數字電視雙向加密體系結構解決方案＊

魏振鋼，邢 靜，林喜軍，劉秀燕

（中國海洋大學信息科學與工程學院 ，山東 青島266100）

隨著信息技術的迅速發展和網絡的普及，數字電視以個性化服務的優勢越來越受到廣大用戶的青睞。數字電視是1個將節目從采集、編輯、制作、播出、傳輸、接收全過程都采用數字方式處理信號的端到端的系統[1]，然而數字信號傳輸安全問題也就成為研究人員關注的熱點。數字電視的條件接收系統（CA）實現了增值服務、擴展服務等有償服務。條件接收就是通常所說的加密認證系統，是數字電視的核心技術，能夠實現前端數據安全的傳給用戶。

目前國際上主要的條件接收系統有Irdeto公司M－Crypt系統，France Telecom 公司的 Vi－access系統，NDS公司的NDS系統，Canal＋的 Mediaguard系統，以及永新同方條件接收系統（TFCAS）等[2]，這些條件接收系統均有相應的市場應用和各自的特色。在條件接收系統的密碼體系中加密的只是由服務器到客戶端的數據，即單向密碼體系。在條件接收系統單向密碼體系中前端無法獲取用戶端的信息，這就為密碼體系的安全性造成了極大的隱患，可能出現偽造用戶智能卡的情況，導致未經授權的用戶非法觀看電視節目。為解決這些問題，本文提出了使用基于橢圓曲線的多對一加密認證方案的方法實現回傳數據的安全，構成了數字電視雙向密碼體系。基于橢圓曲線的多對一加密認證方案具有身份認證的功能，因此將其用于數字電視條件接收系統構成雙向密碼體系能夠有效的防止非法用戶偽造智能卡，保證合法用戶的權益。

1 數字電視安全體系分析

隨著數字電視系統的發展，數字電視用戶可以按照自己的需求獲取各種網絡服務，包括電視購物、視頻點播、遠程教學、遠程醫療等新業務，使電視機成為名副其實的信息家電。數字電視的新功能使廣播業者投資成本增加，需要向用戶收取一定的費用。數字電視條件接收系統（CA）能夠使被授權的用戶獲取付費節目、進行數據業務交互。數字電視中條件接收系統的加密原理[2－5]（見圖1）。（注：圖中服務器端到客戶端加密解密過程是為數字電視條件接收系統原理，整個圖構成了數字電視的雙向密碼體系，其中（IDA，EKA，S）為提出的使用基于橢圓曲線的多對一加密認證算法確定用戶身份及加密過程使用的密鑰。）

圖1 條件接收系統加密原理Fig.1 Conditional access system encryption principle

從服務器端到客戶端傳送信息的過程如下：

（1）服務器端加密流程

①控制字（CW）激活加擾器中的偽隨機序列發生器產生偽隨機序列對節目加擾；

②用戶解擾節目，需要將CW正確無誤的傳送給用戶。使用業務密鑰（SK）對CW進行加密，加密后的內容作為授權控制信息（ECM）傳送到客戶；

③使用個人分配密鑰（PDK）對SK加密，加密后的內容作為授權管理信息（EMM）傳送到客戶端。

（2）用戶端的解密流程

①首先，用戶端智能卡從接收到的數據流中過濾出ECM和EMM；

②然后，智能卡使用PDK對EMM進行解密，解密得到SK；

③使用SK對ECM解密，取出CW；

④使用CW對節目進行解擾，經授權的合法用戶可以正常收看經過解擾后的節目。

目前的數字電視條件接收系統的單向密碼體系能夠使授權用戶享受到相應的交互業務如付費節目、視頻點播等。若用戶需要通過該系統向前端傳送信息，如何保證用戶傳送信息的安全，這就是該密碼體系存在的安全隱患。鑒于數字電視條件收系統的這種單向密碼體系存在的以上問題，下文中將詳細介紹使用基于橢圓曲線的多對一加密認證算法實現由客戶端向服務器端傳送數據的過程，即構成數字電視雙向加密系統。

2 多對一加密認證算法

多對一加密認證，顧名思義就是指1個接收者服務于多個發送者，相比于發送者，服務器數量是很少的，每一臺服務器可以接受來自上百萬發送者的信息，服務器只需要保存主密鑰就能解密根據用戶身份和密鑰生成中心（KGC）發布的加密密鑰加密的密文。該算法的優點[6]有：服務器的密鑰管理變得簡單，減輕了密鑰管理的負擔，且每一個合法的發送者都擁有1個獨立的密鑰來構造密文，非常容易實現撤銷發送者發送的信息，且不會影響服務器和其他發送者的計算復雜性。

基于多對一加密認證算法的上述優點，將多對一加密認證算法應用到分布式系統具有很大的實用價值。當涉及需要保密的私密信息，比如在線軟件的注冊和升級，數字電視付費用戶可以進行視頻點播或者視頻購物等，在授權的過程中需要進行身份認證。利用多對一加密認證算法實現授權，在保證安全的基礎上還會使過程簡化，節省資源。

通常，多對一加密認證算法由6個函數描述，圖2展示了用戶與服務器端安全通信的過程，其中參數的產生是使用了多對一加密算法中的函數實現。分布式系統中的每一個用戶都可以根據自己的身份信息使用相應函數計算出自己的加密密鑰EKA，S，使用Encryption函數將需要加密的信息進行加密。而服務器端根據自己的身份信息IDs和主密鑰MK即可解密用戶端發送的信息。多對一加密認證算法詳細介紹[7－11]：

圖2 多對一加密認證算法實現過程Fig.2 Many－to－one encryption and authentication algorithm iplementation process

（1）Setup：該算法把安全參數K作為輸入，并返回系統參數Params和MK。Params包括消息空間M和密文空間C的描述。此算法由密鑰生成中心（KGC）執行。Params是公開的并且授權可用，MK被KGC保留為主密鑰。

（2）Private－Key－Extract：該算法以Params和接收者的身份IDs作為輸入，返回1個私鑰SKs。SKs被用來解密和認證密文，這個算法由接收者執行。

（3）Information－Extract：該函數以系統參數 Params，私鑰SKs、接收者的身份IDs（可選）作為輸入，返回與該密鑰相關的信息Infos。該算法由接收者執行，并且將Infos在認證的通道傳送給KGC。

（4）Encryption－Key－Generation：以定系統參數 K、系統主密鑰 MK、發送者身份IDA和接收者身份IDS（可選）、與密鑰相關信息Infos作為輸入，KGC輸出合法發送者的加密密鑰EKA，S。

（5）Encrypt：以系統參數Params、發送者的加密密鑰EKA，S和明文作為輸入，執行函數后輸出密文C。

（6）Decrypt：給定系統參數 Params、私鑰SKs、發送者身份IDA、接收者身份IDs（可選）和密文作為輸入，接收者輸出相應明文或當密文不合法時解密錯誤信息。

3 多對一加密認證算法實現雙向密碼體系

數字電視機頂盒條件接收功能使合法用戶、付費用戶能夠收看或者點播節目。但是如何保證用戶端向服務器傳送數據的安全是存在的安全問題。下面以在數字電視上購物為例，詳細闡述如何使用多對一加密認證算法在條件接收系統實現用戶端傳送數據的安全。

（1）首先，密鑰生成中心KGC產生安全參數k，然后利用Setup函數產生系統參數Params和系統主密鑰MK的過程記錄為（Params，MK）＝Setup（k），并為合法發送和服務器分配身份信息，分別記為IDA和IDs。

（2）其次，KGC為服務器產生解密密鑰SKS，隨機選取，其中

（3）在智能卡發布之前，首先為智能卡分配1個身份信息，記為IDA，可以用智能卡的序列號作為身份使用，為智能卡分發加密密鑰。計算過程：P為群G的生成元，選擇

（4）將IDA和保存到智能卡中。

（5）用戶在電視購物過程中，在向服務器發送信息時，客戶端使用智能卡中保存的（IDS， EKA，S）對所要購買的產品ID（下文用M表示）進行加密并得到密文：選擇

（6）服務器接收到密文C后，使用解密算法對其解密，只有當密文格式正確且是合法用戶發送的信息，才能成功解密，M′即為解密后的信息。計算過程如下：

M′＝vH（a），。如果，服務器作為合法明文接收M′。

當用戶在數字電視電視上購物時，需要向前端提供自己購買的產品信息，并提交信用卡密碼等，對于一些隱秘數據用戶并不希望自己的數據以明文形式傳送，因為這樣很容易被非法用戶截獲或篡改，給合法用戶造成損失，而多對一加密和認證算法恰好可以解決此問題，該算法用于電視購物不僅保證了用戶向前

端發送信息的安全性，而且算法本身的特性并不會給服務器造成大的負擔。因此，將多對一加密認證算法用于數字電視購物上具有很大的實用性。

4 加解密具體實現過程

多對一加密認證方案是使用橢圓曲線上的雙線性映射作為工具，利用基于配對的密碼系統的快速原型PBC庫實現。PBC提供了雙線性映射循環群的抽象接口，使程序和數學細節分離出來[12]。

下面介紹PBC函數庫實現計算過程，并簡單舉一個例子說明如何實現，PBC庫中void element＿mul＿zn（element＿t c，element＿t a，element＿t z）函數表示c＝az即a＋a＋…＋a共z個a相加；

void element＿pairing（element＿t out，element＿t int1，element＿t int2）函數表示out＝e（int1，int2），即實現int1與int2的配對，并且out必須在循環群內；

void element＿from＿Hash（element＿t e， void＊data， int len）

表示哈希運算，從緩存data中取出len字節長度的值給e；

加密過程使用Encrypt函數，函數具體實現過程如下：

（注：由于該基于橢圓曲線的多對一加密認證算法中函數的實現過程源代碼較長，不附在此處。）

對基于橢圓曲線的多對一加密認證算法的運行時間進行統計（見圖3），從圖3可以看出：用時在0.855～0.875ms范圍內浮動，該算法用時少、效率高，用于數字電視的雙向加密體系不會給服務器增加太多額外的時間延時。

圖3 算法運行時間統計Fig.3 The algorithm running time statistics

4 結語

本文闡述了數字電視條件接收系統中單向密碼體系中存在的無法保證用戶端向服務器發送安全信息的弊端，在此基礎上改進成一種雙向密碼體系。在雙向密碼體系中，運用了多對一加密認證算法，多對一加密認證算法能夠有效抵制數字電視信號被非授權用戶竊取、偽造等安全問題。隨著云電視、智能電視用戶的增加，解決身份認證，保證網上信息傳輸安全和網上行為抗抵賴已刻不容緩！

[1]劉達，龔建榮.數字機頂盒關鍵技術及交互應用[J].網絡與應用，2003（2）：20－24.

[2]洪鈞，關宏超.條件接收系統密碼體系綜述[J].廣播與電視技術，2002（9）：127－130.

[3]周香菊.淺談MPEG－2技術及數字電視的條件接收系統[J].現代通信，2001（11）：22－24.

[4]段先德.數字電視條件接收系統原理研究與工程實踐[D].武漢：華中科技大學，2005.

[5]鄭志航.數字電視原理與應用[M].第一版.北京：中國廣播電視出版社，2000.

[6]Lin X J，Wu C K，Liu F.Many－to－one encryption and authentication scheme and its application[J].Journal of Communications and Networks，2008，10（1）：18－27.

[7]潘亞濤.周宏.有線電視機頂盒系統設計與實現[J].電子技術，2000（1）：60－62.

[8]Wu C K，Varadharajan V.Many－to－one algorithms and group signatures[C].[S.l.]：ACSC’99，1999：432－444.

[9]Lein Harn.Yang shoubao，Group－oriented undeniable signature schemes without the assistance of a mutually trusted party[C].Bad Honnef：Lectures Notes in Computer Science，1993：133－142.

[10]林喜軍，孫琳，武傳坤.基于雙線性映射的多對一加密認證方案[J].計算機研究與發展，2009，46（2）：235－238.

[11]陳輝焱，呂述望.劉振.基于身份的具有部分消息恢復功能的簽名方案[J].計算機學報，2006，29（9）：112－117.

[12]Ben Lynn.PBC Library Manual 0.5.11[EB/OL].http：//crytpto.stanford.edu/pbc/2006Revised by：B2.