安全处理器以及用于配置该处理器的性能的记录方法和介质.pdf

摘要
申请专利号：	CN200780031880.7	申请日：	2007.08.29
公开号：	CN101513057A	公开日：	2009.08.19
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效\|\|\|公开
IPC分类号：	H04N7/16; H04N7/167; G06F12/14; H04L12/22	主分类号：	H04N7/16
申请人：	威尔塞斯
发明人：	P·达努瓦; O·格拉内; S·勒埃纳夫
地址：	法国巴黎
优先权：	2006.8.30 FR 0607631
专利代理机构：	北京润平知识产权代理有限公司	代理人：	周建秋;王凤桐
PDF下载：	PDF下载

内容摘要

一种用于解码器的安全处理器(42)，该解码器能接收被加扰的多媒体信号，该处理器包括：至少一个第一可再写锁(FIELDKEY、FIELDPIEMM、FIELDPIEMMC、FIELDPIECM、FIELDFCT)，该第一可再写锁的值可以响应于EMM或ECM消息而在第一预定值和第二预定值之间切换，限制功能可以根据第一锁的值的功能准许以及可替换地禁止安全处理器的仅一个特定操作，该特定操作选自由以下组成的组：使用加密密钥；处理包含在接收到的EMM或ECM消息中的参数；以及执行应用码的基础条件访问功能。

权利要求书

1、  一种用于解码器的安全处理器，该解码器用于接收借助于控制字而被加扰的多媒体信号，该多媒体信号由网络前端广播，所述安全处理器包括包含应用码(64)的非可再写存储器(62)，当微处理器执行所述应用码(64)时能执行用于处理ECM消息(授权控制消息)和EMM消息(授权管理消息)所需的一组操作，从而从所述ECM消息和所述EMM消息中提取用于对被加扰的多媒体信号进行解扰所需的控制字；
其特征在于：
所述安全处理器包括至少一个第一可再写锁(LO_i、LP_i、LC_i、LE_i、LF_i)，该第一可再写锁的值能响应于所述EMM消息或所述ECM消息而在第一预定值和第二预定值之间切换；
所述应用码还包括限制功能，该限制功能能够响应于接收到同一个ECM消息或EMM消息并根据所述第一可再写锁的值的功能来许可以及可替换地禁止来自用于处理所述ECM消息和所述EMM消息所需的一组操作中的所述安全处理器的仅一个特定操作，而允许所述安全处理器执行未被禁止的用于处理所述EMM消息和所述ECM消息所需的其它操作，所述特定操作从由以下组成的组中选择：
使用记录在所述安全处理器的存储器中的加密密钥；
处理包含在接收到的EMM消息或ECM消息中的参数；以及
执行用于所述应用码的基础条件访问功能，每一个用于所述应用码的基础条件访问功能独立于其它的基础条件访问功能而被执行，从而使得不执行一个基础条件访问功能不会阻止所述微处理器执行其它基础条件访问功能中的任何一个。

2、  根据权利要求1所述的处理器，其中：
所述存储器包括与所述加密密钥中的一个加密密钥相关联的至少一个字段FIELDKEY，该字段FIELDKEY包含多个锁，所述多个锁中的每一个对应于各自的基础条件访问功能，以及
所述限制功能能够根据包含在所述字段FIELDKEY中并与所述基础条件访问功能对应的锁的值的功能来许可以及可替换地禁止所述基础条件访问功能使用所述加密密钥。

3、  根据上述权利要求中的任一权利要求所述的处理器，其中：
所述安全处理器包含选自下列列表中的至少一个列表：
与非机密EMM消息相关联的列表FIELDPIEMM，该列表FIELDPIEMM包含多个锁，所述多个锁中的每一个对应于各自的参数Pi，该参数Pi能被包含在所述非机密EMM消息中；
与机密EMM消息(机密授权管理消息)相关联的列表FIELDPIEMMC，该列表FIELDPIEMMC包含多个锁，所述多个锁中的每一个对应于各自的参数Pi，该参数Pi能被包含在所述机密EMM消息中；以及
与所述ECM消息相关联的列表FIELDPIECM，该列表FIELDPIECM包含多个锁，所述多个锁中的每一个对应于各自的参数Pi，该参数Pi能被包含在所述ECM消息中；
所述限制功能能够根据所述锁的值的功能而许可以及可替换地禁止所述安全处理器处理包含在接收到的消息中的参数Pi，所述锁对应于与该消息相关联的列表中的该参数。

4、  根据上述权利要求中的任一权利要求所述的处理器，其中：
所述安全处理器包括与所述基础条件访问功能相关联的列表FIELDFCT，该列表FIELDFCT包含多个锁，所述多个锁中的每一个对应于各自的基础条件访问功能；以及
所述限制功能能够根据所述列表FIELDFCT中的与所述基础条件访问功能对应的锁的值的功能而许可以及可替换地禁止执行所述基础条件访问功能。

5、  根据上述权利要求中的任一权利要求所述的处理器，其中：
所述安全处理器包括至少一个第二可再写锁，该第二可再写锁的值能响应于所述EMM消息或所述ECM消息而在所述第一预定值和所述第二预定值之间切换；
所述限制功能能够根据所述第二可再写锁的值的功能来禁止以下操作：
使用用于切换所述第一可再写锁的值或所述第二可再写锁的值所需的任何加密密钥；
处理用于切换所述第一可再写锁的值或所述第二可再写锁的值的包含在EMM消息中的任何参数；以及
执行用于切换所述第一可再写锁的值或所述第二可再写锁的值的任何基础条件访问功能。

6、  根据上述权利要求中的任一权利要求所述的处理器，其中所述基础条件访问功能不同于用于写入新的访问权的功能和用于写入新的加密密钥的功能。

7、  一种用于解码器的安全处理器的性能的配置方法，该解码器用于接收借助于控制字而被加扰的多媒体信号，该多媒体信号由网络前端广播，该方法包括：
提供至少一个第一可再写锁，该第一可再写锁的值能响应于EMM消息而在第一预定值和第二预定值之间切换；
响应于相同的EMM消息或ECM消息并根据第一可再写锁的值的功能，许可以及可替换地禁止来自用于处理所述ECM消息和所述EMM消息所需的一组操作中的所述安全处理器的仅一个特定操作，而允许所述安全处理器执行未被禁止的用于处理所述ECM消息和所述EMM消息所需的其它操作(110，114，118)，所述特定操作从由以下组成的组中选择：
使用记录在所述安全处理器的存储器中的加密密钥(120)；
处理包含在接收到的EMM消息或ECM消息中的参数(112)；以及
所述安全处理器执行基础条件访问功能(116)，每一个基础条件访问功能独立于其它的基础条件访问功能而被执行，从而使得不执行一个基础条件访问功能不会阻止所述安全处理器执行其它基础条件访问功能中的任何一个。

8、  根据权利要求7所述的方法，其中该方法包括：
提供存储器，该存储器包含与所述加密密钥中的一个加密密钥相关联的至少一个字段FIELDKEY，该字段FIELDKEY包含多个锁，所述多个锁中的每一个对应于各自的基础功能；以及
根据包含在所述字段FIELDKEY中并与所述基础条件访问功能对应的锁的值的功能，来许可以及可替换地禁止所述基础条件访问功能使用与所述字段FIELDKEY相关联的加密密钥。

9、  根据权利要求7或8所述的方法，其中该方法包括：
提供存储器，该存储器包含至少一个列表，该至少一个列表选自以下列表：
与非机密EMM消息相关联的列表FIELDPIEMM，该列表FIELDPIEMM包含多个锁，所述多个锁中的每一个对应于各自的参数Pi，该参数Pi能被包含在所述非机密EMM消息中；
与机密EMM消息(机密授权管理消息)相关联的列表FIELDPIEMMC，该列表FIELDPIEMMC包含多个锁，所述多个锁中的每一个对应于各自的参数Pi，该参数Pi能被包含在所述机密EMM消息中；和
与所述ECM消息相关联的列表FIELDPIECM，该列表FIELDPIECM包含多个锁，所述多个锁中的每一个对应于各自的参数Pi，该参数Pi能被包含在所述ECM消息中；以及
根据与关联于该消息的列表中的该参数对应的锁的值的功能，来许可以及可替换地禁止所述安全处理器处理包含在接收到的消息中的参数Pi。

10、  根据权利要求7-9中的任一权利要求所述的方法，该方法包括：
提供存储器，该存储器包含与所述基础条件访问功能相关联的列表FIELDFCT，该列表FIELDFCT包含多个锁，所述多个锁中的每一个对应于各自的基础条件访问功能；以及
根据列表FIELDFCT中的与所述基础条件访问功能对应的锁的值的功能，来许可以及可替换地禁止执行所述基础条件访问功能。

11、  根据权利要求7-10中的任一权利要求所述的方法，其中该方法包括对每一个锁的值进行初始默认配置，以使得响应于接收到所述网络前端广播的第一EMM消息或第一ECM消息，不禁止特定操作。

12、  根据权利要求7-11中的任一权利要求所述的方法，其中该方法包括：
在同一个EMM消息中接收：
第一参数，用于触发所述第一可再写锁的值的切换从而许可所述安全处理器的特定操作；
第二参数，用于触发该相同的特定操作的执行；和
第三参数，用于触发所述第一可再写锁的值的切换从而禁止所述相同的特定操作；以及
所述安全处理器依次处理所述第一参数、所述第二参数和所述第三参数。

13、  根据权利要求7-12中的任一权利要求所述的方法，其中所述基础条件访问功能不同于用于写入新的访问权的功能和用于写入新的加密密钥的功能。

14、  一种用于记录包含指令的信息的介质，该指令用于当安全处理器的微处理器执行该指令时，执行根据权利要求7-13中的任一权利要求所述的配置方法。

说明书

安全处理器以及用于配置该处理器的性能的记录方法和介质
技术领域
本发明涉及一种安全处理器、用于配置该处理器的性能的方法和记录介质。
背景技术
存在用于解码器的安全处理器，该解码器用于接收借助于控制字而被加扰的多媒体信号。诸如可以插入到解码器的芯片卡、集成到解码器的硬件模块或在解码器中执行的软件模块的这些处理器特别包括非可再写存储器，该存储器包含应用码，当微处理器执行该应用码时，能执行用于处理由操作者的发射机发送的条件访问消息所需的一组操作，从而从该条件访问消息中提取用于对被加扰的多媒体信号进行解扰所需的控制字。
存在多种类型的条件访问消息，例如ECM消息(授权控制消息)或EMM消息(授权管理消息)，还有其它可定义类型。可能有变型：存在内容没有加密的EMM消息，这里称为“非机密EMM消息”，以及内容加密的机密EMM消息，这里称为EMMC消息(机密授权管理消息)。在以下描述和权利要求中，除非有另外指明，否则术语“EMM”表示非机密EMM消息和EMMC消息。
有时期望修改安全处理器的性能。这尤其在黑客已经发现应用码中的安全性缺陷并利用该缺陷骗得对多媒体信号解扰的权限时是需要的。
从这个角度讲，公开号为WO-03 075233的专利申请教授在应用码中形成通路(opening)以许可分出一部分用于称为“补丁”的替代码。例如，微处理器执行“补丁”而不是表现出安全性缺陷的一部分应用码。因此这些“补丁”能够修改安全处理器的性能。
这些“补丁”被记录在可再写非易失性存储器中。因此，可以用一个“补丁”替换另一个“补丁”。由于黑客可以利用这一点来在安全处理器中的可再写非易失性存储器中执行黑客补丁，该黑客补丁例如允许他骗得许可解密控制字，因此这可能存在潜在的危险。
发明内容
本发明的目的是解决上述问题。
因此，本发明的主题是一种安全处理器，其中：
-该安全处理器包括至少一个第一可再写锁，该锁的值可以响应于EMM消息在第一预定值和第二预定值之间切换；
-应用码还包括限制功能，该限制功能能够响应于接收到同一个ECM或EMM消息并根据第一锁的值的功能来许可以及可替换地禁止来自用于处理ECM和EMM消息所需的一组操作中的安全处理器的仅一个特定的操作，而允许该安全处理器执行未被禁止的用于处理EMM和ECM消息所需的其它操作，该特定的操作从以下组成的组中选择：
·使用记录在安全处理器的存储器中的加密密钥；
·处理包含在接收到的EMM或ECM消息中的参数；以及
·执行用于应用码的基础条件访问功能，每一个用于应用码的基础条件访问功能独立于其它的基础条件访问功能而被执行，从而使得不执行基础条件访问功能不会妨碍微处理器执行其它基础条件访问功能中的任何一个。
响应于同一个EMM或ECM消息，可以通过将第一锁的值在该锁的第一值和第二值之间进行切换来修改上述安全处理器的性能。因为修改了该安全处理器的性能，因此并不需要执行在可再写存储器中的部分应用码，从而使该安全处理器更安全。也不需要修改网络前端(network head)广播的ECM或EMM消息。最多需要制定规定以输送包含新参数的EMM消息，响应于该新参数，锁在第一值和第二值之间切换。
还应当注意到该安全处理器具有下列优点中的至少一者：
-禁用加密密钥能够在基础条件访问功能使用特定加密密钥时阻止基础条件访问功能的执行，而在该相同功能使用另一个加密密钥时不阻止该功能的执行，从而增加调节与加密密钥有关的安全处理器的性能的可能性；
-禁止处理EMM或ECM消息的参数可以阻止应该响应于该参数的接收而被触发的基础条件访问功能的执行，而不阻止触发相同基础条件访问功能处理接收到的另一个参数的执行，从而能够增加调节与包含在EMM和ECM消息中的参数有关的安全处理器的性能的可能性；
-禁止基础条件访问功能能够最后或暂时停用表现出安全性缺陷的基础条件访问功能，这可以用于使安全处理器的性能更安全。
该安全处理器的实施方式可以包括以下特性中的一个或多个：
-存储器包括至少一个与加密密钥中的一个相关联的字段FIELDKEY，该字段FIELDKEY包含多个锁，所述多个锁中的每一个对应于各自的基础条件访问功能，且限制功能可以根据锁的值的功能许可或禁止基础条件访问功能使用加密密钥，该锁包含在字段FIELDKEY中并与该基础条件访问功能对应；
-安全处理器包括选自以下列表中的至少一个列表：
·与非机密EMM消息相关联的列表FIELDPIEMM，该列表FIELDPIEMM包含多个锁，所述多个锁中的每一个对应于各自的参数P_i，该参数P_i能被包含在非机密EMM消息中；
·与机密EMM消息(机密授权管理消息)相关联的列表FIELDPIEMMC，该列表FIELDPIEMMC包含多个锁，所述多个锁中的每一个对应于各自的参数P_i，该参数P_i能被包含在机密EMM消息中；以及
·与ECM消息相关联的列表FIELDPIECM，该列表FIELDPIECM包含多个锁，所述多个锁中的每一个对应于各自的参数P_i，该参数P_i能被包含在ECM消息中；以及
限制功能可以根据锁的值的功能许可以及可替换地禁止安全处理器处理包含在接收到的消息中的参数P_i，该锁对应于与该消息相关联的列表中的该参数；
-安全处理器包括与基础条件访问功能相关联的列表FIELDFCT，该列表FIELDFCT包含多个锁，所述多个锁中的每一个对应于各自的基础条件访问功能，且限制功能可以根据列表FIELDFCT中的与该基础条件访问功能对应的锁的值来许可以及可替换地禁止执行该基础条件访问功能；
-安全处理器包括至少一个第二可再写锁，该锁的值可以响应于EMM消息在第一预定值和第二预定值之间切换，限制功能可以根据该第二锁的值的功能许可或可替换地禁止：
·使用用于切换第一锁的值或第二锁的值所需的任何加密密钥；
·处理用于切换第一锁或第二锁的值的EMM消息中包含的任何参数；以及
·执行用于切换第一锁或第二锁的值的任何基础条件访问功能；
-基础条件访问功能不同于写入新的访问权的功能和写入新的加密密钥的功能。
此外，这些实施方式表现以下优点：
-使用字段FIELDKEY能够使安全处理器更安全，因为使用字段FIELDKEY能够使表现出安全性缺陷的某些基础功能不能使用加密密钥，而没有安全性缺陷的其它基础功能仍然能够使用该相同加密密钥；
-使用选自列表FIELDPIEMM、列表FIELDPIEMMC以及列表FIELDPIECM中的至少一者能够通过根据包含参数的消息的功能许可或禁止处理同一个参数来增加调节安全处理器的性能的可能性；此外使用至少列表FIELDPIEMM和列表FIELDPIEMMC能够确保参数为了被处理而位于机密EMM中，该参数在列表FIELDPIEMM中被禁止而在列表FIELDPIEMMC中被许可；
-使用列表FIELDFCT能够通过基础条件访问功能调节安全处理器的基础条件访问功能的性能；
-阻止使用任何密钥或阻止处理任何能够修改第一锁或第二锁的值的任何功能的执行的任何参数能够最后保持关于被第一锁许可或禁止的操作的安全处理器的性能。
本发明的另一个主题是一种用于配置上述安全处理器的方法，其中，该方法包括：
-提供至少一个第一可再写锁，该锁的值能响应于EMM消息在第一预定值和第二预定值之间切换；
-根据第一锁的值的功能，许可以及可替换地禁止来自用于处理ECM和EMM消息所需的一组操作中的安全处理器的仅一个特定操作，而允许安全处理器执行未被禁止的用于处理EMM和ECM消息所需的其它操作，该特定操作从由以下构成的组中选择：
·使用记录在安全处理器的存储器中的加密密钥；
·处理包含在接收到的EMM或ECM消息中的参数；
·安全处理器执行基础条件访问功能，每一个基础条件访问功能独立于其它基础条件访问功能而被执行，从而使得不执行一个基础条件访问功能不会妨碍安全处理器执行其它基础条件访问功能中的任何一个。
该配置方法的实施方式可以包括下列特性中的一个或多个：
-提供存储器，该存储器包含至少一个与加密密钥中的一个相关联的字段FIELDKEY，该字段FIELDKEY包含多个锁，所述多个锁中的每一个对应于各自的基础条件访问功能，且根据锁的值的功能许可以及可替换地禁止基础条件访问功能使用与该字段FIELDKEY相关联的加密密钥，该锁被包含在字段FIELDKEY中并对应于该基础条件访问功能；
-提供存储器，该存储器包含选自以下列表中的至少一个列表：
·与非机密EMM消息相关联的列表FIELDPIEMM，该列表FIELDPIEMM包含多个锁，所述多个锁中的每一个对应于各自的参数P_i，该参数P_i能够被包含在非机密EMM消息中；
·与机密EMM消息(机密授权管理消息)相关联的列表FIELDEMMC，该列表FIELDEMMC包含多个锁，所述多个锁中的每一个对应于各自的参数P_i，该参数P_i能够被包含在机密EMM消息中；以及
·与ECM消息相关联的列表FIELDPIECM，该列表FIELDPIECM包含多个锁，所述多个锁中的每一个对应于各自的参数P_i，该参数P_i能够被包含在ECM消息中；以及
根据锁的值的功能许可以及可替换地禁止安全处理器处理包含在接收到的消息中的参数P_i，该锁对应于与该消息相关联的列表中的该参数；
-提供存储器，该存储器包括与基础条件访问功能相关联的列表FIELDFCT，该列表FIELDFCT包含多个锁，所述多个锁中的每一个对应于各自的基础条件访问功能，且根据在列表FIELDFCT中的锁的值的功能许可以及可替换地禁止执行基础条件访问功能，该锁对应于该基础条件访问功能；
-对每一个锁的值进行初始默认配置，从而响应于接收到被网络前端广播的第一EMM或ECM消息，不禁止特定的操作；
-在同一个EMM消息中接收：
·第一参数，用于触发第一锁的值的切换从而许可安全处理器的特定操作；
·第二参数，用于触发该相同特定操作的执行；以及
·第三参数，用于触发第一锁的值的切换从而禁止该相同特定操作；以及
安全处理器按顺序依次处理第一参数、第二参数、以及第三参数；
-基础条件访问功能不同于写入新的访问权的功能和写入新的加密密钥的功能。
该配置方法的实施方式还表现以下优点：
-对每一个锁的值进行初始配置从而许可用于处理ECM和EMM消息所需的所有操作，增加安全处理器的安全性，因为黑客可能独自修改安全处理器的性能以阻止特定操作；以及
-许可特定操作，然后立即执行该特定操作，之后马上禁止该特定操作，这样能阻止黑客利用该特定操作中的安全性缺陷，因为该特定操作的执行只在非常短的时间间隔被完成。
本发明的另一个主题是一种用于记录信息的介质，该信息包含用于执行上述配置方法的指令，微处理器执行这些指令。
附图说明
通过阅读以下仅以非限制性的示例的方式给出的描述并参考附图可以更好地理解本发明，其中：
-图1是用于传输被加扰的多媒体信号的系统的体系结构的示意图；
-图2和图3是EMM和ECM消息的一帧中的一部分的示意图；
-图4、图5和图6是用于图1的系统中的数据结构的示例；
-图7是用于配置图1的系统的安全处理器的性能的方法的流程图；
-图8是EMM配置消息的一帧中的一部分的示意图。
具体实施方式
在下面的描述中，所述领域技术人员公知的特性和功能没有详细描述。
图1描述一种用于传输被加扰的多媒体信号的系统2。多媒体信号例如是对应于电视频道的视听节目的视听信号。
系统2包括多媒体信号的发射机4，该多媒体信号借助于控制字CW而被加扰，并通过信息传输网络6被传输到多个接收机。发射机4为已知的术语“网络前端”。
为了简化图1，只表示了一个接收机8。
网络6是例如长距离电缆网络或诸如这里示出的RT网络。
这里，多媒体信号由两个不同的操作者7A和7B产生，更精确地，每一个操作者7A、7B产生明码文本多媒体信号，也就是说，没有被加扰，并将它们发送到发射机4，该发射机4用于在通过网络6将该信号广播之前对其进行加扰。
在下面的描述中，操作者7A和7B分别与操作者标识符SOID₁和SOID₂相关联。
发射机4能够发送伴随着被加扰的多媒体信号的ECM消息和EMM消息。例如，被加扰的多媒体信号以及ECM和EMM消息在同一个信息包中被复用。
图2和图3分别表示根据UTE标准C90-007的EMM消息和ECM消息的帧结构的示例。
EMM消息的帧开始于字段ADR，该字段ADR包含特定接收机或一组接收机的标识符ADR。在EMM消息被寻址到系统2的所有接收机的情况下，该字段ADR可以被省略。
之后，EMM消息包含用于配置接收机的参数P_i，使得该接收机能准确地对已订阅的多媒体信号进行解扰。使用TLV(类型长度值)结构对这些参数的每一个进行编码。在这些情况下，通过将三个字段PI_i、LI_i、和V_i并列来构成每个参数P_i。字段PI_i包含参数P_i的标识符PI_i。字段LI_i包含指示字段V_i长度的值。字段V_i包含参数P_i的值。
在图2中也表示了系统地呈现在EMM消息中的参数SOID和参数MAC。参数SOID包含广播该EMM消息的操作者的标识符SOID。
参数MAC(消息认证码)包含能够检验EMM消息的真实性和完整性的代码。
波纹状的竖线表示图2中只表示了EMM消息的结构的一部分。
不同于EMM消息，ECM消息的结构没有包含任何ADR字段，这是因为ECM消息在之前被寻址到系统2的所有接收机。ECM消息也包括根据TLV结构而被编码的多个参数。典型地，ECM消息包括具有与已经关于图2描述的那些功能相同的功能的参数SOID和参数MAC。
接下来，ECM消息包括参数AC和参数CW^*。参数AC包含多媒体信号访问条件。在这里标识符PI_AC在ECM消息中识别该参数AC。参数AC的长度在字段L_AC中确定以及参数AC的值包含在字段V_AC中。当依据多个条件来访问多媒体信号时，ECM消息可以包含多个参数AC。
参数CW^*用于包含控制字的密码CW^*，该控制字用于对多媒体信号进行加扰。发射机4通过借助于操作密钥K_e对控制字CW进行加密来产生密码CW^*。这里，该参数CW^*由标识符PI_CW识别，参数CW^*的长度包含在字段L_CW中以及参数CW^*的值包含在字段V_CW中
如图2、图3，波纹状的竖线表示ECM消息可以包含其它参数。
接收机8能够接收被加扰的多媒体信号以及ECM和EMM消息。出于这个目的，接收机8包括连接到安全处理器42的解码器或终端40。处理器42例如可以是可移动处理器，例如能插入到解码器40的芯片卡。处理器42通过处理器/解码器接口与解码器40通信。典型地，接口由电连接器形成，每一个电连接器具有与解码器或处理器结合的公元件和母元件。解码器40和处理器42之间的接口例如根据ISO标准7816。
这里，解码器40配备有用于接收发射机4广播的各种信号的天线44。该天线44连接到用于对信号进行解复用并可能进行滤波的块46。在该块46的输出端，被加扰的多媒体信号被输送到解扰器48。EMM和ECM消息则被输送到处理器42。
解扰器48能对借助于由处理器42解密的控制字CW而被加扰的多媒体信号进行解扰。
解码器40连接到用于显示被解扰的多媒体信号的装置50，例如，电视机。
处理器42配备有：
-电子微处理器60；
-非可再写且非易失性存储器62，该存储器62包含应用码64，当微处理器60执行该应用码64时，该应用码64能够处理ECM和EMM消息从而允许解密用于对接收到的多媒体信号进行解扰所需的控制字；以及
-非易失性可再写存储器66，例如EEPROM存储器(电可擦除可编程只读存储器)。
代码64表示的应用由一组处理条件访问消息的基础功能特性组成。这些基础条件访问功能的每一个可以独立于另一个而被执行。这样，不执行例如这个基础功能不会妨碍微处理器执行其它基础功能中的任何一个。为了简单，以下的基础条件访问功能将被称为“基础功能”。
出于示例的目的，存储器62包含能够识别哪一个用于处理代码的操作应当被执行以执行基础功能的表70。下面的阵列给出了基础功能的示例。该阵列的第一列和第二列分别包含用于每一个基础功能的基础功能标识符和该基础功能执行的操作的简要描述。
阵列1

IdF1借助密钥K_e来解密密码CW^*IdF2检验ECM消息的MAC参数IdF3解密机密EMM消息IdF4修改即兴购买的所许可的最高上限IdF5写入新的访问权IdF6在借助密钥K_S解密加密密钥K_e的密码后写入或修改加密密钥K_eIdF7配置锁的值IdF8比较接收到的访问条件和包含在安全处理器中的访问权

代码64还包含如在阵列1中所示的功能Idf7的称为“限制功能”的特定基础功能，将关于图1对其进行更详细的描述。
存储器62还包含表72，该表72包括确定一个基础功能或那些基础功能中的哪一个的执行必须被触发以处理被接收到的标识符P_i识别的数据所需的信息。
下面的阵列给出了能包含在EMM或ECM消息中的参数P_i的示例。该阵列的第一列包含参数P_i的标识符，第二列简明定义该参数P_i。
阵列2
PI_CW包含ECM消息中的密码CW^*。该密码必须用密钥K_e来解密以得到控制字CW。 PI_ke包含EMM消息中的密钥K_e。在写入或修改该密钥K_e之前必须由密钥K_s解密该密码。 PI_config 在EMM消息中，包含用于列表FIELDPIEMM、列表FIELDPIEMCC、列表FIELDPIECM、列表FIELDFCT以及字段FIELDKEY的配置数据 PI_SOID包含操作者的标识符SOID，用于识别处理ECM或EMM消息所需的操作者的加密环境。 PI_MAC包含MAC码(消息认证码)控制，能够检验ECM或EMM消息的真实性和完整性。 PI_TdA包含用于写入新的访问权的数据。PI_AC包含与存在于安全处理器中的访问权比较的用于访问多媒体信号的条件。

最后，存储器62还包含表74，该表74能确定给定的操作者的加密密钥被记录的位置。
这里，对于每一个操作者7A、7B，处理器42包含例如下面阵列中列出的密钥。该阵列的第一列包含密钥的名称，第二列包含密钥的标识符以及第三列包含密钥功能的简要描述。
阵列3
K_eK_e-ID该密钥用于解密控制字CW的密码CW^*K_uK_u-ID密钥能够解密机密EMM消息K_sK_r-ID该密钥用于解密密钥K_e的密码K_e^*

记住阵列3中定义的符号，表74包含列在下面阵列中的信息。该阵列的第一列包含密钥的标识符，第二列包含使用该密钥的操作者的标识符以及第三列包含信息，通过该信息处理器可以找到存储器66中密钥的位置。
阵列4
K_e-IDSOID₁@1-K_eK_c-IDSOID₂@2-K_eK_u-IDK_u-IDSOID₁SOID₂@1-K_u@2-K_uK_r-IDK_r-IDSOID₁SOID₂@1-K_r@2-K_r

存储器66包括两个不同的存储区域，这里称为实体E₁和实体E₂，其中存储分别由操作者7A和7B使用的加密密钥。优选地，由操作者7A和7B使用的多媒体信号的访问权只记录在它们各自的实体E₁和E₂中。
应当注意在处理器42中，相同的密钥例如密钥K_e依据该密钥是由操作者7A还是由操作者7B控制并使用而没有被记录在同一个位置。这可以根据该密钥是由操作者中的一个还是另一个使用而赋予该密钥K_e不同的值。
最后，存储器66还包含列表FIELDKEY、列表FIELDPIEMM、列表FIELDPIEMMC、列表FIELDPIECM以及列表FIELDFCT。
列表FIELDKEY将多个锁与每一个加密密钥相关联。更准确地，如图4所示，对于每一个密钥，列表FIELDKEY包含：
-字段KEY-ID，包含如阵列3中定义的密钥标识符；以及
-字段FIELDKEY，包含与涉及密钥的基础功能的标识符一样多的锁LO_i。这里，每一个锁对应于只包含诸如“0”或“1”的一个二进制值的字段。假定该锁包含在存储器66中，所述锁是可再写的并且其值可以从值“0”切换到值“1”，反之亦然。
这里，锁LO_i相继地被放置在相邻并连续的存储区域中，使得锁的位置能够识别该锁对应的基础功能。例如，在第i个位置的锁LO_i唯一地与基础功能的单个标识符IdF_i相关联，反之亦然。
这里，当锁LO_i包含值“0”时，这表示许可对应于该锁LO_i的基础功能使用被KEY-ID识别的密钥。相反，在锁LO_i包含值“1”的情况下，对应于该锁的基础功能不能使用该加密密钥。
图5中所示的FIELDPIEMM列表包含锁LP_i，用于不管许可还是禁止处理器42进行参数P_i的处理，都指示每一个参数P_i能被包含在非机密EMM消息中。例如，列表FIELDPIEMM包含与能被接收的参数P_i一样多的锁LP_i。就像对列表FIELDKEY一样，每一个锁的值可以在值“0”与值“1”之间切换，反之亦然。列表FIELDPIEMM可以通过连续的字段来实现，每一个字段包含一个二进制值且对应于锁LP_i。列表FIELDPIEMM中锁LP_i的位置能确定哪一个是对应于该锁的唯一的参数P_i。应当特别注意的是列表FIELDPIEMM包含对应于参数P_config的锁LP_config，该参数P_config包含配置每一个锁所需的信息。锁LP_i的值“0”表示许可处理对应于该锁的参数P_i。值“1”表示禁止处理该相同的参数P_i。
列表FIELDPIEMMC包含锁LC_i，用于指示哪些是能被包含在EMMC消息(机密授权管理消息)中的参数，该参数必须由处理器42处理。记得除了EMMC消息的部分参数借助预定义的密钥K_u被加密之外，EMMC消息与EMM消息相同。每一个锁LC_i对应于一个参数P_i。列表FIELDPIEMMC还包括对应于参数P_config的锁LC_config。
列表FIELDPIECM包含锁LE_i，用于指示哪些是处理器42许可或禁止处理的EMC消息的参数。每一个锁LE_i对应于一个参数P_i。
例如，除了锁被分别标注成LC_i和LE_i之外，列表FIELDPIEMMC和列表FIELDPIECM的结构与关于图5描述的相同。值“0”和“1”对这些锁LC_i和LE_i的意义与对锁LP_i的意义相同。
列表FIELDFCT包含锁LF_i，能够指示哪些是在处理器42中许可执行或禁止执行的基础功能。例如，图6中表示的该列表FIELDFCT的结构包含与包含在阵列1中的基础功能标识符一样多的锁LF_i，从而每一个锁对应于一个基础功能。记得在这里表述“基础功能”被理解为基础条件访问功能的意思。列表FIELDFCT的结构与关于图5描述的结构相似。因此，锁LF_i的位置能确定哪一个是对应于该锁的唯一标识符IdF_i。这里，当锁LF_i的值为“0”时，许可执行对应的基础功能。当该相同的锁的值为“1”时，禁止执行该对应的基础功能。在这种情况下，既没有执行功能也没有自动执行代替被禁止的基础功能的替代功能。替代功能的代码包含在存储器62中。这里，替代功能被系统地设计成比基础功能更安全，可以可选地替代。例如，替代功能系统地包括比其替代的基础功能还要少的指令。
现在将关于图7的方法来描述系统2的操作。
最初，在定制阶段90期间，通过例如JTAG接口(联合测试动作组)的特定接口或通过与用于将该处理器42连接到解码器40的接口相同的接口来配置处理器42。定制阶段在安全介质中被引导以及特别地，传输到处理器42的各种配置命令不通过WAN网络(广域网)被传输。在阶段90期间，配置单元独立于发射机4而被用于将每一个锁的值典型地初始化为值“0”。
一旦定制阶段完成，处理器42被分配然后被插入到订户的解码器中。然后使用阶段94开始。
在阶段94期间，处理器42以这种方式处理由发射机4传输的EMM和ECM消息：处理器42能够从这些消息中提取用于对接收到的被加扰的多媒体信号进行解扰所需的控制字CW。
在使用阶段的过程中，在步骤96期间，EMM配置消息被发射机4传输到处理器42。该配置消息包含配置参数P_config。图8中显示了该参数P_config的示例结构。该参数P_config根据TLV结构被编码。因此，该参数P_config包含字段，该字段包含标识符PI_config，用于指示其后面的数据是用于列表FIELDKEY、列表FIELDPIEMM、列表FIELDPIEMMC、列表FIELDPIECM以及列表FIELDFCT的配置数据。参数P_config还包含字段L_config和字段V_config。字段L_config指示字段V_config的长度。字段V_config包含用于更新包含在存储器66中各种列表的锁的值所需的所有信息。各种信息是，例如这里使用TLV结构进行自编码。因此，字段V_config被分成五个部分，分别是FIELDKEY、FIELDPIEMM、FIELDPIEMMC、FIELDPIECM以及FIELDFCT。这些部分的每一个分别包含用于切换锁LO_i、LP_i、LC_i、LE_i和LF_i中的每一个的值所需的信息。
在步骤98期间，响应于接收到EMM配置消息，触发用于配置各种锁的值的功能的执行。因此，在步骤98期间，根据包含在字段V_config中的信息的功能来调节每一个锁的值。
之后，如果处理器42接收到非机密EMM消息或EMMC消息，则处理器分别执行步骤100和102以管理访问权限和加密密钥。如果处理器42接收到ECM消息，则处理器42执行提取控制字的步骤104。
在步骤100的开始，在操作110期间，微处理器60执行限制功能以确定是否禁止处理接收到的第一参数P_i。为了实现这个，在步骤110期间，限制功能查阅列表FIELDPIEMM并检验对应于该参数P_i的锁是否具有值“1”。如果不具有值“1”，则在步骤112期间，处理器42识别哪一个基础功能的执行应当被触发以处理参数P_i。为了该目的，使用表72。
之后，在操作114期间，微处理器60再次执行限制功能以确定是否禁止在步骤112期间识别的基础功能的执行。为了该目的，在步骤114期间，列表FIELDFCT被使用。更准确地，在操作114期间，处理器42检验对应于被识别的基础功能的锁的值是否具有值“1”。如果不具有，则许可执行该基础功能且该方法继续到执行该基础功能的操作116。
这里假定在执行该基础功能期间，该基础功能试图访问对应于接收到的标识符SOID_i的实体E_i中的加密密钥。
对于每一次试图访问加密密钥，在操作118期间，微处理器执行限制功能以检验当前执行的基础功能是否被许可使用其试图访问的密钥。为了该目的，在操作118期间，列表FIELDKEY被使用。更准确地，在操作118期间，处理器42检验与该密钥的标识符ID-KEY相关联并对应于该基础功能的锁的值是否等于“1”。如果不等于“1”，则在操作120期间，许可访问该加密密钥，并且该方法返回到基础功能继续执行的操作116。
一旦完全执行操作116，或如果在操作110、114或118中的一个操作期间，被检验的锁的值等于“1”，则该方法继续到立即停止由接收到的参数P_i触发的处理操作的操作122。此外，在执行操作122的情况下，由于被检验的锁中的一个的值等于“1”，因此可以发送错误指示。在该实施方式中，如果被检验的锁的值还是“1”，则不执行替代功能。
在操作122后，该方法返回到操作110以处理包含在相同EMM消息中下一个参数P_i。
步骤110至122对于接收到的EMM消息的所有参数P_i是重复进行的。
例如，通过设定锁LO_i、LP_i和LF_i的值，可以获得安全处理器的以下性能：
-如果锁LP_ke的值等于“1”，则不处理包含新的密钥K_e的密码的参数P_Ke；之后不更新用于解密控制字的密钥。
-如果锁LP_TdA的值等于“1”，则不处理包含用于修改或注册新的访问多媒体信号的授权的数据的参数P_TdA；因此不注册或更新预定。
-对于某些基础功能不许可使用密钥K_s解密密钥K_e的密码，而对于其它的基础功能可以许可使用密钥K_s解密密钥K_e的密码。
-如果锁LF_i的对应的值等于“1”，则禁止修改即兴购买的许可的上限，禁止注册新的访问权或者禁止注册或修改加密密钥。
还应当注意到如果锁LP_config或LF_config的值等于“1”，则用于配置锁的值的基础功能的执行被自身禁止。因此，如果接收到的EMM消息包含参数P_config且锁LP_config或LF_config的值等于“1”，则禁止修改锁的值从而最终保持处理器42的性能。
例如，除了如果许可解密则首先执行借助于密钥K_u的EMMC消息的解密以及使用列表FIELDPIEMMC而不是使用列表FIELDPIEMM之外，步骤102与步骤100相同。
事实上如果处理器42处理非机密EMM消息或EMMC消息，则使用两种不同的列表FIELDPIEMM和列表PIELDPIEMMC能获得处理器42的不同的性能。
在步骤104期间，以与步骤100所描述的方式相似的方式来执行限制功能，除了这些不同之处：处理的消息是ECM消息，从而使用列表FIELDPIECM而不是列表FIELDPIEMM。
因此，通过改变下列锁中的一个或多个锁的值能阻止解密密码CW^*：
-锁LO_CW，与密钥K_e相关联并对应于用于解密控制字的密码的基础功能；
-列表FIELDPIECM中的锁LE_CW，对应于参数CW^*；或
-列表FIELDFCT中的锁LF_CW，对应于用于解密密码CW^*的基础功能。
当已经确定以欺骗性的方式使用处理器42时，这将是很有用的。
在步骤104期间，通过改变以下锁中的一个锁的值还可以阻止将包含在接收到的ECM消息中的特定访问条件与存储在安全处理器中的访问权进行比较，这些锁是：
-列表FIELDPIECM中的锁LE_AC，对应于特定条件的参数AC；或
-列表FIELDFCT中的锁LF_AC，对应于比较访问条件和访问权的基础功能。
这对于禁止接收机8对某些多媒体信号进行解扰是很有用的。
但是，在正常情况下，当阶段104结束时，控制字被解密然后提供给解扰器48，该解扰器48在步骤130期间对接收到的多媒体信号进行解扰。
之后在步骤132期间，解扰后的多媒体信号作为明码文本由屏幕50显示出来。
合理地执行上述方法，包括在同一个EMM消息中输送：
-用于将锁LO_P、LC_P、LE_P或LF_P的值切换到值“0”的第一参数P_config；紧接着
-触发操作的参数，如果第一参数P_config修改的锁的值被切换到“0”，则该操作不能被成功完成；以及紧接着
-第二参数P_config，能以反方向切换第一参数P_config修改的锁的值。
因此，只在非常短的时间间隔单独许可处理器42的特定操作。此外，诸如处理器42的安全处理器一般按参数P_i到达的顺序来处理它们而不允许同时多任务处理多个参数。在这些情况下，上述EMM消息的接收能阻止利用该特定操作中的任何安全性缺陷。具体地，在接收该EMM消息之前，如果锁的值等于“1”则该特定操作不能被执行。之后，当锁的值被切换到“0”时并且如果在修改该锁的值后处理器42马上执行该操作，则不能插入打算利用该操作的安全性缺陷的另一个处理。之后，一执行完该操作，锁的值就再次被切换到“1”从而不再可能触发表现出安全性缺陷的操作的执行。在这些条件下，可以执行表现出安全性缺陷的操作但不会被黑客利用该安全性缺陷。
还可以有多个其它的实施方式。例如，安全处理器42可以插入到根据标准EN 50221的可拆卸的解扰模块。作为一种变型，安全处理器可以是刚性地集成到解码器或可拆卸的解扰模块的硬件模块。因此，该解码器或可拆卸模块与安全处理器共同形成同一个刚性实体。
最后，安全处理器还可以是由解码器或可拆卸模块执行的软件模块。在这种情况中，安全处理器的微处理器与解码器或可拆卸模块执行例如解扰的其它功能所使用的微处理器相同。
作为一种变型，锁还可以以许可或禁止访问这些访问权的方式与存储在安全处理器中的每一个访问权相关联。
在另一种变型中，设定为值“0”的锁LE_i许可(步骤110)相关的参数P_i存在，但必须应用码64固有地许可该参数P_i。上述对锁LP_i、LC_i、LO_i、(步骤118)或LF_i(步骤114)同样成立。例如，在列表FIELDPIEMM、列表FIELDPIEMMC和列表FIELDPIECM具有相同结构的情况下，在FIELDPIEMM或FIELDPIEMMC中指定为用于解密控制字的参数的某些参数P_i在EMM或EMMC消息中被应用本身固有地禁止。在另一个示例中，安全处理器的功能版本可以支持用于注册新的访问权的基础功能，而被设计成在访问一个内容后可丢弃的另一个功能版本不允许该基础功能。