控制字保護的製造方法與工藝

2023-05-13 03:45:46

本發明涉及用於在接收器的晶片組中安全地獲得控制字的方法和設備。本發明還涉及用於對接收器的晶片組提供控制字的方法和系統。本發明還涉及用於實施所述方法的電腦程式，以及存儲所述電腦程式的計算機可讀介質。

背景技術：
用於數字視頻廣播（DVB）傳送的有條件訪問/數字權利管理（CA/DRM）系統是眾所周知的，並且被結合付費電視（TV）服務廣泛地使用。這樣的系統提供包括一項或更多項服務的廣播流到例如包含在機頂盒或支持廣播服務的移動終端內的數字接收器的安全傳送。為了保護廣播服務免受未經授權的觀看，利用通常被稱作控制字的加密密鑰在傳送器側對數據分組進行加擾（加密）。CA/DRM實施僅僅針對經過授權的接收器的控制字的選擇性分發。通過周期性地改變控制字從而使其僅僅對於特定時間段有效的做法提供了另外的安全性。通常利用所謂的授權控制消息（ECM）按照已加密形式把控制字傳送到接收器。在接收器中，把ECM從傳輸流中濾出並且發送到安全的計算環境，所述安全的計算環境被稱作CA/DRM客戶端（例如CA/DRM客戶端可以是具有嵌入式軟體的智慧卡，或者可以是在接收器內部執行的模糊軟體模塊）。CA/DRM客戶端隨後利用一個更高級別密鑰對ECM進行解密，其中所述更高級別密鑰是被授權訪問與包括在ECM中的控制字相關聯的TV頻道的所有CA/DRM客戶端所共有的。控制字被返回到接收器，所述接收器把控制字加載到解擾器中以用於解擾數據。在數字視頻廣播（DVB）系統中，控制字盜版是一個嚴重的問題。常見的攻擊對於控制字是在所有接收器上解鎖內容的共享密鑰這一事實加以利用。敵對方可以破解密鑰遞送基礎設施的一部分以便獲得控制字，並且把控制字重新分發給未經授權的接收器。舉例來說，敵對方有時能夠攔截從CA/DRM客戶端向接收器傳送的控制字，並且通過本地網絡或網際網路重新分發所述控制字。然後所重新分發的控制字被用來在沒有經過合法授權的CA/DRM客戶端的情況下對已加擾服務進行解擾。因此存在應當保護控制字的保密性和真實性的安全性要求。在某些情況下，晶片組支持密鑰分層結構，從而基於在製造處理期間安裝的秘密密鑰來保護控制字遞送。附圖當中的圖1示出了用以加載密鑰以便解擾內容的接收器的晶片組102的現有技術實例。解密模塊114、116和118使用已加密輸入數據和輸入密鑰來獲得已解密輸出數據。晶片製造商利用對應於對稱晶片組獨有密鑰CSUK的偽隨機秘密值來將晶片組個性化，並且為晶片組指派一個非秘密晶片組序列號CSSN以供未來識別。元件104和106分別是用於存儲CSSN和CSUK的只讀存儲器位置。元件108和110是用於臨時存儲已解密輸出數據的讀寫存儲器位置。如圖所示，內容解碼器112對已解擾內容進行解碼。各個元件之間的數據流程由箭頭表示。沿著箭頭的標籤指示出數據流程。如圖1中所示，在晶片組102中接收到由{Content}CW標示的利用控制字CW加擾的內容流。為了提供解擾內容所需的控制字，晶片組102支持利用輸入{CW}CSLK安全地加載相關聯的CW，該輸入{CW}CSLK標示利用對稱晶片組加載密鑰CSLK加密的CW。在晶片組102處接收到由輸入{CSLK}CSUK標示的利用對稱晶片組獨有密鑰CSUK加密的所述CSLK。為了解密{CSLK}CSUK，需要CSUK。與特定晶片組相關聯的CSUK和晶片組序列號CSSN通常被預先安裝在該晶片組的一些存儲器位置處（分別是元件104和元件106）並且無法被更改。在操作中，從晶片組102中的受保護存儲裝置（即元件106）獲取CSUK，並且將其用來利用解密模塊114從{CSLK}CSUK中解密CSLK。一旦被解密之後，就把CSLK存儲在存儲器（即元件108）中，並且可以將其用來利用解密模塊116解密{CW}CSLK。最後，存儲在存儲器（即元件110）中的明文控制字被解密模塊118使用來對傳入的已加擾內容{Content}CW進行解擾，從而可以由晶片組利用內容解碼器112對內容進行解碼。內容解碼器112可以處在晶片組102外部並且通常是接收器的一部分。通常來說，對於垂直市場接收器，晶片製造商向CA/DRM供應商提供一個(CSSN,CSUK)對列表，從而允許利用圖1中描繪的方法把對應於晶片組加載密鑰CSLK的值加載到晶片組中。已知的有條件訪問系統使用例如圖1中所示的密鑰加載機制，這是通過把授權管理消息（EMM）和ECM從頭端系統發送到CA/DRM客戶端。對於圖1中的實例，EMM包括CSLK（其針對CA/DRM客戶端，並且利用由CA/DRM系統提供的保密且真實的信道來保護）及其已加密版本{CSLK}CSUK（其針對晶片組102）。ECM包括已加密CW。CA/DRM客戶端把{CSLK}CSUK提供到晶片組，並且可以使用CSLK作為用於加載控制字序列的密鑰。也就是說，CA/DRM客戶端可以使用CSLK對包括在ECM中的CW進行再加密，從而得到被發送到晶片組102的消息{CW}CSLK。CSLK通常對於CA/DRM客戶端與晶片組的特定組合來說是獨有的，並且因此只有該晶片組可以對接收自所述CA/DRM客戶端的{CW}CSLK進行解碼（從而共享CW加載消息{CW}CSLK是不可能的）。對於水平市場接收器，CA/DRM系統運營商應當能夠交換CA/DRM系統。在前面對於垂直市場接收器描述的解決方案中，與接收器相關聯的秘密主密鑰（也就是密鑰CSUK）對於CA/DRM供應商是已知的。從安全性的角度來看，這一屬性對於水平市場接收器是不合期望的。這方面的一個原因在於，當前的CA/DRM供應商可能在CA/DRM系統已被交換之後公開所述秘密主密鑰CSUK，從而損害接收器的安全性。因此，針對水平接收器的一項安全性要求是所述方案不應當要求對於某一CA/DRM供應商已知的任何接收器秘密需要被任何其他CA/DRM供應商所知。在前面描述的方案中，這一要求沒有得到滿足。雖然圖1中的實例描繪了一種使用對稱密碼算法的方法，但是也可能使用如附圖當中的圖2所示的非對稱或公共密鑰密碼術。圖2示出了實施控制字加載的典型晶片組，其使用非對稱密碼算法來保護控制字的保密性。與晶片組序列號CSSN相關聯的晶片組202包括元件204（只讀存儲器存儲位置）、用於存儲一個密鑰對的元件208和元件210（讀寫存儲器存儲位置）以及用於臨時存儲明文控制字的元件212（讀寫存儲器位置）。為了保護所述密鑰對的真實性，元件208和元件210優選地是一次性寫入存儲器位置。取代在製造期間加載(CSSN,CSUK)對並且把各個對發送到CA/DRM供應商及其運營商（如在圖1所示的實例中所施行的那樣），圖2中所示的晶片組202的晶片製造商通過激活密鑰對個性化模塊206來對晶片組202進行個性化，該模塊生成由晶片組公共密鑰CSPK和晶片組秘密密鑰CSSK構成的一個隨機密鑰對。CSPK和CSSK分別被存儲在元件208和210中。可替代地，密鑰對個性化模塊206可以被實施在晶片組202外部（例如被實施在對於晶片組製造商可獲得的晶片組個性化系統中），並且製造商可以在其個性化期間把CSSK加載到晶片組202中。在此之後，製造商可以從其（多個）系統中刪除CSSK。製造商保持各個數字對，其中每一對由晶片組序列號CSSN及其相關聯的晶片組公共密鑰CSPK構成。可以使得(CSSN,CSPK)對的列表對於所有CA/DRM供應商是可獲得的。應當提到的是，只需要保護這些對的真實性，因為數字CSSN和CSPK不是秘密。CSPK被用來對只有具有相應的CSSK的接收器才能解密（利用解密模塊216）的CW進行加密。也就是說，已加密控制字{CW}CSPK是一種獨有數據式樣，因為沒有其他接收器會生成相同的隨機密鑰對(CSPK,CSSK)，因此共享CW加載消息{CW}CSPK是不可能的。然後臨時存儲在元件212中的已解密CW被解密模塊218用來解密{Content}CW，從而產生已解擾內容。然後利用內容解碼器214隨後對已解擾內容進行解碼。圖2中描繪的公共密鑰解決方案的好處是晶片組秘密密鑰CSSK不需要為任何CA/DRM供應商所知。但是由於CSPK是公共密鑰，因此其對敵對方也是可獲得的。具體來說，例如在從另一個接收器破解了給定控制字CW之後，敵對方可以使用CSPK來向與該CSPK相關聯的接收器分發CW。也就是說，這種方法不會保護CW加載消息的真實性。可以針對圖2中描繪的公共密鑰解決方案添加用於保護CW加載消息的真實性的第二種獨立機制。舉例來說，可以使用消息認證代碼（MAC）來保護CW加載消息{CW}CSPK的真實性。MAC是基於在CA/DRM客戶端與晶片組之間共享的秘密密鑰KMAC的一種對稱密碼技術。具體來說，CA/DRM客戶端使用KMAC作為密碼來生成CW加載消息{CW}CSPK的MAC值。可以把所計算的MAC值附加到該消息。在接收到所述消息和MAC值之後，晶片組使用KMAC來驗證該MAC值。可替代地，可以使用一種基於公共密鑰密碼術（即非對稱數字籤名）的方法來保護CW加載消息{CW}CSPK的真實性。在這樣的解決方案中，製造商在個性化階段期間把與數字籤名方案相關聯的公共密鑰加載到接收器中。該公共密鑰可以被用作一種真實性機制的根密鑰。接收器可以使用所述真實性機制來驗證CW加載消息{CW}CSPK的真實性。但是對於所述全部兩種真實性方案（對稱和非對稱），被用於籤署消息的主密鑰都是秘密密鑰。這就意味著如果該主密鑰被分發到CA/DRM供應商，則以下要求得不到滿足：所述方案不應當要求對於某一CA/DRM供應商已知的任何接收器秘密需要被任何其他CA/DRM供應商所知。為了履行該要求並且保護控制字的保密性和真實性，可以擴展作為受信任方的晶片製造商的角色（或者可以使用附加的受信任方）。例如，可以在全部兩種方案中引入一個附加的密鑰層，並且所述受信任方可以管理這樣的方案的根密鑰。但是這就意味著受信任方需要在其個性化完成之後管理與接收器相關聯的（至少）一個秘密。出於責任原因，受信任方的這一角色對於晶片組製造商來說是不合期望的。這就意味著將需要附加的受信任方。需要一種用於把控制字加載到晶片組上的改進解決方案以解決前述問題。也就是說，需要一種具有以下屬性的方案：（i）CW的保密性和真實性得到保護；（ii）CA/DRM系統可以獨立地使用該方案而無需共享秘密密鑰；以及（iii）在接收器的個性化之後，受信任方不再需要管理與該接收器（晶片組）相關聯的任何秘密密鑰。

技術實現要素：
根據本發明的第一方面，提供一種用於在接收器的晶片組中安全地獲得控制字的方法，所述控制字用於對由所述接收器接收到的已加擾內容進行解擾，所述方法包括在所述晶片組處施行以下步驟：從可通信地連接到晶片組的有條件訪問/數字權利管理客戶端接收虛擬控制字的受保護版本；從所述虛擬控制字的受保護版本獲得虛擬控制字；以及利用第一密碼函數從包括虛擬控制字以及多個籤名驗證密鑰或者由多個籤名驗證密鑰導出的一個或更多值的輸入產生給定輸出，每一個籤名驗證密鑰與一個有條件訪問/數字權利管理系統相關聯，所述給定輸出包括至少一個控制字，其中第一密碼函數具有如下屬性：確定包括籤名密鑰和籤名驗證密鑰的密鑰對以及用於第一密碼函數的包括所確定的籤名驗證密鑰或者至少部分地從所確定的籤名驗證密鑰導出的一個或更多值的輸入是不可行的，從而使得第一密碼函數從所確定的輸入產生給定輸出。所述方法可以包括接收及存儲所述多個籤名驗證密鑰當中的一些籤名驗證密鑰，其中所述第一密碼函數被設置成使用所述存儲的籤名驗證密鑰作為針對第一密碼函數的輸入的一部分。所述方法可以包括：接收所述多個籤名驗證密鑰；從所接收到的多個籤名驗證密鑰生成一個導出值；以及存儲所生成的導出值；其中，所述第一密碼函數被設置成使用所述存儲的導出值作為針對第一密碼函數的輸入的一部分。所述方法可以包括：在晶片組處接收晶片組加載密鑰的受保護版本，其中對晶片組加載密鑰的受保護版本進行保護以保護晶片組加載密鑰的真實性和保密性；以及從晶片組加載密鑰的受保護版本獲得晶片組加載密鑰。虛擬控制字的受保護版本可以是利用晶片組加載密鑰加密的虛擬控制字；在這種情況下，從虛擬控制字的受保護版本獲得虛擬控制字可以包括使用晶片組加載密鑰來解密虛擬控制字的受保護版本。晶片組加載密鑰的受保護版本可以包括利用與晶片組相關聯的公共密鑰加密的晶片組加載密鑰以及利用與一個有條件訪問/數字權利管理系統相關聯的籤名密鑰的基於晶片組加載密鑰的籤名，在這種情況下，從晶片組加載密鑰的受保護版本獲得晶片組加載密鑰可以包括：利用對應於與所述有條件訪問/數字權利管理系統相關聯的籤名密鑰的籤名驗證密鑰來驗證籤名，其中所述籤名驗證密鑰是多個籤名驗證密鑰的其中之一；以及利用與晶片組相關聯的秘密密鑰來解密所述已加密晶片組加載密鑰，所述秘密密鑰對應於與晶片組相關聯的公共密鑰。所述方法可以包括：由晶片組存儲從晶片組加載密鑰的受保護版本獲得的晶片組加載密鑰，從而使得所存儲的晶片組加載密鑰可以被用來解密由晶片組接收到的虛擬控制字的受保護版本。所述方法可以包括：接收多個籤名驗證密鑰連同虛擬控制字的受保護版本；以及確定是否利用其中一個接收到的籤名驗證密鑰對基於所存儲的晶片組加載密鑰的籤名進行了驗證，並且如果確定沒有利用其中一個所接收到的籤名驗證密鑰對基於所存儲的晶片組加載密鑰的籤名進行驗證，則不利用所存儲的晶片組加載密鑰來解密由晶片組接收到的虛擬控制字的受保護版本。所述接收器可以是多個接收器當中的一個接收器，所述多個接收器當中的每一個接收器具有相應的晶片組，所述晶片組具有相關聯的秘密密鑰，並且與所述多個接收器當中的各個接收器的晶片組相關聯的秘密密鑰彼此不同。根據本發明的第二方面，提供一種用於向接收器的晶片組提供控制字的方法，所述控制字用以允許接收器對傳送到該接收器的已加擾內容進行解擾，所述方法包括：在頭端系統處生成虛擬控制字；經由接收器把虛擬控制字從頭端系統傳送到一個有條件訪問/數字權利管理客戶端，其中所述有條件訪問/數字權利管理客戶端可通信地連接到晶片組；利用第一密碼函數從包括虛擬控制字以及多個籤名驗證密鑰或者由多個籤名驗證密鑰導出的一個或更多值的輸入產生給定輸出，每一個籤名驗證密鑰與一個有條件訪問/數字權利管理系統相關聯，所述給定輸出包括至少一個控制字，其中第一密碼函數具有如下屬性：確定包括籤名密鑰和籤名驗證密鑰的密鑰對以及用於第一密碼函數的包括所確定的籤名驗證密鑰或者至少部分地從所確定的籤名驗證密鑰導出的一個或更多值的輸入是不可行的，從而使得第一密碼函數從所確定的輸入產生給定輸出；利用控制字對內容進行加擾從而產生已加擾內容；以及把已加擾內容傳送到晶片組。所述接收器可以與一個有條件訪問/數字權利管理系統相關聯，在這種情況下，所述方法可以包括向晶片組傳送晶片組加載密鑰的受保護版本，其中對晶片組加載密鑰的受保護版本進行保護以便保護晶片組加載密鑰的真實性和保密性，所述晶片組加載密鑰用以允許接收器訪問虛擬控制字。晶片組加載密鑰的受保護版本可以包括利用與晶片組相關聯的公共密鑰加密的晶片組加載密鑰以及利用與有條件訪問/數字權利管理系統相關聯並且對應於多個籤名驗證密鑰的其中之一的籤名密鑰的基於晶片組加載密鑰的籤名，其中所述有條件訪問/數字權利管理系統與接收器相關聯。所述方法可以包括經由第二接收器把控制字從頭端系統傳送到第二有條件訪問/數字權利管理客戶端，其中第二有條件訪問/數字權利管理客戶端可通信地連接到第二接收器的第二晶片組。在前面的各個方面和實施例中，所述多個籤名驗證密鑰當中的至少兩個籤名驗證密鑰可以與同一個有條件訪問/數字權利管理系統相關聯。在前面的各個方面和實施例中，所述多個籤名驗證密鑰當中的至少兩個籤名驗證密鑰可以與不同的有條件訪問/數字權利管理系統相關聯。在前面的各個方面和實施例中，可以通過向第二密碼函數提供多個籤名驗證密鑰來產生一個導出值，其中第二密碼函數具有如下屬性：生成包括籤名密鑰和籤名驗證密鑰的密鑰對以及用於第二密碼函數的包括所生成的籤名驗證密鑰的輸入是不可行的，從而使得第二密碼函數從所生成的輸入產生該導出值。在前面的各個方面和實施例中，對於多個籤名驗證密鑰當中的每一個籤名驗證密鑰，所述一個或更多導出值可以包括該籤名驗證密鑰的相應的密碼散列值。根據本發明的第三方面，提供一種用於安全地獲得控制字的用於接收器的晶片組，所述晶片組被設置成實施如前所述的根據本發明的第一方面（及其實施例）的方法。根據本發明的第四方面，提供一種內容遞送網絡的頭端系統，所述頭端系統被設置成實施如前所述的根據本發明的第二方面（及其實施例）的方法。根據本發明的第五方面，提供一種包括根據本發明的第三方面的晶片組的接收器。根據本發明的第六方面，提供一種包括根據本發明的第四方面的頭端系統以及一個或更多根據本發明的第三方面的晶片組的系統。根據本發明的第七方面，提供一種電腦程式，當被執行時，其實施如前所述的根據本發明的第一或第二方面（及其實施例）的方法。附圖說明現在將僅僅通過舉例的方式參照附圖來描述本發明的實施例，其中：圖1示意性地示出了利用對稱密碼術的一種現有技術晶片組；圖2示意性地示出了利用非對稱密碼術的另一種現有技術晶片組；圖3示意性地示出了根據本發明的一個實施例的一種示例性系統；圖4示意性地示出了利用晶片組的一種示例性方法；圖5示意性地示出了用在內容遞送網絡的頭端系統中的一種方法；圖6-8示意性地示出了用在利用DVBSimulCrypt的內容遞送網絡的頭端系統中的各種方法；圖9示意性地示出了使用晶片組的一種實例方法；圖10-12分別示意性地示出了圖7-9中所示的系統和方法的經過修改的版本；圖13示意性地示出了圖12的晶片組的一種變型；以及圖14-18分別對應於圖6、7、8、10和11，並且包括一個或更多傳統ECM發生器以及一個或更多傳統EMM發生器。本發明的實施例的詳細描述在後面的描述中並且在附圖中描述了本發明的某些實施例。但是將會認識到，本發明不限於所描述的實施例，並且一些實施例可以不包括後面所描述的全部特徵。但是將會明顯的是，在不背離如所附權利要求書中所闡述的本發明的更寬泛的精神和範圍的情況下，可以在這裡做出各種修改和改變。圖3示意性地示出了根據本發明的一個實施例的示例性系統7。系統7包括被設置成經由分發網絡6與一個或更多接收器2進行通信的頭端系統4。頭端系統4通過分發網絡6向接收器2傳送（或發送或傳達）利用一個或更多控制字（即{Content}CW）加擾的內容流。頭端系統4可以通過分發網絡6向接收器2傳送一個或更多ECM和EMM，從而使得接收器2可以訪問所述一個或更多控制字，並且從而對已加擾內容流進行解擾。但是將會認識到，雖然將參照ECM和EMM來描述本發明的實施例，但是本發明的實施例不限於利用ECM和EMM。頭端系統4可以使用關於圖5-8、10、11和14-18描述的任何方法和系統來對內容加擾，並且向接收器2提供加擾信息（例如ECM和EMM）。分發網絡6可以是能夠向接收器2傳達或廣播解擾信息（例如ECM、EMM）和已加擾內容流的任何網絡。例如，分發網絡6可以包括有線電視網絡、衛星通信網絡、地面廣播網絡、網際網路等等當中的一項或更多項。（已加擾）內容流可以包括任意種類的內容數據，比如視頻數據、音頻數據、圖像數據、文字數據、應用/軟體數據、節目指南數據等等當中的一種或更多種。接收器2可以是用於接收ECM、EMM和已加擾內容流的任意類型的接收器（或客戶端器件）。例如，接收器2可以是機頂盒、集成到內容輸出器件（比如電視或無線電收音機）中的接收器、支持廣播服務的移動終端、個人計算機等等。接收器2可以包括或者可通信地耦合到用於向用戶輸出或再現已解擾並且已解碼的內容的器件（比如屏幕/監視器和/或一個或更多揚聲器）。接收器2包括用於解擾和/或解碼已加擾和/或已編碼內容的晶片組1。晶片組1可以可通信地連接到CA/DRM客戶端3。一般來說，接收器2接收、過濾ECM和EMM並且將其轉發到CA/DRM客戶端3以供進一步處理。CA/DRM客戶端3訪問來自所接收到的ECM和EMM的有條件訪問（CA）數據，並且然後可以利用關於圖4、9、12和13描述的任何方法和系統把控制字加載到晶片組1上。CA/DRM客戶端3可以是可從接收器2移除的安全器件，比如智慧卡（並且從而可以包括處理器和存儲器以用於實施將在下面描述的CA/DRM客戶端功能）。附加地或可替代地，CA/DRM客戶端3可以與接收器2集成在一起，並且可以被實施為接收器2的硬體組件和/或實施在運行在接收器2的受保護環境中的軟體中和/或實施在運行在接收器2中的模糊軟體中。利用後面描述的方法和系統來傳送有條件訪問消息（EMM和/或ECM）所需的帶寬與通過現有機制安全地把控制字加載到晶片組上所需的帶寬相當。這一點是很重要的，因為帶寬是寶貴的資源，並且後面描述的解決方案不會降低系統7的總體性能。後面描述的方法和系統提供了一種用於保護控制字的保密性和真實性的解決方案，其允許每一個CA/DRM系統和CA/DRM系統運營商獨立地建立密鑰加載機制，也就是說不需要在各個CA/DRM系統之間共享任何秘密（其中明顯的例外是在SimulCrypt操作中共享控制字，這是因為控制字就其定義是在SimulCrypt操作中共享的）。此外，在所述方案中沒有受信任方需要在其個性化完成之後管理與接收器（晶片組）相關聯的任何秘密。這就意味著在當前可用的垂直市場接收器解決方案中，受信任方的角色與晶片組製造商的角色相當。此外，新的方法和系統可以從其中真實性機制的根密鑰對被破解的安全性漏洞恢復，這是現有解決方案未能給出的安全性特徵。圖4示意性地示出了使用晶片組的一種實例方法。通過圖示的方式，利用晶片組402和CA/DRM客戶端404來實施該方法。（例如頭端系統4的）內容遞送模塊406可以向接收器2的晶片組402提供有條件訪問數據（比如ECM和EMM）以及已加擾內容流。晶片組402可以把有條件訪問數據傳遞到CA/DRM客戶端404以供進一步處理。在製造時，可以利用一個密鑰對將晶片組402個性化。在個性化階段期間，該密鑰對與一個晶片組序列號CSSN相關聯。CSSN被存儲在晶片組402的存儲器元件410中。所述密鑰對包括晶片組公共密鑰CSPK（其被存儲在晶片組402的存儲器元件414中）和相應的晶片組秘密（私有）密鑰CSSK（其被存儲在晶片組402的存儲器元件416中）。所述密鑰對優選地是在晶片組402中生成的（例如利用密鑰對個性化模塊412）。可替代地，密鑰對個性化模塊412可以被實施在晶片組402外部（例如實施在對於晶片組製造商可獲得的晶片組個性化系統中），並且製造商可以在其個性化期間把CSSK和CSPK加載到晶片組402中。在這之後，製造商可以從其（多個）系統中刪除CSSK。將會變得顯而易見的是，相關聯的公共密鑰密碼系統被用來保護解擾由晶片組402接收到的已加擾內容所需的控制字的保密性。通過使用公共密鑰密碼術允許晶片製造商對於所生產的每一個晶片組公開CSSN和CSPK。晶片組402的製造商保持各個數字對，每一對由晶片組序列號CSSN及其相關聯的晶片組公共密鑰CSPK構成。可以使得(CSSN,CSPK)對的列表對於所有CA/DRM系統可獲得。在向CA/DRM系統分發的過程中，應當優選地只保護該信息的真實性。為了防止敵對方也使用所述CSPK來成功地在一個晶片組中生成並使用CW加載消息，後面描述的系統和方法具有一種附加的機制，其要求晶片組402驗證CW加載消息的真實性。這一機制防止敵對方向晶片組402發布控制字，即使其知道該晶片組的已公開CSPK。後面描述的系統和方法通過使用與一個CA/DRM相關聯的另一個非對稱密鑰對實現了這一點，其中所述CA/DRM系統與頭端系統4相關聯。該密鑰對包括與所述CA/DRM系統相關聯的（公共）籤名驗證密鑰SVK和相應的（秘密/私有）籤名密鑰SK。該密鑰對用在由籤名生成算法和相應的籤名驗證算法構成的非對稱密碼方案中。密鑰對(SK,SVK)優選地由與頭端系統4相關聯的CA/DRM系統生成，並且其秘密密鑰SK不需要被任何CA/DRM供應商所知。CA/DRM客戶端404可以包括通信模塊，其用於接收由晶片組402和/或接收器2轉發的ECM和/或EMM以及/或者其他有條件訪問信息。該通信模塊可以被實施在CA/DRM客戶端404的密鑰控制模塊408內。密鑰控制模塊408可以從其通過晶片組402接收自內容遞送模塊406的有條件訪問數據獲得SVK。SVK可以由頭端系統4提供到CA/DRM客戶端404。籤名驗證密鑰SVK被存儲在CA/DRM客戶端404的存儲器元件420中。CA/DRM客戶端404可以把籤名驗證密鑰SVK發送到晶片組402，從而使得晶片組402可以把SVK存儲在該晶片組402的存儲器元件424中。從後面的討論將變得顯而易見的是，與頭端系統4相關聯的CA/DRM系統生成一個隨機值CW*（其或者被可互換地稱作「虛擬控制字」）。虛擬控制字CW*不被直接用於對內容加擾（解擾）。相反，從CW*和SVK可導出的一個值（即控制字CW）是被用於對內容加擾（解擾）的密鑰。頭端系統4利用ECM把虛擬控制字CW*發送到接收器2的晶片組402。晶片組402對所接收到的ECM進行過濾並且將其轉發到CA/DRM客戶端404以作為轉發到CA/DRM客戶端404的有條件訪問數據的一部分。密鑰控制模塊408從其接收到的ECM獲得虛擬控制字CW*。晶片組402包括用於對已加擾內容進行解擾的解擾器434。如前所述，晶片組402在解擾器434中不直接使用CW*，而是利用由晶片組402的H模塊432實施的散列函數H從CW*和SVK（其被存儲在存儲器元件424中）導出CW。H模塊432可以先把兩個輸入（CW*和SVK）合併，並且隨後對所合併的輸入應用散列函數從而產生輸出CW。H模塊432可以被實施在晶片組402的密碼/安全模塊內。函數H也可以是任何其他適當的密碼函數（也就是說其不一定必須是散列函數）。函數H的可能實施方式優選地具有以下屬性：在給定輸出CW的情況下，很難（例如困難、計算上困難、不可行或者計算上不可行）找到一個密鑰對(SK*,SVK*)和虛擬控制字CW**從而使得SVK*和CW**映射到CW（也就是說使得在把SVK*和CW**提供為針對函數H的輸入或者提供為針對H模塊432的輸入的情況下將導致輸出控制字CW）。在某些實施例中，「很難」可以意味著敵對方可能無法導出一個密鑰對(SK*,SVK*)和虛擬控制字CW**從而使得SVK*和CW**在多項式時間或空間中映射到CW。在其他實施例中，可以通過指定找到這樣的值所需的操作數目或者存儲器大小的下限來定義「很難」。作為第三個實例，可以通過指定所述屬性不會得到滿足的概率的上限來定義「很難」。具有這一屬性的函數H的一個實例如下：（1）合併輸入CW*與SVK從而產生中間結果X，例如通過把SVK的值附加到CW*的值；（2）對輸入X應用第二原像抵抗（2ndpre-imageresistant）散列函數，從而產生輸出CW。為了看出所述優選屬性對於該例同樣成立，應當觀察到，在給定控制字CW和公共密鑰SVK的情況下，敵對方將很難確定不等於SVK的SVK*和虛擬控制字CW**從而使得SVK*和CW**映射到CW。為了看出這一點，假設對於敵對方生成這樣的SVK*和這樣的CW**是不可行的。然後，在給定輸出CW以及輸入SVK和CW*的情況下，可以應用相同的方法來為散列函數生成由SVK*和CW**構成的第二原像，這是因為SVK*不等於SVK。這意味著所述散列函數不是第二原像抵抗散列函數，從而與所述假設矛盾。其結果是，敵對方的唯一選項是確定與CA/DRM系統（其與頭端系統4相關聯）的公共密鑰相關聯的籤名密鑰（即SVK），這由其定義對於非對稱方案來說是不可行的。此外還應當注意到，在虛擬控制字CW*是已知的情況下（即在針對第二原像抵抗散列函數的全部兩個輸入是已知的情況下），函數H也滿足所期望的屬性。這可以被視為以下情況：在給定輸出CW和針對第二原像抵抗散列函數的指定輸入的情況下，確定映射到給定輸出CW的針對該第二原像抵抗散列函數的第二不同輸入集合就其定義是不可行的。這意味著敵對方無法確定映射到給定CW的不同於SVK的籤名驗證密鑰。敵對方的唯一選項是確定與SVK相關聯的籤名密鑰，這就其定義而言對於非對稱密碼方案是不可行的。在應用函數H之後，H模塊432把輸出CW存儲在晶片組402的存儲器元件438中。利用來自存儲器元件438的CW，解擾模塊434可以對由內容遞送模塊406提供的內容進行解擾，並且把已解擾內容傳送到晶片組402的內容解碼器440以供進一步處理（例如視頻或音頻解壓縮）。內容解碼器440可以被實施在接收器2中以作為與晶片組402分開（或者處於其外部）的模塊。使用對稱加密來保護虛擬控制字CW*的保密性和真實性。具體來說，由與頭端系統4相關聯的CA/DRM系統生成對應於晶片組402（並且優選地為該晶片組402所獨有）的對稱晶片組加載密鑰CSLK。所述CSLK（意圖用於CA/DRM客戶端404並且利用由CA/DRM系統提供的保密且真實的信道對其進行保護）與初始化式樣CSLK-init（意圖用於晶片組402）一起被傳送到與晶片組402相連的CA/DRM客戶端404。初始化式樣CSLK-init包括CSLK的已加密版本（利用晶片組402的CSPK加密），並且正如後面將描述的那樣還包括CSLK的已加密版本的籤名（其中所述籤名是利用籤名密鑰SK生成的）。因此，以可以在晶片組402對CSLK-init進行處理以產生CSLK值的方式，CSLK被加密以產生CSLK-init。在一些實施例中，利用一個或更多EMM把CSLK（意圖用於CA/DRM客戶端404並且利用由CA/DRM系統提供的保密且真實的信道對其進行保護）和初始化式樣CSLK-init（意圖用於晶片組402）從頭端系統4傳送到晶片組402，並且晶片組402可以過濾出（多個）EMM並且將其轉發到CA/DRM客戶端404中的密鑰控制模塊408。（如果在頭端系統4內不知道CA/DRM客戶端404與晶片組402之間的唯一配對，則優選地使用分離的EMM來打包及傳送CSLK和初始化式樣CSLK-init）。密鑰控制模塊408然後可以從（多個）EMM中提取出CSLK和CSLK-init，以供CA/DRM客戶端404和晶片組402使用。CSLK可以被存儲在CA/DRM客戶端404的存儲器元件418中，並且CSLK-init可以被存儲在CA/DRM客戶端404的存儲器元件422中。CA/DRM客戶端404可以隨後把初始化式樣CSLK-init轉發到晶片組402中。通過使用CA/DRM客戶端404的對稱加密模塊444，CA/DRM客戶端404利用CSLK（其被存儲在存儲器元件418中）對CW*（其密鑰控制模塊408已經從被轉發到該密鑰控制模塊408的ECM中提取出）進行加密，從而產生{CW*}CSLK。可以在CA/DRM客戶端404的任何適當的安全性模塊中利用CSLK對CW*施行加密。CW*的已加密版本{CW*}CSLK然後被傳送到晶片組402，在該處將利用晶片組402的對稱解密模塊442（其對應於對稱加密模塊444）對{CW*}CSLK進行解密。解密模塊442使用存儲在晶片組404的存儲器元件430中的CSLK值來獲得CW*。可以利用與晶片組402可通信地連接的CA/DRM客戶端404中的任何適當的傳送模塊把初始化式樣CSLK-init和/或CW*的已加密版本從CA/DRM客戶端404傳送到晶片組402。可以利用晶片組402中的再另一個通信模塊在晶片組402處接收CW*的已加密版本和/或初始化式樣CSLK-init。為了獲得存儲在存儲器元件430中的CSLK值以用於解密{CW*}CSLK，晶片組402包括兩項密碼操作，其被實施為籤名驗證模塊426和解密模塊428。籤名驗證模塊426和解密模塊428可以被實施在晶片組402內的任何適當的密碼模塊中。晶片組402使用籤名驗證模塊426和與頭端系統4相關聯的CA/DRM系統的SVK（其被存儲在晶片組402的存儲器元件424中）來驗證CSLK-init的真實性。如果籤名驗證模塊426確定CSLK-init不真實（即如果所述籤名不是利用與SVK相關聯的SK生成的），則晶片組402可以採取任何適當的後續動作來確保接收器2的用戶不會獲得解密內容的訪問權限，比如不施行任何內容解密直到已經接收到新的CSLK-init消息和/或新的SVK為止，從而可以驗證該新的CSLK-init。可替代地，籤名驗證模塊426可以輸出一個值，只有在驗證成功的情況下解密模塊428才能夠從該值獲得CSLK，即只有在所述CSLK-init是已經利用對應於存儲在存儲器元件424中的SVK的SK籤署的情況下才能夠獲得CSLK；否則，籤名驗證模塊426可以輸出一個值，如果驗證不成功則解密模塊428將無法從該值獲得CSLK，也就是說如果所述CSLK-init不是利用對應於存儲在存儲器元件424中的SVK的SK籤署的，則無法獲得CSLK。例如可以使用帶有消息恢復的籤名機制。在驗證了CSLK-init的真實性之後，利用晶片組402的CSSK（其被存儲在存儲器元件416中）對CSLK-init中的已加密CSLK進行解密。由於CSLK是利用晶片組402的CSPK加密的，因此只有具有相應的CSSK的晶片組才可以正確地從CSLK-init消息中解密出CSLK。一旦晶片組402獲得了CSLK之後，就可以通過解密模塊442利用所獲得的CSLK來對{CW*}CSLK進行解密，以便獲得CW*。CW*的真實性受到保護，因為如果SVK的真實性和CSLK-init消息的真實性受到保護，則敵對方無法構造出將在晶片組402中產生CW*的對應於給定CW*的已加密CW*消息。CSLK-init消息的真實性通過利用SK對其進行籤署而受到保護。利用H模塊432和存儲在存儲器元件424中的SVK值，可以把SVK與CW*合併並且進行處理，從而產生CW。H模塊保護籤名驗證密鑰SVK的真實性，因為如果SVK不真實則CW解擾將失敗。也就是說，如果由不知道籤名密鑰SK的敵對方確定的一個密碼對(SK*,SVK*)當中的籤名驗證密鑰被提供為針對晶片組的輸入（例如以便加載由敵對方選擇的CSLK並且使用該CSLK來加載給定的CW*），則H模塊432將不會輸出正確的CW，並且從而內容解擾將失敗。對稱晶片組加載密鑰CSLK被用來解密利用對稱加密算法和密鑰CSLK加密的CW*值。H模塊432從CW*和SVK適當地導出CW，從而可以把CW加載到解擾模塊434中以便解擾內容。這種實施方式的好處在於，在處理CSLK-init消息以便最初獲得CSLK時，晶片組402隻需要施行（多項）公共密鑰密碼操作。在正常操作期間，CSLK和SVK可以被存儲在晶片組內部，並且CW處理開銷與現有系統類似。與H模塊432相關聯的計算步驟和普通對稱加密（或解密）步驟相當。為了與關於圖4描述的CA/DRM客戶端/晶片組配置一起工作，頭端系統4被配置成為每一個晶片組402產生晶片組加載密鑰初始化式樣（CSLK-init）。圖5示意性地示出了用在內容遞送網絡的此類頭端系統4中的一種方法。具體來說，頭端系統4的EMM發生器518生成對應於目標晶片組402的隨機晶片組加載密鑰CSLK（例如利用EMM發生器518的晶片組加載密鑰發生器508）。可以利用任何偽隨機數發生器來生成CSLK。優選地，EMM發生器518使用晶片組加載密鑰發生器508生成對於一個晶片組402群體當中的每一個晶片組402所獨有的CSLK，也就是說由頭端系統4處的CA/DRM系統服務的每一個接收器2具有不同於其他接收器2的其自身的CLSK。這樣就防止了對於消息{CW*}CSLK的（未經授權的）共享。EMM發生器518利用目標晶片組402的CSPK對所生成的CSLK進行加密（例如使用EMM發生器518的加密模塊510）。EMM發生器518可以包括CSPK存儲庫504，其存儲由該CA/DRM系統服務的各個晶片組402的CSPK。加密模塊510所施行的加密處理對應於由晶片組402的加密模塊428施行的解密處理。EMM發生器518使用SK（其被存儲在EMM發生器518的存儲器元件502中）來籤署已加密CSLK，從而產生晶片組加載密鑰初始化式樣CSLK-init（例如使用EMM發生器518的籤名模塊512）。EMM發生器518然後把所生成的CSLK-init與CSLK（意圖用於CA/DRM客戶端404，並且利用由CA/DRM系統提供的保密且真實的信道來保護）打包在一起從而形成一則EMM。該EMM的目標是連接到具有相應的CSPK或CSSN的晶片組402的CA/DRM客戶端404。如果在頭端系統4內不知道CA/DRM客戶端404與晶片組402之間的唯一配對，則優選地生成分離的EMM並且將其用於打包及傳送CSLK和CSLK-init。頭端系統4包括生成對應於CW*的隨機值的CW發生器506。CW發生器506可以利用任何偽隨機數發生器來生成對應於CW*的隨機值。頭端系統4包括ECM發生器516，其接收由CW發生器506生成的CW*，並且生成包含所接收到的CW*的ECM。頭端系統4包括多路復用器524。多路復用器524選擇適當的數據以傳送到CA/DRM模塊（或加擾模塊）526，其中選擇以下各項當中的至少一項：來自ECM發生器516的ECM輸出，來自EMM發生器518的EMM輸出，以及內容。可以把ECM和/或EMM從多路復用器524傳遞到內容遞送模塊528以便傳送到晶片組404。由CA/DRM模塊526利用CW對傳遞自多路復用器524的內容進行加擾。這方面可以涉及任何形式的內容加擾技術，其對應於內容解擾模塊434能夠施行的內容解擾。隨後把已加擾內容提供到內容遞送模塊528，後者把已加擾內容傳送到接收器2。所述頭端系統包括H模塊520，其用來產生用於在CA/DRM模塊526中對內容進行加擾的控制字。H模塊520可以被實施在密碼模塊中。為了產生CW，H模塊520實施對應於圖4的H模塊432的函數H。具體來說，所述H模塊從由CW發生器506生成並且在由ECM發生器516提供的ECM中傳送的CW*值導出CW。H模塊520把存儲在存儲器元件514中的籤名驗證密鑰SVK與由CW發生器506生成的CW*相組合，並且應用函數H（例如散列函數）以便把CW*值轉換成CW，並且前面對於晶片組402的H模塊432和函數H的描述（和要求）也適用於H模塊520及其函數H。當為其提供相同的輸入（SVK和CW*）時，晶片組404的H模塊432和頭端系統4的H模塊520產生相同的輸出CW。前面描述的方法和系統可以被用於例如在DVBSimulCrypt規範（DVB=數字視頻廣播）中描述的頭端系統之類的系統——參見ETSITS103197。DVBSimulCrypt規範允許兩個或更多CA/DRM系統共享一個控制字CW以作為共同密鑰。在DVBSimulCrypt規範中描述了在加擾數字TV內容流時所使用的用於促進共享CW流的一種常用頭端系統協議。因此，圖6示意性地示出了用在利用DVBSimulCrypt的內容遞送網絡的此類頭端系統4中的一種方法。具體來說，在圖6中，頭端系統4包括兩個CA/DRM系統，其具有對應的EMM發生器518（EMMG1和EMMG2）和ECM發生器516（ECMG1和ECMG2）。已經知道，SimulCrypt同步器530被用來協調多個ECM發生器516（例如通過獲得由CW發生器506輸出的CW*，連同任何特定於CA/DRM的參數把CW*提供到ECM發生器516，從ECM發生器516獲取ECM，同步各個ECM以及將其提供到多路復用器524的定時）。在ETSITS103197中闡述的普通DVB系統中，SimulCrypt同步器530將把各個控制字傳遞到加擾模塊526——但是正如前面所討論的那樣，是由H模塊520生成用於內容加擾的實際控制字CW並且把所生成的這些控制字CW傳遞到加擾模塊526（這是因為ECM不利用CW而是利用CW*）——因此在圖6中，SimulCrypt同步器530被顯示為把CW*提供到H模塊520。因此，可以使用標準SimulCrypt同步器530，唯一的區別在於其「控制字輸出」連接到H模塊520而不是直接連接到加擾模塊526。圖6中的兩個CA/DRM系統可能由不同的內容提供商/CA系統運營商來運行或運營。應當認識到，可以有任意數目的CA/DRM系統與頭端系統4相關聯，並且本發明的實施例不限於僅僅兩個CA/DRM系統。在圖6所示的系統中，各個參與的CA/DRM系統共享所述(SK,SVK)對。具體來說，第一EMM發生器518（EMMG1）和第二EMM發生器518（EMMG2）都知道並利用相同的SK和SVK。具體來說，二者都基於共同的SK和SVK如前所述地為與其對應的CA/DRM系統相關聯的接收器2生成EMM。如前所述地共享共同的SK和SVK存在若干缺陷。具體來說：●需要各個CA/DRM系統之間的保密信道來傳輸及共享秘密密鑰SK。但是在不同的CA/DRM系統之間可能不存在保密電子接口（特別是在各個CA/DRM系統與不同CA/DRM供應商相關聯的情況下）。因此將希望令每一個CA/DRM系統生成其自身的（多個）SK，並且僅僅共享（多個）相關聯的（公共）籤名驗證密鑰SVK。舉例來說，這樣的SK可以在頭端系統4的CA/DRM系統的硬體安全性模塊內部生成，並且不需要在任意時間點都在不受保護的情況下可用。●例如在秘密籤名密鑰SK被破解之後換新(SK,SVK)對對於參與在SimulCrypt操作中並且利用SK的所有CA/DRM系統都具有類似的操作影響。具體來說，必須生成利用新的籤名密鑰籤署的新的CSLK-initEMM並且為每一個參與的CA/DRM系統及其所服務的所有接收器2分發。有益的將是限制換新(SK,SVK)對的操作影響。本發明的實施例旨在解決這些問題。因此圖7示意性地示出了用在利用DVBSimulCrypt的內容遞送網絡的頭端系統4中的一種方法。具體來說，在圖7中，頭端系統4包括兩個CA/DRM系統，其具有對應的EMM發生器718（EMMG1和EMMG2）和ECM發生器516（ECMG1和ECMG2）。這與圖6中所示的架構相同，其不同之處在於EMM發生器718（EMMG1和EMMG2）包括並且利用對應的籤名密鑰SK1、SK2以及相應的籤名驗證密鑰SVK1、SVK2。具體來說，第一CA/DRM系統具有其自身的籤名密鑰SK1及其自身相應的籤名驗證密鑰SVK1，第二CA/DRM系統則具有其自身的（不同的）籤名密鑰SK2及其自身相應的籤名驗證密鑰SVK2。每一個CA/DRM系統獨立地生成其自身的(SKi,SVKi)對，並且可以將其籤名密鑰SKi對於所有其他CA/DRM系統保密——其只需要公開籤名驗證密鑰SVKi。應當想到該密鑰是公共密鑰，因此不需要保護其保密性。這意味著在SimulCrypt操作中不再需要各個CA/DRM系統之間的受保護接口。與圖6一樣，圖7中的兩個CA/DRM系統可能由不同的內容提供商/CA系統運營商來運行或運營。應當認識到，在圖7所示的系統中可以有任意數目的CA/DRM系統與頭端系統4相關聯，並且本發明的實施例不限於僅僅兩個有條件訪問末端系統。因此一般來說可以有n個CA/DRM系統並且因此有對應的n個不同的(SKi,SVKi)對。圖6的H模塊520被圖7所示的系統中的H模塊720所取代。具體來說，由於每一個CA/DRM系統現在具有其自身的籤名驗證密鑰SVKi，因此H模塊720被設置成接收籤名驗證密鑰集合SVK1,...,SVKn以及輸出自CW發生器506的CW*。H模塊720實施的函數H與H模塊520類似，其不同之處在於修改了安全性要求以便適應H模塊720操作在一個籤名驗證密鑰集合（或者多個籤名驗證密鑰）SVK1,...,SVKn上這一事實。具體來說，H模塊720可以合併輸入CW*、SVK1,...,SVKn，並且然後可以對所合併的輸入應用散列函數從而產生輸出CW。函數H也可以是任何其他適當的密碼函數（也就是說其不需要一定是散列函數）。函數H的可能實施方式優選地具有以下屬性：在給定CW的情況下，很難（例如困難、計算上困難、不可行或者計算上不可行）找到或計算或確定一個密鑰對(SK*,SVK*)和針對函數H的輸入，從而使得所確定的籤名驗證密鑰SVK*是針對H的所確定輸入中的籤名驗證密鑰，並且使得CW是H對於該輸入的輸出（即使得在向函數H提供該輸入或者作為針對H模塊720的輸入的情況下將導致輸出控制字CW）。在某些實施例中，「很難」可以意味著敵對方可能無法在多項式時間或空間中導出這樣的輸入。在其他實施例中，可以通過指定找到這樣的輸入所需的操作數目或者存儲器大小的下限來定義「很難」。作為第三個實例，可以通過指定所述屬性不會得到滿足的概率的上限來定義「很難」。具有這一屬性的函數H的一個實例如下：（1）合併輸入CW*、SVK1,...,SVKn從而產生中間結果X，例如通過把這些值串聯；（2）對輸入X應用第二原像抵抗散列函數，從而產生輸出CW。前面在討論僅接受單個SVK的函數H時所提供的分析類似地適用於接受一個籤名驗證密鑰集合的該經過修改的函數H。圖8示意性地示出了用在利用DVBSimulCrypt的內容遞送網絡的頭端系統4中的另一種方法。圖8中所示的系統和方法與圖7中所示的系統和方法相同，其不同之處在於所述CA/DRM系統之一具有多個(SKi,j,SVKi,j)對。具體來說，在圖8中，第二CA/DRM系統具有第一(SK2,1,SVK2,1)對和第二(SK2,2,SVK2,2)對。但是應當認識到，一個CA/DRM系統可以具有任意數目的籤名密鑰和相應的籤名驗證密鑰對(SKi,j,SVKi,j)。對應於第二CA/DRM系統的EMM發生器（EMMG2）可以包括開關800（或某種其他確定裝置），其用於在實施籤名處理以生成CSLK-initEMM時選擇特定的SK2,j（從與該CA/DRM系統相關聯的籤名密鑰SK2,1和SK2,2當中選擇）來使用。應當認識到，與頭端系統4相關聯的任意數目的CA/DRM系統可以具有多個相關聯的籤名密鑰以及相應的籤名驗證密鑰對(SKi,j,SVKi,j)。因此一般來說，如果有m（m≥1）個CA/DRM系統與一個頭端系統4相關聯並且如果第i（i=1...m）個CA/DRM系統具有ni（ni≥1）個相關聯的籤名密鑰以及相應的籤名驗證密鑰對(SKi,j,SVKi,j)，則存在個籤名密鑰以及相應的籤名驗證密鑰對(SKi,j,SVKi,j)。H模塊720從各個CA/DRM系統接收n個籤名驗證密鑰SVKi,j並且連同所生成的虛擬控制字CW*作為其輸入，並且如前面對於圖7所描述的那樣生成控制字CW。由於圖7和8的每一個CA/DRM系統使用特定於該CA/DRM系統（也就是說兩個CA/DRM系統不會使用相同的籤名密鑰）的籤名密鑰（以及相關聯的籤名驗證密鑰），因此內容提供商/CA系統運營商可以改變一個CA/DRM系統的密鑰對而不會顯著影響另一個CA/DRM系統（其可能由另一個內容提供商/CA系統運營商運營）。更精確地說，當一個CA/DRM系統利用一個(SK,SVK)對來更新一個(SKi,j,SVKi,j)對時，則：（a）該CA/DRM系統的EMM發生器需要為與該CA/DRM系統相關聯的接收器2生成並分發新的CSLK-initEMM（其包含CSLK值以及基於更新後的籤名密鑰SK的籤名）；（b）應當使得其他CA/DRM系統知曉新的籤名驗證密鑰SVK；（c）所有CA/DRM系統都應當向所有其相關聯的接收器分發新的籤名驗證密鑰SVK（這是因為正如後面將描述的那樣，接收器將需要使用新的籤名驗證密鑰）。在廣播網絡中，這一分發通常具有非常高的帶寬效率，這是因為包含新的籤名驗證密鑰SVK的消息對於所有接收器可以是相同的。因此，如果一個CA/DRM系統利用更新後的(SK,SVK)對來更新/換新密鑰對(SKi,j,SVKi,j)（例如在籤名密鑰SKi,j被破解之後），則對於SimulCrypt操作中的其他CA/DRM系統的影響是最小的。此外，如果籤名密鑰SKi,j被破解，其他CA/DRM系統的頭端安全性則不會受到損害，這是因為其自身的籤名密鑰與受到損害的籤名密鑰不同。這些其他CA/DRM系統只需要知曉新的更新後的籤名驗證密鑰SVK並且這些其他CA/DRM系統需要使得其所服務的接收器2也知曉新的更新後的籤名驗證密鑰SVK，這對於這些其他CA/DRM系統來說是直接明了的操作。如果籤名密鑰SKi,j被破解，則一旦更新後的籤名驗證密鑰SVK被用作針對H模塊的輸入（而不是使用SVKi,j）從而廢除被破解的籤名密鑰SKi,j，就對於SimulCrypt操作中的所有CA/DRM系統恢復了接收器安全性。如果一個CA/DRM系統運營商想要利用一個新的密鑰對(SK,SVK)來換新密鑰對(SKi,j,SVKi,j)，則對於運營商的接收器2群體當中的所有接收器2同時發生切換到所述新的密鑰對（這是因為在切換到新的密鑰對時，通過H模塊720，被生成來加擾內容的控制字將是基於更新後的SVK）。從運營的角度來看，當提供商開始使用新的密鑰對時，存在並非所有這些接收器2都已（通過EMM）接收到所有所需信息的風險（更精確地說：在使用新的SVK來生成控制字時，新的SVK、利用新SK籤署的接收器的獨有CSLK-init式樣或者意圖針對CA/DRM客戶端的CSLK可能還沒有通過EMM被傳送到接收器2或者在接收器2處被接收到）。這樣就可能潛在地導致若干接收器在一段時間內「停工」，因為其將無法成功地解擾內容（因為其將無法使用更新後的CSLK消息或更新後的SVK）。但是具有多個相關聯的(SKi,j,SVKi,j)對的CA/DRM系統具有以下優點。第一（當前）密鑰對(SKi,j,SVKi,j)可以被用來生成CSLK-init式樣消息，也就是說使用籤名密鑰SKi,j來籤署CSLK-init式樣。第二密鑰對(SKi,k,SVKi,k)的籤名密鑰SKi,k被保留用於將來使用（安全地存儲密鑰SKi,k）。第一和第二對的籤名驗證密鑰（即SVKi,j和SVKi,k）都被H模塊720使用來生成用於加擾內容的控制字。假設運營商想要廢除第一密鑰對(SKi,j,SVKi,j)（例如在籤名密鑰SKi,j被破解的情況下）。首先，CA/DRM系統從安全存儲裝置獲取SKi,k。接下來，CA/DRM系統利用SKi,k作為籤名密鑰生成新的CSLK-initEMM（如果CSLK也被更新，則還需要生成包含對應於CA/DRM客戶端的新的CSLK值的EMM）。CA/DRM系統把EMM分發到接收器2。CA/DRM系統還生成第三密鑰對(SKi,w,SVKi,w)，並且把公共籤名驗證密鑰SVKi,w分發到SimulCrypt操作中的所有CA/DRM系統。所有CA/DRM系統都把SVKi,w分發到其接收器（例如利用EMM）。只要SVKi,j和SVKi,k被H模塊720使用來生成用於加擾內容的控制字CW，接收器2就將接受利用籤名密鑰SKi,j或SKi,k籤署的CSLK-init消息（或者繼續利用其正確地操作並且施行正確的解擾）。也就是說，在這一時間期間，晶片組402可以獨立地切換到使用利用SKi,k籤署的新的/更新後的CSLK-init消息，而不是強制所有晶片組402都同時切換。舉例來說，CA/DRM系統可以一次請求一組CA/DRM客戶端404開始使用新的CSLKEMM（其中利用SKi,k籤署新的CSLK-init式樣）。這樣就限制了可能同時停工的接收器2的數目。在CA/DRM系統請求所有接收器2使用新的CSLK（EMM）之後，然後可以通過使用SVKi,w作為針對H模塊720的輸入以取代SVKi,j來恢復接收器安全性。在此之後，利用第二密鑰對(SKi,k,SVKi,k)換新第一密鑰對(SKi,j,SVKi,j)，並且對於利用通過SVKi,w導出的控制字加密的內容恢復接收器安全性，因為晶片組將不會接受利用（被破解的）SKi,j籤署的CSLK-init消息。應當提到的是，可以迭代地應用這一處理；下一次迭代中的密鑰對是(SKi,k,SVKi,k)和(SKi,w,SVKi,w)。圖9示意性地示出了使用晶片組的一種實例方法。該方法與圖4中所示的情況相同（並且因此後面將僅僅描述兩幅圖之間的區別）。圖9中所示的系統和方法與圖7和8中所示的系統相容。具體來說，取代為CA/DRM客戶端404提供單個籤名驗證密鑰SVK並且將其提供到晶片組402，CA/DRM客戶端404接收由n個籤名驗證密鑰SVK1,...,SVKn構成的集合，並且將這n個籤名驗證密鑰SVK1,...,SVKn提供到晶片組402（在不損失一般性的情況下，使用單個下標來區分不同的籤名驗證密鑰；該集合中的多於一個密鑰可以與單個CA/DRM系統相關聯）。CA/DRM客戶端404可以把每一個籤名驗證密鑰SVKi存儲在CA/DRM客戶端404的相應存儲器元件420(i)中；晶片組402可以把每一個籤名驗證密鑰SVKi存儲在晶片組402的相應存儲器元件424(i)中。正如前面所闡述的那樣，由服務於CA/DRM客戶端404的接收器2的CA/DRM系統（其與頭端系統4相關聯）向CA/DRM客戶端404通知所述籤名驗證密鑰集合SVK1,...,SVKn。此外，圖4的H模塊432在圖9中被H模塊900取代。H模塊900的操作方式與圖7和8中所示的系統的H模塊720相同。因此，假設已經為晶片組402提供了合法的/當前的籤名驗證密鑰SVK1,...,SVKn並且假設其已經成功地獲得了正確的虛擬控制字CW*，則H模塊900的輸出將是與由頭端系統4中的H模塊720輸出的相同控制字CW，並且因此晶片組402將能夠成功地對已加擾內容流進行解擾。優選地，針對晶片組實施方式的安全性要求在於，只有在利用籤名驗證密鑰集合SVK1,...,SVKn當中的一個密鑰驗證了與已加密CW*相關聯的CSLK-init消息的真實性並且發現CSLK-init消息是真實的情況下，才可以把CW*和籤名驗證密鑰集合SVK1,...,SVKn提供到H模塊900以導出CW（或者才可以把這樣導出的CW用於內容解擾）。由於晶片組402具有多個對其可用的籤名驗證密鑰SVK1,...,SVKn，因此籤名驗證模塊426被設置成選擇對應於其接收自CA/DRM客戶端404的CSLK-init式樣的籤名驗證密鑰SVKi。例如，頭端系統4可以為SVKi指派一個獨有的密鑰標識符IDi，並且可以把IDi附加到SVKi和利用相應的籤名密鑰SKi籤署的CSLK式樣。這樣就允許籤名驗證模塊426從所接收到的籤名驗證密鑰集合SVK1,...,SVKn當中選擇相關聯的籤名驗證密鑰SVKi。應當認識到，可以使用其他機制來允許籤名驗證模塊426選擇正確的籤名驗證密鑰SVKi。例如，籤名驗證模塊426可以被設置成嘗試每一個籤名驗證密鑰SVK1,...,SVKn，直到其中一個成功地驗證CSLK-init式樣的籤名為止——如果其都沒有成功地驗證該籤名，則籤名驗證處理失敗。在一些實施例中，所述籤名驗證密鑰集合SVK1,...,SVKn和CSLK-init消息連同每一個已加密CW*被提供到晶片組402。在這樣的實施例中，不需要把所述籤名驗證密鑰集合存儲在晶片組402內部以供將來使用。在實踐中，CA/DRM客戶端404和晶片組402將使用密鑰CSLK來保護從CA/DRM客戶端404到晶片組402的多個虛擬控制字CW*的傳送。為了避免用於導出每一個CW*的耗時的公共密鑰操作（也就是說由解密模塊428利用晶片組402的CSSK施行的公共密鑰解密，以及由籤名驗證模塊426利用SVKi施行的籤名驗證），在一些實施例中，密鑰CSLK在其被獲得之後被存儲（並保持）在晶片組402內部（例如在存儲器模塊430中）。因此，只有在晶片組402從CA/DRM客戶端404接收到新的CSLK-init式樣時才需要施行籤名驗證模塊426和解密模塊428的公共密鑰操作。在一些實施例中，將被用作針對H模塊900的輸入的籤名驗證密鑰集合SVK1,...,SVKn連同來自CA/DRM客戶端404的每一個已加密CW*被提供到晶片組402。在這樣的實施例中，不需要把所述籤名驗證密鑰集合存儲在晶片組402內部以供將來使用。如果所述集合SVK1,...,SVKn與來自CA/DRM客戶端404的已加密CW*消息一起被提供，則在使用所存儲的CSLK解密該已加密CW*之前，本發明的一些實施例被設置成使得晶片組402驗證（存儲在存儲器模塊430中的）CSLK是否是利用所接收到的集合SVK1,...,SVKn當中的一個密鑰加載/獲得的（也就是說用以最初獲得並存儲CSLK的處理是否涉及由籤名驗證模塊426利用其中一個接收到的籤名驗證密鑰SVK1,...,SVKn對所接收到的CSLK-init式樣施行籤名驗證處理）。實現這一目的的一種方式是如下：在處理了（與相關聯的籤名驗證密鑰SVKi一起接收到的）CSLK-init消息之後，晶片組402計算（其使用來驗證CSLK-init式樣的真實性的）籤名驗證密鑰SVKi的密碼散列函數，並且晶片組402把該散列值與CSLK一起存儲。對於所接收到的籤名驗證密鑰集合（其與已加密CW*一起接收到）當中的每一個籤名驗證密鑰，晶片組402可以計算其散列值，並且可以把所計算的散列值和與對已加密CW*進行解密所需的CSLK一起存儲的散列值進行比較——如果這一檢查揭示出所存儲的CSLK是利用一個有效籤名驗證密鑰加載的，則所存儲的該CSLK可以被解密模塊434使用來對已加密CW*進行解密。應當提到的是，在這樣的實施例中，只需要把相關聯的籤名驗證密鑰SVKi（而不是所述籤名驗證密鑰集合）提供給CSLK-init消息。也就是說，在這樣的實施例中，籤名驗證模塊426不需要被設置成從一個集合當中選擇籤名驗證密鑰SVKi。在一些實施例中，所述密鑰集合SVK1,...,SVKn（及其密鑰標識符ID1,...,IDn）可以被存儲在晶片組402內部以供將來使用。也就是說，所存儲的密鑰集合（及其密鑰標識符）被用來處理從CA/DRM客戶端404提供到晶片組402的CSLK-init消息和已加密CW*消息。在這樣的實施例中，可以把一個或更多CSLK-init式樣以及一個或更多已加密CW*提供到晶片組402。晶片組402可以利用所存儲的密鑰集合SVK1,...,SVKn和所存儲的密鑰標識符集合（其被籤名驗證模塊426使用來從所存儲的集合當中選擇正確的密鑰）從CSLK-init消息導出CSLK。晶片組402可以存儲CSLK以供將來使用。晶片組402使用所導出的CSLK從已加密CW*獲得CW*。接下來，晶片組402可以提供CW*和所存儲的密鑰集合SVK1,...,SVKn作為針對H模塊900的輸入，從而產生輸出CW。這樣，CA/DRM客戶端404與晶片組402之間的通信成本就被降低，並且可以改進總體系統性能。在一些實施例中，在（如前面所闡述的那樣）獲得多個CSLK密鑰之後將其存儲（並保持）在晶片組402內部。存儲多個CSLK密鑰可以避免在從當前所存儲的CSLK切換到另一個所存儲的CSLK時必須施行公共密鑰操作。這在晶片組402支持同時使用多個CA/DRM客戶端404時是特別有用的（其中每一個CA/DRM客戶端404可以使用不同的CSLK（並且可能使用不同的籤名驗證密鑰集合）），這是因為晶片組402於是可以在希望/必要時在各個CSLK之間施行（快速）切換。如果密鑰集合SVK1,...,SVKn（及其密鑰標識符ID1,...,IDn或者密鑰SVK1,...,SVKn的密碼散列值）被存儲在晶片組402內部以供將來使用，並且如果一個新的籤名驗證密鑰集合被提供到晶片組402（以存儲在晶片組402內部以取代密鑰集合SVK1,...,SVKn），則晶片組402可以被設置成確定一個或更多所存儲的CSLK是否是利用不存在於新近接收到的籤名驗證密鑰集合中的密鑰來加載的。例如，被用來驗證CSLK-init消息的真實性的籤名驗證密鑰SVKi的密鑰標識符IDi（或密碼散列值）可以與CSLK一起存儲。新近接收到的籤名驗證密鑰集合、所存儲的籤名驗證密鑰集合SVK1,...,SVKn（及其密鑰標識符或其密碼散列值）以及與（多個）CSLK一起存儲的密鑰標識符（或密碼散列值）可以被用來確定所存儲的一個或更多CSLK是否是利用不存在於新近接收到的籤名驗證密鑰集合中的密鑰來加載的。如果有任何這樣的（多個）CSLK，則晶片組402可以被設置成不使用這樣的CSLK導出CW*（例如可以停用這樣的CSLK或者簡單地從存儲器模塊430中刪除）。可替代地，每當一個新的驗證密鑰集合被加載並存儲在晶片組402內部時，可以從存儲器模塊430中刪除所有存儲的CSLK。此外，如果所存儲的（多個）CSLK被停用，則晶片組402可以被設置成在新的籤名驗證密鑰集合被提供到該晶片組402時並且在利用該新集合當中的一個密鑰驗證了相關聯的CSLK-init式樣時（重新）激活所述（多個）CSLK。舉例來說，如果晶片組402支持同時使用多個CA/DRM客戶端404則所述（重新）激活是有用的（其中每一個CA/DRM客戶端404可以使用不同的CSLK和不同的籤名驗證密鑰集合），這是因為晶片組402於是可以在希望/必要時在各個CSLK之間施行（快速）切換。圖10-12示意性地示出了分別在圖7-9中示出的系統和方法的經過修改的版本。其區別在於，所示出的頭端系統4和晶片組402包括h模塊1000。h模塊1000被設置成在其輸入處接收籤名驗證密鑰集合SVK1,...,SVKn而不是把該籤名驗證密鑰集合提供到對應的H模塊720、900。h模塊1000使用其輸入來產生中間值Z（晶片組402可以在晶片組402的存儲器模塊1010中存儲該中間值Z以供將來使用）。然後H模塊720、900接收中間值Z（即從籤名驗證密鑰集合SVK1,...,SVKn導出的值）和虛擬控制字CW*以作為其輸入，並且相應地輸出控制字CW——在這種意義下，其操作方式與圖4的H模塊432（其具有兩個輸入，一個是CW*，另一個是第二值）類似。h模塊1000可以按照與H模塊720、900完全相同的方式操作，其不同之處在於h模塊1000不接收虛擬控制字CW*作為其輸入。例如，h模塊720可以合併輸入SVK1,...,SVKn並且然後可以對所合併的輸入應用密碼散列函數h，從而產生輸出Z。函數h也可以是任何其他適當的密碼函數（即不需要一定是散列函數）。函數h的可能實施方式優選地具有以下屬性：在給定Z的情況下，很難（例如困難、計算上困難、不可行或者計算上不可行）找到或計算或確定一個密鑰對(SK*,SVK*)和針對函數h的輸入，從而使得所確定的籤名驗證密鑰SVK*是針對h的所確定輸入中的籤名驗證密鑰，並且使得Z是h對於該輸入的輸出（即使得在向函數h提供該輸入或者作為針對h模塊1000的輸入的情況下將導致輸出Z值）。在某些實施例中，「很難」可以意味著敵對方可能無法在多項式時間或空間中導出這樣的輸入。在其他實施例中，可以通過指定找到這樣的輸入所需的操作數目或者存儲器大小的下限來定義「很難」。作為第三個實例，可以通過指定所述屬性不會得到滿足的概率的上限來定義「很難」。實施函數h的可能方式包括（如前所述的）實施函數H的各種方式。但是一般來說，對於（利用h模塊1000的）這些實施例，函數H與函數h的聯合實施方式優選地具有以下屬性：在給定CW的情況下，很難（例如困難、計算上困難、不可行或者計算上不可行）找到或計算或確定一個密鑰對(SK*,SVK*)和針對函數H與函數h的聯合實施方式的輸入，從而使得所確定的籤名驗證密鑰SVK*是所確定的輸入中的籤名驗證密鑰，並且使得CW是函數H與函數h的聯合實施方式對於該輸入的輸出。在某些實施例中，「很難」可以意味著敵對方可能無法在多項式時間或空間中導出這樣的輸入。在其他實施例中，可以通過指定找到這樣的輸入所需的操作數目或者存儲器大小的下限來定義「很難」。作為第三個實例，可以通過指定所述屬性不會得到滿足的概率的上限來定義「很難」。圖13示意性地示出了圖12的晶片組402的一種變型，其中晶片組402不被設置成存儲籤名驗證密鑰集合SVK1,...,SVKn以供將來使用。相反，晶片組402可以簡單地存儲h模塊1000的輸出（即中間值Z），並且把該中間值Z用作針對H模塊900的輸入。這樣就可以降低晶片組402的存儲要求，因為存儲中間值Z所需的存儲器通常將遠小於存儲籤名驗證密鑰集合SVK1,...,SVKn所需的存儲器。此外，用於從CW*和Z導出CW的性能可以得到改進。在一些實施例中，在對CSLK-init消息（其與相關聯的籤名驗證密鑰SVKi一起被接收到）處理之後，晶片組402計算籤名驗證密鑰SVKi（其被用來驗證CSLK-init式樣的真實性）的密碼散列值，晶片組402把該散列值與CSLK一起存儲。如果向晶片組402提供一個籤名驗證密鑰集合（其被用作針對h模塊1000的輸入，從而產生將被存儲在晶片組402內部以用於導出控制字的Z值），則晶片組402可以計算所述集合當中的每一個籤名驗證密鑰的散列值，並且使用所計算的散列值和所存儲的散列值（對於每一個所存儲的CSLK存儲有一個散列值）來確定其中一個或更多所存儲的CSLK是否是利用存在於所接收到的籤名驗證密鑰集合當中的密鑰來加載的。與前面一樣，這樣的機制可以被用來基於所接收到的籤名驗證密鑰集合激活、停用或刪除（多個）CSLK。在一些實施例中，在晶片組402接收到一個籤名驗證密鑰集合SVK1,...,SVKn之後，其計算對應於這些密鑰當中的每一個的密碼散列值，並且把這些值與Z值一起存儲以供將來使用。舉例來說，如果與相關聯的籤名驗證密鑰SVKi一起接收到CSLK-init消息，則晶片組402可以計算該籤名驗證密鑰SVKi的密碼散列值。接下來，晶片組把所計算的散列值與所存儲的散列值進行比較，並且只有在（至少）其中一個所存儲的散列值與所計算的散列值相等時才對CSLK-init消息進行處理。這樣，只有在SVKi是被用來產生所存儲的Z的籤名驗證密鑰集合SVK1,...,SVKn當中的一個元素的情況下才對CSLK-init消息進行處理。在一些實施例中，向函數H（或者向函數h，如果其存在的話）提供一個密碼散列值集合（其對於所述籤名驗證密鑰集合SVK1,...,SVKn當中的每一個密鑰包括從該籤名驗證密鑰導出的一個相應的密碼散列值）而不是所述籤名驗證密鑰集合SVK1,...,SVKn。在這樣的實施例中，晶片組402不需要接收（或存儲）籤名驗證密鑰集合；晶片組402隻需要接收所述密碼散列值集合以及與CSLK-init消息相關聯的籤名驗證密鑰。晶片組402可以計算所接收到的籤名驗證密鑰（其與CSLK-init一起被接收到）的密碼散列值，並且把該散列值與所接收到（或存儲）的密碼散列值集合當中的各個密碼散列值進行比較，以便確定與CSLK-init消息一起提供的籤名驗證密鑰是否與集合SVK1,...,SVKn當中的一個籤名驗證密鑰相關聯。在一個實施例中，CA/DRM（頭端）系統可以計算所述密碼散列值集合。接下來，CA/DRM（頭端）系統可以把該密碼散列值集合發送到其各個CA/DRM客戶端。在這樣的實施例中，CA/DRM系統只需要把與該CA/DRM系統相關聯的（多個）籤名驗證密鑰提供到與該CA/DRM系統相關聯的各個CA/DRM客戶端（以便處理與該CA/DRM系統相關聯的CSLK-init消息）。在這樣的實施例中可以降低通信成本、存儲成本和計算成本。可替代地，可以由CA/DRM客戶端計算所述密碼散列函數集合（在接收到籤名驗證密鑰集合SVK1,...,SVKn之後）。圖14-18分別對應於圖6、7、8、10和11。但是在圖14-18所示的系統中，存在一個或更多傳統ECM發生器1500以及一個或更多傳統EMM發生器1550。傳統ECM發生器1500和傳統EMM發生器1550對應於與頭端系統4相關聯的一個或更多CA/DRM系統，其不利用前面描述的方法來保護控制字的保密性和真實性（也就是說這些CA/DRM系統不利用CW*）。因此，傳統ECM發生器1500被設置成接收由H模塊900生成的CW並且基於CW生成ECM——這與基於虛擬控制字CW*生成ECM的ECM發生器516相反。在圖14-18所示的系統中，傳統ECM發生器1500被設置成通過SimulCrypt同步器530接收CW，但是應當認識到，這並非實質性的。類似地，傳統EMM發生器1550生成EMM並且將這些EMM提供到多路復用器524——其不提供針對H模塊900或h模塊1000的輸入。在一些實施例中，函數H的輸出可以包括將被用在內容加擾（解擾）機制中的多於一個值。舉例來說，H模塊的輸出可以由虛擬控制字CW*和從CW*導出的第二密鑰以及密鑰集合SVK1,...,SVKn（或者如果使用h模塊1000的話則是Z值）構成。這兩個導出密鑰然後可以被用在超加擾解決方案中，其中在頭端系統4處把一個密鑰用在第一加擾步驟中，並且把另一個密鑰用在第二加擾步驟中。晶片組402可以被修改成施行兩個相應的解擾步驟而不是一個。一般來說，H模塊的輸出可以包括多個內容加擾（解擾）密鑰，其可以被使用在由多個加擾（解擾）步驟構成的超加擾解決方案中。函數H的輸出還可以包括多於一個控制字。這些控制字當中的每一個可以被用於對相關聯的內容段進行加擾（解擾）。舉例來說，H模塊的輸出可以由兩個控制字構成。第一控制字可以被用於加擾（解擾）第一段內容，第二控制字可以被用於加擾（解擾）第二段內容。在其中函數H的輸出包括將被用在內容加擾（解擾）機制中的多於一個值的實施例中，函數H的可能實施方式優選地具有以下屬性：在給定輸出Y的情況下，很難（例如困難、計算上困難、不可行或者計算上不可行）找到或計算或確定一個密鑰對(SK*,SVK*)和針對H的輸入，從而使得所確定的籤名驗證密鑰SVK*是針對H的所確定輸入中的籤名驗證密鑰，並且使得Y是H對於該輸入的輸出。（如果使用了h模塊1000，則可以如前所述地適配所述優選屬性。）此外還可能要求函數H的優選屬性對於輸出的各個部分獨立地成立，例如對於與一段內容相關聯的所有密鑰獨立地成立。應當提到的是，這是一項有用但是並不嚴格必要的更強屬性，因為所述較弱屬性（即前面關於輸出Y描述的屬性）已經暗示了對於與H的輸出相關聯的至少一段內容的解擾將會失敗。在一些實施例中，籤名驗證密鑰集合SVK1,...,SVKn（或其散列值）的第一子集被提供到函數h，並且函數H的輸入包括函數h的輸出和籤名驗證密鑰集合SVK1,...,SVKn（或其散列值）的第二子集。這兩個子集可以分別包括其中一個或更多（或者所有）籤名驗證密鑰SVK1,...,SVKn。這兩個子集的併集是整個籤名驗證密鑰集合SVK1,...,SVKn。這兩個子集可以或者可以不重疊。在一些實施例中，虛擬CW*的（比特）長度可以大於CW的（比特）長度，例如如果H模塊的輸出包括多於一個控制字的話。在一些實施例中，函數H和/或函數h可以接收一個或更多附加輸入，並且基於這一個或更多附加輸入生成其對應的輸出。雖然在本發明的前述實施例中描述並使用了通用公共密鑰密碼術模塊，但是應當認識到，只要提供CW加載消息的真實性和保密性，就可以使用任何其他適當的密碼操作和基礎設施。作為一個實例，所述真實性機制可以使用其中SK和SVK都是秘密密鑰的對稱方案。這樣的系統的一個眾所周知的實例是RSA，其具有隨機選擇的加密（或解密）指數，二者都被保密。如果使用其中SVK是秘密密鑰的真實性機制，則優選地按照已加密形式把SVK傳送到晶片組402，其中例如使用相關聯的晶片組402的晶片組秘密密鑰CSSK作為加密密鑰。但是應當提到的是，如果使用對稱真實性機制，則在本公開內容中描述的一些優點不適用。還有可能把附加的密鑰層插入到前面描述的方法和系統中，或者去除前面描述的方法和系統中的某一密鑰層。前面所提到的各種對稱和非對稱加密/解密模塊和方案可以利用當前已知或者未來所設想的任何對稱或非對稱加密/解密算法。類似地，前面所提到的各種籤名生成和驗證模塊和方案可以利用當前已知或者未來所設想的任何籤名生成和驗證算法。應當認識到，可以利用多種不同的信息處理系統來實施本發明的實施例。具體來說，雖然附圖及其討論提供了示例性架構，但是這些示例性架構僅僅是為了提供討論本發明的各個方面時的有用參考而給出的。當然，出於討論的目的簡化了對於所述架構的描述，並且可以用於本發明的實施例的僅僅是許多不同類型的架構的其中之一。應當認識到，各個邏輯塊之間的邊界僅僅是說明性的，並且替換實施例可以合併各個邏輯塊或元件，或者可以在各個邏輯塊或元件當中施加替換的功能分解。應當認識到，如果本發明的實施例由電腦程式實施，則載送所述電腦程式的存儲介質和傳送介質也構成本發明的各個方面。所述電腦程式可以具有一條或更多條程序指令或程序代碼，當由計算機執行時其實施本發明的一個實施例。這裡所使用的術語「程序」可以是被設計成用於在計算機系統上執行的指令序列，並且可以包括子例程、函數、過程、對象方法、對象實施方式、可執行應用、小應用程式、小服務程序、原始碼、對象代碼、共享庫、動態連結庫以及/或者被設計成用於在計算機系統上執行的其他指令序列。所述存儲介質可以是磁碟（比如硬碟驅動器或軟盤）、光碟（比如CD-ROM、DVD-ROM或藍光碟）或存儲器（比如ROM、RAM、EEPROM、EPROM、快閃記憶體或可攜式/可移除存儲器器件）等等。所述傳送介質可以是通信信號、數據廣播、兩臺或更多臺計算機之間的通信鏈路等等。