什么是條件接收" title="條件接收">條件接收系統(tǒng)？條件接收系統(tǒng)就是CA" title="CA">CAS，Conditional  Access  System，條件接收系統(tǒng)為移動多媒體廣播業(yè)務(wù)提供傳輸過程中的保護(hù)，就是針對業(yè)務(wù)的廣播通道進(jìn)行保護(hù)，通常在播出時針對移動多媒體業(yè)務(wù)加入 CA條件接收控制機(jī)制。采用CA，可以針對業(yè)務(wù)活業(yè)務(wù)包向指定用戶或一組用戶進(jìn)行授權(quán)，使得只有有授權(quán)的用戶和用戶組才能夠接收我們相關(guān)的業(yè)務(wù)。

　　現(xiàn)在中廣傳播現(xiàn)有條件接收系統(tǒng)，采用了三套CA系統(tǒng)來進(jìn)行前端同密。分為兩塊：一是單向條件接收系統(tǒng)Nagravision CAS" title="CAS">CAS系統(tǒng)。二是雙向條件接收系統(tǒng)，周一下午和中國移動開了一個手機(jī)業(yè)務(wù)三網(wǎng)融合的發(fā)布會。我們已經(jīng)開始了與中國移動開始手機(jī)業(yè)務(wù)的合作運(yùn)營。

　　單向條件接收系統(tǒng)

　　包括幾個模塊，一是密鑰體系，系統(tǒng)構(gòu)成、系統(tǒng)接口、系統(tǒng)功能、分布式的系統(tǒng)方案。

　　CA密鑰體系，采用傳統(tǒng)的密鑰模型為基礎(chǔ)，建立密鑰安全管理與授權(quán)控制管理及分發(fā)機(jī)制，利用我們加擾技術(shù)，實(shí)現(xiàn)對移動多媒體廣播業(yè)務(wù)的條件接收。四層密鑰體系包括用戶注冊層、授權(quán)/安全管理層、授權(quán)控制層和業(yè)務(wù)加擾層。四層體系采用分層保護(hù)的模式，每個密鑰都有自己的生命周期，下層密鑰需要上層密鑰進(jìn)行加密和傳輸。

　　我們通過第三層下發(fā)的SK來對JCW進(jìn)行加密，加密完成之后會生成授權(quán)控制信息，就是ECM，這個控制信息根據(jù)隨路的每一套業(yè)務(wù)并行隨路，通過廣播電視通道進(jìn)行下發(fā)。

　　業(yè)務(wù)密鑰如何進(jìn)行保護(hù)

　　業(yè)務(wù)密鑰通過用戶每一個獨(dú)立的用戶UK對SK進(jìn)行加密保護(hù)，生成授權(quán)管理信息叫EMM，這個EMM可以通過廣播通道傳輸，也可以通過其它雙向通道來傳輸?shù)浇K端上去。

　　最上面一層是用戶注冊層，每個用戶注冊到CA系統(tǒng)里，我們可以分配到他一個密鑰，頭端系統(tǒng)里會生成這個密鑰，終端里我們把這個密鑰進(jìn)行置入。每一層密鑰在頭端進(jìn)行加密，發(fā)送到終端，終端側(cè)由上向下依次解密，保證我們的業(yè)務(wù)能進(jìn)行有效控制和傳輸。

　　CMMB" title="CMMB">CMMB前端位置有一個音視頻節(jié)目源平臺，通過音視頻解碼器進(jìn)行編碼和分塊處理之后會送到加擾器設(shè)備單元當(dāng)中，加擾器會根據(jù)CA系統(tǒng)采用統(tǒng)一接口的模式，根據(jù)密鑰體系模式對最下面一層的節(jié)目流進(jìn)行業(yè)務(wù)加擾，同時CA會把相應(yīng)的ECM、EMM送到送到節(jié)流塊，然后通過發(fā)射機(jī)送到最終用戶上去。

　　CA系統(tǒng)的工程

　　CA系統(tǒng)包含兩大塊，一是前端子系統(tǒng)，一是終端子系統(tǒng)。前端子系統(tǒng)包含了節(jié)目信息管理模塊，加擾模塊以及CA模組模塊，CA模組模塊里包含兩塊，一是健全管理模塊，二是電子錢包模塊。運(yùn)營支撐系統(tǒng)有一個運(yùn)營支撐系統(tǒng)接口和條件接收系統(tǒng)監(jiān)管接口。終端子系統(tǒng)里包含兩大模塊，一是EAM-C，對CA系統(tǒng)進(jìn)行解密處理的一個模塊，會對ECM、EMM解密處理，生成JMW控制志，然后把控制志送到加擾模塊，JMW控制志會根據(jù)加密內(nèi)容進(jìn)行解擾，獲得具體的任務(wù)。

　　在終端上，我們把底層數(shù)據(jù)接收完、解擾完會送到終端三層應(yīng)用進(jìn)行播放或者解析處理。剛才也介紹了前端和終端，移動多媒體廣播條件接收系統(tǒng)前端對輸入的視音頻流進(jìn)行加擾，通過廣播信道和雙向信道發(fā)送條件接收的授權(quán)和錢包信息，完成業(yè)務(wù)的加密保護(hù)傳送和合法授權(quán)控制管理，是實(shí)現(xiàn)各項(xiàng)業(yè)務(wù)的傳輸。終端是實(shí)現(xiàn)條件業(yè)務(wù)接收。

　　加擾流程我們選用了ISMACryp加擾模式，音視頻和廣播電視內(nèi)容，通過加擾轉(zhuǎn)換以后可以形成IP包在網(wǎng)絡(luò)進(jìn)行傳輸，ISMACryp會對每一個數(shù)據(jù)段競合進(jìn)行加擾，之后把CMMB加擾信息加到原來的AU頭里，形成新的AU頭。數(shù)據(jù)廣播流都是通過這種加擾方式送到廣播器里。這樣實(shí)現(xiàn)了前端業(yè)務(wù)的加擾。

　　CA系統(tǒng)是一個復(fù)雜的系統(tǒng)，不僅包含里面子系統(tǒng)復(fù)雜的接口，還包含著與系統(tǒng)之間的接口，通過傳輸網(wǎng)絡(luò)完成端到端之間的接口。比如加擾和數(shù)據(jù)加擾通過這樣的模式形成MM和EM，我們把輕流業(yè)務(wù)加擾之后通過廣播網(wǎng)送到終端。

　　整個CA系統(tǒng)里的主要功能到底有哪些？分為四大塊：

　　1、訂戶自助功能，通過CA在終端上可以查詢PIN碼，也就是CMMB的序列號，每一個用戶有獨(dú)立的ID號，通過這個ID號會用戶密鑰做一一對應(yīng)的關(guān)系，同時我們會把相關(guān)信息，版本進(jìn)行顯示管理。

　　2、CA授權(quán)管理功能，主要包含了三塊：開戶/小戶功能、授權(quán)功能、反授權(quán)功能。

　　3、終端自訂購功能，包括以前在有線電視里有IPPV、IPPT訂購方式，按次付費(fèi)或者按時間段來付費(fèi)的付費(fèi)模式。

 　　4、電子錢包模塊，我們這次在CMMB條件接收系統(tǒng)里有一個比較創(chuàng)新的模式，就是在條件接收器里增加了電子錢包，我們可以通過EMM的方式來把我們用戶頭端賬戶上的錢充值到終端上，充值完了之后可以在終端本地進(jìn)行消費(fèi)，還有充值碼充值。

 　　這是按照幾大功能來把CA功能進(jìn)行描述：

　　1、產(chǎn)品。我們這里有一個產(chǎn)品A，它包含了CCTV3—CCTV5、CCTV新聞，我們打包成一個產(chǎn)品給用戶進(jìn)行授權(quán)。

　　2、按照各種打包組合進(jìn)行。比如節(jié)目組A，可以包含產(chǎn)品1，同時可以加入一個新的產(chǎn)品，比如湖北衛(wèi)視和CCTV1，和產(chǎn)品2、產(chǎn)品1組合成一個節(jié)目組A組成進(jìn)行節(jié)目授權(quán)管理。

　　3、加密不收費(fèi)的模式，就是Free2L，用戶只要插入CA卡無需注冊即可以免費(fèi)收看，不插卡不可以進(jìn)行收看。

　　4、IPPT，前端在ECM中加入每觀看多少時長所需要的錢數(shù)或點(diǎn)數(shù)信息，定戶在節(jié)目播出時，通過UI界面以本地交互的方式購買，相應(yīng)的前的可以在之前的電子錢包里扣除。

　　5、按節(jié)目付費(fèi)，也是通過IPPV實(shí)現(xiàn)，前端在ECM中加入段看某節(jié)目的信息，具體的費(fèi)用可以在電子錢包中扣除。

　　最重要的部分是電子錢包，一是通過EMM來充值，二是通過充值碼充值，三是通過圈存機(jī)進(jìn)行充值。這樣的電子錢包功能與大家在日常生活中用到的公交一卡通一樣，通過錢包本地化來進(jìn)行處理。

　　全國分布式CAS部署方案，現(xiàn)在每個省都會部署CA系統(tǒng)來支撐全國用戶授權(quán)和訂購管理。

　　分布式CAS方案

　　分為兩塊，一是中央CA，主要對中央節(jié)目，比如CCTV1、CCTV5進(jìn)行管理，包括負(fù)責(zé)中央節(jié)目的產(chǎn)品定義和內(nèi)容加擾。二是省級CA負(fù)責(zé)地市節(jié)目管理，負(fù)責(zé)地方節(jié)目的產(chǎn)品定義和內(nèi)容的加擾控制，為地方用戶生成EMM，對中央定義的產(chǎn)品實(shí)現(xiàn)訂購和取消，對地方定義的產(chǎn)品實(shí)現(xiàn)訂購和取消，地方節(jié)目的授權(quán)更新以及中央節(jié)目的授權(quán)更新。

　　中央平臺業(yè)務(wù)實(shí)際上實(shí)現(xiàn)了全國業(yè)務(wù)的中央包的加密，我們通過衛(wèi)星鏈圖通道通過中間的平臺向全國、全省進(jìn)行傳送，傳送AV流和ECM，還要完成全國業(yè)務(wù)產(chǎn)品包的定義。升一級平臺將在中央已經(jīng)加密的全國業(yè)務(wù)通過本地U波段再廣播，不需要再進(jìn)行加密，因?yàn)樵谥醒胍呀?jīng)進(jìn)行過加以，省平臺只需要對本地業(yè)務(wù)進(jìn)行加密，比如說省一套、地市一套進(jìn)行加密傳輸就行了。它還要完成一個用戶管理和本地業(yè)務(wù)管理。

　　中央系統(tǒng)，所有中央音視頻節(jié)目通過我們加擾器、射頻器通過衛(wèi)星傳輸?shù)饺珖魇【W(wǎng)絡(luò)當(dāng)中去，各地市通過這樣的接收機(jī)把中央的節(jié)目接收下來，每個省里、地市里會有自己的音視頻編碼器，包括數(shù)據(jù)平臺，通過我們的加擾器會送到接收器，結(jié)合通過衛(wèi)星收下來的中央節(jié)目一塊兒到復(fù)用器里復(fù)用，然后到本地調(diào)節(jié)發(fā)射，這樣不管甲地還是乙地都可以看到中央所有節(jié)目，也可以看到本地所有節(jié)目，只要訂購中央的節(jié)目，都可以看到中央業(yè)務(wù)。

　　CA系統(tǒng)通過全國VPN網(wǎng)絡(luò)，把省、中央、各地市CA進(jìn)行連接，形成一張分布式CA網(wǎng)絡(luò)，包括ECMG、管理系統(tǒng)、數(shù)據(jù)庫都是通過VPN網(wǎng)絡(luò)進(jìn)行注冊和數(shù)據(jù)同步。地市是直接通過接收中央節(jié)目來實(shí)現(xiàn)本地的節(jié)目的傳輸，通過衛(wèi)星接收方式把中央傳輸下來的音頻、視頻數(shù)據(jù)、ECM、EMM 都收下來。

　　省—地市的功能模塊

　　現(xiàn)在我們建立的是全國300多個地市體系網(wǎng)絡(luò)，為了節(jié)省資源，方便我們管理，我們只在每個省里配一套CA系統(tǒng)，每個地市不會有獨(dú)立的CA系統(tǒng)，我們對每個地市節(jié)目進(jìn)行加擾，通過省里服務(wù)器，通過VPN網(wǎng)絡(luò)連接到各個地市編碼加擾前端，通過VPN網(wǎng)絡(luò)實(shí)現(xiàn)遠(yuǎn)程加密，把生成相應(yīng)的ECM、EMM通過相應(yīng)的網(wǎng)絡(luò)發(fā)到每個地市的接收器上去。

　　我們與中國移動合作的完全自主產(chǎn)權(quán)的雙向條件接收系統(tǒng)。

　　包含四大塊：密鑰體系、系統(tǒng)構(gòu)成、系統(tǒng)功能和系統(tǒng)部署方案。

　　我們與中國移動合作的這套雙向條件接收系統(tǒng)也分成四層密鑰體系。

　　在下面這幾層基本上與單向是完全一樣的，輕流的未加密節(jié)目流，傳輸?shù)竭@變，通過CW進(jìn)行加密，CW也通過業(yè)務(wù)密鑰進(jìn)行一次加密，能夠生成ECM，隨著廣播信道通過加密來一塊兒通過廣播網(wǎng)絡(luò)發(fā)射到終端去。

 　　密鑰終端這層就多了一層不同的內(nèi)容，有一個雙密鑰體系，里面有兩次加密的過程，首先經(jīng)過廣電密鑰系統(tǒng)加第一次密，然后我們會把加了密的密鑰傳輸?shù)街袊苿觽?cè)端，中國移動會用自己的用戶密鑰對加密密鑰再進(jìn)行一次加密，通過中國移動雙向GPS或3G網(wǎng)絡(luò)傳輸?shù)浇K端側(cè)，終端側(cè)首先會根據(jù)中國移動SIM卡健全，拿到中國移動用戶密鑰，會對加密后的密鑰消息進(jìn)行初步解密。完了之后送到廣電密鑰處理模塊，拿我們終端上唯一對應(yīng)的廣電用戶密鑰對它進(jìn)行再解密，這樣可以得到廣電自己產(chǎn)生的業(yè)務(wù)密鑰，實(shí)現(xiàn)雙向授權(quán)信息的通道打通。業(yè)務(wù)流程也是一樣，首先解密出CW，然后是控制志，再解密加密流，再找到輕流節(jié)目。

　　兩層密鑰體系中非常重要的是廣電密鑰，是采用28位對稱密鑰，由廣電用戶密鑰管理設(shè)備進(jìn)行生成和保存，當(dāng)我們接收到業(yè)務(wù)密鑰請求時，我們使用的廣電用戶密鑰對這個業(yè)務(wù)密鑰進(jìn)行先加密。這是幾個層次往返的健全過程，最上層是中國移動最簡單的SIM健全過程，包括生成共享密鑰，存儲在業(yè)務(wù)平臺和終端側(cè)。從這側(cè)開始，終端會發(fā)起HTTP的請求，向中國移動請求這樣的密鑰，中國移動拿到這樣的請求之后會在此向廣電管理系統(tǒng)進(jìn)行密鑰的請求，我們用28位的廣電用戶密鑰加密之后會對業(yè)務(wù)密鑰返回給NAF系統(tǒng)，NAF系統(tǒng)進(jìn)行再加密，傳輸?shù)浇K端上去，然后依次進(jìn)行解密。

 　　廣電側(cè)系統(tǒng)主要完成音視頻編碼、數(shù)據(jù)廣播業(yè)務(wù)生成、業(yè)務(wù)加密、業(yè)務(wù)指南生成、移動多媒體廣播信號的復(fù)用、發(fā)射，以及廣電側(cè)用戶訂購關(guān)系管理、用戶密鑰管理、用戶認(rèn)證鑒權(quán)和計(jì)費(fèi)等。中國移動側(cè)完成移動多媒體廣播業(yè)務(wù)管理系統(tǒng)主要完成業(yè)務(wù)指南的分發(fā)，用戶訂購關(guān)系管理，認(rèn)證管理以及計(jì)費(fèi)。