DE69906061T2 - Sicherheitsmodel für interaktive fernsehanwendung - Google Patents

Sicherheitsmodel für interaktive fernsehanwendung

Info

Publication number
DE69906061T2
DE69906061T2 DE69906061T DE69906061T DE69906061T2 DE 69906061 T2 DE69906061 T2 DE 69906061T2 DE 69906061 T DE69906061 T DE 69906061T DE 69906061 T DE69906061 T DE 69906061T DE 69906061 T2 DE69906061 T2 DE 69906061T2
Authority
DE
Germany
Prior art keywords
application
credential
allocator
function
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69906061T
Other languages
English (en)
Other versions
DE69906061D1 (de
Inventor
N. Chari
Vincent Dureau
Jean-Rene Menand
Steven Szymanski
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
OpenTV Inc
Original Assignee
OpenTV Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=26776929&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE69906061(T2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Priority claimed from US09/087,386 external-priority patent/US6038319A/en
Application filed by OpenTV Inc filed Critical OpenTV Inc
Publication of DE69906061D1 publication Critical patent/DE69906061D1/de
Application granted granted Critical
Publication of DE69906061T2 publication Critical patent/DE69906061T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/443OS processes, e.g. booting an STB, implementing a Java virtual machine in an STB or power management in an STB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/162Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
    • H04N7/163Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing by receiver means only

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Alarm Systems (AREA)
  • Closed-Circuit Television Systems (AREA)
  • Storage Device Security (AREA)

Description

    HINTERGRUND DER ERFINDUNG 1. Bereich der Erfindung
  • Die Erfindung betrifft interaktive Fernsehsysteme und insbesondere Mittel zum Durchsetzen von Sicherheit in Bezug auf interaktive Fernsehanwendungen, die auf andere Module zugreifen oder eine Maßnahme durchführen können, die beschränkt ist.
    • 2. Beschreibung der verwandten Technik
  • Interaktive Fernsehsysteme machen es möglich, dass Fernseher für die Bereitstellung verschiedener neuer Diensten für Zuschauer verwendet werden können. Interaktive Fernsehsysteme können über typische Videoprogrammströme hinaus Text und Graphikbilder anzeigen. Interaktive Fernsehsysteme können auch Tätigkeiten oder Antworten eines Zuschauers registrieren. Vorgeschlagene Merkmale des interaktiven Fernsehens sind unter anderem eine Reihe verschiedener Marketing-, Unterhaltungs- und Ausbildungsfähigkeiten wie z. B. die, dass ein Benutzer mit Fernsehprogrammen interagieren kann, indem er angebotene Produkte oder Dienste bestellt, in einer Spieleshow gegen andere Kandidaten antritt oder spezielle Informationen über bestimmte Programme anfordert.
  • Ein Rundfunkdiensteanbieter erzeugt typischerweise ein interaktives Fernsehsignal für die Übertragung zum Fernseher eines Zuschauers. Das interaktive Fernsehsignal beinhaltet einen interaktiven Teil, der aus Anwendungscode oder Steuerinformationen besteht, sowie einen Audio-Video-Teil, der aus einem Fernsehprogramm besteht. Der hierin verwendete Begriff "Anwendung" bezieht sich allgemein auf eine aufgabenorientierte Sammlung von Code oder Daten, wie sie beispielsweise in einer Computer- Softwareanwendung enthalten ist. Der Rundfunkdiensteanbieter kombiniert den Audio- Video-Teil und den interaktiven Teil zu einem einzigen Signal, das zu einem am Fernseher des Benutzers angeschlossenen Empfänger übertragen wird. Das Signal wird im Allgemeinen vor der Übertragung komprimiert und wird durch typische Rundfunkkanäle wie z. B. Kabelfernsehleitungen (CATV) oder Satelliten-Direktübertragungssysteme übertragen.
  • Die interaktive Funktionalität des Fernsehers wird mit einem am Fernseher angeschlossenen Aufsatzgerät (Set-top Box) gesteuert. Das Aufsatzgerät empfängt das vom Rundfunkdiensteanbieter übertragene Signal, trennt den interaktiven Teil vom Audio- Video-Teil und dekomprimiert die jeweiligen Teile des Signals. Das Aufsatzgerät benutzt die interaktiven Informationen beispielsweise, um eine Anwendung auszuführen, während die Audio-Video-Informationen zum Fernseher übertragen werden. Das Aufsatzgerät kann die Audio-Video-Informationen mit interaktiver/m Graphik oder Ton kombinieren, die/der von der interaktiven Anwendung vor dem Übertragen der Informationen zum Fernseher erzeugt wird. Interaktive(r) Graphik und Ton können dem Zuschauer zusätzliche Informationen geben oder ihn zu Eingaben auffordern. Das Aufsatzgerät kann dem Rundfunkdiensteanbieter über einen Modemanschluss Zuschauereingaben oder andere Informationen übermitteln.
  • Eine interaktive Fernsehanwendung ist eine Anwendung, die interaktiven Inhalt für die Verwendung in einem Fernsehsystem beinhaltet.
  • Interaktive Fernsehanwendungen bestehen aus einem oder mehreren Programmmodulen.
  • Ein Modul ist typischerweise eine Anwendungscodeeinheit, die mit anderen Modulen zur Bildung einer kompletten Anwendung oder eines kompletten Programms kombiniert werden kann.
  • Wenn die Anwendung mehr als ein Modul hat, dann ist der Satz von Modulen, die die Anwendung bilden, gewöhnlich in sich geschlossen. Das heißt, der gesamte von der Anwendung benötigte Code befindet sich in diesem Satz von Modulen. Das erste Modul ist ein Verzeichnismodul, das alle Module identifiziert, die Teil der Anwendung sind. Der gesamte Satz von Modulen, der im Verzeichnismodul aufgeführt ist, wird über den Rundfunkkanal zum Aufsatzgerät übertragen und die Anwendung wird ausgeführt. (Der Satz von Modulen kann auch als Karussell bezeichnet werden, wie nachfolgend erläutert wird). Wenn die Ausführung mit einer ersten interaktiven Fernsehanwendung beendet ist und eine zweite soll ausgeführt werden, dann werden die Verzeichnis- und sonstigen Module der zweiten Anwendung zum Aufsatzgerät gesendet, und die zweite Anwendung wird ausgeführt. Der gesamte von der zweiten Anwendung verwendete Satz von Modulen wird übertragen, auch wenn einige der Module möglicherweise mit Modulen identisch sind, die von der ersten Anwendung verwendet werden.
  • Es kann vorteilhaft sein, Software-Anwendungen auf modulare Weise zu entwickeln, so dass Module zwischen Anwendungen gemeinsam genutzt werden können. Zu den Vorteilen von Modularität gehört möglicherweise die Konservierung der begrenzten Speichermenge in einem Aufsatzgerät, das für interaktive Anwendungen verwendet werden kann, so dass die Zeit reduziert wird, die zum Herunterladen von Anwendungen von einer Rundfunkstation zu einem Aufsatzgerät benötigt wird, oder die Menge an Anwendungscode reduziert wird, die geschrieben werden muss, damit Module gemeinsam genutzt werden können. Da die Komponenten einer Anwendung in verschiedenen Karussells resident sein können, wäre es wünschenswert, die Sicherheit der jeweiligen Module zu gewährleisten und demzufolge den Zugriff auf autorisierte Module zu beschränken.
  • Es wäre auch vorteilhaft, einen Mechanismus bereitzustellen, damit Anwendungen miteinander auf kontrollierte Weise interagieren können, selbst wenn sie keine Module gemeinsam nutzen. Wenn beispielsweise eine Anwendung die Steuerung auf eine andere Anwendung überträgt und die zweite Anwendung stoppt, dann muss möglicherweise die erste Anwendung die zweite Anwendung beenden, um die Kontrolle wieder zu erhalten. Es wäre daher wünschenswert, ein System bereitzustellen, das die Zugriffsrechte der ersten Anwendung überprüfen und bestimmen kann, ob die erste Anwendung eine solche Tätigkeit durchführen darf. Es wäre ferner wünschenswert, diese Merkmale auf eine Weise zu implementieren, die den Overhead in Verbindung mit dem System minimal hält.
  • Die WO 98 100972 schlägt ein System zum Übertragen von Teilnehmerinformationsanforderungen zu Informationsdiensteanbietern vor, lässt aber nicht die Ausführung von Funktionen zu, wenn die interaktive Fernsehanwendung nach einer Berechtigungsüberprüfung die Genehmigung dazu hat.
    • ZUSAMMENFASSUNG DER ERFINDUNG
  • Die Erfindung umfasst ein System und ein Verfahren zum Beschränken oder Steuern der Zugriffsrechte von interaktiven Fernsehanwendungen. (Der hierin verwendete Begriff "Zugriffsrechte" bedeutet das Recht einer Anwendung, Programmmodule gemeinsam zu nutzen, andere Anwendungen zu steuern, Systembetriebsmittel zu verwenden oder andere Tätigkeiten durchzuführen.) Eine Ausgestaltung der Erfindung stellt Mittel in einem interaktiven Fernsehsystem bereit, um die Berechtigungsnachweise bestimmter Anwendungen zu überprüfen, die versuchen, Tätigkeiten durchzuführen, die andere Anwendungen beeinträchtigen können.
  • Der hierin verwendete Begriff "Berechtigungsnachweis" ist eine Information in Verbindung mit einer bestimmten Anwendung oder einem bestimmten Modul, die die Befugnis des Anwendungsmoduls identifiziert, bestimmte Funktionen auszuführen.
  • Das System wird implementiert, um Sicherheit, Schutz und Befugnis der jeweiligen Anwendungen in Bezug auf bestimmte Vorgänge zu gewährleisten. Das System verwendet einen Berechtigungsnachweis, der aus verschiedenen Informationen zum Identifizieren einer Anwendung und ihrer jeweiligen Berechtigungen, Rechte und Beschränkungen besteht.
  • In einer Ausgestaltung enthält der Berechtigungsnachweis eine Erzeuger- Identifikationsnummer (ID) und eine Anwendungs-ID für die Anwendung, ein Ablaufdatum, eine Liste von Rechten, ein Erzeugerzertifikat und eine Signatur. Erzeuger- und Anwendungs-ID identifizieren die Anwendung eindeutig. Die Rechteliste identifiziert die Fähigkeit der Anwendung, beschränkte Rechte auszuüben, wie z. B. das Zugreifen auf die Module einer anderen Anwendung oder das Beenden der Ausführung der anderen Anwendung. Die beschränkten Rechte können sich auf einen beliebigen Vorgang beziehen, der von Anwendungen in dem System durchgeführt wird. Das Ablaufdatum setzt eine Zeitgrenze, jenseits derer der Berechtigungsnachweis nicht mehr gültig ist. Der Berechtigungsnachweis verwendet Public-Key-Verschlüsselung (nachfolgend ausführlicher beschrieben) für die Sicherheit. Das Erzeugerzertifikat ist der Public-Key des Erzeugers. Der gesamte Berechtigungsnachweis wird mit dem Private-Key des Erzeugers signiert, so dass die Integrität des Berechtigungsnachweises überprüft werden kann.
  • Unter Verwendung der oben beschriebenen Verschlüsselungssicherheitsmaßnahme und des Ablaufdatums kann bestimmt werden, ob ein Berechtigungsnachweis authentisch ist, und wenn ja, ob er noch gültig ist.
  • In einer Ausgestaltung kann ein Berechtigungsnachweis verwendet werden, um einen Mechanismus bereitzustellen, mit dem eine erste Anwendung einer zweiten Anwendung die Genehmigung erteilen kann, ihren Code zu teilen oder eine Maßnahme in Bezug auf die erste Anwendung durchzuführen. Der Besitzer der ersten Anwendung hat eine ID, die ihn im Berechtigungsnachweis identifiziert. Ebenso hat die zweite Anwendung eine ID, die im Berechtigungsnachweis als die Anwendung aufgeführt ist, der die Genehmigung erteilt wird. Die Besitzer der ersten und der zweiten Anwendung haben zugewiesene spezifische IDs zu den Anwendungen, wobei jede ID unter den Anwendungen dieses Besitzers eindeutig ist. Der Besitzer hat auch seine eigene ID, die unter Besitzern (Erzeugern) eindeutig ist. Jede Anwendung kann daher anhand ihres Besitzers und ihrer Anwendungs-IDs identifiziert werden. Somit kann jede Anwendung bestimmte Genehmigungen zu einer bestimmten Anwendung geben, die sich im Besitz eines bestimmten Besitzers befindet. Erzeuger- und Anwendungs-IDs der Anwendungen können durch Wildcards ersetzt werden, so dass eine einzige Anwendung einer Gruppe von Besitzern oder Anwendungen bestimmte Genehmigungen geben kann.
  • In einer Ausgestaltung kann der Berechtigungsnachweis zum Steuern der Tätigkeiten einer ersten Anwendung verwendet werden, die andere Anwendungen nicht beeinträchtigen. So versucht möglicherweise eine Anwendung, auf in einem Aufsatzgerät gespeicherte private, beschränkte Daten zuzugreifen. Das Aufsatzgerät kann so konfiguriert werden, dass es den Zugriff auf die Orte im Speicher, die den beschränkten Daten entsprechen, nur dann gewährt, wenn ein gültiger Berechtigungsnachweis vorgelegt wird, der ein Zugriffsrecht auf die Daten anzeigt. In einer anderen Ausgestaltung kann das System so konfiguriert werden, dass es den Zugriff auf andere Systembetriebsmittel wie z. B. den Rückführungspfad zur Rundfunkstation beschränkt. Das System kann den/die Berechtigungsnachweis(e) einer Anwendung prüfen, bevor es mit der Ausführung beginnt oder wenn der Zugang zum Rückführungspfad angefordert wird. Der Zugriff ist dann zulässig, wenn ein gültiger Berechtigungsnachweis die Genehmigung zur Verwendung des Rückführungspfades anzeigt. Die Berechtigungsnachweise können zum Steuern einer beliebigen Zahl von Funktionen einer Anwendung verwendet werden, und es kann viele Variationen in der Implementation des Mechanismus geben, der zum Überprüfen der Berechtigungsnachweise verwendet wird.
    • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Weitere Aufgaben und Vorteile der Erfindung werden nach dem Lesen der nachfolgenden ausführlichen Beschreibung unter Bezugnahme auf die Begleitzeichnungen offensichtlich. Dabei zeigt:
  • Fig. 1 ein Blockdiagramm der Verteilung von interaktiven Fernsehanwendungen und Fernsehprogrammen von ihren Quellen zu einer Reihe von Zuschauern;
  • Fig. 2 ein Blockdiagramm eines Aufsatzgerätes, das in einer Ausgestaltung der Erfindung verwendet wird;
  • Fig. 3 eine Illustration der Komponentenmodule eines Karussells und der Übertragungsreihenfolge der Module in einer Ausgestaltung der Erfindung;
  • Fig. 4 ein Blockdiagramm der Art und Weise, in der die ein Modul umfassenden Daten in einer Ausgestaltung der Erfindung paketiert werden;
  • Fig. 5 eine schematische Darstellung des Signals, das von der Rundfunkstation zu einer Empfangsstation in einer Ausgestaltung der Erfindung übertragen wird;
  • Fig. 6a ein Blockdiagramm der Datenstruktur eines Berechtigungsnachweises, der in einer Ausgestaltung der Erfindung verwendet wird;
  • Fig. 6b ein Blockdiagramm der Datenstruktur eines Berechtigungsnachweises, der in einer anderen Ausgestaltung der Erfindung verwendet wird.
  • Die Erfindung kann zwar Gegenstand verschiedener Modifikationen und alternativer Formen sein, aber spezifische Ausgestaltungen sind beispielhaft in den Zeichnungen dargestellt und werden hierin ausführlich beschrieben. Es ist jedoch zu verstehen, dass die Zeichnungen und deren ausführliche Beschreibung die Erfindung nicht auf die jeweilige offenbarte Form beschränken sollen, sondern dass die Erfindung im Gegenteil alle Modifikationen und Äquivalente sowie Alternativen abdecken soll, die in das Wesen und den Umfang der vorliegenden Erfindung gemäß Definition in den beiliegenden Ansprüchen fallen.
    • AUSFÜHRLICHE BESCHREIBUNG DER BEVORZUGTEN AUSGESTALTUNG
  • Es wird nachfolgend eine Ausgestaltung der Erfindung beschrieben. In dieser Ausgestaltung empfängt ein interaktiver Fernsehempfänger ein interaktives Audio-Video- Signal über einen Rundfunkkanal wie z. B. eine Satelliten-Direktübertragung. (Der hierin verwendete Begriff Satelliten-"Direkt"-Übertragung bedeutet Übertragungen, die vom interaktiven Fernsehempfänger, genauer gesagt von dessen Antenne, direkt vom Satelliten empfangen werden.) Das interaktive Audio-Video-Signal beinhaltet Fernsehprogramme oder ähnlichen Audio-Video-Inhalt sowie einen interaktiven Inhalt wie Steuersignale oder interaktive Anwendungen. (Der hierin verwendete Begriff "Rundfunk" bezieht sich auf [lacuna] eines einzelnen Signals zu allen Teilnehmerempfängern.) Der interaktive Fernsehempfänger kann auch zum Empfangen von interaktiven Audio-Video-Signalen über einen Nicht-Rundfunkkanal wie beispielsweise ein Modem konfiguriert werden. Der interaktive Fernsehempfänger ist so konfiguriert, dass er den Audio-Video-Inhalt vom interaktiven Inhalt des interaktiven Audio-Video-Signals trennt. Der Audio-Video-Inhalt wird für die Anzeige als Fernsehprogramm verarbeitet, während der interaktive Inhalt für die Ausführung durch den Empfänger verarbeitet wird. Der interaktive Inhalt kann den Empfänger befähigen, eine Reihe verschiedener Funktionen auszuführen, einschließlich des Erzeugens von Ton oder Graphik, die mit dem Fernsehprogramm zur Anzeige kombiniert werden können. Wenn der interaktive Inhalt eine Anwendung umfasst, dann kann die Anwendung aus mehreren Subkomponenten oder Modulen bestehen. Die Module können jeden Datentyp wie z. B. Anwendungscode, Rohdaten oder Graphikinformationen enthalten.
  • Die Module, die die interaktive Anwendung bilden, gehören gewöhnlich zu einem einzigen Satz von Modulen, die Karussell genannt werden. Ein Karussell kann allgemein als ein Satz von Modulen definiert werden, deren Besitzer derselbe Erzeuger ist und die berechtigt sind, aufeinander zuzugreifen. Die Module werden deshalb als Karussell bezeichnet, weil sie gewöhnlich auf zyklische Weise zum interaktiven Fernsehempfänger gesendet werden. Eine Anwendung ist ein Karussell, das ein "Top-Level"-Programm enthält.
  • Es ist möglicherweise wünschenswert, es einer Anwendung zu gestatten, auf Module eines anderen Karussells zuzugreifen (zum gemeinsamen Benutzen von Daten, zum Übertragen der Steuerung von Anwendungen oder für andere Zwecke). Eine Anwendung oder ein Modul eines Karussells kann mit Modulen eines anderen Karussells oder mit dem interaktiven Fernsehsystem mit Hilfe von "Berechtigungsnachweisen" zusammenwirken. Berechtigungsnachweise sind Sätze von Daten, die zum Identifizieren und Überprüfen der Berechtigungen und Begrenzungen bestimmter Module verwendet werden können. Die Berechtigungen und Begrenzungen können sich darauf beziehen, ob ein Modul befugt ist, mit den anderen Modulen zu interagieren oder eine Tätigkeit durchzuführen, die ansonsten beschränkt ist, wie z. B. der Zugriff auf beschränkte Speicherbereiche. Die Berechtigungsnachweise können Wildcards verwenden, um einer Reihe von Modulen Berechtigungen zuzuordnen, ohne eine Liste aller beteiligten Module führen zu müssen.
  • In einer Ausgestaltung kann die Tätigkeit des Prüfens der Berechtigungsnachweise einer Anwendung oder eines Moduls beinhalten, dass die Anwendung oder das Modul Berechtigungsnachweisinformationen zu einem Gerät oder einem interaktiven Fernsehsystem sendet, das so konfiguriert ist, dass es den Inhalt der präsentierten Berechtigungsnachweise mit dem einer Zielanwendung oder eines Zielkarussells vergleicht. Wenn die Berechtigungsnachweise mit den Erwartungen oder Anforderungen übereinstimmen, gelten sie als "verifiziert", und die Anwendung oder das Modul erhält die Genehmigung, eine den Berechtigungsnachweisinformationen entsprechende Tätigkeit oder Funktion auszuführen. In einem solchen Fall zeigt die Berechtigungsnachweisinformation die Genehmigung zum Ausführen einer entsprechenden Tätigkeit an. Alternativ kann die Tätigkeit des Verifizierens von Berechtigungsnachweisen die Prüfung beinhalten, ob eine Anwendung oder ein Modul eine benötigte Information besitzt. Wenn die Anwendung oder das Modul die benötigte Information besitzt, dann wird der Anwendung gestattet, eine Maßnahme entsprechend der Information durchzuführen.
  • Fig. 1 zeigt ein Blockdiagramm der Verteilung von interaktiven Fernsehanwendungen und Fernsehprogrammen von ihren Quellen zu einer Reihe von Zuschauern. Die Rundfunkstation 10 hat mehrere Programmquellen 11. Diese Quellen können Rundfunknetz-Fernspeisungen, Videorecorder, Computer, Datenspeichergeräte und dergleichen beinhalten. Die Quellen 11 können interaktive oder Steuerinformationen, Audioinformationen und/oder Videoinformationen bereitstellen, die im interaktiven Fernsehsignal eingeschlossen werden sollen. Die von den Quellen 11 bereitgestellten Informationen werden gewöhnlich von Kompressionseinheiten 12 komprimiert, um Bandbreite einzusparen. Es kann jeder beliebige aus einer Reihe von Kompressionsalgorithmen angewendet werden, wie z. B. eine der Motion Picture Expert Group (MPEG) Kompressionsnormen. Die Wahl eines geeigneten Kompressionsalgorithmus ist unter anderem vom Typ der zu komprimierenden Informationen und vom Übertragungsmedium abhängig. Es können auch Zeitmarken hinzugefügt werden, um beispielsweise assoziierte Audio- und Videosignale zu synchronisieren. Einige Informationen lassen sich möglicherweise nicht leicht oder wirksam komprimieren, daher können beispielsweise einige der Informationen direkt, ohne sie zu komprimieren, von der Quelle zur Paketiereinheit 13 gesendet werden. Paketiereinheiten 13 akzeptieren die komprimierten (oder unkomprimierten) Informationen und formatieren sie zu Paketen für die Übertragung über den Rundfunkkanal. Die Paketierung der Informationen wird nachfolgend ausführlicher beschrieben. Die Pakete werden in die Multiplexiereinheit 14 gespeist, die die Pakete vor der Übertragung verschachtelt. Die verschachtelten Pakete werden dann zu den Empfangsstationen 20 gesendet. (Die Figur zeigt zwar nur eine Empfangsstation, es ist aber vorgesehen, dass das interaktive Audio-Video-Signal zu einer Gruppe von Teilnehmerempfangsstationen gesendet wird.) In der Figur ist das interaktive Audio-Video-Signal so dargestellt, dass es per Satellitenfunk über die Antenne 15 überragen wird.
  • Das Rundfunksignal wird über den Kommunikationssatelliten 18 weitergeleitet und von der Empfangsstation 20 empfangen. Die Figur illustriert zwar eine Satellitenübertragung, aber es ist vorgesehen, dass jedes Rundfunkmedium (z. B. CATV oder Satelliten-Direktübertragung) verwendet werden kann. (Es ist zu bemerken, dass auch alternative Ausgestaltungen der Erfindung mit Punkt-zu-Punkt- oder anderen Datenverteilungssystemtypen ausgeführt werden können.) Es ist vorgesehen, dass die Empfangsstation 20 eine aus einer Reihe solcher Stationen ist, die Teilnehmer des Rundfunkdiensteanbieters sind, der Rundfunkstation 10 betreibt. Das Rundfunksignal wird von der Empfangsantenne 21 empfangen und zum Empfänger 22 gespeist, in der vorliegenden Ausgestaltung ein Aufsatzgerät. Das Aufsatzgerät 22 verarbeitet das paketierte Signal zum Rekonstruieren der in dem Signal enthaltenen Fernsehprogramme und interaktiven Anwendungen. Die rekonstruierten Anwendungen werden im Aufsatzgerät ausgeführt, während die rekonstruierten Fernsehprogramme zum Fernseher geleitet werden, wo sie angezeigt werden. Die interaktiven Anwendungen können Graphik oder Ton erzeugen, die vor der Anzeige mit dem Fernsehprogramm kombiniert werden.
  • Zusätzlich zu dem Rundfunkkanal zwischen der Rundfunkstation und der Empfangsstation kann es weitere Kanäle wie z. B. einen Modemkanal geben (der auch als http-(Hypertext Transfer Protocol) Kanal bezeichnet werden kann). Diese Kanaltypen haben in dem System zwei Funktionen: sie lassen es zu, dass das Aufsatzgerät Feedback zur Rundfunkstation zurücksendet; und sie bilden einen alternativen Pfad für Programme und Anwendungen von Quellen 12, die zur Rundfunkstation 20 gesendet werden sollen.
  • Fig. 2 zeigt ein Blockdiagramm eines Aufsatzgerätes 22. Das Rundfunksignal wird empfangen und in den Tuner 31 gespeist. Der Tuner 31 wählt den Kanal, auf dem das interaktive Audio-Video-Rundfunksignal gesendet wird, und leitet das Signal zur Verarbeitungseinheit 32 weiter. (Der Tuner 31 kann auch durch andere Mittel ersetzt werden, die nachfolgend kollektiv als Eingangsport bezeichnet werden, um Signale von verschiedenen Signalquellen zu empfangen.) Die Verarbeitungseinheit 32 demultiplexiert die Pakete vom Rundfunksignal bei Bedarf und rekonstruiert die im Signal enthaltenen Fernsehprogramme und/oder interaktiven Anwendungen. Die Programme und Anwendungen werden dann von der Dekompressionseinheit 33 dekomprimiert. Die Audio- und Videoinformationen in Verbindung mit den im Signal enthaltenen Fernsehprogrammen werden dann zur Anzeigeeinheit 32 geleitet, die weitere Verarbeitungs- und Umwandlungsvorgänge der Informationen in ein geeignetes Fernsehformat wie z. B. NTSC oder HDTV Audio/Video durchführen kann. Vom Rundfunksignal rekonstruierte Anwendungen werden zum Arbeitsspeicher (RAM) 37 geleitet und von der Steuereinheit 35 ausgeführt.
  • Die Steuereinheit 35 kann einen Mikroprozessor, einen Microcontroller, einen Digitalsignalprozessor (DSP) oder einen anderen Typ von Softwareanweisung- Verarbeitungsgerät beinhalten. Der RAM 37 kann Speichereinheiten beinhalten, die statisch (z. B. SRAM), dynamisch (z. B. DRAM), flüchtig oder nichtflüchtig (z. B. FLASH) sind, je nach Bedarf zur Unterstützung der Funktionen des Aufsatzgerätes. Wenn das Aufsatzgerät mit Strom gespeist wird, führt die Steuereinheit 35 Betriebssystemcode aus, der im ROM 36 gespeichert ist. Während das Aufsatzgerät mit Strom gespeist wird, wird der Betriebssystemcode in derselben Weise wie der Betriebssystemcode eines typischen PC kontinuierlich abgearbeitet und lässt es zu, dass das Aufsatzgerät auf Steuerinformationen wirkt und interaktive und andere Anwendungen ausführt. Das Aufsatzgerät beinhaltet auch ein Modem 38. Das Modem 38 stellt sowohl einen Rückführungspfad, über den Zuschauerdaten zur Rundfunkstation gesendet werden können, als auch einen Alternativpfad bereit, über den die Rundfunkstation Daten zum Aufsatzgerät senden kann.
  • Es wird zwar hierin der Begriff "Aufsatzgerät" verwendet, aber es ist zu verstehen, dass sich dieser Begriff auf jeden Empfänger oder jede Verarbeitungseinheit bezieht, die ein gesendetes Signal empfängt und verarbeitet und das verarbeitete Signal zu einem Fernseher oder einem anderen Monitor weiterleitet. Das Aufsatzgerät kann sich in einem Gehäuse befinden, das physikalisch auf einem Fernsehgerät steht, es kann sich aber auch an einer anderen Stelle außerhalb des Fernsehers befinden (z. B. auf der Seite oder der Rückseite des Fernsehers oder ortsfern vom Fernseher), oder es kann im Fernseher selbst integriert sein. Das Aufsatzgerät 22 dient zum Demodulieren des von der Rundfunkstation 10 empfangenen Signals und zum Trennen der Komponenten des Signals, wie z. B. verschiedene Fernsehprogramme und interaktive Anwendungen. Ebenso kann der Fernseher 23 ein Fernseher oder ein Videomonitor sein, der ein geeignetes Fernsehformat (z. B. NTSC oder HDTV) anwendet, oder er kann durch andere Geräte wie z. B. einen Videorecorder ersetzt werden.
  • Die Empfangsstation ist betriebsmäßig über einen Rundfunkkanal mit der Rundfunkstation verbunden. Dieser Rundfunkkanal könnte verschiedene Übertragungsmedien verwenden, und es ist hier vorgesehen, dass er Medien wie z. B. Koaxialkabel und freien Raum (z. B. für Satelliten-Direktübertragungen verwendet) einschließt. Der Rundfunkkanal bietet einen Übertragungspfad zwischen der Rundfunkstation und der Empfangsstation. Rundfunkstation und Empfangsstation sind auch durch einen Rückführungspfad verbunden. Der Rückführungspfad besteht typischerweise aus einem Paar Modeme, einem in der Empfangsstation und einem in der Rundfunkstation, die jeweils mit einer standardmäßigen Telefonleitung verbunden sind. Es sind auch andere Mittel zum Herstellen eines Rückführungspfades vorgesehen, z. B. die Verwendung eines Teils der Bandbreite des Übertragungspfades.
  • Gemäß Fig. 3 besteht eine Anwendung oder ein Karussell aus einer Reihe von Modulen, von denen eines ein Verzeichnismodul ist. Das Verzeichnismodul hat eine eindeutige Kennung, so dass es während der Übertragung ohne weitere Informationen identifiziert werden kann. Das Verzeichnismodul enthält einen Eintrag für jedes der Module in der Anwendung, und ein Modul, das keinen entsprechenden Eintrag im Verzeichnismodul hat, wird von der Anwendung nicht erkannt. Das Verzeichnismodul enthält genügend Informationen, um es dem interaktiven Fernsehempfänger zu gestatten, auf alle Teile (d. h. Module) der Anwendung zuzugreifen, die möglicherweise für die Ausführung des Programms nötig sind. Auf das Verzeichnismodul muss vor den anderen Modulen der Anwendung zugegriffen werden, damit die übrigen Module richtig interpretiert werden können. Das Verzeichnismodul kann mehrere Male während des Zyklus übertragen werden, in dem die Module der Anwendung übertragen werden, um zu gewährleisten, dass es für einen im Wesentlichen zufallsmäßigen Zugriff auf die anderen Module zur Verfügung steht.
  • Die Verzeichnismodule aller Anwendungen haben ein gemeinsames Format. Das Format besteht aus drei Teilen: einem Teil mit Komponenten fester Länge, einem Teil mit Komponenten veränderlicher Länge und einem Teil mit Zertifizierungsinformationen. Der Teil mit fester Länge enthält Daten über die Anwendung und über jedes der Module in der Anwendung. Der Teil veränderlicher Länge enthält String-Daten über die Modulnamen und die Hash-Codierung der Module. Der Zertifizierungsteil enthält das Erzeugerzertifikat und die Verzeichnissignatur.
  • In einer Ausgestaltung beinhaltet eine Anwendung wenigstens ein Modul, das heruntergeladen und automatisch ausgeführt wird. Weitere Daten oder zusätzlichen Code enthaltende Module werden möglicherweise nicht sofort benötigt und können daher nach Beginn der Ausführung der Anwendung heruntergeladen werden. Das Herunterladen dieser Module unterliegt jedoch möglicherweise zeitlichen Beschränkungen, so dass das interaktive Fernsehsystem so konfiguriert ist, dass diese Beschränkungen berücksichtigt werden und die Module auf rechtzeitige Weise weitergesendet werden. Falls notwendig, kann eines dieser Module mit anderen Modulen oder Daten multiplexiert werden, um sicherzustellen, dass es bei Bedarf empfangen wird.
  • Gemäß Fig. 4 hat jedes der Module 51 ein Datensegment 52 und ein CRC-Segment 53. Das Datensegment 52 des Verzeichnismoduls wurde oben beschrieben. Das Datensegment 52 der übrigen Module kann einen beliebigen Datentyp wie z. B. Anwendungsdaten oder Rohdaten enthalten. Das CRC-Segment 53 jedes der Module wird für die Fehlerkontrolle verwendet und wird für das gesamte Modul 51 errechnet. Jedes der Module 51 hat eine eindeutige Kennung.
  • Vor dem Übertragen der Module 51 werden diese zu Übertragungseinheiten 54 formatiert. Für die Zwecke der vorliegenden Erörterung wird auf alle Elemente mit derselben Bezugsziffer, aber unterschiedlichen Buchstaben (z. B. 54a, 54b, 54c) kollektiv nur anhand der Zahl Bezug genommen (z. B. 54). Jede der Übertragungseinheiten 54 enthält Kopfinformationen 55, die diese Übertragungseinheit 54 innerhalb des Stroms von Übertragungseinheiten eindeutig identifizieren, sowie Daten 56, die einen Teil des übertragenen Moduls umfassen. Der Kopf 55 enthält Informationen wie Modul-ID, Modulversatz und -größe, so dass die Übertragungseinheiten 54 zu einem kompletten Modul 51 rekonstruiert werden können. Die ein bestimmtes Modul 51 bildenden Übertragungseinheiten 54 können mit anderen Übertragungseinheiten 54 in dem Übertragungsstrom verschachtelt werden. Die letzte Übertragungseinheit 54 für ein Modul 51 führt den CRC 53.
  • Das Format der Übertragungseinheiten 54 ist vom Übertragungsmedium abhängig, verwendet aber typischerweise eine Reihe von Paketen fester Länge (das letzte Paket kann auf die richtige Länge aufgefüllt sein). Das erste Paket 58 in der Reihe führt die Kopfinformationen für die Übertragungseinheit 54. Dieses Kopfpaket 58 ist ein spezielles Paket, das eine Unterbrechung in der CPU erzeugen kann und das die Informationen enthält, die die CPU befähigen zu bestimmen, ob das Modul 51 decodiert und wo es in den Speicher geladen werden muss. Das Kopfpaket 58 in einer Satelliten-Direktübertragung verwendet ein Zusatzpaket, das eine Unterbrechung erzeugen kann. Die übrigen Pakete 58 in einer Satelliten-Direktübertragung verwenden ein Basispaket, das einfach die Übertragungseinheitsdaten führt.
  • Die interaktive Audio-Video-Übertragung von der Rundfunkstation zum interaktiven Fernsehempfänger umfasst eine Reihe von Übertragungseinheiten. Die Übertragungseinheiten, die ein bestimmtes Modul bilden, sind typischerweise mit anderen Informationen zeitmultiplexiert. Diese Informationen können aus Übertragungseinheiten eines anderen Moduls oder aus komprimierten Audio- oder Videodaten bestehen. Die Übertragungseinheiten, die vom interaktiven Fernsehempfänger empfangen werden, werden zu ihren jeweiligen Anwendungsmodulen rekonstruiert.
  • Fig. 5 zeigt eine schematische Darstellung des von der Rundfunkstation 10 zur Empfangsstation 20 übertragenen Signals. Die Pakete mehrerer Programmquellen können bei Bedarf zu einem einzigen Übertragungsstrom multiplexiert werden. Diese Pakete können Daten für verschiedene Anwendungen oder Fernsehprogramme enthalten. Der illustrierte Übertragungsstrom beinhaltet Audio-(A) und Video-(V) Pakete eines Fernsehprogramms sowie Pakete von zwei interaktiven Anwendungsmodulen (M1, M2). Die Pakete werden wie nachfolgend erläutert formatiert, um die Rekonstruktion der Pakete zu jeweiligen Programmen und Modulen zu ermöglichen. Es ist zu bemerken, dass mehrere Module gleichzeitig übertragen werden können, indem ihre Pakete im Übertragungssignal kombiniert werden. Die Figur illustriert das Zeitmultiplexieren der Pakete der Module und des Fernsehprogramms. Die Module brauchen nicht zum selben Karussell zu gehören, um gemeinsam überragen zu werden. Aus der Figur ist ersichtlich, dass es typischerweise mehr Pakete von Videodaten für ein bestimmtes Fernsehprogramm gibt als Audiodaten für dieses Programm, und zwar infolge der größeren Menge an Videodaten, die typischerweise übertragen werden müssen.
  • Das Rundfunksignal wird vom Aufsatzgerät 22 empfangen. Das Aufsatzgerät 22 kann eine Modemverbindung zum Empfangen eines http-Signals haben. Es ist vorgesehen, dass das Aufsatzgerät 22 eine Modulmanagementeinheit beinhaltet, die zum Erkennen von Paketen konfiguriert ist, die Modulen entsprechen, die für die Ausführung einer interaktiven Fernsehanwendung benötigt werden. Die Module sind nicht unbedingt für den Beginn der Ausführung der jeweiligen Anwendung notwendig, werden aber möglicherweise nach Beginn der Ausführung von der Anwendung angefordert.
  • Das Aufsatzgerät 22 demultiplexiert die Pakete und trennt die Moduldaten enthaltenden Pakete von Paketen, die Audio und Video für Fernsehprogramme enthalten. Die Modulmanagementeinheit erkennt Modulpakete und ermittelt, ob diese Pakete Modulen entsprechen, die die ausführende Anwendung benötigt. Das Aufsatzgerät rekonstruiert dann die Module von den entsprechenden Paketen und rekonstruiert die Fernsehprogramme anhand der Pakete, die die zugehörigen Audio- und Videodaten enthalten. Wie oben erläutert, sind die Module im RAM 37 gespeichert, wo sie für die Verwendung durch in der Steuereinheit 35 ablaufende Anwendungen zur Verfügung stehen.
  • Die Module innerhalb eines bestimmten Karussells werden von einem einzelnen Erzeuger erstellt, der beabsichtigt, dass die Module aufeinander zugreifen können. Wenn mehr als eines der Module eine bestimmte Tätigkeit in Bezug auf ein anderes der Module durchführen muss, dann wird davon ausgegangen, dass das erste Modul die entsprechenden Genehmigungen hat. Wenn es Beschränkungen über die Tätigkeiten des ersten Moduls gibt, dann liegt es in der Verantwortlichkeit des Programmierers, diese Beschränkungen durchzusetzen. Es ist gewöhnlich nicht notwendig, dass der Zugang zwischen diesen Modulen durch einen Sicherheitsmechanismus beschränkt wird. Wie oben erwähnt, können Anwendungen jedoch so ausgelegt sein, dass sie mit Modulen interagieren, die zu anderen Karussells gehören, oder sie können so ausgelegt sein, dass eine Tätigkeit durchgeführt wird, die nicht von allen Modulen durchgeführt werden darf. Es ist daher wünschenswert, ein Sicherheitsgerät zu implementieren, das für Zwecke wie System- und Anwendungssicherheit steuert, welche Module eines Karussells beschränkte Vorgänge durchführen dürfen. (Auch wenn die Module möglicherweise tatsächlich die beschränkten Vorgänge durchführen dürfen, werden Zugriffsrechte im Allgemeinen auf Karussellbasis zugewiesen, so dass sich die nachfolgende Beschreibung auf die Zuweisung von Rechten zu Karussells bezieht).
  • Ein Modul kann die Genehmigung zur Durchführung eines beschränkten Vorgangs über einen Berechtigungsnachweis erhalten. Ein Berechtigungsnachweis ist eine Sammlung von Informationen, die gewöhnlich das Karussell identifiziert, und kann als Nachweis für die Befugnis des Moduls genommen werden, den beschränkten Vorgang durchzuführen. Der beschränkte Vorgang kann ein beliebiger der Vorgänge sein, die von Anwendungen im interaktiven Fernsehsystem durchgeführt werden. Dabei kann es sich beispielsweise um einen Vorgang handeln, in dem eine Anwendung die Ausführung einer anderen Anwendung unterbricht oder wieder aufnimmt, die von der anderen Anwendung erzeugte Anzeige verbirgt oder zeigt oder Meldungen zu der anderen Anwendung sendet. Diese Beispiele sollen lediglich einige der Rechte illustrieren, die gewährt werden können, und sollen keine erschöpfende Liste sein.
  • In einer Ausgestaltung kann der Erzeuger eines Karussells einen Berechtigungsnachweis erzeugen, der es ausgewählten Anwendungen gestatten soll, die Ausführung der im Karussell gespeicherten Anwendung einzuleiten oder zu beenden. So kann das Karussell beispielsweise eine elektronische kommerzielle Anwendung umfassen, die es interaktiven Fernsehbenutzern gestattet, per Kreditkartentransaktionen Einkäufe zu tätigen. Bestimmte Online-Einkaufsanwendungen können autorisiert werden, die Kreditkarten-Transaktionsanwendung einzuleiten, damit Käufe getätigt werden können. Dieselben Anwendungen, oder möglicherweise auch ein anderer Satz von Anwendungen, können autorisiert werden, die Kreditkarten-Transaktionsanwendung zu beenden, wenn sie zum Stillstand kommt oder die Transaktion nicht zu Ende bringen kann. Die Anwendungen, die die Kreditkartenanwendung eingeleitet haben, könnten dadurch die Kontrolle wieder erlangen und die Ausführung trotz der Unfähigkeit, die Kreditkartentransaktion zu vollenden, wieder aufnehmen.
  • In diesem Beispiel erstellt der Erzeuger der Kreditkartenanwendung den Berechtigungsnachweis und verteilt den Berechtigungsnachweis an andere Erzeuger, die Zugang zur Kreditkartenanwendung haben sollen (z. B. diejenigen, die die Verwendung der Anwendung lizenziert haben). Der Berechtigungsnachweis kann mit sicheren Mitteln erstellt werden, so dass zur Laufzeit ermittelt werden kann, ob der Berechtigungsnachweis tatsächlich vom Erzeuger der Kreditkartenanwendung erstellt wurde (der "Zuordner- Karussell" genannt werden kann). So kann der Berechtigungsnachweis beispielsweise ein Zertifikat beinhalten, um die Authentifizierung des Berechtigungsnachweises zu ermöglichen. Die Erzeuger, an die der Berechtigungsnachweis verteilt wird, können den Berechtigungsnachweis in ihre eigenen Karussells einbauen (die "Zuordnungsempfänger- Karussells" genannt werden können), die die Kreditkartenanwendung möglicherweise einleiten/beenden müssen. Es ist vorgesehen, dass der Berechtigungsnachweis dem System separat von der/den Anwendung(en) zugestellt wird, mit der/denen er assoziiert ist. Der Berechtigungsnachweis kann in dem System gespeichert werden, so dass die darin enthaltenen Informationen nach Empfang oder Ausführung der Anwendung zur Verfügung stehen.
  • Es ist zu bemerken, dass sich der Berechtigungsnachweis von einem Zertifikat unterscheidet, das gewöhnlich verwendet wird, um einfach die Gültigkeit einer Anwendung selbst zu authentifizieren und um den Erzeuger der Anwendung zu identifizieren. Das System kann bestimmte Rechte und/oder Beschränkungen implizieren, die mit dem Erzeuger der Anwendung assoziiert sind (z. B. wird es möglicherweise nur bestimmten Erzeugern gestattet, Anwendungen zu erstellen, die das Modem verwenden).
  • In einer Ausgestaltung dürfen bestimmte Anwendungen möglicherweise gleichzeitig laufen, während dies in anderen Anwendungen nicht gestattet wird. Mit Hilfe eines Berechtigungsnachweises kann die gleichzeitige Ausführung der Anwendungen gesteuert werden. Der Berechtigungsnachweis kann Daten enthalten, die eine oder mehrere Anwendungen anzeigen, die zur gleichen Zeit wie die erste Anwendung ausgeführt werden dürfen. Wenn die erste Anwendung abläuft, dann kann ein Versuch zum Ausführen einer zweiten Anwendung zur Folge haben, dass das System den entsprechenden Berechtigungsnachweis prüft, um zu ermitteln, ob die zweite Anwendung gleichzeitig ausgeführt werden darf. Wenn der Berechtigungsnachweis anzeigt, dass die zweite Anwendung gleichzeitig ablaufen darf, dann wird die zweite Anwendung eingeleitet. Wenn nicht, dann wird die zweite Anwendung nicht eingeleitet. In einer anderen Ausgestaltung kann der Berechtigungsnachweis möglicherweise Daten beinhalten, die eine oder mehrere Anwendungen anzeigen, die nicht gleichzeitig mit der ersten Anwendung ablaufen dürfen. In diesem Fall würde ein Versuch zum Ausführen der zweiten Anwendung zur Folge haben, dass das System den entsprechenden Berechtigungsnachweis prüft, um zu ermitteln, ob die zweite Anwendung nicht gleichzeitig ablaufen darf Eine Einleitung der zweiten Anwendung würde dann auf der Basis der im Berechtigungsnachweis enthaltenen Daten zugelassen oder verboten.
  • In einer Ausgestaltung wird der Berechtigungsnachweis durch das Zuordnungsempfänger-Karussell dem interaktiven Fernsehsystem vorgelegt, um zu prüfen, ob dieses die Kreditkartenanwendung einleiten/beenden darf Das System erlaubt die Durchführung dieser Tätigkeit nach der Prüfung des Berechtigungsnachweises und des entsprechenden Rechtes zum Einleiten/Beenden der Anwendung. Das interaktive Fernsehsystem prüft den Berechtigungsnachweis durch Vergleichen der im Berechtigungsnachweis vorgegebenen Erzeuger- und Anwendungs-IDs mit den Kreditkarten- und Zuordnungsempfänger-Karussells. Das System prüft auch, ob der Berechtigungsnachweis abgelaufen ist, gemäß Angabe eines Ablaufdatums im Berechtigungsnachweis. Es ist vorgesehen, dass die Prüfung der Berechtigungsnachweise entweder vor oder nach der Ausführung der Anwendung durchgeführt werden darf, die Zugriff zu anderen Karussells anfordert. In anderen Ausgestaltungen können Berechtigungsnachweise separat von der Anwendung zum System übertragen werden. So kann beispielsweise ein Satz von Berechtigungsnachweisen, die die beschränkten Zugriffe und Vorgänge für alle im Aufsatzgerät ausgeführten Anwendungen steuern, in regelmäßigen Abständen in ein Aufsatzgerät geladen werden.
  • In einer anderen Ausgestaltung beinhaltet die beschränkte Tätigkeit evtl. nicht die Interaktion mit einem anderen Karussell oder einer anderen Anwendung. Die beschränkte Tätigkeit kann stattdessen Funktionen wie die Verwendung von Systembetriebsmitteln beinhalten. So kann es beispielsweise bestimmten Anwendungen gestattet werden, auf beschränkte Teile des Speichers im Aufsatzgerät zuzugreifen oder Daten über den Rückführungspfad zur Sendestation zu übertragen. In diesem Fall kann der Berechtigungsnachweis vom Rundfunkdiensteanbieter oder vom Besitzer des interaktiven Fernsehsystems erstellt werden. Der Berechtigungsnachweis kann an die Erzeuger von Anwendungen verteilt werden, denen der Zugriff auf die beschränkten Systembetriebsmittel gestattet ist. Nach der Ausführung wird der Berechtigungsnachweis dem interaktiven Fernsehsystem vorgelegt und der Zugriff auf die entsprechenden Betriebsmittel zugelassen.
  • Vor dem Beschreiben der Berechtigungsnachweisstruktur ist zu bemerken, dass es eine Reihe verschiedener Sicherheitssysteme gibt, die mit "Public-Key"-Verschlüsselung arbeiten. Public-Key-Verschlüsselungssysteme können verschiedene Verschlüsselungsalgorithmen verwenden. Eine Ausgestaltung arbeitet mit RSA (Rivest, Shamir & Adleman) und DES (Data Encryption Standard) Algorithmen. Die Public-Key- Verschlüsselung arbeitet mit einem Paar Verschlüsselungskeys, von denen der eine Private- Key und der andere Public-Key genannt werden. Der Private-Key wird von seinem Besitzer geheim gehalten, während der Public-Key frei verfügbar ist. Eine Meldungs- oder sonstige Datei, die mit dem Public-Key verschlüsselt ist, kann nur mit dem Private-Key entschlüsselt werden. Ebenso kann eine Datei, die mit dem Private-Key verschlüsselt ist, nur mit dem Public-Key entschlüsselt werden. Wenn eine Nachricht mit einem der Keys verschlüsselt ist, wird sie in einen anscheinend zufallsmäßigen Satz von Zeichen umgewandelt. Wenn dann eine mit einem Public-Key verschlüsselte Nachricht zum Inhaber des Private-Key gesendet wird, dann kann der Sender sicher sein, dass auch dann, wenn die Nachricht abgefangen wurde, nur der beabsichtigte Empfänger (der den Private-Key hat) die Nachricht entschlüsseln und lesen kann. Wenn eine Nachricht signiert anstatt verschlüsselt ist, bleibt sie in lesbarer Form, aber es wird eine verschlüsselte Signatur an die Nachricht angehängt. Wenn jemand, der die Nachricht sieht, sie lesen kann, dann wird mit Hilfe der Signatur überprüft, ob die Nachricht vom Inhaber des Private-Keys stammte. Außerdem, da der Algorithmus, der die Signatur verschlüsselt, teilweise von der Nachricht abhängig ist, die der Signatur voransteht, hat eine eventuelle Änderung der Nachricht zur Folge, dass die Signatur nicht mehr verifiziert werden kann. Somit wird die Signatur benutzt, um zu gewährleisten, dass die Nachricht unverändert ist.
  • Fig. 6a zeigt ein Diagramm einer einfachen Berechtigungsnachweis-Datenstruktur 60. Dieser Berechtigungsnachweis und der in Fig. 6b gezeigte Berechtigungsnachweis können für Zugriffe zwischen Karussells sowie für andere beschränkte Zugriffe verwendet werden. Es ist zu bemerken, dass sich die nachfolgende Beschreibung zwar auf Zugriffe zwischen Karussells konzentriert, diese Berechtigungsnachweise aber auch zum Identifizieren jedes/jeder beliebigen Typs oder Kombination von Beschränkungen verwendet werden können und dass die Beispiele illustrativ und nicht begrenzend sind.
  • Der Berechtigungsnachweis 60 beinhaltet Zuordnerkarussellinformationen, Zuordnungsempfänger-Karussellinformationen, ein Ablaufdatum und ein Erzeugerzertifikat. Der Berechtigungsnachweis ist signiert, um eine Verifikation seiner Authentizität zu ermöglichen. Die Zuordnerinformationen beinhalten die Erzeuger-ID 61 und die Karussell-ID 62 für das Zuordnerkarussell. Ebenso beinhalten die Zuordnungsempfänger-Informationen die Erzeuger-ID 63 und die Karussell-ID 64 für das Zuordnungsempfänger-Karussell. Das Ablaufdatum 65 kann in den Berechtigungsnachweis einbezogen werden, um die Periode zu begrenzen, für die der Berechtigungsnachweis gültig ist. Der illustrierte Berechtigungsnachweis beinhaltet auch Genehmigungsdaten 68. Diese Daten identifizieren die Genehmigungen, die das Zuordnungsempfänger-Karussell in Bezug auf den Zugriff auf beschränkte Betriebsmittel oder die Durchführung anderer beschränkter Vorgänge hat. Genehmigungsdaten 68 können aus einem beliebigen Typ von Daten bestehen, die in der Lage sind, die Genehmigungen des Karussells zu identifizieren. In einer Ausgestaltung können Genehmigungsdaten 68 individuelle Bits umfassen, die bestimmte Genehmigungen bestätigen oder verweigern, die vorbestimmten Positionen der Bits entsprechen, während sie in einer anderen Ausgestaltung eine Mehrzahl von Bytes umfassen können, die bestimmte Genehmigungen explizit identifizieren. Es ist zu bemerken, dass diese Daten zum Identifizieren von Rechten oder Beschränkungen in Verbindung mit einem Karussell verwendet werden können und nicht auf Betriebsmittelzugriffsbeschränkungen begrenzt sind.
  • Der Berechtigungsnachweis enthält ein Erzeugerzertifikat 66. Mit Hilfe des Erzeugerzertifikats 66 wird der Berechtigungsnachweis authentifiziert und sichergestellt, dass er vom Erzeuger erstellt wurde. Das Erzeugerzertifikat 66 umfasst den Public-Key des Erzeugers, signiert von einem Treuhänder. (Ein Treuhänder ist jemand, der sich für die Authentizität des Schlüssels verbürgen kann. Die Signatur des Treuhänders ist verschlüsselt und in den Key eingebaut.) Der Key des Treuhänders ist bekannt, das heißt, er ist im System gespeichert und für das System ständig verfügbar. Der gesamte Berechtigungsnachweis 60 wird dann mit dem Private-Key des Erzeugers signiert 67, um zu gewährleisten, dass keine Daten im Berechtigungsnachweis 60 modifiziert werden können. Ein ähnlicher Typ von Berechtigungsnachweis kann vom Rundfunkdiensteanbieter verwendet werden, um es zuzulassen, dass Empfangsstationen die Funktionen von Modulen steuern, die vom Rundfunkdiensteanbieter kommen.
  • Es ist offensichtlich, dass die Verwendung eines einzigen Berechtigungsnachweises für jede Instanz einer Anwendung, die den Zugriff auf ein Karussell verlangt, zur Folge haben kann, dass ein Zuordnungsempfänger-Karussell eine sehr große Zahl von Berechtigungsnachweisen führen muss. Wenn ein Karussell möglicherweise Zugriff auf viele andere Karussells anderer Erzeuger benötigt, dann würde ein Berechtigungsnachweis für jedes dieser Karussells benötigt. Das Erstellen und Führen einer so großen Zahl von Berechtigungsnachweisen kann auch die Notwendigkeit eines großen Koordinationsaufwands zwischen Erzeugern mit sich bringen. Das Berechtigungsnachweissystem kann somit erhebliche Overheads erzeugen, die die von ihm geschaffenen Sicherheitsvorteile überwiegen können.
  • In einer Ausgestaltung wird dieses Problem dadurch angegangen, dass es einem Berechtigungsnachweis gestattet wird, eine Reihe von Zuordnungsempfänger- Anwendungen (nach Erzeuger-ID und Anwendungs-ID) und eine oder mehrere Zuordneranwendungen aufzuführen. So kann beispielsweise, wie in Fig. 6b gezeigt, ein Berechtigungsnachweis 70 eine einzige Zuordner-Erzeuger-ID 71, ein Ablaufdatum 72 und Genehmigungsdaten 78 beinhalten. Der Berechtigungsnachweis 70 kann dann mehrere Serien von IDs 73a-73c aufführen, wobei jede Serie eine Zuordner-Anwendungs-ID 74, eine Zuordnungsempfänger-Erzeuger-ID 75 und eine Zuordnungsempfänger-Anwendungs- ID 76 hat. Somit identifiziert jede aus der Serie von Informationen ein(e) Zuordner- Anwendung/Karussell, die/das sich im Besitz des Zuordner-Erzeugers befindet, und eine Anwendung, die befugt ist, auf die identifizierte Zuordneranwendung zuzugreifen. Die Zuordnungsempfänger-Anwendung ist, wie oben beschrieben, durch eine Zuordnungsempfänger-Erzeuger-ID 75 und eine Zuordnungsempfänger-Anwendungs-ID 76 identifiziert. Der Berechtigungsnachweis 70 enthält ein signiertes Erzeugerzertifikat 77 für Authentifzierungszwecke, und der gesamte Berechtigungsnachweis 70 wird auf dieselbe Weise signiert 79 wie der zuvor beschriebene Berechtigungsnachweis.
  • Eine Ausgestaltung setzt Wildcards ein, um die potentielle Zahl von Berechtigungsnachweisen, die für ein bestimmtes Karussell geführt werden muss, noch weiter zu reduzieren. Die Erzeuger- oder Anwendungs-IDs des Zuordnungsempfängers oder die Anwendungs-ID des Zuordnerkarussells können durch Wildcards ersetzt werden. Wildcards sind spezifische IDs, die als Wildcards vordefiniert sind. So kann beispielsweise eine ID, die nur aus Nullen oder nur aus Einsen besteht, als Wildcard definiert werden. Wenn dem System ein Berechtigungsnachweis zur Verifikation vorgelegt wird, dann wird eine Wildcard so angesehen, dass sie mit allen IDs identisch übereinstimmt, mit denen sie verglichen wird. In dieser Ausgestaltung kann die Erzeuger-ID des Zuordners keine Wildcard sein, weil das System in der Lage sein muss zu prüfen, ob der Zuordner tatsächlich der Erzeuger des Berechtigungsnachweises war. Wenn die Zuordner- Anwendungs-ID eine Wildcard ist, dann kann der vorgegebene Zuordnungsempfänger auf alle Karussells des Zuordner-Erzeugers zugreifen. Wenn die Zuordnungsempfänger- Anwendungs-ID eine Wildcard ist, dann kann jedes Karussell des vorgegebenen Zuordnungsempfängers (Erzeugers) auf das/die vorgegebene(n) Zuordnerkarussell(s) zugreifen. Wenn sowohl Zuordnungsempfänger-Erzeuger-ID als auch Zuordnungsempfänger-Anwendungs-ID Wildcards sind, dann kann ein beliebiges Karussell auf das vorgegebene Zuordnerkarussell zugreifen. Wildcards können mit beiden oben beschriebenen Berechtigungsnachweisen verwendet werden (d. h. Berechtigungsnachweis mit einem Zuordner, einem Zuordnungsempfänger oder Berechtigungsnachweis mit mehreren Zuordnern/Zuordnungsempfängern).
  • Während die oben beschriebene Ausgestaltung Berechtigungsnachweise auf der Ebene des Karussells verwendet, ist auch vorgesehen, dass alternative Ausgestaltungen möglicherweise Berechtigungsnachweise oder andere Sicherheitsmaßnahmen auf Modulebene implementieren. Alternative Sicherheitsmaßnahmen können die Verschlüsselung der Module, die Durchführung einer Hash-Funktion über den Modulen und Einbeziehen des Hash-Wertes in das entsprechende Verzeichnismodul oder dergleichen beinhalten. Ein Berechtigungsnachweisvorgang oder eine andere Sicherheitsmaßnahme im Verzeichnismodul würde typischerweise nach dem Einfügen beispielsweise der Hash-Werte der übrigen Module in das Verzeichnismodul implementiert.
  • Es ist vorgesehen, dass Verschlüsselungssysteme ähnlich den oben beschriebenen für die Zugriffe zwischen Karussells auch für die Zwecke des Prüfens der Authentizität von Karussells oder Modulen verwendet werden, die von einem Aufsatzgerät empfangen werden. Ein Karussell (oder genauer gesagt sein Verzeichnismodul) kann ein Zertifikat enthalten, das mit dem Private-Key des Erzeugers verschlüsselt ist. Das Aufsatzgerät, das eine Kopie des Public-Key des Erzeugers hat, kann prüfen, ob das Karussell vom Erzeuger kommt, indem es das Zertifikat mit dem Public-Key entschlüsselt. Es können auch Hash- Funktionen wie oben beschrieben verwendet werden, um die Authentizität der Nicht- Verzeichnismodule zu gewährleisten.
  • Es ist ferner vorgesehen, dass das oben beschriebene Berechtigungsnachweissystem auf die Ausführung von Anwendungen in anderen Umgebungen als interaktives Fernsehen ausgeweitet werden kann. So kann das System beispielsweise in einem universellen Desktop-Computer zum Steuern der Ausführung von Anwendungen darauf implementiert werden. Solche alternativen Ausgestaltungen könnten auf dieselbe Weise ablaufen wie oben beschrieben, obwohl das Mittel zum Zuführen der Anwendungen und Berechtigungsnachweise zum System an die jeweilige Umgebung angepasst werden müsste, und die Ausgabe der Anwendungen könnte möglicherweise nicht interaktiv oder für die Anzeige auf einem Fernseher geeignet sein.
  • Die Einzelheiten der oben beschriebenen besonderen Ausgestaltungen können modifiziert werden, ohne von Wesen und Umfang der Erfindung gemäß Definition in den beiliegenden Ansprüchen abzuweichen. Die oben beschriebenen Ausgestaltungen sollen demzufolge exemplarisch und nicht begrenzend sein. Es ist vorgesehen, dass verschiedene Modifikationen und alternative Ausgestaltungen für die Fachperson im Bereich der Erfindung offensichtlich sein werden.

Claims (35)

1. Verfahren zum Steuern von Funktionen einer ersten empfangenen interaktiven Fernsehanwendung in einem interaktiven Fernsehsystem (10, 20), dadurch gekennzeichnet, dass das Verfahren die folgenden Schritte umfasst:
Empfangen eines Berechtigungsnachweises (60, 70), der so konfiguriert ist, dass er Berechtigungen der genannten ersten Anwendung zum Ausführen bestimmter Funktionen identifiziert, wobei der genannte Berechtigungsnachweis Informationen (68, 78) umfasst, die:
die genannte empfangene erste Anwendung identifizieren;
Rechte über eine oder mehrere beschränkte Funktionen identifizieren, die von der genannten ersten Anwendung ausgeführt werden dürfen; und
ein Objekt identifizieren, auf das die genannte(n) eine oder mehreren beschränkten Funktion(en) gerichtet ist/sind;
wobei die genannte erste Anwendung versucht, eine erste Funktion der genannten einen oder mehreren beschränkten Funktionen auszuführen;
bestimmen, ob die genannte erste Anwendung berechtigt ist, die genannte erste Funktion auszuführen, wobei die genannte Bestimmung das Bestimmen umfasst, ob die genannte Information angibt, dass die genannte erste Anwendung genügend Rechte zur Ausführung der genannten ersten Funktion hat; und
zulassen, dass die genannte erste Anwendung die genannte erste Funktion als Reaktion auf die Erkennung ausführt, dass die genannte erste Anwendung berechtigt ist, die genannte erste Funktion auszuführen.
2. Verfahren nach Anspruch 1, bei dem der genannte Berechtigungsnachweis ferner Folgendes umfasst:
Zuordnerinformationen (61, 62), die das genannte Objekt eindeutig identifizieren;
und
Zuordnungsempfängerinformationen (63, 64), die die genannte erste Anwendung eindeutig identifizieren.
3. Verfahren nach Anspruch 2, bei dem die genannten Zuordnerinformationen eine Zuordner-Erzeuger-ID (61) und eine Zuordner-Anwendungs-ID (62) umfassen, und wobei die genannten Zuordnungsempfängerinformationen eine Zuordnungsempfänger-Erzeuger- ID (63) und eine Zuordnungsempfänger-Anwendungs-ID (64) umfassen.
4. Verfahren nach Anspruch 1, bei dem der genannte Berechtigungsnachweis ferner Folgendes umfasst:
Zuordnerinformationen (71, 74a-74c), die das genannte Objekt und andere Objekte eindeutig identifizieren; und
Zuordnungsempfängerinformationen (75a-75c, 76a-76c), die die genannte erste Anwendung sowie weitere Anwendungen eindeutig identifizieren.
5. Verfahren nach Anspruch 4, bei dem die genannten Zuordnerinformationen eine Zuordner-Erzeuger-ID (71) und eine Mehrzahl von Zuordner-Anwendungs-IDs (74a-74c) umfassen und wobei die genannten Zuordnungsempfängerinformationen eine Mehrzahl von Zuordnungsempfänger-Erzeuger-IDs (75a-75c) und eine entsprechende Mehrzahl von Zuordnungsempfänger-Anwendungs-IDs (76a-76c) umfassen.
6. Verfahren nach Anspruch 4 und 5, wobei der genannte Berechtigungsnachweis (60, 70) ferner ein Ablaufdatum (65, 72) umfasst, jenseits dessen der genannte Berechtigungsnachweis nicht mehr gültig ist.
7. Verfahren nach Anspruch 1, bei dem das genannte Objekt ein Karussell von Modulen umfasst, die einer zweiten Anwendung entsprechen, wobei der genannte Berechtigungsnachweis als Teil des genannten Karussells empfangen wird, und wobei die genannte erste Funktion die genannte Anwendung umfasst, die die Ausführung der genannten zweiten Anwendung einleitet.
8. Verfahren nach Anspruch 1, bei dem der genannte Berechtigungsnachweis ferner zusätzliche Informationen umfasst, die so konfiguriert sind, dass sie eine Authentifizierung des genannten Berechtigungsnachweises ermöglichen.
9. Verfahren nach Anspruch 8, bei dem die genannten Zusatzinformationen ein Erzeugerzertifikat (66) umfassen, wobei das genannte Erzeugerzertifikat eine Public-key- Verschlüsselung umfasst, die von einem Treuhänder signiert ist.
10. Verfahren nach Anspruch 9, bei dem der genannte Berechtigungsnachweis ferner mit einer Private-key-Verschlüsselung (67) signiert ist, um die Verifizierung der Integrität des genannten Berechtigungsnachweises zu ermöglichen.
11. Verfahren nach Anspruch 5, bei dem eine oder mehrere der genannten Zuordner- Anwendungs-IDs (74a-74c), Zuordnungsempfänger-Erzeuger-IDs (75a-75c) und Zuordnungsempfänger-Anwendungs-IDs (76a-76c) eine Wildcard ist/sind, wobei die genannte Wildcard als mit allen IDs übereinstimmend angesehen wird, mit denen sie verglichen wird.
12. Verfahren nach Anspruch 1, bei dem die genannte erste Anwendung eine Mehrzahl von Modulen umfasst und wobei der genannte Berechtigungsnachweis ferner ein bestimmtes Modul der genannten ersten Anwendung identifiziert und die genannte erste Funktion einer Funktion des genannten bestimmten Moduls entspricht.
13. Verfahren nach Anspruch 1, bei dem das genannte Objekt ein Karussel von empfangenen Modulen umfasst, die einer zweiten Anwendung entsprechen, und wobei die genannte erste Funktion das Zugreifen auf ein Modul der genannten Module umfasst.
14. Verfahren nach Anspruch 12 und 13, wobei die genannten Module der genannten ersten Anwendung und die genannten Module des genannten Objekts unverschlüsselt empfangen werden.
15. Verfahren nach Anspruch 1, bei dem das genannte Objekt eine zweite Anwendung umfasst und wobei die genannte erste Funktion entweder die Beendigung der Ausführung der genannten zweiten Anwendung oder die Einleitung der Ausführung der genannten zweiten Anwendung umfasst.
16. Verfahren nach Anspruch 1, bei dem das genannte interaktive Fernsehsystem eine Rundfunkstation (10) und eine Empfangsstation (20) umfasst, wobei das Verfahren ferner das Senden der genannten ersten interaktiven Fernsehanwendung von der genannten Rundfunkstation zu der genannten Empfangsstation umfasst.
17. Vorrichtung in einem interaktiven Fernsehsystem zum Steuern von Funktionen, die von einer ersten empfangenen interaktiven Fernsehanwendung in einem interaktiven Fernsehsystem (10, 20) versucht werden, dadurch gekennzeichnet, dass die genannte Vorrichtung Folgendes umfasst:
einen Empfänger (20), der so konfiguriert ist, dass er:
ein interaktives Rundfunk-Fernsehsignal empfängt, das die genannte erste Anwendung enthält; und
einen Berechtigungsnachweis (60, 70) empfängt, der so konfiguriert ist, dass er Berechtigungen der genannten ersten Anwendung zur Ausführung bestimmter Funktionen identifiziert, wobei der genannte Berechtigungsnachweis Informationen (68, 78) umfasst, die:
die genannte empfangene erste Anwendung identifizieren;
Rechte identifizieren, die einer oder mehreren beschränkten Funktionen entsprechen, die von der genannten ersten Anwendung ausgeführt werden dürfen; und
ein Objekt identifizieren, auf das die genannte(n) eine oder mehreren beschränkten Funktion(en) gerichtet ist/sind;
ein Datenspeichergerät (22) zum Speichern der genannten ersten Anwendung; und
eine Steuereinheit, die so konfiguriert ist, dass sie:
einen Versuch der ersten Anwendung erkennt, eine erste Funktion der genannten einen oder mehreren beschränkten Funktion(en) auszuführen;
bestimmt, ob die genannte erste Anwendung berechtigt ist, die genannte erste Funktion auszuführen, wobei die genannte Bestimmung das Bestimmen umfasst, ob die genannte Information angibt, dass die genannte erste Anwendung genügend Rechte zur Ausführung der genannten ersten Funktion hat; und
zulässt, dass die genannte erste Anwendung die genannte erste Funktion als Reaktion auf die Erkennung ausführt, dass die genannte erste Anwendung berechtigt ist, die genannte erste Funktion auszuführen.
18. Vorrichtung nach Anspruch 17, bei dem der genannte Berechtigungsnachweis ferner Folgendes umfasst:
Zuordnerinformationen (61, 62), die das genannte Objekt eindeutig identifizieren;
und Zuordnungsempfängerinformationen (63, 64), die die genannte erste Anwendung eindeutig identifizieren.
19. Vorrichtung nach Anspruch 18, bei der die genannten Zuordnerinformationen eine Zuordner-Erzeuger-ID (61) und eine Zuordner-Anwendungs-ID (62) umfassen, und wobei die genannten Zuordnungsempfängerinformationen eine Zuordnungsempfänger-Erzeuger- ID (63) und eine Zuordnungsempfänger-Anwendungs-ID (64) umfassen.
20. Vorrichtung nach Anspruch 17, bei der der genannte Berechtigungsnachweis ferner Folgendes umfasst:
Zuordnerinformationen (71, 74a-74c), die das genannte Objekt und andere Objekte eindeutig identifizieren; und
Zuordnungsempfängerinformationen (75a-75c, 76a-76c), die die genannte erste Anwendung sowie weitere Anwendungen eindeutig identifizieren.
21. Vorrichtung nach Anspruch 20, bei der die genannten Zuordnerinformationen eine Zuordner-Erzeuger-ID (71) und eine Mehrzahl von Zuordner-Anwendungs-IDs (74a-74c) umfassen und wobei die genannten Zuordnungsempfängerinformationen eine Mehrzahl von Zuordnungsempfänger-Erzeuger-IDs (75a-75c) und eine entsprechende Mehrzahl von Zuordnungsempfänger-Anwendungs-IDs (76a-76c) umfassen.
22. Vorrichtung nach Anspruch 19 und 21, bei der der genannte Berechtigungsnachweis (60, 70) ferner ein Ablaufdatum (65, 72) umfasst, jenseits dessen der genannte Berechtigungsnachweis nicht mehr gültig ist.
23. Vorrichtung nach Anspruch 17, bei der das genannte Objekt ein Karussell von Modulen umfasst, die einer zweiten Anwendung entsprechen, wobei der genannte Berechtigungsnachweis als Teil des genannten Karussells empfangen wird, und wobei die genannte erste Funktion die genannte erste Anwendung umfasst, die die Ausführung der genannten zweiten Anwendung einleitet.
24. Vorrichtung nach Anspruch 17, bei der der genannte Berechtigungsnachweis ferner zusätzliche Informationen umfasst, die so konfiguriert sind, dass sie eine Authentifizierung des genannten Berechtigungsnachweises ermöglichen.
25. Vorrichtung nach Anspruch 24, bei der die genannten Zusatzinformationen ein Erzeugerzertifikat (66) umfassen, wobei das genannte Erzeugerzertifikat eine Public-key- Verschlüsselung umfasst, die von einem Treuhänder signiert ist.
26. Vorrichtung nach Anspruch 25, bei der der genannte Berechtigungsnachweis ferner mit einer Private-key-Verschlüsselung (67) signiert ist, um die Verifizierung der Integrität des genannten Berechtigungsnachweises zu ermöglichen.
27. Vorrichtung nach Anspruch 21, bei der eine oder mehrere der genannten Zuordner- Anwendungs-IDs (74a-74c), Zuordnungsempfänger-Erzeuger-IDs (75a-75c) und Zuordnungsempfänger-Anwendungs-IDs (76a-76c) eine Wildcard ist/sind, wobei die genannte Wildcard als mit allen IDs übereinstimmend angesehen wird, mit denen sie verglichen wird.
28. Vorrichtung nach Anspruch 17, bei der die genannte erste Anwendung eine Mehrzahl von Modulen umfasst und wobei der genannte Berechtigungsnachweis ferner ein bestimmtes Modul der genannten ersten Anwendung identifiziert und die genannte erste Funktion einer Funktion des genannten bestimmten Moduls entspricht.
29. Vorrichtung nach Anspruch 17, bei der das genannte Objekt ein Karussel von empfangenen Modulen umfasst, die einer zweiten Anwendung entsprechen, und wobei die genannte erste Funktion das Zugreifen auf ein Modul der genannten Module umfasst.
30. Vorrichtung nach Anspruch 28 und 29, bei der die genannten Module der genannten ersten Anwendung und die genannten Module des genannten Objekts unverschlüsselt empfangen werden.
31. Vorrichtung nach Anspruch 17, bei der das genannte Objekt eine zweite Anwendung umfasst und wobei die genannte erste Funktion entweder die Beendigung der Ausführung der genannten zweiten Anwendung oder die Einleitung der Ausführung der genannten zweiten Anwendung umfasst.
32. Vorrichtung nach Anspruch 17, bei der das genannte interaktive Fernsehsystem eine Rundfunkstation (10) und eine Empfangsstation (20) umfasst, wobei die genannte Rundfunkstation so konfiguriert ist, dass sie die genannte erste Anwendung von der genannten Rundfunkstation zu der genannten Empfangsstation sendet.
33. Vorrichtung nach Anspruch 17, umfassend ein Aufsatzgerät (22).
34. Vorrichtung nach Anspruch 17, bei der der genannte Berechtigungsnachweis dem genannten Empfänger unabhängig von der genannten ersten Anwendung zugeschickt wird.
35. Interaktives Fernsehsystem, das so konfiguriert ist, dass es von einer ablauffähigen interaktiven Fernsehanwendung durchgeführte Tätigkeiten steuert, dadurch gekennzeichnet, dass das System Folgendes umfasst:
eine Rundfunkstation, die so konfiguriert ist, dass sie ein Rundfunksignal sendet, das eine erste interaktive Fernsehanwendung enthält; und
einen Empfänger (20), der so konfiguriert ist, dass er:
das genannte, die genannte erste Anwendung enthaltende interaktive Rundfunk- Fernsehsignal empfängt;
einen Berechtigungsnachweis (60, 70) empfängt, der so konfiguriert ist, dass er Berechtigungen der genannten ersten Anwendung zur Ausführung bestimmter Funktionen identifiziert, wobei der genannte Berechtigungsnachweis Informationen (68, 78) umfasst, die:
die genannte empfangene erste Anwendung identifizieren;
Rechte identifizieren, die einer oder mehreren beschränkten Funktionen entsprechen, die von der genannten ersten Anwendung ausgeführt werden können; und
ein Objekt identifizieren, auf das die genannten ein oder mehreren beschränkten Informationen gerichtet sind;
einen Versuch der genannten ersten Anwendung erkennen, eine erste Funktion der genannten ein oder mehreren beschränkten Funktionen auszuführen;
ermitteln, ob die genannte erste Anwendung berechtigt ist, die genannte erste Funktion auszuführen, wobei die genannte Bestimmung das Bestimmen umfasst, ob die genannten Informationen anzeigen, dass die genannte erste Anwendung genügend Rechte zur Ausführung der genannten ersten Funktion hat; und
zulassen, dass die genannte erste Anwendung die genannte erste Funktion als Reaktion auf die Erkennung ausführt, dass die genannte erste Anwendung berechtigt ist, die genannte erste Funktion auszuführen.
DE69906061T 1998-05-29 1999-05-25 Sicherheitsmodel für interaktive fernsehanwendung Expired - Lifetime DE69906061T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US09/087,386 US6038319A (en) 1998-05-29 1998-05-29 Security model for sharing in interactive television applications
US09/196,964 US6148081A (en) 1998-05-29 1998-11-20 Security model for interactive television applications
PCT/US1999/011537 WO1999063757A1 (en) 1998-05-29 1999-05-25 Security model for interactive television applications

Publications (2)

Publication Number Publication Date
DE69906061D1 DE69906061D1 (de) 2003-04-24
DE69906061T2 true DE69906061T2 (de) 2003-11-06

Family

ID=26776929

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69906061T Expired - Lifetime DE69906061T2 (de) 1998-05-29 1999-05-25 Sicherheitsmodel für interaktive fernsehanwendung

Country Status (11)

Country Link
US (1) US6148081A (de)
EP (1) EP1080582B1 (de)
JP (1) JP4259764B2 (de)
CN (1) CN1161999C (de)
AT (1) ATE235132T1 (de)
AU (1) AU760507B2 (de)
BR (1) BRPI9910796B1 (de)
CA (1) CA2333663C (de)
DE (1) DE69906061T2 (de)
ES (1) ES2196811T3 (de)
WO (1) WO1999063757A1 (de)

Families Citing this family (100)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10011247B2 (en) 1996-03-27 2018-07-03 Gtj Ventures, Llc Control, monitoring and/or security apparatus and method
US7253731B2 (en) 2001-01-23 2007-08-07 Raymond Anthony Joao Apparatus and method for providing shipment information
US10152876B2 (en) 1996-03-27 2018-12-11 Gtj Ventures, Llc Control, monitoring, and/or security apparatus and method
US9075136B1 (en) 1998-03-04 2015-07-07 Gtj Ventures, Llc Vehicle operator and/or occupant information apparatus and method
US7286665B1 (en) * 1999-04-06 2007-10-23 Contentguard Holdings, Inc. System and method for transferring the right to decode messages
JP4020562B2 (ja) * 1999-07-07 2007-12-12 松下電器産業株式会社 情報管理装置及びリモートコントローラ
US7581110B1 (en) 1999-08-25 2009-08-25 Nokia Corporation Key distribution for encrypted broadcast data using minimal system bandwidth
US6701528B1 (en) 2000-01-26 2004-03-02 Hughes Electronics Corporation Virtual video on demand using multiple encrypted video segments
US7069578B1 (en) 2000-02-04 2006-06-27 Scientific-Atlanta, Inc. Settop cable television control device and method including bootloader software and code version table for maintaining and updating settop receiver operating system software
US7343617B1 (en) 2000-02-29 2008-03-11 Goldpocket Interactive, Inc. Method and apparatus for interaction with hyperlinks in a television broadcast
US7367042B1 (en) 2000-02-29 2008-04-29 Goldpocket Interactive, Inc. Method and apparatus for hyperlinking in a television broadcast
US6721958B1 (en) * 2000-03-08 2004-04-13 Opentv, Inc. Optional verification of interactive television content
US8082572B1 (en) 2000-06-08 2011-12-20 The Directv Group, Inc. Method and apparatus for transmitting, receiving, and utilizing audio/visual signals and other information
US7457414B1 (en) 2000-07-21 2008-11-25 The Directv Group, Inc. Super encrypted storage and retrieval of media programs with smartcard generated keys
US8140859B1 (en) 2000-07-21 2012-03-20 The Directv Group, Inc. Secure storage and replay of media programs using a hard-paired receiver and storage device
US8205237B2 (en) 2000-09-14 2012-06-19 Cox Ingemar J Identifying works, using a sub-linear time search, such as an approximate nearest neighbor search, for initiating a work-based action, such as an action on the internet
US11467856B2 (en) 2002-12-12 2022-10-11 Flexiworld Technologies, Inc. Portable USB device for internet access service
US11204729B2 (en) 2000-11-01 2021-12-21 Flexiworld Technologies, Inc. Internet based digital content services for pervasively providing protected digital content to smart devices based on having subscribed to the digital content service
US20020062398A1 (en) 2000-11-20 2002-05-23 William Ho Chang Controller for mobile and pervasive output
EP1227667A1 (de) * 2001-01-18 2002-07-31 Sony Service Centre (Europe) N.V. Verfahren und Vorrichtung zur Bereitstellung von heruntergeladenen Objekten an eine Applikation
US20020099884A1 (en) 2001-01-19 2002-07-25 Chang William Ho Output controller systems and method for universal data output
US7269840B2 (en) * 2001-06-29 2007-09-11 Intel Corporation Method of measuring goodness of a module schedule for a carousel
US7305699B2 (en) 2001-06-29 2007-12-04 Intel Corporation Method and apparatus for generating carousels
US7406705B2 (en) * 2001-06-29 2008-07-29 Intel Corporation Carousel exhibiting multiple occurrences of a module
US20030002515A1 (en) * 2001-06-29 2003-01-02 Crinon Regis J. Method of scheduling modules on a carousel
US8413205B2 (en) 2001-09-19 2013-04-02 Tvworks, Llc System and method for construction, delivery and display of iTV content
US11388451B2 (en) * 2001-11-27 2022-07-12 Comcast Cable Communications Management, Llc Method and system for enabling data-rich interactive television using broadcast database
US8365230B2 (en) 2001-09-19 2013-01-29 Tvworks, Llc Interactive user interface for television applications
US8042132B2 (en) 2002-03-15 2011-10-18 Tvworks, Llc System and method for construction, delivery and display of iTV content
GB0122669D0 (en) * 2001-09-20 2001-11-14 Koninl Philips Electronics Nv Processing of a broadcast signal
WO2003028287A1 (en) * 2001-09-21 2003-04-03 Hughes Electronics Corporation Method and apparatus for controlling paired operation of a conditional access module and an integrated receiver and decoder
US7409562B2 (en) * 2001-09-21 2008-08-05 The Directv Group, Inc. Method and apparatus for encrypting media programs for later purchase and viewing
US7703116B1 (en) 2003-07-11 2010-04-20 Tvworks, Llc System and method for construction, delivery and display of iTV applications that blend programming information of on-demand and broadcast service offerings
US8707354B1 (en) 2002-06-12 2014-04-22 Tvworks, Llc Graphically rich, modular, promotional tile interface for interactive television
US20030196206A1 (en) 2002-04-15 2003-10-16 Shusman Chad W. Method and apparatus for internet-based interactive programming
US20040210947A1 (en) 2003-04-15 2004-10-21 Shusman Chad W. Method and apparatus for interactive video on demand
US10562492B2 (en) 2002-05-01 2020-02-18 Gtj Ventures, Llc Control, monitoring and/or security apparatus and method
US8352983B1 (en) 2002-07-11 2013-01-08 Tvworks, Llc Programming contextual interactive user interface for television
US11070890B2 (en) 2002-08-06 2021-07-20 Comcast Cable Communications Management, Llc User customization of user interfaces for interactive television
US8220018B2 (en) 2002-09-19 2012-07-10 Tvworks, Llc System and method for preferred placement programming of iTV content
US20040103434A1 (en) * 2002-11-25 2004-05-27 United Video Properties, Inc. Interactive television systems with conflict management capabilities
WO2004055638A2 (en) 2002-12-12 2004-07-01 Flexiworld Technologies, Inc. Wireless communication between computing devices
TW200507647A (en) * 2003-02-06 2005-02-16 Nagravision Sa Storage and transmission method of information generated by a security module
US20040244031A1 (en) * 2003-02-26 2004-12-02 Peter Martinez System and method for a network of interactive televisions
US11381875B2 (en) 2003-03-14 2022-07-05 Comcast Cable Communications Management, Llc Causing display of user-selectable content types
US8578411B1 (en) 2003-03-14 2013-11-05 Tvworks, Llc System and method for controlling iTV application behaviors through the use of application profile filters
US10664138B2 (en) 2003-03-14 2020-05-26 Comcast Cable Communications, Llc Providing supplemental content for a second screen experience
CN107885679B (zh) 2003-04-11 2021-10-08 富意科技公司 一种可实现自动运行的集成电路存储设备或方法
US8416952B1 (en) 2003-07-11 2013-04-09 Tvworks, Llc Channel family surf control
ES2470976T3 (es) 2003-09-12 2014-06-24 Open Tv, Inc. Método y sistema para controlar la grabación y reproducción de aplicaciones interactivas
US8819734B2 (en) * 2003-09-16 2014-08-26 Tvworks, Llc Contextual navigational control for digital television
EG23529A (en) 2003-11-05 2006-04-11 Amri Moosa E Al System and method to broadcast the video or tv anddisplaying on pc tv by choosing the required prog ram from the internet
US7580523B2 (en) 2004-01-16 2009-08-25 The Directv Group, Inc. Distribution of video content using client to host pairing of integrated receivers/decoders
US7548624B2 (en) 2004-01-16 2009-06-16 The Directv Group, Inc. Distribution of broadcast content for remote decryption and viewing
US7599494B2 (en) 2004-01-16 2009-10-06 The Directv Group, Inc. Distribution of video content using a trusted network key for sharing content
US7801303B2 (en) * 2004-03-01 2010-09-21 The Directv Group, Inc. Video on demand in a broadcast network
US7523145B2 (en) * 2004-04-22 2009-04-21 Opentv, Inc. System for managing data in a distributed computing system
US7590243B2 (en) 2004-05-04 2009-09-15 The Directv Group, Inc. Digital media conditional access system for handling digital media content
CN100344160C (zh) * 2004-07-21 2007-10-17 华为技术有限公司 一种获取用户在线信息的实现方法
US9344765B2 (en) 2004-07-30 2016-05-17 Broadband Itv, Inc. Dynamic adjustment of electronic program guide displays based on viewer preferences for minimizing navigation in VOD program selection
US7590997B2 (en) 2004-07-30 2009-09-15 Broadband Itv, Inc. System and method for managing, converting and displaying video content on a video-on-demand platform, including ads used for drill-down navigation and consumer-generated classified ads
US7631336B2 (en) 2004-07-30 2009-12-08 Broadband Itv, Inc. Method for converting, navigating and displaying video content uploaded from the internet to a digital TV video-on-demand platform
US11259059B2 (en) 2004-07-30 2022-02-22 Broadband Itv, Inc. System for addressing on-demand TV program content on TV services platform of a digital TV services provider
US9584868B2 (en) 2004-07-30 2017-02-28 Broadband Itv, Inc. Dynamic adjustment of electronic program guide displays based on viewer preferences for minimizing navigation in VOD program selection
CN101783927B (zh) * 2004-08-26 2012-06-06 富士通株式会社 内容管理方法及装置
US8201205B2 (en) 2005-03-16 2012-06-12 Tvworks, Llc Upstream bandwidth management methods and apparatus
US7818667B2 (en) 2005-05-03 2010-10-19 Tv Works Llc Verification of semantic constraints in multimedia data and in its announcement, signaling and interchange
US9325944B2 (en) 2005-08-11 2016-04-26 The Directv Group, Inc. Secure delivery of program content via a removable storage medium
US8775319B2 (en) 2006-05-15 2014-07-08 The Directv Group, Inc. Secure content transfer systems and methods to operate the same
US8095466B2 (en) 2006-05-15 2012-01-10 The Directv Group, Inc. Methods and apparatus to conditionally authorize content delivery at content servers in pay delivery systems
US8996421B2 (en) 2006-05-15 2015-03-31 The Directv Group, Inc. Methods and apparatus to conditionally authorize content delivery at broadcast headends in pay delivery systems
US8001565B2 (en) 2006-05-15 2011-08-16 The Directv Group, Inc. Methods and apparatus to conditionally authorize content delivery at receivers in pay delivery systems
US7992175B2 (en) 2006-05-15 2011-08-02 The Directv Group, Inc. Methods and apparatus to provide content on demand in content broadcast systems
US9178693B2 (en) * 2006-08-04 2015-11-03 The Directv Group, Inc. Distributed media-protection systems and methods to operate the same
US9225761B2 (en) * 2006-08-04 2015-12-29 The Directv Group, Inc. Distributed media-aggregation systems and methods to operate the same
CN101917300B (zh) * 2007-05-16 2012-07-04 华为技术有限公司 一种控制多设备的授权方法、通信设备和服务器
US11570521B2 (en) 2007-06-26 2023-01-31 Broadband Itv, Inc. Dynamic adjustment of electronic program guide displays based on viewer preferences for minimizing navigation in VOD program selection
US9654833B2 (en) 2007-06-26 2017-05-16 Broadband Itv, Inc. Dynamic adjustment of electronic program guide displays based on viewer preferences for minimizing navigation in VOD program selection
US20100118663A1 (en) * 2008-11-07 2010-05-13 Samsung Electronics Co., Ltd. Method and apparatus for processing request from application in home network
US11832024B2 (en) * 2008-11-20 2023-11-28 Comcast Cable Communications, Llc Method and apparatus for delivering video and video-related content at sub-asset level
US8375404B2 (en) 2008-12-30 2013-02-12 The Nielsen Company (Us), Llc Methods and apparatus to enforce a power off state of an audience measurement device during shipping
US8156517B2 (en) 2008-12-30 2012-04-10 The Nielsen Company (U.S.), Llc Methods and apparatus to enforce a power off state of an audience measurement device during shipping
US20120157049A1 (en) * 2010-12-17 2012-06-21 Nichola Eliovits Creating a restricted zone within an operating system
US8918802B2 (en) 2011-02-28 2014-12-23 The Nielsen Company (Us), Llc Methods and apparatus to monitor media exposure
WO2012161122A1 (ja) * 2011-05-20 2012-11-29 日本放送協会 放送通信連携受信装置およびリソース管理装置
US9112623B2 (en) 2011-06-06 2015-08-18 Comcast Cable Communications, Llc Asynchronous interaction at specific points in content
WO2013036944A1 (en) * 2011-09-09 2013-03-14 Backchannelmedia, Inc. Systems and methods for consumer control over interactive television exposure
US11323337B2 (en) 2011-09-27 2022-05-03 Comcast Cable Communications, Llc Resource measurement and management
US11115722B2 (en) 2012-11-08 2021-09-07 Comcast Cable Communications, Llc Crowdsourcing supplemental content
US9553927B2 (en) 2013-03-13 2017-01-24 Comcast Cable Communications, Llc Synchronizing multiple transmissions of content
US9106557B2 (en) 2013-03-13 2015-08-11 Comcast Cable Communications, Llc Scheduled transmission of data
US10880609B2 (en) 2013-03-14 2020-12-29 Comcast Cable Communications, Llc Content event messaging
KR102052651B1 (ko) * 2013-04-30 2019-12-05 삼성전자주식회사 데이터 접근 제어 방법 및 그 전자 장치
US10546441B2 (en) 2013-06-04 2020-01-28 Raymond Anthony Joao Control, monitoring, and/or security, apparatus and method for premises, vehicles, and/or articles
US9821738B2 (en) 2014-06-30 2017-11-21 Raymond Anthony Joao Battery power management apparatus and method
CN104079994B (zh) * 2014-07-07 2017-05-24 四川金网通电子科技有限公司 基于机顶盒无卡ca的授权系统及方法
US11783382B2 (en) 2014-10-22 2023-10-10 Comcast Cable Communications, Llc Systems and methods for curating content metadata
US20190207946A1 (en) * 2016-12-20 2019-07-04 Google Inc. Conditional provision of access by interactive assistant modules
EP3937030B1 (de) 2018-08-07 2024-07-10 Google LLC Zusammenfügung und auswertung der antworten automatischer assistenten im hinblick auf datenschutzbedenken
US11760227B2 (en) 2021-02-15 2023-09-19 Raymond Anthony Joao Battery power management apparatus and method

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4995080A (en) * 1988-08-04 1991-02-19 Zenith Electronics Corporation Television signal scrambling system and method
US5046090A (en) * 1990-03-29 1991-09-03 Gte Laboratories Incorporated Recorded medium for video control system
US5586260A (en) * 1993-02-12 1996-12-17 Digital Equipment Corporation Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms
US5625693A (en) * 1995-07-07 1997-04-29 Thomson Consumer Electronics, Inc. Apparatus and method for authenticating transmitting applications in an interactive TV system
DE69638033D1 (de) * 1995-12-29 2009-11-05 Scientific Atlanta Verfahren und einrichtung zum bedingten zugang in verbindungsorientierten interaktiven netzwerken mit mehreren dienstanbietern
US5825884A (en) * 1996-07-01 1998-10-20 Thomson Consumer Electronics Method and apparatus for operating a transactional server in a proprietary database environment
US5920626A (en) * 1996-12-20 1999-07-06 Scientific-Atlanta, Inc. Analog/digital system for television services

Also Published As

Publication number Publication date
BR9910796A (pt) 2001-02-13
JP4259764B2 (ja) 2009-04-30
CA2333663C (en) 2008-09-23
CA2333663A1 (en) 1999-12-09
AU4204399A (en) 1999-12-20
CN1161999C (zh) 2004-08-11
ATE235132T1 (de) 2003-04-15
DE69906061D1 (de) 2003-04-24
ES2196811T3 (es) 2003-12-16
US6148081A (en) 2000-11-14
EP1080582B1 (de) 2003-03-19
BRPI9910796B1 (pt) 2015-08-25
EP1080582A1 (de) 2001-03-07
CN1308816A (zh) 2001-08-15
AU760507B2 (en) 2003-05-15
JP2002517960A (ja) 2002-06-18
WO1999063757A1 (en) 1999-12-09

Similar Documents

Publication Publication Date Title
DE69906061T2 (de) Sicherheitsmodel für interaktive fernsehanwendung
DE69936156T2 (de) Authentifizierung von Daten in einem digitalen Übertragungssystem
DE60114167T2 (de) Authentifizierung von in einem digitalen übertragungssystem übertragenen daten
DE69901305T3 (de) Modulverwalter für interaktives fernsehsystem
DE60026964T2 (de) Adressenzuweisung in einem digitalen übertragungssystem
DE69828279T2 (de) Globales bedingtes zugangssystem für rundfunkdienste
DE60127681T2 (de) System zum Inhaltsschutz und zur Kopierverwaltung für ein Netzwerk
DE60214799T2 (de) System zur Sicherung eines Systems zur Erneuerung einer Verschlüsselung und zur Erfassung und Fernaktivierung eines Verschlüsselungsgerätes
DE60014060T2 (de) Globales kopierschutzverfahren für digitale hausnetzwerke
DE69802540T2 (de) System mit bedingtem zugang
DE69808741T2 (de) Verfahren und vorrichtung um unerlaubten zugriff in einem system mit bedingtem zugriff zu vermeiden
DE69606673T2 (de) Verfahren und Vorrichtung zur Empfangsbestätigung von übertragenen Anwendungen in einem interaktiven Datensystem
DE69809757T2 (de) Datenverschlüsselungsgerät für systeme mit bedingtem zugriff
DE69719803T2 (de) Verhinderung von wiedergabeangriffen auf durch netzwerkdiensteanbieter verteilte digitale informationen
DE69535013T2 (de) Urheberrechtsdatenverwaltungssystem
DE69702310T3 (de) Verfahren zur gesicherten übertragung zwischen zwei geräten und dessen anwendung
DE69836178T2 (de) Kryptographieverfahren und -vorrichtung zur Beschränkung des Zugriffs auf den Inhalt von übertragenen Programmen durch Programmidentifizierer
DE69723650T2 (de) Verfahren zur Beglaubigung von Daten mittels Verschlüsselung und System zur Beglaubigung unter Verwendung eines solchen Verfahrens
DE69227487T2 (de) Verfahren zum Senden und Empfangen von personalisierten Programmen
DE60003841T2 (de) Intrusionsmelder für objektsicherheit
DE102005039361B4 (de) Verfahren und Vorrichtung zur Multicast-Übertragung von Programminformationen
EP2146285A1 (de) Verfahren zum betrieb eines systems mit zugangskontrolle zur verwendung in computernetzen und system zum ausführen des verfahrens
DE60012356T2 (de) Verfahren für den Zugriff auf nach unterschiedlichen Verfahren für bedingten Zugriff geschützten übertragenen Audio-/Video-Daten mittels derselben Vorrichtung
DE69927581T2 (de) Vernetzte einheit mit bedingtem zugriff
DE69901618T2 (de) Kopierschutzsystem für hausnetzwerke