有条件访问

本发明涉及到一种用于提供对传送数据的有条件访问的传输系统；该系统包括一个发送器和多个接收器，它们通过网络耦合在一起。本发明也涉及到在这样的系统中使用的发送器和接收器。

在常规的有条件访问系统中，数据是从一个发送器发送给多个接收器的。发送形式有很多种，例如使用陆地发送、卫星发送或者电缆发送。通常，数据是广播的(即数据只发送一次，而被所有有资格的接收器接收)。访问该数据是有条件的，例如取决于特定接收器是否支付预订费。这样的有条件访问数据的服务是通过在授权密钥控制下对数据进行加密(通常在发送器里进行加密)以及发送已加密的数据给接收器而实现的。此外，数据解密所必需的解密密钥本身也被加密，并被发送给接收器。通常采用的是对称加密技术，也就是加密密钥与解密密钥一样。只有那些有资格获得数据的接收器才能利用第一解密器对解密密钥进行解密。然后，接收器才能利用在授权密钥控制下解密数据的第二解密器对数据进行解密。一般授权密钥的加密/解密都要在一个安全环境下进行。为此目的，这些功能通常在接收器中的智能卡或者能够连接到接收器的智能卡上执行。在上面的系统描述中，授权密钥被用来直接控制数据流的加密/解密。

从现有技术系统可知，增加一个或者多个安全层以确保怀有恶意的用户不能取回第二解密器发送给第一解密器的授权密钥，以及提供该密钥给其他接收器的数据解密器。在这样的系统中，用于数据加密/解密的密钥经常更改(例如每秒一次)。此密钥通常被称为内容密钥。利用授权密钥，内容密钥本身也被以一种加密形式(称为控制字)发送给所有的接收器(通常是广播)。在这种情况下，授权密钥直接控制该控制字的解密，并且间接控制数据的解密。控制字的解密也要在接收器的安全模块中进行。

应当理解，重要的是怀有恶意的用户不能轻易取回授权。为此目的，每个接收器都配备了在其安全模决中并入的一个固定的设备密钥。在与各个接收器相关的唯一的固定密钥控制下，发送器分别为每个接收器加密授权密钥。发送器分别将该加密的授权密钥发送给每个接收器。这就要求系统中有很多消息以及高的带宽。这意味着仅例外地对授权密钥进行更新，例如一年一次。如果一种授权密钥已被非法重新得到，则只要非法使用该已破解密钥的接收器数量相对少，就通常不会导致更新授权密钥。

本发明的目的是提供前面提及的那种有条件访问系统，该系统提供改进的安全性，并在更新授权密钥方面更灵活。

本发明目的的达到在于：发送器包括装置，用于把在相同授权密钥控制下进行加密的相同数据发送给所有接收器；以及用于把带有多个项的相同的密钥块发送给所有接收器，其中每个项都与一个各自不同的设备密钥相关，至少有一些项包括用相关设备密钥进行加密的授权密钥表示；本发明目的的达到还在于：接收器与多个设备密钥的一个集合相关；该接收器包括用于接收密钥块和加密数据的装置；用于通过解密密钥块的至少一个项而重新得到授权密钥的第一解密器，该项与该接收器相关的设备密钥集合中的一个设备密钥相关；以及用于在授权密钥控制下解密数据的第二解密器。

按照本发明使用唯一设备密钥的一个集合，其中每个设备密钥都被用来产生该授权密钥的一个设备密钥特定的表示，从而生成授权密钥的表示。这集合就被称为密钥块。密钥块中每个项可以只包含在某个相应设备密钥控制下加密授权密钥的结果。应当理解，授权密钥表示可以更为复杂，例如使用额外的处理步骤，像涉及别的密钥的另外的加密步骤。每个接收器都与设备密钥的子集相关。通过从它的子集中得到其中一个密钥，以及解密密钥块中相应的项，接收器就可以获得授权密钥。优选地，接收器知道其设备密钥集合中的各个密钥对应于密钥块中的那个项。这知识可以预先编程，例如以指针的形式。接收器相关的子集包括整个设备密钥集合中的至少两个。接收器间设备密钥的共享导致了系统中使用的设备密钥数目基本上小于系统中接收器的数目。因此，密钥块也可以相对小一点。通过把密钥块发送给所有设备可以实现授权密钥的变化。通过共享个别设备密钥，相对于已知系统中传送给组合中所有个别接收器的授权数据来说，由于变化而将要传送的数据量也相对小。而且，密钥块可被广播，然而在原先系统中，是使用独立的信息来寻址到个别接收器的。广播极大地降低了开销。尤其是，考虑到要更频繁地更新授权密钥，通过利用高度的密钥共享，可以使密钥块小一点，且因而增加系统的安全性。应当理解，授权密钥可以直接或者间接(通过附加的安全层)控制数据加密/解密。通常在剩余部分中，除非有明确指示，否则控制可以是直接的，也可以是间接的。

根据从属权利要求2的措施，设备密钥是共享的，但是与特定接收器之一相关的设备密钥子集对于该接收器是唯一的。例如，在带有编号从1到4的四个独特的设备密钥的系统中且其中每个设备与由两个设备密钥组成的子集相关，那么总共六个设备就能够被这样区分(与设备密钥各自的子集(1，2)、(1，3)、(1，4)、(2，3)、(2，4)和(3，4)相关)。这使得设备能够进行特定的有条件访问。应当理解，在一个典型的有条件访问系统中可以有几百万个接收器，例如其中可以使用的唯一的设备密钥总共有216个，并且每个设备都与16个设备密钥的子集相关。

根据从属权利要求3的措施，接收器的撤销(即通过不提供对数据解密密钥的访问，从而禁止数据的处理)通过改变授权密钥以及确保新的密钥块没有包含授权密钥的有效表示来进行，该授权密钥用于相应于将被撤销设备的设备密钥的那些项。在上面所给的实例中，与子集(1，2)相关的接收器可通过确保密钥块中用于密钥1和密钥2的项没有包含授权密钥的有效加密来撤销。这确实意味着与子集(1，3)、(1，4)、(2，3)和(2，4)相关的接收器已经失去了两个设备密钥中的一个，但是它们仍然可以利用剩余的密钥运行。在一个更大的典型系统中，可以撤销很多设备，而不会不注意地撤销一个有效接收器。

根据从属权利要求4的措施，被撤销了的接收器能够重新使能。这是通过在密钥块项中插入至少一个授权密钥的有效加密表示来实现的，该密钥块对应于将要重新使能的接收器的设备密钥。因为根据本发明的系统使得能够迅速改变授权密钥，所以这也使得有可能暂时撤销一个或者多个接收器。这使得能够给单独的接收器提供服务，或者由于密钥是共享的，所以它能够给接收器组提供服务。在优选实施方案中，整个密钥集合被细分为至少两个服务特定的密钥集合。如果设备已经预订了这些服务中特定的一种，那么相应密钥集合将提供至少其中一个设备密钥给该设备。例如，整个密钥集合能被分为“日间”密钥集合和“深夜时间”密钥集合。对于标准预订，日间观察集合提供8个密钥给每个接收器。对于高级预订，接收器从深夜时间观察集合接收额外的8个密钥。例如，在一点钟仅用深夜时间观察集合中设备密钥的有效项使新密钥块活动。而在六点钟使新密钥块活动可以仅用或者还用日间观察集合中设备密钥的有效项。

根据从属权利要求5的措施，每个接收器与一个固定设备密钥(例如包含在智能卡中)相关。此固定设备密钥被用来安全地更新与接收器相关的设备密钥集合。设备密钥共享原理会导致由于以下情况的副作用而使一个有效接收器被撤销，即：由于怀有恶意的(且因此被撤销的)接收机使用了该有效接收器的设备密钥而使得其所有设备密钥被撤销。为了克服这一问题，可将一种新的设备密钥集合提供给这样的设备。如果用户改变预订，并且这样需要一个新的密钥集合，那么新的集合也能被提供。

本发明的这些方面以及其他方面将参考有关附图来阐明。

图1给出了按照本发明的系统概观，图2给出了现有技术的有条件访问系统的框图，以及图3给出了按照本发明的有条件系统的框图。

图1给出了按照发明的系统概观。该系统包括一个经由通信网络110连接多个接收器120、130和140上的发送器100。在这样的传输系统中，多个数据信号或者混合信号通过发送器100传送给接收器。典型地，该系统包括了很多接收器。接收器可以是一单独设备，也可以嵌入在别的合适设备中，像机顶盒、电视或者PC。通过输入设备，比如像键盘或者远程控制器，终端用户通常能控制接收器。从接收器出来的数据立即被呈现，例如显示在显示设备上，或者利用音频放大器重现(或被进一步处理，或储存起来以备将来使用)。把数据从发送器发送给接收器可以通过广播，像陆地广播、卫星广播或者电缆广播。也可以混合使用这些技术。通信协议可以是基于互联网协议的。传送本身不是本发明的一部分，所以不详细描述。

在这样的传输系统中，期望仅有有限的接收机用户(例如仅有付费用户或属于特定组的用户)能访问一些或者全部数据服务。这样的有条件访问数据服务是通过加密数据以及让发送器100发送已加密的数据给接收器而实现的。通常，发送器100利用内容加密器210加密数据，如图2给出的按照现有技术的系统和如图3给出的按照本发明的系统所示出的。如果需要，已加密的数据也可以提供给发送器。数据的加密处在内容密钥的直接控制下。在典型系统中，内容密钥频繁变化，例如每秒一次。在授权密钥控制下进行加密的内容密钥以加密形式由发送器提供给接收器。为此目的，发送器包含加密器220以加密该内容密钥。加密的内容密钥被称为控制字(CW)。控制字通常在所谓权利控制消息或ECM中传送。这样的ECM可以嵌入到IP包中，或者嵌入到MPEG传输流中。同样的ECM被发送(广播)给所有接收器。接收器包括用于对已加密控制字进行解密的解密器250，以及接收器重新得到内容密钥。接收器使用内容密钥来控制解密器240对加密数据进行的解密。考虑到安全性，控制字经常变化，例如在一段特定时间后，或者在发送一定量的数据后。每次控制字的值变化后，新ECM不得不被发送给接收器。因此，ECM流是与每个有条件可访问的数据服务相关的。为了减少接收器访问该服务的时间，可以要求重发几次不变的ECM。(为了访问服务，接收器必须首先得到相应的ECM。)为了滤除相同解密密钥的第二次以及其他的出现，接收器可以包括过滤器。

为了让这样的方案工作，接收器需要获得对授权密钥的安全访问。在图2按照现有技术的系统中，每个设备密钥与一个通常嵌入在智能卡中的固定设备密钥相关。发送器可访问所有的固定设备密钥。对于每个设备，发送器重新得到与该设备相关的固定设备密钥，并且在该固定设备密钥的控制下使用加密器230对授权密钥进行加密。然后利用所谓的权利管理消息(EMM)，把已加密的授权密钥仅传送给相关的接收器。接收器包含解密器260。在固定设备密钥的控制下，解密器260被用来对接收到的已加密授权密钥进行解密。然后被重新得到的授权密钥可以用来控制解密器250。

图3给出了用于按照本发明分发授权密钥的机制。发送器100包括可储存多个唯一设备密钥的储存器280。在一个可能供上百万个接收器使用的系统中，可以使用典型的216个不同的设备密钥。加密器270被用来加密该授权密钥。每个设备密钥被轮流使用一次来加密授权密钥的普通形式。如果使用了216个不同的设备密钥，那么这也导致了授权密钥的216个不同的加密表示。这些加密表示形成所谓的密钥块(KB)。显而易见，密钥块中每个项对应一个设备密钥。利用EMM，密钥块被发送器100优选以广播方式发送给所有接收器。每个接收器都配备有设备密钥中至少两个组成的子集。应当理解，相比于整个设备密钥集合，子集通常小一点。设备密钥子集可以以安全智能卡形式提供给接收器。接收器使用解密器272以及它的设备密钥子集从密钥块中重新得到授权密钥。像所描述的，每个设备密钥对应密钥块中的一个项。接收器知道这种对应关系。作为一个实例，对于接收器的每个设备密钥，可以把密钥块中相应项的标识提供给接收器。例如，利用包含216个项的密钥块，可以把16比特项号码提供给每个设备密钥来指示密钥块中利用那设备密钥进行加密的项。优选地，构造密钥块以使得这种对应关系更易于确定。例如，在一个系统中，其中密钥块带有216个项，16个设备密钥用于每个接收器，则该设备密钥优选地被安排成16列和4096行的矩阵形式。每个设备从每列中得到一个设备密钥。从列1中得到第一个设备密钥，从列2中得到第二个设备密钥，等等。这样仅需要把12比特的行数给每个设备密钥。应当理解，在多数情况下，仅传送小部分密钥块就足够了。给每个有资格的接收器提供与其密钥相关的一个项就足够了。假定至少一个接收器使用了所有设备密钥，并且使用所描述的矩阵结构，仅传送一列就足够。则也应当理解，密钥块的每个项不必包含利用相关设备密钥加密的授权密钥本身。作为替代，它可以包含能帮助重新得到授权密钥的信息，比如指针。这样就可得到另外的共享级别。为了增加安全性，也可以要求使用一个以上的设备密钥去重新得到授权密钥(例如授权密钥被加密两次)。每个接收器优选地与对那个接收器是唯一的设备密钥集合相关(虽然个别密钥被共享)。

如果在一特定时刻，因疏忽而使得授权密钥被非法取得，那么一种新的密钥块就被发送给所有接收器。如果知道是使用哪个接收器而得到该授权密钥，那么这个接收器就会被撤销。撤销的方法是把密钥块的所有项都插入一个无效值，所述密钥块对应于将要被撤销的接收器的任何其中一个设备密钥。无效值的意思是除了在密钥块项相应的设备密钥控制下被加密的新授权密钥以外的任何值。优选地使用预定的无效值。这就允许接收器去确定该密钥块项的解密不会生成一个有效的授权密钥。没有被撤销的接收器则能试用它的另一个设备密钥以得到授权密钥。

优选地，设备能暂时被禁止使用(撤销)从而不能提供有条件服务(而不是永久禁止使用接收器)。为此目的，整个设备密钥集合被分成许多子集，它们中的每一个对应于一个各自不同的服务。至少一个用于那种服务的设备密钥被提供给授权提供对服务的访问的接收器。如果需要，则一些设备密钥可以提供对一个以上服务的访问。不管用于那种服务的数据广播发生在什么时候，首先发送的都是仅包含用于对应那种服务的设备密钥有效项的密钥块。

在优选实施方案中，更新与接收器相关的设备密钥子集是可能的。为此目的，每个接收器与一个固定设备密钥相关，例如使用智能卡提供给接收器。发送器100可访问哪些固定设备密钥。对于特定接收器，发送器重新得到固定设备密钥。然后它根据储存器280储存的整个集合生成新的设备密钥子集。优选地，该新集合是唯一的，并且不包括已被撤销的设备密钥。于是在固定设备密钥的控制下，发送器使用加密器290对新的设备密钥子集进行加密。利用EMM，结果被传送给该特定接收器。接收器在它的固定设备密钥控制下使用解密器292对接收到的加密子集进行解密。应当理解，也可以使用像智能卡、CD、固态存储卡等便携式储存媒介传送新的密钥集合。

应当理解，对于所有描述的加密/解密方法，可以使用适当的算法。许多适当算法是已知的(像利用用于加密数据流的CBC模式中的DES)，它们不是本发明的一部分。也应当理解，优选在安全环境中实施大多数功能性，像防篡改智能卡。假定控制字有规律地改变，那么现行利用解密器240解密数据可能是在不太安全的环境中进行。

就其本身来说，并不需要控制字提供的保护附加层。原则上，现行数据可直接在授权密钥的控制下进行加解密。由于经常认为密钥块的尺寸比控制字大，所以对于大一点的系统，通常不可能使得授权密钥的更新频率与控制字典型的变化频率(比如每秒一次)一样。对于那些系统，只要现行数据的解密也在安全环境下进行，那么取消控制字层仍然是可能的。对于小一点的系统，通过以足够快的频率频繁改变授权密钥，有可能使得控制字层被舍弃。