二、数字电视条件接收系统CAS常识

    5、什么是数字电视条件接收系统？

        数字电视条件接收系统(ConditionalAccessSystem)对广电来说是一个比较重要的技术，涉及到加解密、加解扰等技术。条件接收是数字电视加密控制的核心技术保证，使合法授权的用户才能收看付费节目，而未经授权的用户不能收看付费节目。因为数字电视条件接收系统是一个复杂且封闭的技术，让很多人感觉到有一层神秘的面纱。

    6、手机的“机卡分离”和数字电视的“机卡分离”有何不同？

        数字电视的“机卡分离”概念很大程度是参照手机行业的“机卡分离”。

       但数字电视和通讯手机行业的“机卡分离”有着很大的不同，很多人对电信的“机卡分离”有误解，主要是加密体制的问题。
        在手机通讯中也有加密解密的过程，但移动通讯加密是有明确详尽的标准，并且通信的加密算法和密钥不在智能卡里，而是在手机和基站内，智能卡仅作为身份识别和存号码之用，安全和授权系统是在电信的机房里而不是在智能卡里。

       移动通讯的过程中，手机每次切换一个蜂窝，都要更换对音频流的加密密钥，其保密水平比数字电视CA还要高。

       正是因为移动通讯的加密解密不在智能卡中进行，所以才能够做到机卡分离。而数字电视的智能卡因为含有核心的算法和密钥，以及私有的机顶盒CA通讯接口，所以只能再加上一个成本很高的大卡，以达到机卡分离的效果。

        所以，这两个机卡分离的基础完全不同，不能照搬手机的机卡分离概念。

    7、为什么类似电信比较理想的数字电视“机卡分离”方案中的小卡方案不能实施？

      “机卡分离”方案中的小卡方案，因为不需要大卡，表面上可以和移动通讯的手机一样实现比较理想的“机卡分离”，但是制约因素很多。

        首先是商务阻力，如果按照这种分离方式，各个CA公司就要把自己机顶盒和智能卡通讯的保密部分公开出来。这相当于CA公司将自己的一个安全保护伞交了出去，不仅影响将来的市场，也会让已经采用其CA的运营商处于不安全之中。其次，也是最核心的原因，CA公司就是要靠其私有性生存，像电信那样理想开放的机卡分离模式，最终的发展结果是算法和密钥需要由运营商掌握，CA公司就没有了存在的价值。第三，和电信不同，广电的算法和密钥在智能卡中，不但要存储加密算法和密钥，还存储授权信息，还有电子钱包等功能，一旦分离将更不安全，很多智能卡CA的破解就是从分离的大卡中找到的切入点。

       总之，数字电视“机卡分离”难以实现，核心问题是数字电视CA技术缺少统一的标准，小卡的“机卡分离”将难以实现。

    8、为什么“机卡分离”数字电视一体机难以实现规模应用？

        在不考虑安全因素的情况下，主要是成本方面的原因。现在人们所说的机卡分离基本上是指PCMCIA等大卡方案。采用这种机卡分离方式，实际上是将机顶盒内的解密过程再从大卡中重复实现一遍，这样机顶盒内的解密硬件部分就浪费了。而用大卡实现解密的成本甚至比机顶盒的成本还要高。所以，机卡分离的机顶盒或电视机比普通的贵很多。

        其次，因为机卡分离解决不了各个有线电视运营商的个性化增值服务，特别是在当前增值服务需求越来越高的情况下，一般运营商也不支持。

        综上所述，导致数字电视的“机卡分离”至今难以规模使用。

    9、为什么数字电视软硬件分离是“机卡分离”的终极目标？

     “机卡分离”的目的就是要将数字电视CA部分从机顶盒分离出去。

        正是因为规范的缺失，导致CA公司私有协议的盛行并得到认可，随即形成了CA与机顶盒硬件的捆绑。

        所以说，“机卡分离”是因为CA不能从机顶盒中分离出去而做出的妥协。CA本来可以和手机通讯那样不通过智能卡加密解密，完全可以作为一个软件模块，从而实现软硬件分离，把ＣＡ从软硬件捆绑中解脱出来，实现“机卡分离”的终极目标。

    10、为什么电视运营商购买智能卡CA后就产生了对CA公司的依赖性？

        移动通讯运营商的“机卡分离”是建立在开放统一的标准之上，谁都可以在这个规范之上开发手机软件，运营商自己定义加密的算法和密钥，使用铜锁铁锁由移动运营商自己定，自己的钥匙自己拿。而广电运营商恰恰相反，高价买回一把锁，而钥匙还在卖锁的人手里，由于智能卡CA需要与众多机顶盒的捆绑才能生存，捆绑了众多机顶盒的智能卡CA在遇到问题后束手无策，改进困难。而且运营商也担心哪天CA公司不慎丢掉钥匙，不再对其节目进行保护。于是，运营商对CA公司的保密性就产生了依赖性。

    11、为什么私有的智能卡CA标准是软硬件分离的主要障碍？

        数字电视CA本来可以是一个纯软件的系统，但因为没有标准，各CA公司各自为政，一方面通过与智能卡硬件进行捆绑，另一方面通过机顶盒厂家的集成与机顶盒硬件进行捆绑。这样，这个软件系统就具有了强烈的私有性，且不开放，也人为地给它蒙上了神秘的面纱，从而使得数字电视CA变成一个十分依赖硬件捆绑生存的封闭技术。捆绑很多机顶盒的CA有利于推销，而在当初运营商对软硬件捆绑的弊端认识不清的情况下又认可捆绑很多机顶盒的CA，这样又反过来促使CA捆绑更多的机顶盒，捆绑市场份额大的CA的机顶盒可以获得更多的市场，这样就形成了恶性循环。这样，CA公司的生存法宝就是捆绑更多的机顶盒，而不是技术创新。

        CA在数字电视发展的初期为保护运营商的利益作出了贡献，但它的技术模式十多年来没有与时俱进，技术框架没有发生变化，暴露出很多安全漏洞，从而变成数字电视产业界的一大祸患。因此，智能卡CA是软硬件分离的主要障碍，要实现软硬件分离必须抛弃智能卡。

    12、软硬件分离后是不是一定不能使用智能卡？

        不是。

        因为软硬件分离后的机顶盒CA部分可以包含智能卡和机顶盒的通讯部分。如果算法和密钥仍然可以在智能卡里，就成了传统的智能卡CA，但算法和密钥不能随时更换，也照样存在CW共享漏洞。如果像手机通讯那样，智能卡仅仅作为身份识别，便于管理，也可以使用智能卡，就可以实现类似手机的机卡分离。

    13、泰信数字电视软硬件分离平台的开放性如何？

        泰信的数字电视软硬件分离平台是十分开放的。首先打破了软硬件捆绑的象征――“软件集成”的概念。其次，在这个软硬件平台之上，各个软件公司独立开发自己的软件而不通过机顶盒厂家集成，这种方式允许捆绑自己的硬件，例如，允许智能卡CA公司捆绑自己的智能卡硬件。这样就迫使智能卡公司只能依靠自己的技术水平和服务而不是依靠和机顶盒的相互捆绑获利，形成一个开放公平的竞争环境。既然连CA都可以实现独立开发不需要机顶盒厂家集成，其他软件，例如浏览器、基础应用等都可以实现独立开发不需要集成。

         这样，采用了泰信的软硬件分离平台后，有关CA的售后服务甚至也可以脱离泰信。

    14、泰信的数字电视软硬件分离平台对芯片供应商有什么要求？

        数字电视软硬件分离平台需要机顶盒有足够的资源和运行速度，以及机顶盒芯片厂家驱动软件及所用操作系统的开放程度和技术水平，以适应高速的双向互动功能的要求，芯片厂家要有足够的技术支持。随着半导体技术的发展，很多新一代的机顶盒芯片运行速度可以达到运行软硬件分离平台的水平，随着技术的进步，满足软硬件分离平台的机顶盒芯片将越来越多。

    15、泰信为什么放弃数字机顶盒的生产业务专注数字电视软件？

       泰信曾经是为数不多的国家卫星电视接收机定点生产企业之一，并有长达十年的机顶盒生产历史。泰信之所以放弃机顶盒生产有多方面的原因。

       首先是社会分工越来越细。数字电视越来越有IT化的特质，软件变得越来越庞大。例如，三年前我们的机顶盒软件几百K字节就能完成很好的功能，而现在却要几十兆，技术开发工作量越来越大。一个软件项目的开发周期经常在几年以上，这是一个需要长期规划的工作，这和投资巨大的机顶盒生产活动以追求相对短期的经济效益是相矛盾的，生产企业一切行动都要围绕着这个短期目标进行，这肯定会影响对CA等软件进行长期深入的研究，软件水平也不会很高，更会让运营商产生软硬件捆绑顾虑。

        所以，既生产机顶盒，又提供CA、浏览器、中间件等软件在长期发展上是相互矛盾的。为了更好地深耕数字电视软件，泰信只能放弃曾经带来大量利润的机顶盒生产业务，但这也为泰信为芯片厂家和运营商提供一揽子全套解决方案奠定了坚实的基础。

    16、为什么软硬件分离更适合于一体机的生产？

        因为软硬件分离不需要电视机厂家在生产一体时将所有应用进行加载，可以在运抵运营商网络后，由运营商独立下载执行。又因为在软硬件分离的环境下，可以很容易地实现安全性更高的无卡CA，不需要电视机更改模具，可以降低一体机生产的投资。

    17、为什么数字电视软硬件分离后运营商能掌握CA的主动权？

        因为软硬件分离平台是一个比较靠底层的软件开发平台，包括CA在内的各个应用都可以不通过机顶盒厂家的软件集成，可以加载任何第三方独立开发的标准CA，也包括智能卡CA，给CA的可替换性创造了条件，彻底革除了数字电视CA与软硬件捆绑的弊端，使得广电运营商不再依赖CA公司，可以拥有类似移动运营商制定加密解密标准的权利。

    18、软硬件分离对数字电视产业有何影响？

         软硬件分离将对数字电视产业的发展产生积极而深远的影响。软硬件分离后，产业链中的相关公司可以独立开发相关的软件，并可以自由的参与竞争，有利于形成公平的竞争环境，提升整个产业的技术水平。运营商也有更多的选择权，新的先进技术可以迅速得到广泛的应用，让运营商真正掌握数字电视转换的主动权。

    19、为什么数字电视软硬件分离和中间件标准不矛盾？

        因为软硬件分离平台开放了靠近底层的API接口，只要机顶盒硬件平台速度资源能够支持，利用这些接口可以加载任何标准的中间件或浏览器，因为软硬件分离平台将新加载的中间件当作一个独立的应用程序对待，并不关心这个程序是不是中间件，同时也允许这个中间件拥有自己的接口，便于在其之上开发各种应用。

 20、为什么最初的机顶盒是无卡的，而后来却以智能卡为主？

        最初的数字电视CA技术也有无卡方式的，和机顶盒软硬件做在一起，也只有一些实力雄厚的大公司提供，主要是用在卫星接收工程机上。随着市场的发展，机顶盒开始进入大众消费领域，而CA技术是面向运营商客户，不同的市场方向导致CAS逐渐形成了独立的数字电视技术分支，当时的MCU运算能力有限，而解密算法又不能太简单，设计一个能在运算能力差的MCU上快速运行的算法不是件容易的事，能够保护运行这种算法并方便单独贩运的器件，非智能卡莫属。所以，智能卡就成了当时数字电视CA的首选，发展至今，已经有十多年的历史。

        DVB标准里并没有规定数字电视CA一定要使用智能卡，所以是商业模式的需要导致智能卡CA成为主流，而非技术因素。

    21、数字电视智能卡CA技术至今已经发展了几代？

        DVB标准起源于欧洲，10年前欧洲的CA公司利用近水楼台先得月的优势，将智能卡CA技术框架就确定了下来，至今没有发生变化，世界各地采用的智能卡CA都是一样的，各种CA的接口标准不同，各个公司的算法实现不一样，安全的核心工作是对算法和密钥的保密，且至今没有发生根本的变化。所以，智能卡CA技术在十年中并没有得到发展，在营销上可以规划出好几代，但在技术上没有更新换代。

        可下载式CA因为颠覆了以前智能卡的安全策略，并要在软硬件分离平台上运行，将安全的核心从CA公司转移到运营商手里，可以由运营商自己掌握安全性。因而可以说，智能卡CA技术是第一代CA技术，而可下载式无卡CA是第二代CA技术。并且将像移动通讯加密那样会进一步规范，由运营商掌握算法和密钥。

    22、CA能在数字电视中间件上开发吗？

        不能，因为CAS条件接收系统虽然遵循DVB同密协议，但关键的密钥和算法以及需要高度保密的私有机顶盒CA接口，需要直接与机顶盒底层驱动交互，如果采用中间件开发的话，就很容易将上述保密的部分扩散，保密性不高，认为CA可以在中间件上开发，可以做到与硬件和驱动无关是错误的。

    23、为什么传统的智能卡CA一旦部署就不能替换？

        在传统的智能卡CA技术中，CA公司如果想顺利推销其CA产品，就要很多的机顶盒厂家生产集成带有其CA软件的机顶盒，这样就需要将机顶盒ＣＡ软件库开放给众多机顶盒厂家，这样当机顶盒CA软件需要改进或更换时，就会涉及到众多的机顶盒厂家，当机顶盒厂家的数量多到一定程度的时候，就会造成严重的机顶盒混乱，CA的改进或更换就变成了不可能。当运营商部署了众多集成这种CA的机顶盒后，并发了大量的卡，如果CA被破解，因为机顶盒混乱CA软件不能更改，所以即使更换智能卡，也只能是同一家CA公司的。

        退一步讲，即使能改动机顶盒CA软件，因为原来已经发放的智能卡的兼容性和安全性已经出现问题，也必须换掉，和开发一种新的ＣＡ无异。

        所以智能卡CA一旦部署就不能更换，除非连同机顶盒一起更换掉，国外运营商有很多这样的例子。

    24、传统的智能卡CA在部署后能不能升级改进？

         如果采用该CA的运营商网络中的机顶盒种类不多，在发放了智能卡后，CA公司可以在发现安全隐患之后联合机顶盒厂家对CA进行升级或打补丁，因为还是要通过机顶盒厂家，所以针对CW共享漏洞的安全升级将无济于事。这时，如果针对智能卡内部的代码升级，这些代码就会暴露在码流里，如果黑客将这些码流录下来，该CA的核心算法及密钥就很容易被完全破解，采用该CA的运营商将遭受严重的损失，而且还会波及所有采用该CA的运营商，也容易出现升级失败的情况。

    25、智能卡CA公司开放给机顶盒厂家的库文件的作用是什么？

        主要作用就是机顶盒和智能卡之间的通讯协议，并且绝大部分CA都遵从ISO7816智能卡通讯协议。另外还有与智能卡之间的通讯命令，就是从机顶盒向智能卡发送ECM，然后从智能卡获得CW，机顶盒向智能卡发送EMM数据对智能卡授权，机顶盒读取智能卡内的信息。

        如果采用CW加密通讯，在库文件内还有相关的加密算法和密钥，水平稍高的工程师，可以把这个算法分析出来。

    26、如果CA只向机顶盒厂家开放库文件进行集成，是不是就可以保证CA的安全？

        在不考虑CW扩散（也叫CW共享）的情况下是安全的。但是，在当前网络发达，以网络共享为主的情况下，获得CA库文件就等于获得了获取CW的方法，因而开放CA库文件给机顶盒厂家集成，仅仅依靠和厂家签订的保密协议保护是不安全的。

    27、如果集成了一种智能卡CA的机顶盒越多，是不是表明这种CA越安全越先进？

        恰恰相反，如果集成了某种智能卡CA的机顶盒越多，应用越广，并有很大的发卡量，知道这种CA库文件的人就越多，自然就变成了公开的秘密，利用CW共享的盗版就越容易，CA就越不安全。另一方面，如果众多的机顶盒集成了这种CA，这种CA库文件的任何改动就要涉及到众多机顶盒厂家，造成更新或改进异常困难，使得CA变成了一个固定不变的技术，即使发现安全漏洞也束手无策，CA被破解后也只能更换同一家CA公司的智能卡，使运营商陷入被动局面。

    28、为什么智能卡CA的商业目的和技术上的安全性是相矛盾的？

        传统智能卡CＡ的商业目的就是大量贩卖智能卡，生产集成其CA的机顶盒厂家越多，捆绑的机顶盒数量越大，就越利于CA公司销售智能卡。这样就要大量扩散机顶盒CA库文件让更多机顶盒厂家生产更多集成该CA的机顶盒，库文件对于水平较高的机顶盒工程师而言和源代码无异，于是智能卡CA的安全隐患特别是网络共享安全隐患就产生了，也有利于黑客对该CA的破解。所以智能卡CA的商业目的和技术上的安全性是相矛盾的。