魏振鋼，邢 靜，林喜軍，劉秀燕

（中國海洋大學信息科學與工程學院 ，山東 青島266100）

隨著信息技術的迅速發(fā)展和網(wǎng)絡的普及，數(shù)字電視以個性化服務的優(yōu)勢越來越受到廣大用戶的青睞。數(shù)字電視是1個將節(jié)目從采集、編輯、制作、播出、傳輸、接收全過程都采用數(shù)字方式處理信號的端到端的系統(tǒng)[1]，然而數(shù)字信號傳輸安全問題也就成為研究人員關注的熱點。數(shù)字電視的條件接收系統(tǒng)（CA）實現(xiàn)了增值服務、擴展服務等有償服務。條件接收就是通常所說的加密認證系統(tǒng)，是數(shù)字電視的核心技術，能夠實現(xiàn)前端數(shù)據(jù)安全的傳給用戶。

目前國際上主要的條件接收系統(tǒng)有Irdeto公司M－Crypt系統(tǒng)，F(xiàn)rance Telecom 公司的 Vi－access系統(tǒng)，NDS公司的NDS系統(tǒng)，Canal＋的 Mediaguard系統(tǒng)，以及永新同方條件接收系統(tǒng)（TFCAS）等[2]，這些條件接收系統(tǒng)均有相應的市場應用和各自的特色。在條件接收系統(tǒng)的密碼體系中加密的只是由服務器到客戶端的數(shù)據(jù)，即單向密碼體系。在條件接收系統(tǒng)單向密碼體系中前端無法獲取用戶端的信息，這就為密碼體系的安全性造成了極大的隱患，可能出現(xiàn)偽造用戶智能卡的情況，導致未經(jīng)授權的用戶非法觀看電視節(jié)目。為解決這些問題，本文提出了使用基于橢圓曲線的多對一加密認證方案的方法實現(xiàn)回傳數(shù)據(jù)的安全，構成了數(shù)字電視雙向密碼體系。基于橢圓曲線的多對一加密認證方案具有身份認證的功能，因此將其用于數(shù)字電視條件接收系統(tǒng)構成雙向密碼體系能夠有效的防止非法用戶偽造智能卡，保證合法用戶的權益。

1 數(shù)字電視安全體系分析

隨著數(shù)字電視系統(tǒng)的發(fā)展，數(shù)字電視用戶可以按照自己的需求獲取各種網(wǎng)絡服務，包括電視購物、視頻點播、遠程教學、遠程醫(yī)療等新業(yè)務，使電視機成為名副其實的信息家電。數(shù)字電視的新功能使廣播業(yè)者投資成本增加，需要向用戶收取一定的費用。數(shù)字電視條件接收系統(tǒng)（CA）能夠使被授權的用戶獲取付費節(jié)目、進行數(shù)據(jù)業(yè)務交互。數(shù)字電視中條件接收系統(tǒng)的加密原理[2－5]（見圖1）。（注：圖中服務器端到客戶端加密解密過程是為數(shù)字電視條件接收系統(tǒng)原理，整個圖構成了數(shù)字電視的雙向密碼體系，其中（IDA，EKA，S）為提出的使用基于橢圓曲線的多對一加密認證算法確定用戶身份及加密過程使用的密鑰。）

圖1 條件接收系統(tǒng)加密原理Fig.1 Conditional access system encryption principle

從服務器端到客戶端傳送信息的過程如下：

（1）服務器端加密流程

①控制字（CW）激活加擾器中的偽隨機序列發(fā)生器產(chǎn)生偽隨機序列對節(jié)目加擾；

②用戶解擾節(jié)目，需要將CW正確無誤的傳送給用戶。使用業(yè)務密鑰（SK）對CW進行加密，加密后的內容作為授權控制信息（ECM）傳送到客戶；

③使用個人分配密鑰（PDK）對SK加密，加密后的內容作為授權管理信息（EMM）傳送到客戶端。

（2）用戶端的解密流程

①首先，用戶端智能卡從接收到的數(shù)據(jù)流中過濾出ECM和EMM；

②然后，智能卡使用PDK對EMM進行解密，解密得到SK；

③使用SK對ECM解密，取出CW；

④使用CW對節(jié)目進行解擾，經(jīng)授權的合法用戶可以正常收看經(jīng)過解擾后的節(jié)目。

目前的數(shù)字電視條件接收系統(tǒng)的單向密碼體系能夠使授權用戶享受到相應的交互業(yè)務如付費節(jié)目、視頻點播等。若用戶需要通過該系統(tǒng)向前端傳送信息，如何保證用戶傳送信息的安全，這就是該密碼體系存在的安全隱患。鑒于數(shù)字電視條件收系統(tǒng)的這種單向密碼體系存在的以上問題，下文中將詳細介紹使用基于橢圓曲線的多對一加密認證算法實現(xiàn)由客戶端向服務器端傳送數(shù)據(jù)的過程，即構成數(shù)字電視雙向加密系統(tǒng)。

2 多對一加密認證算法

多對一加密認證，顧名思義就是指1個接收者服務于多個發(fā)送者，相比于發(fā)送者，服務器數(shù)量是很少的，每一臺服務器可以接受來自上百萬發(fā)送者的信息，服務器只需要保存主密鑰就能解密根據(jù)用戶身份和密鑰生成中心（KGC）發(fā)布的加密密鑰加密的密文。該算法的優(yōu)點[6]有：服務器的密鑰管理變得簡單，減輕了密鑰管理的負擔，且每一個合法的發(fā)送者都擁有1個獨立的密鑰來構造密文，非常容易實現(xiàn)撤銷發(fā)送者發(fā)送的信息，且不會影響服務器和其他發(fā)送者的計算復雜性。

基于多對一加密認證算法的上述優(yōu)點，將多對一加密認證算法應用到分布式系統(tǒng)具有很大的實用價值。當涉及需要保密的私密信息，比如在線軟件的注冊和升級，數(shù)字電視付費用戶可以進行視頻點播或者視頻購物等，在授權的過程中需要進行身份認證。利用多對一加密認證算法實現(xiàn)授權，在保證安全的基礎上還會使過程簡化，節(jié)省資源。

通常，多對一加密認證算法由6個函數(shù)描述，圖2展示了用戶與服務器端安全通信的過程，其中參數(shù)的產(chǎn)生是使用了多對一加密算法中的函數(shù)實現(xiàn)。分布式系統(tǒng)中的每一個用戶都可以根據(jù)自己的身份信息使用相應函數(shù)計算出自己的加密密鑰EKA，S，使用Encryption函數(shù)將需要加密的信息進行加密。而服務器端根據(jù)自己的身份信息IDs和主密鑰MK即可解密用戶端發(fā)送的信息。多對一加密認證算法詳細介紹[7－11]：

圖2 多對一加密認證算法實現(xiàn)過程Fig.2 Many－to－one encryption and authentication algorithm iplementation process

（1）Setup：該算法把安全參數(shù)K作為輸入，并返回系統(tǒng)參數(shù)Params和MK。Params包括消息空間M和密文空間C的描述。此算法由密鑰生成中心（KGC）執(zhí)行。Params是公開的并且授權可用，MK被KGC保留為主密鑰。

（2）Private－Key－Extract：該算法以Params和接收者的身份IDs作為輸入，返回1個私鑰SKs。SKs被用來解密和認證密文，這個算法由接收者執(zhí)行。

（3）Information－Extract：該函數(shù)以系統(tǒng)參數(shù) Params，私鑰SKs、接收者的身份IDs（可選）作為輸入，返回與該密鑰相關的信息Infos。該算法由接收者執(zhí)行，并且將Infos在認證的通道傳送給KGC。

（4）Encryption－Key－Generation：以定系統(tǒng)參數(shù) K、系統(tǒng)主密鑰 MK、發(fā)送者身份IDA和接收者身份IDS（可選）、與密鑰相關信息Infos作為輸入，KGC輸出合法發(fā)送者的加密密鑰EKA，S。

（5）Encrypt：以系統(tǒng)參數(shù)Params、發(fā)送者的加密密鑰EKA，S和明文作為輸入，執(zhí)行函數(shù)后輸出密文C。

（6）Decrypt：給定系統(tǒng)參數(shù) Params、私鑰SKs、發(fā)送者身份IDA、接收者身份IDs（可選）和密文作為輸入，接收者輸出相應明文或當密文不合法時解密錯誤信息。

3 多對一加密認證算法實現(xiàn)雙向密碼體系

數(shù)字電視機頂盒條件接收功能使合法用戶、付費用戶能夠收看或者點播節(jié)目。但是如何保證用戶端向服務器傳送數(shù)據(jù)的安全是存在的安全問題。下面以在數(shù)字電視上購物為例，詳細闡述如何使用多對一加密認證算法在條件接收系統(tǒng)實現(xiàn)用戶端傳送數(shù)據(jù)的安全。

（1）首先，密鑰生成中心KGC產(chǎn)生安全參數(shù)k，然后利用Setup函數(shù)產(chǎn)生系統(tǒng)參數(shù)Params和系統(tǒng)主密鑰MK的過程記錄為（Params，MK）＝Setup（k），并為合法發(fā)送和服務器分配身份信息，分別記為IDA和IDs。

（2）其次，KGC為服務器產(chǎn)生解密密鑰SKS，隨機選取，其中

（3）在智能卡發(fā)布之前，首先為智能卡分配1個身份信息，記為IDA，可以用智能卡的序列號作為身份使用，為智能卡分發(fā)加密密鑰。計算過程：P為群G的生成元，選擇

（4）將IDA和保存到智能卡中。

（5）用戶在電視購物過程中，在向服務器發(fā)送信息時，客戶端使用智能卡中保存的（IDS， EKA，S）對所要購買的產(chǎn)品ID（下文用M表示）進行加密并得到密文：選擇

（6）服務器接收到密文C后，使用解密算法對其解密，只有當密文格式正確且是合法用戶發(fā)送的信息，才能成功解密，M′即為解密后的信息。計算過程如下：

M′＝vH（a），。如果，服務器作為合法明文接收M′。

當用戶在數(shù)字電視電視上購物時，需要向前端提供自己購買的產(chǎn)品信息，并提交信用卡密碼等，對于一些隱秘數(shù)據(jù)用戶并不希望自己的數(shù)據(jù)以明文形式傳送，因為這樣很容易被非法用戶截獲或篡改，給合法用戶造成損失，而多對一加密和認證算法恰好可以解決此問題，該算法用于電視購物不僅保證了用戶向前

端發(fā)送信息的安全性，而且算法本身的特性并不會給服務器造成大的負擔。因此，將多對一加密認證算法用于數(shù)字電視購物上具有很大的實用性。

4 加解密具體實現(xiàn)過程

多對一加密認證方案是使用橢圓曲線上的雙線性映射作為工具，利用基于配對的密碼系統(tǒng)的快速原型PBC庫實現(xiàn)。PBC提供了雙線性映射循環(huán)群的抽象接口，使程序和數(shù)學細節(jié)分離出來[12]。

下面介紹PBC函數(shù)庫實現(xiàn)計算過程，并簡單舉一個例子說明如何實現(xiàn)，PBC庫中void element＿mul＿zn（element＿t c，element＿t a，element＿t z）函數(shù)表示c＝az即a＋a＋…＋a共z個a相加；

void element＿pairing（element＿t out，element＿t int1，element＿t int2）函數(shù)表示out＝e（int1，int2），即實現(xiàn)int1與int2的配對，并且out必須在循環(huán)群內；

void element＿from＿Hash（element＿t e， void＊data， int len）

表示哈希運算，從緩存data中取出len字節(jié)長度的值給e；

加密過程使用Encrypt函數(shù)，函數(shù)具體實現(xiàn)過程如下：

（注：由于該基于橢圓曲線的多對一加密認證算法中函數(shù)的實現(xiàn)過程源代碼較長，不附在此處。）

對基于橢圓曲線的多對一加密認證算法的運行時間進行統(tǒng)計（見圖3），從圖3可以看出：用時在0.855～0.875ms范圍內浮動，該算法用時少、效率高，用于數(shù)字電視的雙向加密體系不會給服務器增加太多額外的時間延時。

圖3 算法運行時間統(tǒng)計Fig.3 The algorithm running time statistics

4 結語

本文闡述了數(shù)字電視條件接收系統(tǒng)中單向密碼體系中存在的無法保證用戶端向服務器發(fā)送安全信息的弊端，在此基礎上改進成一種雙向密碼體系。在雙向密碼體系中，運用了多對一加密認證算法，多對一加密認證算法能夠有效抵制數(shù)字電視信號被非授權用戶竊取、偽造等安全問題。隨著云電視、智能電視用戶的增加，解決身份認證，保證網(wǎng)上信息傳輸安全和網(wǎng)上行為抗抵賴已刻不容緩！

[1]劉達，龔建榮.數(shù)字機頂盒關鍵技術及交互應用[J].網(wǎng)絡與應用，2003（2）：20－24.

[2]洪鈞，關宏超.條件接收系統(tǒng)密碼體系綜述[J].廣播與電視技術，2002（9）：127－130.

[3]周香菊.淺談MPEG－2技術及數(shù)字電視的條件接收系統(tǒng)[J].現(xiàn)代通信，2001（11）：22－24.

[4]段先德.數(shù)字電視條件接收系統(tǒng)原理研究與工程實踐[D].武漢：華中科技大學，2005.

[5]鄭志航.數(shù)字電視原理與應用[M].第一版.北京：中國廣播電視出版社，2000.

[6]Lin X J，Wu C K，Liu F.Many－to－one encryption and authentication scheme and its application[J].Journal of Communications and Networks，2008，10（1）：18－27.

[7]潘亞濤.周宏.有線電視機頂盒系統(tǒng)設計與實現(xiàn)[J].電子技術，2000（1）：60－62.

[8]Wu C K，Varadharajan V.Many－to－one algorithms and group signatures[C].[S.l.]：ACSC’99，1999：432－444.

[9]Lein Harn.Yang shoubao，Group－oriented undeniable signature schemes without the assistance of a mutually trusted party[C].Bad Honnef：Lectures Notes in Computer Science，1993：133－142.

[10]林喜軍，孫琳，武傳坤.基于雙線性映射的多對一加密認證方案[J].計算機研究與發(fā)展，2009，46（2）：235－238.

[11]陳輝焱，呂述望.劉振.基于身份的具有部分消息恢復功能的簽名方案[J].計算機學報，2006，29（9）：112－117.

[12]Ben Lynn.PBC Library Manual 0.5.11[EB/OL].http：//crytpto.stanford.edu/pbc/2006Revised by：B2.