GY 中华人民共和国广播电影电视行业标准 GY/T303.2—2016 智能电视操作系统 第2部分：安全 Smart TV operating system Part 2: Security 2016-12-15发布 2016-12-15实施 国家新闻出版广电总局 发布 GY/T303.2—2016 目 次 前言 I1 引言 II 1范围. 2 规范性引用文件 3术语、定义和缩略语 3.1术语和定义 3.2缩略语 总体安全要求 5. 1 一般要求.. 5. 2 基础安全能力要求 5. 3 基本安全功能要求. 6安全机制 6. 1 可信执行环境（TEE） 6.2 硬件安全信任根 6.3 数字证书安全信任机制 6. 4 安全信任链校验机制 6.5 安全视频路径 7安全架构 7. 1 基础安全架构 沙箱隔离安全架构 7. 2 8基本安全功能 8. 1 内容安全 8. 2 业务安全， 支付安全， 8. 3 8. 4 安全启动， 8.5 终端管控 8.6 安全升级 附录A（资料性附录） 内容保护功能实现， 附录B（资料性附录） 业务保护功能实现， B.1基于JAVA的功能实现 B.2基于WEB的功能实现 10 附录C（资料性附录） 安全支付功能实现 13 附录D（资料性附录） 系统安全启动 14 附录E（资料性附录） 系统安全升级. 15 I GY/T303.2—2016 前言 GY/T303《智能电视操作系统》已经或计划发布以下部分： 一第1部分：功能与架构； 一第2部分：安全； 一一第3部分：应用编程接口； 一第4部分：硬件抽象接口； 一一第5部分：功能组件接口； 一第6部分：可信执行环境接口； 一第7部分：符合性测试。 本部分为GY/T303的第2部分 本部分按照GB/T1.1一2009给出的规则起草。 本部分由全国广播电影电视标准化技术委员会（SAC/TC239）归口。 本部分起草单位：国家新闻出版广电总局广播科学研究院、华为技术有限公司、中兴通讯股份有限 公司、东方有线网络有限公司、深圳创维-RGB电子有限公司、上海联彤网络通讯技术有限公司、阿里云 计算有限公司、深圳市海思半导体有限公司、中国科学院声学研究所、中国科学院信息工程研究所、陕 西广电网络传媒（集团）股份有限公司、上海下一代广播电视网应用实验室有限公司、中国科学院软件 研究所、北京数码视讯科技股份有限公司、北京永新视博数字电视技术有限公司、北京数字太和科技有 限责任公司、上海兆芯集成电路有限公司、晨星软件研发（深圳）有限公司、腾讯科技（深圳)有限公司、 华数数字电视传媒集团有限公司、深圳市苗壮网络股份有限公司、湖南国科微电子股份有限公司、北京 海尔集成电路设计有限公司、创维数字技术股份有限公司、杭州国芯科技股份有限公司、上海高清数字 科技产业有限公司、北京泰合志远科技有限公司。 本部分主要起草人：盛志凡、郭沛宇、解伟、刘金晓、王东飞、王继刚、万乾荣、郭晓霞、朱佩江、 杨明磊、王强、王磊、张伟、张晶、王兴军、熊彬、孙鹏、王亚哲、李斌、王明敏、杨勃、贾庭兰、万 倩、严海峰、汤新坤、何剑、方中华、孙明勇、丁送星、郭万永、张震宁、吴迪、徐其桓、周芸、叶建 隆、梁志坚、龚克、都望、郭永伟、郑力铮、张德岭、陈林锋、席岩、游昌海、董进刚、黄新军、来永 胜、王旭升、赵良福、朱充斌、白伟、程伯钦、陈亚东、谢振雷、孙鹏、谢长弘、孟庆康、吴坚 II GY/T 303.2—2016 引 言 本部分的发布机构提请注意，声明符合本部分时，可能使用涉及本部分有关内容的相关授权的和正 在申请的专利如下： 序号 标准章条号 专利名称 1 7 种智能电视操作系统 2 7 种智能电视系统 3 6.5、8.1 种在智能电视操作系统中支持全媒体播放的方法及智能电视终端 4 8. 2 种用于智能操作系统的条件接收方法和系统 5 8. 2 种用于智能操作系统的条件接收方法和系统 6 8.1 种用于智能操作系统的数字版权管理（DRM）方法和系统 8. 1 种支持数字版权管理（DRM）的媒体网关/终端实现方法及其设备 本部分的发布机构对于该专利的真实性、有效性和范围无任何立场。 该专利持有人已向本部分的发布机构保证，他愿意同任何申请人在合理且无歧视的条款和条件下， 就专利授权许可进行谈判。该专利持有人的声明已在本部分的发布机构备案，相关信息可以通过以下联 系方式获得： 专利权利人 联系地址 联系人 邮政编码 电话 电子邮箱 北京市西城 国家新闻出版广电总局广 区复兴门外 孟祥昆 100866 010-86098010 [email protected] 播科学研究院 大街2号 请注意除上述专利外，本部分的某些内容仍可能涉及专利。本部分的发布机构不承担识别这些专 利的责任。 III GY/T303.2—2016 智能电视操作系统 第2部分：安全 1范围 GY/T303的本部分规定了智能电视操作系统的安全体系、安全机制等相关技术要求。 本部分适用于智能电视操作系统的研发、生产和应用。 2 规范性引用文件 下列文件对于本部分的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本部分。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本部分。 GY/T255一2012可下载条件接收系统规范 GY/T277一2014互联网电视数字版权管理技术规范 GY/T303.1—2016 6智能电视操作系统第1部分：功能与架构 3 术语、定义和缩略语 3.1术语和定义 下列术语和定义适用于本部分。 3. 1.1 智能电视操作系统 television operating system;TVos 运行在电视接收终端等终端之上，具备管理系统资源（包括硬件、软件及数据资源）、控制程序执行、 支撑应用软件运行等功能的系统软件。 3.2缩略语 下列缩略语适用于本部分。 API应用程序编程接口（ApplicationProgrammingInterface） App应用程序（Application） CA证书认证机构（CertificationAuthority） DCAS可下载条件接收系统（DownloadableConditionalAccessSystem） DRM 数字版权管理（DigitalRightsManagement） DVB 数字视频广播（DigitalVideoBroadcasting） HAL 硬件抽象层（HardwareAbstractLayer） OS 操作系统（OperatingSystem） OTP 一次性写入（OneTimeProgramming） REE 富执行环境（RichExecutionEnvironment） 1 GY/T 303.2—2016 ROM只读存储器（Read-OnlyMemory） SELinuxLinux强制访问控制安全系统（Security-EnhancedLinux） SDK软件开发工具包（SoftwareDevelopmentKit） TApp可信应用（trustapplication） TEE 可信执行环境（Trustedexecutionenvironment） 4概述 TVOS安全由TVOS安全机制、基础安全能力和安全架构三部分组成。 TVOS安全机制包括基于可信执行环境的安全计算机制、数字证书安全信任机制、基于安全芯片和硬件 安全信任根的安全信任链校验机制、基于安全视频路径的媒体视频内容保护机制等。 TVOS基础安全能力包括硬件安全、软件安全、网络安全、数据安全、应用安全等全方位安全防护能力。 TVOS安全架构一方面定义了基于TVOS软件架构和安全机制构建和扩展TVOS基础安全能力的方式。基 于TVOS软件架构和安全机制，相关硬件安全、软件安全、网络安全、数据安全和应用安全等安全模块分 别置于相应的内核层、硬件抽象层、功能组件层、执行环境层和应用框架层，且位于TVOS不同软件功能 层的硬件、软件、网络、数据和应用等安全模块通过相互协同，形成相应的硬件安全、软件安全、网络安 全、数据安全和应用安全等基础安全能力；在相应的TVOS软件功能层，硬件、软件、网络、数据和应用 等安全模块可灵活扩充，并与已有的安全模块协同，增强相应的TVOS基础安全能力，支撑TVOS安全功能 的不断扩展。TVOS安全架构另一方面定义了TVOS系统软件和应用软件在运行时进行安全隔离的方式 业务安全、内容安全、支付安全、安全启动和安全升级等TVOS安全功能可基于TVOS安全机制、基础 安全能力和安全架构来构建，并可通过基础安全能力的提升和安全模块的增加而持续演进增强和扩展。 5总体安全要求 5.1一般要求 应符合GY/T303.1一2016规定的软件架构、组件模型、软件模块和接口等相关要求。 TVOS所承载的应用软件程序只能是JAVA或WEB形态，不能以TVOS组件的插件形态出现。 5.2基础安全能力要求 5.2.1基础硬件 应基于安全芯片等底层硬件为TVOS的软件安全、网络安全、数据安全和应用安全的实现提供可信执 行环境、安全存储区域、硬件层级密钥机制、硬件安全信任根、启动校验、硬件密码算法引擎、密码管理 和安全视频路径等硬件安全能力。 5.2.2基础软件 应能保障系统软件运行的安全，包括系统软件所控制的硬件、计算和数据等系统资源的安全。TVOS应 具备如下的软件安全能力： a）访问控制 应具备对不同软件模块和应用访问相关数据和文件、调用相关软件模块和操作相关设备资源进行权限 配置和管理的能力，使相应软件模块和应用只能按照所指定的安全访问控制权限访问相关数据、调用相关 软件模块、操作相关设备资