摘要:数字电视条件接收系统中的密钥管理与分配直接影响到加密系统的安全性和性能。该课题在研究中将国内外对CA加密原理的理论研究与具体的数字电视运营模式和实际运行的CA系统相结合。针对基于密钥的CA系统,简述其分层密钥循环技术、ECM和EMM数据包结构以及密钥分配与授权带宽计算等关键技术,同时对国内外CA厂家和学术界关于密钥管理中用户组寻址方法进行了分析,然而这些方法和结论都缺乏应用到实际数字电视运营平台上去检验的实践。最后指出了本课题下一步的两个研究方向。
1、引言
条件接收系统(CAS)能实现各项数字电视广播业务的授权管理和接收控制[1]。该系统是一个综合性的系统,系统集成了多种技术,包括系统管理技术、网络技术、加解扰技术、加解密技术、数字电视编解码技术、数字复用技术、机顶盒技术、智能卡技术等,同时也涉及到用户管理、节目管理、收费管理等信息管理应用技术。其中加解扰和加解密是数字电视条件接收系统的重要组成部分,这两种技术有着密切的联系,但在CA系统标准中是独立性很强的两个部分。加解扰技术被用来在发送端CA系统的控制下改变或控制被传送的服务(节目)的某些特征,使未被授权的用户无法获取该服务提供的利益,欧洲DVB组织提出了一种称之为通用加扰算法(Common Scrambling Al-gorithm)的加扰方式[2]。而加密技术被用来在发送端提供一个加密信息,使被授权的用户端解扰器能以此来对数据解密,该信息受CA系统控制,并以加密形式配置在传输流信息中以防止非授权用户直接利用该信息进行解扰。
对于加密算法,有两类可选择[3],一类是基于密钥的算法,加密的安全性完全取决于密钥的安全性,以荷兰爱迪德公司的系统为代表;另一类是基于算法的加密,安全性是由算法本身的安全性所决定,以NDS系统为代表。两类算法各有特点,第一类算法又分为单密钥算法和双密钥算法(公钥算法),由于算法安全性由密钥的安全性决定,其加密算法可以公开并容易标准化,例如常见的DES算法、IDEA算法、AES算法、RSA算法等,但是安全密钥的产生、传送却变得尤为重要;对于第二类算法,需要保证算法本身不得泄露,否则安全性将受到威胁,但是可以采用更为复杂的数学计算保证其安全性。
本文仅对基于密钥的条件接收系统中的密钥分配技术进行初步分析。
2、条件接收系统关键技术简述
2.1分层密钥循环技术
加解密是条件接收系统的关键,而对密钥的管理又是系统加密部分的关键。在条件接收系统中采用的是分层加密技术,在密码学中,它已经成为一项公认的成熟的技术,其安全性是不容置疑的。在一般的条件接收系统中,采用了多层加密的机制,由于对密钥的管理机制和业务实现方式的不同,各厂家使用的密钥的层数也各不相同,一般密钥分3一5层,而以使用4层密钥的系统为多。
图1为4层循环密钥技术原理图。 (图片)
图1 4层密钥技术原理图 在信号的发送端,首先根据节目播放的授权要求,由控制字发生器通过安全算法产生控制字CW(Control Word)。控制字的字长一般为60比特,为了保证安全,控制字每隔5 -30 s改变1次。加扰器根据控制字对来自复用器的MPEG - 2传输流进行加扰。从节目管理系统得到产品密钥PK(Product Key),对控制字和控制参数进行加密运算。加密器的输出被称为授权控制信息ECM(Entitlement Control Message),ECM是产品密钥对控制字和控制参数加密后得到的条件接收信息。产品密钥又由用户所属的组密钥GK(Group Key)加密,与组地址等信息一起组合成授权管理信息EMM(Entitle-ment Management Message);另外CA加密模块从用户管理系统获取用户的地址信息、授权信息等,与使用主密钥MPK加密过的组密钥一起也组合成授权管理信息EMM。ECM和EMM信息被送至MPEG一2复用器中,与送入复用器的图像、声音和数据信号比特流一起打包成MPEG一2传输流。分配密钥一般通过非常安全的渠道传递给用户,其中智能卡是一种方便的方法,将分配密钥固化在智能卡中,并以加密形式存储,用户需提供口令才能解密使用[4]。
在接收端,机顶盒首先从解调后的传输流中取得ECM和EMM信息,接着在智能卡中用主密钥MPK对含有GK加密信息的EMM解密得到组密钥GK,再用组密钥GK对含有PK加密信息的EMM解密得到产品密钥PK,然后用产品密钥对含有CW加密信息的ECM解密,得到控制字和控制参数,并将控制字CW送至解扰器进行解扰。
2.2 ECM和EMM的基本结构[5]
ECM加密模块对传输流的CW进行加密,加密算法采用3DES算法。加密采用的密钥则取决于该传输流所在的消费产品密钥,每个消费产品都有相应的产品密钥,数小时改变1次。如果该传输流属于多个消费产品,则用多个产品密钥分别加密,生成多个密文。ECM内部结构包括产品序号、奇偶标识、公钥、私钥等信息。ECM的基本结构为: (图片) (注:AC为接收规则,CW1 ,CW2 分别为加密过的奇控制字和偶控制字)
EMM消息有两种,第一种EMM采用组密钥对产品密钥加密,并对加密后的密文和产品序号及当前时间使用分配密钥进行签名。该EMM内部消息结构包括消费产品号、时间、组密钥奇偶标识、产品奇密文、产品偶密文。组密钥奇偶标识为1,表明对产品奇密文、产品偶密文采用奇组密钥加密,组密钥奇偶标识为0,表明对产品奇密文、产品偶密文采用偶组密钥加密。
该EMM消息结构为:(图片) 第二种EMM消息则采用用户分配密钥对组密钥进行加密,消息结构包括组偶密文、组奇密文。消息结构为:(图片) 2.3密钥分配与授权带宽
不同的CA系统管理密钥和传送ECM及EMM信息的方法有很大不同,由于牵涉到系统的安全性,各个国家、各个公司都希望保守自己的秘密,厂家一般不会公开。在目前各种标准组织提出的有条件接收标准中加扰部分往往力求统一,而在加密部分则作为一个“黑匣子”由各条件接收系统开发商自行提供解决方案。
通常情况下,在ECM数据包中会传输两个加密后的CW:当前时刻的加扰控制字和下一周期的加扰控制字,见表1。控制字一般5一30 s更换1次,因此ECM数据包必须在这个时期内分发数次,以确保用户在控制字更换之前收到新的ECM数据包。ECM数据包只与该传输流中的产品数有关,而与用户数无关,所有用户使用相同的ECM数据包。用户接收机收到ECM数据包后会传送给用户智能卡用于解密CW。
在EMM数据包中传送加密的产品密钥或加密的组密钥,EMM数据包的信息对于每个用户不同。每个用户接收机首先根据自己的User-ID或Group-ID过滤出属于自己的EMM数据包,然后将数据包传送给用户智能卡,用户智能卡解密出组密钥,再由组密钥解密出产品密钥,根据ECM信息在智能卡内部解密出CW,并送出智能卡外给机顶盒解扰。一般产品密钥数小时更换1次,含有产品密钥加密信息的EMM数据包几分钟分发1次;组密钥数天更换1次,含有组密钥加密信息的EMM数据包数小时分发1次。
一个CA系统分发ECM数据包和EMM数据包所需的带宽计算方法如下[6]:
假设网络中有N=200万个订购用户,系统采用按G= 256个用户为一组的固定组寻址方法;一个传输流中最大的产品数P=15个,ECM数据包1 s分发1次(重复率R),一个典型的ECM数据包长度L=188字节;产品密钥15 s分发1次(对所有用户的寻址率R1),含有产品密钥加密信息的EMM数据包长度L1=37字节;组密钥90 min分发1次(对所有用户的寻址率R2),含有组密钥加密信息的EMM数据包长度L:=38字节。则:(图片) 由式(1)可知,分发ECM数据包所需的带宽较少。式(2)为系统运行周期所需的最少带宽,如果加上用户预授权、用户权利增加和转移、用户的增加或减少等因素引起的正常刷新授权,平均的EMM负荷将达到400 kbps左右(计算方法同上:BE=Ex(NIG)xLx8/R,E为系统中使用着的权利的数量),再考虑因用户投诉或申请需主动授权等因素,高峰时EMMK负荷可高达600 kbps。
3、对用户组寻址的研究
从前面对CA系统分发ECM和EMM所需带宽的计算,可以看出分发这些ECM和EMM信息将耗费一定的带宽和时间,特别是当一个系统需管理上千万用户和几百套节目时,分发这些授权信息将对系统造成一个沉重的负担。如何才能使密钥安全不被破译,又使用户接收更新密钥更及时,同时还要节省带宽?从国内外的CA厂商的技术资料和众多相关文献资料中分析,各条件接收系统中对组用户的寻址方式是关键,组密钥的管理直接关系到一个条件接收系统的性能。
在文献[6 ]中系统是按256张智能卡的序号简单地固定对用户分组,但也提出了通过双键分层(DoubleKey Hierarchy)和快速刷新(Rapid Refresh)两种新专利技术,可以大大节省授权带宽,增加权利刷新率。对于拥有2048张或4096张智能卡的超级组,双键分层技术能够提供双重的密匙保护,如在6 min之内对拥有1 000万用户的数据库的密钥进行更新通常需要29kbps的带宽,而在双密钥条件下,进行同样的更新仅需3. 5 kbps的带宽。快速刷新技术是应用统计学的原理对用户的资料进行了分析,经过测算,每一位用户所处的授权状态不会发生经常的变动,对于拥有200万用户的授权带宽来说,如保证人均拥有5项权限,且
在5 min之内进行更新,利用快速更新技术,所需带宽仅需原来的1/5就可解决问题。然而,采用固定分组机制使得条件接收系统不够灵活,当授权信息频繁改变时,需要发送新的授权信息数据量比较大,同时效率的提高是靠牺牲安全性作为代价的。
与固定分组方式不同,在采用动态分组的条件接收系统中的组更为灵活,一个组可以是多个用户智能卡的集合,也可以是多个节目的集合;一个用户智能卡可以属于多个组。用户与组的隶属关系可以通过发送EMM数据包来动态改变。动态分组支持用户卡授权组、组授权组、组授权节目、用户卡授权节目等方式。在文献「7」中推荐一种根据用户定购产品数量的多少按树状分层级对用户分组的方法,如图2所示,处于底层树叶组的密钥依赖于上一层组的密钥,同时上一层组中成员有访问下一层数据的权利,但反之不然。这种分组方法极大地减少了加密计算和传送刷新授权信息的数量,提高了系统的效率和安全性;同时处理用户的订购和退订也非常灵活,便于动态管理用户。(图片)
图2 条件接收系统中分层访问控制结构图 文献[8]中也提出了一种根据用户的定购产品和计费起止周期按矩阵形式对用户分组,如图3所示,假设一个计费期CTP(通常指1个月)内有M个计费单元CTU(通常指1天),系统中存在M个计费组(该组中的用户具有相同的计费时段)和N个接收组(该组中的用户定购了相同产品)。系统中的所有用户U被分成MxN个单元,每个单元中的用户数为U}r,1 -I I---M,1叼蕊N,图中矩阵的每一行中的单元组属于同一计费组,每一列中的单元组属于同一接收组,如某用户因外出暂停收视2周,只需简单地将该用户从Uj单元组移到Ut. to。单元组,使管理用户方便。这种分组方法使系统处理用户的订购和退订等授权工作分布在1个月的31天中平均处理,减少了系统的集中负荷,但系统总的计算量和传送授权信息的数量没有减少。此外,当处理用户退订时系统需要更新组密钥,并将更新过的组密钥分别发送给同一个接收组中留下来的每一个成员,这对留下来的用户会有影响,使动态管理用户不够灵活和效率不高。(图片)
图3 用户分组矩阵 条件接收系统中类似上述对用户组寻址的研究还有很多,如根据用户删除概率对用户分组的方法「9〕,等等。然而,这些方法和结论都缺乏应用到实际数字电视运营平台上去检验的实践。
4、下一步的研究方向
一个条件接收系统的密钥管理(密钥产生、分配、存储、销毁等)是系统的核心问题。密钥的安全性、密钥分发效率和密钥存储量是影响系统安全的关键因素[10]。基于以上调研和初步分析工作,本课题下一步研究的方向有两个方面:
(1)建立分析模型,获得产品密钥PK和组密钥GK更新和分发周期的最佳值,指导目前的系统运行工作。根据实际运营环境,假定网络授权带宽一定的条件下,将订购的用户数、加密的产品数、信道误码引起的重传率、用户收看节目的时段与时长等作为参量,通过建立数学模型分析出产品密钥PK和组密钥GK的更新与分发时间间隔的最佳值,使加密系统既满足安全性要求又使密钥分发高效。模拟结果可运用到实际系统中去检验,从而指导具体的运营工作。
(2 )为数字电视将要推出的新运营模式,分析和寻找更好的组寻址方式。从前述可知,目前众多对组寻址方法的研究主要是基于PPC(Pay-Per-Channel)订购方式,然而,随着数字电视运营商将提供越来越多的个性化服务,如开展准视频点播和按次付费等PPV(Pay-Per-View)业务,要求条件接收系统的密钥管理更加灵活和高效;另外,随着中央付费数字频道的开播,中央付费节目平台和省级数字电视运营商将对节目源进行两级加密,因此,本课题将从开展PPV业务和节目源“双加密”的角度,对现有的条件接收系统中组寻址方法进行分析、比较和改进,或提出一种新的寻址方式,使系统能加速密钥更新,节约带宽,降低智能卡中密钥存储量,保障系统安全。
参考文献:
[1]GY/T XXXXX一XXXX.中华人民共和国广播电影电视行业标准.数字电视广播条件接收系统规范(讨论稿)「S].
[2 ] David J Cutts.DVB conditional access[J].IEEEElectronics&Communication Engineering Journal,1997,(2):21一27.
[3 ]何锦.条件接收系统及同密处理技术[Z]. JL京算通科技发展有限公司.
[4]姜秀华,龙学锋.数字电视广播中的条件接收系统「J」.北京广播学院学报(自然科学版),2002, 9(1):19一27.
[5]童廷洋,李斌,杨会平,等.数字条件接收的多层密钥系统〔J」.计算机工程与应用,2004,(8):154一156.
[6」荷兰Irdeto公司.PI系统—技术部分「2].2002.
[7]Tianpu Jiang,Shibao Zheng,Baofeng Liu.Key Distribution Based on Hierarchical Access Control for Conditional Access System in DTV Broadcast [J].IEEE Trans on Consumer Electronics,2004,50(1):225一230.
[8〕TuFK,Laih C S,Tung H H. On Key Distribu- tion Management for Conditional Access System on Pay-TV System〔J〕.IEEE Trans on Consumer E- lectronics,1999,45(1):151一157.
[9]屈劲,葛建华,蒋铭,等,付费电视系统的密钥管理[J].通信学报,2003,24(5):114一120.
[10」杨波.现代密码学〔M」.北京:清华大学出版社,2003.
4/17/2005
|