技術領域

本發明涉及單向數字傳輸網絡，尤其涉及一種基于單向數字傳輸網絡中對終端設備合法性進行認證的方法。

背景技術

在雙向的網絡環境中，前端的服務器和終端的設備可以通過雙向認證的方式來相互驗證對方身份的合法性。但是在單向的網絡環境下，如廣播電視的HFC網，衛星廣播網和地面數字電視網，由于沒有回傳通道，網絡終端的設備的合法性無法通過一般的雙向認證的方式得到認證，從而網絡服務可能由于仿制和克隆網絡終端而被盜取。

為了解決對于終端合法性認證的問題，可采用從網絡前端下載服務器認證代理程序，運行在終端的硬件平臺上，在終端制造一個虛擬的雙向環境的方法。客戶端程序，即接收終端固件，和下載的服務器認證代理程序之間形成一個雙向環境，就可以進行雙向認證。這個方法在EuroLoader的協議中作了定義。但是EuroLoader的協議是針對服務器端程序和接收終端固件的完整性認證而設計的，沒有解決對接收終端唯一性認證的問題。

為了解決對接收終端唯一性認證的問題，我們為每個接收終端指定一個唯一標識符(UID)。下載的服務器認證代理程序可以檢查這個接收終端的UID是否合法來確認這個接收終端的合法性。在這個確認的過程中，有兩個難點。一是接收終端可以偽造UID來欺騙服務器認證代理程序，二是服務器認證代理程序一旦下載到接收終端，就無法再與前端的數據庫通信。如果要檢查UID是否合法，常用的方法是服務器認證代理程序攜帶所有合法UID的信息，在驗證時進行比對。但是對于一個超過100萬用戶的網絡，這個信息量將是個天文數字，所以這種方法在這種情況下是不可能實現的。

發明內容

本發明要解決的技術問題是提供一種對單向網絡中的接收終端進行合法性認證的方法。

針對上述第一個難點，可以利用半導體芯片的技術，將接收終端的UID固化到接收終端的芯片中去。這個技術在芯片生產時將UID的信息散布在大規模的集成電路中，可以讀取但基本不可能復制，保證了UID的唯一性。而針對第二個難點。本發明提出了對UID簽名的方法，服務器認證代理程序只需要驗證UID的簽名是否正確，就可以驗證UID是否合法。

基于以上思路，本發明提供了一種對單向網絡中的接收終端進行合法性認證的方法，包括以下步驟：

(a)在接收終端的生產過程中，將一部分信息固化為固件，包括功能程序、根公鑰、第一簽名證書、唯一標識符UID簽名，該UID簽名是用該第一簽名證書的私鑰對芯片的UID簽名得到的；

(b)所述接收終端上電后，自檢通過后，將包含所述根公鑰的服務器認證代理程序下載到本地的硬件平臺；

(c)所述固件先對所述服務器認證代理程序進行認證，如認證通過，繼續下一步，否則，退出工作狀態，結束；

(d)所述服務器認證代理程序用所述根公鑰驗證固件中的所述第一簽名證書是否來自可信任的來源，以及用所述第一簽名證書的公鑰對UID簽名解密得到的解密值是否與讀出的芯片UID的數字摘要值相同，如果均是，則對所述接收終端的合法性認證通過，否則，認證不通過。

在一較佳實施例中，所述步驟(b)中接收終端的自檢包括以下步驟：

固件先用第一簽名證書中的公鑰對UID簽名解密得到解密值，再讀出芯片的UID并按計算出其數字摘要值，將這兩個值進行比較，如果相同，自檢通過，繼續下一步；如果不同，該機頂盒為非法機頂盒，固件退出工作狀態，結束。

在一較佳實施例中，所述步驟(a)的機頂盒生產過程中，所述固件中還包括固件的數字簽名；所述步驟(b)中，接收終端的自檢包括以下步驟：

所述固件用所述第一簽名證書的公鑰解密所述固件的數字簽名得到解密值，再按照對固件簽名時的相同算法對接收終端中存儲的固件進行數字摘要計算，如果計算的摘要與解密值相同，則自檢通過，繼續下一步；否則退出工作狀態，結束。

在一較佳實施例中，所述服務器認證代理程序中還包括用第二簽名證書的私鑰對本程序的數字簽名，所述步驟(c)中，固件對所述服務器認證代理程序的認證包括以下兩個方面：

A，所述固件先用服務器認證代理程序內嵌或從網絡中得到的第二簽名證書的公鑰解密所述服務器認證代理程序的數字簽名，得到解密值，再按相同算法對該服務器認證代理程序進行數字摘要計算，如果計算的摘要與解密值相同，則確認該服務器認證代理程序是正確和完整的；

B，所述固件用根公鑰驗證第二簽名證書是否來自可信任的來源，如果是，那么確認服務器認證代理程序來自合法的來源；