数字电视条件接收芯片及条件接收的实现方法

技术领域

本发明涉及数字电视条件接收，尤其是涉及一种用于条件接收的数字电视接收芯片，以及数字电视条件接收的实现方法。

背景技术

随着数字电视传输技术的发展，数字化、网络化的广播电视技术在世界范围迅猛发展，建立在广播电视系统上的综合信息交互系统具有传输质量高、范围广、用户多，速度高的优势，使得数字广播电视具有广播的市场前景。由于数字电视系统具有以上特点和优势，其安全需求与其它电子信息系统既有共同点、又有不同点，如何保证整个数字电视广播系统的安全，需要采取数据保密，安全的访问控制，用户安全管理等各方面的措施。

条件接收（Conditional Access，简称CA）就是保证授权用户能获得已预定的数字电视节目、业务及服务，未授权用户则无法获得。条件接收系统（CAS）在前端系统分为加扰部分和加密部分。加扰（Scrambling）是通过控制字对传输流进行按位加密的过程，而加密部分则完成对控制字的保护；

条件接收系统的核心是控制字传输的控制。在采用MPEG 2标准的数字电视系统中，与节目流有条件接收系统相关的有两个数据流：授权控制信息ECM（Entitle Control Message）和授权管理信息EMM（Entitle Manage Message）。条件接收设备需要从ECM和EMM中提取有用信息，通过一系列的运算，从而得到控制字。一个典型的控制字运算流程如下：

1、处理器中央处理器从ECM或者EMM中获取加密后的控制字。

2、经过多级的解密，获得传输流解扰控制字。

3、将运算得到的控制字，写入到解扰模块中，完成传输流的解扰，得到解扰的传输流。考虑到安全性，在控制字解密过程中产生的密钥（KEY）以及最后的控制字，要求对中央处理器是不可见的。

从上述流程可以看出来，控制字的计算过程，需要多次解密运算。由于要求中央处理器不能接触到控制字解密过程中任何一个用于加密或解密的密钥（KEY），因此，需要对控制字的计算过程进行特殊处理。

常规的做法是，在系统内增加一个中央处理器专门负责控制字的解密运算，配合完成传输流的解扰处理。

申请号为200510080503.5的专利“中央处理器和用于中央处理器的程序”，描述的就是在芯片内部构建中央处理器安全运行环境，在所在区域中，使用专用密钥来验证指令代码，以对中央处理器核心和外界的输入和输出数据执行加密处理，从而达到安全运行程序代码的目的。此做法易于理解，但在实现过程中有如下问题：首先，要给负责控制字的解密中央处理器构建独立的安全运行环境，以便与系统中的中央处理器隔离，需要增加辅助的安全控制模块，例如程序的加解密单元等，增加了系统设计的难度；其次，资源上比较浪费。

因此，迫切需要一种更简单但更安全的方法实现对控制字的处理，以提高条件接收系统的安全性能。

发明内容

为了解决上述问题，本发明提供了一种数字电视条件接收芯片及数字电视条件接收实现方法，通过DMA控制器实现控制字的运算过程，使中央处理器无法接触到控制字解码过程中产生的任何一个中间密钥以及最终的控制字，安全可靠。

本发明采用如下技术方案实现：一种数字电视条件接收芯片，其包括中央处理器、传输流处理器、非易失性存储器和控制字解密模块，所述芯片还包括：

DMA控制器，用于根据存储在非易失性存储器中的任务链表使控制字解密模块完成对控制字的解密运算；

以及存储保护单元，用于根据DMA控制器从非易失性存储器搬运的配置信息进行安全配置后，对所述芯片的总线地址区间通过构建安全岛进行保护； 

其中，所述安全岛是在所述芯片总线地址空间中定义一个安全区域，所述安全岛的属性为：仅有DMA控制器能够访问该安全区域，且DMA控制器只能在该安全区域内进行数据的搬运操作；非易失性存储器只允许DMA控制器可读，仅有DMA控制器仅可对控制字解密模块的密钥寄存器进行写操作。

其中，所述传输流处理器包括解复用单元、解扰器及加扰器，且解扰器接收到的控制字不能被读出；中央处理器可以向加扰单元写入加扰密钥。

其中，所述非易失性存储器受到存储保护单元的保护，所述非易失性存储器中的数据不能再次修改，并禁止中央处理器读取其中的密钥数据。

其中，所述控制字解密模块只接收DMA控制器从非易失性存储器搬运的解密根密钥。

另外，本发明提出一种数字电视条件接收的实现方法，其包括步骤：

安全初始化并构建安全岛；

中央处理器激活DMA控制器执行控制字解密运算的任务链表；

由DMA控制器将非易失性存储器内的解密根密钥搬运到控制字解密模块的密钥寄存器中，启动控制字解密模块进行控制字的解密运算，于解密完成后输出控制字；

由传输流处理器根据控制字对传输流进行解扰处理；

其中，所述安全岛是在所述芯片总线地址空间中定义一个安全区域，所述安全岛的属性为：仅有DMA控制器能够访问该安全区域，且DMA控制器只能在该安全区域内进行数据的搬运操作；非易失性存储器只允许DMA控制器可读，仅有DMA控制器仅可对控制字解密模块的密钥寄存器进行写操作。

其中，所述构建安全岛的步骤具体包括：

上电后复位锁定中央处理器；

DMA控制器将存储在非易失性存储器内用于存储保护单元的安全初始化配置信息搬运到存储保护单元的配置寄存器中，实现对存储保护单元的安全配置，形成安全岛；

撤离中央处理器的复位锁定。

在一个优选实施例中，本发明的所述方法还包括步骤：由传输流处理器中的解复用单元对传输流进行解复用处理，获得ECM/EMM信息；由中央处理单元获取ECM/EMM信息，并将处理后的ECM/EMM信息传送给控制字解密模块。

在一个优选实施例中，本发明的所述方法还包括步骤：由传输流处理器对解扰后的传输流进行二次加扰处理。

另外，所述解密根密钥存储在非易失性存储器内，且仅允许由DMA控制器搬运至所述控制字解密模块。

与现有技术相比，本发明具有如下有益效果：

本发明通过构建安全岛并配置DMA控制器的任务链表，在控制字解密过程中，需要DMA控制器执行的任务链表全部存储在非易失性存储器中，由于非易失性存储器的访问属性是只允许DMA控制器进行读操作，且DMA控制器无法读取安全岛外的数据，因此，攻击者无法使DMA控制器执行非法任务链表而对条件接收芯片进行攻击，提高数字电视条件接收的安全性能。

附图说明

图1是本发明条件接收芯片的模块结构示意图；

图2是是本发明条件接收芯片实现传输流加解扰处理的流程示意图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步详细的说明。

如图1所示，本发明提出一种用于数字电视条件接收系统中的条件接收芯片1包括：中央处理器11用于对条件接收芯片1进行运行控制和资源调配，其是条件接收芯片1的控制中心，也是条件接收芯片1内唯一的代码执行单元；DMA（Direct Memory Access，直接内存存取）控制器12只能读取非易失性存储器13中的存储内容，且只能将数据写入到控制字解密模块15；非易失性存储器13用于存储控制字解密运算需要的解密根密钥、对存储保护单元14初始化的安全配置信息、DMA控制器12的任务链表，且通过存储保护单元14配置属性为：非易失性存储器13只允许DMA控制器12可读且不可写，其它模块（例如中央处理器11）等均无法访问；存储保护单元14完成总线地址保护功能并构建安全岛，且中央处理器11无法接触到安全岛内信息，DMA控制器12只能在安全岛内进行数据搬运，并使控制字解密模块15完成控制字（Control Word，CW）的解密运算过程；控制字解密模块15完成控制字的运算过程，并将控制字直接通过专用总线输出给传输流处理器16；传输流处理器16完成传输流（TS）的解复用、解扰、二次加扰功能，传输流处理器16包括解复用单元161、解扰器（Descrambler）162（解扰器162进行解扰使用KEY是控制字解密模块15产生的控制字）和用于对传输流处理器16进行二次加扰的加扰器（Scrambler）163（加扰器163的密钥可以来源于中央处理器11）。

本发明所提到的安全岛，就是通过配置存储保护单元14，在条件接收芯片1的总线地址空间中定义一个安全区域（总线地址区间），安全区域的访问属性如下：首先，该安全区域仅授权的主设备（本发明安全岛内唯一的主设备是DMA控制器12）可以访问，非授权的主设备无法访问；其次，授权的主设备无法将该安全区域的内容搬运至安全区域外，仅能在该安全区域内实现数据的搬运操作。

安全岛包含如下组件：非易失性存储器13，其主要存储控制字解密运算需要的密钥、存储保护单元14初始化安全配置信息和DMA控制器12的任务链表；存储保护单元14完成总线上地址区域的保护功能，构建安全岛，且中央处理器11无法接触到安全岛内信息；DMA控制器12可以实现在安全岛内进行数据搬运，引导控制字解密模块15完成控制字的解密过程；控制字解密模块15完成控制字的运算过程，并将解密后的控制字直接通过专用总线输出给传输流处理器16。

本发明通过硬件安全初始化构建安全岛，使得控制字的运算过程使用DMA控制器12实现，中央处理器11无法接触到运算过程中产生的中间密钥或者最后的控制字；并且，本发明通过构建DMA控制器12的任务链表（处于安全岛内）使DMA控制器12能完成指定的搬运操作，通过DMA控制器12可以实现控制字的运算过程。

而DMA控制器12安全特性如下：第一，该DMA控制器12在存储保护单元14的保护下，作为安全岛内唯一的主设备，可有效地实现特定保密数据的点对点传输要求，且不会将绝密数据泄漏至安全岛外；第二，该DMA控制器12将对要执行的任务链表进行保护规则检测，确保每个任务链表没有被错误使用，保证点对点传输的正确性；第三，该DMA控制器12将检查任务链表中包含的地址是否在安全岛内，保证不会将绝密数据泄漏至安全岛外； 

虽然中央处理器11能激活DMA控制器12处理任务链表，但是中央处理器11无法控制DMA控制器12进行任务链表定义之外的任务操作。

结合图2所示，是一个典型的传输流加解扰流程示意图，也就是本发明条件接收芯片实现传输流加解扰处理的流程示意图。该实施例具体包括如下实现步骤：

步骤S11，安全初始化并构建安全岛，包含如下步骤，

D1、上电复位后，条件接收芯片1进入硬件安全初始化流程，中央处理器11在此过程中处于复位锁定状态。

D2、DMA控制器12将存储在非易失性存储器13内用于存储保护单元14的安全初始化配置信息搬运到存储保护单元14的配置寄存器中，实现对存储保护单元14的安全配置，形成安全岛。其中，安全岛属性如下：非易失性存储器13只允许DMA控制器12可读，其它主设备（例如中央处理器11）对非易失性存储器13不可访问；DMA控制器12仅可对控制字解密模块15的密钥寄存器进行写操作；DMA控制器12不能对上述安全岛之外的区域进行访问操作；中央处理器11无法访问控制字解密模块15的密钥寄存器。

D3、安全岛形成，硬件安全初始化结束。

D4、撤离中央处理器11的复位锁定，中央处理器11开始执行程序。

步骤S12、中央处理器11判断是否需要控制字进行解密运算，若是，则进入步骤S13。

步骤S13、中央处理器11从传输流处理器16的解复用单元161输出信息中，获取授权控制信息ECM（Entitle Control Message）和授权管理信息EMM（Entitle Manage Message），经过中央处理器11处理后，将处理过的ECM/EMM信息输出到控制字解密模块15中。

步骤S14、中央处理器11激活DMA控制器12去执行非易失性存储器13内执行控制字解密运算的任务链表。

在控制字解密过程中，需要DMA控制器12执行的任务链表全部存储在非易失性存储器13中，由于非易失性存储器13的访问属性是只允许DMA控制器12进行读操作，且DMA控制器12无法读取安全岛外的数据，因此，攻击者无法使DMA控制器12执行非法任务链表而对条件接收芯片1进行攻击。

步骤S15、DMA控制器12读取非易失性存储器13内执行控制字解密的任务链表，将非易失性存储器13内的解密根密钥搬运到控制字解密模块15的密钥寄存器中，DMA控制器12启动控制字解密模块15开始控制字的解密运算过程。

步骤S16、判断是否已完成控制字的解密运算，若是则转入步骤S17，否则转入步骤S14。

步骤S17、控制字解密模块15直接将解密的控制字输出到解扰器162，由解扰器162对传输流进行解扰处理。

步骤S18、中央处理器11将二次加扰的密钥配置到传输流处理器16中，由加扰器163对传输流进行二次加扰，并将二次加扰后的传输流输出给机顶盒（Set Top Box，STB）。

综上，本发明通过纯硬件方式实现控制字的运算过程，能大大提高数字电视条件接收芯片的安全性能，简化条件接收系统的复杂度。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。