基于移动终端的数字电视机条件接收方案研究

郭晓，李鉴增

(中国传媒大学计算机与网络中心，北京 100024)

1 介绍

2010年国务院作出了三网融合的决定，面对新形势改变目前有线电视网络运营业务的结构，扩展有线电视网络的功能，完善数字有线电视网络的前端和机顶盒终端系统，将成为今后有线电视运营商工作的重点。而目前我国基本上已经完成中大型城市的数字电视转换工作，并且在提供了直播、点播、时移电视等多种电视服务的同时，还开展了各种各样的增值业务服务，例如:通过双向数字有线电视网络实现网上挂号、缴费支付、电子游戏、空中课堂等。这些业务实现了从看电视到用电视的转变，提高了用户的使用体验，丰富了用户的文化生活。为了保证运营商的经济利益和用户的收视权限，数字电视业务系统使用条件接收系统(Conditional Access System，CAS)［1］来实现合法用户的收视授权。典型的条件接收系统主要由用户管理系统、节目信息管理系统、加密/解密系统、加扰/解扰系统等构成。在信号的发送端，首先由控制字发生器(Control Word Generator，CWG)根据节目信息为每个节目流产生控制字(Control Word，CW)，CW是一伪随机序列，条件接收系统使用CW采用通用加扰算法(Common Scrambling Algorithm，CSA)［2］对节目传输流(Transport Stream，TS)进行加扰，

同时加密器使用业务密钥(Service Key，SK)对CW进行加密产生授权控制信息(Entitlement Control Message，ECM)，

ECM中还含有时间、节目价格、节目授权控制等信息。CA系统使用个人分配密钥(Personal Distribution Key，PDK)对SK进行加密，产生授权管理信息(Entitlement Management Message，EMM)，

EMM中还含有智能卡号、授权时间、授权等级等用户授权信息。经过加扰的节目流和ECM、EMM等数据经复用后传送到数字电视网络。机顶盒接收到已经加扰的TS流后，过滤出 ECM、EMM消息，并按照一定的规则要求将ECM、EMM消息传送给智能卡。智能卡接收到ECM、EMM消息后，根据运营商分配的与PDK对应的密钥(根据EMM加密算法的不同，与PDK可能相同也可能不同)，从EMM中解密出SK信息，

再使用SK从ECM中解密出CW，并将CW传送给机顶盒。机顶盒接收到CW后，将其传送给解扰器对加扰的节目流TS’进行解扰。

其逻辑结构如下图所示:

图1 典型的条件接收系统逻辑结构

为了保证系统的安全性，CW一般情况下每5－10s会更新一次，同时SK一般也会在每个月更新一次。各个CA厂商和网络运营商的CA系统的区别主要集中在PDK和SK的算法及管理上。在经典的CA系统当中，解密操作也就是获得控制字的过程在智能卡中完成，为了确保解密后的CW安全，各个厂商的智能卡接口卡(俗称大卡)必须集成到机顶盒当中，而目前我国各级数字电视网络基本上都采用“一机一卡，机卡配对”的运行模式。

但是由于受网络、运营模式和机顶盒的限制，目前的数字电视个性化业务必须通过机顶盒的中间件和智能卡实现。在“一机一卡，机卡配对”的运行模式下，机顶盒和智能卡都是以家庭为单位发放的。因此，现有的个性化业务基本上是以机顶盒为单位，以家庭为对象。也就是家庭中多人共享同一个智能卡和机顶盒。难以做到精确到个人用户的识别和个性化服务，而且用户购买的服务只能绑定到特定的智能卡上，当用户希望在其他机顶盒上使用自己购买的服务，就必须携带自己的智能卡，这对用户能够在网络中其他地方享受购买的服务带来了极大的不便。虽然运营商可以通过中间件应用实现用户的个性化业务(NGB － J［3］，NGB － H［3］，MHP［4］)，并通过使用遥控器等辅助设备提交用户信息来实现的，直播、点播和时移播等个性化的电视服务，但仍旧存在使用不方便，应用更新周期长。近年来，各地运营商如济南有线、杭州华数、北京歌华［5］、深圳天威等纷纷通过双向网络或互联网提供各种个性化业务，如:上网、视频点播、社交网络、即时通讯等丰富的业务应用，即OTT(Over The Top)业务服务。但是问题是OTT并不有利于数字有线电视网络的发展，也不是所有的运营商都愿意将OTT业务架设在互联网上，例如北京歌华有线，深圳天威视讯。而且基于双向网络的OTT业务应用还是依赖于机顶盒的操作系统，个人用户的标识和个性化业务使用还有改善空间，与以开放的IP网络为基础的互联网比较起来，数字电视依然存在着业务的开展受限于智能卡和机顶盒，无法便利地在家庭外享受已购买的电视服务和其他增值业务的问题。

另一方面，针对如何实现机顶盒与智能卡之间松耦合模式，也有许多学者进行了大量的研究工作。如:韩纪宏等人的《机卡分离中基于身份的认证及密钥协商协议》［6］和王艳平等人的《数字电视条件接收系统机卡分离技术的研究》［7］，吴国安等人的《“机卡分离”数字电视机顶盒》［8］，以及王兴军的《UTI机卡分离技术与应用》［9］都分别提出了如何在机顶盒与智能卡之间建立安全的密钥通信接口，以实现不用运营商的智能卡在不同厂商的机顶盒上运行，这些方案为我国的数字电视产业标准化提供很好的思路，但是仍没有解决业务服务与智能卡的绑定，这些方案都必须使用智能卡或者是USBKey，也就是将机顶盒换成了其他机卡分离的终端设备，如:支持大卡的电视机等，使用起来依然不方便。近年来国际有线电视标准化组织CableLabs，在2006年提出了一种软件无卡CA的方案，即可下载式条件接收系统(Downloadable CAS，DCAS)［10］，许多学者也在这方面进行了大量的研究，如:Y.Jeong等人发表的“A Noble Protocol for Downloadable CAS”［11］，而广电总局也在2012年推出了我国的《可下载条件接收系统技术规范》［12］，DCAS通过机顶盒内部的操作系统和安全芯片进行解密/解扰工作，解密算法通过双向网络下载到机顶盒内部安全芯片的操作系统中运行，这有效的提高了CA系统的安全性和各CA厂商与机顶盒厂商之间的兼容性，但是用户密钥依然存在在机顶盒当中，因此还是没有解决业务服务与智能卡的绑定问题。另外，陈长伟等人发表的《浅析基于手机短信渠道的数字电视付费点播平台》［13］提出了一种通过手机短信进行节目付费的方案，该方案提供了很好的便利性，但是节目的授权依然依靠机顶盒和智能卡，对于用户已经购买的节目服务依然无法在不同的机顶盒上收看。因此，如何能够实现机顶盒与用户密钥之间的松耦合，并且保证用户密钥的安全，以及用户、机顶盒和CAS之间的信任关系是本文的研究重点。

随着数字电视双向网络的发展，许多机顶盒内置双向网络CableModem和无线路由功能，个人智能移动终端和家庭网络的逐渐普及，这些都为数字电视的条件接受系统的发展提供了条件，本文在数字电视双向网络的基础上，利用个人智能移动终端设计了一套动态PDK的条件接收系统方案，该方案在现有的数字电视前端系统不变的情况下，增加认证服务器，升级机顶盒和安装智能移动终端软件，并通过在个人智能移动终端、机顶盒和认证服务器之间建立可靠的安全的信任关系，实现了针对个人的数字电视授权，为数字电视系统的个性化精确服务提供了基础。

2 系统设计

2.1 系统架构

本文设计的方案是在数字有线电视双向网络中，在现有的数字电视前端的基础上，改进用户管理系统和用户授权系统，增加认证服务器和动态密钥授权系统，设计支持动态用户分配密钥的机顶盒和智能移动终端认证软件，并通过个人智能移动终端、机顶盒和认证服务器之间的用户动态密钥认证和授权协议，实现个人的数字电视节目收视授权。具体系统框架如图2:

图2 系统框架

其中用户管理系统，用于存储和维护用户的基本信息、付费数据和用户绑定的智能移动终端的硬件标识等管理信息，并能根据用户订购的节目和缴费情况生成授权数据给用户授权系统。

用户授权系统，用于存储和维护用户的节目授权信息，并根据认证服务器的请求，为用户生成用户分配密钥对PDK和PDK’，以及有效期EXP，并在有效期EXP内，将PDK提供给EMM加密器对节目服务密钥进行加密生成EMM信息。

认证服务器，用于初始化用户智能移动终端的加密证书和签名证书，初始化机顶盒的加密证书和签名证书，建立与机顶盒和智能移动终端之间的安全会话，提供用户智能移动终端和机顶盒的认证，并根据授权智能移动终端的硬件标识向用户授权系统申请解密密钥 PDK’，以及向授权的机顶盒提供PDK’。

机顶盒，用于通过网络提供可被发现的标识信息，并与智能移动终端建立安全会话，向认证服务器提供智能移动终端的签名认证信息，同时接收加扰业务流、控制信息和认证服务器提供的解密密钥PDK’，对加扰业务流进行解扰和解码，具体结构如图3。

图3 机顶盒

智能移动终端，通过安装的客户端认证软件，在本地无线网络中发现可用的机顶盒，并与机顶盒建立安全会话，提供用户认证的签名信息，并通过机顶盒实现与认证服务器之间的认证和授权。

2.2 认证授权协议

本方案的整个认证授权过程主要由系统初始化、用户注册、机顶盒注册、认证、授权、解扰、再认证授权和结束服务八部分组成，具体过程如下:

系统初始化:认证服务器生成签名证书(ASC)和加密认证证书(AC)，生成方法如下:

1)首先选取两个安全的大素数p和q，使得p≠q，计算整数 n=pq和 φ(n)=(p－1)(q－1)，φ(n)是n的欧拉函数，选择整数 e，满足1＜e＜φ(n)和gcd(e，φ(n))=1，即 e和 φ(n)互素，通过欧几里得除法得到唯一的整数d，并且满足1＜d＜φ(n)，ed≡1 mod(φ(n))，则:ASC=d，AC=(n，e)。

2)认证服务器建立证书数据库，用于存放机顶盒加密证书、移动终端加密证书等信息。

3)认证服务器对所有的机顶盒进行初始化，通过机顶盒的硬件标识(SID)为每个可信的机顶盒生成机顶盒的签名证书(SSC)和加密认证证书(SC)，生成方法和认证服务器的证书生成方法一样，在机顶盒中安装SSC和配置认证服务器的网络地址，并将机顶盒的SID和SC对应信息，存放到证书数据库中。

用户注册:用户在服务提供商进行注册时，由用户提供用户智能移动终端的硬件标识(MID)，认证服务器根据MID生成移动终端的签名证书(MSC)和加密认证证书(MC)，生成方法和认证服务器的证书生成方法一样，并将MID和MC的对应信息存放到证书数据库中。在智能移动终端安装认证软件(MAPP)和MSC，并设立密钥保护口令(MCP)，在用户管理系统建立用户缴费信息、所购节目服务、用户基本信息、MID对应信息，并存放到用户管理系统的用户信息数据库中。

机顶盒注册:机顶盒开机初始化过程中通过配置的认证服务器网络地址与认证服务器建立TCP连接，认证服务器通过连接向机顶盒发送AC，机顶盒生成随机数 Sonce，并采用 RSA签名算法［14］对SID和Sonce进行签名，再使用AC加密得到机顶盒认证信息SAM发送给认证服务器，

其中E为RSA加密算法［14］，S为 RSA签名算法［14］。认证服务器收到SAM后，使用ASC进行解密(SID，SSSC(SID，Sonce))，

其中D为RSA解密算法［14］，并根据SID从证书数据库中获取对应的 SC，然后对 SSSC(SID，Sonce)进行签名校验。

其中V为RSA签名校验算法［14］，如果校验不成功则表示非法机顶盒并中断会话，否则表示是可信的机顶盒，并发送认证成功信息ESC(SASC(“Successed”))。机顶盒在收到认证服务器的确认信息后，断开与认证服务器之间的连接，完成开机初始化过程，并使用SSDP协议通过本地无线网络定期广播自己的状态信息。

认证:用户使用智能移动终端打开认证软件(MAPP)，通过SSDP寻找网络中可用的机顶盒，如果找到了可用的机顶盒，就与机顶盒建立TCP连接，机顶盒通过连接向智能移动终端发送认证服务器加密证书AC，智能移动终端再通过MAPP向用户质询MCP，用户提供MCP，MA校验成功后，生成随机数Monce，并使用AC和MSC生成认证信息MAM发送给机顶盒，

机顶盒收到MAM后生成新的Sonce，并与认证服务器建立连接，使用AC、SSC和MAM生成用户认证信息UAM发送给认证服务器

认证服务器收到UAM后，通过ASC和SC解密并校验得到MAM，再通过

对用户进行签名校验认证，如果校验不成功则向机顶盒发送认证失败的信息ESC(SASC(“User Authentication Failed”))，并断开连接。如果认证成功了，认证服务器会检查当前MID和Monce是否已经存在合法的会话，如果已经存在并且不是由同一个SID产生的，那意味着该智能终端存在被复制的可能性，认证服务器发送认证失败信息并断开连接。如果没有或是由同一个SID产生的会话，那么生成随机数Aonce，并向机顶盒发送ESC(SASC(Aonce))，机顶盒收到后向智能移动终端发送SASC(″Successed″)表示认证成功，并进入准备接收PDK’状态。

解扰:如果认证成功，认证服务器向用户授权系统发送MID和用户密钥请求信息，用户授权系统根据MID检查用户的节目授权信息，并生成用户业务密钥对PDK、PDK’和有效期EXP，并在EXP有效期间将PDK发送给加扰器进行加扰，同时将PDK’和EXP发送给认证服务器，认证服务器收到PDK’和EXP后，连同Aonce一起使用ASC进行签名，再使用机顶盒的加密证书SC进行加密并签名得到PKM发送给机顶盒

机顶盒收到PKM后，先将PKM发送给用户智能移动终端，用户终端使用AC进行签名校验，再使用MSC和Monce进行解密得到

然后再发送给机顶盒，由机顶盒使用SSC和Sonce解密获得PDK’和EXP，

并在EXP规定的有效时间内使用PDK’对接收到加扰节目流中的ECM和EMM进行解密获得CW，再使用CW对加扰节目流进行解扰，得到未加扰节目流，再解码后得到音视频信号提供给显示器。

再认证授权:在有效期EXP过期之前，机顶盒通过网络连接向用户终端发送再认证请求，用户终端收到请求后重新生成Monce，并重复认证的剩余过程，认证服务器在对智能移动终端认证成功后，会向用户授权系统申请新的PDK’和EXP’，并在上一个EXP到期之前发送给机顶盒，以保证持续的提供加扰服务。

结束服务:当智能移动终端离开网络或主动与机顶盒断开连接后，用户授权系统在EXP到期后，停止向加扰器提供PDK，机顶盒无法再完成解密过程，服务中断。

3 安全性分析

安全性是条件接收系统的重点，目前针对条件接收系统的攻击主要有:破解复制智能卡、截获并共享CW两种攻击方式。

3.1 破解复制智能卡

智能卡(IC卡)是目前的数字电视系统采用的主要用户密钥保护方式，但是对于早期功能简单的智能卡，特别是采用通用程序制造的智能卡，黑客可以通过对卡片芯片的数据分析破解密钥，并复制到仿制卡上非法获取授权，虽然目前各CA厂商采用的智能卡都采用CPU卡，在安全性上有了很大的提高，并且采用了RSA或DES3等更高安全性的加密算法，但是黑客对于智能卡的攻击从来没有停止过。

在本方案中，用户密钥保存在智能移动终端中，密钥的保护方式可以采用SDKey或者与电信运营商合作内置在USIM卡中，或者采用SIM卡贴膜的方式，密钥的保护方式与智能卡一样，同样面临这有被黑客破解和复制的可能，但是在本方案中，密钥的算法采用RSA算法，如果采用1024位或更长的密钥，那么破解的难度会非常大，同时即使被黑客非法获取并复制到了其他的智能终端上，但是认证服务器在进行认证是会检查MID和MSC会话的唯一性，因此即使复制了多个副本，但是单一时刻只有一个可以使用，这种攻击将变得没有意义。

3.2 截获并共享CW攻击

目前黑客针对数字电视条件接收系统最常采用也是最简单的攻击是截获CW。黑客利用机顶盒当中的智能卡模块(大卡)与解扰模块之间的接口电路，分析出明文的CW，并通过无线信号或网络的方式将获得CW扩散共享给其他未授权的机顶盒进行加扰节目流的解扰工作，例如现在市面上的德国梦幻多媒体公司生产的Dreambox D500系列机顶盒，由于采用开放的系统，就被许多黑客利用来进行CW截获攻击。针对这种攻击现在的主要反制方法是在大卡与解扰模块之间增加安全模块或者将智能卡模块与解扰模块封装在一起，或者采用可下载式软件CA的方式即无卡CA的方式，这些方法都有效的提高了机顶盒的安全性，在本方案中由于不采用智能卡，因此可以采用软件CA的方式，将认证模块与解扰模块封装在一起以保证机顶盒的安全性。另外，由于智能移动终端与机顶盒之间RSA和动态会话密钥的加密的方式，黑客很难通过截获的密文破解出传递密钥信息，因此本方案具有很好的安全性。

4 结束语

本文提出了一种基于数字有线电视双向网络的数字电视条件接收系统方案。该方案在现有的数字电视前端的基础上，通过改进用户管理系统和用户授权系统，增加认证服务器和动态密钥授权系统，设计支持动态用户分配密钥的机顶盒和智能移动终端认证软件，并通过个人智能移动终端、机顶盒和认证服务器之间的用户动态密钥认证和授权协议，实现个人的数字电视节目收视授权。该方案还通过采用一次性动态用户分配密钥方法，以及无卡CA的方式，解决了传统数字电视机顶盒使用智能卡容易被通过IC卡接口截获CW的问题，提高了数字电视系统的安全性。另外，由于该方案不涉及ECM、EMM控制信息和加扰流的生成，因此可以以同密或者独立运行的方式方便地集成到现有的数字电视前端系统当中。对比传统的基于智能卡的数字电视条件接收方案，以及韩纪宏等人提出的机卡分离方案［6－9］，CableLabs提出的可下载式CA方案［11］和我国的可下载式条件接收技术规范［12］，陈长伟等人提出的通过短信平台实现数字电视个性化业务的方案［13］，本方案一方面使用户完全不受智能卡的限制，可以跨越物理空间在不同的机顶盒上随时随地享受购买的节目服务，可以更好的吸引用户购买服务，提高了数字电视业务的灵活性和市场竞争力。另一方面，本方案可以实现一个家庭机顶盒为家庭内不同用户提供不同的节目服务功能，同时方便运营商准确记录用户个人的收视习惯和节目喜好信息，并且提供更好的内容精确推送等个性化服务。另外，本方案的用户认证采用移动终端软件实现，因此可以在方便的实现系统维护和升级的同时，通过增加终端软件的功能实现机顶盒遥控、节目交互等功能，以增加用户的使用感受，并为数字电视运营商实现更为丰富的节目业务提供了一个广阔的平台。

［1］ETR －289，Digital Video Broadcasting(DVB):Support for use of scrambling and Conditional Access(CA)within digital broadcasting systems［S］.1996.

［2］ETSI，DVB Common Scrambling Specifications［S］.1996.

［3］GYT 267－2012，下一代广播电视网(NGB)终端中间件技术规范［S］.2012，10.

［4］Piesing J，Philips Appl Technol，Redhill.The DVB Multimedia Home Platform(MHP)and Related Specifications［J］.Proceedings of the IEEE，vol 94，237 －247，2006.

［5］吴瞻民，郭伟.应用模式创新:歌华飞视技术体系介绍［J］.中国传媒科技，2011年11期.

［6］韩纪宏，谷大武，任艳丽.机卡分离中基于身份的认证及密钥协商协议［J］.计算机工程，2007年05期.

［7］王艳平，邹艺方.数字电视条件接收系统机卡分离技术的研究［J］.安阳工学院学报，2008年06期.

［8］吴国安，周军.“机卡分离”数字电视机顶盒［J］.电视技术，2005年01期.

［9］王兴军.UTI机卡分离技术与应用［J］.广播电视信息，2005年09期.

［10］OC－TR －DCAS－D02－060912，DCAS System Overview Technical Report［J］.Cable Television Laboratories，2006.

［11］Y Jeong.A Noble Protocol for Downloadable CAS［J］.IEEE Trans Consumer Electronics，vol 54，no 3，1236 －1243，2008.

［12］GYT 255－2012.可下载条件接收系统技术规范［S］.2012，3.

［13］陈长伟，王雷，刘系亮.浅析基于手机短信渠道的数字电视付费点播平台［J］.广播电视信息，2013年05期.

［14］Rivest RL，Shamir A，Adleman L.A method for obtaining digital signatures and public key cryptosystems［J］.Communications of the ACM，1978.