李春芳

【摘  要】由于航空运输市场激烈的竞争，为更好的提高乘客的飞行体验，航空公司越来越重视机载娱乐（In-flightentertainment，IFE）系统。但是由于媒体内容存在版权限制和知识产权的保护，因此从媒体内容的产生、中途传输到飞机装载的全过程，都需要确保其安全性，防止对其进行未授权的访问。本文对机载娱乐系统内容流转全过程中的安全性问题进行了研究，针对个别环节中存在的安全隐患提出了建议，这对于提高媒体内容的传输安全具有积极意义。基于此，本文主要对机载娱乐系统媒体内容安全装载进行分析探讨。

【关键词】机载娱乐系统;媒体内容;安全装载

1、机载娱乐系统的介绍

1.1机载娱乐系统的功能介绍

机载娱乐系统（IFE）必须具备为旅客提供安全通告、安全须知的广播适航安全功能，除此之外还为旅客在飞行期间提供两类服务：IFE系统选择餐饮服务、乘务服务以及实现消遣与公商务需求。第一种服务实现主要体现在诸如机舱内独特的点对点服务，能让乘客随意选择日常餐、乘务员呼叫、调整座椅靠背、灯光和按摩功能等等。第二种实现主要表现在诸如让旅客自行选择IFE中存储的电视、电影、音乐节目功能，甚至是互联网的接人。机载娱乐系统需要有良好的人机接口界面，将上述功能综合体现在用户终端的显示器上。

1.2机载娱乐系统的运营模式介绍

航空公司将机载娱乐系统与客舱内饰综合设计，在航程中为乘客提供良好的休息消遣环境，从而提高飞机的上座率;并且在机载娱乐系统的媒体中增加意愿消费模式，进一步增加运营收入。如果能够充分发掘，IFE中存在着巨大的利润空间。我们应该认识到IFE是航空公司增值服务的部分，应该被看作是种投资而不是种成本支出。许多国际上的著名航空公司如大韩，汉沙，新航已经从中获得了巨大的商业利润，包括通过客舱娱乐平台插播商业广告、有偿使用客舱娱乐设备、通过多功能娱乐系统进行免税品、纪念品的贩卖等等。机舱内相对封闭独立的环境已经为IFE实现盈利提供了天然的便利。

2、密钥管理系统

密钥管理系统的基本功能是确保安全内容只能被已授权的安全播放设备访问，同时确保在整个媒体安全装载过程中所使用的密钥都是可信的。为实现其功能，密钥管理系统至少需要支持以下两种操作。第一，KMS需要注册可信任的设备。第二，产生密钥分发消息。

密钥管理系统对安全设备进行注册。這些设备包括安全内容管理设备和安全播放设备。安全设备的数字证书、拥有者以及设备的地点信息都将被注册。安全设备的拥有者是指内容提供商、PPL、IFE内容集成试验室、航空公司或者具体某架飞机。具体的注册操作如下：第一，安全设备要和2048位（bit）的RSA公私密钥对相关联;第二，KMS必须从可信信源处收到数字证书后方可将其注册;第三，KMS通过可信方法提供数字证书给相关的操作者（如内容提供商，PPL，IFE内容集成试验室或者航空公司）以及相应的地点。

在目前的娱乐系统中，一个数字证书可对应多个安全设备，并且所对应的安全设备数量也不是固定的。这可能存在安全隐患，因此本文提出一个数字证书应只对应唯一的安全设备，这样私有密钥便不会泄漏到该安全设备之外。但是由于目前的机载娱乐系统中，采用共享密钥的安全设备数量多，如果完全采用本文提倡的一对一的高安全性方法，则需要对目前的设备进行更新，这可能会产生大量花费。因此，希望在将来的机载娱乐系统中可采用本文所建议的方法。

3、IFE媒体内容集成

在PPL完成安全内容的制作，将其放入安全内容库后，IFE内容集成试验室则需要将此安全内容进行集成，以便对机载娱乐系统进行装载，完成航空公司更新媒体的需求。IFE内容集成试验室为航空提供更新存在以下两种情况：第一，PPL产生的安全内容直接符合机载娱乐系统播放要求时，IFE内容集成试验室完成KDM和安全内容的集成;第二，当某些机载娱乐设备对播放格式具有特殊要求，PPL产生的安全内容不能直接在机载娱乐系统中播放时，IFE内容集成试验室需使用KDM对安全内容进行解密，之后重新编码和再加密。新生成的安全内容将拥有新的ID。IFE内容集成试验室需向KMS申请新的KDM。获取新KDM后完成安全内容和KDM的集成。

4、新换设备更新KDM

当航空公司新增安全播放设备，或者由于安全播放设备的失效而进行更新后，需要为这些设备更新KDM，以便使其正常访问安全内容。KDM的更新存在以下两种情况：第一，当原设备和新换设备共享私有密钥时，则使用原来的KDM即可;第二，当原设备和新设备分别拥有不同的私有密钥时，则必须要对KDM进行更新。目前的机载娱乐系统是通过密钥托管程序将新的KDM传递给安全播放设备的。但机载娱乐系统正朝着空地宽带实时通信的方向发展。因此本文提出，在空地宽带实时通信普及后，可以利用该通信链路，实现安全播放设备和密钥管理系统之间的通信，使KDM的更新更加便捷。

5、媒体安全装载的可靠性

考虑到安全设备可能从被授权的地点带到未被授权或者可能存在安全隐患的使用地点。如航空公司的便携式播放设备会发放给乘客使用，这样就存在安全内容泄漏的可能性。因此，机载娱乐系统设备生产商应提供可靠的设备确保安全内容不被泄漏。为提高安全装载的可靠性，本文给出如下建议：第一，对于固定安装在飞机上的机载娱乐设备，机载环境具有较高的安全性，因此对于这种设备可以使用软件密钥而非硬件密钥;第二，对于非固定安装在飞机上的设备，建议使用硬件密钥。该设备应具有如下功能：存储密钥的部件不能有直接被接触的可能性;设备应具有强行接触保护，即如果存储密钥的部件被强行接触，那么该部件必须损坏或者表现出明显的被破坏过的迹象;用于存储和处理关键参数的硬件电路应设计成不接受任何输出命令，即关键参数不可导出;第三，机载娱乐设备应根据自身的内部时钟来执行相关功能。对于内部时钟的调整，本文建议最大限度是一年内可以调整10分钟。其他任何来自外部的时钟调整都被认为是无效操作。

参考文献：

[1]陈亮.LTE系统视频业务用户体验模型及调度技术研究[D].北京：北京理工大学，2015.

[2]陈芳.基于多属性决策的异构无线网络接入选择方案设计[D].南京：南京邮电大学，2014.

（作者单位：中国航空工业集团公司上海航空测控技术研究所）