8. СИСТЕМЫ ОГРАНИЧЕНИЯ ДОСТУПА В ЦИФРОВОМ ТЕЛЕВИЗИОННОМ ВЕЩАНИИ
8.2. Принципы построения телевизионных систем
с ограниченным доступом
Обобщенная функциональная схема организации системы цифрового телевизионного вещания с ограниченным доступом приведена на рис. 8.1. В данном случае при формировании транспортного потока данные под вергаются скремблированию, то есть преобразованию структуры по псев дослучайному закону. Это делает информацию «нечитаемой», то есть не
доступной для тех пользователей, которые не имеют специального ключа
доступа. Управление скремблером осуществляется с помощью специаль ных кодовых комбинаций, называемых словами управления (Control Word, CW), вырабатываемых соответствующим генератором. Кодовые слова уча ствуют также в формировании сообщений, управляющих правом доступа (Entitlement Control Message, ЕСМ). Сообщения ЕСМ обеспечивают выде ление в абонентском цифровом телевизионном приемнике слов управле ния, синхронизирующих дескремблер и дающих ключ доступа к закрытой
службе. Но операция дескремблирования возможна только после приема
сообщений, предоставляющих право доступа (Entitlement Management Message, ЕММ), которые формируются и передаются системой управления
(администрирования) абонентами (Subscriber Management System, SMS) и системой авторизации абонента (Subscriber Authorization System, SAS).
Сообщения ЕСМ являются долговременным ключом, обеспечивающим процесс пересылки в приемник кодированных слов управления. Они изме няются достаточно редко - примерно раз в месяц. В отличие от них слова управления CW меняются очень часто - несколько раз в минуту [82].
При исследовании закрытия канала и предоставления доступа обычно
используется более полная функциональная модель системы с ограничен
ным доступом, показанная на рис. 8.2 [83]. В данной модели на передаю
щей стороне также располагаются система предоставления полномочий
абоненту SAS и система администрирования абонентами SMS. Система SAS - это центр управления, ответственный за организацию, упорядочение
идоставку потоков данных сообщений ЕММ и ЕСМ согласно предписани ям, получаемым от системы SMS. Система администрирования абонента
ми (SMS) ведает всеми данными об абонентах. Это деловой центр, кото рый выпускает смарт-карты (Smart Cards), выставляет счета на оплату и
получает платежи от абонентов. Важный ресурс системы администрирова ния абонентами - база данных об абонентах, порядковых номерах их деко
деров и информация о службах, на которые они подписались.
Сообщение ЕСМ - это криптограмма управляющего слова и условий
доступа, то есть специфическая комбинация сигналов электронного ключа
ипередаваемой адресной информации. Сообщения ЕСМ используются для управления дескремблером приемника и передаются по каналу в зашифро ванной форме. Они объединены с ключом службы и дешифруются на приеме, чтобы сформировать слово управления криптограммой (управ ляющее слово CW). Типичное слово управления обычно имеет длину 60 бит и обновляется каждые 2 ... 1О с.
Система ограничения доступа
Потоки данных
I
ви
'удио
I
I
,
I Скремблер I
,
I
CW
,
М
I
,
У
!ЕСМ
Генератор
Генератор
Л
слова управ-
сообщения
I
Ь
ления (CW)
ЕСМ
Т
И
------------- ,,
П
Система
I
Система
Л
i,
ЕММ
Е
управления
авторизации
абонентами
,
абонентов
К
I
,I
С
I
Сервисная
51
О
Управление i
р
информация
I
!
,
I
I
~ _____________ J
Рис. 8.1. Функциональная схема ограничения доступа в системе цифрового телевизионного вещания
Потоки данных
о
?'J
N
~
!
8
~
о
(D
~
~
~
t10
~:=
~
()
~
~
()
о
-d
!
~
~
()
(;;j
8
~
~
.......
.......
412 8. СИСТЕМЫ ОГРАНИЧЕНИЯ ДОСТУПА В ЦИФРОВОМ ТЕЛЕВИЗИОННОМ ВЕЩАНИИ
(( »)
/7
A~
Передатчик
I I
Приемник
I
Видео __
t
~
__ Виде о
Мульти-
......
Скрем-
Моду-
Демоду-
......
Дескрем-
......
Демульти-
Аудио --
г-
--Ауди
о
плексор
блер
лятор
лятор
блер
плексор
Данные --
--Данные
ЕММ
--
ЕСМ
CW
CW
ЕСМ
ЕММ
-------
---------------------------
-------
f- - --
-,
I
Сообщения ЕММ,
передаваемые по телефонной
Г
t
I
линии, а также обратный
Шиф-
Шиф-
Дешиф-
Дешиф-
канал для подтверждения
-
ратор
ратор
правильности авторизации
г-
ратор
ратор
I
t-
t
t
Ключи
Подтверждение
службы
Система пре-
Процессор
правильности
Генератор
доставления
Поставщик
защиты
слова
смарт-карт
(секретные
1-
полномочий
управления
ключи)
абоненту
(CW)
(SAS)
Подсистема ограничения
f
доступа (CASS)
I
Система
Счета
I
администри-
рования
Абоненты
-
г-
абонентами
(SMS)
Оплата
(кредитные карточки, наличные, чеки и т.д.)
Рис. 8.2. Функциональная схема модели СОД со скремблированием
и передачей слов управления
Сообщение ЕММ дает зрителю полномочия дескремблировать службу,
то есть санкционирует получение информации. Сообщения ЕММ исходят от системы предоставления полномочий абоненту (SAS), которая их шиф
рует и передает абоненту в процессе радиовещания или по альтернативному
каналу, например, по телефонной линии. Сообщения ЕММ посылаются
абоненту непосредственно после получения последним смарт-карты от сис
темы администрирования абонентами. Эти сообщения являются специфиче ским компонентом сигнала электронного ключа и адресной информации.
Они используются для переключения индивидуальных или группы декоде
ров в состояние «включено» или «выключено» и передаются по эфиру в за шифрованной форме. Сообщения ЕММ - это конфиденциальная информа цИЯ СОД, специфицирующая, например, уровни полномочий подписчиков
или групп подписчиков на доступ к службам или событиям.
В приемной части СОД подсистемой ограничения доступа (Conditional Access Sub-System, CASS) является съемный модуль защиты от не санкционированного доступа (модуль ограничения доступа CASS). Мо
дуль защиты можно включить непосредственно в телевизор с использова-
8.2. Принципы построения телевизионных систем с ограниченным доступом
413
нием между модулем и собственно приемником (хост-устройством) стан дартного компьютерного интерфейса PCMCIA (Personal Computer Memory Card Intemational Association - Международная ассоциация производите лей плат памяти для персональных компьютеров). В этом случае каждый телевизор будет иметь индивидуальный секретный адрес. Замена модуля CASS является одним из средств восстановления ограниченного доступа
после пиратского проникновения в систему. Кроме того, замена модуля
CASS позволяет добавлять в систему новые функциональные возможности по мере их разработки.
В системах цифрового телевизионного вещания стандартизированы два основных подхода к способам ограничения доступа, называемые
«SimulCrypt» и «MultiCrypt» [84].
В варианте SimulCrypt множество цифровых телевизоров использу
ют однотипную систему ограничения доступа, основанную на едином ал
горитме скремблирования. Этот вариант позволяет обеспечить передачу в одном транспортном потоке МPEG-2 вместе с программой нескольких от
дельных сообщений ЕСМ. Таким образом, несколько различных СОД управляют доступом к одной скремблированной передаче. Применимость
метода SimulCrypt основывается на коммерческом соглашении между раз
личными провайдерами программ об использовании одной встроенной в телевизоры СОД дЛЯ просмотра всех программ, независимо от того, были ли эти программы скремблированы одной или несколькими СОД. Вариант
SimulCrypt позволяет одной и той же программе, в которую введены раз
личные потоки бит, управляющие ограничением доступа, быть воспроиз веденной на нескольких приемниках с различным оборудованием для ог
раничения доступа.
В варианте MultiCrypt многие приемники имеют единый интерфейс
шины персонального компьютера PCMCIA между стандартным модулем
СОД и цифровым телевизором, что позволяет передавать параллельно не
сколько программ, использующих различные СОД. В этом случае вещате
ли могут использовать модули, изготовленные различными производите
лями, что дополнительно повышает устойчивость системы от посяга
тельств пиратов. Единый интерфейс работает на уровне транспортного по
тока МPEG-2, и хотя он изначально предназначен для ограничения досту
па, он может также оказаться полезным для других целей, например, для
электронных путеводителей по программе. После установки в приемник
модуля ограниченного доступа с единым интерфейсом PCMCIA различные СОД могут адресоваться последовательно этим цифровым телевизорам.
Выбор того или иного варианта доступа остается за провайдером и
пользователем.
При всех вариантах построения СОД в телевизионном приемнике мо гут быть выделены две части системы ограничения доступа: 1) подсистема дешифрования и 2) подсистема дескремблирования. Первая переводит в рабочее состояние кодированные ключи, полученные телевизором, кото-
414 8. СИСТЕМЫ ОГРАНИЧЕНИЯ ДОСТУПА В ЦИФРОВОМ ТЕЛЕВИЗИОННОМ ВЕЩАНИИ
рые необходимы для работы дескремблера; вторая делает понятными по лученные данные изображения и звука.
В настоящее время в большинстве случаев роль ключа ограничения
доступа выполняют сменные смарт-карты, взаимозаменяемые считываю
щие устройства, которые устанавливаются в цифровые телевизоры с ис пользованием единого интерфейса PCMCIA.
Смарm-карmы, продаваемые вещательными компаниями, содержат микроконтроллер, имеющий постоянное запоминающее устройство (ПЗУ) и энергонезависимое оперативное запоминающее устройство (ОЗУ), то есть ЗУ флэш-типа. В соответствии со стандартом ISO 7816, смарт-карта имеет 8 контактов для подключения к цепям устройства, в которое она
вставляется, то есть в телевизионный приемник. Питание смарт-карты
осуществляется от источника напряжения (блока питания) телевизора, а обмен информацией производится в последовательной форме через два контакта (линия данных и линия тактовых импульсов). Протокол обмена информацией установлен вышеуказанным стандартом.
В ПЗУ микроконтроллера абонентской карты (смарт-карты) записаны алгоритмы дешифрации контрольных слов, сеансовых ключей и другой зашифрованной информации, а в энергонезависимом ОЗУ - сведения о
программах, которые может принимать данный абонент, сроках, в течение
которых это возможно, и другая информация. Абонентская карта опреде ляет адрес данного абонента, что дает возможность направлять информа
цию о предоставлении доступа индивидуально каждому абоненту.
Один из вариантов построения дескремблера и других связанных с ним блоков телевизионного приемника, обеспечивающих условный доступ к принимаемым программам, показан на рис. 8.3.
Большая интегральная схема (БИС) дескремблера содержит блок ана лиза транспортного потока (ТП), ЗУ дЛЯ хранения нескольких идентифика торов пакетов (ЗУ PID), ЗУ дЛЯ хранения контрольных слов (ЗУ КС), блок,
в котором непосредственно осуществляется дескремблирование, интер
фейс для связи с внешним микроконтроллером, и выходной интерфейс.
8.2. Принципы построения телевизионных систем с ограниченным доступом
415
На вход БИС дескремблера поступает скремблированный ТП с блока коррекции ошибок. После дескремблирования ТП направляется на демуль типлексор транспортного потока (ДМП ТП). Важно отметить, что внешний микроконтроллер выполняет только функции управления и связи с або нентской картой, а все операции по дескремблированию выполняются внутри БИС.
Блок анализа ТП содержит так называемые фильтры, которые обна руживают в транспортном потоке пакеты с сообщениями условного досту па (ЕСМ и ЕММ). Данные из этих пакетов сохраняются в буферных ЗУ фильтров. Для выполнения указанной функции микроконтроллер загружа ет в фильтры идентификаторы пакетов, содержащих ЕСМ и ЕММ, отно сящиеся к выбранным программам, и адреса длиной 7 или 17 байтов, слу жащие для выделения сообщений ЕММ, адресованных этому абоненту или группе абонентов, в которую он входит. Одновременно из транспортного потока может выделяться несколько (по числу фильтров) различных ЕСМ
и ЕММ, относящихся К разным элементарным потокам.
Микроконтроллер считывает данные из буферов фильтров и пересы лает их в абонентскую карту, где выполняется дешифровка сеансовых
ключей, а с их помощью - контрольных слов. Это возможно только для тех
программ, которые абонент оплатил, и следовательно, информация о раз
решении доступа к которым содержится в абонентской карте.
При оплате абонентом новых программ информация об этом поступа
ет в составе адресованных ему ЕММ и записывается в энергонезависимое ОЗУ абонентской карты. Тем самым обеспечивается доступ к просмотру
этих программ. После расшифровки микроконтроллер записывает кон
трольные слова для выбранных программ в ЗУ КС. Кроме того, он записы
вает в ЗУ PID идентификаторы пакетов выбранных программ. Эти иденти фикаторы извлекаются из таблиц программно-зависимой информации РАТ
и РМТ. Контрольные слова в ЗУ КС обновляются в процессе приема про граммы по мере их поступления в составе ЕСМ.
ДЛЯ каждого дескремблируемого потока, характеризуемого опреде
ленным идентификатором, записанным в ЗУ PID, в ЗУ КС записывается
пара 64-битовых контрольных слов, одно из которых называется нечет ным, а другое - четным. ЗУ КС содержит также контрольное слово «по умолчанию». В заголовке каждого пакета ТП есть 2-битовое поле скремб лирования. Комбинация 00 означает, что пакет нескремблирован, 01 - скремблирован с использованием КС «по умолчанию», 10 - скремблирован с использованием четного КС и 11 - скремблирован с использованием не четного КС. Если пакет скремблирован с помощью КС «по умолчанию», то
он дескремблируется вне зависимости от того, записан его идентификатор в ЗУ PID или нет. В других случаях дескремблируются только пакеты, идентификаторы которых есть в ЗУ PID, и притом с помощью соответст вующих этим идентификаторам контрольных слов. Предусмотрена возмож ность выбора пакетов для дескремблирования по неполному совпадению их
416 8. СИСТЕМЫ ОГРАНИЧЕНИЯ ДОСТУПА В ЦИФРОВОМ ТЕЛЕВИЗИОННОМ ВЕЩАНИИ
идентификаторов с записанными в ЗУ PID. Если пакет ТП успешно деск ремблирован, то в его поле скремблирования устанавливается значение 00.
Помимо скремблирования пакетов ТП стандарт МPEG-2 и основан ные на нем стандарты DVB предусматривают возможность скремблирова ния пакетизированного элементарного потока (ПЭП) дО включения его в ТП. Заголовок ПЭП содержит двухбитовое поле, показывающее наличие и режим такого скремблирования. Дескремблирование на уровне ПЭП вы полняется тем же дескремблером, что и для уровня ТП. Одновременное скремблирование на уровнях ПЭП и ТП не допускается.
8.3. Алгоритм скремблирования для систем
с ограниченным доступом
При разработке стандартов на системы цифрового телевидения было решено не стандартизировать входящие в СОД системы администрирова ния абонентами SMS и предоставления полномочий абоненту SAS. Вместо этого были определены единый алгоритм скремблирования цифрового по тока и единый интерфейс подключения модуля защиты. Такой подход по
зволяет вещателям, заключившим коммерческое соглашение, использовать
декодеры с различными алгоритмами ограничения доступа и гарантиро
вать возможность выбора СОД.
Алгоритм скремблирования для массового применения в системах
цифрового телевизионного вещания должен быть максимально и надолго
защищен от пиратского нарушения авторских прав в течение длительного
периода времени. Поскольку он содержит необходимую и достаточную
информацию о безопасности службы, было установлено, что технические
подробности алгоритма скремблирования могут быть раскрыты только добросовестным пользователям под их письменную гарантию неразглаше ния. Хранителем единого алгоритма скремблирования является институт
ETSI [85].
В случае скремблирования на уровне транспортных пакетов (TS) дли
ной 188 байт алгоритм скремблирования применяется в полезной нагрузке транспортного пакета. Скремблирование с тем же самым алгоритмом на
уровне элементарного пакетированного пакета (РЕS-пакета) требует, что
бы заголовок РЕS-пакета не был скремблирован, а транспортные пакеты, содержащие части скремблированных РЕS-пакетов, не имели полей адап
тации (за исключением транспортного пакета, содержащего конец PES- пакета). Заголовок скремблированного РЕS-пакета не должен охватывать
несколько транспортных пакетов.
Транспортный пакет, содержащий начало скремблированного PES- пакета, заполняется заголовком РЕS-пакета и первой частью его полезной нагрузки. Таким образом, первая часть полезной нагрузки РЕS-пакета скремблируется точно так же, как полезная нагрузка аналогичного объема в транспортном пакете. Остальная часть полезной нагрузки РЕS-пакета
418 8. СИСТЕМЫ ОГРАНИЧЕНИЯ ДОСТУПА В ЦИФРОВОМ ТЕЛЕВИЗИОННОМ ВЕЩАНИИ
Таблица 8.1
Значения бит управления скремблированием
Значение бита
Описание
00
Нет скремблирования полезной нагрузки ТS-пакетов
(соответствие MPEG-2)
01
Зарезервировано ДЛЯ использования в будущем
10
ТS-пакет скремблирован с четным ключом
11
ТS-пакет скремблирован с нечетным ключом
Для управления процессами дескремблирования используется соот ветствующее поле из двух бит, размещаемое в заголовках как РЕS-пакета, так и ТS-пакета. Первый бит поля управления индицирует, скремблирова на (1) или нет (О) полезная нагрузка пакета. Второй бит поля управления индицирует использование скремблирования с четным (О) или нечетным
(1) ключом. Значения бит управления скремблированием приведены в
табл. 8.1.
Если полезная нагрузка транспортного пакета не скремблируется на уровне ТS-пакета, то вид скремблирования должен быть определен на уровне РЕS-пакета. Значения бит управления для этого случая точно такие же, как и для уровня ТS-пакета. Алгоритм разработан так, чтобы миними зировать объем памяти в схеме дескремблера за счет усложнения скремб лера. Точные значения объема памяти и также времени задержки деск ремблирования зависят от конкретной реализации устройств.
8.4. Особенности эксплуатации систем
сограниченным доступом
вСОД предусматриваются следующие основные методы назначения
платежей и оплаты:
•подписка (предварительная оплата времени просмотра всех желатель
ных программ);
•плата за просмотр (Pay-Per-View,РРУ), то есть предварительная оп
лата просмотра отдельной программы или группы программ;
•разовая плата за просмотр (Impulse Pay-Per-View, IPPV), то есть оплата
программы или группы программ по факту просмотра без авансового
перечисления.
Методы оплаты РРУ и IPPV обычно требуют наличия обратного ка
нала от зрителя к оператору СОД, например, с использованием телефон ного соединения и модема, встроенного в цифровой телевизор. Обратный
канал может служить для записи хронологии просмотра программ, что
важно с точки зрения учета прав на доступ к ним.
Для организации перспективного и открытого рынка передач с огра
ниченным доступом важно, чтобы элементы СОД могли быть разделены.
8.4. Особенности эксплуатации систем с ограниченным доступом
419
Один цифровой телевизионный приемник должен обеспечивать прием и
декодирование телевизионных передач с ограниченным доступом от раз
личных вещателей, использующих, возможно, различные средства достав
ки информации (например, кабельные, спутниковые или наземные систе мы). Это означает, что телевизор может обеспечивать одновременную ра боту многих устройств защиты или одного, используемого различными поставщиками услуг. В последнем случае устройство защиты должно быть разделено на независимые зоны так, чтобы операторы имели доступ к за писи и считыванию только из тех зон, которые содержат информацию от носительно прав просмотра их собственных служб. Там, где операторы со
вместно используют устройство защиты, важно решить, кто вводит в дей
ствие и, главное, кто делает это повторно, особенно в случае, требующем
замену устройства защиты.
В некоторых случаях (например, вещание сообщений) вещатель дол жен обращаться к большому числу телевизоров в течение короткого пе риода времени. В этих ситуациях целесообразно использовать разделенные
ключи, чтобы уменьшить время доступа для больших зрительских аудито рий. Аудитория делится на группы зрителей. Каждый из них в пределах
отдельной группы имеет один и тот же разделенный ключ, с помощью ко
торого можно сформировать часть полного управляющего слова. При этом
различные сообщения, предназначенные для данного конкретного зрителя, могут быть объединены.
Иногда бывает так, что сигнал вещания может последовательно транс лироваться двумя или более различными средствами доставки. Например,
программа может передаваться через спутник, а затем доставляться в неко
торые дома с помощью кабельных систем. В таких случаях желательно из менить управление правами на доступ на стыке средств распределения без полного дескремблирования и повторного скремблирования данных. Од
нако здесь существует риск нарушения защиты, потому что один оператор
СОД должен был бы предоставлять управляющее слово другому оператору для работы аппаратуры преобразования управления.
Практически может быть безопаснее (хотя дороже) дескремблировать
и повторно скремблировать данные на стыке средств распределения. Деск ремблеры и рескремблеры различных изготовителей СОД потенциально могут быть встроены в соответствующие модули производителей компью
терного интерфейсного оборудования [15].
Изменение управления правами на доступ на стыке средств распре деления дает возможность конечному оператору системы передачи обес печивать прямой контроль каждого потребителя над всеми предостав
ляемыми услугами. Это означает, что зритель должен эксплуатировать только СОД, используемую конечным оператором системы передачи. Од нако данный подход означает также, что поставщики информации и опера
торы системы передачи, которые предоставляют услуги конечным опера-
