詳解數(shù)字電視條件接收系統(tǒng)的安全性

目前國(guó)內(nèi)推出的數(shù)字電視（DTV）條件接收系統(tǒng)（CAS）在接收端基本上都是采用 “一機(jī)一卡，機(jī)卡配對(duì)”的智能卡進(jìn)行管理，服務(wù)器端不能及時(shí)了解用戶端的情況，如果用戶端的智能卡被破解，整個(gè)系統(tǒng)就形同虛設(shè)，造成服務(wù)商巨大的經(jīng)濟(jì)損失。隨著數(shù)字電視的普及，這個(gè)問題的解決也變得越來(lái)越迫切。

1當(dāng)前條件接收系統(tǒng)的安全性分析

目前的條件接收系統(tǒng)采用3層加密系統(tǒng)，進(jìn)行擾亂，使非授權(quán)用戶無(wú)法接收信號(hào)；而授權(quán)用戶在接收端通過(guò)同樣的CW控制解擾器對(duì)信號(hào)解擾，恢復(fù)出能接收的信號(hào)。

加密：因?yàn)镃W必須通過(guò)公用網(wǎng)絡(luò)傳輸?shù)浇邮斩?，必須?duì)其進(jìn)行加密保護(hù)。首先通過(guò)服務(wù)密鑰（SK）對(duì)CW加密形成授權(quán)控制信息（ECM）；然后，通過(guò)個(gè)人分配密鑰PDK對(duì)SK進(jìn)行加密形成授權(quán)管理信息（EMM）。解密時(shí)通過(guò)智能卡中的本地密鑰逐步解出上層密鑰，最后得到CW。

當(dāng)前流行的CAS系統(tǒng)看似非常安全，通過(guò)3層加密，有的甚至更多層加密，但系統(tǒng)畢竟由多個(gè)環(huán)節(jié)組成，黑客能根據(jù)不同系統(tǒng)的特點(diǎn)，采用不同的攻擊方法。

（1）對(duì)CW進(jìn)行攻擊。CW是整個(gè)系統(tǒng)的基礎(chǔ)，是條件接收系統(tǒng)的核心，如果CW被破解，其他一切加密措施也就失去了意義。CW一般比較長(zhǎng)，且變化頻率比較快，破譯CW非常困難，即使破譯了一個(gè)CW，往往已過(guò)了有效期。不過(guò)，CW的整個(gè)周期序列如果全部破解，對(duì)整個(gè)系統(tǒng)是災(zāi)難性的。

（2）對(duì)ECM，EMM進(jìn)行攻擊。在系統(tǒng)傳輸過(guò)程中截獲ECM，EMM密鑰及數(shù)據(jù)破解，同時(shí)制造假冒消息和盜版卡，達(dá)到破譯的目的。

（3）對(duì)用戶智能卡進(jìn)行攻擊。用戶智能卡作為加密控制鑰匙散發(fā)到電視觀眾中去，黑客同樣能購(gòu)買到合法用戶卡，因此用戶智能卡遭受攻擊的機(jī)會(huì)非常多。黑客能通過(guò)使用標(biāo)準(zhǔn)的智能卡研發(fā)測(cè)試工具，試探讀取內(nèi)部密鑰數(shù)據(jù)、授權(quán)數(shù)據(jù)及應(yīng)用程式，制作盜版卡或仿真卡；黑客利用先進(jìn)的技術(shù)測(cè)試卡內(nèi)硬件的結(jié)構(gòu)和電信號(hào)，破譯卡的結(jié)構(gòu)和數(shù)據(jù)，制作盜版卡。

2安全防范措施

2.1針對(duì)CW的攻擊，采用安全性較高的CW產(chǎn)生器

CW產(chǎn)生器是在芯片內(nèi)部實(shí)現(xiàn)：他是以可預(yù)置線性反雷數(shù)需求互質(zhì)，每個(gè)LFSR的反饋多項(xiàng)式需求是本原的，這樣產(chǎn)生的偽隨機(jī)序列具有最大周期?？偩€是控制碼發(fā)生器（一個(gè)偽隨機(jī)序列發(fā)生器）產(chǎn)生的選擇器控制碼，有8個(gè)抽頭并行輸出，每?jī)晌粚?duì)應(yīng)一個(gè)選擇器的選擇端。每個(gè)選擇器的輸出是選出的4個(gè)LFSR反饋之一，作為和之相連的LFSR時(shí)鐘。這是Gollmann級(jí)聯(lián)的改進(jìn)型，通過(guò)數(shù)據(jù)選擇消除了Gollmann級(jí)聯(lián)易受鎖定攻擊的缺點(diǎn)。4個(gè)LSFR輸出的異或（當(dāng)輸入奇數(shù)個(gè)1時(shí)輸出為1），除去LFSR的線性影響，通過(guò)數(shù)字選擇器選取這些異或后的輸出之一作為CW產(chǎn)生器串行序列的輸出，通過(guò)串轉(zhuǎn)并輸出作為CW。數(shù)字選擇器濾除了CW 產(chǎn)生器的代數(shù)特性避免相關(guān)（線性代數(shù)）攻擊。這樣產(chǎn)生的CW周期性長(zhǎng)，相關(guān)性小，安全性高。

選擇碼生成器是個(gè)偽隨機(jī)產(chǎn)生序列，通過(guò)他產(chǎn)生的序列碼去控制選擇器的選擇輸入端。因?yàn)橛脩艄芾硇畔⑿枰?jì)算機(jī)管理，所以能在計(jì)算機(jī)中產(chǎn)生序列碼作為選擇碼生成器的初始值和LFSR的初始值。計(jì)算機(jī)中的軟件容易修改，初始值能隨時(shí)改動(dòng)，如果黑客破解了當(dāng)時(shí)的CW序列，由于初始值的改動(dòng)，又生成了新的CW序列，避免了整個(gè)系統(tǒng)的毀滅性打擊。

2.2針對(duì)智能卡和ECM，EMM攻擊的策略，采用一種“機(jī)卡分離”方案

無(wú)論是對(duì)智能卡還是對(duì)ECM，EMM攻擊，目的都是制造盜版卡，造成服務(wù)商的損失。既然機(jī)卡配對(duì)的管理方式有這么大的安全隱患，為什么目前流行這種方法呢？這是因?yàn)榻刂沟侥壳?，?guó)內(nèi)數(shù)字電視還沒有普及，數(shù)字電視條件接收系統(tǒng)的標(biāo)準(zhǔn)還沒有確定，這種方式管理簡(jiǎn)單，成本低。并且，對(duì)于黑客來(lái)說(shuō)，他們花那么大的本錢去破解可能得不償失，因?yàn)槟壳暗臄?shù)字電視只是起步，用戶較少，等他們破解了系統(tǒng)，可能由于標(biāo)準(zhǔn)的制定，服務(wù)商又采用了新的系統(tǒng)。所以這種管理系統(tǒng)目前來(lái)說(shuō)還比較安全。

不過(guò)，隨著數(shù)字電視普及和條件接收系統(tǒng)標(biāo)準(zhǔn)的制定，再使用一機(jī)一卡、機(jī)卡配對(duì)的方式管理，遭受攻擊的可能性就大大增加。所以說(shuō)這種管理方式只是從模擬電視條件接收系統(tǒng)到數(shù)字電視條件接收系統(tǒng)的過(guò)渡產(chǎn)物。隨著數(shù)字電視產(chǎn)業(yè)的蓬勃發(fā)展，將來(lái)的條件接收系統(tǒng)的主流必然是“機(jī)卡分離”的方式，完全解決一機(jī)一卡易受攻擊的缺點(diǎn)。

采用的方法是借鑒目前的國(guó)際互連網(wǎng)絡(luò)中的網(wǎng)卡技術(shù)，每個(gè)用戶的用戶ID都是不同的，PDK是用戶ID和其他信息的一個(gè)函數(shù)，不同的是他采用了盜版防護(hù)機(jī)制，即使黑客通過(guò)高科技制造出一模相同的盜版，通過(guò)回傳綁定機(jī)制也能發(fā)現(xiàn)。具體方法如下：用戶ID加密后存放在ROM中，用戶觀看次數(shù)加密后存放在EEPROM中(如果電路有回傳線路可選)，其他的解密、解擾電路和算法都存放在用戶端的主芯片中。IC卡和目前流行的“一機(jī)一卡，機(jī)卡配對(duì)”內(nèi)有解密電路的智能卡完全不同，在他里面只保存IC卡號(hào)和IC卡密碼（如果沒用回傳線路，里面更有余額）等，就像目前的電話IC卡相同，用戶在什么地方買卡都能，只要是播放本節(jié)目的服務(wù)商發(fā)行的卡都能用，實(shí)行機(jī)卡分離。

用戶買到IC卡后，首先通過(guò)回傳系統(tǒng)或電話通知服務(wù)端，使IC卡號(hào)和接收機(jī)用戶ID進(jìn)行綁定。一般來(lái)說(shuō)，用戶為了避免買到偽造卡，買卡時(shí)就像手機(jī)充值相同，拿到卡后就即時(shí)打電話通過(guò)服務(wù)端進(jìn)行認(rèn)證和綁定。用戶的舊卡的余額也轉(zhuǎn)移到新綁定的卡上（有回傳通路的）。綁定后，服務(wù)端就用IC卡號(hào)和用戶ID的函數(shù)一起生成PDK，通過(guò)這樣的PDK對(duì)SK加密。通過(guò)IC卡綁定，還能發(fā)現(xiàn)偽造的接收電路，因?yàn)?，?dāng)有不同的IC卡去綁定同一個(gè)用戶ID時(shí)，就會(huì)被發(fā)現(xiàn)，接收電路的真假通過(guò)用戶資料馬上就可辨別。再說(shuō)，就是偽造接收電路，還要買接收卡，達(dá)不到免費(fèi)接收的目的，黑客不會(huì)去花費(fèi)功夫制作偽造電路的。

接收時(shí)用戶必須插入IC卡，安全處理器首先對(duì)IC卡識(shí)別真?zhèn)?。識(shí)別后，如果是沒有回傳線路的系統(tǒng)，安全處理器讀取IC卡的余額，如果余額較多，讀取IC卡的卡號(hào)和ROM內(nèi)的用戶ID對(duì)SK解密；如果余額不足，通知用戶及時(shí)換卡。換卡后，電視就按新卡序號(hào)進(jìn)行加密。用戶端能設(shè)計(jì)有保存余額的存儲(chǔ)器，把里面保存的舊卡余額加到新卡中去。沒有回傳線路的這類系統(tǒng)，面對(duì)黑客的攻擊主要是對(duì)IC卡的余額讀取的攻擊。針對(duì)這類攻擊，在讀取余額時(shí)和上次余額進(jìn)行比較，如果沒有換卡且卡上余額大于存儲(chǔ)器中保存的上次觀看后的余額，IC作廢。而余額讀取的電路和算法在主芯片中，對(duì)主芯片的破解難度一般較大。即使這樣，也不能說(shuō)完全安全，采用IC卡有一定的使用期限的方法降低對(duì)余額讀取攻擊的風(fēng)險(xiǎn)。

在有回傳線路的系統(tǒng)中，就不會(huì)面臨讀余額的攻擊。因?yàn)橛脩舻挠囝~保存在服務(wù)端，用戶的IC卡只有卡號(hào)和密碼，用戶每開一次機(jī)和關(guān)一次機(jī)，用戶ID和用戶IC卡號(hào)加密 （加密方式和ID存儲(chǔ)在ROM內(nèi)的加密方式不同）后傳到服務(wù)端。服務(wù)端根據(jù)用戶的開關(guān)機(jī)情況計(jì)算接收費(fèi)用和卡上余額，當(dāng)余額不足時(shí)，用戶屏幕上會(huì)出現(xiàn)通知用戶及時(shí)充值的信息。對(duì)于黑客攻擊來(lái)說(shuō)，同時(shí)仿制出接收電路和接收IC卡的可能性非常小，就是有，過(guò)一段時(shí)間后，IC卡的余額就會(huì)用完，對(duì)整個(gè)系統(tǒng)的影響非常小。如果需求更高的安全性，能把用戶接收次數(shù)加密后同時(shí)傳到服務(wù)器端，服務(wù)端和上一次接收的次數(shù)比較，能查出是不是非法用戶。PDK能使用上次接收次數(shù)、用戶ID和IC卡號(hào)的函數(shù),增加保密性。

經(jīng)上述處理后，整個(gè)系統(tǒng)的安全性就主要看對(duì)SK和CW的加密強(qiáng)度，及CW的周期序列長(zhǎng)度和易變性。CW的周期長(zhǎng)度靠CW產(chǎn)生器確保，前面介紹了一種安全性較高的實(shí)現(xiàn)方法。至于對(duì)SK和CW的加密方法，目前都比較成熟。由于CW變化比較快，能選擇加密強(qiáng)度較高，加密較快的DES，IDEA等算法；SK變化比較慢，能選擇加密強(qiáng)度更高，加密較慢的RSA等方法，目前這些加密算法依舊比較安全，用于條件接收系統(tǒng)中能抵御黑客的攻擊。

3可行性分析

機(jī)卡分離的管理方式的安全性高于目前流行的“一機(jī)一卡，機(jī)卡配對(duì)”的管理方式，并且實(shí)現(xiàn)并不復(fù)雜。特別是，隨著數(shù)字電視的發(fā)展，用戶追求個(gè)性化服務(wù)，必然會(huì)實(shí)現(xiàn)服務(wù)端和用戶的交流，比如實(shí)現(xiàn)節(jié)目預(yù)定，通過(guò)回傳知道電視的收視率，改進(jìn)服務(wù)質(zhì)量等，那么，通過(guò)回傳方式的機(jī)卡分離管理用戶并沒有增加太多成本。

對(duì)于目前的單通道數(shù)字電視系統(tǒng)，增加一條信道會(huì)增加非常多成本， 可 以采用沒有回傳通路的用戶ID和IC卡序號(hào)綁定的方式代替目前的在內(nèi)部有解密系統(tǒng)的智能卡，他的成本比智能卡的管理方式成本并沒有增加非常多，并且機(jī)卡分離的IC卡損壞或丟失比內(nèi)部有解密系統(tǒng)智能卡損失小得多，機(jī)卡分離的IC卡丟失，用戶能買取新卡，把余額轉(zhuǎn)入新卡，對(duì)用戶來(lái)說(shuō)并沒用所有損失。

4結(jié)論

由以上分析可知，目前流行的機(jī)卡配對(duì)管理模式存在著非常大的安全隱患，而機(jī)卡分離的管理方式安全性就高得多,并且機(jī)卡分離方式實(shí)現(xiàn)成本不是非常高，方便用戶付費(fèi)。隨著數(shù)字電視的普及，機(jī)卡分離的管理模式必然成為數(shù)字電視條件接收的主要管理方式。