DE69802540T2

DE69802540T2 - System mit bedingtem zugang

Info

Publication number: DE69802540T2
Application number: DE69802540T
Authority: DE
Inventors: L. Akins; S. Palgon; G. Pinder; J. Wasilewski
Original assignee: Scientific Atlanta LLC
Current assignee: Scientific Atlanta LLC
Priority date: 1997-08-01
Filing date: 1998-07-31
Publication date: 2002-05-23
Anticipated expiration: 2018-08-01
Also published as: WO1999009743A2; EP1000511A2; EP1000511B1; WO1999009743A3; DE69802540D1; JP2003521820A; JP2005253109A; AU1581699A; BR9810967A

Description

Die vorliegende Patentanmeldung ist eine teilweise Fortsetzung der folgenden US- Anmeldungen, die alle dem Inhaber der vorliegenden US-Patentanmeldung übertragen sind:
US-Patent Nr. 6 005 938, Robert O. Banker und Glendon L. Atkins III, Preventing Replay Attacks on Digital Information Distributed by Network Service Providers, angemeldet am 16. 12. 1996;
US-Patent Nr. 5 742 677, Pinder u. a., Information Termincxl Having Reconfigurable Memory, angemeldet am 3. 4. 1995;
US-Patent Nr. 5 870 474, Wasilewski u. a., Method and Apparatus for Providing Conditional Access in Connection-Oriented Interactive Networks with a Multiplicity of Service Providers, angemeldet am 29. 12. 1995;
USSN Nr. 09/111 958, Seaman u. a., Mechanism and Apparatus for Encapsulation of Entitlement Authorization in Conditional Access System, angemeldet am 8. 7. 1998; jetzt veröffentlicht als WO-A-99/07151 am 2. 11. 1999;
Die vorliegende Patentanmeldung beansprucht auch Priorität auf der Grundlage des US-Patents Nr. 6 105 134, Wasilewski u. a., Conditional Access System, angemeldet am 1. August 1997. Die vorliegende Anmeldung ist weiter eine von sieben Anmeldungen mit identischen eingehenden Beschreibungen. Alle diese Anmeldungen haben das gleiche Anmeldedatum und alle haben den gleichen Inhaber. Die Titel und Erfinder der sechs Anmeldungen folgen:
(D-3373), Atkins u. a., Method and Apparatus for Geographically Zimiting Service in a Conditional Access System, angemeldet am 31. Juli 1998;
(D-3457), Wasilewski u. a., Authorization of Services in a Conditional Access System, angemeldet am 31. Juli 1998; ·
(D-3472), Atkins u. a., Representing Entitlements to Service in a Conditional Access System, angemeldet am 31. Juli 1998;
(D-3365), Pinder u. a., Encryption Devices for use in a Conditional Access System, angemeldet am 31. Juli 1998;
(D-2999), Pinder u. a., Verification of the Source of Program Information in a Conditional Access System, angemeldet am 31. Juli 1998;
(D3614), Pinder u. a., Source Authentication of Download Information in a Conditional Access System, angemeldet am 31. Juli 1998.

Gebiet der Erfindung

Die Erfindung betrifft Systeme zum Schutz von Information gegen nicht autorisierten Zugriff, genauer Systeme zum Schutz von Information, die über Draht oder drahtlos übermittelt wird.

Hintergrund der Erfindung

Eine Möglichkeit, Information zu verteilen, ist durch Senden, also durch Platzieren der Information in ein Medium, aus dem sie durch irgendeine an das Medium angeschlossene Vorrichtung empfangen werden kann. Fernsehen und Rundfunk sind wohlbekannte Sendemedien. Wenn gewünscht wird, durch Verteilen von Information in einem Sendemedium Geld zu verdienen, so gibt es ein paar Alternativen. Eine erste besteht darin, Sponsoren zu finden, die für das Senden der Information zahlen. Eine zweite besteht darin, Zugang zur gesendeten Information nur denjenigen zu gestatten, die dafür gezahlt haben. Dies wird allgemein dadurch getan, dass die Information in verwürfelter oder verschlüsselter Form gesendet wird. Obwohl jede an das Medium angeschlossene Vorrichtung die verwürfelte oder verschlüsselte Information empfangen kann, sind nur die Vorrichtungen derjenigen Benutzer, die dafür bezahlt haben, Zugang zur Information zu haben, in der Lage, die Information zu decodieren oder zu entschlüsseln.
Eine Diensteverteilorganisation, zum Beispiel eine Kabelfernsehgesellschaft oder eine Satellitenfernsehgesellschaft, versorgt ihre Abonnenten mit Information aus einer Anzahl von Programmquellen, d. h. aus Sammlungen bestimmter Arten von Information. Zum Beispiel ist der History Channel (Geschichtskanal) eine Programmquelle, die Fernsehprogramme über Geschichte zur Verfügung stellt. Jedes vom History Channel zur Verfügung gestellte Programm ist eine "Diensteeinheit" dieser Programmquelle. Wenn die Diensteverteilorganisation eine Diensteeinheit der Programmquelle sendet, so verschlüsselt oder verwürfelt sie die Diensteeinheit, um eine verschlüsselte Diensteeinheit zu bilden. Eine verschlüsselte Diensteeinheit enthält Diensteeinheitsdaten, die die verschlüsselte Information sind, aus der das Programm besteht.
Eine verschlüsselte Diensteeinheit wird über ein Übertragungsmedium gesendet. Das Übertragungsmedium kann drahtlos oder aber "verdrahtet" sein, d. h. über einen Draht, ein Coaxialkabel oder ein Glasfaserkabel zur Verfügung gestellt werden. Es wird in einer grossen Anzahl von Set-Top-Boxen empfangen. Die Funktion der Set-Top-Box besteht darin festzustellen, ob die verschlüsselte Diensteeinheit entschlüsselt werden sollte, und wenn ja, sie zu entschlüsseln, um eine entschlüsselte Diensteeinheit zu erzeugen, die die Information umfasst, aus der das Programm besteht. Diese Information wird an ein Fernsehgerät geliefert. Bekannte Set-Top-Boxen enthalten Entschlüsseler, um die verschlüsselte Diensteeinheit zu entschlüsseln.
Abonnenten kaufen Dienste allgemein monatlich (obwohl ein Dienst auch ein einmaliges Ereignis sein kann), und nachdem ein Abonnent einen Dienst gekauft hat, schickt die Diensteverteilorganisation der dem Abonnenten gehörenden Set-Top-Box Nachrichten, die erforderlich sind, um die Autorisierungsinformation für die gekauften Dienste zu liefern. Autorisierungsinformation kann mit den Diensteeinheitsdaten oder über einen getrennten Kanal an eine Set-Top-Box geschickt werden, zum Beispiel über eine Ausserband-Hochfrequenzstrecke. Verschiedene Techniken sind eingesetzt worden, um die Autorisierungsinformation zu verschlüsseln. Die Autorisierungsinformation kann einen Schlüssel für einen Dienst der Diensteverteilorganisation und eine Bezeichnung enthalten, welche Programme im Service der Abonnent zu sehen berechtigt ist. Wenn die Autorisierungsinformation darauf hinweist, dass der Abonnent berechtigt ist, das Programm einer verschlüsselten Diensteeinheit zu sehen, dann entschlüsselt die Set-Top-Box die verschlüsselte Diensteeinheit.
Der Leser wird zu schätzen wissen, dass "Verschlüsselung" und "Verwürfelung" ähnliche Prozesse sind und dass "Entschlüsselung" und "Rückverwürfelung" ähnliche Prozesse sind; ein Unterschied besteht darin, dass Verwürfelung und Rückverwürfelung allgemein von analoger Natur sind, während Verschlüsselungs- und Entschlüsselungsprozesse allgemein digital sind.
Die Zugangsbeschränkungen sind sowohl in analogen als auch in digitalen Systemen erforderlich. In allen Systemen sind sicherere und flexiblere Zugangsbeschränkungen erforderlich, da laufende technische Verbesserungen dazu benutzt werden, Zugangsbeschränkungen zu umgehen. Flexible Zugangsbeschränkungen werden erforderlich, da mehr Systeme von einem Analog- zu einem Digitalformat oder zu einem Hybridsystem, das sowohl Analog- wie Digitalformate enthält, übergehen.
Für digitale Information ist eine Zugangsbeschränkung zu der gesendeten Information sogar noch wichtiger. Ein Grund besteht darin, dass jede Kopie von digitaler Information ebenso gut wie das Original ist; ein anderer Grund besteht darin, dass digitale Information komprimiert werden kann und daher eine gegebene Bandbreite viel mehr Information in digitaler Form überträgt; ein dritter Grund besteht darin, dass die Diensteverteilorganisationen Rückwärtspfade hinzufügen, um es einer Set-Top-Box zu gestatten, eine Nachricht an die Diensteverteilorganisation zu schicken und somit verschiedene interaktive Dienste zu ermöglichen.
Somit benötigen die Diensteverteilorganisationen Zugangsbeschränkungen, die sowohl sicherer wie auch flexibler als die in herkömmlichen Systemen sind.
Ein herkömmliches System ist zum Beispiel aus dem Dokument WO97 04553 bekannt, das ein Empfängersystem für den Empfang eines zusammen mit Verwaltungsnachrichten übermittelten Signals beschreibt, das einen Empfänger hat, der das übermittelte Signal empfängt. Ein Signalverarbeiter verarbeitet das empfangene Signal. Ein Subsystem steuert den Signalverarbeiter und handelt in Beantwortung von Verwaltungsnachrichten. Die Verwaltungsnachrichten schliessen allgemeine Nachrichten und geteilte Nachrichten ein. Eine allgemeine Nachricht geht voraus und deutet an, dass verschiedene geteilte Nachrichten zu übermitteln sein werden. Das Subsystem braucht eine passende geteilte Nachricht, um die Signalverarbeitung zu ermöglichen, und ist dafür eingerichtet, geteilte Nachrichten zu verfolgen, um eine geteilte Nachricht zu erkennen, die an es selbst gerichtet ist. Das System erkennt eine allgemeine Nachricht. Ein Speicher speichert mehrere geteilte Nachrichten. Die geteilten Nachrichten werden im Speicher gespeichert, wenn eine allgemeine Nachricht erkannt worden ist. Das Subsystem ist in die Lage versetzt, auf die geteilten Nachrichten im Speicher zuzugreifen.
Die vorliegende Erfindung betrifft somit ein Verfahren, eine Diensteeinheit zu entschlüsseln, die mit einem gegebenen Schlüssel verschlüsselt worden ist, wobei das Verfahren in einem Empfänger ausgeführt wird, der ein Öffentlich/Privat- Schlüsselpaar besitzt, wie es in den beigefügten Ansprüchen definiert ist. Die vorliegende Erfindung betrifft auch ein Verfahren, einen Empfänger, der einen öffentlichen Schlüssel besitzt, in die Lage zu versetzen, eine verschlüsselte Diensteeinheit zu entschlüsseln, die mit einem gegebenen Schlüssel verschlüsselt worden ist, wie ebenfalls in den beigefügten Ansprüchen definiert. Die Erfindung betrifft schliesslich auch einen entsprechenden Empfänger, wie in den beigefügten Ansprüchen definiert.

Kurze Beschreibung der Zeichnungen

Fig. 1 ist ein Blockdiagramm eines Systems mit bedingtem Zugang;
Fig. 2A ist ein Blockdiagramm der hierin offenbarten Verschlüsselungstechniken für Diensteeinheiten;
Fig. 2B ist ein Blockdiagramm der hierin offenbarten Entschlüsselungstechniken für Diensteeinheiten;
Fig. 3 ist ein genaueres Blockdiagramm der hierin offenbarten Ver- und Entschlüsselungstechniken für Diensteeinheiten;
Fig. 4 ist ein Blockdiagramm der Techniken, die dafür benutzt werden, dynamisch einem DHCT Berechtigungsvermittler zur Verfügung zu stellen;
Fig. 5 ist ein Blockdiagramm eines digitalen Breitbandliefersystems, in dem das System mit bedingtem Zugang implementiert ist;
Fig. 6 ist ein Blockdiagramm des Systems mit bedingtem Zugang im digitalen Breitbandliefersystem der Fig. 5;
Fig. 7 ist ein Diagramm eines MPEG-2-Transportstroms;
Fig. 8 ist ein Diagramm, das zeigt, wie EMM in einen MPEG-2-Transportstrom abgebildet werden;
Fig. 9 ist ein Diagramm, das zeigt, wie EMM in ein IP-Paket abgebildet werden;
Fig. 10 ist ein Diagramm, das zeigt, wie ECM in einem MPEG-2-Transportstrom abgebildet werden;
Fig. 11 ist ein Detaildiagramm einer EMM;
Fig. 12 ist ein Detaildiagramm einer bevorzugten Ausführungsform des DHCTSE 627;
Fig. 13 ist ein Diagramm des Speicherinhalts im DHCTSE 627;
Fig. 14 ist ein Diagramm, das zeigt, wie NVSC in einer bevorzugten Ausführungsform den Berechtigungsvermittlern zugeteilt werden;
Fig. 15 ist ein Diagramm einer EAD-NVSC;
Fig. 16 it ein Diagramm anderer Arten von NVSC;
Fig. 17 ist ein Diagramm einer Ereignis-NVSC;
Fig. 18 ist ein Diagramm einer authentisierten globalen Sendenachricht (global broadcast authenticated message, GBAM);
Fig. 19 ist ein Detail des Inhalts einer Art von GBAM;
Fig. 20 ist ein Diagramm, das zeigt, wie GBAM allgemein benutzt werden können, um einer Clientanwendung Daten zur Verfügung zu stellen;
Fig. 21 ist ein Diagramm einer weitergeleiteten Kaufnachricht;
Fig. 22 ist ein Diagramm der Berechtigungseinheitsnachricht in einer ECM;
Fig. 23 ist ein Diagramm einer Codenachricht;
Fig. 24 ist ein Diagramm, das die Beziehung zwischen TED und dem übrigen Teil des Systems mit bedingtem Zugang 601 zeigt;
Fig. 25 ist ein Detaildiagramm einer TED;
Fig. 26 ist eine Veranschaulichung des für Fokus und Ausblendung benutzten Koordinatensystems;
Fig. 27 zeigt, wie im Koordinatensystem der Fig. 26 ein Bereich berechnet wird;
Fig. 28 ist eine Beschreibung einer öffentlichen Schlüsselhierarchie; und
Fig. 29 ist eine Beschreibung eines EMM-Generators gemäss vorliegender Erfindung.
Die Bezugszahlen in den Zeichnungen haben mindestens drei Ziffern. Die beiden rechten Ziffern sind Bezugszahlen innerhalb einer Figur; die Ziffern links von diesen Ziffern sind die Nummer der Figur, in der das durch die Bezugszahl identifizierte Objekt zuerst auftritt. Zum Beispiel tritt ein Objekt mit der Bezugszahl 203 zuerst in Fig. 2 auf.

Eingehende Beschreibung einer bevorzugten Ausführungsform

Die folgende eingehende Beschreibung gibt zuerst eine allgemeine Einführung in ein System mit bedingtem Zugang und in Ver- und Entschlüsselung, beschreibt dann, wie in einer bevorzugten Ausführungsform die Codierung und Decodierung von Diensteeinheiten erfolgt, und beschreibt schliesslich die in der bevorzugten Ausführungsform dafür benutzten Techniken, um die ECM und EMM der bevorzugten Ausführungsform zu authentisieren. Danach beschreibt die eingehende Beschreibung, wie EMM benutzt werden können, um dynamisch Zugang zu Diensten hinzuzufügen und zurückzuziehen, sowie die Rolle von Verschlüsselung und Authentisierung in diesen Arbeitsschritten. Schliesslich wird eine eingehende Darstellung gegeben, wie die voraufgehend beschriebenen Techniken in einem Sendedaten-Liefersystem mit Knotenstruktur und in einem Rückwärtspfad von der Set-Top-Box zur Kopfstation eingesetzt werden, wie sichere Prozessoren und Speicher in der bevorzugten Ausführungsform eingesetzt werden, um Schlüssel und Berechtigungsinformation zu schützen, und wie bestimmte Arbeitsschritte in der bevorzugten Ausführungsform ausgeführt werden.

Überblick über Systeme mit bedingtem Zugang

Fig. 1 liefert einen Überblick über ein System 101 zur Begrenzung des Zugangs zu gesendeter Information. Solche Systeme werden im folgenden als "Systeme mit bedingtem Zugang" bezeichnet werden. Eine Diensteverteilorganisation (service distribution organization SDO) 103, zum Beispiel eine Kabelfernsehgesellschaft oder eine Satellitenfernsehgesellschaft, versorgt ihre Abonnenten mit Information aus einer Anzahl von Diensten, d. h. aus Sammlungen von bestimmten Arten von Information. Zum Beispiel ist der History Channel (Geschichtskanal) ein Dienst, der Fernsehprogramme über Geschichte zur Verfügung stellt. Jedes vom History Channel zur Verfügung gestellte Programm ist eine "Einheit" ("instance") dieses Dienstes. Wenn die Diensteverteilorganisation eine Diensteeinheit sendet, verschlüsselt oder verwürfelt sie die Einheit, um eine verschlüsselte Einheit 105 zu bilden. Die verschlüsselte Einheit 105 enthält Diensteeinheitsdaten 109, die die verschlüsselte Information sind, aus der das Programm besteht, sowie Berechtigungssteuernachrichten (entitlement control messages ECM) 107. Die Berechtigungssteuernachrichten enthalten die dafür erforderliche Information, um den verschlüsselten Teil der assoziierten Diensteeinheitsdaten 109 zu entschlüsseln. Eine gegebene Berechtigungssteuernachricht wird viele Male pro Sekunde gesendet, so dass sie für jeden neuen Zuschauer oder Dienst sofort verfügbar ist. Um die Entschlüsselung der Diensteeinheitsdaten 109 für Piraten noch schwieriger zu machen, wird der Inhalt der Berechtigungssteuernachricht alle paar Sekunden oder öfter geändert.
Die verschlüsselte Diensteeinheit 105 wird über ein Übertragungsmedium 112 gesendet. Das Medium kann drahtlos oder aber verdrahtet sein, das heisst über einen Draht, ein Coaxialkabel oder ein Glasfaserkabel zur Verfügung gestellt werden. Sie wird in einer grossen Anzahl von Set-Top-Boxen 113(0... n) empfangen, deren jede einem Fernsehempfänger angegliedert ist. Eine Funktion der Set-Top-Box 113 besteht darin festzustellen, ob die verschlüsselte Diensteeinheit 105 entschlüsselt werden sollte, und wenn ja, sie zu entschlüsseln, um die entschlüsselte Diensteeinheit 123 zu erzeugen, die an den Fernsehempfänger geliefert wird. Wie im Einzelnen bezüglich der Set-Top-Box 113(0) gezeigt, enthält die Set-Top-Box 113 einen Entschlüsseler 115, der ein Kennwort 117 als einen Schlüssel zur Entschlüsselung der verschlüsselten Diensteeinheit 105 benutzt. Das Kennwort 117 wird durch den Kennwortgenerator 119 aus in der Berechtigungssteuernachricht I07 enthaltener Information und aus Information aus der in der Set-Top-Box 113 gespeicherten Autorisierungsinformation 121 erzeugt. Die Autorisierungsinformation 121 kann zum Beispiel einen Schlüssel für den Dienst sowie eine Bezeichnung enthalten, welche Programme im Dienst der Abonnent zu sehen berechtigt ist. Wenn die Autorisierungsinformation 121 anzeigt, dass der Abonnent berechtigt ist, das Programm der verschlüsselten Diensteeinheit 105 zu sehen, so benutzt der Kennwortgenerator 119 den Schlüssel zusammen mit Information aus der ECM 107, um das Kennwort 117 zu erzeugen. Natürlich wird für jede neue ECM 107 ein neues Kennwort erzeugt.
Die in einer spezifischen Set-Top-Box 113(i) benutzte Autorisierungsinformation wird aus einer oder mehreren, an die Set-Top-Box 113(i) adressierten Berechtigungsverwaltungsnachrichten 111 erhalten. Abonnenten kaufen Dienste im allgemeinen monatlich (obwohl ein Dienst ein einmaliges Ereignis sein kann), und nachdem ein Abonnent einen Dienst gekauft hat, schickt die Diensteverteilorganisation 103 der dem Abonnenten gehörenden Set-Top-Box 113(i) Berechtigungsverwaltungsnachrichten 111, wie sie dafür erforderlich sind, um die Autorisierungsinformation 121 zu liefern, die für die gekauften Dienste erforderlich ist. Die Berechtigungsverwaltungsnachrichten (entitlement management messages EMM) können genau wie die ECM 107 mit den Diensteeinheitsdaten 109 versandt gesendet werden, oder sie können über einen getrennten Kanal, zum Beispiel über eine Ausserband-Hochfrequenzverbindung, zur Set-Top-Box 113(i) geschickt werden, die die Information aus der Berechtigungsverwaltungsnachricht (EMM) 111 in der Autorisierungsinformation 121 speichert. Natürlich sind verschiedene Techniken eingesetzt worden, um Berechtigungsverwaltungsnachrichten 111 zu verschlüsseln.

Verschlüsselung und Entschlüsselung allgemein

Die für die Codierung und Decodierung von Diensteeinheiten benutzten Ver- und Entschlüsselungstechniken gehören zu zwei allgemeinen Klassen: symmetrische Schlüsseltechniken und öffentliche Schlüsseltechniken. Ein Verschlüsselungssystem mit symmetrischem Schlüssel ist ein System, in dem jede der Instanzen, die sich miteinander in Verbindung setzen wollen, eine Kopie eines Schlüssels besitzt; die versendende Instanz verschlüsselt die Nachricht unter Benutzung ihrer Schlüsselkopie, während die empfangende Instanz die Nachricht unter Benutzung ihrer Schlüsselkopie entschlüsselt. Ein Beispiel für ein Ver- und Entschlüsselungssystem mit symmetrischem Schlüssel ist das Digitale Verschlüsselungsstandard- (Digital Encryption Standard DES) System. Ein Verschlüsselungssystem mit öffentlichem Schlüssel ist ein System, in dem jede der Instanzen, die sich miteinander in Verbindung setzen wollen, ihr eigenes Öffentlich/Privat-Schlüsselpaar besitzt. Eine mit dem öffentlichen Schlüssel verschlüsselte Nachricht kann nur mit dem privaten Schlüssel entschlüsselt werden und umgekehrt. Solange eine gegebene Instanz ihren privaten Schlüssel geheim hält, kann sie daher ihren öffentlichen Schlüssel jeder anderen Instanz zur Verfügung stellen, die mir ihr in Verbindung zu treten wünscht. Die andere Instanz verschlüsselt einfach die Nachricht, die sie der gegebenen Instanz zusenden möchte, mit dem öffentlichen Schlüssel der gegebenen Instanz, und die gegebene Instanz benutzt ihren privaten Schlüssel, um die Nachricht zu entschlüsseln. Wo Instanzen Nachrichten unter Benutzung einer Verschlüsselung mit dem öffentlichen Schlüssel austauschen, muss jede Instanz den öffentlichen Schlüssel der anderen besitzen. Der private Schlüssel kann auch in Arbeitsschritten mit digitalen Unterschriften benutzt werden, um Authentisierung zu liefern. Für Einzelheiten über Verschlüsselung im allgemeinen und Verschlüsselung mit symmetrischen und öffentlichen Schlüsseln im besonderen siehe Bruce Schneier, Applied Cryptography, John Wiley and Sons, New York, 1994.
Die Auslegung eines Verschlüsselungssystems für eine gegebene Anwendung beinhaltet eine Anzahl von Überlegungen. Wie im folgenden ersichtlich werden wird, schliessen Überlegungen, die in der Sendenachrichtenumgebung besonders wichtig sind, die folgenden ein:
- Schlüsselsicherheit: Ein symmetrisches Schlüsselsystem ist nutzlos, wenn eine dritte Partei zu dem von den miteinander in Verbindung stehenden Parteien gemeinsam benutzten Schlüssel Zugang hat, und ein öffentliches Schlüsselsystem ist ebenfalls nutzlos, sofern ein anderer als der Besitzer eines gegebenen öffentlichen Schlüssels Zugang zum entsprechenden privaten Schlüssel hat.
- Schlüsselzertifikation: Wie kann der Empfänger eines Schlüssels sicher sein, dass der Schlüssel, den er oder sie empfangen hat, wirklich ein Schlüssel ist, der der Instanz gehört, der der Empfänger eine verschlüsselte Nachricht zuzusenden wünscht, und nicht ein Schlüssel, der einer anderen Instanz gehört, die die Nachricht abzufangen wünscht?
- Nachrichtenauthentisierung: Wie kann der Empfänger einer Nachricht sicher sein, dass die Nachricht von der Partei stammt, die behauptet, sie sei von ihr, und/oder dass die Nachricht nicht abgeändert worden ist?
- Ver- und Entschlüsselungsgeschwindigkeit: Allgemein sind Verschlüsselungssysteme mit symmetrischem Schlüssel schneller als Verschlüsselungssysteme mit öffentlichem Schlüssel und werden bei der Benutzung mit Echtzeitdaten bevorzugt.
- Schlüsselgrösse: Je länger der in einem Verschlüsselungssystem benutzte Schlüssel ist, desto mehr Ressourcen werden im allgemeinen erforderlich sein, um die Verschlüsselung aufzubrechen und dadurch Zugang zur Nachricht zu erlangen.
Alle vorstehenden Überlegungen werden durch die Tatsache beeinflusst, dass man von der Umgebung, in der ein System mit bedingtem Zugang betrieben wird, annehmen muss, dass sie feindlich sei. Viele Kunden von Sendediensten sehen in einem Betrug am Service-Provider nichts Falsches und sind damit einverstanden, dass physisch der Teil des Systems mit bedingtem Zugang manipuliert wird, der im Empfänger enthalten ist, oder dass verschiedene kryptographische Angriffe benutzt werden, um Schlüssel zu stehlen oder den Empfänger bezüglich der Quelle der von ihm empfangenen Nachrichten zu täuschen. Darüber hinaus haben die Provider der Systeme, die die Dienste tatsächlich senden, nicht notwendigerweise die gleichen Interessen wie die Provider des Diensteinhalts und müssen daher nicht nur darüber wachen, wer zu einer gegebenen Diensteeinheit Zugang haben darf, sondern auch darüber, welche Instanzen einem gegebenen Empfänger Dienste anbieten dürfen.

Ver- und Entschlüsselung von Diensteeinheiten: Fig. 2A und 2B

Im Überblick gesehen benutzt das Verschlüsselungssystem der vorliegenden Erfindung Verschlüsselungstechniken mit symmetrischem Schlüssel, um die Diensteeinheit zu ver- und entschlüsseln, und Verschlüsselungstechniken mit öffentlichem Schlüssel, um eine Kopie eines der Schlüssel, die in den symmetrischen Schlüsseltechniken des Schlüssels benutzt werden, vom Service-Provider zur Set Top-Box zu transportieren.
In Fig. 2A werden klare Dienste wie die elementaren digitalen Bitströme, aus denen MPEG-2-Programme bestehen, durch ein erstes Niveau von Verschlüsselung geschickt, das Programmverschlüsselungsfunktion 201 genannt wird und das bevorzugt eine symmetrische Chiffre wie der wohlbekannte DES-Algorithmus ist. Jeder elementare Strom kann individuell verschlüsselt und die erhaltenen verschlüsselten Ströme zum MUX 200 gesandt werden, um mit anderen elementaren Strömen sowie privaten Daten wie zum Beispiel Daten mit bedingtem Zu gang kombiniert zu werden. Der in der Programmverschlüsselungsfunktion 201 benutzte Schlüssel wird Kennwort (control word CW) 202 genannt. Das CW 202 wird durch den Kennwortgenerator 203 erzeugt, der entweder ein Generator physikalisch zufälliger Zahlen sein kann oder einen sequenziellen Zähler mit einem geeigneten Zufallsalgorithmus benutzen kann, um einen Strom von zufälligen CW zu erzeugen. Ein neues CW wird oft erzeugt, vielleicht alle paar Sekunden einmal, und wird in derselben Zeitskala auf jeden elementaren Strom angewendet. Jedes neue CW wird unter Benutzung eines durch den Vielfachsitzungsschlüsselgenerator 205 zur Verfügung gestellten Vielfachsitzungsschlüssels (multi-session key MSK) durch die Kennwort-Vexschlüsselungs- und Nachrichtenauthentisierungs-Funktion 204 verschlüsselt. Das CW wird dann mit weiterer dienstbezogener Information zu einer ECM 107 kombiniert. Die ECM 107 wird durch die Kennwort-Verschlüsselungs- und Nachrichtenauthentisierungs- Funktion 204 authentisiert, die einen Nachrichtenauthentisierungscode erzeugt, indem ein verschlüsselter Hashwert benutzt wird, der aus dem Nachrichteninhalt in Verbindung mit einem Geheimnis abgeleitet wurde, das mit der empfangenden Set-Top- Box 113 geteilt werden kann. Dieses Geheimnis stellt bevorzugt einen Teil oder die Gesamtheit des MSK 208 dar. Der Nachrichtenauthentisierungscode wird an den übrigen Teil der ECM 107 angehängt. Das CW 202 wird immer verschlüsselt, bevor es zusammen mit den anderen Teilen der ECM zum MUX 200 geschickt wird. Diese Verschlüsselung ist bevorzugt eine symmetrische Chiffre wie zum Beispiel der DES- Dreifachalgorithmus, der zwei unterschiedliche 56-Bit-Schlüssel benutzt (die zusammen den MSK 208 ausmachen).
MSK 208 hat eine längere Lebensdauer als CW 202. Die Lebensdauer von MSK beträgt typischerweise Stunden bis Tage. MSK 208 wird durch die MSK-Verschlüsselungs- und Digitalunterschrifis-Funktion 206 sowohl verschlüsselt wie auch digital signiert, bevor er in die EMM 111 verkapselt zum MUX 200 geschickt wird. MSK 208 und andere Teile der EMM 111 werden bevorzugt unter Benutzung eines öffentlichen Schlüsselalgorithmus verschlüsselt, wie zum Beispiel des wohlbekannten RSA-Algorithmus, wobei ein öffentlicher Schlüssel mit der spezifischen Set-Top-Box 113 assoziiert ist, an die die EMM adressiert ist. Die öffentlichen Schlüssel aller Set- Top-Boxen 113 in einem System 101 werden in der öffentlichen Schlüssel-Datenbank 207 gespeichert. Die in dieser Datenbank befindlichen öffentlichen Schlüssel sind vorzugsweise durch eine Beglaubigungsinstanz beglaubigt. Die digitale Unterschriftsfunktion in 206 ist bevorzugt das RSA-Digitalunterschriftsverfahren, obwohl andere benutzt werden könnten. Im Falle einer RSA-Digitalunterschrift gehört der private Schlüssel, der benutzt wird, um die Unterschrift zu leisten, dem Berechtigungsvermittler, der in der Diensteverteilorganisation 103 für die Autorisierung des zugehörigen Dienstes verantwortlich ist.
In Fig. 2B sind der entsprechende private DHCT-Schlüssel und die dazugehörige öffentliche, sichere DHCT-Mikroseriennummer (public serial number PSN) im Speicher 232 des Decodierers 240 gespeichert. Die öffentliche, sichere Mikroseriennummer wird zur Verfügung gestellt, damit der Demultiplexer 230 aus dem Transportdatenstrom (TDS) einen an den Decodierer 240 adressierten, verschlüsselten Vielfachsitzungsschlüssel auswählen kann. Der verschlüsselte Vielfachsitzungsschlüssel EKPr(MSK) (Kpr = private key, privater Schlüssel) wird unter Benutzung des privaten DHCT-Schlüssels aus Speicher 232 im Entschlüsseler 234 entschlüsselt, um den Vielfachsitzungsschlüssel MSK zu liefern. Der Demultiplexer 230 wählt auch aus dem Transportdatenstrom TDS das verschlüsselte Kennwort (CW) EMSK(CW). Das verschlüsselte CW wird unter Benutzung des Vielfachsitzungsschlüssels MSK als Entschlüsselungsschlüssel (decryption key DK) im Entschlüsseler 236 verarbeitet, um das unverschlüsselte CW zu liefern. Das unverschlüsselte CW ändert sich bevorzugt mit hoher Geschwindigkeit, zum Beispiel alle paar Sekunden einmal. Der Demultiplexer 230 wählt aus dem Transportdatenstrom TDS auch den verschlüsselten Dienst Ecw(SERVICE). Der verschlüsselte Dienst wird im Entschlüsseler 238 unter Benutzung des CW als Entschlüsselungsschlüssel verarbeitet, um den unverschlüsselten Dienst zurückzugewinnen.
Ausführliche Implementierung des Verschlüsselungssystems der Fig. 2: Fig. 3 Fig. 3 stellt weitere Einzelheiten bezüglich einer bevorzugten Implementierung des Systems der Fig. 2 vor. Das Ver-/Entschlüsselungssystem 30I hat zwei Hauptkomponenten: die Dienstursprungskomponente 305 und die Dienstempfangskomponente 333. Die beiden sind durch ein Übertragungsmedium 331 verbunden, das jedes Medium sein kann, das eine Nachricht von der Dienstursprungskomponente 305 zur Dienstempfangskomponente 333 übermitteln kann. Die Dienstempfangskomponente 333 ist in einer Set-Top-Box implementiert, die hier nachstehend als digitales Heimkommunikationsterminal (digital home communications terminal DHCT) bezeichnet wird. Sie kann aber in jeder Vorrichtung implementiert werden, die die nötige Rechenleistung aufweist, zum Beispiel einem Personalcomputer oder einer Workstation oder einem "intelligenten" Fernsehgerät. In der Dienstursprungskomponente ist zumindest der mit 306 bezeichnete Teil typischerweise in Geräten implementiert, die sich bei der Kopfstation eines Sendesystems wie zum Beispiel eines Kabelfernseh- (CATV-) oder Satellitenfernsehsystems befinden. In einigen Ausführungsformen kann aber die Kopfstation mit bereits verschlüsselten Diensteeinheiten versehen werden. Der übrige Teil 308 kann sich ebenfalls bei der Kopfstation befinden, kann sich aber auch überall dort befinden, wo Zugang irgendeiner Art zur Kopfstation 306 und zur Dienstempfangskomponente 333 besteht. Letzteres ist insbesondere der Fall, wenn die EMM im Ausserband versandt werden, zum Beispiel über ein Fernnetz wie das Internet. Ferner kann das Übertragungsmedium aus Speichermedien bestehen, wobei der Dienstursprungsort der Medienhersteller ist, während die Dienstempfangskomponente das Element sein kann, das die Speichermedien liest. Das Übertragungsmedium kann zum Beispiel eine CD-ROM, eine DVD, eine Floppydisk oder irgendein anderes Medium sein, das physisch, elektronisch oder anderweit überführt werden kann.
Beginnend mit dem Dienstursprungsteil 305, wird der Zufallszahlengenerator (random number generator RNG) 307 benutzt, um MSK 309 zu erzeugen. Als nächstes wird eine EMM 315 erzeugt, die MSK 309 und damit verwandte Information enthält. Die EMM 315 enthält auch eine versiegelte Synthese. Die versiegelte Synthese hat zwei Bestimmungen: sicherzustellen, dass die vom Dienstursprung 305 in die EMM 315 eingelegte Information die gleiche ist, die beim DHCT 333 ankommt, und sicherzustellen, dass die Information tatsächlich von einer Instanz kommt, die ermächtigt ist, Zugang zum Dienst zu verschaffen.
Die versiegelte Synthese wird in zwei Stufen erstellt: erstens wird eine Synthese des EMM-Inhalts (hier MSK 309 und die damit verwandte Information) erstellt, indem der Inhalt zu einer sicheren Einweg-Hashfunktion vermischt wird, um eine verhältnismässig kurze Bitkette zu erzeugen. Die sichere Einweg-Hashfunktion hat drei Eigenschaften:
- Der Inhalt, der vermischt wurde, um die kurze Bitkette zu erzeugen, kann aus der kurzen Bitfolge nicht ermittelt werden; und
- jede Änderung an dem, was vermischt wird, führt zu einer Änderung in der kurzen Bitkette; und
- es ist rechnerisch nicht machbar, eine andere Nachricht zu konstruieren, die die gleiche kurze Bitkette wie die EMM erzeugt.
Die kurze Bitkette, die als Ergebnis der Hashfunktion anfällt, kann somit dazu benutzt werden festzustellen, ob der Inhalt der EMM unterwegs geändert worden ist, ohne dass dieser Inhalt offenbart wird. Die bevorzugte Ausführungsform benutzt die Einweg-Hashfunktion Message Digest 5 (Nachrichtensynthese 5), wie durch die Bezeichnung MDS angedeutet. Für Einzelheiten betreffend Einweg-Hashfunktionen siehe den Schneier-Verweis weiter oben. Die Synthese ist eine versiegelte Synthese, da sie mit einem privaten Schlüssel SP Kr 310 verschlüsselt wurde, der dem Berechtigungsvermittler (entitlement agent EA) gehört, der berechtigt ist, dem DHCT Zugang zu dem Dienst zu verschaffen, für den der MlSK benutzt wird, um den Schlüssel zu erzeugen. Bevor die versiegelte Synthese benutzt werden kann, um zu prüfen, ob die EMM richtig übermittelt wurde, muss sie unter Benutzung des öffentlichen Schlüssels des Berechtigungsvermittlers entschlüsselt werden. Die versiegelte Synthese bestätigt somit dem DHCT sowohl, dass der Inhalt der EMM richtig übermittelt worden ist, als auch, dass die Quelle der EMM der Berechtigungsvermittler ist.
Wenn die versiegelte Synthese erstellt worden ist, wird der Inhalt der EMM (hier MSK 309 und die damit verwandte Information) mit dem öffentlichen Schlüssel DHCT Ku 312 des DHCT 333, an den die EMM 315 adressiert ist, verschlüsselt, und die EMM 315, die den verschlüsselten Inhalt und die versiegelte Synthese enthält, wird über das Übermittlungsmedium 331 an das DHCT 333 geschickt. Im folgenden wird die Bezeichnung Kr benutzt, um einen privaten Schlüssel anzudeuten, während Ku benutzt wird, um einen öffentlichen Schlüssel anzudeuten. Die Bezeichnung RSA bedeutet, dass die Verschlüsselung unter Benutzung des wohlbekannten öffentlichen Schlüssel-Verschlüsselungsalgorithmus RSA erfolgte.
Wie in DHCT 333 gezeigt, kann EMM 315 nur durch dasjenige DHCT 333 entschlüsselt werden, dessen privater Schlüssel 337 (DHCT Kr) dem öffentlichen Schlüssel entspricht, der benutzt worden war, um die EMM 315 zu verschlüsseln. DHCT 333 entschlüsselt EMM 315 und benutzt die versiegelte Synthese, um festzustellen, ob die EMM 315 korrekt übermittelt wurde. Die Feststellung erfolgt, indem der öffentliche Schlüssel SP Ku 335 für den Berechtigungsvermittler benutzt wird, um die versiegelte Synthese zu entschlüsseln. Dann wird der Inhalt von EMM 315 unter Benutzung der gleichen sicheren Einweg-Hashfunktion vermischt, die - benutzt worden war, um die Synthese zu erstellen. Wenn die Ergebnisse dieser Vermischung identisch mit der entschlüsselten, versiegelten Synthese sind, ist die Feststellung erfolgreich. Die Überprüfung mit der versiegelten Synthese scheitert, wenn die Übermittlung zum DHCT 333 unterwegs entstellt wurde, wenn DHCT 333 nicht den privaten Schlüssel besitzt, der dem zur Verschlüsselung der EMM benutzten öffentlichen Schlüssel entspricht (das heisst, es ist nicht das DHCT 333, für das die EMM 315 bestimmt war), oder wenn das DHCT 333 nicht den öffentlichen Schlüssel 335 (SP Ku) besitzt, der dem zur Erstellung der versiegelten Synthese benutzten privaten Schlüssel des EA entspricht. Letzteres wird der Fall sein, wenn das DHCT 333 keinen Zugang zu den durch den Berechtigungsvermittler zur Verfügung gestellten Diensten erhalten hat. Die an DHCT 333 gerichteten EMM 315 werden wiederholt verschickt; folglich wird, wenn das Problem in einer Entstellung unterwegs bestand, bald darauf eine nicht entstellte EMM 315 empfangen werden, und die Feststellung wird erfolgreich sein. Wie das DHCT 333 in den Besitz des SP Ku 335 kommt, der dafür benötigt wird, die versiegelte Synthese zu entschlüsseln, wird später eingehender erklärt werden.
Die nächste Stufe im Dienstursprung 305 ist Erzeugung des Kennworts 319, das dazu benutzt wird, um die Diensteeinheit 325 tatsächlich zu verschlüsseln und die ECM 323 zu erzeugen, die die zur Entschlüsselung der Diensteeinheit benötigte Information zum DHCT 333 bringt. Das Kennwort 319 wird vom Zufallszahlengenerator 317 erzeugt. Dies kann ein wirklicher Zufallszahlengenerator sein, dessen Ausgangsgrösse das Ergebnis irgendeines zugrunde liegenden zufälligen physikalischen Vorgangs ist, oder ein anderes Mittel, zum Beispiel das Ergebnis der Verschlüsselung eines Wertes, "Zähler" genannt (der nach jeder Benutzung um eins zunimmt), mit 3DES unter Benutzung des MSK als Schlüssel. Im Falle einer wirklichen Zufallszahl wird das verschlüsselte Kennwort in der ECM übermittelt. Im Falle einer auf Zählern begründeten Kennworterzeugung wird die Klarversion des "Zählers" in der übermittelten ECM benutzt. Wie oben erwähnt, ist das Kennwort ein Kurzzeitschlüssel, d. h. es hat eine Lebensdauer von wenigen Sekunden oder darunter. Einbezogen in die ECM 323 ist eine Synthese des Inhalts einschliesslich des MSK, die unter Benutzung der soeben beschriebenen Einweg-Hash-MD5 erstellt wird. Der Einbezug des MSK bei Erstellung der Synthese verschafft dem Berechtigungsvermittler, dem die ECM 323 gehört, ein Geheimnis, das mit denjenigen DHCT 333 geteilt wird, die berechtigt sind, Diensteeinheiten vom Berechtigungsvermittler zu erhalten, und verhütet folglich "Schwindel" mit den ECM 323, das heisst Lieferung von ECM 323 von einer Quelle, die nicht der Berechtigungsvermittler ist. Wie später in grösseren Einzelheiten ersichtlich wird, benutzt die bevorzugte Ausführungsform die Methode geteilter Geheimnisse allgemein, um Nachrichten zu authentisieren, die Nachrichten enthalten, die bezüglich einer Diensteeinheit Echtzeitwert besitzen.
Die ECM 323 wird zusammen mit dem verschlüsselten Inhalt 329 zum DHCT 333 gesandt. Die erste ECM 323 für einen gegebenen Teil des verschlüsselten Inhalts 329 muss natürlich beim DHCT 333 ankommen, bevor der verschlüsselte Inhalt ankommt. In der bevorzugten Ausführungsform werden der Inhalt 325 und die ECM 323 gemäss dem MPEG-2-Standard verschlüsselt. Der Standard sieht einen Transportstrom vor, der eine Anzahl von Einzelströmen einschliesst. Einige dieser Ströme transportieren den Inhalt 329, andere die ECM 323, und wieder andere die EMM 315. Nur die den Inhalt 329 transportierenden Ströme werden gemäss DES 329 verschlüsselt; da die Kennwörter in den ECM 323 und die Inhalte der EMM 315 bereits verschlüsselt worden sind, wird keine weitere Verschlüsselung benötigt, wenn sie im MPEG-2- Transportstrom versandt werden. Die Art und Weise, in der die EMM und ECM im MPEG-2-Transportstrom transportiert werden, wird später eingehender beschrieben werden.
Wenn eine ECM 323 im DHCT 333 empfangen wird, wird das Kennwort 319 entweder entschlüsselt oder dadurch gefunden, dass der Zählerwert bei 343 unter Benutzung des MSK verschlüsselt wird. Die Integrität des Inhalts der ECM 323 wird überprüft, indem der Wert, der sich durch Vermischen des Inhalts einschliesslich eines Teiles des MSK oder des ganzen MSK (auf der Grundlage kryptographischer Prinzipien) in der Einweg-Hashfunktion ergibt, mit der in der ECM 323 enthaltenen Nachrichtensynthese verglichen wird. Einbezogen in den Inhalt sind das Kennwort 319 sowie Information, die die Diensteeinheit 325 identifiziert, die von der ECM 323 begleitet wird. Die Identifikationsinformation wird zusammen mit der mit der EMM 315 empfangenen Autorisierungsinformation benutzt, um festzustellen, ob DHCT 333 berechtigt ist, die Diensteeinheit 325 zu empfangen. Wenn ja, dann wird das Kennwort 319 im Dienstentschlüsseler 347 benutzt, um den verschlüsselten Inhalt zu entschlüsseln und den ursprünglichen Inhalt 325 zu erzeugen.
Das System 301 bietet bezüglich der Sicherheit eine Anzahl von Vorteilen. Es macht sich die Geschwindigkeit von symmetrischen Verschlüsselungssystemen zunutze, wo diese benötigt wird, um den verschlüsselten Inhalt 329 und das Kennwort in ECM 323 zu entschlüsseln. Das Kennwort wird geschützt, indem es unter Benutzung des MSK verschlüsselt wird, und die ECM 323 wird authentisiert, indem ein Teil des MSK 309 oder der ganze MSK 309 als ein zwischen dem Berechtigungsvermittler und dem DHCT 333 geteiltes Geheimnis benutzt wird. Der MSK 309 wird seinerseits dadurch geschützt, dass er in einer EMM versandt wird, die unter Benutzung des öffentlichen Schlüssels des DHCT verschlüsselt wurde, und dadurch, dass die EMM eine versiegelte Synthese enthält, die unter Benutzung des privaten Schlüssels des Berechtigungsvermittlers verschlüsselt wurde. Weitere Sicherheit wird dadurch geschaffen, dass die Diensteidentifikationsinformation aus der ECM 323 mit der Autorisierungsinformation übereinstimmen muss, die in der EMM 315 empfangen wurde, bevor das Kennwort 319 dem Dienstentschlüsseler 347 zur Verfügung gestellt wird. Zum Beispiel besteht, wie im einzelnen in der oben zitierten Stammpatentanmeldung von Banker und Akins beschrieben, eine Nutzung der Information in ECM 323 und EMM 315 darin, sogenannte "Wiedergabeangriffe" auf die verschlüsselten. Dienste zu verhindern. Zusätzlich zu seiner Sicherheit ist das System 301 flexibel. Die in EMM 315 enthaltene Autorisierungsinformation und die in ECM 323 enthaltene Diensteidentifikationsinformation gestatten zusammen ein breites Spektrum von Zugang zu im DHCT 333 empfangenen Diensteeinheiten.

Dynamische Zurverfügungstellung von einer Mehrzahl von Berechtigungsvermittlern an das DHCT 333: Fig. 4

Die Benutzung der versiegelten Synthese in der EMM 315 bedeutet, dass DHCT 333 nur auf die EMM 31 S reagiert, sofern es einen öffentlichen Schlüssel für den Berechtigungsvermittler hat, der ermächtigt ist, Berechtigungen für den Dienst zu erteilen, der mit dem MSK in der EMM 315 zu entschlüsseln ist. Dies ist Teil einer breiteren Vorkehrung, die es ermöglicht, dem DHCT 333 dynamisch einen oder mehrere Berechtigungsvermittler zur Verfügung zu stellen und zur Verfügung gestellte Berechtigungsvermittler vom DHCT 333 dynamisch zurückzuziehen.
Die Instanz, die Berechtigungsvermittler zur Verfügung stellt und zurückzieht, wird als Instanz für den bedingten Zugang (conditional access authority CAA) bezeichnet. Die Vorkehrung gestattet es ferner den Berechtigungsvermittlern, die dem DHCT 333 zur Verfügung gestellt worden sind, ihre Autorisierungsinformation im DHCT 333 dynamisch abzuändern. Alle Informationen, die dafür benötigt werden, diese Arbeitsschritte auszuführen, werden vermittels EMM übersandt, wobei die verschlüsselten Synthesen dafür benutzt werden sicherzustellen, dass nur die CAA Berechtigungsvermittler hinzufügen oder zurückziehen darf und dass nur der Berechtigungsvermittler, dem die Autorisierungsinformation gehört, die Autorisierungsinformation abändern darf.
Die obigen Vorkehrungen haben eine Reihe von Vorteilen:
- Sie lassen eine Vielzahl von Berechtigungsvermittlern zu.
- Sie gestatten das dynamische Hinzufügen und Zurückziehen von Berechtigungsvermittlern.
- Sie definieren Grenzen für die Dienste, für die ein Berechtigungsvermittler Berechtigungen erteilen darf, aber gestatten es den Berechtigungsvermittlern im übrigen, ihre eigene Autorisierungsinformation zu verwalten.
- Sie trennen das Geschäft, Berechtigungen für Dienste und Diensteeinheiten zur Verfügung zu stellen, von dem Geschäft, Diensteeinheiten wirklich zur Verfügung zu stellen; folglich kann ein Kabelfernsehbetreiber einfach als eine Verteileinrichtung fungieren.
- Sie trennen das Geschäft, einer Instanz das Recht zuzugestehen, ein Berechtigungsvermittler zu sein, von dem Geschäft, ein Berechtigungsvermittler zu sein.
- Sie bieten eine einfache Möglichkeit, einem Kunden oder einer Kundin zu gestatten, die Berechtigungsvermittler zu wechseln, wie er oder sie es für richtig hält.
- Sie stellen eine sicheren Weg zur Verfügung, auf dem ein DHCT 333 über den Rückwärtspfad mit einem Berechtigungsvermittler, einer Instanz für den bedingten Zugang oder potenziell dem Provider von Diensteeinheiten in Verbindung treten kann.
Fig. 4 zeigt, wie die Vorkehrungen in einer bevorzugten Ausführungsform implementiert sind. Fig. 4 lässt sich am besten als eine Erweiterung der Fig. 3 verstehen. Die beiden Fig. 3 und 4 haben die gleichen Hauptkomponenten: Dienstursprung 305, DHCT 333 und Übertragungsmedium 331 für die Kopplung dieser beiden Komponenten. Des weiteren werden Verschlüsseler 313 und Entschlüsseler 339 in beiden Figuren benutzt. Darüber hinaus können, wie durch die Bezugszahl 308 angedeutet, die EMM entweder zusammen mit einer Diensteeinheit oder über einen anderen Kanal versandt werden. Fig. 4 zeigt weiter eine zusätzliche Komponente des DHCT 333, nämlich den EMM-Verwalter 407. Der EMM-Verwalter 407 ist in Software implementiert, die in einem sicheren Prozessor im DHCT 333 läuft. Es ist die Aufgabe des EMM-Verwalters 407, auf EMM zu antworten, durch die Berechtigungsvermittler hinzugefügt oder zurückgezogen werden, sowie auf EMM, die die Autorisierungen für einen Berechtigungsvermittler abändern. Der EMM-Verwalter 407 liefert des weiteren Nachrichten, mit Hilfe derer das DHCT 333 mit einem Berechtigungsvermittler oder einer Instanz für bedingten Zugang in Verbindung treten kann.
Am Anfang werden EMM, die die Autorisierungsinformation eines Berechtigungsvermittlers abändern, in Beantwortung von Abänderungsinformation 403 erstellt, die von einem Berechtigungsvermittler geliefert oder vom Netzbetreiber angefordert wurde. Wie bei 313 gezeigt, wird die Abänderungsinformation unter Benutzung des öffentlichen Schlüssels 312 für DHCT 333 verschlüsselt und hat eine versiegelte Synthese, die unter Benutzung des privaten Schlüssels 310 für den Berechtigungsvermittler verschlüsselt wurde. Die sich ergebende Autorisierungsabänderungs-EMM 405 wird über das Übertragungsmedium 331 zum Entschlüsseler 339 im DHCT 333 gesandt, wo sie in der Weise, wie oben für eine einen MSK enthaltende EMM 315 beschrieben, entschlüsselt und überprüft wird. Die in der EMM enthaltene EA- Abänderungsinformation 403 geht jedoch zum EMM-Verwalter 407, der die Information benutzt, um die Autorisierungsinformation für den Berechtigungsvermittler im DHCT 333 abzuändern. Beispiele für Abänderungen sind das Hinzufügen oder Streichen von Diensten, die durch die Berechtigungsinstanz zur Verfügung gestellt werden, und die Änderung der Bedingungen, unter denen Zugang zu Einheiten eines gegebenen Dienstes gewährt wird.
Wie oben angedeutet, wird die versiegelte Synthese unter Benutzung des privaten Schlüssels für den Berechtigungsvermittler verschlüsselt. Folglich kann die Gültigkeit der EMM nur bestimmt werden, wenn das DHCT 333 den öffentlichen Schlüssel des Berechtigungsvermittlers besitzt. Der öffentliche Schlüssel für einen Berechtigungsvermittler wird dem DHCT 333 durch eine EA-Zuteilungs-EMM 413 von einer Instanz für bedingten Zugang zur Verfügung gestellt. Die EMM 413 enthält Berechtigungsvermittler-Zuteilungsinformation 409 von der Instanz für bedingten Zugang; die Berechtigungsvermittler-Zuteilungsinformation 409 enthält mindestens den öffentlichen Schlüssel für den Berechtigungsvermittler; sie kann auch Information über die Menge an Speicherplatz enthalten, die ein Berechtigungsvermittler im DHCT 333 besitzen darf, sowie über die Klassen von Diensten, die ein Berechtigungsvermittler anbieten darf. Zum Beispiel mag es einem Berechtigungsvermittler nicht gestattet sein, interaktive Dienste anzubieten. Die Information 409 wird mit dem öffentlichen Schlüssel 312 des DHCT 333 verschlüsselt, während die versiegelte Synthese mit dem privaten Schlüssel 411 der Instanz für bedingten Zugang verschlüsselt wird.
Im DHCT 333 wird die EMM 413 unter Benutzung des privaten Schlüssels 337 entschlüsselt, der dem DHCT 333 gehört, während die versiegelte Synthese unter Benutzung des öffentlichen Schlüssels 415 der CAA entschlüsselt wird. Wenn die Synthese die Richtigkeit des Inhalts der EMM bestätigt, dann teilt der EMM- Verwalter 407 dem Berechtigungsvermittler, dessen öffentlicher Schlüssel in der EMM 413 enthalten ist, Speicherplatz zu. Danach platziert der EMM-Verwalter 407 den öffentlichen Schlüssel des Berechtigungsvermittlers im Speicher. Der Speicher stellt Platz zur Verfügung, um den öffentlichen Schlüssel des Berechtigungsvermittlers, die Autorisierungsinformation für die durch den Berechtigungsvermittler zur Verfügung gestellten Dienste und Diensteeinheiten und die durch den Berechtigungsvermittler zur Verfügung gestellten MSK zu speichern. Nachdem das DHCT 333 in den Besitz des öffentlichen Schlüssels des Berechtigungsvennittlers und in den Besitz von Speicherplatz für die Autorisierungsinformation und die MSK des Berechtigungsvermittlers gelangt ist, kann der EMM-Verwalter 407 auf die EMM vom Berechtigungsvermittler antworten. Natürlich muss das DHCT 333, um die versiegelte Synthese zu entschlüsseln, den öffentlichen Schlüssel 415 für die Instanz für bedingten Zugang besitzen. Wie weiter unten eingehender erklärt wird, werden in einer bevorzugten Ausführungsform der öffentliche Schlüssel 415 sowie der öffentliche und private Schlüssel für DHCT 333 zu dem Zeitpunkt, zu dem das DHCT 333 hergestellt wird, im DHCT 333 installiert.
Wenn ein Kunde einen Dienst bestellt, wirken die soeben beschriebenen Vorkehrungen wie folgt aufeinander:
1. Wenn der Dienst durch einen Berechtigungsvermittler zur Verfügung gestellt wird, für den das DHCT 333 des Kunden nicht den öffentlichen Schlüssel besitzt, dann muss die Instanz für bedingten Zugang zuerst eine EA-Zuteilungs- EMM 413 an das DHCT 333 übersenden; der EMM-Verwalter 407 reagiert darauf, indem er Speicherplatz für den Berechtigungsvermittler zuteilt. Nur die Instanz für bedingten Zugang darf eine EA-Zuteilungs-EMM 413 versenden, folglich kann die Instanz für bedingten Zugang (CAA) den Zugang von Berechtigungsvermittlern zu Kunden einer spezifischen Diensteverteilorganisation steuern.
2. Wenn das DHCT 333 den öffentlichen Schlüssel des Berechtigungsvermittlers besitzt, entweder weil Schritt 1 soeben ausgeführt wurde oder zu irgendeinem Zeitpunkt in der Vergangenheit ausgeführt worden war, dann übersendet der Berechtigungsvermittler eine Abänderungs-EMM 405 mit der Autorisierungsinformation für den neu bestellten Dienst oder die neu bestellte Diensteeinheit an das DHCT 333. Der EMM-Verwalter 407 reagiert darauf, indem er die Autorisierungsinformation an dem zugeteilten Platz speichert.
3. Wenn Schritt 3 ausgeführt ist, kann das DHCT 333 eine EMM 315 mit dem MSK für den Dienst vom Berechtigungsvermittler empfangen. Der EMM-Verwalter 407 speichert den MSK am zugeteilten Platz.
4. Wenn die eigentliche Diensteeinheit übersandt wird, ist diese von ECM begleitet, die das derzeitige Kennwort enthalten. Der MSK wird benutzt, um die ECM zu entschlüsseln, während die von den ECM erhaltenen Kennwörter dazu benutzt werden, um die Diensteeinheit zu entschlüsseln.
Die obige Verwendung von EMM und ECM für die Steuerung des Zugangs zu Einheiten eines Dienstes garantiert somit, dass kein Berechtigungsvermittler ohne die Erlaubnis der Instanz für bedingten Zugang zum DHCT 333 Zugang erhält und dass kein DHCT 333 ohne die Erlaubnis des Berechtigungsvermittlers für den Dienst Zugang zu einer Einheit eines Dienstes erlangt. Sie ermöglicht es ferner, dass der Berechtigungsvermittler vollkommene Kontrolle über den Dienst hat. Der Zugang zum Dienst wird durch die EMM 405 und 315 definiert, und diese dürfen unabhängig von der Diensteverteilorganisation durch den Berechtigungsvermittler zum DHCT 333 geschickt werden. Des weiteren ist es der Berechtigungsvermittler, der sowohl der Diensteverteilorganisation als auch den DHCT 333 die MSK zur Verfügung stellt, die benutzt werden, um Kennwörter zu erzeugen und die ECM zu entschlüsseln. Tatsächlich kann der Berechtigungsvermittler selbst, wenn er es wünscht, der Diensteverteilorganisation verschlüsselte Diensteeinheiten zur Verfügung stellen, wobei in einem solchen Falle diese Organisation lediglich als ein Kanal zwischen dem Berechtigungsvermittler und dem DHCT 333 fungiert.

Sichere Übermittlung von Nachrichten auf dem Rückwärtspfad

Fig. 4 zeigt auch, wie die Methoden, die benutzt werden, um die Sicherheit von EMM zu gewährleisten, auch dazu benutzt werden, um die Sicherheit von durch das DHCT 333 versandten Nachrichten zu gewährleisten. Das in Fig. 4 gezeigte Beispiel ist eine weitergeleitete Kaufnachricht (forwarded purchase message FPM). Die weitergeleitete Kaufnachricht wird für den interaktiven Kauf einer Diensteeinheit benutzt. Ein Beispiel eines solchen Kaufs ist der sogenannte spontane Pay-per-View (impulsive pay-per-view IPPV). In einem solchen System wird der Anfang eines Ereignisses, zum Beispiel eines Baseball-Spiels, allgemein gesendet, und Kunden können entscheiden, ob sie das ganze Spiel sehen wollen. In diesem Falle müssen sie Input an das DHCT 333 liefern, der anzeigt, dass sie das ganze Ereignis sehen wollen. Der EMM-Verwalter 407 reagiert auf den Input, indem er die FPM erstellt und sie an den Berechtigungsvermittler schickt, so dass der Berechtigungsvermittler den Kunden für das Ereignis belasten und eine EMM 315 schicken kann, die bestätigt, dass das DHCT 333 das Ereignis weiter entschlüsseln darf. Die vom Berechtigungsvermittler benötigte Information ist die weitergeleitete Berechtigungsinformation 417; um die Privatsphäre des Kunden zu gewährleisten, wird diese Information unter Benutzung des 3DES-Algorithmus mit einem Schlüssel 420 verschlüsselt, wie bei 343 gezeigt, um verschlüsselte weitergeleitete Berechtigungsinforhiation 419 zu erzeugen. Der Schlüssel 420 besteht aus zwei 56-Bit-DES-Schlüsseln. Der 3DES-Verschlüsselungsvorgang ist eine Folge von drei DES-Arbeitsschritten: Verschlüsselung unter Benutzung des ersten DES-Schlüssels, Entschlüsselung unter Benutzung des zweiten DES-Schlüssels und Verschlüsselung unter Benutzung des ersten DES-Schlüssels. Dann wird der Schlüssel 420 unter Benutzung des öffentlichen Schlüssels 335 des Berechtigungsvermittlers verschlüsselt, während die versiegelte Synthese unter Benutzung des privaten Schlüssels des DHCT 333 erstellt wird. All diese Teile zusammen ergeben die weitergeleitete Kaufnachricht 421, die an den Berechtigungsvermittler adressiert wird.
Beim Berechtigungsvermittler wird der Schlüssel 420 unter Benutzung des privaten Schlüssels 310 des Berechtigungsvermittlers entschlüsselt, während die versiegelte Synthese unter Benutzung des öffentlichen Schlüssels 312 des DHCT entschlüsselt wird. Wenn festgestellt wird, dass die in der FPM 421 enthaltene verschlüsselte weitergeleitete Berechtigungsinformation (encrypted forwarded entitlement information EFEI) 419 nicht manipuliert worden ist, wird sie zur 3DES-Entschlüsselung 443 weitergegeben, die sie unter Benutzung des Schlüssels 420 entschlüsselt und dem Berechtigungsvermittler weitergeleitete Berechtigungsinformation 417 liefert. Es ist unmittelbar offensichtlich, dass das gleiche Verfahren mit oder ohne 3DES-Verschlüsselung des Nachrichteninhalts benutzt werden kann, um Nachrichten an jedwede Instanz zu schicken, für die das DHCT 333 den öffentlichen Schlüssel besitzt. Dazu gehören zumindest die CAA und jeder Berechtigungsvermittler, dem Speicherplatz im DHCT 333 zugeteilt worden ist.

Authentisierung von globalen Sendenachrichten

Eine globale Sendenachricht ist eine Nachricht, die nicht an irgendein einzelnes DHCT 333 oder irgendeine Gruppe von DHCT 333 adressiert ist. In einer bevorzugten Ausführungsform begleiten globale Sendenachrichten die Diensteeihheiten und enthalten Information, die für die Diensteeinheit rellevant ist, die sie begleiten. Folglich müssen die Verschlüsselungs- und Anthentisierungsmethoden, die in den globalen Sendenachrichten verwendet werden, eine rasche Entschlüsselung und Überprüfung der Echtheit gestatten. Ein Beispiel einer globalen Sendenachricht ist die ECM. Weitere Beispiele sind die verschiedenen Arten von authentisierten globalen Sendenachrichten (global broadcast authenticated messages GBAM). Wie bei den ECM ist es notwendig, Schwindel mit globalen Sendenachrichten zu verhindern, und dies erfolgt auf die gleiche Art und Weise wie bei den. ECM. Genauer wird unter Benutzung eines Teils des MSK oder des ganzen MSK sowie des Inhalts der globalen Sendenachricht die Synthese erstellt. Der MSK fungiert somit als ein zwischen dem Berechtigungsvermittler und dem DHCT 333 geteiltes Geheimnis. Wenn der EMM- Verwalter 407 die globale Nachricht empfängt, erstellt er unter Benutzung des Inhalts der empfangenen Nachricht und des MSK eine Synthese und reagiert auf die empfangene Nachricht nur, wenn die Synthese mit der in der Nachricht enthaltenen übereinstimmt. Eine mit dem MSK erstellte Synthese zu benutzen, um die globale Sendenachricht zu authentisieren, hat den Vorteil, dass die Synthese sehr rasch sowohl erstellt als auch überprüft werden kann.

Implementierung des Systems mit bedingten Zugang in einem digitalen Breitbandliefersystem

Im Vorstehenden ist das System mit bedingtem Zugang anhand von ECM, EMM und anderen Nachrichten sowie unter Bezugnahme auf die Art und Weise beschrieben worden, in der Nachrichten und ihre Synthesen - verschlüsselt und entschlüsselt werden. Das soeben beschriebene System mit bedingtem Zugang funktioniert mit jeder Kommunikationsanordnung, die es gestattet, eine Diensteeinheit zusammen mit ECM und anderen Sendenachrichten an ein DHCT zu liefern und die es dem DHCT gestattet, EMM von einer Instanz für bedingten Zugang und von ein oder mehreren Berechtigungsvermittlern zu empfangen. Das System mit bedingtem Zugang ist aber besonders gut zur Benutzung in einem modernen digitalen Breitbandliefersystem geeignet, und im folgenden wird beschrieben werden, wie das System mit bedingtem Zugang in einem solchen Liefersystem implementiert wird.

Überblick über das digitale Breitbandliefersystem: Fig. 5

Fig. 5 gibt einen Überblick über das digitale Breitbandliefersystem (digital broadband delivery system DBDS) 501. Zum DBDS 501 gehören eine Dienste-Infrastruktur 503, eine Kopfstation 515, eine Transport-Infrastruktur 517, Zentren 519(0... n), Zugangsnetze 521 (0... n) und digitale Heimkommunikationsterminals (DHCT) 333. Die Dienste-Infrastruktur besteht aus Mehrwert-Service-Provider- (value-added service provider VASP) Systemen 509, die Systeme sind, die dem Breitbandliefersystem Dienste zur Verfügung stellen, dem digitalen Netzsteuersystem (digital network control system DNCS) 507, das die vermittels DBDS 501 zur Verfügung gestellten Dienste verwaltet und steuert, dem Verwaltungs-Gateway (administrative gateway AG) 505, der eine Informationsquelle für Dienstebereitstellung und Autorisierungsinformation im DBDS 501 ist, dem Netzverwaltungssystem (network management system NMS) 511, das eine Datenbank für Information über Systemstatus und -leistung unterhält, und dem Kernnetz 513, das andere Komponenten der Dienste- Infrastruktur 503 mit der Kopfstation 515 verbindet. In einer bevorzugten Ausführungsform besteht das Kernnetz 513 aus Schalt- und Übertragungseinrichtungen auf ATM-Basis. Die Kopfstation 515 stellt eine Schnittfläche zwischen der Dienste- Infrastruktur 503 und der Transport-Infrastruktur 517 zur Verfügung. Die Transport- Infrastruktur 517 liefert eine Verbindung mit grosser Bandbreite von der Kopfstation 515 zu den Zentren 519(0... n). Jedes Zentrum 519(i) dient einem Zugangsnetz 521(i), das aus Glasfaser-Koaxialkabel-Hybrid- (hybrid fiber coax HFC) Knoten 523 besteht, die über ein Koaxialkabel-Schienennetz mit den DHCT 333 verbunden sind. Ein gegebenes DHCT 333(k) im DBDS 501 gehört somit zu einem HFC-Knoten 532(j) in einem Zugangsnetz 521 (i). Die Transportinfrastruktur 517 und das Zugangsnetz 523 können lediglich einen Vorwärtskanal von der Kopfstation 515 zu einem gegebenen DHCT 333(k) zur Verfügung stellen, aber stellen bevorzugt sowohl einen Vorwärtskanal und einen Rückwärtspfad zur Verfügung. Jede Einheit eines DBDS 501 dient im allgemeinen einem Grossstadtbereich.
Das DBDS 501 kann in einer Anzahl von Konfigurationen implementiert werden, die den Umständen einer bestimmten Betriebsumgebung Rechnung tragen. Zum Beispiel kann Kopfstationsgerät innerhalb einer Kopfstation 515, innerhalb eines Zentrums 519(i) oder als ein Teil eines VASP-Systems 509 eingesetzt werden. Die DNCS- Komponenten 506 können innerhalb einer Kopfstation 515 oder unter den Zentren 519 verteilt eingesetzt werden. Die Transport-Infrastruktur 517 kann SONET Add/Drop-Multiplexen, Analog-Glasfasertechnologie oder andere Übertragungstechnologien nutzen.

Überblick über das System mit bedingtem Zugang: Fig. 6

Fig. 6 zeigt die Komponenten einer bevorzugten Ausführungsform des Systems mit bedingtem Zugang 601 im DBDS 501. Das System mit bedingtem Zugang 601 ist eine Zusammenstellung der Komponenten DNCS 507, Kopfstation 515 und DHCT 333, die zusammen Dienste für Sicherheit und bedingten Zugang liefern. Die Komponenten des Systems mit bedingtem Zugang 601 haben die folgenden Funktionen:
1. den Diensteinhalt zu verschlüsseln
2. die für die Dienstverschlüsselung benutzten Kennwörter zu verschlüsseln
3. die ECM, die die verschlüsselten Kennwörter enthalten, zu authentisieren
4. die ECM an die DHCT weiterzugeben
5. eine Abonnentenautorisierungs-Datenbank zu verwalten
6. die EMM, die Abonnentenberechtigungsinformation enthalten, zu verschlüsseln und zu authentisieren
7. die EMM an die DHCT weiterzugeben
5. die EMM zu entschlüsseln und ihre Echtheit bei den DHCT zu überprüfen
9. auf die EMM zu reagieren, indem die Berechtigungsinformation in den DHCT abgeändert wird
10. auf die ECM zu reagieren, indem diese authentisiert werden, das Kennwort entschlüsselt wird und die Berechtigung beim DHCT 333 überprüft wird, und
11. sofern die ECM authentisch ist und die Autorisierungen es gestatten, den Diensteinhalt zu entschlüsseln.
Diese Anforderungen werden durch die folgenden Komponenten des Systems mit bedingtem Zugang 601 erfüllt:
Stromverschlüsselungs- und ECM-Streamermoduln 620 in der Kopfstation 515;
Steuergruppe 607 im DNCS 507;
I. Transaktionsverschlüsselungsvorrichtung 605 in der Kopfstation 515 mit sicherer Verbindung zum DNCS 507;
II. Dienstentschlüsselermodul 625 im DHCT 333;
III. Sicherheitsverwaltermodul 626 im DHCT 333; und
IV. DHCTSE 627 im DHCT 333.
Fig. 6 stellt eine typische Konfiguration dieser Komponenten für die Sicherung von digitalen Diensten innerhalb des DBDS 501 dar. Im folgenden werden die Komponenten eingehender beschrieben.

Dienstverschlüsselungs- und ECM-Streamermodul 620

Der Dienstverschlüsselungs- und ECM-Streamer- (service encryption and ECM streamer SEES) Modul 620 ist eine Komponente des QAM-Modulators 619, der unter Weisung der Steuergruppe 607 betrieben wird, um die MPEG-2-Transportstrompakete zu verschlüsseln, die in der bevorzugten Ausführungsform eingesetzt werden, um den Diensteinhalt 325 zu übermitteln. Wie in Fig. 6 gezeigt, kann der Diensteinhalt 325 von Quellen wie einem digitalen Satellitenverteilsystem 613, einem digitalen terrestrischen Verteilsystem 611 oder einem Medienserver 609 empfangen werden. Der Medienserver 609 kann über einen integrierten Breitbandgateway 615 mit der Kopfstation S15 verbunden sein. Der SEES 620 benutzt den MSK 309, um die Kennwörter 319 zu erzeugen, die für die Dienstverschlüsselung benutzt werden, und schreibt die ECM 323, um die Kennwörter zusammen mit dem verschlüsselten Diensteinhalt 329 im abgehenden MPEG-2-Transportstrom zu befördern. Der SEES 620 verschlüsselt die Kennwörter in den ECM 323 mit den MSK 309. Die MSK werden durch die TED 603 erzeugt und in verschlüsselter Form in EMM-artigen Nachrichten zum SEES 620 geschickt.

DHCT 333

Das DHCT 333 ist zwischen das HFC-Netz 521 und das Fernsehgerät des Kunden geschaltet. Das DHCT 333 empfängt und interpretiert die EMM, ECM und GBAM und entschlüsselt Diensteeinheiten. Das DHCT 333 stellt Weiterhin die Kundenschnittfläche für das DBDS 501 dar und empfängt Kundeninput 628 vom Kunden. In Beantwortung des Kundeninputs kann das DHCT 333 FPM oder andere Nachrichten erzeugen, die über den Rückwärtspfad zur CAA oder zu den EA laufen. In einer bevorzugten Ausführungsform ist das DHCT 333 unter Benutzung einer Kombination von Allzweckprozessoren, ASIC und sicheren Elementen (die diskret oder integriert implementiert sein können) implementiert. Für die Zwecke der gegenwärtigen Diskussion hat das DHCT 333 drei wichtige Komponenten den Dienstentschlüsselungsmodul 625, den Sicherheitsverwalter 626 und das sichere Element des DHCT (DHCT secure element DHCTSE) 627. Der Dienstentschlüsselungsmodul 625 ist bevorzugt in einem ASIC implementiert, während der Sicherheitsverwalter 626 bevorzugt in Software implementiert ist. Das DHCTSE 627 ist ein sicheres Element für Funktionen, die mit Sicherheit und bedingtem Zugang zusammenhängen.

Dienstentschlüsselermodul 625

Der Dienstentschlüsselermodul 625 ist die DHCT 333-Komponente, die die verschlüsselten MPEG-2-Transportstrompakete entschlüsselt. Der Dienstentschlüsseler 625 empfängt die Kennwörter, die für die Dienstentschlüsselung benutzt werden sollen, vom DHCTSE 627. Das DHCTSE 627 kontrolliert, welche Transportstrompakete entschlüsselt werden, indem es nur die Kennwörter für autorisierte Dienste an den Dienstentschlüsseler weitergibt.

Sicherheitsverwalter 626

Der Sicherheitsverwalter 626 ist ein Softwaremodul des DHCT, der eine Schnittstelle zwischen dem DHCTSE 627 und auf dem DHCT 333 laufenden Anwendungen zur Verfügung stellt, die das System mit bedingtem Zugang benutzen. Er koordiniert auch die Verarbeitung zwischen dem Dienstentschlüsselermodul und dem DHCTSE 627.

DHCTSE 627

Das DHCTSE 627 speichert Schlüssel, interpretiert die EMM und ECM und erzeugt FPM. Bei den EMM und ECM erledigt es die Entschlüsselung und Authentisierung, die für die Interpretation erforderlich sind, während es bei den FPM die versiegelte Synthese erstellt und die FPM verschlüsselt. So ist in der bevorzugten Ausführungsform der EMM-Verwalter 407 im sicheren Element 617 implementiert. Zusätzlich liefert das DHCTSE 627 Verschlüsselungs-, Entschlüsselungs-, Synthese- und digitale Unterschriftendienste für andere, auf dem DHCT 333 laufende Anwendungen. Das sichere Element (DHCTSE) 627 enthält einen Mikroprozessor und einen Speicher, auf den nur der Mikroprozessor Zugriff hat. Sowohl der Speicher als auch der Mikroprozessor sind gegen Missbrauch geschützt eingebaut. Bei der Interpretation von EMM erwirbt und speichert das DHCTSE 627 Schlüssel und Berechtigungsinformation; bei der Interpretation von ECM benutzt das DHCTSE 627 die Berechtigungsinformation, um festzustellen, ob das die ECM empfangende DHCT 333 eine Berechtigung für die Diensteeinheit besitzt, die von der ECM begleitet wird; wenn ja, verarbeitet das DHCTSE 627 die ECM und liefert das Kennwort in einer Form an den Dienstentschlüsselermodul 625, die von diesem benutzt werden kann, um die Dienste zu entschlüsseln oder rückzuverwürfeln. Das DHCTSE 627 zeichnet weiterhin Kaufinformation für spontan käufliche Dienste wie IPPV auf und speichert die Kaufdaten sicher, bis die Daten erfolgreich über eine weitergeleitete Kaufnachricht zur Steuergruppe 607 weitergeleitet worden sind. Das DHCTSE 627 unterhält MSK für die EA, die Privat/Öffentlich-Schlüsselpaare für das DHCT 333 und die öffentlichen Schlüssel für die Instanzen für bedingten Zugang und die Berechtigungsvermittler.

Steuergruppe 607

Die Steuergruppe 607 ist ein Mitglied der DNCS-Softwarefamilie. Die Steuergruppe 607 steuert auf der Grundlage von Input von der DNCS-Sendesteuergruppenkomponente die Verschlüsselung der Dienste, die von einem SEES-Modul 620 ausgeführt wird. Die Steuergruppe 607 unterhält auch auf der Basis von Transaktionen, die vom Verwaltungs-Gateway S 11 empfangen wurden, eine Datenbank von Abonnentenautorisierungen. Die Steuergruppe 607 erzeugt EMM, um Abonnentenautorisierungen und andere Parameter für den bedingten Zugang an das DHCTSE 627 zu melden. Die Steuergruppe 607 handelt im Namen der Berechtigungsvermittler. Die von der Steuergruppe 607 zur Meldung von Abonnenteriautorisierungen und anderen Parametern für den bedingten Zugang an das DHCTSE 627 erzeugten EMM werden mit den öffentlichen Schlüsseln der DHCT333 verschlüsselt, an die sie gerichtet sind, und mit dem privaten Schlüssel des EA authentisiert, der von der Transaktionsverschlüsselungsvorrichtung (transaction encryption device TED) 603 unterhalten wird. Das DHCTSE 627 unterhält den öffentlichen Schlüssel des EA und benutzt ihn, um die Echtheit der von der Steuergruppe 607 für den EA erzeugten EMM zu bestätigen.
Die Steuergruppe 607 ermöglicht weiterhin die Einrichtung einer Instanz für den bedingten Zugang (conditional access authority CAA). Die Steuergruppe 607 erzeugt EA-Zuteilungs-EMM 413, die den öffentlichen Schlüssel des EA zu einem DHCTSE 627 weitergeben. Diese EMM 413 werden wie oben beschrieben verschlüsselt, werden aber unter Benutzung einer digitalen Unterschrift authentisiert, die mit dem privaten Schlüssel der CAA erteilt wird, der von der TED 603 unterhalten wird. Das DHCTSE 627 ist im voraus mit dem öffentlichen Schlüssel der CAA ausgerüstet, der zur Bestätigung der Echtheit dieser EMM 413 benutzt wird.
Die Kommunikationen zwischen der Steuergruppe 607 und dem übrigen Teil des Systems für bedingten Zugang 601 werden durch LAN-Verbindungsvorrichtungen 605 und 617 besorgt. Die Vorrichtung 605 verbindet die Steuergruppe 607 mit dem Verwaltungs-Gateway 505, von dem es die Information empfängt, die benötigt wird, um die ECM und EMM zu erstellen, während Vorrichtung 617 sie mit den SEES- Moduln 620 in den QAM-Modulatoren und mit dem QPSK-Modulator 621 sowie dem QPSK-Demodulator 623 verbindet, die ihrerseits an das HFC-Netz 521 angeschlossen sind. Die Verbindung zwischen der Steuergruppe 607 und dem DHCT 333 über die LAN-Verbindungsvorrichtung 617, den Modulator 621, den Demodulator 623 und das HFC-Netz 521 implementiert den Rückwärtspfad, der für Nachrichten wie die FPM 421 benötigt wird, und sie implementiert auch einen Vorwärtskanal zum DHCT 333. Dieser Vorwärtskanal ist unabhängig von dem Vorwärtskanal, der dazu benutzt wird, um die Dienste zur Verfügung zu stellen. Irn System mit bedingtem Zugang 601 kann die Steuergruppe 607 dem DHCT 333 die EMM oder Sendenachrichten entweder über den soeben beschriebenen Vorwärtskanal oder zusammen mit einer Diensteeinheit übersenden.

Transaktionsverschlüsselungsvorrichtung 603

Die Transaktionsverschlüsselungsvorrichtung (transaction encryption device TED) 603 dient als eine periphere Einheit für die Steuergruppe 607. Unter der Weisung der Steuergruppe 607 verschlüsselt die TED 603 verschiedene Nachrichten des Systems mit bedingtem Zugang einschliesslich EMM und erstellt versiegelte Synthesen davon. Die TED 603 kann auch (MSK) erzeugen und speichern, die durch SEES 620 benutzt werden, um die Kennwörter in den ECM zu verschlüsseln und die Kennwörter im DHCTSE 627 zu entschlüsseln. Die TED 603 benutzt die MSK des weiteren, um die Klasse von globalen Sendenachrichten unter den Nachrichten des Systems mit bedingtem Zugang zu authentisieren. Die Authentisierung erfolgt durch Vermischen des Nachrichteninhalts mit einem Teil des MSK oder dem ganzen MSK. Die TED 603 entschlüsselt die von den DHCT 333 übersandten weitergeleiteten Kaufnachrichten 421 sowie andere, unter Verwendung des Rückwärtspfades übersandte Nachrichten und prüft ihre Echtheit. Die TED 603 unterhält die privaten Schlüssel der CAA und EA und empfängt vom DNCS die öffentlichen Schlüssel der DHCT, von denen sie Nachrichten empfängt. Wie unten eingehender erklärt werden wird, empfängt die TED 603 die öffentlichen Schlüssel von einer Quelle, die die Echtheit jedes Schlüssels bestätigt. Schliesslich erstellt die TED 603 unter Benutzung des für die EMM passenden privaten Schlüssels der CAA und EA eine versiegelte Synthese für die EMM.

Benutzung des Systems mit bedingtem Zugang zur Stützung von im DHCT 333 oder der Dienste-Infrastruktur 507 laufenden Diensten und Programmen

Das System mit bedingtem Zugang kann eingesetzt werden, um die Beschaffung eines Dienstes zu gewährleisten oder Sicherheitsdienste für Programme zur Verfügung zu stellen, die im DHCT 333 ablaufen, oder für Programme in der Steuergruppe 607. Sichere Dienstebeschaffung erfordert nicht, dass die DHCT-Programme, die den Dienst unterstützen, sicher sind. Der Grund dafür besteht darin, dass das Folgende nur durch DHCTSE 627 im DHCT 333 oder durch eine TED 603 getan werden darf:
- Erzeugung des MSK;
- Speicherung des MSK;
- Speicherung der Schlüssel, die benötigt werden, um EMM zu verschlüsseln und/oder zu entschlüsseln und versiegelte Synthesen zu erstellen und zu überprüfen;
- Speicherung der von den EA empfangenen Berechtigungsinformation;
- Verschlüsselung und/oder Entschlüsselung von EMM;
· Verschlüsselung oder Entschlüsselung des Kennworts;
- Beschaffung des MSK für den SEES-Modul 607 und des entschlüsselten Kennworts für den Dienstentschlüsselungsmodul 625;
- Erstellung und Überprüfung von Synthesen mit geteilten Geheimnissen;
- Erstellung und Überprüfung von versiegelten Synthesen;
- Bestätigung, dass ein DHCT 333 berechtigt ist, einen Dienst zu empfangen. Ein im DHCT 333 laufendes Programm oder ein Programm in der Steuergruppe 607 hat keinen Zugang zu irgendwelcher im DHGTSE 627 oder in der TED 603 gespeicherter Information und kann daher mit den EMM und ECM nichts weiter tun als DHCTSE 627 oder TED 603 zu bitten, sie zu erzeugen oder zu interpretieren. Wenn zum Beispiel das DHCT 333 eine EMM empfängt, gibt es die EMM einfach zur Verarbeitung an das DHCTSE 627 weiter; wenn es eine ECM empfängt, tut es das gleiche; wenn die in der ECM enthaltene und im DHCTSE 627 gespeicherte Autorisierungsinformation anzeigt, dass das DHCT 333 zu dem Dienst berechtigt ist, stellt das DHCTSE 627 dem Dienstentschlüsselungsmodul 625 das entschlüsselte Kennwort zur Verfügung.
Das System mit bedingtem Zugang kann auch für Programme allgemein Sicherheitsüberprüfungen ausführen. Ein auf dem DHCT 333 laufendes Programm, das von einer Serveranwendung heruntergeladene Information benötigt, kann zum Beispiel erwarten, dass eine versiegelte Synthese zu der Information hinzugefügt wurde, bevor sie heruntergeladen wurde, und das Programm kann das DHCTSE 627 benutzen, um die versiegelte Synthese zu überprüfen und festzustellen, ob die Information authentisch ist, aber es bleibt dem Programm überlassen zu entscheiden, was mit der Information zu tun ist, wenn das DHCTSE 627 anzeigt, dass sie nicht authentisch ist.

Näheres zu den Nachrichten im System mit bedingtem Zugang 601

Im System mit bedingtem Zugang 601 sind die ECM, EMM, FPM und GBAM alle verschiedene Typen von bedingten Zugangsnachrichten. Die bedingten Zugangsnachrichten haben alle ein gemeinsames Format, nämlich einen Header, die Nachricht selbst sowie einen Nachrichtenauthentisierungscode (message authentication code MAC). Der Header enthält die folgende Information:
- den Nachrichtentyp, d. h. ob es eine ECM, EMM, GBAM oder irgendeine andere Nachricht ist;
- die Länge der Nachricht;
- eine Kennung für das System mit bedingtem Zugang;
- eine Kennung für die mit der Nachricht benutzte Art von Sicherheitsalgorithmus, einschliesslich Verschlüsselung der Nachricht und Anthentisierung ihres Inhalts; und
- die Länge des Nachrichteninhalts.
Auf den Header folgt die verschlüsselte Nachricht und der MAC, der je nach dem Nachrichtentyp eine versiegelte Synthese oder eine Synthese sein kann, die mit einem Teil des MSK oder dem ganzen MSK und der Nachricht erstellt wurde.
Im digitalen Breitbandliefersystem 501 können CA-Nachrichten entweder in einem MPEG-2-Datenstrom oder in einem IP-Paket befördert werden, d. h. einem Paket, das nach den Regeln des Internetprotokolls erstellt wurde. Andere Transportprotokolle wie zum Beispiel ATM können ebenfalls benutzt werden. In der bevorzugten Ausführungsform können Nachrichten von der Steuergnappe 607 zum DHCT 333 in MPEG-2- oder IP-Pateten befördert werden, während Nachrichten vom DHCT 333 zbr Steuergruppe 607 als 1P-Pakete auf dem Rückwärtspfad befördert werden, der durch den QPSK-Demodulator 623 und die LAN-Verbindungsvorrichtung 617 zur Verfügung gestellt wird. Allgemein werden Nachrichten zum DHCT 333, die eng mit bestimmten Diensteeinheiten assoziiert sind, wie zum Beispiel ECM und GBAM, im MPEG-2-Datentrom befördert; EMM können entweder im MPEG-2-Transportstrom oder als IP-Pakete über die LAN-Verbindungsvorrichtung 617 und den QPSK- Modulator 621 befördert werden.

CA-Nachrichten im MPEG-2-Transportstrom: Fig. 7

Fig. 7 ist eine schematische Darstellung eines MPEG-2-Transportstroms 701. Ein MPEG-2-Transportstrom besteht aus einer Folge von 188 Bytes langen Transportpaketen (TP) 703. Die Pakete 703 im Strom befördern Information, die, wenn sie beim DHCT 333 kombiniert wird, eine Diensteeinheit und die Zugangsrechte eines gegebenen DHCT 333 zu dem Dienst definieren. Es gibt zwei breite Kategorien von Information: Programm 709, nämlich die Information, die benötigt wird, um die eigentlichen Bilder und den Klang zu erzeugen, und programmspeziflsche Information (PSI) 711, also Information über Angelegenheiten wie zum Beispiel, wie der Transportstrom über das Netz zu schicken ist, wie das Programm 709 verpackt ist und welche Daten benutzt werden, um Zugang zum Programm 709 zu begrenzen. Jede dieser breiten Kategorien hat eine Anzahl von Unterkategorien. Das Programm 709 zum Beispiel kann Videoinformation und mehrere Kanäle von Audioinformation einschliessen.
Jedes Transportpaket 703 had eine Paketkennung oder PID (packet identifier), und alle Pakete 703, die Information für eine gegebene Unterkategorie befördern, haben die gleiche PID. So haben in Fig. 7 alle Pakete, die Video 1 befördern, PID(a), und die zu dieser Unterkategorie gehörenden Pakete werden durch 705(a) identifiziert. In ähnlicher Weise haben alle Audio 1 befördernden Pakete Pa(b), und die zu dieser Kategorie gehörenden Pakete werden durch 705(b) identifiziert. Eine Unterkategorie von Information kann somit durch die PID ihrer Pakete identifiziert werden. Wie bei Ausgangspaketen 707 gezeigt, ist der Ausgang des Multiplexers 704 eine Folge zusammenhängender Einzelpakete aus den verschiedenen Unterkategorien. Irgendwelche Teile des MPEG-2-Transportstroms 701 oder der ganze Strom können verschlüsselt sein, mit Ausnahme der Paketheader und der Anpassungsfelder, die nie verschlüsselt werden. In der bevorzugten Ausführungsform werden die Paketsätze, die zusammen das Programm 709 ergeben, mit dem Kennwort als Schlüssel entsprechend dem DES-Algorithmus verschlüsselt.
Zwei der Unterkategorien sind speziell: die durch PID 0 identifizierten (705(e)) und die durch PID 1 identifizierten (705 (c)) verzeichnen die PID der anderen, mit dem Dienst (den Diensten) assoziierten Pakete und können daher benutzt werden, um sämtliche mit irgendeinem Dienst assoziierte Information zu finden. Die Pakete in Pa 1 705(c) haben eine bedingte Zugangstabelle (conditional access table CAT) 710 zum Inhalt, die die Pa der anderen Pakete verzeichnet, die EMM enthalten. Ein Satz solcher Pakete tritt als EMM-Pakete 705(d) auf, wie durch den Pfeil vom CAT 710 zu den Paketen 705(d) angedeutet. Jedes Paket 703 in Paketen 705(d) enthält private Information, d. h. Information, die für das System mit bedingtem Zugang 601 privat ist. Wie unten eingehender erklärt werden wird, ist private Information 713 für die Zwecke dieser Erfindung eine Folge von CA-Nachrichten, deren jede eine EMM enthält, während private Information 719 eine Folge von Nachrichten ist, deren jede eine ECM enthält.
Die Pakete in PID 0 705(e) enthalten eine Programmassoziationstabelle PAT, die die PID derjenigen Pakete verzeichnet, die mit einer spezifischen Einheit eines Dienstes assoziiert sind. Ein derartiger Satz von Paketen sind die Programmabbildungspakete 705(f), die eine Programmabbildungstabelle (programm map table PMT) 717 enthalten, die unter anderem die Pa der Transportpakete 703 verzeichnet, die ECM für das Programm enthalten. Ein solcher Satz von Paketen ist bei 705(g) gezeigt.
Jedes der Transportpakete enthält private Information 719, die in diesem Falle eine Folge von CA-Nachrichten ist, deren jede eine ECM enthält.
Fig. 8 zeigt im einzelnen, wie die EMM in Transportpaketen 703 befördert werden. Der Nutzlastraum 719 in den Paketen befördert Daten von einer CA PRI- VATE SECTION- (privaten CA-Abschnitts-) Schicht 803, die ihrerseits eine Folge von CA-Nachrichten 805 enthält, deren jede eine EMM 807 enthält. In den Sätzen von Paketen 705(g), die ECM befördern, sind die Kennwörter in den ECM unter Benutzung des 3DES-Algorithmus mit dem MSK als Schlüssel verschlüsselt; in den Sätzen von Paketen 705(d), die die EMM befördern, sind die EMM unter Benutzung des öffentlichen Schlüssels des DHCT 333, für das sie bestimmt sind, verschlüsselt. Es dürfte unmittelbar offensichtlich sein, dass die soeben beschriebenen Methoden eingesetzt werden können, um jedwede CA-Nachricht 805 als Teil eines MPEG-2- Transportstroms zu übermitteln.

Abbildung von CA-Nachrichten in IP-Protokoll-Pakete: Fig. 9

Fig. 9 zeigt, wie EMM in die Internet-Protokoll- (IP-) Pakete abgebildet werden, die dazu benutzt werden, über die LAN-Vorrichtung 617, den QPSK-Modulator 621 bzw. den Demodulator 623 zwischen der Steuergruppe 607 und dem DHCT 333 zu kommunizieren. Ein IP-Paket 903 ist ein Paket variabler Länge, das einfach aus einem Header und einer Nutzlast besteht. Der Header entlhält die IP-Ursprungs- und Bestimmungsadresse für das Paket. Im Falle einer EMM ist die Ursprungsadresse die IP-Adresse der CA oder des EA, während die Bestimmungsadresse die IP-Adresse des DHCT 333 ist. In der bevorzugten Ausführungsform wird die IP-Adresse des DHCT 333 unter Benutzung seiner Seriennummer konstruiert. Die IP-Adressen im DBDS 501 werden durch den HFC-Knoten 523 aufgeteilt. Die Nutzlast des 19-Pakets ist ein Paket 905, das zum User-Datagram-Protokoll (IJDP) gehört, das als seine Nutzlast eine CA PRIVATE SECTION 803 hat, die ihrerseits eine Folge von CA- Nachrichten 805 enthält, deren jede eine EMM 807 enthält.

Einzelheiten der ECM-Struktur: Fig. 10

Fig. 10 zeigt Einzelheiten der Struktur einer ECM 1008 sowie die Abb. 1001 einer ECM 1008 auf einen Satz 705(e) von MPEG-2-Transportpaketen 703. Wie zuvor werden die Daten einer CA PRIVATE SECTION 803 in einem Satz von MPEG-2-Transportpaketen 703 mit der gleichen PID befördert. Die Daten sind ein Header 1003 für den privaten Abschnitt 803 und eine Folge von CA-Nachrichten 805, deren jede einen CA-Nachrichtenheader 1005, eine CA-ECM-Nachricht 1007 und einen ECM-MAC 1013 einschliesst. Die CA-ECM-Nachricht 1007 und der ECM- MAC 1013 stellen zusammen die ECM 1008 dar.
Fig. 10 zeigt auch, wie das Kennwort in ECM 1008 geschützt und wie der ECM- MAC 1013 erzeugt wird. Das Kennwort ist ein Zufallswert, der unter Benutzung des MSK als Schlüssel entweder unter Benutzung von 3DES-Verschlüsselung verschlüsselt oder durch Versch1üsselurig eines Zählerwertes unter Benutzung der 3DES- Verschlüsselung erzeugt wird. In beiden Fällen verlangt die bevorzugte Ausführungsform einen MSK, der aus zwei 56-Bit-DES-Schlüsseln besteht, während der 3DES- Verschlüsselungsvorgang eine Folge von drei DES-Arbeitsschritten ist: Verschlüsselung unter Benutzung des ersten DES-Schlüssels, Entschlüsselung unter Benutzung des zweiten DES-Schlüssels und Verschlüsselung unter Benutzung des ersten DES- Schlüssels. Auch das Kennwort kann eine gerade oder ungerade Parität besitzen. Wie bei 1013 gezeigt, wird das ungerade Kennwort (nach geeigneter Verschlüsselung) Teil der ECM-Berechtigungs-Einheitsnachricht (ECM entitlement_unit_message) 1011, während es in seiner nicht verschlüsselten Form zusammen mit einem Teil des MSK oder dem ganzen MSK als Input für die MD5-Einweg-Hashfinktion benutzt wird, um den ECM-MAC 1013 zu erzeugen. Der gleiche Ablauf wird mit dem Kennwort mit gerader Parität benutzt. Der neben dem Kennwort noch in der ECM-Berechtigungs- Einheitsnachricht 1011 vorhandene Inhalt wird später eingehender untersucht werden.

Einzelheiten der EMM-Struktur: Fig. 11

Fig. 11 zeigt eine CA-Nachricht 805, die eine EMIM 1112 enthält. Die CA-Nachricht 805 hat einen Header 1003, eine CA-EMM-Nachricht 1101 und eine versiegelte Synthese 1103. Die CA-EMM-Nachricht 1101 besteht aus dem CA-EMM- Nachrichtenheader 1105, der EMM-Nachricht 1107 und einem CRC-Fehlererkennungscode 1109. Die EMM-Nachricht 1107 ihrerseits enthält einen EMM- Header 1113 und die inneren EMM-Daten (EMM_inside_data) 1115. Die inneren EMM-Daten 115 sind unter Benutzung des öffentlichen Schlüssels des DHCT 333 verschlüsselt, für das sie bestimmt sind. Die verschlüssellten Daten sind EMM-Daten 1129, die ihrerseits aus einem inneren EMM-Header (EMM_inside_header) 1123 und EMM-Befehlsdaten (command_data) 1125 sowie Füllzeichen 1127 bestehen. Die EMM-Daten 1129 dienen ebenfalls als Eingabe für die MDS-Einweg-Hashfunktion, um den EMM-MAC 1119 zu erzeugen, während die versiegelte Synthese 1103 erstellt wird, indem der EMM-Chiffrierheader (EMM_signing_header) 1117, der EMM- MAC 1119, der EMM-Chiffrierheader 1117 und die Füllzeichen 1121 je nachdem, welcher Art die EMM ist, entweder mit dem privaten Schlüssel eines Berechtigungsvermittlers oder dem einer Instanz für bedingten Zugang verschlüsselt wird.
Der EMM-Chiffrierheader ist Information vom inneren EMM-Header. Diese Information ist besonders sensitiv und wird folglich sowohl mit dem öffentlichen Schlüssel des DHCT 333, und zwar aus Gründen des Schutzes der Privatsphäre, als auch mit dem privaten Schlüssel des Berechtigungsvermittlers oder der Instanz für bedingten Zugang, und zwar zur Anbringung einer digitalen Unterschrift, verschlüsselt. Falls nach Empfang und Entschlüsselung des Schutzes der Privatsphäre die Unterschriftenüberprüfung scheitert, wird die EMM vom DHCT 333 verworfen. In diese Information einbezogen sind eine ID für das System mit bedingtem Zugang, der Typ der CA-Nachricht, die Seriennummer des Mikroprozessors im DHCTSE 627 des DHCT, eine Kennung für die CAA oder den EA, die die Quelle der EMM sind, ein Hinweis, welcher der drei öffentlichen Schlüssel für die CAA im sicheren Element des DHCT 333 benutzt werden soll, um die versiegelte Synthese zu entschlüsseln, sowie ein Hinweis auf das EMM-Formats. Der Inhalt der EMM-Befehlsdaten 1125 wird eingehender in der Erörterung der unter Benutzung von EMM ausgeführten Arbeitsschritte erklärt werden.

Einzelheiten des DHCTSE 627: Fig. 12 bis 14

Das DHCTSE 627 hat im System 601 für bedingten Zugang fünf hauptsächliche Funktionen:
- Es speichert Schlüssel sicher, so die öffentlichen und privaten Schlüssel für DHCT 333, die öffentlichen Schlüssel für die CAA, die öffentlichen Schlüssel für die EA, von denen das DHCT 333 für den Empfang von Diensten autorisiert wurde, und die von diesen EA zur Verfügung gestellten MSK.
- Es speichert von den EA gesandte Berechtigungsinformation sicher.
- Es entschlüsselt, authentisiert und beantwortet EMM.
- Es entschlüsselt die Kennwörter in den ECM, authentisiert die ECM und · stellt, wenn das DHCT 333 autorisiert ist, die Diensteeinheit zu empfangen, zu der die ECM gehört, dem Dienstentschlüsseler 625 das Kennwort zur Verfügung.
- Es liefert Verschlüsselungs-, Entschlüsselungs- und Authentisierungsdienste für auf dem DHCT 333 laufende Anwendungen.
Das DHCTSE 627 enthält einen Mikroprozessor (der zur Ausführung von DES in der Lage ist), spezielle Hardware zur Ausführung von RSA-Verschlüsselung und Entschlüsselung sowie sichere Speicherelemente. Alle diese Komponenten des DHCTSE 627 sind in einer einzigen, gegen Manipulation gesicherten Packung enthalten, zum Beispiel einer Packung, die beim Versuch, an die in der Information enthaltene Information zu gelangen, zerstört wird. Nur die Komponenten des DHCTSE 627 haben Zugang zu der in den sicheren Speicherelementen gespeicherten Information. Jeder Versuch durch einen Benutzer, Zugang zu irgendeinem Teil des DHCTSE 627 zu erlangen, macht das DHCTSE 627 unbrauchbar und seinen Inhalt unlesbar. Das DHCTSE 627 kann ein integrierender Bestandteil des DHCT 333 sein oder in einem vom Benutzer installierbaren Modul wie zum Beispiel einer Chipkarte enthalten sein. Der Benutzer macht das DHCT 333 "persönlich", indem er den Modul darin installiert.
Fig. 12 liefert einen Überblick über die Komponenten des DHCTSE 627. Wie gezeigt wird, sind alle Komponenten des DHCTSE 627 an eine Schiene 1205 angeschlossen. Beginnend mit der Schnittfläche 1203 zum Allzweckprozessor, auf dem Anwendungen im DHCT 333 ablaufen, erlaubt diese Schnittfläche 1203 den Durchgang von Daten zwischen den übrigen Komponenten des DHCT 333 und dem DHCTSE 627, aber erlaubt es den Komponenten im übrigen Teil des DHCT 333 nicht, den Inhalt der geheimen Werte im Speicher im DHCTSE 627 aufzurufen oder diese zu lesen. Der Mikroprozessor 1201 führt den Code für die Verschlüsselung, Entschlüsselung und Authentisierung und für die Interpretation der EMM und ECM aus; die RSA-Hardware 1217 ist spezielle Hardware, die die bei der RSA-Verschlüsselung und -Entschlüsselung einbegriffenen Berechnungen ausführt. Der Speicher 1207 enthält den durch den Mikroprozessor 1201 ausgeführten Code, die Schlüssel sowie die Berechtigungsinformation. In einer bevorzugten Ausführungsform gibt es zwei Arten von physischem Speicher im Speicher 1207: den ROM (readonly memory) 1219, d. h. einen Festwertspeicher, dessen Inhalt festgelegt wird, wenn das DHCTSE 627 hergestellt wird, und den nichtflüchtigen Speicher (non-volatile memory NVM) 1209, der wie ein normaler Speicher mit wahlfreiem Zugriff gelesen und geschrieben werden kann, aber seine aktuellen Werte behält, wenn das DHCTSE 627 ohne Strom ist. Der nichtflüchtige Speicher 1209 ist als ein Satz von nichtflüchtigen Speicherzellen (non-volatile storage cells NVSC) 1211(0.. n) organisiert, wie in der am 3. April 1995 eingereichten US-Patentschrift 5 742 677, Pinder und Mitautoren, Information Terminal Maving Reconfigurable Memory, beschrieben.
Wie unten eingehender beschrieben wird, teilt der im Mikroprozessor 1201 ausgeführte Code den Berechtigungsvermittlern dynamisch NVSC 1211 zu. In der bevorzugten Ausführungsform wird der NVM 1209 für die Speicherung von Information benutzt, die durch EMM neu geschrieben werden kann, während der ROM 1219 für Code benutzt wird, der während der Lebensdauer des DHCTSE 627 nicht geändert wird.
Fig. 13 ist ein schematischer Überblick über den Inhalt des Speichers 1207 im DHCTSE 627. Der Speicher ist in zwei Hauptteile unterteilt: den Festwertspeicherinhalt 1301, der Code und weitere Information enthält, die sich im Ergebnis der Interpretation der EMM nicht ändert, sowie NVA-Speicherinhalt 1303, d. h. nicht- flüchtigen Speicherinhalt, der sich im Ergebnis der Interpretation der EMM ändert. Der Festwertspeicherinhalt 1301 enthält den Code 1305.
Code 1305 zerfällt in vier Kategorien: Code 1307 JUr die durch das DHCTSE 627 ausgeführten Verschlüsselungs-, Entschlüsselungs- und Authentisierungsoperationen, - code 1313 für die Interpretation der EMM, Code 1321 für die Interpretation der ECM sowie Code für die Behandlung anderer CA-Nachrichten wie die FPM und GBAM. Code 1307 schliesst den Code 1308 JUr den MDS-Einweg-Hash-Algorithmus, Code 1309 für den Algorithmus des öffentlichen RSA-Schlüssels und Code 1311 für den 3DES-Algorithmus ein. Der EMM-Code 1313 zerfällt in drei Klassen: Code 131 S. der EMM interpretiert, die von der Instanz für bedingten Zugang empfangen werden, Code 1317, der die EMM interpretiert, die von den Berechtigungsvermittlern eingesetzt werden, um die Speicherplatzzuteilung zu konfigurieren, die sie von der CAA empfangen, und Code 1319, der die EMM interpretiert, die MSK und Berechtigungen enthalten. Codes 1315, 1317 und 1319 implementieren somit den EMM-Verwalter 407 in einer bevorzugten Ausführungsform. Der Code 1321 für die Interpretation der ECM entschlüsselt das in den ECM enthaltene Kennwort und überprüft, ob das DHCT 333 die Erlaubnis zum Zugang auf die Diensteeinheit hat, die von der ECM begleitet wird; wenn ja, liefert der Code das entschlüsselte Kennwort an den Dienstentschlüsselungsmodul 625. Der Code 1323 für andere CA-Nachrichten behandelt Nachrichten wie FPM und GBAM.
Der NVA-Speicherinhalt 1303 hat zwei Hauptkomponenten: Verwaltungsspeicherplatz 1330 und EA-Speicherplatz 1331. Der Verwaltungsspeicherplatz 1330 enthält die DHCT-Schlüssel 1325, die CAA-Schlüssel 1329 und CAA-Daten 1330. Mit den DHCT-Schlüsseln 1325 beginnend, hat jedes DHCT 333 zwei Öffentlich/Privat- Schlüsselpaare. Der öffentliche Schlüssel eines der Paare dient als der öffentliche Schlüssel, der dazu benutzt wird, die zum DHCT 333 übersandten EMM zu verschlüsseln, während der private Schlüssel im DHCT 333 benutzt wird, um die Nachrichten zu entschlüsseln; der private Schlüssel des anderen Paares wird dazu benutzt, die versiegelten Synthesen von durch das DHCT 333 übersandten Nachrichten zu verschlüsseln, während der öffentliche Schlüssel durch andere Netzelemente benutzt wird, um die versiegelten Synthesen von vom DHCT 333 empfangenen Nachrichten zu entschlüsseln. Die Schlüsselpaare werden im DHCTSE 627 installiert, wenn das DHCTSE 627 hergestellt wird.
In einer bevorzugten Ausführungsform unterhält der Hersteller der DHCT 333 eine beglaubigte Datenbank, die die Seriennummern jedes DCHT zusammen mit dem dazugehörenden Paar von öffentlichen Schlüsseln enthält. Wenn eine CAA oder ein EA wünscht, mit dem Versand von EMM an ein DHCT 333 zu beginnen, so übersendet es eine Nachricht mit der Seriennummer des DHCT an die Steuergruppe 607. Die Steuergruppe 607 beantwortet die Anforderung, indem sie aus einer durch den Hersteller des DHCT 333 unterhaltenen Datenbank den öffentlichen Schlüssel für das DHCT anfordert. Die Datenbank antwortet auf die Nachricht, indem sie der Steuergruppe 607 beglaubigte Kopien der öffentlichen Schlüssel für das DHCT übersendet. Der Hersteller fungiert somit als Beglaubigungsinstanz für die Schlüssel. Die Steuergruppe 607 speichert die öffentlichen Schlüssel in einer eigenen Datenbank. Für Einzelheiten zur Schlüsselbeglaubigung siehe Schneier, wie oben zitiert, Seiten 425-428. Die öffentlichen Schlüssel für das DHCT vom Hersteller zu bekommen, hat zwei Vorteile: erstens wird dadurch das Problem gelöst, die Schlüssel zu beglaubigen; zweitens besteht im System mit bedingtem Zugang 601 keine Notwendigkeit, einen Rückwärtspfad zur Steuergruppe 607 zu haben, weil die öffentlichen Schlüssel vom Hersteller und nicht vom DHCT 333 kommen.
Die CAA-Schlüssel 1329 sind öffentliche Schlüssel für die Instanz für bedingten Zugang. In einer bevorzugten Ausführungsform schliessen die CAA-Schlüssel 1329 drei öffentliche Schlüssel für die Instanz für bedingten Zugang ein. Diese Schlüssel werden ursprünglich installiert, wenn das DHCTSE 627 hergestellt wird, können aber in Beantwortung von EMM geändert werden, wie unten eingehender erklärt werden wird. Die CAA-Daten 1330 schliessen die von der CAA bei der Verwaltung des EA- Speicherplatzes 1331 benutzten Parameter sowie Maps ein, die die spezifischen Berechtigungsvermittlern gehörenden NVSC auf 8-Bit-Namen abbilden und es dadurch der CAA und den Berechtigungsvermittlern gestatten, die NVSC 1211 namentlich zu manipulieren.
Der Berechtigungsvermittler 1331 besitzt EA-Information 1331 für jeden Berechtigungsvermittler, von dem das das DHCTSE 627 enthaltende DHCT 333 Dienste erhalten kann. Die CAA benutzt EMM, um einem Berechtigungsvermittler NVSC 1211 zuzuteilen, der Berechtigungsvermittler benutzt sodann EMM, um den Inhalt seiner Berechtigungsvermittlerinformation 1333 zu definieren.
Fig. 14 zeigt, wie NVSC 1211 in einer bevorzugten Ausführungsform zu EA- Speicherplatz 1331 organisiert werden. Es gibt zwei Arten von NVSC 1211: "magere" NVSC, wie bei 1405 gezeigt, und "dicke" NVSC, wie bei 1409 gezeigt. Eine dicke NVSC besteht aus einer Anzahl von mageren NVSC. Der Speicherplatz 1403, der die drei öffentlichen CAA-Schlüssel enthält, enthält ferner zwei Zeiger: einen, 1402, zu einer freien Liste 1407 von nicht zugeteilten mageren NVSC, und den anderen, 1404, zu einer Berechtigungsvermittlerliste 1406 von zugeteilten dicken NVSC 1409. Eine solche dicke NVSC 1409(i) gibt es für jeden Berechtigungsvermittler, von dem DHCT 333 Dienste empfangen darf. Jede dieser NSVC 1409(i) kann auch eine Liste 1411 von NVSC haben, die magere NVSC 1405, dicke NVSC 1409 oder eine Kombination beider sein können. Eine gegebene NVSC 1409(i) und ihre Liste magerer NVSC stellen die EA-Information 1333(i) für einen EA dar. Die dicke NVSC 1409 ist ein EA-Deskriptor (EAD). Wie bei 1333(i) gezeigt, enthalten die mageren NVSC 1411 Information über die durch den Berechtigungsvermittler zur Verfügung gestellten Dienste, wie zum Beispiel einen MSK für einen Dienst, eine Bitmap von Berechtigungsinformation sowie die für interaktive Dienste wie IPPV benötigte Information.

Steuerung des NVA-Speicherplatzes 1303

In einer bevorzugten Ausführungsform können die Zuteilung und der Entzug von NVSC 1211 in letzter Instanz entweder durch die CAA oder das DHCTSE 627 gesteuert werden. Wenn die CAA die Zuteilung und den Entzug steuert, dann verhandelt die CAA, die gewöhnlich den Betreiber des DBDS 501 vertritt, mit jedem der Berechtigungsvermittler und stimmt der Zuteilung der verschiedenen Typen von NVSC für den betreffenden Berechtigungsvermittler zu. Der EA-Verwaltungscode 1317 prüft bei Interpretation der EMM von einem Berechtigungsvermittler, um sicherzustellen, dass der Berechtigungsvermittler nicht mehr NVSC jeden Typs benutzt, als ihm zugeteilt sind.
Wenn das DHCTSE 627 den NVA-Speicherplatz 1303 steuert, dann verhandelt der Betreiber der CAA mit jedem der Service-Provider und stimmt der Zuteilung des für die zur Verfügung gestellten Dienste erforderlichen Speicherplatzes zu. Die CAA schickt dem Berechtigungsvermittler dann eine verschlüsselte Nachricht. Die verschlüsselte Nachricht enthält die Zuteilung auf der Basis von Datentypen, und der Berechtigungsvermittler hindert den Service-Provider daran, mehr Ressourcen zu verlangen als verhandelt wurden. Wenn das DHCTSE 627 trotzdem Anforderungen für Speicherplatz empfängt, die über den im NVA 1303 vorhandenen Platz hinausgehen, dann zeigt es dem Benutzer des DHCT 333 über die Benutzerschnittstelle an, dass kein weiterer Speicherplatz verfügbar ist, und fordert den Benutzer auf, entweder einige Service-Provider-Ressourcen zu entfernen oder von der Anforderung zurückzutreten.

Näheres zu den durch EMM bezeichneten Operationen

Im folgenden werden Beispiele für durch EMM bezeichnete Operationen angeführt, beginnend mit der Änderung eines öffentlichen CAA-Schlüssels, sich fortsetzend über die Einführung eines EA ins DHCTSE 627 und endend mit der Lieferung von Berechtigungsinformation für Sendungen, Ereignisse und interaktive Dienste. In der bevorzugten Ausführungsform steuert eine einzige CAA die Zuteilung von EA- Speicherplatz 1331 an die Berechtigungsvermittler. In anderen Ausführungsformen kann es mehr als eine CAA geben. Es gibt zwei Arten von Berechtigungsinformation: die für Sendedienste und die für interaktive Dienste. Der Speicherplatz für Sendeberechtigungen ist dauerhafter als der für interaktive Berechtigungen.
Die Grösse des Speichers 1207 im DHCTSE 627 ist begrenzt. Die CAA verwaltet diese knappe Ressource und teilt sie den Berechtigungsvermittlern zu, von denen das DHCT 333 Dienste empfängt. Je nach ihren Bedürfnissen können verschiedene EA verschiedene Mengen an Speicherplatz zugeteilt erhalten. Nachdem ein EA eine Zuteilung von der CAA erhalten hat, kann der EA innerhalb der durch die CAA definierten Beschränkungen den Speicherplatz konfigurieren. Verschiedene EA können verschiedene Beschränkungen und verschiedene Arten von Beschränkungen haben. Im einen Extrem beschränkt die CAA nur die Gesamtzahl von NVSC 1211, die ein EA in seiner EA-Information 1333 besitzen darf. Die CAA kann schärfere Beschränkungen auferlegen, indem sie die Arten von NVSC 1211 und/oder die Anzahl jeder Art begrenzt. Auf diese Art kann die CAA den EA daran hindern, bestimmte Arten von Diensten anzubieten, und die Menge solcher angebotenen Dienste begrenzen, d. h. die Zeitdauer, über die solche Dienste angeboten werden.
Wenn eine CAA einem EA dicke und magere NVSC 1211 zuteilt, dann gibt sie jeder zugeteilten NVSC 1211 einen "Namen", d. h. jede NVSC 1211 hat eine Kennung wie zum Beispiel eine Acht-Bit-Kennung, die die CAA mit dein EA assoziiert, dem sie die NVSC 1211 zugeteilt hat. Die CAA und der EA benutzen den Namen für die NVSC 1211, um in EMM, durch die die NVSC manipuliert werden, darauf Bezug zu nehmen. Der Name einer NVSC braucht keinerlei Beziehung zum tatsächlichen Ort zu haben, an dem sie sich im NVM 1209 befindet. Da der Namenraum acht Bits breit ist, werden die Namen unter Benutzung einer 256-Bit-Map zugeteilt. Wenn ein Berechtigungsvermittler den Namen einer NVSC hat, kann er die NVSC zu jeder Art von NVSC umgestalten, solange diese Art dem EA erlaubt ist und die Gesamtzahl der NVSC dieser Art, die dem EA gehören, nicht die Grenze übersteigt, die durch die CAA genehmigt wurde, die den EA autorisierte.
Nachdem die CAA den EA-Speicherplatz im DHCTSE zugeteilt hat, ist es dem EA überlassen, den Speicherplatz zu konfigurieren. Der erste Schritt besteht darin, bestimmte Parameter wie ein PIN in einen Deskriptor für den EA zu laden. Der zweite Schritt besteht darin festzulegen, welche Arten von NVSC für die anzubietenden, geschützten Dienste benutzt werden sollen. Die durch die CAA zugeteilten Namen werden dann unter den verschiedenen Arten von NVSC aufgeteilt. Schliesslich wird jede NVSC durch Übersenden der zugehörigen EMM geladen.

Adressierung von EMM

In der bedingten Zugangsschicht werden die EMM an ein bestimmtes DHCTSE 627 adressiert, das durch die CAA oder den EA indiziert wurde. Diese Indexierung erfolgt im EMM-Header 1113, der eine eindeutige Kennung für die CAA oder den EA einschliesst, die die Quelle der EMM sind, und die deshalb mit dem privaten Schlüssel assoziiert wird, der benutzt wurde, um die versiegelte Synthese der EMM zu erstellen. Der EMM-Header schliesst auch die Seriennummer für das DHCTSE 627 ein. Das DHCTSE 627 beantwortet nur diejenigen EMM, die seine Seriennummer einschliessen. Wenn eine CAA die Quelle der EMM ist, dann gibt es im Header auch einen Wert, der andeutet, welcher der öffentlichen Schlüssel der CAA der öffentliche Schlüssel für die Quelle der Nachricht ist. Bedingte Zugangsnachrichten können in anderen Datenprotokollen befördert werden, die andere Adressiermechanismen einschliessen können.
Das DHCTSE 627 beachtet EMM nicht, die an eine CAA oder einen EA adressiert sind, das dem DHCTSE 627 nicht "bekannt" ist (d. h. EMM, für die es keine CAA gibt, die der CAAID entspricht, und auch keine EA, die der EAID entspricht). Wie eingehender unten erklärt werden wird, ist Information über die individuellen Berechtigungen in den NVSC 1211 für Berechtigungen enthalten. Jede dieser NVSC hat einen Typ, und ein EA kann den Typ oder Inhalt einer NVSC 1211 ändern, indem er eine EMM schickt, die den Namen der NVSC 1211, die zu ändern ist, angibt. Das DHCTSE 627 wird die NVSC 1211 wie in der EMM angegeben ändern, es sei denn, dass der Berechtigungsvermittler keine NVSC mit diesem Namen besitzt oder die Änderung gegen eine durch die CAA gesetzte Einschränkung verstösst. In solchen Fällen wird die EMM durch das DHCTSE 627 nicht beachtet. Das System mit bedingtem Zugang 601 verlangt nicht, dass das digitale Breitbandliefersystem 501 einen Rückwärtspfad hat oder, sofern einer existiert, dass irgendeine Bandbreite im Rückwärtspfad für die bedingte Zugangsfunktion der EMM zur Verfügung steht. Folglich gibt das DHCT 333 keinerlei Quittung, Bestätigung oder Fehlernachricht in Beantwortung einer EMM. Deshalb sollten die CAA oder der EA, die die Quelle einer EMM sind, die Zuteilungen von NVSC 1211 verfolgen und nur solche EMM schicken, die legitime Operationen verlangen. In anderen Ausführungsformen kann ein Rückwärtspfad erforderlich sein, und bei diesen Ausführungsformen kann der Rückwärtspfad für Quittungen oder Fehlermeldungen verwendet werden.

Änderung einer CAA

Wie zuvor angedeutet, ist eine CAA im DHCTSE 627 durch ihren öffentlichen Schlüssel vertreten. Drei öffentliche Schlüssel für die CAA werden im DHCTSE 627 bei seiner Herstellung installiert. Es mag gelegentlich erforderlich werden, die CAA des DHCTSE 627 zu ändern. Ein Umstand, unter dem eine solche Erfordernis entstehen würde, ist Verletzung des privaten Schlüssels für die CAA; ein anderer Umstand wäre der, dass eine neue Instanz die Funktion übernommen hat, Berechtigungsvermittler zu autorisieren. Das könnte zum Beispiel als Folge des Verkaufs eines ganzen DBDS 501 oder eines Teils davon eintreten.
Jeder der öffentlichen Schlüssel für eine CAA kann durch eine Folge von zwei EMM ersetzt werden, wovon die erste eine versiegelte Synthese hat, die mit dem privaten Schlüssel verschlüsselt worden ist, der dem ersten der beiden anderen öffentlichen Schlüssel entspricht, während die zweite eine versiegelte Synthese hat, die mit dem privaten Schlüssel verschlüsselt worden ist, der dem zweiten der beiden anderen privaten Schlüssel entspricht. Jede der beiden EMM enthält eine Kennung, die CAAID für die neue CAA, einen Schlüsselauswahlwert, der anzeigt, welcher der drei öffentlichen CAA-Schlüssel ersetzt werden soll, sowie den öffentlichen Schlüssel für die neue CAA. Nachdem die erste EMM durch das DHCTSE 627 erfolgreich authentisiert wurde, indem die durch den ersten CAA-Schlüssel erteilte digitale Unterschrift bestätigt wurde, berechnet das DHCTSE 627 ein MDS-Hash des neuen öffentlichen CAA-Schlüssels in dieser ersten EMM und speichert es. Nachdem die zweite EMM durch das DHCTSE erfolgreich authentisiert wurde, indem die durch den zweiten CAA-Schlüssel erteilte digitale Unterschrift bestätigt wurde, berechnet das DHCTSE ein MDS-Hash des in dieser zweiten EMM eingeschlossenen neuen öffentlichen CAA-Schlüssels. Dieses zweite Hash wird mit dem ersten verglichen. Wenn die Hashs identisch sind, werden der neue öffentliche CAA-Schlüssel und die neue CAAID an die Stelle des öffentlichen Schlüssels und der CAAa der CAA gesetzt, die durch den Schlüsselauswahlwert bezeichnet worden war. Ein einzelner öffentlicher CAA-Schlüssel darf nicht zweimal geändert werden, ohne dass einer der anderen beiden öffentlichen CAA-Schlüssel zwischendurch geändert wurde.

Dynamisch Berechtigungsvermittler im DHCTSE 627 hinzufügen und zurückziehen: Fig. 15

Wenn eine CAA ein DHCT 333 autorisiert, Dienste von einem Berechtigungsvermittler zu empfangen, geschieht dies, indem eine Folge von EMM übersandt wird, die einen Berechtigungsvermittlerdeskriptor (entitlement agent descriptor) EAD 1409 für den neuen Berechtigungsvermittler schaffen. Fig. 15 zeigt eine detaillierte Ansicht eines EAD 1409(i), wie er durch die EMM der CAA geschaffen wurde. Der Header 1502 ist allen NVSC 1211 gemein. Der Zellenstatus 1501 zeigt an, ob die NVSC 1211 zugeteilt ist. Der Zellentyp 1503 zeigt an, welche Art von Daten sie enthält, mit einem EAD 1409. Der Zellentyp 1503 zeigt an, dass die Zelle eine "dicke" NVSC ist. Der Zellenname 1505 ist ein Acht-Bit-Name, den die CAA der Zelle gibt, wenn sie sie zuteilt. Die Namen sind pro EA. Das heisst, dass die EA- Information 1333 für einen EA bis zu 255 NVSC enthalten kann. Das nächste Element 1507 ist ein Zeiger zum nächsten Element in der Liste, zu der die NVSC gehört. Bei einer nicht zugeteilten NVSC ist dies also ein Zeiger zur nächsten NVSC in der freien Liste 1407; in einem EAD 1409 ist es ein Zeiger zum nächsten Element in der EAD-Liste 1406, und in einer mageren NVSC, die Teil einer Liste 1411 ist, ist es die nächste magere NVSC in dieser Liste. Das nächste Element 1507 wird in Antwort darauf bestimmt, was für eine EMM die Manipulation der Liste verursacht.
Die übrigen Felder sind den EAD 1409 eigen. Die in Fig. 15 als 1506 bezeichneten Felder werden alle durch EMM von der CAA bestimmt. BAlD 1509 ist eine Kennung für den Berechtigungsvermittler, zu dem EAD 1409 gehört; in der bevorzugten Ausführungsform wird EAID 1509 benutzt, um EAD 1409 für einen gegebenen Berechtigungsvermittler aufzufinden. Die CAA-Flaggen 1511 sind Flaggensätze, die anzeigen, 1) die Diensteklassen, zu denen der Berechtigungsvermittler Zugang gewähren kann, 2) ob der öffentliche Schlüssel für den Berechtigungsvermittler im EAD 1409 installiert ist. Die erste magere NVSC 1513 ist ein Zeiger zu einer Liste 1411 von mageren NVSC, die zur EA-Information 1333 gehört, zu der der EAD 1409 gehört. Die EA-Maxima 1515 definieren die Höchstmenge an Diensten für den EA, dem die EA-Information 1333 gehört. Das letzte von der CAA gesetzte Feld 1506 ist der öffentliche EA-Schlüssel 1527, d. h. der öffentliche Schlüssel für den EA, dem die EA-Information 1333 gehört.
Die Felder in den EA-Feldern 1516 enthalten Information, die mit dem Kunden assoziiert ist, dem das DHCT 333 gehört. Die Felder werden durch eine EMM bestimmt, die vom EA empfangen wurde, nachdem EAD 1409 zugeteilt und die Felder 1506 bestimmt worden waren. Die DHCT-Flaggen 1517 schliessen Flaggen ein, die die Dienste bezeichnen, die durch den EA zur Verfügung gestellt werden, die dieser spezielle RICHT 333 gegenwärtig zu empfangen berechtigt ist. Das Feld 1519 für das gespeicherte Kreditlimit wird für spontante Diensteeinheiten benutzt, d. h. für Diensteeinheiten, die nicht im voraus gekauft werden müssen. Das Feld 1519 für das gespeicherte Kreditlimit zeigt die Höchstmenge eines Dienstes an, den ein interaktiver Kunde ohne Autorisierung vom EA benutzen kann. Wie unten im einzelnen erklärt werden wird, wird Autorisierung erhalten, indem eine FPM an den EA geschickt und eine bestätigende EMM vom EA empfangen wird. Die X-Koordinate 1521 und die Y- Koordinate 1523 definieren einen Ort des DHCT 333 in einem Koordinatensystem (später noch gründlicher zu erklären), das durch den Berechtigungsvermittler aufgestellt wurde. Das Koordinatensystem kann geographisch sein und zum Beispiel dafür benutzt werden festzustellen, ob sich das DHCT 333 in einem Gebiet befindet, das in einer Sendung ausgeblendet werden soll. Das Koordinatensystem kann auch dafür benutzt werden, Teilmengen der Kunden eines EA zu definieren. Zum Beispiel könnten die X- und Y-Koordinate dazu benutzt werden, Kunden zu definieren, die keine Filme zu empfangen wünschen, deren Bewertung eine andere als G oder PG-13 ist. Die PIN ist ein Code aus einer Mehrzahl von Zeichen, den der Kunde für das DHCT benutzt, um sich gegenüber dem Berechtigungsvermittler zu identifizieren.
Die EMM, die die CAA schickt, um EA-Information 1333 für einen EA aufzustellen, sind die folgenden:
- Setzen der EA-Zuteilungsnamenmap
- Setzen der EA-Höchstzuteilungen
- Aktualisierung des öffentlichen Schlüssels des Berechtigungsvermittlers
Der EMM-Header 1113 in allen diesen EMM enthält eine CAAa für die CAA, und alle EMM haben eine versiegelte Synthese, die mit dem privaten Schlüssel der CAA verschlüsselt worden ist. Die CAA kann diese EMM nicht nur benutzen, um EA- Information 1333 zusammenzustellen, sondern auch, um bereits existierende EA- Information 1333 für einen EA abzuwandeln und EA-Information 1333 für einen EA zurückzuziehen. Wenn letzteres getan wurde, dann reagiert das DHCTSE 627 nicht mehr auf EMM oder ECM von dem betreffenden Berechtigungsvermittler.

Setzen der EA-Zuteilungs-Namenmap

Die EMM zum Setzen der EA-Zuteilungs-Namenmap enthält eine EAID, die eindeutig den EA identifiziert, für den die EA-Information 1333 geschaffen oder abgewandelt wird, sowie eine Namenmap. Die Map hat für jeden Namen ein Bit; wenn die CAA dem EA eine NVSC zugeteilt hat, ist das dem Namen der NYSC entsprechende Bit gesetzt. Der CAA-EMM-Code 1315 antwortet auf diese EMM, indem er die für die EA-Information 1333 erforderlichen NVSC zuteilt, die Namen für die EAa auf die wirklichen Orte der NVSC abbildet, die Liste 1411 erstellt und die erste NVSC-Flagge 1513 setzt, um darauf zu zeigen, den neuen EA-Descriptor 1409 am Kopf der EA-Liste 1406 hinzufügt und den nächsten Elementzeiger 1507 entsprechend setzt sowie die Headerfelder 1502 und das EAID-Feld 1509 ausfüllt.
Der CAA-EMM-Code 1315 speichert die aktuelle Namenmap für die EA in CAA- Daten 1330 und kann folglich die Namenmap in einer frisch empfangenen EMM zum Setzen der EA-Zuteilungs-Namenmap mit der aktuellen Map vergleichen. Wenn ein Name in beiden Namenmaps angeführt ist, so berührt der Befehl zum Setzen der EA- Zuteilungs-Namenmap nicht die NVSC 1211 mit dem Namen. Wenn die Namenmap in der EMM einen Namen anführt, der sich nicht in der aktuellen Namenmappe befand, so wird eine diesem Namen entsprechende NVSC 1211 zur Liste 1411 hinzugefügt. Wenn die Namenmap in der EMM einen Namen, der vorher dem Berechtigungsvermittler zugeteilt war, nicht mehr anführt, so wird die diesem Namen entsprechende NVSC 1211 auf die freie Liste 1407 zurückversetzt. Nachdem dies erfolgt ist, wird die Namenmap in der EMM zur aktuellen Namenmap.
Ein Berechtigungsvermittler und eine Instanz für bedingten Zugang arbeiten typischerweise zusammen, wenn festgelegt wird, wie lang die Liste 1411 sein sollte. Wenn ein Berechtigungsvermittler zum Beispiel weniger Platz benötigt, sendet er eine diesbezügliche Nachricht an die CAA, die Nachricht enthält die Namen der NVSC 1211, die der Berechtigungsvermittler zurückzuziehen wünscht, und die Namenmap in der durch die CAA übersandten EMM führt nur die Namen derjenigen NVSC 1211 auf, die der Berechtigungsvermittler zu behalten wünscht. Es kann jedoch vorkommen, dass der Berechtigungsvermittler nicht kooperativ ist oder dass die Instanz fit bedingten Zugang die Liste 1411 für den Berechtigungsvermittler kürzen muss, bevor es eine Nachricht vom Berechtigungsvermittler empfängt. In diesem Falle kann die CAA NVSC 1211 nach dem Wert des Namens von der Liste 1411 streichen, indem sie mit dem Namen mit dem höchsten Zahlenwert beginnt, mit dem nächsthöchsten fortfährt usw., bis die erforderliche Anzahl von NVSC 1211 zurückgezogen worden ist.
Die CAA kann die EMM zum Setzen der EA-Zuteilungs-Namenmap auch dazu benutzen, um EA-Information für einen EA aus dem DHCTSE 627 zu entfernen. Wenn die EMM auf diese Art und Weise benutzt wird, werden keine der Bits in der Namenmap gesetzt. Der CAA-EMM-Code 1315 antwortet darauf, indem er alle NVSC in der EA-Information 1333 und im EA-Deskriptor 1409(i) für den durch die EAID in der EMM identifizierten EA auf die freie Liste 1407 zurücksetzt und die EA- Liste 1406 wie erforderlich wieder anschliesst.

Setzen der EA-Höchstzuteilungen

Die EMM zum Setzen der EA-Höchstzuteilungen enthält die EAa für den EA, der die Berechtigungsinformation 1333 besitzt, die gerade geschaffen oder abgewandelt wird, sie enthält auch Werte für Felder 1511 und 1515 des EAD 1409. Der CAA- EMM-Code 1315 beantwortet diese EMM, indem er die EA-Liste 1406 durchgeht, bis er den EA-Deskriptor 1409 mit der in der EMM bezeichneten EAID findet, und dann die Felder 1511 und 1515 des EAD 1409 setzt, indem er die Werte in der EMM benutzt. Wenn ein Berechtigungsvermittler an das DHCTSE 627 eine EMM schickt, die Berechtigungsinformation eines bestimmten Typs aufstellt, zum Beispiel für ein Ereignis, dann prüft der Code, der die EMM interpretiert, die EA-Höchstzuteilungen, um festzustellen, ob die Höchstzahl von Berechtigungen für diesen EA überschritten worden ist. In der bevorzugten Ausführungsform werden Berechtigungen durch NVSC dargestellt. Folglich liegt die Begrenzung bei der Anzahl von NVSC eines gegebenen Typs in der Liste 1411.

Aktualisierung des öffentlichen Schlüssels des Berechtigungsvermittlers

Die EMM zur Aktualisierung des öffentlichen Schlüssels des Berechtigungsvermittlers enthält die EAID für den EA, der die Berechtigungsinformation besitzt, die gerade geschaffen oder abgewandelt wird, sowie den öffentlichen Schlüssel des EA. Der CAA-EMM-Code 1315 beantwortet diese EMM, indem er den EA-Deskriptor 1409 auffindet, wie oben beschrieben, und vom öffentlichen Schlüssel in der EMM das Feld 1527 setzt. Nachdem der öffentliche Schlüssel des EA an Ort und Stelle gebracht worden ist, kann das DHCTSE 627 dann die chiffrierten Synthesen der EMM benutzen, um nachzuweisen, dass sie vom EA stammen. Diese Prüfung ist möglich, da der EA den dem aktualisierten öffentlichen Schlüssel entsprechenden privaten Schlüssel benutzt, um die Chiffrieroperation auszuführen.

EMM von EA, die die Berechtigungsinformation 1333 abwandeln

Die EA-EMM, die Berechtigungsinformation abwandeln, haben versiegelte Synthesen, die unter Benutzung des privaten Schlüssels des EA verschlüsselt worden sind. Die EMM zerfallen in zwei Gruppen. EMM, die die EA-Felder 1516 des EAD 1409 abwandeln, und EMM, die den Inhalt der NVSC abwandeln, aus denen die Liste 1411 besteht. Wie bezüglich des EAD 1409 ausgeführt, hat jede NVSC einen Namen, und jede NVSC in der Liste 1411 hat einen Typ. Eine NVSC wird durch die CAA mit Namen versehen, wie oben beschrieben, und ihr Name kann durch den Berechtigungsvermittler nicht geändert werden. Der Berechtigungsvermittler kann jedoch den Typ und den Inhalt einer NVSC ändern, lediglich vorbehaltlich der für die Typen im EAD 1409 für den EA festgesetzten Maxima. Es ist Sache des Berechtigungsvermittlers, die Typen und Inhalte der NVSC in der EA-Information 1333 zu verfolgen.
Die EMM, die die EA-Felder 1516 des EAD 1409 abwandelt, ist die EMM zur Aktualisierung der Berechtigungsvermittlereigenschaften. Die zweite Gruppe von EMM wird weiter nach den Arten von Berechtigung, die sie liefern, unterteilt. Es gibt zwei grosse Familien von Berechtigungen: Sendeberechtigungen für nicht interaktive Dienste und interaktive Berechtigungen für interaktive Sitzungen. Innerhalb der Sendeberechtigungen gibt es weiterhin Ereignisberechtigungen für Ereignisse, für die der Benutzer einzeln zahlt, wie im Falle von Pay-per-View-Ereignissen, für interaktive Pay-per-View-Ereignisse und für Near-Video-on-Demand-Ereignisse. Die EMM für Nichtereignis-Sendungen schliessen ein:
- Aktualisierung eines MSK
- Aktualisierung einer digitalen Bitmap
- Aktualisierung einer digitalen Liste
- Aktualisierung eines analogen MSK und einer analogen Bitmap
- Aktualisierung eines analogen MSK und einer analogen liste
- Aktualisierung einer analogen Bitmap
- Aktualisierung einer analogen Liste
Die Sende-EMM für Ereignisse schliessen ein
- Speicherung eines neuen Ereignisses
- Hinzufügen/Zurückziehen eines PPV-Ereignisses
- Quittieren eines IPPV/NVOD-Ereignisses
Die EMM für interaktive Sitzungen schliessen ein
- Speicherung einer neuen interaktiven Sitzung
- Hinzufügen einer interaktiven Sitzung
- Zurückziehen einer interaktiven Sitzung
Aus den Namen der EMM ist ersichtlich, dass der EA den Typ der benannten NVSC, die durch die CAA zugeteilt worden sind, wie für Ereignisse und interaktive Sitzungen erforderlich ändern kann, lediglich vorbehaltlich der im EAD 1409 angeführten Maxima.
Es gibt getrennte CAA-EMM für die Zuteilung von NVSC, für das Setzen von Begrenzungen für die NVSC-Typen und für die Zuweisung eines öffentlichen Schlüssels an einen Berechtigungsvermittler. Die EA-EMM für das Schreiben von NVSC 1211 tun dies ebenfalls namentlich und können sowohl den Typ als auch den Inhalt der NVSC 1211 ändern. Daher hat das Zugangssteuersystem 601 einen hohen Grad von Kontrolle und Flexibilität. Eine CAA kann dynamisch die Gesamtzahl von Berechtigungen, die ein Berechtigungsvermittler erteilen kann, sowie die Anzahl von Berechtigungen jeder gegebenen Art wie erforderlich beschränken. Die CAA kann auch die Beschränkungen teilweise oder ganz ändern, und zwar entweder im Zusammenwirken mit dem Berechtigungsvermittler oder einseitig. Innerhalb der durch die CAA auferlegten Beschränkungen ist aber der Berechtigungsvermittler frei, seine eigenen Berechtigungen dynamisch zu verwalten, indem er nicht nur die Berechtigungen eines gegebenen Typs, sondern sogar die Typen selbst ändert.

Aktualisierung der Berechtigungsvermittlereigenschaften

Diese EMM enthält die Werte für EA-Felder 1516 des EAD 1409. Der EA-Verwaltungs-EMM-Code 1317 liest den EMM-Header 1113, um die EAlD für den EA zu bekommen, an den die EMM gerichtet ist, und setzt einfach die Felder 1516 im EAD 1409 für den EA aus der EMM.

Nichtereignis-Sende-EMM

Voner den Nichtereignis-Sende-EMM werden hier vier Typen diskutiert. Diese sind MSK-Aktualisierung, Bitmap-Aktualisierung, Listen-Aktualisierung und kombinierte Aktualisierungen mit MSK und Liste oder Bitmap. Der Fachmann wird in der Lage sein, die unten erklärten Prinzipien mühelos auf EMM anzuwenden, die die Funktionen ausführen, die durch die Namen anderer Nichtereignis-Sende-EMM angedeutet werden. Zum Beispiel können die Prinzipien der digitalen EMM auf analoge EMM angewandt werden. Es gibt einen besonderen Typ von NVSC 1405 für jeden Informationstyp, der durch die obigen Nichtereignis-Sende-EMM geliefert wird. Fig. 16 zeigt den Inhalt von vier dieser NVSC-Typen. Jeder NVSC-Typ wird zusammen mit der EMM diskutiert, die die darin enthaltene Information liefert.

MSK-Aktualisierung

Die MSK-Aktualisierungs-EMM wird benutzt, um für eine Gruppe von Diensten, die durch den durch die EMM bezeichneten EA zur Verfügung gestellt werden, einen neuen MSK zu übersenden. Der neue MSK und weitere, mit dem MSK assoziierte Information werden in der MSK-NVSC 1601 in der Liste 1411 für EA-Information 1333 gespeichert, die dem durch die EMM bezeichneten EA gehört. Einbeschlossen in die MSK-NVSC 1601 ist ein Header 1502. Der Header 1502 sagt aus, dass die NVSC 1601 eine MSK-NVSC ist, gibt den Namen der NVSC an und enthält den Nächstes-Element-Zeiger 1507 zum nächsten Element in der Liste 1411. Die anderen Felder enthalten Information über den MSK. In der bevorzugten Ausführungsform hat MSK 1608 zwei 128-Bit-Teile: den geraden MSK 1609 und den ungeraden MSK 1611. Jeder Teil hat zwei Hälften, nämlich eine erste Hälfte und eine zweite Hälfte, jede mit 56 Schlüsselbits und 8 unbenutzten Paritätsbits. Der MSK 1608 ist mit einer Paarkennung 1603 für den MSK 1608, einem Verfallsdatum 1605 für den MSK 1608 und einer Flagge 1607 assoziiert, die anzeigt, ob der Wert des Verfallsdatums 1605 unbeachtet bleiben sollte. Wenn das Verfallsdatum 1605 nicht unbeachtet bleiben soll, benutzt das DHCTSE 627 den MSK 1608 nach dem Verfallsdatum nicht, um ein Kennwort zu entschlüsseln. Die Kennung 1603 ist pro EA, folglich kann ein gegebener EA zu jeder gegebenen Zeit eine oder mehrere MSK-NVSC 1601 besitzen, um eine Mehrzahl verschiedener MSK zu speichern. Somit gestattet das System mit bedingtem Zugang 601 nicht nur getrennte Sicherheitspartitionen für jeden EA, sondern auch Sicherheitspartitionen innerhalb eines EA.
Der Header der MSK-Aktualisierungs-EMM enthält die EAID, die dafür benötigt wird, die EA-Information 1333 für den EA aufzufinden; die Nachricht enthält den Namen der NVSC, die den MSK aufnehmen soll, einen MSK-Paarselektor, der eine MSK-Paar-ID für den zu aktualisierenden MSK angibt, einen Satz von Flaggen, die es dem EA gestatten, selektiv die MSK-Paar-ID 1603, ein Verfallsdatum 1605, kein Verfallsdatum 1607 und jede der beiden MSK-Hälften 1608 zu verändern, sowie die Information, die dafür benötigt wird, die Veränderungen auszuführen. Im Höchstfall enthält die EMM einen Wert für die MSK-Paar-ID 1603, einen Wert für das Verfallsdatum 1605, einen Wert für kein Verfallsdatum 1607 sowie Werte für den geraden MSK 1609 und den ungeraden MSK 1611. Der EA-MSK-Code 1319 verarbeitet die MSK-Aktualisierungs-EMM, indem er die EA-Information 1333 für den durch die EAa im EMM-Header identifizierten EA auffindet, den Zellennamen benutzt, um die zutreffende NVSC aufzufinden, dieser NVSC den MSK-Typ angibt und dann in die MSK-NVSC 1601 schreibt, wie es durch die Flaggen und durch die Information in der EMM verlangt wird. Diese Verfahrensweise ist für analoge und digitale MSK-Aktualisierungs-EMM die gleiche. Die Unterschiede liegen im EMM- Befehlscode im EMM-Header 1123 und im NVSC-Typ 1503.

Berechtigungskennungen

Wie unten genauer erklärt werden wird, kennzeichnet eine ECM die Diensteeinheit, die sie begleitet, durch (1) die EAID für den Berechtigungsvermittler, der die Quelle der ECM ist, und (2) eine 32-Bit-Berechtigungs-ID für die Diensteeinheit. Berechtigungs-ID gibt es pro EA. Indem die Berechtigungs-ID 32 Bit lang gemacht werden, hat jeder EA eine genügende Anzahl von Berechtigungs-ID selbst für vorübergehende Dienste wie Pay-per-View-Ereignisse und interaktive Dienste. In der bevorzugten Ausführungsform prüft das DHCTSE 627, wenn es eine ECM interpretiert, ob das DHCT 333 berechtigt ist, die Diensteeinheit zu entschlüsseln, indem es in der EA- Information 1333 für den in der ECM bezeichneten EA nach einer Berechtigungs-ID sucht, die der in der ECM bezeichneten Berechtigungs-ID entspricht. "Die Berechtigungs-ID in den EMM und in der EA-Information 1333 können auf zumindest zwei Weisen dargestellt werden. Eine Weise ist eine einfache Auflistung der Berechtigungs-ID. Dieses Verfahren hat den Nachteil, dass die 32-Bit-Berechtigungs-ID lang sind, während die NVSC eine knappe Ressource darstellen. Die andere Weise ist vermittels eines Anfangs-Berechtigungs-ID-Wertes und einer Bitmap. Jede Berechtigungs-ID mit einem Wert, der nicht weiter als 255 von dem durch den Anfangs- Berechtigungs-ID-Wert bezeichneten Berechtigungs-ID-Wert entfernt ist, kann durch Setzen eines Bits in der Bitmap bezeichnet werden. Dieses Verfahren wird in der oben zitieren Patentanmeldung von Banker und Akins dargelegt. Man siehe insbesondere Fig. 2 der Patentanmeldung von Banker und Akins und die Diskussion dieser Figur. Die folgende Diskussion der Bezeichnung von Berechtigungs-ID durch eine Anfangs- 117 und eine Bitmap ist eine Erweiterung der Diskussion in jener Patentanmeldung.

Bitmap-Aktualisierungs-EMM

Diese EMM aktualisiert eine Bitmap, die eine oder mehrere Berechtigungs-ID bezeichnet. Die Bitmap ist in einer Berechtigungs-Bitmap-NVSC 1613 gespeichert. Die NVSC 1613 hat einen Header 1502 mit der Zellennummer und dem Typ der NVSC; eine erste Berechtigungs-ID 1615, die die erste Berechtigungs-ID ist, die durch die Bitmap bezeichnet werden kann; ein Verfallsdatum 1617, das angibt, wann die durch die erste Berechtigungs-ID 1615 und die Bitmap bezeichneten Berechtigungs-ID verfallen; eine Flagge für kein Verfallsdatum 1619, die anzeigt, ob es wirklich ein Verfallsdatum gibt; sowie eine Bitmap 1621. Die Bitmap-Aktualisierungs- EMM enthält den Zellennamen für die zu setzende NVSC 1613, einen Satz von Flaggen, die die Information in NVSC 1613 anzeigen, die durch die EMM zu setzen ist, sowie die Werte für die Information. Die EMM kann eine erste Berechtigungs-ID 1615, ein Verfallsdatum 1617, kein Verfallsdatum 1619 oder die Bitmap 1621 setzen, und zwar einzeln oder alle zusammen. Der EA-Verwältungs-EMM-Code 1317 antwortet auf die EMM, indem er die Felder der bezeichneten NVSC 1613 setzt, wie in der EMM angezeigt. Diese Verfahrensweise ist für EMM zur Aktualisierung von digitalen Bitmaps und von analogen Bitmaps das gleiche. Die Unterschiede liegen im EMM-Befehlscode im EMM-Header 1123 und im NVSC-Typ 1503.

Listen-Aktualisierungs-EMM

Die Listen-Aktualisierungs-EMM aktualisiert eine Liste von Berechtigungs-ID, die in einer Berechtigungslisten-NVSC 1623 enthalten ist. Die NVSC 1623 hat einen Header 1502 mit dem Zellennamen und -typ der NVSC und enthält bis zu sechs Berechtigungs-ID-Elemente 1625. Jedes der Elemente enthält eine Berechtigungs-ID 1627, ein Verfallsdatum 1629 für die Berechtigungs-ID und eine Flagge 1631, die anzeigt, ob die Berechtigungs-ID ein Verfallsdatum hat. Die Listen-Aktualisierungs- EMM enthält den Zellennamen für die NVSC, einen Wert für die Flagge, ein Verfallsdatum und Werte für bis zu sechs Berechtigungs-ID-Elemente 1625. Diese Verfahrensweise ist für EMM zur Aktualisierung von digitalen Listen und analogen Listen die gleiche. Die Unterschiede liegen im EMM-Befehlscode im EMM-Header und im NVSC-Typ 1503.

Sendeereignisse

Ein Sendeereignis ist ein einmaliger Dienst wie zum Beispiel eine Pay-per-View-, Sendung eines Boxkampfes. In der bevorzugten Ausführungsform gibt es zwei Arten von Sendeereignissen: gewöhnliche Pay-per-View-Sendeereignisse, die zu sehen der Kunde im voraus bestellt hat, und spontane Ereignisse, bei denen der Kunde zu der Zeit, da das Ereignis gesendet wird, entscheidet, ob er es zu bestellen wünscht. Es gibt verschiedene Arten von spontanen Ereignissen wie zum Beispiel spontane Pay-per- View- (impulse pay-per-view IPPV) Ereignisse, d. h. Pay-per-View-Ereignisse, bei denen der Kunde zur Zeit des Ereignisses entscheiden kann, es zu kaufen, und Near- Video-on-demand (NVOD), d. h. beliebte Filme, die in kurzen Abständen erneut gesendet werden und bei denen der Kunde zu dem Zeitpunkt, zu dem die erneute Sendung stattfindet, entscheiden kann, ob er oder sie ihn zu sehen wünscht. Der Fachmann wird erkennen, dass das Konzept eines "Ereignisses" sich auf irgendeinen Dienst über eine spezifische Zeitdauer hinweg (gesendet oder nicht gesendet) beziehen kann, zum Beispiel Video-auf-Abruf-Ereignisse oder andere Typen von Ereignissen, die hier nicht aufgezählt werden.
Im Falle von Pay-per-View-Ereignissen bestellt der Kunde das Ereignis vom Berechtigungsvermittler, und der Vermittler antwortet durch Zusendung einer EMM, die die erforderliche Berechtigungsinformation enthält. Im Falle von Ereignissen, bei denen der Kunde oder die Kundin zur Sendezeit entscheidet, das Ereignis zu kaufen, muss Kaufinformation, also Information über die Berechtigungen, die gekauft werden können, mit dem Ereignis verteilt werden. In diesen Fällen wird die Kaufinformation durch autherltisierte globale Sendenachrichten (global broadcast authenticated messages GBAM) verteilt. Der Kunde liefert Input 628, der einen Kauf bezeichnet. Das DHCT 333 antwortet auf den Input 628, indem es das Kaufprotokoll im DHCTSE 627 speichert und dann damit beginnt, das Ereignis zu entschlüsseln. Später sendet das DHCT 333 dem Berechtigungsvermittler eine weitergeleitete Kaufnachlicht (forwarded purchase message FPM), die anzeigt, was durch den Kunden gekauft worden ist, und die Berechtigungsinstanz antwortet mit einer EMM, die den Kauf bestätigt und die erforderliche Berechtigungsinformation enthält. Das Kaufprotokoll bleibt erhalten, bis eine EMM, die den Kauf bestätigt, durch das DHCTSE 627 empfangen worden ist.

Ereignis-NVSC: Fig. 17

Fig. 17 zeigt eine Ereignis-NVSC 1701, die dazu benutzt wird, Berechtigungsinformation filz Ereignisse zu speichern. Das Headerfeld 1502 ist dem für andere NVSC 1701 ähnlich. Jede Ereignis-NVSC 1702 kann bis zu drei Ereignisdeskriptoren 1703 enthalten, deren jeder ein einzelnes Ereignis beschreibt. Jeder Ereignisdeskriptor 1703 enthält ein Flaggenfeld 1705, das Flaggen beinhaltet, die anzeigen, (1) ob das Ereignis läuft, (2) ob seine Schlusszeit verlängert worden ist, (3) ob der Berechtigungsvermittler den Kauf des Ereignisses bestätigt hat, (4) ob der Kunde jederzeit annullieren darf, (5) ob der Kunde innerhalb eines Annullierungsfensters annullieren darf, (6) ob der Kunde den Kauf annulliert hat, (7) ob das Recht, das Ereignis zu kopieren, gekauft worden ist, und (8) ob das Ereignis ein analoger oder digitaler Dienst ist. Kaufzeit 1709 ist von der Anfangszeit des Ereignisses und von der Zeit, zu der der Kunde das Ereignis gekauft hat, die jeweils spätere Zeit. Schlusszeit 1709 ist die Zeit, zu der das Ereignis enden soll. Preis 1711 ist der Preis des Ereignisses für den Kunden, und Berechtigungs-ID 1713 ist die Berechtigungs-ID für das Ereignis.

EMM für Speicherung neuer Ereignisse

Wenn die CAA einen Berechtigungsvermittlerdeskriptor 1409 filz einen Berechtigungsvermittler aufstellt, schliesst sie in EA-Maxima 1515 einen Wert ein, der die Anzahl von Ereignis-NVSC 1701 begrenzt, die der Berechtigungsvermittler besitzen darf. Innerhalb dieser Anzahl ist der Berechtigungsvermittler jedoch frei, Ereignis- NVSC 1701 aus der Gesamtzahl der dem Berechtigungsvermittler gehörenden NVSC 1405 zuzuteilen und bestehende Ereignis-NVSC 1701 wiederzuverwenden. Um eine Ereignis-NVSC zuzuteilen, benutzt der EA die EMM für Speicherung neuer Ereignisse, die einfach den Zellennamen für die zuzuteilende NVSC enthält. Nachdem die Ereignis-NVSC 1701 zugeteilt worden ist, werden ihre Felder wie folgt gesetzt:
- Im Falle eines gewöhnlichen PPV-Ereignisses werden die Felder durch eine EMM zum Hinzufügen/Löschen von Ereignissen gesetzt.
- Im Falle eines IPPV- oder NVOD-Ereignisses werden die Felder zum Teil von der GBAM für das Ereignis und zum Teil vom Kundeninput 628 gesetzt.
Der Inhalt einer Ereignis-NVSC - 1701 wird durch eine EMM zum Hinzufügen/Löschen von Ereignissen oder durch den Empfang einer ECM gelöscht, die eine Zeit enthält, die später als die Ereignisschlusszeit in der Ereignis-NVSC 1701 liegt, sofern das Ereignisprotokoll vorher durch Empfang der EMM zur Quittierung des Ereignisses quittiert worden war.

Die EMM zum Hinzufügen/Löschen von Ereignissen

Die EMM zum Hinzufügen/Löschen von Ereignissen enthält eine Flagge, die anzeigt, ob die EMM ein Ereignis setzt oder löscht. In letzterem Falle muss der Inhalt der EMM mit dem aktuellen Inhalt der NVSC 1701, der gelöscht werden soll, übereinstimmen. In ersterem Falle schliessen die Werte der EMM Flaggen ein, die anzeigen, ob Zeitverlängerungen erlaubt sind und ob das Recht, zu kopieren, gekauft worden ist. Weiter einbeschlossen sind Werte für die Anfangs- und Endzeit des Ereignisses und die Berechtigungs-ID für das Ereignis. Wenn die Hinzufüg-/Löschflagge "Löschen" anzeigt, löscht der EA-Verwaltungscode den Inhalt der NVSC 1701. Wenn sie "Hinzufügen" anzeigt, setzt der Code die entsprechenden Felder der NVSC 1701 auf die in der EMM aufgeführten Werte. Die Flagge, die anzeigt, ob der EA den Kauf bestätigt hat, ist so gesetzt, das sie dies anzeigt.

Die authentisierte globale Sendenachricht: Fig. 18-20

Die authentisierte globale Sendenachricht (global broadcast authenticated message GBAM) ist wie die EMM, ECM und FPM eine CA-Nachricht. Eine GBAM wird durch einen Berechtigungsvermittler zu den DHCT 333 gesendet. Fig. 18 zeigt eine CA-Nachricht 805, die eine GBAM 1801 einschliesst. Die Nachricht 805 schliesst einen CA-Nachrichtenheader 1003 und eine CA-GBAM-Nachricht 1803 ein, die ihrerseits aus einem GBAM-Header 1807 und globalen Sendedaten 1809 zusammengesetzt ist. Die globalen Sendedaten 1809 sind nicht verschlüsselt, aber die GBAM 1801 wird in der gleichen Weise wie eine ECM authentisiert: der Header 1807, die globalen Sendedaten 1809 und der MSK 1015, der dem EA gehört, der die -GBAM geschickt hat, werden mit der Einweg-Hashfunktion MD5 vermischt, um den GBAM- MAC 1805 zu erzeugen. Wie bei der ECM ist der MSK 1015 ein Geheimnis, das zwischen dem EA, der die GBAM geschickt hat, und den DHCT 333, die EA- Information 1333 für den EA besitzen, geteilt wird.
Fig. 19 zeigt Einzelheiten des GBAM-Headers 1807 sowie die Gestalt, die die globalen Sendedaten 1809 annehmen, wenn die GBAM 1801 benutzt wird, um Berechtigungsinformation für IPPV oder NVOD zu liefern. Der GBAM-Header 1807 hat eine a 1901 für das System mit bedingtem Zugang, die das CA-System 601 identifiziert, in dem die GBAM 1801 benutzt wird, ein Identifizierungskennzeichen, das anzeigt, dass die Nachricht eine GBAM ist, sowie die Kennung 1905 des Berechtigungsvermittlers, der die GBAM schickt. Felder 1907 und 1909 bezeichnen den Schlüssel, der benutzt worden ist, um den MAC 1805 zu erstellen. Feld 1907 gibt die Parität der MSK-Hälfte an, die benutzt worden ist, um die Synthese zu erstellen, während MSK-Auswahl 1911 eine Kennung für den MSK selbst ist.
Käufliche Berechtigungsdaten 1913 bezieht sich auf die Gestalt der globalen Sendedaten 1809, die benutzt wird, um Berechtigungsinformation für IPPV oder NVOD zu liefern. Unter den für die gegenwärtige Diskussion relevanten Feldern ist die Berechtigungs-ID 1919 die Berechtigungs-ID für das mit der GBAM assoziierte Ereignis, während Flaggen 1917 Flaggen einschliesst, die anzeigen, welche Art von Annullierung erlaubt is und ob die Zeit für das Ereignis verlängert werden kann. Die Zahl der Modi 1919 zeigt an, wieviele verschiedene Modi es JUr den Kauf des Ereignisses gibt. Die Rechte, die der Käufer am Ereignis erwirbt, und der Preis, den der Käufer zahlen muss, sind je nach dem Modus verschieden. In der bevorzugten Ausführungsform kann ein Ereignis bis zu fünf Kaufmodi haben. Wenn mehr Kaufmodi erforderlich sind, können zusätzliche GBAM geschickt werden. Die Rechte und Preise für jeden Modus werden durch Arrays angezeigt. Jeder Array hat so viele gültige Elemente, wie es Modi gibt. Der Wert eines einem Modus entsprechenden Elements zeigt das Recht oder den Preis für diesen Modus an. So ist das Feld 1921 des Kopierrechts-Modus ein Bitarray; wenn ein Bit für einen Modus gesetzt ist, hat der Käufer des Modus das Recht, das Ereignis zu kopieren. Ähnlich enthält das Feld 1927 des Längen-Modus für jeden Modus einen Wert, der die Zeitdauer für das Ereignis in diesem Modus anzeigt. Das Feld 1929 des Preis-Modus enthält für jeden Modus einen Wert, der den Preis für das Ereignis in diesem Modus anzeigt. Das Feld frühester Beginn 1923 gibt die früheste Zeit an, zu der die Berechtigung für das Ereignis beginnen kann, während das Feld spätester Schluss 1925 die späteste Zeit angibt, zu der eine Berechtigung enden muss.
Wenn das DHCT 333 eine GBAM 1801 empfängt, gibt sie die GBAM 1801 zur Authentisierung der globalen Sendedaten 1809 an das DHCTSE 627 weiter. Die Authentisierung scheitert, wenn das DHCTSE 627 nicht den erforderlichen MSK besitzt. Wenn (1) das DHCTSE 627 den erforderlichen MSK besitzt und (2) die globalen Sendedaten 1809 Daten 1913 sind, dann erlaubt das DHCT 333 dem Kunden, das Ereignis zu kaufen. Beim Kauf identifiziert sich der Kunde oder die Kundin gegenüber dem DHCT 333 durch eine PIN, und diese PIN muss mit der PIN 1525 im EAD 1409 für den Berechtigungsvermittler, der die GBAM geschickt hat, übereinstimmen. Bei seinem oder ihrem Kauf bezeichnet der Kunde bzw. die Kundin auch die relevanten Modi. Mit der Modus- und Preisinformation, die in der GBAM gegeben wird, kann das DHCT 333 bestimmen, ob durch Bestellung des spontanen Ereignisses der Kunde die Menge (an Zeit, Geld usw.) überschreiten wird, die im gespeicherten Kreditlimit 1519 im EAD 1409 angegeben ist. Wenn der Kunde das Limit nicht überschritten hat, wird die Information von der GBAM und vom Kundeninput benutzt, um einen Ereignisdeskriptor 1703 für das Ereignis zu erstellen. Das DHCT 333 gibt die Information an das DHCTSE 627 weiter, das die Felder im Ereignisdeskriptor 1703 nach den ihm durch das DHCT 333 zur Verfügung gestellten 25 Werten setzt. Die Flagge, die anzeigt, ob die Kaufinformation quittiert worden ist, wird eingezogen, und der Preis des Ereignisses wird mit dem aktuellen Guthaben verrechnet.

Die weitergeleitete Kaufnachricht: Fig. 21

In einer bevorzugten Ausführungsform dient die weitergeleitete Kaufnachricht (forwarded purchase message FPM) zwei Zielen:
- sie informiert den Berechtigungsvermittler, dass der Kunde ein IPPV- oder ein NVOD-Ereignis gekauft hat; und
- es informiert den Berechtigungsvermittler, dass der Kunde den Kauf irgendeines Ereignisses annulliert hat.
In anderen Ausführungsformen können Nachrichten wie die FPM dafür benutzt werden, jegliche Art von Information vom DHCT 333 zu einer CAA oder einem EA zu übermitteln. Eine solche Nachricht kann zum Beispiel dafür benutzt werden, um monatliche Bestellinformation vom DHCT 333 an einen EA zu übermitteln.
Das DHCT 333 schickt eine weitergeleitete Kaufnachricht mit der Kaufinformation über den Rückwärtskanal zu dem Berechtigungsvermittler, der die GBAM geschickt hatte. Die FPM ist in einem Rückwärtskanal-Datenpaket enthalten, das an den EA adressiert ist. Fig. 21 liefert eine Übersicht über die FPM und die kryptographischen Massnahmen, die zum Schutz seines Inhalts benutzt werden. Die FPM 2101 ist eine CA-Nachricht 805 und wird folglich mit einem CA-Nachrichtenheader 1003 übersandt. Die FPM 2101 selbst besteht aus einem verschlüsselten FPM-Umschlagschlüssel 2103, der die EAID für den Berechtigungsvermittler und den FPM-Schlüssel 2119 zur Entschlüsselung der Kaufinformation enthält, die in verschlüsselten FPM- Ereignissen 2113 enthalten ist. Der Schlüssel und der weitere Inhalt des Umschlagschlüssels 2103 sind zum Schutz der Privatsphäre unter Benutzung des öffentlichen Schlüssels des Berechtigungsvermittlers, für den die FPM 2101 bestimmt ist, verschlüsselt. Die CA-FPM-Nachricht 2105 beinhaltet den CA-FPM-Header 211, der die EAa für den betroffenen EA beinhaltet, sowie die verschlüsselten FPM-Ereignisse 2113. Letztere sind unter Benutzung des 3DES-Algorithmus mit dem Schlüssel im Umschlagschüssel 2103 verschlüsselt worden. Die Teile der CA-FPM-Nachricht 2105 sind ein Header 213, die FPM-Ereignisfreigabe 2133, die die Kaufinformation enthält, und Füllzeichen 2135. Der letzte Teil der FPM 2101 ist die chiffrierte FPM- Authentisierung 2107, die mit dem privaten Schlüssel des DHCT 333 verschlüsselt ist, der die FPM-Nachricht 2101 geschickt hat. Das verschlüsselte Material beinhaltet den FPM-Chiffrier-Header 2125, den FPM-MAC 2127 und Füllzeichen 2129. Der FPM-MAC 2127 wird unter Benutzung des MD5-Einweg-Hash-Algorithmus aus der FPM-Ereignisfreigabe 2133 erstellt. Nur der EA, für den die FPM bestimmt ist, kann den Umschlagschlüssel 2103 entschlüsseln, um den Schlüssel 2119 zu erhalten und damit die verschlüsselten FPM-Ereignisse 2123 zu entschlüsseln, und der EA kann die Echtheit der FPM-Ereignisfreigabe 2133 nur überprüfen, wenn er den öffentlichen Schlüssel für das DHCT 333 hat, das die FPM 2101 geschickt hat.
Der Teil der FPM 2101, der hier weiter interessiert, ist die FPM-Ereignisfreigabe 2133. Die Information in diesem Teil der FPM beinhaltet die Seriennummer des DHCTSE 627 in dem DHCT 333, von dem die Nachricht kam, die EAa des Bestimmungs-EA sowie eine Angabe über die Zahl der Ereignisse, für die die FPM Kaufinformation enthält. Die Information für jedes Ereignis ist in den weitergeleiteten Ereignisdaten fit dieses Ereignis enthalten. Die weitergeleiteten Ereignisdaten sind der GBAM 1801 und dem Ereignisdeskriptor. 1703 für das Ereignis entnommen. Unter den Feldern von Interesse in diesem Zusammenhang sind Flaggen, die anzeigen, (1) ob das Ereignis verlängert worden ist, (2) ob der Benutzer das Ereignis annulliert hat, und (3) ob der Kunde das Recht zum Kopieren gekauft hat. Weitere Informationen sind die Zeit, zu der das Ereignis begann oder gekauft wurde, und zwar die spätere dieser Zeiten, die Zeit, zu der das Ereignis enden soll, sein Preis für den Kunden und die Berechtigungs-ID für das Ereignis. Um irgendein Ereignis zu annullieren, so auch ein gewöhnliches Pay-per-View-Ereignis, schickt das DHCT 333 eine FPM mit der gleichen Nachricht, aber mit der Ereignis annulliert-Flagge zur Anzeige der Annullierung gesetzt. Die Bedingungen, unter denen das DHCT 333 eine Annullierungs-FPM-Nachricht schickt, werden unten genauer erklärt werden. Die FPM können auch dazu benutzt werden, um andere Dienstetypen zu kaufen, zum Beispiel monatliche Abonnements oder Datenherunterladen.

Die EMM zur Quittierung von IPPV/NVOD-Ereignissen

Wenn der Berechtigungsvermittler die FPM empfängt, lädt er die in der FPM enthaltene Information in seine Kundeninformations-Datenbank und schickt eine EMM zur Quittierung des IPPV/NVOD-Ereignisses zurück an das DHCT 333. Die EMM-Befehlsdaten 1125 in dieser EMM enthalten eine getreue Kopie der weitergeleiteten Ereignisdaten in der FPM, die durch die EMM quittiert wird. Wenn das DHCTSE 627 diese EMM empfängt, entschlüsselt und authentisiert es sie und benutzt dann für jeden Gegenstand der kopierten weitergeleiteten Ereignisdaten die Berechtigungs-ID, um die Ereignis-NVSC 1701 für das Ereignis aufzufinden. Nach Auffinden der Ereignis-NVSC 1701 vergleicht es die kopierten weitergeleiteten Ereignisdaten mit den entsprechenden Feldern der Ereignis-NVSC 1701. Wenn diese gleich sind, setzt das DHCTSE 627 im Flaggenfeld 1705 die Flagge, die anzeigt, dass der Kauf bestätigt worden ist, und berichtigt das gespeicherte Guthaben. Falls die EMM ihre "Annulliert"-Flagge gesetzt hat, wird die "In-Benutzung"-Flagge in der Ereignis-NVSC 1701 gesetzt, um anzuzeigen, dass die Ereignis-NVSC 1701 nicht in Benutzung und daher für Wiederbenutzung durch den Berechtigungsvermittler verfügbar ist.

Weitere Verwendungen der GBAM 1801

Eine GBAM 1801 kann allgemein benutzt werden, um authentisierte Nachrichten über einen MPEG-2-Transportstrom oder einen anderen Transportmechanismus an die DHCT 333 zu senden. Das CA-System 601 selbst bemutzt die GBAM 1801 auf zwei weitere Weisen: um periodisch einen Zeitwert zu den DHCT 333 zu senden und um die Zeit für Ereignisse zu verlängern. Im ersteren Fall befördert die GBAM 1801 einfach den Zeitwert, der wegen der Authentisierung der GBAM eine sichere Zeit darstellt. Der Code im DHCT 333, der eine Aufgabe für den Berechtigungsvermittler erledigt, der die Systemzeit-GBAM geschickt hat, kann den Zeitwert dazu benutzen, seine Aktivitäten mit denen des EA zu koordinieren. Man beachte, dass es diese Anordnung gestattet, Zeitsysteme zu benutzen, die sich auf einen bestimmten Berechtigungsvermittler beziehen. Sie gestattet es auch, eine einheitliche Systemzeit im gesamten digitalen Breitbandliefersystem einzuführen, indem ein Berechtigungsvermittler in jedem DHCT 333 des digitalen Breitbandliefersystems als der "Systemzeitberechtigungsvermittler" designiert und die Systemzeit-GBAM an den Systemzeitberechtigungsvermittler adressiert wird.
GBAM 1801, die die Zeit für ein Ereignis verlängern, beinhalten die Berechtigungs- ID für das Ereignis sowie die Anzahl von Minuten, um die das Ereignis verlängert werden soll. Wenn GBAM 1801 empfangen und dem DHCTSE 627 zur Verfügung gestellt wird, fügt das sichere Element die Zahl der Minuten zur Schlusszeit 1709 hinzu.
Fig. 20 zeigt eine Server-Anwendung 2001, die auf einem Prozessor läuft, der Zugang zum Berechtigungsvermittler 2005 und zu dem MPEG-2-Transportstrom hat, der gerade durch eine Gruppe von DHCT 333 empfangen wird. Die Server-Anwendung 2001 kann die GBAM 1801 benutzen, um authentisierte Nachrichten an die DHCT 333 zu schicken. Die Server-Anwendung 2001 schickt eine Nachricht an den Berechtigungsvermittler 2005, der seine Transaktionsverschlüsselungsvorrichtung 10 603 dazu benutzt, eine GBAM 1801 einschliesslich der Nutzlast zu erstellen. Der Berechtigungsvermittler 2005 schickt die GBAM dann zur Server-Anwendung 2001 zurück, die die Anwendungsdaten zusammen mit der GBAM an die Client- Anwendung 2009 in den DHCT 333 schickt, wie bei 2007 gezeigt. Jede Client- Anwendung schickt eine GBAM 1801 zum DHCTSE 627, das sie authentisiert. Wenn die Authentisierung erfolgreich ist, sendet das DHCTSE 627 eine Quittung an die Client-Anwendung 2009. Es sei hier vermerkt, dass nicht die Server-Anwendung 2001, sondern der Berechtigungsvermittler die Nutzlast authentisiert.

NVSC und EMM für interaktive Sitzungen

Das DBDS 501 kann auch für interaktive Sitzungen benutzt werden. Beispiele solcher Verwendungen sind Internetsurfen und Videospiele. In solchen Anwendungen werden die zum Kunden geschickten Daten allgemein mit dem MPEG-2-Transportstrom befördert, während vom Kunden geschickte Daten über den Rückwärtskanal laufen. Eine solche Anordnung ist für die vielen interaktiven Anwendungen von Vorteil, in denen der Kunde eine grosse Menge an Daten empfängt, zum Beispiel Daten, die ein Bild darstellen, eine kurze Antwort gibt und dann eine weitere grosse Menge an Daten empfängt.
Jede interaktive Sitzung, die zum gegenwärtigen Zeitpunkt mit einem Benutzer des DHCT 333 stattfindet, hat eine interaktive Sitzungs-NVSC 1211 in der Liste 1411, die dem Berechtigungsvermittler gehört, der Zugang zu der interaktiven Sitzung gewährt. Die interaktive Sitzungs-NVSC enthält einen Sitzungsschlüssel für die interaktive Sitzung und eine Berechtigungs-ID für die interaktive Sitzung. Das DHCTSE 627 teilt die interaktive Sitzungs-NVSC in Beantwortung einer neuen interaktiven Sitzungs- Speicher-EMM vom Berechtigungsvermittler zu. Die neue interaktive Sitzungs- Speicher-EMM enthält einfach den Zellennamen der NVSC, die für die interaktive Sitzung benutzt werden soll.
Nachdem der EA die NVSC eingerichtet hat, schickt er eine EMM "interaktive Sitzung hinzufügen", die namentlich an die neu zugeteilte NVSC gerichtet ist und die Berechtigungs-ID und den Schlüssel für die interaktive Sitzung enthält. Das sichere Element platziert die Berechtigungs-ID und den Schlüssel in die NVSC. Wenn der EA feststellt, dass die interaktive Sitzung vorbei ist, schickt er eine EMM "interactive Sitzung abbauen" mit der Berechtigungs-ID für die interaktive Sitzung, und das sichere Element löscht den Inhalt der NVSC. Es ist natürlich möglich, dass der Berechtigungsvermittler eine neue interaktive Speicher-EMM zu einer Zeit schickt, da alle dem EA durch die CAA zugeteilten interaktiven Sitzungs-NVSC bereits in Benutzung sind. In einer bevorzugten Ausführungsform bewältigt das DHCTSE 627 diese Situation, indem es verfolgt, wann jede interaktive Sitzung zuletzt Daten verschickt oder empfangen hat. Wenn eine neue interaktive Sitzung benötigt wird und keine verfügbar ist, beendet das DHCTSE 627 die interaktive Sitzung, die am längsten keine Daten mehr verschickt oder empfangen hat, und benutzt die interaktive Sitzungs-NVSC dieser interaktiven Sitzung für die neue interaktive Sitzung. Eine andere Lösung besteht darin, den Benutzer aufzufordern, eine zu beendende interaktive Sitzung auszuwählen.

Näheres zu den ECM: Fig. 22

In einer ECM ist die Information, die dazu benutzt wird festzustellen, ob die Diensteeinheit, die von der ECM begleitet wird, in einem gegebenen DHCT 333 entschlüsselt werden soll, in der ECM-Berechtigungs-Einheitsnachricht 1011 enthalten. Fig. 22 zeigt Einzelheiten zum Inhalt der ECM-Berechtigungs-Einheitsnachricht 1011 für eine bevorzugte Ausführungsform der vorliegenden Erfindung. Mit der Nachrichten- ID 2205 beginnend, identifizieren die beiden Felder 2201 und 2203 diese Nachricht als eine ECM-Berechtigungs-Einheitsnachricht. Die EAID 2207 ist die Kennung für den Berechtigungsvermittler; der Berechtigungen für den Zugang zu der Diensteeinheit, die von der ECM begleitet wird, gewährt.
Entschlüsselungsinformation 2209 ist Information, die dazu benutzt wird, um das Kennwort 2235 zu erzeugen. Der Kennwort-Zählerwert 2235 wird in einer bevorzugten Ausführungsform unter Benutzung des 3DES-Algorithmus verschlüsselt. Dieser Algorithmus benutzt zwei Schlüssel, und in einer bevorzugten Ausführungsform ist jeder Schlüssel eine Hälfte des MSK. Ferner gibt es zwei Versionen des MSK: gerade und ungerade. Die MSK-Parität 2211 sagt aus, welche Version im 3DES- Algorithmus benutzt werden soll. Die MSK-ID 2213 sagt aus, welcher der dem Berechtigungsvermittler gehörenden MSK benutzt werden soll, oder, wenn die ECM Daten für eine interaktive Sitzung begleitet, sagt sie aus, dass der Schlüssel in der NVSC für die interaktive Sitzung zu finden ist. Die Kennwortpärität 2215 bezeichnet die Parität des unverschlüsselten Kennworts 2235. Der Paritätszähler 2217 ist ein 0-1- Zähler, der den Wert 0 hat, wenn die Parität des Kennworts gerade ist, und 1, wenn sie ungerade ist.
Freie Vorschau 2219 ist eine Flagge, die anzeigt, dass die ECM einen Teil der Diensteeinheit begleitet, der eine freie Vorschau darstellt. Das heisst, dass ein Kunde, der den MSK für die Entschlüsselung der Diensteeinheit besitzt, keine weiteren Berechtigungen benötigt, um den Vorschauteil des Dienstes zu sehen. Die hauptsächliche Verwendung von freien Vorschauen besteht bei IIPPV- oder NVOD-Diensten. Kopierschutzniveau 2221 ist ein Wert, der anzeigt, in welchem Ausmasse die Diensteeinheit kopiert werden darf. Ausblenden/Fokus 2223 ist ein Wert, der anzeigt, wie die Ausblend-/Fokus-Information 2236 benutzt werden soll: gar nicht, für ein Ausblenden oder für eine Fokussierung (d. h. einen Dienst, der auf ein spezielles Gebiet gerichtet ist).
Anzahl von Berechtigungs-ID 2225 gibt die Anzahl von. Berechtigungs-ID 2245 an, die in dieser ECM enthalten sind. In einer bevorzugten Ausführungsfonm ist sechs die Höchstzahl in einer einzelnen ECM. Eine Mehrzahl von ECM kann für jeden Dienst übersandt werden. IPPV zulassen 2229 ist eine Flagge, die anzeigt, ob die Diensteeinheit auf einer IPPV- oder NVOD-Grundlage angesehen werden darf. Annullier- Fenster 2231 ist ein Bit, das in einer Diensteeinheit gesetzt wird, die als ein Ereignis gesehen werden darf, um das Ende der Zeitperiode anzuzeigen, während der der Kunde das Ereignis annullieren darf. Zeitstempel 2233 ist ein Zeitstempel, der die Zeit anzeigt, zu der die ECM entstand. Verschlüsseltes Kennwort 2235 ist das in der ECM enthaltene Kennwort. Es ist unter Benutzung des 3DES-Algorithmus und des MSK für die Diensteeinheit verschlüsselt worden.
Ausblend-/Fokus-Information 2236 definiert den geografischen Bereich, der bei einer Diensteeinheit ausgeblendet oder gerichtet erfasst werden soll. Dies erfolgt durch ein x-Zentroid 2239 und ein y-Zentroid 2241, die zusammen einen Punkt in einem geografischen Koordinatensystem definieren, das seinerseits durch den Berechtigungsvermittler definiert wird, sowie einen Ausblendradius 2237, der dazu benutzt wird, um ein Quadrat festzulegen, das auf den durch Felder 2239 und 2241 definierten Punkt zentriert ist und Seiten hat, die die doppelte Länge des Ausblendradius 2237 haben. Die Berechtigungs-ID-Liste 2243 enthält ein bis sechs Berechtigungs-ID für die Diensteeinheit, die von der ECM begleitet wird.

Finzelheiten zur Ausblend-/Fokus-Info 2236: Fig. 26 und 27

Das in einer bevorzugten Ausführungsform benutzte Koordinatensystem ist in Fig. 26 gezeigt. Das Koordinatensystem 2601 ist ein Quadrat von 256 Einheiten mal 256 Einheiten, das seinen Ursprung in der linken unteren Ecke hat. In diesem Koordinatensystem werden nicht die Zwischenräume zwischen den Linien, sondern die Linien nummeriert. Der Berechtigungsvermittler, zu dem das Koordinatensystem 2601 gehört, weist jedem DHCT 333 in dem durch das Koordinatensystem erfassten Gebiet die Koordinaten eines Schnittpunkts einer zur x-Achse senkrechten Linie mit einer zur y-Achse senkrechten Linie zu. Somit kann einem DHCT 333(k) der Punkt (i,j) 2603 im Koordinatensystem 2601 zugewiesen werden.
Fig. 27 zeigt, wie Gebiete im Koordinatensystem 2601 definiert werden. Das Gebiet 2705 hat sein Zentroid 2701 an dem Punkt, dessen Koordinaten (57,90) sind. Der Radius 2703 des Gebiets ist drei, so dass diese Zahl von jeder der Koordinaten des Zentroids abgezogen bzw. zu diesen hinzugezählt wird, um ein Quadrat 2705 zu erzeugen, dessen untere linke Ecke sich bei (54,87) und dessen obere rechte Ecke sich bei (60,93) befindet. In der bevorzugten Ausführungsform gehören Punkte auf der linken und unteren Linie zum Gebiet, während Punkte auf der oberen und rechten Linie nicht dazugehören.

Festlegen, ob die eine ECM begleitende Diensteeinheit entschlüsselt werden soll

Wenn DHCT 333 eine ECM empfängt, die eine Diensteeinheit begleitet, dann soll grundsätzlich das DHCT 333 die ECM dem DHCTSE 627 zur Verfügung stellen, das die NVSC in EA-Speicherplatz 1331 prüft, um herauszufinden, ob der Kunde, dem das DHCT 333 gehört, berechtigt ist, die Diensteeinheit zu empfangen. Wenn der Kunde diese Berechtigung besitzt, dann entschlüsselt das DHCTSE 627 das Kennwort in der ECM und liefert es an den Dienstentschlüsseler 625, der es benutzt, um die MPEG-2-Pakete zu entschlüsseln, die die Audio- und Videosignale für den Dienst enthalten. Jedoch wird die Art und Weise, in der das DHCTSE 627 eine ECM verarbeitet, durch die Anzahl von verschiedenen Dienstearten, die Anzahl von verschiedenen Möglichkeiten für den Kauf eines Dienstes und die Anzahl von Möglichkeiten, Zugang zu beschränken, die alle zusammenwirken, ziemlich kompliziert.
Der einfachste Fall ist ein Sendedienst wie zum Beispiel ein Standard-Kabelfernsehkanal. Hier hat der Kunde oder die Kundin, dem/der das DHCT 333 gehört, seine/ihre Monatsrechnung für den Dienst bezahlt, und die Berechtigungsinstanz hat zwei EMM zum DHCT 333 geschickt: eine MSK-EMM mit dem MSK des Monats für den Dienst und eine EMM, die die Berechtigungs-ID für den Dienst angibt. Wie vorher schon angedeutet, kann letztere EMM entweder eine Liste von Berechtigungs- ID oder eine erste Berechtigungs-ID sowie eine Bitmap enthalten. Alle diese EMM können auch Verfallsdaten enthalten. Im Falle der MSK-EMM gibt es ein Verfallsdatum für den MSK; im Falle der Berechtigungs-ID-Listen-EMM gibt es ein Verfallsdatum für jede Berechtigungs-ID in der Liste; im Falle der Berechtigungs- Bitmap-EMM gibt es ein Verfallsdatum für die ganze Bitmap.
Die EA-Information 1333 für den Berechtigungsvermittler, der Berechtigungen für die Diensteeinheit erteilt, die von der ECM begleitet wird, enthält mindestens den EA- Deskriptor 1409, eine MSK-NVSC 1601 und entweder einer Berechtigungs-Bitmap- NVSC 1613 oder eine Berechtigungslisten-NVSC 1623 für den Dienst, zu dem die Diensteeinheit gehört. Die EA-Information 1333 kann auch NVSC mit Berechtigungsinformation für viele andere Dienste oder Diensteeinheiten des EA enthalten. Die ECM für die Diensteeinheit enthält mindestens die Berechtigungsvermittler-ID 2207, die Entschlüsselungsinformation 2209, den Zeitstempel 2233, das verschlüsselte Kennwort 2235 und eine einzelne Berechtigungs-ID 2245 für die Diensteeinheit.
Wenn DHCT 333 die ECM empfängt, dann liefert es die ECM an das DHCTSE 627, das die EA-Liste 1406 herunterliest, bis es einen EA-Deskriptor 1409 findet, der einen Wert in der EAa 1509 hat, der der gleiche wie der Wert EAID 2207 in der ECM ist. Das DHCTSE 627 folgt dann zuerst dem NVSC-Zeiger 1513 zur Liste 1411 und sucht nach einer MSK-NVSC 1601, die ein MSK-ID-Feld 1603 hat, das den gleichen Wert wie das MSK-ID-Feld 2213 in der ECM hat. Nach Auffinden einer solchen MSK- NVSC bestimmt es aus der Kein-Verfallsdatum-Flagge (no exp dat flag) 1607, ob das Verfallsdatenfeld 1605 einen gültigen Zeitwert hat, und wenn ja, vergleicht es diesen Wert mit dem Wert im Zeitstempelfeld 2233 der ECM. Wenn der Wert im Zeitstempelfeld 2233 jüngeren Datums ist, benutzt das DHCTSE 627 den MSK 1608 von der MSK-NVSC 1601 nicht zur Entschlüsselung des Kennworts 2235. Das sichere Element sucht weiter nach einer MSK-NVSC mit der richtigen MSK-ID und einem nicht verfallenen MSK, und wenn es eine solche MSK-NVSC findet, dann benutzt es diese MSK-NVSC; wenn es keine solche MSK-NVSC findet, entschlüsselt es nicht das Kennwort.
Das DHCTSE 627 durchsucht in ähnlicher Weise die Liste 1411 nach einer Berechtigungs-Bitmap-NVSC 1613 oder einer Berechtigungslisten-NVSC 1623, die eine Berechtigungs-ID enthält, die die gleiche wie eine von den Berechtigungs-ID 2245 in der ECM ist. Wenn (1) das DHCTSE 627 eine NVSC mit einer solchen Berechtigungs-ID findet und (2) in der NVSC, die die Berechtigungs-ID angibt, keine gültige Verfallszeit vorhanden ist, die früher als der Zeitstempel 2233 in der ECM ist, und (3) das DHCTSE 627 auch eine gültige MSK-NVSC 1601 gefunden hat, wie oben beschrieben, dann entschlüsselt das DHCTSE 627 das Kennwort 2235 unter Benutzung des MSK und der Entschlüsselungsinformation 2209 in der ECM. Die Entschlüsselung erfolgt unter Benutzung des 3DES-Algorithmus, der zur Verschlüsselung des Kennworts benutzt worden war. In einer bevorzugten Ausführungsform ist das in der ECM enthaltene Kennwort ein Zählerwert, wie oben beschrieben, und das DHCTSE 627 erzeugt das Kennwort, das tatsächlich dafür benutzt wird, die Diensteeinheit zu entschlüsseln, indem es die ganze Zahl unter Benutzung des MSK und des 3DES-Algorithmus wiederverschlüsselt. Das durch den Dienstentschlüsseler verwendbare Kennwort wird dann zum Dienstentschlüsselungsmodul 625 zurückgegeben, der es benutzt, um die Diensteeinheit zu entschlüsseln.
Aus der vorangehenden Beschreibung erhellt, dass das DHCTSE 627, wenn es die Berechtigungsvermittlerinformation 1333 eines Berechtigungsvermittlers nach einer gegebenen Berechtigung für einen Dienst durchsucht, die Suche fortsetzt, bis es entweder eine NVSC gefunden hat, die die Berechtigung enthält, oder das Ende der Liste 1411 erreicht hat. Logisch bedeutet das, dass die Berechtigungen, die durch einen gegebenen Berechtigungsvermittler gewährt werden können, die logischen ODER der Berechtigungen sind, die in der Berechtigungsvermittlerinformation 1333 bezeichnet sind. Wenn zum Beispiel eine Berechtigwags-Bitmap-NVSC, die die gleiche Berechtigungs-ID wie die ECM enthält, verfallen ist, während eine andere nicht verfallen ist, dann beachtet das DHCTSE 627 die verfallene NVSC nicht und erzeugt das Kennwort 2235 auf Grundlage der aktiven NVSC.
Es sollte hier weiter darauf hingewiesen werden, dass der Zeitstempel 2233 in der ECM und die Verfallsinformation in den NVSC Wiederbenutzung des MSK eines Vormonats zur Entschlüsselung eines Dienstes im laufenden Monat verhindern, ebenso Wiederbenutzung der Berechtigungen eines Vormonats im laufenden Monat, um den Schutz gegen Wiedergabeangriffe zu implementieren, wie in der obigen Patentanmeldung von Banker und Akins beschrieben.
Wenn weitere Einschränkungen auf eine Berechtigung anzuwenden sind, dann sucht das DHCTSE 627 ebenfalls nach dieser Information in der Berechtigungsvermittlerinformation 1333. Wenn zum Beispiel das Ausblend-/Fokus-Feld 2223 der ECM anzeigt, dass ein Ausblenden auf den Dienst anwendbar ist, dann benutzt das DHCTSE 627 die Ausblend-/Fokus-Information 2236, um festzustellen, ob sich der durch die x-Koordinate 1521 und die y-Koordinate 1523 bestimmte Ort innerhalb des Quadrats befindet, das durch die Ausblend-/Fokus-Information 2236 festgelegt wird; wenn ja, dann entschlüsselt das DHCTSE 627 das Kennwort 2235 nicht. Wenn eine Fokussierung anwendbar ist, dann wird natürlich entgegengesetzt verfahren: das DHCTSE 627 entschlüsselt das Kennwort nur, wenn das x-Koordinatenfeld 1521 und das y-Koordinatenfeld 1523 einen Ort innerhalb des Quadrats festlegen.
Wie früher angedeutet, können die Verfahren, die dazu benutzt werden, Berechtigungen gemäss einem geografischen Bereich zu gewähren, darauf verallgemeinert werden, Berechtigungen an verschiedene Teilmengen von Kunden zu erteilen. Zum Beispiel können Berechtigungen begrifflich als ein Venn-Diagramm dargestellt werden, die Ausblend-/Fokus-Information 2236 kann ein Gebiet im Venn-Diagramm bezeichnen, das eine Menge von Kunden darstellt, die zum Empfang des Dienstes berechtigt sind, während die x-Koordinate 1521 und y-Koordinate 1523 den Ort des Kunden im Venn-Diagramm bezeichnen können. Eine Verwendung einer solchen Anordnung wäre es, Zugang zu einer Diensteeinheit nach dem Wunsche eines Kunden/einer Kundin zu beschränken, wonach Benutzer seines/ihres DHCT keinen Zugang zu Diensteeinheiten mit anstössigem Inhalt erlangen. In anderen Ausführungsformen könnten natürlich weitere Koordinaten oder andere Möglichkeiten zur Darstellung einer Mengenzugehörigkeit benutzt werden.

Ereignisdienste

Wenn die ECM eine Diensteeinheit begleitet, dann erfolgt die Interpretation der ECM wie oben beschrieben, wobei aber die Berechtigungsinformation für das Ereignis in einer Ereignis-NVSC 1701 enthalten ist. Das HDCTSE 627 durchsucht die Berechtigungsinformation 1333 für den Berechtigungsvermittler, der die EAa besitzt, die in der ECM enthalten ist, nach einer Ereignis-NVSC 1701, die einen Ereignisdeskriptor 1703 mit einer Berechtigungs-ID 1713 enthält, die die gleiche wie eine von den Berechtigungs-ID 2245 in der ECM ist. Wenn das Ereignis ein Standard-Pay-per-View- Ereignis ist, dann untersucht DHCTSE 627 die Flaggen 1705, um festzustellen, ob der Kunde das Ereignis annulliert hat und ob der Kauf des Ereignisses bestätigt worden ist (was bei Standard-Pay-per-View immer der Fall ist). Das DHCTSE 627 vergleicht dann die Kaufzeit 1707 und die Endzeit 1709 mit dem Zeitstempel 2233, um festzustellen, ob die durch den Zeitstempel angezeigte Zeit innerhalb der durch Felder 1707 und 1709 angezeigten Zeitperiode liegt. Wenn die Prüfung der Ereignis-NVSC 1701 anzeigt, dass der Kunde eine Berechtigung für das Ereignis hat, entschlüsselt das DHCTSE 627 wie oben beschrieben das Kennwort 2235.
Bei IPPV- oder NVOD-Ereignissen muss die IPPV-Zulassen-Flagge 2229 in der ECM anzeigen, dass das Ereignis eines ist, das nicht im voraus gekauft werden muss. Die freie Vorschau-Flagge 2219 kann auch gesetzt sein, um anzudeuten, das der Teil der Diensteeinheit, der von der ECM begleitet wird, Teil der freien Vorschau ist, während weiterhin die Annullier-Fenster-Flagge 2231 gesetzt sein kann, um anzuzeigen, dass das Ereignis immer noch annulliert werden kann. Wenn die feie Vorschauflagge 2219 gesetzt ist, dann sucht das DHCTSE 627 einfach nach einer MSK-NVSC 1601 in der EA-Information T333, die den MSK enthält, der durch die MSK-ID 2213 in der ECM bezeichnet wurde. Wenn das DHCTSE 627 einen findet, der gültig ist, entschlüsselt es das Kennwort 2235.
Wenn die freie Vorschau-Flagge nicht gesetzt ist, dann geht das DHCTSE 627 zu der Ereignis-NVSC 1701, die die Berechtigungs-ID 1713 hat, die die gleiche wie eine im ECM-Feld 2245 ist. Wenn Flaggen bei den Flaggen 1705 anzeigen, dass der Kauf des Ereignisses bestätigt worden ist und das Ereignis nicht annulliert worden ist, dann entschlüsselt das DHCTSE 627 das Kennwort. Wenn das Ereignis nicht annulliert, aber auch nicht bestätigt worden ist und der Zeitstempel 2233 eine Zeit zeigt, die innerhalb einer vorbestimmten Zeitdauer nach der Kaufzeit 1707 liegt, die im Ereignisdeskriptor 1703 angezeigt ist, dann entschlüsselt das DHCTSE 627 ebenfalls das Kennwort 2235. Auf diesem Wege wird die Diensteeinheit zwischen der Zeit, zu der die FPM zum Berechtigungsvermittler abgeschickt wurde, und der Zeit, zu der der Berechtigungsvermittler die EMM zur Quittierung des LPPV-/NVOD-Ereignisses zurückschickt, weiter entschlüsselt. Das bewirkt, dass die Bestätigungsflagge in Flaggen 1705 gesetzt wird.

Annullierung von Berechtigungen zu Ereignissen: Fig. 17, 19 und 22

Ob ein Benutzer/eine Benutzerin eine im voraus gekaufte Berechtigung für ein IPPV/NVOD-Ereignis, die er/sie gekauft hat, annullieren kann, hängt vom Ereignis ab. Es gibt drei Möglichkeiten:
- die Berechtigung kann bis zu zwei Minuten nach Kauf annulliert werden;
- das Ereignis kann während einer Zeitdauer, die ein Annullierungsfenster genannt wird, annulliert werden; oder
- das Ereignis kann nicht annulliert werden.
Welche der drei Möglichkeiten mit einem gegebenen Ereignis assoziiert ist, wird durch die käuflichen Berechtigungsdaten 1913 in der GBAM festgelegt, die das Ereignis begleitet. Eine Flagge in Flaggen 1917 zeigt an, ob das Ereignis annulliert werden kann; eine andere zeigt an, ob Annullierung innerhalb eines Annullierungsfensters möglich ist. Wenn keine der beiden Flaggen gesetzt ist, dann kann das Ereignis nicht annulliert werden. Wenn das DHCTSE 627 für das Ereignis einen Ereignisdeskriptor 1703 erstellt, dann werden die Werte der Flaggen in der GBAM benutzt, um Flaggen in Flaggen 1705 zu setzen, die anzeigen, ob das Ereignis annulliert werden kann oder nur während eines Annullierungsfensters. Wiederum kann das Ereignis nicht annulliert werden, wenn keine der Flaggen gesetzt ist.
Der Benutzer annulliert ein Ereignis durch ein Annullierungsbegehren über Kundeninput 628 zum DHCT 333. Wenn das DHCT 333 den Input empfängt, liefert es ein Annulllierungsbegehren einschliesslich EAID und Berechtigungs-ID für die Diensteeinheit zum DHCTSE 627, das die EAID und die Berechtigungs-ID dafür benutzt, die Ereignis-NVSC 1701 aufzufinden, die den Ereignisdeskriptor 1703 für das Ereignis enthält. Wenn die Flaggen in Flaggen 1705 anzeigen, dass die Berechtigung nicht annulliert werden kann, dann zeigt das DHCTSE 627 diese Tatsache dem DHCT 333 an, das dann anzeigt, dass die Berechtigung durch den Benutzer nicht annulliert werden kann. Wenn die Flaggen anzeigen, dass die Berechtigung annulliert werden kann, dann setzt das DHCTSE 627 einfach die Annulliert-Flagge im Ereignisdeskriptor 1703. Wenn die/Flaggen anzeigen, dass die Berechtigung nur während eines Annullierungsfensters annulliert werden kann, und eine ECM, die anzeigt, dass das Annullierungsfenster vorüber ist, noch nicht empfangen worden ist, setzt das DHCTSE 627 die Annullierflagge im Ereignisdeskriptor 1703; andernfalls zeigt es dem DHCT 333 an, dass die Berechtigung nicht annulliert werden kann, und das DHCT 333 informiert den Benutzer entsprechend. Wenn das Ereignis annulliert worden ist, dann zieht das DHCTSE 627 die Quittiert-Flagge ein, ein Vorgang, der bewirkt, dass eine neue FPM zum Berechtigungsvermittler für das Ereignis geschickt wird. Der Berechtigungsvermittler beantwortet die FPM, indem er die Rechnungstellung berichtigt, wie es die Annullierung erfordert, und eine neue Quittier-EMM schickt.

Interaktive Sitzungen

Der Hauptunterschied zwischen Sendediensten und interaktiven Diensten liegt darin, dass jede Sitzung des interaktiven Dienstes ihren eigenem interaktiven Schlüssel hat, der in der interaktiven Sitzungs-NVSC für die interaktive Sitzung enthalten ist. Die NVSC für die interaktive Sitzung enthält auch die Berechtigungs-ID für die interaktive Sitzung. In einer ECM, die den MPEG-2-Strom für eine interaktive Sitzung begleitet, wird das MSK-ID-Feld 2213 auf einen Wert gesetzt, der anzeigt, dass der MPEG-2-Strom unter Benutzung eines interaktiven Sitzungsschlüssels zu entschlüsseln ist. Wenn das DHCTSE 627 eine solche ECM interpretiert, benutzt es die Berechtigungs-ID 2245, um die NVSC für die interaktive Sitzung aufzufinden, und benutzt dann den in der NVSC enthaltenen interaktiven Sitzungsschlüssel, um das Kennwort 2235 zu entschlüsseln.

Eingehende Beschreibung der Transaktionsmerschlüsselungsvorrichtung 603: Fig. 24 und 25

Jede CAA, die Berechtigungsvermittler im digitalen Sendeliefersystem 501 autorisieren kann, und jeder EA, der Berechtigungen im System 501 gewähren kann, besitzt eine Transaktionsverschlüsselungsvorrichtung oder TED (transaction encryption device) 603 im System 501. Vorzugsweise hat jede CAA bzw. jeder EA ihre/seine eigene getrennte TED im System 601. Wechselweise körnten die TED zu einer einzigen Vorrichtung zusammengefasst werden. Die TED 603 speichert die geheimen Schlüssel, die durch die Instanz benutzt werden, der sie gehört, und besitzt Hardware und Software, um Verschlüsselung, Entschlüsselung, Schlüsselerzeugung und Authentisierung zu besorgen, wie durch die Instanz verlangt. Die Schlüssel werden sicher aufbewahrt, indem die TED ohne eine Benutzerschnittfläche bzw. Benutzer- I/O-Vorrichtungen implementiert wird, indem sie in einem gegen Missbrauch gesicherten Behälter implementiert wird, indem die TED nur an das DNCS angeschlossen wird und für diesen Anschluss eine sichere Verbindung benutzt wird und indem die TED in einer physisch sicheren Umgebung wie zum Beispiel einem verschlossenen Raumaufbewahrt wird.
Im Falle einer TED 603 für eine CAA speichert die TED 6173 die privaten Schlüssel, die den drei öffentlichen Schlüsseln entsprechen, die die CAA in den DHCT 333 vertreten, verschlüsselt und liefert versiegelte Synthesen für von EMM von der CAA an die DHCT 333 sowie entschlüsselt und authentisiert Nachrichten von den DHCT 333 an die CAA. Im Falle einer TED 603 für einen EA erledigt die EA-TED das folgende:
1. speichert die öffentlichen und privaten Schlüssel für den EA und die MSK für den EA;
2. erzeugt die öffentlichen und privaten Schlüssel des EA sowie die MSK;
3. verschlüsselt und erstellt versiegelte Synthesen für die für den EA verschickten EMM;
4. erstellt die geteilten Geheimnissynthesen, die benutzt werden, um globale Sendenachrichten zu authentisieren;
5: liefert die MSK, die zur Verschlüsselung von Diensteeinheiten benutzt werden, zum SEES-Modul 620;
6. erzeugt interaktive Sitzungsschlüssel (interactive session keys ISK) für interaktive Sitzungs-EMM und liefert sie zur Verwendung bei der Verschlüsselung der interaktiven Sitzung zum SEES-Modul 620;
7. entschlüsselt FPM und andere Nachrichten, die vom DHCT 333 zum Berechtigungsvermittler geschickt werden.

TED 603 im System mit bedingtem Zugang 601: Fig. 24

Fig. 24 zeigt die Beziehung zwischen einer Anzahl von TED 603 und dem übrigen Teil des Systems mit bedingtem Zugang 601. Der Teil 2401 des Systems mit bedingtem Zugang 601 beinhaltet eine CAA-TED 2427 für eine CAA, die Berechtigungsvermittler im System 601 autorisiert. Der Teil 2401 beinhaltet ebenfalls eine EA-TED 2425 für jeden der n+1 Berechtigungsvermittler, die die CAA derzeit für die DHCT 333 im digitalen Breitbandliefersystem SOl autorisiert hat.
Wechselweise könnten alle Funktionen der EA-TED 2425 zu einer einzigen TED zusammengefasst werden, die auch die Funktion der CAA-TED 2427 einschliessen könnte. Jede TED ist in einem physisch sicheren Raum 2428 untergebracht und über eine sichere Hochgeschwindigkeitsverbindung (high-speed link HSL) 2423, die nur das DNCS 507 mit den TED 603 verbindet, an das DNCS 507 angeschlossen. In der bevorzugten Ausführungsform ist die sichere Verbindung eine sichere Ethernet-Verbindung. Das DNCS 507 benutzt die TED 605, um EMM zu verschlüsseln, FPM zu entschlüsseln, öffentliche und private EA-Schlüssel zu erzeugen, MSK und ISK zu erzeugen und globale Sendenachrichtensynthesen zu erstellen. Das DNCS 607 hat eine Schnittstelle für Prozedur-Fernaufruf mit den TED 603, um diese Arbeitsschritte auszuführen, und folglich können im DNCS 607 laufende Programme die TED- Betriebsmittel einfach durch einen Prozeduraufruf benutzen.
Das DNCS 507 ist die einzige Verbindung zwischen einer gegebenen TED 603 und dem übrigen Teil des Systems mit bedingtem Zugang 601. Das DNCS 507 ist durch ein Netz 2415 mit den der CAA und den verschiedenen EA gehörenden Systemen verbunden. Jede dieser Instanzen hat eine Datenbank, die ihre Funktion betreffende Information enthält. Die CAA 2405 hat eine CAA-Datenbank 2403, die zumindest die drei öffentlichen Schlüssel der CAA und verschlüsselte Versionen der entsprechenden drei privaten Schlüssel, die Berechtigungsvermittlerkennungen für die Berechtigungsvermittler, die die CAA autorisiert, sowie eine Datenbank für jedes DHCT enthält, die die Namen, Typen und Anzahl von NVSC enthält, die die CAA jedem für das DHCT autorisierten Berechtigungsvermittler zugeteilt hat.
Jeder EA 2409(i) hat seine eigene EA-Datenbank 2407(i). Eine EA-Datenbank 2407(i) enthält bevorzugt die EAID für den EA, eine Liste der MSKa und die Verfallsdaten für die MSK, die der EA derzeit benutzt, sowie eine Datenbank der Dienste und/oder Diensteeinheiten, die der EA zur Verfügung stellt. Diese Dienste- Datenbank enthält mindestens die Berechtigungs-ID für jeden Dienst. Die EA- Datenbank 2407(i) beinhaltet auch eine Datenbank für jeden DHCT mit den Berechtigungs-ID, Berechtigungs-Verfallszeiten sowie MSK-ID für die Berechtigungen und die MSK, die in EMM an das DHCT geschickt worden sind. Die Datenbank, die pro DHCT existiert, kann auch Kundenabrechnungsinfonnation wie zum Beispiel die Information enthalten, die erforderlich ist, die Kaufinformation in einer FPM zu verarbeiten.
Die Schlüsselbeglaubigungsinstanz (key certification authority KCA) 2413 ist eine Instanz, die die öffentlichen Schlüssel der DHCT 333 zum DNCS 507 beglaubigt. In einer bevorzugten Ausführungsform wird die Schlüsselbeglaubigungsinstanz 2413 durch den Hersteller der DHCT 333 unterhalten. Die DHCT-Schlüsseldatenbank 2411 enthält eine Datenbank von DHCT-Seriennummem und ihren öffentlichen Schlüsseln. Wenn ein Benutzer eines DHCT eine durch einen EA angebotene Diensteeinheit zu kaufen wünscht, schickt der Benutzer einen Kaufauftrag mit der Seriennummer (die auch die IP-Adresse ist) des DHCT 333 an den EA. Der EA liefert die Seriennummer an das DNCS 507, das eine Datenbank 2421 von öffentlichen DHCT-Schlüsseln nach Seriennummern geordnet unterhält. Wenn die Seriennummer nicht in der Datenbank vorhanden ist, schickt das DNCS 507 eine Anforderung für den öffentlichen Schlüssel zur KCA 2413. Die Anforderung enthält die Seriennummer, und die Schlüsselbeglaubigungsinstanz beantwortet die Anforderung durch Ubersendung einer digital unterschriebenen Nachricht 2412 an das DNCS 507. Diese Nachricht enthält den öffentlichen Schlüssel des DHCT. Das DNCS 507 hat den öffentlichen Schlüssel für die Schlüsselbeglaubigungsinstanz und benutzt den öffentlichen Schlüssel und die digitale Unterschrift, um die Echtheit des öffentlichen Schlüssels des DHCT in der Nachricht zu bestätigen. Wenn der öffentliche Schlüssel authentisch ist, dann platziert das DNCS 507 ihn in die öffentliche Schlüsseldatenbank 2421.
Das DNCS 507 ist ferner über eine weitere Hochgeschwindigkeitsverbindung 2417 an den SEES 620 angeschlossen, der mit MSK zur Verschlüsselung von Diensteeinheiten versehen ist. Zusätzlich liefert das DNCS 507 globale Sendenachrichten (GBAM) und EMM zum Senden über die Transportverbindung 517 zu den DHCT 333. Schliesslich ist das DNCS 507 über den Rückwärtspfad, der durch die LAN-Verbindungsvorrichtung 617 zur Verfügung gestellt wird, mit den DHCT 333 verbunden und empfängt FPM von den DHCT 333. In anderen Ausführungsformen kann das DHCT 333 ebenfalls EMM über diesen Pfad an die DHCT 333 schicken.
Die Datenflüsse im Teil 2401 werden durch Inschriften an den Pfeilen angezeigt, die die Komponenten miteinander verbinden. So schickt ein EA 2408(i) unverschlüsselten Inhalt 2410 von EMM und globalen Sendenachrichten des EA zum DNCS 507 und empfängt unverschlüsselten Inhalt 2412 von FPM für den EA vom DNCS 507. Bei den EMM und globalen Sendenachrichten des EA benutzt DNCS 507 die EA-TED 2425(i), um die erforderliche Verschlüsselung, Erstellung von Synthesen und Schlüsselerzeugung vorzunehmen, und schickt dann die verschlüsselten und authentisierten EMM und globalen Sendenachrichten sowie die MSK zum SEES 620, wie bei 2426 und 2418 gezeigt. Im Falle von EMM, die wiederholt über eine ausgedehnte Zeitdauer hinweg an die DHCT geschickt werden, speichert das DNCS 507 die verschlüsselten EMM in der EMM-Datenbank 2420 und liefert sie von dort an den SEES 620. Bei FPM benutzt das DNCS 507 die EA-TED 2425(j) für den EA 2409(j), an den die FPM gerichtet ist, um die Entschlüsselung und Authentisierung vorzunehmen, und schickt entschlüsselten FPM-Inhalt 2412 an EA 2409(i). Das DNCS 507 behandelt die CAA-EMM in der gleichen Weise wie die EA-EMM, ausser dass die Verschlüsselung und Syntheseerstellung unter Benutzung des CAA-TED 2427 erfolgen.
Das DNCS 507 enthält ferner eine Datenbank von verschlüsselter Instanzeninformation 2419, die verschlüsselte Kopien der privaten Schlüssel und MSK umfasst, die in den an das DNCS 507 angeschlossenen TED 609 gespeichert sind. Diese verschlüsselte Instanzeninformation wird benutzt, um eine TED wiederherzustellen, falls eine Störung oder physische Zerstörung der TED einen Verlust der Schlüsselinformation verursachen sollte. Die Verschlüsselung erfolgt unter Benutzung eines Kennsatzes in der TED. Wenn die Information verschlüsselt worden ist, wird sie an das DNCS 507 ausgegeben und in der Datenbank 2419 gespeichert; wenn die TED wiederhergestellt ist, wird die Information zusammen mit dem Kennsatz in die TED eingegeben, die dann die Schlüsselinformation entschlüsselt.

Detailimplementierung der TED 2425(i) Fig. 25

Fig. 25 ist ein detailliertes Blockdiagramm einer bevorzugten Ausführungsform einer EA-TED 2425(i). In der bevorzugten Ausführungsform ist die EA-TED 2425(i) unter Benutzung einer Standard-Computerhauptplatine und eines Standard-Chassis mit Standard-Ethernet-Platine und zusätzlichen Mitteln zur beschleunigten RSA-Verschlüsselung und -Entschlüsselung implementiert.
Wie in Fig. 25 gezeigt, sind die hauptsächlichen Komponenten der TED 2425(i) eine Zentraleinheit (central processing unit CPU) 2501, ein Speicher 2505, ein Hardware- Zufallszahlengenerator 2537, eine Ethernetplatine 2541 sowie eine Anzahl von RSA- Beschleunigerplatinen 2539(0.. n), die alle über die Schiene 2503 miteinander verbunden sind. Die Benutzung von mehr als einer RSA-Beschleunigungsplatine 2549 gestattet eine RSA-Verschlüsselung und/oder -Entschlüsselung in parallel; folglich ist die bevorzugte Ausführungsform der TED 2425(i) in der Lage, eine Vielzahl von EMM sehr rasch zu verschlüsseln, zum Beispiel innerhalb von einer Sekunde, während sie gleichzeitig andere Arbeitsschritte, bei denen es um Verschlüsselung, Erstellung von Synthesen oder Entschlüsselung geht, mit einer ähnlichen Geschwindigkeit erledigt.
Der Speicher 2505 enthält die EA-Information 2507, die aus dem öffentlichen und privaten Schlüssel für den Berechtigungsvermittler besteht, zu dem die TED 2425(i) gehört, ferner aus den MSK für den EA sowie dem Code 2523, der der auf der CPU 2501 ablaufende Code ist. Die Teile des Speichers 2505, die den Code 2523 und die EA-Information 2507 enthalten, sind nichtflüchtig, wobei der den Code 2523 enthaltende Teil ein Nur-Lese-Speicher und der die EA-Information 2507 enthaltende Teil sowohl lesbar wie schreibbar ist. Der Code, der für die gegenwärtige Diskussion von Interesse ist, schliesst ein:
1. den MSK erzeugenden Code 2525, der aus zufälligen Zahlen, die durch den Zufallszahlengenerator 2537 geliefert werden, die MSK und ISK erzeugt;
2. den RSA-Schlüsselgenerator 2517, der die öffentlichen und privaten RSA- Schlüssel aus zufälligen Zahlen erzeugt;
3. den MDS-Code 2529, der den MD5-Einweg-Hash-Algorithmus ausführt;
4. den 3DES-Code 2531, der die 3DES-Ver- und Entschlüsselung ausführt;
5. den GBAM-Autorisierungscode 2533, der die Synthese des geteilten Geheimnisses erstellt, die dazu benutzt wird, um globale Sendenachrichten zu authentisieren;
6. den RSA-Verschlüsselungs-/-Entschlüsselungscode 2535, der RSA- Verschlüsselung/-Entschlüsselung mit Unterstützung durch die RSA-Hardware 2539 ausführt;
7. den EA-Informations-Verschlüsselungscode 2536, der EA-Information 2507 mit einem Kennsatz zur Speicherung im DNCS 507 verschlüsselt;
8. den EMM-Code 2538, der verschlüsselte und authentisierte EMM erzeugt; und
9, den FPM-Code 2540, der FPM entschlüsselt und überprüft.
Die EA-Information 2507 enthält die Information, die dazu benötigt wird, um die Verschlüsselung und Authentisierung von GBAM und FMM auszuführen, die für den durch die TED 2425(i) vertretenen EA verschickt werden. Die EA-Information 2507 erleichtert auch die Entschlüsselung und Echtheitsprüfung von FPM, die an diesen EA gerichtet sind, und enthält Information dafür. In einer bevorzugten Ausführungsform schliesst die EA-Information zumindest ein: 1) EAID 2509, die die EAID für den EA 2409(i) ist, EA Ku 2511 und EA Kr 2513, die die öffentlichen bzw. privaten Schlüssel für den EA 2409(i) sind; und 2) einen MSK-Eintrag (MSKE) 2515 für jeden MSK, der durch den EA 2409(i) im System mit bedingtem Zugang 601, zu dem die TED 2425(i) gehört, benutzt wird. Jeder MSKE 2515 enthält die MSK-Kennung 2517 für den MSK, die Verfallszeit 2519 (falls gegeben) für den MSK, die MSK-Parität 2520 für den MSK sowie den MSK 2521 selbst.

Durch die EA-TED 2425(i) ausgeführte Arbeitsschritte

Wenn die EA-TED 2425(i) initialisiert wird, wird sie mit der EAID für den EA ausgestattet, der durch die TED 2425(i) vertreten werden soll. Sie speichert die EAa bei 2509 und benutzt den RSA-Schlüsselerzeugungscode 2517 und eine zufällige Zahl vom Zufallszahlengenerator 2537, um den öffentlichen EA-Schlüssel 2511 und den privaten EA-Schlüssel 2513 zu erzeugen, die in EA-Information 2507 gespeichert werden. Ein Prozedur-Fernaufruf (remote procedure call RPC) gestattet es dem DNCS 507, den öffentlichen EA-Schlüssel 2511 zu lesen. Weitere RPC gestatten es dem DNCS 507, die Seriennummer der TED 2425(i) zu lesen, die Systemzeit der TED 2425(i) zu erlangen und einzustellen sowie die TED 2425(ii) aufzurufen, um festzustellen, ob sie antwortet. Die TED 2425(i) antwortet auf diesen Aufruf mit ihrer Seriennummer. Die EA-TED 2425(i) meldet auch eine Anzahl von Alarmbedingungen an das DNCS 507. Diese schliessen teilweises und völliges Versagen der Verschlüsselung, Versagen der Zufallszahlenerzeugung, Speicherversagen sowie Überlastung der TED und des Ethernet ein.
Mit der Verschlüsselung und Authentisierung der EMM fortfahrend, hat das DNCS 507 zwei RPC, einen für EMM allgemein und einen für MSK-EMM. Wenn das DNCS 507 für den EA 2049(i) eine Nicht-MSK-EMM erstellen soll, empfängt es vom EA 2409(i) das folgende:
1. die Seriennummer des DHCT 333, das der Empfänger der EMM ist;
2. eine EAa für den EA 2409(i);
3. den Typ der EMM; und
4. die für eine EMM dieses speziellen Typs benötigte Information, zum Beispiel eine Berechtigungs-Bitmap zusammen mit der ersten Berechtigungs-ID, dem Verfallsdatum und der Kein-Verfallsdatum-Flagge.
Das DNCS 507 benutzt die Seriennummer, um den öffentlichen Schlüsel für das IDHCT 333 in der öffentlichen Schlüsseldatenbank 2421 aufzusuchen, benutzt die EAa, um festzulegen, welche TED 2425 benutzt werden soll, formatiert die Information, wie es für eine EMM dieses Typs erforderlich ist, und liefert die formatierte Information (1123, 1125 und 1127 in Fig. 11) zusammen mit dem öffentlichen Schlüssel des DHCT über den RPC zur TED 2425(i). Der EMM-Code 2538 benutzt dann den MDS-Code 2529, um eine Synthese der formatierten Information zu erstellen, und benutzt den RSA-E/D-Code 2535 (E/D = encryption/decryption = Verschlüsselung/Entschlüsselung), um die formatierte Information mit dem öffentlichen Schlüssel des DHCT zu verschlüsseln und die Synthese mit dem privaten Schlüssel 2513 für den EA zu verschlüsseln. Die verschlüsselte formatierte Information und die verschlüsselte Synthese werden dem DNCS 507 zur Verfügung gestellt, das hinzufügt, was immer erforderlich ist, und die EMM in die EMM- Datenbank 2420 platziert.
Bei einer MSK-EMM empfängt das DNCS 507 die EAa, die DHCT-Seriennummer, den EMM-Typ, die MSK-Parität, die MSKID und etwaige Verfallsdaten vom EA 2409(i). Das DNCS 507 gewinnt dann die DHCT-Seriennummer wieder, formatiert die Information und führt den RPC-Aufruf wie soeben beschrieben durch. In diesem Falle sucht der EMM-Code 2538 in der EA-Information 2507 nach dem MSK, der der MSK-ID entspricht, und fügt den MSK zu der formatierten Information hinzu. Dann benutzt der EMM-Code 2538 den MDS-Code 2529, um eine Synthese der formatierten Information zu erstellen. Der EMM-Code 2538 benutzt dann den RSA- Verschlüsselungs-/-Entschlüsselungscode, um die formatierte Information mit dem öffentlichen Schlüssel des DHCT zu verschlüsseln und die Synthese mit dem privaten Schlüssel des EA zu verschlüsseln, und schickt die EMM zum DNCS 507 zurück, wie oben beschrieben.
Die Schnittstelle, die benutzt wird, um einer globalen Sendenachricht ihre Authentisierungsinformation zu geben, benötigt die MSKID des MSK, der das geteilte Geheimnis sein soll, sowie den Inhalt der globalen Sendenachricht. Der GBAM- Autorisierungscode 2533 in der TED 2425(i) benutzt die MSKID, um den MSKE 2525 für den MSK zu finden, verbindet MSK 2521 mit dem Inhalt der globalen Nachricht (GBAM-Header 1807 und globale Sendedaten 1809 in Fig. 18) und benutzt den MD5-Code 2529, um die Synthese zu erzeugen (GBAM-MAC 1805), die er zum DNCS 507 zurückschickt.
Bei vom DHCT 333 zum EA übersandten Nachrichten wie zum Beispiel einer weitergeleiteten Kaufnachricht beinhaltet das IP-Paket, in dem die Nachricht verschickt wird, die IP-Adresse des DHCT 333, das der Ursprung der Nachricht ist, und diese ihrerseits schliesst die Seriennummer des DHCT 333 ein. Das DNCS 507 benutzt die Seriennummer, um den öffentlichen Schlüssel für das DHCT 333 in der öffentlichen Schlüssel-Datenbank 2421 aufzufinden, und liefert der TED 2425(i) den öffentlichen Schlüssel zusammen mit dem verschlüsselten Umschlagschlüssel 2103, der CA-FPM-Nachricht 2105 und der chiffrierten FPM-Authentisierung 2107 von der FPM. Der FPM-Code 2540 benutzt dann:
1. den öffentlichen EA-Schlüssel 2511 und den RSA-Verschlüsselungs-/-Entschlüsselungscode 2535, um den verschlüsselten FPM-Umschlagschlüssel 2103 zu entschlüsseln;
2. den 3DES-Code 2531 und den entschlüsselten Umschlagschlüssel, um die verschlüsselten FPM-Ereignisse 2113 zu entschlüsseln;
3. den RSA-Verschlüsselungs-/-Entschlüsselungscode 2535 und den öffentlichen Schlüssel für DHCT 333, um die FPM-Authentisierung 2107 zu entschlüsseln;
4. die entschlüsselten verschlüsselten Ereignisse mit dem MD5-Code 2529, um eine neue Hash zu erzeugen, die er mit dem entschlüsselten Wert der FPM- Authentisierung 2107 vergleicht. Wenn dieser Vergleich zeigt, dass die FPM authentisch ist, schickt die TED 2425(i) die entschlüsselten Ereignisse zum DNCS 507 zurück, das diese seinerseits zum EA 2409(i) weiterleitet.
Die MSK in MSK 2515 werden durch die TED 2425(i) erzeugt. Die Schnittstelle für MSK-Erzeugung erfordert einfach die MSKa für den neuen MSK, die Parität für den neuen MSK und eine etwaige Verfallszeit. Der MSK-Erzeugungscode 2525 empfängt eine Zufallszahl vom Zufallszahlengenerator 2537 und benutzt sie, um den neuen MSK zu erzeugen. Dann wird der MSKE 2515 für den neuen MSK erstellt und zur EA-Information 2507 hinzugefügt. Wenn bereits ein MSKE 2525 für die MSKa für den neuen MSK vorhanden ist, ersetzt der neue MSKE den vorhandenen MSKE. Die TED 2425(i) erzeugt auch interaktive Sitzungsschlüssel für die EMM zum Hinzufügen der interaktiven Sitzung. Die Schlüsselerzeugung erfolgt wie für die MSK- EMM beschrieben. Nachdem die TED 2425(i) den EMM-Inhalt mit dem verschlüsselten Schlüssel an das DNCS 507 geliefert hat, überschreibt es den Platz im Speicher 2505, an dem der interaktive Sitzungsschlüssel gespeichert war.

CAA-TED

Die CAA-TED 2427 haben die gleiche Hardware wie die EA-TED, aber in der bevorzugten Ausführungsform verschlüsseln sie nur die CAA-EMM, die dazu benutzt werden, einen Berechtigungsvermittler in einem DHCT 333 zu etablieren. Die EMM- Verschlüsselung erfolgt genau wie für die EA-TED beschrieben. Der öffentliche Schlüssel des DHCT 333 und der private Schlüssel der CAA sind die einzigen Schlüssel, die erforderlich sind, um die CAA-TED zu verschlüsseln und zu authentisieren. Sie brauchen daher nur einen der drei Öffentlich/Privat-Schlüsselpaare zu speichern, die die CAA vertreten. Das Öffentlich/Privat-Schlüsselpaar der CAA wird an anderer Stelle erzeugt. Der private Schlüssel wird unter Benutzung eines Kennsatzes verschlüsselt, der zusammen mit dem Schlüsselpaar der CAA-TED 2405 zur Verfügung gestellt wird. Die CAA-TED entschlüsselt dann den privaten Schlüssel und speichert den entschlüsselten privaten Schlüssel, aber nicht den Kennsatz, im Speicher 2505. Der verschlüsselte private Schlüssel, aber nicht der Kennsatz, wird ebenfalls in der verschlüsselten Instanzeninformation 2419 im DNCS 507 gespeichert.

Authentisierung von Daten für im DHCT 333 ablaufende Anwendungen: Fig. 23

Voraufgehend ist offenbart worden, wie das System mit bedingtem Zugang 601 die Instanz für bedingten Zugang, die Berechtigungsvermittler, das DHCTSE 627 und die Transaktionsverschlüsselungsvorrichtung 603 benutzt, um Sicherheit für seine eigenen Operationen sowie für die Schlüssel und die Berechtigungsinformation zu gewähren, die erforderlich sind, um eine Diensteeinheit zu entschlüsseln. Eine weitere Funktion des Systems mit bedingtem Zugang 601 besteht darin, ein sicheres Herunterladen von Daten für im DHCT 333 ablaufende Anwendungen zu gewährleisten.
Es gibt zwei Wege, auf denen Daten heruntergeladen werden können: 1) in einem MPEG-2-Strom über den Pfad grosser Bandbreite, der vom SEES 619 über das Transportnetz 517 zum HFC-Netz 521 und zum DHCT 333 führt, und 2) in 19- Paketen über den Pfad geringerer Bandbreite, der von der Steuergruppe 607 über die LAN-Verbindungsvorrichtung 617 und den QPSK-Modulator 621 zum HFC-Netz 521 und zum DHCT 333 führt.
Wie bei den im System mit bedingtem Zugang 601 benutzten Daten gibt es bei dem Problem zwei Aspekte: Sicherheit und Authentisierung. Sicherheit kann durch Verschlüsselung der Daten erreicht werden. Im Falle von Daten, die über den Pfad grosser Bandbreite geliefert werden, kann die Verschlüsselung entweder unter Benutzung eines MSK durch DES erfolgen, und zwar dann, wenn die Daten für alle DHCT 333 bestimmt sind, die einen gegebenen Berechtigungsvermittler haben, oder mit Hilfe des öffentlichen Schlüssels für das DHCT, und zwar dann, wenn die Daten für ein bestimmtes DHCT 333 bestimmt sind. Im Falle von Daten, die über den Pfad geringerer Bandbreite geliefert werden, sind die Daten an die IP-Adresse eines bestimmten DHCT 333 gerichtet und können mit dem öffentlichen Schlüssel des DHCT 333 verschlüsselt werden. Bei Verschlüsselung mit einem MSK wird der MSK durch die Transaktionsverschlüsselungsvorrichtung 603 zur Verfügung gestellt, während bei Verschlüsselung mit dem öffentlichen Schlüssel des DHCT 333 die Transaktionsverschlüsselungsvorrichtung 603 den Schlüssel zur Verfügung stellen oder die Verschlüsselung selbst durchführen kann. Das DHCTSE 627 enthält die Schlüssel, die dazu benötigt werden, um die erforderliche Entschlüsselung im DHCT 333 auszuführen.
Zu den authentisierenden Instanzen im System mit bedingtem Zugang 601 gehören die bedingte Zugangsinstanz und die Berechtigungsvermitller. Die Authentisierung der heruntergeladenen Daten erfolgt in der gleichen Weie wie bei EMM, nämlich unter Benutzung einer Einweg-Hashfunktion, um eine Synthese der heruntergeladenen Daten zu erstellen, und darauffolgende Verschlüsselung der Synthese mit dem privaten Schlüssel der authentisierenden Instanz, um eine versiegelte Synthese zu erstellen. In der bevorzugten Ausführungsform wird die versiegelte Synthese in der Transaktionsverschlüsselungsvorrichtung 603 erstellt. Wenn die heruntergeladenen Daten im DHCT 333 ankommen, benutzt das DHCTSE 627 den öffentlichen Schlüssel der authentisierenden Instanz, um die versiegelte Synthese zu entschlüsseln, und benutzt dann die Einweg-Hashfunktion, um die heruntergeladenen Daten wieder zu vermischen. Wenn die heruntergeladenen Daten authentisch sind und unterwegs nicht entstellt wurden, gleicht die entschlüsselte versiegelte Synthese dem Ergebnis des Vermischens der Daten in der Einweg-Hashfunktion. Es sei an dieser Stelle vermerkt, dass die Authentisierung nicht durch den Absender der Daten erfolgt, sondern durch eine CAA oder einen EA, die dem digitalen Breitbandliefersystem bekannt sind. Da die CAA bzw. der EA dem DHCT 333 bereits bekannt ist, können darüber hinaus authentisierte Daten zum DHCT 333 heruntergeladen werden, ohne dass der Benutzer des DHCT 333 eingreifen muss.
Es gibt viele Möglichkeiten, die Authentisierung in Beziehung zu den Daten zu bringen, die derzeit authentisiert werden. Eine Möglichkeit besteht darin, eine GBAM zu benutzen, wie oben unter Bezugnahme auf Fig. 20 beschrieben. In diesem Falle wäre die GBAM-Nutzlast 2003 die Synthese für die Daten, die heruntergeladen werden, während der Berechtigungsvermittler 2005 die Synthese mit seinem privaten Schlüssel verschlüsseln und eine Synthese unter Benutzung der Nutzlast 2003 und eines MSK erstellen würde. Eine andere Möglichkeit besteht darin, einfach eine Nachricht über den MPEG-2-Transportstrom zu schicken oder dafür ein IP-Paket zu benutzen, das einen Authentisierungsteil sowie die Daten enthält.
Eine Art von Daten, die unter Benutzung der obigen Verfahren heruntergeladen werden können, ist Code, der durch den Allzweck-Prozessor im DHCT 333 ausgeführt werden soll. Der Speicher, der durch den Prozessor benutzt wird, schliesst einen Teil ein, der einen Flash-Speicher darstellt. Das bedeutet, dass der Speicher nicht wie ein gewöhnlicher schreibbarer Speicher, sondern nur als ein Ganzes neu geschrieben werden kann. Ein solcher Speicher wird typischerweise dazu benutzt, herunterladbaren Code zu bewahren. Fig. 23 zeigt ein Nachricht, die herunterladbaren Code enthält. Die Codenachricht 2301 hat zwei Teile: den Authentisierungsteil 2303 und den Codeteil 2305. Der Codeteil 2305 enthält verschlüsselten oder unverschlüsselten Code, je nach den Erfordernissen der Situation. Der Authentisierungsteil 2303 enthält zumindest zwei Informationen: die Authentisierer-Kennung (Aa) 2307 und die versiegelte Synthese (sealed digest SD) 2309. Die Authentisierer-Kennung 2307 ist die CAAa oder EAa für die bedingte Zugangsinstanz oder den Berechtigungsvermittler, der den Code 2305 authentisiert; die versiegelte Synthese 2309 wird erstellt, indem der Code 2305 in einer Einweg-Hashfünktion vermischt wird, um eine Synthese zu erstellen, und die Synthese dann mit dem privaten Schlüssel der CAA oder des EA, die den Code authentisieren, verschlüsselt wird. Die SD 2309 wird in einer bevorzugten Ausführungsform durch eine Transaktionsverschlüsselungsvorrichtung 605 erzeugt.
Die Codenachricht 2301 kann entweder in einem MPEG-2-Transportstrom oder als ein IP-Paket verschickt werden. Die Nachricht 2301 kann zu jedem DHCT 333 gesendet werden, das die authentisierende CAA oder den authentisierenden EA besitzt, oder sie kann einem bestimmten DHCT 333 zugeschickt werden. In diesem Falle ist eine Adresse für das DHCT 333 in dem Paket (den Paketen), die die Codenachricht 2301 befördern, enthalten. In der bevorzugten Ausführungsform ist die Adresse die Seriennummer des DHCT 333. Wenn die Codenachricht 2301 bei dem DHCT 333 ankommt, für das sie bestimmt ist, führt im Prozessor ablaufender Code die Einweg-Hashfunktion am Code 2305 aus und liefert das Ergebnis zusammen mit der AID 2307 und der versiegelten Synthese 2309 zum DHCTSE 627. Das DHCTSE 627 benutzt die Aa 2307, um den öffentlichen Schlüssel für die CAA oder den EA aufzufinden, und benutzt dann den öffentlichen Schlüssel, um die versiegelte Synthese 2309 zu entschlüsseln. Schliesslich vergleicht es den Hashwert in der entschlüsselten versiegelten Synthese 2309 mit dem, der durch den im Prozessor ablaufenden Code geliefert wird, und wenn diese Werte gleich sind, gibt das DHCTSE zu erkennen, dass der Code authentisiert worden ist.

Hierarchie der öffentlichen Schlüssel (Fig. 28)

Die verschiedenen Elemente in dem hier beschriebenen System implementieren in ihrer Gesamtheit eine Hierarchie der öffentlichen Schlüssel 2801 im Netz. Dies ist von Vorteil, da eine solche Hierarchie benutzt werden kann, um die "Vertrauensketten" zu etablieren, die eine skalierbare, spontane kommerzielle Wechselwirkung zwischen den DHCT 333 und anderen Netzen wie dem Internet, die auf öffentlichen Schlüsseln beruhende Sicherheit nutzen, unterstützen. Sie kann auch dazu benutzt werden, um Vertrauen in kommerzielle Benutzerwechselwirkungen mit dem DBDS 501 herzustellen.
Fig. 28 zeigt die Hierarchie der Beglaubigung öffentlicher Schlüssel im DBDS. Zwei unabhängige "Vertrauensketten" werden gezeigt. Links befindet sich die "DHCT-Kette", die die Gültigkeit der öffentlichen Schlüssel nachweist, die mit den 10DHCT 333 assoziiert sind; und eine vertrauenswürdige Benutzung von durch das DHCT 333 gegebenen digitalen Unterschriften ermöglicht. Rechts befindet sich die "Betreiberkette", die die Gültigkeit der öffentlichen Schlüssel nachweist, die mit den Netzbetreibern und den tragenden EA innerhalb jedes Systems assoziiert sind, und eine vertrauenswürdige Benutzung der Unterschriften dieser Instanzen ermöglicht.
Die DHCT-Unterschrift 2806 kann, wie hierin an anderer Stelle beschrieben, dazu benutzt werden, um vom DHCT 333 geschickte Nachrichten zu authentisieren. Damit die Empfänger jedoch das Vertrauen haben können, dass diese DHCT-Unterschriften authentisch sind, müssen sie mit Bestimmtheit wissen, dass der öffentliche Schlüssel, von dem behauptet wird, er sei mit dem DHCT 333 assoziiert, tatsächlich der wahre Schlüssel ist, der mit dem privaten Schlüssel des DHCT übereinstimmt. Dies wird erreicht, indem das DHCT-Zertifikat 2806 durch die Unterschrift der Werksprogrammierer-Zertifikatinstanz (factory programmer certificate authority FPCA) beglaubigt wird. Der FPCA-Unterschrift kann vertraut werden, weil auf das FPCA- Zertifikat 2805 Bezug genommen werden kann. Die DHCT-Zertifikate 2806 und die FPCA-Unterschrift sowie das FPCA-Zertifikat 2805 werden bevorzugt in einer sicheren Art und Weise zum Zeitpunkt der Herstellung des DHCT 333 besorgt. Da es mit der Zeit erforderlich werden kann, neue FPCA-Zertifikate auszugeben und neue FPCA-Unterschriften zu benutzen, ist jedes FPCA-Zertiflkat noch mit einer Unterschrift der DHCT-Wurzel beglaubigt, die ihr eigenes Zertifikat 2804 besitzen kann. Das benannte DHCT-Wurzel-Zertifikat 2804 kann entweder selbst unterschrieben oder durch eine andere Instanz beglaubigt sein. Die DHCT-Wurzel-Unterschrift wird bevorzugt in einer hoch verfälschungssicheren Vorrichtung verwaltet, zum Beispiel einer, die die Erfordernisse einer Beglaubigung des Niveaus 3 von FIPS 140-1 erfüllt.
In der Betreiberkette werden die verschiedenen EA-Zertifikate 2803 dazu benutzt, um Unterschriften in der hierin an anderer Stelle beschriebenen Art und Weise zu leisten. Die Betreiber-CAA-Unterschrift wird gleichermassen unter Benutzung des Betreiber- CAA-Zertifikats 2802 dazu benutzt, jede EA-Unterschrift wie bereits hier beschrieben zu beglaubigen. Über der Betreiber-CAA-Unterschrift können zwei Wurzel-CAA- Unterschriften dazu benutzt werden, um eine Betreiber-CAA 2802 auf sicherem Wege bei einem DHCT 333 einzuführen. Bevorzugt zur Zeit der Herstellung werden nämlich drei öffentliche Wurzel-CAA-Schlüssel in den sicheren NVM des DHCT 333 gelegt. Dann können authentische Nachrichten von zwei dieser Wurzel-CAA dazu benutzt werden, um den dritten öffentlichen Wurzel-CAA-Schlüssel durch den der Betreiber-CAA zu ersetzen, deren Schlüssel in den Betreiber-CAA-Zertifikaten 2802 beglaubigt ist. Die Wurzel-CAA wird bevorzugt durch den Hersteller in einer verfälschungssicheren Vorrichtung verwaltet, die die Erfordernisse einer Beglaubigung des Niveaus 3 von FIPS 140-1 erfüllt oder übertrifft. Durch eine geeignete Folge von Nachrichten ist es jedoch möglich, alle öffentlichen Wurzel-CAA-Schlüssel durch solche anderer CAA, über die der Hersteller keine Kontrolle hat, zu ersetzen. So ist es möglich, den Hersteller von der Unterschriftenkette zu eliminieren. In diesem Falle kann die Wurzel-CAA irgendeine andere Organisation sein, die durch einen oder mehrere Betreiber anerkannt wird, oder sie kann durch einen Betreiber verwaltet werden.
Wie in Fig. 28 gezeigt und an anderer Stelle hierin beschrieben, kann jeder Betreiber eine Mehrzahl von EA haben. In einer bevorzugten Ausführungsform gibt es für jeden Betriebsort eines jeden gegebenen Betreibers einen anderen EA und ein dazugehöriges EA-Zertifikat 2803. Dadurch wird sichergestellt, dass die DHCT nicht ohne Wissen und Beteiligung der Betreiber-CAA-Unterschrift 2802 zwischen Betriebsorten hin- und herverschoben werden können.
Das in Fig. 28 gezeigte geopolitische CA-Zertifikat 2807 ist für die normalen bedingten Zugangs- und elektronischen Aktivitäten des Betreibers nicht erforderlich. Der Betreiber kann jedoch den Wunsch haben, seine Unterschriftenkette in eine grössere Kette einzubinden, damit er oder die DHCT 333 sich an Transaktionen beteiligen können, in die Instanzen ausserhalb des DBDS des Betreibers einbezogen sind. In diesem Falle können die Unterschriftenketten leicht an diejenigen einer geopolitischen CA und deren Unterschrift angefügt werden, indem die öffentlichen Schlüssel eines oder aller DHCT-Wurzelunterschriften 2804, die Wurzel-CAA-Unterschrift 2808 oder die Betreiber-CAA-Unterschriften 2802 durch die geopolitische CA- Unterschrift beglaubigt werden. Das erfolgt, indem für jeden der mit Unterschriften 2804, 2808 und 2802 assoziierten öffentlichen Schlüssel ein Zertifikat in einer Datenbank hinterlegt wird. Dieses Zertifikat wird mit dem privaten Schlüssel der geopolitischen CA 2807 unterschrieben.
Fig. 29 zeigt einen EMM-Generator 2901. Wie an anderer Stelle hierin beschrieben, wird bevorzugt, dass die DHCT 333, die in verschiedenen DBDS-Einheiten von verschiedenen Betreibern betrieben werden, durch eine Betreiber-CAA kontrolliert werden, die speziell für den betreffenden Betreiber und das betreffende System geschaffen ist. Da zur Zeit ihrer Herstellung die DHCT 333 nicht dafür konfiguriert werden, durch irgendeine Betreiber-CAA kontrolliert zu werden, sondern stattdessen durch drei Wurzel-CAA kontrolliert werden, deren öffentliche Schlüssel während der Herstellung in den Speicher des sicheren Prozessors platziert werden, müssen sie für ihre Kontrolle durch andere Betreiber umkonfiguriert werden. Dies muss auf sichere Art und Weise geschehen. Wie an anderer Stelle hierin beschrieben, können Nachrichten, die mit den digitalen Unterschriften von zwei der Wurzel-CAA versehen sind, dafür benutzt werden, das Terminal bezüglich der dritten CAA neu zu konfigurieren. Der EMM-Generator 2901 wird benutzt, um eine der beiden Nachrichten zu erzeugen, die dafür benötigt werden, um einen neuen öffentlichen Betreiber-CAA-Schlüssel beglaubigt in das DHCT 333 einzuführen. Die öffentlichen DHCT-Schlüsselzertifikate 2902 werden in den EMM-Generator eingegeben, so dass dieser weiss, für welche DHCT er Nachrichten erstellen soll. Die DHCT, die durch einen bestimmten Betreiber kontrolliert werden sollen, können in eine getrennte Datei der Eingabevorrichtung eingetragen werden, oder sie können auf anderen Wegen, die dem Fachmann geläufig sind, mit einem Betreiber assoziiert werden.
Bevor die einführenden EMM 2903 erzeugt werden, werden beglaubigte öffentliche Schlüssel der durch den EMM-Generator 2901 bedienten, verschiedenen Betreiber in den öffentlichen Schlüsselspeicher 2904 des EMM-Generators 2901 geladen. Wenn also der EMM-Generator 2901 Input von DHCT liest, die beim Betreiber A eingeführt werden sollen, benutzt der EMM-Generator den öffentlichen Schlüssel des Betreibers A, den er aus dem Speicher 2904 liest, um EMM zu erzeugen, die den öffentlichen Schlüssel des Betreibers A enthalten. Bevor die einführenden EMM 2903 erzeugt werden, müssen gleichermassen die privaten Schlüssel dler Wurzel-CAA in den privaten Schlüsselspeicher 2905 des EMM-Generators 2901 geladen werden. Die benannten EMM werden unter Benutzung der privaten Schlüssel der Wurzel-CAA, die im Speicher 2905 enthalten sind, durch den EMM-Generator 2901 digital unterschrieben. Da private Unterschriftenschlüssel im Speicher 2905 des EMM-Generators 2901 enthalten sind, muss der EMM-Generator 2901 in einer sicheren Art und Weise implementiert werden, so dass eine Enthüllung der Werte der im Speicher 2905 gespeicherten privaten Wuzel-CAA-Schlüssel verhindert wird. Der EMM-Generator 2901 sollte deshalb in einer verfälschungssicheren Vorrichtung implementiert werden, die mindestens die Erfordernisse des Niveaus 3 von FIPS 140-1 erfüllt.
Da zwei private Wurzel-CAA-Schlüssel benutzt werden müssen, um getrennt die einführenden CAA-EMM 2903 zu unterschreiben, werden bevorzugt zwei EMM- Generatoren 2901 implementiert, je einer für jeden der beiden privaten Wurzel-CAA- Schlüssel. Es ist weiter bevorzugt, dass die EMM-Generatoren 2901 in physisch getrennten Anlagen betrieben werden.
Die oben dargelegte, eingehende Beschreibung einer bevorzugten Ausführungsform soll als beispielhaft, nicht aber als einschränkend betrachtet werden, und die Breite der hier offenbarten Erfindung soll nur aus den in der vollen, durch das EPÜ gestatteten Breite interpretierten Ansprüchen bestimmt werden.

Claims

1. Verfahren der Entschlüsselung einer Diensteeinheit (325), die mit einem gegebenen Kurzzeitschlüssel (319) verschlüsselt wurde, wobei das Verfahren in einem Empfänger (333) ausgeführt wird, der ein Öffentlich/Privat-Schlüsselpaar besitzt, und das Verfahren durch die folgenden Schritte gekennzeichnet ist:

im Empfänger eine erste Nachricht (315) zu empfangen, deren Inhalt einen ersten Langzeitschlüssel (309) einschliesst und unter Verwendung des öffentlichen Schlüssels (312) für den Empfänger (333) verschlüsselt wurde;

den privaten Schlüssel (337) zur Entschlüsselung des Inhalts zu verwenden;

den ersten Schlüssel (309) zu speichern;

im Empfänger (333) zusammen mit der verschlüsselten Diensteeinheit (329) eine zweite Nachricht (323) zu empfangen, wobei die zweite Nachricht (323) einen Indikator für einen zweiten Kurzzeitschlüssel (319) einschliesst;

den Indikator und den ersten Schlüssel (309) zu benutzen" um den zweiten Schlüssel zu erhalten; worin der zweite Schlüssel dem gegebenen Schlüssel (319), mit dem der Dienst verschlüsselt wurde, gleichwertig ist, und

den zweiten Schlüssel zur Entschlüsselung der empfangenen Diensteeinheit zu verwenden.

2. Das in Anspruch 1 dargelegte Verfahren, worin:

der Empfänger (333) ein sicheres Element einschliesst, in dem der private Schlüssel (337) gespeichert ist;

die Schritte, den Inhalt zu entschlüsseln, den ersten Schlüssel (309) zu speichern sowie den ersten Schlüssel und den Indikator zu benutzen, um den zweiten Schlüssel zu erhalten, im sicheren Element ausgeführt werden.

3. Das im Anspruch 1 dargelegte Verfahren, worin die erste Nachricht weiter eine erste Authentisierungsinformation einschliesst; und das Verfahren weiter die Schritte umfasst:

die erste Authentisierungsinformation zu benutzen, um festzustellen, ob die erste Nachricht (315) authentisch ist; und

die erste Nachricht nicht zu beachten, sofern die erste Nachricht nicht authentisch ist.

4. Das im Anspruch 3 dargelegte Verfahren, worin:

der Empfänger (333) einen öffentlichen Schlüssel (312) für einen Berechtigungsvermittler besitzt;

die erste Authentisierungsinformation eine Synthese der Information in der ersten Nachricht ist, wobei die Synthese mit einem dem öffentlichen Schlüssel für den Berechtigungsvermittler entsprechenden privaten Schlüssel verschlüsselt ist; und

der Schritt, die erste Authentisierungsinformation zu benutzen, die Schritte umfasst:

eine neue Synthese der Information in der ersten Nachricht zu erstellen;

die erste Authentisierungsinformation zu entschlüsseln; und

die neue Synthese mit der entschlüsselten ersten Authentisierungsinformation zu vergleichen, wobei die erste Nachricht authentisch ist, wenn die beiden gleich sind.

5. Das im Anspruch 4 dargelegte Verfahren, worin:

der Empfänger (333) ein sicheres Element einschliesst, in dem der öffentliche Schlüssel für den Berechtigungsvermittler und der private Schlüssel für den Empfänger gespeichert sind; und

die Schritte, den Inhalt zu entschlüsseln, den ersten Schlüssel (309) zu speichern, die erste Authentisierungsinformation zu benutzen, sowie den ersten Schlüssel und den Indikator zu benutzen, um den zweiten Schlüssel zu erhalten, im sicheren Element ausgeführt werden.

6. Das in Anspruch 1 dargelegte Verfahren, worin:

die erste Nachricht (315) und die zweite Nachricht (323) je eine Bezeichnung eines Berechtigungsvermittlers einschliessen;

der Schritt, den ersten Schlüssel (309) zu speichern, den Schritt einschliesst, den ersten Schlüssel mit dem durch die Bezeichnung in der ersten Nachricht identifizierten Berechtigungsvermittler zu assoziieren; und

das Verfahren weiter den Schritt umfasst, die Bezeichnung des Berechtigungsvermittlers in der zweiten Nachricht (323) zu benutzen, um den gespeicherten ersten Schlüssel aufzufinden.

7. Das in Schritt 6 dargelegte Verfahren, worin:

die erste Nachricht (315) und die zweite Nachricht (323) weiter je eine Schlüsselkennung für den ersten Schlüssel (309) einschliessen;

der Schritt, den ersten Schlüssel zu speichern, weiter den Schritt einschliesst, den ersten Schlüssel mit der Schlüsselkennung aus der ersten Nachricht zu assoziieren; und

das Verfahren weiter den Schritt umfasst, die Schlüsselkennung von der zweiten Nachricht (323) zu benutzen, um den ersten Schlüssel aufzufinden.

8. Das in Anspruch 7 dargelegte Verfahren, worin:

die zweite Nachricht (323) weiter eine Berechtigungsbestimmung einschliesst, die eine Berechtigung bestimmt; und

das Verfahren weiter die Schritte umfasst:

im Empfänger (333) eine dritte Nachricht zu empfangen, wobei der Inhalt der dritten Nachricht eine Berechtigungsvermittlerbestimmung und eine Berechtigungsbestimmung einschliesst und der Inhalt der dritten Nachricht unter Benutzung des öffentlichen Schlüssels für den Empfänger (333) verschlüsselt worden ist;

den privaten Schlüssel (337) zu benutzen, um den Inhalt der dritten Nachricht zu entschlüsseln;

die Berechtigungsbestimmung zusammen mit dem durch die Berechtigungsvermittlerbestimmung bestimmten Berechtigungsvermittler zu speichern; und

festzustellen, ob die Berechtigungsbestimmung in der zweiten Nachricht (323) mit einer gespeicherten Berechtigungsbestimmung übereinstimmt, die mit dem in der zweiten Nachricht bestimmten Berechtigungsvermittler assoziiert ist, und den Schritt auszuführen, den Indikator und den ersten Schlüssel (309) zu benutzen, um den zweiten Schlüssel zu erhalten, nur wenn eine Übereinstimmung gefunden wurde.

9. Das in Anspruch 8 dargelegte Verfahren, worin:

es eine Mehrzahl von Berechtigungsvermittlern gibt;

eine Mehrzahl von ersten Schlüsseln mit einem gegebenen Berechtigungsvermittler assoziiert ist; und

eine Mehrzahl von Berechtigungen mit einem gegebenen Berechtigungsvermittler assoziiert ist.

10. Das in Anspruch 8 dargelegte Verfahren, worin:

der Empfänger (333) ein sicheres Element einschliesst, in dem der private Schlüssel (337) für den Empfänger gespeichert ist; und

das sichere Element die Schritte ausführt, den Inhalt der ersten Nachricht (315) zu entschlüsseln; den Inhalt der dritten Nachricht zu entschlüsseln; den ersten Schlüssel (309) zu speichern; die Berechtigungsbestimmung zusammen mit dem Berechtigungsvermittler zu speichern; die Bezeichnung des Berechtigungsvermittlers zu benutzen; festzustellen, ob die Berechtigungsbestimmung in der zweiten Nachricht (323) mit einer gespeicherten Berechtigungsbestimmung übereinstimmt; unter Benutzung der Schlüsselkennung aus der zweiten Nachricht (323) den ersten Schlüssel (309) aufzufinden; sowie den Indikator und den ersten Schlüssel (309) zu benutzen, um den zweiten Schlüssel aufzufinden.

11. Das in Anspruch 6 dargelegte Verfahren, worin:

die zweite Nachricht (323) weiter eine Berechtigungsbestimmung einschliesst; und das Verfahren weiter die Schritte umfasst:

im Empfänger eine dritte Nachricht zu empfangen, wobei der Inhalt der dritten Nachricht eine Berechtigungsvermittlerbestimmung und eine Berechtigungsbestimmung einschliesst und die dritte Nachricht unter Benutzung des öffentlichen Schlüssels (312) für den Empfänger (333) verschlüsselt wurde;

unter Benutzung des privaten Schlüssels (337) den Inhalt der dritten Nachricht zu entschlüsseln;

die Berechtigungsbestimmung zusammen mit dem durch die Berechtigungsvermittlerbestimmung bestimmten Berechtigungsvermittler zu speichern; und festzustellen, ob die Berechtigungsbestimmung in der zweiten Nachricht (323) mit einer gespeicherten Berechtigungsbestimmung übereinstimmt, die mit dem in der zweiten Nachricht bestimmten Berechtigungsvermittler assoziiert ist, und den Schritt auszuführen, unter Benutzung des Indikators und des ersten Schlüssels (309) den zweiten Schlüssel zu erhalten, nur wenn eine Übereinstimmung gefunden wurde.

12. Das in Schritt 11 dargelegte Verfahren, worin:

es eine Mehrzahl von Berechtigungsvermittlern gibt; und

13. Das in Schritt 11 dargelegte Verfahren, worin:

der Empfänger (333) ein sicheres Element einschliesst, in dem der private Schlüssel (337) für den Empfänger (333) gespeichert ist; und

das sichere Element die Schritte ausführt,

den Inhalt der ersten Nachricht (315) zu entschlüsseln,

den Inhalt der zweiten Nachricht (323) zu entschlüsseln,

den ersten Schlüssel (309) zu speichern,

unter Benutzung der Bezeichnung des Berechtigungsvermittlers die Berechtigungsbestimmung zusammen mit dem Berechtigungsvermittler zu speichern, festzustellen, ob die Berechtigungsbestimmung in der zweiten Nachricht (323) mit einer gespeicherten Berechtigungsbestimmung übereinstimmt; und

unter Benutzung des Indikators und des ersten Schlüssels (309) den zweiten Schlüssel zu erhalten.

14. Das in Anspruch 9 dargelegte Verfahren, worin:

die dritte Nachricht weiter Authentisierungsinformation einschliesst; und

das Verfahren weiter die Schritte umfasst:

die Authentisierungsinformation zu benutzen, um festzustellen, ob die dritte Nachricht authentisch ist; und

die dritte Nachricht nicht zu beachten, falls festgestellt wird, dass die dritte Nachricht nicht authentisch ist.

15. Das in Anspruch 14 dargelegte Verfahren, worin:

der Empfänger einen öffentlichen Schlüssel für einen Berechtigungsvermittler besitzt; die Authentisierungsinformation eine Synthese der Information in der dritten Nachricht ist, die mit einem privaten Schlüsselverschlüsselt wurde, der dem öffentlichen Schlüssel für den Berechtigungsvermittler entspricht; und

der Schritt, die erste Authentisierungsinformation zu benutzen, die Schritte einschliesst:

eine neue Synthese der Information in der dritten Nachricht zu erstellen;

die Authentisierungsinformation zu entschlüsseln; und

die neue Synthese mit der entschlüsselten Authentisierungsinformation zu vergleichen, wobei die dritte Nachricht authentisch ist, wenn die beiden gleich sind.

16. Verfahren, einen Empfänger (333), der einen öffentlichen Schlüssel (312) besitzt, in die Lage zu versetzen, eine verschlüsselte Diensteeinheit (329) zu entschlüsseln, die mit einem gegebenen Kurzzeitschlüssel (319) verschlüsselt wurde, wobei das Verfahren durch die folgenden Schritte gekennzeichnet ist:

unter Benutzung des öffentlichen Schlüssels (312) den Inhalt einer ersten Nachricht (315) zu verschlüsseln, wobei der Inhalt einen ersten Langzeitschlüssel (309) einschliesst;

die erste Nachricht (315) zum Empfänger (333) zu senden;

eine zweite Nachricht (323) zusammen mit der verschlüsselten Diensteeinheit (329) an den Empfänger (333) zu senden, wobei die zweite Nachricht (323) einen Indikator für einen zweiten Kurzzeitschlüssel (319) einschliesst; worin der zweite Schlüssel dem gegebenen Schlüssel gleichwertig ist, und

der Empfänger auf die erste Nachricht (315) antwortet, indem er den Inhalt entschlüsselt und den ersten Schlüssel (309) speichert, und auf die zweite Nachricht (323) antwortet, indem er den Indikator und den ersten Schlüssel (309) benutzt, um den zweiten Schlüssel zu erhalten, und den zweiten Schlüssel benutzt, um die Diensteeinheit (329) zu entschlüsseln.

17. Das in Anspruch 16 dargelegte Verfahren, worin der öffentliche Schlüssel (312) für den Empfänger (333) in einer beglaubigten Form gespeichert ist.

18. Das in Anspruch 16 dargelegte Verfahren, weiter die Schritte umfassend:

den ersten Schlüssel (309) aus einem sicheren Element zu erhalten, in dem er gespeichert ist; und

den ersten Schlüssel zu benutzen, um den zweiten Schlüssel zu erzeugen.

19. Das in Anspruch 16 dargelegte Verfahren, weiter den Schritt umfassend:

erste Authentisierungsinformation zur ersten Nachricht (315) hinzuzufügen, worin der Empfänger (333) die erste Authentisierungsinformation dazu verwendet, die Echtheit der ersten Nachricht (315) zu überprüfen, und den ersten Schlüssen (309) in Beantwortung der ersten Nachricht (315) nur speichert, wenn die Echtheit der ersten Nachricht bestätigt wurde.

20. Das in Anspruch 19 dargelegte Verfahren, worin:

der Schritt, erste Authentisierungsinformation hinzuzufügen, den Schritt einschliesst, eine verschlüsselte Synthese der Information in der ersten Nachricht (315) zu erstellen, wobei die Synthese mit einem privaten Schlüssel (337) verschlüsselt wird, der dem öffentlichen Schlüssel für den Berechtigungsvermittler entspricht; und

der Empfänger die Echtheit der ersten Nachricht (315) überprüft, indem er eine neue Synthese der information in der ersten Nachricht erstellt, den öffentlichen Schlüssel (312) für den Berechtigungsvermittler benutzt, um die erste Authentisierungsinformation zu entschlüsseln, und die neue Synthese mit der entschlüsselten ersten Authentisierungsinformation vergleicht, wobei die erste Nachricht (315) authentisch ist, wenn die beiden gleich sind.

21. Das in Anspruch 20 dargelegte Verfahren, weiter den Schritt umfassend:

zur zweiten Nachricht (323) zweite Authentisierungsinformation hinzuzufügen, wobei der Empfänger (333) die zweite Authentisierungsinformation dazu verwendet festzustellen, ob die zweite Nachricht (323) authentisch ist, und die zweite Nachricht nicht beachtet, wenn die zweite Nachricht nicht authentisch ist.

22. Das in Anspruch 21 dargelegte Verfahren, worin:

die zweite Nachricht (323) mit einem Berechtigungsvermittler assoziiert ist;

der Schritt, zweite Authentisierungsinformation hinzuzufügen, den Schritt einschliesst, eine Synthese der Information in der zweiten Nachricht (323) sowie ein zwischen dem Berechtigungsvermittler und dem Empfänger (333) geteiltes Geheimnis zu erstellen; und

der Empfänger (333) die Echtheit der zweiten Nachricht (323) überprüft, indem er eine neue Synthese der Information in der zweiten Nachricht und des geteilten Geheimnisses erstellt und die neue Synthese mit der Synthese der zweiten Nachricht (323) vergleicht, wobei die zweite Nachricht authentisch ist, wenn die beiden gleich sind.

23. Das in Anspruch 22 dargelegte Verfahren, worin:

das geteilte Geheimnis zumindest einen Teil des ersten Schlüssels (309) einschliesst.

24. Das in Anspruch 23 dargelegte Verfahren, worin:

der erste Schlüssel (309) in einem sicheren Element gespeichert wird; und

der Schritt, die Synthese zu erstellen, im sicheren Element ausgeführt wird.

25. Das in Anspruch 20 dargelegte Verfahren, worin:

der private Schlüssel (337) für den Berechtigungsvermittler und der erste Schlüssel (309) in einem sicheren Element gespeichert werden;

der öffentliche Schlüssel (312) in einer beglaubigten Form gespeichert ist; und

die Schritte, den öffentlichen Schlüssel (312) für den Empfänger (333) zur Verschlüsselung der ersten Nachricht (315) zu benutzen und die verschlüsselte Synthese zu erstellen, im sicheren Element ausgeführt werden.

26. Das in Anspruch 25 dargelegte Verfahren, weiter die Schritte umfassend:

den ersten Schlüssel (309) vom sicheren Element zu erhalten; und

den ersten Schlüssel zu benutzen, um den zweiten Schlüssel zu erzeugen.

27. Das in Anspruch 16 dargelegte Verfahren, worin:

die erste Nachricht (315) und die zweite Nachricht (323) je eine Bezeichnung eines Berechtigungsvermittlers einschliessen; und

der Empfänger (333) weiter auf die erste Nachricht (315) antwortet, indem er den ersten Schlüssel (309) mit dem durch die Bezeichnung in der ersten Nachricht (315) identifizierten Berechtigungsvermittler assoziiert, und auf die zweite Nachricht (323) antwortet, indem er die Bezeichnung des Berechtigungsvermittlers in der zweiten Nachricht dazu benutzt, den gespeicherten ersten Schlüssel (309) aufzufinden.

28. Das in Anspruch 27 dargelegte Verfahren, worin:

die erste Nachricht (315) und die zweite Nachricht,(323) weiter je eine Schlüsselkennung für den ersten Schlüssel (309) einschliessen, wobei der Empfänger (333) weiter auf die erste Nachricht (31 S) antwortet, indem er den ersten Schlüssel (309) mit der Schlüsselkennung aus der ersten Nachricht (315) assoziiert, und auf die zweite Nachricht (323) antwortet, indem er die Schlüsselkennung aus der zweiten Nachricht dazu verwendet, den ersten Schlüssel (309) aufzufinden.

29. Das in Anspruch 28 dargelegte Verfahren, worin:

die zweite Nachricht (323) weiter eine eine Berechtigung bestimmende Berechtigungsbestimmung einschliesst; und

das Verfahren weiter den Schritt umfasst, eine dritte Nachricht an den Empfänger zu senden, wobei der Inhalt der dritten Nachricht eine Berechtigungsvermittlerbestimmung und eine Berechtigungsbestimmung einschliesst und der Inhalt der dritten Nachricht unter Benutzung des öffentlichen Schlüssels (312) für den Empfänger (333) verschlüsselt wurde; und

der Empfänger 8333) auf die dritte Nachricht antwortet, indem er den privaten Schlüssel (337) dazu benutzt, den Inhalt der dritten Nachricht zu entschlüsseln, die Berechtigungsbestimmung zusammen mit dem durch die Berechtigungsvermittlerbestimmung bestimmten Berechtigungsvermittler speichert, feststellt, ob die Berechtigungsbestimmung in der zweiten Nachricht (323) mit einer gespeicherten Berechtigungsbestimmung übereinstimmt, die mit dem in der zweiten Nachricht (323) bestimmten Berechtigungsvermittler assoziiert ist, und den Schritt ausführt, unter Benutzung des Indikators und des ersten Schlüssels (309) den zweiten Schlüssel zu erhalten, nur wenn eine Übereinstimmung gefunden wurde.

30. Das in Anspruch 29 dargelegte Verfahren, worin:

es eine Mehrzahl von Berechtigungsvermittlern gibt;

eine Mehrzahl von ersten Schlüsseln (309) mit einem gegebenen Berechtigungsvermittler assoziiert ist; und

eine Mehrzahl von Berechtigungen für zumindest einen Empfänger (333) mit einem gegebenen Berechtigungsvermittler assoziiert ist.

31. Das in Anspruch 27 dargelegte Verfahren, worin:

das Verfahren ferner den Schritt umfasst, eine dritte Nachricht an den Empfänger (333) zu senden, wobei der Inhalt der dritten Nachricht eine Berechtigungsvermittlerbestimmung und eine Berechtigungsbestimmung einschliesst und der Inhalt der dritten Nachricht unter Benutzung des öffentlichen Schlüssels (312) für den Empfänger (333) verschlüsselt wurde, und wobei der Empfänger auf die dritte Nachricht antwortet, indem er den privaten Schlüssel (337) dazu verwendet, um den Inhalt der dritten Nachricht zu entschlüsseln, die Berechtigungsbestimmung zusammen mit der Berechtigungsbestimmung in der zweiten Nachricht (323) speichernd, eine gespeicherte Berechtigungsbestimmung, die mit dem in der zweiten Nachricht (323) bestimmten Berechtigungsvermittler assoziiert ist, abstimmt und den Schritt ausführt, unter Benutzung des Indikators und des ersten Schlüssels (309) den zweiten Schlüssel zu erhalten, nur wenn eine Übereinstimmung gefunden wurde.

32. Das in Anspruch 31 dargelegte Verfahren, worin:

es eine Mehrzahl von Berechtigungsvermittlern gibt; und

33. Das in Anspruch 31 dargelegte Verfahren, weiter den Schritt umfassend, zur dritten Nachricht Authentisierungsinformation hinzuzufügen, wobei der Empfänger (333) die Authentisierungsinformation dazu benutzt, um die Echtheit der dritten Nachricht zu überprüfen, und den ersten Schlüssel (309) in Beantwortung der dritten Nachricht nur speichert, wenn die Echtheit der dritten Nachricht bestätigt wurde.

34. Das in Anspruch 33 dargelegte Verfahren, worin:

der Schritt, Authentisierungsinformation hinzuzufügen, den Schritt einschliesst, eine verschlüsselte Synthese der Information in der dritten Nachricht zu erstellen, wobei die Synthese mit einem privaten Schlüssel (337) verschlüsselt wird, der dem öffentlichen Schlüssel für den Berechtigungsvermittler entspricht; und

der Empfänger (333) die Echtheit der dritten Nachricht überprüft, indem er eine neue Synthese der Information in der dritten Nachricht erstellt, den öffentlichen Schlüssel (312) für den Berechtigungsvermittler dazu benutzt; die Authentisierungsinformation zu entschlüsseln, und die neue Synthese mit der entschlüsselten Authentisierungsinformation vergleicht, wobei die dritte Nachricht authentisch ist, wenn die beiden gleich sind.

35. Das in Anspruch 34 dargelegte Verfahren, worin:

der private Schlüssel (337) für den Berechtigungsvermittler und der erste Schlüssel (309) in einem gesicherten Element gespeichert werden;

der öffentliche Schlüssel in einer beglaubigten Form gespeichert ist; und

die Schritte, den öffentlichen Schlüssel (312) für den Empfänger (333) zur Verschlüsselung der dritten Nachricht zu benutzen und die verschlüsselte Synthese unter Benutzung des privaten Schlüssels zu erstellen, in dem sicheren Element ausgeführt werden.

36. Empfänger (333) für den Empfang und die Entschlüsselung einer Diensteeinheit (329), die mit einem gegebenen Kurzzeitschlüssel (319) verschlüsselt wurde, wobei der Empfänger einen öffentlichen Schlüssel (312) und einen privaten Schlüssel (337) besitzt und der Empfänger (333) umfasst:

einen Speicher (1207), der den privaten Schlüssel (337) enthält, der dem öffentlichen Schlüssel des Empfängers entspricht,

wobei der Empfänger dadurch gekennzeichnet ist, dass er weiterhin umfasst:

einen ersten Nachrichteninterpretierer, der auf eine erste Nachricht (315) antwortet, die im Empfänger (333) empfangen wurde, wobei der Inhalt der ersten Nachricht, der einen ersten Langzeitschlüssel (309) einschliesst, unter Benutzung des öffentlichen Schlüssels (312) des Empfängers verschlüsselt wurde und der erste Nachrichteninterpretierer auf die erste Nachricht (315) dadurch antwortet, indem er den Inhalt entschlüsselt und den ersten Schlüssel (309) im Speicher (1207) speichert;

einen zweiten Nachrichteninterpretierer, der auf eine zweite Nachricht (323) antwortet, die zusammen mit der verschlüsselten Diensteeinheit (329) im Empfänger (333) empfangen wurde, wobei der Inhalt der zweiten Nachricht einen Indikator für einen zweiten Kurzzeitschlüssel (319) einschliesst und der zweite Nachrichteninterpretierer auf die zweite Nachricht (323) dadurch antwortet, indem er unter Benutzung des Indikators und des ersten Schlüssels (309) den zweiten Schlüssel erhält und den zweiten Schlüssel einem Betriebsentschlüsseler zur Verfügung stellt, und einen Betriebsentschlüsseler (347), der den zweiten Schlüssel (319) benutzt, um die Diensteeinheit (329) zu entschlüsseln, worin der zweite Schlüssel dem gegebenen Schlüssel gleichwertig ist.

37. Der in Anspruch 36 dargelegte Empfänger (333), weiter umfassend:

ein sicheres Element zur zumindest teilweisen Implementierung des Speichers (1207), des ersten Nachrichteninterpretierers und des zweiten Nachrichteninterpretierers und zur Speicherung des privaten Schlüssels (337) und des ersten Schlüssels (309) im Speicher.

38. Der in Anspruch 36 dargelegte Empfänger (333), worin:

die erste Nachricht (315) weiter erste Authentisierungsinformation einschliesst; und der erste Nachrichteninterpretierer weiter auf die erste Nachricht (315) dadurch antwortet, indem er die erste Authentisierungsinformation dazu benutzt festzustellen, ob die erste Nachricht authentisch ist, und die erste Nachricht nicht beachtet, wenn die erste Nachricht nicht authentisch ist.

39. Der in Anspruch 38 dargelegte Empfänger (333), worin:

ein öffentlicher Schlüssel (312) für einen Berechtigungsvermittler im Speicher (1207) gespeichert ist;

die erste Authentisierungsinformation eine Synthese der Information in der ersten Nachricht (315) ist, wobei die Synthese mit einem privaten Schlüssel (337) verschlüsselt ist, der dem öffentlichen Schlüssel für den Berechtigungsvermittler entspricht; und

der erste Nachrichteninterpretierer feststellt, ob die erste Nachricht (315) authentisch ist, indem er eine neue Synthese der Information in der ersten Nachricht erstellt, die Authentisierungsinformation entschlüsselt und die neue Synthese mit der entschlüsselten ersten Authentisierungsinformation vergleicht, wobei die erste Nachricht (315) authentisch ist, wenn die beiden gleich sind.

40. Der in Anspruch 36 dargelegte Empfänger, worin:

die zweite Nachricht (323) weiter zweite Authentisierungsinformation einschliesst; und

der zweite Nachrichteninterpretierer weiter auf die zweite Nachricht (323) dadurch antwortet, indem er unter Benutzung der zweiten Authentisierungsinformation feststellt, ob die zweite Nachricht authentisch ist, und die zweite Nachricht nicht beachtet, wenn die zweite Nachricht (323) nicht authentisch ist.

41. Der Empfänger des Anspruchs 40, worin:

die zweite Nachricht (323) mit einem Berechtigungsvermittler assoziiert ist; und der zweite Nachrichteninterpretierer eine Synthese der Information in der zweiten Nachricht (323) und ein zwischen dem Berechtigungsvermittler und dem Empfänger (333) geteiltes Geheimnis erstellt, worin der Empfänger (333) die Echtheit der zweiten Nachricht (323) überprüft, indem er eine neue Synthese der Information in der zweiten Nachricht (323) und des geteilten Geheimnisses erstellt und die neue Übersicht mit der Übersicht der zweiten Nachricht vergleicht, wobei die zweite Nachricht (323) authentisch ist, wenn die beiden gleich sind.

42. Verfahren des Anspruchs 1, worin der benannte Empfänger (333) in einem Set-Top-Endgerät eines Kabelfernsehsystems enthalten ist.

43. Verfahren des Anspruchs 42, worin die benannte Diensteeinheit (329) vom Kopfstationsgerät des Kabelfernsehsystems abwärts zu dem benannten Set-Tdp-Endgerät übertragen wird.

44. Verfahren des Anspruchs 1, worin:

der benannte Empfänger (333) im Kopfstationsgerät eines Kabelfernsehsystems enthalten ist;

die benannte erste und zweite Nachricht (315, 323) in einem Set-Top-Endgerät des Kabelfernsehsystems erzeugt werden;

die benannte Diensteeinheit (329) Daten umfasst, die von dem benannten Set-Top- Endgerät erzeugt werden; und

der benannteerste Schlüssel (309) einen Sitzungsschlüssel umfasst.

45. Verfahren des Anspruchs 44, worin die benannten Daten von dem benannten Set-Top-Endgerät durch das Kabelfernsehsystem aufwärts zu dem benannten Kopfstationsgerät übertragen werden.

46. Verfahren des Anspruchs 1, worin:

die benannte erste Nachricht (315) eine Berechtigungsverwaltungsnachricht einschliesslich Autorisierungsinformation umfasst;

die benannte zweite Nachricht (323) eine Berechtigungskontrollnachricht einschliesslich Dienstidentifikationsinformation umfasst, die die Diensteeinheit (329) identifiziert; und

die benannte Diensteeinheit (329) nur entschlüsselt wird, wenn die benannte Dienstidentifikationsinformation der benannten Autorisierungsinformation gleichwertig ist, wodurch Wiedergabeangriffe auf die benannte Diensteeinheit verhindert werden.