CN101138242A - 交互式电视系统 - Google Patents
交互式电视系统 Download PDFInfo
- Publication number
- CN101138242A CN101138242A CNA2005800489746A CN200580048974A CN101138242A CN 101138242 A CN101138242 A CN 101138242A CN A2005800489746 A CNA2005800489746 A CN A2005800489746A CN 200580048974 A CN200580048974 A CN 200580048974A CN 101138242 A CN101138242 A CN 101138242A
- Authority
- CN
- China
- Prior art keywords
- key
- host server
- digital receiver
- smart card
- top box
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/63—Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
- H04N21/633—Control signals issued by server directed to the network components or client
- H04N21/6332—Control signals issued by server directed to the network components or client directed to client
- H04N21/6334—Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/162—Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/258—Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
- H04N21/25808—Management of client data
- H04N21/25816—Management of client data involving client authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/258—Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
- H04N21/25866—Management of end-user data
- H04N21/25875—Management of end-user data involving end-user authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/41—Structure of client; Structure of client peripherals
- H04N21/414—Specialised client platforms, e.g. receiver in car or embedded in a mobile appliance
- H04N21/41407—Specialised client platforms, e.g. receiver in car or embedded in a mobile appliance embedded in a portable device, e.g. video client on a mobile phone, PDA, laptop
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/41—Structure of client; Structure of client peripherals
- H04N21/418—External card to be used in combination with the client device, e.g. for conditional access
- H04N21/4181—External card to be used in combination with the client device, e.g. for conditional access for conditional access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/61—Network physical structure; Signal processing
- H04N21/6106—Network physical structure; Signal processing specially adapted to the downstream path of the transmission network
- H04N21/6131—Network physical structure; Signal processing specially adapted to the downstream path of the transmission network involving transmission via a mobile phone network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/61—Network physical structure; Signal processing
- H04N21/6156—Network physical structure; Signal processing specially adapted to the upstream path of the transmission network
- H04N21/6181—Network physical structure; Signal processing specially adapted to the upstream path of the transmission network involving transmission via a mobile phone network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/65—Transmission of management data between client and server
- H04N21/658—Transmission by the client directed to the server
- H04N21/6582—Data stored in the client, e.g. viewing habits, hardware capabilities, credit card number
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/173—Analogue secrecy systems; Analogue subscription systems with two-way working, e.g. subscriber sending a programme selection signal
- H04N7/17309—Transmission or handling of upstream communications
Landscapes
- Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Graphics (AREA)
- General Engineering & Computer Science (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
一种用于通过由广播设备运行的广播基础设施(50)向用户(5)提供安全交互业务的交互式电视系统(100),该系统(100)包括:数字接收装置(10),用于通过广播基础设施(50)接收广播数据和与安全交互业务相关的数据,数字接收装置(10)接收用户(5)的移动装置(20);以及回传路径主机服务器(60),用于提供从数字接收装置(10)到广播设备的回传路径连接;其中,通过检查用户(5)是否具有使用数字接收装置(10)的物理接入、检查是否授权用户(5)接入使用安全交互业务、以及验证回传路径主机服务器(60)和数字接收装置(10)来确保与安全交互业务的交互的安全。
Description
技术领域
本发明涉及用于通过由广播设备运行的广播基础设施(broadcast infrastructure)向用户提供安全交互业务的交互式电视系统。
背景技术
出于许多不同的目的,目前世界上正越来越多地使用集成电路卡或智能卡。智能卡通常包括只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、以及输出/输入(I/O)机构。这些智能卡需要接触或者是非接触的。智能卡还可以包括微处理器和支持微处理器运行的其它电路。在智能卡的存储器中,智能卡可以包括单个应用程序或可以包括多个独立的应用程序。其存储器可以是安全的或不安全的。
本发明致力于克服由广播基础设施和机顶盒带来的限制,以提供安全的智能卡交易。
发明内容
在第一优选方面,本发明提供了一种用于通过由广播设备运行的广播基础设施向用户提供安全交互业务的交互式电视系统,该系统包括:
数字接收装置,用于通过广播基础设施接收广播数据和与安全交互业务相关的数据,数字接收装置接收(receive)用户的移动装置;以及
回传路径(return-path)主机服务器(host server),用于提供从数字接收装置到广播设备的回传路径连接;
其中,通过检查用户是否具有使用数字接收装置的物理接入、检查是否已授权用户接入使用安全交互业务、以及验证回传路径主机服务器和数字接收装置来确保与安全交互业务交互的安全。
通过使用移动装置的密钥对和应用协议数据单元(APDU)命令与由广播基础设施、数字接收装置、和回传路径主机服务器组成的组中的任意一个进行通信,可以进一步确保与安全交互业务交互的安全。
对于数字接收装置与回传路径主机服务器之间的通信,通过根据存储在移动装置上的数据来验证用户的身份,可以进一步确保与安全交互业务交互的安全。
通过在允许接入安全交互业务之前验证用户的身份,可以进一步确保与安全交互业务交互的安全。
可以分散(decentralise)认证(authentication)并将密钥对从回传路径主机服务器传送至数字接收装置,并由机顶盒对密钥对进行处理。
可以集中认证并将密钥对从数字接收装置传送至回传路径主机服务器,并由回传路径主机服务器对密钥对进行处理。
可以根据中心数据库来验证数字接收装置或用户的身份。可以通过输入用户的个人身份号码(PIN)、口令、或生物测定扫描来执行验证。
可以通过认证数字接收装置的条件接入标识来验证数字接收装置。
广播基础设施可以是卫星电视基础设施。广播基础设施可以包括能够通过陆地信号、电缆、或无线系统承载数字信号或模拟信号的基础设施。
数字接收装置可以是机顶盒、个人视频录像机(PVR)、或个人数字助理(PDA)。
第三方可以包括金融机构、政府机构、或贸易商。
可以从包括TV优惠券(TV-Coupon)、TV预支付(TV-Pre-Paid)、TV移动下载(TV-Mobile Download)、TV政府(TV-Government)、TV支付交易(TV-Payment Transaction)、TV银行业务(TV-Banking)、TV商业(TV-Commerce)、TV购物(TV-Shopping)、TV卡管理(TV-Card Management)、和TV代金券(TV-Token)的组中选择安全交互业务。
回传路径主机服务器可以与第三方主机服务器进行通信。
对于安全交互业务的每个会话,可以将会话密钥用于对广播基础设施与数字接收装置之间的通信、以及数字接收装置与回传路径主机服务器之间的通信进行加密。会话密钥可以首先通过广播基础设施传送至数字接收装置、通过移动装置传送至数字接收装置、通过数字接收装置传送至回传路径主机服务器、通过回传路径主机服务器传送至数字接收装置,或者在回传路径主机服务器与第三方主机服务器之间进行传送。
可以对从数字接收装置传送至回传路径主机服务器的消息进行数字签名,以确保消息的完整性。可以由可信赖方来认证数字签名。
可以在移动装置上存储至少一个交互应用程序,以处理并传送安全交互业务的数据。
可以使用与用户相关的信息来将移动装置个人化,并且可以通过使用激活密钥的处理将其激活以进行使用。
数字接收装置和智能卡可以根据相互认可的认证过程进行相互认证,以彼此进行安全通信。
用户的移动装置可以连接至数字接收装置或嵌入到数字接收装置中。移动装置可以与数字接收装置进行无线通信。移动装置可以是诸如智能卡的基于芯片的卡。移动装置可以是诸如个人数字助理(PDA)、掌上机、笔记本、可移动硬盘、拇指驱动、或移动电话的移动计算装置。
该系统还可以包括密钥和证书管理模块以及广播基础设施的安全密钥模块,以管理和分配密钥或证书,密钥或证书用于对广播基础设施与数字接收装置之间、移动装置与数字接收装置之间、数字接收装置与回传路径主机服务器之间、以及回传路径主机服务器与第三方主机服务器之间的通信、消息、应用程序、和数据进行加密/解密。
密钥可以是包括激活密钥、支付密钥、后发行(post-issuance)密钥、传输密钥、终端密钥、验证密钥、主机密钥、以及会员(loyatly)密钥的组中的任何一个。
该系统还可以包括副本保护模块,用于授权用户记录通过广播基础设施广播的内容。
该系统还可以包括安全域,用于建立唯一的密码密钥,从而确保移动装置与数字接收装置之间、数字接收装置与回传路径主机服务器之间、以及回传路径主机服务器与第三方主机服务器之间的安全通信。
在对称密码业务中,唯一的密码密钥可以仅使用单个密钥。
用户可以输入个人身份号码(PIN)的口令,以能够接入存储在移动装置上的信息和安全交互业务。
可以设置生物测定系统,以使得在用户的扫描生物测定数据与其存储在生物测定数据库中的记录相匹配的情况下,能够接入存储在移动装置上的信息和安全交互业务。
附图说明
下面将参照附图来描述本发明的实例,在附图中:
图1是广播系统的框图;以及
图2是示出交互电视系统及其系统部件的安全层的安全接入矩阵的表格。
具体实施方式
图1以及以下的论述旨在对可以实现本发明的适当计算环境进行简要、概括的描述。尽管不是必须的,但是将在由个人计算机执行的计算机可执行指令(例如,程序模块)的广义上下文中来描述本发明。通常,程序模块包括执行特定任务或实现特定抽象数据类型的例行程序、程序、字符、组件、数据结构。本领域技术人员应当理解,可以使用其它计算机系统配置来实现本发明,该配置包括便携式装置、多处理器系统、基于微处理器或可编程的用户电子器件、网络PC、小型计算机、以及大型计算机等。还可以在由通过通信网络连接的远程处理装置执行任务的分布式计算环境中实现本发明。在分布式计算环境中,程序模块可以位于本地存储器存储装置和远程存储器存储装置中。
参照图1,示出了用于通过由广播设备运行的广播基础设施50向持卡人5提供安全交互业务的交互式电视系统100。通常,系统100包括:机顶盒10和回传路径主机服务器60。机顶盒10通过广播基础设施50接收广播数据和与安全交互业务相关的数据。机顶盒10还接收并读取存储在持卡人5的智能卡20上的数据。回传路径主机服务器60提供从机顶盒10到广播设备的回传路径连接。通过检查持卡人5是否在物理上有权使用机顶盒10来确保与安全交互业务交互的安全。通过检查持卡人5是否被授权使用安全交互业务来执行另一安全检查。通过验证回传路径主机服务器60与机顶盒10来执行进一步的安全检查。
持卡人5使用用户接口装置40,以连接并控制机顶盒10。用户接口装置40包括机顶盒远程控制器、无线装置/键盘、红外装置、移动电话、PDA、或计算机的组中任意一个。在诸如电视屏幕或计算机显示器(monitor)的显示装置30上显示机顶盒10的输出。当持卡人5使用用户接口装置40来操作机顶盒10、或者通过将其智能卡20用于机顶盒10来操作机顶盒10时,触发安全机顶盒应用程序。
智能卡
智能卡20包括具有微处理器或存储器芯片形式的集成电路的信用卡、银行卡、签账卡、会员卡、预付现金卡、礼品卡、娱乐卡、驾驶执照、以及国民注册身份卡(NRIC)。智能卡20是接触式或非接触式的。
在将智能卡20发给持卡人5之前,用一些卡数据(其唯一地对卡进行标识)对智能卡20进行初始化。在个人化数据结构被加载并存储在智能卡20中之后,通过卡发行商85、产品分类、数据和识别号码即可识别智能卡20。一旦进行了个人化,智能卡20就不能改变其身份(标识)。
智能卡20装有至少一个应用程序,例如,信贷或储存的现金值、利用默认值初始化的卡文件结构、和/或用于传输安全性的密钥。
在个人化阶段,不必激活智能卡20。机顶盒10用于借助于包含将要激活的智能卡的详细资料的回传路径主机服务器60,通过认证过程来激活智能卡20。
在发行智能卡20之后,需要使用激活密钥激活智能卡20;或者用新的/更新的应用程序进行后发行;或者删除智能卡20上已有的应用程序。后发行处理还包括信息和数据。其涉及使用后发行密钥。机顶盒10用于加载/写入、读取和/或删除持卡人5的静态数据,该数据包括持卡人5的名字、地址、以及智能卡20中的优惠。因此,机顶盒10还用于卡管理过程。
基于智能卡型数据,机顶盒10确定智能卡20是否适于被个人化和/或后发行。如果智能卡20不是正确的类型,则处理终止,并通过显示装置30通知持卡人5。
机顶盒10能够激活持卡人5的智能卡20。通常,由卡发行商/制造商85向持卡人5发行智能卡20。此外,还通过机顶盒10添加、删除、或更新智能卡20中的智能卡应用程序和文件结构。机顶盒10能够执行持卡人5的数据管理。通过机顶盒10读取诸如持卡人5的名字、地址、以及优惠的持卡人5数据。
当智能卡20与机顶盒10相连时,进行智能卡20与机顶盒10之间的智能卡交互处理。智能卡20存储私密密钥和公共密钥对。通常,处理包括从智能卡20检索公共密钥、使用公共密钥对至少一部分将要传输的数据进行加密、将加密的数据传送至智能卡20、以及使用智能卡的私密密钥将加密的数据解密。
智能卡的密钥对与通过广播基础设施50传播至机顶盒10的密钥对进行交互。可选地,将密钥对通过安全通信基础设施从回传路径主机服务器60或第三方智能卡系统加载到机顶盒10上。可选地,将集中的密钥对置于回传路径主机服务器60或第三方智能卡系统,并且不将其传送至机顶盒10。
密钥的类型包括激活密钥、支付密钥、后发行密钥、传输密钥、终端密钥(terminal key)、验证密钥(verification key)、主机密钥、以及会员密钥。
回传路径主机服务器
广播设备的回传路径主机服务器60连接至其他第三方主机服务器70,以提供使用该广播设备不能实现的其它安全交互业务。此外,还执行与第三方主机服务器70的认证/验证。这些第三方主机服务器70属于金融机构、会员提供商、内容提供商、以及政府机构。回传路径主机服务器60启动回传路径连接。回传路径主机服务器60包括调制解调器池或多个电信装置、以及通信基础设施,以接收来自系统100中的机顶盒10的数据。通过广播设备来管理这些装置。
对于安全机顶盒交易(transaction),需要将从机顶盒10至回传路径主机服务器60的专用连接作为数据传输处理的一部分。这种连接经由使用公认密码系统的安全通信基础设施。接着,回传路径主机服务器60连接至其它主机服务器70,以执行其它安全机顶盒交易。
对于TV支付交易,回传路径主机服务器60连接至支付网关的主机服务器70,以对由持卡人5使用机顶盒10办理的任何支付进行结算(settle)。对公用事业公司、在线贸易商、政府机构、内容提供商、以及会员提供商进行支付。除了使用存储在智能卡20上的数据以外,还使用包含在支付网关的主机服务器70中的信息对持卡人5进行认证。
对于TV银行业务交易,回传路径主机服务器60连接至金融机构的主机服务器70,以提供特定的持卡人5的账户的详细资料,例如,账户余额和抵押详情。除了使用存储在智能卡20上的数据以外,还使用包含在金融机构的主机服务器70中的信息对持卡人5进行认证。
对于TV商业/TV购物交易,回传路径主机服务器60连接至“大型购物中心”贸易商的主机服务器70,该主机服务器70使用机顶盒10管理持卡人5购买的商品和/或业务的列表。贸易商的主机服务器70管理交易的履行和开账单部分。除了使用存储在智能卡20上的数据以外,还使用包含在贸易商的主机服务器70中的信息对持卡人5进行认证。具体地,持卡人5提前进行注册,其中,将持卡人5的详细资料存储在贸易商的主机服务器70中。为了及时传播,还将商品和/或业务列表传送至广播基础设施50。
对于TV会员和TV返利(reward,奖励)交易,回传路径主机服务器60连接至会员提供商的主机服务器70,以向特定的持卡人5提供特定的会员详细资料,例如,剩余点数、偿还状况、以及特别报价。除了使用存储在智能卡20上的数据以外,还使用包含在会员提供商的主机服务器70中的信息对持卡人5进行认证。
对于TV代金券交易,回传路径主机服务器60连接至第三方智能卡系统的主机服务器70,以通过通信基础设施和回传路径主机服务器60经由机顶盒10来管理/更新与第三方智能卡系统有关的信息。除了使用存储在智能卡20上的数据以外,还使用包含在第三方智能卡系统的主机服务器70中的信息对持卡人5进行认证。具体地,持卡人5提前进行注册,其中,将持卡人5的详细资料存储在第三方的主机服务器70中。
对于TV优惠券(coupon)交易,回传路径主机服务器60连接至会员提供商/贸易商的主机服务器70,以将最近的促销折扣报价安全地下载到其智能卡20上,用于在结账时在参与的商场出口进行偿还。在某些情况下,偿还是即时的。除了使用存储在智能卡20上的数据以外,还使用包含在会员提供商/贸易商的主机服务器70中的信息对持卡人5进行认证。
对于TV预支付交易,回传路径主机服务器60连接至由预支付业务提供商(例如,电信公司)运行的第三方主机服务器70,以增加智能卡20上的存储值或对其充值。持卡人5通过TV支付业务选择对充值的支付。
对于TV移动下载交易,回传路径主机服务器60连接至由铃声和/或壁纸移动下载内容提供商运行的第三方主机服务器70,其中,持卡人5可以通过TV支付业务对移动下载进行支付。
对于TV政府,回传路径主机服务器60连接至政府机构(例如,道路运输和移民部门)的主机服务器70,用于通过TV支付业务对政府相关的事务(例如,驾驶执照更新和罚款支付)进行在线查询/支付。除了使用存储在智能卡20上的数据以外,还根据包含在政府机构的主机服务器70中的信息对持卡人5进行认证。通过机顶盒10和安全通信基础设施上的回传路径连接,使用政府机构的数据库对国家注册身份卡(NRIC)智能卡20上的信息进行认证。
对于TV卡管理,回传路径主机服务器60连接至卡发行商/制造商的主机服务器70,用于进行诸如后发行和智能卡激活的卡管理业务。
通过在第一密码装置(例如,机顶盒10)中建立唯一的密码密钥(第一密钥元)来创建安全环境。在第二密码装置(例如,回传路径主机服务器60)中安全地建立相同的唯一密码密钥。唯一的密码密钥确保了机顶盒10与回传路径主机务器60之间的安全通信基础设施。例如,在对称密码业务中,唯一的密码密钥仅采用单个密钥。
通过广播基础设施50、车载智能卡系统、使用安全通信基础设施的回传路径主机服务器60,使用集中或分散的方法将第一密钥元加载到机顶盒10上;或者独立于第一密钥元,从第三方智能卡系统下载第一密钥元。
安全交互业务
由系统100提供的安全交互业务包括:
TV支付(信贷、借记、和储值)-持卡人5将其支付智能卡20插入机顶盒10中,以进行信贷、借记、和储值的金融交易。通过机顶盒10进行的支付包括通过通信基础设施进行的作为安全机顶盒应用的账单支付、TV商业、TV预支付、TV移动下载、以及TV政府,该通信基础设施连接至支付提供商的回传路径主机服务器70。
TV银行业务-与机顶盒10连接的智能卡20使得能够接入金融机构,并且向持卡人5提供一系列金融信息。持卡人5能够执行金融交易,包括不同账户的余额查询、多个账户的交易日志查询、资金转账、抵押账户信息、支票簿请求、以及账单/效用(utility)报偿。通过连接至金融机构的回传路径主机服务器70的安全通信基础设施执行所有这些交易。
TV商业、TV购物-持卡人5将其支付智能卡20插入机顶盒10中,以使用机顶盒10、通过连接至贸易商的回传路径主机服务器70的安全通信基础设施支付所定购的商品和/或业务。
TV会员-机顶盒10可以通过连接至会员提供商的回传路径主机服务器70的安全通信基础设施添加/删除/更新智能卡20或“TV会员卡”上的会员信息和/或返利点数。这包括包含关于具体的人、地点、和项目的TV赠品卡,并且仅通过机顶盒10读取会员信息并将其显示在显示装置30上。
TV返利-为了所执行的每个安全机顶盒交易或为了使用用户接口装置40进行的交互式电视导航,机顶盒10累积返利点并将其下载到智能卡20上。这是为了增加参与,以及增加持卡人5对机顶盒10和所提供的业务的“粘合力”。
TV代金券(token)-持卡人5将其智能卡20用作离线的物理导线(conduit),以在机顶盒10与第三方智能卡系统(例如,预支付智能卡仪表(meter)和安装有智能卡读取器的计算机)之间传输效用/支付信息和/或数据。将智能卡20插入安装有智能卡读取器并利用密码系统启动的预付效用仪表(utility meter)中,以通过机顶盒10、回传路径连接、安全通信基础设施、以及效用提供商的回传路径主机服务器70将效用使用数据从预支付效用仪表物理传输至效用公司。一旦更新了效用使用数据,持卡人5就支付任何效用充值。之后,使用同一智能卡20作为物理导线将充值后的效用数据通过机顶盒10传输至预付效用仪表。
TV优惠券(coupon)-持卡人5将电子促销折扣代金券下载到其智能卡20上,并且在参与的贸易商的结账柜台处进行兑换(redemption)处理期间,当利用同一智能卡20对购买的商品/业务进行支付时,享受下载的促销折扣。机顶盒10可以执行下载或兑换处理。当被连接至回传路径主机服务器60时,复杂且安全的促销折扣代金券被下载到智能卡20中。可以使用机顶盒10兑换所下载的安全TV优惠券。
TV预支付-持卡人5使用机顶盒10来对其预付智能卡20(例如,娱乐卡或诸如预付移动的电信业务)上的货币值进行充值,并且通过连接至回传路径主机服务器60的安全通信基础设施,使用TV支付业务进行所需的支付。
TV移动下载-持卡人5可以通过机顶盒10请求铃声和/或壁纸移动下载,并且通过连接至内容提供商的回传路径主机服务器70的安全通信基础设施,使用TV支付业务进行所需的支付。
TV政府-具有国家身份智能卡20(例如,被称为“MyKad”的马来西亚政府的国家注册身份卡(NRIC)智能卡20)的持卡人5可以通过连接至政府机构的回传路径主机服务器70的安全通信基础设施、利用TV支付业务,对与政府相关的事务(例如,应用程序的状态)进行查询、和/或进行必需的政府支付(例如,驾驶执照更新和罚款支付)。
TV卡管理-卡发行商/制造商可以协助持卡人进行卡管理业务,例如,将新的/更新后的应用程序后发行到其智能卡中,以及对最近发给持卡人的智能卡进行智能卡激活。
在整个系统100中,在机顶盒10、智能卡20、回传路径主机服务器60、第三方主机服务器70、以及第三方智能卡系统之间传送数据。
从广播设备传送至机顶盒10的广播数据经由广播基础设施50。这被认为是远程基础设施。在这种连接路径下,机顶盒10是主机系统。这通常是向机顶盒10的单向卫星广播。利用通过机顶盒10与回传路径主机服务器60之间的安全通信基础设施的回传路径连接,用广播设备实现了整个通信环路。从机顶盒10传送至回传路径主机服务器60的数据包括安全交互业务的响应数据。
在机顶盒10与智能卡20之间传送的数据经由机顶盒的智能卡读取器12。在这种连接路径下,根据应用程序和/或商业逻辑,主机系统是机顶盒10或智能卡20。这还取决于哪个系统对智能卡20设置的命令进行了初始化,以执行商业处理/逻辑。
从机顶盒10传送至回传路径主机服务器60的数据经由通信基础设施。通过公认的密码系统来确保通信基础设施安全。这种连接与远程基础设施被统一称为本地基础设施。在这种连接路径下,主机系统是回传路径主机服务器60。
在机顶盒10与第三方智能卡系统之间传送的数据使用智能卡20作为机顶盒10与第三方智能卡系统之间的物理导线。在这种连接路径下,主机系统是通过通信基础设施的第三方智能卡系统,其中,使用公认的密码系统来确保通信基础设施安全。
安全层1
参照图2,使用广泛公认的密码系统在整个广播基础结构50中对广播传输进行加密。一旦接收到到机顶盒10的广播传输,机顶盒10就使用其自身的条件接入(CA)系统11对所接收的广播传输进行解密。这被认为是第一安全层200。与机顶盒的条件接入系统11的交互提高了安全机顶盒交易的安全性。在一个实例中,广播设备使用机顶盒的条件接入系统11管理持卡人5到机顶盒10的物理接入。在没有通过机顶盒的条件接入系统11授予物理接入权的情况下,持卡人5就不能使用智能卡20和机顶盒10进行任何安全机顶盒交易。
安全层2
对持卡人5设置限制,以仅允许其接入所选择的安全交互业务。这被认为是第二安全层201。例如,基于持卡人5的订阅计划、持卡人5的位置、或持卡人5的年龄进行限制。通过第一安全层200使用的物理接入权利加强第二安全层201。
安全层3
在一个实例中,不存在用于智能卡20的认证或加密/解密方案。即,智能卡20不需要密钥和/或证书,以在“自由读写”智能卡20中进行读取/写入。如果不需要认证,则认为应用程序、信息、或数据是未注册的。这对智能卡20和/或机顶盒10的安全性造成了威胁,尤其是在其被盗用或受到损害时。
如果需要密码系统以在智能卡20上进行读取/写入,则这就是“安全读写”智能卡20。在多数情况下都期望使用“安全读写”智能卡20。
在智能卡没有安全性的情况下,将密钥对通过安全通信基础设施从回传路径主机服务器60或第三方智能卡系统传送至机顶盒10。密钥交换使回传路径主机服务器60和机顶盒10相互进行认证。密钥对已在智能卡20或机顶盒的条件接入系统11的部分上。这被认为是第三安全层202。
提供密钥管理,以确保所生成的密钥值具有必要属性,从而使特定系统通过安全广播基础设施和/或回传路径连接通过安全通信基础设施预先得知的密钥共同起作用或单独起作用。密钥管理还确保了使用多种密码技术的组合保护密钥不被公开或替换。密钥管理方法基本上根据其使用的是非对称加密系统还是公共密钥加密系统而变化。
对于密钥管理,回传路径主机服务器60连接至可信赖方80的主业务,以在线或离线管理/分配密钥和/或证书。可信赖方80可以使用用于管理其密钥寿命周期的机顶盒10。可信赖方80包括提供可信赖业务的认证授权、会员提供商、银行、以及可信赖第三方。
在单个智能卡20上存储多个安全的机顶盒应用程序、信息、或数据(或消息)对与智能卡20、机顶盒10、回传路径主机服务器60、广播基础设施50、以及回传路径连接进行交换的消息的可信性、完整性、和安全性提出了挑战。消息包括应用程序、信息、或数据中的任意一个。
由于消息可能源于任何人、任何时间的任何地点,所以不能完全保证所接收的消息的可信性。为了增加安全性保护,使用公认的密码系统实现了安全域结构,以将发送方或接收方的数量限制在特定的安全域或封闭环境中。还将安全域引入到智能卡20上。
安全层4
在第四安全层203中使用智能卡认证。智能卡20上设置的密钥由三个不同的密钥项组成。智能卡的私密密钥,仅对于智能卡20是已知的;智能卡的公共密钥,存储在智能卡20上;以及智能卡的公共密钥证书,是由可信赖方80签名的智能卡的公共密钥。
如果机顶盒10使用密钥组合,则对消息进行认证和加密/解密。对每个数据传输处理执行加密技术,以保持敏感的持卡人5的信息和消息的机密性。这确保了系统和主机系统的数据元素的可信性和完整性,并使泄露密钥和证书的风险和影响最小化。
不以直读文本(clear text,明文)或其它任何在不知晓适当的密钥或密码系统的情况下就能提取的形式表示已加密的数据元素。
通常,密钥的寿命周期包括密钥建立、密钥恢复、密钥替换/更新、密钥撤消、和密钥终止。通过经由回传路径主机服务器60的连接,启动机顶盒10,以向卡发行商85和/或应用程序提供商提供密钥管理功能。密钥或密钥元的加载结合了确认机制,以确保密钥的可信性并证明其是否被篡改、替换、或受到威胁。密钥加载过程不会向未经授权的个体公开密钥元的任何部分。
使用数字证书(用于认证)和公共密钥基础设施,在主机系统之间对安全通信会话进行初始化以交换数字证书,从而通过使用可信赖方80的公共密钥的两个系统对数字证书进行认证。一旦交换并认证了数字证书,系统就能够在彼此之间传递加密消息。
初始化安全通信会话的另一方法是根据在诸如机顶盒10、回传路径主机服务器、以及智能卡20的主机系统中获得的证书对可信赖方80的数字签名进行认证。可信赖方80的公共密钥和/或私密密钥也用于对在主机系统的证书上获得的可信赖方80的数字签名进行认证。主机系统使用可信赖方80的公共密钥验证另一系统的证书。
存储的密钥是专用密钥,而不用于其它目的。例如,不能将同一密钥用于数据加密和个人身份号码(PIN)加密。存储在主机系统中的密钥通过多种方案生成,并且不被显示在直读文本中。
通过广播基础设施50将密钥对传播至机顶盒10,该密钥对作为机顶盒10上的临时会话密钥对和/或与已经与机顶盒10一起使用的智能卡20进行交互时的密钥对。
加密的私人密钥被嵌入到广播基础设施的安全密钥模块中。使用广播设备的条件接入对安全密钥模块进行进一步加密,从而通过对安全密钥模块代码中的私人密钥字符串进行进一步编码(scramble)来提供另一个安全层。这确保了即使在安全密钥模块代码中也不会以直读文本或纯文本表示私人密钥。
智能卡20包括卡域和安全域的组合、或卡域。卡发行商/制造商85限定卡域,以表示卡发行商/制造商85的兴趣。卡域包括应用协议接口(API)和命令接口,例如,应用协议数据单元(APDU)接口。APDU接口便于与外部环境的连接。通过卡域接收的一组适当的APDU命令执行应用程序“加载”和“安装”选项。
如果没有与正在加载的应用程序相关的卡域,则在可行的情况下,使用默认的密码密钥和卡域签名。
如果智能卡20已具有加载的应用程序,则在后发行处理期间或安全机顶盒交易期间,后续智能卡应用程序与第一应用程序进行交互。第二应用程序使用第一应用程序或卡域用于后发行或用于安全机顶盒交易。同样地,在后发行期间或在安全机顶盒交易期间,使用第一应用程序的加密业务,以将第二应用程序安装到智能卡20上。
如果智能卡20具有两个或多个已经加载到智能卡上的应用程序,则后续应用程序与用于后发行或用于安全机顶盒交易的卡域或任何其他存在的安全域进行交互。因此,在后发行处理期间将第二应用程序安装到智能卡20上包括将第一应用程序下载到卡域中。机顶盒10用于将应用程序、信息、或数据后发行至被启动用于后发行业务的有效智能卡20上。与广播基础设施50和/回传路径主机服务器60一起或分别工作,智能卡20利用其密钥对和证书对来自机顶盒10的后发行进行授权。
智能卡20上可以有多个安全域,每个安全域由唯一的加密关系或系统表示。每个安全域负责密码密钥及其组成安全域的加密关系/业务的相关加密方法的管理和共享。
多个智能卡应用程序与同一安全域相关。安全域由卡发行商/制造商85创建,或者之后由卡发行商/制造商85或应用程序提供商添加。
转发用于后发行的应用程序、信息、或数据以下载到智能卡20,或者通过广播基础设施50下载到机顶盒10、回传路径主机服务器60、或第三方智能卡系统。使用与存在于智能卡20上的密钥相同的密钥对消息进行加密或预签名(以进行认证),使得每个应用程序具有可以被智能卡20验证或认证的唯一签名。
卡域使用来自智能卡自身的安全域的密钥业务,以使用应用程序提供商的非对称加密密钥对的公共密钥解密并检查所转发的消息的签名。可选地,卡域使用机顶盒的条件接入系统11的密钥业务用于解密与验证。可选地,卡域使用通过广播基础设施50下载到机顶盒10、或者从回传路径主机服务器60或第三方智能卡系统传送的智能卡20的密钥业务。
如果与消息相关的签名不是有效的,则应用程序、信息、或数据不通过机顶盒10加载到智能卡上,或者中止安全机顶盒交易。错误通知出现在显示装置30上。但是,如果与消息相关的签名是有效的,则在安全的环境中,将应用程序、信息、或数据加载到智能卡20上,或激活安全机顶盒交易。
将交互应用程序下载到智能卡20作为文件或应用对象。
在后发行处理期间,机顶盒10发起用于预览智能卡20的“打开(open)”命令,以确定智能卡20有资格接受特定应用程序、信息、或数据的加载。打开命令向智能卡20提供消息的许可数据和消息大小,并指示智能卡20确定智能卡20是否已经被个人化、消息代码和相关数据是否与卡上的现有存储器空间相符。它还确定由将被加载的消息分配的个人化数据是否考虑到将消息加载到特定智能卡20上。打开命令进行智能卡系统/卡域/安全域所需的其它检查。
在执行了打开命令之后,通过机顶盒10通知“应用程序加载器”智能卡20是否包含正确的身份个人化数据,以及智能卡20的存储器中是否存在用于进一步下载应用程序、信息、或数据的足够空间。
加载与完成加载处理的“创建”步骤一起进行。在已经加载了应用程序之后,该步骤使得该应用程序能运行智能卡20。通过机顶盒10将“打开”、“加载”、和“创建”命令的组合使用安全通信基础设施通过广播基础设施或回传路径主机服务器60连接发送至智能卡20。
用于后发行的创建命令检查应用程序加载证书是否由可信赖方80进行了签名/加密,并因此验证作为用于智能卡和机顶盒10的适当应用程序的应用程序,以及根据要被加载的应用程序的许可文档(permission profile)检查存储在智能卡20中的智能卡个人化数据,以使智能卡20有资格进行加载。如果这些检查失败,则将失败响应显示在显示装置30上,并中止处理。在通过这些检查之后,将应用程序加载到智能卡20的存储器中。
在一个实施例中,除了卡域之外,智能卡应用程序提供商在智能卡20上创建独立的安全域。这将智能卡发行商/制造商85与应用程序提供商间的安全协议/系统分开。安全域包含对卡发行商/制造商85保持机密的安全密钥。卡域通过调用安全域的加密业务来批准用于智能卡初始化和后发行的命令。
每个域具有其本身的唯一加密业务,连同根据其本身的私人和/或(多个)私密密钥对,用于加密、解密、和散列(hashing)。每个域包含由可信赖方80数字签名的其本身的唯一(多个)数字证书。
将数据发送至主机系统的系统组件可以进行以下验证:可信赖方80已通过使用可信赖方80的主机系统的签名的公共密钥批准了起动系统。如果验证成功,则起动方验证可信赖方80批准了主机系统,并开始安全交易。
如果通过驻留在机顶盒10或回传路径主机服务器60/第三方智能卡系统中的应用程序检测到违反了安全性,则自动锁住智能卡20。机顶盒10通过密钥或使用卡域在卡和应用程序级执行锁住/解锁功能。锁住/解锁功能由持卡人5亲自执行或根据商业逻辑或规则自动执行。
卡域与安全域一起起作用。安全域起到逻辑结构的作用,以向卡域以及与安全域相关的应用程序、信息、或数据(或消息)提供与安全性相关的功能。卡域使用卡发行商的私密密钥对应用程序、信息、或数据进行解密。
安全域协助将应用程序、信息、或数据安全后发行加载到智能卡20上。它提供了安全机制,其保持应用程序提供商的信息保密(例如,密码密钥),并防止泄露给卡发行商/制造商85。
机顶盒10和智能卡20通过相互认可的认证程序和密码系统、预定的APDU命令组、以及用于智能卡20和机顶盒10的协议检查来进行彼此认证。这是为了确保彼此的可信性、完整性、和兼容性。这种交互用于确保包括TV支付、TV银行业务、以及TV商业/TV购物的安全的机顶盒应用程序。这些协议还使用机顶盒10防止了欺骗性地发行的智能卡20的使用。
一旦完成了认证,机顶盒10和智能卡20在由密码服务确保安全的环境中在相互之间传递交易消息和命令。
密码业务
存在两种用于系统组件以运行安全机顶盒应用程序以及用于系统之间的数据传输的密码业务。这两种密码业务是:对称的(通常是指私人密钥或私密密钥系统)密码业务以及非对称的(通常是指公共密钥基础结构)密码业务。
私密密钥系统使用密钥作为数学公式的一部分,该系统通过使用该数学公式、证书、和密钥转换应用程序、信息、和数据(统称为消息)来对消息进行加密。在对消息进行加密之后,另一方/接收方仅能借助于预定义的解密算法使用相同的私密密钥对加密的消息进行解密。因此,相同的私密密钥用于加密和解密(因此,将该技术称为对称的)。由于在整个加密和解密处理中仅涉及一个私密密钥,因此这是安全的。但是如果私密密钥损坏,则这将会增加风险。倘若如此,整个加密和解密系统也会被损坏。
非对称的密码业务使用两个不同的密钥或密钥对用于认证和/或加密/解密消息。这两个密钥通常是指私人/私密密钥和公共密钥。当使用密钥对中的一个密钥对消息进行加密时,将另一个密钥用于对消息进行解密。如果人员A要将其他任何人都不能读取的加密消息发送给人员B,则他使用人员B的公共密钥对消息进行加密,并将其发送给人员B。只有B的私密密钥的持有者能够对加密的消息进行解密。
还存在不同的密钥使用方法。在一个实例中,将会话密钥存储在仅用于下一交易的特定系统内部。系统从用于每个交易的静态对称主密钥中导出会话密钥。必须在比普通密钥更高的安全性控制下生成、分配、以及加载这些主密钥。可选地,系统仅使用用于每个交易的静态对称会话密钥。
在处理或交易之前、期间、或之后,主密钥/静态密钥是存在于系统中的密码密钥。主密钥通常嵌入到系统中,例如,在主机系统的安全模块中。
会话密钥是为特定的交易/会话特别生成的密码密钥,并且一旦完成了初始交易就作废。会话密钥在系统组件之间传输,以对交易进行认证并便于加密/解密处理。
由于会话密钥仅用于一个交易,所以减小了损坏的可能性。然而,密钥加密密钥、或主密钥用于对在正常通信基础设施上传送或存储在主机服务器(包括回传路径主机服务器60)的安全模块中的会话密钥进行加密。必须在比普通密钥更高的安全性控制下生成、分配、以及加载这些主密钥。
将对称的密钥(主密钥和/或会话密钥)存储在安全模块外或安全模块内。如果将密钥存储在安全模块内,则对称的密钥不再离开安全模块。通过从系统调用的函数在安全模块内执行密码计算。安全模块驻留在第三方主机服务器70或广播装置的回传路径主机服务器60中。
安全层5
为诸如为机顶盒10和TV商业而改进的3D安全或Visa验证的支付方法提供了另一个安全等级204。持卡人5需要预先对业务进行提前注册,并提供其用户名和口令以完成支付交易。持卡人的详细资料被存储在中心数据库中,并且对于使用安全交互业务的每个安全交易,根据集中存储的持卡人的详细资料对来自智能卡20的持卡人的详细资料进行确认。
安全层6
另一个安全等级205,需要持卡人5根据需要在用户接口装置40上和/或通过其他持卡人5的认证步骤输入其个人身份号码(PIN)。可选地,安装了与机顶盒10和回传路径主机服务器60连接的生物测定读取装置,以对持卡人5进行认证。
实例-TV银行业务
在一个实例中,机顶盒10能够起到类似于自动柜员机(ATM)的作用。持卡人5通过使用其所属的发行银行发行的智能卡20与其金融机构进行交易,以汇款并进行账户查询。在通常的ATM交易中,对持卡人5的个人身份号码(PIN)、持卡人5的主账户号码(PAN)、现金量、金融交易的日期和时间、以及ATM的识别号提供保护。在交易终端(在该实例中,为机顶盒10),从持卡人5处接收交易信息和个人身份号码(PIN)。从机顶盒10的存储器中取回由第一主密钥加密的第一会话密钥,并根据同样存储在金融机构的主机服务器70的存储器中的第一主密钥对其进行解密。
使用用于将智能卡20上的数据元素传输到机顶盒10、回传路径主机服务器60、以及金融机构的主机服务器70的多种密码系统来确保机顶盒10的安全。现有提供安全手段的多种密码系统,可以通过这些安全手段保护这些数据元素/确保这些数据元素安全。通过机顶盒10启动Europay-mastercard-Visa(EMV)支付交易。EMV过程包括:请求智能卡应用程序以验证密码业务;将与交易相关的数据发送至智能卡20,该智能卡计算并返回密码业务;在当前智能卡应用程序中检索未封装到消息中的数据;使用智能卡20起动EMV支付交易;以及将所提供的个人身份号码(PIN)与包含在卡应用程序中的PIN进行“卡上(on card)”对比。
类似于用于后发行的“加载”命令,加载命令用于通过机顶盒10对储值智能卡20进行储值。此外,“支付”命令用于起动支付序列、对储值智能卡20进行指定/预定数量的借贷、以及终止支付序列。“储值”命令使得余额查询交易被执行。
类似地,“支付”命令使得支付交易被执行,并且适用于多种类型的支付手段,包括基于信贷(credit)、借记(debit)、以及储值智能卡的交易。将支付量和货币作为参数传递。
在另一个实例中,交易终端是机顶盒10。当包含在安全模块中时,第一主密钥驻留在机顶盒10中,或者通过广播基础设施传输,并与机顶盒的条件接入系统11共同工作。第一主密钥临时地驻留在机顶盒10的安全环境中,直到断开机顶盒10。机顶盒的条件接入系统11也使用用于广播的主密钥进行解密。
金融机构以相同的会话密钥将消息重传给持卡人5,但是此时使用第二主密钥对其进行加密。通过该返回消息,将用第一主密钥进行加密的新的、或第二个/后续的会话密钥附加到返回消息中。在结束第一次交易时,第二加密会话密钥替换第一会话密钥,并且对被存储用于下一次交易。这保证了即使对于同一交易,所有的加密数据和消息认证码也是不同的。
因此,在对称密码业务中,可以通过一个或多个主密钥生成会话密钥,这相对于非对称密码业务提供了更加安全的可选方案。类似地,对于其它安全机顶盒交易,使用安全通信基础设施、由机顶盒10将特定的应用协议数据单元(APDU)命令通过广播基础设施或回传路径主机服务器连接发送至智能卡20。
对于每个安全交易,机顶盒10和智能卡20通过相互认可的认证步骤或密码系统进行彼此认证,其中,上述认证步骤或密码系统用于检查智能卡20和机顶盒10彼此的可信性和兼容性。这种相互认证防止了使用欺骗性地发行的智能卡20,以完成安全机顶盒交易。一旦完成了安全认证,机顶盒10和智能卡20在彼此之间传递交易消息,以开始安全的机顶盒交易。
智能卡20结合了数字加密签名与加密算法,以通过本地基础设施或远程基础设施使智能卡20在远程位置有效。本地基础设施包括广播系统与机顶盒10之间通过广播基础设施50的连接。相反,远程基础设施包括机顶盒10与回传路径主机服务器60之间通过通信基础设施的连接,其中,通常使用公认的密码系统确保通信基础设施安全。
密钥和证书驻留在回传路径主机服务器60/机顶盒10的安全模块(未示出)中,或驻留在智能卡20上,或临时地驻留在机顶盒10(因为这些机顶盒10未安装安全模块)上,一旦机顶盒10的电源关闭就删除密钥和证书。
使用相同或不同的智能卡安全域或卡域的密码系统来区分以下交易中的每一个:
对于TV商业/TV购物交易,使用“支付”命令来支付使用机顶盒10或通过借记、信贷、或储值支付系统定购的所选物品/服务。此外,发起“返利”命令以对持卡人5进行了安全的机顶盒交易进行返利(TV返利的一部分)。将挣得并累积的返利点安全地存储在智能卡20中,或存储在回传路径主机服务器60。
对于TV会员和TV返利安全机顶盒交易,发起“会员”命令,以执行会员交易。“查询”命令用于从会员提供商的主机服务器70请求会员信息,以提供特定持卡人5的会员详细资料,例如,剩余点数、偿还状态、以及特别报价。使用“返利”命令来管理TV返利点的累积。
对于TV代金券交易,“代金券”命令发起交易。“代金券下载”命令用于从第三方智能卡系统下载TV代金券信息。“上载”命令用于将信息通过机顶盒10和通信基础设施上载到第三方智能卡系统的主机服务器70。“充值”命令用于支付智能卡20上的货币信贷的所充的值,其随后被用于上载至第三方智能卡系统。“上载”命令用于将信贷信息上载到第三方智能卡系统中。
对于TV优惠券交易,“优惠券”命令用于将所选的TV优惠券从机顶盒10下载到智能卡20上。而“兑换(redeem)”命令用于将下载的安全TV优惠券兑换到机顶盒10。
对于TV预支付交易,“充值”命令用于支付智能卡20上的货币信贷所充的值(对于电信和公用事业公司)。它与“支付”命令相结合,以通过信贷、借记、或储值支付系统支付交易。
对于TV移动下载交易,“移动下载”命令用于从内容提供商的主机服务器70向移动电话/装置20进行移动下载。它与“支付”命令相结合,以通过信贷、借记、或储值支付系统支付交易。
对于TV政府,“查询”命令用于从政府机构的主机服务器70请求信息,以提供特定持卡人5的详细资料,例如,驾驶执照更新。它与“支付”命令相结合,以通过用于支付政府税收、罚款、和执照的信贷、借记、或储值支付系统支付交易。
对于TV卡管理,“后发行”命令用于通过与卡发行商/制造商的主机服务器70的连接,将新的/更新的应用程序后发行到智能卡中。
对于密钥管理,“打开”、“加载”、和“创建”命令的类似组合用于管理/分发智能卡20和机顶盒10上的密钥。
消息完整性
通常,加密用于认证/保密。但是,如果消息完整性同样重要,则密码系统用于通过应用密码功能(有时称为散列、校验和、或消息认证码(MAC))来封装消息。这种消息认证系统保护消息不被改变,从而保持了消息的完整性。将校验和的值与消息一起存储。每次存取或使用消息时,都重新计算校验和。如果计算/重新计算的校验和与所存储的值匹配,则消息很可能未被改变。因此,在消息传输期间,密码校验连同广播和通信基础设施都是防止消息篡改和失效的重要措施。
公共密钥和持卡人5的身份被一起绑定在之后由可信赖方80数字签名的证书中,从而保证了绑定的准确性/可信性。该数字签名是产生与真实签名相同效果的协议。它是仅能由发送方制造、但是其他人可以容易地识别出其属于该发送方的标记。
可信赖方80提供主机系统的各种安全组件,并且对主机服务器的公共密钥的副本进行加密或数字签名,签了名的副本同样存储在主机服务器/系统上。数字签名是用于分发证书的非常方便的方法。签名人拥有其自身证书的副本,并将该证书的副本附加到数字签名。签名人附加在确认其自身证书时可能需要的其它证书。例如,由另一可信赖方80发行的用于该签名人的可信赖方80的证书。
每个系统组件可以具有多于一组的证书:第一组证书与用于对信息进行解密和加密的第一组私人/私密密钥对相关。第二组证书与用于签名并对在系统之间传递的信息上的数字签名进行验证的第二组私人/私密密钥对相关。证书和/或密钥对的数量取决于使用智能卡20完成安全机顶盒交易所需的安全性等级。
副本保护
利用具有与机顶盒的条件接入系统11连接的唯一密码业务的智能卡20实现副本保护。这使持卡人5能够被授权,以通过“受副本保护”的机顶盒10来记录电影、按次付费(PPV)节目、或付费录制(PPT,pay-to-tape)节目。接入权(access right)存储在智能卡20上或在需要时通过连接至内容提供商的回传路径主机服务器70或回传路径主机服务器的安全通信基础设施下载。接入权需要费用,并且需要以某预定货币值对智能卡20进行充值。
对于副本保护,回传路径主机服务器连接至内容提供商的主机服务器,以授予持卡人5下载特定内容的接入权。除了存储在智能卡20上的数据之外,使用包含在内容提供商的主机服务器70中的信息对持卡人5进行认证。具体地,持卡人5进行提前注册处理,其中,持卡人5的详细资料存储在内容提供商的主机服务器70中。
对于副本保护,“核准”命令用于授予持卡人5下载特定内容的接入权。其与“支付”命令结合,以通过信贷、借记、或储值支付系统进行交易支付。
尽管已经参考特定的组合描述了安全层200、201、202、203、204、205,但是可以设想为了向持卡人5提供安全交互业务,安全层的任意组合都是可以的。
本领域的技术人员应该理解,在不背离如之前所广泛描述的本发明的范围或精神的情况下,可以对特定实施例中所示的本发明进行各种变化和/或改变。因此,应当认为所述实施例是为了全面描述而不是限制。
Claims (37)
1.一种交互式电视系统,用于通过由广播设备运行的广播基础设施向用户提供安全交互业务,所述系统包括:
数字接收装置,用于通过所述广播基础设施接收广播数据和与安全交互业务相关的数据,所述数字接收装置接收用户的移动装置;以及
回传路径主机服务器,用于提供从所述数字接收装置到所述广播设备的回传路径连接;
其中,通过检查所述用户是否具有使用所述数字接收装置的物理接入、检查是否已经授权所述用户接入使用所述安全交互业务、以及认证所述回传路径主机服务器和所述数字接收装置来确保与所述安全交互业务交互的安全。
2.根据权利要求1所述的系统,其中,通过使用所述移动装置的密钥对和应用协议数据单元(APDU)命令与由所述广播基础设施、所述数字接收装置、以及所述回传路径主机服务器组成的组中的任意一个进行通信,来进一步确保与所述安全交互业务交互的安全。
3.根据权利要求1所述的系统,其中,对于所述数字接收装置与所述回传路径主机服务器之间的通信,通过根据存储在所述移动装置上的数据验证所述数字接收装置或所述用户的身份,来进一步确保与所述安全交互业务交互的安全。
4.根据权利要求1所述的系统,其中,通过在准许接入所述安全交互业务之前验证所述用户的身份,进一步确保与所述安全交互业务交互的安全。
5.根据权利要求1所述的系统,其中,分散所述认证并将所述密钥对从所述回传路径主机服务器传送至所述数字接收装置,并由所述机顶盒处理所述密钥对。
6.根据权利要求1所述的系统,其中,集中所述认证并将所述密钥对从所述数字接收装置传送至所述回传路径主机服务器,并由所述回传路径主机服务器处理所述密钥对。
7.根据权利要求3所述的系统,其中,根据中央数据库来验证所述用户的身份。
8.根据权利要求4所述的系统,其中,通过输入所述用户的个人身份号码(PIN)、口令、或生物测定扫描来进行所述验证。
9.根据权利要求1所述的系统,其中,通过验证所述数字接收装置的条件接入标识来验证所述数字接收装置。
10.根据权利要求1所述的系统,其中,在所述移动装置上存储至少一个交互应用程序,以处理与所述安全交互业务相关的数据,并将响应数据传送给所述安全交互业务。
11.根据权利要求1所述的系统,其中,通过所述广播设备或第三方提供所述安全交互业务。
12.根据权利要求11所述的系统,其中,所述第三方包括金融机构、政府机构、或贸易商。
13.根据权利要求1所述的系统,其中,所述回传路径主机服务器与第三方主机服务器进行通信。
14.根据权利要求1所述的系统,其中,从由TV优惠券、TV预支付、TV移动下载、TV政府、TV支付交易、TV银行业务、TV商业、TV购物、TV卡管理、以及TV代金券组成的组中选择所述安全交互业务。
15.根据权利要求1所述的系统,还包括密钥和证书管理模块以及广播基础设施的安全密钥模块,用于管理并分配密钥和证书,所述密钥和证书用于对所述广播基础设施与所述数字接收装置之间、所述移动装置与所述数字接收装置之间、所述数字接收装置与所述回传路径主机服务器之间、以及所述回传路径主机服务器与所述第三方主机服务器之间的通信、消息、应用程序、以及数据进行加密/解密。
16.根据权利要求15所述的系统,其中,所述密钥是由激活密钥、支付密钥、后发行密钥、传输密钥、终端密钥、验证密钥、主机密钥、以及会员密钥组成的组中的任意一个。
17.根据权利要求1所述的系统,还包括副本保护模块,用于授权所述用户记录通过所述广播基础设施和所述数字接收装置广播的内容。
18.根据权利要求1所述的系统,还包括安全域,用于创建唯一的密码密钥,以确保所述移动装置与所述数字接收装置之间、所述数字接收装置与所述回传路径主机服务器之间、以及所述回传路径主机服务器与第三方主机服务器之间的安全通信。
19.根据权利要求18所述的系统,其中,在对称密码业务中,所述唯一的密码密钥仅使用单个密钥。
20.根据权利要求1所述的系统,其中,对于所述安全交互业务的每个会话,使用会话密钥对所述广播基础设施与所述数字接收装置之间、以及所述数字接收装置与所述回传路径主机服务器之间的通信进行加密。
21.根据权利要求20所述的系统,其中,所述会话密钥首先通过所述广播基础设施传送至所述数字接收装置,或者通过所述移动装置传送至所述数字接收装置,或者通过所述数字接收装置传送至所述回传路径主机服务器,或者通过所述回传路径主机服务器传送至所述数字接收装置,或者在所述回传路径主机服务器与第三方主机服务器之间传送。
22.根据权利要求1所述的系统,其中,从所述数字接收装置传送至所述回传路径主机服务器的消息被数字签名,以确保所述消息的完整性。
23.根据权利要求22所述的系统,其中,由可信赖方认证数字签名。
24.根据权利要求1所述的系统,其中,用与所述用户相关的信息对所述移动装置进行个人化,并且通过使用激活密钥的处理将所述移动装置激活以进行使用。
25.根据权利要求1所述的系统,其中,所述数字接收装置和所述智能卡根据相互认可的认证过程进行相互认证,以彼此进行安全通信。
26.根据权利要求25所述的系统,其中,所述用户输入个人身份号码(PIN)的口令,以能够接入存储在所述移动装置上的信息和所述安全交互业务。
27.根据权利要求25所述的系统,其中,设置生物测定系统,使得在所述用户的扫描生物测定数据与其存储在生物测定数据库中的记录相同的情况下,能够接入存储在所述移动装置上的信息和所述安全交互业务。
28.根据权利要求1所述的系统,其中,所述广播基础设施是卫星电视基础设施。
29.根据权利要求1所述的系统,其中,所述广播基础设施包括能够通过陆地信号、电缆、或无线系统承载数字信号或模拟信号的基础设施。
30.根据权利要求1所述的系统,其中,所述广播数据是电视广播。
31.根据权利要求1所述的系统,其中,所述数字接收装置是机顶盒、个人视频录像机(PVR)、或个人数字助理(PDA)。
32.根据权利要求1所述的系统,其中,所述用户的移动装置可连接至所述数字接收装置或嵌入到所述数字接收装置中。
33.根据权利要求1所述的系统,其中,所述移动装置与所述数字接收装置进行无线通信。
34.根据权利要求1所述的系统,其中,所述移动装置是诸如智能卡的基于芯片的卡。
35.根据权利要求1所述的系统,其中,所述移动装置是诸如个人装置助理(PDA)、掌上机、笔记本、可移动硬盘、拇指驱动、或移动电话的移动计算装置。
36.根据权利要求1所述的系统,其中,将与所述用户相关的身份信息存储在所述移动装置上,并通过所述数字接收装置读取。
37.根据权利要求36所述的系统,其中,至少将所述身份信息加密并从所述数字接收装置传送至所述回传路径主机服务器,以使所述用户能够与所述安全交互业务进行交互,并将来自基于与所述用户的交互的所述安全交互业务的响应通过所述广播基础设施传送至所述数字接收装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| MYPI20050053 | 2005-01-06 | ||
| MYPI20050053 | 2005-01-06 | ||
| PCT/SG2005/000096 WO2006031203A1 (en) | 2005-01-06 | 2005-03-24 | An interactive television system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101138242A true CN101138242A (zh) | 2008-03-05 |
Family
ID=34588158
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2005800489746A Pending CN101138242A (zh) | 2005-01-06 | 2005-03-24 | 交互式电视系统 |
Country Status (4)
| Country | Link |
|---|---|
| CN (1) | CN101138242A (zh) |
| AU (1) | AU2005285538A1 (zh) |
| GB (1) | GB2420208B (zh) |
| WO (1) | WO2006031203A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101827086A (zh) * | 2009-02-17 | 2010-09-08 | 柯尼卡美能达商用科技株式会社 | 网络设备及通信控制方法 |
| CN101860406A (zh) * | 2010-04-09 | 2010-10-13 | 北京创毅视讯科技有限公司 | 一种中央处理器、移动多媒体广播的装置、系统及方法 |
| CN102855563A (zh) * | 2012-07-24 | 2013-01-02 | 上海柯斯软件有限公司 | 基于机顶盒实现安全支付的系统及方法 |
| CN103200433A (zh) * | 2013-04-07 | 2013-07-10 | 四川长虹电器股份有限公司 | 可近距通讯的条件接收系统 |
| US8578426B2 (en) | 2008-09-10 | 2013-11-05 | Qualcomm Incorporated | Method and system for selecting media content for broadcast based on viewer preference indications |
| US8613026B2 (en) | 2008-09-10 | 2013-12-17 | Qualcomm Incorporated | Methods and systems for viewer interactivity and social networking in a mobile TV broadcast network |
| CN103747300A (zh) * | 2013-12-02 | 2014-04-23 | 中国传媒大学 | 一种支持移动终端的条件接收系统 |
| CN104247327A (zh) * | 2012-02-21 | 2014-12-24 | 密克罗奇普技术公司 | 使用密钥加密密钥的密码发射系统 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1945618A (zh) * | 2006-10-19 | 2007-04-11 | 华为技术有限公司 | 电视银行系统、电视银行系统中的各组成系统及方法 |
| GB0701250D0 (en) | 2007-01-23 | 2007-02-28 | Cabot Comm Ltd | A method of implementing an automated return channel using broadcast receiver apparatus |
| US9100548B2 (en) * | 2008-07-17 | 2015-08-04 | Cisco Technology, Inc. | Feature enablement at a communications terminal |
| CN102065092B (zh) * | 2010-12-31 | 2013-03-06 | 广东九联科技股份有限公司 | 一种机顶盒应用程序数字签名认证方法及其系统 |
| CN102149011B (zh) * | 2011-04-06 | 2013-09-18 | 北京视博数字电视科技有限公司 | 一种基于数字电视智能卡的数字电视支付方法及系统 |
| CN112788369A (zh) * | 2021-02-02 | 2021-05-11 | 江苏省广电有线信息网络股份有限公司无锡分公司 | 一种基于机顶盒的商品推送方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2226746C2 (ru) * | 1997-03-21 | 2004-04-10 | КАНАЛЬ+ Сосьетэ Аноним | Система вещания и приема, а также приемник/декодер и устройство дистанционного управления для него |
| IL121862A (en) * | 1997-09-29 | 2005-07-25 | Nds Ltd West Drayton | Distributed ird system for pay television systems |
| US6607136B1 (en) * | 1998-09-16 | 2003-08-19 | Beepcard Inc. | Physical presence digital authentication system |
| US8818871B2 (en) * | 2001-06-21 | 2014-08-26 | Thomson Licensing | Method and system for electronic purchases using an intelligent data carrier medium, electronic coupon system, and interactive TV infrastructure |
| US20030028883A1 (en) * | 2001-07-30 | 2003-02-06 | Digeo, Inc. | System and method for using user-specific information to configure and enable functions in remote control, broadcast and interactive systems |
| US6865555B2 (en) * | 2001-11-21 | 2005-03-08 | Digeo, Inc. | System and method for providing conditional access to digital content |
| SE0203493D0 (sv) * | 2002-11-26 | 2002-11-26 | Kianoush Namvar | Interactive Media Communication |
-
2005
- 2005-03-24 AU AU2005285538A patent/AU2005285538A1/en not_active Abandoned
- 2005-03-24 WO PCT/SG2005/000096 patent/WO2006031203A1/en not_active Ceased
- 2005-03-24 CN CNA2005800489746A patent/CN101138242A/zh active Pending
- 2005-04-01 GB GB0506692A patent/GB2420208B/en not_active Expired - Fee Related
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8578426B2 (en) | 2008-09-10 | 2013-11-05 | Qualcomm Incorporated | Method and system for selecting media content for broadcast based on viewer preference indications |
| US8613026B2 (en) | 2008-09-10 | 2013-12-17 | Qualcomm Incorporated | Methods and systems for viewer interactivity and social networking in a mobile TV broadcast network |
| CN102210163B (zh) * | 2008-09-10 | 2014-09-17 | 高通股份有限公司 | 用于在移动广播网络中实现互动的方法和系统 |
| CN101827086A (zh) * | 2009-02-17 | 2010-09-08 | 柯尼卡美能达商用科技株式会社 | 网络设备及通信控制方法 |
| CN101860406A (zh) * | 2010-04-09 | 2010-10-13 | 北京创毅视讯科技有限公司 | 一种中央处理器、移动多媒体广播的装置、系统及方法 |
| CN101860406B (zh) * | 2010-04-09 | 2014-05-21 | 北京创毅视讯科技有限公司 | 一种中央处理器、移动多媒体广播的装置、系统及方法 |
| CN104247327A (zh) * | 2012-02-21 | 2014-12-24 | 密克罗奇普技术公司 | 使用密钥加密密钥的密码发射系统 |
| CN102855563A (zh) * | 2012-07-24 | 2013-01-02 | 上海柯斯软件有限公司 | 基于机顶盒实现安全支付的系统及方法 |
| CN102855563B (zh) * | 2012-07-24 | 2016-03-09 | 上海柯斯软件股份有限公司 | 基于机顶盒实现安全支付的系统及方法 |
| CN103200433A (zh) * | 2013-04-07 | 2013-07-10 | 四川长虹电器股份有限公司 | 可近距通讯的条件接收系统 |
| CN103747300A (zh) * | 2013-12-02 | 2014-04-23 | 中国传媒大学 | 一种支持移动终端的条件接收系统 |
| CN103747300B (zh) * | 2013-12-02 | 2018-06-29 | 中国传媒大学 | 一种支持移动终端的条件接收系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2006031203A1 (en) | 2006-03-23 |
| AU2005285538A1 (en) | 2006-03-23 |
| GB0506692D0 (en) | 2005-05-11 |
| GB2420208B (en) | 2007-02-28 |
| GB2420208A (en) | 2006-05-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11068883B2 (en) | Apparatus and methods for secure element transactions and management of assets | |
| CA3033654C (en) | Cryptographic authentication and tokenized transactions | |
| US7357309B2 (en) | EMV transactions in mobile terminals | |
| US5590197A (en) | Electronic payment system and method | |
| JP3802074B2 (ja) | 携帯可能な身分証明要素でのトランザクション方法 | |
| US20190347661A1 (en) | Coordinator managed payments | |
| US20040070566A1 (en) | Card present network transactions | |
| WO2003044710A1 (en) | Apparatus, method and system for payment using a mobile device | |
| CN101770619A (zh) | 一种用于网上支付的多因子认证方法和认证系统 | |
| CN101138242A (zh) | 交互式电视系统 | |
| US11812260B2 (en) | Secure offline mobile interactions | |
| CN101223729B (zh) | 对移动支付设备进行更新 | |
| KR100834582B1 (ko) | 결제처리 시스템 | |
| HK1109985A (zh) | 交互式电视系统 | |
| KR100738207B1 (ko) | 현금지급 처리 시스템과 이를 위한 금융 자동화 기기와 프로그램 기록매체 | |
| KR20080003303A (ko) | 공인 인증 정보를 이용한 결제 시스템 | |
| KR20080003302A (ko) | 결제 처리 장치 | |
| KR20080010476A (ko) | 결제처리방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1109985 Country of ref document: HK |
|
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080305 |
|
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1109985 Country of ref document: HK |