专利名称:一种数字电视终端设备的安全控制方法
技术领域:
本发明涉及数字电视终端设备安全控制领域,尤其涉及一种数字电视终端设备的安全控制方法。
背景技术:
三网融合技术(电信网、计算机网和广播电视网)能够支持更多交互综合业务,为各种智能终端提供更多的增值服务,同时,增值服务功能的扩展使得运营商和用户对信息传输和系统本身的安全及稳定有了更高的要求。现阶段,传统的家庭多媒体终端多采用基于Windows或Linux的操作系统内核,它们均属于宏内核操作系统。宏内核操作系统是一个运行在核心态的单独大文件;代码量较大;设备驱动与内核一同运行在特权模式。宏内核系统在高安全要求的应用中存在着一些安全隐患1)R0M可能被破坏,使得数据被一些非法程序盗取;2)启动程序(Bootloader)基本上没有安全性保障,恶 意用户可能通过给内核传递参数来影响操作系统的安全性;3)宏内核易于被总体跟踪,导致信息泄漏;4)寄存器和内存中的数据都是明码存储的,使得黑客的破解成本相对降低,安全性无法得到保证;5)难以避免并隔离内部隐藏的安全漏洞;6)由于智能终端的窗口较小,非法程序可能通过模仿合法程序的窗口界面来蒙蔽用户,宏内核对窗口没有好的机制去限制窗口的特性,使得用户没有意识去甄别程序的合法性,导致个人的信息通过非法的程序泄漏等。针对上述情况,智能终端厂商通常采用软件加密的方法来防止信息被破解。软件加密方法把终端使用到的部分程序代码掩盖或隐藏起来、或者使用混淆的办法把部分程序代码与数据混同起来等,但是软件加密可靠性差,很容易被破解。为了弥补软件安全性的不足,现有技术中一般额外配备智能卡作为主要安全组件。智能卡包括与终端独立的中央处理器、存储器、外围设备等,其中存储器中包含具有较高安全级别的存储单元,用于保存相关密钥和授权信息等重要数据。在终端需要安全级别的操作时,通过与智能卡中运行的程序通信,获得关键信息,达到安全保护重要数据的目的。该技术方案在增强系统安全性的同时也存在如下缺陷1)增加了硬件成本;2)由于终端和智能卡是两个分离的设备,在技术上也多出了一些被攻击的接口,存在一定的安全隐患;3)在智能卡和终端通信过程中是明码传输,使得采用一些非法手段可获取解密信息CW(Control Word,控制字),或者终端的后门程序在CA库向解扰器设置CW之前获取CW,或者后门程序直接在存放CW的寄存器中读取,导致安全信息外流;4)该技术方案无法避免某些恶意的、或发生运行错误的终端应用软件的意外操作、程序崩溃、相互干扰,甚至影响操作系统的正常运行。针对智能卡作为安全组件的技术方案中存在的缺陷,现有技术中另一种方案采用安全芯片对现有的智能卡方案进行改进。采用安全芯片的技术方案与智能卡方案本质上是相同的,其不同点在于将智能卡替换为与终端芯片藕合性更强的一体化方案。在某些特殊应用中,终端主芯片本身可能也具有安全存储的特性。该技术方案在一定程度上节省了硬件成本,减少了一些安全通信的环节,提高了安全攻击的难度,减少了受攻击的可能性;但由于宏内核操作系统本身的特性,使得本技术方案存在如下缺陷1)无法完全杜绝操作系统与应用软件在安全隔离方面存在的隐患;2)宏内核的代码量非常庞大,难以避免并隔离内部隐藏的安全漏洞,一些黑客会通过使用一些技巧利用此漏洞使得系统执行一些木马程序,安全信息和个人信息泄露;3 )设备驱动与内核一同运行在特权模式下,这样可能会造成利用内核本身的不安全因素获取信息,使得安全信息外流;4)终端芯片与安全芯片的藕合性过高,由于不同厂商生产的安全系统的相关接口可能存在很大的差异,容易导致其通用性差,更换平台困难等问题。针对以上问题,本方案提出了一种数字电视终端设备的安全控制方法。
发明内容
本发明要解决的技术问题是提供一种数字电视终端设备的安全控制方法,对启动程序本身和终端底层硬件层面运行中的核心存储空间数据进行实时的加解密,以解决信息传输安全性问题,同时,采用基于微内核结构的操作系统,以解决系统本身的安全及稳定性问题。为达到上述目的,本发明是通过以下技术方案来实现的一种数字电视终端设备的安全控制方法,包括,终端设备启动阶段,具有硬件加密功能的主芯片通过加载加密的启动程序实现终端设备初始化;终端设备运行阶段,具有硬件加密功能的主芯片对核心存储空间的内容进行加密处理和传输,与片外存储器实现实时的硬件加解密功能,其中,所述主芯片采用微内核结构,通过基于微内核的操作系统对终端设备的核心态和用户态应用进行管理。进一步地,所述核心存储空间包括主芯片的寄存器。进一步地,所述核心存储空间包括主芯片的内存RAM。进一步地,所述核心存储空间包括存储器R0M,所述存储器ROM的内容包括操作系统内核及其校验码、校验程序、启动程序、启动程序的数字签名和校验码。进一步地,所述具有硬件加密功能的主芯片通过加载启动程序实现终端设备初始化包括,在加载启动程序之前,主芯片先对启动程序签名进行验证,验证通过后,对加密的启动程序进行解密,然后加载运行启动程序。进一步地,所述具有硬件加密功能的主芯片对核心存储空间的内容进行加密处理和传输,与片外存储器实现实时的硬件加解密功能包括,终端设备加载应用程序之前,主芯片先对应用程序签名进行验证,验证通过后,检查其所需权限与所赋予的权限是否匹配,如果匹配,加载并运行应用程序。进一步地,所述具有硬件加密功能的主芯片通过随机数生成器生成可变的加密密钥对核心存储空间内容进行加密处理和传输。进一步地,所述主芯片采用L4架构的微内核。进一步地,所述终端设备包括电视机顶盒,能够实现CA软件下载功能。本发明的技术方案,通过对终端启动过程及核心存储空间进行实时加解密,并结合安全相关的操作使终端设备完全处于加密保护的环境中运行, 保证信息传输安全,同时,通过基于微内核的操作系统对终端设备的核心态和用户态应用进行管理,从根本上提高了系统本身的安全性及稳定性。
图1为本发明数字电视终端设备安全控制方法的总体设计示意图;图2为本发明数字电视终端设备安全控制方法的流程图;图3为本发明第一实施例的硬件加密功能的主芯片的结构示意图;图4为本发明基于微内核的数字电视终端设备的主芯片软硬件结构示意图。
具体实施例方式下面结合附图和实施例对本发明作进一步说明。图1为本发明数字电视终端设备安全控制方法的总体设计示意图。本发明技术方案的总体设计思想是,将安全控制延伸到系统底层,配合硬件安全机制(通过硬件加密技术从设备的底层硬件层面对启动程序、核心存储空间进行加密),保证数据传输安全,使无卡系统能够达到主流的智能卡系统的安全级别,在兼容现有技术(DRM/CAS等相关管理)的基础上,从本质上提升整个平台的安全性与稳定性。其中,所述核心存储空间包括主芯片的寄存器、主芯片的内存RAM和主芯片的存储器ROM。所述主芯片的存储器ROM存储的内容包括操作系统内核及其校验码、校验程序、启动程序、启动程序的数字签名和校验码、主要应用程序的校验码。其中,启动程序不与主芯片的以外的具备记忆能力的器件发生关联。图2为本发明数字电 视终端设备安全控制方法的流程图。如图2所述,所述终端设备的安全控制方法包括如下过程步骤201 :终端设备启动阶段,具有硬件加密功能的主芯片通过加载加密的启动程序实现终端设备初始化。在加载启动程序之前,主芯片先对启动程序签名进行验证,验证通过后,对硬件加密的启动程序进行解密,然后加载运行启动程序。步骤202 :终端设备运行阶段,具有硬件加密功能的主芯片对核心存储空间的内容进行加密处理和传输,与片外存储器实现实时的硬件加解密功能。其中,所述主芯片采用微内核结构,通过基于微内核的操作系统对终端设备的核心态和用户态应用进行管理。终端设备运行时,在加载应用程序之前,根据需要将存储于存储器ROM中的内容加载到主芯片的内存RAM中,内核先对应用程序签名进行验证,验证通过后,检查其所需权限与所赋予的权限是否匹配,如果匹配,加载并运行应用程序。所述终端设备包括电视机顶盒,能够支持CA下载功能。主芯片具有硬件加密功能,所述硬件加密是将加密技术固化在产品底层硬件控制芯片中,对存储数据的加密直接通过底层硬件实现,不会在电脑上留下加密痕迹,也不影响数据传输速度,对电脑系统资源占用极少。同时,在密码传输过程中,是以密文形式传递,很难被木马截获,即使截获得到的也是乱码,从而在底层硬件层面保证信息传输安全。图3为本发明第一实施例的硬件加密功能的主芯片的结构示意图。所述主芯片采用硬件加密算法对核心存储空间内容进行加密处理和传输,保证数据传输安全。本实施例中为了使终端设备构成的安全平台的硬件特性具有通用性、有效性,能够保证设备在批量化生产时,满足不同运营商的要求,其硬件特性包含如下两点I)支持加载引导程序(Boot loader)前,除验证引导程序签名的正确性外,还应当先进行解密后才能运行;2)支持运行中的内存(RAM)实时加解密;基于上述两点还可派生出更多硬件安全特性,如主芯片的存储器ROM实时加解密
坐寸ο如图3所示,主芯片的寄存器、RAM、ROM以及生成加密密钥的随机数生成器,都集成在主芯片内部,使得外界无法对数据进行跟踪。其中,所述主芯片的内存RAM大小不小于16MB ;所述主芯片的存储器ROM大小不小于64MB,存储器ROM中存储的内容包括操作系统及其校验码、校验程序、启动程序、启动程序的数字签名和校验码以及主要系统应用的校验码等。存储器ROM中的内容是被加密保护的,加解密密钥由随机数生成器生成,与被保护的内容一同以密文形式保存在ROM中。当核心处理单元(CPU)向ROM存储数据时,从随机数生成器取得密钥,实时对数据进行加密,加密后的数据和密钥以密文的形式通过RAM传送到ROM进行保存。当核心处理单元(CPU)读取ROM当中的数据时,密文数据被读取到RAM中,经核心处理单元解密后,方能进行处理。运行于终端的系统应用都必须带有主芯片认证的签名,而应用本身无需加密,可以通过明文传输。当核 心处理单元处理片外存储器送入的系统应用时,先将应用加载到RAM中,再从ROM中提取该系统应用被加密的签名验证码,经解密后对应用程序进行签名验证。验证通过,应用可以被执行,否则,应用不能被执行。其中,所述随机数生成器生成的加密密钥为利用硬件电路随机滚动生成的,使得加密密钥仅在一段时间内有效,保证主芯片硬件加密功能的安全和可靠。对于随机数生成器使用的加密算法并没有严格的限制,可以根据需要利用多种算法实现。上述技术方案与现有的智能卡技术方案比较,采用无卡系统并支持可下载CA,降低了运营商的运营成本;主芯片具有加密功能,减少了重要信息在外围设备中的传输环节,保证数据在终端系统中的传输安全。由于从设备底层硬件层面进行加密,保证了整个系统核心数据是加密的,从而使控制字在整个会话过程当中始终处于安全状态。同时,本发明还将微内核技术引入家庭多媒体终端领域,为终端操作系统提供一个更加安全、稳定的平台。微内核是操作系统内核的一种精简形式,将通常与内核集成在一起的系统服务层分离出来,所有服务(包括应用服务、应用程序)都在用户态下运行。基于微内核的操作系统对终端设备的核心态和用户态应用进行管理,每个服务和应用程序只在各自的地址空间上运行,所以各个服务和应用程序彼此之间都受到了保护,这就为平台提供了原生的应用隔离机制,有效避免应用程序之间的互相干扰,也能防止常见于宏内核操作系统中的利用驱动程序的漏洞来入侵系统、恶意提升操作权限、进而攻击系统的风险,最终提高终端平台的系统安全性和稳定性。基于微内核和硬件加密技术的安全终端设备,启动过程、核心存储空间、安全相关的基本操作,在加密保护的环境下运行,最大程度地限制了潜在的非法操作对系统安全的威胁,使得系统具有先天的安全特性,同时,无卡系统及可下载CA在降低了硬件成本的情况下,为运营商的产品升级及开发提供了更开放的平台,降低了运营成本。本发明所述的安全平台中的硬件、操作系统可根据实际情况进行选择,并且应用程序、驱动等可以在结构上有所补充。图4为本发明基于微内核的数字电视终端设备的主芯片软硬件结构示意图。如图4所示,具有硬件加密功能的微内核结构的主芯片和基于主芯片的微内核操作系统,构成一个软硬件结合的安全平台。本实施例中,具有硬件加密功能的主芯片采用L4架构微内核。L4微内核包含操作系统基本的服务,运行在核心态,如进程控制、内存管理和进程间通信等。L4微内核适用于在嵌入式平台上实现虚拟化。虚拟化的操作系统和设备驱动分别作为一个服务进程运行在L4微内核上,实现虚拟化的用户操作系统内核与其它用户操作系统或者设备驱动之间的隔离。每个系统调用都转换成调用进程和目标服务间的进程间通信消息。所述L4微内核本身具有严格的权限控制,直接运行于微内核之上所有的应用软件,驱动等(如权限管理、安全策略、系统服务等)都工作在用户态,但从使用功能的角度看存在着层级关系,能够自下而上逐级管理。终端设备初始化阶段,硬件与操作系统之间通过加载一个专用的引导程序(BootLoader)来启动,所述引导程序是由硬件加密的,存储于程序存储器中,设备通过调用接口入口加载引导程序。在加载引导程序之前,终端硬件先对启动程序签名进行验证,验证通过后,对硬件加密的启动程序进行解密,然后加载运行启动程序,增强了整个系统的安全性。终端设备运行阶段,通过具有硬件加密功能的主芯片对核心存储空间的内容进行加密处理和传输,实现与片外存储器实时加解密功能。所述主芯片硬件加密方法请参考前面图3部分的详细描述。本发明的技术方案,通过对终端启动过程及核心存储空间进行实时加解密,并结合安全相关的操作使终端 设备完全处于加密保护的环境中运行,保证信息传输安全,同时,通过基于微内核的操作系统对终端设备的用户态应用进行管理,从根本上提高了系统本身的安全性及稳定性。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,所述的存储介质,如R0M/RAM、磁碟、光盘。上述仅为本发明的较佳实施例及所运用技术原理,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围内。
权利要求
1.一种数字电视终端设备的安全控制方法,其特征在于,包括,终端设备启动阶段,具有硬件加密功能的主芯片通过加载加密的启动程序实现终端设备初始化;终端设备运行阶段,具有硬件加密功能的主芯片对核心存储空间的内容进行加密处理和传输,与片外存储器实现实时的硬件加解密功能,其中,所述主芯片采用微内核结构,通过基于微内核的操作系统对终端设备的核心态和用户态应用进行管理。
2.根据权利要求1所述的数字电视终端设备的安全控制方法,其特征在于,所述核心存储空间包括主芯片的寄存器。
3.根据权利要求1或2所述的数字电视终端设备的安全控制方法,其特征在于,所述核心存储空间包括主芯片的内存RAM。
4.根据权利要求3所述的数字电视终端设备的安全控制方法,其特征在于,所述核心存储空间包括主芯片的存储器R0M,所述存储器ROM的内容包括操作系统内核及其校验码、 校验程序、启动程序、启动程序的数字签名和校验码。
5.根据权利要求1所述的数字电视终端设备的安全控制方法,其特征在于,所述具有硬件加密功能的主芯片通过加载加密启动程序实现终端设备初始化包括,在加载启动程序之前,主芯片先对启动程序签名进行验证,验证通过后,对加密的启动程序进行解密,然后加载运行启动程序。
6.根据权利要求4所述的数字电视终端设备的安全控制方法,其特征在于,所述具有硬件加密功能的主芯片对核心存储空间的内容进行加密处理和传输,与片外存储器实现实时的硬件加解密功能包括,终端设备加载应用程序之前,主芯片先对应用程序签名进行验证,验证通过后,检查其所需权限与所赋予的权限是否匹配,如果匹配,加载并运行应用程序。
7.根据权利要求1所述的数字电视终端设备的安全控制方法,其特征在于,所述具有硬件加密功能的主芯片通过随机数生成器生成可变的加密密钥对核心存储空间内容进行加密处理和传输。
8.根据权利要求1所述的数字电视终端设备的安全控制方法,其特征在于,所述主芯片采用L4架构的微内核。
9.根据权利要求1所述的数字电视终端设备的安全控制方法,其特征在于,所述终端设备包括电视机顶盒,能够实现CA软件下载功能。
全文摘要
本发明公开一种数字电视终端设备的安全控制方法,该方法通过对终端启动过程及核心存储空间进行实时加解密,并结合安全相关的操作使终端设备完全处于加密保护的环境中运行,保证信息传输安全,同时,通过基于微内核的操作系统对终端设备的核心态和用户态应用进行管理,从根本上提高了系统本身的安全性及稳定性。
文档编号H04N21/4627GK103051963SQ20121050582
公开日2013年4月17日 申请日期2012年11月30日 优先权日2012年11月30日
发明者冯昶, 王天星, 王文军, 李伟东, 李红艳 申请人:北京视博数字电视科技有限公司