什么是条件接收" title="条件接收">条件接收系统?条件接收系统就是CA" title="CA">CAS,Conditional Access System,条件接收系统为移动多媒体广播业务提供传输过程中的保护,就是针对业务的广播通道进行保护,通常在播出时针对移动多媒体业务加入 CA条件接收控制机制。采用CA,可以针对业务活业务包向指定用户或一组用户进行授权,使得只有有授权的用户和用户组才能够接收我们相关的业务。
现在中广传播现有条件接收系统,采用了三套CA系统来进行前端同密。分为两块:一是单向条件接收系统Nagravision CAS" title="CAS">CAS系统。二是双向条件接收系统,周一下午和中国移动开了一个手机业务三网融合的发布会。我们已经开始了与中国移动开始手机业务的合作运营。
单向条件接收系统
包括几个模块,一是密钥体系,系统构成、系统接口、系统功能、分布式的系统方案。
CA密钥体系,采用传统的密钥模型为基础,建立密钥安全管理与授权控制管理及分发机制,利用我们加扰技术,实现对移动多媒体广播业务的条件接收。四层密钥体系包括用户注册层、授权/安全管理层、授权控制层和业务加扰层。四层体系采用分层保护的模式,每个密钥都有自己的生命周期,下层密钥需要上层密钥进行加密和传输。
我们通过第三层下发的SK来对JCW进行加密,加密完成之后会生成授权控制信息,就是ECM,这个控制信息根据随路的每一套业务并行随路,通过广播电视通道进行下发。
业务密钥如何进行保护
业务密钥通过用户每一个独立的用户UK对SK进行加密保护,生成授权管理信息叫EMM,这个EMM可以通过广播通道传输,也可以通过其它双向通道来传输到终端上去。
最上面一层是用户注册层,每个用户注册到CA系统里,我们可以分配到他一个密钥,头端系统里会生成这个密钥,终端里我们把这个密钥进行置入。每一层密钥在头端进行加密,发送到终端,终端侧由上向下依次解密,保证我们的业务能进行有效控制和传输。
CMMB" title="CMMB">CMMB前端位置有一个音视频节目源平台,通过音视频解码器进行编码和分块处理之后会送到加扰器设备单元当中,加扰器会根据CA系统采用统一接口的模式,根据密钥体系模式对最下面一层的节目流进行业务加扰,同时CA会把相应的ECM、EMM送到送到节流块,然后通过发射机送到最终用户上去。
CA系统的工程
CA系统包含两大块,一是前端子系统,一是终端子系统。前端子系统包含了节目信息管理模块,加扰模块以及CA模组模块,CA模组模块里包含两块,一是健全管理模块,二是电子钱包模块。运营支撑系统有一个运营支撑系统接口和条件接收系统监管接口。终端子系统里包含两大模块,一是EAM-C,对CA系统进行解密处理的一个模块,会对ECM、EMM解密处理,生成JMW控制志,然后把控制志送到加扰模块,JMW控制志会根据加密内容进行解扰,获得具体的任务。
在终端上,我们把底层数据接收完、解扰完会送到终端三层应用进行播放或者解析处理。刚才也介绍了前端和终端,移动多媒体广播条件接收系统前端对输入的视音频流进行加扰,通过广播信道和双向信道发送条件接收的授权和钱包信息,完成业务的加密保护传送和合法授权控制管理,是实现各项业务的传输。终端是实现条件业务接收。
加扰流程我们选用了ISMACryp加扰模式,音视频和广播电视内容,通过加扰转换以后可以形成IP包在网络进行传输,ISMACryp会对每一个数据段竞合进行加扰,之后把CMMB加扰信息加到原来的AU头里,形成新的AU头。数据广播流都是通过这种加扰方式送到广播器里。这样实现了前端业务的加扰。
CA系统是一个复杂的系统,不仅包含里面子系统复杂的接口,还包含着与系统之间的接口,通过传输网络完成端到端之间的接口。比如加扰和数据加扰通过这样的模式形成MM和EM,我们把轻流业务加扰之后通过广播网送到终端。
整个CA系统里的主要功能到底有哪些?分为四大块:
1、订户自助功能,通过CA在终端上可以查询PIN码,也就是CMMB的序列号,每一个用户有独立的ID号,通过这个ID号会用户密钥做一一对应的关系,同时我们会把相关信息,版本进行显示管理。
2、CA授权管理功能,主要包含了三块:开户/小户功能、授权功能、反授权功能。
3、终端自订购功能,包括以前在有线电视里有IPPV、IPPT订购方式,按次付费或者按时间段来付费的付费模式。
4、电子钱包模块,我们这次在CMMB条件接收系统里有一个比较创新的模式,就是在条件接收器里增加了电子钱包,我们可以通过EMM的方式来把我们用户头端账户上的钱充值到终端上,充值完了之后可以在终端本地进行消费,还有充值码充值。
这是按照几大功能来把CA功能进行描述:
1、产品。我们这里有一个产品A,它包含了CCTV3—CCTV5、CCTV新闻,我们打包成一个产品给用户进行授权。
2、按照各种打包组合进行。比如节目组A,可以包含产品1,同时可以加入一个新的产品,比如湖北卫视和CCTV1,和产品2、产品1组合成一个节目组A组成进行节目授权管理。
3、加密不收费的模式,就是Free2L,用户只要插入CA卡无需注册即可以免费收看,不插卡不可以进行收看。
4、IPPT,前端在ECM中加入每观看多少时长所需要的钱数或点数信息,定户在节目播出时,通过UI界面以本地交互的方式购买,相应的前的可以在之前的电子钱包里扣除。
5、按节目付费,也是通过IPPV实现,前端在ECM中加入段看某节目的信息,具体的费用可以在电子钱包中扣除。
最重要的部分是电子钱包,一是通过EMM来充值,二是通过充值码充值,三是通过圈存机进行充值。这样的电子钱包功能与大家在日常生活中用到的公交一卡通一样,通过钱包本地化来进行处理。
全国分布式CAS部署方案,现在每个省都会部署CA系统来支撑全国用户授权和订购管理。
分布式CAS方案
分为两块,一是中央CA,主要对中央节目,比如CCTV1、CCTV5进行管理,包括负责中央节目的产品定义和内容加扰。二是省级CA负责地市节目管理,负责地方节目的产品定义和内容的加扰控制,为地方用户生成EMM,对中央定义的产品实现订购和取消,对地方定义的产品实现订购和取消,地方节目的授权更新以及中央节目的授权更新。
中央平台业务实际上实现了全国业务的中央包的加密,我们通过卫星链图通道通过中间的平台向全国、全省进行传送,传送AV流和ECM,还要完成全国业务产品包的定义。升一级平台将在中央已经加密的全国业务通过本地U波段再广播,不需要再进行加密,因为在中央已经进行过加以,省平台只需要对本地业务进行加密,比如说省一套、地市一套进行加密传输就行了。它还要完成一个用户管理和本地业务管理。
中央系统,所有中央音视频节目通过我们加扰器、射频器通过卫星传输到全国各省网络当中去,各地市通过这样的接收机把中央的节目接收下来,每个省里、地市里会有自己的音视频编码器,包括数据平台,通过我们的加扰器会送到接收器,结合通过卫星收下来的中央节目一块儿到复用器里复用,然后到本地调节发射,这样不管甲地还是乙地都可以看到中央所有节目,也可以看到本地所有节目,只要订购中央的节目,都可以看到中央业务。
CA系统通过全国VPN网络,把省、中央、各地市CA进行连接,形成一张分布式CA网络,包括ECMG、管理系统、数据库都是通过VPN网络进行注册和数据同步。地市是直接通过接收中央节目来实现本地的节目的传输,通过卫星接收方式把中央传输下来的音频、视频数据、ECM、EMM 都收下来。
省—地市的功能模块
现在我们建立的是全国300多个地市体系网络,为了节省资源,方便我们管理,我们只在每个省里配一套CA系统,每个地市不会有独立的CA系统,我们对每个地市节目进行加扰,通过省里服务器,通过VPN网络连接到各个地市编码加扰前端,通过VPN网络实现远程加密,把生成相应的ECM、EMM通过相应的网络发到每个地市的接收器上去。
我们与中国移动合作的完全自主产权的双向条件接收系统。
包含四大块:密钥体系、系统构成、系统功能和系统部署方案。
我们与中国移动合作的这套双向条件接收系统也分成四层密钥体系。
在下面这几层基本上与单向是完全一样的,轻流的未加密节目流,传输到这变,通过CW进行加密,CW也通过业务密钥进行一次加密,能够生成ECM,随着广播信道通过加密来一块儿通过广播网络发射到终端去。
密钥终端这层就多了一层不同的内容,有一个双密钥体系,里面有两次加密的过程,首先经过广电密钥系统加第一次密,然后我们会把加了密的密钥传输到中国移动侧端,中国移动会用自己的用户密钥对加密密钥再进行一次加密,通过中国移动双向GPS或3G网络传输到终端侧,终端侧首先会根据中国移动SIM卡健全,拿到中国移动用户密钥,会对加密后的密钥消息进行初步解密。完了之后送到广电密钥处理模块,拿我们终端上唯一对应的广电用户密钥对它进行再解密,这样可以得到广电自己产生的业务密钥,实现双向授权信息的通道打通。业务流程也是一样,首先解密出CW,然后是控制志,再解密加密流,再找到轻流节目。
两层密钥体系中非常重要的是广电密钥,是采用28位对称密钥,由广电用户密钥管理设备进行生成和保存,当我们接收到业务密钥请求时,我们使用的广电用户密钥对这个业务密钥进行先加密。这是几个层次往返的健全过程,最上层是中国移动最简单的SIM健全过程,包括生成共享密钥,存储在业务平台和终端侧。从这侧开始,终端会发起HTTP的请求,向中国移动请求这样的密钥,中国移动拿到这样的请求之后会在此向广电管理系统进行密钥的请求,我们用28位的广电用户密钥加密之后会对业务密钥返回给NAF系统,NAF系统进行再加密,传输到终端上去,然后依次进行解密。
广电侧系统主要完成音视频编码、数据广播业务生成、业务加密、业务指南生成、移动多媒体广播信号的复用、发射,以及广电侧用户订购关系管理、用户密钥管理、用户认证鉴权和计费等。中国移动侧完成移动多媒体广播业务管理系统主要完成业务指南的分发,用户订购关系管理,认证管理以及计费。