薛淞文+王嬌
摘 要:TVOS系統安全對終端機頂盒的可靠運行、搭載業(yè)務的有序開展及用戶安全使用起到決定性作用。TVOS智能終端在運行過程中,所有數據的安全傳遞全部通過對應的密鑰對來加解密驗簽,而密鑰對的安全產生、傳遞和管理由CA安全中心完成。文章主要圍繞啟動安全、系統安全及應用安全這三個安全體系展開。
關鍵詞:TVOS;CA安全中心;密鑰;簽名校驗
中圖分類號:TP309 文獻標識碼:A 文章編號:2095-1302(2017)06-00-04
0 引 言
陜西廣電網絡已研發(fā)完成基于國家廣電總局TVOS智能電視操作系統的終端機頂盒,并在陜西各地市進行了規(guī)模試點應用。公司考慮到后期的運營安全,應對系統刷機、系統侵入、違規(guī)應用等重點安全問題,提出了CA安全中心解決方案。該方案貫穿了TVOS終端的啟動安全、系統安全以及應用安全三個層次的密鑰生成、管理和流轉的安全自動化流程,實現終端安全可管可控的目的。
1 CA安全中心體系架構
1.1 安全分層體系
TVOS的安全保障需通過多個層級來實施,CA安全中心是各層級安全方案實施的核心,同TVOS各業(yè)務平臺及支撐系統有機協同,形成一條可靠可信的層次化安全信任鏈,最終實現保證系統安全的目標。TVOS終端安全管控體系主要劃分為啟動安全體系,系統安全體系,應用安全體系。
1.1.1 啟動安全體系
該層是TVOS安全的基礎,保證數據的安全存儲及數據的不可篡改性。由機頂盒提供特定的硬件,并燒錄專用的固化程序,實現對后續(xù)加載步驟的安全保障。
1.1.2 系統安全體系
該層主要是在TVOS的前端與終端之間建立一條可靠可信的安全數字證書體系,通過PKI體系的密鑰管理技術與數字證書實現TVOS終端運行軟件及各應用的管控安全,并對終端數據信息進行有效保護,實現對后期新增的涉及用戶賬戶資金安全及用戶信息安全的支撐。
1.1.3 應用安全體系
該層主要由應用商店服務端與客戶端相互配合,實現對受信應用的推薦、安裝及應用程序的管理。涉及到標準的APK簽名機制,采用特定的應用管理安全策略,為TVOS終端應用的下載、安裝和使用提供安全管控機制。
圖1所示為TVOS安全分層體系。在自下而上的三個安全分層中,下層安全是上層安全的基礎,上層安全是下層安全的保障。
1.2 總體架構說明
CA安全中心以Web頁面形式展現,充分利用B/S模式的優(yōu)勢提高系統的可維護性和便捷性。CA安全中心通過生成密鑰及數字證書完成相應TVOS操作系統鏡像、BootLoader、TVOS應用的安全簽名,同時完成TVOS終端應用認證管理、應用黑白名單管理及每個TVOS應用的權限管理。圖2所示為CA安全中心總體架構。
(1)CA安全中心通過接口將簽名好的數據文件交給申請簽名的機頂盒廠商與軟件廠商。
(2)應用商城通過接口推送給CA安全中心未簽名的TVOS應用軟件用于簽名,CA安全中心將簽名完成后的TVOS應用軟件打包,再通過接口交由應用商城上架。
(3)系統也預留了與廣電總局TA平臺接口,完成與總局TA平臺的密鑰證書交互。
2 CA安全中心實施方案
2.1 硬件安全管理
2.1.1 CA安全中心密鑰/證書管理建設內容
CA安全中心通過可視化的Web頁面實現多種芯片的密鑰申請、生成、查詢、修改,同時實現對各參與方包括終端廠商、芯片廠商、應用商店及CA中心人員的角色管理,以及相關密鑰的申請、下載、查詢、數據導入導出權限等。陜西廣電CA安全中心對密鑰/證書的管理主要包括以下五個方面:
(1)Chip ID管理:Chip ID也稱作OTP高安芯片的公開標識符,其標注信息包括芯片廠商、芯片型號及芯片的全球唯一標識符等相關信息。CA安全中心目前采用與芯片廠家對接,并以文件導入的方式實現存儲相關芯片的Chip ID。
(2)BL_KEY0管理:BL_KEY0的公私鑰對由CA安全中心自動生成,BL_KEY0私鑰用于對指定的BL_KEY1公鑰簽名,然后由終端廠商燒錄到機頂盒;BL_KEY0的公鑰需嵌入高安芯片的安全區(qū)域,用于TVOS終端啟動時對BL_KEY1私鑰的驗證。
(3)BL_KEY1管理:BL_KEY1公私鑰對由CA安全中心自動生成,用BL_KEY1私鑰對BootLoader、TVOS鏡像及升級文件簽名,然后由終端廠商燒錄到機頂盒;BL_KEY1的私鑰對BL_KEY0的公鑰簽名,并將簽過名的BL_KEY0公鑰燒入至終端Flash區(qū)域。
(4)TA根證書管理:TA根證書主要用于簽名與校驗運營商證書。其公私鑰對由CA安全中心生成,TA根證書私鑰用于對運營商證書簽名;TA根證書公鑰用于終端廠商燒錄到終端Flash。
(5)運營商證書管理:CA安全中心自動生成運營商證書公私鑰對,運營商證書私鑰用于對應用商店上傳到CA中心的應用進行簽名;運營商證書公鑰被TA根證書簽名后交由終端廠商燒錄到終端Flash。
2.1.2 CA安全中心簽名管理建設內容
各參與方根據需要在CA安全中心申請密鑰,按照既定流程將未簽名的文件通過離線文件或Https網絡加密傳遞的形式傳遞給簽名方簽名,簽名完成后文件返回申請方。
陜西廣電CA安全中心需要完成簽名的文件使用相應的BL_KEY0私鑰對BL_KEY1公鑰簽名;使用相應的BL_KEY1私鑰對引導程序、系統鏡像以及升級流文件簽名;使用相應的TA根證書私鑰對運營商證書簽名;使用運營商證書私鑰對App簽名。
表1所列為CA安全中心簽名管理建設內容。
2.2系統安全管理
陜西廣電搭載TVOS系統的智能終端安全體系基于CA安全中心,主要以OTP高安芯片為硬件支撐基礎。在終端系統啟動時逐步建立從芯片啟動到引導程序再到TVOS系統加載的完整信任鏈,保證終端系統運行環(huán)境的安全。TVOS安全啟動的認證實現流程采用數字簽名技術(RSA算法和HASH算法),整個安全信任鏈環(huán)環(huán)緊扣,層層嵌套,僅當上個環(huán)節(jié)的簽名通過安全校驗后,方可啟動下一環(huán)節(jié),有效規(guī)避TVOS智能終端被刷機和被克隆的風險。圖3所示為TVOS安全啟動認證實現流程。
2.2.1 安全芯片到引導程序的信任構建
安全芯片到引導程序是信任鏈構建的第一個環(huán)節(jié),此環(huán)節(jié)為安全方案提供安全根基,如存儲安全、不可篡改性等。該過程涉及到的密鑰包括BL_KEY0公私鑰對和BL_KEY1公鑰。該環(huán)節(jié)的實現流程為:
(1)當TVOS終端加電啟動時,首先由ROM固化代碼主導終端系統的控制權,讀取之前寫入高安芯片OTP區(qū)域的BL_KEY0公鑰。
(2)ROM固化代碼從終端Flash讀取之前寫入BL_KEY1公鑰和被BL_KEY0私鑰簽過名的BL_KEY1公鑰文件,通過哈希算法對兩者進行對比校驗。
(3)BL_KEY1校驗通過后,ROM固化代碼開始加載BootLoader引導程序,并讀取燒錄入Flash的由BL_KEY1私鑰簽過名的BootLoader進行對比校驗,校驗通過后加載引導程序到內存中,此時由引導程序接管系統控制權并完成系統的安全加載。
2.2.2 引導程序到TVOS系統的信任構建
從引導程序到TVOS系統的信任鏈構建過程就是從硬件OTP區(qū)域到ROM的過程,只有在TVOS鏡像未被篡改,通過密鑰校驗搭載在機頂盒上的系統和應用程序才逐步啟動,否則啟動recovery系統對終端重新燒寫;若recovery未校驗成功,則機頂盒無法使用。該過程涉及的密鑰包括BL_KEY1公私鑰對,其實現流程如下:
(1)從Flash中裝載TVOS內核鏡像,對CA管理中心生成的由BL_KEY1私鑰簽名的TVOS鏡像進行簽名校驗。
(2)校驗通過,則由TVOS系統接管系統控制權繼續(xù)裝載組件層的模塊,此時安全加載TVOS操作系統;若未通過安全校驗,則終端將強制執(zhí)行系統恢復加載備份系統,以保證TVOS終端的啟動安全,規(guī)避終端被刷機的風險。
2.2.3 系統安全升級的信任構建
系統安全升級的信任構建發(fā)生在系統需要優(yōu)化完善或增加新業(yè)務功能的情況下,一旦升級流被惡意篡改,會導致升級失敗等諸多不良后果。該過程涉及到的密鑰有BL_KEY1公私鑰對。該環(huán)節(jié)的實現流程如下:
(1)在終端上電并加載引導程序時,系統會檢查升級標志,若沒有升級標志,則進入正常TVOS系統;若有升級標志,系統認為可對其進行軟件升級更新,便開始對被BL_KEY1私鑰簽名過的升級文件進行簽名校驗。
(2)若升級文件通過校驗,則終端下載升級文件并對當前運行的TVOS終端進行升級;若校驗未通過,則系統默認升級文件不合法,終端OTA升級失敗,重新加載現有版本的TVOS系統。系統安全升級的信任構建可避免終端通過升級的方式被刷機。
2.3 應用安全管理
CA安全中心實現對第三方應用簽名的安全管控:
(1)CA安全中心將應用商店系統上報的第三方應用進行簽名后再交由應用商店上架,用戶只可從應用商店下載已審核簽名過的應用,以此保障終端所安裝的應用安全合法。
(2)對于第三方應用的簽名管理,CA安全中心具有將應用簽名重新打包的功能(集成了應用商店文件打包工具)。通過可視化的Web界面,CA安全中心對上報的待簽名應用文件進行簽名打包,最終生成新的META-INF文件夾交給應用商店上架。圖4所示為App被簽名、重打包流程。
(3)用戶在使用TVOS終端時,所有的應用只能通過應用商店下載安裝。當用戶端發(fā)起下載指令后,終端先要使用燒錄在終端的TA根證書公鑰校驗TA根證書私鑰簽名的運營商證書生成的CERT_TA.SF文件,若通過校驗則表示運營商證書安全可靠。讀取運營商證書公鑰校驗運營商私鑰簽名的App應用,通過校驗的應用程序被認為是合法的,用戶可安全下載使用。
(4)只有被TA根證書、運營商根證書簽名校驗過,被認定安全合法的應用才可被正常安裝運行。若應用未通過校驗,則認為該應用被篡改或不合法,對于該類應用,TVOS終端均不可下載使用。圖5所示為App校驗流程。
3 結 語
CA安全中心的建設是在TVOS安全體系和安全機制的基礎上,采用軟件學和現代密碼學等技術手段,管控終端具體的安全策略。該平臺有力保證了從底層芯片的硬件啟動安全到終端正常運行的系統安全以及到第三方軟件的應用安全的全流程,可有效應對刷機、系統侵入、違規(guī)應用等重點安全問題,為后期TVOS智能終端的運營規(guī)劃夯實基礎。
參考文獻
[1]史創(chuàng)明,王立新.數字簽名及PKI技術原理與應用[J].微計算機信息,2005,21(6X):122-124.
[2]盛志凡,王強,劉進,等.智能電視操作系統TVOS1.0安全技術方案[J].廣播與電視技術,2015,42(9):40-49.
[3]胡穎.公開密鑰加密體系和數字簽名技術的研究[J].計算機光盤軟件與應用,2013(11):298-300.
[4]薛淞文.TVOS業(yè)務平臺及支撐系統方案淺析[J].中國有線電視,2017(2):126-129.
[5]王嬌,薛淞文.TVOS運營支撐系統落地淺談[J].物聯網技術,2017,7(3):94-97.
[6]王明敏,熊俊,朱允斌,等.面向TVOS的智能終端關鍵業(yè)務承載技術的研制[J].世界廣播電視,2014(11):22-33.
[7]張東東.TVOS電視操作系統分析和展望[J].中國有線電視,2015 (3):253-255.
[8]劉佳,杜雪濤,朱文濤,等.互聯網數據中心安全解決方案[J].電信工程技術與標準化,2010,23(2):25-29.