数字电视条件接收系统转让专利
申请号 : CN201010583109.4
文献号 : CN102098539B
文献日 : 2012-09-05
发明人 : 苏凯雄 , 杨秀芝 , 魏军 , 吴林煌 , 黄锴 , 云桂桂
申请人 : 福州大学
摘要 :
本发明提供了一种数字电视条件接收系统,包括PC机和加密机,其特征在于:所述PC机上安装有授权控制信息发生器,授权管理信息生成器,授权控制信息发生器包括数据通信模块、数据分析模块、数据加密模块和数据打包模块,授权管理信息生成器包括数据通信模块、指令分析模块、数据生成模块、数据加密接口模块、数据库、事件监测模块、数据播发判决模块;加密机由FPGA硬件逻辑实现,包括嵌入式微处理器系统、源存储器、加密存储器、加密算法模块;加密机通过网络接口与PC机相连接,PC机通过网络接口与复用/加扰器和用户管理系统相连接。该系统具有扩展性好、灵活性强、安全性高等特点。
权利要求 :
1.一种数字电视条件接收系统,包括PC机和加密机,其特征在于:所述PC机上安装有授权控制信息发生器,授权管理信息生成器,授权控制信息发生器包括数据通信模块、数据分析模块、数据加密模块和数据打包模块,授权管理信息生成器包括数据通信模块1和数据通信模块2、指令分析模块、数据生成模块1和数据生成模块2、数据加密接口模块、数据加密模块、数据库、事件监测模块、数据播发判决模块;加密机由FPGA硬件逻辑实现,包括嵌入式微处理器系统、源存储器、加密存储器、加密算法模块;加密机通过网络接口与PC机相连接,PC机通过网络接口与复用/加扰器和用户管理系统相连接;所述授权控制信息发生器具体按如下过程执行:加扰器将关键字和访问准则信息经授权控制信息发生器的数据通信模块通信给数据分析模块,所述数据分析模块对获取的消息进行分析.从消息提取访问准则,结合访问准则从密钥数据库中获取业务密钥,然后将控制字和业务密钥提交给数据加密模块处理,所述数据加密模块完成对数据的加密,所述数据打包模块将加密后的数据按照MPEG-2标准封装为188字节TS包格式,经数据通信模块对TS包封装后再通信回给加扰器;所述授权管理信息生成器具体按如下过程执行:指令分析模块经数据通信模块2对用户管理系统发送的指令数据信息进行分析,所述数据生成模块1对各类数据消息实行数据包重构,重构后的数据信息一方面经数据加密模块加密后传送给数据库保存,另一方面直接传送给数据库保存,所述事件监测模块监测数据更新事件发生,并指令数据生成模块2生成新的数据包,所述数据包一方面经数据加密模块加密后传送给数据库保存,另一方面直接传送给数据库保存,所述数据播发判决模块根据数据库调度输出授权管理信息,并经数据通信模块1与加扰器进行数据通信。
2.根据权利要求1所述的一种数字电视条件接收系统,其特征在于:PC服务器软件负责数据交互的接口功能,完成与用户管理系统、复用器、加扰器、加密机的通信,支持多用户管理系统、多复用/加扰器模式;同时负责数据处理和数据库的维护工作,完成数据的分析检查、存储播发、异常处理功能。
3.根据权利要求1所述的一种数字电视条件接收系统,其特征在于:系统利用FPGA实现硬件加密机的功能,FPGA根据服务器发来的控制信息,选择加密算法对信息加密。
4.根据权利要求1所述的一种数字电视条件接收系统,其特征在于:加密机对信息有甄别验证功能,拒绝非法数据进入处理程序。
说明书 :
数字电视条件接收系统
技术领域
[0001] 本发明涉及一种数字电视条件接收系统该系统采用PC服务器和FPGA硬件相结合的数字电视条件接收系统架构,实现数字电视收视权的有效管理。
背景技术
[0002] 随着数字电视的迅猛发展,各种增值业务也迅速增长。数字电视条件接收技术是一种对用户收视权管理的技术,只有被授权的用户才可以正常使用某一种收视业务。为了实现这种功能,需要对某些业务的视音频流进行加扰加密,并把密钥分配并传输给授权用户,使得授权用户能够对原始视音频流解扰解密。条件接收系统(CAS)涉及多种技术,包括网络技术、数字复用技术、加解扰技术、加解密技术、以及节目管理、用户管理技术等,其核心部分是密钥的分层加密与选择性传输,即授权控制信息(ECM)和授权管理信息(EMM)的生成和传输。
[0003] 传统的CAS系统架构采用PC服务器和硬件加密机,物理安全性好,但是价格昂贵,而且也不利于系统升级。简易的CA系统采用单PC服务器的架构,所有的工作交由软件处理。该系统成本低廉,但安全性较低,运算性能不高。本系统采用PC机服务器软件和的FPGA硬件结合的方式,灵活性增强,成本相对较低,且具有一定的安全性,适合中小系统采用。
发明内容
[0004] 本发明的目的是要提供一种数字电视条件接收系统,该系统扩展性好、灵活性强,安全性高。
[0005] 本发明的特征在于:一种数字电视条件接收系统,包括PC机和加密机,其特征在于:所述PC机上安装有授权控制信息发生器,授权管理信息生成器,授权控制信息发生器包括数据通信模块、数据分析模块、数据加密模块和数据打包模块,授权管理信息生成器包括数据通信模块1和数据通信模块2、指令分析模块、数据生成模块1和数据生成模块2、数据加密接口模块、数据加密模块、数据库、事件监测模块、数据播发判决模块;加密机由FPGA硬件逻辑实现,包括嵌入式微处理器系统、源存储器、加密存储器、加密算法模块;加密机通过网络接口与PC机相连接,PC机通过网络接口与复用/加扰器和用户管理系统相连接;所述授权控制信息发生器具体按如下过程执行:加扰器将关键字和访问准则信息经授权控制信息发生器的数据通信模块通信给数据分析模块,所述数据分析模块对获取的消息进行分析.从消息提取访问准则,结合访问准则从密钥数据库中获取业务密钥,然后将控制字和业务密钥提交给数据加密模块处理,所述数据加密模块完成对数据的加密,所述数据打包模块将加密后的数据按照MPEG-2标准封装为188字节TS包格式,经数据通信模块对TS包封装后再通信回给加扰器;所述授权管理信息生成器具体按如下过程执行:指令分析模块经数据通信模块2对用户管理系统发送的指令数据信息进行分析,所述数据生成模块1对各类数据消息实行数据包重构,重构后的数据信息一方面经数据加密模块加密后传送给数据库保存,另一方面直接传送给数据库保存,所述事件监测模块监测数据更新事件发生,并指令数据生成模块2生成新的数据包,所述数据包一方面经数据加密模块加密后传送给数据库保存,另一方面直接传送给数据库保存,所述数据播发判决模块根据数据库调度输出授权管理信息,并经数据通信模块1与加扰器进行数据通信。
[0006] 本发明的优点:本发明充分发挥新型可编程逻辑器件支持并行运算且速度快的特性,将运算量大的加密算法集中在FPGA实现的加密机中,同时用PC机软件实现灵活的管理工作,系统的安全性依赖于加密算法的复杂度。
附图说明
[0007] 图1为条件接收前端系统框架。
[0008] 11为复用/加扰器,12为用户管理系统,101为授权控制信息发生器,102为授权管理信息生成器,103为加密机。
[0009] 图2为授权控制信息发生器的结构框图。
[0010] 20为授权控制信息发生器,21为加扰器,22为密钥数据库,201为数据通信模块,202为数据分析模块,203为数据加密模块,204为数据打包模块。
[0011] 图3为授权管理信息生成器的结构框图。
[0012] 31为加扰器,32为用户管理系统,(301)和(302)为数据通信模块,(303)为指令分析模块,(304)和(306)为数据生成模块,(305)为事件监测模块,(307)为数据加密模块,(308)为数据库,(309)为数据播发判决模块。
[0013] 图4为加密机的结构框图。
[0014] (401)为嵌入式微处理器系统,(402)为源存储器,(403)为加密存储器,(404)为加密算法模块。
[0015] 图5为加密的层次结构。
具体实施方式
[0016] 参考图1,图2,图3,图4和图5,一种数字电视条件接收系统,包括PC机和加密机,所述PC机上安装有授权控制信息发生器,授权管理信息生成器,授权控制信息发生器包括数据通信模块、数据分析模块、数据加密模块和数据打包模块,授权管理信息生成器包括数据通信模块1和数据通信模块2、指令分析模块、数据生成模块1和数据生成模块2、数据加密接口模块、数据加密模块、数据库、事件监测模块、数据播发判决模块和数据加密模块1;加密机由FPGA硬件逻辑实现,包括嵌入式微处理器系统、源存储器、加密存储器、加密算法模块;加密机通过网络接口与PC机相连接,PC机通过网络接口与复用/加扰器和用户管理系统相连接;所述授权控制信息发生器具体按如下过程执行:加扰器将关键字和访问准则信息经授权控制信息发生器的数据通信模块通信给数据分析模块,所述数据分析模块对获取的消息进行分析.从消息提取访问准则,结合访问准则从密钥数据库中获取业务密钥,然后将控制字和业务密钥提交给数据加密模块处理,所述数据加密模块完成对数据的加密,所述数据打包模块将加密后的数据按照MPEG-2标准封装为188字节TS包格式,经数据通信模块对TS包封装后再通信回给加扰器;所述授权管理信息生成器具体按如下过程执行:指令分析模块经数据通信模块2对用户管理系统发送的指令数据信息进行分析,所述数据生成模块1对各类数据消息实行数据包重构,重构后的数据信息一方面经数据加密模块加密后传送给数据库保存,另一方面直接传送给数据库保存,所述事件监测模块监测数据更新事件发生,并指令数据生成模块2生成新的数据包,所述数据包一方面经数据加密接口模块、数据加密模块加密后传送给数据库保存,另一方面直接传送给数据库保存,所述数据播发判决模块根据数据库调度输出授权管理信息,并经数据通信模块1与加扰器进行数据通信。
[0017] PC服务器软件负责数据交互的接口功能,完成与用户管理系统、复用器、加扰器、加密机的通信,支持多用户管理系统、多复用/加扰器模式;同时负责数据处理和数据库的维护工作,完成数据的分析检查、存储播发、异常处理等功能。
[0018] 系统利用FPGA实现硬件加密机的功能,FPGA根据服务器发来的控制信息,选择加密算法对信息加密。
[0019] 加密机对信息有甄别验证功能,拒绝非法数据进入处理程序。
[0020] 具体实施过程:本发明的实施方案系统由授权控制信息生成器(101),授权管理信息生成器(102),不少于一台的加密机(103)组成。
[0021] 1.授权控制信息生成器(20),结构图如图2所示。它包含数据通信模块(201)、数据分析模块(202)、数据加密模块(203)和数据打包模块(204)。授权控制信息生成器与外部的密钥数据库和加扰器配合工作。
[0022] 1)数据通信模块(201):与加扰器(21)进行消息通信,首先为每个TCP连接建立通道,接着为每个服务建立流,然后在每个加扰周期进行一次数据交换。交换的内容是:加扰器(21)将封装在CW_Provision消息中的关键字(CW)和消息提取访问准则(AC)等信息送入授权控制信息生成器;授权控制信息生成器将封装在ECM_Response消息中的ECM包送入加扰器(21)中。当数据异常时,双方都可以发消息通知连接中断。
[0023] 2)数据分析模块(202),数据分析模块对获取的消息进行分析.从消息提取访问准则(Access Criteria)。AC指示了该控制字由哪个业务密钥(Service Key)加密。数据分析模块(202)从密钥数据库(22)中获取SK,然后将控制字和密钥提交给数据加密模块(203)处理。
[0024] 3)数据加密模块(203),数据加密模块完成对数据的加密。主要有三个步骤:第一,对原始报文(加密前)HASH运算,产生消息摘要,作为数字签名;第二,用对称加密算法如DES算法对原始报文加密,生成ECM密文;第三,对ECM密文进行CRC校验。生成的ECM报文,交给数据打包模块(204)。
[0025] 4)数据打包模块(204),数据打包模块按照MPEG-2标准,将数据封装为188字节TS包格式。接着,数据通信模块(201)模块对TS包封装,添加ECM_Response的消息包头,最后由网络发送给复用/加扰器(21)。
[0026] 监视模块(图中未画出)包含在所有的模块中,它记录每次的数据交互,以日志的形式存储在数据库中,供用户方便检查系统的异常。
[0027] 2.授权管理信息生成器 ,结构图如图3所示,它与外部模块加扰器、用户管理系统(SMS)配合工作。授权管理信息生成器各模块主要完成下列工作。
[0028] 1)数据通信模块(301)和(302),通信模块(301)与复用/加扰器(31)通信,通信模式与授权控制信息生成器和加扰器(31)通信相似。通信模块(302)与SMS(32) 通信,通信协议由双方协商。
[0029] 2)指令分析模块(303),对SMS(32)发送的指令进行分析,提供各种指令处理的入口函数。
[0030] 3)数据生成模块(304)和(306),对各类数据消息实行数据包重构。包头遵守DVB标准定义的EMM表格式;数据是私有数据,采用自定义模式。
[0031] 4)数据加密模块(307),提供与加密机交互数据的网络接口协议。它将本地CA认证数据、待加密的数据、加密密钥、加密算法控制信息传送给加密机,交由其加密。并接收加密后的数据。
[0032] 5)数据库(308),保存着本发明所列的所有信息。数据库使用系统唯一的密钥加密保护。对数据库的操作进行权限管理,分为系统维护员,管理员,营业员等多种等级。系统维护员的权限最高,由专业人士负责维护。包含数据库的恢复和机密信息(如密钥信息)查询的权限。
[0033] 6)事件监测模块(305),是自发运行的模块。EMM数据的更新,除根据SMS(32)的外部指令外,还设置了自动更新功能。自动更新依赖于自身触发器的设置。自身触发器主要由日期代码维护,定期更换密钥,定期刷新数据库,对数据优先级调整,清除无用的数据等操作。模块(305)监测这些事件的发生,并指令数据生成模块2生成新的数据包。
[0034] 7)数据播发判决模块(309),负责调度输出EMM信息。EMM的带宽由用户设定,本系统根据该值计算EMM包的发送间隔,从而定时发送数据包。各类EMM有不同的优先级。本系统的优先级分为4类,其分类与带宽分配如下:
[0035] 特快(40%),由SMS指令生成的EMM优先级为特快;
[0036] 高(30%);
[0037] 中(20%);
[0038] 低(10%)。
[0039] 3、加密机,结构图如图4所示。加密机由嵌入式微处理器系统(401),源存储器(402),加密存储器(403),加密算法模块(404)组成。
[0040] 1)嵌入式微处理器系统(401),提供网络接口与外界通信,对数据实行签名甄别,拒绝非法数据和错误数据的通过。对于通过鉴别的数据送入源数据存储器(402)存储。
[0041] 2)加密算法模块(404),对源数据加密。模块包含多种加密算法,其中包含运算复杂的非对称加密算法RSA。加密后的数据存入加密存储器(403)。由嵌入式微处理器系统(401)将数据读出,发送给目标单元。
[0042] 3)源数据存储器(402)、加密数据存储器(403),由FPGA芯片内部的RAM实现,分别存储加密前、后的数据。
[0043] 本发明的加密体系有四层,请看图5。
[0044] CW对TS流加密,这级加密称为加扰,由加扰器实现;SK对CW加密,这级加密由授权控制信息生成器实现,生成ECM流;组密钥GK对SK加密,这级加密由授权管理信息生成器完成,生成K_EMM报文;私人密钥PDK对GK加密,同时PDK对授权信息加密,生成E_EMM报文。其中K_EMM报文和E_EMM报文为本发明定义的两种EMM报文,使用不同的table_Id区分(本发明还包含其他类型的EMM报文)。使用GK发送SK信息,而不是PDK发送SK信息,可以对用户组播信息,从而有效地节约了带宽。
[0045] 本系统利用器件各自的特性,设计合理的方式实现CAS的功能,在性能和成本上取得较好的统一。
[0046] 以上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本发明的涵盖范围。