侯慶云

目前，通過衛(wèi)星傳輸?shù)母咔咫娨暪?jié)目主要為有線電視前端和發(fā)射臺站等播出單位提供信號源，為確保傳輸安全、避免非授權(quán)接收，總局要求衛(wèi)星傳輸?shù)母咔骞?jié)目必須進行加密，同時，為減少加密系統(tǒng)種類，方便節(jié)目接收，高清節(jié)目的加密應(yīng)由已有的付費節(jié)目集成平臺集中進行。本文就數(shù)字電視條件接收加解擾的基本原理及將遠程加密技術(shù)應(yīng)用到天津衛(wèi)視高清上星傳輸系統(tǒng)中加以論述，若有不妥，請各位同仁指正。

一.數(shù)字電視條件接收加解擾與加解密的基本原理

電視信號的條件接收（CA，Conditional Access），就是只允許一部分符合條件的用戶接收特定的電視節(jié)目。而條件接收系統(tǒng)的任務(wù)是保證有限制的數(shù)字電視廣播業(yè)務(wù)僅被授權(quán)接收的用戶接收，其主要功能是對信號加擾，對用戶電子密鑰的加密以及建立一個確保被授權(quán)的的用戶能接收到加擾節(jié)目的用戶管理系統(tǒng)。條件接收系統(tǒng)中對加、解擾技術(shù)的一般要求是：保密性、質(zhì)量還原性、高安全性、易擴展性、高性價比等。

1.加解擾的基本過程

數(shù)字電視信號加擾的方法是，在發(fā)送端有一個偽隨機數(shù)字序列（PRBS，Pseudo-Random Bina-ry Sequence）和欲加擾的數(shù)字電視信號進行模2加（即異或）運算，其輸出即是已加擾的數(shù)字電視信號；在接收端，使用與發(fā)送端同一個PRBS，再對已加擾的電視信號作一次模2加（即異或）運算，將會重新得到原始的數(shù)字電視信號。如圖1所示：

設(shè)一串原始數(shù)字電視信號的碼元序列為：11011100101001；在進行加擾時，與之進行異或的一段偽隨機序列為：01001010101110，則加擾后的數(shù)字電視信號就變成：100101001110100，將是毫無意義的雜亂無章的“畫面”，達到了加擾的目的。

解擾后重新得到原來的數(shù)字電視信號，上面就是加解擾的基本過程。

2.加解密的基本過程

（1）控制字

從加、解擾過程可知，CAS中發(fā)送端和接收端的偽隨機數(shù)字發(fā)生器產(chǎn)生的PRBS，在時間上必須準確一致。即解擾的關(guān)鍵是要掌握偽隨機序列發(fā)生器的起始點。由于加、解擾的兩個偽隨機數(shù)字序列發(fā)生器是相同的，只要兩個起始點相同（初始化相同），產(chǎn)生的偽隨機數(shù)字序列就一樣，這個初始化的值稱為控制字（CW，Control Word），誰掌握了這個CW，誰就可以解擾。

（2）對CW的加密

為了使非法用戶難以掌握CW，應(yīng)使CW經(jīng)常變化，如一分鐘變化十幾次，而且CW變化越快，就越難以破譯。在實際的CAS中，是將CW加密成授權(quán)控制信息（ECM，Entitlement Control Messages）后，和已加擾的數(shù)字電視信號復(fù)用在一起傳遞到接收端。這時符合條件接收的合法用戶還不能直接獲得CW，因為CW是加密的。欲從ECM中解密出CW，用戶還需獲得對ECM解密的的密鑰，這里的密鑰稱為授權(quán)密鑰（AK，Authorization Key），也稱為業(yè)務(wù)密鑰（SK，Service Key）。因此，在CAS的發(fā)送端，除了向接收端傳送加擾的數(shù)字電視信號、ECM外，還必須傳送SK。

（3）業(yè)務(wù)密鑰、分配密鑰及其加密

按CAS的要求，用戶獲得SK還應(yīng)當具備如交費條件或其它等條件，這些條件又稱為分配密鑰（DK，）。通常的做法是，分配密鑰DK對授權(quán)密鑰AK加密形成授權(quán)管理信息（EMM，Entitlement Management Message）數(shù)據(jù)包，加擾的數(shù)字電視信號、ECM、EMM復(fù)用后從發(fā)送端傳送至接收端。而分配密鑰DK一般是通過非常安全的渠道傳送給用戶，如智能卡就是一種方便安全的傳送方法，DK固化在智能卡中并以加密的形式存儲。

3.數(shù)字電視信號的加擾及對CW的加密過程

在CAS的發(fā)送端，分配密鑰（DK）對業(yè)務(wù)密鑰（SK）加密后形成授權(quán)管理信息數(shù)據(jù)包（E M M）；業(yè)務(wù)密鑰（SK）對控制字（CW）加密后形成授權(quán)控制信息數(shù)據(jù)包（ECM）；偽隨機數(shù)據(jù)序列發(fā)生器對電視信號進行加擾形成加擾的數(shù)字電視信號，CW控制PRBS的起始點。EMM、ECM和已加擾的數(shù)字電視信號經(jīng)復(fù)用后形成基本數(shù)據(jù)流，對載波調(diào)制后發(fā)送出去。

4.CW的解密與已擾數(shù)字電視信號的解擾的過程

在接收端，機頂盒對接收的數(shù)字電視載波信號解調(diào)、解復(fù)用后，取出EMM和ECM信號；同時，在智能卡中完成用分配密鑰（DK）對EMM解密而得到業(yè)務(wù)密鑰（SK），然后用業(yè)務(wù)密鑰（SK）對ECM解密，得到CW，最后用CW對偽隨機數(shù)字序列發(fā)生器進行控制，產(chǎn)生出與發(fā)送端一致的PRBS并送至解擾器，完成解擾，恢復(fù)出原始的數(shù)字電視信號。

二.遠程加密系統(tǒng)的基本原理

遠程加密是指復(fù)用加擾器在本地，CA系統(tǒng)在異地遠端，通過專用的網(wǎng)絡(luò)通道將復(fù)用加擾器和CA 系統(tǒng)連通，實現(xiàn)對節(jié)目的加密，相當于將本地加密連接CA系統(tǒng)和復(fù)用加擾器的網(wǎng)絡(luò)向遠端進行了延伸。根據(jù)相關(guān)測試數(shù)據(jù)表明，雖然SCS（同密同步機）設(shè)備與復(fù)用加擾機之間通過國干網(wǎng)遠距離連接，會產(chǎn)生網(wǎng)絡(luò)延時或網(wǎng)絡(luò)故障等情況，但根據(jù)SCS設(shè)備與復(fù)用加擾機的工作特性，在出現(xiàn)網(wǎng)絡(luò)中斷等異常情況下可以持續(xù)加密并保證授權(quán)用戶的正常接收。遠程加密示意圖如圖2所示。

三.天津衛(wèi)視高清頻道遠程加密系統(tǒng)的設(shè)計

廣電總局科技司在《高清同播頻道衛(wèi)星傳輸有關(guān)工作的通知》，要求各地高清同播頻道衛(wèi)星傳輸一律采用加密方式，加密系統(tǒng)可在北京鼎視、電影頻道、上海文廣三個付費節(jié)目集成平臺中自行選取。同時為降低遠程加密信號傳輸中斷對播出的影響，在技術(shù)方案中應(yīng)考慮清流自動切換。根據(jù)以上要求，通過調(diào)研，我們選擇了上海文廣平臺完成遠程加密工作，同時對加密系統(tǒng)與本地編碼復(fù)用調(diào)制系統(tǒng)的結(jié)合、信號切換等環(huán)節(jié)進行了設(shè)計。

1.加密信息傳輸鏈路的設(shè)計

上海文廣平臺的CA系統(tǒng)輸出的ECM、EMM信號是IP信號，信息經(jīng)過E1/IP適配器轉(zhuǎn)換后，通過國干網(wǎng)2M 通道傳輸至傳輸機房，經(jīng)過E1/IP適配器轉(zhuǎn)換后送至復(fù)用加擾器對信號進行加密。其傳輸鏈路框圖如圖3所示。

2.天津衛(wèi)視高清電視遠程加密技術(shù)傳輸系統(tǒng)設(shè)計

根據(jù)總局的要求，為保障安全播出，復(fù)用加擾機應(yīng)為主、備雙機配置。根據(jù)雙機的工作狀態(tài)可以分為雙機在線備份和雙機離線備份。相對于離線備份方案，在線備份方案安全保障級別較高，同時需要占用加密平臺較多的資源。根據(jù)實際需要，本系統(tǒng)使用雙機在線備份方案。天津衛(wèi)視高清電視遠程加密技術(shù)傳輸備系統(tǒng)與主系統(tǒng)是一樣的。下面以天津衛(wèi)視高清信號處理主系統(tǒng)為例進行說明，如圖4所示。

3.天津衛(wèi)視高清編碼同密同步器遠程加密傳輸系統(tǒng)處理流程

在對編碼復(fù)用調(diào)制系統(tǒng)及遠程加密系統(tǒng)的設(shè)備配置和系統(tǒng)搭建情況進行分析后，下面以主系統(tǒng)為例，對該系統(tǒng)的信號處理流程及各設(shè)備所起的作用進行分析。

從電視臺傳送來的主、備兩路HD-SDI信號分別送入編碼器1和編碼器2進行MPEG-2編碼，編碼器輸出2路碼流分別送入復(fù)用器1和復(fù)用器2，同時，編碼器1和2各分別各輸出一路清流送入切換器2，復(fù)用器1和2各輸出的加擾信號流，送給切換器1。

自動ASI切換器1和2輸出的碼流送入切換器3，正常情況下切換器3輸出加密流，送入調(diào)制器，一旦發(fā)現(xiàn)輸入的加密流丟失或出現(xiàn)符合切換條件的錯誤，切換器3將自動切換到清流輸出，保證送入調(diào)制器信號的穩(wěn)定連續(xù)。

在主復(fù)用器內(nèi)部，首先由控制字發(fā)生器產(chǎn)生控制字CW，將它提供給本地加擾器和遠端的加密平臺。 本地加擾器根據(jù)控制字發(fā)生器提供的控制字，對來自編碼器1的TS流進行加擾運算，同時，加密平臺接收到來自主復(fù)用器的CW后，則根據(jù)用戶授權(quán)系統(tǒng)提供的授權(quán)密鑰對控制字進行加密運算，輸出授權(quán)控制信息ECM、授權(quán)管理信息EMM。ECM和EMM信息由專用網(wǎng)絡(luò)傳輸至主復(fù)用器，與視頻、音頻和數(shù)據(jù)的碼流一起打包成TS流輸出。天津衛(wèi)視高清遠程加密傳輸系統(tǒng)中的兩臺復(fù)用器為主、備工作模式，備復(fù)用器與主復(fù)用器進行同步來獲取CW、ECM、EMM等信息并對編碼器2送來的清流進行加擾，因此，從復(fù)用加擾器1和2輸出的碼流是相同的加擾流。

四.天津衛(wèi)視高清頻道遠程加密系統(tǒng)實際運行

天津衛(wèi)視高清上星傳輸系統(tǒng)自投入使用，設(shè)備運行穩(wěn)定，但是在系統(tǒng)維護過程中發(fā)現(xiàn)了信號切換后不能正常解擾的情況。

1.問題的出現(xiàn)

天津衛(wèi)視高清編碼調(diào)制系統(tǒng)在前期運行中發(fā)現(xiàn)，當上星使用的信號在主、備系統(tǒng)的加密流之間進行切換時，由于兩系統(tǒng)控制字之間的差別會導(dǎo)致下行接收出現(xiàn)最長24秒（加擾周期）的黑場或靜幀；另外，從清流向加擾流切換時也會發(fā)生？場現(xiàn)象，只有加擾流向清流切換時，才不會出現(xiàn)下行信號黑場等情況。

2.問題的分析

因為主、備系統(tǒng)是獨立的系統(tǒng)，各自產(chǎn)生的CW不同，所以兩個系統(tǒng)輸出的信號是用不同CW進行加擾而且攜帶不同ECM等加密信息的兩路TS流，因此在實施主、備系統(tǒng)信號切換時，在接收端會出現(xiàn)對TS流進行加擾的CW與接收機收到的CW不匹配，從而不能正常解擾導(dǎo)致接收端出現(xiàn)黑屏的情況。

3.解決方法

對現(xiàn)有系統(tǒng)做如下調(diào)整和操作：

（1）將備系統(tǒng)改為不做加擾，始終輸出清流信號，這樣做為的是主系統(tǒng)有故障自動切到備系統(tǒng)時，在接收端下行信號不會出現(xiàn)黑場現(xiàn)象。調(diào)整后的天津衛(wèi)視高清遠程加密技術(shù)傳輸備系統(tǒng)如圖5所示。

（2）當主系統(tǒng)恢復(fù)后，先向廣電總局說明情況，指定在0：00以后，由備系統(tǒng)切回主系統(tǒng)。在切換過程中有可能出現(xiàn)最長為24秒左右的黑場。這樣做可以將黑場現(xiàn)象控制在深夜收視率很低的情況下發(fā)生。

經(jīng)過改造解決了由于系統(tǒng)切換造成的黑場現(xiàn)象，同時又能保障天津衛(wèi)視高清信號的加擾傳輸，滿足了廣電總局對高清信號上星傳輸?shù)陌踩コ龅囊蟆?img src="https://cimg.fx361.com/images/2019/03/07/qkimagescbzzcbzz201902cbzz20190213-5-l.jpg"/>