[发明专利]一种数字电视终端设备的安全控制方法

说明书

技术领域

本发明涉及数字电视终端设备安全控制领域，尤其涉及一种数字电视终端设备的安全控制方法。

背景技术

三网融合技术（电信网、计算机网和广播电视网）能够支持更多交互综合业务，为各种智能终端提供更多的增值服务，同时，增值服务功能的扩展使得运营商和用户对信息传输和系统本身的安全及稳定有了更高的要求。

现阶段，传统的家庭多媒体终端多采用基于Windows或Linux的操作系统内核，它们均属于宏内核操作系统。宏内核操作系统是一个运行在核心态的单独大文件；代码量较大；设备驱动与内核一同运行在特权模式。宏内核系统在高安全要求的应用中存在着一些安全隐患：1）ROM可能被破坏，使得数据被一些非法程序盗取；2）启动程序（Bootloader）基本上没有安全性保障，恶意用户可能通过给内核传递参数来影响操作系统的安全性；3）宏内核易于被总体跟踪，导致信息泄漏；4）寄存器和内存中的数据都是明码存储的，使得黑客的破解成本相对降低，安全性无法得到保证；5）难以避免并隔离内部隐藏的安全漏洞；6）由于智能终端的窗口较小，非法程序可能通过模仿合法程序的窗口界面来蒙蔽用户，宏内核对窗口没有好的机制去限制窗口的特性，使得用户没有意识去甄别程序的合法性，导致个人的信息通过非法的程序泄漏等。针对上述情况，智能终端厂商通常采用软件加密的方法来防止信息被破解。软件加密方法把终端使用到的部分程序代码掩盖或隐藏起来、或者使用混淆的办法把部分程序代码与数据混同起来等，但是软件加密可靠性差，很容易被破解。

为了弥补软件安全性的不足，现有技术中一般额外配备智能卡作为主要安全组件。智能卡包括与终端独立的中央处理器、存储器、外围设备等，其中存储器中包含具有较高安全级别的存储单元，用于保存相关密钥和授权信息等重要数据。在终端需要安全级别的操作时，通过与智能卡中运行的程序通信，获得关键信息，达到安全保护重要数据的目的。该技术方案在增强系统安全性的同时也存在如下缺陷：1）增加了硬件成本；2）由于终端和智能卡是两个分离的设备，在技术上也多出了一些被攻击的接口，存在一定的安全隐患；3）在智能卡和终端通信过程中是明码传输，使得采用一些非法手段可获取解密信息CW（Control Word，控制字），或者终端的后门程序在CA库向解扰器设置CW之前获取CW，或者后门程序直接在存放CW的寄存器中读取，导致安全信息外流；4）该技术方案无法避免某些恶意的、或发生运行错误的终端应用软件的意外操作、程序崩溃、相互干扰，甚至影响操作系统的正常运行。

针对智能卡作为安全组件的技术方案中存在的缺陷，现有技术中另一种方案采用安全芯片对现有的智能卡方案进行改进。采用安全芯片的技术方案与智能卡方案本质上是相同的，其不同点在于：将智能卡替换为与终端芯片藕合性更强的一体化方案。在某些特殊应用中，终端主芯片本身可能也具有安全存储的特性。该技术方案在一定程度上节省了硬件成本，减少了一些安全通信的环节，提高了安全攻击的难度，减少了受攻击的可能性；但由于宏内核操作系统本身的特性，使得本技术方案存在如下缺陷：1）无法完全杜绝操作系统与应用软件在安全隔离方面存在的隐患；2）宏内核的代码量非常庞大，难以避免并隔离内部隐藏的安全漏洞，一些黑客会通过使用一些技巧利用此漏洞使得系统执行一些木马程序，安全信息和个人信息泄露；3）设备驱动与内核一同运行在特权模式下，这样可能会造成利用内核本身的不安全因素获取信息，使得安全信息外流；4）终端芯片与安全芯片的藕合性过高，由于不同厂商生产的安全系统的相关接口可能存在很大的差异，容易导致其通用性差，更换平台困难等问题。

针对以上问题，本方案提出了一种数字电视终端设备的安全控制方法。

发明内容

本发明要解决的技术问题是提供一种数字电视终端设备的安全控制方法，对启动程序本身和终端底层硬件层面运行中的核心存储空间数据进行实时的加解密，以解决信息传输安全性问题，同时，采用基于微内核结构的操作系统，以解决系统本身的安全及稳定性问题。

为达到上述目的，本发明是通过以下技术方案来实现的：

一种数字电视终端设备的安全控制方法，包括，

终端设备启动阶段，具有硬件加密功能的主芯片通过加载加密的启动程序实现终端设备初始化；

终端设备运行阶段，具有硬件加密功能的主芯片对核心存储空间的内容进行加密处理和传输，与片外存储器实现实时的硬件加解密功能，其中，所述主芯片采用微内核结构，通过基于微内核的操作系统对终端设备的核心态和用户态应用进行管理。

进一步地，所述核心存储空间包括主芯片的寄存器。