NGB环境下的智能电视终端安全模型及技术实现探讨.doc

图 1 Android 系统安全机制全、身份管理、存储安全、监控检测等会给广电领域确保 Android 系统智能电视终端平台上 DVB、OTT TV等各种数字电视业务的安全管控、满足广电运营商对智 图 1 Android 系统安全机制 全、身份管理、存储安全、监控检测等会给广电领域 确保 Android 系统智能电视终端平台上 DVB、OTT TV 等各种数字电视业务的安全管控、满足广电运营商对智 能电视终端的安全要求是目前急需解决的关键技术问题。 因此本文从技术及安全角度对 Android 系统的安全机制、 安全体系架构、以及 DVB、OTT TV 业务在 Android 系 统上的安全机制等方面加以分析论述，提出了运用于 Android 智能电视终端平台的符合广电可管可控要求的安 全模型及技术实现。 OTT TV 数字电视业务带来新的安全问题。传统的广 CA 保护加中间件的安全模式已经远远不能胜任开放、 电视终端平台对安全的要求。中国的广电领域对电视 关技术及播控管理有极其严格的安全要求，特别强调 端系统在技术架构、操控界面、信息承载内容和电视 制的可管可控。因此提出并建立符合广电领域可管控 Android 系统智能电视终端平台安全模型是目前必须亟 的关键技术问题，也是本文论述的重点。 2 智能电视终端平台的安全分析 关键词 : Android 智能电视终端 DVB 业务 OTT TV 业务 安全模型 2.1 Android 系统安全机制分析 Android 系统通过对传统 Linux 系统安全机制的继 新，在其系统的各个层次上安全性都有了增强，见 Android 系统整体的安全性上有了较大的提升。首先在 1 研究背景 谷歌公司的 Android 系统及基于 Android 平 台的智能电视终端最大的优势是在于技术平台的 开放性和业务平台的灵活性，各种类型的 Android 应用极大地丰富了智能电视终端平台的业务发 展，并能为广电运营商带来巨大的商业价值。目 前众多的机顶盒和电视机相关厂家开始研发基于 Android 平台的智能电视终端平台及相关 DVB、 OTT TV 业务应用，并在数字电视领域进行大量的 商业推广。 与有线网络双向化改造 与有线网络双向化改造 uction Two-way Transformation 所具有的 POSIX User 访问机制，文 1. Linux 内核安全隐患 一般嵌入式平台由于本身硬件资源的限制，往往通过禁 用一些内核的选项来达到降低内存、Flash 空间等资源的消耗， 这其中就包括安全选项。 2. Android 系统自身的安全隐患 目前已知 Android 系统中的 SQLight、Webkit 和一些库 都有安全漏洞，这些安全漏洞会让应用程序获取较高的权限 ndroid 系统自身扩展了诸如内存管理 ，确保安全和可靠性。最后在 Android 用程序权限控制、组件封装和签名机 统的每个程序都会被分配一个属于 图 2 Android 系统智能电视终端平台安全模型图 3 Android 系统智能电视终端平台安全启动信任链Boot Loader 在运行之前由安全芯片对其进行数验证和 图 2 Android 系统智能电视终端平台安全模型 图 3 Android 系统智能电视终端平台安全启动信任链 Boot Loader 在运行之前由安全芯片对其进行数 验证和数据来源可靠性验证，同时在 Android 系统加 之前建议由 Boot Loader 对其进行数据完整性验证和 验证。 3. 建立安全启动信任链 通过硬件平台 Flash map 规划和 Bootloader 的安 查，并配合有效的安全芯片或者芯片安全区内的密钥 立了整个 Android 系统智能电视终端的安全启动信任 系统加载过程中从安全芯片或芯片安全区开始，然后 启动加载 Boot Loader、内核、以及 Android 等其他各 镜像，直到系统及应用完全启动。整个加载过程中采 签名校验技术确保安全启动信任链的各个环节的安全 见图 3，在整个信任链校验过程中需要信任链中的前一 环节通过校验后，信任链的后一个环节才能继续启动 安全启动信任链能有效防范 Android 系统智能电 平台被恶意刷机，保护广电运营商的终端设备投入。 4. 内核加固 建议措施包括：内核模块、应用程序的动态随机地 防止恶意程序内存布局探测与修改 ；内核模块加载时 证，防止 root 失窃时内核恶意篡改 ；监控 root 权限进 件句柄随机分配，安全完备 umount 功能等。 5. 网络安全 建议措施包括 ：防 DOS 攻击 ；提供 IP 地址、地 黑白名单过滤功能 ；防 ARP 欺骗 ；服务端口的管控 防止远程非法登录和连接。 NGB 建设与有线