7. Системы ограничения доступа в цифровом телевизионном вещании
7.1. Необходимость ограничения доступа к программам вещания
Цифровая технология позволила значительно расширить число и номенклатуру услуг, предоставляемых системами телевизионного вещания. Часть новых услуг являются платными, или предназначенными для относительно небольших групп пользователей. Таким образом, возникает задача ограничения доступа широкой аудитории пользователей к службам, программам вещания, дополнительной информации, распространяемым по подписке.
В системе цифрового наземного телевизионного вещания DVB-Tвозможно применение эффективных, стойких к взлому алгоритмов защиты информации. Таким образом, стандартDVB-Tобеспечивает условный доступ (ConditionalAccess–AC) к передаваемым телевизионным программам, что позволяет организовать платное телевизионное вещание. Системы с ограниченным доступом (СОД) отличаются от аналоговых систем использованием операций скремблирования и шифрования, предотвращающих несанкционированный прием.Скремблирование – это процесс придания неразборчивости цифровым потокам звука, изображения и данных. Шифрование представляет собой процесс защиты секретных ключей, которые должны быть переданы вместе со скремблированнымсигналом для работы дешифратора скремблированных последовательностей (дескремблера). После дескремблирования какие-либо дефекты звука и изображения, вызванные работой СОД, должны отсутствовать.
Потребность ограничения доступа может возникнуть, например, в следующих случаях:
при необходимости взимать платежи с тех зрителей, которые хотят иметь доступ к определенным программам или услугам;
по соображениям охраны авторских прав на программы при вещании в определенных географических зонах, например, на территории других стран (такой территориальный контроль может быть предписан и обеспечен, если приемник имеет встроенную глобальную систему определения местоположения GPS–GlobalPositioningSystem);
в случае необходимости ограничения доступа детей к некоторым категориям телевизионных программ.
7.2. Принципы построения телевизионных систем с ограниченным доступом
Обобщенная функциональная схема организации системы цифрового телевизионного вещания с ограниченным доступом приведена на рис. 7.1. В данном случае при формировании транспортного потока данныеподвергаются скремблированию, то есть преобразованию структуры по псевдослучайному закону. Это делает информацию «нечитаемой», то есть недоступной для тех пользователей, которые не имеют специального ключа доступа. Управление скремблером осуществляется с помощью специальных кодовых комбинаций, называемыхсловами управления (ControlWord,CW), вырабатываемых соответствующим генератором. Кодовые слова участвуют также в формированиисообщений, управляющих правом доступа (EntitlementControlMessage, ЕСМ). Сообщения ЕСМ обеспечивают выделение в абонентском цифровом телевизионном приемнике слов управления, синхронизирующих дескремблер и дающих ключ доступа к закрытой службе. Но операция дескремблирования возможна только после приемасообщений, предоставляющих право доступа (EntitlementManagementMessage,EMM), которые формируются и передаютсясистемой управления (администрирования)абонентами (SubscriberManagementSystem,SMS) исистемой авторизации абонента (SubscriberAuthorizationSystem,SAS). Сообщения ЕСМ являются долговременным ключом, обеспечивающим процесс пересылки в приемник кодированных слов управления. Они изменяются достаточно редко – примерно раз в месяц. В отличие от них слова управленияCWменяются очень часто – несколько раз в минуту [71].
При исследовании закрытия канала и предоставления доступа обычно используется более полная функциональная модель системы с ограниченным доступом, показанная на рис. 7.2 [72]. В данной модели на передающей стороне также располагаются система предоставления полномочий абонентуSASи система администрирования абонентамиSMS. СистемаSAS– это центр управления, ответственный за организацию, упорядочение и доставку потоков данных сообщенийEMMи ЕСМ согласно предписаниям, получаемым от системыSMS. Система администрирования абонентами (SMS) ведает всеми данными об абонентах. Это деловой центр, который выпускает смарт-карты (SmartCards), выставляет счета на оплату и получает платежи от абонентов. Важный ресурс системы администрирования абонентами – база данных об абонентах, порядковых номерах их декодеров и информация о службах, на которые они подписались.
Сообщение ЕСМ– это криптограмма управляющего слова и условий доступа, то есть специфическая комбинация сигналов электронного ключа и передаваемой адресной информации. Сообщения ЕСМ используются для управления дескремблером приемника и передаются по каналу в зашифрованной форме. Они объединены с ключом службы и дешифруются на приеме, чтобы сформировать слово управления криптограммой (управляющее словоCW). Типичное слово управления обычно имеет длину 60 бит и обновляется каждые 2…10 с.
Рис. 7.2.Функциональная схема модели СОД со скремблированием и передачей слов управления
Сообщение EMM дает зрителю полномочия дескремблировать службу, то есть санкционирует получение информации. Сообщения EMM исходят от системы предоставления полномочий абоненту (SAS), которая их шифрует и передает абоненту в процессе радиовещания или по альтернативному каналу, например, по телефонной линии. Сообщения EMM посылаются абоненту непосредственно после получения последним смарт-карты от системы администрирования абонентами. Эти сообщения являются специфическим компонентом сигнала электронного ключа и адресной информации. Они используются для переключения индивидуальных или группы декодеров в состояние «включено» или «выключено» и передаются по эфиру в зашифрованной форме. Сообщения EMM – это конфиденциальная информация СОД, специфицирующая, например, уровни полномочий подписчиков или групп подписчиков на доступ к службам или событиям.
В приемной части СОД подсистемой ограничения доступа (ConditionalAccessSub-System,CASS) является съемныймодуль защиты от несанкционированного доступа (модуль ограничения доступаCASS). Модуль защиты можно включить непосредственно в телевизор с использованием между модулем и собственно приемником (хост-устройством) стандартного компьютерного интерфейсаPCMCIA(PersonalComputerMemoryCardInternationalAssociation– Международная ассоциация производителей плат памяти для персональных компьютеров). В этом случае каждый телевизор будет иметь индивидуальный секретный адрес. Замена модуляCASSявляется одним из средств восстановления ограниченного доступа после пиратского проникновения в систему. Кроме того, замена модуляCASSпозволяет добавлять в систему новые функциональные возможности по мере их разработки.
В системах цифрового телевизионного вещания стандартизированы два основных подхода к способам ограничения доступа, называемые «SimulCrypt» и «MultiCrypt» [73].
В варианте SimulCryptмножество цифровых телевизоров используют однотипную систему ограничения доступа, основанную на едином алгоритме скремблирования. Этот вариант позволяет обеспечить передачу в одном транспортном потокеMPEG-2 вместе с программой нескольких отдельных сообщений ЕСМ. Таким образом, несколько различных СОД управляют доступом к одной скремблированной передаче. Применимость методаSimulCryptосновывается на коммерческом соглашении между различными провайдерами программ об использовании одной встроенной в телевизоры СОД для просмотра всех программ, независимо от того, были ли эти программы скремблированы одной или несколькими СОД. ВариантSimulCryptпозволяет одной и той же программе, в которую введены различные потоки бит, управляющие ограничением доступа, быть воспроизведенной на нескольких приемниках с различным оборудованием для ограничения доступа.
В варианте MultiCryptмногие приемники имеют единый интерфейс шины персонального компьютераPCMCIAмежду стандартным модулем СОД и цифровым телевизором, что позволяет передавать параллельно несколько программ, использующих различные СОД. В этом случае вещатели могут использовать модули, изготовленные различными производителями, что дополнительно повышает устойчивость системы от посягательств пиратов. Единый интерфейс работает на уровне транспортного потокаMPEG-2, и хотя он изначально предназначен для ограничения доступа, он может также оказаться полезным для других целей, например, для электронных путеводителей по программе. После установки в приемник модуля ограниченного доступа с единым интерфейсомPCMCIAразличные СОД могут адресоваться последовательно этим цифровым телевизорам.
Выбор того или иного варианта доступа остается за провайдером и пользователем.
При всех вариантах построения СОД в телевизионном приемнике могут быть выделены две части системы ограничения доступа: 1) подсистема дешифрованияи 2)подсистема дескремблирования. Первая переводит в рабочее состояние кодированные ключи, полученные телевизором, которые необходимы для работы дескремблера; вторая делает понятными полученные данные изображения и звука.
В настоящее время в большинстве случаев роль ключа ограничения доступа выполняют сменные смарт-карты, взаимозаменяемые считывающие устройства, которые устанавливаются в цифровые телевизоры с использованием единого интерфейса PCMCIA.
Смарт-карты, продаваемые вещательными компаниями, содержат микроконтроллер, имеющий постоянное запоминающее устройство (ПЗУ) и энергонезависимое оперативное запоминающее устройство (ОЗУ), то есть ЗУ флэш-типа. В соответствии со стандартомISO7816, смарт-карта имеет 8 контактов для подключения к цепям устройства, в которое она вставляется, то есть в телевизионный приемник. Питание смарт-карты осуществляется от источника напряжения (блока питания) телевизора, а обмен информацией производится в последовательной форме через два контакта (линия данных и линия тактовых импульсов). Протокол обмена информацией установлен вышеуказанным стандартом.
В ПЗУ микроконтроллера абонентской карты (смарт-карты) записаны алгоритмы дешифрации контрольных слов, сеансовых ключей и другой зашифрованной информации, а в энергонезависимом ОЗУ – сведения о программах, которые может принимать данный абонент, сроках, в течение которых это возможно, и другая информация. Абонентская карта определяет адрес данного абонента, что дает возможность направлять информацию о предоставлении доступа индивидуально каждому абоненту.
Один из вариантов построения дескремблера и других связанных с ним блоков телевизионного приемника, обеспечивающих условный доступ к принимаемым программам, показан на рис. 7.3.
Большая интегральная схема (БИС) дескремблера содержит блок анализа транспортного потока (ТП), ЗУ для хранения нескольких идентификаторов пакетов (ЗУ PID), ЗУ для хранения контрольных слов (ЗУ КС), блок, в котором непосредственно осуществляется дескремблирование, интерфейс для связи с внешним микроконтроллером, и выходной интерфейс.
Рис. 7.3.Структурная схема дескремблера телевизионного приемникаDVB
На вход БИС дескремблера поступает скремблированный ТП с блока коррекции ошибок. После дескремблирования ТП направляется на демультиплексор транспортного потока (ДМП ТП). Важно отметить, что внешний микроконтроллер выполняет только функции управления и связи с абонентской картой, а все операции по дескремблированию выполняются внутри БИС.
Блок анализа ТП содержит так называемые фильтры, которые обнаруживают в транспортном потоке пакеты с сообщениями условного доступа (ЕСМ и ЕММ). Данные из этих пакетов сохраняются в буферных ЗУ фильтров. Для выполнения указанной функции микроконтроллер загружает в фильтры идентификаторы пакетов, содержащих ЕСМ и ЕММ, относящиеся к выбранным программам, и адреса длиной 7 или 17 байтов, служащие для выделения сообщений ЕММ, адресованных этому абоненту или группе абонентов, в которую он входит. Одновременно из транспортного потока может выделяться несколько (по числу фильтров) различных ЕСМ и ЕММ, относящихся к разным элементарным потокам.
Микроконтроллерсчитывает данные из буферов фильтров и пересылает их в абонентскую карту, где выполняется дешифровка сеансовых ключей, а с их помощью – контрольных слов. Это возможно только для тех программ, которые абонент оплатил, и, следовательно, информация о разрешении доступа к которым содержится в абонентской карте.
При оплате абонентом новых программ информация об этом поступает в составе адресованных ему ЕММ и записывается в энергонезависимое ОЗУ абонентской карты. Тем самым обеспечивается доступ к просмотру этих программ. После расшифровки микроконтроллер записывает контрольные слова для выбранных программ в ЗУ КС. Кроме того, он записывает в ЗУ PIDидентификаторы пакетов выбранных программ. Эти идентификаторы извлекаются из таблиц программно-зависимой информацииPATиPMT. Контрольные слова в ЗУ КС обновляются в процессе приема программы по мере их поступления в составе ЕСМ.
Для каждого дескремблируемого потока, характеризуемого определенным идентификатором, записанным в ЗУ PID, в ЗУ КС записывается пара 64-битовых контрольных слов, одно из которых называется нечетным, а другое – четным. ЗУ КС содержит также контрольное слово «по умолчанию». В заголовке каждого пакета ТП есть 2-битовое поле скремблирования. Комбинация 00 означает, что пакет нескремблирован, 01 – скремблирован с использованием КС «по умолчанию», 10 – скремблирован с использованием четного КС и 11 – скремблирован с использованием нечетного КС. Если пакет скремблирован с помощью КС «по умолчанию», то он дескремблируется вне зависимости от того, записан его идентификатор в ЗУPIDили нет. В других случаях дескремблируются только пакеты,идентификаторы которых есть в ЗУ PID, и притом с помощью соответствующих этим идентификаторам контрольных слов. Предусмотрена возможность выбора пакетов для дескремблирования по неполному совпадению их идентификаторов с записанными в ЗУ PID. Если пакет ТП успешно дескремблирован, то в его поле скремблирования устанавливается значение 00.
Помимо скремблирования пакетов ТП стандарт MPEG-2 и основанные на нем стандартыDVBпредусматривают возможность скремблирования пакетизированного элементарного потока (ПЭП) до включения его в ТП. Заголовок ПЭП содержит двухбитовое поле, показывающее наличие и режим такого скремблирования. Дескремблирование на уровне ПЭП выполняется тем же дескремблером, что и для уровня ТП. Одновременное скремблирование на уровнях ПЭП и ТП не допускается.