GY_T 303.2-2016智能电视操作系统 第2部分：安全.pdf

GY中华人民共和国广播电影电视行业标准GY/T 303.2—2016智能电视操作系统第2部分：安全Smart TV operating systemPart 2: Security2016-12-15发布2016-12-15实施国家新闻出版广电总局发布 GY/T 303. 2—2016目次前言11引言III范国.2规范性引用文件3术语、定义和缩略语3.1术语和定义3.2缩略语4概述..5总体安全要求5. 1一般要求.5. 2基础安全能力要求5. 3基本安全功能要求6安全机制6. 1可信执行环境（TEE）6. 2硬件安全信任根6. 3数字证书安全信任机制6. 4安全信任链校验机制6. 5安全视频路径7安全架构7. 1基础安全架构7.2沙箱隔离安全架构8基本安全功能8. 1内容安全.8. 2业务安全.8. 3支付安全.8. 4安全启动，8. 5终端管控8. 6安全升级附录A（资料性附录）内容保护功能实现附录B（资料性附录）业务保护功能实现.B. 1 基于JAVA的功能实现B. 2基于WEB的功能实现附录C（资料性附录）安全支付功能实现13附录D（资料性附录）系统安全启动。附录E（资料性附录）系统安全升级.15 GY/T 303.2—2016App和安全支付TApP的协同工作，实现基于二维码扫描支付方式的订单签名，基于安全UI的用户账号与密码获取、以及基于安全UI的支付校验码输入与验证，支撑安全支付APP和安全支付TApP完成相关安全支付操作。支付安全的功能实现参见附录C。8.4安全启动应基于硬件安全和安全机制安全信任链校验机制对启动加毁软件、操作系统和应用程序逐级进行安全校验，只有全部通过安全校验后，系统才能安全启动，设备方能进入正常工作状态。安全启动以安全芯片为基础，TVOS系统实例与安全芯片硬件一一绑定：安全启动的信任链以安全芯片为起点，经终端Boot1oader引导程序至TVoS内核和文件系统，信任链的每一环节只有通过数字签名校验后方可启动。安全启动流程通常为：系统上电后，SoC的ROM将加载Boot1oader引导程序，然后再加载TVOSTEE数字证书信任机制合法性和完整性的安全校验，只有在任意一个环节的安全校验通过后，该环节方可启动，该环节的后一环节方可进入校验状态，只有全部环节都通过安全校验后，系统方可启动，任何一步的验证失收都将导致系统启动失收。安全启动的实现参见附永D。8.5终端管控息和参数的查询、统计、设置、监控和上报等功能。TVOS终端管控应能通过TVOS终端管控组件与终端管控ApP及其他组件协同实现。终端管控组件应能对所接收的终端管控指令逐一进行数字签名校验。8.6安全升级TVOS的安全升级包括操作系统的安全升级和应用的安全升级。操作系统的安全升级应进行基于安全信任链校验机制的安全校验，只有通过安全校验的操作系统版本才允许进行升级。操作系统的升级禁止回滚。应用软件的安全升级应进行基于安全信任链校验机制的安全校验，只有通过安全校验的应用软件版本才允许进行升级。安全应用的升级禁止回滚。安全升级的实现参见附录E。 GY/T 303. 2—2016附录A（资料性附录）内容保护功能实现TVOS通过DRM应用、DRM组件、媒体引擎组件、DRMTApp的协同工作实现DRI功能，如图A.1所示。DRM的编播效器应用DRME用I服务器NGB-J/NGB-HNGB-J/NGB-H媒体单元接口DRM单元接口媒体引擎组件DRM ClientDRM ServerDRMIL件TEE Client APIDRM TApPTEE Internal APISecure 0STEE图A.1DRM功能实现DRM功能实现方法如下：a)插放器应用措放OTT内容时，通过应用框架层的媒体单元接口将媒体内容的UR1发送给媒体引掌组件，由媒体引擎组件获取播放文件列表和DRM相关信息：b)媒体引擎组件将DR相关信息发送给DRM组件，由DRM组件根据DRM应用标识启动相应的DRM应用和DRMTApp，并将DRM相关信息通过TEEC1ient API转发到TEE中的DRMTApp:c)DRMTApP首先判断内容授权情况，如内容没有授权则通知DRM应用向DRM服务器获取内容授权，并将获取到的许可证返回DRMTApP：d)媒体引擎组件创建TEE与REE的共享缓冲区，将加密媒体内容存储到共享缓冲区中：e)DRMTApP解析许可证，获取内容密钥，使用内容密钥解密加密媒体内容，将解密后的媒体内容存储在安全存储区，并将安全存储区的地址通过DRM组件发送给媒体引擎组件：f)媒体引擎组件将安全存储区地址发送给底层硬件音视频解码器，对解密后的媒体内容进行解码，并通过HDCP保护输出。8 GY/T 303. 2—2016附录B（资料性附录）业务保护功能实现B. 1基于JAVA