用于处理多媒体内容以实现多个虚拟机的设备的制造方法
用于处理多媒体内容以实现多个虚拟机的设备的制造方法
【技术领域】
[0001] 本发明设及一种用于处理多媒体内容的设备,其能够接收受到内容保护系统保护 的经加密多媒体内容,并且能够将经解密形式的多媒体内容提供给用户设备。
[0002] 更一般地,本发明落入对由内容提供者提供的多媒体内容进行受保护分发的领 域,W及此类内容的处理和观看设备,例如智能电视(TV)设备。
【背景技术】
[0003] 该样的智能TV设备通常包括;多媒体内容的视频和音频检索装置,通常为电视 机;W及译码器,其被集成到检索装置或者采用分立单元的形式被连接至检索装置。该样的 译码器包括;用于接收受保护多媒体内容的装置,受保护多媒体内容例如为使用控制字进 行加密的多媒体内容;用于实现接入控制的装置;在接入条件经过验证的情况下对所接收 的多媒体内容进行解密的装置;W及对所接收的多媒体内容进行解码和检索的装置。
[0004] 此外,近来的智能TV设备还具有用于连接至因特网并且使得用户能够下载和接 入第=方应用服务(例如游戏、银行服务)的装置,该些第=方应用服务来自完全独立于多 媒体内容提供商或运营商的第=方服务器,多媒体内容提供商或运营商为内容提供商与用 户之间的媒介,例如为电信服务提供商、智能TV设备提供商。
[0005] 当前,从软件架构的观点出发,所有的应用服务W及与多媒体内容相关的服务都 被构造在单个操作系统上。该样的软件架构潜在地导致多媒体内容和与第=方应用服务相 关的数据的安全问题。实际上,将来自异类源的大量数据集成到同一软件找增加了错误和 软件弱点的可能,而错误和软件弱点是攻击和窃用的基础。特别地,已知软件程序越大错误 的可能性就越高。
[0006] 而在分发受保护多媒体内容的领域,保护内容提供商的权力W针对该些权力之外 的分发避免恢复经解密内容并对其进行检索是至关重要的。与多媒体内容相关的服务W及 多媒体内容本身因此必须受到保护。
[0007] 此外,与第=方应用服务有关的某些数据也必须受到保护,无论其是否设及例如 在未授权的情况下用户不愿分发的银行数据或其他领域的机密数据。
[000引因此,智能TV设备使得有可能接入受保护多媒体数据W及接入来自第S方服务 器的具有高安全性要求的应用数据,该高安全性要求无法通过使用单一软件找的软件架构 得到满足。
【发明内容】
[0009] 本发明旨在解决现有技术中的智能TV设备的该一安全性缺陷。为此,本发明提出 了一种多媒体内容处理设备,能够接收受内容保护系统保护的经加密多媒体内容,并且能 够将经解密形式的多媒体内容提供给用户设备,所述多媒体内容处理设备包括;用于实现 接入控制从而授权将所述经解密多媒体内容提供给所述用户设备的装置、用于执行具有第 一相关安全等级的安全服务的装置W及用于执行具有较所述第一安全等级低的相关安全 等级的服务的装置。根据本发明的设备包括:
[0010] 管理器,能够控制至少=个虚拟机组的执行,所述虚拟机组被W严格分开的方式 执行,所述虚拟机组包括:
[0011] 第一虚拟机组,专用于执行由至少一个用户安装的、安全等级低于所述第一安全 等级的第S方应用服务;
[0012] 第二虚拟机组,专用于执行受控于至少一个运营商的、安全等级低于所述第一安 全等级的服务;W及
[0013] 第=虚拟机组,能够实现具有第一安全等级的安全服务并且充当所述第一虚拟机 组和所述第二虚拟机组的服务的可信第=方。
[0014] 有利地,将虚拟机划分为受控于管理器的=个组,其中一个虚拟机组被设计为执 行所有具有第一安全等级的服务,该使得相比于具有单个软件找的软件架构,有可能提供 针对任何攻击的更好的安全性和鲁椿性。实际上,所建立的虚拟机组被严格分开执行,并且 在特定的紧凑管理器上执行,该明显限制了设计所带来的攻击的风险。
[0015] 此外,有利地,被设计为执行所有安全服务的虚拟机组充当可信第=方的角色。
[0016] 根据本发明的多媒体内容处理设备可包括W下特征中的一个或多个:
[0017] 所述第=组包括至少一个执行多媒体解密服务的虚拟机;
[0018] 所述多媒体内容处理设备还包括所实现的服务的数据存储装置;
[0019] 所述第=方应用服务为其提供受到至少一个应用提供商控制的应用,所述至少一 个应用提供商独立于所述至少一个运营商;
[0020] 一个所述运营商为经加密多媒体内容的分发服务器,并且所述设备的用户被授权 获得根据经加密多媒体内容获得的经解密多媒体内容,所述经加密多媒体内容在来自所述 第=组的虚拟机的控制下由所述运营商提供,所述第=组能够向用于所述多媒体内容的接 入控制服务提供解码服务;
[0021] 所述多媒体内容处理设备包括用于接入通信网络的装置,并且所述第=方应用服 务由用户经由所述通信网络进行下载;
[0022] 所述第=组包括进行可信第=方服务的虚拟机,该虚拟机能够通过安全信道与所 述第一组的虚拟机所实现的服务或者所述第二组的虚拟机所实现的服务进行通信;
[0023] 所述第=组的虚拟机具有由所述管理器分配的执行特权,该执行特权高于分别分 配给来自所述第一组和所述第二组的虚拟机的执行特权;
[0024] 所述第一组的每个虚拟机执行第=方应用服务或第=方应用服务集合。
[0025] 根据前述权利要求中任一项所述的多媒体内容处理设备;
[0026] 所述多媒体内容处理设备包括预定数量的物理处理器,并且所述管理器能够控制 所述物理处理器。
【附图说明】
[0027] 通过参考附图所做的W下描述,本发明的其他特征和优点将显现出来,描述仅供 参考并且是非限定性的,在附图中:
[002引图1示出了用于提供经加密多媒体内容的系统,其包括有根据本发明的多媒体内 容处理设备;
[0029] 图2示意性地示出了所提出的软件架构的实施例;W及
[0030] 图3示意性地示出了本发明一实施例中的管理器。
【具体实施方式】
[0031] 图1的用于提供经加密多媒体内容的系统1包括发射器2,例如由内容提供商或者 一个或更多运营商进行管理,该发射器2适用于将使用控制字进行加密的多媒体内容分发 给一组接收器。为了简单起见,在图1中仅示出一个该样的接收器4。
[0032] 在图1所示的实施例中,发射器2设置有发射天线。除了经加密多媒体内容之外, 发射器还发送包括有控制字的授权控制消息巧CM),该控制字适用于对经加密多媒体内容 和授权管理消息(EMM)进行解密。
[0033] 接收器4通常为根据本发明的多媒体内容处理设备,例如为智能TV设备。
[0034] 多媒体内容处理设备4包括;用于检索多媒体内容的装置6,通常为结合有音频检 索装置的显示屏;例如为遥控器的传统控制装置7,使得用户能够控制设备4所提供的各种 功能,该些功能一方面为与多媒体内容相关的功能(例如,播放、源改变、暂停、回放),另一 方面为与其他第=方应用服务的安装和使用有关的功能。设备4还包括设置有接收天线的 解码器8,能够接收经加密多媒体数据W在解密之后解码所接收的经加密多媒体数据,并且 随后将其提供给检索装置6,该检索装置6与控制装置7-起形成本示例实施例中的用户设 备。
[0035] 多媒体内容处理设备4还包括用于检查针对经加密内容的授权消息的装置10,W 已知的方式实现接收的ECM和EMM消息W及根据设备4的用户的订阅实现对接收的ECM 和EMM消息的处理。在一个实施例中,控制装置10实现条件接入系统,该条件接入系统 在下文中进行了描述;"条件接入系统的功能模型",EBU评论,欧洲广播技术联盟,布鲁塞 尔,比利时,N。266,1995年12月21日广F^mctionalModelofaConditionalAccess System",EBU民eview.TechnicalEuropeanBroadcastingUnio n,Brussels,BE,N° 266,De cember21,1995.)。
[0036] 设备4还包括:解密装置12,用于对所接收的多媒体内容进行解密;W及解码装置 14,用于经由授权控制消息ECM的控制消息所接收的经加密控制字。
[0037] 解密装置12W及解码装置14能够执行具有第一安全等级的安全服务,所述第一 安全等级是所考虑的最高安全等级。特别地,该意味着执行由该些装置实施的、很难通过任 何类型的攻击来窃用的安全服务是重要的。
[003引执行安全服务所需的各种参数被存储在相关的存储器16中。
[0039] 解码装置14和解密装置12被实施W根据接收的多媒体内容提供经解密多媒体内 容,该经解密多媒体内容随后被提供给能够实时对其进行解码的解码器8从而提供在检索 装置6上能够被检索的多媒体内容。
[0040] 多媒体处理设备4进一步包括用于连接至通信网络20的装置18,该通信网络20 例如为因特网。
[0041] 此外,也存在用于执行应用服务的装置22,该些应用服务具有较第一安全等级低 的相关安全等级,因而要求较低的安全性。
[0042] 例如,具有低于所述第一安全等级的安全等级的第=方应用服务通常为由第=方 服务器提供并且由多媒体内容处理设备4的用户进行下载及安装的软件应用。第=方服务 器24通常完全独立于向发射器2负责的提供商或运营商。
[0043] 例如,第S方应用服务可W是使得用户能够查看银行数据的银行应用。另一第S 方应用服务例如为与检索装置6和可用的控制装置7兼容的游戏应用。
[0044] 还存在用于存储与第=方应用服务相关的参数和数据的存储装置26。
[0045] 在一个替代实施例中,用于实现本发明的处理设备4被W机顶盒类型的连接外壳 的形式实现,其能够发送经解密多媒体内容到具有针对多媒体内容的检索装置的用户设 备,比如电视机。图2示出了软件架构,该软件架构使得有可能实现根据本发明的一个实施 例参考图1所描述的各种装置。
[0046] 在该实施例中,由多媒体内容处理设备4执行的一组服务在分别被标记为G1、G2 和G3的=个虚拟机组之间进行划分,该=个虚拟机组受控于图2中被标记为30的管理器 或虚拟机监视器(VirtualMachineMonitor,VMM)。
[0047] 管理器是一种已知的软件机制,其使得有可能在由一个或更多处理器构成的硬件 支持上创建任何数量的分离且独立的虚拟处理器W及对存储器(RAM、SRAM等)进行分区。 将参考图3对管理器进行更为详细的描述。
[0048] 管理器30经由向每个虚拟机W及每个虚拟机组分配执行权限的指令31、32、33来 控制各个虚拟机组G1、G2和G3。不同的虚拟机被严格独立地执行,即使它们属于同一组。
[0049] 第一虚拟机组G1实现针对第=方应用服务的执行装置22,该些第=方应用服务 来自受控于应用提供商的第=方服务器,该应用提供商独立于提供多媒体内容的运营商。 第=方服务器可通过通信网络20进行访问并且第=方应用服务有用户进行下载和安装。 [0化0] 第一组中的每个虚拟机执行与给定组的第=方应用服务(在图中分别被标记为 APPi、APP2和APPs)对应的软件找。在图2所示的示例中,在组G1中仅示出了一个虚拟机, 其软件找由多个第S方应用组成;与服务APPi相关的34,与服务APP2相关的35W及与服 务APPs相关的36。
[0化1] 可替换地,出于性能的原因,考虑到将相似的应用服务集合在由虚拟机执行的单 个软件找中,该些相似的服务具有非常接近和交织的功能。在该种情况下,第一组的虚拟机 执行第=方应用服务的集合。
[0化2] 此外,具有高执行权限的特定虚拟机组G1的虚拟处理器37的一个实施例专用于 实现操作系统OSi,例如由执行APPi,APP2,APPs所需的库组所完成的Linux程序集,通常被 称为执行时间。
[0化3] 第二虚拟机组G2专用于受控于运营商或运营商之一但却具有较第一安全等级低 的相关安全等级的应用或者应用服务38,该些运营商负责经加密多媒体数据发射器2。运 营商所提供的服务由操作系统0S2进行支持,该操作系统0S2由虚拟处理器的特权模式39 来实现。
[0054]操作系统OS,可不同于操作系统0S1,从而使得有可能使异构操作环境共存。
[0055] 可W考虑到运营商所提供的服务的安全等级不同于与用户安装的第S方应用服 务相关联的安全等级,但是其仍然低于用于管理安全性的组G3的安全等级W及管理器的 最大等级。
[0化6] 例如,运营商所提供的服务包括付费收看多媒体内容备选项(offer)、内容重播备 选项、内容推荐、免费内容等。
[0057] 在一个实施例中,服务由运营商提供或者当多媒体内容处理设备4被提供给用户 时将服务预先安装在该多媒体内容处理设备4中。也可W考虑对运营商所提供的服务进行 更新。在该种情况下,设置为由管理器30经由认证协议对运营商进行认证W使得运营商所 发射的应用服务由管理器30进行安装从而被第二虚拟机组G2的虚拟机所执行。
[005引所有由运营商提供并且要求等于所述第一安全等级的高安全等级的服务(被称 为安全服务),尤其是由接入控制10、解密装置12和解码装置14进行的服务各自由来自第 =虚拟机组G3的虚拟机或者由该组虚拟机之一的进程来执行。特别地,来自组G3的虚拟 机向接入控制服务提供解码服务,使得有可能验证用户对多媒体内容的接入权限。
[0化9] 虚拟机组G3或者安全组也执行具有第一安全等级的其他服务,例如安全显示、安 全存储、安全网络接入、密码和/或登录入口(Entry)等。
[0060] 来自该虚拟机组G3的虚拟机实现监视40或安全监视服务,该使得有可能验证由 其他虚拟机组所分别执行的服务的执行顺应性并且在必要时停止/重启有问题的虚拟机。 当来自组G1和G2的虚拟机之一的行为偏离或者表现为偏离该些组各自所声明的安全先决 条件时,如果组中的一个或所有虚拟机的行为偏离预定的框架(例如,反恶意软件或反病 毒软件),则安全监视系统40可W在组G1或G2之一的执行合同(executioncon化act)要 求的情况下,决定停止或重启组中的一个或所有虚拟机。
[0061] 虚拟机组G3也进行"可信第=方"服务41,从而确保对W下可用硬件资源的公平 分享;存储器16、26,网络连接18,执行时间和对当前物理资源的使用,尤其是GPU型的专用 处理器。
[0062] 来自其他虚拟器组的虚拟机将经由安全信道42、44被连接至可信第=方服务41, 从而使得该些虚拟机能够使用特定协议与可信第=方服务41通信。安全通信信道为其使 用不会直接危害使用它的虚拟机的操作的信道。即使使用安全信道的虚拟机之一受到攻击 而被损害,该信道的使用不会直接导致使用该信道的其他虚拟机的安全性的恶化。该样的 安全信道对本领域技术人员是已知的;该些安全信道主要建立在W严格限制的方式统计地 分配的资源(处理器、存储器、总线)上。当然,安全信道不会停止攻击和间接信道扣除,但 是他们将延缓威胁的蔓延并且提供时间W供安全组G3作出响应。
[0063] 因此,可信第=方服务41根据预建立的规范来保障每个虚拟机组的安全合同、来 自组G1和G2的某些数据的保护和完整性W及对攻击或缺陷的相对抗渗性。
[0064] 图3示意性地示出了对分别被标记为VM。和VM。的虚拟机进行控制的管理器30在 Intel⑩处理器架构下的实施方式。
[0065] 管理器30被开发为软件程序的形式,该软件程序承载在由给定个数(n个)的合 适物理处理器所提供的硬件介质上。被标记为50、52的此类处理器如图所示。该组物理处 理器组成了虚拟存储器管理单元(MMU)。
[0066] 管理器30在启动时运行并且控制所有硬件资源W用一组虚拟处理器或虚拟机的 操作来代替n个本地物理处理器的操作。
[0067] 传统上,处理器虚拟化包括修改物理处理器的操作系统的 源代码W使得特权指令 被由管理器提供的等价服务所代替。其他指令则由真正的处理器直接执行。作为图3所示 的iMel⑩架构的一部分,对源的该一修改是不必要的,因为具有VT-X技术的该架构的处理 器物理地模拟了具有所有兼容性的虚拟处理器的全部环境。
[0068] 该功能在控制和配置软件56的协作下由模块54来进行,该模块54监视物理处理 器。
[0069] 管理器30还包括针对存储器、存储器寻址空间和输入-输出的虚拟模块58。
[0070] 如图3中的步骤所示,管理器在物理处理器的最有特权的模式下运行,虚拟化操 作系统在比管理器的特权模式低的特权模式下运行,W及由虚拟操作系统所管理的应用和 服务(如果存在的话)在更低特权模式下运行,或者在与虚拟化操作系统相同的模式下运 行。
[0071] 在该种情况下,分别被标记为60和62的模块对所实现的虚拟机进行排序。
[0072] 管理器的多种实施方式使得有可能创建多个虚拟机,并且对存储器空间的分割的 管理在现有技术中是已知的。可参考文献W02006027488,其描述了管理器的有利实施例。
[0073] 文献W02006027488特别地描述了管理器对虚拟机的执行特权的管理。
[0074] 优选地,W及为了得到预期的安全结果,包括有允许执行管理器的指令的二进制 代码非常紧凑,例如大约为几十千字节(KB),从而统计地限制了错误或漏洞的数量。
[0075]优选地,W及同样处于安全的原因,管理器的执行是与原子有关的(atomic),因此 不会被破坏,对管理器的任何调用因此被限制到几百个二进制指令,从而不影响程序集的 流畅性。
[0076] 在每个虚拟机中,各个操作系统由管理器的控制模块来管理,操作系统对在非虚 拟模式下具有较低特权等级的应用的执行进行控制。
[0077] 例如,如在图3中所示,管理器对在操作系统0S中实现的虚拟机VM。的模块66进 行管理,操作系统具有比在该操作系统上被标记为68的模块中所实现的应用APPs的特权 等级高的特权等级。对于由虚拟机VM。执行的操作系统70也是如此,该操作系统70具有 比模块72的应用APPs的特权等级高的特权等级。
[007引根据一个特定实施例,管理器能够将特定的特权等级提供给虚拟机之一,从而使 得虚拟机之一能够具有相对于其他虚拟机更广泛的权力。
[0079] 该功能被有利地用于实现图2中被标记为G3的第S虚拟安全机组中的虚拟机,从 而特别允许实现安全监视服务40和可信第=方服务41,组G3因而能够裁决和控制由虚拟 机之一或其他虚拟机所进行的应用服务的实施。
[0080] 有利地,虚拟安全机组的安全服务是静止且预先安装的W增加相对于任何攻击的 安全性和鲁椿性。然而,该些安全服务可被重启。
[0081] 正如已经描述的那样,各个虚拟机之间的通信通过安全通信信道来进行。
[0082]W上已经在实施例中对本发明进行了描述,在该实施例中,多媒体内容受到基于 控制消息和授权管理消息的接入控制系统的保护。可替换地,多媒体内容受到数字权力管 理值RM)系统的保护,在DRM系统中,与多媒体内容相关联的权利通过许可证进行管理。
[0083] 有利地,除了特定于每个虚拟机的划分(partitioning)W及具有同一安全等级 的每个通信虚拟机组,被设计为执行安全服务的虚拟机组还执行有效划分;通过提供严格、 平衡和预防性的管理,软件库和外围设备在其他虚拟机组(运营商组、第=方应用组)之间 共享。可信第=方虚拟机组遵守运营商服务和第=方应用两者的安全需求。
【主权项】
1. 一种多媒体内容处理设备,其接收受内容保护系统保护的经加密多媒体内容,并且 将经解密形式的多媒体内容提供给用户设备,所述多媒体内容处理设备包括:用于实现接 入控制从而授权将所述经解密多媒体内容提供给所述用户设备的装置(10)、用于执行具有 第一相关安全等级的安全服务的装置(10、12、14)以及用于执行具有较所述第一安全等级 低的相关安全等级的服务的装置(22),其特征在于,所述多媒体内容处理设备包括: 管理器(30),其控制至少三个虚拟机组(G1、G2、G3)的执行,所述虚拟机组被以严格分 开的方式执行,所述虚拟机组包括: 第一虚拟机组(Gl),专用于执行由至少一个用户安装的、安全等级低于所述第一安全 等级的第三方应用服务; 第二虚拟机组(G2),专用于执行受控于至少一个运营商的、安全等级低于所述第一安 全等级的服务;以及 第三虚拟机组(G3),其实现具有第一安全等级的安全服务并且充当所述第一虚拟机组 和所述第二虚拟机组的服务的可信第三方。2. 根据权利要求1所述的多媒体内容处理设备,其特征在于,所述第三组包括至少一 个执行多媒体解密服务的虚拟机。3. 根据权利要求1或2中任一项所述的多媒体内容处理设备,其特征在于,所述多媒体 内容处理设备还包括与所实现的服务有关的数据存储装置。4. 根据权利要求1至3中任一项所述的多媒体内容处理设备,其特征在于,所述第三方 应用服务为其提供受到至少一个应用提供商控制的应用,所述至少一个应用提供商独立于 所述至少一个运营商。5. 根据权利要求1至4中任一项所述的多媒体内容处理设备,其特征在于,一个所述运 营商为经加密多媒体内容的分发服务器,并且所述设备的用户被授权获得根据经加密多媒 体内容获得的经解密多媒体内容,所述经加密多媒体内容在来自所述第三组的虚拟机的控 制下由所述运营商提供,所述第三组能够向用于所述多媒体内容的接入控制服务提供解码 服务。6. 根据权利要求1至5中任一项所述的多媒体内容处理设备,其特征在于,所述多媒体 内容处理设备包括用于接入通信网络的装置(18),并且所述第三方应用服务由用户经由所 述通信网络进行下载。7. 根据前述权利要求中任一项所述的多媒体内容处理设备,其特征在于,所述第三组 (G3)包括执行可信第三方服务(41)的虚拟机,该虚拟机能够通过安全信道(42、44)与所述 第一组的虚拟机所实现的服务或者所述第二组的虚拟机所实现的服务进行通信。8. 根据前述权利要求中任一项所述的多媒体内容处理设备,其特征在于,所述第三组 的虚拟机具有由所述管理器分配的执行特权,该执行特权高于分别分配给来自所述第一组 和所述第二组的虚拟机的执行特权。9. 根据前述权利要求中任一项所述的多媒体内容处理设备,其特征在于,所述第一组 (Gl)的每个虚拟机执行第三方应用服务或第三方应用服务集合。10. 根据前述权利要求中任一项所述的多媒体内容处理设备,其特征在于,所述多媒体 内容处理设备包括预定数量的物理处理器,并且所述管理器能够控制所述物理处理器。
【专利摘要】本发明涉及一种多媒体内容处理设备,其接收受内容保护系统保护的经加密多媒体内容,并且将经解密形式的多媒体内容提供给用户设备,所述多媒体内容处理设备包括:用于实现接入控制从而授权将所述经解密多媒体内容提供给所述用户设备的装置、用于执行具有第一相关安全等级的安全服务的装置以及用于执行具有较所述第一安全等级低的相关安全等级的服务的装置。根据本发明所述的设备包括:管理器(30),其控制至少三个虚拟机组(G1、G2、G3)的执行,所述虚拟机组被以严格分开的方式执行,所述虚拟机组包括:第一组和第二组,专用于执行安全等级低于所述第一安全等级的服务;以及第三虚拟机组(G3),其实现具有第一安全等级的安全服务并且充当所述第一虚拟机组和所述第二虚拟机组的服务的可信第三方。
【IPC分类】H04N21/4623, H04N21/81, G06F21/53, G06F9/455, H04N21/4627, H04N21/443
【公开号】CN104904228
【申请号】CN201380057893
【发明人】韦森特·桑切斯-莱顿
【申请人】维亚塞斯公司
【公开日】2015年9月9日
【申请日】2013年10月10日
【公告号】EP2915336A1, US20150304716, WO2014067760A1
【技术领域】
[0001] 本发明设及一种用于处理多媒体内容的设备,其能够接收受到内容保护系统保护 的经加密多媒体内容,并且能够将经解密形式的多媒体内容提供给用户设备。
[0002] 更一般地,本发明落入对由内容提供者提供的多媒体内容进行受保护分发的领 域,W及此类内容的处理和观看设备,例如智能电视(TV)设备。
【背景技术】
[0003] 该样的智能TV设备通常包括;多媒体内容的视频和音频检索装置,通常为电视 机;W及译码器,其被集成到检索装置或者采用分立单元的形式被连接至检索装置。该样的 译码器包括;用于接收受保护多媒体内容的装置,受保护多媒体内容例如为使用控制字进 行加密的多媒体内容;用于实现接入控制的装置;在接入条件经过验证的情况下对所接收 的多媒体内容进行解密的装置;W及对所接收的多媒体内容进行解码和检索的装置。
[0004] 此外,近来的智能TV设备还具有用于连接至因特网并且使得用户能够下载和接 入第=方应用服务(例如游戏、银行服务)的装置,该些第=方应用服务来自完全独立于多 媒体内容提供商或运营商的第=方服务器,多媒体内容提供商或运营商为内容提供商与用 户之间的媒介,例如为电信服务提供商、智能TV设备提供商。
[0005] 当前,从软件架构的观点出发,所有的应用服务W及与多媒体内容相关的服务都 被构造在单个操作系统上。该样的软件架构潜在地导致多媒体内容和与第=方应用服务相 关的数据的安全问题。实际上,将来自异类源的大量数据集成到同一软件找增加了错误和 软件弱点的可能,而错误和软件弱点是攻击和窃用的基础。特别地,已知软件程序越大错误 的可能性就越高。
[0006] 而在分发受保护多媒体内容的领域,保护内容提供商的权力W针对该些权力之外 的分发避免恢复经解密内容并对其进行检索是至关重要的。与多媒体内容相关的服务W及 多媒体内容本身因此必须受到保护。
[0007] 此外,与第=方应用服务有关的某些数据也必须受到保护,无论其是否设及例如 在未授权的情况下用户不愿分发的银行数据或其他领域的机密数据。
[000引因此,智能TV设备使得有可能接入受保护多媒体数据W及接入来自第S方服务 器的具有高安全性要求的应用数据,该高安全性要求无法通过使用单一软件找的软件架构 得到满足。
【发明内容】
[0009] 本发明旨在解决现有技术中的智能TV设备的该一安全性缺陷。为此,本发明提出 了一种多媒体内容处理设备,能够接收受内容保护系统保护的经加密多媒体内容,并且能 够将经解密形式的多媒体内容提供给用户设备,所述多媒体内容处理设备包括;用于实现 接入控制从而授权将所述经解密多媒体内容提供给所述用户设备的装置、用于执行具有第 一相关安全等级的安全服务的装置W及用于执行具有较所述第一安全等级低的相关安全 等级的服务的装置。根据本发明的设备包括:
[0010] 管理器,能够控制至少=个虚拟机组的执行,所述虚拟机组被W严格分开的方式 执行,所述虚拟机组包括:
[0011] 第一虚拟机组,专用于执行由至少一个用户安装的、安全等级低于所述第一安全 等级的第S方应用服务;
[0012] 第二虚拟机组,专用于执行受控于至少一个运营商的、安全等级低于所述第一安 全等级的服务;W及
[0013] 第=虚拟机组,能够实现具有第一安全等级的安全服务并且充当所述第一虚拟机 组和所述第二虚拟机组的服务的可信第=方。
[0014] 有利地,将虚拟机划分为受控于管理器的=个组,其中一个虚拟机组被设计为执 行所有具有第一安全等级的服务,该使得相比于具有单个软件找的软件架构,有可能提供 针对任何攻击的更好的安全性和鲁椿性。实际上,所建立的虚拟机组被严格分开执行,并且 在特定的紧凑管理器上执行,该明显限制了设计所带来的攻击的风险。
[0015] 此外,有利地,被设计为执行所有安全服务的虚拟机组充当可信第=方的角色。
[0016] 根据本发明的多媒体内容处理设备可包括W下特征中的一个或多个:
[0017] 所述第=组包括至少一个执行多媒体解密服务的虚拟机;
[0018] 所述多媒体内容处理设备还包括所实现的服务的数据存储装置;
[0019] 所述第=方应用服务为其提供受到至少一个应用提供商控制的应用,所述至少一 个应用提供商独立于所述至少一个运营商;
[0020] 一个所述运营商为经加密多媒体内容的分发服务器,并且所述设备的用户被授权 获得根据经加密多媒体内容获得的经解密多媒体内容,所述经加密多媒体内容在来自所述 第=组的虚拟机的控制下由所述运营商提供,所述第=组能够向用于所述多媒体内容的接 入控制服务提供解码服务;
[0021] 所述多媒体内容处理设备包括用于接入通信网络的装置,并且所述第=方应用服 务由用户经由所述通信网络进行下载;
[0022] 所述第=组包括进行可信第=方服务的虚拟机,该虚拟机能够通过安全信道与所 述第一组的虚拟机所实现的服务或者所述第二组的虚拟机所实现的服务进行通信;
[0023] 所述第=组的虚拟机具有由所述管理器分配的执行特权,该执行特权高于分别分 配给来自所述第一组和所述第二组的虚拟机的执行特权;
[0024] 所述第一组的每个虚拟机执行第=方应用服务或第=方应用服务集合。
[0025] 根据前述权利要求中任一项所述的多媒体内容处理设备;
[0026] 所述多媒体内容处理设备包括预定数量的物理处理器,并且所述管理器能够控制 所述物理处理器。
【附图说明】
[0027] 通过参考附图所做的W下描述,本发明的其他特征和优点将显现出来,描述仅供 参考并且是非限定性的,在附图中:
[002引图1示出了用于提供经加密多媒体内容的系统,其包括有根据本发明的多媒体内 容处理设备;
[0029] 图2示意性地示出了所提出的软件架构的实施例;W及
[0030] 图3示意性地示出了本发明一实施例中的管理器。
【具体实施方式】
[0031] 图1的用于提供经加密多媒体内容的系统1包括发射器2,例如由内容提供商或者 一个或更多运营商进行管理,该发射器2适用于将使用控制字进行加密的多媒体内容分发 给一组接收器。为了简单起见,在图1中仅示出一个该样的接收器4。
[0032] 在图1所示的实施例中,发射器2设置有发射天线。除了经加密多媒体内容之外, 发射器还发送包括有控制字的授权控制消息巧CM),该控制字适用于对经加密多媒体内容 和授权管理消息(EMM)进行解密。
[0033] 接收器4通常为根据本发明的多媒体内容处理设备,例如为智能TV设备。
[0034] 多媒体内容处理设备4包括;用于检索多媒体内容的装置6,通常为结合有音频检 索装置的显示屏;例如为遥控器的传统控制装置7,使得用户能够控制设备4所提供的各种 功能,该些功能一方面为与多媒体内容相关的功能(例如,播放、源改变、暂停、回放),另一 方面为与其他第=方应用服务的安装和使用有关的功能。设备4还包括设置有接收天线的 解码器8,能够接收经加密多媒体数据W在解密之后解码所接收的经加密多媒体数据,并且 随后将其提供给检索装置6,该检索装置6与控制装置7-起形成本示例实施例中的用户设 备。
[0035] 多媒体内容处理设备4还包括用于检查针对经加密内容的授权消息的装置10,W 已知的方式实现接收的ECM和EMM消息W及根据设备4的用户的订阅实现对接收的ECM 和EMM消息的处理。在一个实施例中,控制装置10实现条件接入系统,该条件接入系统 在下文中进行了描述;"条件接入系统的功能模型",EBU评论,欧洲广播技术联盟,布鲁塞 尔,比利时,N。266,1995年12月21日广F^mctionalModelofaConditionalAccess System",EBU民eview.TechnicalEuropeanBroadcastingUnio n,Brussels,BE,N° 266,De cember21,1995.)。
[0036] 设备4还包括:解密装置12,用于对所接收的多媒体内容进行解密;W及解码装置 14,用于经由授权控制消息ECM的控制消息所接收的经加密控制字。
[0037] 解密装置12W及解码装置14能够执行具有第一安全等级的安全服务,所述第一 安全等级是所考虑的最高安全等级。特别地,该意味着执行由该些装置实施的、很难通过任 何类型的攻击来窃用的安全服务是重要的。
[003引执行安全服务所需的各种参数被存储在相关的存储器16中。
[0039] 解码装置14和解密装置12被实施W根据接收的多媒体内容提供经解密多媒体内 容,该经解密多媒体内容随后被提供给能够实时对其进行解码的解码器8从而提供在检索 装置6上能够被检索的多媒体内容。
[0040] 多媒体处理设备4进一步包括用于连接至通信网络20的装置18,该通信网络20 例如为因特网。
[0041] 此外,也存在用于执行应用服务的装置22,该些应用服务具有较第一安全等级低 的相关安全等级,因而要求较低的安全性。
[0042] 例如,具有低于所述第一安全等级的安全等级的第=方应用服务通常为由第=方 服务器提供并且由多媒体内容处理设备4的用户进行下载及安装的软件应用。第=方服务 器24通常完全独立于向发射器2负责的提供商或运营商。
[0043] 例如,第S方应用服务可W是使得用户能够查看银行数据的银行应用。另一第S 方应用服务例如为与检索装置6和可用的控制装置7兼容的游戏应用。
[0044] 还存在用于存储与第=方应用服务相关的参数和数据的存储装置26。
[0045] 在一个替代实施例中,用于实现本发明的处理设备4被W机顶盒类型的连接外壳 的形式实现,其能够发送经解密多媒体内容到具有针对多媒体内容的检索装置的用户设 备,比如电视机。图2示出了软件架构,该软件架构使得有可能实现根据本发明的一个实施 例参考图1所描述的各种装置。
[0046] 在该实施例中,由多媒体内容处理设备4执行的一组服务在分别被标记为G1、G2 和G3的=个虚拟机组之间进行划分,该=个虚拟机组受控于图2中被标记为30的管理器 或虚拟机监视器(VirtualMachineMonitor,VMM)。
[0047] 管理器是一种已知的软件机制,其使得有可能在由一个或更多处理器构成的硬件 支持上创建任何数量的分离且独立的虚拟处理器W及对存储器(RAM、SRAM等)进行分区。 将参考图3对管理器进行更为详细的描述。
[0048] 管理器30经由向每个虚拟机W及每个虚拟机组分配执行权限的指令31、32、33来 控制各个虚拟机组G1、G2和G3。不同的虚拟机被严格独立地执行,即使它们属于同一组。
[0049] 第一虚拟机组G1实现针对第=方应用服务的执行装置22,该些第=方应用服务 来自受控于应用提供商的第=方服务器,该应用提供商独立于提供多媒体内容的运营商。 第=方服务器可通过通信网络20进行访问并且第=方应用服务有用户进行下载和安装。 [0化0] 第一组中的每个虚拟机执行与给定组的第=方应用服务(在图中分别被标记为 APPi、APP2和APPs)对应的软件找。在图2所示的示例中,在组G1中仅示出了一个虚拟机, 其软件找由多个第S方应用组成;与服务APPi相关的34,与服务APP2相关的35W及与服 务APPs相关的36。
[0化1] 可替换地,出于性能的原因,考虑到将相似的应用服务集合在由虚拟机执行的单 个软件找中,该些相似的服务具有非常接近和交织的功能。在该种情况下,第一组的虚拟机 执行第=方应用服务的集合。
[0化2] 此外,具有高执行权限的特定虚拟机组G1的虚拟处理器37的一个实施例专用于 实现操作系统OSi,例如由执行APPi,APP2,APPs所需的库组所完成的Linux程序集,通常被 称为执行时间。
[0化3] 第二虚拟机组G2专用于受控于运营商或运营商之一但却具有较第一安全等级低 的相关安全等级的应用或者应用服务38,该些运营商负责经加密多媒体数据发射器2。运 营商所提供的服务由操作系统0S2进行支持,该操作系统0S2由虚拟处理器的特权模式39 来实现。
[0054]操作系统OS,可不同于操作系统0S1,从而使得有可能使异构操作环境共存。
[0055] 可W考虑到运营商所提供的服务的安全等级不同于与用户安装的第S方应用服 务相关联的安全等级,但是其仍然低于用于管理安全性的组G3的安全等级W及管理器的 最大等级。
[0化6] 例如,运营商所提供的服务包括付费收看多媒体内容备选项(offer)、内容重播备 选项、内容推荐、免费内容等。
[0057] 在一个实施例中,服务由运营商提供或者当多媒体内容处理设备4被提供给用户 时将服务预先安装在该多媒体内容处理设备4中。也可W考虑对运营商所提供的服务进行 更新。在该种情况下,设置为由管理器30经由认证协议对运营商进行认证W使得运营商所 发射的应用服务由管理器30进行安装从而被第二虚拟机组G2的虚拟机所执行。
[005引所有由运营商提供并且要求等于所述第一安全等级的高安全等级的服务(被称 为安全服务),尤其是由接入控制10、解密装置12和解码装置14进行的服务各自由来自第 =虚拟机组G3的虚拟机或者由该组虚拟机之一的进程来执行。特别地,来自组G3的虚拟 机向接入控制服务提供解码服务,使得有可能验证用户对多媒体内容的接入权限。
[0化9] 虚拟机组G3或者安全组也执行具有第一安全等级的其他服务,例如安全显示、安 全存储、安全网络接入、密码和/或登录入口(Entry)等。
[0060] 来自该虚拟机组G3的虚拟机实现监视40或安全监视服务,该使得有可能验证由 其他虚拟机组所分别执行的服务的执行顺应性并且在必要时停止/重启有问题的虚拟机。 当来自组G1和G2的虚拟机之一的行为偏离或者表现为偏离该些组各自所声明的安全先决 条件时,如果组中的一个或所有虚拟机的行为偏离预定的框架(例如,反恶意软件或反病 毒软件),则安全监视系统40可W在组G1或G2之一的执行合同(executioncon化act)要 求的情况下,决定停止或重启组中的一个或所有虚拟机。
[0061] 虚拟机组G3也进行"可信第=方"服务41,从而确保对W下可用硬件资源的公平 分享;存储器16、26,网络连接18,执行时间和对当前物理资源的使用,尤其是GPU型的专用 处理器。
[0062] 来自其他虚拟器组的虚拟机将经由安全信道42、44被连接至可信第=方服务41, 从而使得该些虚拟机能够使用特定协议与可信第=方服务41通信。安全通信信道为其使 用不会直接危害使用它的虚拟机的操作的信道。即使使用安全信道的虚拟机之一受到攻击 而被损害,该信道的使用不会直接导致使用该信道的其他虚拟机的安全性的恶化。该样的 安全信道对本领域技术人员是已知的;该些安全信道主要建立在W严格限制的方式统计地 分配的资源(处理器、存储器、总线)上。当然,安全信道不会停止攻击和间接信道扣除,但 是他们将延缓威胁的蔓延并且提供时间W供安全组G3作出响应。
[0063] 因此,可信第=方服务41根据预建立的规范来保障每个虚拟机组的安全合同、来 自组G1和G2的某些数据的保护和完整性W及对攻击或缺陷的相对抗渗性。
[0064] 图3示意性地示出了对分别被标记为VM。和VM。的虚拟机进行控制的管理器30在 Intel⑩处理器架构下的实施方式。
[0065] 管理器30被开发为软件程序的形式,该软件程序承载在由给定个数(n个)的合 适物理处理器所提供的硬件介质上。被标记为50、52的此类处理器如图所示。该组物理处 理器组成了虚拟存储器管理单元(MMU)。
[0066] 管理器30在启动时运行并且控制所有硬件资源W用一组虚拟处理器或虚拟机的 操作来代替n个本地物理处理器的操作。
[0067] 传统上,处理器虚拟化包括修改物理处理器的操作系统的 源代码W使得特权指令 被由管理器提供的等价服务所代替。其他指令则由真正的处理器直接执行。作为图3所示 的iMel⑩架构的一部分,对源的该一修改是不必要的,因为具有VT-X技术的该架构的处理 器物理地模拟了具有所有兼容性的虚拟处理器的全部环境。
[0068] 该功能在控制和配置软件56的协作下由模块54来进行,该模块54监视物理处理 器。
[0069] 管理器30还包括针对存储器、存储器寻址空间和输入-输出的虚拟模块58。
[0070] 如图3中的步骤所示,管理器在物理处理器的最有特权的模式下运行,虚拟化操 作系统在比管理器的特权模式低的特权模式下运行,W及由虚拟操作系统所管理的应用和 服务(如果存在的话)在更低特权模式下运行,或者在与虚拟化操作系统相同的模式下运 行。
[0071] 在该种情况下,分别被标记为60和62的模块对所实现的虚拟机进行排序。
[0072] 管理器的多种实施方式使得有可能创建多个虚拟机,并且对存储器空间的分割的 管理在现有技术中是已知的。可参考文献W02006027488,其描述了管理器的有利实施例。
[0073] 文献W02006027488特别地描述了管理器对虚拟机的执行特权的管理。
[0074] 优选地,W及为了得到预期的安全结果,包括有允许执行管理器的指令的二进制 代码非常紧凑,例如大约为几十千字节(KB),从而统计地限制了错误或漏洞的数量。
[0075]优选地,W及同样处于安全的原因,管理器的执行是与原子有关的(atomic),因此 不会被破坏,对管理器的任何调用因此被限制到几百个二进制指令,从而不影响程序集的 流畅性。
[0076] 在每个虚拟机中,各个操作系统由管理器的控制模块来管理,操作系统对在非虚 拟模式下具有较低特权等级的应用的执行进行控制。
[0077] 例如,如在图3中所示,管理器对在操作系统0S中实现的虚拟机VM。的模块66进 行管理,操作系统具有比在该操作系统上被标记为68的模块中所实现的应用APPs的特权 等级高的特权等级。对于由虚拟机VM。执行的操作系统70也是如此,该操作系统70具有 比模块72的应用APPs的特权等级高的特权等级。
[007引根据一个特定实施例,管理器能够将特定的特权等级提供给虚拟机之一,从而使 得虚拟机之一能够具有相对于其他虚拟机更广泛的权力。
[0079] 该功能被有利地用于实现图2中被标记为G3的第S虚拟安全机组中的虚拟机,从 而特别允许实现安全监视服务40和可信第=方服务41,组G3因而能够裁决和控制由虚拟 机之一或其他虚拟机所进行的应用服务的实施。
[0080] 有利地,虚拟安全机组的安全服务是静止且预先安装的W增加相对于任何攻击的 安全性和鲁椿性。然而,该些安全服务可被重启。
[0081] 正如已经描述的那样,各个虚拟机之间的通信通过安全通信信道来进行。
[0082]W上已经在实施例中对本发明进行了描述,在该实施例中,多媒体内容受到基于 控制消息和授权管理消息的接入控制系统的保护。可替换地,多媒体内容受到数字权力管 理值RM)系统的保护,在DRM系统中,与多媒体内容相关联的权利通过许可证进行管理。
[0083] 有利地,除了特定于每个虚拟机的划分(partitioning)W及具有同一安全等级 的每个通信虚拟机组,被设计为执行安全服务的虚拟机组还执行有效划分;通过提供严格、 平衡和预防性的管理,软件库和外围设备在其他虚拟机组(运营商组、第=方应用组)之间 共享。可信第=方虚拟机组遵守运营商服务和第=方应用两者的安全需求。
【主权项】
1. 一种多媒体内容处理设备,其接收受内容保护系统保护的经加密多媒体内容,并且 将经解密形式的多媒体内容提供给用户设备,所述多媒体内容处理设备包括:用于实现接 入控制从而授权将所述经解密多媒体内容提供给所述用户设备的装置(10)、用于执行具有 第一相关安全等级的安全服务的装置(10、12、14)以及用于执行具有较所述第一安全等级 低的相关安全等级的服务的装置(22),其特征在于,所述多媒体内容处理设备包括: 管理器(30),其控制至少三个虚拟机组(G1、G2、G3)的执行,所述虚拟机组被以严格分 开的方式执行,所述虚拟机组包括: 第一虚拟机组(Gl),专用于执行由至少一个用户安装的、安全等级低于所述第一安全 等级的第三方应用服务; 第二虚拟机组(G2),专用于执行受控于至少一个运营商的、安全等级低于所述第一安 全等级的服务;以及 第三虚拟机组(G3),其实现具有第一安全等级的安全服务并且充当所述第一虚拟机组 和所述第二虚拟机组的服务的可信第三方。2. 根据权利要求1所述的多媒体内容处理设备,其特征在于,所述第三组包括至少一 个执行多媒体解密服务的虚拟机。3. 根据权利要求1或2中任一项所述的多媒体内容处理设备,其特征在于,所述多媒体 内容处理设备还包括与所实现的服务有关的数据存储装置。4. 根据权利要求1至3中任一项所述的多媒体内容处理设备,其特征在于,所述第三方 应用服务为其提供受到至少一个应用提供商控制的应用,所述至少一个应用提供商独立于 所述至少一个运营商。5. 根据权利要求1至4中任一项所述的多媒体内容处理设备,其特征在于,一个所述运 营商为经加密多媒体内容的分发服务器,并且所述设备的用户被授权获得根据经加密多媒 体内容获得的经解密多媒体内容,所述经加密多媒体内容在来自所述第三组的虚拟机的控 制下由所述运营商提供,所述第三组能够向用于所述多媒体内容的接入控制服务提供解码 服务。6. 根据权利要求1至5中任一项所述的多媒体内容处理设备,其特征在于,所述多媒体 内容处理设备包括用于接入通信网络的装置(18),并且所述第三方应用服务由用户经由所 述通信网络进行下载。7. 根据前述权利要求中任一项所述的多媒体内容处理设备,其特征在于,所述第三组 (G3)包括执行可信第三方服务(41)的虚拟机,该虚拟机能够通过安全信道(42、44)与所述 第一组的虚拟机所实现的服务或者所述第二组的虚拟机所实现的服务进行通信。8. 根据前述权利要求中任一项所述的多媒体内容处理设备,其特征在于,所述第三组 的虚拟机具有由所述管理器分配的执行特权,该执行特权高于分别分配给来自所述第一组 和所述第二组的虚拟机的执行特权。9. 根据前述权利要求中任一项所述的多媒体内容处理设备,其特征在于,所述第一组 (Gl)的每个虚拟机执行第三方应用服务或第三方应用服务集合。10. 根据前述权利要求中任一项所述的多媒体内容处理设备,其特征在于,所述多媒体 内容处理设备包括预定数量的物理处理器,并且所述管理器能够控制所述物理处理器。
【专利摘要】本发明涉及一种多媒体内容处理设备,其接收受内容保护系统保护的经加密多媒体内容,并且将经解密形式的多媒体内容提供给用户设备,所述多媒体内容处理设备包括:用于实现接入控制从而授权将所述经解密多媒体内容提供给所述用户设备的装置、用于执行具有第一相关安全等级的安全服务的装置以及用于执行具有较所述第一安全等级低的相关安全等级的服务的装置。根据本发明所述的设备包括:管理器(30),其控制至少三个虚拟机组(G1、G2、G3)的执行,所述虚拟机组被以严格分开的方式执行,所述虚拟机组包括:第一组和第二组,专用于执行安全等级低于所述第一安全等级的服务;以及第三虚拟机组(G3),其实现具有第一安全等级的安全服务并且充当所述第一虚拟机组和所述第二虚拟机组的服务的可信第三方。
【IPC分类】H04N21/4623, H04N21/81, G06F21/53, G06F9/455, H04N21/4627, H04N21/443
【公开号】CN104904228
【申请号】CN201380057893
【发明人】韦森特·桑切斯-莱顿
【申请人】维亚塞斯公司
【公开日】2015年9月9日
【申请日】2013年10月10日
【公告号】EP2915336A1, US20150304716, WO2014067760A1
最新回复(0)