本发明通常涉及电子交易的执行,以及更具体地说涉及在包括 首端、通信网络和接收器的系统中执行电子交易,能从首端接收内容 数据。 特别地,本发明涉及用于实施交易的系统,包括首端、通信网 络和接收器,能通过网络从首端接收包括内容数据的数字信息,以及 使用户在显示装置上可利用该内容数据,其接收器进一步包括用户安 全装置的接口,该系统有能力创建交易令牌,包括唯一识别用户安全 装置的第一代码。 本发明还涉及允许在包括首端、通信网络和接收器,允许经网 络从首端接收包括内容数据的数字信息的系统中交易的方法,以及使 用户在显示装置上可利用该内容数据的方法,其接收器进一步包括用 户安全设备的接口。 本发明还涉及计算机程序,具有当在包括接收器和通过接口连 接到该接收器的用户安全装置的系统上运行时,允许系统执行这种方 法的能力。 本发明还涉及系统,包括接收器,能经网络从首端接收包括内 容数据的数字信息,以及通过接口连接到接收器的用户安全装置。 本发明还涉及适于用在这种系统中的用户安全装置。 本发明还涉及用于创建交易令牌的终端,包括客户安全装置的 接口,以及配置成创建包含识别用户安全装置的第一代码的交易令 牌。 本发明还涉及适于用在这种终端中的客户安全装置。 本发明最后涉及计算机程序,具有当运行在包括客户安全装置 和用户接口的终端上时,为包括该终端和客户安全装置的系统提供这 种终端的功能性的能力。 上述方法和系统的例子可从付费电视节目领域了解到。在已知 的系统中,将识别有效奖励内容(premium content)的数据流嵌入 数字广播信号中。由接收器接收广播信号,该接收器将该数据与广播 信号中的内容数据分开。该数据用于创建图形用户界面,观众可使用 该图形用户界面来选择他想购买的内容。接收器使用该选择信息来向 首端生成消息。该系统包括返回信道,通过该返回信道,将该消息传 送到首端。包括例如,PCMCIA模块或智能卡的条件访问模块-安全 装置经接口连接到接收器。当通过返回信道建立首端和由条件访问模 块识别的具体接收器间的连接时,首端知道购买者的身份。随后与内 容数据一起发送的权限管理消息通过条件访问模块,允许接收器使获 取的内容可由用户利用。 在已知系统中,到首端的返回信道是必须的,以便将用户安全 装置的身份传达到首端。用户仅能使用接收器定购内容,并且必须使 接收器插入到安全装置来完成这样的操作。 发明内容 本发明提供上述类型的系统和方法,允许将交易与接收器的用 户连接,而不需要从接收器到首端的返回信道。 本发明通过提供实施交易的系统来实现,该系统包括首端、通 信网络和接收器,能通过网络从首端接收包括内容数据的数字信息, 并且能使用户在显示装置上可利用该内容数据,其接收器进一步包括 用户安全装置的接口,该系统具有创建包含唯一识别该用户安全装置 的第一代码的交易令牌的能力,其中将该接收器编程为使第一代码在 显示装置上可用,并且该系统进一步包括用于创建交易令牌的终端, 该终端包括客户交易装置的接口,其中该终端包括用于输入第一代码 的用户界面,以及配置成与客户安全装置合作,由所输入的第一代码 创建交易令牌。 在该系统中,不需要从接收器到首端的返回信道。有效地将交 易连接到用户安全装置,但不需要用户安全装置主动地生成令牌。实 际上,客户安全装置和终端的用户可为其他人定购产品。该其他人是 由连接到该用户安全装置的第一代码来识别。 根据本发明的另一方面,提供允许在系统中交易的方法,该系 统包括首端、通信网络和接收器,能通过网络从首端接收包括内容数 据的数字信息,以及能使用户在显示装置上利用该内容数据,其接收 器进一步包括用户安全装置的接口,其中使用于创建交易令牌的、唯 一识别用户安全装置的第一代码在显示装置上可由用户利用。 因此,用户拥有第一代码。可经其他方式将第一代码提供给广 播装置。操作首端的、具有用户数据库以及它们的用户安全装置的服 务供应商能联系带给特定用户的产品。 最好,使识别将定购的产品、并包含在内容数据中的第二代码 在显示装置上由用户利用。 因此,定购产品变得不同步。不再需要接收器返回如其所接收 的嵌入在内容流中的产品标识,例如,以便发行用于观看的电影。相 反,能与从首端至接收器的传输无关的定购产品并付费。 根据本发明的一个方面,提供计算机程序,该计算机程序具有 当在包括接收器和通过接口连接到该接收器的用户安全装置的系统上 运行时,允许系统执行根据本发明的方法的能力。 因此,能升级包括接收器和用户安全装置的系统以便执行本发 明的方法。 根据本发明的另一方面,提供系统,该系统包括接收器,能通 过网络从首端接收包括内容数据的数字信息,以及通过接口连接到该 接收器的用户安全装置,其中将该系统配置成执行根据本发明的方 法。 该系统具有根据本发明的方法的优点。 根据本发明的另一方面,提供用于创建交易令牌的终端,包括 客户安全装置的接口,并配置成创建包含第一代码的交易令牌,该交 易令牌识别用户安全装置,其中该终端包括用于输入第一代码的用户 接口,并配置成与客户安全装置合作,由输入的第一代码创建交易令 牌。 使用该终端,以及由用于允许根据本发明交易的系统提供的第 一代码,用户能通过创建令牌来定购产品。 最好,将该终端配置成包括数字签名和交易令牌,与客户安全 装置合作。 因此,以后不能拒付交易令牌,该交易令牌是用户已经定购产 品并且要对其付费的证据。 最好,终端包括用于输入个人识别码的用户界面,以及配置成 使用与客户安全装置使用的个人识别码生成数字签名。 因此,拥有终端和客户安全装置不足以授权交易。需要了解个 人识别码的特定用户的有效参与。 根据本发明的另一方面,提供客户安全装置,适合用在根据本 发明的终端中,并配置成创建至少部分交易令牌。 通过安全装置,装置意味着包括微处理器、数据存储器和某些 防止窜改的特征。这些特征可是物理的,防止探查该装置中的数据, 和/或加密的,防止该装置可以未加密的使用数据。使用安全装置来 创建至少部分交易令牌防止创建错误的令牌,即未授权交易。 根据本发明的最后方面,提供计算机程序,当在包括客户安全 装置和用户接口的终端上运行时,具有向包括终端和客户安全装置的 系统提供根据本发明的终端的功能性的能力。 因此,这些程序能向例如移动电话或计算机提供根据本发明的 装置的功能性。 将参考附图来详细地解释本发明。 附图说明 图1给出了嵌入本发明的整个交易系统的视图; 图2包括图1的电视机的屏幕视图; 图3包括图1的移动电话的屏幕视图。 具体实施方式 将参考图1来给出创建交易令牌的方法以及其后续处理的整个 视图。付费TV服务的用户在其配置中具有机顶盒。将机顶盒1连接 到电视机2。其从首端3,经连接到其的广播网络4接收数字信息, 例如,影片、数据、音频或视频文件。标记5表示经营付费TV系统 的服务供应商实体。 通过转换成用于电视机2的视频信号,由机顶盒1接收的信息 可由用户利用。机顶盒1仅是适用于用在本发明中的接收器的例子。 适当编程的计算机、游戏控制台或数字电视机也可起本发明的系统中 的接收器的作用。 由条件访问系统保护数字信息。这些系统是公知的,在此不再 详细地描述。其满足由首端3广播的数据还包含识别允许接收某一程 序或文件的一个或多个用户的权限消息。更具体地说,权限消息与发 给付费TV系统的用户的用户安全装置有关。此外,由处理器和存储 器,以及防窜改组成的采用PCMCIA卡,但在这种情况下,采用用 户智能卡6的形式的这种安全装置是公知的。机顶盒1包括插槽7, 插槽是包含在机顶盒1和用户智能卡6间的接口中的硬件的一部分。 机顶盒1还具有用户接口,包括用于可在电视机2的屏幕上使 用的选择屏的软件以及摇控器8,通过遥控器8,用户能输入命令。 下面将参考图2详细地描述专用于本发明的用户接口的方面。 机顶盒1具有操作系统和存储器,存储多个应用程序,包括允 许其起执行本发明的方法的作用的应用程序。同样,用户智能卡6具 有可在模块的安全处理器中运行的操作系统和一个或多个应用程序。 例如,用户智能卡6和机顶盒1可包括用于解释从首端3下载的平台 独立字节码的虚拟处理器。因此,例如,可下载作为本发明的一部分 提供的软件以便允许升级机顶盒1和用户智能卡6。 广播网络4可以是有线、地面或卫星网。尽管机顶盒1可具有 用于电话网的调制解调器,本发明并不需要调制解调器来向首端3提 供返回信道。特别是在使用地面或卫星网的情况下,这是很有利的, 因为这些类型的网络通常不允许将数据通信量返回给首端3。 先前,在没有返回信道可用的情况下,希望购买奖励内容的用 户必须通过纸张形式发送给服务供应商实体5,以及例如信用卡详细 资料来订购。然后,服务供应商实体5将这些详细资料提交给其银 行,银行将与用户银行交换交易。本发明允许更快和更有效的方法来 实施交易。用户,或希望为用户定购产品的人具有客户安全装置,其 与适当的终端结合用来创建交易令牌。直接将该令牌提供给能授权付 费的管理机关经营的系统。该令牌还包括有关用户的身份的详细资 料,以便原则上,仅一个令牌则足以授权支付和识别产品的接收者。 几种类型的装置可充当根据本发明的终端。例如,在图1中, 将个人计算机9连接到作为客户智能卡11的接口的一部分的智能卡 阅读器10。代替个人计算机9,可使用销售点终端。在另一特别有利 的实施例中,使用移动电话12。移动电话12包括显示屏和用于输入 命令的按钮,以及用户标识模块(SIM)卡13的接口。后者充当本 发明意义上的客户安全装置。在本说明书中,假定使用移动电话12 来创建交易令牌。 此外,SIM卡13和移动电话12具有操作系统和一个或多个应 用程序。本发明具有允许移动电话12与SIM卡13合作来创建交易 令牌的专用应用程序。因为SIM卡13是客户安全装置,因此防止窜 改,最好使用它来至少创建交易令牌的安全敏感部分。 最好,机顶盒1能调谐到特定频道上,首端3广播有关所提供 的正待售的程序或产品的视频信息。在图2中示出了在其调谐到该频 道后,将其自身呈现给观众的第一屏幕视图14的简化例子。屏幕视 图14包括表示体育事件报道的图标15、表示影片的图标16以及表 示比萨饼的图标17。 在表示体育事件报道和影片的图标15、16下,字段18、19表 示与观看事件有关的内容的价格,广播其的频道,以及产品代码。在 表示比萨饼的图标17下,字段20表示价格、供应商和产品代码。将 需要该识别将定购的产品的产品代码以便创建交易令牌,通过该交易 令牌,定购产品并对其授权付费。 假定用户希望定购体育事件报道,他将使用摇控器8来将光标 指示到图标15,或者输入选择命令。然后,第二屏幕视图21显示其 自己。该屏幕视图21也包括图标15、字段18以及产品详细资料。 它还进一步包括字段22,表示用户代码。在接收到用户命令后生成 的用户代码唯一地识别用户安全装置,即,用户智能卡6。它是由用 户智能卡6生成的,在用户智能卡6中存储的识别代码上执行加密操 作。该存储码可以是例如,用来由首端3寻址包括用户安全装置的接 收器的代码。通过加密该代码,确保该代码不能公开获得。将理解到 作为另一种安全措施,对其的加密算法或密钥可随着时间或从交易到 交易改变。 现在参考图3,示出了移动电话12显示屏的几个屏幕视图23、 24、26、28、30、38。在下文中,假定移动电话12提供包括屏幕视 图、用于选择在屏幕上显示的要素的光标键和/或用于相同目的的数 字键的用户界面。改变是可能的,并且对本领域来说是公知的。第一 屏幕视图23提供移动电话功能的菜单,包括付费节目。选择付费节 目选项导致出现第二屏幕视图24,包括用于输入产品代码的字段 25,该产品代码识别将购买的产品,在这种情况下,为体育事件报 道。用户输入包括在如图2所示的第一和第二屏幕视图14、21的字 段18中的产品代码。 在确认后,过程进行到第三屏幕视图26(见图3)。第三屏幕 视图26是用户界面的一部分,用于输入交易的另外的详细资料。这 些详细资料可包含在交易令牌中。它们允许二次核对产品代码,在用 户已经在字段25中输入错误产品代码的情况下。在本例子中,第三 屏幕视图26包括用于输入产品价格的字段27。当处理交易令牌时, 可执行核对以便确保用户未定购比其所想的更昂贵的产品。 第四屏幕视图28包括用于输入用户码的字段29。这是在图2的 第二屏幕视图21的字段22中提供的代码。 如前所述,创建为本发明的一部分的令牌允许识别用户和授权 交易。在第五屏幕视图30中(见图3),用户现在能准备付费。选 择框31允许选择付费方式。在该例子中,用户具有通过信用卡、借 记卡,或通过从由服务供应商实体维护的其付费节目帐户扣除来付费 的选项。使用选择来确定交易令牌的格式,以及应当将其发送给谁。 在本例子中,令牌包括标题,规定例如,令牌的目的地。这可 以是指定将处理令牌的服务器的IP地址的标题。令牌进一步包括有 效负载,该有效负载包括产品代码、用户代码和交易的任何另外的 详细资料,象产品的价格。可加密有效负载,在这种情况下,使用存 储在客户安全装置中的密钥,由安全装置对其进行加密。可使用对称 加密算法,例如,DES-算法,因为处理很快。最好,交易令牌具有 数字签名。同样由客户安全装置创建数字签名。在方便的实现中,通 过在所有或部分有效负载上,使用来自存储在客户安全装置中的存储 器模块中的公-私密钥对的私钥,执行加密操作来创建签名。此外, 最好在客户安全装置(例如,移动电话12中的SIM卡13)中执行生 成数字签名。使用的算法和/或密钥可根据使用选择框31选定的付费 方式而定。 最好,由PIN码形成用来创建数字签名的部分或全部密钥。在 第五屏幕视图30中提供字段32,在该字段32中,用户能输入PIN 码。 将由移动电话12和SIM卡13生成的令牌提供给交易服务器 (见图1)。在图1的例子中,经蜂窝电话网关34,通过用标记35 表示的Internet,传送令牌。 交易服务器33首先通过由服务供应商实体5操作的客户数据 库,参考服务器36中的客户数据库来处理令牌。一旦确定用户安全 装置是有效装置,也将令牌传递给金融服务服务器37。金融服务服 务器37可属于例如,银行。将其配置成校验令牌的真实性。为此, 其使用与用来标记该令牌的私钥有关的公钥。如果令牌是授权的,那 么金融服务供应商能清偿该交易。同时将向交易服务器34在消息中 确认这一事实。然后,将用户身份告知付费TV经营商,其能发行体 育事件报道以便由用户观看。当然,交易服务器33和金融服务服务 器37的功能可结合成一个。 最好,交易服务器33将向移动电话12返回确认消息。接收该 消息产生显示第六屏幕视图38(见图3)。因此,接收的确认消息直 观地显示给用户。可听或有触觉的信号也可用于该目的。 本发明并不局限于上述实施例,在权利要求书的范围内可以多 种方式改变。例如,可将令牌直接提供给金融服务服务器,用于校验 其真实性。在交易服务器和金融服务器间可有安全通道。另外,每个 实施例的屏幕视图在顺序和内容上可不同。 背景技术