东莞广电智能卡升级方案探讨

李 伟，何一珉

（广东省广电网络传媒发展股份有线公司东莞分公司，广东 东莞 523129）

2011年4月，广东广电网络东莞分公司对永新视博智能卡进行了测试升级，此次智能卡升级主要针对目前市面流通的部分有线共享型机顶盒解决控制字（CW）扩散的现象，目的在于保障合法用户的基本权益，防止CW扩散，从而给用户提供更好的服务。

1 CW共享的安全隐患

1.1 CW安全隐患

在DVB标准中，并没有对解密模块给出明确的定义。所以，ECM解密模块既可以是软件模块，也可以是硬件如智能卡。而目前比较通用的做法是将解扰算法集成在智能卡上，但这样的设计模型在终端未能很好地保护CW保密传输[1-2]，给CW共享留下了安全隐患（见图1）。

1.2 目前的应对思路

图1中，CW在泄露点处皆为明文传输。针对上述情况，其中较为彻底的解决办法是将解密算法绑定在解扰芯片上，称之为安全芯片，即无论解密ECM包，还是解扰传输流，都在一个芯片内部完成，芯片外部不可能获取明文CW。但由于目前各CA算法不统一，并考虑到已经整改了的用户终端硬件配置已定型，这种防范办法没有太高的可行性。

从共享软件漏洞方面分析，也有运营商通过缩短ECM数据包发送频率来防范，但该办法使共享终端未能及时接收扩散的CW而解扰失败。

其他方法包括限制正版卡读写次数以增加共享服务器的成本，或是通过CW指纹和CW染色判别并禁用非法智能卡等，都不很理想。

2 东莞防CW共享方案

东莞地区目前有150万数字电视用户，在保障安全播出工作的前提下，防CW扩散工作在CA厂家、顶盒厂家共同配合下谨慎布置，前期做足测试准备工作，历时一年多，通过CA系统软硬件升级、用户终端机顶盒软件升级、智能卡升级等步骤，完成了整项防CW扩散的系列工作。

整个系列升级工作基本思路可以分成两部分：第一部分为针对东莞出现的CW扩散情况，通过在机顶盒内部CA模块与机顶盒通信信道加密的方式，抑制CW扩散；第二部分为利用智能卡的收视控制功能来实现。另外还可以通过升级来抑制EMM包过滤情况。

2.1 通信加密

在升级前期，东莞市广电对市面流通的CW共享器进行了抽样测试，通过研究分析，发现CW共享方式是利用一台带智能卡的机顶盒或者是读卡器从大网信号的ECM数据包中得到解扰的CW，然后将得到的CW复制传输到其他无卡的机顶盒，这个复制过程的CW泄露点在CA模块与机顶盒通信信道之间，其他无卡机顶盒从而可以使用传过来的CW直接解扰节目，而不用正版的智能卡就可以收看加扰节目。

针对这种共享方式，为了防止CW共享和扩散，东莞有线前端对CA系统的加密机和用户终端机顶盒CA库均进行了升级调整，CA系统升级目的在于：1）支持智能卡的在线升级；2）启用收视控制后，系统支持可以根据卡号单独设置一个CP周期能解密几个节目，这样的好处是能解决大卡机、电视墙监控设备上要求的解多路问题。

整体步骤为：1）机顶盒厂商移植最新的CA移植库；2）确认移植成功后对机顶盒进行在线升级；3）对前端程序和加密机升级。

CAS系统升级启用备机及系统应急预案：1）先对CAS系统导出备份；2）在备机上先做升级操作；3）备机升级并完成相关测试后，主机再进行升级操作；4）确保主机成功升级后，主备机进行同步，并互为热备；5）通过给CW加密的方案，即在机顶盒内部和智能卡之间的通信进行了加密，从而保证了CW在机顶盒和智能卡之间的密文传输，这样就可以防止上述共享器通过机顶盒或者读卡器直接获取明文的CW，从而有效地抑制了共享器扩散CW。但是，受目前机顶盒内部解扰芯片硬件条件所限制，最终的解扰芯片模块在最佳扰流解扰的时候，还是需要明文的CW，这就留下了另外一个明文CW的泄漏点。如果不法分子从送解扰芯片环节获取明文CW而进行复制扩散，这种方案则无法完全限制CW扩散。

改进后的CW共享的安全隐患示意图见图2。

2.2 收视控制

东莞广电通过共享器使用的实际情况分析，发现使用共享器的用户都是使用CW复制的方法来实现家庭范围或者酒店不同房间内不同节目的收看。此CW共享实际上是智能卡共享，即是在同一CP周期之内，同一智能卡解多个CW。

根据这一特性，东莞有线前端通过限制CW的使用次数的方法来杜绝这一现象。所以，在确认了完成对CA系统加密机和机顶盒CA库的升级工作后，紧接着启动了智能卡的升级工作，智能卡是通过接收前端播发的EMM升级数据包来实现升级。首先针对CW共享情况多发区的智能卡进行了试点升级，智能卡在升级后可以配合前端CA应用来实现收视控制功能。收视控制主要原理是：在同一CP周期内，通过检测智能卡是否同时解密多个ECM包来判定，判定时间为10个CP周期，如果在相同CP周期内同时解多个CW，则判定为对智能卡的非法操作，智能卡将临时锁定，观看频道黑屏。另外，系统支持根据卡号单独设置一个CP周期能解密若干节目，这样做的好处是能解决大卡机、电视墙上要求解多路的问题。

2.3 防EMM包过滤

目前，在其他地网发现EMM包被恶性过滤导致无法接收智能卡反授权的情况。非法用户在第一次接收到授权信息的EMM包后，授权时间信息被写入智能卡。加之部分地网CA播发策略为了减少EMM包轮播总量，将授权时间延长至较晚的到期时间（如2020年），这样，只要通过过滤EMM包的手段，不再接收反授权信息，便可一直获取明文CW而收看清流节目直至智能卡内规定的到期时间。

东莞市前端在不改变播发策略的情况下，通过此次升级工作，智能卡全部升级至新版本的条件下，然后更换CA应用服务器的EMM播发模块，使得智能卡周期性不断地校验EMM包，在收不到EMM包的条件下，密钥重新将CW加密，而使得用户终端不能获取明文的CW，可实现防止EMM过滤的功能。

3 小结

由于目前数字电视采用广播式单向传输，在市面上已经出现大量机顶盒共享器，也有通过互联网对CW进行共享的，甚至通过过滤EMMG包达到无法接收智能卡授权的手段，严重侵害了各广电运营商的合法权益。防CW共享已经成为各CA系统厂家和各广电运营商势在必行的措施。对已经下发的智能卡，可以进行升级智能卡后再升级CA应用服务器模块，开启防CW共享功能。还未下发的智能卡，CA厂家可以在智能卡共享源头芯片上多下功夫。可观的是，随着各广电网络的双向化改造，双向CA系统将更有效地防范CW共享，将损失降到最低。

[1]陈翔.数字电视条件接收系统的安全性分析[J].电视技术，2010，34（2）：43-45.

[2]黄海.数字电视有条件接收系统及其应用[J].电视技术，2003，27（3）：41-42.