（通信与信息系统专业论文）关于条件接收系统的安全性分析.pdf

中文摘要 数字电视广播、高清晰度电视和网络技术的发展使得数字视频通信获得了广 泛的应用。作为其重要组成部分，条件接收系统( c o n d i t i o n a la c c e s ss y s t e m ) 是实 现视频信息服务的必要条件。本文根据数字电视条件接收的基本原理，对当前条 件接收系统的安全性进行了分析，根据系统结构和加密体制，分析c a 系统在c w 控制字，加密算法，e c m 、e m m 和智能卡等方面的缺陷，并对这些缺陷提出了改 进建议。对于c w 攻击，本文设计了能产生长周期，相关性小的控制字的c w 发生 器，并对c w 网络共享共享攻击进行了分析。对于加密算法攻击，本文分析了d e s 算法和r s a 算法的可靠性，对r s a 算法进行了改进，设计了一种多用户接收r s a 加密方案来抵御低指数攻击和重发攻击；另外还对软件加密体系进行了分析。对 于e c m 、e m m 和智能卡攻击，本文分析了可能的攻击方式，提出应当采用机卡 分离方案来解决这种攻击。 关键词：c a s ；控制字c w ；授权控制信息e c m ；授权管理信息e 删；d e s ；r s a ；软件 加密；机卡分离 分类号：t p 3 9 3 a bs t r a c t d i g i t a lt e l e v i s i o n , h i g h d e f i n i t i o nt e l e v i s i o na n dt h ed e v e l o p m e n to fn e t w o r k t e c h n o l o g ym a k e saw i d ea p p l i c a t i o no fd ig i t a lv i d e oc o m m u n i c a t i o n s a si t si m p o r t a n t p a r t ，t h ec o n d i t i o n a la c c e s ss y s t e m ( c o n d i t i o n a la c c e s ss y s t e m ) i sn e c e s s a r yt o a c h i e v ev i d e oi n f o r m a t i o ns e r v i c e s t h i sp a p e rd e s c r i b e st h eb a s i cp r i n c i p l e so fd i g i t a l t e l e v i s i o nc o n d i t i o n a la c c e s ss y s t e m ，a n a l y z et h es a f e t yo fc u r r e n tc o n d i t i o n a la c c e s s s y s t e m a c c o r d i n gt os y s t e ma r c h i t e c t u r ea n de n c r y p t i o ns y s t e m ，t h i sp a p e ra n a l y z et h e d e f e c t ca b o u tc w ，e c m ，e m ma n dt h es m a r tc a r d a sa t t a c k st oc w ，t h ep a p e rd e s i g n s ac wg e n e r a t o ro fh i g h e rs a f e t yt og e n e r a t el o n g p e r o i da n dl o w c o r r e l a t i o nc w f o r a t t a c k st oe n e r y p t i o na l g o r i t h m ，t h i sp a p e ra n a l y s e st h es e c u r i t yo fd e sa n dr s a ；a n d d e s i g n sa ni m p r o v e dr s ae n e r y p t i o na l g o r i t h mt o r e s i s tl o w e x p o n e n t i a la t t a c ka n d r e s e n da t t a c k f o ra t t a c k st oe c m ，e m ma n ds m a r tc a r d ，t h ep a p e ra n a l y s e st h e p r o b a b l ea t t a c kp a t t e r na n dp r o p o s e ss e t - c a r ds e p a r a t i o nt od e f e n s et h e s ea t t a c k s k e y w o r d s ：c a s ；c o n t r o lw o r d ；e c m ；e m m ；d e s ；r s a ；s o f t w a r ee n c r y p t i o n ； s e t - c a r ds e p a r a t i o n c l a s s n 0 ：t p 3 9 3 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：周桂英】习儆 导师签名： 签字日期：妒g 年j 月llh 签字日期： 带年易月8h 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意。 学位论文作者签名： j 司乖嚎签字日期：纱卫年月i f 日 致谢 本论文的工作是在我的导师陈常嘉教授的悉心指导下完成的，陈常嘉教授严 谨的治学态度和科学的工作方法给了我极大的帮助和影响。在此衷心感谢三年来 陈常嘉老师对我的关心和指导。 胡师舜教授悉心指导我们完成了实验室的科研工作，在学习上和生活上都给 予了我很大的关心和帮助，在此向胡师舜老师表示衷心的谢意。 赵永祥教授对于我的科研工作和论文都提出了许多的宝贵意见，在此表示衷 心的感谢。 在实验室工作及撰写论文期间，黄丹、谢倩昆等同学对我的研究工作给予了 热情帮助，在此向他们表达我的感激之情。 另外也感谢家人，他们的理解和支持使我能够在学校专心完成我的学业。 屿工一 l刖舌 1 1课题背景 随着mp eg 一2 和dvb 标准的相关技术的发展，以及未来社会对信息需 求的增长，以mpeg 一2 和dvb 为标准的数字电视广播的应用将有广泛的前 景。作为数字电视广播的重要组成部分，条件接收系统是实现视频信息服务的必 需条件。 c a s 是数字电视广播( d v b ) 实行收费所必须采用的系统，也是数字电视平台 不可缺少的部分，c a s 负责完成用户授权控制与管理信息的获取、生成、加密、 发送以及节目调度控制等工作，保证只有已付费并被授权的用户才能收视节目， 从而保护节目制作商和广播运营商的利益。 数字电视广播系统中c a 的特点为传输网络是点对面的非对称传输，是最不安 全的网络，任何人都可以从中获取信息来研究它，所以，c a 系统的安全性一直被 认为是广播电视传输网络中至关重要的一环。随着网络技术的飞速发展，针对c a 系统的攻击手段也会随之发展，这就要求我们密切关注网络安全的动向，掌握必 要的网络防御技术，使其应用于c a 系统主动防御体系的开发，从而增加c a 系统 的安全系数，充分保障运营安全。 1 2课题的任务、目的和意义 本课题根据数字电视条件接收系统的基本原理和实现方式，对条件接收系统 的安全性进行了分析，指出当前c a 系统主要的安全隐患和缺陷，并提出相应的防 范措施和改进建议。 2 数字电视机顶盒介绍 数字视频广播( d ) 于2 0 世纪9 0 年代初在欧美兴起，分为：基于卫星的 数字视频广播系统( d v b s ) ，基于地面传输的数字视频广播系统( d v b t ) ，基 于同轴电缆的数字视频广播系统( d v b c ) ，与此对应的数字电视机项盒可分为数 字卫星机顶盒、地面数字电视机顶盒和有线电视数字机顶盒3 种。 2 1数字电视机顶盒的概念 数字电视机顶盒是数字电视的过渡产品，通过数字电视机顶盒，不仅可以提 供丰富的节目内容，而且改变了收看电视的传统方式。其次，数字电视机顶盒是 信息家电的一种，它是以模拟电视机为显示终端的信息接收和处理设备，是一种 能够让用户在现有模拟电视机上观看数字电视节目和数据广播，享受i n t e m e t 接入 等信息服务的消费类电子产品。 2 2数字电视机顶盒的结构 数字电视机顶盒包括硬件和软件两部分。硬件提供数字电视机顶盒的硬件平 台，实现音视频的解码。在数字电视技术中，软件技术比硬件占有更为重要的位 置，因为电视节目内容的重现、操作界面的实现、数据广播业务的实现，以及机 顶盒和i n t e m e t 的互联都需要软件来实现。 2 2 1数字电视机顶盒硬件组成 数字电视机顶盒硬件包括： ( 1 ) 高频调谐器和q a m 信道解调器：高频调谐器接收来自有线网络的射频信 号，通过q a m 信道解调器完成信道解码，从载波中分离出包含视音频和其他数据 信息的传输流( t s ) 。 ( 2 ) 信源数据传输流解复用器和m p e g 2 解码器：传送流中一般包含多个音 视频流及一些数据信息，传输流复用器用来区分不同的节目，提取相应的音视频 2 流和数据流，送入m p e g 2 解码器和相应的解析软件，完成数字信息的还原。 ( 3 ) 条件接收模块：对于付费电视，条件接收模块还对音视频流实施解扰， 并采用含有识别用户和记忆功能的智能卡，保证合法用户正常收看。 ( 4 ) 视频解码器，音频d a 变换：m p e g 2 解码器完成对音视频信号的解压 缩，经视频编码器和音频d a 变换，还原出模拟音视频信号，在模拟电视机上显 示高质量图像，并提供多声道立体声节目。 ( 5 ) 嵌入式c p u 与存储器模块和接口电路：嵌入式c p u 是数字电视机顶盒的 心脏，它与存储器模块用来存储和运行软件系统，并对各个硬件模块进行控制。 接口电路提供丰富的外部接口，包括通用串行接口u s b ，以太网接口及r s 2 3 2 ， 模拟、数字视音频接口，数据接口等。 ( 6 ) 电缆调制调解( c m ) 模块：由双向调谐器、下行q a m 解调器、上行 q p s k q a m 调制器和媒体访问控制器组成，完成电缆调制解调器的所有功能。 2 2 2数字电视机顶盒软件组成 数字电视机顶盒软件包括： ( 1 ) 硬件驱动层软件：驱动程序驱动硬件功能，如射频解调器、传输解复用 器、a v 解码器、视频编码器等。 ( 2 ) 嵌入式实时多任务操作系统：嵌入式实时操作系统是相对于桌面计算机 操作系统而言的。该系统结构较紧凑，功能也较简单，资源开支较小，便于固化 在存储器中。嵌入式操作系统的作用与p c 机上的d o s 和w i n d o w s 相似，用户通 过它可进行人机对话，完成用户下达的指定。指定接收有键盘、鼠标、红外遥控 器等多种方式。 ( 3 ) 中间件：中间件是数字电视核心技术，它可解决在开发机顶盒上层应用 中碰到的诸多问题。中间件是居于数字电视机顶盒内部实时操作系统与应用软件 中间的软件部分，定义了一组较为完整而标准的应用程序接口，使应用程序独立 于操作系统和硬件平台，从而将应用的开发变得更加简捷，使产品的开放性和可 移植性更强。它通常由j a v a 虚拟机、网络浏览器、图像与多媒体模块等组成，中 间件将应用软件与依赖于硬件的驱动层软件分隔开来，使应用软件不依赖于具体 的硬件平台。 ( 4 ) 应用软件：负责执行服务商提供的各种服务功能，如：电子节目指南， 准视频点播、视频点播、高速数据广播、i n t e m e t 接入、p 电话、可视电话和条件 接收等。应用软件独立于s t b 的硬件，可用于各种s t b 硬件平台，消除应用软件 对硬件的依赖。 2 3 数字电视机顶盒的功能 数字电视机顶盒能够接收m p e g 2 数字电视传输流和各种数据信息，通过解 调、解复用、解码和视音频编码，在模拟彩色电视机上观看数字电视节目和各种 数据信息。目前，数字电视机顶盒的基本功能是接收数字电视广播节目，同时具 有所有广播和交互式多媒体应用功能，包括： ( 1 ) 电子节目指南：它为用户提供一种容易使用，界面非常友好，可以快速访 问想看节目的方式，用户可以通过该功能看到各个频道上近期将播放的电视节目。 ( 2 ) 支持交互式应用如准视频点播、视频点播、互动游戏等。 ( 3 ) 高速数据广播：能为用户提供股市行情、票务信息、电子报纸、热门网络 等各种信息。 ( 4 ) 因特网接入和电子邮件：数字电视机项盒通过内置的电缆调制解调器便可 实现因特网接入功能。用户可以通过机顶盒内置的浏览器上网，发送电子邮件， 也可以提供各种接口与p c 相连，使用p c 接入因特网。 ( 5 ) 软件在线升级：可看成是数据广播的应用之一。数据广播服务器按d v b 数据广播标准将升级软件广播下来，机顶盒能识别该软件的版本号，在版本不同 时接收该软件，并对保存在存储器中的软件进行更新。 ( 6 ) 有条件接收：有条件接收的核心是加扰和加密，数字电视机顶盒应具有 解扰和解密功能。 随着数字电视和网络技术的发展，数字电视机顶盒的功能将更加完善，尤其 是单片p c 技术的发展，将促使数字电视机顶盒在物理结构上将各部分硬件高度集 成，形成s t b 核一i i , 芯片，从而减小体积，降低成本，提高性能。外部接口将更加 丰富，通过u s b 接口可以和数码相机连接，通过i d e 接口可以挂接硬盘实现节目 存储等。交互式机顶盒将成为数字电视机顶盒的主流，用户在模拟彩色电视机上 不仅能收看数字电视，还能实现娱乐和上网。 4 2 4数字电视机顶盒的工作原理 数字电视机项盒接收数字电视节目，处理数据业务和完成多种应用的解析。 各类信源在进入有线电视网络之前经过两级编码，第一级是传输用的信道编码， 第二级是视音频信号的信源编码，并将所有信源封装成传输流。与前端相应，数 字电视机顶盒首先从传输层提取信道编码信号，完成信道解调，接着还原压缩的 信源编码信号，恢复原始视音频流，同时完成数据业务和多种应用的接收、解析。 数字电视机顶盒的工作过程：高频头接收来自有线网的射频信号并变换为中频 信号，进行a d 转换为数字信号，再送入q a m 信道解调器进行q a m 解调，输出m p e g 一2 多节目传输流数据，送给解复用器，解复用器从m p e g - 2 传输流数据中抽出一个节 目的已打包的视音频基本流( p e s ) 数据，包括视频p e s ，音频p e s 和辅助数据p e s ， 解复用器中包含一个解扰引擎，可在传输流层和p e s 层对加扰的数据进行解扰， 解复用器输出的是已解扰的视音频p e s 。视频p e s 送入视频解码器，取出m p e g 一2 视频数据并对其解码后，输出到模拟p a l n t s c 编码器，编码成模拟视频信号，再 经视频输出电路输出。音频p e s 送入音频解码器，取出m p e g 一2 音频数据并对其解 码，输出p c m 音频数据到音频d a 变换器，音频d a 变换器输出模拟立体声音频 信号，经音频输出电路输出。 2 5 数字电视机顶盒的主要技术 信道解码、信源解码、上行数据的调制编码、m p e g 2 解压缩、显示控制和条 件接收( c a ) 技术是数字电视机顶盒的主要技术。 ( 1 ) 信道解码：数字电视机顶盒中的信道解码电路相当于模拟电视机中的高 频头和中频放大器。在有线电视网络中传输数字电视及各类增值业务采用q a m 信 道调制技术，相应地，数字电视机顶盒对信道解调也采用q a m 信道解调技术。 ( 2 ) 信源解码：模拟信号的数字化使信息量激增，必须采用相应的数据压缩 标准。数字电视广播采用m p e g 2 视频压缩标准，音频则有a c 3 和m p e g 2 两 种标准。信源解码器必须适应不同编码策略，正确还原原始视音频数据。 ( 3 ) 上行数据的调制编码：开展交互式应用，需要考虑上行数据的调制编码 问题。目前普遍采用3 种方式，即采用电话线、以太网卡和有线电视网络传送上 行数据。 ( 4 ) m p e g 一2 解码：m p e g 2 是数字电视中的关键技术之一。目前使用的视频 数字处理技术基本上建立在m p e g 2 技术基础之上。m p e g 2 图像信号处理方法 分运动预测、d c t 、量化、可变长编码4 步完成，电路是以r i s c 处理器为核心的 a s i c 电路。音频解码需具有m p e g 2 和杜比a c 3 两种功能。 ( 5 ) 显示控n - 电视机的显像管是大间距的低分辨率管，而数字电视的显示 模式有1 0 多种以上。另外，电视采用低帧频的隔行扫描方式，当显示图形和文字 时，亮度信号存在背景闪烁，水平直线存在行间闪烁。目前，有两种方式可补救 电视机上网时存在的显示缺陷，一种是三行滤波法，另一种是把隔行扫描变成逐 行扫描，并适当提高帧频。 ( 6 ) 条件接收( c a ) 技术：c a 的基本原理是对数字电视节目进行加解扰和 加解密处理，采用加扰控制字加密传输的方法，用户端利用i c 卡解密。在m p e g 传输流中，与控制字( c w ) 传输相关的数据流有两个：授权控制信息( e c m ) 和 授权管理信息( e m m ) 。由业务密钥( s k ) 加密处理后的控制字在e c m 中传输。 对控制字加密的业务密钥在授权管理信息中传送，并且业务密钥在传送前要经过 用户个人分配密钥( p d k ) 的加密处理。e m m 中还包括地址、用户授权信息等。 用户端数字电视机顶盒为了再生出解扰伪随机序列，必须获驭相关的条件接收信 息，s t b 从接收到的传输流中滤出e c m 和e m m 数据流后，通过s m a r tc a r d 接口 送给s m a r tc a r d ，s m a r tc a r d 读取p d k ，利用p d k 对e m m 解密，取出s k ，此后 利用s k 对e c m 解密，取出c w ，并将c w 通过s m a r tc a r d 接口送给解扰引擎， 解扰引擎利用c w 即可将己加扰的传输流进行解扰。 6 3 数字电视条件接收系统原理 条件接收系统主要由加解扰器、加解密器、控制字( c w ) 发生器、用户授 权系统( s a s ) 、用户管理系统( s m s ) 、节目信息管理系统、接收机中的条件接收子 系统和智能卡等部分组成，如图1 所示。 图1 条件接收系统框图 基本原理可概括为对m p e g 流的加解扰以及如何对控制字的加解密，虽 然加解扰和加解密在技术上有相似之处，但在c a 的标准中是独立性很强的两 个部分，加解扰技术我国一般采用欧洲d v b 组织提出通用加扰算法；而加解 密技术，不同的厂家各有区别，其技术大体有两种：一种是以爱迪德系统为代表 的基于密钥的算法，另一种是以n d s 系统为代表的基于算法的加密。 3 1c a 系统的关键技术 在条件接受系统中，有两项最为关键的技术：一是传输加扰和解扰 ( s c r a m b l i n g ，d e s c r a m b l i n g ) 的方法。加解扰技术被用来在发送端c a 系统的控制 下改变或控制被传送的服务( 节e 1 ) 的某些特征，使未被授权的用户无法获取该 服务提供的利益；二是控制解扰，在发送端提供一个加密信息，使被授权的用户端 解扰器能以此来对数据解密。该信息受c a 系统控制，并以加密形式配置在传输流 7 邀一 单一件 信一 嚷一支 信息中以防止非授权用户直接利用该信息进行解扰。不同的c a 系统管理和传送该 信息的方法有很大不同。 加扰的通常做法是在发送端使用加扰序列对视频、音频或者数据码流进行扰 动，将数据打乱。加扰序列由伪随机序列发生器产生，在初始条件已知的情况下， 可以推测出伪随机序列发生器产生的加扰序列。伪随机序列发生器的初始条件受 控于控制字( c o n t r o lw o r d ) 。在接收端也有一个同样的伪随机序列发生器，如果 将控制字c w 发送给这个伪随机序列发生器，那么就可以获得解扰序列，然后再 用解扰序列恢复原始信号。所以说，节目有条件接收的核心是控制字c w 的传输。 为了实现保密，必须将控制字进行加密处理后传输。接收端在得到授权后，才能 应用解密程序重新生成这个控制字。 3 2控制字c w 的加密机制 因为c w 是随加扰信息一起通过公用网传输，任何人都可以读取研究它，一 旦c w 被读取破解，那么整个系统就瘫痪了，所以对c w 本身要用一个加密密钥 通过加密算法对它进行加密保护。在具体应用中，这个密钥可以按照网络经营商 要求经常加以改变，通常由服务商提供，用来控制其提供的服务，所以把它称为 业务密钥( s e r v i c ek e y ) 。s k 的使用一般与用户付费条件有关。 c w 虽己由s k 加密，但这个密如果仍可以让任何人读取，那就意味着特定服 务的定购者和非定购者将享有同等权利，网络运算商还是难以控制到特定的用户， 安全性仍然存在问题，必须对s k 进行再加密保护。这个加密过程完全按照各个用 户特征来进行，因为这个数列( 密钥) 是由个人特征确定的，常常称为个人分配 密钥( p d k ) 。p d k 一般由c a 系统设备自动产生并严格控制，在终端设备处该 序列数一般由网络运营商通过c a 系统提供的专用设备烧入解扰器的p r o m 中， 不能再读出。为了能提供不同级别、不同类型的服务，一套c a 系统往往为每个用 户分配好几个p d k ，来满足丰富的业务需求。 在已实际运营的多套c a 系统( 主要在欧美) 中，运营商对终端用户的加密授 权方式有很多种，如人工授权、磁卡授权、i c 卡授权、智能卡授权( 用i c 构成有 分析判断能力的卡) 、中一t b 集中寻址授权( 由控制中心直接寻址授权，不用插卡授 权) 、智能卡和中心授权共用的授权方式等。智能卡授权方式是目前机顶盒市场 r 的主流，也被我国广电总局确定为我国入网设备的标准配件。 在所设计的c a 条件接收系统中，也使用这种智能卡( s m a r tc a r d ) 的授权方 式。( 注：智能卡的结构包括协处理器、r o m 和e e p r o m 。) 3 3m p e g 2 数字电视系统中条件接收的实现 在采用m p e g 2 标准的数字电视系统中，与节目流有条件接收系统相关的两 个数据流是：授权控制信，自1 , ( e n t i t l ec o n t r o lm e s s a g e ) 和授权管理信息( e n t i t l e m a n a g em e s s a g e ) 。由s k 加密处理后的c w 在e c m 中传送，e c m 中还包括节 目来源、时间、内容分类和节目价格等信息。对c w 加密的s k 在e m m 中传送， s k 在传送前要经过用户个人分配密钥( p e r s o n a ld i s t r i b u t ek e y ) 的加密处理，e m m 中还包含地址、用户授权信息。 在传送流( t r a n s p o r ts t r e a m ) 中，节目特殊信息( p s i ) 被分为四类：节目关 联表( p a t ) ，节目映射表( p m t ) ，网络信息表( n i t ) 以及条件访问表( c a t ) 。 其中，p m t 和c a t 与条件接受密切相关。 为了更加地说明问题，首先介绍一下条件访问描述子( c ad e s c r i p t o r ) ，如表 l 所示。如果任一原始流被加密，含有此原始流的程序中必须有c a 描述子。如果 任何宽系统条件访问管理信息( 如e m m ) 和原始特殊流信息( 如e c m ) 存在于 传送流中，在相应的映射分段中必须有c a 描述子。 表1 条件访问描述子 ( 注：条件访问描述子中的d e s c r i p r o t _ t a g 值为9 。通过这个标志位可以将条件 9 访问描述子与其他的描述子区别开来，如视频流描述子、音频流描述子等。另外， 条件描述子中的c as y s t e mi d 用来表示适用于相关e c m 和e m m 流的c a 系统 类型。d v bp r o j e c t 成立了专门的组织负责向不同的解码器生产商分配 c as y s t e mi d 值。这样的话，同一套数字码流可以将不同c a 系统的密钥传送给 不同的机顶盒用户群。) 当c a 描述子出现在p m t 表中时，c ap i d 指向含有和e c m 信息相关的程序 分组。当c a 描述子出现在c a t 表中时，c ap i d 指向含有和e m m 信息相关的 程序分组。p m t 和c a t 表的语法结构如表2 、表3 所示。 由此可以清楚地知道，解码器的解密机制是：当智能卡插入机顶盒( s e t t o p b o x ) 时，解码器将从中读取c as y s t e m，并找到在表(号为)idc a t p i d0 x 0 1 内的c a 描述子中，对应该c as y s t e mi d 的c ap i d ( 即e m m 码流的p i d ) 号。 e m m 码流中包含了经过用户个人分配密钥p d k 加密处理的用户密钥s k 。个人分 配密钥p d k 固化在智能卡中，并以加密形式存储，用户需提供口令方能解密使用。 而后，智能卡将解密出业务密钥s k 。 完成以上步骤后，解码器再找到在p m t 表中的c a 描述子，并找出对应的e c m 码流的p i d 号。e c m 码流中包含了由业务密钥s k 加密处理后的控制字c w 信息。 用得到的业务密钥s k 对e c m 解密就可以得到控制字c w 。将控制字填入解码芯 片的相应寄存器中，就可以对码流数据进行解扰，恢复出原始信号。 语法 表2 传送流程序映射表( p m t ) 分段 t s _ p r o g r a m _ m a p se ctio n ( ) t a b l ei d s e c t i o ns y n t a xi n d i c a t o r 0 r e s e r v e d s e c tio n le n g t h p r o g z a m _ n u m b e r r e s e r v e d v e r s i o nn u m b e r c u r r e n tn e x ti n d i c a t o r s e c t i o nn u m b e r l a s ts e c t i o nn u m b e r 位数 8 1 1 2 1 2 1 6 2 a 1 8 8 1 0 缩写 蚶m m m蚶蚶；茎断；至蚶耐 e s s s s s 腿腿腿风风 r e s e r v e d p c rp i d r e s e r v e d p r o g r a m in f o le n g t h f o r ( i = o ：i n ：i + + ) d e s c r i p t o r0 ) f o r ( i = o ：i n 1 ：i + + ) s t r e a m _ t y p e r e s e r v e d e l e m e n t a r y p i d r e s e r v e d e s i n f o l e n g t h f o r ( i = o ：i n 2 ：i + + ) d e s c r i p t o r0 ) ) c r c3 2 3 2 表3 条件访问( c a t ) 分段 语法 c a - s e c t i o n ( ) t a b l ei d s e c tio n s y n t a x _ in dic a t o r 0 r e s e r v e d s e c ti o n l e n g t h r e s e r v e d v e r s l c u r r e s e c t i l a s t f o r ( d e s o n n u m b e r n tn e x ti n d o nn u m b e r s e c t i o nn u m i = o ：i n ：i + + c r i p t o r0 c r c3 2 1 c a t o r b e r 位 数 3 2 b s l b f u i m s b f b s l b f u i m s b f u i m s b f b s l b f u i m s b f b s l b f u i m s b f r p c h o f 缩写 u i m s b f b s l b f b s l b f b s l b f u i m s b f b s l b f u i m s b f b s l b f u i m s b f u i m s b f r p c h o f ( 注：p m t 表的t a b l e i d 值总为o x 0 2 ；c 7a t 表中的t a b l e 二i d 值总为o x 0 1 一勇“ 1 1 3 坞4 圪 8 3 坞4 屹 8 l 1 2 汜旧 5 1 8 8 外，在传送流t s 的头字段中，p m t 表的p i d 号由p a t 表中的相应分段给出；而 c a t 表的p i d 号总是为0 x 0 1 。) 3 4 e c m 以及e m m 为了更详细地说明问题，给出e c m 以及e m m 码流的语法结构，如表4 。其 中，t a b l e i d 的分配情况如表5 。 表4c a 信息( e c m ，e m m ) 分段 用保留) 表5t a b l e i d 分配情况 3 5加扰 m p e g 一2 数据码流的加扰可以分为两层：是p e s 层的加扰，一是t s 层的加 扰。由于设计的条件接收系统的前端是在t s 节目流复用器上实现的，所以选择 t s 层的加扰。t s 层的加扰只针对t s 数据码流的有效负载( p a y l o a d ) ，而t s 码 流中的p s i 信息，包括p a t 、p m t 、n i t 、c a t 以及私有分段( 包括e c m 、e m m ) 1 2 都不应该被加扰。当然，t s 流的头字段( 包括调整字段) 也不应该被加扰。经过加 扰后的t s 码流应该在头字段中定义加密控制值。 3 6加密算法的选用 ( 1 ) 控制字的加密：对于控制字的加密，需要一定强度、处理迅速的加密算 法，主要采用秘密密钥加密体制中的一些加密算法，如：d e s 算法或者i d e a 算 法。 ( 2 ) 业务密钥的加密：业务密钥的改变频率要远小于控制字，因此对其加密 的算法处理速度可以较慢，但由于一个业务密钥要使用较长时间，其安全性要求 更高，需选用一些高强度的加密算法。公开密钥体制的加密算法在此可得到较好 的应用，因为公开密钥体制加密算法虽然处理速率一般较秘密密钥体制慢，但大 都具有较高的加密强度，可以满足业务密钥对安全性的更高要求。另外，采用公 开密钥体制加密，经营者不必须传输用户的私有密钥，只需知道用户的公开密钥 就可对业务密钥进行加密，用户使用自己的私有密钥即可解密。这样可以在用户 端产生一对密钥，只要将公钥传给发送端经核实可用后即可，而解密的关键私有 密钥不需进行一次传输，可以提高系统的安全性。在公钥体制下还可实现数字签 名、数字证书等功能，对于系统的业务拓宽、业务范围，提供在线支付等功能也 非常有利。 目前主要的公钥加密算法主要有r s a 公钥加密算法，背包公钥密码系统，勒 宾( r a b i n ) 密码，麦克黎斯( m c e l i e c e ) 公钥密码，椭圆曲线公钥密码等，其中 r s a 公钥加密算法应用较广。 4 条件接收系统的安全性分析 4 1概述 数字有线电视条件接收系统一般由用户管理系统、节目管理系统、加密解密 系统、加扰解扰系统等构成，系统各部件之间通过相关接口进行通信和数据传输， 主要包括：节目信息管理接口、用户管理系统接口、复用器接口、智能卡接口等， 系统的结构框图如图2 所示。 e c m g c w l 控制字i 1 发生器l l 丽函胆 s k 用户管理 系统 复 用 器 传输通道 解 复 用 器 i 一f 撕 粤嚼 l 百 li3 l l 攀俪 ；下p 东 fi ) k | s l n 城a m 接收端条件接收系统 图2 条件接收系统结构框图 节目管理和用户管理系统：按其面向对象的不同主要实现两大功能，其一： 实现对有线节目频道及节目资源的合理利用和统一调度，使用户可以随时随地方 便地选择自己喜欢的节目；其二：实现对数字广播电视条件接收系统用户的管理， 包括用户信息、用户设备信息、用户授权信息、财务信息等的记录、管理和维护， 并为运营商提供友好的操作界面。 加扰解扰模块：通过c w 控制字对信号码流进行变换，反变换恢复原始码流。 加密解密模块：对c w 进行加密，一级加密输出授权控制信息e c m ，对一级 密钥的加密输出授权管理信息e m m ，解密时首先从码流中分离出e c m 和e m m ， 然后根据存储在智能卡中的本地密钥依次解出上层密钥直至c w 。 这两个模块在最初设计时曾考虑用硬件实现，现在一般倾向于软件实现或者 1 4 基 擎 坐 燃莆羔臌 软硬结合。其优点是很明显的：软件是一次性投资适合于大规模使用，并且易于 扩展，易于升级。 仅从流程图上来看，这是一个集收发于一体的完善的系统，它看上去似乎非 常严谨牢不可破，然而攻击并不需要对整个系统进行，只需要找到一个切入点。 c a s 系统看似非常安全，通过3 层加密，有的甚至更多层加密，但系统毕竟由 多个环节组成，黑客可以根据不同系统的特点，采用不同的攻击方法。 ( 1 ) 对c w 控制字进行攻击。c w 是整个系统的基础，是条件接收系统的核心， 如果c w 被破解，其他一切加密措施也就失去了意义。c w 一般比较长，且变化频率 比较快，破译c w 非常困难，即使破译了一个c w ，往往已过了有效期。但是，c w 的整个周期序列如果全部破解，对整个系统是灾难性的。另外，基于d v b 标准传 输的卫星加密节目市场上，一直存在着将解密信息c w ( c o n t r o lw o r d ) 控制字通 过互联网进行传播，非法盗看节目的现象。 ( 2 ) 对加密算法进行攻击。从加密算法入手是破解c a 的最直接方法。由于 解密部分是在智能卡内实现的，如果c a 厂家选的智能卡功能比较弱，又没有完整 卡上操作系统( c o s ) 支持的话，是很难实现高安全度的复杂算法的。随着计算技术 和密码学理论的发展，许多原以为非常难破的加密算法纷纷告破。到目前为止， 大部分密钥长度小于1 0 0b 的单一算法都有很大机会被破，就连曾被公认为破解难 度极大的1 2 8br s a 算法也被一群高中生用几十台p c 联网破解了。 ( 3 ) 对e c m ，e m m 进行攻击。在系统传输过程中截获e c m ，e m m 密钥及数据破 解，同时制造假冒消息和盗版卡，达到破译的目的。 ( 4 ) 对用户智能卡进行攻击。用户智能卡作为加密控制钥匙散发到电视观众 中去，黑客同样可以购买到合法用户卡，因此用户智能卡遭受攻击的机会很多。 黑客可以通过使用标准的智能卡开发测试工具，试探读取内部密钥数据、授权数 据及应用程序，制作盗版卡或仿真卡；黑客利用先进的技术测试卡内硬件的结构 和电信号，破译卡的结构和数据，制作盗版卡。 4 2对c w 控制字攻击的分析 4 2 1 伪随机序列的产生 在整个数字电视c a 系统中，最核心的部分是对节目传输t s 流进行加扰处理的 模块，对数据进行加扰处理的过程如下：首先由控制字发生器产生一个控制字c w ( c o n t r o l w o r d ) ，然后把控制字输入到伪随机序列发生器，产生伪随机序列k 之后再 将伪随机序列输入到加扰器和节目传输流进行加扰运算，即可实现对指定节目传输 流的加扰，加扰模块的结构如图3 所示。 k ( c w ) t s 输出 图3 加扰模块结构图 如图3 所示，在c a 系统加扰模块设计中主要涉及两个重要因素，其中之一为 伪随机序列发生器( p s e u d or a n d o mb i ts e q u e n c eg e n e r a t o r , 简称p r b s g ) 的设计，通过设计 合适的伪随机序列发生器，序列密码就可以提供与相应密钥长度分组密码相当的 安全性，一般采用l f s r 作为伪随机序列发生器。l f s r ( l i n e rf e e d b a c ks h i f tr e g i s t e r ) 即线 性反馈移位寄存器，是由移位寄存器和反馈函数构成，它的这种结构易于通过数字 硬件来实现，l f s r 是反馈移位寄存器中最普通的类型，它在加密算法中经常被作为 构造模块使用。采用l f s r 的伪随机序列发生器的结构如图4 所示。 r 图4 线性反馈移位寄存器结构 1 6 首先把控制字( c 哪作为线性反馈移位寄存器的一个输入，设 c 形= k = k l k 7 k 3 ，则此处c 矿即为该发生器的明文输入项，c 渺经过l f s r 输出的 伪随机序列设为k = k - k ：k 广，另设密钥为系数而，d 2 ，以，又设口- ，口：，口。的初态 为，乞，。一，其中吒= l ，则伪随机序列的产生过程如下： k = k + 纸小。 i = i 心= + 4 0 ：+ d , k 1 巧= + t 乙小p + 4 k 一。 i = p i = 1 ( 1 p ”) e + 。= k + 。+ z k 叫+ 。( 而1 ) 通过以上的序列产生过程即可生成随机序列a2 - z a r 。，它将在下一个环节 pyp p 中用来对数据电视传输t s 流实施加扰。 l f s r 产生的伪随机序列是用固定的算法通过硬件产生出来的，因此该伪随机序 列是有可能被破译出c w 的，为保证c w 的安全必须采取相应的措施，其做法是以 一定的频率更换c w ，以保证c w 在有效时间内不能被破译，更换c w 的频率是取 决于同步时间和数据量，如果更换c w 的时间间隔为f ，则当节目被切换到某个加扰 频道时，需要等待的最长时为f ，平均等待时间为t 2 ，然后才能开始解扰。实验证 明，在现阶段采用c w 按频率更换机制，使其不能被密码分析者在有效时间内正确 分析出c w ，就能确保c w 的安全。但是，c w 的整个周期序列如果全部破解，对整 个系统是灾难性的。因此，要求c w 有更强的随机性，周期更长。 4 2 2 安全性较高的c w 发生器 图5 所示的c w 产生器的输出具有很强的随机性，主要由可预置线性反馈寄 存器r ( l f s r ) 和数据选择器组成。4 个l f s r 的阶数是互质的，每个l f s r 的反馈多 项式是本原的，使产生的伪随机序列具有最大周期。由一个伪随机序列发生器作 为选择码生成器，产生8 位控制码以总线方式并行传输，每两位对应一个数据选 1 7 择器的选择端。每个选择器的输出对应4 个l f s r 反馈数据之一，同时作为与之 相连的l f s r 的时钟。这是g o l l m a n n 级连的改进型，通过数据选择消除了g o l l m a n n 级连易受锁定攻击的缺点。从4 个l f s r 输出中任取两个、三个、四个进行异或运 算，可根据需要选定其中的4 种或8 种异或输出，通过数据选择器选取这些异或 后的输出之一作为c w 产生器串行序列的输出，通过串转并输出作为c w 。经过 上述处理的c w 产生器消除了代数特性，输出为不可预知的随机二进制数，产生 的c w 周期长，相关性小，安全性高，避免了代数相关破译。 数据选择器1 l f s r l 所有 = 一 l f s r 输出 数 选 的任 据 择 l 数据选择器2意两 选 码叫哪r 2 卜 +个、三 生 r 丁 个、四 - 择 ，) 器 个成 5 器 r 数据选择器3 的 i f q 口1 l “”r异 彳一产一 或 八 7 数据选择器4选择码 一l f s r 4l+ 生成器2 ii i 。7 彳丁 图5 cw 发生器 选择码生成器是一个伪随机序列发生器，通过它产生的序列码去控制选择器 的选择输入端。因为用户管理信息需要计算机管理，所以可以在计算机中产生序 列码作为选择码生成器的初始值和l f s r 的初始值。计算机中的软件容易修改，初 始值可以随时改变，如果黑客破解了当时的c w 序列，由于初始值的改变，又生 成了新的c w 序列，避免了整个系统的毁灭性打击。 4 2 3c w 共享 基于d v b 标准传输的卫星加密节目市场上，一直存在着将解密信息c w ( c o n t r o lw b r d ) 控制字通过互联网进行传播，非法盗看节目的现象，这种方式通 常被称为c w 网络共享。随着网络的快速普及，这种共享越来越普遍，成本越来 越低。通常共享有几种方式：1 、通过广域网在加密电视信号所覆盖的区域里共 享。2 、通过在局域网里小范围共享，例如一个家庭，宾馆饭店。3 、利用z i g b e e 等低成