TWI407788B

TWI407788B - 對條件式存取資料之存取控制方法

Info

Publication number: TWI407788B
Application number: TW094140984A
Authority: TW
Inventors: Nicolas Courtin; Olivier Brique; Jimmy Cochard; Christophe Gogniat
Original assignee: Nagravision Sa
Priority date: 2004-11-29
Filing date: 2005-11-22
Publication date: 2013-09-01
Also published as: US8099778B2; EP1662789A1; KR20070084540A; WO2006056609A1; AR051247A1; TW200633531A; CN101065965A; ES2486251T3; CN101065965B; EP1829370A1; DK1829370T3; US20060117392A1; KR101182929B1; EP1829370B1

Description

對條件式存取資料之存取控制方法

本發明係關於在包含至少一個安全模組的多媒體單元中，對條件式存取資料之存取控制方法。

其亦關於對條件式存取資料存取之安全模組，該安全模組特別為一智慧卡(smartcard)之類之可移除安全模組，含有起始信用值，並意在用於付費電視(Pay－TV)領域。

現今，已有如含有起始信用值之智慧卡的可移除安全模組。這類稱為預付卡(pre－payment cards)的安全模組，特別與付費電視或條件式存取電視領域中之解碼器關聯使用。在此環境中，它們容許加密(encrypted)內容被解密。

如眾所週知，在此類安全模組的使用系統中，內容藉由控制字(control words)加密，再送至與資料或內容提供者相連的多媒體單元。控制字以加密方式，在控制訊息ECM中送到多媒體單元。這些控制訊息ECM由多媒體單元的解碼器，傳送至該單元的安全模組。若有解密權，控制訊息被解密以抽取出控制字。該控制字送回至解碼器，解碼器利用其將內容解密。

實際上，安全模組最初並不含有任何權限。這些權限在一般由技師安裝多媒體單元時，所執行的初始化步驟中傳送。這表示在購買預付安全模組時，此模組並不運作。這對雖然已經購買，卻不能立即取得其所付錢購買服務的使用者而言，代表一項缺點。

為避免此缺點，可以利用短暫時間間隔，傳送授權訊息EMM，以啟動安全模組。在其模組接收此訊息前，使用者應等待。然而，對資料提供者而言，這代表必需使用並非永遠可取得，且昂貴的大頻寬的缺點。

當然可能在安全模組個人化期間，也就是製造過程終了，模組上市之前，加入解密權。如此的效果為使卡片接觸到解碼器時立即作用。然而，此程序在現實中從未實現。事實上，如果例如安全模組失竊，就必須送出一方面含有失竊模組辨識符，另一方面含有解除作用(deactivation)命令的授權訊息EMM，以使這些失竊模組失效。此類授權訊息EMM的處理，可相對輕易阻斷。因此將難以，甚至不可能將失竊模組解除作用。

因此，在安全模組一接觸解碼器立即作用，與能夠將失竊模組解除作用或為其他原因解除作用之間，產生無法兩全之況。

日本JP 2004186714摘要描述一種以下述方式操作的解碼器/安全模組組成件：含有數個控制訊息ECM的授權訊息EMM送至解碼器。訊息的數目儲存於安全模組之中。此安全模組包含計數功能，在每次解密控制訊息ECM時，均減去一計數器值。

此實施例有幾個缺點。第一，計數器接收到數個已於授權訊息中授權解密的控制訊息。因此，當安全模組接觸到解碼器時，在解碼器能夠作用前，必須先等待授權訊息EMM的接收與處理。因此該發明並未容許產生接觸解碼器立即作用的安全模組。

接者，當計數器之值加入安全模組時，只能藉由送出中止權限的授權訊息EMM將解碼器解除作用。然而，如已廣為人知的，要在權限被終止之前，過濾並除去這些訊息，相對容易。因此，安全模組只能在當授權解密控制訊息的數目已達到時，自動解除作用。該發明並未容許產生可以任意迅速解除作用的安全模組。

本發明提出一種當加入到任何適當解碼器時，不須於一管理中心先行登記，立即作用的安全模組。本發明亦提出讓操作者，特別在模組遭竊或某些模組以未授權方式使用時，能夠將一或多個安全模組解除作用。

本發明之目的，藉由前文中所界定，且特徵為包含以下步驟之方法而達成：由多媒體單元接收包含至少一個控制字cw的控制訊息ECM；傳送此訊息ECM至該安全模組，此控制訊息與訊息解密權有關；決定此ECM控制訊息相關於該安全模組之解密權的有效日期；決定現在日期；比較現在日期與解密權失效日期，並決定現在日期是否在失效日期之前；若為是，將控制訊息ECM解密並將控制字cw送至該多媒體單元；若為否，讀取含於安全模組計數器之值，比較此值以決定此值是否包含於授權解密之範圍內；若為是，依預定規則更改計數器之值，將控制訊息ECM解密並將控制字cw送至該多媒體單元；若為否，阻隔對該條件式存取資料之存取。

該諸目的，亦由特徵為包含以下步驟之方法而達成：由多媒體單元接收包含至少一個控制字cw的控制訊息ECM；傳送此訊息ECM至該安全模組，此控制訊息與訊息解密權有關；讀取含於安全模組計數器之值；比較此計數器值，以決定此值是否包含於解密授權之範圍內；若為否，阻隔對該條件式存取資料之存取；若為是，將控制訊息ECM解密並將控制字cw送至該多媒體單元；決定此ECM控制訊息相關於該安全模組之解密權的有效日期；決定現在日期；比較現在日期與解密權失效日期，並決定現在日期是否在失效日期之前；若為是，授權對該條件式存取資料之存取；若為否，依預定規則更改計數器之值，並授權對該條件式存取資料之存取。

本發明之目的，亦藉由對條件式存取資料存取之安全模組而達成。該安全模組特徵為包含計數器，目的為計算解密控制訊息ECM之數目，以及當預定之解密數目達到時，資料顯示之阻隔機構。

依照本發明，權限於安全模組個人化時加入模組。這些權限容許模組在一接觸解碼器時，即可作用。然而這些權限受到限制，無法取得安全模組所有的功能。特別是，這些權限時間上受到限制。

因此，若安全模組未與負責送出權限的管理中心聯繫，安全模組將只能以受限方式作用。為能使用已提供之功能作用，必須容許管理中心與安全模組之間的通訊。

這使操作者可阻止失竊或非法使用的安全模組存取資料。對資料存取的阻隔可藉由主動送出管理訊息EMM形式之阻隔訊息而完成。阻隔亦可被動藉由不更新解密權完成。因此，若管理訊息因為要除去給安全模組的阻隔指令而被隔絕，阻隔仍可不顧一切，以被動方式完成。

以此方式，計數器容許模組在一接觸解碼器即作用，以滿足使用者。這容許模組等待更新權限管理訊息EMM的接收。此計數器的主要優點，為其容許兩個這類管理訊息EMM之間週期的長度增加，以保障對付費電視營運者而言昂貴的頻寬。這是在並未不利使用者之下達成。

在安全模組個人化時起始計數器，容許模組在第一次使用時無延遲操作，直到接收第一個管理訊息EMM。

在更新中間有效日期同時更新計數器，容許模組在更多次使用時無延遲操作，直到接收下一個管理訊息EMM。這避免損害***長久在多媒體單元外模組的使用者。

在管理訊息EMM送出計數器值，容許依操作限制更改此值。例如，若管理訊息EMM可用頻寬減少時，可以增加此值。

參照圖1，本發明之程序以一關於條件式存取電視的特殊應用解釋。此應用中，管理中心將條件式存取資料，送出至多個各自包含解碼器與安全模組的多媒體單元。此應用中，安全模組為可移除式，特別是可以製為晶片卡型式。值得注意的是此模組包含計數器，其功能於以下解釋。

傳統方法中，諸如由管理中心送出的條件式存取資料，形成付費電視的內容。此資料藉由控制字cw加密。控制字cw本身亦加密，以控制訊息ECM形式送至相關使用者。對加密內容的權限可以授權訊息EMM形式，送至使用者多媒體單元。

當使用者希望存取加密內容時，由此使用者的解碼器接收之控制訊息，被傳送至相關多媒體單元的安全模組。首先，安全模組驗證其是否處分存取內容所需的權限。若是，安全模組將控制訊息ECM解密，以取出控制字cw。控制字隨後被送回解碼器，後者用其將內容解碼。

如先前指出的，依本發明的安全模組包含計數器。預定值在個人化時加入到此計數器。此值可為數字值或特別為一時間長度。安全模組亦包含一不可修改，超過後此模組即無法工作的最後失效日期。其亦含有提供以接收中間有效日期的暫存器。個人化期間，此暫存器可留空白。然而，亦可在個人化時，加入一日期，例如為個人化日期或相對接近的日期。

安全模組亦可含有一代表載入此模組金錢總和的信用值。此信用值亦在個人化時或之後，例如在使用者購買模組時載入。

當使用者為存取付費電視內容而取得安全模組時，此模組能被加入到任何合適的解碼器。當使用者需要存取加密內容時，本發明之程序首先包含驗證中間有效日期的步驟。若含有此日期的暫存器為空或其含有先於目前日期之日期，此程序繼續至讀取安全模組計數器值步驟。

若計數器值在授權解碼包含範圍之內，安全模組將控制訊息ECM解密，以自該訊息中取出控制字cw。然後安全模組將控制字cw送回至該多媒體單元。實際上，使用非零的數字值，例如180，作為計數器起始值，並在每次解密時將此值減去－單位，是常態。在加密週期(cryptoperiod)，即兩個連續控制字改變之間間隔，為十秒時，值180對應1800秒解密，也就是三十分鐘的內容。如先前指出的，計數器值亦可為一時間長度，例如三十分鐘。此時，授權解密時間與加密週期無關。不同的是，需要使用除計算控制解密訊息ECM數目之外的時間量測機構。這類機構特別可使用包含於解碼器中的時鐘，或是由管理中心送出的絕對時間。此時，控制訊息開始解密的時間儲存起來。每次解密時，計算出此開始解密的時間與實際時間之間的時間長度。此時間長度隨後與計數器中之時間長度值相比。只有若計算之時間長度低於計數器中儲存之時間長度，才授權對資料存取。

管理中心固定時間間隔送出含有中間有效日期的授權訊息EMM。依較佳實施例，授權訊息EMM含有一或多個中間有效日期與計數器值須送至的安全模組，身份辨證號碼的範圍。身份辨證號碼未出現在任何授權訊息範圍之內的安全模組將因此收到新的中間有效日期，且計數器將不被重新啟始。如此，其特有身份辨證號碼不含於授權訊息EMM中的安全模組，被被動解除作用。

應注意的是，依照授權訊息EMM的大小與傳送所有相關範圍需要的空間，可以只產生一或數個授權訊息EMM。這些訊息可送至安全模組群，或所有模組。依一替代項，授權訊息EMM可利用安全模組的特有身份辨證號碼，各自傳送。

當此類授權訊息EMM由使用者的多媒體單元接收時，藉由自該訊息抽出一者中間有效日期，與再者新的計數器值，將授權訊息解密。該中間有效日期與新計數器值儲存於安全模組之適當位置。

在首次使用之後的使用中，模組的中間有效日期被讀取。此以圖1之步驟10表示。此有效日期被與目前日期相比。然後在步驟11中，驗證目前日期是否先於儲存的中間有效日期。若目前日期先於中間有效日期，則解密以傳統方式進行，如圖1之步驟12所表示。計數器之值不變，而程序終止，如步驟13所表示。

在比較步驟期間，若決定目前日期在中間有效日期之後，則在步驟14中讀取計數器之值。此值在步驟15中與授權解密值之範圍相比。在一實現所述範例目的之實施例中，授權解密值之範圍從1至180(含)。若此計數器值在授權解密範圍之外，於吾等範例中，若此值為零，則阻隔資料的顯示或資料的存取。阻隔可藉由阻擋安全模組中或在解碼器另一層級中解密而達成。此阻隔以圖1步驟16表示。程序對應步驟13被停止。應注意計數器值與有效日期的驗證，容許安全模組所有或部分功能的阻隔，例如對現有信用值的使用或對補充信用值的扣款。

步驟15中，若決定計數器值包含於授權解密範圍之內，亦即此值大於零或在吾等例中在1與180之間，則將控制訊息ECM解密，計數器值依預定規則更改。依一特殊實施例，此值由1向下扣。扣除可在控制訊息ECM解密之前或之後實施，並對應圖1步驟17。

依一不同實施例，計數器值可在開始為零，而在解密中增加。鎖定可在當計數器達到一預設值時實施。亦可以依廣播內容，將計數器扣除不同值。計數器可在播放電影時扣除一單位，而在播放體育競賽時扣除兩單位。

本發明之程序已參照圖1描述。依一實施例，有效日期與目前日期的比較步驟係在計數器值控制步驟之前置施。圖2顯示一種變化，其中步驟相似於圖1，但將參照號碼增加100。依圖2所示之替代項，亦可以步驟114讀取計數器所含值開始程序。此步驟之後為步驟115，目的在決定計數器值是否包含於授權解密範圍之內，即此值是否超過零。若此值在授權解密範圍之外，或於吾等範例中，若其為零，禁止存取資料，如步驟116所示。若此值非零，控制字於步驟112中解密。然後於步驟110中讀取中間有效日期，並於步驟111中與現在日期比較。若現在日期晚於中間有效日期，對應步驟117，依預定規則減少計數器。若不然，則此計數器值不被更改，且授權資料存取。

如先前指出的，安全模組亦可包含一信用值。本發明之程序亦可包含，在任何其他步驟之前，驗證此模組中剩餘信用值的步驟。驗證以以下方式進行。當使用者表示其希望存取帶有既定額度的既定內容時，模組驗證其是否含有超過或等於所需內容相關額度的信用值。若是，則如先前所解釋的程序開始。若此程序導致資料解密，信用值被扣除事件相關額度，而新的信用值存入。

若對應步驟參照10至16的程序不導致資料解密，信用值不被更改。

若起始信用值低於所需內容相關額度，對事件的存取權不被給予，而內容無法觀賞。依所選實施例，可容許對安全模組中補充信用值的扣款，或相反地，阻止扣款。

參照附圖以及對某些特定實施例的詳細敘述，可對本發明及其優點更為了解：圖1顯示依本發明之較佳實施例；圖2顯示本發明方法之一變化。

Claims

一種對條件式存取資料之存取控制方法，該條件式存取資料係在包含至少一外部安全模組的多媒體單元中，其中該方法包含以下步驟：由該多媒體單元接收包含至少一個控制字的控制訊息；傳送該控制訊息至該至少一外部安全模組，該控制訊息與訊息解密權相關；決定與該外部安全模組相關之該控制訊息解密權的有效日期；決定現在日期；以及比較該現在日期與該解密權之該有效日期，並決定該現在日期是否在該有效日期之前，其中當該現在日期是在該有效日期之前時，該方法包含將該外部安全模組內的至少一控制訊息解密並將該控制字從該外部安全模組傳送至該多媒體單元；以及當該現在日期不是在該有效日期之前時，該方法包含讀取儲存於該外部安全模組計數器之值，比較該被儲存的值與一範圍的授權解密值，且決定該比較值是否於該範圍內，其中當該被儲存的該計數器值是在該授權範圍內時，該方法包含依想要的規則更改計數器之值，將該至少一控制訊息解密並將至少一該控制字從該外部安全模組傳傳送至該多媒體單元；以及當被儲存的計數器值不是在該授權範圍內時，該方法包含阻隔對該條件式存取資料之存取，且其中當該至少一外部安全模組連接到該多媒體單元時馬上操作上授予對該條件式存取資料之存取而不接收來自管理中心的啟動訊息。
如申請專利範圍第1項之方法，其中該多媒體單元依預設時間間隔，接收包含有效日期之授權訊息，該有效日期晚於該目前有效日期，且被儲存於該外部安全模組。
如申請專利範圍第2項之方法，其中該授權訊息進一步包含一重新初始化該計數器且其被儲存於該安全模組之該計數器之值。
如申請專利範圍第3項之方法，其中被儲存於該計數器之被重新初始化之值為一數字值，該數字值代表該外部安全模組被授權解密之該至少一控制訊息之數目。
如申請專利範圍第3項之方法，其中被儲存於該計數器之被重新初始化之值為一時間長度，該時間長度與該外部安全模組被授權解密之該條件式存取資料的長度有關。
如申請專利範圍第1項之方法，其中授權解密值之範圍介於1與大於1之臨界值之間，修改該計數器之值時所達到之之限是在該值的該範圍內，且修改該計數器之值包含遞減被儲存於該計數器之值。
如申請專利範圍第6項之方法，其中每次該至少一控制訊息被解密時，該計數器之值至少減一單位。
如申請專利範圍第7項之方法，其中取決於被解密之至少一控制訊息相關內容，減少該計數器之值的多數個單位數。
在包含至少一外部安全模組的多媒體單元中條件式存取資料之存取控制方法，包含以下步驟：由該多媒體單元接收包含至少一個控制字的至少一控制訊息；傳送該至少一控制訊息至該至少一外部安全模組，該控制訊息與訊息解密權相關；讀取儲存於該至少一外部安全模組之計數器之值；比較被儲存之該計數器值與解密授權範圍，以決定被儲存之該值是否在該解密授權範圍內，其中當被儲存之值不是在該解密授權範圍內時，該方法包含阻隔對該條件式存取資料之存取；當被儲存之值是在該解密授權範圍內時，該方法包含將在該至少一外部安全模組內之該控制訊息解密並將控制字從該至少一外部安全模組傳送至該多媒體單元；決定與該安全模組相關之該控制訊息解密權的有效日期；決定現在日期；比較該現在日期與該解密權的該有效日期；以及決定該現在日期是否在該有效日期之前，其中當該現在日期是在該有效日期之前時，該方法包含授權對該條件式存取資料之存取，以及當該現在日期不是在該有失效日期之前時，該方法包含依想要的規則更改儲存於該外部安全模組之該計數器之值，並授權對該條件式存取資料之存取，且其中當該至少一外部安全模組連接到該多媒體單元時馬上操作上授予對該條件式存取資料之存取而不接收來自管理中心的啟動訊息。
如申請專利範圍第9項之方法，其中該多媒體單元依預設時間間隔，接收包含有效日期之授權訊息，該有效日期晚於該目前有效日期，且被儲存於該至少一外部安全模組。
如申請專利範圍第10項之方法，其中該授權訊息進一步包含一重新初始化該計數器且被儲存於該外部安全模組之該計數器之值。
如申請專利範圍第11項之方法，其中被儲存於該計數器之被重新初始化之值為一數字值，該數字值代表該至少一外部安全模組被授權解密之該至少一控制訊息之數目。
如申請專利範圍第11項之方法，其中被儲存於該計數器之被重新初始化之值為一時間長度，該時間長度與該至少一安全模組被授權解密之該條件式存取資料的長度有關。
如申請專利範圍第9項之方法，其中授權解密值之範圍介於1與大於1之臨界值之間，修改該計數器之值時所達到之之限是在該值的該範圍內，且修改該計數器值之值包含遞減被儲存於該計數器之值。
如申請專利範圍第14項之方法，其中每次該至少一控制訊息被解密時，該計數器之值至少減一單位。
如申請專利範圍第15項之方法，其中取決被解密之該至少一控制訊息相關內容，減少該計數器之值的多數個單位數。
一種用於對條件式存取資料存取之外部安全模組，其中該安全模組包含實施申請專利範圍第1項之方法的手段。
一種用於對條件式存取資料存取之外部安全模組，其中該安全模組包含實施申請專利範圍第9項之方法的手段。