CA加密
關鍵詞:同密,多密,數字電視, CA,條件接收系統
一、實現 CA 同密或多密的目的
機頂盒市場,市場運營就不會受制于 CA 廠商。
雖然 CA 同密從數字前端引入了競爭機制,但是終端市場的機頂盒仍然需要分別依賴前端不同的 CA 系統。即對用戶而言買了一種型號的機頂盒就必須接受與該型號匹配的某一 CA 廠商的服務,如果用戶想更換 CA 服務,就必須考慮重新更換機頂盒的成本,這樣對形成一個大而統一的消費用品市場造成了很大阻礙,基于以上因素從而引入了“多密”概念。多密的思想是將解擾模塊和 CA 控制等各 CA 廠商需要保密的功能集中于一個獨立的模塊中,該模塊與機頂盒通過 DVB 多密協議標準定義的 PCMCIA 通用接口 CI(Common Interface)相連及通訊,也就是業內經常提到的機卡分離的思想。
二、 CA 加/解密原理
條件接收系統由兩個相互的部分:加密頭端和解密接收控制終端組成,其中每一部分均是一個特殊的信息過程,采用三重密鑰傳輸機制。在數字傳輸系統中,三重密鑰分別是:
* 加解擾密鑰 CW ,它采用一個通用的算法將節目流信息流轉換成隨機序列的數字流。
* 業務密鑰 ECMK1 ,它對控制字進行加密,形成授權控制信息 ECM 。 ECM 信息插入傳送流,大約每幾秒鐘在傳送流中出現一次。
* 密鑰 EMMK1,它將用戶管理信息進行加密,形成授權管理信息 EMM,用戶管理信息由提供商的用戶管理系統形成用戶管理信息,包括用戶名稱、地址、智能卡號、帳單等等。EMM 大約每 8~10 秒插入傳送流一次。
1] 前端加密的信息流程是從上到下的:控制字發生器按一定時序隨機產生加解擾密鑰 CW,CW 分別傳送到加擾器和 CA 系統的控制字加密生成器(ECMG),加擾器按通用加擾算法實時加擾視/音頻明流, ECMG 將 CW 以及 AC(訪問控制條件)信息用 CA 廠商的私有算法加密生成 ECM 進復用器。另外 CA 系統將用戶管理信息(如:用戶購買的頻道信息、有效時間等)用授權密鑰加密生成器(EMMG)加密生成 EMM 進復用器。
2] 機頂盒的解密信息流程則是上面過程的逆過程(從下到上):機頂盒先根據智能卡上存儲的 EMM 密鑰解出流中的 EMM,根據該用戶的授權信息判斷用戶在當前時間點是否有權利收看該頻道;如果有授權,機頂盒才繼續下一步,即根據智能卡上存儲的 ECM 密鑰解出流中的 ECM ;最后將 ECM 中包含的 CW 傳送給解擾器還原出視/音頻明流。
三、同密原理及實現
在實現同密的頭端系統中,每套 CA 系統都會獨立生成一套 ECM 與 EMM,同密集成涉及這些信息流的產生及協調問題。具體同密系統結構圖如下:
1.授權控制信息 (ECM's)
* 當系統起動時,擾碼器( Scrambler )自動配置并建立與不同 CAS 的連接;* 控制字發生器 (CWG) ,按照循環周期向所有 CAS 發出每套節目的控制字 (CW) ;
* 每套 CAS 的 ECMG 輪流向擾碼器發出回復授權控制信息 ECM ,并由同密同步器 (SCS) 注入到傳輸流中。如果使用第三方的加擾設備,多方還要對通信交換的 AC (訪問標準)進行事前規劃。
* 如果要實現按時段加密功能(如: IPPV ),則需要采用 ACG 動態生成 AC 條件,通過
EIS 傳送加擾組條件完成自動控制。
2.授權管理信息 (EMM's)
* 每套 CAS 發出 EMM 時有兩種模式: 持續背景模式 ( 面向全網 ) 和點播模式 ( 面向新的授權 ) ;* 每套 CAS 由各自的 EMMG 生成 EMM 并注入到傳輸流中, EMM 上有所屬 CA 的標記。
* EMM 的生成只與每套 CAS 相連的 SMS 信息相關,相對比較獨立,可以采用私有數據插入的方式(raw data)注入復用器,只要在 CAT 表中指明相應 CAS 的 EMM 的 PID 值即可。
3. DVB 服務信息 (SI)
* 必須在盡早時期確定服務信息發送方式,主要包括 SDT 、 EIT 、 BAT 的發送以及與各 CAS 的接口信息交換;* 服務信息可在多個位置產生:復用器、位于復用器后面的擾碼器內或第三方 SI 表格生成器。對于涉及多家廠商的復雜系統,建議由系統集成商提供第三方 SI 表格生成器,以避免不同 CA 廠商出于自身利益相互推卸集成責任。如下圖所示:
4.接口連接
* DVB 同密構件中的接口是基于標準的 TCP/IP 連接,通過 TLV ( Type Length Value )數據結構交換信息及相關參數;* 通訊方式主要有兩種: TP 和 SECT
* 數據輸入有三種方式: Transport Packers , MPEG sections , raw data(未加工數據)
5. PSI 表格規范
每一個 ECM 都需要由 PMT 表指明其各自在流中的 PID ,同時每一個 EMM 也同樣需要由CAT 表指明其各自在流中的 PID 值。如下圖所示:
一般情況下,同密集成中 PMT 表都是由復用器產生的,而 CAT 表可以由 CA 廠商協商由一家 CA 系統來發送,其 CAT 表生成器中包含其它 CA 的相關信息。由于 CA 廠商間的利益沖突,如果由某一家 CA 廠商來主導發送關鍵的表格,就會造成其它 CA 系統依附與這家CA,形成主從關系,導致不公平競爭。因此大多數情況,由第三方的復用器生成 CAT 表就可以做到相對比較中立。
[PMT 中要求插入的 CA 信息]
* 在 PMT 表中包含各個 CA 的標識號 CA_system_id ,比如: : 6143 DVN JetCAS , 256Mediaguard, and 65535 Irdeto
PMT:
另外每一種 CA 還可以分別設置各種 ECM Parameter,舉例列表如下:
[CAT 中要求插入的 CA 信息]
CAT:
同密技術小結
實際上,兩個 CA 系統進行同密集成時,大量工作集中在其中的兩個主要模塊上,即 ECMG 和 EMMG , ECMG 是通過 ECM<=>SCS 標準接口與復用器進行連接通訊的,而 EMMG 是通過 EMM<=> MUX 標準接口與復用器連接的。同密時, SCS( 同步同密處理器 ) 模塊起到非常重要的作用,它負責將加擾控制字傳送給 ECMG ,并從 ECMG 獲取 AC( 訪問控制 ) 條件,同時負責調整各個 ECM 消息之間的時序,控制 ECM 與 CW 之間的同步關系等。對于一些增強型的 SCS,還具有對 CA 加擾組的控制和管理功能,可以通過標準的 EIS<=>SCS 接口與 EIS(時間調度器)連接并完成對加擾組的自動控制。與 CA 系統密切相關的 SCS 和 CWG(控制字生成器)通常被放在復用/加擾器中,當然也可以單獨放在一臺服務器上運行。
目前,實現同密的 CA 系統與復用/加擾器的連接通常有兩種控制方式,一種是采用固定的AC(訪問控制)條件進行控制;另一種是采用動態的 AC 條件即通過 EIS 傳送加擾組條件完成自動控制。第一種情況,目前采用的比較多,也容易實現, AC 條件可通過手工輸入方式存于復用/加擾器中,復用器僅需要提供標準的 ECM、 EMM 接口即可完成。而對于第二種情況,就比較復雜了,首先需要復用/加擾器必須提供標準的 EIS 接口或者有專用 EIS 接口,同時要求 CA 系統也要有 EIS 生成模塊,從而增加了集成的難度,不過,用此種集成方式,可以實現 CA 系統與復用/加擾設備的自動連接和控制,為 CA 系統的復雜的功能及擴展功能的實現提供了良好的通道。
四、多密原理及實現
多密(Multicript)是指機頂盒加密系統的接口。也就是所謂的機卡分離,即同一廠家生產的機頂盒可以用于多種不同的加密系統,其優點是機頂盒的生產與運營商和加密廠商無關,機頂盒可以在商店直接銷售。
機卡分離方案要求機頂盒本身不存在與加密有關的軟硬件,機頂盒必須要有加密的統一接口。歐洲 DVB 標準使用的是公共接口 CI(Common Interface),美國使用的是 POD(Pointof Deployment)。由于機頂盒的制造與加密智能卡無關,這種方法也俗稱為"機卡分離"。公共接口使用 PCMCIA 卡,俗稱"大卡",而智能卡俗稱小卡。下圖為 DVB-CI 解決方案示意:
目前研究的實現方案主要有 3 種:
* 第一種是標準大卡方案,即基于 DVB-CI 標準的改良方案,是大卡套小卡方案,將與 CA 相關的私有內容集中在大卡中,將 CA 全部功能模塊化,與機頂盒徹底分離。采用 USB 代替 PCMCI ,可明顯降低成本,但與普及型機頂盒造價相比仍然太高。* 第二種是小卡方案,為增強 IC 卡的方案,將不同廠家的 CA 內核,由機頂盒轉移到 IC 卡中,解除 CA 軟件對機頂盒的制約。此方案要求 CA 廠商大幅度更改其 CA 軟件結構 , 同時也會增加 IC 卡成本。由于尚未有相應的標準,相應的工作量很大,另外目前小卡是否能完全完成大卡的所有工作也尚有待試驗。
* 第三種是軟多密方案,即軟硬分離的方案:采用統一標準的 API ,將機頂盒硬件與應用軟件隔離,以 " 裸機 " 方式制造機頂盒,以在線方式加載應用軟件(包括 CA ),機頂盒可移植多家 CA 模塊,用戶可以通過用不同的 IC 卡來啟用不同廠家的 CA 。目前天柏已經在自行研發 的 STB-1000-4C 型機頂盒上實現了該方案:通過在線下載器的方法,可以隨意在 DVN
JetCAS、 Nagra、 Irdeto 三種 CA 之間選擇切換。下圖為軟硬分離后的 CA 軟件結構圖:
總結
- 上一篇: ASP.NET 网页之间传递值
- 下一篇: 【黑苹果教程】Airport-miniP