Insbesondere betrifft die Erfindung eine Decoder-Einrich- tung mit einer Bedienungseinheit, für die Entschlüsselung von verschlüsselten Fernseh-Programmen, mit einem Eingang zum Einspeisen eines verschlüsselten Fernseh-Programmes, einer Entschlüsselungseinrichtung, die ein verschlüsseltes Fernseh-Programm in ein mittels eines Fernseh-Empfängers wiedergebbares Format entschlüsselt, einem Ausgang, der mit einem Fernseh-Empfänger verbindbar ist, um das entschlüs- selte Fernseh-Programm in den Fernseh-Empfänger zur Wieder- gabe einzuspeisen, einer Schnittstelle für ein Identifika- tions-und/oder Schlüsselträgerbauteil zur Freigabe des Entschlüsselungseinrichtung, und einer Schnittstelle für eine Bedienungseinheit der Decoder-Einrichtung.

Mit einer derartigen Decoder-Einrichtung ist der Empfang und die Entschlüsselung von sog. Pay-TV Programmen möglich, wobei derzeitige Decoder-Einrichtungen als sog. Set-Top- Boxen zu herkömmlichen Fernseh-Empfängern im Handel erhält- lich sind.

Die bisher üblichen, zum Beispiel monatlichen Abrechnungen, für die Bereitstellung des Programms bei Pay-TV weichen mehr und mehr einer individuellen ("pay-per-view") Abrech- nungs-Praxis. Daher besteht die Notwendigkeit einer Identi- fizierung und Authentifizierung des Programm-Kunden vor dem Zugriff des Programm-Kunden auf das Programm. Außerdem wer- den bei sog. HOT-Programmen (Home Order Television) auch Bestellungen des Programm-Kunden gegen dessen Bankkonto oder seine Guthaben auf einer Chip-Karte verrechnet. Auch hierbei sind Identifizierung und Authentifizierung des Pro- gramm-Kunden sowie ggf. Sicherungs-Mechanismen gegen Miß- brauch erforderlich.

Zur Sicherung elektronischer Abrechnungsverfahren sowie zum Schutz vertraulicher Informationen (Bankverbindungsdaten, Konto-Stand etc.) werden Chipkarten eingesetzt, die Micro- prozessoren haben, die mit Verschlüsselungsalorithmen aus- gestattet sind. Ein derartiger Verschlüsselungsalorithmus ist der sog. RSA-Algorithmus. Beim Pay-TV ist eine derarti- ge Chipkarte Teil des sog."Conditional Access System" (CAS), mit der geprüft wird, ob der Anfragende tatsächlich der authorisierte Programm-Kunde ist, und ggf. ob seine Bo- nität für die gewünschte Leistung ausreicht. Auch bei sog.

"Electronic Commerce"repräsentiert diese Chipkarte die Identität des Kunden bzw. seine elektronische Geldbörse.

Dabei kann auf der Chipkarte ein Guthaben vermerkt sein, das aufgefüllt werden kann. Zugriffe auf die Chipkarte durch Dritte (Programm-Provider, Handel oder dergl. Erfol- gen in der Regel durch mehr oder weniger automatisierten telefonischen oder Internet-Kontakt mit der Set-Top-Box vor oder bei der Transaktion.

Ein wachsendes Problem in diesem Zusammenhang ist die stei- gende Anzahl von Anbietern von Programmen oder Leistungen, die ein Programm-Kunde über diese Medien beziehen kann. Da- mit wird auch der Geräte-Aufwand (Set-Top-Box, Fernseh- Gerät, Internet-Endgerät (PC oder Net-PC), Fernbedienungs- geräte für die Set-Top-Box und das Fernseh-Gerät, sowie die Anzahl der für die Inanspruchnahme der einzelnen Dienste oder Leistungen notwendigen Chip-Karten immer größer.

Der vorliegenden Erfindung liegt daher die Aufgabe zugrun- de, diese unterschiedlichen Komponenten preiswerter zu ge- stalten, das heißt ihren Hardware-Aufwand zu verringern, und diese unterschiedlichen Komponenten in der Handhabung für den Programm-Kunden einfacher und fehlerunanfälliger zu gestalten. Außerdem soll die Erfindung dem in steigendem Maß relevanten Problem der Sicherheit im Zusammenhang mit der Leistungs-Inanspruchnahme durch unbefugte Dritte Rech- nung tragen.

Erfindungsqemäß wird diese Aufgabe dadurch gelöst, daß die Schnittstelle für das Identifikations-und/oder Schlüssel- trägerbauteil in der Bedienungseinheit der Decoder-Einrich- tung angeordnet ist.

Durch diese Ausgestaltung können Schnittstellen eingespart werden. Außerdem ist der Programm-Kunde (Benutzer) auf be- quemere Weise in der Lage, seine Transaktionen auszufuhren, da die Bedienungseinheit der Decoder-Einrichtung ohnehin mit einem Tastenfeld ausgestattet ist. Weiterhin erhöht sich die Sicherheit, da der Programm-Kunde (auch in größe- rem Kreis von Dritten seine Eingaben (PIN, TAN, etc.) täti- gen kann, ohne daß dies von Dritten beobachtet werden kann.

Außerdem kann die Bedienungseinheit der Decoder-Einrichtung zusammen mit dem Identifikations-und/oder Schlüsselträser- bauteil (= Chipkarte) sicher verwahrt werden, während in der Regel aus Bequemlichkeit eine Chipkarte nicht aus der Decoder-Einrichtung (= Set-Top-Box) entnommen wird.

Gemäß einer bevorzugten Ausführungsform der erfindungsgemä- ßen Decoder-Einrichtung mit einer Bedienungseinheit ist die Bedienungseinheit auch zur Bedienung des Fernseh-Empfänger- Gerätes eingerichtet, der eine Schnittstelle zum Empfang von Steuerbefehlen von der Bedienungseinheit aufweist. Dies reduziert den Geräte-Aufwand weiter. Au3erdem kann damit auch der Zugriff auf das Fernseh-Empfänger-Gerät insgesamt kontrolliert werden. Das heißt, daß auch die Benutzung des Fernsehers für nicht Zahlungspflichtige Programme nur bei Freigabe durch den authorisierten Benutzer möglich ist.

Dies kann dadurch erreicht werden, daß die Funktion der Be- dienungseinheit als Ganzes von der Eingabe der Kennung (PIN) des authorisierten Benutzer abhängt.

Insbesondere zur Abwicklung der Abbuchungen und zur Identi- fizierung und des Programm-Kunden durch der Programm-Anbie- ter dient bei der erfindungsgemäßen Decoder-Einrichtung ei- ne Schnittstelle zu einem Telekommunikationsnetz. Dies kann ein MODEM sein. Oder für digitale Telekommunikationsnetze eine entsprechende Ankopplungseinrichtung sein.

Insbesondere zur Erhöhung der Sicherheit in dem System dient eine Schnittstelle zu einem Identifikations-und/oder Schlüsselträgerbauteil, durch das der Programm-Kunde über die oben beschriebene Schnittstelle zu einem Telekommunika- tionsnetz zu einem Dienste-Anbieter oder Waren-Versender Kontakt aufnehmen kann. Auch hier erfolgt die Herstellung einer Verbindung über das Telekommunikationsnetz mit einem bestimmten Teilnehmer (Dienste-Anbieter oder Waren-Versen- der) abhängig von einer Authorisierung durch das Identifi- kations-und/oder Schlüsselträgerbauteil erfolgt. Damit ist der Programm-Anbieter unabhängig von dem Dienste-Anbieter oder Waren-Versender in der Abrechnung mit dem Programm- Kunden. Dies kann Vorteile hinsichtlich der Datensicherheit und der Flexibilität mit sich bringen.

Alternativ dazu ist es jedoch auch mäglich, daB der Pro- gramm-Anbieter mit dem Dienste-Anbieter eine geeignete Ko- operation hat, so daß eine gemeinsame Abrechnung bzw. Kun- den-Verwaltung und damit auch Kunden-Identifizierung und Kunden-Authorisierung erfolgen kann. In diesem Fall sind keine getrennten Chip-Karten erforderlich.

Unabhängig davon ist es vorteilhaft, wenn auch die Schnitt- stelle zu dem Identifikations-und/oder Schlüsselträgerbau- teil für die Authorisierung der Verbindung über das Tele- kommunikationsnetz in der Bedienungseinheit angeordnet ist.

Wie bereits erwähnt können das Identifikations-und/oder Schlüsselträgerbauteil für die Authorisierung der Verbin- dung über das Telekommunikationsnetz und das Identifikati- ons-und/oder Schlüsselträgerbauteil zur Freigabe des Ent- schlüsselungseinrichtung entweder durch zwei getrennte oder durch eine gemeinsame Chip-Karte realisiert sein.

In einer weiteren Ausgestaltung weist die Decoder-Einrich- tung eine Schnittstelle auf, über die die Decoder-Einrich- tung mit einem Rechner verbindbar ist, der zur Steuerung der Decoder-Einrichtung und/oder zur Herstellung einer Ver- bindung mit einem anderen Teilnehmer über das Telekommuni-

kationsnetz eingerichtet ist. Damit ist es möglich, die ge- samten Funktionalität eines Rechners (PC oder Internet-PC), also die Speicherung und Verarbeitung von Daten und Infor- mationen, sowie die komfortablere Gestaltung von Dialogen des Programm-Kunden mit zum Beispiel dem Programm-Anbieter oder dem Dienste-Anbieter für den Programm-Kunden verfügbar zu machen.

In einer besonders bevorzugten Ausführungsform der Erfin- dung ist die Bedienungseinheit durch den Rechner gebildet ist, der eine Schnittstelle aufweist, um die Decoder-Ein- richtung zu steuern, und eine Schnittstelle für das Identi- fikations-und/oder Schlüsselträgerbauteil für die Authori- sierung der Verbindung über das Telekommunikationsnetz bzw. das Identifikations-und/oder Schlüsselträgerbauteil zur Freigabe des Entschlüsselungseinrichtung aufweist. Damit wird die Bereitstellung einer bzw. zwei separaten Bedie- nungseinheiten überflüssig. Es versteht sich, daß auch bei dieser Ausführungsform die beiden Chip-Karten für den Ver- kehr mit dem Programm-Anbieter und dem Dienste-Anbieter auch als eine gemeinsame Chip-Karte realisiert sein können.

Im übrigen kann die Verbindung zwischen dem Rechner und dem Fernseh-Gerät bzw. dem Rechner und der Decoder-Einrichtung sowohl drahtlos (zum Beispiel als Infrarot-oder als Ultra- schallverbindung), als auch drahtgebunden sein kann. Außer- dem kann der Rechner wegen seiner speziellen Anforderungen (relativ geringer Speicherbedarf, geringe Anforderungen an den Tastaturkomfort wegen der üblicherweise nur kurzen Ein- gaben etc.) auch als sog. Palmtop-Rechner ausgestaltet sein, der mit entsprechenden Schnittstellen (Infrarot- Schnittstelle zu der Decodier-Einrichtung so einer oder mehreren Schnittstellen für die Chip-Karte (n). Damit hat der Benutzer eine sehr kompakte und komfortable Steuerungs- und Bedienmöglichkeit seiner Geräte, aber auch die einfache Möglichkeit, mit dem Programm-Anbieter und/oder dem Dien- ste/Waren-Anbieter auf komfortable Weise zu kommunizieren.

Schließlich verringert sich auch der Verkabelungsaufwand

zwischen den einzelnen Komponenten auf der Benutzerseite erheblich, was ebenfalls den Komfort erhöht.

Gemäß einer besonders bevorzugten Ausführungsform der Er- findung ist die Decoder-Einrichtung in das Fernsehgerät in- tegriert. Damit wird dem Benutzer ein geschlossenes und ge- gen Mißbrauch besonders geschütztes Gerät zur Verfugung ge- stellt, bei dem alle Funktionen (herkömmliches Fernsehen, Pay-TV, Kommunikation mit einem Dienste/Waren-Anbieter über das Telekommunikationsnetz, Speicherung und/oder Nachbear- beitung der empfangenen Daten in dem Rechner etc.) in einer gegen Mißbrauch geschützten Weise ausführbar sind.

Die Erfindung betrifft auch eine Chip-Karte für eine vor- stehend beschriebene Decoder-Einrichtung mit einer Bedie- nungseinheit, mit einer Rechnereinheit, einem ersten Spei- cherbereich, in dem zumindest Teile von Betriebssystem- Funktionen abgelegt sind, mit denen die Kommunikation zwi- schen der Rechnereinheit der Chip-Karte und den Peripherie- Geräten der Chip-Karte, sowie die Kommunikation mit einem externen Host-Rechner gesteuert wird, und mit denen ge- schützte, ungeschützte, und/oder Schreib/Lese-Speicher- Bereiche der Chip-Karte verwaltet werden, und einem zweiten Speicherbereich, der in geschützte und ungeschützte Berei- che unterteilt ist, wobei der Zugriff auf geschützte Berei- che in Abhängigkeit von einem Ergebnis einer tberprufung der Zulässigkeit des Zugriffs erfolgt, wobei in dem ge- schützten Bereich des zweiten Speicherbereiches ein Gene- ralschlüssel abgelegt ist, unter dessen Kontrolle die Ein- tragung wenigstens eines weiteren einfachen Schlüssels so- wie eines zu diesem weiteren einfachen Schlüssel gehörendes Protokoll-Programm durch den externen Host-Rechner erfolgt.

Mit dieser Chip-Karte kann die vorstehend beschriebene De- coder-Einrichtung besonders sicher betrieben und auch ein- fach um den Zugriff auf mehrere weitere Dienste-Anbieter erweitert werden.

Vorzugsweise ist in dem zweiten Speicherbereich eine Schlüssel-Verwaltung abgelegt, von der aus der Zugriff auf ein Protokoll-Programm eines einfachen Schlüssels erfolgt.

Zur Ergänzung zusätzlicher Schlüssel bzw. Zugriffsmöglich- keiten auf weitere Anbieter dient dabei folgendes erfin- dungsgemäße Verfahren : -Herstellen einer Telekommunikationsverbindung zwischen dem Host-Rechner und der Decoder-Einrichtung mit der Bedie- nungseinheit oder dem die Bedienungseinheit enthaltenden Rechner durch den Host-Rechner, -Überprüfen des Generalschlüssels in der Chip-Karte durch den Host-Rechner, -Übermitteln eines einfachen Schlüssels sowie eines zu diesem Schlüssel gehörenden Protokoll-Programmes an die Chip-Karte in verschlüsselter Form, falls die Überprüfung positiv ausfällt, -Eintragen des einfachen Schlüssels sowie des zu diesem Schlüssel gehörenden Protokoll-Programmes in den geschütz- ten Speicherbereich der Chip-Karte, -Sperren des geschützten Speicherbereiches der Chip-Karte.

Dabei kann vor dem Eintragen des einfachen Schlüssels sowie des zu diesem Schlüssel gehörenden Protokoll-Programmes in den geschützten Speicherbereich der Chip-Karte der Schlüs- sel und das Protokoll-Programm durch die Rechnereinheit der Chipkarte entschlüsselt werden.

Fig. 1 zeigt eine Anordnung gemäß dem Stand der Technik in einem schematischen Blockdiagramm.

Fig. 2-4 zeigen unterschiedliche Ausführungsformen der vorliegenden Erfindung, jeweils in einem schematischen Blockdiagramm.

Fig. 1 zeigt eine derzeit übliche Endgeräteumgebung für kombinierte Pay TV-und Electronic-Commerce Anwendungen.

Über die Leitung (1) wird das breitbandige digital ver- schlüsselte Pay TV Nutzsignal durch das Fernseh-Gerät emp- fangen und über den Ausgang (4) an den Eingang (IN) in die Set-Ton-Box (STB) übergeben. Dort wird das Signal von einem speziellen Chip mit einem hierfür vorgesehenen Algorithmus -der DVB-Algorithmus sei hier stellvertretend für alle ge- nannt-entschlüsselt und an das Fernseh-Gerät zuruckgege- ben. Die Einstellung der Schlüssel erfolgt mittels einer Chipkarte (ICC DVB) über die Schnittstelle (3). Die Chip- karte enthält den Schlüsselverteilalgorithmus des Conditio- nal Access Systems (z. B. RSA) und den geheimen Schlüssel des Kunden. Nur ein Kunde mit gültiger Chipkarte (ICC DVR) kann Pay TV Sendungen entschlüsseln. Die Chipkarte (ICC DVR) ist über die Chipkarten-Schnittstelle"IFD"an die Set-Tcp-Box (STB) angeschlossen.

Erweiterungen der Set-Top-Box (STB) sehen vor, daB ein Rückkanal über das Telefonnetz bzw.. Internet über die Schnittstelle (5) mit den Servern verschiedener Dienstlei- stungsanbieter verbunden werden kann, um z. B. Dienstlei- s. ungen oder Artikel zu bestellen, die als Angebot in der Werbunc der Pay TV Kanäle enthalten sind. Zur Sicherung von Bestellung und Bezahlung kann hier eine zweite Chipkarte (ICC BC) über eine weitere Schnittstelle (IFD) eingesteckt werden, so dab die Verbindung (6) zwischen der zweiten Chipkarte (ICC BC) und der weiteren Schnittstelle (IFD) hergestellt ist.

Weitere Anschlußmöglichkeiten der Set-Top-Box (STB) sehen die Verwendung einer IR-Fernbedienung (9) und eines Rech- ners PC über eine im PC-Umfeld übliche Schnittstelle (7), hier vereinfachend"PCI"genannt (z. B. V24/RS232C oder pa- rallele Schnittstelle), vor. Mit dem Rechner PC lassen sich z. B. R ckkanalgeschäfte komfortabel gestalten oder Informa- tionen aus den Pay TV Kanälen nachverarbeiten.

Zum Anschluß zweier Chipkarten an die Set-Top-Box (STB) gibt es verschiedene Lösungen. Entweder werden die Chip- kartenterminals (IFD) fest in die Set-Top-Box (STB) einge-

baut oder sie werden steckbar als PCMCIA-Module ausgeführt.

Mit Hilfe der PCMCIA Module entsteht die Möglichkeit, ver- schiedene Pay TV Zugangsverfahren (CAS) ohne Eingriffe in die Set-Top-Box (STB) gegeneinander auszuwechseln.

Nachteile der herkömmlichen Endgeräte-Konfiguration sind die geringe Bedienungsfreundlichkeit, die umständliche Ver- kabelung der Set-Top-Box (STB) und deren aufwendige Schnittstellengestaltung.

Die Fic. 2,3 und 4 illustrieren Ausführungsformen der Er- findung.

Bereits in einer ersten Integrationsstufe nach Fig. 2 wer- den die Fernbedienungen von Set-Top-Box (STB) und Fernseh- Gerät (TV Set) in einem Gerät, der Bedienungseinheit (RCU) zusammengefaßt. Die neue Bedienungseinheit (RCU) erhält ei- ne Ch pkartenschnittstelle, die sowohl die Chipkarte (ICC DVB) des Pay TV Systems als auch die Chipkarte (ICC BC) des Rückkanals ansteuern kann. Der Schlüsselaustausch des Con- ditional Access Systems CAS des PAY TV geschieht zwar vom Ablauf her genauso wie in der herkömmlichen Konfiguration.

In Fig. 2 ist die Chip-Karte (ICC) DVB jedoch über die Be- dienungseinheit (RCU) durch eine IR-Schnittstelle mit dem Pay TV Entschlüsselungschip (z. B. DVB) in der Set-Top-Box (STB) verbunden. Das Gleiche gilt für die Chip-Karte (ICC) BC, welche die Sicherung des Rückkanals nunmehr ebenfalls über die Bedienungseinheit (RCU) und deren IR-Schnittstelle vornimmt.

Damit entfällt das Einstecken der Chipkarten in die Set- Top-Bcx (STB) und somit auch alle Chipkartenschnittstellen an der Set-Top-Box (STB). Der Kunde steckt seine Karten di- rekt in die Fernbedienung RCU. Falls Pay-TV-Anbieter und Rückkanal-Dienstleister entsprechende vertragliche Verein- barungen treffen, können die Funktionen beider Chipkarten ICC und ICC BC sogar auf einer einzigen Chip-Karte (ICC) zusammengefaßt werden.

Der Rechner PC wird in Fig. 2ff entweder weiterhin über ei- ne herkömmliche Schnittstelle (PCI) mit der Set-Top-Box (STB) verbunden oder nutzt hierzu ebenfalls die IR- Schnittstelle (Infra-Rot-Schnittstelle) der Set-Top-Box (STB).

Die Rückkanalanbindung an das Telekommunikationsnetz er- folgt entweder über die Set-Top-Box (STB) oder über den Rechner (PC). Grundsätzlich sind beide Varianten mcglich.

Fig. 3 zeigt die Kombination von Fernbedienung (RCU) und dem Rechner (PC) in einer weiteren Integrationsstufe. Hier- bei lassen sich die Vor eile des Rechners PC und der Fern- bedienung (RCU) gleichzeitig nutzen. Diese Lösung wird ins- besondere interessant, wenn es sich bei dem kombinierten Gerät RCU/PC um ein"Nezwerk-PC"-ähnliches Gerät handelt, welches kompakt und ohne aufwendige Peripherie und Verkabe- lung z. B. vom Wohnzimmertisch aus bedient werden kann.

In Fig. 4 ist die Vereinigung von Fernseh-Gerät (TV Set) und Set-Top-Box (STB) in nur einem Endgerät als eine weite- re Integrationsstufe dargestellt.

Die in den Fig. 2 bis 4 dargestellten neuen Endgeräte- Konfigurationen zeigen, wie sich die Bedienung und die Ver- kabelung der Endgeräte nennenswert vereinfachen läßt ohne die Funktionalität zu beeinträchtigen.

Erfindungsgemäß werden also anstelle einer oder mehrerer Chipkartenschnittstellen an der Set-Top-Box (STB) nunmehr die betreffenden Chipkarten über eine Fernbedienung RCU und deren Infrarot-Schnittstellen mit dem in der Set-Top-Box (STB) verbleibenden Pay TV Entschlüsselungschip verbunden.

Damit können aufwendige und anfällige Schnittstellen an der Set-Top-Box (STB) entfallen.

Außerdem können die Funktionen der Pay TV Chipkarte und der Rückkanal Chipkarte unter Zuhilfenahme einer speziellen

Fernbedienung RCU auf nur einer Karte bedienungsfreundlich kombiniert werden.

Schließlich ist durch die Kombination von Fernbedienung und PC in nur einem Gerät RCU/PC eine Verlagerung der Rückka- nalanbindung aus der Set-Top-Box (STB) heraus ermöglicht.

Damit ist eine optimale Nutzung des Internet PC (= PC, der über beliebige Online-Netze mit Servern von beliebigen Diensteanbietern verbunden ist), in Verbindung mit Pay TV Diensten einschlieBlich ihrer Rückkanaloptionen ermöglicht.

Ein weiterer Gesichtspunkt der Erfindung ist die Ausgestal- tung der Chip-Karte, damit diese auch in der Lage ist, mit hohem Sicherheits-Niveau sowohl die Programm-Entschlüsse- lung des Programms des Pay-TV-Anbieters, als auch die Transaktion (Bestellung und Kaufpreis-Entrichtung) bei dem Waren/Dienstleistungs-Anbieter abzuwickeln.

Insbesondere, wenn im Laufe der Zeit weitere Waren/Dienst- leistungs-Anbieter dazukommen, hätte dies zur Folge, daß der Programm-Kunde jeweils eine neue Chip-Karte benötigt, die die Schlüssel und Protokolle der bisherigen Anbieter (sowohl Pay-TV-Anbieter, als auch Waren/Dienstleistungs- Anbieter) enthält, als auch den Schlüssel und das Protokoll des neu dazugekommenen.

Hierfür bietet die Erfindung ebenfalls eine Lösung : Da der Waren/Dienstleistungs-Anbieter ohnehin in der Regel durch den gleichen Host-Rechner mit dem Benutzer in Verbin- dung tritt wie der Pay-TV-Anbieter, kann dieser Host auch über einen Generalschlüssel auf die gesperrten Bereiche der Chip-Karte des Kunden zugreifen, um dort einen weiteren Schlüssel und das zugehörige Protokoll für zukünftige Transaktionen (Entschlüsselungs-oder Zahlungsvorgänge) ab- zulegen.

Außerdem ist in einem weiteren (ggf. ebenfalls gesperrten) Bereich eine Vektorentabelle oder eine Abfrage-Routine zu führen, in der nacheinander die neu dazukommenden Schlüssel

verwaltet werden. Beim Zugriff auf die Chipkarte wird zu- nächst anhand der Vektorentabelle oder der Abfrage-Routine geprüft, ob ein passender Schlüssel vorhanden ist, bzw. ob der durch den Benutzer eingegebene Schlüssel mit einem der auf der Chip-Karte abgelegten Schlüssel zusammenpaßt. Erst wenn das Ergebnis dieser Abfrage positiv ist, wird das zu dem jeweiligen Schlüssel gehörige Programm zur Transaktion bzw. Entschlüsselung (ggf. entschlüsselt und dann) ausge- führt.

Vorzugsweise wird der Schlüssel und das zugehörige Proto- koll (-Programm) in ebenfalls verschlüsselter Form von dem Host-Rechner an die Set-Top-Box (STB) übertragen, und von dort über die Schnittstelle an die Bedienungseinheit (RCU) weitergegeben. Falls die Bedienungseinheit (RCU) in den Rechner (PC/RCU) integriert ist, kann der Host-Rechner Rechner direkt über das Telekommunikationsnetz mit dem Rechner (PC/RCU) in Verbindung treten, um die Informatione- nen für die bzw. in die Chip-Karte (ICC) zu übertragen.

Je nach konkreter Ausgestaltung kann das Protokoll (-Pro- gramm) in der Chip-Karte nur in verschlüsselter Form abge- legt sein, und jeweils zur Laufzeit vor der Ausführung ent- schlüsselt werden. Alternativ dazu kann das Protokoll (-Pro- gramm) jedoch auch beim Ablegen in dem (geschützten) Spei- cherbereich der Chipkarte in eine lauffähige Form gebracht werden.

Damit enthält der Speicher der Chip-Karte (neben anderem) folgende Programme bzw. Daten : Einen Betriebssystem-Kern, mit dem die Kommunikation zwi- schen dem Prozessor der Chip-Karte und den Peripherie-Ge- räten auf der Chip-Karte, sowie die Kommunikation mit dem Host-Rechner gesteuert wird, der die Speicherbereiche der Chip-Karte (geschützte und ungeschützte Bereiche, Schreib/Lese-Bereiche, Flash-EEPROM etc.) verwaltet usw.

Schlüssel (ein Haupt-oder General-Schlüssel, sowie ein oder mehrere Anwendungs-Schlüssel), wobei der Haupt-Schlüs- sel dazu dient, (weitere) Anwendungs-Schlüssel und die zu- gehörigen Anwendungs-oder Protokoll-Programme in den Spei- cher-Bereich zu transferrieren. Die Anwendungs-Schlüssel dienen dazu sicherzustellen, daß die Ausführung der Proto- koll-Programme (und damit der Abwicklung von Bestellungen oder die Entschlüsslung von Pay-TV-Programmen) nur bei Vor- liegen der richtigen Eingabe durch den Benutzer erfolgt.

Verschlüsselte Anwender-Programme oder Protokoll-Programme, mit denen die Abwicklung von Bestellungen oder die Ent- schlüsselung von Pay-TV-Programmen gesteuert wird.

Zur weiteren Erhöhung der Sicherheit ist es vorgesehen, die Identifizierung und Authentifizierung zwischen der Bedie- nungseinheit (RCU) und/oder der Set-Top-Box (STB) bzw.

Fernseh-Gerät (TV Set) einerseites und dem Host-Rechner an- dererseits auf unterschiedlichen Wegen bzw. Kanälen durch- zuführen. Mit anderen Worten werden ein Teil des Protokoll- verkehrs über die Schnittstelle (5) zum Telefon-Netz und ein weiterer Teil über die Leitung (1) mit oder vor dem breitbandigen digital verschlüsselten Pay TV Nutzsignal übertragen. Dabei kann auch die Freischaltung/Sperrung von Diensten auf diesen Wegen erfolgen. Da für einen MiBbrauch dann beide Kanäle synchron abzuhören und zu entschlüsseln wären, ist so die Sicherheit erheblich höher. Insbesondere ist es möglich, die Informationen mit der Freischaltung/ Sperrung oder neue Schlüssel etc. auf die beiden Kanäle so zu verteilen, daß sie nur wechselweise und auch nur stufen- weise in jeweiliger Kenntnis entschlüsselt werden können.