数字电视的条件接收

第9章数字电视的条件接收●CA系统的组成及工作原理●MPEG-2以及DVB标准中有关CA的规定●同密和多密模式9.1CA系统的组成及工作原理用户管理系统节目信息管理系统用户授权系统加密系统加扰系统业务信息生成系统智能卡和解扰系统

CA系统是一个综合性的系统，集成了数据加密和解密、加扰和解扰、智能卡等技术，同时也涉及到用户管理、节目管理、收费管理等信息应用管理技术，能实现各项数字电视广播业务的授权管理和接收控制。CA系统主要由用户管理系统、节目信息管理系统、用户授权系统、加扰/解扰器、加密/解密器、控制字发生器、伪随机二进制位序列发生器（PRBSG）、智能卡等部分组成，其工作原理方框图如图9-1所示。图9-1CA系统原理方框图

复用器加扰器调制器功放解调器解扰器解复用控制字加密器A业务密钥加密控制字发生器用户授权系统用户管理系统视频、音频、数据EMM信道PRBSGECM智能卡授权帐单支付SKCWPDKPRBSG控制字解密器ACWECM业务密钥解密SKEMMPDK条件接收子系统视频、音频、数据

用户管理系统（SMS）是支撑运营和管理运营的一个综合业务平台，是数字电视综合业务平台的一部分。实现数字电视系统的用户信息、业务信息、资源信息、用户的节目预订信息、用户授权信息、账务计费、客服等管理功能，并根据业务需要提供与相关外部系统进行互连的接口。SMS根据用户订购节目和收看节目的情况，一方面向授权管理系统发出指令，决定哪些用户可以被授权收看哪些节目或接受哪些服务；另一方面向用户发送帐单。授权管理系统在用户管理系统发出的指令控制下，产生出业务密钥。

节目信息管理系统的主要功能是为即将播出的节目建立节目表。节目表包括频道、日期和时间安排，也包括要播出的各个节目的CA信息。9.1.1用户管理系统和节目信息管理系统条件接收系统发送端工作原理

用控制字对TS流进行加扰根据用户要求形成授权信息对授权信息处理生成EMM对控制字进行加密生成ECM加扰后码流、ECM、EMM复用输出9.1.2加扰、解扰和控制字所谓加扰就是对传送流（TS）中的视频码流、音频码流或辅助数据进行有规律的扰乱，使得未授权用户无法对视频/音频码流进行解码，从而防止节目的自由接收。那么，加扰是如何实现的呢，授权用户又是如何通过解扰恢复出加扰前的原始数据？

图9-2流加密示意图PRBSGSBIB＋输入输出CWKB由于加扰对象是数据流，而且要求实时加扰，因此，要采用能够满足实时性要求的流加密算法,如图9-2所示。图中PRBSG是伪随机二进序列发生器；KB是由CW产生的一个伪随机二进序列(PRBS)，IB是要加密的数据流，SB是加密后的数据流。中间的运算是模2加(异或，XOR)。可以证明，如果KB是随机的，那么在攻击者（黑客）只知道SB的情况下，这个加密算法是不可破译的。但是随机的KB要和IB有相同长度的比特流，这实际上是不可行的。为此，设计了由一个控制字（ControlWord，CW）控制的伪随机二进制位序列发生器（PRBSG），产生一个好像是随机的序列，称为伪随机二进制位序列（PRBS），作为密钥比特流。所以，加扰就是在发送端将原始数据流与PRBS进行模2加运算，得到被加扰的数据流。在接收端，用一个和发送端结构相同的PRBSG，只要收、发两端间的PRBS同步（即用同一个初始值启动），则接收端的PRBSG产生的PRBS就和发送端的完全一样。用这个PRBS作为解扰序列，与被加扰的数据流做同样的模2加运算，就可恢复出加扰前的原始数据流。由此可见，解扰的关键是要得到用于同步收、发两端PRBS的初始值（是一个随机数），这个初始值就称为“控制字”（CW）。

MPEG-2标准没有推荐任何具体的加扰算法，只对传送流中运用的加扰方案规定了框架。但是，世界范围内主要的数字电视标准已经规定或推荐了一些有效的算法，例如，欧洲的DVB规定了通用加扰（commonscrambling，64位控制字）技术规范，美国的ATSC选择了三重DES算法（168位控制字），也能实施数据加密标准（DataEncryptionStandard，DES）算法，日本使用了松下公司提出的一种加扰算法。而一些前端制造商建议使用有专利权的方案。但很显然，为了增强前端及终端的互操作性和降低机顶盒的成本，使用标准的或推荐的算法是最好的方式。DVB通通用加扰扰算法指指定了块（分组组）加密密和流（序列列）加密密两种不同同的加密密算法。。块加密密算法利利用可逆逆密码分分组链模模式对8字节数数据的单单位块进进行加密密，流加加密是用用一个PRBSG产生生的数据据来进行行加密，，如图9-3所所示。首先将待待加扰的的TS包包中的有有效净荷荷数据按按每块8字节分分为字节节块，如如果该TS包没没有适配配字段，，则除包包头以外外的184字节节可分成成23个个字节块块。采用用可逆密密码分组组链加密密方法对对这23个字节节块进行行块加密密，然后后再用控控制字对对加密后后的块（（这里称称之为中中间块））进行流流加密，，也就是是用控制制字CW产生PRBS对有关关数据进进行加密密。其中中块加密密所用到到的密钥钥Key是控制制字通过过不同的的调度算算法得到到的数据据密钥。。基于这这种算法法，解扰扰算法需需要从流流解密开开始，然然后进行行块解密密最终达达到对TS包的的有效净净荷数据据进行解解扰。图9-3DVB通用加扰扰算法示意图图PB1PB2PB22PB23…IB1IB2IB22IB23…SB1SB2SB22SB23…KeyCW明文块(184Byte)块加密中间块流加密加密块流加密反向密码分组组链接加密控控制字加加密与传输控控制从前面加扰与与解扰原理可可以看出，在在接收端只要要能及时解出出控制字，则则采用相同解解扰算法就能能恢复出原始始数据。因此此，CA系统统的关键是采采用多重密钥钥传输机制将将控制字安全全地传送到经经过授权的用用户端。通常，CA系统采用用三重密钥钥传输机制制，它们分分别是控制字（CW）、业务密钥（SK）和和个人分配密密钥（PDK））。1.控制字CW控制字(ControlWord，，CW)又又称密钥钥(Key)。欲加加扰的TS包先用CW进行块块加密和流流加密。因因为根据PRBS有有可能破译译CW，所所以在可能能被破译之之前要更换换控制制字字CW。。更更换换CW的的频频率率要要考考虑虑同同步步时时间间和和数数据据量量。。如如果果更更换换CW的的时间间间隔隔为为t，，那那么么当当用用户户切切换换到到某某一一个个经经过过加加扰扰的的节节目目时时，，最最多多要要等等待待t，，平平均均要要等等待待t／／2，，才才能能开开始始解解扰扰。。因因此此更更换换CW的的时间间隔不能能过长。。如果间间隔时间间太短，，则控制字字的数据量量会很大大，也增增加了产产生CW的难度度。通常控制制字每隔隔2~10秒就要要更换一一次。2.业务密钥钥SK在具体应应用中，，对CW进行加加密的密密钥可以以按网络络运营商商要求经经常加以以改变，，通常由由服务提提供商产产生用来来控制其其提供的的业务，，所以把把它称为为业务密密钥（SK）。。SK和用用户的付付费有关关，实际际上就是是用户的的授权信信息。用用户一个个月付费费一次，，SK也也按月变变化，没没有付费费的用户户将得不不到新密密钥。在SK更更换时期期新SK要通过过寻址发发给每个个已付费费的用户户，用户户的解扰扰器收到到新SK后先暂暂时存放放起来，，然后在在规定的的时刻启启用新SK。有有时把新新旧SK称为““奇密钥钥”和““偶密钥钥”。对对CW加加密的算算法因CA系统统而不同同。用业务务密钥钥（SK））加密密处理理后的的控制制字放放在授授权控控制消消息（（EntitlementControlMessages，ECM）中中传送送，ECM中还还包括括节目目来源源、时时间、、内容容分类类和节节目价价格等等节目目信息息。ECM要和和已加加扰的的视频频、音音频或或数据据码流流复用用在一一起传传到接接收端端。接收端端在收收到ECM后还还必须须用与与发送送端加加密时时所用用的同同一密密钥进进行解解密才才能得得到控控制字字，所所以，，这个个对控控制字字进行行加密密的业业务密密钥SK也也要由由发端端传送送过来来。3.个人分分配密密钥PDK为了保保护SK，，用每每个解解扰器器或智智能卡卡的地地址码码(CARDID)作为为密钥钥来对对SK进行行加密密，这这个密密钥称称为个个人分分配密密钥(PDK)。用PDK加加密处处理后后的业业务密密钥（（SK）放放在授授权管管理消消息（（EMM））中传传送。。EMM是是一种种授权权用户户对某某种业业务进进行解解扰的的信息息，它它包含含了用用户订订购节节目信信息，，指定定了用用户对对业务务的授授权等等级。。由于于有多多种收收费业业务，，如按按次付付费收收视（（PPV））、即即时按按次付付费收收视（（IPPV）和和VOD等等，因因此用用户授授权系系统要要对用用户在在什么么时间间看，，看什什么频频道节节目进进行授授权。。需要注意意的是，，PDK和解扰扰器或者者智能卡卡的编号号(CARDNO)不不是同一一个概念念。编号号是公开开的，PDK是是绝对保保密的。。但是编编号和PDK之之间有个个映射关关系。一一个容量量为一百百万用户户的CA系统用用20位位长的编编号就够够了，但但是PDK需要要更多的的位数以以保证破破译的难难度。CW，SK和PDK构构成了CA系统统的三级级密钥体体制。对对广播数数据、CW和SK的保保护采用用的都是是软件技技术，对对PDK的保护护不仅需需要软件件技术，，还需要要硬件技技术，常常用的有有智能卡卡技术。。加加密算法法1.对称密码码体系与非对对称密码体系系对称密码体系系(秘密密钥钥加密)的加加密密钥和解解密密钥相同同，或者由其其中的任意一一个可以很容容易地推导出出另一个。非对称密码体体系（公开密密钥加密）把把加密和解密密的能力分开开，加密和解解密分别用两两个不同的密密钥实现，不不可能由加密密密钥推导出出解密密钥，，也不可能由由解密密钥推推导出加密密密钥。采用非非对称密码体体系的每个用用户都有一对对选定的密钥钥，其中一个个是可以公开开的，另一个个由用户自己己秘密保存。。对称密钥方法法比非对称方方法快得多。。如DES密密码在软件实实现时至少比比非对称密码码RSA快100倍，在在专门的硬件件上实现时可可能快10000倍。。2.DES算法简介DES（DataEncryptionStandard）是1977年正正式确定为美美国国家标准准的加密算法法，它是对称称密码体系中中应用最广泛泛的算法之一一，既可用于于加密又可用用于解密。DES密码是是一种采用传传统加密方法法的分组密码码。首先把输输入的数据比比特流以每64比特为一一组进行分组组；然后以每每一组作为加加密单元，在在16个子密密钥（每个子子密钥的长度度为48比特特）的控制下下进行16轮轮的非线性变变换后输出一一组64比特特长的密文。。这16个子子密钥是由同同一个64比比特的密钥源源K1、K2…K64经循环移位及及置换选择产产生。而这64比特的密密钥源中只有有56比特是是随机的，所所有8的倍数数位K8、K16…K64是奇偶校验位位。也就是说说DES的密密钥总量为256＝7.2×1016个。3.RSA算法简介已知两个大素素数p和q，，求其乘积n很容易；反反之，已知乘乘积n要求出出p和q就很很困难，这就就是大整数因因子分解问题题。1977年，由麻省省理工学院的的Rivest、Shamir和和Adleman联合合提出的RSA算法就是是基于大整数数分解的非对对称密码体系系（又称公开开密钥密码体体系）的代表表算法。RSA的基础是是数论的欧拉拉定理，它的的安全性依赖赖于大整数因因子分解的困困难性。在n较大时，大大整数因子分分解是计算上上困难的问题题，目前还不不存在一般性性的有效解决决算法。RSA算法的的加解密过程程通过3个参参数e，d，，n来实现，，加密运算为为y=xe(modn)，解解密运运算为为x=yd(modn)，同同余方方程的的意思思是：：加密密时将将明文文x自自乘e次，，然后后除以以模数数n，，所得得余数数便是是密文文y；；解密密运算算是将将密文文y自自乘d次，，除以以模数数n，，所得得余数数便是是明文文x。。用用户户端端的的解解密密与与解解扰扰在接收端端，用户户如果需需要收看看加扰的的节目，，首先需需要从传传送流中中找到条条件接收收表（CAT）），CAT的PID为为0x0001，在CAT中中找到相相应加密密的EMM。通通过智能能卡中个个人分配配密钥（（PDK）来解解密EMM，然然后根据据解出的的EMM来判断断本智能能卡是否否被授权权收看该该套节目目。如果果没有授授权将不不能解密密出业务务密钥（（SK）），用户户就不能能收看该该套节目目；相反反，如果果该智能能卡已被被授权，，则可以以通过解解密EMM得到到SK，，利用它它可以对对ECM进行解解密，从从而得到到加扰节节目的控控制字（（CW）），CW又被用用来触发发和发送送端相同同的PRBSG产生PRBS，该序序列再通通过解扰扰器对节节目实现现解扰就就可以使使节目能能被正常常收看。。可以看出出整个数数字电视视广播CA系统统的安全全性得到到了三重重保护：：●第一重保保护是用用控制字字CW对对复用器器输出的的视频、、音频和和数据码码流进行行加扰，使其在在接收端端不经过过解扰就就不能正正常收看看、收听听；●第二重保保护是用用业务密密钥SK对控制制字加密密，这样即使使控制字字在传送送给用户户的过程程中被盗盗，偷盗盗者也无无法对加加密后的的控制字字进行解解密；●第三重保保护是用用PDK对业务务密钥的的加密，，非授权用用户即使使在得到到业务密密钥，也也不能轻轻易解密密。解不不出业务务密钥就就解不出出正确的的控制字字，没有有正确的的控制字字就无法法解出并并获得正正常信号号的TS流。为了能提提供不同同级别、、不同类类型的各各种服务务，一套套CA系系统往往往为每个个用户分分配好几几个PDK，来来满足丰丰富的业业务需求求。在已已实际运运营的多多套CA系统(主要在在欧美)中使用用的加密密授权方方式有很很多种，，如人工工授权、、磁卡授授权、IC卡授授权、智智能卡授授权(用用IC构构成有分分析判断断能力的的卡)、、中心集集中寻址址授权(由控制制中心直直接寻址址授权，，不用插插卡授权权)、智智能卡和和中心授授权共用用的授权权方式等等。主流流授权方方式是智智能卡授授权。智能卡是是一张塑塑料卡，，内嵌CPU、、ROM（EPROM或EEPROM）和和RAM等集成成电路，，组成一一块芯片片。智能能卡中有有一个专专用的掩掩膜过的的ROM，用来来储存用用户地址址、解密密算法和和操作程程序，它它们是不不可读的的。如果果想用电电子显微微镜来扫扫描芯片片，则可可擦只读读存储器器（EROM包包括EPROM和EEPROM）内内的信息息将被擦擦除。同同时，在在芯片内内部，数数据流在在存储器器之间的的流动也也不可能能被直接接检测出出来。这这就从根根本上解解决了智智能卡的的安全问问题。而而且，芯芯片内部部寻址的的数据是是加密的的，存储储区域可可以分成成若干独独立的小小区，每每个小区区都有自自己的保保密代码码，保密密代码可可以作为为私人口口令使用用。智能能卡内的的数据和和位置结结构应随随卡的不不同而不不同，否否则安全全性会大大大降低低。智智能卡卡如果接收收机采用用智能卡卡，应符符合GB／T16649国国家标准准，在全全国范围围内应使使用统一一的标识识。智能能卡地址址号(CARDID)反反映终端端设备在在网络中中的物理理属性，，智能卡卡编号(CARDNO)反反映执卡卡用户的的消费属属性。智智能卡地地址号、、智能卡卡编号在在全国具具有唯一一性，由由全国统统一编码码。智能能卡地址址号是对对智能卡卡授权管管理时寻寻址使用用的唯一一标识，，由两部部分构成成，第一一部分是是预留的的，2字字节；第第二部分分至少4个字节节。智能能卡编号号有16个10进制数数,并且且智能卡卡地址号号与智能能卡编号号之间有有对应的的关系。。9.2MPEG-2以及DVB标准准中有关CA的规定定9.2.1MPEG-2中中有关CA的规定9.2.2DVB标准中有有关CA的的规定9.2.1MPEG-2中中有关CA的规定MPEG-2在TS流数据包包的语法结结构中，规规定了两个个加扰控制制位；在PES数据据包的语法法结构中，，也规定了了两个加扰扰控制位；；所以加扰扰可以在TS层或PES层实实施。不论论在哪一层层实施，TS包的头头部信息(包括自适适应域)总总是不加扰扰的；在PES层实实施加扰时时，PES包的头部部信息是不不加扰的。。另外，MPEG-2的PSI表总是是不加扰的的。1.ECM和EMMMPEG-2为CA规定了两两个数据流流，即ECM（EntitlementControlMessage授权控控制信息））和EMM（EntitlementManagementMessage授授权管理信信息），其其streamid值分别别是0xF0和0xF1。MPEG-2没有规规定ECM和EMM的PES包PESpacketlength以后的的数据含义义。但是，，ECM一一般用来传传送直接解解扰信息，，EMM用用来传送用用户的付费费情况或权权限，包括括对ECM进行解密密的信息。。对ECM和EMM进行加密密的方法由由各CAS自由选择择。2.CATMPEG-2在PSI表中规规定了CAT(ConditionalAccessTable条件件接收表)，传送CAT的PID固定定为0x0001，，tableid值为0x01，，section_syntax_indicator置为1。section_length指指示分段的的字节数，，从section_length之之后字段开始计算，，包括CRC，不不超过1021（0x3FD）。version_number指出CAT的版本本号。一旦旦CAT有有变化，版版本号加1，当增加加到31时时，版本号号循环回到到0。current_next_indicator置为1时时，表示传传送的CAT当前可可以使用；；置为0时时，表示传传送的表不不能使用，，下一个表表变为有效效。section_number给给出了该分分段的数目目。在CAT中的第第一个分段段的section_number为为Ox00，CAT中每一个个分段将加加1。last_section_number指出了了最后一个个分段号，，是在整个个CAT中中的最大分分段数目。。CAT通通过一个或或多个CA描述符提提供一个或或多个CAS与它们们的EMM流以及特特有参数之之间的关联联。表6-12CAT段语法结结构CAsection(){tableid8uimsbfsection_syntaxindicator1bslbf'0'1bslbfreserved2bslbfsection_length12uimsbfreserved18bslbfversionnumber5uimsbfcurrentnextindicator1bslbfsectionnumber8uimsbflastsectionnumber8uimsbffor(i=0;i<N;i++){descriptor()}CRC3232rpchof}语法位位数类类型3.条件访访问描述符符(CAdescriptor)条件访问描描述符用于于描述EMM和ECM。当任任何基本流流被加扰时时，条件访访问描述符符必须在基基本流所在在的PMT（ProgramMapTable节目目映射表））中出现，，如果位于于programinfolength之后，，则其CAPID域指指出的是解解扰整个节节目的ECM；如果果位于ESinfolength之后，，则其CAPID域指指出的是解解扰相应基基本流的ECM。当当任何与传传送流相关关的系统级级CA管理理信息存在在时，条件件访问描述述符必须在在CAT中中出现。CAdescriptor的语法法定义如表表9-2所所示。CAdescriptor(){Descriptortag8uimsbfdescriptorlength8uimsbfCAsystem_ID16uimsbfreserved3bslbfCAPID13uimsbffor(i=O;i<N;i++){CAsystem_descriptor16uimsbf}}表9-2CAdescriptor的语法法结构

语法位数类型表中descriptortag取值值为0x09，descriptorlength指示下下一字段至至描述符结结束的总字字节数。CAsystemID表明提提供ECM、EMM等条件接接收信息的的CA系统统类型。在在DVB规规范中，CAsystemID字段表表示不同CA系统的的分类符，，需要注册册。ETR162.4为CA系统分分类符提供供了256个值(8位)。ETSI（（EuropeanTelecommunicationStandardInstitute欧洲电电信标准学学会）作为为管理机构构，负责给给新的CA系统分配配分类符，，其余8位位用于区分分版本、相相同CA系系统的不同同SMS提提供者。CAPID表示示包含ECM、EMM信息的的传送流的的PID值值。CAPID所在在的表不相相同时，指指示的内容容也不同。。当CAdescriptor出现在在CAT中中时，CAPID指向向传送流中中的EMM流。当CA_descriptor出现在PMT中时时，CAPID指向向传送流中中的ECM流。PID值与CAdescriptor给出的的CAPID值相相等的所有有TS包应应只含有CA系统信信息，其它它地方不能能带有CA信息(例例如自适应应域)。9.2.2DVB标准中与与CA有关关的规定欧洲的DVB标准在在MPEG-2的基基础上进一一步规定了了一些规范范。1.DVB规定定了两个加加扰控制位位的含义在TS层或或在PES层的加扰扰控制位含含义相同。。加扰控制制位00表表示未加扰扰；01表表示保留；；10表示示使用偶密密钥；11表示使用用奇密钥。。2.DVB对PES加扰的限限制一个灵活的的广播系统统应当能够够在PES层实施加加扰。为了了避免客户户端的解扰扰设备太复复杂，DVB对在PES层实实施的加扰扰做了一些些限制：①加扰不能能同时在TS和PES两个层层次上实施施。②加扰的PES包的的头不能超超过184字节。③除了最后后一个TS包外，携携带加扰PES包的的TS包不不能有自适适应域。当广播数据据跨越广播播媒体边界界的时候，，例如从卫卫星电视到到有线电视视，经常需需要用新的的CA信息息替换原有有的CA信信息。为了了灵活高效效地实现CA信息的的替换，DVB作了了如下规定定：④PID等于于某个CA描描述符的CAPID值的TS包只能携携带CA信息息，不能携带带其他信息。。另一方面，，CA信息只只能出现在这这些TS包中中，不能出现现在其他TS包中。⑤在同一个TS流中，两两个CA提供供商不应使用用相同的CA-PID。。3.CMTDVB还规定定了一个用表表传输CA信信息的机制。。把ECM，，EMM以及及将来的授权权数据放在CMT（CAMessageTable条条件接收信息息表）中，更更方便过滤。。为CMT分分配了16个个tableid，从0x80到0x8F，其中中0x80，，0x81固固定用于传传送授权控制制信息，其他他的由CAS自由分配。。ECM、EMM的语法均均遵从CAmessagesection()的语语法定义。CAmessage_section()的头部能能够用于ECM、EMM的过滤。CAmessage_section()语法符合合ISO/IEC13818-1中private_section的格式，，CMT的最最大长度为256字节，，表9-3是是CMT的语语法定义。CAmessagesection(){tableid8uimsbfsectionsyntaxindicator1bslbfDVBreserved1bslbfISOreserved2bslbfCAsection_length12uimsbffor(i=0;I<N;i++){CAdata_byte8bslbf}}语法位位数类类型表9-3CMT的语法法定义表中sectionsyntaxindicator应置置为0，CAsection_length指示分段的字字节数，从CAsection_length之后开始，到到结束。CAdata_byte用于传送私有有CA信息，前17个CAdata_byte可用于地址过过滤。4.SDT和和EIT中的的freecamode字段段SDT和EIT中都有1比特的freecamode字段段，为0表示示业务（或事事件）所有的的流均未加扰扰；为1表示示接收1路或或多路码流时时需要CA系系统控制。5.DVB定义了了CA标识描描述符CA标识描述述符(CAidentifierdescriptor)表明了一个个业务群、业业务或事件与与一个条件接接收系统相关关联，并以CA_system_id标识CA系统的类型型。如果一个个服务是采用用条件访问保保护的，则可可用此描述符符传送CA系系统的数据。。该描述符并并不包含在任任何CA控制制功能中，它它用于IRD的用户界面面软件中，指指出一个服务务是哪一种CA系统控制制的，避免用用户选择一个个不可用的服服务。该描述述符的播发是是可选的，在在一个描述符符循环中仅能能出现一次。。CAidentifierdescriptor的的语语法法定定义义如如表表9-4所所示示。。CA

identifier

descriptor(){descriptor

tag8uimsbfdescriptor

length8uimsbffor(i=O;i<N;i++){CA

system_ID16uimsbf}}语法法位位数数类类型型表9-4CAidentifierdescriptor语语法法定定义义表中中descriptortag取取值值为为0x53，，descriptorlength表表示示从从下下一一字字段段至至描描述述符符结结束束的的总总字字节节数数，，CA_systemID表表明明CA系系统统的的类类型型。。这这字字段段的的分分配配值值在在ETR162[6]中中可可找找到到。。DVB有有关关条条件件接接收收的的标标准准有有:DVB-CSETR289在在数数字字广广播播系系统统中中使使用用扰扰码码和和条条件件接接收收的的支支持持，，DVB-SIMTS101197DVB系系统统中中同同时时加加密密的的技技术术规规范范，，DVB-CIEN50221条条件件接接入入和和其其他他数数字字视视频频广广播播解解码码器器应应用用的的通通用用接接口口规规范范。。我我国国相相应应的的标标准准为为GY/Z175-2001《《数数字字电电视视广广播播条条件件接接收收系系统统规规范范》》。在数数字字电电视视广广播播中中，，采采用用一一种种CA系系统统是是不不符符合合开开放放的的市市场场需需要要的的。。为为了了使使数数字字电电视视传传输输网网络络中中的的CA系系统统具具有有良良好好的的开开放放性性，，解解决决不不同同CA系系统统的的相相互互兼兼容容和和平平等等竞竞争争问问题题，，DVB组组织织提提出出了了同同密密（（Simulcrypt））与与多多密密（（Multicrypt））的的解解决决方方式式。。采用同密模式式，使得在一一个传输网络络中使用多种种CA系统成成为可能；采采用多密模式式，使得在一一个机顶盒中中接收多个CA系统的节节目成为可能能。9.3同密密和多密模式式同同密模式同密技术是指指通过使用同同一种加扰算算法和相同的的控制字，使使多个不同的的CA系统在在同一个传送送流（TS））中工作的技技术。它将两两家或两家以以上的CA系系统应用于同同一数字电视视传输网络中中，从电视运运营商的角度度实施技术的的选择与竞争争的环境，使使得在用户端端的机顶盒可可以同时接收收到采用不同同的CA技术术的节目信号号。1.同密密技技术术的的应应用用⑴实现现CA系系统统的的新新旧旧更更替替当运运营营商商发发现现原原有有的的CA系系统统不不能能满满足足需需求求，，需需要要采采用用新新的的CA系系统统来来替替代代时时，，往往往往采采用用同同密密技技术术实实现现新新旧旧CA系系统统的的平平滑滑过过渡渡。。具具体体做做法法是是在在一一个个数数字字广广播播平平台台同同时时运运行行两两个个CA系系统统，，老老用用户户继继续续使使用用原原来来的的机机顶顶盒盒，，新新用用户户就就采采用用新新的的机机顶顶盒盒，，两两个个CA系系统统在在平平台台上上有有个个交交迭迭的的使使用用期期，，直直到到新新的的机机顶顶盒盒被被普普遍遍使使用用，，老老的的机机顶顶盒盒逐逐渐渐减减少少直直到到被被完完全全替替换换。⑵实实现现多多节节目目资资源源的的业业务务拓拓展展从商商业业利利益益出出发发，，节节目目提提供供商商通通常常将将节节目目和和特特定定的的CA系系统统绑绑定定，，运运营营商商常常常常面面对对采采用用不不同同CA系系统统的的节节目目提提供供商商。。为为了了能能在在本本地地数数字字广广播播平平台台播播出出多多个个节节目目提提供供商商提提供供的的节节目目，，运运营营商商需需要要将将本本地地CA系系统统和和这这些些CA系系统统同同密密。。同同密密以以后后，，运运营营商商可可以以在在网网络络范范围围内内同同时时推推广广不不同同节节目目提提供供商商的的节节目目，，为为用用户户提提供供多多样样化化的的数数字字电电视视业业务务。。⑶实实现现跨跨区区域域的的规规模模应应用用为推推广广业业务务，，扩扩大大用用户户量量，，运运营营商商希希望望与与其其他他网网络络运运营营商商合合作作，，在在异异地地数数字字广广播播平平台台上上播播出出自自己己的的节节目目。。采采用用本本地地CA系系统统与与其其他他网网络络运运营营商商的的CA系系统统对对播播出出节节目目流流进进行行多多重重加加密密的的同同密密技技术术，，可可便便于于节节目目进进入入其其它它区区域域的的传传输输网网络络，，提提高高节节目目覆覆盖盖率率，，实实现现跨跨区区域域的的规规模模经经营营。。例例如如，，中中央央数数字字电电视视平平台台出出于于在在各各地地方方有有线线电电视视网网络络中中推推广广播播出出自自己己节节目目的的需需要要，，采采用用了了Irdeto，，NDS和和永永新新同同方方等等4家家条条件件接接收收系系统统进进行行同同密密。。2.同同密CA系系统构构成条件接接收标标准的的同密密部分分描述述前端端复用用器和和不同同加密密系统统的接接口，，目的的是使使两家家或两两家以以上的的CA系统统同时时对同同一数数字电电视节节目进进行加加扰。。同密密CA系统统架构构如图图9-13所示示，图中事事件信信息调调度器器(EIS)是是负责责处理理时间间计划划信息息、配配置、、CA特定定信息息的存存储数数据库库，为为同密密系统统中其其它部部件提提供统统一的的节目目调度度信息息。EIS可以以分布布在多多个主主机上上，由由多个个程序序和数数据库库组成成。与与各CA系系统相相关的的部件件有ECMG（（ECM发发生器器）、、EMMG（EMM发生生器））、PDG（专专用数数据发发生器器）和和CSIG（CustomSIGenerator，定定制SI信信息发发生器器）。。多个个CA系统统在同同一个个加解解扰系系统中中运行行，共共享节节目信信息，，存在在多组组上述述部件件分别别生成成各自自的ECM、EMM、专专用数数据PD和和SI信息息。要要求复复用压压缩系系统要要与不不同的的CA系统统厂家家达成成共同同协议议，建建立统统一的的接口口，并并将不不同厂厂家的的用户户管理理系统统和ECM和EMM发生生器集集成在在同一一个前前端。。这样样不同同CA系统统的运运营商商的机机顶盒盒可以以接收收同一一个经经过同同密处处理的的数字字电视视业务务。图9-13DVB同同密模模式前前端系系统的的参考考模型型PDG2事件信信息调调度器器业务信信息发发生器器PDG1EMMG2EMMG1CSIG2CSIG1节目特特定信信息生生成复用器器配置置ECMG2ECMG1复用器器加扰器器同密同步器器控制字字发生生前端设设备加密模模块组组成部部分在CA机制制中规规定不作规规定在扩展展系统统中规规定同密同同步器器(SCS)是是同步步同密密系统统的核核心部部件，，它在在系统统中负负责解解决不不同CA供供应商商ECM信信息和和控制制字CW之之间的的同步步问题题。加加扰节节目所所需的的CW由控控制字字发生生器（（CWG，，ControlWordGenerator）产产生。。复用器器配置置（MuxConfig））负责责配置置复用用器，，并且且提供供到PSI发生生器的的连接接。CA系统1和CA系系统2同时时对进入复复用器的节节目进行条条件接收控控制，它们们使用相同同的控制字字发生器和和加扰器。。但是对控控制字的加加密方式和和授权信息息各不相同同，因而产产生不同的的授权控制制信息ECMl、ECM2和和不同的授授权管理信信息EMMl、EMM2，它它们与被加加扰节目数数据流复合合后一同传传送给用户户。装有CA系系统1的机机顶盒可以以对ECMl和EMMl信号号进行解密密，接收到到CA系统统1授权的的节目。这这个装有CA系统1的机顶盒盒如果还得得到CA系系统2的授授权，也能能对ECM2和EMM2信号号进行解密密，从而接接收到CA系统2授授权的节目目。利用同同密，一个个传输网络络中传送不不同节目可可以使用多多种CA系系统，一个个接收机可可以接收多多个CA的的节目或业业务。这样样，整个广广播电视系系统CA的的设计具有有很大的灵灵活性，防防止垄断。。我国标准准规定，任任何一个服服务平台如如果选用了了国外的加加密系统，，必须与一一个国内加加密厂家做做同密。目目的是支持持我国民族族工业，引引入适度竞竞争，降低低系统和机机顶盒价格格。9.3.2多密密模式与机机卡分离多密(Multicrypt)技术是是指接收机机中对多个个不同的条条件接收系系统的节目目进行接收收的技术或或方式。多多密方案的的基本思想想是将解扰扰、解密等等条件接收收功能集中中于一个具具有通用接接口的插入入式CA模模块（CAM）中。。而接收机机中只具有有接收未加加扰的MPEG-2视频、音音频、数据据的功能。。DVB在综综合解码接接收机(IRD)和和条件接收收系统之间间定义了一一个通用接接口CI（（CommonInterface），如图图9-14所示。通通过定义和和使用通用用接口，条条件接收系系统的生产产商能够将将公共解扰扰器及专利利解密器集集成在一块块可拆卸的的模块上，，并可装入入DVB接接收机上的的插槽中。。这样做的的好处是可可以将DVB接收机机的生产和和销售与条条件接收系系统的生产产和销售分分离。从而而使得数字字电视经营营者能够根根据需要选选择不同的的接收机生生产厂商和和条件接收收系统生产产厂商。图9-14DVB条件接收系统的通用接口调谐器DVB条件接收系统的通用接口解调信道解码解扰器解复用视频解码音频解码图像声音数据微处理机微处理机通用接口口的物理理格式采采用了PCMCIA(PersonalComputerMemoryCardInternationalAssociation个个人计算算机存储储器卡国国际协会会)标准准，在DVB接接收机和和条件接接收卡之之间有一一个68线的接接口。特特殊的插插槽设计计使条件件接收卡卡在插入入时最先先供电、、拔出时时最后断断电，从从而可以以带电插插拔。该该通用接接口标准准还规定定了条件件接收模模块的形形式参数数和性能能。通用用接口在在一个物物理接口口中包括括两个逻逻辑接口口：第一一个是MPEG传送数数据流接接口，它它将解调调以后的的MPEG-2比特流流送入条条件接收收模块，，条件接接收模块块根据授授权控制制系统的的授权，，对加扰扰的MPEG-2比特特流进行行解扰，，然后将将处理后后的MPEG-2比特特流送回回DVB接收机机；第二二个是命命令接口口，在DVB接接收机和和条件接接收卡之之间传递递控制信信息。它它可以使使条件接接收模块块能够与与DVB接收机机中的调调制解调调器、显显示器件件等进行行通信，，而并不不要求DVB接接收机必必须理解解其细节节。多密技术术要求接接收机采采用CI接口，，实现同同一接收收机可以以接收不不同CA系统加加密节目目，从用用户角度度来讲，，不会因因购买一一家CA接收机机而受到到限制，，用户还还有选择择其他CA服务务的可能能性。当当CA系系统需要要更新时时，只需需更换CA模块块，不需需要更换换接收机机。图9-15是多密密模式的条件接接收系统统示意图图。在发送端端，节目目提供商商提供的的第1套套节目由由条件接接收系统统1加扰扰，经调调制后传传输。节节目提供供商提供供的第2套节目目由条件件接收系系统2加加扰，经经调制后后传输。。在接收收端，用用户只要要在其接接收机的的公用接接口上分分别插上上条件接接收系统统1和2的子系系统模块块，就可可以用这这个接收收机接收收到第1套和第第2套节节目；若若在接收收机上只只装有条条件接收收系统1的子系系统，则则该接收收机只能能正确接接收第1套节目目，即使使是在发发送端授授权该接接收机能能接收第第2套节节目，但但由于没没有安装装条件接接收系统统2的子子系统，，则还是是不能接接收到第第2套节节目。当当发送端端有多个个节目提提供商提提供多套套节目时时，可以以类推。。图9-15多密模式的CA系统示意图复用器加扰器第1套节目条件接收1控制字发生器调制器信道接收机A通用接口复用器加扰器第2套节目条件接收2控制字发生器调制器条件接收1子系统模块第1套节目接收机B通用接口条件接收2子系统模块接收机C通用接口条件接收1子系统模块条件接收2子系统模块第2套节目第1、2套节目机卡分离离是指接接收机和和CA功功能的分分离。机机顶盒做做成如同同电视机机一样统统一的格格式在市市场上销销售，像像手机一一样，用用户根据据不同的的接收情情况(有有线、卫卫星或地地面，不不同的CAS)买不同同的卡，，这样机机顶盒生生产企业业就不再再受CA厂商的的约束。。随着集集成电路路的发展展，将来来中间件件也可以以做在卡卡上，很很多数字字电视的的运营、、增值服服务软件件都可以以放在卡卡里。同时，网络运运营商被解放放出来，可以以全心全意做做好网络运营营和增值服务务。消费者拥拥有了选择机机顶盒的权利利。机卡分离是我我国数字电视视产业发展的的关键政策，，能使企业逐逐渐形成规模模发展，整个个产业链的各各个环节都能能充分调动起起来，形成良良性循环的态态势。信息产业部已已成立了机卡卡分离标准工工作组还专门门成立了生产产发展基金给给与支持。目目前我国工程程技术人员开开发出的机卡卡分离方案主主要有:PCMCIA大