数字电视条件接收系统的安全性分析

陈 翔

（广东有线广播电视网络股份有限公司，广东 广州 510066）

1 引言

随着国内数字电视整体转换的推进，数字电视的用户数量和增值业务规模在不断扩展，这不仅为用户提供了更优质的视频、信息等服务，也为服务提供商和网络运营商提供了更好的服务平台，带来越来越多的商业利益。与此同时，作为保障用户、服务提供商和网络运营商三方利益的条件接收系统 （Conditional Access System，CAS）也面临着巨大挑战，一个安全、可靠、灵活的CAS是保证数字电视安全运营的必要条件，因此该系统的安全性理应引起运营商的重视[1-2]。

2 数字电视CAS加密原理分析

国际目前主流的数字电视标准有欧洲的DVB、北美的ATSC和日本的ISDB，它们在CAS方面的标准大同小异，一般采用3层加密体制。

第1层是对图像、声音和数据进行加扰，在发送端被扰乱的数据流在接收端需要经过解扰才能恢复为原始信息。加解扰技术中普遍采用了伪随机二进制数序列（Pseudo Random Binary Sequence，PRBS）的处理方式，发送端通过PRBS对原始信息进行实时扰乱控制，同时发送 1个控制字 （Control Word，CW）去同步接收端的PRBS，只有当发送端和接收端的PRBS同步时，接收端才能正常解扰数据流，因此CW就是解扰密钥。为保证安全，CW一般每隔几秒就改变一次。

第2层是利用业务密钥（Service Word，SK）对包含CW和控制参数的授权控制信息 （Entitlement Control Message，ECM）进行加密，并将ECM复用到传输流中。由于CW变化速度较快，因此必须选择加密强度较高、加密速度较快的算法对其进行加密，目前普遍采用的是对称密钥加密算法 （这种算法的加密密钥和解密密钥是一样的），如DES，Triple-DES等。SK的使用与用户订购业务的时限有关，其变化频率较低，一般可以按月变化。

第3层是利用个人分配密钥 （Personal Disributed Key，PDK），PDK对包含SK的授权管理信息（Entitlement Management Message，EMM）进行加密，并将 EMM 也复用到传输流中。由于SK的变化速度较慢，因此目前普遍选用的是加密强度更高、但加密速度较慢的非对称密钥加密算法（这种算法的加密密钥和解密密钥不一样，分为公钥和私钥），如RSA。PDK就是通过安全通道分配给用户的私钥，必须得到严格保密。

在用户端的解密则是加密的逆过程，首先用户端需要使用PDK对EMM解密得到SK，再用SK对ECM解密得到CW，最后用CW对信号流进行解扰。对于国内运营商目前普遍采用的智能卡授权方式，其PDK和解密算法是以加密的形式存储在智能卡中，机顶盒接收到传输流后将其中的ECM和EMM通过读卡器传给智能卡，智能卡利用其中的PDK和解密算法对EMM和ECM进行解密，得到的CW再通过读卡器传给机顶盒中的解扰器，由机顶盒完成对信号的解扰。由此可见，CAS的核心任务就是保证CW能被安全秘密地传送，如果CW被轻易地非法获得，那么CAS的多层加密也就失去了意义。

3 当前数字电视CAS安全性分析

尽管当前流行的数字电视CAS系统采用了3层加密，有的甚至采用更多层加密，但CAS毕竟由多个环节组成，黑客可以根据不同系统的特点，采用不同的攻击方法。

3.1 智能卡的破解和复制

智能卡的破解和复制是智能卡CAS诞生之后便一直面临的安全威胁。目前CA智能卡主要有掩模型智能卡和可擦写式智能卡：掩模型智能卡芯片在生产时是直接将程序写入其中并固定成只读型ROM，因此智能卡制作好后难以对其进行升级，而且黑客可能通过腐蚀保护塑料和电路的方法暴露智能卡芯片内部元件和电路连接，并绘制电路原理图，也有可能通过加电方式将内部数据读出来，从而分析其算法并进行复制；可擦写式智能卡采用了非易失性存储器（Non-Volatile Memory，NVM），其中的程序是可以通过电或光进行擦写的，因此可以方便地对其进行升级，而且卡中的数据以电荷的形式存在，难以通过暴露其内部电路连接的方式获得，进而增加了破解难度，但仍可能通过加电方式将内部数据读出来，而且可擦写式智能卡的芯片面积一般要比掩模型智能卡的大，结构也比较复杂，所以成本相对较高。如果智能卡被破解复制，运营商就必须升级或更换新的智能卡进行反复制，而CA厂商也要不断地改进智能卡的制作工艺和防盗版技术，增加黑客破解和复制智能卡的技术难度和成本。

3.2 CW的扩散共享

随着网络的快速普及，近年来出现的CW共享因其技术难度小、成本低、影响范围大，已成为了当前CAS所面临的最大威胁。目前国外加密数字卫星节目的CW共享已经让当地的卫星电视运营商蒙受了巨大损失，这也迫使他们不得不检讨目前CAS的安全性，如何防止CW共享已经成为了当今运营商和CA厂商面临的一大挑战。对于目前国内运营商普遍使用的智能卡CA而言，CW在智能卡向解扰器传送的过程是最有可能被黑客截获的，由于早期的运营商和CA厂商并没有意识到CW被共享的问题，因此有些机顶盒的CW甚至是以明文的形式在智能卡与解扰器之间进行传输，对于黑客来说，这种情况下截获CW是毫无障碍的，一旦CW被轻易截获，便可通过广域网、局域网或者无线网扩散到一个地区甚至全世界，此时CAS的加密也就失去了意义。因此，防范CW共享的主要办法是使共享者无法获得CW，或增加其获得CW的难度。

为了应对CW的扩散共享带来的安全隐患，可采用如下3种加密方式：

1）对智能卡与机顶盒之间的通信进行加密

这种方式可以防止黑客直接在机卡通信过程中截获CW明文，增加其获得CW的难度，这种加密可以通过软件或硬件的方式来实现：通过CAS软件加密的方式保护机卡通信，该CAS软件包含两部分，一部分是嵌入智能卡中的负责与机顶盒进行加密通信的程序，另一部分是嵌入机顶盒中的负责与智能卡进行加密通信的程序，该程序是CA厂商提供给机顶盒厂商并移植入机顶盒中的，CAS软件决定了机卡之间加密通信的方式，机顶盒中的CA模块接收到智能卡发送过来并经过其加密处理的CW后，便通过内部的CA软件将CW解密并送给解扰模块；通过硬件加密的方式保护机卡通信是靠智能卡和设置在机顶盒内部的安全芯片完成的，该安全芯片处于解扰模块和智能卡之间，智能卡内部存储着硬件加密通信所需要的密钥和对CW的加密算法，安全芯片中也存储着相应的密钥和解密算法，当安全芯片接收到智能卡发送过来并经过其加密处理的CW后，便将CW解密并传送给解扰模块。软件加密是目前智能卡CA普遍采用的方法，而硬件加密是将机卡间的加密通信方式放在了安全芯片里，其安全性比软件加密更高，但由于要在机顶盒中安装安全芯片，其成本比软件加密高，而且降低了CAS的灵活性。无论是软件加密或是硬件加密，由于CW仍然是从外部的智能卡传给机顶盒的，一旦加密通信方式被黑客破解，CW仍然有可能被共享，因此对机卡间的通信加密并不能从根本上解决CW共享威胁。

2）将CA解密电路与信号的解扰电路封装在一起

由于CW最可能在智能卡与机顶盒解扰电路通信的过程中被截获，因此如果将CA的解密电路和信号的解扰电路封装在一起，则此时的CW就不可见了。实现封装的方法有很多，例如可将CA部分和解扰部分脱离机顶盒单独做成一个模块，或者将CA的解密部分集成到机顶盒的解扰模块中，甚至可以将CA解密模块和解扰模块一起做到机顶盒的解码芯片中，由于此时的芯片已经非常复杂，因此也大大提高了破解CA加密电路的难度。这些做法无疑根除了CW被截获的可能，但在一定程度上也降低了CAS的灵活性，不利于CAS的升级，且涉及到的技术较复杂，势必增加运营商的成本。

3）采用软硬件分离的无卡CA模式

所谓软硬件分离（或软便分离），指的是机顶盒的各种功能（包括CA功能）是通过装入相应的应用软件来实现的，应用软件与机顶盒硬件的衔接是通过底层的硬件驱动和操作系统来完成的，只要能够统一应用软件和底层软件间的适配层协议，就可以实现机顶盒硬件的标准化，此时的机顶盒类似于一台计算机，机顶盒制造商可以生产不带任何应用软件的裸机顶盒，而运营商只要将其选定的应用软件下载到用户的机顶盒中即可展开服务，从而实现了“硬件通用，软件下载”的软硬件分离模式[3]。

在软硬分离模式下，CA可以作为其中一个应用软件安装到机顶盒中运行，由于没有智能卡，因此分配给用户的PDK可以保存在机顶盒的存储器（如Flash）中，而且可以和机顶盒的硬件标识符（如CPU、主芯片、存储器等都有自己的标识符）作关联以保证其唯一性，当机顶盒收到前端发来的ECM和EMM时，便可以在自己的CPU中通过运行CA程序进行解密和解扰工作，得到CW后再对数据流进行解码，由于这些都是在CPU中完成的，因此也就不存在CW被截获的可能。CA软件还可以随时通过从码流中下载的方式进行在线升级，假如黑客截获到了码流中的CA信息，也只能得到被加密的目标码，即使黑客有足够的人力、财力，也要花很长时间才可能破译该CA算法，而由于CA算法可以每天都发生变动，因此黑客的破解工作也就失去了意义。当然，黑客也可能会采取像破解复制智能卡一样的方式复制机顶盒，但用户的PDK是和机顶盒的硬件标识符作了关联，每台机顶盒的CPU、主芯片、Flash等都有自己唯一的标识符，如果要复制它们，其所付出的成本和时间要远高于复制智能卡。

由此可见，虽然软硬件分离的无卡CA模式提高了对机顶盒硬件（包括CPU运算能力、存储空间等）的要求，但与智能卡CA相比，软硬件分离不仅从根本上解决了智能卡盗版和CW共享的问题，而且摆脱了机顶盒硬件对CAS的束缚，增加了CAS的灵活性，为机顶盒制造商、CA厂商和运营商都提供了最大的自由度，所以软硬件分离模式将会成为未来机顶盒发展的主流。

4 小结

目前，国内的数字电视运营商在数字电视转换和运营的过程中，仍在不断进行探索和实践，其中CAS的建设关系到数字电视运营商的长远利益，通过对CAS安全性分析可以看出，现在国内普遍使用的智能卡CAS存在着安全隐患，而软硬件分离的无卡CA模式是目前解决这些安全隐患的最佳方法，随着数字电视的普及，该模式必然成为CAS的发展趋势。

[1]陈文全，付国映，赵利，等.数字电视条件接收系统的安全性研究[J].电视技术， 2004（1）：53-55.

[2]陈峰，周军.数字电视条件接收系统中的安全性分析[J].中国有线电视，2002 （18）：21-23.

[3]吕品.从“机卡分离”到“软硬分离”——开放的机顶盒与CA[J].电视技术，2003 （9）：6-8.