運營商ITV 機頂盒安全現狀及安全防護探討

2020-01-02 09:44:33鄭柳清

鄭柳清，張欣

（中國電信股份有限公司海南分公司，海口 570216）

1 機頂盒現狀

運營商ITV 機頂盒主要由華為、中興公司提供，其他還有烽火、長虹、海信、創維、大亞和UT。當前主流的ITV 機頂盒均為ARM 架構，較少見到MIPS 架構。常見的是四核Cortex A7架構（中低端）和四核Cortex A9架構（高端）。常見的芯片方案有瑞芯微、海思、全志、晶晨和聯發科等。

基本硬件方面CPU 為四核1.5GHZ 及以上；RAM為1G byte 及以上，32bit DDR3 及以上；FLASH 為8G byte 及以上，至少為EMMC；GPU 為四核以上。

接口硬件方面要求USB2.0*2，SD 卡接口，MINI CVBS，HDMI 1.4a，至少一個RJ45 10/100BaseT 網絡接口，內置無線網絡支持802.11b/g/n。

操作系統一般為Android 4.4 及以上版本；網絡接入支持PPPOE、DHCP 和固定IP 接入；網絡協議支持HLS、DLNA 和IPV6；頁面方面支持HTML5 和CSS3的標清/高清EPG。

視頻解碼能力方面支持1080P 的H.264 高清視頻解碼；4K 規格的H.265 超高清解碼；1080P 的H.264編碼3D 視頻解碼；互聯網及本地視頻支持MPEG1、MPEG2、MPEG4 等，封裝格式支持TS、MP4、MKV、AVI 等。

ARM/Android 架構的設備，由于Android 平臺各層級大量復用不同代碼，經常有各類漏洞報道，而且高危漏洞較多；而ARM 方面由于是硬件架構，一旦存在漏洞基本都是高危。因此，ITV 機頂盒操作系統和組件的漏洞是非常嚴重的。

此類安全風險存在于兩個方面。一個是局方出于機頂盒管理、視頻質量分析和用戶行為分析的目的，在機頂盒內預置的第三方軟件，可能存在風險。另外一個是用戶自行安裝的Android 應用軟件，存在安全漏洞或被嵌入木馬。

廠家出廠默認配置中，或者是局方采用了一些模版化的配置后，留下的安全風險。例如，缺省的登陸密碼，缺省的SNMP community string 等。

ITV 機頂盒設備在正常的業務端口和管理端口外，可能無意開放一些不必要的SSH、Web 或FTP 類端口。這些服務端口會成為設備的安全隱患。

由于ITV 機頂盒在工作過程中要與多個周邊配套系統進行交互，如果周邊系統受到攻擊利用，則會導致機頂盒的安全受到威脅。

默認關閉串口調試功能，需要特定的串口板才能打開并輸出命令，并且從軟件層面禁止輸入命令。

使用芯片級高安功能，高安秘鑰保存到芯片制定分區，如果軟件沒有使用正確高安簽名，將沒法啟動，防止被刷機到非廠家正式的版本。

使用BGA 封裝的主芯片、內存、FLASH，將防止里面的用戶信息、視頻內容等被外部設備截取。

廠家對固件的寫入和升級過程需要嚴格控制，對檢測合格的固件發放數字證書，寫入固件之前需要相應的數字證書檢測機制，其他禁止寫入。

嚴格執行“代碼數據分離原則”，避免把敏感數據固化在操作系統之中。

啟用操作系統的安全沙箱機制，做到系統文件、資源及內核都與用戶應用程序相隔離。

嚴格管理USB 接口或SD 卡接口權限，默認禁止通過USB 或SD 卡安裝各種應用。

所有安裝應用使用統一簽名，非正確簽名的應用不允許安裝和獲得 root 權限。

禁用機頂盒自帶瀏覽器或應用商城等軟件。

數據傳輸過程存在被截獲或被篡改的風險，涉及用戶信息的通信應采用端到端的加密方式，保證數據的保密性。

通過消息認證碼MAC（Message Authentication Code）來保證數據的真實性和完整性。對加密傳輸的數據和明文傳輸的數據都可以進行 MAC 校驗。

基于對機頂盒安全現狀和存在風險的詳細分析，實施針對性的網絡安全防護，是ITV 運維的一個重要部分。通過落實硬件安全、系統安全、應用安全和數據安全方面的防護措施，大部分終端機頂盒的安全問題都能夠解決，確保ITV 業務的穩定運營和快速發展。

數字通信世界的其它文章: 事故隱形戰斗機的搜救問題; 關于網絡安全等級保護2.0 在政務云中的應用研究; 圓偏光片及反射式液晶顯示器的設計與應用; 數控程序模塊化設計及應用; Φ-OTDR 技術在電力系統光纜監測中的應用; 一體化小基站系統中回傳網絡的應用研究