本发明涉及一种双向条件接收系统及方法,所述双向条件接收系统包括条件接收系统、授权管理系统及用户终端。通过授权管理系统作为双向条件接收系统的授权平台,通过条件接收系统和授权管理系统之间的单向数据传输,使条件接收授权系统从物理上与双向公网隔离,消除了安全隐患;其次,实现授权管理信息及业务密钥在授权管理系统内的二次加密,进一步保证授权信息的安全性。
1.一种双向条件接收系统,其特征在于,包括条件接收系统、授权管理系统及用户终端;
所述条件接收系统用于,生成控制字对音视频TS流加扰、生成授权管理信息及业务密钥、采用业务密钥对控制字加密生成授权控制信息,并将加扰的音视频TS流及授权控制信息复用至传输流中发送到用户终端,将加密后的授权管理信息及业务密钥发送至授权管理系统;所述加密过的授权管理信息及业务密钥是通过单向网络发送至授权管理系统;
所述授权管理系统用于接收授权管理信息及业务密钥,并在接收到用户终端发送的授权请求后,将授权管理信息及业务密钥通过双向网络发送至用户终端;
所述的用户终端用于接收授权管理系统发送的授权管理信息及业务密钥,并对授权管理信息及业务密钥进行处理,获取业务密钥,使用该业务密钥处理授权控制信息,得到码流解扰用的控制字,采用该控制字实现码流解扰。
2.根据权利要求1所述的系统,其特征在于,所述条件接收系统包括控制字发生器、加扰模块、授权管理信息发生模块、控制字加密模块、复用模块、授权管理信息加密模块及发送模块;其中:所述控制字发生器,用于生成控制字;
所述授权管理信息发生模块,用于生成授权管理信息及业务密钥;
所述控制字加密模块,用于利用授权管理信息发生模块生成的业务密钥对控制字加密生成授权控制信息;
所述授权管理信息加密模块,用于对授权管理信息发生模块生成的授权管理信息及业务密钥加密;
所述加扰模块,用于利用所述控制字发生器生成的控制字对音视频TS流加扰;
所述复用模块,用于将加扰的音视频TS流及授权控制信息复用至传输流中发送到用户终端;
所述发送模块,用于将加密过的授权管理信息及业务密钥通过单向网络发送至授权管理系统。
3.根据权利要求2所述的系统,其特征在于,所述授权管理系统包括接收模块、存储模块及授权发送模块,接收模块通过存储模块与授权发送模块相连;
所述接收模块,用于授权管理系统接收由条件接收系统发送的加密授权管理信息及业务密钥;
所述授权发送模块,用于接收用户终端发送的授权请求后,将授权管理信息及业务密钥通过双向网络发送至用户终端。
4.根据权利要求3所述的系统,其特征在于,所述的授权管理系统还包括解密模块和加密模块;
所述解密模块设置于接收模块及存储模块之间,用于对所述接收模块接收到的授权管理信息及业务密钥进行解密;
所述加密模块设置于存储模块及授权发送模块之间,用于对存储模块中存储的解密后的授权管理信息及业务密钥进行加密处理。
5.根据权利要求3或4所述的系统,其特征在于,所述用户终端包括授权请求模块及授权处理模块;
所述授权请求模块,用于用户终端通过双向网络向授权管理系统发送授权请求;
所述授权处理模块,用于用户终端处理授权管理信息及业务密钥,获取业务密钥,处理授权控制信息,得到码流解扰用的控制字,实现码流解扰。
6.一种双向条件接收方法,其特征在于,所述方法包括以下步骤:控制字发生步骤,用于生成控制字;
授权管理信息发生步骤,用于生成授权管理信息及业务密钥;
控制字加密步骤,用于通过所述业务密钥对控制字加密生成授权控制信息;
授权管理信息加密步骤,用于对所述授权管理信息及业务密钥加密;
音视频加扰步骤,用于使用所述控制字发生步骤中生成的控制字对音视频TS流加扰;
复用步骤,用于将加扰音视频TS流及授权控制信息复用到传输流中发送到用户终端;
发送步骤,用于条件接收系统将加密过的授权管理信息及业务密钥通过单向网络发送至授权管理系统;
接收步骤,用于授权管理系统接收条件接收系统发送的加密授权管理信息及业务密钥;
存储步骤,用于存储接收到的授权管理信息及业务密钥;
授权请求步骤,用于用户终端通过双向网络向授权管理系统发送授权请求;
授权发送步骤,用于授权管理系统接收所述授权请求后,发送授权管理信息及业务密钥至用户终端;
授权处理步骤,用于用户终端处理授权管理信息及业务密钥,获取业务密钥,处理授权控制信息,得到码流解扰用的控制字,实现码流解扰。
在所述的接收步骤和存储步骤间还包括有授权管理信息解密步骤,在存储步骤和授权请求步骤间还包括授权加密步骤;
所述的解密步骤用于对所述接收步骤中接收的加密授权管理信息及业务密钥解密;
所述授权加密步骤,用于对所存储的解密后的授权管理信息及业务密钥进行加密。
8.根据权利要求6或7所述的方法,其特征在于,所述发送步骤中,单向传输网络为同步数字体系(SDH)、ASI传输网络或数字广播电视射频信号传输网络。
一种双向条件接收系统及方法
技术领域
[0001] 本发明涉及一种条件接收系统(Conditional Access Systems,CAS)及方法,具体来说,涉及一种双向条件接收系统及方法。
背景技术
[0002] 数字电视条件接收系统将授权管理信息(Entitlement Management Message,EMM)、授权控制信息(Entitlement Control Message,ECM)以及其他PSI信息与加扰后的音视频码流一起通过复用器复用后经数字电视网络广播到用户终端,为一对多广播形式。随着数字电视的快速发展,传统单向条件接收系统出现很多问题,如省网整合过程中,由于要将各地市条件接收系统统一,需要将各地市的CA系统前端统一部署到省级平台,由此造成过多的条件接收系统同密,占用过多的传输带宽,降低带宽使用率。
[0003] 为了解决带宽问题,特别是授权管理信息占用大量带宽问题,用户终端通过双向网络方式从前端条件接收系统获取授权管理信息,由此产生了双向条件接收系统。双向条件接收系统虽然解决了上述传统单向条件接收系统问题,同时也造成双向条件接收系统暴露在公网环境下,没有做到物理隔离条件接收系统,造成条件接收系统安全隐患问题。
发明内容
[0004] 本发明的一个目的是提供能够实现物理隔绝的双向条件接收系统及方法。本发明所采用的技术方案如下:
[0005] 一种双向条件接收系统,包括条件接收系统、授权管理系统及用户终端;所述条件接收系统用于生成控制字对音视频TS流加扰、生成授权管理信息及业务密钥、采用业务密钥对控制字加密生成授权控制信息,并将加扰的音视频TS流及授权控制信息复用至传输流中发送到用户终端,将加密后的授权管理信息及业务密钥发送至授权管理系统;所述授权管理系统用于接收授权管理信息及业务密钥,并在接收到用户终端发送的授权请求后,将授权管理信息及业务密钥通过双向网络发送至用户终端;所述的用户终端用于接收授权管理系统发送的授权管理信息及业务密钥,并对授权管理信息及业务密钥进行处理,获取业务密钥,使用该业务密钥处理授权控制信息,得到码流解扰用的控制字,采用该控制字实现码流解扰。
[0006] 进一步,所述条件接收系统包括控制字发生器、加扰模块、授权管理信息发生模块、控制字加密模块、复用模块、授权管理信息加密模块及发送模块;其中:
[0007] 所述控制字发生器,用于生成控制字;
[0008] 所述授权管理信息发生模块,用于生成授权管理信息及业务密钥;
[0009] 所述控制字加密模块,用于利用授权管理信息发生模块生成的业务密钥对控制字加密生成授权控制信息;
[0010] 所述授权管理信息加密模块,用于对授权管理信息发生模块生成的授权管理信息及业务密钥加密;
[0011] 所述加扰模块,用于利用所述控制字发生器生成的控制字对音视频TS流加扰;
[0012] 所述复用模块,用于将加扰的音视频TS流及授权控制信息复用至传输流中发送到用户终端;
[0013] 所述发送模块,用于将加密过的授权管理信息及业务密钥通过单向网络发送至授权管理系统。
[0014] 所述授权管理系统包括接收模块、存储模块及授权发送模块,接收模块通过存储模块与授权发送模块相连;
[0015] 所述接收模块,用于授权管理系统接收由条件接收系统发送的加密授权管理信息及业务密钥;
[0016] 所述存储模块,用于存储授权管理信息及业务密钥;
[0017] 所述授权发送模块,用于接收用户终端发送的授权请求后,将存储的授权管理信息及业务密钥通过双向网络发送至用户终端。
[0018] 进一步,所述的授权管理系统还包括解密模块和加密模块;
[0019] 所述解密模块设置于接受模块及存储模块之间,用于对所述接收模块接收到的授权管理信息及业务密钥解密;
[0020] 所述加密模块设置于存储模块及授权发送模块之间,用于对存储模块中存储的解密后的授权管理信息及业务密钥进行加密处理。
[0021] 实现了授权管理信息及业务密钥在授权管理系统内的加密,进一步保证授权信息的安全性。
[0022] 优选地,所述用户终端包括授权请求模块及授权处理模块;
[0023] 所述授权请求模块,用于用户终端通过双向网络向授权管理系统发送授权请求;
[0024] 所述授权处理模块,用于用户终端处理授权管理信息及业务密钥,获取业务密钥,处理授权控制信息,得到码流解扰用的控制字,实现码流解扰。
[0025] 一种双向条件接收授权方法,控制字发生步骤,用于生成控制字;
[0026] 授权管理信息发生步骤,用于生成授权管理信息及业务密钥;
[0027] 控制字加密步骤,用于通过所述业务密钥对控制字加密生成授权控制信息;
[0028] 授权管理信息加密步骤,用于对所述授权管理信息及业务密钥加密;
[0029] 音视频加扰步骤,用于使用所述控制字发生步骤中生成的控制字对音视频TS流加扰;
[0030] 复用步骤,用于将加扰音视频TS流及授权控制信息复用到传输流中发送到用户终端;
[0031] 发送步骤,用于条件接收系统将加密过的授权管理信息及业务密钥通过单向网络发送至授权管理系统;
[0032] 接收步骤,用于授权管理系统接收条件接收系统发送的加密授权管理信息及业务密钥;
[0033] 存储步骤,用于存储接收到的授权管理信息及业务密钥;
[0034] 授权请求步骤,用于用户终端通过双向网络向授权管理系统发送授权请求;
[0035] 授权发送步骤,用于授权管理系统接收所述授权请求后,发送存储步骤中存储的授权管理信息及业务密钥至用户终端;
[0036] 授权处理步骤,用于用户终端处理授权管理信息及业务密钥,获取业务密钥,处理授权控制信息,得到码流解扰用的控制字,实现码流解扰。
[0037] 进一步,在所述的接收步骤和存储步骤间还包括有授权管理信息解密步骤,在存储步骤和授权请求步骤间还包括授权加密步骤;
[0038] 所述的解密步骤用于对所述接收步骤中接收的加密授权管理信息及业务密钥解密;
[0039] 所述授权加密步骤,用于对所存储的解密后的授权管理信息及业务密钥进行加密。
[0040] 优选地,发送步骤中,单向传输网络为同步数字体系(SDH)、ASI传输网络或数字广播电视射频信号传输网络。
[0041] 本发明实现了由授权管理系统作为双向条件接收系统的授权平台,完成与终端授权认证;实现了双向条件接收系统从物理上与双向网络隔离,保证了双向条件接收系统的安全;其次,实现了授权管理信息及业务密钥在授权管理系统内的加密,进一步保证授权信息的安全性。
[0042] 本发明的双向条件接收授权系统及方法,通过将条件接收系统的授权管理信息单向发送到授权管理系统,由授权管理系统为用户终端双向授权,从而实现了条件接收系统和公网环境的有效隔离,本发明可以有效的保证双向条件接收系统的安全性。
[0043] 本发明可以有效的保证双向条件接收系统的安全性。在现有双向条件接收系统技术中,还没有针对条件接收系统和公网环境有效隔离的方案。因此,本发明所要实现的技术任务或者所要解决的技术问题是本领域技术人员从未想到的或者没有预期到的,故本发明是一种新的技术方案。
[0044] 下面结合附图和实施例对本发明进一步说明。
附图说明
[0045] 图1是一种双向条件接收系统的实现框图;
[0046] 图2是一种双向条件接收方法的流程图。
具体实施方式
[0047] 现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
[0048] 以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
[0049] 对于相关领域普通技术人员已知的技术、系统和设备可能不作详细讨论,但在适当情况下,所述技术、系统和设备应当被视为说明书的一部分。
[0050] 在这里示出和讨论的所有例子中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它例子可以具有不同的值。
[0051] 应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
[0052] 实施例一,如图1所示,一种双向条件接收系统,实施于条件接收系统1100、授权管理系统1200及用户终端1300之中。
[0053] 所述条件接收系统1100包括控制字发生器1101、加扰模块1102、授权管理信息发生模块1103、控制字加密模块1104、复用模块1105、授权管理信息加密模块1106、发送模块1107;所述控制字发生器,用于生成控制字;所述授权管理信息发生模块,用于生成授权管理信息及业务密钥;所述控制字加密模块,用于利用授权管理信息发生模块生成的业务密钥对控制字加密生成授权控制信息;所述授权管理信息加密模块,用于对授权管理信息发生模块生成的授权管理信息及业务密钥加密;所述加扰模块,用于利用所述控制字发生器生成的控制字对音视频TS流加扰;所述复用模块,用于将加扰的音视频TS流及授权控制信息复用至传输流中发送到用户终端;所述发送模块,用于条件接收系统将加密过的授权管理信息及业务密钥通过单向网络发送至授权管理系统。
[0054] 所述授权管理系统1200包括,接收模块1201、解密模块1202、存储模块1203、加密模块1204、授权发送模块1205;所述接收模块,用于授权管理系统接收由条件接收系统发送的加密授权管理信息及业务密钥;所述解密模块,用于授权管理系统对所述接收模块接收到的授权管理信息及业务密钥解密;所述存储模块,用于授权管理系统存储接收到的授权管理信息及业务密钥;所述加密模块,用于对存储模块中授权管理信息及业务密钥的加密;所述授权发送模块,用于授权管理系统将授权管理信息及业务密钥通过双向网络发送至用户终端。
[0055] 所述用户终端1300包括授权请求模块1301及授权处理模块1302。所述授权请求模块,用于用户终端通过双向网络向授权管理系统发送授权请求;所述授权处理模块,用于用户终端处理授权管理信息及业务密钥,获取业务密钥,处理授权控制信息,得到码流解扰用的控制字,实现码流解密。
[0056] 实施例二,如图1所示,不采用解密模块,对所述接收模块接收到的授权管理信息及业务密钥不进行解密处理,相应地不采用加密模块,对授权管理信息及业务密钥不做加密处理。即,接收模块接收到的加密授权管理信息及业务密钥不经解密模块解密直接存入存储模块,授权发送模块直接将存储模块中的未解密的授权管理信息及业务密钥发送至用户终端。
[0057] 实施例三,如图2所示,本发明的方法包括如下步骤:
[0058] S1:控制字发生步骤,用于条件接收系统1100控制字发生器1101生成控制字。
[0059] S2:授权管理信息发生步骤,用于条件接收系统1100授权管理信息发生模块1103生成授权管理信息及业务密钥;
[0060] S3:控制字加密步骤,用于条件接收系统1100控制字加密模块1104利用所述授权管理信息发生步骤中业务密钥对控制字加密生成授权控制信息;
[0061] S4:授权管理信息加密步骤,用于条件接收系统1100授权管理信息加密模块1106对所述授权管理信息发生步骤生成的授权管理信息及业务密钥的加密;
[0062] S5:音视频加扰步骤,用于条件接收系统1100加扰模块1102通过所述控制字发生步骤中生成的控制字对音视频TS流加扰;
[0063] S6:复用步骤,用于条件接收系统1100复用模块1105将加扰音视频TS流及授权控制信息复用到传输流中发送到用户终端;
[0064] S7:发送步骤,用于条件接收系统1100发送模块1107将加密过的授权管理信息及业务密钥通过单向网络发送至授权管理系统1200;
[0065] S8:接收步骤,用于授权管理系统1200接收模块1201接收条件接收系统1100发送的加密授权管理信息及业务密钥;
[0066] S9:授权管理信息解密步骤,用于授权管理系统1200解密模块1202对所述接收步骤中接收的加密授权管理信息及业务密钥解密;
[0067] S10:存储步骤,用于授权管理系统1200存储模块1203,存储由所述授权管理信息解密步骤中解密后的授权管理信息及业务密钥;
[0068] S11:授权加密步骤,用于授权管理系统1200加密模块1204对存储模块1203中授权管理信息及业务密钥的加密;
[0069] S12:授权请求步骤,用于用户终端1300授权请求模块1301通过双向网络向授权管理系统1200授权发送模块1205发送授权请求;
[0070] S13:授权发送步骤,用于授权管理系统1200授权发送模块1205发送加密过的授权管理信息及业务密钥至用户终端1300;
[0071] S14:授权处理步骤,用于用户终端1300授权请求模块1302处理从授权请求模块1301接收到的授权管理信息及业务密钥,获取业务密钥,处理授权控制信息,得到码流解扰用的控制字,实现码流解密。
[0072] 其中,所述发送步骤中,单向传输网络包括但不局限于同步数字体系(SDH)、ASI传输网络及数字广播电视射频信号传输网络。
[0073] 实施例四,所述授权管理信息解密步骤及授权加密步骤中,授权管理信息解密步骤可针对接收的加密授权管理信息及业务密钥不做解密,授权加密步骤则不需要对授权管理信息及业务密钥重新加密。即省略S9和S11,S8的授权管理信息及业务密钥经S10存储步骤存储后直接进行S12、S13,将未解密的授权管理信息及业务密钥发送至用户终端。
[0074] 由此已经根据本发明的实施例描述了本发明的双向条件接收系统的实现方法和系统,通过授权管理系统作为双向条件接收系统的授权平台,通过条件接收系统和授权管理系统之间的单向数据传输,使条件接收系统从物理上与双向公网隔离,消除了安全隐患;其次,实现授权管理信息及业务密钥在授权管理系统内的二次加密,进一步保证授权信息的安全性。本发明可以有效的保证双向条件接收系统的安全性。
[0075] 以上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。本发明的范围由所附权利要求来限定。
