黃 超

（北京歌華有線電視網(wǎng)絡(luò)股份有限公司，北京 100007）

1 研究背景

廣電與新技術(shù)的融合日益深化，正從高清化、網(wǎng)絡(luò)化、互動化向超清化、智能化、IP化、移動化升級，以互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算、人工智能為代表的信息技術(shù)正加速與廣播電視融合。有線電視不能再簡單定義為通過專用有線廣播網(wǎng)絡(luò)提供電視服務(wù)，除了有線電視服務(wù)，還包括IP視頻點(diǎn)播、互聯(lián)網(wǎng)接入、云服務(wù)和應(yīng)用、智能家居、智慧社區(qū)、5G通信服務(wù)、大數(shù)據(jù)服務(wù)等。在此過程中，各類智能機(jī)頂盒的使用越來越普及，豐富的功能、便捷的業(yè)務(wù)開發(fā)模式，已使其經(jīng)成為廣電、電信運(yùn)營商及互聯(lián)網(wǎng)視頻服務(wù)提供商的首選終端設(shè)備。

目前，國內(nèi)智能機(jī)頂盒普遍采用智能操作系統(tǒng)（安卓或者TVOS）。智能操作系統(tǒng)最大特點(diǎn)便是開放性、兼容性，擁有豐富的可選應(yīng)用軟件，滿足用戶個(gè)性化和多樣化使用需求，用戶可以簡單便捷地完成應(yīng)用軟件的安裝、更新和卸載操作[1]。對海量的可選應(yīng)用軟件在安裝前完成詳細(xì)安全性篩查變得非常困難，安裝這些應(yīng)用軟件也可能將安全隱患引入智能機(jī)頂盒[2]。安裝非法應(yīng)用軟件、隱匿訪問非法網(wǎng)站、非法獲取用戶數(shù)據(jù)等安全問題，將使智能機(jī)頂盒面臨著巨大的安全挑戰(zhàn)。

2 智能機(jī)頂盒安全問題現(xiàn)狀

作為用戶側(cè)終端設(shè)備，智能機(jī)頂盒的業(yè)務(wù)涉及音視頻內(nèi)容展示、多媒體應(yīng)用、軟件游戲、網(wǎng)絡(luò)接入等多個(gè)方面，其安全性直接關(guān)乎業(yè)務(wù)運(yùn)營和用戶數(shù)據(jù)的安全，同時(shí)也是廣播電視安全播出的重要一環(huán)。

智能機(jī)頂盒大致可以劃分為硬件層、系統(tǒng)層、用戶數(shù)據(jù)層、應(yīng)用層。硬件層一般包括主芯片、內(nèi)存、Flash、網(wǎng)絡(luò)模塊、回傳通道、視音頻輸出、電源、主板、紅外藍(lán)牙接收模塊等；系統(tǒng)層主要是指智能操作系統(tǒng)；應(yīng)用層一般包含直播、時(shí)移、回看、點(diǎn)播、網(wǎng)頁類交互應(yīng)用和各類下載安裝APK智能應(yīng)用。如圖1所示。

圖1 智能機(jī)頂盒一般層級結(jié)構(gòu)

常見的智能機(jī)頂盒安全威脅來自以下幾個(gè)方面。

（1）安卓智能操作系統(tǒng)漏洞導(dǎo)致的安全風(fēng)險(xiǎn)。由于安卓智能操作系統(tǒng)平臺各層級大量復(fù)用不同代碼，經(jīng)常出現(xiàn)各類漏洞，如應(yīng)用反編譯漏洞實(shí)現(xiàn)軟件破解并插入惡意代碼；利用數(shù)據(jù)的存儲與傳輸漏洞竊取敏感信息，篡改配置文件等。有些開發(fā)者會利用系統(tǒng)漏洞有目的地引用一些木馬或留有后門，還有些開發(fā)者因水平有限導(dǎo)致開發(fā)的應(yīng)用本身就存在安全漏洞。

（2）第三方應(yīng)用軟件導(dǎo)致的安全風(fēng)險(xiǎn)。除了運(yùn)營商為機(jī)頂盒管理預(yù)制的軟件，用戶一般還會自行選擇安裝大量應(yīng)用軟件，部分軟件可能存在安全漏洞或被嵌入木馬。通過應(yīng)用商店安裝第三方應(yīng)用軟件是一種通用手段，由于各個(gè)應(yīng)用商店的技術(shù)水平和監(jiān)管水平不一致，也沒有統(tǒng)一安全標(biāo)準(zhǔn)，有可能讓存在安全隱患的應(yīng)用軟件進(jìn)入智能電視應(yīng)用商店。

（3）機(jī)頂盒服務(wù)端口異常導(dǎo)致的安全風(fēng)險(xiǎn)。機(jī)頂盒設(shè)備在正常的業(yè)務(wù)端口和管理端口外，可能會由于疏忽開放了一些不必要的存在安全隱患的服務(wù)端口，比如，TELNET端口、ADB端口、SSH端口等。

以上這些風(fēng)險(xiǎn)可能帶來的危害有：通過應(yīng)用軟件非正當(dāng)渠道獲取非法內(nèi)容；第三方應(yīng)用攜帶木馬病毒；竊取用戶的個(gè)人信息；遠(yuǎn)程操控智能機(jī)頂盒；破壞智能機(jī)頂盒的軟件或硬件系統(tǒng)；用戶私有數(shù)據(jù)丟失。

因此，運(yùn)營商在智能機(jī)頂盒研發(fā)之初就需要從硬件、系統(tǒng)、軟件應(yīng)用、網(wǎng)絡(luò)等多個(gè)層面設(shè)計(jì)不同的安全防護(hù)策略，比如，機(jī)頂盒硬件安全性設(shè)計(jì)、軟件啟動安全校驗(yàn)、升級軟件下載安裝校驗(yàn)、應(yīng)用軟件安裝簽名校驗(yàn)、網(wǎng)絡(luò)接入身份認(rèn)證等。除了安全防護(hù)策略，智能機(jī)頂盒還應(yīng)建立有效的終端安全監(jiān)測手段，以防漏網(wǎng)之魚，能夠在線監(jiān)控智能機(jī)頂盒的安全狀態(tài)，一旦出現(xiàn)終端安全風(fēng)險(xiǎn)，能夠快速發(fā)現(xiàn)并及時(shí)處理。

3 基于機(jī)頂盒軟探針的終端安全監(jiān)測與防護(hù)

3.1 監(jiān)測系統(tǒng)架構(gòu)

機(jī)頂盒軟探針軟件系統(tǒng)主要包括云端軟探針監(jiān)測平臺和軟探針終端軟件兩部分。云端軟探針監(jiān)測平臺包括業(yè)務(wù)探測層、接口適配層、系統(tǒng)應(yīng)用層、系統(tǒng)展現(xiàn)層，通過指定通信協(xié)議（如TR069等）完成對其所轄范圍的機(jī)頂盒軟探針終端軟件進(jìn)行配置管理、告警和QoS/QoE數(shù)據(jù)采集等，并將其所轄范圍內(nèi)的QoS/QoE匯總數(shù)據(jù)上傳給平臺的控制管理中心，做進(jìn)一步的匯總關(guān)聯(lián)和統(tǒng)計(jì)分析處理。云端軟探針監(jiān)測平臺實(shí)現(xiàn)對軟探針的統(tǒng)一管理，對關(guān)鍵KPI數(shù)據(jù)進(jìn)行采集和關(guān)聯(lián)分析，快速定位故障，并自動生成各種統(tǒng)計(jì)報(bào)表。

圖2 監(jiān)測系統(tǒng)架構(gòu)圖

軟探針終端軟件是一種安裝在智能機(jī)頂盒上的APK軟件，其中包含的軟探針安全軟件模塊可以根據(jù)安全監(jiān)測的需要，對進(jìn)出機(jī)頂盒網(wǎng)口的所有IP流量進(jìn)行被動監(jiān)測和抓包，自動識別視頻與網(wǎng)絡(luò)數(shù)據(jù)，并對其進(jìn)行各項(xiàng)參數(shù)統(tǒng)計(jì)，定期將這些統(tǒng)計(jì)參數(shù)通過指定通信協(xié)議（如TR069等）上報(bào)到云端軟探針監(jiān)測平臺的數(shù)據(jù)采集服務(wù)器。機(jī)頂盒軟探針安全模塊采集的數(shù)據(jù)主要來源于智能機(jī)頂盒底層播放器、網(wǎng)路接口和智能操作系統(tǒng)。通過實(shí)時(shí)抓取和分析網(wǎng)絡(luò)報(bào)文，獲取所有網(wǎng)絡(luò)環(huán)境數(shù)據(jù)；通過機(jī)頂盒系統(tǒng)提供的相關(guān)接口，采集系統(tǒng)內(nèi)存、CPU、網(wǎng)絡(luò)連接方式等機(jī)頂盒系統(tǒng)數(shù)據(jù)；通過平臺主動下發(fā)網(wǎng)絡(luò)診斷任務(wù)，采集相應(yīng)的任務(wù)執(zhí)行結(jié)果，即網(wǎng)絡(luò)探測數(shù)據(jù)，按監(jiān)測平臺需求對網(wǎng)絡(luò)環(huán)境數(shù)據(jù)、機(jī)頂盒系統(tǒng)數(shù)據(jù)和網(wǎng)絡(luò)探測數(shù)據(jù)進(jìn)行預(yù)處理后上報(bào)到監(jiān)測平臺，為定位智能機(jī)頂盒安全問題提供可靠依據(jù)。

圖3 采集模式示意圖

3.2 安全監(jiān)測與防護(hù)功能

機(jī)頂盒安全監(jiān)測和防護(hù)目前通過機(jī)頂盒集成各個(gè)安全模塊實(shí)現(xiàn)的主要功能包括：IP地址掃描、系統(tǒng)端口掃描、APK應(yīng)用程序掃描、機(jī)頂盒遠(yuǎn)程重啟或待機(jī)。

圖4 智能機(jī)頂盒集成安全軟件模塊示意圖

（1）IP地址掃描。自動對機(jī)頂盒訪問的所有網(wǎng)絡(luò)IP地址進(jìn)行監(jiān)測，對疑似非法公網(wǎng)IP地址進(jìn)行告警上報(bào)。機(jī)頂盒軟探針基于PCAP庫捕獲網(wǎng)絡(luò)全量抓包數(shù)據(jù)、根據(jù)通信協(xié)議棧逐層解析Ethernet/IP/TCP，構(gòu)建TCP流。然后依據(jù)協(xié)議端口確認(rèn)當(dāng)前流類型，如RTSP流、HLS流和EPG數(shù)據(jù)流等。與此同時(shí)，判定當(dāng)前流的服務(wù)器側(cè)IP地址是否屬于“非法訪問IP地址”，如果屬于，則推送“非法訪問IP地址”告警給云平臺端軟探針監(jiān)測平臺，由平臺根據(jù)預(yù)置策略進(jìn)行相應(yīng)處理。監(jiān)測平臺“合法訪問IP地址”白名單配置一般可包括視頻CDN服務(wù)IP地址段、運(yùn)營商自己云平臺各類應(yīng)用、EPG服務(wù)器IP地址段等。

（2）系統(tǒng)端口掃描。對終端操作系統(tǒng)開放的端口進(jìn)行掃描，對非法應(yīng)用偵聽端口及進(jìn)程進(jìn)行告警。如果智能機(jī)頂盒內(nèi)運(yùn)行了非法軟件程序，那么非法軟件程序具備在任意時(shí)間點(diǎn)接收外部請求指令并執(zhí)行相應(yīng)非法操作的能力，此時(shí)設(shè)備就容易被挾持成為肉雞，形成巨大安全隱患。機(jī)頂盒軟探針長時(shí)間偵聽（LISTENING）智能機(jī)頂盒端口，基于Linux網(wǎng)絡(luò)指令可獲得系統(tǒng)偵聽的TCP端口和進(jìn)程PID?；谶M(jìn)程查看指令可獲得活躍進(jìn)程名稱（APK包名、后臺業(yè)務(wù)服務(wù)進(jìn)程名）和PID的映射關(guān)系。將上述兩種數(shù)據(jù)進(jìn)行關(guān)聯(lián)匯總可獲得到“APK+偵聽端口”的列表。軟探針可以根據(jù)監(jiān)管策略，周期性地將該映射列表推送給監(jiān)測平臺。

監(jiān)測平臺已經(jīng)根據(jù)預(yù)先提供的安全信息，生成APK和端口白名單。在收到“APK+偵聽端口”列表后，檢測平臺可以通過白名單逐一核對，判定異常APK偵聽告警。

（3）APK應(yīng)用掃描。對機(jī)頂盒所有的APK應(yīng)用進(jìn)行掃描，對惡意或非法APK應(yīng)用進(jìn)行卸載。機(jī)頂盒軟探針基于進(jìn)程查看指令獲得正在運(yùn)行的后臺服務(wù)和APK名稱，基于Package（包）管理模塊接口獲得已安裝APK包列表。監(jiān)測平臺采集已運(yùn)行和已安裝的APK列表，基于預(yù)先設(shè)置的APK白名單進(jìn)行檢查核對，當(dāng)遇到未知APK時(shí)，觸發(fā)非法APK安裝和運(yùn)行告警。

如果需要緊急卸載非法APK，監(jiān)測平臺可通過加密指令通道下發(fā)APK卸載指令，完成非法APK的卸載工作。

（4）機(jī)頂盒遠(yuǎn)程重啟或待機(jī)。針對法通過APK遠(yuǎn)程管控等簡單措施停止非法軟件運(yùn)行的情況，通過軟探針實(shí)現(xiàn)遠(yuǎn)程機(jī)頂盒強(qiáng)制重啟或待機(jī)。當(dāng)智能機(jī)頂盒出現(xiàn)無法通過APK遠(yuǎn)程管控等簡單措施停止非法軟件運(yùn)行的情況，管理員無法通過遠(yuǎn)程控制關(guān)閉該非法后臺程序的顯示和運(yùn)行時(shí)，可以通過軟終端前端監(jiān)測平臺下發(fā)機(jī)頂盒重啟或者待機(jī)指令。

3.3 運(yùn)行模式

上述軟探針在智能機(jī)頂盒后臺運(yùn)行，不影響機(jī)頂盒的正常功能，CPU負(fù)載不超過5%（雙核1.5 GHz），內(nèi)存消耗不超過總大小的5%（RAM 1 GB）；系統(tǒng)支持7×24小時(shí)持續(xù)運(yùn)行，運(yùn)行過程中CPU、RAM不會明顯增加。監(jiān)測平臺可靈活設(shè)置軟探針的運(yùn)行模式，包括以下三種模式。

（1）不上報(bào)模式。在該模式下軟探針不進(jìn)行數(shù)據(jù)統(tǒng)計(jì)，不向平臺上傳監(jiān)測數(shù)據(jù)，因此基本不會占用機(jī)頂盒CPU、內(nèi)存和網(wǎng)絡(luò)資源。此時(shí)仍然接收模式狀態(tài)跟蹤信息，在平臺恢復(fù)采集模式后，可再次進(jìn)行數(shù)據(jù)采集。

（2）日常采集模式。此模式主要用于預(yù)防性監(jiān)測和維護(hù)，通過對所有軟探針上報(bào)的指標(biāo)進(jìn)行統(tǒng)計(jì)匯總，可發(fā)現(xiàn)潛在安全問題；在該模式下，軟探針每隔5分鐘（可配置）將告警和故障事件上傳到監(jiān)測平臺，或者事件觸發(fā)實(shí)時(shí)上報(bào)。

（3）故障排查模式。此模式主要用于對某一特定用戶的故障排查和精準(zhǔn)定位；在該模式下，軟探針每隔30秒（可配置）將當(dāng)前網(wǎng)絡(luò)指標(biāo)、告警和故障事件、上傳到監(jiān)測平臺。該模式下，運(yùn)維人員打開排查頁面后，可以查看到機(jī)頂盒當(dāng)前顯示畫面并可以下發(fā)遠(yuǎn)程遙控指令進(jìn)行操作。畫面會跟隨操作進(jìn)行切換，與用戶家庭觀看到的畫面保持一致。

4 結(jié)束語

隨著數(shù)字家庭概念的發(fā)展和推廣，智能機(jī)頂盒已經(jīng)成為家庭中不可或缺的終端產(chǎn)品，未來還可能演變?yōu)榧彝タ蛷d的核心智能控制單元，除了可以實(shí)現(xiàn)視頻傳輸功能，也能夠向家庭中所有的智能設(shè)備提供一條集成的、綜合的通道，為各種其他智能設(shè)備提供服務(wù)，家庭智能機(jī)頂盒的重要性在不斷加強(qiáng)。隨著智能終端智能化、IP化升級，互聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算、人工智能為代表的信息技術(shù)正加速與廣播電視現(xiàn)有的智能機(jī)頂盒融合，廣電的智能機(jī)頂盒已經(jīng)不再是安全避風(fēng)港。機(jī)頂盒在設(shè)計(jì)、研發(fā)、運(yùn)營之初就必須在安全方面多加考慮，為智能機(jī)頂盒滿足各類網(wǎng)絡(luò)應(yīng)用場景做好充分的安全準(zhǔn)備，加強(qiáng)運(yùn)營安全管理，做到可用、可管、可控。本文闡述的基于機(jī)頂盒軟探針軟件系統(tǒng)，是實(shí)現(xiàn)智能機(jī)頂盒等智能終端產(chǎn)品安全監(jiān)測和管理的有效手段之一，能夠在一定程度上有效防范和處理智能機(jī)頂盒的一些安全問題。■