第7章数字电视

第7章数字电视的条件接收7.1概述7.2条件接收系统的工作原理7.3国产条件接收系统免费功能差强迫看广告收费功能强大不强迫看广告②数字电视①模拟电视①赚钱太少、技术落后；②赚钱多、业务广。①饱受广告之苦；②盼望功能改进，但对收费有顾虑。消费者广电部门7.1概述7.1.1MPEG-2标准中有关CAS的规定MPEG-2在TS流数据包的语法结构中规定了两个加扰控制位，在PES数据包的语法结构中也规定了两个加扰控制位，所以加扰可以在TS层或PES层实施。不论在哪一层实施，TS包的头部信息(包括自适应域)总是不加扰的；在PES层实施加扰时，PES包的头部信息是不加扰的。另外，MPEG-2的PSI表总是不加扰的。图3-3MPEG-2中视频流和音频流的多路复用MPEG-2为CAS规定了两个数据流，即ECM（EntitlementControlMessage，授权控制信息）和EMM（EntitlementManagementMessage，授权管理信息）。ECM一般用来传送直接解扰信息；EMM用来传送用户的付费情况或权限，包括对ECM进行解密的信息。对ECM和EMM进行加密的方法由各CAS自由选择。7.1.2DVB标准中有关CAS的规定欧洲的DVB标准在MPEG-2的基础上进一步规定了一些规范。DVB规定了两个加扰控制位的含义(在TS层和在PES层一样)：00表示未加扰；01表示保留；10表示使用偶密钥；11表示使用奇密钥。一个灵活的广播系统应当能够在PES层实施加扰。为了避免客户端的解扰设备太复杂，DVB对在PES层实施的加扰做了一些限制：(1)加扰不能同时在TS和PES两个层次上实施；(2)加扰的PES包的头不能超过184B；(3)除了最后一个TS包外，携带加扰PES包的TS包不能有自适应域。当广播数据跨越广播媒体边界(例如从卫星到有线)的时候，经常需要用新的CA信息替换原有的CA信息。为了灵活高效地实现CA信息的替换，DVB作了如下规定：(1)PID等于某个CA描述符的CA-PID值的TS包只能携带CA信息，不能携带其它信息。另一方面，CA信息只能出现在这些TS包中，不能出现在其它TS包中。(2)在同一个TS流中，两个CA提供商不应使用相同的CA-PID。7.1.3同密和多密1.同密

同密（Simulcrypt）是指通过同一种加扰算法和加扰控制信息（相同的控制字CW），使多个条件接收系统一同工作的技术或方式。目的是使两家或两家以上的CA系统同时对同一数字电视节目进行加扰。同密CA系统架构如图7-1所示。只要一个条件接收子模块便可接收多个授权节目，这些节目采用同一种加扰算法。图7-1同密CA系统架构控制字发生器通用加扰器CA系统1CA系统2复用器被加扰节目码流ECM1和EMM1ECM2和EMM2CW视频、音频、数据码流

2.多密多密(Multicrypt)技术是指接收机对多个不同的条件接收系统的节目进行接收的技术或方式。多密方案的基本思想是将解扰、解密等条件接收功能集中于一个具有公共接口的插入式CA模块中。多密方式则要具有多个条件接收子模块才可接收多个不同的授权节目，这些节目采用不同的加扰算法。多密技术要求接收机采用CI接口，实现同一接收机接收不同CA系统加密节目的功能。DVB条件接收系统定义了一个公共接口CI（CommonInterface），如图7-2所示。图7-2DVB条件接收系统的公共接口图7-3多密方式的条件接收系统示意图7.1.4条件接收系统的安全技术（本章重点）图7-5基本加扰算法PRBSG1.密钥K图7-5中的K是密钥(Key)，又称为控制字(ControlWord，CW)或种子(Seed)；PRBSG是伪随机二进序列发生器；Ki是由CW产生的一个伪随机二进序列PRBS(PseudoRandomBinarySequenc)；中间的运算是模2加(异或，XOR)。由于根据PRBS有可能破译CW，因此在可能被破译之前要更换密钥CW。更换CW的频率要考虑同步时间和数据量。如果更换CW的间隔时间为t，那么当用户切换到某一个经过加扰的节目时，最多要等待t，平均要等待t／2，才能开始解扰。因此更换CW的间隔时间不能过长。但如果间隔时间太短，密钥的数据量会很大，也增加了产生密钥CW的难度。控制字的典型字长为60b，每隔2～10s改变一次。2.业务密钥SKCW是随加扰信息一起传送的，为防止被读取，必须对CW进行加密。对CW加密的密钥称为业务密钥SK(ServiceKey)。SK和用户的付费有关，实际上是用户的授权信息。例如用户一个月付费一次，SK也按月变化，没有付费的用户将得不到新密钥。在SK更换时期，新SK要通过寻址发给每个已付费的用户，用户的解扰器收到新SK后先暂时存放起来，然后在规定的时刻启用新SK。有时把新旧SK称为“奇密钥”和“偶密钥”。对CW加密的算法因CA系统的不同而不同。

3.个人分配密钥PDK为了保护SK，用每个解扰器或智能卡的地址码(ID)作为密钥来对SK进行加密，这个密钥称为个人分配密钥PDK(PersonalDistributionKey)或管理密钥MK(ManagementKey)。CW、SK和PDK构成了CA系统的三级密钥体制。对广播数据、CW和SK的保护采用的都是软件技术，对PDK的保护不仅需要软件技术，还需要硬件技术。下面以智能卡为例介绍保护PDK的技术。7.2条件接收系统的工作原理条件接收系统由加扰器、解扰器、加密器、控制字产生器、用户授权系统、用户管理系统和接收机中的条件接收子系统等部分组成，如图7-6所示。

图7-6条件接收系统方框图可以看出整个DVB条件接收系统的安全性得到了三层保护：第一层保护是用控制字CW对复用器输出的图像、声音和数据信号TS流进行加扰，使其在接收端不经过解扰就不能正常收看和收听；第二层保护是用业务密钥SK对控制字加密，这样即使控制字在传送给用户的过程中被盗，偷盗者也无法对加密后的控制字进行解密；第三层保护是用PDK对业务密钥加密，非授权用户即使得到业务密钥，也不能轻易解密。解不出业务密钥就解不出正确的控制字，没有正确的控制字就无法解出并获得正常信号的TS流。7.3国产条件接收系统摆在我们面前的问题：1、CA产品是涉及国家信息安全的核心设备；2、CA系统的安全性是由设备厂商保证的；3、CA系统本身是不开放的；4、我国不可能大范围使用黑箱式的国外设备。7.3.1中视联条件接收系统

1.ChinaCrypt可提供多种灵活的授权方式ChinaCrypt的授权方式主要有：(1)节目定期预订方式：有一定期限的授权，期限从一周到一年。定期预订的服务通常用于收看一个特定的加密电视频道。可以细分为分类分级方式和节目组合方式。(2)按次付费PPV(PayPerView)方式：以事件为基础，用户通过电话预订节目，也称节目分次预订。(3)立即按次付费IPPV(ImpulsePPV)方式：最灵活的收看方式，节目购买完全是本地互动，无需提前打电话预订节目，也称为节目即时购买或立即付费电视。2.ChinaCrypt条件接收系统的基本性能(1)用户量大，支持多种硬件配置方案，采用模块化设计，适用于各种规模的收费电视运营，支持从几千到1000万的用户授权管理；CNCrypt支持2.5万用户，DtviaCrypt支持35万用户，SinoCrypt支持1000万以下用户，系统之间可以平滑升级。(2)支持多种系统备份（热插拔和双机热备份）和用户数据库备份方案（磁盘阵列、磁带机等）。(3)采用RSA算法(以三个发明者Rivest、Shamir、Adleman名字命名的一种非对称密码系统)处理用户的授权，密钥长度为512～2048b。采用专业加密机TRD(TamperResistantDevice)作为前端系统的核心，采用协处理器和专用算法电路的双CPU智能卡作为接收机CA系统的核心。(4)识别管理方便，每个智能卡中有多个算法和十多种密钥，用于各种条件下的用户授权和密钥管理，多个节目供应商或运营商可以共享一张智能卡。支持多种节目打包的工作方式以及灵活的收费方式，支持多达256种用户身份识别功能。(5)更新方便，可以动态地更新系统的密钥与算法，可经广播寻址发送电子邮件（E-Mail）和短信息(Meassage)，支持软件的空中下载和机顶盒软件的更新(CodeLoader)。(6)使用灵活，支持DVB通用接口，支持同密和多密工作方式，支持多种授权方式（全局、按组、单一）的授权管理，可提高寻址效率和安全保障；支持多种方式的预授权和任意设置的节目预览，可用日期开启/关闭授权。(7)控制灵活，支持一机一卡的配对工作方式，并支持单个的配对和解除；支持区域性限播和区域“点亮”，支持“家长控制”功能，支持“指纹技术”以及防止非法拷贝功能。(8)支持国标，支持统一管理，智能卡全国统一编号，分级授权的管理模式，支持4级用户授权。(9)结算方便，支持多种货币的结算，支持“电子钱包”及IPPV节目的本地交换和信用消费的功能。(10)扩展灵活，支持多种前端编码设备，支持多种中间件，包括MHP(MediaHomePlatform，媒体家庭平台)；支持简单网关管理协议SNMP（SimpleNetworkManagementProtocol），支持EPG和节目管理系统；可扩展的IP加密模块，包括安全网关SGW，加密编排器Scheduler。(11)容量大，可管理的节目数为16兆个；可管理的模拟频道数为40～200个；可管理的产品数为250～16000个；SMS请求处理速度为90000～720000/h；EMM刷新速度为20000000/h；批量冗余处理PPV授权数量可达40000000个。(12)寻址高效，对200万用户进行惟一寻址的循环时间仅仅需要415s，带宽仅需2.7Mb／s；在100万用户、每个用户可有30个授权的前提下，系统进行组寻址的循环时间仅仅需要750s，带宽仅需2.7Mb／s。3.ChinaCrypt系统的组成

图7-7ChinaCrypt条件接收系统的组成框图7.3.2永新同方条件接收系统

北京永新同方信息工程有限公司是由清华永新信息工程有限公司和清华同方股份有限公司进行资产合并和业务合并后组成的高科技企业。该公司自主研发的有条件接收系统已与国外Irdeto和NDS的产品经过同密测试，也被中央电视台数字电视的前端系统选用，并于2001年由国家广电总局推荐为国内数字电视有条件接收系统的首选产品。永新同方CA系统的特点是：①采用同密技术；②省级以