下一代机顶盒的安全（上）

对多媒体家湍暌归乐营业的消费需求驱动着机顶盒行业不竭地追求立异和新的收益机缘。下一代视顶盒将演酿成一种同化式设备，可实现多旌旗灯号源视频内容(如广播电视、高端视频点播以及基于互联网的营业)的集成，同时还能供给一些增值功能，如时移营业。此外还能实现多种收视设备（如多房间电视收集、小我电脑、便携式媒体播放哭喊以及其它的移动设备的分发。

可是，系统可许可对多种内容源进行以及内容的可移植性也为盗版白日做梦了更多的机缘，进一步增年夜了平安需求的复杂度。机顶盒以及与之相关的前提领受系统和数字版权打点手艺不竭受到设备篡改、软件平安破解和黑客抨击袭击的威胁，这将年夜年夜影响到机顶盒制造厂商和运营商的声誉并跨越他们所能够承受的底纹。

机顶盒平安性的成长趋向

优质视频内容的分发以及内容消费模式的演进促使整个分发链不竭呈现新的平安需求。

内容分发：搜罗片子和电视建造在内的内容所有者都要求对他们的常识产权进行平安呵护以防止盗版，还要求内容的授权力用人采纳需要的呵护法子音防止平安破解事务的发生以及当破解发生时将损失踪节制到最小水平。这些平安性需求凡是会作为运营商内容分发和谈的一部门并转化为机顶盒供给商的手艺要求，成为他们必需配合遵守的平安性要求。

输入和输出类型：连系传统广播和基于互联网内容的新营业要求机顶盒的平安构架必需能够将前提领受(CA)和数字版权打点(DIeM)呵护机制进行集成。添加的小我视频录像机(PVR．) 家庭媒体联网功能可实现时移和内容在设备间的共享，为了对链接和输出进行呵护，这些额外的平安性需求作为新的使用案例将要求内容可在分歧的呵护系统问进行平安的传输。

开放式平台：一些机顶盒原始制造厂商(OEM)正在考虑或已经着手在其下一代机顶盒设计中采用Linux操作系统，因为Linux操作系统是一种被普遍使用的开放式平台。专业Linux“黑客”数目的增添以及免费软件开发和逆向工程工具的年夜量存在迫使机顶盒制造厂商不得不采纳额外的预防法子来呵护他们的系统。

使用周期呵护：对于机顶盒制造厂商和运营商而言，抵御来自于黑客社团的抨击袭击是一场永不成停歇的战争。降低系统呵护的成本和对破解做出快速响应具有重年夜的意义。一个健全的平安呵护计谋的方针就是要将破解的门槛(破解所破耗的时刻或成本)晋升到一个黑客无法企及的高度，使黑客的商业模式在经济上不再可行。

如前所述，因为要求将新功能与内容平安呵护系统进行集成，机顶盒的架构正在变得越来越复杂。我们将在本节中谈判这一规模的首要成长趋向，使巨匠能对这些手艺的连系所带来的平安性挑战有加倍深切的熟悉。

同化式机顶盒

机顶盒行颐魅正履历着年夜供给零丁的有线和卫星机顶盒向集成了基于IP的OTT视频营业的同化式机顶盒的快速演变。传统的有线和卫星营业供给商也正在供给基于IP的营业，例如DireetTV-On—Demand等，以此作为对他们前提领受传输频道的填补。此外，将机顶盒零售给消费者的营业模式也正在浮现，在此种模式下，机顶盒并非只用于有线或卫星营业供给商．而是可以用来供给OTT视频营业，以此作为对传统视频营业的填补。

如不美观营业供给商撑持将受DRM呵护的内容作为其IPTV或付费OTT视频营业的一部门，则需要在机顶盒中集成DRM功能。这一般经由过程对一个通用的DRM(如WMDRM—PD、OMA DP．M2．0、Microsofc PlayReady、或Madin)进行授权并将DRM客户端集成到机顶盒和媒体构架中的体例实现。除了要将DRM客户端集成到机顶盒的播放器构架上之外，原始设备制造商还需要确保其DRM的实施知足特定DRaM的合规性和鲁棒性(c＆R)轨则。

合规性和鲁棒性轨则规范了加密密钥、设备证书和其它资产的平安呵护级别，并对若何正确使用和呵护内容的体例进行了阐述。DRM许靠得住行人将合期性和鲁棒性轨则写入到了必需遵守的许可和谈傍边，并附带了未能遵守这些尺度所可能发生的巨额罚金的条目。对被许可人违规的赏罚搜罗合约性抵偿和许可证实日销。此外，现场内的破解除了会给机顶盒制造厂商和运营商带来诺言上的损失踪外，经常会导致年夜额成本的增添以及因召回和维修所带来的营业间断。

要想使机顶盒知足或跨越DRM尺度的合规性和鲁棒性轨则是一项艰难的使命。跟着黑客手艺的不竭成长，盗版者将软件和硬件黑客手艺连系使用以对系统进行抨击袭击，这些抨击袭击体例搜罗使用防真卡、操作侧信道对措置器进行抨击袭击、对硬件／软件接口实施抨击袭击、对软件进行逆向工程、篡改可执行轨范文件、操作调试工具进行代码破解以及其它的手艺手段等。实践证实，只要有充沛的时刻和金钱，黑客就能够破解任何系统。

DRM的选择对于制造厂商来说有着重年夜的意义。因为分歧的DRM系统可以有分歧的可供营业类型限制，如是否可供给出租或采办营业?是否内容可以输出或桥接到另一个DRM系统中?为了撑持PVR/未来播放功能，所选择的DRM系统必需许可内容在当地可以以原DRM系统名目进行存储，或许可与其它的当地DRM系统进行输出或桥接以实现当地储存。

总而言之，同化式机洞盒模式可觉得机顶盒原始设备制造厂商实现或供给立异的内容营业供给机缘。要达到上述方针，必需稳重选择DRM手艺以及呵护DRaM和内容资产所要求的系统平安级别。

自力的前提领受

有线和卫星营业因为收集的限制而使得一些设备(如PC和消费电子设备等)无法年夜这些收集中领受到内容。按照CableLabs和DVB—CI+中的CableCARD规范，前提领受系统必需包含在一个自力的“可分手的平安设备”中，而不是与机顶盒进行集成。在北美，截止到2007年7月，不再许可在机顶盒中集成前提领受系统。在欧洲，要求所有的电视机必需设置装备摆设一个前提领受模块(CAM)插槽。

年夜平安性的角度来看，如不美观钭前提领受置入PCMCIA卡中，事实上会带来一些怪异的平安挑战。前提领受智能卡负责将基于运营商的内容平安呵护解除并将内容加密到一个特定的名目傍边，使之能经由过程PCMCIA母线传输到主机设备(如机顶盒、数字有线电视机或PVR)傍边。这种年夜前提领受向DRM接口的转录必需在平安状况下进行，各类际准也对此种操作的台规性和鲁棒性轨则做出了划定。

对于CableCARD和tru2xvay{TM)来说，其合规性和鲁棒性原则在《有线tru2way(TM)设备许可和谈》，即页堪财之为《CableCARD主机接口许可和谈(CHILA)》中进行了规范。对于其它的DRM系统来说，要知足合规性和鲁棒性原则凡是意味着在呵护平安代码不被改削或篡改的同时能对设备证书、加密密钥和其它神秘信息予以呵护。未能知足合规性要求或违反了平安性规范都将会导致合约性抵偿、设备许可证实日销和营业间断等风险。

虽然自力的前提领受模块可以解决一些需求，但额外的市场、成本及手艺身分仍促使前提领受系统向可下载模式成长。在此种模式下，运营商可以在不增添新硬件或不挪用新营业的情形下对所需要的前提领受系统进行部署或进级。当软件前提领受系统被部署后，机顶盒上的前提领受客户端也应实施响应的平安呵护以防止软件被破解。

数字家庭收集

家庭收集、无线领受以及便携式设备使内容不仅可以在电视上使用。还可以在一系列收集撑持设备(如机顶盒、数字电视、数字／小我视频录像机、小我电脑、便携式媒体播放器)上使用。消费者要求可在任何设备中无缝领受授权内容，使得机顶盒原始设备制造厂商有机缘操作立异的、面向用户的产物特征来细分自己的产物。可是，内容的可移动性越高，平安风险也就越高，这是因为如不美观内容在越来越多的设备上使用，内容遭遇盗版的机缘也灰忄应增添。

多房间小我视频录像机

在同化式机顶盒撑持内容年夜互联网向家庭分发的同时，数字家庭功能的机顶盒也实现了将付费内容分发到统一家庭中的其他设惫亓?功能。机顶盒制造厂商必需在其家庭收集设备中添加额外的DRM功能以撑削发庭内的传布输或设备间的内容传输。传统有线和卫星营业模式已经看到了PVR所取得的重年夜成功。这种成功也使消费者要求其所有的电视都可以领受到PVR内容。

为了更经济地实现这一多房间PVR的理念，一些拓馇运营商更愿意刊行必然数目的小型、低成本的“后世级”机顶盒，以便年夜年夜型、成本较高的“怙恃级”PVR中领受录制的节目。如不美观内容在家庭收集中以流的形式进行传输，后世级机顶盒就不需要进行当地内容存储，也不需要配备一个零丁的有线卡接口，是以年夜年夜降低了材料成本。这种模式也发生了一些新的平安挑战，例如，设备问内容的传输必需由一个“链接呵护”DRM进行平安呵护。不管是后世级机顶盒，仍是怙恃级机顶盒，都必需将DRM功能集成到此鱿脯怙恃级机顶盒必需能够平安地将当地呵护内容桥接到毗连呵护的DRM傍边。

小我电脑(PC)的互操作性

在对内容进行平安呵护时，小我电脑凡是被认为是平安性最亏弱的一个环节。与其它在相列封锁的硬件平台上运行的“嵌入式”设备分歧，小我电脑是一个完全开放的系统，用户可以随心所欲地安装自己选择的应用轨范，这其中就搜罗黑客和轨范调试软件。这种情形可谓是最难予以呵护的情形，因为用户可以等闲地使用编译轨范、调试轨范、内存破损轨范等在PC长进行篡改或运行逆向工程软件。是以，PC软件制造商必需使用最前沿的前进前辈手艺来呵护其应用轨范不被篡改。比来在PC上就呈现了良多被普遍应用的内容抨击袭击轨范，如ACCS和FairUse4WM等。

为了使PC能够成功地与内容情形进行融合，就必需在PC上安装一个撑持DRAVl手艺的播放应用轨范，以使PC实现年夜机顶盒或其它内容源领受到内容的目的。在某些情形下，运营商可能但愿经由过程某种PC应用轨范来终止或播放受前提领受呵护的内容。在这种气象下，PC可与单向开放式有线领受器(OCCUR)或双向开放式有线领受器(BOCR)连系使用，由这些领受器负责解除前提领受加密，并应用DRM轨范对内容在向PC传输的过程中进行平安呵护。在PC端，必需确保整个视频措置过程的平安性，搜罗确保平安驱动轨范的解密、解改暌姑、解码和传输等过程的平安性。同时，内容必需在任何时辰也不能以压缩形式传输到用户可访谒的总线中。在这些气象下，PC应用轨范和OCUR／BOCR设备将会充实操作DRM手艺。OCUR／BOCR设备必需能够知足CableCARD接口的合规性和鲁棒性轨则，以及能够为到期的前提领受系统与经由过程数字领受机接口即将到期的DRM之间成立平安的桥接。

如不美观某个运营商或机顶盒原始设备制造厂商选择了将PC纳入到其数字家庭情形傍边，他们必需清嚣张的意识到这样敞将会给平安性带来什么样的影响。如不美观运营商或机顶盒制造商自行设计了PC客户端或操作某个第三方的播放器。他们必需确保其具备响应的软件平安呵护级别。如不美观来能恰当的对其PC应用轨范进行呵护，那么PC就会成为黑客最轻易抨击袭击的方针。

其它的消费电子设备

用户还但愿在一系列的消费电子设备中实现对内容的访谒。他们但愿能将其优质的内容存入到他们的标识表记标帜本电脑、便携式媒体播放器或手机中。这些内容使用场景要求内容必需是经由加密呵护的，是以，这些设备也须响应地集成DRaM手艺。在某些情形下，受呵护的内容可以操作DRM手艺经由过程主机顶盒将内容输出到另一台设备傍边。如不美观方针设备使用的是统一种DILM手艺，则主机顶盒仅需要向方针设备平安地生成一个新的内答应可证书。在某些气象下，主设备必需具备年夜当地DRM向方针DRM进行内容的代码转换和转秘的功能。上述所有这些气象都应在确保平安性的前提下进行，年夜而确保内容不会被泄露，内容的版权不会被篡改。

在曩昔，内容的可移动性很难实现，这是因为良多DRM尺度和设备撑持上存在许可限制。而新兴的一些DRM尺度，如PlayReady和Marlin等，将会提高“方针设备”的数目。提高互操作性的体例之一就是对可顺应任何具体DRM尺度的某种DRM基本构架加以充实操作，使DRM按需部署或按营业要求进行设置装备摆设。这种面向未来的计谋能使商业模式及营业在不需要营业召回和设备置换的气象下获得成长。