第7章數(shù)字電視

第7章數(shù)字電視的條件接收7.1概述7.2條件接收系統(tǒng)的工作原理7.3國產(chǎn)條件接收系統(tǒng)免費功能差強迫看廣告收費功能強大不強迫看廣告②數(shù)字電視①模擬電視①賺錢太少、技術(shù)落后；②賺錢多、業(yè)務(wù)廣。①飽受廣告之苦；②盼望功能改進，但對收費有顧慮。消費者廣電部門7.1概述7.1.1MPEG-2標準中有關(guān)CAS的規(guī)定MPEG-2在TS流數(shù)據(jù)包的語法結(jié)構(gòu)中規(guī)定了兩個加擾控制位，在PES數(shù)據(jù)包的語法結(jié)構(gòu)中也規(guī)定了兩個加擾控制位，所以加擾可以在TS層或PES層實施。不論在哪一層實施，TS包的頭部信息(包括自適應(yīng)域)總是不加擾的；在PES層實施加擾時，PES包的頭部信息是不加擾的。另外，MPEG-2的PSI表總是不加擾的。圖3-3MPEG-2中視頻流和音頻流的多路復(fù)用MPEG-2為CAS規(guī)定了兩個數(shù)據(jù)流，即ECM（EntitlementControlMessage，授權(quán)控制信息）和EMM（EntitlementManagementMessage，授權(quán)管理信息）。ECM一般用來傳送直接解擾信息；EMM用來傳送用戶的付費情況或權(quán)限，包括對ECM進行解密的信息。對ECM和EMM進行加密的方法由各CAS自由選擇。7.1.2DVB標準中有關(guān)CAS的規(guī)定歐洲的DVB標準在MPEG-2的基礎(chǔ)上進一步規(guī)定了一些規(guī)范。DVB規(guī)定了兩個加擾控制位的含義(在TS層和在PES層一樣)：00表示未加擾；01表示保留；10表示使用偶密鑰；11表示使用奇密鑰。一個靈活的廣播系統(tǒng)應(yīng)當能夠在PES層實施加擾。為了避免客戶端的解擾設(shè)備太復(fù)雜，DVB對在PES層實施的加擾做了一些限制：(1)加擾不能同時在TS和PES兩個層次上實施；(2)加擾的PES包的頭不能超過184B；(3)除了最后一個TS包外，攜帶加擾PES包的TS包不能有自適應(yīng)域。當廣播數(shù)據(jù)跨越廣播媒體邊界(例如從衛(wèi)星到有線)的時候，經(jīng)常需要用新的CA信息替換原有的CA信息。為了靈活高效地實現(xiàn)CA信息的替換，DVB作了如下規(guī)定：(1)PID等于某個CA描述符的CA-PID值的TS包只能攜帶CA信息，不能攜帶其它信息。另一方面，CA信息只能出現(xiàn)在這些TS包中，不能出現(xiàn)在其它TS包中。(2)在同一個TS流中，兩個CA提供商不應(yīng)使用相同的CA-PID。7.1.3同密和多密1.同密

同密（Simulcrypt）是指通過同一種加擾算法和加擾控制信息（相同的控制字CW），使多個條件接收系統(tǒng)一同工作的技術(shù)或方式。目的是使兩家或兩家以上的CA系統(tǒng)同時對同一數(shù)字電視節(jié)目進行加擾。同密CA系統(tǒng)架構(gòu)如圖7-1所示。只要一個條件接收子模塊便可接收多個授權(quán)節(jié)目，這些節(jié)目采用同一種加擾算法。圖7-1同密CA系統(tǒng)架構(gòu)控制字發(fā)生器通用加擾器CA系統(tǒng)1CA系統(tǒng)2復(fù)用器被加擾節(jié)目碼流ECM1和EMM1ECM2和EMM2CW視頻、音頻、數(shù)據(jù)碼流

2.多密多密(Multicrypt)技術(shù)是指接收機對多個不同的條件接收系統(tǒng)的節(jié)目進行接收的技術(shù)或方式。多密方案的基本思想是將解擾、解密等條件接收功能集中于一個具有公共接口的插入式CA模塊中。多密方式則要具有多個條件接收子模塊才可接收多個不同的授權(quán)節(jié)目，這些節(jié)目采用不同的加擾算法。多密技術(shù)要求接收機采用CI接口，實現(xiàn)同一接收機接收不同CA系統(tǒng)加密節(jié)目的功能。DVB條件接收系統(tǒng)定義了一個公共接口CI（CommonInterface），如圖7-2所示。圖7-2DVB條件接收系統(tǒng)的公共接口圖7-3多密方式的條件接收系統(tǒng)示意圖7.1.4條件接收系統(tǒng)的安全技術(shù)（本章重點）圖7-5基本加擾算法PRBSG1.密鑰K圖7-5中的K是密鑰(Key)，又稱為控制字(ControlWord，CW)或種子(Seed)；PRBSG是偽隨機二進序列發(fā)生器；Ki是由CW產(chǎn)生的一個偽隨機二進序列PRBS(PseudoRandomBinarySequenc)；中間的運算是模2加(異或，XOR)。由于根據(jù)PRBS有可能破譯CW，因此在可能被破譯之前要更換密鑰CW。更換CW的頻率要考慮同步時間和數(shù)據(jù)量。如果更換CW的間隔時間為t，那么當用戶切換到某一個經(jīng)過加擾的節(jié)目時，最多要等待t，平均要等待t／2，才能開始解擾。因此更換CW的間隔時間不能過長。但如果間隔時間太短，密鑰的數(shù)據(jù)量會很大，也增加了產(chǎn)生密鑰CW的難度?？刂谱值牡湫妥珠L為60b，每隔2～10s改變一次。2.業(yè)務(wù)密鑰SKCW是隨加擾信息一起傳送的，為防止被讀取，必須對CW進行加密。對CW加密的密鑰稱為業(yè)務(wù)密鑰SK(ServiceKey)。SK和用戶的付費有關(guān)，實際上是用戶的授權(quán)信息。例如用戶一個月付費一次，SK也按月變化，沒有付費的用戶將得不到新密鑰。在SK更換時期，新SK要通過尋址發(fā)給每個已付費的用戶，用戶的解擾器收到新SK后先暫時存放起來，然后在規(guī)定的時刻啟用新SK。有時把新舊SK稱為“奇密鑰”和“偶密鑰”。對CW加密的算法因CA系統(tǒng)的不同而不同。

3.個人分配密鑰PDK為了保護SK，用每個解擾器或智能卡的地址碼(ID)作為密鑰來對SK進行加密，這個密鑰稱為個人分配密鑰PDK(PersonalDistributionKey)或管理密鑰MK(ManagementKey)。CW、SK和PDK構(gòu)成了CA系統(tǒng)的三級密鑰體制。對廣播數(shù)據(jù)、CW和SK的保護采用的都是軟件技術(shù)，對PDK的保護不僅需要軟件技術(shù)，還需要硬件技術(shù)。下面以智能卡為例介紹保護PDK的技術(shù)。7.2條件接收系統(tǒng)的工作原理條件接收系統(tǒng)由加擾器、解擾器、加密器、控制字產(chǎn)生器、用戶授權(quán)系統(tǒng)、用戶管理系統(tǒng)和接收機中的條件接收子系統(tǒng)等部分組成，如圖7-6所示。

圖7-6條件接收系統(tǒng)方框圖可以看出整個DVB條件接收系統(tǒng)的安全性得到了三層保護：第一層保護是用控制字CW對復(fù)用器輸出的圖像、聲音和數(shù)據(jù)信號TS流進行加擾，使其在接收端不經(jīng)過解擾就不能正常收看和收聽；第二層保護是用業(yè)務(wù)密鑰SK對控制字加密，這樣即使控制字在傳送給用戶的過程中被盜，偷盜者也無法對加密后的控制字進行解密；第三層保護是用PDK對業(yè)務(wù)密鑰加密，非授權(quán)用戶即使得到業(yè)務(wù)密鑰，也不能輕易解密。解不出業(yè)務(wù)密鑰就解不出正確的控制字，沒有正確的控制字就無法解出并獲得正常信號的TS流。7.3國產(chǎn)條件接收系統(tǒng)擺在我們面前的問題：1、CA產(chǎn)品是涉及國家信息安全的核心設(shè)備；2、CA系統(tǒng)的安全性是由設(shè)備廠商保證的；3、CA系統(tǒng)本身是不開放的；4、我國不可能大范圍使用黑箱式的國外設(shè)備。7.3.1中視聯(lián)條件接收系統(tǒng)

1.ChinaCrypt可提供多種靈活的授權(quán)方式ChinaCrypt的授權(quán)方式主要有：(1)節(jié)目定期預(yù)訂方式：有一定期限的授權(quán)，期限從一周到一年。定期預(yù)訂的服務(wù)通常用于收看一個特定的加密電視頻道?？梢约毞譃榉诸惙旨壏绞胶凸?jié)目組合方式。(2)按次付費PPV(PayPerView)方式：以事件為基礎(chǔ)，用戶通過電話預(yù)訂節(jié)目，也稱節(jié)目分次預(yù)訂。(3)立即按次付費IPPV(ImpulsePPV)方式：最靈活的收看方式，節(jié)目購買完全是本地互動，無需提前打電話預(yù)訂節(jié)目，也稱為節(jié)目即時購買或立即付費電視。2.ChinaCrypt條件接收系統(tǒng)的基本性能(1)用戶量大，支持多種硬件配置方案，采用模塊化設(shè)計，適用于各種規(guī)模的收費電視運營，支持從幾千到1000萬的用戶授權(quán)管理；CNCrypt支持2.5萬用戶，DtviaCrypt支持35萬用戶，SinoCrypt支持1000萬以下用戶，系統(tǒng)之間可以平滑升級。(2)支持多種系統(tǒng)備份（熱插拔和雙機熱備份）和用戶數(shù)據(jù)庫備份方案（磁盤陣列、磁帶機等）。(3)采用RSA算法(以三個發(fā)明者Rivest、Shamir、Adleman名字命名的一種非對稱密碼系統(tǒng))處理用戶的授權(quán)，密鑰長度為512～2048b。采用專業(yè)加密機TRD(TamperResistantDevice)作為前端系統(tǒng)的核心，采用協(xié)處理器和專用算法電路的雙CPU智能卡作為接收機CA系統(tǒng)的核心。(4)識別管理方便，每個智能卡中有多個算法和十多種密鑰，用于各種條件下的用戶授權(quán)和密鑰管理，多個節(jié)目供應(yīng)商或運營商可以共享一張智能卡。支持多種節(jié)目打包的工作方式以及靈活的收費方式，支持多達256種用戶身份識別功能。(5)更新方便，可以動態(tài)地更新系統(tǒng)的密鑰與算法，可經(jīng)廣播尋址發(fā)送電子郵件（E-Mail）和短信息(Meassage)，支持軟件的空中下載和機頂盒軟件的更新(CodeLoader)。(6)使用靈活，支持DVB通用接口，支持同密和多密工作方式，支持多種授權(quán)方式（全局、按組、單一）的授權(quán)管理，可提高尋址效率和安全保障；支持多種方式的預(yù)授權(quán)和任意設(shè)置的節(jié)目預(yù)覽，可用日期開啟/關(guān)閉授權(quán)。(7)控制靈活，支持一機一卡的配對工作方式，并支持單個的配對和解除；支持區(qū)域性限播和區(qū)域“點亮”，支持“家長控制”功能，支持“指紋技術(shù)”以及防止非法拷貝功能。(8)支持國標，支持統(tǒng)一管理，智能卡全國統(tǒng)一編號，分級授權(quán)的管理模式，支持4級用戶授權(quán)。(9)結(jié)算方便，支持多種貨幣的結(jié)算，支持“電子錢包”及IPPV節(jié)目的本地交換和信用消費的功能。(10)擴展靈活，支持多種前端編碼設(shè)備，支持多種中間件，包括MHP(MediaHomePlatform，媒體家庭平臺)；支持簡單網(wǎng)關(guān)管理協(xié)議SNMP（SimpleNetworkManagementProtocol），支持EPG和節(jié)目管理系統(tǒng)；可擴展的IP加密模塊，包括安全網(wǎng)關(guān)SGW，加密編排器Scheduler。(11)容量大，可管理的節(jié)目數(shù)為16兆個；可管理的模擬頻道數(shù)為40～200個；可管理的產(chǎn)品數(shù)為250～16000個；SMS請求處理速度為90000～720000/h；EMM刷新速度為20000000/h；批量冗余處理PPV授權(quán)數(shù)量可達40000000個。(12)尋址高效，對200萬用戶進行惟一尋址的循環(huán)時間僅僅需要415s，帶寬僅需2.7Mb／s；在100萬用戶、每個用戶可有30個授權(quán)的前提下，系統(tǒng)進行組尋址的循環(huán)時間僅僅需要750s，帶寬僅需2.7Mb／s。3.ChinaCrypt系統(tǒng)的組成

圖7-7ChinaCrypt條件接收系統(tǒng)的組成框圖7.3.2永新同方條件接收系統(tǒng)

北京永新同方信息工程有限公司是由清華永新信息工程有限公司和清華同方股份有限公司進行資產(chǎn)合并和業(yè)務(wù)合并后組成的高科技企業(yè)。該公司自主研發(fā)的有條件接收系統(tǒng)已與國外Irdeto和NDS的產(chǎn)品經(jīng)過同密測試，也被中央電視臺數(shù)字電視的前端系統(tǒng)選用，并于2001年由國家廣電總局推薦為國內(nèi)數(shù)字電視有條件接收系統(tǒng)的首選產(chǎn)品。永新同方CA系統(tǒng)的特點是：①采用同密技術(shù)；②省級以