下一代机顶盒的安全(下)
开篇:润墨网以专业的文秘视角,为您筛选了一篇下一代机顶盒的安全(下)范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
对多媒体家庭娱乐业务的消费需求驱动着机顶盒行业不断地寻求创新和新的收益机会。下一代机顶盒将演变成一种混合式设备,可实现多信号源视频内容(如广播电视、高端视频点播以及基于互联网的业务)的集成,同时还能提供一些增值功能,如时移业务。此外还能实现内容向多种收视设备(如多房间电视网络、个人电脑、便携式媒体播放器以及其它的移动设备)的分发。
但是,系统可允许对多种内容源进行访问以及内容的可移植性也为盗版提供了更多的机会,进一步增大了安全需求的复杂度。机顶盒以及与之相关的条件接收系统和数字版权管理技术不断受到设备篡改、软件安全破解和黑客攻击的威胁,这将大大影响到机顶盒制造厂商和运营商的声誉并超过他们所能够承受的底线。
DRM标准和工作组
截止到目前,出现了大量不同的DRM互操作性构建方式,孰好孰坏无法一言概之。比较知名和新出现的DRM标准包括OMA DRM2.0、WMDRM-PD、PlayReady和Marlin DRM等,这些DRM标准都构建了不同的内容消费和其他的业务模式。另外,还出现了几种链接保护DRM标准,如DTCP-IP、WMDRM-ND等,在家庭流传输中发挥着保 护作用。此外,还出现了一些完善家庭DRM互操作性的构架技术,如Coral和DVB-CPCM等。究竟采用何种DRM标准取决于应用情形和所支持的环境类型。
数字生活网络联盟(DLNA)的目标就是要澄清DRM标准所存在的混淆。DLNA是消费电子设备行业内领先制造商的联盟,其工作的重点是制定指南以提高数字家庭内设备间的互操作性。DLNA出台的第一项措施是使符合DLAN标准的设备能在家庭网络中互相识别,并能共享如MP3、家庭电影等在内的个人(非加密保护的内容。其最后形成的标准是《DLNA互操作性指南》v1.0版本。随后,这些指南逐渐扩展至更多的家庭和移动设备,同时还将链接保护技术纳入其中,实现了内容在家庭内的共享。DLAN链接保护指南指出,共享版权保护的商业数字内容的设备必须能支持DTCP-IP标准,还应选择性地支持WMDRM-ND标准。DLNA内容安全保护专业委员会目前正集中精力制定DRM互操作性方面的DLNA指南。
随着用于保护有线内容的DTCP-IP标准获得CableLabs(16)的批准并被DLNA和其它标准化组织认可后,许多机顶盒原始设备制造厂商正积极地将这一技术集成到其产品当中。一些制造商将DTCP-IP标准作为自己私有解决方案的一部分来实现他们自有设备间的互操作性,而另一些制造商则直接在机顶盒当中移植了DLNA标准和构建DLNA合规性。随着DRM互操作性指南的普遍采用,许多消费电子制造商都希望这些指南能被更多的设备所采用,以此来发展该产业的生态系统。
当将这些DRM技术集成到终端设备当中时,设备制造厂商必须了解这种实施给安全性带来的影响,同时还需认真地在产品中设定相应的安全级别,并确保这些安全级别能够得到充分的实施。随着大量的内容设备出现在运营商的生态系统当中,运营商必须重视并确保这些设备具有足够的安全级别。这一产业环境的安全强度取决于最薄弱设备的安全强度。
安全性挑战
设备制造厂商最终的安全目标是提高黑客盗版的成本,即使不能完全控制黑客盗版所产生的损失,至少要使他们通过盗版所获得的利润大打折扣。不断发展的机顶盒和数字家庭设备为安全性带来了极大的挑战,制造商必须解决掉这些危及安全性的问题。要想在机顶盒环境中实现持续的设备安全性,所制定的安全解决方案就必须解决以下四大方面的问题。本节将着重讨论这些问题,指出制造商应采取何种措施才能取得必需的保护级别。只有当以下四大方面的问题得到重视后并予以解决后,制造商才能安全的在自己的设备中加载具有高价值的优质内容。
初始攻击防范
机顶盒原始设备制造商所面临的安全性挑战最终取决于他们计划支持的业务类型和业务特征。在本白皮书关于安全性发展趋势的讨论中已经对产品中可能存在的一系列独立的安全系统进行了识别。为了获得相应级别的初始攻击防范能力,上述的每个安全系统都必须能够防范逆向工程和篡改技术的攻击。只要在任何一个方面出现漏洞,就会危及到整个系统。
安全系统概述
1.独立的条件接收系统
独立的条件接收系统可以以硬件或软件模块的形式存在。无论哪种情形,条件接收系统和条件接收系统与客户端设备之间的接口必须得到安全的保护。在许多情形下,如采用CableCARD和DVB-CI+标准时,在模块和主机系统之间应定义一个类似于DRM标准的接口,同时还应满足符合性和鲁棒性规则。如果内容要在PVR上进行本地储存或通过链接保护DRM在家庭网络中进行流传输,则必须要求有安全的桥接。
2.PVR/DVR系统
具备PVR/DVR功能的机顶盒必须能够将录制的内容在设备中进行本地存储。PVR子系统常常采用AES标准进行内容的加密,还能存储和实施与内容相关的使用权限。因为PVR就如同一个本地的、私有的DRM标准,所以PVR必须按照DRM符合性和鲁棒性原则规定的类似方式进行安全保护。如果PVR内容是通过链接保护进行流传输或通过DRM标准向家庭的其它设备进行输出,则必须要有安全桥接。
3.OTT视频DRM系统
如果机顶盒支持优质的OTT视频业务,则机顶盒必须与能满足相关符合性和鲁棒性规则的DRM系统进行集成。如果OTT内容是通过链接保护进行流传输或通过DRM向家庭的其它设备进行输出,则必须要有安全桥接。
4.链接保护系统
如果机顶盒支持内容通过链接保护在家庭网络中进行流传输,则机顶盒应与符合DTCP-IP或WMDRM-ND标准的DRM系统进行集成。此外,还必须满足相关的符合性和鲁棒性规则。
5.DRM输出系统
如果机顶盒支持内容在家庭网络中通过DRM输出系统进行共享,则机顶盒应集成一种DRM系统,并需满足相关的符合性和鲁棒性规则。
安全性要求
上述机顶盒系统的安全性要求大致可以分为以下三类:条件接收系统安全保护、满足符合性和鲁棒性规则、安全桥接。
条件接收系统安全保护
机顶盒原始设备制造商通常会在所设计的机顶盒中集成某个具体运营商所要求的条件接收系统。如果条件接收系统由第三方提供,则条件接收系统的安全保护由该条件接收提供商负责。如果是一种私有的条件接收系统,则机顶盒原始设备制造商应自行负责,无论是通过硬件设计还是通过软件技术对其条件接收系统提供保护。为了对纯软件客户端(软条件接收)或条件接收模块的软件接口进行安全保护,原始设备制造商应充分利用第三方的软件安全工具来增强设计的防篡改能力。
符合性和鲁棒性原则
机顶盒原始设备制造商可以在三种方式中选择一种方式来满足符合性和鲁棒性规则,即可以选择通过技术开发和内部软件安全性专门技术的开发来保护机顶盒软件和敏感资产。此种选择是最困难且最费时的,它要求机顶盒原始设备制造商对符合性和鲁棒性规则有深入的了解、对黑客攻击软件的方法以及对反攻击开发工具具备专家级知识。
如果机顶盒原始设备制造商选择集成通用的DRM标准,则最简单的方法是使用一种预先加固的DRM实施方案,其中应包含一个经分析后安全性满足符合性和鲁棒性规则的DRM移植工具。在此种安全的DRM实施中,为确保DRM系统能够得到安全的保护,DRM安全专家已对符合性和鲁棒性规则进行了研究、对代码和平台攻击树进行了模拟、对适合的应对措施进行了开发、对安全技术(通常为专利技术)进行了应用。如果无标准的移植工具包可用,但机顶盒原始设备制造商自己有软件,则可使用专门的软件安全工具按要求对软件和资产实施安全保护。
为了达到安全性目标,许多原始设备制造商求助于DRM安全咨询 公司的符合性测试服务,由这些专业公司对他们的实施进行分析,最 后提交出独立的符合性报告。聘请独立的专业公司的做法表明了这些 原始设备制造商满足符合性和鲁棒性规则的决心,同时也提高了他们在整个安全性设计上的自信心。
安全桥接
安全桥接是众多机顶盒应用程序存在的一种普遍性要求。系统间内容的安全传输都需要安全桥接。这其中包括安全系统间的安全转码、 转秘和使用权限映射等。
某些情况下,一个保护系统如DRM可能有具体的文件类型要求。如果内容从一个保护系统传输到另一个不支持所要求的文件格式的保护系统,则需要进行代码转换。此时就需要对源内容(如MPEG2)进行解码,然后再编码为目标文件格式(如WMV)。因为这种处理必须在未加密的内容上进行,因此,整个过程必须在安全状态下完成,以确保内容不被窃取、另存或输出。
不同的内容保护系统可能有不同的内容加密方式。如果内容是在不同的系统中传输,则加密就必须进行更改,这称之为转密。转密过程 涉及到要使用一种内容保护系统(如DTCP-IP)对内容进行解密,然后再使用另一种不同的内容保护系统(如WMDRM)对内容进行再加密。由于这一过程会暴露未加密的内容,因此必须在安全状态下完成,以防止未加密内容被窃取。
当内容在不同的内容保护系统中进行传输时,就需要进行权限映射(如内容转密)。每个内容保护系统通常有自己的传输方式,并各自规范了与内容相关的用户权限。当内容在两个系统之间进行桥接时,必须保持有相应的权限和许可。例如,如果源文件保护系统将内容标记为“不可复制”,当传输到目标内容保护系统后,该权限改为“任意复制”,此种情形则属于安全问题范畴。因为不同的系统有不同的权限字段或权限对象,必须发生的映射可能是复杂的映射,也有可能由源内容保护系统的许可发行机构来对映射进行定义。因为使用权限需在本地生成或进行修改,因此,该过程必须在安全状态下完成,以确保权限得到正确的映射。
要想使内容桥接系统得到足够的安全保护,需要深入了解黑客攻击软件所采用的方法,同时还应具备必要的软件技能来实施安全应对措施。原始设备制造商可以选择对自己的桥接系统加以保护,或利用第三方安全工具对桥接系统加以保护,但所选择的第三方安全工具必须能够取得所要求的结果并能降低开发的难度。
多样性
有些机顶盒的安全机制提供初始攻击防范功能,但一旦被破解,就会危及整批同类型的机顶盒的安全性,因为同样的攻击会在整个系统中发挥作用。
利用软件多样性这样一种安全措施则能防范BORE(一旦破解,整个系统崩溃)攻击,降低成功破解所带来的影响。软件安全多样性是使软件实例在功能上相同但在不同设备上结构不同的一种机制。
通过使用专门设计的软件开发工具,机顶盒原始设备制造商能自动地生成多样性的软件实例,可以将此种多样性应用到每个运营商、每个机顶盒版本甚至每台机顶盒上。如果某个黑客成功地对某个设备实施了破解,这种多样性就会保证此破解被限制在一定的范围内,无形中成倍地增加了黑客破解的经济成本。多样性从根本上达到了破坏黑客商业模式的目的。
可更新性
通过对某个运营商已安装机顶盒的安全性进行定期更新,软件的多样性也能用于积极防范破解的目的,以此挫败黑客对系统进行破解的企图。通过间或以新的多样化实例来置换安全系统的方式,迫使黑客们放弃原来的破解分析。
破解响应
我们有理由相信,只要有足够的时间和资源,任何系统都可能被破解。据此,机顶盒制造商应假设其设备在发行后的某一个时间会遭遇破解,并以此假设来制定自己的安全战略。
一旦此种假设变为现实,仅依赖于硬件的安全解决方案的缺点就会显露无遗。如果某个仅依赖于硬件的安全系统被破解,通常需要进行硬件更新,而硬件的更新通常花费昂贵且费时费力。即使能够找到能用于机顶盒的软件补丁,软件更新的本身也需要进行防篡改和防逆向工程的安全保护。
为了使现场更新更具成本效益,建议机顶盒制造商采用硬件安全性(如有)与软件安全性相结合的安全系统。这种实施了多样性机制的战略可以构建高级别的抗攻击能力,同时也能使运营商在遭遇破解时快速地做出响应。
CLOAkWARE
所提供的机顶盒解决方案
新兴的内容传输和消费模式促进了传统视频与基于互联网的内容在数字家庭领域内的大量收视平台上的融合。与下一代机顶盒对精彩内容的安全保护相关的技术和协议要求正进一步增加了这些设备在设计和开发方面的复杂性、所需时间、成本以及所面临的风险。混合式机顶盒、多房间DVR以及独立的安全接收机制等机顶盒发展趋势也使机顶盒研发团队面临着更多的选择、需要付出更大的努力和面对更多的风险。
在开发下一代机顶盒时,原始制造商就制定和实施了安全战略,旨在面对多来源、多设备网络环境所带来的挑战。为此,原始设备制造商必须了解条件接收和数字版权管理所保护的内容在不友好环境下的可能出现的安全问题和薄弱环节,随时牢记黑客拥有着尖端的逆向工程和篡改工具。为了满足DRM符合性和鲁棒性要求,原始设备制造商应向DRM安全专业公司寻求独立的符合性评估服务。在进行复杂的机顶盒安全性设计时,应集成高级别的防破解能力的安全机制、利用软件的多样性防止自动化的攻击,此外,还需要具备有效的安全更新能力。
作为内容安全保护技术和应用程序软件安全领域的领先提供商,Cloakware了解机顶盒原始设备制造商所面对的、需要同时满足内容提供商和消费者的需求所带来的挑战。Cloakware先进的安全保护解决方案能够帮助下一代机顶盒开发商缩短进入市场的时间。
Cloakware安全包为一组自动化工具,可以使机顶盒软件开发人员实现内容保护、DRM桥接和应用程序代码等不受逆向工程、篡改和自动攻击的威胁。Cloakware预装DRM解决方案可以为机顶盒开发人员提供多项方便,包括加快产品开发进程、接触到业内领先的安全技术以及提高设计的自信心。全球有许多知名的硬件和软件公司都采用Cloakware解决方案对其内容进行安全保护、确保符合许可要求以及缩短其产品进入市场的时间。