数字电视CAS主动防御方法理论研究.doc

数字电视CAS主动防御方法理论研究 网络纵横II工科技2007年第4期10 数字电视CAS主动防御方法理论研究 张颖 (中国民航大学) 摘要CA(奈件接收)系统在数字电视中有着重要的地位,是体现数字电视个性化,保障数字电视增值业务发展的关键, 因~cCAS的安全性显得尤其重要本文就现有的CA系统防御方法进行了分析,并结合在网络安全中应用发展的主动防御技术, 提出了一种新的CA系统主动防御体系. 关键词CAS数字电视条件接收主动防御理论研究 数字电视机CA系统在工作时都会受到非法用户的攻击,传统 的抵御非法用户攻击的方法是频繁更换CW,SK以及加长密钥长 度,以求避免CA系统被快速攻破.资料显示美国NBS的64位密钥 也会在三天之内被高性能计算机解密;国内某电视网络运营商采用 的NAGA系统在一个月内也被解密.因此这种被动的防御策略并不 能解决用户的实际要求.况且无限地增加密钥长度只会增加对终端 系统的技术要求,从而增加终端i殳备成本,最终增加的成本还是由 数字电视终端用户承担.因此找到一种可以较长时『H】抗攻击的方法 是数字电视系统今后的主要研究方向. 1现有CA系统防御方法 目前国际上和国内的CA系统安全防御方法大概有两种:一种 是基于密钥的安全体系,系统的安全性依靠密钥的保密;另一种是 基于算法的安全体系,系统的安全性依赖于算法的保密…. 国外的CA系统防御普遍采用基于密钥的方法.如爱迪德, Nagravision,Canal+Technologies,Motorola,Viaccess等.盗版者 一 般是盗取智能上的信息或是在密码的传输通道上做文章.因此 基于密钥的CA系统在技术,法律上建立了一整套严密,细致的反 盗版解决方案.如每隔一段时间把加密系统版本升级;频繁更换解 扰密钥,即控制字CW,通常在10s以内至少要发生1次变化.这 样可以保证系统的可靠性.但如果CW的整个周期被破解,对整个 系统将是灾难性的.NDS的CA是采用基于算法的方法.由于 CW变化较快,所以选择加密强度较高,加密较快的DES,IDEA等 算法;而业务密钥SK变化较慢,所以选择加密强度更高,加密较 慢的RSA等算法.总的来说,虽然目前通过穷举攻击,数学攻击和 计时攻击等对加密算法的破译并未造成太大的威胁,但随着计算机 水平和信息处理技术的发展,针对现有算法的攻击必定成为CA系 统安全的一个隐患. 国内的CA系统防御也普遍采用基于密钥的方式,一般都采用 机卡分离设计.这种方法安全性较高,并且成本不是很高,方便用 户付费. 在攻与防的一对矛盾中,攻方总是处于主动地位,防御总是处 于被动地位.防御系统,保护构筑与_JF发总是落后于攻击技术的发 展.到20H01年7月止,国际公认的网络入侵方法有1500多种,而最 先进的入侵检测系统只能检测O00多种”‘.所以构造主动防御体系 具有重大的意义.在以上的CA系统中其防御措施都属于被动防御. 因此采用主动防御方法可以更为有效的提高CA系统的安全性. 2网络主动防御方法 2.1概述 网络主动防御技术属于网络防护范畴.网络防护可以划分为被 动防护和主动防护.被动防护包括路由器过滤,防火墙等内容;主 动防护在充分利用被动防护技术的基础上,还包括攻击预警,入侵 检测,网络攻击诱骗和反向攻击等内容网络主动防御技术就是在 增强和保证本地网络安全性的同时,及时发现正在遭受的攻击并采 取各种措施使攻击者不能达到其目的,使本地网络的损失降到最低 的各种方法与技术. 2.2蜜罐技术 “知己知彼”向来是攻防的重点,只有了解攻击手段,掌握入 侵行为规律,才更有可能阻止攻击者对网络的侵害,保护系统的安 全蜜罐(Honcypot)技术是一种主动防御的安全技术,它研究如何 设计一个严格控制的欺骗环境,当系统发生攻击时,诱骗入侵者对 其进行攻击,然后将攻击重定向到该严格控制的环境中,通过监视 攻击者的攻击行为提供预警,发现新的攻击方式,同时吸引攻击者 的注意,抑制对受保护系统的攻击,起到对真实系统的保护,同时 收集入侵信息,记录其活动,了解其使用的方法和技术,追踪其来 源,研究提升系统安全性的方法.入侵诱骗系统在网络防火墙, IDS等安全措施的配合下,能弥补原有被动安全防御的不足,同时 抵御外部和内部的攻击,大大地提升网络安全性能”‘. 3Ca主动防御系统体系 引入蜜罐技术这种主动防御的 思想,结合传统的被动防御方法, 我们可以建立一种基于蜜罐技术的 ca主动防御系统体系,从而更加高 效,安全地抵御各种针对CA的攻击 提高CA的安全性.该体系包括6个图1ca主动防御系统体系模型图 部分:预警,保护,检测,响应,恢复和反击. (1)预警:根据对已经发生的或正在发生的攻击及其趋势的 分析,以及对本地的安全性分析,预警对可能发生的攻击提出警告.