-
ALLGEMEINER
STAND DER TECHNIK
-
Die
vorliegende Erfindung betrifft allgemein das Gebiet der Übermittlung
von Inhalten und insbesondere ein System zur Übermittlung von angeforderten
Videoinhalten über
ein Kommunikationsnetzwerk.
-
Herkömmliche
Systeme zur Übermittlung von
angeforderten Videoinhalten an Abonnenten erlangen zunehmend Bekanntheit.
VOD (Video on Demand = Video auf Bestellung) ist ein interaktiver Dienst,
bei dem Inhalte (zum Beispiel Video) auf Bestellung über ein
Punkt-zu-Mehrpunkt-Netzwerk (zum Beispiel ein Kabelsystem) an einen
Abonnenten übertragen
werden. Ein Abonnent kann jederzeit Programminhalte bestellen und
empfangen, ohne an ein vorher festgelegtes Sendeprogramm gebunden zu
sein. Oft werden dem Abonnenten mit einem Videorekorder vergleichbare
Steuerfunktionen angeboten, wie zum Beispiel Pause (Standbild),
Zeitlupe, Vorwärtssuche
und Zeitlupe rückwärts. Dem
Abonnenten wird in der Regel ein mehrfaches Ansehen eines gekauften
Programms innerhalb eines Zeitfensters, zum Beispiel 24 Stunden,
gestattet. VOD imitiert (oder übersteigt)
den Steuerungsumfang und den Bedienkomfort ausgeliehener Videobänder. Um
den unbefugten Zugriff auf einen VOD-Dienst zu Verhindern, beinhaltet
das System, das diesen Dienst implementiert, die eine oder andere
Form der Zugangsbeschränkung.
-
Zugangsbeschränkung
-
Das
System, das VOD implementiert, beinhaltet die Fähigkeit, den Zugriff auf Inhalte
auf berechtigte Abonnenten zu beschränken, weil die Inhalte, die
im Rahmen des Dienstes übermittelt
werden, von ihren Eigentümern
im Allgemeinen als wertvolles geistiges Eigentum angesehen werden.
Beim Kabel- und Satellitenfernsehen kennt man diese Fähigkeit unter
der Bezeichnung "Zugangsbeschränkung". Eine Zugangsbeschränkung erfordert
einen vertrauenswürdigen
Mechanismus zum Klassifizieren von Abonnenten in verschiedene Klassen
und einen Durchsetzungsmechanismus zum Verweigern des Zugriffs für unbefugte
Abonnenten. In der Regel ist die Verschlüsselung der Mechanismus, der
zum Verweigern des unbefugten Zugangs zu Inhalten verwendet wird
(im Gegensatz zum Trägersignal).
-
Ebenenaufbau
von Diensten
-
Um
zwischen befugten und unbefugten Abonnenten und zwischen verschiedenen
Befugnisebenen zu unterscheiden, wird ein Konzept der Diensteklassen
verwendet. Eine "Ebene" meint in der herkömmlichen
Terminologie des Kabel- oder Satellitenfernsehens eine Diensteklasse.
Man kann sie auch als eine Befugniseinheit oder eine Zugangsberechtigung
betrachten, die gewährt,
widerrufen oder auf sonstige Weise verwaltet werden kann.
-
Schlüsselverwaltung
-
In
einem System, das mit Verschlüsselung arbeitet,
bezieht sich die Schlüsselverwaltung
auf sämtliche
Aspekte des Umgangs mit kryptografischen Schlüsseln, einschließlich ihrer
Erzeugung, Verteilung, Erneuerung, ihres Ablaufs und ihrer Unbrauchbarmachung.
Das Ziel der Schlüsselverwaltung
ist es zu gewährleisten,
dass alle Parteien genau die kryptografischen Schlüssel bekommen
können,
für die
sie gemäß einer
Zugangskontrollvorschrift die Befugnis haben. Die Zugangskontrolle
erfolgt über
eine sorgfältige
Kontrolle der Verteilung von Schlüsseln. In einem Zugangsbeschränkungssystem
für Kabelsysteme
wird die Zugangsbeschränkung
mittels zweier Klassen von Steuermeldungen implementiert: Berechtigungssteuermeldungen (BSMs)
und Berechtigungsverwaltungs meldungen (BVMs).
-
Berechtigungsverwaltungsmeldungen
-
BVMs
sind Steuermeldungen, die Zugangsrechte an Endgeräte von Abonnenten
senden. Im Gegensatz zu BSMs (Berechtigungssteuermeldungen), die
in Transportmultiplexe eingebettet sind und zu mehreren Abonnenten
rundgesendet werden, werden BVMs einzeln an jedes Endgerät eines
Abonnenten gesendet. Das heißt,
eine BVM ist für
einen bestimmten Abonnenten spezifisch. In einer typischen Implementierung
enthält
eine BVM Informationen über
den periodischen Schlüssel
sowie Informationen, die einem Endgerät eines Abonnenten den Zugriff
auf eine BSM gestatten, die später
gesendet wird. BVMs definieren auch die Ebenen für jeden Abonnenten. Im Hinblick
auf Kabeldienste zum Beispiel kann eine erste BVM den Zugang zu
HBOTM, ESPNTM und
CNNTM gestatten. Eine zweite BVM kann den
Zugang zu ESPNTM, TNNTM und
BETTM gestatten, usw.
-
Berechtigungssteuermeldungen
-
In
einem Zugangsbeschränkungssystem
ist jeder Inhaltsstrom einem BSM-Strom zugeordnet, der zwei Grundfunktionen
erfüllt:
(1) die Zugangsanforderungen für
den zugehörigen
Inhaltsstrom zu spezifizieren (d. h. welche Rechte für den Zugang
zu bestimmten Programmen erforderlich sind); und (2) die von Abonnenten-Endgeräten benötigten Informationen
zu übermitteln,
um den einen oder die mehreren kryptografischen Schlüssel zu
berechnen, die für die
Entschlüsselung
von Inhalten benötigt
werden. BSMs werden innerhalb des Bandes zusammen mit ihren zugehörigen Inhaltsströmen übertragen.
In der Regel sind BSMs kryptografisch durch einen "periodischen Schlüssel" geschützt, der
periodisch wechselt, gewöhnlich
einmal im Monat. Der periodische Schlüssel wird in der Regel durch
BVMs vor den BSMs verteilt, wie oben angesprochen.
-
Verschlüsselung
-
In
einem Kabelsystem werden Trägersignale an
eine Gesamtheit von Abonnenten-Endgeräten (auch als Set-Top-Boxen
bekannt) rundgesendet. Dies erfolgt oft verschlüsselt, um den unbefugten Zugang
zum Dienst zu verhindern. Wenn Inhalte verschlüsselt sind, so sind sie für Personen
oder Geräte, denen
der oder die richtigen kryptografischen Schlüssel fehlen, nicht verständlich.
Eine grundlegende Funktion eines Zugangsbeschränkungssystems ist die Kontrolle
der Verteilung von Schlüsseln an
die Gesamtheit von Abonnenten-Endgeräten, um zu gewährleisten,
dass jedes Endgerät
nur die Schlüssel
für die
Dienste berechnen kann, für
die es befugt ist. Herkömmlicherweise
wird bei Rundfunkdiensten eine Verschlüsselungsvorrichtung im Signalweg
angeordnet, bevor das Signal an das Verteilungsnetzwerk übermittelt
wird. Danach verschlüsselt die
Verschlüsselungsvorrichtung
das Signal und seine Inhalte in Echtzeit. Diese Technik ist akzeptabel, weil
eine große
Anzahl von Abonnenten dieselben (relativ wenigen) Inhaltsströme gemeinsam
nutzt.
-
Leider
entstehen bei VOD durch eine Echtzeitverschlüsselung viel größere Kosten-
und Platzanforderungen. Ein Kabelsystem von mittlerer Größe kann
zum Beispiel 50.000 Abonnenten haben. Wenn man von einer geschätzten maximalen
gleichzeitigen Nutzung von 10 % ausgeht, so kann es während der Spitzenzeiten
bis zu 5000 gleichzeitige VOD-Sitzungen geben. Eine typische Verschlüsselungsvorrichtung
kann eine kleine Anzahl von Transportmultiplexen (digitalen Trägern) verarbeiten.
Es wird eine relativ große
Anzahl von Echtzeit-Verschlüsselungsvorrichtungen
benötigt,
um die Nutzung während
der Spitzenzeiten bei dem beispielhaften System zu bewältigen.
Eine solch große
Menge an Ausrüstung verteuert
nicht nur das System ganz erheblich, sondern stellt auch enorme
Anforderungen an den Platzbedarf.
-
Eine
Lösung
des oben angesprochenen Problems ist in der gleichzeitig anhängigen verwandten Anmeldung
mit dem Titel SYSTEM FOR SECURELY DELIVERING PRE-ENCRYPTED CONTENT
ON DEMAND WITH ACCESS CONTROL, US-Seriennummer 2002-0076050A1, eingereicht
am 3. Juli 2001, offenbart. In US-Seriennummer 2002-0076050A1 ist
ein System offenbart, das Inhalte offline verschlüsselt (in
der Regel, bevor die Inhalte durch den Nutzer angefordert werden),
bevor sie zu Punkt-zu-Punkt-Systemen
wie zum Beispiel Kabelsystemen verteilt werden. Das System gestattet
es, Inhalte in einer zentralisierten Einrichtung einmal zu verschlüsseln und
in verschiedenen Punkt-zu-Punkt-Systemen wiederzuverwenden. Vorteilhafterweise
haben die vorverschlüsselten
Inhalte in der vorliegenden Erfindung eine unbegrenzte Nutzbarkeitsdauer.
Das System führt
periodisch eine Operation aus, die man als BSM-Nachrüstung bezeichnet,
wodurch die Inhalte in mehreren Systemen und mehrere Male innerhalb
desselben Systems verwendet werden können. Die Datenmenge, die während der
BSM-Nachrüstung
verarbeitet wird, ist sehr klein (in der Größenordnung von mehreren tausend Byte).
Die vorverschlüsselten
Inhalte brauchen nicht erneut verarbeitet zu werden. Das ist ein
entscheidender Vorteil, da mehrere tausend Byte nur einen winzigen
Bruchteil der Größe eines
typischen 2-stündigen
Videoprogramms ausmachen, das ungefähr 3 Gigabyte (3.000.000.000
Byte) groß sein
kann.
-
In
einer ersten Ausführungsform
enthält
das System von US-Seriennummer 2002-0076050A1: ein Inhaltsvorbereitungssystem
(IVS), das ein Offline-Verschlüsselungssystem
(OLVS) zum Vorverschlüsseln
der Inhalte offline zu vorverschlüsselten Inhalten enthält; ein
Verschlüsselungserneuerungssystem
(VES) zum Erzeugen von Berechtigungssteuermeldungen (BSMs), die
es ermöglichen,
dass die vorverschlüsselten
Inhalte für
eine bestimmte Zeitdauer entschlüsselbar
sind; und ein Zugangsbeschränkungssystem
(ZBS), um Empfangseinheiten einen kontrollierten Zugang zu gewähren. Das
VES ist – in
einem ersten Aspekt – mit
dem öffentlichen
Internet verbunden und ist für
das World Wide Web ohne Weiteres zugänglich, wodurch das VES für den Zugang
durch unbefugte Parteien anfällig
ist. Da das VES hoch-sensible Informationen handhabt, muss es vor
unbefugtem Zugriff geschützt
und gesichert werden.
-
Das
OLVS muss aktiviert werden, um mit dem Verschlüsseln unverschlüsselter
Inhalte offline zu beginnen. Eine Aktivierung erfolgt erst, nachdem Informationen über die
Nutzer und die Betriebsbedingungen des OLVS eingeholt wurden, weil
es zum Herstellungszeitpunkt keine Hinweise darauf gibt, was diese
Bedingungen sind. Des Weiteren werden kryptografische Parameter
benötigt,
um das OLVS zu aktivieren, wobei diese Parameter eindeutig sein müssen, so
dass die Informationen nur in dem System verwendet werden können, für das sie
gedacht sind. Überdies
müssen
solche Informationen verborgen bleiben und müssen manipulationssicher sein.
-
Darum
besteht Bedarf an der Lösung
der oben angesprochenen Probleme bezüglich eines Systems zum sicheren Übermitteln
vorverschlüsselter
Inhalte, und die vorliegende Erfindung befriedigt diesen Bedarf.
-
Die
Schrift WO 02/058398A2 gehört
zum Stand der Technik im Sinne von Art. 54(3) EPC.
-
KURZDARSTELLUNG
DER ERFINDUNG
-
Die
Erfindung ist in Anspruch 1 definiert.
-
Ein
erster Aspekt der vorliegenden Erfindung offenbart ein System zum
sicheren Übermitteln
verschlüsselter
Inhalte auf Bestellung mit einer Zugangskontrolle. Das System verschlüsselt die
Inhalte, bevor sie über
ein Punkt-zu-Punkt-Kommunikationssystem (zum Beispiel Kabelsysteme)
verteilt werden. Inhalte werden einmal in einer zentralisierten Einrichtung
verschlüsselt
und können
in verschiedenen Punkt-zu-Punkt-Systemen verwendet werden. Vorteilhafterweise
haben die vorverschlüsselten
Inhalte in der vorliegenden Erfindung eine unbegrenzte Nutzungsdauer.
-
Gemäß einem
alternativen Aspekt enthält das
System ein VES (Verschlüsselungserneuerungssystem)
zum Ausführen
einer Operation, die man als BSM-Nachrüstung (BSM = Berechtigungssteuermeldung)
bezeichnet, damit vorverschlüsselte
Inhalte nutzbar bleiben. Weil das VES hochsensible Daten, wie zum
Beispiel periodische Schlüssel,
handhabt, trennt die vorliegende Erfindung VES-Komponenten in zwei
oder mehr Rechenplattformen, um die Daten zu schützen. Die erste Plattform,
die zum Beispiel über
das Internet öffentlich
zugänglich
sein kann, führt
eine nicht-abgesicherte Verarbeitung von Informationen im Zusammenhang
mit dem BSM-Nachrüstprozess
aus, während
die zweite Plattform physisch getrennt ist, um eine abgesicherte
Verarbeitung auszuführen.
-
Des
Weiteren wird das VES verwendet, um eine zweistufige Registrierung
eines OLVS (Offline-Verschlüsselungssystem)
vorzunehmen. Vor dem Betrieb benötigt
das OLVS bestimmte kryptografische Parameter zum Verschlüsseln von
Inhalten von dem VES. Das liegt daran, dass das VES die Nachrüstung vornimmt,
was es letztendlich ermöglicht,
Inhalte, die durch das OLVS verschlüsselt wurden, zu entschlüsseln. Zum
Zeitpunkt der Herstellung wird ein Satz kryptografischer Schlüssel im
OLVS und im VES gespeichert. Danach werden die Schlüssel zum
Verschlüsseln
der kryptografischen Parameter, die zum OLVS weitergeleitet wurden,
verwendet. Erst nach dem Empfang der kryptografischen Parameter
wird das OLVS aktiviert.
-
KURZE BESCHREIBUNG
DER ZEICHNUNGEN
-
1 ist
eine Systemarchitektur zum Übermitteln
verschlüsselter
Inhalte an einen Abonnenten gemäß einer
ersten Ausführungsform
der vorliegenden Erfindung.
-
2 ist
eine beispielhafte Systemarchitektur des Verschlüsselungserneuerungssystems
von 1 zum Erzeugen von BSMs gemäß einer alternativen Ausführungsform
der vorliegenden Erfindung.
-
3 ist
ein Flussdiagramm eines Verfahrens zum Aktivieren eines Offline-Verschlüsselungssystems
zum Beginnen einer Verschlüsselung
gemäß einer
ersten Ausführungsform
der vorliegenden Erfindung.
-
DETAILLIERTE
BESCHREIBUNG DER ERFINDUNG
-
Eine
erste Ausführungsform
der vorliegenden Erfindung offenbart ein System zum sicheren Übermitteln
verschlüsselter
Inhalte auf Bestellung mit einer Zugangskontrolle. Das System verschlüsselt die
Inhalte, bevor sie über
ein Punkt-zu-Punkt-Kommunikationssystem (zum Beispiel Kabelsysteme) verteilt
werden. Obgleich die vorliegende Erfindung anhand von Punkt-zu-Punkt-Systemen
beschrieben wird, findet sie auch Anwendung auf Punkt-zu-Mehrpunkt-Systeme.
Inhalte werden einmal in einer zentralisierten Einrichtung verschlüsselt und
sind in verschiedenen Punkt-zu-Punkt-Systemen
nutzbar. Vorteilhafterweise haben die vorverschlüsselten Inhalte in der vorliegenden
Erfindung eine unbegrenzte Nutzungsdauer. Das System enthält ein VES
(Verschlüsselungserneuerungssystem)
zum Ausführen
einer Operation, die man als BSM-Nachrüstung bezeichnet, damit vorverschlüsselte Inhalte
nutzbar bleiben.
-
Weil
die vorliegende Erfindung hoch-sensible Daten wie zum Beispiel pe riodische
Schlüssel handhabt,
teilt sie das VES in zwei oder mehr Rechenplattformen, um die Daten
zu schützen.
Die erste Plattform, die zum Beispiel über das Internet öffentlich
zugänglich
sein kann, führt
eine nicht-abgesicherte Verarbeitung von Informationen im Zusammenhang
mit dem BSM-Nachrüstprozess
aus, während
die zweite Plattform physisch getrennt ist, um eine abgesicherte
Verarbeitung auszuführen.
-
Des
Weiteren wird das VES verwendet, um eine zweistufige Registrierung
eines OLVS (Offline-Verschlüsselungssystem)
vorzunehmen. Vor dem Betrieb erfordert das OLVS bestimmte kryptografische
Parameter zum Verschlüsseln
von Inhalten von dem VES. Das liegt daran, dass das VES die Nachrüstung vornimmt,
was es letztendlich ermöglicht,
Inhalte, die durch das OLVS verschlüsselt wurden, zu entschlüsseln. Zum
Zeitpunkt der Herstellung wird ein Satz kryptografischer Schlüssel im
OLVS gespeichert. Des Weiteren werden die gleichen Schlüssel im
VES gespeichert und anschließend
zum Verschlüsseln
der kryptografischen Parameter, die zum OLVS weitergeleitet wurden,
verwendet. Erst nach dem Empfang der kryptografischen Parameter
wird das OLVS aktiviert.
-
1 ist
eine Systemarchitektur 100 zum Übermitteln verschlüsselter
Inhalte zu einem Abonnenten gemäß einer
ersten Ausführungsform
der vorliegenden Erfindung.
-
Neben
weiteren Komponenten umfasst die Systemarchitektur 100 ein
Inhaltsvorbereitungssystem (IVS) 102 zum Vorverschlüsseln von
Inhalten; ein VOD-System (VOD = Video on Demand [Video auf Bestellung]) 108,
das verschlüsselte
Programme zum Verteilen an Abonnenten auf Bestellung speichert;
ein Zugangsbeschränkungssystem 110 zum Kontrollieren
eines oder mehrer Schlüssel,
die Zugang zu vorverschlüsselten
Inhalten gewähren;
ein Verschlüsselungserneuerungssystem
(VES) 104, das Anforderungen von dem Video-on-Demand-System
entgegennimmt, neue Berechtigungssteuermeldungen für vorverschlüsselte Inhalte
zu erzeugen; ein Verteilungsnetzwerk 112 zum Verteilen
von Inhalten; und ein interaktives Netzwerk 114, das eine
Dialoginteraktion zwischen dem Abonnenten und dem Inhaltssystem
ermöglicht.
Obgleich nicht gezeigt, erkennt der Durchschnittsfachmann, dass
auch andere Komponenten und Anordnungen zum Erreichen der verschiedenen
Funktionen der Systemarchitektur 100 möglich sind. Zum Beispiel kann
das VOD-System direkt mit dem ZBS 110 verbunden sein, und Funktionen
können
in beiden Komponenten konsolidiert sein, weil beide Komponenten
sich in der Regel innerhalb der Kopfstelle eines Kabelsystems befinden.
-
Das
VOD-System 108 ist so installiert, dass es während des
Betriebes VOD für
Abonnenten erbringt. Bevor es in Betrieb geht, durchläuft das VOD-System 108 einen
Registrierungsprozess beim VES 104. Dadurch erfährt das
VES die Identität
des VOD-Systems 108, damit es richtige und zweckmäßige Antworten
erzeugen kann, die speziell auf die VOD-Systeminstallation abgestimmt
sind. Nach erfolgter VOD-Systemregistrierung können Inhalte in das VOD-System
eingespeist und dem Abonnenten verfügbar gemacht werden. Unverschlüsselte Inhalte (a),
wie zum Beispiel ein Spielfilm, kommen von einem Inhaltsanbieter
und beginnen ihren Eintritt in das VOD am IVS 102. Hier
werden die unverschlüsselten Inhalte
mit Hilfe eines (nicht gezeigten) Offline-Verschlüsselungssystems
(OLVS) verschlüsselt,
das die Inhalte in Vorbereitung auf die Übermittlung durch das VOD-System 108 vorverschlüsselt. Das
OLVS erzeugt außerdem
einen Verschlüsselungsdatensatz im
Zusammenhang mit den verschlüsselten
Inhalten. Es ist zu beachten, dass das VOD-System den Verschlüsselungsdatensatz
mit den vorverschlüsselten Inhalten
stets behalten kann, wenn es die Inhalte für eine spätere Verarbeitung und Entschlüsselung
im VOD-System 108 identifiziert.
-
Sobald
der unverschlüsselte
Inhalt im OLVS verschlüsselt
ist, werden die resultierenden vorverschlüsselten Inhalte und der zugehörige Verschlüsselungsdatensatz
an das VOD-System 108 übermittelt,
um auf dem lokalen Server gespeichert zu werden. Vorteilhafterweise
können
mehrere VOD-Systeme an das IVS 102 angeschlossen sein,
so dass Inhalte einmal verschlüsselt
und an die Systeme verteilt werden. Das VOD-System 108 ist
dafür zuständig, die
vorverschlüsselten
Inhalte und den zugehörigen
Verschlüsselungsdatensatz
zusammenzuhalten. Bevor die vorverschlüsselten Inhalte angefordert
und von den Abonnenten in ihren Wohnungen angesehen werden können, erhält das VOD-System 108 geeignete
Berechtigungssteuermeldungen (BSMs) von dem VES 104. Das
VOD-System übermittelt
eine BSM-Anforderung an das VES 104, die den Verschlüsselungsdatensatz
(c) für
die gewünschten
vorverschlüsselten
Inhalte enthält.
-
Das
VES 104 antwortet mit den richtigen BSMs. Die BSMs werden
speziell für
die konkreten vorverschlüsselten
Inhalte und das konkrete Punkt-zu-Punkt-System, in dem das VOD-System
arbeitet, und für
einen bestimmten Zeitraum erzeugt. Die BSMs verschlüsseln Inhalte
unter Verwendung eines Schlüssels
(in der Regel periodisch), der durch jedes Zugangsbeschränkungssystem
(in diesem Fall ZBS 110) übermittelt wird, das die Set-Top-Boxen steuert.
Das VOD-System (108) fügt
die empfangenen BSMs zusammen mit den vorverschlüsselten Inhalten jedes Mal
in die Ströme
ein, wenn sie an einen Abonnenten ausgegeben werden. Die BSMs werden in
die Ströme
mit den Inhalten eingefügt.
-
Es
ist zu beachten, dass BSMs, die durch das VES 104 zum VOD-System 108 zurückgesandt werden,
nur für
einer begrenzte Zeit gültig
sind und mit den vorverschlüsselten
Inhalten verwendet werden können.
Die genaue Zeit, die durch das ZBS 110 bestimmt wird, ist
nicht vorhersagbar. Die Rückrufzeit,
die mit den BSMs zurückgesendet
wird, gibt somit den Zeitpunkt an, bis wann das VOD-System 108 beim
VES abklären
muss, ob BSMs für
alle vorverschlüsselten
Inhalte aktualisiert werden können. Wenn
das VOD-System die Rückrufzeit
empfängt,
so muss sie gespeichert und anhand der aktuellen Zeit beobachtet
werden. Wenn die Rückrufzeit
erreicht ist und das VOD-System 108 in der Zwischenzeit
keinen Kontakt zum VES 104 aufgenommen hat, so versucht
das VOD-System 108 selbst dann, das VES 104 zu
kontaktieren, wenn es keine neuen BSM-Anforderungen zu erfüllen hat.
-
Inhaltsvorbereitungssystem
(IVS)
-
In 1 ist
das Inhaltsvorbereitungssystem (IVS) 102 eine zentralisierte
Einrichtung zum Vorbereiten von Inhalten gemäß den Anforderungen des VOD-Systems
(VOD) 108 und den Anforderungen des Zugangsbeschränkungssystems
(ZBS) 110. Das IVS 102 codiert Inhalte in einem
Format (zum Beispiel MPEG-2), das zum Speichern auf Videoservern und
zur Verteilung an die Endgeräte
von Abonnenten geeignet ist. Für
Inhalte, die bereits in dem geeigneten Format vorliegen, wird dieser
Codierungsschritt möglicherweise
nicht benötigt.
Das IVS 102 dient auch dazu, digital codierte Inhalte gemäß den Spezifikationen
des ZBS 110 zu verschlüsseln.
-
Während des
Verschlüsselungsprozesses werden
ein einziger oder eine Reihe von kryptografischen Schlüsseln erzeugt.
Im Rahmen des Verschlüsselungsprozesses
werden die kryptografischen Schlüssel
oder die zu ihrer Erzeugung verwendeten Parameter in einer Datenstruktur
gespeichert, die man als einen Verschlüsselungsdatensatz bezeichnet.
Der Verschlüsselungsdatensatz
wird durch Verschlüsselung
geschützt,
um einen unbefugten Zugriff auf die Schlüssel zu verhindern. Das IVS 102 kann
verschlüsselte
Programme mit den zugehörigen
Verschlüsselungsdatensätzen zusammenpacken,
die zusätzlich
nützliche,
aber nicht-wesentliche Informationen über die Inhalte enthalten können. Zu solchen
Informationen können
der Programmtitel, eine Identifikation des Programms, die durch verschiedene
Parteien zugewiesen wurde, Codierungsparameter, Programmdauer usw.
gehören.
Das IVS 102 kann mehrere Kabelsysteme oder mehrere Punkt-zu-Punkt-Systeme
bedienen. Der oben beschriebene Inhaltsvorbereitungsprozess erzeugt
codierte und verschlüsselte
Inhalte, die zur Verteilung zu VOD-Systemen in einem diversen geografischen Gebiet
bereit sind. Zu möglichen
Verfahren der Inhaltsdateiverteilung gehören die Verteilung über physische
Medien, Netrwerkdateiübertragung
oder Satellitendateiübertragung.
-
Obgleich
nicht gezeigt, enthält
das IVS 102 ein OLVS (Offline-Verschlüsselungssystem) zum Ausführen der
oben angesprochenen Funktion. Das OLVS verwendet ein oder mehrere
Nichtechtzeit- oder Offline-Verschlüsselungsvorrichtungen zum Verschlüsseln von
Inhalten. Ein bestimmtes OLVS erzeugt programmspezifische kryptografische
Schlüssel,
die zum Verschlüsseln
von Inhalten verwendet werden. Das OLVS ist durch physische Sicherheitsmittel,
einschließlich
physischer Zugangskontrolle, und abgesicherte Kapselung geschützt. Das
OLVS enthält
Funktionen wie zum Beispiel Entgegennehmen der Verschlüsselungssteuerbereitstellungsparameter
von dem VES, einschließlich
kryptografischer Informationen zum Unterstützen der Inhaltsverschlüsselung;
Auswählen
eines oder mehrerer kryptografischer Schlüssel anhand der Verschlüsselungssteuerparameter
und der Systemkonfiguration, wobei diese Schlüssel zum Verschlüsseln der
Programminhalte verwendet werden; Erzeugen eines Verschlüsselungsdatensatzes,
der Informationen über
die Schlüssel
enthält,
die zum Verschlüsseln
der Inhalte verwendet werden, wobei dieser Datensatz selbst verschlüsselt ist,
um die Sicherheit des Verschlüsselungsdatensatzes
zu wahren; Verschlüsseln
der Programminhalte mittels der gewählten Schlüssel; und Einspeisen der verschlüsselten
Inhalte und des Verschlüsselungsdatensatzes
in das IVS zur anschließenden Übertragung
zu wenigstens einem VODS.
-
In
der Regel wird ein OLVS durch das VES 104 registriert und
autorisiert, bevor es in der Lage ist, Verschlüsselungsoperationen auszuführen. Das VES 104 stellt
einen Wechseldatenträger
bereit, der Befugnis- und Konfigurationsparameter für das OLVS enthält, wobei
diese Daten während
der Ersteinrichtung verarbeitet werden. Des Weiteren steht ein "Paketauswahl"-Betriebsmodus zur
Verfügung,
bei dem bestimmte eingegebene MPEG-Pakete nicht verschlüsselt werden.
Während
des Betriebes in diesem Modus zeigt der Wert "00" im
Transportverwürfelungssteuerungsfeld
(TVSF) des MPEG-Paketkopfes an, dass das Paket nicht verschlüsselt werden
soll. Wenn die Werte "11" oder "10" im TVSF eines Paketes
erscheinen, so verschlüsselt
das OLVS das Paket entsprechend der Schlüsselnutzungsdauer, die für den Verschlüsselungsmodus
festgelegt ist.
-
Zu
weiteren Modi gehört
die Unterstützung des
OLVS für
einen Stapelbetriebsmodus, bei dem zu verschlüsselnde Inhalte in das systemeigene
OLVS-Dateisystem, zum Beispiel NTFS, kopiert werden, und für einen
Echtzeit-Streaming-Verschlüsselungsmodus,
bei dem ein MPEG-kompatibler Transportstrom, der ein einzelnes Programm
enthält, über die
Netzwerkschnittstelle an das OLVS übermittelt wird. Wie oben angemerkt,
werden im Rahmen des Verschlüsselungsprozesses
die kryptografischen Schlüssel
oder die zu ihrer Erzeugung verwendeten Parameter durch das OLVS
in einer Datenstruktur gespeichert, die als ein Verschlüsselungsdatensatz bezeichnet
wird.
-
Das
OLVS kann MPEG-Inhalte offline verarbeiten, wobei der unbearbeitete
Inhalt vollständig
codiert wurde und von einem Server (VOD- oder sonstiger Server)
erhalten werden kann oder im OLVS-System abgelegt wurde. Ein Durchschnittsfachmann
erkennt, dass die oben beschriebenen Richtlinien beispielhaft sind
und andere Ausführungsformen
mit anderen Richtlinien möglich
sind.
-
Video-on-Demand-System
(VOD-System)
-
Das
VOD-System 108 umfasst einen oder mehrere Videoserver,
die für
Video-on-Demand-Anwendungen konfiguriert sind. Die Server speichern verschlüsselte Programme
zur Verteilung an Abonnenten auf Bestellung. Danach werden die vorverschlüsselten
Programme zu den befugten Abonnenten geroutet und gestreamt. Außerdem nimmt
das VOD-System 108 Kaufaufträge von Abonnenten-Endgeräten entgegen
und validiert und autorisiert solche Kaufaufträge entsprechend. In einigen Fällen können – nach Genehmigung
eines Kaufauftrages – die
VOD-Käufe
vorübergehend
gespeichert werden, bis der Abonnent sie anfordert.
-
Zusätzlich zum
vorübergehenden
Speichern von Käufen
kann das VOD-System 108 Bewegungssteuerungsanforderungen
von Abonnenten-Endgeräten entgegennehmen
und solche Anforderungen entsprechend durch Steuern des Streaming
von Inhalten zu dem Abonnenten ausführen. In einer ersten Ausführungsform
verwaltet das VOD-System 108 Systemressourcen im Zusammenhang
mit Video-on-Demand und dergleichen, wie zum Beispiel Bandbreitenverwaltung.
Das VOD-System 108 ist mit anderen Komponenten des Inhaltssystems 100 verbunden,
um verschiedene Funktionen bereitzustellen. Zum Beispiel ist es
mit einer (nicht gezeigten) Video-on-Demand-Client-Anwendung (VODCA)
verbunden, die auf Abonnenten-Endgeräten ausgeführt wird, um den Abonnenten
Benutzerschnittstellen zur Verfügung
zu stellen. Des Weiteren hat das VOD-System 108 eine Kommunikationsverbindung zu
dem Abrechnungssystem (AS), um Käufe
zu melden, und zu dem Verschlüsselungserneuerungssystem
(VES), um periodisch BSMs für
vorverschlüsselte
Programme anzufordern.
-
Das
VOD-System 108 befindet sich in der Regel in dem Kabelsystem.
Ungeachtet dessen ist die genaue Position der Ausrüstung, die
das VOD- System 108 bildet,
variabel und beeinflusst nicht die Arbeitsweise der vorliegenden
Erfindung. In einem Kabelsystem, das unter Verwendung der Hybridfaserkoaxial
(HFK)-Technologie aufgebaut wurde, kann sich das VOD-System 108 an
der Kopfstelle befinden. Alternativ kann das VOD-System 108 Ausrüstung an
mehreren Standorten haben, einschließlich der Kopfstelle und der
Verteilungsknoten in dem Netzwerk. Das VOD-System 108 kann räumlich abgesetzt
installiert sein und kann ein oder mehrere Kabelsysteme bedienen.
VOD-Systeme sind einschlägig
bekannt und brauchen hier nicht näher beschrieben zu werden.
So kann das VOD-System 108 Komponenten
aus der Massenproduktion, einschließlich Hardware und Software,
und/oder anpassbare Software gemäß einer
Ausführungsform
der vorliegenden Erfindung umfassen.
-
Zugangsbeschränkungssystem
(ZBS)
-
Wie
angesprochen, enthält
das Inhaltssystem 100 ein Zugangsbeschränkungssystem (ZBS) 110.
Das ZBS 110 gestattet den Zugang zu vorverschlüsselten
Inhalten durch Abonnenten-Endgeräte, indem
es ihnen BVMs übermittelt
und BSMs für VOD-fremde
Dienste erzeugt. Zu weiteren Funktionen des ZBS 110 gehören das
Steuern von Echtzeitverschlüsselungsvorrichtungen
in dem Kabelsystem, das Berichten der (planmäßigen) Vornahme periodischer
Schlüsselwechsel
an das Verschlüsselungserneuerungssystem
(unten beschrieben) und das Übertragen
kabelsystemspezifischer kryptografischer Parameter (zum Beispiel
periodischer Schlüssel)
zu dem Verschlüsselungserneuerungssystem, um
die BSM-Nachrüstung zu
ermöglichen.
Das ZBS 110 kann sich entweder vor Ort befinden oder räumlich abgesetzt
sein und kann mehrere Kabelsysteme bedienen, wobei das ZBS 110 in
einem solchen Fall als mehrere logische Zugangsbeschränkungssysteme
fungiert. Des Weiteren ist das ZBS 110 mit dem Abrechnungssystem
verbunden, um Befugnisinformationen über jeden Abonnenten einzuholen
und um Käufe
an das Abrechnungssystem zu melden. ZBS-Systeme sind einschlägig bekannt
und können Komponenten
aus der Massenproduktion umfassen. Außerdem kann ein Durchschnittsfachmann,
wie zum Beispiel ein Programmierer, entsprechend den Erfordernissen
Code entwickeln, um die vorliegende Erfindung anzupassen.
-
Abrechnungssystem (AS)
-
Das
AS 106 hat eine Verbindung sowohl zu dem VOD-System 108 als
auch zu dem ZBS 110, um folgende Funktionen zu ermöglichen:
(1) Entgegennahme von Abonnement- und Dienständerungsanforderungen von Abonnenten;
(2) Verwalten von Abonnentenkontoinformationen; (3) Rechnungserstellung
für Abonnenten;
(4) Verbinden mit dem VOD-System 108, um dem VOD-System 108 den Abonnentenbefugnisstatus
zu übermitteln
und um Video-on-Demand-Kaufinformationen von dem VOD-System 108 einzuholen;
und (5) Übermitteln von
Abonnentenbefugnisstatus-, Dienst- und Ereignisdefinitionsinformationen
und Erfassen von Kaufinformationen.
-
Verschlüsselungserneuerungssystem
(VES)
-
Wie
in 1 gezeigt, hat das VES 104 eine Verbindung
zum IVS 102, zum VOD-System 108 und zum ZBS 110.
Das VES 104 ermöglicht
die Verteilung vorverschlüsselter
Inhalte an das VOD-System 108 und andere befugte Entitäten des
VOD-Systems und ermöglicht
gleichzeitig eine Zugangskontrolle innerhalb jedes ZBS 110.
Das VES führt
eine BSM-Erneuerung
(BSM-Nachrüstung)
in Synchronisation mit Kategoriezeitabschnittserneuerungsereignissen
aus, die sich innerhalb jeder beteiligten ZBS 110 vollziehen.
-
Verschlüsselte Inhalte
von dem IVS können erst
dann genutzt werden, wenn eine anfängliche BSM-"Erneuerungs"-Operation ausgeführt wurde. Um
die Inhalte zum ersten Mal nutzbar zu machen, kontaktiert das VOD-System 108 das
VES 104, um den ersten Satz BSMs zu erhalten. Von da an
erfolgt die BSM-Erneuerung periodisch, um eine Verbindung zwischen
gültigen
BSMs und allen Inhaltstiteln in dem VOD-System aufrecht zu erhalten.
Zu den Funktionen des VES 104 gehören: Erzeugen von Verschlüsselungssteuerparametern
zum Initialisieren von OLVS-Vorrichtungen,
Kommunizieren mit dem ZBS in verschiedenen Punkt-zu-Punkt-Systemen, Entgegennehmen
von Anforderungen von einem VOD-System
zum Erzeugen von BSMs für
vorverschlüsselte
Inhalte, Berechnen nachgerüsteter BSMs,
Senden nachgerüsteter
BSMs zu dem anfordernden VODS, und Verwalten von Datenbanken entsprechender
Parameter. Das VES 104 kann auch eine Verbindung zu dem
VOD-System 108 haben, um Informationen über (planmäßige) periodische Schlüsselwechsel
an das VOD-System 108 weiterzuleiten.
-
Das
VES 104 kann mittels Hardware, Software oder einer Kombination
aus beidem implementiert werden. Zum Beispiel können in der vorliegenden Erfindung
eine Anzahl von Plattformen wie zum Beispiel Sun/SolarisTM, eine Codiersprache wie zum Beispiel JavaTM, Server wie ApacheTM von
der Apache Group oder das Gemeinschaftsprodukt iPlanetTM von
Sun und Netscape sowie Betriebsumgebungen wie zum Beispiel Windows
NTTM verwendet werden.
-
Verteilungsnetzwerk
-
Das
Verteilungsnetzwerk 112 ist ein Punkt-zu-Punkt-Netzwerk,
das Signale zu allen oder einer Teilmenge der Abonnenten in dem
System verteilt. Das Verteilungsnetzwerk 112 kann zum Beispiel Hybridfaserkoaxial
(HFK)-Technologie
umfassen. In einem HFK-Netzwerk werden zum Beispiel rundgesendete
Signale von der Kopfstelle (Zentralstelle) zu einer Anzahl von Einrichtungen
der zweiten Ebene (Verteilungsknoten) verteilt. Jeder Verteilerknoten wiederum
verteilt Träger
zu einer Anzahl von Faserknoten. In einer typischen Anordnung besteht
das Verteilungsmedium von der Kopfstelle abwärts zur Faserknotenebene aus
Lichtwellenleitern. Die Wohnungen von Abonnenten werden über Koaxialkabel mit
Faserknoten verbunden. Auf einer der Verteilungseinrichtungsebenen
(Verteilerknoten, Faserknoten oder sonstige Verteilungseinrichtungen)
werden Video-on-Demand-Träger an eine
Teilmenge der Gesamtheit der Abonnenten-Endgeräte, die durch die Verteilungseinrichtung
bedient werden, rundgesendet. In der Regel geschieht das auf Faserknotenebene.
Diese Anordnung gestattet die Wiederverwendung von Video-on-Demand-Trägerfrequenzen zum
Beispiel an Faserknoten, weil verschiedenen Faserknoten verschiedene
Video-on-Demand-Träger
zu den von ihnen bedienten Abonnenten rundsenden.
-
Interaktives
Netzwerk
-
Das
interaktive Netzwerk 114 hat eine Kommunikationsverbindung
zum VOD-System 108 und zur Set-Top-Gesamtheit 120,
um eine Zweiwegkommunikationsfähigkeit
zwischen den Abonnenten-Endgeräten
und dem VOD-System 108 herzustellen. Das interaktive Netzwerk 114 kann
einen Teil der physischen Infrastruktur des Verteilungsnetzwerks 112 mit
nutzen.
-
On-Demand-Übermittlung
von Inhalten zu Abonnenten
-
Ein über die
Set-Top-Box 120 agierender Abonnent, der Inhalte kaufen
möchte,
ruft die VOD-Client-Anwendung im (nicht gezeigten) Abonnenten-Endgerät auf. Die
VODCA bietet dem Abonnenten eine Benutzerschnittstelle an, die dem
Abonnenten die Auswahl aus einem Menü käuflicher Produkte ermöglicht.
Der Abonnent ruft eine VODCA-Funktion auf, um ei nen Kauf zu tätigen, woraufhin eine
Kaufanforderung an das VOD-System 108 weitergeleitet wird.
Die Kaufanforderung enthält
Informationen über
den Abonnenten und das gekaufte Produkt. Das VOD-System 108 überprüft die Verfügbarkeit
der Ressourcen, die zur Ausführung
des Kaufs benötigt
werden, sowie den Befugnisstatus des Abonnenten.
-
Wenn
Ressourcen verfügbar
sind und der Abonnent gemäß der Zugangskontrollvorschrift
befugt ist, so wird die Kaufanforderung genehmigt. Andernfalls wird
die Anforderung zurückgewiesen,
und der Prozess wird abgebrochen. Wenn die Anforderung genehmigt
wird, so übermittelt
das VOD-System 108 den Genehmigungsstatus des Kaufs an
den Abonnenten und teilt der VOD-Sitzung Ressourcen zu, einschließlich Datenpfad
und Trägerbandbreite. Des
Weiteren übermittelt
das VOD-System 108 an die Set-Top-Box 120 Informationen,
die für
den Erwerb des Dienstes benötigt
werden, zum Beispiel eine Nummer für einen virtuellen Kanal (einen
Identifikator mit Entsprechung zur Trägerfrequenz und der Identifikation
des Programms innerhalb eines Transportmultiplex). Die Set-Top-Box 120 führt die
Abstimmung aus und erwirbt den Dienst. Das VOD-System 108 schlägt in seiner
Datenbank nach, um Berechtigungssteuermeldungen abzurufen, die zu
dem vorverschlüsselten
Programm gehören
und die dann zusammen mit dem Programm zur Set-Top-Box 120 gestreamt
werden.
-
Erneuern von
BSMs
-
Die
BSM-Nachrüstung
ist der Prozess des Erzeugens von BSMs für vorverschlüsselte Inhalte, so
dass sie in verschiedenen Kabelsystemen und trotz periodischer Schlüsselwechsel
nutzbar sind. Sie wird von einem Server ausgeführt, dessen Host das VES 104 ist,
wobei es sich um eine abgesicherte Umgebung handelt. Die Inhalte
werden vor einer Anforderung von einem Abonnenten-Endgerät verschlüsselt. Das
VES 104 über mittelt
an die Offline-Verschlüsselungsvorrichtungen
in dem IVS 102 Verschlüsselungssteuerparameter,
die es – neben
weiteren Funktionen – der
VES 104 ermöglichen,
Informationen von Verschlüsselungsdatensätzen abzurufen, die
durch das IVS erzeugt wurden. Diese Übermittlung braucht nur selten
oder möglicherweise
nur ein einziges Mal ausgeführt
zu werden. Sie braucht nicht bei jeder BSM-Nachrüstanforderung von dem VOD-System 108 vorgenommen
zu werden.
-
Als
nächstes
wird ein Verschlüsselungsdatensatz
aus Parametern zum Verschlüsseln
der Inhalte erzeugt. Das VOD-System 108 baut eine abgesicherte
Verbindung zum VES 104 auf. Um ein vorverschlüsseltes
Programm in einem bestimmten System für einen bestimmten Zeitraum
nutzbar zu machen, sendet das VOD-System 108 den Verschlüsselungsdatensatz
zum VES 104, das den Befugnisstatus der angeforderten Inhalte
von dem VOD-System 108 überprüft. Wenn
die Befugnisüberprüfung negativ
ausfällt,
so bricht das VES 104 die Sitzung ab. Andernfalls wird
der Prozess fortgesetzt. Das VES 104 erzeugt eine oder
mehrere BSMs für
das vorverschlüsselte
Programm unter Verwendung des periodischen Schlüssels, der dem Kabelsystem
zugeordnet ist (und möglicherweise
weitere Parameter, die von dem ZBS benötigt werden). Die BSM(s) werden so
erzeugt, dass sie gültig
sind, bis der periodische Schlüssel
des Zielsystems wieder wechselt. Das VES 104 sendet die
nachgerüstete(n)
BSM(s) und die vorverschlüsselten
Inhalte über
das VOD-System 108 an den Abonnenten.
-
2 ist
eine beispielhafte Systemarchitektur des VES 104 (1)
zum Erzeugen von BSMs gemäß einer
alternativen Ausführungsform
der vorliegenden Erfindung. Wie gezeigt, enthält das VES 104 zwei
Rechenplattformen, die physisch voneinander getrennt sind, um mehr
Sicherheit gegen einen unbefugten Zugriff zu bieten.
-
Neben
weiteren Komponenten enthält
das VES 104 eine erste Rechenplattform, die als ein VVEM
(VOD-Verschlüsselungserneuerungsmakler) 202 bezeichnet
wird, zum Ausführen
nicht-abgesicherter Aufgaben im Zusammenhang mit BSMs, und eine
zweite Rechenplattform, die einen oder mehrere BSM-Nachrüster 204, 232, 234 (abgesicherte BSM-Nachrüster) enthält, zum
Ausführen
abgesicherter Aufgaben im Zusammenhang mit den BSMs. Der VVEM 202 besteht
aus einem Web-Server 212, einer Servletmaschine 214 und
Servlets 216. Das VES 104 umfasst des Weiteren
eine Firewall 206 zum Verstärken der Sicherheit des Datenverkehrs zwischen
dem VVEM 202 und dem Internet 230; eine Firewall 208 zwischen
dem VVEM 202 und dem BSM-Nachrüster; eine Datenbank 220 zum
Speichern kryptografischer Schlüssel;
und einen Lastausgleicher 210. Der BSM-Nachrüster 204 enthält einen Web-Server 216;
eine Servletmaschine 218; Servlets 222 und eine
PCI-Schnittstelle 224. Die BSM-Nachrüster 232 und 234 enthalten
Komponenten, die in der gleichen Weise funktionieren wie die, die
im BSM-Nachrüster 204 enthalten
sind. Überdies
ist zu beachten, dass jeder der BSM-Nachrüster 204, 232 und 234 lösbar mit
dem VVEM 202 verbunden ist.
-
Während des
Betriebes wird Datenverkehr des Internets 230, der von
(nicht gezeigten) VOD-Systemen kommt, durch die Firewall 206 gefiltert,
bevor er den VVEM 202 erreicht. Dieser Datenverkehr kann
zum Beispiel eine Anforderung für
eine BSM-Anforderung enthalten, die in XML (Extensible Mark-up Language-Erweiterbare
Markierungssprache) geschrieben ist. Der WEM 202 analysiert
die Anforderung, sieht in der Datenbank 220 nach Verschlüsselungsschlüsselinformationen,
die zum Erzeugen der BSM benötigt
werden, und kommuniziert nach Bedarf mit den BSM-Nachrüstern, um der Anforderung nachzukommen.
Ein (nicht gezeigter) ASIC-Sicherheitschip (ASIC = Anwendungsspezifischer
integrierter Schaltkreis) von der Motorola, Inc. befindet sich in
jedem der BSM-Nachrüster zum
Erzeugen der BSM. Die BSM wird in einem der BSM- Nachrüster erzeugt und mittels des
VVEM 202 an das anfordernde VOD-System zurückgesandt.
-
Wie
insbesondere in 2 gezeigt, ist die Firewall 206 die
Basisschnittstelle zu dem – und
bildet einen Schutz vor dem – öffentlichen
Internet 230. Sie ist in der Regel ein handelsübliches
Firewall-Produkt, das so modifiziert ist, wie es sich für die vorliegende
Erfindung als notwendig erweist. (Nicht gezeigte) VOD-Systeme erhalten über die
Firewall 206 Zugang zu dem VVEM 202, um BSM-Nachrüstungen sowie
weitere Anforderungen anzufordern. Wie angesprochen, ist der WEM 202 die
Basisplattform für die
nicht-abgesicherte Verarbeitung für die BSM-Nachrüstung. Außerdem implementiert
er Synchronisation, Registrierung von OLVS und CASs und ZBS-Aktualisierungen.
Weitere Komponenten, wie zum Beispiel der Web-Server 212, können zum
Beispiel ein handelsübliches
Web-Server-Produkt sein, das so modifiziert ist, wie es sich für die vorliegende Erfindung
als notwendig erweist. Die Servletmaschine 214 übernimmt
die Koordinierung und Verbindung mit dem Web-Server und versendet
Web-Server-Anforderungen
zum Servlet 226 und kann von handelsüblicher Art sein.
-
Der
Web-Server 212 und die Servletmaschine 214 versenden
VOD-Anforderungen
an den Code von Servlets 226, der alle Verarbeitung übernimmt, um
jede Anforderung zu erfüllen.
Zur Verarbeitung gehört
das Analysieren der Anforderungen, das Zugreifen auf die Datenbank
und das Versenden abgesicherter Anforderungen an den BSM-Nachrüster 204.
Die Firewall 208 bildet die Schnittstelle zwischen dem
WEM 202 und dem BSM-Nachrüster 204. Der VVEM 202 erhält über die
Firewall Zugang zum BSM-Nachrüster 204 (oder 232 bzw. 234),
um abgesicherte Berechnungen wie zum Beispiel BSM-Nachrüstungen,
ZBS-Aktualisierungen und OLVS-Registrierung
anzufordern. Der Lastausgleicher 210 verteilt die Last
der Anforderungen des WEM 202 je nach der Belastung auf
die verschiedenen BSM-Nachrüster.
-
Der
BSM-Nachrüster 204 ist
die Plattform für die
abgesicherte Verarbeitung für
die BSM-Nachrüstung,
Synchronisation, OLVS- und ZBS-Registrierung
und ZBS-Aktualisierungen. Der Web-Server 216 nimmt Anforderungen
von dem VVEM 202 entgegen. Die Servletmaschine 218 übernimmt
die Koordinierung und Verbindung mit dem Web-Server 216 und versendet
Web-Server-Anforderungen an den Code der Servlets 222.
Sie ist ein handelsübliches
Produkt (und kann bei einigen Implementierungen Teil des Web-Servers
sein). Die Servlets 222 enthalten eine spezielle Implementierung
der nicht-abgesicherten Teile der BSM-Nachrüstfunktion (d. h. das Übermitteln
der Anforderungen an den und von dem Sicherheitschip). Der Web-Server 216 und
die Servletmaschine 218 versenden die Anforderungen des
WEM 202 zum Code der Servlets 222, der alle Verarbeitung übernimmt,
um jede Anforderung zu erfüllen. Zur
Verarbeitung gehören
das Analysieren der Anforderungen und der Zugang zum ASIC-Chip über die Schnittstelle 224.
Die Schnittstelle 224, bei der es sich zum Beispiel um
eine PCI-Schnittstelle handeln kann, ist mit dem Sicherheitschip
verbunden, der in dem BSM-Nachrüster 204 enthalten
ist.
-
Es
ist zu beachten, dass im Gegensatz zu Systemen des Standes der Technik,
die die Sicherheitsfunktionen unter Verwendung von Software ausführen, der
Sicherheitschip ein angepasster ASIC mit spezieller Firmware ist. Überdies
befindet sich der Sicherheitschip innerhalb einer Rechenplattform,
die von einer öffentlich
zugänglichen
Plattform getrennt ist. Das heißt,
alle externen Anforderungen müssen den
VVEM 202, die erste Rechenplattform, durchlaufen. Erst
nachdem die Anforderungen durch den VVEM 202 verarbeitet
wurden, werden die Anforderungen zum BSM-Nachrüster 204 weitergeleitet.
Der BSM-Nachrüster 204 handhabt
alle geheimen Informationen, wie zum Beispiel die unverschlüsselten Schlüssel in
dem Chip, und die Schlüssel
werden vor dem Weiterleiten aus dem Chip immer verschlüsselt. Auf
diese Weise bleiben unverschlüsselte
Informationen vertraulich und sind relativ sicher vor unbefugtem Zugriff.
Des Weiteren kann selbst dann, wenn eine Sicherheitsverletzung gemutmaßt wird,
der BSM-Nachrüster 204 relativ
schnell physisch abgetrennt werden, weil der BSM-Nachrüster abnehmbar mit
dem WEM 202 verbunden ist.
-
3 ist
ein Flussdiagramm eines Verfahrens zum Aktivieren eines OLVS (innerhalb
des nicht gezeigten IVS 102) zum Beginnen der Verschlüsselung
gemäß einer
ersten Ausführungsform
der vorliegenden Erfindung.
-
In 3 beginnt
das Verfahren, wenn das OLVS hergestellt wird. Zu diesem Zeitpunkt
ist das OLVS noch nicht betriebstüchtig und kann nicht zum Verschlüsseln unverschlüsselter
Inhalte verwendet werden.
-
In
Block 302 werden zum Zeitpunkt der Herstellung ein oder
mehrere kryptografische Schlüssel in
dem OLVS gespeichert. Kryptografische Schlüssel werden außerdem zum
Zeitpunkt der Herstellung in dem VES 104 gespeichert, welches
das vorliegende Verfahren in Verbindung mit dem OLVS implementiert.
In einer Ausführungsform
sind die kryptografischen Schlüssel
geheime, gemeinsam genutzte Schlüssel,
wenn ein symmetrisches Schlüsselsystem verwendet
wird. Zusätzlich
zur Verwendung eines symmetrischen Schlüsselsystems werden zwei öffentliche
Schlüsselsysteme
verwendet. In einem ersten öffentlichen
Schlüsselsystem
(Registrierung) werden ein öffentlicher
und ein privater Schlüssel
in dem OLVS gespeichert, während
der private Schlüssel
an das VES 104 zum Speichern weitergeleitet wird. Ein zweites öffentliches
Schlüsselsystem
(Signierung) wird verwendet, so dass ein öffentlicher und ein privater
Schlüssel
in dem OLVS gespeichert werden, während der private Schlüssel an
das VES 104 zum Speichern weitergeleitet wird. Obgleich
nicht gezeigt, erkennt der Durchschnittsfachmann, dass auch andere
vergleichbare Schlüsselsysteme
entweder als Ersatz oder zusätzlich
zu den oben angesprochenen Schlüsselsystemen
verwendet werden können.
-
In
Block 304 ist der Schritt des Erzeugens von Registrierungsdaten
zum Registrieren des OLVS veranschaulicht. Das OLVS ist, nachdem
es von einem Verbraucher erworben wurde, aktivierungsbereit (bereit
zum Verschlüsseln
unverschlüsselter
Inhalte). Ohne Aktivierung kann das OLVS nicht betriebsbereit werden.
Zum Aktivieren des OLVS beginnt das VES 104 mit dem Erzeugen
von Registrierungsdaten, die Verschlüsselungsschlüssel zum
Verschlüsseln
der unverschlüsselten
Inhalte enthalten. Es sind noch weitere zugehörige Informationen und Betriebsparameter
in den Registrierungsdaten enthalten. Weil das VES 104 die
BSM-Nachrüstung
implementiert, ist es für
die Übermittlung
der Registrierungsdaten zuständig,
die von dem OLVS zum Verschlüsseln
unverschlüsselter
Inhalte verwendet werden. Somit kann das OLVS nicht nach dem Zufallsprinzip
seine eigenen Verschlüsselungsschlüssel und/oder
Parameter erzeugen, weil das VES 104 während des Nachrüstprozesses
keine Kenntnis von diesen Informationen hat. Somit bestimmt das
VES 104 zum Registrierungszeitpunkt die Verschlüsselungsschlüssel und den
zugehörigen
Verschlüsselungsalgorithmus,
die zugehörigen
Betriebsparameter usw. Zu den Betriebsparametern gehören der
Betriebsmodus, die Anzahl der Verschlüsselungssitzungen usw. In einer
Ausführungsform
werden die Betriebsparameter durch den VVEM 202 bestimmt
(2). Es kann jedoch auch ein Mensch manuell die
Betriebsparameter bestimmen. Nach ihrer Bestimmung werden die Parameter zum
Beispiel über
die grafische Benutzerschnittstelle eingegeben. In der Regel wird
die Anzahl der Verschlüsselungssitzungen
durch die Anzahl der vom Verbraucher gekauften Sitzungen bestimmt.
Es ist zu beachten, dass, obgleich die Betriebsparameter entweder
manuell oder durch den WEM 202 bestimmt werden, die Verschlüsselungsschlüssel und
die zugehörigen
Informationen auf sichere Weise innerhalb des BSM-Nachrüsters 204 (2)
erzeugt werden, wie weiter unten noch näher beschrieben wird.
-
In
Block 306 ist der Schritt des Verschlüsselns der Registrierungsdaten mit
einem oder mehreren kryptografischen Schlüsseln zu verschlüsselten Registrierungsdaten
gezeigt. Nach der Erzeugung sind die Registrierungsdaten unverschlüsselt. Unter Verwendung
der gespeicherten kryptografischen Schlüssel verschlüsselt das
VES 104 die Registrierungsdaten. Wie angesprochen, erfolgen
die Verschlüsselung
(und die Erzeugung der Verschlüsselungsschlüssel) im
Inneren des BSM-Nachrüsters 204.
Das gewährleistet
die vollständige
Integrität
der Registrierungsdaten. Da die Betriebsparameter außerhalb
des BSM-Nachrüsters 204 erzeugt
werden, werden die Registrierungsdaten erst verschlüsselt, nachdem
der BSM-Nachrüster 204 die
Betriebsparameter von dem VVEM 202 empfangen hat. Während Informationen
in unverschlüsselter
Form empfangen werden können,
sind somit alle Informationen, die den BSM-Nachrüster 204 verlassen,
verschlüsselt.
-
Um
die Registrierungsdaten zu verschlüsseln, wendet das VES 104 den
gespeicherten gemeinsam genutzten geheimen Schlüssel auf unverschlüsselte Registrierungsdaten
an, um einen Authentifikator zu erzeugen. Danach wird der öffentliche Schlüssel (Signierung)
verwendet, um eine Signatur anhand des Authentifikators zu erzeugen.
Der Authentifikator gewährleistet,
dass Änderungen
an den verschlüsselten
bzw. entschlüsselten
Registrierungsdaten erkannt werden, und die Signatur verifiziert, dass
der Authentifikator durch das OLVS erzeugt wird. Nach dem Erzeugen
der Authentifikatorsignatur werden die resultierenden verschlüsselten
Registrierungsdaten unter Verwendung des öffentlichen Schlüssels (Registrierung),
der in dem VES 104 gespeichert ist, vor dem Weiterleiten
der verschlüsselten
Registrierungsdaten verschlüsselt.
-
In
Block 308 ist der Schritt des Weiterleitens der verschlüsselten
Registrierungsdaten zum OLVS gezeigt. Die Registrierungsdaten können manuell (zum
Beispiel mit einer Diskette) oder über ein Kommunikationsnetzwerk
weitergeleitet werden. Das Kommunikationsnetzwerk kann zum Bei spiel
ein Fasernetz, ein Telefonnetz oder ein Satellitennetzwerk sein.
-
In
Block 310 ist der Schritt des Abrufens der Registrierungsdaten
aus den verschlüsselten
Registrierungsdaten gezeigt. An diesem Punkt kann das OLVS beginnen,
unverschlüsselte
Inhalte zu verschlüsseln.
Die Registrierungsdaten werden abgerufen, indem man die Schritte,
die in Block 306 oben beschrieben sind, in der umgekehrten
Reihenfolge ausführt.
Auf diese Weise gestattet das vorliegende Verfahren die Aktivierung
eines OLVS, nachdem es durch einen Verbraucher erworben wurde, um
mit dem Verschlüsseln
unverschlüsselter
Inhalte zu beginnen.
-
Obgleich
das oben Dargelegte eine vollständige
Beschreibung beispielhafter konkreter Ausführungsformen der Erfindung
ist, sind auch weitere Ausführungsformen
möglich.
Darum ist die obige Beschreibung nicht so zu verstehen, als würde sie
den Geltungsbereich der Erfindung einschränken, der durch die angehängten Ansprüche definiert
wird.