、42和46继续携带PID 100,而分组44现在已被解密并且对于覆盖加密而言是明文,但在新加密下仍保持被加密并且在此示例中继续携带PID 101。(在其他示例中,PID将在以后被重映射,并且可在这个阶段或者更早被重映射)。如上所述,此分组将携带与分组40、42和46相同的PID。在这种情况下,ECM或其他配设可被利用来向接收机传达哪些分组以及这些分组中哪些分组字节(如果不是100%的话)将在被双重加密的状态中到达,以便在第一(覆盖)解密期间操纵的加密控制比特的清除不会破坏接收机识别并正确处理经双重加密的分组(或这些分组中的字节)的能力。
[0068]分组44是根据任何期望的选择标准来选择的,所述标准使得观看内容的难度增大(即,关键分组)。在一个示例中,I帧头部可被选择来加密,因为其代表数字视频的内容的仅一小部分但却是重要的部分(在此示例中为每秒大约376字节,其中不是所有比特都需要被加密)ο从而,为了观看内容,在新加密方法下仍保持加密的此分组被解密。由于要解密的内容的量与整个内容相比相对较小,所以无需要使用大量计算资源就可对其进行解密。因此,根据本实现方式,由分组44例示的这个所选内容概念上通过智能卡接口(未明确示出)被转向到智能卡50,其中智能卡内的内部密码处理器和/或其他处理资源被利用来对分组44解密。在优选实施例中,这实际上是通过把分组40、42、44和46存储到能够被接收机的主CPU(未明确示出)访问的统一存储器来实现的。主CPU随后取回(在新加密下)加密的分组44并将其发送到智能卡,在这里智能卡对其进行解密。主CPU随后从智能卡接收回它,并将经解密的内容返回到统一存储器以便继续处理。
[0069]功能上,分组44的经解密的版本(分组54)随后被与已经解密的分组40、42和46相组合以在复用器58处产生重建的流,该流可被缓冲在缓冲器62处(例如缓冲在缓冲存储器中或统一存储器的一部分中)。由于智能卡50处可得的较缓慢的处理,可能需要缓冲。这产生了适用于解码以供视频呈现的完全重建的未加密流。
[0070]注意,所例示的示例示出了分组54在此时保持PID 101,而流中的其他分组由PID100标识。这可通过在PID重映射器66处将具有PID 101的分组重映射到PID 100来校正,以供解码器70解码和/或发送到盘驱动器(未示出)。这仅在解码器70只能被设置来对使用单个PID的视频解码的情况下才是需要的。如果解码器能被配置来处理对于同一个内容基本流以多个PID出现的视频数据,则PID重映射是不必要的。另外,在一些实施例中,如上所述,不要求对于此内容有单独的PID。内容可通过公约或其他信令(例如ECM)来标识。此外,PID重映射可发生在过程流中的其他位置,没有限制。
[0071]注意,在此示例中,覆盖加密被示出,但不是必须要被利用。在这种情况下,解密器34及其智能卡管理可被摒弃或者不被使用,如果服务提供商和内容所有者对于利用智能卡的解密能力内的选择性加密能够提供的保护程度满意的话。然而,如果服务提供商和/或内容所有者担心内容的任何部分可被未经加密地得到,则可能希望进行覆盖加密。还要注意,在智能卡内可得的处理力将有可能随着时间的过去而增大,使得能够通过加密保护的内容的量与对服务提供商的智能卡的硬件依赖性耦合,从而增强可得的安全性和黑客攻击难度。
[0072]在上述场景中,内容的安全性被增强了,因为解密过程本身可被改变并嵌入在智能卡内,在智能卡处黑客更难以确定如何对解密进行黑客攻击。
[0073]然而,这没有涉及当前的没有UMA的传统接收机设备的群体及其固有的传统解密局限的问题。服务提供商可能希望升级具有UMA的传统接收机。至少传统群体的这个部分可被升级到更安全的处理。此问题如以上场景#2所述并且是如图2所示那样解决的。在此示例中,解密系统基本保持相同,但部署该系统的接收机可被逐渐实现为单独的接收机群体。在此情况下,新接收机将以大致相同的方式工作,只不过内容不应被覆盖加密。这是因为CAS将不太可能希望为关键内容递送密钥,这将使得访问复制内容不再需要替换密钥。其使管理分开的接收机群组的用意作废了。不同的接收机群组将不会具有密钥分离。
[0074]内容被多重选择性加密。这例如在美国专利N0.7,350,082中论述。输入数据流包括明文分组100、102和104以及经传统加密的数据106和利用新加密来加密的数据108。在此情况下,明文分组100、102和104以及经传统加密的分组可携带相同的PID,例如如图所示的PID 100。新加密分组108携带PID 101。
[0075]在这种环境中,如稍后将看到的,传统接收机能够像之前那样继续接收内容,而无需知晓内容被选择性加密(以及可能受到黑客攻击KMPEG传输流头部中的加密比特可允许一个分组到下一个被加密或不被加密。使用新加密和分组交换的新到现场的接收机也能接收内容并正确解密内容。通过这个机制,随着时间的逝去可逐渐减小能容易地被黑客攻击的接收机的群体,以便最终在现场安装面对着黑客时更健壮的一组接收机。这通过以下方式得到进一步促进:阻止没有UMA的传统设备所使用的从ECM得出的密钥被具有UMA的能够使用新加密方法的接收机群体使用。具有UMA的接收机访问不同的ECM。两个不同的接收机群体使用不同的周期性密钥和不同的内容密钥。实施这种密钥分离可有助于良好的反盗用措施。
[0076]在能够进行新加密方法的设备中,用于没有UMA的接收机的传统加密的分组例如106被简单地丢弃,例如在解复用器30处利用美国专利N0.7,350,082中所述的分组交换过程来丢弃。由于此数据与分组101的是重复的(如对于两个分组使用“数据X”一词所示)。与先前实现方式中一样,具有PID 101和新加密的数据被传递到智能卡50(在优选实现方式中,再次经由统一存储器)以便解密。经解密的分组116随后被概念性地在复用器58处与明文分组相组合(这可以简单地是统一存储器中数据的操纵),并且被缓冲在62。同样,如果需要PID重映射,则其是在70处的解码之前在66处执行的。
[0077]应当注意,利用具有能够被主CPU(未明确示出)访问的统一存储器的现有的使能了智能卡的设备可立即实现前述过程。在这种情况下,传统硬件解密引擎34如果不被用于覆盖解密则被绕过。主(PU可被重编程来进行操作以允许“新”加密分组通过主CPU对存储在统一存储器中的分组的操作来如所述那样被操纵。这种升级可与分发智能卡和发起在空中或从输出自智能卡的数据为接收机下载新固件同时执行。在任何情况下,那些没有受益于最新智能卡的将不能容易地对新加密进行黑客攻击,并因此将不能接收未经授权的内容。那些其接收机具有传统硬件解密器的将只在其处于接收传统ECM和EMM消息的群体中时才能操作,该群体可通过更换不具有统一存储器的老化接收机群体来逐渐减小。这允许了以在经济上更有吸引力的方式更换老化的接收机。
[0078]然而,这不涉及当服务提供商可能希望引入新接收机时,具有和不具有UMA的传统接收机设备的当前群体的问题。此问题如场景#3所述,并且是如图3所示那样来解决的。此情形与图2类似,然而其添加了具有数据X的额外复制分组109。所有多重加密的分组使用不同的加密。具有UMA的传统接收机可受益于升级,而没有UMA的传统接收机将坚持传统的基于硬件的解密(这是黑客能够盗用的)。图3示出了新接收机,其可具有在135处的硬件中实现的新解密算法,用以对分组109操作来产生分组129。分组交换可被内置到硬件中。在此情况下,加密的分组106和108都在解复用器30处被丢弃。此方案的工作方式与如图4所示没有UMA的传统接收机在过渡时段中能够工作的方式大致相同。
[0079]图4用在上述场景#2和#3中,并且示出了未被升级的传统接收机。与之前一样,部署该系统的接收机可被逐渐进化为两个分开的接收机群体-经升级的具有UMA的传统接收机和新的接收机。没有UMA的传统接收机将最终被逐步撤除或降低到低级别的服务。内容被多重选择性加密。输入数据流包括明文分组100、102和104以及经传统加密的数据106和利用新加密来加密的数据108。在此情况下,明文分组100、102和104以及经传统加密的分组可携带相同的PID,例如如图所示的PID 100。新加密分组108携带PID 101。明文分组100、102和104被传递经过系统,而使用新加密和PID 101的分组被丢弃。经传统加密的分组106被传递经过解密器34并被以通常方式解密到分组126以产生输出数据流用于解码器70。在这种环境中,如稍后将看到的,传统接收机能够像之前那样继续利用具有PID 100的分组接收内容,而无需知晓内容被选择性加密(以及可能受到黑客攻击),而使用新加密的新到现场的接收机也能接收内容并正确解密内容。通过这个机制,随着时间的逝去可减小能容易地被黑客攻击的接收机的群体,以便最终在现场安装面对着黑客时更健壮的一组接收机。三个不同的接收机群体通常将使用利用不同EMM和ECM递送的不同周期性密钥和不同内容密钥。
[0080]参考图5,以流程图形式概括示出了先前针对所描述的“新”加密/解密技术的使用而示出的总的接收机侧过程,其中在130,携带选择性加密的内容数据的传输流被接收并存储到统一存储器。在134如果内容被利用覆盖加密来加密了,则通过解密来处理双重加密的第一层,以产生明文的未加密内容加上在新加密方法下仍保持加密的内容。此内容被存储到统一存储器,使得保持加密的部分可在138被智能卡取回并在142被利用智能卡的内部编码的解密算法来解密。注意,智能卡中的解码可以是基于硬件或固件/软件的,而不脱离符合本发明的实施例。
[0081]—旦智能卡完成了对内容的所选部分的解密,那些经解密的部分就在146以重建原始内容流的方式被存储回到统一存储器。这可由智能卡直接进行,或者由接收机设备的主CPU管理,没有限制。一旦流被重建,其就可根据需要被缓冲,然后在150被流式传输到解码器以便解码供观看者最终消耗,或者记录在硬盘驱动器上供以后消耗。
[0082]所描述的过程是由服务提供商利用图6中所示的基本过程来实现的。在此过程中,新的智能卡在160被分发,其中新智能卡除了通常与智能卡相关联的用于管理传统密钥等等的功能以外,还被使能有密码处理器和专有解密算法。这种能力可利用在智能卡处理器上运行的硬件或固件(或其组合)来实现。由于用于制造和密封智能卡的过程,这些过程对于可能的黑客是很隐蔽的。与由主CHJ执行的软件过程相比,利用智能卡可更好地隐蔽经升级的低级别解密算法。然而,软件模糊、完整性检查和自检查例程可以使反向工程软件困难。在其他实施例中,内容的所选片段还被多重加密。每个加密可独立于其他加密,这也使得反向工程更困难。此外,解密能力在智能卡内的这个存在将不会那么容易被这种黑客所清楚,直到他们发现其通常的访问存储在智能卡中的解密代码的反向工程看起来不再工作为止。
[0083]随着智能卡被引入到现场,被分发的内容在164以使得经加密的部分不能能够由传统解密所解密而只能由智能卡上提供的功能来解密的方式被选择性加密(并且所选片段可能被双重加密),内容在168被分发到被给予了适当的周期性和内容密钥(或密钥值)的用户群体,在这里所选片段被利用此前论述的技术来解密。
[0084]图7示出了根据符合本发明的实施例的示例性接收机设备的一部分,其中智能卡50经由主CPU 184被接口到接收机以提供对MM、EC