一个接收终端与多个访问控制卡相匹配的方法

专利名称：：一个接收终端与多个访问控制卡相匹配的方法
技术领域：
：本发明涉及在一个数据和/或服务提供网络中所播送的数字数据的安全问题，以及用于接收这些数字数据的接收装置的安全问题，并特别涉及一个数字数据接收装置与多个各具单用识别符的外部安全模块相匹配的方法。
背景技术：
：越来越多的运营商提供可以通过配备安全处理器的终端设备进行访问的数据和在线服务。一般来讲，所提供的数据和服务在播送时，都使用密钥加密，接收时，用户用事先提供的相同密钥进行解密。在以发送数据时加密、接收时解密为基础的传统访问控制技术之外，运营商提出以接收终端与安全处理器相匹配为基础的技术，从而防止用户使用偷来的终端或盗版的安全处理器如伪造的智能卡，用以访问所提供的数据和服务。文件WO99/57901描述了接收器与安全模块之间的一种匹配机制，这种机制的基础一方面是通过存储在接收器或安全模块中的单用密匙，对接收器和安全模块之间所交换信息进行的加密和解密，另一方面是安全模块中存在一个接收器的号码。这种技术有一个缺点，就是接收器和与之相匹配的安全模块之间的联系是事先建立的，使运营商无法有效管理其全部接收装置，从而阻止其设备错误地用于欺诈目的。本发明的匹配方法有一个目的，就是通过配置与能动地控制接收装置和与之合作的外部安全模块之间的匹配，使每个运营商得以限制其全部接收装置的使用。
发明内容本发明推荐一种将数字数据接收装置与多个各具单用识别符的外部安全模块相匹配的方法。本发明的方法包含以下各步骤-将一个外部安全模块连接到接收装置，-在运行中将所连接的安全模块的单用识别符存储到接收装置中。所述方法包含一个检查过程，即以后每次有外部安全模块连接到接收装置时，都要核实该模块的识别符是否已存储在接收装置中。为了做到这一点，本发明的方法还包含一个步骤向接收装置发送一个信号，其中至少有一条信息处理外部安全模块识别符的存储操作，和/或还有一条信息处理检查过程。所述信号至少包含一条下列指令-批准存储，-禁止存储，-清除原已存储在接收装置中的识别符，-启动或停止检查过程。在所述方法第一个变化实施方案中，信号包含了最大数量的被批准存储的识别符。在所述方法第二个变化实施方案中，该信号包含一条重新配置的命令，根据这一命令，一份更新的与所述接收装置相匹配的外部安全模块的识别符清单被发送到接收装置。所述清单可以直接发送到接收装置，也可以通过与该接收装置相连的外部安全模块发送。如果所连接的外部安全模块的识别符事先没有存储在接收装置中，最好在所述检查过程中加进一项旨在干扰数据处理的程序。以不加密方式发送数据时，或者通过加密的控制字以加扰形式发送数据时，都可以应用本发明的方法。在后一种情况，每个外部安全模块都具有对所述数据的访问权，并具备所述控制字的解密算法，以便对数据进行解扰。控制信号放在专门发给与接收装置相连的外部安全模块的EMM信息(授权管理信息)中发出，或者放在专门发给该接收装置的EMM信息中发出，就一个特定的接收装置而言，与该接收装置相匹配的外部安全模块识别符的更新清单也可以放在专门发给与该接收装置相连的安全模块的EMM信息中发出。另一方面，所述信号可以在一项专用流程中发送给一个接收装置组，而外部模块识别符的更新清单也可以在专用流程中发往每个发送装置。在后一种情况，所述专用流程可以通过一个在每个接收装置中都能执行的专用软件，根据与接收装置相连的外部安全模块识别符进行处理。在另一变化方案中，信号发给一个接收装置组，信号可以放在专门发给与所述接收装置相连的一组外部模块的EMM信息中发出，或者放在专门发给该接收装置组的EMM信号中发出，就一个特定的接收装置组而言，外部模块识别符的更新清单可以放在专门发给与所述接收装置相连的外部安全模块组的EMM信息中发出。此外就一个特定的接收装置组而言，控制信号和更新清单也可以在专用流程中发给接收装置组。在这种情况下，所述专用流程可以通过一个在每个接收装置中都能执行的专用软件，根据与接收装置相连的外部安全模块识别符进行处理。在信号和更新清单通过EMM信息发出后，所述方法还包含一项机制，可以阻止发往同一个安全模块的EMM信息在不同的两个接收装置中使用。专门发给一个安全模块或一个接收装置的EMM信息的格式如下EMM-U_section(){table_id=0x888bitssection_syntax_indicator=01bitDVB_reserved1bitISO_reserved2bitsEMM-U_section_length12bitsunique_adress_field40bitsfor(i=0;i<N;i++){EMM_data_byte8bits}}专门发给全部外部安全模块或全部接收装置的EMM信息的格式如下EMM-G_section(){table_id=0x8Aor0x8B8bitssection_syntax_indicator=01bitDVB_reserved1bitISO_reserved2bitsEMM-G_section_length12bitsfor(i=0;i<N;i++){EMM_data_byte8bits}}专门发给外部安全模块小组或接收装置小组的EMM信息的格式如下EMM-S_section(){table_id=0x8E8bitssection_syntax_indicator=01bitDVB_reserved1bitISO_reserved2bitsEMM-S_section_length12bitsshared_address_field24bitsreserved6bitsdata_format1bitADF_scrambling_flag1bitfor(i=0;i<N;i++){EMM_data_byte8bits}}根据一个补充特征，安全模块识别符列在一份加密的清单中。可以使用所述方法的第一种体系结构中，接收装置包含一个解码器，而安全模块则包含一个访问控制卡，卡中存储了关于用户有权访问运营商提供的数字数据的信息。在此体系结构中，解码器和访问控制卡之间进行匹配。可以使用所述方法的第二种体系结构中，接收装置包含一个解码器，而安全模块则包含一个具有非易失性存储器的可拆换安全接口，此接口一方面可以与解码器合作，另一方面可以和多个有条件的访问控制卡合作，从而对运营商提供的数字数据的访问进行管理。在此体系结构中，所述解码器和所述可拆换安全接口之间进行匹配。可以使用所述方法的第三种体系结构中，接收装置包含一个有可拆换安全接口的解码器，此接口具有非易失性存储器，一方面用来与所述解码器进行合作，另一方面用来与多个有条件的访问控制卡合作。在此体系结构中，在所述可拆换安全接口和所述访问控制卡之间进行匹配。在本发明方法的一个特别实施方案中，数据为音像程序。本发明的方法可以应用于一个包含多个与数据和/或服务播送网络相连接的接收装置的系统中，每个接收装置可以和多个外部安全模块相匹配，这一系统还包含一个与所述接收装置和所述外部安全模块相沟通的商务管理平台。这一系统还包含-设置在所述商务管理平台中的第一个模块，用来发出进行匹配的请求，-设置在所述接收装置中的第二个模块，用来处理所提出的制定匹配配置的请求，并对匹配加以管理。本发明还涉及为了对访问运营商提供的数字数据进行管理、而能与多个外部安全模块进行匹配的接收装置。根据本发明，这一装置具有相应设备，可以在运行中存储与之相连接的每个外部安全模块的识别符。在第一个实施方案中，接收装置包含一个解码器，而外部安全模块是一个访问控制卡，卡中有关于用户对所述数字数据具有访问权的信息，在所述解码器和所述控制卡之间进行匹配。在第二个实施方案中。接收装置包含一个解码器，而外部安全模块是一个具有非易失性存储器的可拆换安全接口，用来一方面与所述解码器进行合作，另一方面与多个有条件的访问控制卡合作，从而对所述数字数据的访问进行管理，在所述解码器与所述可拆换安全接口之间进行匹配。在第三个实施方案中，接收装置包含一个具有可拆换安全接口的解码器，安全接口具有非易失性存储器，用来一方面与所述解码器进行合作，另一方面与多个有条件的访问控制卡合作，在所述可拆换安全接口与所述访问控制卡之间进行匹配。本发明还涉及可以和多个外部安全模块进行合作的解码器，从而对访问运营商提供的音像程序进行管理，每个外部安全模块都有单用的识别符，并至少有一种数据处理方法。本发明的解码器具有相应设备，可以在运行中存储与之连接的每个外部安全模块的识别符。在第一个实施方案中，所述外部安全模块就是访问控制卡，其中存储了关于用户有权访问运营商提供的数字数据的信息。在第二个实施方案中，所述外部安全模块是具有非易失性存储器的可拆换安全接口，接口一方面用来与接收装置进行合作，另一方面与多个有条件的访问控制卡合作，从而对访问运营商提供的数字数据进行管理。本发明还涉及一个包含非易失性存储器的可拆换安全接口，接口一方面与解码器进行合作，另一方面与多个有条件的访问卡合作，从而对访问运营商提供的数字数据进行管理，每个控制卡有一个单用识别符，并包含关于用户有权访问所述数字数据的信息。本发明的接口具有相应设备，可以在运行中登录所述非易失性存储器中每个访问控制卡的识别符。在第一个变化实施方案中，这一接口是包含数字数据解码软件的PCMCIA(个人计算机存储卡国际联盟)卡。在第二个变化实施方案中，这一接口是一个可以在接收装置中或者在外部安全模块中执行的软件模块。本发明还涉及一个可以在接收装置中执行的计算机程序，接收装置可以与多个外部安全模块进行合作，每个安全模块有一个单用识别符，在模块中存储了关于用户有权访问运营商提供的数字数据的信息。这一计算机程序包含关于在运行中存储与所述接收装置相连接的每个外部安全模块的识别符的指示，以及根据运营商发送给所述接收装置的信号，在接收装置与外部安全模块之间局部制定匹配控制参数的指示。这一计算机程序还包含以下指示以后每次配合接收装置，使用外部安全模块时，核查所述外部安全模块的识别符是否已经存储在接收装置中。本发明的其他特征和优点将在下列说明中明确，下列说明只是参考附图所作的举例，并不受其限制-图1表示使用本发明的匹配法的第一个体系结构，-图2表示使用本发明的匹配法的第二个体系结构，-图3表示使用本发明的匹配法的第三个体系结构，-图4表示有关本发明的匹配功能的配置与使用的EMM信息结构，-图5是本发明的匹配功能的状态框图，-图6表示用来说明本发明匹配法的特别实施方案的流程图。具体实施例方式以下在一个应用方案的框架内对本发明作具体描述。在此方案中，运营商在播送音像程序中采用了本发明的方法，将其全部接收装置的使用限制在自己的用户范围内。所述方法可以使用于不同的三个体系结构中，分别表示为图1、2、3。在这三个体系结构中，相同的元件以相同的标记表示。匹配操作由运营商控制下的商务平台1进行管理，商务平台和设在用户处的接收装置相沟通。在图1所示的第一个体系结构中，接收装置包含一个内设访问控制软件4的解码器2，外部安全模块是一个访问控制卡6，其中包含关于用户有权访问播送的音像程序的信息。在此情况下，在解码器2和所述控制卡6之间进行匹配。在图2所示的第二个体系结构中，接收装置包含一个并非用来控制访问的解码器2，外部安全模块是一个具有非易失性存储器的可拆换安全接口8，其中设置了访问控制软件4，接口8一方面与所述解码器2进行合作，另一方面与多个有条件的访问控制卡中的一个卡6合作，从而对所述音像程序的访问进行管理。在这一体系结构中，在所述可拆换安全接口8和所述访问控制卡6之间进行匹配。在图3所示的第三个体系结构中，接收装置包含一个内设访问控制软件的解码器2，此解码器2和一个可拆换安全接口8相连接，接口8包含一个非易失性存储器，并与多个有条件的访问控制卡中的一个控制卡6合作。在此情况下，在解码器2与可拆换安全接口8之间进行匹配。运营商配置并使用匹配法是商务管理平台1发出命令的结果。下面的描述涉及在解码器2与控制卡6进行匹配的情况下对本发明的使用。所采用的步骤可以用于上述三种体系结构中。解码器2出厂时，以及在访问控制软件4下载到该解码器后，一切匹配操作都处于待用状态。特别是-解码器2中没有存储任何控制卡识别符，-可存储的控制卡识别符的最大数量没有设定初始值，-解码器2对控制卡6识别符的存储不处于在用状态，-解码器2对控制卡6识别符的控制不处于在用状态，当一张有效卡插入解码器2为此设置的读卡器时，运营商在管理平台1上发出要求，由管理平台1向解码器2发出一项旨在进行匹配的EMM管理信息，从而使该控制卡与解码器2之间的匹配得到配置。此项EMM管理信息可以直接发给解码器2，也可以通过控制卡6间接发出。这一EMM管理信息可以完成下列工作-激活解码器2的匹配功能；在此情况下，解码器2核实控制卡6的识别符是否包含在已存储的识别符之内。如果不是，而且如果还没有达到可以存储的控制卡识别符的最大数量，解码器就要将这一控制卡的识别符存储起来，-撤销解码器中的匹配功能。在此情况下，解码器不必核实也不必存储控制卡6的识别符，-清除已经存储在解码器中的控制卡识别符，-规定解码器中可存储控制卡识别符的最大数量。此外，运营商也可以通过平台1发送一项EMM信息，其中包含一份规定的与解码器2匹配的控制卡6识别符清单。这种信息通过控制卡6间接发送给解码器2。EMM信息寻址按照本发明的方法，对匹配功能的配置和使用进行管理的EMM信息，是通过MPEG2/系统标准和DVB/ETSI诸标准中规定的数字多路复用的EMM通道发出的。这一通道可以将注明控制卡地址的EMM信息发送给-某一具体控制卡所插入的解码器，-一组具体控制卡所插入的多个解码器，-全部控制卡所插入的多个解码器。“通过控制卡”送给解码器的这种EMM信息，主要是在解码器没有地址时使用的。这一通道还可以将注明解码器地址的EMM信息直接发送给-一个具体的解码器，-一组具体的解码器，-全部解码器。当解码器没有地址时，也可以使用直接发往全部解码器的EMM信息。发往某一具体控制卡指定的解码器的信息，或直接发往一个具体解码器的信息，都是EMM-U信息，其结构如下EMM-U_section(){table_id=0x888bitssection_syntax_indicator=01bitDVB_reserved1bitISO_reserved2bitsEMM-U_section_length12bitsunique_address_field40bitsfor(i=0;i<N;i++){EMM_data_byte8bits}}参数“unique_address_field”指EMM-U控制卡中一张控制卡的专用地址，或者指EMM-U解码器中一个解码器的专用地址。发往一组具体控制卡指定的解码器的信息，或直接发往一组具体解码器的信息，都是EMM-S信息，其结构如下EMM-S_section(){table_id=0x8E8bitssection_syntax_indicator=01bitDVB_reserved1bitISO_reserved2bitsEMM-S_section_length12bitsshared_address_field24bitsreserved6bitsdata_format1bitADF_scrambling_flag1bitfor(i=0;i<N;i++){EMM_data_byte8bits}}参数“shared_address_field”指EMM-S控制卡中一组控制卡的地址，或者指EMM-S解码器中一组解码器的地址。如果解码器或控制卡还被明确指出处在EMM_data_byte中的ADF区内，而且还用ADF_scrambling_flag信息进行加密，那么该信息所涉及的就是一组中的一个解码器或是一组中的一个控制卡。发往全部控制卡所指定的解码器的信息，或直接发往全部解码器的信息，都是EMM-G信息，其结构如下EMM-G_section(){table_id=0x8Aor0x8B8bitssection_syntax_indicator=01bitDVB_reserved1bitISO_reserved2bitsEMM-G_section_length12bitsfor(i=0;i<N;i++){EMM_data_byte8bits}}EMM信息的内容图4图解显示了EMM配信息中EMM_数据_字节数据的内容。此项内容根据解码器2在匹配的配置或使用中所能执行的功能而定。EMM_数据_字节数据包括下列功能参数-ADF20一组解码器中某一解码器的补充地址，这一参数用于以组为地址的情况，否则可以删去；此参数可以加密，-SOID22确认是根据本发明的匹配信息，以别于其他类型的信息，-OPID/NID24确认解码器组以及运营商的标记，-TIME26发送信息的计时数据；这一参数用来避免同一解码器重复发出信息。-CRYPDO28确认应用于功能参数32的密码保护功能。功能参数可以由密码多余信息30加密并保护。-功能32用来描述匹配的配置和使用的全部参数。上述功能参数自由组合在一项EMM信息的EMM_数据_字节的数据中。一个较好的实施方案是根据TLV(类型长度价值)结构提出的组合方案。EMM信息的处理上面所描述的功能参数由解码器2进行处理。当这些参数发送到一个EMM解码器以后，它们就成为EMM有用的内容。当这些参数发送到一个EMM控制卡以后，它们就成为一部分可以被控制卡明确识别、而且对EMM有用的内容，而EMM还包含有关该控制卡的其他参数。这时控制卡还要从EMM取出与之有关的功能参数，并将参数送往解码器2。为了实现这一分类机制，一种较好的实施方案是将这些功能参数整合在控制卡无法处理的一个密封参数中。于是，当控制卡6检测出这一密封参数时，控制卡6向解码器2发出“无法译解的参数”(PNI)一类的回答，并附上解码器2的全部参数。控制卡6还可以经由一个控制卡EMM，收到一份注明日期的书面数据命令，一方面明确控制器6没有在另一解码器中处理过这一信息，以避免在另一解码器中重复，另一方面限制在单独一个解码器上对此EMM进行处理。从词义来讲，这些数据的意思就是“已经处理”。这种反重复机制的一种较好的实施方案，就是将这些反重复数据写入控制卡的一个便利数据块(FAC)中。如果在处理一个有关匹配的控制卡EMM以后，控制卡的回应为“PNI”和“已经处理”，解码器对所收到的参数就不会加以考虑。匹配的配置和使用全部功能参数32描述本发明的匹配的配置和使用。这一组参数是下列各功能参数的任意组合-方式这一参数激活，撤销或重新初始化匹配方法。在撤销匹配后，解码器不再检查插入解码器的控制卡识别符，但它保留了原来曾经存储的识别符清单；在重新初始化匹配后，解码器不再检查插入的控制卡识别符，不再保留任何存储的控制卡识别符。-NBCA(被批准的控制卡数量)这一参数规定一个解码器受权存储的控制卡识别符的最大数量；如果没有规定，则根据本发明，在执行解码器中的软件模块时，对NBCA加以规定。-LCA(被批准的控制卡清单)这一参数规定一个解码器可以操作的控制卡识别符的清单。-干扰这一参数描述遇到和解码器不相匹配的控制卡时，解码器在数据访问中所应施加的干扰。以上各种功能参数是自由组合在全部功能参数32中的。较好的实施方案是将这些参数按照TLV(类型长度价值)结构进行结合。操作现在参照图5、6，对本发明匹配的操作加以说明。图5是一个功能性图解，以图表显示解码器2中访问控制软件的匹配功能的情况。当访问控制软件4刚刚装置或下载(步骤61)，当它从平台1接到撤销匹配命令(步骤62)或重新初始化匹配的命令(步骤64)时，匹配功能还处于待用状态60。在这种情况下，访问控制软件4可以和插在解码器2的控制卡6共同操作，而不核查是否与该控制卡匹配。为了激活解码器2中的匹配状态，运营商通过平台1规定匹配方式(＝在用)，还可以选择规定能与解码器2进行匹配的控制卡6的最大数量NBCA，以及在匹配失败时可以加给访问数据的干扰类型。根据这些信息，平台1产生并向一个或几个有关的解码器发出(箭头68)一项EMM信息，其中包含匹配的参数。解码器中匹配的功能转入在用状态70。运营商可以通过平台1，撤销解码器2的匹配状态，平台产生一个EMM信息，送往(箭头72)有关的一个或几个解码器，信息中包含一个撤消但不清除匹配关系62的命令，或者包含一个重置匹配关系64的命令。解码器中的匹配功能转入待用状态60。不论匹配功能处于待用状态还是在用状态，它都可以收到一份由EMM通过平台1发来的被批准的控制卡清单LCA。匹配功能考虑到了解码器2中的控制卡6，这一点在图6流程图中有所描述。当一张控制卡插入(步骤80)解码器2时，装置在解码器中的访问控制软件进行测试(步骤82)，看匹配功能是否处于在用状态70。如果解码器中的匹配功能处于待用状态60，解码器就和插入的控制卡配合操作(步骤92)。如果解码器中的匹配功能处于在用状态70，访问控制软件就读出控制卡识别符，并检验(步骤84)插入的控制卡识别符是否已经存储在解码器2中。如果这一控制卡6的识别符已经存储在解码器2中，访问控制软件就与插入的控制卡配合操作(步骤92)。在此情况下，才有可能对播送的程序进行访问，同时还要遵从这些程序附带的其他访问条件。如果这一控制卡6的识别符没有存储在解码器2中，访问控制软件就检验(步骤86)已存储的控制卡6识别符的数量是否低于匹配配置所批准的控制卡6最大值NBCA。·如果这一数量NBCA已经达到，访问控制软件4就拒绝和插在解码器2读卡器内的控制卡6配合操作，并在数据访问中施加(步骤90)运营商所规定的干扰。这种干扰可能包括阻止访问播送的程序。同时还可能在解码器2所附的终端屏幕上显示一项信息，要求用户在解码器2中插入另一张控制卡6。·如果这一数量NBCA没有达到，插在解码器2读卡器中的控制卡6的识别符就会加到已存储识别符清单中去(步骤88)。访问控制软件4于是接受与插入的控制卡6配合操作(步骤92)。当控制卡6从解码器2中取出(步骤94)后，访问控制软件4开始等待插入一张控制卡6(步骤80)。在匹配中出现错误而在数据访问中进行干扰，可能是属于不同的性质，例如-在加密频道中停止播送音像(电子密码机不按照控制卡的要求计算波长，就可以做到)；-在不加密和模拟频道中停止播送音像(用中波发出信息就可以做到)；-发送一项信息给终端的中波(例如开放图像信息)。这种干扰也可以用来阻塞被盗用的解码器。在图2描述的情况中，访问控制软件4在连接到解码器2的可拆换接口8中进行操作，图4中描述的逻辑控制器以及图5中描述的流程图都可以直接应用于下载在可拆换接口8中的访问控制软件4。权利要求1.数字数据接收装置(2)与多个外界安全模块(6、8)进行匹配的方法，每个安全模块具有一个单用的识别符，所述方法的特征在于它包含以下各步骤—将一个外部安全模块(6、8)连接到接收装置上，—在运行中，将所连接的安全模块(6、8)的单用识别符存储在接收装置中。2.如权利要求1所述的方法，其特征在于以后每次将一个外部安全模块(6、8)连接到这一接收装置时，还要包含一个检验过程，核实所述模块的识别符是否已经存储在接收装置(2)中。3.如权利要求2所述的方法，其特征在于它还包含一个向接收装置(2)发送信号的步骤，信号中包含至少一项对外部安全模块(6、8)的识别符进行存储的信息，和/或还包含一项关于检验过程的处理信息。4.如权利要求3所述的方法，其特征在于所述信号至少包含一项下列命令—批准存储，—禁止存储，—清除原来存储在接收装置(2)中的识别符，—激活或撤销检验过程。5.如权利要求3所述的方法，其特征在于所述信号还包含可容许存储的识别符的最大数量。6.如权利要求3所述的方法，其特征在于所述信号包含一项再配置命令，根据这一命令，向所述接收装置(2)发送一份与接收装置(2)匹配的外部安全模块(6、8)的识别符的更新清单。7.如权利要求6所述的方法，其特征在于所述清单直接发往接收装置(2)。8.如权利要求6所述的方法，其特征在于所述清单通过一个与所述接收装置相连接的外部安全模块(6、8)发送。9.如权利要求2所述的方法，其中所述检验过程包含一项程序如果被连接的外部安全模块(6、8)的识别符事先没有存储在接收装置中，就要对数据处理加以干扰。10.如权利要求1所述的方法，其特征在于所述数据是由不加密播送或者用一个加密的控制字加扰后播送，其特征还在于每个外部安全模块(6、8)对所述数据都有权访问，并有针对所述控制字的解密算法。11.如权利要求4或5所述的方法，其特征在于所述信号是在一项专门发给连接到接收装置(2)的外接安全模块(6、8)的EMM信息中，传送给这一接收装置(2)的。12.权利要求4或5所述的方法，其特征在于所述信号是在一项专门发给接收装置(2)的EMM信息中，传送给这一接收装置(2)的。13.如权利要求6所述的方法，其特征在于对一定的接收装置(2)来说，所述清单是在一项专门发给连接到这一接收装置(2)的安全模块(6、8)的EMM信息中进行传送的。14.如权利要求4或5所述的方法，其特征在于所述信号是在一项专门发给连接到一组接收装置(2)的一组外部安全模块(6、8)的EMM信息中，传送给所述接收装置组(2)的。15.如权利要求4或5所述的方法，其特征在于所述信号是在一项专门发给一组接收装置(2)的EMM信息中，传送给这一组接收装置(2)的。16.如权利要求6所述的方法，其特征在于对一定的接收装置组(2)来说，所述清单是在一项专门发给连接到所述接收装置组(2)的一组外部安全模块(6、8)的EMM信息中进行传送的。17.如权利要求4或5所述的方法，其特征在于所述检验信号是在一次专用流程中传送给一组接收装置(2)的。18.如权利要求6所述的方法，其特征在于对一定的接收装置组(2)来说，所述清单是在一次专用流程中传送给每一接收装置(2)的。19.如权利要求17或18所述的方法，其特征在于所述专用流程，是由可在每一接收装置(2)中操作的专用软件，根据与之相连的外部安全模块(6、8)的识别符进行处理的。20.如权利要求11至16中任意一项所述的方法，其特征在于它还包含一项机制，阻止使用一项EMM信息传送给两个不同接收装置(2)中的同一个外部安全模块(6、8)。21.如权利要求11至13中任意一项所述的方法，其特征在于所述EMM信息的格式如下EMM-U_section(){table_id=0x888bitssection_syntax_indicator=01bitDVB_reserved1bitISO_reserved2bitsEMM-U_section_length12bitsunique_adress_field40bitsfor(i=0;i＜N;i++){EMM_data_byte8bits}}22.如权利要求14至16中任意一项所述的方法，其特征在于所述EMM信息是专门发给所有外部安全模块(6、8)或所有接收装置的，其格式如下EMM-G_section(){table_id=0x8Aor0x8B8bitssection_syntax_indicator=01bitDVB_reserved1bitISO_reserved2bitsEMM-G_section_length12bitsfor(i=0;i＜N;i++){EMM_data_byte8bits}}23.如权利要求14至16中任意一项所述的方法，其特征在于所述EMM信息是专门发给一个外部安全模块小组(6、8)或一个接收装置小组(2)的，其格式如下EMM-S_section(){table_id=0x8E8bitssection_syntax_indicator=01bitDVB_reserved1bitISO_reserved2bitsEMM-S_section_length12bitsshared_address_field24bitsreserved6bitsdata_format1bitADF_scrambling_flag1bitfor(i=0;i＜N;i++){EMM_data_byte8bits}}24.如权利要求1所述的方法，其特征在于外部安全模块(6、8)的识别符列在一份加密的清单中。25.如权利要求1至24中任意一项所述的方法，其特征在于接收装置(2)包含一个解码器，外部安全模块包含一个访问控制卡(6)，控制卡中存储了关于用户有权访问运营商播送的数字数据的信息，其特征还在于所述解码器和所述控制卡(6)之间进行了匹配。26.如权利要求1至24中任意一项所述的方法，其特征在于接收装置(2)包含一个解码器，外部安全模块包含一个具有非易失性存储器的可拆换安全接口(8)，此接口(8)一方面可以与解码器合作，另一方面可以与多个有条件的访问控制卡(6)合作，从而对运营商播送的数字数据的访问进行管理，其特征还在于所述解码器和所述可拆换安全接口(8)之间进行了匹配。27.如权利要求1至24中任意一项所述的方法，其特征在于接收装置(2)包含一个具有可拆换安全接口(8)的解码器，此接口(8)设置有非易失性存储器，一方面可以与所述解码器进行合作，另一方面与多个有条件的访问控制卡(6)合作，其特征还在于所述可拆换安全接口(8)与所述访问控制卡(6)之间进行了匹配。28.如权利要求10所述的方法，其特征在于数据是音像程序。29.可以与多个外部安全模块(6、8)进行匹配、从而访问运营商播送的数字数据的接收装置，其特征在于它包含了设备，可以在运行中存储与之相连的每个外部安全模块(6、8)的识别符。30.如权利要求29所述的设备，其特征在于它包含一个解码器，还在于外部安全模块(6、8)是一个包含关于用户有权访问所述数字数据的访问控制卡(6)，所述解码器与所述控制卡(6)之间进行了匹配。31.如权利要求29所述的设备，其特征在于它包含一个解码器，还在于外部安全模块(6、8)是一个具有非易失性存储器的可拆换安全接口(8)，此接口(8)用来一方面与所述解码器合作，另一方面与多个有条件的访问控制卡(6)合作，从而访问所述数字数据，所述解码器与所述可拆换安全接口(8)之间进行了匹配。32.如权利要求29所述的设备，其特征在于它包含一个解码器，解码器中设置有一个具有非易失性存储器的可拆换安全接口(8)，此接口(8)用来一方面与所述解码器合作，另一方面与多个有条件的访问控制卡(6)合作，其特征还在于所述可拆换安全接口(8)与所述访问控制卡(6)之间进行了匹配。33.解码器可以与多个外部安全模块(6、8)合作，以访问运营商播送的音像程序，而每个外部安全模块(6、8)都有一个单用的识别符，而且至少有一种数据处理方法，解码器的特征在于它具有设备，可以在运行中存储与之相连的每个外部安全模块(6、8)的识别符。34.如权利要求33所述的解码器，其特征在于所述外部安全模块(6、8)是访问控制卡(6)，其中存储了关于用户有权访问运营商播送的数字数据的信息。35.如权利要求33所述的解码器，其特征在于所述外部安全模块(6、8)是具有非易失性存储器的可拆换安全接口(8)，此接口(8)一方面与解码器合作，另一方面与多个有条件的访问控制卡(6)合作，从而访问运营商播送的数字数据。36.可拆换安全接口(8)，其包含一个非易失性存储器，此接口(8)用来一方面与接收装置(2)合作，另一方面与多个有条件的访问控制卡(6)合作，从而访问运营商播送的数字数据，每个控制卡(6)有一个单用的识别符，并包含关于用户有权访问所述数字数据的权利的信息，接口的特征在于它具有设备，可以在运行中将每个访问控制卡(6)的识别符录制在所述非易失性存储器中。37.如权利要求36所述的接口，其特征在于它包含一个PCMCIA卡，卡中设置了数字数据解密软件。38.权利要求36所述的接口，其特征在于它包含一个软件模块。39.可以在接收装置(2)中执行的计算机程序，这一接收装置可以和多个各具单用识别符的外部安全模块(6、8)进行合作，在这些模块中存储了关于用户有权访问运营商播送的数字数据的信息，所述计算机程序的特征在于它包含了指令在运行中存储连接到所述接收装置(2)的每个外部安全模块(6、8)的识别符。40.如权利要求39所述的计算机程序，其特征在于它还发出指令，要求根据运营商播送给接收装置(2)的信号，局部生成所述接收装置(2)与外部安全模块(6、8)进行匹配的控制参数。41.如权利要求39所述的计算机程序，其特征在于它还发出指令，要求以后每次在配合接收装置(2)使用一个外部安全模块(6、8)时，检查所述外部安全模块(6、8)的识别符是否存储在接收装置(2)中。42.包含多个连接到一个数据与/或服务播送网络上的接收装置(2)的系统，而每个接收装置(2)都能够与多个外部安全模块(6、8)相匹配，所述系统还包含一个与接收装置(2)以及所述外部安全模块(6、8)相沟通的商务管理平台(1)，该系统的特征在于它还包括—设置在所述商务管理平台(1)中的第一个模块，它将生成进行匹配的要求，—设置在所述商务管理平台(1)中的第二个模块，它将处理所述要求，提出匹配配置，对匹配进行控制。全文摘要本发明涉及将一个接收装置(2)与多个安全模块(6、8)相匹配的方法，而每个安全模块各有单用的识别符。本发明的方法包含以下各步骤——将一个安全模块(6、8)连接到接收装置(2)上，——在运行中，将所连接的安全模块(6、8)的单用识别符存储到接收装置(2)中。文档编号H04N7/16GK1922877SQ200580005468公开日2007年2月28日申请日期2005年2月17日优先权日2004年2月20日发明者F·伯恩,L·布迪耶,P·罗克,B·特罗内尔申请人:维亚赛斯公司