数字电视广播条件接收系统密码应用规范1概述《数字电视广播条件接收系统密码应用规范》分为六个部分:第一部分:系统第二部分:数字电视广播条件接收系统加密机接口规范第三部分:数字电视信源加扰、解扰技术规范第四部分:智能卡接口规范第五部分:终端系统设备第六部分:检测规范新的部分可能会出现(further parts may follow)本部分为第一部分。
本规范仅涉及数字电视条件接收系统中密码应用体系,包括条件接收系统采用的密码算法体系、密钥应用架构和相关应用规范。
本规范适用于有线、地面和卫星数字电视广播系统。
本规范为了更好地说明密码系统的工作原理,在各种密钥的生成、分发和使用过程以及加密/解密、签名/验证算法使用过程中,仅用简单的符号标识所出现的密码算法,所使用的密码算法均采用国家相关部门提供的具体算法,所有算法以算法需求表6. 1为准。
本规范中关于CA系统的框架部分参照了广电《GY/Z175-2001数字电视广播条件接收系统规范》。
本规范归口单位:本规范起草单位:本规范起草人:2应用文件、术语、缩略语2.1 引用文件1)GY/Z175-2001数字电视广播条件接收系统规范2)GB 20600-2006数字电视地面广播传输系统帧结构、信道编码和调制3)ETR 289 DTR/JTC-DVB-14 Digital Video Broadcasting (DVB); Support for use of scrambling and Conditional Access (CA) within digital broadcasting systems4)ETSI TR 102 035 V1.1.1 Digital Video Broadcasting (DVB); Implementation Guidelines of the DVB Simulcrypt Standard5)ETSI TS 103 197 V1.4.1 Digital Video Broadcasting (DVB); Head-end implementation of DVB SimulCrypt6)TS 101 197-1 V1.1.1 Digital Video Broadcasting (DVB); DVB SimulCrypt; Part 1: Head-end architecture and synchronization7)ISO/IEC1-13818 Coding of Moving Pictures and associated Audio 8)GB/T 16649识别卡带触点的集成电路卡2.2 术语MPEG(Moving Picture Experts Group):运动图像专家组,是国际标准化组织(ISO)和ITU制定发布的视频、音频、数据的压缩标准。
MPEG-TS:系统输入的长度为188字节的码包。
码包的第一个字节是同步字节(47HEX)。
PES:音频、视频及数字信号首先经过MPEG-2编码器进行数据压缩,形成基本码流(ES),基本码流经过打包后形成有包头的基本码流(PES)。
TS:代表不同音频、视频信号的基本流(PES)被送入传输复用器进行系统复用,复用后的码流叫做传输流(TS)。
传输流中包括多个节目源的不同信号,为了区分这些信号,在系统复用器上需要加入服务信息(SI),使接收端可以识别不同的节目。
AF:自适应域,在PES包到TS映射的过程中,当TS包包含PES 包结尾时,进行数据填充。
PID:TS包头中,用以标识包的类型(如音频、视频、节目特定信息PSI等)它是辨别码流信息性质的关键,是节目信息的“身份证”,不同的电视节目和服务信息(SI)对应不同的PID码。
CA:条件接收,在数字电视系统中,利用密码技术控制用户接收和使用收费数字电视业务的一种技术手段。
ECM:用户授权控制消息(Entitlement Control Message),是一种专门用于以安全方式承载控制字(CW)和专有授权信息的条件接收(CA)信息。
EMM:用户授权管理消息(Entitlement Management Message),是一种专门用于指定业务或事件的预定者的授权级别或分组之类事情的条件接收(CA)信息。
PMS:节目管理系统(Program Management System),用于提供收费方式、产生电子节目指南(EPG)等,对应于授权控制信息(ECM)。
SMS:用户管理系统(Subscriber Management System),用于编辑和管理用户信息,处理用户的节目定单、检查用户付费情况、产生用户预授权信息等。
2.3 缩略语DVB(Digital Video Broadcast):数字视频广播CAS(Conditional Access System):条件接收系统SMS(Subscriber Management System):用户管理系统SAS(Subscriber Authorization System):用户授权系统PMS(Program Management System):节目管理系统CW(Control Word):控制字CWG(Control Word Generator):控制密钥生成器ECM(Entitlement Control Message):授权控制信息ECMG(Entitlement Control Message Generator):授权控制信息生成器EMM(Entitlement Management Message):授权管理信息EMMG(Entitlement Management Message Generator):授权管理信息生成器SK(Service Key):业务密钥DK(Distribution Key):用户分发密钥PK(Personal Key):用户个人密钥ES (Elementary Stream):基本流PES(Packetized Elementary Stream):打包的基本流TS(Transport Stream):传送流PCR(Program Clock Reference):节目时钟基准PID(Packet Identification Number):包标识符PSI(Program Specific Information):节目特定信息SI(Service Information):服务信息PAT (Program Association Table):节目关联表PMT(Program Map Table):节目映射表Mbps(Mega bits Per Second):每秒兆位(的数据流量)ECC(Elliptic Curve Cryptography):椭圆曲线密码算法TCM(Trellis Coded Modulation):格状编码NIT (Network Information Table):网络信息表CAT:(Conditional Access Table):条件接收表BCH(Bose-Chaudhuri-Hocquenghem Code)BCH纠错码FEC(Forward Error Correction):前向纠错码MUX(MUltipleX):复接NR(Nordstrom Robinson):Nordstrom Robinson准正交编码映射PN(Pseudo-random Noise Sequence):伪随机序列QAM(Quadrature Amplitude Modulation):正交幅度调制RS(Reed-Solomon code):Reed-Solomon纠错码3密码系统总体描述3.1 综述数字电视广播系统分为前端系统、传输系统和用户终端系统三部分(参见图3.1)。
根据传输系统的不同,数字电视系统又分为有线、卫星、地面系统。
数字电视条件接收系统的主要工作原理是:在数字电视前端系统对音视频信息和广播数据进行加密传输,同时对用户终端的解密密钥和解密过程进行控制,从而确保只有付费用户才能收看所选节目。
图3.1 数字电视广播系统网络结构框图3.2 密码系统原理和构成数字电视密码系统包含前端密码系统和终端密码系统。
前端密码系统主要由密钥产生、密钥加密和节目加扰三部分组成,完成对数字电视节目流数据的加扰和对各级密钥的加密。
终端密码系统主要由终端密码模块(TCM)和解扰器组成,完成对节目流数据的解扰和对各级密钥的解密,从而实现对广播和收视过程的控制。
数字电视密码应用系统的原理如图3.2所示。
图 3.2数字电视广播密码应用系统原理框图3.3 密钥体系本标准采用四层密钥体系,如下所示:●第一层用户个人密钥PK(Personal Key)●第二层分发密钥DK(Distribution Key)●第三层业务密钥SK(Service Key)●第四层控制字CW(Control Word)图 3.3系统密钥结构图以下以用户卡为例,说明数字电视广播密码系统的工作流程。
1)系统初始化a)系统选择算法和系统参数;b)前端系统确定自身的密钥集;c)系统对用户卡进行初始化,确定用户卡密钥集,将相关参数写入用户卡并记入数据库。
2)分发用户卡运营商向用户分发用户卡,用户卡中包含密码算法和相关参数。
3)用户注册用户持用户卡向运营商注册。
4)分发PK运营商向用户发布个人密钥PK。
5)分发DK运营商验证用户合法后将向用户分发分发密钥DK。
6)分发SK前端密码系统为不同的业务项目产生不同的SK,运营商验证用户合法后将向用户分发业务密钥SK。
7)分发CW与节目加扰运营商在广播受控制业务时动态生成控制字CW,用控制字对节目流进行加扰,并用相应节目的SK对CW进行加密,将加密的控制字随节目流一起在线分发给用户。
8)节目解扰用户通过用户卡中的业务密钥解密出控制字,然后将控制字送给解扰设备解扰出可播放的节目流。
3.4 密码算法在数字电视条件接收系统中,密码算法的使用分为前端和用户终端两个方面。
前端使用的密码算法包括:●加扰算法(SA)●密钥加(解)密算法(KEA)●签名验证算法●PK协商算法●密钥产生算法(KGA)●HASH算法●消息验证码产生算法MAC✓用户终端使用的密码算法包括:●解扰算法(DA)●密钥(加)解密算法(KEA)●签名验证算法●PK协商算法●HASH算法●消息验证码产生算法MAC3.5 加扰、解扰对节目加扰是指在广播前端的条件接收系统控制下改变或控制被传送业务码流的某些特性,使得未经授权的接收者不能得到正确的业务码流。
在MPEG-2标准和欧洲的DVB标准中,对加解扰有一系列规定,我国的《GY/Z175-2001数字电视广播条件接收系统规范》基本遵循这些规定。