DVB有條件接收系統(tǒng).

1、DVB有條件接收系統(tǒng)有條件接收系統(tǒng)在整個系統(tǒng)中的位置基于有線電視網的數字電視平臺結構如圖 1 所示。從頭端來的服務信息通過復用器， 再經過 CA系統(tǒng)的加擾器實現相應信息的加擾。 經過 QAM調制器以及上變 頻器進入有線電視網。 在用戶端， 可以用機頂盒與電視機來接收， 還可以采用 IP 廣播卡來實現數據廣播的 接收。用戶端采用 PSTN網實現信息的回傳。圖 1 系統(tǒng)結構圖有條件接收系統(tǒng)（ CA 系統(tǒng)）有條件接收系統(tǒng)由兩個相互的部分加解擾和接收控制組成，其中每一部分均是一個特殊的信 息過程。采用三重密鑰傳輸機制。在數字傳輸系統(tǒng)中，三重密鑰分別是：1、解擾密鑰 CW ，它用于對偽隨機序列發(fā)生器起始

2、觸發(fā)，產生新的偽隨機序列進行加解擾。2、用業(yè)務密鑰 ECMK1對控制字進行加密，形成授權控制信息ECM 。ECM 信息插入傳送流，大約每幾秒鐘在傳送流中出現一次。 3、用密鑰 EMMK1 將用戶管理信息進行加密，形成授權管理信息EMM ，用戶管理信息由提供商的用戶管理系統(tǒng)形成用戶管理信息，包括用戶名稱、地址、智能卡號、帳單等等。 EMM 均每 810 秒插入傳送流一次。在 DVB 傳輸系統(tǒng)中，加擾過程是用一個偽隨機序列對復用后的 TS 流進行加擾，而這一個偽 隨機加擾過程是用一個偽隨機序列對復用后的 TS 流進行加擾， 而這個偽隨機序列的生成由控制 字發(fā)生器提供的控制字（ CW ）來確定。節(jié)目

3、有條件接收的核心就是控制字傳輸的控制。控制字 是一組隨機數， 是數據流的加密密鑰， 每隔幾秒鐘隨機變化一次， 在接收端要用同樣的控制字的 控制下來解密。系統(tǒng)同時通過密鑰 ECMK1 對控制字進行加密，形成授權控制信息 ECM ，在接 收端你要解擾就必須要首先在 ECM 中解出控制字，用控制字將加擾的 TS 流解擾出來，要成功 從 ECM 中解擾出控制字必須先通過用戶授權確認這一關，在 CA 系統(tǒng)中用戶的授權信息被密鑰 EMMK1 加密，形成授權管理信息 EMM 。為了能從多節(jié)目的 TS 流中找出所需要的節(jié)目碼流， 數據信號在傳送時還要附加傳送節(jié)目特定 信息（ PSI），將它也復用到 TS 流中

4、，在接收端通過利用 PSI 所要接收的節(jié)目流從 TS 中過渡出 來， PSI 包含了四種表。1、節(jié)目輔助表（ PAT）：此表的特點是 PID （PID 稱為包標識符，其長度為本13b，指示包的種類）總是等于零，所以很容易找到，從 PAT 中可以找出某個節(jié)目的節(jié)目映射表的 PID 值。2、節(jié)目映射表（ PMT ）：在此表中可以找出包含有某個節(jié)目內容的相應PID （如視頻 PID 、音頻PID 等）。TS 流中的每一個節(jié)目都有一個與之對應的 PMT 。3、網絡信息表（ NIT ）：此表是可選的，其主要內容屬于私人性質。在MPEG-2 系統(tǒng)中沒有規(guī)定這個表的格式。 NIT 可用于提供有關傳送流的物理

5、網信息，如信道頻率、衛(wèi)星轉發(fā)器詳細情況、 調制方式、業(yè)務名稱等。4、條件接收表（ CAT ）：此表提供了所采用加擾系統(tǒng)的細節(jié)以及CA 管理和授權信息傳送包的PID 值，在 MPEG-2 系統(tǒng)中也未規(guī)定其格式。PSI 信息必須以一定的頻率不斷發(fā)送，每秒至少 20 次，使新開機的接收機能及時解釋傳送流 的性質。CW 雖已由 ECMK1 加密生成 ECM ，但這個密鑰如果還是可以讓任何人讀取，那就意味著特 定服務的定購者和非定購者將享有同等權利， 網絡運營商還是難以控制到特定的用戶， 安全性還 是存在問題，必須對 ECM 再進行加密保護。這個加密過程就完全按照各個用戶的特征來進行， 由于共用網絡尋址

6、模式中數據包是按用戶地址傳送的， 每個終端設備有一個不重復的唯一的地址 碼，這就給出了一個解決方法，就是用地址碼來對 ECM 加密。 在實際使用中，終端設備的地 址一般是公開的， 且基本不變， 所以往往用和這個地址碼相關聯(lián)的一個數列來進行加密， 因為這 個數列（密鑰）是由個人特征確定的，往往稱為個人分配密鑰（PDK ）。PDK 一般由 CA 系統(tǒng)設備自動產生并嚴格控制， 在終端設備處該序列數一般由網絡運營商通過 CA 系統(tǒng)提供的專用設備 燒入解擾器的 PROM 中，不能再讀出。為了能提供不同級別、不同類型的各種服務，一套 CA 系統(tǒng)往往為每個用戶分配好幾個 PDK ，來滿足豐富的業(yè)務需求。CA

7、 系統(tǒng)的解密過程如下：當智能卡插入時，解碼器首先在傳送流中尋找PSI，在 PSI 中找到條件接收表 CAT ，根據 CAT 表中給出的 EMM 包識別碼 （ PID ），找到相應的加密的 EMM 信息， 智能卡中存有加密系統(tǒng)號和 ECMK2 、EMMK2 等密鑰， 智能卡首先使用 EMMK2 對加密的 EMM 解密， 根據解出的 EMM 信息來確定本智能卡是否被授權收看該節(jié)目， 如果沒有授權將不能進行 后續(xù)解密， 也就不能收看該節(jié)目， 如果該卡已被授權， 先將 PDK 解密，解出 ECM 后啟用 ECMK2 對 ECM 解密，得到控制字 CW ，最后由 CW 對加密的傳送流解密。在 DVB 中

8、開發(fā)了兩種 CA 操作方式來接收數字信號。 一種是同密方式， 這種方式允許在 DVB 傳輸的一套節(jié)目中攜帶由不同的 CA 系統(tǒng)生成的多個 CA 信息給不同 CA 系統(tǒng)的機頂盒用戶， 在 同密方式下， CA 系統(tǒng)設計了一個通用加擾算法（ CSA ）系統(tǒng)供 MPEG 復用，所有 CA 廠商可以 開發(fā)各自不同加密的 ECM 和 EMM ，但都要遵循通用加擾算法。信號源可以由某一個 CA 系統(tǒng) 產生的控制字（ CW ），通過一個通用的加擾算法系統(tǒng)去控制加擾過程，這個 CW 再由不同的 CA 廠商的加密器產生出授權控制信息 ECM ，會同它們不同的 EMM 和數據流一起復用進 TS 流中。 在同密方式中

9、所發(fā)送的每項業(yè)務均帶有適用于各種不同 CA 系統(tǒng)的加密信息， 因此需要有一個同 步器來統(tǒng)一時序。在接收端機頂盒中已集成有 CSA 系統(tǒng)，在智能卡中根據授權信息將 CW 解出 來，再送回機頂盒中通過 CSA 解擾數據。這樣智能卡中只有控制加密部分，所以成本低。另一種稱為多密方式，在這種方式下，不同的 CA 系統(tǒng)有不同的加擾算法，所以這種系統(tǒng)必 須要將解密和解擾算法都集成到具有通用接口的插入式智能卡上， 從而使智能卡的成本很高。 不 過這種系統(tǒng)的好處就是可以同時支持多過CA 系統(tǒng) ,這時智能卡里就集有多個 CA 系統(tǒng)的加擾算法。、系統(tǒng)原理1. 加解擾與加解密廣播網絡有條件接收系統(tǒng)是對廣電網絡進行集

10、約式管理的基礎設施。集約式管理是指在廣電多媒體寬帶 分配網絡的頭端( Head-end)用復用器對提供的節(jié)目或稱為服務進行管理，用用戶管理系統(tǒng)(SubscriberManagement System，簡稱 SMS )對每個用戶的要求實現記錄、統(tǒng)計和管理，使整個系統(tǒng)提供的服務精確 到每個終端， 在用戶端用機頂盒來實現系統(tǒng)提供的各種多媒體服務。 CA 系統(tǒng)貫穿在這三部分構成的整個系 統(tǒng)之中，目的就是根據每個用戶申請的服務將相應的碼流構成完善的加解擾系統(tǒng)，使每個用戶在按時交費 的基礎上可以得到相應的服務， 使廣電網絡真正成為一個能夠自我積累發(fā)展的產業(yè)。 在介紹整個系統(tǒng)之前 我們先澄清兩個在 CA 設

11、備中很容易混淆的概念： 一個是加解擾 ( Scrambling Descrambling )，另一個是加 解密( Encryption Decryption )。這兩種技術是 CA 系統(tǒng)重要的組成部分，有著密切的聯(lián)系，在技術上也有 相似之處。但在 CA 系統(tǒng)標準中是獨立性很強的兩個部分：加解擾技術被用來在發(fā)送端 CA 系統(tǒng)的控制下 改變或控制被傳送的服務(節(jié)目)的某些特征，使未被授權的用戶無法獲取該服務提供的利益；而加密技 術被用來在發(fā)送端提供一個加密信息，使被授權的用戶端解擾器能以此來對數據解密，該信息受 CA 系統(tǒng) 控制，并以加密形式配置在傳輸流信息中以防止非授權用戶直接利用該信息進行解擾

12、，不同的 CA 系統(tǒng)管 理和傳送該信息的方法有很大不同。 在目前各種標準組織提出的有條件接收標準中加擾部分往往力求統(tǒng) 一，而在加密部分則一般不作具體規(guī)定，是由各廠商定義的部分。這在后文中將作具體介紹。2. 系統(tǒng)原理節(jié)目有條件接收的核心是控制字 CW( Control Word )傳輸的控制。 在采用 MPEG 2 標準的數字電視系統(tǒng) 中，與節(jié)目流有條件接收系統(tǒng)相關的有兩個數據流：授權控制信息ECM (Entitle Control Message )和授權管理信息 EMM (Entitle Manage Message)。由業(yè)務密鑰 SK( Service Key )加密處理后的 CW 在 E

13、CM 中傳 送，ECM中還包括節(jié)目來源、 時間、內容分類和節(jié)目價格等節(jié)目信息。 對CW加密的 SK在EMM 中傳送， SK 在傳送前要經過用戶個人分配密鑰 PDK ( Personal Distribute Key )的加密處理， EMM 中還包含地址、 用戶授權信息。這是一種三層加密機制，那為何要用如此復雜的系統(tǒng)來完成在廣播網絡上的安全和控制機 制呢？ 為了使訂戶能得到相應的服務， 要對傳輸碼流進行加擾， 其過程就是在發(fā)端將原始信息由偽隨機序 列進行實時擾亂控制，偽隨機序列的產生則由上圖中的控制字發(fā)生器來進行控制。接收端也有一個和發(fā)端 結構相同的偽隨機序列產生器， 只要收發(fā)兩端間的序列同步

14、(即用同一個初始值啟動) ，接收端的偽隨機序 列(解擾序列)就可用來將加擾信息恢復為原始信息，為了達到同步要求，必須由發(fā)端向收端發(fā)送一個去 同步偽隨機序列的起始控制字(是一個隨機數) 。 起始控制字( CW)作為解擾密鑰使用。解擾密鑰是系統(tǒng) 安全的基本要素，該值雖在不斷地隨機變更( 1 秒可能變化幾次) ，但還不夠安全，因為 CW 是隨加擾信息 一起通過公用網傳送的，任何人都可讀取研究它，一旦 CW 被竊密者讀取破解，那么整個系統(tǒng)就癱瘓了， 所以必須予以保護。為此對 CW 本身(以及系統(tǒng)數據的其它部分)要用一個加密密鑰通過加密算法對它進 行加密保護，這個加密密鑰只是一個用來變化加密算法結果的任

15、意數。固定這個密鑰是不適用的(安全性 差)，應當采用變化密鑰，通過 CA 控制器用人工的或其它自然方式產生新的隨機數。 在具體應用中，這 個密鑰可以按網絡經營商要求經常加以改變，通常由服務提供商產生用來控制其提供的服務，所以把它稱 為業(yè)務密鑰 SK(Service Key)。SK 的使用和用戶付費條件有關， 一般情況下用戶可以一個月付一次費， SK 也按月變化，在有些特定系統(tǒng)中也被稱為月密鑰。業(yè)務密鑰的時限是由服務提供的時限確定的，在網絡運 營商提供的特殊服務中， 如單次付費收視 PPV(Pay-per-View )和即時付費收視 IPPV( Impulse PPV)中 SK的時限就可能只是幾

16、個小時。 這里存在一個問題，因為在任何時間只有一個有效的業(yè)務密鑰SK ，在新舊密鑰更迭期間，一些授權用戶將獲得新密鑰，而尚未授權用戶仍是原來的舊密鑰。尋址用戶并分發(fā)密鑰的 時間由整個系統(tǒng)的用戶數目和系統(tǒng)為此分配的帶寬決定，但肯定有一個過渡時間，在此期間哪個密鑰應被 用來加密系統(tǒng)的信息和數據呢？解決的方法就是給每個用戶儲存兩個密鑰，一個當前使用，一個“下一次 ”使用。 這兩個密鑰分別稱作 “偶密鑰 ”和“奇密鑰 ”（該稱呼與密鑰的實際使用沒有任何關系， 僅是一個名稱） ， 含有識別它為偶或奇的特征比特，解擾器接收到后將該密鑰存儲在適當位置。如果當前使用偶密鑰加密， 則同時分配新密鑰為奇密鑰，在系

17、統(tǒng)確定所有用戶收到新密鑰后偶密鑰失效，同時新分配的奇密鑰就啟動 來解密數據，下一次密鑰的分配就以新的偶密鑰開始。為了讓隨時接入的用戶也能收看到當前的節(jié)目，系 統(tǒng)一般也會尋址播出當前的密鑰。 CW 雖已由 SK 加密，但這個密鑰如果還是可以讓任何人讀取，那就意 味著特定服務的定購者和非定購者將享有同等權利，網絡運營商還是難以控制到特定的用戶，安全性還是 存在問題，必須對 SK 再進行加密保護。這個加密過程就完全按照各個用戶的特征來進行，由于共用網絡 尋址模式中數據包是按用戶地址傳送的，每個終端設備有一個不重復的唯一的地址碼，這就給出了一個解 決方法，就是用地址碼來對 SK 加密。 在實際使用中，終端設備的地址一般是公開的，且基本不變，所以 往往用和這個地址碼相關聯(lián)的一個數列來進行加密，因為這個數列（密鑰）是由個人特征確定的，往往稱 為個人分配密鑰 （PDK ）。PDK 一般由 CA 系統(tǒng)設備自動產生并嚴格控制， 在終端設備處該序列數一般由網 絡運營商通過 CA 系統(tǒng)提供的