唐凡 江蘇有線泰州分公司

1.引言

從數(shù)字電視推廣普及開始，數(shù)字電視CA系統(tǒng)被惡意破解的案例就層出不窮，嚴(yán)重影響了廣電運(yùn)營商的營業(yè)收入，給廣電運(yùn)營商的正常運(yùn)營帶來巨大困擾。多年來針對CA系統(tǒng)破解與防破解的斗爭從未間斷，斗爭的焦點主要圍繞EMM包的正常下傳與阻隔接收展開。本文在認(rèn)真分析常見EMM包阻隔接收案例的基礎(chǔ)上，立足廣電現(xiàn)有CA系統(tǒng)架構(gòu)，提出一種基于“組授權(quán)”策略的CA系統(tǒng)防破解新思路，這是一種積極主動的應(yīng)對思路，將徹底扭轉(zhuǎn)廣電運(yùn)營商疲于應(yīng)對的被動局面，有效維護(hù)廣電運(yùn)營商的合法利益。

首先對廣電現(xiàn)有CA系統(tǒng)架構(gòu)做一簡介。現(xiàn)有CA系統(tǒng)架構(gòu)采用的是三重密鑰系統(tǒng)，在三重密鑰系統(tǒng)中，發(fā)送端用業(yè)務(wù)密鑰SK對CW加密，形成ECM，每隔數(shù)秒復(fù)用到TS中一次。使用用戶分配密鑰PDK對SK及用戶賬戶信息加密，形成EMM，每隔數(shù)秒復(fù)用到TS中一次。接收端插入存有PDK的智能卡后，合法的智能卡用其PDK解密EMM，通過解密EMM得到SK，再用SK解密ECM得到CW。CW初始化PRBS發(fā)生器，產(chǎn)生與發(fā)送端相同的PRBS后與相應(yīng)數(shù)據(jù)流異或運(yùn)算，完成相應(yīng)數(shù)據(jù)流解擾，獲取相應(yīng)服務(wù)。廣電現(xiàn)有CA系統(tǒng)架構(gòu)原理圖見圖1。

2. 阻隔EMM包破解法原理

阻隔EMM包破解法是在深入了解廣電運(yùn)營機(jī)制的基礎(chǔ)上，針對廣電運(yùn)營商的營銷漏洞，利用“Break”仿真卡實現(xiàn)對CA系統(tǒng)的破解。阻隔EMM包反授權(quán)破解法原理見圖2。

圖1 廣電現(xiàn)有CA系統(tǒng)架構(gòu)原理圖

圖2 阻隔EMM包反授權(quán)破解法原理

通常來說，某位用戶訂購一年期限的節(jié)目，當(dāng)用戶授權(quán)到期時，智能卡自動“丟棄”存儲的SK密鑰，授權(quán)失效，節(jié)目解擾失敗。實際情況是廣電運(yùn)營商考慮到廣播電視的政治屬性以及為避免用戶授權(quán)集中到期造成的系統(tǒng)壓力，通常采用節(jié)目“長授權(quán)”的方法。比如某位用戶只訂購了一年期限的節(jié)目，但系統(tǒng)給這位用戶設(shè)置了五年的授權(quán)期限，當(dāng)用戶一年授權(quán)到期時，CA系統(tǒng)給這位用戶發(fā)送EMM包反授權(quán)，用一個偽SK密鑰取代真SK密鑰，智能卡授權(quán)失效，節(jié)目解擾失敗。

阻隔EMM包反授權(quán)破解法就是利用了廣電運(yùn)營商節(jié)目“長授權(quán)”營銷漏洞，通過阻隔EMM包反授權(quán)，實現(xiàn)對加擾節(jié)目的非法收看。比如：某位用戶只訂購了一個月期限的節(jié)目，系統(tǒng)給這位用戶五年授權(quán)期。在一個月授權(quán)期限到來時，這位用戶使用“Break”仿真卡阻隔EMM包反授權(quán)，系統(tǒng)反授權(quán)失敗，這位用戶就可以非法收看節(jié)目4年零11個月。

3．阻隔EMM包破解法已有應(yīng)對措施分析

（1）采用ECM包反授權(quán)防破解

ECM包反授權(quán)防破解法是利用ECM包的剩余空間容量，把EMM包反授權(quán)的核心偽SK密鑰放在ECM包中發(fā)給非法用戶， CW字每隔2到10秒變換一次，非法用戶不可能阻隔ECM包。ECM包有限的空余容量決定了反授權(quán)下發(fā)速率比較緩慢，循環(huán)覆蓋用戶的周期比較長，CA系統(tǒng)的負(fù)荷也比較重，這是一種被動的防范破解方法。廣電運(yùn)營商通常每隔一段時間對長期不續(xù)費用戶發(fā)送ECM包反授權(quán)，反授權(quán)下發(fā)后的確有部分長期不續(xù)費用戶重新續(xù)費。

（2）采用下載式CA架構(gòu)防破解

有些人認(rèn)為下載式CA能夠有效改變EMM包被阻隔破解的現(xiàn)狀，這其實是對下載式CA的一種誤解。下載式CA本質(zhì)是實現(xiàn)無卡CA，目標(biāo)在于適應(yīng)終端智能化的需求，防范CA系統(tǒng)被破解不是下載式CA的推廣初衷。下載式CA需要通過雙向信道對終端進(jìn)行認(rèn)證授權(quán)，只有認(rèn)證合法的終端，才能下載CA軟件客戶端，才能獲得根密鑰。但是雙向信道的使用也給了不法分子直接面對、攻擊、癱瘓下載式CA系統(tǒng)的機(jī)會。一旦下載式CA系統(tǒng)被攻破，所有的用戶資料都可能被泄露，所有的終端機(jī)頂盒都將處于不法分子的攻擊之下。雙向信道的使用使得下載式CA系統(tǒng)比現(xiàn)行CA系統(tǒng)更容易遭受攻擊，一旦被破解，造成的危害比現(xiàn)行CA系統(tǒng)被破解的危害更大。

（3）采用加密CAT表+SK隨機(jī)化新策略防破解

“加密CAT表+SK隨機(jī)化”是一種新穎的防破解策略，是一種主動的防破解策略。將CAT表加密使得破解者獲取不到EMM包的PID；將業(yè)務(wù)密鑰SK隨機(jī)化可以使得對EMM包的阻隔變得沒有意義。創(chuàng)新就意味著挑戰(zhàn)，“CAT表加密”挑戰(zhàn)了MPEG-2標(biāo)準(zhǔn)第一部分（ISO/IEC13818-1）中關(guān)于PSI信息表不能加密的規(guī)范；“SK隨機(jī)化”對整個CA系統(tǒng)的硬件指標(biāo)和前端系統(tǒng)的傳輸帶寬都提出了新的要求。要實現(xiàn)“加密CAT表+SK隨機(jī)化”需要聯(lián)合復(fù)用器廠商，CA廠商和機(jī)頂盒廠商共同解決，何時能夠?qū)崿F(xiàn)還是一個未知數(shù)。

4. 基于“組授權(quán)”策略的CA系統(tǒng)防破解新思路

在認(rèn)真分析已有的EMM包防范阻隔案例的基礎(chǔ)上，筆者認(rèn)為要解決CA系統(tǒng)被破解的問題，必須立足廣電現(xiàn)有CA系統(tǒng)架構(gòu)，創(chuàng)新思路，主動出擊，徹底扭轉(zhuǎn)廣電運(yùn)營商疲于應(yīng)對的被動局面，有效維護(hù)廣電運(yùn)營商的合法利益。

破解與防破解斗爭主要圍繞EMM包的正常下傳與阻隔接收展開，非法用戶不想接收，我們的思路就要從迫使他強(qiáng)制接收出發(fā)，上一章節(jié)中的SK隨機(jī)化是一種迫使非法用戶強(qiáng)制接收的辦法，但是SK隨機(jī)化間隔太短，對硬件及帶寬都是考驗，將長授權(quán)分成一個個短授權(quán)，短授權(quán)之間設(shè)置授權(quán)更新緩沖期，再輔以新的帶寬壓縮方式，這個策略就是“組授權(quán)”策略。具體闡述如下：

圖3 “組授權(quán)”防破解策略

（1）“組授權(quán)”防破解策略原理

將一個長授權(quán)期分成若干個周期等長的短授權(quán)期，短授權(quán)期之間是時間等長的授權(quán)更新緩沖期，在每一個授權(quán)更新緩沖期內(nèi)全網(wǎng)用戶都要進(jìn)行業(yè)務(wù)密鑰SK的變更，將業(yè)務(wù)密鑰SK隨機(jī)化可以使得對EMM包的阻隔變得沒有意義，這就好比沒有破解者會去阻隔ECM包一樣。通常，用戶被授權(quán)一次，對應(yīng)產(chǎn)品包的SK更換一次，如果我們將SK像CW字一樣進(jìn)行隨機(jī)化，當(dāng)然變換周期可以長一點（比如一天甚至一個星期），那么即使EMM包被破解了，破解者非法收看節(jié)目的時間也是短暫的，可控的。

（2）短授權(quán)與授權(quán)更新緩沖期長度的設(shè)定

授權(quán)更新周期一般設(shè)置為7到15天不等，合法用戶只要在這段時間內(nèi)打開機(jī)頂盒，就會收到變更后的SK密鑰。更新周期不宜設(shè)置過短或者過長，過短可能有部分用戶為打開機(jī)頂盒，造成無法正常收看，引起用戶投訴；過長因為所有用戶在授權(quán)變更期都處在即時隊列，隊列循環(huán)周期較長，新入網(wǎng)用戶或者業(yè)務(wù)變更用戶新授權(quán)等待期較長，也會影響用戶體驗度。短授權(quán)期一般設(shè)置三個月到一年不等，完全取決于市場破解卡的數(shù)量，如果熱衷破解的非法用戶太多，短授權(quán)期就短一些，非法用戶少，短授權(quán)期就長一些。

（3）為什么要對EMM包帶寬進(jìn)行壓縮

EMM播發(fā)策略通常分為三級，即時隊列、優(yōu)先隊列、惰性隊列。其中即時隊列容器長度為三天，任何授權(quán)變更用戶都進(jìn)入即時隊列，三天后進(jìn)入15天周期的優(yōu)先隊列。由于新增用戶或者授權(quán)變更用戶增長的漸進(jìn)性，EMM帶寬總體比較平穩(wěn)，采用主授權(quán)策略后，在授權(quán)變更期都進(jìn)入即時隊列，EMM數(shù)量瞬間激增，在有限的帶寬下，循環(huán)周期變長，效率低下，對新用戶的業(yè)務(wù)辦理帶來影響，因此有必要對EMM包進(jìn)行優(yōu)化壓縮，對EMM包進(jìn)行優(yōu)化不是什么難題，目前應(yīng)用很廣，在此不再詳述。

（4）“組授權(quán)”的風(fēng)險

“組授權(quán)”策略的風(fēng)險在于用戶終端能否在授權(quán)更新緩沖期收到更新的SK，這取決于在授權(quán)更新期用戶機(jī)頂盒是否開機(jī)或者機(jī)頂盒是否支持優(yōu)化后的EMM包，根據(jù)我們的測試結(jié)果，市場上絕大部分終端機(jī)頂盒都是支持優(yōu)化后的EMM包的，那關(guān)鍵就是用戶是否開機(jī)，倘若確實有大部分用戶在更新周期內(nèi)未卡機(jī)，在更新結(jié)束后同時開機(jī)，引發(fā)大量用戶投訴，那我們也有應(yīng)對策略，

5. 結(jié)束語

世界上沒有絕對安全的系統(tǒng)，任何系統(tǒng)都有被破解的可能，現(xiàn)行CA系統(tǒng)，下載式CA系統(tǒng)也不例外。要提升CA系統(tǒng)的安全性，應(yīng)該立足現(xiàn)狀，認(rèn)真分析市場上出現(xiàn)的各種破解方法，尋求合適的解決方案。CA廠商作為CA系統(tǒng)的研發(fā)單位，應(yīng)該多拿出一些可行的解決方案，協(xié)助運(yùn)營商，維護(hù)良好的市場秩序。