하여 자신에게 보내진 ECM인지 판별한다(S608 ~ S612). ECM 내부의 서명과 IC 카드에서 연산된 서명의 값이 틀릴 경우 해당 수신된 ECM은 사용하지 않는다. 따라서, 올바른 인증 키(AK)의 값을 획득한 IC 카드만이 현재 유료 콘텐츠를 시청하기 위한 ECM을 인증할 수 있다. If the received EMM is authenticated as its own, the EMM's encrypted authentication key (AK) is obtained by decrypting the private key of the X.509 certificate. At this time, the security algorithm is used (S606). Based on the obtained authentication key (AK), it is determined whether the received ECM is an ECM sent to itself using a signature algorithm (S608 to S612). If the signature inside the ECM and the value calculated by the IC card are wrong, the received ECM is not used. Therefore, only the IC card which has obtained the value of the correct authentication key AK can authenticate the ECM for viewing the currently paid content.
ECM에 대한 인증이 완료된 후 인증 키(AK)를 이용하여 ECM 내부에 암호화된 제어 단어(CW)를 복호화하여 획득한다(S614). 획득된 제어단어(CW)를 이용하여 유료 방송 콘텐츠를 디스클램블링한다(S616). After the authentication for the ECM is completed, the control word CW encrypted in the ECM is decrypted using the authentication key AK (S614). The paid broadcast content is descrambled using the obtained control word CW (S616).
즉, 사용자의 인증을 위해서 사용하는 스마트 카드 없이 X.509만을 이용하여 EMM을 수신하고 인증할 수 있다. 또한, X.509를 저장할 수 있는 외부 저장 매체를 가지고서도 이러한 EMM 인증 과정을 수행한다. In other words, EMM can be received and authenticated using only X.509 without smart card used for user authentication. It also performs this EMM authentication process with an external storage medium that can store X.509.
한편, 본 발명에서 사용되는 용어(terminology)들은 본 발명에서의 기능을 고려하여 정의 내려진 용어들로써 이는 해당 분야에 종사하는 기술자의 의도 또는 관례 등에 따라 달라질 수 있으므로 그 정의는 본 발명의 전반에 걸친 내용을 토대로 내려져야 할 것이다. On the other hand, the terms used in the present invention (terminology) are terms defined in consideration of functions in the present invention, which may vary according to the intention or custom of the skilled person in the relevant field, the definitions of which are used throughout the present invention. It should be based on.
이상의 본 발명은 상기에 기술된 실시 예들에 의해 한정되지 않고 당업자들에 의해 다양한 변형 및 변경을 가져올 수 있으며, 이는 첨부된 청구항에서 정의되는 본 발명의 취지와 범위에 포함된다. The present invention is not limited to the above-described embodiments and may be variously modified and changed by those skilled in the art, which are included in the spirit and scope of the present invention as defined in the appended claims.
본 발명에 의한 DMB 단말기는 IC 카드인 모바일 뱅킹 칩에 X.509를 이용하여 사용자 인증을 수행하며, 사용자는 각 방송 사업자에 자신의 X.509를 등록하여 다른 방송의 유료 콘텐츠를 자유롭게 시청할 수 있는 효과가 있다. The DMB terminal according to the present invention performs user authentication using an X.509 in a mobile banking chip which is an IC card, and a user can freely watch paid contents of other broadcasts by registering his X.509 with each broadcasting company. It works.
또한, 본 발명에 의한 DMB 단말기는 양방향 통신 시 모바일 뱅킹 칩의 암호화 알고리즘을 사용하여 안전하게 메시지를 전송할 수 있는 효과가 있다. In addition, the DMB terminal according to the present invention has the effect of transmitting a message securely using the encryption algorithm of the mobile banking chip in the two-way communication.
Claims (11)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060127268A KR20080054751A (en) | 2006-12-13 | 2006-12-13 | Apparatus and method for conditional access |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060127268A KR20080054751A (en) | 2006-12-13 | 2006-12-13 | Apparatus and method for conditional access |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20080054751A true KR20080054751A (en) | 2008-06-19 |
Family
ID=39801660
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060127268A KR20080054751A (en) | 2006-12-13 | 2006-12-13 | Apparatus and method for conditional access |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20080054751A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101020416B1 (en) * | 2009-02-20 | 2011-03-09 | 성균관대학교산학협력단 | Conditional access system and method for providing source authentication and non-repudiation |
-
2006
- 2006-12-13 KR KR1020060127268A patent/KR20080054751A/en not_active Application Discontinuation
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101020416B1 (en) * | 2009-02-20 | 2011-03-09 | 성균관대학교산학협력단 | Conditional access system and method for providing source authentication and non-repudiation |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100426740B1 (en) | Global conditional access system for broadcast services | |
KR100564832B1 (en) | Method and system for protecting the audio/visual data across the nrss interface | |
EP2461539B1 (en) | Control word protection | |
EP1560361B1 (en) | A secure key authentication and ladder system | |
EP1743229B1 (en) | Certificate validity checking | |
US7937587B2 (en) | Communication terminal apparatus and information communication method | |
EP1768408A1 (en) | Integrated circuit, method and system restricting use of decryption keys using encrypted digital signatures | |
EP2724546B1 (en) | Receiver software protection | |
US20100262988A1 (en) | Cable Television Secure Communication System for One Way Restricted Access | |
CN102724568A (en) | Authentication certificates | |
KR100194790B1 (en) | Conditional Conditional Access System and Conditional Conditional Access Service Processing Method Using It | |
CN201515456U (en) | Safe device, set-top box and receiving terminal for digital television receiving terminals | |
US10411900B2 (en) | Control word protection method for conditional access system | |
KR970064233A (en) | How messages are handled for conditional conditional access services | |
KR100820228B1 (en) | User Watching Entitlement Identification System Using One Time Password And Method Thereof | |
KR20080054751A (en) | Apparatus and method for conditional access | |
JP2008294707A (en) | Digital broadcast receiving apparatus | |
KR102190886B1 (en) | Protection of Control Words in Conditional Access System | |
JP5143186B2 (en) | Information communication method and server | |
KR20080016038A (en) | A method and an apparatus for exchanging message | |
JP2003244127A (en) | Digital content processing device, digital broadcast receiver, digital content processing system, digital broadcast system, digital content processing method, computer readable storing medium, computer program | |
CN105306975A (en) | Control word safe transmission method and system without binding smart card with set top box | |
JP2022114882A (en) | Data issue device for privilege acquisition, privilege acquisition device, privilege issue device, and program for them | |
KR20110028784A (en) | A method for processing digital contents and system thereof | |
KR20110101784A (en) | An apparatus and method for content security in iptv service environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |