专利名称:用于验证连接到主设备的目标设备的方法
技术领域:
本发明涉及数字数据特别是音频/视频类型广播数据的保护领域。
背景技术:
诸如数字处理装置之间视频数据流的数据交换,当其被访问时, 并当其在开放的网络诸如家庭网络上转移时,需要实现防止这样的数 据盗版的技术。因而随着数字电视的来到,现在能够找到具有向这些 电视数字输出的DVD读取器。明显的是如果简单使用来自读取器的 信息输出是可访问的,则DVD本身光学反拷贝防护是没有意义的。为此,已制定了诸如DTCP, HDCP, SmartRight,或SVP解 决方案,通过对这类设备输出数据加密,对在家庭网络传送的数据进 行保护。这种加密是借助于称为对称的加密算法来进行的,这要求建 立数据的发送器设备以及接收器设备都必须知道的对应密钥的保密 机制,所有这些都要定期更新以保持它们的保密性。根据一种较佳的 方式,在其通信装置中每一装置包含一个含有一个专用密钥和一个公 用密钥的证书,其允许建立可靠的授权信道(SAC-安全授权通道)。 这些证书包含一个标识号码,其一般对应于乂.509标准。类似地,根据已知的验证机制对相互鉴证或接收器的鉴证使用证书。过去的经验表明,本来构思良好的系统如果不能适应外部的攻 击,可能会迅速变得陈旧。所有基于证书交换,也称为在PKI(公共 密钥体系结构) 一般命名下的解决方案的安全性,都或者依赖于证书 的经常更新,这对于大量公共设备的情形下是难以实现的,或者依赖 于其安全性已受到损害的证书的撤回,例如在设备的机密(特别是密钥)已通过盗版被抽取并大量复制的情形(例如以仿造软件的形式进 行设备的克隆)。因此,有一种趋势是向DVD添加其证书不再满足安全性标准的 装置撤消清单。在向所述DVD播送之前进行一个验证,以检验读取 器是否被授权访问该内容,以及连接到读取器的装置是否被禁止接收 这一内容。可进行这样的检验是由于被撤消的证书的清单(称为黑清 单的负清单)。在电视广播界,对撤消清单的播送以及对接收器和连 接到该接收器的装置—当该装置需要接收由接收器接收的数据时-的验证过程可采用类似的原则。然而,就电视广播应用和关于预封装 支持诸如DVD内容的传播之间的技术限制,这一方法根据差别引起 了不同的技术和商业上的限制。发明内容本发明的目的是要提出与反拷贝保护标准相关的撤消清单的不 同的分配和管理方法,通过保证接收器设备以及连接到家庭网络中的 这一电视广播接收器的设备的防盗版的安全性,以便于在电视广播环 境中对所述清单的处理。这一 目的是通过对连接到主设备的目标设备的验证方法达到的, 主设备具有接收由传播中心通过数据流传送的内容的装置,主设备和 目标设备借助于交换包含至少 一个证书标识符的证书鉴别其本身,这 一方法包括以下步骤a. 通过广播传送包含证书标识符清单的至少一个目标设备验证表,b. 在主设备中存储这一清单,c. 抽取与内容相关的验证指示,这一指示包含启动或禁止目标 设备的验证,d. 如果验证指示包含验证的启动,则通过主设备验证目标设备 的证书,使用至少一个存储的清单,以授权或禁止与目标设备的数据 交换。因而,传播中心能够根据广播的内容启动或禁止目标设备的验证。与DVD情形下清单的传送不同,验证清单不直接与内容相关, 由于一方面它需要以规则的间隔在所有传播的频道上传送需要反盗 版保护的内容,这表示电视广播网络上诸如地面网络或卫星商业上不 可接受使用带宽,而在另一方面,每当一个频道上有节目变化或频道 转换情形下频道有变化时,接收器都需要重新组成清单,在访问第一 图像之前这可能持续很长时间,这无疑是在惩罚电视观众。此外,根据本发明的一个实施例,验证清单可采取两种形式正 (positive )清单或负 (negative )清单。根据第一实施例,负清单包含对应于再不被授权接收内容的设备 的无效的证书标识符。这一清单由被使用的保护系统的供应商管理, 并以常常称为SRM(系统可更新消息)的特定形式传送给作为所述保 护系统的受益者内容提供商(例如持有版权的工作室)。负清单通常用于诸如DVD分发这样的应用,这是不能个别地把 数据传送给广大读者。类似地,在免费电视广播应用的情形中,这一 负清单必须传送给所有的接收器,因为没有可用的机制在它们之间进 行区分。然而,负清单要求对盗版的情形有很好的认识,并在将来这 一清单将随着盗版的发展而增加,直到最后达到清单的大小使其在电 视广播应用中无法管理的程度。这一问题在付费电视广播应用中更为 严重,其中内容的接收受到预付即订购或请求的形式的限制。因此,特别针对这些应用,本发明的第二实施例提出分别传送和 管理被授权与接收器工作的设备正清单,而不是接收器区域的全局负 清单。本实施例使用与向所有接收器全局电视广播数据并行的、与每 一接收器分别建立的可靠的通信信道。根据这第二实施例,正清单包含对于给定的家庭网络的有效的证 书标识符,就是说,在与家庭网络内的主设备连接之后鉴别授权接收 内容的设备。因而,正清单在大小上有限制,家庭网络很少由多于大 约十件设备组成。基于正的个别清单的实施例通过更具体地考虑用于带有数字输入DVI或HDMI接口的高分辨率电视的HDCP标准的情形可被更好 地理解。根据密码学专家S. Crosby等人在ACM-CC58 DRM congress Workshop in 2001 上他们的文章《A cryptanalysis of the High-bandwidth Digital Content Protection system》,40个HDCP设 备的盗版允许获得关于证书系统足够的信息,可随机产生从系统的观 点完全有效的盗版证书。这种情形下,使用负清单将是完全无用的。 反之,由于知道制造商有效使用的证书,而不是通过盗版随机产生的 证书,与授权的HDCP设备制造商合作使用正清单将被保护内容限制 于在这些设备传播。目标设备的标识符可以或者是其序列号,或者为其制造批次号 码,或其软件或硬件版本,或一个证书标识符。对于以下的说明,在 没有其他变化时以后者为例。验证指示也可包括其他的信息,诸如在有几个清单时用于验证使 用的清单。目标设备理解为是指所有类型的固定或移动的可视化设备,计算 机带有或不带硬盘的记录器,记录器或网络服务器。后者可作为不同 目标设备之间的桥梁。
由于以下参照作为非限制性例子的附图的详细说明,本发明将可 被更好地理解,即图l表示从管理中心到高分辨率电视机的数据通路。
具体实施方式
在电视广播系统中,表示音频/视频内容的数据以及元数据和信 号数据,由管理中心CG向多个多媒体电视广播接收机单元STB传送。 音频和视频流,按照也是由电视广播传送的PMT表(节目映射表) 中的信号在MPEG信道-称为节目中传送。如果节目被加密,则包 含解密密钥的控制消息(ECM)的保密流与节目广播相关联。对应于不同内容的不同信道,及它们的元数据(诸如标题,生成年份,流派,主要演员姓名等)本身由一组信号表标识,该表部分按MPEG标准, 部分按区域DVB和ATSC标准规定,诸如SDT表(服务说明表)和 EIT(事件信息表),也是以数据流但以异步方式广播的。在付费电视情形下,用于管理、控制和更新例如对上述ECM流 加密的传输密钥的安全消息(EMM)在播放的数据流中与节目并行 但异步方式传送。特别地,这些消息允许建立对每一接收器分别保证 安全的通信信道。此外,通过与数据流一起由电视广播传输更新接收器单元的软件 所必需的数据,还能够更新接收器单元的软件。STB用户单元,也称为主设备,接收数据流并管理对这数据的 访问权限。为了使得数据可视化,这类型单元可配备几种通信装置, 诸如RGB或Peritel输出。这种情形下,信号取模拟形式并由不同的 技术诸如Macrovision和CGSM-A(拷贝产生管理系统-模拟)保护。 这些技术不使用任何所述鉴别或验证机制。另一通信装置在图1中公开,其表示诸如Wifi这样的无线装置。 WifiIN接口允许向DTV电视例如以数字形式传输条件访问数据。这 一数字形式对恶意的个人很有吸引力,为此在空中的数据交换被加 密。其他有线的传输形式可被使用,诸如IEEE1394,以太网,USB, DVI及HDMI。实际上,数据加密依赖于动态产生的密钥,并允许电视机解密该 数据以便处理。如果取代DTV电视机,代之以明文存储这些数据的 与主设备对话的个人计算机,则被转移的数据的加密不能提供任何保 护。为此,已添加了验证步骤,即基于存储在每一目标设备中的证书 一致性的验证。基于证书的标识符可进行相互鉴别。然后产生用来加 密交换的数据的密钥。根据本发明,构成验证表Ll, L2, Ln的数据放在从管理中心向 主设备传送的数据流DT中。这一数据可以不同的方式传送,以便在带宽与数据安全性之间产生最优折中,即-EMM消息这些消息是用于权利或密钥更新的安全消息,并 可用于一个单元、 一组单元或所有单元。这样它们可包含验证清单特 别是正清单的元素。这一清单根据清单的大小可包含在一个或多个 EMM消息中。-通过电视广播与接收器软件的更新相关联,这样有利于熟知的 相关上载的安全性机制,诸如更新的鉴别及通过接收器管理版本号。-数据流在服务休止期间传送的内容使用非广播的时段,例 如在早4点与早6点之间,以便由验证清单代替音频/视频内容。-信号表这些表形成内容的描述数据的一部分,并还可包含节 目网格数据。这些表可包含诸如本发明所述的验证表,例如在DVB 标准的情形下,与给定的内容相关,通过在包含8天节目的EIT表中 插入并在有大带宽的规定信道上传送。在后两种情形下,必须提供专门保护验证清单的机制,例如借助 于接收器知道的专用密钥。这些表一旦由主设备接收,就存储在硅存储器(闪存)或硬盘上。的密钥保证的。如上所述,这些表或者可定义能够处理条件访问数据(正清单)的 设备,或反之它们能够被禁止做所述处理(负清单)。这些清单可计数 每一相关的标识符或可定义标识符区域。因而如果设备被盗用并且其 标识符产生被反盗版识别的大量克隆,则有必要从授权的目标设备排 除之。本发明一个重要之点在于通过验证指示所带来的灵活性。这指示 直接与内容相关联,并允许就带宽来说最小的代价在播放期间做出决 定,是否必须参照一个或几个先前传送的验证清单进行验证,并允许 进行对应的版本号的控制。这些验证指示可按几种方式传送,以使它 们从电视广播时间的内容分离呈现出来,例如-在控制消息EMC中,当内容被加密(付费电视广播应用)时。这些消息表现了安全的优点。-直接在内容的描述数据中,诸如描述与内容相关的音频和视频流的组织的节目映射表PMT(Program Map Table)。-在与内容规则地传送的内容描述表中,诸如EITp/f表,包含 关于电视广播信道上当前内容和随后的内容的信息。在后两种情形下,有必要提供验证清单的专门安全机制,例如借 助于接收器知道的专用密钥。如果有几个表加载到主设备,验证指示将规定哪个表用来验证。 这样,带有低值的内容能够规定与高值内容不同的验证表。这特别适 用于处理免费和付费电视广播节目的混合接收器的情形。此外,验证指示还允许最近传送的清单版本号的识别,以避免新 的更多限制的清单的接收器可能的过滤。该验证指示可定义一种安全级别。在前一步骤,主设备接收一个 安全清单,其带有用于每一级别的清单定义。例如,安全级别3表示 对于HDCP协议,规定清单HD12,版本2.23,并对于DTCP协议, 规定清单DT8,版本1,17。只对一个安全级别,发送协议及所需的版 本组。这一中间清单最好是安全的。根据一个实施例,对于一个特定的主设备可传送一个特定的清 单。这可通过点对点的方式或以访问相关的主设备的传播方式实现。 这一清单考虑硬件环境,例如与目标设备的接口类型。当这设备上提供的唯一的接口为USB类型时,存储专用于一个接口类型的标识符 (例如对于HDMI的HDCP )是没有用的。根据一个不同的实施例,对应于有效连接到特定主设备的目标设 备,正清单只限于先前在管理中心注册的目标设备。在后者的情形下, 一个初始化过程允许用户传送他/她的目标设 备的标识符组。由于有主设备反馈信道,该过程可以自动的方式进行, 且标识符不论它们是序列号或证书的标识符都传送到管理中心。目标 设备的技术能力的说明可完善这一数据(电视机,计算机,带或不带记 录器的PVR等)。这一信息的传送还可通过电话(语音服务器)或发送短信进行。这一初始化过程可有利地使用Web (因特网)服务来注册用户数据。具有黑(或负)清单的管理中心将验证由用户收到的标识符是否 包括在这一排除的清单中,并从向主设备传送的正清单中排除这些标 识符。这一验证可基于列出所有有效证书的正清单进行。有可能管理中心将不能使用可靠的黑(或负)清单,例如在HDCP 规则大规模盗版的情形下。在这情形下,用户收到的标识符必须由一 配备有效标识符清单的外部控制中心来控制。当由用户传送的标识符 识别设备的制造商时,这一控制中心可属于制造商,或直接对应于官 方证书当局,诸如对于DTCP的DTLA,对于SVP的SVPLA,或对 于HDCP的LLC的协会之一,它们负责向实现由所述协会控制的标 准的所有制造商分发有效证书。此外,管理中心可能不知道用户目标设备的确切数据,诸如证书。 基于硬件标识符的传送,这可能是设备的序列号或任何其他允许标识 这一设备的指示,这时管理中心询问控制中心,以获得证书标识符。 该控制中心可属于制造商或若干制造商共同的组,例如其可以是官方 证书当局,诸如对于DTCP的DTLA,对于SVP的SVPLA,或对于 HDCP的LLC的协会之一。设备的证书一般直接连接到通信层。因而,如果设备包含几个通 信装置,诸如USB和HDMI,它一般配置对应于不同标准诸如DTCP 或HDCP的几个证书。验证可在用于向目标设备传送主设备数据的有 效通信装置上、或对于所有证书执行。在内容向目标设备转移之前存储在主设备的情形下,验证信息也 被存储,以便可在内容的后继传送时执行。根据本发明的 一个实施例,在主设备上事先进行正和/或负清单 的验证。主设备本身将验证其通信装置的证书的一致性。可能验证与 通信装置没有关系的标识号,例如其序列号。根据所选的操作方法,当一个通信装置被取消时,认为主设备是,皮取消的。在家庭网络的情形下,主设备可连接到第一目标设备,诸如存储 单元。通过主设备进行验证,以便授权目标设备转移数据。与数据的 转移并行,还传送验证清单。这样与内容相关的验证指示可由要成为 主设备的这一设备进行。注意到本发明的过程是关于所有家庭网络元 件的。本发明还覆盖了配备有用于内容的接收装置及验证清单接收装 置的主设备,诸如以上所描述的。该设备包括与目标设备一致的验证 装置及称为清单的存储装置。该设备包括用于抽取与内容相关的验证 指示的装置,及基于验证指示和事先存储的验证清单用于执行目标设 备验证循环的装置。
权利要求
1.一种对连接到主设备的目标设备的验证方法,主设备具有用于接收由传播中心通过数据流传送的内容的装置,主设备和目标设备借助于交换包含至少一个证书标识符的证书来鉴别本身,所述方法包括以下步骤a.通过广播传送包含证书标识符清单的至少一个目标设备验证表,b.在主设备中存储所述清单,c.抽取与所述内容相关的验证指示,所述指示包括启动或禁止目标设备的验证,d.如果验证指示包括验证的启动,则通过主设备验证目标设备的证书,使用至少一个存储的清单,以授权或禁止与所述目标设备的数据交换。
2. 根据权利要求1的验证方法,其特征在于,所述清单被称为 正的并包含被授权在主设备和目标设备之间交换数据的证书标识符。
3. 根据权利要求1的验证方法,其特征在于,所述清单被称为 负的并包含禁止在主设备和目标设备之间交换数据的证书标识符。
4. 根据权利要求1到3中任一项的验证方法,其特征在于,验 证指示包含在内容描述数据中。
5. 根据权利要求4的验证方法,其特征在于,所述内容描述数 据在节目映射表(PMT)中传送。
6. 根据权利要求4的验证方法,其特征在于,所述内容描述数据在关于一个信道上当前和随后的内容的信息(EITp/f)中传送。
7. 根据权利要求1到3中任一项的验证方法,其特征在于,验 证指示包含在含有所述内容的解密密钥的控制消息(EMC)中。
8. 根据权利要求1到7中任一项的验证方法,其特征在于,数 据流包含多个验证清单,并在于与所述内容相关的验证指示指出要使 用的验证清单。
9. 根据权利要求2的验证方法,其特征在于,所述称为正的清 单对于主设备是唯一的。
10. 根据权利要求9的验证方法,其特征在于,所述称为正的清 单对于主设备是唯一的,并包括由传播中心标识的目标设备组,它们 形成连接到所述主设备的家庭网络的 一部分。
11. 根据权利要求10的验证方法,其特征在于,对于主设备唯 一的称为正的清单中的标识符由传播中心在传播之前验证,以便排除 传播中心知道的通过全局负清单传送的标识符。
12. 根据权利要求10的验证方法,其特征在于,目标设备证书 标识符根据以下步骤进行-向管理中心传送目标设备的硬件标识符,所述硬件标识符属于所述目标设备的制造商,-由管理中心向所述目标设备的控制中心传送所述硬件标识符, -反过来,控制中心将证书标识符传送到与所述硬件标识符相关的管理中心,-通过管理中心形成包含所述证书标识符的正清单,并向主设备 传送所述清单。
13. 根据权利要求12的验证方法,其特征在于,硬件标识符由 主设备拥有者借助于主设备的反馈信道传送到传播中心。
14. 根据权利要求12的验证方法,其特征在于,证书标识符由 主设备拥有者通过电话或短信(SMS)传送到传播中心。
15. 根据权利要求9到11的验证方法,其特征在于,对于主设 备唯一的称为正的清单借助于数据流中一个或多个个人消息(EMM) 向主i殳备传送。
16. 根据权利要求9到11的验证方法,其特征在于,对于主设 备唯一的称为正的清单通过单向通信装置向主设备传送。
17. 根据以上权利要求中任一项的验证方法,其特征在于,目标 设备是可视化设备、计算机、存储单元或网络服务器。
全文摘要
本发明涉及用于分配和管理与防拷贝保护标准相关的撤消列表的各种方法,以便于在电视广播环境中对其处理,同时保证在家庭网络内接收机设备以及与所述电视广播接收机连接的设备防盗版的安全性。这是通过验证与主设备连接的目标设备的方法实现的,主设备具有用来接收由广播中心通过数据流传送的内容的装置,主设备和目标设备通过交换包含至少一个证书标识符的证书而被授权,所述方法包括以下步骤a)通过电视广播传送包含证书标识符清单的至少一个目标设备验证表,b)在主设备中存储所述清单,c)抽取与内容相关的验证指示,所述指示包含允许或禁止目标设备的验证,d)如果验证指示包含允许验证,则通过主设备验证目标设备的证书,使用至少一个存储的清单以授权或禁止与目标设备的数据交换。
文档编号H04N7/16GK101263714SQ200680033895
公开日2008年9月10日 申请日期2006年9月13日 优先权日2005年9月14日
发明者C·勒比昂, 赵移山 申请人:纳格拉影像股份有限公司