一种数字电视终端设备的安全控制方法

(19)中华人民共和国国家知识产权局

(12)发明专利说明书

(21)申请号 CN2.6

(22)申请日 2012.11.30

(71)申请人 北京视博数字电视科技有限公司

地址 100085 北京市海淀区上地东路5号京蒙高科大厦B座4层

(72)发明人 冯昶 王天星 王文军 李伟东 李红艳

(74)专利代理机构 北京品源专利代理有限公司

代理人 马晓亚

(51)

H04N21/4627

H04N21/443

(10)申请公布号 CN 103051963 A

(43)申请公布日 2013.04.17

权利要求说明书 说明书 幅图

(54)发明名称

方法

(57)摘要

本发明公开一种数字电视终端设备

一种数字电视终端设备的安全控制

的安全控制方法，该方法通过对终端启动

过程及核心存储空间进行实时加解密，并

结合安全相关的操作使终端设备完全处于

加密保护的环境中运行，保证信息传输安

全，同时，通过基于微内核的操作系统对

终端设备的核心态和用户态应用进行管

理，从根本上提高了系统本身的安全性及

稳定性。

法律状态

法律状态公告日

法律状态信息

法律状态

权 利 要 求 说 明 书

1.一种数字电视终端设备的安全控制方法，其特征在于，包括，

终端设备启动阶段，具有硬件加密功能的主芯片通过加载加密的启动程序

终端设备运行阶段，具有硬件加密功能的主芯片对核心存储空间的内容进

主

行加密处理和传输，与片外存储器实现实时的硬件加解密功能，其中，所述

芯片采用微内核结构，通过基于微内核的操作系统对终端设备

态应用进行管理。

实现终端设备初始化；

的核心态和用户

2.根据权利要求1所述的数字电视终端设备的安全控制方法，其特征在于，

3.根据权利要求1或2所述的数字电视终端设备的安全控制方法，其特征

4.根据权利要求3所述的数字电视终端设备的安全控制方法，其特征在于，

所述核心存储空间包括主芯片的存储器ROM，所述存储器ROM的内容包

系统内核及其校验码、校验程序、启动程序、启动程序

在于，所述核心存储空间包括主芯片的内存RAM。

所述核心存储空间包括主芯片的寄存器。

括操作

的数字签名和校验码。

5.根据权利要求1所述的数字电视终端设备的安全控制方法，其特征在于，

包

所述具有硬件加密功能的主芯片通过加载加密启动程序实现终端设备初始化

括，在加载启动程序之前，主芯片先对启动程序签名进行验证，

对加密的启动程序进行解密，然后加载运行启动验证通过后，

程序。

6.根据权利要求4所述的数字电视终端设备的安全控制方法，其特征在于，

所述具有硬件加密功能的主芯片对核心存储空间的内容进行加密处理和传输，

与片外存储器实现实时的硬件加解密功能包括，终端设备加载

主芯片先对应用程序签名进行验证，验证通过后，

权限是否匹配，如果匹配，加载并

应用程序之前，

检查其所需权限与所赋予的

运行应用程序。

7.根据权利要求1所述的数字电视终端设备的安全控制方法，其特征在于，

心

8.根据权利要求1所述的数字电视终端设备的安全控制方法，其特征在于，

所述主芯片采用L4架构的微内核。

所述具有硬件加密功能的主芯片通过随机数生成器生成可变的加密密钥对核

存储空间内容进行加密处理和传输。

9.根据权利要求1所述的数字电视终端设备的安全控制方法，其特征在于，

所述终端设备包括电视机顶盒，能够实现CA软件下载功能。

说 明 书

技术领域

本发明涉及数字电视终端设备安全控制领域，尤其涉及一种数字电视终端

背景技术

三网融合技术（电信网、计算机网和广播电视网）能够支持更多交互综合

得

现阶段，传统的家庭多媒体终端多采用基于Windows或Linux的操作系统

单

内核，它们均属于宏内核操作系统。宏内核操作系统是一个运行在核心态的

独大文件；代码量较大；设备驱动与内核一同运行在特权模式。宏内

高安全要求的应用中存在着一些安全隐患：1）ROM可能被破

些非法程序盗取；2）启动程序（Bootloader）基本上没

户可能通过给内核传递参数来影响操作系统的安

踪，导致信息泄漏；4）寄存器和内存中

解成本相对降低，安全性无法得到

洞；6）由于智能终端的窗

来蒙蔽用户，宏内核

识去甄别程序

况，智

业务，为各种智能终端提供更多的增值服务，同时，增值服务功能的扩展使

运营商和用户对信息传输和系统本身的安全及稳定有了更高的要求。

设备的安全控制方法。

核系统在

坏，使得数据被一

有安全性保障，恶意用

全性；3）宏内核易于被总体跟

的数据都是明码存储的，使得黑客的破

保证；5）难以避免并隔离内部隐藏的安全漏

口较小，非法程序可能通过模仿合法程序的窗口界面

对窗口没有好的机制去限制窗口的特性，使得用户没有意

的合法性，导致个人的信息通过非法的程序泄漏等。针对上述情

能终端厂商通常采用软件加密的方法来防止信息被破解。软件加密方法

程

把终端使用到的部分程序代码掩盖或隐藏起来、或者使用混淆的办法把部分

序代码与数据混同起来等，但是软件加密可靠性差，很容易被破解。

为了弥补软件安全性的不足，现有技术中一般额外配备智能卡作为主要安

存

全组件。智能卡包括与终端独立的中央处理器、存储器、外围设备等，其中

储器中包含具有较高安全级别的存储单元，用于保存相关密钥和授权

要数据。在终端需要安全级别的操作时，通过与智能卡中运行

得关键信息，达到安全保护重要数据的目的。该技术方

同时也存在如下缺陷：1）增加了硬件成本；2）

的设备，在技术上也多出了一些被攻击的

能卡和终端通信过程中是明码传输，

（Control Word，控制字），

前获取CW，或者后

4）该

信息等重

的程序通信，获

案在增强系统安全性的

由于终端和智能卡是两个分离

接口，存在一定的安全隐患；3）在智

使得采用一些非法手段可获取解密信息CW

或者终端的后门程序在CA库向解扰器设置CW之

门程序直接在存放CW的寄存器中读取，导致安全信息外流；

技术方案无法避免某些恶意的、或发生运行错误的终端应用软件的意外操

针对智能卡作为安全组件的技术方案中存在的缺陷，现有技术中另一种方

智

案采用安全芯片对现有的智能卡方案进行改进。采用安全芯片的技术方案与

能卡方案本质上是相同的，其不同点在于：将智能卡替换为与终端芯

更强的一体化方案。在某些特殊应用中，终端主芯片本身可能

的特性。该技术方案在一定程度上节省了硬件成本，减

节，提高了安全攻击的难度，减少了受攻击的可

本身的特性，使得本技术方案存在如下缺

软件在安全隔离方面存在的隐患；

离内部隐藏的安全漏洞，一

行一些木马程序，安

权模式下，这

作、程序崩溃、相互干扰，甚至影响操作系统的正常运行。

片藕合性

也具有安全存储

少了一些安全通信的环

能性；但由于宏内核操作系统

陷：1）无法完全杜绝操作系统与应用

2）宏内核的代码量非常庞大，难以避免并隔

些黑客会通过使用一些技巧利用此漏洞使得系统执

全信息和个人信息泄露；3）设备驱动与内核一同运行在特

样可能会造成利用内核本身的不安全因素获取信息，使得安全信

息外流；4）终端芯片与安全芯片的藕合性过高，由于不同厂

的相关接口可能存在很大的差异，容易导致其通用性差，

商生产的安全系统

更换平台困难等问题。

针对以上问题，本方案提出了一种数字电视终端设备的安全控制方法。

发明内容

本发明要解决的技术问题是提供一种数字电视终端设备的安全控制方法，

加

对启动程序本身和终端底层硬件层面运行中的核心存储空间数据进行实时的

解密，以解决信息传输安全性问题，同时，采用基于微内核结构的操

以解决系统本身的安全及稳定性问题。 作系统，

为达到上述目的，本发明是通过以下技术方案来实现的：

一种数字电视终端设备的安全控制方法，包括，

终端设备启动阶段，具有硬件加密功能的主芯片通过加载加密的启动程序

终端设备运行阶段，具有硬件加密功能的主芯片对核心存储空间的内容进

主

行加密处理和传输，与片外存储器实现实时的硬件加解密功能，其中，所述

芯片采用微内核结构，通过基于微内核的操作系统对终端设备的核心

态应用进行管理。

实现终端设备初始化；

态和用户

进一步地，所述核心存储空间包括主芯片的寄存器。

进一步地，所述核心存储空间包括主芯片的内存RAM。

进一步地，所述核心存储空间包括存储器ROM，所述存储器ROM的内容包括

验

进一步地，所述具有硬件加密功能的主芯片通过加载启动程序实现终端设

验

备初始化包括，在加载启动程序之前，主芯片先对启动程序签名进行验证，

证通过后，对加密的启动程序进行解密，

操作系统内核及其校验码、校验程序、启动程序、启动程序的数字签名和校

码。

然后加载运行启动程序。

进一步地，所述具有硬件加密功能的主芯片对核心存储空间的内容进行加

载

密处理和传输，与片外存储器实现实时的硬件加解密功能包括，终端设备加

应用程序之前，主芯片先对应用程序签名进行验证，验证通过后，检

权限与所赋予的权限是否匹配，如果匹配，加载并运行应用程查其所需

序。

进一步地，所述具有硬件加密功能的主芯片通过随机数生成器生成可变的

进一步地，所述主芯片采用L4架构的微内核。

进一步地，所述终端设备包括电视机顶盒，能够实现CA软件下载功能。

本发明的技术方案，通过对终端启动过程及核心存储空间进行实时加解密，

息

并结合安全相关的操作使终端设备完全处于加密保护的环境中运行，保证信

传输安全，同时，通过基于微内核的操作系统对终端设备的核心态和

用进行管理，从根本上提高了系统本身的安全性及稳定性。

加密密钥对核心存储空间内容进行加密处理和传输。

用户态应

附图说明

图1为本发明数字电视终端设备安全控制方法的总体设计示意图；

图2为本发明数字电视终端设备安全控制方法的流程图；

图3为本发明第一实施例的硬件加密功能的主芯片的结构示意图；

图4为本发明基于微内核的数字电视终端设备的主芯片软硬件结构示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步说明。

图1为本发明数字电视终端设备安全控制方法的总体设计示意图。本发明

制

技术方案的总体设计思想是，将安全控制延伸到系统底层，配合硬件安全机

（通过硬件加密技术从设备的底层硬件层面对启动程序、核心存储空

密），保证数据传输安全，使无卡

在兼容现有技术

全性与

间进行加

系统能够达到主流的智能卡系统的安全级别，

（DRM/CAS等相关管理）的基础上，从本质上提升整个平台的安

稳定性。

其中，所述核心存储空间包括主芯片的寄存器、主芯片的内存RAM和主芯

片的存储器ROM。所述主芯片的存储器ROM存储的内容包括操作系统内

验码、校验程序、启动程序、启动程序的数字签名和校验码、

校验码。其中，启动程序不与主芯片的以外的具备记忆

核及其校

主要应用程序的

能力的器件发生关联。

图2为本发明数字电视终端设备安全控制方法的流程图。如图2所述，所

述终端设备的安全控制方法包括如下过程：

步骤201：终端设备启动阶段，具有硬件加密功能的主芯片通过加载加密的

在加载启动程序之前，主芯片先对启动程序签名进行验证，验证通过后，

步骤202：终端设备运行阶段，具有硬件加密功能的主芯片对核心存储空间

其中，所述主芯片采用微内核结构，通过基于微内核的操作系统对终端设

终端设备运行时，在加载应用程序之前，根据需要将存储于存储器ROM中

的内容加载到主芯片的内存RAM中，内核先对应用程序签名进行验证，验

过后，检查其所需权限与所赋予的权限是否匹配，如果匹配，加载并

程序。所述终端设备包括电视机顶盒，能够支持CA下载功能。

备的核心态和用户态应用进行管理。

的内容进行加密处理和传输，与片外存储器实现实时的硬件加解密功能。

对硬件加密的启动程序进行解密，然后加载运行启动程序。

启动程序实现终端设备初始化。

证通

运行应用

主芯片具有硬件加密功能，所述硬件加密是将加密技术固化在产品底层硬

下

件控制芯片中，对存储数据的加密直接通过底层硬件实现，不会在电脑上留

加密痕迹，也不影响数据传输速度，对电

传输过程中，是以密文形式传递，

从而在底层硬件层面保证信

脑系统资源占用极少。同时，在密码

很难被木马截获，即使截获得到的也是乱码，

息传输安全。

图3为本发明第一实施例的硬件加密功能的主芯片的结构示意图。所述主

传

芯片采用硬件加密算法对核心存储空间内容进行加密处理和传输，保证数据

输安全。

本实施例中为了使终端设备构成的安全平台的硬件特性具有通用性、有效

含

1）支持加载引导程序（Boot loader）前，除验证引导程序签名的正确性

2）支持运行中的内存（RAM）实时加解密；

基于上述两点还可派生出更多硬件安全特性，如主芯片的存储器ROM实时

如图3所示，主芯片的寄存器、RAM、ROM以及生成加密密钥的随机数生成

其中，所述主芯片的内存RAM大小不小于16MB；所述主芯片的存储器ROM

大小不小于64MB，存储器ROM中存储的内容包括操作系统及其校验码、

序、启动程序、启动程序的数字签名和校验码以及主要系统应

器，都集成在主芯片内部，使得外界无法对数据进行跟踪。

加解密等。

外，还应当先进行解密后才能运行；

性，能够保证设备在批量化生产时，满足不同运营商的要求，其硬件特性包

如下两点：

校验程

用的校验码等。

存储器ROM中的内容是被加密保护的，加解密密钥由随机数生成器生成，

与被保护的内容一同以密文形式保存在ROM中。当核心处理单元（CPU）

存储数据时，从随机数生成器取得密钥，实时对数据进行加密，

和密钥以密文的形式通过RAM传送到ROM进行保存。

取ROM当中的数据

向ROM

加密后的数据

当核心处理单元（CPU）读

时，密文数据被读取到RAM中，经核心处理单元解密后，方

能进行处理。

运行于终端的系统应用都必须带有主芯片认证的签名，而应用本身无需加

密，可以通过明文传输。当核心处理单元处理片外存储器送入的系统应用时，

先将应用加载到RAM中，再从ROM中提取该系统应用被加密的签

解密后对应用程序进行签名验证。验证通过，应用可以

能被执行。

名验证码，经

被执行，否则，应用不

其中，所述随机数生成器生成的加密密钥为利用硬件电路随机滚动生成的，

使得加密密钥仅在一段时间内有效，保证主芯片硬件加密功能的安全和可靠。

对于随机数生成器使用的加密算法并没有严格的限制，可以根据需要

算法实现。 利用多种

上述技术方案与现有的智能卡技术方案比较，采用无卡系统并支持可下载

CA，降低了运营商的运营成本；主芯片具有加密功能，减少了重要信息在

设备中的传输环节，保证数据在终端系统中的传输安全。由于从设备

层面进行加密，保证了整个系统核心数据是加密的，从而使控

过程当中始终处于安全状态。

外围

底层硬件

制字在整个会话

同时，本发明还将微内核技术引入家庭多媒体终端领域，为终端操作系统

微内核是操作系统内核的一种精简形式，将通常与内核集成在一起的系统

基于微内核的操作系统对终端设备的核心态和用户态应用进行管理，每个

服务层分离出来，所有服务（包括应用服务、应用程序）都在用户态下运行。

提供一个更加安全、稳定的平台。

之

服务和应用程序只在各自的地址空间上运行，所以各个服务和应用程序彼此

间都受到了保护，这就为平台提供了原生的应用隔离机制，有效避免

之间的互相干扰，也能防止常见于

入侵系统、恶意提升操作权

统安全性和稳定性。

应用程序

宏内核操作系统中的利用驱动程序的漏洞来

限、进而攻击系统的风险，最终提高终端平台的系

基于微内核和硬件加密技术的安全终端设备，启动过程、核心存储空间、

非

安全相关的基本操作，在加密保护的环境下运行，最大程度地限制了潜在的

法操作对系统安全的威胁，使得系统具有先天的安全特性，同时，无

可下载CA在降低了硬件成本的情况下，为运营商的产品升级

放的平台，降低了运营成本。

卡系统及

及开发提供了更开

本发明所述的安全平台中的硬件、操作系统可根据实际情况进行选择，并

图4为本发明基于微内核的数字电视终端设备的主芯片软硬件结构示意图。

核

如图4所示，具有硬件加密功能的微内核结构的主芯片和基于主芯片的微内

操作系统，构成一个软硬件结合的安全平台。本实施例中，具有硬件

的主芯片采用L4架构微内核。

且应用程序、驱动等可以在结构上有所补充。

加密功能

L4微内核包含操作系统基本的服务，运行在核心态，如进程控制、内存管

理和进程间通信等。L4微内核适用于在嵌入式平台上实现虚拟化。虚拟化

作系统和设备驱动分别作为一个服务进程运行在L4微内核上，实现

户操作系统内核与其它用户操作系统或者设备驱动之间的隔离。

都转换成调用进程和目标服务间的进程间通信消息。所

格的权限控制，直接运行于微内核之上所有的应

安全策略、系统服务等）都工作在用户态，

的操

虚拟化的用

每个系统调用

述L4微内核本身具有严

用软件，驱动等（如权限管理、

但从使用功能的角度看存在着层级

关系，能够自下而上逐级管理。

终端设备初始化阶段，硬件与操作系统之间通过加载一个专用的引导程序

（Boot Loader）来启动，所述引导程序是由硬件加密

设备通过调用接口入口加载引导程序。在

动程序签名进行验证，验证通过后，

载运行启动程序，增强了整

的，存储于程序存储器中，

加载引导程序之前，终端硬件先对启

对硬件加密的启动程序进行解密，然后加

个系统的安全性。

终端设备运行阶段，通过具有硬件加密功能的主芯片对核心存储空间的内

件

本发明的技术方案，通过对终端启动过程及核心存储空间进行实时加解密，

息

并结合安全相关的操作使终端设备完全处于加密保护的环境中运行，保证信

传输安全，同时，通过基于微内核的操作系统对终端设备的用户态应

理，从根本上提高了系统本身的安全性及稳定性。

容进行加密处理和传输，实现与片外存储器实时加解密功能。所述主芯片硬

加密方法请参考前面图3部分的详细描述。

用进行管

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是

读

上述仅为本发明的较佳实施例及所运用技术原理，任何熟悉本技术领域的

在

技术人员在本发明披露的技术范围内，可轻易想到的变化或替换，都应涵盖

本发明的保护范围内。

可以通过程序来指令相关的硬件来完成，所述的程序可以存储于一计算机可

取存储介质中，所述的存储介质，如：ROM/RAM、磁碟、光盘。