デコーダ及び有料テレビのデータ処理のためのシステム、並びに少なくとも2つのデコーダの管理のための方法
【課題】 本発明は有料テレビのデータ処理のためのデコーダに関する。このデコーダは識別データを介してセキュリティモジュールに結合され、有料テレビのデータ処理の非アクティブ化手段を含む。このデコーダは、カウンタの内容に応じて非アクティブ化手段に作用するカウンタも含む。本発明は、上で定義したような少なくとも2つのデコーダを含む有料テレビのデータ管理システムであって、セキュリティモジュールのうちの少なくとも1つがマスタとなり、デコーダの前記カウンタを再初期化するための手段を備えることを特徴とするシステムにも関する。本発明は更に、有料テレビのデータ処理のための少なくとも2つのデコーダの管理方法において、前記デコーダが、一人の加入者に結合されかつ有料テレビのデータ処理の非アクティブ化手段と前記非アクティブ化手段に作用する1つのカウンタとを含む。各加入者は、1つのデコーダにローカルに接続することができる少なくとも2つのセキュリティモジュールを有する。本方法は、ある加入者に所属するセキュリティモジュールの中から少なくとも1つのマスタセキュリティモジュールを決定する工程と、マスタセキュリティモジュールの識別データを加入者の各デコーダに記憶する工程と、予め決められた少なくとも1つの基準に従い、カウンタによりデータ処理のデコーダを非アクティブ化する工程と、非アクティブ化されたデコーダにマスタセキュリティモジュールを挿入することによりカウンタを再初期化する工程とを含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、有料テレビのデータ処理のためのデコーダに関する。本発明は有料テレビのデータ管理システム並びに有料テレビのデータ処理のための少なくとも2つのデコーダの管理方法にも関する。
【0002】
通常、映画、スポーツの試合、その他等、有料テレビの通信業者によって配信されるイベントに対応する暗号化されたコンテンツにアクセスできるようにするためには、加入権、デコーダ、及びセキュリティモジュールを取得しなければならない。加入者によっては、彼らの住宅の異なる部屋に配置された複数のテレビから配信されるイベントに複数のユーザがアクセスできるようにするために、複数のデコーダ及び複数のセキュリティモジュールの所有を所望する者もいる。
【0003】
この場合、更なる加入、デコーダ及び/又はセキュリティモジュールのための金額は、最初の加入、デコーダ及び/又はセキュリティモジュールのための金額よりも通常は低い。しかしながら、一人の加入者が複数のデコーダ及び/又はセキュリティモジュールを取得していないのに、これにより更なるユニットに対する値引きの恩恵を受けたり、非加入の第三者がこの値引きを享受したり、或いは通常の取得金額よりも安い金額でこれらのユニットを再販売することを防止することが求められている。
【0004】
このような状況を防止するための1つの解決方法は、セキュリティモジュールに結合された複数のデコーダを実際に自分の住居に所有する加入者にとってはほとんど苦痛ではないが、反対に、デコーダ及びセキュリティモジュールを売却した加入者、或いはそのようなモジュールの購入者にとっては極めて苦痛な操作を強制することである。更に、この操作が行われない場合、送信されたコンテンツの復号機能は可能にならない。
【0005】
欧州特許第0826288号(特許文献1)には、この目的を部分的に達成することが可能なシステムの記述がある。この特許は、それぞれが特定の加入者に結合されている複数テレビユニットを備える有料テレビシステムについて記述している。各ユニットは少なくとも2つのデコーダで形成され、各デコーダは、テレビシステムに結合されたデコーダに送信されるコンテンツを復号化することができるようになっているチップカードに結合される。各チップカードは、そのカードの同定を可能にする一定数の情報を含む。これらのデータは「連鎖データ」と呼ばれ、例えば署名、鍵、その他の決定要素等である。同一の加入者に結合された全てのカードは少なくとも1つの共通連鎖データを有する。異なる加入者のカードは共通データをもたない。
【0006】
加入者の全チップカード、或いは少なくともそのうちの1つは、予め決められた基準に従い、非アクティブ化することができる。これらの基準は例えば決められた日付或いは使用期間とすることができる。カードを非アクティブ化すると、制御語は復号化されなくなる。配信されたイベントに対応するこれらの制御語がない場合には、当該デコーダに送信されるコンテンツは復号化することができない。
【0007】
加入者が、まだアクティブなカードと、同じ加入者に接続されたデコーダと有していれば、非アクティブ化したカードを再度アクティブ化することができる。これを実現するには、先行技術のこの発明によるシステムは以下のように作動する。
【0008】
アクティブなカードに結合されたデータは、このカードが挿入されたデコーダ内にまず記憶される。カードを非アクティブ化するときには、加入者のアクティブなカードに結合されたデコーダにカードを挿入しなければならない。デコーダ内に記憶されている署名、鍵等の連鎖データは、非アクティブ化されたカードの連鎖データで認証される。これらのデータが一致すると、一定期間カードが使用できるように、例えば次回のオフ日付又は使用期間を格納しているカウンタの値が増分される。これらの連鎖データが一致しない場合、非アクティブ化されたカード内ではカウンタが初期化されず、制御語の復号化ができず、イベントは暗号化されたままである。
【0009】
このシステムにおいては、連鎖データが対応していれば、即ち連鎖データが同一の加入者に属していれば、加入者のアクティブなカードに結合された任意のデコーダにより、非アクティブなカードを再度アクティブ化することができる。従って加入者のカードが、最初の加入者と地理的に近い人に売却されていた場合、非アクティブ化されたカードを所有する者は、加入者のアクティブなカードに結合された任意のデコーダ内のアクティブなカードに結合された任意のデコーダ内にこのカードを挿入することができ、その結果、自身のカードを作動させることができる。従って、本発明が求める抑制効果は部分的にしか達成されない。
【0010】
また、この特許の方法に関わる制約を防止する簡単な方法が存在する。実際、非許可のデコーダ/チップカードユニットの購入者は2つのユニットを入手するだけでよい。こうすることにより購入者はカードが非アクティブ化された時点でこれを再度アクティブ化することができる。
【0011】
全てのカードが非アクティブ化されると別の問題が生じる。特に、加入者がほとんどテレビを見ない時、或いは最初のカードが非アクティブ化された時から最後のカードが非アクティブ化される時まで加入者が不在である時、そのような問題が生じることがある。この場合、もはやカードを再度アクティブ化することはできなくなり、別のカードを注文するのが唯一の方法となる。
【0012】
この欧州特許第0826288号(特許文献1)で記述されている発明においては、全ての重要な情報、即ち基本的に連鎖データ及び非アクティブ化の日付に関するデータがカードに記憶される。デコーダは単に、アクティブなカードと、非アクティブ化手順の際に非アクティブ化された別のカードとの間で連鎖情報を転送するための「バッファメモリ」の役割を果たすだけである。
【0013】
上に記載した目的を達成することができる別の発明は米国特許第5,748,732号(特許文献2)において記述されている。この文献は、1つのマスタデコーダと、チップカードを具備する単数又は複数のスレーブデコーダを含む有料テレビシステムに関する。スレーブデコーダのチップカードの有効期間は比較的短いが、それは、有効期間が終了すると、デコーダは暗号化されたデータを復号化することができなくなることを意味する。管理センタは、有効期間が終了したチップカードを再アクティブ化するために、許可メッセージEMMをマスタデコーダに送信する。マスタデコーダは、スレーブチップカードの動作についての新しいデータをメッセージから抽出するようメッセージを処理する。ユーザがそのスレーブカードを再アクティブ化することを所望する時は、記憶されたデータをこのカードに転送するマスタデコーダにカードを挿入しなければならない。
【0014】
この実施形態においては、上と同様に、全ての重要な情報、特にスレーブカードの動作期間に関するデータがカードそのものに記憶される。デコーダは単に、マスタカードからスレーブカードへの再更新情報を転送するための「バッファメモリ」の役割を果たすだけである。特にこのデコーダは、あるカードのアクティブ化期間を管理することができるカウンタを含んでいない。
【特許文献1】欧州特許第0826288号
【特許文献2】米国特許第5,748,732号
【発明の開示】
【発明が解決しようとする課題】
【0015】
本発明は、通信業者から送信されるイベントへのアクセスの安全性及び制御を保証する代替的解決方法を提供することを目的とする。本発明は、デコーダの作動期間の弾力的管理を可能にし、いつでもセキュリティモジュールにより動作パラメータを適合させることを目的とする。
【0016】
また本装置は各加入者を包括的に管理することも目的とする。単数又は複数のデコーダ/セキュリティモジュールユニットを売却する加入者には、これらのユニットのユーザが消費するイベントの請求書が送られることになる。これにより、この発明において求められる抑止効果が著しく高まる。
【0017】
更に本発明により、請求書発行の観点からも統計の観点からも、例えばサービス情報、或いはイベントの衝動買いに関するデータ等、デコーダ/セキュリティモジュールユニットにより提供される情報を収集し管理することができる。
【課題を解決するための手段】
【0018】
本発明の諸目的は、有料テレビのデータの処理のためのデコーダであって、前記デコーダに格納されている識別データにより少なくとも1つの取り外し可能なセキュリティモジュールに結合され、スクランブル解除モジュールを含むデコーダであり、更に、有料テレビのデータ処理の非アクティブ化手段及び内容に応じて前記非アクティブ化手段に作用するカウンタを含むことを特徴とするデコーダによって達成される。
【0019】
これらの目的は、各デコーダが、前記デコーダ及びセキュリティモジュール内に格納されている識別データにより少なくとも1つの取り外し可能なセキュリティモジュールに結合され、1つのスクランブル解除モジュールと有料テレビのデータ処理の非アクティブ化手段とを含む少なくとも2つのデコーダを有する有料テレビのデータ管理システムにおいて、デコーダが前記非アクティブ化手段に作用する1つのカウンタを更に含み、セキュリティモジュールのうちの少なくとも1つがマスタとなり、デコーダの前記カウンタを再初期化するための手段を含むことを特徴とするシステムによっても達成される。
【0020】
これらの目的は更に、有料テレビのデータ処理のための少なくとも2つのデコーダの管理方法において、前記デコーダが、一人の加入者に結合されかつ有料テレビのデータ処理の非アクティブ化手段と前記非アクティブ化手段に作用する1つのカウンタとを含み、各加入者が少なくとも1つのデコーダにローカルに接続することができる少なくとも2つの取り外し可能なセキュリティモジュールを有するようなデコーダの管理方法であって、
‐ ある加入者に所属するセキュリティモジュールの中から少なくとも1つのマスタセキュリティモジュールを決定する工程と、
‐ マスタセキュリティモジュールの識別データを加入者の各デコーダ内に記憶する工程と、
‐ 予め決められた少なくとも1つの基準に従い、カウンタによりデータ処理のデコーダを非アクティブ化する工程と、
‐ 非アクティブ化されたデコーダにマスタセキュリティモジュールを挿入することによりカウンタを再初期化する工程と
を含む方法により達成される。
【0021】
本発明は、非限定的例として示した添付の図面を参照して行う以下の詳細な説明により、より良く理解されよう。
【発明を実施するための最良の形態】
【0022】
以下、複数の実施形態を参照して本発明について記述するが、これらの実施形態においては、加入者が複数のデコーダSTB1、STB2、STB3、...を有し、各デコーダが1つのセキュリティモジュールICC1、ICC2、ICC3、...に結合され、セキュリティモジュールは例えばマイクロプロセッサカード又はチップカードの形態、或いはICケースの形態で作製することができる。デコーダは、暗号化されたデータを処理しこれらのデータをノンスクランブルで使用できるように構成されたスクランブル解除モジュールと、識別データを記憶するためのメモリと、有料テレビのデータへのアクセスを許可又は禁止するために構成された非アクティブ化手段とをそれぞれ含む。
【0023】
図2a及び図2bに示す第1実施形態によれば、図2aに工程20で示すように、ユーザが有料テレビの初回加入契約C1を取得する際には、ユーザは、第1セキュリティモジュールICC1に結合された第1デコーダSTB1も取得する。このことを図2aの符号21で図示する。当業者にとっては既知のように、セキュリティモジュールは、デコーダが有料テレビのデータを処理し、その結果、あるイベントに結合された暗号化されたコンテンツを復号化することができるように、イベントに関する権利並びにデコーダへの制御語の返送を管理する。
【0024】
加入者は、イベントの復号に必要な要素の全て、即ち加入権、デコーダ及びセキュリティモジュールを取得したら、これらの要素が作動するように、まずこれらの要素をアクティブ化しなければならない。このアクティブ化がない場合、ユニットは有料テレビのデータを処理することができない。
【0025】
具体的な実施形態によれば、加入者は、初めてそのデコーダSTB1及びセキュリティモジュールICC1をアクティブ化しようとする場合、管理センタCGを呼び出し、識別データ、特に加入契約に関する識別番号C1、セキュリティモジュールに関するユニークな識別番号SN、デコーダに関するユニークな識別番号SNd、及び場合によっては確認のための名称(Sub1、Sub2)を提示しなければならない。このことを図2aの符号22で図示する。識別番号は通常、よく連番とも呼ばれる。通常、これらの操作はシステムを加入者の家屋に設置する通信業者によって行われる。
【0026】
これらの情報は、管理センタが、加入者が取得したデコーダSTB及びセキュリティモジュールICCと結合して、加入者(Sub1、Sub2)を登録し、デコーダとセキュリティモジュールを対にするのに用いられる。デコーダとセキュリティモジュールは別々に取得することができるため、管理センタへの呼び出しの前には、管理センタはどのセキュリティモジュールが特定のデコーダに組み合わされているかを知る手段を持たないことに留意すべきである。
【0027】
図1で符号CGで図示するように、管理センタは、セキュリティモジュールをデコーダに結合することができる情報が記憶される少なくとも1つのデータベースを含む。より詳細には、管理センタは、このセンタによって管理される各デコーダSTBのユニークな識別番号SNdをそのデータベースに含む。このユニークな番号は、デコーダ毎に異なる(対称型又は非対称型の)少なくとも1つの暗号化鍵Ukを含む。「照合鍵」と呼ばれるこの暗号化鍵もデコーダ内に記憶される。加入者がユニークな番号SNdにより自分のデコーダを同定し、セキュリティモジュールのユニークな番号SNsを示すと、管理センタはデータベース内でそのセキュリティモジュールをそのデコーダにリンクさせる。図1においては、データベースの内容を3つの表で示してある。表のうちの1つである表15は、管理センタによって管理され識別番号及び照合鍵Ukに結合された全てのデコーダSTBの一覧を含む。別の表16は、全てのセキュリティモジュールICC並びにそのユニークな識別番号SNsの一覧を含む。第3の表17は、デコーダSTBとセキュリティモジュールにそれぞれ結合された加入契約C1、C2、...及び加入者Sub1、Sub2、...の一覧を含む。この表は、加入者が取得した製品Pの一覧、並びに以下に役割を説明するマスタ機能M又はスレーブ機能Sの指示を含む。この表17は、以下に説明するように、サービス情報と呼ばれるその他の情報を記憶するのにも使用することができる。製品P、即ち、特に、加入者が視聴することを許可されているイベントは、加入契約又はセキュリティモジュールに結合することができる。これは、ある加入者のすべてのセキュリティモジュールについて同じ製品とすることも、反対に、異なるモジュールについて異なる製品とすることもできることを意味する。こうして、例えば、ある決まったデコーダ/セキュリティモジュールユニットからアクセス可能な製品を制限することが可能である。情報を検索しデータベース内にリンクを生成する工程には図2aにおいて符号23を付してある。
【0028】
セキュリティモジュールICC1とデコーダSTB1との間の通信を暗号化することができるように、デコーダのユニークな番号SNd1に結合された暗号化鍵Uk1をこのセキュリティモジュールに送信しなければならない。この鍵の送信は通常、通信業者のグローバルプライベート鍵を用いて暗号化された管理メッセージEMMに入れて行われ、この鍵はこの通信業者が管理する全てのセキュリティモジュールに対し同一である。このメッセージの宛先であるセキュリティモジュールに結合されたデコーダは、このメッセージを受信し、セキュリティモジュールに送信することができ、セキュリティモジュールは通信業者のグローバル公開鍵を用いてメッセージを復号化し、そこから照合鍵Uk1を抽出する。この照合鍵はデコーダのユニークな番号SNdとともに第1セキュリティモジュールICC1のメモリに保存される。照合工程には図2aにおいて符号24が付してある。次の工程25では、データベースの表17から導かれるような製品Pの復号化権がセキュリティモジュールにロードされる。
【0029】
管理センタのデータベースはこの第1デコーダに結合されたセキュリティモジュールにマスタ機能Mを割り当てるが、この操作には図2aにおいて符号26が付してある。
【0030】
工程27に示すように、全てのデータがデータベースに入力され、照合鍵Uk1がセキュリティモジュールに送信されたら、復号化ができるように、デコーダSTB1をアクティブ化しなければならない。次に管理センタは当該デコーダSTB1宛に「デコーダコマンド」を送信する。「デコーダコマンド」はデコーダ宛のコマンドであり、許可メッセージEMMの形態で送信され、デコーダがこのコマンドを直接処理するのに十分なセキュリティ手段を持たないためセキュリティモジュールによって処理される。許可メッセージEMMは通信業者のグローバル鍵を用いてセキュリティモジュールにより復号化される。セキュリティモジュールはこのコマンドがメッセージに関するものではないことを判別できるため、照合鍵Uk1を用いてこのメッセージを暗号化し、次にそれをデコーダに返送し、デコーダはこのメッセージを復号化しコマンドを適用する。
【0031】
この「デコーダコマンド」はマスタセキュリティモジュールの識別データを含むが、これらのデータは通常、そのモジュールの識別番号SNMであるか、セキュリティモジュールを識別することができる他のデータ、及び、通常は時間データである非アクティブ化の値とすることができる。識別データはデコーダのメモリ内に記憶され、非アクティブ化の値はデコーダの1つのカウンタに割り当てられる。記述した例においては、マスタセキュリティモジュールの識別番号SNMは第1セキュリティモジュールの識別番号SNs1に等しいことに留意されたい。なぜならこの第1セキュリティモジュールはマスタ機能を有しているからである。
【0032】
この段階ではデコーダはセキュリティモジュールのユニークな番号SNsを要求し、「デコーダコマンド」を含むメッセージで受信した番号と比較する。元のモジュールが他のモジュールに交換されなかった場合にもちろんそうであるように、これらの値が等しい場合、デコーダは、セキュリティモジュールへのイベントの制御メッセージECMの転送の停止を解除するように、非アクティブ化手段に作用し、制御語を復号化することができる。デコーダのカウンタもアクティブ化される。加入者が1つのデコーダと1つのセキュリティモジュールしか持たない場合、国際特許出願第WO99/57901号において記述されているように、これらは対になって作動し、暗号化されたイベントの復号化は従来の方法で行われる。
【0033】
上の記述においては、セキュリティモジュールとデコーダとの間のやり取りは、照合鍵Uk1を用いて暗号化された状態で行われる。しかしながら、照合鍵とは異なるが照合鍵から作られるセッション鍵を用いてこれらのやりとりが行われるようにすることも可能である。
【0034】
加入者が第2デコーダの取得を所望する時には、当然のことながら第2セキュリティモジュールを取得しなければならない。図2bに、第2デコーダの使用開始の全体図を示す。第2デコーダSTB2及び第2セキュリティモジュールICC2の取得は符号30で表している。上と同様、加入者は、図2bの工程31で、管理センタCGを呼び出し、識別データ、特に第2デコーダSTB2及び第2セキュリティモジュールICC2のユニークな番号SNd2及びSNs2、加入番号C1、及び場合によっては確認のための名称Sub1を提示しなければならない。工程32で、必要な情報がデータベース内で検索され、図2aを参照して説明したように、データベースが補完される。データベースにより、デコーダSTB2内に記憶されている照合鍵Uk2を見つけることができる。この照合鍵Uk2はデータベース内で第2デコーダSTB2のユニークな番号SNd2に結合される。工程33では、暗号化された通信をセキュリティモジュールとデコーダとの間で行うことができるように、この照合鍵Uk2が第2セキュリティモジュールICC2に送信される。工程34では、管理センタにより製品一覧も第2セキュリティモジュールICC2に送信される。工程35では、管理センタのデータベース内で、スレーブ機能Sが第2セキュリティモジュールICC2に割り当てられる。上と同様、暗号化された許可メッセージEMMの形態で「デコーダコマンド」が第2デコーダに送信され、このコマンドは非アクティブ化の値及びマスタセキュリティモジュールの識別番号SNMを含む。このことは図2bの工程36に相当する。上と同様、これら2つの情報はデコーダ内に記憶され、識別データはメモリ内に記憶され、非アクティブ化の値はこのデコーダのカウンタに割り当てられる。
【0035】
この段階では、デコーダ及びそのセキュリティモジュールはアクティブ化されず、従って通信業者から配信される暗号化されたイベントの復号化はまだ許可されない。デコーダ及びセキュリティモジュールはスレーブ機能を有するので、上の例で第1セキュリティモジュールICC1に相当するマスタセキュリティモジュールICCMによりアクティブ化しなければならない。そのため、加入者に第1セキュリティモジュールICC1又はマスタセキュリティモジュールICCMを第2デコーダSTB2又はスレーブデコーダSに挿入するように要求するメッセージが加入者に向けて表示される。これを図2bにおいて符号37で示す。メッセージの表示と同時に、又はその後、デコーダは自身が含むセキュリティモジュールから識別番号SNSを得るために、このモジュールにコマンドを送信する。この番号は、識別データを比較するための手段により、管理センタCGから提供され第2デコーダ内に記憶されたマスタセキュリティモジュールの識別番号SNMと比較される。両者の番号が一致する場合、デコーダはフローの処理プロセスをアクティブにし、このデコーダのカウンタを起動させる。デコーダは第2セキュリティモジュールICC2を第2デコーダSTB2にサイド挿入するよう要求するユーザ向けのメッセージも表示する。それが行われると、有料テレビのデータの処理が行われイベントを視聴することができるように、非アクティブ化手段が連動される。こうして、符号38で示すデコーダSTB2のアクティブ化が終了する。
【0036】
加入者が第3又はn番目のデコーダを取得する場合、操作は第2デコーダの場合と同じように行われる。加入者は、管理センタCGにおいて同定され、デコーダのユニークな番号SNd、及び結合されているセキュリティモジュールのユニークな番号SNSを提示する。これらの要素はスレーブSとして登録される。スレーブセキュリティモジュールとデコーダとの間のマッチングは製品Pのロードの場合と同じく従来の方法で行われる。
【0037】
次にデコーダは、タイム値、及び管理センタによって送信された「デコーダコマンド」に含まれているマスタモジュールのユニークな識別番号SN1を記憶する。この値は、それぞれのセキュリティモジュール/デコーダのペア毎に異なっていても、それらのいくつか又は全てに対し同一であってもよい。この段階では、スレーブデコーダSTBnがセキュリティモジュールのユニークな番号を要求する。この番号がマスタの番号である場合、デコーダはアクティブ化される。しかしながら、イベントを視聴できるようにするには、対応するスレーブセキュリティモジュールをデコーダに再度挿入する必要がある。
【0038】
記述においては、第1セキュリティモジュールはマスタセキュリティモジュールでもあると仮定されていて、加入者が1つのデコーダ/セキュリティモジュールユニットしか持っていない場合、当然ながらそのことは正しいことに留意すべきである。反対に、加入者が複数のデコーダを有する場合、そのうちの第1デコーダをデフォルトでマスタとして登録することができるが、このマスタ機能を他の任意のデコーダに割り当てるようにすることが可能である。そのためには、管理センタに要求を出さなければならず、管理センタはデータベース内、割り当てられたセキュリティモジュール内、及び全てのデコーダ内のパラメータを適合させる。決められた加入者の1つのセキュリティモジュールのみがマスタ機能を割り当てられ、他のセキュリティモジュールは全てスレーブとみなされる。
【0039】
加入者の種々のデコーダ/セキュリティモジュールユニットによって、上で説明した手順に従うことにより、有料テレビのイベントを復号化し視聴することが可能である。非アクティブ化手段を管理し、いくつかの基準による復号化、特に、ある時間後の復号化を防止するために、各デコーダのカウンタ内に記憶されている非アクティブ化タイム値が使用される。
【0040】
第1実施例では、非アクティブ化タイム値が、例えば30日といったある期間に対応すると仮定されている。従ってデコーダはこの30日の期間後には非アクティブ化される。非アクティブ化値は各デコーダのカウンタに記憶される。
【0041】
通常動作時、即ちセキュリティモジュールが対応するデコーダに挿入された時、デコーダに記憶されたカウンタの値は、例えば毎日或いは毎時間というように一定の間隔で、予め決められた期間が経過した時にカウンタが0の値に到達するというような数から減分される。予め決められたある値までカウンタが増分されるようにすることも可能である。このことを図3に示す。この図においては、セキュリティモジュールICC1がマスタモジュールであり、モジュールICC2がスレーブであると仮定されている。デコーダSTB1及びSTB2はモジュールICC1及びICC2にそれぞれ結合されている。工程40では、デコーダは、セキュリティモジュールの識別番号SNsを判定するために、一定の間隔でキュリティーモジュールに問い合わせる。この番号が第2セキュリティモジュールの識別番号SN2と等しい場合、工程41において、カウンタの値が0であるかどうかが確認される。0でない場合、予め決められた規則に従い第2デコーダのカウンタが減分される。このことは図3の工程42で行われる。
【0042】
符号43に図示するように、このカウンタの値が0であるか予め決められた値に到達すると、加入者がイベントを視聴できなくなるよう非アクティブ化手段が使用される。非アクティブ化手段の範囲内で、有料テレビのデータへのアクセスを非アクティブ化するのに複数の可能性を実施することができる。デコーダに対し、イベントに関するデータを含む制御メッセージECMをセキュリティモジュールに送信することを阻止することを強制し、その結果これらのメッセージがセキュリティモジュールに到達しないようにすることが可能である。またデコーダに対し、セキュリティモジュールから返送される復号化された制御語を受信しないよう強制することも可能である。また別の可能性として、デコーダのスクランブル解除モジュールからの音声及び映像の送信を阻止するというものがある。この場合、復号化は通常のように行われるが、ユーザはそのテレビの画面には何も受信されない。いずれの場合も、イベントの表示の阻止を行うのはデコーダである。
【0043】
このカウンタの値が0になるか予め決められた値に到達すると、イベントの復号化ができるように、ユニットを再度アクティブ化する必要がある。実施形態によれば、ユニットを再度アクティブ化する際、値が0になるまで待つ必要はない。より速く再アクティブ化を行い、カウンタの値を再初期化しカウンタの0セットを回避するようにすることが可能である。この目的のため、デコーダはこのカウンタの進捗を表示するための手段を持つことができる。
【0044】
カウンタが0の値に達したことにより非アクティブ化されたデコーダの再アクティブ化は以下のようにして行われる。第2デコーダSTB2のカウンタが0の値又は予め決められた値に達し、その結果、カウンタが非アクティブ化されたと仮定することにする。非アクティブ化されたデコーダと対にされたセキュリティモジュールICC2はこのデコーダから回収される。図3の工程44で、マスタセキュリティモジュール又は第1セキュリティモジュールICC1がこのデコーダに挿入される。スレーブデコーダSTB2は、このデコーダ内にあるセキュリティモジュールのユニークな識別番号を得るために、コマンドを送信する。次にこのデコーダは比較手段により、マスタセキュリティモジュールのユニークな識別番号SNSが、デコーダがその初期化の際に記憶した識別番号SNMと同一であるかどうか確認する。これは図3の工程45で行われる。これらの番号が対応している場合、工程46で、デコーダのカウンタが再初期化され、非アクティブ化の新しいタイム値がこのカウンタに入力される。通常、この非アクティブ化の値はデコーダ内に記憶されている値である。デコーダに記憶されている値は、管理センタから送信される許可メッセージEMMを用いて変更することが可能であることに留意すべきである。この場合、デコーダに記憶された新しい値が毎回の再アクティブ化に適用される。またこの新しい値は、セキュリティモジュールに宛てられた許可メッセージEMMにより管理センタから直接受信した値とすることもできる。この新しい値がデコーダに記憶されない場合、その値は現在進行中の再アクティブ化の場合にのみ適用される。次にマスタセキュリティモジュールを回収し、通信業者から送信される暗号化された内容を復号化するために、このデコーダと対にされたスレーブセキュリティモジュールICC2を再度挿入することができる。マスタモジュールの識別番号が対応しない場合、カウンタは再初期化されることはなく、イベントを視聴することができない。加入者のための指示は、非アクティブ化されたデコーダに結合されたテレビの画面に表示されるのが好ましく、その結果、加入者は工程を追って操作を実行するだけでよい。
【0045】
好ましい実施形態においては、カウンタの再初期化を発生させるのに、テレビの画面にメッセージが表示されるまで待つ必要はない。事実、この操作は、マスタセキュリティモジュールをスレーブデコーダのうちの1つに挿入することによりいつでも行うことができる。
【0046】
任意実施例によれば、例えば2時間といった比較的短い期間に相当する値で「手動で」カウンタを増分することが可能である。これにより、当該デコーダのカウンタが0の値に到達していても、現在進行中のイベントを視聴し終える時間をユーザに残すことが可能である。別の任意実施例によれば、セキュリティモジュールが例えば48時間といった比較的短い期間、作動することが可能であることを加入者に知らせる警告メッセージを表示することも可能である。これは、一定の間隔でカウンタの値を判定することにより実現することができる。従って加入者は、セキュリティモジュールが非アクティブ化される前にセキュリティモジュールを挿入することにより、カウンタを増分させるためのある時間を持つことができる。
【0047】
第1デコーダに結合され、マスタという状態が割り当てられた第1セキュリティモジュールは、スレーブモジュールと全く同じようにして作動する。しかしながら、一般的にこの第1セキュリティモジュールは第1デコーダ内に設置され、カウンタは一定間隔で再初期化される。通常の使用時にこのカウンタが0になると、このカウンタはマスタセキュリティモジュールにより直ちに再初期化される。従って、マスタセキュリティモジュール及び結合されたデコーダは通常いつでもイベントを復号化することができる。
【0048】
実施の変形形態によれば、デコーダは、このデコーダに挿入されたセキュリティモジュールのユニークな識別番号を取得することを目的とするコマンドを、一定間隔で送信する。この識別番号はセキュリティモジュールの識別番号であれば、カウンタは再初期化される。この場合、マスタモジュールに結合されたデコーダは、通常の使用時、即ちセキュリティモジュールが対応するデコーダ内に設置されている時は、決して0にはならない。
【0049】
この変形形態により、カウンタに格納されている実際の値の如何に関わらず、いつでもカウンタを再初期化することが可能であるため、スレーブセキュリティモジュールに結合されたデコーダのユーザにとってもこの変形形態は有利である。この場合、デコーダにより、識別番号の次回の検索コマンドが生成されるまで、あるスレーブモジュールに結合されたデコーダのうちの1つの中にマスタセキュリティモジュールを残しておくことが可能である。また、ユーザによるこのコマンドの手動アクティブ化、或いはセキュリティモジュールがデコーダに挿入された時点で起動される自動アクティブ化を行うことも可能である。
【0050】
また、カウンタの値が大きい時には識別番号取得コマンド間の間隔を比較的大きくし、カウンタのこの値が減少したら間隔も減少するようにすることも可能である。こうすることにより、警告メッセージにより、カウンタが0になるのを防止するため、比較的短時間に所与のデコーダにマスタセキュリティモジュールを挿入しなければならないことが加入者に通知されても、加入者は、このデコーダが次の識別番号取得コマンドを発信するまで、再初期化するデコーダ内にマスタセキュリティモジュールを残して置くだけでよい。この期間は通常数百ミリ秒程度である。
【0051】
別の実施の変形形態では、カウンタが所定の日付を含む。管理センタからデコーダに送信されるデータフローは、TDT(Time & Date Table)という略語で知られている時刻及び日付を表す信号を含む、スレーブデコーダは、カウンタの値と、信号TDTによって与えられる日付の現在を定期的に比較する。カウンタの日付が現在の日付よりも後である限り、スレーブデコーダは従来のように作動する。即ち内容の復号化を行うことができる。
【0052】
信号TDTによって送信される有効な日付がカウンタの日付よりも後であるか等しい場合、デコーダは、イベントの内容がもはや復号化されなくなるように、セキュリティモジュールへの制御メッセージECMの転送を阻止する。上述の場合と同様、加入者がイベントを視聴している最中には更新作業が実行されないように、数時間分だけ手動でカウンタを増分セルことが可能であることに留意すべきである。加入者に対しセキュリティモジュールをスレーブデコーダに挿入することを要求するメッセージが加入者に宛てて表示される。
【0053】
実施の変形形態によれば、カウンタは、ある数のタイムパルスに相当する数値を含む。イベントが含まれているデータフローは、定期的に送信される時間情報を含む。デコーダは、パルスを受信する毎に、カウンタを例えば1つずつ減分する。また、2回の再アクティブ化の間隔を調節するために、2つのパルスの間の間隔を変えることも可能である。
【0054】
これらの変形形態では、管理センタは、もっぱらあるセキュリティモジュール又はあるモジュール群に宛てられた「デコーダコマンド」内のカウンタの値を暗号化することができる。このコマンドが送られたセキュリティモジュールはこのタイプのコマンドを復号化し、照合鍵でこのコマンドを暗号化してデコーダに返送し、デコーダは自分に宛てられたコマンドを適用し、その結果、カウンタの値を変更する。
【0055】
先述のように、スレーブデコーダのカウンタの増分は、再初期化するデコーダ内に記憶されているタイム値に従い実行される。また、ある特定のデコーダに当てて許可メッセージEMMを「デコーダコマンド」に入れて送信し、このデコーダに非アクティブ化のタイム値を強要することも可能である。この場合、この新しい値はこのデコーダ又はメッセージが送られたデコーダにしか適用されない。このような方法により、例えば、許可なく販売された疑いがあるデコーダを即効的に非アクティブ化することができる。
【0056】
図4a及び図4bに示す本発明の第2の実施形態においては、ユーザは、有料テレビの第1加入契約C1を取得する時、上述の場合と同様、第1セキュリティモジュールICC1に結合された第1デコーダSTB1も取得する。デコーダ/セキュリティモジュールユニットのアクティブ化は図2aを参照して記述したものと全く同じようにして行われる。従ってこの図4aの符号は図2aの符号と同じである。
【0057】
要約すれば、管理センタCGのデータベースDB内で、ユーザ、ユーザの第1デコーダ、及びセキュリティモジュールに関するデータが検索される。照合鍵UK1は、製品及びマスタ機能と同様に、セキュリティモジュールに送信される。非アクティブ化のタイム値及びマスタセキュリティモジュールの識別番号を含む「デコーダコマンド」はデコーダに送信される。ユニットはアクティブ化され、その結果、データを復号化しイベントを視聴することが可能になる。
【0058】
加入者が第2デコーダの取得を所望する時には、当然のことながら、第2セキュリティモジュールを取得しなければならない。第2デコーダの使用開始の総体図を図4bに示す。例えば符号30から36が付してある本方法の第1部分では、この使用開始は図2bを参照して記述した方法と同一の方法で行われる。つまり加入者が管理センタを呼び出し、管理センタはそのデータベース内で関連する情報を検索する。第2セキュリティモジュールICC2と第2デコーダSTB2との間の照合は、従来のように、照合鍵Uk2をセキュリティモジュールに送信することにより行われる。製品に関する権利も上と同じようにして送信され、次に、非アクティブ化のタイム値及びマスタセキュリティモジュールの識別番号を含む「デコーダコマンド」がデコーダに送信される。
【0059】
次の工程47は、図2bの実施形態において記述した工程とは異なる。例えばこの工程47では、マスタセキュリティモジュールICCM又は第1セキュリティモジュールICC1と第2デコーダSTB2との間のマッチングを行う。このために加入者に対し、第1セキュリティモジュールICC1又はマスタセキュリティモジュールMを第2デコーダSTB2又はスレーブデコーダSに挿入するよう要求するためのメッセージが、加入者に宛てて表示される。このアクティブ化工程中に、管理センタCGは、通信業者のグローバル鍵により暗号化されたメッセージをマスタセキュリティモジュールに送信する。このメッセージは、第2デコーダSTB2と第2セキュリティモジュールICC2との間の照合鍵UK2を含む。従ってこの鍵は、第1セキュリティモジュールICC1と第2デコーダSTB2との間の通信にも、第2セキュリティモジュールICC2と第2デコーダSTB2との間の通信にも使用される。この鍵はマスタセキュリティモジュール内に記憶されているマッチングテーブル内に保存されている。
【0060】
この段階では、スレーブデコーダSTB2がセキュリティモジュールのユニークな番号を問い合わせる。この番号がマスタモジュールSNMの番号である場合、デコーダがデータフローの処理プロセスをアクティブ化し、イベントを視聴することができる。それにより、符号47で表す第2デコーダSTB2のアクティブ化が終了する。イベントを視聴するには、第2セキュリティモジュールICC2を第2デコーダSTB2に再度挿入しなければならないことに留意すべきであり、これは図4bの工程48に相当する。マスタセキュリティモジュールに対し、任意のデコーダからイベントを復号化する可能性を残すことも実現可能であるが、実際にはこれは望ましいことではない。通常、復号化は、デコーダがある1つのモジュールにのみに結合される時、或いはモジュールがある1つのデコーダにのみ結合される時に許可される。
【0061】
加入者が第3のデコーダ又は第n番目のデコーダを取得する場合、操作は第2デコーダの場合と同じように行われる。加入者は管理センタCGにおいて自身を同定し、デコーダのユニークな番号SNd及び結合されているセキュリティモジュールのユニークな番号SNsを示す。これらの要素はスレーブSとして登録される。製品Pのロード、及び第n番目のデコーダSTBnと第n番目のセキュリティモジュールICCnとの間のマッチングは従来のように照合鍵を用いて行われる。次に照合鍵Uknを用いて、当該デコーダSTBnとマスタセキュリティモジュールICCM又は第1セキュリティモジュールICC1との間でマッチングが行われる。次にデコーダは、タイム値と、管理センタによりデコーダコマンドに入れて送信される「デコーダコマンド」に含まれるマスタモジュールのユニークな識別番号SN1を記憶する。この値は、セキュリティモジュール/デコーダの各ペア毎に異なっていても、それらのいくつか又は全てに対し同一であってもよい。モジュール/でコーダーユニットのアクティブ化はマスタセキュリティモジュールを用いて行われる。第n番目のセキュリティモジュールICCnが第n番目のデコーダSTBnに再度挿入されるとイベントの復号化が可能になる。
【0062】
この実施形態におけるデコーダの非アクティブ化は、図2a及び図2bを参照して説明した方法と同一の方法で行われる。
【0063】
基本的に、デコーダの再アクティブ化は図4a及び図4bによって記述されている実施形態及び図2a及び図2bによって記述されているものと同様である。しかしながら、図4a及び図4bの実施形態においては、デコーダはマスタセキュリティモジュールのユニークな識別番号を確認するだけでは足りない。実際にはこのモジュールの真の認証を行う。さまざまな認証方法が可能である。そのうちの1つを以下で記述する。スレーブデコーダ、例えばSTB2は、乱数を発生し、ノンスクランブルでマスタセキュリティモジュール、例えばICC1に送信する。マスタセキュリティモジュールは、このデコーダSTB2とマスタモジュールICC1との間の通信を暗号化するための照合鍵UK2により乱数を暗号化する。次にマスタセキュリティモジュールは暗号化された数をデコーダSTB2に送り、デコーダは照合鍵UK2でこれを復号化し、当初の数と比較する。これと平行して、反対方向の認証も行うことができる。この場合、マスタセキュリティモジュールは乱数を発生し、これをノンスクランブルでデコーダに送り、デコーダは照合鍵UK2でこれを暗号化し、これをセキュリティモジュールに返送する。セキュリティモジュールはこれを復号化し、当初の数と比較する。比較により2つの値が同一であることが示されると、カウンタが再初期化され、イベントを視聴することが再度可能になる。二つの値が同一でない場合、データ処理が許可されない。
【0064】
この実施形態により、不正なセキュリティモジュールの不正な使用に対するセキュリティーを向上させることが可能である。
【0065】
図5、図6a及び図6bは、デコーダ/セキュリティモジュールユニットの数に対し追加のセキュリティモジュールを加入者が有する特定の実施形態を記述している。
【0066】
図6aにおいて符号60で示すように、有料テレビサービスのユーザはまず契約C1を取得しなければならない。図6aの工程62で示すように、加入者は、第1デコーダSTB1を取得する際には、上と同じく、第1セキュリティモジュールICC1も取得する。工程61で加入者は加入と同時に、「契約モジュール」という名称の追加セキュリティモジュールICCCも取得する。有利な実施形態によれば、この契約モジュールは、図5に示すように例えば異なる色を使用することにより、他のセキュリティモジュールから容易に区別することができる。
【0067】
前述の実施形態における場合と同じく、管理センタCGは、デコーダのユニークな識別番号SNdを有するデータベース及びこの番号に結合された照合鍵Ukを含む。図6aの工程63において、新規加入者は、自身のデコーダを初期化するために管理センタを呼び出す際には、契約モジュールのユニークな識別番号SNC、第1セキュリティモジュールの識別番号SNS、デコーダの識別番号SNd及び契約番号を示さなければならない。これらの内容により、セキュリティモジュールに関するデータをデータベース内のデコーダに関するデータにリンクさせることができる。この工程には符号64が付してある。
【0068】
これらの内容がデータベースに入力されていると、加入者は、デコーダSTB1に第1セキュリティモジュールICC1を挿入するよう要求される。このことは符号65に相当する。この操作が行われると、管理センタは照合メッセージ及び初期化メッセージを送信する。照合メッセージは、第1デコーダSTB1と第1セキュリティモジュールICC1との間の照合鍵UK1を含む。初期化メッセージは、非アクティブ化のタイム値並びに契約モジュールのユニークな識別番号ICCCを含む。非アクティブ化の値は第1デコーダに記憶される。次に、工程66で、加入者が復号化することを許可されている製品Pに関する権利が第1セキュリティモジュールにロードされる。
【0069】
これらの内容がデータベースに入力されていると、加入者は、デコーダSTB1に契約モジュールICCCを挿入するよう要求される。この状態は工程67に相当する。するとこの契約モジュール及びこの第1デコーダは、データベースに記憶されている照合鍵UK1であって、第1デコーダSTB1と第1セキュリティモジュールICC1との間及び第1デコーダSTB1と契約セキュリティモジュールICCCとの間でマッチングを行うことができる鍵を用いてマッチングされる。このマッチングは上で記述したものと同じ方法で行われる。一般的に契約モジュールでは暗号化されたコンテンツを復号化することはできないことに留意すべきである。セキュリティモジュールと第1デコーダとの間のマッチングが終了すると、ユーザは、このデコーダに第1セキュリティモジュールICC1を再度挿入するよう要求される。工程68では、第1デコーダ/セキュリティモジュールユニットをアクティブ化しその結果イベントの復号化が行えるように、アクティブ化コマンドが「デコーダコマンド」の形態でこの第1デコーダSTB1に送信される。データ処理を行えるようにするには、工程69で、第1セキュリティモジュールICC1を再度デコーダに挿入しなければならない。
【0070】
加入者は、図6bの符号70で示すような第2セキュリティモジュールICC2に結合された第2デコーダSTB2を取得した場合は、工程71で管理センタに連絡しなければならない。工程72では、加入者及びデコーダ/セキュリティモジュールユニットに関するデータが更新される。次に工程73で、上述の方法で第2デコーダSTB2が第2セキュリティモジュールICC2とマッチングされる。「デコーダコマンド」がデコーダに送信されるが、このコマンドは、第1デコーダの非アクティブ化の値と同一であっても異なっていてもよい非アクティブ化タイム値、並びに契約モジュールのユニークな識別番号SNCを含む。工程74で、第2セキュリティモジュールの製品Pに関する権利がロードされる。第2セキュリティーがデコーダから抜かれ、契約モジュールICCCがそこに挿入される。これら2つの要素はデータベースに含まれる照合鍵UK2によりマッチングされる。このマッチングは工程75で行われる。第2デコーダと第2セキュリティモジュールとの間の照合鍵は、デコーダと契約セキュリティモジュールとの間の照合鍵と同じである。第2デコーダのカウンタは工程76でアクティブ化される。
【0071】
次に、工程77で、第2セキュリティーがデコーダから抜かれ、契約モジュールICC2が再度そこに挿入される。この段階で、暗号化されたイベントを視聴することができる。
【0072】
第3又は第n番目のデコーダ/セキュリティモジュールユニットのアクティブ化手順は、第2ユニットに関して上で説明した手順と同一である。
【0073】
上述のように、一般的に、契約モジュールは暗号化されたコンテンツを復号化することができるようにはなっていない。しかしながら、ある決まった加入者に属するデコーダのうちの任意のデコーダから暗号化されたコンテンツを復号化することができるか、復号化の可能性を所与の単数又は複数のデコーダに限定することができる契約モジュールを作製することは可能である。この選択は基本的に、暗号化されたコンテンツを配信する通信業者次第である。
【0074】
上述のように、セキュリティモジュールの非アクティブ化のタイム値が使用時間であると仮定することにより、カウンタは定期的に減分される。カウンタが0になると、コンテンツの復号化が阻止され、ユーザに対しメッセージが表示される。このメッセージは、加入者がそのデコーダ/セキュリティモジュールユニットを再度アクティブ化しなければならないことを、加入者に示すものである。このためには、加入者はまず当該デコーダからセキュリティモジュールを抜き、契約モジュールICCMをそこに挿入しなければならない。ユニークな識別番号をただ確認するか、前述のように乱数を使用して真の意味の認証を実行することにより、この契約モジュールの認証が行われる。カウンタの再初期化は、マスタモジュールとして第1セキュリティモジュールを使用して記述した方法と同じ方法で行われる。
【0075】
上述のように、マスタセキュリティモジュールICCM又は契約モジュールICCCは照合鍵のテーブルを含む。このテーブルにより、マスタモジュールとある決まった加入者の各デコーダとの間の照合鍵を記憶することができる。テーブルはこれらの鍵の他、「消費した」イベントに関する情報及びサービス情報など他の情報も含むことができる。そのような情報を図1の表17の列IPPV及びServでそれぞれ示してある。これらの列は、管理センタに転送された後、通常はセキュリティモジュールに記憶される情報を示す。
【0076】
消費したイベントに関する情報は、特に(IPPV=Impulsive pay-per-viewという略語で知られる)衝動買いによって取得したイベントの番号及び識別を含む。現在では、イベントの衝動買いが可能な時には、この衝動買いのためのクレジットがセキュリティモジュールに記憶される。このクレジットは、衝動買いによりそのようなイベントが取得される毎に、決まったイベントの価格に相当する金額分だけ減分される。当初のクレジットが消費されると、加入者は管理センタを呼び出し、クレジットの再初期化を要求しなければならない。
【0077】
本発明によるシステムを使用することにより、IPPVの管理は異なる2つの方法で行われる。第1の方法は上述の方法である。即ちユーザは、イベントを注文するために管理センタを呼び出す。実際には、ユーザは自分が選択したものを通信業者に知らせることによりイベントを注文するか、例えばリモコンのキーを使用することができる。
【0078】
第2の方法は以下のように行われる。衝動買いの際、この購入に関するデータ、即ち特にイベントの識別及びその価格が記憶される。識別及び価格はセキュリティモジュールICC又はデコーダSTBに保存することができる。特に、デコーダのカウンタを増分させるために、マスタセキュリティモジュールがこのデコーダに挿入されると、データ、限定されるものではないが特にIPPVに関するデータが、マスタ又は契約セキュリティモジュールに送信される。データがデコーダに保存される場合、データを、暗号化された状態又はノンスクランブル状態で、このマスタモジュールに直接転送することができる。データがセキュリティモジュールに記憶される場合、データをまずデコーダのバッファメモリゾーンに転送しなければならない。マスタセキュリティモジュールがデコーダに挿入されると、これらのデータはマスタモジュールのテーブルに入力される。これらのデータがマスタモジュールに転送されてしまえば、カウンタを再初期化することができる。
【0079】
マスタモジュール又は契約モジュールによるデータのこの「取り込み」作業は全てのスレーブモジュールに対して同じように行われる。こうして、マスタセキュリティモジュールは、ある決まった加入者に属する全てのモジュールから送られてくる関連情報を含む。ケーブル又は公共電話網などの戻り線路に接続されたモデムを含むデコーダにマスタセキュリティモジュールが挿入されると、一部又は全てのデータが管理センタに送信される。一般的にこれらのデータは暗号化されて送信される。管理センタは全ての鍵を持っているため、メッセージの内容を容易に復号化することができる。従って、個々のデコーダ毎に、加入者が消費したイベントの内容を正確に知ることが可能であり、それにより、イベント全体に対し一括して請求書を発行することができる。これらのデータが管理センタに送信されていれば、管理センタは、特に、各セキュリティモジュールについてクレジット残の金額を知ることができる。また管理センタは、ユーザが再度衝動買いができるようこの残金を増分させることもできる。これにより、各加入者に割り当てられたクレジットを柔軟かつ正確に管理することが可能になる。
【0080】
加入者毎かつ加入者のデコーダ毎に消費されたイベントを正確に把握することは多くの利点をもたらす。まず、上述のように、衝動買いに割り当てられるクレジットの管理が極めて容易である。また、例えば各チャンネルについての各デコーダの使用時間などあらゆる種類の統計を行うことが可能である。これにより、特に、どんな製品が消費されたかを求め、及び見積りに基いた料金ではなく実際の消費量に応じた料金を支払うことが可能になる。また、これにより、各デコーダについての正確なプロフィールを求め、これらのデコーダのユーザに対し、このような要望に対応するイベント又は製品を提案することが可能になる。
【0081】
テーブルはサービス情報も含むことができる。サービス情報は例えば信号の受信レベルを記述することができるので、アンテナの向きが最適ではない場合、技術者に連絡しなければならないという情報をユーザに送信することができる。これにより、最適な受信ゾーンが得られるように、通信衛星のアンテナの位置を正確に求めることができる。他のサービス情報は例えばデコーダの使用時間、又はシステムの最適な運転を実現し上述のように統計を行うのに有効となりうるあらゆる種類の他の情報を記述することができる。サービス情報はまたソフトウェアのバージョン又はこれらのソフトウェアの変更日に関するデータを含むこともできる。
【0082】
これらの情報はマスタセキュリティモジュール又は契約キュリティーモジュールによっても収集され、次に、このモジュールがモデムに接続されたデコーダに挿入されると、これらの情報は管理センタに送信される。
【0083】
加入者のデコーダ群にモデムが含まれていない場合、或いはそのうちのいずれも電話線に接続されていない場合、加入者に対し、郵便により契約セキュリティモジュールを送るよう加入者に要求することができる。この場合、このモジュールの送付を要求する管理センタは、このモジュールがこの加入者の住所以外のところにある間、復号化機能の中断が発生しないように措置を講ずることができる。このことは、非アクティブ化のタイム値をモニターし、加入者がその契約モジュールを持っていない間に0になる恐れのあるタイム値を増分させることにより、実現される。管理センタは消費金額を正確に把握しているので、加入者のクレジットを増分させることができる。
【0084】
同一の加入者の名義で登録された全てのデコーダからの全ての情報を受信するという事実は、各加入者に関して消費されたイベントに関して発行する請求書は一枚だけであるという長所を有する。またこのことは、本発明の目的において言及したように抑止効果も含んでいる、というのは、自分のセキュリティモジュール/デコーダユニットを別のユーザに売却した加入者は結局このユーザからの請求書を受け取ることになるからである。更に、衝動買いが可能である場合、別のユーザが消費した衝動買いの量を制御することができなくなり、これに対応する金額が請求書で請求されることになる。
【0085】
図7aから図7dは本発明の装置において使用することができるデコーダの種々のアーキテクチャを示す図である。図7aの装置は、内部デコーディングモジュールDと取り外し可能なセキュリティモジュールICC1を含む従来のデコーダを示す。このアーキテクチャは最も一般的なものであり。上の記述に相当する。
【0086】
図7bは、更にセキュリティモジュールの第2リーダを含む図7aに図示したようなデコーダを表す。この場合、デコーダに結合されたスレーブセキュリティモジュールICC1はデコーダ内に残しておくことができる。一方、第2リーダーは、マスタセキュリティモジュールICC1、或いは契約モジュールが使われていればこのモジュールを収納することができる。
【0087】
図7cは、デコーダが、セキュリティモジュールICCC用リーダと、デコーダに内蔵され従来の電子ハウジングの形態で作製されたセキュリティモジュールICC1とを含む実施形態を示す図である。通常動作時は、一般的に、デコーダに内蔵されたセキュリティモジュールが使用される。このセキュリティモジュールは定義上、契約モジュールである。例えば内部モジュールによって行われる機能が大きく変わった後など、このモジュールが作動しなくなった時、この実施形態により、取り外し可能モジュールを使用することが可能になる。
【0088】
図7dは図7cと同様であるが、違いは、内部セキュリティモジュールICC1がスクランブル解除モジュールDの集積回路のうちの1つに内蔵されていることである。
【0089】
セキュリティモジュールの機能もスクランブル解除モジュールDに内蔵することができる。
【0090】
上の記述においては、加入者が契約モジュールを持たない場合には、第1セキュリティモジュールICC1がマスタモジュールであることが認められていた。加入者が契約モジュールを持っている場合には、契約モジュールがマスタの役割を果たす。この理由から、文中に明記する場合を除き、マスタセキュリティモジュールは、デコーダと対にされマスタ機能が割り当てられたあるセキュリティモジュールのうちの1つとするか、契約モジュールとすることができる。
【図面の簡単な説明】
【0091】
【図1】図1は、加入者に設置された要素と、有料テレビのイベントの配信業者に設置された要素とを示す図である。
【図2a】図2aは、第1実施形態による第1デコーダのアクティブ化に関連する操作を示すブロック線図である。
【図2b】図2bは、図2aの実施形態による同一の加入者の第2デコーダのアクティブ化に関連する操作を示すブロック線図である。
【図3】図3は、本発明の装置の作動の一部分を示すブロック線図ある。
【図4a】図4aは、第2実施形態による第1デコーダのアクティブ化に関連する操作を示すブロック線図である。
【図4b】図4bは、図4aの実施形態による同一の加入者の第2デコーダのアクティブ化に関連する操作を示すブロック線図である。
【図5】図5は第3の実施形態により作動する、本発明によるシステムを示す図である。
【図6a】図6aは、図5にも示す第3実施形態による第1デコーダのアクティブ化に関連する操作を示すブロック線図である。
【図6b】図6bは、図6aの実施形態による同一の加入者の第2デコーダのアクティブ化に関連する操作を示すブロック線図である。
【図7a】図7aは、本発明による装置の可能なアーキテクチャを示す図である。
【図7b】図7bは、本発明による装置の可能なアーキテクチャを示す図である。
【図7c】図7cは、本発明による装置の可能なアーキテクチャを示す図である。
【図7d】図7dは、本発明による装置の可能なアーキテクチャを示す図である。
【技術分野】
【0001】
本発明は、有料テレビのデータ処理のためのデコーダに関する。本発明は有料テレビのデータ管理システム並びに有料テレビのデータ処理のための少なくとも2つのデコーダの管理方法にも関する。
【0002】
通常、映画、スポーツの試合、その他等、有料テレビの通信業者によって配信されるイベントに対応する暗号化されたコンテンツにアクセスできるようにするためには、加入権、デコーダ、及びセキュリティモジュールを取得しなければならない。加入者によっては、彼らの住宅の異なる部屋に配置された複数のテレビから配信されるイベントに複数のユーザがアクセスできるようにするために、複数のデコーダ及び複数のセキュリティモジュールの所有を所望する者もいる。
【0003】
この場合、更なる加入、デコーダ及び/又はセキュリティモジュールのための金額は、最初の加入、デコーダ及び/又はセキュリティモジュールのための金額よりも通常は低い。しかしながら、一人の加入者が複数のデコーダ及び/又はセキュリティモジュールを取得していないのに、これにより更なるユニットに対する値引きの恩恵を受けたり、非加入の第三者がこの値引きを享受したり、或いは通常の取得金額よりも安い金額でこれらのユニットを再販売することを防止することが求められている。
【0004】
このような状況を防止するための1つの解決方法は、セキュリティモジュールに結合された複数のデコーダを実際に自分の住居に所有する加入者にとってはほとんど苦痛ではないが、反対に、デコーダ及びセキュリティモジュールを売却した加入者、或いはそのようなモジュールの購入者にとっては極めて苦痛な操作を強制することである。更に、この操作が行われない場合、送信されたコンテンツの復号機能は可能にならない。
【0005】
欧州特許第0826288号(特許文献1)には、この目的を部分的に達成することが可能なシステムの記述がある。この特許は、それぞれが特定の加入者に結合されている複数テレビユニットを備える有料テレビシステムについて記述している。各ユニットは少なくとも2つのデコーダで形成され、各デコーダは、テレビシステムに結合されたデコーダに送信されるコンテンツを復号化することができるようになっているチップカードに結合される。各チップカードは、そのカードの同定を可能にする一定数の情報を含む。これらのデータは「連鎖データ」と呼ばれ、例えば署名、鍵、その他の決定要素等である。同一の加入者に結合された全てのカードは少なくとも1つの共通連鎖データを有する。異なる加入者のカードは共通データをもたない。
【0006】
加入者の全チップカード、或いは少なくともそのうちの1つは、予め決められた基準に従い、非アクティブ化することができる。これらの基準は例えば決められた日付或いは使用期間とすることができる。カードを非アクティブ化すると、制御語は復号化されなくなる。配信されたイベントに対応するこれらの制御語がない場合には、当該デコーダに送信されるコンテンツは復号化することができない。
【0007】
加入者が、まだアクティブなカードと、同じ加入者に接続されたデコーダと有していれば、非アクティブ化したカードを再度アクティブ化することができる。これを実現するには、先行技術のこの発明によるシステムは以下のように作動する。
【0008】
アクティブなカードに結合されたデータは、このカードが挿入されたデコーダ内にまず記憶される。カードを非アクティブ化するときには、加入者のアクティブなカードに結合されたデコーダにカードを挿入しなければならない。デコーダ内に記憶されている署名、鍵等の連鎖データは、非アクティブ化されたカードの連鎖データで認証される。これらのデータが一致すると、一定期間カードが使用できるように、例えば次回のオフ日付又は使用期間を格納しているカウンタの値が増分される。これらの連鎖データが一致しない場合、非アクティブ化されたカード内ではカウンタが初期化されず、制御語の復号化ができず、イベントは暗号化されたままである。
【0009】
このシステムにおいては、連鎖データが対応していれば、即ち連鎖データが同一の加入者に属していれば、加入者のアクティブなカードに結合された任意のデコーダにより、非アクティブなカードを再度アクティブ化することができる。従って加入者のカードが、最初の加入者と地理的に近い人に売却されていた場合、非アクティブ化されたカードを所有する者は、加入者のアクティブなカードに結合された任意のデコーダ内のアクティブなカードに結合された任意のデコーダ内にこのカードを挿入することができ、その結果、自身のカードを作動させることができる。従って、本発明が求める抑制効果は部分的にしか達成されない。
【0010】
また、この特許の方法に関わる制約を防止する簡単な方法が存在する。実際、非許可のデコーダ/チップカードユニットの購入者は2つのユニットを入手するだけでよい。こうすることにより購入者はカードが非アクティブ化された時点でこれを再度アクティブ化することができる。
【0011】
全てのカードが非アクティブ化されると別の問題が生じる。特に、加入者がほとんどテレビを見ない時、或いは最初のカードが非アクティブ化された時から最後のカードが非アクティブ化される時まで加入者が不在である時、そのような問題が生じることがある。この場合、もはやカードを再度アクティブ化することはできなくなり、別のカードを注文するのが唯一の方法となる。
【0012】
この欧州特許第0826288号(特許文献1)で記述されている発明においては、全ての重要な情報、即ち基本的に連鎖データ及び非アクティブ化の日付に関するデータがカードに記憶される。デコーダは単に、アクティブなカードと、非アクティブ化手順の際に非アクティブ化された別のカードとの間で連鎖情報を転送するための「バッファメモリ」の役割を果たすだけである。
【0013】
上に記載した目的を達成することができる別の発明は米国特許第5,748,732号(特許文献2)において記述されている。この文献は、1つのマスタデコーダと、チップカードを具備する単数又は複数のスレーブデコーダを含む有料テレビシステムに関する。スレーブデコーダのチップカードの有効期間は比較的短いが、それは、有効期間が終了すると、デコーダは暗号化されたデータを復号化することができなくなることを意味する。管理センタは、有効期間が終了したチップカードを再アクティブ化するために、許可メッセージEMMをマスタデコーダに送信する。マスタデコーダは、スレーブチップカードの動作についての新しいデータをメッセージから抽出するようメッセージを処理する。ユーザがそのスレーブカードを再アクティブ化することを所望する時は、記憶されたデータをこのカードに転送するマスタデコーダにカードを挿入しなければならない。
【0014】
この実施形態においては、上と同様に、全ての重要な情報、特にスレーブカードの動作期間に関するデータがカードそのものに記憶される。デコーダは単に、マスタカードからスレーブカードへの再更新情報を転送するための「バッファメモリ」の役割を果たすだけである。特にこのデコーダは、あるカードのアクティブ化期間を管理することができるカウンタを含んでいない。
【特許文献1】欧州特許第0826288号
【特許文献2】米国特許第5,748,732号
【発明の開示】
【発明が解決しようとする課題】
【0015】
本発明は、通信業者から送信されるイベントへのアクセスの安全性及び制御を保証する代替的解決方法を提供することを目的とする。本発明は、デコーダの作動期間の弾力的管理を可能にし、いつでもセキュリティモジュールにより動作パラメータを適合させることを目的とする。
【0016】
また本装置は各加入者を包括的に管理することも目的とする。単数又は複数のデコーダ/セキュリティモジュールユニットを売却する加入者には、これらのユニットのユーザが消費するイベントの請求書が送られることになる。これにより、この発明において求められる抑止効果が著しく高まる。
【0017】
更に本発明により、請求書発行の観点からも統計の観点からも、例えばサービス情報、或いはイベントの衝動買いに関するデータ等、デコーダ/セキュリティモジュールユニットにより提供される情報を収集し管理することができる。
【課題を解決するための手段】
【0018】
本発明の諸目的は、有料テレビのデータの処理のためのデコーダであって、前記デコーダに格納されている識別データにより少なくとも1つの取り外し可能なセキュリティモジュールに結合され、スクランブル解除モジュールを含むデコーダであり、更に、有料テレビのデータ処理の非アクティブ化手段及び内容に応じて前記非アクティブ化手段に作用するカウンタを含むことを特徴とするデコーダによって達成される。
【0019】
これらの目的は、各デコーダが、前記デコーダ及びセキュリティモジュール内に格納されている識別データにより少なくとも1つの取り外し可能なセキュリティモジュールに結合され、1つのスクランブル解除モジュールと有料テレビのデータ処理の非アクティブ化手段とを含む少なくとも2つのデコーダを有する有料テレビのデータ管理システムにおいて、デコーダが前記非アクティブ化手段に作用する1つのカウンタを更に含み、セキュリティモジュールのうちの少なくとも1つがマスタとなり、デコーダの前記カウンタを再初期化するための手段を含むことを特徴とするシステムによっても達成される。
【0020】
これらの目的は更に、有料テレビのデータ処理のための少なくとも2つのデコーダの管理方法において、前記デコーダが、一人の加入者に結合されかつ有料テレビのデータ処理の非アクティブ化手段と前記非アクティブ化手段に作用する1つのカウンタとを含み、各加入者が少なくとも1つのデコーダにローカルに接続することができる少なくとも2つの取り外し可能なセキュリティモジュールを有するようなデコーダの管理方法であって、
‐ ある加入者に所属するセキュリティモジュールの中から少なくとも1つのマスタセキュリティモジュールを決定する工程と、
‐ マスタセキュリティモジュールの識別データを加入者の各デコーダ内に記憶する工程と、
‐ 予め決められた少なくとも1つの基準に従い、カウンタによりデータ処理のデコーダを非アクティブ化する工程と、
‐ 非アクティブ化されたデコーダにマスタセキュリティモジュールを挿入することによりカウンタを再初期化する工程と
を含む方法により達成される。
【0021】
本発明は、非限定的例として示した添付の図面を参照して行う以下の詳細な説明により、より良く理解されよう。
【発明を実施するための最良の形態】
【0022】
以下、複数の実施形態を参照して本発明について記述するが、これらの実施形態においては、加入者が複数のデコーダSTB1、STB2、STB3、...を有し、各デコーダが1つのセキュリティモジュールICC1、ICC2、ICC3、...に結合され、セキュリティモジュールは例えばマイクロプロセッサカード又はチップカードの形態、或いはICケースの形態で作製することができる。デコーダは、暗号化されたデータを処理しこれらのデータをノンスクランブルで使用できるように構成されたスクランブル解除モジュールと、識別データを記憶するためのメモリと、有料テレビのデータへのアクセスを許可又は禁止するために構成された非アクティブ化手段とをそれぞれ含む。
【0023】
図2a及び図2bに示す第1実施形態によれば、図2aに工程20で示すように、ユーザが有料テレビの初回加入契約C1を取得する際には、ユーザは、第1セキュリティモジュールICC1に結合された第1デコーダSTB1も取得する。このことを図2aの符号21で図示する。当業者にとっては既知のように、セキュリティモジュールは、デコーダが有料テレビのデータを処理し、その結果、あるイベントに結合された暗号化されたコンテンツを復号化することができるように、イベントに関する権利並びにデコーダへの制御語の返送を管理する。
【0024】
加入者は、イベントの復号に必要な要素の全て、即ち加入権、デコーダ及びセキュリティモジュールを取得したら、これらの要素が作動するように、まずこれらの要素をアクティブ化しなければならない。このアクティブ化がない場合、ユニットは有料テレビのデータを処理することができない。
【0025】
具体的な実施形態によれば、加入者は、初めてそのデコーダSTB1及びセキュリティモジュールICC1をアクティブ化しようとする場合、管理センタCGを呼び出し、識別データ、特に加入契約に関する識別番号C1、セキュリティモジュールに関するユニークな識別番号SN、デコーダに関するユニークな識別番号SNd、及び場合によっては確認のための名称(Sub1、Sub2)を提示しなければならない。このことを図2aの符号22で図示する。識別番号は通常、よく連番とも呼ばれる。通常、これらの操作はシステムを加入者の家屋に設置する通信業者によって行われる。
【0026】
これらの情報は、管理センタが、加入者が取得したデコーダSTB及びセキュリティモジュールICCと結合して、加入者(Sub1、Sub2)を登録し、デコーダとセキュリティモジュールを対にするのに用いられる。デコーダとセキュリティモジュールは別々に取得することができるため、管理センタへの呼び出しの前には、管理センタはどのセキュリティモジュールが特定のデコーダに組み合わされているかを知る手段を持たないことに留意すべきである。
【0027】
図1で符号CGで図示するように、管理センタは、セキュリティモジュールをデコーダに結合することができる情報が記憶される少なくとも1つのデータベースを含む。より詳細には、管理センタは、このセンタによって管理される各デコーダSTBのユニークな識別番号SNdをそのデータベースに含む。このユニークな番号は、デコーダ毎に異なる(対称型又は非対称型の)少なくとも1つの暗号化鍵Ukを含む。「照合鍵」と呼ばれるこの暗号化鍵もデコーダ内に記憶される。加入者がユニークな番号SNdにより自分のデコーダを同定し、セキュリティモジュールのユニークな番号SNsを示すと、管理センタはデータベース内でそのセキュリティモジュールをそのデコーダにリンクさせる。図1においては、データベースの内容を3つの表で示してある。表のうちの1つである表15は、管理センタによって管理され識別番号及び照合鍵Ukに結合された全てのデコーダSTBの一覧を含む。別の表16は、全てのセキュリティモジュールICC並びにそのユニークな識別番号SNsの一覧を含む。第3の表17は、デコーダSTBとセキュリティモジュールにそれぞれ結合された加入契約C1、C2、...及び加入者Sub1、Sub2、...の一覧を含む。この表は、加入者が取得した製品Pの一覧、並びに以下に役割を説明するマスタ機能M又はスレーブ機能Sの指示を含む。この表17は、以下に説明するように、サービス情報と呼ばれるその他の情報を記憶するのにも使用することができる。製品P、即ち、特に、加入者が視聴することを許可されているイベントは、加入契約又はセキュリティモジュールに結合することができる。これは、ある加入者のすべてのセキュリティモジュールについて同じ製品とすることも、反対に、異なるモジュールについて異なる製品とすることもできることを意味する。こうして、例えば、ある決まったデコーダ/セキュリティモジュールユニットからアクセス可能な製品を制限することが可能である。情報を検索しデータベース内にリンクを生成する工程には図2aにおいて符号23を付してある。
【0028】
セキュリティモジュールICC1とデコーダSTB1との間の通信を暗号化することができるように、デコーダのユニークな番号SNd1に結合された暗号化鍵Uk1をこのセキュリティモジュールに送信しなければならない。この鍵の送信は通常、通信業者のグローバルプライベート鍵を用いて暗号化された管理メッセージEMMに入れて行われ、この鍵はこの通信業者が管理する全てのセキュリティモジュールに対し同一である。このメッセージの宛先であるセキュリティモジュールに結合されたデコーダは、このメッセージを受信し、セキュリティモジュールに送信することができ、セキュリティモジュールは通信業者のグローバル公開鍵を用いてメッセージを復号化し、そこから照合鍵Uk1を抽出する。この照合鍵はデコーダのユニークな番号SNdとともに第1セキュリティモジュールICC1のメモリに保存される。照合工程には図2aにおいて符号24が付してある。次の工程25では、データベースの表17から導かれるような製品Pの復号化権がセキュリティモジュールにロードされる。
【0029】
管理センタのデータベースはこの第1デコーダに結合されたセキュリティモジュールにマスタ機能Mを割り当てるが、この操作には図2aにおいて符号26が付してある。
【0030】
工程27に示すように、全てのデータがデータベースに入力され、照合鍵Uk1がセキュリティモジュールに送信されたら、復号化ができるように、デコーダSTB1をアクティブ化しなければならない。次に管理センタは当該デコーダSTB1宛に「デコーダコマンド」を送信する。「デコーダコマンド」はデコーダ宛のコマンドであり、許可メッセージEMMの形態で送信され、デコーダがこのコマンドを直接処理するのに十分なセキュリティ手段を持たないためセキュリティモジュールによって処理される。許可メッセージEMMは通信業者のグローバル鍵を用いてセキュリティモジュールにより復号化される。セキュリティモジュールはこのコマンドがメッセージに関するものではないことを判別できるため、照合鍵Uk1を用いてこのメッセージを暗号化し、次にそれをデコーダに返送し、デコーダはこのメッセージを復号化しコマンドを適用する。
【0031】
この「デコーダコマンド」はマスタセキュリティモジュールの識別データを含むが、これらのデータは通常、そのモジュールの識別番号SNMであるか、セキュリティモジュールを識別することができる他のデータ、及び、通常は時間データである非アクティブ化の値とすることができる。識別データはデコーダのメモリ内に記憶され、非アクティブ化の値はデコーダの1つのカウンタに割り当てられる。記述した例においては、マスタセキュリティモジュールの識別番号SNMは第1セキュリティモジュールの識別番号SNs1に等しいことに留意されたい。なぜならこの第1セキュリティモジュールはマスタ機能を有しているからである。
【0032】
この段階ではデコーダはセキュリティモジュールのユニークな番号SNsを要求し、「デコーダコマンド」を含むメッセージで受信した番号と比較する。元のモジュールが他のモジュールに交換されなかった場合にもちろんそうであるように、これらの値が等しい場合、デコーダは、セキュリティモジュールへのイベントの制御メッセージECMの転送の停止を解除するように、非アクティブ化手段に作用し、制御語を復号化することができる。デコーダのカウンタもアクティブ化される。加入者が1つのデコーダと1つのセキュリティモジュールしか持たない場合、国際特許出願第WO99/57901号において記述されているように、これらは対になって作動し、暗号化されたイベントの復号化は従来の方法で行われる。
【0033】
上の記述においては、セキュリティモジュールとデコーダとの間のやり取りは、照合鍵Uk1を用いて暗号化された状態で行われる。しかしながら、照合鍵とは異なるが照合鍵から作られるセッション鍵を用いてこれらのやりとりが行われるようにすることも可能である。
【0034】
加入者が第2デコーダの取得を所望する時には、当然のことながら第2セキュリティモジュールを取得しなければならない。図2bに、第2デコーダの使用開始の全体図を示す。第2デコーダSTB2及び第2セキュリティモジュールICC2の取得は符号30で表している。上と同様、加入者は、図2bの工程31で、管理センタCGを呼び出し、識別データ、特に第2デコーダSTB2及び第2セキュリティモジュールICC2のユニークな番号SNd2及びSNs2、加入番号C1、及び場合によっては確認のための名称Sub1を提示しなければならない。工程32で、必要な情報がデータベース内で検索され、図2aを参照して説明したように、データベースが補完される。データベースにより、デコーダSTB2内に記憶されている照合鍵Uk2を見つけることができる。この照合鍵Uk2はデータベース内で第2デコーダSTB2のユニークな番号SNd2に結合される。工程33では、暗号化された通信をセキュリティモジュールとデコーダとの間で行うことができるように、この照合鍵Uk2が第2セキュリティモジュールICC2に送信される。工程34では、管理センタにより製品一覧も第2セキュリティモジュールICC2に送信される。工程35では、管理センタのデータベース内で、スレーブ機能Sが第2セキュリティモジュールICC2に割り当てられる。上と同様、暗号化された許可メッセージEMMの形態で「デコーダコマンド」が第2デコーダに送信され、このコマンドは非アクティブ化の値及びマスタセキュリティモジュールの識別番号SNMを含む。このことは図2bの工程36に相当する。上と同様、これら2つの情報はデコーダ内に記憶され、識別データはメモリ内に記憶され、非アクティブ化の値はこのデコーダのカウンタに割り当てられる。
【0035】
この段階では、デコーダ及びそのセキュリティモジュールはアクティブ化されず、従って通信業者から配信される暗号化されたイベントの復号化はまだ許可されない。デコーダ及びセキュリティモジュールはスレーブ機能を有するので、上の例で第1セキュリティモジュールICC1に相当するマスタセキュリティモジュールICCMによりアクティブ化しなければならない。そのため、加入者に第1セキュリティモジュールICC1又はマスタセキュリティモジュールICCMを第2デコーダSTB2又はスレーブデコーダSに挿入するように要求するメッセージが加入者に向けて表示される。これを図2bにおいて符号37で示す。メッセージの表示と同時に、又はその後、デコーダは自身が含むセキュリティモジュールから識別番号SNSを得るために、このモジュールにコマンドを送信する。この番号は、識別データを比較するための手段により、管理センタCGから提供され第2デコーダ内に記憶されたマスタセキュリティモジュールの識別番号SNMと比較される。両者の番号が一致する場合、デコーダはフローの処理プロセスをアクティブにし、このデコーダのカウンタを起動させる。デコーダは第2セキュリティモジュールICC2を第2デコーダSTB2にサイド挿入するよう要求するユーザ向けのメッセージも表示する。それが行われると、有料テレビのデータの処理が行われイベントを視聴することができるように、非アクティブ化手段が連動される。こうして、符号38で示すデコーダSTB2のアクティブ化が終了する。
【0036】
加入者が第3又はn番目のデコーダを取得する場合、操作は第2デコーダの場合と同じように行われる。加入者は、管理センタCGにおいて同定され、デコーダのユニークな番号SNd、及び結合されているセキュリティモジュールのユニークな番号SNSを提示する。これらの要素はスレーブSとして登録される。スレーブセキュリティモジュールとデコーダとの間のマッチングは製品Pのロードの場合と同じく従来の方法で行われる。
【0037】
次にデコーダは、タイム値、及び管理センタによって送信された「デコーダコマンド」に含まれているマスタモジュールのユニークな識別番号SN1を記憶する。この値は、それぞれのセキュリティモジュール/デコーダのペア毎に異なっていても、それらのいくつか又は全てに対し同一であってもよい。この段階では、スレーブデコーダSTBnがセキュリティモジュールのユニークな番号を要求する。この番号がマスタの番号である場合、デコーダはアクティブ化される。しかしながら、イベントを視聴できるようにするには、対応するスレーブセキュリティモジュールをデコーダに再度挿入する必要がある。
【0038】
記述においては、第1セキュリティモジュールはマスタセキュリティモジュールでもあると仮定されていて、加入者が1つのデコーダ/セキュリティモジュールユニットしか持っていない場合、当然ながらそのことは正しいことに留意すべきである。反対に、加入者が複数のデコーダを有する場合、そのうちの第1デコーダをデフォルトでマスタとして登録することができるが、このマスタ機能を他の任意のデコーダに割り当てるようにすることが可能である。そのためには、管理センタに要求を出さなければならず、管理センタはデータベース内、割り当てられたセキュリティモジュール内、及び全てのデコーダ内のパラメータを適合させる。決められた加入者の1つのセキュリティモジュールのみがマスタ機能を割り当てられ、他のセキュリティモジュールは全てスレーブとみなされる。
【0039】
加入者の種々のデコーダ/セキュリティモジュールユニットによって、上で説明した手順に従うことにより、有料テレビのイベントを復号化し視聴することが可能である。非アクティブ化手段を管理し、いくつかの基準による復号化、特に、ある時間後の復号化を防止するために、各デコーダのカウンタ内に記憶されている非アクティブ化タイム値が使用される。
【0040】
第1実施例では、非アクティブ化タイム値が、例えば30日といったある期間に対応すると仮定されている。従ってデコーダはこの30日の期間後には非アクティブ化される。非アクティブ化値は各デコーダのカウンタに記憶される。
【0041】
通常動作時、即ちセキュリティモジュールが対応するデコーダに挿入された時、デコーダに記憶されたカウンタの値は、例えば毎日或いは毎時間というように一定の間隔で、予め決められた期間が経過した時にカウンタが0の値に到達するというような数から減分される。予め決められたある値までカウンタが増分されるようにすることも可能である。このことを図3に示す。この図においては、セキュリティモジュールICC1がマスタモジュールであり、モジュールICC2がスレーブであると仮定されている。デコーダSTB1及びSTB2はモジュールICC1及びICC2にそれぞれ結合されている。工程40では、デコーダは、セキュリティモジュールの識別番号SNsを判定するために、一定の間隔でキュリティーモジュールに問い合わせる。この番号が第2セキュリティモジュールの識別番号SN2と等しい場合、工程41において、カウンタの値が0であるかどうかが確認される。0でない場合、予め決められた規則に従い第2デコーダのカウンタが減分される。このことは図3の工程42で行われる。
【0042】
符号43に図示するように、このカウンタの値が0であるか予め決められた値に到達すると、加入者がイベントを視聴できなくなるよう非アクティブ化手段が使用される。非アクティブ化手段の範囲内で、有料テレビのデータへのアクセスを非アクティブ化するのに複数の可能性を実施することができる。デコーダに対し、イベントに関するデータを含む制御メッセージECMをセキュリティモジュールに送信することを阻止することを強制し、その結果これらのメッセージがセキュリティモジュールに到達しないようにすることが可能である。またデコーダに対し、セキュリティモジュールから返送される復号化された制御語を受信しないよう強制することも可能である。また別の可能性として、デコーダのスクランブル解除モジュールからの音声及び映像の送信を阻止するというものがある。この場合、復号化は通常のように行われるが、ユーザはそのテレビの画面には何も受信されない。いずれの場合も、イベントの表示の阻止を行うのはデコーダである。
【0043】
このカウンタの値が0になるか予め決められた値に到達すると、イベントの復号化ができるように、ユニットを再度アクティブ化する必要がある。実施形態によれば、ユニットを再度アクティブ化する際、値が0になるまで待つ必要はない。より速く再アクティブ化を行い、カウンタの値を再初期化しカウンタの0セットを回避するようにすることが可能である。この目的のため、デコーダはこのカウンタの進捗を表示するための手段を持つことができる。
【0044】
カウンタが0の値に達したことにより非アクティブ化されたデコーダの再アクティブ化は以下のようにして行われる。第2デコーダSTB2のカウンタが0の値又は予め決められた値に達し、その結果、カウンタが非アクティブ化されたと仮定することにする。非アクティブ化されたデコーダと対にされたセキュリティモジュールICC2はこのデコーダから回収される。図3の工程44で、マスタセキュリティモジュール又は第1セキュリティモジュールICC1がこのデコーダに挿入される。スレーブデコーダSTB2は、このデコーダ内にあるセキュリティモジュールのユニークな識別番号を得るために、コマンドを送信する。次にこのデコーダは比較手段により、マスタセキュリティモジュールのユニークな識別番号SNSが、デコーダがその初期化の際に記憶した識別番号SNMと同一であるかどうか確認する。これは図3の工程45で行われる。これらの番号が対応している場合、工程46で、デコーダのカウンタが再初期化され、非アクティブ化の新しいタイム値がこのカウンタに入力される。通常、この非アクティブ化の値はデコーダ内に記憶されている値である。デコーダに記憶されている値は、管理センタから送信される許可メッセージEMMを用いて変更することが可能であることに留意すべきである。この場合、デコーダに記憶された新しい値が毎回の再アクティブ化に適用される。またこの新しい値は、セキュリティモジュールに宛てられた許可メッセージEMMにより管理センタから直接受信した値とすることもできる。この新しい値がデコーダに記憶されない場合、その値は現在進行中の再アクティブ化の場合にのみ適用される。次にマスタセキュリティモジュールを回収し、通信業者から送信される暗号化された内容を復号化するために、このデコーダと対にされたスレーブセキュリティモジュールICC2を再度挿入することができる。マスタモジュールの識別番号が対応しない場合、カウンタは再初期化されることはなく、イベントを視聴することができない。加入者のための指示は、非アクティブ化されたデコーダに結合されたテレビの画面に表示されるのが好ましく、その結果、加入者は工程を追って操作を実行するだけでよい。
【0045】
好ましい実施形態においては、カウンタの再初期化を発生させるのに、テレビの画面にメッセージが表示されるまで待つ必要はない。事実、この操作は、マスタセキュリティモジュールをスレーブデコーダのうちの1つに挿入することによりいつでも行うことができる。
【0046】
任意実施例によれば、例えば2時間といった比較的短い期間に相当する値で「手動で」カウンタを増分することが可能である。これにより、当該デコーダのカウンタが0の値に到達していても、現在進行中のイベントを視聴し終える時間をユーザに残すことが可能である。別の任意実施例によれば、セキュリティモジュールが例えば48時間といった比較的短い期間、作動することが可能であることを加入者に知らせる警告メッセージを表示することも可能である。これは、一定の間隔でカウンタの値を判定することにより実現することができる。従って加入者は、セキュリティモジュールが非アクティブ化される前にセキュリティモジュールを挿入することにより、カウンタを増分させるためのある時間を持つことができる。
【0047】
第1デコーダに結合され、マスタという状態が割り当てられた第1セキュリティモジュールは、スレーブモジュールと全く同じようにして作動する。しかしながら、一般的にこの第1セキュリティモジュールは第1デコーダ内に設置され、カウンタは一定間隔で再初期化される。通常の使用時にこのカウンタが0になると、このカウンタはマスタセキュリティモジュールにより直ちに再初期化される。従って、マスタセキュリティモジュール及び結合されたデコーダは通常いつでもイベントを復号化することができる。
【0048】
実施の変形形態によれば、デコーダは、このデコーダに挿入されたセキュリティモジュールのユニークな識別番号を取得することを目的とするコマンドを、一定間隔で送信する。この識別番号はセキュリティモジュールの識別番号であれば、カウンタは再初期化される。この場合、マスタモジュールに結合されたデコーダは、通常の使用時、即ちセキュリティモジュールが対応するデコーダ内に設置されている時は、決して0にはならない。
【0049】
この変形形態により、カウンタに格納されている実際の値の如何に関わらず、いつでもカウンタを再初期化することが可能であるため、スレーブセキュリティモジュールに結合されたデコーダのユーザにとってもこの変形形態は有利である。この場合、デコーダにより、識別番号の次回の検索コマンドが生成されるまで、あるスレーブモジュールに結合されたデコーダのうちの1つの中にマスタセキュリティモジュールを残しておくことが可能である。また、ユーザによるこのコマンドの手動アクティブ化、或いはセキュリティモジュールがデコーダに挿入された時点で起動される自動アクティブ化を行うことも可能である。
【0050】
また、カウンタの値が大きい時には識別番号取得コマンド間の間隔を比較的大きくし、カウンタのこの値が減少したら間隔も減少するようにすることも可能である。こうすることにより、警告メッセージにより、カウンタが0になるのを防止するため、比較的短時間に所与のデコーダにマスタセキュリティモジュールを挿入しなければならないことが加入者に通知されても、加入者は、このデコーダが次の識別番号取得コマンドを発信するまで、再初期化するデコーダ内にマスタセキュリティモジュールを残して置くだけでよい。この期間は通常数百ミリ秒程度である。
【0051】
別の実施の変形形態では、カウンタが所定の日付を含む。管理センタからデコーダに送信されるデータフローは、TDT(Time & Date Table)という略語で知られている時刻及び日付を表す信号を含む、スレーブデコーダは、カウンタの値と、信号TDTによって与えられる日付の現在を定期的に比較する。カウンタの日付が現在の日付よりも後である限り、スレーブデコーダは従来のように作動する。即ち内容の復号化を行うことができる。
【0052】
信号TDTによって送信される有効な日付がカウンタの日付よりも後であるか等しい場合、デコーダは、イベントの内容がもはや復号化されなくなるように、セキュリティモジュールへの制御メッセージECMの転送を阻止する。上述の場合と同様、加入者がイベントを視聴している最中には更新作業が実行されないように、数時間分だけ手動でカウンタを増分セルことが可能であることに留意すべきである。加入者に対しセキュリティモジュールをスレーブデコーダに挿入することを要求するメッセージが加入者に宛てて表示される。
【0053】
実施の変形形態によれば、カウンタは、ある数のタイムパルスに相当する数値を含む。イベントが含まれているデータフローは、定期的に送信される時間情報を含む。デコーダは、パルスを受信する毎に、カウンタを例えば1つずつ減分する。また、2回の再アクティブ化の間隔を調節するために、2つのパルスの間の間隔を変えることも可能である。
【0054】
これらの変形形態では、管理センタは、もっぱらあるセキュリティモジュール又はあるモジュール群に宛てられた「デコーダコマンド」内のカウンタの値を暗号化することができる。このコマンドが送られたセキュリティモジュールはこのタイプのコマンドを復号化し、照合鍵でこのコマンドを暗号化してデコーダに返送し、デコーダは自分に宛てられたコマンドを適用し、その結果、カウンタの値を変更する。
【0055】
先述のように、スレーブデコーダのカウンタの増分は、再初期化するデコーダ内に記憶されているタイム値に従い実行される。また、ある特定のデコーダに当てて許可メッセージEMMを「デコーダコマンド」に入れて送信し、このデコーダに非アクティブ化のタイム値を強要することも可能である。この場合、この新しい値はこのデコーダ又はメッセージが送られたデコーダにしか適用されない。このような方法により、例えば、許可なく販売された疑いがあるデコーダを即効的に非アクティブ化することができる。
【0056】
図4a及び図4bに示す本発明の第2の実施形態においては、ユーザは、有料テレビの第1加入契約C1を取得する時、上述の場合と同様、第1セキュリティモジュールICC1に結合された第1デコーダSTB1も取得する。デコーダ/セキュリティモジュールユニットのアクティブ化は図2aを参照して記述したものと全く同じようにして行われる。従ってこの図4aの符号は図2aの符号と同じである。
【0057】
要約すれば、管理センタCGのデータベースDB内で、ユーザ、ユーザの第1デコーダ、及びセキュリティモジュールに関するデータが検索される。照合鍵UK1は、製品及びマスタ機能と同様に、セキュリティモジュールに送信される。非アクティブ化のタイム値及びマスタセキュリティモジュールの識別番号を含む「デコーダコマンド」はデコーダに送信される。ユニットはアクティブ化され、その結果、データを復号化しイベントを視聴することが可能になる。
【0058】
加入者が第2デコーダの取得を所望する時には、当然のことながら、第2セキュリティモジュールを取得しなければならない。第2デコーダの使用開始の総体図を図4bに示す。例えば符号30から36が付してある本方法の第1部分では、この使用開始は図2bを参照して記述した方法と同一の方法で行われる。つまり加入者が管理センタを呼び出し、管理センタはそのデータベース内で関連する情報を検索する。第2セキュリティモジュールICC2と第2デコーダSTB2との間の照合は、従来のように、照合鍵Uk2をセキュリティモジュールに送信することにより行われる。製品に関する権利も上と同じようにして送信され、次に、非アクティブ化のタイム値及びマスタセキュリティモジュールの識別番号を含む「デコーダコマンド」がデコーダに送信される。
【0059】
次の工程47は、図2bの実施形態において記述した工程とは異なる。例えばこの工程47では、マスタセキュリティモジュールICCM又は第1セキュリティモジュールICC1と第2デコーダSTB2との間のマッチングを行う。このために加入者に対し、第1セキュリティモジュールICC1又はマスタセキュリティモジュールMを第2デコーダSTB2又はスレーブデコーダSに挿入するよう要求するためのメッセージが、加入者に宛てて表示される。このアクティブ化工程中に、管理センタCGは、通信業者のグローバル鍵により暗号化されたメッセージをマスタセキュリティモジュールに送信する。このメッセージは、第2デコーダSTB2と第2セキュリティモジュールICC2との間の照合鍵UK2を含む。従ってこの鍵は、第1セキュリティモジュールICC1と第2デコーダSTB2との間の通信にも、第2セキュリティモジュールICC2と第2デコーダSTB2との間の通信にも使用される。この鍵はマスタセキュリティモジュール内に記憶されているマッチングテーブル内に保存されている。
【0060】
この段階では、スレーブデコーダSTB2がセキュリティモジュールのユニークな番号を問い合わせる。この番号がマスタモジュールSNMの番号である場合、デコーダがデータフローの処理プロセスをアクティブ化し、イベントを視聴することができる。それにより、符号47で表す第2デコーダSTB2のアクティブ化が終了する。イベントを視聴するには、第2セキュリティモジュールICC2を第2デコーダSTB2に再度挿入しなければならないことに留意すべきであり、これは図4bの工程48に相当する。マスタセキュリティモジュールに対し、任意のデコーダからイベントを復号化する可能性を残すことも実現可能であるが、実際にはこれは望ましいことではない。通常、復号化は、デコーダがある1つのモジュールにのみに結合される時、或いはモジュールがある1つのデコーダにのみ結合される時に許可される。
【0061】
加入者が第3のデコーダ又は第n番目のデコーダを取得する場合、操作は第2デコーダの場合と同じように行われる。加入者は管理センタCGにおいて自身を同定し、デコーダのユニークな番号SNd及び結合されているセキュリティモジュールのユニークな番号SNsを示す。これらの要素はスレーブSとして登録される。製品Pのロード、及び第n番目のデコーダSTBnと第n番目のセキュリティモジュールICCnとの間のマッチングは従来のように照合鍵を用いて行われる。次に照合鍵Uknを用いて、当該デコーダSTBnとマスタセキュリティモジュールICCM又は第1セキュリティモジュールICC1との間でマッチングが行われる。次にデコーダは、タイム値と、管理センタによりデコーダコマンドに入れて送信される「デコーダコマンド」に含まれるマスタモジュールのユニークな識別番号SN1を記憶する。この値は、セキュリティモジュール/デコーダの各ペア毎に異なっていても、それらのいくつか又は全てに対し同一であってもよい。モジュール/でコーダーユニットのアクティブ化はマスタセキュリティモジュールを用いて行われる。第n番目のセキュリティモジュールICCnが第n番目のデコーダSTBnに再度挿入されるとイベントの復号化が可能になる。
【0062】
この実施形態におけるデコーダの非アクティブ化は、図2a及び図2bを参照して説明した方法と同一の方法で行われる。
【0063】
基本的に、デコーダの再アクティブ化は図4a及び図4bによって記述されている実施形態及び図2a及び図2bによって記述されているものと同様である。しかしながら、図4a及び図4bの実施形態においては、デコーダはマスタセキュリティモジュールのユニークな識別番号を確認するだけでは足りない。実際にはこのモジュールの真の認証を行う。さまざまな認証方法が可能である。そのうちの1つを以下で記述する。スレーブデコーダ、例えばSTB2は、乱数を発生し、ノンスクランブルでマスタセキュリティモジュール、例えばICC1に送信する。マスタセキュリティモジュールは、このデコーダSTB2とマスタモジュールICC1との間の通信を暗号化するための照合鍵UK2により乱数を暗号化する。次にマスタセキュリティモジュールは暗号化された数をデコーダSTB2に送り、デコーダは照合鍵UK2でこれを復号化し、当初の数と比較する。これと平行して、反対方向の認証も行うことができる。この場合、マスタセキュリティモジュールは乱数を発生し、これをノンスクランブルでデコーダに送り、デコーダは照合鍵UK2でこれを暗号化し、これをセキュリティモジュールに返送する。セキュリティモジュールはこれを復号化し、当初の数と比較する。比較により2つの値が同一であることが示されると、カウンタが再初期化され、イベントを視聴することが再度可能になる。二つの値が同一でない場合、データ処理が許可されない。
【0064】
この実施形態により、不正なセキュリティモジュールの不正な使用に対するセキュリティーを向上させることが可能である。
【0065】
図5、図6a及び図6bは、デコーダ/セキュリティモジュールユニットの数に対し追加のセキュリティモジュールを加入者が有する特定の実施形態を記述している。
【0066】
図6aにおいて符号60で示すように、有料テレビサービスのユーザはまず契約C1を取得しなければならない。図6aの工程62で示すように、加入者は、第1デコーダSTB1を取得する際には、上と同じく、第1セキュリティモジュールICC1も取得する。工程61で加入者は加入と同時に、「契約モジュール」という名称の追加セキュリティモジュールICCCも取得する。有利な実施形態によれば、この契約モジュールは、図5に示すように例えば異なる色を使用することにより、他のセキュリティモジュールから容易に区別することができる。
【0067】
前述の実施形態における場合と同じく、管理センタCGは、デコーダのユニークな識別番号SNdを有するデータベース及びこの番号に結合された照合鍵Ukを含む。図6aの工程63において、新規加入者は、自身のデコーダを初期化するために管理センタを呼び出す際には、契約モジュールのユニークな識別番号SNC、第1セキュリティモジュールの識別番号SNS、デコーダの識別番号SNd及び契約番号を示さなければならない。これらの内容により、セキュリティモジュールに関するデータをデータベース内のデコーダに関するデータにリンクさせることができる。この工程には符号64が付してある。
【0068】
これらの内容がデータベースに入力されていると、加入者は、デコーダSTB1に第1セキュリティモジュールICC1を挿入するよう要求される。このことは符号65に相当する。この操作が行われると、管理センタは照合メッセージ及び初期化メッセージを送信する。照合メッセージは、第1デコーダSTB1と第1セキュリティモジュールICC1との間の照合鍵UK1を含む。初期化メッセージは、非アクティブ化のタイム値並びに契約モジュールのユニークな識別番号ICCCを含む。非アクティブ化の値は第1デコーダに記憶される。次に、工程66で、加入者が復号化することを許可されている製品Pに関する権利が第1セキュリティモジュールにロードされる。
【0069】
これらの内容がデータベースに入力されていると、加入者は、デコーダSTB1に契約モジュールICCCを挿入するよう要求される。この状態は工程67に相当する。するとこの契約モジュール及びこの第1デコーダは、データベースに記憶されている照合鍵UK1であって、第1デコーダSTB1と第1セキュリティモジュールICC1との間及び第1デコーダSTB1と契約セキュリティモジュールICCCとの間でマッチングを行うことができる鍵を用いてマッチングされる。このマッチングは上で記述したものと同じ方法で行われる。一般的に契約モジュールでは暗号化されたコンテンツを復号化することはできないことに留意すべきである。セキュリティモジュールと第1デコーダとの間のマッチングが終了すると、ユーザは、このデコーダに第1セキュリティモジュールICC1を再度挿入するよう要求される。工程68では、第1デコーダ/セキュリティモジュールユニットをアクティブ化しその結果イベントの復号化が行えるように、アクティブ化コマンドが「デコーダコマンド」の形態でこの第1デコーダSTB1に送信される。データ処理を行えるようにするには、工程69で、第1セキュリティモジュールICC1を再度デコーダに挿入しなければならない。
【0070】
加入者は、図6bの符号70で示すような第2セキュリティモジュールICC2に結合された第2デコーダSTB2を取得した場合は、工程71で管理センタに連絡しなければならない。工程72では、加入者及びデコーダ/セキュリティモジュールユニットに関するデータが更新される。次に工程73で、上述の方法で第2デコーダSTB2が第2セキュリティモジュールICC2とマッチングされる。「デコーダコマンド」がデコーダに送信されるが、このコマンドは、第1デコーダの非アクティブ化の値と同一であっても異なっていてもよい非アクティブ化タイム値、並びに契約モジュールのユニークな識別番号SNCを含む。工程74で、第2セキュリティモジュールの製品Pに関する権利がロードされる。第2セキュリティーがデコーダから抜かれ、契約モジュールICCCがそこに挿入される。これら2つの要素はデータベースに含まれる照合鍵UK2によりマッチングされる。このマッチングは工程75で行われる。第2デコーダと第2セキュリティモジュールとの間の照合鍵は、デコーダと契約セキュリティモジュールとの間の照合鍵と同じである。第2デコーダのカウンタは工程76でアクティブ化される。
【0071】
次に、工程77で、第2セキュリティーがデコーダから抜かれ、契約モジュールICC2が再度そこに挿入される。この段階で、暗号化されたイベントを視聴することができる。
【0072】
第3又は第n番目のデコーダ/セキュリティモジュールユニットのアクティブ化手順は、第2ユニットに関して上で説明した手順と同一である。
【0073】
上述のように、一般的に、契約モジュールは暗号化されたコンテンツを復号化することができるようにはなっていない。しかしながら、ある決まった加入者に属するデコーダのうちの任意のデコーダから暗号化されたコンテンツを復号化することができるか、復号化の可能性を所与の単数又は複数のデコーダに限定することができる契約モジュールを作製することは可能である。この選択は基本的に、暗号化されたコンテンツを配信する通信業者次第である。
【0074】
上述のように、セキュリティモジュールの非アクティブ化のタイム値が使用時間であると仮定することにより、カウンタは定期的に減分される。カウンタが0になると、コンテンツの復号化が阻止され、ユーザに対しメッセージが表示される。このメッセージは、加入者がそのデコーダ/セキュリティモジュールユニットを再度アクティブ化しなければならないことを、加入者に示すものである。このためには、加入者はまず当該デコーダからセキュリティモジュールを抜き、契約モジュールICCMをそこに挿入しなければならない。ユニークな識別番号をただ確認するか、前述のように乱数を使用して真の意味の認証を実行することにより、この契約モジュールの認証が行われる。カウンタの再初期化は、マスタモジュールとして第1セキュリティモジュールを使用して記述した方法と同じ方法で行われる。
【0075】
上述のように、マスタセキュリティモジュールICCM又は契約モジュールICCCは照合鍵のテーブルを含む。このテーブルにより、マスタモジュールとある決まった加入者の各デコーダとの間の照合鍵を記憶することができる。テーブルはこれらの鍵の他、「消費した」イベントに関する情報及びサービス情報など他の情報も含むことができる。そのような情報を図1の表17の列IPPV及びServでそれぞれ示してある。これらの列は、管理センタに転送された後、通常はセキュリティモジュールに記憶される情報を示す。
【0076】
消費したイベントに関する情報は、特に(IPPV=Impulsive pay-per-viewという略語で知られる)衝動買いによって取得したイベントの番号及び識別を含む。現在では、イベントの衝動買いが可能な時には、この衝動買いのためのクレジットがセキュリティモジュールに記憶される。このクレジットは、衝動買いによりそのようなイベントが取得される毎に、決まったイベントの価格に相当する金額分だけ減分される。当初のクレジットが消費されると、加入者は管理センタを呼び出し、クレジットの再初期化を要求しなければならない。
【0077】
本発明によるシステムを使用することにより、IPPVの管理は異なる2つの方法で行われる。第1の方法は上述の方法である。即ちユーザは、イベントを注文するために管理センタを呼び出す。実際には、ユーザは自分が選択したものを通信業者に知らせることによりイベントを注文するか、例えばリモコンのキーを使用することができる。
【0078】
第2の方法は以下のように行われる。衝動買いの際、この購入に関するデータ、即ち特にイベントの識別及びその価格が記憶される。識別及び価格はセキュリティモジュールICC又はデコーダSTBに保存することができる。特に、デコーダのカウンタを増分させるために、マスタセキュリティモジュールがこのデコーダに挿入されると、データ、限定されるものではないが特にIPPVに関するデータが、マスタ又は契約セキュリティモジュールに送信される。データがデコーダに保存される場合、データを、暗号化された状態又はノンスクランブル状態で、このマスタモジュールに直接転送することができる。データがセキュリティモジュールに記憶される場合、データをまずデコーダのバッファメモリゾーンに転送しなければならない。マスタセキュリティモジュールがデコーダに挿入されると、これらのデータはマスタモジュールのテーブルに入力される。これらのデータがマスタモジュールに転送されてしまえば、カウンタを再初期化することができる。
【0079】
マスタモジュール又は契約モジュールによるデータのこの「取り込み」作業は全てのスレーブモジュールに対して同じように行われる。こうして、マスタセキュリティモジュールは、ある決まった加入者に属する全てのモジュールから送られてくる関連情報を含む。ケーブル又は公共電話網などの戻り線路に接続されたモデムを含むデコーダにマスタセキュリティモジュールが挿入されると、一部又は全てのデータが管理センタに送信される。一般的にこれらのデータは暗号化されて送信される。管理センタは全ての鍵を持っているため、メッセージの内容を容易に復号化することができる。従って、個々のデコーダ毎に、加入者が消費したイベントの内容を正確に知ることが可能であり、それにより、イベント全体に対し一括して請求書を発行することができる。これらのデータが管理センタに送信されていれば、管理センタは、特に、各セキュリティモジュールについてクレジット残の金額を知ることができる。また管理センタは、ユーザが再度衝動買いができるようこの残金を増分させることもできる。これにより、各加入者に割り当てられたクレジットを柔軟かつ正確に管理することが可能になる。
【0080】
加入者毎かつ加入者のデコーダ毎に消費されたイベントを正確に把握することは多くの利点をもたらす。まず、上述のように、衝動買いに割り当てられるクレジットの管理が極めて容易である。また、例えば各チャンネルについての各デコーダの使用時間などあらゆる種類の統計を行うことが可能である。これにより、特に、どんな製品が消費されたかを求め、及び見積りに基いた料金ではなく実際の消費量に応じた料金を支払うことが可能になる。また、これにより、各デコーダについての正確なプロフィールを求め、これらのデコーダのユーザに対し、このような要望に対応するイベント又は製品を提案することが可能になる。
【0081】
テーブルはサービス情報も含むことができる。サービス情報は例えば信号の受信レベルを記述することができるので、アンテナの向きが最適ではない場合、技術者に連絡しなければならないという情報をユーザに送信することができる。これにより、最適な受信ゾーンが得られるように、通信衛星のアンテナの位置を正確に求めることができる。他のサービス情報は例えばデコーダの使用時間、又はシステムの最適な運転を実現し上述のように統計を行うのに有効となりうるあらゆる種類の他の情報を記述することができる。サービス情報はまたソフトウェアのバージョン又はこれらのソフトウェアの変更日に関するデータを含むこともできる。
【0082】
これらの情報はマスタセキュリティモジュール又は契約キュリティーモジュールによっても収集され、次に、このモジュールがモデムに接続されたデコーダに挿入されると、これらの情報は管理センタに送信される。
【0083】
加入者のデコーダ群にモデムが含まれていない場合、或いはそのうちのいずれも電話線に接続されていない場合、加入者に対し、郵便により契約セキュリティモジュールを送るよう加入者に要求することができる。この場合、このモジュールの送付を要求する管理センタは、このモジュールがこの加入者の住所以外のところにある間、復号化機能の中断が発生しないように措置を講ずることができる。このことは、非アクティブ化のタイム値をモニターし、加入者がその契約モジュールを持っていない間に0になる恐れのあるタイム値を増分させることにより、実現される。管理センタは消費金額を正確に把握しているので、加入者のクレジットを増分させることができる。
【0084】
同一の加入者の名義で登録された全てのデコーダからの全ての情報を受信するという事実は、各加入者に関して消費されたイベントに関して発行する請求書は一枚だけであるという長所を有する。またこのことは、本発明の目的において言及したように抑止効果も含んでいる、というのは、自分のセキュリティモジュール/デコーダユニットを別のユーザに売却した加入者は結局このユーザからの請求書を受け取ることになるからである。更に、衝動買いが可能である場合、別のユーザが消費した衝動買いの量を制御することができなくなり、これに対応する金額が請求書で請求されることになる。
【0085】
図7aから図7dは本発明の装置において使用することができるデコーダの種々のアーキテクチャを示す図である。図7aの装置は、内部デコーディングモジュールDと取り外し可能なセキュリティモジュールICC1を含む従来のデコーダを示す。このアーキテクチャは最も一般的なものであり。上の記述に相当する。
【0086】
図7bは、更にセキュリティモジュールの第2リーダを含む図7aに図示したようなデコーダを表す。この場合、デコーダに結合されたスレーブセキュリティモジュールICC1はデコーダ内に残しておくことができる。一方、第2リーダーは、マスタセキュリティモジュールICC1、或いは契約モジュールが使われていればこのモジュールを収納することができる。
【0087】
図7cは、デコーダが、セキュリティモジュールICCC用リーダと、デコーダに内蔵され従来の電子ハウジングの形態で作製されたセキュリティモジュールICC1とを含む実施形態を示す図である。通常動作時は、一般的に、デコーダに内蔵されたセキュリティモジュールが使用される。このセキュリティモジュールは定義上、契約モジュールである。例えば内部モジュールによって行われる機能が大きく変わった後など、このモジュールが作動しなくなった時、この実施形態により、取り外し可能モジュールを使用することが可能になる。
【0088】
図7dは図7cと同様であるが、違いは、内部セキュリティモジュールICC1がスクランブル解除モジュールDの集積回路のうちの1つに内蔵されていることである。
【0089】
セキュリティモジュールの機能もスクランブル解除モジュールDに内蔵することができる。
【0090】
上の記述においては、加入者が契約モジュールを持たない場合には、第1セキュリティモジュールICC1がマスタモジュールであることが認められていた。加入者が契約モジュールを持っている場合には、契約モジュールがマスタの役割を果たす。この理由から、文中に明記する場合を除き、マスタセキュリティモジュールは、デコーダと対にされマスタ機能が割り当てられたあるセキュリティモジュールのうちの1つとするか、契約モジュールとすることができる。
【図面の簡単な説明】
【0091】
【図1】図1は、加入者に設置された要素と、有料テレビのイベントの配信業者に設置された要素とを示す図である。
【図2a】図2aは、第1実施形態による第1デコーダのアクティブ化に関連する操作を示すブロック線図である。
【図2b】図2bは、図2aの実施形態による同一の加入者の第2デコーダのアクティブ化に関連する操作を示すブロック線図である。
【図3】図3は、本発明の装置の作動の一部分を示すブロック線図ある。
【図4a】図4aは、第2実施形態による第1デコーダのアクティブ化に関連する操作を示すブロック線図である。
【図4b】図4bは、図4aの実施形態による同一の加入者の第2デコーダのアクティブ化に関連する操作を示すブロック線図である。
【図5】図5は第3の実施形態により作動する、本発明によるシステムを示す図である。
【図6a】図6aは、図5にも示す第3実施形態による第1デコーダのアクティブ化に関連する操作を示すブロック線図である。
【図6b】図6bは、図6aの実施形態による同一の加入者の第2デコーダのアクティブ化に関連する操作を示すブロック線図である。
【図7a】図7aは、本発明による装置の可能なアーキテクチャを示す図である。
【図7b】図7bは、本発明による装置の可能なアーキテクチャを示す図である。
【図7c】図7cは、本発明による装置の可能なアーキテクチャを示す図である。
【図7d】図7dは、本発明による装置の可能なアーキテクチャを示す図である。
【特許請求の範囲】
【請求項1】
有料テレビのデータの処理のためのデコーダであって、前記デコーダ及びセキュリティモジュール内に格納されている識別データにより少なくとも1つの取り外し可能なセキュリティモジュールに結合され、スクランブル解除モジュールを含むデコーダにおいて、有料テレビのデータ処理の非アクティブ化手段と、内容に応じて前記非アクティブ化手段に作用するカウンタとを更に含むことを特徴とするデコーダ。
【請求項2】
デコーダが結合されたセキュリティモジュールとは異なるセキュリティモジュールに特有な識別データを含む少なくとも1つのメモリと、メモリに記憶された特有な識別データとデコーダ内に格納されているセキュリティモジュールの識別データを比較するための手段とを含み、前記識別データを比較するための手段によりカウンタが初期化されることを特徴とする、請求項1記載のデコーダ。
【請求項3】
非アクティブ化の値と、この非アクティブ化の値と前記カウンタの内容とを比較する手段とを含むことを特徴とする、請求項1記載のデコーダ。
【請求項4】
非アクティブ化の値が、期間、日付又は数値であることを特徴とする、請求項3記載のデコーダ。
【請求項5】
前記カウンタの内容に作用するコマンドの受信手段を含むことを特徴とする、請求項1記載のデコーダ。
【請求項6】
前記受信手段が、前記カウンタの内容に作用するコマンドを前記セキュリティモジュールから受信することを特徴とする、セキュリティモジュールにローカルに接続された請求項5記載のデコーダ。
【請求項7】
各デコーダが、前記デコーダ及びセキュリティモジュール内に格納されている識別データにより少なくとも1つの取り外し可能なセキュリティモジュールに結合され、1つのスクランブル解除モジュールと有料テレビのデータ処理の非アクティブ化手段とを含む少なくとも2つのデコーダを有する有料テレビのデータ管理システムにおいて、デコーダが前記非アクティブ化手段に作用する1つのカウンタを更に含み、セキュリティモジュールのうちの少なくとも1つがマスタとなり、デコーダの前記カウンタを再初期化するための手段を含むことを特徴とするシステム。
【請求項8】
デコーダが、マスタセキュリティモジュールに関する識別データを格納する1つのメモリと、前記メモリに記憶された識別データとデコーダに格納されているセキュリティモジュールの識別データを比較するための手段とを含み、各デコーダのカウンタが、前記識別データを比較するための手段により初期化されることを特徴とする、請求項7記載のデータ管理システム。
【請求項9】
マスタであるとされたモジュールのみが前記カウンタの再初期化手段を含むことを特徴とする、請求項7記載のデータ管理システム。
【請求項10】
デコーダの数に対し追加のセキュリティモジュールを含み、この追加のセキュリティモジュールがマスタであるとされたモジュールであり、デコーダの前記カウンタを再初期化するための手段を含むことを特徴とする、請求項7記載のデータ管理システム。
【請求項11】
有料テレビのデータ処理のための少なくとも2つのデコーダの管理方法において、前記デコーダが、一人の加入者に結合されかつ有料テレビのデータ処理の非アクティブ化手段と前記非アクティブ化手段に作用する1つのカウンタとを含み、各加入者が少なくとも1つのデコーダにローカルに接続することができる少なくとも2つの取り外し可能なセキュリティモジュールを有し、
‐ ある加入者に所属するセキュリティモジュールの中から少なくとも1つのマスタセキュリティモジュールを決定する工程と、
‐ マスタセキュリティモジュールの識別データを加入者の各デコーダに記憶する工程と、
‐ 予め決められた少なくとも1つの基準に従い、カウンタによりデータ処理のデコーダを非アクティブ化する工程と、
‐ 非アクティブ化されたデコーダにマスタセキュリティモジュールを挿入することによりカウンタを再初期化する工程と
を含む方法。
【請求項13】
マスタセキュリティモジュールの適合性を確認する工程が、このマスタセキュリティモジュールと再アクティブ化するデコーダとの間の照合鍵により前記セキュリティモジュールのユニークな認証番号を認証する工程を含むことを特徴とする、請求項12記載の方法。
【請求項14】
加入者のデコーダのうちの少なくとも1つにメッセージを送信することによりデータ処理の非アクティブ化が更に行われ、管理センタによりこのメッセージが送信されることを特徴とする、請求項11記載の方法。
【請求項15】
カウンタの再初期化が、各デコーダに記憶されている非アクティブ化の値に基いて行われることを特徴とする、請求項11記載の方法。
【請求項16】
前記非アクティブ化の値が許可コマンドEMMを用いてデコーダに送信されることを特徴とする、請求項15記載の方法。
【請求項17】
デコーダが前記デコーダのカウンタを再初期化するのを許可されていないスレーブセキュリティモジュールに接続され、
‐ 有料テレビのデータの処理活動をデコーダに記憶する工程と、
‐ マスタセキュリティモジュールの挿入を検出する工程と、
‐ 処理活動のデータをこのマスタセキュリティモジュールに転送する工程と
を含むことを特徴とする、請求項11記載の方法。
【請求項18】
マスタセキュリティモジュールに記憶されている処理データを管理センタに送信することを特徴とする、請求項11又は17記載の方法。
【請求項19】
加入者に関するサービスデータを前記管理センタに送信することを特徴とする、請求項18記載の方法。
【請求項1】
有料テレビのデータの処理のためのデコーダであって、前記デコーダ及びセキュリティモジュール内に格納されている識別データにより少なくとも1つの取り外し可能なセキュリティモジュールに結合され、スクランブル解除モジュールを含むデコーダにおいて、有料テレビのデータ処理の非アクティブ化手段と、内容に応じて前記非アクティブ化手段に作用するカウンタとを更に含むことを特徴とするデコーダ。
【請求項2】
デコーダが結合されたセキュリティモジュールとは異なるセキュリティモジュールに特有な識別データを含む少なくとも1つのメモリと、メモリに記憶された特有な識別データとデコーダ内に格納されているセキュリティモジュールの識別データを比較するための手段とを含み、前記識別データを比較するための手段によりカウンタが初期化されることを特徴とする、請求項1記載のデコーダ。
【請求項3】
非アクティブ化の値と、この非アクティブ化の値と前記カウンタの内容とを比較する手段とを含むことを特徴とする、請求項1記載のデコーダ。
【請求項4】
非アクティブ化の値が、期間、日付又は数値であることを特徴とする、請求項3記載のデコーダ。
【請求項5】
前記カウンタの内容に作用するコマンドの受信手段を含むことを特徴とする、請求項1記載のデコーダ。
【請求項6】
前記受信手段が、前記カウンタの内容に作用するコマンドを前記セキュリティモジュールから受信することを特徴とする、セキュリティモジュールにローカルに接続された請求項5記載のデコーダ。
【請求項7】
各デコーダが、前記デコーダ及びセキュリティモジュール内に格納されている識別データにより少なくとも1つの取り外し可能なセキュリティモジュールに結合され、1つのスクランブル解除モジュールと有料テレビのデータ処理の非アクティブ化手段とを含む少なくとも2つのデコーダを有する有料テレビのデータ管理システムにおいて、デコーダが前記非アクティブ化手段に作用する1つのカウンタを更に含み、セキュリティモジュールのうちの少なくとも1つがマスタとなり、デコーダの前記カウンタを再初期化するための手段を含むことを特徴とするシステム。
【請求項8】
デコーダが、マスタセキュリティモジュールに関する識別データを格納する1つのメモリと、前記メモリに記憶された識別データとデコーダに格納されているセキュリティモジュールの識別データを比較するための手段とを含み、各デコーダのカウンタが、前記識別データを比較するための手段により初期化されることを特徴とする、請求項7記載のデータ管理システム。
【請求項9】
マスタであるとされたモジュールのみが前記カウンタの再初期化手段を含むことを特徴とする、請求項7記載のデータ管理システム。
【請求項10】
デコーダの数に対し追加のセキュリティモジュールを含み、この追加のセキュリティモジュールがマスタであるとされたモジュールであり、デコーダの前記カウンタを再初期化するための手段を含むことを特徴とする、請求項7記載のデータ管理システム。
【請求項11】
有料テレビのデータ処理のための少なくとも2つのデコーダの管理方法において、前記デコーダが、一人の加入者に結合されかつ有料テレビのデータ処理の非アクティブ化手段と前記非アクティブ化手段に作用する1つのカウンタとを含み、各加入者が少なくとも1つのデコーダにローカルに接続することができる少なくとも2つの取り外し可能なセキュリティモジュールを有し、
‐ ある加入者に所属するセキュリティモジュールの中から少なくとも1つのマスタセキュリティモジュールを決定する工程と、
‐ マスタセキュリティモジュールの識別データを加入者の各デコーダに記憶する工程と、
‐ 予め決められた少なくとも1つの基準に従い、カウンタによりデータ処理のデコーダを非アクティブ化する工程と、
‐ 非アクティブ化されたデコーダにマスタセキュリティモジュールを挿入することによりカウンタを再初期化する工程と
を含む方法。
【請求項13】
マスタセキュリティモジュールの適合性を確認する工程が、このマスタセキュリティモジュールと再アクティブ化するデコーダとの間の照合鍵により前記セキュリティモジュールのユニークな認証番号を認証する工程を含むことを特徴とする、請求項12記載の方法。
【請求項14】
加入者のデコーダのうちの少なくとも1つにメッセージを送信することによりデータ処理の非アクティブ化が更に行われ、管理センタによりこのメッセージが送信されることを特徴とする、請求項11記載の方法。
【請求項15】
カウンタの再初期化が、各デコーダに記憶されている非アクティブ化の値に基いて行われることを特徴とする、請求項11記載の方法。
【請求項16】
前記非アクティブ化の値が許可コマンドEMMを用いてデコーダに送信されることを特徴とする、請求項15記載の方法。
【請求項17】
デコーダが前記デコーダのカウンタを再初期化するのを許可されていないスレーブセキュリティモジュールに接続され、
‐ 有料テレビのデータの処理活動をデコーダに記憶する工程と、
‐ マスタセキュリティモジュールの挿入を検出する工程と、
‐ 処理活動のデータをこのマスタセキュリティモジュールに転送する工程と
を含むことを特徴とする、請求項11記載の方法。
【請求項18】
マスタセキュリティモジュールに記憶されている処理データを管理センタに送信することを特徴とする、請求項11又は17記載の方法。
【請求項19】
加入者に関するサービスデータを前記管理センタに送信することを特徴とする、請求項18記載の方法。
【図1】
【図2a】
【図2b】
【図3】
【図4a】
【図4b】
【図5】
【図6a】
【図6b】
【図7a】
【図7b】
【図7c】
【図7d】
【図2a】
【図2b】
【図3】
【図4a】
【図4b】
【図5】
【図6a】
【図6b】
【図7a】
【図7b】
【図7c】
【図7d】
【公表番号】特表2007−521726(P2007−521726A)
【公表日】平成19年8月2日(2007.8.2)
【国際特許分類】
【出願番号】特願2006−516715(P2006−516715)
【出願日】平成16年6月18日(2004.6.18)
【国際出願番号】PCT/IB2004/050934
【国際公開番号】WO2004/114664
【国際公開日】平成16年12月29日(2004.12.29)
【出願人】(504344495)ナグラビジョン エス アー (20)
【Fターム(参考)】
【公表日】平成19年8月2日(2007.8.2)
【国際特許分類】
【出願日】平成16年6月18日(2004.6.18)
【国際出願番号】PCT/IB2004/050934
【国際公開番号】WO2004/114664
【国際公開日】平成16年12月29日(2004.12.29)
【出願人】(504344495)ナグラビジョン エス アー (20)
【Fターム(参考)】
[ Back to top ]