多媒體廣播裝置及多媒體廣播的接收裝置

技術領域

本發明涉及廣播系統，尤其是涉及一種多媒體廣播系統中 實現安全廣播的技術。

背景技術

廣播系統，特別是給移動式終端或手機使用的多媒體廣播 系統，近年來已經越來越普遍地應用在各種領域當中。這些多 媒體廣播系統一般包括了基本的運營業務與增值的運營業務。 比方說是電視廣播、聲音廣播、電子業務指南與緊急廣播可算 是基本的多媒體運營業務。而實時與/或非實時的數據廣播業 務，如網絡影音廣播與金融、交通及政令廣播，也都是多媒體 廣播系統的運營業務。

然而，廣播系統在得到廣泛應用的同時，其安全性的問題 也進一步的凸顯了出來。具體來說，目前的廣播系統面臨如下 安全問題。第一，如何實現條件接收，也就是說只有付費用戶 才能接受，非付費用戶則不能接受。第二，如何實現版權保護， 從而有效地保證廣播內容提供商的利益。第三，如何防止廣播 內容提供商播出非法的視頻內容，例如播出涉及法律所禁止的 內容。第四，如何防止非法人員通過控制有線或衛星等產送網 絡插入非法的廣播內容。第五，如何使獲得授權的終端僅能播 放經過授權的，非法律所禁止的內容。

目前解決上述問題的通常做法是將播放的內容中加密，并 在將要被播放的內容中插入數字簽名，數字證書等信息，以使 付費用戶或其它已獲得授權的用戶可以正常接收并解密已被保 護起來的播放內容。雖然通過上述方法可以基本解決廣播內容 的安全性問題，但是需要對現在的廣播系統及接收端進行較大 的改進，而且由于涉及到大量的數據內容的加解密操作，對廣 播系統的數據傳輸效率以及帶寬也有較高的要求。

發明內容

本發明的目的在于提供一種安全的移動多媒體廣播系統及 其接收裝置，以在兼顧現有移動多媒體廣播系統的同時保證廣 播信號的可鑒別性和完整性。

本發明提供一種多媒體廣播裝置，其包括：一安全廣播服 務器，用于對一信道控制信息表產生一安全廣播信息表；一復 用器，用于接收多個多媒體信道，根據該多個多媒體信道的配 置于一期間中重復產生該信道控制信息表傳送至該安全廣播服 務器，并且根據該安全廣播信息表與一復用規則產生一信道碼 流；以及一信道調制與廣播器，用于調制該信道碼流并且將調 制后的信道碼流進行廣播。

該安全廣播服務器更對該安全廣播信息表進行加密，其中 加密的算法至少包括下列之一：DES算法；3DES算法；AES算 法；以及AES-128算法。

該信道控制信息表是根據中國移動多媒體廣播標準的復用 幀的一控制信息表，該復用幀凈荷為零，該信道控制信息表的 表標志號為0x11。

該信道控制信息表至少包括下列參數其中之一及其任意組 合：表版本號；時間戳；網絡信息表保護標志；持續業務復用 配置表保護標志；持續業務配置表保護標志；短時間持續業務 復用配置表保護標志；短時間持續業務配置表保護標志；安全 廣播簽名；安全廣播簽名算法標志，用于標示安全廣播簽名算 法的SHA散列函數與DSA橢圓曲線算法的位數；安全廣播服務 器標志；安全廣播服務器證書序號；附加數據長度；以及附加 數據段。

該時間戳包括40位字段，依序以六位字段代表年，四位字 段代表月，五位字段代表日，五位字段代表時，六位字段代表 分，六位字段代表秒，八位字段代表同一秒內時間戳的順序。 其中該安全廣播簽名包括一可變的字段長度，該可變的字段長 度包括320，448以及512位，其中該附加數據段包括多個數據單 元所組成，每一個數據單元包括一數據單元標志、一數據凈荷 長度以及一數據凈荷。其中該數據單元用于下列用途之一，該 數據單元標志用于標識下列用途：根證書更新；根證書撤銷； 安全廣播服務器證書更新；安全廣播服務器證書撤銷；以及發 送控制信息解密密鑰。

本發明的多媒體廣播裝置，更包括使用子樹差分機制廣播 分發一控制信息解密密鑰至多媒體廣播的接收終端設備，該接 收終端設備包括一設備密鑰集以恢復該控制信息解密密鑰。

該復用器是通過TCP/IP協議與該安全廣播服務器進行通 信，其中TCP封包的凈荷包括一通信頭與一通信數據部分，該 通信頭包括下列參數之一及其任意組合：版本標志，用于表示 該通信的版本；消息類型，用于表示是由該復用器送至該安全 廣播服務器或是由該安全廣播服務器送至該復用器；數據類型， 用于表示封包是安全廣播數據；以及數據長度，用于限制或表 示該安全廣播信息表的長度。

本發明還提供了一種多媒體廣播的接收裝置，包括：一解 調器，用于將所接收的廣播信號解調制為一信道碼流；一解復 用器，用于將該信道碼流每隔一時間t解復用出一安全廣播信息 表與廣播內容；一有效性判斷模塊，用于判斷該安全廣播信號 表的有效性，并當該安全廣播信號表為有效時輸出一有效性信 號；以及一合法性判斷模塊，用于根據該有效性判斷模塊所產 生的有效性與該時間t判斷所接收的廣播信號是否合法。

該合法性判斷模塊更包括一無效閾值n與一有效閾值m，當 該接收裝置開啟并接收到該有效性信號時，則判斷所接收的廣 播信號為合法，當狀態為合法且在nt時間內未收到該有效性信 號時，則判斷所接收的廣播信號為非法，當狀態為非法且在mt 時間內收到m個該有效性信號時，則判斷所接收的廣播信號為 合法。

該安全廣播信息表是根據中國移動多媒體廣播標準的復用 幀的一控制信息表，該復用幀凈荷為零，其中該安全廣播信息 表至少包括下列參數其中之一及其任意組合：表版本號；時間 戳；網絡信息表保護標志；持續業務復用配置表保護標志；持 續業務配置表保護標志；短時間持續業務復用配置表保護標志； 短時間持續業務配置表保護標志；安全廣播簽名；安全廣播簽 名算法標志，用于標示安全廣播簽名算法的SHA散列函數與 DSA橢圓曲線算法的位數；安全廣播服務器標志；安全廣播服 務器證書序號；附加數據長度；以及附加數據段。

該有效性判斷模塊是根據最后一個接收的安全廣播信息表 的時間戳、安全廣播服務器證書序號與安全廣播簽名判斷當前 安全廣播信息表的時間戳是否有效。

綜上所述，本發明通過安全廣播信息的插入極大的提高了 多媒體廣播的安全性，而且不需要對現有設備和系統進行大的 改動。

附圖說明

通過下面結合示例性地示出一例的附圖進行的描述，本發 明的上述和其它目的和特點將會變得更加清楚，其中：

圖1為根據本發明一實施例的多媒體廣播系統的前端系統 的示意圖；

圖2為圖1所示過媒體廣播系統的廣播信道幀的示意圖；

圖3為根據根據本發明一實施例的安全信息表的時間戳的 結構示意圖；

圖4為根據本發明一實施例在信道中插入安全控制信息的 流程圖；

圖5為根據本發明另一實施例在信道中插入安全控制信息 的流程圖；

圖6為根據本發明一實施例的請求安全廣播數據封裝格式 的示意圖；

圖7為根據本發明一實施例的應答安全廣播數據封裝格式 的示意圖；及

圖8為根據本發明一實施例的終端系統的示意圖。

具體實施方式

為讓本發明的上述和其它目的、特征和優點能更明顯易懂， 下文特舉出較佳實施例，并配合所附圖式，作詳細說明如下。

本發明的安全廣播技術采用高強度數字簽名技術，以密碼 學理論保證廣播信號的可鑒別性和完整性。在終端上輔以芯片 技術，保證用戶設備的物理安全。同時兼顧現有系統，對現有 設備和系統無需大的改動。

本發明的移動多媒體廣播系統安全廣播技術具有以下功 能：1)證明廣播信號來源，使得終端無需秘密信息或雙向交互， 即可鑒別廣播內容的來源；2)在終端設備配合下，防止非法內 容接收和播出；3)增強終端控制，提高非授權終端的技術難度。

如圖1所示，本發明的安全廣播系統的前端系統100包括內 容制作與集成單元101、加擾模塊102、復用/調制模塊103、節 目管理系統104、CAS(Conditional?Access?System)數字電視有 條件接收系統105、后臺管理系統/業務運營支撐系統106、安全 廣播服務器107、緊急廣播服務器108、ESG(Electronic?Service Guide，電子業務指南)發生器109以及與終端系統(如圖8所示) 800連接的廣播信道110。

前端系統100中的安全廣播服務器107，按一定時間間隔產 生不可偽造的安全廣播信息。此信息交由移動多媒體廣播系統 的復用/調制模塊103，以一定方式插入廣播信道幀中。于本實 施例中，復用/調制模塊103包括一復用器(未圖示)，用于接收 多個多媒體信道，根據該多個多媒體信道的配置于一期間中重 復產生該信道控制信息表傳送至該安全廣播服務器，并且根據 該安全廣播信息表與一復用規則產生一信道碼流；以及一信道 調制與廣播器(未圖示)，用于調制該信道碼流并且將調制后的 信道碼流進行廣播。

如圖2所示，本發明移動媒體廣播系統的每一廣播信道幀包 括復用幀0～復用幀n，其中復用幀0為控制復用幀，用于承載控 制信息，復用幀1～n為業務復用幀，用于承載業務數據，例如 將要播放的視頻內容?？刂茝陀脦ǘ鄠€復用子幀，于本發 明中，控制復用幀的每一復用子幀由一個控制信息表構成。表1 所示為本發明控制復用幀所包括的控制信息表。其中，表標識 為0x11的表為安全廣播信息表，即安全廣播服務器107按一定時 間間隔所產生的不可偽造的安全廣播信息。

表1表標識號的分配

請再次參閱圖2所示，安全廣播信息表(即控制信息表i) 至少包括：

表標識號、表版本號：標識安全廣播信息表的版本號。

時間戳：標識安全廣播數據的產生時間。具體定義見圖3 所示。其中，時間戳的年份從2000年開始結算，序列號表示同 一秒內時間戳的順序。本實施例中時間戳包括40位字段，依序 以六位字段代表年，四位字段代表月，五位字段代表日，五位 字段代表時，六位字段代表分，六位字段代表秒，八位字段代 表同一秒內時間戳的順序。

持續業務復用配置表保護標識：1位字段，如果該參數為1， 表示計算數字簽名時應包括持續業務復用配置表；如果為0，則 表示不包括。

持續業務配置表保護標識：1位字段，如果該參數為1，表 示計算數字簽名時應包括持續業務配置表；如果為0，則表示不 包括。

短時間業務復用配置表保護標識：1位字段，如果該參數為 1，表示計算數字簽名時應包括短時間業務復用配置表；如果為 0，則表示不包括。

短時間業務配置表保護標識：1位字段，如果該參數為1， 表示計算數字簽名時應包括短時間業務配置表；如果為0，則表 示不包括。

算法標識：8位字段，標識數字簽名算法，定義見表2。

表2算法標識的分配

服務器標識：32位字段，標識產生此表的安全廣播服務器。

服務器證書序號：8位字段，服務器正在使用的證書序號， 標識驗證安全廣播簽名時應使用的證書。

附加數據長度：16位字段，指示附加數據段長度，0表示沒 有附加數據段。

附加數據段：可變長度字段，包括其它非持續性信息，如 服務器證書更新、控制表解密信息。

安全廣播簽名：可變長度字段，該參數為安全廣播服務器 對四種控制信息表和上述所有字段簽名的結果。根據使用算法 不同，此字段長度可變，長度取值見表3。

表3字段長度

圖4所示為前端系統100在廣播信道幀中插入安全廣播信息 表的流程圖。在步驟S401中，復用/調制模塊103向安全廣播服 務器107提供信道控制信息。在步驟S402中，安全廣播服務器 107根據信道控制信息和其它特定數據，計算并返回安全廣播信 息表給復用/調制模塊103。在步驟S403中，復用/調制模塊103 綜合業務數據和控制信息，在信道中周期性插入安全控制信息， 并通過信道調制設備完成后續發射程序。

為了阻止非授權終端接收廣播信息，安全廣播服務器107 還可以將復用幀控制信息以特定方法加密，復用/調制模塊103 使用加密的控制信息替換原有的控制信息，使得非授權終端無 法正確恢復控制信息，從而無法正確進行信道解調和內容播放。 舉例來說，若安全廣播服務器107將復用幀控制信息加密，則會 將控制表解密信息放入附加數據段中。

如圖5所示，在步驟S501中，復用/調制模塊103向安全廣播 服務器107提供信道控制信息。在步驟S502中，安全廣播服務 器107根據信道控制信息和其它特定數據，計算并返回加密的控 制信息和安全廣播信息表給復用/調制模塊103。在步驟S503中， 復用/調制模塊103綜合業務數據和控制信息，在信道中周期性 插入安全控制信息，并通過信道調制設備完成后續發射程序。

請再次參閱表1所示，若前端系統100需要對控制信息表加 密，則需要為各種加密信息表分配對應的表標識號，例如0x81～ 0x85。

在各種加密控制信息表中包括特殊的表標識號和對應的加 密數據。具體定義見表4。

表4加密控制信息表

其中，加密數據為原控制信息表其它數據的加密結果，長 度保持不變。只有使用安全廣播信息表中的解密信息對其解密， 才能恢復出初始的控制信息表。

于本實施例中，安全廣播服務器107每次對控制信息表加密 使用隨機密鑰，此密鑰通過廣播信道110分發給各個授權終端。 解密密鑰的分發采用廣播加密方式，即數據以加密形式廣播給 所有接收終端，由算法保證只有授權終端才可利用預置設備密 鑰恢復出原始秘密。本發明使用廣播加密中的“子樹-差分”機制 分發控制信息解密密鑰：授權機構對每個授權設備制造商分發 一組設備密鑰集，這組密鑰集應固化在此制造商生產的所有終 端設備中。使用這組密鑰，終端可以從廣播信息中恢復出解密 密鑰。利用廣播加密中的撤銷機制，授權機構可以在特定密鑰 集泄密的情況下，撤銷該組密鑰集。

如前所述，用以恢復解密密鑰的數據以一定形式封裝在附 加數據段中，通過廣播信道分發。解密密鑰數據單元的定義見 表5。

表5解密密鑰數據單元

其中，算法標識為8位字段，用于標識解密使用的算法。設 備路徑標識為16位字段，標識對應設備。解密密鑰密文設備路 徑標識為64位或128位字段，使用對應設備密鑰集可解密出解密 密鑰。

本發明中，算法標識的分配如表6所示：

表6算法標識的分配

為了實現安全廣播，本發明的復用/調制模塊103除了常規 功能要求以外，還需要在業務接口上支持安全廣播輸入。即， 如表7所示，其業務接口需要包括一安全廣播輸入。

表7復用器接口描述

這樣，復用/調制模塊103將從業務接口獲得的安全廣播信 息表，并將安全廣播信息封裝在廣播信道幀的復用幀0中。

在安全廣播服務器107和復用/調制模塊103的通信中，復用 /調制模塊103每秒向安全廣播服務器107發送一個請求消息；安 全廣播服務器107收到請求消息后，將本秒內需要發送的安全廣 播信息表發送出去。如果配置安全廣播服務器加密控制信息表， 相應的加密信息表會附在安全廣播信息表前。具體來說，本發 明的安全廣播服務器107將采用TCP/IP協議傳輸安全廣播信息 表。圖6所示為本發明請求安全廣播的數據封裝格式的示意圖， 即控制信息將依據TCP協議封裝在TCP凈荷的通信數據部分。 通信數據部分包括五種可被保護的控制信息表內容。如不需保 護任何一種控制表，可將其長度置為0。請求消息通信頭定義見 表8。

表8安全廣播數據請求消息通信頭參數說明

圖7所示為本發明安全廣播服務器107發給復用/調制模塊 103的應答數據封裝格式的示意圖，即控制信息以及安全廣播信 息表將依據TCP協議封裝在TCP凈荷的通信數據部分。應答數 據通信頭定義見表9。

表9安全廣播數據應答消息通信頭參數說明

以下將結合圖8說明本發明移動多媒體廣播系統的終端系 統。

首先，如圖8所示，安全廣播在終端系統800中以安全芯片 802的形式存在，以提高終端系統800的安全性和可控性。安全 芯片802同時也可作為條件接收系統的載體。

安全芯片802可直接處理經解調模塊801解調后的碼流數 據，并通過解復用模塊805的處理從接收到的碼流數據中提取出 安全廣播信息表。安全芯片802可根據安全廣播信息表的信息， 判定信道狀態和廣播內容的合法性。確認內容合法后，將碼流 數據傳輸給其它終端應用803，例如，由終端應用803傳輸給播 放器804以播放跟隨在控制信息后的廣播內容。如果碼流為加擾 數據流，則可由CAS模塊808解擾后再傳輸出去。

終端系統800驗證安全控制信息表的數字簽名使用的證書 封裝在附加數據段中，通過廣播信道分發。服務器證書更新單 元的定義見表10。

表10服務器證書更新單元定義

其中，服務器證書序號，用于標識待更新的服務器證書序 號。服務器證書為待更新的服務器證書。證書格式應為X.509， 并且由授權機構簽名。授權機構根證書一般應固化在終端設備 中，需要時也可通過類似的方式由廣播信道更新和撤銷。

考慮到廣播信道的不穩定性，單個錯誤的安全廣播信息表 并不能完全確定廣播內容的合法性。因此本發明采用失敗閾值 的方法來確認信道狀態，以保證在誤碼或者丟包的情況下，整 個鑒別機制仍可以正常工作。舉例來說，假設發射端每間隔時 間t送出的一個安全廣播信息表，那么可以預設兩個閾值n(無 效閾值)和m(有效閾值)，并使用下面4條策略：1)終端開機 后，只要接收到一個正確的安全廣播信息表，即判斷廣播內容 合法；2)廣播內容合法后，當終端在時間nt內沒有收到正確的 安全廣播信息表，即判斷廣播內容非法；3)廣播內容非法后， 當終端在時間mt內連續收到m個正確的安全廣播信息表，則判 斷廣播內容合法。

本發明中，安全廣播信息表的有效性確認采用如下流程：

1)檢查接收復用幀0中的網絡信息表和終端信道解調使用 的射頻參數是否一致；如不一致則返回“無效”；

2)檢查安全廣播信息表的時間戳是否晚于上一安全廣播信 息表；如不晚于則返回“無效”；

3)檢查附加數據段中是否有證書更新/撤銷單元；如有，則 執行更新/撤銷證書動作；

4)檢查終端中是否存在有效的服務器證書，如無任何有效 證書，則返回“有效”；

5)根據安全廣播信息表中的服務器序號和服務器證書序 號，查終端上是否存在此證書。如不存在，則返回“無效”。

6)使用指定證書檢驗安全廣播信息表中數字簽名，如檢驗 通過，則返回“有效”，否則返回“無效”。

終端系統800根據安全廣播信息表的有效性判定廣播內容 的合法性的具體流程如下：

1)接收廣播，直至接收到的第一個安全廣播信息表。

2)讀取前次使用時接收的最后一個時間戳(如果第一次使 用設備，則設定時間戳為0)。

3)確認安全廣播信息表的有效性。

4)如果安全廣播信息表有效，進入“合法”狀態；否則，進 入“非法”狀態。

5)繼續接收傳輸幀，確認復用幀0中的安全廣播信息表的有 效性。

6)如果安全廣播信息表無效：有效計數器清零；如果當前 狀態為“合法”，則無效計數器加一。

7)如果安全廣播信息表有效：無效計數器清零；如果當前 狀態為“非法”，則有效計數器加一。

8)如果當前狀態為“合法”，且無效計數器大于無效閾值， 則進入“非法”狀態；如果當前狀態為“非法”，且有效計數器大 于有效閾值，則進入“合法”狀態。

9)保存時間戳，并根據當前狀態和安全策略，決定是否播 放本次傳輸幀。

10)從第5步重新開始。

以上所述僅為本發明較佳實施例，然其并非用以限定本發 明的范圍，任何熟悉本項技術的人員，在不脫離本發明的精神 和范圍內，可在此基礎上做進一步的改進和變化，因此本發明 的保護范圍當以本申請的權利要求書所界定的范圍為準。