CN1529987A

CN1529987A - 利用访问控制安全地发送点播的预加密内容的系统

Info

Publication number: CN1529987A
Application number: CNA02805234XA
Authority: CN
Inventors: 安妮·安逸陈; ��C.��P��; 尼科尔·C.·P·索; I.��»�Ī��; 约翰·I.·奥基莫托; W.; 劳伦斯·W.·唐; ��ʲ; 阿吉克·阿卡贝亚什; R.��ƿ��; 凯斯·R.·科克兰
Original assignee: General Instrument Corp
Current assignee: Arris Technology Inc
Priority date: 2001-01-18
Filing date: 2002-01-14
Publication date: 2004-09-15
Also published as: WO2002058398A3; WO2002058398A2; US20020083438A1; CA2435316A1; TW589896B; EP1354476A2; BR0206590A

Abstract

一种在一个或多个有线系统内从头端器向订户终端发送内容的方法。该内容可以是视频、音频等。该方法包括脱机加密该内容以形成预加密内容以及产生一个含有加密该内容所使用的参数组的加密记录的步骤。根据该加密记录利用第一有线系统提供的一个循环密钥生成一个允许访问该预加密内容的控制报文。然后向第一订户终端传送该预加密内容和关联的控制报文以解密该内容。对于第二有线系统内的第二订户终端，利用允许该第二订户终端解密该预加密内容的第二控制报文改进该预加密内容。此外，可以在一个有线系统内产生控制报文的用于多个服务等级的多个版本，每个版本用于允许访问该系统内的某特定服务等级。

Description

利用访问控制安全地发送点播的预加密内容的系统

相关申请的相互引用

本申请要求来自于2000年10月26日申请的标题为“用于在计算机网络上发送内容的系统”的美国临时申请60/243,925号以及2001年1月18日申请的标题为“用于带有访问控制下安全地发送点播的加密内容的系统”的美国临时申请60/263,087号的优先权。在各种目的下把这些申请收录为参考文献。本申请还和以下申请相关：于1995年4月19日申请的、标题为“用于点对点通信对话的数据安全模式”的美国专利申请08/420,710号，现为5,627,892号美国专利；2001年7月3日申请的、标题为“用于拒绝对泄密的离线加密设备生成的内容进行访问的并且用于传送来自多个条件访问系统的密码密钥的系统”的美国专利申请＿＿＿＿＿号；2001年7月3日申请的、标题为“用于防护加密更新设备的并且用于加密设备的登记及远程激励的系统”的美国专利申请＿＿＿号；2001年7月3日申请的、标题为“用于带有回叫时间的内容点播系统的通信协议”的美国专利申请＿＿＿号；它们全部整体地收录作为参考，如同在本申请中全部陈述那样。

技术领域

本发明总地涉及内容通信领域，并且更具体地涉及一种经通信网络传送视频内容点播的系统。

背景技术

向订户发送视频内容点播的常规系统正在变成周知。VOD(视频点播)是一种交互式服务，其中根据需要经网络(例如，有线系统)向订户发送内容(例如视频)。订户可以在不必遵守预定的播出时间表的情况下预订并且在任何时间接收广播节目内容。通常向订户提供类似录象机的行进控制功能，例如暂停(定格)、慢进、向前扫描和慢退。典型地允许在一时间窗口例如24小时内多次观看订购的节目。VOD模拟(或者优于)租用的录象带的控制程度和方便。为使VOD服务防止未经批准的访问，实现该服务的系统提供某种形式的条件访问。

条件访问

实现VOD的系统提供把内容访问只限制在批准的订户上的能力，因为通常把作为服务的一部分提供的内容看成是其拥有者的有价值的知识产权。在有线和卫星电视中，这种能力称为条件访问。条件访问需要一种把订户分成不同类别的可信机制以及一种拒绝接入未批准订户的强制机制。典型地，加密是用于拒绝对内容(和载波信号不同)的未批准访问的机制。

服务的等级

为了区分批准的和未批准的订户并且为了区分不同等级的权限，使用服务类别的概念。常规有线或卫星电视术语中的“等级”是服务的类别。可以把它看成是权限的单位，或者看成是可以授予、撤消或者另外管理的访问特权。

密钥管理

在采用加密的系统中，密钥管理指的是处理密码密钥的所有方面，包括密钥的生成、分发、更新、到期和撤销。密钥管理的目标是确保各方能准确地得到按某访问控制策略批准的密码密钥。通过仔细控制密钥的分配实现访问控制。在用于有线系统的条件访问系统中，条件访问是通过使用二类控制报文即权利控制报文(ECM)和权利管理报文(EMM)实现的。

权利管理报文

EMM是向订户终端传送访问特权的控制报文。和嵌入在多路传送通道中并向多个订户广播的ECM(权利控制消息)不同，EMM是对每个订户终端单播定址发送的。即，EMM专用于特定用户。在典型实现中，EMM包含有关循环密钥的信息以及允许订户终端访问晚些时候发送的ECM的消息。循环密钥典型地是周期性的，用以控制接收单元(机顶盒等)对内容的访问。一旦循环密钥期满，在更新循环密钥之前机顶盒不能解密内容，EMM还定义每个用户的等级。对于有线服务，例如第一EMM可允许访问HBO^TM、ESPN^TM和CNN^TM。第二EMM可允许访问ESPN^TM、TNN^TM和BET^TM，等等。

权利控制报文

在条件访问系统中，每个内容流关联着一个起二个基本功能的ECM流：(1)为相关的内容流规定访问要求(即，为访问各特定节目需要怎样的特权)；以及(2)传送订户终端计算密码密钥(组)所需的信息，为了内容解密需要这些密钥。ECM在带内沿其相关联的内容流传送。典型地，利用一个“循环密码”密码地保护ECM，通常在类别基础上周期地改变该循环密码。如上面所述，典型地通过ECM之前的EMM分发该循环密钥。

加密

在网络中，例如有线系统，向全体订户终端(也称为机顶盒)广播载波信号。为了防止未批准地访问服务，常常采用加密。当内容被加密时，对于不拥有适当密码密钥的个人和设备该内容变成是不可懂的。条件访问系统的基本功能是，控制向订户终端群体的密钥发放，以确保每个终端只能计算用于其授权服务的密钥。传统地，在广播服务中，在信号置于分发网络之前，在信号通路上设置一个加密设备。然后，该加密设备实时地加密信号和它的内容。由于大量订户共享相同的(数量相对少的)内容流，该技术是可接受的。

不利的是，对于VOD，实时加密造成相当大的成本和空间问题。中等网络例如有线网络可能具有5万个订户。在采用通常的10％的同时峰使用下，在峰值时间内可存在多达5千个并发的VOD会话。典型的加密设备可以处理小数量的多路传送通道(数字载波)。要应付该示例系统的峰使用应需要数量相对多的这种实时加密设备。这种大数量的设备不仅明显增加系统成本，而且还提出空间需求挑战。

从而，需要解决上述的和安全地传送预加密内容的常规方法相关的问题，而本发明满足该需求。

发明内容

在一种利用访问控制安全地发送加密点播内容的系统中展示本发明的各个方面。和采用实时加密的相关技术系统不同，本发明的各实施例在把内容分发到点对点、点对多点系统或多播系统例如有线系统之前脱机地加密内容(典型地在用户请求内容之前)。该系统允许在集中式设施中加密内容一次并且可用于不同的点对点系统。有益地，本发明的预加密内容具有无限的寿命。该系统周期地进行称为ECM改进的操作，以使该内容能在多个系统中使用并且在同一系统中能在多个时间使用。ECM改进期间要处理的数据量是非常小的(数千字节数量级)。不需要重新处理预加密过的内容。优点是非常明显的，因为几千字节只代表典型2小时视频节目的长度的极小部分，后者长度可约为3千兆字节(3,000,000,000字节)。

依据本发明的第一方面，公开一种通过通信网络向订户终端发送点播内容的系统。该系统包括：一个内容准备模块，用于脱机地预加密该内容以形成预加密内容；一个点播模块，用于从该内容准备模块接收该预加密的内容并且用于在批准时向订户终端发送该预加密的内容；一个加密更新系统，其和该点播模块接口以生成允许在指定期限内可解密该预加密内容的权利控制报文；以及一个用于向该加密更新系统提供循环密钥的条件访问系统以便能产生权利控制报文，其中权利控制报文向订户终端传送计算该循环密钥所需的信息从而使能对该预加密内容的解密。

依据本发明的另一方面，公开一种在一个或多个有线系统内从头端器向订户终端发送内容的方法。该方法包括步骤：接收来自第一有线系统的第一订户终端的对内容的请求；在接收请求之前预加密内容以形成预加密的内容；产生含有用来加密内容的参数组的加密记录；产生一个或多个用于基于该加密记录以及第一密钥信息允许访问预加密内容的控制报文；以及向该第一订户终端发送和该一个和多个控制报文关联的预加密内容以便解密该预加密内容。

依据本发明的另一方面，该方法还包括：接收来自第二有线系统的第二订户终端的请求，以及基于该加密记录和第二密钥信息生成一个或多个用来允许该第二订户终端访问该预加密内容的控制报文。

依据本发明的另一个方面，通过一个利用该密钥信息控制该第一订户终端的条件访问系统提供该密钥信息。在另一个方面上，该密钥是周期性的并且是在指定的期限内有效的。另外，该指定期限为该条件访问系统改变该第一密钥之前不久、同时或之后不久。

依据本发明的另一方面，该一个或多个控制报文是用于向该第一订户终端传送信息以便计算密钥的第一权利控制报文。

依据本发明的另一方面，该方法包括改进对该预加密内容的第二权利控制报文的步骤，以允许在该第一密钥信息期满之后访问该预加密内容。

依据本发明的另一方面，改进第二权利控制报文的步骤是和把第一密码改变成第二密码同步的。

依据本发明的另一方面，该方法包括从生成该一个或多个权利控制报文的加密更新系统提供这些参数，并且生成加密记录的步骤是通过一个脱机加密系统的，以及在该第一有线系统中设置第一和第二服务等级以便进一步限制对该预加密内容的访问。

依据本发明的另一方面，该方法包含生成允许第一订户终端只在第一服务等级下访问该预加密内容的第一权利控制报文的步骤，以及生成允许第二订户终端只在第二服务等级下访问该预加密内容的第二权利报文的步骤。

依据本发明的另一方面，公开一种用于通过通信网络向一订户终端发送第一和第二内容的系统。该系统包括：装置，用于脱机地预加密该第一和第二内容以形成第一和第二预加密内容，并用于生成与第一预加密内容关联的第一加密记录和与第二预加密内容关联的第二加密记录；装置，用于生成分别允许解密第一和第二预加密内容的第一和第二权利报文；一个条件访问系统，用于提供包含在由该生成装置生成的第一和第二权利报文中的信息；以及，装置，用于从该预加密装置接收预加密内容，把第一和第二加密记录传送到该生成第一和第二权利报文的生成装置以传送到该订户终端。

依据本发明的另一方面，公开一个用于生成第三权利报文的装置，其中该第三权利报文用于允许在第一权利报文期满后访问该第一预加密内容。

依据本发明的另一方面，公开一种允许第一和第二有线系统控制订户访问事先脱机加密的预加密内容的方法，该方法包括步骤：从该第一电缆系统接收第一密码信息；接收含有加密期间使用的参数组的加密记录以形成预加密内容；以及，为该第一有线系统生成第一控制报文，以便基于该第一密码信息和该第一加密记录提供对预加密内容的访问。

依据本发明的另一方面，本发明是一种用于通过点对点通信网络向订户终端发送点播内容的系统，该系统包括：一个带有含着一条或多条指令用于预加密该内容的软件的脱机加密系统，以在接收来自订户终端的内容请求之前形成预加密内容；一个视频点播系统，其包括含着一条或多条指令用于从该脱机加密系统接收预加密内容并把该预加密内容传送到该订户终端的软件；以及，一个加密更新系统，其和该脱机加密系统接口以提供用来加密内容的加密参数组，并和该视频点播系统接口以生成允许可在指定期限内解密该预加密内容的权利控制报文，其中利用一个循环密钥生成这些加密控制报文。

依据本发明的另一方面，该加密更新系统生成第一和第二版本的权利控制报文，分别用于访问第一和第二等级下的预加密内容。

依据本发明的另一方面，该加密更新系统提供一种指示该视频点播系统应和该加密更新系统联系的时间的回叫机制。

依据本发明的另一方面，该方法包括保持一个第一、第二和第三有线系统以及它们的定址信息的列表。

有益地，本发明包含点对点服务(即，视频点播)的所有优点，例如未批准人员不能访问内容的优点，因为其中不存在预先规定的时间表而且VOD服务只对单个订户交互和发送。如所指出的那样，本发明的各实施例允许在集中式设施中只加密内容一次并可用于不同的点对点系统，而且该预加密内容具有无限寿命。另外，可以预加密多个内容以通过本发明的各个部分管理和分发。此外，通过包含用于订户终端的等级提供进一步的安全措施。

附图说明

图1是依据本发明的第一实施例的用于向订户发送预加密内容的系统体系结构。

图2是依据本发明的第一实施例的对ECM改进的各步骤的示例流程图。

图3是依据本发明的一示范实施例的用来脱机加密内容的图1内容准备系统的方块图。

图4是图1的加密更新系统的示范实施例。

图5是依据图1的示范实施例的用于安全地传送预加密内容的网络的方块图。

图6是图4的视频加密更新代理程序的顺序图，其示出处理VOD系统事务中所涉及的对象的VOD系统事务处理小服务程序的初始化顺序。

通过参照以下的说明部分和各附图可以达到对本发明的本质和优点的进一步理解。参照以下的说明部分并包括各附图和权利要求书可以领会本发明的其它特征和优点。下面根据各附图详细说明本发明的其它特征和优点以及本发明的各种实施例的结构和操作。在各附图中，相对的参考数字表示相同的或功能类似的部分。

具体实施方式

本发明的第一实施例公开一种利用访问控制安全地发送加密的点播内容的系统。该系统在通过点对点通信系统(例如有线系统)予以分发之前预加密内容。内容在集中式设施处加密一次并且可用于不同的点对点系统。尽管参照点对点系统加以说明，本发明可应用于点对多点系统。有益地，在本发明中预加密的内容具有无限寿命。该系统周期地进行称为ECM(权利控制报文)改进的操作以保持预加密内容可使用。

简略地，该系统包括一个用于脱机地预加密内容以形成预加密内容的内容准备模块。把预加密内容传送到一个存储该内容以便批准时传送到订户终端的视频点播模块。一个加密更新系统和该视频点播模块接口以进行ECM改进。该ECM改进进程利用一个允许可在指定期限内解密该预加密内容的密钥产生权利控制报文。通过一个条件访问系统产生该密钥(典型周期性地)并且传送到该加密更新系统供用于ECM改进进程。在改进后，该权利控制消息向订户终端传送计算该密钥所需的信息以便对预加密的内容解密。

图1是依据本发明的第一实施例的用于向订户发送加密内容的系统体系结构100。

除了其它组成部分之外，系统体系结构100包括一个预加密内容的内容准备系统(CPS)102，一个存储加密节目以便根据点播分发到订户的视频点播(VOD)系统108，一个用于控制一个或多个准许访问预加密内容的密钥的条件访问系统110，一个从该视频点播系统接收请求以生成新的用于预加密内容的权利控制报文的加密更新系统(ERS)104，一个用于分配内容的分配网络112，以及一个在订户和该内容系统之间提供双向交互的交互式网络114。尽管没有示出，业内人士会领会为了达到系统体系结构100其它组成部分和布局是可能的。例如，一个VOD系统可直接和CAS110连接并强化二个部分中的功能，因为这二个部分典型地位于有线系统的头端器中。

在操作中，安装VOD系统108以向订户提供VOD。在进入有效之前，借助ERS104 VOD系统108历经登记处理。这为ERS确立了VOD系统108的身份，从而ERS可以产生专用于该VOD系统安装的正确和适当的响应。一旦完成该VOD系统的登记。可对该VOD添加内容并使内容可由订户使用。明文内容例如电影来自内容提供者并且开始在CPS102处进入VOD。这里，利用一个脱机加密系统(OLES)(未示出)加密明文内容，该系统预加密内容为由VOD系统发送做准备。OLES还生成一个和该加密内容关联的加密记录。请注意该VOD系统可以一直一起保持该加密记录和该预加密内容，因为该加密记录为以后在VOD系统108内进行处理和解密标识该内容。

一旦在OLES处加密明文内容，向VOD系统108发送预加密的内容以及关联的加密记录以供在本地服务器上存储。有益地，多个VOD系统可连接到CPS102，从而内容加密一次并分发到各系统。VOD系统108负责把预加密内容和关联的加密记录保持在一起。在订户能在家中请求或观看预加密内容之前，VOD系统108从ERS104得到适当的权利控制报文(ECM)。VOD系统向ERS104提交含有用于所需预加密内容的加密记录的ECM请求。

ERS104用适当的ECM组、ERS同步号以及回叫时间响应。这些ECM是专门为特定的预加密内容和该VOD系统在其内操作的特定点对点系统以及为特定的时间阶段建立的。利用由各个控制机顶盒的条件访问系统(本情况下为CAS110)提供的一个密钥(典型的周期性的)密码地保护这些ECM。VOD系统(108)把这些接收到的ECM以及无论何时假脱机到订户的预加密内容插入到流中。这些ECM和内容一起插入到流中。

应观察到仅对有限的时间，即由CAS110确定的并且不能事先预测的准确时间，由ERS104与预加密内容一起回送给VOD系统的这些ECM是有效的和可使用的。这样，和这些ECM一起回送的回叫时间指示VOD系统108应按照它检查ERS以判定是否更新所有预加密内容的时间。当VOD系统接收回叫时间时，应存储它并对照当前时间跟踪它。如果回叫时间已到并且VOD系统108未在该干预时间内和ERS104联系，则VOD系统108试图和ERS104联系，即使不存在要执行的新ECM请求。

内容准备系统(CPS)

在图1中，内容准备系统(CPS)102是一个根据VOD系统(VOD)108的要求以及条件访问系统(CAS)110的要求准备内容的集中式设施。CPS102按一种适应于在视频服务器存储并且适应于向订户终端分发的格式(例如MPEG-2)编码内容。对于已经可在该适当格式下使用的内容，可能不需要该编码步骤。CPS102还起按照CAS110的技术要求加密数字编码内容的作用。

加密处理涉及生成一个或一串密码密钥。作为加密处理的一部分，在称为加密记录的数据结构中保存密码密钥或者它们的生成中所使用的参数。通过加密保护加密记录以防止对密钥未经批准的访问。CPS102可把加密的节目和关联的加密记录封装在一起，它还可包含有关内容的有用但非必需的信息。这些信息可包括节目题目、各方分配给该节目的标识、各编码参数、节目长度等。CPS102可服务多个有线系统或多个点对点系统。上面说明的内容准备处理产生准备好分发到不同地理区域中的VODS的编码的和加密的内容。内容文件分发的一些可能方法是通过物理媒体、网络文件传送或卫星文件传送。

尽管未示出，CPS102包括一个用来完成上述功能的OLES(脱机加密)部件。OLES利用一个或多个不实时，或脱机，的加密部件加密内容。一给定OLES产生用来加密内容的节目专用的密码密钥。通过包含物理访问控制和保密封装的物理保密措施保护该OLES。OLES的作用例如是：从ERS接收各加密控制初步参数，包括密码信息以支持内容加密；根据这些加密控制参数和系统配置选择一个或多个密码密钥，这些密钥用于加密节目内容；产生含有有关这些用于加密内容的密钥的信息的加密记录。该记录本身是加密的以保持加密记录的安全性；利用选出的密钥加密节目内容；向CPS提供该加密内容以及该加密记录，供以后传送到至少一个的VODS。

典型地，在进行加密操作之前通过ERS104登记和批准OLES。ERS104提供一个可移动的媒体盘，后者含有用于OLES的授权和配置参数，例如初步设置期间要处理的数据。OLES可使用各种加密方式，包括加州圣地亚哥市摩托罗拉公司的一种专利系统DC II。DC II通常代表一种加密层次以及用于在控制软件、加密部件和解密部件之间通信的专有报文的集合。另外，可以使用其中不加密某些输入MPEG包的“选择包”操作方式。当在该方式下操作时，MPEG包标题的传输置乱控制字段(TSCF)中的值“00”表示不会加密该包。若在包的TSCF中出现值“11”或“10”，则OLES会加密该包。

此外，其它方式包括，使OLES支持其中把要加密的内容拷贝到OLES本机文件系统例如NTFS的批操作方式，以及其中通过网络接口向OLES传送包含一个节目的MPEG顺从传输流的实时流式加密方式。如已指出，作为加密处理的一部分，OLES在称为加密记录的数据结构中保存密码密钥或生成这些密钥中使用的各参数。

元素名元素值	生成部件
元素名元素值	生成部件	TitilIdCode 串	OLES SW
ContentTitle 串	OLES SW	TitilIdCode 串	OLES SW
ContentTitle 串	OLES SW	EncryptionTime 时间	OLES SW
OLESId 长的	OLES安全部件	EncryptionTime 时间	OLES SW
OLESId 长的	OLES安全部件	Label 整数	OLES安全部件
EncrypitionMode 整数	OLES安全部件	Label 整数	OLES安全部件
EncrypitionMode 整数	OLES安全部件	EncryptedDataVersion 整数	OLES安全部件
EncryptedDataBlock 密钥长度	OLES安全部件	EncryptedDataVersion 整数	OLES安全部件

表I示出依据本发明的加密记录的一实施例。

当原始内容已经完全编码并且可从一个服务器(VOD或其它服务器)得到或者已经放置在OLES系统上时，OLES能在脱机方式下处理MPEG。参照图3进一步说明CPS102的一示范实施例。业内人士应领会上面的准则是示范性的并且具有不同准则的其它实施例是可能的。

视频点播系统(VOD系统)

VOD系统108包括一个或多个适应于视频点播应用的服务器。这些服务器存储加密的节目，以根据点播分发到订户。然后，预加密的节目路由并流到批准的订户。另外，VOD系统108接受来自订户终端的订购请求，并且当合适时批准和授权这些订购请求。在一些情况中，在批准某订购请求后，可以暂时存储该VOD订购直至该订户请求。

除了暂时存储订购之外，VOD系统108可从订户终端接收动态控制请求，并且通过控制对该订户的内容流型相应地实现这样的请求。在第一实施例中，VOD系统108管理和视频点播有关的系统资源等，例如带宽管理。VOD系统108和内容系统100的其它部分接口以提供各种功能。例如，它和订户终端上执行的VODCA122接口以对订户提供用户接口。另外，VOD系统108和记账系统(BS)通信连接以报告订购，并和加密更新系统(ERS)通信连接以周期地请求用于预加密节目的ECM。

VOD系统108典型地驻留在有线系统内。但是，组成VOD系统108的设备的确切位置是可变的并且不影响本发明的工作。在利用混合光纤同轴(HFC)技术建立的有线系统中，VOD系统108可位于头端器上。替代地，VOD系统108可具有多个位置，包括头端器和网络中的分配集线器，处的设备。VOD系统总地在技术上是周知的，从而不必详细说明。这样，依据本发明的一实施例VOD系统108可以由现成的物品构成，包括硬件、软件和/或定制软件。

条件访问系统(CAS)

如所述，内容系统100包括一个条件访问系统(CAS)110。CAS110通过为订户终端准备EMM和生成用于非VOD服务的ECM允许订户终端访问预加密内容。CAS110的其它功能包括：控制有线系统中的实时加密部件；向加密更新系统(后面说明)报告(定期)发生的循环密钥改变；以及，向该加密更新系统发送有线系统专用的密码参数(例如循环密钥)以使能ECM改进。如所述，循环密钥典型地是周期性的，其控制接收部件例如机顶盒等对内容的访问。一旦循环密钥到期，在更新该循环密钥之前，机顶盒不能解密内容。CAS110可位于现场或非现场，并且可为多个有线系统服务，在此情况下CAS110充当多个逻辑条件访问系统。另外，CAS110和记账系统接口，以得到关于每个订户的批准消息并向记账系统报告订购。CAS系统在技术上是周知的并且可由现成物品构成。另外，诸如程序员的业内人士可以开发为提供本发明所需的代码。

记账系统(BS)

BS106和VOD系统108以及CAS110接口以提供下述功能：(1)从订户接受预订和服务改变请求；(2)保持订户账号信息；(3)对订户记账；(4)和VOD系统108接口，以对后者提供订户批准状态并从后者收集视频点播订购信息；以及(5)提供订户批准状态、服务和事件定义信息，并且收集订购信息。尽管未示出，BS106可以是数个位于不同地理位置处的物理实体。

加密更新系统(ERS)

和图1中所示，ERS104和CPS102、VOD系统108以及CAS110接口。ERS104使得能把预加密内容分配到VOD系统108以及其它批准的VOD实体，同时使能各个CAS110内的访问控制。ERS和每个参与CAS110内出现的循环纪元翻转事件同步地完成ECM更新(ECM改进)。循环纪元是其中由CAS110使用的用来保护ECM的分配的循环密钥为有效的额定周期。

在进行初始ECM“更新”操作之前，来自CPS的加密内容是不可用的。为了第一次使该内容可用，VODS108和ERS104联系以得到第一组ECM。自此之后，周期地进行ECM更新，以便在VOD系统108上保持和每个内容标题关联的ECM有效。ERS104的作用包括：产生用于初始化OLES部件的加密控制参数组；和不同点对点系统中的CAS通信；接受来自VOD系统的请求以产生用于预加密内容的ECM；计算改进的ECM；向请求VOD系统发送改进后的ECM；以及，保持合适参数的数据库。ERS104还可和VOD系统108接口以向VOD系统108传送有关(定期)循环密钥的信息。

利用硬件、软件或二者的组合实现ERS104。例如，在本发明中可采用一些平台如Sun/Solaris^TM和诸如Java^TM的编码语言以及诸如Windows NT^TM、NetBSD^TM的操作环境。

分配网络

分配网络112是一个向系统中的所有订户或订户子集分配信号的点对点网络。分配网络例如由混合光纤同轴(HFC)技术构成。在HFC网络中，例如从头端器(中心站)向若干第二级设施(分配集线器)分配广播信号。每个集线器接着向若干光纤结点分配载波。在典型结构中，从头端器向下到光纤结点层的分配媒体是光纤。订户住宅通过同轴电缆和光纤集线器连接。在分配设施(集线器，光纤结点或其它分配设施)的某层面上，向该分配设施服务的订户终端群的子集广播视频点播载波。这典型地出现在光纤结点层。这种结构允许视频点播载波频率的再使用，即在各光纤结点上，因为不同的光纤结点用不同的视频点播载波向它们服务的订户广播。

交互网络

交互网络114可通信地和VOD系统108以及机顶盒群120连接以在订户终和VOD系统108之间提供双向通信能力。交互网络114可以和分配网络112共享一些物理基础设施。

内容准备

在具有一个或多个完成实际加密的(脱机)加密部件的CPS102处进行内容准备。这些脱机加密部件产生用来加密内容的节目专用密码密钥(组)，并通过物理保密措施(物理访问控制或保密封装)得到保护。内容准备进程的加密部分包括以下步骤：(1)为脱机加密部件准备由ERS104提供的加密控制参数。这些参数例如可用于借助加密保护加密记录。(2)脱机加密部件选择一个或多个(取决于配置)用来加密内容的密码密钥。(3)脱机加密部件产生一个含有有关用来加密该节目的密钥的信息的加密的加密记录。(4)脱机加密部件利用选取的密钥(组)加密该节目，以及(5)记录加密的内容并把它和该加密记录一起打包。

对订户的内容点播传送

具有机顶盒120希望订购内容的订户调用机顶盒群120中的一订户终端内的VODCA(VOD客户应用)122。VODCA122向该订户展示一个用户接口，以允许该订户从可订购项的选单中选择。订户调用VODCA122功能进行订购，然后向VOD系统传送一个订购请求。该订购请求包含有关该订户的信息以及被订购的项目。VOD系统108检查履行该订购所需资源的可使用性并且检查该订户的批准状态。

若各资源是可使用的并且按照访问控制策略该订户是核准的，批准该订购请求。反之拒绝该请求并且终止该进程。若批准该请求，VOD系统108对该订户通知该订购的批准状态并且对该VOD会话分配和指定资源，包括数据通路和载波带宽，另外，VOD系统108向机顶盒120通知服务获取所需的信息，例如虚拟通道号(一个和多路传送通道内的载波频率以及该节目的标识相对应的标识符)。机顶盒120进行调谐以及服务获取。VOD系统108查看它的数据库以检索和该预加密节目关联的ECM，接着使这些ECM和该节目一起流向机顶盒120。这些ECM是先前从ERS104得到的。

动态控制

当订户调用动态控制功能时，VODCA122向VOD系统108发送动态控制请求。若该动态控制请求是慢进，向前扫描或向后扫描，VOD系统108编程视频服务器以改变节目的播放方式。若该动态控制请求是暂停，VOD系统108标记(记录)该节目的当前位置，并且控制视频服务器以停止该流。VOD系统启动一个计时器以检测一延续暂停的状态。若该计时器期满，VOD系统108破坏目前的VOD会话并且放弃关联的资源。若该动态控制请求是播放/恢复，VOD检查该会话的状态。若由于到期已经破坏该现行会话，VOD系统108执行会话建立进程，如获批准的购买的情况那样。反之，VOD系统108复位该(暂停)计时器并且控制视频服务器以从该标记的位置恢复内容流动。

ECM改进

图2是依据本发明的第一实施例的ECM改进步骤的示例流程图。

ECM改进是产生和检索用于预加密内容的ECM的进程，从而能在不同的有线系统中和尽管改变循环密钥下使用预加密内容，它由保密环境ERS104中的一服务器完成。

在框202，于来自订户终端的请求之前加密内容。在一集中式设施处(并在对各批准的前端器分配之前)对内容预加密一次。ERS104向CPS102中的各脱机加密部件提供加密控制参数，这些参数除了其它作用之外使ERS104能从由CPS生成加密记录检索信息。该提供只需不频繁地进行，或者可能只进行一次。不需要为每个来自VOD系统108的ECM改进请求这样做。

在框204，产生一个用于加密该内容的参数组的加密记录。VOD系统108建立对ERS104的安全连接。为了在一特定系统中特定期限内可使用某预加密节目，VOD系统108向ERS104发送该加密记录。

在框206，ERS104利用和该有线系统关联的循环密钥(以及其它可能的CAS所需参数)产生一个或多个用于该预加密节目的ECM。以在该目标系统的循环密钥再次改变之前ECM会有效的方式建立ECM。VOD系统108存储改进的ECM和预加密内容。

在判定框208，VOD系统108检查来自VODCA122(图1)的请求内容的批准状态。若批准检查失败，VOD系统108终止该会话。反之，该进程继续。

在框210，VOD系统108向该订户发送改进的ECM(组)及预加密内容。

同步ECM改进和循环密钥改变

由于ECM是通过一个循环密钥密码保护的，ECM的寿命被该循环密钥的到期限制(尽管它们的寿命也由其它因素限制)。当有线系统的循环密钥改变时，需要对预加密节目改进新的ECM。从而ECM的改进需要和循环密钥的更新进程同步。

在已经产生了新的循环密钥之后并在目前的循环密钥期满之前，CAS110在一个安全的通信通道上向ERS104通知该新的循环密钥以及它的有效期，至少在目前的循环密钥到期t1分钟之前进行该通知。VOD系统108周期地和ERS104通信，以对新引进的和/或现有的预加密内容进行ECM改进，或进行循环密钥改变的预定发生的检查，或者进行二者，VOD系统108和ERS104通信以在通常不短于每t1分钟内完成上述操作。替代地，ERS104可保持一个VOD系统(以及地址信息)列表并向受到影响的VOD系统传送类别改变的预定发生。

访问控制

和广播服务不同，在视频点播中，每次只有一个订户终端调谐到内容流。这允许不能对广播服务应用的新颖访问控制方法。在本发明的一实施例中，由CAS110和VOD系统二者进行访问控制。通过使用EMM，CAS110把能处理ECM的订户终端限制在有线系统中只受到批准的订户终端上。这防止非法部件象批准部件那样动作。取决于CAS的功能，可以通过服务等级把核准的订户终端进一步分成更小的组。

由于只有一个订户终端会接收内容流，VOD系统108可以通过检查订户的批准状态拒绝对未批准订户服务并且拒绝对该订户的终端分送内容。为了防止不参与某特定VOD会话的订户终端调谐到含有某VOD节目的内容流上，把所有分配给VOD会话的虚拟频道标志成“隐藏的”。不能利用该订户终端的“频道上调”和“频道下调”控制调谐隐藏频道，它们只能由在该订户终端上执行的一个(批准的)软件应用调谐。只允许订户终端的顺从模型(即，不允许人工对隐藏频道调谐的终端)预定VOD。该限制是一种程序控制。由于不允许非顺从的部件预订VOD，可防止它们访问预加密内容，因为它们不能处理相关的ECM。

在本发明的一实施例中可采纳美国5,627,892号专利中说明的相关技术来提供访问控制。为了使用该相关技术，为了保护VOD节目建立一些服务等级。等级的适当数量取决于可接收含有VOD节目的一特定载波的订户的数量。例如，如果在光纤结点层上广播预加密节目，从而典型地500到1000的订户可访问一个载波(但不必是内容)，100个等级是可接受的等级数量。如将变得清楚的那样，等级的数量影响访问控制的安全。通常，等级数量更高提供更多的安全。

在一实施例中，为了控制对VOD的访问，在有线系统中把N个等级放在一边(以形成一个池)。只对用户群的小部分广播每个含有VOD节目的载波，例如如实践中常见那样在光纤节点层上。按随机或伪随机方式对该系统中的每个订户终端只批准该池中N个服务等级中的一个等级。这种批准分配的效果是，只有小数量的订户(在一广播结点内)能通过CAS解密置成某特定等级的预加密VOD节目。

当VOD系统108请求ECM(用于一特定预加密节目)时ERS104会产生ECM的N个版本，每个版本规定该池中的一个不同等级以作为访问要求。当某订户订购某预加密VOD节目时，VOD系统108查看它的数据库并且检索和该订购节目关联的ECM(组)的版本并且规定已对该订户的终端批准的该特定VOD服务等级(在该N种可能之中)。该ECM(组)使该订户的终端能解密该节目。接着把该ECM(组)多路复用到发送到该订户的内容流中。

图3是依据本发明的一示范实施例的用于脱机加密内容的CPS102。在图3中，可以从还充当加密文件的目的地的VOD服务器302得到明文内容。在把加密的材料写入VOD内容服务器302之前，加密并检验编码文件。尽管未示出，客户机306可驻留在OLES304的外面。该配置不被限定成使一个物理部件提供源材料同时又是加密内容的目的地；它们可以是分立的文件服务器。该客户机借助TCP/IP通过一个规定的API控制该加密会话。一种预加密的流式方式也是可能的，其中经一个MPEG编码器把来自原始内容源例如视频(可能是模拟录象带)的内容“流式地”发送到OLES以进行加密并且最终存储在一个VOD服务器上。该系统向用户提供“实时”操作的感觉。一个外部应用可控制内容处理通路中的每个部件，在给定该配置下，OLES会在完成编码进程之前从该编码器访问数据。接着，在完成该编码进程之前，该OLES会对VOD服务器提供加密内容输出。该客户机例如借助TCP/IP通过一个规定的API控制该加密会话。

例如可以通过一个以太网连接流式操作方式和批处理方式二者的物理接口。明文内容的源(源内容服务器)和加密内容的目的地部件可以和OLES304一起驻留在一个专用网络段上。和共享公司业务的网络相比，这会提供最大的网络吞吐量。可以通过人工交互完成OLES304对ERS104的登记，在这种情况下不需要二者之间的物理连接。在这种情况下，利用可移动媒体(例如软盘)支持ERS104和OLES(CPS102)之间的连接。OLES现场工程师从OLES检索某些所需数据并且把它和其它所需信息(从不同于OLES软件的其它源收集)一起提供给ERS。该ERS生成一个OLES现场工程师输入到该OLES中的OLES注册文件以完成该登记处理。该OLES注册文件包括诸如唯一OLES ID、可使用的加密类型、加密会话号、密码信息等的信息，但不受此限制。

OLES客户机可以借助一个规定的API控制OLES加密会话。该API在无需客户机侧上的专用客户应用下支持远程操作。它还允许客户机提供自动进行加密操作的可定制软件，该API可支持启动和停止加密会话(包括提供所有定义新会话所需的数据)并且可检索当前加密会话的状态。OLES可以提供一个能在实现该API的网浏览器(例如Netscape^TM或Internet Explorer^TM)上显示的图形用户接口。通过一种安全模式(例如用户名/口令ACL)保护对这些客户功能的访问。

OLES硬件平台可以是一台商业上可买到的基于微处理器的计算机，安装在一个适应成安装成标准19″设备机架、800MHz、1GB的RAM、35GB的硬盘驱动器以及一个10/100的Base-T以太网卡的加固机箱内。该OLES提供一个允许浏览器图形用户接口，该接口实现包含各种命令(例如停止当前的加密会话的命令)的客户API。

现参照示例的内容指南，下面的表II说明用于VOD内容的内容指南。

说明	注解
说明	注解	按二进制文件格式对OLES输入明文内容数据
一个由一系列完整的188字节MPEG-2传输包组成的内容文件，其构成一个顺从MPEG-2的单节目传输流(SPTS)。		按二进制文件格式对OLES输入明文内容数据
一个由一系列完整的188字节MPEG-2传输包组成的内容文件，其构成一个顺从MPEG-2的单节目传输流(SPTS)。		内容文件具有节目关联表(PAT)和节目变换表(PMT)，二个表按每秒8次的额定速率嵌入
对于流式方式操作，内容文件典型地从节目变换表(PMT)和节目关联表(PAT)开始。	对于加密PAT和PMT是需要的。流式方式缺少预扫描输入以找到它们的豪华。	内容文件具有节目关联表(PAT)和节目变换表(PMT)，二个表按每秒8次的额定速率嵌入
对于流式方式操作，内容文件典型地从节目变换表(PMT)和节目关联表(PAT)开始。	对于加密PAT和PMT是需要的。流式方式缺少预扫描输入以找到它们的豪华。	为了支持选择性加密，把元流包标题的传输置乱控制字段置为二进制“00”以在明文下传

送包或置二进制“1x”以使该包被加密。

表II

加密速率

内容文件典型地约按3兆位/秒编码。希望在15分钟内加密2小时(回放时间)的节目。这表示基于该编码速率加密时间是回放时间的约1/8。该要求未考虑读出该文件(即，从网络驱动程序)；它只考虑文件仿佛已存在在OLES上加密文件所需的时间。下面给出的速率要求是每秒的包速率。这允许不依赖内容文件地陈述加密速率。OLES能在每秒18,000个包的额定速率下进行加密。OLES按该现行加密类型配置那样改变该置乱控制字段的工作密钥奇偶校验位。重要的是要注意上述指南是示例性的并且可根据需要改变。

选择性加密

选择性加密指的是根据标题中的传输置乱控制位组处理要加密的包(例如MPEG)。可达到每秒18,000个包的选择性加密速率。OLES提供根据MPEG标题中找到的传输置乱控制位组的值进行选择性加密的选项。该置乱控制字段具有下述加密定义：I.00-不加密该包；II.1x-加密该包。业内人士应领会上面的指南是示例性的并且其它具有不同指南的实施例是可能的。

全加密

全加密指的是不考虑标题中传输置乱控制位组的值对每个MPEG进行加密。OLES提供不考虑传输置乱控制位组的值对所有元流的包加密的选项。

加密文件

在一实施例中，对于每个成功的加密会话，OLES产生一个加密的VOD内容文件和一个加密记录。该记录记录是用格式文件写成的，从而可以利用文本编辑程序(例如MS Word)观看文件内容。在一实施例中，利用可移动媒体(例如软盘或光盘)把这些文件发送到加密文件目的地。加密记录文件内容可以是ASCII文本并且可以利用文本编辑程序观看。

图4是图1的ERS104的一示范实施例。在图4中，ERS104的组成部分包括一个或多个VERB(VOD加密更新)系统402和一个或多个安全ECM改进器404。来自VOD系统的因特网420通信在到达VERB402之前先经第一防火墙406过滤。VERB语法分析请求(第一实施例中为XML请求)，在数据库422中查找并存储信息以及和ECM改进器宙斯(Zeuses)通信。通过第二防火墙408过滤VERB402至ECM改进器的连接。和其它组成部分一起，网服务器412驻留在VERB内以便为VOD系统请求服务。类似地，和其它组成部分一起，网服务器416(未示出)驻留在每个ECM改进器内以便为来自VERB402的请求服务。另外，ASIC(专用集成电路)安全芯片(未示出)，加州圣地亚哥市摩托罗拉公司的一种产品，驻留在每个宙斯中以进行ECM改进处理中所需的加密和解密。ASIC在该芯片内完成加密和解密以提供防止克隆的安全措施。

VERB和宙斯之间的接口协议

在本发明的一示范实施例中，VERB402和宙斯404之间的接口基于超文本传输协议(HTTP)，该协议是一个应用层面向对象的无状态协议。例如为了向宙斯发送请求，VERB对宙斯的周知URL进行HTTP POST。来自宙斯的回答是向该POST发送HTTP响应。VERB请求/响应对直接变换成HTTP POST/响应对。

OLES登记请求

当OLES对ERS登记时从VERB向宙斯发送该报文，其包含下述信息：OLES ID、OLES控制字节和其它信息。作为POST输出流的一部分的向ZEUS(宙斯)发送的串是：

msgtype＝olesregistration&olesid＝value&olescontrolbyte＝value&olesencryptoptions＝value&olesminencryptcount＝value&olesmaxencryptcount＝value&olesencryptor＝value&olesdecryptor＝value，其中值value是字段的实际值。若不存在解密器，则不出现olesdecryptor的名/值对。若把OLES控制字节置成为单板方式或若把它置成为不登记解密器的双板方式，这会发生。没有限制地其它报文是可能的，例如OLES登记回答，发送EMM请求，ECM改进请求，ECM改进回答。

VOD系统和加密更新系统的交互

下一节说明用于常规操作的几个方面的VOD系统108和ERS104之间的几种交互

初始ECM请求

参照图1，VOD系统108从CPS102接收以带有关联加密记录的预加密内容的形式的新内容(例如最新发布的电影)。但是，在能把该内容提供给订户之前，VOD系统可能从ERS104请求ECM组的初始设置。为此，VOD系统108向ERS发送一个包含适当加密记录的ECM请求(每个内容项一个请求)。作为回送，ERS104向该VOD系统发送一个包含适当的ECM组以及回叫时间和ERS同步号的ECM响应。

在一实施例中，ECM请求和ECM响应封装在一个ERS有效负载中，并且实际上允许多个同时的ECM请求/ECM响应。换言之，如果需要，VOD系统可以请求用于多个内容项的ECM组。而且ERS产生的ECM具有有限的寿命。另外，如果需要，新安装的VOD系统对ERS的第一个ERS有效负载可包括ECM请求。但是，希望来自新安装的VOD系统的初始ERS有效负载不包括任何ECM请求，以在需要ECM之前验证该VOD系统和ERS的正确交互。

回叫时间机制和ERS同步号

对VOD系统108的所有有效ERS事务处理响应含有按通用协调时间(UTC)规定的回叫时间。UTC的格式如下：

CCYY-MM-DDThh:mm:ssZ

“CC”代表世记，“YY”代表年，“MM”代表月分以及“DD”代表日子。字母“T”是日期/时间分隔符，而“hh”、“mm”、“ss”分别代表小时，分钟和秒。该时间格式是利用通用协调时间规定的。紧靠着该表达的“Z”表示通用协调时间。回叫时间指示该VOD系统应和ERS联系的下个时间。如果在该VOD系统向ERS发送ERS有效负载事务处理请求之前经过了该回叫时间，则该VOD系统108需要向该ERS发送一个请求。

在常规操作中，按规则间隔向VOD系统添加新的内容；从而，VOD系统也按规则间隔向ERS发送ECM请求。如果在达到前一个回叫时间之前VOD系统向ERS发送一个ECM请求，则从该ERS有效负载事务处理响应中接收一个新的回叫时间。该新回叫时间使该前一个回叫时间失效。但是，如果未对VOD系统添加新内容并且到达最后接收到的回叫时间，则该VOD系统需要和ERS联系。

请求ERS同步号/ECM寿命以及更新ECM请求

ERS为VOD系统生成的所有ECM具有有限的寿命。该寿命的期限是由CAS110决定的，CAS110可以在任何时间不预先通知地带有宽限的情况下终止ECM的寿命。这样，VOD系统可以周期地更新它为预加密内容存储的ECM。由于事先不知道ECM寿命，ERS利用所有的响应向VOD系统提供ERS同步号；该ERS同步号指示已生成的ECM的当前寿命周期。请注意，在一具体寿命周期内生成的所有ECM共享相同的生命终点；它们都在相同的时间到期。

ERS同步号和ECM寿命

VOD系统利用ERS同步号按如下跟踪ECM寿命：VOD系统记录和每组ECM一起接收的ERS同步号。一旦从ERS接收任何新的响应，把该响应中包含的ERS同步号看作是当前的ERS同步号。VOD系统先前存储的具有和该当前的ERS同步号不匹配的ERS同步号的所有ECM期满并且可被更新。请注意VOD系统具有在其中旧的ERS同步号仍会正确工作的宽限。但是，只要知道已经改变当前的ERS同步号，VOD系统应尽快地刷新所有期望要使用的ECM。通常，该宽限至少延长到在提供更新ERS同步号的响应里接收到的下个回叫时间之前。

VOD系统可对ERS作出任何请求；当成功地完成该事务处理时总是回送一个ERS同步号。若VOD系统因为回叫时间已到期向ERS请求ERS同步号，则回送的ERS同步号可指出先前请求的各ECM已期满。ERS总是提供回叫时间，从而要求VOD系统在ECM寿命到期后的宽限结束之前和ERS接触。例如，VOD系统按如下跟踪ERS同步号，首先，做出用于新的预加密内容的初始ECM请求；所回送的ERS同步号是5。该VOD系统一起记录该ERS同步号和生成的ECM组并且无论何时为顾客假脱机该预加密内容时使用这些ECM。该VOD系统还记录响应中的回叫时间并且设置一个该回叫时间到期的定时器。

在该例子中，不对该VOD系统添加新的预加密内容，从而在达到该回叫时间简单地倒计时，一旦达到该回叫时间，需要该VOD系统和ERS接触。由于没有添加新的预加密内容，该VOD系统简单地向ERS请求ERS同步号。对于该例子，回送一个带有更新的ERS同步号，(6)，的ERS有效负载事务处理响应；该同步号指示先前的ERS同步号(5)已经期满并且可更新所有和该ERS同步号(或者任何其它不为6的ERS同步号)关联的ECM。该VOD系统接着用其它ECM请求更新ECM。

通过另一个例子，VOD系统按如下跟踪同步号。同样，为新的预加密内容做出初始ECM请求；所回送的ERS同步号为5，和前面一样，该VOD系统一起记录该ERS同步号和生成的ECM组并且无论何时为顾客假脱机该预加密内容时使用这些ECM。该VOD系统还记录响应中的回叫时间并且设置一个在该回叫时间到期的定时器。和第一个例子不同，在该例子中对该VOD系统添加附加的新预加密内容。这样，做出一个ECM请求以得到用于该新的预加密内容的ECM组。回送的ERS同步号现在为6，其表示先前的ERS同步号(5)已期满并且可更新所有带有该ERS同步号(或者任何6之外的同步号)的ECM。接着如前个例子那样，该VOD系统利用其它ECM请求更新这些ECM。

VOD系统的ECM处理

VOD系统从ERS接收的每个ECM响应包含多个和预加密内容一起发送的ECM报文(一组ECM)以允许顾客在家中观看。这些ECM由VOD系统按ECM响应中指示那样插入到报文流中并且遵守常规MPEG-2报文流要求。具体地，ECM响应中所回送的ECM组中的每个ECM可插入到ECM PID的合适位置中，并且每个报文和前一个报文时间上可以至少以要规定的时间量隔开。

在把这些ECM插入到报文流的专用段之前，可以修改ECM的数据字段中的一个。ECMData元素含有称为“ProgramNumberOffset”的元素，后者给出节目号的位置以及对报文的起点的偏置字节数量。该24位的值可以用另一个专用于VOD系统的完成改进请求的值代替。若该值被替换，则重新计算报文结束处的32位CRC。

VOD系统/ERS接口技术要求

下面的几段说明在VOD系统和ERS之间使用的标准低层协议。VOD系统和ERS之间的接口可以基于TCP/IP、SSL、HTTPS和XML。XML用于在VOD系统和ERS之间传送数据。如前面所述，在本发明的一实施例中，ERS把XML文档交换用作为它的基本协议模型。ERS协议报文是有效的XML文档，其带有单个ERSPayload(ERS有效负载)根元素并带有一个说明可能的操作和数据的结构化标记层次。

利用HTTP按如下进行ERSPayload交换。为了发送ERSPayload/HTTP请求，VOD系统对和ERS关联的周知URL进行HTTP POST。每个逻辑操作从VOD系统发送一个请求开始。利用ECMRequest XML元素规定ECM请求，并利用ECMResponse元素规定ECM响应。对于ERSPayload/HTTP，在一个HTTP POST中发送该ECMRequest，并在对该POST的HTTP响应中发送对该请求的ECMResponse。这样，ECM请求/响应对总是直接变换成HTTP POST/响应对。

下面是该协议的一个伪代码表达以说明何处为出现HTTP POST的使用。单个ERSPayload对应单个HTTP POST/响应传输层事务。

　　(1)VODS ERS(HTTP POST)：

　　＜ERSPayload＞

　　＜Ver1_0＞
        <!-- SIPO <DP n="25"> -->
        <dp n="d25"/>
　　＜ECMRequest＞Contents of request...＜/ECMRequest＞

　　＜/Verl_0＞

　　＜/ERSPayload＞

　　(2)VODS ERS(HTTP Response to the POST)：

　　＜ERSPayload＞

　　＜Verl_0＞

　　＜ECMResponse＞Contents of ECM information...＜/ECMResponse＞

　　＜/Verl_0＞

　　＜/ERSPayload＞

ERS/VODS接口协议允许在单个有效负载报文中发送多个请求或响应。这允许无论何时只要可能使往返为最少。例如，具有八个要改进的(节目)标题的VOD系统可以在单个HTTP POST/响应通信中发送全部八个ECM请求并接收全部八个ECM响应。下面是可以用来从VOD系统向ERS通信XML事务的样本HTTP语法：

POST/VODSTransaction HTTP/1.1

Host：vodsys1.vodcompany.com

Authorization：Basic dm9kczpwYXNzd28yZA＝

From：admin@vodsys1.vodcompany.com

Content Type：application/x-www-form-urlencoded

Content-Length：30

xmldata＝SomeXmlTransactionData

有关URL编码(用于在向ERS发送之前构建HTTP请求)的更多信息请参考RFC 2396而有关HTTP/1.1的更多信息请参考RFC2616。

VOD系统/ERS接口协议

在一示范实施例中，在XML下规定VOD系统/ERS接口协议。一个XML方案定义在VOD系统和ERS之间交换的充当协议事务的XML文档的语法。在语法分析或处理该文档的任何部分之前，VOD系统和ERS接收整个XML文档。这确保不会因为处理部分XML文档出现错误。应注意已把协议设计成支持多个同时的版本。这是通过使用哪个<Ver XX>标记指示的，(总是为ERSPayload的第一子元素)其中X.X是某具体VOD系统当前支持和分派使用的协议版本。XML方案含有当前的<Ver XX>标记，以支持最近的协议版本以及以前的<Ver XX>标记以向后兼容。最新的协议版本是：<Ver 1.0>。

可以通过以下表示在ERS和VOD系统之间流动的各种XML协议事务：

元素名：代表字段或XML元素对的名。例如，若规定的元素名是“ERSPayload”，则对应的XML元素对会是“<ERSPayload></ERSPayload>”(或者用于该对的较短形式，“<ERSPayload/>”)。

属性名：代表和该规定的元素关联的XML属性名。

方向流：指示从发送方到接收方的事务数据的方向流。对于接收者事务数据是最有意义的，尽管协议可能要求在事务流的二个方向上呈现元素或属性。需要从VOD系统发送到ERS的XML元素或属性用VODSERS表示。需要从ERS发送到VOD系统的元素或属性用ERSVODS表示。二个方向上所需的元素或属性信息表示为：VODSERS。

需要的：指示在当前语境下是否需要存在当前的XML元素或属性。最外面的元素ERSPayload包络所有在ERS和VOD系统之间流动的事务。当从VOD系统向ERS传送事务时而且当从ERS向VOD系统传送响应时，总是需要ERSPayload元素(因为它是最外面的元素)。

元素值：该列指示和元素名或属性名关联的类型和/或值(或者值的范围)。在一些情况中可能只存在指示可以如何使用元素名或属性名的注释。在其它情况中，当不存在和元素名或属性名关联的值时“None(无)”会是其标志。

嵌套元素：仅当元素名包含其它嵌套元素时它才适用于元素名，通过XML方案定义给出用于该协议规范的嵌套元素。VOD系统/ERS接口协议支持各种用于协议版本1.0的VOD系统/ERS事务请求/响应。元素名代表可用于构建适合形式XML文档的XML元素。完成的XML文档代表一个事务报文。从VOD系统发送到ERS的ERSPayload元素下的Ver1_0元素可包含多达八个的ECM请求以及一个对下个ERS同步号和与请求的VOD系统对应的回叫时间的隐查询。可进一步参阅于2001年7月3日申请的标题为“用于带有回叫时间的内容点播系统的通信协议”的未决美国专利申请，其收录为参考文献。

图5是依据本发明的一示范实施例的用于安全地传送预加密内容的网络500的方块图。

在图5中，多个有线系统502、504可和单个ERS104连接，并接收来自单个CPS102的内容。有线系统502、504的CAS110A和CAS110都和ERS104连接。另外，CPS102对有线系统504和502各自的VOD系统108、108A提供内容。除了可以按照满足网络500尤其是满足有线系统502、504的需要修改这些组成部分外，网络500的所有组成部分按参照图1说明的同样方式工作。如已提到，各个CAS含有生成用来批准VOD服务的ECM所需的信息，即VOD系统108和108A需要的信息。使每个CAS和每个VOD系统连接可能是成问题的，因为大量的CAS和VOD系统可能以数不清的方式成对而且它们可能位于物理上分离和地理上远离的位置上。一种办法是把所有的CAS和VOD系统都连接到ERS104。ERS104例如可以是一个为来自它的VOD系统客户的请求服务的中央服务器。

在ERS104处协调所有信息，包括ECM的正确生成及CAS和VOD系统间的关联。由于取消各CAS和各VOD系统之间的连接大大简化连网。另一个好处是，对CAS去掉完成对VOD服务的批准以及和多个VOD系统协调的开销，CAS110只需要通知ERS104加密内容的改变。ERS104跟踪并通信受到影响的VOD系统。本实施例去掉CAS到VODS以及VODS到CAS的耦合。由于不存在各VOD系统和各CAS的直接耦合，CAS110只受到ERS104的启动/处理时间的影响。类似地，VOD系统108不由CAS只由ERS的启动/处理时间影响。由于ERS104不进行辅助功能，可以优化它以支持各CAS和各VOD系统。

图6是VERB402的顺序图，其示出处理VODS事务中涉及的VODS事务处理小服务程序的对象初始化顺序。通过VODSTransaction Servlet 610构建DataBaseConnectionMgr602(包含数据库连接)、VODSTransactionInfo604(包含和某具体VODS有关的数据库项)，ERSXmlParser606以及ERSResponse608.“ctor”符号是“constructor(构造程序)”的缩写。尽管出于说明目的提供了一个例子，各种其它交互是可能的。例如，ERSXmlParser可建立ERSRequest(为一个VODS保持一个事务请求)，ERSXmlErrorHandler(处理语法分析XML文档时发现的错误)以及DOMParser(一种类型的XML语法分析程序)。尽管未示出，可以由业内人士例如程序员开发对于容纳本发明所需的用于补充和修改的软件代码。在这种形式下，本发明提供一种用于在带有访问控制下安全地发送内容点播的系统。

尽管上面详细说明本发明的各示范特定实施例，其它实施例也是可能的。从而，上面的说明不应当成是对本发明的范围的限制，在附属权利要求书中定义本发明的范围和等同品的完整范围。例如，尽管说明中引用例如有线系统的点对点通信系统，业内人士会理解本发明可应用于多点系统和多播系统。

Claims

1.一种通过通信网络向订户终端发送点播内容的系统，该系统包括：

一个内容准备模块，用于脱机地预加密该内容以形成预加密内容；

一个点播模块，其接收来自该内容准备模块的预加密内容以供存储，并且当批准时向订户终端发送该预加密内容；

一个加密更新系统，其和该点播模块接口以生成允许在指定期限内可解密该预加密内容的权利控制报文；以及

一个用于向该加密更新系统提供循环密钥的条件访问系统，以允许生成向订户终端传送解密该预加密内容所需的包含该循环密钥的信息的权利控制报文。

2.如权利要求1的系统，其中该通信网络是用于从有线中心站向所有订户终端或订户终端子集分配音频/视频内容的有线网络。

3.一种从一个或多个有线系统向这些有线系统内的订户终端发送内容的方法，这些有线系统和一个脱机加密部件通信连接，该方法包括：

通过第一有线系统接收来自该第一有线系统的第一订户终端的对该内容的请求，

通过该脱机加密部件预加密该内容，以在该接收请求的步骤之前形成预加密内容：

生成一个含有加密该内容所使用的参数组的加密记录；

根据该加密记录以及第一密钥信息，生成一个或多个用来允许访问该预加密内容的控制报文；以及

向该第一订户终端发送和该一个或多个控制报文关联的该预加密内容以解密该预加密内容。

4.如权利要求3的方法还包括

通过第二有线系统接收来自该第二有线系统的第二订户终端的请求，以及

根据该加密记录和第二密钥信息，生成一个或多个用来允许第二订户终端访问该预加密内容的控制报文。

5.如权利要求3的方法，其中通过一个利用密钥信息控制该第一订户终端的条件访问系统提供该第一密钥信息。

6.如权利要求5的方法，其中该密钥信息是一个周期性的并且在指定期限内有效的密钥。

7.如权利要求6的方法，其中该指定期限为该条件访问系统改变该第一密钥之前不久、同时或之后不久。

8.如权利要求3的方法，其中该一个或多个控制报文是用于向该第一订户终端传送信息以计算密钥的权利控制报文。

9.如权利要求3的方法还包括

在指定期限后改变该第一密钥信息，并且由该第一有线系统报告密钥改变。

10.如权利要求3的方法还包括

改进对该预加密内容的第二权利控制报文以允许在该第一密钥信息期满后访问该预加密内容。

11.如权利要求10的方法，其中改进该第二控制报文使用第二密钥信息。

12.如权利要求11的方法，其中改进该第二权利控制报文的步骤和把第一密钥信息改变成第二密钥信息同步。

13.如权利要求3的方法还包括

从加密更新系统提供产生该一个或多个权利控制报文的参数组。

14.如权利要求13的方法其中产生加密记录的步骤通过脱机加密系统。

15.如权利要求4的方法还包括

在该第一有线系统中设置第一和第二服务等级以进一步限制对该预加密内容的访问。

16.如权利要求15的方法还包括

生成允许该第一订户终端只访问第一服务等级下的预加密内容的第一权利控制报文，以及

生成允许第二订户终端只访问第二服务等级下的预加密内容的第二权利控制报文。

17.一种通过通信网络向点播订户终端发送第一和第二内容的系统，该系统包括：

用于脱机地预加密该第一和第二内容的装置，以形成第一和第二预加密内容，并且用于生成和该第一预加密内容关联的第一加密记录以及和该第二预加密内容关联的第二加密记录；

用于生成分别允许解密该第一和第二预加密内容的第一和第二权利报文的装置；

一个条件访问系统，用于提供包括该生成装置的该第一和第二权利报文中包含的信息；以及

用于从该预加密装置接收预加密内容的装置，把该第一和第二加密记录传送到该产生要发送到订户终端的该第一和第二权利报文的生成装置。

18.如权利要求17的系统还包括用于生成第三权利报文的装置。

19.如权利要求18的系统，其中该第三权利报文用于允许在该第一权利报文期满后访问该第一预加密内容。

20.一种采用加密更新系统的方法，该方法允许第一和第二通信系统控制订户对事先脱机加密的预加密内容的访问，该方法包括：

通过该加密更新系统从该第一通信系统接收第一密码信息；

接收一个含有在形成该预加密内容的加密期间所使用的参数组的加密记录；以及

根据该第一密码信息和该第一加密记录为该第一通信系统生成用来提供对该预加密内容的访问的第一控制报文。

21.如权利要求20的方法还包括

通过该加密更新系统从该第二通信系统接收第二密码信息；

接收该含有在形成该预加密内容的加密期间所使用的参数组的加密记录；以及

根据该第二密码信息和该加密记录为该第二通信系统生成用来提供对该预加密内容的访问的第二控制报文。

22.如权利要求20的方法还包括一旦该第一控制报文期满生成第三控制报文以提供对该预加密内容的访问。

23.如权利要求20的方法还包括

检索和该预加密内容关联的权利控制报文组；以及

当订购该预加密节目时规定对订户批准的等级。

24.一种通过点对点通信网络向订户终端发送点播内容的系统，该系统包括：

一个带有含着一条或多条指令用于预加密该内容的软件的脱机加密系统，以在接收来自订户终端的内容请求之前形成预加密内容；

一个视频点播系统，其包括含有一个或多条指令用于从该脱机加密系统接收预加密内容以及把该预加密内容传送到订户终端的软件；以及

一个加密更新系统，其和该脱机加密系统接口以提供用来加密该内容的加密参数组，并和该视频点播系统接口以生成允许可在指定期限内解密该预加密内容的权利控制报文组，其中利用一个循环密钥生成这些权利控制报文。

25.如权利要求24的系统还包括一个具有和一个记账系统接口以根据订户订购协调订户对该预加密内容访问的软件的条件访问系统。

26.如权利要求24的系统还包括一个交互系统，后者包括带有用于在该订户系统和该视频点播系统之间提供双向订户交互的指令的软件。

27.如权利要求24的系统还包括一个或多个服务等级以防护该预加密内容。

28.如权利要求24的系统，其中该加密更新系统生成权利控制报文的第一和第二版本，以用于分别在第一和第二等级下访问该预加密内容。

29.如权利要求24的系统还包括

检索和该预加密内容关联的权利控制报文并且当订购该预加密节目时规定对订户批准的等级。

30.如权利要求24的系统，其中该加密更新系统提供一种回叫机制以指示该视频点播系统应和该加密更新系统联系的下个时间。

31.如权利要求20的方法，还包括提供一种回叫机制。

32.如权利要求20的方法还包括保持一个第一、第二和第三通信系统以及它们的定址信息的列表。

33.如权利要求3的方法，其中利用第三密钥实现该预加密步骤，并且该加密记录包含关于该第三密钥的信息。

34.如权利要求33的方法，还包括把该第三密钥转换成该第一密钥信息。

35.如权利要求25的系统，其中该视频点播系统和该条件访问系统是去耦合的。

36.如权利要求25的系统，其中该视频点播系统和该条件访问系统构成第一有线系统，二者通信上和该加密更新系统耦合。

37.如权利要求36的系统，还包括一个具有各和该加密更新系统耦合的第二条件访问系统和第二视频点播系统的第二有线系统。

38.一种从第一和第二通信系统向订户发送预加密内容的方法，该方法包括：

在内容处于一集中式设施中并被分配到该第一和第二通信系统之前预加密该内容一次；

若批准该第一通信以接收该内容，对该第一通信系统发送该内容；

由该第一通信系统存储该内容；

若批准该第二通信系统接收该内容，对该第二通信系统发送该内容；以及

由该第二通信系统存储内容；其中一旦当该第一通信系统内的第一订户请求时由该第一通信系统向该第一订户分配该内容，并且一旦当该第二通信系统内的第二订户请求时由该第二通信系统向该第二订户分配该内容。

39.如权利要求38的方法，其中在向该第一和第二通信系统发送该内容之前加密该预加密内容。

40.如权利要求20的方法还包括分配订户等级，从而在一光纤结点内只有指定数量的订户共享每种订户等级。