Viaccess 32

- VIACCESS  -
SYSTÈME D’ACCÈS CONDITIONNEL
POUR SYSTÈMES DE DIFFUSION NUMÉRIQUE
FT.BD.CNET/DSM/AMI/TCA/T/005/98
Décembre 2000
Déc. 2000 Viaccess, Système d'accès conditionnel pour systèmes de diffusion numérique 2
__________________________________________________________________________________
SOMMAIRE
1. OBJET.................................................................................................................................................. 5
2. DESCRIPTION GÉNÉRALE DU SYSTÈME D'ACCÈS CONDITIONNEL......................................... 6
2.1 Les systèmes d’embrouillage et de chiffrement........................................................................ 6
2.2 Inscription et mise à jour des données dans le processeur de sécurité...................................9
2.3 Fonctionnalités du système........................................................................................................ 9

2.3.1 Modes d'accès................................................................................................................ 9
2.3.2 Contrôle du processeur de sécurité par l'usager.......................................................... 11
2.3.3 Consultation des titres d'accès..................................................................................... 11
3. MÉCANISMES GÉNÉRAUX D’ACCÈS CONDITIONNEL............................................................... 12
3.1 Structure générale des messages d'accès conditionnel......................................................... 12
3.2 Adresses usager...................................................................................................................... 15

3.2.1 Adresses usager pour la sélection des EMM............................................................... 15
3.2.2 Adresse de groupe de l’usager par SOID.................................................................... 16
3.3 Identificateur de service et relation avec les mots de contrôle................................................ 17
3.4 Mécanismes de base de synchronisation et de commutation................................................. 19

3.4.1 Embrouillage, diffusion des ECM et renouvellement des mots de contrôle................ 19
3.4.2 Chronogrammes de commutation en accès conditionnel............................................ 20
4. MESSAGES DE GESTION DES TITRES D'ACCÈS (EMM)............................................................ 24
4.1 Format des messages.............................................................................................................. 24
4.2 Identificateur de paramètre PI.................................................................................................. 24

4.2.1 Liste des paramètres disponibles dans les EMM......................................................... 25
4.2.2 Groupement des paramètres dans les EMM................................................................ 28
4.2.3 Règles de séquencement des paramètres dans les EMM..........................................29
4.2.4 Table des paramètres des EMM................................................................................... 30
4.3 Identificateurs de paramètres PI.............................................................................................. 32
4.3.1 Identification de l'opérateur de service SOID............................................................... 32
4.3.2 Nombre aléatoire (désembrouillage du champ d’adresse ADF) RND-ADF................32
4.3.3 Nombre aléatoire (désembrouillage de données confidentielles) RND-CONF...........32
4.3.4 Authentification de l’opérateur de service.................................................................... 33
4.3.5 Champ d’adresse ADF.................................................................................................. 33
4.3.6 Contrôle des fonctions de l'EMM CTRL-EMM.............................................................. 33
4.3.7 Identification des données à inscrire IDUP.................................................................. 35
4.3.8 Descriptif DESCR.......................................................................................................... 35
4.3.9 Données générales FAC............................................................................................... 35
Ce document est la propriété du Groupe France Télécom.

Il ne peut être reproduit et diffusé sans l'accord du CNET et de TDF.
__________________________________________________________________________________
4.3.10 Adresse unique de l’usager UA.................................................................................. 36

4.3.11 Adresse de l’usager pour l’opérateur de service SOUA............................................36
4.3.12 Adresse de groupe de l’usager GCA.......................................................................... 36
4.3.13 Étiquette LABEL.......................................................................................................... 37
4.3.14 Dates DATES + Thème/Niveau TH/LE...................................................................... 37
4.3.15 Dates DATES + Liste des classes CUSTWD............................................................. 39
4.3.16 Numéros initial et final de programme INUMB + FNUMB.......................................... 40
4.3.17 Date DATE + Crédit CREDIT..................................................................................... 41
4.3.18 Date DATE + Montant total TOTAM........................................................................... 42
4.3.19 Date DATE + Découvert autorisé OVER.................................................................... 43
4.3.20 Relevé de consommation SURVEY........................................................................... 44
4.3.21 Dates DATES.............................................................................................................. 45
4.3.22 Modification des modes d'exploitation MODEXP....................................................... 45
4.3.23 Date de péremption + nombre de jours de validité + Thème/Niveau TH/LE.............46
4.3.24 Date de péremption + nombre de jours de validité + Liste des classes CUSTWD...47
4.3.25 FAC Daté, PIN Daté.................................................................................................... 47
4.3.26 Coordonnées d'activation du modem sur date de relevé MOD1...............................48
4.3.27 Coordonnées d'activation du modem sur seuil de consommation MOD2.................50
4.3.28 Coordonnées du réveil WAK...................................................................................... 51
4.3.29 Activation/désactivation du mécanisme d’authentification du récepteur (QEV)........52
4.3.30 Code parental PIN...................................................................................................... 53
4.3.31 Clé secrète CLE.......................................................................................................... 53
4.3.32 Redondance cryptographique HASH......................................................................... 54
4.4 Messages à format fixe (F = 0)................................................................................................ 54
4.5 Types des messages de gestion des titres d'accès et exemples...........................................55

4.5.1 EMM-U.......................................................................................................................... 55
4.5.2 EMM-GA........................................................................................................................ 57
4.5.3 EMM-GH et EMM-S...................................................................................................... 58
5. MESSAGES DE CONTRÔLE DES TITRES D'ACCÈS (ECM)........................................................ 78
5.1 Format des messages.............................................................................................................. 78
5.2 Identificateur de paramètre PI.................................................................................................. 78

5.2.1 Liste des paramètres disponibles dans les ECM......................................................... 78
5.2.2 Groupement des paramètres dans les ECM................................................................ 79
5.2.3 Règles de séquencement des paramètres dans les ECM........................................... 80
5.2.4 Table des paramètres des ECM ................................................................................. 81
5.2.5 Identification de l'opérateur de service SOID............................................................... 82
5.2.6 Adresse globale de groupe GGA.................................................................................. 82
5.2.7 Contrôle des fonctions spécifiques de l'ECM CTRL-ECM........................................... 83
5.2.8 Date de diffusion CDATE + Thème/Niveau THEME/LEVEL.......................................84
5.2.9 Date de diffusion CDATE + Classe du programme LINK............................................85
5.2.10 Numéro du programme PNUMB................................................................................ 85
5.2.11 Numéro du programme PNUMB et Coût du programme PPV/P............................... 86
5.2.12 Numéro du programme PNUMB + Coût à la durée PPV/T........................................ 86
5.2.13 Indice de preview (PRIN), numéro de preview (PRNB) et nombre de calculs de mots
de contrôle autorisés (CWNUMB)......................................................................................... 87
5.2.14 Cryptogramme de mot de contrôle pair ECW............................................................ 88
5.2.15 Cryptogramme de mot de contrôle impair OCW........................................................ 89
5.2.16 Cryptogrammes des mots de contrôle pair et impair ECW/OCW ............................. 89
5.2.17 Redondance cryptographique HASH......................................................................... 89

__________________________________________________________________________________
5.2.18 Coût minimum CMIN................................................................................................... 90

5.3 Illustration des ECM avec quelques exemples........................................................................ 90
5.3.1 Abonnement par thème/niveau..................................................................................... 90
5.3.2 Abonnement par classe avec occultation active.......................................................... 91
5.3.3 Paiement à la séance avec choix impulsif ................................................................... 91
5.3.4 ECM dans le cas de différentes conditions d’accès..................................................... 91
5.3.5 ECM avec PREVIEW sans achat impulsif.................................................................... 92
5.3.6 ECM avec PREVIEW avec achat impulsif.................................................................... 92
6. Table récapitulative des paramètres des ECM et des EMM........................................................ 93

__________________________________________________________________________________
1. OBJET
Ce document décrit le système d’accès conditionnel Viaccess applicable aux systèmes de diffusion
numérique. Un système d’accès conditionnel est un système qui permet de s’assurer que des
programmes de télévision, de radio, des services de données ou d'autres types de services ne sont
accessibles qu’aux seuls usagers remplissant des conditions bien précises, liées généralement à un
paiement. Ce document général contient les caractéristiques communes permettant d'appliquer le
système d'accès conditionnel Viaccess aux différents types de multiplex et d'applications. Il décrit
l'exploitation et la gestion du système par l'opérateur de service. Les fonctionnalités liées à l'émission
du processeur de sécurité (comprenant son initialisation, l'autorisation/interdiction d'accès au
processeur de sécurité pour un opérateur de service) sont en dehors du sujet de cette spécification.
Le § 2 décrit les principes de base du système d’accès conditionnel ; il décrit également les
fonctionnalités du système. Le système d’accès conditionnel peut, schématiquement, se diviser en
deux parties : le système d’embrouillage et le système de chiffrement. Le système d’embrouillage
agit principalement sur les signaux de programme ; le système de chiffrement traite les clés et les
signaux de données nécessaires pour accéder au programme.
Le § 3 donne une description générale des mécanismes d'accès conditionnel qui doivent se retrouver
dans tous les systèmes de diffusion. Cela comprend la structure générale des messages d'accès
conditionnel, la signalisation de l'accès conditionnel dans le multiplex de données, les adresses
d'usager, l'identification des services et les mécanismes élémentaires de synchronisation et de
commutation.
Deux types de codage sont possibles pour les messages d'accès conditionnel et les spécifications du
processeur de sécurité. Le premier est l'adaptation de la norme EN 50094 EUROCRYPT aux
réseaux de diffusion numérique, il est décrit dans ce document. Le deuxième est basé sur la norme
ISO/IEC 7816-4 sur les commandes inter-industries et son application à la sécurisation des
messages. Il sera fourni ultérieurement.
Le § 4 décrit les messages diffusés dans le multiplex pour la gestion des titres d’accès. Ce sont les
messages de gestion des titres d'accès (EMM). Les EMM ont, à quelques exceptions, un format
variable et contiennent plusieurs paramètres. Ces différents paramètres sont décrits avec leur
utilisation. Des exemples des différents types d'EMM sont donnés. Le terminal transmet au
processeur de sécurité tous les paramètres des EMM afin de contrôler la sécurité de l'EMM, même si
certains paramètres sont traités ensuite par le terminal et non par le processeur de sécurité. Un
tableau décrit les différents paramètres des EMM.
Le § 5 décrit les messages qui contrôlent chaque service du multiplex. Les messages de contrôle des
titres d'accès (ECM) contiennent plusieurs paramètres qui sont décrits en détail. Des exemples de
messages sont donnés.
Pour appliquer cette spécification à un multiplex donné, les fonctions suivantes liées au multiplex
devront être spécifiées :
— le protocole de transport des messages d'accès conditionnel,

— les mécanismes de signalisation de l'accès conditionnel, de synchronisation et de commutation,
— le codage des paramètres liés à la structure du multiplex.
Les échanges de données et les fonctions d'émission sont propres à chaque famille de processeur
de sécurité. L’annexe 1 contient l'ensemble des spécifications nécessaires à la mise en oeuvre de la
carte à mémoire PC2-3.

__________________________________________________________________________________
2. DESCRIPTION GÉNÉRALE DU SYSTÈME D'ACCÈS CONDITIONNEL

2.1 Les systèmes d’embrouillage et de chiffrement
La sécurité des mécanismes d'accès conditionnel mis en oeuvre par chaque opérateur de service
repose sur l'embrouillage des programmes et l'utilisation de deux types de clés de service : les clés
d'exploitation et de gestion.
La Figure 2.1 donne le schéma de principe du système d’accès conditionnel. Certaines fonctions
(comme le démultiplexage) sont omises pour plus de clarté, et la Figure 2.1 ne donne qu’une
représentation globale du système. La composante source de la Figure 2.1 peut être une image
vidéo, un son ou un signal de données dont l’opérateur de service désire restreindre l’accès. Un
embrouilleur rend cette composante inintelligible. Dans le récepteur, le traitement inverse est
appliqué par le désembrouilleur. L'embrouilleur peut être un générateur de séquences pseudo-
aléatoires (PRBS) avec un cycle très long, ou un système de chiffrement à haut débit.
Pour un générateur de séquences pseudo-aléatoires, la séquence d'embrouillage est rendue

imprévisible en utilisant un mot de contrôle (CW) et un modificateur d'initialisation (IM). Le
modificateur d'initialisation doit changer fréquemment pour permettre une synchronisation rapide
entre l'embrouilleur et le désembrouilleur, et pour éviter la génération de longues séquences
d'embrouillage ou la répétition des mêmes séquences d'embrouillage. Il est diffusé en clair et prend
différentes valeurs pendant la période validité d'un mot de contrôle.
Pour un système de chiffrement à haut débit, le mot de contrôle (CW) est utilisé comme une clé de
chiffrement dans le codeur, et une clé de déchiffrement dans le décodeur. Le modificateur
d'initialisation (IM) peut être utilisé avec le mot de contrôle pour changer fréquemment la valeur de
la clé de chiffrement. Le récepteur doit pouvoir synchroniser son désembrouilleur avec l'embrouilleur
du codeur en utilisant des données diffusées dans le signal. Les composantes source embrouillées,
le modificateur d'initialisation et les données de synchronisation sont transmises dans le même
multiplex.
L’opérateur de service peut choisir d’émettre le signal soit de façon non embrouillée (en clair) soit
de façon embrouillée. Dans ce dernier cas, en réception, le mot de contrôle n'est fourni par le
processeur de sécurité situé dans le récepteur. que si l'usager satisfait aux conditions d'accès au
service.
Pour ce faire, le mot de contrôle (CW) est généré au point d’émission et envoyé chiffré au récepteur
en utilisant la clé d’exploitation SOK appartenant à l'opérateur de service (se reporter à la Figure 2.1).
Le mot de contrôle change toutes les quelques secondes (les valeurs recommandées vont de 5 à 10
secondes, en fonction du service embrouillé), mais son cryptogramme est transmis à un rythme
permettant un désembrouillage rapide pour les récepteurs qui se connectent sur le programme
(typiquement avec des intervalles de 0,5 à 1 seconde).
Le cryptogramme SOK(CW) est envoyé dans un message de contrôle des titres d’accès, ECM, qui
est transmis dans le même multiplex que le service lui-même. Ce message contient également les
données utiles à l'utilisation de ce mot de contrôle : les critères d'accès au programme (AC). La
sécurité et l'intégrité de l'ECM reposent sur l'utilisation d'une redondance cryptographique.
Avant de calculer un mot de contrôle, le processeur de sécurité vérifie la présence de la clé

d'exploitation du service, l'intégrité du message, et que les critères d'accès au programme sont
cohérents avec les droits d'accès qu'il a mémorisés.

__________________________________________________________________________________
Les nouveaux mots de contrôle sont chargés dans le désembrouilleur à des intervalles de quelques
secondes. Les ECM transportent généralement les mots de contrôle pour deux périodes
consécutives, afin de permettre une anticipation du calcul du mot de contrôle pour la période
suivante. Les périodes consécutives des mots de contrôle sont repérées par un bit de parité (mot de
contrôle pair et impair, correspondant aux périodes paires et impaires).
:Le récepteur traite toutes les fonctions liées à l'accès conditionnel. Il contient un processeur de
sécurité, qui peut être interne au récepteur ou détachable et qui possède une mémoire non volatile et
des capacités de calcul. Le circuit est normalement réalisé sous forme d'une carte à mémoire. Le
processeur de sécurité décide si oui ou non il peut calculer les mots de contrôle. Seules les données
non secrètes peuvent être lues dans le processeur de sécurité ; les données secrètes restent
internes au processeur. Il stocke les clés secrètes et les droits d'accès associés. Les droits d’accès
décrivent les paramètres de l’usager sous diverses formes : une période de validité, des unités
consommables, une zone géographique, etc. Avant d’effectuer tout calcul de mot de contrôle avec
une clé d'exploitation, le processeur vérifie les droits d'accès avec les critères d'accès au programme.
Les droits d'accès sont chargés à l’intérieur du processeur de sécurité par des messages de gestion
des titres d’accès, EMM, qui comprennent des données transmises en clair ou embrouillées et des
cryptogrammes en cas de transmission de données sensibles comme des clés ou un code parental.
La sécurité et l'intégrité de chaque EMM reposent sur l'utilisation d'une redondance cryptographique.
Ces messages constituent le service d’adressage sur antenne, ils peuvent être uniques (propres à un
usager), partagés (propres à un groupe d’usagers), ou généraux (communs à tous les usagers).
Avant d’écrire un titre d'accès quelconque dans sa mémoire de stockage, le processeur de sécurité
vérifie l’intégrité du message, que ce message lui est bien destiné, qu’il n’a pas déjà été traité et enfin
que l’autorité qui l’émet est bien l’une des autorités ayant le droit d’inscrire des données dans sa
mémoire de stockage. Ceci est généralement fait sous le contrôle d’une clé de gestion, SMK,
appartenant à l'opérateur de service (une clé d’exploitation peut aussi être utilisée pour certains droits
d'accès particuliers).
Les EMM doivent être diffusés périodiquement pour être sûr que le message a été reçu au moins une
fois par chaque usager.
Les EMM partagés sont utilisés pour réduire les temps de diffusion des droits d’accès. Par exemple,
pour des groupes allant jusqu'à 256 usagers, un million d’usagers peut être adressé en une minute
avec un débit de 70 EMM par seconde.
Toutes ces informations et paramètres, clairs ou secrets, sont associés à un opérateur de service
particulier et sont stockés sous son identificateur de service (SOID). Les EMM peuvent être émis de
façon indépendante du programme lui-même.
Les EMM peuvent être utilisés pour distribuer des messages à un usager donné, à un groupe
d’usagers, ou à toute l'audience.
Enfin, les EMM peuvent être aussi être utilisés pour transmettre des données de configuration
spécifiques au récepteur de l’usager (numéro de téléphone du modem, heure et date d’appel du
modem, réveil du récepteur pour la réception des EMM, …).

__________________________________________________________________________________
Quand le processeur de sécurité est partagé par plusieurs opérateurs, une autorité peut être
nécessaire pour inscrire une adresse unique dans le processeur de sécurité et pour
permettre/interdire l'accès au processeur de sécurité pour de nouveaux opérateurs de service (cette
autorité est quelquefois appelée "l'émetteur"). Une fois que l'accès lui est autorisé, l'opérateur de
service peut charger et ensuite mettre à jour ses clés de service d'une manière sûre et indépendante.
Toutes les opérations mettant en oeuvre l'émetteur (initialisation, chargement de l'adresse unique,
chargement de la première clé de service d'un opérateur, ou invalidation du service) sont en dehors
du sujet de cette spécification générale.
CODEUR DECODEUR
Composante Composante source Composante

Embrouilleur Desembrouilleur
source embrouillée désembrouillée
E
Synchronisation Synchronisation M
B
R
(Modificateur d'initialisation) (Modificateur d'initialisation) O
U
I
L
L
A
G
Interface E
Embrouillage/
Chiffrement
C
CW
Génération CW H
CW I
F
CW SOK (AC, CW) F
Génération ECM Déchiffrement ECM R
AC Voie ECM E
AC M
E
SOK
SOK Mémoire des N
titres d'accès T
SMK ou SOK exeptionnnellement)
E
E, SOK, SMK SMK(E, SOK, SMK ou SOUA)
Chiffrement EMM Déchiffrement EMM
ou SOK(E)
UA (EMM-U)
ou SOUA (EMM-S) Voie EMM SMK UA
Figure 2.1 : Description générale du système d'accès conditionnel

(hors opérations d'initialisation)

__________________________________________________________________________________
ECM = message de contrôle des titres d’accès

EMM = message de gestion des titres d’accès
CW = mot de contrôle
SOK = clé d’exploitation du service
IM = modificateur d'initialisation
E = titre d’accès de l’usager
UA = adresse unique
AC = critères d'accès au programme
SOK (AC, CW) = message protégé cryptographiquement en utilisant la clé SOK,
l'algorithme de chiffrement pour CW et la redondance cryptographique
SOUA = adresse de l'usager pour l'opérateur de service
SMK = clé de gestion du service
SMK (message) = message protégé cryptographiquement en utilisant la clé SMK,
la redondance cryptographique, et si nécessaire l'algorithme de chiffrement
Légende de la Figure 2.1
2.2 Inscription et mise à jour des données dans le processeur de sécurité

Quand on autorise l'accès au processeur de sécurité à un opérateur de service, son identificateur de
service et sa première clé de gestion sont inscrits dans le processeur de sécurité. Il peut ensuite
inscrire ou modifier ses clés de gestion et d'exploitation sous le contrôle d'une de ses clés de gestion.
Une fois l’inscription de clés réalisée, il peut charger des droits d’accès dans le processeur de
sécurité. Il peut, s'il le désire, inscrire une adresse supplémentaire dans le processeur de sécurité.
Cette adresse est réservée pour ses services et s'appelle l'adresse de l'usager pour l'opérateur de
service (SOUA). Elle permet l'utilisation des EMM partagés, et assure le maximum d’efficacité pour la
diffusion des messages de gestion des titres d'accès.
L'identificateur de l'opérateur de service (SOID) est complètement indépendant de la structure du

multiplex ou du service.
Les EMM peuvent être envoyés indépendamment du programme.
2.3 Fonctionnalités du système

2.3.1 Modes d'accès
Cette spécification décrit cinq méthodes d’accès conditionnel ainsi que plusieurs fonctions
opérationnelles et sous contrôle de l'usager.
Abonnement
L'abonnement est décrit par un titre d'accès comportant une date de début et une date de fin. Pour
des abonnements continus, des titres d'accès sont envoyés au processeur de sécurité afin de
renouveler l'abonnement au-delà de la date de fin, sinon l'abonnement échoit. Il y a deux méthodes
d'abonnement :

__________________________________________________________________________________
— L’abonnement par thème/niveau. Chaque programme est caractérisé par un numéro de thème
(sport, par exemple). Le programme est aussi caractérisé par un niveau de service. Le titre
d'accès décrit la période d'abonnement, le thème et le niveau maximal de service auquel
l'usager a accès. La période de validité de ce type d’abonnement peut être préétablie ou
glissante. Dans ce dernier cas, l’activation (démarrage) du titre d'accès s'effectue sur réception
du premier ECM.
— L'abonnement par classe. Chaque programme est caractérisé par une classe. Le titre d'accès
décrit la période d'abonnement et la liste des classes auxquelles l'usager peut accéder ; pour
chaque classe, la liste indique si l'usager peut accéder ou non. La période de validité de ce type
d’abonnement peut être préétablie ou glissante. Dans ce dernier cas, l’activation
(démarrage) du titre d'accès s'effectue sur réception du premier ECM.
Achat à la séance
Les programmes sont identifiés par un numéro de programme. Trois méthodes sont possibles pour
distribuer des titres d'accès pour le programme :
— L’achat anticipé à la séance. Le titre d'accès décrit une suite de numéros de programme définis
par un numéro de programme initial et un numéro de programme final. Pour un programme
unique, le numéro initial et le numéro final sont égaux.
— L’achat impulsif à la séance. Le programme est aussi caractérisé par son coût. Le titre d'accès
attribue un crédit à l'usager. Ce crédit est stocké dans le processeur de sécurité. Pour acheter
un programme, l'usager utilise une partie du crédit égale à son coût. Les numéros des
programmes et leur coût sont stockés dans le processeur de sécurité afin de permettre un retour
ultérieur d'informations sur les programmes achetés.
— L'achat impulsif à la durée. Le programme est aussi caractérisé par un coût par unité de temps.
Ce crédit est débité sur une base temporelle à chaque fois que l’ECM est soumis au processeur
de sécurité. Les numéros des programmes et leur coût sont stockés dans le processeur de
sécurité pour un retour ultérieur d'informations.
Preview
Un temps d'accès gratuit (preview) peut également être offert aux usagers ne disposant pas de titre
d'accès au programme. Ce temps peut être mis à profit par les usagers pour acquérir le titre d'accès
au programme.
Adressage de groupe et géographique
Un paramètre supplémentaire est introduit pour compléter les méthodes d'accès conditionnel ; il
utilise un adressage de groupe et géographique. Chaque usager reçoit, indépendamment de la
méthode d’accès conditionnel proprement dite, une adresse de groupe attachée à un identificateur de
service. Ce paramètre permet une segmentation des usagers en groupes ; quand cela s’avère utile,
le programmateur peut occulter ou sélectionner un ou plusieurs groupes en envoyant les informations
correspondantes. Ce paramètre a le plus haut niveau de priorité et, quand un usager appartient à un
groupe occulté, il ne peut accéder au programme quels que soient les titres d'accès qu’il possède par
ailleurs.

__________________________________________________________________________________
Ces méthodes d’accès peuvent être utilisées simultanément pour définir les conditions d’accès aux
différentes composantes qui constituent le programme. Leur définition nécessite l’émission
permanente de messages de contrôle des titres d’accès (ECM) avec le programme lui-même.
Pour ces différentes méthodes d’accès, les usagers possèdent un processeur de sécurité contenant
une ou plusieurs clés d'exploitation de service. Une clé d'exploitation est utilisable jusqu'à ce qu'elle
soit changée ou invalidée. Elle peut être utilisée pour les différentes méthodes d'accès décrites
précédemment. Les titres d'accès doivent correspondre aux modes d'accès du programme comme
décrit ci-dessus.
2.3.2 Contrôle du processeur de sécurité par l'usager

Un contrôle local du processeur de sécurité par l’usager, est également possible par la
programmation d’un niveau moral. Chaque programme émis dans un service peut recevoir un
«niveau moral» qui qualifie l'âge minimal nécessaire pour regarder le programme. Lorsqu’un
programme présente un niveau supérieur à celui programmé par l’usager, la présentation du code
parental devient nécessaire.
L’usager peut également verrouiller l’accès de son processeur de sécurité pour l’achat impulsif (achat
à la séance ou à la durée). Tout achat est alors conditionné à la présentation du code parental.
L'usager peut aussi programmer localement un seuil d'achat impulsif, et un plafond d'achat pour
l'achat impulsif à la durée.
Enfin, en cas de verrouillage du processeur de sécurité pour l’achat impulsif ou le niveau moral,
l’usager peut mémoriser un certain nombre de programmes qui ne seront pas soumis à cette règle
lors de leur réception. Ceci permet une programmation d’enregistrement sur magnétoscope ou une
réception sélective de programmes en cas d'absence du propriétaire du processeur de sécurité.
2.3.3 Consultation des titres d'accès

La consultation locale par l’usager des titres d’accès disponibles est possible en utilisant son
récepteur. Cette consultation se fait en lisant les droits d’accès inscrits dans le processeur de
sécurité. L’usager peut ainsi vérifier les périodes, crédits, … disponibles pour chaque service. La
nature et le format exacts des messages affichés dans ce cas sont laissés à l’initiative du fabricant du
récepteur, de façon à offrir le dialogue homme - machine le plus convivial et le mieux adapté.
Les opérations nécessitant l'intervention de l'usager peuvent être facilitées par l'utilisation de données
transmises dans le multiplex, qui fournissent une interprétation des informations reçues du
processeur de sécurité ou diffusées dans les messages de contrôle d'accès. Par exemple, une table
d'interprétation peut relier les titres d'accès stockés dans le processeur de sécurité et des noms de
programmes. Ces données peuvent être diffusées en télétexte ou sous un autre format selon les
besoins de conception de l'interface usager.

__________________________________________________________________________________
3. MÉCANISMES GÉNÉRAUX D’ACCÈS CONDITIONNEL

3.1 Structure générale des messages d'accès conditionnel
La Figure 3.1 illustre le format général de transmission des messages d'accès conditionnel dans tous
les systèmes de diffusion numériques. Ce format peut s'appliquer aux ECM et EMM.
Couche de transport
En-tête du message Champ de données du message (Suffixe du message)
Couche application
PI LI Champ du paramètre PI LI Champ du paramètre
Figure 3.1 : Format général des messages d'accès conditionnel
Le niveau transport est en dehors du sujet de cette spécification générale. Il est spécifique à chaque
type de multiplex, et se trouvera dans les documents de spécification des différents systèmes de
diffusion. Les messages contiennent généralement un en-tête de message, un champ de données du
message, et un suffixe de message optionnel. Dans la suite de ce document, la longueur du champ
de données du message et des champs des paramètres est donnée une fois que les mécanismes de
protection sont retirés.
Les informations suivantes doivent être diffusées dans le multiplex afin de permettre la sélection et le
traitement des messages d'accès conditionnel :
Données pour la sélection des messages
Des informations doivent permettre d'identifier le système d'accès conditionnel et de relier les
messages d'accès conditionnel aux données qu'ils contrôlent :
— Identification du système d'accès conditionnel et du type de cryptoalgorithme (CI) utilisé dans le

message. La valeur hexadécimale ’20 est actuellement définie pour le cryptoalgorithme ; elle
correspond au premier algorithme implémenté dans la carte PC2 décrite en Annexe 1.
— Le type de codage (TC) des messages d'accès conditionnel comme décrit dans le § 1. Ils
peuvent être basés sur l'adaptation de la norme EN 50094 (TC = 0), ou sur la norme ISO/IEC
7816-4 (TC = 1).
— Des informations pour relier les ECM aux services ou aux composantes auxquels ils
s'appliquent.

__________________________________________________________________________________
Informations liées au contenu du message
Le multiplex doit permettre d'identifier le type de message parmi :
— les messages de contrôle des titres d'accès (ECM),
— les messages de gestion des titres d'accès (EMM).
Parmi les messages de type EMM, les sous-types suivants doivent être identifiés :
— EMM unique (EMM-U), où le message est adressé à un seul usager,
— EMM partagé (EMM-S), où le message est adressé à un groupe d'usagers ayant la même
adresse partagée,
— EMM général utilisé en liaison avec les EMM-S (EMM-GH), où le message est adressé à toute
l'audience et est toujours suivi par un ou plusieurs EMM-S,
— EMM général utilisé seul (EMM-GA), où le message est adressé à toute l'audience.
Le multiplex doit permettre de sélectionner les ECM ou EMM avec leur champ de données. Par
exemple, ceci peut être l'adresse de paquet du message, ou sa position dans le multiplex, l'indicateur
de longueur du message, etc.
Pour les messages basés sur la norme EN 50094, l'en-tête du message contient aussi :
— pour les EMM-S, une information sur l'embrouillage du champ du message (S), qui indique si le
champ ADF est embrouillé (S = 1) ou non (S = 0),
— le format des données dans le champ de paramètres du message. Elles peuvent être en format
fixe (F = 0) ou en format variable (F = 1). Tous les ECM et EMM sont en format fixe à l'exception
des EMM-S qui peuvent être en format fixe ou en format variable.
Adressage du message
L'en-tête de message des EMM-U et des EMM-S doit aussi contenir un champ d'adresse de l'usager.
Cette adresse sert à filtrer les EMM dans le service d'adressage sur antenne. Elle peut être :
— une adresse unique (UA) sur 36 bits pour les EMM-U, elle est complétée à 5 octets par quatre
bits de poids fort à zéro, afin d'obtenir un nombre entier d'octets,
— une adresse partagée (SA) sur 24 bits pour les EMM-S.
Répétition et renouvellement des messages

__________________________________________________________________________________
Les messages d'accès conditionnel sont répétés dans le multiplex. Pour les ECM, ceci permet une
acquisition rapide du service sur changement de canal. Pour les EMM, ceci garantit que les
messages ont été reçus au moins une fois par chaque usager. Cela nécessite la diffusion d'un bit de
toggle (T) indiquant le changement de contenu des ECM, EMM-GH et EMM-GA. Le bit de toggle
conserve la même valeur tant que le contenu du message diffusé reste inchangé. Il permet au
récepteur de rejeter les messages redondants.
Les ECM sont liés à un bit de parité, qui indique la parité du mot de contrôle en cours (période paire
ou impaire). Ce bit de parité est diffusé dans les données générales du multiplex ou dans la
composante. Il peut être commun à tous les services, toutes les composantes d'un service, ou propre
à un groupe de composantes utilisant le même ECM.
La suite de ce document s'applique aux messages basés sur la norme EN 50094 (TC = 0).
Paramètres et identificateurs de paramètres
Le champ de données du message est composé de plusieurs paramètres. Dans les messages à
format variable, chaque paramètre a un codage à longueur variable (appelé aussi TLV). Il comprend :
— un Identificateur de Paramètre PI (1 octet) qui précise le contenu des données suivantes (champ
de données du paramètre),
— un Indicateur de Longueur de paramètre LI (1 octet) qui donne la longueur du champ de

données associé au paramètre (de 0 à 255 octets),
— le champ de données du paramètre.
Les paramètres peuvent être regroupés à l’intérieur d’un Paramètre de Groupe PG (1 octet). Son
Identificateur de Longueur PLI (1 octet) pointe sur la fin du groupe de paramètres qu'il couvre. Ceci
est illustré dans la Figure 3.2.
U
t
i
l
s
i
ez
Wo
r
d
6
.
0c
(
o
uu
t
l
r
i
eu
r
)
p
o
u
r
a
f
i
ch
e
r
un
e
i
m
ag
e
Ma
c
i
n
o
ts
h
.
PG PLI [PI LI ...... PI LI ...... PI LI ...... PI LI ......]

PG PLI [PI LI ...... PI LI ...... PI LI ...... PI LI ......]
U
t
i
i
l
s
ez
Wo
d
r
6
0
.
co
(
u
ut
l

r
e
iu
r
)
p
o
u
r
a
f
f
c
ih
e
r
un
e
m
i
ag
e
Ma
c
i
n
t
os
h
.
Figure 3.2 : Utilisation du paramètre de groupe PG
Les EMM-S en format fixe ne contiennent que le champ de données de certains paramètres (sans PI
LI). Leur structure est décrite dans le § 4.

__________________________________________________________________________________
Tous les messages liés à un identificateur d'algorithme CI non reconnu seront rejetés. Les
paramètres PI non reconnus seront ignorés (ainsi que le champ de données associé au paramètre
PI), mais n'entraîneront pas un rejet du message. Les paramètres définis dans ce document sont
réservés à l’usage qui correspond à leur définition. Tous les paramètres introduits par un
identificateur de paramètre PI ont un champ de données de longueur variable signalée par
l’indicateur de longueur LI.
Les différents paramètres peuvent être classés dans les catégories suivantes :
— paramètres cryptographiques et de sécurité. Ceci comprend les clés, les mots de contrôle, le
code parental, les paramètres d'embrouillage des EMM, les paramètres d'authentification des
messages et la redondance cryptographique. Ces paramètres ont une longueur variable qui
dépend des méthodes cryptographiques implémentées dans le processeur de sécurité,
— paramètres liés à l'accès conditionnel, aux titres d'accès et au récepteur, pour lesquels la
longueur est spécifiée dans ce document. La longueur du champ de données des paramètres
peut être étendue ou raccourcie en maintenant l’usage de la partie du champ de données
actuellement spécifiée.
De nouveaux paramètres peuvent être également introduits moyennant le respect des règles
suivantes qui caractérisent cette spécification :
— présence obligatoire du paramètre SOID dans tous les ECM, EMM-U, EMM-GA et EMM-GH,
— présence obligatoire de la redondance cryptographique (HASH) dans tous les ECM,

EMM-U, EMM-GA, and EMM-S.
Les champs de données des paramètres contiennent un nombre entier d’octets. Un octet comprend 8
bits numérotés b7 à b0, du bit de poids fort (b7) au bit de poids faible (b0). Quand un champ est
composé de plusieurs octets, le premier octet contient le bit de poids fort (MSB) du champ (il est
appelé octet de poids fort), et le dernier octet contient le bit de poids faible (LSB) du champ (il est
appelé octet de poids faible).
Note : Dans la suite de ce document, les valeurs en hexadécimal sont précédées du caractère ’
(Exemple : ’00, ’A8, ’FFF1).
3.2 Adresses usager

3.2.1 Adresses usager pour la sélection des EMM
Le processeur de sécurité peut fournir deux types d'adresse pour la sélection des EMM :
— Une adresse unique sur 36 bits (UA)
L'adresse unique UA est commune à l’ensemble des SOID. Elle est chargée dans le processeur de
sécurité au moment de son émission, et est mémorisée dans une mémoire non effaçable et
inaltérable. Elle est complétée à 5 octets par quatre bits de poids fort à zéro, afin d'utiliser un nombre
entier d'octets.
— Une adresse partagée sur 24 bits (SA) par SOID

__________________________________________________________________________________
Cette adresse définit un regroupement des usagers pour l’envoi de titres d’accès. Chaque usager
reçoit une adresse pour un opérateur de service donné. Cette adresse de l'usager pour l'opérateur de
service (SOUA) est mémorisée dans le processeur de sécurité et contient deux champs : l'adresse
partagée du groupe d'usagers (SA) sur les 24 bits de poids fort, la position de l’usager dans le groupe
(CUSTPOS) sur les bits de poids faible. CUSTPOS a une longueur variable qui définit la taille du
groupe partagé, il est complété par des bits de poids fort à zéro afin d'obtenir un nombre entier
d'octets. CUSTPOS pointe sur un usager dans le groupe d’usagers qui partagent la même SA
comme décrit en Figure 3.3.
L'utilisation de l'adressage partagé est décrit dans le § 4.3.5.
MSB SA CUSTPOS LSB

(24) (variable)
U
i
t
i
le
s
zW
r
o
d
60
.
c
(o
uu
t
l
i
r
e
r
u)
p
o
r
u
a
fc
i
f
he
rn
u
e
i
ma
ge
M
a
c
n
io
t
s
.
h
SOUA
3.2.2 Adresse de groupe de l’usager par SOID

Une adresse de groupe de l'usager sur 32 bits (GCA) est aussi définie pour chaque SOID. Elle est
utilisée pour l'occultation dans les ECM, le remplacement et l'empreinte digitale dans les EMM.
Elle comporte deux parties, GC et SC et permet l’adressage de groupes qui sont caractérisés par leur
situation géographique et leur catégorie (centre d’intérêt, profession…), voir la Figure 3.4.
Les 32 bits du paramètre GCA, contiennent un nombre formé de 8 caractères hexadécimaux, codés
abcdefgh. Les 24 MSB représentent le code géographique (GC = abcdef), alors que les 8 LSB
représentent le code catégorie (SC = gh).
Par exemple, le code GC (abcdef) mémorisé peut être attribué en correspondance avec les six
chiffres de poids fort du numéro de téléphone international de l’usager, ou du code postal de l'usager.
Toute autre signification peut être définie par l'opérateur de service.
Le code SC (gh) mémorisé est un élément parmi les 255 codes catégories existants.
Le paramètre GGA présent dans les ECM est comparé avec le paramètre GCA mémorisé dans le
processeur de sécurité. Le message transmis ne sera analysé qu’aux conditions suivantes :
— les deux codes catégorie sont identiques ou la valeur du code catégorie transmis est égale à
'FF,
— et les caractères du paramètre GC transmis sont identiques aux caractères du paramètre GC

mémorisé, ou la valeur du caractère transmis est égale à 'F (hexadécimal), voir Fig. 3.4.
Exemples :
GC = ’FFFFFF, SC = ’FF : adresse globale ’FF (toute l’audience),
GC = ’FFFFFF, SC = ’CD : adresse globale du groupe ’CD (ex : tous les joueurs de bridge),

__________________________________________________________________________________
GC = ’78FFFF, SC = ’FF : adresse de tous les récepteurs situés dans la région (téléphonique) de
numéro commençant par ’78,
GC = ’7883FF, SC = ’FF : adresse de tous les récepteurs situés dans la région (téléphonique) de
numéro commençant par ’7883,
GC = ’7883FF, SC = ’CD : adresse du groupe spécifique de récepteurs (ex : les joueurs de bridge)
situés dans la région (téléphonique) de numéro commençant par ’7883.
La Fig. 3.4 illustre un exemple où les 5 caractères de poids fort du code GC mémorisé (abcdef) et du
code GC transmis (abcdei) sont corrélés, mais pas le sixième. Cette adresse de groupe est rejetée.
Le code SC ayant la valeur 'FF (indifférent), il n’y a pas d’analyse sur ce champ.
MSB a b c d e f g h LSB
(4) (4) (4) (4) (4) (4) (4) (4)
U
li
i
t e
sz
Wrd
o6
0
.(o
cu
u
t
l e
i
r r)
u U
l
i
te
sz
o
W
d
r6
c
0
.(
u
ol
ur

tu
e
i)
r
U
l
i
t
s
ie
zW
o
r
d
60
.
c
(u
ol
u
r

te
i
u)
r
p
u
oa
rfi
h
c ru
ee
nm
i g
a
eMc
a
to
n
i s
.
h p
u
o
a
ri
fh
cr
e
n
uem
ig
aM
e
a
i
co
t
nh
s
.
o
p
u
r
a
fc
i
e
hr
un
e
m
ig
a
eM
a
c
n
i
s
o
th
.
U ti li s ez W or d 6.0c ( ou ult r ieur) U t ilis ez Wo rd 6 .0c ( ou u lt rieur )

Util isez W o rd 6 . 0c (ou ult
ri eur)
pour aff ic h er une im age M a c int os h. p our aff ic he r un e im age Macint osh .
pou r aff ic he r un e imag e Ma cinto sh.
ti
Us
l z
eWo
d
r6c
0
.(o
u
lt
uri
u
e )
r U
i
ts
i
lz
eW
r
o
d0
.
6c
o
(u
t
l
ue
i
r
u)
r
U
i
t
s
i
le
zW
o
r
d
60
.
c(
u
ol
u
e
i
r

tu
)
r
o
p
ra
uff
c
i e
h
ru
nim
eg
aM
e
ain
co
ts.
h p
u
o
rf
a
h
c
ieu
r
e
nm
iae
g
M
c
an
io
th
s
.
o
p
u
r
af
c
ih
r
eu
n
e
m
ig
a
eM
c
a
n
i
to
h
s.
MSB a b c d e i ’F ’F LSB
(4) (4) (4) (4) (4) (4) (4) (4)
Les ECM ne présentant pas, à la comparaison, de corrélation sur l’adresse de l’usager sont ignorés,
jusqu’à ce qu’une corrélation soit trouvée qui indique que le message concerne le récepteur et son
processeur de sécurité.
UA, SA et GCA sont mémorisées dans une mémoire non volatile du processeur de sécurité.
3.3 Identificateur de service et relation avec les mots de contrôle

Les différents services gérés par un opérateur sont identifiés par son identificateur d'opérateur de
service (SOID) :
SOID (24 bits) : identifie l’opérateur de service. Il pointe aussi sur la clé en usage pour le service
ou la composante. Les 4 bits de poids faibles (LSB) de SOID donnent l’indice de
la clé utilisée. La longueur de SOID est fixée à 24 bits (voir Figure 3.5). De plus,
cet indice permet de définir deux types de clés de service par opérateur (une clé
d’exploitation utilisée pour le calcul de mots de contrôle et une clé de gestion
utilisée pour l’inscription des droits d’accès). Dans ce cas, le MSB de l’indice
indique s’il s’agit d’une clé d’exploitation (indice 8 à F) ou d’une clé de gestion
(indice 0 à 7).

__________________________________________________________________________________
MSB Identificateur de service Indice LSB

(20 bits) (4 bits)
SOID
Chaque service ou composante embrouillée est relié à son mot de contrôle par l'adresse de la voie
contenant les ECM, ou par la position de l'ECM dans le multiplex ou dans la composante, comme
décrit dans le § 3.1. Un ECM est donc envoyé pour chaque service, composante ou groupes de
services ou de composantes ayant des mots de contrôle différents.
Les mots de contrôle ne seront calculés par le processeur de sécurité que si la clé d'exploitation du
service correspondante est disponible et si les paramètres qui définissent les conditions d’accès au
programme sont inscrits dans l’un des titres d’accès mémorisés dans le processeur de sécurité de
l'usager. En supposant que la clé d'exploitation du service soit présente, les vérifications opérées par
le processeur de sécurité sont différentes suivant les modalités d’accès au programme :
— Si le programme est accessible en abonnement par thème/niveau, la date de diffusion du

programme CDATE doit être comprise dans la période de validité (date de début BD - date de fin
FD) de l’abonnement, le niveau du programme LEVEL doit être inférieur ou égal au niveau LE et
le thème du programme THEME doit être égal à l’un des thèmes TH. La date de début BD, la
date de fin FD, le niveau LE et le thème TH sont mémorisés dans le processeur de sécurité sous
le SOID de l’opérateur. L’accès en abonnement par thème/niveau est également possible si le
processeur de sécurité possède un abonnement glissant par thème/niveau. Dans ce cas, la date
de diffusion CDATE est comparée avec la date de péremption LDATE de l’abonnement inscrit
dans la carte
— Si le programme est accessible en abonnement par classe, la date de diffusion du

programme CDATE doit être comprise dans une période définie par BD et FD et la classe du
programme LINK doit pointer sur une autorisation valide dans la liste des classes CUSTWD. La
liste des classes et la période de validité sont mémorisées dans le processeur de sécurité sous
le SOID de l’opérateur. L’accès en abonnement par thème/niveau est également possible si le
processeur de sécurité possède un abonnement glissant par classe. Dans ce cas, la date de
diffusion CDATE est comparée avec la date de péremption LDATE de l’abonnement inscrit dans
la carte
— Si le programme est accessible en achat anticipé à la séance, le numéro du programme

PNUMB doit être compris dans un intervalle de programmes autorisés. Le numéro du premier
programme autorisé INUMB et le numéro du dernier programme autorisé FNUMB sont
mémorisés dans le processeur de sécurité sous le SOID de l’opérateur.
— Si le programme est accessible en achat impulsif à la séance, l’usager peut acheter le

programme à condition que son crédit résiduel CREDIT soit supérieur au prix du programme
PPV/P. Une fois acheté, le programme est accessible durant sa période de transmission.
CREDIT, PNUMB et PPV/P sont mémorisés dans le processeur de sécurité sous le SOID de
l’opérateur.
— Si le programme est accessible en achat impulsif à la durée, l’usager peut accéder au

programme durant la période de validité d'un mot de contrôle à condition que son crédit résiduel
CREDIT soit supérieur au prix de la période du mot de contrôle PPV/T. Le crédit est débité sur
une base temporelle. CREDIT, PNUMB et PPV/T sont mémorisés dans le processeur de
sécurité sous le SOID de l’opérateur.

__________________________________________________________________________________
Les clés de services associées à un opérateur sont également mémorisées sous un SOID. Plusieurs
clés de service peuvent être présentes pour un même opérateur ; seule la partie «indice» du SOID,
varie mais la partie «identificateur de service» sur 20 bits reste constante. Cette possibilité est offerte
pour permettre la coexistence de plusieurs clés de service pour un opérateur (clés d’exploitation, clés
de gestion) mais aussi pour permettre le renouvellement des clés.
3.4 Mécanismes de base de synchronisation et de commutation

Ce § décrit le modèle pour la synchronisation et les commutations qui s'applique durant des
commutations à accès conditionnel dans les systèmes de diffusion numérique.
Afin de permettre aux récepteurs de désembrouiller les services, le codeur doit diffuser avec les
composantes embrouillées des données de signalisation et de synchronisation. Les données de
signalisation indiquent au récepteur comment désembrouiller les composantes. Les données de
synchronisation servent à synchroniser l'embrouilleur dans le codeur et le désembrouilleur dans le
décodeur. Les données de signalisation et de synchronisation sont diffusées en clair dans les
données de service et/ou les composantes.
3.4.1 Embrouillage, diffusion des ECM et renouvellement des mots de contrôle

Les principales données de signalisation sont diffusées régulièrement dans le multiplex comme décrit
dans le § 3.1 :
— le bit de parité P, qui indique la parité du mot de contrôle en cours,
— l'indication précisant si la composante est embrouilée ou non,
— les données de sélection des ECM.
Les principales données de synchronisation sont :
— les données de synchronisation pour commencer une nouvelle période d'embrouillage et pour
changer le mot de contrôle en cours. Elles sont liées au changement du bit de parité, et
indiquent le moment précis où le nouveau mot de contrôle est utilisé,
— les données de synchronisation pour commencer l'initialisation de l'embrouilleur et du

désembrouilleur. Elles permettent une initialisation fréquente de l'embrouilleur durant la période
de validité d'un mot de contrôle, et un désembrouillage rapide pour les décodeurs qui se
connectent sur le canal.
Les ECM doivent être diffusés suffisamment tôt afin de garantir que le mot de contrôle peut être
chargé dans le désembrouilleur avant qu'il soit utilisé. Ceci couvre les temps suivants :
— réception de l'ECM (la valeur maximale est le temps du cycle de diffusion de l'ECM),
— traitement de l'ECM par le récepteur, incluant les échanges de données avec le processeur de
sécurité et le déchiffrement du mot de contrôle par le processeur de sécurité,
— initialisation du désembrouilleur.
Les ECM devraient contenir les mots de contrôle pour la période en cours et la période suivante, afin
que les mots de contrôle soient diffusés une période avant qu'ils soient utilisés.

__________________________________________________________________________________
Le temps d'acquisition, c'est-à-dire, le temps nécessaire aux récepteurs qui se connectent sur le
canal pour obtenir tous les paramètres relatifs au désembrouillage et pour désembrouiller le
programme, doit être minimisé pour l'usager. Ce délai couvre les temps suivants :
— sélection de la description du service, du mode d'embrouillage et de l'ECM (la valeur maximale

est le temps du cycle de diffusion des informations relatives à la sélection des informations de
contrôle d'accès),
— réception de l'ECM (la valeur maximale est le temps du cycle de diffusion de l'ECM),
— traitement de l'ECM par le récepteur,
— période de synchronisation du désembrouilleur,
— initialisation du désembrouilleur.
3.4.2 Chronogrammes de commutation en accès conditionnel

3.4.2.1 Introduction
Les scénarios suivants de commutation en accès conditionnel ont été identifiés dans un système de
diffusion. Ils décrivent les commutations de base sur une composante, ainsi que les réorganisations
entre composantes et conditions d'accès. Ils sont décrits pour une seule composante, mais ils
s'appliquent aux commutations mettant en oeuvre plusieurs composantes.
— création d'une composante en accès contrôlé,
— passage d'une composante de non embrouillé en accès contrôlé,
— passage d'une composante d'accès contrôlé à non embrouillé,
— suppression d'une composante en accès contrôlé,
— changement de condition d'accès pour une composante,
— réorganisation des composantes et des conditions d'accès :

• regroupement de deux composantes ayant des conditions d'accès distinctes sur la condition
d'accès d'une des composantes,
• séparation des conditions d'accès de deux composantes, l'une d'elle conservant la condition
d'accès initiale,
• regroupement de deux composantes ayant des conditions d'accès distinctes sur une nouvelle
condition d'accès,
• séparation des conditions d'accès de deux composantes, avec changement des conditions
d'accès pour les deux composantes.
Quand les commutations apparaissent dans le multiplex, les données de signalisation suivantes
devraient être diffusées pendant la période de transition :
— une donnée annonçant un changement imminent de l'identification de la voie ECM liée à la

composante. Cette information relie une nouvelle voie ECM à la composante, elle sert au
récepteur à sélectionner les nouveaux ECM et à calculer les mots de contrôle, par exemple
quand une composante passe de clair à accès contrôlé, ou d'accès contrôlé à clair, ou quand la
composante commute d'une ancienne à une nouvelle voie ECM,

__________________________________________________________________________________
— une donnée annonçant un changement imminent dans l'ECM. Ceci est fait par le bit de toggle de
l'ECM, mais peut être amélioré par une signalisation supplémentaire. Elle sert au récepteur à
sélectionner le nouvel ECM et à calculer les mots de contrôle, par exemple quand il y a un
changement de condition d'accès pour une composante,
— une donnée annonçant un changement imminent du mode d'embrouillage de la composante.

Cette information indique le nouveau mode d'embrouillage de la composante, elle sert au
récepteur à préparer la transition, par exemple de clair à accès contrôlé, ou d'accès contrôlé à
clair,
— une donnée annonçant un changement imminent de la condition d'accès de la composante. Elle

est utilisée par le récepteur pour lire et déchiffrer le nouvel ECM, et pour charger un nouveau
mot de contrôle dans le désembrouilleur.
Ces données de signalisation sont suivies par des données de synchronisation qui indiquent le
moment précis quand la commutation s'effectue.
3.4.2.2 Chronogramme général de commutation

Ce chronogramme décrit la commutation de base d'une composante. Pendant la transition, la
composante commute d'une première à une deuxième condition d'accès. Condition d'accès signifie
accès contrôlé, clair, ou embrouillé avec le mot de contrôle local, afin que le chronogramme puisse
être appliqué à toutes les commutations précédemment décrites. La création et la suppression de
composantes sont aussi couvertes par ce chronogramme. Dans ce cas, l'ECM et la composante
n'existent pas respectivement avant et après la transition. Ce chronogramme peut aussi être combiné
pour s'appliquer aux commutations mettant en oeuvre plusieurs composantes.
Comportement de la voie ECM
L'ECM1 permet d'accéder à la composante avant la transition (condition d'accès 1), l'ECM2 permet
d'accéder à la composante après la transition (condition d'accès 2).
L'ECM1 n'existe pas dans les cas suivants :
— la composante passe de non embrouillé en accès contrôlé,
— la composante est créée en accès contrôlé,
— la composante passe de la voie ECM d'une autre composante à une nouvelle voie ECM
(séparation de deux composantes).
L'ECM1 n'existe pas dans les cas suivants :
— la composante passe d'accès contrôlé à non embrouillé,
— la composante est supprimée,
— la composante passe sur la voie ECM d'une autre composante (regroupement de deux
composantes).
Comportement de la composante

__________________________________________________________________________________
La composante est soumise à la première condition d'accès avant la commutation, et à la deuxième

condition d'accès après la commutation.
La composante n'existe pas avant ou après la commutation dans le cas d'une création ou d'une
suppression de composante en accès contrôlé.
Données de signalisation
Les données de signalisation correspondantes sont diffusées en fonction du type de commutation.

Elles sont suivies par des données de synchronisation qui indiquent l'instant précis de la transition.
Les phases, périodes caractérisées par la valeur constante du bit de parité P, sont indiquées par des
lignes verticales.
Comportement du récepteur
La commutation doit rester invisible pour l'usager ayant accès à la composante avant et après la
transition.
Pour l'usager n'ayant que la deuxième condition d'accès, le récepteur devrait désembrouiller juste
après la transition.
Pour l'usager n'ayant que la première condition d'accès, le récepteur devrait être incapable de
désembrouiller juste après la transition ou après une période de recouvrement de quelques
secondes.
Des périodes de recouvrement peuvent exister quand on change les conditions d'accès pour des
composantes. Elles peuvent être supprimées si le multiplex permet une des fonctions suivantes :
— la période de validité d'un mot de contrôle peut être rallongée ou réduite afin de synchroniser la
transition et le changement de période d'embrouillage (changement de bit de parité),
— ou le mot de contrôle utilisé peut être changé durant sa période de validité, ce changement est
indiqué par la donnée annonçant un changement imminent de la condition d'accès de la
composante et la donnée de synchronisation correspondante comme décrit ci-dessus.
Si ces conditions ne peuvent pas être satisfaites, le même mot de contrôle est utilisé durant la
période de commutation (même mot de contrôle avant et après la transition).

__________________________________________________________________________________
phase
Voie ECM ECM1 ECM2
Composante Condition d'accès 1 Condition d'accès 2
Signalisation
Figure 3.6 : Chronogramme général de commutation
Ce modèle de commutation peut être adapté à tous les multiplex. Il sera complété et détaillé pour
chaque implémentation de cette spécification.

__________________________________________________________________________________
4. MESSAGES DE GESTION DES TITRES D'ACCÈS (EMM)

4.1 Format des messages
Le format général des EMM est décrit dans le § 3.1. Quatre types différents d'EMM existent :
— EMM unique (EMM-U), où le message est adressé à un seul usager, et où l'en-tête contient
l'adresse unique de l'usager UA. Ces EMM sont en format variable (F = 1).
— EMM partagé (EMM-S), où le message est adressé à un groupe d'usagers, et où l'en-tête

contient l'adresse partagée de l'usager SA pour l'opérateur de service. Ces EMM peuvent être
en format fixe (F = 0) ou variable (F = 1).
— EMM général utilisé en liaison avec les EMM-S (EMM-GH), où le message est adressé à toute
l'audience, contient l'identification de l'opérateur de service et le titre d'accès, et est toujours suivi
par un ou plusieurs EMM-S. Ces EMM sont en format variable (F = 1).
— EMM général utilisé seul (EMM-GA), où le message est adressé à toute l'audience. Ces EMM
sont en format variable (F = 1).
Le bit de toggle indique le changement de contenu des EMM-GH et des EMM-GA. Il conserve la
même valeur tant que le contenu du message diffusé reste inchangé.
Pour les EMM-S, le bit d'embrouillage (S) indique si le champ ADF est embrouillé (S = 1) ou non
(S = 0).
4.2 Identificateur de paramètre PI

Les identificateurs de paramètre PI ne sont présents que si les EMM sont en format variable (F = 1),
voir § 3.1. Le code PI est suivi par un octet de longueur LI donnant la longueur en octets du champ
du paramètre.
Les EMM transportent l’ensemble des informations nécessaires pour mettre à jour ou configurer les
processeurs de sécurité des usagers. Ces paramètres sont utilisés pour préciser :
— l’adresse de l’usager pour l’opérateur de service (SOUA) comprenant l’adresse partagée (SA) et
la position de l’usager dans le groupe (CUSTPOS),
— l’adresse de groupe de l’usager (GCA) comprenant le code géographique (GC) et le code

catégorie (SC),
— les clés d’exploitation du service (SOK) utilisées pour le calcul des mots de contrôle,
— les clés de gestion du service (SMK) utilisées pour l’inscription de nouveaux titres d’accès chez
l’usager,
— le code parental (PIN).
Les EMM sont aussi utilisés pour renouveler les titres d'accès et des paramètres non interprétés
parla carte à destination du décodeur.

__________________________________________________________________________________
4.2.1 Liste des paramètres disponibles dans les EMM

La liste des codes ci-dessous décrit, de façon exhaustive, les paramètres PI disponibles (les valeurs
sont exprimées en notation hexadécimale). Sauf indication contraire dans leur description, tous les
paramètres peuvent être présents dans les EMM de type U, S à format variable, GA et GH. Les
EMM-S à format fixe ne peuvent transporter que les paramètres ADF et HASH.
- PI = ’90 : Identificateur de l’opérateur de service (SOID), qui caractérise l’opérateur qui émet
les EMM. Il est obligatoire dans les EMM-U, les EMM-GH et les EMM-GA.
- PI = ’91 : Nombre aléatoire (RND-ADF) servant de base de calcul cryptographique pour le

désembrouillage du champ d’adresse ADF. Il est présent dans un EMM-GH
lorsque le champ ADF est embrouillé dans les EMM-S correspondants.
- PI = ’92 : Nombre aléatoire (RND-CONF) servant de base de calcul cryptographique pour le

désembrouillage de données confidentielles (droits d’accès introduits par le
paramètre PC, décrit plus loin).
- PI = ’9E : Champ d'adresse (ADF) ; ce paramètre est utilisé pour indiquer l’état (autorisé ou
interdit) de chaque usager d’un groupe d'usagers référencé par son adresse
partagée (SA). Chaque usager est lui-même référencé par son SA et un
CUSTPOS qui pointe sur le bit correspondant de ADF. Il ne peut être présent que
dans les EMM-S.
- PI = ’A0 : Contrôle des fonctions de l'EMM (CTRL-EMM) ; ce paramètre est utilisé dans le
cas d'invalidation ou d’effacement de droits d’accès dans le processeur de
sécurité. Il est également utilisé lors de l’émission de droits gratuits ou pour le
verrouillage d’un service.
- PI = ’A1 : Identificateur du bloc de données à inscrire (IDUP), dans le cas d'inscription ou

d’invalidation/effacement d’une clé, d’un descriptif ou d'un service.
- PI = ’A2 : Descriptif (DESCR) ; ce paramètre est réservé pour inscrire de nouveaux

opérateurs de service dans le processeur de sécurité. Il n'est pas utilisé par
l'opérateur de service pour ses opérations de gestion.
- PI = ’A3 : Données à usage général (FAC) ; ce paramètre est utilisé pour l'inscription de
données à usage général qui sont chargées sous un SOID donné. Ces données
sont utilisables par le récepteur pour certaines opérations particulières telle que la
connexion automatique, l’authentification, etc, .… Ce paramètre est également
utilisé pour l’effacement de ces mêmes données.
- PI = ’A4 : Adresse unique de l'usager (UA) ; ce paramètre est réservé pour inscrire l’adresse
unique de l’usager dans le processeur de sécurité. Il n'est pas utilisé par
l'opérateur de service pour ses opérations de gestion.
- PI = ’A5 : Adresse de l'usager pour l’opérateur de service (SOUA) ; ce paramètre est utilisé
pour inscrire ou mettre à jour SOUA par EMM. Il ne peut être présent que dans les
EMM-U.
- PI = ’A6 : Adresse de groupe de l'usager (GCA) ; cette adresse est également liée à un
opérateur de service. Elle est présente lors d’une configuration ou d’une mise à
jour de GCA par EMM.

__________________________________________________________________________________
- PI = 'A7 : Étiquette (LABEL) ; ce paramètre est propre à chaque opérateur de service. Il est
utilisé pour nommer et identifier l'opérateur de service dans le dialogue homme-
machine avec l’usager. Il comporte au plus 16 caractères de l’Alphabet CCITT n°
5 (ex : TPS, TDK, REF1).
- PI = ’A8 : Dates (DATES) + thème/niveau (TH/LE) ; ce paramètre est présent lors de la

définition d'un abonnement par thème/niveau dans l’EMM.
- PI = ’A9 : Dates (DATES) + liste de classes (CUSTWD) ; ce paramètre est présent lors de la
définition d'un abonnement par classe dans l’EMM.
- PI = ’AA : Numéro du programme initial (INUMB) et numéro du programme final (FNUMB) ;

ce paramètre est présent lors de l'acquisition d’un ou plusieurs programmes
consécutifs en mode achat anticipé, ou lors de l’effacement de numéros de
programmes déjà enregistrés. Les programmes dont le numéro sera compris
entre INUMB et FNUMB seront acquis (ou effacés). Ce paramètre est utilisé en
mode achat anticipé pour allouer un programme ou un ensemble de programmes
parmi une série (feuilletons, …) à un usager (chaque élément de la série se voit
allouer un PNUMB qui est incrémenté de 1 d’un élément à l’autre).
- PI = ’AB : Date (DATE) + crédit (CREDIT) ; ce paramètre est utilisé lorsqu'un crédit
supplémentaire est alloué à un usager. Il va s’ajouter au crédit restant pour former
le nouveau crédit utilisable par l’usager. Ce crédit peut être utilisé en mode
paiement à la séance ou en mode paiement à la durée.
- PI = ’AC : Date (DATE) + montant total alloué (TOTAM) ; ce paramètre précise le montant
total des crédits alloués à l’usager depuis sa connexion à l’opérateur de service.
C’est une autre forme d’inscription de crédit dans la carte de l’usager.Si ce dernier
demande un crédit supplémentaire, il peut le recevoir sous forme de CREDIT ou
sous forme de TOTAM.
- PI = ’AD : Date (DATE) + découvert autorisé (OVER) ; ce paramètre précise, s'il est présent,
le montant maximal du découvert autorisé à l’usager pour un opérateur de service
donné. Ce paramètre est là pour permettre à l'usager de poursuivre l’accès à un
programme lorsque le crédit est épuisé. Le découvert utilisé sera déduit du
prochain rechargement de crédit.
- PI = ’AE : Date (DATE) + relevé de consommation (SURVEY) ; ce paramètre est présent

uniquement dans le cas où il y a accès possible par un réseau interactif entre le
centre de gestion et le processeur de sécurité de l’usager. Le relevé de
consommation est nécessaire pour les usagers utilisant le paiement de
programmes à la séance ou à la durée avec choix impulsif, pour déterminer, a
posteriori, le montant des droits d’auteur.
- PI = ’AF : Dates (DATES) ; ce paramètre est présent lors de l'effacement d’abonnements

enregistrés préalablement et définit un intervalle de dates.
- PI = ’B6 : Date (DATE) + modification des modes d'exploitation (MODEXP) ; ce paramètre

est utilisé lorsque l'opérateur de service veut modifier ses modes d'exploitation
d'une manière réversible.

__________________________________________________________________________________
- PI = ’B8 : date de péremption (LDATE) + Nombre de jours (NBDAY) + thème/niveau

(TH/LE) ; ce paramètre est présent dans l'EMM lors de la définition d'un
abonnement glissant par thème/niveau.
- PI = ’B9 : date de péremption (LDATE) + Nombre de jours (NBDAY) + liste de classes
(CUSTWD) ; ce paramètre est présent dans l'EMM lors de la définition d'un
abonnement glissant par classe.
- PI = ’BA : Date (CDATE) ; ce paramètre peut être présent lors :
- de l'écriture d'un FAC.

- de l'écriture d'un PIN.
:
-PI = ’C1 : Coordonnées d'activation du modem (MOD1) pour connexion au centre de gestion sur
date de relevé de consommation.
- PI = ’C2 : Coordonnées d'activation du modem (MOD2) pour connexion au centre de gestion

sur seuil de consommation.
- PI = ’C9 : Coordonnées du réveil (WAK) pour acquisition de messages de gestion des titres
d'accès pendant les périodes de repos du récepteur.
- PI = ’D0 : ETATQEV + VALEURQEV + n° d'identification du terminal. Ce paramètre est

présent lorsque l'émetteur de la carte désire activer ou désactiver le mécanisme
de QEV (Qui Etes Vous) présent dans le récepteur.
- PI = ’D1 à ’D7 : Paramètres de contrôle de l'authentification du processeur de sécurité par le

récepteur. Ces paramètres permettent de reconfigurer le mécanisme
d’authentification, voire de l’inhiber.
:;
- PI = ’EE : Code parental (PIN) ; ce paramètre est utilisé pour la configuration ou la mise à
jour du code parental.
- PI = ’EF : Clé secrète (CLE) ; ce paramètre est utilisé pour la configuration ou la mise à jour
d'une clé secrète.
- PI = ’F0 : Redondance cryptographique (HASH) ; ce paramètre assure une compression

cryptographique de l'ensemble des données sensibles, claires ou chiffrées,
contenues dans l’EMM. L'EMM ne sera analysé et exécuté par le processeur de
sécurité que s’il trouve une corrélation entre la redondance transmise et le résultat
interne de sa propre compression du message.
Le paramètre de groupe PG, codé ’80, est utilisé lorsque plusieurs signatures sont nécessaires dans
un même message. Il peut être présent dans les EMM-U et les EMM-GA (voir Figure 4.1).

__________________________________________________________________________________
PG PLI [PI ’03 SOID PI ’05 DATES + TH/LE PI LI HASH]

PG PLI [PI ’03 SOID’ PI ’04 WAK PI LI HASH’]
Figure 4.1 : Utilisation du paramètre de groupe PG
Un paramètre de confidentialité PC, codé ’81, est introduit pour permettre l’envoi de données sous
forme embrouillée (respect de réglementation de droits privés). Dans ce cas l’ensemble des données
du message est embrouillé (il s’agit des paramètres dont le code est compris entre ’A0 et ’EF). La
longueur LC précise la longueur du champ embrouillé (voir Figure 4.2).
PI ’03 SOID PC LC [PI LI..... PI LI.... ] PI LI HASH
Les données entre crochets [ ] sont embrouillées.
Figure 4.2 : Utilisation du paramètre de confidentialité PC
4.2.2 Groupement des paramètres dans les EMM

Quatre groupes de paramètres sont définis :
- Groupe 1 :
Paramètre PG (PGI = ’80)
- Groupe 2 :
Paramètres compris entre ’90 et ’9F inclus, définis ou non définis dans ce document :
• Sous-groupe 2.1 : ce groupe se compose des paramètres suivants :
SOID (PI = ’90)

RND-ADF (PI = ’91)
RND-CONF (PI = ’92)
• Sous-groupe 2.2 : paramètres dont le PI est compris entre ’93 et ’9F
• Sous-groupe 2.3 : paramètre PC (PCI = ’81)
- Groupe 3 :
Paramètres dont le PI est compris entre ’A0 et ’F0 inclus, définis ou non définis dans ce document.

__________________________________________________________________________________
- Groupe 4 :
Autres paramètres définis ou non définis dans ce document.
• Sous-groupe 4.3 : paramètres dont le PI est compris entre ’F1 et ’FF
4.2.3 Règles de séquencement des paramètres dans les EMM

- Règle A :
Seuls les paramètres du groupe 3 sont intercalés entre le paramètre PC et le paramètre HASH
suivant.
- Règle B :
Deux paramètres PG sont séparés par un paramètre HASH et réciproquement.
- Règle C :
En l'absence de paramètre PG, entre deux paramètres PG, et après le dernier paramètre PG
transmis, les règles C-1, C-2, C-3, C-4 et C-5 s'appliquent :
• Règle C-1 : les paramètres du groupe 2 sont transmis dans l'ordre 2.1, 2.2, 2.3, sans intercaler des
paramètres des autres groupes, avant les paramètres du groupe 3, et dans l'ordre strictement
croissant au sein de chaque sous-groupe,
• Règle C-2 : le paramètre SOID est obligatoire et unique,
• Règle C-3 : les paramètres du groupe 3 sont transmis sans intercaler des paramètres des autres
groupes,
• Règle C-4 :
* Cas des EMM-U et des EMM-GA :
Si des paramètres du groupe 3 autres que HASH sont transmis, le paramètre HASH est obligatoire et
est nécessairement le dernier transmis parmi les paramètres du groupe 3,
* Cas des EMM-GH :
Le paramètre HASH n'est pas transmis, il est diffusé dans les EMM-S. Les paramètres du groupe 3
sont les derniers transmis.
• Règle C-5 : les paramètres du groupe 4.1 sont transmis avant les paramètres des autres groupes,
ceux du groupe 4.2 sont transmis avant les paramètres du groupe 2, ceux du groupe 4.3 sont
transmis après les paramètres des autres groupes.

__________________________________________________________________________________
En conclusion, la composition d'un EMM-U, EMM-GA ou EMM-GH doit respecter la structure

suivante :
PI groupe PI groupe PI groupe PI groupe PI groupe3 PI groupe

3.1
4.1 1 4.2 2 4.3
4.2.4 Table des paramètres des EMM

Le Tableau 4.1 résume la liste de tous les paramètres des EMM.
PARAMÈTRE PI DESCRIPTION Paramètre VIACCESS COMMENTAIRE

traité par le terminal ou
la carte
////////// '00......'7F NON

PG '80 Paramètre de groupe OUI
PC ’81 Paramètre de Confidentialité OUI Pour transmission de données

confidentielles
///////// '82......'8F NON
SOID ’90 Identification de l'opérateur de OUI Présence obligatoire
service
RND-ADF ’91 Nombre aléatoire pour OUI
désembrouiller ADF
RND-CONF ’92 Nombre aléatoire pour OUI Utilisé en liaison avec le
désembrouiller des données paramètre PC
confidentielles
RND-AUTH ’93 Nombre aléatoire pour OUI Utilisé en relevé d'achat impulsif
l'authentification par modem
MESS ’94 Message d'authentification OUI Utilisé en relevé d'achat impulsif
par modem
////////// '95.....'9D NON
ADF ’9E Champ d'adresse ADF OUI Indique l'état de chaque usager
dans le groupe partagé
///////// '9F NON
CTRL-EMM ’A0 Contrôle de l'EMM OUI Contrôle des fonctions de l'EMM
IDUP ’A1 Identification des données à OUI Même codage que SOID
mettre à jour
DESCR ’A2 Descriptif de l'opérateur de OUI Valeur réservée pour les
service opérations d'émission
FAC ’A3 Données à usage général OUI
UA ’A4 Adresse unique de l'usager OUI Valeur réservée pour l'inscription
de UA
SOUA ’A5 Adresse de l'usager pour OUI SOUA = SA + CUSTPOS
l'opérateur de service Utilisé pour le filtrage des EMM
GCA ’A6 Adresse de groupe de l'usager OUI Utilisé pour l'occultation, le
remplacement et l'empreinte
digitale
LABEL ’A7 Étiquette OUI Utilisé pour le dialogue
homme/machine
DATES + TH/LE ’A8 Dates + Thème + Niveau OUI Titre d'accès pour abonnement
par thème/niveau
DATES + ’A9 Dates + liste des classes OUI Titre d'accès pour abonnement

__________________________________________________________________________________
CUSTWD par classe

INUMB + FNUMB ’AA Numéros initial et final de OUI * Titre d'accès pour achat anticipé
programme à la séance et effacement de
programmes en achat à la
séance
DATE + CREDIT ’AB Date d'inscription de crédit + OUI Pour l'achat impulsif
Crédit
DATE + TOTAM ’AC Date + Montant total acquis OUI Pour l'achat impulsif
DATE +OVER ’AD Date + découvert autorisé OUI Pour l'achat impulsif
DATE + SURVEY ’AE Date de relevé + référence du OUI

relevé de consommation
DATES ’AF Intervalle de dates pour OUI Pour l'effacement de droits en
l'effacement abonnement
'B0 Réservé pour cartes mère OUI
'B1…B5 Réservés pour la consultation OUI
de la carte
DATE + MODEXP ’B6 Date + modification des modes OUI Pour l'achat impulsif
d'exploitation
////////// 'B7 RUF NON
LDATE + NBDAY B8 Date de péremption + Nombre OUI Pour l'inscription d'un droit
+ de jours + Thème-Niveau glissant de type abonnement par
TH/LE Thème :/ Niveau
LDATE + NBDAY B9 Date de péremption + Nombre OUI Pour l'inscription d'un droit
+ LINK de jours + liste de classes glissant de type abonnement par
Classes
DATE BA Date OUI Utilisé dans les opérations
faisant intervenir une notion de
date en lien avec l'écriture ou la
lecture d'un FAC ou l'écriture
d'un PIN
/////// 'C0 RUF NON Paramètre réservé
MOD1 ’C1 Coordonnées d'activation du OUI Pour le relevé de consommation
modem sur date de relevé
MOD2 ’C2 Coordonnées d'activation du OUI Pour le relevé de consommation
modem sur seuil de
consommation
//// RUF OUI Paramètres réservés
’C3....’C8
WAK ’C9 Coordonnées du réveil OUI Réveil du récepteur pour la

réception des EMM
////// 'CA....'CF RUF NON Paramètres réservés
QEV 'D0 Authentification du terminal Permet d'activer/désactiver le
mécanisme d'authentification du
terminal
IIII ’D1....’D7 RUF NON Paramètres réservés
INDMES ’D8 Message individuel OUI Réservés pour l'envoi de
messages aux usagers
///////// ‘D9...’DE RUF NON
//////// ‘DF....’ED Réservés pour les ECM OUI
PIN ’EE Code parental (code secret) OUI
CLE ’EF Cryptogramme d'une clé OUI
HASH ’F0 Redondance cryptographique OUI Présence obligatoire
//////// F1...FF NON

__________________________________________________________________________________
4.3 Identificateurs de paramètres PI

4.3.1 Identification de l'opérateur de service SOID
PI = ’90
LI = ’03
valeur = identification de l’opérateur de service
nom = SOID
Ce paramètre identifie l’opérateur de service (voir § 3.3) qui émet les EMM. La présence de ce
paramètre est obligatoire dans les EMM-U, les EMM-GH et les EMM-GA.
L’utilisation de ce paramètre est légèrement différente selon le type d’opération à effectuer dans
l'EMM :
— le paramètre pointe sur la zone mémoire allouée à l’opérateur de service dans le processeur de
sécurité dans le cas d’inscription des droits d'accès ou de mise à jour d’adresses usager,
— le paramètre pointe sur la clé en usage pour assurer les fonctions de contrôle d’intégrité ou de
chiffrement des mots secrets.
La structure de SOID est décrite au § 3.3 et en Figure 3.5.
4.3.2 Nombre aléatoire (désembrouillage du champ d’adresse ADF) RND-ADF
PI = ’91
LI = n
valeur = nombre aléatoire
nom = RND-ADF
Ce paramètre est utilisé pour initialiser le processus de désembrouillage du champ d’adresse ADF. Il
peut ne pas être transmis dans les EMM ; sa valeur (valeur par défaut) est alors fixée à NOT(HASH).
4.3.3 Nombre aléatoire (désembrouillage de données confidentielles) RND-CONF
PI = ’92
LI = n
valeur = nombre aléatoire
nom = RND-CONF
Ce paramètre est utilisé pour initialiser le processus de désembrouillage des données confidentielles.
Le désembrouillage peut s’appliquer soit à la transmission de droits d’accès dans les EMM, soit au
relevé de consommation via le modem. Ce paramètre peut ne pas être transmis dans les EMM ; sa
valeur (valeur par défaut) est alors fixée à HASH.

__________________________________________________________________________________
4.3.4 Authentification de l’opérateur de service

L’authentification de l’opérateur de service est une phase préalable obligatoire pour avoir accès, via
le modem, au relevé de consommation ou aux informations de crédit de l’usager. Le processus se
déroule en deux phases : génération d'un nombre aléatoire par le processeur de sécurité et envoi à
l’opérateur de service, suivi d’un calcul mettant en oeuvre la clé de service par l’opérateur de service.
Le résultat du calcul est transmis au processeur de sécurité qui en vérifie la validité. S’il y a
correspondance avec le même calcul réalisé en interne par le processeur de sécurité, la phase
d’authentification est réussie et le processeur de sécurité accepte de faire le relevé de consommation
ou une lecture des informations de crédit de l’usager.
4.3.5 Champ d’adresse ADF
PI = ’9E
LI = variable
valeur = champ d’adresse
nom = ADF
Ce paramètre indique, pour chaque usager du groupe partageant l’adresse SA de l’EMM-S, si l’EMM
le concerne ou non. Le processeur de sécurité de l’usager pointe sur le bit correspondant du champ
d’adresse en utilisant la valeur de CUSTPOS. Les champs CUSTPOS et SA sont dérivés du SOUA
de l’opérateur de service SOID. L'utilisation de ADF est illustrée dans la Figure 4.3 avec un champ
d'adresse sur 32 octets.
MSB bit 255 = 1.......bit 100 = 1..... .bit 50 = 0.....bit 0 = 0 LSB

Figure 4.3 : Champ d'adresse ADF sur 32 octets
Ce champ peut par ailleurs être transmis sous forme embrouillée. Il est présent dans les EMM-S.
4.3.6 Contrôle des fonctions de l'EMM CTRL-EMM
PI = ’A0
LI = ’01
valeur = mode opératoire
nom = CTRL-EMM
Le paramètre CTRL-EMM permet de décrire le mode opératoire lors de la mise en oeuvre de

fonctions spéciales telles que l’invalidation/effacement, l’inscription du premier droit ou le verrouillage
du service.
Le codage de ce paramètre est illustré en Figure 4.4.
MSB V IE1 IE2 G RUF X Y Z LSB

(1) (1) (1) (1) (1) (3)
Les 4 indicateurs V, IE1, IE2 et G sont indépendants. S’ils sont positionnés à 0, aucune fonction
spéciale n’est activée ; s’ils sont positionnés à 1, la fonction correspondante est activée.

__________________________________________________________________________________
Si IE1 ou IE2 = 1, alors la fonction d'invalidation/effacement est activée. La valeur du champ binaire
X Y Z, précise le type d’invalidation/effacement activé.
X Y Z = 0 0 0 invalidation/effacement du service identifié par IDUP et de toutes les informations

s’y rapportant.
X Y Z = 0 0 1 le bloc de données générales inscrit sous l’identificateur de service SOID (et pour
le prestataire NP1 NP2, cf. § 4.3.9) est invalidé ou effacé.
X Y Z = 0 1 0 la clé pointée par IDUP est invalidée/effacée.
X Y Z = 0 1 1 réservé à un usage futur.
X Y Z = 1 0 0 les blocs d’abonnement par thème/niveau ou par classe sous SOID sont
invalidés/effacés.
X Y Z = 1 0 1 les blocs de programmes en achat anticipé ou avec choix impulsif sous SOID sont
L’invalidation/effacement des abonnements (par thème/niveau ou par classe) est paramétré par
DATES de façon à préciser l'intervalle de dates sur lequel s’applique l’invalidation/effacement (tous
les abonnements pour lesquels le champ de dates est inclus dans DATES).
L’invalidation/effacement des programmes acquis soit sur achat anticipé, soit sur achat impulsif est
paramétré par INUMB + FNUMB qui précise alors l'intervalle de numéros de programmes pour lequel
les autorisations doivent être annulées (toutes les autorisations pour lesquelles tous les numéros de
programmes sont inclus dans l'intervalle INUMB, FNUMB sont invalidées/effacées).
L’invalidation/l’effacement des données à usage général est paramétrable par FAC qui précise alors
le prestataire NP1 NP2 (se reporter au § 4.3.9) à invalider/effacer dans le service.
Si G = 1, l'EMM contient un premier droit d’accès (cet indicateur est optionnel).
Le processeur de sécurité permet à un opérateur de donner un premier accès à tout nouvel abonné,
cette facilité n’étant réservée qu’à la première inscription de droits d’accès pour cet opérateur.
L’opérateur peut ainsi faire une promotion de son service de façon à attirer des usagers potentiels
(sorte de preview offert une fois à la première connexion). La définition du premier droit est laissée à
l’appréciation de l’opérateur (cela peut être un jour d’abonnement, un crédit d’essai pour l’achat à la
séance…), ce premier droit d’accès étant en fait complètement décrit à l’intérieur de l’EMM-GA et
pouvant être un droit quelconque parmi les méthodes d’accès utilisées par l’opérateur.
Les EMM-GA décrivant un premier droit d’accès sont émis périodiquement en même temps que la
transmission du programme.

__________________________________________________________________________________
Remarque : L’inscription de droits communs à l’ensemble de l’audience est aussi une méthode
qui utilise des EMM-GA, mais cette fois cet enregistrement n’est pas limité à la
première inscription ; dans ce cas, G = 0. Il n’y a pas de restriction d’utilisation de ce
mode par le processeur de sécurité. Un opérateur peut utiliser les EMM-GA pour
gérer avec une efficacité maximale (en temps de transmission) des opérations qui
concernent l’ensemble de l’audience telles que la gestion du label, la gestion des
FAC, les opérations d’invalidation/effacement, le verrouillage de service, la gestion du
descriptif de service.
Si V = 1, l’opérateur de service verrouille son service. Suite à cette opération, l’émetteur ne peut plus
mettre à jour ou configurer les clés de ce service. Seules les clés de gestion du service permettent de
faire une reconfiguration des clés du service.
RUF, bit réservé pour un usage futur.
Le paramètre CTRL-EMM transmis dans l'EMM est appliquée à la fonction de redondance

cryptographique de façon à garantir son intégrité. Si le paramètre CTRL-EMM est absent des EMM, il
prend alors la valeur par défaut ’00 et aucune fonction spéciale n’est mise en oeuvre.
4.3.7 Identification des données à inscrire IDUP
PI = ’A1
LI = ’03
valeur = identification des données à inscrire
nom = IDUP
Ce paramètre est utilisé quand on veut inscrire ou invalider/effacer une clé, un descriptif ou un
service. Il décrit l’identificateur sous lequel la clé, le descriptif ou le service seront stockés, ou
La description de IDUP est identique à celle de SOID (voir le § 3.3).
4.3.8 Descriptif DESCR

Ce paramètre (PI = ’A2) est réservé pour inscrire un nouvel opérateur de service dans le processeur
de sécurité. Il n'est pas utilisé par l'opérateur de service pour ses opérations de gestion.
4.3.9 Données générales FAC
PI = ’A3
LI = n
valeur = NP1 NP2 (2 octets) [ + No (1 octet) + données générales]
nom = FAC

__________________________________________________________________________________
Le paramètre permet à l’émetteur ou l’opérateur de service d’introduire des données qui lui sont
propres et qui ne sont pas interprétées par le processeur de sécurité lors de la mise en oeuvre des
fonctions de sécurité. Ces données sont en revanche interprétables par les terminaux ou récepteurs
pour réaliser certaines opérations spécifiques telles que la connexion automatique, l’authentification
de la carte… Chaque bloc de données générales se voit affecter un numéro de prestataire NP1 NP2
qui qualifie le type de données spécifiques (numéro d’appel, valeur d’authentification). Les blocs de
données générales sont décrits par sous-blocs dont le numéro est décrit par No. Ce découpage en
sous-blocs permet d’inscrire des blocs de longueur variable et importante.
La Figure 4.5 illustre le format du paramètre de données générales.
MSB FAC1................. FACn LSB
FAC (n octets)
Le paramètre FAC est mémorisé sous un identificateur de service spécifique SOID. Il est présent lors
de l’inscription de données générales dans les EMM.
4.3.10Adresse unique de l’usager UA

Ce paramètre (PI = ’A4) est réservé pour inscrire l’adresse unique de l’usager dans le processeur de
sécurité. Il n'est pas utilisé par l'opérateur de service pour ses opérations de gestion.
4.3.11Adresse de l’usager pour l’opérateur de service SOUA
PI = ’A5
LI = ’03 + n
valeur = adresse de l’usager pour l’opérateur de service
nom = SOUA
Ce paramètre est utilisé lors de l’écriture ou de la mise à jour de l’adresse SOUA de l’usager. Il est
présent dans les EMM-U.
Cette adresse est définie pour permettre l’émission de messages partagés adaptés à l’audience de
l’opérateur de service, de façon à améliorer l’efficacité en transmission. Elle est mémorisée sous un
identificateur de service SOID.
L’utilisation de SOUA est décrite dans le § 3.2.1, Figure 3.3.
4.3.12Adresse de groupe de l’usager GCA
PI = ’A6
LI = ’04
valeur = adresse de groupe de l’usager
nom = GCA

__________________________________________________________________________________
Ce paramètre est utilisé lors de l’écriture ou de la mise à jour de l’adresse de groupe de l’usager
GCA. Il peut être présent dans des EMM-GH ou les EMM-U. Les EMM-GH sont utilisés quand un
groupe d’usagers doit recevoir le même code géographique et le même code catégorie.
GCA est mémorisé sous un identificateur de service SOID. L’utilisation de GCA est décrite dans le
§ 3.2.2, Figure 3.4.
4.3.13Étiquette LABEL
PI = ’A7
LI = ’01 à ’10
valeur = étiquette de l’opérateur de service
nom = LABEL
Ce paramètre est émis dans un EMM à la première connexion de l’usager à l’opérateur de service. Il
est utilisé pour identifier l’opérateur de service lors des phases de dialogue homme - machine. Le
paramètre LABEL comporte au plus 16 caractères de l’Alphabet CCITT n° 5 codé sur 7 bits et
complété par le bit de poids fort à 0. Ce paramètre est mémorisé dans le processeur de sécurité,
sous l'indicateur de service SOID, mais n’intervient dans aucun mécanisme de sécurité ; sa présence
n’est donc pas obligatoire pour l’utilisation des fonctions de sécurité du processeur, son rôle est
essentiellement ergonomique.
Le paramètre LABEL est décrit en Figure 4.6.
MSB Char 1................ Char n LSB

(8) (8)
LABEL (n octets)
4.3.14Dates DATES + Thème/Niveau TH/LE
PI = ’A8
LI = ’06
valeur = dates + thème + niveau
nom = DATES + TH/LE
Ce paramètre est présent quand un abonnement par thème/niveau est décrit à l’intérieur d’un EMM.
Le premier champ du paramètre DATES décrit deux dates exprimées en Année/Mois/Jour. Chaque
date DATE est décrite sur 2 octets dont le contenu est illustré sur la Figure 4.7.

__________________________________________________________________________________
MSB Année Mois Jour LSB

(7) (4) (5)
DATE
’00 ≤ Année ≤ ’7F
’01 ≤ Mois ≤ ’0C
01 ≤ Jour ≤ ’1F
Figure 4.7 : Paramètre DATE
Le codage de l'année est relatif à l’année de référence 1980. Par exemple, le 15 janvier 1988 est
codé (notation hexadécimale) :
DATE = ’102F
où : Année = 0001000 (1980 + 8)

Mois = 0001 (Janvier = mois n° 1)
Jour = 01111 (15)
Les deux dates (DATES) présentes sont : la date de début BD et la date de fin FD de l’abonnement
comme cela est illustré dans la Figure 4.8.
MSB Année Mois Jour Année Mois Jour LSB

(7) (4) (5) (7) (4) (5)
BD (16) FD (16)
DATES
Figure 4.8 : Paramètre DATES
Le deuxième champ du paramètre donne le thème (TH) de l’abonnement. Ce paramètre donne accès
à l’ensemble des programmes qui ont le même thème (THÈME) dans les ECM (se reporter au § 3.3).
Ce paramètre est décrit sur 8 bits. Le troisième champ du paramètre donne le niveau d’accès (LE) de
l’abonnement. Ce paramètre donne l’accès à l’ensemble des programmes qui ont un niveau (LEVEL)
inférieur ou égal à LE dans les messages ECM (se reporter au § 3.3). Ce paramètre est, lui aussi,
décrit sur 8 bits.
Les conditions d’accès à un programme en mode abonnement par thème/niveau sont :
THEME = TH et LEVEL ≤ LE
avec TH et LE qui doivent être valides à la date courante donc BD ≤ CDATE ≤ FD

__________________________________________________________________________________
Il existe certains cas particuliers, liés au thème :
— si THEME = 'FF (dans l'ECM), le processeur de sécurité ignore ce champ et, quel que soit TH
inscrit dans le composant, la vérification sur ce champ est considérée comme positive.
— si TH = 'FF (droit inscrit dans le processeur de sécurité), alors, quel que soit le paramètre
THEME émis dans l'ECM, ce champ est ignoré et la vérification est considérée comme positive.
La description du paramètre thème/niveau est donnée en Figure 4.9.
MSB DATES TH LE LSB

(32) (8) (8)
DATES + TH/LE
Le paramètre thème/niveau est mémorisé avec la date de début et la date de fin associées à la
période de validité de l’abonnement sous l’identificateur de service SOID. Il est présent dans les
EMM lors de l’inscription d’abonnements par thème/niveau.
4.3.15Dates DATES + Liste des classes CUSTWD
PI = ’A9
LI = ’04 + n avec ’01 ≤ n ≤ ’20
valeur = dates + liste de classes
nom = DATES + CUSTWD
Ce paramètre est présent lors de l’inscription d’un abonnement par classe.
Le premier champ DATES est identique à celui décrit au § 4.3.14. Le second champ décrit une liste
de classes différentes, chaque bit représentant l’autorisation pour un programme pris dans une
classe (se reporter au § 3.3). Si le bit est égal à 1, l’usager a accès au programme ; s’il est égal à 0,
l’accès est interdit pour ce programme.

__________________________________________________________________________________
La Figure 4.10 décrit CUSTWD avec n = 3 (24 bits).
Z Z Z Z
ECM PI LI LINK = 20 ECM PI LI LINK = 4
Z Z Z Z
Le programme 20 est : Le programme 4 est :

- autorisé si CUSTWD bit 20 = 1 - autorisé si CUSTWD bit 4= 1
- interdit si CUSTWD bit 20 = - interdit si CUSTWD bit 4 =
0 0
Z Z
EMM
PH EMM PI ’03'07 23 22 21 20 19 18 ... 4 3 2 1 0
Z Z
Figure 4.10 : Mécanisme d'indirection dans le cas d'un abonnement par classe
Le paramètre CUSTWD est mémorisé avec la date de début et la date de fin d'abonnement sous
l'identificateur de service SOID. Il est présent dans un EMM lors de l'inscription d'abonnements par
classe.
La description du paramètre DATES + CUSTWD est donnée en Figure 4.11 :
MSB DATES CUSTWD LSB

(32) (8 x n)
DATES + CUSTWD
4.3.16Numéros initial et final de programme INUMB + FNUMB
PI = ’AA
LI = ’06
valeur = numéros initial et final de programme
nom = INUMB + FNUMB
Ce paramètre est présent lors de la description de programmes acquis en mode paiement à la

séance avec achat anticipé. Il comprend le numéro du premier programme autorisé INUMB (3
octets), suivi de FNUMB (3 octets). Les programmes numérotés de INUMB à FNUMB sont acquis.
Les conditions d’accès d’un programme en mode paiement à la séance sont définies par le numéro
de programme PNUMB qui est présent dans les ECM (se reporter au § 3.3) ; un tel programme sera
donc autorisé chez l’usager si :

__________________________________________________________________________________
INUMB ≤ PNUMB ≤ FNUMB
Si INUMB = FNUMB, alors seul PNUMB = INUMB est autorisé chez l’usager.
Plusieurs couples (INUMB, FNUMB) peuvent être présents sous le même identificateur de service.
Ce paramètre est également présent lors de l'effacement de programmes acquis en paiement à la

séance, il précise l'intervalle de numéros de programme auquel s’applique l’effacement. Tous les
programmes inclus dans cet intervalle de numéros (qu’ils soient par achat anticipé, par achat impulsif
à la séance ou par achat impulsif à la durée) sont alors effacés pour le service SOID concerné.
La description du paramètre INUMB + FNUMB est donnée en Figure 4.12 :
MSB INUMB FNUMB LSB

(24) (24)
INUMB + FNUMB
Les numéros de programme initial INUMB et final FNUMB ont une longueur effective de 24 bits
chacun.
Le paramètre INUMB + FNUMB est mémorisé sous un identificateur de service SOID.
Il est présent dans les EMM lors de l’inscription de programmes en mode paiement à la séance avec
achat anticipé ou de l'effacement de programmes.
4.3.17Date DATE + Crédit CREDIT
PI = ’AB
LI = ’04
valeur = date d’inscription de crédit + crédit
nom = DATE + CREDIT
Ce paramètre est présent lors de l’envoi à un usager d’un crédit supplémentaire ; ce crédit ira
s’ajouter à la somme des crédits acquis par l’usager.
La date d’inscription de crédit doit être strictement croissante dans le temps (que cette inscription soit
faite par envoi d’un crédit supplémentaire ou par une mise à jour du montant total des crédits comme
indiqué au § 4.2.22). Cela impose qu’un crédit supplémentaire ne peut être alloué le même jour qu’un
autre crédit supplémentaire ni le même jour qu’une mise à jour du montant total des crédits.
Le champ DATE est décrit dans le § 4.3.14, Figure 4.7.

__________________________________________________________________________________
Le crédit est utilisé en paiement avec choix impulsif (paiement à la séance ou à la durée). Le
paramètre de crédit transmis est décrit en unités, mais le crédit mémorisé est décrit en unités +
fractions d’unités. En paiement à la séance, un programme ne pourra être accessible que si son coût
(PPV/P) est inférieur ou égal au crédit restant mémorisé et sur accord explicite de l’usager pour
l’achat du programme. En paiement à la durée, un programme ne sera accessible que si le coût de
l’unité de temps (PPV/T) est inférieur ou égal au crédit restant mémorisé et sur accord explicite de
l’usager pour l’achat.
Le paramètre PPV/P est décrit sur 16 bits (se reporter au § 5) ; il se compose de deux champs :
8 bits donnant le coût en unités et 8 bits donnant le coût en fractions d’unités (les unités étant en
poids fort, se reporter au Tableau 4.2). Dans les ECM, PPV/P donne le prix du programme identifié
par le paramètre PNUMB (se reporter au § 3.3).
Le paramètre PPV/T est décrit sur 16 bits (se reporter au § 5) ; il représente le coût de l’unité de
temps exprimé en fractions d’unités. Dans les ECM, PPV/T donne le prix à l’unité de temps du
programme identifié par PNUMB (se reporter au § 3.3).
Le paramètre DATE + CREDIT est décrit en Figure 4.13.
MSB DATE CREDIT LSB

(16) (16)
DATE + CREDIT
Figure 4.13 : Paramètre DATE + CREDIT
Le paramètre DATE + CREDIT est mémorisé sous l’identificateur de service SOID. Il est présent
dans les EMM lors de l’inscription d’un crédit.
4.3.18Date DATE + Montant total TOTAM
PI = ’AC
LI = ’04
valeur = date d’inscription + montant total acquis
nom = DATE + TOTAM
Ce paramètre permet d’envoyer à l’usager le montant total de l’ensemble des crédits qu’il a acquis
auprès d’un opérateur de service, associé à une date d'inscription telle que définie au § 4.3.17. Ce
paramètre permet de mettre à niveau la valeur totale du crédit de l’usager, dans le cas de perte de
messages contenant des suppléments de crédit (CREDIT) et donc de régler des conflits éventuels.
Le paramètre TOTAM est utilisé plus rarement que le paramètre CREDIT car le regroupement
efficace (au sens de la transmission) d’usagers ayant le même TOTAM dans des messages partagés
est plus difficile que le même regroupement autour du paramètre CREDIT. Le paramètre TOTAM est
associé à une date d’inscription de la même façon que les paramètres CREDIT. Le mode d’utilisation
de ce paramètre est strictement identique à celui de CREDIT, le crédit restant de l’usager étant dans
tous les cas égal à la somme des crédits affectés diminuée de la somme des débits effectués.
Le champ DATE est décrit dans le § 4.3.14, Figure 4.7.
Le champ TOTAM contient, sur 16 bits, le nombre total d’unités acquises par l’usager. Il est décrit en
Figure 4.14.

__________________________________________________________________________________
MSB DATE TOTAM LSB

(16) (16)
DATE + TOTAM
Le paramètre TOTAM est mémorisé, associé à une date d’inscription, sous un identificateur de
service SOID. Il est présent dans un EMM lors de l’inscription d’un montant total.
4.3.19Date DATE + Découvert autorisé OVER
PI = ’AD
LI = ’04
valeur = date + découvert autorisé
nom = DATE + OVER
Ce paramètre permet à un opérateur de service de fixer un découvert maximal autorisé à un usager,

de façon à autoriser un délai de grâce à un usager négligeant (mais honnête !) qui aurait oublié de
demander une nouvelle inscription de crédit à son opérateur. Ce paramètre est associé à une date
d’inscription de crédit DATE de la même façon que le paramètre CREDIT ou TOTAM pour les mêmes
raisons de sécurité. Ce paramètre est utilisé par le processeur de sécurité lorsque le crédit restant de
l’usager n’est pas suffisant pour couvrir l’acquisition d’un programme en achat impulsif. En tout état
de cause, l’achat ne peut excéder la valeur définie par la somme du crédit restant et du découvert
autorisé. Si tout ou partie du découvert autorisé est utilisé, la somme correspondante est
comptabilisée en débit et donc est naturellement déduite du crédit restant lors du rechargement de
crédit suivant.
Le champ de paramètre OVER est décrit sur 16 bits : les 8 bits de poids fort donnant le découvert en
unités et les 8 bits de poids faible donnant le découvert en fractions d’unités (voir le Tableau 4.2).
La date d’inscription du découvert autorisé doit être strictement croissante dans le temps. Cela
impose que deux changements du découvert autorisé ne peuvent avoir lieu le même jour pour un
même opérateur de service.
Le champ de paramètre OVER est décrit en Figure 4.15.
MSB DATE OVER LSB

(16) (16)
DATE + OVER
Le paramètre DATE + OVER est mémorisé sous l’identificateur de service SOID. Il est présent dans
les EMM lors de l’inscription d’un découvert autorisé.
Le Tableau 4.2 donne un récapitulatif des différents paramètres qui caractérisent le paiement
impulsif.

__________________________________________________________________________________
UNITES FRACTIONS
D’UNITES
Le crédit restant est traité sur
16 bits 16 bits 32 bits dans le processeur de
sécurité
Date d’inscription de Les 12 bits de crédit sont ajoutés

12 bits
crédit DATE aux unités (transmis via EMM)
CREDIT
Date d'inscription de Les 16 bits du montant total sont

16 bits
crédit DATE exprimés en unités (transmis via
TOTAM
EMM)
Date d'inscription du Découvert autorisé

8 bits 8 bits
découvert DATE (transmis via EMM)
OVER
PNUMB est PPV/T est exprimé en fractions

mémorisé associé au 16 bits d’unité et est décrémenté tous les
compteur PPV/T PPV/T calculs de mots de contrôle
(transmis via ECM)
PNUMB est PPV/P est exprimé en unités et

8 bits 8 bits
mémorisé une fois fractions d’unités lors de l’achat
PPV/P
acheté du programme (transmis via
ECM)
CMIN n’est présent 8 bits 8 bits CMIN est exprimé en unités et

que dans l’ECM CMIN fractions d’unités lors de l’achat
du programme (transmis via
ECM)
Tableau 4.2 : Description des unités et fractions d’unités en mode paiement avec choix
impulsif
4.3.20Relevé de consommation SURVEY
PI = ’AE
LI = ’04
valeur = date de relevé + référence du relevé de consommation
nom = DATE + SURVEY
Ce paramètre est présent lorsque l’opérateur de service veut signaler qu’il a effectué un relevé des
programmes acquis par l’usager depuis le dernier relevé de consommation. Le paramètre de relevé
de consommation est une référence (16 bits) allouée par l’opérateur de service pour marquer
l’opération de relevé dans le processeur de sécurité. Il est associé à une date de relevé (DATE)
comme décrit dans le § 4.3.14, Figure 4.7.
Les dates de relevé de consommation doivent progresser de façon strictement croissante.
Le paramètre de relevé de consommation est décrit dans la Figure 4.16.

__________________________________________________________________________________
MSB DATE SURVEY LSB

(16) (16)
DATE + SURVEY
Le paramètre SURVEY est mémorisé sous l’identificateur de service SOID avec la date de relevé
DATE.
Il est présent à l’issue d’une opération de relevé de consommation ; cette opération nécessite la
présence d’un réseau interactif pour pouvoir relire les numéros de programmes qui ont été acquis.
4.3.21Dates DATES
PI = ’AF
LI = ’04
valeur = intervalle de dates pour l’effacement
nom = DATES
Ce paramètre est présent lorsque la fonction d’’invalidation/effacement d’abonnements est active et

précise l'intervalle de dates auquel s’applique l’invalidation/effacement. Tous les abonnements inclus
dans cet intervalle de dates (qu’ils soient par thème/niveau ou par classe) sont alors invalidés/effacés
pour le service SOID concerné. Si la borne inférieure de DATES est égale à 0, tous les abonnements
dont la borne supérieure est inférieure ou égale à celle indiquée dans le paramètre DATES sont
invalidés/effacés. Le format de DATES est celui précisé dans la Figure 4.7 du § 4.3.14.
4.3.22Modification des modes d'exploitation MODEXP
PI = ’B6
LI = ’03
valeur = date + modes d’exploitation
nom = DATE + MODEXP
Ce paramètre est présent dans un EMM lorsque l'opérateur de service veut modifier d'une manière
réversible ses modes d'exploitation. Il peut ainsi décider lui-même d'autoriser ou non chaque mode
d'exploitation.
Le premier champ du paramètre DATE est décrit au § 4.3.14, Figure 4.7.
Le second champ du paramètre, MODEXP, contient l'état des modes d'exploitation (autorisé ou
interdit) sur 1 octet.
Les dates de modification des modes d'exploitation doivent progresser de façon strictement
croissante.
Le paramètre de relevé de modification des modes d'exploitation est décrit dans la Figure 4.17.

__________________________________________________________________________________
MSB DATE MODEXP LSB

MO7.........MO0
(16) (8)
DATE + MODEXP
— MO0 = abonnement par thème/niveau,

— MO1 = abonnement par classe,
— MO2 = paiement à la séance avec achat anticipé,
— MO3 = paiement à la séance avec achat impulsif,
— MO4 = paiement à la durée,
— MO5 = preview.
Si MOi = 1, le mode d'exploitation est autorisé par l'opérateur de service.
4.3.23Date de péremption + nombre de jours de validité + Thème/Niveau TH/LE
PI = ’B8
LI = ’06
valeur = date de péremption + nb de jours de validité + thème/niveau
nom = LDATE+ NBDAY + TH/LE
Ce paramètre est présent quand un abonnement glissant par thème/niveau est décrit à l’intérieur d’un
EMM.
L'abonnement démarre lorsque la carte reçoit le premier ECM. Il est utilisé si aucun droit n'est en
cours pour le programme. Après la première utilisation, il apparaît comme un abonnement classique
avec BDATE = CDATE de première utilisation et FDATE = sup entre (LDATE) et (CDATE + NBDAY).
Le premier champ du paramètre.indique une limite d'utilisation du droit inscrit.
Le deuxième champ du paramètre indique le nombre de jours durant lequel cet abonnement sera
valable à compter de la date de sa première utilisation.
Le troisième champ du paramètre donne le thème (TH) de l’abonnement. Ce paramètre donne accès
à l’ensemble des programmes qui ont le même thème (THÈME) dans les ECM (se reporter au § 3.3)
tant que la limite d'utilisation n'est pas atteinte. Ce paramètre est décrit sur 8 bits.
Le quatrième champ du paramètre donne le niveau d’accès (LE) de l’abonnement. Ce paramètre

donne l’accès à l’ensemble des programmes qui ont un niveau (LEVEL) inférieur ou égal à LE dans
les messages ECM (se reporter au § 4.2) tant que la limite d'utilisation n'est pas atteinte. Ce
paramètre est, lui aussi, décrit sur 8 bits.
Les conditions d’accès à un programme en mode abonnement par thème/niveau sont les mêmes que
celles décrites pour le paramètre A8.

__________________________________________________________________________________
La description du paramètre abonnement glissant par thème/niveau est donnée en Figure 4.9.
MSB LDATE NBDAY TH LE LSB

(16) (16) (8) (8)
LDATE + NBDAY + TH/LE
4.3.24Date de péremption + nombre de jours de validité + Liste des classes CUSTWD
PI = ’B9
LI = ’04 + n avec ’01 ≤ n ≤ ’20
valeur = dates de péremption + Nb de jours + liste de classes
nom = LDATE + NBDAY + CUSTWD
Ce paramètre est présent quand un abonnement glissant par classe est décrit à l’intérieur d’un EMM.
L'abonnement démarre lorsque la carte reçoit le premier ECM. Il est utilisé si aucun droit n'est en
cours pour le programme. Après la première utilisation, il apparaît comme un abonnement classique
avec Begin DATE = CDATE de première utilisation et Ending DATE = sup entre (LDATE) et (CDATE
+ NBDAY).
Le premier champ du paramètre.indique une limite d'utilisation du droit inscrit.
Le deuxième champ du paramètre indique le nombre de jours durant lequel cet abonnement sera
valable à compter de la date de sa première utilisation.
Le troisième champ décrit une liste de classes différentes. L'interprétation de ce champ est
rigoureusement identique à celle décrite au § 4.3.15.
La description du paramètre abonnement glissant par classe est donnée en Figure 4.11 :
MSB LDATE NBDAY CUSTWD LSB

(16) (16) (8 x n)
LDATE + NBDAY + CUSTWD
4.3.25FAC Daté, PIN Daté
PI = ’BA
LI = ’02
valeur = date
nom = CDATE
Ce paramètre est présent :

__________________________________________________________________________________
- lors des opérations de remplacement de FAC.

ex1 : remplacement d'un FAC existant :
PI LI DATE PI LI FAC
 BA 02 CDATE A3 n FAC avec N° de bloc FAC = 0
- lors des opérations d'écriture du PIN

PI LI DATE PI LI PIN
BA 02 CDATE EE n PIN
Le codage du champ CDATE est identique à celui décrit dans la figure 4.7 au § 4.3.14.
4.3.26Coordonnées d'activation du modem sur date de relevé MOD1
PI = ’C1
LI = ’08
valeur = NUMÉRO D'APPEL LOGIQUE + DATE + HEURE + PÉRIODICITÉ + DENSITÉ D'APPEL
nom = MOD1
Ce paramètre permet à l'opérateur d'un service ou à l'émetteur d'une carte identifié par son SOID de
définir une date et heure d'activation du modem en vue de la connexion du récepteur à un centre de
gestion technique.
Selon la valeur du champ PER, l'activation du modem peut être définie pour une date fixe unique ou
avec une périodicité mensuelle ou hebdomadaire. Toute nouvelle valeur d'activation transmise par un
opérateur (SOID) remplace la valeur précédente immédiatement ou, si une activation du modem est
en cours pour cet opérateur, à la fin effective de celui-ci (connexion terminée ou démarrage d'une
autre activation). Il n'est pas prévu d'annulation explicite de l'activation, les activations à date fixe
s'auto-invalidant.
Le champ NUMÉRO D'APPEL LOGIQUE (NAL) fournit la référence du numéro d'appel du centre de
gestion. Cette référence associée au numéro d'appel (téléphonique et/ou PAV) est stockée dans un
bloc FAC du processeur de sécurité sous le format d'un bloc de connexion automatique de type
"LECAM". Ce bloc FAC est présent sous le SOID de l'émetteur ou de l'opérateur de service.
Les champs DATE et HEURE fournissent la date et l'heure de base ; ils sont codés en BCD. La date
et l'heure sont exprimées en UTC.
Le champ PÉRIODICITÉ (PER) définit le mode d'activation : à date fixe ou avec périodicité.
Le champ DENSITÉ D'APPEL désigne la densité d'appel au centre de gestion à partir de la date et
heure de base définies par DATE et HEURE. Ce champ permet l'étalement de 256 appels au centre
de gestion à partir d'une date et heure de base.
L'heure d'appel réelle d'un récepteur est la suivante :
Heure d'appel = H0 (Date et heure de base) + CUSTPOS/DA (mn)
avec :
H0 = heure d'appel de base telle que définie dans l'EMM

CUSTPOS = valeur binaire des 8 bits de poids faible du SOUA correspondant à SOID.

__________________________________________________________________________________
Le décalage CUSTPOS/DA est exprimé en minutes. Le décalage minimal entre deux heures d'appel
de deux modem est 1/256ème de minute.
Le paramètre MOD1 est décrit en Figure 4.20.
MSB NAL DATE HEURE PER DA LSB

(8) (24) (16) (8) (8)
MOD1
Le champ DATE est codé tel que décrit sur la Figure 4.21.
MSB YY MM DD LSB
(8) (8) (8)
DATE
Le champ PER indique le type de périodicité :
— si PER = ’00, il s'agit d'un appel à date fixe, donnée par AA, MM, JJ, HH et MM.
— si PER = ’FF, il s'agit d'appels en base hebdomadaire. Les informations complémentaires
relatives à la programmation sont contenues dans l'octet JJ décrit ci-dessous.
— si PER prend une autre valeur, il s'agit d'un appel en base mensuelle. Les valeurs permises sont
’01, ’02, ’03, ’04, ’06. Les autres valeurs sont réservées pour un usage futur. PER contient la
périodicité de l'appel. Par exemple, si PER = ’01, l'appel aura lieu tous les mois. Si PER = ’03,
l'appel aura lieu tous les 3 mois. Les informations complémentaires relatives à la programmation
sont contenues dans l'octet JJ décrit ci-dessous.
L'octet AA contient les chiffres des dizaines et des unités de l'année en cours (Par exemple, l'année
1991 est codée ’91). Il n'est significatif que pour les appels à date fixe.
L'octet MM indique le mois de l'année :
— dans le cas d'un appel à date fixe, MM donne le mois de l'année. MM peut donc prendre les
valeurs ’01 à ’09 et ’10 à ’12.
— dans le cas d'appel à périodicité mensuelle, MM donne le mois à partir duquel la périodicité est
appliquée. Par exemple, tous les trois mois à partir de Mai. MM peut prendre les valeurs ’01 à
’09 et ’10 à ’12.
— dans le cas d'appels hebdomadaires, MM n'est pas significatif.
L'octet JJ indique le jour :
— de la semaine pour les appels hebdomadaires (PER = ’FF). JJ prend les valeurs de ’01 (lundi) à
’07 (dimanche).
— du mois pour les autres types d'appel (à date fixe ou à périodicité mensuelle), JJ prend les
valeurs de ’01 à ’09, de ’10 à ’19, de ’20 à ’29, de ’30 et ’31.

__________________________________________________________________________________
Le champ HEURE est codé tel que décrit en Figure 4.22.
MSB HH MN LSB
(8) (8)
HEURE
L'octet HH indique l'heure dans le jour programmé.
L'octet MN indique la minute dans l'heure programmée.
Tous les paramètres précédents permettent de programmer une date et heure de base H0.
4.3.27Coordonnées d'activation du modem sur seuil de consommation MOD2
PI = ’C2
LI = ’06
valeur = NUMÉRO D'APPEL LOGIQUE + COND1 + COND2 + ECART + DENSITÉ D'APPEL
nom = MOD2
Ce paramètre permet à l'opérateur d'un service ou à l'émetteur d'une carte identifié par son SOID de
définir un nombre maximum de séances consommées depuis le dernier relevé et/ou une
consommation d'unités, déclenchant l'activation du modem, pour appeler le centre collecteur afin
d'effectuer un relevé et réinscrire un crédit dans la carte si besoin.
Le champ NUMÉRO D'APPEL LOGIQUE (NAL) fournit la référence du numéro d'appel du centre de
gestion. Cette référence associée au numéro d'appel (téléphonique et/ou PAV) est stockée dans un
bloc FAC du processeur de sécurité sous le format d'un bloc de connexion automatique de type
"LECAM". Ce bloc FAC est présent sous le SOID de l'émetteur ou de l'opérateur de service.
Le champ COND1 définit le nombre de séances consommées déclenchant l'appel au centre

collecteur.
COND1 = Appel sur le nombre de séances indiqué (entre 0 et 127)
Le champ COND2 définit le crédit restant minimum, provoquant un appel au centre collecteur. Il est
calculé en faisant la différence entre le TOTAM inscrit sous le SOID de l’opérateur de service ou de
l’émetteur et la somme des consommations à la dernière date d'inscription de crédit plus la somme
des consommations depuis cette dernière date.
COND2 = Appel sur un nombre d'unités entières (entre 0 et 65535) de crédit restant.
Le champ ECART indique, pour un groupe d'usagers partageant la même adresse (SA), la
temporisation en minutes à utiliser pour déclencher l'appel après la mise en veille du terminal. Ce
paramètre permet d'éviter les concentrations trop importantes d'appels à la fin des émissions.

__________________________________________________________________________________
Le paramètre MOD2 est décrit en Figure 4.23.
MSB NAL COND1 COND2 ECART DA LSB

(8) (8) (16) (8) (8)
MOD2
4.3.28Coordonnées du réveil WAK
PI = ’C9
LI = ’04
valeur = DATE + HEURE + DURÉE
nom = WAK
Ce paramètre permet à l'opérateur d'un service identifié par son SOID de définir une date, heure et
durée de réveil du récepteur en vue de la réception des EMM qui seront diffusés dans le même canal
pendant l'intervalle de temps correspondant.
L'utilisation de la commande de réveil du terminal (paramètre WAK) est strictement réservée au réveil
du terminal en vue de la réception des EMM liés à la gestion du service par le ou les opérateurs.
Selon la valeur du champ DATE, le réveil peut être défini pour une date fixe unique, ou avec une
périodicité mensuelle ou hebdomadaire. Toute nouvelle valeur de réveil transmise par un opérateur
(SOID) dans un canal donné remplace la valeur précédente immédiatement, ou si un réveil est en
cours pour cet opérateur dans ce canal, à la fin effective de celui-ci (durée écoulée ou démarrage
d'un autre réveil). Il n'est pas prévu d'annulation explicite du réveil, les réveils à date fixe s'auto-
invalidant.
Le champ HEURE fournit l'heure de réveil, avec une résolution de 10 minutes. Le champ DURÉE
fournit la durée du réveil, avec une résolution de 10 minutes.
Le paramètre WAK est décrit en Figure 4.24.
MSB DATE HEURE DURÉE LSB

(16) (8) (8)
WAK
Figure 4.24 : Paramètre WAK
L'heure de réveil est exprimée en Temps Universel Coordonné (UTC), la date est codée par rapport
à la même référence temporelle.

__________________________________________________________________________________
Le champ de paramètre DATE est codé conformément à la Figure 4.7 lorsque le réveil est défini pour
une date fixe. Pour un réveil périodique, le sous-champ Mois prend la valeur 0 ; la périodicité dépend
de la valeur du sous-champ Année : la valeur 0 signale un réveil mensuel le jour fixé dans le sous-
champ Jour, les valeurs 1 à 7 indiquent un réveil hebdomadaire (1 = Lundi, ... 7 = Dimanche) et dans
ce cas le sous-champ Jour n'est pas significatif.
Les champs de paramètre HEURE et DURÉE comportent chacun un octet codé comme suit :
— bits 3 - 7 : heures de 0 à 23 heures
— bits 0 - 2 : dizaines de minutes de 0 à 5
4.3.29Activation/désactivation du mécanisme d’authentification du récepteur (QEV)
PI = 'D0
LI = variable
valeur = ETATQEV + VALEURQEV + n° d’identification du terminal
nom = QEV
Ce paramètre est émis dans les EMM-U, EMM-GA, EMM-GH ou EMM-SV. Il permet à l'émetteur de
la carte PC2 d'activer ou de désactiver le mécanisme de QEV présent dans le récepteur. Il se
compose de trois sous-paramètres codés en TLV.
Le premier sous-paramètre (ETATQEV) a un champ de valeur sur un octet. Il indique l'état du
mécanisme de QEV et peut prendre les valeurs suivantes :
T = ‘40
L = ‘01
V = 'F3 : QEV activé
'2E : QEV désactivé (pourra être réactivé ultérieurement)
‘00 : QEV invalidé (désactivé définitivement)
Le deuxième sous-paramètre (VALEURQEV) contient la valeur du paramètre d'authentification

utilisée dans le mécanisme de QEV. Il comporte au plus 16 caractères de l'alphabet CCITT n° 5
codés sur 7 bits et complétés par le bit de poids fort à 0. Cette valeur doit être identique à celle
stockée dans le récepteur.
T = ‘41
L=n (n ≤ 10)
V = valeur du QEV
Le troisième sous-paramètre contient le numéro d’identification du terminal (n° de fabricant, n° de

plate-forme, code usage, n° de série pour le fabricant) sur lequel le QEV doit être activé ou
désactivé. Cette valeur doit être identique à celle stockée dans le récepteur. Le numéro
d’identification du terminal est codé en BCD, sa longueur est au plus de 8 octets.
T = ‘42
L=m (m ≤ 8)
V = n° d’identification du terminal
Chaque quartet peut prendre la valeur hexadécimale ‘F dans l’EMM. Cela permet d’identifier en
même temps un groupe de terminaux. La comparaison entre le numéro d’identification reçu dans
l’EMM et celui stocké dans le récepteur sera faite quartet par quartet à l’exception des quartets égaux
à ‘F dans l’EMM. Par exemple, un numéro d’identification égal à ‘456F11 dans l’EMM permet
d’adresser 10 terminaux de numéro 456011, 456111, 456211, ..., 456911.

__________________________________________________________________________________
Note : les sous-paramètres sont codés en TLV pour pouvoir avoir des longueurs variables pour le
numéro d’identification du terminal et la valeur de QEV.
4.3.30Code parental PIN
PI = ’EE
LI = n
valeur = cryptogramme du code parental
nom = PIN
Ce paramètre est utilisé pour l’inscription d’un nouveau code parental par les EMM en cas d’oubli du
code parental par l’usager.
La longueur du cryptogramme du PIN dépend de l'algorithme cryptographique implémenté dans le

Le format du PIN est donné en Figure 4.25.
MSB PIN LSB

(8 x n)
PIN
4.3.31Clé secrète CLE
PI = ’EF
LI = n
valeur = cryptogramme de la clé
nom = CLE
Ce paramètre est utilisé pour la transmission d’une clé secrète par EMM.
La clé inscrite CLE peut être une clé d’exploitation ou de gestion ; elle est enregistrée sous
l’identificateur de service IDUP.
La longueur de la clé et de son cryptogramme dépend de l'algorithme cryptographique implémenté

dans le processeur de sécurité.
Le format du paramètre CLE est décrit dans la Figure 4.26.
MSB CLE LSB

(8 x n)
CLE
Le paramètre CLE est présent dans un EMM lors de l’inscription d'une clé secrète.

__________________________________________________________________________________
4.3.32Redondance cryptographique HASH
PI = ’F0
LI = n
valeur = redondance cryptographique
nom = HASH
Ce paramètre est obligatoirement présent dans les EMM-U, EMM-S et EMM-GA ; il garantit
l’intégrité des données sensibles (claires ou chiffrées) présentes dans le message et donc la
cohérence du message reçu pour le processeur de sécurité ; cette signature garantit également à
l’émetteur du message que toute modification volontaire (fraude) ou involontaire (erreur de
transmission) aboutira à un rejet (donc à un échec) du message.
Le mécanisme de redondance cryptographique met en oeuvre la clé secrète pointée par le SOID du
message. Dans le cas des EMM, la clé utilisée est obligatoirement une clé de gestion sauf dans le
cas de l’inscription d’un premier droit d’accès gratuit ou d'une information commune à toute
l'audience où la clé d’exploitation peut être utilisée pour sécuriser le message.
La redondance cryptographique assure une intégrité des éléments sensibles de l’EMM. Elle
s’applique à l’ensemble des paramètres du groupe 3 (y compris les PI LI) présents dans les EMM. Le
mécanisme tient compte aussi des paramètres SA et ADF, ou UA suivant les cas (EMM-GH + EMM-
S, ou EMM-U).
La longueur du paramètre HASH dépend de l'algorithme cryptographique implémenté dans le

Le format du paramètre HASH transmis est décrit en Figure 4.27.
MSB HASH LSB

(8 x n)
HASH
Remarque : Ce paramètre peut servir de valeur par défaut pour initialiser le processus de
désembrouillage des données confidentielles (droits d’accès ou relevé d’audience),
en l’absence de RND-CONF. Sa valeur inversée NOT(HASH) sert à initialiser par
défaut le désembrouillage de l’adresse ADF, en l’absence de RND-ADF.
4.4 Messages à format fixe (F = 0)

Cette structure de message est réservée à la transmission des EMM-S. Dans ce cas, le champ de
données du message ne contient que le champ des paramètres ADF et HASH sans PI LI ; sa
longueur est alors constante et dépend du multiplex de diffusion et du cryptoalgorithme. Elle est
égale à 40 octets pour le processeur de sécurité PC2-3 décrit en Annexe 1.
La Figure 4.28 illustre le champ de paramètre d’un EMM-S en format fixe avec un champ ADF sur 32
octets et un champ HASH sur n x 8 octets.

__________________________________________________________________________________
SA ADF HASH
(24) (256) (n x 8)
Figure 4.28 : Champ du message d'un EMM-S à format fixe
4.5 Types des messages de gestion des titres d'accès et exemples

4.5.1 EMM-U
Les EMM-U sont destinés à être reçus par un seul usager. Ils sont sélectionnés par un filtrage sur la
base de l'adresse unique UA.
Les EMM-U sont utilisés quand il est nécessaire d'adresser individuellement un usager. Ceci peut
être le cas lors de la première connexion d'un usager avec le centre de gestion de l'opérateur de
service. Une fois que son identificateur et sa première clé de gestion (pour utilisation avec des EMM-
U) ont été inscrits dans le processeur de sécurité, il inscrit l'adresse de l'usager pour l'opérateur de
service SOUA (pour utilisation avec des EMM-S), les clés de gestion (pour utilisation avec des EMM-
S), l'adresse de groupe de l'usager (GCA) et les clés d'exploitation. Ceci peut être fait sous le
contrôle de sa première clé de gestion.
Les EMM-U peuvent aussi être utilisés pour l'inscription ou la mise à jour des clés de service ou du
code parental, l'invalidation'/effacement de droits et de données dans le processeur de sécurité.
Les EMM-U peuvent aussi transporter des renouvellements de titres d'accès, ou des paramètres de
configuration du décodeur (QEV, MOD1, MOD2, WAK), même si le rythme de diffusion des droits
d'accès peut être amélioré en utilisant l'adressage partagé.
Le champ du message peut être embrouillé comme décrit dans les § 4.2.1 et 4.3.3. Dans ce cas, un
paramètre de confidentialité PC doit être présent.
Lorsqu'un même EMM-U transporte des informations utilisant plusieurs signatures, il faut utiliser le
mécanisme de parenthèses offert par le paramètre de groupe PG.
Les paragraphes suivants donnent des exemples de codage d'EMM-U. D'autres scénarios sont
possibles pour la première connexion d'un usager avec le centre de gestion de l'opérateur de service.
La longueur des paramètres correspond au processeur de sécurité PC2 décrit en Annexe 1.
4.5.1.2 Exemple 1 : ouverture de service

La Figure 4.29 illustre quelques exemples d'opérations pouvant intervenir au cours d'une ouverture
de service.
— inscription
UA d'une
PI clé
’03de gestion
SOID PI du
’03service
IDUP etPI
de LI
SOUA
CLE1 PI ’03 SOUA PI LI HASH
40 8 8 24 8 8 24 8 8 LI x 8 8 8 24 8 8 LI x 8

__________________________________________________________________________________
UA PI ’03 SOID PI ’06 LABEL PI ’03 IDUP PI LI CLE2 PI LI HASH

40 8 8 24 8 8 48 8 8 24 8 8 LI x 8 8 8 LI x 8
– SOID pointe sur la clé utilisée pour chiffrer CLE2 et pour calculer la redondance cryptographique
du message (HASH),
– le paramètre LABEL comporte ici 6 caractères de l'alphabet CCITT n° 5,
– le paramètre CLE2 contient le cryptogramme de la clé d'exploitation du service pointée par IDUP,
Remarque : le LABEL (information commune à toute l'audience) peut être transmis dans un
EMM-GA protégé par une clé d'exploitation du service ou une clé de gestion du service
commune à toute l'audience.
— inscription de l'adresse GCA et d'un droit d'accès
UA PI ’03 SOID PI ’03 GCA PI ’06 DATES+TH/LE PI LI HASH

40 8 8 24 8 8 32 8 8 48 8 8 LI x 8
– HASH est calculé en utilisant la clé pointée par SOID (clé de gestion du service),
– GCA est l'adresse de groupe de l'usager pour l'opérateur de service,
– DATES+TH/LE décrit un droit d'accès en abonnement par thème/niveau,
Figure 4.29 : Exemples d'opérations mettant en œuvre des EMM-U lors d'une ouverture de
service
4.5.1.3 Exemple 2 : inscription de droits

Les différents EMM-U transportant ces informations sont décrits en Figure 4.30.
UA PI ’03 SOID PI ’06 DATES + TH/LE PI LI HASH

40 8 8 24 8 8 48 8 8 LI x 8
UA PI ’03 SOID PI ’07 DATES + CUSTWD PI LI HASH
40 8 8 24 8 8 56 8 8 LI x 8
— inscription par EMM-U d'une série de programmes caractérisée par INUMB et FNUMB sous
l'identificateur de service SOID
UA PI ’03 SOID PI ’06 INUMB + FNUMB PI LI HASH

40 8 8 24 8 8 48 8 8 LI x 8
— inscription par EMM-U d'un crédit et d'un découvert autorisé, utilisables en paiement à la
séance ou à la durée, caractérisés par CREDIT, DATE (datede rechargement de crédit) et OVER
(même date) pour l'identificateur de service SOID
UA PI ’03 SOID PI ’04 DATE + CREDIT PI ’04 DATE + OVER PI LI HASH

40 8 8 24 8 8 32 8 8 32 8 8 LI x 8
Remarque : on aurait pu transmettre le montant total des crédits acquis (TOTAM) à la place de
CREDIT

__________________________________________________________________________________
— inscription par EMM-U d'un relevé de consommation caractérisé par SURVEY (référence du
relevé), DATE (date du relevé) sous l'identificateur de service SOID
UA PI ’03 SOID PI ’04 DATE + SURVEY PI LI HASH

40 8 8 24 8 8 32 8 8 LI x 8
Figure 4.30 : Inscription de droits d'accès par EMM-U
4.5.1.4 Exemple 3 : Invalidation/ effacement de droits d'accès

La structure de l'EMM-U diffère suivant le type d'invalidation ou d'effacement traité, comme l'illustre la
Figure 4.31.
— invalidation/effacement
UA PI ’03d'une
SOIDcléPI
liée’01
à IDUP
CTRL-EMM PI ’03 IDUP PI LI HASH
40 8 8 24 8 8 8 8 8 24 8 8 LI x 8
UA PI ’03 SOID PI ’01 CTRL-EMM PI ’04 DATES PI LI HASH
40 8 8 24 8 8 8 8 8 32 8 8 LI x 8
– CTRL-EMM précise le mode invalidation/effacement d'abonnements,

– HASH est la redondance cryptographique utilisant la clé de gestion pointée par SOID.
— invalidation/effacement de tous les droits d'accès pour lesquels tous les numéros de
programme sont compris entre INUMB et FNUMB
UA PI ’03 SOID PI ’01 CTRL-EMM PI ’04 INUMB+FNUMB PI LI HASH

40 8 8 24 8 8 8 8 8 48 8 8 LI x 8
– CTRL-EMM précise le mode effacement de numéros de programme,

– HASH est la redondance cryptographique utilisant la clé de gestion pointée par SOID.
Figure 4.31 : Invalidation/ effacement par EMM-U
4.5.2 EMM-GA
Les EMM-GA sont destinés pour être compris par toute l'audience. Il n'y a aucun filtrage préalable sur
adresse. Ils peuvent transporter :
des informations communes à toute l'audience. Cela peut être, un premier droit d'accès, un bloc FAC,
une étiquette LABEL, des paramètres liés au récepteur, le descriptif d'un service, etc.
:
Les EMM-GA peuvent aussi être utilisés pour :

__________________________________________________________________________________
— l'effacement de blocs FAC,
— l'effacement d’abonnements ou de séances,
— le verrouillage d’un service.
Le champ du message peut être embrouillé comme décrit dans les § 4.2.1 et 4.3.3. Dans ce cas, un
paramètre de confidentialité PC doit être présent.
Les paragraphes suivants donnent des exemples de codage d'EMM-GA. La longueur des paramètres
correspond au processeur de sécurité PC2.3 décrit en Annexe 1.
4.5.2.2 Exemple 1 : Premier droit d'accès

Le message décrit dans la Figure 4.32 contient un premier droit d'accès sous la forme d'un
abonnement par thème/niveau.
. Les limitations du premier droit d'accès dans un EMM-GA sont les suivantes : 2 mois en
abonnement, 100 unités en crédit, 10 séances, 62 jours en abonnement glissant.
L'EMM-GA est décrit dans la Figure 4.33. Sa structure dépend du type de premier droit d'accès.
PI ’03 SOID PI ’06 DATES+TH/LE PI ’06 LABEL PI LI HASH

8 8 24 8 8 48 8 8 48 8 8 LI x 8
4.5.3 EMM-GH et EMM-S

Les EMM-S sont destinés à être reçus par un groupe donné d'usagers. Ils sont sélectionnés par un
filtrage sur la base de l'adresse partagée SA de l'opérateur de service, et sont diffusés conjointement
avec les EMM-GH.
L'utilisation des EMM-GH et des EMM-S est la méthode la plus courante pour distribuer des droits
d'accès aux usagers. Ceci permet une réduction du temps de diffusion des droits d'accès, puisque le
même message peut être reçu par un groupe partagé d'usagers.
L'EMM-GH sert d'en-tête à l'ensemble des EMM-S qui le suivent. Il contient le droit d'accès commun,
et les EMM-S transportent le champ d'adresse ADF et la redondance cryptographique HASH pour
chaque groupe.
Les EMM-GH peuvent aussi transporter des clés secrètes, le code parental ou des paramètres de
configuration du décodeur (MOD1, MOD2, WAK).

__________________________________________________________________________________
Le champ de paramètres de l'EMM-GH peut être embrouillé comme décrit dans les § 4.2.1 et 4.3.3.
Dans ce cas, un paramètre de confidentialité PC doit être présent. Il y a un EMM-GH pour chaque
EMM-S sauf si RND-CONF est présent dans l'EMM-GH et si la clé est non diversifiée. HASH est
utilisée comme base pour le désembrouillage du champ embrouillé si RND-CONF n'est pas transmis
dans l'EMM-GH.
Le champ ADF peut être embrouillé comme décrit dans les § 4.2.1 et 4.3.2.
L'EMM-GH et l'EMM-S associé ne sont traités par le processeur de sécurité que si le résultat de la
redondance cryptographique qu'il calcule correspond au HASH transmis dans l'EMM-S et si le bit de
ADF pointé par CUSTPOS est égal à 1.
La structure générale des EMM-GH et des EMM-S est illustrée par les Figures 4.33 et 4.37
Les paragraphes suivants donnent des exemples de codage d'EMM-GH et d'EMM-S ou SV. La
longueur des paramètres correspond au processeur de sécurité PC2.3 décrit en Annexe 1.
4.5.3.2 EMM-S en format fixe

Les EMM-S en format fixe ne contiennent que le champ des paramètres ADF et HASH (sans PI LI),
leur longueur est constante. Leur format est indiqué par le bit de format dans l'en-tête du message
(F = 0).
EMM-GH Droit d'accès
EMM-S SA1 Champ d'adresse ADF1 HASH1
EMM-S SAi Champ d'adresse ADFi HASHi
Les exemples ci-dessous illustrent les EMM-S à format fixe.
EMM-GH PI ’03 SOID PI ’06 INUMB + FNUMB

8 8 24 8 8 48
EMM-S SA1 ADF1 HASH1

24 256 nx8
EMM-S SAn ADFn HASHn

24 256 nx8

__________________________________________________________________________________
EMM-GH PI ’03 SOID PI LI RND-CONF PC LC PI ’04 DATE + CREDIT

8 8 24 8 8 LI x 8 8 8 8 8 32

24 256 nx8
EMM-GH PI ’03 SOID PI LI RND-CONF PC LC PI ’04 DATE + CRÉDIT

8 8 24 8 8 LI x 8 8 8 8 8 32
EMM-S SAn ADFn HASHn

24 256 nx8
EMM-GH PI ’03 SOID PI ’03 IDUP PI LI CLE

8 8 24 8 8 24 8 8 LI x 8

24 256 nx8
EMM-GH PI ’03 SOID PI ’03 IDUP PI LI CLE

8 8 24 8 8 24 8 8 LI x 8
EMM-S SAn ADFn HASHnn x 8

24 256

__________________________________________________________________________________
4.5.3.3 EMM-S en format variable

Les EMM-S en format variable contiennent des paramètres introduits par PI LI. Leur format est
indiqué par le bit de format dans l'en-tête du message (F = 1).
EMM-GH Droit d'accès
EMM-SV SA1 PI LI Champ d'adresse ADF PI LI HASH1
EMM-SV SAi PI LI Champ d'adresse PI LI HASHi

ADFi
Les règles de groupement et de séquencement des EMM définies dans les paragraphes 4.2.2 et
4.2.3 de cette spécification s'appliquent avec les compléments suivants :
— Les paramètres du sous-groupe 2.1 sont toujours transmis dans l'EMM-GH. Cela concerne en
particulier le paramètre obligatoire SOID et les paramètres optionnels RND-ADF et RND-CONF.
— Le paramètre ADF est toujours transmis dans l'EMM-SV. Sa présence est obligatoire et c’est le
premier paramètre de l’EMM-SV.
— Lorsqu'il est présent, le paramètre PC (sous-groupe 2.3) peut être transmis dans l’EMM-GH ou
dans l’EMM-SV. Il est obligatoirement transmis dans l’EMM-SV si le contenu du champ de données
du PC est diversifié. Cela se produit lorsque la clé de gestion utilisée pour générer la séquence de
désembrouillage est diversifiée, que le paramètre RND-CONF est absent, ou que le contenu en clair
du champ de données du PC contient des paramètres diversifiés (cryptogrammes de clé ou de code
parental commun lorsque la clé de chiffrement est diversifiée, clés ou code parental diversifiés).
— Les paramètres du groupe 3 (paramètres dont le PI est compris entre 'A0 et 'F0 inclus) peuvent
être transmis dans l'EMM-GH ou l'EMM-SV. Le paramètre HASH (PI = ‘F0) est obligatoire et est
transmis dans l’EMM-SV. Lorsqu'ils sont diversifiés, c’est à dire propres à chaque groupe SA, ils sont
obligatoirement dans l'EMM-SV. Cela concerne les cryptogrammes des clés et du code parental.
Dans la commande de traitement de l'EMM par la carte PC2 (Annexe 1, paragraphe 6.13), le terminal
présentera à la carte les paramètres du groupe 3 de l'EMM-GH suivi des paramètres du groupe 3 de
l'EMM-SV. Le traitement sera similaire à celui d'un EMM-S à format fixe, la différence étant que le
terminal n’a pas à rajouter le PI et le LI des paramètres ADF et HASH avant de générer les
commandes PC2 correspondantes.
Les exemples ci-dessous illustrent le codage et la répartition des paramètres entre les EMM-GH et
les EMM-S. Un seul EMM-SV est représenté, mais l’EMM-GH peut être suivi de plusieurs EMM-SV
comme pour les EMM-S à format fixe.

__________________________________________________________________________________

__________________________________________________________________________________
EMM-GH PI ’03 SOID PI ’06 INUMB + FNUMB

8 8 24 8 8 48
EMM-S SA1 PI ’20 ADF1 PI LI HASH1

24 8 8 256 8 8 LI x 8
EMM-S SAn PI ’20 ADFn PI LI HASHn

24 8 8 256 8 8 LI x 8

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________
EMM-GH PI '03 SOID PI '07 DATES+CUSTWD

8 8 24 8 8 56
EMM-SV SA Format PI '20 ADF PI LI HASH

24 8 8 8 256 8 8 LI x 8

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________
EMM-GH PI '03 SOID PI '03 IDUP

8 8 24 8 8 24
EMM-SV SA Format PI '20 ADF PI LI CLE PI LI HASH

24 8 8 8 256 8 8 LI x 8 8 8 LI x 8

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________
EMM-GH PI '03 SOID

8 8 24
EMM-SV SA Format PI '20 ADF PI '03 IDUP PI LI CLE PI LI HASH

24 8 8 8 256 8 8 24 8 8 LI x 8 8 8 LI x 8

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________
EMM-GH PI '03 SOID

8 8 24
EMM-SV SA Format PI '20 ADF PI '03 IDUP1 PI LI CLE1

24 8 8 8 256 8 8 24 8 8 LI x 8
PI '03 IDUP2 PI LI CLE2 PI LI HASH

8 8 24 8 8 LI x 8 8 8 LI x 8

__________________________________________________________________________________

__________________________________________________________________________________
EMM-GH PI '03 SOID PI n FAC

8 8 24 8 8 nx8
EMM-SV SA Format PI '20 ADF PI '03 IDUP1 PI LI CLE1

24 8 8 8 256 8 8 24 8 8 LI x 8
PI '03 IDUP2 PI LI CLE2 PI LI HASH

8 8 24 8 8 LI x 8 8 8 LI x 8
EMM-GH PI '03 SOID PI LI RND-CONF

8 8 24 8 8 LI x 8
EMM-SV SA Format PI '20 ADF PC LC PI '04 DATE+CREDIT PI LI HASH

24 8 8 8 256 8 8 8 8 64 8 8 LI x 8
EMM-GH PI '03 SOID PI LI RND-ADF PI LI RND-CONF

8 8 24 8 8 LI x 8 8 8 LI x 8
EMM-SV SA Format PI '20 ADF PC LC PI '03 IDUP PI LI CLE PI LI HASH

24 8 8 8 256 8 8 8 8 24 8 8 LI x 8 8 8 LI x 8

__________________________________________________________________________________
5. MESSAGES DE CONTRÔLE DES TITRES D'ACCÈS (ECM)

5.1 Format des messages
Le format général des ECM est décrit dans le § 3.1. Ils sont en format variable (F = 1).
Le bit de toggle indique le changement de contenu de l'ECM. Il conserve la même valeur tant que le
contenu du message diffusé reste inchangé. Quand le contenu d'un ECM change (changement des
mots de contrôle ou des conditions d'accès au programme), le bit de toggle prend la valeur opposée.
Le bit de toggle est attaché à un type de cryptoalgorithme ; si des ECM correspondant à deux types
de cryptoalgorithmes différents sont émis, les bits de toggle correspondant sont indépendants.
Le bit de parité (P) indique la parité du mot de contrôle en cours (mot de contrôle pair ou impair).
5.2 Identificateur de paramètre PI

Les ECM transportent l’ensemble des informations nécessaires pour caractériser les conditions
d’accès à un programme. Le même programme peut être reçu par des usagers ayant des conditions
d'accès différentes choisies parmi les cinq méthodes d’accès décrites au § 2.3.
Les mots de contrôle sont générés par le point d’émission et émis chiffrés dans les ECM.
Seuls les paramètres utiles à la description des conditions d’accès du programme sont présents dans
un ECM.
5.2.1 Liste des paramètres disponibles dans les ECM

La liste ci-dessous décrit les paramètres PI disponibles (les valeurs sont exprimées en notation
hexadécimale) :
- PI = ’90 : Identification de l’opérateur de service (SOID) qui émet les ECM. Il permet de
pointer sur la clé d’exploitation de l’opérateur de service.
- PI = ’9F : Adresse globale de groupe (GGA) ; ce paramètre est utilisé lorsque l'occultation
est active, il décrit la liste des groupes d’usagers autorisés ou interdits.
- PI = ‘DF : Coût minimum (CMIN) ce paramètre vient en complément du paramètre codé ‘E4.
Il indique le coût minimal d’acquisition du numéro de programme pour qu’il soit
valide si ce numéro est déjà enregistré dans la carte. Si le coût du droit présent
dans la mémoire de la carte est inférieur au coût minimum indiqué par ce
paramètre, l’accès en mode paiement à la séance avec choix impulsif n’est pas
possible.
- PI = ’E0 : Contrôle des fonctions de l'ECM (CTRL-ECM) ; ce paramètre est utilisé lorsque
l'occultation est active, que le code parental est nécessaire à l'accès au
programme, qu’aucune vérification de critères n’est nécessaire pour le calcul des
mots de contrôle, ou que les mots de contrôle sont personnalisés (pour le contrôle
d'accès aux données personnalisées).
- PI = ’E1 : Date de diffusion (CDATE) + thème/niveau du programme (THEME/LEVEL) ; ce

paramètre est présent lorsque le programme émis est accessible en abonnement
par thème/niveau.

__________________________________________________________________________________
- PI = ’E2 : Date de diffusion (CDATE) + classe du programme (LINK) ; ce paramètre est

présent lorsque le programme est accessible en abonnement par classe.
- PI = 'E3 : Numéro du programme (PNUMB) ; ce paramètre est présent lorsque le

programme est accessible en paiement à la séance avec choix anticipé.
- PI = ’E4 : Numéro du programme (PNUMB) et coût du programme (PPV/P) ; ce paramètre

est présent lorsque le programme est accessible en paiement à la séance avec
choix impulsif.
- PI = ’E5 : Numéro du programme (PNUMB) et coût à l'unité de temps du programme

(PPV/T) ; ce paramètre est présent lorsque le programme est accessible en
paiement à la durée avec choix impulsif.
- PI = ’E6 : Numéro de preview (PRNUMB) et nombre de calculs de mots de contrôle

autorisés (CWNUMB) ; ce paramètre est présent lorsque le programme est
accessible librement pendant une période de preview.
- PI = ’E8 : Cryptogramme du mot de contrôle pair (ECW) ; ce paramètre peut être utilisé, en
association avec OCW, lors de la phase qui précède le changement de clé ou de
critères d'accès. Dans ce cas, un paramètre PG est également nécessaire.
- PI = ’E9 : Cryptogramme du mot de contrôle impair (OCW).
- PI = ’EA : Cryptogrammes des mots de contrôle pair et impair (ECW/OCW).
- PI = ’F0 : Redondance cryptographique (HASH) ; ce paramètre assure l'intégrité de

l’ensemble des données sensibles, claires ou chiffrées, contenues dans le champ
de paramètres de l’ECM. L'ECM ne sera analysé et exécuté par le processeur de
sécurité que s’il trouve une identité entre le HASH transmis et le résultat interne
de son propre calcul de redondance cryptographique. Il garantit qu’aucun élément
du message n’a été modifié
5.2.2 Groupement des paramètres dans les ECM

Quatre groupes de paramètres sont définis :
- Groupe 1 :
Le paramètre PG étant absent des ECM, ceux-ci ne comportent donc pas de paramètres du groupe
1
- Groupe 2 :
Paramètres compris entre ’90 et ’9F inclus, définis ou non définis dans ce document.
- Groupe 3 :
Paramètres dont le PI est compris entre ’A0 et ’F0 inclus, définis ou non définis dans ce document.
- Groupe 4 :
Autres paramètres définis ou non définis dans ce document.

__________________________________________________________________________________
• Sous-groupe 4.3 : paramètres dont le PI est compris entre ’F1 et ’FF
5.2.3 Règles de séquencement des paramètres dans les ECM

• Règle 1 : les paramètres du groupe 2 sont transmis en ordre strictement croissant, sans intercaler
des paramètres des autres groupes, et avant les paramètres du groupe 3,
• Règle 2 : le paramètre SOID est obligatoire et unique,
• Règle 3 : les paramètres du groupe 3 sont transmis sans intercaler des paramètres des autres
groupes,
• Règle 4 : le paramètre HASH est obligatoire et est nécessairement le dernier transmis parmi les
paramètres du groupe 3,
• Règle B-5 : les paramètres du groupe 4.1 sont transmis avant les paramètres des autres groupes,
ceux du groupe 4.2 sont transmis avant les paramètres du groupe 2, ceux du groupe 4.3 sont
transmis après les paramètres des autres groupes.
En conclusion, la composition d'un ECM doit respecter la structure suivante :
PI groupe 4.1 PI groupe 4.2 PI groupe 2 PI groupe 3 PI groupe 4.3
Figure 5.1 : Structure des ECM

__________________________________________________________________________________
5.2.4 Table des paramètres des ECM

Le Tableau 5.2 résume la liste de tous les paramètres des ECM.
PARAMÈTRE PI DESCRIPTION Paramètre VIACCESS COMMENTAIRE

traité par le terminal ou la
carte
////////// '00....’D7 NON

’90 Identification de l'opérateur de OUI Présence obligatoire
SOID service
////////// '91.....'9E NON
GGA '9F Champ d’adresse géographique OUI Donne la liste des adresses
géographiques à prendre en
compte
///////// ‘A0...’D7 Réservés pour les EMM OUI
///////// ‘D8...’DE RUF NON
CMIN ‘DF Coût min OUI
CTRL-ECM ‘E0 Contrôle des fonctions OUI
spécifiques de l’ECM
CDATE+TH+LE ‘E1 Abonnement par thème/niveau OUI
CDATE+LINK ‘E2 Abonnement par liste de classes OUI
PNUMB ‘E3 Numéro de séance OUI
PPVP ‘E4 Achat impulsif par programme OUI
PPVT ‘E5 Achat impulsif par unité de temps OUI
PREVIEW ‘E6 Accès en preview OUI
////////// ‘E7 RUF NON
ECW ‘E8 Cryptogramme de mot de OUI
contrôle pair
OCW ’E9 Cryptogramme de mot de OUI
contrôle impair
ECW/OCW ‘EA Couple de cryptogramme de mots OUI
de contrôle pair et impair
////////// ‘EC....’ED RUF NON
////////// ‘EE....’EF Réservés pour les EMM OUI
HASH ’F0 Redondance cryptographique OUI Présence obligatoire
//////// F1...FF NON

__________________________________________________________________________________
5.2.5 Identification de l'opérateur de service SOID
PI = ’90
LI = ’03
valeur = identification de l’opérateur de service
nom = SOID
Ce paramètre identifie l’opérateur de service qui émet les ECM. Il est obligatoirement présent dans
l'ECM et permet de pointer sur la clé de service utilisée pour chiffrer les mots de contrôle et sécuriser
le message. Les 20 bits de poids fort (MSB) contiennent l'identificateur de service et les 4 bits de
poids faible (LSB) spécifient l’indice de la clé (indice de ’8 à ’F pour une clé d'exploitation). La
structure de SOID est décrite au § 3.3 et en Figure 3.5.
5.2.6 Adresse globale de groupe GGA
PI = ’9F
LI = n x 4
valeur = liste des n groupes autorisés ou interdits
nom = GGA
Ce paramètre précise la liste des adresses des groupes d’usagers GCA concernés par l’occultation.
Une information présente dans l’octet CTRL-ECM des ECM (cf. § 5.2.6) indique si la liste décrite
concerne des groupes d’usagers autorisés ou interdits.
A la réception d'un ECM précisant que l'occultation est active, le processeur de sécurité analyse le
contenu de la liste GGA et conclue s'il est autorisé ou non. Si oui, il calcule les mots de contrôle de
l'ECM, dans le cas contraire, il n'opère pas de calcul.
A titre d’exemple, la Figure 5.2 décrit le format du paramètre GGA dans le cas où 4 groupes
d’usagers sont interdits.
MSB GCA1 GCA2 GCA3 GCA4 LSB

(32) (32) (32) (32)
GGA
L'occultation peut être associée au remplacement des composantes.
Le paramètre GGA est comparé au paramètre GCA mémorisé dans le processeur de sécurité sous
l'identificateur de service SOID.

__________________________________________________________________________________
5.2.7 Contrôle des fonctions spécifiques de l'ECM CTRL-ECM
PI = ’E0
LI = ’01
valeur = contrôle des fonctions spécifiques de l'ECM
nom = CTRL-ECM
Le paramètre de contrôle est utilisé lors de la mise en oeuvre de fonctions spécifiques comme :
— l’activation de l'occultation (R=1) et l’état de la liste GGA décrite dans l'ECM (S=1 autorisée, S=0
interdite),
— le niveau moral NM,
— l’absence de critères pour le calcul (C=1),
— la personnalisation des mots de contrôle pour contrôler l'accès à des données personnalisées
(P = 1).
Lorsque l'occultation est activée (R=1), la redondance cryptographique de l'ECM prend en compte la
signature de la liste des pays concernés par l’occultation (autorisés ou interdits), et le processeur de
sécurité calcule les mots de contrôle s’il est dans un groupe autorisé (dépend de la valeur de S et de
son appartenance à la liste GGA).
Lorsque le niveau moral est présent, le processeur de sécurité le compare avec celui mémorisé par
l’usager si le niveau moral a été verrouillé en local par l’usager. Dans le cas où le verrou est
positionné pour un niveau moral inférieur à NM, la présentation du code parental est nécessaire
préalablement au traitement de l’ECM.
Dans le cas d'absence de critères pour le calcul (C=1), la possession de la clé d’exploitation SOID
suffit pour calculer le mot de contrôle.
Si les mots de contrôle sont personnalisés, les mots de contrôle racine sont diffusés dans l'ECM et le
processeur de sécurité les diversifie avec l'adresse de groupe de l'usager GCA.
Si ce paramètre est absent de l'ECM la valeur par défaut est :
— pas d'occultation (R=0),

— niveau moral absent (NM = 0),
— critères à vérifier (C=0),
— pas de personnalisation des mots de contrôle (P = 0).
Le format de CTRL-ECM est donné en Figure 5.3.
MSB R S C P NM LSB
(1) (1) (1) (1) (4)
– R =1 : occultation active – C=1: aucun contrôle sur critère
– S =1 : liste GGA autorisée – P=1: mots de contrôle personnalisés
– S =0 : liste GGA interdite – NM : niveau moral

__________________________________________________________________________________
5.2.8 Date de diffusion CDATE + Thème/Niveau THEME/LEVEL
PI = ’E1
LI = ’04
valeur = date de diffusion + thème + niveau
nom = DATE + THEME/LEVEL
Ce paramètre est présent quand un programme est accessible en mode abonnement par
thème/niveau. Le premier champ CDATE décrit la date courante de transmission du programme en
abonnement. Cette date est exprimée en Année/Mois/Jour. La date est décrite sur 2 octets ; son
contenu est illustré sur la Figure 5.4.
MSB Année Mois Jour LSB

(7) (4) (5)
CDATE
Cette date est relative à l’année de référence 1980. Par exemple, le 15 janvier 1988 est codé
(notation hexadécimale) : CDATE = ’102F,
où : Année = 0001000 (1980 + 8)

Mois = 0001 (Janvier = mois n° 1)
Jour = 01111 (15)
Le processeur de sécurité vérifie que la date courante CDATE appartient à l’une des fourchettes de
validité des abonnements inscrits.
Le second champ comporte 16 bits. Les 8 MSB précisent le thème du programme. Les 8 LSB
précisent le niveau du programme. Le processeur de sécurité vérifie que, pour la date courante, il
possède un abonnement avec le même thème et un niveau LE supérieur ou égal à celui du
programme. Si ce n’est pas le cas, l’accès est interdit.
Les conditions d’accès à un programme en abonnement par thème/niveau sont donc :
THEME = TH et LEVEL ≤ LE avec TH et LE qui doivent être valides à la date courante donc
BD ≤ CDATE ≤ FD
Dans le cas de l'abonnement glissant par thème/niveau les conditions d'accès à un programme sont
THEME = TH et LEVEL ≤ LE avec TH et LE qui doivent être valides à la date courante donc
CDATE ≤ sup (LDATE, (CDATE + NBDAY)).
Il existe certains cas particuliers, liés au thème :
— si THEME = 'FF (dans l'ECM) alors le processeur de sécurité ignore ce champ et quel que soit
TH inscrit dans le composant, la vérification sur ce champ est positive.
— si TH = 'FF (droit inscrit dans le processeur de sécurité), alors quel que soit le paramètre
THEME émis dans l'ECM, ce champ est ignoré et la vérification est positive.
La description du paramètre Thème/Niveau est donnée en Figure 5.5.

__________________________________________________________________________________
MSB CDATE THEME LEVEL LSB

(16) (8) (8)
5.2.9 Date de diffusion CDATE + Classe du programme LINK
PI = ’E2
LI = ’03
valeur = date de diffusion + classe du programme
nom = CDATE + LINK
Ce paramètre est présent lorsqu’un programme est accessible en abonnement par classe. Le
premier champ CDATE est identique à celui décrit en 5.2.7. Le second champ de paramètre LINK (8
bits) précise la classe du programme et pointe sur un bit de la liste des classes de l’usager
(CUSTWD) émis dans les EMM (se reporter au § 4.3.15). Chacun des bits de la liste des classes
indique si l’usager a accès (bit à 1) ou non (bit à 0) à la classe considérée. La valeur de LINK précise
la position du bit dans la liste de classes ; par exemple, LINK = 0 se réfère au bit 0, LINK = 1 se
réfère au bit 1,… Si la valeur de LINK est supérieure à la longueur de CUSTWD, aucun accès n’est
autorisé. L’accès ne sera donné que si la période de validité qui couvre CUSTWD inclut CDATE et si
le bit correspondant à LINK est égal à 1.
Dans le cas de l'abonnement glissant, l’accès ne sera donné que si la période de validité qui couvre
CUSTWD est telle que CDATE ≤ sup (LDATE, (CDATE + NBDAY)) avec le bit correspondant à LINK
égal à 1.
Le format de ce paramètre est décrit en Figure 5.6.
MSB CDATE LINK LSB

(16) (8)
5.2.10Numéro du programme PNUMB
PI = ’E3
LI = ’03
valeur = numéro du programme
nom = PNUMB
Ce paramètre est présent lorsqu’un programme est accessible en paiement à la séance avec choix
anticipé. Il décrit le numéro de programme PNUMB (3 octets).
En mode paiement à la séance avec choix anticipé, l’accès au programme ne pourra se faire que si
le numéro de programme appartient à l’une des séries de programmes mémorisées dans le
processeur de sécurité, donc si :
INUMB ≤ PNUMB ≤ FNUMB
Le format de ce paramètre est donné en Figure 5.7.

__________________________________________________________________________________
MSB PNUMB LSB

(24)
5.2.11Numéro du programme PNUMB et Coût du programme PPV/P
PI = ’E4
LI = ’05
valeur = numéro du programme + coût du programme
nom = PNUMB + PPV/P
Ce paramètre est présent lorsqu’un programme est accessible en paiement à la séance avec choix
impulsif. Il décrit le numéro du programme PNUMB (3 octets) et le coût du programme PPV/P
(2 octets), se reporter au § 4.3.19 pour une description détaillée de ce champ.
En mode paiement à la séance avec choix impulsif, le programme ne sera accessible sur validation
d'achat de l'usager (s’il n’a pas déjà été acquis au préalable) que si le coût du programme est
inférieur ou égal au crédit restant augmenté du découvert autorisé. Alors le numéro de programme
sera inscrit dans le processeur de sécurité et le crédit restant sera diminué du coût du programme. Si
le programme a déjà été acquis auparavant, alors bien évidemment le programme est accessible.
Toute acquisition de programmes à la séance passe par une validation préalable de l’usager qui peut
nécessiter la présentation du code parental si le verrou de validation d’achat impulsif est positionné
par l’usager.
Remarque : Dans le cas d'un PPV/P nul, l'accès au programme est possible si le numéro de la
séance est déjà inscrit dans la carte.
La structure du paramètre PPV/P est illustrée ci-dessous en Figure 5.8.
MSB PNUMB PPV/P LSB

(24) (16)
5.2.12Numéro du programme PNUMB + Coût à la durée PPV/T
PI = ’E5
LI = ’05
valeur = numéro du programme + coût à l’unité de temps
nom = PNUMB + PPV/T
Ce paramètre est présent lorsqu'un programme est accessible en paiement à la durée. Il décrit le
numéro du programme PNUMB (3 octets) et le coût à l'unité de temps PPV/T (2 octets).Les 16 bits
de PPV/T (voir Figure 5.9) représentent le coût du calcul de mots de contrôle, exprimé en fractions
d’unités.
En paiement à la durée, l’accès sera autorisé pour une période déterminée si le crédit restant
augmenté du découvert autorisé est supérieur ou égal au montant du coût de l’unité de temps. Le
crédit restant est alors diminué de ce coût.

__________________________________________________________________________________
Une validation d’achat est demandée à l’usager pour l’ouverture de tout nouveau compteur (nouveau
PNUMB) ou lorsque le compteur excède un COUTMAX défini et mémorisé par l’usager en local. De
plus, le code parental est nécessaire si le verrou d’achat impulsif est mémorisé. L’usager peut, à tout
moment, demander l’arrêt de l’achat en PPV/T.
MSB PNUMB PPV/T LSB

(24) (16)
5.2.13Indice de preview (PRIN), numéro de preview (PRNB) et nombre de calculs de mots de

contrôle autorisés (CWNUMB)
PI = ’E6
LI = ’04
valeur = indice de preview, numéro de preview et nombre de calculs de mots de contrôle
autorisés
nom = PRIN + PRNB + CWNUMB
Ce paramètre est présent lorsque la fonction de preview est utilisée. La fonction de preview offre une
période d'accès gratuite à l'usager pour un programme donné. Cette fonctionnalité peut être utilisée
par l'opérateur de service comme une promotion de son programme. Durant la période d'accès
gratuite, l'usager peut décider de souscrire un abonnement ou d'effectuer un achat impulsif du
programme si son crédit résiduel est suffisant et suivant les autres conditions d’accès présentes dans
l’ECM.
Le programme est alors caractérisé par :
 un indice de preview (ou numéro de canal, PRIN, sur 1 octet).
Le numéro de canal offre la possibilité de mettre en parallèle des sessions de preview sur
plusieurs programmes différents. Le nombre de canaux correspond à un instant donné, au
nombre de programmes utilisant cette fonctionnalité.
 un numéro de preview (PRNB sur 2 octets).
Le numéro de preview est un nombre tel que, pour chaque nouvelle valeur, une nouvelle session de
promotion d'un programme est offerte. En d'autres termes, si l'on souhaite effectuer par exemple,
une promotion par jour, ce nombre sera incrémenté chaque jour. Pour un indice de preview
donné, les numéros de preview doivent être strictement croissants dans le temps.
 un compteur de preview (CWNUMB sur un octet), donnant le nombre maximum de calculs
autorisés pendant une session de preview. Ainsi, si la période de renouvellement du mot de
contrôle est 10 secondes, la durée totale du preview sera égale : Tp = CWNUMB x 10 secondes.
Le format de ce paramètre est décrit en Figure 5.10.
MSB PRIN PRNB CWNUMB LSB

(8) (16) (8)

__________________________________________________________________________________
Illustration du mécanisme de preview
Temps ECM diffusé Contenu de la carte Désembrouillage

(secondes)
E6
t c = 0, i= 0, N = 0 oui
( c = 0, i = 0, CWNUMB )
E6
t + 10s c = 0, i = 0, N = 1 oui
( c = 0, i = 0, CWNUMB )
............ .............. ................ oui
E6
t + CWNUMB x c = 0, i = 0, N = non
( c = 0, i = 0, CWNUMB )
10 CWNUMB
Pour un numéro de canal donné et un indice donné, le désembrouillage d'un programme s'arrête dès
que :
N contenu dans la carte ≥ CWNUMB
5.2.14Cryptogramme de mot de contrôle pair ECW
PI = ’E8
LI = n
valeur = cryptogramme de mot de contrôle pair
nom = ECW
Ce paramètre décrit le cryptogramme du mot de contrôle pair ECW (voir Figure 5.11) qui est en
usage quand le bit de parité P de la période d'embrouillage est égal à 0. Le cryptogramme du mot de
contrôle est obtenu à partir du chiffrement du mot de contrôle par la clé d’exploitation pointée par
SOID.
La longueur du mot de contrôle dépend du système d'embrouillage. La longueur de son

cryptogramme dépend également de l'algorithme cryptographique du processeur de sécurité.
MSB ECW LSB

(n x 8)

__________________________________________________________________________________
5.2.15Cryptogramme de mot de contrôle impair OCW
PI = ’E9
LI = n
valeur = cryptogramme de mot de contrôle impair
nom = OCW
Ce paramètre décrit le cryptogramme du mot de contrôle impair OCW (voir Figure 5.12) qui est en
usage quand le bit de parité P de la période d'embrouillage est égal à 1. Le cryptogramme du mot de
contrôle est obtenu à partir du chiffrement du mot de contrôle par la clé d’exploitation pointée par
SOID.
La longueur du mot de contrôle dépend du système d'embrouillage. La longueur de son

MSB OCW LSB

(n x 8)
5.2.16Cryptogrammes des mots de contrôle pair et impair ECW/OCW
PI = ’EA
LI = 2 x n
valeur = cryptogrammes des mots de contrôle pair et impair
nom = ECW/OCW
Ce paramètre se compose de 2 champs contenant les cryptogrammes de deux mots de contrôle (voir
Figure 5.13). Le premier champ contient le cryptogramme du mot de contrôle en usage quand le bit
de parité P de la période d'embrouillage est égal à 0 (ECW). Le deuxième champ contient le
cryptogramme du mont de contrôle en usage quand le bit de parité P de la période d'embrouillage est
égal à 1 (OCW). Les cryptogrammes sont obtenus à partir du chiffrement des mots de contrôle par la
clé d'exploitation du service pointée par SOID.
La longueur des mots de contrôle dépend du système d'embrouillage. La longueur de leur

MSB ECW OCW LSB

(n x 8) (n x 8)
5.2.17Redondance cryptographique HASH
PI = ’F0
LI = n
valeur = redondance cryptographique
nom = HASH
La présence de ce paramètre est obligatoire dans les ECM (voir Figure 5.15). Il donne une
redondance cryptographique des paramètres sensibles du message ; il garantit ainsi au processeur
de sécurité que le message n’a pas été modifié.

__________________________________________________________________________________
Le mécanisme de redondance cryptographique utilise la clé de service de l’opérateur de service

pointée par SOID.
Les paramètres qui participent au mécanisme de redondance cryptographique sont les paramètres
des groupes 2 et 3 présents dans les ECM.
La longueur du paramètre HASH dépend de l'algorithme cryptographique implémenté dans le

MSB HASH LSB

(n x 8)
5.2.18Coût minimum CMIN
PI = ’DF
LI = n
valeur = coût min
nom = CMIN
Ce paramètre est optionnel dans les ECM. Il n’a de sens que si le paramètre ‘E4 est aussi présent
dans l’ECM. Il indique le coût minimal d’acquisition du numéro de programme pour qu’il soit valide si
ce numéro est déjà enregistré dans la carte. Si le coût du droit présent dans la mémoire de la carte
est inférieur au coût minimum indiqué par ce paramètre, l’accès en mode paiement à la séance avec
choix impulsif n’est pas possible.
MSB CMIN LSB

(16)
CMIN
Les 8 premiers bits de CMIN représentent les unités, les 8 suivants, les fractions d'unités (voir aussi
Tableau 4.2).
5.3 Illustration des ECM avec quelques exemples

Ce § contient des exemples d'ECM. La longueur des paramètres cryptographiques correspond à
l'implémentation de PC2 décrite en Annexe 1.
5.3.1 Abonnement par thème/niveau

Le champ de données de l'ECM contient :
— l’identificateur de l’opérateur de service SOID

— la date courante et le thème/niveau du programme CDATE + THEME/LEVEL
— les cryptogrammes des mots de contrôle ECW/OCW
— la redondance cryptographique du message HASH
La structure de l’ECMest illustrée en Figure 5.17.

__________________________________________________________________________________
PI ’03 SOID PI ’04 CDATE+THEME/LEVEL PI LI ECW/OCW PI LI HASH

8 8 24 8 8 32 8 8 LI x 8 8 8 LI x 8
5.3.2 Abonnement par classe avec occultation active


— la liste des pays concernés par l’occultation GGA
— la date courante et la classe du programme CDATE + LINK
— le paramètre de contrôle (R=1 et S) CTRL
La structure de l’ECM avec occultation d’un seul pays est décrite en Figure 5.18.
PI ’03 SOID PI ’04 GGA PI ’01 CTRL PI ’03 CDATE+LINK PI LI ECW/OCW PI LI HASH
8 8 24 8 8 32 8 8 8 8 8 24 8 8 LI x 8 8 8 LI x 8
5.3.3 Paiement à la séance avec choix impulsif


— le numéro de programme et le coût de programme PNUMB + PPV/P
La structure de l’ECM est décrite en Figure 5.19.
PI ’03 SOID PI ’05 PNUMB+PPV/P PI LI ECW/OCW PI LI HASH

8 8 24 8 8 40 8 8 LI x 8 8 8 LI x 8
5.3.4 ECM dans le cas de différentes conditions d’accès

Dans cet exemple, l’usager peut obtenir l’accès au programme selon les modes d’accès suivants :
abonnement par classe ou paiement à la séance avec choix impulsif. L'occultation et un niveau moral
sont décrits.

— la liste des pays concernés par l’occultation GGA
— le paramètre de contrôle de l'ECM (R = 1, S, NM) CTRL-ECM
— la date courante et la classe du programme CDATE + LINK
— le numéro de programme et le coût de programme PNUMB + PPV/P

__________________________________________________________________________________
La structure de l’ECM est décrite en Figure 5.20.
PI ’03 SOID PI ’04 GGA PI ’01 CTRL-ECM PI ’03 CDATE + LINK

8 8 24 8 8 32 8 8 8 8 8 24
PI ’05 PNUMB + PPV/P PI LI ECW/OCW PI LI HASH

8 8 40 8 8 LI x 8 8 8 LI x 8
5.3.5 ECM avec PREVIEW sans achat impulsif

Dans cet exemple, l’usager peut obtenir l’accès au programme selon le mode preview.

— le numéro du preview, son indice et le nombre de calculs possibles PRIN + PRNB + CWNUMB
La structure de l'ECM est décrite en Figure 5.21.
PI ’03 SOID PI '04 PREVIEW PI LI ECW/OCW PI LI HASH

8 8 24 8 8 32 8 8 LI x 8 8 8 LI x 8
5.3.6 ECM avec PREVIEW avec achat impulsif

Dans cet exemple, l’usager peut obtenir l’accès au programme selon le mode preview. De plus, si le
programme visualisé dans ce mode l'intéresse, il a la possibilité de l'acheter.

— le numéro du programme et le coût du programme PNUMB + PPV/P
— le numéro du preview, son indice et le nombre de calculs possibles PRIN + PRNB + CWNUMB
La structure de l'ECM est décrite en Figure 5.22.
PI ’03 SOID PI '04 PREVIEW

8 8 24 8 8 32
PI ’05 PNUMB + PPV/P PI LI ECW/OCW PI LI HASH

8 8 40 8 8 128 8 8 LI x 8

__________________________________________________________________________________
6. Table récapitulative des paramètres des ECM et des EMM

Le Tableau 5.3 résume la liste de tous les paramètres des ECM et des EMM.
PARAMÈTRE ECM EMM PI DESCRIPTION Paramètre COMMENTAIRE

VIACCESS traité par
le terminal ou la carte
////////// '00......'7F NON

PG X '80 Paramètre de groupe OUI
PC X ’81 Paramètre de Confidentialité OUI Pour transmission de

données confidentielles
///////// '82......'8F NON
SOID X X ’90 Identification de l'opérateur OUI Présence obligatoire
de service
RND-ADF X ’91 Nombre aléatoire pour OUI
désembrouiller ADF
RND-CONF X ’92 Nombre aléatoire pour OUI Utilisé en liaison avec le
désembrouiller des données paramètre PC
confidentielles
RND-AUTH X ’93 Nombre aléatoire pour OUI Utilisé en relevé d'achat
l'authentification impulsif par modem
MESS X ’94 Message d'authentification OUI Utilisé en relevé d'achat
impulsif par modem
////////// '95.....'9D NON
ADF X ’9E Champ d'adresse ADF OUI Indique l'état de chaque
usager dans le groupe
partagé
GGA X '9F Champ d’adresse OUI Donne la liste des
géographique adresses géographiques
à prendre en compte
CTRL-EMM X ’A0 Contrôle de l'EMM OUI Contrôle des fonctions de
l'EMM
IDUP X ’A1 Identification des données à OUI Même codage que SOID
mettre à jour
DESCR X ’A2 Descriptif de l'opérateur de OUI Valeur réservée pour les
service opérations d'émission
FAC X ’A3 Données à usage général OUI
UA ’A4 Adresse unique de l'usager OUI Valeur réservée pour
l'inscription de UA
SOUA X ’A5 Adresse de l'usager pour OUI SOUA = SA + CUSTPOS
l'opérateur de service Utilisé pour le filtrage des
EMM
GCA X ’A6 Adresse de groupe de OUI Utilisé pour l'occultation,
l'usager le remplacement et
l'empreinte digitale
LABEL X ’A7 Étiquette OUI Utilisé pour le dialogue
homme/machine
DATES + TH/LE X ’A8 Dates + Thème + Niveau OUI Titre d'accès pour
abonnement par
thème/niveau
DATES + X ’A9 Dates + liste des classes OUI Titre d'accès pour
CUSTWD abonnement par classe
INUMB + X ’AA Numéros initial et final de OUI * Titre d'accès pour achat
FNUMB programme anticipé à la séance et
effacement de
programmes en achat à
la séance

__________________________________________________________________________________
DATE + X ’AB Date d'inscription de crédit + OUI Pour l'achat impulsif

CREDIT Crédit
DATE + TOTAM X ’AC Date + Montant total acquis OUI Pour l'achat impulsif
DATE +OVER X ’AD Date + découvert autorisé OUI Pour l'achat impulsif
DATE + X ’AE Date de relevé + référence OUI

SURVEY du relevé de consommation
DATES X ’AF Intervalle de dates pour OUI Pour l'effacement de
l'effacement droits en abonnement
X 'B0 Réservé pour cartes mère OUI
X 'B1 Somme des achats OUI Pour la consultation de la
impulsifs à la date du carte
dernier chargement de
crédit
impulsifs depuis le dernier carte
chargement de crédit
impulsifs depuis le dernier carte
relevé de consommation
X 'B4 Consultation des séances OUI Pour la consultation de la
en mode achat impulsif par carte
unité de temps
X 'B5 Dernier numéro de preview OUI Pour la consultation de la
et nombre de calculs de carte
mots de contrôle effectués
DATE + X ’B6 Date + modification des OUI Pour l'achat impulsif
MODEXP modes d'exploitation
////////// 'B7 RUF NON
LDATE + X B8 Date de péremption + OUI Pour l'inscription d'un
NBDAY + TH/LE Nombre de jours + Thème- droit glissant de type
Niveau abonnement par
Thème :/ Niveau
LDATE + X B9 Date de péremption + OUI Pour l'inscription d'un
NBDAY + LINK Nombre de jours + liste de droit glissant de type
classes abonnement par Classes
DATE X BA Date OUI Utilisé dans les
opérations faisant
intervenir une notion de
date en lien avec
l'écriture ou la lecture
d'un FAC ou l'écriture
d'un PIN
/////// 'BB…’BF RUF NON Paramètres réservés
/////// 'C0 RUF NON Paramètre réservé
MOD1 X ’C1 Coordonnées d'activation du OUI Pour le relevé de
modem sur date de relevé consommation
MOD2 X ’C2 Coordonnées d'activation du OUI Pour le relevé de
modem sur seuil de consommation
consommation
/////// ’C3....’C8 RUF NON Paramètres réservés
WAK X ’C9 Coordonnées du réveil OUI Réveil du récepteur pour

la réception des EMM
////// 'CA....'CF RUF NON Paramètres réservés
QEV X 'D0 Authentification du terminal OUI Permet d'activer /
désactiver le mécanisme
d'authentification du
terminal
////// ’D1....’D7 RUF NON Paramètres réservés

__________________________________________________________________________________
INDMES X ’D8 Message individuel OUI Réservés pour l'envoi de

messages aux usagers
//////// ‘D9...’DE RUF NON
CMIN ‘DF Coût min OUI Paramètre associé au
paramètre ‘E4
CTRL-ECM X ‘E0 Contrôle des fonctions OUI
spécifiques de l’ECM
CDATE+TH+LE X ‘E1 Abonnement par OUI
thème/niveau
CDATE+LINK X ‘E2 Abonnement par liste de OUI
classes
PNUMB X ‘E3 Numéro de séance OUI
PPVP X ‘E4 Achat impulsif par OUI
programme
PPVT X ‘E5 Achat impulsif par unité de OUI
temps
PREVIEW X ‘E6 Accès en preview OUI
////////// X ‘E7 RUF NON Paramètre réservé
ECW X ‘E8 Cryptogramme de mot de OUI
contrôle pair
OCW X ‘E9 Cryptogramme de mot de OUI
contrôle impair
ECW/OCW X ‘EA Couple de cryptogramme de OUI
mots de contrôle pair et
impair
ICW X ‘EB Réservé pour diffusion de OUI
données à bas débit
////////// X ‘EC…’ED RUF NON
PIN X ’EE Code parental (code secret) OUI
CLE X ’EF Cryptogramme d'une clé OUI
HASH X X ’F0 Redondance OUI Présence obligatoire
cryptographique
//////// F1...FF NON

__________________________________________________________________________________
GLOSSAIRE
’XY : Notation introduisant des valeurs exprimées en hexadécimal

AC : Critères d'accès à un programme (AC = Access critéria)
ADF : Champ d’adresse décrit dans les messages de gestion des titres d'accès destinés à des
groupes partagés d’usagers ; ce champ indique, pour chacun des usagers du
groupe, si le droit transmis le concerne ou non (ADF = ADdress Field)
BD/FD : Fourchette de validité d’un abonnement exprimé en date de début et date de fin
(BD/FD = Beginning Date/ Finishing Date)
C: Information qui précise si le calcul de mots de contrôle est conditionné à une vérification des
titres d’accès ; cette information est présente dans l’octet de contrôle des messages
de contrôle des titres d'accès (C = contrôle sur Critères)
CDATE : Ce paramètre est présent dans les messages de contrôle des titres d’accès ; il
précise la date courante pour l’accès à un programme en abonnement (CDATE =
Current DATE)
CI : Type d’algorithme utilisé dans le message et par la carte à mémoire (CI = Command Identifier)
CLE : Cryptogramme d’une clé secrète
CLI : Octet précisant la longueur du champ de valeurs décrit par le code de commande CI (CLI =
Command Length Indicator)
CMIN Coût en deçà duquel un achat de type paiement impulsif à la séance enregistré dans la carte
n’est pas valide.
COUTMAX : Valeur définie par l’usager qui précise le coût maximal validé pour un programme
accessible en paiement à la durée (COUTMAX = COUT MAXimal)
CREDIT : Titre d’accès précisant une augmentation de crédit pour un service
CTRL-ECM : Octet de contrôle des fonctions spécifiques des messages de contrôle des titres
d'accès (CTRL-ECM = ConTRoL-ECM)
CTRL-EMM : Octet de contrôle des fonctions des messages de gestion des titres d'accès (CTRL-
EMM = ConTRoL-EMM)
CUSTWD : Paramètre précisant la liste des classes accessibles par l’usager en mode
«Abonnement par classe» (CUSTWD = CUSTomer WorD)
CUSTPOS : Octet précisant la position de l’usager dans un groupe d'usagers (CUSTPOS =
CUSTomer Word Pointer)
CW : Mot de contrôle (CW = Control Word)
CWNUMB : Nombre de calculs de mots de contrôle autorisé preview (CWNUMB = Control Word
NUMBer)
DATE : Date d’inscription d’un titre d’accès (date d’inscription de crédit, date de relevé…)
DATES : Fourchette de dates pour un abonnement (aussi appelée BD/FD)
DESCR : DESCRiptif attaché à un service
E: Titre d’accès (E = Entitlement)
IE1 : Fonction d’invalidation/effacement dans l’octet de contrôle des messages de gestion des titres
d'accès (IE = Invalidation/Effacement)

__________________________________________________________________________________
IE2 : Fonction d’invalidation/effacement dans l’octet de contrôle des messages de gestion des titres
d'accès (E = Invalidation/Effacement)
ECM :Message de contrôle des titres d’accès (ECM = Entitlement Control Message)
ECW : Mot de contrôle pair (ECW = Even Control Word)
EEPROM : Technologie de composant à mémoire programmable et effaçable électriquement
(EEPROM = Electrically Erasable Programmable ROM)
EMM : Message de gestion des titres d’accès (EMM = Entitlement Management Message)
EMM-GA : Message de gestion des titres d’accès destiné à l’ensemble de l’audience utilisé
seul (EMM-G = Entitlement Management Message - General Alone)
EMM-GH Message de gestion des titres d'accès destiné à l'ensemble de l'audience utilisé en
en-tête des EMM-S (EMM-GH = Entitlement Management Message - General
Header)
EMM-S : Message de gestion des titres d’accès destiné à un groupe partagé d’usagers
(EMM-S = Entitlement Management Message - Shared)
EMM-U : Message de gestion des titres d'accès à l’attention d’un usager unique (EMM-U =
Entitlement Management Message - Unique)
EPROM : Technologie de composant à mémoire programmable électriquement et effaçable
par rayons UV (EPROM = Electrically Programmable ROM)
F: Bit précisant le Format de données des messages d’accès conditionnel (format variable ou
format fixe)
FAC : Données à usage général (FAC = FACility data)
FCTRL : Paramètre de contrôle de la fonction "empreinte digitale" (FCTRL = Fingerprinting
ConTRoL)
FNUMB : Numéro de séance final en mode «paiement à la séance anticipé» (FNUMB = Final
programme NUMBer)
GA : Adresse de groupe qui définit les groupes concernés par une configuration de remplacement
(GA = Group Address)
GC : Adresse géographique de l’usager pour un service (GC = Geographical Code)
GCA : Paramètre qui contient l’adresse géographique et l’adresse de catégorie de l’usager ; cette
adresse est définie pour un service (GCA = Geographical and subject Code
Address)
GGA :Paramètre décrivant une liste de zones (décrite chacune par un paramètre GCA) ; la liste de
zones est autorisée ou interdite pour l’occultation (GGA = Global Group Address)
HASH : Paramètre qui garantit l’intégrité d’un message de gestion ou de contrôle des titres
d’accès (HASH = HASHing) ; NOT(HASH) est la valeur du paramètre HASH
complémentée à 1
I: Fonction d’invalidation dans l’octet de contrôle des messages de gestion des titres d'accès (I =
Invalidation)
IDUP : Identificateur de service précisant la zone de service (voire l’indice) correspondant
aux informations à inscrire, invalider ou effacer (clé, descriptif ou service) (IDUP =
IDentifier UPdate)
IM : Modificateur d'initialisation de la séquence d'embrouillage (IM = Initialisation Modifier)
INUMB : Numéro de séance initial en mode «paiement à la séance anticipé» (INUMB = Initial
programme NUMBer)

__________________________________________________________________________________
LABEL : Mnémonique, mémorisé dans la carte à mémoire pour chaque zone de service, qui
permet de visualiser le nom d’un service à l’usager.
LC : Octet qui indique la longueur du champ de valeur introduit par un paramètre PC
(LC = Longueur des données Confidentielles)
LDATE : Date limite d'utilisation du droit glissant
LI : Octet qui indique la longueur du champ de valeur introduit par un paramètre PI (LI = Length
Indicator)
LINK :Classe d’un programme diffusé pour l’accès en mode «Abonnement par classe»
LSB : Bit de plus faible poids d’un octet ou d'un champ de données (LSB = Least Significant Bit)
MOD1 : Coordonnées d'activation du modem du récepteur sur date de relevé
MOD2 : Coordonnées d'activation du modem du récepteur sur seuil de consommation
MODEXP: Modification des MODes d'EXPloitation autorisés par un opérateur de service
MSB : Bit de plus fort poids d’un octet ou d'un champ de données (MSB = Most Significant Bit)
NBDAY: Nombre de jours d'utilisation du droit glissant.
NM : Niveau moral d’un programme décrit dans l’octet de contrôle des messages de contrôle des
titres d'accès (NM = Niveau Moral)
NP1 NP2 : Identification du type de données FAC
OCW : Mot de contrôle impair (OCW = Odd Control Word)
OVER : Découvert autorisé à l’usager pour un service (OVER = OVERdrawn account)
P: Bit de Parité indiquant la parité du mot de contrôle en cours
P: Bit de personnalisation dans le paramètre de contrôle des messages de contrôle des titres
d'accès
PC : Paramètre introduisant des données confidentielles (PC = Paramètre de Confidentialité)
PC2 : Première implémentation d'un processus de sécurité respectant cette spécification
PG : Paramètre de groupe (PG = Paramètre de Groupe)
PI : Descripteur de paramètres qui donne la signification du champ de valeurs qui suit (PI =
Parameter Identifier)
PIN : Code parental ou code porteur de la carte (PIN = Personal Identification Number)
PNUMB : Numéro de séance en achat anticipé ou en achat impulsif à la séance ou à la durée
(PNUMB = Programme NUMBer)
PPV/P : Coût d’un programme en achat impulsif par programme
(PPV/P = Pay-Per-View per Programme)
PPV/T : Coût d'un programme par unité de temps en achat impulsif à la durée
(PPV/T = Pay-Per-View per Time)
PRBS : Générateur pseudo-aléatoire pour embrouiller des services ou des composantes
dans le multiplex (PRBS = Pseudo-Random Binary Sequence)
PRIN : Indice du preview (PRIN = PReview INdex)
PRNB : Numéro du programme en mode preview (PRNB = PReview NumBer)
R: Information d'occultation dans l’octet de contrôle des messages de contrôle des titres d'accès

__________________________________________________________________________________
RND-ADF : Nombre aléatoire servant de valeur d’initialisation de l’embrouillage du champ

d’adresse ADF (RND-ADF = RaNDom number for ADdress Field)
RND-CONF : Nombre aléatoire servant de valeur d’initialisation de l’embrouillage des champs de
paramètres qui décrivent des titres d’accès (pour l’envoi de titres d’accès ou pour le
relevé de titres d’accès) (RND-CONF = RaNDom number for CONFidential data)
RUF : Paramètre ou champ de données Réservé à un Usage Futur
S: Bit indiquant si le champ ADF est embrouillé dans les EMM-S (S = Scrambled)
S: Information de sens qui précise si la liste décrite par le paramètre GGA est autorisée ou
interdite ; cette information est présente dans l’octet de contrôle des messages de
contrôle des titres d'accès (S = Sens)
SA : Adresse de groupe partagée ; cette adresse sert au filtrage des messages de gestion des titres
d'accès destinés à un groupe partagé d’usagers (SA = Shared Address)
SC : Code catégorie de l’usager pour un service (SC = Subject Code)
SMK : Clé de gestion du service (SMK = Service Management Key)
SOID : Identificateur de service ; il se compose d’un champ identifiant sur 20 bits et d’un
champ indice de clé sur 4 bits (SOID = Service Operator IDentifier)
SOK : Clé d’exploitation du service (SOK = Service Operation Key)
SOUA : Adresse de l'usager pour l'opérateur de service. Elle permet de donner l’adresse
d’un usager dans un groupe partagé d’usagers (adresse du groupe + position de
l’usager dans le groupe) (SOUA = Service Operator User Address)
SURVEY : Butée qui marque le dernier relevé de consommation dans la carte à mémoire
T: Bit indiquant un changement de contenu dans les messages diffusés (T = Toggle bit)
TC : Type de Codage des messages d'accès conditionnel
THEME/LEVEL : Thème et niveau associés à un programme diffusé
TH/LE : Thème et niveau associés à un titre d’accès de type «Abonnement par
Thème/Niveau» (TH/LE = THeme/LEvel)
TOTAM : Montant total des crédits acquis par l’usager pour un service (TOTAM = TOTal
AMount)
UA : Adresse unique d’une carte usager ; cette adresse est utilisée pour l’envoi de messages de
gestion des titres d'accès individualisés à la carte(UA = Unique Address)
V: Programmation du verrouillage de la zone de service dans l’octet de contrôle des messages de
gestion des titres d'accès (V = Verrouillage)
WAK : Coordonnées de réveil du récepteur (WAK = WAKe-up)


Viaccess 32

Transféré par

Droits d'auteur :

Formats disponibles

Viaccess 32

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Viaccess 32

Transféré par

Droits d'auteur :

Formats disponibles

- VIACCESS  -

SYSTÈME D’ACCÈS CONDITIONNEL

POUR SYSTÈMES DE DIFFUSION NUMÉRIQUE

2. DESCRIPTION GÉNÉRALE DU SYSTÈME D'ACCÈS CONDITIONNEL......................................... 6

2.1 Les systèmes d’embrouillage et de chiffrement........................................................................ 6

2.2 Inscription et mise à jour des données dans le processeur de sécurité...................................9

2.3 Fonctionnalités du système........................................................................................................ 9

3. MÉCANISMES GÉNÉRAUX D’ACCÈS CONDITIONNEL............................................................... 12

3.1 Structure générale des messages d'accès conditionnel......................................................... 12

3.2 Adresses usager...................................................................................................................... 15

3.4 Mécanismes de base de synchronisation et de commutation................................................. 19

4. MESSAGES DE GESTION DES TITRES D'ACCÈS (EMM)............................................................ 24

4.1 Format des messages.............................................................................................................. 24

4.2 Identificateur de paramètre PI.................................................................................................. 24

Ce document est la propriété du Groupe France Télécom.

4.3.10 Adresse unique de l’usager UA.................................................................................. 36

4.5 Types des messages de gestion des titres d'accès et exemples...........................................55

5. MESSAGES DE CONTRÔLE DES TITRES D'ACCÈS (ECM)........................................................ 78

5.1 Format des messages.............................................................................................................. 78

5.2 Identificateur de paramètre PI.................................................................................................. 78

Ce document est la propriété du Groupe France Télécom.

5.2.18 Coût minimum CMIN................................................................................................... 90

6. Table récapitulative des paramètres des ECM et des EMM........................................................ 93

Ce document est la propriété du Groupe France Télécom.

— le protocole de transport des messages d'accès conditionnel,

Ce document est la propriété du Groupe France Télécom.

2. DESCRIPTION GÉNÉRALE DU SYSTÈME D'ACCÈS CONDITIONNEL

Pour un générateur de séquences pseudo-aléatoires, la séquence d'embrouillage est rendue

Avant de calculer un mot de contrôle, le processeur de sécurité vérifie la présence de la clé

Ce document est la propriété du Groupe France Télécom.

Ce document est la propriété du Groupe France Télécom.

Composante Composante source Composante

Figure 2.1 : Description générale du système d'accès conditionnel

Ce document est la propriété du Groupe France Télécom.

ECM = message de contrôle des titres d’accès

Légende de la Figure 2.1

2.2 Inscription et mise à jour des données dans le processeur de sécurité

L'identificateur de l'opérateur de service (SOID) est complètement indépendant de la structure du

Les EMM peuvent être envoyés indépendamment du programme.

2.3 Fonctionnalités du système

Ce document est la propriété du Groupe France Télécom.

Adressage de groupe et géographique

Ce document est la propriété du Groupe France Télécom.

2.3.2 Contrôle du processeur de sécurité par l'usager

2.3.3 Consultation des titres d'accès

Ce document est la propriété du Groupe France Télécom.

3. MÉCANISMES GÉNÉRAUX D’ACCÈS CONDITIONNEL

En-tête du message Champ de données du message (Suffixe du message)

PI LI Champ du paramètre PI LI Champ du paramètre

Figure 3.1 : Format général des messages d'accès conditionnel

Données pour la sélection des messages

— Identification du système d'accès conditionnel et du type de cryptoalgorithme (CI) utilisé dans le

Ce document est la propriété du Groupe France Télécom.

Informations liées au contenu du message

Le multiplex doit permettre d'identifier le type de message parmi :

— les messages de contrôle des titres d'accès (ECM),

— les messages de gestion des titres d'accès (EMM).

— EMM unique (EMM-U), où le message est adressé à un seul usager,

— une adresse partagée (SA) sur 24 bits pour les EMM-S.

U ti li s ez W or d 6.0c ( ou ult r ieur) U t ilis ez Wo rd 6 .0c ( ou u lt rieur )