论数字电视双向网络的安全

唐 智

（宁夏广播电视网络有限公司，宁夏 银川 750004）

1 引言

双向网改造是2009年数字电视领域最为热门的话题。双向网不仅在提供人性化服务和开展增值业务方面具有优势，更承载了运营商巨大的期望。但作为一种新兴的电视广播形式，双向网络的光环背后还有诸如安全、运营经验欠缺、改造投入大、新的增值业务接入困难等方面的问题亟待解决。而其中的安全问题又是整个双向网络改造的关键所在，这个问题解决的好坏将直接关系到双向网络改造的成败。

2 双向网络安全与单向网络安全的不同

从广播电视诞生以来就一直在谈安全，模拟时代谈论的是节目播出的安全，不要出现信号的中断、非法信号的接入；单向数字时代谈论的是授权的安全，不要出现盗版，不要出现黑户；到了双向网络时代，需要的不仅仅是安全的简单升级，而需要重新思考，从理念上对安全的理解进行彻底的改变。

首先，从最原始的概念上讲，没有绝对的安全，只有相对的安全。在单向网络下，运营商除了基本的包月节目，很少再开展其他的盈利业务，而1个月的收视费也才十几元，同时目前国内运营商层层分级，各自管理各自的用户，用户群分散，这都使得破解的利润大大降低，所以到目前为止，单向网络并没有遇到大规模的破解，但这并不能说明现在采用的技术就是绝对安全的，而只能说在单向网络业务少、收费低、用户群管理分散导致的破解利润很低的情况下，单向网络达到了一个相对的安全。在双向网络里，多种增值业务可能涉及大量资金流，而且还强调整合和跨省业务的对接，这都使得破解后的利润大幅提升，这样不仅会吸引众多不法分子和黑客，同时也让破解时采用昂贵、先进的技术和设备成为可能。因此，双向网络的安全问题与单向相比，并不是简单的升级，而变得十分复杂。

其次，单向网络本身是保守的、相对安全的，安全隐患出现在终端，不会对前端系统产生影响，而且单向网络里开展的业务很少，所以只需要关注终端，保证终端授权的安全即可。而在双向网络里，不仅要考虑终端的安全，还要考虑终端对前端的恶意攻击，保证前端的安全，考虑各种增值业务的安全，同时为了一些金融级业务的顺利开展，还要保证双向安全的标准性、开放性，以便获得第三方的认证。

最后，单向网络里的安全主要解决的是广电私密数据——授权的安全，目前国内外主流的条件接收系统（CAS）都是通过加强自己算法、密钥体系的私密性、不公开性来确保授权的安全，而在这样的理念下构建的单向CAS，仅仅通过模块的增加升级为双向CAS，是无法满足强调开放、标准并且更多是面对第三方业务而不是私密授权信息的双向网络安全要求的。

正是双向网络安全与单向的巨大、本质上的差别，使得必须要改变在单向广播机制下形成的安全惯性思维，采用全新的理念和结构来保证双向网络的安全，这也同时说明，在原有单向CAS的结构上，通过简单升级为双向CAS来保证双向网络安全的方式是行不通的。

3 如何保证双向网络的安全

既然传统单向CAS升级的方式行不通，那就需要1个全新的、真正符合广电理念和实际需要的系统，来保证双向网络的安全。这套系统必须具备以下5点特征，其中前2点是关于双向网络安全系统的整体结构的，而后3点则涉及具体的技术细节。

1）开放性、标准性，可以获得权威的第三方认证。

在这里推荐2种技术，即公钥基础设施（Public Key Infrastructure，PKI）技术和安全套接层（Secure Socket Layer，SSL）技术。这两种技术是目前互联网网上银行核心的安全技术，其安全性已随着网上银行的大规模成功应用得到验证。

简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施，其基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。完整的PKI系统必须具有权威认证中心（CA）、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分。

SSL协议则位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为2层：SSL记录协议，建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能支持；SSL握手协议，建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

以这2种技术体系为基础的安全系统，尤其是PKI体系中的CA中心，通过了权威第三方认证，很容易获得银行等金融机构的认可，便于相关增值业务的开展。

2）平台化的思想，保证全业务的安全。

这里也推荐1种技术，即安全策略协商技术，就是由安全系统根据业务系统和终端高层次安全需求，从保障信息安全的各个方面出发，事先制定好各种具体安全条款的集合。这些条款可以适用于各种不同的业务系统和终端。业务系统和终端根据自身的需要选择（或由运营商指定）其中的一部分或者全部来保证安全。同时还要制定严格的安全策略执行检测机制，一旦发现与既定的安全策略不符的操作和调用行为，要立即拒绝操作，并进行相关的报警。

3）保证信息的安全性。

双向网络里信息的安全性包括信息的私密性、完整性和不可否认性。

数据的私密性主要是防止非发送者非接收者的第三方获取私密数据，包括攻击者积极主动的窃取，或者非相关人员被动的无意获取。数据的私密性一般通过对数据进行加密来实现。目前一般认为对称密钥至少为80 bit的密钥强度是安全的，而非对称算法的密钥则至少要1024 bit才认为是比较安全的。

数据的完整性则是指数据接收者可以验证收到的数据在传输过程中没有被篡改，同时攻击者不能伪造数据。数据的完整性一般通过对数据做消息鉴别码（Message Authentication Code，MAC）并附在数据之后来实现。带有私密密钥的MAC除了保证数据完整性之外，同时也可用来鉴别数据来源的合法性 （确认消息是否来自指定发送者，且确认该消息是否为攻击者伪造的）。

数据的不可否认性是指消息的发送者，事后不可能虚假地否认他发送的消息。数据不可否认功能通常使用数字签名算法来实现。一般签名时，还要有时间标签以及其他一些处理。

4）保证终端用户信息输入的安全。

在开展在线支付等金融业务的时候，终端自然会涉及到用户私密信息比如密码的输入，如何保证终端输入的安全也是安全系统需要考虑的问题。这里推荐1种在互联网上已经普遍使用的虚拟键盘技术，即通过机顶盒在电视上显示一个虚拟的数字键盘，每次键盘上出现的数字顺序都是随机的，用户通过方向键来选择数字输入密码，这样即使不法分子窃取到遥控器红外数据，得到的也只是方向信息，而不是用户密码，从而保证了终端信息输入的安全。

5）保证业务接入的灵活性。

既然安全系统是一个面向全业务、平台化的产品，那它在保证业务安全的同时，也必须兼顾到业务接入时的灵活性，即安全系统需要对业务提供标准、开放的接口，各个业务提供商只要是根据标准接口协议开发的业务，就能非常方便地接入到安全系统中来。

4 小结

只有具备了上述特征的安全系统才是真正符合广电双向网络实际需要的安全系统，也只有在这样一套系统的保驾护航下，广电的双向网络和各种增值业务才能顺利发展，从而推动整个广电行业的再次飞跃。