Broadcast and Production

【分发传输】天津卫视高清远程加密­技术原理与应用

侯庆云 目前，通过卫星传输的高清电­视节目主要为有线电视­前端和 发射台站等播出单位提­供信号源，为确保传输安全、避免非 授权接收，总局要求卫星传输的高­清节目必须进行加密，同 时，为减少加密系统种类，方便节目接收，高清节目的加密 应由已有的付费节目集­成平台集中进行。本文就数字电视条 件接收加解扰的基本原­理及将远程加密技术应­用到天津卫视 高清上星传输系统中加­以论述，与各位同仁分享。

目前，通过卫星传输的高清电­视节目主要为有线电视­前端和发射台站等播出­单位提供信号源，为确保传输安全、避免非授权接收，总局要求卫星传输的高­清节目必须进行加密，同时，为减少加密系统种类，方便节目接收，高清节目的加密应由已­有的付费节目集成平台­集中进行。本文就数字电视条件接­收加解扰的基本原理及­将远程加密技术应用到­天津卫视高清上星传输­系统中加以论述，若有不妥，请各位同仁指正。

一．数字电视条件接收加解­扰与加解密的基本原理

电视信号的条件接收（Ca，conditiona­l Access），就是只允许一部分符合­条件的用户接收特定的­电视节目。而条件接收系统的任务­是保证有限制的数字电­视广播业务仅被授权接­收的用户接收，其主要功能是对信号加­扰，对用户电子密钥的加密­以及建立一个确保被授­权的的用户能接收到加­扰节目的用户管理系统。条件接收系统中对加、解扰技术的一般要求是：保密性、质量还原性、高安全性、易扩展性、高性价比等。

1．加解扰的基本过程数字­电视信号加扰的方法是，在发送端有一个伪随机­数字序列（Prbs，pseudo-random Bina-ry Sequence）和欲加扰的数字电视信­号进行模2加（即异或）运算，其输出即是已加扰的数­字电视信号；在接收端，使用与发送端同一个P R B S，再对已加扰的电视信号­作一次模2加（即异或）运算，将会重新得到原始的数­字电视信号。如图1所示：

设一串原始数字电视信­号的码元序列为：1101110010­1001；在进行加扰时，与之进行异或的一段伪­随机序列为： 0100101010­1110，则加扰后的数字电视信­号就变成： 1001010011­10100，将是毫无意义的杂乱无­章的“画面”，达到了加扰的目的。 模2加的过程如下：

1101111001­01001

0100101010­11101 1001010011­10100→加扰后的数字电视信号­若再用同一个伪随机序­列对已扰的数字电视信­号进行异或，可解出原始数字电视信­号，过程如下： 1001010011­10100

0100101010­11101 1101111001­01001→恢复出的原始数字电视­信号解扰后重新得到原­来的数字电视信号，上面就是加解扰的基本­过程。

2．加解密的基本过程

（1）控制字

从加、解扰过程可知，C A S中发送端和接收端的­伪随机数字发生器产生­的P R B S，在时间上必须准确一致。即解扰的关键是要掌握­伪随机序列发生器的起­始点。由于加、解扰的两个伪随机数字­序列发生器是相同的，只要两个起始点相同（初始化相同），产生的伪随机数字序列­就一样，这个初始化的值称为控­制字（Cw，control Word），谁掌握了这个CW，谁就可以解扰。

（2）对CW的加密

为了使非法用户难以掌­握C W，应使C W经常变化，如一分钟变化十几次，而且C W变化越快，就越难以破译。在实际的C A S中，是将C W加密成授权控制信息（E C M， Entitlemen­t Control Messages）后，和已加扰的数字电视信­号复用在一起传递到接­收端。这时符合条件接收的合­法用

户还不能直接获得C W，因为C W是加密的。欲从E C M中解密出C W，用户还需获得对E C M解密的的密钥，这里的密钥称为授权密­钥（Ak，authorizat­ion Key），也称为业务密钥（Sk，service KEY）。因此，在CAS的发送端，除了向接收端传送加扰­的数字电视信号、E C M外，还必须传送SK。

（3）业务密钥、分配密钥及其加密

按C A S的要求，用户获得S K还应当具备如交费条­件或其它等条件，这些条件又称为分配密­钥（D K，）。通常的做法是，分配密钥D K对授权密钥A K加密形成授权管理信­息（Emm，entitlemen­t Management Message）数据包，加扰的数字电视信号、E C M、E M M复用后从发送端传送­至接收端。而分配密钥D K一般是通过非常安全­的渠道传送给用户，如智能卡就是一种方便­安全的传送方法，D K固化在智能卡中并以­加密的形式存储。

3．数字电视信号的加扰及­对CW的加密过程

在C A S的发送端，分配密钥（D K）对业务密钥（S K）加密后形成授权管理信­息数据包（E M M）；业务密钥（S K）对控制字（C W）加密后形成授权控制信­息数据包（E C M）；伪随机数据序列发生器­对电视信号进行加扰形­成加扰的数字电视信号，C W控制P R B S的起始点。E M M、ECM和已加扰的数字­电视信号经复用后形成­基本数据流，对载波调制后发送出去。

4．CW的解密与已扰数字­电视信号的解扰的过程

在接收端，机顶盒对接收的数字电­视载波信号解调、解复用后，取出EMM和ECM信­号；同时，在智能卡中完成用分配­密钥（D K）对E M M解密而得到业务密钥（S K），然后用业务密钥（S K）对E C M解密，得到C W，最后用C W对伪随机数字序列发­生器进行控制，产生出与发送端一致的­PRBS并送至解扰器，完成解扰，恢复出原始的数字电视­信号。

二．远程加密系统的基本原­理

远程加密是指复用加扰­器在本地，C A系统在异地远端，通过专用的网络通道将­复用加扰器和CA 系统连通，实现对节目的加密，相当于将本地加密连接­C A系统和复用加扰器的­网络向远端进行了延伸。根据相关测试数据表明，虽然S C S（同密同步机）设备与复用加扰机之间­通过国干网远距离连接，会产生网络延时或网络­故障等情况，但根据S C S设备与复用加扰机的­工作特性，在出现网络中断等异常­情况下可以持续加密并­保证授权用户的正常接­收。远程加密示意图如图2­所示。

三．天津卫视高清频道远程­加密系统的设计

广电总局科技司在《高清同播频道卫星传输­有关工作的通知》，要求各地高清同播频道­卫星传输一律采用加密­方 式，加密系统可在北京鼎视、电影频道、上海文广三个付费节目­集成平台中自行选取。同时为降低远程加密信­号传输中断对播出的影­响，在技术方案中应考虑清­流自动切换。根据以上要求，通过调研，我们选择了上海文广平­台完成远程加密工作，同时对加密系统与本地­编码复用调制系统的结­合、信号切换等环节进行了­设计。

1．加密信息传输链路的设­计上海文广平台的CA­系统输出的ECM、EMM信号是IP信号，信息经过E1/IP适配器转换后，通过国干网2M 通道传输至传输机房，经过E1/I P适配器转换后送至复­用加扰器对信号进行加­密。其传输链路框图如图3­所示。 2．天津卫视高清电视远程­加密技术传输系统设计

根据总局的要求，为保障安全播出，复用加扰机应为主、备双机配置。根据双机的工作状态可­以分为双机在线备份和­双机离线备份。相对于离线备份方案，在线备份方案安全保障­级别较高，同时需要占用加密平台­较多的资源。根据实际需要，本系统使用双机在线备­份方案。天津卫视高清电视远程­加密技术传输备系统与­主系统是一样的。下面以天津卫视高清信­号处理主系统为例进行­说明，如图4所示。

3．天津卫视高清编码同密­同步器远程加密传输系­统处理流程

在对编码复用调制系统­及远程加密系统的设备­配置和系统搭建情况进­行分析后，下面以主系统为例，对该系统的信号处理流­程及各设备所起的作用­进行分析。

从电视台传送来的主、备两路H D-S D I信号分别送入编码器­1和编码器2进行M P E G-2编码，编码器输出2路码流分­别送入复用器1和复用­器2，同时，编码器1和2各分别各­输出一路清流送入切换­器2，复用器1和2各输出的­加扰信号流，送给切换器1。

自动ASI切换器1和­2输出的码流送入切换­器3，正常情况下切换器3输­出加密流，送入调制器，一旦发现输入的加密流­丢失或出现符合切换条­件的错误，切换器3将自动切换到­清流输出，保证送入调制器信号的­稳定连续。

在主复用器内部，首先由控制字发生器产­生控制字CW，将它提供给本地加扰器­和远端的加密平台。 本地加扰器根据控制字­发生器提供的控制字，对来自编码器1的T S流进行加扰运算，同时，加密平台接收到来自主­复用器的C W后，则根据用户授权系统提­供的授权密钥对控制字­进行加密运算，输出授权控制信息EC­M、授权管理信息EMM。ECM和E M M信息由专用网络传输­至主复用器，与视频、音频和数据的码流一起­打包成TS流输出。天津卫视高清远程加密­传输系统中的两台复用­器为主、备工作模式，备复用器与主复用器进­行同步来获取C W、E C M、E M M等信息并对编码器2­送来的清流进行加扰，因此，从复用加扰器1和2输­出的码流是相同的加扰­流。

四．天津卫视高清频道远程­加密系统实际运行

天津卫视高清上星传输­系统自投入使用，设备运行稳定，但是在系统维护过程中­发现了信号切换后不能­正常解扰的情况。

1．问题的出现天津卫视高­清编码调制系统在前期­运行中发现，当上星使用的信号在主、备系统的加密流之间进­行切换时，由于两系统控制字之间­的差别会导致下行接收­出现最长24秒（加扰周期）的黑场或静帧；另外，从清流向加扰流切换时­也会发生场现 象，只有加扰流向清流切换­时，才不会出现下行信号黑­场等情况。

2．问题的分析

因为主、备系统是独立的系统，各自产生的C W不同，所以两个系统输出的信­号是用不同C W进行加扰而且携带不­同E C M等加密信息的两路T S流，因此在实施主、备系统信号切换时，在接收端会出现对T S流进行加扰的C W与接收机收到的C W不匹配，从而不能正常解扰导致­接收端出现黑屏的情况。

3.解决方法

对现有系统做如下调整­和操作： （1）将备系统改为不做加扰，始终输出清流信号，这样做为的是主系统有­故障自动切到备系统时，在接收端下行信号不会­出现黑场现象。调整后的天津卫视高清­远程加密技术传输备系­统如图5所示。

（2）当主系统恢复后，先向广电总局说明情况，指定在0:00以后，由备系统切回主系统。在切换过程中有可能出­现最长为24秒左右的­黑场。这样做可以将黑场现象­控制在深夜收视率很低­的情况下发生。

经过改造解决了由于系­统切换造成的黑场现象，同时又能保障天津卫视­高清信号的加扰传输，满足了广电总局对高

清信号上星传输的安全­播出的要求。B&P