摘要:随着有线互动电视业务的发展,同一台智能电视终端,需要同时访问互动电视网络和宽带网络的新场景。为此,本文探讨了智能电视终端保证智能应用访问宽带网络时的安全保护机制。
关键词:智能电视终端;安全防火墙;应用隔离
1前言
在双向有线电视网络中应用的智能电视终端,通过采用国内自主知识产权的TVOS智能电视操作系统,具备了较强的应用安全保护能力。但在实际应用中,由于网络安全管理策略,这些终端一般都运行在单独的互动电视网络(一般也被称为B网或VOD互动电视网)中,不直接访问互联网或宽带网(一般被称为A网或数据网)框架下的应用服务器,这样能避免受到网络攻击,避免出现安全播出事故。如何在智能电视终端开始打开访问宽带网或互联网大门的同时,继续保证数字电视部分的智能应用安全运行,成为有线网络运营商需要考虑的一个问题。
2 防火墙技术的实际应用
在多元发展的现在,防火墙技术是目前普遍使用的基础技术,能过实现实时保护计算机用户的信息安全,使得用户能够无忧的使用互联网。我们将防火墙形象的理解成一堵阻隔墙,将互联网世界分为内部互联网和外部互联网。通过这样的阻隔网络,能够防止外部复杂的互联网的恶意用户进入到内部网来盗取和偷窥的行为。当然阻隔也是相对的,如果用户有需要的时候,也可以通过设置防火墙通过条件,在允许外部互联网用户的访问同时,也可以一定程度上保护内部网的重要信息。防火墙防护技术一般有两项技术支持,一种是信息过滤技术,另一种是网络代理技术。信息过滤技术非常容易理解,为了防止危险物品例如易爆易燃物品进入地铁站、火车站、飞机场等人员密集场所,都会有安检人员进行安检。但是这种“安检”并不能检查一个数据包的所有信息,一般只会检查数据的源头。数据的源头包含了数据的根源地址、目的地址、网络链接协议等。网络代理技术拥有两个网络借口,一个是连接外部,一个是连接内部,内外网络通过类似于防火墙的中介进行信息的互换和访问。类似于我们现实意义上的中介服务,网络代理技术需要详细检查所有信息并且能够跟踪数据的走向,这是一道相当严格的检查过程,外部的互联网信息只有通过严格的检查之后才能进去内部进行访问和交流。
3 应用分组管理设想
为实现对不同应用设置不同的网络访问权限,设想在智能电视终端的应用网络权限管理中,针对Ethernet网络设备进行权限分组。由于Linux系统中,所有对象都被抽象为一个文件资源,比如CPU可以定义为CPU文件,网卡可以定义为eth0文件,这些文件都可以被设置不同的访问权限,即只要将智能应用的权限设置为非特权用户,就可以实现对不同应用是否具有访问网卡的权限控制。此次研究中,首先要基于Linux文件的权限管理特性,在系统启动时绑定一个预先设置的组GID,这个GID作为默认的网络访问权限,标识智能电视终端是否可以访问宽带网络,从而将各种网络设备纳入权限管理的范围。而在实际应用中,根据多种应用的特点,可以再定义多个新的组GID,实现对不同网络区域的访问控制,这样只要在不同的应用上标记不同的组GID,就可以控制其所能访问的网络区域,从而达到控制特定应用APP定向访问网络设备的目的。
3.1 Zygote核心进程的定制改造
Zygote是一个TVOS中的核心虚拟机进程,同时也是一个Dalvik虚拟机实例的孵化器,在TVOS的LinuxKernel底层,由BootLoader负责加载。Kernel启动后,首先启动init进程,再由init进程依次启动系统所需的其他进程,包括Zygote进程。每当系统要求执行一个应用程序时,Zygote就会派生出一个子进程来执行该应用程序。由于Zygote进程是在系统启动时产生的,它会完成虚拟机的初始化、库的加载、预置类库的加载等操作,而在系统需要一个新的虚拟机实例时,Zygote通过复制自身,以最快的速度提供一个虚拟机实例。Zygote进程在初始化时会启动虚拟机,并加载一些系统资源,这样Zygote派生出子进程后,子进程也继承了能正常工作的虚拟机和各种系统资源,接下来只需装载智能应用的二进制文件的字节码就可以运行应用程序,可以大大缩短应用程序的启动时间。另外,对于一些只读的系统库,所有虚拟机实例都和Zygote共享一块内存区域,大大节省了内存开销。因此,通过对Zygote核心进程的适当定制改造,可以实现对应用进行网络访问的合理管控。这样在Zygote核心进程启动后,其将额外承担应用安全检测任务,并根据应用配置文件及网络安全访问规则,来分配特定应用的网络访问权限。
期刊文章分类查询,尽在期刊图书馆
考虑到实际运行中的动态配置场景,建议Zygote进程还要承担系统服务的检测功能,一旦发现网络安全访问规则的变化,就要及时更新网络访问权限。这样就可以在业务前端的管理服务器中,建立所谓的白名单机制,可以针对某一种型号的智能电视终端,设置统一的白名单规则,允许访问某些特定应用,比如安装在酒店内的特定智能电视终端型号,可以访问安全监控摄像头,并将摄像头实时传回的图像显示在电视屏幕上;而且也可以针对单个机顶盒设置个性化的白名单,比如某个小区级的智慧社区应用中,针对某个机顶盒,只允许其访问该家庭对应的大楼门禁等智能设备,最大程度地保护其他用户的隐私,也防止其他小区用户来恶意访问本小区的资源。
4 智能终端环境下的安全防火墙研究
4.1 科学有效的使用防火墙和保护系统
在用户实际使用互联网时,一般都是计算机自动使用防火墙或者互联网保护措施来规避电脑木马和恶意软件的入侵。防火墙的作用其实不止于上节中讨论的功能,它还具有定期对内部网络的文件数据进行定期的检查,保证没有任何一个“溜过”安检的恶意软件和木马机会。但是,上有政策下有对策,在互联网技术高速发展的现在,病毒木马等恶意软件也随之升级,这也意味着想完全识别并且删除恶意软件越来越困难。所以,对于开发防火墙技术的人员要做到知己知彼,才能更好地保护用户信息安全。
4.2 提升保护管理体系,有效运用防木马技术
在保护互联网用户信息安全的行动中,不仅可以通过上述手段进行技术加强和软件、硬件加密,我们也需要重视对计算机的互联网信息的安全管理。通过加强监督内部互联网,运用合理的内部管理体系,时刻检查杀毒等保护软件的更新升级,这样很大程度上避免系统漏洞,保护用户信息的安全。无论是对待个人计算机互联网病毒还是公司公共互联网环境的病毒木马等恶意软件,都要一视同仁,及时清查并且清除入侵的恶意软件。如果条件允许,可以定期进行防范病毒木马技术的教学和培训,这样能够在平时拥有相应的技能,在面对木马病毒恶意入侵的情况时,能够迅速敏捷的做出反应。即使是秘密进行的盗窃或者偷窥行为,也能在员工良好的素质下迅速发现,做到保护个人计算机以及公司大数据的安全,保护个人财产或者公司财产不受损失。
4.3 实现针对单个应用、单个终端的网络访问控制
通过对智能电视终端下关键进程的定制修改,在增加系统资源占用不多的情况下,可以初步实现针对单个应用、单个终端的网络访问控制,初步实现了网络安全保证。但也应看到,基于Linux系统自带的iptables软件防火墙,相对功能还是比较简单,无法对DDoS攻击、网络病毒等复杂情况进行识别和防护。因此,在云计算的大框架下,建议在后续改进中,考虑基于“云-端”协同的安全防护措施如下。
4.3.1 在智能电视终端Linux底层中植入简单的入侵检测功能,由业务前端的管理服务器定期更新特征库,主要对网络流量、特定端口等进行侦听,在突发网络流量增高等情况下,可以进行简单的安全防护。
4.3.2 强化应用管理
智能电视终端所安装的应用都要申明需要访问的网络端口。而智能电视终端则依据这些信息,对网络流量进行定期扫描,对访问异常端口的网络数据包进行采集后统一回传,通过云端的安全防护系统进行集中分析,以及时掌握用户侧的网络安全情况。
5 结语
随着智慧家庭、智慧城市等新业务、新应用的出现,原来只在家庭内部应用的智能电视终端,越来越成为基于云计算架构的智慧业务的一个关键点。因此,对现在这些智能电视终端,产生了能主动访问位于互联网中的应用服务器,访问家庭内部宽带网中智能家居设备的紧迫需求。
参考文献:
[1]杨海澜.关于防火墙屏障安全可靠网络防范途径思考[J].电脑知识与技术,2016,12(2):53-54.
[2]钱亮. 智能终端环境下的安全防火墙应用研究 [J].网络安全技术与应用,2014,(5):37-40.
[3]张锋.基于计算机防火墙安全屏障的网络防范技术[J].数字技术与应用,2014,(5):197.
论文作者:王雅馨、李婷婷、冯倩
论文发表刊物:《当代电力文化》2019年10期
论文发表时间:2019/10/30
标签:终端论文; 互联网论文; 智能论文; 网络论文; 防火墙论文; 电视论文; 进程论文; 《当代电力文化》2019年10期论文;