必看：广电机顶盒原理

机顶盒加密系统称之为条件接受系统（Contional Access），广电说的CA系统就是它了。付费频道实际上就是CA加密的频道，必须经过广电授权才能够解密。MPEG2码流经过通用加扰器加扰后，需要密钥进行还原，这个密钥就是CW（Control Word）。不同家CA的解密过程就是对CW复原，并把它传送到机顶盒解扰器。

广电机顶盒解码原理



机顶盒通过高频头收下来是加扰并复用过的TS，首先机顶盒对它进行解复用（Demux），并提取出其中的加密过的ECM、EMM传送给IC卡，IC卡计算出CW控制字后传送给解扰器，解扰器根据控制字还原加扰码流，输出清流，也就是没有加密的码流传递给解码器，供解码器进行MPEG2正常解码。CW一般为8个字节，每隔5－10秒钟更换一次。

从上面的CA解密原理中可以看出其中可能存在的安全漏洞。在IC卡的条件接收系统传递CW的这个过程中，是可能被攻破的。

一般来说，IC向解扰器传递CW有三种可能：

第一种情况：直接传递明文。

这种情况最简单，只要把CW捕捉下来传递给其他机顶盒即可。

第二种情况：加密传送，密钥与机顶盒号无关。

这种情况也简单，直接传递CW密文即可。

第三种方法：加密传送，密钥与机顶盒号相关。

这种方法非常复杂，一定要推算出它的加密方法才行。按照现在通用的加密算法，如RSA或者DES，要推算出它的CW几乎是不可能的。

我在电子市场上买了个读卡器，稍加改造，截取CW并通过RS232发送到我的PC上。图2为PC捕获到的同方CA回传的控制字。

PC机截取的CW控制字



CW是没有加密的，而且差不多10秒钟换一次。

已经分析得差不多了，下面问题的关键就是捕获到CW，并把捕获到的CW传送给其他机顶盒，就大功告成了。哈哈哈。经过连续几周的折腾，基本搞定了破解方案。

CA破解方案



（1）在电子市场买了一个读卡器，改装成一张CW捕捉卡，它的作用是将IC卡（条件接受系统）中回传信息拷贝并发送到RS232接口。

（2）PC机接收发送过来的CW信息，显示在屏幕上，并通过局域网UDP组播协议发送到其他未授权机顶盒。

（3）最后，这也是最复杂的一个部分，需要做一个CW接收卡。它的作用是通过IP网口接收UDP传送过来的CW，并通过ISO7816接口传送给机顶盒。说白了，就是复制了一张CA卡。

万事具备、只欠成功了！！

需要注意的是，一定要使用非同方CA的机顶盒，这是本大侠鏖战2个礼拜的成就。原因是装有同方CA的机顶盒在开机时候与智能卡之间做了一个掩耳盗铃的伪配对。一旦避开这个过程，配对就不发挥作用了。哈哈哈。现在我们家的三台电视都可以正常收看到付费频道了。