CA加密
关键词:同密,多密,数字电视, CA,条件接收系统
一、实现 CA 同密或多密的目的
机顶盒市场,市场运营就不会受制于 CA 厂商。
虽然 CA 同密从数字前端引入了竞争机制,但是终端市场的机顶盒仍然需要分别依赖前端不同的 CA 系统。即对用户而言买了一种型号的机顶盒就必须接受与该型号匹配的某一 CA 厂商的服务,如果用户想更换 CA 服务,就必须考虑重新更换机顶盒的成本,这样对形成一个大而统一的消费用品市场造成了很大阻碍,基于以上因素从而引入了“多密”概念。多密的思想是将解扰模块和 CA 控制等各 CA 厂商需要保密的功能集中于一个独立的模块中,该模块与机顶盒通过 DVB 多密协议标准定义的 PCMCIA 通用接口 CI(Common Interface)相连及通讯,也就是业内经常提到的机卡分离的思想。
二、 CA 加/解密原理
条件接收系统由两个相互的部分:加密头端和解密接收控制终端组成,其中每一部分均是一个特殊的信息过程,采用三重**传输机制。在数字传输系统中,三重**分别是:
* 加解扰** CW,它采用一个通用的算法将节目流信息流转换成随机序列的数字流。
* 业务** ECMK1,它对控制字进行加密,形成授权控制信息 ECM。 ECM 信息插入传送流,大约每几秒钟在传送流中出现一次。
* ** EMMK1,它将用户管理信息进行加密,形成授权管理信息 EMM,用户管理信息由提供商的用户管理系统形成用户管理信息,包括用户名称、地址、智能卡号、帐单等等。EMM 大约每 8~10 秒插入传送流一次。
1] 前端加密的信息流程是从上到下的:控制字发生器按一定时序随机产生加解扰** CW,CW 分别传送到加扰器和 CA 系统的控制字加密生成器(ECMG),加扰器按通用加扰算法实时加扰视/音频明流, ECMG 将 CW 以及 AC(访问控制条件)信息用 CA 厂商的私有算法加密生成 ECM 进复用器。另外 CA 系统将用户管理信息(如:用户购买的频道信息、有效时间等)用授权**加密生成器(EMMG)加密生成 EMM 进复用器。
2] 机顶盒的解密信息流程则是上面过程的逆过程(从下到上):机顶盒先根据智能卡上存储的 EMM **解出流中的 EMM,根据该用户的授权信息判断用户在当前时间点是否有权利收看该频道;如果有授权,机顶盒才继续下一步,即根据智能卡上存储的 ECM **解出流中的 ECM ;最后将 ECM 中包含的 CW 传送给解扰器还原出视/音频明流。
三、同密原理及实现
在实现同密的头端系统中,每套 CA 系统都会独立生成一套 ECM 与 EMM,同密集成涉及这些信息流的产生及协调问题。具体同密系统结构图如下:
1.授权控制信息 (ECM's)
* 当系统起动时,扰码器(Scrambler)自动配置并建立与不同 CAS 的连接;* 控制字发生器 (CWG),按照循环周期向所有 CAS 发出每套节目的控制字(CW) ;
* 每套 CAS 的 ECMG 轮流向扰码器发出回复授权控制信息 ECM,并由同密同步器(SCS)注入到传输流中。如果使用第三方的加扰设备,多方还要对通信交换的 AC(访问标准)进行事前规划。
* 如果要实现按时段加密功能(如: IPPV),则需要采用 ACG 动态生成 AC 条件,通过
EIS 传送加扰组条件完成自动控制。
2.授权管理信息 (EMM's)
* 每套 CAS 发出 EMM 时有两种模式: 持续背景模式(面向全网) 和点播模式 (面向新的授权);* 每套 CAS 由各自的 EMMG 生成 EMM 并注入到传输流中,EMM 上有所属 CA 的标记。
* EMM 的生成只与每套 CAS 相连的 SMS 信息相关,相对比较独立,可以采用私有数据插入的方式(raw data)注入复用器,只要在 CAT 表中指明相应 CAS 的 EMM 的 PID 值即可。
3. DVB 服务信息 (SI)
* 必须在尽早时期确定服务信息发送方式,主要包括 SDT、 EIT、 BAT 的发送以及与各 CAS的接口信息交换;* 服务信息可在多个位置产生:复用器、位于复用器后面的扰码器内或第三方 SI 表格生成器。对于涉及多家厂商的复杂系统,建议由系统集成商提供第三方 SI 表格生成器,以避免不同 CA 厂商出于自身利益相互推卸集成责任。如下图所示:
4.接口连接
* DVB 同密构件中的接口是基于标准的 TCP/IP 连接,通过 TLV(Type Length Value)数据结构交换信息及相关参数;* 通讯方式主要有两种: TP 和 SECT
* 数据输入有三种方式: Transport Packers , MPEG sections , raw data(未加工数据)
5. PSI 表格规范
每一个 ECM 都需要由 PMT 表指明其各自在流中的 PID,同时每一个 EMM 也同样需要由CAT 表指明其各自在流中的 PID 值。如下图所示:
一般情况下,同密集成中 PMT 表都是由复用器产生的,而 CAT 表可以由 CA 厂商协商由一家 CA 系统来发送,其 CAT 表生成器中包含其它 CA 的相关信息。由于 CA 厂商间的利益冲突,如果由某一家 CA 厂商来主导发送关键的表格,就会造成其它 CA 系统依附与这家CA,形成主从关系,导致不公平竞争。因此大多数情况,由第三方的复用器生成 CAT 表就可以做到相对比较中立。
[PMT 中要求插入的 CA 信息]
* 在 PMT 表中包含各个 CA 的标识号 CA_system_id,比如: : 6143 DVN JetCAS , 256Mediaguard, and 65535 Irdeto
PMT:
另外每一种 CA 还可以分别设置各种 ECM Parameter,举例列表如下:
[CAT 中要求插入的 CA 信息]
CAT:
同密技术小结
实际上,两个 CA 系统进行同密集成时,大量工作集中在其中的两个主要模块上,即 ECMG和 EMMG, ECMG 是通过 ECM<=>SCS 标准接口与复用器进行连接通讯的,而 EMMG 是通过 EMM<=> MUX 标准接口与复用器连接的。同密时, SCS(同步同密处理器)模块起到非常重要的作用,它负责将加扰控制字传送给 ECMG,并从 ECMG 获取 AC(访问控制)条件,同时负责调整各个 ECM 消息之间的时序,控制 ECM 与 CW 之间的同步关系等。对于一些增强型的 SCS,还具有对 CA 加扰组的控制和管理功能,可以通过标准的 EIS<=>SCS 接口与 EIS(时间调度器)连接并完成对加扰组的自动控制。与 CA 系统密切相关的 SCS 和 CWG(控制字生成器)通常被放在复用/加扰器中,当然也可以单独放在一台服务器上运行。
目前,实现同密的 CA 系统与复用/加扰器的连接通常有两种控制方式,一种是采用固定的AC(访问控制)条件进行控制;另一种是采用动态的 AC 条件即通过 EIS 传送加扰组条件完成自动控制。第一种情况,目前采用的比较多,也容易实现, AC 条件可通过手工输入方式存于复用/加扰器中,复用器仅需要提供标准的 ECM、 EMM 接口即可完成。而对于第二种情况,就比较复杂了,首先需要复用/加扰器必须提供标准的 EIS 接口或者有专用 EIS 接口,同时要求 CA 系统也要有 EIS 生成模块,从而增加了集成的难度,不过,用此种集成方式,可以实现 CA 系统与复用/加扰设备的自动连接和控制,为 CA 系统的复杂的功能及扩展功能的实现提供了良好的通道。
四、多密原理及实现
多密(Multicript)是指机顶盒加密系统的接口。也就是所谓的机卡分离,即同一厂家生产的机顶盒可以用于多种不同的加密系统,其优点是机顶盒的生产与运营商和加密厂商无关,机顶盒可以在商店直接销售。
机卡分离方案要求机顶盒本身不存在与加密有关的软硬件,机顶盒必须要有加密的统一接口。欧洲 DVB 标准使用的是公共接口 CI(Common Interface),美国使用的是 POD(Pointof Deployment)。由于机顶盒的制造与加密智能卡无关,这种方法也俗称为"机卡分离"。公共接口使用 PCMCIA 卡,俗称"大卡",而智能卡俗称小卡。下图为 DVB-CI 解决方案示意:
目前研究的实现方案主要有 3 种:
* 第一种是标准大卡方案,即基于 DVB-CI 标准的改良方案,是大卡套小卡方案,将与 CA相关的私有内容集中在大卡中,将 CA 全部功能模块化,与机顶盒彻底分离。采用 USB 代替 PCMCI,可明显降低成本,但与普及型机顶盒造价相比仍然太高。* 第二种是小卡方案,为增强 IC 卡的方案,将不同厂家的 CA 内核,由机顶盒转移到 IC 卡中,解除 CA 软件对机顶盒的制约。此方案要求 CA 厂商大幅度更改其 CA 软件结构, 同时也会增加 IC 卡成本。由于尚未有相应的标准,相应的工作量很大,另外目前小卡是否能完全完成大卡的所有工作也尚有待试验。
* 第三种是软多密方案,即软硬分离的方案:采用统一标准的 API,将机顶盒硬件与应用软件隔离,以"裸机"方式制造机顶盒,以在线方式加载应用软件(包括 CA),机顶盒可移植多家 CA 模块,用户可以通过用不同的 IC 卡来启用不同厂家的 CA。目前天柏已经在自行研发的 STB-1000-4C 型机顶盒上实现了该方案:通过在线下载器的方法,可以随意在 DVN
JetCAS、 Nagra、 Irdeto 三种 CA 之间选择切换。下图为软硬分离后的 CA 软件结构图: