有卡CA与无卡CA共同促进CAS的发展

摘要：数字电视条件接收系统（CAS）是数字电视业务链条当中的一个重要环节，实现了传送业务数据的产品分割、数据加密、授权访问。随着机顶盒芯片功能、性能和容量的提升，可以将CAS产品的终端模块完整地或者部分地放入到主芯片和主板程序区（由于该方式不需要智能卡，下面以“无卡CA”标识）。这种设计架构有别于前期采用智能卡作为CAS产品的终端模块的设计架构，无卡CA终端模块的数据处理流程、数据存储位置、程序代码存储位置和运行环境等等，都和有卡CA存在较大的差异。

下面将对有卡CA和无卡CA做一个讨论，以融有卡CA和无卡CA的优势，共同促进数字电视产业的健康发展。

一、技术层面

1.信息安全机制。

数字电视条件接收系统（CAS），应用环境是广播方式的业务播发环境。作为典型的一对多应用，依据相关的标准，可以通过一句话来描述：所有被合法许可的终端接收设备接收同一段密文，采取同一个（或一组）密钥，通过同一个（或一组）算法逻辑，得到一个明文（CW）密码并实现业务数据解密。在这个过程当中，有以下几个关键方面：

1)正确完整的密文

在数字电视传输环境当中，该密文信息被包含在ECM/EMM数据包内，因此任何正常工作的接收终端设备，都可以正确设置过滤条件来获得完整正确的密文。ECM指令当中一般包含有过滤条件信息、节目属性信息、访问控制信息、CW加密后的密文信息、扩展节目属性信息和CRC32等校验信息。EMM指令当中一般包含有具体各个接收终端模块的授权信息、密钥信息和接收终端属性信息和控制指令，还可能包含一些信息服务指令，如电视邮件、屏显信息等等。一般而言，ECM指令和EMM指令都是采用密文传输方式以保障指令数据的传输安全。

2)正确完整的密钥

在解密密文所需要的一组密钥中，可以预设到接收终端，也能以某种方式下载并存储在终端环境当中。由于数字电视相关标准对于广播数据的加扰和解扰的规定，控制字（CW）是广播加扰传输的核心。所有接收终端设备所接收、处理、得到的都是相同的输入输出信息，这也就决定了所有终端都实际上都是在采用相同的一个或者一组密钥。在有卡CA当中，密钥被存放在智能卡。在无卡CA当中，密钥被存放在FLASH、加密片或者主芯片划分出来的小量的存储空间当中。
在CAS产品当中，密钥是分层次的，一般而言会分以下几个层次的密钥：

文件系统访问密码：智能卡和带有安全存储区的主芯片，对密钥的存储都是采用了特殊的文件结构进行存储的，在使用这些密钥时，必须具有访问这些密钥文件的权限。芯片文件系统访问密钥，作为CAS厂商的一个重要核心，在任何使用密码的过程中，都需要知道正确的访问密码，才能进行相应的操作。经过特殊设计的智能卡，如果在不知道正确的访问密码的情况下，将不能进行访问和使用，并在满足一定条件时能自动销毁其存储的信息以阻止外部攻击得手。值得注意的是，文件系统访问密码也不是一个独立的密码，而可能是一套具有结构的密钥体系，在这套密钥体系当中可以区分使用各个不同功效的密钥文件，以加强系统的安全性。

CAS厂商密钥：是CAS厂商在生产IC卡时秘密写入的一组密钥。在ECM/EMM的处理过程当中，使用CAS厂商的密钥对数据进行某个层次的加密。CAS厂商可能对每个单独的运营商是采用不同的密钥的，这样即使CAS厂商向多个运营商发布了系统，不同运营商之间的终端接收模块和前端模块也都是有差异性的，不能相互通用。CAS厂商密钥能够在某个层次上对数据进行加密处理，能够防止知道下面两个密钥（运营商密钥、节目密钥）的相关人员对系统造成破坏。一般情况下，CAS厂商密钥配对存放在智能卡内和前端加密设备上。可以通过在前端加密设备（如加密机、加密卡等）和智能卡内部存放多组配对使用的CAS厂商密钥，在某套密钥被“破解”后，启用未使用的密钥对，在一定程度上防范破解行为。也可以通过随机使用各密钥对的方式，来提高破解难度。

运营商密钥：在运营商处创建、存储和使用的一个或者一组密钥，用来对数据进行某个层次的加密。通过该密钥，能够防范CAS厂商开发设计人员对数据进行攻击。运营商密钥能够周期性的更新替换，比如按照结算周期等等。
节目密钥：节目密钥用于保护特定的节目。原则上每个独立销售的节目（一个频道一部电影或者一个栏目）都可以有独立的节目密钥；也可以是一组节目共享节目密钥，采取访问控制信息来决定是否有权限调用节目密钥的执行逻辑。节目密钥的生存周期可以灵活控制。节目密钥一般存储在CAS数据库当中（肯定是加密存储的），并通过EMM方式加密处理后传递给获得授权的接收终端。

运营商密钥和节目密钥是通过加密方式下载到终端模块的。每个独立的终端接收模块（如智能卡）具有不同的私有密钥，因此在创建需要下载到终端模块的数据时，其输出数据的位置、结构等也不尽相同（也就是说针对每个终端设备的更新密钥的EMM指令数据是很不相同的），在整个下载过程当看来是随机性极强的数据，因此可以获取比较安全的下载通道。
正是通过上述多层次的密钥结构，在卡商、CAS产品厂商、运营商、用户之间达成制衡，最大程度地保护整个密钥体系的安全。

3)正确的解密算法和执行逻辑

解密算法和执行逻辑就是如何使用密钥的过程。解密算法可能是集中存储的，也可能是散列存储在接受终端设备的多个部分。有卡CA当中，解密算法被储存在智能卡内部，在CA移植库内也可以存放部分的解密算法；无卡CA当中，解密算法存放在CA移植库。

解密算法和执行逻辑是一段程序代码，程序代码[FS:Page]有两种存储调用方式，一种是程序编译后烧录到ROM，在启动时加载到RAM，然后可以直接调用的RAM代码区内的只读代码，这些代码可以直接通过函数访问，是只读的，不能更改。另外一种方式是RAM数据区内部的代码数据段，这些代码数据段可以通过将数据指针强制转换为函数指针的方式来调用。数据区内的数据是可以通过各种方式进行更新的，例如，可以通过在广播码流内下载事先编译通过的函数执行码数据片段，接收终端在接收到数据片段，并存储在RAM数据区后，即可通过函数指针强制转换的方式来动态的获取执行逻辑。无卡CA可以通过这种方式在一定程度来改善安全性的不足，有卡CA也可以通过这种方式来加强CA移植库的安全性进而增强整个产品的安全性。

CAS产品一般都会向机顶盒平台申请一定大小的移植库FLASH存储空间。这个存储空间除用来存储移植库代码段和一些数据外，也可以用来存储这种通过网络动态下载的代码段。由于智能卡的硬件特点，一般而言不建议采用动态刷新智能卡内部执行逻辑的方式，因此对于有卡CA，动态算法也多是在CA移植库上进行动态逻辑设计。

硬件平台支持的加解密算法一般是固定了的，如DES, 3DES, AES,RSA等等。对于一些高级的、复杂的加解密算法，由于计算工作量大，使用软件实现，代码执行时间长，多采用硬件实现，这时硬件平台就更大程度地决定了CAS产品所能采用的加解密算法。

CAS产品通过多次嵌套调用的方式，对数据信息多次进行加密处理并在此过程当中引入扩展的、随机性的、校验的数据等等以作为保护。无论是有卡CA还是无卡CA，也都可以采用私有的加解密算法，在调用过程中对数据进行私有变换处理。

4)执行环境是否安全

执行环境的安全牵涉到几个方面：算法的安全性、CAS-STB接口架构的安全性、运行时环境的安全性。这几个因素关系到CAS产品设计方案需采用的算法、机顶盒开发设计人员是否能够破坏系统、用户能否破坏或者攻击系统等。

算法的安全性：这是执行环境是否安全的前提条件。采用未经过确认的算法，其带来的风险也是不可确认的。那些经过大规模应用的，通用的商业加解密算法，能够在更好的程度上保护系统核心数据。私有算法的安全性更加依赖于设计厂商的保密意识，最好作为加解密算法和执行逻辑的一个组成部分而不能作为全部。

CAS-STB接口架构的安全性：这是如何在最大程度上降低机顶盒开发人员对CAS产品的攻击和破坏能力的重点。开发设计状态和运行状态相同的接口内容越少，可供第三方攻击和破坏的东西也越少，系统也就具有更高的安全性（防止机顶盒软件工程师、CAS系统设计人员等“内鬼”对系统的攻击）。如何减少这两种状态下相似的接口内容就是CAS产品架构的重要设计思路。较早以前的CAS产品，一般都将接口放在了移植库内部，或者直接开放出智能卡接口通讯的指令协议来实现CAS-STB之间的交互。这种方案由于提供给机顶盒开发人员的就已经是和运行时相同的内容，机顶盒开发人员就具有反汇编攻击能力、具有较强刺探能力，因此CAS产品面临的风险就可能比较大。减少这种接口内容的一个重要方式是采用动态的算法和执行逻辑，这些算法和逻辑具有较短的时效性，甚至可以直接存放于快速变化的广播码流当中，在运行态时再转移到执行环境的RAM数据区，通过函数指针强制转换进行调用。无卡CA不能将所有算法和执行逻辑存放在移植库FLASH空间，要通过动态下载这种方式来动态地更改执行逻辑，以加强安全性，否则对于获得了无卡CA移植库的机顶盒开发人员（或者无卡CA系统开发者本身）而言将不具备安全性。有卡CA虽然已经将安全问题收敛到智能卡的内部进行，也可以通过这种方式更改移植库在运行时的执行逻辑，获得更强的安全性。

运行时环境的安全性：运行时环境的安全性主要在于与安全相关的数据在运行时，数据的生成、传输、使用、存储是否安全。在有卡CA当中，由于与安全相关的数据大部分是执行在智能卡内部，小部分执行在移植库（机顶盒运行环境），智能卡内部只能是CAS厂商自己访问，因此数据具有较强的保密条件，能够获取较高的安全性。无卡CA当中，由于与安全相关的数据全部运行在机顶盒环境，此时主芯片操作系统对于相关数据的访问控制将密切影响无卡CA系统的安全性。一般而言，存在于FLASH当中的数据是不具备安全条件的，可以被直接获取；机顶盒RAM当中的数据也可以被通过JTAG等多种方式被DUMPING，也存在被分析和破解的可能。现已发布的一些机顶盒芯片，具备唯一的硬件编号，还能够提供几百到几K不等字节的存储区（可以看作是一种集成在主芯片内部的简略型CPU存储卡），无卡CA应当尽可能的将信息存放在该区域而不是FLASH空间。无卡CA依赖于机顶盒芯片的支持是不言而喻的。如果由于芯片厂商的原因，多家无卡CA厂商在同一款芯片上访问的方式、方法、条件都一样，那么也可能会造成数据的泄露从而遭受恶意的攻击。特许生产机顶盒主芯片或许可以提高无卡CA的安全性，当然这种方式也或许会在市场上对运营商造成麻烦。

5)CW的使用是否安全

CW的使用环境，归根结底在于是否能够防止机顶盒开发人员通过截取机顶盒主芯片操作系统当中关于设置CW到解码器的这个函数。在有卡CA的机卡接口之间传递了与CW相关的指令数据（智能卡和在机顶盒当中的CA移植库直接可以采用明文方式传递数据，也可以采用链路key方式加密保护需要传递的数据），并将该指令信息在移植库内变换后设置解码器，这与无卡CA直接在移植库内设置解码器相似，并不能据此判定无卡CA在防范CW共享上优于还是劣于有卡CA。

如果设置CW到解码器的函数是由机顶盒开发人员在应用程序当中设置的，那么机顶盒开发人员具备截取该信息的能力。如果设置CW到解码器的函数是由CAS厂商在移植库内设置的，那么还需要看主芯片操作系统对于该设置函数的调用权限以及机顶盒开发人员是否可以通过设计钩子函数来套取设置CW到解码器的函数并获取CW。

机顶盒主芯片操作系统依据主芯片的唯一性编[FS:Page]号和私有密钥，接收移植库传递来的CW密文数据，处理、校验CW密文数据的合法性，并在主芯片核心操作系统内还原得到CW并设置到解码器，是有效防范CW被共享使用的重要手段（不过千万要注意的是，前端加扰器设备给出的CW明文，到底是在前端系统加密后直接透到主芯片？还是由CA智能卡或者移植库在将ECM当中的CW密文处理成CW明文后再针对和主芯片协商的链路KEY加密，然后在调用函数设置到主芯片？这个是很有差别的，而且会对系统造成极大的影响）。有卡CA和无卡CA都需要依赖机顶盒主芯片的支持来改善CW的使用环境，提高防范CW共享使用的能力。现在一些无卡CA通过芯片特性来改善CW共享泛滥情况，有卡CA可以充分吸收利用这种思想，结合芯片新特性改善CA移植库，提升有卡CA的安全性。

CW被共享使用在广播体制下是一个极难解决的问题，或许可以认为CW被共享使用的唯一防范之道是限制CW的效用范围。每个CW所加扰的广播业务数据覆盖的接收终端设备数量越少，CW被共享的危害就越小，CW被共享的可能性也越小。点对点传输只是广播的一个极致的体现，在该种方式就很难存在共享的情况。采用分前端限制单个CW所加扰的广播业务数据的覆盖范围，是解决CW共享的有效方案。

2.动态下载周期

无论是密钥信息还是动态算法代码数据段，都需要周期性的更新。原则上更新的周期越短，系统的安全性越高，被破解造成的损失也越小。但是更新的周期并不是能够做到无限小的，这主要受到两个方面的制约：一方面是用于传输更新信息的数据的大小；另外一个方面是实际应用效果的制约。

需要动态下载的数据，如果是密钥信息，那么针对将要下载的密钥，需要结合每个接收终端的私有密钥进行加密，才能得到允许在广播网络内传递的密钥下载数据。由于每个接收终端具备独一无二的私有密钥信息，这样需要动态下载的密钥信息就将出现系统内接收终端数量倍的信息。由于过滤器设置和MPEG包格式的原因，一般设计方式下，每个接收终端将至少占用1个或者多个188字节的MPEG包空间，由此可见在大容量系统当中，动态下载密钥数据，是需要有较大的循环发送周期的。假设在一个大中型网络当中，存在100万接收终端，就将生产100万份与密钥下载相关的数据；再假设分配来进行动态下载的带宽为100Kbps,那么最快也将需要15000秒才能循环发送一遍。CAS产品的动态下载周期在设计上一般还会结合授权、状态迁移等因素综合考虑，比如将密钥刷新、授权状态、使用状态等综合在一起存放在EMM数据包。由于不同接收终端具备不同的优先级，各个接收终端相关的数据并不是权重相等的出现在广播码流当中，因此整体上的循环发送周期或许还将更长。对于一些CAS厂商的采用分组授权方式的CAS产品，只不过是针对IC卡独立授权的一个简化处理方式，因此计算方式雷同。

对于需要动态下载的算法和执行逻辑，在形式上对第三方而言都是随机、无意义的二进制数据块构成的程序代码段。这些程序代码段被下载并存放在接收终端模块，通过运行时在RAM数据区内采用强制转换方式，得到函数指针并进行访问。程序代码很少和单独每个接收终端模块相关，而是和网络内的硬件平台数量相关。一般情况下，一个网络内不会存在过多的硬件平台方案，而且总体上看，需要动态下载的算法和执行逻辑的程序代码段也不会太大，即便以传统CAS移植库申请的300KB的大小来看，也可以在数十至一百秒钟内完成下载传输。

关于可动态下载的算法和执行逻辑，由于其针对的是芯片方案而非针对具体的单个的接收终端模块，因此所有同类型的接收终端模块其算法和执行逻辑也都是相同的，所以主导CAS产品开发的相关人员也就具有了攻克他们自己编制的动态下载算法和执行逻辑的能力。无卡CA在动态算法和执行逻辑下，或许对第三方的开发人员具备一定的安全性，但是对“内部设计等相关人员”的防范能力将急剧下降甚至没有，这点是值得无卡CA厂商特别注意的，当核心设计人员离职后，系统如何防范所带来的安全问题？结合动态下载与秘密存储和使用的密钥，并利用密钥和秘密数据驱动动态下载的算法和执行逻辑才具备有切实的安全意义，这也是有卡CA相对来说具备的优势，当然这个优势是依靠额外的智能卡硬件成本来获取的。

动态下载周期大小如何设置，两个方面的影响因素较大：一是由于终端接收模块擦写寿命的限制要求尽可能少的进行擦写；二是终端接收模块连续工作时，在不同版本的切换之间要不能出现服务停顿现象。

非易失性存储设备，每次擦写保存数据，都有可能会造成存储设备的损坏。通常的擦写寿命在5万到10万次左右，但是为了确保最大可能的擦写成功，并尽可能少出现设备损坏的情况，在接收终端设计寿命期限内发生的擦写次数应该大大低于这个限制。比如设计寿命期限内，最大擦写5千次？

在不同版本的密钥启用之间、在不同版本的动态算法和执行逻辑启用之间，避免出现服务停顿的方式只能是在使用当前版本的密钥和动态算法时，完整正确地获取到了下一个版本的密钥和动态算法。正如ECM当中包含有当前加扰周期的的CW和下一个加扰周期的CW一样，通过版本号来指明使用的版本，这样就可以避免在不同版本的密钥启用之间、不同版本的动态算法和执行逻辑启用之间出现服务停顿的情况。如果接收终端模块已经停止了两个周期的密钥刷新或者动态算法和执行逻辑的刷新，那么接收终端在启动后，在没有刷新到当前版本的密钥或者动态算法和执行逻辑前，其服务将会是停止的。为了尽可能减少由于这种现象造成的服务停止，就应该尽可能的延长密钥或者动态算法和执行逻辑的刷新周期，以使落在两个刷新周期外都没有开机并成功刷新的接收终端的数量减少。现在通用的刷新周期为用户管理系统的用户财务结算周期，如1个月、半年、一年等。

3.主芯片操作系统接口发布风险

正如一家CAS厂商可以向多家运营商提供产品一样，机顶盒芯片厂商也可以向多家CAS厂商提供芯片。若一款机顶盒芯片平台有多家CAS厂商都开发CAS，那么势必造成芯片方案底层访问控制指令、接口函数、寄存器、存储器等等的使用方式方法的公开。无卡CAS的数据存储、系统架构、安全性等方面将面临严峻的冲击[FS:Page]。

有卡CA可以控制智能卡，并通过自主定义的接口来实现机卡通讯，因此CAS移植库和具体机顶盒主芯片平台耦合度相对较小，可以将风险比较集中地控制在智能卡内部和移植库内部。

无卡CA由于需要将整个逻辑以及相关的数据都放置在机顶盒运行环境当中，若某型号的芯片针对多家无卡CA发商提供不同的底层接口，也能够较大限度上保障各家无卡CA的安全性。但不利的是，如果同一款芯片，发布给不同厂商的接口是不同的，这又会产生机顶盒芯片实质上的差异，进而影响多家无卡CA厂商授权的机顶盒之间的互换互用。例如，在同一个运营商网络当中，采用了某型号的芯片的机顶盒，将不能被替换到其他无卡CA厂商的软件上，因为其底层接口是有差别的，这样就将现在“智能卡不能互换互用”提升到“机顶盒不能互换互用”的境地，将严重加大运营商后期的变革成本，或许会导致更加严重的条块分割现象。运营商被捆绑的可能性加大，市场被垄断现象会增多，不利于整个数字电视产业的发展。

二、应用层面

1.广播信息加解扰

广播信息是由节目事件按照时间顺序播放的，每个节目事件具有自身的属性定义，如节目级别、起止时间、预览模式、水印、收视价格、是否许可录像等。数字电视节目频道当中源源不断地广播传递节目事件。同时，节目栏目也是一个与广播信息相关的定义。比如在特定频道特定时间总是周期性的播放类似的节目事件，则可以归结为节目栏目，如每天晚上7：00的新闻联播，又如电影频道在每天晚上9：30开始的电影栏目等等。

数字电视条件接收系统（CAS）对广播业务数据的加解扰，在CAS系统前端模块当中，依据当前时刻节目的事件属性、栏目属性、频道属性，进行有针对性的加扰控制；在CAS系统终端接收模块，则依据节目的事件属性、栏目属性、频道属性和终端接收模块的用户被授权许可的条件，比对分析是否被授权接收处理。

数字电视条件接收系统对视音频节目和广播数据等广播信息的加解扰已经是一个非常稳定的架构，并且受传输接收机制的限制，在可预见的时间内不会发生太大的改变。对于广播信息的加解扰，主要集中在广播信息的细分控制，数据结构的改良优化，各类控制信息的广播优先级和在码流内的分布等方面。

2.为增值应用提供用户标识和鉴权

数字电视的推广和普及，高清平板电视的普及，极大地提升了用户通过高清晰大屏幕享受视听节目和增值服务的使用体验。有鉴于数字电视接收终端多样化、时尚化、个性化的发展方向，数字电视接收终端设备会出现档次丰富，功能各异的产品。特别是在NGB环境下，数字电视接收终端将可能会承载更多的新型业务。

在各种类型的增值应用当中，一个很重要的元素是增值应用中操作对象的身份标识。由于数字电视作为享受型的IT设备，在人机接口上其信息输入在便利性不如电脑和手机等设备使用方便，因此最直接地在增值应用当中标识出操作对象，最简便地判断使用者是否具有操作权限，最便利地进入增值业务参与环境，最快速地完成使用者参与增值应用的目的，就是提升使用体验、吸引更多用户持续使用的关键。

数字电视条件接收系统（CAS）最基本功能就是标识出每个独立的接收终端设备，并可以通过EMM指令将前端系统在使用者开户登记时录入的身份信息下载到接收终端。相对于Internet网混乱不清的身份鉴定，这是一个难得的“实名制”渠道。一些有价值的增值业务应用，将能够利用数字电视条件接收系统当中的既有的、真实可靠的使用者身份信息，灵活的开展业务。

3.增值业务数据的加密保护与存储

数字电视增值业务数据的存储，依据网络环境的不同，可能会存储在接收终端设备或者存储在前端系统当中，这主要由增值业务开展的实际需要而决定。在单向网络环境下是存放在接收终端设备；在双向网络环境下，则可能会存放于前端系统。
随着数字电视业务的开展，在数字电视平台上开展的增值业务的用户体验效果逐渐改善，数字电视增值业务将作为人民日常生活信息服务的重要组成部分。在开展数字电视增值业务时，可能会需要到用户的身份信息、用户的账户信息、用户的其他私密信息等敏感数据，用户在密切参与增值业务后，还有可能获取增值业务生成的增值数据等等，因此保护开展增值业务所需的准备数据，保护增值业务形成的结果数据，都是顺利开展增值业务的重要基础条件。数字电视条件接收系统（CAS）作为数字电视产业链里专司信息加解密的业务子系统，这些增值业务所提出的要求，既是CAS产品的职能责所在，而且为各种类型的增值业务数据提供加解密、安全存储在操作上也是非常可行的。

在前期数字电视条件接收系统（CAS）的相关标准当中，还没有对增值业务提供服务的方式方法、接口协议等做出明确的规定，各厂商的CAS产品也尚未具体提出切实可行的方案来解决未来增值业务的安防需求。因此，尽早开展CAS产品对增值业务系统的安防需求的支持与研究，尽早形成统一的接口协议、数据格式、服务规范，能够避免数字电视增值业务系统在安全架构上各自为政的设计，避免增值业务开展陷入混乱状态，有利于数字电视增值业务的长期有利发展。

三、发展趋势

1.双向网络下的CAS

在非对称的双向网络条件下，一般采用了业务数据广播下发，控制指令双向送达的方式。相对于单向网络下的CAS，由于控制指令的送达是可以得到回复确认的，因此控制指令就可以不通过单向广播链路轮播了。

&n[FS:Page]bsp; 取消单向广播链路进行的控制指令数据轮播，带来的好处将是显而易见的。首先这可以极大的减小单向通道数据轮播的数据载荷，有利于缩短数据轮播周期，提高数据轮播效率。其次，通过控制指令送达确认情况，CAS前端系统能够更加及时有效的响应用户的业务操作，可以更加有效的开展各项业务。另外，由于针对具体接收终端模块的特殊指令是通过双向链路送达的，这是一种点对点通讯方式，因此其他潜在的攻击者将极难截取该接收终端模块的指令，大大提升了整个CAS产品的安全性。

双向网络下的CAS，能够保存各个终端接收设备的实时链接状态。终端接收设备在向前端系统发起连接时，需要将终端接收设备的唯一性编号信息注册到前端模块，并和前端模块协商出链路保护密钥。前端模块维持有任何时刻所有终端接收设备的链路状态，当感知到产生了多个相同的终端接收设备连接到前端系统时，则可以根据既定的处理策略，或给出克隆警告，或将上一个在线的终端接收设备强制下线，或采取其他处理方式，对可能存在的克隆现象进行处理。

双向网络下的CAS，能够记录所处理的ECM/EMM数据信息，提供最为完整的、精确的接收终端模块工作状态、持续时间等信息。这些接收终端模块的工况信息，可以被累计存储，并通过一个合理的周期和方式返回给前端模块。CAS系统的前端模块能够依据所获取的接收终端模块汇总工况信息，进行数据挖掘分析，以实现精确计费、采样统计、用户消费模式分析等应用，为精确营销、定向广告等增值业务提供参考，深入挖掘数字电视用户价值。

2.增值业务下的CAS

随着数字电视业务的深入开展，数字电视接收终端产品性能不断提升，终端接收模块的个性化、时尚化、精品化等要求将更加凸显，终端接收模块产品档次层次更加丰富。在一些高端的终端接收模块上，由于具备有良好的硬件平台，融合了多种业务支撑能力，将能够开展丰富多样的增值业务。

如何充分调动全社会的力量来丰富数字电视增值业务，让有能力、有兴趣的个人和团体参与到数字电视业务的开发、设计、开展和运营上，是关系到数字电视增值业务能否丰富涌现，数字电视业务能否持续繁荣发展的重要因素。嵌入式设备的“软件仓库”、“软件商店”等的业务模式，就是充分引入了社会开发力量，在主导方提供的一种规范的、可靠的环境条件下，汇聚广大社会力量实现增值业务的模式。这种模式已经在苹果公司的APP STORE上被成功证明。随着NGB的来临，三网融合的实现，数字电视平台上的软件商店也是指日可待。

数字电视增值业务归根到底是为用户提供便利的一种信息服务，其舒适性、便利性和使用价值是所开展的增值业务能够被用户接受和喜爱的重要评价指标。在开展增值业务时，必将设置一些敏感信息，必将生成一些敏感信息，这些敏感信息的保护也是CAS的职能所在。因此机顶盒等终端接收设备在维修、更换、废弃时是否会泄露、损坏用户的关键数据是需要重点考虑的。无卡CA在数据迁移和存储安全上面临的形势是比较严峻的。另外，数字电视接收终端，要么是体型笨重庞大，如一体化电视机，要么是连接线缆复杂，如机顶盒，用户使用环境的变化，一个家庭内多台不同权限的接收终端，如何在卧室看上客厅设备的节目等，也对无卡CA终端接收设备在使用便利上提出了挑战。

四、总结

数字电视条件接收系统（CAS）并非一个暮气沉沉的、已经完成了历史使命的数字电视产业链条里的子系统，相反由于用户对数字视听要求的提高，跟随着数字电视产业的不断发展壮大，CAS也是在不断的调整与完善当中。新技术的应用、更加强劲的硬件支持也是促进产业结构发生调整与优化的驱动力。数字电视产业在下一步的发展过程当中，还应该更加关注产业形态的发展趋势。无卡CA作为有卡CA的一个补充，可以在降低成本，创新思路上贡献自己的力量，共同促进CAS产品的发展。

五、后记

虽然笔者对于CAS产品已经有8年的经历了，说没有感情，也是不可能的。不过要我说CAS产品实在是数字电视产业当中最为奇怪的一个产品。广播方式本质而言就是一种最为典型信息共享传播方式，只是由于运营商要快速收回在前端数字设备上的投资、要在用户身上多赚一些的利润，所以才在广播传输的路途设置了一个收费站。为了数字电视整个产业的发展，为了全国数字电视市场的大融合，若国家广播电影电视总局下令撤销全国所有的数字电视条件接收系统对于基本节目的加扰，还清流与民众，则可以还业界一个正常的发展环境。对于需额外收费之付费服务，采用双向传输，或者密钥双向送达内容小区域单向广播。全国范围内的基本广播电视节目清流下发，才能打破现在各地数字电视系统之间的篱笆，全国的数字电视市场才能融为一体。

我认为，数字电视条件接收系统，其最大的意义不在于加解扰节目，而在于在广播方式下的可寻址能力。想想看，座机电话，GSM移动电话的语音容易窃听吧？虽然CDMA移动电话的通话采用了加密传输，但是它们之间又有多大区别呢？找到业务要联系的对象并能够发起和对象之间业务，才是最重要的。

最近在网络上看到有把有线数字电视系统的CA卡和银行U-Key之间做对比的情况。这无论技术还是其他方面，都是两个很难说有可比性的事物，放在一起讨论是有点牵强。其不同之处在于一个是单向使用，一个使用时是双向实时协商一个安全链路；一个的信息是共用的，一个的信息是私密的。或许有人愿意把电视信号共享给别人，但是谁愿意自己的银行账户给别人用呢？拥有者本身对事物的态度，难道不是安全性的重要因素？

进入论坛话题：广电运营商注意关于CAS系统