专利名称:用于接收借助控制字加扰的多媒体内容和captcha的方法
技术领域:
本发明涉及用于接收借助控制字加扰(scrambled)的多媒体内容的方法。本发明还涉及实现该方法的安全处理器、终端以及信息记录介质。本发明尤其可以应用于如在付费电视中用于提供缴费多媒体节目的访问控制领域。
背景技术:
已知存在多种同时广播若干个多媒体内容的方法。为此目的,每个多媒体内容在其自身频道上广播。用于传输多媒体内容的频道也被称作“台”。频道通常对应于电视台。这使用户能够简单地通过改变频道而选择他想观看的多媒体内容。在本说明书中,术语“多媒体内容”更具体地是指被设计用来以被人类直接感知和理解的形式呈现的音频和/或视频内容。通常,多媒体内容对应于形成电影、电视广播或者广告的一连串图像。多媒体内容也可以是诸如游戏的互动内容。为了确保多媒体内容的观看,并使这种观看受例如扣除付费订金之类的特定条款支配,以加扰形式而非不加密或者明文明文形式广播多媒体内容。在本说明书中,当在频道上广播的多媒体内容被加扰时·该频道被称为“被加扰”。更具体地,每个多媒体内容被划分成一连串加扰周期(crytoperiods)。在加扰周期的整个持续时间,对加扰多媒体内容的访问条件保持不变。具体地,在加扰周期的整个持续时间,多媒体内容用相同的控制字加扰。一般地,控制字随每个加扰周期而改变。此外,控制字对于多媒体内容通常是特定的,该控制字随机或者伪随机地抽取。因此,如果在给定时刻在N个频道同时广播N个多媒体内容,则存在N个不同的独立的控制字,每个控制字用于对多媒体内容中的一个加扰。在此,术语“加扰”和“加密”被认为是同义词。对于术语“解密”和“解扰”亦是如此。明文明文多媒体内容对应于多媒体内容被加扰之前的多媒体内容。该内容可被制作为使人直接理解而不必求助于解扰操作并且不必使观看受特定条款和条件支配。解扰多媒体内容所需的控制字和多媒体内容同步传输。例如,在第t-1个加扰周期期间每个终端接收解扰第t个加扰周期所需的控制字。为此目的,例如,控制字和加扰的多媒体内容被复用。为了确保控制字的传输,将这些字以包含在ECM (授权控制消息)中的密文的形式传输到终端。以下,术语“密文”是指单凭自身不足以取回未加密的或者明文明文控制字的信息。因此,如果控制字的传输被拦截,仅获知控制字的密文不能用来取回用以解扰多媒体内容的控制字。为了取回明文明文控制字,亦即可以用来直接解扰多媒体内容的控制字,该控制字必须和秘密信息相结合。例如,通过用密钥(cryptographic key)对明文明文控制字加密来获得控制字的密文。在此情况下,该秘密信息就是用于解扰该密文的密钥。控制字的密文也可以是对存储在表中的控制字的引用,该表包含众多可能的控制字。在此情况下,该秘密信息就是将明文控制字和每个引用相关联的表。该秘密信息必须存放在安全的地方。为此目的,已经提出将该秘密信息存储在诸如直接连接到每个终端的智能卡的安全处理器中。此外,不同频道上广播的多媒体内容可以在时间上相互协调。例如,设置广播多媒体内容的时刻以符合在预设的节目时间表中指示的广播时间。因此,给定频道上的每个终端在感觉上相同的时间接收相同的多媒体内容。这些多媒体内容被称作“直播”或者“线性化的”流,因为用户不控制它们的传输时刻。在这种背景下,使用户能够解扰他们未合法地获取访问权限的多媒体内容的攻击已经被开发。这些攻击之一被称作“共享卡”。在这种攻击中,合法地获取安全处理器以取得解扰数个频道所需的访问权限。然后,该“合法的”的安全处理器被插入到从众多黑客卫星终端接收ECM的黑客服务器中。因而,当黑客卫星终端希望非法解扰广播的多媒体内容时,它接收该多媒体内容并将相应的ECM传输到黑客服务器。黑客服务器将这些ECM传输到合法的安全处理器。作为回应,合法的安全处理器解密包含在这些ECM中的控制字,并将明文控制字传回黑客服务器。然后黑客服务器将这些明文控制字传输到黑客卫星终端,该黑客卫星终端于是能够解扰所期望的多媒体内容。在这种攻击中,安全处理器除了处理来自众多卫星终端的ECM之外正常使用,而在合法使用中它仅处理一个终端的ECM。为检测每种攻击,已经提出:—对在预定时间周期内已经发生的频道变化计数(参见专利申请EP1575 293),一对在预定时间周期内通过安全处理器解扰的不同频道的数目计数(参见专利申请EP I 447 976),以及一对在预定时间周期内通过安全处理器接收到ECM的数量计数(参见专利申请WO 2008 049 882)。这些检测方法都利用以下事实:共享卡式攻击导致:-异常大量的频道变化或者“跳台(zapping)”事件,和/或—接收到异常大量的ECM。检测这种攻击使得建立防范措施成为可能。另一种攻击被称作“共享控制字”,其也利用合法的安全处理器对一个或更多个频道解扰。在这种攻击中,将合法的安全处理器引入到控制字服务器中。该服务器接收多媒体内容并从中提取ECM。将提取的ECM传输到合法的安全处理器,然后该合法的安全处理器解密控制字的密文并且将这样解密的控制字传回到服务器。然后服务器将这些控制字广播给大量的黑客卫星终端,使得它们能够非法地解扰多媒体内容。例如,在这种攻击中,黑客卫星终端很简单地订阅明文控制字的通过服务器生成的并且对应于其希望解扰的频道的的流。后提到的攻击与共享卡攻击的区别在于:黑客卫星终端不需要向服务器发送其希望解扰的频道的ECM。因此,这种攻击中的安全处理器处理的ECM的数量远小于共享卡式攻击中的安全处理器处理的ECM的数量 。然而,对于这种攻击,如果使用相同的安全处理器处理不同频道的ECM,则可以借助上述现有技术的检测方法进一步检测该攻击。在现有技术中,以下技术也是已知的:Francis 等人:uCountermeasures for attack on satellite TV cards usingopen receivers”, Australasian Information Security Workshop:Digital RightsManagement, 6November2004, pagel-6, XP002333719US2006/294547A1,EP2098971A1,以及US2010/0373319A1。所述攻击使大量黑客能够获得对付费频道的多媒体内容的免费访问。因此这些攻击导致了该多媒体内容的提供商的损失。为了克服这种弊端,本发明寻求使得较难于进行这些攻击。
发明内容
本发明涉及一种用于接收借助控制字加扰的多媒体内容的方法,该方法包括以下步骤:安全处理器接收包含使得多媒体内容能够被解扰的控制字CW的至少一个密文CW*的ECM (授权控制消息)Cff,安全处理器解密该密文CW*,以及借助解密的控制字CW对加扰的多媒体内容解扰,从接收终端执行至少一次特定用于安全处理器的captcha(全自动区分计算机和人类的图灵测试),对captcha的正确响应被包含在安全处理器的存储器中并且随每次执行而改变,该特定的captcha借助于预定义的关系与包含对该captcha的正确响应的安全处理器的标识符相关联,以使得能够借助于该captcha从安全处理器的集合中识别该安全处理器,安全处理器获取对该captcha的至少一个响应并且安全处理器将该响应与包含在安全处理器的存储器中的正确响应进行比较,以及如果对该captcha的响应不对应包含在存储器中的准确响应,则安全处理器限制对密文CW*的解扰。上述攻击的一个共同点是黑客服务器的工作是完全自动化的,以便连续而敏捷地对连接至该服务器的黑客点播进行响应。在本发明的方法中,captcha的执行阻止了黑客服务器的这种自动化。事实上,仅通过人而非机器就能够容易地发现对captcha的正确响应。因此,captcha的执行意味着例如在黑客服务器处的人类干预,因而使得这种攻击较为困难。此外,黑客服务器不能容易地避开该执行。事实上,与captcha相关联的准确响应被存储在处理器中,因此避免了黑客服务器提取该响应。此外,通过安全处理器而非接收终端(黑客服务器)进行对 captcha的响应与正确响应的比较。因此,确保了比较结果的完整性。此外,执行特定用于黑客处理器的captcha劝阻黑客服务器将该captcha传输至黑客终端,因为对这种传输的captcha的拦截将使得能够识别出安全处理器,并因此暴露黑客的身份。该方法的实施例可以包括以下特性中的一个或更多个:■在该方法中:-在执行captcha期间维持对密文CW*的解扰,以及-如果在预定时间间隔DR内未接收到对与包含在存储器中的正确的响应相对应的captcha的响应,则处理器限制对密文CW*的解扰。■每当对处理器接收到的ECM或者EMM的数量计数的计数器CR的值达到预定义的阈值时或者每当从前一 captcha的执行经过了预定义的持续时间DP时,处理器就自动执行新的captcha。■如果从前一 captcha的执行起时间间隔DR还未到期并且如果处理器接收到的对前一 captcha的不正确响应的数量大于预定义的阈值MRmax,则该方法包括执行新的captcha,对新的captcha的正确响应区别于对前一 captcha的正确响应,并且对新的captcha的正确响应必须在时间间隔DR到期之前由处理器接收到,对新的captcha的正确响应也包含在处理器的存储器中,时间间隔DR在新的captcha的执行期间不重新初始化。■该方法包括:-根据该安全处理器接收到的ECM或者EMM检测安全处理器潜在的异常使用,以及-响应于潜在的异常使用的这种检测触发captcha的执行。■在该方法 中,通过在观察周期期间对频道的改变计数或者对在观察周期期间接收到的ECM计数来检测安全处理器的潜在的异常使用。■该方法包括在特定capcha中包含标志,该标志借助于预定义的关系与安全处理器的标识符相关联,该标志包括不可缺少的信息,该信息如果被去除,则人不可能仅凭一次尝试就发现对该captcha的正确的响应。■在该方法中,预定义的关系是数据库,该数据库将每个特定captcha、包含对该captcha的正确响应的安全处理器的标识符或者使得能够根据安全处理器的标识符构建该captcha的预定义的函数相关联。该方法的实施例可以进一步具有以下的优势:■在限制解扰之前设置响应时间限制迫使黑客用户或者黑客服务器响应该captcha。而且,限制了在captcha执行期间对用户造成的不便并且限制了字典式攻击或者暴力攻击的成功机会,■重复地执行captcha进一步干扰了黑客攻击的自动化,■对处理器可以接收的对captcha的响应的数量的限制阻止了字典式攻击或者暴力攻击的执行以便准确地对captcha进行响应,■当检测到潜在的异常使用时触发captcha的执行增加了检测处理器的异常使用的可靠性,以及■在特定captcha中包括含有对于准确响应该captcha不可缺少的信息的标志使得难于隐藏该标志,并且因而在将captcha传输至用户之前难于隐藏安全处理器的标识符。本发明还涉及包括指令的信息记录介质,当通过电子计算机执行这些指令时,这些指令用于执行上述方法。
本发明最后涉及用于执行上述方法的安全处理器,该处理器被编程为:-接收包含控制字CW的至少一个密文CW*的ECM(授权控制消息),该控制字使得多媒体内容能够被解扰,-解密该密文CW*,以及-将解密的控制字传输至解扰器以借助该解密的控制字对加扰的多媒体内容解扰。该处理器具有包含对特定用于安全处理器的captcha的至少一个正确响应的存储器,特定的captcha借助于预定义的关系与包含对该captcha的正确响应的该安全处理器的标识符相关联,使得能够通过该captcha从安全处理器的集合中识别出该安全处理器,并且响应于来自接收终端的该captcha的至少一个执行,该处理器还被编程为:-获取对该capcha的至少一个响应,并将该响应与包含在处理器的存储器中的正确响应相比较,以及-如果对该captcha的响应不对应包含在存储器中的准确响应,则限制密文CW*的解扰。本发明最后涉及用于接收借助控制字加扰的多媒体内容以执行上述的方法的终端,该终端包括用于和安全处理器接口的电子模块,该模块被编程为:-向安全处理器传输包含使得多媒体内容能够被解扰的控制字CW的至少一个密文CW*的ECM (授权控制消息),-接收安全处理器解密的控制字CW并且将其传输至解扰器以对借助该解密的控制字CW加扰的多媒体内容解扰, -执行至少一次特定用于安全处理器的captcha,对该captcha的正确响应包含在安全处理器的存储器中并且随每次执行而改变,该特定captcha借助预定义的关系与包含对该captcha的正确响应的该安全处理器的标识符相关联,以使得可以借助该captcha从安全处理器的集合中识别该安全处理器,-获取对该captcha的至少一个响应,并且将该响应传输至安全处理器,使得安全处理器能够将其与包含在安全处理器的存储器中的正确响应相比较。
参考附图,根据下文以例示的方式而非无遗漏的方式给出的后续描述,本发明的其它特征和优势将清楚显现,其中:图1是用于发送和接收加扰的多媒体内容的系统的示意图;图2是图1的系统执行的captcha的示意图;图3是构建图2的captcha的流程图;图4是用于接收图1的系统中的多媒体内容的流程图;以及图5是图4的方法的替选实施例的流程图。 在这些附图中,相同的附图标记用于表示相同的元件。
具体实施例方式以下在本说明书中,对本领域技术人员熟知的特性和功能将不详细描述。此外,所用的术语是针对多媒体内容访问的有条件访问系统的术语。关于这种术语的更多信息,读者可以参考以下文献:“Functional Model of Conditional Access System”, EBU Review, TechnicalEuropean Broadcasting Union,Brussels,BE,n0 266,21Decemberl995图1示出用于发送和接收加扰的多媒体内容的系统2。多媒体内容是线性化多媒体内容。例如,多媒体内容对应于诸如电视广播或者电影的一系列视听节目。明文多媒体内容由一个或更多个源4生成并被传输到广播装置6。广播装置6通过信息传输网络8将多媒体内容同时广播给众多接收终端。广播的多媒体内容在时间上彼此同步,例如使它们符合预设的节目时间表。网络8通常是诸如互联网或者卫星网络或者诸如用于传输数字地面电视(DTTV)的任何其他广播网络的长距离信息传输网络。为了简化图1,仅示出了三个接收终端10-12。装置6包括编码器16,编码器16压缩其接收的多媒体内容。编码器16处理数字多媒体内容。例如,该编码器根据MPEG2 (运动图像专家组-2)标准或者ΠΤ-Τ H264标准工作。将压缩的多媒体内容发送至加扰器22的输入端20。加扰器22对每个压缩的多媒体内容加扰以使其观看以特定的条款为条件,诸如接收终端的用户购买访问资格。加扰的多媒体内容在连接至复用器26的输入端的输出端24上被提供。加扰器22借助控制字CWiit对每个压缩的多媒体内容加扰,通过密钥生成器32将控制字CWi, t提供至加扰器22以及有条件访问系统28。系统28以其缩写CAS更为熟知。下标i是广播加扰的多媒体内容的频道的标识符,并且下标t是识别用该控制字加扰的加扰周期的序号。 通常,该加扰器符合诸如DVB-CSA(数字视频广播-通用加扰算法)、ISMA Cryp(互联网流媒体联盟Cryp)、SRTP (安全实时传输协议)、AES (高级加密标准)等的标准。对于每个频道i,系统28生成至少包含控制字CWi, t的密文CW*i, t的、被表示为ECMi, t的ECM(授权控制消息),控制字CWi, t由生成器32生成并被加扰器22用于对频道i的加扰周期t加扰。这些消息和加扰的多媒体内容通过复用器26进行复用,后者分别由有条件访问系统28和加扰器22提供,并且这些消息和加扰的多媒体内容随后在网络8上传输。系统28还在每个ECM中插入以下内容: 频道的标识符i ; 控制字CWi,t和CWiM1的密文CWtt和CWtw,其使频道i加扰周期t和紧随之后的加扰周期t+Ι能够被解扰; 时间戳TSt和TSt+1,其识别加扰周期t和t+Ι必须被播放的时刻; 访问条件CA,其被设计为与用户获取的访问资格比较;以及.MAC加密签章或者冗余,用于验证ECM的完整性。在以下描述中,包含控制字对CWw/CWw+i的ECM被表示为ECMiit,其中: 下标i识别频道,以及 下标t是识别该ECM相对于被发送用以对频道i解扰的其他不同的ECM的时间位置的序号。
在此,下标t还识别可以借助包含在消息ECMi,,中的控制字CWi,t解扰的加扰周期CPi,t。下标t对于每个加扰周期CPi,t是唯一的。时间戳是相对于多媒体内容广播和广播该多媒体内容的频道的独立绝对原点而而定义的。相同的标识符i插入到包含密文CWtt的全部消息ECMiit中以解扰在该频道i上广播的多媒体内容。通过图示,此处多媒体内容的加扰和复用符合DVB-Simulcrypt (ETSITS 103 197)协议。在该情况下,标识符i可以对应于单一的“频道ID/流ID”对,在该“频道ID/流ID”对上发送针对该频道生成ECM的全部请求。每个消息ECMi, t包括控制字密文对CWh, t/CW*i, t+1。解扰之后,该密文对CW*i, JCW*i, t+1用于获取控制字对CWi, t/CWi, t+1。在示例中 ,终端10-12相同。因此,以下更详细地描述终端10。在此描述在特定情况下的终端10:其中,终端10仅能同时解扰单个频道i。为此目的,终端10具有单个的对频道i解扰的解扰线路60。例如,线路60解扰频道i以将其显示在显示单元84上。例如,显示单元84是电视机、计算机或者仍为陆线电话或者手机。此处,显示单元是电视机。线路60具有广播的多媒体内容的接收器70。该接收器70连接至复用器72的输入端,复用器72 —方面将多媒体内容传输至解扰器74,另一方面将消息ECMiit和EMM(授权管理消息)传输至安全处理器76。通常,终端10和处理器76之间的接口由访问控制模块85管理。具体地,模块85管理处理器76传输至终端10的数据在显示单元84上的显示以及借助人/机接口获取的信息向处理器76的传输。例如,人/机接口由屏幕84和遥控单元构成。解扰器74通过处理器76传输的控制字对加扰的多媒体内容解扰。解扰的多媒体内容被传输至对其解码的解码器80。解压或者解码的多媒体内容被传输至驱动该多媒体内容在显示单元84上的显示的图形卡82,显示单元84装备有屏幕86。显示单元84在屏幕86上以明文形式显示多媒体内容。处理器76处理诸如密钥的保密信息。为保持该信息的保密性,其被设计为尽可能鲁棒的,以应对计算机黑客的试图攻击。因此它比终端10的其它部件对这些攻击更为鲁棒。例如,为此目的,处理器76是智能卡。例如,处理器76借助能够执行记录在信息记录介质上的指令的可编程电子计算机77制成。为此目的,处理器76具有包含执行图4的方法所需的指令的存储器78。存储器78还包含数据库79,数据库79包括预先记录的全自动区分计算机和人类的图灵测试(Completely Automated Public Turing test to tell Computers and HumansApart,以下简记为captcha)。在本说明书中,术语“captcha”用于指能够将人类和机器区分开来的任何测试。因此,在本说明书中,captcha不限于必须将一串字符的图像抄写到为此效果而分开设置的区域中的情况。captcha可以包括例如音频序列、图像、谜语甚或游戏。谜语是例如诸如乘法的简单数学运算或者多选问题。游戏是例如带有一个输入端和数个输出端的迷宫,其中只有一个输出端和输入端相关联。每个输出端和用户响应于captcha而必须输入的非平凡(non-trivial)字符串相关联。然而,诸如显示请求用户改变频道并且随后回到初始频道的消息的captcha被排除。数据库79中的每个captcha和一个准确响应相关联。该准确响应也被与相应的captcha相关联地存储在数据库79中。在处理器79中准确响应的记录确保在处理器79中进行响应验证,因此使得通过间谍软件取回准确响应更为困难。库79中的captcha特定用于处理器76。术语“特定”指以下事实:存在将处理器76的标识符唯一地和库79的captcha相关联的预定义的关系。因此,从库79和预定义的关系出发,可以从系统2的安全处理器的集合中识别出该处理器76。现在将参考图2描述预先记录在库79中的captcha87。captcha87包括验证码(challenge)872。术语captcha的“验证码”是指为了使人凭单次努力就能够系统地找到对该captcha的准确响应而不可缺少的关于captcha的全部信息。在该示例中,验证码872是为此目的设计的用户必须抄写到区域874中的一串字符的图像。在一种已知方式中,验证码872的字符串的字符包括字体形式、大小、从一个字符到另一个字符变化的变形。在这些条件下,通过计算机自动辨识该字符串变得较为困难。为了简化图2,未示出字符串的全体字符。
captcha87还包括上下文876。术语“captcha的上下文”是指不属于验证码872的信息集合。上下文876包括邀请用户将验证码872中示出的字符串抄写到区域874中的说明性的句子879。Captcha87还包括识别处理器76的标志878。在此,标志878是字符串。该标志878是借助函数F的处理器76的标识符的图像。通常,处理器76的标识符是处理器的制造编号或者序列号,其使得该处理器76能够从系统2的全部处理器中无歧义地被识别。此处函数F是可逆函数。在此情况下,将作为函数F的逆的函数应用于captcha87足以用于识别包含对captcha87的准确响应的处理器76。优选地,函数F是诸如密钥函数的加密函数。例如,可以使用DES (数据加密标准)或者AES (高级加密标准)函数对处理器76的标识符加密以便获得标志878。再次地,在优选方式中,除了标识符外,函数F取得处理器76伪随机抽取的随机值I作为输入参数。因此,尽管处理器76的标识符是常数,但是每当构建captcha时,包括在特定captcha中的标志(根据函数F的标识符的图像)彼此不同。在此,随机值r也包括在预定位置的字符串图像中,以使得能够根据该特定captcha并且根据函数F的逆唯一地识别处理器76。例如,随机值r在此包括在位置880处的验证码872中。在图2中,位置880由字符串图像的前四个字符形成。在该示例中,标志878有利地包括在验证码872中。在这些条件下,标志878以及因而处理器76的标识符不能容易地从captcha87去除。通常,如果去除该标志878,人就不能凭单次努力正确地响应captcha。事实上,在此情况下,验证码872是不完整的。标志878也放置于验证码872内的预定位置。例如,在此标志878由验证码872的最后两个字符构成。现在参考图3描述构建captcha87的方法。在该特定情况下,借助于诸如网络8的信息传输网络通过连接到系统2的每个处理器的服务器完成captcha87的构建。
在步骤90,服务器伪随机地抽取随机值I:。 在步骤92,服务器通过对随机值I和处理器76的标识符应用函数F来生成处理器76的标识符的密文Id*。为此目的,处理器76的标识符被预备地记录在服务器中。在步骤94,通过将随机值r和密文Id*连结在同一字符串中来获得对验证码的正确响应。在步骤96,服务器通过对在步骤94期间构建的每个字符串应用几何变换以使其变形并且使得计算机较为困难对其进行识别。术语“几何变换”在此指例如对于这些字符中的每个字符的字体或者失真度的选择。标志878是通过几何变换的密文Id*的图像。在例如专利申请US2008/0072293中描述了应用这样的变换生成验证码872。在步骤98,由服务器存储captcha以及与该captcha相关联的正确响应。然后,在步骤99,在工厂中制造处理器76期间在处理器76的库79中记录captcha87和正确的响应,或者在处理器76的使用期间借助EMM传输captcha87和正确的响应。响应于该EMM,处理器在库79中记录captcha87。现在将参考图4描述借助系统2接收多媒体内容的方法。在使用阶段100,用户在显示单元84的屏幕86上观看明文的多媒体内容。例如,用户观看电影。为此目的,在步骤101a,终端10接收借助接收器70复用的多媒体内容。该内容通过解复用器72解复用,并ECM借助模块85被传输至处理器76。例如,模块85仅传输涉及频道i的消息ECMi,t,该频道i上正在广播用户观看的电影。这些消息ECMiit包含控制字Cffi, t的密文CWh, t,使得能够解扰在频道i上广播的多媒体内容以及使能授权或者不授权对密文CW*i,t解密的访问权限。在步骤101b,处理器76检查用户是否具有与接收的消息ECMiit中包含的访问权限相对应的访问资格。如果不是,处理器76不对CW*,, t解密并且不将控制字CWi, t传输至解扰器74。方法返回至步骤101a。多媒体内容的解扰被中断。如果用户具有与接收的访问权限相对应的访问资格,则处理器76前进至步骤102。在步骤102,处理器76检测潜在的异常使用。在本说明书中,当处理器76似乎正在上述攻击之一的背景中使用时处理器76的使用被视作潜在异常。在此,如果处理器76似乎正在共享卡式攻击或者共享控制字攻击的背景中使用,处理器76的使用尤其更被认为潜在异常。在该示例中,在操作106中,处理器76计算每单位时间处理器76接收的ECM的数量Νκμ。为此目的,例如实现了专利申请W02008049882中描述的检测方法。在操作108中,处理器76通过将数量Neqi与阈值Sieqi和S2eqi比较来确定处理器的使用是正常、潜在异常还是异常。如果数量Nm低于阈值Sieqi,则使用正常。如果数量Necm在阈值S2ecm以上,则使用异常。如果数量Neqi被包括在阈值Siecm和S2eqi之间,则使用是潜在异常。潜在的异常使用对应于处理器76所进行的测量不能肯定地断定使用是正常或者异常的不确定区域。必 须最大程度地减小这个不确定区域以避免对正常用户施加制裁以及对异常用户不施加制裁。
如果处理器76检测到其使用正常,则在步骤110,处理器76解密密文CW*i,t。然后,处理器76将控制字CWi, t传输至终端10以解扰多媒体内容,并且用户继续以明文形式观看电影。如果处理器76检测到其使用异常,则在步骤111,处理器76不解密密文CW*i,t。终端10因而不能解扰多媒体内容,并且用户不再以明文形式观看电影。如果处理器76检测到其使用潜在异常,则处理器76前进至步骤112,在步骤112期间执行额外的测试以减小不确定区域。在操作114,处理器从数据库79中预先记录的captcha中选择captcha。例如,处理器76在数据库79中伪随机地选择captcha。以下,在描述中,假设处理器76已经选择了captcha87。在该操作114期间,处理器76将captcha87传输至模块85,模块85命令终端10在屏幕86上显示captcha87。同时,处理器76启动对预定的时间间隔DR进行计数的计数器。例如,一旦处理器76选择了 captcha,则计数器CDdk被初始化并且随后启动。通常,时间间隔DR超过两分钟,并且优选地超过五分钟。在此,时间间隔DR等于15分钟。此外,在该操作114期间,还初始化对处理器76接收到的不正确的响应进行计数的计数器crmk。·然后请求用户对显示的captcha做出响应。在此,邀请用户将验证码872抄写到区域874中。在该示例中,用户具有预定的时间间隔DR用于对所选择的captcha提供正确的响应。在操作116中,用户借助于连接至终端10的人/机接口(例如遥控单元的键盘)对captcha做出响应。该响应然后通过终端10和模块85被传输至处理器76。有利地是,如果在操作116,用户不理解所显示的captcha,则他或她可以要求通过处理器76选择新的captcha。在此情况下,计数器CDdk不被重新初始化。在操作118,处理器76接收响应,并将其与数据库79中包含的对于该captcha的正确的响应比较。每次处理器76接收到不正确的响应,计数器CRme就被增加预定的步长。如果处理器76接收的关于所选择的captcha的不正确响应的数量在预定的阈值MRmax以上,或者如果用户请求改变captcha,贝U处理器76返回至步骤114以从库79中预先记录的captcha中选择新的captcha。然而,在此情况下,处理器76重新初始化计数器CRmk,但不重新初始化计数器CDdk。通常,阈值MRmax大于或者等于I并且小于或者等于5。在此,阈值MRmax大于2。其等于3。优选地,由处理器76选择每个新captcha使得对该新选择的captcha的正确响应区别于对所选择的前一 captcha的正确响应。这样,字典式攻击,亦即试验将根据过去提交的captcha的记录的响应进行组合的攻击,不能被黑客服务器用于对所选择的captcha进行正确响应。字典式攻击不同于将所有可能响应逐一试验的暴力攻击。在操作118,如果处理器76在时间间隔DR到期之前接收到对所选择的captcha的正确响应,则处理器76推断使用正常并且其继续前进至步骤110。再次地,在操作118期间,如果时间间隔DR到期并且处理器76没有接收到对所选择的captcha的正确响应,则处理器76推断这是异常使用。因此,在步骤122,处理器76从数据库79中伪随机地选择新的captcha,并且命令模块85在屏幕86上显不该captcha。然后,在操作124中,处理器76启动执行防范措施。例如,在此,处理器76限制密文CW*的解密。在此,“限制密文的解密”指单独暂停当前观看的频道i的密文CW*i, t的解密或者在预定持续时间内暂停全部频道的密文CW*的解密。此外,只要处理器76未接收到任何对在操作122期间显示的captcha的正确的响应,则该方法保持在操作124。在这些条件下,终端10不能再解扰多媒体内容,并且用户不能继续以明文形式观看电影。如果处理器接收到对在操作122期间显示的captcha的正确响应,则其前进至步骤110。因此对多媒体内容的解扰不受阻碍。例如,在步骤124中该captcha的执行与参考步骤114、116和118描述的情况相同。具体地,实现了对captcha做出响应的有限的时间间隔DR和错误响应的最大数量。图4的方法使得可以高效地抵御通过共享卡式或者共享控制字式的黑客攻击。事实上,假设处理器76正被黑客服务器使用。在此情况下,黑客用户集合正借助于通过网络8连接至例如黑客服务器的机器非法地观看付费多媒体内容。在这种背景下,当处理器76检测到(步骤102)潜在的异常使用时,处理器76通过黑客服务器(在此情况下,黑客服务器完成终端10的功能)选择captcha并激活(步骤114)该captcha在显示单元上的显示。如果黑客服务器是基本服务器(在平凡情况下),其不能处理处理器76生成的命令,并且服务器不在显示单元上显示captcha。结果,处理器76没有接收到任何正确响应而时间间隔DR到期。因此,处理器76限制密文CW*的解密(步骤122)。这样,黑客服务器不能再向黑客发送解密的控制字。黑客不能再以明文形式观看多媒体内容。如果黑客服务器是高度开发的类型(在非平凡情况下),当黑客从处理器76接收到显示captcha的命令时,黑客服务器试图阻止应用该captcha。可以设想两种策略。在第一种策略中,服务器在本地连接至黑客服务器的屏幕上显示处理器76选择的captcha。这样,一个或更多个操作员不得不长期出现在该机器的屏幕前以便对该机器屏幕上正在显示的captcha做出准确响应从而防止处理器76限制对密文CW*的解密。这样的策略有阻止黑客服务器的自动化的弊端。在第二种策略中,服务器将处理器76选择的captcha重指向至连接至网络8的黑客终端,使得非法用户可以给出对于该captcha的正确响应。通常,非法用户在其终端上输入正确的响应并通过黑客服务器将此响应发送回处理器76。这样,处理器76不限制密文CW*的解扰并且网络的黑客集合可以继续观看明文形式的多媒体内容。出于黑客的观点,该策略具有使黑客服务器能够自动化工作的优势。然而,付费电视运营商自此以后可以识别处理器76。事实上,既然从数据库79中选择captcha,它们对于处理器76就是特定的,并且因此使得处理器76能够被识别。更具体地,拦截在网络8上传输的来自剽窃(pirate)服务器的captcha足以识别处理器76。这可以通过直接链接至黑客服务器非法地观看明文形式的多媒体内容而容易地完成。接着,运营商可以根据包括在拦截的captcha中的标志878和随机值880识别处理器76。此外,一旦处理器76被肯定 地识别,运营商可以对处理器76的用户施加制裁。例如,运营商停止向处理器76发送解密密文CW*的密钥。如此,黑客服务器不能再被用于解扰多媒体流。图5示出了用于接收借助控制字加扰的多媒体内容的方法。除了步骤102被步骤140代理以及省略步骤111之外,该方法和图2方法相同。在步骤140,处理器对接收到的ECM的数量进行计数。如果该数量超过阈值Smax,则其自动地去往步骤112。如果不是,则其去往步骤110。因此,步骤122被例行地和有规律地执行。在每次新执行步骤112时,选择新的captcha。许多实施例是可能的。例如,预先记录在数据库79中的captcha可以借助ECM或者EMM由付费电视运营商定期更新。术语“特定captcha”并非唯一地指仅一个处理器包含对captcha的正确响应的情况。特定用于两个不同的处理器的两个captcha可以有相同的响应。在此情况下,例如,处理器的标识符通过施加到每个字符的变换而不是通过选择的字符来进行编码。数据库79不一定包含预先记录的captcha。例如,数据库79包含使处理器76能够从付费电视运营商的服务器下载captcha的地址。在此情况下,将对与这些地址相关联的captcha的各个正确响应预先记录在存储器78中。通常,地址是URL (统一资源定位符)。例如,存储器78包含将每个URL与各个预先记录的响应相关联的表。当处理器希望启动captcha的显示时,其将URL传输至模块85,模块85下载它并在该URL地址执行下载的captcha。在该实施例中,每个终端通过互联网连接至运营商的captcha服务器。用于识别处理器76的标志不一定包括在captcha的验证码中。其可以包括在该captcha的上下文中 。在此情况下,标志在上下文中的位置优选地随每个captcha而变化以使得使其隐藏自动化进行较为困难。该标志不一定是字符串。其可以是图形、字符串或者声音。函数F可以是恒等函数。在此情况下,处理器76的标识符被包括在captcha中。函数可以是不可逆函数。例如,函数F是SHAl (安全哈希算法I)型哈希函数。在此情况下,为了识别包含对captcha的正确响应的处理器,必须将取得处理器76的标识符作为参数的函数F的结果与取得系统2的每个处理器的标识符作为其参数的函数的结果集合相比较。实践中,付费电视运营商了解系统2的每个处理器的标识符。因此,在情况下,该运营商能够根据captcha识别处理器76。在本发明提供的一个实施例中,captcha特定用于处理器76但没有任何标志或者借助函数F构建的其它元素。例如,预定义的关系是将包含对该captcha的正确响应的安全处理器的标识符与每个captcha相关联的运营商的数据库。这样,根据拦截的captcha并且根据该数据库,运营商可以找到所使用的处理器的标识符。使用的captcha不一定特定用于处理器。在图4的方法中,captcha不一定由处理器76选择。例如,由付费电视运营商借助EMM或者ECM选择captcha。时间间隔DR不一定是预定义的持续时间。例如,其可以与从选择captcha的时刻起处理器76接收到的预定数量的ECM有关。时间间隔DR优选地从预定值的范围内随机或者伪随机地抽取。
当处理器76命令显示所选择的captcha时,后者不一定显示在屏幕86上。作为变型,终端装备有其自己的屏幕,并且在执行步骤112期间captcha直接显示在终端的控制屏幕上以避免对用户造成不便。captcha不一定被显示。例如,如果captcha包括仅音频序列,贝U其可以通过扬声器播放。用于检测处理器76的潜在异常使用的操作106可以以不同方式进行。例如,处理器76可以在预定义的观察周期期间对频道的改变进行计数。根据包含在从处理器76接收到的ECM中的频道标识符i来完成对频道改变的计数。在另一个实施例中,以不同方式获得被监测的频道的标识符i。如果潜在的异常使用的检测不使用包含在ECM消息中的频道标识符i,则可以从ECM中省略该标识符。也可以通过对接收到的EMM或者解密的密文的数量进行计数来完成以显示captcha的规则间隔系统性地启动的步骤140。在另一变型中,在步骤140,处理器测量自从执行先前步骤112起经过的持续时间DP,并且只有在该持续时间DP超越预定的阈值时,处理器76才执行步骤112。如果不是这样,则不执行步骤112,并且处理器执行步骤110。在图4和图5的方法中,处理器76在执行captcha的过程中维持对密文CW*的解密,并且只有在时间间隔DR到期之前处理器76接收不到对应于正确的响应的captcha的响应时,解扰才受到限制。在一个变型中,一旦处理器76选择了 captcha,对密文CW*的解密就受到限制。只有当处理器76接收到对显示的captcha的正确响应时,才恢复对密文CW*的解密。在步骤122,也可以通过 修改存储器78中记录的访问资格获得对解密密文CW*的限制。可以提供步骤102或者140的执行的短时暂停。当暂停这些步骤时,captcha的应用被停用。当用户是儿童时这会有用。图4和图5的方法以及它们的变型的参数(DR时间间隔、DP持续时间、阈值MRmax,Smax等)可以在处理器76的制造期间永久性地预先记录在存储器78中。作为变型,运营商可以动态地改变它们,例如借助EMM。例如,可以使用时间戳来测量时间间隔DR。在另一变型中,从ECM中省略时间戳。不一定通过付费电视运营商的服务器构建基本的captcha79。处理器76可以直接构建它们。作为变型,引入到captcha中的标志878仅对处理器的标识符的一个个别的部分进行编码。因此,必须拦截数个captcha以获得处理器76的完整的标识符。包括特定用于处理器的标志的Captcha的使用可以在其它技术领域中实现,并且与用于接收加扰的多媒体内容的方法无关。
权利要求
1.一种用于接收借助控制字加扰的多媒体内容的方法,所述方法包括以下步骤: -安全处理器接收(IOla)包含使得多媒体内容能够被解扰的控制字CW的至少一个密文CW*的ECM (授权控制消息), -所述安全处理器对所述密文CW*解密(110),以及 -借助于解密的控制字CW对所述加扰的多媒体内容解扰(110), 其特征在于所述方法还包括以下步骤: -从接收终端执行(114)至少一次特定用于所述安全处理器的captcha(全自动区分计算机和人类的图灵测试),对所述captcha的正确响应包含在所述安全处理器的存储器中并且随每次执行而改变,所述特定的captcha借助于预定义的关系与包含对所述captcha的正确响应的所述安全处理器的标识符相关联,以使得能够借助于所述captcha从安全处理器的集合中识别所述安全处理器, -所述安全处理器获取(116)对所述captcha的至少一个响应并且所述安全处理器将所述响应与包含在所述安全处理器的存储器中的所述正确响应进行比较(118),以及 -如果对所述captcha的响应不对应于包含在所述存储器中的准确响应,则所述安全处理器限制(122)对所述密文CW*的解扰。
2.根据权利要求1所述的方法,其中, -在所述captcha的执行(114)期间中维持对所述密文CW*的解扰,以及 -如果在预定时间间隔DR内未接收到对与包含在所述存储器中的正确的响应相对应的所述captcha的响应,则所述处理器限制对所述密文CW*的解扰。
3.根据前述权利要求中任一项所述的方法,其中,所述方法包括:每当对所述处理器接收到的ECM或者EMM的数量计数的计数器CR的值达到预定义的阈值时或者每当自前一captcha的执行经过了预定义的持续时间DP时,所述处理器就自动执行新的captcha。
4.根据权利要求2到3任一项所述的方法,其中,如果自前一captcha的执行起所述时间间隔DR还未到期并且如果所述处理器接收到的对所述前一 captcha的不正确响应的数量大于预定义的阈值MRmax,则所述方法包括执行新的captcha,对所述新的captcha的正确响应区别于对所述前一 captcha的正确响应,并且对所述新的captcha的正确响应必须在所述时间间隔DR到期之前被所述处理器接收到,对所述新的captcha的正确响应也包含在所述处理器的存储器中,所述时间间隔DR在所述新的captcha的执行期间不重新初始化。
5.根据前述权利要求任一项所述的方法,其中所述方法包括: -根据所述安全处理器接收到的ECM或者EMM检测(102)所述安全处理器潜在的异常使用,以及 响应于潜在的异常使用的这种检测触发(112)所述captcha的执行。
6.根据权利要求5所述的方法,其中通过在观察周期期间对频道的改变计数或者对在观察周期期间接收到的所述ECM计数来检测所述安全处理器的潜在的异常使用。
7.根据前述权利要求任一项所述的方法,其中所述方法包括在特定capcha中包含标志,所述标志借助于所述预定义的关系与所述安全处理器的标识符相关联,所述标志包括不可缺少的信息,所述信息如果被去除,则人将可能仅凭一次尝试就发现对所述captcha的正确的响应。
8 .根据前述权利要求任一项所述的方法,其中所述预定义的关系是数据库,所述数据库将每个特定captcha、包含对所述captcha的正确的响应的所述安全处理器的标识符或者使得能够根据安全处理器的标识符构建所述captcha的预定义的函数相关联。
9.一种信息记录介质,其特征在于所述介质包括指令,当通过电子计算机执行所述指令时,所述指令用于执行根据前述权利要求的任一项的方法。
10.一种电子安全处理器(76),用于执行根据权利要求1-8中任一项所述的方法,所述处理器被编程为: -接收包含控制字CW的至少一个密文CW*的ECM(授权控制消息),所述控制字使得多媒体内容能够被解扰, -解密所述密文CW*,以及 -将解密的控制字传输至解扰器以借助所述解密的控制字CW对加扰的多媒体内容解扰,其特征在于所述处理器包括存储器(78),所述存储器包含对特定用于所述安全处理器的captcha的至少一个正确响应,所述特定的captcha借助于预定义的关系与包含对所述captcha的正确响应的所述安全处理器的标识符相关联,使得能够通过所述captcha从安全处理器的集合中识别出所述安全处理器,并且响应于来自接收终端的所述captcha的至少一个执行,所述处理器还被编程为: -获取对所述capcha的至少一个响应,并将所述响应与包含在所述处理器的存储器中的正确响应相比较,以及 -如果对所述captcha的响应不对应包含在所述存储器中的准确响应,则限制(122)所述密文CW*的解扰。
11.根据权利要求10所述的处理器,其中所述处理器还被编程为根据所述处理器的标识符构建所述特定的captcha ,然后将所述特定的标识符传输至所述接收终端以触发其在屏幕上的显示。
12.—种终端(10),用于接收借助控制字加扰的多媒体内容,以执行根据权利要求1-8中任一项所述的方法,所述终端包括用于和安全处理器接口的电子模块(85),所述模块(85)被编程为: -向所述安全处理器传输包含使得多媒体内容能够被解扰的控制字CW的至少一个密文CW*的ECM (授权控制消息), -接收所述安全处理器解密的控制字CW并且将其传输至解扰器以对借助所述解密的控制字CW加扰的多媒体内容解扰, 其特征在于,所述模块(85)还被编程为: -至少一次执行特定用于所述安全处理器的captcha,对所述captcha的正确响应包含在所述安全处理器的存储器中并且随每次执行而改变,所述特定captcha借助预定义的关系与包含对所述captcha的正确响应的所述安全处理器的标识符相关联,以使得可以借助所述captcha从安全处理器的集合中识别所述安全处理器, -获取对所述captcha的至少一个响应,并且将所述响应传输至所述安全处理器,使得所述安全处理器能够将其与包含在所述安全处理器的存储器中的正确响应相比较。
全文摘要
本发明涉及一种用于接收借助控制字加扰的多媒体内容的方法,该方法包括以下步骤安全处理器接收(101a)包含控制字CW的至少一个密文CW*的ECM(授权控制消息),安全处理器解密(110)该密文CW*,以及借助解密的控制字CW对加扰的多媒体内容解扰(110),从接收终端执行(114)至少一次captcha,对captcha的正确响应被包含在安全处理器的存储器中并且随每次执行而改变,安全处理器获取(116)对该captcha的至少一个响应并且安全处理器将该响应与包含在安全处理器的存储器中的正确响应进行比较(118),以及如果对该captcha的响应不对应包含在存储器中的准确响应,则安全处理器限制(122)对密文CW*的解扰。
文档编号H04N21/418GK103250423SQ201180052220
公开日2013年8月14日 申请日期2011年10月25日 优先权日2010年10月27日
发明者艾达·高达戈 申请人:维亚塞斯公司