運(yùn)營商ITV 機(jī)頂盒安全現(xiàn)狀及安全防護(hù)探討

鄭柳清，張 欣

（中國電信股份有限公司海南分公司，?？?570216）

1 機(jī)頂盒現(xiàn)狀

1.1 主流廠家和硬件架構(gòu)

運(yùn)營商ITV 機(jī)頂盒主要由華為、中興公司提供，其他還有烽火、長虹、海信、創(chuàng)維、大亞和UT。當(dāng)前主流的ITV 機(jī)頂盒均為ARM 架構(gòu)，較少見到MIPS 架構(gòu)。常見的是四核Cortex A7架構(gòu)（中低端）和四核Cortex A9架構(gòu)（高端）。常見的芯片方案有瑞芯微、海思、全志、晶晨和聯(lián)發(fā)科等。

1.2 計(jì)算能力和常見配置

基本硬件方面CPU 為四核1.5GHZ 及以上；RAM為1G byte 及以上，32bit DDR3 及以上；FLASH 為8G byte 及以上，至少為EMMC；GPU 為四核以上。

接口硬件方面要求USB2.0*2，SD 卡接口，MINI CVBS，HDMI 1.4a，至少一個(gè)RJ45 10/100BaseT 網(wǎng)絡(luò)接口，內(nèi)置無線網(wǎng)絡(luò)支持802.11b/g/n。

1.3 操作系統(tǒng)和協(xié)議支持

操作系統(tǒng)一般為Android 4.4 及以上版本；網(wǎng)絡(luò)接入支持PPPOE、DHCP 和固定IP 接入；網(wǎng)絡(luò)協(xié)議支持HLS、DLNA 和IPV6；頁面方面支持HTML5 和CSS3的標(biāo)清/高清EPG。

視頻解碼能力方面支持1080P 的H.264 高清視頻解 碼；4K 規(guī) 格 的H.265 超 高 清 解 碼；1080P 的H.264編碼3D 視頻解碼；互聯(lián)網(wǎng)及本地視頻支持MPEG1、MPEG2、MPEG4 等，封裝格式支持TS、MP4、MKV、AVI 等。

2 ITV 機(jī)頂盒的安全現(xiàn)狀

2.1 軟件系統(tǒng)和常用組件漏洞導(dǎo)致的安全風(fēng)險(xiǎn)

ARM/Android 架構(gòu)的設(shè)備，由于Android 平臺各層級大量復(fù)用不同代碼，經(jīng)常有各類漏洞報(bào)道，而且高危漏洞較多；而ARM 方面由于是硬件架構(gòu)，一旦存在漏洞基本都是高危。因此，ITV 機(jī)頂盒操作系統(tǒng)和組件的漏洞是非常嚴(yán)重的。

2.2 第三方軟件漏洞導(dǎo)致的安全風(fēng)險(xiǎn)

此類安全風(fēng)險(xiǎn)存在于兩個(gè)方面。一個(gè)是局方出于機(jī)頂盒管理、視頻質(zhì)量分析和用戶行為分析的目的，在機(jī)頂盒內(nèi)預(yù)置的第三方軟件，可能存在風(fēng)險(xiǎn)。另外一個(gè)是用戶自行安裝的Android 應(yīng)用軟件，存在安全漏洞或被嵌入木馬。

2.3 默認(rèn)配置或錯(cuò)誤配置導(dǎo)致的安全風(fēng)險(xiǎn)

廠家出廠默認(rèn)配置中，或者是局方采用了一些模版化的配置后，留下的安全風(fēng)險(xiǎn)。例如，缺省的登陸密碼，缺省的SNMP community string 等。

2.4 開放不必要的服務(wù)導(dǎo)致的安全風(fēng)險(xiǎn)

ITV 機(jī)頂盒設(shè)備在正常的業(yè)務(wù)端口和管理端口外，可能無意開放一些不必要的SSH、Web 或FTP 類端口。這些服務(wù)端口會成為設(shè)備的安全隱患。

2.5 周邊配套系統(tǒng)導(dǎo)致的安全風(fēng)險(xiǎn)

由于ITV 機(jī)頂盒在工作過程中要與多個(gè)周邊配套系統(tǒng)進(jìn)行交互，如果周邊系統(tǒng)受到攻擊利用，則會導(dǎo)致機(jī)頂盒的安全受到威脅。

3 ITV 機(jī)頂盒安全防護(hù)策略

3.1 硬件安全

默認(rèn)關(guān)閉串口調(diào)試功能，需要特定的串口板才能打開并輸出命令，并且從軟件層面禁止輸入命令。

使用芯片級高安功能，高安秘鑰保存到芯片制定分區(qū)，如果軟件沒有使用正確高安簽名，將沒法啟動，防止被刷機(jī)到非廠家正式的版本。

使用BGA 封裝的主芯片、內(nèi)存、FLASH，將防止里面的用戶信息、視頻內(nèi)容等被外部設(shè)備截取。

3.2 系統(tǒng)安全

廠家對固件的寫入和升級過程需要嚴(yán)格控制，對檢測合格的固件發(fā)放數(shù)字證書，寫入固件之前需要相應(yīng)的數(shù)字證書檢測機(jī)制，其他禁止寫入。

嚴(yán)格執(zhí)行“代碼數(shù)據(jù)分離原則”，避免把敏感數(shù)據(jù)固化在操作系統(tǒng)之中。

啟用操作系統(tǒng)的安全沙箱機(jī)制，做到系統(tǒng)文件、資源及內(nèi)核都與用戶應(yīng)用程序相隔離。

3.3 應(yīng)用安全

嚴(yán)格管理USB 接口或SD 卡接口權(quán)限，默認(rèn)禁止通過USB 或SD 卡安裝各種應(yīng)用。

所有安裝應(yīng)用使用統(tǒng)一簽名，非正確簽名的應(yīng)用不允許安裝和獲得 root 權(quán)限。

禁用機(jī)頂盒自帶瀏覽器或應(yīng)用商城等軟件。

3.4 數(shù)據(jù)安全

數(shù)據(jù)傳輸過程存在被截獲或被篡改的風(fēng)險(xiǎn)，涉及用戶信息的通信應(yīng)采用端到端的加密方式，保證數(shù)據(jù)的保密性。

通過消息認(rèn)證碼MAC（Message Authentication Code）來保證數(shù)據(jù)的真實(shí)性和完整性。對加密傳輸?shù)臄?shù)據(jù)和明文傳輸?shù)臄?shù)據(jù)都可以進(jìn)行 MAC 校驗(yàn)。

4 結(jié)束語

基于對機(jī)頂盒安全現(xiàn)狀和存在風(fēng)險(xiǎn)的詳細(xì)分析，實(shí)施針對性的網(wǎng)絡(luò)安全防護(hù)，是ITV 運(yùn)維的一個(gè)重要部分。通過落實(shí)硬件安全、系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全方面的防護(hù)措施，大部分終端機(jī)頂盒的安全問題都能夠解決，確保ITV 業(yè)務(wù)的穩(wěn)定運(yùn)營和快速發(fā)展。