早期的CA技术只是简单地在前端将传输信道加扰。这类CA多用于单向的模拟电视时代,会对电视信号产生损耗,而且容易被**和复制,现在已经被淘汰。目前单向广播网络中,常用的方法是对信元进行加扰。这也是当前世界上广泛应用的一种方式。未来的双向网络中,CA技术需要能够实现四种安全性质:身份真实性;数据机密性;信息完整性;交易行为不可抵赖性。这些安全性质在单向网中是不可能达到的,因为单向网的集中式CA系统的结构是单一的
早期的
CA技术只是简单地在前端将传输信道加扰。这类CA多用于单向的模拟电视时代,会对电视信号产生损耗,而且容易被**和复制,现在已经被淘汰。目前单向广播网络中,常用的方法是对信元进行加扰。这也是当前世界上广泛应用的一种方式。 未来的双向网络中,CA技术需要能够实现四种安全性质:身份真实性;数据机密性;信息完整性;交易行为不可抵赖性。这些安全性质在单向网中是不可能达到的,因为单向网的集中式CA系统的结构是单一的,**者有足够的时间研究完全**方案,更不用说实现上述的安全性质了,更换密钥、备份算法等辅助措施,弥补不了这个根本的缺陷。而双向网则不同,通过采用:建立在双向点到点通信方式上的安全认证技术、数据加密技术和水印技术这些CA技术可以做得更好(由于水印技术目前未成熟,后面不再叙述)。
下面以SumaVision的Stream-Guard双向CAS为例来说明安全认证和数据加密技术。
一 StreamGuard双向CAS
StreamGuard双向CAS是在数码视讯StreamGuard单向CA系统的基础上开发出来的,它是一套能同时支持单向和双向网络的条件接收系统。StreamGuard单向CAS已经得到了广泛的应用,经过了大量用户的检验,获得了各地运营商的一致好评,在这基础上,我们不失时机地推出了双向CAS,努力为各地运营商提供更完善的服务。
二 CA技术
1. 安全认证机制
从StreamGuard双向CAS的系统结构图中也可以看出,我们的认证机制分两层的认证:双向通道的认证和CAS数据的认证,CAS数据的认证又包括
IC卡的认证和机卡的认证,这里主要介绍一下双向通道的认证机制。 双向通道认证主要在安全认证中心和安全处理
模块之间进行,大体采用的是DASS协议:安全认证中心和安全处理模块有各自的私钥和对方的公钥。 过程如下:安全处理模块主动与安全认证中心建立
TCP连接后,它产生一个随机会话密钥K和一个公钥/私钥密钥对KA/KP,它用K加密时间标记TA,然后用它的私钥KA对密钥的寿命周期L、它的名字A和KP签名。最后,它用安全认证中心的公钥KB加密,并用KP签名。它将所有这些消息发给安全认证中心,即:把EK(TA),S KA(L,A,KP),S KP[
EKB(K)]给安全认证中心。安全验证中心验证安全处理模块的签名并恢复出KP,验证签名并用KA恢复K。然后解密TA以确信这是当前的消息。这样,安全认证中心完成了对安全处理模块的鉴别,双方交换了会话密钥K。
