薛淞文+王嬌

摘 要：TVOS系統(tǒng)安全對終端機頂盒的可靠運行、搭載業(yè)務(wù)的有序開展及用戶安全使用起到?jīng)Q定性作用。TVOS智能終端在運行過程中，所有數(shù)據(jù)的安全傳遞全部通過對應(yīng)的密鑰對來加解密驗簽，而密鑰對的安全產(chǎn)生、傳遞和管理由CA安全中心完成。文章主要圍繞啟動安全、系統(tǒng)安全及應(yīng)用安全這三個安全體系展開。

關(guān)鍵詞：TVOS；CA安全中心；密鑰；簽名校驗

中圖分類號：TP309 文獻標(biāo)識碼：A 文章編號：2095-1302（2017）06-00-04

0 引 言

陜西廣電網(wǎng)絡(luò)已研發(fā)完成基于國家廣電總局TVOS智能電視操作系統(tǒng)的終端機頂盒，并在陜西各地市進行了規(guī)模試點應(yīng)用。公司考慮到后期的運營安全，應(yīng)對系統(tǒng)刷機、系統(tǒng)侵入、違規(guī)應(yīng)用等重點安全問題，提出了CA安全中心解決方案。該方案貫穿了TVOS終端的啟動安全、系統(tǒng)安全以及應(yīng)用安全三個層次的密鑰生成、管理和流轉(zhuǎn)的安全自動化流程，實現(xiàn)終端安全可管可控的目的。

1 CA安全中心體系架構(gòu)

1.1 安全分層體系

TVOS的安全保障需通過多個層級來實施，CA安全中心是各層級安全方案實施的核心，同TVOS各業(yè)務(wù)平臺及支撐系統(tǒng)有機協(xié)同，形成一條可靠可信的層次化安全信任鏈，最終實現(xiàn)保證系統(tǒng)安全的目標(biāo)。TVOS終端安全管控體系主要劃分為啟動安全體系，系統(tǒng)安全體系，應(yīng)用安全體系。

1.1.1 啟動安全體系

該層是TVOS安全的基礎(chǔ)，保證數(shù)據(jù)的安全存儲及數(shù)據(jù)的不可篡改性。由機頂盒提供特定的硬件，并燒錄專用的固化程序，實現(xiàn)對后續(xù)加載步驟的安全保障。

1.1.2 系統(tǒng)安全體系

該層主要是在TVOS的前端與終端之間建立一條可靠可信的安全數(shù)字證書體系，通過PKI體系的密鑰管理技術(shù)與數(shù)字證書實現(xiàn)TVOS終端運行軟件及各應(yīng)用的管控安全，并對終端數(shù)據(jù)信息進行有效保護，實現(xiàn)對后期新增的涉及用戶賬戶資金安全及用戶信息安全的支撐。

1.1.3 應(yīng)用安全體系

該層主要由應(yīng)用商店服務(wù)端與客戶端相互配合，實現(xiàn)對受信應(yīng)用的推薦、安裝及應(yīng)用程序的管理。涉及到標(biāo)準(zhǔn)的APK簽名機制，采用特定的應(yīng)用管理安全策略，為TVOS終端應(yīng)用的下載、安裝和使用提供安全管控機制。

圖1所示為TVOS安全分層體系。在自下而上的三個安全分層中，下層安全是上層安全的基礎(chǔ)，上層安全是下層安全的保障。

1.2 總體架構(gòu)說明

CA安全中心以Web頁面形式展現(xiàn)，充分利用B/S模式的優(yōu)勢提高系統(tǒng)的可維護性和便捷性。CA安全中心通過生成密鑰及數(shù)字證書完成相應(yīng)TVOS操作系統(tǒng)鏡像、BootLoader、TVOS應(yīng)用的安全簽名，同時完成TVOS終端應(yīng)用認(rèn)證管理、應(yīng)用黑白名單管理及每個TVOS應(yīng)用的權(quán)限管理。圖2所示為CA安全中心總體架構(gòu)。

（1）CA安全中心通過接口將簽名好的數(shù)據(jù)文件交給申請簽名的機頂盒廠商與軟件廠商。

（2）應(yīng)用商城通過接口推送給CA安全中心未簽名的TVOS應(yīng)用軟件用于簽名，CA安全中心將簽名完成后的TVOS應(yīng)用軟件打包，再通過接口交由應(yīng)用商城上架。

（3）系統(tǒng)也預(yù)留了與廣電總局TA平臺接口，完成與總局TA平臺的密鑰證書交互。

2 CA安全中心實施方案

2.1 硬件安全管理

2.1.1 CA安全中心密鑰/證書管理建設(shè)內(nèi)容

CA安全中心通過可視化的Web頁面實現(xiàn)多種芯片的密鑰申請、生成、查詢、修改，同時實現(xiàn)對各參與方包括終端廠商、芯片廠商、應(yīng)用商店及CA中心人員的角色管理，以及相關(guān)密鑰的申請、下載、查詢、數(shù)據(jù)導(dǎo)入導(dǎo)出權(quán)限等。陜西廣電CA安全中心對密鑰/證書的管理主要包括以下五個方面：

（1）Chip ID管理：Chip ID也稱作OTP高安芯片的公開標(biāo)識符，其標(biāo)注信息包括芯片廠商、芯片型號及芯片的全球唯一標(biāo)識符等相關(guān)信息。CA安全中心目前采用與芯片廠家對接，并以文件導(dǎo)入的方式實現(xiàn)存儲相關(guān)芯片的Chip ID。

（2）BL_KEY0管理：BL_KEY0的公私鑰對由CA安全中心自動生成，BL_KEY0私鑰用于對指定的BL_KEY1公鑰簽名，然后由終端廠商燒錄到機頂盒；BL_KEY0的公鑰需嵌入高安芯片的安全區(qū)域，用于TVOS終端啟動時對BL_KEY1私鑰的驗證。

（3）BL_KEY1管理：BL_KEY1公私鑰對由CA安全中心自動生成，用BL_KEY1私鑰對BootLoader、TVOS鏡像及升級文件簽名，然后由終端廠商燒錄到機頂盒；BL_KEY1的私鑰對BL_KEY0的公鑰簽名，并將簽過名的BL_KEY0公鑰燒入至終端Flash區(qū)域。

（4）TA根證書管理：TA根證書主要用于簽名與校驗運營商證書。其公私鑰對由CA安全中心生成，TA根證書私鑰用于對運營商證書簽名；TA根證書公鑰用于終端廠商燒錄到終端Flash。

（5）運營商證書管理：CA安全中心自動生成運營商證書公私鑰對，運營商證書私鑰用于對應(yīng)用商店上傳到CA中心的應(yīng)用進行簽名；運營商證書公鑰被TA根證書簽名后交由終端廠商燒錄到終端Flash。

2.1.2 CA安全中心簽名管理建設(shè)內(nèi)容

各參與方根據(jù)需要在CA安全中心申請密鑰，按照既定流程將未簽名的文件通過離線文件或Https網(wǎng)絡(luò)加密傳遞的形式傳遞給簽名方簽名，簽名完成后文件返回申請方。

陜西廣電CA安全中心需要完成簽名的文件使用相應(yīng)的BL_KEY0私鑰對BL_KEY1公鑰簽名；使用相應(yīng)的BL_KEY1私鑰對引導(dǎo)程序、系統(tǒng)鏡像以及升級流文件簽名；使用相應(yīng)的TA根證書私鑰對運營商證書簽名；使用運營商證書私鑰對App簽名。

表1所列為CA安全中心簽名管理建設(shè)內(nèi)容。

2.2系統(tǒng)安全管理

陜西廣電搭載TVOS系統(tǒng)的智能終端安全體系基于CA安全中心，主要以O(shè)TP高安芯片為硬件支撐基礎(chǔ)。在終端系統(tǒng)啟動時逐步建立從芯片啟動到引導(dǎo)程序再到TVOS系統(tǒng)加載的完整信任鏈，保證終端系統(tǒng)運行環(huán)境的安全。TVOS安全啟動的認(rèn)證實現(xiàn)流程采用數(shù)字簽名技術(shù)（RSA算法和HASH算法），整個安全信任鏈環(huán)環(huán)緊扣，層層嵌套，僅當(dāng)上個環(huán)節(jié)的簽名通過安全校驗后，方可啟動下一環(huán)節(jié)，有效規(guī)避TVOS智能終端被刷機和被克隆的風(fēng)險。圖3所示為TVOS安全啟動認(rèn)證實現(xiàn)流程。

2.2.1 安全芯片到引導(dǎo)程序的信任構(gòu)建

安全芯片到引導(dǎo)程序是信任鏈構(gòu)建的第一個環(huán)節(jié)，此環(huán)節(jié)為安全方案提供安全根基，如存儲安全、不可篡改性等。該過程涉及到的密鑰包括BL_KEY0公私鑰對和BL_KEY1公鑰。該環(huán)節(jié)的實現(xiàn)流程為：

（1）當(dāng)TVOS終端加電啟動時，首先由ROM固化代碼主導(dǎo)終端系統(tǒng)的控制權(quán)，讀取之前寫入高安芯片OTP區(qū)域的BL_KEY0公鑰。

（2）ROM固化代碼從終端Flash讀取之前寫入BL_KEY1公鑰和被BL_KEY0私鑰簽過名的BL_KEY1公鑰文件，通過哈希算法對兩者進行對比校驗。

（3）BL_KEY1校驗通過后，ROM固化代碼開始加載BootLoader引導(dǎo)程序，并讀取燒錄入Flash的由BL_KEY1私鑰簽過名的BootLoader進行對比校驗，校驗通過后加載引導(dǎo)程序到內(nèi)存中，此時由引導(dǎo)程序接管系統(tǒng)控制權(quán)并完成系統(tǒng)的安全加載。

2.2.2 引導(dǎo)程序到TVOS系統(tǒng)的信任構(gòu)建

從引導(dǎo)程序到TVOS系統(tǒng)的信任鏈構(gòu)建過程就是從硬件OTP區(qū)域到ROM的過程，只有在TVOS鏡像未被篡改，通過密鑰校驗搭載在機頂盒上的系統(tǒng)和應(yīng)用程序才逐步啟動，否則啟動recovery系統(tǒng)對終端重新燒寫；若recovery未校驗成功，則機頂盒無法使用。該過程涉及的密鑰包括BL_KEY1公私鑰對，其實現(xiàn)流程如下：

（1）從Flash中裝載TVOS內(nèi)核鏡像，對CA管理中心生成的由BL_KEY1私鑰簽名的TVOS鏡像進行簽名校驗。

（2）校驗通過，則由TVOS系統(tǒng)接管系統(tǒng)控制權(quán)繼續(xù)裝載組件層的模塊，此時安全加載TVOS操作系統(tǒng)；若未通過安全校驗，則終端將強制執(zhí)行系統(tǒng)恢復(fù)加載備份系統(tǒng)，以保證TVOS終端的啟動安全，規(guī)避終端被刷機的風(fēng)險。

2.2.3 系統(tǒng)安全升級的信任構(gòu)建

系統(tǒng)安全升級的信任構(gòu)建發(fā)生在系統(tǒng)需要優(yōu)化完善或增加新業(yè)務(wù)功能的情況下，一旦升級流被惡意篡改，會導(dǎo)致升級失敗等諸多不良后果。該過程涉及到的密鑰有BL_KEY1公私鑰對。該環(huán)節(jié)的實現(xiàn)流程如下：

（1）在終端上電并加載引導(dǎo)程序時，系統(tǒng)會檢查升級標(biāo)志，若沒有升級標(biāo)志，則進入正常TVOS系統(tǒng)；若有升級標(biāo)志，系統(tǒng)認(rèn)為可對其進行軟件升級更新，便開始對被BL_KEY1私鑰簽名過的升級文件進行簽名校驗。

（2）若升級文件通過校驗，則終端下載升級文件并對當(dāng)前運行的TVOS終端進行升級；若校驗未通過，則系統(tǒng)默認(rèn)升級文件不合法，終端OTA升級失敗，重新加載現(xiàn)有版本的TVOS系統(tǒng)。系統(tǒng)安全升級的信任構(gòu)建可避免終端通過升級的方式被刷機。

2.3 應(yīng)用安全管理

CA安全中心實現(xiàn)對第三方應(yīng)用簽名的安全管控：

（1）CA安全中心將應(yīng)用商店系統(tǒng)上報的第三方應(yīng)用進行簽名后再交由應(yīng)用商店上架，用戶只可從應(yīng)用商店下載已審核簽名過的應(yīng)用，以此保障終端所安裝的應(yīng)用安全合法。

（2）對于第三方應(yīng)用的簽名管理，CA安全中心具有將應(yīng)用簽名重新打包的功能（集成了應(yīng)用商店文件打包工具）。通過可視化的Web界面，CA安全中心對上報的待簽名應(yīng)用文件進行簽名打包，最終生成新的META-INF文件夾交給應(yīng)用商店上架。圖4所示為App被簽名、重打包流程。

（3）用戶在使用TVOS終端時，所有的應(yīng)用只能通過應(yīng)用商店下載安裝。當(dāng)用戶端發(fā)起下載指令后，終端先要使用燒錄在終端的TA根證書公鑰校驗TA根證書私鑰簽名的運營商證書生成的CERT_TA.SF文件，若通過校驗則表示運營商證書安全可靠。讀取運營商證書公鑰校驗運營商私鑰簽名的App應(yīng)用，通過校驗的應(yīng)用程序被認(rèn)為是合法的，用戶可安全下載使用。

（4）只有被TA根證書、運營商根證書簽名校驗過，被認(rèn)定安全合法的應(yīng)用才可被正常安裝運行。若應(yīng)用未通過校驗，則認(rèn)為該應(yīng)用被篡改或不合法，對于該類應(yīng)用，TVOS終端均不可下載使用。圖5所示為App校驗流程。

3 結(jié) 語

CA安全中心的建設(shè)是在TVOS安全體系和安全機制的基礎(chǔ)上，采用軟件學(xué)和現(xiàn)代密碼學(xué)等技術(shù)手段，管控終端具體的安全策略。該平臺有力保證了從底層芯片的硬件啟動安全到終端正常運行的系統(tǒng)安全以及到第三方軟件的應(yīng)用安全的全流程，可有效應(yīng)對刷機、系統(tǒng)侵入、違規(guī)應(yīng)用等重點安全問題，為后期TVOS智能終端的運營規(guī)劃夯實基礎(chǔ)。

參考文獻

[1]史創(chuàng)明，王立新.數(shù)字簽名及PKI技術(shù)原理與應(yīng)用[J].微計算機信息，2005，21（6X）：122-124.

[2]盛志凡，王強，劉進，等.智能電視操作系統(tǒng)TVOS1.0安全技術(shù)方案[J].廣播與電視技術(shù)，2015，42（9）：40-49.

[3]胡穎.公開密鑰加密體系和數(shù)字簽名技術(shù)的研究[J].計算機光盤軟件與應(yīng)用，2013（11）：298-300.

[4]薛淞文.TVOS業(yè)務(wù)平臺及支撐系統(tǒng)方案淺析[J].中國有線電視，2017（2）：126-129.

[5]王嬌，薛淞文.TVOS運營支撐系統(tǒng)落地淺談[J].物聯(lián)網(wǎng)技術(shù)，2017，7（3）：94-97.

[6]王明敏，熊俊，朱允斌，等.面向TVOS的智能終端關(guān)鍵業(yè)務(wù)承載技術(shù)的研制[J].世界廣播電視，2014（11）：22-33.

[7]張東東.TVOS電視操作系統(tǒng)分析和展望[J].中國有線電視，2015 （3）：253-255.

[8]劉佳，杜雪濤，朱文濤，等.互聯(lián)網(wǎng)數(shù)據(jù)中心安全解決方案[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2010，23（2）：25-29.