CN102547400A - 一种嵌入式电视终端系统内容安全保护方法 - Google Patents

Abstract

本发明涉及一种嵌入式电视终端系统内容安全保护方法，该方法针对非法内容和恶意程序的攻击，在终端处保证对非法内容的实时监控和对恶意代码的主动防御，防止非法内容的呈现和对系统资源文件的破坏，实现对嵌入式电视终端的内容安全管控；该方法包括：基于数字水印的TS流内容安全机制是在前端对TS流加入水印，终端通过相应数字水印算法解析数据流，发生内容篡改或替换，会发现数据完整性测量错误，然后终止并关闭该应用；基于资源声明的对外部网络访问限制机制是根据资源声明中维护合法网络地址的白名单来确定是否允许应用访问该网络地址；进程访问控制机制是在操作系统内核层通过安全策略定义嵌入式电视终端进程来控制对资源文件的访问。

Description

一种嵌入式电视终端系统内容安全保护方法

技术领域

本发明涉及嵌入式软件安全领域，特别涉及一种嵌入式电视终端系统内容安全保护方法。

背景技术

目前开放的嵌入式操作系统大都是面向手机应用的，主要有Symbian和Android。

Symbian操作系统是一个得到世界主流手机厂商认可的，先进和开放的智能手机操作系统，它为高级的2.5G和3G手机的特定要求所设计。因为越来越多的个人信息如电话簿、商业机密文档会被保存在智能手机中，为防止恶意软件和病毒窃取这些信息或者耗费用户通信费用。因此，Symbian OS V9.0及以后的版本引入了新的系统安全模型。新的安全模型通过能力模型、数据锁定等手段实现了一个可信计算平台，以保护移动设备系统的完整性，保护用户数据的隐秘性并控制对敏感资源的访问。

Android是Google与OHA(Open Handset Alliance，开放手机联盟)合作开发的基于Linux2.6平台的开源智能手机操作系统平台。该平台是一个对第三方软件完全开放的平台，Android OS平台的安全机制相应地分为系统安全机制和数据安全机制。Android的系统安全机制主要靠Linux 2.6的安全机制来实现；数据安全机制依据用户标识和权限来构造，安装在Android手机中的每个程序都会被分配给一个属于自己的统一的Linux用户标识，并且为它创建一个沙箱以防止影响其它程序，或者其它程序影响它。权限是指Android OS中允许用户或者程序执行的操作，包括打开数据文件、发送信息和调用Android组件等等。权限是Android为保障安全而设定的安全标识，同时也是程序实现某些特殊操作的基础，比如申请系统Service等。

安全问题一直是数字广播电视系统的重要问题。目前数字电视系统主要面临的安全问题有：条件接收问题、版权保护问题和非法电视节目问题。对于开放的嵌入式数字电视操作系统，其安全需求需要采取数据保密、安全的访问控制和用户安全管理等各方面措施，还要保护信息源、网络运营商、传输公司、电视台和消费者的利益。因此，在广播电视系统中，对内容的安全管控非常关键。现有的关于数字电视安全的研究，主要针对的是条件接收和版权保护，是从保护电视节目提供商、电视运营商、数字电视付费用户的角度来进行的。但是，非法电视节目问题却一直没有切实的解决方案。从而降低了整个数字电视广播系统的安全性。另外，在“三网融合”以及大量应用引入的条件下，不仅非法内容进入电视终端的风险也大大提高，电视终端也越来越多的暴露在开放的网络安全风险和威胁之下，易遭受到病毒等恶意程序攻击带来的电视节目等内容的非法篡改或替换，应用程序运行变异对电视终端敏感资源的破坏等安全威胁。

发明内容

本发明的目的在于，为解决上述问题，提出一种嵌入式电视终端系统内容安全保护方法，防止非法电视节目等媒体内容播出，防护恶意代码对电视终端本地资源可用性的破坏。

为实现上述发明目的，提出一种嵌入式电视终端系统内容安全保护方法，针对非法媒体内容和恶意程序的攻击，该方法基于数字水印的TS流内容安全机制在终端处保证对非法媒体内容的实时监控和对恶意代码的主动防御、基于资源声明的对外部网络访问限制机制防止第三方应用的变异导致应用程序对非法网站的访问和非法媒体内容的下载和基于进程访问控制机制防止非法程序对本地文件的篡改和破坏；其中，

所述的基于数字水印的TS流内容安全机制是在前端对TS流加入水印，终端通过对应地数字水印算法解析数据流，当发生内容篡改或替换，会发现数据完整性测量错误，然后终止并关闭该应用，释放相应资源；

所述的基于资源声明的对外部网络访问限制机制是根据资源声明中维护合法网络地址的白名单来确定是否允许应用访问该网络地址；

所述的进程访问控制机制是在操作系统内核层通过安全策略定义嵌入式电视终端进程来控制对资源文件的访问。

所述的基于数字水印的TS流内容安全机制具体步骤包括：

步骤11)：首先在前端基于视频编码在VLC域加入数字水印，然后生成TS流；

步骤1.2)：在接收端终端处，当锁定频点后，解析收到的实时数据流；

步骤1.3)：根据所提取数据，终端对TS数据流进行完整性认证；一旦出现认证错误时，安全框架应立刻停止对音视频数据进行解码，终止该应用，并进行相应资源回收。

所述的基于资源声明的对外部网络访问限制机制具体步骤包括：

步骤2.1)：嵌入式电视终端操作系统通过解析得到资源声明；其中，所述的资源声明包括：相应地组件信息和访问外部网站地址的白名单；

步骤2.2)：嵌入式电视终端操作系统运行应用程序时，要读取所述的步骤2.1)中的资源声明，对应用程序拟访问外网地址，安全框架与资源声明中的白名单进行对比，当该拟访问外网地址在白名单中，安全框架允许该应用进行访问；当该拟访问外网地址在白名单中，安全框架则不允许该应用进行访问，并立刻终止该应用，并释放相应的资源信息。

所述的进程访问控制机制的具体步骤包括：

步骤3.1)：创建嵌入式电视终端进程；

步骤3.2)：根据安全访问策略为所述的步骤3.1)创建的进程分配能力等级；

步骤3.3)：启动进程；

步骤3.4)：根据所述的步骤3.2)分配的进程能力等级，访问相应的文件资源；

步骤3.5)：对进程的访问权限进行监控，如果发现异常，终止该进程，释放相应资源。

所述的嵌入式电视终端进程定义了2种能力，包括：系统能力和用户能力。

所述的系统能力包括：访问系统内核/文件系统/资源监控、所有文件系统中文件的读写权限、访问解码器资源、访问解复用资源、访问图形资源、磁盘管理操作、访问受数字版权保护的内容、访问网络协议、监听输入事件和Flash管理操作；

所述的系统能力通过TVOS的签名获得；

所述的用户能力包括：访问多媒体组件、访问用户环境信息、读写用户数据和访问上网组件；

所述的用户能力通过TVOS的签名或由用户在安装应用程序时授权。

本发明的优点在于，本发明中对TS流节目加入水印，防止由于在信道传输过程中对节目的非法替换和篡改，导致终端对非法内容的呈现；本发明根据业务的资源声明信息，采用白名单防止第三方应用的变异导致应用程序对非法网站的访问，从而下载非法媒体内容；本发明基于进程的资源访问控制，有效地防止非法程序对本地文件的篡改和破坏，同时没有对文件产生多余的附加访问信息，降低了系统对文件安全监控的维护开销。

附图说明

图1为本发明提出的一种嵌入式电视终端系统内容安全保护示意图；

图2为基于进程的资源访问控制流程图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步的说明。

本发明针对非法媒体内容，和恶意程序的攻击，基于嵌入式电视操作系统，提出了一种嵌入式电视终端系统内容安全保护方法，在终端处保证对非法媒体内容的实时监控和对恶意代码的主动防御，防止非法媒体内容的呈现和对系统资源文件的破坏，实现对嵌入式电视终端的内容安全管控。

本发明提供了一种嵌入式电视终端系统内容安全保护方法，包括三部分内容：

1)对于Cable或网络的TS媒体流，安全框架根据其中嵌入的水印对TS流内容安全进行完整性测量，当发生媒体内容篡改或替换后，终端通过相应数字水印算法会发现数据完整性测量错误，此时，安全框架立刻终止该媒体节目，关闭该应用，并释放相应资源。

2)控制已启动程序对非法网络的访问，从而阻止非法内容的本地下载，具体为前端系统在资源声明中维护合法网络地址的白名单，当应用程序访问某网络地址时，根据资源声明中的白名单，确定是否允许该应用访问该网络地址。

3)通过安全策略定义进程对资源文件的访问权限，将系统文件和重要的媒体文件等信息文件保护起来，防止对本地敏感文件资源的非法访问，避免可执行恶意代码对本地文件内容的篡改和破坏。

一种嵌入式电视终端的内容安全保护方法，包括防止非法内容的呈现和本地资源文件访问控制，如图1所示。在应用层，通过在TS流中加入水印的方法，来防止数字音视频在传输过程中的篡改和替换。此外，应用层通过和前端服务器完成媒体内容下载时的合法性验证；在应用程序运行时，采用白名单防止对非法网络的访问以及非法内容的下载；在操作系统内核层，通过安全策略定义进程对文件描述的访问权限，将系统文件和重要的媒体文件等信息文件保护起来，防止对本地敏感文件资源的非法访问，避免可执行恶意代码对本地文件内容的篡改和破坏。

1、基于数字水印的TS流内容安全机制

1)首先在前端基于视频编码在VLC域加入数字水印，然后生成TS流。在VLC域增加水印方法如下：在视频流数据VLC域进行处理，寻找具有如下特征的VLC码做为宿主数据：(run，level)域中的run值一致；(run，level)域中的level值只相差1；VLC码长度一致；VLC码最低有效位相差1。将配对的符合以上特征的VLC码分别抽象为“0”和“1”。然后对运用各种数字水印算法，对这些抽象的“0”和“1”进行相应的修改。当由“0”转变成“1”或由“1”转变为“0”时，即将该VLC码替换为与之配对的VLC码，如果“0”或“1”不进行更改，则VLC码保持不变。嵌入视频内容完整性认证后的视频数据，再生成TS流。

2)终端对视频流的数据提取

在接收端终端侧，当锁定频点后，解析收到的实时数据流。数据解析的具体流程如下所述：解调后的数据流从高频头射频信号接收板进入到终端平台的缓存区(DMA Buffer)中。然后需要对节目特定信息(PSI)进行提取和分析。根据PAT的Section结构找到所有的节目号和各节目号所对应的PMT PID；然后根据该节目的PMT PID得到表中对应节目号的Section，按照PMT Section的结构进行分析，进而找到所有该节目的基本流包括视频流PID和音频PID值加以保存，然后通过过滤视频PID得到视频流数据。在视频流数据VLC域进行如下处理，寻找具有如下特征的VLC码：具有如下特征的VLC码作为宿主数据：(run，level)域中的run值一致；(run，level)域中的level值只相差1；VLC码长度一致；VLC码最低有效位相差1。将配对的符合以上特征的VLC码分别抽象为“0”和“1”，然后根据发送端的数字水印嵌入算法，在接收端采用相应的数字水印提取算法，得到相应的嵌入数据。

3)TS流的合法性认证

根据所提取数据，终端对TS数据流在进行实时解码的同时进行完整性认证。一旦出现认证错误时，安全框架应立刻停止对音视频数据进行解码，终止该应用，并进行相应资源回收。

2、基于资源声明的对外部网络访问限制机制

本发明的数字电视终端操作系统(TVOS)基于LINUX操作系统，由系统管理框架实施应用程序的进程调度，并由资源管理框架实施资源分配、资源监控和资源回收。该操作系统面向融合网络，对应用程序是开放的。应用程序可能会在执行中发生变异，或者出现意外的逻辑错误，对系统资源实施非法访问，对系统安全造成威胁。

资源声明，是指应用程序在TVOS上运行之前，需提供该软件对数字电视终端资源的最大使用量。这些资源包括：CPU、内存、网络带宽、图形资源、音视频解码器、调谐模块、磁盘存储空间等等。除了以上内容外，资源声明同时为了防止该应用变异访问非法网络，还提供该应用对网络访问的地址白名单。

当TVOS的系统管理框架将调度某应用程序时，会读取该应用程序的资源声明，并向资源管理框架申请所需资源。如果资源申请成功，该程序将被执行。如果该程序在执行过程中发生了对资源的非法请求或占用，系统管理框架就会终止该程序，以确保系统安全；同时释放相应资源。

应用运行时首先通过解析得到应用的资源声明信息。除了得到相应的组件信息外，还得到允许该应用访问外部网站地址的白名单。

当嵌入式电视操作系统要调度运行该应用程序时，需读取该应用程序的资源声明，对应用程序拟访问的外网地址，安全框架与该应用资源声明中的白名单进行比对；当该外网地址在白名单当中时，安全框架可允许该应用进行访问。当外网地址不在白名单当中时，安全框架则不允许该应用进行访问，并立刻终止该应用，并释放相应的资源信息。所回收的资源，可应用于其它前台进程应用。

3、进程访问控制方法

(1)安全策略

表1.TVOS定义的能力

能力	授予权限	能力级别
			1	访问系统内核，文件系统，资源监控	系统
2	所有文件系统中文件的读写权限	系统
			3	访问解码器资源	系统
4	访问解复用资源	系统
			5	访问图形资源	系统
6	磁盘管理操作	系统
			7	访问受数字版权保护的内容	系统
8	访问网络协议	系统
			9	监听输入事件	系统
10	Flash管理操作	系统
			11	访问多媒体组件	用户
12	访问上网组件	用户
			13	读写用户数据	用户
14	访问用户环境信息	用户

对进程的控制是防御可执行恶意代码的关键。在操作系统中，进程都是直接继承用户的权限的，这样会给操作系统带来危害。本发明结合嵌入式电视操作系统的特点，为嵌入式电视终端的进程定义了14种能力，具体请见上表1。分为系统能力和用户级别的能力两种。系统能力通过TVOS的签名才能获得，用户能力可通过TVOS的签名获得或由用户在安装应用程序时授予。本发明中，对应TVOS可信信任基的进程关系到整个电视操作系统的稳定性，拥有最高的特权，可以完全访问系统资源，包括系统管理、应用的加载、启动和切换、系统运行状态和系统资源的实时监控等进程；位于信任环境中的服务进程根据签名可以访问UI，视频播放，网络通信，DVB等系统资源；用户类进程只能读写用户数据和访问用户环境信息。通过能力和能力规则的定义，系统对进程访问资源和操作进行了严格的控制，保证了系统资源的有安全访问。

(2)进程访问资源控制流程

基于上述安全策略，对进程资源文件访问的控制流程见图2，具体描述如下：

步骤1)：首先创建进程；

步骤2)：根据安全访问策略为进程分配能力等级；

步骤3)：启动进程；

步骤4)：根据进程的能力等级，访问相应的文件资源；

步骤5)：对进程的访问权限进行监控，如果发现异常，终止该进程，释放相应资源。

最后所应说明的是，以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，对本发明的技术方案进行修改或者等同替换，都不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。

Claims (7)

1.一种嵌入式电视终端系统内容安全保护方法，针对非法媒体内容和恶意程序的攻击，该方法基于数字水印的TS流内容安全机制在终端处保证对非法媒体内容的实时监控和对恶意代码的主动防御、基于资源声明的对外部网络访问限制机制防止第三方应用的变异导致应用程序对非法网站的访问和非法媒体内容的下载和基于进程访问控制机制防止非法程序对本地文件的篡改和破坏；其中，

所述的基于数字水印的TS流内容安全机制是在前端对TS流加入水印，终端通过对应地数字水印算法解析数据流，当发生内容篡改或替换，会发现数据完整性测量错误，然后终止并关闭该应用，释放相应资源；

所述的基于资源声明的对外部网络访问限制机制是根据资源声明中维护合法网络地址的白名单来确定是否允许应用访问该网络地址；

所述的进程访问控制机制是在操作系统内核层通过安全策略定义嵌入式电视终端进程来控制对资源文件的访问。

2.根据权利要求1所述的嵌入式电视终端系统内容安全保护方法，其特征在于，所述的基于数字水印的TS流内容安全机制具体步骤包括：

步骤11)：首先在前端基于视频编码在VLC域加入数字水印，然后生成TS流；

步骤1.2)：在接收端终端处，当锁定频点后，解析收到的实时数据流；

步骤1.3)：根据所提取数据，终端对TS数据流进行完整性认证；一旦出现认证错误时，安全框架应立刻停止对音视频数据进行解码，终止该应用，并进行相应资源回收。

3.根据权利要求1所述的嵌入式电视终端系统内容安全保护方法，其特征在于，所述的基于资源声明的对外部网络访问限制机制具体步骤包括：

步骤2.1)：嵌入式电视终端操作系统通过解析得到资源声明；其中，所述的资源声明包括：相应地组件信息和访问外部网站地址的白名单；

步骤2.2)：嵌入式电视终端操作系统运行应用程序时，要读取所述的步骤2.1)中的资源声明，对应用程序拟访问外网地址，安全框架与资源声明中的白名单进行对比，当该拟访问外网地址在白名单中，安全框架允许该应用进行访问；当该拟访问外网地址在白名单中，安全框架则不允许该应用进行访问，并立刻终止该应用，并释放相应的资源信息。

4.根据权利要求1所述的嵌入式电视终端系统内容安全保护方法，其特征在于，所述的进程访问控制机制的具体步骤包括： 

步骤3.1)：创建嵌入式电视终端进程；

步骤3.2)：根据安全访问策略为所述的步骤3.1)创建的进程分配能力等级；

步骤3.3)：启动进程；

步骤3.4)：根据所述的步骤3.2)分配的进程能力等级，访问相应的文件资源；

步骤3.5)：对进程的访问权限进行监控，如果发现异常，终止该进程，释放相应资源。

5.根据权利要求4所述的嵌入式电视终端系统内容安全保护方法，其特征在于，所述的嵌入式电视终端进程定义了2种能力，包括：系统能力和用户能力。

6.根据权利要求5所述的嵌入式电视终端系统内容安全保护方法，其特征在于，所述的系统能力包括：访问系统内核/文件系统/资源监控、所有文件系统中文件的读写权限、访问解码器资源、访问解复用资源、访问图形资源、磁盘管理操作、访问受数字版权保护的内容、访问网络协议、监听输入事件和Flash管理操作；

所述的系统能力通过TVOS的签名获得。

7.根据权利要求5所述的嵌入式电视终端系统内容安全保护方法，其特征在于，所述的用户能力包括：访问多媒体组件、访问用户环境信息、读写用户数据和访问上网组件；

所述的用户能力通过TVOS的签名或由用户在安装应用程序时授权。 

Images