数字电视原理-第2版-教学ppt课件-第9章-数字电视的条件接收.ppt

《数字电视原理-第2版-教学ppt课件-第9章-数字电视的条件接收.ppt》由会员分享，可在线阅读，更多相关《数字电视原理-第2版-教学ppt课件-第9章-数字电视的条件接收.ppt（54页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、在线教务辅导网：在线教务辅导网：http:/教材其余课件及动画素材请查阅在线教务辅导网教材其余课件及动画素材请查阅在线教务辅导网QQ:349134187 或者直接输入下面地址：或者直接输入下面地址：http:/第第9章章 数字电视的条件接收数字电视的条件接收 CA系统的组成及工作原理系统的组成及工作原理 MPEG-2以及以及DVB标准中有关标准中有关CA的规定的规定 同密和多密模式同密和多密模式9.1 CA系统的组成及工作原理系统的组成及工作原理n用户管理系统用户管理系统n节目信息管理系统节目信息管理系统n用户授权系统用户授权系统n加密系统加密系统n加扰系统加扰系统n业务信息生成系统业务信息生

2、成系统n智能卡和解扰系统智能卡和解扰系统 CACA系统是一个综合性的系统，集成了数据系统是一个综合性的系统，集成了数据加密和解密、加扰和解扰、智能卡等技术，同时加密和解密、加扰和解扰、智能卡等技术，同时也涉及到用户管理、节目管理、收费管理等信息也涉及到用户管理、节目管理、收费管理等信息应用管理技术，能实现各项数字电视广播业务的应用管理技术，能实现各项数字电视广播业务的授权管理和接收控制。授权管理和接收控制。CACA系统主要由用户管理系系统主要由用户管理系统、节目信息管理系统、统、节目信息管理系统、用户授权系统、用户授权系统、加扰加扰/解扰器、加密解扰器、加密/解密器、控制字发生器、伪随机解密器

3、、控制字发生器、伪随机二进制位序列发生器（二进制位序列发生器（PRBSGPRBSG）、智能卡等部分）、智能卡等部分组成，其工作原理方框图如图组成，其工作原理方框图如图9-19-1所示。所示。图图 9-1 9-1 CA系统原理方框图系统原理方框图 复复用用器器加扰器加扰器调调制制器器功功放放解解调调器器解扰器解扰器解解复复用用控控制制字字加加密密器器A业务业务密钥密钥加密加密控制控制字发字发生器生器用户用户授权授权系统系统用用户户管管理理系统系统视视频频、音频、音频、数据数据EMM信道信道PRBSGECM智智能能卡卡授授权权帐单帐单支付支付SKCWPDKPRBSG控制控制字解字解密器密器ACWE

4、CM业务业务密钥密钥解密解密SKEMMPDK条件接收子系统条件接收子系统视视频频、音频、音频、数据数据 用用户户管管理理系系统统（SMS）是是支支撑撑运运营营和和管管理理运运营营的的一一个个综综合合业业务务平平台台，是是数数字字电电视视综综合合业业务务平平台台的的一一部部分分。实实现现数数字字电电视视系系统统的的用用户户信信息息、业业务务信信息息、资资源源信信息息、用用户户的的节节目目预预订订信信息息、用用户户授授权权信信息息、账账务务计计费费、客客服服等等管管理理功功能能，并并根根据据业业务务需需要要提提供供与与相相关关外外部部系系统统进进行行互互连连的的接接口。口。SMS根据用户订购节目和

5、收看节目的情况，一方面向根据用户订购节目和收看节目的情况，一方面向授权管理系统发出指令，决定哪些用户可以被授权收看哪授权管理系统发出指令，决定哪些用户可以被授权收看哪些节目或接受哪些服务；另一方面向用户发送帐单。些节目或接受哪些服务；另一方面向用户发送帐单。授权管理系统在用户管理系统发出的指令控制下，产授权管理系统在用户管理系统发出的指令控制下，产生出业务密钥。生出业务密钥。节目信息管理系统节目信息管理系统的主要功能是为即将播出的节目建的主要功能是为即将播出的节目建立节目表。节目表包括频道、日期和时间安排，也包括要立节目表。节目表包括频道、日期和时间安排，也包括要播出的各个节目的播出的各个节目

6、的CA信息。信息。9.1.1 用户管理系统和节目信息管理系统用户管理系统和节目信息管理系统条件接收系统发送端工作原理条件接收系统发送端工作原理 n用控制字对用控制字对TS流进行加扰流进行加扰n根据用户要求形成授权信息根据用户要求形成授权信息n对授权信息处理生成对授权信息处理生成EMMn对控制字进行加密生成对控制字进行加密生成ECMn加扰后码流、加扰后码流、ECM、EMM复用输出复用输出9.1.2 加扰、解扰和控制字加扰、解扰和控制字 所谓加扰就是对传送流（所谓加扰就是对传送流（TS）中的视频码流、）中的视频码流、音频码流或辅助数据进行有规律的扰乱，使得音频码流或辅助数据进行有规律的扰乱，使得未

7、授权用户无法对视频未授权用户无法对视频/音频码流进行解码，从音频码流进行解码，从而防止节目的自由接收。那么，加扰是如何实而防止节目的自由接收。那么，加扰是如何实现的呢，授权用户又是如何通过解扰恢复出加现的呢，授权用户又是如何通过解扰恢复出加扰前的原始数据？扰前的原始数据？图图 9-29-2 流加密示意图流加密示意图PRBSGSBIB输入输入输出输出CWKB由于加扰对象是数据流，而且要求实时加扰，因此，要采由于加扰对象是数据流，而且要求实时加扰，因此，要采用能够满足实时性要求的流加密算法用能够满足实时性要求的流加密算法,如图如图9-2所示。图中所示。图中PRBSG是伪随机二进序列发生器；是伪随机

8、二进序列发生器；KB是由是由CW产生的一产生的一个伪随机二进序列个伪随机二进序列(PRBS)，IB是要加密的数据流，是要加密的数据流，SB是加是加密后的数据流。中间的运算是模密后的数据流。中间的运算是模2加加(异或，异或，XOR)。可可以以证证明明，如如果果KB是是随随机机的的，那那么么在在攻攻击击者者（黑黑客客）只只知知道道SB的的情情况况下下，这这个个加加密密算算法法是是不不可可破破译译的的。但但是是随随机机的的KB要要和和IB有有相相同同长长度度的的比比特特流流，这这实实际际上上是是不不可可行行的的。为为此此，设设计计了了由由一一个个控控制制字字（Control Word，CW）控控制制

9、的的伪伪随随机机二二进进制制位位序序列列发发生生器器（PRBSG），产产生生一一个个好好像像是是随随机机的的序序列列，称称为为伪伪随随机机二二进进制制位位序序列列（PRBS），作作为为密密钥钥比比特特流流。所所以以，加加扰扰就就是是在在发发送送端端将将原原始始数数据据流流与与PRBS进进行行模模2加加运运算算，得得到到被被加加扰扰的的数数据据流流。在在接接收收端端，用用一一个个和和发发送送端端结结构构相相同同的的PRBSG，只只要要收收、发发两两端端间间的的PRBS同同步步（即即用用同同一一个个初初始始值值启启动动），则则接接收收端端的的PRBSG产产生生的的PRBS就就和和发发送送端端的的完

10、完全全一一样样。用用这这个个PRBS作作为为解解扰扰序序列列，与与被被加加扰扰的的数数据据流流做做同同样样的的模模2加加运运算算，就就可可恢恢复复出出加加扰扰前前的的原原始始数数据据流流。由由此此可可见见，解解扰扰的的关关键键是是要要得得到到用用于于同同步步收收、发发两两端端PRBS的的初初始始值值（是是一一个随机数），这个初始值就称为个随机数），这个初始值就称为“控制字控制字”（CW）。）。MPEG-2标准没有推荐任何具体的加扰算法，标准没有推荐任何具体的加扰算法，只对传送流中运用的加扰方案规定了框架。但只对传送流中运用的加扰方案规定了框架。但是，世界范围内主要的数字电视标准已经规定是，世界

11、范围内主要的数字电视标准已经规定或推荐了一些有效的算法，例如，欧洲的或推荐了一些有效的算法，例如，欧洲的DVB规定了通用加扰（规定了通用加扰（common scrambling，64位控位控制字）技术规范，美国的制字）技术规范，美国的ATSC选择了三重选择了三重DES算法（算法（168位控制字），也能实施数据加密标准位控制字），也能实施数据加密标准（Data Encryption Standard，DES）算法，日）算法，日本使用了松下公司提出的一种加扰算法。而一本使用了松下公司提出的一种加扰算法。而一些前端制造商建议使用有专利权的方案。但很些前端制造商建议使用有专利权的方案。但很显然，为了增

12、强前端及终端的互操作性和降低显然，为了增强前端及终端的互操作性和降低机顶盒的成本，使用标准的或推荐的算法是最机顶盒的成本，使用标准的或推荐的算法是最好的方式。好的方式。DVB通通用用加加扰扰算算法法指指定定了了块块（分分组组）加加密密和和流流（序序列列）加加密密两两种种不不同同的的加加密密算算法法。块块加加密密算算法法利利用用可可逆逆密密码码分分组组链链模模式式对对8字字节节数数据据的的单单位位块块进进行行加加密密，流流加加密密是是用用一一个个PRBSG产产生生的的数数据据来来进进行行加加密密，如如图图9-3所示。所示。首先将待加扰的首先将待加扰的TS包中的有效净荷数据按每块包中的有效净荷数据

13、按每块8字节分为字节块，如果该字节分为字节块，如果该TS包没有适配字段，则除包包没有适配字段，则除包头以外的头以外的184字节可分成字节可分成23个字节块。采用可逆密码个字节块。采用可逆密码分组链加密方法对这分组链加密方法对这23个字节块进行块加密，然后再个字节块进行块加密，然后再用控制字对加密后的块（这里称之为中间块）进行流用控制字对加密后的块（这里称之为中间块）进行流加密，也就是用控制字加密，也就是用控制字CW产生产生PRBS对有关数据进行对有关数据进行加密。其中块加密所用到的密钥加密。其中块加密所用到的密钥Key是控制字通过不是控制字通过不同的调度算法得到的数据密钥。基于这种算法，解扰同

14、的调度算法得到的数据密钥。基于这种算法，解扰算法需要从流解密开始，然后进行块解密最终达到对算法需要从流解密开始，然后进行块解密最终达到对TS包的有效净荷数据进行解扰。包的有效净荷数据进行解扰。图图 9-3 DVB9-3 DVB通用加扰算法示意图通用加扰算法示意图PB1PB2PB22PB23IB1IB2IB22IB23SB1SB2SB22SB23KeyCW明文块明文块(184Byte)块加密块加密中间块中间块流加密流加密加密块加密块流加密流加密反向密码分组链接加密反向密码分组链接加密9.1.3 控制字加密与传输控制控制字加密与传输控制 从从前前面面加加扰扰与与解解扰扰原原理理可可以以看看出出，在

15、在接接收收端端只只要要能能及及时时解解出出控控制制字字，则则采采用用相相同同解解扰扰算算法法就就能能恢恢复复出出原原始始数数据据。因因此此，CA系系统统的的关关键键是是采采用用多多重重密密钥钥传传输输机机制制将将控控制制字字安安全全地地传传送送到经过授权的用户端。到经过授权的用户端。通通常常，CA系系统统采采用用三三重重密密钥钥传传输输机机制制，它它们们分分别别是是控控制制字字（CW）、业业务务密密钥钥（SK）和和个人分配密钥个人分配密钥（PDK）。）。1.1.控制字控制字CW 控控制制字字(Control Word，CW)又又称称密密钥钥(Key)。欲欲加加扰扰的的TS包包先先用用CW进进行

16、行块块加加密密和和流流加加密密。因因为为根根据据PRBS有有可可能能破破译译CW，所所以以在在可可能能被被破破译译之之前前要要更更换换控控制制字字CW。更更换换CW的的频频率率要要考考虑虑同同步步时时间间和和数数据据量量。如如果果更更换换CW的的时时间间间间隔隔为为t，那那么么当当用用户户切切换换到到某某一一个个经经过过加加扰扰的的节节目目时时，最最多多要要等等待待t，平平均均要要等等待待t2，才才能能开开始始解解扰扰。因因此此更更换换CW的的时时间间间间隔隔不不能能过过长长。如如果果间间隔隔时时间间太太短短，则则控控制制字字的的数数据据量量会会很很大大，也也增增加加了了产产生生CW的的难难度

17、度。通常控制字每隔通常控制字每隔2 10秒就要更换一次。秒就要更换一次。2.2.业务密钥业务密钥SK 在在具具体体应应用用中中，对对CW进进行行加加密密的的密密钥钥可可以以按按网网络络运运营营商商要要求求经经常常加加以以改改变变，通通常常由由服服务务提提供供商商产产生生用用来来控控制制其其提提供供的的业业务务，所所以以把把它它称称为为业业务密钥（务密钥（SK）。）。SK和和用用户户的的付付费费有有关关，实实际际上上就就是是用用户户的的授授权权信信息息。用用户户一一个个月月付付费费一一次次，SK也也按按月月变变化化，没有付费的用户将得不到新密钥。没有付费的用户将得不到新密钥。在在SK更更换换时时

18、期期新新SK要要通通过过寻寻址址发发给给每每个个已已付付费费的的用用户户，用用户户的的解解扰扰器器收收到到新新SK后后先先暂暂时时存存放放起起来来，然然后后在在规规定定的的时时刻刻启启用用新新SK。有有时时把把新新旧旧SK称称为为“奇奇密密钥钥”和和“偶偶密密钥钥”。对对CW加加密密的算法因的算法因CA系统而不同。系统而不同。用用业业务务密密钥钥（SK）加加密密处处理理后后的的控控制制字字放放在在授授权权控控制制消消息息（Entitlement Control Messages，ECM）中中传传送送，ECM中中还还包包括括节节目目来来源源、时时间间、内容分类和节目价格等节目信息。内容分类和节目

19、价格等节目信息。ECM要要和和已已加加扰扰的的视视频频、音音频频或或数数据据码码流流复用在一起传到接收端。复用在一起传到接收端。接接收收端端在在收收到到ECM后后还还必必须须用用与与发发送送端端加加密密时时所所用用的的同同一一密密钥钥进进行行解解密密才才能能得得到到控控制制字字，所所以以，这这个个对对控控制制字字进进行行加加密密的的业业务务密密钥钥SK也也要要由发端传送过来。由发端传送过来。3.3.个人分配密钥个人分配密钥PDK 为为了了保保护护SK，用用每每个个解解扰扰器器或或智智能能卡卡的的地地址址码码(CARD ID)作作为为密密钥钥来来对对SK进进行行加加密密，这这个个密密钥称为个人分

20、配密钥钥称为个人分配密钥(PDK)。用用PDK加加密密处处理理后后的的业业务务密密钥钥（SK）放放在在授授权权管管理理消消息息（EMM）中中传传送送。EMM是是一一种种授授权权用用户户对对某某种种业业务务进进行行解解扰扰的的信信息息，它它包包含含了了用用户户订订购购节节目目信信息息，指指定定了了用用户户对对业业务务的的授授权权等等级级。由由于于有有多多种种收收费费业业务务，如如按按次次付付费费收收视视（PPV）、即即时时按按次次付付费费收收视视（IPPV）和和VOD等等，因因此此用用户户授授权权系系统统要要对对用用户户在在什什么么时时间间看看，看看什什么么频频道道节目进行授权。节目进行授权。需

21、要注意的是，需要注意的是，PDK和解扰器或者智能卡的和解扰器或者智能卡的编号编号(CARD NO)不是同一个概念。编号是公开的，不是同一个概念。编号是公开的，PDK是绝对保密的。但是编号和是绝对保密的。但是编号和PDK之间有个映之间有个映射关系。一个容量为一百万用户的射关系。一个容量为一百万用户的CA系统用系统用20位长的编号就够了，但是位长的编号就够了，但是PDK需要更多的位数以需要更多的位数以保证破译的难度。保证破译的难度。CW，SK和和PDK构成了构成了CA系统的三级密钥系统的三级密钥体制。对广播数据、体制。对广播数据、CW和和SK的保护采用的都是的保护采用的都是软件技术，对软件技术，对

22、PDK的保护不仅需要软件技术，还的保护不仅需要软件技术，还需要硬件技术，常用的有智能卡技术。需要硬件技术，常用的有智能卡技术。9.1.4 加密算法加密算法 1.1.对称密码体系与非对称密码体系对称密码体系与非对称密码体系 对对称称密密码码体体系系(秘秘密密密密钥钥加加密密)的的加加密密密密钥钥和和解解密密密密钥钥相同，或者由其中的任意一个可以很容易地推导出另一个。相同，或者由其中的任意一个可以很容易地推导出另一个。非非对对称称密密码码体体系系（公公开开密密钥钥加加密密）把把加加密密和和解解密密的的能能力力分分开开，加加密密和和解解密密分分别别用用两两个个不不同同的的密密钥钥实实现现，不不可可能

23、能由由加加密密密密钥钥推推导导出出解解密密密密钥钥，也也不不可可能能由由解解密密密密钥钥推推导导出出加加密密密密钥钥。采采用用非非对对称称密密码码体体系系的的每每个个用用户户都都有有一一对对选选定定的的密密钥钥，其其中中一一个个是是可可以以公公开开的的，另另一一个个由由用用户户自自己己秘秘密密保存。保存。对对称称密密钥钥方方法法比比非非对对称称方方法法快快得得多多。如如DESDES密密码码在在软软件件实实现现时时至至少少比比非非对对称称密密码码RSARSA快快100100倍倍，在在专专门门的的硬硬件件上上实现时可能快实现时可能快10 00010 000倍。倍。2.DES2.DES算法简介算法简

24、介 DES（Data Encryption Standard）是是1977年年正正式式确确定定为为美美国国国国家家标标准准的的加加密密算算法法，它它是是对对称称密密码码体体系系中中应应用用最最广广泛泛的的算算法法之之一一，既既可可用用于于加加密密又又可可用用于于解解密密。DES密密码码是是一一种种采采用用传传统统加加密密方方法法的的分分组组密密码码。首首先先把把输输入入的的数数据据比比特特流流以以每每64比比特特为为一一组组进进行行分分组组；然然后后以以每每一一组组作作为为加加密密单单元元，在在16个个子子密密钥钥（每每个个子子密密钥钥的的长长度度为为48比比特特）的的控控制制下下进进行行16

25、轮轮的的非非线线性性变变换换后后输输出出一一组组64比比特特长长的的密密文文。这这16个个子子密密钥钥是是由由同同一一个个64比比特特的的密密钥钥源源K1、K2K64经经循循环环移移位位及及置置换换选选择择产产生生。而而这这64比比特特的的密密钥钥源源中中只只有有56比比特特是是随随机机的的，所所有有8的的倍倍数数位位K8、K16K64是是奇偶校验位。也就是说奇偶校验位。也就是说DES的密钥总量为的密钥总量为2567.21016个。个。3.RSA3.RSA算法简介算法简介 已知两个大素数已知两个大素数p和和q，求其乘积，求其乘积n很容易；反之，很容易；反之，已知乘积已知乘积n要求出要求出p和和

26、q就很困难，这就是大整数因子分解就很困难，这就是大整数因子分解问题。问题。1977年，由麻省理工学院的年，由麻省理工学院的 Rivest、Shamir和和 Adleman联合提出的联合提出的RSA算法就是基于大整数分解的非对算法就是基于大整数分解的非对称密码体系（又称公开密钥密码体系）的代表算法。称密码体系（又称公开密钥密码体系）的代表算法。RSA的基础是数论的欧拉定理，它的安全性依赖于大整数的基础是数论的欧拉定理，它的安全性依赖于大整数因子分解的困难性。在因子分解的困难性。在n较大时，大整数因子分解是计算较大时，大整数因子分解是计算上困难的问题，目前还不存在一般性的有效解决算法。上困难的问题

27、，目前还不存在一般性的有效解决算法。RSA算法的加解密过程通过算法的加解密过程通过3个参数个参数e，d，n来实现，来实现，加密运算为加密运算为y=xe(mod n)，解密运算为解密运算为x=yd(mod n)，同余同余方程的意思是：加密时将明文方程的意思是：加密时将明文x自乘自乘e次，然后除以模数次，然后除以模数n，所得余数便是密文所得余数便是密文y；解密运算是将密文解密运算是将密文y自乘自乘d次，除次，除以模数以模数n，所得余数便是明文所得余数便是明文x。9.1.5 用户端的解密与解扰用户端的解密与解扰 在在接接收收端端，用用户户如如果果需需要要收收看看加加扰扰的的节节目目，首首先先需需要要

28、从从传传送送流流中中找找到到条条件件接接收收表表（CAT），CAT的的PID为为0 x0001，在在CAT中中找找到到相相应应加加密密的的EMM。通通过过智智能能卡卡中中个个人人分分配配密密钥钥（PDK）来来解解密密EMM，然然后后根根据据解解出出的的EMM来来判判断断本本智智能能卡卡是是否否被被授授权权收收看看该该套套节节目目。如如果果没没有有授授权权将将不不能能解解密密出出业业务务密密钥钥（SK），用用户户就就不不能能收收看看该该套套节节目目；相相反反，如如果果该该智智能能卡卡已已被被授授权权，则则可可以以通通过过解解密密EMM得得到到SK，利利用用它它可可以以对对ECM进进行行解解密密，

29、从从而而得得到到加加扰扰节节目目的的控控制制字字（CW），CW又又被被用用来来触触发发和和发发送送端端相相同同的的PRBSG产产生生PRBS，该该序序列列再再通通过过解解扰扰器器对对节节目目实实现现解扰就可以使节目能被正常收看。解扰就可以使节目能被正常收看。可可以以看看出出整整个个数数字字电电视视广广播播CA系系统统的的安安全全性性得到了三重保护：得到了三重保护：第第一一重重保保护护是是用用控控制制字字CW对对复复用用器器输输出出的的视视频频、音音频频和和数数据据码码流流进进行行加加扰扰，使使其其在在接接收收端端不不经过解扰就不能正常收看、收听；经过解扰就不能正常收看、收听；第第二二重重保保护

30、护是是用用业业务务密密钥钥SK对对控控制制字字加加密密，这这样样即即使使控控制制字字在在传传送送给给用用户户的的过过程程中中被被盗盗，偷偷盗者也无法对加密后的控制字进行解密；盗者也无法对加密后的控制字进行解密；第第三三重重保保护护是是用用PDK对对业业务务密密钥钥的的加加密密，非非授授权权用用户户即即使使在在得得到到业业务务密密钥钥，也也不不能能轻轻易易解解密密。解解不不出出业业务务密密钥钥就就解解不不出出正正确确的的控控制制字字，没没有有正正确的控制字就无法解出并获得正常信号的确的控制字就无法解出并获得正常信号的TS流。流。为为了了能能提提供供不不同同级级别别、不不同同类类型型的的各各种种服

31、服务务，一一套套CA系系统统往往往往为为每每个个用用户户分分配配好好几几个个PDK，来来满满足足丰丰富富的的业业务务需需求求。在在已已实实际际运运营营的的多多套套CA系系统统(主主要要在在欧欧美美)中中使使用用的的加加密密授授权权方方式式有有很很多多种种，如如人人工工授授权权、磁磁卡卡授授权权、IC卡卡授授权权、智智能能卡卡授授权权(用用IC构构成成有有分分析析判判断断能能力力的的卡卡)、中中心心集集中中寻寻址址授授权权(由由控控制制中中心心直直接接寻寻址址授授权权，不不用用插插卡卡授授权权)、智智能能卡卡和和中中心心授授权权共共用用的授权方式等。主流授权方式是智能卡授权。的授权方式等。主流授

32、权方式是智能卡授权。智能卡是一张塑料卡，内嵌智能卡是一张塑料卡，内嵌CPU、ROM（EPROM或或EEPROM）和）和RAM等集成电路，组成一块芯片。智能等集成电路，组成一块芯片。智能卡中有一个专用的掩膜过的卡中有一个专用的掩膜过的ROM，用来储存用户地址、，用来储存用户地址、解密算法和操作程序，它们是不可读的。如果想用电子解密算法和操作程序，它们是不可读的。如果想用电子显微镜来扫描芯片，则可擦只读存储器（显微镜来扫描芯片，则可擦只读存储器（EROM包括包括EPROM和和EEPROM）内的信息将被擦除。同时，在芯）内的信息将被擦除。同时，在芯片内部，数据流在存储器之间的流动也不可能被直接检片内

33、部，数据流在存储器之间的流动也不可能被直接检测出来。这就从根本上解决了智能卡的安全问题。而且，测出来。这就从根本上解决了智能卡的安全问题。而且，芯片内部寻址的数据是加密的，存储区域可以分成若干芯片内部寻址的数据是加密的，存储区域可以分成若干独立的小区，每个小区都有自己的保密代码，保密代码独立的小区，每个小区都有自己的保密代码，保密代码可以作为私人口令使用。智能卡内的数据和位置结构应可以作为私人口令使用。智能卡内的数据和位置结构应随卡的不同而不同，否则安全性会大大降低。随卡的不同而不同，否则安全性会大大降低。9.1.5 智能卡智能卡 如如果果接接收收机机采采用用智智能能卡卡，应应符符合合GBT

34、16649国国家家标标准准，在在全全国国范范围围内内应应使使用用统统一一的的标标识识。智智能能卡卡地地址址号号(CARD ID)反反映映终终端端设设备备在在网网络络中中的的物物理理属属性性，智智能能卡卡编编号号(CARD NO)反反映映执执卡卡用用户户的的消消费费属属性性。智智能能卡卡地地址址号号、智智能能卡卡编编号号在在全全国国具具有有唯唯一一性性，由由全全国国统统一一编编码码。智智能能卡卡地地址址号号是是对对智智能能卡卡授授权权管管理理时时寻寻址址使使用用的的唯唯一一标标识识，由由两两部部分分构构成成，第第一一部部分分是是预预留留的的，2字字节节；第第二二部部分分至至少少4个个字字节节。智

35、智能能卡卡编编号号有有16个个10进进制制数数,并并且且智智能能卡地址号与智能卡编号之间有对应的关系。卡地址号与智能卡编号之间有对应的关系。9.2 MPEG-2以及以及DVB标准中有关标准中有关CA的规定的规定9.2.1 MPEG-2中有关中有关CA的规定的规定9.2.2 DVB标准中有关标准中有关CA的规定的规定 9.2.1 MPEG-2中有关中有关CA的规定的规定 MPEG-2在在TS流流数数据据包包的的语语法法结结构构中中，规规定定了了两两个个加加扰扰控控制制位位；在在PES数数据据包包的的语语法法结结构构中中，也也规规定定了了两两个个加加扰扰控控制制位位；所所以以加加扰扰可可以以在在T

36、S层层或或PES层层实实施施。不不论论在在哪哪一一层层实实施施，TS包包的的头头部部信信息息(包包括括自自适适应应域域)总总是是不不加加扰扰的的；在在PES层层实实施施加加扰扰时时，PES包包的的头头部部信信息息是是不不加加扰扰的的。另另外外，MPEG-2的的PSI表总是不加扰的。表总是不加扰的。1.1.ECM和和EMM MPEG-2为为CA规规定定了了两两个个数数据据流流，即即ECM（Entitlement Control Message授授权权控控制制信信息息）和和EMM（Entitlement Management Message授授权权管管理理信信息息），其其stream id值值分分

37、别别是是0 xF0和和0 xF1。MPEG-2没没有有规规定定ECM和和EMM的的PES包包PES packet length以以后后的的数数据据含含义义。但但是是，ECM一一般般用用来来传传送送直直接接解解扰扰信信息息，EMM用用来来传传送送用用户户的的付付费费情情况况或或权权限限，包包括括对对ECM进进行行解解密密的的信信息息。对对ECM和和EMM进进行行加密的方法由各加密的方法由各CAS自由选择。自由选择。2.2.CAT MPEG-2在在PSI表表中中规规定定了了CAT(Conditional Access Table条条件件接接收收表表)，传传送送CAT的的PID固固定定为为0 x00

38、01，table id值值为为0 x01，section_syntax_indicator置置为为1。section_length指指示示分分段段的的字字节节数数，从从section_length之之后后字字段段开开始始计计算算，包包括括CRC，不不超超过过1021（0 x3FD）。version_number指指出出CAT的的版版本本号号。一一旦旦CAT有有变变化化，版版本本号号加加1，当当增增加加到到31时时，版版本本号号循循环环回回到到0。current_next_indicator置置为为1时时，表表示示传传送送的的CAT当当前前可可以以使使用用；置置为为0时时，表表示示传传送送的的表

39、表不不能能使使用用，下下一一个个表表变变为为有有效效。section_number给给出出了了该该分分段段的的数数目目。在在CAT中中的的第第一一个个分分段段的的section_number为为 Ox00，CAT中中 每每 一一 个个 分分 段段 将将 加加 1。last_section_number指指出出了了最最后后一一个个分分段段号号，是是在在整整个个CAT中中的的最最大大分分段段数数目目。CAT通通过过一一个个或或多多个个CA描描述述符符提提供供一一个个或或多多个个CAS与它们的与它们的EMM流以及特有参数之间的关联。流以及特有参数之间的关联。表表6-12 CAT段语法结构段语法结构C

40、A section()table id 8 uimsbf section_syntax indicator 1 bslbf 0 1 bslbf reserved 2 bslbf section_length 12 uimsbf reserved 18 bslbf version number 5 uimsbf current next indicator 1 bslbf section number 8 uimsbf last section number 8 uimsbf for(i=0;iN;i+)descriptor()CRC 32 32 rpchof 语法语法 位数位数 类型类型 3.

41、3.条件访问描述符条件访问描述符(CA descriptor)(CA descriptor)条条件件访访问问描描述述符符用用于于描描述述EMMEMM和和ECMECM。当当任任何何基基本本流流被被加加扰扰时时，条条件件访访问问描描述述符符必必须须在在基基本本流流所所在在的的PMTPMT（Program Program Map Map TableTable节节目目映映射射表表）中中出出现现，如如果果位位于于programprogram infoinfo lengthlength之之后后，则则其其CACA PIDPID域域指指出出的的是是解解扰扰整整个个节节目目的的ECMECM；如如果果位位于于ES

42、ES infoinfo lengthlength之之后后，则则其其CACA PIDPID域域指指出出的的是是解解扰扰相相应应基基本本流流的的ECMECM。当当任任何何与与传传送送流流相相关关的的系系统统级级CACA管管理理信信息息存存在在时时，条条件件访访问问描描述述符符必必须须在在CATCAT中中出出现现。CACA descriptordescriptor的的语语法法定定义义如如表表9-29-2所示所示。CA descriptor()Descriptor tag 8 uimsbf descriptor length 8 uimsbf CA system_ID 16 uimsbf reserv

43、ed 3 bslbf CA PID 13 uimsbf for(i=O;iN;i+)CA system_descriptor 16 uimsbf 表表9-2 CA descriptor9-2 CA descriptor的语法结构的语法结构 语法语法 位数位数 类型类型 表表中中descriptor tag取取值值为为0 x09，descriptor length指指示示下下一一字字段段至至描描述述符符结结束束的的总总字字节节数数。CA system ID表表明明提提供供ECM、EMM等等条条件件接接收收信信息息的的CA系系统统类类型型。在在DVB规规范范中中，CA system ID字字段段表

44、表示示不不同同CA系系统统的的分分类类符符，需需要要注注册册。ETR 162.4为为CA系系统统分分类类符符提提供供了了256个个 值值(8位位)。ETSI（European Telecommunication Standard Institute欧欧洲洲电电信信标标准准学学会会）作作为为管管理理机机构构，负负责责给给新新的的CA系系统统分分配配分分类类符符，其其余余8位位用用于于区区分分版版本本、相相同同CA系系统统的的不不同同SMS提提供供者者。CA PID表表示示包包含含ECM、EMM信信息息的的传传送送流流的的PID值值。CA PID所所在在的的表表不不相相同同时时，指指示示的的内内容

45、容也也不不同同。当当CA descriptor出出现现在在CAT中中时时，CA PID指指向向传传送送流流中中的的EMM流流。当当CA_descriptor出出现现在在PMT中中时时，CA PID指指向向传传送送流流中中的的ECM流流。PID值值与与CA descriptor给给出出的的CA PID值值相相等等的的所所有有TS包包应应只只含含有有CA系系统统信信息息，其其它它地地方方不不能能带带有有CA信信息息(例例如如自自适适应应域域)。9.2.2 DVB标准中与标准中与CA有关的规定有关的规定 欧欧洲洲的的DVB标标准准在在MPEG-2的的基基础础上上进进一一步步规定了一些规范。规定了一些

46、规范。1.1.DVB规定了两个加扰控制位的含义规定了两个加扰控制位的含义 在在TS层层或或在在PES层层的的加加扰扰控控制制位位含含义义相相同同。加加扰扰控控制制位位00表表示示未未加加扰扰；01表表示示保保留留；10表表示示使用偶密钥；使用偶密钥；11表示使用奇密钥。表示使用奇密钥。2.DVB2.DVB对对PESPES加扰的限制加扰的限制 一一个个灵灵活活的的广广播播系系统统应应当当能能够够在在PESPES层层实实施施加加扰扰。为为了了避避免免客客户户端的解扰设备太复杂，端的解扰设备太复杂，DVBDVB对在对在PESPES层实施的加扰做了一些限制：层实施的加扰做了一些限制：加扰不能同时在加扰

47、不能同时在TSTS和和PESPES两个层次上实施。两个层次上实施。加扰的加扰的PESPES包的头不能超过包的头不能超过184184字节。字节。除除了了最最后后一一个个TSTS包包外外，携携带带加加扰扰PESPES包包的的TSTS包包不不能能有有自自适适应应域。域。当当广广播播数数据据跨跨越越广广播播媒媒体体边边界界的的时时候候，例例如如从从卫卫星星电电视视到到有有线线电电视视，经经常常需需要要用用新新的的CACA信信息息替替换换原原有有的的CACA信信息息。为为了了灵灵活活高高效效地实现地实现CACA信息的替换，信息的替换，DVBDVB作了如下规定：作了如下规定：PIDPID等等于于某某个个C

48、ACA描描述述符符的的CACA PIDPID值值的的TSTS包包只只能能携携带带CACA信信息息，不不能能携携带带其其他他信信息息。另另一一方方面面，CACA信信息息只只能能出出现现在在这这些些TSTS包包中中，不不能出现在其他能出现在其他TSTS包中。包中。在同一个在同一个TSTS流中，两个流中，两个CACA提供商不应使用相同的提供商不应使用相同的CA-PIDCA-PID。3.3.CMT DVB还还规规定定了了一一个个用用表表传传输输CA信信息息的的机机制制。把把ECM，EMM以以及及将将来来的的授授权权数数据据放放在在CMT（CA Message Table条条件件接接收收信信息息表表）中

49、中，更更方方便便过过滤滤。为为CMT分分配配了了16个个table id，从从0 x80到到0 x8F，其其中中0 x80，0 x81 固固定定用用于于传传送送授授权权控控制制信信息息，其其他他的的由由CAS自由分配。自由分配。ECMECM、EMMEMM的语法均遵从的语法均遵从CACA messagemessage section()section()的的语法定义。语法定义。CACA message_section()message_section()的头部能够用于的头部能够用于ECMECM、EMMEMM的过滤。的过滤。CACA message_section()message_section

50、()语法符合语法符合ISO/IEC 13818-1ISO/IEC 13818-1中中private_sectionprivate_section的格式，的格式，CMTCMT的的最大长度为最大长度为256256字节，表字节，表9-39-3是是CMTCMT的语法定义。的语法定义。CACA messagemessage section()section()table table id 8 id 8 uimsbfuimsbf section section syntaxsyntax indicator 1 indicator 1 bslbfbslbf DVB reserved 1 DVB reserv