鉴定和/或鉴定加载的制作方法

专利名称：鉴定和/或鉴定加载的制作方法
这是美国申请号09/580,303(申请于2000年5月26日)的部分连续申请。
背景技术：
本发明一般涉及保密接入系统，并且具体涉及对与条件接入系统相关的内容接收器里的信息的保密。
有线电视(TV)提供者利用条件接入(CA)系统分发视频流给用户。CA系统将视频流从有线TV提供者的头端器分发到用户相关的机顶盒。所述头端器包含接收视频流并且分发视频流给CA系统里的机顶盒的硬件。选择机顶盒被允许根据有线电视提供者发送给机顶盒的授权信息解码某些视频流。相似的，其他视频节目提供者使用卫星碟型天线以无线方式分发视频内容给机顶盒。
视频节目广播给所有的机顶盒，但仅仅那些机顶盒的一部分被授予接入特定视频节目的权利。例如，仅仅那些已经订购了每次观看付费的拳击比赛的机顶盒被允许观看比赛，即使每个机顶盒都可以接收到关于比赛的经加密的数据流。一旦用户订购了每次观看付费的节目，以加密的形式将授权消息广播给所有机顶盒。仅仅授权消息想给的那个特殊的机顶盒才可以解密消息。在经解密的授权消息内是一个可以解密每次观看付费的节目的密钥。利用此密钥，机顶盒实时解密接收到的每次观看付费的节目。一些系统播送授权消息。
仅仅最近实际出现了有数小时的视频节目储存量。每个视频节目被作为压缩的MPEG2数据流传送给机顶盒。一小时的视频相应于一千兆字节或更多的压缩数据。由于现在储存几千兆字节很平常，现在可以储存数小时的视频。相应地，传统的CA系统假定内容是短暂的并且不能被储存。换句话，设计传统系统时认为视频节目太大而不能保留它们的任何一段时间。本领域技术熟练人员将认识到，储存多千兆视频节目产生了在CA系统里对额外保密措施的需要。
一些系统将个人计算功能与TV集成以显示内容。例如WebTVtm的产品集成网络浏览和e-mail功能到TV。在其他的系统里，个人电脑与Internet服务提供者(ISP)相连，所述ISP提供网络浏览和e-mail功能的内容。软件程序，例如e-mail程序，往往较小并且容易储存。本领域技术熟练人员将认识到，这些PC没有提供足够的保密性，从而他们容易受到病毒和黑客影响。
如上所述，传统的CA系统仅仅检查了视频流的授权消息。随着较大储存量和较小Internet相关程序的出现，内容可以用户被储存并保留无限长的时间。为了维护对此内容的控制，需要额外的保密措施。
附图简述本发明联系附图进行说明

图1是显示内容传递系统的一个具体实施例的框图；图2是说明机顶盒与其环境接口的具体实施例的方框图；图3是显示在第一保密级别上用于分发对象的处理的具体实施例的流程图；图4是显示在第二保密级别上用于分发对象的处理的具体实施例的流程图；图5是描述授权消息的具体实施例的框图；图6是显示软件消息的具体实施例的框图；图7是说明包含授权消息和软件消息一部分的签名者组的具体实施例的框图；图8是显示一个“权利”消息的具体实施例的框图；图9是说明在功能单元之间的交互动作的具体实施例的框图；图10是描述在第三保密级别上用于下载对象的处理的具体实施例的流程图；图11是描述在第四保密级别上用于下载对象的处理的具体实施例的流程图；图12是描述在第四保密级别上用于下载对象的处理的另一个具体实施例的流程图；图13是显示在第五保密级别上用于检查持续运行的对象的处理的具体实施例的流程图；图14A是说明在第六保密级别上用于允许免费预览对象的处理的具体实施例的流程图；图14B是说明在第六保密级别上用于允许免费预览对象的处理的另一个具体实施例的流程图15A是说明在第七保密级别上用于监视报告返回头端器的处理的具体实施例的流程图；图15B是说明在第七保密级别上用于监视保密检查的处理的具体实施例的流程图；图15C是说明在第七保密级别上用于监视保密检查的处理的另一个具体实施例的流程图；图16A是说明在第八保密级别上用于产生部分加密的对象的处理的具体实施例的流程图；图16B是说明使用标记以达到第八保密级别上用于处理的具体实施例的流程图；图16C是说明使用部分下载以达到第八保密级别上用于处理的具体实施例的流程图；以及图17是显示机顶盒里不同对象之间的关联的框图。
具体实施例说明下面的说明不仅仅提供了较佳示例性具体实施例，而且不希望限制本发明的范围、应用性和配置。而是，下面的较佳示例性具体实施例的说明将提供可行的说明给本领域技术熟练人员，使其能够实行本发明的较佳示例性具体实施例。应该认识到，可以在功能和元件安排上实行各种改变而不脱离本发明的如权利要求所设置的精神和范围。
本发明证实，这些功能性单元，例如软件，被批准在电视机(TV)机顶盒里使用。对象和资源是功能性单元的两个例子。在对象被载入机顶盒后，当遇到检查点时实行授权和/或鉴定检查。例如，当机顶盒里的对象与每个功能性单元交互动作时，检查点被触发。
在图中，相似的元件和/或特征可以有相同的参考标号。而且，相同类型的不同元件可以通过参考标号后的破折号和第二标号区分。只要在说明书中使用第一参考标号，此说明可以应用于有相同的第一标号不管其第二标号的相似元件中的任一个。
首先参考图1，显示了内容投递系统100的一个具体实施例的框图。投递系统100，基于被满足的一定条件，选择性地提供内容给一些用户。系统100包含一个头端器104，一些机顶盒108，本地编程接收器112，卫星碟型天线116，和Internet120。
头端器104接收内容并且分发所述内容给用户。所述内容可以包含视频，音频，并互式视频，软件，固件，和/或数据。从大量不同的来源接收所述内容，所述来源可以包含卫星碟型天线116，本地编程接收器112，微波接收器，分组交换网络，Internet120等。每个机顶盒108有一个唯一的地址，所述地址允许发送授权消息给单个机顶盒108。由此，一个机顶盒108-1可以被授予某些特定的内容，同时另一个机顶盒108-2却可能没有。在头端器104内的装置调节机顶盒108的子集被授予某些特定内容。
所述内容一般以数字形式通过包含多个内容流的模拟载体信道分发。所有的内容流被多路复用成数字流，所述数字流被调制在模拟载波信道上。分隔的内容流被包标识(PID)信息跟踪，从而可以根据其唯一的PID信息移动单个内容流。在系统100的这个具体实施例中有大约120个模拟载波信道。其他具体实施例可以使用传输机构分发内容，所述机构可以包含卫星碟型天线，微波天线，RF发送器，分组交换网络，单元式数据调制解调器，载波电流，电话线，和/或Internet。
参考图2，显示了显示系统200的一个具体实施例的框图。此具体实施例通过各种不同保密机构提供了多级对象和资源的保密性。所述显示系统200包含一个机顶盒108，网络208，打印机212，TV显示器216，和无线输入设备218。这些物件如此协作使用户可以享受内容提供者按条件分发的内容。所述内容可以包含视频，音频，软件，固件，交互式TV，数据，文本和/或其他信息。在此具体实施例里，内容提供者是一个有线第三提供者或者多系统操作者(MSO)网络208用作信息在机顶盒108和有线电视提供者的头端器之间流通的管道。在此具体实施例里，网络208有一百二十个模拟信道和一个双向控制数据信道。一般的，模拟信道运载内容而控制数据信道运载控制和授权信息。每个模拟运载信道具有一些多路复用成一个数据流的数字信道，其中这些数字信道被包标识区分。此双向控制信道是一个波段外信道，其在一个频率上广播数据给机顶盒108并且在另一个频率从机顶盒108接收数据。使用本领域熟知的储存一转发的方法返回数据可以被排队以在峰值使用期间减少超载。其他具体实施例可以将有线调制解调器，数字用户线(DSL)，蜂窝数据，卫星链路，微波链路，载波电流传输，或者其他网络链接用于传输控制信息和内容，其中所述内容格式成包交换数据。
打印机212是一个可选择的附件，一些使用者可以购买并且将其添加到他们的显示系统200。当将机顶盒108用于个人计算机任务，此打印机212可以打印例如e-mail、网页、付费信息等的数据。如在下面将进一步解释的，使用外设(例如打印机)的能力被一授权检查所规范。使用此规范特征，除非获得了允许将与机顶盒108兼容的打印机212用于所述机顶盒108的授权，打印机212将不能工作。
TV显示器216展现给用户相应于内容的音频、文本和/或视频。显示器216典型地接收在相应于信道三、信道四或复合信道的载体上调制的模拟视频信号。机顶盒108产生一个NTSC信号，例如调制到合适的信道。其他具体实施例可以使用视频监视器或数字式显示器来替代电视显示器216。使用数字式显示器将缓解机顶盒108进行模拟转换的需求，由于数字式显示器，例如，液晶显示器，使用数字式信息表示显示的图像。
无线输入装置218允许在用户与机顶盒108之间的交互动作。此设备218可以是远端控制器、鼠标、键盘、游戏控制器、笔输入板或者其他输入机构。在输入装置218上的红外线收发器218与机顶盒108上相似的收发器通信以允许无线电通信。在其他的实施例里，也可以使用RF链路或者有线链路代替红外线收发器。
机顶盒108有一个实行对象和资源的鉴定和授权的元件部分。对象是数字信息(例如，软件、驱动器、固件、数据、视频或者音频)的任意集合。所述软件可以包含软件程序和/或一个或多个软件动态链接库。资源是一个对象按预期运行(例如运行为另一个对象或一个物理设备)的任何所需的东西。机顶盒108内包含一个控制器220，存储器228，打印机端口232，网络端口236，接入控制处理器240，显示接口244，和一个红外线(IR)端口248。这些部件通过总线230互相通信，其中每个部件都有不同的地址以在总线230唯一确定部件。典型地，机顶盒108是一个分隔的设备，但是可以与TV显示器216、计算机、信息设备或个人视频记录器(PVR)集成。
控制器220使用受托或者保密运行系统管理机顶盒108。例如数字式对象解密和解压缩的功能在控制器220里实行，以及例如用户转换TV频道以及展示菜单给用户的功能也是在控制器220里实行。控制器220里包含一个处理器，一个解密引擎，本地存储器，和计算系统里常见的其他物件。
在另一些具体实施例里，控制器220也可以包含一个附属保密微处理器以保护密钥以及进行密码处理。这在需要高保密等级的一些系统中可能是合适的。
机顶盒108包含存储器228。存储器228是固态存储器，其可以包含RAM、ROM、闪存以及其他种类的易失性和非易失性存储器。对象和资源被储存于存储器以稍后运行。在执行中，程序被载入并且在存储器228里执行，并且还使用存储器228作中间结果存储器。密钥、序列数和授权消息可以被储存于非易失性闪存。
此具体实施例包含一个打印机端口232以与光学打印机212接口。除非经过授权，程序不可利用打印机端口232资源。如下述，每个对象必需有关于使用例如打印机端口232的资源的授权。利用有线或者无线传输机构以串行或并行方式将数据从打印机端口232发送到打印机212。
一般说，检查点是时间里的一点或处理的一步，在该点或该步上功能单元的鉴定和/或授权状态已被确认。当要求打印时，遇到检查点。检查点授权和鉴定要求打印的对象。检查点是一个对象里位置，其中鉴定和/或授权在另一个对象(例如，操作系统检查正在运行的应用的真实性和授权)上运行。理想的，当对象的目的被表明时实行检查点。在打印机端口232的情况时，当用于打印某物时其目的变得明显。从而，当打印任何物时触发了一个检查点以检查使用打印机端口资源232的对象。典型地，用于打印的检查点可以是在操作系统里。
其他类型的对象可以有其他的目的，所述目的相应于检查点，从而当此目的变得明显时需要鉴定和授权。例如，可以将一个对象储存于长期存储器。从长期存储器里读取对象将触发一个检查点。当将对象载入短期固态存储器，将遇到另一个检查点。当将对象从长期存储器移动到短期存储器时，可以计算一个新签名。只要从短期存储器读取对象并且由控制器220处理时，将遇到另一个检查点。而且，如果将对象显示在屏幕上或者通过扬声器播放，将会遇到另一个检查点。各种实施例可以有一个或多个在机顶盒200处理的不同阶段实行的此类检查。
网络端口236允许在机顶盒108和头端器104之间的双向通信。网络端口236里包含一个调谐器和一个解调器，它们调谐到模拟载体信道并且解调MPEG数据流用于允许单向传递内容。网络端口236还包含一个控制数据收发器或有线调制解调器，其允许控制数据信息和/或内容的双向通信。为了更均匀的分发加载控制数据路径给头端器104，可以使用储存和转发的方法。
显示接口244将数字式视频信号调制到与TV显示器216兼容的模拟信号。如上所述，TV显示器216一般接收在信道三、信道四或复合信道上调制的信号。对于接受数字式输入的显示器，例如LCD显示器，显示接口244执行数字式输入所需的任何格式化。
IR端口248与无线输入设备218双向通信。IR端口248包含一个IR收发器，其提供与输入设备218的无线通信路径。IR端口248里的其他电子元件转换收发器接收到的模拟信号成相应的数字信号并且从相应的数字信号转换发送到收发器的模拟信号。控制器220处理数字信号，从而用户可以控制机顶盒108内的一些功能。
接入控制处理器(ACP)规范机顶盒108里的保密功能。例如ACP240在控制器的指导下或独立于控制器220实行鉴定和授权，下面的讨论中这将变得明显。为了实行其任务，ACP240包含一个处理器、RAM和ROM，它们协作用于执行独立于控制器220的软件。ACP240也包含一个解密引擎和用于解密内容和计算签名的散列函数。检查点被嵌入到运行的软件里，其触发ACP240实行保密检查。在此实施例里，ACP240在硬件里实行，但是其他实施例可以在软件里实行ACP的功能。
ACP240也可以监督操作系统(OS)以确保OS的正确功能。通过监视对象的运行，ACP240可以监视哪个应用对象正在运行。如果必要，如果检查点发现一个错误或者如果授权过期，ACP240可以杀死或停止执行正在运行的应用。而且，ACP240可以监视存储器228以检察存储器228里任何没有经授权的应用。也可以监视中间结果存储器的大小以检察隐藏在中间结果存储器里的应用。而且，ACP240可以对存储器228里的对象随机地执行检查点以确定它们的授权和/或真实性。ACP240遇到的问题将报告给OS或头端器104。在这些方法里，ACP240用作机顶盒108里的一个软件保密守卫，从而检察异常行为并报告。
接着参考图3，显示了一个用于以第一保密级别分发对象的处理的一个具体实施例的流程图。在步骤304流程开始，其中在头端器里形成了一个授权消息。所述授权消息包含一个可以解密相关对象的密钥。在步骤308，授权消息和对象被通过网络208发送到机顶盒108。在接收到授权消息和对象后，在步骤316它们被互相关联。在步骤320、324和328，从授权消息中提取出所述密钥，并且在对象被写入存储器228之前将密钥用于解密对象。此处理利用加密提供了对象的鉴定和授权。
在某些具体实施例里，在将机顶盒108送给用户前，将密钥在控制环境中载入机顶盒108。例如，在工厂装配时，将对称或者不对称密钥载入机顶盒108。可以将唯一的或者全局密钥储存于每个机顶盒108以允许通过经加密的信道保密多点传送或者单点传送内容。此信道可以被用于后来添加、删除或者改变密钥。MSO利用这些密钥可以控制对内容的存取而不需要与用户交互。
接着参考图4，显示了一个用于以第二保密级别分发对象的处理器的一个具体实施例的流程图。在第二保密级别，签名被用于在下载中鉴定对象。换句话，当下载时，第二保密级别在对象上施加了一个检查点。在步骤404在头端器里在包含了部分授权消息和对象消息的签名者组中生成所述签名。授权消息是一个关于对象消息的元数据并且所述对象消息包含用于机顶盒108的对象。
在步骤408，授权消息里的签名和对象被通过网络208分别送到机顶盒108。较佳地使用不对称签名(例如，基于RSA，DSA或ECC)，但是也可以使用对称签名(例如，DES或三重DES)。接收到签名和对象后并在储存对象前，在步骤420和424，ACP240计算并且检查签名。如果计算得到的和接收到的签名匹配，在步骤428储存此对象。另一方面，如果不匹配，在步骤432中抛弃此对象，并且处理流程回到步骤412以等待对象的另一份复制。
参考图5-7，一个授权消息500，软件消息600和签名者组700各自以框图的形式显示。图5的授权消息500里包含授权报头504，授权数据结构508，签名512，和第一校验和516。授权消息500有用于鉴定和授权软件消息600的信息。形成图6的软件信息的是一个对象报头604，软件对象608和第二校验和612。软件消息600用作发送软件对象608。签名者组700包含端对端放置的授权消息500和软件消息600的成分。更具体地，图7的签名者组700包含授权报头504，授权数据结构508，对象报头604和软件对象608。通过整个签名者组700计算签名512。
授权报头504指示了授权消息500的配置。报头504包含子类型标识符和消息版本。所述子类型标识符区分不同类型的授权消息500。在此实施例中，有相应于软件对象和资源的授权消息子类型。软件对象子类型有相应的软件消息600，但是资源子类型没有。相应的，子类型标识符用于确定是否有关于授权消息500的软件消息600。一个给定的系统可能有若干种软件对象子类型和资源子类型，并且消息版本允许区分不同种类。
授权数据结构508提供了功能单元需求给机顶盒108。功能单元是一个软件对象或者一个资源。在相应于软件对象的授权消息子类型的情况里，授权数据结构508包含一个对象或功能单元标识符，软件版本，成本信息，授权信息，使用寿命信息，和一个或者多个程序层。每个软件对象608的对象标识符都是唯一的并且允许分发授权消息500给其相应的软件消息600。版本信息包含在数据结构里，用于指示软件对象608的版本。
部分授权数据结构508被用于确定机顶盒能否使用软件对象608。成本信息指示关于软件对象608的价格给机顶盒108，有时候给用户。如果所述软件对象是使用对称密钥加密的，授权信息可以包含一个密钥。如果机顶盒108没有授权使用软件对象608，当其接收到软件对象时，没有必要处理相应的软件对象608。使用寿命信息允许终止软件对象608的授权以防止在给定使用时间和使用次数后再次使用。程序层用于限制软件对象608的授权到预先规定的层，从而机顶盒108仅仅可以在预订的层内访问软件对象608。
签名512用于验证部分授权消息500和相应软件消息600是否可信。在整个签名者组上运行散列函数(例如SHA-1或者MD5)，然后通过一个签名算法(例如RSA，ECC和DSA)产生签名512。当编译授权消息500时，在将签名512插入到授权消息500里之前，头端器104在整个签名者组700上计算签名512。在收到授权和软件消息500，600后机顶盒108计算签名者组700的签名。一旦计算了签名，对照接收到的签名512检查所述签名，用于鉴定部分授权和软件消息500，600。如果所述签名不匹配，机顶盒108抛弃软件消息600，因为其可能来自不正确的消息源。一些实施例可以使用多个签名(还有其他原因)，用于支持系统100里不同的机顶盒108。
第一和第二校验和516、612使用线性或非线性算法计算。当数据通过网络216发送到机顶盒108时，这些校验和516、612验证了数据的完整性。例如，校验和可以是循环冗余校验(CRC)，它在消息里的每个字节上进行不需进位的二进制加法。当消息500被发送时，消息轮询器208计算校验和516并且将校验和516添加到消息500的尾部。相反的，当机顶盒108接收到消息500时，机顶盒计算校验和，并且将计算得到的校验和与接收到的消息500里的校验和相比较。如果计算得到的和接收到的校验和不匹配，在传输中出现了错误。有错误的消息500、600被抛弃，随后头端器104可以发送替代消息500、600。一些具体实施例可以使用数字签名而不是校验和。
对象头端器604包含软件消息600的属性。对象头端器604包含报头长度，软件对象长度，对象标识符，软件版本，和一个域标识符。报头长度和软件对象长度分别指示对象报头604和软件对象608的长度。如上所述，对象标识符提供了允许将授权消息500给软件消息600的唯一代码。软件版本指出了软件对象的版本。不同的有线提供者被指定了域标识符，从而所有的机顶盒108(其可以接收软件对象608)可以筛选出在其域里的软件对象608。
软件对象608包含内容，系统200设计为传输所述内容到机顶盒108。可以将许多种类的消息嵌入到软件对象里，例如可执行程序，固件升级，实时运行程序(例如，Java或者ActiveX)，编程规划，付费信息，视频，音频或者数据。在鉴定和授权后，可以马上使用软件对象608或者稍后使用。而且，可以通过编程使授权在一定量的使用时间后过期。
具体参考图7，图7显示了签名者组700。此组700包含了部分授权消息500和软件消息600。所有用于计算签名512的数据被包含在签名者组100里。因为签名512需要来自授权消息500和软件消息600的成分，失败的签名检查显示授权消息500和软件消息600中之一不能被验证为来自受托的消息源。受托的消息源是生成消息512的头端器104。如果有多个签名512，机顶盒108选择至少一个签名512，所述签名用于鉴定签名者组700。
接着参考图8，图中以框图的形式显示了“权利”消息800的具体实施例。权利消息800传递使用功能单元的权利。功能单元可以是一个对象或者一个资源。典型的，每个机顶盒108有一个权利消息800，其指明了使用功能单元的每个权利。与权利对照检查关于对象和资源的授权消息500的要求以确定与另一个对象或资源的交互是否经过授权。权利消息800允许远端的添加新权利给与机顶盒108相关的功能单元。尽管没有图示，权利消息800典型地包含一个数字签名以验证消息800在传递过程中的完整性。在某些具体实施例里，可以使用校验和代替数字签名。
权利报头804包含权利消息800的属性。权利报头804包含一个报头长度，权利数据结构长度，机顶盒108标识符，和一个域标识符。报头长度和权利数据结构长度分别指示权利报头804的长度和权利数据结构808的长度。出于鉴定目的，机顶盒108标识符提供允许将权利消息给系统100里具体的机顶盒108的唯一代码。
使用权利数据结构808里的信息将权利传递给所有的功能单元。一个给定的功能单元有权利使用许多其他的功能单元。这些权利包含在权利数据结构808中。每个功能单元标识符列举了层次权利，其用于发布权利给具体的功能单元。功能单元可以是已经在机顶盒里或者可以在稍后的某时下载。
接着参考图9，图中以框图显示了在功能单元之间的交互。与机顶盒108相关的功能单元包含一个机顶盒资源904，打印机驱动对象908，e-mail对象912，和一个打印机端口资源914。在这些功能单元的正常交互动作中，遇到了检查点，触发了授权检查。单独的表格将权利和需求关联到图9里的每个功能单元。功能单元用作将对象信息600关联到权利消息800。
表格
机顶盒资源904比e-mail对象912等级高。当载入e-mail对象912时，在对象912里的检查点检查其是否有正确的权利。有e-mail自己的需求920-2确定了正确的权利。如果e-mail权利916-1满足e-mail对象需求920-2的标准，e-mail对象912通过检查点继续执行。在e-mail权利916-1和e-mail对象需求920-2被它们相关的功能单元904，912分别下载后，ACP240实际地实行鉴定。
在用户接收到机顶盒904后，用户可以添加可选的打印机212。在此实施例里，打印能力是一个添加的性能，这不包含在所有的机顶盒904里。如果打印机212是内容提供者同意购买的，打印机驱动器权利916-2，916-4和打印机端口权利916-3被在权利消息800里从头端器104送到机顶盒904。
一些实施例可以提供权利给能使用打印机端口920-3的功能单元的子集。例如，可以将打印机驱动器权利916-4给e-mail对象912，但是机顶盒资源904将不会接收到打印机驱动器权利916-2。由此，仅仅e-mail对象916-2可以使用打印机端口920-3并且其他对象不能。
将打印机212插入到打印机端口914能够触发在TV216上显示一条消息，询问关于打印机212的保密代码。在用户输入保密代码后，对启动打印机212的权利消息800的请求发送到头端器104。一旦头端器104接收到并且验证保密代码，权利消息800的启动组被送到基于密钥加密的密码中。在此实施例里，打印机驱动器对象908是工厂载入的，但是其他实施例可以当需要使用对象消息600时载入此对象908。
当e-mail对象912在运行时，用户可以尝试打印e-mail消息。在打印前，出现了许多鉴定正确权利916的检查点。e-mail对象912使用需要打印的信息调用打印机驱动器908。打印机驱动器908里的检查点停止处理，直到检查了e-mail对象912的授权。当购买打印机时下载的打印机驱动器权利916-4随同打印机驱动器需求920-1被载入到ACP240用于鉴定。假定鉴定成功，打印机驱动器对象908形成了关于打印机212的打印信息并且将其传输到打印机端口资源914。
打印机端口资源914是硬件端口，其与连接到打印机212的电缆接口。一旦信息被送到打印机端口资源914，一个检查点暂停此过程以检查打印机驱动器对象908是否有正确的授权。要求920-3和权利916-3被载入到ACP240以鉴定。一旦由打印机驱动器对象908的使用被鉴定，剩余的打印任务依次在打印机端口资源914等待打印。
在一些实施例中，一个功能单元的权利916可以被另一个功能单元继承权利916可以被传递给其他可以使用所述功能单元的对象608。例如，使用打印机端口232的权利916开始可以仅与e-mail对象912相关，其中当用户购买打印机212后此权利916可以被传递给e-mail对象912。在稍后的时间里，头端器104可以授权所述权利916遗传给所有可以使用此打印机性能的其他功能单元或者功能单元的子集。
接着参考图10，说明了用于以第三保密级别加载对象的处理的实施例。此具体实施例鉴定了网络操作者在加载之前是对象的根源。在第一步1004，控制器220从存储器228的非易失性部分读取授权和对象消息500，600。在步骤1008，将对象消息600载入到ACP240里并且在步骤1012，将授权消息500载入到ACP。
一旦载入了对象和授权消息600、500，ACP240可以利用签名者组700的所有成分。在步骤1016，ACP240在签名者组700上计算新签名。ACP240在步骤1024确定授权消息500里的签名512是否匹配计算得到的签名。如果匹配，对象608是经授权的并且对象608被操作系统载入到存储器228里并且允许其执行。另一方面，如果签名不匹配，ACP240抛弃了对象608并且向OS报错。签名512不匹配可能因为在储存中的讹误，非法替代了对象608或者病毒感染了对象608。
参考图11，显示了以第四保密级别上用于载入对象的处理过程的具体实施例的流程图。此具体实施例检查了机顶盒是否在加载对象608之前被授权使用对象。与上述保密等级一的相似，此实施例使用加密以得到授权检查。加密可以使用对称或者不对称密钥。在第一步1104，将对象消息600以加密形式写入一个非易失性存储器228部分。在某些实施例里，对象消息600是以加密形式从网络208上接收到的，从而在储存前额外的加密步骤是不必要的。
当载入所期望的对象608时，在步骤1108从非易失性存储器228里检索授权和对象消息500、600。授权消息500包含解密对象消息600所需的密钥。在步骤1112，将上述密钥和对象消息600载入到ACP里。在步骤1116解密对象608。如果用于解密的密钥不是授权给对象608的那个，上述解密处理过程将不成功并且结果产物将是不能破译的。另一方面，在步骤1120里如果密钥正确，将明文对象返回到OS以执行。
在一个实施例中，对象608被以加密形式载入到易失性存储器。由于仅仅来自对象消息600的对象608被储存于存储器里，对象608由其自己加密。可以使用同样的密钥或者不同的密钥实行加密。当遇到后来的检查点时，可以对存储器里的经加密的对象608上实行授权。例如，当对象608是从存储器里读取用于回放或观看，其再次被解密以验证授权。在授权过程中不需要用户交互，例如输入密码。
接着参考图12，图中说明了用于以第四保密级别上用于加载对象的处理的另一个具体实施例的流程图。在此实施例中，检查了授权消息500里的授权以在载入对象608前确定它是经授权的。在步骤1204，从存储器228里读取授权消息500。接着，在步骤1208控制器220将授权消息500载入到ACP240。
一旦ACP240有授权消息500，在步骤1212检查那里的授权消息。在步骤1216通过检查授权信息确定对象608是否经过授权。如果对象608经过授权，OS将其载入到存储器并且执行。另一方面，如果没有授权使用对象608，在步骤1224，OS通报一个失败的授权企图并且将对象608抛弃。
尽管上面没有表述，等级四的授权典型地在与等级三的授权的鉴定大约同时并且在载入对象608之前实行。在鉴定之前实行授权是因为授权是较快的过程。在实行鉴定和授权后，返回给OS的状态是没有授权，授权但没有鉴定，或授权并且鉴定。
参考图13，图中显示以第五保密级别上用于检查持续运行的对象的处理的具体实施例的流程图。第五保密级别和第六保密级别(以下将说明)与由时间或使用触发的检查点相关。可以认识到，正在运行的对象也应该被鉴定以确保它们没有被替代或被修改。而且，验证授权周期性地允许持续运行一段时间的应用到期。可以使用一段一定的时间或者一段不可预知的改变的时间。
在步骤1304开始此过程，其中从存储器228中读取对象608。在加载对象608之前，有一个第一签名，但在将对象608载入存储器228后，载入对象608的签名可以改变。本领域技术熟练人员可以认识到，所述寻址从虚拟寻址转化为物理寻址，从而可以改变所述签名。从而，在步骤1308重新计算签名以产生指示被加载对象的一个第二签名。注意对象608应该以第二签名不改变的方式下在存储器228里被加载并维护。例如，加载入的对象不应该有自身修改代码，由此所述签名将会改变。然而，一些实施例可以在出现改变时允许第二签名的修改。
OS有以规则间隙安排的检查点，所述检查点触发周期性的鉴定和授权。在步骤1312，处理过程等待下一个安排的检查点。典型的，这些安排的检查点至少每周或每月出现。由于有线电视是每月付费，希望在付费周期后检查未经授权的继续运行的应用，然而可以使用任何间隔。在步骤1316，通过将授权消息500、加载对象和第二签名载入ACP240，实行鉴定和授权。第二签名用于鉴定。
在步骤1320，确定在步骤1316里实行的鉴定和授权是否都成功实行。如果成功，此过程回到步骤1312，在此流程等待下一个检查点。另一方面，当授权和鉴定中有一个失败时，将对象从存储器228移走并且抛弃。较佳地，ACP240是确定安排的检查点的时间源。ACP240不易受到攻击的影响，它将时钟拨回以防止授权到期。而且，ACP240不运行可能改变时间的应用软件并且它需要保密的命令来改变时间。保密命令可以使用加密件或签名以确保任何时间改变的真实性。为了终止授权期，可以使用于解密的密钥到期或者可以发送一个新权利消息800，其将写覆盖并且移走使用对象的权利。
尽管前述的实施例依靠时间期限来触发检查点，其他实施例可以以其他方式触发检查点。例如，可以使用计数器监视使用量来触发检查点。在预定次数的加载或者预定的累积运行时间后，一个检查点将要求重新验证对象。
接着参考图14A，其说明了以第六保密级别上用于允许免费预览对象的处理的具体实施例的流程图。第六保密级别允许在购买前根据某一范例使用软件。如本领域熟知的，用户希望在可能购买前试用软件。从而，第六级别上用于保密允许在购买前试用一段时间软件。
在步骤1404，此过程开始，在此从存储器228的储存部分中检索对象608。在步骤1408，将对象608载入到存储器228的执行部分，在此开始执行对象608。在步骤1412，一个倒计时器开始运行，它一直减到零以标记试用期的到期。应该理解，也可以试用累加计时器来确定试用期的到期。在步骤1416，用户试用对象608直到试用期完。在步骤1420通过当倒计时器到期或到最低界限零时进行提示来确定试用期完。当计时器到期，试用期的临时授权也到期了。
在步骤1424，给用户购买对象608的选择，同时暂停应用的授权。购买将恢复授权。机顶盒形成一个购买屏幕并且将其展现给用户以提示购买对象608。如果没有选择购买，在步骤1432，所述对象608被从存储器228移走并且被抛弃。另一方面，如果同意购买，在步骤1428里，对象608保持在存储器228里并且更新授权信息以反映购买和授权。
其他的实施例可以使用可以一直试用的不完整的试用版软件，但是它没有在购买的正式版里的一些性能。如果用户喜欢不完整的版本，用户可能愿意购买完整版以获得试用版不包含的性能。购买使对象608不再残缺并且授权了所没有的性能。应该注意到，在一些实施例里，完整版可以通过与图13所述方法类似的方法使使用应用的权利到期来控制。
接着参考图14B，说明了以第六保密级别上用于允许免费预览对象的处理的另一个具体实施例的流程图。在此实施例里，由使用次数和一些其他度量方法规定对象的试用期。例如，在必须购买前，软件可以被加载两次。
在步骤1436，此过程开始，在此从存储器228的储存部分中检索对象608。在步骤1440，将对象608载入到存储器228的执行部分，在此开始执行对象608。在步骤1444，一个累加使用量计数器开始运行，当对象被使用，它就计数增加。应该理解，也可以使用倒记计数器来确定使用量界限的到期。在步骤1448，用户试用对象608并且在步骤1452试用导致使用量计数器的增加。此实施例中的每个试用计数相应于一次程序的加载或者某一其他动作。在步骤1456通过当使用量计数器到达其上限时进行提示来确定试用期完。当达到界限时，试用期授权也到期了。
在步骤1460，给用户购买对象608的选择，同时暂停应用的授权。购买将恢复授权。机顶盒108形成一个购买屏幕并且将其展现给用户以提示购买对象608。如果没有选择购买，在步骤1468，所述对象608被从存储器228移走并且被抛弃。另一方面，如果同意购买，在步骤1464里，对象608保持在存储器228里并且更新授权信息以反映购买和授权。
尽管前述实施例度量整个对象608的使用量，其他的实施例可以以更好的方法监视使用量。对象608的单个功能可以有被计量地访问。例如，在购买打印能力前仅仅允许e-mail程序打印二十条e-mail消息。
参考图15A，说明以保密级别七监视报告返回头端器的过程的具体实施例的流程图。在头端器104里的监视计算机期望系统100里的每个ACP240通过网络208周期性的发送保密报告回头端器。那些没能在预定期间里发送回报告的ACP240被假定为有故障的ACP240，其可能表示被破坏的或者其他故障的机顶盒108。在此实施例里，头端器期望每天至少一个保密报告。在图15A中仅仅显示了监视单个机顶盒108的过程，但是应该理解，此过程可以在系统100里的大量机顶盒108上平行地实行。
在步骤1502，回报告计时器被设置为一天的初始值。在设置后，回报告计时器开始随着时间计数。在步骤1506，对于实行此过程的机顶盒108，头端器104监视来自机顶盒108的任何回报告。在步骤1510，实行一个测试以确定是否接收到保密报告。如果接收到了保密报告，流程继续到步骤1546，在此分析此报告是否有任何识别的保密问题。如果有保密问题，在步骤1518，机顶盒1518停用。如果没有保密问题，流程回到步骤1502。
如果在步骤1510前没有收到任何报告，流程继续到步骤1514，在此，实行进一步的检测以确定回报告计时器是否已经到期。如果所述计时器还没有到期，流程循环回到步骤1506。如果计时器到期，在步骤1518，对应于过期的计时器的机顶盒108被停用。一个到期的计时器将指示所述ACP240不再正确的报告保密问题。为了抑制所述机顶盒108，在步骤1518，可以发送一个新权利消息800，所述消息停用了机顶盒3的核心功能，例如红外线端口资源。而且，可以在机顶盒108上显示一条消息，通知用户与客户支持部门联系以再次激活红外端口资源。
尽管此具体实施例停用了对应于不合适的保密报告的机顶盒的整体，一些实施例可以仅仅停用导致保密问题的对象608。如果机顶盒108里的操作系统在存储器里被破坏，将不能合适地响应(例如)后续的检查点。在观察到检查点没有实行后ACP240将报告此错误。头端器104可以发送一个命令到机顶盒108以促使重新加载操作系统以清除错误。如果接收到进一步的报告，机顶盒108可以被停用。
接着参考图15B，说明了在第七保密级别上用于监视保密检查的处理的具体实施例的流程图。当遇到检查点时(或应该遇到检查点)，ACP240监视对象608和操作系统的正确运行。例如，只要对象608被载入、加载或者访问，一些实施例执行检查点。ACP240可以确信实行了鉴定和/或授权并且确信任何不合适的结果被按照设计处理。不能合适处理检查点的失败消息被以保密报告形式发送到头端器104。
在步骤1522里，设置了一个回报告计时器。此回报告计时器设置了机顶盒108将正常的发送报告回头端器104的期间。在此实施例里，ACP240每小时发送报告。这些报告是来自OS和控制器220的对鉴定和授权错误报告的补充。在步骤1526，ACP240独立的确定OS何时将遇到检查点。在步骤1530和1534，ACP240确定鉴定和/或授权是否相应于检查点实行。如果测试中有失败，ACP240进一步确定控制器220是否将错误报告回了头端器104。ACP240加入了鉴定和/或授权流程并且可以确定何时实行这些流程。监视系统总线230通信情况的ACP240可以实行错误报告的监视，用于查看网络端口208是否正确地发送了错误报告。
如果忽略了检查点或者其他原因没有对其作反应，在步骤1542，立即将保密报告发送到头端器104。保密报告包含自从上次回报告计时器期间开始后产生的所有错误。如果合适地实行了检查点，流程继续到步骤1538，在此测试所述每小时回报告期间的到期。当计时器到期时，在步骤1542，ACP240发送保密报告，否则，流程循环从步骤1538返回到步骤1526以便进一步监视。在此实施例里，ACP240对剩余的机顶盒108实行简单检查以独立地检查保密问题并且还将这些问题报告回头端器104。
参考图15C，说明了以保密级别七监视保密检查的过程的另一个具体实施例的流程图。此实施例中，ACP240监控OS以双重检查是否规则地遇到所述检查点。在步骤1504，流程开始，在此记录了上次OS检查点出现的时间。此实施例里由于ACP加入了鉴定和授权过程，ACP240可以跟踪检查点的执行。在步骤1508，启动倒计时器。我们再次注意到计时器可以是倒计时也可以是正计时。
在步骤1512，ACP240确定是否发现检查点。如果发现了检查点，流程循环回到步骤1504，在此倒计时器被重置，从而再次从头开始启动。另一方面，如果没有发现检查点，在步骤1516实行计时器检查。如果计时器已经过期，流程循环回到步骤1512以再次检测检查点的发现情况。当计时器到期而没有遇到检查点，流程循环回到步骤1520，在此ACP240报告一个错误回头端器104。
尽管上述的实施例讨论了在单个对象608上的测试检查点，应该认识到在机顶盒108的每个对象608上都可以出现以上述方式检测检查点，从而许多说明的流程可以平行地实行。在一些实施例里，给每个对象608设计了定制标准以侦测所述对象608独特的在执行中的错误。而且，我们注意到受托的或者保密的操作系统一般不需要ACP240以如此的严格方式检查异常行为。为了阻挡黑客、盗版、病毒和储存错误，操作系统正常功能的检查(即，检查常规的检查点)增加了一层保密性。
参考图16A，说明了以第八保密级别上用于产生部分加密的对象的处理的具体实施例的流程图。一部分必须被加密以防止未经授权地加载对象直到购买了对象。例如，可以利用一个不完整版本的对象608直到为了重新形成非残缺版本的对象608而进行购买导致了标记的解密。解密标记有效地授权了非残缺版本的试用，从而可以以明文形式利用整个对象608。在此实施例里，用于标记的部分对象608小于整个对象608的一半大小。
在步骤1602开始流程，在此选择了对象608的一部分，将其加密为标记。所选择的部分将使对象608如果缺少此部分就不能允许对象608的执行。在步骤1606，移走的部分被加密为一个标记。可以实行对称加密或者不对称加密，然而此实施例使用的是对称加密。在步骤1610，残缺的或者保密对象被送到机顶盒108。保密对象包含标记和明文形式的对象608剩余部分。在步骤1614，通过保密信道将对称密钥送给机顶盒108。
如果用户购买对象608，此标记被解密并且重新插入到对象608，从而重新形成的对象是可执行的。在步骤1618，将一个消息从机顶盒108发送到头端器104，指出实行了购买。在步骤1622，由于购买了对象608，用户的账户被适当地扣款。在步骤1626，发送授权使用对象的一个更新的权利消息800。尽管此实施例从头端器获得了最终授权，允许实施例可以避免此授权而立即开始使用对象。例如，在储存一转发系统里来自头端器104的授权可以是不实际的。
接着参考图16B，说明了使用标记以达到第八保密级别上用于过程的具体实施例的流程图。此实施例使用一个密文标记来控制对象608的授权。所述密文标记是正常运行对象608或一些子功能所需的部分对象608的加密部分。解密所述密文标记产生明文标记，所述明文标记被插入到对象608里，从而所述对象以明文形式被重组。
在步骤1604里，流程开始，从头端器接收密文标记和对象608的明文剩余部分。尽管此实施例依靠头端器104产生明文标记，一些实施例可以在接收到对象608后在机顶盒108里所需标记的加密。在步骤1608，明文剩余部分和密文标记被保存于储存存储器228里。在步骤1612，接收到解密所述密文标记所需的密钥并且将其储存在ACP240里。
在步骤1616，流程等待直到用户购买对象608。在步骤1618，从对象608里移走密文标记并且发送到ACP240以解密。在步骤1620和1624里，得到的明文标记被返回到OS并且集成到对象608里以使对象608功能可用。在步骤1628里，将购买报告给头端器104。在执行对象608之前，可用要求来自头端器104的以权利消息800的形式的进一步授权。通过加密一部分对象608而不是整个对象608，加快了解密过程。
上述的讨论关于在操作系统OS上运行应用或者对象608。对于在运行于OS顶层上的JavaTM虚拟机(JVM)上运行的JavaTM应用也适用这些概念。为了帮助理解此抽象概念，参考图17说明了上级地位和下级地位的概念。上级地位和下级地位确定了哪个对象608有责任将检查点加于另一个对象上。在与其他对象608和资源进行的正常交互中，检查点被加于对象608。
参考图16C，说明了使用部分下载以达到第八保密级别上用于过程的具体实施例的流程图。此实施例将对象分成明文部分和明文剩余部分。头端器104分发明文剩余部分，但是在分发明文部分之前等待购买。没有明文部分，对象608是残缺的，从而它不能执行。在此实施例里，明文部分少于明文剩余部分的大小的十分之一。
在步骤1650里，机顶盒108接收到对象608的明文剩余部分并且在步骤1654将其储存于存储器228。在步骤1658，除非用户购买使用它否则对明文剩余部分什么也不做。通过网络208将购买报告回头端器104。一旦对购买请求实行了任何验证，头端器104发送缺少的明文部分，在步骤1666，机顶盒接收所述缺少的明文部分。使用保密信道发送明文部分到购买所述对象108的机顶盒108。
在步骤1670里，在机顶盒108里明文部分和剩余部分被结合以重新形成对象608。此实施例进一步从头端器104要求新权利消息800以使所述对象可用被使用。新权利消息800将替代老的权利消息800并且提供使用对象608的权利。
参考图17，显示了机顶盒108的一些功能性单元。图中，位于图17的底端的功能单元处于靠近图17的顶端的功能单元的上级地位。即，图17顶端的功能单元处于图中较低的那些单元的下级地位。上级功能单元负责对下级功能单元加上检查点。例如，硬件1704对BIOS1708，OS1712加于检查点并且如此直到下级层次。BIOS1708对OS1712加上检查点，但是不对硬件1704加检查点。当它们有交互时，同一层次的功能单元可对位于所述层次的另一个功能单元加上检查点。例如，一个应用1716可以要求在驱动器1718上执行检查点。
上级功能单元被设计为启动与ACP240有关的检查点的执行并且下级对象被设计为有加于其上的检查点。例如，在引导启动过程里，在执行中，BIOS1708要求在OS1712上执行检查点，和/或在运行中BIOS1708要求在OS1712上周期性地执行检查点。在正常运行中当安装或调试时，驱动器对象1718经受检查点。只要访问文件里的数据，数据文件对象1728就经受检查点。当浏览器应用1716解释HTML对象1728时，HTML对象1728作为检查点的一部分被审查。
根据上述，本发明的一些优点已经很明显。只要检查点出现，就检查对象的授权和鉴定。这些检查点在许多不同时刻验证对象的使用以提供对对象的连续控制。连续控制阻挡了黑客和病毒编写者修改或替代条件接入系统里的对象的企图。
上面关于特定装置和方法说明了本发明的原则，但应该清楚的理解，此说明书仅仅是示例性的并且不应该是对本发明范围的限制。
权利要求
1.一种用于保密与内容接收器相关的信息的方法，所述内容接收器是条件接入系统的一部分，其特征在于，所述方法包含步骤利用内容接收器接收对象，其中所述对象包含多个相关检查点；当遇到一个第一检查点时，对所述对象实行鉴定和授权中至少一个；储存所述对象；当遇到一个第二检查点时，对所述对象实行鉴定和授权中至少一个；以及根据第二所列实行步骤调节一动作的实行。
2.如权利要求1所述的方法，所述方法用于保密与内容接收器相关的信息，所述内容接收器是条件接入系统的一部分，其特征在于，所述多个相关检查点中的每一个都相应于以下步骤中至少一个从存储器读取所述对象；将所述对象载入固态存储器；处理器处理所述对象；显示所述对象；以及播放所述对象。
3.如权利要求1所述的方法，所述方法用于保密与内容接收器相关的信息，所述内容接收器是条件接入系统的一部分，其特征在于，第二所列实行步骤包含使用密钥解密所述对象的步骤。
4.如权利要求3所述的方法，所述方法用于保密与内容接收器相关的信息，所述内容接收器是条件接入系统的一部分，其特征在于，不用与内容接收器的用户进行交互而实行所述解密。
5.如权利要求1所述的方法，所述方法用于保密与内容接收器相关的信息，所述内容接收器是条件接入系统的一部分，其特征在于，第一所列实行步骤包含使用第一代码鉴定所述对象的步骤。
6.如权利要求5所述的方法，所述方法用于保密与内容接收器相关的信息，所述内容接收器是条件接入系统的一部分，其特征在于，所述方法还包含确定与第一代码不同的第二代码的步骤，其中所述第二所列实行步骤包含使用所述第二代码鉴定所述对象的步骤。
7.如权利要求1所述的方法，所述方法用于保密与内容接收器相关的信息，所述内容接收器是条件接入系统的一部分，其特征在于，所述动作包含以下步骤中至少一个从存储器读取所述对象；将所述对象载入固态存储器；处理器处理所述对象；显示所述对象；以及播放所述对象。
8.如权利要求1所述的方法，所述方法用于保密与内容接收器相关的信息，所述内容接收器是条件接入系统的一部分，其特征在于，所述接收步骤包含从一加密数据信道下载所述对象的步骤。
9.如权利要求1所述的方法，所述方法用于保密与内容接收器相关的信息，所述内容接收器是条件接入系统的一部分，其特征在于，所述对象包含以下中至少一个软件程序、软件动态链接库、驱动器、固件、视频、音频和数据。
10.如权利要求1所述的方法，所述方法用于保密与内容接收器相关的信息，所述内容接收器是条件接入系统的一部分，其特征在于，所述储存步骤包含以加密形式储存所述对象的步骤。
11.如权利要求1所述的方法，所述方法用于保密与内容接收器相关的信息，所述内容接收器是条件接入系统的一部分，其特征在于，所述储存步骤在所述第一所列实行步骤之后实行。
12.如权利要求1所述的方法，所述方法用于保密与内容接收器相关的信息，所述内容接收器是条件接入系统的一部分，其特征在于，所述鉴定步骤包含鉴定所述对象的来源是否有效的步骤。
13.如权利要求1所述的方法，所述方法用于保密与内容接收器相关的信息，所述内容接收器是条件接入系统的一部分，其特征在于，所述储存步骤还包含将所述对象储存得最靠近所述内容接收器的步骤。
14.如权利要求1所述的方法，所述方法用于保密与内容接收器相关的信息，所述内容接收器是条件接入系统的一部分，其特征在于，所述方法包含步骤授权连接到所述内容接收器的数据信道；利用所述数据信道下载对象，其中所述对象包含多个相关的检查点；鉴定所述对象；授权所述对象；储存所述对象，其中在所述下载步骤之后但在所述储存步骤之前实行所述鉴定和授权步骤；当遇到多个相关检查点中的一个时，对所述对象实行鉴定和授权中至少一个；以及根据所述两个鉴定步骤和所述实行步骤中至少一个调节一动作的实行。
15.如权利要求14所述的方法，所述方法用于保密与内容接收器相关的信息，所述内容接收器是条件接入系统的一部分，其特征在于所述授权步骤包含使用一个算法从所述对象生成一个第一代码的步骤；以及所述实行步骤包含使用所述算法从所述对象生成一个第二代码的步骤，其中所述第一代码与所述第二代码不同。
16.如权利要求14所述的方法，所述方法用于保密与内容接收器相关的信息，所述内容接收器是条件接入系统的一部分，其特征在于，所述多个相关检查点中至少一些被储存在其他对象中。
17.如权利要求14所述的方法，所述方法用于保密与内容接收器相关的信息，所述内容接收器是条件接入系统的一部分，其特征在于，所述方法还包含步骤计数对象中的功能的使用量；以及基于计数步骤触发一个检查点。
18.如权利要求14所述的方法，所述方法用于保密与内容接收器相关的信息，所述内容接收器是条件接入系统的一部分，其特征在于，所述鉴定步骤和所述实行步骤中至少一个是由一个接入控制器实行。
19.一种用于保密与内容接收器相关的对象的方法，其特征在于，所述方法包含步骤使用一个算法为所述对象计算一个第一代码；使用所述第一代码鉴定所述对象；在所述第一所列计算步骤之后储存所述对象；使用所述算法为所述对象计算一个第二代码，其中所述第一代码与所述第二代码不同；以及使用所述第二代码鉴定所述对象。
20.如权利要求19所述的用于保密与内容接收器相关的对象的方法，其特征在于，所述方法还包含步骤对所述两个鉴定步骤中至少一个调节动作的实行。
21.如权利要求19所述的用于保密与内容接收器相关的对象的方法，其特征在于，所述方法还包含步骤在虚拟寻址与物理寻址之间转化所述对象。
22.如权利要求19所述的用于保密与内容接收器相关的对象的方法，其特征在于，所述方法还包含步骤确定何时对象改变；以及当所述对象改变时，重新计算所述代码。
23.如权利要求19所述的用于保密与内容接收器相关的对象的方法，其特征在于，从包含非线性算法、线性算法、单向算法、签名和校验和的一组算法中选择所述算法。
全文摘要
根据本发明,在此揭示了一种用于保密与内容接收器相关的信息的方法,所述内容接收器是条件接入系统的一部分。在一步骤中,利用内容接收器接收对象,其中所述对象包含多个相关检查点。当遇到一个第一检查点时,对所述对象实行鉴定和授权中至少一个。储存所述对象。当遇到一个第二检查点时,对所述对象实行鉴定和授权中至少一个。根据遇到所述第二检查点,调节一动作的实行。
文档编号H04N7/167GK1381129SQ01801450
公开日2002年11月20日 申请日期2001年5月2日 优先权日2000年5月26日
发明者E·J·斯普龙克 申请人:通用器材公司