CMMB的CA技術(shù)體系

在剛剛結(jié)束的CCBN2010“數(shù)字電視傳輸與測試論壇”上，中廣傳播技術(shù)部副總經(jīng)理周紅君發(fā)表演講，主題是《CMMB的CA技術(shù)體系》，全文見下：

什么是條件接收系統(tǒng)？條件接收系統(tǒng)就是CAS，Conditional? Access? System，條件接收系統(tǒng)為移動多媒體廣播業(yè)務(wù)提供傳輸過程中的保護，就是針對業(yè)務(wù)的廣播通道進行保護，通常在播出時針對移動多媒體業(yè)務(wù)加入CA條件接收控制機制。采用CA，可以針對業(yè)務(wù)活業(yè)務(wù)包向指定用戶或一組用戶進行授權(quán)，使得只有有授權(quán)的用戶和用戶組才能夠接收我們相關(guān)的業(yè)務(wù)。

現(xiàn)在中廣傳播現(xiàn)有條件接收系統(tǒng)，采用了三套CA系統(tǒng)來進行前端同密。分為兩塊：一是單向條件接收系統(tǒng)Nagravision CAS系統(tǒng)。二是雙向條件接收系統(tǒng)，周一下午和中國移動開了一個手機業(yè)務(wù)三網(wǎng)融合的發(fā)布會。我們已經(jīng)開始了與中國移動開始手機業(yè)務(wù)的合作運營。

單向條件接收系統(tǒng)

包括幾個模塊，一是密鑰體系，系統(tǒng)構(gòu)成、系統(tǒng)接口、系統(tǒng)功能、分布式的系統(tǒng)方案。

CA密鑰體系，采用傳統(tǒng)的密鑰模型為基礎(chǔ)，建立密鑰安全管理與授權(quán)控制管理及分發(fā)機制，利用我們加擾技術(shù)，實現(xiàn)對移動多媒體廣播業(yè)務(wù)的條件接收。四層密鑰體系包括用戶注冊層、授權(quán)/安全管理層、授權(quán)控制層和業(yè)務(wù)加擾層。四層體系采用分層保護的模式，每個密鑰都有自己的生命周期，下層密鑰需要上層密鑰進行加密和傳輸。

我們通過第三層下發(fā)的SK來對JCW進行加密，加密完成之后會生成授權(quán)控制信息，就是ECM，這個控制信息根據(jù)隨路的每一套業(yè)務(wù)并行隨路，通過廣播電視通道進行下發(fā)。

業(yè)務(wù)密鑰如何進行保護

業(yè)務(wù)密鑰通過用戶每一個獨立的用戶UK對SK進行加密保護，生成授權(quán)管理信息叫EMM，這個EMM可以通過廣播通道傳輸，也可以通過其它雙向通道來傳輸?shù)浇K端上去。

最上面一層是用戶注冊層，每個用戶注冊到CA系統(tǒng)里，我們可以分配到他一個密鑰，頭端系統(tǒng)里會生成這個密鑰，終端里我們把這個密鑰進行置入。每一層密鑰在頭端進行加密，發(fā)送到終端，終端側(cè)由上向下依次解密，保證我們的業(yè)務(wù)能進行有效控制和傳輸。

CMMB前端位置有一個音視頻節(jié)目源平臺，通過音視頻解碼器進行編碼和分塊處理之后會送到加擾器設(shè)備單元當中，加擾器會根據(jù)CA系統(tǒng)采用統(tǒng)一接口的模式，根據(jù)密鑰體系模式對最下面一層的節(jié)目流進行業(yè)務(wù)加擾，同時CA會把相應(yīng)的ECM、EMM送到送到節(jié)流塊，然后通過發(fā)射機送到最終用戶上去。

CA系統(tǒng)的工程

CA系統(tǒng)包含兩大塊，一是前端子系統(tǒng)，一是終端子系統(tǒng)。前端子系統(tǒng)包含了節(jié)目信息管理模塊，加擾模塊以及CA模組模塊，CA模組模塊里包含兩塊，一是健全管理模塊，二是電子錢包模塊。運營支撐系統(tǒng)有一個運營支撐系統(tǒng)接口和條件接收系統(tǒng)監(jiān)管接口。終端子系統(tǒng)里包含兩大模塊，一是EAM-C，對CA系統(tǒng)進行解密處理的一個模塊，會對ECM、EMM解密處理，生成JMW控制志，然后把控制志送到加擾模塊，JMW控制志會根據(jù)加密內(nèi)容進行解擾，獲得具體的任務(wù)。

在終端上，我們把底層數(shù)據(jù)接收完、解擾完會送到終端三層應(yīng)用進行播放或者解析處理。剛才也介紹了前端和終端，移動多媒體廣播條件接收系統(tǒng)前端對輸入的視音頻流進行加擾，通過廣播信道和雙向信道發(fā)送條件接收的授權(quán)和錢包信息，完成業(yè)務(wù)的加密保護傳送和合法授權(quán)控制管理，是實現(xiàn)各項業(yè)務(wù)的傳輸。終端是實現(xiàn)條件業(yè)務(wù)接收。

加擾流程我們選用了ISMACryp加擾模式，音視頻和廣播電視內(nèi)容，通過加擾轉(zhuǎn)換以后可以形成IP包在網(wǎng)絡(luò)進行傳輸，ISMACryp會對每一個數(shù)據(jù)段競合進行加擾，之后把CMMB加擾信息加到原來的AU頭里，形成新的AU頭。數(shù)據(jù)廣播流都是通過這種加擾方式送到廣播器里。這樣實現(xiàn)了前端業(yè)務(wù)的加擾。

CA系統(tǒng)是一個復(fù)雜的系統(tǒng)，不僅包含里面子系統(tǒng)復(fù)雜的接口，還包含著與系統(tǒng)之間的接口，通過傳輸網(wǎng)絡(luò)完成端到端之間的接口。比如加擾和數(shù)據(jù)加擾通過這樣的模式形成MM和EM，我們把輕流業(yè)務(wù)加擾之后通過廣播網(wǎng)送到終端。

整個CA系統(tǒng)里的主要功能到底有哪些？分為四大塊：

1、訂戶自助功能，通過CA在終端上可以查詢PIN碼，也就是CMMB的序列號，每一個用戶有獨立的ID號，通過這個ID號會用戶密鑰做一一對應(yīng)的關(guān)系，同時我們會把相關(guān)信息，版本進行顯示管理。

2、CA授權(quán)管理功能，主要包含了三塊：開戶/小戶功能、授權(quán)功能、反授權(quán)功能。

3、終端自訂購功能，包括以前在有線電視里有IPPV、IPPT訂購方式，按次付費或者按時間段來付費的付費模式。

4、電子錢包模塊，我們這次在CMMB條件接收系統(tǒng)里有一個比較創(chuàng)新的模式，就是在條件接收器里增加了電子錢包，我們可以通過EMM的方式來把我們用戶頭端賬戶上的錢充值到終端上，充值完了之后可以在終端本地進行消費，還有充值碼充值。

這是按照幾大功能來把CA功能進行描述：

1、產(chǎn)品。我們這里有一個產(chǎn)品A，它包含了CCTV3—CCTV5、CCTV新聞，我們打包成一個產(chǎn)品給用戶進行授權(quán)。

2、按照各種打包組合進行。比如節(jié)目組A，可以包含產(chǎn)品1，同時可以加入一個新的產(chǎn)品，比如湖北衛(wèi)視和CCTV1，和產(chǎn)品2、產(chǎn)品1組合成一個節(jié)目組A組成進行節(jié)目授權(quán)管理。

3、加密不收費的模式，就是Free2L，用戶只要插入CA卡無需注冊即可以免費收看，不插卡不可以進行收看。

4、IPPT，前端在ECM中加入每觀看多少時長所需要的錢數(shù)或點數(shù)信息，定戶在節(jié)目播出時，通過UI界面以本地交互的方式購買，相應(yīng)的前的可以在之前的電子錢包里扣除。

5、按節(jié)目付費，也是通過IPPV實現(xiàn)，前端在ECM中加入段看某節(jié)目的信息，具體的費用可以在電子錢包中扣除。

最重要的部分是電子錢包，一是通過EMM來充值，二是通過充值碼充值，三是通過圈存機進行充值。這樣的電子錢包功能與大家在日常生活中用到的公交一卡通一樣，通過錢包本地化來進行處理。

全國分布式CAS部署方案，現(xiàn)在每個省都會部署CA系統(tǒng)來支撐全國用戶授權(quán)和訂購管理。

分布式CAS方案

分為兩塊，一是中央CA，主要對中央節(jié)目，比如CCTV1、CCTV5進行管理，包括負責中央節(jié)目的產(chǎn)品定義和內(nèi)容加擾。二是省級CA負責地市節(jié)目管理，負責地方節(jié)目的產(chǎn)品定義和內(nèi)容的加擾控制，為地方用戶生成EMM，對中央定義的產(chǎn)品實現(xiàn)訂購和取消，對地方定義的產(chǎn)品實現(xiàn)訂購和取消，地方節(jié)目的授權(quán)更新以及中央節(jié)目的授權(quán)更新。

中央平臺業(yè)務(wù)實際上實現(xiàn)了全國業(yè)務(wù)的中央包的加密，我們通過衛(wèi)星鏈圖通道通過中間的平臺向全國、全省進行傳送，傳送AV流和ECM，還要完成全國業(yè)務(wù)產(chǎn)品包的定義。升一級平臺將在中央已經(jīng)加密的全國業(yè)務(wù)通過本地U波段再廣播，不需要再進行加密，因為在中央已經(jīng)進行過加以，省平臺只需要對本地業(yè)務(wù)進行加密，比如說省一套、地市一套進行加密傳輸就行了。它還要完成一個用戶管理和本地業(yè)務(wù)管理。

中央系統(tǒng)，所有中央音視頻節(jié)目通過我們加擾器、射頻器通過衛(wèi)星傳輸?shù)饺珖魇【W(wǎng)絡(luò)當中去，各地市通過這樣的接收機把中央的節(jié)目接收下來，每個省里、地市里會有自己的音視頻編碼器，包括數(shù)據(jù)平臺，通過我們的加擾器會送到接收器，結(jié)合通過衛(wèi)星收下來的中央節(jié)目一塊兒到復(fù)用器里復(fù)用，然后到本地調(diào)節(jié)發(fā)射，這樣不管甲地還是乙地都可以看到中央所有節(jié)目，也可以看到本地所有節(jié)目，只要訂購中央的節(jié)目，都可以看到中央業(yè)務(wù)。

CA系統(tǒng)通過全國VPN網(wǎng)絡(luò)，把省、中央、各地市CA進行連接，形成一張分布式CA網(wǎng)絡(luò)，包括ECMG、管理系統(tǒng)、數(shù)據(jù)庫都是通過VPN網(wǎng)絡(luò)進行注冊和數(shù)據(jù)同步。地市是直接通過接收中央節(jié)目來實現(xiàn)本地的節(jié)目的傳輸，通過衛(wèi)星接收方式把中央傳輸下來的音頻、視頻數(shù)據(jù)、ECM、EMM都收下來。

省—地市的功能模塊

現(xiàn)在我們建立的是全國300多個地市體系網(wǎng)絡(luò)，為了節(jié)省資源，方便我們管理，我們只在每個省里配一套CA系統(tǒng)，每個地市不會有獨立的CA系統(tǒng)，我們對每個地市節(jié)目進行加擾，通過省里服務(wù)器，通過VPN網(wǎng)絡(luò)連接到各個地市編碼加擾前端，通過VPN網(wǎng)絡(luò)實現(xiàn)遠程加密，把生成相應(yīng)的ECM、EMM通過相應(yīng)的網(wǎng)絡(luò)發(fā)到每個地市的接收器上去。

我們與中國移動合作的完全自主產(chǎn)權(quán)的雙向條件接收系統(tǒng)。

包含四大塊：密鑰體系、系統(tǒng)構(gòu)成、系統(tǒng)功能和系統(tǒng)部署方案。

我們與中國移動合作的這套雙向條件接收系統(tǒng)也分成四層密鑰體系。

在下面這幾層基本上與單向是完全一樣的，輕流的未加密節(jié)目流，傳輸?shù)竭@變，通過CW進行加密，CW也通過業(yè)務(wù)密鑰進行一次加密，能夠生成ECM，隨著廣播信道通過加密來一塊兒通過廣播網(wǎng)絡(luò)發(fā)射到終端去。

密鑰終端這層就多了一層不同的內(nèi)容，有一個雙密鑰體系，里面有兩次加密的過程，首先經(jīng)過廣電密鑰系統(tǒng)加第一次密，然后我們會把加了密的密鑰傳輸?shù)街袊苿觽?cè)端，中國移動會用自己的用戶密鑰對加密密鑰再進行一次加密，通過中國移動雙向GPS或3G網(wǎng)絡(luò)傳輸?shù)浇K端側(cè)，終端側(cè)首先會根據(jù)中國移動SIM卡健全，拿到中國移動用戶密鑰，會對加密后的密鑰消息進行初步解密。完了之后送到廣電密鑰處理模塊，拿我們終端上唯一對應(yīng)的廣電用戶密鑰對它進行再解密，這樣可以得到廣電自己產(chǎn)生的業(yè)務(wù)密鑰，實現(xiàn)雙向授權(quán)信息的通道打通。業(yè)務(wù)流程也是一樣，首先解密出CW，然后是控制志，再解密加密流，再找到輕流節(jié)目。

兩層密鑰體系中非常重要的是廣電密鑰，是采用28位對稱密鑰，由廣電用戶密鑰管理設(shè)備進行生成和保存，當我們接收到業(yè)務(wù)密鑰請求時，我們使用的廣電用戶密鑰對這個業(yè)務(wù)密鑰進行先加密。這是幾個層次往返的健全過程，最上層是中國移動最簡單的SIM健全過程，包括生成共享密鑰，存儲在業(yè)務(wù)平臺和終端側(cè)。從這側(cè)開始，終端會發(fā)起HTTP的請求，向中國移動請求這樣的密鑰，中國移動拿到這樣的請求之后會在此向廣電管理系統(tǒng)進行密鑰的請求，我們用28位的廣電用戶密鑰加密之后會對業(yè)務(wù)密鑰返回給NAF系統(tǒng)，NAF系統(tǒng)進行再加密，傳輸?shù)浇K端上去，然后依次進行解密。

廣電側(cè)系統(tǒng)主要完成音視頻編碼、數(shù)據(jù)廣播業(yè)務(wù)生成、業(yè)務(wù)加密、業(yè)務(wù)指南生成、移動多媒體廣播信號的復(fù)用、發(fā)射，以及廣電側(cè)用戶訂購關(guān)系管理、用戶密鑰管理、用戶認證鑒權(quán)和計費等。中國移動側(cè)完成移動多媒體廣播業(yè)務(wù)管理系統(tǒng)主要完成業(yè)務(wù)指南的分發(fā)，用戶訂購關(guān)系管理，認證管理以及計費。