處理多路復用中的數據的方法和系統以及解碼多路復用的數據流的方法和系統的製作方法

2023-09-19 23:49:35

專利名稱：：處理多路復用中的數據的方法和系統以及解碼多路復用的數據流的方法和系統的製作方法
技術領域：
：本發明涉及一種用於處理始發於主運營商的多路復用中的數據，以通過第二運營商轉發到接收器/解碼器系統的方法，該方法包括接收多路復用的數據流，該數據流包括至少一個攜帶擾碼內容數據的數據流，和用於解擾該至少一個攜帶擾碼內容數據的數據流的至少一個攜帶加密初級密鑰信息的數據流，該初級密鑰信息可使用初級業務密鑰信息來解密。本發明還涉及一種用於處理始發於主運營商的多路復用中的數據，以通過第二運營商轉發到接收器/解碼器系統的系統，該系統包括一個埠，用於接收多路復用的數據流，該數據流包括至少一個攜帶擾碼內容數據的數據流，和用於解擾該至少一個攜帶擾碼內容數據的數據流的至少一個攜帶加密初級密鑰信息的數據流，該初級密鑰信息可使用初級業務密鑰信息來解密。本發明還涉及一種用於解碼多路復用的數據流的方法，包括接收該多路復用的數據流；從該多路復用中濾出至少一個攜帶擾碼內容數據的數據流和一個攜帶加密二級密鑰信息的數據流；使用該加密二級密鑰信息作為能訪問二級業務密鑰的解密模塊的輸入以產生明文二級密鑰信息；和使用該明文二級密鑰信息作為解擾模塊的輸入。本發明還涉及一種用於解碼多路復用的數據流的系統，包括一個埠，用於接收該多路復用的數據流；過濾器裝置，用於從該多路復用中濾出至少一個攜帶擾碼內容數據的數據流和一個攜帶加密二級密鑰信息的數據流；解密模塊，能訪問二級業務密鑰，其中該系統被配置成將該加密二級密鑰信息傳遞到該解密模塊的輸入端，以使用該二級業務密鑰產生明文二級密鑰信息；和解擾模塊，其中該系統被配置成將該明文二級密鑰信息從該解密模塊的輸出端傳遞到該解擾模塊的輸入端。本發明還涉及電腦程式。
背景技術：
：按照ISO/IEC-13818-1定義，已知可以作為添加條件訪問(CA)的MPEG-2傳輸流來廣播數位電視數據。該標準定義了將0個或多個基本流合併成單個位流的方式。程序和程序單元描述符是可以用來擴展程序和程序單元定義的結構。如果任何基本流被加擾，那麼包含該基本流的程序應出現CA描述符。當在TS_program_map_section(table_id＝0x02)中發現該CA描述符時，CA_PID指向包含與諸如ECM的訪問控制信息相關的程序的分組。CA_PID是指示應該包含CA信息的傳輸流分組的PID的欄位。當傳輸流通過兩個或多個獨立運行的傳送系統先後達到預期接受者時會出現一個問題。典型地當第一(中央)運營商將程序提供給本地運營商，每一本地運營商服務於不同的地理區域或者不同類的客戶(例如一個用於有線用戶，一個用於具有衛星接收器的用戶)時，會出現這種問題。然而CA_PID可以只指向一個包含訪問控制信息的數據流。有可能在系統之間的邊界改變訪問控制，但是在這種情況下，鏈中的第一運營商不能夠與鏈末端的用戶進行直接和排他的交互。特別是，他不能控制他們對內容的訪問。相反，他不得不信任後一個運營商，該運營商對該基本流解擾並使用他自己的控制字和密鑰對其再加擾。作為選擇，第二運營商和任何另外的運營商可以保持第一運營商添加的條件訪問。然而，這意味著鏈中最後一個運營商沒有機會獨立地與用戶進行交互。特別是他無法控制他所發送的程序的訪問級別。在鏈中最後一個運營商區分不同用戶組的情況下，這意味著對於訪問程序的條件他們之間沒有區別。作為選擇，第一運營商必須以額外的傳輸容量的代價，發送同一程序的不同保護版本到不同的其他運營商。
發明內容本發明的一個目的是提供在前四段中所述類型的方法和系統，使得主運營商和第二運營商可以使用上面所定義的分級密鑰方案來實現CA系統，其允許他們彼此獨立的控制對信息流的訪問。該目的是通過一種用於處理始發於主運營商的多路復用中的數據，以通過第二運營商轉發到接收器解碼器系統的方法實現的，其特徵在於使用二級密鑰信息對至少攜帶初級密鑰信息的信息流加擾，和加密二級密鑰信息以便可以用二級業務密鑰信息來解密。這樣，需要兩個業務密鑰來訪問內容數據。運營商的鏈末端用戶缺少二級業務密鑰就無法訪問該內容數據，因為他沒有訪問該初級密鑰信息，該初級密鑰信息已經被二級運營商使用上面所定義的方法進行加擾。該用戶或者二級運營商沒有初級業務密鑰就不能訪問該內容數據，該初級密鑰信息由主運營商獨立地分發。因為在訪問該內容數據之前可能必須進行兩個解密處理，所以有二級訪問控制。因為不需要兩次加擾內容數據就已經獲得該信息，所以並不需要包括指向兩個獨立的數據流的CA描述符。在優選的實施例中，攜帶加密二級密鑰信息的數據流被多路復用到所接收到的多路復用中。於是，多路復用接收器並不需要將多路復用與加密二級密鑰信息同步。在優選的實施例中，其中所接收到的多路復用包括分組數據，每一分組包括與唯一標識各個數據流的明文數據流標識符數據連結的有效載荷，攜帶初級密鑰信息的數據流的至少數據流標識符數據保持為明文，並且以分組數據流的形式產生攜帶加密二級密鑰信息的數據流，每一分組包括該數據流所唯一的明文數據流標識符。術語「明文」會在本發明通篇中使用，指的是不需要使用密鑰或控制字進行預先解擾或解密就可以理解(即可以根據預定義的語法進行解析)的信息。本實施例的這一特徵使得能夠通過用戶的解碼器來標識攜帶初級密鑰信息和加密二級密鑰信息的數據流。該基於分組的格式允許從多路復用中分離相關數據。明文標識符使得過濾器能夠查找到感興趣的數據分組，而不需要先對數據流進行解擾。在第一個實例中，只需要通過解擾器對這兩個數據流進行處理。一個優選實施例包括加入明文描述符信息，其將攜帶擾碼加密初級密鑰信息的數據流連結到攜帶加密二級密鑰信息的數據流。於是，將使得它能夠定位和濾出攜帶加密二級密鑰信息的信息提供給用戶的解碼器。因為描述符信息是明文，在用戶的解碼器中可以裝配過濾器來濾出攜帶擾碼加密初級密鑰信息的數據流和攜帶加密二級密鑰信息的數據流，而不需要通過預先解擾和解密來檢索信息，該信息使得解碼器能夠標識攜帶加密二級密鑰信息的數據流。這就避免了延遲，能夠更快的解碼和/或在接收器/解碼器中使用更小的緩衝器。在優選實施例中，加入有明文描述符信息，其進一步包括系統標識符數據，其將加入的信息與接收到的多路復用中的明文信息關聯，該明文信息將攜帶擾碼數據內容的每一數據流與包括權利管理數據的數據流關聯，使得可訪問該初級業務密鑰信息。這就將二級密鑰信息連結到內容數據的數據流中，該方法為該數據流添加額外的訪問控制級別。它使得解碼器根據一個調諧命令為所有的相關數據設置過濾器，而不需要在調諧之前進行解密或解擾，從這種意義上說，在解碼器中，從整個多路復用中選擇所需要的數據流因此可以與訪問該數據所需要的解擾和解密分離。在解碼器的複雜性方面，這相比於對多路復用反覆的進行解擾和解密處理然後再次過濾以檢索出進一步所需要的數據流更有利。一個優選實施例包括接收多路復用，其包括使得該初級業務密鑰信息可訪問的權利管理數據流，其中重新設置該權利管理信息數據流以進一步包括使得二級業務密鑰信息可訪問的權利管理信息。於是兩種類型的業務密鑰信息的權利管理數據就合併到一個數據流。這就降低了在轉發多路復用上的解碼器中的處理複雜性。優選的，對於接收到的多路復用中包括的數據流，只有攜帶初級密鑰信息的數據流被加擾。於是，實現該方法的系統的處理能力和運行在轉發多路復用上的解碼器的處理能力都可以保持不過度。由於為了訪問擾碼內容數據需要初級密鑰信息，只對該數據流中的數據進行加擾就足以加入一個額外訪問控制級別。根據本方面的另一方面，該用於處理始發於主運營商的多路復用中的數據，以通過第二運營商轉發到接收器/解碼器系統的系統的特徵在於，該系統進一步包括加擾模塊，使用二級密鑰信息對至少攜帶初級密鑰信息的數據流加擾；和加密模塊，用於加密該二級密鑰信息以便可以用二級業務密鑰信息來解密。此處所使用的術語「模塊」指的是一個獨立單元，其可以用軟體、硬體或軟體和硬體的組合來實現。因此這種單元主要應該理解為功能單元。根據本發明的系統可以用於實現根據本發明的方法，並從而提供類似的有利效果。根據另一方面，本發明提供一種用於計算機系統的電腦程式，該計算機系統至少包括處理器、主存儲器和用於接收多路復用數據流的埠，其中該電腦程式在運行時，使得該計算機系統能夠執行一種根據本發明在始發於主運營商的多路復用中處理數據，以通過第二運營商轉發到接收器解碼器系統的方法。根據本發明的另一方面，該解碼多路復用數據流的方法的特徵在於進一步從該多路復用中濾出一個攜帶擾碼加密初級密鑰信息的數據流；使用解擾模塊產生使用了明文二級密鑰信息的未加擾的加密初級密鑰信息，；和使用該加密初級密鑰信息作為能夠訪問初級業務密鑰的解密模塊的輸入，以產生用於解擾攜帶擾碼內容數據流的明文密鑰信息。通過使用加密二級密鑰信息作為能夠訪問二級業務密鑰的解密模塊的輸入，並使用加密初級密鑰信息作為能夠訪問初級業務密鑰的解密模塊的輸入，該方法允許對多路復用的訪問，其中已經加入了兩級條件訪問。初級業務密鑰和二級業務密鑰可以獨立的進行訪問，例如在兩份獨立的預訂的情況下。同時，基本類型的處理與對只加入一級條件訪問的內容數據的訪問所使用的處理相同。根據本發明的另一方面，該用於解碼多路復用數據流的系統的特徵在於過濾器裝置適用於濾出攜帶擾碼加密初級密鑰信息的多路復用數據流，該系統被配置成傳遞該擾碼加密初級密鑰信息到解擾模塊的輸入端，以使用明文二級密鑰信息產生未加擾的加密初級密鑰信息，並且該系統被配置成將解密的初級密鑰信息從解擾模塊的輸出端傳送到能夠訪問初級業務密鑰的解密模塊的輸入端，並適用於產生用於解擾攜帶擾碼內容數據流的明文初級密鑰信息。該系統提供到包括內容數據的數據流的多路復用的訪問，其中已經獨立的加入了兩級條件訪問。該系統的基本硬體組件與訪問只加入一級條件訪問的內容數據的多路復用的解碼器系統的基本硬體組件相同。區別主要在於各個處理的輸出作為進一步處理的輸入的方式，以及對過濾裝置編程的方法。這種區別可以用軟體或固件來實現，使得該系統具有這樣的優點它可以在相當大範圍的遺留解碼器上實現。根據本發明的另一方面，提供有一種用於計算機系統的電腦程式，該計算機系統至少包括處理器、主存儲器和用於接收多路復用數據流的埠，該電腦程式在運行時使得該計算機系統能夠執行一種根據本發明的解碼多路復用數據流的方法。現在參照附圖進一步對本發明進行描述，其中圖1示意性示出了在本發明中有利使用的廣播系統的結構圖；圖2示意性示出了部分傳輸流，以及傳輸流分組的結構；圖3示意性示出了根據MPEG-2系統標準的程序關聯部分的結構；圖4示意性示出了根據MPEG-2系統標準的程序映像部分的結構；圖5示意性示出了根據MPEG-2系統標準的CA部分的結構；圖6示意性示出了根據MPEG-2系統標準的CA描述符的結構；圖7是本地業務運營商採用的系統的示意說明，其用於處理從圖1中廣播系統中的主業務運營商接收到的MPEG-2傳輸流；和圖8是用於實現本發明的集成接收器/解碼器的範例的示意說明。具體實施例方式在圖1中，示意性的給出了廣播系統的一個範例。主業務運營商1將多路復用數據流發送到第一和第二本地業務運營商2、3。發送是通過利用經過第一分布網絡4的連結進行的。第一分布網絡4可以是無線、有線或其組合網絡。主業務運營商1便利的通過衛星鏈路將多路復用發送到本地業務運營商2、3，該衛星鏈路使用了例如符合DVB-S(通過衛星的數字視頻廣播發送)標準的技術。該技術歸檔在歐洲標準ETSIEN300421中。作為選擇，可使用地面或有線廣播技術發送多路復用。另一選擇是可以在基於網際網路協議(IP)的網絡上發送。第一本地業務運營商2使用第一本地分布網絡6將從主業務運營商1接收到的內容數據轉發到第一用戶群5a-5c。第二本地業務運營商3將從主業務運營商1接收到的內容數據轉發到第二用戶群7a-7c。內容數據包括編碼有可能被用戶群5a-5c和7a-7c訪問的信息數據。這就包括音頻、視頻和文本信息。觀察到第一和第二本地業務運營商3、4從主業務運營商1接收相同的多路復用數據流(不包括任何地址信息)。特別的，主業務運營商1隻需要採用一個條件訪問系統來控制到多路復用的訪問。主業務運營商1也並不必要根據訪問內容數據所需要的密鑰信息來區分不同的接收者。此處將闡述一個範例，其中所提供的多路復用數據流是以根據MPEG-2系統標準(ISO/IEC13818-1)分組的多路復用數據流。於是，本地業務運營商2、3接收到的和第一用戶群5a-5c和第二用戶群7a-7c接收到的多路復用是由MPEG-2傳輸流(TS)分組組成。下面將參照圖2-6，複述與理解所描述實施例有關的標準部分。另外該標準被引做參考，並可以用於查閱更加詳細的信息。圖2所述為包括三個TS分組10的MPEG-2傳輸流的部分9。每一TS長188位元組，連結報頭11和有效載荷12。每一分組10包括用於檢測TS分組10的邊界的同步信息。同步信息包括在報頭11的同步字節13中。同步字節13是預定義數據序列，對於產生部分9的編碼器，在TS分組10中的任何其它地方都不允許使用該同步字節。因此用戶的解碼器可以可靠地分離各個TS分組10。主業務運營商1按照時間表將要發送到用戶群5a-5c和用戶群7a-7c的事件或程序組裝成序列。業務就是在廣播裝置控制下的程序序列，其可以作為部分時間表被廣播。每一事件是由至少一個基本流、也稱為組件組成。這些可以包括一個或多個視頻數據流、音頻數據流、文本數據流等。至少音頻和視頻組件具有共同時基。基本流數據攜帶在所謂的分組基本流分組(PES分組)中。PES分組包括報頭和有效載荷，其包括一個可變長度的內容數據欄位。PES流由PES分組組成，所有PES分組的有效載荷由來自單個基本流的數據組成，並且所有PES分組具有相同的流標識，即，報頭中包含的該流唯一的代碼。PES分組又由TS分組10攜帶。每一TS分組10隻攜帶來自一個基本流的內容數據。因為PES分組可以是可變長度的，一個PES分組可以分布在多個TS分組10上。每一TS分組10的報頭11包括分組標識符(PID)14，其以一種獨特的方式對應於被該特定TS分組10攜帶的PES分組報頭中的標識符。因此，PID唯一地標識基本流。通過MPEG編碼器分配PID14的值，該編碼器被用於產生主業務運營商1發送的多路復用。然而，為用於攜帶編碼程序特定信息(PSI數據)的數據的基本流保留多個PID值，PSI數據簡化了對所發送的數據流的解碼。PSI數據包含在表格形式中。該表格長度根據多路復用中所包含的基本流的數目而變化。因此PSI表格被劃分成添加有連續數據的部分，從而使得解碼器可以重新構建整個表格而不會出現遺漏。在圖3-5中示意性表示了與這裡所描述的實施例相關的部分的類型範例。圖3所示為程序關聯部分15。該數據攜帶在TS分組10中，其PID值為「0x00」。因此攜帶這些部分15中的數據的TS分組10總是可以被解碼器找到，當然假設它們沒有被加擾。程序關聯表(PAT)提供攜帶程序定義的TS分組10的程序編號16和程序映像PID值17之間的對應。程序編號是與一個程序相關的並且特定於一個程序的標號。程序定義標識與該特定程序相關的數據。程序關聯部分15，如圖所示，可以包括程序編號16和程序映像PID值17的多個組合，即多個數據項，分別指向攜帶定義各個程序組成的數據的基本流。程序映像PID值17指向攜帶程序映像表(PMT)的基本流，該程序映像表也可以被劃分成一個或多個部分。圖4中示出程序映像部分18。程序編號項19對應於該程序編號16。程序信息20允許解碼器檢索指向該基本流的信息，以及所有這些基本流的共同信息。欄位program_info_length21向解碼器指示該程序信息20中的數據量。所有這些基本流的共同信息攜帶在位於程序部分20起始的描述符22中。描述符22包含可以應用於整個程序的信息，其後面是與該程序中組件一樣多的標識各個基本流的信息集合23。每一集合23包括欄位elementary_PID24，其包含所關心的基本流的PID值，以及包括一個或多個描述符的基本流信息25。欄位streamtype26標識基本流的類型，例如視頻、音頻、數據、私有等等。該欄位26中數據的可能值是預定義的。PSI數據也包括一個條件訪問表(CAT)，其攜帶在基本流中，所具有的PID值為「0x001」。該CAT也可以劃分成多個部分。圖4所示為條件訪問部分27。該CAT將每一條件訪問(CA)系統與包括權利管理數據、特別是權利管理消息(EMMs)形式的數據流關聯起來。對於每一CA系統，即對於權利管理數據的每一數據流，包括有一個CA描述符28。圖5更詳細的示出了CA描述符28。它包括如此標識它的descriptor_tag29。它還包括信息CA_system_ID30，其標識使用的CA系統。每一CA系統具有預定義的值。它進一步包括欄位CA_PID31。當CA描述符28包括在條件訪問部分27中時，它將CA_system_ID30標識的CA系統連結到攜帶與該CA系統相關聯的權利管理數據的基本流。在下面，假定主業務運營商1將藉助於CA系統保護的程序發送到本地業務運營商2、3。於是多路復用TS分組10包括具有PID值「0x00」、攜帶具有該程序的程序編號16的程序關聯部分15的分組，和指向具有某個PID值的TS分組10的程序映像PID值17。具有該某個PID值的TS分組10攜帶程序映像部分18，其反過來包括多個信息集合23，每一信息集合與包括在該程序中的基本流相關。作為範例，可能有視頻數據流A和音頻數據流B。數據流A和B的stream_type26的值反映了各個數據流的屬性。數據流A和B是擾碼形式的，意思是如果沒有合適的解碼器和連續快速變化控制字(CWs)形式的密鑰信息，其中的數據是不可理解的。該CWs包含在另外一個基本流攜帶的權利控制信息(ECMs)中。ECMs或至少CWs被加密，以便可以使用變化相對慢的業務密鑰來解密。主業務運營商的每一業務密鑰的至少部分值包含在被CAT中的CA描述符引用的數據流中的EMMs中。需要用來從ECMs中提取主業務運營商的CWs的信息此處稱作「初級業務密鑰信息」。需要用來解擾內容數據流A、B的信息稱作初級密鑰信息。攜帶主業務運營商的ECMs的TS分組10可以藉助於它們自己的PID值標識。在程序映像部分18中的信息集合23中參考該PID值。在欄位stream_type26中將該信息流的類型標識為「私有」。將數據流標識為包含ECMs的stream_type26的值在從主業務運營商1始發的數據流中並未使用。因此，解碼器應該知道在哪裡找到主業務運營商1的ECMs，在程序映像部分18中包含將擾碼內容數據流連結到攜帶ECMs的數據流的信息。這是藉助於CA描述符28完成的，其中CA_PID31具有攜帶ECMs的數據流的PID值。該CA描述符28可以是一個可以應用於所有基本流的描述符22，或可以位於每一擾碼內容數據流A、B的基本流信息25中。因此，解碼器應該知道在哪裡找到主業務運營商1的ECMs，CA描述符28也包括在CA部分27中。位於CA描述符中的CA_PID31具有攜帶EMMs數據流的值。CA_system_ID30的值與指向EMM數據流的和指向ECM數據流的CA描述符相同。於是CA_system_ID30的值將描述符信息與權利管理數據流關聯起來，其中該描述符信息將ECM數據流連結到攜帶擾碼內容的數據流A、B，並且該權利管理數據流用於使得初級業務密鑰信息可訪問。圖7所示為用來處理由第一本地業務運營商2從主業務運營商1接收到的MPEG傳輸流的系統的示例結構。顯然該圖應該從功能方面理解。並不意欲採用與離散數據處理裝置一對一的對應關係。並不需要在一個地方提供所有組件。它們並不需要全部被第一本地運營商2處理。一些可以在第一和第二本地運營商2和3之間共享。通過第一網絡接口模塊32接收始發於主業務運營商1的MPEG傳輸流，例如衛星調諧器。該MPEG傳輸流傳送到用於過濾和去多路復用數據流的模塊33。能夠訪問主存儲器35的計算機處理器34控制該系統的運行。模塊33濾出上面所引用的程序特定信息。因為接收到的多路復用包括分組數據，並且每一分組包括帶有明文數據流標識符數據、也就是PID14的(加擾)有效載荷，這不需要任何解擾就可以進行。同CA部分27一樣檢索程序關聯部分15和所需要的程序映像部分18。使用程序映像部分18，更具體的使用將擾碼內容數據流A、B連結到攜帶初級密鑰信息的主運營商ECM數據流的CA標識符28來檢索主運營商的ECM數據流的PID14。將該PID14的值傳送到擾碼器36，其只對該數據流中的TS分組10進行加擾，而不對始發於主運營商1的多路復用中屬於其它數據流的TS分組10進行加擾。擾碼器36進一步對本地業務運營商2添加的數據流進行加擾，如下面將要說明。擾碼器36於是至少對主運營商的ECM數據流進行加擾。可以使用第一本地業務運營商2的連續快速變化的控制字(CWs)對該數據流進行解擾，其由產生控制字的模塊37產生。本地運營商的CWs稱作二級密鑰信息。通過ECM產生模塊38對該二級密鑰信息進行加密，從而能夠使用二級業務密鑰信息進行解密。用戶授權系統(SAS)39向ECM產生模塊38提供二級業務密鑰信息，或與二級業務密鑰成對的密鑰。本地業務供應商2的ECM數據流在計算機處理器34的控制下，通過多路復用模塊40添加到接收到的多路復用中。本地業務運營商的ECM數據流是獨立的分組數據流，通過它自己唯一的PID值標識，它保持為明文。相應的，計算機處理器34也從用於過濾和去多路復用的模塊33接收程序特定信息。該信息按照進一步在下面所闡述的方式被修改。使得二級業務密鑰信息可訪問的信息由SAS39提供到EMM產生器41。EMM產生器41產生包括密鑰信息和特定用戶權利的權利管理信息。該本地業務運營商2的EMMs使得二級業務密鑰信息可訪問，因為二級業務密鑰的值是從包括在EMMs中的信息得出的。實際中可能需要組合或使用存儲在訪問令牌中的秘密信息來從包括在EMMs中的信息中得出二級業務密鑰的值，對於主業務運營商1的EMMs也是這種情況。EMM產生器41所產生的EMMs也通過多路復用單元40加入到始發於主業務運營商1的MPEG傳輸流中。多路復用單元進一步加入替代原始程序特定信息的程序特定信息。具體的，通過為攜帶加密二級密鑰信息的ECM數據流加入信息集合23，修改程序映像部分18。Stream_type26的值指示該加入的數據流是ECM數據流。攜帶主業務運營商1的ECMs的私有數據流的信息集合23被修改，其中加入了CA描述符28。CA_PID31具有加入到該多路復用中的ECM數據流的值。於是它將攜帶擾碼加密初級密鑰信息的數據流連結到攜帶加密二級密鑰信息的數據流。而且CA_system_ID30具有與用於擾碼內容數據流A、B的多個CA_descriotors28中的CA_system_ID30相同的數值。然而CA部分27沒有被修改。在多路復用中仍保留有CA_descriptors28，其CA_PID31具有主業務運營商1的ECM數據流的值。這樣，加入到程序映像部分18中的CA_descriotor28包括系統標識符數據，其關聯著加入的描述符和保留在CA部分27中的CA_descriotors28。該後一個CA描述符28會被調用，它將攜帶擾碼內容的每一數據流與包括用於使得初級業務密鑰信息可訪問的權利管理數據流關聯起來。程序特定信息沒有被擾碼器36加擾。用於過濾和去多路復用接收到的MPEG傳輸流的模塊33濾出攜帶主業務運營商的權利管理信息的數據流。組合模塊42將主業務運營商的權利管理信息與EMM產生器41所產生的信息組合。於是將攜帶同時能夠使得初級業務密鑰信息可訪問和使得二級業務密鑰可訪問的權利管理信息的單個數據流提供到該多路復用單元40。該數據流保持它原始的PID值。這樣，CA部分27中的原始CA描述符28使得解碼器能夠查找到權利管理信息的兩個集合。觀察到第一本地業務運營商2可以以相同的方式處理始發於另一廣播裝置的多路復用，在加入二級條件訪問之後組合這兩個或多個多路復用。這就會出現這樣一種現象，即這兩級條件訪問是完全獨立的。同樣的，本地業務運營商2可以只用一級(它自己的)條件訪問加入另外的內容數據。於是多路復用單元40的輸出可以比在本範例中的內容更多。被修改的MPEG傳輸流被提供到擾碼器36，其優選的只對攜帶初級密鑰信息的數據流、即主業務運營商1的ECM數據流進行加擾。當然，如果加入了不是源於主運營商1的其他內容數據流，那麼它們也可以被加擾。可以採用相同的CWs用於此目的。第二網絡接口模塊43允許數據流通過第一本地分布網絡6傳輸到第一用戶群5a-5c。每一用戶至少具有一個集成的接收器/解碼器44，作為解碼多路復用的系統的一部分。在圖8中所示為這種系統的代表性範例。在解碼器處理器45的控制下執行該解碼方法，其可以訪問(易失性)主存儲器46，並可以通過系統總線47提供控制命令。該電腦程式使得處理器45能夠控制解碼過程，其存儲在只讀存儲器(ROM)48中，和/或可以通過控制器49被處理器45訪問，控制器49提供到存儲介質50、諸如硬碟單元或光介質讀數器的訪問。這種存儲介質50也可以用來裝載編碼到ROM48，如本領域所熟知的，以提供具有請求功能的IRD44。在所示的範例中，用於解碼來自第一本地業務運營商2的多路復用數據流的系統也包括通過接口52與IRD44通信的CA模塊51，接口52優選的與通用接口標準兼容。CA模塊51反過來與訪問令牌配合，在這種情況下是通過智慧卡接口54與智慧卡53配合。在該範例中，智慧卡53具有主處理器55、存儲器56和密碼協處理器57。智慧卡53存儲有主業務運營商1提供的訂購數據，以及第一本地業務運營商2提供的訂購數據。它優選的為多扇區卡，能夠獨立地處理源於主業務運營商1和源於第一本地業務運營商2的條件訪問數據。該CA模塊51具有用於接收來自IRD44的命令的接口模塊58，和用於實現該智慧卡接口54的智慧卡接口模塊59。它進一步包括處理器60、ROM61和RAM62，用於執行刪除由主業務運營商1和第一本地業務運營商2加入的條件訪問保護處理過程的各個步驟。該IRD44藉助於IRD網絡接口模塊63通過第一本地分布網絡6接收廣播數據。該模塊63通過接口52將MPEG傳輸流傳送到過濾和解擾模塊64。該過濾和解擾模塊64從接收到的多路復用中濾出程序特定信息，該信息包含在具有對應於程序關聯部分15和CA部分27的PID值的TS分組10中。來自IRD的調諧命令指導它濾出一個程序映像部分18的數據流，其攜帶在程序關聯部分15中所標識的TS分組10中。明文程序映像部分18標識第一本地業務運營商2的ECM數據流，即攜帶加密二級密鑰信息的數據流。擾碼內容數據流A、B的CA描述符28標識攜帶擾碼加密初級密鑰信息的數據流、即主業務運營商1的擾碼ECMs。過濾和解擾模塊64被編程以濾出具有該密鑰信息的兩個數據流。因為TS分組10由連結擾碼有效載荷12的明文分組報頭11組成，模塊64能夠根據PID值過濾。於是，過濾包括檢測TS分組報頭11中的明文PID值，和選擇PID值與所編程的標識數據匹配的這些TS分組10。同步字節sync_byte13也是明文，它使得能夠標識具有擾碼有效載荷12的TS分組10的邊界。CA部分27用來標識攜帶權利管理信息的TS分組10的PID值。在該數據流上也設置有過濾器。該權利管理信息被發送到智慧卡53。該信息提供到初級業務密鑰信息和二級業務密鑰信息的訪問，假設該智慧卡53在其中存儲有所需要的用於主業務運營商1和第一本地業務運營商2的訂購數據。智慧卡53將業務密鑰信息保持在存儲器56的安全環境中。注意到攜帶在程序映像部分18和CA部分27中的CA描述符28中CA_system_ID30的值關聯著具有CA描述符28的EMM數據流，該描述符將主業務運營商ECMs的擾碼數據流連結到本地業務運營商ECMs的擾碼數據流。由於程序特定信息是明文，所以可以相對快速和簡單的完成對過濾和解擾模塊64中過濾裝置的編程。CA模塊51將攜帶加密二級密鑰信息(即第一本地業務運營商2的ECMs)的數據流提供給智慧卡53。它使用二級業務密鑰信息解密該二級密鑰信息。明文二級密鑰信息返回到CA模塊51。它被過濾和解擾模塊64使用來對攜帶加密初級密鑰信息的擾碼數據流、即攜帶主業務運營商的ECMs的擾碼數據流進行解擾。這樣就可以將未加擾的加密初級密鑰信息提供給智慧卡53，以使用初級業務密鑰信息進行解密。智慧卡53返回控制字給CA模塊51，對擾碼內容數據流A、B進行解擾。MPEG傳輸流多路復用通過CA模塊51返回到IRD44，以通過去多路復用器65去多路復用，通過MPEG解碼器66進行解碼，並分別通過音頻DAC67和視頻DAC68轉換成音頻和視頻信號。於是，內容數據被顯而易見地提供給IRD44的用戶。擾碼內容數據流A、B在過濾和解擾模塊64中使用從智慧卡53接收到的CWs可以是未加擾的。可替換的，CWs可以被傳送到IRD44，以使得它對攜帶擾碼內容的數據流進行解擾。本發明並不限於上述實施例，其可以在所附權利要求的範圍內變化。特別的，圖8中所示的解碼系統可以被修改，使得CA模塊的所有功能都包含在運行於IRD44上的軟體中，並由主處理器45執行。CA模塊51和智慧卡53也可以組合成一個安全的、可防止修改的單元。而且，IRD44所接收到的多路復用在解碼之前可以被存儲在存儲介質50上或被緩衝，直到得到對該內容數據流進行解擾的控制字。權利要求1.一種用於處理始發於主運營商(1)的多路復用(9)中的數據，以通過第二運營商(2、3)轉發到接收器/解碼器系統(5a-c、7a-c)的方法，該方法包括接收多路復用的數據流，該數據流包括至少一個攜帶擾碼內容數據的數據流，和用於解擾所述至少一個攜帶擾碼內容數據的數據流的至少一個攜帶加密初級密鑰信息的數據流，該初級密鑰信息可使用初級業務密鑰信息來解密，其特徵在於使用二級密鑰信息對至少所述攜帶初級密鑰信息的數據流進行加擾；和加密所述二級密鑰信息，以便可以用二級業務密鑰信息來解密。2.根據權利要求1的方法，其中所述攜帶加密二級密鑰信息的數據流被多路復用成所述接收的多路復用。3.根據權利要求1或2的方法，其中所述接收的多路復用包括分組數據，每個分組(10)包括與唯一標識各個數據流的明文數據流標識符數據(14)連結的有效載荷(12)，其中至少所述攜帶初級密鑰信息的數據流的數據流標識符數據(14)保持為明文，並且其中以分組數據流的形式產生所述攜帶加密二級密鑰信息的數據流，每一分組(10)包括該數據流所唯一的明文數據流標識符(14)。4.根據權利要求2或3的方法，包括加入明文描述符信息(28)，其將所述攜帶擾碼加密初級密鑰信息的數據流連結到所述攜帶加密二級密鑰信息的數據流。5.根據權利要求4的方法，其中加入明文描述符信息(28)，其進一步包括系統標識符數據(30)，將所述加入的信息與所述接收的多路復用中的明文信息(27、28)關聯，該明文信息(27、28)將所述攜帶擾碼內容數據的每一數據流與包括權利管理數據的數據流關聯，使得可訪問所述初級業務密鑰信息。6.根據前述任一權利要求所述的方法，包括接收一個數據流，該數據流包括使得能訪問所述初級業務密鑰信息的權利管理數據，其中重新設置所述權利管理信息的數據流以進一步包括使得能訪問二級業務密鑰信息的權利管理信息。7.根據前述任一權利要求所述的方法，其中在包含於所述接收的多路復用的數據流中，只對所述攜帶初級密鑰信息的數據流加擾。8.一種用於處理始發於主運營商(1)的多路復用中的數據，以通過第二運營商(2、3)轉發到接收器解碼器系統的系統，該系統包括一個埠(32)，用於接收多路復用(9)的數據流，該數據流包括至少一個攜帶擾碼內容數據的數據流，和用於解擾所述至少一個攜帶擾碼內容的數據流的至少一個攜帶加密初級密鑰信息的數據流，該初級密鑰信息可使用初級業務密鑰信息來解密，其特徵在於該系統進一步包括加擾模塊(36)，用於使用二級密鑰信息對至少所述攜帶初級密鑰信息的數據流進行加擾；和加密模塊(38)，用於加密所述二級密鑰信息，以便可以用二級業務密鑰信息來解密。9.根據權利要求8的系統，進一步包括多路復用器(40)，用於將一個攜帶加密二級密鑰信息的數據流多路復用成所述接收的多路復用。10.根據權利要求8或9的系統，用於執行根據權利要求1-7任一項的方法。11.一種用於計算機系統的電腦程式，該計算機系統至少包括處理器(34)、主存儲器(35)和用於接收多路復用的數據流的埠(32)，該電腦程式在運行時，使得該計算機系統能夠執行根據權利要求1-7任一項的方法。12.一種用於解碼多路復用(9)的數據流的方法，包括接收該多路復用的數據流；從該多路復用中濾出至少一個攜帶擾碼內容數據的數據流和一個攜帶加密二級密鑰信息的數據流；使用該加密二級密鑰信息作為能夠訪問二級業務密鑰的解密模塊(53、55、57)的輸入以產生明文二級密鑰信息；和使用該明文二級密鑰信息作為解擾模塊(64)的輸入，其特徵在於進一步從該多路復用中濾出一個攜帶擾碼加密初級密鑰信息的數據流；使用解擾模塊(64)產生使用了該明文二級密鑰信息的未加擾的加密初級密鑰信息，；和使用該加密初級密鑰信息作為能夠訪問初級業務密鑰的解密模塊(53、55、57)的輸入，以產生用於解擾攜帶擾碼內容數據的數據流的明文初級密鑰信息。13.根據權利要求12的方法，其中所述接收的多路復用的數據流包括分組數據，每一分組(10)包括與唯一標識各個數據流的明文數據流標識符數據(14)連結的有效載荷(12)，其中通過檢測與編程的標識數據相匹配的數據流標識符數據濾出該數據流。14.根據權利要求12或13的方法，包括通過從該多路復用中濾出明文描述符信息(18、23、28)來標識所述攜帶加密二級密鑰信息的數據流，其中所述明文描述符信息將所述攜帶擾碼加密密鑰信息的數據流連結到所述攜帶加密二級密鑰信息的數據流。15.根據權利要求14的方法，包括從所述描述符信息(18、23、28)中檢索系統標識符數據(30)，其將所述描述符信息與所述接收的多路復用中的明文信息(27、28)關聯，該明文信息(27、28)將所述攜帶擾碼內容數據的每一數據流與一個包括權利管理數據的數據流關聯；檢索出明文信息(27、28)，其將所述攜帶擾碼內容數據的每一數據流與所述包括權利管理數據的數據流關聯；從接收的多路復用中濾出該包括權利關聯數據的數據流；和使用至少部分權利管理數據來提供到二級業務密鑰的訪問。16.根據權利要求15的方法，其中使用權利管理數據的另外一部分來提供到初級業務密鑰的訪問。17.一種用於解碼多路復用的數據流的系統，包括一個埠(63)，用於接收該多路復用的數據流；過濾器裝置(64)，用於從該多路復用中濾出至少一個攜帶擾碼內容數據的數據流和一個攜帶加密二級密鑰信息的數據流；解密模塊(53、55、57)，其能夠訪問二級業務密鑰，其中該系統被配置成將該加密二級密鑰信息傳遞到該解密模塊的輸入端，以使用該二級業務密鑰產生明文二級密鑰信息；和解擾模塊(64)，其中該系統被配置成將該明文二級密鑰信息從該解密模塊(53、55、57)的輸出端傳遞到該解擾模塊(64)的輸入端，其特徵在於過濾器裝置(64)適用於從該多路復用中濾出一個攜帶擾碼加密初級密鑰信息的數據流；該系統被配置成將該擾碼加密初級密鑰信息傳遞到解擾模塊(64)的輸入端，以使用該明文二級業務密鑰產生未加擾的加密初級密鑰信息；並且該系統被配置成將該加密初級密鑰信息從解擾模塊(64)的輸出端傳遞到能夠訪問初級業務密鑰的解密模塊(53、55、57)的輸入端，並適用於產生明文初級密鑰信息以對攜帶擾碼內容的數據流進行解擾。18.根據權利要求17的系統，用於執行根據權利要求12-16任一項的方法。19.一種用於計算機系統的電腦程式，該計算機系統至少包括處理器(45、55)、主存儲器(46、62)和用於接收多路復用的數據流的埠(63、64)，該電腦程式在運行時使得該計算機系統能夠執行根據權利要求12-16任一項的方法。全文摘要一種用於處理始發於主運營商(1)的多路復用(9)中的數據，以通過第二運營商(2、3)轉發到接收器/解碼器系統(5a－c、7a－c)的方法，包括接收多路復用的數據流，該數據流包括至少一個攜帶擾碼內容數據的數據流，和用於解擾該至少一個攜帶擾碼內容數據的數據流的至少一個攜帶加密初級密鑰信息的數據流，該初級密鑰信息可使用初級業務密鑰信息來解密，使用二級密鑰信息對至少攜帶初級密鑰信息的數據流進行加擾；加密二級密鑰信息以便可以用二級業務密鑰信息來解密。文檔編號H04L12/54GK1722659SQ20041006869公開日2006年1月18日申請日期2004年9月2日優先權日2004年7月13日發明者安德魯·A.·瓦吉斯申請人:耶德託存取公司