用户授权方法及其授权系统

1.一种用户授权方法，其特征在于，包括步骤：
(1)针对每个用户端分别设置前端和用户端共享的具有生存期的动态个 人密钥；
(2)检查所述动态个人密钥的生存期是否到达，如果是继续步骤(3)；否 则转至步骤(4)；
(3)更新生存期到达的所述动态个人密钥后返回步骤(2)；
(4)前端基于所述动态个人密钥对传输流实施加密、加扰及授权处理，用 户端基于所述动态个人密钥对加扰传输流实施解密及解扰处理。
2.根据权利要求1所述的用户授权方法，其特征在于，所述步骤(2)中以 周期规律检查动态个人密钥的生存期。
3.根据权利要求1所述的用户授权方法，其特征在于，所述步骤(2)具体 包括如下步骤：
(21)设置一固定时长值；
(22)判断当前检测时间点距动态个人密钥生存期到达时间点的时长值是否 小于所述固定时长值，如果是，判定动态个人密钥的生存期已到达； 否则判定未到达。
4.根据权利要求1所述的用户授权方法，其特征在于，所述步骤(3)在更 新动态个人密钥之前还包括对动态个人密钥生存期到达的用户端进行身份认 证的步骤，如果认证通过继续更新动态个人密钥处理，否则结束。
5.根据权利要求4所述的用户授权方法，其特征在于，所述步骤(2)中检 查动态个人密钥的生存期是由前端完成。
6.根据权利要求5所述的用户授权方法，其特征在于，所述步骤(3)对动 态个人密钥生存期到达的用户端进行身份认证的过程具体包括步骤：
(31)所述前端发送认证指示命令到动态个人密钥生存期到达的用户端，指 示用户端到前端进行身份认证；
(32)用户端将自身标识信息上传到前端；
(33)前端根据用户端的标识信息对用户端进行身份认证。
7.根据权利要求6所述的用户授权方法，其特征在于，所述步骤(31)之前 还包括前端判断动态个人密钥生存期到达的用户端是否在线的步骤。
8.根据权利要求4所述的用户授权方法，其特征在于，所述步骤(2)中检 查动态个人密钥的生存期由用户端完成。
9.根据权利要求8所述的用户授权方法，其特征在于，所述步骤(3)对动 态个人密钥生存期到达的用户端进行身份认证的过程具体包括步骤：
(3a)动态个人密钥生存期到达的用户端将自身标识信息上传到广播电视网 前端；
(3b)前端根据用户端的标识信息对用户端进行身份认证。
10.根据权利要求1所述的用户授权方法，其特征在于，所述步骤(3)更新 动态个人密钥的过程具体包括：
(3-1)前端利用与用户端共享的个人分配密钥对更新的动态个人密钥进行加 密后下发给用户端；
(3-2)用户端利用用户身份识别模块中存储的个人分配密钥对加密的动态个 人密钥数据进行解密，得到更新的动态个人密钥。
11.根据权利要求10所述的用户授权方法，其特征在于，所述步骤(3-1)中 广播电视网前端将加密后的动态个人密钥数据通过有线通信网的有线传输线 路或无线通信网的无线传输线路下发到用户端。
12.根据权利要求6或9所述的用户授权方法，其特征在于，所述用户端标 识信息包括：
用户端机顶盒的ID标识信息；或
用户端用户身份识别模块中存储的用户身份标识信息；或
用户端机顶盒ID标识信息和用户端用户身份识别模块中存储的用户身份标识 信息的绑定关系。
13.根据权利要求1所述的用户授权方法，其特征在于，
步骤(4)中所述基于动态个人密钥对传输流实施加密、加扰及授权处理 的过程具体包括：
(41)所述前端使用控制字对传输流进行加扰处理；
(42)使用业务密钥对控制字进行加密处理，得到授权控制信息；
(43)使用动态个人密钥对业务密钥进行加密处理，得到授权管理信息；
(44)将授权控制信息和授权管理信息复用到传输流中下发到用户端；
所述基于动态个人密钥对加扰传输流实施解密及解扰处理的过程具体包 括：
(45)所述用户端使用动态个人密钥对授权管理信息进行解密处理，得到 业务密钥；
(46)使用业务密钥对授权控制信息进行解密处理，得到控制字；
(47)使用控制字对加扰传输流进行解扰处理。
14.一种用户授权系统，包括用于广播节目流的前端和用于接收节目流的用 户端，所述用户端包括用于处理节目流信息的机顶盒和用于存储用户授权数 据的用户身份识别模块，其特征在于，所述的系统还包括：
在所述用户端设置有与机顶盒连接的双向通信模块，用于检测针对每个 用户端分别预置的、具有生存期的动态个人密钥是否到期；用于将用户端标 识信息上传到所述前端，并用于接收前端发来的更新的用户授权数据；
在所述前端设置有认证服务器，与所述双向通信模块通过双向传输线路 连接，用于检测针对每个用户端分别预置的、具有生存期的动态个人密钥是 否到期，根据用户端上传的标识信息对用户端进行身份认证处理，并在认证 通过后更新用户端的用户授权数据，并将更新的用户授权数据发送到用户端 的双向通信模块；
在所述前端设置有与双向通信模块连接的加密加扰模块，用于基于所述 动态个人密钥对传输流实施加密、加扰及授权处理；
在所述用户端设置有与机顶盒连接的解密解扰模块，用于基于所述动态 个人密钥对加扰传输流实施解密及解扰处理。
15.根据权利要求14所述的用户授权系统，其特征在于，所述双向通信模块 通过设置在机顶盒内部实现与机顶盒的连接。
16.根据权利要求14所述的用户授权系统，其特征在于，
所述双向通信模块为无线通信模块，通过无线通信网的无线传输线路与 所述认证服务器连接；或
所述双向通信模块为有线通信模块，通过有线通信网的有线传输线路与 所述认证服务器连接。

技术领域\n本发明涉及广播电视领域的有线电视技术，尤其涉及一种用户授权方法 及其授权系统。\n背景技术\n目前，随着广播电视系统面向数字化、产业化的发展，用户为自身收看 的电视节目内容进行付费已成为这一发展的必然，而要实现用户为自身收看 的电视节目内容进行付费的目的，首要解决的技术问题是应该对收看电视节 目的用户进行有效管理。\n条件接收系统(CAS，Conditional Access System)就是在现有广播电视网 中实施的用于对用户进行有效管理的方式之一，而由CAS技术实现的对用户 进行管理的主要过程如下：\n广播电视网的前端(HE，Head End)对要发送给用户的电视节目数据进 行加扰处理，然后再对用户能够收看的节目进行授权，并且授权处理后的授 权数据还要进行加密处理后才能传送到最终用户端；\n用户端接收到电视节目后，只有合法用户才能对加密处理的授权数据进 行解密，得到相应的授权数据，然后使用授权数据对加扰处理的电视节目进 行解扰处理，以正常收看电视节目；而非法用户或者没有正常接收到自身授 权数据的用户由于无法对加扰处理的电视节目进行解扰，因此就不能正常收 看电视节目，这样就到达了对用户收看的电视节目内容进行控制和管理的目 的，进而驱使用户为自己所收看的电视节目内容进行付费。\n参照图1，该图是现有技术在广播电视网中实现对电视节目进行加解扰及 加解密处理的原理示意图；其对电视节目数据进行加解扰处理及加解密处理 的过程如下：\n在广播电视网的前端HE 10中进行如下操作：\n1)电视节目在播出前，加扰器使用控制字(CW，Control Words)对电 视节目数据复用处理后传输流(TS，Transport Stream)进行加扰处理，可以 表示为：\nTS+CW-＞TS’；\n2)CAS技术的核心实际上是对控制字CW的传输进行控制，因此在前端 HE 10中还要使用业务密钥(SK，Service Key)对控制字CW进行加密处理， 形成授权控制信息(ECM，Entitlement Control Message)，可以表示为：\nCW+SK-＞ECM；\n其中由业务密钥SK加密处理后的控制字CW封装在ECM中传送，其中 ECM中还包括节目来源、内容分类和节目收费价格等信息；\n3)前端HE 10再根据用户注册时的授权信息，使用用户的个人分配密钥 (PDK，Personal Distribute Keyword)对业务密钥SK进行加密处理，形成授 权管理信息(EMM，Entitlement Management Message)，可以表示为：\nSK+PDK-＞EMM；\n其中由个人分配密钥PDK加密处理的业务密钥SK封装在EMM中传送， EMM中还包括接收方地址信息、用户授权信息和用户可以收看的电视节目时 间段信息等。\n其中上述的EMM数据主要针对用户而生成，ECM数据主要针对电视节 目数据而生成，生成的EMM数据和ECM数据与电视节目数据一起复用在传 输流TS里通过光纤同轴混合有线电视网络(HFC，Hybrid Fiber-Coaxial)传 输到用户端。\n用户端的机顶盒(STB，Set-Top Box)20接收到广播电视网的前端HE 10 发来的传输流TS后，使用智能卡(Smart Card)中存有的用户注册授权数据 对传输流TS进行如下的解密及解扰处理：\n4)STB 20从传输流TS中过滤出ECM数据和EMM数据；\n5)通过智能卡的接口将ECM数据和EMM数据送到智能卡内部；\n6)智能卡读取自身存有的授权数据中的个人分配密钥PDK，利用PDK 对EMM数据进行解密，得到业务密钥SK，可以表示为：\nEMM+PDK-＞SK；\n7)智能卡利用得到的业务密钥SK对ECM数据进行解码，得到控制字 CW，可以表示为：\nECM+SK-＞CW；\n智能卡将得到的CW通过相应接口发送给STB的解扰引擎；\n8)机顶盒STB 20的解扰引擎利用控制字CW对进行了加扰处理的传输 流TS进行解扰处理，以得到电视节目数据的明文形式，可以表示为：\nTS’+CW-＞TS；\n解扰处理后的节目数据经过解复用和解调等处理后，就可以恢复出原始 的音视频图像信息，以播放给用户进行收看。\n由此可见，上述使用CAS技术能够实现对电视节目数据进行加解密及加 解扰处理，以驱使用户对自身收看的电视节目进行付费，从而实现了使广播 电视运营商能够为自身提供的业务进行合理性收费的目的。\n但是由于在用户端，用户的授权数据(最主要的是个人分配密钥PDK) 都保存在用户手持的智能卡中，这样就容易导致在经济利益的驱使下，不法 分子可以采用各种方法对合法用户手持的智能卡进行克隆(包括对个人分配 密钥PDK的复制)，再通过非法渠道大量出售克隆的智能卡以牟取暴利，从 而导致了广播电视运营商大量客户的流失，造成了不可估量的经济损失。\n因为传统的广播电视系统是一个单向传输的广播网络，广播电视运营商 根本无法获知用户是否在线的情况，因此就无法对用户身份的合法性与唯一 性进行鉴权，所以即使大量持有非法智能卡的身份信息相同的用户同时在线 收看电视节目，运营商也无能为力。\n目前，广播电视运营商为防止非法用户对智能卡进行克隆，提供了两种 处理措施：\n第一，加强智能卡本身的物理安全，以降低智能卡被克隆的可能性，但 是这种方式必将会增加智能卡的烧制成本；\n第二，在发现智能卡被克隆后及时进行智能卡升级处理，即更换智能卡 中存储的用户授权数据(最主要是更换个人分配密钥PDK)，以使非法用户克 隆的智能卡在进行了智能卡升级处理后，不能再正常使用。但是这种处理方 式却面临着即使一张智能卡被克隆，广播电视运营商也要将整个系统中的所 有智能卡全部进行升级处理，并更换全部用户端的智能卡，其主要原因在于 运营商并不太容易知道哪些智能卡被克隆了，而哪些智能卡没有被克隆；其 次即使只有一张智能卡被克隆，则其他智能卡也存在被克隆的可能性，因此 必须更换整个智能卡系统才能避免这种风险。但是如果更换整个系统的所有 智能卡，也同样会增加运营商为升级所有智能卡而带来的经济损失。\n发明内容\n本发明提出一种用户授权方法及其授权系统，以解决现有广播电视系统 中因授权技术的不完善而存在的大量非法用户使用克隆智能卡收看电视节目 的问题。\n为解决上述问题，本发明提出了一种用户授权方法，包括步骤：\n(1)设置前端和用户端共享的具有生存期的动态个人密钥；\n(2)检查所述动态个人密钥的生存期是否到达，如果是继续步骤(3)；否 则转至步骤(4)；\n(3)更新生存期到达的所述动态个人密钥后返回步骤(2)；\n(4)前端基于所述动态个人密钥对传输流实施加密、加扰及授权处理，用 户端基于所述动态个人密钥对加扰传输流实施解密及解扰处理。\n所述步骤(2)中以周期规律检查动态个人密钥的生存期。\n所述步骤(2)具体包括如下步骤：\n(21)设置一固定时长值；\n(22)判断当前检测时间点距动态个人密钥生存期到达时间点的时长值是否 小于所述固定时长值，如果是，判定动态个人密钥的生存期已到达；\n否则判定未到达。\n所述步骤(3)在更新动态个人密钥之前还包括对动态个人密钥生存期到 达的用户端进行身份认证的步骤，如果认证通过继续更新动态个人密钥处理， 否则结束。\n所述步骤(2)中检查动态个人密钥的生存期是由前端完成。\n所述步骤(3)对动态个人密钥生存期到达的用户端进行身份认证的过程 具体包括步骤：\n(31)所述前端发送认证指示命令到动态个人密钥生存期到达的用户端，指 示用户端到前端进行身份认证；\n(32)用户端将自身标识信息上传到前端；\n(33)前端根据用户端的标识信息对用户端进行身份认证。\n所述步骤(31)之前还包括前端判断动态个人密钥生存期到达的用户端 是否在线的步骤。\n所述步骤(2)中检查动态个人密钥的生存期由用户端完成。\n所述步骤(3)对动态个人密钥生存期到达的用户端进行身份认证的过程 具体包括步骤：\n(3a)动态个人密钥生存期到达的用户端将自身标识信息上传到广播电视网 前端；\n(3b)前端根据用户端的标识信息对用户端进行身份认证。\n所述步骤(3)更新动态个人密钥的过程具体包括：\n(3-1)前端利用与用户端共享的个人分配密钥对更新的动态个人密钥进行加 密后下发给用户端；\n(3-2)用户端利用用户身份识别模块中存储的个人分配密钥对加密的动态个 人密钥数据进行解密，得到更新的动态个人密钥。\n所述步骤(3-1)中广播电视网前端将加密后的动态个人密钥数据通过有 线通信网的有线传输线路或无线通信网的无线传输线路下发到用户端。\n所述用户端标识信息包括：\n用户端机顶盒的ID标识信息；或\n用户端用户身份识别模块中存储的用户身份标识信息；或\n用户端机顶盒ID标识信息和用户端用户身份识别模块中存储的用户身份 标识信息的绑定关系。\n其中步骤(4)中所述基于动态个人密钥对传输流实施加密、加扰及授权 处理的过程具体包括：\n(41)所述前端使用控制字对传输流进行加扰处理；\n(42)使用业务密钥对控制字进行加密处理，得到授权控制信息；\n(43)使用动态个人密钥对业务密钥进行加密处理，得到授权管理信息；\n(44)将授权控制信息和授权管理信息复用到传输流中下发到用户端；\n所述基于动态个人密钥对加扰传输流实施解密及解扰处理的过程具体包 括：\n(45)所述用户端使用动态个人密钥对授权管理信息进行解密处理，得到 业务密钥；\n(46)使用业务密钥对授权控制信息进行解密处理，得到控制字；\n(47)使用控制字对加扰传输流进行解扰处理。\n相应地，本发明还提出了一种用户授权系统，包括用于广播节目流的前 端和用于接收节目流的用户端，所述用户端包括用于处理节目流信息的机顶 盒和用于存储用户授权数据的用户身份识别模块，所述的系统还包括：\n在所述用户端设置有与机顶盒连接的双向通信模块，用于检测针对每个 用户端分别预置的、具有生存期的动态个人密钥是否到期；用于将用户端标 识信息上传到所述前端，并用于接收前端发来的更新的用户授权数据；\n在所述前端设置有认证服务器，与所述双向通信模块通过双向传输线路 连接，用于检测针对每个用户端分别预置的、具有生存期的动态个人密钥是 否到期，用于根据用户端上传的标识信息对用户端进行身份认证处理，并在 认证通过后更新用户端的用户授权数据，并将更新的用户授权数据发送到用 户端的双向通信模块；\n在所述前端设置有与双向通信模块连接的加密加扰模块，用于基于所述 动态个人密钥对传输流实施加密、加扰及授权处理；\n在所述用户端设置有与机顶盒连接的解密解扰模块，用于基于所述动态 个人密钥对加扰传输流实施解密及解扰处理。\n所述双向通信模块通过设置在机顶盒内部实现与机顶盒的连接。\n所述双向通信模块为无线通信模块，通过无线通信网的无线传输线路与 所述认证服务器连接；或\n所述双向通信模块为有线通信模块，通过有线通信网的有线传输线路与 所述认证服务器连接。\n本发明能够到达如下有益效果：\n由于本发明基于广播电视网的用户授权方法通过在前端和用户端分别设 置动态个人密钥，前端和用户端基于动态个人密钥对传输流实施加解密及加 解扰处理，并在动态个人密钥的生存期到达时，及时对动态个人密钥进行更 新，这样由于动态个人密钥的定时更新就可以限制非法用户克隆智能卡的有 效时间，为非法用户克隆智能卡带来了操作难度，从而降低了非法用户使用 克隆智能卡收看电视节目的机率，同时降低了运营商为维护智能卡所造成的 经济损失。\n同时，由于本发明基于广播电视网的用户授权系统在用户端设置有双向 通信模块，同时在前端设置有认证服务器，认证服务器和双向通信模块之间 通过双向传输线路连接，这样可以实现广播电视网前端和用户端双方之间相 互传递用户端标识信息和动态更新的用户授权数据，从而为前端动态更新用 户端的用户授权数据提供了平台，因此降低了非法用户使用克隆智能卡收看 电视节目的机率，并降低了运营商为维护智能卡所造成的经济损失。\n附图说明\n图1是现有技术在广播电视网中实现对电视节目进行加解扰及加解密处 理的原理示意图；\n图2是本发明基于广播电视网的用户授权系统的基本组成结构框图；\n图3是本发明基于广播电视网的用户授权方法的基本实现原理流程图；\n图4是在本发明基于广播电视网的用户授权方法中，由前端发起的对用 户端进行身份认证处理的过程示意图；\n图5是在本发明基于广播电视网的用户授权方法中，由用户端发起的对 用户端进行身份认证处理的过程示意图。\n具体实施方式\n本发明基于广播电视网的用户授权方法及其授权系统的设计思想是：能 够在广播电视网络正常运营过程中，以一种用户不可察觉的方式更换智能卡 (智能卡只是用户身份识别模块中的一种特例，为了说明本发明要求的保护 范围，下面以用户身份识别模块进行说明，其中现有技术中已存在的智能卡 是这里所述的用户身份识别模块中的一种典型的例子)中保存的用户授权数 据，从而减少非法分子克隆用户身份识别模块所带来的非法经济利益，并降 低广播电视网络运营商为维护整个用户身份识别模块系统而造成的经济损 失。但是本发明基于广播电视网的用户授权方法及其授权系统只是相对现有 技术而言，能够减少非法用户克隆用户身份识别模块的机率，而并不能从根 本上杜绝用户身份识别模块被非法克隆的可能性。\n下面首先结合附图对本发明提出的基于广播电视网的用户授权系统的基 本原理进行详细阐述。参照图2，该图是本发明基于广播电视网的用户授权系 统的基本组成结构框图，其中用户授权系统的工作原理如下：\n由于目前的广播电视网是由用于广播节目流的前端HE 2和用于接收节目 流的用户端所组成的，其中用户端一般包括用于处理节目流信息的机顶盒4 和用于存储用户授权数据和用户身份标识信息的用户身份识别模块5，而目前 广播电视网的工作模式都是由前端HE 2通过广播信道单向对所有用户端来进 行广播节目流信息的，而用户端并不能通过广播信道向前端HE 2来发送反向 通信信息，因此为增加广播电视网的前端HE 2和用户端之间的双向认证功能， 需作如下设置：\n在用户端设置一个与机顶盒4连接的双向通信模块3，以用于将用户端标 识信息上传到前端HE 2，同时还用于接收前端HE 2发来的更新的用户授权 数据；其中双向通信模块3可以通过设置在机顶盒4的内部来实现与机顶盒4 的连接，这样就会构成一个带交互通信模块功能的机顶盒；当然双向通信模 块3也可以通过设置在机顶盒4的外部来实现与机顶盒4的外置连接；\n同时在广播电视网的前端HE 2设置一个认证服务器1，该设置的认证服 务器1与用户端侧的双向通信模块3之间通过双向传输线路进行连接，其用 于根据用户端上传的标识信息对用户端进行身份认证处理，并在认证通过后 更新用户端的用户授权数据，并将更新的用户授权数据发送到用户端的双向 通信模块3。\n其中用于连接广播电视网前端设置的认证服务器1和用户端机顶盒4处 设置的双向通信模块3的双向传输线路的物理形态可以为无线传输线路，如 为GSM通信网中的无线传输信道或为3G通信网中的无线传输信道等，这时 双向通信模块3为具有无线通信功能的无线通信模块；也可以为有线传输线 路，如为PSTN通信网中的有线传输信道或为广播电视网中的有线传输信道 (即Cable信道)等，这时双向通信模块3就为有线通信模块。\n基于上述在广播电视网上建立的用户授权系统，广播电视网前端HE 2就 可以通过单向广播信道单向广播传输流TS到所有用户端的机顶盒4，而用户 端需要到前端HE 2进行身份认证时，就可以通过设置的双向通信模块3将自 身的标识信息通过双向传输线路上传到前端HE 2侧的认证服务器1，由认证 服务器1对用户端的身份合法性进行认证，并在用户端身份认证通过后，将 对其更新的用户授权数据通过认证服务器1和双向通信模块3之间的双先传 输线路下发到用户端侧的双向通信模块3，用户端根据双向通信模块3接收的 更新后的用户授权数据来实现对自身用户授权数据的更新。\n相应地，本发明还提出了一种基于广播电视网的用户授权方法，下面结 合附图对本发明基于广播电视网的用户授权方法的基本实现原理进行详细阐 述。参照图3，该图是本发明基于广播电视网的用户授权方法的基本实现原理 流程图；其基本实现过程如下：\n步骤S10，设置具有生存期的动态个人密钥(DPK，Dynamic Personal Key)，即广播电视网的前端为每个用户分别设置一个DPK，其中DPK是有 生存期的，需要在其生存一段时间后对其进行更新处理；其中为每个用户设 置的DPK，前端和用户端都共享这个DPK，即针对每一用户，前端存有为该 用户设置的DPK，用户端也存有该设置的DPK，一般用户端会将该设置的 DPK存放在自身携带的用户身份识别模块中。\n步骤S20，检测每个用户的DPK是否到达其生存期，其中可以采取周期 规律对每个用户的DPK生存期进行检查，如果某个用户的DPK到达了其生 存期，执行步骤S30；否则执行步骤S60；其中判断每个DPK是否到达其生 存期的方法可以采取如下方式：\n1)预先设置一个固定时长值(如1小时)；\n2)判断当前检测时间点距动态个人密钥DPK生存期到达时间点的时长 值是否小于1)中设置的固定时长值，如果是，则可以判定动态个人密钥DPK 的生存期已到达；否则可以判定DPK的生存期未到达(其中当前检测时间点 可以在DPK生存期到达时间点的前面，也可以在到达时间点的后面，即在检 测DPK生存期时，其DPK可能即将到达生存期或已经到达了生存期)。\n另外，根据具体情况，可以选择由广播电视网的前端来检查每个DPK的 生存期；也可以选择由广播电视网的用户端来检查每个DPK的生存期。\n步骤S30，广播电视网的前端对DPK生存期到达的用户端进行身份认证， 一般情况下，前端可以通过对用户端的ID标识信息进行认证，来判断用户端 的身份是否合法，如前端可以通过对用户端机顶盒的ID标识信息进行认证， 来判定用户端是否为合法用户；也可以通过对用户端用户身份识别模块中存 储的用户身份标识信息进行认证，来判定用户端是否为合法用户；当然更为 安全的认证方式是前端通过认证用户端的机顶盒ID标识信息和用户身份识别 模块中存储的用户身份标识信息的绑定关系，来判断用户端是否为合法用户。\n步骤S40，如果前端对用户端进行身份认证通过，执行步骤S50，否则结 束，执行下一次的DPK生存期检测。\n步骤S50，广播电视网前端更新生存期已经到达的DPK后，到达结束程 序，等待执行下一次的DPK生存期检测。其中广播电视网前端对到达生存期 的DPK进行更新的过程如下：\na.前端利用与用户端共享的个人分配密钥PDK(其中PDK是在用户入 网注册时，由网络运营商为其分配的静态个人授权数据，PDK也分别保存在 前端和用户端手持的用户身份识别模块中)对更新后的动态个人密钥DPK进 行加密处理后下发给用户端；\nb.用户端接收到a中的加密数据后，利用自身用户身份识别模块中存储 的个人分配密钥PDK对加密的动态个人密钥数据进行解密处理，得到更新后 的动态个人密钥DPK。\n利用这种方式传输更新的DPK，可以保证更新的DPK的安全性，其中加 密处理的DPK数据可以选择通过有线通信网的有线传输线路或者无线通信网 的无线传输线路来传输下发到用户端，这样其安全性也会得到较好的保证； 当然也可以选择使用广播信道(Cable信道)来传输下发加密处理后的DPK 数据到用户端，但是这样传输数据的安全性保证会稍差一些。\n步骤S60，广播电视网前端基于动态个人密钥DPK对传输流TS实施加 密、加扰及授权处理，对应地用户端基于该共享的动态个人密钥DPK对前端 通过广播信道下发的加扰传输流TS实施解密及解扰处理，以得到解扰后的 TS，然后用户端的机顶盒对解扰处理的TS进行解复用及解码等处理，以显示 给用户观看，然后到达结束程序，等待执行下一次的DPK生存期检测。\n其中广播电视网前端基于动态个人密钥DPK对要发送到用户端机顶盒的 传输流TS实施加密、加扰及授权处理的过程如下：\nA、广播电视网前端使用控制字CW对传输流TS进行加扰处理，得到加 扰传输流TS’；可以表示为：TS+CW-＞TS’；\nB、前端再使用业务密钥SK对控制字CW进行加密处理，得到授权控制 信息ECM，可以表示为：CW+SK-＞ECM；\nC、前端再使用动态个人密钥DPK对业务密钥SK进行加密处理，得到 授权管理信息EMM，可以表示为：SK+DPK-＞EMM；\n步骤S70，相应地，广播电视网用户端基于动态个人密钥DPK对接收的 加扰传输流TS’实施解密及解扰处理的过程如下：\nD、用户端将接收到的ECM和EMM数据发送到用户身份识别模块中， 用户身份识别模块通过自身存储的DPK对EMM进行解密，得到SK，可以 表示为：EMM+DPK-＞SK；\nE、用户端的用户身份识别模块利用得到的SK对ECM进行解密，得到 CW，可以表示为：ECM+SK-＞CW；\nF、用户端的用户身份识别模块将得到的CW反馈给用户端的机顶盒，机 顶盒中的解扰引擎利用得到的CW对加扰传输流TS’实施解扰处理，得到传输 流TS，可以表示为：TS’+CW-＞TS。\n由上述可见，本发明基于广播电视网的用户授权方法是在传统CAS三层 加密的体系下，增加了一层动态个人密钥(DPK)作为工作密钥，同时按照 一定的有效期限制与更新策略对这个工作密钥进行更新，从而完成了对用户 身份识别模块中存储的用户授权数据的更新；在双向传输线路传递DPK的时 候再利用用户的个人分配密钥(PDK)对其进行加密，即密钥体系变为四层， 如下：\nTS+CW-＞TS’\nCW+SK-＞ECM\nSK+DPK-＞EMM\n这三层加密体制用于传输流的加密及加扰处理；\nDPK+PDK-＞EMM2\n这层加密体制用于动态个人密钥DPK更新传输时的加密处理，其中 EMM2优选使用双向传输线路进行传输。\n其中由广播电视网前端对用户端进行身份认证的过程可以由前端发起， 也可以由用户端发起，下面对这两种情况进行详细说明。\n参照图4，该图是在本发明基于广播电视网的用户授权方法中，由前端发 起的对用户端进行身份认证处理的过程示意图；其处理过程如下：\n步骤S100，广播电视网的前端检测下一个用户的DPK生存期，其中对于 初始状态，该下一个用户即为第一个用户，后续逐一对每一用户端的DPK进 行生存期检查处理，其中可以采用周期规律对每一用户端的DPK进行一次轮 回检查操作；\n步骤S110，前端判断检测的该用户的DPK生存期是否到达，如果是，执 行步骤S130，否则执行步骤S120；\n步骤S120，前端再次判断检测的该用户的DPK距离其生存期的到达是否 小于1小时，如果是执行步骤S130，否则转至执行步骤S195；\n步骤S130，前端再判断该DPK已到达其生存期的用户是否在线，如果在 线，执行步骤S140；否则转至执行步骤S195；其中判断DPK已到达生存期 的用户是否在线的实现方式如下：\n前端对上次认证通过的用户，将默认这个用户是在线用户，并为每一个 用户保存一个关于是否在线的状态变量，直到下次认证过程用户端无响应或 者认证失败，前端将认定当前用户为离线状态。\n步骤S140，前端发送认证指示命令到DPK生存期已到达的该用户端；\n步骤S150，该用户端接收到前端发来的认证指示命令后，将自身的标识 信息通过双向传输线路上传到前端，其中用户端上传的标识信息可以为用户 端机顶盒的ID标识信息，也可以为用户端用户身份识别模块中存储的用户身 份标识信息，也可以为机顶盒ID标识信息和用户身份识别模块中存储的用户 身份标识信息的绑定关系；\n步骤S160，前端根据该用户端发来的标识信息，采用认证服务器对其身 份进行认证处理；\n步骤S170，前端根据步骤S160的认证结果，判断该用户端的身份认证是 否通过，如果认证通过执行步骤S180，否则转至执行步骤S195；\n步骤S180，前端对生存期到达的DPK进行更新，并用前端和用户端共享 的PDK对更新后的DPK进行加密处理，即DPK+PDK-＞EMM2，得到加密 数据EMM2，然后将EMM2发送到相应的用户端；\n步骤S190，用户端机顶盒接收到前端发来的加密数据EMM2后，将其发 送至用户身份识别模块，用户身份识别模块利用自身存储的PDK对EMM2 数据进行解密处理，得到更新的DPK，并将其存储，其解密过程可以表示为： EMM2+PDK-＞DPK；\n步骤S195，前端判断该次轮回检测每个用户的DPK是否到达其生存期的 操作是否完成，即判断每个用户端的DPK是否都已检测到，如果是则结束， 以等待下一轮的对每个用户端的DPK生存期进行检测的操作；否则返回执行 步骤S100，继续检测下一个用户的DPK的生存期是否到达。\n参照图5，该图是在本发明基于广播电视网的用户授权方法中，由用户端 发起的对用户端进行身份认证处理的过程示意图；其处理过程如下：\n步骤S200，用户端将自身机顶盒STB开机后，用户端将自动检查自身的 DPK生存期；用户端可以采用周期规律对自身的DPK生存期进行检查；\n步骤S210，用户端判断自身的DPK是否到达其生存期，如果是，执行步 骤S230；否则执行步骤S220；\n步骤S220，用户端再次判断自身DPK距离其生存期到达时长值是否小于 1小时，如果是，执行步骤S230；否则结束，以等待下一次DPK生存期是否 到达的检测；\n步骤S230，为避免同时有大量DPK到达生存期的STB同时发起认证流 程而导致前端认证服务器过载，所以用户端在这里将采取退避一段时间的处 理方式；\n步骤S240，退避时间过后，用户端将自身的标识信息通过双向传输线路 上传到前端，其中用户端上传的标识信息可以为用户端机顶盒的ID标识信息， 也可以为用户端用户身份识别模块中存储的用户身份标识信息，当然也可以 为机顶盒ID标识信息和用户身份识别模块中存储的用户身份标识信息的绑定 关系；\n步骤S250，前端根据用户端发来的标识信息，采用认证服务器对其身份 进行认证处理；\n步骤S260，前端根据步骤S250的认证结果，判断用户端的身份认证是否 通过，如果认证通过执行步骤S270，否则结束，以等待下一次DPK生存期是 否到达的检测；\n步骤S270，前端对生存期到达的DPK进行更新，并用前端和用户端共享 的PDK对更新后的DPK进行加密处理，即DPK+PDK-＞EMM2，得到加密 数据EMM2，然后将EMM2发送到发起认证的用户端；\n步骤S280，用户端机顶盒接收到前端发来的加密数据EMM2后，将其发 送至用户身份识别模块，用户身份识别模块利用自身存储的PDK对EMM2 数据进行解密处理，得到更新的DPK，并将其存储，其解密过程可以表示为： EMM2+PDK-＞DPK；然后结束，以等待下一次DPK生存期是否到达的检测。\n综上所述，本发明基于广播电视网的用户授权方法及其授权系统的基本 思想就是广播电视网的前端依旧利用单向的广播信道(Cable信道)广播电视 节目传输流TS，而单独使用在用户端机顶盒中设置的双向通信模块和前端与 用户端之间设置的双向传输线路来完成用户端的身份认证处理和动态个人密 钥DPK的更新处理；从而可以实现通过周期性更改动态个人密钥DPK来降 低非法用户利用克隆用户身份识别模块来获得非法经济利益的目的，即只要 控制DPK的更新周期就能够有效限制非法用户克隆用户身份识别模块的有效 时间，而使非法用户克隆用户身份识别模块的操作难度系数加大。同时也降 低了运行商为维护整个用户身份识别模块系统所造成的成本损失，因为只要 通过周期更新每个用户身份识别模块的DPK，就不再需要在部分用户身份识 别模块被克隆的情况下，还要更换所有实际的物理用户身份识别模块，所以 其经济成本一定会降低。\n以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普 通技术人员来说，在不脱离本发明原理的前提下，还可以作出若干改进和润 饰，这些改进和润饰也应视为本发明的保护范围。