[发明专利]加密控制字的保护方法、硬件安全模块、主芯片和终端

权利要求书

1.一种加密控制字的保护方法，应用于可下载条件接收系统，其中，所述可下载条件接收系统包括前端和终端，终端包括主芯片，其特征在于，所述终端还包括硬件安全模块，相应的，所述方法包括：

接收主芯片发送的硬件安全模块授权管理消息和加密控制字，其中，所述硬件安全模块授权管理消息中包括用于解密所述加密控制字的密钥；

根据所述硬件安全模块授权管理消息和硬件安全模块中存储的硬件安全模块根密钥，对所述加密控制字进行解密，得到控制字；

根据硬件安全模块中存储的重加密密钥对所述控制字进行重加密，得到重加密控制字；

将所述重加密控制字发送到主芯片，以便主芯片根据所述前端发送的主芯片授权管理消息解密所述重加密控制字，得到控制字，其中，所述主芯片授权管理消息中包括用于解密所述重加密控制字的密钥；

其中，在所述接收主芯片发送的硬件安全模块授权管理消息和加密控制字之前，所述方法还包括：

接收主芯片发送的激活消息，所述激活消息中至少包括配对密钥、所述重加密密钥和硬件安全模块根密钥；

存储所述重加密密钥和硬件安全模块根密钥，并根据所述配对密钥建立与所述主芯片的安全认证通道；

相应的，所述接收主芯片发送的硬件安全模块授权管理消息和加密控制字包括：通过所述安全认证通道接收主芯片发送的硬件安全模块授权管理消息和加密控制字；以及

所述将所述重加密控制字发送到主芯片包括：通过所述安全认证通道将所述重加密控制字发送到主芯片。

2.根据权利要求1所述的方法，其特征在于，所述硬件安全模块授权管理消息包括硬件安全模块二级密钥和硬件安全模块三级密钥；

相应的，根据所述硬件安全模块授权管理消息和硬件安全模块中存储的硬件安全模块根密钥，对所述加密控制字进行解密，得到控制字，包括：

根据所述硬件安全模块中存储的硬件安全模块根密钥、硬件安全模块二级密钥和硬件安全模块三级密钥对所述加密控制字进行层级解密，得到控制字。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

接收所述主芯片发送的密钥刷新指令，对所述硬件安全模块授权管理消息、硬件安全模块根密钥和重加密密钥进行更新和存储。

4.一种加密控制字的保护方法，应用于可下载条件接收系统，其中，所述可下载条件接收系统包括前端和终端，终端包括主芯片，其特征在于，所述终端还包括硬件安全模块，相应的，所述方法包括：

接收前端发送的加密控制字、加扰内容、主芯片授权管理消息和硬件安全模块授权管理消息；

将所述硬件安全模块授权管理消息和加密控制字发送至硬件安全模块，以便硬件安全模块根据所述硬件安全模块授权管理消息和硬件安全模块中存储的硬件安全模块根密钥，对所述加密控制字进行解密，得到控制字，并根据硬件安全模块中存储的重加密密钥对所述控制字进行重加密，得到重加密控制字；

接收硬件安全模块发送的所述重加密控制字，根据主芯片派生的主芯片根密钥和所述主芯片授权管理消息解密所述重加密控制字，得到控制字，以便根据所述控制字解扰所述加扰内容；

其中，在所述接收前端发送的加密控制字、加扰内容、主芯片授权管理消息和硬件安全模块授权管理消息之前，所述方法还包括：

生成激活请求消息，将所述激活请求消息发送至前端，其中，所述激活请求消息中至少包括主芯片标识、条件接收证书和硬件安全模块的芯片证书；

接收前端发送的激活消息，并将所述激活消息发送至硬件安全模块，其中，所述激活消息中至少包括配对密钥、所述重加密密钥和硬件安全模块根密钥，并且所述激活消息中的配对密钥、所述重加密密钥和硬件安全模块根密钥为前端根据所述激活请求消息派发；

根据所述配对密钥建立与所述硬件安全模块的安全认证通道；

相应的，所述将所述硬件安全模块授权管理消息和加密控制字发送至硬件安全模块包括：通过所述安全认证通道将所述硬件安全模块授权管理消息和加密控制字发送至硬件安全模块；以及

所述接收硬件安全模块发送的所述重加密控制字包括：通过所述安全认证通道接收硬件安全模块发送的所述重加密控制字。