基于广电网络的智能终端安全解决方案

孙 庭，姚辉军，庄 崟

（江苏省广电有线信息网络股份有限公司南京分公司，江苏 南京 210000）

基于广电网络的智能终端安全解决方案

孙 庭，姚辉军，庄 崟

（江苏省广电有线信息网络股份有限公司南京分公司，江苏 南京 210000）

介绍了一种良好健全的端到端的安全解决方案，按终端种类的不同，可分为智能机顶盒和电视一体机安全。按安全管控环节可分为防刷机管控、应用安全、商城安全、系统安全等。主要采用了前端管控到终端加密的端到端解决方案，安全厂商提供安全服务器和加密算法，对终端进行安全加密、数字签名。在终端通过高安芯片，智能卡对传输密钥进行还原，然后使用密钥对终端系统、商城、应用等进行校验，确保校验对象和终端的完全匹配及其自身正确合法，终端预存key和传输key就是该方案的核心。最后还介绍了该方案的实施方式以及生产流程。

NGB；一体机和智能机顶盒安全；数字签名；密钥传输

随着智能终端接入技术的发展和Android系统的推广，广电网络中基于智能操作系统的终端机顶盒和电视一体机已经大面积出现，智能和开放的操作系统为广电运营商提供了大量的应用，同时也方便了病毒编写，也使网络攻击更加灵活。智能机顶盒、电视一体机等终端运行在不同程度的开放环境下，需要应对来自应用、网络多方面的威胁[1-4]。

1 安全机制分析

首先以Android为例来分析嵌入式智能操作系统。操作系统本身是权限分立的，在这类系统中，每个应用都以唯一的系统识别身份运行，系统的各部分也分别使用各自独立的识别方式，将应用与应用、应用与系统隔离开。

Android的系统架构和其操作系统一样，采用了分层的架构。Android分为4个层，从高层到低层分别是应用程序层、应用程序框架层、系统运行库层和Linux内核层。安全分为代码安全、接入权限、权限验证、数字签名、网络安全、数据库安全、虚拟机和文件访问控制。

对Android操作系统的安全机制的阐释如表1所示。

通过分析如上各个层级的安全控制，在终端安全管控上，认为数字签名是核心，更适合端到端的安全管控，而签名的核心就是密钥的管理，也就是密钥的下发和保持形式。

2 密钥管理

需要建立一套基于证书（密钥）的安全体系，以便提供终端管控的能力基础[5-10]。终端安全体系采用多级证书完成，详见图1。

表1 Android操作系统的安全机制构成

图1 终端安全体系采用多级证书

在智能电视终端系统中，密钥管理保存有以下几种方式，分别为OTP安全芯片方式、CA卡方式、USB Dongle方式、Key partion和DCAS方式。对于智能终端，要按照不同的种类进行划分，选取适当的密钥安全管理方式，从而解决智能终端刷机、病毒等的侵害问题。不同的终端需要配备不同的解决方案，例如高安方案、CAS方案、USB dongle、终端下载证书方案等。下面分析不同方案的特点，以便为不同的终端选择适合的方案。

2.1 高安模式

高安方案，即具备高级安全特性的方案。采用安全芯片的方式存储密钥和验证证书，boot，kernel，sys⁃tem和recovery的签名验证均需要通过安全芯片的计算。其优势有如下三点：第一，安全芯片保证解扰器外部不再出现明文，高安方案本身具有足够的抗攻击能力和抗分析能力；第二，对于安全芯片，从逻辑设计到硬件实现会有一系列的要求，即内部的KEY不能被外部任何软件访问，其存储密钥不能被分析获取，要求JTAG端口关闭；第三，安全芯片的OTP纪录的密钥和boot，kernel，system，recovery的签名密钥一一对应，确保公钥的安全性，从而保证系统和应用的安全控制。

对于高安原理的解释，可以用图2来形象地加以说明。

图2 高安原理

2.2 CAS模式

CAS模式使用CA卡的控制字作为私钥。通过加密机进行签名后的系统和应用使用CA卡的私钥作为验证Key，保证系统和应用的管控安全。实现方式如图3所示，使用USB dongle的模式存储私钥和CAS方式相似，私钥存储的位置不同而已。

图3 CAS模式图示

2.3 下载证书模式

下载证书模式密钥更新的方式有以下5个流程：首先，通过recovery下载到明文密钥；然后将密钥通过Key ladder加密；之后将加密后的密钥写入Key par⁃tion，并更新分区头信息；之后如果密钥识别码与已有密钥重复，替换原有密钥；全部密钥写入完毕后，对全部密文密钥做CBC-MAC计算，将结果作为签名存入Key partion尾部。

通过上文的阐述，对上述3种方案的优劣势进行了归纳，具体如表2所示。

表2 各种方案优劣势对比

3 安全管控机制

下文对BootLoder安全管控、操作系统管控、终端应用管控进行进一步分析。

3.1 BootLoder安全管控

Bootloader在运行之前由已经取得的证书密钥对其进行数据完整性验证和数据来源可靠性验证，终端软件平台在下载和运行之前由Bootloader对其进行数据完整性验证和数据来源可靠性验证，安全认证系统负责管理Bootloader的签名。

3.2 操作系统管控

操作系统管控可以用图4进行阐释。

图4 操作系统管控

操作系统管控的流程是这样的：首先上电启动到Boot镜像的签名校验，Boot依次校验Key partion/kernel/ System/Recovery分区，签名校验算法采用CBC-MAC；Key partion分区签名校验Public Key存储在OTP中，不可更新，Key partion分区中的密钥已密文存储；Key par⁃tion分区的签名由Recovery完成。Recovery下载明文的密钥，然后由Keyladder模块加密，最后将全部密钥做签名，将分区头、签名和密文密钥写入Flash。Boot从参数区读取AES CBC key，对其他分区做签名校验。AESCBC签名校验可使用硬件进行。System分区采用伪随机抽样，加速读取。这样就完成了操作系统管控。

3.3 终端应用管控

终端应用管理采用APK加密方式，防止应用非法安装、卸载和传播，如图5所示。应用安装的时候需要验证通过然后继续工作，APK的签名由签名服务器完成，在终端通过内置的校验模块算法加私钥Key完成验证，保障应用安全，支持二次签名。

图5 终端应用管控

在此过程当中，需要加以说明的是：签名校验在Android APK安装代码中增加，支持签名逐级检测。另外为了防止APK扩散，APK以密文存储。

4 方案实施

广电的智能终端分为电视一体机和智能终端机顶盒，不同的智能终端可选择不同的密钥方案，对应安全管控机制进行实施。电视一体机一般采用CAS方案和终端下载正式方案；Android智能机顶盒多采用高安方案和终端下载证书方案。

4.1 一体机安全特点

一体机安全特点是运行于广电外网，经外网入内网获取数据内容，在此环境下，智能一体机是暴露在开放的互联网网络上的，容易受到网络病毒的侵袭，由于一体机并非由广电发放，在ROOT管控和系统管控上力度不强，所以需要在APP上进行端到端的安全管控。关于电视一体机的安全机制，一般包括应用商店鉴权认证、APK管控、密钥管理和应用权限管理。

4.2 智能机顶盒安全特点

智能机顶盒特点是运行于广电内网，既要保障终端的稳定运行，又要保障应用安全，所以建议的安全控制点中，高安方案应使用智能卡作为密钥存储介质，使用安全芯片存储密钥；应用安全包括存储数据加密、存储应用加密、通信过程加密，签名机在boot，kernel，sys⁃tem和recovery上签名，且为应用独立签名；服务器安全包括服务器攻击源定位，机卡绑定，实现精确管控。

5 生产流程

5.1 角色关系

整个产业链上的厂商有安全芯片提供商、OS开发商、APPMarket厂商、众多的APP应用开发厂商、CA厂商和运营商等各个厂商之间的关系如图6所示。

图6 各个厂商之间角色关系

5.2 智能终端生产流程

智能终端生产流程如图7所示。

图7 智能终端生产流程

5.3 电视一体机生产流程

电视一体机生产流程如图8所示。

图8 电视一体机生产流程

6 总结

通过安全项目的研究形成了电视一体机、智能终端机顶盒的安全解决方案。按安全方案的不同，电视一体机更适用CAS方式的安全模式，Android智能机顶盒需要防刷机，推荐使用安全级别高的安全芯片方案和终端下载证书方案。对于应用商店可以采用用户验证鉴权的方式，终端运行的应用在安装和升级均需要安全验证，并能够静默安装，可以强制升级和删除。

在本文提出安全解决方案在智能终端和智能一体机中建立一个智能终端的可信平台。通过增强现有终端体系结构的安全性来保证整个网络的安全。意义就是在网络中搭建一个诚信体系，每个终端具有合法的网络身份，并能够被认可，而且终端具有对恶意代码（如病毒、木马）免疫能力。在这样的环境中，当任何终端出现问题，都能保证合理取证，方便监控和管理，达到客观可控的要求。

[1]吕品.智能终端与OTT业务[J].电视技术，2012，36（S1）：34-36.

[2] 邓水森，王立军.OTT智能终端典型功能及运营模式探析[J].电视技术，2013，37（6）：17-20.

[3] 刘九评，王正军，汪兵锋.广电运营商OTT策略浅析[J].有线电视技术，2012（10）：49-53.

[4] 郑杰.终端智能化后的业务合作模式创新[J].电信科学，2013（4）:18-21.

[5]柏岩.NGB——构建炫彩三网融合电视业务的基石[J].广播电视信息，2013（8）:64-67.

[6] 徐光宝，姜东焕，梁向前.一种强前向安全的数字签名方案[J].计算机工程，2013（9）：167-169.

[7]徐涛.基于数字签名技术下浅析网络通信安全技术[J].数字技术与应用，2013（7）：179.

[8] 胡颖.公开密钥加密体系和数字签名技术的研究[J].计算机光盘软件与应用，2013（11）:298-300.

[9] 王金彦.浅谈数字签名技术的优势和隐患[J].中小企业管理与科技，2013（9）：227-228.

TN943；TP334

A

�� 盈

2013-10-29

【本文献信息】孙庭，姚辉军，庄崟.基于广电网络的智能终端安全解决方案[J].电视技术，2014，38（6）.