數(shù)字電視條件接收系統(tǒng)的安全性分析

陳 翔

（廣東有線廣播電視網(wǎng)絡(luò)股份有限公司，廣東 廣州 510066）

1 引言

隨著國內(nèi)數(shù)字電視整體轉(zhuǎn)換的推進(jìn)，數(shù)字電視的用戶數(shù)量和增值業(yè)務(wù)規(guī)模在不斷擴(kuò)展，這不僅為用戶提供了更優(yōu)質(zhì)的視頻、信息等服務(wù)，也為服務(wù)提供商和網(wǎng)絡(luò)運(yùn)營商提供了更好的服務(wù)平臺，帶來越來越多的商業(yè)利益。與此同時(shí)，作為保障用戶、服務(wù)提供商和網(wǎng)絡(luò)運(yùn)營商三方利益的條件接收系統(tǒng) （Conditional Access System，CAS）也面臨著巨大挑戰(zhàn)，一個(gè)安全、可靠、靈活的CAS是保證數(shù)字電視安全運(yùn)營的必要條件，因此該系統(tǒng)的安全性理應(yīng)引起運(yùn)營商的重視[1-2]。

2 數(shù)字電視CAS加密原理分析

國際目前主流的數(shù)字電視標(biāo)準(zhǔn)有歐洲的DVB、北美的ATSC和日本的ISDB，它們在CAS方面的標(biāo)準(zhǔn)大同小異，一般采用3層加密體制。

第1層是對圖像、聲音和數(shù)據(jù)進(jìn)行加擾，在發(fā)送端被擾亂的數(shù)據(jù)流在接收端需要經(jīng)過解擾才能恢復(fù)為原始信息。加解擾技術(shù)中普遍采用了偽隨機(jī)二進(jìn)制數(shù)序列（Pseudo Random Binary Sequence，PRBS）的處理方式，發(fā)送端通過PRBS對原始信息進(jìn)行實(shí)時(shí)擾亂控制，同時(shí)發(fā)送 1個(gè)控制字 （Control Word，CW）去同步接收端的PRBS，只有當(dāng)發(fā)送端和接收端的PRBS同步時(shí)，接收端才能正常解擾數(shù)據(jù)流，因此CW就是解擾密鑰。為保證安全，CW一般每隔幾秒就改變一次。

第2層是利用業(yè)務(wù)密鑰（Service Word，SK）對包含CW和控制參數(shù)的授權(quán)控制信息 （Entitlement Control Message，ECM）進(jìn)行加密，并將ECM復(fù)用到傳輸流中。由于CW變化速度較快，因此必須選擇加密強(qiáng)度較高、加密速度較快的算法對其進(jìn)行加密，目前普遍采用的是對稱密鑰加密算法 （這種算法的加密密鑰和解密密鑰是一樣的），如DES，Triple-DES等。SK的使用與用戶訂購業(yè)務(wù)的時(shí)限有關(guān)，其變化頻率較低，一般可以按月變化。

第3層是利用個(gè)人分配密鑰 （Personal Disributed Key，PDK），PDK對包含SK的授權(quán)管理信息（Entitlement Management Message，EMM）進(jìn)行加密，并將 EMM 也復(fù)用到傳輸流中。由于SK的變化速度較慢，因此目前普遍選用的是加密強(qiáng)度更高、但加密速度較慢的非對稱密鑰加密算法（這種算法的加密密鑰和解密密鑰不一樣，分為公鑰和私鑰），如RSA。PDK就是通過安全通道分配給用戶的私鑰，必須得到嚴(yán)格保密。

在用戶端的解密則是加密的逆過程，首先用戶端需要使用PDK對EMM解密得到SK，再用SK對ECM解密得到CW，最后用CW對信號流進(jìn)行解擾。對于國內(nèi)運(yùn)營商目前普遍采用的智能卡授權(quán)方式，其PDK和解密算法是以加密的形式存儲在智能卡中，機(jī)頂盒接收到傳輸流后將其中的ECM和EMM通過讀卡器傳給智能卡，智能卡利用其中的PDK和解密算法對EMM和ECM進(jìn)行解密，得到的CW再通過讀卡器傳給機(jī)頂盒中的解擾器，由機(jī)頂盒完成對信號的解擾。由此可見，CAS的核心任務(wù)就是保證CW能被安全秘密地傳送，如果CW被輕易地非法獲得，那么CAS的多層加密也就失去了意義。

3 當(dāng)前數(shù)字電視CAS安全性分析

盡管當(dāng)前流行的數(shù)字電視CAS系統(tǒng)采用了3層加密，有的甚至采用更多層加密，但CAS畢竟由多個(gè)環(huán)節(jié)組成，黑客可以根據(jù)不同系統(tǒng)的特點(diǎn)，采用不同的攻擊方法。

3.1 智能卡的破解和復(fù)制

智能卡的破解和復(fù)制是智能卡CAS誕生之后便一直面臨的安全威脅。目前CA智能卡主要有掩模型智能卡和可擦寫式智能卡：掩模型智能卡芯片在生產(chǎn)時(shí)是直接將程序?qū)懭肫渲胁⒐潭ǔ芍蛔x型ROM，因此智能卡制作好后難以對其進(jìn)行升級，而且黑客可能通過腐蝕保護(hù)塑料和電路的方法暴露智能卡芯片內(nèi)部元件和電路連接，并繪制電路原理圖，也有可能通過加電方式將內(nèi)部數(shù)據(jù)讀出來，從而分析其算法并進(jìn)行復(fù)制；可擦寫式智能卡采用了非易失性存儲器（Non-Volatile Memory，NVM），其中的程序是可以通過電或光進(jìn)行擦寫的，因此可以方便地對其進(jìn)行升級，而且卡中的數(shù)據(jù)以電荷的形式存在，難以通過暴露其內(nèi)部電路連接的方式獲得，進(jìn)而增加了破解難度，但仍可能通過加電方式將內(nèi)部數(shù)據(jù)讀出來，而且可擦寫式智能卡的芯片面積一般要比掩模型智能卡的大，結(jié)構(gòu)也比較復(fù)雜，所以成本相對較高。如果智能卡被破解復(fù)制，運(yùn)營商就必須升級或更換新的智能卡進(jìn)行反復(fù)制，而CA廠商也要不斷地改進(jìn)智能卡的制作工藝和防盜版技術(shù)，增加黑客破解和復(fù)制智能卡的技術(shù)難度和成本。

3.2 CW的擴(kuò)散共享

隨著網(wǎng)絡(luò)的快速普及，近年來出現(xiàn)的CW共享因其技術(shù)難度小、成本低、影響范圍大，已成為了當(dāng)前CAS所面臨的最大威脅。目前國外加密數(shù)字衛(wèi)星節(jié)目的CW共享已經(jīng)讓當(dāng)?shù)氐男l(wèi)星電視運(yùn)營商蒙受了巨大損失，這也迫使他們不得不檢討目前CAS的安全性，如何防止CW共享已經(jīng)成為了當(dāng)今運(yùn)營商和CA廠商面臨的一大挑戰(zhàn)。對于目前國內(nèi)運(yùn)營商普遍使用的智能卡CA而言，CW在智能卡向解擾器傳送的過程是最有可能被黑客截獲的，由于早期的運(yùn)營商和CA廠商并沒有意識到CW被共享的問題，因此有些機(jī)頂盒的CW甚至是以明文的形式在智能卡與解擾器之間進(jìn)行傳輸，對于黑客來說，這種情況下截獲CW是毫無障礙的，一旦CW被輕易截獲，便可通過廣域網(wǎng)、局域網(wǎng)或者無線網(wǎng)擴(kuò)散到一個(gè)地區(qū)甚至全世界，此時(shí)CAS的加密也就失去了意義。因此，防范CW共享的主要辦法是使共享者無法獲得CW，或增加其獲得CW的難度。

為了應(yīng)對CW的擴(kuò)散共享帶來的安全隱患，可采用如下3種加密方式：

1）對智能卡與機(jī)頂盒之間的通信進(jìn)行加密

這種方式可以防止黑客直接在機(jī)卡通信過程中截獲CW明文，增加其獲得CW的難度，這種加密可以通過軟件或硬件的方式來實(shí)現(xiàn)：通過CAS軟件加密的方式保護(hù)機(jī)卡通信，該CAS軟件包含兩部分，一部分是嵌入智能卡中的負(fù)責(zé)與機(jī)頂盒進(jìn)行加密通信的程序，另一部分是嵌入機(jī)頂盒中的負(fù)責(zé)與智能卡進(jìn)行加密通信的程序，該程序是CA廠商提供給機(jī)頂盒廠商并移植入機(jī)頂盒中的，CAS軟件決定了機(jī)卡之間加密通信的方式，機(jī)頂盒中的CA模塊接收到智能卡發(fā)送過來并經(jīng)過其加密處理的CW后，便通過內(nèi)部的CA軟件將CW解密并送給解擾模塊；通過硬件加密的方式保護(hù)機(jī)卡通信是靠智能卡和設(shè)置在機(jī)頂盒內(nèi)部的安全芯片完成的，該安全芯片處于解擾模塊和智能卡之間，智能卡內(nèi)部存儲著硬件加密通信所需要的密鑰和對CW的加密算法，安全芯片中也存儲著相應(yīng)的密鑰和解密算法，當(dāng)安全芯片接收到智能卡發(fā)送過來并經(jīng)過其加密處理的CW后，便將CW解密并傳送給解擾模塊。軟件加密是目前智能卡CA普遍采用的方法，而硬件加密是將機(jī)卡間的加密通信方式放在了安全芯片里，其安全性比軟件加密更高，但由于要在機(jī)頂盒中安裝安全芯片，其成本比軟件加密高，而且降低了CAS的靈活性。無論是軟件加密或是硬件加密，由于CW仍然是從外部的智能卡傳給機(jī)頂盒的，一旦加密通信方式被黑客破解，CW仍然有可能被共享，因此對機(jī)卡間的通信加密并不能從根本上解決CW共享威脅。

2）將CA解密電路與信號的解擾電路封裝在一起

由于CW最可能在智能卡與機(jī)頂盒解擾電路通信的過程中被截獲，因此如果將CA的解密電路和信號的解擾電路封裝在一起，則此時(shí)的CW就不可見了。實(shí)現(xiàn)封裝的方法有很多，例如可將CA部分和解擾部分脫離機(jī)頂盒單獨(dú)做成一個(gè)模塊，或者將CA的解密部分集成到機(jī)頂盒的解擾模塊中，甚至可以將CA解密模塊和解擾模塊一起做到機(jī)頂盒的解碼芯片中，由于此時(shí)的芯片已經(jīng)非常復(fù)雜，因此也大大提高了破解CA加密電路的難度。這些做法無疑根除了CW被截獲的可能，但在一定程度上也降低了CAS的靈活性，不利于CAS的升級，且涉及到的技術(shù)較復(fù)雜，勢必增加運(yùn)營商的成本。

3）采用軟硬件分離的無卡CA模式

所謂軟硬件分離（或軟便分離），指的是機(jī)頂盒的各種功能（包括CA功能）是通過裝入相應(yīng)的應(yīng)用軟件來實(shí)現(xiàn)的，應(yīng)用軟件與機(jī)頂盒硬件的銜接是通過底層的硬件驅(qū)動和操作系統(tǒng)來完成的，只要能夠統(tǒng)一應(yīng)用軟件和底層軟件間的適配層協(xié)議，就可以實(shí)現(xiàn)機(jī)頂盒硬件的標(biāo)準(zhǔn)化，此時(shí)的機(jī)頂盒類似于一臺計(jì)算機(jī)，機(jī)頂盒制造商可以生產(chǎn)不帶任何應(yīng)用軟件的裸機(jī)頂盒，而運(yùn)營商只要將其選定的應(yīng)用軟件下載到用戶的機(jī)頂盒中即可展開服務(wù)，從而實(shí)現(xiàn)了“硬件通用，軟件下載”的軟硬件分離模式[3]。

在軟硬分離模式下，CA可以作為其中一個(gè)應(yīng)用軟件安裝到機(jī)頂盒中運(yùn)行，由于沒有智能卡，因此分配給用戶的PDK可以保存在機(jī)頂盒的存儲器（如Flash）中，而且可以和機(jī)頂盒的硬件標(biāo)識符（如CPU、主芯片、存儲器等都有自己的標(biāo)識符）作關(guān)聯(lián)以保證其唯一性，當(dāng)機(jī)頂盒收到前端發(fā)來的ECM和EMM時(shí)，便可以在自己的CPU中通過運(yùn)行CA程序進(jìn)行解密和解擾工作，得到CW后再對數(shù)據(jù)流進(jìn)行解碼，由于這些都是在CPU中完成的，因此也就不存在CW被截獲的可能。CA軟件還可以隨時(shí)通過從碼流中下載的方式進(jìn)行在線升級，假如黑客截獲到了碼流中的CA信息，也只能得到被加密的目標(biāo)碼，即使黑客有足夠的人力、財(cái)力，也要花很長時(shí)間才可能破譯該CA算法，而由于CA算法可以每天都發(fā)生變動，因此黑客的破解工作也就失去了意義。當(dāng)然，黑客也可能會采取像破解復(fù)制智能卡一樣的方式復(fù)制機(jī)頂盒，但用戶的PDK是和機(jī)頂盒的硬件標(biāo)識符作了關(guān)聯(lián)，每臺機(jī)頂盒的CPU、主芯片、Flash等都有自己唯一的標(biāo)識符，如果要復(fù)制它們，其所付出的成本和時(shí)間要遠(yuǎn)高于復(fù)制智能卡。

由此可見，雖然軟硬件分離的無卡CA模式提高了對機(jī)頂盒硬件（包括CPU運(yùn)算能力、存儲空間等）的要求，但與智能卡CA相比，軟硬件分離不僅從根本上解決了智能卡盜版和CW共享的問題，而且擺脫了機(jī)頂盒硬件對CAS的束縛，增加了CAS的靈活性，為機(jī)頂盒制造商、CA廠商和運(yùn)營商都提供了最大的自由度，所以軟硬件分離模式將會成為未來機(jī)頂盒發(fā)展的主流。

4 小結(jié)

目前，國內(nèi)的數(shù)字電視運(yùn)營商在數(shù)字電視轉(zhuǎn)換和運(yùn)營的過程中，仍在不斷進(jìn)行探索和實(shí)踐，其中CAS的建設(shè)關(guān)系到數(shù)字電視運(yùn)營商的長遠(yuǎn)利益，通過對CAS安全性分析可以看出，現(xiàn)在國內(nèi)普遍使用的智能卡CAS存在著安全隱患，而軟硬件分離的無卡CA模式是目前解決這些安全隱患的最佳方法，隨著數(shù)字電視的普及，該模式必然成為CAS的發(fā)展趨勢。

[1]陳文全，付國映，趙利，等.數(shù)字電視條件接收系統(tǒng)的安全性研究[J].電視技術(shù)， 2004（1）：53-55.

[2]陳峰，周軍.數(shù)字電視條件接收系統(tǒng)中的安全性分析[J].中國有線電視，2002 （18）：21-23.

[3]呂品.從“機(jī)卡分離”到“軟硬分離”——開放的機(jī)頂盒與CA[J].電視技術(shù)，2003 （9）：6-8.