关于有线数字电视的无卡CA系统探索

就终端而言，目前国内有线电视数字化采用的CA主要分为两大模式：第一种，解密/解授权任务由机顶盒智能卡及主机芯片共同完成（即智能卡方式）；第二种，解密/解授权任务由智能卡单独完成（机卡分离方式），理论上智能卡可直接做在机顶盒中，因此这种CA被形象地称为无卡CA。

基本原理

无卡CA其实并不神秘，其在卫星数字电视领域已应用多年，但在有线数字电视市场还是一个新鲜的话题。以国内已开发的产品为例，目前无卡CA系统具有如下特点：

1.支持加密算法的动态下载。即将算法的一部分存储在终端，一部分安排在前端供临时下载使用。

2.CA的壳与内核分离。CA公司提供统一的壳，内核则可根据运营商的需求进行个性化设计。

3.解密、解扰全部在机顶盒芯片内完成。

4.支持与有卡CA的同密。

无卡CA的工作流程为：首先，前端系统发送经配对私钥加密的EMM（授权管理信息），终端利用机顶盒芯片内置序号与私钥配对，将加密的重要资料存储在Flash中。其次，前端系统ECM（授权控制系统）内存的CW（控制字）经CK（公钥）加密，终端直接将CW转入解扰器。

无卡CA与有卡CA的优劣势分析

衡量CA好坏的标准主要包括安全性、稳定性、扩展性、经济性及技术成熟度等方面。

安全性。主要指CA加密系统被攻破的难易程度，理论上，在一个接近无限长的时间内，没有一家的CA系统能够不被攻破，因此CA的安全性其实是相对的。

先看有卡CA，有卡CA的终端在工作时，由于智能卡要与机顶盒进行通讯，在通讯过程就会存在算法被截取的风险。虽然理论上可以不断更新加密算法，但智能卡接收后就等于将算法完全向黑客公开。另外，智能卡的物理结构决定了其存储器的容量不可能做得很大（一般只有几十K字节），黑客在其中寻找目标码，并不是太难。而破解了解密算法的黑客通过复制智能卡或通过网络共享智能卡CA信息的方式就可侵吞运营商的利益。

而无卡CA终端的解密在机顶盒芯片中进行，不但大大提升了截取加密信息的难度，且黑客要获得待破解的目标码，须在几兆乃至十几兆字节容量的Flash中寻找，从理论上来说要慢得多，因此，无卡CA的安全性要大大高于有卡CA。

稳定性。由于智能卡是通过插槽与机顶盒内电路连接，因此，有卡CA很难避免出现接触不良的问题。如不少用户将智能卡插入插槽后，机顶盒因不能读取EMM信息无法对节目进行解扰时，将智能卡芯片擦拭几下就能解决一般都是因为接触问题，相比较而言，无卡CA由于省掉了智能卡，稳定性也会相应提高。

经济性。无卡CA由于省掉了智能卡，理论上也可以节省与智能卡对应的插槽及接口电路，但出于与有卡CA同密的考虑，笔者建议应保留这些插槽及接口。即使是这样，无卡CA机顶盒的成本与有卡CA机顶盒相比，每台也将下降50元左右，鉴于这一原因，对于经济欠发达地区的有线整体平移工作来说，无卡CA的经济优势不容小觑。

技术成熟度。从技术成熟度来考虑，有卡CA应用于数字电视领域时间较长，且有较完善的DVB标准系列支持；无卡CA在数字电视领域应用时间较短，尤其在有线数字电视领域，近几年才开始起步，而且终端尚无相关标准。

应用情况。从应用情况来考察，全国已数字整转地区95%以上采用有卡CA；采用无卡CA的仅有青岛莱西、广西有线网络及部分卫星和地面数字电视运营商。

无卡CA与软硬分离

由于无卡CA不再使用智能卡，因此其原理是一种在机顶盒硬件平台上单独使用的应用软件，即CA终端软件与机顶盒的硬件平台已经能够做到软硬分离，而软硬分离其实也可以看做是机卡分离的终极形式（将大小卡的功能均做进机顶盒芯片）。

机卡分离实现了机顶盒EPG、数据广播、VOD等应用软件与机顶盒的分离，但其CA应用软件只是与机顶盒主机进行了分离，运行在机顶盒UTI卡或CAM卡的硬件平台上。因此笔者认为机卡分离是一种不完全的软硬分离，只有无卡CA才能真正实现软硬分离，而建立在无卡CA基础上的软硬分离优势非常显著，具体如下：

1.有助于解密算法和密钥的保护。软硬分离后，（无卡）CA软件作为一个单独的模块，可以临时从码流里下载执行，假如黑客从Flash或码流里截获了CA信息，也只能得到被加密的目标码。而即使黑客有足够的人力、财力，也要花费半年以上的时间才有可能破译。同时如果解密算法每天都在变动的话，黑客的破解工作实质上没有任何意义。只能“孤芳自赏”自己的劳动“成果”。

当然，从理论上说，黑客可以像破解有卡CA一样，采取复制无卡机顶盒方式来获取利润，但每台机顶盒的CPU、主芯片、Flash等都有自己的ID（标识符），如果克隆它们，必须同时通过相应的生产厂商来完成，而这显然是不可能的。因为机顶盒中的上述硬件多由国际知名公司生产，首先这些公司不会协助盗版，其次克隆硬件的成本和时间远高于克隆原件，且只能一台一台的克隆。

2.软硬分离有助于业务升级。软硬分离虽然对机顶盒运行应用程序软硬件平台的要求有所提高，但却降低了对应用软件的要求，因此一旦发现（无卡）CA、EPG等应用软件有缺陷，可随时在不影响使用的情况下对其进行单独升级。

3.软硬分离有助于提高工作效率。软硬分离后，机顶盒的硬件及运行平台由机顶盒厂家提供，（无卡）CA、EPG、数据广播等应用软件由专门的软件公司开发，由于软硬件厂商均可专心于自己所擅长的工作，不但效率大大提升，成本也会相应下降。

尽管无卡CA的应用案例不多，但在已实施的项目中，已有许多亮点，且主要集中在终端。目前国内已有厂商推出支持无卡CA的相关芯片，并实现了完全的软硬分离，且基于芯片的开发平台已经集成了设计CA所需的各项基础功能。在此平台上开发无卡CA，所做的工作如下：

1.利用芯片开发平台提供的操作系统接口，创建各种线程，建立运行环境；

2.利用芯片开发平台提供的驱动，完成各种收表的动作；

3.由无卡CA厂商提供给芯片开发平台所需的接口，如：开始、停止解码、设置年龄等级、工作时段、获取授权信息等，以便完成CA的各种功能；

4.在以上软硬件平台上进行编译，生产可执行文件，由运营商单独下载到机顶盒中运行。

结论

长期以来，有线数字电视CA技术因诸多因素而被蒙上了神秘的面纱。笔者认为：虽然无卡CA尚无标准且在国内应用并不广泛，但在国外（如美国的有线网络中）已有数千万用户在使用。在国内，上海天盛传媒（播出《欧洲足球》）、2005年香港艺华卫星直播平台及前文所提及的青岛莱西及广西有线网的成功应用，应该说无卡CA已经有了一定的规模应用基础。

因此，笔者建议，各地有线数字电视运营商尤其是数字电视刚起步或即将启动的运营商，应该优先考虑使用无卡CA方案，但要在机顶盒终端预留智能卡插槽，做好与有卡CA的同密；而目前尚处于萌芽状态的地面数字电视则应尽量采用无卡CA方案。

鉴于无卡CA的诸多优势，笔者预言，在未来较长一段时间内，将有可能出现有卡CA与无卡CA并存的局面。

编辑：jq