智能電視操作系統(tǒng) 第2部分：安全 征求意見稿

1智能電視操作系統(tǒng)第2部分：安全本文件規(guī)定了智能電視操作系統(tǒng)的安全體系、安全機制等相關(guān)技4縮略語API應(yīng)用程序編程接口（ApplicationProgrammingInterface）APP應(yīng)用程序（Application）ATR應(yīng)答復(fù)位（AnswerToReset）CA證書認證機構(gòu)（CertificationAuthorDCAS可下載條件接收系統(tǒng)（DownloadableConditionalAccessSysteDoS拒絕服務(wù)（DenialofServicDRM數(shù)字版權(quán)管理（DigitalRightsManagemenDVB數(shù)字視頻廣播（DigitalVideoBroadcastinECW加密的控制字（EncryptedControlWEK加密的密鑰（EncryptedHAL硬件抽象層（HardwareAbstractLayer）IPSec互聯(lián)網(wǎng)安全協(xié)議（InterneOS操作系統(tǒng)（OperatingOTP一次性寫入（OneTimeProgramREE富執(zhí)行環(huán)境（RichExecutionEnvironROM只讀存儲器（Read-OnlyMemTVOS智能電視操作系統(tǒng)（SmartTelevisionOperatingSystSELinuxLinux強制訪問控制安全系統(tǒng)（Security-EnhancedLTAPP可信應(yīng)用（TrustedApplicaTEE可信執(zhí)行環(huán)境（TrustedExecutionEnvironVPN虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwo25通則框架層運行環(huán)境層組件層內(nèi)核層應(yīng)用權(quán)限控制應(yīng)用驗簽應(yīng)用沙箱隔離數(shù)據(jù)安全軟件安全數(shù)據(jù)安全資源訪問權(quán)限管理完整性度量終端合法性本地升級訪問控制安全啟動應(yīng)用加載安全管理應(yīng)用安裝安全管理數(shù)字簽名安全校驗遠程升級身份鑒別進程安全管理密碼算法庫擴展安全數(shù)據(jù)庫安全文件系統(tǒng)應(yīng)用完整性度量網(wǎng)絡(luò)安全網(wǎng)絡(luò)傳輸安全網(wǎng)絡(luò)入侵防范安全網(wǎng)絡(luò)協(xié)議棧硬件相關(guān)層硬件安全安全存儲區(qū)域硬件層級密鑰硬件安全信任根啟動校驗硬件密碼算法引擎密碼管理安全視頻通路3TVOS基礎(chǔ)安全架構(gòu)應(yīng)基于TVOS軟件架構(gòu)和安全機制，與TVOS硬件安全、軟件安全、網(wǎng)絡(luò)安TVOS硬件安全能力為軟件安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全等基礎(chǔ)安全能力構(gòu)建提供支撐。軟件安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等基礎(chǔ)安全能力應(yīng)基于硬件基礎(chǔ)安全能力構(gòu)建，為應(yīng)用構(gòu)建提供支撐。應(yīng)用基礎(chǔ)安全能力應(yīng)基于軟件安全、TVOS可信安全硬件支持安全芯片、安全內(nèi)存訪問控制、安全總線連接、安全中斷、安全時鐘、安是一個硬件抽象層API，用于支持各種可信應(yīng)用程序，如DRMTAPP和DCASTATVOS應(yīng)提供硬件安全能力，以實現(xiàn)基于安全芯片的TVOS軟件安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全和全。這些硬件安全功能應(yīng)包括安全存儲區(qū)、安全信任根和硬件密碼算法應(yīng)基于TVOS軟件架構(gòu)和基礎(chǔ)安全架構(gòu)對每個TVOS應(yīng)用進行沙箱隔離，為每個TVOS應(yīng)用構(gòu)建應(yīng)的應(yīng)用沙箱。每個TVOS應(yīng)用沙箱應(yīng)由一個相應(yīng)的TVOS應(yīng)用進程構(gòu)建，該應(yīng)用進程由相應(yīng)的T及其所調(diào)用的TVOS應(yīng)用框架層相關(guān)功能接口單元實例、相應(yīng)的應(yīng)用執(zhí)行環(huán)境和所調(diào)用的相關(guān)功能客戶端實例界定。TVOS應(yīng)用沙箱可根據(jù)需要采用TV應(yīng)基于TVOS軟件架構(gòu)和基礎(chǔ)安全架構(gòu)對每個TVOS功能組件進行沙箱隔建一個相應(yīng)的組件沙箱。每個TVOS組件沙箱應(yīng)由一個相應(yīng)的TVOS組件進程構(gòu)TVOS組件沙箱可根據(jù)需要采用TVOS基礎(chǔ)4Java應(yīng)用框架組件1組件2安全存儲區(qū)域、硬件層級密鑰機制、硬件安全信任根、啟動校驗、硬a)訪問控制：應(yīng)具備對不同軟件模塊和應(yīng)用訪問相關(guān)數(shù)據(jù)和文件、調(diào)用相關(guān)軟件模塊和操作相關(guān)設(shè)備資源進行權(quán)限配置和管理的能力，使相應(yīng)軟件模塊和應(yīng)控制權(quán)限訪問相關(guān)數(shù)據(jù)、調(diào)用相關(guān)軟件模塊、操作相關(guān)設(shè)備資源，防止獲取安全敏感數(shù)據(jù)、執(zhí)行未授權(quán)操作、調(diào)用未授權(quán)的軟件模塊b)資源訪問權(quán)限管理：應(yīng)具備對資源訪問的權(quán)限進行控制和管理的能力，且能保存和查詢應(yīng)用許可，訪問主體對資源客體的資源訪問權(quán)限應(yīng)由相關(guān)安全策略所定有客體與主體間均由一個唯一的安全上下文進行關(guān)聯(lián)；在運行期間5應(yīng)具備通過安全文件系統(tǒng)進行數(shù)據(jù)安全存儲的能力，確保用戶數(shù)據(jù)不被惡意泄漏和篡改、JAVA形態(tài)或WEB形態(tài)。內(nèi)容安全的功能實TVOS業(yè)務(wù)安全應(yīng)基于TVOS安全機制和硬件信任根建立DCAS的安全信任鏈，通過DCAS根密鑰派生、條件接收安全授權(quán)、安全解密解擾、安全解碼和安TVOS業(yè)務(wù)安全應(yīng)能通過TVOSDCAS組件與DCASAPP和DCASTAPP及媒體引擎組件和數(shù)字電視只有全部通過安全校驗后，系統(tǒng)才能安全啟6芯片為起點，經(jīng)終端Bootloader引導(dǎo)程序至TVOS內(nèi)核和文件系統(tǒng)，信任鏈的每一環(huán)何一步的驗證失敗都將導(dǎo)致系統(tǒng)啟動失敗。安全啟動的實現(xiàn)9.2硬件安全信任根9.3數(shù)字證書安全信任機制9.4安全信任鏈校驗機制安全信任鏈校驗機制應(yīng)采用數(shù)字證書安全信任機制，對信任鏈路中各環(huán)節(jié)的軟7安全信任鏈校驗機制應(yīng)保障信任鏈路中啟動加載軟件、操作系統(tǒng)和應(yīng)用程序的蓋加密視頻內(nèi)容從解密/解擾開始直至最終顯示的保視頻內(nèi)容在TVOS安全視頻路徑的任一環(huán)節(jié)及各環(huán)節(jié)之間的傳輸都應(yīng)在TVOSTEE可信執(zhí)行環(huán)境GPTEEClientAPI在TVOSREE中提供了打開會話、調(diào)用命令和關(guān)閉會話API，安全芯片層級密鑰驅(qū)動接口包括層級密鑰初始化、層級密鑰反初始化、讀取安硬件安全模塊應(yīng)用程序接口包括獲取硬件安全模塊軟件版本號、獲取硬件安全模塊基本信取硬件安全模塊診斷信息、獲取硬件安全模塊存儲容量及讀寫能力信息、獲取最近一次硬件安被激活的時間、獲取激活信息中CA廠商專屬的數(shù)據(jù)、生成激活請求數(shù)據(jù)、設(shè)置硬件安全模塊消息硬件安全模塊建立安全認證通道、讀取硬件安全模塊數(shù)據(jù)、寫入數(shù)據(jù)到硬件安全模塊、讀取硬件模塊存儲的位置信息、讀取硬件安全模塊公共存儲區(qū)、向硬件安全模塊公共存儲區(qū)寫入數(shù)據(jù)、件安全模塊中重加密算法、硬件安全模塊控制字CW、關(guān)閉硬件安全模塊安全認證通道等接口。具智能卡TEE接口包括智能卡復(fù)位、智能卡通訊接口。具體接口函數(shù)應(yīng)89媒體引擎組件DRM組件服務(wù)端DRM組件TEEClientAPITEEInternalAPI安全操作系統(tǒng)TEEf)媒體引擎組件將解密后的媒體內(nèi)容發(fā)送給底層硬件音視頻解碼器，對解密后的EEEE頻道切換指令或節(jié)目播放指令NGB-J媒體單元接口NGB-J過濾接口NGB-J媒體單元接口NGB-J過濾接口并將頻道的DVB三要素（originalnetd)如果頻道是非加擾的，則媒體播放組件直接調(diào)用底層驅(qū)動正常播放；如果播放組件創(chuàng)建播放的PipeLine，并將audioPid、videoPid和casId、ecmPid、emmPid、DCASWEB應(yīng)用客戶端客戶端數(shù)字電視TEEEE接媒體引擎組件數(shù)字電視組件DCASWEB應(yīng)用客戶端客戶端數(shù)字電視TEEEE接媒體引擎組件數(shù)字電視組件直播WEB應(yīng)用,BrowserJS調(diào)用服務(wù)DCAS組件硬件適配層HALTVOS2.0a)用戶使用直播應(yīng)用觀看節(jié)目，切換到某個并將頻道的DVB三要素（originald)如果頻道是非加擾的，則媒體播放組件直接調(diào)用底層驅(qū)動正常播放；如果播放組件創(chuàng)建播放的PipeLine，并將audioPid、videoPid和casId、ecmPid、emmPid、f)DCAS應(yīng)用進行相關(guān)初始化，并根據(jù)ecmPid和emmPid通過DCAS組件調(diào)用DTV組件獲取ecmDataTVOS系統(tǒng)Flash存儲器TVOS鏡像BL_KEY1對SecureOS鏡BL_KEY1對引導(dǎo)程序BL_KEY1TVOS系統(tǒng)Flash存儲器TVOS鏡像BL_KEY1對SecureOS鏡BL_KEY1對引導(dǎo)程序BL_KEY1YBL_KEY1BL_KEY0BL_KEY0BL_KEY1對TVOS鏡像TVOS安全啟動包括安全芯片到引導(dǎo)程序的信任構(gòu)建、引導(dǎo)程序到TVOSTEE的信任構(gòu)建和TVOSTEEa)安全芯片到引導(dǎo)程序的信任構(gòu)建：由ROM固化代碼從Flash存儲器讀取BL_KEY1和使用N進入系統(tǒng)升級下載數(shù)據(jù)重啟進入系統(tǒng)升級下載數(shù)據(jù)重啟TVOS終端啟動檢驗引導(dǎo)模塊簽名校驗升級數(shù)據(jù)簽名擦除并燒錄程序{()()2：層級密鑰級別，CW是0級，其他密鑰可以是1，2?等級別()()·)()()()()()()()()()如果沒有調(diào)用此接口，則HSM使用經(jīng)過TEE_HSM_GenerateCW接口設(shè)置的層級密鑰算法對CW進行重加()()()()()()()()() ()功能：TAPP通過本接口進行智能卡復(fù)位。終端在調(diào)用該函數(shù)時應(yīng)設(shè)置ATR長度不小于33字節(jié)，在獲()}CDRMR_SubSample;