什么是條件接收" title="條件接收">條件接收系統(tǒng)?條件接收系統(tǒng)就是CA" title="CA">CAS,Conditional Access System,條件接收系統(tǒng)為移動(dòng)多媒體廣播業(yè)務(wù)提供傳輸過(guò)程中的保護(hù),就是針對(duì)業(yè)務(wù)的廣播通道進(jìn)行保護(hù),通常在播出時(shí)針對(duì)移動(dòng)多媒體業(yè)務(wù)加入 CA條件接收控制機(jī)制。采用CA,可以針對(duì)業(yè)務(wù)活業(yè)務(wù)包向指定用戶或一組用戶進(jìn)行授權(quán),使得只有有授權(quán)的用戶和用戶組才能夠接收我們相關(guān)的業(yè)務(wù)。
現(xiàn)在中廣傳播現(xiàn)有條件接收系統(tǒng),采用了三套CA系統(tǒng)來(lái)進(jìn)行前端同密。分為兩塊:一是單向條件接收系統(tǒng)Nagravision CAS" title="CAS">CAS系統(tǒng)。二是雙向條件接收系統(tǒng),周一下午和中國(guó)移動(dòng)開(kāi)了一個(gè)手機(jī)業(yè)務(wù)三網(wǎng)融合的發(fā)布會(huì)。我們已經(jīng)開(kāi)始了與中國(guó)移動(dòng)開(kāi)始手機(jī)業(yè)務(wù)的合作運(yùn)營(yíng)。
單向條件接收系統(tǒng)
包括幾個(gè)模塊,一是密鑰體系,系統(tǒng)構(gòu)成、系統(tǒng)接口、系統(tǒng)功能、分布式的系統(tǒng)方案。
CA密鑰體系,采用傳統(tǒng)的密鑰模型為基礎(chǔ),建立密鑰安全管理與授權(quán)控制管理及分發(fā)機(jī)制,利用我們加擾技術(shù),實(shí)現(xiàn)對(duì)移動(dòng)多媒體廣播業(yè)務(wù)的條件接收。四層密鑰體系包括用戶注冊(cè)層、授權(quán)/安全管理層、授權(quán)控制層和業(yè)務(wù)加擾層。四層體系采用分層保護(hù)的模式,每個(gè)密鑰都有自己的生命周期,下層密鑰需要上層密鑰進(jìn)行加密和傳輸。
我們通過(guò)第三層下發(fā)的SK來(lái)對(duì)JCW進(jìn)行加密,加密完成之后會(huì)生成授權(quán)控制信息,就是ECM,這個(gè)控制信息根據(jù)隨路的每一套業(yè)務(wù)并行隨路,通過(guò)廣播電視通道進(jìn)行下發(fā)。
業(yè)務(wù)密鑰如何進(jìn)行保護(hù)
業(yè)務(wù)密鑰通過(guò)用戶每一個(gè)獨(dú)立的用戶UK對(duì)SK進(jìn)行加密保護(hù),生成授權(quán)管理信息叫EMM,這個(gè)EMM可以通過(guò)廣播通道傳輸,也可以通過(guò)其它雙向通道來(lái)傳輸?shù)浇K端上去。
最上面一層是用戶注冊(cè)層,每個(gè)用戶注冊(cè)到CA系統(tǒng)里,我們可以分配到他一個(gè)密鑰,頭端系統(tǒng)里會(huì)生成這個(gè)密鑰,終端里我們把這個(gè)密鑰進(jìn)行置入。每一層密鑰在頭端進(jìn)行加密,發(fā)送到終端,終端側(cè)由上向下依次解密,保證我們的業(yè)務(wù)能進(jìn)行有效控制和傳輸。
CMMB" title="CMMB">CMMB前端位置有一個(gè)音視頻節(jié)目源平臺(tái),通過(guò)音視頻解碼器進(jìn)行編碼和分塊處理之后會(huì)送到加擾器設(shè)備單元當(dāng)中,加擾器會(huì)根據(jù)CA系統(tǒng)采用統(tǒng)一接口的模式,根據(jù)密鑰體系模式對(duì)最下面一層的節(jié)目流進(jìn)行業(yè)務(wù)加擾,同時(shí)CA會(huì)把相應(yīng)的ECM、EMM送到送到節(jié)流塊,然后通過(guò)發(fā)射機(jī)送到最終用戶上去。
CA系統(tǒng)的工程
CA系統(tǒng)包含兩大塊,一是前端子系統(tǒng),一是終端子系統(tǒng)。前端子系統(tǒng)包含了節(jié)目信息管理模塊,加擾模塊以及CA模組模塊,CA模組模塊里包含兩塊,一是健全管理模塊,二是電子錢(qián)包模塊。運(yùn)營(yíng)支撐系統(tǒng)有一個(gè)運(yùn)營(yíng)支撐系統(tǒng)接口和條件接收系統(tǒng)監(jiān)管接口。終端子系統(tǒng)里包含兩大模塊,一是EAM-C,對(duì)CA系統(tǒng)進(jìn)行解密處理的一個(gè)模塊,會(huì)對(duì)ECM、EMM解密處理,生成JMW控制志,然后把控制志送到加擾模塊,JMW控制志會(huì)根據(jù)加密內(nèi)容進(jìn)行解擾,獲得具體的任務(wù)。
在終端上,我們把底層數(shù)據(jù)接收完、解擾完會(huì)送到終端三層應(yīng)用進(jìn)行播放或者解析處理。剛才也介紹了前端和終端,移動(dòng)多媒體廣播條件接收系統(tǒng)前端對(duì)輸入的視音頻流進(jìn)行加擾,通過(guò)廣播信道和雙向信道發(fā)送條件接收的授權(quán)和錢(qián)包信息,完成業(yè)務(wù)的加密保護(hù)傳送和合法授權(quán)控制管理,是實(shí)現(xiàn)各項(xiàng)業(yè)務(wù)的傳輸。終端是實(shí)現(xiàn)條件業(yè)務(wù)接收。
加擾流程我們選用了ISMACryp加擾模式,音視頻和廣播電視內(nèi)容,通過(guò)加擾轉(zhuǎn)換以后可以形成IP包在網(wǎng)絡(luò)進(jìn)行傳輸,ISMACryp會(huì)對(duì)每一個(gè)數(shù)據(jù)段競(jìng)合進(jìn)行加擾,之后把CMMB加擾信息加到原來(lái)的AU頭里,形成新的AU頭。數(shù)據(jù)廣播流都是通過(guò)這種加擾方式送到廣播器里。這樣實(shí)現(xiàn)了前端業(yè)務(wù)的加擾。
CA系統(tǒng)是一個(gè)復(fù)雜的系統(tǒng),不僅包含里面子系統(tǒng)復(fù)雜的接口,還包含著與系統(tǒng)之間的接口,通過(guò)傳輸網(wǎng)絡(luò)完成端到端之間的接口。比如加擾和數(shù)據(jù)加擾通過(guò)這樣的模式形成MM和EM,我們把輕流業(yè)務(wù)加擾之后通過(guò)廣播網(wǎng)送到終端。
整個(gè)CA系統(tǒng)里的主要功能到底有哪些?分為四大塊:
1、訂戶自助功能,通過(guò)CA在終端上可以查詢PIN碼,也就是CMMB的序列號(hào),每一個(gè)用戶有獨(dú)立的ID號(hào),通過(guò)這個(gè)ID號(hào)會(huì)用戶密鑰做一一對(duì)應(yīng)的關(guān)系,同時(shí)我們會(huì)把相關(guān)信息,版本進(jìn)行顯示管理。
2、CA授權(quán)管理功能,主要包含了三塊:開(kāi)戶/小戶功能、授權(quán)功能、反授權(quán)功能。
3、終端自訂購(gòu)功能,包括以前在有線電視里有IPPV、IPPT訂購(gòu)方式,按次付費(fèi)或者按時(shí)間段來(lái)付費(fèi)的付費(fèi)模式。
4、電子錢(qián)包模塊,我們這次在CMMB條件接收系統(tǒng)里有一個(gè)比較創(chuàng)新的模式,就是在條件接收器里增加了電子錢(qián)包,我們可以通過(guò)EMM的方式來(lái)把我們用戶頭端賬戶上的錢(qián)充值到終端上,充值完了之后可以在終端本地進(jìn)行消費(fèi),還有充值碼充值。
這是按照幾大功能來(lái)把CA功能進(jìn)行描述:
1、產(chǎn)品。我們這里有一個(gè)產(chǎn)品A,它包含了CCTV3—CCTV5、CCTV新聞,我們打包成一個(gè)產(chǎn)品給用戶進(jìn)行授權(quán)。
2、按照各種打包組合進(jìn)行。比如節(jié)目組A,可以包含產(chǎn)品1,同時(shí)可以加入一個(gè)新的產(chǎn)品,比如湖北衛(wèi)視和CCTV1,和產(chǎn)品2、產(chǎn)品1組合成一個(gè)節(jié)目組A組成進(jìn)行節(jié)目授權(quán)管理。
3、加密不收費(fèi)的模式,就是Free2L,用戶只要插入CA卡無(wú)需注冊(cè)即可以免費(fèi)收看,不插卡不可以進(jìn)行收看。
4、IPPT,前端在ECM中加入每觀看多少時(shí)長(zhǎng)所需要的錢(qián)數(shù)或點(diǎn)數(shù)信息,定戶在節(jié)目播出時(shí),通過(guò)UI界面以本地交互的方式購(gòu)買(mǎi),相應(yīng)的前的可以在之前的電子錢(qián)包里扣除。
5、按節(jié)目付費(fèi),也是通過(guò)IPPV實(shí)現(xiàn),前端在ECM中加入段看某節(jié)目的信息,具體的費(fèi)用可以在電子錢(qián)包中扣除。
最重要的部分是電子錢(qián)包,一是通過(guò)EMM來(lái)充值,二是通過(guò)充值碼充值,三是通過(guò)圈存機(jī)進(jìn)行充值。這樣的電子錢(qián)包功能與大家在日常生活中用到的公交一卡通一樣,通過(guò)錢(qián)包本地化來(lái)進(jìn)行處理。
全國(guó)分布式CAS部署方案,現(xiàn)在每個(gè)省都會(huì)部署CA系統(tǒng)來(lái)支撐全國(guó)用戶授權(quán)和訂購(gòu)管理。
分布式CAS方案
分為兩塊,一是中央CA,主要對(duì)中央節(jié)目,比如CCTV1、CCTV5進(jìn)行管理,包括負(fù)責(zé)中央節(jié)目的產(chǎn)品定義和內(nèi)容加擾。二是省級(jí)CA負(fù)責(zé)地市節(jié)目管理,負(fù)責(zé)地方節(jié)目的產(chǎn)品定義和內(nèi)容的加擾控制,為地方用戶生成EMM,對(duì)中央定義的產(chǎn)品實(shí)現(xiàn)訂購(gòu)和取消,對(duì)地方定義的產(chǎn)品實(shí)現(xiàn)訂購(gòu)和取消,地方節(jié)目的授權(quán)更新以及中央節(jié)目的授權(quán)更新。
中央平臺(tái)業(yè)務(wù)實(shí)際上實(shí)現(xiàn)了全國(guó)業(yè)務(wù)的中央包的加密,我們通過(guò)衛(wèi)星鏈圖通道通過(guò)中間的平臺(tái)向全國(guó)、全省進(jìn)行傳送,傳送AV流和ECM,還要完成全國(guó)業(yè)務(wù)產(chǎn)品包的定義。升一級(jí)平臺(tái)將在中央已經(jīng)加密的全國(guó)業(yè)務(wù)通過(guò)本地U波段再?gòu)V播,不需要再進(jìn)行加密,因?yàn)樵谥醒胍呀?jīng)進(jìn)行過(guò)加以,省平臺(tái)只需要對(duì)本地業(yè)務(wù)進(jìn)行加密,比如說(shuō)省一套、地市一套進(jìn)行加密傳輸就行了。它還要完成一個(gè)用戶管理和本地業(yè)務(wù)管理。
中央系統(tǒng),所有中央音視頻節(jié)目通過(guò)我們加擾器、射頻器通過(guò)衛(wèi)星傳輸?shù)饺珖?guó)各省網(wǎng)絡(luò)當(dāng)中去,各地市通過(guò)這樣的接收機(jī)把中央的節(jié)目接收下來(lái),每個(gè)省里、地市里會(huì)有自己的音視頻編碼器,包括數(shù)據(jù)平臺(tái),通過(guò)我們的加擾器會(huì)送到接收器,結(jié)合通過(guò)衛(wèi)星收下來(lái)的中央節(jié)目一塊兒到復(fù)用器里復(fù)用,然后到本地調(diào)節(jié)發(fā)射,這樣不管甲地還是乙地都可以看到中央所有節(jié)目,也可以看到本地所有節(jié)目,只要訂購(gòu)中央的節(jié)目,都可以看到中央業(yè)務(wù)。
CA系統(tǒng)通過(guò)全國(guó)VPN網(wǎng)絡(luò),把省、中央、各地市CA進(jìn)行連接,形成一張分布式CA網(wǎng)絡(luò),包括ECMG、管理系統(tǒng)、數(shù)據(jù)庫(kù)都是通過(guò)VPN網(wǎng)絡(luò)進(jìn)行注冊(cè)和數(shù)據(jù)同步。地市是直接通過(guò)接收中央節(jié)目來(lái)實(shí)現(xiàn)本地的節(jié)目的傳輸,通過(guò)衛(wèi)星接收方式把中央傳輸下來(lái)的音頻、視頻數(shù)據(jù)、ECM、EMM 都收下來(lái)。
省—地市的功能模塊
現(xiàn)在我們建立的是全國(guó)300多個(gè)地市體系網(wǎng)絡(luò),為了節(jié)省資源,方便我們管理,我們只在每個(gè)省里配一套CA系統(tǒng),每個(gè)地市不會(huì)有獨(dú)立的CA系統(tǒng),我們對(duì)每個(gè)地市節(jié)目進(jìn)行加擾,通過(guò)省里服務(wù)器,通過(guò)VPN網(wǎng)絡(luò)連接到各個(gè)地市編碼加擾前端,通過(guò)VPN網(wǎng)絡(luò)實(shí)現(xiàn)遠(yuǎn)程加密,把生成相應(yīng)的ECM、EMM通過(guò)相應(yīng)的網(wǎng)絡(luò)發(fā)到每個(gè)地市的接收器上去。
我們與中國(guó)移動(dòng)合作的完全自主產(chǎn)權(quán)的雙向條件接收系統(tǒng)。
包含四大塊:密鑰體系、系統(tǒng)構(gòu)成、系統(tǒng)功能和系統(tǒng)部署方案。
我們與中國(guó)移動(dòng)合作的這套雙向條件接收系統(tǒng)也分成四層密鑰體系。
在下面這幾層基本上與單向是完全一樣的,輕流的未加密節(jié)目流,傳輸?shù)竭@變,通過(guò)CW進(jìn)行加密,CW也通過(guò)業(yè)務(wù)密鑰進(jìn)行一次加密,能夠生成ECM,隨著廣播信道通過(guò)加密來(lái)一塊兒通過(guò)廣播網(wǎng)絡(luò)發(fā)射到終端去。
密鑰終端這層就多了一層不同的內(nèi)容,有一個(gè)雙密鑰體系,里面有兩次加密的過(guò)程,首先經(jīng)過(guò)廣電密鑰系統(tǒng)加第一次密,然后我們會(huì)把加了密的密鑰傳輸?shù)街袊?guó)移動(dòng)側(cè)端,中國(guó)移動(dòng)會(huì)用自己的用戶密鑰對(duì)加密密鑰再進(jìn)行一次加密,通過(guò)中國(guó)移動(dòng)雙向GPS或3G網(wǎng)絡(luò)傳輸?shù)浇K端側(cè),終端側(cè)首先會(huì)根據(jù)中國(guó)移動(dòng)SIM卡健全,拿到中國(guó)移動(dòng)用戶密鑰,會(huì)對(duì)加密后的密鑰消息進(jìn)行初步解密。完了之后送到廣電密鑰處理模塊,拿我們終端上唯一對(duì)應(yīng)的廣電用戶密鑰對(duì)它進(jìn)行再解密,這樣可以得到廣電自己產(chǎn)生的業(yè)務(wù)密鑰,實(shí)現(xiàn)雙向授權(quán)信息的通道打通。業(yè)務(wù)流程也是一樣,首先解密出CW,然后是控制志,再解密加密流,再找到輕流節(jié)目。
兩層密鑰體系中非常重要的是廣電密鑰,是采用28位對(duì)稱密鑰,由廣電用戶密鑰管理設(shè)備進(jìn)行生成和保存,當(dāng)我們接收到業(yè)務(wù)密鑰請(qǐng)求時(shí),我們使用的廣電用戶密鑰對(duì)這個(gè)業(yè)務(wù)密鑰進(jìn)行先加密。這是幾個(gè)層次往返的健全過(guò)程,最上層是中國(guó)移動(dòng)最簡(jiǎn)單的SIM健全過(guò)程,包括生成共享密鑰,存儲(chǔ)在業(yè)務(wù)平臺(tái)和終端側(cè)。從這側(cè)開(kāi)始,終端會(huì)發(fā)起HTTP的請(qǐng)求,向中國(guó)移動(dòng)請(qǐng)求這樣的密鑰,中國(guó)移動(dòng)拿到這樣的請(qǐng)求之后會(huì)在此向廣電管理系統(tǒng)進(jìn)行密鑰的請(qǐng)求,我們用28位的廣電用戶密鑰加密之后會(huì)對(duì)業(yè)務(wù)密鑰返回給NAF系統(tǒng),NAF系統(tǒng)進(jìn)行再加密,傳輸?shù)浇K端上去,然后依次進(jìn)行解密。
廣電側(cè)系統(tǒng)主要完成音視頻編碼、數(shù)據(jù)廣播業(yè)務(wù)生成、業(yè)務(wù)加密、業(yè)務(wù)指南生成、移動(dòng)多媒體廣播信號(hào)的復(fù)用、發(fā)射,以及廣電側(cè)用戶訂購(gòu)關(guān)系管理、用戶密鑰管理、用戶認(rèn)證鑒權(quán)和計(jì)費(fèi)等。中國(guó)移動(dòng)側(cè)完成移動(dòng)多媒體廣播業(yè)務(wù)管理系統(tǒng)主要完成業(yè)務(wù)指南的分發(fā),用戶訂購(gòu)關(guān)系管理,認(rèn)證管理以及計(jì)費(fèi)。