DE69719084T2

DE69719084T2 - Chipkarte und empfänger für den empfang von verschlüsselten rundfunksignalen

Info

Publication number: DE69719084T2
Application number: DE69719084T
Authority: DE
Inventors: Christian Benardeau; Michel Maillard
Original assignee: Canal Plus Technologies SA
Current assignee: KCA Licensing SA
Priority date: 1997-03-21
Filing date: 1997-04-25
Publication date: 2003-12-11
Anticipated expiration: 2017-04-26
Also published as: HUP0001487A2; TR199902273T2; TR200001214T2; IL131946A0; CA2284014A1; HK1024806A1; EP0968607A1; DK0968607T3; AU2770397A; NO994530L; US20020129249A1; EP0968607B1; CN1642267A; NO994530D0; ZA973604B; KR100629413B1; ATE232670T1; AU741114B2; PL335580A1; JP4159116B2

Description

Die Erfindung betrifft ein Chipkarte zur Verwendung mit einem Empfänger von verschlüsselten Sendesignalen in einem Sende- und Empfangssystem.
Im besonderen, aber nicht exklusiv, betrifft die Erfindung ein Massenmarkt-Sendesystem mit einigen oder allen der folgenden bevorzugten Merkmale:
- es ist ein Informations-Sendesystem, vorzugsweise ein Radio- und/oder Fernsehsendesystem
- es ist ein Satellitensystem (obwohl es auf Kabel oder terrestrische Übertragung anwendbar sein könnte)
- es ist ein Digitalsystem, das vorzugsweise das MPEG-, noch bevorzugter das MPEG-2, Komprimierungssystem, zur Daten/Signalübertragung verwendet
- es bietet bzw. ermöglicht die Möglichkeit von Interaktivität
- es verwendet Chipkarten.
Der Ausdruck "Chipkarte" wird hierin mit einer breiten Bedeutung benutzt und schließt (aber nicht ausschließlich) irgendeine mikroprozessorbasierende Karte bzw. irgendeinen mikroprozessorbasierenden Gegenstand von ähnlicher Funktion und Leistung ein.
Die US 5,144,663 beschreibt eine CPTV ("Karten-Bezahl-Fernsehen")-Karte zur Verwendung mit einem Dekoder eines Sendefernsehsystems. Die CPTV-Karte umfasst einen Mikroprozessor mit einem nicht flüchtigen Speicher. Die Karte empfängt von einem Mikroprozessor des Dekoders verschlüsselte Schlüssel und gibt an den Mikroprozessor entschlüsselte Schlüssel zurück, wenn das Fernsehprogramm erworben bzw. bezogen wurde. Die Karte speichert eine Liste von Programmen, die erworben bzw. bezogen wurden, um der Karte zu erlauben, den entschlüsselten Schlüssel an den Mikroprozessor zurückzugeben, nur wenn das Programm erworben bzw. bezogen wurde. Um eine Sendung bzw. Ausstrahlung zu beziehen bzw. zu kaufen, wird eine Liste von bereit stehenden Programmen auf dem Bildschirm eines Fernsehers angezeigt, und zwar zusammen mit Preis, Datum der Sendung und anderen Informationen. Der Nutzer wählt das gewünschte Programm unter Verwendung einer Tastatur. Falls das Guthaben, das dem Nutzer zur Verfügung steht (wie auf der Karte gespeichert) ausreichend ist, um ein gewünschtes Programm zu erwerben bzw. zu beziehen, wird das Programm erworben bzw. bezogen und zu der Liste der erworbenen bzw. bezogenen Programme, die auf der Karte gespeichert sind, addiert, und der Preis des Programms wird von dem Kredit bzw. Guthaben, das auf der Karte gespeichert ist, abgerechnet bzw. abgezogen. Die Karte ist fähig, alle vertraulichen und geheimen Informationen, welche notwendig sind, um ein verschlüsseltes Programm zu entschlüsseln, zu speichern. Die Karte managt bzw. handhabt den Kredit bzw. das Guthaben, speichert die erworbenen bzw. bezogenen Programme und erlaubt die Entschlüsselung der erworbenen bzw. bezogenen Programme. Die Karte kann zurückgesetzt werden und die Gesamtheit der gespeicherten Daten kann geändert werden. Es ist folglich möglich, die Schlüssel zur Entschlüsselung zu modifizieren und die Karte, nachdem sie neu programmiert wurde, neu zu verwenden bzw. wieder zu verwenden.
Die WO 96/06504 beschreibt einen Bezahl-TV-Service bzw. Pay-TV-Service, bei dem, wenn ein Nutzer wünscht, den Service abzurufen bzw. aufzurufen, eine Chipkarte in einen Kartenleser eines Set-Top-Anschlusses bzw. Digital- oder Beistellanschlusses eingeführt wird. Ein Sicherheitsprozessor der Chipkarte verarbeitet empfangene ECM und EMM- Daten, um Entschlüsselungsschlüssel zu erzeugen, die über einen Mikrokontroller des Anschlusses zu einem Entschlüsseler des Anschlusses transferiert werden, wo die verschlüsselte Datenkomponente eines Eingangssignals entschlüsselt wird.
Die EP 0,679,029 beschreibt ein System zur Übertragung von Teilnehmerinformationen bzw. Abonnenteninformationen, bei der eine ID zu einem Dekoder zugeordnet wird, und eine ID zu einer Chipkarte zugeordnet wird. Schlüssel, die bei der Entschlüsselung von Programmaudio- und videosignalen verwendet werden, werden zweimal verschlüsselt, und zwar unter Verwendung von diesen beiden IDs, mit dem Effekt eines beschränkenden Verwendens einer Chipkarte mit einem besonderen Dekoder. Das System erlaubt ferner, dass die Chipkarte nach einem Sicherheitsbruch ersetzt wird.
Bei einem ersten Aspekt stellt die vorliegende Erfindung eine Chipkarte zur Verwendung mit einem Empfänger von verschlüsselten Sendesignalen bereit, wobei die Chipkarte folgendes umfasst:
einen Mikroprozessor, um eine Entschlüsselung der Signale zu ermöglichen oder zu steuern; und
einen Speicher, der mit einem Mikroprozessor gekoppelt ist;
dadurch gekennzeichnet, dass der Mikroprozessor angepasst ist, um die individuelle Entschlüsselung einer Anzahl bzw. Vielzahl derartiger Signale von jeweiligen Sendeversorgern derartiger Signale mittels jeweiliger dynamisch erzeugter Zonen in dem Speicher zu ermöglichen oder zu steuern, wobei die dynamisch erzeugten Zonen jeweils angeordnet bzw. ausgelegt sind, um Entschlüsselungsdaten, die mit einem jeweiligen der Sendeversorger in Zusammenhang stehen, zu speichern, wobei die Chipkarte weiter eine Management- Speicherzone umfasst, die Daten enthält, die sich auf die Rechte der Chipkarte, die dynamische Erzeugung oder Entfernung der dynamisch erzeugten Zone zu steuern, beziehen. Die dynamische Erzeugung (und Entfernung) von Zonen bei der Chipkarte berücksichtigt bzw. gewährleistet die Rechte, die dem Teilnehmer bzw. Abonnenten geboten bzw. ermöglicht wurden, und zwar durch ein Mittel der Chipkarte, das leicht und schnell gewechselt werden kann, zum Beispiel durch EMMs, die periodisch durch den Sender übertragen, durch den Empfänger/Dekoder empfangen und zu der Chipkarte hingeleitet werden.
Vorzugsweise umfasst die Chipkarte weiter einen Identifizierer und wenigstens einen geheimen Entschlüsselungsschlüssel, der mit einem jeweiligen der Sendeversorger in Zusammenhang steht, wobei der Identifizierer und der Schlüssel oder jeder Schlüssel in einer der dynamisch erzeugten Zonen gespeichert ist und angeordnet bzw. ausgelegt ist, um Sendesignale zu entschlüsseln, die eine Identität haben, die jenem Identifizierer entspricht, und die unter Verwendung eines Verschlüsselungsschlüssels, der jenem Entschlüsselungsschlüssel entspricht, verschlüsselt sind.
Die Chipkarte kann weiter für jede Zone einen gespeicherten Gruppenidentifizierer und einen weiteren Identifizierer umfassen, der sie innerhalb jener Gruppe identifiziert und angeordnet bzw. ausgelegt ist, um Sendesignale mit einer Identität zu entschlüsseln, die dem gespeicherten Gruppenidentifizierer entspricht.
Die Chipkarte kann angeordnet bzw. ausgelegt sein, um eine erste Reihe von Speicherzonen, die die Identitäten der jeweiligen Sendeversorger enthalten, und eine zweite Reihe von dynamisch erzeugten Speicherzonen aufrechtzuerhalten, wobei die Speicherzonen in der zweiten Reihe jeweils mit der Identität eines Sendeversorgers markiert sind und Daten enthalten, die die Entschlüsselungsdaten enthalten, die zur Handhabung empfangener Sendesignale von jedem Versorger verwendet werden, wobei eine Anzahl bzw. Vielzahl von Speicherzonen in der zweiten Reihe eine gemeinsame Identitätsmarke haben und unterschiedliche Klassen von Daten erhalten, die sich auf die Handhabung empfangener Sendesignale von jenem Sendeversorger beziehen.
Vorzugsweise ist die Chipkarte angeordnet bzw. ausgelegt, um dynamisch die Speicherzonen der ersten Reihe zu erzeugen. Die dynamisch erzeugten Speicherzonen können kontinuierlich bzw. fortlaufend sein.
Eine der dynamisch erzeugten Zonen kann Rechtedaten enthalten, die eine bestimmte Auswahl von Sendungen bzw. Sendethemen anzeigen, die von einem Sendeversorger gesendet werden, und bezüglich derer der Benutzer der Chipkarte berechtigt ist, sie zu entschlüsseln, wobei die Chipkarte angeordnet bzw. ausgelegt ist, um die Rechtedaten zu verwenden, um Sendungen bzw. Themen zu entschlüsseln, die von jenem Versorger gesendet werden.
Eine Transaktions-Speicherzone kann in der Chipkarte zusätzlich zu den dynamisch erzeugten Zonen definiert sein und welche weitere Rechtedaten enthält, die Sendungen bzw. Themen betreffen, die von einem Sendeversorger gesendet werden, und bezüglich derer ein Benutzer der Chipkarte berechtigt ist, nur in Antwort auf ein Transaktions-Ausgabesignal zu entschlüsseln, das von der Chipkarte unter der Steuerung bzw. Kontrolle des Benutzers erzeugt werden kann.
Die Chipkarte kann weiter einen Zähler zum Zählen der Anzahl von Gelegenheiten umfassen, bei denen eine Sendung bzw. ein Thema gesendet wird, und zwar nach der Ausgabe des Transaktions-Ausgabesignals, wobei die Chipkarte angeordnet bzw. ausgelegt ist, um die Verschlüsselung des Themas bzw. der Sendung in Abhängigkeit von dem Zählwert, der von dem Zähler erreicht wird, zu toren bzw. zu steuern.
Ein zweiter Aspekt der vorliegenden Erfindung stellt eine Kombination einer Chipkarte, wie oben beschrieben, und einen Empfänger/Dekoder bereit, wobei der Empfänger/Dekoder einen Chipkartenleser umfasst und angeordnet bzw. ausgelegt ist, um gesendete verschlüsselte Signale unter der Steuerung der Teilnehmer- bzw. Abonnenten-Chipkarte zu entschlüsseln.
Der Empfänger/Dekoder kann angeordnet bzw. ausgelegt sein, um verschlüsselte Sendevideo- und/oder Audiosignale zu entschlüsseln und entsprechende Video- und/oder Audioausgangssignale zu erzeugen.
Vorzugsweise hat der Empfänger/Dekoder einen Eingangsport bzw. einen Eingangsanschluss mit einer relativ großen Bandbreite zum Empfang der verschlüsselten Sendesignale und einen Ausgangsport bzw. Ausgangsanschluss mit relativ kleiner Bandbreite, der angeordnet bzw. ausgelegt ist, um Ausgangssteuersignale zurück zu einem Sendeübertrager zu übertragen.
Vorzugsweise enthält der Empfänger/Dekoder einen gespeicherten Identifizierer und ist angeordnet bzw. ausgelegt, um nur mit einer Chipkarte zu arbeiten, die einen entsprechenden gespeicherten Identifizierer hat.
Bevorzugte Merkmale der vorliegenden Erfindung werden nun lediglich in beispielhafter Weise und unter Bezugnahme auf die beigefügten Zeichnungen beschrieben werden, worin:
Fig. 1 die gesamte Architektur eines digitalen Fernsehsystems gemäß der bevorzugten Ausführungsform der vorliegenden Erfindung zeigt;
Fig. 2 die Architektur eines Systems mit bedingtem Zugriff auf das digitale Fernsehsystem zeigt;
Fig. 3 die Struktur einer Berechtigungs-Verwaltungsnachricht zeigt, die in dem System für einen bedingten Zugriff verwendet wird;
Fig. 4 ein schematisches Diagramm der Hardware eines Abonnenten- Autorisierungssystems (SAS; Subscriber Authorisation System) gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung ist;
Fig. 5 ein schematisches Diagramm der Architektur des SAS ist;
Fig. 6 ein schematisches Diagramm eines technischen Abonnenten-Verwaltungs- Servers ist, der einen Teil des SAS bildet;
Fig. 7 ein Flussdiagramm des Verfahrens zum automatischen Erneuern von Abonnements darstellt, wie es von dem SAS realisiert wird;
Fig. 8 ein schematisches Diagramm einer Gruppen-Abonnement-Bitmap ist, die in der Prozedur zur automatischen Erneuerung verwendet wird;
Fig. 9 die Struktur eines EMM zeigt, die in der Prozedur zur automatischen Erneuerung bzw. Verlängerung verwendet wird;
Fig. 10 im Detail die Struktur der EMM zeigt;
Fig. 11 ein schematisches Diagramm eines zentralisierten Auftrags-Servers darstellt, wenn dieser verwendet wird, um Befehle direkt über Kommunikations- bzw. Übertragungs- Server zu empfangen;
Fig. 12 schematisch einen Teil der Fig. 2 darstellt, der eine Ausführungsform der vorliegenden Erfindung zeigt;
Fig. 13 ein schematisches Diagramm des zentralisierten Auftrags-Servers darstellt, wenn dieser verwendet wird, um Befehle von dem Abonnenten-Autorisierungssystem zu empfangen, um einen Rückruf (callback) anzufordern;
Fig. 14 ein schematisches Diagramm der Kommunikations- bzw. Übertragungs- Server ist;
Fig. 15 die Art und Weise zeigt, auf die die Wiederholfrequenz des Sendens der EMM gemäß der Synchronisierung eines PPV-Ereignisses variiert wird;
Fig. 16 ein schematisches Diagramm eines Nachrichtensenders darstellt, der dazu verwendet wird, um EMMs zu senden;
Fig. 17 ein schematisches Diagramm ist, das die Art und Weise eines Speicherns von EMMs innerhalb des Nachrichtensenders zeigt;
Fig. 18 ein schematisches Diagramm einer Smartcard ist;
Fig. 19 ein schematisches Diagramm einer Anordnung von Bereichen in dem Speicher der Smartcard darstellt; und
Fig. 20 ein schematisches Diagramm einer Beschreibung eines PPV-Ereignisses darstellt.
Ein Überblick über ein digitales Fernsehübertragungs- und -empfangssystem 1000 gemäß der vorliegenden Erfindung ist in der Fig. 1 gezeigt. Die Erfindung umfasst ein im Wesentlichen herkömmliches digitales Fernsehsystem 2000, das das bekannte MPEG-2- Komprimierungssystem dazu verwendet, um komprimierte digitale Signale zu übertragen. Genauer gesagt, empfängt der MPEG-2-Komprimierer 2002 in einem Sende- bzw. Rundfunkzentrum einen digitalen Signalstrom (typischerweise einen Strom von Videosignalen). Der Komprimierer 2002 ist mit einem Multiplexer und einem Zerwürfler bzw. Scrambler oder Verschlüsseler 2004 über eine Verbindung 2006 verbunden. Der Multiplexer 2004 empfängt eine Mehrzahl von weiteren Eingangssignalen, setzt einen oder mehrere Transportströme zusammen und überträgt komprimierte digitale Signale an einen Sender 2008 des Sendezentrums über eine Verbindung 2010, die natürlich eine große Vielzahl von Formen annehmen kann, einschließlich von Telekommunikationsverbindungen. Der Sender 2008 sendet elektromagnetische Signale über eine Aufwärtsstrecke 2012 zu einem Satellitentransponder 2014, wo diese elektronisch verarbeitet und über eine angedachte Abwärtsstrecke 2016 an einen erdgebundenen Empfänger 2018 gesendet werden, herkömmlich in Form eines Empfangsschüssels, der dem Nutzer gehört oder von diesem gemietet wird. Die vom Empfänger 2018 empfangenen Signale werden an einen integrierten Empfänger/Dekoder 2020 übermittelt, der dem Nutzer gehört oder von diesem gemietet wird und der mit einem Fernsehgerät 2022 des Endnutzers verbunden ist. Der Empfänger/ Dekoder 2020 entschlüsselt das komprimierte MPEG-2-Signal in ein Fernsehsignal für das Fernsehgerät 2022.
Ein System für einen bedingten Zugriff 3000 ist mit dem Multiplexer 2004 und dem Empfängen/Dekoder 2020 verbunden und befindet sich teilweise in dem Sende- bzw. Rundfunkzentrum und teilweise in dem Dekoder. Es ermöglicht, dass der Endnutzer auf digitale Fernsehsendungen von einem oder mehreren Sendeanbieter zugreifen kann. Eine Smartcard bzw. Chipkarte, die Nachrichten entschlüsseln kann, die sich auf kommerzielle Angebote beziehen (das heißt auf eines oder mehrere Fernsehprogramme, die von dem Sendungsanbieter verkauft werden), kann in den Empfänger/Dekoder 2020 eingeführt werden. Unter Verwendung des Dekoders 2020 und der Smartcard kann der Endnutzer Ereignisse entweder in einem Abonnentenmodus oder in einem Pay-Per-View-Modus erwerben.
Ein interaktives System 4000 ist ebenfalls mit dem Multiplexer 2004 und dem Empfänger/Dekoder 2020 verbunden und befindet sich wiederum teilweise in dem Sendezentrum und teilweise in dem Dekoder, wobei es dem Endnutzer ermöglicht, mit verschiedenen Anwendungen über einen mit einem Modem versehenen Rückkanal 4002 wechselzuwirken.
Das System 3000 für einen bedingten Zugriff wird nun ausführlicher beschrieben.
Unter Bezugnahme auf die Fig. 2 beinhaltet ein System 3000 für einen bedingten Zugriff im Überblick ein Abonnenten-Autorisierungssystem (SAS; Subscriber Authorization System) 3002. Das SAS 3002 ist mit einem oder mehreren Abonnenten-Verwaltungssystemen (SMS; Subscriber Management System) 3004 verbunden, und zwar ein SMS für jeden Sendungsanbieter, und zwar jeweils über eine TCP-IP-Verbindung 3006 (obwohl andere Arten von Verbindungen alternativ verwendet werden könnten). Alternativ könnte ein SMS von zwei Sendungsanbietern gemeinsam genutzt werden oder könnte ein Anbieter zwei SMSs verwenden usw.
Erste Verschlüsselungseinheiten in der Form von Verschlüsselungseinheiten 3008, die "Mutter"-Smartcards bzw. Chipkarten 3010 verwenden, sind mit dem SAS über die Verbindung 3012 verbunden. Zweite Verschlüsselungseinheiten, wiederum in der Form von Verschlüsselungseinheiten 3014, die Mutter-Smartcards bzw. Chipkarten 3016 verwenden, sind mit dem Multiplexer 2004 über eine Verbindung 3018 verbunden. Der Empfänger/Dekoder 3020 empfängt eine "Tochter"-Smartcard bzw. Chipkarte 3020. Dieser ist unmittelbar mit dem SAS 3002 über Übertragungs-Server 3022 über den mit einem Modem versehenen Rückkanal 4002 verbunden. Das SAS sendet auf Anfrage unter anderem Abonnentenrechte an die Tochter-Smartcard bzw. Chipkarte.
Die Smartcards bzw. Chipkarten enthalten die Geheimnisse von einem oder mehreren kommerziellen Anbietern. Die "Mutter"-Smartcard bzw. Chipkarte verschlüsselt verschiedene Arten von Nachrichten und die "Tochter"-Smartcards bzw. Chipkarten entschlüsseln die Nachrichten, falls diese die Erlaubnis haben, dies zu tun.
Die ersten und zweiten Verschlüsselungseinheiten 3008 und 3014 umfassen einen Bauelementerahmen, eine elektronische VME-Karte mit Software, die auf einem EEPROM gespeichert ist, bis zu 20 elektronische Karten und eine Smartcard bzw. Chipkarte 3010 bzw. 3016, für jede elektronische Karte, eine (Karte 3016) zum Verschlüsseln der ECMs und eine (Karte 3010) zum Verschlüsseln der EMMs.
Die Betriebsweise bzw. der Betrieb des Systems 3000 für einen bedingten Zugriff des digitalen Fernsehsystems wird nun ausführlicher unter Bezugnahme auf die verschiedenen Komponenten des Fernsehsystems 2000 und des Systems 3000 für einen bedingten Zugriff beschrieben.

Multiplexer und Scrambler bzw. Verschlüsseler

Unter Bezugnahme auf die Fig. 1 und 2 wird in dem Sende- bzw. Rundfunkzentrum das digitale Videosignal zuerst komprimiert (oder in der Bitrate reduziert), und zwar unter Verwendung des MPEG-2-Komprimierers 2002. Dieses komprimierte Signal wird dann an den Multiplexer und Scrambler 2004 über die Verbindung 2006 übermittelt, um mit anderen Daten gemultiplext bzw. gemischt zu werden, beispielsweise mit komprimierten Daten.
Der Scrambler bzw. Verwürfler erzeugt ein Steuer- bzw. Kontrollwort, das in dem Verwürfelungsprozess bzw. Verschlüsselungsverfahren verwendet wird und in dem MPEG-2-Strom in dem Multiplexer 2004 enthalten ist. Das Steuerwort wird intern erzeugt und ermöglicht, dass der integrierte Empfänger/Dekoder 2020 des Endnutzers das Programm entwürfeln bzw. entschlüsseln kann.
Zugriffskriterien, die angeben, wie das Programm kommerzialisiert ist, werden ebenfalls zu dem MPEG-2-Strom hinzufügt. Das Programm kann in irgendeiner Betriebsart von einer Anzahl von "Abonnenten"-Betriebsarten und/oder einer Betriebsart einer Anzahl von "Pay- Per-View"-Betriebsarten (PPV) oder -Ereignissen kommerzialisiert sein. In der Abonnenten-Betriebsart abonniert der Endnutzer eines oder mehrere kommerzielle Angebote oder "Auswahlen" bzw. Sträuße und erhält somit das Recht, jeden Kanal innerhalb dieser Auswahlen anzusehen. In der bevorzugten Ausführungsform können bis zu 960 kommerzielle Angebote aus einem Angebot von Kanälen ausgewählt werden. In der Pay-Per-View- Betriebsart ist der Endnutzer mit der Fähigkeit ausgestattet, Ereignisse je nach Bedarf zu erwerben. Dies kann entweder durch Vorbuchen des Ereignisses im Voraus ("Vorausbuchungs-Betriebsart") oder durch Erwerben des Ereignisses, sobald dieses gesendet wird ("Impuls-Betriebsart") erzielt werden. Bei der bevorzugten Ausführungsform sind sämtliche Nutzer Abonnenten, ob sie nun in der Abonnenten- oder in der PPV-Betriebsart fernsehen, obwohl natürlich PPV-Betrachter nicht notwendigerweise Abonnenten sein müssen.
Sowohl das Steuer- bzw. Kontrollwort als auch die Zugriffskriterien werden dazu verwendet, um eine Berechtigungs-Kontrollnachricht (ECM; Entitlement Control Message) aufzubauen; dies ist eine Nachricht, die im Zusammenhang, mit einem verwürfelten bzw. verschlüsselten Programm gesendet wird; die Nachricht enthält ein Kontroll- bzw. Steuerwort (das die Entwürfelung bzw. Entschlüsselung des lProgramms ermöglicht) sowie die Zugriffskriterien auf das Fernsehprogramm bzw. Sendeprogramm. Die Zugriffskriterien und das Kontrollwort werden an die zweite Verschlüsselungseinheit 3014 über die Verbindung 3018 gesendet. In dieser Einheit wird eine ECM erzeugt, verschlüsselt und an den Multiplexer und Scrambler 2004 gesendet.
Jeder Dienstesender von einem Sendungsanbieter in einem Datenstrom umfasst eine Anzahl von unterschiedlichen Komponenten; beispielsweise enthält ein Fernsehprogramm eine Videokomponente, eine Audiokomponente, eine Untertitelkomponente usw. Jede dieser Komponenten eines Dienstes wird individuell verwürfelt (scrambled) und für eine anschließende Übertragung an den Transponder 2014 verschlüsselt. EL Bezug auf jede verwürfelte Komponente des Dienstes ist eine separate ECM erforderlich.

Programmübermittlung

Der Multiplexer 2004 empfängt elektrische Signale, die verschlüsselte EMMs, von dem SAS 3002, verschlüsselte ECMs von der zweiten Verschlüsselungseinheit 3014 und komprimierte Programme von dem Komprimierer 2002 umfassen. Der Multiplexer 2004 verwürfelt die Programme und sendet die verwürfelten Programme, die verschlüsselten EMMs und die verschlüsselten ECMs als elektrische Signale, und zwar an einen Sender 2008 des Sende- bzw. Fernsehsystems über die Verbindung 2010. Der Sender 2008 sendet elektromagnetische Signale zu dem Satellitentransponder 2014 über die Aufwärtsstrecke 2012.

Programmempfang

Der Satellitentransponder 2014 empfängt und verarbeitet die elektromagnetischen Signale, die von dem Sender 2008 gesendet werden, und sendet die Signale zu dem auf der Erde befindlichen Empfänger 2018, und zwar konventionell in der Form einer Empfangsschüssel bzw. Antenne, die dem Endnutzer gehört oder von diesem gemietet wird, über die Abwärtsstrecke 2016. Die von dem Empfänger 2018 empfangenen Signale werden an den integrierten Empfänger/Dekoder 2020 gesendet, der dem Endnutzer gehört oder von diesem gemietet wird und der mit dem Fernsehgerät 2022 des Endnutzers verbunden ist. Der Empfänger/Dekoder 2020 demultiplext die Signale um verwürfelte Programme mit verschlüsselten EMMs und verschlüsselten ECMs zu erhalten.
Falls das Programm nicht verwürfelt wird, das heißt, falls keine ECM gemeinsam mit dem MPEG-2-Strom gesendet worden ist, entkomprimiert der Empfänger/Dekoder 2020 die Daten und wandelt das Signal in ein Videosignal zur Übermittlung an das Fernsehgerät 2022.
Falls das Programm verwürfelt wird, extrahiert der Empfänger/Dekoder 2020 die entsprechende ECM aus dem MPEG-2-Strom und leitet die ECM an die "Tochter"-Smartcard 3020 des Endnutzers. Diese wird in den Schlitz eines Gehäuses in dem Empfänger/Dekoder 2020 eingeführt. Die "Tochter"-Smartcard 3020 steuert, ob der Endnutzer die Berechtigung hat, die ECM zu entschlüsseln und auf das Programm zurückzugreifen. Falls dies nicht der Fall ist, wird ein negativer Status an den Empfänger/Dekoder 2020 weitergeleitet, um anzuzeigen, dass das Programm nicht entwürfelt werden kann. Falls der Endnutzer die Berechtigung hat, wird die ECM entschlüsselt und das Kontrollwort extrahiert. Der Dekoder 2020 kann dann das Programm unter Verwendung dieses Kontrollworts entwürfeln. Der MPEG- 2-Strom wird entkomprimiert und in ein Videosignal für eine sich anschließende Übermittlung an ein Fernsehgerät 2022 übersetzt.

Abonnenten-Verwaltungssystem (SMS)

Ein Abonnenten-Verwaltungssystem (SMS; Subscriber Management System) 3004 enthält eine Datenbank 3024, die unter anderem sämtliche der Endnutzer-Dateien, kommerzielle Angebote (wie beispielsweise Tarife und Werbeveranstaltungen), Abonnements, PPV- Einzelheiten und Daten, die einen Verbrauch und die Autorisierung des Endnutzers betreffen. Das SMS kann physikalisch fern von dem SAS vorliegen.
Jedes SMS 3004 sendet Nachrichten an das SAS 3002 über eine jeweilige Verbindung 3006, welche Modifikationen am oder die Erzeugung von Berechtigungs-Verwaltungsnachrichten (EMMs) impliziert, die an die Endnutzer gesendet werden sollen.
Das SMS 3004 sendet auch Nachrichten an das SAS 3002, was keine Modifikationen oder Veränderungen von EMMs impliziert, was jedoch nur eine Veränderung an dem Status des Endnutzers impliziert (der sich auf die Autorisierung bezieht, die dem Endnutzer gewährt wird, wenn Produkte sortiert oder der Betrag sortiert wird, über den der Endnutzer belastet werden wird).
Wie später beschrieben wird, sendet das SAS 3002 Nachrichten (typischerweise Bestellinformation, wie beispielsweise Rückrufinformation oder Abrechnungsinformation) an das SMS 3004, so dass ersichtlich sein wird, dass eine Übermittlung zwischen den beiden in beide Richtungen erfolgen kann.

Berechtigungs-Verwaltungsnachrichten (EMMs)

Die EMM ist eine Nachricht, die nur einem einzelnen Endnutzer (Abonnenten) oder einer Gruppe von Endnutzern zugedacht ist (im Gegensatz zu einer ECM, die nur einem verwürfelten Programm oder einem Satz von verwürfelten Programmen zugedacht ist, falls dieses oder diese Teil desselben kommerziellen Angebotes ist bzw. sind). Jede Gruppe kann eine vorgegebene Anzahl von Endnutzern enthalten. Diese Organisation als Gruppe zielt darauf ab, die Bandbreite zu optimieren; das heißt, Zugriff zu einer Gruppe kann ermöglichen, dass eine größte Anzahl von Endnutzern erreicht werden kann.
Verschiedene spezielle Typen von EMMs werden beim Umsetzen der vorliegenden Erfindung in die Praxis verwendet. Einzelne EMMs sind einzelnen Abonnenten zugeordnet und werden typischerweise bei der Bereitstellung von Pay-Per-View-Diensten verwendet; diese enthalten den Gruppen-Identifizierer und die Position des Abonnenten in dieser Gruppe. So genannte "Gruppen"-Abonnement-EMMs sind Gruppen von, sagen wir, 256 einzelnen Nutzern zugeordnet und werden typischerweise bei der Verwaltung von gewissen Abonnentendiensten verwendet. Diese EMM hat einen Gruppen-Identifizierer und eine Gruppen-Bitmap des Abonnenten. Audienz-EMMs sind gesamten Audienzen bzw. Hörergruppen zugeordnet und können beispielsweise von einem speziellen Anbieter dazu verwendet werden, um gewisse kostenlose Dienste bereitzustellen. Eine "Audienz-" bzw. "Hörergruppe" ist die Gesamtheit von Abonnenten, die Smartcards besitzen, die denselben Anbieter-Identifizierer (OPI) auf sich tragen. Schließlich ist eine "eineindeutige" EMM dem eineindeutigen Identifizierer der Smartcard zugedacht.
Die Struktur einer typischen EMM wird nun unter Bezugnahme auf die Fig. 3 beschrieben. Im Wesentlichen umfasst die EMM, die als eine Serie von digitalen Datenbits realisiert ist, einen Header bzw. Kopfteil 3060, die eigentliche EMM 3062 und eine Signatur 3064. Der Header bzw. Kopfteil 3060 umfasst seinerseits einen Typen-Identifizierer 3066, um anzugeben, ob der Typ einzeln, Gruppe, Audienz oder ein gewisser anderer Typ ist, einen Längen-Identifizierer 3068, der die Länge der EMM angibt, eine optionale Adresse 3070 für die EMM, einen Anbieter-Identifizierer 3072 und einen Schlüssel-Identifizierer 3074. Die eigentliche EMM 3062 variiert natürlich stark entsprechend ihrem Typ. Schließlich stellt die Signatur 3064, die typischerweise 8 Bytes lang ist, eine Anzahl von Überprüfungen gegen eine Verfälschung der verbleibenden Daten in der EMM bereit.

Abonnenten-Autorisierungssystem (SAS)

Die Nachrichten, die von dem SMS 3004 erzeugt werden, werden über die Leitung 3006 an das Abonnenten-Autorisierungssystem (SAS) 3002 durchgelassen, das seinerseits Nachrichten erzeugt, die den Empfang der von dem SMS 3004 erzeugten Nachrichten bestätigt und diese Bestätigungen an das SMS 3004 durchlässt.
Wie in der Fig. 4 gezeigt ist, umfasst das SAS auf der Hardwareebene in bekannter Weise einem Mainframe-Computer 3050 (bei der bevorzugten Ausführungsform eine DEC- Maschine), der mit einer oder mehreren Tastaturen 3052 für die Eingabe von Daten und Befehlen verbunden ist, mit einer oder mehreren visuellen Displayeinheiten (VDUs) 3054 zum Anzeigen von Ausgabeinformation und mit einem Datenspeichermittel 3056. Eine gewisse Redundanz in der Hardware kann vorgesehen sein.
Auf der Softwareebene läuft das SAS in der bevorzugten Ausführungsform auf einem VMS- Betriebssystem mit offenem Standard, einem Softwarepaket, dessen Architektur nun im Uberblick unter Bezugnahme auf die Fig. 5 beschrieben wird; man wird verstehen, dass die Software alternativ in Form von Hardware realisiert werden könnte.
Im Überblick umfasst das SAS einen Abonnenten-Kettenbereich 3100, um einer Abonnenten-Betriebsart Rechte zu verleihen und um die Rechte automatisch jeden Monat zu erneuern, einen Pay-Per-View-Kettenbereich 3200, um Pay-Per-View-Ereignissen Rechte zu verleihen, und einen EMM-Einfüger 3300, um EMMs, die von den Abonnenten- und PPV- Kettenbereichen erzeugt werden, zu dem Multiplexer und Scrambler 2004 durchzulassen und um folglich den MPEG-Strom mit EMMs zu füttern. Falls andere Rechte gewählt werden sollen, beispielsweise Pay-Per-File-Rechte (PPF) für den Fall des Herunterladens von Computer-Software auf einen Personalcomputer eines Nutzers, sind andere ähnliche Bereiche ebenfalls vorgesehen.
Eine Funktion des SAS 3002 besteht darin, die Zugriffsrechte auf Fernsehprogramme zu verwalten, die als kommerzielle Angebote in einer Abonnenten-Betriebsart zur Verfügung stehen oder als PPV-Ereignisse in Entsprechung zu verschiedenen Arten der Kommerzialisierung (Vorausbuchungs-Betriebsart, Impuls-Betriebsart) verkauft werden. Das SAS 3002 erzeugt in Entsprechung zu diesen Rechten und zu Information, die von dem SMS 3004 empfangen wird, EMMs für den Abonnenten.
Der Abonnenten-Kettenbereich 3100 umfasst eine Befehls-Schnittstelle (CI) 3102, einen technischen Abonnenten-Verwaltungs-Server (STM) 3104, einen Nachrichtenerzeuger (MG) 3106 und die Verschlüsselungseinheit 3008.
Der PPV-Kettenbereich 3200 umfasst einen Autorisierungs-Server (AS) 3202, eine relationale Datenbank 3204 zum Speichern von relevanten Einzelheiten der Endnutzer, eine lokale Schwarzlisten-Datenbank 3205, Datenbank-Server 3206 für die Datenbank, einen zentralen Bestellungs-Server (OCS; Order Centralized Server) 3207, einen Server für Programmanbieter (SPB) 3208, einen Nachrichtenerzeuger (MG) 3210, dessen Funktion im Wesentlichen dieselbe ist wie diejenige des Abonnenten-Kettenbereichs und die folglich nicht weiter in jedem Detail beschrieben wird, und die Verschlüsselungseinheit 3008.
Der EMM-Einfüger 3300 umfasst eine Mehrzahl von Nachrichtensendern (MEs) 3302, 3304, 3306 und 3308 sowie Software-Multiplexer (SMUXs) 3310 und 3312. Bei der bevorzugten Ausführungsform gibt es zwei MEs 3302 und 3304 für den Nachrichtenerzeuger 3106 zusammen mit den anderen beiden MEs 3306 und 3308 für den Nachrichtenerzeuger 3210. Die MEs 3302 und 3306 sind mit der SMUX 3310 verbunden, während die MEs 3304 und 3308 mit der SMUX 3312 verbunden sind.
Jede der Hauptkomponenten des SAS (der Abomnenten-Kettenbereich, der PPV- Kettenbereich und der EMM-Einfüger) werden nun im Detail betrachtet.

Abonnenten-Kettenbereich

Man betrachtet zuerst den Abonnenten-Kettenbereich 3100, bei dem die Befehls- Schnittstelle 3102 primär zum Aufgeben von Nachrichten von der SMS 3004 zu dem STN- Server 3104 gedacht ist und auch zu dem OCS 3206 und von dem OCS zu dem SMS. Die Befehls-Schnittstelle nimmt als Eingabe von dem SMS entweder direkte Befehle oder Batch- bzw. Stapeldateien, die Befehle enthalten. Es führt eine syntaktische Analyse an den von dem STM-Server einlaufenden Nachrichten aus und ist in der Lage, genaue Nachrichten zu senden, wenn ein Fehler in einer Nachricht auftritt (Parameter außerhalb des Bereichs, fehlender Parameter usw.). Es verfolgt einlaufende Befehle in Textform in einer Verfolgungsdatei 3110 und auch in binärer Form in einer Wiedergabedatei 3112, um in der Lage zu sein, eine Reihe von Befehlen wiederzugeben. Nachverfolgungen können gesperrt sein und die Größe der Dateien kann begrenzt sein.
Eine ausführliche Diskussion des STM-Servers 3104 wird nun insbesondere unter Bezugnahme auf die Fig. 6 bereitgestellt. Der STM-Server ist im Wesentlichen das wichtigste Gerät bzw. die Hauptmaschine des Abonnenten-Kettenbereichs und hat den Zweck, freie Rechte, die Erzeugung von neuen Abonnenten und die Erneuerung von bestehenden Abonnenten zu verwalten. Wie in der Figur gezeigt ist, werden Befehle zu dem Nachrichtenerzeuger 3106 durchgelassen, obwohl dies in einem anderen Format als demjenigen erfolgt, in welchem die Befehle zu dem STM-Server durchgelassen werden. Für jeden Befehl ist der STM-Server ausgelegt, um eine Bestätigungsnachricht nur dann an den CI zu senden, wenn der relevante Befehl erfolgreich verarbeitet und an den MG gesendet worden ist.
Der STM-Server enthält eine Abonnenten-Datenbank 37120, in der sämtliche der relevanten Parameter der Abonnenten gespeichert sind (Smartcard-Nummer, kommerzielle Angebote, Zustand bzw. Status, Gruppe und Position in der Gruppe usw.). Die Datenbank führt semantische Überprüfungen der Befehle, die von dem CI 3102 gesendet werden, im Vergleich zu dem Inhalt der Datenbank aus und aktualisiert die Datenbank, wenn die Befehle gültig sind.
Der STM-Server verwaltet außerdem einen First-In-First-Out-Zwischenspeicher (FIFO) 3122 zwischen dem STM-Server und dem MG sovrie einen Sicherungskopie-Platten- FIFO 3124. Der Zweck der FIFOs besteht darin, den Strom von Befehlen von den CI zu mitteln, wenn der MG nicht in der Lage ist, für eine Weile aus irgendeinem Grund nicht zu antworten. Dies kann auch gewährleisten, dass für den Fall eines Crashs des STM- Servers oder des MGs kein Befehl verloren gehen wird, weil der STM-Server ausgelegt ist, um seine FIFOs zu leeren (das heißt, diese an den MG zu senden, wenn dieser neu gestartet wird). Die FIFOs sind als Dateien realisiert.
Der STM-Server enthält in seinem Kern einen automatischen Erneuerungs- bzw. Verlängerungs-Server 3126, der automatisch Erneuerungen bzw. Verlängerungen erzeugt und der, falls dies von den Anbietern gefordert wird, freie Rechte erzeugt. In diesem Zusammenhang kann man die Erzeugung von Erneuerungen bzw. Verlängerungen so betrachten, als wenn diese die Erzeugung von Rechten für das erste Mal umfassen, obwohl man verstehen wird, dass die Erzeugung von neuen Rechten bei dem SMS initiiert werden. Wie ersichtlich werden wird, können die beiden Fälle im Wesentlichen mit Hilfe derselben Befehle und EMMs behandelt werden.
Weil das STM separat zu dem SAS vorliegt und weil der automatische Erneuerungs- bzw. Verlängerungs-Server innerhalb des SAS anstatt innerhalb des SMS 3004 vorliegt (wie bei bekannten Systemen), ist dies ein besonders wichtiges Merkmal, weil dieses signifikant die Anzahl von Befehlen verringern kann, die von dem SMS zu dem SAS durchgelassen werden müssen (wenn man berücksichtigt, dass das SMS und das SAS an verschiedenen Stellen vorliegen kann und von verschiedenen Betreibern betrieben werden kann). In der Tat sind die zwei Hauptbefehle, die von dem SMS benötigt werden, lediglich Befehle dahingehend, dass ein neues Abonnement gestattet werden soll und dass ein bestehendes Abonnement beendet werden soll (beispielsweise für den Fall einer Nichtzahlung). Durch Minimierung des Befehlsaustauschs zwischen dem SMS und dem SAS wird die Möglichkeit eines Versagens beim Befehltransfer in der Verbindung 3006 zwischen den beiden Systemen verringert: auch das Design des SMS braucht nicht die Merkmale des allgemeinen Systems 3000 für einen bedingten Zugriff zu berücksichtigen.
Die automatische Erneuerung bzw. Verlängerung schreitet in der Weise fort, wie sie in dem Flussdiagramm gemäß der Fig. 7 angedeutet ist. Um die Bandbreite zu verringern und unter der Annahme, dass ein sehr hoher Prozentsatz von sämtlichen Verlängerungen normgemäß sind, schreitet die Erneuerung bzw. Verlängerung in Gruppen von Abonnenten fort; bei den bevorzugten Ausführungsformen gibt es 256 individuelle Abonnenten pro Gruppe. Das Flussdiagramm beginnt mit dem Startschritt 3130 und schreitet fort mit dem Schritt 3132, wo eine monatliche Aktivierung der Verlängerungsfunktion ausgeführt wird (obwohl man natürlich erkennen wird, dass andere Wiederholfrequenzen ebenfalls möglich sind). Bei einer monatlichen Wiederholfrequenz werden dem Endnutzer für den aktuellen Monat und für den gesamten folgenden Monat Rechte verliehen, bei welchem Punkt diese auslaufen, wenn diese nicht erneuert bzw. verlängert werden.
In dem Schritt 3134 wird auf die Abonnenten-Datenbank 3120 in Bezug auf jede Gruppe und jedes Individuum innerhalb dieser Gruppe zugegriffen, um zu bestimmen, ob die Rechte für das bestimmte Individuum zu verlängern sind.
In dem Schritt 3136 wird eine Gruppen-Abonnement-Bitmap in Entsprechung zu den Inhalten der Abonnenten-Datenbank aufgestellt, wie dies in der Fig. 8 gezeigt ist. Die Bitmap umfasst einen Gruppen-Identifizierer (in diesem Fall Gruppe 1 - "G1") 3138 und 256 individuelle Abonnentenzonen 3140. Die individuellen Bits in der Bitmap werden auf 1 oder Null in Entsprechung davon gesetzt, ob die Rechte des speziellen Abonnenten erneuert werden sollen oder nicht. Ein typischer Satz von binären Daten ist in der Figur gezeigt.
In dem Schritt 3142 werden die geeigneten Befehle, einschließlich der Gruppen- Abormement-Bitmap, zu dem Nachrichtenerzeuger 3106 weitergeleitet. In dem Schritt 3143 setzt der Nachrichtenerzeuger ein Auslaufdatum, um der Smartcard dasjenige Datum anzugeben, ab dem die spezielle Abonnenten-EMM nicht mehr gültig ist; typischerweise wird dieses Datum auf das Ende des nächsten Monats gesetzt.
In dem Schritt 3144 erzeugt der Nachrichtenerzeuger aus den Befehlen geeignete Gruppen- Abonnement-EMMs und fragt die Verschlüsselungseinheit 3008 an, die EMMs zu verschlüsseln, wobei die verschlüsselten EMMs zu dem EMM-Einfüger 3300 weitergeleitet werden, der (und zwar in dem Schritt 3146) die EMMs in den MPEG-2-Datenstrom einfügt.
Der Schritt 3148 zeigt an, dass die vorstehend beschriebene Prozedur für jede einzelne Gruppe wiederholt wird. Der Prozess wird schließlich bei dem Abbruchschritt 3150 zu einem Ende gebracht.
Das Flussdiagramm, das vorstehend anhand der Fig. 7 beschrieben wurde, bezieht sich in der Tat speziell auf die Verlängerung von Abonnements. Der STM verwaltet auch in ähnlicher Weise freie Audienzrechte und neue Abonnenten.
Für den Fall von freien Audienzrechten, die für spezielle Fernsehprogramme oder Gruppen von solchen Programmen zur Verfügung stehen, werden diese dadurch zur Verfügung gestellt, dass der STM einen Befehl an den Nachrichtenerzeuger abgibt, um folglich geeignete Audienz-EMMs (für eine gesamte Audienz) mit einem Auslaufdatum einer vorgegebenen Anzahl von Tagen (oder Wochen) abzugeben. Der MG berechnet das präzise Auslaufdatum auf der Grundlage des STM-Befehls.
Für den Fall von neuen Abonnenten werden diese in zwei Stufen behandelt. Zuerst fordert der Abonnent auf Grund des Kaufs der Smartcard in dem Empfänger/Dekoder 2020 (falls dies von dem Betreiber gefordert wird) die freien Rechte für ein vorgegebenes Zeitintervall (typischerweise wenige Tage) an. Dies wird dadurch erreicht, dass eine Bitmap für den Abonnenten erzeugt wird, die das relevante Auslauf bzw Verfallsdatum enthält. Der Abonnent leitet dann seine kompletten Papiere an den Betreiber weiter, der den Abonnenten (bei dem SMS) verwaltet. Sobald die Papierarbeit gemacht worden ist, stellt der SMS dem SAS einen Startbefehl für diesen speziellen Abonnenten zur Verfügung. Auch im Empfang des Startbefehls durch das SAS hin befiehlt der STM dem MG, dem neuen Abonnenten einer eineindeutigen Adresse zuzuordnen (mit einer bestimmten Gruppen-Nummer und -Position innerhalb der Gruppe) und um eine spezielle, so genannte "kommerzielle Angebots"- Abonnenten-EMM zu erzeugen (was im Gegensatz steht zu der gewöhnlicheren "Gruppen"- Abonnenten-EMM, die für Erneuerungen verwendet wird), um den bestimmten Abonnenten mit Rechten bis zum Ende des nächsten Monats zu versorgen. Von diesem Zeitpunkt kann eine Erneuerung bzw. Verlängerung des Abonnenten automatisch wie vorstehend beschrieben erfolgen. Mit Hilfe dieses zweistufigen Prozesses ist es möglich, neuen Abonnenten Rechte zu verleihen, solange bis das SMS einen Abbruchbefehl ausgibt.
Es sei angemerkt, dass die kommerzielle Angebots-Abonnenten-EMM für neue Abonnenten verwendet wird und für eine erneute Aktivierung von bestehenden Abonnenten. Die Gruppen-Abonnenten-EMM wird zur Verlängerung und für Unterbrechungszwecke verwendet.
Unter Bezugnahme auf die Fig. 9 umfasst eine typische eigentliche Abonnenten-EMM, die mit Hilfe der vorgenannten Prozedur (das heißt unter Ignorierung des Headers bzw. Kopfteils und der Signatur) erzeugt worden ist, die folgenden wesentlichen Abschnitte, nämlich typischerweise eine Abonnenten-Bitmap 3152 (oder von einer Abonnentengruppe) von typischerweise 256 Bit, 128 Bits von Verwaltungs-Verschlüsselungsschlüsseln 3154 zum Verschlüsseln der EMM, 64 Bits von jedem Nutzungs-Verschlüsselungsschlüssel 3156, damit die Smartcard 3020 ein Steuer- bzw. Kontrollwort entschlüsseln kann, um für einen Zugriff auf Sendeprogramme zu sorgen, und 16 Bits eines Auslauf bzw. Verfallsdatums 3158, um das Damm anzugeben, ab dem die Smartcard die EMM ignorieren wird. In der Tat werden bei der bevorzugten Ausführungsform drei Nutzungsschlüssel bereitgestellt, wobei der eine für den aktuellen Monat gesetzt ist, einer für den nächsten Monat gesetzt ist und einer zum Zwecke einer Wiederaufnahme für den Fall eines Systemversagens.
Genauer gesagt, besitzt die eigentliche Gruppen-Abonnenten-EMM sämtliche der vorgenannten Komponenten, mit Ausnahme der Verwaltungs-Verschlüsselungsschlüssel 3154. Die eigentliche kommerzielle Angebots-Abonnenten-EMM (die für einen einzelnen Abonnenten gedacht ist) beinhaltet stattdessen die vollständige Gruppen-Bitmap 3152 des Abonnenten, wobei der Gruppen-ID der Position in der Gruppe folgt und dann Verwaltungs- Verschlüsselungsschlüssel 3154 und drei Nutzungsschlüssel 3156, gefolgt von dem relevanten Auslauf bzw. Verfallsdatum 3158.
Der Nachrichtenerzeuger 3106 dient dazu, Befehle umzuwandeln, die von dem SDM-Server 3104 ausgegeben werden, und zwar in EMMs, um diese zu dem Nachrichtensender 3302 durchzulassen. Unter Bezugnahme auf die Fig. 5 erzeugt der MG zuerst die eigentlichen EMMs und lässt diese zu der Verschlüsselungseinheit 3008 zur Verschlüsselung in Bezug auf die Verwaltungs- und Nutzungsschlüssel durch. Die CU vervollständigt die Signatur 3064 auf der EMM (siehe Fig. 3) und lässt die EMM zurück zu dem MG, wo der Header 3060 hinzugefügt wird. Die EMMs, die zu dem Nachrichtensender durchgelassen werden, sind somit vollständige EMMs. Der Nachrichtenerzeuger bestimmt auch den Startzeitpunkt des Sendens und die Abbruchzeit sowie die Rate bzw. Frequenz des Sendevorgangs für die EMMs und lässt diese in Form von geeigneten Richtungen gemeinsam mit den EMMs zu dem Nachrichtensender durch. Der MG erzeugt nur einmal eine vorgegebene EMM; es ist die ME, die ihr periodisches Senden ausführt.
Wiederum bezugnehmend auf die Fig. 5, beinhaltet der Nachrichtenerzeuger seine eigene EMM-Datenbank 3160, die für die Lebensdauer der relevanten EMM diese speichert. Diese wird gelöscht, sobald die Sendedauer abgelaufen ist. Die Datenbank wird dazu verwendet, um eine Konsistenz zwischen der MG und der ME sicherzustellen, so dass beispielsweise dann, wenn ein Endnutzer suspendiert wird, der ME nicht damit fortfahren wird, Erneuerungen zu senden. In diesem Zusammenhang berechnet der MG die relevanten Operationen und sendet diese zu dem ME.
Auf die Erzeugung einer EMM hin ordnet der MG einen eineindeutigen Identifizierer der EMM zu. Wenn der MG die EMM zu dem ME durchlässt, lässt dieser auch die EMM-ID durch. Dies ermöglicht, dass eine Identifizierung einer speziellen EMM sowohl bei dem MG als auch bei dem ME ausgeführt werden kann.
Auch was den Abonnenten-Kettenbereich anbelangt, enthält der Nachrichterzeuger zwei FIFOs 3162 und 3164, und zwar einen für jeden der relevanten Nachrichtensender 3302 und 3304 in dem EMM-Einfüger 3300, um die verschlüsselten EMMs zu speichern. Weil der Abonnenten-Kettenbereich und der EMM-Einfüger erheblich zueinander beabstandet sein können, kann die Verwendung von FIFOs eine vollständige Kontinuität beim Senden von EMMs selbst dann ermöglichen, falls die Verbindungen 3166 und 3168 zwischen den beiden Elementen versagen. In ähnlicher Weise sind FIFOs in dem Pay-Per-View- Kettenbereich vorgesehen.
Ein besonderes Merkmal des Nachrichtenerzeugers speziell und des Systems für einen bedingten Zugriff im Allgemeinen betrifft die Art und Weise, wie dieses die Länge der eigentlichen EMM 3062 durch Mischen der Parameterlänge und des Identifizierers reduziert, um Platz zu sparen. Dies wird nun unter Bezugnahme auf die Fig. 10 beschrieben werden, die eine beispielhafte EMM darstellt (in der Tat eine P·PV-EMM, die die einfachste EMM ist). Die Reduktion in der Länge erfolgt in dem Pid (Paket- bzw. "Parameter"-Identifizierer) 3170. Dieser umfasst zwei Abschnitte, nämlich die tatsächliche ID 3172 und den Längenparameter für das Paket 3174 (das benötigt wird, damit der Beginn des nächsten Pakets identifiziert werden kann). Die gesamte Pid wird in nur einem Informations-Byte ausgedrückt, wobei 4 Bits für die ID reserviert sind und 4 für die Länge. Weil 4 Bits nicht ausreichen, um die Länge in einer echt binären Weise zu definieren, wird eine unterschiedliche Abhängigkeit zwischen den Bits und der Akt der tatsächlichen Länge verwendet, wobei diese Abhängigkeit in einer Nachschlagetabelle dargestellt ist, die in dem Speicherbereich 3178 in dem Nachrichtenerzeuger (siehe Fig. 5) gespeichert ist. Die Abhängigkeit lautet typischerweise wie folgt:
0000 = 0
0001 = 1
0010 = 2
0011 = 3
0100 = 4
0101 = 5
0110 = 6
0111 = 7
1000 = 8
1001 = 9
1010 = 10
1011 = 11
1100 = 12
1101 = 16
1110 = 24
1111 = 32
Man wird erkennen, dass der Längenparameter nicht direkt proportional zu der tatsächlichen Länge des Pakets ist; die Beziehung ist teilweise eher quadratisch als linear. Dies ermöglicht einen größeren Bereich für die Paketlänge.

Pay-Per-View-Kettenbereich

Was den Pay-Per-View-Kettenbereich 3200 anbelangt, so weist dieser unter Bezugnahme auf die Fig. 5 genauer gesagt den Autorisierungs-Server 3202 als ihren Client des zentralisierten Bestellungs-Servers 3207 auf, der Information über jeden Abonnenten anfordert, welcher die Übertragungs-Server 3022 verbindet, um ein PPV-Produkt zu erwerben.
Falls der Abonnent dem AS 3202 bekannt ist, findet ein Satz von Transaktionen statt. Falls der Abonnent für die Bestellung autorisiert ist, erzeugt der AS eine Rechnung und sendet diese an den ECS. Ansonsten signalisiert dieser dem OCS, dass die Bestellung nicht autorisiert ist.
Lediglich bei dem Ende dieses Satzes von Transaktionen aktualisiert der AS die Endnutzer- Datenbank 3204 über die Datenbank-Server (DBAS) 3206, falls zumindest eine Transaktion autorisiert war; dies optimiert die Anzahl von Zugriffen auf die Datenbank.
Die Kriterien, gemäß denen der AS einen Kauf autorisiert, sind in der Datenbank gespeichert, auf die über DBAS-Prozesse zugegriffen wird. In einer Ausführungsform ist die Datenbank dieselbe wie die Datenbank, auf die der STM zugreift.
In Abhängigkeit von dem Konsumentenprofil kann die Autorisierung verweigert werden (PPV_Forbidden, Casino_Forbidden...). Diese Art von Kriterien werden von dem STM 3104 aktualisiert, und zwar auf Befehl des SMS 3004.
Andere Parameter werden überprüft, beispielsweise Beschränkungen, die für einen Kauf möglich sind (entweder auf Grund der Kreditkarte, einer automatischen Bezahlung oder einer Anzahl von autorisierten Token-Käufen pro Tag).
Für den Fall einer Bezahlung mit einer Kreditkarte wird die Nummer der Karte mit einer lokalen Schwarzliste verglichen, die in der lokalen Schwarzlisten-Datenbank 3205 gespeichert ist.
Wenn sämtliche der Verifikationsvorgänge erfolgreich sind, führt der AS aus:
1. er erzeugt eine Rechung und sendet diese an den OCS, der diese Rechnung vervollständigt und diese in einer Datei abspeichert, wobei diese Datei später zu dem SMS zur Weiterverarbeitung (bei der der Kunde tatsächlich belastet wird) gesendet wird; und
2. er aktualisiert die Datenbank, hauptsächlich zu dem Zweck, um neue Kauflimite zu setzen.
Dieser Mechanismus mit den Schritten Prüfen-und-Erzeugen-Rechnung-falls-OK gilt für jeden Befehl, den ein Abonnent während einer einzigen Verbindung abfragen bzw. anfordern kann (es ist möglich, beispielsweise 5 Spielfilme in einer einzigen Sitzung zu bestellen).
Es sei angemerkt, dass dem AS eine reduzierte Menge an Information zur Verfügung steht, die den Abonnenten betrifft, als im Vergleich zu derjenigen, die dem SMS zur Verfügung steht. Beispielsweise bewahrt der AS nicht den Namen oder die Adresse des Abonnenten auf. Auf der anderen Seite hält der AS die Smartcard-Nummer des Abonnenten, die Kundenkategorie des Abonnenten (so dass unterschiedlichen Abonnenten unterschiedliche Angebote gemacht werden können) und verschiedene Kennbits bzw. Flags, die angeben, ob der Abonnent beispielsweise auf Kredit kaufen kann oder ob dieser suspendiert ist oder ob dessen Smartcard gestohlen worden ist. Die Verwendung einer reduzierten Menge an Information kann dabei helfen, die Menge an Zeit zu verringern, die benötigt wird, um eine spezielle Abonnentenanforderung zu autorisieren.
Der Hauptzweck der DBASs 3206 besteht darin, die Leistungsfähigkeit der Datenbank aus dem Blickwinkel des AS zu erhöhen, indem die Zugriffe parallelisiert werden (somit macht es tatsächlich nicht viel Sinn, eine Konfiguration mit nur einem DBAS zu definieren). Ein AS-Parameter legt fest, wie viele DBASs verbunden werden sollten. Eine vorgegebene DBAS kann mit nur einem AS verbunden sein.
Der OCS 2307 behandelt hauptsächlich PPV-Befehle. Er arbeitet in unterschiedlichen Betriebsarten.
Erstens arbeitet dieser, um Befehle zu verarbeiten, die von dem SMS ausgegeben werden, beispielsweise eine Produkterneuerung (beispielsweise, wenn die Rechnung bereits auf dem SMS abgespeichert ist, wird von dem OCS keine Rechnung erzeugt), eine Aktualisierung der Geldbeutelfunktion in der Smartcard 3020 und der Abbruch/die Aktualisierung der Sitzung.
Die verschiedenen Schritte in der Prozedur sind wie folgt:
1. Identifizieren des relevanten Abonnenten (unter Verwendung des AS 3202);
2. falls gültig bzw. zulässig, Erzeugen von angemessenen Befehlen an den Nachrichtenerzeuger, um eine geeignete EMM zu senden. Befehle können sein:
Produktbefehle,
Aktualisierung des Geldbeutels bzw. wallet,
Löschen der Sitzung.
Man beachte, dass diese Operationen nicht die Erzeugung einer Rechnungsinformation implizieren, weil ein Abrechnungsvorgang bereits von dem SMS bekannt ist. Diese Operationen werden an den Kauf von "freien Produkten" angepasst.
Zweitens behandelt der OCS Befehle, die von den Abonnenten über die Übertragungs- Server 3022 empfangen werden. Diese können entweder über ein Modem empfangen werden, das mit dem Empfänger/Dekoder 2020 verbunden ist, oder durch Sprachaktivierung über das Telefon 4001 oder durch Betätigung einer Taste über MINITEL, PRESTEL oder ein vergleichbares System, wo dies zur Verfügung steht.
Drittens behandelt der OCS Callback-Anforderungen, die von dem SMS ausgegeben werden. Die letzten beiden Betriebsarten werden nun ausführlicher diskutiert.
In der zweiten Betriebsart, die vorstehend beschrieben wurde, wurde ausgeführt, dass der OCS Befehle behandelt, die direkt von dem Endnutzer (Abonnenten) über die Kommunikations-Server 3022 empfangen werden. Diese enthalten Produktbestellungen (beispielsweise für ein bestimmtes FPV-Ereignis, eine Abonnement-Modifikation, die von dem Abonnenten angeordert wird, und ein Zurücksetzen eines Eltern-Kodes (wobei ein Eltern-Kode ein Kode ist, mit dessen Hilfe Eltern die Zugriffsrechte auf bestimmte Programme oder Klassen von Programmen einschränken können).
Die Art und Weise, auf welche diese Befehle abgearbeitet werden, wird nun ausführlicher unter Bezugnahme auf die Fig. 11 beschrieben.
Produktbestellungen durch einen Abonnenten involvieren die folgenden Schritte:
1. mit Hilfe des AS den Anrufer identifizieren, der über das CS 3022 einen Anruf ausführt, um ein bestimmtes Produkt zu bestellen;
2. Überprüfen der Gültigkeit der Bestellung des Anrufers, wiederum unter Verwendung des AS (wobei die Bestellung unter Verwendung des Empfängers/Dekoders 2020 platziert wird, wobei dies durch Verifizieren der Einzelheiten der Smartcard 3020 erzielt wird);
3. den Preis des Kaufs bestätigen;
4. Überprüfen, dass der Preis nicht den Kreditrahmen etc. des Anrufers überschreitet;
5. eine Teilrechnung von dem AS empfangen;
6. das Ausfüllen von zusätzlichen Feldern in der Rechnung, um eine vollständige Rechnung zu bilden;
7. Hinzufügen der vervollständigten Rechnung zu einer Belastungsinformations- Speicherdatei 3212 für eine spätere Verarbeitung: und
8. Senden eines entsprechenden oder von entsprechenden Befehlen an den PPV- Nachrichtenerzeuger 3210, um die relevanten EMM(s) zu erzeugen.
Die EMM(s) wird entweder auf der Modemleitung 4002 gesendet, falls der Konsument die Produktbestellung unter Verwendung des Empfängers/Dekoders 2020 platziert (genauere Einzelheiten von diesem Vorgang werden später beschrieben) oder ansonsten werden diese gesendet. Die eine Ausnahme hiervon liegt vor, wenn ein gewisser Fehler der Modemverbindung vorliegt (für den Fall dass der Konsument die Bestellung unter Verwendung des Empfängers/Dekoders platziert); wobei in diesem Fall, die EMM über die Luft gesendet wird.
Eine Abonnement-Modifikation, die von einem Abonnenten angefordert wird, beinhaltet:
1. eine Identifizierung des Anrufenden bzw. Anfragers (unter Verwendung des AS);
2. das Senden von Information an die Befehls-Schnittstelle; die CI leitet diese Information ihrerseits an das SMS weiter; und
3. über die CI empfängt der OCS dann eine Antwort von dem SMS (hinsichtlich der Kosten der Modifikation, falls die Modifikation möglich ist).
Falls eine Modifikation unter Verwendung des Empfangers/Dekoders angefordert wird, erzeugt das OCS eine Bestätigung für das SMS. Ansonsten wird beispielsweise für den Fall eines Telefons oder MINITEL der Abonnent zu einer Bestätigung aufgefordert und diese Antwort wird dann über das OCS und die CI an das SMS gesendet.
Ein Zurücksetzen eines Eltern-Kodes beinhaltet:
1. ein Identifizieren des Anrufers bzw. Anfordernden (unter Verwendung des AS); und
2. ein Senden eines Befehls an den MG, um eine geeignete EMM zu erzeugen, die ein geeignetes Rücksetz-Passwort enthält.
Für den Fall des Rücksetzens eines Eltern-Kodes wird es aus Sicherheitsgründen nicht zugelassen, dass der Befehl zum Zurücksetzen des Kodes von dem Empfanger/Dekoder stammt. Nur das SMS, das Telefon und das MINITEL oder dergleichen kann einen solchen Befehl erzeugen. Folglich werden in diesem speziellen Fall die EMM(s) nur über die Luft und niemals über die Telefonleitung übertragen.
Wie man anhand der vorgenannten Beispiele für verschiedene Betriebsarten des OCS verstehen wird, kann der Nutzer einen direkten Zugriff auf das SAS haben, und sind insbesondere das OCS und das AS, in welchen die Übertragungs-Server direkt mit dem SAS verbunden sind und insbesondere mit dem OCS. Dieses wchtige Merkmal betrifft die Verringerung der Zeit für den Nutzer, um seinen Befehl an das SAS zu übermitteln.
Dieses Merkmal wird weiterhin unter Bezugnahme auf die Fig. 12 dargestellt, aus der man ersehen kann, dass die Set-Top-Box des Endnutzers und insbesondere deren Empfänger/Dekoder 2020 die Fähigkeit hat, unmittelbar mit den Übertragungs-Servern 3022 zu kommunizieren, die dem SAS 3002 zugeordnet sind. Anstatt, dass die Verbindung von dem Endnutzer zu den Übertragungs-Servern 3022 des SAS 3002 über das SMS 3004 bewerkstelligt wird, ist die Verbindung mit dem SAS 3002 direkt.
In der Tat, wie unmittelbar ausgeführt, sind zwei Direktverbindungen vorgesehen.
Die erste direkte Verbindung erfolgt über eine Sprachverbindung über ein Telefon 4001 und eine geeignete Telefonleitung (und/oder mit Hilfe eines MINITEL oder einer vergleichbaren Verbindung, falls diese zur Verfügung steht), wo die Endnutzer noch eine Reihe von Sprachbefehlen oder Kodezahlen eingeben müssen, wo jedoch im Vergleich zu der Übertragung über das SMS 3004 Zeit gespart wird.
Die zweite direkte Verbindung erfolgt von dem Empfänger/Dekoder 2020 und die Eingabe von Daten wird automatisch dadurch bewerkstelligt, dass der Endnutzer seine Tochter- Smartcard 3020 einführt, was den Endnutzer von der Aufgabe befreit, die relevanten Daten eingeben zu müssen, was seinerseits die Zeit verringert, die erforderlich ist, sowie die Wahrscheinlichkeit von Fehlern bei der Eingabe.
Ein weiteres wichtiges Merkmal, das sich aus der vorstehenden Diskussion ergibt, betrifft die Reduzierung der Zeit, die dafür erforderlich ist, damit EMM an den Endnutzer übermittelt wird, um eine Betrachtung des von dem Endnutzer ausgewählten Produkts zu ermöglichen.
Ganz allgemein gesprochen, unter Bezugnahme auf die Fig. 12, wird das Merkmal wiederum dadurch bewerkstelligt, dass der Empfänger/Dekoder 2020 des Endnutzers mit der Fähigkeit versehen wird, direkt mit den Übertragungs-Servern 3022 zu kommunizieren, die dem SAS 3002 zugeordnet sind.
Wie früher beschrieben wurde, ist der integrierte Empfänger/Dekoder 2020 direkt mit den Übertragungs-Servern 3022 über den mit einem Modem versehenen Rückkanal 4002 verbunden, so dass viele von dem Dekoder 2020 von dem SAS 3002 verarbeitet werden, Nachrichten erzeugt werden (einschließlich von EMMs) und dann direkt an den Dekoder 2020 über den Rückkanal 4002 gesendet werden. Ein Protokoll wird bei der Übertragung zwischen dem CS 3022 und dem Empfänger/Dekoder 2020 verwendet (was später beschrieben wird), so dass das CS eine Bestätigung des Empfangs der relevanten EMM empfängt, um so der Prozedur eine Sicherheit hinzuzufügen.
Somit empfängt für den Fall einer Vorausbuchungs-Betriebsart das SAS 3002 Nachrichten von dem Endnutzer über die Smartcard und den Nutzer 2020 über dessen Modem sowie über die Telefonleitung 4002, wobei ein Zugriff auf ein spezielles Ereignis/Produkt angefordert wird, und wird eine geeignete EMM über die Telefonleitung 4002 zurückgegeben sowie über das Modem, und zwar an den Dekoder 2020, wobei das Modem und der Dekoder vorzugsweise gemeinsam in der Set-Top-Box (STB) lokalisiert sind. Dies wird somit erzielt, ohne dass die EMM in dem MPEG-2-Datenstrom 2002 über den Multiplexer und den Scrambler 2004, die Aufwärtsstrecke 2012, den Satelliten 2014 und die Datenverbindung 2016 gesendet werden müssen, um zu ermöglichen, das der Endnutzer das Ereignis/Produkt betrachten kann. Dies kann in erheblichem Umfang Zeit und Bandbreite sparen. Eine virtuelle Sicherheit wird bereitgestellt, sobald der Abonnent für seine Erwerbung gezahlt hat, weil die EMM bei dem Empfänger/Dekoder 2020 ankommen wird.
Bei der dritten Betriebsart des OCS 3207, wie sie vorstehend beschrieben wurde, handhabt das OCS Callback-Anforderungen, die von dem SAS ausgegeben werden. Dies ist unter Bezugnahme auf die Fig. 13 dargestellt. Typische Callback-Anforderungen bzw. Rückruf- Anforderungen haben den Zweck, sicherzustellen, dass der Empfänger/Dekoder 2020 das SAS über den mit einem Modem versehenen Rückkanal 4002 zurückruft, und zwar mit der Information, die das SAS des Empfängers/Dekoders benötigt.
So wie er von der Befehls-Schnittstelle 3102 instruiert wird, erzeugt der Abonnenten- Ketten-Nachrichtenerzeuger 3106 eine Callback-EMM und sendet diese an den Empfänger/Dekoder 202. Diese EMM wird von der Verschlüsselungseinheit 3008 aus Sicherheitsgründen verschlüsselt. Die EMM kann die Zeit/das Datum enthalten, zu der der Empfänger/Dekoder aufwachen und von sich aus einen Rückruf ausführen sollte, ohne dazu explizit aufgefordert zu werden; die EMM kann auch typischerweise die Telefonnummern enthalten, die das Terminal anwählen muss, die Anzahl von weiteren Versuchen nach nicht erfolgreichen Anrufen sowie die Verzögerung zwischen zwei Anrufen.
Wenn er die EMM empfängt oder zu der spezifizierten Zeit bzw. dem spezifizierten Datum, verbindet der Empfänger/Dekoder mit den Übertragungs-Servern 3022. Das OCS 3207 identifiziert zunächst den Anrufer, und zwar unter Verwendung des AS 3202, und verifiziert gewisse Details, wie beispielsweise die Smartcard des Betreibers und die Einzelheiten des Nutzers. Das OCS fragt dann die Smartcard 3020 an, verschiedene verschlüsselte Information zu senden (wie beispielsweise die relevanten Sitzungsnummern, wenn die Sitzung überwacht wird, wie oft der Abonnent die Sitzung erneut ansehen darf, die Art und Weise, in der die Sitzung betrachtet wird, die Anzahl von verbleilbenden Tokens, die Anzahl von im Voraus gebuchten Sitzungen etc.). Diese Information wird von dem PPV-Ketten- Nachrichtenerzeuger 3210 entschlüsselt, und zwar wiederum unter Verwendung der Verschlüsselungseinheit 3008. Das OCS fügt diese Information zu einer Callback-Informations- Speicherdatei 3214 zur späteren Verarbeitung hinzu und leitet diese an das SMS 3004 weiter. Die Information ist aus Sicherheitsgründen verschlüsselt. Die gesamte Prozedur wird solange wiederholt, bis nichts weiter aus der Smartcard auszulesen ist.
Ein besonders bevorzugtes Merkmal der Callback-Möglichkeit besteht darin, dass vor einem Auslesen der Smartcard (und somit unmittelbar nach der Identifizierung des Anrufers unter Verwendung des AS 3202, wie vorstehend beschreiben) von dem SAS 3002 eine Überprüfung dahingehend ausgeführt wird, dass der Empfänger/Dekoder in der Tat eine autorisierte und nicht eine geraubte Version oder eine Computersimulation ist. Eine solche Überprüfung wird in der folgenden Weise ausgeführt. Das SAS erzeugt eine Zufallszahl, die von dem Empfänger/Dekoder empfangen wird, entschlüsselt wird und dann dem SAS zurückgegeben wird. Das SAS entschlüsselt diese Zahl. Falls die Entschlüsselung erfolgreich war und die ursprüngliche Zufallszahl wieder hergestellt wird, wird daraus geschlossen, dass der Empfänger/Dekoder autorisiert ist und fährt die Prozedur fort. Ansonsten wird die Prozedur abgebrochen.
Andere Funktionen, die während des Rückrufs auftreten können, sind ein Löschen von überflüssigen Sitzungen auf der Smartcard oder das Auffüllen der Geldbörse (dieses letztgenannte Merkmal wird später nachfolgend in dem Abschnitt mit dem Titel "Smartcard" beschrieben werden).
Auch was den Pay-Per-View-Kettenbereich 3200 anbelangt, wird nun eine Beschreibung der Übertragungs-Server 3022 erfolgen. Auf der Hardwareebene umfasst diese bei der bevorzugten Ausführungsform eine DEC-Prozessormaschine mit vier parallelen Prozessoren. Auf der Ebene der Software-Architektur, unter Bezugnahme auf die Fig. 14, sind die Übertragungs-Server in vielerlei Hinsicht herkömmlich. Eine besondere Abweichung zu herkömmlichen Designs rührt von der Tatsache her, dass die Server sowohl Empfänger/Dekoder 2020 als auch eine Sprachübertragung mit herkömmlichen Telefonen 4001 und möglicherweise auch in Form eines MINITEL oder ähnlichen Systemen bedienen müssen.
Es sei angemerkt, dass beim Durchlassen zu den zwei zentralisierten Bestellungs-Servern 3207, wie diese in der Fig. 14 gezeigt sind (als "OCS1" und "OCS2" bezeichnet). Natürlich kann irgendeine gewünschte Anzahl bereitgestellt werden.
Die Übertragungs-Server enthalten zwei Haupt-Server ("CS1" und "CS2") und auch eine Anzahl von Front-Servern ("Frontall" und "Frontal2"); während zwei Front-Server in der Figur gezeigt sind, können typischerweise 10 oder 12 hro Haupt-Server bereitgestellt sein. In der Tat ist es so, dass, obwohl zwei Haupt-Server CS1 und CS2 sowie zwei Front- Server, nämlich Frontall und Frontal2, dargestellt sind, irgendeine beliebige Anzahl verwendet werden könnte. Eine gewisse Redundanz ist üblicherweise erwünscht.
CS1 und CS2 sind mit OCS1 und OC52 über Hochebenen-TCP/IP-Verbindungen 3230 verbunden, während CS1 und CS2 mit Frontall und Frontal2 über weitere TCP/IP- Verbindungen 3232 verbunden sind.
Wie dargestellt ist, umfassen CS1 und CS2 Server zum "SENDEN" (Übermittlung), "EMPFANGEN" (Empfang), "VTX" (MINITAL, PFLESTEL oder dergleichen), "VOX" (Sprachübertragung) und "TRM" (Übermittlung mit Hilfe des Empfängers/Dekoders). Diese sind mit dem "BUS" zur Übertragung von Signalen an die Front-Server verbunden.
CS1 und CS2 kommunizieren direkt mit den Empfängern/Dekodern 2020 über deren mit einem Modem versehene Rückkanäle 4002 unter Verwendung des X25-Public-Network- Common-Protokolls. Das auf vergleichsweise niedriger Ebene angesiedelte Protokoll zwischen den Übertragungs-Servern 3022 und den Empfängern/Dekodern 3020 ist bei einer bevorzugten Ausführungsform auf der Grundlage des V42-Standard-International-CCITT- Protokolls realisiert, das für eine Zuverlässigkeit sorgt, weil es eine Fehlerdetektion und die Fähigkeit zu erneuten Datenübertragung aufweist und weil es eine Prüfsummenroutine verwendet, um die Integrität der erneuten Übermittlung zu überprüfen. Ein Escape- bzw. Ausstiegsmechanismus ist ebenfalls vorgesehen, um eine Übertragung von nicht zulässigen Zeichen zu verhindern.
Auf der anderen Seite wird eine Telefonübertragung von Sprache über die Frontal- Kommunikations-Server ausgeführt, von denen jeder in der Lage ist, sagen wir 30 gleichzeitige Sprachverbindungen von der Verbindung 3234 zu dem lokalen Telefonnetzwerk über die Hochgeschwindigkeits-"T2"-(E1)-Standard-Telefon-1SDN-Leitungen auszuwählen.
Drei spezielle Funktionen des Software-Abschnitts der Übertragungs-Server (die natürlich alternativ vollständig in Form von Hardware realisiert werden könnten) bestehen darin, dass erstens das auf vergleichsweise niedriger Ebene angesiedelte Protokoll Information umwandelt, die von dem Empfänger/Dekoder empfangen wird, und zwar in die auf vergleichsweise hoher Ebene angesiedelte Protokollinformation, die an das OCS ausgegeben wird, dass zweitens die Anzahl von gleichzeitig stattfindenden Verbindungen verringert oder gesteuert wird, die gerade ausgeführt werden, und dass drittens für mehrere gleichzeitige Kanäle gesorgt wird, ohne dass diese miteinander vermischt werden. Zu dem letztgenannten Zwecke spielen die Übertragungs-Server die Rolle einer Art von Multiplexer, wobei die Interaktionen in einem bestimmten Kanal durch eine vorgegebene Sitzungs-ID (Identifizierer) definiert sind, die in der Tat in der gesamten Kommunikationskette verwendet wird.
Was schließlich den Pay-Per-View-Kettenbereich 3200 anbelangt, und unter Bezugnahme erneut auf die Fig. 5, ist der Server zum Programm-Senden (SPB; Server for Programme Broadcast) 3208 mit einem oder mehreren Programmsendern 3250 verbunden (die typischerweise entfernt von dem SAS angeordnet sind), um Programminformation zu empfangen. Der SPB filtert zur weiteren Verwendung Information heraus, die PPV-Ereignissen (-Sitzungen) entspricht.
Ein besonders wichtiges Merkmal besteht darin, dass die gefilterte Programmereignis- Information von dem SPB zu dem MG durchgelassen wird, der seinerseits eine Anweisung (Steuer- bzw. Kontrollbefehl) an das ME sendet, um die Wiederholfrequenz des periodischen Sendens der EMMs unter gewissen Umständen zu verändern; dies wird dadurch bewerkstelligt, dass das ME sämtliche EMMs mit der relevanten Sitzungs-Identifizierungs- Information herausfindet und die Wiederholfrequenz, die zugeordnet ist, auf solche EMMs ändert. Dieses Merkmal könnte so angedacht sein, dass es eine dynamische Zuordnung von Bandbreite für spezielle EMMs beinhaltet. Eine periodische EMM-Versendung wird ausführlicher in dem nachfolgenden Abschnitt diskutiert werden, der den EMM-Einfüger betrifft.
Die Umstände, unter denen die Wiederholfrequenz geändert wird, werden nun unter Bezugnahme auf die Fig. 15 beschrieben werden, die darstellt, wie eine Wiederholfrequenz 3252 für eine kurze Zeit lang erhöht wird (sagen wir für 10 Minuten), bevor ein spezielles PPV- Programmereignis stattfindet, und zwar bis zum Ende des Ereignisses von einer niedrigen Wiederholfrequenz von sagen wir alle 30 Minuten auf eine hohe Wiederholfrequenz von sagen wir einmal pro 30 Sekunden bis 1 Minute, um der vorhergesehenen zusätzlichen Nutzernachfrage nach PPV-Ereignissen zu diesen Zeitpunkten Rechnung zu tragen. Auf diese Weise kann Bandbreite dynamisch entsprechend der vorhergesehenen Nutzernachfrage zugeordnet werden. Dies kann dabei behilflich sein, die Anforderungen an die Gesamtbandbreite zu verringern.
Die Wiederholfrequenz für andere EMMs kann ebenfalls variiert werden. Beispielsweise kann die Wiederholfrequenz von Abonnenten-EMMs mit Hilfe des Multiplexers und Scramblers 2004 variiert werden, der die geeignete Bitraten-Anweisung sendet.

EMM-Einfüger

Was den EMM-Einfüger 3300 anbelangt, so werden nun unter Bezugnahme auf die Fig. 16 Einzelheiten der Nachrichtensender 3302 bis 3308 beschrieben werden, die einen Teil des EMM-Einfügers bilden und als Ausgabemittel für den Nachrichtenerzeuger dienen. Deren Funktion besteht darin, die EMMs zu nehmen und diese periodisch (in der Art eines Karussells) über jeweilige Verbindungen 3314 und 3316 an die Software-Multiplexer 3310 und 3312 durchzulassen und diese dann an die Hardware-Multiplexer und -Scrambler 2004 durchzulassen. Ihrerseits erzeugen die Software-Multiplexer und -Scrambler 2004 eine globale Bitraten-Anweisung, um die gesamte Wiederholfrequenz der EMMs zu steuern; um dies zu bewerkstelligen, nehmen die MEs verschiedene Parameter in Betracht, beispielsweise die Periodenzeit, die Größe einer EMM usw. In der Figur sind EMM_X und EMM_Y Gruppen-EMMs für Operatoren X und Y, während EMM_Z andere EMMs für entweder den Operator X oder den Operator Y sind.
Die weitere Beschreibung schreitet fort mit einem Beispiel für Nachrichtensender; man wird erkennen, dass die verbleibenden MEs in ähnlicher Weise arbeiten. Der ME arbeitet unter Steuerung von Anweisungen von dem MG, insbesondere dem Sendebeginn und der Abbruchzeit und der Senderate, und auch der Sitzungsnummer, falls die EMM eine PPV- EMM ist. Was die Sendefrequenz anbelangt, so berücksichtigt bei der bevorzugten Ausführungsform die relevante Anweisung einen von fünf Werten von sehr schnell bis sehr langsam. Die nummerischen Werte sind in der Anweisung nicht spezifiziert, vielmehr bildet die ME die Anweisung auf einen aktuellen nummerischen Wert ab, der von dem relevanten Teil des SAS bereitgestellt wird. Bei der bevorzugten Ausführungsform sind die fünf Sendefrequenzen wie folgt:
Der ME hat erste und zweite Datenbanken 3320 und 3322. Die erste Datenbank ist für diejenigen EMMs, die ihr Sendedatum noch nicht erreicht haben; diese sind in einer Reihe von chronologischen Dateien in der Datenbank gespeichert. Die zweite Datenbank ist für EMMs zum unmittelbaren Senden bestimmt. Im Falle eines System-Crashs ist die ME ausgelegt, um die Fähigkeit zu besitzen, die relevante gespeicherte Datei erneut auszulesen und einen korrekten Sendevorgang auszuführen. Sämtliche der in den Datenbanken gespeicherten Dateien werden auf Anfrage von dem MG aktualisiert, wenn der MG wünscht, dass eine Konsistenz zwischen einlaufenden Anwendungen und EMMs aufrecht erhalten werden soll, die bereits an dem ME gesendet worden sind. Die tatsächlich gesendeten EMMs werden ebenfalls in dem Direktzugriffsspeicher 3324 gespeichert.
Eine Kombination der FIFOs 3162 und 3164 in dem Nachrichtenerzeuger und der Datenbanken 3320 und 3322 in dem Nachrichtensender bedeutet, dass die beiden in einer autonomen Betriebsart betrieben werden können, falls die Verbindung 3166 zwischen diesen vorübergehend unterbrochen ist. Der ME kann weiterhin EMMs senden.
Die Software-Multiplexer (SMUX) 3310 und 3312 sorgen für eine Schnittstelle zwischen den MEs und den Hardware-Multiplexern 2004. Bei der bevorzugten Ausführungsform empfangen diese jeweils EMMs von den beiden MEs, obwohl im Allgemeinen es keine Beschränkung hinsichtlich der Anzahl von MEs gibt, die mit einem SMUX verbunden sein können. Die SMUXs konzentrieren die EMMs und leiten diese entsprechend der EMM-Art an den geeigneten Hardware-Multiplexer weiter. Dies ist erforderlich, weil die Hardware- Multiplexer die verschiedenen Arten von EMMs heranziehen und diese an verschiedenen Stellen in dem MPEG-2-Strom ablegen. Die SMUXs leiten auch die globalen Bitraten- Anweisungen von den Hardware-Multiplexern an die MEs weiter.
Ein besonders wichtiges Merkmal des ME besteht darin, dass dieser EMMs in zufälliger Reihenfolge sendet. Der Grund dafür ist wie folgt. Der Nachrichtensender hat nicht die Fähigkeit, zu detektieren oder zu steuern, was dieser an den Multiplexer sendet. Folglich kann es passieren, dass diese zwei EMMs senden, die von dem Empfänger/Dekoder 2020 Rücken an Rücken empfangen und dekodiert werden. Unter solchen Umständen kann es außerdem passieren, dass dann, falls die EMMs nicht ausreichend voneinander getrennt sind, der Empfänger/Dekoder und die Smartcard nicht in der Lage sein werden, die zweite der EMMs geeignet zu detektieren und zu entschlüsseln. Ein periodisches Senden der EMMs in einer zufälligen Reihenfolge kann dieses Problem beheben.
Die Art und Weise, auf die eine Randomisierung bzw. ein Senden unter Verwendung eines Zufallsgenerators bewerkstelligt wird, wird nun unter Bezugnahme auf die Fig. 17 beschrieben werden. Bei der bevorzugten Ausführungsform ist die notwendige Softwarelogik in der Computersprache ADA realisiert. Ein besonders wichtiger Teil der Randomisierung besteht darin, den Speicherplatz der EMMs in den Datenbanken 3320 und 3322 zu korrigieren (die für Backup-Zwecke bzw. Dateisicherungszwecke verwendet werden) sowie in dem RAM 3324. Für eine spezielle Wiederholrate und einen speziellen Betreiber werden die EMMs in einem zweidimensionalen Array gespeichert, und zwar unter Verwendung des Rangs 3330 (der, sagen wir von A bis Z, geht) und einer Zahl in dem Rang 3332 (die sagen wir von 0 bis N geht). Eine dritte Dimension wird von der Wiederholfrequenz 3334 hinzugefügt; so dass es so viele zweidimensionale Arrays gibt, wie es Wiederholfrequenzen gibt. Bei der bevorzugten Ausführungsform gibt es 256 Ränge und typischerweise 200 oder 300 EMMs in jedem Rang; es gibt 5 Wiederholfrequenzen. Eine schlussendliche Dimension wird dem Array auf Grund des Vorhandenseins von unterschiedlichen Operatoren hinzugefügt; es kann so viele dreidimensionale Arrays geben, wie es Operatoren gibt. Ein Abspeichern der Daten auf diese Weise kann einen raschen Zugriff für den Fall ermöglichen, dass der MG eine spezielle EMM löschen will.
Beim Abspeichern der EMMs findet entsprechend dem "Hash"-Algorithmus bzw. Prüfsummen-Algorithmus statt (der ansonsten als die "Einrichtungs-Hash-Funktion" bekannt ist). Dieser arbeitet auf der Grundlage eines Modulusansatzes, so dass aufeinander folgende Ränge aufgefüllt werden, bevor eine höhere Zahl in diesem Rang verwendet wird, und die Anzahl von EMMs in jedem Rang verbleibt im Wesentlichen konstant. Das Beispiel wird betrachtet, dass es gerade 256 Ränge gibt. Wenn der MG die ME an einen EMM mit einem Identifizierer (ID) 1 sendet, wird der Rang "1" dieser EMM zugeordnet und dieser nimmt die erste Zahl 3332 in dem Rang 3330. Die EMM mit der ID 2 wird dem Rang "2" zugeordnet usw., und zwar bis zu dem Rang 256. Die EMM mit der ID 257 wird dem Rang "1" wiederum zugeordnet (basierend auf der Modulusfunktion) und verwendet die zweite Zahl in dem ersten Rang usw.
Ein Abrufen einer speziellen EMM, beispielsweise dann, wenn ein Löschvorgang einer speziellen EMM von dem MG angefordert wird, wird mit Hilfe einer inversen Prozedur zu dem vorgenannten bewerkstelligt. Der Hash- bzw. Prüfsummen-Algorithmus wird auf die EMM-ID angewendet, um den Rang zu erhalten, nachdem die Zahl in dem Rang gefunden wird.
Die tatsächliche Randomisierung erfolgt dann, wenn die EMMs auf einer zyklischen bzw. periodischen Basis von dem RAM 3324 unter Verwendung des Randomisierungsmittels 3340 abgerufen werden, das in der Hardware und/oder Software des Nachrichtensenders realisiert ist. Die Abfrage erfolgt zufällig und basiert wiederum auf dem Hash-Algorithmus. Zuerst wird eine Zufallszahl (bei dem vorgenannten Beispiel ursprünglich in dem Bereich zwischen 1 und 256) ausgewählt, um einen bestimmten, in Frage kommenden Rang zu ergeben. Als zweites wird eine weitere Zufallszahl ausgewählt, um die bestimmte Zahl in dem Rang zu ergeben. Die weitere Zufallszahl wird entsprechend der Gesamtzahl von EMMs in einem vorgegebenen Rang ausgewählt. Sobald eine vorgegebene EMM ausgewählt und gesendet worden ist, wird diese zu einem zweiten identischen Speicherbereich in dem RAM 3324 verschoben, und zwar erneut unter Verwendung der Hash-Funktion. Folglich nimmt der erste Bereich in der Größe ab, wenn die EMMs; gesendet werden, und zwar in dem Ausmaß, dass, sobald ein vollständiger Rang verwendet worden ist, dieser gelöscht wird. Sobald der erste Speicherbereich vollständig geleert ist, wird dieser durch den zweiten Speicherbereich ersetzt, bevor eine neue Runde zum Senden von EMMs erfolgt usw.
In der vorstehend beschriebenen Weise wird sichergestellt, dass die Wahrscheinlichkeit, dass irgendwelche zwei EMMs, die für denselben Endnutzer bestimmt sind, gerade Rücken an Rücken gesendet werden, und zwar nach zwei oder drei Zügen der EMMs, statistisch vernachlässigbar ist.
In regelmäßigen Zeitintervallen, während gerade die EMMs gespeichert werden, berechnet der Computer 3050 die Anzahl von Bytes in dem Speicher und berechnet dieser daraus die Bitrate zum Senden für eine vorgegebene globale Bitraten-Anweisung von dem Multiplexer und dem Software-Multiplexer.
Vorstehend wurde Bezug genommen auf die Datensicherungs-Datenbanken 3320 und 3322. Bei der bevorzugten Ausführungsform sind diese tatsächlich sequenzielle Dateispeicher, die eine Backup-Version von dem enthalten, was in dem RAM 3324 ist. Für den Fall eines Versagens des Nachrichtensenders und einem anschließenden Neustart oder, allgemeiner ausdrückt, wenn der ME gerade aus irgendeinem Grund hochgefahren wird, wird eine Verbindung zwischen dem RAM und den Datenbanken hergestellt, über welche die gespeicherten EMMs zu dem RAM hochgeladen werden. Auf diese Weise kann die Gefahr, dass EMMs für den Fall eines Systemausfalls verloren gehen, ausgeschlossen werden.
Ein vergleichbares Abspeichern von PPV-EMMs, ähnlich zu der vorstehend anhand der Abonnenten-EMMs beschriebenen Vorgehensweise, erfolgt für den Rang, der typischerweise einem vorgegebenen Operator entspricht, und für die Zahl in dem Rang, die der Sitzungsnummer entspricht.

Smartcard

Eine Tochter- bzw. "Abonnenten"-Smartcard 3020 ist schematisch m der Fig. 15 gezeigt und umfasst ein 8-Bit-Mikroprozessor 110, beispielsweise einen Motorola-6805- Mikroprozessor, mit einem Eingangs-/Ausgangsbus, der mit einem Standardarray von Kontakten 120 verbunden ist, die im Einsatz mit einem entsprechenden Array von Kontakten in dem Kartenlesegerät des Empfängers/Dekoders 2020 verbunden sind, wobei das Kartenlesegerät ein herkömmliches Design aufweist. Der Mikroprozessor 110 ist auch mit Busverbindungen zu einem bevorzugt maskierten ROM 130, RAM 140 und EEPROM 150 ausgestattet. Die Smartcard ist kompatibel zu den ISO 7816-1, 7816-2 und 7816-3 Normprotokollen, die gewisse physikalische Parameter der Smartcard, die Positionen der Kontakte auf dem Chip und gewisse Übertragungsvorgänge zwischen dem externen System (und insbesondere dem Empfänger/Dekoder 2020) und der Smartcard jeweils festlegen und die deshalb hier nicht weiter beschrieben werden. Eine Funktion des Mikroprozessors 110 besteht darin, den Speicher in der Smartcard zu verwalten, wie dies nun beschrieben wird.
Das EEPROM 150 enthält gewisse dynamisch erzeugte Operatorbereiche 154, 155, 156 und dynamisch erzeugte Datenbereiche, die nun unter Bezugnahme auf die Fig. 19 beschrieben werden.
Bezugnehmend auf die Fig. 19 umfasst das EEPROM 150 eine permanente "Karten-ID" (oder Hersteller-)Bereich 151 von 8 Bytes, die einen permanenten Abonnenten-Smartcard- Identifizierer enthalten, der von dem Hersteller der Smartcard 3020 eingerichtet wird.
Wenn die Smartcard zurückgesetzt wird, gibt der Mikroprozessor 110 ein Signal an den Empfänger/Dekoder 2020 ab, welches Signal einen Identifizierer für das System für den bedingten Zugriff umfasst, das von der Smartcard verwendet wird, sowie Daten, die aus den Daten erzeugt werden, die in der Smartcard gespeichert sind, einschließlich der Karten- ID. Dieses Signal wird von dem Empfanger/Dekoder 2020 gespeichert, der anschließend das gespeicherte Signal dazu verwendet, um zu überprüfen, ob die Smartcard kompatibel zu dem von dem Empfänger/Dekoder 2020 verwendeten System für einen bedingten Zugriff ist.
Das EEPROM 150 enthält auch einen permanenten "Zu Fallszahlgenerator"-Bereich 152, der ein Programm zum Erzeugen von Pseudo-Zufallszahlen enthält. Solche Zufallszahlen werden dazu verwendet, um Transaktions-Ausgangssignale zu diversifizieren, die von der Smartcard 3020 erzeugt und zurück an den Sender gesendet werden.
Unterhalb des Zufallszahlgenerator-Bereichs 152 ist ein permanenter "Verwaltungs"-Bereich 153 von 144 Bytes vorgesehen. Der permanente Verwaltungsbereich 153 ist ein spezieller Operatorenbereich, der von einem Programm in dem ROM 130 bei der dynamischen Erzeugung (und Entfernung) von Bereichen 154, 155, 156 ... verwendet wird, wie dies nachstehend beschrieben wird. Der permanente Verwaltungsbereich 153 enthält Daten, die sich auf die Rechte der Smartcard beziehen, um Bereiche zu erzeugen oder zu entfernen.
Das Programm zum dynamischen Erzeugen und Entfernen von Bereichen spricht auf spezielle Bereichserzeugungs- oder (-entfernungs-)EMMs an, die von dem SAS 3002 gesendet und von dem Empfänger/Dekoder 2020 empfangen und zu der Smartcard 3020 des Abonnenten durchgelassen werden. Um die EMMs zu erzeugen, benötigt der Operator bzw. Betreiber spezielle Schlüssel, die für den Verwaltungsbereich gedacht sind. Dies verhindert, dass ein Betreiber Bereiche löscht, die sich auf einen anderen Betreiber bzw. Anbieter beziehen.
Unterhalb des Verwaltungsbereichs 153 gibt es eine Reihe von "Betreiber-ID"-Bereichen 154, 155, 156 für Betreiber bzw. Anbieter 1, 2 ... N. Normalerweise wird zumindest ein Betreiber-ID-Bereich in das EEPROM der Abonnenten-Smartcard 3020 im Voraus geladen, so dass der Endnutzer Programme entschlüsseln kann, die von diesem Betreiber bzw. Anbieter ausgesendet werden. Jedoch können zusätzliche Betreiber-ID-Bereiche anschließend dynamisch unter Verwendung des Verwaltungsbereichs 153 und in Antwort auf ein Transaktions-Ausgangssignal erzeugt werden, das über dessen Smartcard 3020 von dem Endnutzer (Abonnenten) erzeugt wird, was nachfolgend beschrieben werden wird.
Jeder Betreiberbereich 154, 155, 156 enthält den Identifizierer der Gruppe, zu welcher die Smartcard 3020 gehört, sowie die Position der Smartcard innerhalb dieser Gruppe. Diese Daten ermöglichen es, dass die Smartcard (gemeinsam mit den anderen Smartcards in dieser Gruppe) auf das Versenden einer "Gruppen"-Abonnenten-EMM ansprechen kann, welche die Adresse der Gruppe aufweist (aber nicht die Position der Smartcard in dieser Gruppe) und auch auf "individuelle" (oder kommerzielle Angebots-Abonnenten-)EMM, die nur für diese Smartcard innerhalb dieser Gruppe adressiert sind. Es können bis zu 256 Mitglieder- Smartcards von jeder solchen Gruppe existieren und dieses Merkmal verringert deshalb signifikant die Bandbreite, die zum Versenden der EMMs benötigt wird.
Um die Bandbreite, die zum Versenden der "Gruppen"-Abonnenten-EMMs benötigt wird, noch weiter zu verringern, werden die Gruppendaten in jedem Betreiberbereich 154, 155, 156 und sämtliche ähnlichen Bereiche in dem EEPROM der Smartcard 3020 sowie der anderen Tochter-Smartcards kontinuierlich aktualisiert, so dass eine bestimmte Smartcard ihre Position in jeder Gruppe ändern kann, um irgendwelche Löcher auszufüllen, die beispielsweise durch Löschen eines Mitglieds der Gruppe erzeugt werden. Die Löcher bzw. Lücken werden von dem SAS 3002 aufgefüllt, weil es in dem STM-Server 3104 eine Liste solcher Lücken gibt.
Auf diese Weise wird eine Fragmentierung verringert und wird die Mitgliedschaft jeder Gruppe auf oder in der Nähe des Maximums von 256 Mitgliedern beibehalten.
Jeder Anbieterbereich 154, 155, 156 ist einem oder mehreren "Betreiber-Datenobjekten" zugeordnet, die in dem EEPROM 150 gespeichert sind. Wie in der Fig. 19 gezeigt ist, ist eine Reihe von dynamisch erzeugten "Betreiberdaten"-Objekten 157-I65 unterhalb der Betreiber-ID-Bereiche angeordnet. Jedes dieser Objekte wird bezeichnet mit:
a) einem Identifizierer 1, 2, 3... N, welcher seinem zugeordneten Betreiber 1, 2, 3... N entspricht, wie dies im linken Teil in der Fig. 19 gezeigt ist;
b) einer "ID", welche den Typ des Objekts angibt; und
c) einem "Daten"-Bereich, der für Daten reserviert ist, wie im rechten Teil von jedem relevanten Betreiberobjekt in der Fig. 19 gezeigt. Es sei darauf hingewiesen, dass jeder Betreiber einem ähnlichen Satz von Datenobjekten zugeordnet ist, so dass die nachfolgende Beschreibung der Typen von Daten in den Datenobjekten des Betreibers 1 auch auf die Datenobjekte von sämtlichen anderen Betreibern angewendet werden kann. Es sei angemerkt, dass die Datenobjekte in zusammenhängenden physikalischen Bereichen des EEPROM angeordnet sind und dass deren Reihenfolge unwichtig ist.
Das Löschen eines Datenobjekts erzeugt eine "Lücke" 1166 in der Smartcard, das heißt, die Anzahl von Bytes, welche die gelöschten Objekte zuvor besetzt hatten, werden nicht mehr besetzt. Die somit "frei gewordene" Anzahl von Bytes bzw. die "Lücke" werden wie folgt bezeichnet:
a) einem "Identifizierer" 0; und
b) einer "ID", welche anzeigt, dass die Bytes frei sind, um ein Objekt aufzunehmen.
Das nächste erzeugte Datenobjekt füllt die Lücke auf, wie durch den Identifizierer 0 bezeichnet. Auf diese Weise wird die begrenzte Speicherkapazität (4 Kilobyte) des EEPROM 150 in effizienter Weise genutzt.
Wenden wir uns nun dem Satz von Datenobjekten zu, die jedem Betreiber zugeordnet sind, beispielsweise den Datenobjekten, welche nun beschrieben werden.
Das Datenobjekt 157 enthält einen EMM-Schlüssel, der zum Entschlüsseln von verschlüsselten EMMs verwendet wird, die von dem Empfänger/Dekoder 2020 empfangen werden.
Dieser EMM-Schlüssel wird permanent in dem Datenobjekt 157 gespeichert. Dieses Datenobjekt 157 kann vor der Verteilung der Smartcard 3020 erzeugt werden und/oder kann dynamisch erzeugt werden, wenn ein neuer Betreiberbereich (wie vorstehend beschrieben) erzeugt wird.
Das Datenobjekt 159 enthält ECM-Schlüssel, die von dem zugeordneten Betreiber (in diesem Fall dem Betreiber 1) gesendet werden, so dass der Endnutzer die spezielle "Auswahl" von Programmen entschlüsseln kann, welche er abonniert hat. Neue ECM-Schlüssel werden typischerweise jeden Monat gesendet, und zwar gemeinsam mit einer Gruppen- Abonnement-(Verlängerungs-)-EMM, welche die Gesamtrechte der Endnutzer im Hinblick auf die Sendungen (in diesem Fall) des Betreibers 1 verlängern. Die Verwendung von separaten EMM- und ECM-Schlüsseln ermöglicht es, dass Rechte in verschiedenen Weisen erworben werden können (in dieser Ausführungsform durch Abonnieren und individuell (Pay- Per-View)) und auch die Sicherheit erhöht werden kann. Die Pay-Per-View-Betriebsart (PPV) wird nachfolgend beschrieben werden.
Weil neue ECM-Schlüssel periodisch gesendet werden, ist es wesentlich, zu verhindern, dass ein Nutzer alte ECM-Schlüssel verwendet, beispielsweise durch ausschalten des Empfängers/Dekoders, oder durch Zurücksetzen einer Uhr, um ein Ablaufen eines alten ECM- Schlüssels zu verhindern, so dass ein Zeitgeber in dem Empfänger/Dekoder 2020 übergangen werden könnte. Folglich umfasst der Betreiberbereich 154 einen Bereich (typischerweise von der Größe von 2 Bytes), der ein Auslauf bzw. Verfallsdatum der ECM-Schlüssel enthält. Die Smartcard 3030 ist ausgelegt, um dieses Datum mit dem aktuellen Datum zu vergleichen, das in den empfangenen ECMs enthalten ist, und um eine Entschlüsselung zu verhindern, falls das aktuelle Datum nach dem Verfallsdatum liegt. Das Verfallsdatum wird mittels EMMs gesendet, wie vorstehend beschrieben.
Das Datenobjekt 161 enthält eine 64-Bit-Abonnenten-Bitmap, welche eine exakte Repräsentation der Programme des Sendebetreibers ist, welchen der Abonnent abonniert hat. Jedes Bit repräsentiert ein Programm und wird auf "1" gesetzt, falls dieser abonniert hat, und auf "0", falls dieser nicht abonniert hat.
Das Datenobjekt 163 enthält eine Anzahl von Tokens, die von dem Nutzer in dem PPV- Mode verwendet werden können, um Zuschauerrechte an einer bevorstehenden Übertragung zu erwerben, beispielsweise in Antwort auf eine freie Vorausschau oder eine andere Werbemaßnahme. Das Datenobjekt 163 enthält auch einen Grenzwert, der gesetzt werden kann, beispielsweise auf einen negativen Wert, um dem Konsumenten einen Kredit einzuräumen. Tokens können erworben werden, beispielsweise durch Kredit und über den mit einem Modem versehenen Rückkanal 4002, oder unter Verwendung eines Sprachservers in Kombination mit einer Kreditkarte, was nur als Beispiel gedacht ist. Ein spezielles Ereignis kann als ein Token oder eine Anzahl von Tokens belastet werden.
Das Datenobjekt 165 enthält eine Beschreibung eines PPV-Ereignisses, was unter Bezugnahme auf die Tabelle 167 der Fig. 20 dargestellt ist.
Die PPV-Ereignisbeschreibung 167 enthält eine "Sitzungs-ID" 168, welche die Betrachtersitzung identifiziert (entsprechend dem Programm und der Zeit und dem Datum der Übertragung), und eine "Sitzungsbetriebsart" 169, welches anzeigt, welches Betrachterrecht gerade erworben wird (beispielsweise im Vorausbuchungsmodus), einen "Sitzungsindex" 170 und eine "Sitzungsbetrachtung" 171.
Was den Empfang eines Programms in einer PPV-Betriebsart anbelangt, so bestimmt der Empfänger/Dekoder 2020, ob das Programm ein Programm ist, das in der PPV-Betriebsart verkauft wird. Falls dies so ist, überprüft der Dekoder 2020, und zwar unter Verwendung der Dinge, die in der PPV-Ereignisbeschreibung 167 gespeichert sind, ob die Sitzungs-ID für das Programm darin gespeichert ist. Falls die Sitzungs-ID darin gespeichert ist, wird das Steuer- bzw. Kontrollwort aus der ECM extrahiert.
Falls darin keine Sitzungs-ID gespeichert ist, stellt der Empfänger/Dekoder 2020 mit Hilfe einer speziellen Anwendung dem Endnutzer eine Nachricht dar, die anzeigt, dass er das Recht hat, die Sitzung zu Kosten von sagen wir 25 Tokens zu betrachten, was aus der ECM ausgelesen wird, oder um die Übertragungs-Server 3022 zu verbinden, um das Ereignis zu erwerben. Unter Verwendung der Tokens, falls der Endnutzer mit "ja" antwortet (mit Hilfe der Fernbedienung 2026 (siehe Fig. 2)), sendet der Dekoder 2020 die ECM an die Smartcard, wobei die Smartcard die Geldbörse der Smartcard 3020 um 25 Tokens kürzt, schreibt die Sitzungs-ID 168, die Sitzungsbetriebsart 169, den Sitzungsindex 170 und die Sitzungsbetrachtung 171 in die PPV-Ereignisbeschreibung 167 und extrahiert und entschlüsselt das Steuer- bzw. Kontrollwort aus der ECM.
In der "Vorausbuchungs "-Betriebsart wird eine EMM zu der Smartcard 3020 durchgelassen, so dass die Smartcard die Sitzungs-ID 168, die Sitzungsbetriebsart 169, den Sitzungsindex 170 und die Sitzungsbetrachtung 171 unter Verwendung der EMM in den PPV- Ereignisbeschreiber 167 hineinschreibt.
Der Sitzungsindex 170 kann gesetzt sein, um eine Sendung von der anderen zu unterscheiden. Dieses Merkmal ermöglicht es, dass einem Untersatz von Sendungen, beispielsweise drei von fünf Sendungen, eine Autorisierung verliehen werden kann. Sobald eine ECM mit einem Sitzungsindex, der abweicht von dem aktuellen Sitzungsindex 170, der in der PPV- Ereignisbeschreibung 167 gespeichert ist, zu der Smartcard hindurchgelassen wird, wird die Anzahl von der Sitzungsbetrachtung 171 um 1 verringert. Wenn die Sitzungsbetrachtung 0 erreicht, wird die Smartcard eine Entschlüsselung einer ECM mit einem anderen Sitzungsindex als dem aktuellen Sitzungsindex verweigern.
Der anfängliche Wert der Sitzungsbetrachtung hängt nur von der Art und Weise ab, in der der Sendungsanbieter es wünscht, das Ereignis zu definieren, auf welches sich dieser bezieht; die Sitzungsbetrachtung für ein jeweiliges Ereignis kann irgendeinen Wert annehmen. Der Mikroprozessor 110 in der Smartcard implementiert ein Zähl- und Vergleichsprogramm, um zu detektieren, wenn der Grenzwert für die Anzahl von Betrachtungen ein spezielles Programm erreicht hat.
Sowohl die Sitzungs-ID 168 als auch die Sitzungsbetriebsart 169, der Sitzungsindex 170 und die Sitzungsbetrachtung 171 in der PPV-Ereignisbeschreibung 167 kann aus der Smartcard unter Verwendung der "Callback"-Prozedur, wie sie vorstehend beschrieben wurde, extrahiert werden.
Jeder Empfänger/Dekoder 2020 enthält einen Identifizierer, der entweder diesen Empfänger/Dekoder eineindeutig identifizieren kann oder der seinen Hersteller identifizieren kann oder diesen in irgendeiner anderen Art und Weise klassifizieren kann, um zu ermöglichen, dass dieser nur mit einer bestimmten individuellen Smartcard arbeiten kann, einer bestimmten Klasse von Smartcards, die von demselben oder einem entsprechenden Hersteller hergestellt wurden, oder irgendeine andere Klasse von Smartcards, die dazu gedacht sind, um ausschließlich für diese Klasse von Empfängern/Dekodern verwendet zu werden.
Auf diese Weise werden die Empfänger/Dekoder 2020, die von einem Sendungsanbieter dem Konsumenten zur Verfügung gestellt werden, gegen die Verwendung von nichtautorisierten Tochter-Smartcards 3020 geschützt.
Zusätzlich oder alternativ zu diesem ersten "Protokollaustausch" (handshake) zwischen der Smartcard und dem Empfänger könnte das EEPROM der Smartcard 3020 ein Feld oder eine Bitmap enthalten, welches bzw. welche die Kategorien von Empfängern/Dekodern 2020 beschreibt, mit welchen diese zusammenarbeiten kann. Dies könnte entweder während der Herstellung der Smartcard 3020 oder durch eine spezifische EMM spezifiziert werden.
Die in der Smartcard 3020 gespeicherte Bitmap umfasst typischerweise eine Liste von bis zu 80 Empfängern/Dekodern, von denen jeder mit einer entsprechenden Empfänger/Dekoder- ID identifiziert wird, mit welcher die Smartcard verwendet werden kann. Jedem Empfänger/Dekoder ist als Wert bzw. Pegel "1" oder "0" zugeordnet, was angibt, ob die Smartcard mit dem Empfänger/Dekoder verwendet werden kann oder nicht. Ein Programm in dem Speicher 2024 des Empfängers/Dekoders sucht nach dem Identifizierer des Empfängers/Dekoders in der Bitmap, die in der Smartcard gespeichert ist. Falls der Identifizierer aufgefunden wird und der dem Identifizierer zugeordnete Wert "1" ist, wird die Smartcard "freigegeben"; falls dies nicht der Fall ist, wird die Smartcard mit diesem Empfänger/Dekoder nicht zusammenarbeiten.
Außerdem, falls typischerweise wegen einer Vereinbarung zwischen Betreibern es gewünscht ist, dass die Verwendung von anderen Smartcards in einem bestimmten Empfänger/Dekoder autorisiert ist, werden spezifische EMMs an diejenigen Smartcards gesendet, um deren Bitmap zu verändern, und zwar über den Transponder 2014.
Jeder Sendungsanbieter kann seine Abonnenten entsprechend von gewissen vorbestimmten Kriterien differenzieren. Beispielsweise kann eine Anzahl von Abonnenten als "VIPs" eingestuft werden. Folglich kann jeder Sendungsanbieter seine Abonnenten in eine Mehrzahl von Untersätzen unterteilen, wobei jeder Untersatz irgendeine Anzahl von Abonnenten umfasst.
Der Untersatz, welchem ein bestimmter Abonnent angehört, wird in dem SMS 3004 gesetzt. Seinerseits sendet das SAS 3002 eine EMM an den Abonnenten, welcher Information (typischerweise von einer Länge von 1 Byte) überschreibt, welche den Untersatz betrifft, welchem der Abonnent angehört, und zwar durch Hineinschreiben in den relevanten Betreiber-Datenbereich, sagen wir 154, des EEPROMs der Smartcard. Weil Ereignisse ihrerseits von dem Sendungsanbieter gesendet werden, wird eine ECM, typischerweise mit 256 Bits, gemeinsam mit dem Ereignis gesendet, und welche anzeigt, welcher der Untersätze von Abonnenten das Ereignis betrachten kann. Falls in Entsprechung zu der in dem Betreiberbereich gespeicherten Information der Abonnent nicht das Recht hat, das Ereignis zu betrachten, wie dies durch die ECM festgelegt wird, wird eine Betrachtung des Programms verweigert.
Diese Maßnahme kann beispielsweise dazu verwendet werden, um sämtliche Smartcards eines vorgegebenen Betreibers in einem bestimmten geografischen Bereich während des Sendens eines bestimmten Programms abzuschalten, insbesondere eines Programms, das sich auf eine Sportpaarung bezieht, die in diesem geografischen Bereich stattfindet. Auf diese Weise können Fußballvereine und andere Sportkörperschaften Senderechte außerhalb ihres lokalen Bereichs verkaufen und gleichzeitig verhindern, dass lokale Betreiber die Paarung auf dem Fernsehen betrachten. Auf diese Weise werden lokale unterstützende Organisationen ermutigt, Tickets zu kaufen und der Paarung bzw. Veranstaltung beizuwohnen.
Jedes der Merkmale, die Bereichen 151 bis 172 zugeordnet sind, wird als separate Erfindung unabhängig von der dynamischen Erzeugung von Bereichen angesehen.
Man wird verstehen, dass die vorliegende Erfindung vorstehend lediglich in beispielhafter Weise beschrieben worden ist und dass Modifikation im Detail innerhalb des Schutzbereichs der Erfindung vorgenommen werden können.
Jedes Merkmal, das in der Beschreibung und (wo zweckmäßig) in den Patentansprüchen und in den Zeichnungen beschrieben wurde, kann unabhängig oder in irgendeiner geeigneten Kombination bereitgestellt werden.
Bei den vorgenannten bevorzugten Ausführungsbeispielen sind gewisse Merkmale der vorliegenden Erfindung unter Verwendung von Computer-Software realisiert worden. Es wird natürlich dem Fachmann auf diesem Gebiet offensichtlich sein, dass irgendeines dieser Merkmale unter Verwendung von Hardware realisiert werden kann. Außerdem wird man verstehen, dass die Funktionen, die von der Hardware, von der Computer-Software und dergleichen ausgeführt werden, an elektrischen und ähnlichen Signalen oder unter Verwendung von diesen ausgeführt werden können.
Querverweise werden auf unsere mitanhängigen Anmeldungen gemacht, wobei alle dasselbe Anmeldedatum tragen, und mit Signalgenerierung und Sendung (Anwaltsreferenz Nr. PC/ASB/19707), Chipkarte zur Verwendung mit einem Empfänger von verschlüsselten Sendesignalen, und Empfänger (Anwaltsreferenznr. PC/ASB/19708), Sende- und Empfangssystem und bedingtes Zugriffssystem daraus (Anwaltsreferenz Nr. PC/ASB/19710), downloaden bzw. herunterladen einer Computerdatei von einem Übertrager über einen Empfänger/Dekoder zu einem Computer (Anwaltsreferenznr. PC/ASB/19711), Übertragung und Empfang von Fernsehprogrammen und anderen Daten (Anwaltsreferenznr. PC/ASB/19712), Downloader bzw. Herunterladen von Daten (Anwaltsreferenznr. PC/ASB/19713), Computerspeicherorganisation (Anwaltsreferenznr. PC/ASB/19714), Fernseh- oder Radiosteuerungssystementwicklung (Anwaltsreferenznr. PC/ASB/19715), Extraktions-Datensektionen aus einem übertragenen Datenstrom (Anwaltsreferenznr. PC/ASB/19716), Zugriffssteuersystem (Anwaltsreferenznr. PC/ASB/19717), Datenverarbeitungssystem (Anwaltsreferenznr. PC/ASB/19718), und Sende- und Empfangssystem, und Empfänger/Dekoder und eine Fernsteuerung dafür (Anwaltsreferenznr. PC/ASB/19720) betitelt. Die Liste der Anwendungen schließt die vorliegende Anwendung ein.

Claims

1. Chipkarte (3020) zur Verwendung mit einem Empfänger von verschlüsselten Sendesignalen, wobei die Chipkarte Folgendes umfasst:

einen Mikroprozessor (110), um eine Entschlüsselung der Signale zu ermöglichen oder zu steuern; und

einen Speicher (150), der mit dem Mikroprozessor (110) gekoppelt ist;

dadurch gekennzeichnet, dass der Mikroprozessor (110) angepasst ist, um die individuelle Entschlüsselung einer Vielzahl derartiger Signale von jeweiligen Sendeversorgern derartiger Signale mittels jeweilig dynamisch erzeugter Zonen (154-165) in dem Speicher zu ermöglichen oder zu steuern, wobei die dynamisch erzeugten Zonen (154-165) jeweils angeordnet sind, um Entschlüsselungsdaten, die mit einem jeweiligen der Sendeversorger in Zusammenhang stehen, zu speichern, wobei die Chipkarte weiter eine Management- Speicherzone (153) umfasst, die Daten enthält, die sich auf die Rechte der Chipkarte, die dynamische Erzeugung oder Entfernung der dynamisch erzeugten Zone zu steuern, beziehen.

2. Chipkarte, wie in Anspruch 1 beansprucht, die weiter einen Identifizierer und wenigstens einen geheimen Entschlüsselungsschlüssel umfasst, der mit einem jeweiligen der Sendeversorger in Zusammenhang steht, wobei der Identifizierer und der Schlüssel oder jeder Schlüssel in einer der dynamisch erzeugten Zonen (157, 159) gespeichert ist und angeordnet ist, um Sendesignale zu entschlüsseln, die eine Identität haben, die jenem Identifizierer entspricht, und die unter Verwendung eines Verschlüsselungsschlüssels, der dem Entschlüsselungsschlüssel entspricht, verschlüsselt sind.

3. Chipkarte, wie in Anspruch 2 beansprucht, die weiter für jede Zone (154, 155, 156) einen gespeicherten Gruppenidentifizierer und einen weiteren Identifizierer umfasst, der sie innerhalb jener Gruppe identifiziert und angeordnet ist, um Sendesignale mit einer Identität zu entschlüsseln, die dem gespeicherten Gruppenidentifizierer entspricht.

4. Chipkarte wie in irgendeinem vorhergehenden Anspruch beansprucht, wobei die Chipkarte angeordnet ist, um eine erste Reihe von Speicherzonen (154-156), die die Identitäten der jeweiligen Sendeversorger enthalten, und eine zweite Reihe von dynamisch erzeugten Speicherzonen (157-165) aufrechtzuerhalten, wobei die Speicherzonen in der zweiten Reihe jeweils mit der Identität eines Sendeversorgers markiert sind und Daten enthalten, die die Entschlüsselungsdaten enthalten, die zur Handhabung empfangener Sendesignale von jenem Versorger verwendet werden, wobei eine Vielzahl von Speicherzonen in der zweiten Reihe eine gemeinsame Identitätsmarke haben und unterschiedliche Klassen von Daten enthalten, die sich auf die Handhabung empfangener Sendesignale von dem Sendeversorger beziehen.

5. Chipkarte, wie in Anspruch 4 beansprucht, wobei die Chipkarte angeordnet ist, um dynamisch die Speicherzonen (154-156) der ersten Reihe zu erzeugen.

6. Chipkarte, wie in irgendeinem vorhergehenden Anspruch beansprucht, bei welcher die dynamisch erzeugten Zonen in dem Speicher fortlaufend sind.

7. Chipkarte, wie in irgendeinem vorhergehenden Anspruch beansprucht, bei welcher eine der dynamisch erzeugten Zonen (161) Rechtedaten enthält, die eine bestimmte Auswahl von Sendethemen bzw. Sendepunkten anzeigen, die von einem Sendeversorger gesendet werden und bezüglich der Benutzer der Chipkarte berechtigt ist, sie zu entschlüsseln, wobei die Chipkarte angeordnet ist, um die Rechtedaten zu verwenden, um Themen bzw. Punkte zu entschlüsseln, die von dem Versorger gesendet werden.

8. Chipkarte, wie in einem vorhergehenden Anspruch beansprucht, bei welcher eine Transaktions-Speicherzone (165) in der Chipkarte zusätzlich zu den dynamisch erzeugten Zonen definiert ist und weitere Rechtedaten enthält, die Punkte bzw. Themen betreffen, die von einem Sendeversorger gesendet werden und bezüglich der ein Benutzer der Chipkarte berechtigt ist, nur in Antwort auf ein Transaktions-Ausgabesignal zu entschlüsseln, das von der Chipkarte unter der Steuerung bzw. Kontrolle des Benutzers erzeugt wird.

9. Chipkarte, wie in Anspruch 8 beansprucht, die weiter einen Zähler zum Zählen der Anzahl von Gelegenheiten umfasst, bei denen ein Punkt bzw. ein Thema gesendet wird, und zwar nach der Ausgabe des Transaktions-Ausgabesignals, und wobei die Chipkarte angeordnet ist, um die Verschlüsselung des Themas bzw. des Punktes in Abhängigkeit von dem Zählwert, der von dem Zähler erreicht wird, zu toren bzw. zu steuern.

10. Kombination einer Chipkarte, wie in einem der vorhergehenden Ansprüche beansprucht, und eines Empfängers/Dekoders (2020) zur Verwendung mit der Chipkarte, wobei der Empfänger/Dekoder einen Chipkartenleser umfasst und angeordnet ist, verschlüsselte Sendesignale unter der Steuerung der Chipkarte zu entschlüsseln.

11. Kombination wie in Anspruch 10 beansprucht, wobei der Empfänger/Dekoder (2020) angeordnet ist, um verschlüsselte Sendevideo- und/oder Audiosignale zu entschlüsseln und entsprechende Video- und/oder Audioausgangssignale zu erzeugen.

12. Kombination, wie in Anspruch 10 oder 11 beansprucht, wobei der Empfänger/Dekoder (2020) einen Eingangsport bzw. einen Eingangsanschluss mit einer relativ großen Bandbreite zum Empfang der verschlüsselten Sendesignale und einen Ausgangsport bzw. Ausgangsanschluss mit relativ kleiner Bandbreite, der angeordnet ist, um Ausgangssteuersignale zurück zu einem Sendeübertrager zu übertragen, hat.

13. Kombination, wie in irgendeinem der Ansprüche 10 bis 12 beansprucht, wobei der Empfänger/Dekoder (2020) einen gespeicherten Identifizierer enthält und angeordnet ist, nur mit einer Chipkarte zu arbeiten, die einen entsprechenden gespeicherten Identifizierer hat.