數字傳輸系統中數據的鑑別的製作方法

2023-06-13 18:33:46 1

專利名稱：數字傳輸系統中數據的鑑別的製作方法
技術領域：
本發明涉及在數字傳輸系統中發送數據的鑑別方法。
背景技術：
數字數據的廣播傳輸在付費TV系統的領域中是公知的，在這些系統中通常利用衛星/有線鏈路發送擾頻的視聽信息給許多用戶，每個用戶擁有能解擾發送的節目以便隨後觀看的解碼器。地面數字廣播系統也是公知的。除了或以及視聽數據之外，近來的系統也使用廣播鏈路來發送其他數據，發送諸如電腦程式或交互應用程式給解碼器或連接的PC。
應用數據傳輸所具有的一個具體問題在於需要驗證任何這樣的數據的完整性與起源。由於這種類型的數據可以用於重新配置解碼器，以及實施任何數量的交互式應用程式，所以接收的數據是完整的並且識別為從公知的信號源中始發是必不可少的。否則，與下載不完整數據相關的操作問題以及此解碼器對於第三方等的侵襲變得不設防的危險可能出現。
鑑別這樣的數據的以前嘗試集中在分組流中數據的封裝或格式化級別上的驗證。例如，歐洲專利申請EP0752786描述一種系統，在此系統中數據封裝在一系列模塊中或使用與MPEG標準相關的術語封裝在一系列表或部分中，然後將這些表或部分封裝在MPEG傳送流的分組中。
相對制表數據、例如包含具有用於那個應用程式的數據的所有表的一個列表的目錄表，和與每個表相關以允許表數據的以後驗證的散列值的表一起執行鑑別操作。此目錄表自身可以在發送之前進行標記，以使不改變這些散列與特徵標記不可以修改此目錄表以及相關表中的信息。
這樣的公知系統的問題在於其不適於處理更複雜的數據組成結構。具體地，包含每個相關表的完整散列值表的單個目錄表的使用意味著這樣的系統不容易適用於處理大的或可變數量的表。
由於單個MPEG目錄表連結所有的表，並且由於在格式化表中的數據以便分組封裝與廣播的階段上完成這些鑑別操作，所以此系統同樣不適於允許由許多廣播操作者提供的軟體的鑑別。此操作通常在單獨的操作者的控制下完成。

發明內容
根據本發明的第一方面，提供鑑別在數字傳輸系統中發送的數據的一種方法，其特徵在於，在發送之前將此數據組成為至少一個根目錄單元、子目錄單元與文件單元的分級(hierarchy)，利用鑑別算法作用於文件中的數據，並將一個文件鑑別值存儲在有關(referring)子目錄中，此文件鑑別值與所述數據相關，又利用鑑別算法作用於此文件鑑別值並將相關的子目錄鑑別值存儲在有關根目錄中。
本發明還提供驗證在數字傳輸系統中發送的接收數據的一種方法，其中接收解碼器利用鑑別算法作用於文件中的數據並將所得到的值與存儲在有關子目錄中的鑑別值進行比較，而且還利用鑑別算法至少作用於存儲在此子目錄中的文件鑑別值並將隨後得到的值與存儲在有關根目錄中的相關子目錄鑑別值進行比較。
不同於其中單個表目錄涉及所有的相關表的公知系統，分級的每個步驟上多級結構與鑑別算法的應用程式的一起使用提供安全與模塊化的數據結構。由於利用根目錄中的相應值在上一級上依次鑑別子目錄中的文件鑑別值，所以不改變較高級上的鑑別值不可能改變較低級上的一個元素(並且反之亦然)。
最好，通過對一些或所有文件數據應用散列算法來完成文件數據的鑑別，將所得到的散列值作為文件鑑別值存儲在此有關子目錄中。同樣地，通過對此文件鑑別值(和其他的數據，如果需要的話)應用散列算法可以完成子目錄的鑑別，將所得到的散列值作為子目錄鑑別值存儲在此有關根目錄中。
例如，可以設想其他的實施例，其中根據加密算法和用作存儲在此子目錄中的鑑別值的密鑰(或其識別密鑰號碼)來加密文件數據。此文件密鑰又可以進行加密，並且將此加密密鑰作為鑑別值等存儲在此根目錄中。雖然是可能的，但此實施例由於生成加密密鑰值所必需的操作增加的複雜性而使之實施相當複雜。
相反地，使用散列算法來完成每個模塊的鑑別使之能夠實現每個模塊完整性的特別簡單與快速的檢驗。在一個實施例中，可以使用諸如檢查和計算的簡單散列算法。然而，這不能檢測偽造，這是因為其確定消息的任何改變如何影響此散列值相對簡單。
最好，此散列算法對應於從給定的一組數據中生成基本上唯一的散列值的密碼安全算法。可以用於此目的的合適的散列算法例如包括消息消化版本5(MD5)算法或安全散列算法(SHA)。
有益地，通過對來自多個文件的數據累積應用散列算法以生成單個散列值來完成多個文件的文件數據的鑑別。同樣地，可以通過對來自多個子目錄的文件鑑別值的累積(和其他數據，如果希望的話)應用散列算法以生成單個散列值來完成許多子目錄的鑑別。
累積散列方法的使用覆蓋在較低層上的多個數據模塊(文件、子目錄等)與例如為每個模塊存儲單獨散列值的表的系統相比進一步使系統簡化。這又使此系統能夠減少每個級上所需的計算步驟並減少存儲在上層中的鑑別數據的規模。
在使用散列算法來鑑別每個層的實施例的情況中，此系統將是「開放的」，即，所有的散列值將可讀到根目錄上。由於散列算法是公眾可獲得的，所以從理論上第三方不檢測是否同時也改變子目錄與根目錄層上相應的散列值時能改變例如存儲在文件層上的數據。
為避免此，利用加密算法的保密密鑰作用於在此根目錄中的至少一些數據並將得到的加密值存儲在此根目錄中。最好，此加密值對應於數字特徵標記。用於此目的的合適的專用/公用密鑰算法包括例如RSA算法。
有益地，利用此保密密鑰加密以生成存儲在此根目錄中的特徵標記的數據包括至少一個或多個子目錄鑑別值。然而，設想標記除子目錄鑑別值之外的根目錄中的數據以「關閉」此系統是可能的。
作為特徵標記生成的一個選擇，對整個或部分根目錄可以只進行加密或擾頻，接收機擁有等效的密鑰來解密加密的根目錄數據。在這種情況中，可以使用諸如DES的對稱密鑰算法。
如將明白的，雖然上面已經結合兩個分級電平描述了鑑別處理，但可以對其他的有關文件、子目錄、根目錄等無限地完成類似的鑑別步驟。
同樣地，雖然為語言簡潔起見而將此結構定義為根目錄/子目錄/文件，但除了利用兩個上層單元安排到較低層單元之外，不假定層中每個單元的具體特徵。如所理解的，此數據結構可以同樣只是根目錄/子目錄/第二根目錄或任何其他組合。
下面描述的實施例集中在較低層中的單元，即目錄或子目錄所涉及的。如將變得清楚的，雖然從上層指向此單元，但此單元自身可以是目錄單元、子目錄單元等。
在一個實施例中，一個有關單元包括利用密鑰生成的加密值，用於此單元的鑑別值根據有關此加密值的鑑別算法的結果進行計算並存儲在此有關單元中。具體地，如同上述的等效根目錄實施例一樣，可以標記有關單元，用於那個單元的鑑別值計算為有關那個特徵標記的散列函數的結果。
例如，此有關單元可以對應於文件或子目錄。然而，此實施例特別適於其中此有關單元是用於另一組數據(例如，不同起源的數據)的根目錄並且此有關根單元也包括特徵標記的情況。在這種情況中，第一操作者能組合併標記數據到此根目錄的層上。
此後，第二操作者不知道此加密密鑰時能查閱此數據，任何鏈路只利用此有關根目錄中的特徵標記的散列值在此有關單元中進行鑑別。兩組數據的鑑別當然只對於擁有驗證這兩個根目錄中的特徵標記所必需的密鑰的接收機是可能的。
如上所述，本發明可以應用於任何組的多級數據單元。本發明甚至可以應用於傳送流中表或分組的構造，如果在分組流中能提供多層的根目錄、子目錄、文件等的話。然而，此發明特別適於其中這些單元對應於封裝在數據表或部分中的一組數據文件的情況，這些表此後封裝在數據分組中以形成傳送流。
不同於分組或表級別上的鑑別，此實施例使鑑別數據的組合與其在傳送流中的封裝之間能完全獨立並且又有助於在由單個廣播操作者控制的傳送流中從不同的源中提供軟體。根據此實施例鑑別的數據甚至可以通過不同的發送路由(例如，雙向電信鏈路或衛星鏈路)進行發送，使用選擇的封裝格式來發送此數據。
數據單元最好對應於根據DSMCC標準格式化的數據目標。在一個實施例中，此後根據MPEG標準將這些數據目標封裝在表與分組中。
根據本發明的第二方面，提供鑑別在數字傳輸系統中發送的第一與第二組連結數據單元的一種方法，其特徵在於，第一組單元之中的一個單元包括利用作用於那個第一單元的保密密鑰生成的特徵標記，利用鑑別算法來至少鑑別此特徵標記值並將此鑑別值存儲在第二組單元之中涉及那個第一單元的一個單元中。
根據本發明的第三方面，提供鑑別在數字傳輸系統中發送的數據的一種方法，其特徵在於，將數據組成為一系列數據文件，獨立於並在由此數字傳輸系統用於準備在分組傳送流中發送數據的數據格式化與封裝級之前在文件之間完成鑑別。
具體地，可以在表或部分中的格式化之前完成鑑別，這些表隨後封裝在傳送分組流的數據分組中。
如上所述，在準備發送數據之前採用的鑑別處理的使用具有此後可以利用任意數量的信道諸如廣播信道或電信信道為此數據選擇路由至接收機而不改變此鑑別處理的效果。同樣地，一旦接收機或解碼器已從與此傳輸路由相關的格式中重新構造這些數據文件，則可以獨立於選擇的傳輸模式對此數據進行驗證。
本發明的第一方面及其最佳實施例的任何或所有特徵當然可以與本發明的第二和第三方面進行組合。
上面已經結合用於在發送之前生成鑑別數據的步驟描述了本發明，其最廣泛與最佳實施例中的本發明同樣適用於在用於驗證此數據的接收機上完成的相反步驟。
在其廣播方面中，本發明可以應用於任何數字傳輸系統。然而，本發明最好應用於數位電視系統並且具體應用於傳送在此數位電視系統的接收機/解碼器中使用的應用軟體的數據模塊。
如在此所使用的，術語「數字傳輸系統」包括用於發送或廣播例如主要視聽或多媒體數字數據的任何傳輸系統。雖然本發明特別可應用於廣播數位電視系統，但本發明也可以應用於用於多媒體網際網路應用的固定電信網絡、應用於閉路電路電視等等。如將明白的，術語「數位電視系統」例如包括任何衛星、地面、電纜與其他系統。
本發明中使用的術語「接收機/解碼器」或「解碼器」可以不是用於接收可以利用某一其他裝置廣播或發送的編碼或未編碼信號(例如，電視和/或無線電信號)的接收機。此術語也可以不是用於解碼接收信號的解碼器。這樣的接收機/解碼器的實施例可以包括與用於解碼例如「置頂盒」中接收信號的接收機構成一體的解碼器，這樣的解碼器與物理上獨立的接收機一起作用，或這樣的解碼器包括附加的功能，諸如全球資訊網瀏覽器和/或與諸如視頻記錄器或電視機的其他裝置構成一體。
術語MPEG指由國際標準組織工作組「運動圖象專家組」制定的數據傳輸標準，而且具體但不專指為數位電視應用制定並在文件ISO13818-1、ISO 13818-2、ISO 13818-3與ISO 13818-4中提出的MPEG-2標準。在本發明申請的文本中，此術語包括可應用於數字數據傳輸領域的MPEG格式的所有變化、修改或發展。
術語DSMCC指在MPEG文件與在當前文件ISO 13818-6中描述的數據文件格式標準。


現在將僅利用示例結合附圖描述本發明的優選實施例，其中圖1表示與本發明一起使用的數位電視系統的示意圖；圖2表示圖1的系統的解碼器的結構；圖3表示MPEG廣播傳送流內許多組成部分的結構；圖4表示軟體應用劃分為許多MPEG表；圖5表示DSMCC數據文件與最終產生的MPEG表之間的關係；圖6表示DSMCC的上下文中定義的客戶機、伺服器、網絡管理者關係；圖7表示本發明的這個實施例中鑑別的目錄、子目錄與文件目標。
具體實施例方式
根據本發明的數位電視系統1的概圖表示在圖1中。本發明包括使用公知的MPEG-2壓縮制式來發送壓縮的數位訊號的最常規的數位電視系統2。更具體地，廣播中心中的MPEG-2壓縮器3接收數位訊號流(一般為視頻信號流)。此壓縮器3利用鏈路5連接到多路復用器與擾頻器4。
此多路復用器4接收多個其他的輸入信號、組合傳送流並通過鏈路7發送壓縮的數位訊號給廣播中心的發射機6，此鏈路7當然能採用各種形式，包括電信鏈路。發射機6通過上行鏈路8向衛星轉發器9發送電磁信號，在此轉發器中這些信號進行電子處理並通過理論上的下行鏈路10廣播給常規以終端用戶擁有或租用的拋物面反射器形式的地球接收機12。由接收機12接收的信號發送給終端用戶擁有或租用並連接到終端用戶的電視機14的綜合接收機/解碼器13。此接收機/解碼器13將壓縮的MPEG-2信號解碼為用於此電視機14的電視信號。
用於數據傳輸的其他傳送信道當然是可能的，諸如地面廣播、有線傳輸、組合的衛星/電纜鏈路、電話網絡等。
在多信道系統中，此多路復用器4處理從許多並行信號源中接收的音頻與視頻信息並與發射機6交互作用以便沿著相應數量的信道廣播此信息。除了視聽信息之外，消息或應用程式或任何其他類型的數字數據可以與發送的數字音頻和視頻信息交錯引入在這些信道之中的一些或所有信道中。在這樣的情況中，例如，DAM-CC格式軟體文件與消息形式的數字數據流將利用壓縮器3進行壓縮並分組為MPEG格式。下面將更具體描述軟體模塊的下載。
將條件接入系統15連接到多路復用器4與接收機/解碼器13，並部分地位於廣播中心中和部分地位於此解碼器中，這使終端用戶能從一個或多個廣播提供者中接入數位電視廣播。能解密涉及商業提供(即，由廣播提供者銷售的一個或幾個電視節目)的消息的智慧卡能插入在此接收機/解碼器13中。使用此解碼器13與智慧卡，終端用戶可以以籤約模式或按畫面計費模式購買這些商業提供。實際上，此解碼器可以構造為處理多個接入控制系統，例如單密碼或多密碼設計。
如上所述，由此系統發送的節目在多路復用器4上進行擾頻，應用於給定傳輸的條件與加密密鑰由此接入控制系統15確定。這種方式的擾頻數據的傳輸在付費TV系統領域中是公知的。一般地，擾頻數據與由於解擾此數據的控制字一起進行發送，此控制字自身利用所謂的開發(exploitation)密鑰進行加密並以加密形式進行發送。
擾頻與加密的控制字隨後利用已接入存儲在此解碼器中插入的智慧卡上的等效開發密鑰的解碼器13接收，以解密此加密的控制字並隨後解擾所發送的數據。按時付費用戶例如將在每月廣播的EMM(權利管理消息)中接收解密此加密的控制字所必需的開發密鑰，以允許觀看此傳輸。除了其在解密視聽電視節目中的使用之外，可以生成與發送類似的開發密鑰，以用於如下將描述的諸如軟體模塊的其他數據的驗證。
也連接到多路復用器4與接收機/解碼器13並且又部分地位於廣播中心中和部分地位於此解碼器中的交互系統16使終端用戶能通過數據機反向信道17與各種應用程式交互作用。此數據機反向信道也可以用於條件接入系統15中使用的通信。交互系統可以例如用於使觀看者能及時與發送中心通信來要求授權觀看特定事件、下載應用程式等。
參見圖2，現在將簡要地描述適於在本發明中使用的接收機/解碼器13或置頂盒的物理部件。此圖中所示的部件將以功能方框進行描述。
解碼器13包括具有相關存儲部件並適於從串行接口21、並行接口22與數據機23(連接到圖1的數據機反向信道17)接收輸入數據的中央處理器20。
還將此解碼器用於通過控制單元26從紅外遙控器25中接收輸入並從此解碼器的前面板上的開關觸點24中接收輸入。此解碼器也具有分別適於讀取銀行或預約智慧卡29、30的兩個智慧卡讀取器27、28。也可以通過紅外鍵盤(未示出)接收輸入。預約智慧卡讀取器28與插入的預約卡30並與條件接入單元29接合，以提供必需的控制字給多路復用器/解擾器30，以便能夠解擾加密的廣播信號。此解碼器也包括常規的調諧器31與解調器32，以便在利用單元30進行濾波與多路分用之前接收與解調衛星傳輸。
此解碼器內的數據處理一般由中央處理器20進行處理。此中央處理器的軟體結構對應於與在此解碼器的硬體部分中實施的較低級作業系統交互作用的虛擬機。
現在將結合圖3與4描述從發射機發送給解碼器的廣播MPEG傳送流內數據的分組結構。如所認識到的，雖然本描述將集中在MPEG標準中使用的制表格式上，但同樣的原理一樣適用於其他的分組數據流格式。
具體參見圖3，MPEG比特流包括具有分組識別(「PID」)0的節目接入表(「PAT」)40。此PAT包含許多節目的節目變換表(「PMT」)41的PID的參考標記。每個PMT包含那個節目的音頻MPEG表42與視頻MPEG表43的流的PID的參考標記。是此節目接入表40的具有0的PID的分組為所有MPEG接入提供入口點。
為了從中下載應用程式與數據，定義兩個新的流類型，並且相關的PMT也包含應用MPEG表44(或其部分)與數據MPEG表45(或其部分)的流的PID的參考標記。事實上，雖然在一些情況中為可執行應用軟體和利用這樣的軟體處理的數據定義獨立的流類型可能是方便的，但這不是必不可少的。在其他實現中，數據與可執行代碼可以組合在利用上述的PMT接入的單個流中。
參見圖4，為了下載例如流44內的應用程式，將應用程式46分成模塊47，每個模塊利用MPEG表形成。這些表中的一些表包括單個部分，而其他表可以由多個部分48組成。典型的部分48具有標題，此標題包括一字節表識別(「TID」)50、表中的那個部分的部分數量51、那個表中部分的總數52和兩字節TID擴展參考標記53。每個部分也包括數據部分54與CRC55。對於特定的表47，組成那個表47的所有部分48具有相同的TID 50與相同的TID擴展53。對於特定的應用程式46，組成那個應用程式46的所有表47具有相同的TID 50，但具有不同的各自的TID擴展。
對於每個應用程式46，單個MPEG表用作目錄表56。此目錄表56在其標題中具有與組成此應用程式的其他表47相同的TID。然而，此目錄表為了識別目的和由於對於此目錄中的信息只需要單個表的事實而具有預定的0的TID擴展部分。所有其他的表47通常將具有非零TID擴展部分並由許多相關部分48組成。此目錄表的標題也包括要下載的應用程式的版本號。
再參見圖3，循環發送PAT40、PMT41和應用程式與數據流部分44、45。發送的每個應用程式具有各自預定的TID。為了下載應用程式，將具有合適的TID與零的TID擴展部分的MPEG表下載到此接收機/解碼器，這是用於所要求的應用程式的目錄。此目錄中的數據隨後利用此解碼器進行處理以確定組成所要求的應用程式的表的TID擴展部分。此後能下載具有與此目錄表相同的TID和從此目錄中確定的TID擴展部分的任何要求的表。
將此解碼器安排為檢查此目錄表是否具有任何更新。這可以通過又一次周期地例如每30秒或一或五分鐘下載此目錄表來完成，並比較先前下載的目錄表的版本號。如果新下載的版本號不是最新版本號，則刪除與前一目錄表相關的表，並下載和組合與新版本相關的表。
在可選擇的安排中，使用與TID、TID擴展部分和版本號對應的掩蔽利用為此應用程式的TID設置的值、零的TID擴展和大於當前下載目錄的版本號的版本號對輸入比特流進行濾波。因此，能檢測版本號的遞增，並在一旦檢測到時下載此目錄並更新此應用程式，如上所述。如果要結束應用程式，發送具有下一版本號的空目錄，但沒有此目錄中列出的任何模塊。為響應這樣的空目錄的接收，此解碼器編程為刪除此應用程式。
實際上，可以通過此解碼器的任何部分具體地在通過上述的衛星鏈路但也通過串行埠、智慧卡鏈路等接收的數據流中引入實施此解碼器中的應用程式的軟體與電腦程式。這樣的軟體可以包括用於實施此解碼器內交互式應用程式的高級應用程式，諸如網絡瀏覽器、知識問答應用程式、節目指南等。例如利用「修補程序」等也可以下載軟體來改變解碼器軟體的工作配置。
應用程式也可以通過此解碼器進行下載並發送給連接到此解碼器的PC等。在這樣的情況中，此解碼器用作最終在連接的裝置上運行的軟體的通信路由器。除了此路由選擇功能之外，此解碼器也可以用於在選擇路由至PC之前將MPEG分組數據變換為例如DSMCC協議(見下面)構造的計算機文件軟體。
以前，用於驗證應用程式數據的完整性與起源的測量集中在驗證MPEG分組流中的表。具體地，在常規系統中，在發送之前對每個單獨部分48應用散列函數並將所得到的每個部分的檢查值或特徵標記存儲在發送給此解碼器的目錄表56的列表中。比較由此解碼器隨後計算的散列值與存儲在用於接收部分的目錄中的檢查值使接收部分的完整性能夠進行驗證。
目錄40內的數據同樣可以進行散列處理以生成用於此目錄表40的另一檢查值或特徵標記。而且，此檢查值能利用專用密鑰進行加密並存儲在此目錄表中。只有擁有相應的公用密鑰的那些解碼器可以鑑別此特徵標記。
與這樣的常規系統相反，本實施例涉及用於在應用程式的級別上保護與驗證在多級數據文件或目標中構造的應用數據的裝置，這將從表示在一組DSMCC U-U數據文件60中、在組合的應用程式46構造並封裝在一系列MPEG表47內的數據之間關係的圖5中更清楚地明白。
在發送之前，這些數據文件組合在應用程式46中並此後利用MPEG壓縮器格式化為如上所述包括此MPEG分組流特定的標題49並包括表ID、版本號等的MPEG表或模塊47。這些表然後利用MPEG壓縮器封裝為MPEG分組。如將認識到，在數據文件61中構造的數據與最終的MPEG表47之間可能沒有固定的關係。在利用此解碼器接收與濾波之後，拋棄這些分組標題並從廣播分組的有效負載中重新構造表系列。此後，拋棄這些表標題49並從表47的有效負載中重新構造應用程式46。
用於數據文件的DSMCC格式是特別適用於多媒體網絡中並定義用於在客戶機用戶70、伺服器用戶71與網絡資源管理者72之間通信的一系列消息格式與對話指令的一個標準。參見圖6。網絡資源管理者72可以認為是用於管理網絡內的資源屬性的邏輯實體。雖然最初設想用於雙向網絡通信的前後關係中，但DSM-CC標準的近來實施已集中在其單向廣播用途的使用。
客戶機與伺服器之間的通信利用一系列對話來建立，第一系列消息在用戶(客戶機70或伺服器71)與網絡管理者72之間進行交換以配置用於通信的客戶機和/或伺服器。根據所謂的DSMCC U-N(用戶-網絡)協議格式化這樣的消息。特別定義此協議的一個子集用於數據的廣播下載。
一旦已建立通信鏈路，根據DSMCC U-U(用戶-用戶)協議隨後在客戶機70與伺服器71之間交換消息。這種類型的一系列消息對應於圖5的數據文件60。在DSMCC U-U消息的情況中，在根據BIOP或廣播InterOrb協議組合的一系列消息61中構造數據。
每個消息或目標61包括標題62、子標題63與包含數據本身的有效負載64。根據BIOP協議，標題62特別包含消息類型與BIOP版本的指示，而子標題表示目標的類型和利用系統結構定義的其他信息。
DSMCC U-U文件內的數據目標64一般可以定義為三種類型之一目錄目標、文件目標和流目標。目錄目標定義用於標註包含實際應用數據的一系列相關文件目標的根目錄或子目錄。流目標可以用於使包含在數據文件中的數據與MPEG分組流自身之間的臨時關係能夠建立。例如，這可以用於包含在數據文件中並設計為與利用解碼器接收和處理的基本視頻或音頻流同步的交互式應用程式的情況中。如上所述，否則在MPEG分組數據與這些數據文件之間可能沒有直接相關性。
不同於其中單個目錄只利用單個分級標註一組表的MPEG表，可以以更複雜的分級方式來構造數據文件60。至於存儲在PC或伺服器中的文件，主或根目錄可以涉及一個或多個子目錄，這些子目錄又涉及第二級的數據文件。甚至可以標註與另一組應用數據相關的第二根目錄。
參見圖7，表示用於一組數據文件或單元的文件結構的一個示例。以75表示的根目錄DIR A0標註以76表示的一組子目錄A1-A4。每個子目錄76標註一個或多個組的相關目標文件77。為簡潔起見，僅示出與子目錄A4相關的單個組的目標文件F1、F2等。實際上，可以利用每個子目錄A1-A4來標註許多組的目標文件。
在每個目錄與子目錄內，為連結到那個目錄的文件引入一組鑑別步驟。參見根目錄75，子標題63包括通過對存儲在以76表示的子目錄文件A1-A4中的一些或所有數據應用散列算法獲得的散列值。所使用的散列算法可以具有任何公知類型，例如，諸如消息消化算法MD5。
在一種實現中，可以單獨地對每個相關文件或子目錄和存儲在此根目錄75中的每個子目錄76的散列值表在發送之前應用此算法。然而，雖然這樣的方案在驗證每個子目錄的方面能夠增加檢查分辨度，但此方案在解碼器計算相應特徵標記所需的處理時間方面可能是相當無效的。
因此，目錄79的子標題63最好包括通過對組合的子標題與子目錄76的有效負載部分63、64(即，不對標題62)應用MD5散列算法計算的累積散列值79。具體地，包含在子目錄76內並涉及目標文件77的層的散列值82包括在此散列計算中。
在圖7所示的子目錄A4的情況中，此子目錄自身涉及以77表示的一組目標文件F1-Fn。在這種情況中，對於目標文件77的組合內容生成累積散列值82，此值包括在得到此散列值79的散列處理中。因此，不可能改變任何目標文件77而不改變子目錄76的散列值82，這又將改變目錄75的散列值79。
在目前情況中，對於在此目錄中標註的所有子目錄A1-A4計算組合的散列值。此散列值與從中獲取數據的子目錄組的識別符一起進行存儲。在其他的實施例中，一系列組合或單獨的散列值與相應的識別符可以存儲在此目錄的子標題中。
例如，也與此根目錄相關但涉及不同組的數據或可執行代碼的第二組子目錄也可以一起進行組合，而且為這些子目錄計算的累積散列值進行計算並存儲在子標題根目錄中。與單個目錄相關的單個散列值同樣可以存儲在此根目錄的子標題中。
組或各個數據文件的授權當然不阻止此根目錄(或，實際上，任何其他文件)也涉及未驗證或未散列的數據文件，但在利用此文件的任何操作中必須考慮這樣的文件沒有進行驗證。有關這方面，例如，可能不需要鑑別流目標。
這種情況中散列函數的使用使解碼器能驗證下載數據文件的完整性或完全性。例如，在傳輸故障或中斷的情況中，有關接收相關文件的累積散列算法的操作將不給出與存儲在此根目錄中的這些文件的散列值相同的結果。隨後將提醒此解碼器下載數據中可能存在差錯，並且此解碼器將重新裝載有故障的數據文件。
如將認識到的，在散列算法的情況中，根據公知系列的計算步驟完成此散列值的計算，並因此任何人能為給定組的數據文件生成散列值。因而，通常不可能僅僅通過檢查散列值來驗證這樣的數據文件的起源。
為了克服此問題，使用只有操作者知道的密鑰計算用於根目錄75的特徵標記值。此密鑰可以對應於利用諸如數據加密標準或DES算法的對稱密鑰算法獲得的密鑰。然而，最好使用諸如Rivest、Shamir與Alteman或RSA算法的專用/公用密鑰算法，負責生成這些數據文件的操作者擁有此專用密鑰值，由解碼器保持公用密鑰值。
如圖7所示，根目錄75包括密鑰識別符或幻數(magic number)80將在驗證級中與使用操作者的專用密鑰生成的計算特徵標記值81一起使用的公用密鑰識別給此解碼器。在這種情況中，通過對目錄75內最好包括有效負載數據64和/或累積散列值79的一些或所有數據應用此操作者持有的專用密鑰生成此特徵標記值81。此解碼器隨後能使用利用密鑰號80識別的相應公用密鑰驗證此特徵標記值81。
在此示例中，不加密目錄75中的數據，並且此專用密鑰僅用於提供可利用公用密鑰驗證的特徵標記值。在可選擇的實施例中，此目錄的一些或全部內容可以利用此專用密鑰進行加密並然後利用相應的密鑰進行解密。
在任何一種情況中，利用保密密鑰生成特徵標記值或加密代碼塊使解碼器能夠驗證目錄75的完整性與起源和不言而喻地驗證此根目錄所涉及的文件的完整性與起源。由於相關文件的累積散列值包括在特徵標記81的計算中，所以不可能改變這些值而不在驗證級上檢測到此。由於每個散列值對於一個給定組的數據來說一般是唯一的，因此不可能改變任何相關散列文件的內容而不改變其特徵散列值並從而改變所得到的目錄的特徵標記值。
根目錄75、子目錄76和目標文件77全部由在此表示為操作者A的此系統的一個廣播操作者生成。在這種情況中，這些文件將全部具有公知與可驗證的共同起源。
然而，根據將實施的應用程式，同樣可以標註與第二操作者B相關的一組數據文件。在這種情況中，子目錄76包括以78表示的第二組數據文件的根目錄DIR B0的標記。也有可能設想其他級(例如，第一組文件中的第一子目錄涉及第二組數據文件的子目錄等的文件分級)上來自不同源的數據文件之間的連接。
與用於操作者A的根目錄DIR A0一樣，以78表示的DIR B0根目錄包括與其相關子目錄(未示出)有關的一個或多個累積散列代碼值84、在驗證步驟中使用的識別操作者B的公用密鑰的密鑰號85和利用相應的操作者專用密鑰生成的特徵標記值86。
使用此目錄的子標題中的散列值84與特徵標記值86並且也使用目錄78的有效負載數據64計算此目錄的散列值。此散列值隨後存儲在子目錄A4中，從而能夠完成目錄表中數據的完整性的驗證。
由於特徵標記值86與散列值84包括在散列值83的計算中的事實，所以也可以假定根目錄78所涉及的其餘數據文件的完整性，這是因為都不可能改變這些相關文件而不改變散列值84，並且更重要地改變此特徵標記值86。由於只可由擁有此專用密鑰的人計算此特徵標記值86，所以可以假定此目錄78所涉及的所有文件的完整性，假定對於另外的相關子目錄與目標文件計算相應的散列值。
以這種方式，由第二操作者生成的有關可執行程序等的應用數據可以以安全與可靠的方式和與第一操作者相關的應用程式連結。
如將認識到的，許多變化是可能的，以顯著減少每一級上散列或標記的數據量。具體地，在用於驗證較低級數據文件的目錄或子目錄中特徵標記或散列值的情況中，可以只利用較低級散列值並且不利用其他數據來生成目錄特徵標記或散列值。
例如，可以使用以76表示的每個A1-A4子目錄的組合散列值82、83生成A0目錄75中的組合散列值79。由於這些值正好與此子目錄的有效負載中的數據一樣是唯一的，所以組合的散列值79對於所述子目錄將仍然是唯一的。而且，由於仍在計算中使用散列值82而依然可以假定較低級的目標與目錄文件77、78的完整性。
同樣地，為驗證以78表示的B0目錄而計算的散列值82可以僅使用特徵標記值86來計算。由於這取決於並唯一地與散列值84有關，這些散列值又取決於下一級的文件，所以仍然可以假定目錄78所涉及的整個數據文件組的完整性。
權利要求
1.一種用於鑑別在數字傳輸系統中發送的數據的方法，其中數據被組成為一系列數據文件，所述方法的特徵在於包括以下步驟對至少第一文件產生第一鑑別值；將第一鑑別值存儲在第二文件中；對所述第二文件產生第二鑑別值；和發送所述第一文件和第二文件；其中所述第二鑑別值是散列值。
2.一種用於鑑別在數字傳輸系統中發送的數據的裝置，其中數據被組成為一系列數據文件，所述裝置的特徵在於包括用於對至少第一文件產生第一鑑別值的裝置；用於將第一鑑別值存儲在第二文件中的裝置；用於對所述第二文件產生第二鑑別值的裝置；和用於發送所述第一文件和第二文件的裝置；其中所述第二鑑別值是散列值。
3.一種用於鑑別在數字傳輸系統中接收到的封裝和格式化的數據的方法，其中接收的數據包括第一和第二文件，第二文件包括用於第一文件的一個鑑別值，所述接收的數據還包括為所述第二文件所產生的一個第二鑑別值，所述第二鑑別值是散列值，所述方法的特徵在於包括以下步驟將由所述數字傳輸系統發送的封裝與格式化的數據重新裝配數據；和通過使用至少所述第二鑑別值來驗證所述重新裝配的數據。
4.一種用於鑑別在數字傳輸系統中接收到的封裝和格式化的數據的裝置，其中接收的數據包括第一和第二文件，第二文件包括用於第一文件的一個鑑別值，所述接收的數據還包括為所述第二文件所產生的一個第二鑑別值，所述第二鑑別值是散列值，所述裝置的特徵在於包括用於將由所述數字傳輸系統發送的封裝與格式化的數據重新裝配數據的裝置；和用於通過使用至少所述第二鑑別值來驗證所述重新裝配的數據的裝置。
5.一種包含數據的數位訊號，所述數據被組成為一系列數據文件，所述數據文件是被封裝和格式化的以在一個分組傳輸流中被傳送，所述數據文件是當被重新裝配時，第二數據文件包括從對第一數據文件施加鑑別所獲得的一個第一鑑別值，所述數據文件還包括對所述第二數據文件施加鑑別所產生的一個第二鑑別值。
6.一種用於鑑別在數字傳輸系統中發送的數據的方法，其中數據被組成為一系列數據文件，所述方法的特徵在於包括以下步驟對至少第一文件產生第一鑑別值；將第一鑑別值存儲在第二文件中；對所述第二文件產生第二鑑別值；將第二鑑別值存儲在第三文件中；和發送所述第一文件、第二文件和第三文件。
7.一種用於鑑別在數字傳輸系統中發送的數據的裝置，其中數據被組成為一系列數據文件，所述裝置的特徵在於包括用於對至少第一文件產生第一鑑別值的裝置；用於將第一鑑別值存儲在第二文件中的裝置；用於對所述第二文件產生第二鑑別值的裝置；用於將第二鑑別值存儲在第三文件中的裝置；和用於發送所述第一文件和第二文件的裝置。
8.一種用於鑑別在數字傳輸系統中接收到的封裝和格式化的數據的方法，其中接收的數據包括第一、第二和第三文件，第二文件包括用於第一文件的一個鑑別值，第三文件包括為第二文件所產生的一個第二鑑別值，所述第二鑑別值是散列值，所述方法的特徵在於包括以下步驟將由所述數字傳輸系統發送的封裝與格式化的數據重新裝配數據；和通過使用至少所述第二鑑別值來驗證所述重新裝配的數據。
9.一種用於鑑別在數字傳輸系統中接收到的封裝和格式化的數據的裝置，其中接收的數據包括第一、第二和第三文件，第二文件包括用於第一文件的一個鑑別值，第三文件包括為第二文件所產生的一個第二鑑別值，所述第二鑑別值是散列值，所述裝置的特徵在於包括用於將由所述數字傳輸系統發送的封裝與格式化的數據重新裝配數據的裝置；和用於通過使用至少所述第二鑑別值來驗證所述重新裝配的數據的裝置。
10.一種包含數據的數位訊號，所述數據被組成為一系列數據文件，所述數據文件是被封裝和格式化的以在一個分組傳輸流中被傳送，所述數據文件是當被重新裝配時，第二數據文件包括從對第一數據文件施加鑑別所獲得的一個第一鑑別值，和第三數據文件包括對所述第二數據文件施加鑑別所產生的一個第二鑑別值。
全文摘要
鑑別在數字傳輸系統中發送的數據的一種裝置，其特徵在於，在發送之前將此數據組成與鑑別為至少一個根目錄單元(75)、子目錄單元(76)與文件單元(77)的分級，利用鑑別算法作用於文件(77)中的數據並將相關文件鑑別值(82)存儲在有關子目錄單元(77)中，又利用鑑別算法作用於此文件鑑別值(82)並將相關子目錄鑑別值(79)存儲在有關根目錄中。本發明的其他方面涉及利用第二鑑別值(83)的生成鑑別第二根目錄(78)和在封裝在傳送流的表或部分中之前數據的鑑別。
文檔編號H04N7/167GK1901451SQ200610101200
公開日2007年1月24日 申請日期1999年3月25日 優先權日1998年3月25日
發明者J·B·G·M·貝伊奎 申請人:卡納爾股份有限公司