技术领域
[0001] 本
发明涉及一种
数字电视网络信息安全的解决方法,具体涉及一种基于高级安全芯片唯一ChipID的无卡CA环境下的安全解决方法。
背景技术
[0002] 近几年,数字电视迅速发展,用户量也越来越大,而数字电视网络是一种开放式的网络,因此安全性是一个重要的问题。如何才能设计一个安全的系统呢?现在大部分CA通过使用
智能卡CA来确保系统安全。每一张智能卡都有自己的ID,重要的数据将会使用这个ID相关的密钥进行加密保护。当需要解密TS流时,首先从智能卡获取授权数据,然后设置密钥解密CW返回给机顶盒,再由机顶盒设置CA解密TS流。正是因为智能卡解密出的CW需要返回给机顶盒,所以很多非法分子利用这个通信过程从中截获CW,然后进行共享。无卡CA可以很好的解决这个方面的问题,因为无卡CA不存在智能卡与机顶盒交互的过程,解密CW和设置解密TS流过程同时在芯片内部完成,与外部不会有任何明文密钥的通信,大大增强了系统的安全性。但是,无卡CA也有另外的一些问题,比如复制FLASH,反汇编机顶盒程序破解等等,本发明就针对了目前无卡CA现状提供了一种基于安全加密芯片的安全解决方案。
发明内容
[0003] 本发明提供了一种实现无卡CA信息安全的方法。
[0004] 本发明是这样实现的:
[0005] 一种实现无卡CA信息安全的方法,包括在一个系统中的如下两个部分。
[0006] 其一,是将机顶盒FLASH分为
锁定分区和非锁定分区,锁定分区数据一旦写入后不允许被
修改或删除,在锁定分区中,包括安全库、BOOT代码及安全库数据区几个部分;
[0007] 其二,系统中还包括APP部分,当移植厂商移植完毕测试通过后,需提供APP二进制代码进行处理,处理后的APP程序CA
内核才能检查通过。
[0008] 具体论述如下:
[0009] 它要求移植厂商在移植CA时,必须移植安全库(通过检查BOOT源码确定移植了安全库),然后由安全库进行安全检查。安全库会检查本机顶盒的移植厂商信息、
硬件信息产生的加密数据是否一致来确保FLASH没有被复制,并同时检查对应的机顶盒二进制程序是否和一致来确保FALSE程序没有被修改。同时每个用户的私钥不会被存放到FALSH中,只有需要用到的时候才会动态产生,所有的密钥均不会被返出CA内核。对于APP代码,也会进行相应的校验。本发明将安全库的检查和APP的检查分开进行,安全库检查主要用于检查机顶盒是否合法,是可启动CA功能模
块。APP检查主要限制APP程序是否被修改,APP检查部分也在APP代码中,因此APP程序可单独升级。
[0010] 本发明具有如下创新和效果:
[0011] 1.对FALSH拷贝和修改有严密的检查机制,可完全防止通过FALSH拷贝复制机顶盒以及修改FLASH来更改授权等等。
[0012] 2.安全库检查和APP检查独立进行,可以灵活升级APP程序而不用更改安全库。
[0013] 3.采用多种公有
算法和私有综合使用,密钥可变,具有很高安全性。
[0014] 4.具有独特的密钥产生和管理机制。
[0015] 5.密钥数据全在CA内核运行管理,不会与外部程序进行交互。
[0016] 6.算法库为标准C独立库,可以方便移植以及内置于芯片中。
[0017] 7.用户私钥不会存放于FLASH中,使用时才通过算法计算产生。
[0018] 8.在进行密钥比较时进行的是密文比较,提高了安全性。
附图说明
[0020] 图2为APP校验流程图。具体实施方式:
[0021] 下面就本发明的内容进行具体实施方案的阐述,但本发明的保护内容并不仅限于此。
[0022] 1.安全库部分
[0023] 机顶盒FLASH将被分为锁定分区和非锁定分区两大部分,其中锁定分区数据一旦写入后不允许被修改或删除,主要包含安全库、BOOT代码及安全库数据区几个部分。
[0024] 其中BOOT代码需要移植安全库,安全库数据区存放机顶盒安全相关的诸多密文数据以及一些版本日期信息和移植厂商信息。
[0025] 每个移植厂商,将会被分配一个唯一的移植厂商编号。通过该移植厂商编号,会采用私有的算法产生一个密钥,该密钥被称为YKey(YKey是动态生成的)。当发行机顶盒时,发行程序会通过硬件厂商提供的工具
接口获得硬件的真实序列号,该序列号将使用YKey采用共有算法和私有算法加密后存放于安全库数据区中。
[0026] 每个移植厂商在BOOT代码确定后(通过检查源码,BOOT代码一定装载了安全库),必须进行签名保存,该签名由BOOT二进制代码通过校验算法产生,一旦签名完成后,BOOT代码不能被修改,否则安全检查将无法通过,因为该签名已经和BOOT二进制源码绑定。该签名在发行机顶盒时会使用YKEY加密后存放安全库的
数据库中。同时还有其他重要的数据也采用YKEY加密后存放于安全数据区中。当数据写入完毕后,安全库数据区数据会产生一个校验(私有校验算法),一并存放于安全库数据区中。
[0027] 在发行程序发行机顶盒时,我们会控制一个硬件序列号只能够发行一台机顶盒,一旦某个硬件序列号已经被发行,将不能再发行相同芯片号的盒子,可以有效防止使用多个相同的虚假芯片号盒子复制机顶盒的行为。同时,发行系统会对发行的机顶盒个数进行记录,每一次授权都只能发行对应数据量的机顶盒,也可有效防止滥发行机顶盒。
[0028] 安全库启动的流程如附图1所示,安全库启动时会先检查安全库数据区的检验是否正确,当正确后再通过接口获得机顶盒的硬件序列号,然后读取安全库数据区的移植厂商信息得到移植厂商编号,计算YKey并加密硬件序列号后和存放于安全库数据区真实硬件序列号密文进行比较,如果比较结果不一致,则安全库会禁用CA的相关功能。当比较通过后,安全库会将BOOT区代码进行校验计算,得到BOOT区的二进制代码签名值,然后将该签名值加密后与存放的签名值密文进行比较,如果比较结果不一致,也会禁用CA相关功能。当所有的验证通过,则启用CA相关功能。
[0029] 2.APP部分
[0030] 当移植厂商移植完毕测试通过后,需提供APP二进制代码进行处理,处理后的APP程序CA内核才能检查通过。
[0031] 当CA启动时,会检查APP代码是否被修改,复制等等,如果检查失败,CA功能将被禁用。
[0032] 如附图2所示,CA启动流程如下:
[0033] Boot引导启动CA库,确保CA库是合法启动;
[0034] CA库程序代码校验,校验APP签名,判断APP代码是否被非法修改;
[0035] CA库数据校验,校验CA数据区加密数据,判断CA信息是否被非法修改。
[0036] 3.CA部分
[0037] CA主要包含3个数据区,包括数据A区,B区和C区,A区用于存放广电运营商信息和用户数据一些初始信息,B区存放用户授权数据,C区存放一些索引信息。每个数据区都有自己的校验码,数据均不能被非法修改。CA从流中获取到授权数据密文后,将其按照一定规则保存,当需要使用时,会通过硬件序列号及运营商信息产生私钥对其解密后使用。过程产生的密钥不会返出CA内核。