第9章数字电视的条件接收

第9章数字电视的条件接收●CA系统的组成及工作原理●MPEG-2以及DVB标准中有关CA的规定●同密和多密模式9.1CA系统的组成及工作原理用户管理系统节目信息管理系统用户授权系统加密系统加扰系统业务信息生成系统智能卡和解扰系统CA系统是一个综合性的系统，集成了数据加密和解密、加扰和解扰、智能卡等技术，同时也涉及到用户管理、节目管理、收费管理等信息应用管理技术，能实现各项数字电视广播业务的授权管理和接收控制。CA系统主要由用户管理系统、节目信息管理系统、用户授权系统、加扰/解扰器、加密/解密器、控制字发生器、伪随机二进制位序列发生器（PRBSG）、智能卡等部分组成，其工作原理方框图如图9-1所示。图9-1CA系统原理方框图复用器加扰器调制器功放解调器解扰器解复用控制字加密器A业务密钥加密控制字发生器用户授权系统用户管理系统视频、音频、数据EMM信道PRBSGECM智能卡授权帐单支付SKCWPDKPRBSG控制字解密器ACWECM业务密钥解密SKEMMPDK条件接收子系统视频、音频、数据用户管理系统（SMS）是支撑运营和管理运营的一个综合业务平台，是数字电视综合业务平台的一部分。实现数字电视系统的用户信息、业务信息、资源信息、用户的节目预订信息、用户授权信息、账务计费、客服等管理功能，并根据业务需要提供与相关外部系统进行互连的接口。SMS根据用户订购节目和收看节目的情况，一方面向授权管理系统发出指令，决定哪些用户可以被授权收看哪些节目或接受哪些服务；另一方面向用户发送帐单。授权管理系统在用户管理系统发出的指令控制下，产生出业务密钥。节目信息管理系统的主要功能是为即将播出的节目建立节目表。节目表包括频道、日期和时间安排，也包括要播出的各个节目的CA信息。9.1.1用户管理系统和节目信息管理系统条件接收系统发送端工作原理用控制字对TS流进行加扰根据用户要求形成授权信息对授权信息处理生成EMM对控制字进行加密生成ECM加扰后码流、ECM、EMM复用输出9.1.2加扰、解扰和控制字所谓加扰就是对传送流（TS）中的视频码流、音频码流或辅助数据进行有规律的扰乱，使得未授权用户无法对视频/音频码流进行解码，从而防止节目的自由接收。那么，加扰是如何实现的呢，授权用户又是如何通过解扰恢复出加扰前的原始数据？图9-2流加密示意图PRBSGSBIB＋输入输出CWKB由于加扰对象是数据流，而且要求实时加扰，因此，要采用能够满足实时性要求的流加密算法,如图9-2所示。图中PRBSG是伪随机二进序列发生器；KB是由CW产生的一个伪随机二进序列(PRBS)，IB是要加密的数据流，SB是加密后的数据流。中间的运算是模2加(异或，XOR)。可以证明，如果KB是随机的，那么在攻击者（黑客）只知道SB的情况下，这个加密算法是不可破译的。但是随机的KB要和IB有相同长度的比特流，这实际上是不可行的。为此，设计了由一个控制字（ControlWord，CW）控制的伪随机二进制位序列发生器（PRBSG），产生一个好像是随机的序列，称为伪随机二进制位序列（PRBS），作为密钥比特流。所以，加扰就是在发送端将原始数据流与PRBS进行模2加运算，得到被加扰的数据流。在接收端，用一个和发送端结构相同的PRBSG，只要收、发两端间的PRBS同步（即用同一个初始值启动），则接收端的PRBSG产生的PRBS就和发送端的完全一样。用这个PRBS作为解扰序列，与被加扰的数据流做同样的模2加运算，就可恢复出加扰前的原始数据流。由此可见，解扰的关键是要得到用于同步收、发两端PRBS的初始值（是一个随机数），这个初始值就称为“控制字”（CW）。MPEG-2标准没有推荐任何具体的加扰算法，只对传送流中运用的加扰方案规定了框架。但是，世界范围内主要的数字电视标准已经规定或推荐了一些有效的算法，例如，欧洲的DVB规定了通用加扰（commonscrambling，64位控制字）技术规范，美国的ATSC选择了三重DES算法（168位控制字），也能实施数据加密标准（DataEncryptionStandard，DES）算法，日本使用了松下公司提出的一种加扰算法。而一些前端制造商建议使用有专利权的方案。但很显然，为了增强前端及终端的互操作性和降低机顶盒的成本，使用标准的或推荐的算法是最好的方式。DVB通用加扰算法指定了块（分组）加密和流（序列）加密两种不同的加密算法。块加密算法利用可逆密码分组链模式对8字节数据的单位块进行加密，流加密是用一个PRBSG产生的数据来进行加密，如图9-3所示。首先将待加扰的TS包中的有效净荷数据按每块8字节分为字节块，如果该TS包没有适配字段，则除包头以外的184字节可分成23个字节块。采用可逆密码分组链加密方法对这23个字节块进行块加密，然后再用控制字对加密后的块（这里称之为中间块）进行流加密，也就是用控制字CW产生PRBS对有关数据进行加密。其中块加密所用到的密钥Key是控制字通过不同的调度算法得到的数据密钥。基于这种算法，解扰算法需要从流解密开始，然后进行块解密最终达到对TS包的有效净荷数据进行解扰。图9-3DVB通用加扰算法示意图PB1PB2PB22PB23…IB1IB2IB22IB23…SB1SB2SB22SB23…KeyCW明文块(184Byte)块加密中间块流加密加密块流加密反向密码分组链接加密9.1.3控制字加密与传输控制从前面加扰与解扰原理可以看出，在接收端只要能及时解出控制字，则采用相同解扰算法就能恢复出原始数据。因此，CA系统的关键是采用多重密钥传输机制将控制字安全地传送到经过授权的用户端。通常，CA系统采用三重密钥传输机制，它们分别是控制字（CW）、业务密钥（SK）和个人分配密钥（PDK）。1.控制字CW控制字(ControlWord，CW)又称密钥(Key)。欲加扰的TS包先用CW进行块加密和流加密。因为根据PRBS有可能破译CW，所以在可能被破译之前要更换控制字CW。更换CW的频率要考虑同步时间和数据量。如果更换CW的时间间隔为t，那么当用户切换到某一个经过加扰的节目时，最多要等待t，平均要等待t／2，才能开始解扰。因此更换CW的时间间隔不能过长。如果间隔时间太短，则控制字的数据量会很大，也增加了产生CW的难度。通常控制字每隔2~10秒就要更换一次。2.业务密钥SK在具体应用中，对CW进行加密的密钥可以按网络运营商要求经常加以改变，通常由服务提供商产生用来控制其提供的业务，所以把它称为业务密钥（SK）。SK和用户的付费有关，实际上就是用户的授权信息。用户一个月付费一次，SK也按月变化，没有付费的用户将得不到新密钥。在SK更换时期新SK要通过寻址发给每个已付费的用户，用户的解扰器收到新SK后先暂时存放起来，然后在规定的时刻启用新SK。有时把新旧SK称为“奇密钥”和“偶密钥”。对CW加密的算法因CA系统而不同。用业务密钥（SK）加密处理后的控制字放在授权控制消息（EntitlementControlMessages，ECM）中传送，ECM中还包括节目来源、时间、内容分类和节目价格等节目信息。ECM要和已加扰的视频、音频或数据码流复用在一起传到接收端。接收端在收到ECM后还必须用与发送端加密时所用的同一密钥进行解密才能得到控制字，所以，这个对控制字进行加密的业务密钥SK也要由发端传送过来。3.个人分配密钥PDK为了保护SK，用每个解扰器或智能卡的地址码(CARDID)作为密钥来对SK进行加密，这个密钥称为个人分配密钥(PDK)。用PDK加密处理后的业务密钥（SK）放在授权管理消息（EMM）中传送。EMM是一种授权用户对某种业务进行解扰的信息，它包含了用户订购节目信息，指定了用户对业务的授权等级。由于有多种收费业务，如按次付费收视（PPV）、即时按次付费收视（IPPV）和VOD等，因此用户授权系统要对用户在什么时间看，看什么频道节目进行授权。需要注意的是，PDK和解扰器或者智能卡的编号(CARDNO)不是同一个概念。编号是公开的，PDK是绝对保密的。但是编号和PDK之间有个映射关系。一个容量为一百万用户的CA系统用20位长的编号就够了，但是PDK需要更多的位数以保证破译的难度。CW，SK和PDK构成了CA系统的三级密钥体制。对广播数据、CW和SK的保护采用的都是软件技术，对PDK的保护不仅需要软件技术，还需要硬件技术，常用的有智能卡技术。9.1.4加密算法1.对称密码体系与非对称密码体系对称密码体系(秘密密钥加密)的加密密钥和解密密钥相同，或者由其中的任意一个可以很容易地推导出另一个。非对称密码体系（公开密钥加密）把加密和解密的能力分开，加密和解密分别用两个不同的密钥实现，不可能由加密密钥推导出解密密钥，也不可能由解密密钥推导出加密密钥。采用非对称密码体系的每个用户都有一对选定的密钥，其中一个是可以公开的，另一个由用户自己秘密保存。对称密钥方法比非对称方法快得多。如DES密码在软件实现时至少比非对称密码RSA快100倍，在专门的硬件上实现时可能快10000倍。2.DES算法简介DES（DataEncryptionStandard）是1977年正式确定为美国国家标准的加密算法，它是对称密码体系中应用最广泛的算法之一，既可用于加密又可用于解密。DES密码是一种采用传统加密方法的分组密码。首先把输入的数据比特流以每64比特为一组进行分组；然后以每一组作为加密单元，在16个子密钥（每个子密钥的长度为48比特）的控制下进行16轮的非线性变换后输出一组64比特长的密文。这16个子密钥是由同一个64比特的密钥源K1、K2…K64经循环移位及置换选择产生。而这64比特的密钥源中只有56比特是随机的，所有8的倍数位K8、K16…K64是奇偶校验位。也就是说DES的密钥总量为256＝7.2×1016个。3.RSA算法简介已知两个大素数p和q，求其乘积n很容易；反之，已知乘积n要求出p和q就很困难，这就是大整数因子分解问题。1977年，由麻省理工学院的Rivest、Shamir和Adleman联合提出的RSA算法就是基于大整数分解的非对称密码体系（又称公开密钥密码体系）的代表算法。RSA的基础是数论的欧拉定理，它的安全性依赖于大整数因子分解的困难性。在n较大时，大整数因子分解是计算上困难的问题，目前还不存在一般性的有效解决算法。RSA算法的加解密过程通过3个参数e，d，n来实现，加密运算为y=xe(modn)，解密运算为x=yd(modn)，同余方程的意思是：加密时将明文x自乘e次，然后除以模数n，所得余数便是密文y；解密运算是将密文y自乘d次，除以模数n，所得余数便是明文x。9.1.5用户端的解密与解扰在接收端，用户如果需要收看加扰的节目，首先需要从传送流中找到条件接收表（CAT），CAT的PID为0x0001，在CAT中找到相应加密的EMM。通过智能卡中个人分配密钥（PDK）来解密EMM，然后根据解出的EMM来判断本智能卡是否被授权收看该套节目。如果没有授权将不能解密出业务密钥（SK），用户就不能收看该套节目；相反，如果该智能卡已被授权，则可以通过解密EMM得到SK，利用它可以对ECM进行解密，从而得到加扰节目的控制字（CW），CW又被用来触发和发送端相同的PRBSG产生PRBS，该序列再通过解扰器对节目实现解扰就可以使节目能被正常收看。可以看出整个数字电视广播CA系统的安全性得到了三重保护：●第一重保护是用控制字CW对复用器输出的视频、音频和数据码流进行加扰，使其在接收端不经过解扰就不能正常收看、收听；●第二重保护是用业务密钥SK对控制字加密，这样即使控制字在传送给用户的过程中被盗，偷盗者也无法对加密后的控制字进行解密；●第三重保护是用PDK对业务密钥的加密，非授权用户即使在得到业务密钥，也不能轻易解密。解不出业务密钥就解不出正确的控制字，没有正确的控制字就无法解出并获得正常信号的TS流。为了能提供不同级别、不同类型的各种服务，一套CA系统往往为每个用户分配好几个PDK，来满足丰富的业务需求。在已实际运营的多套CA系统(主要在欧美)中使