应用于IPTV机顶盒的USB身份卡识别方案

1 引言

目前，针对IPTV业务的机卡分离机顶盒业界已达成共识。可用于IPTV机卡分离的接口有PCMCIA接口技术、USB接口技术和智能卡接口技术。随着硬件技术的飞速发展，通用串行总线(Universal Serial Bus，USB)已成为计算机与外设之间进行数据交换的主流总线协议，可靠性比较高。USB外设的即插即用(Plug andPlay)特性又使得设备的安装和使用都极为简便。因此，USB身份钥(USB Identification Key)成为了当前身份认证系统最合适的辅助硬件。由于体积小、携带使用方便、能够提供可靠的认证服务，并且价格便宜，越来越多的网络用户开始接受USB身份钥这种类型的认证设备。

IPTV要想真正发挥其提供个性化服务的长处，就必须让用户可对多个业务提供商进行选择。用户可自由选择机顶盒的品牌，想享受哪个业务提供商的服务就购买哪个业务提供商的卡，把卡插入机顶盒就可享受用户定制的服务了。

业务提供商将身份卡发放给用户，将用户电子身份信息及开通业务列表存储于USB身份卡中，且可以通过在身份卡中内置相关算法(如私钥签名)，限定绝密信息的处理空间(如私钥不出锁)，实现重要信息的保密存储。由于身份卡对安全性的特殊要求，身份卡的识别应该更加完备。一方面，机顶盒要预防可疑USB身份卡轻易通过认证，就必须对请求登录的身份卡进行设备可靠性的加强确认；另一方面，合法的身份卡为了满足设备本身及所承载信息(用户身份信息)的双重性安全需求，必须验证机顶盒的合法性。

基于上述考虑，本文提出了一种USB身份卡识别方案：在完成了 USB没备的标准配置之后，身份卡与机顶盒继续进行身份认证，只有双方身份都被确认为可信的情况下，机顶盒与身份卡之间的主信道才得以建立，机顶盒方能读取用户业务列表和进行功能性事务的处理。协议应该在网络运营商的统一管理下进行。

2 业务提供商认证协议

2.1 协议概述
对业务提供商的认证实质上是对机顶盒和身份卡设备的认证，这一步的认证与用户无关，完全由业务提供商和网络运营商设定，所以这一步的认证要求在满足安全性的基础上越简单越好，故而选择CHAP(ChallengeHandshake Authentication Protocol)协议为基础理论模型。机顶盒与身份卡之间的通信必须严格按照事先的约定进行，如果有一步没有按约定进行，便判断为认证失败。只有设备认证成功才能开启其他功能。

CHAP协议是一种基于挑战／应答的一次一密的单向认证协议，通常通过3次握手周期性地校验对端的身份。考虑到该协议具有一定的安全强度，又易于实现，本文以此为模型，结合USB接口的特点，进行了适当的改进，应用到机顶盒与身份卡之间的相互认证问。由USB的端点1完成与机顶盒设备认证的通信。

业务提供商认证分为机顶盒认证和身份卡认证两个阶段，包含4次握手，如图1所示。

2.2 协议流程

如图1所示，可以分为4步：

1) 机顶盒挑战身份卡：Rsk，Thost

身份卡驱动加载完毕，机顶盒驱动向身份卡端点1发送认证请求，请求数据包中包括机顶盒驱动生成的挑战随机数Rsk和挑战时截Thost，由此开始了首次业务提供商认证过程。

2) 身份卡应答机顶盒：Ak

身份卡收到机顶盒通过端点1送来的认证数据，根据收到的系统时间Thost同步本地时钟，产生自己的本地挑战伪随机数Rks(8 byte)，伪随机数Rks中包含2 byte的业务提供商信息，用于识别