有线和卫星电视网络，其中视频服务是收费的，为人所熟知。同 样人所熟知的是计算机网络服务，例如因特网、美国在线(American On-Line)、计算机服务(Compuserve)以及其它拥有从一般信息到娱乐到 电子购物等不同应用类型网站的计算机网络服务，它们全都以固定月 费的方式来收费。在过去，有线和卫星网络在即兴购买的基础上提供 单个电视服务，这种“即兴按收看付费”(impulse pay-per-view，IPPV) 服务包含电视电影或特别的体育活动，其中观众可付一定费用来订购 一次服务。
按收看付费服务的提供，站在消费者的立场是有必要的，因为消 费者只需就所需的服务付费并在能享受它们的时候付费。按收看付费 的成功，不论它是电影或体育活动，已促使系统操作员与程序员考虑 用按收看付费的方式来提供额外的服务。
按收看付费方式的一个自然发展的后果将是提供以数据和多媒体 应用为基础的服务的能力。这些服务可包括(但不限于)游戏或伴随电视 节目的信息、家庭购物、电子邮件服务等等。为了提供这样的服务， 必须执行可接受的安全措施。在订购电视领域中，例如卫星和有线电 视，利用有条件访问(CA)技术来保证安全。
将电视服务IPPV有条件访问扩展到以新应用为基础的服务是便利 的。它尤其有利于在无需新的基础结构来支持这些特性的情况下，扩 展这种有条件访问，亦即对已开发系统提供简单的扩展。使用用户终 端(例如先前仅在视频IPPV服务上所使用的交互式电视解码盒)来提供 视频或伴随着视频的“即兴按使用付费”(impulse pay per use，IPPU) 服务，则更为便利。
本发明提供了具有前述优点及其它优点的方法和系统。

提供了一种方法和系统，以此可从通信网络上取得安全的即兴按 使用付费(IPPU)服务。
在一个简化实施例中，用户将一个用户IPPU选择(IPPU selection) 发送(例如在“事先呼叫”(call-ahead)情况下经由电话，或在事先授权 的情况下经由用户终端)到一个访问控制器。这个访问控制器生成一个 加密信息，该加密信息具有一个服务标识符和与用户IPPU选择相关的 授权设定，这个加密信息和用户所选择的IPPU服务的费用随后从访问 控制器送到用户的终端。用户终端验证该IPPU选择的费用是否在用户 的信用额度之内。如这一验证成功，用户终端生成一个安全的资格权 标(entitlement token)，供驻留在用户终端上的一个客户应用程序所使 用。该资格权标也可由访问控制器生成并转送到用户终端。客户应用 程序随后以某种安全方式将资格权标传送给一个服务器(例如一个代理 /策略服务器)，以确定所述用户接收IPPU选择的资格状态。当所述用户 接收该IPPU选择的资格得到了验证，服务器将进一步处理该IPPU选择 ，以使得所选择的服务/应用为观众所使用。
这个服务器可以是一个独立因特网服务供应商(ISP)的代理/策略 服务器、附属于某个多系统有线电视操作员(Multiple System Cable Operator，MSO)或其它网络操作员(Network Operators，NO)的代理/ 策略/策略服务器的一个ISP代理/策略服务器、一个NO代理/策略/策略 服务器，或类似服务器。
在一个可供选择的实施例中，IPPU选择是先送到一个客户响应中 心(customer response center，CRC)/记帐系统，该系统再将IPPU选择转 送到访问控制器。记帐系统对用户的IPPU选择开列帐单。
在一个计算机化客户响应中心(Crber CRC)配置的情况下，其中通 信经由一个全球通信网络(也就是因特网)或相似网络所提供，用户IPPU 选择可经由一个在用户终端上执行的网络浏览器与一个在记帐系统上 的网络服务器被送到CRC/记帐系统。
做为与访问控制器进行的通信的一部份，记帐系统能够启动访问 控制器去增加用户IPPU选择所涉及的服务，这是一个与告知访问控制 器、哪些用户得到授权访问这项服务的过程分开的过程。
在此所用的“记帐系统”这个名词在产业界广为人知，比仅仅一 个记帐的计算机来得广义。一般来说，记帐系统指一个能够执行网络 操作员操作并具有帐务处理、系统配置和商业操作功能的商业系统。
在一个可供选择的实施例中，安全资格权标是一个经过签名和被 加密的资格权标，该经过签名和被加密的资格权标被安全地从客户应 用端送到服务器上以作鉴别与译码。可以(比如说)用户的秘密密钥 来对加密资格权标。代理/策略服务器随后可使用用户的公开密钥来对 这一资格权标进行解密。或者，还可利用对称的密钥加密方式来对该 权标加密。例如，该权标能够利用数据加密标准(DES)技术而被加密， 并随着DES密钥传送，该DES密钥是利用一个与服务器相关的公开密钥 而被加密的(DES是一种加密标准，在美国专利号3,962,593上对此进行 了描述)。这个服务器使用其秘密密钥对DES密钥进行解密并利用这一 解密的DES密钥来对该权标进行解密。资格权标可在访问控制器上或 在用户终端上生成。
在另一实施例中，使服务标识符(service identifier)与一个或多个服 务相关的代码及数据对象相关联，定期将它们从访问控制器传送到用 户终端。
访问控制器可以是一个本地访问控制器或一个全国性的访问控制 器。
IPPU服务可能包含了访问某些网站(sites)、从网站装入流式媒体( streaming media)、从网站下载多媒体应用、访问网站上的内容、购物 、电子邮件、语音邮件，或相似服务。
用户终端可以是一个有线电视交互式电视解码盒、一台数字电视 或一台有配置能力的主机、一台个人计算机或其它相似设备。
在一个可供选择的实施例中，在用户终端上，在一个预定信用额 度下，用户IPPU选择得到事先授权。对IPPU的事先授权允许用户请求 本地授权(例如在用户终端上)。用户终端能够从信用额度上减掉与用户 IPPU选择相关的费用。
为了防止IPPU选择被拒绝，用户终端可安全地向访问控制器传输 用户IPPU选择。
以下将提供对应的方法与系统。

图1是一个根据本发明的系统的方块图；
图2是一个根据本发明的用户终端的相关组件的方块图。

根据本发明，先前与电视服务有关的即兴按收看付费概念被扩展 到与补充的数据和多媒体应用等类似内容有关的即兴按使用付费 (IPPU)服务上。“使用”一词指利用用户终端资源或代码/数据对象的 行为。这些对象包含了软件代码和/或数据，并且可驻留在用户终端上 或通过下载取得。
本发明能使用户安全地即兴购买服务。这些服务可取决于(或不 取决于)与网络进行的提供服务的实时交互作用。尤其是在用户终端 上与硬件和/或软件一起提供一个安全的微处理器，使得这个安全的处 理器生成一个安全并签名的资格权标，而且可在由一个与给定服务相 关的服务器做进一步处理前，被ISP或NO的代理/策略服务器所使用。 当用户选择一项服务(如果被事先授权)或在即兴购买该服务时，权标就 生成。这样的IPPU购买将利用驻留在用户终端上的组件以及支持IPPU 购买交易的可应用网络组件。
根据本发明，多种系统组件在提供IPPU服务时被利用到。这些系 统组件包括了：
1.客户响应中心(CRC)：这里处理用户的订购表格(经由虚拟客户 服务代表(CSR)或其它方式)和订购请求(通常是使用事先呼叫服务)。
2.现有的网络操作员记帐系统(NO-BS)：现存的NO记帐系统与一 个全国性控制器(访问控制器-AC)或本地控制器(数字的访问控制器 -DAC)连结。一般来说，访问请求与授权权力(资格)是从这一记帐系统 传送的。
3.因特网服务供应商记帐系统(ISP-BS)：这是一个NO的伙伴因特 网服务供应商(ISP)的现有记帐系统(可选)，处理ISP服务。
4.AC/DAC：控制授权并在一个用户的基础上进行服务的购买汇总 的访问控制器。
5.用户终端：这样的装置，例如有线电视交互式电视解码盒、数 字电视或具有配置能力的点的主机、个人计算机、或能够提供根据订 购、事先呼叫或即兴付费(impulse pay)来提供视频、声音与数据服务的 相似装置。
根据在相关组件间的各种交易流程可最好地说明本发明，如图1和 图2所示。然而，在参考这些附图前，应该注意到可在多种应用方案下 利用本发明。这些方案包含：
1.事先呼叫资格/授权：
1.1巡回式应用(服务)
1.2服务器基础上的应用(服务)
1.3流式媒体服务
2.即兴购买(impulse purchase)资格/授权
2.1巡回式应用(服务)
2.2服务器基础上的应用(服务)
2.3流式媒体服务
上述两种巡回式的应用方案能够在与＂事先呼叫＂和视频服务的 IPPV相似的方式下实现。尤其是有条件访问系统中的订购与即兴等级 (tiers)与服务标识符相关，这些标识符本身可能与一个或多个与服务相 关的代码和数据对象相关联。这些对象是在一个带外信号传输或在一 个带内信号传输频道上巡回(亦即定期地传送)，所述频道对应于所提供 的服务。授权等级是在一个加密的信息中被传送的并被传送到在用户 终端上的一个安全的处理器上。
如果一个消费者希望购买一项被标记为IPPU的服务，如果他拥有 能进行一般IPPU购买的授权等级，而且如果网络赋予他适当的信用额 度，则该消费者能直接对用户终端下命令购买而无需网络参与。用户 终端稍后将在受到请求情况下或是自动地以安全方式把这一购买传输 到网络上。
另一方面，更多地涉及基于服务器的应用方案。这是因为为便于 观众使用所选服务/应用，事实上服务器(或代理服务器)会要求特定的 动作。这类服务可能包含(比如说)访问某些的网站、从这些网站下 载程序或访问驻留在这些网站上的内容(例如流式媒体内容)。策略/代 理服务器需要一个安全的机制以决定是否用户是被合法地允许使用所 选服务。该机制必须是安全的，从而防止在一个购买未被登记，但资 格权标(经过了加密、签名或其它处理)显示该用户已得到授权来取得所 寻求服务的情况下，继续为此工作。
可即兴购买的服务的集合(例如多媒体应用、家庭购物、电子邮件 以及类似服务)与对应的服务标识符(service_id)相关联，这些服务标识 符可被NO和ISP的记帐系统识别。事先呼叫服务等级且/或IPPU等级与 各用户的各项服务相关。每个service_id可能有一个与其相关的非零的 费用。
在一个实施例中，如图1所示，用户将一个用户IPPU选择发送到一 访问控制器14(例如在事先呼叫情形下经由电话，或在事先授权情形下 经由用户终端)。访问控制器14生成一个加密信息，该信息具有一个服 务标识符和相关的授权设定(例如授权等级设定)，与用户IPPU选择有关 ，其中的加密信息随后从访问控制器14发送到用户终端16。相同信息( 或分立的信息)可能包含IPPU选择的对应费用。
用户终端16验证IPPU选择的费用处于用户的信用额度内。如果这 个验证是成功的，用户终端16生成(例如通过位于用户终端的一个安全 处理器)由一个客户应用程序所使用的安全资格权标，该客户应用程序 驻留在用户终端16上。或者，资格权标还可由访问控制器14生成，并 且传送到用户终端16。客户应用端将按照一个安全的法则将资格权标 传送到一个服务器18，以确定用户的资格权标接收IPPU选择的状态。 若用户接收IPPU选择的资格经过验证，服务器18将进一步处理IPPU选 择，以便利观众对服务/应用的利用。
服务器18可为一个独立因特网服务供应商的(ISP)代理/策略服务 器、一个与网络操作员(NO)的代理/策略/策略服务器相连的ISP代理/策 略服务器、一个NO代理/策略/策略服务器，或相似服务器。
在一个备选实施例中，IPPU选择是首先送到一个客户响应中心 (CRC)/记帐系统12，从那里依次将IPPU选择传送到访问控制器14。记 帐系统12为该IPPU选择而向用户开列帐单。CRC可能是NO记帐系统的 一部份，如图1所示，或者CRC可能是一个分立的实体。CRC将这一事 先呼叫(或虚拟)用户选择通知用户系统，并将该信息传送到NO记帐系 统(NO-BS)。
在计算机化客户响应中心配置的情形下，其中通信是经由一个全 球通信网络(例如因特网)或相似网络所提供，用户IPPU选择可经由一个 在用户终端16上运行的网络浏览器和在记帐系统12上的网络服务器， 送到CRC/记帐系统12。
服务器还可告知ISP的记帐系统20(ISP-BS)关于所购买的交易。在 NO系统中有一个NO记帐系统用于处理所有服务，ISP记帐系统20实际 上是NO用户系统12的一部份或与NO用户系统12相同。
根据记帐模式的不同，用户终端16可能减去一部分与IPPU(一次购 买直到终止)相关的用户费用，而ISP-BS 20可能收取额外的交易费用。 另外，用户终端16可仅登记购买并免费传送所述资格(如前所述)。ISP 记帐系统20则可能收取这个费用。
做为与访问控制器14通信的一部份，记帐系统12能够启动访问控 制器14去增加用户IPPU选择所涉及的服务，这是一个与告知访问控制 器14、哪些用户被允许访问该项服务的过程分开的过程。
在此所使用的“记帐系统”一词为产业界所熟知，比处理订单用 的计算机来得广义。一般来说，记帐系统是指执行NO作业的商业系统 并且包含订单处理、系统配置和商业操作的功能。
在另一实施例中，安全的资格权标是一个经过签名和加密的资格 权标，其中经过签名和加密的资格权标被安全地从客户应用端送到服 务器18以便鉴别与解密。
例如，资格权标可能经由使用公开密钥/秘密密钥方法和/或DES加 密方法而加密。用户终端16将加密的资格权标传送到服务器18，以便 确定资格。资格权标可在访问控制器14或在用户终端16上生成。
在另一个实施例中，服务标识符与一个或多个和服务有关的代码 和数据对象相关联，这些代码和数据对象定期地从访问控制器14发送 到用户终端16。
访问控制器14可为一个本地访问控制器或是一个全国性的访问控 制器。
IPPU选择可包括：访问特定网站、从这些网站取得流式媒体、从 这些网站下载多媒体应用程序、访问驻留于这些网站上的内容、购物 、电子邮件、语音邮件或相似内容。
用户终端16可为一个有线电视交互式电视解码盒，一台数字电视 或具有配置能力的主机、个人计算机或相似设备。
在一个备选实施例中，用户IPPU选择是在用户终端16，以一个事 先决定的信用额度而被事先授权的。供IPPU使用的事先授权允许一个 用户请求本地授权(例如在用户终端16上)。用户终端16可从信用额度中 减去和用户IPPU选择相关的费用。
为了防止IPPU选择的拒绝，用户终端16可安全地将用户IPPU选择 报告到访问控制器14。
图2提供一个处理示例，在一个特定实施例中，该处理在用户终端 16上进行。用户终端16从访问控制器14接到加密信息，如以上结合图1 所描述的。如前所述，加密的信息或分立的信息可能包含IPPU选择对 应的费用。一个位于用户终端16的安全处理器32于是处理加密信息， 以校验是否IPPU选择的费用处于用户的信用额度范围内。如果这样的 校验是成功的，用户终端16即生成(例如通过同一个安全处理器32)一个 安全资格权标，以供客户应用程序40所使用。经由一个应用层接口程 序而向客户应用程序40提供这个权标，该应用层接口程序随后以一种 安全方式将资格权标传送到服务器18，如以上结合图1所描述的。通过 这种方法，服务器18可进一步验证用户资格对于所要求的服务的合法 性。它还能使在用户终端中的购买交易不被拒绝，允许NO有绝对的可 见度和对可购买服务的控制。
一旦对于一个特定IPPU选择的资格进行了校验，IPPU选择的内容 即由服务器18传送到用户终端16，如以上结合图1所述。IPPU选择可经 由一个传统的接收器电路(亦即图2的接收器输出)，由安全处理器32所 接收。安全处理器可进一步处理IPPU内容(例如与选择有关的内容被加 密时)。未加密的内容随后可以某种传统方式进行处理，以便显示(例如 通过一个多路分配器/译码器34或通过用户终端16上的软件)。
设置一个装置内存30来储存与用户终端16有关的本地数据和/或以 此进行的购买活动。依照所选的特定实施方案，这个内存也可被用来 储存软件和/或与用户终端16相关的固化软件，以及正由CPU36进行处 理的数据。
现在应认识到，本发明提供了一种改进的方法与系统，允许经由 一个通信网络来取得安全的即兴按使用付费服务(IPPU)。特别是，将用 户终端设置为具有生成(例如经由一个位于用户终端上的安全处理器) 一个经过签名和/或加密的权标的能力，该权标可由一个NO或相关的 ISP代理服务器所使用，以进一步验证用户资格对于所要求的服务或由 NO或相关ISP所提供的一组服务的合法性。本发明还使经由用户终端 进行的购买交易不被拒绝，因此要求用户支付所有所订购的IPPU服务 。一个希望结果是为NO提供绝对的可见度和对可购买服务的控制。
虽然结合各种优选实施例而描述了本发明，应认识到，在不背离 本发明权利要求书所提范围的情况下，还可进行许多修改和改动。
本专利申请要求美国临时申请第60/149,263号在1999年8月17日申 请的利益。