用于加密数据访问控制的远程管理的互动协议.pdf

摘要
申请专利号：	CN02825407.4	申请日：	2002.10.15
公开号：	CN1605203A	公开日：	2005.04.06
当前法律状态：	终止	有效性：	无权
法律详情：	未缴年费专利权终止IPC(主分类):H04N 7/16申请日:20021015授权公告日:20090304终止日期:20131015\|\|\|授权\|\|\|实质审查的生效\|\|\|公开
IPC分类号：	H04N7/16; H04N7/167	主分类号：	H04N7/16; H04N7/167
申请人：	维亚塞斯公司;
发明人：	克洛迪娅·贝克尔; 尚塔尔·吉奥内; 安德烈·科代; 皮埃尔·费夫里耶
地址：	法国巴黎
优先权：	2001.10.19 FR 01/13532
专利代理机构：	永新专利商标代理有限公司	代理人：	刘炳胜
PDF下载：	PDF下载

内容摘要

本发明涉及一种通过译码终端(T)与访问控制卡或设置有安全处理器(PS)的模块、从广播中心(E)对加扰数据的访问控制进行远程管理的协议，包括(A)从广播中心(E)向至少一个接收站(PR)或安全处理器(PR)发送一个控制消息，该控制消息包括输入模板域、控制应用数据、数字签名；(B)与一本地安全协议交换终端(T)与安全处理器(PS)之间的交换操作指令及对操作指令的应答，该本地安全协议限制在安全处理器(PS)/终端(T)处的任意本地浏览。本发明可应用于管理加扰的或加密数据的广播或分配。

权利要求书

1、  对借助一个服务密钥进行加扰的、在一个广播中心与至少一台接收机之间的网络中传输的信息进行访问控制的远程管理协议，上述已加密信息的传输伴随有至少包含上述服务密钥的一个控制字(CW)，这个控制字利用一个运算密钥(SOK)进行加密，上述加密控制字的传输借助访问权限控制消息(ECM消息)来执行，该ECM消息至少包含上述加密控制字以及访问权限控制参数，上述ECM消息在已加密消息流中与访问权限管理消息(EMM消息)被一道传输并被多路转接，每台接收机包括至少一台用于该已加密信息的译码终端，该终端包括提供一个安全性处理器的一个访问控制模块，上述安全性处理器包含上述运算密钥(SOK)与分配给一位预订用户并存储在这个安全性处理器的被保护存储器内的、已被记录的访问权限，并在满足上述已记录访问权限得以按照访问权限控制参数被验证的要求下能够根据上述运算密钥及上述加密控制字来还原该服务密钥，每个译码终端能够利用该已还原服务密钥对上述已加密信息进行译码以供一位授权预订用户使用，其特征为，上述协议至少包括：
-将一个命令消息从该广播中心发送到至少一台接收机以及/或者与该接收机相关联的安全性处理器，这个命令消息包括形成至少一个输入模板、命令应用数据以及真实性鉴别数据的数据域，上述输入模板包含应用于上述命令应用数据的安全性属性，上述真实性数据能够根据上述安全性属性来鉴别并保证上述命令消息的完整性，
-使该译码终端与该安全性处理器之间的操作指令以及对这些操作指令的回复的交换遵守为防止该译码终端/安全性处理器接口处的本地侦听提供保护的一个专用本地安全性协议，以便以安全的方式执行一个构成至少一条操作指令的执行的任务序列。

2、  根据权利要求1的协议，其特征为，每个接收机站都由一条返回通道连接到该广播中心或一个管理该广播中心的中心，该协议也包括计算并在那个返回通道中发送一个针对该命令消息的回复消息，这个回复消息包括形成至少一个输入模板、回复应用数据及状态数据的数据域，上述输入模板包含应用于该回复应用数据的安全性属性，在上述回复消息中缺少任何输入模板就相当于缺少应用于该回复应用数据的保密性。

3、  根据权利要求1或2的协议，其特征为，每个命令消息也包括形成一个回复模板的一个数据域，上述回复模板包含要被应用于该回复应用数据的安全性属性。

4、  根据权利要求1至3中任何一款的协议，其特征为，如果上述命令应用数据已被加密，那么上述加密的命令应用数据就接受解密与鉴别处理，而且其特征为，该回复应用数据被加密并被鉴别。

5、  根据权利要求1至4中任何一款的协议，其特征为，对于任何命令消息，上述命令应用数据包括由该命令消息的接受设备(该终端或该访问控制模块的安全性处理器)按照次序加以处理的一条操作指令或一份操作指令清单，

6、  根据权利要求1至4中任何一款的协议，其特征为，上述命令应用数据与/或回复数据是可编程的，而且包括条件的一个逻辑组合，的逻辑验证的二进制结果(真或假)能够产生操作的条件分支，上述操作由该接受设备译码终端或安全性处理器按照次序加以处理。

7、  根据权利要求6的协议，其特征为，上述命令消息与上述命令应用数据构成结构化逻辑短语，该逻辑短语包含如下逻辑关系：
If：该条件逻辑表达式接受验证，
Then：该操作说明块中描述的操作或操作清单、或者与该被验证条件相关联的操作清单被执行，
Else：该操作说明块中描述的操作或操作清单、或者与这个未验证条件相关联的操作清单被执行。

8、  根据权利要求7的协议，其特征为，该未执行块也被评价。

9、  根据权利要求6至8中之一款的协议，其特征为，上述命令与/或回复消息被专门用于：
-独立于、但与访问权限管理相关联的商业管理操作，这些商业操作(譬如对植入该安全性处理器的一个电子令牌持有者的管理)根据那个安全性处理器中记录的访问权限来进行，
-访问权限的控制，
-与授权预订用户的行为有关的、已记录访问权限的优化管理，
-安全性处理器与译码终端之间的消息交换中的本地安全性管理，
-ECM消息与EMM消息之间的链接操作，
-管理已加密信息的安全性的操作。

10、  根据权利要求1至9中任何一款的协议，其特征为，对包括至少一个命令应用数据域的命令消息，上述译码终端与上述安全性处理器包括加密/解密密码、计算以及鉴别验证资源，上述专用本地安全性协议包括：
·在上述译码终端中
-使上述命令消息的上述命令应用数据接受本地加密与本地鉴别处理，以便使命令数据在本地变得安全，该处理独立于前面为发送上述命令消息所用的加密处理，
-将由在本地变得安全的上述命令数据所形成的本地加密的命令消息发送到上述安全性处理器，而且
·在上述安全性处理器中
-使上述加密命令消息接受本地加密与本地鉴别处理，以便还原上述命令应用数据域，
-使上述命令应用数据域接受鉴别处理，并从该命令数据域还原能够根据至少一项任务加以执行的操作指令序列，
-执行能够根据至少一项任务加以执行的上述操作指令序列。

11、  根据权利要求1至10中任何一款的协议，其特征为，上述译码终端与上述安全性处理器包括加密/解密密码、计算以及鉴别验证资源，上述专用本地安全性协议也包括在执行能够根据至少一项任务加以执行的至少一条操作指令之后，
·在上述安全性处理器中
-根据至少一条操作指令的执行来计算该回复应用数据，该操作指令能够根据至少一项任务加以执行，
-使上述回复应用数据接受通过本地加密与本地鉴别而使它们变得安全的处理，以便产生本地安全的回复应用数据，
-将本地回复消息发送到上述译码终端，该回复消息包含已经在本地被变得安全的本地回复应用数据，而且
·在上述译码终端中，
-使已经被变得本地安全的上述回复应用数据接受本地加密与本地鉴别验证处理，以便还原构成上述回复消息的上述回复应用数据。

12、  根据权利要求11的协议，其特征为，在回复消息旨在用于该广播中心或管理那个广播中心的一个中心的情况下，也包括一个使该回复应用数据接受通用加密与鉴别处理、以便产生加密回复应用数据的阶段，上述阶段在使上述回复应用数据接受本地加密与本地鉴别处理的阶段之前执行。

13、  根据权利要求9至12中任何一款的协议，其特征为，上述用于本地安全性的处理也包括为该命令与回复消息编制下标的处理，这能够被用来检测筛选或重放。

14、  根据权利要求9至13中任何一款的协议，其特征为，对包括至少一个命令应用数据域的一条命令消息，上述译码终端与上述安全性处理器具有加密/解密密码、计算以及鉴别验证资源，该专用本地安全性协议至少包括：
·在上述安全性处理器中
-使上述命令应用数据接受区分它们的目的地分别是到该安全性处理器或是到译码终端的测试，而且
-当未处理的命令应用数据旨在被用于上述安全性处理器时，
-执行能够根据至少一项任务加以执行的上述操作指令序列；或者，
-如果该未处理的命令应用数据旨在被用于该译码终端，
-使上述命令应用数据接受本地加密与本地鉴别处理，以便产生已经在本地被变得安全的命令应用数据，
-将已经在本地被变得安全的上述命令应用数据从上述安全性处理器发送到上述译码终端，以及
·在上述译码终端中，
-使已经在本地被变得安全的上述命令应用数据接受本地加密与本地鉴别处理，以便还原上述命令应用数据并构成能够根据至少一项任务加以执行的操作指令序列，
-执行能够根据至少一项任务加以执行的上述操作指令。

15、  根据权利要求1至13中之一款的协议，其特征为，上述本地安全性协议根据专用于每一对译码终端/安全性处理器的一个本地加密/解密及鉴别密钥、按照对称加密/解密来执行，上述本地加密/解密及鉴别密钥用一个专用于上述配对中的上述安全性处理器与/或上述译码终端的密码来进行参数表示。

16、  根据权利要求15的协议，其特征为，上述本地加密/解密及鉴别密钥被定期加以修改。

17、  根据权利要求1至16中任何一款的协议，其特征为，每个命令消息包括一个根据长或短回复格式来规定该相应回复消息格式的域，长或短格式取决于该应用内容以及那个应用内容中所需要的信息的细节。

18、  从一个广播中心向至少一台接收机发布的命令消息，这台接收机包括至少一台用于对已加密信息进行译码的终端以及提供一个安全性处理器的一个访问控制模块，该安全性处理器与上述译码终端通过在一个本地译码终端/安全性处理器链接上交换本地命令与回复消息而共同运作，其特征为，上述命令消息至少包括：
-数据域，包括该输入模板，
-命令应用数据域，旨在通过上述本地命令消息的媒介来支配上述译码终端与/或上述安全性处理器，
-鉴别数据域，上述输入模板包含应用于上述命令应用数据的安全性属性，而且上述鉴别数据能够鉴别上述命令消息。

19、  根据权利要求18的命令消息，其特征为，也包括形成一个回复模板的一个数据域，上述回复模板包含要被应用于在回复上述命令消息时所建立的回复应用数据的安全性属性。

20、  从一台命令消息接收机发送到广播这些消息的一个中心的回复消息，该接收机包括至少一个用于对已加密信息进行译码的终端以及提供一个安全性处理器的一个访问控制模块，该安全性处理器与上述译码终端通过在一个本地译码终端/安全性处理器链接上分别交换本地命令与回复消息而共同运作，其特征为，上述回复消息至少包括：
-数据域，形成一个输入模板，
-状态数据域，上述输入模板包括要被应用于该回复应用数据的安全性属性，在上述回复消息中缺少一个输入模板就相当于缺少应用于那些回复应用数据的安全性。

21、  各自根据权利要求18至20中任何一款的命令或回复消息，其特征为，上述命令或回复应用数据分别可以编程，该命令或回复数据域分别包括条件的一个逻辑组合，对这些条件的逻辑验证的二进制结果(真或假)能够产生操作的条件分支，上述操作由上述接受设备广播站的上述译码终端与/或上述安全性处理器分别按次序处理。

22、  记录在一个记录媒体中、由信息系统的一台计算机执行的软件产品，该信息系统被用来利用一个服务密钥实现加扰信息访问控制远程管理协议，该信息在一个广播中心与至少一台计接收机之间的网络中传输，每台接收机包括至少一个用于对已加密信息进行译码的终端，该终端包括一个访问控制模块，该模块提供一个根据权利要求1至17中任何一款的安全性处理器，其特征为，当由一台计算机执行时，上述软件产品产生如下阶段：
-将一个命令消息从该广播中心发送到至少一台接收机以及/或者一个与该接收机相关联的安全性处理器，这个命令消息包括形成至少一个输入模板、命令应用数据以及真实性数据的数据域，上述输入模板包含应用于上述命令应用数据的安全性属性，上述真实性数据能够根据上述安全性属性来鉴别并保证上述命令信息的完整性。
-将该译码终端与该安全性处理器之间的操作指令以及对那些操作指令的回复的交换发送到一个专用本地安全性协议，该安全性协议能够防止在该译码终端/安全性处理器接口处的本地侦听，以便以安全的方式执行由至少一条操作指令的执行所构成的一个任务序列。

说明书

用于加密数据访问控制的远程管理的互动协议
本发明涉及一个对加密或保密信息的访问控制进行远程管理的协议。
随着网络信息传输技术的出现，对加密信息的访问控制受到前所未有的重视。
其目的在于保证信息被发送到最大数量用户的这些技术当前能够提供非常大量的服务，其原因是集成电路的计算与存储能力——从而处理被传输信息的能力——的增长速度每5年就翻一番。
对加密信息的访问控制技术原来是在用于娱乐、信息以及其他目的的电视接收机上传输与显示信息的应用场合中提出的。
在被称为“ANTIOPE”(Acquisition Numérique et Télévisualisationd′Images Organisees en Pages d′Ecriture：按照书写页面构造的图像的数字获取与电视显示)的系统中、在被称为“TITAN”(Terminal Interactifde Télétexte àAppel par Numérotation：互动编号调用的图文电视终端)的系统中或被称为“EPEOS”(Enregistrement Programmédes Emissionssur Ordre des Sources：按照源序的发射的编程记录)的系统中，这些技术具有特殊的用途。
使用被称为“DIDON”(Diffusion de Donnees Numériques：数字数据广播)的程序的、用于信息广播的这些系统分别涉及广播视频文本系统、互动视频文本系统以及程序转发系统，这根据来自接收设备(譬如一台视频记录仪)的记录操作的一个发射源的远程控制而定。
人们已经提出将访问控制过程应用到这些系统。这种应用提出了这样一个问题：按照用户授权准则以及被控系统的特殊性质在广播时通过加密或加扰来锁定该信息、随后在接受时解锁该加密或已锁定的信息。
特别是，在1980年9月5日公布的法国专利申请7902995(2448825)中已经研制并描述了应用于上述系统的访问控制系统。在上述访问控制系统中，采用了双重密钥处理，包括一个用于锁定该信息的服务密钥，这个密钥按照几分钟数量级的短暂间隔随机变化，还包括一个所谓的用户密钥，用户密钥根据该预订收费的性质采取几个值Ci。这个密钥也按照一个月长短的较长周期随机变化。它被记录在预订收费媒体中，譬如插入每台接收机中的一张智能卡或者一张信用卡。
特殊的消息会在广播时形成并随同该已锁定数据被一道传输。这些消息能够在该接收机中还原该服务密钥，然后开启锁定该被传输的已锁定信息的电子锁。
这种处理一直是许多技术开发的目的，这些技术开发导致标准UTEC90-001“用于数字广播系统的条件访问系统”的制定。
一般来说，根据上述法国专利申请所讲的内容，在上述标准的正文中采用的结构涉及用于控制对已加扰或加密信息进行条件访问的规范的定义，能够保证只有符合非常特殊条件并且满足非常特殊标准的用户才能够获得电视与无线电广播节目、数据查看服务或其他类型的服务，而这些条件与标准实际上与观看上述节目或服务的费用支付相关联。
为了这个目的，这些系统能够保证通过一个在该广播中心与至少一台接收机之间传输的服务密钥来远程管理对加密信息的访问的控制。该发送中心包括计算一个控制字CW的模块以及利用一个运算密钥SOK来加密该控制字CW的模块，而该控制字则至少包括该服务密钥。提供了一个为访问权限产生控制消息(ECM消息)的模块以及一个为访问权限产生管理消息(EMM消息)的模块，该控制消息至少包括用于访问权限的加密控制字以及控制参数。ECM消息与EMM消息可以在所发送的加密信息流中被多路转接。
每台接收机至少包括对该加密信息进行译码的一台终端以及内含一个安全性处理器(PS)的一个访问控制模块，举例来说，该处理器被安装在插入该终端的一张访问控制卡中。该安全性处理器包括存储在内部安全存储器中的运算密钥SOK及访问权利，还包括一个解密模块，该安全性处理器能够从该运算密钥还原该服务密钥，并在验证被记录访问权限之一地条件下根据该访问权限的控制参数还原该加密控制字。
每个译码终端包括一个译码模块，能够利用该已还原服务密钥对该被传输的加密信息进行解密，以供持有该访问控制卡的一位授权预订用户使用。
在上述标准UTE C90-007的规定下已经开发出的这些系统是令人满意的，这是因为一方面，用于还原该服务密钥的计算以及执行这些计算所必须的密码(该运算密钥)都位于该访问控制卡的一个被保护存储器区域内，该运算密钥决不能通过外部读取来获得，另一方面，存储在安全性处理器的存储器中的访问权限的传输与管理在拥有当前运算密钥的条件下变得完全独立于访问控制，以便能够还原该当前服务密钥，然后采用该密钥对该加密数据进行译码。
本发明涉及使用一个远程管理协议来控制对加密信息的访问，能够将该访问控制过程应用于所有类型的、特别是与电子交易运行相关联的在线服务，而不管该加密数据传输的性质。
特别是，本发明的另一个目的是使用一个远程管理协议来控制对具有很高安全性等级的加密信息的访问，该译码终端与该安全性处理器之间的对话是侵犯专利权者及代码破译者偏爱的攻击点，该对话遵守一个本地安全性协议。
本发明的另一个目的是也提供专用消息，譬如EPM消息，这些消息构成链接访问权限管理的消息并保证ECM消息与EMM信息之间的链接。
最后，本发明的另一个目的是提供一个用来对应用于各种服务中的加密消息进行访问控制的远程管理协议，譬如说，这些服务包括经由可编程消息的传输并通过一条返回通道的媒介来进行的电子交易的安全在线实施，该管理协议能够处理代表各种情形与环境的状态变量，而不管所说的服务与交易的性质。
本发明所涉及的、对利用一个服务密钥并由一个网络传输的加扰信息的访问进行控制的远程管理协议是在一个广播中心与至少一台接收机之间实现的。加密信息的传输伴随有一个至少包含该服务密钥的控制字，该控制字已经利用运算密钥进行了加密。该控制字密码的这种传输借助访问控制权利消息(ECM消息)进行，该ECM消息至少包含这个加密的控制字以及访问权限控制参数。该ECM消息在加密信息流中与该访问权限管理消息(EMM消息)一道传输并被多路转接。每台接收机至少包括一台用于对该加密信息进行译码的终端以及提供一个安全性处理器的一个访问控制模块。该安全性处理器包括该运算密钥以及分配给一位预订用户的、存储在该安全性处理器的被保护存储器中的、被输入的访问权限，(而且)在该已输入访问权限得到验证的条件下能够从该运算密钥及该加密控制字来还原该服务密钥。每台译码终端能够利用该已还原服务密钥来对该加密信息进行译码，以供一位授权预订用户的使用。
值得注意的是，包括至少将一个控制消息从该广播中心发送到至少一台接收机以及/或者与该接收机相关联的安全性处理器，该控制消息包括至少形成一个输入模板、控制应用数据以及密码冗余或一个数字签名的数据域。该输入模板包括应用于该命令应用数据的安全性属性。该密码冗余或数字签名能够根据这些安全性属性来鉴别并保证这些控制消息的完整性。
它也包括使该译码终端与该安全性处理器之间的操作指令以及对这些操作指令的回复的交换遵守专用本地安全性协议，这能够防止在该译码终端/安全性处理器器接口处的本地侦听，以便以安全的方式来执行一个任务序列，这个任务序列构成至少一条操作指令的执行。(这里似乎应为“包括”，参见原文另一处的表述(P12第一段最后一句，相应的译文在P5)。当然“constitute”也有“包括”的意思。类似问题在下面多处出现。)
本发明涉及的协议被应用于在一个网络上定期发送的、已加扰或加密消息的访问控制的远程管理，而不管所用的传输系统的性质，所需要满足的要求仅仅是使已加扰或加密信息、该加密控制字以及与该加密控制字相关联的服务密钥(在适当情况下还包括所用的运算密钥)的传输同步。
阅读本说明书并研究下面的例图可以更好地理解本发明。这些例图包括：
-图1a以演示方式表示实现用于控制对加密信息的访问的、符合本发明的远程管理协议的基本阶段的结构图。
-图1b以演示方式表示如图1a所说明的、本发明所涉及的协议的一个变化的实施例，若在该接收机与该广播中心或该广播中心的管理中心之间存在一条返回通道，那么该协议具有互动性质。
-图2a至图2c分别以演示方式表示能够实现符合本发明的协议的回复(与)命令消息的特殊结构。
-图3a以演示方式表示一幅基本阶段结构图，这些阶段能够实现该译码终端与该安全性处理器之间所使用的一个本地安全性协议以便保证命令消息向该安全处理器的发送，其中与该安全性处理器相关联的访问控制模块与该安全性处理器相匹配。
-图3b以演示方式表示一幅基本阶段结构图，这些阶段能够实现该安全性处理器与该译码终端之间传递的一个本地安全性协议，以便保证将回复消息发送到那个终端，如果有必要，可以发送到该广播中心或者该广播管理中心，该访问控制模块与该安全性处理器相匹配。
-图3c以演示方式表示一个分别为回复与命令消息编制下标的过程，该过程可以在本地安全性协议下实现，以便提高本地安全性协议的安全性与可靠性。
-图3d以演示方式表示图3a所示的本地安全性协议的一个变化的实施例，能够将根据控制消息的目的地来控制它们的切换的功能赋予与每台译码终端相关联的访问控制模块的安全性处理器。
-图4以演示方式表示在与使用一个电子令牌持有者相关的应用中，符合在先技术的、一个EMM消息与一个ECM消息之间的链接消息的一个实施例。
现在结合图1a以及随后的例图来对符合本发明的、用于加密信息访问控制远程管理的互动过程作一个更加详细的说明。
参看前述的图1a，不应忘记，符合本发明的过程是在一个广播装置E、发送消息以及一台接收机PR之间实现的，该接收机包括一个译码终端，而访问控制模块则与之相关联。该访问控制模块具有一个安全性处理器，而且举例来说，可以包括一张微处理器卡类型的访问控制卡或者一张插入更复杂系统的虚拟卡。
消息广播装置E发送的消息被设计得能够利用一个服务密钥来保证加密信息访问控制的远程管理，而且能够在该发送消息的广播中心E与至少一台接收机PR之间的系统中传输。对信息进行加扰的概念包括利用密钥对那个信息进行对称加密以及分别利用公用密钥与专用密钥来执行非对称加密的运算。
加密信息的发送伴随有一个控制字CW，至少包括该服务密钥。该控制字利用一个被称为SOK的运算密钥加密。该加密控制字的发送利用被称为ECM消息的访问权限控制消息进行，ECM消息至少包括该加密控制字以及访问权限控制参数。
该ECM消息在该加密消息流中与被称为EMM消息的访问权限管理消息一道发送，而且可以被多路转接。
发送加密数据并多路转接ECM消息及EMM消息的过程符合——譬如说——本说明书前面所提到的标准UTE C90-007的规定。所以，对上述过程将不作更加详细的说明。
一般说来不应忘记，与每台译码终端T相关联的访问控制模块包括该运算密钥SOK以及分配给预订用户的、被输入的访问权限，该用户是该访问控制模块的授权持有者。该运算密钥以及该已输入的访问权限被存放在上述访问控制模块的安全存储器的内存中。该访问控制模块也包括一个安全性处理器以及密码源，能够从该运算密钥以及该加密控制字来还原用于对被传输的加密信息进行加密的服务密钥。该服务密钥的还原在检查该已输入的访问权限之后、或者在检查至少一个已输入的访问权限之后根据用于该被发送访问权限的控制参数来进行。
每个译码终端都能够利用该已还原服务密钥来对加密信息广播进行译码，以该供授权预订用户不加处理地加以使用。
最后，在实现本发明所涉及的过程的情况下，有利的是，每台接收机能够通过一条返回通道被连接到该广播中心(广播设备E)，该返回通道保证符合本发明的远程管理过程的互动实现。
图1a表明，本发明所涉及的协议在一个阶段A至少包括将一个被标记为MC＝[GE，DAC，RC]的控制消息从该广播中心发送到至少一台接收机PR以及/或者该访问控制模块的、与该访问控制模块相关联的安全性处理器PS，该控制消息包括形成至少一个输入模板GE、命令应用数据DAC以及真实性数据RC的数据域，RC可以是密码冗余或数字签名。
该输入模板包括要被应用于该命令应用数据DAC的安全性属性。该真实性数据能够鉴别该命令消息，这将在本说明书的后面加以说明。
阶段A之后是阶段B，包括将该译码终端T与访问控制模块的安全性处理器PS之间的操作指令交换提交到专用本地安全性协议。一个专用本地安全性协议可以被用来防止在该译码终端/安全性处理器接口上的本地侦听，以便按安全的方式执行一个任务序列，这个任务序列包括至少一条操作指令的执行。
根据符合本发明的协议的一个特别有利的方面可以指出，在阶段B实现的上述专用本地安全性协议可以分别考虑命令消息MC到译码终端T的目的地以及到该访问控制模块的目的地，在本说明书的后面将对此加以说明。事实上，根据所追求的最高安全性要求，特别是为了保证译码终端T与访问控制模块的安全性处理器之间的数据交换的最高安全性，可以实现执行本地安全性协议的不同变化形式。最高安全等级可以被定义为将执行所有加密/解密运算保留给该模块的内部元件，特别是保留给该模块的安全性处理器，这将在本说明书的后面加以说明。
在该接收机或多台接收机PR具有将每台接收机连接到该广播中心E或连接到该广播中心的管理中心GE的一条返回通道的情况下，就会如图1b所示在上述阶段B之后有一个阶段C，阶段C包括计算并沿该返回通道发送一个针对上述命令消息MC的专门回复消息。该回复消息的发送从接收机PR——事实上是从译码终端T——对广播设备E进行，或者在适当情况下对与那个广播设备相关联并在一个网络中被连接到该广播设备的管理中心GE进行。
在图1b中，该回复消息被记为MR＝[G′E，DAR，RC，ST]。
它包括若干数据域，这些数据域包括至少一个输入模板G′E、回复应用数据DAR以及被标记为ST的状态数据。
它也包括真实性数据RC。该输入模板包括应用于该回复应用数据的安全性属性。根据本发明所涉及的协议的一个有利的方面，在该回复消息MR中缺少一个输入模板G′E就相当于缺少应用于该回复应用数据的安全性。特别应当理解，该回复应用数据DAR不一定已经经过加密，这取决于所执行的运算，而且作为这种情况的一个结果，该回复应用数据DAR的域或该域的一部分可以不加处理而被直接发送。
另一方面，当该被发送的命令消息MC涉及敏感数据时，形成该命令应用数据DAR的域或该域的一部分也可以被加密。
包含由该密码冗余或该数字签名所提供的真实性数据的域RC可以利用——比方说——一个公用密钥并根据签名计算协议来计算。
一般可以指出，该专用本地安全性过程涉及译码终端T与安全性处理器PS之间的消息交换。
在一个首选的、非限定性的实施例中，译码终端T与该访问控制模块(包括一张卡)之间的本地链接是一种符合协议ISO 781G的链接。在这种情况下，该译码终端T与该访问控制卡之间的本地消息交换就相当于被称为C_APDU类型的命令消息以及被称为R_APDU类型的回复消息。对用于这类消息的交换协议将不作详细说明，因为它相当于其本身已为人所知的协议。
最后，对于回复消息MR的计算与发送，特别是沿该返回通道的发送，可以指出，上述返回通道可以构成——譬如说——交换电话系统中的一条电话链接，这种链接在情况下与一个赫兹网络或其他传统类型网络的任何链接相关联，以便保证每个回复消息MR被发送到广播设备E或者与广播设备E相关联的广播管理中心GE。
现在结合图2a、图2b与图2c分别给出命令消息MC与回复消息MR的结构的一个更为详细的说明。
图2a指出，有利的是，每条命令消息MC包括一个附加的数据域，该域包含一个回复模板GR。这个回复模板包括要被应用于该回复应用数据的安全性属性。
一般已经表明，在一个命令消息包含一个回复模板GR时，每个命令消息MC都可以被用来确定该安全性条件以及除了所说的命令消息MC之外必须要应用于该回复应用数据的属性。
这样就能够不仅管理命令消息的安全性，而且能够通过改变该域中所包含的、为成功的命令消息MC构成回复模板GR的值来管理所有回复消息。
图2a也指出，在任何命令消息MC的情况下，该命令应用数据DAC，或者在这些命令应用数据可以被加密的适当情况下，这些被称为CKDAC的数据，可以包括一条操作指令，或者最好包括一份操作指令清单。
一份操作指令清单如图2a所示，该清单被记为
[ACT₀[ACT₁[ACT₂…[ACT_n]]]]
上述操作指令清单的符号与传统的清单符号相当。特别应当理解，被称为ACT₀至ACT_n的每项操作可以由命令消息MC的接收设备按次序执行，根据符合本发明的过程的一个特别有用的方面，该接收设备是译码终端T或者是该访问控制模块的上述安全性处理器。
现在结合图2b说明实现符合本发明的过程的一个特别有用的方法。
这个实施例能够在上述消息的使用中引入很高的灵活性。在这个实施例中，上述消息(命令与/或回复消息)构成被称为EXM的普通消息。因为它们很高的使用灵活性以及与该灵活性相关联的、能够引入这种使用灵活性的结构，EXM消息可以采用ECM消息或EMM消息的形式，此外，或者采用将要在该说明书的后面加以说明的专用管理消息。
为了这个目的，如图2b所示，该命令应用数据与/或回复数据是可以编程的。因此，与这些数据相应的域包括条件的逻辑组合，这些组合的逻辑验证的二进制结果，不管是真还是假，都能够产生操作的条件分支。这些操作由该译码终端T或该接收设备的访问控制卡的安全性处理器PS按次序处理。
在图2b中，命令应用数据与/或回复应用数据的可编程性质用如下关系来表示：
Data＝(Action|(IfBlock[ThenBlock][ElseBlock]))⁺
特别应当理解，在上述关系中，Data或者是指未处理的命令应用数据DAC或在适当情况下指用C_KDAC标记的加密数据，或者是指用DAR标记的未处理的回复应用数据或在适当情况下是标记为C_KDAR的加密数据。上述关系中的符号是巴科斯范式类型的元语言描述符号，对此将在后面加以说明。
就上述关系而论，可以指出，该命令消息与/或回复消息以及该命令与/或回复应用数据构成了一种可以包含如下逻辑关系的结构化逻辑短语：
If：该条件逻辑表达式接受验证，
Then：该操作说明块中的操作或操作清单、或者与已验证条件相关联的操作清单被执行，
Else：该操作说明块中的操作或操作清单、或者与未验证条件有关的操作清单被执行。
在图2c中显示了回复消息MR的结构，这种结构包括输入模块G′E、供未处理数据形式的回复应用数据DAR或者加密数据C_KDAR使用的模板以及状态域ST。也不要忘记，如前所述，就未处理或加密形式的回复应用数据DAR而言，这些数据就相当于结合图2a说明的、或者最好是结合图2b说明的Data数据结构。
由于上面结合图2a至图2c分别加以说明的命令消息MC与回复消息MR的结构，可以指出，上述普通EXM消息能够因为它们的普通结构而被专门用于独立于该访问权利管理、但与该访问权限管理相关联的商业管理操作，这些商业操作(譬如管理植入该访问控制模块的一个令牌持有者等)取决于输入到该访问控制模块的安全性处理器中的访问权限，或者被专门用于该访问权限的控制或根据——譬如说——被授权预订用户的行为而输入的访问权限的最优管理，此外，或者被专门用于在该安全性处理器与该译码终端之间通过提供ECM消息与EMM消息之间的一个链接所进行的消息交换的本地安全性的管理以及对加密信息的安全管理操作。
下面采用一个与BNF(巴科斯范式)相似的元语言描述符号来分别提供本说明书中回复与命令消息的一般结构的示例，其中：
-A＝BC：元素A包括元素B与C的序列，
-A＝(B)+：元素A包括1至n个元素B，
-A＝(B)*：元素A包括0至n个元素B，
-A＝B|C：元素A包括元素B或元素C，
-A＝B[C]：元素A包括元素B，其后可任选跟随元素C，
-A＝-：元素A不包括任何内容。
现在，提供该说明书中的这些消息的一种语义描述。
术语“消息”是指来源于广播设备E或广播管理系统GE的、其目的地分别为终端T的模块或访问控制卡的安全性处理器PS的任何命令消息MC。所以能够认为，所有命令消息MC实际上都是为了供被装备到该模块、或者被装备到该访问控制卡的安全性处理器使用，而不管它们是实际的还是虚拟的。
所有回复消息MR都跟随在一条命令消息MC之后，而且在该传输系统中以终端T或上游设备作为它们的目的地。这些信息的通用结构如下面的表T1所示：
表T1

条件访问消息的通用结构在命令情况下：COMMAND＝INPUT TEMPLATE[REPLY TEMPLATE]DATA AUTHENTICITY对响应：COMMAND＝[INPUT TEMPLATE]DATA[AUTHENTICITY]STATUS DATA

在MC命令消息的情况下：
-一条命令消息包括一个输入模板，并可以任选包括一个回复模板。该任选回复模板说明要被应用于该回复的保密机理。
该命令应用数据前有一个或两个模板：InputTemplate与OutputTemplate，只有输入模板表示当前消息中使用的安全性属性。
当该命令应用数据需要两个模板时，该消息中这两个模板在该应用数据之前。
最好，一条命令消息MC的输入或回复模板中所说明的信息被不加处理地发送。
该命令应用数据表示将要由该访问模块、控制卡或者译码终端T加以考虑的专门操作。
通常，命令应用数据被从远方设备(譬如广播设备E)发送，并以加密形式发送以便保证该数据的机密性。
在回复消息MR的情况下：
-输入模板G′E包括要被应用于该回复中的回复应用数据的安全性属性。缺少该模板就表示没有安全性被应用到该应用数据。
与一个命令消息MC相关联的回复消息MR可以在本地被译码终端T或者上游设备(譬如发送设备或发送设备管理系统GE)通过本说明书前面所述的返回通道的媒介加以使用。在前一种情况下，如果该回复消息MR在本地由终端T使用，那么该回复消息不经过通用加密，而只遵守该本地安全性协议，对此将在本说明书的后面加以说明。
另一方面，当该回复消息被用于沿该返回通道的发送时，这个回复消息MR利用——譬如说——一个专用管理密钥接受通用加密处理。
当然，回复消息MR也可以任选地包括真实性数据、密码冗余或一个数字签名来鉴别及保证该回复消息本身的完整性。如果没有相关联的输入模板，那么就没有与这些真实性数据有关的域。
至于用ST标志的状态域，一个回复消息MR始终包括一个状态或状态域，提供关于该消息结构的一份报告，就是说：
-如果该回复只包括状态ST，那么它还没有能够解释该消息，
-该消息已经被处理，在这种情况下，该回复包括该回复应用数据及状态ST。
现在提供与命令及回复消息的输入模板数据域相关的更加具体的表示方法。
参考本说明书前面结合表T1所描述的消息的通用结构，可以指出，这些模板分别定义了应用于命令应用数据与回复应用数据的安全性机理所必须的参数。
在这种情况下，两个输入模板GE或G′E以及回复模板GR可以包括如下表T2所示的信息：
表T2 模板结构 Template＝RefFile[Algolds]Keylds[RefInits]

在上述表格中，用RefFile标记的文件参考符表示密钥参考符所应用的文件。这是一个专用文件或主文件的名称，即在条件访问的限制下由加密数据的广播设备所分配的一项服务的名称。作为一个通用规则，RefFile＝SOID。SOID表示一个广播服务标识符参数，代表英语中的“服务输出标识符”。
标记为Algolds的算法参考符为与表T3所述消息相关联的密码功能规定了当前消息中所使用的算法。
表T3 算法参考符的结构 Algolds＝AlgoAuthenid[AlgoConfid][AlgoCipherid]

在上表中，AlgoAuthenid表示该消息真实性功能，AlgoConfid表示该回复应用数据的机密性功能，AlgoCipherid分别表示该回复(与)命令专用应用数据的加密功能。
密钥参考符Keyids规定在实现根据表T4定义的功能时，当前消息中所使用的密钥。
表T4 密钥参考符的结构 Keyids＝[KeyAuthenid][KeyConfid][KeyCipherid]

其中，KeyAuthenid代表该消息的真实性验证密钥，KeyConfid表示该回复与命令应用数据的机密性密钥，KeyCipherid表示该专用应用数据的加密密钥。
初始数据参考符Refinits是当前消息中对分别标记为InitAuthen的消息真实性功能以及标记为InitConf的应用数据的机密性进行初始化所使用的数值。
所以，这些消息的通用结构如下：
-没有任何回复模板：这里在命令消息MC中没有规定该回复模板，尚没有安全性机制被应用于该回复，
-在回复消息MR中不提供模板，
-回复应用数据在回复消息MR中不加处理，
-对该数据不附加真实性。
这样，成对的命令消息MC/回复消息MR就具有表T5所示的如下结构：
表T5 命令消息回复消息输入模板(GE) 数据(DAC)或(C_KDAC) 真实性(RC) 未处理数据(DAR) 状态数据(ST)

-具有回复模板：命令与回复消息的结构分别如下表T6所示：
表T6 命令消息回复消息输入模板(GE) 回复模板(GR) 数据(DAC)或(C_KDAC) 真实性(RC) 输入模板(G′E) 数据(未处理或已加密) (DAC)or(C_KDAC) 真实性(RC) 状态数据(ST)粗体：由该命令回复模板强加的数据

作为通用规则，能够适用于这些模板的规定如下：
-如果一种功能并非必要，那么对相关的安全性属性就不明确加以说明，
-包含机密数据与/或加密数据的消息必须包括一个输入模板以使该消息可信。
现在分别对构成命令及回复应用数据域的数据结构提出更具体的表示方法。
分别参考命令与回复消息的通用结构，不应忘记，一个命令消息MC的命令应用数据包括：
-一项操作或一份操作清单，由该接收设备，即由该访问控制模块的安全性处理器或该译码终端T按次序进行处理，
-或者条件的一个逻辑组合，该验证的二进制结果(不管是真是假)能够执行由该接收设备按次序处理的操作条件分支。
不应忘记，该命令消息(或者，在适当情况下是指回复消息)遵守该结构化逻辑短语，而且如本说明书前面所述，可以包括逻辑关系：
If：
Then：
Else：
这样的一种结构可以在由Tdata标记的数据结构内重复，条件的组合与操作则根据符合ASN.1数据结构的、具有Tdata类型标签的TLV加扰处理来进行加扰。
一般说来可以指出，一个单独的条件是一个只包括一项操作的条件。
条件的逻辑组合至少包括若干逻辑运算符，譬如进行OR、AND、NOT-OR与NOT-AND逻辑运算的常规运算符OR、AND、NOR与NAND。
根据所处理的应用数据的内容，译码终端T能够分别在与命令消息MC相关联的一个回复消息MR中所提供的长回复与短回复之间进行选择。
有利的是，用于一个长回复的应用数据包括：
-重复该命令结构，
-为该命令中所请求的每项操作：
-重复该命令中需要的操作，
-说明该命令中每项操作所请求的信息，这个信息由该卡或该终端提供，
-关于每项操作的一份报告，以便向广播设备E通报该操作的执行结果。
用于一个短回复的应用数据对所定义的每项操作包括：
-存在于没有任何条件组合的一个条件消息中的一个单独主消息块或操作，
或者
-存在于该命令中的、可能已经执行或者可能尚未执行的一个then与/或else块，
-该块或这些块的每项操作所请求的信息的说明，这个信息由该访问控制卡、模块或者译码终端T提供，
-关于该块或这些块的每项操作的一份报告，以便向广播设备E通报该操作的执行结果。
所以，每个命令消息MC可以包括一个域或一个位来规定相应回复消息的、与该相应回复消息相关联的回复格式。该长或短回复格式可以由译码终端T根据该应用内容以及那个应用内容中所需要的信息细节来加以选择。可以提供多种回复格式。
表T7分别提供了一个长或短的单个命令消息MC或单个回复消息MR的一个示例。
表T7 命令消息说明T_{InputTemplate} L_{InputTemplate}[T_{ReplyTemplate} L_{ReplyTemplate} T_Data L [T_SOID L SO1D] [T_Data L Data] (T_ActionObjectLAction)*T_Authen LAuthenticity输入模板回复模板应用数据取决于该结构数否经过优化。同上。要执行的操作。消息真实性长回复消息

[T_{InputTemplate} L InputTemplateT_Data L[T_SOID L SO1D][T_Date L Date](T_ActionObject L Action[T_Result L Result]T_Status L StatusAction)⁺[T_Authen L Authenticity]T_StatusData L StatusData输入模板应用数据：SO1D与/或全部数据(如果该命令中存在的话)。对该命令中每项操作的回复。消息真实性。关于回复的通用状态。短回复消息[T_{InputTemplate} L InputTemplate T_Data L([T_Result L Result]T_Status L StatusAction)⁺[T_Authen L Authenticity]T_StatusData L StatusData输入模板应用数据：对该命令中每项操作的回复。消息真实性。关于回复的通用状态。

该命令与回复应用数据的通用结构分别能够对条件组合进行加扰。这样一种结构可以是迭代的，而且在这种情况下如表T8所表示：
表T8 应用数据的通用结构对命令： Data＝(Action|(IfBlock[ThenBlock][ElseBlock]))⁺ 其中 Action＝要求的操作。 IfBlock＝″Andlf″(Ifblock|Action)+|″OrIf″ (IfBlock|Action)+|″NAndIf″(IfBlock|Action)+|″NOrIf″ (IfBlock|Action)+. ThenBlock＝″Then″(Action)+ ElseBlock＝″Else″(Action)+.对长回复： Data＝((Action[Result]StatusAction)|(IfBlockR[ThenBlockLR] [ElseBlockLR]))⁺ 其中 Result＝该操作所请求的消息(如果有的话)。 StatusAction＝关于每项操作的报告。 IfBlockR＝″AndIf″(IfBlockR|(Action[Result]

StatusAction))+| ″OrIf″(IfBlockR|(Action[Result] StatusAction))+| ″NAndIf″(IfBlockR|Action[Result] StatusAction))+| ″NOrIf″(IfBlockR[Result]StatusAction)+. ThenBlockLR＝″Then″(Action[Result]StatusAction)+ ElseBlockLR＝″Else″(Action[Result]StatusAction)+. 对短回复： Data＝(([Result]StatusAction)|([ThenBlockSR] [ElseBlockSR]))+ 其中 Result＝该操作所请求的消息(如果有的话)。 StatusAction＝关于每项操作的报告 ThenBlockSR＝″Then″[Result]StatusAction)⁺. ElseBlockSR＝″Else″[Result]StatusAction)⁺.

执行规则如下：
-1、在一份操作清单中，操作按照清单中的次序处理。
-2、在一个AndIf、NAndIf、OrIf或NOrif子句中，该相关清单中的所有操作能够被评价。
-3、在一个AndIf或NAndIf子句中，只要该子句为真，该相关清单中的操作就被执行。
-4、在一个OrIf或NOrIf子句中，只要该子句为真，该相关清单中的操作就被执行。
按照非限定性示例的方式，可以指出，在一条消息(譬如一条命令消息MC或回复消息MR)中分别传送的命令与回复应用数据分别可以是：
-咨询O1或更新对象O2，O1与O2指定对象，
-如果被控操作O1或O2被验证，那么就解密O3，其中O3以非限定性示例的方式表示该控制字CW的密码，即利用运算密钥SOK来加密的控制字CW。
现在结合图3a至图3d提供构成图1a或图1b中的阶段B的专用本地安全性协议的一个更为详细的说明。
一般来说不应忘记，如果控制字由安全性处理器PS被发送到译码终端，那么在试图危害控制字CW时，译码终端T与访问控制模块，特别是与访问控制卡(举例来说，该访问控制卡构成了一块微处理器卡)的安全性处理器之间的接口是侵犯专利权者与代码破译者最喜欢的攻击点。事实上，所有用于还原控制字CW的计算都在具有最高安全性等级的安全性处理器内进行，这使得还原该控制字所必须的这些密码能够由外部阅读来访问。
更特别地讲，不应忘记，在译码终端T处接受到的每个命令消息中的命令应用数据可能未加处理，或者从另一方面讲，也可能已被加密，在这两种情况中，这些数据分别被称为DAC以及C_KDAC。
不应忘记，举例来说，加密的命令应用数据C_KDAC已经接受来自一个特殊管理密钥的通用加密处理，该特殊管理密钥被称为K，可供负责访问控制管理(举例来说，特别是负责加扰数据的广播)的职权设备使用。
为了实现该本地安全性协议，可以指出，译码终端T与访问控制模块，特别是——譬如说——构成该访问控制模块的访问控制卡，都提供密码编写的加密/解密、计算与真实性验证资源。可以按照简化的方式指出，这些密码编写的资源包括分别用于专用计算与真实性验证的加密算法与密钥，在符号上由一个被称为CL的加密/解密、计算与真实性验证密钥来代表。这个密钥在本地由每个译码终端与每个访问控制模块共享，但也可以为如此构成的每一对译码终端与访问控制模块专用。
如图3a所示，在这种情况下，该专用本地安全性协议可以包括至少使命令消息MC的命令应用数据在译码终端T的B1内接受本地解密与本地鉴别处理。最好，该命令消息MC的所有域都被提交到该本地安全性协议。
在图3a中，相应的本地加密与本地鉴别运算用如下关系来标记：
T_CL(MC)→C_LMC
这种关系表示，运算T_CL既包括至少该命令消息MC的未处理命令应用数据DAC的加密或者加密命令应用数据C_KDAC，也包括——举例来说——该签名值的计算，以便产生这些相应的加密值及签名值，这些值能够为未处理命令应用数据或为加密命令应用数据鉴别被称为C_LMC的值。
根据本发明所涉及的专用本地协议的一个特别有用的特点可以指出，该本地加密与本地鉴别处理独立于以前在该命令消息发送中使用的加密处理，就是说，特别是独立于利用前面所述的管理密钥K进行的通用加密处理。
阶段B1之后是一个阶段B2，包括将根据本地安全命令数据C_LMC形成的加密本地命令消息从译码终端T发送到该访问控制模块的安全性处理器PS。
在图3a中，加密本地命令消息用符号标记为LM(C_LMC)。在该访问控制模块包括一个微处理器访问控制卡的情况下，阶段B2中向安全性处理器PS的发送可以按照协议ISO 7816执行，该本地命令消息则以本身已经为人所知的方式按照C_APDU类型的消息来构造。
该本地安全性协议包括在一个阶段B3中使加密的本地命令消息在该访问控制模块提供的安全性处理器PS中接受本地解密与本地鉴别处理，以便为前述的命令还原该应用数据域。
在阶段B3中执行的运算被标记为：
D_CL(C_LMC)→MC
在这个关系中，D_CL(.)指前述的本地解密与鉴别运算。
在阶段B3之后就可以获得未处理的命令应用数据DAC或根据该通用加密处理来加密的、构成命令消息MC的命令应用数据C_KDAC。
阶段B3之后则是阶段B4，包括使该应用数据域接受鉴别处理，以便由前面所述的命令应用数据域来还原能够根据至少一项任务加以执行的多组操作指令。
图3a指出，该鉴别处理用如下关系标记：
A_K(DAC，C_KDAC)→DAC，C_KDAC
在上述关系中，运算A_K(.)表示该鉴别处理，举例来说，这可以包括根据管理本发明所涉及的协议的操作员在该通用加密与鉴别处理中所使用的管理密钥K来验证该签名的运算以及该相应服务的广播。事实上可以指出，这种运算可以根据随命令消息MC一道发送的安全性属性来执行，这些属性能够识别并从而还原存储在安全性处理器PS的内存中的管理密钥K。
在阶段B4结束时，就如同本说明书前面所述的那样，可获得未处理的命令应用DAC或按照通用加密处理加密的命令应用数据C_KDAC。
如果该命令应用数据是未处理的数据(DAC数据)，阶段B4之后就是一个阶段B5，包括执行能够根据一项任务加以执行的这组操作指令。该执行过程如阶段B5所示，见图3a的左手侧。
另一方面，如果命令应用数据已根据通用加密而被加密(C_KDAC数据)，那么执行阶段B5可以如图3a右手侧所示再被划分为一个第一阶段B5a，包括利用管理密钥K来对加密命令应用数据执行解密，这种运算利用如下关系来标记：
D_K(C_KDAC)→DAC
在上述关系中，D_K(.)表示正确利用管理密钥K的解密运算。阶段B5a可以在阶段B4之前或者与之同时执行。
阶段B5a之后是执行命令应用数据DAC的一个阶段B5b。
现在结合图3b至图3d为在建立回复消息时实现的专用本地安全性协议提供一个更详细的说明。
参考上述的图3b可以指出，在执行了能够根据至少一项任务加以执行的至少一条操作指令之后，在阶段B6中，该专用本地协议包括在安全性处理器PS中由能够根据至少一项任务加以执行的至少一条操作指令的执行来计算该回复应用数据。特别应当理解，如本说明书前面所述，该回复应用数据根据执行了与该命令应用数据的Then条件相应的块之后以及在这个条件虽未被验证、但后接Else条件的非执行块的评价步骤之后所获得的状态数据来计算。此外，该回复应用数据DAR可以包括一个结构化逻辑短语，该短语至少包含应用于本说明书前面所述的专用状态变量的逻辑关系本身。
然后，阶段B6之后是一个阶段B7，包括使回复应用数据DAR接受通过回复消息MR的本地加密与本地鉴别所进行的安全性处理，以便产生已经在本地变得可靠的应用数据。
在阶段B7，上述处理在符号上用如下关系来表示：
T_CL(MR)→C_LMR
在上述关系中，如同实现图3a的阶段B1一样，T_CL(.)表示为获得安全的加密数据C_LMR而由本地加密与本地鉴别所进行的安全性处理运算。
紧接阶段B7之后是一个阶段B8，包括将包含本地安全回复应用数据的本地回复消息从安全性处理器PS发送到译码终端T。
在图3b中，包含已经在本地变得可靠的回复应用数据的本地回复消息被标记为：
LM(C_LMR)。
如果该访问控制模块包括一块利用符合协议ISO 7816的一个本地链接连接到该译码终端的访问控制卡，那么上述本地回复消息就包括被称为R-APDU类型的消息。
在译码终端T中，图3b所示的专用本地保密协议之后是一个阶段B9，包括使已经在本地变得可靠的回复应用数据接受本地解密及本地鉴别验证处理，以便还原构成该回复消息MR的原始回复应用数据。
在图3b中，相应的运算采用如下关系加以表示：
D_CL(C_LMR)→MR
在这个关系中，运算D_CL(.)指定利用本地加密及鉴别密钥CL来执行的本地解密与鉴别验证运算。
针对结合图3b所述的回复消息及回复应用数据DAR而实现的本地安全性协议在该回复应用数据仅仅被发送到译码终端T的情况下极为令人满意。事实上，特别是在阶段B7中实现的(当然也是与图3a的阶段B1中的命令消息MC有关的)本地安全性处理就足以保证在该译码终端与该访问控制模块的安全性处理器之间的本地链接上交换的本地消息的严格保密性。事实上，总能够设想，可以求助强大的密码系统来实现该本地安全性处理，强大的密码系统(譬如可随意使用的掩码等等)能够保证在该本地链接上交换的本地消息的几乎完美的加密，这本地链接正是侵犯专利权者或代码破译者的目标。
此外，非常有利的是，本地安全性协议伴随有为这些命令与回复消息编制下标的处理，以便在能够检测筛选或重放的同时加强整体的安全性与可靠性，从而消除由非授权人员偶然以及/或者无意中重复的消息。
为了这个目的，如图3c所示，对命令消息与回复消息分别标记为jc或ic的一个当前下标值分别与每个命令或回复消息MC、MR相关联，带下标的命令与回复消息则被分别标记为MC_jc与MR_ic。上述下标代表分别分配给每个命令或回复消息的下标j与i的当前值。该当前下标的每个值分别对每个新命令或回复下标递增，这种递增在该译码终端或者在该安全性处理器中本地实现。
该当前值被用来与分别满足上述比较的、该命令或回复消息下标各自的前一个值j或i进行比较。
如果分别对当前命令或回复消息产生对这个比较的一个否定回答，就引起一个出错消息，而且举例来说，可以启动一个相互的译码终端/安全性处理器鉴别处理。
相反，如果上述比较产生一个肯定回答，那么本地安全性处理或协议就可以分别根据当前命令或回复消息继续进行。
举例来说，上述编制下标的过程可以在图3a的安全性处理器的阶段B4之后实现，譬如说在执行阶段B5之前执行。
最后，结合图3d来说明本地安全性协议的一个首选的实施方案，其中该访问控制模块安全性处理器在对由该译码终端以及/或者控制访问模块安全性处理器所接受与处理的所有命令消息的控制中起主导作用。
通常可以表明，安全性处理器PS具有区分命令消息MC的目的地、以便保证在所实现的本地安全性协议权限下分别对命令与回复消息的发送与执行进行完全控制的功能。
为了这个目的，如图3d所示，本地安全性协议可以包括在阶段B4a中使命令应用数据分别在该访问控制模块或译码终端中接受目的地区分测试。举例来说，这种运算包括确定与当前消息相应的命令消息MC或者该消息的一个命令应用数据DAC命令是否要用于译码终端T。
如果对上述测试存在一个否定回答，那么命令消息MC或所说的命令就是被用于安全性处理器PS，而且阶段B4中的鉴别阶段已经有了一次成功的输出，符合图3a的阶段B5的执行就可以根据命令应用数据DAC或者根据加密命令应用数据C_KDAC来进行。
相反，如果对测试B4a存在一个肯定回答，那么当前的命令消息MC或所说的命令就是被用于译码终端T，这个消息被标记为MC*，一个本地安全性阶段B4b被调用，这包括使命令应用数据DAC、C_KDAC或命令消息MC*接受利用本地加密密钥CL进行的本地加密处理。在安全性处理器PS中实现的这个运算就相当图3a的阶段B1中所进行的运算。
上述阶段B4b之后是一个阶段B4c，包括将加密的命令应用数据或加密的命令消息(即数据C_LMC*)发送到译码终端T，而不管这些数据是已经通过利用一个管理密钥K并借助通用加密程序进行了加密还是相反没有经过这种通用加密处理。在前一种情况下，通用加密在发送到译码终端T之前由安全性处理器PS执行。
在阶段B4c中向终端T进行了发送之后，上述加密的命令应用数据就在终端T本身内的阶段B4d中接受解密运算。这种解密运算实际上就相当于结合图3a的阶段B3所描述的运算，但这次是在译码终端T中实现。
就在上述阶段B4d之后是一个阶段B4e，包括在译码终端T中执行未处理的命令应用数据DAC，或者相反，将由该通用加密处理所加密的命令应用数据(该数据被称为C_KDAC)发送到广播中心E或发送到管理这个广播中心E的中心GE。
现在结合图4来说明在与一个令牌持有者或任何其他数值演绎系统相关联的应用中的、先有技术的一个EMM消息与一个ECM消息之间的链接消息的实施例的一个示例，该链接消息被称为一个EPM消息。
参考上述例图，在阶段E₀中，接收机PR通过一个被标记为EMM(CU，IEP)的EMM消息接收一个存款单位CU。接收到上述EMM消息后，译码终端T通过发送将上述消息提交到安全性处理器PS，该安全性处理器将该存款单位加到消息EMM中所提到的电子令牌持有者。可以用示例的方式指出，在电子令牌持有者EP的情况下，该标识号可以是一个数IEP。上述发送操作在阶段E₁中执行。
在上述阶段之后，安全性处理器PS在阶段E₂中所提到的电子令牌拥有者中增加存款单位，该存款运算被标记为：
NCR＝CR+CU
其中CR表示从前的存款值，NCR表示新的存款值。
运算E₀、E₁与E₂根据访问控制管理员的启动来执行，以便给予足够的存款单位来使管理员向分配了上述存款单位的所有用户提供访问。
为了这个目的，阶段E₂之后是一个阶段E₃，通过发送(当然也通过接收机PR对被称为EPM的消息的接收)并根据访问控制管理员的启动来执行，如下面将要说明的那样，该EPM消息被设计得能够保证上述EMM消息与任何随后的ECM消息之间的链接。
具有形式EPM(MIDF，COST)的EPM消息广播一个影片或节目参考号码(譬如说，该号码被标记为MIDF)，该号码将被广播，用户能够在所给的访问提供范围内接受或拒绝该号码。除此之外，上述EPM消息包括一个被称为COST的成本值，相当于所说的影片或节目的购买成本。
在阶段E₃之后，可以设想一个阶段E₄，包括请求用户对如此经由终端T提交的访问提议进行认可。实际上，EPM消息首先被提交到安全性处理器PS，这表明该用户的认可是必须的。
在阶段E₄中缺少任何用户认可的情况下，该访问提议在阶段E₅中被归类为没有跟随。相反，如果该用户在阶段E₄中通报对上述访问提议的认可，那么，终端T就将具有用户认可的EPM消息(即与相应的MIDF和COST域链接的消息)发送到安全性处理器PS。
在阶段E₆之后是安全性处理器PS中的阶段E₇，包括扣除电子令牌拥有者EP的存款，这个运算被标记为：
NNCR＝NCR-COST
于是，电子令牌拥有者就被扣除数值COST，即与所购节目相应的单位数。此外，所购影片或节目的标识或参考号码(MIDF号码)被输入到安全性处理器PS的存储器。前述的阶段E₇之后是一个阶段E₈，在通过传统类型ECM消息购得的影片或节目被广播之后执行。上述ECM消息在阶段E₈中由接收机接收，特别是由终端T接收，当然这些消息伴随有控制字密码CCW，并在阶段E₉中通过发送而由终端T提交给安全性处理器PS。在这两个阶段中用于节目或影片广播的标识号码被标记为DIDF。
然后，安全性处理器PS开始一个验证阶段E₁₀，包括验证该广播影片或节目的标识号码DIDF与由EPM消息为其提供访问的节目或影片的标识号码(即MIDF标识号码)是否一致。
如果对上述验证阶段E₁₀的回答是否定的，那么就调用一个对标识为DIDF的广播影片或节目终止访问的阶段E₁₁。另一方面，如果对上述验证测试阶段E₁₀的回答是肯定的，那么为了还原控制字CW，就在阶段E₁₂中执行对该控制字的密码进行解密的运算，这种运算被标记为：
D_K(CCW)→CW
然后，在阶段E₁₂之后就将包含该服务密钥的控制字CW发送到译码终端T，以便开通对具有标识号码DIDF的广播节目或影片的访问。
最后，本发明涉及任何记录在记录媒体上、能够由一台信息系统计算机执行的软件产品，该计算机利用在一个广播中心与至少一台接收机之间的网络中传输的一个服务密钥来实现加扰消息访问控制的远程管理协议，每台接收机包括至少一个已加密消息译码终端，该终端包括提供一个安全性处理器的一个访问控制模块，这个协议可能对应于若干阶段，譬如前面结合图1a与图1b所描述的阶段。
根据本发明所涉及的软件产品的一个特别值得注意的方面，该软件产品在由一台计算机执行时，能够管理包括将一个命令消息从该广播中心发送到至少一台接收机以及/或者与该接收机相关联的一个安全性处理器的若干阶段。如图1a与1b所示，该命令消息包括形成一个输入模板GE、命令应用数据DAC以及真实性数据RC的数据域。输入模板GE包括应用于命令应用数据DAC的安全性属性。该真实性数据能够根据该安全性属性来鉴别并保证该命令消息的完整性。
它能够管理这样一个步骤，该步骤包括将该译码终端与该安全性处理器之间的操作指令交换提交到一个在图1a与图1b中用B标记的专用本地安全性协议，从而能够提供防止该译码终端/安全性处理器接口处的本地侦听的保护，以便按照安全的方式执行一个构成至少一条操作指令的执行的任务序列。
符合本发明的、在记录媒体中记录并能够由信息系统的一台计算机执行的软件产品也能够像前面结合图3a至图3d演示并描述的那样来管理本地安全性协议的各个阶段。