Debido a que el contenido encriptado tiene que ser emitido a través del limitado ancho de banda existente de las redes de datos, la principal tarea del CA system es de proveer una “clave” (palabra de control) a los set top boxes de los usuarios abonados lo cual permite que su set top box desencripte el contenido. Debido a que únicamente los abonados habilitados pueden consumir el contenido, la proliferación de la palabra de control debe ser ejecutada mediante el uso de tecnología de seguridad con el fin de proteger la palabra de control.

Para poder lograr esto el CA system opera un modulo central en la cabecera (Headend) del proveedor del contenido el cual formula la encriptación de los paquetes de información. Este modulo central es el llamado CACS (CA control System). Los paquetes de información son transmitidos a los set top boxes en conjunto con el contenido encriptado. Los paquetes de información que contienen la palabra de control para desencriptar el contenido son llamados ECMs (Mensajes de control para abonados autorizados).