移动付费电视DRM体系结构

摘要

本发明提供了移动付费电视DRM体系结构，结合具有机顶盒（STB）功能的片上系统（SoC）的安全分区运行的安全元件允许在移动平台操作数字版权管理（DRM）密钥。安全元件可包括被实施为硬宏的安全处理系统（SPS），从而将SPS与外围设备处理系统（PPS）隔离。安全元件与SoC的安全分区可操作地通过安全加密通道连接。

说明书

技术领域

本公开的技术领域涉及移动电视和数字版权管理（DRM），并且特别 涉及利用移动装置/平台中的嵌入安全元件（eSE）来用于密钥操作。

背景技术

机顶盒（STB）可用于接收和解码数字电视或有线广播。更多近来的 STB还可具有与数据网络连接的能力，从而允许用户例如经由电视而不是 通过计算机与互联网交互。可存在各种不同类型的STB，包括仅接收和解 译编码的电视或有线信号的那些；可用作用于接收多媒体内容的多媒体网 关的那些；可为了所有目的和意图而运行为可执行各种高级服务（例如， 视频会议、家庭网络、IP电话、视频点播等）的多媒体桌面计算机的那些。

数字版权管理（DRM）可涉及能够在提供数字内容的STB或其他装 置中实施的各种访问控制技术。特别地，DRM技术能够用于允许服务和/ 或内容供应商安全地提供数字内容，其中DRM保护的内容可利用许可证 来加密和封包以强制执行DRM保护内容的授权消费。这种DRM技术的 示例可包括但不限于以下几种：苹果公司的技术；Windows DRM；开放移动联盟（OMA）DRM；数字传输许可管理机构的 数字传输内容保护（DTCP）和数字视频广播内容保护与复制管理（DVB -CPCM）。

移动电视可涉及通过移动电信网络向诸如蜂窝电话、手持式移动计算 机（例如，个人数字助理（PDA）、智能手机，平板计算机）、音乐播放器 （例如MP3播放器）的移动装置提供电视服务。移动电视使用户能够在 他们的移动装置上访问与电视相关的内容。可通过移动电视广播提供音 频、视频和交互内容。很多广播公司已提供了移动电视广播，并且市场上 这种广播的数量正在稳步地增加，其中来自广播公司的移动电视信号可根 据众多移动电视标准来广播。示例移动电视标准包括但不限于，数字视频 广播-手持（DVB-H）、数字多媒体广播（DMB）、TDtv、单波段、DAB和 媒体FLO。移动电视可包括付费电视服务和/或内容，其可涉及基于订阅 的或用于付费的电视服务和/或内容，其可通过例如模拟电缆、数字电缆、 卫星技术来经由数字地面和网络电视来提供。这种付费电视服务和/或内容 可利用DRM技术来保护。

发明内容

根据本发明的一个实施方式，提供一种设备，包括：半导体芯片，所 述半导体芯片具有用于处理媒体信号的安全分区；以及安全元件，用于执 行至少一个数字版权管理DRM模式的密钥操作，其中，所述安全元件可 操作地经由安全加密通道连接至所述半导体芯片。

其中，所述媒体信号包括移动付费电视广播信号。

其中，所述安全分区在制造所述设备期间被绑定到所述安全元件。

其中，所述安全分区至所述安全元件的所述绑定包括对称的绑定或基 于证书的绑定中的一个。

其中，执行所述密钥操作包括利用第一密钥加密与所述DRM模式相 关联的私钥，并且利用第二密钥再次加密所述加密的私钥。

该设备进一步包括所述安全分区中的密钥路由器，所述密钥路由器用 于接收所述再次加密的私钥。

该设备进一步包括所述安全分区中的用于首先使用所述第一密钥随 后使用所述第二密钥解密所述再次加密的私钥的硬件。

其中，所述第一密钥和所述第二密钥是已知的，并且所述第一密钥和 所述第二密钥仅对所述安全分区的安全硬件和所述安全元件是可访问的。

根据本发明的一个实施方式，提供一种设备，包括安全元件，用于操 作数字版权管理DRM私钥；主机处理器，用于控制嵌入的所述安全元件； 以及密钥路由器，用于从所述安全元件接收加密的DRM私钥，其中，所 述主机处理器和所述密钥处理器共同位于片上系统（SoC）上，并且所述 安全元件经由安全加密通道连接至所述密钥路由器。

其中，所述安全加密通道基于所述加密核心中的编码的标识符，所述 加密核心绑定到所述安全元件。

其中，所述SoC包括安全分区中的用于利用两个密钥解密所述加密 的DRM私钥的硬件。

该设备进一步包括存储器单元，所述解密的DRM私钥被存放在所述 存储器单元中。

该设备进一步包括运行在所述主机处理器上用于将所述解密的DRM 私钥从所述存储器单元传递回所述硬件的公共DRM架构软件。

其中，所述解密的DRM私钥被用于解译通过所述系统接收的受保护 的媒体内容。

根据本发明的另一个实施方式，提供一种系统，包括：主机装置，包 括主机处理器；安全元件，包括：安全处理子系统，所述安全处理子系统 被实施为用于处理媒体内容的硬宏；以及外围设备处理子系统，用于中继 至和自所述安全处理子系统和所述主机装置的通信，其中，所述安全处理 子系统是与所述外围设备处理子系统隔离的硬件；以及片上系统（SoC）， 用于在所述主机装置中实施机顶盒功能。

其中，所述安全元件可操作地经由安全加密通道连接至具有所述SoC 的安全分区的媒体处理核，经由所述安全加密通道传递用于媒体内容的条 件性访问的密钥。

该系统进一步包括存储器单元，通过运行在所述主机处理器上的软件 至和自所述存储器单元传送所述条件性访问的密钥的解密版本。

其中，通过使用第一唯一密钥和第二全局密钥解密用于条件性访问的 所述密钥的加密版本，来产生所述密钥的所述解密版本。

其中，所述第一唯一密钥和所述第二全局密钥是未知的并且不可由所 述主机处理器访问。

附图说明

为了更全面地理解本发明的示例实施方式，现在，以下将结合附图参 对本发明进行以下描述，附图中：

图1A示出了用在STB之中的片上系统（SoC）的安全分区的示例体 系机构；

图1B-图1D示出了STB中的示例DRM准备和数据流；

图2示出了用在主机装置中的eSE的示例体系结构；

图3示出了表示结合主机装置运行的嵌入安全元件的示例连接示图；

图4示出了示例嵌入安全元件配置；以及

图5示出了示例安全处理子系统配置。

具体实施方式

试图在某些类型的装置中装入相对不可靠的软件应用程序或架构会 使根据一个或多个行业定义的认证标准或测试程序执行的可应用的认证 过程变得复杂。例如，由有线电视运营商使用的很多STB的供应商认证 是经由严格的认证过程进行的，该严格的认证过程测试装置的互操作性和 安全兼容性，该装置实施诸如、PacketCable^TM、CableHome^TM和OpenCable^TM的规范。这些装置的成功认证通常需要完整的端到端的安 全性。同样地，在特定装置或部件（诸如SoC）中实施的DRM和其他技 术可能需要不允许与不安全的操作系统（OS）环境或软件架构的某些交互 的完全不同的认证过程。当在有线STB、电缆调制解调器、媒体终端适配 器等有线电视服务装置中实施时，某些规范可能需要在制造装置时将数字 证书嵌入到装置中。这些证书加强了很多安全特征（包括装置授权和内容 完整性）。作为示例，嵌入在这些装置中的数字证书通过允许内容供应商 或服务运营商对请求服务的装置进行授权，来帮助阻止服务的盗用。

通常，如果STB等装置中的媒体路径的任何不安全的部分未被隔离， 则将导致这种路径的认证失败。大部分常规STB被设计为提供通过装置 的各种元件或部件的单个安全的和认证的路径。在某些近来的多处理器 STB中，通过在常规认证的路径与不可靠的部件之间建立硬件边界，来将 两者分离。特别地，利用第一处理模块来提供安全功能（例如，解码操作）， 而具有较低安全级别的单独的处理模块被用于支持不可靠的架构。

软件架构可提供应用程序编程接口（API）功能和服务，其不是由基 础（underlying）操作系统提供的，并且因此软件架构可在某些实施方式 中提供平台独立性级别。架构通常被设计为可再度使用和可适配的软件系 统或子系统。

某些装置的处理单元可具有多个处理器或处理核，以提供更高的性能 和/或多任务能力。在这些多处理器系统的一些中，当运行多个应用或程序 时，通常需要访问控制以将运行在多个处理器上的应用的功能分离。运行 在不同处理器上的不同应用和/或任务的分离或隔离帮助确保一个应用不 干扰另一个的执行。同样地，分配给一个处理器的数据不应被另一个处理 器访问，除非该数据在两个处理器之间共享。这种分离可涉及控制每个应 用对系统的其余部分进行的总线访问。即使在其中一个处理器环境提供可 靠的或安全的操作而另一个运行在不安全的或受限的环境中的多处理器 系统中，当操作系统管理分离时，也会存在从不安全区域侵入安全区域的 的巨大可能性。

例如，在允许用户接收电视信号并还允许用户访问互联网的STB中， 安全环境可运行与由有线电视或卫星电视供应商或其他服务运营商提供 的某些频道或内容的接收、解密和显示有关的应用（包括安全STB应用）。 STB中的不安全环境可执行允许用户访问互联网以进行网页浏览、游戏等 的应用。在该示例中，内容供应商通常不希望用户或其他人访问属于电视 频道的应用。然而，如果用于控制对两种环境的访问的软件中存在共同性， 诸如运行相同的操作系统以管理两种环境下的访问，则可能具有很高的访 问冲突的风险。这种冲突无论是有意的还是无意的，都可导致对STB的 安全应用的不安全侵入，诸如源于网站的入侵进入受保护的电视频道。

进一步地，在所描述的实施方式中，本文的某些说明描述了用于提供 处理功能的装置的处理模块、处理器或CPU。然而，应理解，在其他实施 方式中，可使用各种其他装置和/或术语来在实践本发明时提供处理功能。 各种实施方式可容易地适用于其他用途，即，其中存在多个处理环境（区 域、域等），在该多个处理环境中，可能期望两个或多个区域之间的分离 和/或隔离。同样地，尽管某些实施方式被描述为通过STB、移动装置或 执行可靠的媒体处理操作的某些类似的媒体处理装置来实施，但本文描述 的体系机构或方法也可全部或部分适用于其他装置，包括诸如RVR的媒 体消费装置、DVD播放器、接入点、电视、计算装置等。在付费电视服 务的背景下，条件性访问（CA）可涉及允许通过加密来限制某些内容（例 如，广播、编程产品等）的服务。为了观看这些内容，内容可在解码之前 被解密以用于观看。

图1A示出了用在STB之中的SoC（其可以是单个半导体芯片）的安 全分区100的示例体系结构，其中，如以下将更详细描述的，安全分区100 的一个或多个元件和/或应用可由片上应用处理器（例如，ACPU102）来 控制，并且来自ACPU102的安全指令可被传输至安全处理器（例如，安 全处理器104）。SoC可接收输入数据，诸如，广播信号。安全处理器104 可被用于例如屏幕数据传输以及对SoC的安全分区100的受限访问。此外， 安全处理器104可支持一个或多个多媒体应用，其为编程信息提供安全性。 这些应用可包括由CA模块106实施的CA应用、分别由CP解密（CP-D）、 CP加密（CP-S）模块和CA/CP密钥表108a、108b和108c实施的复制保 护（CP）应用和/或其他DRM机制。更进一步地，安全处理器104可包括 在卫星和有线电视STB以及各种CA和CP标准中需要的安全部件，诸如 用于有线卡和安全视频处理器（SVP）的CP。安全处理器104还可支持 各种安全算法的实施，不论是开放的还是专有的。

此外，SoC的安全分区100可包括记录、音频、视频接口引擎（RAVE） 模块110，其可被用于从存储器（例如，动态随机存取存储器（DRAM） 112A）读取压缩的音频和视频。RAVE模块110例如可解密压缩的音频和 视频以解压和显示压缩的音频和视频，其是使用存储器至存储器（M2M） 安全性并经由DRM加密模块112b、M2M密钥表114a以及M2M加密/ 解密模块114b来实施的。M2M可涉及对输入数据或在SoC的安全分区 100之中传输的其他数据执行密码功能，其通过从存储器（例如，DRAM 112a）读取数据并在执行密码功能之后写入存储器（例如，DRAM112a） 中来执行的，密码功能例如如以下关联于一个或多个DRM方案更详细讨 论的加密和解密密钥）。这些密钥可经由密钥路由器116来接收。

媒体（例如，视频）处理也可发生在SoC的安全分区100中。即， 信号（诸如上述的广播信号）可作为例如压缩的数字数据或数字化基带模 拟视频流动，例如，并且可通过RAVE模块110产生基于该信号的可解码 流。可解码流可通过RAVE模块110被存储在存储器（诸如，DRAM112a） 中。可通过视频解码器从DRAM112a中检索被解码的并再存储在DRAM 112a中的可解码流。显示模块可随后操作解码流，并且例如可执行缩放和 帧组合，另外的图形和/或视频可与该信号视频相结合，并且由此产生的流 可被发送至一个或多个视频编码器以通过合适的输出接口（诸如，例如高 清晰度多媒体接口（HDMI））显示。

应注意，SoC／半导体芯片的安全分区100可包括或多或少的元件和 /或模块，该元件和/或模块可包括可被操作为处理SoC的安全分区100的 一种或多种类型的数据和／或控制和／或管理操作、任务和／或应用的合 适的逻辑、电路、接口和／或代码。

图1B示出了DRM秘密／私钥向STB的交付的示例。DRM秘密／ 私钥（例如，Netflix证书105a、DRM秘密105b（例如，Windows 媒体DRM秘密）、以及DRM秘密105c）可离线预先准备，并可 在STB制造商生产线中被交付至STB。如上所述，STB可采用SoC，其 中，其中SoC的安全分区100可利用与SoC相关联的全局唯一秘密密钥 来加密每个DRM秘密／私钥。主机处理器（例如，ACPU102）可将用 SoC全局唯一秘密密钥加密的DRM秘密／私钥写入STB／移动装置／主 机装置的闪存115。SoC全局唯一秘密密钥可被称为K_SoCGlobal，并且加密 的DRM秘密／私钥可被称为K_SoCGlobal（DRM私钥）。

图1C示出了再次加密过程，其中，全局加密的DRM秘密／私钥 K_SoCGlobal（DRM私钥）可利用与SoC相关联的唯一密钥再次被加密，以 阻止存储在存储器中的全局加密的DRM秘密／私钥版本K_SoCGlobal（DRM 私钥）被复制到另一个STB。即，每个STB可具有相同的SoC全局唯一 秘密密钥，因此利用SoC唯一密钥（其可被称为K_SoCUnique）的再次加密过 程可防止克隆问题。特别地，SoC主机处理器（例如，图1的ACPU102） 可将全局加密的DRM秘密／私钥K_SoCGlobal（DRM私钥）转发至SoC M2M 硬件，SoC M2M硬件可包括M2M密钥表114a、M2M加密／解密模块114b 以及DRM加密模块112b。SoC M2M硬件可随后通过利用SoC唯一密钥 K_SoCUnique加密全局加密的DRM秘密／私钥K_SoCGlobal（DRM私钥）来执行 再次加密过程，从而产生可被称为K_SoCUnique（K_SoCGlobal（DRM私钥））的 再次加密的版本。

在运行时间，主机软件可执行DRM堆栈，DRM堆栈可请求使用以 再次加密的方式存储在闪存中的DRM秘密／私钥的密码操作。图1D示 出了在DRM实施层130中实施的示例DRM堆栈。在图1D中示出的公共 DRM架构可被用于提供API，DRM堆栈通过API做出密码操作请求。公 共DRM架构可具有SoC安全性硬件（SoC的安全分区100）首先使用SoC 唯一密钥K_SoCUnique解密DRM包，并且随后使用SoC全局唯一秘密密钥 K_SoCGlobal来解密DRM包。可通过安全硬件执行两个解密操作，以使得SoC 全局和唯一秘密密钥是未知的并且不能被主机处理器访问。因此，清晰的 和未加密的DRM证书（例如，图1B的Netflix证书105a）可出现在存储 器中，并且运行在主机处理器上的公共DRM架构软件将随后分别经由在 一般加密实施层135中实施的公共密码库、在硬件（和软件）接口和低级 别实施层140和145中实施的连接和低级别驱动器，将秘密/私钥传递至安 全硬件。

应注意，如果不存在必需的硬件（例如，密码加速器），则公共DRM 架构可经由在一般密码实施层135中实施的密码软件库，将秘密/私钥传递 至诸如openSSL的软件密码数据库（实施在硬件和软件接口层140）。上 述公共DRM架构可提供所有必需的密码和公共的API以及稳健的密钥管 理，同时允许基础硬件不同。

还应注意，DRM堆栈和通用的DRM架构可全部运行在主机处理器 上，并且依赖于软件隔离和安全性以取保正确的、稳健的操作（如以下更 加详细地描述的）。解密的DRM秘密/私钥对于主机处理器是可利用的， 而SoC全局和唯一秘密密钥不是。

如上所述，很多广播公司已经提供移动电视广播，并且市场上这类广 播的数量正在稳步增加。因此，移动付费电视广播内容的数量和普遍性也 在稳步增加。尽管提供移动付费电视服务的传统方法可寻求确保移动装置 的可靠执行引擎方面，即，通过将密钥操作与由相同处理器操作的媒体（例 如，视频处理）相结合，但达到通常在STB中建立的相同的安全性级别 将会使得成本过高。而且，跟随图1A的示例体系结构，传统的方法将依 赖于安全处理器至移动装置的移动处理器的集成，再次增加了例如制造移 动处理器的额外的成本。

另外其他的传统方法可能依赖于客户身份模块（SIM）卡的使用。然 而，SIM卡通常由移动网络运营商或无线运营商控制，移动网络运营商或 无线运营商中的每一个可能依赖于复杂的和不同的商业模式和分区，使得 很难针对移动付费电视实现SE的基于SIM卡的实施（以及用于移动付费 电视服务/内容的移动付费应用的发行和执行）。

根据各种实施方式，SE（诸如eSE）可被用于诸如移动装置（例如， 只能电话）、平板计算机或其他主机装置的移动环境中。eSE可执行在STB （如上所述）上可通过安全处理器（诸如，图1A的安全处理器104）执 行的上述安全功能。

如图2所示，这种eSE（例如，eSE204）可执行DRM方案的密钥操 作。可在移动装置的SoC（用于实现移动STB功能，并且其还可被认为 是可靠的执行引擎）的安全分区200中执行视频处理。图2进一步示出了 ACPU202，如上所述，ACPU202可将安全指令传输至eSE204。图2的 SoC（像图1A的SoC一样）可接收诸如广播信号的输入数据。eSE204 可执行屏幕数据传输以及限制对SoC的安全分区200的访问，并且可支持 提供一个或多个多媒体应用，该一个或多个多媒体应用为编程信息提供安 全性。再次，并且类似于上面参考图1A所述的那些应用，这些应用可包 括由CA模块206实施的CA应用、分别由CP-D、CP-S模块和CA/CP密 钥表208a、208b和208c实施的CP应用和/或其他DRM机制。仍进一步 地，eSE204可包括在卫星和有线电视STB以及各种CA和CP标准中需 要的安全部件（诸如，用于有线电视卡和SVP的CP），并且还可支持各 种开放的和/或专有的安全算法的实施。

SoC的安全分区200可包括RAVE模块210，RAVE模块210可被用 从DRAM212a中读取压缩的音频和视频。RAVE模块210可例如解密压 缩的音频和视频以解压和显示压缩的音频和视频，该压缩的音频和视频是 使用M2M安全性并经由DRM加密模块112b、M2M密钥表114a以及 M2M加密/解密模块114b来实施的。可经由密钥路由器216接收在与一个 或多个DRM方案相关联的密码功能被执行时所利用的密钥（例如，加密 和解密密钥）。

媒体（例如，视频）处理可发生在SoC的安全分区200中，其中， 例如，广播信号可作为压缩的数字数据或数字化基带模拟视频流动，例如， 并且可通过RAVE模块210产生基于该信号的可解码流。可解码流可通过 RAVE模块210存储在存储器（诸如，DRAM212a）中，通过视频解码器 从DRAM212a检索、解码并再存储（还原，restore）在DRAM212a中。 显示模块可随后操作解码流，并且例如可执行缩放和帧组合，另外的图形 和/或视频可与信号视频结合，并且由此产生的流可被发送至一个或多个视 频编码器以通过合适的输出接口（诸如，例如高清晰多媒体接口（HDMI） 接口218）显示。

同样如图2所示，安全加密通道220可操作地通过密钥路由器216 将eSE204与安全分区200的“加密核心”连接。而在图1A中，可设置 片上直接硬件连接120，其不能被SoC的安全分区100的视频处理方面“看 到”，加密通道220类似地通过在安全分区200的加密核心中编码唯一标 识符而被“隐藏”，加密核心可被绑定到eSE204。这可例如在制造移动 装置期间经由对称的或基于证书的绑定（binding）来完成。

应注意，SoC/半导体芯片的安全分区200可包括或多或少的元件和/ 或模块，该元件和/或模块可包括合适的逻辑、电路、接口和/或代码，其 可操作为处理SoC的安全分区200的一种或多种类型的数据和/或控制和/ 或管理操作、任务和/或应用。

根据各种实施方式，eSE（诸如，eSE204）的利用具有成为任何移动 装置的集成部分的优势，并且因为它由移动装置原始设备制造商（OEM） 控制，因此可提供可以是载体不可知的各种应用/实施。根据一个方面，eSE 可利用安全处理系统硬宏。如本文所利用的，术语“硬宏”可以指在集成 电路（IC）芯片上的逻辑功能的设计，该逻辑功能的设计可指定所需要的 逻辑元件如何互相连接以及部件之间的物理路径和/或配线图案。特别地， 根据各种实施方式的安全处理系统（SPS）可以是芯片隔离的硬宏（其可 被示例为例如专用IC（ASIC））。这可与未指定物理路径和/或配线图案的 软宏对比。根据各种实施方式的SPS可通过被SPS保护的隔离桥接器， 利用一般接口来访问和/或以其他方式与这种不安全的/外围逻辑和/或电 路（其可构成或包含外围设备处理系统（PPS））交互。即，根据各种实施 方式配置的eSE可被分割成可包括硬宏SPS的第一部分以及可包括PPS 的第二部分，其中，硬宏SPS可以是在硬宏的边界之内“自足的”并与 PPS隔离的。根据各种实施方式，PPS可以指被用于将物理传输接口（如 以下更加详细描述的）上的通信中继至隔离桥接器的处理系统。同样因此， 根据各种实施方式的硬宏SPS可以是“传输不可知的”。

根据各种实施方式，并且作为利用硬宏SPS的结果，硬宏SPS可被 认证（和/或满足例如DRM的安全性要求），并且在一个或多个装置中被 使用/再使用而无需再认证全部的那些一个或多个装置。即，例如，共同的 安全性要求可以是仅在系统（例如，SPS）的安全域中执行认证的（或可 靠的）代码。在满足该安全要求的某些方法中，系统可实施其中硬件机构 被用于允许单个处理器逻辑地操作为两个处理器的体系结构。然而，从安 全角度看，该体系结构可能需要阻止SPS利用应用处理器同时操作。

此外，并且在多应用环境的背景下，安全的（认证的）应用（诸如认 证的财务应用）可与客户编写的小程序共存。因此，一旦客户编写的（不 可靠的）小程序被添加至多应用环境，则在这种多应用环境中存在的装置 的认证可能变为无效的。因此，根据各种实施方式的硬宏SPS的利用可避 免例如在不可靠的小程序被添加至多应用环境时重新认证整个装置的需 要。

此外，对接口驱动器和/或系统接口的任何更新例如不需要影响硬宏 SPS的认证，也将不会引起任何类型的安全风险。例如，当装置可能是小 的IC芯片时，利用传统SPS的装置的认证可能需要对包括任何接口（诸 如，一个或多个外围设备接口）的整个装置的认证。因为这种（小IC芯 片）装置中的任何差异可能仅仅涉及在闪存、电可擦除可编程只读存储器 （EEPROM）和/或运行在装置的平台上的软件的差异，将装置的这些方 面作为用于认证的TOE的一部分来包括是简单的。尽管重新认证每个装 置可能是昂贵的和漫长的过程，其中，任何新的安全威胁也可能需要评估， 在例如对智能卡装置的逐代变化的背景下，整个装置的重新认证可能不会 引起问题。然而，并且在组合/多模式装置的背景下，诸如实现诸如无线局 域网（WLAN）、蓝牙、全球导航卫星系统（GNSS）（例如，全球定位系 统（GPS））和利用例如第三代合作伙伴计划（3GPP）长期演进（LTE） 通信标准、第四代（4G）移动通信标准或第三代（3G）移动通信标准的 蜂窝通信的某些结合的通信装置，例如，重新认证可能是不可行的或至少 很难实现。

本文描述的各种实施方式是为在主机装置（诸如，移动装置）中结合 一个或多个连接控制器使用而设计的eSE的背景下提供的。连接控制器可 包括在/实施为连接装置/芯片。这种连接装置/芯片可提供例如NFC功能、 蓝牙通信、Wi-Fi^TM通信等或其任意组合。各种实施方式也可提供可特定 于可无需利用例如NFC的主机装置的安全性应用。

eSE设计可利用外部闪存以在移动装置中提供接近无限安全的应用 存储。非易失性数据可存储在主机处理器闪存或本地串行外围设备接口 （SPI）闪存中，其中，本地SPI闪存可用于当主机（例如，移动手持机） 未上电时可利用的应用。这种应用的一个示例可以是现场电源应用。此外， 本地SPI闪存可用于存储在外部非易失性存储器中的评估对象（TOE）之 外的静态信息。

外部闪存可总是通过存储在eSE中的唯一密钥来保护，以确保应用 和数据的安全性与片上信息保持在相同的等级。外部闪存可通过eSE固件 和主机装置软件来管理，以确保与基于主机装置的应用的无缝集成。通过 在外部提供闪存，eSE提供能够适应安全应用存储的灵活性的选择以及用 于在其他主机装置中的未来集成的潜力。

根据各种实施方式设计eSE的SPS可能需要完全地在安全设备中将 SPS设计为硬宏。例如，一旦实现了作为硬宏的SPS的最终芯片级设计， 则该最终的芯片级设计可被导入到安全设备中。硬宏SPS可与eSE的其它 部件（例如，PPS）融合。可在eSE上执行设计规则检查（DRC），并且 一旦DRC确认（利用必需的设计规则）后，eSE可从安全设备录制到认 证的芯片（例如，IC）制造线/制造的设备上。

eSE可利用各种系统接口以提供外部连接。第一接口可以将eSE连接 至NFC或连接控制器，第一接口为安全应用提供接口以使用无线电接口 通信。例如，主机装置（利用根据各种实施方式的eSE）与NFC使能的 装置可使用NFC经由安全应用交互。第二接口可将eSE与主机装置处理 器连接。eSE可（物理地或逻辑地）连接至主机装置处理器以进行管理（诸 如装载与下载应用）以及与特定主机的安全应用交互。可依靠第三接口来 允许eSE访问闪存，其中，再次，eSE可连接（物理地或逻辑地）至外部 闪存以执行应用程序代码和数据存储。应注意，其他系统接口可被eSE用 于外部连接目的。

图3示出了表示结合连接装置/芯片310和主机装置335运行的eSE 304的示例连接示图，其中，主机装置335可例如是移动装置，并且连接 装置/芯片310可为主机装置335提供多频带连接。

如之前描述的，eSE304可利用外部闪存（例如，通用集成电路卡 （UICC）360）以存储安全应用和/或安全信息，以及利用本地闪存（例如， 本地闪存305）以存储非易失性数据。eSE304可经由SPI接口302连接 至本地闪存305，并且可经由单线协议（SWP）或经由双线协议（DWP） 接口306连接至NFC控制器315a，连接至UICC360，以及使用SWP接 口308从NFC控制器315a连接至UICC360。UICC165可经由ISO7816 接口307连接至主机装置335。

在SWP接口（诸如，SWP接口306）上的通信与SPS时钟可以是异 步的（其将在下面更详细地描述），不会遗漏时钟数据并且可运行在高达 1.7Mbps。DWP接口可被认为与协议层上的SWP接口相同，其中，数字 接收和传输线被用于旁路SWP PHY，其用于提供较低功率但较高性能接 口。DWP接口可运行在高达6.8Mbps的速度，其中，当使用SWP接口 时，DWP接口的未使用引脚可被用作通用目的输入/输出（GPIO）引脚。

再次，eSE304可利用外部非易失性/闪存以存储安全应用和信息/数 据。eSE304可被配置为使用主机闪存、本地闪存或两者。本地闪存可被 用于其中主机装置335是不可用的情形（诸如，前述的现场电源模式）。 在一个示例中，本地闪存305可被用于存储现场（field）（或低功率）模 式应用和数据，例如，主要用于NFC应用。主机处理器/装置连接可被用 于提供从主机装置处理器下载安全应用和页面数据到eSE304中的选项。 应注意，各种闪存可使用对每个单独的eSE（诸如，eSE304）唯一的密钥 来保护，其中由eSE保护的安全状态被加密、认证和重放。

连接装置/芯片310可包括前述的NFC控制器315a，eSE304经由 SWP/DWP接口306连接至NFC控制器315a。反过来，NFC控制器315a 可被连接至无线电设备325和天线330以实现NFC（或其他无线电通信连 接）。在连接装置/芯片310中的另外元件可包括其他连接控制器（诸如， 连接控制器315b），其可提供蓝牙连接、WLAN（例如，Wi-Fi^TM）连接 等。NFC控制器315a、连接控制器315b和无线电设备325可经由一个或 多个通信接口（其可以是例如有线的或无线的）进行通信，并且它们之间 的互连可形成例如并行或串行接口以承载这些通信。应注意，为便于参考， 已经忽略了连接装置/芯片310的其他元件，并且在不背离本公开的精神和 范围的前提下，可实施在连接装置/芯片310中的或多或少的元件。

具体地，对于eSE304与NFC控制器315a之间的SWP/DWP接口 306，在其上可发生所有通信，并且在该SWP/DWP模式中可支持EEPROM 仿真，其中，eSE304可经由SWP/DWP接口306为NFC控制器315a提 供EEPROM仿真。EEPROM仿真可提供从本地闪存305高达8K字节的 数据读取。在SWP/DWP+主机模式中，所有的主机通信可发生在主机装 置接口上，而所有的无线电通信可发生在SWP/DWP接口上。应注意，DWP 接口以与SWP接口相同的方式工作，如之前所述的，使用在PHY层的数 字信令以减少功率并提高性能。

同样，经由数字无接触桥接器（DCLB）接口/NFC有线接口（NFC-WI） 310连接至连接装置/芯片310的可以是智能卡控制器365，诸如， SmartMX^TM接触接口控制器、SLE97固态闪存^TM智能卡微控制器等。DCLB 接口可以指用于提供eSE与NFC调制解调器之间的连接的接口，并且NFC WI接口可以指具有2根信号线（信号入和信号出）的NFC有线接口，以 提供eSE与NFC接口的RF接口之间的连接。智能卡控制器365可被用于 控制UICC360。

eSE可提供多个可能的物理主机装置连接选项，以用于与主机装置 335交互。尽管由于eSE304可通过NFC控制器315a或连接控制器315b 与主机装置335通信而可以不需要物理主机装置连接，但在支持非NFC 安全应用的情况下，可优选地利用物理主机连接。被支持以实现这种物理 主机装置连接的可能的主机装置接口312可包括但不限于以下：通用异步 接收器发送器（UART）接口，特别是速度能够高达6Mbps的四线流控制 的UART；SPI接口，特别是高达33Mbps的吞吐量的SPI从属模式；以 及IC间（I2C）接口，特别是专用于以高达3.4Mbps的吞吐量与主机装置 335通信的两线I2C从属连接。应注意，可利用其他物理主机装置连接， 例如，通用串行总线（USB）连接。

UART接口335可利用以下I/O信号：RX、TX、RTX和CTS。UART 接口355可具有从9600bps至4.0Mbps的可调整的波特率，并且可具由返 回波特率选择的自动波特率检测功能。可替代地，可通过特定于供应商的 UART HCI命令来选择波特率。可在正常的UART HCI操作期间发出特定 于供应商的UART HCI命令。默认波特率可以是115.2kbps，并且eSE300 侧的UART接口（未示出）可与主机装置335侧的UART接口335正确 地运行，只要eSE304和主机装置335的组合波特率误差在+/‐2%之内。 UART接口355可以以通常为24MHZ的固定参考时钟运行，但其他参考 时钟频率也是可以的。

应注意，由于通过UART与蓝牙和SE装置通信的基带主机可能希 望使用共同的驱动器，因此，UART接口355可支持各种蓝牙HCI协议， 如eSE304所进行的。此外，UART接口355可执行XON/XOFF流控制并 包括用于串行线路输入协议（SLIP）的硬件支持，并还可执行唤醒激活。

当从可能的主机装置接口312选择了UART接口355时，UART接 口355可被配置为模拟ISO7816接口以用于再利用现有的测试设备，其 中，被ISO7816接口利用的三个信号（例如，CLK、RST、IO）可被配置 为UART装置的输入端，在这种情况下，eSE304和/或主机装置355。CLK 输入信号可被用于替换eSE304的恢复电路中的波特时钟，RST线路可被 路由为对PPS220中利用的处理器（例如，Cortex‐M0）的中断，并且I/O 线路可被配置为将传输信号用作数据线路的驱动。应注意，因为UART接 口355模拟ISO7816接口，因此其不需要作为兼容的ISO7816接口，并 且可在UART接口的两侧都使用默认波特率以避免CLK修改。外部电阻 器可被用于阻止IO线路上的信号用于ISO7816通信，并且可从PPS的处 理器控制eSE304可编程的驱动强度。

应注意，可能的主机装置接口312（例如，UART、SPI和I2C接口） 可使用对主机装置335多路复用的共享引脚，以允许在某一时刻使用可能 的接口装置312中的一个。如果经由I2C接口实现主机处理器/装置连接， 则剩余的接口引脚可被用作GPIO。当在以下将更加详细讨论的一次性可 编程（OTP）存储器还未被编程时，可基于在eSE304中的接口感应确定 可能的主机装置接口312的其中一个的选择。可替代地，OTP存储器可在 制造期间被编程，以选择可能的主机装置接口312的特定主机接口，禁用 所有其他的接口。

还应注意，尽管可在eSE304与NFC控制器315a和/或连接控制器 315b之间实施直接连接，但主机装置接口（例如，可能的主机装置接口 312的其中一个）和SPI接口302都可通过NFC控制器315a至主机装置 335来逻辑地仿真。可以以通常可存在至少例如512K字节的本地闪存（例 如，本地闪存305）存储的假设来设计eSE304。

此外，如之前所述，eSE304可经由安全加密通道320连接至SoC的 安全分区300，以在主机装置335中实施移动STB功能。还如之前所述的， SoC的安全分区300可被进一步连接至主机装置335的显示器302，以呈 现移动电视内容，诸如在SoC的安全分区300进行处理之后的移动付费电 视内容。更进一步地，可以以与图1B-图1D中示出的相似方式在这种移 动背景下实施DRM准备和数据流。

如之前指出的，eSE304可被分成两个部分或子系统，即，硬宏SPS 和PPS。图4示出了能够表示图3的eSE304的示例实施方式的eSE404， 其中，eSE404可包括硬宏SPS405和PPS420，其中，硬宏SPS405是与 PPS420隔离的硬件，PPS420可包括不安全的或非安全性相关的元件（例 如，存储器和外围设备，诸如用于前述主机装置外围设备接口的驱动器）。 即，PPS420独立于硬宏SPS405来运行，从而允许硬宏SPS405保持其 安全性认证，而不需要因为安全至关重要而在PPS420中包括任何驱动器 和/或硬件接口。如以下更加详细描述的，隔离桥接器410可以是用于OOS 420与硬宏SPS405之间的TOE通信的唯一接口。此外，PPS420可模拟 用于硬宏SPS405的NFC控制器（例如，图3的NFC控制器315a），并 且硬宏SPS405电源模式从属于PPS420（以及NFC控制器）。

PPS420可利用处理器225（例如，Cortex‐M0处理器）以在硬件隔 离环境（诸如，eSE404）中执行接口驱动代码。处理器425可从硬宏SPS 405请求安全服务，并且可以负责将数据从硬宏SPS405的静态随机访问 存储器（SRAM）中的IO共享存储空间移动至外围设备接口/将数据从外 围设备接口移动至硬宏SPS405的静态随机访问存储器（SRAM）中的IO 共享存储空间。处理器425可经由SPI主接口480对硬宏SPS405的SPI 闪存接口（例如，SPI主接口415）进行读/写访问，直至它信号指示硬宏 SPS405退出重置。一旦硬宏SPS405被激活，则PPS420可丢失对硬宏 SPS405的SPI闪存接口的访问。此外，运行在处理器425上的固件可确 保硬宏SPS405中的固件没有一个需要基于改变外部驱动器而改变。因此， 设置用于处理器425的分离的和隔离的补丁机制。

本地只读存储器（ROM）模块430可被配置为保持用于处理器425 的驱动器代码，其中分配的该编码块的大小可以例如是64K字节。PPS420 可包括它自身的用于高达16个补丁的专用补丁功能，其中，补丁代码可 通过PPS420验证和从本地闪存（例如，图3的本地闪存305）来加载。 PPS420可发送用于硬宏SPS405的请求以更新本地闪存305中的补丁位 置。PPS420的补丁代码可被存储在专用于PPS420的闪存区，其中，当 补丁被下载到PPS420的专用闪存中时，补丁文件的签名通过PPS420 ROM代码来验证，从而利用嵌入在补丁文件中的主要和次要修订提供复 原保护。

PPS420可包括能够存储1k比特信息的OTP块（未示出）。该OTP 块可被用于认证密钥，并且测试可靠性、可维护性和可用性（RMA）分析 的调试信息。

PPS420可进一步包括用于处理器425的专用的16K字节临时存储 器（例如，SRAM模块435）。处理器425可被允许执行来自该存储器的 指令，并且在硬宏SPS405与PPS420之间的隔离的I/O缓冲器（未示出） 可被用于交换命令和数据。

为了在硬宏SPS405与PPS420之间通信，硬宏SPS405和PPS420 可利用I/O存储器的协商部分，来创建在前述隔离桥接器410之中实施的 两个系统之间的邮箱。硬件可提供例如可由硬宏SPS405固件控制的8个 信号以指示状态以及中断PPS420，其中处理器420非易失性IC可基于在 两个系统之间利用的协议屏蔽这些来源。

例如，在处理可以是唯一的（屏蔽）状态的智能卡应用协议数据单元 （APDU）时，可通过硬宏SPS405设置忙信号。一旦命令完成，硬宏SPS 405可设置可引起由处理器425采取的中断（未屏蔽）的完成标记。这些 信号的使用的定义可通过硬宏SPS405安全固件和处理器425固件来确 定。类似地，固件可提供例如可通过PPS420固件控制的8个信号以指示 状态以及中断硬宏SPS405（其中，通过硬宏SPS405安全固件来控制中 断）。

除了两个系统之间的中断和I/O存储器通信之外，可通过硬宏SPS 405维持状态信息，该状态信息可通过PPS420从本地闪存（例如，本地 闪存305）中读取。PPS420将接口状态信息提供至作为隔离的内存缓冲 器的一部分的硬宏SPS405。而且，硬宏SPS405系统状态信息（诸如， 电源状态、主机端口、NFC端口等）可通过将本地闪存用作为NFC EEPROM（如上所述）仿真所提供的缓冲器的扩展在电源循环中来保持。 应注意，然而，在此提供的这种状态信息是系统相关的并且可不包含任何 安全敏感信息。

更进一步地，PPS420可包含参考具有1MHz分辨率的程序扫描时钟 （PSCLK）信号（不考虑PSCLK频率，其是恒定的）的其自身的专用定 时器465。而且，PPS420和硬宏SPS405可具有用于邮箱业务的8K字节 共享内存缓冲器，其可以是字节写入的。

如之前所述，eSE（例如，eSE404）可利用各种系统接口来提供外部 连接。因此，如上所述，PPS420可包括用于与主机装置（诸如，主机装 置335）通信的从属SPI控制器/接口450。在SPI主（在主机装置335之 中）与eSE404之间的物理接口可由4个SPI信号（SPI_CSB、SPI_CLK、 SPI_SI和SPI_S）和一个中断信号（SPI_INT）组成。eSE404可被配置为 接受在SPI_CSB芯片选择信号上的低激活或高激活极性并且还可被配置 为驱动低激活或高激活SPI_INT中断信号。SPI_INT信号可方便数据包级 别流的控制。此外，在数据线（SPI-SI和SPI-SO）上的位排序可被配置为 小字节序或大字节序。可在SPI主接口与eSE404之间实施专有睡眠模式 半双工握手。

SPI从属接口450可包括以下：支持SPI模式0（CPOL=0,CPHA=0）， 其中，另一个模式可被设置为默认值；支持正常SPI位排序（MSB在前）； 在参考时钟范围之内（例如，最高至24MHz）的操作；以及当主机装置 335需要服务SPI从属接口450时支持中断产生。

SPI硬件可共享先进先出（FIFO），FIFO可以指一组读/写指针、存 储器（例如，SRAM）以及利用UART的控制逻辑，其中，对FIFO的访 问可通过高级的高性能总线（AHB）接口或者通过直接存储器存取（DMA） 或中央处理单元（CPU）来进行。可支持各种SPI模式，并且主机装置335 可决定使用哪个SPI模式。一旦决定了使用哪个SPI模式，主机装置335 可在启动时利用协商请求消息通知eSE404该选择。应注意，FIFO的大小 可根据期望的吞吐量要求来调整，但作为示例，可支持9位寻址从而可选 择大到例如512B的任何FIFO尺寸。

另一个SPI主接口415可在硬宏SPS405中本地实施，并且可专用于 访问本地闪存305。SPI主接口415可支持双数据I/O以与各种闪存供应商 兼容。输出可以是双向的以支持双输入并且支持OnSemi，并且还可包括 Atmel和Macronix双数据IO。本地闪存305的复用可通过PPS420中的 硬件来控制，如上所述，该硬件在重置时通过默认值选择PPS420并且随 后当SPS405被激活时切换（无毛刺）至SPS405。

如上面提到的，可能的主机装置接口312（例如，UART、SPI和I2C） 可被配置为GPIO。信号引脚可被控制为输入、输出、I/O、开路漏极。它 们可支持水平和边缘敏感的中断。因此，这些可能的主机装置接口312在 PPS420中可经由12C接口445、SPI从属接口450和UART接口455来 实现，通过GPIO/MUX460来配置和表示。此外，前述的DWP/SWP连接 可经由DWP/SWP接口440来实现。

对于eSE404的时钟结构，内部的安全时钟域（其将在下面更加详细 地描述）可完全地与所有其他外部时钟（包括时钟470）隔离并异步，所 有其他外部时钟可被用于PPS420中的隔离的元件。可基于专用于PPS420 的可选的外部时钟输入或外部低功率振荡器（LPO），产生PPS420的时 钟470，其中，输入时钟频率可通过eSE404自动地感测。主机装置接口 时钟（未示出）可以是以下频率的其中一个：26MHz、13MHz、9.6MHz、 19.2MHz、38.4MHz,52MHz或16MHz，并且可以是时钟输入或eSE404 本地的晶体电路。

电源管理单元（PMU）475可为PPS420和SPS405两者提供电源。 在一个示例中，PMU475可以是由NFC控制器315a供电的1.8v电源， 并且当主机装置335不可用时，PMU475可被用于现场电源应用。电源电 压（电压漏极）VDD/VDDBAT输入可从5.5伏下降到2.4伏，并且可被用 于所有其他操作模式以对eSE404供电。PMU475可提供升压/降压转换 以管理外部电容器485，其中外部电容器485可被用于确保至外部闪存（例 如，UICC360）的写入完成，以在硬宏SPS405的所有操作模式下防止断 开。应注意，可以在用于PPS420的硬件中不设置防止断开功能。

图5示出了硬宏SPS405的示例表示，其可以是图4的硬宏SPS405 的实施方式。硬宏SPS405可由处理器410控制。根据各种实施方式，该 处理器410可以是执行低级别开机代码、密码库和安全IC嵌入软件的 ARM体系结构安全处理器核心的定制化实施，并且可通过加密的总线（矩 阵）520与硬宏SPS505的其他元件通信。同样根据各种实施方式，处理 器510可使高速存取存储器增强性能以及存储器保护单元（MPU）提供各 种软件任务之间的资源分区。

DMA控制器515可被硬宏SPS405利用以加速数据传输，并且用作 用于加密的总线520的硬件分区的总线主接口，其中，加密的总线520可 通过使硬宏SPS405中的所有访问发生在加密总线520上，来为硬宏SPS 405提供保护。应注意，加密的总线52可支持地址和数据总线的加密。

硬宏SPS505的存储器525可包括集成的SRAM、ROM以及硬件存 储器保护单元（HMPU）和安全补丁机制。在SRAM中的数据可以以加密 的格式来存储，并且HMPU可提供内存段中的主接口（master）之间的硬 件分区（partition）。ROM可保持IC专用的支持和测试软件、开机固件和 前述安全IC嵌入软件的任何静态部分。如SRAM一样，ROM中的数据 也可被加密。此外，安全补丁机制可被用于ROM，其中所有的补丁可被 加密并通过安全开机固件来认证。一旦初始化，IC专用的支持软件 （FW.SPS_Boot和FW.SPS_Flash）可支持补丁图像的加载。

可通过NVM-OTP530处理配置和装置唯一的信息。可由硬宏SPS 505来支持真随机数生成（TRNG）和伪RNG（PRNG）。TRNG生成器（其 可被认为是TOE的一部分，即，硬宏SPS505）可满足AIS31的RNG功 能级别PTG.2的要求。AIS31可以指一种用于估计物理RNG生成器的方 法，该生成器与熵源的随机模型和随机原始数（与内部随机数相对）的统 计测试一起来检测总熵源故障和内部随机数的非耐受的统计缺陷。

如之前描述的，硬宏SPS505之中的内部安全时钟域可完全地与所有 其他外部时钟隔离和异步。低速外围设备（LSP）540可包括用于硬宏SPS 505的时间、安全传感器和时钟生成控制。

加密处理引擎545可允许硬宏SPS505硬件支持用于根据高级加密标 准（AES）、基于散列的消息认证码（HMAC）、循环冗余校验（CRC）和 三重数据加密算法（TDES）的加密/密码的操作（例如，如上所述）的加 速器。安全开机固件可支持密码库，其在下面将更详细地描述，并且可提 供对另外的对称加密操作（诸如，例如安全哈希算法（SHA）384）的支 持。

此外，硬宏SPS505可使用专用的公钥加速器（PKA）模块实施密钥 生成和非对称的加密加速。再次，安全开机固件可支持密码库，密码库反 过来支持提供对其他操作（例如，椭圆曲线（EC）加密技术和基于 Rivest-Shamir-Adleman（RSA）算法的加密）的支持。

为了实现硬宏SPS505与PPS（例如，图4的PPS420）之间的分离， 根据各种实施方式，可利用隔离桥接器550（其可以是图4的隔离桥接器 410的实施方式）。即，并且如上面指出的，隔离桥接器550可将硬宏SPS 505的部件（即，TOE）与外部不安全的部件（诸如PPS420）隔离。这 可通过将隔离桥接器550用作TOE通信的唯一接口来确保TOE（即，硬 宏SPS505）以及任何相关的用户数据的机密性和完整性。该隔离桥接器 550可防止安全数据漏入PPS420并且可进一步确保PPS420不会影响硬 宏SPS505。例如，通过将PPS420与硬宏SPS505中的时钟信息隔离， 可在硬宏SPS505与PPS420之间维持异步的TOE边界，其反过来可防止 硬宏SPS505之外的不安全的元件检测到在其中的总线上（例如，加密总 线520）传播的信息。

隔离桥接器550可包括专用内存缓冲器和邮箱以及由硬宏SPS505控 制的分立的GPIO引脚集以例如实现与硬宏SPS505的完全去耦接。例如， 当将不安全的和/或未认证的数据加载到存储器单元、在其之间传输数据时 等，隔离桥接器550可将数据路径切换成打开和关闭，从而将硬宏SPS505 与PPS420的元件/部件进行耦接/去耦接。通过隔离桥接器550，硬宏SPS 505可接收并响应于ISO7816APDU命令。

硬宏SPS505可利用本地闪存接口555（与隔离桥接器550一起）来 访问如上所述的非易失性存储器，其中本地闪存接口555和隔离桥接器 550的使用可以是排他的或包含的。本地闪存接口55可专用于增强非易失 性存储器的性能和可用性，并且可被配置为仅硬件访问端口，并且通过硬 宏SPS505保护其免于未认证的使用。此外，在硬宏SPS505之外的任何 数据的存储可被加密保护以确保机密性和完整性，其中，硬宏SPS505可 检测对存储在外部闪存（诸如本地闪存305）中的数据的任何修改。

ROM中的硬宏SPS505固件可支持安全IC嵌入软件。这种低层级固 件可包括三个主要模块：安全开机加载器（即，用于初始化安全IC嵌入 软件并且在完成开机过程后向其传递控制的FW.SPS_Boot）；密码库（即， 如上所述，用于提供对硬宏SPS505密码加速器硬件块的控制和访问以及 另外的加密功能的FW.SPS_Crypto）；以及安全闪存驱动器（用于提供对 本地闪存（例如，本地闪存305或例如通过隔离桥接器550连接的主机装 置闪存UICC360）的安全读/写/擦功能的FW.SPS_Flash）。应注意，硬宏 SPS505的认证的范围可包括RSA签名生成和认证、RSA密钥生成、椭 圆曲线Diffie-Hellman（ECDH）密钥交换、EC数字签名算法（ECDSA） 签名生成和认证、EC密钥对生成、AES和DES，安全具有计算和CRC 计算。ROM可进一步包括安全IC嵌入软件的静态部分，其可包括中间层 操作系统（OS），并且尽管这种静态部分可存在于ROM中，但这种静态 部分不需要被认为是TOE的一部分。

如上所述，可利用DRM机制来提供移动付费电视内容/服务。因此， 用于对移动装置上的eSE进行密钥操作的移植CA功能可提供能够满足 DRM的安全要求的平台，而无需添加额外的成本。此外，eSE的高安全 级别可提供理想的位置以执行DRM应用的密钥操作，其中，唯一标识符 至数据路径解密器的添加可提供传输DRM秘密/私钥的低成本方法，而不 会使eSE的安全性妥协于应用处理器的安全核心。

应注意，各种实施方式可被适配于在其他情况下实施，其中，例如， 即使如之前所指出的，SIM的使用可不一定是理想的，也可在用作SE的 SIM卡中实施本文所描述的密钥操作和分区。此外，可利用存储器与SE 之间的高速路径完成内容加密功能在SE的分区。

示出了各种实施方式的各种示图可描述各种实施方式的示例结构或 其他配置，进行此以帮助理解可包括在那些实施方式中的特征和功能。本 公开并不限于示出的示例结构或配置，而是可使用各种替代结构和配置实 现期望的特征。实际上，可如何实现替代功能的、逻辑的或物理的分区和 配置以实施各种实施方式对本领域技术人员将显而易见的。而且，许多不 同的组成模块名称而不是本文描述的那些可被应用于各种分区。此外，对 于流程图、操作描述和方法权利要求，本文中提供的步骤的顺序不应要求 实施的各种实施方式按相同的顺序执行所描述的功能，除非上下文另外指 示。

应理解，在一个或多个单独的实施方式中描述的各种特征、方面和/ 或功能并不限于应用于它们所描述的特定实施方式，而是可单独地或以各 种组合来应用于一个或多个其他实施方式，不管是否描述了这些实施方 式，并且不管是否将这些特征、方面和/或功能作为所描述的实施方式的一 部分来提供。因此，本公开的宽度和范围不应通过任何上述示例实施方式 来限制。

在该文件中使用的术语和短语及其变形应被解译为开放的而不是限 制性的，除非另外明确表述。作为前述的示例：术语“包括”应被理解为 “无限制的包括”等，术语“示例”被用于在讨论中提供术语的示例情形 而不是其详尽的或限制的列表。术语“一”、“一个”应被理解为“至少一 个”、“一个或多个”等；并且诸如“传统的”、“常规的”、“正常的”、“标 准的”、“已知的”和类似意思的术语不应被解释为将所描述的术语限制为 给定的时间段或作为给定时间可用的术语，而是应理解为包含在现在或在 将来的任何时候都可用的或可知的传统的、常规的、正常的或标准的技术。 同样地，在该文件参考对本领域普通技术人员将是显而易见的技术的情况 下，这些技术包含在现在或在将来的任何时候对本领域技术人员显而易见 或已知的技术。

此外，以示例方块流程图、流程表和其他图解的形式描述了本文阐述 的各种实施方式。在阅读本文件之后对本领域普通技术人员将显而易见的 是，可以实施示出的实施方式和它们的各种替代，而不局限于示出的实施 例。例如，方块图和它们伴随的描述应被解释为不强制要求特定的结构或 配置。

而且，本文描述的各种实施方式是以方法步骤或过程的一般形式进行 描述的，在一个实施方式中，其可通过计算机程序产品来实施，该计算机 程序产品实施在例如非临时计算机可读存储器中，包括计算机可执行的指 令（诸如，在联网环境中通过计算机执行的程序代码）。计算机可读存储 器可包括可移除的和不可移除的存储装置，包括但不限于只读存储器 （ROM）、随机存取存储器（RAM）、光盘（CD）、数字通用光盘（DVD） 等。通常，程序模块可包括执行特定任务或实施特定抽象数据类型的进程、 程序、对象、组件、数据结构等。计算机可执行的指令、相关的数据结构 和程序模块表示用于执行本文公开的方法的步骤的程序代码的示例。这些 可执行指令或相关数据结构的特定顺序表示用于实施在这些步骤或过程 中描述的功能的相应动作的示例。

如本文使用的，术语模块可描述可根据一个或多个实施方式执行的给 定功能单元。如本文使用的，模块可利用硬件、软件或其组合的任何形式 来实施。例如，可实施一个或多个处理器、控制器、ASIC、PLA、PAL、 CPLD、FPGA、逻辑部件、软件进程或其他机制以构成模块。在实施中， 本文描述的各种模块可被实施为分立的模块或可在一个或多个模块之间 部分或全部共享所描述的功能和特征。换言之，如在阅读该说明书之后将 对本领域普通技术人员显而易见的，本文描述的各种特征和功能可在任何 给定的应用中实施，并且可以以各种组合和置换的形式在一个或多个单独 的或共享的模块中实施。即使各种特征或功能元件可被单独地描述或要求 保护为单独的模块，但本领域普通技术人员将理解到，这些特征和功能可 在一个或多个共同的软件和硬件元件中共享，并且这些描述不应要求或暗 示单独的硬件或软件被用于实施这些特征或功能。在本发明的部件或模块 被整体或部分地使用软件来实施的情况下，在一个实施方式中，这些软件 元件可被实施为利用能够执行关于其中描述的功能的计算或处理模块来 操作。在某些情形下，扩展词语或短语（诸如，“一个或多个”、“至少”、 “但不限于”等短语）的出现不应理解为意指在可不存在这些扩展短语的 情形下意图为或要求更窄的情况。