所谓的两级CA就是说中央节目平台节目加密传输，地方服务平台不解密直接下传到用户，中央节目平台与地方服务平台共同管理本地网络用户的授权信息，订户只有获得了中央节目平台和地方运营商的双重授权后，才可以收看到共享节目。也就是说在中央节目平台不知晓并没有授权的情况下，本地运营商不可单独授权订户观看共享节目。相同地，中央节目平台也不可以在没有本地运营商的配合下单独授权订户观看共享节目。

针对于不同的CA厂家来说其两级实现的方法不尽相同，以下我们就以IRDETO CA的两级解决为例加以阐述（此解决方案仅针对于IRDETO以前销售的CA系统，对于新销售的CA系统、机顶盒及智能卡就不存在升级的问题）。

两级CA实现原理

Irdeto两级CA实现原理如图一所示，中央节目平台加扰节目在地方服务平台前端不解扰，地方服务平台前端对中央节目平台产生的ECM信息进行加扰保护后，通过本地有线网将节目传送到用户机顶盒。

只有当用户接收到地方服务平台发送的节目授权信息，才能将加扰的中央节目平台ECM信息还原成正常的ECM信息；只有当用户接收到中央节目平台发送的节目授权，才能解密正常的中央节目平台ECM信息得到CW，解扰中央节目平台的加扰节目。

具体流程如下：

在中央节目平台，采用PISYS对中央节目平台节目进行加扰，采用中央节目平台密钥对ECM和EMM进行加密后，通过卫星传送到地方服务平台前端；

在地方服务平台前端，通过通用卫星接收机接收到中央节目平台加扰节目后，解调输出加扰码流，加扰码流采用ASI分配器分配成多路信号：

将其中的一路加扰码流送入地方服务平台前端的复用加扰系统，采用地方服务平台本地的PISYS对中央节目平台产生的ECM信息进行加扰后，送入本地有线网传输；

将其中另外一路加扰码流输入EMM提取器，EMM提取器将中央节目平台发送的本地用户EMM信息提取出来，通过地方服务平台的PISYS与地方的EMM合成一路EMM流并通过地方的EMMG发送到加扰器，再通过地方的加扰器打成TS包插入到TS流中并发送到用户机顶盒端。

在用户端，接收到地方服务平台发送的节目授权信息后，可以将经地方服务平台加扰的中央节目平台ECM信息还原成正常的ECM信息（与中央节目平台发出时一致），如果用户同时拥有中央节目平台发送的节目授权，则可以对该ECM信息进行进一步解密，得到解扰节目所需的控制字（CW），从而可以对加扰节目进行解扰得到最终的节目。

关键技术说明

1、授权管理信息（EMM）的提取和合并。在地方服务平台前端，中央节目平台授权管理信息（EMM）的提取和合并主要通过EMM提取器和EMM收集器来完成。其中EMM提取器是一个硬件组件，每个地方服务平台需要一台；EMM收集器是PISYS的一个软件模块。

EMM提取器从输入的传输流中抽出由中央节目平台中发送的本地用户EMM信息，EMM收集器收集被EMM提取器抽出的EMM，并将其转发给本地运营商条件接收系统中的EMM播放管理器，然后产生一个由本地运营商的EMM和中央运营商的EMM混合组成的EMM数据流。

上述过程完成后，系统将产生一个单一的混合EMM数据流，该[page]数据流将通过DVB标准的EMMG?MUX协议插入到本地传输流和中央节目平台的传输流中。

对EMM信息进行合并可以确保无论用户的机顶盒是在收看本地节目还是在收看中央节目平台的节目，用户的智能卡都可以接收来自两级运营商的EMM信息。这样就能保证由两级运营商发送给该用户的重要数据，如密钥、授权和公告等均不会出现丢失现象。

2、授权控制信息流(ECM)的双重加密。在采用了两级加密的情况下，通过在地方服务平台的前端CA系统控制加扰器对来自中央节目平台的ECM数据流进行加扰，可以确保只有同时接收到地方服务平台和中央节目平台的双重授权，用户才可以收看中央节目平台的加扰节目。

3、智能卡。智能卡是PISYS的一个重要组件，其作用是： 解密、保存用户所获得的节目授权。运营商可以使用EMM信息更改这些授权。

对ECM进行解密，将解密后得到的节目解扰控制字（CW）发送给机顶盒，后者对节目进行解扰。

爱迪德采用分区机制对各运营商发送的节目授权进行分开管理，央节目平台和地方服务平台可以分别管理各自独立的智能卡扇区，解密各自加密的ECM和EMM信息。

4、机顶盒。机顶盒对PAT信息进行解析获得与共享节目相关的节目映射表（PMT）。然后，将该业务的节目映射表和所有其他组件传送到机顶盒中的条件接收任务(CA Task)进行处理。

SoftCell （机顶盒中的爱迪德内容保护安全软件模块）解出两个条件接收描述符，并在条件接收描述符所描述的包识别符 (PID) 上设置过滤器。

如果智能卡已获得正确的授权，则在ECM被提交给智能卡后便可以返回正确的控制字用以对节目进行解扰。

5、加密机扇区锁定。为了确保两级运营商不会覆盖彼此的授权，两级运营商需要在他们各自的条件接收系统中实施扇区锁定。这样，本地运营商将无法访问中央运营商使用的扇区，中央运营商也无法访问本地运营商使用的扇区。

新版加密机软件确保了只有经过授权的运营商可以使用智能卡中指定的扇区。中央和本地运营商的所有加密机必须安装该更新后的软件。

地方有线网两级CA实施

1、PISYS前端系统。需要在地方服务平台的PISYS前端系统进行下列实施工作：

对于使用M-Crypt的地方服务平台，将M-Crypt升级为PISYS系统；

升级PISYS加密机软件；

安装EMM收集器（EMM收集器为一个独立的软件模块）；

安装EMM提取器。

如果地方服务平台采用的是爱迪德加扰器，则需要在地方发出的PMT表中添加一个私有描述符对中央节目平台下发的ECM进行描述，以便加扰器对中央节目平台的ECM进行加扰。

2、机顶盒。采用两级CA加密后，接收中央节目平台加扰节目的所有机顶盒必须支持爱迪德两级CA加密模式。对于现有的，不支持两级CA加密模式的机顶盒，需要对软件代码进行升级。

3、智能卡。采用两级CA运营后，接收中央节目平台加扰节目的所有解密智能卡必须支持爱迪德两级CA加密模式。

对于地方服务平台已经发出的，不支持两级CA加密模式的智能卡，需要将智能卡回收，由爱迪德智能卡授权中心进行重新个性化处理。