本发明涉及流媒体及智能终端,具体涉及一种智能终端通过可信区提供安全直播业务服务的方法、系统和电子设备。
背景技术:
1、在流媒体技术和智能终端技术领域,在智能终端上加载应用程序、应用程序获取服务平台提供的直播信号,为用户提供直播业务服务是相对较为成熟的技术领域。在用户获取直播业务服务之前,用户身份校验等安全检测机制也确保了用户尽可能进入到合法的直播平台。
2、然而随着技术的不断发展,非法者从平台、智能终端攻击合法的直播应用程序,从而盗取用户信息、破坏用户服务,甚至提供非法直播信号的手段也日益增多。
3、各类智能终端在硬件和系统层面都处于开放环境下,使得智能终端上加载的直播业务服务客户端暴漏在各种攻击之下,尤其是当前绝大多数智能终端上的直播业务服务都是通过应用程序实现,其与其他应用程序都处于同一个操作系统的应用层,外部攻击者可以通过伪造云端服务平台、刷新本地操作系统、在本地操作系统中安装恶意程序等方式,窃取用户信息、破坏服务完整性,更严重的还会将合法的直播信号源替换为非法的信号源产生不良的社会影响。
4、所以安装恶意程序、破坏直播应用程序的手段近年来也日益猖獗,产生了恶劣的影响。
5、各类智能终端在硬件和系统层面都处于开放环境下,使得智能终端上加载的直播业务服务客户端暴漏在各种攻击之下,外部攻击者可以通过伪造云端服务平台、刷新本地操作系统、在本地操作系统中安装恶意程序等方式,窃取用户信息、破坏服务完整性,更严重的还会将合法的直播信号源替换为非法的信号源产生不良的社会影响。
技术实现思路
1、本发明的目的是为解决目前直播业务服务中存在的安装恶意程序、破坏直播应用程序等外部攻击问题,提出一种通过为智能终端设立安全区,结合安全区与直播服务平台建立智能终端信任平台、平台信任智能终端的双重相互信任机制,确保提供直播业务服务的安全性。
2、为实现上述目的,本发明提供的技术方案是:
3、一种智能终端通过可信区提供安全直播业务服务的方法,包括:直播服务平台和智能终端,所述的直播服务平台用于提供直播信号源进行直播业务服务并为办理开通直播业务的智能终端提供业务认证信息,所述的智能终端用于通过直播服务平台办理开通直播业务以及接收直播服务平台提供的直播业务服务;
4、智能终端提供直播业务服务需进行智能终端认证直播服务平台、直播服务平台校验智能终端两个过程;在所述的智能终端的硬件层面划分出安全区和非安全区,在安全区独立设置有安全操作系统,构成智能终端可信区,智能终端认证直播服务平台和直播服务平台校验智能终端的程序和相关数据信息存储以及直播业务服务均在智能终端可信区内运行;
5、智能终端认证直播服务平台过程为:在智能终端内预置有通信公钥,智能终端向直播服务平台发起互信请求后,直播服务平台向智能终端下发可信证书,可信证书中含有加密的平台证书签名,智能终端收到可信证书后,通过通信公钥完成对可信证书的信任校验;
6、直播服务平台校验智能终端过程为:直播服务平台为智能终端提供业务认证信息,直播服务平台还分配有用于对智能终端进行身份认证的认证密钥,智能终端将直播服务平台提供的业务认证信息和智能终端的身份信息通过认证密钥加密发送至直播服务平台,直播服务平台通过解密、比对完成对智能终端的安全校验。
7、为优化上述技术方案,采取的具体措施还包括:
8、在智能终端的物理芯片上划分出安全区虚拟cpu和非安全区虚拟cpu,通过形成虚拟cpu隔离建立硬件隔离;对智能终端的物理存储器指定安全存储区,并使用独立的指令集和访问机制,所述访问机制作为独有的模块集成在安全操作系统上。
9、所述安全区预置有用于智能终端与直播服务平台通信的平台互信程序,用于与直播服务平台通信、使直播服务平台与智能终端建立互信的终端认证程序,以及用于为用户提供直播频道展示页面以及提供直播频道播放服务直播服务程序;所述的直播业务服务包括直播播放服务和进行直播播放程序的升级,所述直播播放服务包括提供直播频道展示页面、提供直播频道播放服务。
10、进一步地,所述的智能终端通过平台互信程序向直播服务平台发出建立互信的请求,所述的直播服务平台向智能终端的平台互信程序返回本直播服务平台的可信证书,所述的智能终端通过平台互信程序读取所获取到的可信证书;所述的可信证书中含有代表直播服务平台身份信息的第一明文信息,第一明文信息利用散列函数形成第一信息摘要并通过第一私钥加密,作为直播服务平台的平台证书签名。
11、进一步地,所述的智能终端内预置有通信公钥,作为第一公钥,智能终端收到可信证书后,通过第一公钥完成对直播服务平台的可信证书的合法性认证;所述的智能终端通过平台互信程序采用与直播服务平台相同的散列函数计算得到可信证书中的信息摘要;智能终端通过平台互信程序使用预置的通信公钥解密获取的可信证书中的平台证书签名,智能终端将通信公钥解密得到的结果与通过采用与直播服务平台相同的散列函数计算得到的信息摘要进行比对;智能终端完成对可信证书的信任校验后,在安全区中预留的平台合法校验存储位记录校验合法的结果。
12、进一步地,所述的业务认证信息和认证密钥分别作为直播服务平台认证智能终端合法性所使用的第二公钥和第二私钥,智能终端将直播服务平台提供的业务认证信息和代表智能终端身份信息的第二明文信息利用散列函数形成第二信息摘要并通过第二私钥加密,直播服务平台使用第二公钥进行信任校验。
13、作为优选地,用户开始进行直播业务服务时,首先通过直播服务程序检查非安全区的root标识,如非安全区的root标识检查结果为已被更改,则表示非安全区的操作系统被更改,智能终端拒绝进行直播业务服务;然后检查平台合法校验存储位中存储记录的校验结果,校验结果合法则进行下一步直播服务平台校验智能终端过程,如否则拒绝提供直播业务服务;进行直播服务平台校验智能终端,对直播服务平台校验智能终端的结果进行验证,验证通过则直播服务程序按照直播业务流程,从直播服务平台获取直播信号源,完成直播业务服务,否则拒绝提供直播业务服务。
14、作为优选地,所述的第一明文信息包括:证书的有效时间、证书序列号和颁布本直播服务平台证书的直播服务平台编码;所述的第二明文信息包括:智能终端身份标识和智能终端mac地址;所述的智能终端设有唯一的智能终端身份标识,所述的业务认证信息作为用户在直播服务平台中的唯一标识,业务认证信息用一组数字、字母或字母/数字的组合来标识;所述的直播服务平台为智能终端生成一个认证密钥,各认证密钥彼此不重复,认证密钥在直播业务平台与智能终端的业务认证信息相互唯一绑定。
15、本发明还提供一种智能终端通过可信区提供安全直播业务服务的系统,包括:
16、直播服务平台认证模块,用于智能终端认证直播服务平台,在智能终端内预置有通信公钥,智能终端向直播服务平台发起互信请求后,直播服务平台向智能终端下发可信证书,可信证书中含有加密的平台证书签名,智能终端收到可信证书后,通过通信公钥完成对可信证书的信任校验;
17、智能终端校验模块,用于直播服务平台校验智能终端,直播服务平台为智能终端提供业务认证信息,直播服务平台还分配有用于对智能终端进行身份认证的认证密钥,智能终端将直播服务平台提供的业务认证信息和智能终端的身份信息通过认证密钥加密发送至直播服务平台,直播服务平台通过解密、比对完成对智能终端的安全校验。
18、智能终端可信区构建模块,用于将智能终端的硬件层面划分出安全区和非安全区,在安全区独立设置有安全操作系统,构成智能终端可信区,智能终端认证直播服务平台和直播服务平台校验智能终端的程序和相关数据信息存储以及直播业务服务均在智能终端可信区内运行。
19、本发明还提供一种电子设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行计算机程序时,实现如上所述的智能终端通过可信区提供安全直播业务服务方法。
20、本发明还提供一种计算机可读存储介质,存储有计算机程序,所述计算机程序使计算机执行如上所述的智能终端通过可信区提供安全直播业务服务方法。
21、与现有技术相比,本发明的有益效果是:
22、本发明在提供直播业务服务的智能终端上设立安全区,直播业务服务所涉及的所有应用程序和数据均在安全区内运行,确保应用程序和数据安全;
23、本发明建立了直播服务平台信任智能终端、智能终端信任直播服务平台的双重相互信任机制,形成多重安全信任链条,任何一个环节出现无法信任的情况则立即终止直播业务服务,确保直播业务服务的安全。
1.一种智能终端通过可信区提供安全直播业务服务的方法,其特征在于,包括:直播服务平台和智能终端,所述的直播服务平台用于提供直播信号源进行直播业务服务并为办理开通直播业务的智能终端提供业务认证信息,所述的智能终端用于通过直播服务平台办理开通直播业务以及接收直播服务平台提供的直播业务服务;
2.根据权利要求1所述的智能终端通过可信区提供安全直播业务服务的方法,其特征在于:在智能终端的物理芯片上划分出安全区虚拟cpu和非安全区虚拟cpu,通过形成虚拟cpu隔离建立硬件隔离;对智能终端的物理存储器指定安全存储区,并使用独立的指令集和访问机制,所述访问机制作为独有的模块集成在安全操作系统上。
3.根据权利要求1所述的智能终端通过可信区提供安全直播业务服务的方法,其特征在于:所述安全区预置有用于智能终端与直播服务平台通信的平台互信程序,用于与直播服务平台通信、使直播服务平台与智能终端建立互信的终端认证程序,以及用于为用户提供直播频道展示页面以及提供直播频道播放服务直播服务程序;所述的直播业务服务包括直播播放服务和进行直播播放程序的升级,所述直播播放服务包括提供直播频道展示页面、提供直播频道播放服务。
4.根据权利要求3所述的智能终端通过可信区提供安全直播业务服务的方法,其特征在于:所述的智能终端通过平台互信程序向直播服务平台发出建立互信的请求,所述的直播服务平台向智能终端的平台互信程序返回本直播服务平台的可信证书,所述的智能终端通过平台互信程序读取所获取到的可信证书;所述的可信证书中含有代表直播服务平台身份信息的第一明文信息,第一明文信息利用散列函数形成第一信息摘要并通过第一私钥加密,作为直播服务平台的平台证书签名。
5.根据权利要求4所述的智能终端通过可信区提供安全直播业务服务的方法,其特征在于:所述的智能终端内预置有通信公钥,作为第一公钥,智能终端收到可信证书后,通过第一公钥完成对直播服务平台的可信证书的合法性认证;所述的智能终端通过平台互信程序采用与直播服务平台相同的散列函数计算得到可信证书中的信息摘要;智能终端通过平台互信程序使用预置的通信公钥解密获取的可信证书中的平台证书签名,智能终端将通信公钥解密得到的结果与通过采用与直播服务平台相同的散列函数计算得到的信息摘要进行比对;智能终端完成对可信证书的信任校验后,在安全区中预留的平台合法校验存储位记录校验合法的结果。
6.根据权利要求5所述的智能终端通过可信区提供安全直播业务服务的方法,其特征在于:所述的业务认证信息和认证密钥分别作为直播服务平台认证智能终端合法性所使用的第二公钥和第二私钥,智能终端将直播服务平台提供的业务认证信息和代表智能终端身份信息的第二明文信息利用散列函数形成第二信息摘要并通过第二私钥加密,直播服务平台使用第二公钥进行信任校验。
7.根据权利要求6所述的智能终端通过可信区提供安全直播业务服务的方法,其特征在于:用户开始进行直播业务服务时,首先通过直播服务程序检查非安全区的root标识,如非安全区的root标识检查结果为已被更改,则表示非安全区的操作系统被更改,智能终端拒绝进行直播业务服务;然后检查平台合法校验存储位中存储记录的校验结果,校验结果合法则进行下一步直播服务平台校验智能终端过程,如否则拒绝提供直播业务服务;进行直播服务平台校验智能终端,对直播服务平台校验智能终端的结果进行验证,验证通过则直播服务程序按照直播业务流程,从直播服务平台获取直播信号源,完成直播业务服务,否则拒绝提供直播业务服务。
8.根据权利要求6所述的智能终端通过可信区提供安全直播业务服务的方法,其特征在于:所述的第一明文信息包括:证书的有效时间、证书序列号和颁布本直播服务平台证书的直播服务平台编码;所述的第二明文信息包括:智能终端身份标识和智能终端mac地址;所述的智能终端设有唯一的智能终端身份标识,所述的业务认证信息作为用户在直播服务平台中的唯一标识,业务认证信息用一组数字、字母或字母/数字的组合来标识;所述的直播服务平台为智能终端生成一个认证密钥,各认证密钥彼此不重复,认证密钥在直播业务平台与智能终端的业务认证信息相互唯一绑定。
9.一种智能终端通过可信区提供安全直播业务服务的系统,其特征在于,包括:
10.一种电子设备,其特征在于,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行计算机程序时,实现如权利要求1-8任一项所述的智能终端通过可信区提供安全直播业务服务方法。
