專利名稱:一種嵌入式電視終端系統(tǒng)內容安全保護方法
技術領域:
本發(fā)明涉及嵌入式軟件安全領域,特別涉及一種嵌入式電視終端系統(tǒng)內容安全保護方法。
背景技術:
目前開放的嵌入式操作系統(tǒng)大都是面向手機應用的,主要有Symbian和Android。Symbian操作系統(tǒng)是一個得到世界主流手機廠商認可的,先進和開放的智能手機操作系統(tǒng),它為高級的2. 5G和3G手機的特定要求所設計。因為越來越多的個人信息如電話簿、商業(yè)機密文檔會被保存在智能手機中,為防止惡意軟件和病毒竊取這些信息或者耗費用戶通信費用。因此,Symbian OS V9. 0及以后的版本引入了新的系統(tǒng)安全模型。新的安全模型通過能力模型、數(shù)據鎖定等手段實現(xiàn)了一個可信計算平臺,以保護移動設備系統(tǒng)的完整性,保護用戶數(shù)據的隱秘性并控制對敏感資源的訪問。Android是Google 與 OHA (Open Handset Alliance,開放手機聯(lián)盟)合作開發(fā)的基于LinuX2. 6平臺的開源智能手機操作系統(tǒng)平臺。該平臺是一個對第三方軟件完全開放的平臺,Android OS平臺的安全機制相應地分為系統(tǒng)安全機制和數(shù)據安全機制。Android的系統(tǒng)安全機制主要靠Linux 2. 6的安全機制來實現(xiàn);數(shù)據安全機制依據用戶標識和權限來構造,安裝在Android手機中的每個程序都會被分配給一個屬于自己的統(tǒng)一的Linux用戶標識,并且為它創(chuàng)建一個沙箱以防止影響其它程序,或者其它程序影響它。權限是指Android OS中允許用戶或者程序執(zhí)行的操作,包括打開數(shù)據文件、發(fā)送信息和調用Android組件等等。權限是Android為保障安全而設定的安全標識,同時也是程序實現(xiàn)某些特殊操作的基礎,比如申請系統(tǒng)krvice等。安全問題一直是數(shù)字廣播電視系統(tǒng)的重要問題。目前數(shù)字電視系統(tǒng)主要面臨的安全問題有條件接收問題、版權保護問題和非法電視節(jié)目問題。對于開放的嵌入式數(shù)字電視操作系統(tǒng),其安全需求需要采取數(shù)據保密、安全的訪問控制和用戶安全管理等各方面措施, 還要保護信息源、網絡運營商、傳輸公司、電視臺和消費者的利益。因此,在廣播電視系統(tǒng)中,對內容的安全管控非常關鍵?,F(xiàn)有的關于數(shù)字電視安全的研究,主要針對的是條件接收和版權保護,是從保護電視節(jié)目提供商、電視運營商、數(shù)字電視付費用戶的角度來進行的。 但是,非法電視節(jié)目問題卻一直沒有切實的解決方案。從而降低了整個數(shù)字電視廣播系統(tǒng)的安全性。另外,在“三網融合”以及大量應用引入的條件下,不僅非法內容進入電視終端的風險也大大提高,電視終端也越來越多的暴露在開放的網絡安全風險和威脅之下,易遭受到病毒等惡意程序攻擊帶來的電視節(jié)目等內容的非法篡改或替換,應用程序運行變異對電視終端敏感資源的破壞等安全威脅。
發(fā)明內容
本發(fā)明的目的在于,為解決上述問題,提出一種嵌入式電視終端系統(tǒng)內容安全保護方法,防止非法電視節(jié)目等媒體內容播出,防護惡意代碼對電視終端本地資源可用性的破壞。為實現(xiàn)上述發(fā)明目的,提出一種嵌入式電視終端系統(tǒng)內容安全保護方法,針對非法媒體內容和惡意程序的攻擊,該方法基于數(shù)字水印的TS流內容安全機制在終端處保證對非法媒體內容的實時監(jiān)控和對惡意代碼的主動防御、基于資源聲明的對外部網絡訪問限制機制防止第三方應用的變異導致應用程序對非法網站的訪問和非法媒體內容的下載和基于進程訪問控制機制防止非法程序對本地文件的篡改和破壞;其中,所述的基于數(shù)字水印的TS流內容安全機制是在前端對TS流加入水印,終端通過對應地數(shù)字水印算法解析數(shù)據流,當發(fā)生內容篡改或替換,會發(fā)現(xiàn)數(shù)據完整性測量錯誤,然后終止并關閉該應用,釋放相應資源;所述的基于資源聲明的對外部網絡訪問限制機制是根據資源聲明中維護合法網絡地址的白名單來確定是否允許應用訪問該網絡地址;所述的進程訪問控制機制是在操作系統(tǒng)內核層通過安全策略定義嵌入式電視終端進程來控制對資源文件的訪問。所述的基于數(shù)字水印的TS流內容安全機制具體步驟包括步驟11):首先在前端基于視頻編碼在VLC域加入數(shù)字水印,然后生成TS流;步驟1. 2)在接收端終端處,當鎖定頻點后,解析收到的實時數(shù)據流;步驟1. 3)根據所提取數(shù)據,終端對TS數(shù)據流進行完整性認證;一旦出現(xiàn)認證錯誤時,安全框架應立刻停止對音視頻數(shù)據進行解碼,終止該應用,并進行相應資源回收。所述的基于資源聲明的對外部網絡訪問限制機制具體步驟包括步驟2. 1)嵌入式電視終端操作系統(tǒng)通過解析得到資源聲明;其中,所述的資源聲明包括相應地組件信息和訪問外部網站地址的白名單;步驟2. 2)嵌入式電視終端操作系統(tǒng)運行應用程序時,要讀取所述的步驟2. 1)中的資源聲明,對應用程序擬訪問外網地址,安全框架與資源聲明中的白名單進行對比,當該擬訪問外網地址在白名單中,安全框架允許該應用進行訪問;當該擬訪問外網地址在白名單中,安全框架則不允許該應用進行訪問,并立刻終止該應用,并釋放相應的資源信息。所述的進程訪問控制機制的具體步驟包括步驟3. 1)創(chuàng)建嵌入式電視終端進程;步驟3. 2)根據安全訪問策略為所述的步驟3. 1)創(chuàng)建的進程分配能力等級;步驟3. 3):啟動進程;步驟3. 4)根據所述的步驟3. 2)分配的進程能力等級,訪問相應的文件資源;步驟3. 5)對進程的訪問權限進行監(jiān)控,如果發(fā)現(xiàn)異常,終止該進程,釋放相應資源。所述的嵌入式電視終端進程定義了 2種能力,包括系統(tǒng)能力和用戶能力。所述的系統(tǒng)能力包括訪問系統(tǒng)內核/文件系統(tǒng)/資源監(jiān)控、所有文件系統(tǒng)中文件的讀寫權限、訪問解碼器資源、訪問解復用資源、訪問圖形資源、磁盤管理操作、訪問受數(shù)字版權保護的內容、訪問網絡協(xié)議、監(jiān)聽輸入事件和Flash管理操作;所述的系統(tǒng)能力通過TVOS的簽名獲得;所述的用戶能力包括訪問多媒體組件、訪問用戶環(huán)境信息、讀寫用戶數(shù)據和訪問上網組件;
所述的用戶能力通過TVOS的簽名或由用戶在安裝應用程序時授權。本發(fā)明的優(yōu)點在于,本發(fā)明中對TS流節(jié)目加入水印,防止由于在信道傳輸過程中對節(jié)目的非法替換和篡改,導致終端對非法內容的呈現(xiàn);本發(fā)明根據業(yè)務的資源聲明信息, 采用白名單防止第三方應用的變異導致應用程序對非法網站的訪問,從而下載非法媒體內容;本發(fā)明基于進程的資源訪問控制,有效地防止非法程序對本地文件的篡改和破壞,同時沒有對文件產生多余的附加訪問信息,降低了系統(tǒng)對文件安全監(jiān)控的維護開銷。
圖1為本發(fā)明提出的一種嵌入式電視終端系統(tǒng)內容安全保護示意圖;圖2為基于進程的資源訪問控制流程圖。
具體實施例方式下面結合附圖和具體實施方式
對本發(fā)明作進一步的說明。本發(fā)明針對非法媒體內容,和惡意程序的攻擊,基于嵌入式電視操作系統(tǒng),提出了一種嵌入式電視終端系統(tǒng)內容安全保護方法,在終端處保證對非法媒體內容的實時監(jiān)控和對惡意代碼的主動防御,防止非法媒體內容的呈現(xiàn)和對系統(tǒng)資源文件的破壞,實現(xiàn)對嵌入式電視終端的內容安全管控。本發(fā)明提供了一種嵌入式電視終端系統(tǒng)內容安全保護方法,包括三部分內容1)對于Cable或網絡的TS媒體流,安全框架根據其中嵌入的水印對TS流內容安全進行完整性測量,當發(fā)生媒體內容篡改或替換后,終端通過相應數(shù)字水印算法會發(fā)現(xiàn)數(shù)據完整性測量錯誤,此時,安全框架立刻終止該媒體節(jié)目,關閉該應用,并釋放相應資源。2)控制已啟動程序對非法網絡的訪問,從而阻止非法內容的本地下載,具體為前端系統(tǒng)在資源聲明中維護合法網絡地址的白名單,當應用程序訪問某網絡地址時,根據資源聲明中的白名單,確定是否允許該應用訪問該網絡地址。3)通過安全策略定義進程對資源文件的訪問權限,將系統(tǒng)文件和重要的媒體文件等信息文件保護起來,防止對本地敏感文件資源的非法訪問,避免可執(zhí)行惡意代碼對本地文件內容的篡改和破壞。一種嵌入式電視終端的內容安全保護方法,包括防止非法內容的呈現(xiàn)和本地資源文件訪問控制,如圖1所示。在應用層,通過在TS流中加入水印的方法,來防止數(shù)字音視頻在傳輸過程中的篡改和替換。此外,應用層通過和前端服務器完成媒體內容下載時的合法性驗證;在應用程序運行時,采用白名單防止對非法網絡的訪問以及非法內容的下載;在操作系統(tǒng)內核層,通過安全策略定義進程對文件描述的訪問權限,將系統(tǒng)文件和重要的媒體文件等信息文件保護起來,防止對本地敏感文件資源的非法訪問,避免可執(zhí)行惡意代碼對本地文件內容的篡改和破壞。1、基于數(shù)字水印的TS流內容安全機制1)首先在前端基于視頻編碼在VLC域加入數(shù)字水印,然后生成TS流。在VLC域增加水印方法如下在視頻流數(shù)據VLC域進行處理,尋找具有如下特征的VLC碼做為宿主數(shù)據(run,level)域中的run值一致;(run, level)域中的level值只相差1 ;VLC碼長度一致;VLC碼最低有效位相差1。將配對的符合以上特征的VLC碼分別抽象為“0”和“1”。然后對運用各種數(shù)字水印算法,對這些抽象的“0”和“ 1,,進行相應的修改。當由“0”轉變成 “ 1 ”或由“ 1 ”轉變?yōu)椤?”時,即將該VLC碼替換為與之配對的VLC碼,如果“0”或“ 1,,不進行更改,則VLC碼保持不變。嵌入視頻內容完整性認證后的視頻數(shù)據,再生成TS流。2)終端對視頻流的數(shù)據提取在接收端終端側,當鎖定頻點后,解析收到的實時數(shù)據流。數(shù)據解析的具體流程如下所述解調后的數(shù)據流從高頻頭射頻信號接收板進入到終端平臺的緩存區(qū)(DMA Buffer) 中。然后需要對節(jié)目特定信息(PSI)進行提取和分析。根據PAT Wkction結構找到所有的節(jié)目號和各節(jié)目號所對應的PMT PID;然后根據該節(jié)目的PMT PID得到表中對應節(jié)目號的kction,按照PMT Section的結構進行分析,進而找到所有該節(jié)目的基本流包括視頻流 PID和音頻PID值加以保存,然后通過過濾視頻PID得到視頻流數(shù)據。在視頻流數(shù)據VLC域進行如下處理,尋找具有如下特征的VLC碼具有如下特征的VLC碼作為宿主數(shù)據(run, level)域中的run值一致;(run, level)域中的level值只相差1 ;VLC碼長度一致;VLC碼最低有效位相差1。將配對的符合以上特征的VLC碼分別抽象為“0”和“1”,然后根據發(fā)送端的數(shù)字水印嵌入算法,在接收端采用相應的數(shù)字水印提取算法,得到相應的嵌入數(shù)據。3) TS流的合法性認證根據所提取數(shù)據,終端對TS數(shù)據流在進行實時解碼的同時進行完整性認證。一旦出現(xiàn)認證錯誤時,安全框架應立刻停止對音視頻數(shù)據進行解碼,終止該應用,并進行相應資源回收。2、基于資源聲明的對外部網絡訪問限制機制本發(fā)明的數(shù)字電視終端操作系統(tǒng)(TVOS)基于LINUX操作系統(tǒng),由系統(tǒng)管理框架實施應用程序的進程調度,并由資源管理框架實施資源分配、資源監(jiān)控和資源回收。該操作系統(tǒng)面向融合網絡,對應用程序是開放的。應用程序可能會在執(zhí)行中發(fā)生變異,或者出現(xiàn)意外的邏輯錯誤,對系統(tǒng)資源實施非法訪問,對系統(tǒng)安全造成威脅。資源聲明,是指應用程序在TVOS上運行之前,需提供該軟件對數(shù)字電視終端資源的最大使用量。這些資源包括CPU、內存、網絡帶寬、圖形資源、音視頻解碼器、調諧模塊、磁盤存儲空間等等。除了以上內容外,資源聲明同時為了防止該應用變異訪問非法網絡,還提供該應用對網絡訪問的地址白名單。當TVOS的系統(tǒng)管理框架將調度某應用程序時,會讀取該應用程序的資源聲明,并向資源管理框架申請所需資源。如果資源申請成功,該程序將被執(zhí)行。如果該程序在執(zhí)行過程中發(fā)生了對資源的非法請求或占用,系統(tǒng)管理框架就會終止該程序,以確保系統(tǒng)安全; 同時釋放相應資源。應用運行時首先通過解析得到應用的資源聲明信息。除了得到相應的組件信息外,還得到允許該應用訪問外部網站地址的白名單。當嵌入式電視操作系統(tǒng)要調度運行該應用程序時,需讀取該應用程序的資源聲明,對應用程序擬訪問的外網地址,安全框架與該應用資源聲明中的白名單進行比對;當該外網地址在白名單當中時,安全框架可允許該應用進行訪問。當外網地址不在白名單當中時,安全框架則不允許該應用進行訪問,并立刻終止該應用,并釋放相應的資源信息。所回收的資源,可應用于其它前臺進程應用。3、進程訪問控制方法
(1)安全策略表1. TVOS定義的能力
權利要求
1.一種嵌入式電視終端系統(tǒng)內容安全保護方法,針對非法媒體內容和惡意程序的攻擊,該方法基于數(shù)字水印的TS流內容安全機制在終端處保證對非法媒體內容的實時監(jiān)控和對惡意代碼的主動防御、基于資源聲明的對外部網絡訪問限制機制防止第三方應用的變異導致應用程序對非法網站的訪問和非法媒體內容的下載和基于進程訪問控制機制防止非法程序對本地文件的篡改和破壞;其中,所述的基于數(shù)字水印的TS流內容安全機制是在前端對TS流加入水印,終端通過對應地數(shù)字水印算法解析數(shù)據流,當發(fā)生內容篡改或替換,會發(fā)現(xiàn)數(shù)據完整性測量錯誤,然后終止并關閉該應用,釋放相應資源;所述的基于資源聲明的對外部網絡訪問限制機制是根據資源聲明中維護合法網絡地址的白名單來確定是否允許應用訪問該網絡地址;所述的進程訪問控制機制是在操作系統(tǒng)內核層通過安全策略定義嵌入式電視終端進程來控制對資源文件的訪問。
2.根據權利要求1所述的嵌入式電視終端系統(tǒng)內容安全保護方法,其特征在于,所述的基于數(shù)字水印的TS流內容安全機制具體步驟包括步驟11)首先在前端基于視頻編碼在VLC域加入數(shù)字水印,然后生成TS流; 步驟1. 2)在接收端終端處,當鎖定頻點后,解析收到的實時數(shù)據流; 步驟1. 3)根據所提取數(shù)據,終端對TS數(shù)據流進行完整性認證;一旦出現(xiàn)認證錯誤時, 安全框架應立刻停止對音視頻數(shù)據進行解碼,終止該應用,并進行相應資源回收。
3.根據權利要求1所述的嵌入式電視終端系統(tǒng)內容安全保護方法,其特征在于,所述的基于資源聲明的對外部網絡訪問限制機制具體步驟包括步驟2. 1)嵌入式電視終端操作系統(tǒng)通過解析得到資源聲明;其中,所述的資源聲明包括相應地組件信息和訪問外部網站地址的白名單;步驟2. 2)嵌入式電視終端操作系統(tǒng)運行應用程序時,要讀取所述的步驟2. 1)中的資源聲明,對應用程序擬訪問外網地址,安全框架與資源聲明中的白名單進行對比,當該擬訪問外網地址在白名單中,安全框架允許該應用進行訪問;當該擬訪問外網地址在白名單中, 安全框架則不允許該應用進行訪問,并立刻終止該應用,并釋放相應的資源信息。
4.根據權利要求1所述的嵌入式電視終端系統(tǒng)內容安全保護方法,其特征在于,所述的進程訪問控制機制的具體步驟包括步驟3. 1)創(chuàng)建嵌入式電視終端進程;步驟3. 2)根據安全訪問策略為所述的步驟3. 1)創(chuàng)建的進程分配能力等級; 步驟3. 3)啟動進程;步驟3. 4)根據所述的步驟3. 分配的進程能力等級,訪問相應的文件資源; 步驟3. 5)對進程的訪問權限進行監(jiān)控,如果發(fā)現(xiàn)異常,終止該進程,釋放相應資源。
5.根據權利要求4所述的嵌入式電視終端系統(tǒng)內容安全保護方法,其特征在于,所述的嵌入式電視終端進程定義了 2種能力,包括系統(tǒng)能力和用戶能力。
6.根據權利要求5所述的嵌入式電視終端系統(tǒng)內容安全保護方法,其特征在于,所述的系統(tǒng)能力包括訪問系統(tǒng)內核/文件系統(tǒng)/資源監(jiān)控、所有文件系統(tǒng)中文件的讀寫權限、 訪問解碼器資源、訪問解復用資源、訪問圖形資源、磁盤管理操作、訪問受數(shù)字版權保護的內容、訪問網絡協(xié)議、監(jiān)聽輸入事件和Flash管理操作;所述的系統(tǒng)能力通過TVOS的簽名獲得。
7.根據權利要求5所述的嵌入式電視終端系統(tǒng)內容安全保護方法,其特征在于,所述的用戶能力包括訪問多媒體組件、訪問用戶環(huán)境信息、讀寫用戶數(shù)據和訪問上網組件; 所述的用戶能力通過TVOS的簽名或由用戶在安裝應用程序時授權。
全文摘要
本發(fā)明涉及一種嵌入式電視終端系統(tǒng)內容安全保護方法,該方法針對非法內容和惡意程序的攻擊,在終端處保證對非法內容的實時監(jiān)控和對惡意代碼的主動防御,防止非法內容的呈現(xiàn)和對系統(tǒng)資源文件的破壞,實現(xiàn)對嵌入式電視終端的內容安全管控;該方法包括基于數(shù)字水印的TS流內容安全機制是在前端對TS流加入水印,終端通過相應數(shù)字水印算法解析數(shù)據流,發(fā)生內容篡改或替換,會發(fā)現(xiàn)數(shù)據完整性測量錯誤,然后終止并關閉該應用;基于資源聲明的對外部網絡訪問限制機制是根據資源聲明中維護合法網絡地址的白名單來確定是否允許應用訪問該網絡地址;進程訪問控制機制是在操作系統(tǒng)內核層通過安全策略定義嵌入式電視終端進程來控制對資源文件的訪問。
文檔編號H04N21/266GK102547400SQ20111005041
公開日2012年7月4日 申請日期2011年3月2日 優(yōu)先權日2010年12月8日
發(fā)明者孫鵬, 張輝, 林軍, 王勁林, 鄧峰, 郭志川 申請人:中國科學院聲學研究所