基于廣電網絡的智能終端安全解決方案

孫 庭，姚輝軍，莊 崟

（江蘇省廣電有線信息網絡股份有限公司南京分公司，江蘇 南京 210000）

基于廣電網絡的智能終端安全解決方案

孫 庭，姚輝軍，莊 崟

（江蘇省廣電有線信息網絡股份有限公司南京分公司，江蘇 南京 210000）

介紹了一種良好健全的端到端的安全解決方案，按終端種類的不同，可分為智能機頂盒和電視一體機安全。按安全管控環節可分為防刷機管控、應用安全、商城安全、系統安全等。主要采用了前端管控到終端加密的端到端解決方案，安全廠商提供安全服務器和加密算法，對終端進行安全加密、數字簽名。在終端通過高安芯片，智能卡對傳輸密鑰進行還原，然后使用密鑰對終端系統、商城、應用等進行校驗，確保校驗對象和終端的完全匹配及其自身正確合法，終端預存key和傳輸key就是該方案的核心。最后還介紹了該方案的實施方式以及生產流程。

NGB；一體機和智能機頂盒安全；數字簽名；密鑰傳輸

隨著智能終端接入技術的發展和Android系統的推廣，廣電網絡中基于智能操作系統的終端機頂盒和電視一體機已經大面積出現，智能和開放的操作系統為廣電運營商提供了大量的應用，同時也方便了病毒編寫，也使網絡攻擊更加靈活。智能機頂盒、電視一體機等終端運行在不同程度的開放環境下，需要應對來自應用、網絡多方面的威脅[1-4]。

1 安全機制分析

首先以Android為例來分析嵌入式智能操作系統。操作系統本身是權限分立的，在這類系統中，每個應用都以唯一的系統識別身份運行，系統的各部分也分別使用各自獨立的識別方式，將應用與應用、應用與系統隔離開。

Android的系統架構和其操作系統一樣，采用了分層的架構。Android分為4個層，從高層到低層分別是應用程序層、應用程序框架層、系統運行庫層和Linux內核層。安全分為代碼安全、接入權限、權限驗證、數字簽名、網絡安全、數據庫安全、虛擬機和文件訪問控制。

對Android操作系統的安全機制的闡釋如表1所示。

通過分析如上各個層級的安全控制，在終端安全管控上，認為數字簽名是核心，更適合端到端的安全管控，而簽名的核心就是密鑰的管理，也就是密鑰的下發和保持形式。

2 密鑰管理

需要建立一套基于證書（密鑰）的安全體系，以便提供終端管控的能力基礎[5-10]。終端安全體系采用多級證書完成，詳見圖1。

表1 Android操作系統的安全機制構成

圖1 終端安全體系采用多級證書

在智能電視終端系統中，密鑰管理保存有以下幾種方式，分別為OTP安全芯片方式、CA卡方式、USB Dongle方式、Key partion和DCAS方式。對于智能終端，要按照不同的種類進行劃分，選取適當的密鑰安全管理方式，從而解決智能終端刷機、病毒等的侵害問題。不同的終端需要配備不同的解決方案，例如高安方案、CAS方案、USB dongle、終端下載證書方案等。下面分析不同方案的特點，以便為不同的終端選擇適合的方案。

2.1 高安模式

高安方案，即具備高級安全特性的方案。采用安全芯片的方式存儲密鑰和驗證證書，boot，kernel，sys?tem和recovery的簽名驗證均需要通過安全芯片的計算。其優勢有如下三點：第一，安全芯片保證解擾器外部不再出現明文，高安方案本身具有足夠的抗攻擊能力和抗分析能力；第二，對于安全芯片，從邏輯設計到硬件實現會有一系列的要求，即內部的KEY不能被外部任何軟件訪問，其存儲密鑰不能被分析獲取，要求JTAG端口關閉；第三，安全芯片的OTP紀錄的密鑰和boot，kernel，system，recovery的簽名密鑰一一對應，確保公鑰的安全性，從而保證系統和應用的安全控制。

對于高安原理的解釋，可以用圖2來形象地加以說明。

圖2 高安原理

2.2 CAS模式

CAS模式使用CA卡的控制字作為私鑰。通過加密機進行簽名后的系統和應用使用CA卡的私鑰作為驗證Key，保證系統和應用的管控安全。實現方式如圖3所示，使用USB dongle的模式存儲私鑰和CAS方式相似，私鑰存儲的位置不同而已。

圖3 CAS模式圖示

2.3 下載證書模式

下載證書模式密鑰更新的方式有以下5個流程：首先，通過recovery下載到明文密鑰；然后將密鑰通過Key ladder加密；之后將加密后的密鑰寫入Key par?tion，并更新分區頭信息；之后如果密鑰識別碼與已有密鑰重復，替換原有密鑰；全部密鑰寫入完畢后，對全部密文密鑰做CBC-MAC計算，將結果作為簽名存入Key partion尾部。

通過上文的闡述，對上述3種方案的優劣勢進行了歸納，具體如表2所示。

表2 各種方案優劣勢對比

3 安全管控機制

下文對BootLoder安全管控、操作系統管控、終端應用管控進行進一步分析。

3.1 BootLoder安全管控

Bootloader在運行之前由已經取得的證書密鑰對其進行數據完整性驗證和數據來源可靠性驗證，終端軟件平臺在下載和運行之前由Bootloader對其進行數據完整性驗證和數據來源可靠性驗證，安全認證系統負責管理Bootloader的簽名。

3.2 操作系統管控

操作系統管控可以用圖4進行闡釋。

圖4 操作系統管控

操作系統管控的流程是這樣的：首先上電啟動到Boot鏡像的簽名校驗，Boot依次校驗Key partion/kernel/ System/Recovery分區，簽名校驗算法采用CBC-MAC；Key partion分區簽名校驗Public Key存儲在OTP中，不可更新，Key partion分區中的密鑰已密文存儲；Key par?tion分區的簽名由Recovery完成。Recovery下載明文的密鑰，然后由Keyladder模塊加密，最后將全部密鑰做簽名，將分區頭、簽名和密文密鑰寫入Flash。Boot從參數區讀取AES CBC key，對其他分區做簽名校驗。AESCBC簽名校驗可使用硬件進行。System分區采用偽隨機抽樣，加速讀取。這樣就完成了操作系統管控。

3.3 終端應用管控

終端應用管理采用APK加密方式，防止應用非法安裝、卸載和傳播，如圖5所示。應用安裝的時候需要驗證通過然后繼續工作，APK的簽名由簽名服務器完成，在終端通過內置的校驗模塊算法加私鑰Key完成驗證，保障應用安全，支持二次簽名。

圖5 終端應用管控

在此過程當中，需要加以說明的是：簽名校驗在Android APK安裝代碼中增加，支持簽名逐級檢測。另外為了防止APK擴散，APK以密文存儲。

4 方案實施

廣電的智能終端分為電視一體機和智能終端機頂盒，不同的智能終端可選擇不同的密鑰方案，對應安全管控機制進行實施。電視一體機一般采用CAS方案和終端下載正式方案；Android智能機頂盒多采用高安方案和終端下載證書方案。

4.1 一體機安全特點

一體機安全特點是運行于廣電外網，經外網入內網獲取數據內容，在此環境下，智能一體機是暴露在開放的互聯網網絡上的，容易受到網絡病毒的侵襲，由于一體機并非由廣電發放，在ROOT管控和系統管控上力度不強，所以需要在APP上進行端到端的安全管控。關于電視一體機的安全機制，一般包括應用商店鑒權認證、APK管控、密鑰管理和應用權限管理。

4.2 智能機頂盒安全特點

智能機頂盒特點是運行于廣電內網，既要保障終端的穩定運行，又要保障應用安全，所以建議的安全控制點中，高安方案應使用智能卡作為密鑰存儲介質，使用安全芯片存儲密鑰；應用安全包括存儲數據加密、存儲應用加密、通信過程加密，簽名機在boot，kernel，sys?tem和recovery上簽名，且為應用獨立簽名；服務器安全包括服務器攻擊源定位，機卡綁定，實現精確管控。

5 生產流程

5.1 角色關系

整個產業鏈上的廠商有安全芯片提供商、OS開發商、APPMarket廠商、眾多的APP應用開發廠商、CA廠商和運營商等各個廠商之間的關系如圖6所示。

圖6 各個廠商之間角色關系

5.2 智能終端生產流程

智能終端生產流程如圖7所示。

圖7 智能終端生產流程

5.3 電視一體機生產流程

電視一體機生產流程如圖8所示。

圖8 電視一體機生產流程

6 總結

通過安全項目的研究形成了電視一體機、智能終端機頂盒的安全解決方案。按安全方案的不同，電視一體機更適用CAS方式的安全模式，Android智能機頂盒需要防刷機，推薦使用安全級別高的安全芯片方案和終端下載證書方案。對于應用商店可以采用用戶驗證鑒權的方式，終端運行的應用在安裝和升級均需要安全驗證，并能夠靜默安裝，可以強制升級和刪除。

在本文提出安全解決方案在智能終端和智能一體機中建立一個智能終端的可信平臺。通過增強現有終端體系結構的安全性來保證整個網絡的安全。意義就是在網絡中搭建一個誠信體系，每個終端具有合法的網絡身份，并能夠被認可，而且終端具有對惡意代碼（如病毒、木馬）免疫能力。在這樣的環境中，當任何終端出現問題，都能保證合理取證，方便監控和管理，達到客觀可控的要求。

[1]呂品.智能終端與OTT業務[J].電視技術，2012，36（S1）：34-36.

[2] 鄧水森，王立軍.OTT智能終端典型功能及運營模式探析[J].電視技術，2013，37（6）：17-20.

[3] 劉九評，王正軍，汪兵鋒.廣電運營商OTT策略淺析[J].有線電視技術，2012（10）：49-53.

[4] 鄭杰.終端智能化后的業務合作模式創新[J].電信科學，2013（4）:18-21.

[5]柏巖.NGB——構建炫彩三網融合電視業務的基石[J].廣播電視信息，2013（8）:64-67.

[6] 徐光寶，姜東煥，梁向前.一種強前向安全的數字簽名方案[J].計算機工程，2013（9）：167-169.

[7]徐濤.基于數字簽名技術下淺析網絡通信安全技術[J].數字技術與應用，2013（7）：179.

[8] 胡穎.公開密鑰加密體系和數字簽名技術的研究[J].計算機光盤軟件與應用，2013（11）:298-300.

[9] 王金彥.淺談數字簽名技術的優勢和隱患[J].中小企業管理與科技，2013（9）：227-228.

TN943；TP334

A

?? 盈

2013-10-29

【本文獻信息】孫庭，姚輝軍，莊崟.基于廣電網絡的智能終端安全解決方案[J].電視技術，2014，38（6）.