1、第第9章章 數(shù)字電視的條件接收數(shù)字電視的條件接收 CA系統(tǒng)的組成及工作原理系統(tǒng)的組成及工作原理 MPEG-2以及以及DVB標(biāo)準(zhǔn)中有關(guān)標(biāo)準(zhǔn)中有關(guān)CA的規(guī)定的規(guī)定 同密和多密模式同密和多密模式9.1 CA系統(tǒng)的組成及工作原理系統(tǒng)的組成及工作原理n用戶管理系統(tǒng)用戶管理系統(tǒng)n節(jié)目信息管理系統(tǒng)節(jié)目信息管理系統(tǒng)n用戶授權(quán)系統(tǒng)用戶授權(quán)系統(tǒng)n加密系統(tǒng)加密系統(tǒng)n加擾系統(tǒng)加擾系統(tǒng)n業(yè)務(wù)信息生成系統(tǒng)業(yè)務(wù)信息生成系統(tǒng)n智能卡和解擾系統(tǒng)智能卡和解擾系統(tǒng) CACA系統(tǒng)是一個(gè)綜合性的系統(tǒng)，集成了數(shù)據(jù)系統(tǒng)是一個(gè)綜合性的系統(tǒng)，集成了數(shù)據(jù)加密和解密、加擾和解擾、智能卡等技術(shù)，同時(shí)加密和解密、加擾和解擾、智能卡等技術(shù)，同時(shí)也涉及到

2、用戶管理、節(jié)目管理、收費(fèi)管理等信息也涉及到用戶管理、節(jié)目管理、收費(fèi)管理等信息應(yīng)用管理技術(shù)，能實(shí)現(xiàn)各項(xiàng)數(shù)字電視廣播業(yè)務(wù)的應(yīng)用管理技術(shù)，能實(shí)現(xiàn)各項(xiàng)數(shù)字電視廣播業(yè)務(wù)的授權(quán)管理和接收控制。授權(quán)管理和接收控制。CACA系統(tǒng)主要由用戶管理系系統(tǒng)主要由用戶管理系統(tǒng)、節(jié)目信息管理系統(tǒng)、統(tǒng)、節(jié)目信息管理系統(tǒng)、用戶授權(quán)系統(tǒng)、用戶授權(quán)系統(tǒng)、加擾加擾/ /解擾器、加密解擾器、加密/ /解密器、控制字發(fā)生器、偽隨機(jī)解密器、控制字發(fā)生器、偽隨機(jī)二進(jìn)制位序列發(fā)生器（二進(jìn)制位序列發(fā)生器（PRBSGPRBSG）、智能卡等部分）、智能卡等部分組成，其工作原理方框圖如圖組成，其工作原理方框圖如圖9-19-1所示。所示。圖圖 9-1

3、 9-1 CA系統(tǒng)原理方框圖系統(tǒng)原理方框圖 復(fù)復(fù)用用器器加擾器加擾器調(diào)調(diào)制制器器功功 放放解解調(diào)調(diào)器器解擾器解擾器解解復(fù)復(fù)用用控 制控 制字 加字 加密 器密 器A業(yè)務(wù)業(yè)務(wù)密鑰密鑰加密加密控制控制字發(fā)字發(fā)生器生器用戶用戶授權(quán)授權(quán)系統(tǒng)系統(tǒng)用戶用戶管理管理系統(tǒng)系統(tǒng)視頻、視頻、音頻、音頻、數(shù)據(jù)數(shù)據(jù)EMM信道信道PRBSGECM智智能能卡卡授授權(quán)權(quán)帳單帳單支付支付SKCWPDKPRBSG控制控制字解字解密器密器ACWECM業(yè)務(wù)業(yè)務(wù)密鑰密鑰解密解密SKEMMPDK條件接收子系統(tǒng)條件接收子系統(tǒng)視頻、視頻、音頻、音頻、數(shù)據(jù)數(shù)據(jù) 用戶管理系統(tǒng)用戶管理系統(tǒng)（SMS）是支撐運(yùn)營和管理運(yùn)營的一個(gè)）是支撐運(yùn)營和管理運(yùn)

4、營的一個(gè)綜合業(yè)務(wù)平臺(tái)，是數(shù)字電視綜合業(yè)務(wù)平臺(tái)的一部分。實(shí)現(xiàn)綜合業(yè)務(wù)平臺(tái)，是數(shù)字電視綜合業(yè)務(wù)平臺(tái)的一部分。實(shí)現(xiàn)數(shù)字電視系統(tǒng)的用戶信息、業(yè)務(wù)信息、資源信息、用戶的數(shù)字電視系統(tǒng)的用戶信息、業(yè)務(wù)信息、資源信息、用戶的節(jié)目預(yù)訂信息、用戶授權(quán)信息、賬務(wù)計(jì)費(fèi)、客服等管理功節(jié)目預(yù)訂信息、用戶授權(quán)信息、賬務(wù)計(jì)費(fèi)、客服等管理功能，并根據(jù)業(yè)務(wù)需要提供與相關(guān)外部系統(tǒng)進(jìn)行互連的接口。能，并根據(jù)業(yè)務(wù)需要提供與相關(guān)外部系統(tǒng)進(jìn)行互連的接口。 SMS根據(jù)用戶訂購節(jié)目和收看節(jié)目的情況，一方面向根據(jù)用戶訂購節(jié)目和收看節(jié)目的情況，一方面向授權(quán)管理系統(tǒng)發(fā)出指令，決定哪些用戶可以被授權(quán)收看哪授權(quán)管理系統(tǒng)發(fā)出指令，決定哪些用戶可以被授權(quán)收

5、看哪些節(jié)目或接受哪些服務(wù)；另一方面向用戶發(fā)送帳單。些節(jié)目或接受哪些服務(wù)；另一方面向用戶發(fā)送帳單。 授權(quán)管理系統(tǒng)在用戶管理系統(tǒng)發(fā)出的指令控制下，產(chǎn)授權(quán)管理系統(tǒng)在用戶管理系統(tǒng)發(fā)出的指令控制下，產(chǎn)生出業(yè)務(wù)密鑰。生出業(yè)務(wù)密鑰。 節(jié)目信息管理系統(tǒng)節(jié)目信息管理系統(tǒng)的主要功能是為即將播出的節(jié)目建的主要功能是為即將播出的節(jié)目建立節(jié)目表。節(jié)目表包括頻道、日期和時(shí)間安排，也包括要立節(jié)目表。節(jié)目表包括頻道、日期和時(shí)間安排，也包括要播出的各個(gè)節(jié)目的播出的各個(gè)節(jié)目的CA信息。信息。9.1.1 用戶管理系統(tǒng)和節(jié)目信息管理系統(tǒng)用戶管理系統(tǒng)和節(jié)目信息管理系統(tǒng)條件接收系統(tǒng)發(fā)送端工作原理?xiàng)l件接收系統(tǒng)發(fā)送端工作原理 n用控制字對用

6、控制字對TS流進(jìn)行加擾流進(jìn)行加擾n根據(jù)用戶要求形成授權(quán)信息根據(jù)用戶要求形成授權(quán)信息n對授權(quán)信息處理生成對授權(quán)信息處理生成EMMn對控制字進(jìn)行加密生成對控制字進(jìn)行加密生成ECMn加擾后碼流、加擾后碼流、ECM、EMM復(fù)用輸出復(fù)用輸出9.1.2 加擾、解擾和控制字加擾、解擾和控制字 所謂加擾就是對傳送流（所謂加擾就是對傳送流（TS）中的視頻碼流、）中的視頻碼流、音頻碼流或輔助數(shù)據(jù)進(jìn)行有規(guī)律的擾亂，使得音頻碼流或輔助數(shù)據(jù)進(jìn)行有規(guī)律的擾亂，使得未授權(quán)用戶無法對視頻未授權(quán)用戶無法對視頻/音頻碼流進(jìn)行解碼，從音頻碼流進(jìn)行解碼，從而防止節(jié)目的自由接收。那么，加擾是如何實(shí)而防止節(jié)目的自由接收。那么，加擾是如何

7、實(shí)現(xiàn)的呢，授權(quán)用戶又是如何通過解擾恢復(fù)出加現(xiàn)的呢，授權(quán)用戶又是如何通過解擾恢復(fù)出加擾前的原始數(shù)據(jù)？擾前的原始數(shù)據(jù)？ 圖圖 9-29-2 流加密示意圖流加密示意圖PRBSGSBIB輸入輸入輸出輸出CWKB由于加擾對象是數(shù)據(jù)流，而且要求實(shí)時(shí)加擾，因此，要采由于加擾對象是數(shù)據(jù)流，而且要求實(shí)時(shí)加擾，因此，要采用能夠滿足實(shí)時(shí)性要求的流加密算法用能夠滿足實(shí)時(shí)性要求的流加密算法, 如圖如圖9-2所示。圖中所示。圖中PRBSG是偽隨機(jī)二進(jìn)序列發(fā)生器；是偽隨機(jī)二進(jìn)序列發(fā)生器； KB是由是由CW產(chǎn)生的一產(chǎn)生的一個(gè)偽隨機(jī)二進(jìn)序列個(gè)偽隨機(jī)二進(jìn)序列(PRBS)，IB是要加密的數(shù)據(jù)流，是要加密的數(shù)據(jù)流，SB是加是加密后的

8、數(shù)據(jù)流。中間的運(yùn)算是模密后的數(shù)據(jù)流。中間的運(yùn)算是模2加加(異或，異或，XOR)。 可以證明，如果可以證明，如果KB是隨機(jī)的，那么在攻擊者（黑是隨機(jī)的，那么在攻擊者（黑客）只知道客）只知道SB的情況下，這個(gè)加密算法是不可破譯的。的情況下，這個(gè)加密算法是不可破譯的。但是隨機(jī)的但是隨機(jī)的KB要和要和IB有相同長度的比特流，這實(shí)際上有相同長度的比特流，這實(shí)際上是不可行的。為此，設(shè)計(jì)了由一個(gè)控制字（是不可行的。為此，設(shè)計(jì)了由一個(gè)控制字（Control Word，CW）控制的偽隨機(jī)二進(jìn)制位序列發(fā)生器）控制的偽隨機(jī)二進(jìn)制位序列發(fā)生器（PRBSG），產(chǎn)生一個(gè)好像是隨機(jī)的序列，稱為偽隨），產(chǎn)生一個(gè)好像是隨機(jī)的序

9、列，稱為偽隨機(jī)二進(jìn)制位序列（機(jī)二進(jìn)制位序列（PRBS），作為密鑰比特流。所以，），作為密鑰比特流。所以，加擾就是在發(fā)送端將原始數(shù)據(jù)流與加擾就是在發(fā)送端將原始數(shù)據(jù)流與PRBS進(jìn)行模進(jìn)行模2加運(yùn)加運(yùn)算，得到被加擾的數(shù)據(jù)流。在接收端，用一個(gè)和發(fā)送算，得到被加擾的數(shù)據(jù)流。在接收端，用一個(gè)和發(fā)送端結(jié)構(gòu)相同的端結(jié)構(gòu)相同的PRBSG，只要收、發(fā)兩端間的，只要收、發(fā)兩端間的PRBS同同步（即用同一個(gè)初始值啟動(dòng)），則接收端的步（即用同一個(gè)初始值啟動(dòng)），則接收端的PRBSG產(chǎn)產(chǎn)生的生的PRBS就和發(fā)送端的完全一樣。用這個(gè)就和發(fā)送端的完全一樣。用這個(gè)PRBS作為作為解擾序列，與被加擾的數(shù)據(jù)流做同樣的模解擾序列，與被

10、加擾的數(shù)據(jù)流做同樣的模2加運(yùn)算，就加運(yùn)算，就可恢復(fù)出加擾前的原始數(shù)據(jù)流。由此可見，解擾的關(guān)可恢復(fù)出加擾前的原始數(shù)據(jù)流。由此可見，解擾的關(guān)鍵是要得到用于同步收、發(fā)兩端鍵是要得到用于同步收、發(fā)兩端PRBS的初始值（是一的初始值（是一個(gè)隨機(jī)數(shù)），這個(gè)初始值就稱為個(gè)隨機(jī)數(shù)），這個(gè)初始值就稱為“控制字控制字”（CW）。）。 MPEG-2標(biāo)準(zhǔn)沒有推薦任何具體的加擾算法，只標(biāo)準(zhǔn)沒有推薦任何具體的加擾算法，只對傳送流中運(yùn)用的加擾方案規(guī)定了框架。但是，對傳送流中運(yùn)用的加擾方案規(guī)定了框架。但是，世界范圍內(nèi)主要的數(shù)字電視標(biāo)準(zhǔn)已經(jīng)規(guī)定或推世界范圍內(nèi)主要的數(shù)字電視標(biāo)準(zhǔn)已經(jīng)規(guī)定或推薦了一些有效的算法，例如，歐洲的薦了一些

11、有效的算法，例如，歐洲的DVB規(guī)定規(guī)定了通用加擾（了通用加擾（common scrambling，64位控制字）位控制字）技術(shù)規(guī)范，美國的技術(shù)規(guī)范，美國的ATSC選擇了三重選擇了三重DES算法算法（168位控制字），也能實(shí)施數(shù)據(jù)加密標(biāo)準(zhǔn)位控制字），也能實(shí)施數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，DES）算法，日）算法，日本使用了松下公司提出的一種加擾算法。而一本使用了松下公司提出的一種加擾算法。而一些前端制造商建議使用有專利權(quán)的方案。但很些前端制造商建議使用有專利權(quán)的方案。但很顯然，為了增強(qiáng)前端及終端的互操作性和降低顯然，為了增強(qiáng)前端及終端的互操作性和降低機(jī)頂盒的成本，

12、使用標(biāo)準(zhǔn)的或推薦的算法是最機(jī)頂盒的成本，使用標(biāo)準(zhǔn)的或推薦的算法是最好的方式。好的方式。 DVB通用加擾算法指定了通用加擾算法指定了塊（分組）加密塊（分組）加密和和流流（序列）加密（序列）加密兩種不同的加密算法。塊加密算法利用兩種不同的加密算法。塊加密算法利用可逆密碼分組鏈模式對可逆密碼分組鏈模式對8字節(jié)數(shù)據(jù)的單位塊進(jìn)行加密，字節(jié)數(shù)據(jù)的單位塊進(jìn)行加密，流加密是用一個(gè)流加密是用一個(gè)PRBSG產(chǎn)生的數(shù)據(jù)來進(jìn)行加密，如圖產(chǎn)生的數(shù)據(jù)來進(jìn)行加密，如圖9-3所示。所示。 首先將待加擾的首先將待加擾的TS包中的有效凈荷數(shù)據(jù)按每塊包中的有效凈荷數(shù)據(jù)按每塊8字字節(jié)分為字節(jié)塊，如果該節(jié)分為字節(jié)塊，如果該TS包沒有適

13、配字段，則除包頭包沒有適配字段，則除包頭以外的以外的184字節(jié)可分成字節(jié)可分成23個(gè)字節(jié)塊。采用可逆密碼分組個(gè)字節(jié)塊。采用可逆密碼分組鏈加密方法對這鏈加密方法對這23個(gè)字節(jié)塊進(jìn)行塊加密，然后再用控個(gè)字節(jié)塊進(jìn)行塊加密，然后再用控制字對加密后的塊（這里稱之為中間塊）進(jìn)行流加密，制字對加密后的塊（這里稱之為中間塊）進(jìn)行流加密，也就是用控制字也就是用控制字CW產(chǎn)生產(chǎn)生PRBS對有關(guān)數(shù)據(jù)進(jìn)行加密。對有關(guān)數(shù)據(jù)進(jìn)行加密。其中塊加密所用到的密鑰其中塊加密所用到的密鑰Key是控制字通過不同的調(diào)是控制字通過不同的調(diào)度算法得到的數(shù)據(jù)密鑰?；谶@種算法，解擾算法需度算法得到的數(shù)據(jù)密鑰?；谶@種算法，解擾算法需要從流解

14、密開始，然后進(jìn)行塊解密最終達(dá)到對要從流解密開始，然后進(jìn)行塊解密最終達(dá)到對TS包的包的有效凈荷數(shù)據(jù)進(jìn)行解擾。有效凈荷數(shù)據(jù)進(jìn)行解擾。圖圖 9-3 DVB9-3 DVB通用加擾算法示意圖通用加擾算法示意圖PB1PB2PB22PB23IB1IB2IB22IB23SB1SB2SB22SB23KeyCW明文塊明文塊(184Byte)塊加密塊加密中間塊中間塊流加密流加密加密塊加密塊流加密流加密反向密碼分組鏈接加密反向密碼分組鏈接加密9.1.3 控制字加密與傳輸控制控制字加密與傳輸控制 從前面加擾與解擾原理可以看出，在接收從前面加擾與解擾原理可以看出，在接收端只要能及時(shí)解出控制字，則采用相同解擾算端只要能及時(shí)

15、解出控制字，則采用相同解擾算法就能恢復(fù)出原始數(shù)據(jù)。因此，法就能恢復(fù)出原始數(shù)據(jù)。因此，CA系統(tǒng)的關(guān)鍵系統(tǒng)的關(guān)鍵是采用多重密鑰傳輸機(jī)制將控制字安全地傳送是采用多重密鑰傳輸機(jī)制將控制字安全地傳送到經(jīng)過授權(quán)的用戶端。到經(jīng)過授權(quán)的用戶端。 通常，通常，CA系統(tǒng)采用三重密鑰傳輸機(jī)制，它系統(tǒng)采用三重密鑰傳輸機(jī)制，它們分別是們分別是控制字控制字（CW） 、業(yè)務(wù)密鑰業(yè)務(wù)密鑰（SK）和）和個(gè)人分配密鑰個(gè)人分配密鑰（PDK）。）。 1.1.控制字控制字CW 控制字控制字(Control Word，CW) 又稱密鑰又稱密鑰(Key)。欲加擾的。欲加擾的TS包先用包先用CW進(jìn)行塊加密和進(jìn)行塊加密和流加密。因?yàn)楦鶕?jù)流加密

16、。因?yàn)楦鶕?jù)PRBS有可能破譯有可能破譯CW，所，所以在可能被破譯之前要更換以在可能被破譯之前要更換控制字控制字CW。更換。更換CW的頻率要考慮同步時(shí)間和數(shù)據(jù)量。如果更的頻率要考慮同步時(shí)間和數(shù)據(jù)量。如果更換換CW的的時(shí)間時(shí)間間隔為間隔為t，那么當(dāng)用戶切換到某一，那么當(dāng)用戶切換到某一個(gè)經(jīng)過加擾的節(jié)目時(shí)，最多要等待個(gè)經(jīng)過加擾的節(jié)目時(shí)，最多要等待t，平均要，平均要等待等待t2，才能開始解擾。因此更換，才能開始解擾。因此更換CW的的時(shí)時(shí)間間間隔不能過長。如果間隔時(shí)間太短，間隔不能過長。如果間隔時(shí)間太短，則控制則控制字字的數(shù)據(jù)量會(huì)很大，也增加了產(chǎn)生的數(shù)據(jù)量會(huì)很大，也增加了產(chǎn)生CW的難度。的難度。通常控制字

17、每隔通常控制字每隔2 10秒就要更換一次。秒就要更換一次。 2.2.業(yè)務(wù)密鑰業(yè)務(wù)密鑰SK 在具體應(yīng)用中，對在具體應(yīng)用中，對CW進(jìn)行加密的密鑰可以按進(jìn)行加密的密鑰可以按網(wǎng)絡(luò)運(yùn)營商要求經(jīng)常加以改變，通常由服務(wù)提供網(wǎng)絡(luò)運(yùn)營商要求經(jīng)常加以改變，通常由服務(wù)提供商產(chǎn)生用來控制其提供的業(yè)務(wù)，所以把它稱為業(yè)商產(chǎn)生用來控制其提供的業(yè)務(wù)，所以把它稱為業(yè)務(wù)密鑰（務(wù)密鑰（SK）。）。 SK和用戶的付費(fèi)有關(guān)，實(shí)際上就是用戶的授和用戶的付費(fèi)有關(guān)，實(shí)際上就是用戶的授權(quán)信息。用戶一個(gè)月付費(fèi)一次，權(quán)信息。用戶一個(gè)月付費(fèi)一次，SK也按月變化，也按月變化，沒有付費(fèi)的用戶將得不到新密鑰。沒有付費(fèi)的用戶將得不到新密鑰。 在在SK更換時(shí)

18、期新更換時(shí)期新SK要通過尋址發(fā)給每個(gè)已要通過尋址發(fā)給每個(gè)已付費(fèi)的用戶，用戶的解擾器收到新付費(fèi)的用戶，用戶的解擾器收到新SK后先暫時(shí)存后先暫時(shí)存放起來，然后在規(guī)定的時(shí)刻啟用新放起來，然后在規(guī)定的時(shí)刻啟用新SK。有時(shí)把新。有時(shí)把新舊舊SK稱為稱為“奇密鑰奇密鑰”和和“偶密鑰偶密鑰”。對。對CW加密加密的算法因的算法因CA系統(tǒng)而不同。系統(tǒng)而不同。 用業(yè)務(wù)密鑰（用業(yè)務(wù)密鑰（SK）加密處理后的控制字放在）加密處理后的控制字放在授權(quán)控制消息（授權(quán)控制消息（Entitlement Control Messages，ECM）中傳送，）中傳送，ECM中還包括節(jié)目來源、時(shí)間、中還包括節(jié)目來源、時(shí)間、內(nèi)容分類和節(jié)目

19、價(jià)格等節(jié)目信息。內(nèi)容分類和節(jié)目價(jià)格等節(jié)目信息。 ECM要和已加擾的視頻、音頻或數(shù)據(jù)碼流要和已加擾的視頻、音頻或數(shù)據(jù)碼流復(fù)用在一起傳到接收端。復(fù)用在一起傳到接收端。 接收端在收到接收端在收到ECM后還必須用與發(fā)送端加后還必須用與發(fā)送端加密時(shí)所用的同一密鑰進(jìn)行解密才能得到控制字，密時(shí)所用的同一密鑰進(jìn)行解密才能得到控制字，所以，這個(gè)對控制字進(jìn)行加密的業(yè)務(wù)密鑰所以，這個(gè)對控制字進(jìn)行加密的業(yè)務(wù)密鑰SK也要也要由發(fā)端傳送過來。由發(fā)端傳送過來。 3.3.個(gè)人分配密鑰個(gè)人分配密鑰PDK 為了保護(hù)為了保護(hù)SK，用每個(gè)解擾器或智能卡的地址，用每個(gè)解擾器或智能卡的地址碼碼(CARD ID)作為密鑰來對作為密鑰來對S

20、K進(jìn)行加密，這個(gè)密進(jìn)行加密，這個(gè)密鑰稱為個(gè)人分配密鑰鑰稱為個(gè)人分配密鑰(PDK)。 用用PDK加密處理后的業(yè)務(wù)密鑰（加密處理后的業(yè)務(wù)密鑰（SK）放在授）放在授權(quán)管理消息（權(quán)管理消息（EMM）中傳送。）中傳送。EMM是一種授權(quán)是一種授權(quán)用戶對某種業(yè)務(wù)進(jìn)行解擾的信息，它包含了用戶用戶對某種業(yè)務(wù)進(jìn)行解擾的信息，它包含了用戶訂購節(jié)目信息，指定了用戶對業(yè)務(wù)的授權(quán)等級(jí)。訂購節(jié)目信息，指定了用戶對業(yè)務(wù)的授權(quán)等級(jí)。由于有多種收費(fèi)業(yè)務(wù)，如按次付費(fèi)收視（由于有多種收費(fèi)業(yè)務(wù)，如按次付費(fèi)收視（PPV）、）、即時(shí)按次付費(fèi)收視（即時(shí)按次付費(fèi)收視（IPPV）和）和VOD等，因此用戶等，因此用戶授權(quán)系統(tǒng)要對用戶在什么時(shí)間看，

21、看什么頻道節(jié)授權(quán)系統(tǒng)要對用戶在什么時(shí)間看，看什么頻道節(jié)目進(jìn)行授權(quán)。目進(jìn)行授權(quán)。 需要注意的是，需要注意的是，PDK和解擾器或者智能卡的和解擾器或者智能卡的編號(hào)編號(hào)(CARD NO)不是同一個(gè)概念。編號(hào)是公開的不是同一個(gè)概念。編號(hào)是公開的，PDK是絕對保密的。但是編號(hào)和是絕對保密的。但是編號(hào)和PDK之間有個(gè)之間有個(gè)映射關(guān)系。一個(gè)容量為一百萬用戶的映射關(guān)系。一個(gè)容量為一百萬用戶的CA系統(tǒng)用系統(tǒng)用20位長的編號(hào)就夠了，但是位長的編號(hào)就夠了，但是PDK需要更多的位數(shù)需要更多的位數(shù)以保證破譯的難度。以保證破譯的難度。 CW，SK和和PDK構(gòu)成了構(gòu)成了CA系統(tǒng)的三級(jí)密鑰系統(tǒng)的三級(jí)密鑰體制。對廣播數(shù)據(jù)、體制

22、。對廣播數(shù)據(jù)、CW和和SK的保護(hù)采用的都是的保護(hù)采用的都是軟件技術(shù)，對軟件技術(shù)，對PDK的保護(hù)不僅需要軟件技術(shù)，還的保護(hù)不僅需要軟件技術(shù)，還需要硬件技術(shù)，常用的有智能卡技術(shù)。需要硬件技術(shù)，常用的有智能卡技術(shù)。 9.1.4 加密算法加密算法 1.1.對稱密碼體系與非對稱密碼體系對稱密碼體系與非對稱密碼體系 對稱密碼體系對稱密碼體系( (秘密密鑰加密秘密密鑰加密) )的加密密鑰和解密密鑰的加密密鑰和解密密鑰相同，或者由其中的任意一個(gè)可以很容易地推導(dǎo)出另一個(gè)。相同，或者由其中的任意一個(gè)可以很容易地推導(dǎo)出另一個(gè)。 非對稱密碼體系（公開密鑰加密）把加密和解密的能非對稱密碼體系（公開密鑰加密）把加密和解密

23、的能力分開，加密和解密分別用兩個(gè)不同的密鑰實(shí)現(xiàn)，不可能力分開，加密和解密分別用兩個(gè)不同的密鑰實(shí)現(xiàn)，不可能由加密密鑰推導(dǎo)出解密密鑰，也不可能由解密密鑰推導(dǎo)出由加密密鑰推導(dǎo)出解密密鑰，也不可能由解密密鑰推導(dǎo)出加密密鑰。采用非對稱密碼體系的每個(gè)用戶都有一對選定加密密鑰。采用非對稱密碼體系的每個(gè)用戶都有一對選定的密鑰，其中一個(gè)是可以公開的，另一個(gè)由用戶自己秘密的密鑰，其中一個(gè)是可以公開的，另一個(gè)由用戶自己秘密保存。保存。 對稱密鑰方法比非對稱方法快得多。如對稱密鑰方法比非對稱方法快得多。如DESDES密碼在軟密碼在軟件實(shí)現(xiàn)時(shí)至少比非對稱密碼件實(shí)現(xiàn)時(shí)至少比非對稱密碼RSARSA快快100100倍，在專門

24、的硬件上倍，在專門的硬件上實(shí)現(xiàn)時(shí)可能快實(shí)現(xiàn)時(shí)可能快10 00010 000倍。倍。 2. DES 2. DES算法簡介算法簡介 DES（Data Encryption Standard）是）是1977年正式確年正式確定為美國國家標(biāo)準(zhǔn)的加密算法，它是對稱密碼體系中應(yīng)用定為美國國家標(biāo)準(zhǔn)的加密算法，它是對稱密碼體系中應(yīng)用最廣泛的算法之一，既可用于加密又可用于解密。最廣泛的算法之一，既可用于加密又可用于解密。DES密密碼是一種采用傳統(tǒng)加密方法的分組密碼。首先把輸入的數(shù)碼是一種采用傳統(tǒng)加密方法的分組密碼。首先把輸入的數(shù)據(jù)比特流以每據(jù)比特流以每64比特為一組進(jìn)行分組；然后以每一組作為比特為一組進(jìn)行分組；然

25、后以每一組作為加密單元，在加密單元，在16個(gè)子密鑰（每個(gè)子密鑰的長度為個(gè)子密鑰（每個(gè)子密鑰的長度為48比特）比特）的控制下進(jìn)行的控制下進(jìn)行16輪的非線性變換后輸出一組輪的非線性變換后輸出一組64比特長的密比特長的密文。這文。這16個(gè)子密鑰是由同一個(gè)個(gè)子密鑰是由同一個(gè)64比特的密鑰源比特的密鑰源K1、K2K64經(jīng)循環(huán)移位及置換選擇產(chǎn)生。而這經(jīng)循環(huán)移位及置換選擇產(chǎn)生。而這64比特的密鑰比特的密鑰源中只有源中只有56比特是隨機(jī)的，所有比特是隨機(jī)的，所有8的倍數(shù)位的倍數(shù)位K8、K16K64是奇偶校驗(yàn)位。也就是說是奇偶校驗(yàn)位。也就是說DES的密鑰總量為的密鑰總量為2567.21016個(gè)。個(gè)。 3. RS

26、A 3. RSA算法簡介算法簡介 已知兩個(gè)大素?cái)?shù)已知兩個(gè)大素?cái)?shù)p和和q，求其乘積，求其乘積n很容易；反之，很容易；反之，已知乘積已知乘積n要求出要求出p和和q就很困難，這就是大整數(shù)因子分解就很困難，這就是大整數(shù)因子分解問題。問題。1977年，由麻省理工學(xué)院的年，由麻省理工學(xué)院的 Rivest、Shamir和和 Adleman聯(lián)合提出的聯(lián)合提出的RSA算法就是基于大整數(shù)分解的非對算法就是基于大整數(shù)分解的非對稱密碼體系（又稱公開密鑰密碼體系）的代表算法。稱密碼體系（又稱公開密鑰密碼體系）的代表算法。RSA的基礎(chǔ)是數(shù)論的歐拉定理，它的安全性依賴于大整數(shù)因子的基礎(chǔ)是數(shù)論的歐拉定理，它的安全性依賴于大整

27、數(shù)因子分解的困難性。在分解的困難性。在n較大時(shí)，大整數(shù)因子分解是計(jì)算上困較大時(shí)，大整數(shù)因子分解是計(jì)算上困難的問題，目前還不存在一般性的有效解決算法。難的問題，目前還不存在一般性的有效解決算法。 RSA算法的加解密過程通過算法的加解密過程通過3個(gè)參數(shù)個(gè)參數(shù)e，d，n來實(shí)現(xiàn)，來實(shí)現(xiàn)，加密運(yùn)算為加密運(yùn)算為y=xe(mod n)，解密運(yùn)算為，解密運(yùn)算為x=yd(mod n)，同余，同余方程的意思是：加密時(shí)將明文方程的意思是：加密時(shí)將明文x自乘自乘e次，然后除以模數(shù)次，然后除以模數(shù)n，所得余數(shù)便是密文所得余數(shù)便是密文y；解密運(yùn)算是將密文；解密運(yùn)算是將密文y自乘自乘d次，除以次，除以模數(shù)模數(shù)n，所得余數(shù)便

28、是明文，所得余數(shù)便是明文x。9.1.5 用戶端的解密與解擾用戶端的解密與解擾 在接收端，用戶如果需要收看加擾的節(jié)目，首先在接收端，用戶如果需要收看加擾的節(jié)目，首先需要從傳送流中找到條件接收表（需要從傳送流中找到條件接收表（CAT），），CAT的的PID為為0 x0001，在，在CAT中找到相應(yīng)加密的中找到相應(yīng)加密的EMM。通過。通過智能卡中個(gè)人分配密鑰（智能卡中個(gè)人分配密鑰（PDK）來解密）來解密EMM，然后，然后根據(jù)解出的根據(jù)解出的EMM來判斷本智能卡是否被授權(quán)收看該來判斷本智能卡是否被授權(quán)收看該套節(jié)目。如果沒有授權(quán)將不能解密出業(yè)務(wù)密鑰套節(jié)目。如果沒有授權(quán)將不能解密出業(yè)務(wù)密鑰（SK），用戶就

29、不能收看該套節(jié)目；相反，如果該），用戶就不能收看該套節(jié)目；相反，如果該智能卡已被授權(quán)，則可以通過解密智能卡已被授權(quán)，則可以通過解密EMM得到得到SK，利，利用它可以對用它可以對ECM進(jìn)行解密，從而得到加擾節(jié)目的控制進(jìn)行解密，從而得到加擾節(jié)目的控制字（字（CW），），CW又被用來觸發(fā)和發(fā)送端相同的又被用來觸發(fā)和發(fā)送端相同的PRBSG產(chǎn)生產(chǎn)生PRBS，該序列再通過解擾器對節(jié)目實(shí)現(xiàn)，該序列再通過解擾器對節(jié)目實(shí)現(xiàn)解擾就可以使節(jié)目能被正常收看。解擾就可以使節(jié)目能被正常收看。 可以看出整個(gè)數(shù)字電視廣播可以看出整個(gè)數(shù)字電視廣播CA系統(tǒng)的安全性系統(tǒng)的安全性得到了三重保護(hù)：得到了三重保護(hù)： 第一重保護(hù)是用控制字

30、第一重保護(hù)是用控制字CW對復(fù)用器輸出的視對復(fù)用器輸出的視頻、音頻和數(shù)據(jù)碼流進(jìn)行加擾頻、音頻和數(shù)據(jù)碼流進(jìn)行加擾，使其在接收端不，使其在接收端不經(jīng)過解擾就不能正常收看、收聽；經(jīng)過解擾就不能正常收看、收聽；第二重保護(hù)是用業(yè)務(wù)密鑰第二重保護(hù)是用業(yè)務(wù)密鑰SK對控制字加密，對控制字加密，這樣即使控制字在傳送給用戶的過程中被盜，偷這樣即使控制字在傳送給用戶的過程中被盜，偷盜者也無法對加密后的控制字進(jìn)行解密；盜者也無法對加密后的控制字進(jìn)行解密；第三重保護(hù)是用第三重保護(hù)是用PDK對業(yè)務(wù)密鑰的加密，對業(yè)務(wù)密鑰的加密，非授非授權(quán)用戶即使在得到業(yè)務(wù)密鑰，也不能輕易解密。權(quán)用戶即使在得到業(yè)務(wù)密鑰，也不能輕易解密。解不出

31、業(yè)務(wù)密鑰就解不出正確的控制字，沒有正解不出業(yè)務(wù)密鑰就解不出正確的控制字，沒有正確的控制字就無法解出并獲得正常信號(hào)的確的控制字就無法解出并獲得正常信號(hào)的TS流。流。 為了能提供不同級(jí)別、不同類型的各種服為了能提供不同級(jí)別、不同類型的各種服務(wù)，一套務(wù)，一套CA系統(tǒng)往往為每個(gè)用戶分配好幾個(gè)系統(tǒng)往往為每個(gè)用戶分配好幾個(gè)PDK，來滿足豐富的業(yè)務(wù)需求。在已實(shí)際運(yùn)營，來滿足豐富的業(yè)務(wù)需求。在已實(shí)際運(yùn)營的多套的多套CA系統(tǒng)系統(tǒng)(主要在歐美主要在歐美)中使用的加密授權(quán)中使用的加密授權(quán)方式有很多種，如人工授權(quán)、磁卡授權(quán)、方式有很多種，如人工授權(quán)、磁卡授權(quán)、IC卡授卡授權(quán)、智能卡授權(quán)權(quán)、智能卡授權(quán)(用用IC構(gòu)成有分

32、析判斷能力的卡構(gòu)成有分析判斷能力的卡)、中心集中尋址授權(quán)中心集中尋址授權(quán)(由控制中心直接尋址授權(quán)，由控制中心直接尋址授權(quán)，不用插卡授權(quán)不用插卡授權(quán))、智能卡和中心授權(quán)共用的授權(quán)、智能卡和中心授權(quán)共用的授權(quán)方式等。主流授權(quán)方式是智能卡授權(quán)。方式等。主流授權(quán)方式是智能卡授權(quán)。智能卡是一張塑料卡，內(nèi)嵌智能卡是一張塑料卡，內(nèi)嵌CPU、ROM（EPROM或或EEPROM）和）和RAM等集成電路，組成一塊芯片。智能等集成電路，組成一塊芯片。智能卡中有一個(gè)專用的掩膜過的卡中有一個(gè)專用的掩膜過的ROM，用來儲(chǔ)存用戶地址、，用來儲(chǔ)存用戶地址、解密算法和操作程序，它們是不可讀的。如果想用電子解密算法和操作程序，它

33、們是不可讀的。如果想用電子顯微鏡來掃描芯片，則可擦只讀存儲(chǔ)器（顯微鏡來掃描芯片，則可擦只讀存儲(chǔ)器（EROM包括包括EPROM和和EEPROM）內(nèi)的信息將被擦除。同時(shí)，在芯）內(nèi)的信息將被擦除。同時(shí)，在芯片內(nèi)部，數(shù)據(jù)流在存儲(chǔ)器之間的流動(dòng)也不可能被直接檢片內(nèi)部，數(shù)據(jù)流在存儲(chǔ)器之間的流動(dòng)也不可能被直接檢測出來。這就從根本上解決了智能卡的安全問題。而且測出來。這就從根本上解決了智能卡的安全問題。而且，芯片內(nèi)部尋址的數(shù)據(jù)是加密的，存儲(chǔ)區(qū)域可以分成若，芯片內(nèi)部尋址的數(shù)據(jù)是加密的，存儲(chǔ)區(qū)域可以分成若干獨(dú)立的小區(qū)，每個(gè)小區(qū)都有自己的保密代碼，保密代干獨(dú)立的小區(qū)，每個(gè)小區(qū)都有自己的保密代碼，保密代碼可以作為私人口

34、令使用。智能卡內(nèi)的數(shù)據(jù)和位置結(jié)構(gòu)碼可以作為私人口令使用。智能卡內(nèi)的數(shù)據(jù)和位置結(jié)構(gòu)應(yīng)隨卡的不同而不同，否則安全性會(huì)大大降低。應(yīng)隨卡的不同而不同，否則安全性會(huì)大大降低。 9.1.5 智能卡智能卡 如果接收機(jī)采用智能卡，應(yīng)符合如果接收機(jī)采用智能卡，應(yīng)符合GBT 16649國家標(biāo)準(zhǔn)，在全國范圍內(nèi)應(yīng)使用統(tǒng)一的標(biāo)識(shí)。智國家標(biāo)準(zhǔn)，在全國范圍內(nèi)應(yīng)使用統(tǒng)一的標(biāo)識(shí)。智能卡地址號(hào)能卡地址號(hào)(CARD ID)反映終端設(shè)備在網(wǎng)絡(luò)中的物反映終端設(shè)備在網(wǎng)絡(luò)中的物理屬性，智能卡編號(hào)理屬性，智能卡編號(hào)(CARD NO)反映執(zhí)卡用戶的反映執(zhí)卡用戶的消費(fèi)屬性。智能卡地址號(hào)、智能卡編號(hào)在全國具消費(fèi)屬性。智能卡地址號(hào)、智能卡編號(hào)在全國

35、具有唯一性，由全國統(tǒng)一編碼。智能卡地址號(hào)是對有唯一性，由全國統(tǒng)一編碼。智能卡地址號(hào)是對智能卡授權(quán)管理時(shí)尋址使用的唯一標(biāo)識(shí)，由兩部智能卡授權(quán)管理時(shí)尋址使用的唯一標(biāo)識(shí)，由兩部分構(gòu)成，第一部分是預(yù)留的，分構(gòu)成，第一部分是預(yù)留的，2字節(jié)；第二部分至字節(jié)；第二部分至少少4個(gè)字節(jié)。智能卡編號(hào)有個(gè)字節(jié)。智能卡編號(hào)有16個(gè)個(gè)10進(jìn)制數(shù)進(jìn)制數(shù),并且智能并且智能卡地址號(hào)與智能卡編號(hào)之間有對應(yīng)的關(guān)系?？ǖ刂诽?hào)與智能卡編號(hào)之間有對應(yīng)的關(guān)系。9.2 MPEG-2以及以及DVB標(biāo)準(zhǔn)中有關(guān)標(biāo)準(zhǔn)中有關(guān)CA的規(guī)定的規(guī)定9.2.1 MPEG-2中有關(guān)中有關(guān)CA的規(guī)定的規(guī)定9.2.2 DVB標(biāo)準(zhǔn)中有關(guān)標(biāo)準(zhǔn)中有關(guān)CA的規(guī)定的規(guī)定 9

36、.2.1 MPEG-2中有關(guān)中有關(guān)CA的規(guī)定的規(guī)定 MPEG-2在在TS流數(shù)據(jù)包的語法結(jié)構(gòu)中，流數(shù)據(jù)包的語法結(jié)構(gòu)中，規(guī)定了兩個(gè)加擾控制位；在規(guī)定了兩個(gè)加擾控制位；在PES數(shù)據(jù)包的語法數(shù)據(jù)包的語法結(jié)構(gòu)中，也規(guī)定了兩個(gè)加擾控制位；所以加擾結(jié)構(gòu)中，也規(guī)定了兩個(gè)加擾控制位；所以加擾可以在可以在TS層或?qū)踊騊ES層實(shí)施。不論在哪一層實(shí)層實(shí)施。不論在哪一層實(shí)施，施，TS包的頭部信息包的頭部信息(包括自適應(yīng)域包括自適應(yīng)域)總是不加總是不加擾的；在擾的；在PES層實(shí)施加擾時(shí)，層實(shí)施加擾時(shí)，PES包的頭部信包的頭部信息是不加擾的。另外，息是不加擾的。另外，MPEG-2的的PSI表總是表總是不加擾的。不加擾的。

37、1.1.ECM和和EMM MPEG-2為為CA規(guī)定了兩個(gè)數(shù)據(jù)流，即規(guī)定了兩個(gè)數(shù)據(jù)流，即ECM（Entitlement Control Message授權(quán)控授權(quán)控制信息）和制信息）和EMM（Entitlement Management Message授權(quán)管理信息），其授權(quán)管理信息），其stream id值分值分別是別是0 xF0和和0 xF1。MPEG-2沒有規(guī)定沒有規(guī)定ECM和和EMM的的PES包包PES packet length以后的數(shù)據(jù)以后的數(shù)據(jù)含義。但是，含義。但是，ECM一般用來傳送直接解擾信息，一般用來傳送直接解擾信息，EMM用來傳送用戶的付費(fèi)情況或權(quán)限，包括用來傳送用戶的付費(fèi)情況

38、或權(quán)限，包括對對ECM進(jìn)行解密的信息。對進(jìn)行解密的信息。對ECM和和EMM進(jìn)行進(jìn)行加密的方法由各加密的方法由各CAS自由選擇。自由選擇。 2.2.CAT MPEG-2在在PSI表中規(guī)定了表中規(guī)定了CAT(Conditional Access Table條件接收表?xiàng)l件接收表)，傳送，傳送CAT的的PID固定為固定為0 x0001，table id值為值為0 x01， section_syntax_indicator置為置為1。section_length指示分段的字指示分段的字節(jié)數(shù)，從節(jié)數(shù)，從section_length之后字段之后字段開始計(jì)算，包括開始計(jì)算，包括CRC，不超過，不超過1021（

39、0 x3FD）。）。version_number指出指出CAT的版本號(hào)。一旦的版本號(hào)。一旦CAT有變化，版本號(hào)加有變化，版本號(hào)加1，當(dāng)增加到，當(dāng)增加到31時(shí)，版本號(hào)循環(huán)回到時(shí)，版本號(hào)循環(huán)回到0。current_next_indicator置為置為1時(shí)，表示傳送的時(shí)，表示傳送的CAT當(dāng)前可以使用；當(dāng)前可以使用；置為置為0時(shí)，表示傳送的表不能使用，下一個(gè)表變?yōu)橛行?。時(shí)，表示傳送的表不能使用，下一個(gè)表變?yōu)橛行Аection_number給出了該分段的數(shù)目。在給出了該分段的數(shù)目。在CAT中的第一個(gè)分段的中的第一個(gè)分段的section_number為為Ox00，CAT中每一個(gè)分段將加中每一個(gè)分段將加1

40、。last_section_number指出了最后一個(gè)分段號(hào)，是在整個(gè)指出了最后一個(gè)分段號(hào)，是在整個(gè)CAT中中的最大分段數(shù)目。的最大分段數(shù)目。CAT通過一個(gè)或多個(gè)通過一個(gè)或多個(gè)CA描述符提供一個(gè)或多個(gè)描述符提供一個(gè)或多個(gè)CAS與它們的與它們的EMM流以及特有參數(shù)之間的關(guān)聯(lián)。流以及特有參數(shù)之間的關(guān)聯(lián)。 表表6-12 CAT段語法結(jié)構(gòu)段語法結(jié)構(gòu)CA section() table id 8 uimsbf section_syntax indicator 1 bslbf 0 1 bslbf reserved 2 bslbf section_length 12 uimsbf reserved 18 b

41、slbf version number 5 uimsbf current next indicator 1 bslbf section number 8 uimsbf last section number 8 uimsbf for(i=0; iN;i+) descriptor() CRC 32 32 rpchof 語法語法 位數(shù)位數(shù) 類型類型 3.3.條件訪問描述符條件訪問描述符(CA descriptor)(CA descriptor) 條件訪問描述符用于描述條件訪問描述符用于描述EMMEMM和和ECMECM。當(dāng)任何。當(dāng)任何基本流被加擾時(shí)，條件訪問描述符必須在基本流基本流被加擾時(shí)，條件訪問

42、描述符必須在基本流所在的所在的PMTPMT（Program Map TableProgram Map Table節(jié)目映射表）中節(jié)目映射表）中出現(xiàn)，如果位于出現(xiàn)，如果位于programprogram infoinfo lengthlength之后，則之后，則其其CACA PIDPID域指出的是解擾整個(gè)節(jié)目的域指出的是解擾整個(gè)節(jié)目的ECMECM；如果；如果位于位于ESES infoinfo lengthlength之后，則其之后，則其CACA PIDPID域指出的域指出的是解擾相應(yīng)基本流的是解擾相應(yīng)基本流的ECMECM。當(dāng)任何與傳送流相關(guān)。當(dāng)任何與傳送流相關(guān)的系統(tǒng)級(jí)的系統(tǒng)級(jí)CACA管理信息存在時(shí)，

43、條件訪問描述符必管理信息存在時(shí)，條件訪問描述符必須在須在CATCAT中出現(xiàn)。中出現(xiàn)。CACA descriptordescriptor的語法定義如表的語法定義如表9-29-2所示所示。CA descriptor() Descriptor tag 8 uimsbf descriptor length 8 uimsbf CA system_ID 16 uimsbf reserved 3 bslbf CA PID 13 uimsbf for (i=O;iN;i+) CA system_descriptor 16 uimsbf 表表9-2 CA descriptor9-2 CA descriptor的

44、語法結(jié)構(gòu)的語法結(jié)構(gòu) 語法語法 位數(shù)位數(shù) 類型類型 表中表中descriptor tag取值為取值為0 x09，descriptor length指示下一字段至描述符結(jié)束的總字節(jié)數(shù)。指示下一字段至描述符結(jié)束的總字節(jié)數(shù)。CA system ID表明提供表明提供ECM、EMM等條件接收信息的等條件接收信息的CA系統(tǒng)類型。在系統(tǒng)類型。在DVB規(guī)范中，規(guī)范中，CA system ID字段表示不同字段表示不同CA系統(tǒng)的分類系統(tǒng)的分類符，需要注冊。符，需要注冊。ETR 162.4為為CA系統(tǒng)分類符提供了系統(tǒng)分類符提供了256個(gè)個(gè)值值(8位位)。ETSI（European Telecommunication

45、Standard Institute歐洲電信標(biāo)準(zhǔn)學(xué)會(huì)）作為管理機(jī)構(gòu)，歐洲電信標(biāo)準(zhǔn)學(xué)會(huì)）作為管理機(jī)構(gòu)，負(fù)責(zé)給新的負(fù)責(zé)給新的CA系統(tǒng)分配分類符，其余系統(tǒng)分配分類符，其余8位用于區(qū)分版本、位用于區(qū)分版本、相同相同CA系統(tǒng)的不同系統(tǒng)的不同SMS提供者。提供者。CA PID表示包含表示包含ECM、EMM信息的傳送流的信息的傳送流的PID值。值。CA PID所在的表不相同時(shí)，所在的表不相同時(shí)，指示的內(nèi)容也不同。當(dāng)指示的內(nèi)容也不同。當(dāng)CA descriptor出現(xiàn)在出現(xiàn)在CAT中時(shí)，中時(shí)，CA PID指向傳送流中的指向傳送流中的EMM流。當(dāng)流。當(dāng)CA_descriptor出現(xiàn)出現(xiàn)在在PMT中時(shí)，中時(shí)，CA

46、PID指向傳送流中的指向傳送流中的ECM流。流。PID值與值與CA descriptor給出的給出的CA PID值相等的所有值相等的所有TS包應(yīng)只含包應(yīng)只含有有CA系統(tǒng)信息，其它地方不能帶有系統(tǒng)信息，其它地方不能帶有CA信息信息(例如自適應(yīng)例如自適應(yīng)域域)。9.2.2 DVB標(biāo)準(zhǔn)中與標(biāo)準(zhǔn)中與CA有關(guān)的規(guī)定有關(guān)的規(guī)定 歐洲的歐洲的DVB標(biāo)準(zhǔn)在標(biāo)準(zhǔn)在MPEG-2的基礎(chǔ)上進(jìn)一步的基礎(chǔ)上進(jìn)一步規(guī)定了一些規(guī)范。規(guī)定了一些規(guī)范。 1.1.DVB規(guī)定了兩個(gè)加擾控制位的含義規(guī)定了兩個(gè)加擾控制位的含義 在在TS層或在層或在PES層的加擾控制位含義相同。層的加擾控制位含義相同。加擾控制位加擾控制位00表示未加擾；

47、表示未加擾；01表示保留；表示保留；10表示表示使用偶密鑰；使用偶密鑰；11表示使用奇密鑰。表示使用奇密鑰。 2.DVB 2.DVB對對PESPES加擾的限制加擾的限制 一個(gè)靈活的廣播系統(tǒng)應(yīng)當(dāng)能夠在一個(gè)靈活的廣播系統(tǒng)應(yīng)當(dāng)能夠在PESPES層實(shí)施加擾。為了避免客戶層實(shí)施加擾。為了避免客戶端的解擾設(shè)備太復(fù)雜，端的解擾設(shè)備太復(fù)雜，DVBDVB對在對在PESPES層實(shí)施的加擾做了一些限制：層實(shí)施的加擾做了一些限制： 加擾不能同時(shí)在加擾不能同時(shí)在TSTS和和PESPES兩個(gè)層次上實(shí)施。兩個(gè)層次上實(shí)施。 加擾的加擾的PESPES包的頭不能超過包的頭不能超過184184字節(jié)。字節(jié)。 除了最后一個(gè)除了最后一個(gè)

48、TSTS包外，攜帶加擾包外，攜帶加擾PESPES包的包的TSTS包不能有自適應(yīng)包不能有自適應(yīng)域。域。 當(dāng)廣播數(shù)據(jù)跨越廣播媒體邊界的時(shí)候，例如從衛(wèi)星電視到有當(dāng)廣播數(shù)據(jù)跨越廣播媒體邊界的時(shí)候，例如從衛(wèi)星電視到有線電視，經(jīng)常需要用新的線電視，經(jīng)常需要用新的CACA信息替換原有的信息替換原有的CACA信息。為了靈活高效信息。為了靈活高效地實(shí)現(xiàn)地實(shí)現(xiàn)CACA信息的替換，信息的替換，DVBDVB作了如下規(guī)定：作了如下規(guī)定： PIDPID等于某個(gè)等于某個(gè)CACA描述符的描述符的CACA PIDPID值的值的TSTS包只能攜帶包只能攜帶CACA信息，信息，不能攜帶其他信息。另一方面，不能攜帶其他信息。另一方面

49、，CACA信息只能出現(xiàn)在這些信息只能出現(xiàn)在這些TSTS包中，不包中，不能出現(xiàn)在其他能出現(xiàn)在其他TSTS包中。包中。 在同一個(gè)在同一個(gè)TSTS流中，兩個(gè)流中，兩個(gè)CACA提供商不應(yīng)使用相同的提供商不應(yīng)使用相同的CA-PIDCA-PID。 3.3.CMT DVB還規(guī)定了一個(gè)用表傳輸還規(guī)定了一個(gè)用表傳輸CA信息的機(jī)制。把信息的機(jī)制。把ECM，EMM以及將來的授權(quán)數(shù)據(jù)放在以及將來的授權(quán)數(shù)據(jù)放在CMT（CA Message Table條件接收信息表）中，更方便過濾。條件接收信息表）中，更方便過濾。為為CMT分配了分配了16個(gè)個(gè)table id，從，從0 x80到到0 x8F，其中，其中0 x80，0 x

50、81 固定用于傳送授權(quán)控制信息，其他的由固定用于傳送授權(quán)控制信息，其他的由CAS自由分配。自由分配。 ECMECM、EMMEMM的語法均遵從的語法均遵從CACA messagemessage section()section()的的語法定義。語法定義。CACA message_section()message_section()的頭部能夠用于的頭部能夠用于ECMECM、EMMEMM的過濾。的過濾。CACA message_section()message_section()語法符合語法符合ISO/IEC 13818-1ISO/IEC 13818-1中中private_sectionprivat

51、e_section的格式，的格式，CMTCMT的的最大長度為最大長度為256256字節(jié)，表字節(jié)，表9-39-3是是CMTCMT的語法定義。的語法定義。 CACA messagemessage section()section() table table id 8 uimsbfid 8 uimsbf section section syntaxsyntax indicator 1 bslbfindicator 1 bslbf DVB reserved 1 bslbf DVB reserved 1 bslbf ISO reserved 2 bslbf ISO reserved 2 bslbf CA

52、 CA section_length 12 uimsbfsection_length 12 uimsbf for(i=0; IN; i+) for(i=0; IN; i+) CA CA data_byte 8 bslbfdata_byte 8 bslbf 語法語法 位數(shù)位數(shù) 類型類型 表表9-3 CMT9-3 CMT的語法定義的語法定義 表中表中sectionsection syntaxsyntax indicatorindicator應(yīng)置為應(yīng)置為0 0，CACA section_lengthsection_length指示分段的字節(jié)數(shù)，從指示分段的字節(jié)數(shù)，從CACA section_leng

53、thsection_length之后開始，到結(jié)束。之后開始，到結(jié)束。CACA data_bytedata_byte用于傳送私有用于傳送私有CACA信息，前信息，前1717個(gè)個(gè)CACA data_bytedata_byte可用于地址過濾。可用于地址過濾。 4.SDT4.SDT和和EITEIT中的中的freefree caca modemode字段字段 SDTSDT和和EITEIT中都有中都有1 1比特的比特的freefree caca modemode字段，為字段，為0 0表示業(yè)務(wù)表示業(yè)務(wù)（或事件）所有的流均未加擾；為（或事件）所有的流均未加擾；為1 1表示接收表示接收1 1路或多路碼流時(shí)需路或

54、多路碼流時(shí)需要要CACA系統(tǒng)控制。系統(tǒng)控制。 5.5.DVBDVB定義了定義了CACA標(biāo)識(shí)描述符標(biāo)識(shí)描述符 CACA標(biāo)識(shí)描述符標(biāo)識(shí)描述符(CA(CA identifieridentifier descriptor)descriptor)表明了一個(gè)業(yè)務(wù)表明了一個(gè)業(yè)務(wù)群、業(yè)務(wù)或事件與一個(gè)條件接收系統(tǒng)相關(guān)聯(lián)，并以群、業(yè)務(wù)或事件與一個(gè)條件接收系統(tǒng)相關(guān)聯(lián)，并以CA_system_idCA_system_id標(biāo)識(shí)標(biāo)識(shí)CACA系統(tǒng)的類型。如果一個(gè)服務(wù)是采用條件訪問保護(hù)的，則可系統(tǒng)的類型。如果一個(gè)服務(wù)是采用條件訪問保護(hù)的，則可用此描述符傳送用此描述符傳送CACA系統(tǒng)的數(shù)據(jù)。該描述符并不包含在任何系統(tǒng)的數(shù)據(jù)。該

55、描述符并不包含在任何CACA控制控制功能中，它用于功能中，它用于IRDIRD的用戶界面軟件中，指出一個(gè)服務(wù)是哪一種的用戶界面軟件中，指出一個(gè)服務(wù)是哪一種CACA系統(tǒng)控制的，避免用戶選擇一個(gè)不可用的服務(wù)。該描述符的播發(fā)系統(tǒng)控制的，避免用戶選擇一個(gè)不可用的服務(wù)。該描述符的播發(fā)是可選的，在一個(gè)描述符循環(huán)中僅能出現(xiàn)一次。是可選的，在一個(gè)描述符循環(huán)中僅能出現(xiàn)一次。CACA identifieridentifier descriptordescriptor的語法定義如表的語法定義如表9-49-4所示。所示。 CA identifier descriptor() descriptor tag 8 uimsb

56、f descriptor length 8 uimsbf for (i=O;iN;i+) CA system_ID 16 uimsbf 語法語法 位數(shù)位數(shù) 類型類型 表表9-4 CA9-4 CA identifieridentifier descriptordescriptor語法定義語法定義 表中表中descriptor tag取值為取值為0 x53，descriptor length表示從下表示從下一字段至描述符結(jié)束的總字節(jié)數(shù)，一字段至描述符結(jié)束的總字節(jié)數(shù)， CA_system ID表明表明CA系統(tǒng)的系統(tǒng)的類型。這字段的分配值在類型。這字段的分配值在ETR1626中可找到。中可找到。 DV

57、B有關(guān)條件接收的標(biāo)準(zhǔn)有有關(guān)條件接收的標(biāo)準(zhǔn)有:DVB-CS ETR289 在數(shù)字廣播在數(shù)字廣播系統(tǒng)中使用擾碼和條件接收的支持，系統(tǒng)中使用擾碼和條件接收的支持，DVB-SIM TS101 197 DVB系統(tǒng)中同時(shí)加密的技術(shù)規(guī)范，系統(tǒng)中同時(shí)加密的技術(shù)規(guī)范，DVB-CI EN50221條件接入和其他條件接入和其他數(shù)字視頻廣播解碼器應(yīng)用的通用接口規(guī)范。我國相應(yīng)的標(biāo)準(zhǔn)為數(shù)字視頻廣播解碼器應(yīng)用的通用接口規(guī)范。我國相應(yīng)的標(biāo)準(zhǔn)為GY/Z175-2001數(shù)字電視廣播條件接收系統(tǒng)規(guī)范數(shù)字電視廣播條件接收系統(tǒng)規(guī)范 。 在數(shù)字電視廣播中，采用一種在數(shù)字電視廣播中，采用一種CA系統(tǒng)是不系統(tǒng)是不符合開放的市場需要的。為了使

58、數(shù)字電視傳輸網(wǎng)符合開放的市場需要的。為了使數(shù)字電視傳輸網(wǎng)絡(luò)中的絡(luò)中的CA系統(tǒng)具有良好的開放性，解決不同系統(tǒng)具有良好的開放性，解決不同CA系系統(tǒng)的相互兼容和平等競爭問題，統(tǒng)的相互兼容和平等競爭問題，DVB組織提出了組織提出了同密（同密（Simulcrypt）與多密（）與多密（Multicrypt）的解決）的解決方式。方式。 采用同密模式，使得在一個(gè)傳輸網(wǎng)絡(luò)中使用采用同密模式，使得在一個(gè)傳輸網(wǎng)絡(luò)中使用多種多種CA系統(tǒng)成為可能；采用多密模式，使得在一系統(tǒng)成為可能；采用多密模式，使得在一個(gè)機(jī)頂盒中接收多個(gè)個(gè)機(jī)頂盒中接收多個(gè)CA系統(tǒng)的節(jié)目成為可能。系統(tǒng)的節(jié)目成為可能。9.3 同密和多密模式同密和多密模式

59、 9.3.1 同密模式同密模式 同密技術(shù)是指通過使用同一種加擾算法和相同的控同密技術(shù)是指通過使用同一種加擾算法和相同的控制字，使多個(gè)不同的制字，使多個(gè)不同的CA系統(tǒng)在同一個(gè)傳送流（系統(tǒng)在同一個(gè)傳送流（TS）中工）中工作的技術(shù)。它將兩家或兩家以上的作的技術(shù)。它將兩家或兩家以上的CA系統(tǒng)應(yīng)用于同一數(shù)系統(tǒng)應(yīng)用于同一數(shù)字電視傳輸網(wǎng)絡(luò)中，從電視運(yùn)營商的角度實(shí)施技術(shù)的選擇字電視傳輸網(wǎng)絡(luò)中，從電視運(yùn)營商的角度實(shí)施技術(shù)的選擇與競爭的環(huán)境，使得在用戶端的機(jī)頂盒可以同時(shí)接收到采與競爭的環(huán)境，使得在用戶端的機(jī)頂盒可以同時(shí)接收到采用不同的用不同的CA技術(shù)的節(jié)目信號(hào)。技術(shù)的節(jié)目信號(hào)。 1.1.同密技術(shù)的應(yīng)用同密技術(shù)的應(yīng)

60、用 實(shí)現(xiàn)實(shí)現(xiàn)CA系統(tǒng)的新舊更替系統(tǒng)的新舊更替 當(dāng)運(yùn)營商發(fā)現(xiàn)原有的當(dāng)運(yùn)營商發(fā)現(xiàn)原有的CA系統(tǒng)不能滿足需求，需要采系統(tǒng)不能滿足需求，需要采用新的用新的CA系統(tǒng)來替代時(shí)，往往采用同密技術(shù)實(shí)現(xiàn)新舊系統(tǒng)來替代時(shí)，往往采用同密技術(shù)實(shí)現(xiàn)新舊CA系統(tǒng)的平滑過渡。具體做法是在一個(gè)數(shù)字廣播平臺(tái)同時(shí)運(yùn)系統(tǒng)的平滑過渡。具體做法是在一個(gè)數(shù)字廣播平臺(tái)同時(shí)運(yùn)行兩個(gè)行兩個(gè)CA系統(tǒng)，老用戶繼續(xù)使用原來的機(jī)頂盒，新用戶系統(tǒng)，老用戶繼續(xù)使用原來的機(jī)頂盒，新用戶就采用新的機(jī)頂盒，兩個(gè)就采用新的機(jī)頂盒，兩個(gè)CA系統(tǒng)在平臺(tái)上有個(gè)交迭的使系統(tǒng)在平臺(tái)上有個(gè)交迭的使用期，直到新的機(jī)頂盒被普遍使用，老的機(jī)頂盒逐漸減少用期，直到新的機(jī)頂盒被普遍使