提升CA系统安全性的深度探讨

2015-12-02钱占飞钱振凯

电视技术 2015年12期

钱占飞，钱振凯，唐凡

（1.江苏有线播控中心，江苏南京 210000；2.江苏有线泰州分公司，江苏泰州 225300）

自数字电视全面推广以来，关于数字电视CA系统被破解的案例层出不穷。CA系统安全与否直接关系广电网络公司的营业收入。多年来CA系统破解与防破解的斗争从未间断，某些研究报告认为现行的CA系统以不能满足安全需求，必须大力推广下载式CA。现行CA系统是否能够满足安全需求？下载式CA能否拯救现行的CA系统？笔者对这两个问题进行了认真思考，并就提升CA系统安全性提出新的设想。

首先对现行CA系统做个简述，现行CA系统采用的是三重密钥系统，在三重密钥系统中，发送端用业务密钥SK对CW加密，形成ECM，每隔数秒复用到TS中一次。使用用户分配密钥PDK对SK及用户账户信息加密，形成EMM，每隔数秒复用到TS中一次。接收端插入存有PDK的智能卡后，解码器首先在TS中寻找识别PID为OX0001的TS包，从中恢复条件接收表CAT。CAT开列EMM，ECM所在TS包的PID，于是可从TS包中找到相应的EMM，ECM。合法的智能卡用其PDK解扰EMM，验证本智能卡是否被授权。若是则通过解密EMM得到SK，再用SK解密ECM得到CW。CW初始化PRBS发生器，产生与发送端相同的PRBS后与相应数据流异或运算，完成相应数据流解扰，获取相应服务。

1 已出现的CA系统破解方法及应对措施

目前，市场上已出现的CA系统破解方法主要有3种，分别阐述如下，现行CA系统原理图见图1。

1.1 共享CW字破解法

使用共享CW字破解法需要建立一个破解前端，破解前端由若干个合法终端和CW字共享服务器组成。破解者通过合法终端提取CW字存储在共享服务器中，通过互联网与若干非法终端共享CW字。共享CW字破解法原理图见图2。

图1 现行CA系统原理图

图2 共享CW字破解法原理图

因为CW字每隔2～10 s变换一次，因此CW字的提取与分享同样每隔2～10 s进行一次，这对CW字共享服务器的性能和网络的延时性提出了很高的要求。因为不同城市的CA系统加密机识别码不同，因此CW字的共享具有区域性，只能在识别码相同的区域中进行。应对共享CW字破解法应从技术防范和行政监督两个方面考虑。

技术防范方面：1）缩短CW字变更周期，加大CW字共享的难度和成本；2）对于长期报停的终端，应果断切断有线电视RF输入信号。

行政监督方面：联合公安、广电稽查等部门，严查CW字共享前端，维护良好市场秩序。

1.2 复制合法授权智能卡破解法

复制合法授权智能卡破解法俗称“复制卡”破解法。就是将一张合法授权智能卡复制成多张非法授权智能卡，供多个非法终端机顶盒使用，从而实现对加扰节目的解扰收看。“复制卡”常见于多终端机顶盒用户家庭，某些多终端机顶盒用户不愿意为多个终端订购节目，为贪图便宜使用“复制卡”。应对“复制卡”破解法应从市场营销和技术防范两个方面考虑。

市场营销方面：制定家庭用户营销策略，采用“一主二副”的营销方案，允许多终端机顶盒用户家庭，只需缴纳主终端节目订购费用，就可以享受两台副终端免费收看节目。

技术防范方面：1）智能卡采用多扇区保护机制，加大复制合法授权智能卡的难度和成本；2）采用“一机一卡”，机卡绑定策略，彻底铲除“复制卡”滋生蔓延的土壤。

1.3 阻隔EMM包反授权破解法

阻隔EMM包反授权破解法是迄今为止出现的技术含量最高的破解方式。它充分利用广电运营商的营销漏洞，利用“Break”仿真卡实现对CA系统的破解。阻隔EMM包反授权破解法原理图见图3。

图3 阻隔EMM包反授权破解法原理图

通常来说，某位用户订购一年期限的节目，当用户授权到期时，智能卡自动“丢弃”存储的SK密钥，授权失效，节目解扰失败。实际情况是广电运营商考虑到广播电视的政治属性以及为避免用户授权集中到期造成的系统压力，通常采用节目“长授权”的方法。比如某位用户只订购了1年期限的节目，但系统给这位用户设置了5年的授权期限，当用户1年授权到期时，CA系统给这位用户发送EMM包反授权，用1个伪SK密钥取代真SK密钥，智能卡授权失效，节目解扰失败。

阻隔EMM包反授权破解法就是利用了广电运营商节目“长授权”营销漏洞，通过阻隔EMM包反授权，实现对加扰节目的非法收看。比如某位用户只订购了1个月期限的节目，系统给这位用户5年授权期。在1个月授权期限到来时，这位用户使用“Break”仿真卡阻隔EMM包反授权，系统反授权失败，这位用户就可以非法收看节目4年零11个月。

应对阻隔EMM包反授权破解法需要依赖CA厂商的私有协议：ECM包反授权，即把EMM包反授权的核心伪SK密钥放在ECM包中发给非法用户。因为ECM包本质是CW字，CW字每隔10秒变换一次，因此非法用户不可能阻隔ECM包，通过ECM包实现伪SK密钥取代真SK密钥，智能卡授权失效，节目解扰失败。ECM包反授权是通过ECM包剩余空间容量下发的，因此ECM包反授权针对的非法用户数量需要受到限制。

2 下载式CA（DCAS）能否拯救现行CA系统

2.1 什么是下载式CA

下载式CA，是指将解密数字电视内容的应用软件、算法、密钥通过在线下载的方式下载到数字电视终端的一种先进的适合智能数字电视平台的CAS加密技术。下载式CA原理图见图4。

图4 下载式CA原理图

下载式CA系统（DCAS）以现行CA系统为基础，通过增加软硬件，双向信道实现对终端进行授权，并具备现有条件接收系统所有的授权控制和管理功能。下载式CA本质是实现无卡CA，精髓在于根密钥分散管理，即将原来由CA厂家单独管理的、存储在智能卡中的根密钥，变更为CA厂家，芯片厂家，安全数据管理平台三方共同管理，根密钥派生模块必须得到三方的密钥才能生成根密钥，根密钥派生原理图见图5。

图5 根密钥派生原理图

2.2 下载式CA是否有被破解的风险

下载式CA是否有被破解的风险？或者说下载式CA能否被破解？这个命题本身就是一个伪命题。上文指出，下载式CA本质是实现无卡CA，目标在于适应终端智能化的需求，防范CA系统被破解不是下载式CA的推广初衷。从防范破解角度思考下载式CA，笔者认为下载式CA有两大破解风险。

1）双向信道风险

下载式CA系统需要通过双向信道对终端进行认证授权，只有认证合法的终端，才能下载CA软件客户端，才能获得根密钥。但是双向信道的使用也给了不法分子直接面对、攻击、瘫痪下载式CA系统的机会。一旦下载式CA系统被攻破，所有的用户资料都可能被泄露，所有的终端机顶盒都将处于不法分子的攻击之下。双向信道的使用使得下载式CA系统比现行CA系统更容易遭受攻击，一旦被破解造成的危害比现行CA系统被破解的危害更大。

“温州事件”之后，广电总局文件明确指出“要确保播出前端物理上绝对安全可靠”。很显然，下载式CA系统与总局安全播出的要求相违背。

2）常见破解法破解风险

下载式CA系统以现行CA系统为基础，仍然采用现行CA系统的层级密钥体系，本文第1节中列举的第一、三种破解法对下载式CA系统依然有效。

综合以上两点，笔者认为下载式CA不能拯救现行的CA系统。要解决现行CA系统被破解的问题，必须立足现状，另辟蹊径。笔者经过认真思考，提出提升CA系统安全性，防范CA系统被破解的新设想。

3 防范CA系统被破解的新设想

上文笔者指出下载式CA不能从根本上解决现行CA系统被破解的问题。要解决CA系统被破解的问题，必须立足现状，另辟蹊径。

从破解方法的发展趋势来看，围绕EMM包的破解与反破解是今后的一段时期的主要斗争点，这是因为EMM包中含有用户授权信息及业务密钥SK。笔者关于防范CA系统被破解的设想就从保护EMM包及SK出发，提出“加密CAT表+SK随机化”的解决方案。具体阐述如下：

无论是阻隔还是破解EMM包，都需要获取EMM包PID。根据MPEG-2标准第一部分（ISO/IEC13818-1）中对PSI信息表的规范，各TS流中EMM包的PID全部存储在CAT表中，要获取EMM包PID，必须解析CAT表的内容。如果对CAT表进行加密，破解者将无法获取EMM包PID，获取不到EMM包，任何针对EMM包的破解就无法进行。虽然对CAT表加密不符合MPEG-2制定的语法规则，但该语法规则制定至今已过去20年，20年来技术环境发生了巨大的变化，必须用新思维解决新问题。实现CAT表的加密需要联合CA厂商和机顶盒厂商共同探讨，必要时可以对在网机顶盒进行软件升级已满足加密需要。

将业务密钥SK随机化可以使得对EMM包的阻隔变得没有意义，这就好比没有破解者会去阻隔ECM包一样。通常，用户被授权一次，对应产品包的SK更换一次，如果将SK像CW字一样进行随机化，当然变换周期可以长一点（比如一天甚至一个星期），那么即使EMM包被破解了，破解者非法收看节目的时间也是短暂的、可控的。

任何方案都有优缺点，“加密CAT表+SK随机化”的方案也有一个主要缺点：EMM包的传输带宽会显著增加。这是因为一旦SK被随机化，所有的用户都要实时接收EMM包的信息，这就等效于所有的用户都处于即时队列，SK随机化的周期越短，EMM的传输带宽增加就越明显。在数字电视整转时，笔者所在地区的EMM包的传输带宽约为1.5 Mbit/s，笔者估计如果将SK随机化，EMM的传输带宽在3 Mbit/s左右。从提升CA系统安全性、防范CA系统被破解，保障广电网络公司营业收入的角度出发，这点带宽的牺牲也是值得的。