用于识别安全处理器的方法与流程

该方法能够关于用于识别在用于提供受保护的多媒体内容的系统中被非法共享的安全处理器的任何服务来实施。

在用于提供受保护的多媒体内容的系统中，网络头端处理对多媒体内容的保护以及它们向一组终端的传送。至少配备有安全处理器的终端被系统的客户端用来访问内容。

访问受保护的多媒体内容意味着将其加载到存储器中，并且在对其即时接收时或从先前已记录在其上的记录介质中移除其保护，以便对其播放、记录或制作系统提供的任何其它用途。

所提供的内容是视听内容(例如电视节目)、仅音频内容(例如无线电音节目)或者更一般地包含视频和/或音频的任何数字内容，诸如计算应用程序、游戏、幻灯片、图像或任何数据集。

在这些内容中，在下文中将更特别地考虑所谓的时间内容。时间多媒体内容是一种多媒体内容，其播放随着时间的推移，在音频时间内容的情况下使声音连续，或者在视频时间内容的情况下使图像连续，或者在视听时间多媒体内容的情况下使声音和图像在时间上彼此同步。时间多媒体内容还能够包括与声音或图像同步的交互式时间分量。

为了提供这种内容，首先对其编码(即压缩)，使得其传送需要较少的带宽。

为该目的，根据诸如mpeg-2的视频格式编码内容的视频分量。有兴趣的读者能够在国际标准化组织发布的文献iso/iec13818-2：2013以及标题“technologiesdel'information-codagegénériquedesimagesaniméesetdusonassocié-partie2：donnéevidéo”[信息技术-运动图像和相关声音的通用编码-第2部分：视频数据]中找到这种格式的完整介绍。可替选地，许多其它格式，诸如mpeg-4asp、mpeg-4第2部分、mpeg-4avc(或第10部分)、hevc(高效视频编码)或wmv(windows媒体视频)能够被使用并基于相同的原理。

这种编码方案要求数据压缩的一般方法。对于静止图像，它尤其利用图像内部的空间冗余、相邻点之间的相关性以及眼睛对细节的较小敏感度。对于运动图像，它利用了连续图像之间的高时间冗余。对所述时间冗余的利用，使得可以通过例如预测或内插来参考其它图像(这里称为源图像)对内容的某些图像(这里称为推导图像)进行编码，使得它们的解码仅在所述源图像的解码之后才是可能的。在不参考这些源图像的情况下，编码其它图像(这里称为初始图像)，也就是说，在对它们编码时，它们各自包含其解码所需的全部信息，因此它们能够独立于其它图像被完全解码。因此，初始图像是访问内容时的强制性入口点。因此，所得到的编码内容不包括独立于其它图像解码图像中的每个所需的数据，而是由根据mpeg-2术语的“序列”组成。序列执行对至少一个“图像组”(或gop，用于mpeg-2中的图像组)的压缩。图像组是一系列连续的图像，其中，每个图像对于包含在相同系列的连续图像中的至少一个推导图像来说是初始图像和源图像，或者是推导图像，并且使得其解码所需的源图像中的每个属于相同一系列的连续图像，并且不包含任何较小系列的连续图像以及拥有这些相同的属性。因此，图像组是能够被访问的最小内容部分，而不必事先解码该内容的另一部分。序列由“头”和“尾”划界，各自由第一个特定代码标识。头包括表征解码图像的预期属性的参数，诸如特别是水平和垂直大小、比率、频率。标准建议在序列的图像组之间重复头，使得其在编码内容中的连续出现间隔约几秒。

例如，图像组更通常地包括10到12个图像，表示在每秒25个图像的系统中的0.4到0.5秒之间的播放持续时间。

时间多媒体内容能够包括几个视频分量。在这种情况下，如上文所述对这些分量中的每一个进行编码。

此外，根据诸如mpeg-2音频的音频格式对内容的音频分量编码。有兴趣的读者能够在国际标准化组织发布的文献iso/iec13818-3：1998以及标题“technologiesdel’information–codagegénériquedesimagesaniméesetdesinformationssonoresassociées–partie3:son”[信息技术-运动图像和相关声音信息的通用编码-第3部分：声音]中找到这种格式的完整介绍。可替选地，许多其它格式，诸如mpeg-1第3层(更为人熟知为术语mp3)、aac(高级音频编码)、vorbis或wma(windows媒体视频)能够被使用，并基于相同的原理。

用于压缩音频时间内容的这种方案服从上文针对视频时间内容的原理描述的相同原理。因此，所得到的编码内容以类似的方式由“帧”构成。帧是视频中图像组的音频类似物。因此，帧尤其是不必解码该音频内容的另一部分而能够被访问的最小音频内容部分。帧还包含对其解码有用的所有信息。

例如，帧包括384或1152个样本，根据信号的采样频率，每个样本对，表示8到12或24到36毫秒(即通常几十毫秒)的播放持续时间的声音编码。

时间多媒体内容能够包括几个音频分量。在这种情况下，如上文所述对这些分量中的每一个进行编码。

多媒体内容的编码分量(也称作基本数据列)此后被复用，也就是说，特别是被同步，并且然后被组合成单个数据列(也称为多媒体流或流)。

这种内容，特别是当它是诸如版权或类似权限的权限的主题时，由多媒体内容保护系统提供保护，这使得可以确保符合由这些权限产生的内容访问条件。

因此，其通常提供为分成几个连续的内容片段，这些内容片段相对于彼此在时间上排序并且由内容保护系统单独保护。

“片段”是指明文多媒体流的受限的部分，其播放持续时间比完整播放多媒体流的持续时间短。因此，片段包括明文多媒体流的每个视频或音频分量的受限的部分，其播放具有与完整播放多媒体流的持续时间相同且更短的持续时间。这些分量受限的部分在流中被同步以便同时播放。因此，片段包括对明文多媒体流的该受限的分量部分执行编码的视频序列或图像组或者音频帧的时间系列的受限的部分。该受限部分由多个视频序列或图像组或连续音频帧组成。这里，连续的被理解为彼此立即跟随，也就是说在内容的时间进程中，不被其它视频序列或图像组或音频帧分离。通常，片段包括同一流编码视频分量中的多于十个、一百、一千或一万个连续的视频图像组，或者同一流编码视频分量中的多于十倍到一百倍多的连续音频帧。

通常就其保护而言对每个片段进行加密。通常借助于加密密钥，通过对称算法来执行该加密。它应用于被认为是由复用或在复用之前造成的流的片段，该流具有构成该片段的编码内容的分量的受限部分。密钥被称为特定的，因为它仅用于对多媒体内容的整个片段集合中的该片段进行加密。

因此，片段不是以其结构为特征的，而是以用于加密它的密钥为特征的。因此，片段是用同一密钥加密的多个音频帧以及紧接地连续的视频序列。

访问以这种方式保护的时间多媒体内容更确切地表示，当它们被即时接收时连续访问连续的片段，也就是说：

-将多媒体内容的连续片段加载到存储器中，并且然后

-从中移除保护，并且然后

-解码它们，并且然后

-将它们传送到能够播放它们、记录它们，或者通过用于提供受保护的多媒体内容的服务器提供其任何其它用途的多媒体设备。仅在下文中描述对受保护的时间多媒体内容的访问，以便对其进行播放。对于提供受保护的多媒体内容的服务器提供的任何其它用途，情况相同。

“明文”是指多媒体流或片段不再需要被解扰，以便由多媒体设备以人类直接可感知和理解的方式播放。

此外，“多媒体装置”是指能够播放明文多媒体流的任何装置，诸如电视机或多媒体阅读器。

最后，“即时”是指在不等待完整的多媒体内容(也就是说其所有片段被完全接收)的情况下，多媒体内容的片段在接收时被处理。

为了移除对受保护的多媒体内容的加密片段的保护，以便访问该内容，终端必须解密该加密片段。为此，它必须获得该解密所需的密钥。

为了允许这一点，网络头端传送受保护的多媒体内容的加密的片段，该受保护的多媒体内容的加密的片段与包括解密加密片段所需密钥的密码的访问控制消息同步。该密码通常通过利用对称算法对解密加密片段所需的特定密钥加密来获得。

因此，在该系统中，终端与多媒体内容的加密的片段同步地接收访问控制消息，该访问控制消息包括解密该片段所需的解密密钥的密码。以现有技术中已知的方式，先前已经将解密密码所需的密钥(称为操作密钥)提供给已获得播放受保护的多媒体内容的权限的终端。

使用的内容保护系统通常是条件访问系统或cas。因此，在本文档中的下文中使用条件访问系统领域中的术语。有兴趣的读者将例如能够在文档中找到其更完整的介绍：“functionalmodelofaconditionalaccesssystem(条件访问系统的功能模型)”，ebu评论，技术欧洲广播联盟，比利时布鲁塞尔，第266号，1995年12月21日。

因此，多媒体内容片段具有预定的播放持续时间，称为系统的密码周期。笼统地讲，片段本身有时被称作加密周期。用于加密多媒体内容片段的特定密钥被称为控制字或cw。解密加密片段所需的密钥等于控制字，借助于该控制字，片段被加密。在该情境下，对多媒体内容片段的加密和解密也分别称作加扰和解扰。包含控制字的密码的访问控制消息最终是关于对授权控制消息的访问授权或ecm的控制消息。ecm还能够包括保密部分，也就是说一个准备用于传送预定长度的加密数据的保密部分。

为了访问内容以便对其播放，终端与加扰的多媒体内容片段同步的处理接收的ecm。它首先将其传送到其配备有的安全处理器。该安全处理器致力于实施安全功能，诸如特别是对密钥的安全存储以及对访问控制消息的利用，并且特别是对ecm的利用。该安全处理器通常是诸如专用微处理器或芯片卡的硬件组件(也简称为卡)，在下文中分别通过读卡器与终端或终端的软件模块集成或相关联。

如果在系统的客户端合法获取播放内容的权限之后，安全处理器已经适当地从网络头端接收到操作密钥，则安全处理器借助于操作密钥解密控制字的密码，并且然后将控制字返回到终端。终端的解扰器因此能够对加扰的多媒体内容段解扰以获得它作为明文。这因此允许访问多媒体内容片段，并且然后传送到多媒体装置，并由该装置对其播放。

在相反的情况下，或者安全处理器将其诊断返回到抑制利用ecm的终端，并且不特别解密其包含的控制字的密码，或者安全处理器将控制字的错误的值返回到终端，并且对加扰的多媒体内容片段的解扰也是错误的。这禁止了对多媒体内容片段的访问以及多媒体设备作为明文的播放。

系统客户合法获取播放内容的权限通常包括订购或会话购买，这使得可以为提供受保护的多媒体内容的服务以及这些内容的受益者提供报酬。

因此提出了称为盗版服务的服务，其目的是以较低的关税提供对受保护的多媒体内容的访问，特别是在忽视受益人的权利的情况下。例如，已知所谓的卡共享盗版服务。

卡共享服务由卡共享系统呈现，其通常包括由称为卡共享网络的双向通信网络链接到至少一个配备有卡的所谓的共享终端的卡共享服务器。该共享终端已合法获得播放受保护的多媒体内容的权限，作为响应，并且接受到解密控制字的密码所需的操作密钥，以便访问该内容。

卡共享系统提供所谓的请求终端，该请求终端尚未合法地获得播放该内容的权限，作为响应，也没有接收到解密控制字的密码所需的操作密钥以便访问该内容，只能非法访问该内容。

为了从该非法访问中受益，请求终端必须一方面连接到用于提供受保护的多媒体内容的系统，并且另一方面连接到卡共享服务器。从前者，它接收到与ecm同步的内容的片段，该ecm包含为了访问该片段所需的控制字的密码。对后者来说，它传送接收到的ecm。然后，卡共享服务器搜索可用的共享终端，并将ecm传送到终端。搜索可用的共享终端取决于实施共享协议，这使得可以根据该网络的状态和其加载，来管理对卡共享网络中的共享终端和共享卡的访问和访问的优先级。如果共享终端本身可用并且如果它配有同样可用的卡，则此处共享终端称为可用的。然后，找到的可用共享终端将ecm传送到其可用的卡(也称为共享卡)，然后该可用的卡解密控制字的密码。接下来，共享卡将解密的控制字返回到找到的可用共享终端，该可用共享终端将其返回到卡共享服务器，卡共享服务器转而将其返回到请求终端。因此，请求终端能够对片段解扰以获得它作为明文，也就是说访问它，并且然后将其传送到多媒体设备以使其播放它。

可以采取多种行动来打击该类型的盗版服务。例如，威慑交流行动，在于向其利益相关者表明其活动的非法性以及实施这些行为所带来的风险，以及要求他们停止活动。也可能是实施技术对策或司法行动，该技术对策旨在破坏服务动作，该司法行动旨在通过法庭获得对所述利益相关者的定罪。在所有情况下，为了准备这些行动，重要的是能够识别共享卡，也就是说与共享终端、这些终端或它们的所有者相关联的共享卡。

使得可以识别共享卡的方法是已知的。该方法通过以与请求终端相同的方式连接到卡共享服务器的识别装置来实现。

为了识别卡共享系统的共享卡，识别装置计算称为识别ecm的ecm，ecm包括控制字的密码和识别命令。接下来，识别装置将识别ecm传送到卡共享服务器。

然后，卡共享服务器搜索可用的共享终端，并然后将识别ecm传送到终端。找到的可用共享终端转而将识别ecm传送到其可用卡，也称为共享卡。

然后，共享卡利用提供受保护的多媒体内容的系统当前使用的操作密钥解密控制字密码。接下来，可用卡还响应于识别命令并且根据记录在其存储器中的标识符来计算识别数据，该识别数据使得可以计算该识别符。此后，共享卡将识别数据返回到共享终端，共享终端转而将其返回到共享服务器，共享服务器最终将其返回到识别装置。

然后，识别装置根据识别数据确定共享卡的标识符，并且然后将其存储。

这些已知的方法表现出缺点，根据该缺点，它们不能识别在卡共享网络中实施的所有共享卡。与任何客户终端一样访问卡共享系统的识别设备实际上通常不可以访问这些卡的整个集合。相反，通过共享服务器实施的共享协议，其识别ecm甚至通常以循环的方式朝向同一个受限的共享卡集合中的一个或另一个。

根据文献us2013/031576a1和us2009/323949a1也已知现有技术。

本发明的目的在于弥补已知方法的缺点，并且更具体地是增加在卡共享网络中识别的共享卡的数量，同时保持尽可能谨慎。

因此，本发明的主题是一种根据权利要求1的用于识别在提供受保护的多媒体内容的系统中的安全处理器的方法。

在该方法中，第一安全处理器在其被识别后的暂时暂停，使得可以识别第二安全处理器，第二安全处理器比第一安全处理器保持活跃的可能性更大并且可能更快。因此这种方法倾向于使得共享网络中识别的共享安全处理器的数量最大化。

而且，由于第一安全处理器在第二安全处理器被识别之后再次切换到其活跃状态，共享服务器更难以检测到该方法的实施。事实上，很难或者实际上不可能将第一安全处理器的操作的意外停止与所要求保护的方法故意造成的停止区分开。相反，如果第一安全处理器没有再次切换到其活跃状态，那么在实施识别方法期间，将停止运行的共享安全处理器的数目将连续不断的增加。停止运行的共享安全处理器的数量的这种连续不断的增加可以容易地与几个安全处理器的意外停止相区分。因此，共享服务器有可能尽早检测到识别方法的实施，以防止对其它共享安全处理器的识别。

该方法的实施例能够包括用于识别安全处理器的方法的从属权利要求的特征中的一个或更多个。

该方法的这些实施例还展现出以下优点：

依次识别第一组安全处理器中的每个，然后暂停该第一组安全处理器，使得可以在暂停识别之前增加识别出的安全处理器的数量；

在该第一组安全处理器中的每个安全处理器的存储器中记录第一组的标识符，使得可以借助于同一个暂停或恢复命令，来暂停或恢复该第一组安全处理器中的每个安全处理器；

借助于包括控制字的密码的访问控制消息，由网络头端传送命令使得盗版终端很难过滤这些命令。实际上，这些盗版终端中使用的安全处理器需要处理它们以提供对内容的访问。

只有当第一组安全处理器的多个安全处理器满足条件时才执行步骤g)，使得可以根据用于识别安全处理器的时间过程的演变，来自动化和优化该第一组的形成。

仅在自上次针对第一安全处理器执行步骤g)以来新识别的多个安全处理器满足条件时才执行步骤j)，使得可以根据用于识别安全处理器的时间过程的演变，来自动化和优化对第一安全处理器的恢复时刻的确定。

网络头端对第二访问控制消息或其包含的控制字密码的计算使得可以减少识别装置的计算负荷及其成本。

本发明的主题还是一种包括指令的信息记录介质，当这些指令由微处理器执行时，用于实施上文的方法。

本发明的主题还是根据权利要求9的网络头端。

本发明的主题还是根据权利要求10的安全处理器。

本发明的主题最终是根据权利要求11的识别装置。

通过阅读以下仅以非限制性示例的方式给出并参照附图的描述，将更好地理解本发明，其中：

-图1是根据本发明的用于识别共享卡的系统的架构的示意图，

-图2是图1的系统中使用的安全处理器的示意图，以及

-图3是根据本发明的用于识别共享卡的方法的示意图。

在这些图中，相同的参考标记用于指代相同的元件。

在下文中，在该说明书中，没有详细描述对于本领域技术人员公知的特征。

下面的描述在安全处理器是芯片卡的特定情况下给出。然而，在该特殊情况下描述的所有内容都适用于安全处理器的其它可能的实施形式。特别地，这适用于安全处理器以不可移动的电子组件的形式在每个终端中实施或以由终端的微处理器执行的软件模块的形式实施的情况。

图1表示用于识别卡的系统。该系统包括用于提供受保护的多媒体内容的系统1、卡共享系统3和用于识别卡的装置60。

系统1包括多个、通常数千、数万或数十万个终端，并且至多几百万个终端10、20、30，这些终端在机械上彼此独立并且通过网络2链接到网络头端40。

网络2(所谓的用于提供受保护的多媒体内容的网络)是用于分发信息的长距离网络，使得可以在头端40与终端10、20、30之间建立点对多点通信链路。例如，网络2是基于卫星的或基于电缆的广播网络，或者由术语“因特网”更广为人知的全球网络。

头端40能够保护多媒体内容并且通过网络2将其传送到终端10、20、30。为该目的，头端40包括可编程微处理器42和存储器44。微处理器42能够执行记录在存储器44中的指令。通常，这是一种微处理器，诸如intel公司或arm公司的通用微处理器。更一般地说，它是例如任何能够实现linux或windows操作系统的微处理器。存储器44包括执行图3的方法所需的指令。

终端能够访问由头端40通过网络2传送的受保护的多媒体内容，以便播放它。为该目的，至少终端10和30包括芯片卡70。每个卡70能够存储操作密钥，以及处理ecm，并且特别是解密控制字的密码。参照图2更详细地描述卡70的示例性实施例。

此外，至少终端10和20各自还包括解扰器78，也就是说，电子电路能够或者被编程为利用所接收的控制字对多媒体内容进行解扰。

在下文中，从系统1的整个终端集合中，区分三个不同的终端组，即：

-包括合法使用的并称为“授权终端”的终端的第一组，

-包括称为“请求终端”的终端的第二组，以及

-包括称为“共享终端”的终端的第三组。

第一组、第二组和第三组的终端分别各自具有数字参考标记10、20和30。

每个终端10合法地获得播放受保护的多媒体内容的权限，并且作为响应接收访问它所需的操作密钥。操作密钥被包含在该终端10的卡70中。终端10通常是系统1中最多的。

终端20通常与授权终端10相同。终端20未获得播放受保护的多媒体内容的权限。因此它不需要能够存储操作密钥或处理ecm，并且因此可以例如没有任何卡。这里，终端20各自配备有没有访问多媒体内容所需的操作密钥的卡70。另一方面，终端20能够使用控制字来解扰多媒体内容以便播放它。另一方面，与终端10不同，为了抵消所需操作密钥的缺乏，终端20形成了卡共享系统3的一部分，以便能够非法访问受保护的多媒体内容。

终端30形成用于提供受保护的多媒体内容的系统1以及卡共享系统3的一部分。原则上，终端30与终端10相同。以与终端10相同的方式，它合法地获得播放受保护的多媒体内容的权限，并且作为响应接收访问它所需的操作密钥。操作密钥被包含在该终端30的卡70中。然而，卡共享系统不要求这个终端30本身实际访问内容以便播放它。因此，它可以例如没有任何能够解扰多媒体内容的解扰器。

卡共享系统3包括终端20、30以及通过网络4链接到终端20、30中的每个终端的至少一个卡共享服务器50。为了简化图1，其中表示了仅一个服务器50以及直接链接到该服务器的仅终端20、30。这些终端30在数量上通常至多是终端20的十分之一，并且小于十万。它们可以是数十、数百或者通常数千或数万。

称为卡共享网络的网络4是用于分发信息的长距离网络，使得可以在服务器50与终端20、30中的每个终端之间建立点对点通信链路。例如，网络4是由术语“因特网”更广为人知的全球网络。

装置60一方面通过建立在网络6中的点对点链路66链接到头端40，并且另一方面通过建立在共享网络4中的点对点链路链接到服务器50。称为识别网络的网络6是本地或长距离、私人或公共的任何通信网络，使得可以建立这样的链路。装置60包括可编程微处理器62和存储器64。微处理器62能够执行记录在存储器64中的指令。存储器64包括执行图3的方法所需的指令。

图2更详细的表示了卡70。后者能够插入到终端中，并且可选地由用户从该终端移除。它包括可编程电子微处理器72和存储器74。微处理器72能够执行记录在存储器74中的指令。存储器74包括执行图3的方法所需的指令。在某些情况下，存储器74还能够包含由终端合法或非法获取的操作密钥。存储器74还包括卡70的标识符，使得可以将其与系统1中使用的所有其它卡70区分开。

这里，对于卡70和头端40，仅详细描述了相对于传统芯片卡和传统网络头端的差异。关于传统芯片卡、传统网络头端、卡共享服务器或者识别装置的信息，读者也可以参考该专利申请的介绍中描述的现有技术。

现在将参考图2的方法来描述图1的系统的操作。

方法从步骤100开始，在该步骤100期间，头端40在网络2的终端10、20、30建立的点对多点链路上传送与ecm同步的受保护的多媒体内容(在下文中表示为ecm1)。例如，受保护的多媒体内容与消息ecm1复用。消息ecm1包括由任何终端访问多媒体内容的片段所需的控制字的密码。

在该传送之后，终端10、20、30接收与消息ecm1同步的受保护的多媒体内容的片段。

此后，在步骤101期间，每个授权终端10处理消息ecm1以便访问受保护的多媒体内容的片段。为该目的，该终端10将受保护的多媒体内容和消息ecm1解复用，然后将消息ecm1传送到插入到该终端中的卡70。卡70从消息ecm1中提取控制字的密码，用存储在存储器74中的操作密钥解密该密码，以获得解密的控制字。此后，卡70将如此解密的控制字传送到该终端10的解扰器78。接下来，终端10的解扰器78用接收到的解密的控制字解扰受保护的多媒体内容的片段。此后，该解扰的片段由连接到终端10的多媒体读取器播放。对于由头端40通过网络2传送的多媒体内容的每个加扰片段，重复该步骤101。

并行地，在步骤102期间，每个请求终端20对受保护的多媒体内容和消息ecm1解复用。然而，与终端10不同，终端20不使用其卡70来解密包含在消息ecm1中的控制字的密码以访问受保护的多媒体内容的片段。

相反，在步骤102期间，请求终端20在共享网络4中建立的点对点链路上向服务器50传送消息ecm1。

在步骤120期间，响应于收到的消息ecm1，服务器50实施共享协议以搜索可用共享终端30。找到的共享终端30配备有至少一个可用的卡70，也被称为共享卡。服务器50将消息ecm1传送到找到的共享终端30。找到的共享终端30自身将消息ecm1传送到其共享卡70。共享卡70解密包含在消息ecm1中的控制字的密码，以获得解密的控制字。

接下来，在步骤122期间，共享卡70确定消息ecm1是否包括识别命令。

这里，消息ecm1不包含识别命令。因此，在完成步骤122时，方法经由步骤124继续。在步骤124期间，共享卡70将解密的控制字返回到共享终端30，共享终端30将其返回到服务器50，服务器50转而将其返回到请求终端20，请求终端20传送包含该控制字的密码的消息ecm1。

在步骤125期间，终端20接收解密的控制字并将其传送到其解扰器78。然后，其解扰器78利用由终端30解密的该控制字对受保护的多媒体内容的对应片段进行解扰。此后，方法返回到步骤100，并且针对多媒体内容的后续密码周期，重复步骤102至125。因此，请求终端20能够访问受保护的多媒体内容，而无需获取其权限。

与步骤100至102并行地，执行步骤110和112。

在步骤110期间，识别装置60一方面借助于链路66连接到头端40，并且另一方面借助于共享网络4中建立的点对点链路连接到服务器50。

此后，在步骤112期间，识别装置60计算识别ecm，在下文中表示为ecm2。消息ecm2是与由头端40传统计算的ecm的消息具有相同结构的消息。消息ecm2特别包括控制字的密码。然而，其密码被包含在消息ecm2中的控制字未被头端40用于加扰受保护的多媒体内容的片段。例如，正如由头端40一样，通过产生随机事件，并通过由头端40当前使用中的操作密钥加密该随机事件，来分别计算该控制字和其密码。与由头端40计算的ecm不同，消息ecm2还包括识别命令。识别命令的插入未区分消息ecm2的结构与由头端40计算的ecm的结构。例如，它包括在消息的保密部分中设置预定标志。然后，消息ecm2不能通过分析其结构与由头端40计算的ecm(如同消息ecm1)区别开。因此，它不能被终端20、30或服务器50过滤，以防止由终端30之一的共享芯片卡的对其进行处理。

像请求终端20那样连接到共享网络4，此后装置60将消息ecm2传送到服务器50。然后，服务器50以针对消息ecm1描述的相同的方式处理消息ecm2，具体来说是执行步骤120和122。

然而，在步骤122期间，共享卡70在消息ecm2中检测到识别命令的存在，并且因此进行步骤126而不是进行步骤124。

在步骤126期间，共享卡70根据记录在其存储器74中的其标识符来计算识别数据，该识别数据使得可以确定该标识符。例如，共享卡70将其标识符以及其在步骤120期间获得的解密的控制字组合。识别数据的结构与解密的控制字的结构相同。因此，举例而言，该组合是利用所获得的解密控制字对标识符加密的操作。更特别地，这里，该加密操作是逻辑分离操作，也被称为“异或”或xor。因此，在本实施例中，通过执行共享卡70的标识符和解密的控制字之间的“异或”来获得识别数据。接下来，针对解密的控制字，共享卡70以参照步骤124描述的相同的方式，将识别数据返回到共享终端30。由于识别数据的结构与解密的控制字的结构相同，所以终端30和服务器50不能区分这两者。因此，他们以与解密的控制字相同的方式处理识别数据。因此，终端30将其返回到服务器50，服务器50转而将其返回到装置60。

此后，在步骤128期间，装置60根据识别数据计算共享卡70的标识符，并且然后将其存储在存储器64中。为该目的，借助于由系统1当前使用的操作密钥，它首先通过对在步骤112期间插入到消息ecm2中的密码解密，来获得解密的控制字。接下来，装置60将识别数据与如此解密的控制字组合，以便获得共享卡70的标识符。这里，该组合是利用解密的控制字对标识数据解密的操作。更特别地，装置60在由服务器50返回的识别数据和解密的控制字之间执行“异或”。这使得它能够获得共享卡70的标识符。因此，步骤128终止用于识别共享卡70的方法。

此后，重复步骤112至128，以便识别卡共享系统3中的其它共享卡。事实上，如果几个共享终端30在系统3中是可用的，则在步骤120期间，服务器50可以找到这些终端30中的每一个。因此，在识别第一共享卡之后，在随后执行步骤120期间，可以识别第二共享卡。因此，重复步骤112至128使得可以连续识别卡共享系统3中的几个共享卡。

此外，在共享系统3和加载网络4的几乎稳定的状态下，在步骤120期间，找到的可用共享终端30几乎总是相同的。因此，在这种几乎稳定的状态下，在步骤120、122、124和126期间使用的共享卡70几乎保持相同，并且以循环方式分配以处理由终端20和设备60传送的ecm。因此，在这种几乎稳定的状态下，识别ecm倾向于以循环的方式传送到有限组的共享终端30，并因此传送到有限数量的共享卡70。因此，如果完成步骤128，该方法系统地直接返回到步骤112，则仅识别受限的一组共享卡70。

更确切地说，在步骤112至128的这些迭代开始时，所识别的新共享卡70的数量迅速增加，并且因此识别方法是有效的。接下来，与步骤112至128的重复一致，消息ecm2越来越频繁地被服务器50引导到已经被识别的共享卡70。因此，随着时间流逝，每单位时间t识别的新共享卡70的数量减少。换句话说，如果不做任何事情，识别方法的效率会随着时间的推移而降低。识别方法的效率的这种降低表现为识别新共享卡70所需的时间和精力(通常是提交到服务器50的识别ecm的数量)的增加。

为了弥补该缺点，在这里描述的方法中，步骤128之后是步骤130。在步骤130期间，装置60确定识别方法是否仍然有效。为该目的，装置60构建针对识别方法的效率指标。当该指标的值满足表征识别方法的效率下降的一个或更多个预定条件时，装置60执行步骤131。在相反的情况下，识别方法的效率被认为仍然是令人满意的，并且因此，通过直接执行步骤112以及由此的112至130的新实施，在不影响共享系统3的状态的情况下，装置60继续该方法。

例如，效率指标在此是在时段ts的过程中新识别的共享卡70的数量nsc，该时段ts是在当前时刻终止的预定持续时间的滑动窗口。触发步骤131的执行的条件在这里是以下条件(1)：nsc≤snsc，其中snsc是预定阈值。

如果不满足条件(1)，则因此装置60直接触发步骤112的新实施而不经过步骤131。

如果满足条件(1)，则装置60执行步骤131的实施。

在步骤131期间，装置60测试识别方法的状态的标记的值。该标记被记录在其存储器64中。根据该标记的值，装置60执行步骤132，并且可选地执行步骤134。在这些步骤132、134期间，装置60作用于共享系统3的状态，以便引起识别方法的效率上升。例如，在这里，如果一组先前识别的共享卡被暂停，则标记取值“真”。在相反的情况下，标记取值“假”。如果标记的值等于“假”，则装置60执行步骤132。在相反的情况下，它执行步骤134。

在步骤132期间，装置60创建包含新识别的共享卡70的标识符的组gi。新识别的共享卡是自从步骤134的最后一次实施以来在步骤112至128的连续迭代期间被识别的那些卡，或者如果步骤134还没有被实施，是自从激活该方法以来在步骤112至128的连续迭代期间被识别的那些卡。此后，根据来自装置60的请求，头端40将组构建命令传送到其标识符属于组gi的卡70中的每一个。该命令包括组gi的标识符。组gi的该标识符使得可以将步骤132的该执行期间构造的组gi与在该步骤132的先前执行期间构建的可能组区分开。作为响应，属于组gi的卡70中的每个将组gi的该标识符存储在其存储器74中。

组构建命令通过网络2传送到终端30。优选地，组构建命令在ecm消息中传送。通常，组构建命令被插入到ecm的预定长度的保密部分中。因此，特别是通过分析ecm消息的结构，终端20、30和服务器50不能检测到该命令的存在。因此这些ecm消息不能被过滤，并然后被共享系统3忽略。则ecm消息还包括必须将标识符gi记录在其存储器74中的卡70的标识符。由于共享终端30需要处理ecm以提供对内容的访问，所以ecm是唯一不能被过滤的消息，因此它们使得可以最好地确保组构建命令的传送。

接收ecm的终端30的每个共享卡70验证该ecm是否包括与其存储器74中记录的其卡标识符相对应的卡标识符。如果否，卡70如前所述执行步骤120和122。相反，如果卡70检测到所接收的ecm消息包括与其存储器74中记录的卡标识符相对应的卡标识符，则除了执行步骤120和122之外，卡还在其存储器74中记录包含在该ecm中的组gi的标识符。

根据系统1的密码周期、ecm的保密片段的长度和新识别的卡70的数量，组的构建可能需要几个组构建命令、由此的几个ecm以及由此的几个密码周期。

一旦标识符gi已经被记录在其标识符属于构建的组gi的卡70中的每个卡的存储器74中，在步骤136期间，根据来自装置60的请求，在时刻t1，头端40将暂停命令传送到卡70中的每个。该所谓的组命令包括标识符gi。此外，该命令没有共享卡70的单独的标识符。它由头端40通过网络2传送到整个组的卡70。

优选地，如以上针对组构建命令所描述的，组暂停命令被插入到ecm的保密片段中。

接收ecm的终端30的每个共享卡70验证该ecm是否包括与记录在其存储器74中的组标识符相对应的组标识符。因此，在这里，单个ecm在所有情况下都足以使自己适应属于同一组gi的整个组的卡70。如果卡70的存储器74不包括组gi的标识符，则其执行如前所述的步骤120和122。相反，如果卡70的存储器74包括组gi的标识符，则它从活跃状态切换到非活跃状态：

—在活跃状态中，响应于收到的ecm，它对包含在ecm中的控制字的密码解密，以便获得解密的控制字，并且然后将解密的控制字返回到共享终端30，

—在非活跃状态中，共享卡70是不可用的并且不向共享终端30返回针对收到的没有恢复命令的ecm的任何响应。

换句话说，响应于收到的暂停命令，属于组gi的卡70在步骤120中抑制它们的贡献并且执行步骤122。

最后，在步骤136期间，装置60重新初始化用于识别方法的效率指示符，并且分配值“真”给状态标记以指示卡组g1当前被暂停。在步骤136之后，装置60触发步骤112的新实施，并且除此之外，触发新的迭代系列的步骤112至128。

卡的暂停致使其不可用，这使得可以防止相同的卡被用于处理以下识别ecm，并由此被再次识别。因此，从时刻t1，系统3使用不属于暂停的组gi的其它卡70来处理ecm。因此，从该时刻t1，下面的步骤112至128的迭代引起装置60对这些其它卡的识别，比暂停的组尚未被暂停的情况更可能且更迅速。该暂停导致识别方法的效率局部提高，并且使得可以最大化由该方法识别的共享卡的数量。

在步骤134期间，根据来自装置60的请求，头端40向共享卡70传送恢复命令。作为响应，共享卡70从非活跃状态切换到活跃状态。

在步骤134期间，在时刻t1之后的时刻t2，

根据来自装置60的请求，头端40将恢复命令传送到组gi的共享卡70中的每个。该所谓的组命令包括组gi的标识符。它没有针对组gi的卡70中的每个卡的任何单独的标识符。它由头端40通过提供网络2传送到整个组的卡70。

优选地，如上文关于组暂停命令所描述的，在ecm的保密部分中传送组恢复命令。在这里，就像暂停命令一样，在所有情况下，单个ecm满足该传送。

作为响应，已经将组gi的标识符存储在其存储器74中的每个共享卡70从非活跃状态切换到活跃状态。

最后，在步骤134期间，装置60重新初始化效率指标并将值“假”分配给记录在其存储器64中的状态标记。在步骤134之后，装置60触发步骤112的新实施，并且除此之外，触发新的迭代系列的步骤112至128。

暂停的卡的恢复使得服务器50更难以检测方法的实施。此外，暂停的卡的恢复再次中断系统3的操作。因此，在时刻t2之后，装置60能够快速识别迄今尚未识别的新共享卡70。

本发明的许多其它实施例是可能的。例如，使用的内容保护系统是数字版权管理(或drm)系统。然后使用数字版权管理系统领域中的术语。有兴趣的读者将例如能够在以下文档中找到其更完整的介绍：

-涉及drm系统的总体架构：drm架构草案2.0版，oma-drm-arch-v2_0-20040518-d，开放移动联盟，2004年5月18日，

-更具体地涉及许可证：drm说明书草案2.1版，oma-ts-drm-drm-v2_1-20060523-d，开放移动联盟，2006年5月23日。

然后将用于加密多媒体内容片段的特定密钥称为内容密钥。对于解密加密的片段所需的密钥相当于借助于其加密片段的内容密钥。包括内容密钥的密码的访问控制消息最终是许可证。

在另一个实施例中，内容由系统提供，由任何其它类型的内容保护系统保护，例如不执行访问权限管理的更传统的数据保护系统。例如，所要求保护的方法应用于提供转发解密密钥所需的消息。

在另一个实施例中，终端30未合法地获得播放受保护的多媒体内容的权限。在这种情况下，它能够经由共享网络4，例如从共享系统3接收ecm，并且由此接收访问ecm所需的操作密钥。

终端30能够合并到服务器50中。在这种情况下，服务器50通常包含几个共享芯片卡。

装置60也能够合并在头端40内。在这种情况下，能够省略网络6和链路66。

作为变型，在步骤112期间，装置60向头端40传送请求，响应于该请求，头端40计算消息ecm2或其包括的控制字密码，并然后将其返回到装置60。

在另一个变型中，装置60接收ecm中头端40传送的控制字的密码。在这种情况下，在步骤112期间，合并在消息ecm2中的控制字的密码能够是用于对由头端40广播的多媒体内容加扰的控制字的真实密码。

在步骤112期间，识别数据不一定使用控制字来构建。例如，由共享卡70返回的识别数据仅根据该卡的标识符来构造。在这种情况下，在步骤128期间，装置60不需要使用当前控制字或当前操作密钥来解密识别数据，以便获得共享卡的标识符。

其它效率指标是可能的。例如，效率指标能够相当于等于nsc/ts的识别的速率tsc。然后，在步骤130期间测试的条件例如如下：tsc<stsc，其中，stsc是预定阈值。在另一个示例中，效率指标是自步骤132或步骤134的最后一次实施起识别的共享卡70的总数n。则在步骤130期间测试的条件是n≥sn，其中，sn是预定阈值。在另一个示例中，效率指标是总体速率txc＝n/t，其中，t是自步骤132或步骤134的最后一次实施起经过的总持续时间。然后，在步骤130期间，测试的条件例如如下：tsc<stxc，其中，stxc是预定阈值。持续时间ts和t也能够分别由步骤112至128的迭代的预定数量nsi和ni来代替，以计算指示符nsc和tsc。

也可以同时使用几个效率指标，诸如指标nsc和tsc。在这种情况下，触发执行步骤132的条件能够是复杂条件。通常，复杂条件是由逻辑运算符“与”、“或”、“异或”互连的几个子条件的组合。

在另一个实施例中，针对步骤131期间使用的识别方法的效率指标的选择取决于状态标记的值。因此，暂停共享卡的条件和恢复这些共享卡的条件不一定相同。

在步骤132期间，作为变型，借助于访问授权管理消息或emm来传送组构建命令。它们也能够以任何其它的预先存在的或特定的类型的消息来传送。

在另一个实施例中，在步骤132期间不执行新识别的卡70的组的构建，而是与自步骤134的最后一次实施的步骤112至128的连续迭代一起进行，或者如果步骤134尚未实施，则从该方法激活方法以来与步骤112至128的连续迭代一起进行。例如，根据来自装置60的请求，一旦在步骤112至128的迭代期间已经识别共享卡70，头端40向共享卡70传送卡组构建建立命令。该命令包括由装置60分配到正在构建中的所述组的组标识符。在另一示例中，在步骤112至128的连续迭代期间，一旦新识别的共享卡的数量超过预定阈值，则根据来自装置60的请求，头端40向这些共享卡70传送组构建命令与利用这些卡形成组。例如，选择预定阈值为等于可能插入到可包含在单个ecm中的组构建命令中的卡70的标识符的最大数量。因此，能够通过传送单个ecm系统地构建组。用于构建组的命令也能够在预定的时间间隔过去之后系统地分派。

在另一个实施例中，在执行步骤136之前，能够执行步骤132几次以构建几个组。在这种情况下，卡可以可选地属于这些构建的组中的几个，或者相反，属于这些构建的组中的单个。此后，在接下来的步骤136的执行期间，暂停构建的组中的单个或仅一些或者所有构建的组。以类似的方式，在步骤134期间，恢复暂停的卡的组中的单个或仅一些或者所有暂停的卡的组。在另一个实施例中，步骤132和然后136以及步骤134能够并行地并且例如同时的实施。在这种情况下，在步骤132、136和134的相同的同时执行期间，暂停至少一个组的卡并且恢复至少一个不同组的卡。

在另一个实施例中，省略对新识别的组的卡70的构建。在这种情况下，在步骤132期间，头端40将单独的暂停命令传送到新识别的卡70中的每个。优选地，将该单独的暂停命令传送到如上面已经描述的用于组构建命令的ecm的保密部分中的共享卡70。在这种情况下，ecm包括卡的标识符而不是待暂停组的卡的标识符。另一方面，在这里，在所有情况下，ecm满足该传送。然而，也能够借助于emm或任何其它预先存在的或特定的类型的消息来传送该卡暂停命令。以相同的方式，在步骤134期间，头端40将单独的卡恢复命令传送到新识别的卡70中的每个。优选地，将单独的卡恢复命令传送到ecm的保密部分中的共享卡70。例如，除了ecm包括代替组标识符的卡的标识符之外，单独的恢复命令与先前描述的恢复命令相同。因此，在所有情况下，单个ecm满足该传送。然而，也能够借助于emm或任何其它预先存在的或特定的类型的消息来传送该卡暂停命令。

在步骤134或136期间，作为变型，借助于emm或任何其它预先存在的或特定的类型的消息来传送组暂停或恢复命令。