[发明专利]不可信软件框架的媒体传递装置及使用方法

说明书

相关专利申请的交叉参考

本专利申请要求以下申请的优先权，其全部内容全面地结合于此作为参考并构成本专利申请的一部分：美国临时专利申请第61/715,785号，第61/725,964号，61/725,790号，以及美国专利申请第13/715,395号。

技术领域

本发明总体上涉及处理系统，并且更具体地，涉及在诸如机顶盒的装置中不可信的框架或路径与安全操作系统环境的安全整合。

背景技术

将相对不可信的软件应用程序或框架配置在特定类型装置中的尝试会使依照一个或多个行业定义的认证标准或测试程序执行的可适用的认证过程变得复杂。例如，通过严格的认证过程进行由有线运营商使用的许多机顶盒的厂商认证，该认证过程测试实现诸如PacketCable^TM、CableHome^TM、和OpenCable^TM规范的装置的互操作性和和安全合规性。这种装置的成功认证通常需要完整的端到端安全性。类似地，在特定装置或组件(诸如片上系统)中实现的数字版权管理(DRM)和其他技术可能要求不同的认证过程，该认证过程不允许与非安全操作系统(OS)环境或软件框架的某些交互。

一般地，如果机顶盒或类似装置中的媒体路径的非安全部分不是分离的，将会导致这种路径的认证失败。大部分传统机顶盒被设计为在装置的各种元件中提供单个的安全及认证路径。在一些近期的多处理器机顶盒中，通过在传统认证的路径和不可信的组件之间创建硬件界限，将二者隔开。特别地，使用第一处理模块来提供安全功能(例如，解码操作)，同时使用具有较低安全级别的单独处理模块来支持不可信的框架。

众所周知，软件框架可以提供应用程序编程接口功能和服务(这些未由底层操作系统提供)，从而可以在具体实施方式中提供一定级别的平台独立性。框架通常被设计成可重复使用并且是适用性的软件系统或子系统。例如，对于移动装置，安卓(Android)已经成为增长最快的操作系统/框架之一。建立在开源Linux社区的贡献之上的Android为构建可以在许多不同类型的装置(诸如智能电话或平板装置)中部署的应用程序提供了开发工具和可重复使用的组件。

典型的Android框架是“多用户”的基于Linux的系统，其中，每个Android应用程序都是具有通常与其他应用程序分离运行的代码的不同“用户”。这种进程分离(或应用程序“砂箱”)提供了一定的安全等级。然而，当集成在机顶盒类型装置中时，应用程序所使用的各种组件、进程、线程等可能没有带来足够的保护，导致当在这种装置中使用Android时，其被认为是“不可信”框架。例如，访问任意网页或从未验证的第三方接收代码的应用程序会导致可能以提高的权限在机顶盒上执行的不可信的JavaScript代码。这种代码可能会利用其他代码(例如，浏览器代码)的弱点，并且接收对文件系统等的未经授权的访问，从而损害装置的安全性、暴露受保护的数据或引入系统不稳定性。

如上所述，一些装置的处理单元可能具有多个处理器或处理核，以提供更高的性能和/或多任务能力。在这些多处理器系统的一些中，当运行多个应用或程序时，通常需要访问控制，以分离在多个处理器上运行的应用程序的功能。对于在不同处理器上运行的不同应用程序和/或任务的分离或隔离有助于确保一个应用程序不会干扰另一应用程序的执行。类似地，分配给一个处理器的数据不应当被其他处理器访问，除非该数据在这两个处理器之间共享。通常通过使用虚拟内存来处理这种分离，每个进程都有从外部进程不可访问的唯一内存视图。通过内核或装置驱动器接口，可以处理硬件访问，这提供了一定程度的安全性。然而，即使在其中一个处理器环境提供可信或安全的操作而另一处理器在非安全或受限环境中运行的多处理器系统中，当操作系统正管理该分离时，也存在着从非安全区侵入到安全区的极大可能性。

例如，在允许用户接收电视信号并且还允许用户访问互联网的机顶盒中，安全环境可以运行涉及由有线或卫星提供商或其他服务运营商提供的特定频道或内容的接收、解密、以及显示的应用程序(包括安全机顶盒应用程序)。机顶盒中的非安全环境可能执行应用程序(诸如基于Android的应用程序)，其允许用户访问互联网进行页面浏览、游戏等。在该实例中，内容提供商通常不希望用户或其他任何人访问涉及广播或付费频道的应用程序。然而，如果在控制对这两个环境的访问的软件中有共同性，诸如运行相同的操作系统来管理在两个环境中的访问，则访问违规的风险可能加剧。这种违规，无论是有意的或无意的，都会导致非安全地触犯机顶盒中的安全应用程序，诸如到受保护电视频道的源自网络的侵入。