薛淞文+王嬌

摘 要：TVOS系統(tǒng)安全對(duì)終端機(jī)頂盒的可靠運(yùn)行、搭載業(yè)務(wù)的有序開展及用戶安全使用起到?jīng)Q定性作用。TVOS智能終端在運(yùn)行過程中，所有數(shù)據(jù)的安全傳遞全部通過對(duì)應(yīng)的密鑰對(duì)來加解密驗(yàn)簽，而密鑰對(duì)的安全產(chǎn)生、傳遞和管理由CA安全中心完成。文章主要圍繞啟動(dòng)安全、系統(tǒng)安全及應(yīng)用安全這三個(gè)安全體系展開。

關(guān)鍵詞：TVOS；CA安全中心；密鑰；簽名校驗(yàn)

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-1302（2017）06-00-04

0 引 言

陜西廣電網(wǎng)絡(luò)已研發(fā)完成基于國家廣電總局TVOS智能電視操作系統(tǒng)的終端機(jī)頂盒，并在陜西各地市進(jìn)行了規(guī)模試點(diǎn)應(yīng)用。公司考慮到后期的運(yùn)營(yíng)安全，應(yīng)對(duì)系統(tǒng)刷機(jī)、系統(tǒng)侵入、違規(guī)應(yīng)用等重點(diǎn)安全問題，提出了CA安全中心解決方案。該方案貫穿了TVOS終端的啟動(dòng)安全、系統(tǒng)安全以及應(yīng)用安全三個(gè)層次的密鑰生成、管理和流轉(zhuǎn)的安全自動(dòng)化流程，實(shí)現(xiàn)終端安全可管可控的目的。

1 CA安全中心體系架構(gòu)

1.1 安全分層體系

TVOS的安全保障需通過多個(gè)層級(jí)來實(shí)施，CA安全中心是各層級(jí)安全方案實(shí)施的核心，同TVOS各業(yè)務(wù)平臺(tái)及支撐系統(tǒng)有機(jī)協(xié)同，形成一條可靠可信的層次化安全信任鏈，最終實(shí)現(xiàn)保證系統(tǒng)安全的目標(biāo)。TVOS終端安全管控體系主要?jiǎng)澐譃閱?dòng)安全體系，系統(tǒng)安全體系，應(yīng)用安全體系。

1.1.1 啟動(dòng)安全體系

該層是TVOS安全的基礎(chǔ)，保證數(shù)據(jù)的安全存儲(chǔ)及數(shù)據(jù)的不可篡改性。由機(jī)頂盒提供特定的硬件，并燒錄專用的固化程序，實(shí)現(xiàn)對(duì)后續(xù)加載步驟的安全保障。

1.1.2 系統(tǒng)安全體系

該層主要是在TVOS的前端與終端之間建立一條可靠可信的安全數(shù)字證書體系，通過PKI體系的密鑰管理技術(shù)與數(shù)字證書實(shí)現(xiàn)TVOS終端運(yùn)行軟件及各應(yīng)用的管控安全，并對(duì)終端數(shù)據(jù)信息進(jìn)行有效保護(hù)，實(shí)現(xiàn)對(duì)后期新增的涉及用戶賬戶資金安全及用戶信息安全的支撐。

1.1.3 應(yīng)用安全體系

該層主要由應(yīng)用商店服務(wù)端與客戶端相互配合，實(shí)現(xiàn)對(duì)受信應(yīng)用的推薦、安裝及應(yīng)用程序的管理。涉及到標(biāo)準(zhǔn)的APK簽名機(jī)制，采用特定的應(yīng)用管理安全策略，為TVOS終端應(yīng)用的下載、安裝和使用提供安全管控機(jī)制。

圖1所示為TVOS安全分層體系。在自下而上的三個(gè)安全分層中，下層安全是上層安全的基礎(chǔ)，上層安全是下層安全的保障。

1.2 總體架構(gòu)說明

CA安全中心以Web頁面形式展現(xiàn)，充分利用B/S模式的優(yōu)勢(shì)提高系統(tǒng)的可維護(hù)性和便捷性。CA安全中心通過生成密鑰及數(shù)字證書完成相應(yīng)TVOS操作系統(tǒng)鏡像、BootLoader、TVOS應(yīng)用的安全簽名，同時(shí)完成TVOS終端應(yīng)用認(rèn)證管理、應(yīng)用黑白名單管理及每個(gè)TVOS應(yīng)用的權(quán)限管理。圖2所示為CA安全中心總體架構(gòu)。

（1）CA安全中心通過接口將簽名好的數(shù)據(jù)文件交給申請(qǐng)簽名的機(jī)頂盒廠商與軟件廠商。

（2）應(yīng)用商城通過接口推送給CA安全中心未簽名的TVOS應(yīng)用軟件用于簽名，CA安全中心將簽名完成后的TVOS應(yīng)用軟件打包，再通過接口交由應(yīng)用商城上架。

（3）系統(tǒng)也預(yù)留了與廣電總局TA平臺(tái)接口，完成與總局TA平臺(tái)的密鑰證書交互。

2 CA安全中心實(shí)施方案

2.1 硬件安全管理

2.1.1 CA安全中心密鑰/證書管理建設(shè)內(nèi)容

CA安全中心通過可視化的Web頁面實(shí)現(xiàn)多種芯片的密鑰申請(qǐng)、生成、查詢、修改，同時(shí)實(shí)現(xiàn)對(duì)各參與方包括終端廠商、芯片廠商、應(yīng)用商店及CA中心人員的角色管理，以及相關(guān)密鑰的申請(qǐng)、下載、查詢、數(shù)據(jù)導(dǎo)入導(dǎo)出權(quán)限等。陜西廣電CA安全中心對(duì)密鑰/證書的管理主要包括以下五個(gè)方面：

（1）Chip ID管理：Chip ID也稱作OTP高安芯片的公開標(biāo)識(shí)符，其標(biāo)注信息包括芯片廠商、芯片型號(hào)及芯片的全球唯一標(biāo)識(shí)符等相關(guān)信息。CA安全中心目前采用與芯片廠家對(duì)接，并以文件導(dǎo)入的方式實(shí)現(xiàn)存儲(chǔ)相關(guān)芯片的Chip ID。

（2）BL_KEY0管理：BL_KEY0的公私鑰對(duì)由CA安全中心自動(dòng)生成，BL_KEY0私鑰用于對(duì)指定的BL_KEY1公鑰簽名，然后由終端廠商燒錄到機(jī)頂盒；BL_KEY0的公鑰需嵌入高安芯片的安全區(qū)域，用于TVOS終端啟動(dòng)時(shí)對(duì)BL_KEY1私鑰的驗(yàn)證。

（3）BL_KEY1管理：BL_KEY1公私鑰對(duì)由CA安全中心自動(dòng)生成，用BL_KEY1私鑰對(duì)BootLoader、TVOS鏡像及升級(jí)文件簽名，然后由終端廠商燒錄到機(jī)頂盒；BL_KEY1的私鑰對(duì)BL_KEY0的公鑰簽名，并將簽過名的BL_KEY0公鑰燒入至終端Flash區(qū)域。

（4）TA根證書管理：TA根證書主要用于簽名與校驗(yàn)運(yùn)營(yíng)商證書。其公私鑰對(duì)由CA安全中心生成，TA根證書私鑰用于對(duì)運(yùn)營(yíng)商證書簽名；TA根證書公鑰用于終端廠商燒錄到終端Flash。

（5）運(yùn)營(yíng)商證書管理：CA安全中心自動(dòng)生成運(yùn)營(yíng)商證書公私鑰對(duì)，運(yùn)營(yíng)商證書私鑰用于對(duì)應(yīng)用商店上傳到CA中心的應(yīng)用進(jìn)行簽名；運(yùn)營(yíng)商證書公鑰被TA根證書簽名后交由終端廠商燒錄到終端Flash。

2.1.2 CA安全中心簽名管理建設(shè)內(nèi)容

各參與方根據(jù)需要在CA安全中心申請(qǐng)密鑰，按照既定流程將未簽名的文件通過離線文件或Https網(wǎng)絡(luò)加密傳遞的形式傳遞給簽名方簽名，簽名完成后文件返回申請(qǐng)方。

陜西廣電CA安全中心需要完成簽名的文件使用相應(yīng)的BL_KEY0私鑰對(duì)BL_KEY1公鑰簽名；使用相應(yīng)的BL_KEY1私鑰對(duì)引導(dǎo)程序、系統(tǒng)鏡像以及升級(jí)流文件簽名；使用相應(yīng)的TA根證書私鑰對(duì)運(yùn)營(yíng)商證書簽名；使用運(yùn)營(yíng)商證書私鑰對(duì)App簽名。

表1所列為CA安全中心簽名管理建設(shè)內(nèi)容。

2.2系統(tǒng)安全管理

陜西廣電搭載TVOS系統(tǒng)的智能終端安全體系基于CA安全中心，主要以O(shè)TP高安芯片為硬件支撐基礎(chǔ)。在終端系統(tǒng)啟動(dòng)時(shí)逐步建立從芯片啟動(dòng)到引導(dǎo)程序再到TVOS系統(tǒng)加載的完整信任鏈，保證終端系統(tǒng)運(yùn)行環(huán)境的安全。TVOS安全啟動(dòng)的認(rèn)證實(shí)現(xiàn)流程采用數(shù)字簽名技術(shù)（RSA算法和HASH算法），整個(gè)安全信任鏈環(huán)環(huán)緊扣，層層嵌套，僅當(dāng)上個(gè)環(huán)節(jié)的簽名通過安全校驗(yàn)后，方可啟動(dòng)下一環(huán)節(jié)，有效規(guī)避TVOS智能終端被刷機(jī)和被克隆的風(fēng)險(xiǎn)。圖3所示為TVOS安全啟動(dòng)認(rèn)證實(shí)現(xiàn)流程。

2.2.1 安全芯片到引導(dǎo)程序的信任構(gòu)建

安全芯片到引導(dǎo)程序是信任鏈構(gòu)建的第一個(gè)環(huán)節(jié)，此環(huán)節(jié)為安全方案提供安全根基，如存儲(chǔ)安全、不可篡改性等。該過程涉及到的密鑰包括BL_KEY0公私鑰對(duì)和BL_KEY1公鑰。該環(huán)節(jié)的實(shí)現(xiàn)流程為：

（1）當(dāng)TVOS終端加電啟動(dòng)時(shí)，首先由ROM固化代碼主導(dǎo)終端系統(tǒng)的控制權(quán)，讀取之前寫入高安芯片OTP區(qū)域的BL_KEY0公鑰。

（2）ROM固化代碼從終端Flash讀取之前寫入BL_KEY1公鑰和被BL_KEY0私鑰簽過名的BL_KEY1公鑰文件，通過哈希算法對(duì)兩者進(jìn)行對(duì)比校驗(yàn)。

（3）BL_KEY1校驗(yàn)通過后，ROM固化代碼開始加載BootLoader引導(dǎo)程序，并讀取燒錄入Flash的由BL_KEY1私鑰簽過名的BootLoader進(jìn)行對(duì)比校驗(yàn)，校驗(yàn)通過后加載引導(dǎo)程序到內(nèi)存中，此時(shí)由引導(dǎo)程序接管系統(tǒng)控制權(quán)并完成系統(tǒng)的安全加載。

2.2.2 引導(dǎo)程序到TVOS系統(tǒng)的信任構(gòu)建

從引導(dǎo)程序到TVOS系統(tǒng)的信任鏈構(gòu)建過程就是從硬件OTP區(qū)域到ROM的過程，只有在TVOS鏡像未被篡改，通過密鑰校驗(yàn)搭載在機(jī)頂盒上的系統(tǒng)和應(yīng)用程序才逐步啟動(dòng)，否則啟動(dòng)recovery系統(tǒng)對(duì)終端重新燒寫；若recovery未校驗(yàn)成功，則機(jī)頂盒無法使用。該過程涉及的密鑰包括BL_KEY1公私鑰對(duì)，其實(shí)現(xiàn)流程如下：

（1）從Flash中裝載TVOS內(nèi)核鏡像，對(duì)CA管理中心生成的由BL_KEY1私鑰簽名的TVOS鏡像進(jìn)行簽名校驗(yàn)。

（2）校驗(yàn)通過，則由TVOS系統(tǒng)接管系統(tǒng)控制權(quán)繼續(xù)裝載組件層的模塊，此時(shí)安全加載TVOS操作系統(tǒng)；若未通過安全校驗(yàn)，則終端將強(qiáng)制執(zhí)行系統(tǒng)恢復(fù)加載備份系統(tǒng)，以保證TVOS終端的啟動(dòng)安全，規(guī)避終端被刷機(jī)的風(fēng)險(xiǎn)。

2.2.3 系統(tǒng)安全升級(jí)的信任構(gòu)建

系統(tǒng)安全升級(jí)的信任構(gòu)建發(fā)生在系統(tǒng)需要優(yōu)化完善或增加新業(yè)務(wù)功能的情況下，一旦升級(jí)流被惡意篡改，會(huì)導(dǎo)致升級(jí)失敗等諸多不良后果。該過程涉及到的密鑰有BL_KEY1公私鑰對(duì)。該環(huán)節(jié)的實(shí)現(xiàn)流程如下：

（1）在終端上電并加載引導(dǎo)程序時(shí)，系統(tǒng)會(huì)檢查升級(jí)標(biāo)志，若沒有升級(jí)標(biāo)志，則進(jìn)入正常TVOS系統(tǒng)；若有升級(jí)標(biāo)志，系統(tǒng)認(rèn)為可對(duì)其進(jìn)行軟件升級(jí)更新，便開始對(duì)被BL_KEY1私鑰簽名過的升級(jí)文件進(jìn)行簽名校驗(yàn)。

（2）若升級(jí)文件通過校驗(yàn)，則終端下載升級(jí)文件并對(duì)當(dāng)前運(yùn)行的TVOS終端進(jìn)行升級(jí)；若校驗(yàn)未通過，則系統(tǒng)默認(rèn)升級(jí)文件不合法，終端OTA升級(jí)失敗，重新加載現(xiàn)有版本的TVOS系統(tǒng)。系統(tǒng)安全升級(jí)的信任構(gòu)建可避免終端通過升級(jí)的方式被刷機(jī)。

2.3 應(yīng)用安全管理

CA安全中心實(shí)現(xiàn)對(duì)第三方應(yīng)用簽名的安全管控：

（1）CA安全中心將應(yīng)用商店系統(tǒng)上報(bào)的第三方應(yīng)用進(jìn)行簽名后再交由應(yīng)用商店上架，用戶只可從應(yīng)用商店下載已審核簽名過的應(yīng)用，以此保障終端所安裝的應(yīng)用安全合法。

（2）對(duì)于第三方應(yīng)用的簽名管理，CA安全中心具有將應(yīng)用簽名重新打包的功能（集成了應(yīng)用商店文件打包工具）。通過可視化的Web界面，CA安全中心對(duì)上報(bào)的待簽名應(yīng)用文件進(jìn)行簽名打包，最終生成新的META-INF文件夾交給應(yīng)用商店上架。圖4所示為App被簽名、重打包流程。

（3）用戶在使用TVOS終端時(shí)，所有的應(yīng)用只能通過應(yīng)用商店下載安裝。當(dāng)用戶端發(fā)起下載指令后，終端先要使用燒錄在終端的TA根證書公鑰校驗(yàn)TA根證書私鑰簽名的運(yùn)營(yíng)商證書生成的CERT_TA.SF文件，若通過校驗(yàn)則表示運(yùn)營(yíng)商證書安全可靠。讀取運(yùn)營(yíng)商證書公鑰校驗(yàn)運(yùn)營(yíng)商私鑰簽名的App應(yīng)用，通過校驗(yàn)的應(yīng)用程序被認(rèn)為是合法的，用戶可安全下載使用。

（4）只有被TA根證書、運(yùn)營(yíng)商根證書簽名校驗(yàn)過，被認(rèn)定安全合法的應(yīng)用才可被正常安裝運(yùn)行。若應(yīng)用未通過校驗(yàn)，則認(rèn)為該應(yīng)用被篡改或不合法，對(duì)于該類應(yīng)用，TVOS終端均不可下載使用。圖5所示為App校驗(yàn)流程。

3 結(jié) 語

CA安全中心的建設(shè)是在TVOS安全體系和安全機(jī)制的基礎(chǔ)上，采用軟件學(xué)和現(xiàn)代密碼學(xué)等技術(shù)手段，管控終端具體的安全策略。該平臺(tái)有力保證了從底層芯片的硬件啟動(dòng)安全到終端正常運(yùn)行的系統(tǒng)安全以及到第三方軟件的應(yīng)用安全的全流程，可有效應(yīng)對(duì)刷機(jī)、系統(tǒng)侵入、違規(guī)應(yīng)用等重點(diǎn)安全問題，為后期TVOS智能終端的運(yùn)營(yíng)規(guī)劃夯實(shí)基礎(chǔ)。

參考文獻(xiàn)

[1]史創(chuàng)明，王立新.數(shù)字簽名及PKI技術(shù)原理與應(yīng)用[J].微計(jì)算機(jī)信息，2005，21（6X）：122-124.

[2]盛志凡，王強(qiáng)，劉進(jìn)，等.智能電視操作系統(tǒng)TVOS1.0安全技術(shù)方案[J].廣播與電視技術(shù)，2015，42（9）：40-49.

[3]胡穎.公開密鑰加密體系和數(shù)字簽名技術(shù)的研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013（11）：298-300.

[4]薛淞文.TVOS業(yè)務(wù)平臺(tái)及支撐系統(tǒng)方案淺析[J].中國有線電視，2017（2）：126-129.

[5]王嬌，薛淞文.TVOS運(yùn)營(yíng)支撐系統(tǒng)落地淺談[J].物聯(lián)網(wǎng)技術(shù)，2017，7（3）：94-97.

[6]王明敏，熊俊，朱允斌，等.面向TVOS的智能終端關(guān)鍵業(yè)務(wù)承載技術(shù)的研制[J].世界廣播電視，2014（11）：22-33.

[7]張東東.TVOS電視操作系統(tǒng)分析和展望[J].中國有線電視，2015 （3）：253-255.

[8]劉佳，杜雪濤，朱文濤，等.互聯(lián)網(wǎng)數(shù)據(jù)中心安全解決方案[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2010，23（2）：25-29.