PT974229E - Sistema de difusão e recepção e sistema de acesso condicional para o mesmo - Google Patents

Description

DESCRIÇÃO

SISTEMA DE DIFUSÃO E RECEPÇÃO E SISTEMA DE ACESSO CONDICIONAL PARA O MESMO A presente invenção se refere a um sistema de difusão e recepção, em particular a sistema de televisão por satélite ínteractivo digital de mercado de vulto, e a um sistema de acesso condicional para ele.

Em particular, mas não exclusivamente, a invenção se refere a um sistema de difusão de mercado de vulto tendo algumas ou todas das seguintes características preferidas: - é um sistema de difusão de informações, de preferência, um sistema de difusão por rádio e/ou televisão; - é um sistema via satélite (embora possa ser aplicável a transmissão a cabo ou terrestre); - é um sistema digital, usando, de preferência, o MPEG, particularmente, o MPEG-2, um sistema de compressão para transmissão de dados/sinais; - propicia a possibilidade de interactividade.

Mais particularmente, a presente invenção se refere a uma televisão (ou rádio) paga, na qual um usuário/telespectador selecciona um programa/f ilme/j ogo a ser visto, pelo qual se faz um pagamento, este sendo referido como Pay Per View (PPV), ou no caso de dados a serem baixados um denominado Pay Per File (PPF).

Com esses sistemas PPV ou PPF conhecidos, é necessário despender um período de tempo significativo por parte do usuário/telespectador, para conduzir as acções necessárias para ter, realmente, acesso ao produto seleccionado.

Por exemplo, em um sistema conhecido, a sequência de etapas que têm que ser conduzidas é a seguinte: i) o usuário telefona para um denominado Sistema de Gerenciamento de Assinantes (SMS), que nesse sistema conhecido inclui vários operadores humanos, que respondem a chamada do 2 assinante e aos quais o assinante comunica as informações necessárias relativas ao produto seleccionado e relativas ao estado financeiro do assinante a um denominado Sistema de Autorização de Assinantes (SAS), que tem incluído nele ou associado com ele uma pluralidade de servidores de comunicações; ii) o operador no SMS tem então que conferir o estado financeiro do usuário, antes de autorizar a conexão dos servidores de comunicações para o aparelho de televisão do usuário, de modo que o produto pode ser transmitido e visualizado pelo usuário.

Em outro sistema conhecido, o operador humano é substituído por um servidor de voz automático, de modo que quando o usuário telefona para o SMS, ouve uma gravação activada por voz, para a qual o usuário comunica as mesmas informações que em i) acima.

Este segundo arranjo reduz o retardo inerente ao primeiro arranjo descrito, que pode ser mais facilmente sobrecarregado, quando um grande número de usuários deseja pedir um produto ao mesmo tempo.

No entanto, mesmo com este segundo arranjo, o usuário é envolvido em introduzir informações significativas na forma de números seriais extensos, cuja operação proporciona muito campo para erro, bem como é intensa em tempo. 0 terceiro arranjo conhecido envolve o usuário fazendo uso de sistemas à base de tela, tais como MINITEL na França e PRESTEL no Reino Unido, cujos sistemas substituem o servidor activado por voz referido acima, em conjunto com o segundo arranjo. Os próprios sistemas MINITEL e PRESTEL incorporam um modem na extremidade do consumidor.

Em todos esses arranjos, o usuário é envolvido no gasto de tempo e empenho significativos em introduzir todas as informações necessárias para permitir que o sistema autorize, 3 efectivamente, a transmissão do produto seleccionado para o aparelho de televisão do usuário.

No caso de um sistema de televisão por satélite, há ainda um retardo envolvido com o usuário recebendo o produto seleccionado.

Nos sistemas PPV e PPF, o elemento básico no controle do acesso do usuário aos produtos são as denominadas Mensagens de Gerenciamento de Habilitação (EMMs), que têm que ser injectadas no sistema para proporcionar ao usuário acesso ao produto. Mais particularmente, as EMMs são o mecanismo por meio do qual os dados criptografados representativos de um produto são decifrados para um usuário individual particular.

Nos sistemas de televisão por satélite conhecidos, as EMMs são transmitidas para as televisões dos usuários, via a ligação por satélite, em intervalos regulares na corrente de dados MPEG-2. Desse modo, no caso de uma EMM de usuário particular, pode haver um retardo significativo de talvez vários minutos, antes que a transmissão da EMM seguinte para o usuário chegue naquele aparelho de televisão do usuário.

Este retardo na transmissão é além do retardo referido acima, que é inerente ao usuário ter que introduzir manualmente determinados dados no sistema. O efeito cumulativo desses dois retardos é que pode levar, talvez, tipicamente, cinco minutos para que um usuário seja capaz de ter acesso ao produto seleccionado. 0 documento "FUNCTIONAL MODEL OF A CONDITIONAL ACCESS SYSTEM, EBU TECHNICAL REVIEW, n° 266, 21 December 1995, pages 64-77" descreve um sistema de acesso condicional, no qual um descodificador é conectado a um sistema gestor de assinantes e, um sistema de autorização de assinantes é adaptado para gerar mensagens de habilitação e envia-las de retorno. 4

Assim, quando os parâmetros do assinante são alterados, o assinante contacta o SMS, e este controla o SAS para gerar a enviar uma mensagem de habilitação ao assinante.

Desta forma, existe um atraso envolvido no recebimento por parte do usuário do produto seleccionado. A presente invenção é relativa à superação deste problema. A presente invenção proporciona um sistema de acesso condicional para propiciar acesso condicional a assinantes de acordo com as reivindicações. 0 sistema acima pode oferecer a vantagem de proporcionar ao usuário a autorização de visualização necessária (via a EMM) mais rapidamente do que tem sido possível até o momento, parcialmente porque, uma vez que o SAS usa, tipicamente, uma quantidade menor de códigos de computador do que o SMS, o SAS pode operar mais eficientemente (e em tempo real) , parcialmente porque o próprio SAS pode gerar, directamente, a EMM necessária, e parcialmente porque a EMM pode ser passada para o usuário ou assinante, via uma ligação dedicada (tipicamente, via modem).

As características preferidas da presente invenção vão ser descritas a seguir, puramente por meio de exemplo, com referência aos desenhos anexados, em que: a Figura 1 mostra a arquitectura global de um sistema de televisão digital de acordo com a modalidade preferida da presente invenção; a Figura 2 mostra a arquitectura de um sistema de acesso condicional do sistema de televisão digital; a Figura 3 mostra a estrutura de uma Mensagem de Gerenciamento de Habilitação usada no sistema de acesso condicional; 5 a Figura 4 é um diagrama esquemático do hardware de um

Sistema de Autorização de Assinantes (SAS), de acordo com uma modalidade preferida da presente invenção; a Figura 5 é um diagrama esquemático da arquitectura do SAS; a Figura 6 é um diagrama esquemático de um servidor de

Gerenciamento Técnico dos Assinantes formando parte do SAS; a Figura 7 é um diagrama de fluxo do procedimento para renovação automática de assinaturas, como implementado pelo SAS; a Figura 8 é um diagrama esquemático de um mapa de bit usado no procedimento de renovação automática; a Figura 9 mostra a estrutura de uma EMM usada no procedimento de renovação automática; a Figura 10 mostra em detalhes a estrutura da EMM; a Figura 11 é um diagrama esquemático de um servidor centralizado de pedidos, quando usado para receber comandos directamente por meio dos servidores de comunicações; a Figura 12 ilustra, esquematicamente, uma parte da Figura 2 mostrando uma modalidade da presente invenção; a Figura 13 é um diagrama esquemático do servidor centralizado de pedidos, quando usado para receber comandos do sistema de autorização de assinantes para requisitar uma rechamada; a Figura 14 é um diagrama esquemático dos servidores de comunicação ; a Figura 15 mostra a maneira na qual a taxa do ciclo de emissão de EMMs é variada de acordo com a sincronização de um evento PPV; a Figura 16 é um diagrama esquemático de um Emissor de Mensagens, usado para emitir EMMs; a Figura 17 é um diagrama esquemático mostrando a maneira de armazenamento das EMMs dentro do Emissor de Mensagens; 6 a Figura 18 é um diagrama esquemático de um cartão inteligente; a Figura 19 é um diagrama de uma disposição de zonas na memória do cartão inteligente e a Figura 20 é um diagrama esquemático de uma descrição de caso PPV.

Uma visão geral de um sistema de difusão e recepção de televisão digital 1000, de acordo com a presente invenção, é mostrada na Figura 1. A invenção inclui um sistema de televisão digital 2000 em grande parte convencional, que usa o sistema de compressão conhecidos MPEG-2, para transmitir sinais digitais comprimidos. Em mais detalhes, o compressor MPEG-2 2002 em um centro de difusão recebe uma corrente de sinais digitais (tipicamente, uma corrente de sinais de vídeo). 0 compressor 2002 é ligado a um multiplexador e amontoador 2004 por uma ligação 2006. O multiplexador 2004 recebe uma pluralidade de outros sinais de entrada, monta uma ou mais correntes de transporte e transmite os sinais digitais comprimidos a um transmissor 2008 do centro de difusão, via a ligação 2010, que pode, naturalmente, tomar uma variedade de formas, incluindo ligações de telecomunicações. O transmissor 2008 transmite sinais electromagnéticos, via a ligação superior 2012, para um transponder de satélite 2014, no qual são processados e difundidos electronicamente, via ligação inferior nocional 2016, para o receptor em terra 2018, convencionalmente, na forma de uma antena parabólica de propriedade do, ou alugada pelo, usuário final. Os sinais recebidos pelo receptor 2018 são transmitidos para um conjunto receptor/descodificador integrados 2020, de propriedade do, ou alugado pelo, usuário final e conectado ao aparelho de televisão dc usuário final 2022. O conjunto receptor/descodificadcr 2020 descodifica o sinal MPEG-2 comprimido em um sinal de televisão para o aparelho de televisão 2022. 7

Um sistema de acesso condicional 3000 é conectado ao multiplexador 2004 e ao conjunto receptor/descodificador 2020 e é localizado parcialmente no centro de difusão e parcialmente no descodificador. Possibilita que o usuário final tenha acesso às difusões de televisão digital de um ou mais fornecedores de difusão. Um cartão inteligente, capaz de decifrar mensagens relativas às ofertas comerciais (isto é, um ou mais programas de televisão vendidos pelo fornecedor de difusão), pode ser inserido no conjunto receptor/descodificador 2020. Usando o descodificador 2020 e o cartão inteligente, o usuário final pode adquirir eventos em um modo de assinatura ou um modo pay-per-view.

Um sistema interactivo 4000, também ligado ao multiplexador 2004 e ao conjunto receptor/descodificador 2020, e de novo localizado parcialmente no centro de difusão e parcialmente no descodificador, possibilita que o usuário final interaja com várias aplicações, via um canal de retorno por modem 4 002. 0 sistema de acesso condicional 3000 vai ser descrito a seguir em mais detalhes.

Com referência à Figura 2, na visão geral do sistema de acesso condicional 3000, inclui-se um Sistema de Autorização para Assinantes (SAS) 3002. O SAS 3002 é ligado a um ou mais Sistemas de Gerenciaraento de Assinantes (SMS) 3004, um SMS para fornecedor de difusão, por uma ligação TCP-IP respectiva 3006 (embora outros tipos de ligação possam ser alternativamente usados). Alternativamente, um SMS poderia ser partilhado entre dois fornecedores de difusão, ou um fornecedor poderia usar dois SMSs e assim por diante.

As unidades de criptografação primárias, na forma de unidades de codificação 3008 utilizando cartões inteligentes "matrizes" 3010, são conectadas ao SAS pela ligação 3012. As unidades de criptografação secundárias, de novo na forma de unidades de codificação 3014 utilizando cartões inteligentes 8 matrizes 3016, são conectadas ao multiplexador 2004 pela ligação 3018. O conjunto receptor/descodificador 2020 recebe um cartão inteligente "produto" 3020. É ligado directamente no SAS 3002 pelos Servidores de Comunicações 3022, vai o canal de retorno por modem 4002. O SAS envia, entre outras coisas, os direitos de assinatura para o cartão produto, por pedido.

Os cartões inteligentes contêm os segredos de um ou mais operadores comerciais. O cartão inteligente "matriz" criptografa diferentes tipos de mensagens e os cartões inteligentes "produtos" descodificam as mensagens, se têm direitos para assim o fazer.

As unidades de codificação primárias e secundárias 3008 e 3014 compreendem um gabinete, um cartão VME electrónico com software armazenado em uma EEPROM, até 20 cartões electrónicos e um cartão inteligente 3010 e 3016, respectivamente, para cada cartão electrónico, um (cartão 3016) para codificar as ECMs e um (cartão 3010) para codificar as EMMs. A operação do sistema de acesso condicional 3000 do sistema de televisão digital vai ser descrita a seguir em mais detalhes, com referência aos vários componentes do sistema de televisão 2000 e do sistema de acesso condicional 3000. Multiplexador e Amontoador

Com referência às Figuras 1 e 2, no centro de difusão, o sinal de vídeo digital é primeiramente comprimido (ou de taxa de bit reduzida), usando o compressor MPEG-2 2002. Este sinal comprimido é depois transmitido para o multiplexador e amontoador 2004, via a ligação 2006, para ser multiplexado com outros dados, tais como outros dados comprimidos. 0 amontoador gera uma palavra de controle usada no processo de amontoamento e incluída na corrente MPEG-2 no multiplexador 2004. A palavra de controle é gerada internamente e possibilita que o conjunto receptor/descodificador integrados do usuário final 2002 desamontoe o programa. 9

Os critérios de acesso, indicando como o programa é comercializado, também são incorporados à corrente MPEG-2. 0 programa pode ser comercializado em qualquer um dos vários modos de "assinatura" e/ou um de vários modos ou eventos "Pay Per View" (PPV). No modo de assinatura, o usuário final assina uma ou mais ofertas comerciais, ou "buquês", obtendo assim os direitos de assistir cada um dos canais inseridos naqueles buquês. Na modalidade preferida, até 960 ofertas comerciais podem ser seleccionadas de um buquê de canais. No modo Pay Per View, o usuário final é dotado com a capacidade de adquirir eventos que ele quer. Isso pode ser atingido por pré-reserva do evento antecipadamente ("modo pré-reserva"), ou por compra do evento tão logo ele é difundido ("modo de impulso") . Na modalidade preferida, todos os usuários são assinantes, se ou não assistem no modo de assinatura ou PPV, mas, naturalmente, os espectadores PPV não precisam ser, necessariamente, assinantes.

Ambos a palavra de controle e os critérios de acesso são usados para constituir uma Mensagem de Controle de Habilitação (ECM); isto é, uma mensagem enviada em relação ao programa amontoado; a mensagem contém uma palavra de controle (que permite o desamontoamento do programa) e os critérios de acesso do programa difundido. Os critérios de acesso e a palavra de controle são transmitidos para a unidade de criptografação secundária 3014, via a ligação 3018. Neste unidade, é gerada uma ECM, criptografada e transmitida para o multiplexador e o amontoador 2004.

Cada difusão de serviço por um fornecedor de difusão em uma corrente de dados compreende vários componentes distintos; por exemplo, um programa de televisão inclui um componente de vídeo, ura componente de áudio, um componente de subtítulo e assim por diante. Cada um desses componentes de um serviço é individualmente amontoado e criptografado para difusão 10 subsequente para o transponder 2014. Quanto a cada componente amontoado do serviço, é requerida uma ECM separada.

Transmissão de Programas O multiplexador 2004 recebe sinais eléctricos, 5 compreendendo EMMs criptografadas do SAS 3002, EMMs criptografadas da unidade de criptografação secundária 3014 e programas comprimidos do compressor 2002. O multiplexador 2004 amontoa os programas e transmite os programas amontoados, as EMMs criptografadas e as ECMs criptografadas, como sinais 10 eléctricos, para um transmissor 2008 do centro de difusão, via a ligação 2010. O transmissor 2008 transmite sinais electromagnéticos na direcção do transponder do satélite 2014, via a ligação superior 2012.

Recepção de Programas 15 0 transponder do satélite 2014 recebe e processa os sinais electromagnéticos transmitidos pelo transmissor 2008 e transmite os sinais para o receptor em terra 2018, convencionalmente, na forma de uma antena parabólica de propriedade do, ou alugada pelo, usuário final, via a ligação 20 inferior 2016. Os sinais recebidos pelo receptor 2018 são transmitidos ao conjunto receptor/descodificador integrados 2020 de propriedade do, ou alugados pelo, usuário final, e conectados ao aparelho de televisão do usuário final 2022. O conjunto receptor/descodificador 2020 desmultiplexa os sinais, 25 para obter programas amontoados com EMMs criptografadas e ECMs criptografadas.

Se o programa não é amontoado, isto é, nenhuma ECM foi transmitida com a corrente MPEG-2, o conjunto receptor/descodificador 2020 descomprime os dados e transforma 30 os sinais em um sinal de vídeo para transmissão para o aparelho de televisão 2022.

Se o programa é amontoados, o conjunto receptor/descodificador 2020 extraem a ECM correspondente da corrente MPEG-2 e passa a ECM para o cartão inteligente 11 "produto" 3020 do usuário final. Isso intercala em um alojamento no conjunto receptor/descodificador 2020. O cartão inteligente produto 3020 controla se o usuário final tem o direito de criptografar a ECM e ter acesso ao programa. Se não, um estado negativo é passado para o conjunto receptor/descodificador 2020, para indicar que o programa não pode ser desamontoado. Se o usuário final não tem os direitos, a ECM é criptografada e a palavra de controle extraída. O descodificador 2020 pode depois desamontoar o programa usando esta palavra de controle. A corrente MPEG-2 é descomprimida e traduzida em um sinal de vídeo para transmissão avançada para o aparelho de televisão 2022.

Sistema de Gerenciamento de Assinantes (SMS)

Um Sistema de Gerenciamento de Assinantes (SMS) 3004 inclui uma base de dados 3024, que gerencia, entre outros, todos os arquivos do usuário final, ofertas comerciais (tais como tarifas e promoções), assinaturas, detalhes PPV e dados relativos ao consumo e autorização do usuário final. O SMS pode ostar fisicamente distante do SAS.

Cada SMS 3004 transmite mensagens para o SAS 3002, via a respectiva ligação 3006, que implicam em modificações ou criações de Mensagens de Gerenciamento de Habilitação (EMMs) a serem transmitidas para os usuários finais. 0 SMS 3004 também transmite as mensagens para o SAS 3002, que não implicam em quaisquer modificações ou criações de EMMs, mas implicam apenas em uma mudança em um estado do usuário final (relativo à autorização concedida ao usuário final, quando da encomenda de produtos, ou à quantia que o usuário final vai ser cobrado).

Como descrito abaixo, o SAS 3002 envia mensagens (tipicamente, requisitando informações, tais como informações de rechamada ou informações de cobrança) para o SMS 3004, de modo que vai ser evidente que a comunicação entre os dois é em duas direcções. 12

Mensagens de Gerenciamento de Habilitação (EMMs) A EMM é uma mensagem dedicada a um usuário final individual (assinante), ou a um grupo de usuários finais, apenas (em comparação com uma ECM, que é dedicada a apenas um programa amontoado, ou a um conjunto de programas amontoados, se parte da mesma oferta comercial). Cada grupo pode conter um dado número de usuários finais. Esta organização como um grupo objectiva uma optimização da largura da banda; isto é, acesso a um grupo que possa permitir o atingimento de um grande número de usuários finais.

Os vários tipos específicos de EMMs são usados para colocar a presente invenção em prática. As EMMs individuais são dedicadas a assinantes individuais e são, tipicamente, usadas na provisão de serviços Pay Per View; essas contêm o identificador do grupo e a posição do assinante naquele grupo. As denominadas EMMs de assinatura por "Grupo" são dedicadas aos grupos de, diga-se, 256 usuários individuais, e são tipicamente usadas na administração de alguns serviços de assinatura. Esta EMM tem um identificador de grupo e um mapa de bit do grupo dos assinantes. As EMMs de audiência são dedicadas a audiências totais e podem ser, por exemplo, usadas por um operador particular para proporcionar determinados serviços livres. Uma "audiência" é a totalidade de assinantes tendo cartões inteligentes que contêm o mesmo Identificador de Operador (OPI). Finalmente, uma EMM única é endereçada para um único identificador do cartão inteligente. A estrutura de uma EMM típica é descrita a seguir com referência à Figura 3. Basicamente, a EMM, que é implementada como uma série de bits dados digitais, compreende um registro de início 3060, a EMM apropriada 3062 e uma assinatura 3064. O registro de início 3060 compreende, por sua vez, um identificador de tipo 3066, para identificar se o tipo é individual, grupo ou algum outro tipo, um identificador de comprimento 3068 que fornece o comprimento da EMM, um endereço 13 opcional 3070 para a EMM, um identificador de operador 3072 e um identificador de chave 3074. A EMM apropriada 3062 varia, naturalmente, bastante de acordo com o seu tipo. Finalmente, a assinatura 3064, que é tipicamente de 8 bytes de comprimento, proporciona vários testes contra corrupção dos dados remanescentes na EMM.

Sistema de Autorização de Assinantes (SAS)

As mensagens geradas pelo SMS 3004 são passadas, via a ligação 3006, para o Sistema de Autorização de Assinantes (SAS) 3002, que, por sua vez, gera mensagens acusando o recebimento das mensagens geradas pelo SMS 3004 e passa essas confirmações para o SMS 3004 .

Como mostrado na Figura 4, o nível de hardware do SAS compreende, de uma maneira conhecida, um computador da estrutura principal 3050 (na modalidade preferida, uma máquina DEC) conectada a um ou mais teclados 3052, para entrada de dados e comandos, uma ou mais Unidades de Apresentação Visual (VDUs) 3054, para exibir informações de saida, e um meio para armazenamento de dados 3056. Pode-se proporcionar um pouco de redundância em hardware.

No nível do software, o SAS roda, na modalidade preferida, em um sistema operacional VMS aberto padrão, um conjunto de softwares, cujas arquítecturas são descritas a seguir na visão geral, com referência à Figura 5; deve-se entender que o software poderia ser, alternativamente, implementado no hardware.

Na visão geral, o SAS compreende uma área de Cadeia de Subscrição 3100 para conceder direitos para o modo de subscrição e renovar, automaticamente, a cada mês, uma área de Cadeia Pay Per View 3220, para conceder direitos para os eventos PPV e um Injector de EMM 3300 para passar as EMMs criadas pelas áreas de cadeias de Assinatura e PPV para o multiplexador e amontoador 2004 e, por conseguinte, para alimentar a corrente MPEG com as EMMs. Se outros direitos vão 14 ser concedidos, tais como os direitos de Pay Per File (PPF), no caso de baixa de software de computador para um Computador Pessoal do usuário, também são proporcionadas outras áreas similares.

Uma função do SAS 3002 é gerenciar os direitos de acesso aos programas de televisão, disponíveis como ofertas comerciais no modo de assinatura, ou vendidos como eventos PPV de acordo com diferentes modos de comercialização (modo de pré-reserva, modo de impulso). 0 SAS 3002, de acordo com esses direitos e as informações recebidas do SMS 3004, gera EMMs para o assinante. A área de Cadeia de Assinatura 3100 compreende uma Interface de Comando (Cl) 3102, um servidor de Gerenciamento Técnico ao Assinante (STM), um Gerador de Mensagens (MG) 3106 e a Unidade de Codificação 3008. A área de Cadeia PPV 3200 compreende um Servidor de Autorização (AS) 3202, uma base de dados relacional 3204 para armazenar dados relevantes dos usuários finais, uma base de dados de lista negra local 3205, Servidores de Bases de Dados 3206 para a base de dados, um Servidor Centralizado de Pedidos (OCS) 3207, um Servidor para Difusor de Programas (SPB) 3208, um Gerador de Mensagens (MG) 3210, cuja função é, basicamente, a mesma que aquela para a área da Cadeia de Assinatura e não é, por conseguinte, descrito posteriormente em quaisquer detalhes, e a Unidade de Codificação 3008. O Injector de EMMs 3300 compreende uma pluralidade de Emissores de Mensagens (mês) 3302, 3304, 3306 e 3308 e Multiplexadores de Software (SMUXs) 3310 e 3312. Na modalidade preferida, há dois mês, 3302 e 3304, para o Gerador de Mensagens 3106, com os outros dois mês 3306 e 3308 para o Gerador de Mensagens 3210. Os mês 3302 e 3306 são conectados ao SMUX 3310, enquanto que os mês 3304 e 3308 são conectados ao SMUX 3312. 15

Cada um dos três componentes principais do SAS (a área de Cadeia de Assinatura, a área de cadeia de PPV e o Injetor EMM) é a seguir considerado em mais detalhes. Área da Cadeia de Assinatura 5 Considerando primeiro a área de Cadeia de Assinatura 3100, a Interface de Comando 3102 é, basicamente, para enviar mensagens do SMS 3004 para o servidor STM 3104, bem como para o OCS 3206, e do OCS para o SMS. A Interface de Comando retira entrada do SMS ou direcciona os comandos ou os arquivos em 10 batelada contendo os comandos. Realiza uma análise sintáctica nas mensagens originárias do servidor STM e é capaz de emitir mensagens exactas quando ocorre um erro em uma mensagem (parâmetro fora da amplitude, parâmetro faltando e assim por diante). Rastreia os comandos de chegada na forma textual em 15 um arquivo de rastreamento 3110 e também na forma binária em um arquivo de reprodução 3112, para que seja possível reproduzir uma série de comandos. Os rastreamentos podem ser desabilitados e o tamanho dos arquivos limitado.

Proporciona-se a seguir uma discussão detalhada do 20 servidor STM 3104, com particular referência à Figura 6. 0 servidor STM é, efectivamente, o instrumento principal da área de Cadeia de Assinatura e tem a finalidade de gerenciar direitos livres, a criação de novos assinantes e a renovação de assinantes existentes. Como mostrado na figura, os comandos 25 são passados para o Gerador de Mensagens 3106, se bem que em um formato diferente daquele no qual os comandos são passados para o servidor STM. Para cada comando, o servidor STM é disposto para enviar uma mensagem de confirmação para a Cl, apenas quando o comando relevante foi processado com sucesso e 30 enviado para o MG. 0 servidor STM inclui uma base de dados do assinante 3120, na qual todos os parâmetros relevantes dos assinantes são armazenados (número do cartão inteligente, ofertas comerciais, estado, grupo e posição no grupo e assim por diante). A base 16 de dados realiza buscas semânticas dos comandos enviados pela Cl 3102 contra o conteúdo da base de dados e actualiza a base de dados, quando os comandos são válidos. 0 servidor STM gerencia ainda um buffer Primeiro que Entra, Primeiro que Sai (FIFO) 3122 entre o servidor STM e o MG, bem como um FIFO em disco de recuperação 3124. A finalidade dos FIFOs é ratear o fluxo dos comandos da Cl, se o MG não é capaz de responder por algum tempo por qualquer razão. Podem também garantir que no caso de uma quebra do servidor STM ou do MG, nenhum comando vai ser perdido, uma vez que o servidor STM é disposto para esvaziar (isto é , enviar para o MG) os seus FIFOs, quando restabelecido. Os FIFOs são implementados como arquivos. O servidor STM inclui no seu núcleo um servidor de renovação automática 3126, que gera, automaticamente, renovações e, se requerido pelos operadores, direitos livres. Com relação a isto, a geração de renovações pode ser considerada como incluindo a geração de direitos pela primeira vez, embora deva ser entendido que a geração de novos direitos é iniciada no SMS. Como vai ficar evidente, os dois podem ser tratados aproximadamente pelos mesmos comandos e EMMs.

Ter o STM separado do SAS e o servidor de renovação automática dentro do SAS, em vez (nos sistemas conhecidos) no SMS 3004, é uma caracteristica particularmente importante, uma vez que é possível reduzir, significativamente, o número de comandos que são necessários para serem passados do SMS para o SAS (tendo-se em mente que o SMS e o SAS podem estar em diferentes locais e operados por diferentes operadores). De fato, os dois comandos principais requeridos do SMS são meramente comandos que uma nova assinatura deve ser iniciada e que uma assinatura existente deve ser interrompida (por exemplo, no caso de não pagamento) . Minimizando-se a troca de comando entre o SMS e o SAS, a possibilidade de falha de transferência de comando na ligação 3006 entre os dois é 17 reduzida; também, o projecto do SMS não necessita, geralmente, considerar as caracteristicas do sistema de acesso condicional 3000. A renovação automática continua do modo indicado no diagrama de fluxo da Figura 7. Para reduzir a largura da banda e supondo que um percentual muito alto de todas as renovações são padrão, a renovação continua em grupos de assinantes; nas modalidades preferidas, há 256 assinantes individuais por grupo. O diagrama de fluxo começa com a etapa de partida 3130 e continua para a etapa 3132, na qual se faz uma activação mensal da função de renovação (embora, naturalmente, vá-se considerar que outras frequências também são possíveis). Como uma frequência mensal, os direitos são cedidos para o usuário final para o mês corrente e todo o mês seguinte, em cujo ponto expiram, se não renovados.

Na etapa 3134, a base de dados de assinantes 3120 é acessada em relação a cada grupo e < cada integrante dentro daquele grupo, para determinar se os direitos para o integrante particular vão ser renovados. Na etapa 313 6, um mapa de bit de assinatura por grupo é preparado de acordo com o conteúdo da base de dados de assinantes, como mostrado na Figura 8 . 0 mapa de bit compreende um identificador de grupo (neste caso, Grupo 1 -"Gl") 3138 e 256 zonas de assinantes individuais 3140. Os bits individuais no mapa de bit são posicionados em 1 ou zero, de acordo com se ou não o assinante particular vai ter os seus direitos renovados. Um conjunto típico de dados binários é mostrado na figura.

Na etapa 3142, os comandos apropriados, incluindo o mapa de bit de assinatura por grupo, são passados para o Gerador de Mensagens 3106. Na etapa 3143, o Gerador de Mensagens posiciona um dado de obsolescência, para indicar ao cartão inteligente a data além da qual a EMM de assinatura particular 18 não é válida; tipicamente, esta data é posicionada como o fim do mês seguinte.

Na etapa 3144, o Gerador de Mensagens gera dos comandos apropriados EMMs de assinatura por grupo apropriado e solicita a Unidade de Codificação 3008 para codificar as EMMs, as EMMs codificadas sendo depois passadas para o Injector de EMMs 3300, que, na etapa 3146, injecta as EMMs na corrente de dados MPEG-2. A etapa 3148 indica que o procedimento descrito acima é repetido para cada um de todos os grupos. O processo é finalmente finalizado na etapa de parada 3150. 0 diagrama de fluxo descrito acima, com referência à Figura 7, refere-se, de fato, especificamente, à renovação de assinaturas. 0 STM também gerencia, de uma maneira similar, os direitos de audiência livre e novos assinantes.

No caso de direitos de audiência livre, disponíveis para programas de televisão específicos ou grupos desses programas, estes são tornados disponíveis pelo STM, emitindo um comando para o Gerador de Mensagens, para gerar EMMs de audiência apropriados (para uma audiência completa), com, por conseguinte, uma data de obsolescência por um dado número de dias (ou semanas) . O MG computa a data de obsolescência no comando STM.

No caso de novos assinantes, esses são tratados em dois estágios. Primeiramente, na compra do cartão inteligente no conjunto receptor/descodificador 2020 (se desejado, pelo operador), são proporcionados ao assinante os direitos livres por um dado período (tipicamente, uns poucos dias) . Isto é obtido por geração de um mapa de bit para o assinante, que inclui a data de obsolescência relevante. O assinante então passa os seus dados completos para o operador que gerencia o assinante (no SMS) . Uma vez que as credenciais tenham sido processadas, o SMS fornece ao SAS um comando de partida para aquele assinante particular. Na recepção pelo SAS do comando 19 de partida, o STM comanda o MG para atribuir um único endereço para o novo assinante (com um número de grupo e posição dentro do grupo particulares) e gerar uma EMM de assinatura especial denominada "oferta comercial" (ao contrário para a EMM de 5 assinatura por "grupo" mais usual usada para as renovações), para proporcionar o assinante particular com direitos até o final do mês seguinte. A partir deste ponto, a renovação do assinante pode ocorrer automaticamente, como descrito acima. Por meio deste processo em dois estágios, é possível outorgar 10 direitos a novos assinantes, até que o SMS emita um comando de parada.

Deve-se notar que a EMM de assinatura de oferta comercial é usada para novos assinantes e para reactivação dos assinantes existentes. A EMM de assinatura por grupo é usada 15 para as finalidades de renovação e suspensão.

Com referência à Figura 9, uma EMM de assinatura típica própria (isto é, ignorando o registro de início e a assinatura), gerada pelo procedimento acima, compreende as seguintes partes principais, basicamente, tipicamente, um mapa 20 de bit de assinatura (ou de grupo de assinantes) de 256 bits 3152, 128 bits de chaves de codificação de gerenciamento 3154 para a codificação da EMM, 64 bits de cada chave de codificação de exploração 3156, para possibilitar que o cartão inteligente 3020 decifre uma palavra de controle, para 25 proporcionar acesso para os programas de difusão, e 16 bits da data de obsolescência 3158, para indicar a data além da qual o cartão inteligente vai ignorar a EMM. De fato, na modalidade preferida, são proporcionadas três chaves de exploração, um conjunto para o mês actual, um conjunto para o mês seguinte e 30 um para retomar os propósitos no caso de falha no sistema.

Em mais detalhes, a EMM de assinatura por grupo própria tem todos os componentes acima, excepto as chaves de codificação de gerenciamento 3154. A EMM de assinatura por oferta comercial própria (que é para um assinante individual) 20 inclui, em vez do mapa de bit de assinantes por grupo integral 3152, o grupo ID seguido pela posição no grupo, e depois as chaves de codificação de gerenciamento 3154 e três chaves de exploração 3156, seguida pela data de obsolescência 3158 relevante. 0 Gerador de Mensagens 3106 serve para transformar os comandos emitidos pelo servidor STM 3104 para as EMMs, para passagem para o Emissor de Mensagens 3302. Com referência à Figura 5, primeiramente, o MG produz as EMMs próprias e as passa para a Unidade de Codificação 3008, para codificação com relação às chaves de gerenciamento e exploração. A CU completa a assinatura 3064 na EMM (consultar a Figura 3) e passa a EMM de volta para o MG, no qual o registro de início 3060 é adicionado. As EMMs que são passadas para o Emissor de Mensagens são, desse modo, EMMs completas. O Gerador de Mensagens também determina o tempo de início e de parada de difusão e a taxa de emissão das EMMs e passa essas como indicações apropriadas, juntamente com as EMMs, para o Emissor de Mensagens. O MG apenas gera uma dada EMM uma vez; é o ME que realiza a sua transmissão cíclica.

De novo com referência à Figura 5, o Gerador de Mensagens inclui a sua própria base de dados de EMMs 3160 que, pelo tempo de vida útil da EMM relevante, armazena-a. É apagada, uma vez que a sua duração de emissão tenha expirado. A base de dados é usada para garantir consistência entre o MG e o ME, de modo que, por exemplo, quando um usuário final é suspenso, o ME não vai continuar a enviar renovações. Nesse sentido, o MG computa as operações relevantes e as envia para o ME.

Na geração de uma EMM, o MG atribuí um identificador único para a EMM. Quando o MG passa o EMM para o ME, também passa a EMM ID. Isso possibilita identificação de uma EMM particular em ambos o MG e o ME.

Também relativa à área da Cadeia de Assinatura, o Gerador de Mensagens inclui dois FIFOs 3162 e 3164, um para cada um 21 dos Emissores de Mensagens relevantes 3302 e 3304 no Injector de EMMs 3300, para armazenamento das EMMs codificadas. Uma vez que a área da Cadeia de Assinatura e o Injector de EMMs podem estar a uma distância significativa entre si, o uso de FIFOs pode permitir continuidade total na transmissão de EMMs, mesmo se as ligações 3166 e 3168 entre os dois falha. São proporcionados FIFOs similares na área de Cadeia Pay Per View.

Uma caracteristica particular do Gerador de Mensagens, em particular, e do sistema de acesso condicional, em geral, refere-se ao modo que ele reduz o comprimento da EMM própria 3062 por mistura dos parâmetros de comprimento e do identificador, para economizar espaço. Isso é então descrito com referência à Figura 10, que ilustra uma EMM exemplificativa (de fato, uma PPV EMM, que é a EMM mais simples) . A redução no comprimento ocorre no Pid (identificador de Pacote ou de "Parâmetro") 3170. Este compreende duas partes, o ID real 3172 e o parâmetro de comprimento para o pacote 3174 (necessário para que o inicio do pacote seguinte possa ser identificado) . O Pid como um todo é expresso apenas por um byte de informações, 4 bits sendo reservados para a ID e quatro para o comprimento. Em virtude de 4 bits não serem suficientes para definir o comprimento em um modo binário verdadeiro, uma correspondência diferente entre os bits e o comprimento real é usada, esta correspondência sendo representada em uma tabela de conferência, armazenada em uma área de armazenamento 3178 no Gerador de Mensagens (consultar a Figura 5). A correspondência é, tipicamente, a seguinte: 0000 = 0 0001 = 1 0010 = 2 0011 = 3 0100 = 4 0101 = 5 22 0110 = 6 0111 = 7 1000 = 8 1001 = 9 1010 = 10 1011 - 11 1100 = 12 1101 = 16 1110 = 24 1111 = 32

Vai-se notar que o parâmetro de comprimento não é directamente proporcional ao comprimento real do pacote; a relação é, em parte, mais quadrática do que linear. Isso permite uma maior amplitude do comprimento do pacote. Área de Cadeia Pay Per View

Concernente à área de Cadeia Pay Per View 3200, com referência à Figura 5, em mais detalhes, o Servidor de Autorização 3202 tem como seu cliente o Servidor Centralizado de Pedidos 3207, que requisita informações sobre cada assinante que se conecta com os Servidores de Comunicações 3022, para adquirir um produto PPV.

Se o assinante é conhecido do AS 3202, ocorre um conjunto de transacções. Se o assinante é autorizado para o pedido, o AS cria uma conta e a envia para o OCS. De outro modo, sinaliza para o OCS que o pedido não está autorizado. É apenas ao final deste conjunto de transacções que o AS actualiza a base de dados dos usuários finais 3204, via os servidores da base de dados (DBAS) 3206, se pelo menos uma transacção foi autorizada; isso optimiza o número de acessos à base de dados.

Os critérios de acordo com os quais o AS autoriza a compra são armazenados na base de dados, acessados por meio dos processos de DBAS. Em uma modalidade, a base de dados é a mesma que a base de dados acessada pelo STM. 23

Dependendo do perfil do consumidor, a autorização pode ser negada (PPV_Forbidden,Casino_Forbidden...). Esses tipos de critérios são actualizados pelo STM 3104, em nome do SMS 3004.

Outros parâmetros são testados, tais como os limites permitidos para compra (por cartão de crédito, pagamento automático ou várias compras por indicação de autorização por dia) .

No caso de pagamento com um cartão de crédito, o número do cartão é verificado contra uma lista negra local armazenada na base de dados de lista negra local 3205.

Quando todas as verificações são bem-sucedidas, o AS: 1. gera uma factura e a envia para o OCS, que completa esta factura e a armazena em um arquivo, este arquivo sendo posteriormente enviado para o SMS, para processamento (factura real do cliente) e 2. actualiza a base de dados, principalmente para posicionar novos limites de compra.

Este mecanismo de verificar-e-gerar-fatura-se-aprovado se aplica a cada comando que um assinante pode requisitar durante uma única conexão (é possível pedir, por exemplo, cinco filmes em uma única sessão).

Deve-se notar que o AS tem uma quantidade reduzida de informações relativas ao assinante, por comparação com aquelas mantidas pelo SMS. Por exemplo, o AS não mantém o nome ou o endereço do assinante. Por outro lado, o AS não mantém o número do cartão inteligente do assinante, a categoria de consumidor do assinante (de modo que diferentes ofertas podem ser feitas a diferentes assinantes) e várias sinalizações que expressam se, por exemplo, o assinante pode comprar a crédito, ou está suspenso ou o seu cartão inteligente foi roubado. O uso de uma quantidade reduzida de informações pode ajudar a reduzir a quantidade de tempo tomada para autorizar um pedido de assinante particular. 24 A finalidade básica dos DBASs 3206 é aumentar o desempenho da base de dados observado do AS, por paralelismo dos acessos (de modo que realmente não faz muito sentido definir uma configuração com apenas um DBAS). Um parâmetro de AS determina quantos DBASs devem conectar. Um dado DBAS pode ser conectado a apenas um AS. O OCS 2307 trata com comandos PPV. Opera de vários modos.

Primeiramente, opera para processar os comandos emitidos pelo SMS, tal como um revigoramento de produto (por exemplo, se a factura já está armazenada pelo SMS, nenhuma factura é gerada pelo OCS), actualizaçâo da carteira no cartão inteligente 3020 e cancelamento/actualização da sessão.

As várias etapas no procedimento são: 1. identificar o assinante relevante (usando o AS 3202); 2. se válido, gerar comandos adequados para o Gerador de Mensagens, para enviar uma EMM apropriada; os comandos podem ser: comandos de produto; actualizaçâo da carteira; restauração da sessão.

Notar que essas operações não implicam em criação de informações de cobrança, uma vez que a cobrança já é conhecida do SMS. Essas operações são assimiladas para compra de "produtos livres".

Em segundo lugar, o OCS trata com comandos recebidos dos assinantes por meio dos Servidores de Comunicações 3022. Esses podem ser recebidos via um modem conectado ao conjunto receptor/descodificador 2020, ou por activação por voz via o telefone 4001, ou por activação por chave via um sistema MINITEL, PRESTEL ou similar, quando disponíveis.

Em terceiro lugar, o OCS trata com pedidos de rechamada emitidas pelo SMS. Esses dois últimos modos de operação são discutidos a seguir em mais detalhes. 25

No segundo tipo de modo descrito acima, foi expresso que o OCS trata com comandos directamente recebidos do usuário final (assinante), por meio dos Servidores de Comunicações 3022. Esses incluem pedidos de produto (tal como para um evento PPV 5 particular) , uma modificação de assinatura requisitada pelo assinante e uma restauração de um código parental (um código parental sendo um código por meio do qual os pais podem restringir o direito de acesso a determinados programas ou classes de programas). 10 0 modo no qual esses comandos são tratados é descrito a seguir em mais detalhes, com referência à Figura 11.

Os pedidos de produto por um assinante envolvem as seguintes etapas: 1. identificação por meio do AS do chamador, que está 15 fazendo uma chamada por meio dos CS 3022, pedindo um produto particular ; 2. verificação da validade do pedido do chamador, usando novamente o AS (no qual o pedido está colocado usando o conjunto receptor/descodificador 2020, isto é obtido por 20 verificação dos detalhes do cartão inteligente 3020); 3. determinar o preço da compra; 4. certificar que o preço não exceda o limite de crédito do chamador, etc.; 5. receber uma factura parcial do AS; 25 6. preencher os campos adicionais na factura, para formar uma factura completa; 7. adicionar a factura completa a um arquivo de armazenamento de informações de facturas 3212, para processamento posterior e 30 8. enviar comando(s) de correspondência para o Gerador de

Mensagens PPV 3210, para gerar a(s) EMM(s) relevantes. A(s) EMM(s) é(são) enviada(s) na linha do modem 4002, se o consumidor colocou o pedido do produto usando o conjunto receptor/descodificador 2020 (mais detalhes disso são 26 descritos abaixo), ou também é difundido. A única excepção para isso é que quando há alguma falha na conexão do modem (no caso no qual o consumidor coloca o pedido usando o conjunto receptor/descodificador); neste caso, a EMM é difundida pelo ar.

Uma modificação de assinatura requisitada por um assinante envolve: 1. identificar o chamador (usando o AS); 2. enviar informações para a Interface de Comando; a Cl, por sua vez, transmite essas informações para o SMS e 3. via a Cl, o OCS recebe depois uma resposta do SMS (em termos do custo da modificação, se a modificação é possível).

Se a modificação foi pedida usando o conjunto receptor/descodificador, o OCS gera uma confirmação para SMS; de outro modo no caso de telefone ou Minitel, o assinante é instigado a confirmar e esta resposta enviada para o SMS, via o OCS e a Cl. A restauração de um código parental envolve: 1. identificação do chamador (usando o AS) e 2. enviar um comando para o MG, para gerar uma EMM apropriada portando uma senha de restauração apropriada.

No caso de restauração de código parental, o comando para restaurar o código é, por razões de segurança, não permitido ser originário do conjunto receptor/descodificador. Apenas o SMS, telefone e MINITEL ou assemelhados podem originar tal comando. Por conseguinte, neste caso particular a(s) EMM(s) é(são) difundida(s) em ar, nunca em linha telefónica.

Deve-se entender dos exemplos acima dos diferentes modos de operação do OCS, que o usuário pode ter acesso directo ao SAS e, em particular, ao OCS e AS, pelo fato de que os Servidores de Comunicações são directamente conectados ao SAS e, em particular, ao OCS. Esta característica importante é relacionada com a redução de tempo para o usuário comunicar o seu comando para o SAS. 27

Esta característica é mais ilustrada com referência à Figura 12, na qual se pode notar que a Caixa Superior de Posicionamento do usuário final e, em particular, o seu conjunto receptor/descodificador 2020, tem a capacidade de comunicação directa com os Servidores de Comunicações 3022 associados com o SAS 3002. Em vez da conexão do usuário final com os Servidores de Comunicações 3022 ser por meio do SMS 3004, a conexão é directamente com o SAS 3002.

De fato, como mencionado directamente, são proporcionadas duas conexões directas. A primeira conexão directa é por uma ligação a voz, via um telefone 4001, e linha telefónica apropriada (e/ou MINITEL ou conexão assemelhada, quando disponíveis), em que o usuário final tem ainda que admitir uma série de comandos de voz ou números de código, mas o tempo é economizado, comparada com a comunicação sendo via o SMS 3004. A segunda conexão directa é a partir do conjunto receptor/descodificador 2020 e a entrada de dados é obtida, automaticamente, pelo usuário final, inserindo o seu próprio cartão inteligente produto 3020, liberando assim o usuário final do serviço de ter que admitir os dados relevantes, o que, por sua vez, reduz o tempo tomado e a probabilidade de erros na produção daquela admissão.

Uma outra característica importante, que surge da discussão acima, é relacionada com a redução do tempo tomado para que a EMM resultante seja transmitida para o usuário final, para iniciar a visualização pelo usuário final do produto seleccionado.

Em termos amplos, e com referência à Figura 12, a caracteristica é de novo obtida, proporcionando-se o conjunto receptor/descodificador 2020 do usuário final com a capacidade de comunicação directa com os Servidores de Comunicações 3022 associados com o SAS 3002. 28

Como descrito acima, o conjunto receptor/descodificador integrados 2020 é conectado directamente aos Servidores de Comunicações 3022 pelo canal de retorno por modem 4002, de modo que os comandos do descodificador 2020 são processados pelo SAS 3002, as mensagens geradas (incluindo as EMMs) e depois enviadas de volta directamente para o descodificador 2020, por meio do canal de retorno 4002. Um protocolo é usado na comunicação entre os CS 3022 e o conjunto receptor/descodificador 2020 (como descrito abaixo), de modo que os CS recebem confirmação de recebimento da EMM relevante, incorporando assim certeza ao procedimento.

Desse modo, por exemplo, no caso de um modo pré-reserva, o SAS 3002 recebe as mensagens do usuário final, via o cartão inteligente e descodificador 2020, via o seu modem e via a linha telefónica 4002, requisitando acesso a um evento/produto específicos, e retorna uma EMM adequada, via a linha telefónica 4002 e modem, para o descodificador 2020, o modem e o descodificador sendo, de preferência, localizados conjuntamente em uma Caixa Superior de Posicionamento (STB). Isso é assim obtido, sem que se tenha que transmitir a EMM na corrente de dados MPEG-2 2002, via o multiplexador e amontoador 2004, a ligação superior 2012, satélite 2014 e ligação de dados 2016, para propiciar que o usuário final assista o evento/produto. Isso pode economizar, consideravelmente, tempo e largura de banda. A certeza virtual é proporcionada, tão logo o assinante pague pela sua compra, a EMM vai chegar no conjunto receptor/descodificador 2020.

No terceiro tipo de modo de operação do OCS 3207, descrito acima, o OCS trata com pedidos de rechamada pelo SAS. Isso é ilustrado com referência à Figura 13. Os pedidos de rechamada típicos têm a finalidade de garantir que o conjunto receptor/descodificador 2020 retorna a chamada para o SAS, via o canal de retorno por modem 4002, com as informações que o SAS requer do conjunto receptor/descodificador. 29

Como instruído pela Interface de Comando 3102, o Gerador de Mensagens da cadeia de assinatura 3106 gera e envia para o conjunto receptor/descodificador 202, uma rechamada EMM. Esta EMM é codificada pela Unidade de Codificação 3008 por razões de segurança. A EMM pode conter a hora/data na qual o conjunto receptor/descodificador devem despertar e executar uma rechamada por si próprios, sem que sejam solicitados explicitamente; a EMM também pode conter, tipicamente, os números telefónicos que o terminal deve discar, o número de outras tentativas, após chamadas mal sucedidas e retardo entre duas chamadas.

Quando do recebimento da EMM, ou na hora/data específicas, o conjunto receptor/descodificador se conecta aos Servidores de Comunicações 3022. 0 OCS 3207 primeiro identifica o chamador, usando o AS 3202 e verifica determinados detalhes, tais como detalhes do operador do cartão inteligente e do assinante. O OCS então solicita ao cartão inteligente 3020 para enviar várias informações codificadas (tais como os números de sessões relevantes, quando a sessão foi assistida, quantas vezes se permite que o assinante assista novamente a sessão, o modo no qual a sessão foi assistida, o número de sinais remanescentes, o número de sessões pré-reservadas, etc.). Estas informações são decifradas pelo Gerador de Mensagens de cadeia PPV 3210, usando novamente a Unidade de Codificação 3008 . O OCS incorpora essas informações a um arquivo de armazenamento de informações de rechamada 3214, para processamento posterior e passagem para o SMS 3004. As informações são codificadas por razões de segurança. Todo o procedimento é repetido até que não haja mais para ser lido do cartão inteligente.

Uma característica preferida particular do recurso de rechamada é que antes da leitura do cartão inteligente (dessa maneira, logo após a identificação do chamador usando o AS 3202, como descrito acima), é feita um teste pelo SAS 3002 de 30 que o conjunto receptor/descodificador é na verdade genuínos, em vez de uma versão pirata ou uma simulação computorizada. Esse teste é conduzido da seguinte maneira. O SAS gera um número randômico, que é recebido pelo conjunto 5 receptor/descodificador, codificado e depois retornado para o SAS. O SAS decifra este número. Se a decifração é bem-sucedida e o número randômico original é recuperado, conclui-se que o conjunto receptor/descodificador é genuínos, e o procedimento contínua. De outro modo, o procedimento é descontinuado. 10 Outras funções que podem ocorrer durante a rechamada são apagamento das sessões obsoletas no cartão inteligente, ou enchimento da carteira (esta também sendo descrita abaixo na secção intitulada "Cartão Inteligente").

Também, no que concerne à área de cadeia Pay Per View 15 3200, faz-se a seguir uma descrição dos Servidores de Comunicações 3022. No nível de hardware, esses compreendem na modalidade preferida uma máquina processadora paralela de Quatro DECs. No nível de arquitectura de software, com referência à Figura 14, em muitos aspectos os Servidores de 20 Comunicações são convencionais. Uma divergência particular dos projectos convencionais surge do fato de que os Servidores devem servir ambos os conjuntos receptores/descodificadores 2020 e comunicação a voz com telefones convencionais 4001, bem como, possivelmente, MINITEL ou sistemas assemelhados. 25 Vai-se notar, a propósito, que dois Servidores

Centralizados de Pedidos 3207 são apresentados na Figura 14 (como "OCS1" e "0CS2"). Naturalmente, qualquer número desejado pode ser proporcionado.

Os Servidores de Comunicações incluem dois servidores 30 principais ("CS1" e "CS2"), bem como vários servidores frontais i [ "Frontal 1" e "Frontal 2"); enquanto que dois servidores frontais são mostrados na figura, tipicamente, 10 ou 12, podem ser proporcionados por servidor principal. Na verdade, embora os dois servidores principais, CS1 e CS2, e os 31 dois servidores frontais, Frontal 1 e Frontal 2, tenham sido mostrados, pode-se usar um número qualquer deles. Alguma redundância é usualmente desejável.

Os CS1 e CS2 são acoplados aos OCSl e OCS2 via ligações TCP/IP de alto nivel 3230, enquanto que os CS1 e CS2 são acoplados aos Frontal 1 e Frontal 2 via outras ligações TCP/IP 3232 .

Como ilustrado, CS1 e CS2 compreendem servidores para "SENDR" (transmissão), "RECVR" (recepção), "VTX" (MINITEL, PRESTEL ou assemelhados), "VOX" (comunicação a voz) e "TRM" (comunicação com o conjunto receptor/descodificador). Esses são acoplados ao "BUS" para comunicação de sinais para os servidores Frontais.

Os CS1 e CS2 se comunicam directamente com os conjuntos receptores/descodificadores 2020 via os seus canais de retorno via modem 4002, usando o protocolo comum de rede pública X25. 0 protocolo de nivel relativamente baixo entre os Servidores de Comunicações 3022 e os receptores/descodificadores 3020 é uma modalidade preferida, com base no protocolo CCITT de padrão internacional V42, que proporciona confiabilidade por ter recursos de detecção de erro e de retransmissão de dados e usa uma rotina de soma de teste, para testar a integridade da retransmissão. Um mecanismo de escape também é proporcionado, para evitar a transmissão de caracteres desautorizados.

Por outro lado, a comunicação telefónica a voz é conduzida via os Servidores de Comunicações Frontais, cada um deles capaz de captar, diga-se, 30 conexões de voz simultâneas da conexão 3234 à rede telefónica local, via as linhas ISDN telefónicas de padrão "T2" (El).

Três funções particulares da parte software dos Servidores de Comunicações (que poderiam ser, alternativamente, implementadas inteiramente em hardware) são primeiramente para converter as informações de protocolo de nivel relativamente baixo recebidas do conjunto receptor/descodificador para a 32 salda de informações de protocolo de nível relativamente alto para o OCS, em segundo lugar, para atenuar ou controlar o número de conexões simultâneas que estão sendo feitas e, em terceiro lugar, proporcionar vários canais simultâneos sem qualquer mistura. Nesta última consideração, os Servidores de Comunicações desempenham o papel de uma forma de multiplexador, com as interacções em um canal particular sendo definidas por um dado ID (identificador) de Sessão, que é, de fato, usado em toda a cadeia de comunicação.

Finalmente, no que se refere à área de Cadeia Pay Per View 3200 e com referência de novo à Figura 5, o Servidor para a Difusão de Programas (SPB) 3208 é acoplado a um ou mais Difusores de Programas 3250 (que seriam, tipicamente, localizados remotamente do SAS), para receber informações de programas. Os SPB filtra para uso posterior as informações correspondentes aos eventos PPV (sessões).

Uma característica particularmente importante é que as informações dos eventos de programas filtradas são passadas pelo SPB para o MG, que, por sua vez, envia uma directiva (comando de controle), para que o ME altere a taxa de emissão cíclica das EMMs em dadas circunstâncias; isso é feito pelo ME encontrando todas as EMMs com o identificador da sessão relevante e alterando a taxa de ciclo alocada para essas EMMs. Esta característica pode ser considerada como uma alocação dinâmica de largura de banda para as EMMs específicas. A emissão de EMMs cíclica é discutida em mais detalhes na sessão abaixo relativa ao Injector de EMMs.

As circunstâncias nas quais a taxa de ciclo é alterada são descritas a seguir, com referência à Figura 15, que demonstra como a taxa de ciclo 3252 é aumentada por um curto período (diga-se 10 minutos), antes de um evento de programa PPV particular até o final do evento, de uma taxa de ciclo lenta de diga-se uma vez a cada 30 minutos a uma taxa de ciclo rápida de diga-se uma vez a cada 30 segundos a 1 minutos, para 33 satisfazer a demanda do usuário extra antecipada para os eventos PPV naqueles períodos. Desse modo, a largura da banda pode ser alocada dinamicamente de acordo com a demanda do usuário antecipada. Isso pode auxiliar na redução do requisito 5 de largura de banda global. A taxa de ciclo de outras EMMs também pode ser variada. Por exemplo, a taxa de ciclo das EMMs de assinatura pode ser variada pelo Multiplexador e Amontoador 2004, por envio de directiva de taxa de bit apropriada. 10 Injector de EMMs

Em relação ao Injector de EMMs 3300, os detalhes dos Emissores de Mensagens 3302 a 3308, formando parte do Injector de EMMs e agindo como um meio de saída para o Gerador de Mensagens, são descritos a seguir com referência à Figura 16. 15 A função deles é tomar as EMMs e passá-las ciclicamente (do modo de um carrossel), via as respectivas ligações 3314 e 3316, para os Muitiplexadores de Software 3310 e 3312 e deles para os multiplexadores e amontoadores de hardware 2004. Em troca, os multiplexadores e amontoadores de software 2004 20 geram uma directiva de taxa de bit global, para controlar a taxa de ciclagem global das EMMs; para fazer isso, os MEs consideram vários parâmetros, tais como o tempo do ciclo, o tamanho da EMM e assim por diante. Na figura, EMM_X e EMM_Y são EMMs de grupos para os operadores X e Y, enquanto que 25 EMM_Z são outras EMMs para o operador X ou operador Y.

Além do mais, a descrição continua para um Emissor de Mensagens exemplificativo; vai-se considerar que os MEs remanescentes operam de maneira similar. O ME opera sob controle das directivas do MG, significativamente, tempos de 30 início e parada e taxa de emissão da transmissão, bem como número da sessão, se a EMM é uma EMM de PPV. Em relação à taxa de emissão, na modalidade preferida, a directiva relevante pode tomar um dos cinco valores de Muito rápido a Muito lento. Os valores numéricos não são especificados na directiva, mas 34 em vez disso, o ME mapeia a directiva a um valor numérico real, que é fornecido pela parte relevante do SAS. Na modalidade preferida, as 5 taxas de emissão são as seguintes: 1. Muito rápida - a cada 30 segundos; 2. Rápida - a cada minuto; 3. Média - a cada 15 minutos; 4. Lenta - a cada 30 minutos; 5. Muito lenta - a cada 30 minutos.

O ME tem primeira e segunda bases de dados 3320 e 3322. A primeira base de dados é para aquelas EMMs que ainda não alcançaram as suas datas de difusão; essas estão armazenadas em uma série de arquivos cronológicos na base de dados. A segunda base de dados é para as EMMs para difusão imediata. No caso de uma quebra do sistema, o ME é disposto para ter a capacidade de reler o arquivo relevante armazenado e executar a difusão correcta. Todos os arquivos armazenados nas bases de dados são actualizados mediante solicitação do MG, quando o MG deseja manter consistência entre as directivas entrantes e as EMMs já enviadas para o ME. As EMMs realmente sendo difundidas também são armazenadas na Memória de Acesso Randômico 3324.

Uma combinação dos FIFOs 3162 e 3164 no Gerador de Mensagens e as bases de dados 3320 e 3322 no Emissor de Mensagens significa que os dois podem operar em modo autónomo, se a ligação 3166 entre eles é temporariamente rompida; o ME pode ainda difundir EMMs.

Os Multiplexadores de Software (SMUX) 3310 e 3312 proporcionam uma interface entre os MEs e os multiplexadores de hardware 2004. Na modalidade preferida, cada um deles pode receber EMMs de dois dos MEs, embora, em geral, não haja restrição do número de MEs que podem ser conectados a um SMUX. Os SMUXs concentram as EMMs e as passam de acordo com o tipo de EMM para o multiplexador de hardware apropriado. Isso é necessário, porque os multiplexadores de hardware tomam os diferentes tipos de EMMs e as colocam em diferentes locais na 35 corrente MPEG-2. Os SMUXs também remetem as directivas de taxa de bit globais dos multiplexadores de hardware para os MEs.

Uma característica particularmente importante do ME é que ele emite EMMs em ordem randômica. A razão para isso é a seguinte. 0 Emissor de Mensagens não tem capacidade de sentir ou controlar o que emite para o multiplexador. Por conseguinte, é possível que possa transmitir duas EMMs que vão ser recebidas e descodificadas pelo conjunto receptor/descodificador 2020 costas com costas. Nessas circunstâncias, além do mais, é possível que se as EMMs são separadas insuficientemente, o conjunto receptor/descodificador e cartão inteligente vão ser incapazes de sentir e descodificar apropriadamente a segunda das EMMs. A emissão cíclica das EMMs em ordem randômica pode resolver este problema. A maneira na qual a randomização é obtida é descrita a seguir, com referência à Figura 17; na modalidade preferida, é implementada a lógica de software necessária na linguagem de computador ADA. Uma parte particularmente importante da randomização é o armazenamento correcto das EMMs nas bases de dados 3320 e 3322 (que são usadas com a finalidade de recuperação) e na RAM 3324. Para uma taxa de ciclo e operador particulares, as EMMs são armazenadas em um arranjo bidimensional, por ordem 3330 (indo, diga-se, de A a Z) e número na ordem 3332 (indo de 0 a N) . Uma terceira dimensão é adicionada pela taxa de ciclo 3334, de modo que há tantos arranjos bidimensionais quanto taxas de ciclo. Na modalidade preferida, há 356 ordens e, tipicamente, 200 ou 300 EMMs em cada ordem; há 5 taxas de ciclo. Uma dimensão final para o arranjo é incorporada pela presença de diferentes operadores; há tantos arranjos tridimensionais quanto operadores. 0 armazenamento dos dados deste modo pode permitir uma rápida recuperação, no caso em que um MG deseja apagar uma EMM particular. 36 O armazenamento das EMMs ocorre de acordo com o algoritmo "de comprovação aleatória" (conhecido de outro modo como a "função de comprovação aleatória de modo único"). Este opera em aproximação de módulo, de modo que ordens sucessivas são preenchidas, antes que um número maior na ordem seja usado, e o número de EMMs em cada ordem permanece aproximadamente constante. O exemplo é considerado de ser de 256 ordens. Quando o MG envia ao ME uma EMM com identificador (ID) 1, a ordem "1" é atribuída a essa EMM e toma o primeiro número 3332 na ordem 3330. A EMM com ID 2 é atribuída a ordem "2" e assim por diante até a ordem 256. A EMM com ID 257 é atribuída a ordem "1" (com base na função do módulo) e toma o segundo número na primeira ordem, e assim por diante. A recuperação de uma EMM específica, por exemplo, quando o apagamento de uma EMM especifica é solicitado pelo MG, é executado por meio do inverso do que foi descrito acima. 0 algoritmo de comprovação aleatória é aplicado ao ID da EMM para obter a ordem, depois do que o número na ordem é encontrado. A randomização real ocorre quando as EMMs são, em uma base cíclica, recuperadas da RAM 3324, usando o meio de randomização 3340, que é implementado no hardware e/ou software do Emissor de Mensagens. A recuperação é randômica e de novo com base no algoritmo de comprovação aleatória. Primeiramente, um número randômico (no exemplo acima, inicialmente na faixa de 1 a 256) é seleccionado, para produzir a ordem de interesse particular. Em segundo lugar, um outro número randômico é seleccionado para produzir o número particular na ordem. O outro número randômico é seleccionado de acordo com o número total de EMMs em uma dada ordem. Uma vez que uma dada EMM tenha sido seleccionada e difundida, é transferida para uma segunda área de armazenamento idêntica na RAM 3324, usando novamente a função de comprovação aleatória. Por conseguinte, a primeira área diminui em tamanho na medida 37 que as EMMs são difundidas, ao ponto no qual, uma vez que a ordem completa tenha sido usada, é extinta. Uma vez que a primeira área de armazenamento está completamente vazia, é substituída pela segunda área de armazenamento, antes de uma nova rodada de difusão de EMMs e vice-versa.

Da maneira acima, após dois ou três ciclos das EMMs, estatisticamente, as chances de quaisquer duas EMMs, destinadas para o mesmo usuário final, serem transmitidas costas com costas é desprezível.

Em intervalos regulares, enquanto que as EMMs estão sendo armazenadas, o computador 3050 computa o número de bytes no armazenamento e deste computa a taxa de bit da emissão fornecida pela directiva de taxa de bit global do multiplexador e do multiplexador de software.

Fez-se referência acima às bases de dados de recuperação 3320 e 3322. Essas são, de fato, na modalidade preferida armazenamentos de arquivos sequenciais, que retêm uma versão de recuperação do que está na RAM 3324. No caso de falha do Emissor de Mensagens e do restabelecimento subsequente, ou mais genericamente quando o ME está sendo restabelecido qualquer que seja a razão, é feita uma ligação entre a RAM e as bases de dados, pelas quais as EMMs armazenadas são descarregadas pela parte superior para a RAM. Desse modo, o risco de perda de EMMs, no caso de falha, pode ser eliminado. O armazenamento similar de EMMs de PPV ocorre para o que foi descrito acima, em relação às EMMs de assinatura, com a ordem correspondendo, tipicamente, a um dado do operador e o número na ordem correspondente ao número da sessão.

Cartão Inteligente

Um cartão inteligente produto, ou de "assinante", 3020 é mostrado, esquematicamente, na Figura 18 e compreende um microprocessador de 8 bits 110, tal como um microprocessador Motorola 6805, tendo um barramento de entrada/saída acoplado a um arranjo de contacto padrão 120, que, em uso, é conectado a 38 um arranjo de contactos correspondente na leitora de cartões do conjunto receptor/descodificador 2020, a leitora de cartões sendo de projecto convencional. O microprocessador 110 também é proporcionado com conexões de barramentos a, de preferência, ROM 130, RAM 140 e EEPROM 150 mascaradas. O cartão inteligente se ajusta com os protocolos padrão ISO 7816-1, 1816-2 e 7816-3, que determinam determinados parâmetros físicos do cartão inteligente, as posições dos contactos no chip e determinadas comunicações entre o sistema externo (e, particularmente, o conjunto receptor/descodificador 2020) e o cartão inteligente, respectivamente, e que não vão ser adicionalmente descritos aqui. Uma função do microprocessador 110 é gerenciar a memória no cartão inteligente, como descrito a seguir. A EEPROM 150 contém determinadas zonas dos operadores criadas dinamicamente 154, 155, 156 e as zonas de dados criadas dinamicamente, que vão ser descritas a seguir com referência à Figura 19.

Referindo-se à Figura 19, a EEPROM 150 compreende uma zona do "ID do cartão" permanente (ou do fabricante) 151 de 8 bytes, que contém um identificador do cartão inteligente do assinante permanente posicionado pelo fabricante do cartão inteligente 3020.

Quando o cartão inteligente é restaurado, o microprocessador 110 emite um sinal para o conjunto receptor/descodificador 2020, o sinal compreendendo um identificador do sistema de acesso condicional usado pelo cartão inteligente e os dados armazenados no cartão inteligente, incluindo o ID do cartão. 0 sinal é armazenado pelo conjunto receptor/descodificador 2020, que utiliza, subsequentemente, o sinal armazenado para testar se o cartão inteligente está compatível com o sistema de acesso condicional usado pelo conjunto receptor/descodificador 2020. A EEPROM 150 também contém uma zona "geradora de número randômico" permanente 152, que contém um programa para gerar 39 números pseudo-randômicos. Esses números randômicos são usados para diversificar os sinais de saida de transacções gerados pelo cartão inteligente 3020 e enviados de volta para o difusor.

Abaixo da zona geradora de número randômico 152, proporciona-se uma zona de "gerenciamento" permanente de 144 bytes. A zona de gerenciamento permanente 153 é uma zona do operador especifica utilizada por um programa na ROM 130 na criação (e remoção) dinâmica das zonas 154, 155, 156 ..., como descrito abaixo. A zona de gerenciamento permanente 153 contém os dados relativos aos direitos do cartão inteligente em criar ou remover zonas. O programa para criar e remover, dinamicamente, zonas é responsivo às EMMs de criação (ou remoção) de zonas especificas, que são transmitidas pelo SAS 3002 e recebidas pelo conjunto receptor/descodificador 2020 e passadas para o cartão inteligente do assinante 3020. Para criar as EMMs, o operador requer chaves especificas dedicadas à zona de gerenciamento. Isso evita que um operador elimine zonas relativas a outro operador.

Abaixo da zona de gerenciamento 153, encontra-se uma série de zonas do "ID do operador" 154, 155, 156 para os operadores 1, 2 .... N, respectivamente. Normalmente pelo menos uma zona do ID do operador vai ser pré-carregada na EEPROM do cartão inteligente do assinante 3020, de modo que o usuário final pode decifrar os programas difundidos pelo operador. No entanto, outras zonas do ID do operador podem ser, subsequentemente, criadas dinamicamente, usando a zona de gerenciamento 153, em resposta a um sinal de saida de transacção gerado via o seu cartão inteligente 3020 pelo usuário final (assinante), como vai ser descrito abaixo.

Cada zona do operador 154, 155, 156 contém o identificador do grupo, ao qual o cartão inteligente 3020 pertence, e a posição do cartão inteligente dentro do grupo. Esses dados 40 propiciam que o cartão inteligente (juntamente com os outros cartões inteligentes no seu grupo) seja responsivo a uma EMM de assinatura "por grupo" de difusão tendo aquele endereço do grupo (mas não a posição do cartão inteligente no grupo) , bem como a uma EMM "individual" (ou assinatura de ofertas comerciais) endereçadas apenas para aquele cartão inteligente dentro do grupo. Pode haver 256 cartões inteligentes integrantes de cada um desses grupos, e esta caracteristica reduz, significativamente, a largura de banda requerida para difusão de EMMs.

Para reduzir ainda mais a largura da banda requerida para difusão das EMMs de assinatura por "grupo", os dados do grupo em cada zona do operador 154, 155, 156 e em todas as zonas similares na EEPROM do cartão inteligente 3020 e nos outros cartões inteligentes produto são continuamente actualizados, para propiciar que um cartão inteligente particular mude a sua posição em cada grupo, para preencher quaisquer espaços criados, por exemplo, por eliminação de um membro do grupo. Os espaços são preenchidos pelo SAS 3002, como no servidor STM 3104, em que há uma lista desses espaços.

Dessa maneira, a fragmentação é reduzida e o quadro de integrantes de cada grupo é mantido em ou próximo de 256 membros .

Cada zona do operador 154, 155, 156 é associada com um ou mais "objectos de dados do operador" armazenados na EEPROM 150. Como mostrado na Figura 19, uma série de objectos de "dados do operador" criados dinamicamente 157 - 165 é localizada abaixo das zonas do ID do operador. Cada um desses objectos é rotulado com: a) um "identificador" 1, 2, 3 ... N correspondente ao seu operador associado 1, 2, 3 ... N, como mostrado na sua secção do lado esquerdo na Figura 19; b) um "ID" indicando o tipo de objecto e 41 c) uma zona de "dados" reservada para dados, como mostrado na secção do lado direito de cada objecto do operador relevante na Figura 19; deve-se entender que cada operador é associado com um conjunto de objectos de dados similar, de modo que a descrição a seguir dos tipos de dados nos objectos de dados do operador 1 também é aplicável aos objectos de dados de todos os outros operadores. Também, vai-se notar que os objectos de dados são localizados em regiões físicas contíguas da EEPROM e o pedido deles é não material. A eliminação de um objecto de dados cria um "espaço" 166 no cartão inteligente, isto é, os vários bytes que os objectos eliminados ocupavam anteriormente não são imediatamente ocupados. Os vários bytes assim "livres" são rotulados com: a) um "identificador" 0 e b) um "ID" indicando que os bytes estão livres para receber um obj ecto. 0 próximo objecto de dados preenche o espaço, identificado pelo identificador 0. Dessa maneira, a capacidade limitada da memória (4 kilobytes) da EEPROM 150 é utilizada eficientemente.

Voltando agora ao conjunto de objectos de dados associados com cada operador, os exemplos dos objectos de dados são descritos a seguir. O objecto de dados 157 contém uma chave EMM usada para decifrar as EMMs criptografadas recebidas pelo conjunto receptor/descodificador 2020. Essa chave EMM é armazenada permanentemente no objecto de dados 157. O objecto de dados 157 pode ser criado antes da distribuição do cartão inteligente 3020 e/ou pode ser criado dinamicamente, quando da criação de uma nova zona do operador (como descrito acima). O objecto de dados 159 contém chaves ECM, que são enviadas pelo operador associado (nesse caso, o operador 1), para propiciar que o usuário final decifre o "buquê" de programas particular que assinou. Novas chaves ECM são, tipicamente, 42 enviadas a cada mês, juntamente com uma EMM de assinatura por grupo (renovação), que renova o direito global do usuário final para assistir a difusão do (neste caso) operador 1. 0 uso de EMM e chaves de ECM separadas possibilita visualizar direitos que podem ser adquiridos de diferentes modos (nessa modalidade, por assinatura e individualmente (Pay Per View)) e também aumenta a segurança. 0 modo Pay Per View (PPV) vai ser, subsequentemente, descrito.

Uma vez que novas chaves ECM são, periodicamente, enviadas, é essencial evitar que um usuário use velhas chaves ECM, por exemplo, por comutação do conjunto receptor/descodificador ou restauração de um relógio para evitar expiração de uma velha chave ECM, de modo que um cronómetro no conjunto receptor/descodificador 2020 poderia ser ignorado. Consequentemente, a zona do operador 154 compreende uma área (tendo, tipicamente, um tamanho de 2 bytes) contendo uma data de obsolescência das chaves ECM. 0 cartão inteligente 3020 é disposto para comparar esses dados com os dados actuais, que estão contidos nas ECMs recebidas e evitar decifração, se a data actual é posterior à data de obsolescência. A data de obsolescência é transmitida via EMMs, como descrito acima. O objecto de dados 161 contém um mapa de bit de assinatura de 64 bits, que é uma representação exacta dos programas do operador de difusão que o assinante assinou. Cada bit representa um programa e é posicionado em "1", se é assinado, e "0", se não é. 0 objecto de dados 163 contém uma quantidade de sinais, que podem ser usados pelo consumidor no modo PPV, para comprar direitos de assistir a uma difusão iminente, por exemplo, em resposta a uma apresentação prévia livre ou outro anúncio. O objecto de dados 163 também contém um valor limite, que pode ser posicionado em, por exemplo, um valor negativo, para propiciar crédito ao consumidor. Os sinais podem ser 43 comprados, por exemplo, por crédito e via o canal de retorno por modem 4002, ou por uso de um servidor de voz, em combinação com, por exemplo, um cartão de crédito. Um evento particular pode ser carregado como um sinal ou vários sinais. O objecto de dados 165 contém uma descrição de um evento PPV, como mostrado com referência à tabela 167 da Figura 20. A descrição do evento PPV 167 contém um "ID de sessão" 168, identificando a sessão de visualização (correspondente ao programa e ao tempo e data de difusão) , um "modo de sessão" 169 indicando como o direito de assistir está sendo comprado (por exemplo, em um modo pré-reserva), um "índice de sessão" 170 e uma "visão da sessão" 171.

Com relação ao recebimento de um programa no modo PPV, o conjunto receptor/descodificador 2020 determina se o programa é um vendido no modo PPV. Se assim, o descodif icador 2020 testa, usando os itens armazenados na descrição do evento PPV 167, se o ID da sessão para o programa está armazenado nela. Se o ID da sessão está armazenado nela, a palavra de controle é extraída da ECM.

Se o ID da sessão não está armazenado nela, por meio de uma aplicação específica, o conjunto receptor/descodificador 2020 apresenta uma mensagem ao usuário final, indicando que ele tem o direito de ver a sessão a um custo de, diga-se, 25 sinais, lidos da ECM, ou conectar-se aos Servidores de Comunicações 3022 para comprar o evento. Usando os sinais, se o usuário final responde "sim" (por meio de um controle remoto 2026 (consultar a Figura 2)), o descodificador 2020 envia a ECM para o cartão inteligente, o cartão inteligente diminui a carteira do cartão inteligente 3020 por 25 sinais, escreve o ID da sessão 168, o modo da sessão 169, o índice da sessão 170 e a visão da sessão 171 na descrição do evento PPV 167 e extrai e decifra a palavra de controle da ECM.

No modo "pré-reserva", uma EMM vai ser passada para o cartão inteligente 3020, de modo que o cartão inteligente vai 44 escrever o ID da sessão 168, o modo da sessão 169, o índice da sessão 170 e a visão da sessão 171 na descrição do evento PPV 167 usando a EMM. O índice da sessão 170 pode ser ajustado para diferenciar uma difusão da outra. Esta característica permite que a autorização seja dada para um subconjunto de difusões, por exemplo, 3 vezes até o fim das 5 difusões. Assim que uma ECM com um índice de sessão diferente do índice da sessão actual 170, armazenado na descrição do evento PPV 167, é passada para o cartão inteligente, o número da sessão de visualização 171 é diminuído por um. Quando a visão da sessão atinge zero, o cartão inteligente vai recusar decifrar uma ECM com um diferente índice de sessão do índice da sessão actual. O valor inicial da visão da sessão depende apenas do modo no qual o fornecedor da difusão quer definir o evento ao qual se refere; a visão da sessão para um evento respectivo pode tomar qualquer valor. 0 microprocessador 110 no cartão inteligente implementa um programa de contagem e comparação, para detectar quando o limite ao número de visões de um programa particular ter sido atingido.

Todos os ID da sessão 168, modo da sessão 169, índice da sessão 170 e visão da sessão 171 na descrição do evento PPV 167 podem ser extraídos do cartão inteligente, usando o procedimento de "rechamada", como descrito acima. cartões inteligentes que são

Cada conjunto receptor/descodificador 2020 contém um identificador, que pode identificar unicamente aquele conjunto receptor/descodificador ou identificar seu fabricante, ou pode classificar de algum outro modo, para que seja possível trabalhar apenas com um cartão inteligente individual particular, uma classe particular de cartões inteligentes produzidos pelo mesmo ou por um fabricante correspondente, ou qualquer outra classe de 45 intencionados, exclusivamente, para uso com aquela classe de receptores/descodificadores.

Dessa maneira, os conjuntos receptores/descodificadores 2020, que foram fornecidos por um fornecedor de difusão ao consumidor, são protegidos contra o uso de cartões inteligentes produto não autorizados 3020.

Adicional ou alternativamente ao primeiro "estabelecimento de comunicação" entre o cartão inteligente e o receptor, a EEPROM do cartão inteligente 3020 poderia conter um campo ou mapa de bit descrevendo as categorias dos conjuntos receptores/descodificadores 2020 com os quais pode funcionar. Essas poderiam ser especificadas durante a fabricação do cartão inteligente 3020, ou por uma EMM específica. 0 mapa de bit armazenado no cartão inteligente 3020 compreende, tipicamente, uma lista de até 80 conjuntos receptores/descodificadores, cada um deles identificado com um ID de conjunto receptor/descodificador correspondente com o qual o cartão inteligente pode ser usado. Associado com cada conjunto receptor/descodificador está um nivel "1" ou "0", indicando se o cartão inteligente pode ser, respectivamente, usado com o conjunto receptor/descodificador ou não. Um programa na memória 2024 dos receptor/descodificador busca o identificador do conjunto receptor/descodificador no mapa de bit armazenado no cartão inteligente. Se o identificador é encontrado e o valor associado com o identificador é "1", então o cartão inteligente é "habilitado"; se não, então o cartão inteligente não vai funcionar com aquele conjunto receptor/descodificador.

Além disso, se, tipicamente, em virtude de um acordo entre operadores, deseja-se autorizar o uso de outros cartões inteligentes em um conjunto receptor/descodificador particular, EMMs específicas vão ser enviadas para aqueles cartões inteligentes para alterar o mapa de bit deles, via o transponder 2014. 46

Cada fornecedor de difusão pode diferenciar os seus assinantes de acordo com certos critérios predeterminados. Por exemplo, vários assinantes podem ser classificados como "VIPs". Consequentemente, cada fornecedor de difusão pode dividir os seus assinantes em uma pluralidade de subconjuntos, cada subconjunto compreendendo qualquer número de assinantes. 0 subconjunto, ao qual um assinante particular pertence, é posicionado no SMS 3004. Por sua vez, o SAS 3002 transmite uma EMM para o assinante, que escreve informações (tipicamente, de comprimento de 1 byte), relativas ao subconjunto ao qual o assinante pertence, na zona de dados do operador relevante, diga-se 154, da EEPROM do cartão inteligente. Por sua vez, na medida em que os eventos são difundidos pelo fornecedor de difusão, uma ECM, tipicamente de 256 bits, é transmitida com o evento e indicando quais dos subconjuntos dos assinantes pode ver o evento. Se, de acordo com as informações armazenadas na zona do operador, o assinante não tem o direito de ver o evento, como determinado pela ECM, a visão do programa é negada.

Este recurso pode ser usado, por exemplo, para desligar todos os cartões inteligentes de um dado operador em uma região geográfica particular, durante a transmissão de um programa particular, em particular um programa relativo a um evento desportivo que ocorra naquela região geográfica. Dessa maneira, os clubes de futebol e outras associações desportivas podem vender os direitos de difusão fora das suas localidade, enquanto que evitam que os torcedores locais são encorajados a comprar ingressos e atender o evento.

Cada uma dessas características associadas com as zonas 151 a 172 é considerada como sendo uma invenção separada, independente da criação dinâmica de zonas.

Deve-se entender que a presente invenção foi descrita acima puramente por meio de exemplo e que modificações de detalhes podem ser feitas dentro do escopo da invenção. 47

Nas modalidades preferidas mencionadas acima, certas características da presente invenção foram implementadas usando software de computador. No entanto, vai ser, naturalmente, claro para uma pessoa versada na técnica que 5 quaisquer dessas caracteristicas podem ser implementadas usando hardware. Além do mais, vai-se entender facilmente que as funções executadas pelo hardware, o software do computador e assemelhados deles são executadas por eles ou usando sinais eléctricos ou assemelhados. 10

Lisboa, 15 de Janeiro de 2007

Claims (5)

1. 48 REIVINDICAÇÕES 1. Sistema de acesso condicional para permitir acesso condicional a assinantes compreendendo: um sistema de gerenciamento de assinantes (3004); um sistema de autorização de assinantes (3002) acoplado ao sistema de gerenciamento de assinantes (3004); e um servidor de comunicações ¢3022), este é conectado directamente ao sistema de autorização de assinantes, ou seja, não mediante o sistema de gerenciamento de assinantes; caracterizado pelo facto o sistema de autorização de assinantes é adaptado para gerar mensagens de habilitação em resposta aos dados recebidos pelo mencionado servidor de comunicações.
2. 2. Sistema de acesso condicional de acordo com a reivindicação 1, caracterizado pelo facto de compreender um receptor/descodificador (2020) para o assinante, o receptor/descodificador encontra-se conectado ao dito servidor de comunicações e ao sistema de autorização de assinantes, mediante um modem e uma ligação telefónica (4002).
3. 3. Sistema de acesso condicional de acordo com a reivindicação 2, caracterizado pelo facto de as mensagens de habilitação serem geradas em resposta a um comando do receptor/descodificador.
4. 4. Sistema de acesso condicional de acordo com a reivindicação 3, caracterizado pelo facto de o dito comando ser um comando seleccionado de um grupo de comandos que compreende pelo menos um comando de pedido de produto, comando de pedido de modificação de assinatura e um código de reiniciação. 49
5. 5. Sistema de acesso condicional de acordo com a reivindicação 1, caracterizado por: o servidor de comunicações (3022) se encontrar conectado ao receptor/descodificador de assinantes (2020); 5 o sistema de gerenciamento de assinantes (3004) guardar a informação de assinatura; e o sistema de autorização de assinantes (3002) ser adaptado para gerar mensagens de habilitação para serem transmitidas ao receptor/descodificador em resposta aos comandos recebidos via 10 servidor de comunicações, e compreender: um servidor de pedido centralizado (3207) conectado ao servidor de comunicações para receber comandos do receptor/descodificador e informação do sistema de gerenciamento de assinantes; 15 um servidor de autorização (3202) conectado ao servidor de pedido centralizado para identificar e validar o assinante em resposta a um pedido de autorização do servidor de pedido centralizado; e um gerador de mensagens (3210) conectado ao servidor 20 de pedido centralizado para gerar mensagens de habilitação em resposta a um comando recebido do servidor de pedido centralizado; o dito servidor de pedido centralizado encontra-se adaptado para emitir o dito comando ao gerador de mensagens em 25 resposta aos dados recebidos do servidor de autorização ou do sistema de gerenciamento de assinaturas ou de ambos, e para transmitir as ditas mensagens de habilitação ao receptor/descodificador através do servidor de comunicações. 30 Lisboa, 15 de Janeiro de 2007