数字电视条件接收芯片及条件接收的实现方法.pdf

摘要
申请专利号：	CN201110444038.4	申请日：	2011.12.27
公开号：	CN102447955A	公开日：	2012.05.09
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):H04N 21/266申请日:20111227\|\|\|公开
IPC分类号：	H04N21/266(2011.01)I; H04N21/4623(2011.01)I; H04N21/434(2011.01)I	主分类号：	H04N21/266
申请人：	深圳国微技术有限公司
发明人：	刘华预; 王良清; 陶玉茂
地址：	518000 广东省深圳市高新技术产业园南区高新南一道国微大厦2F
优先权：
专利代理机构：	深圳市康弘知识产权代理有限公司 44247	代理人：	胡朝阳;孙洁敏
PDF下载：	PDF下载

内容摘要

本发明公开一种数字电视条件接收芯片及条件接收实现方法。所述条件接收芯片包括中央处理器、传输流处理器、非易失性存储器和控制字解密模块；DMA控制器，用于根据存储在非易失性存储器中的任务链表使控制字解密模块完成对控制字的解密运算；存储保护单元，用于根据DMA控制器从非易失性存储器搬运的配置信息进行安全配置后，对所述芯片的总线地址区间通过构建安全岛进行保护。本发明通过构建安全岛并配置DMA控制器的任务链表，攻击者无法使DMA控制器执行非法任务链表而对条件接收芯片进行攻击，提高数字电视条件接收的安全性能。

权利要求书

1：一种数字电视条件接收芯片，其包括中央处理器、传输流处理器、非易失性存储器和控制字解密模块，特征在于，所述芯片还包括： DMA 控制器，用于根据存储在非易失性存储器中的任务链表使控制字解密模块完成对控制字的解密运算；存储保护单元，用于根据 DMA 控制器从非易失性存储器搬运的配置信息进行安全配置后，对所述芯片的总线地址区间通过构建安全岛进行保护；其中，所述安全岛是在所述芯片总线地址空间中定义一个安全区域，所述安全岛的属性为：仅有 DMA 控制器能够访问该安全区域，且 DMA 控制器只能在该安全区域内进行数据的搬运操作；非易失性存储器只允许 DMA 控制器可读，仅有 DMA 控制器仅可对控制字解密模块的密钥寄存器进行写操作。2：根据权利要求 1 所述的数字电视条件接收芯片，其特征在于，所述传输流处理器包括解复用单元、解扰器及加扰器，且解扰器接收到的控制字不能被读出；中央处理器可以向加扰单元写入加扰密钥。3：根据权利要求 1 所述的数字电视条件接收芯片，其特征在于，所述非易失性存储器受到存储保护单元的保护，所述非易失性存储器中的数据不能再次修改，并禁止中央处理器读取其中的密钥数据。4：根据权利要求 1 所述的数字电视条件接收芯片，其特征在于，所述控制字解密模块只接收 DMA 控制器从非易失性存储器搬运的解密根密钥。5：一种数字电视条件接收的实现方法，其特征在于，所述方法包括步骤：安全初始化并构建安全岛；中央处理器激活 DMA 控制器执行控制字解密运算的任务链表；由 DMA 控制器将非易失性存储器内的解密根密钥搬运到控制字解密模块的密钥寄存器中，启动控制字解密模块进行控制字的解密运算，于解密完成后输出控制字；由传输流处理器根据控制字对传输流进行解扰处理；其中，所述安全岛是在所述芯片总线地址空间中定义一个安全区域，所述安全岛的属性为：仅有 DMA 控制器能够访问该安全区域，且 DMA 控制器只能在该安全区域内进行数据的搬运操作；非易失性存储器只允许 DMA 控制器可读，仅有 DMA 控制器仅可对控制字解密模块的密钥寄存器进行写操作。6：根据权利要求 5 所述数字电视条件接收的实现方法，其特征在于，所述构建安全岛的步骤具体包括：上电后复位锁定中央处理器； DMA 控制器将存储在非易失性存储器内用于存储保护单元的安全初始化配置信息搬运到存储保护单元的配置寄存器中，实现对存储保护单元的安全配置，形成安全岛；撤离中央处理器的复位锁定。7：根据权利要求 5 所述数字电视条件接收的实现方法，其特征在于，所述方法还包括步骤：由传输流处理器中的解复用单元对传输流进行解复用处理，获得 ECM/EMM 信息；由中央处理单元获取 ECM/EMM 信息，并将处理后的 ECM/EMM 信息传送给控制字解密模块。 28：根据权利要求 5 所述数字电视条件接收的实现方法，其特征在于，所述方法还包括步骤：由传输流处理器对解扰后的传输流进行二次加扰处理。9：根据权利要求 5 所述数字电视条件接收的实现方法，其特征在于，所述解密根密钥存储在非易失性存储器内，且仅允许由 DMA 控制器搬运至所述控制字解密模块。

说明书

数字电视条件接收芯片及条件接收的实现方法
    技术领域本发明涉及数字电视条件接收，尤其是涉及一种用于条件接收的数字电视接收芯片，以及数字电视条件接收的实现方法。
     背景技术随着数字电视传输技术的发展，数字化、网络化的广播电视技术在世界范围迅猛发展，建立在广播电视系统上的综合信息交互系统具有传输质量高、范围广、用户多，速度高的优势，使得数字广播电视具有广播的市场前景。由于数字电视系统具有以上特点和优势，其安全需求与其它电子信息系统既有共同点、又有不同点，如何保证整个数字电视广播系统的安全，需要采取数据保密，安全的访问控制，用户安全管理等各方面的措施。
     条件接收（Conditional Access，简称 CA）就是保证授权用户能获得已预定的数字电视节目、业务及服务，未授权用户则无法获得。条件接收系统（CAS）在前端系统分为加扰
     部分和加密部分。加扰（Scrambling）是通过控制字对传输流进行按位加密的过程，而加密部分则完成对控制字的保护；条件接收系统的核心是控制字传输的控制。在采用 MPEG 2 标准的数字电视系统中，与节目流有条件接收系统相关的有两个数据流：授权控制信息 ECM（Entitle Control Message）和授权管理信息 EMM（Entitle Manage Message）。条件接收设备需要从 ECM 和 EMM 中提取有用信息，通过一系列的运算，从而得到控制字。一个典型的控制字运算流程如下： 1、处理器中央处理器从 ECM 或者 EMM 中获取加密后的控制字。
     2、经过多级的解密，获得传输流解扰控制字。
     3、将运算得到的控制字，写入到解扰模块中，完成传输流的解扰，得到解扰的传输流。考虑到安全性，在控制字解密过程中产生的密钥（KEY）以及最后的控制字，要求对中央处理器是不可见的。
     从上述流程可以看出来，控制字的计算过程，需要多次解密运算。由于要求中央处理器不能接触到控制字解密过程中任何一个用于加密或解密的密钥（KEY），因此，需要对控制字的计算过程进行特殊处理。
     常规的做法是，在系统内增加一个中央处理器专门负责控制字的解密运算，配合完成传输流的解扰处理。
     申请号为 200510080503.5 的专利 “中央处理器和用于中央处理器的程序” ，描述的就是在芯片内部构建中央处理器安全运行环境，在所在区域中，使用专用密钥来验证指令代码，以对中央处理器核心和外界的输入和输出数据执行加密处理，从而达到安全运行程序代码的目的。此做法易于理解，但在实现过程中有如下问题：首先，要给负责控制字的解密中央处理器构建独立的安全运行环境，以便与系统中的中央处理器隔离，需要增加辅助的安全控制模块，例如程序的加解密单元等，增加了系统设计的难度；其次，资源上比较浪费。因此，迫切需要一种更简单但更安全的方法实现对控制字的处理，以提高条件接收系统的安全性能。发明内容为了解决上述问题，本发明提供了一种数字电视条件接收芯片及数字电视条件接收实现方法，通过 DMA 控制器实现控制字的运算过程，使中央处理器无法接触到控制字解码过程中产生的任何一个中间密钥以及最终的控制字，安全可靠。
     本发明采用如下技术方案实现：一种数字电视条件接收芯片，其包括中央处理器、传输流处理器、非易失性存储器和控制字解密模块，所述芯片还包括： DMA 控制器，用于根据存储在非易失性存储器中的任务链表使控制字解密模块完成对控制字的解密运算；以及存储保护单元，用于根据 DMA 控制器从非易失性存储器搬运的配置信息进行安全配置后，对所述芯片的总线地址区间通过构建安全岛进行保护；其中，所述安全岛是在所述芯片总线地址空间中定义一个安全区域，所述安全岛的属性为：仅有 DMA 控制器能够访问该安全区域，且 DMA 控制器只能在该安全区域内进行数据的搬运操作；非易失性存储器只允许 DMA 控制器可读，仅有 DMA 控制器仅可对控制字解密模块的密钥寄存器进行写操作。
     其中，所述传输流处理器包括解复用单元、解扰器及加扰器，且解扰器接收到的控制字不能被读出；中央处理器可以向加扰单元写入加扰密钥。
     其中，所述非易失性存储器受到存储保护单元的保护，所述非易失性存储器中的数据不能再次修改，并禁止中央处理器读取其中的密钥数据。
     其中，所述控制字解密模块只接收 DMA 控制器从非易失性存储器搬运的解密根密钥。
     另外，本发明提出一种数字电视条件接收的实现方法，其包括步骤：安全初始化并构建安全岛；中央处理器激活 DMA 控制器执行控制字解密运算的任务链表；由 DMA 控制器将非易失性存储器内的解密根密钥搬运到控制字解密模块的密钥寄存器中，启动控制字解密模块进行控制字的解密运算，于解密完成后输出控制字；由传输流处理器根据控制字对传输流进行解扰处理；其中，所述安全岛是在所述芯片总线地址空间中定义一个安全区域，所述安全岛的属性为：仅有 DMA 控制器能够访问该安全区域，且 DMA 控制器只能在该安全区域内进行数据的搬运操作；非易失性存储器只允许 DMA 控制器可读，仅有 DMA 控制器仅可对控制字解密模块的密钥寄存器进行写操作。
     其中，所述构建安全岛的步骤具体包括：上电后复位锁定中央处理器； DMA 控制器将存储在非易失性存储器内用于存储保护单元的安全初始化配置信息搬运到存储保护单元的配置寄存器中，实现对存储保护单元的安全配置，形成安全岛；撤离中央处理器的复位锁定。
     在一个优选实施例中，本发明的所述方法还包括步骤：由传输流处理器中的解复
     用单元对传输流进行解复用处理，获得 ECM/EMM 信息；由中央处理单元获取 ECM/EMM 信息，并将处理后的 ECM/EMM 信息传送给控制字解密模块。
     在一个优选实施例中，本发明的所述方法还包括步骤：由传输流处理器对解扰后的传输流进行二次加扰处理。
     另外，所述解密根密钥存储在非易失性存储器内，且仅允许由 DMA 控制器搬运至所述控制字解密模块。
     与现有技术相比，本发明具有如下有益效果：本发明通过构建安全岛并配置 DMA 控制器的任务链表，在控制字解密过程中，需要 DMA 控制器执行的任务链表全部存储在非易失性存储器中，由于非易失性存储器的访问属性是只允许 DMA 控制器进行读操作，且 DMA 控制器无法读取安全岛外的数据，因此，攻击者无法使 DMA 控制器执行非法任务链表而对条件接收芯片进行攻击，提高数字电视条件接收的安全性能。附图说明
     图 1 是本发明条件接收芯片的模块结构示意图；图 2 是是本发明条件接收芯片实现传输流加解扰处理的流程示意图。具体实施方式下面结合附图和具体实施方式对本发明作进一步详细的说明。
     如图 1 所示，本发明提出一种用于数字电视条件接收系统中的条件接收芯片 1 包括：中央处理器 11 用于对条件接收芯片 1 进行运行控制和资源调配，其是条件接收芯片 1 的控制中心，也是条件接收芯片 1 内唯一的代码执行单元； DMA （Direct Memory Access，直接内存存取）控制器 12 只能读取非易失性存储器 13 中的存储内容，且只能将数据写入到控制字解密模块 15 ；非易失性存储器 13 用于存储控制字解密运算需要的解密根密钥、对存储保护单元 14 初始化的安全配置信息、 DMA 控制器 12 的任务链表，且通过存储保护单元 14 配置属性为：非易失性存储器 13 只允许 DMA 控制器 12 可读且不可写，其它模块（例如中央处理器 11）等均无法访问；存储保护单元 14 完成总线地址保护功能并构建安全岛，且中央处理器 11 无法接触到安全岛内信息， DMA 控制器 12 只能在安全岛内进行数据搬运，并使控制字解密模块 15 完成控制字（Control Word， CW）的解密运算过程；控制字解密模块 15 完成控制字的运算过程，并将控制字直接通过专用总线输出给传输流处理器 16 ；传输流处理器 16 完成传输流（TS）的解复用、解扰、二次加扰功能，传输流处理器 16 包括解复用单元 161、解扰器（Descrambler） 162（解扰器 162 进行解扰使用 KEY 是控制字解密模块 15 产生的控制字）和用于对传输流处理器 16 进行二次加扰的加扰器（Scrambler） 163（加扰器 163 的密钥可以来源于中央处理器 11）。
     本发明所提到的安全岛，就是通过配置存储保护单元 14，在条件接收芯片 1 的总线地址空间中定义一个安全区域（总线地址区间），安全区域的访问属性如下：首先，该安全区域仅授权的主设备（本发明安全岛内唯一的主设备是 DMA 控制器 12）可以访问，非授权的主设备无法访问；其次，授权的主设备无法将该安全区域的内容搬运至安全区域外，仅能在该安全区域内实现数据的搬运操作。
     安全岛包含如下组件：非易失性存储器 13，其主要存储控制字解密运算需要的密钥、存储保护单元 14 初始化安全配置信息和 DMA 控制器 12 的任务链表；存储保护单元 14 完成总线上地址区域的保护功能，构建安全岛，且中央处理器 11 无法接触到安全岛内信息； DMA 控制器 12 可以实现在安全岛内进行数据搬运，引导控制字解密模块 15 完成控制字的解密过程；控制字解密模块 15 完成控制字的运算过程，并将解密后的控制字直接通过专用总线输出给传输流处理器 16。
     本发明通过硬件安全初始化构建安全岛，使得控制字的运算过程使用 DMA 控制器 12 实现，中央处理器 11 无法接触到运算过程中产生的中间密钥或者最后的控制字；并且，本发明通过构建 DMA 控制器 12 的任务链表（处于安全岛内）使 DMA 控制器 12 能完成指定的搬运操作，通过 DMA 控制器 12 可以实现控制字的运算过程。
     而 DMA 控制器 12 安全特性如下：第一，该 DMA 控制器 12 在存储保护单元 14 的保护下，作为安全岛内唯一的主设备，可有效地实现特定保密数据的点对点传输要求，且不会将绝密数据泄漏至安全岛外；第二，该 DMA 控制器 12 将对要执行的任务链表进行保护规则检测，确保每个任务链表没有被错误使用，保证点对点传输的正确性；第三，该 DMA 控制器 12 将检查任务链表中包含的地址是否在安全岛内，保证不会将绝密数据泄漏至安全岛外；虽然中央处理器 11 能激活 DMA 控制器 12 处理任务链表，但是中央处理器 11 无法控制 DMA 控制器 12 进行任务链表定义之外的任务操作。结合图 2 所示，是一个典型的传输流加解扰流程示意图，也就是本发明条件接收芯片实现传输流加解扰处理的流程示意图。该实施例具体包括如下实现步骤：步骤 S11，安全初始化并构建安全岛，包含如下步骤， D1、上电复位后，条件接收芯片 1 进入硬件安全初始化流程，中央处理器 11 在此过程中处于复位锁定状态。
     D2、 DMA 控制器 12 将存储在非易失性存储器 13 内用于存储保护单元 14 的安全初始化配置信息搬运到存储保护单元 14 的配置寄存器中，实现对存储保护单元 14 的安全配置，形成安全岛。其中，安全岛属性如下：非易失性存储器 13 只允许 DMA 控制器 12 可读，其它主设备（例如中央处理器 11）对非易失性存储器 13 不可访问； DMA 控制器 12 仅可对控制字解密模块 15 的密钥寄存器进行写操作； DMA 控制器 12 不能对上述安全岛之外的区域进行访问操作；中央处理器 11 无法访问控制字解密模块 15 的密钥寄存器。
     D3、安全岛形成，硬件安全初始化结束。
     D4、撤离中央处理器 11 的复位锁定，中央处理器 11 开始执行程序。
     步骤 S12、中央处理器 11 判断是否需要控制字进行解密运算，若是，则进入步骤 S13。
     步骤 S13、中央处理器 11 从传输流处理器 16 的解复用单元 161 输出信息中，获取授权控制信息 ECM（Entitle Control Message）和授权管理信息 EMM（Entitle Manage Message），经过中央处理器 11 处理后，将处理过的 ECM/EMM 信息输出到控制字解密模块 15 中。
     步骤 S14、中央处理器 11 激活 DMA 控制器 12 去执行非易失性存储器 13 内执行控制字解密运算的任务链表。
     在控制字解密过程中，需要 DMA 控制器 12 执行的任务链表全部存储在非易失性存
     储器 13 中，由于非易失性存储器 13 的访问属性是只允许 DMA 控制器 12 进行读操作，且 DMA 控制器 12 无法读取安全岛外的数据，因此，攻击者无法使 DMA 控制器 12 执行非法任务链表而对条件接收芯片 1 进行攻击。
     步骤 S15、 DMA 控制器 12 读取非易失性存储器 13 内执行控制字解密的任务链表，将非易失性存储器 13 内的解密根密钥搬运到控制字解密模块 15 的密钥寄存器中， DMA 控制器 12 启动控制字解密模块 15 开始控制字的解密运算过程。
     步骤 S16、判断是否已完成控制字的解密运算，若是则转入步骤 S17，否则转入步骤 S14。
     步骤 S17、控制字解密模块 15 直接将解密的控制字输出到解扰器 162，由解扰器 162 对传输流进行解扰处理。
     步骤 S18、中央处理器 11 将二次加扰的密钥配置到传输流处理器 16 中，由加扰器 163 对传输流进行二次加扰，并将二次加扰后的传输流输出给机顶盒（Set Top Box， STB）。
     综上，本发明通过纯硬件方式实现控制字的运算过程，能大大提高数字电视条件接收芯片的安全性能，简化条件接收系统的复杂度。
     以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

资源描述

《数字电视条件接收芯片及条件接收的实现方法.pdf》由会员分享，可在线阅读，更多相关《数字电视条件接收芯片及条件接收的实现方法.pdf（10页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102447955 A (43)申请公布日 2012.05.09 C N 1 0 2 4 4 7 9 5 5 A *CN102447955A* (21)申请号 201110444038.4 (22)申请日 2011.12.27 H04N 21/266(2011.01) H04N 21/4623(2011.01) H04N 21/434(2011.01) (71)申请人深圳国微技术有限公司地址 518000 广东省深圳市高新技术产业园南区高新南一道国微大厦2F (72)发明人刘华预王良清陶玉茂 (74)专利代理机构深圳市康弘知识产权代理有限公司 44247 代。

2、理人胡朝阳孙洁敏 (54) 发明名称数字电视条件接收芯片及条件接收的实现方法 (57) 摘要本发明公开一种数字电视条件接收芯片及条件接收实现方法。所述条件接收芯片包括中央处理器、传输流处理器、非易失性存储器和控制字解密模块；DMA控制器，用于根据存储在非易失性存储器中的任务链表使控制字解密模块完成对控制字的解密运算；存储保护单元，用于根据DMA控制器从非易失性存储器搬运的配置信息进行安全配置后，对所述芯片的总线地址区间通过构建安全岛进行保护。本发明通过构建安全岛并配置DMA 控制器的任务链表，攻击者无法使DMA控制器执行非法任务链表而对条件接收芯片进行攻击，提高数字。

3、电视条件接收的安全性能。 (51)Int.Cl. (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 2 页说明书 5 页附图 2 页 CN 102447978 A 1/2页 2 1.一种数字电视条件接收芯片，其包括中央处理器、传输流处理器、非易失性存储器和控制字解密模块，特征在于，所述芯片还包括： DMA控制器，用于根据存储在非易失性存储器中的任务链表使控制字解密模块完成对控制字的解密运算；存储保护单元，用于根据DMA控制器从非易失性存储器搬运的配置信息进行安全配置后，对所述芯片的总线地址区间通过构建安全岛进行保护；其中，所述安全岛是在所述芯片总线地址空间中。

4、定义一个安全区域，所述安全岛的属性为：仅有DMA控制器能够访问该安全区域，且DMA控制器只能在该安全区域内进行数据的搬运操作；非易失性存储器只允许DMA控制器可读，仅有DMA控制器仅可对控制字解密模块的密钥寄存器进行写操作。 2.根据权利要求1所述的数字电视条件接收芯片，其特征在于，所述传输流处理器包括解复用单元、解扰器及加扰器，且解扰器接收到的控制字不能被读出；中央处理器可以向加扰单元写入加扰密钥。 3.根据权利要求1所述的数字电视条件接收芯片，其特征在于，所述非易失性存储器受到存储保护单元的保护，所述非易失性存储器中的数据不能再次修改，并禁止中央处理器读取其中的密钥数据。 4。

5、.根据权利要求1所述的数字电视条件接收芯片，其特征在于，所述控制字解密模块只接收DMA控制器从非易失性存储器搬运的解密根密钥。 5.一种数字电视条件接收的实现方法，其特征在于，所述方法包括步骤：安全初始化并构建安全岛；中央处理器激活DMA控制器执行控制字解密运算的任务链表；由DMA控制器将非易失性存储器内的解密根密钥搬运到控制字解密模块的密钥寄存器中，启动控制字解密模块进行控制字的解密运算，于解密完成后输出控制字；由传输流处理器根据控制字对传输流进行解扰处理；其中，所述安全岛是在所述芯片总线地址空间中定义一个安全区域，所述安全岛的属性为：仅有DMA控制器能够访问该安全区域，且D。

6、MA控制器只能在该安全区域内进行数据的搬运操作；非易失性存储器只允许DMA控制器可读，仅有DMA控制器仅可对控制字解密模块的密钥寄存器进行写操作。 6.根据权利要求5所述数字电视条件接收的实现方法，其特征在于，所述构建安全岛的步骤具体包括：上电后复位锁定中央处理器； DMA控制器将存储在非易失性存储器内用于存储保护单元的安全初始化配置信息搬运到存储保护单元的配置寄存器中，实现对存储保护单元的安全配置，形成安全岛；撤离中央处理器的复位锁定。 7.根据权利要求5所述数字电视条件接收的实现方法，其特征在于，所述方法还包括步骤：由传输流处理器中的解复用单元对传输流进行解复用处理，获得E。

7、CM/EMM信息；由中央处理单元获取ECM/EMM信息，并将处理后的ECM/EMM信息传送给控制字解密模块。权利要求书CN 102447955 A CN 102447978 A 2/2页 3 8.根据权利要求5所述数字电视条件接收的实现方法，其特征在于，所述方法还包括步骤：由传输流处理器对解扰后的传输流进行二次加扰处理。 9.根据权利要求5所述数字电视条件接收的实现方法，其特征在于，所述解密根密钥存储在非易失性存储器内，且仅允许由DMA控制器搬运至所述控制字解密模块。权利要求书CN 102447955 A CN 102447978 A 1/5页 4 数字电视条件接收。

8、芯片及条件接收的实现方法技术领域 0001 本发明涉及数字电视条件接收，尤其是涉及一种用于条件接收的数字电视接收芯片，以及数字电视条件接收的实现方法。背景技术 0002 随着数字电视传输技术的发展，数字化、网络化的广播电视技术在世界范围迅猛发展，建立在广播电视系统上的综合信息交互系统具有传输质量高、范围广、用户多，速度高的优势，使得数字广播电视具有广播的市场前景。由于数字电视系统具有以上特点和优势，其安全需求与其它电子信息系统既有共同点、又有不同点，如何保证整个数字电视广播系统的安全，需要采取数据保密，安全的访问控制，用户安全管理等各方面的措施。 0003 条件接收（Condit。

9、ional Access，简称CA）就是保证授权用户能获得已预定的数字电视节目、业务及服务，未授权用户则无法获得。条件接收系统（CAS）在前端系统分为加扰部分和加密部分。加扰（Scrambling）是通过控制字对传输流进行按位加密的过程，而加密部分则完成对控制字的保护；条件接收系统的核心是控制字传输的控制。在采用MPEG 2标准的数字电视系统中，与节目流有条件接收系统相关的有两个数据流：授权控制信息ECM（Entitle Control Message）和授权管理信息EMM（Entitle Manage Message）。条件接收设备需要从ECM和 EMM中提取有用信息，通过一系列的。

10、运算，从而得到控制字。一个典型的控制字运算流程如下： 1、处理器中央处理器从ECM或者EMM中获取加密后的控制字。 0004 2、经过多级的解密，获得传输流解扰控制字。 0005 3、将运算得到的控制字，写入到解扰模块中，完成传输流的解扰，得到解扰的传输流。考虑到安全性，在控制字解密过程中产生的密钥（KEY）以及最后的控制字，要求对中央处理器是不可见的。 0006 从上述流程可以看出来，控制字的计算过程，需要多次解密运算。由于要求中央处理器不能接触到控制字解密过程中任何一个用于加密或解密的密钥（KEY），因此，需要对控制字的计算过程进行特殊处理。 0007 常规的做法是，在系统内增加。

11、一个中央处理器专门负责控制字的解密运算，配合完成传输流的解扰处理。 0008 申请号为200510080503.5的专利“中央处理器和用于中央处理器的程序”，描述的就是在芯片内部构建中央处理器安全运行环境，在所在区域中，使用专用密钥来验证指令代码，以对中央处理器核心和外界的输入和输出数据执行加密处理，从而达到安全运行程序代码的目的。此做法易于理解，但在实现过程中有如下问题：首先，要给负责控制字的解密中央处理器构建独立的安全运行环境，以便与系统中的中央处理器隔离，需要增加辅助的安全控制模块，例如程序的加解密单元等，增加了系统设计的难度；其次，资源上比较浪费。说明书CN 102。

12、447955 A CN 102447978 A 2/5页 5 0009 因此，迫切需要一种更简单但更安全的方法实现对控制字的处理，以提高条件接收系统的安全性能。发明内容 0010 为了解决上述问题，本发明提供了一种数字电视条件接收芯片及数字电视条件接收实现方法，通过DMA控制器实现控制字的运算过程，使中央处理器无法接触到控制字解码过程中产生的任何一个中间密钥以及最终的控制字，安全可靠。 0011 本发明采用如下技术方案实现：一种数字电视条件接收芯片，其包括中央处理器、传输流处理器、非易失性存储器和控制字解密模块，所述芯片还包括： DMA控制器，用于根据存储在非易失性存储器中的任务链表。

13、使控制字解密模块完成对控制字的解密运算；以及存储保护单元，用于根据DMA控制器从非易失性存储器搬运的配置信息进行安全配置后，对所述芯片的总线地址区间通过构建安全岛进行保护；其中，所述安全岛是在所述芯片总线地址空间中定义一个安全区域，所述安全岛的属性为：仅有DMA控制器能够访问该安全区域，且DMA控制器只能在该安全区域内进行数据的搬运操作；非易失性存储器只允许DMA控制器可读，仅有DMA控制器仅可对控制字解密模块的密钥寄存器进行写操作。 0012 其中，所述传输流处理器包括解复用单元、解扰器及加扰器，且解扰器接收到的控制字不能被读出；中央处理器可以向加扰单元写入加扰密钥。 001。

14、3 其中，所述非易失性存储器受到存储保护单元的保护，所述非易失性存储器中的数据不能再次修改，并禁止中央处理器读取其中的密钥数据。 0014 其中，所述控制字解密模块只接收DMA控制器从非易失性存储器搬运的解密根密钥。 0015 另外，本发明提出一种数字电视条件接收的实现方法，其包括步骤：安全初始化并构建安全岛；中央处理器激活DMA控制器执行控制字解密运算的任务链表；由DMA控制器将非易失性存储器内的解密根密钥搬运到控制字解密模块的密钥寄存器中，启动控制字解密模块进行控制字的解密运算，于解密完成后输出控制字；由传输流处理器根据控制字对传输流进行解扰处理；其中，所述安全岛是在所述芯。

15、片总线地址空间中定义一个安全区域，所述安全岛的属性为：仅有DMA控制器能够访问该安全区域，且DMA控制器只能在该安全区域内进行数据的搬运操作；非易失性存储器只允许DMA控制器可读，仅有DMA控制器仅可对控制字解密模块的密钥寄存器进行写操作。 0016 其中，所述构建安全岛的步骤具体包括：上电后复位锁定中央处理器； DMA控制器将存储在非易失性存储器内用于存储保护单元的安全初始化配置信息搬运到存储保护单元的配置寄存器中，实现对存储保护单元的安全配置，形成安全岛；撤离中央处理器的复位锁定。 0017 在一个优选实施例中，本发明的所述方法还包括步骤：由传输流处理器中的解复说明书CN。

16、 102447955 A CN 102447978 A 3/5页 6 用单元对传输流进行解复用处理，获得ECM/EMM信息；由中央处理单元获取ECM/EMM信息，并将处理后的ECM/EMM信息传送给控制字解密模块。 0018 在一个优选实施例中，本发明的所述方法还包括步骤：由传输流处理器对解扰后的传输流进行二次加扰处理。 0019 另外，所述解密根密钥存储在非易失性存储器内，且仅允许由DMA控制器搬运至所述控制字解密模块。 0020 与现有技术相比，本发明具有如下有益效果：本发明通过构建安全岛并配置DMA控制器的任务链表，在控制字解密过程中，需要DMA 控制器执行的任务链表全部存储在非。

17、易失性存储器中，由于非易失性存储器的访问属性是只允许DMA控制器进行读操作，且DMA控制器无法读取安全岛外的数据，因此，攻击者无法使DMA控制器执行非法任务链表而对条件接收芯片进行攻击，提高数字电视条件接收的安全性能。附图说明 0021 图1是本发明条件接收芯片的模块结构示意图；图2是是本发明条件接收芯片实现传输流加解扰处理的流程示意图。具体实施方式 0022 下面结合附图和具体实施方式对本发明作进一步详细的说明。 0023 如图1所示，本发明提出一种用于数字电视条件接收系统中的条件接收芯片1包括：中央处理器11用于对条件接收芯片1进行运行控制和资源调配，其是条件接收芯片1 的控。

18、制中心，也是条件接收芯片1内唯一的代码执行单元；DMA（Direct Memory Access，直接内存存取）控制器12只能读取非易失性存储器13中的存储内容，且只能将数据写入到控制字解密模块15；非易失性存储器13用于存储控制字解密运算需要的解密根密钥、对存储保护单元14初始化的安全配置信息、DMA控制器12的任务链表，且通过存储保护单元14配置属性为：非易失性存储器13只允许DMA控制器12可读且不可写，其它模块（例如中央处理器11）等均无法访问；存储保护单元14完成总线地址保护功能并构建安全岛，且中央处理器11无法接触到安全岛内信息，DMA控制器12只能在安全岛内进行数据搬。

19、运，并使控制字解密模块15完成控制字（Control Word，CW）的解密运算过程；控制字解密模块15完成控制字的运算过程，并将控制字直接通过专用总线输出给传输流处理器16；传输流处理器 16完成传输流（TS）的解复用、解扰、二次加扰功能，传输流处理器16包括解复用单元161、解扰器（Descrambler）162（解扰器162进行解扰使用KEY是控制字解密模块15产生的控制字）和用于对传输流处理器16进行二次加扰的加扰器（Scrambler）163（加扰器163的密钥可以来源于中央处理器11）。 0024 本发明所提到的安全岛，就是通过配置存储保护单元14，在条件接收芯片1的总。

20、线地址空间中定义一个安全区域（总线地址区间），安全区域的访问属性如下：首先，该安全区域仅授权的主设备（本发明安全岛内唯一的主设备是DMA控制器12）可以访问，非授权的主设备无法访问；其次，授权的主设备无法将该安全区域的内容搬运至安全区域外，仅能在该安全区域内实现数据的搬运操作。说明书CN 102447955 A CN 102447978 A 4/5页 7 0025 安全岛包含如下组件：非易失性存储器13，其主要存储控制字解密运算需要的密钥、存储保护单元14初始化安全配置信息和DMA控制器12的任务链表；存储保护单元14完成总线上地址区域的保护功能，构建安全岛，且中央处理器11无。

21、法接触到安全岛内信息； DMA控制器12可以实现在安全岛内进行数据搬运，引导控制字解密模块15完成控制字的解密过程；控制字解密模块15完成控制字的运算过程，并将解密后的控制字直接通过专用总线输出给传输流处理器16。 0026 本发明通过硬件安全初始化构建安全岛，使得控制字的运算过程使用DMA控制器 12实现，中央处理器11无法接触到运算过程中产生的中间密钥或者最后的控制字；并且，本发明通过构建DMA控制器12的任务链表（处于安全岛内）使DMA控制器12能完成指定的搬运操作，通过DMA控制器12可以实现控制字的运算过程。 0027 而DMA控制器12安全特性如下：第一，该DMA控制器12。

22、在存储保护单元14的保护下，作为安全岛内唯一的主设备，可有效地实现特定保密数据的点对点传输要求，且不会将绝密数据泄漏至安全岛外；第二，该DMA控制器12将对要执行的任务链表进行保护规则检测，确保每个任务链表没有被错误使用，保证点对点传输的正确性；第三，该DMA控制器 12将检查任务链表中包含的地址是否在安全岛内，保证不会将绝密数据泄漏至安全岛外；虽然中央处理器11能激活DMA控制器12处理任务链表，但是中央处理器11无法控制 DMA控制器12进行任务链表定义之外的任务操作。 0028 结合图2所示，是一个典型的传输流加解扰流程示意图，也就是本发明条件接收芯片实现传输流加解扰处理的流程。

23、示意图。该实施例具体包括如下实现步骤：步骤S11，安全初始化并构建安全岛，包含如下步骤， D1、上电复位后，条件接收芯片1进入硬件安全初始化流程，中央处理器11在此过程中处于复位锁定状态。 0029 D2、DMA控制器12将存储在非易失性存储器13内用于存储保护单元14的安全初始化配置信息搬运到存储保护单元14的配置寄存器中，实现对存储保护单元14的安全配置，形成安全岛。其中，安全岛属性如下：非易失性存储器13只允许DMA控制器12可读，其它主设备（例如中央处理器11）对非易失性存储器13不可访问；DMA控制器12仅可对控制字解密模块15的密钥寄存器进行写操作；DMA控制器12不能。

24、对上述安全岛之外的区域进行访问操作；中央处理器11无法访问控制字解密模块15的密钥寄存器。 0030 D3、安全岛形成，硬件安全初始化结束。 0031 D4、撤离中央处理器11的复位锁定，中央处理器11开始执行程序。 0032 步骤S12、中央处理器11判断是否需要控制字进行解密运算，若是，则进入步骤 S13。 0033 步骤S13、中央处理器11从传输流处理器16的解复用单元161输出信息中，获取授权控制信息ECM（Entitle Control Message）和授权管理信息EMM（Entitle Manage Message），经过中央处理器11处理后，将处理过的ECM/EMM信息输。

25、出到控制字解密模块15 中。 0034 步骤S14、中央处理器11激活DMA控制器12去执行非易失性存储器13内执行控制字解密运算的任务链表。 0035 在控制字解密过程中，需要DMA控制器12执行的任务链表全部存储在非易失性存说明书CN 102447955 A CN 102447978 A 5/5页 8 储器13中，由于非易失性存储器13的访问属性是只允许DMA控制器12进行读操作，且DMA 控制器12无法读取安全岛外的数据，因此，攻击者无法使DMA控制器12执行非法任务链表而对条件接收芯片1进行攻击。 0036 步骤S15、DMA控制器12读取非易失性存储器13内执行控制字解密的。

26、任务链表，将非易失性存储器13内的解密根密钥搬运到控制字解密模块15的密钥寄存器中，DMA控制器12启动控制字解密模块15开始控制字的解密运算过程。 0037 步骤S16、判断是否已完成控制字的解密运算，若是则转入步骤S17，否则转入步骤S14。 0038 步骤S17、控制字解密模块15直接将解密的控制字输出到解扰器162，由解扰器 162对传输流进行解扰处理。 0039 步骤S18、中央处理器11将二次加扰的密钥配置到传输流处理器16中，由加扰器 163对传输流进行二次加扰，并将二次加扰后的传输流输出给机顶盒（Set Top Box，STB）。 0040 综上，本发明通过纯硬件方式实现控制字的运算过程，能大大提高数字电视条件接收芯片的安全性能，简化条件接收系统的复杂度。 0041 以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。说明书CN 102447955 A CN 102447978 A 1/2页 9 图1 说明书附图CN 102447955 A CN 102447978 A 2/2页 10 图2 说明书附图CN 102447955 A 。

展开阅读全文