直播衛星北斗“戶戶通”可管可控及安全性分析

+ 孫功憲

(深圳市北斗萬方信息技術有限公司 )

具備北斗定位功能的新一代“戶戶通”（也稱第四代“戶戶通”）已成為當下行業最新熱門話題。本文將從TVOS操作系統、北斗芯片SiP封裝、 ROM版及其安全性三方面，對北斗“戶戶通”進行分析，看看它能否有效解決北斗“戶戶通”定位的可管可控及安全性問題，保證廣播電視安全播出。

北斗戶戶通 TVOS2.0操作系統 可管可控 SiP系統級封裝

直播衛星“戶戶通”安全性面臨巨大挑戰

目前，全國直播衛星“戶戶通”用戶已達到1.1億戶，“戶戶通”作為廣電的重大惠民工程，一直都是政府重點監管的地帶。廣播電視作為黨和政府的喉舌，必須要確保其安全、綠色健康、可管可控。2015年6月，國家新聞出版廣電總局科技司發布《關于嚴格按照標準生產銷售衛星直播系統綜合接收解碼器的通知（技科字【2015】242號）》，明確指出我國的“戶戶通”衛星電視接收機必須安裝GPRS模塊，具備基站定位功能，一旦出現跨區域使用，就不能正常收看電視。然而，市面上屢屢出現免定位破解型機頂盒，給廣播電視的安全播出、“戶戶通”業務的正常開展帶來巨大隱患；也給行業主管部門、正規的“戶戶通”機頂盒廠家、經銷商帶來了很大的困擾。

作者在網上搜索了“戶戶通定位破解方法”，得到186,000個結果，各種“攻略”一步步指導用戶如何破解，包括教程、視頻、PPT、文章等一應俱全。甚至有些廠家的機頂盒，只要在遙控器上按次序輸入某些字母組合，就可以自動切換到免定位工作模式。管理部門雖然嚴厲打擊免定位、非法破解，但是利益的趨勢使得部分廠家屢屢以身試法，免定位機“野火燒不盡、春風吹又生”，嚴重擾亂了“戶戶通”產業的發展。

為此，新聞出版廣電總局成立了TVOS工作組專門負責推進新一代“戶戶通”系統工作，于2017年頒布了北斗機頂盒、北斗LNB行業技術標準（GD/J071、072、073-2017），明確采用TVOS操作系統及北斗定位。

那么新一代采用北斗定位的“戶戶通”系統是否會面臨和上一代GPRS定位模式一樣的問題呢，這些安全性問題如何才能從根本上得以根治？筆者試著就北斗“戶戶通”如何保障安全播出、可管可控、防止免定位等問題，進行初步的探討。

北斗“戶戶通”的安全關鍵技術問題

一、TVOS2.0系統將有效保障“戶戶通”安全播出，防刷機、防翻墻、無法自行安裝第三方軟件

2015年12月，國家新聞出版廣電總局科技司、工業和信息化部電子信息司在湖南長沙舉辦了“智能電視操作系統TVOS2.0發布會暨TVOS2.0產業化規模應用啟動儀式”。

2016年8月，國家新聞出版廣電總局審查通過了《智能電視操作系統第1部分：功能與架構》與《智能電視操作系統第2部分：安全》兩項行業標準。我國第四代“戶戶通”機頂盒就將采用TVOS2.0操作系統。

TVOS2.0是我國自主研發的可管可控、安全高效、開放兼容的電視操作系統，將使得廣電終端更加安全。TVOS2.0構建了以硬件可信執行環境為基礎的開放、自主的安全技術體系，并針對性地加強了DCAS、DRM和在線支付等的相關安全，將支撐廣電有線、無線、衛星的智能融合一體化和廣電業務生態的構建。

TVOS2.0具有可管可控的特點，從底層鎖死root，用戶無法自行安裝第三方軟件，無法刷機、無法翻墻，無法收看明令禁止的內容，確保所輸出的內容都是正規合法的。和Android操作系統的機頂盒相比，更容易對系統內容進行管理。

二、北斗定位的防破解技術

1、SiP封裝的安全性問題

圖1 TVOS2.0基礎安全架構

圖2 TVOS2.0沙箱隔離安全架構

新一代“戶戶通”機頂盒主CPU將與北斗定位芯片采取SiP封裝的方式，合封在一顆芯片中。在SiP封裝過程中，北斗芯片Die需要保證信息安全性，其關鍵測試管腳和功能配置管腳只能在裸片時可見，封裝后不可見，確保無物理條件進行切換。北斗芯片輸出定位信息給機頂盒主CPU，主CPU只能接收NEMA0183格式的數據，而無法對北斗芯片發出指令，這種傳輸是單向的。

圖3 北斗“戶戶通”機頂盒主CPU與北斗定位的SiP封裝

2、ROM版與FLASH版的差異

新一代“戶戶通”機頂盒中與主CPU合封的北斗定位Die，從業內情況看，有FLASH版、ROM版兩種形式，這里推薦使用ROM版進行合封。首先，北斗芯片 Die的ROM版程序在ROM中運行，直接固化，無任何條件修改運行程序；其次，FLASH版本相當于在主CPU中合封了兩個Die，成本高而且可靠性下降，并且在遇到某些情況（如開關機、斷電、嚴重干擾等）下可能會發生FLASH改寫問題，造成主CPU無法工作。

3、偽基站的高成本及易發現問題

新一代“戶戶通”機頂盒主CPU與北斗Die合封，北斗芯片采用的是射頻基帶一體化方案，進入CPU的是衛星定位射頻信號，而不是數字信號。一般衛星定位需要接收四顆或以上衛星的信號才能定位。如果采用偽基站的方式模擬衛星定位的射頻信號來破解定位，面臨如下的問題：

首先，違法成本高。需要采用北斗/GPS信號模擬器、信號發射設備，覆蓋某片區域，發射的定位導航信號強度高于正常的衛星定位信號強度，設備投資較大，預計達到數十萬元的規模。而偽基站是我國行業主管部門一致重點打擊的違法行為，目前，管理部門各種偽基站探測設備和技術逐漸成熟，違法行為一經發現，違法者將面臨法律的處罰，所投設備也會血本無歸。

其次，破解新一代“戶戶通”定位的商業模式不成立。現有的免定位機頂盒因為采用移動基站定位，破解后即可隨意到各個地區銷售流通。考慮到“戶戶通”經銷是“省-地市-縣級”三級模式。如果采用偽衛星定位基站的破解方式，需要在全國所有準備銷售免定位機的地區都安裝衛星定位偽基站。那么誰來投資？省級經銷商在全省統一建偽基站，投資大、風險大、可能性小，而且通常在一個省內會存在多個省級經銷商；各個地區、市縣，更是存在多個大大小小的經銷商，彼此屬于競爭關系，單個經銷商自己建設，不符合其商業利益；而破解機頂盒定位是非法行為，因此政府或者行業聯盟也不可能出面主導組織投資建設。

綜上所述，北斗“戶戶通”將能夠有效解決免定位接收機擾亂市場的難題。

展望

可以預見，具備北斗定位功能的新一代“戶戶通”面臨著爆發性的增長，其安全性備受關注。TVOS2.0操作系統與北斗定位的完美結合，將從根本上保障可管可控的問題，而目前“戶戶通”市場的免定位機亂象也有望得以根治。我國“戶戶通”產業即將迎來新的春天。

1、新聞出版廣電總局，GD/J 072—2017，《衛星直播系統綜合接收解碼器（智能基本型—衛星地面雙模） 技術要求和測量方法》，2017年3月

2、新聞出版廣電總局，GD/J 073—2017， 《衛星直播系統綜合接收解碼器（智能基本型）技術要求和測量方法》，2017年5月

3、新聞出版廣電總局，GY/T 303.2-2016，《智能電視操作系統 第2部分：安全》，2016年12月