CN103780959A - 不可信的应用程序及框架与安全操作系统环境的整合 - Google Patents
不可信的应用程序及框架与安全操作系统环境的整合 Download PDFInfo
- Publication number
- CN103780959A CN103780959A CN201310492010.7A CN201310492010A CN103780959A CN 103780959 A CN103780959 A CN 103780959A CN 201310492010 A CN201310492010 A CN 201310492010A CN 103780959 A CN103780959 A CN 103780959A
- Authority
- CN
- China
- Prior art keywords
- software
- application program
- operating system
- application
- believable
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/443—OS processes, e.g. booting an STB, implementing a Java virtual machine in an STB or power management in an STB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/45—Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
- H04N21/462—Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
- H04N21/4622—Retrieving content or additional data from different sources, e.g. from a broadcast channel and the Internet
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/443—OS processes, e.g. booting an STB, implementing a Java virtual machine in an STB or power management in an STB
- H04N21/4433—Implementing client middleware, e.g. Multimedia Home Platform [MHP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/443—OS processes, e.g. booting an STB, implementing a Java virtual machine in an STB or power management in an STB
- H04N21/4437—Implementing a Virtual Machine [VM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/45—Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
- H04N21/462—Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
- H04N21/4627—Rights management associated to the content
Abstract
本发明提供了一种不可信的应用程序及框架与安全操作系统环境的整合。在一个实施方式中,从服务提供商接收可信的或认证的应用程序,用于由装置的软件框架执行。例如,可信的应用程序的认证可能涉及认证该应用程序可以由装置以与行业标准认证过程一致的方式执行。例如,软件框架可以包括由底层Linux操作系统支持并且在Linux资源容器中隔离的Android框架。还可以设置安全访问客户端/服务器接口,以支软件框架和装置的可信部分之间的交互。在进一步的实施例中,由装置用于执行传统机顶盒操作的可信的应用程序和机顶盒应用程序在Android或类似框架的至少一个版本中实施。
Description
相关专利申请的交叉参考
本专利申请要求以下申请的优先权,其全部内容全面地结合于此作为参考并构成本专利申请的一部分:美国临时专利申请第61/715,785号,第61/725,964号,61/725,790号,以及美国专利申请第13/716,856号。
技术领域
本发明总体上涉及媒体传递系统,并且更具体地,涉及在诸如机顶盒的安全操作系统环境中使用认证的应用程序和修改的软件框架。
背景技术
将相对不可信的软件应用程序或框架配置在特定类型装置中的尝试会使依照一个或多个行业定义的认证标准或测试程序执行的可适用的认证过程变得复杂。例如,通过严格的认证过程进行由有线运营商使用的许多机顶盒的厂商认证,该认证过程测试实现诸如
PacketCableTM、CableHomeTM、和OpenCableTM规范的装置的互操作性和和安全合规性。这种装置的成功认证通常需要完整的端到端安全性。类似地,在特定装置或组件(诸如片上系统)中实现的数字版权管理(DRM)和其他技术可能要求不同的认证过程,该认证过程不允许与非安全操作系统(OS)环境或软件框架的某些交互。
一般地,如果机顶盒或类似装置中的媒体路径的非安全部分不是分离的,将会导致这种路径的认证失败。大部分传统机顶盒被设计为在装置的各种元件中提供单个的安全及认证路径。在一些近期的多处理器机顶盒中,通过在传统认证的路径和不可信的组件之间创建硬件界限,将二者隔开。特别地,使用第一处理模块来提供安全功能(例如,解码操作),同时使用具有较低安全级别的单独处理模块来支持不可信的框架。
众所周知,软件框架可以提供应用程序编程接口功能和服务(这些未由底层操作系统提供),从而可以在具体实施方式中提供一定级别的平台独立性。框架通常被设计成可重复使用并且是适用性的软件系统或子系统。例如,对于移动装置,安卓(Android)已经成为增长最快的操作系统/框架之一。建立在开源Linux社区的贡献之上的Android为构建可以在许多不同类型的装置(诸如智能电话或平板装置)中部署的应用程序提供了开发工具和可重复使用的组件。
典型的Android框架是“多用户”的基于Linux的系统,其中,每个Android应用程序都是具有通常与其他应用程序分离运行的代码的不同“用户”。这种进程分离(或应用程序“砂箱”)提供了一定的安全等级。然而,当集成在机顶盒类型装置中时,应用程序所使用的各种组件、进程、线程等可能没有带来足够的保护,导致当在这种装置中使用Android时,其被认为是“不可信”框架。例如,访问任意网页或从未验证的第三方接收代码的应用程序会导致可能以提高的权限在机顶盒上执行的不可信的JavaScript代码。这种代码可能会利用其他代码(例如,浏览器代码)的弱点,并且接收对文件系统等的未经授权的访问,从而损害装置的安全性、暴露受保护的数据或引入系统不稳定性。
如上所述,一些装置的处理单元可能具有多个处理器或处理核,以提供更高的性能和/或多任务能力。在这些多处理器系统的一些中,当运行多个应用或程序时,通常需要访问控制,以分离在多个处理器上运行的应用程序的功能。对于在不同处理器上运行的不同应用程序和/或任务的分离或隔离有助于确保一个应用程序不会干扰另一应用程序的执行。类似地,分配给一个处理器的数据不应当被其他处理器访问,除非该数据在这两个处理器之间共享。通常通过使用虚拟内存来处理这种分离,每个进程都有从外部进程不可访问的唯一内存视图。通过内核或装置驱动器接口,可以处理硬件访问,这提供了一定程度的安全性。然而,即使在其中一个处理器环境提供可信或安全的操作而另一处理器在非安全或受限环境中运行的多处理器系统中,当操作系统正管理该分离时,也存在着从非安全区侵入到安全区的极大可能性。
例如,在允许用户接收电视信号并且还允许用户访问互联网的机顶盒中,安全环境可以运行涉及由有线或卫星提供商或其他服务运营商提供的特定频道或内容的接收、解密、以及显示的应用程序(包括安全机顶盒应用程序)。机顶盒中的非安全环境可能执行应用程序(诸如基于Android的应用程序),其允许用户访问互联网进行页面浏览、游戏等。在该实例中,内容提供商通常不希望用户或其他任何人访问涉及广播或付费频道的应用程序。然而,如果在控制对这两个环境的访问的软件中有共同性,诸如运行相同的操作系统来管理在两个环境中的访问,则访问违规的风险可能加剧。这种违规,无论是有意的或无意的,都会导致非安全地触犯机顶盒中的安全应用程序,诸如到受保护电视频道的源自网络的侵入。
因此,需要获得一种有效的方法将不可信的框架、框架组件、和应用程序与安全操作系统环境(诸如机顶盒装置的安全操作系统环境)整合。
发明内容
根据本发明的一个方面,提供了一种可操作为机顶盒的设备,所述设备具有底层硬件资源,所述设备包括:机顶盒应用程序,使用所述底层硬件资源执行可信的媒体处理操作;软件框架;安全访问接口,被配置为支持所述机顶盒应用程序与所述软件框架之间的通信;以及至少一个可信的软件应用程序,所述应用程序可在所述软件框架上执行。
优选地,所述安全访问接口执行从由以下各项组成的组中选择的至少一个操作:处理和指针验证、非指针参数验证、堆分离、以及与未使用的资源相关的资源释放。
优选地,所述设备进一步包括安全操作系统环境,所述安全访问接口被配置为支持所述软件框架与所述安全操作系统环境之间的通信。
优选地,其中,所述安全操作系统环境包括基于Linux的操作系统内核。
优选地,其中,所述安全访问接口包括安全访问服务器和安全访问客户端,所述安全访问客户端并入所述软件框架中。
优选地,其中,所述安全访问服务器与所述安全访问客户端之间的通信至少部分地通过进程间通信调用发生。
优选地,其中,所述不可信的软件框架包括至少一个版本的Android框架。
优选地,其中,所述媒体处理装置是机顶盒装置,并且其中,所述至少一个可信的软件应用程序由服务运营商提供。
优选地,依照行业标准认证过程对所述设备认证,所述至少一个可信的软件应用程序被认证为可由所述设备按照与所述行业标准认证过程一致的方式执行。
根据本发明的另一方面,提供了一种在包括软件框架的媒体处理装置中使用的方法,所述方法包括:接收用于所述媒体处理装置的可信的应用程序软件;使所述可信的应用程序软件与所述软件框架相关,所述软件框架支持所述可信的应用程序软件的执行;以及建立受限的操作系统环境用于执行所述软件框架。
优选地,其中,所述媒体处理装置是机顶盒装置,并且其中,所述可信的应用程序软件由服务运营商提供。
优选地,所述机顶盒按照行业标准认证过程认证,所述可信的应用程序软件被认证为可由所述软件框架按照与所述行业标准认证过程一致的方式执行。
优选地,所述媒体处理装置进一步包括机顶盒应用程序,所述方法进一步包括:设置安全访问接口,以调节所述机顶盒应用程序与所述软件框架的部件之间的交互。
优选地,所述媒体处理装置包括多个软件框架,其中,使所述可信的应用程序软件与所述软件框架相关联包括:选择所述多个软件框架中的兼容的软件框架,以支持所述可信的应用程序软件的执行。
优选地,其中,所述受限的操作系统环境包括虚拟机容器。
优选地,其中,所述软件框架和可信的应用程序软件基于至少一个版本的Android框架。
根据本发明的又一方面,提供了一种具有用于执行媒体传递操作的硬件资源的媒体处理装置,包括:处理电路;可信的软件应用程序;用于执行所述可信的软件应用程序的软件框架;以及由所述处理电路执行的操作系统,所述操作系统被配置为建立或支持特权操作系统环境和受限的操作系统环境,所述软件框架在所述受限的操作系统环境中执行。
优选地,所述媒体处理装置,进一步包括:机顶盒应用程序,用于执行安全媒体处理操作,所述机顶盒应用程序在所述特权操作系统环境中执行。
优选地,依照至少一个版本的Android框架实现所述可信的软件应用程序和所述机顶盒应用程序。
优选地,依照行业标准认证过程认证,其中,所述可信的软件应用程序由服务运营商提供。
附图说明
图1示出了根据本公开实施方式的不可信框架和安全操作系统内核的整合。
图2示出了根据本公开各实施方式的作为机顶盒应用程序的客户端的不可信框架的整合。
图3示出了根据本公开各实施方式的机顶盒应用程序和使用虚拟容器的不可信框架的并发操作。
图4示出了根据本公开实施方式的将框架分成可信部分和不可信部分。
图5示出了根据本公开各实施方式的使用认证的应用程序的机顶盒架构。
图6示出了根据本公开实施方式的单处理器环境中的可信和不可信软件的整合。
图7示出了根据本公开实施方式的多处理器环境中的可信和不可信软件的整合。
图8是根据本公开各实施方式的支持操作系统环境的硬件隔离的多处理器系统的框图。
图9是根据本公开实施方式的机顶盒(STB)/网关(GW)的示意性框图。
图10是根据本公开实施方式的用于支持特权操作系统环境(privileged operating system environment)与软件应用程序之间的交互的方法的逻辑图。
具体实施方式
虽然结合Android框架和/或Linux操作系统描述具体实施方式,但是本发明的其他实施方式可以用各种现有或将来的操作系统/内核和框架来实施,并且采用可以使用多个处理器、处理核、和/或处理电路的各种计算电路、装置、服务器、和/或系统。此外,文中的特定实例在所描述的实施方式中针对提供处理功能的装置描述了处理模块、处理器、或CPU(例如,CPU1、CPU2)。然而,可以理解,在其他实施方式中,可以使用各种其他装置和/或命名规则,以提供实践本发明时的处理功能。本发明可以容易地适用于需要两个以上区之间的分离和/或隔离的存在着多个处理环境(区、域等)的其他用途。类似地,虽然具体实施方式被描述为通过机顶盒(STB)或执行可信媒体处理操作的类似媒体处理装置来实现,但是该新颖的架构和方法可以全部或部分地适用于其他装置,包括诸如PVR、DVD播放器、接入点、电视、计算装置、智能电话等的媒体消费装置。
图1示出了根据本公开实施方式的安全装置(诸如认证的机顶盒装置)104中的不可信框架100(诸如Android框架)和安全操作系统(OS)内核102的整合。一般地,OS内核102可以看作是操作系统的中心(或环0),在系统硬件与该操作系统其余部分及安装的应用程序之间提供接口。
如以下更全面地描述的,设置了安全软件抽象层110,以分离对装置的底层软件、硬件、和安全组件的访问。经由支持应用程序编程接口(API)以及安全进程间通信(IPC)调用或内核驱动器的安全访问客户端106和安全访问服务器108组成的安全访问层或接口,可以进行不可信框架100与安全OS内核102之间的通信和数据交换。在具体实施方式中,安全访问客户端106可以是框架100的一部分或者可由框架100访问,而安全访问服务器108并入安全操作系统环境中或者被执行作为安全内核模块。在一个实施方式中,(非限定性地)通过用硬件(当适用时)执行参数验证/检查和周边范围检查、处理和指针验证、堆分离、并在受限进程终止后释放硬件资源,安全访问接口可以帮助防止由坏数据或参数导致的系统漏洞或不稳定。
图2示出了根据本公开各实施例的作为机顶盒应用程序(“STB应用程序”)204的客户端的不可信框架202的整合。如图所示,设置了STB应用程序204,以执行机顶盒200的基本操作,并且与诸如Android框架202的不可信“客户端”框架接口。在该实施例中,在诸如对称多处理(SMP)Linux内核环境206的安全或特权Linux内核环境中执行STB应用程序204,该SM Linux内核环境206包括安全访问内核驱动器208和包括用于STB应用程序204的完整访问接口210的访问服务器216,以及经由访问客户端218用于Android框架202的更受限访客访问接口212。STB应用程序204包括访问客户端214功能,其支持与完整访问接口210的通信并且使得Android框架202使用例如基于容器的虚拟化能够作为安全Linux内核环境206的不可信客户端运行。正如可以理解的,客户端/服务器架构允许不可信进程崩溃或终止,而不会损害底层硬件以及引起系统不稳定。
除了访问客户端218,所示出的实施方式的Android框架202还可以包括可信/认证的和/或不可信的应用程序和应用程序支持220、JavaScript解释、浏览器功能222、插件(例如,Adobe Flash插件)、以及Dalvik虚拟机。如结合图5更详细地描述的,在一些实施方式中,认证的应用程序可以从服务运营商、内容提供商、基于云的源等下载或者由其提供。Android框架202进一步包括平台或操作系统访问功能224,其通过最小访客Linux服务访问接口226使能对安全Linux内核环境206的必要部件的有限访问。
如已经提到的,Android为开发移动应用程序提供了基于组件的框架。每个应用程序都可以由不同数量和类型的组件组成。例如,这种组件可以包括形成用户界面的基础的“Activity(活动)”组件,其中,呈现给用户的每个画面都是不同活动。后台处理由“Service(服务)”组件执行,其还定义了用于与其他应用程序通信的任意接口。“Content Provider(内容提供商)”组件用于共享关系型数据库形式的信息,而“Broadcast Receiver(广播接收器)”组件作为用于来自系统和/或其他组件的消息的异步信箱运行。所公开的实施方式的Android框架202支持应用程序之间的不同程度的合作和依赖。
然而,应用程序用于向其他应用程序或底层操作系统提供服务和交互的接口必须是安全的,以防范违规和一般的非法行为。默认情况下,典型Android框架中的应用程序没有执行可能会负面地影响其他系统组件的操作(诸如读取或写入私有数据或其他应用程序的文件、执行网络访问等)的权限。由于Android基本上彼此“沙盒处理”应用程序,因此,应用程序必须通过声明基本沙盒处理以外的额外能力所需的授权,明确地共享资源和数据。例如,应用程序可以静态地声明其所需要的授权,并且在安装时,Android框架可以提示用户适当的同意。如上面在背景技术的描述中提到的,没有了刚性硬件分离和独立的执行环境,执行来自不可信的框架的未经授权的代码的潜在性可能会损害整个系统安全,并且负面地影响没有诸如文中描述的那些的方法和架构(例如,安全访问服务器)的特定装置的认证程序。
在所示出的实施例中,在第一虚拟机(VM)访客Linux容器230(诸如“LXC”或Linux资源容器)中执行不可信Android框架202,以提供与安全进程和资源的进一步分离。在该实施方式中,STB应用程序可以在具有完整主机Linux服务访问228的第二VM主机Linux容器232中类似地运行。简而言之,一般地,基于容器的虚拟化(或者操作系统级虚拟化)允许内核利用其顶部安装的多个分离的虚拟机或者虚拟环境来运行。每个虚拟环境可以专用于运行具体应用程序,并且通常不是完整的操作系统实例,而是与主机操作系统内核中以虚拟化层(或硬件资源抽象层)进行工作的操作系统的部分实例。
虽然虚拟化可以缓和对于不可信组件的硬件分离的需要,但是在特定实施方式中,具有不同安全级别的多个处理器可以从完全经由这种处理器中的一个运行的虚拟容积结构受益,而其他容器可以跨多个处理器(例如,参见图7中示出的实施方式)。在一个这种实施方式中,第一处理器可以专用于执行非安全功能,而第二安全处理器可以专用于常规STB功能。在各可替换实施方式中,不可信框架可以是例如经由与处理器和/或外设等分离的非处理器硬件/外设、内存被沙盒处理的硬件。设想了安全与不可信软件和硬件之间的各种其他划分(例如,将不可信框架或应用程序本身分成“可信”部分和“不可信”部分),以下描述了其实例。此外,通过使用硬件和操作系统虚拟化特征,多个操作系统可以同时在同一硬件上运行。
图3分别示出了根据本公开各实施方式的机顶盒应用程序302和使用虚拟容器306和308的不可信客户端应用程序/框架304的并发操作。在所示出的实施方式中,通过应用程序IPC调用和访问最小“访客”Linux服务访问316的访问最小客户端312,不可信客户端应用程序和框架与底层机顶盒平台(包括机顶盒应用程序302、认证的(运营商提供的)应用程序326、以及安全Linux内核环境310)的安全部分交互。类似地,可信用户模式(或者“特权”)操作系统环境中的应用程序经由访问客户端314接收对“主机”Linux服务访问318的完全访问。可信的用户模式环境可以由完整主机根文件系统320支持,而单独部分或盘上的最小访客根文件系统322可以支持不可信用户模式(或“受限”)操作系统环境。
在一些实施方式中,机顶盒平台的特定资源,诸如媒体处理和硬件加速资源(用语音频/视频编码和解码、使用标准API(诸如开放图形库或“OpenGL”)的2D和3D图形渲染、DRM、加密/解密等)和网络接口,可以由不可信客户端应用程序/框架304通过网络套接字通信的IPC调用来访问。类似地,诸如IR控制信号的事件可以通过IPC调用(诸如至Android API或按钮的调用)从机顶盒平台通信到不可信客户端应用程序/框架504。
在所示出的实施例中,可以采用框架“聚合器”324,以囊括并扩展与各种各样的框架的操作。这样,例如,服务提供商可以向第三方框架和其他“中间件”产品提供对系统资源的安全访问。例如,这种产品可以包括但不限于Adobe Air、Adobe Flash、Apple iOS、Microsoft Silverlight、Javaapplets、以及类似的并行(side-by-side)技术。该框架聚合器324可以包括一组定制的操作系统库和HTML功能,以支持这种技术以及用户接口Web引擎访问等。
在具体实施例中,框架聚合器324支持的用户接口可以使得用户能够发起Android框架支持的应用程序。例如,Android框架324可以提供一系列“按钮”,包括提供可用Android应用程序的可视显示的Android按钮。此外,Android框架和框架聚合器324可以共享图形画面。这样,可能没有必要将端口功能加入到Android框架中,而这否则可能会是必要的。值得注意的是,在给定装置中,可以使用与框架聚合器324支持的其他框架所使用的不同的工具链来建立Android框架。
图4示出了根据本公开可替换实施方式的将框架分成可信部分400和不可信部分402。在该实施方式中,分别在一个或多个分离的虚拟机容器404和408中执行(Android)框架400、web浏览器等的可信部分400、以及相应的不可信部分402。可信部分400可以包括安全平台和操作系统访问接口410。除了可信部分400,机顶盒应用程序406、以及可信或认证的应用程序430,也可以在虚拟机容器404中运行。
使用涉及web浏览器的实例,浏览器中潜在地执行非安全Flash或JavaScript代码的那部分(诸如,渲染引擎)可以在具有受限文件系统和外设访问的“不可信”虚拟机容器408中执行,而浏览器中能够访问底层平台硬件和敏感操作系统资源的那部分可以在一个或多个“可信”虚拟机容器404中执行。在进一步的实施方式中,可信部分400可以包括框架的安全克隆、或者支持安全应用程序和/或应用程序的安全部分的框架的修改版本。在这种实施方式中,其非安全应用程序或部分可以由驻留在不可信或受限用户域或容器中的框架部分执行。如上所述,可以采用硬件沙盒处理的各种方法,以进一步分离框架的不可信部分以及支持受限操作系统环境。
该实施方式的安全Linux内核环境412包括安全访问内核驱动器414和访问服务器420,访问服务器提供支持可信用户模式功能的完整访问接口416和支持不可信用户模式功能的访客访问接口418。分别为可信和不可信的用户模式环境提供了完整主机Linux服务访问422和最小访客Linux服务访问424。如上所述,可信的用户模式环境可以由完整主机根文件系统426支持,而单独部分或盘上的最小访客根文件系统428支持不可信的用户模式环境。
图5示出了根据本公开的使用认证的应用程序502的机顶盒或其他安全架构500。在所示出的实施方式中,在该认证的应用程序502可以从由服务运营商或基于云的源提供的认证的应用程序目录预安装或下载。例如,这种应用程序可以包括媒体流应用程序(例如,Netflix)、游戏应用程序、web浏览应用程序、基于iSO的应用程序、Android应用程序等。在一些实施方式中,可能有必要并入或下载额外的操作系统,以支持对应类别的认证的应用程序。可替换地,可以使得给定应用程序的不同认证版本可用,以支持各种安装的操作系统和/或框架510。可以在一个或多个虚拟机容器508中执行认证的应用程序502。图5中示出的其他元件的功能如上所述。
在一示例性实施方式中,将主机顶盒应用程序504构造成在虚拟机506中执行的Android应用程序。根据相关Android框架的能力,可能要求非标准API或库来支持特定机顶盒功能,诸如PVR、画中画、转码、和频道调整操作。此外,该方法可能要求特殊的接口连接(例如,将串传递到接口,以创建编码路径作为硬件调用的一部分)或者提供非标准功能(甚至应用程序),以处理在相关框架中缺乏或者认证所需的服务和功能。例如,通过提供“隐藏”在Android端口层下面并接收和解释通过这种层传递的唯一资源标示符(URI)的服务,Android框架可以扩展为包括非标准功能,而不会负面地影响兼容性。
在其他实施方式中,所下载(或者预安装)的每个应用程序都包括完整的安全性定义,而不是通过资源来管理或者通过内容本身(或相关元数据)来定义端到端安全性定义。例如,每个应用程序都可以有其自身的可下载有条件的访问安全(dCAS)或可下载的DRM元件/定义。例如,对应的认证过程可能涉及认证总体安全路径的一部分,其中,一个或多个应用程序提供认证的最终部分。可替换地,可以提供预定义的多个有条件的访问机制,(下载的)应用程序定义将使用哪种机制。然后,可以认证安全“界限”,而不考虑具体公司或媒体的有条件的访问需求。
在各实施方式中,机顶盒或类似装置可以与媒体消费网络中的其他装置(例如,PVR、DVD播放器、接入点、电视、计算装置、智能电话等)交换能力,以比较应用程序的需求。一旦完成此操作,如果有的话,应用程序可以选择其将会允许操作的哪些一个或多个模式。如果机顶盒不能支持这种模式(由于资源竞争或其他所致),则这种模式变得不可用。如果可用,则可以选择一组操作模式并且在媒体流传递期间将其动态地切换到运作中的其他这种模式,这可能需要与应用程序或源协调,以支持该过渡(可能要求媒体流中的质量变化)。
图6示出了根据本公开实施方式的单个处理器(CPU1)环境中的可信与不可信软件的整合。在该实施方式中,SMP Linux内核600用于控制硬件,并且基于性能和/或安全分离需求,将访客虚拟机602(支持Linux的“访客”实例并且运行认证和/或不可信的应用程序)和主机虚拟机604(运行可信的应用程序核心服务)锁定到一个或多个单独的CPU线程。
例如,当要求最大性能时,SMP Linux内核600可以执行针对跨多个CPU线程或核的两个虚拟机中的进程的负载均衡。此外,如果行为不当或受损,则具有访客虚拟机602控制的主机虚拟机604可以终止并重启访客虚拟机602(或者整个虚拟机)中的进程。通过访客虚拟机,可以对CPU使用设置硬限制,以防止核心底层装置功能的中断,并且便于终止失控的进程。在操作中,单独的线程可以具有到I/D缓存606和L2缓存608的分离和/或受限访问。
图7示出了根据本公开实施方式的多处理器系统中的可信与不可信软件的整合。所示出的系统可以在装置、模块、板等中实施。该系统的一个或多个组件还可以在集成电路芯片或多个集成电路芯片上实现。图7的具体实施方式示出了分别标识为CPU1和CPU2的两个处理模块。虽然示出了两个处理模块,但是其他实施方式可以具有多于两个的处理模块或处理器,并且应当指出的是,CPU1和CPU2可以由各种处理装置、电路等组成。在一个实施方式中,CPU1和CPU2可以由单个CPU或一些其他处理电路的不同处理核组成。
更具体地参考附图,SMP Linux内核700用于控制硬件,并且基于性能和/或安全分离需求,将Linux的访客虚拟机702实例(运行认证和/或不可信的应用程序)和主机虚拟机704(运行可信的应用程序核心服务)锁定到一个或多个单独的线程1-4。例如,不可信的应用程序可以在跨CPU1和CPU2的虚拟机容器中执行。如以下更全面地描述的,可以将I/D缓存706和708以及L2缓存710的各个部分限制到特定线程或CPU,或者与适当的保障措施共享。
图8是根据本公开各实施方式的支持操作系统环境的硬件分离的另一多处理器系统的框图。例如,第一处理器CPU1可以专用于常规STB功能并且支持安全访问服务器800,而第二处理器(web)CPU2可以专用于执行非安全功能和不可信的应用程序(例如,Android框架客户端802或web浏览器)。CPU1支持的可信执行环境可以限制对特定核心STB功能(包括硬件加速块804、DRM功能806等)的访问。
在一个实施方式中,当在“沙盒处理”模式中时,CPU1和CPU2都被分离成单独且不同的区。在另一实施方式中,可信CPU1被设置为具有其自身的分离的内存区域并且还对CPU2的内存映射部分的一些或所有地址范围有访问权限。一般地,当在分离或隔离的区、环境、或域中运行时,两个CPU对不同的应用程序进行操作,使得CPU1执行一组指令,而CPU2执行一组不同的指令。这种性质的分离或隔离通常称为沙盒处理或沙盒模式。大多数沙盒处理的目的在于防止一个区访问其他区中的功能,或者具有一个区到另一个区的受控访问。在一些情况下,两个区都可以对于访问其他区受到限制或者在区之间仅具有受控访问。在一些应用程序中,一个区可以看作是安全、特权、或可信区,而另一个看作是受限、非安全、或不可信区,其中,在非安全区上运行的应用程序的访问被禁止或控制访问在安全区中运行的特定应用程序。
如上面指出的,多个装置使用多个处理器或处理核来运行单独的程序、应用程序等。在一个区不能访问第二个区的情况下,确保这种分离的一种方法是通过检查对系统内存的访问。即,通过确保分配到CPU1的访问不被CPU2访问(除非访问位置是共享位置),可以防止CPU2上运行的应用程序突破该功能分离。实现该保护的一种方法是提供访问检查和访问控制,以确保正确的处理模块访问用于该处理模块的允许位置。在所示出的实施方式中,CPU1和CPU2可以通过网络套接字、IPC调用等直接通信。
图9是根据本公开实施方式的机顶盒(STB)/网关(GW)901的示意性框图。STB/网关901提供了多个功能,包括来自外部源的信号到网络装置可以使用的内容的转换。STB/网关901可以进一步操作为网关,其支持网络装置之间的单向或双向通信和桥接。
所示出的实施方式的STB/网关901经由一个或多个有线和无线网络/链接与住宅网络基础设施905和外部媒体系统907交互。有线和无线网络/链接可以使用各种传输介质中的一个或多个(诸如同轴电缆、屏蔽双绞线电缆、光纤电缆、电力线配线、和无线介质(射频、微波、卫星、红外等)),并且依照各种通信和网络协议(TCP/IP、UPnP、IPv6等)运行。另外,有线和无线网络/链路可以包括使用生成树协议、直接无线连接、对等链接等的多跳网络。
外部媒体系统907例如可以包括电缆、卫星、和/或地面电视系统中的一个或多个。这些系统可以使用各种前端设备和服务,诸如接收电视信号用于进一步处理和发布的有线前端,并且可以提供诸如互联网连接和VoIP服务的各种其他服务。
所示出的实施方式的STB/网关901包括广播/单播/多播前端913,该前端进行操作以从外部媒体系统907或住宅网络基础设置905接收未经压缩或压缩的数字视频、数字音频、或其他数据信号,用于进一步处理和发布。前端193包括可操作地分离特定信道的调谐器电路919a。来自调谐器电路919a的信号然后被提供到模拟数字(ADC)电路920a和解调电路921a用于转换成二进制格式/流。一旦处于二进制格式,前向误差校正(FEC)电路922a检查所接收的二进制流的完整性。可以将从二进制流提取的音频、视频、和数据然后被解码(例如,通过解码925)为适于下游装置使用的格式。值得注意的是,解调电路921a可以支持一个或多个调制技术,诸如正交相移键控(QPSK)、正交幅度调制(QAM)、编码正交频分复用(COFDM)等。
前端913可以集成到一个或多个半导体装置中,该半导体装置例如可以进一步支持交互式数字电视、网络DVR功能、通过DOCSIS应用程序的IP视频、以及3D图形支持。另外,可以设置多个调谐器电路919a(包括带内和带外调谐器)、ADC电路920a、和解调电路921a,用于不同的调制机制和电视标准(诸如PAL、NTSC、ATSC、SECAM、DVB-C、DVB-T(2)、DVB-H、ISDB、T-DMB、Open Cable)。
在本公开的一个可替换实施方式中,STB/网关901的功能由智能电话或移动计算装置执行。在该实施方式中,“前端”913包括诸如蜂窝(3G、4G、IMT-Advanced等)的一个或多个无线接口(包括PHY和基带功能)或广域网络(HetNet、Wi-Fi、WiMax等)接口。接口可以支持一个或多个调制和复用技术,诸如OFDM、OFDMA、SC-FDMA、QPSK、QAM、64QAM、CSMA、MIMO等。在所示出的实施方式中,无线接口包括收发器919b、模拟数字(ADC)和数字模拟(DAC)电路920b、解调和调制电路921b和FEC(诸如turbo码和LDPC码)电路922b。可以通过处理电路和存储器911提供编码、解码、和译码925功能。
STB/网关901还包括用于与住宅网络基础设施905和/或外部媒体系统907通信的(广域网络)接口电路915。通过通信接口电路915,STB/网关901可以直接与上游资源通信,或者在耦接至STB/网关901的这种资源和装置(例如,装置941-949)之间提供(双向)桥接通信。
在图9的实施方式中,STB/网关901经由通信接口电路917与各种装置941-949交互。例如,电视或显示接口模块931与(数字)电视941或其他媒体显示装置通信,以中继电视节目并使能可用交互媒体服务。在具体实施方式中,电视或显示接口模块931可以包括远程用户接口(RUI)服务器。类似地,视频接口933提供对音频系统943的音频编程或音频库访问。
通信接口电路917进一步包括用于接收来自远程控制945的控制信号的远程控制接口935。除了传统远程控制操作,远程控制945可以进一步提供被中继或映射到相关消费类装置的语音和/或姿势控制信号。还提供了用户接口937,用于与一个或多个用户接口装置947的通信。游戏接口939用于提供与游戏系统949的交互通信。例如,这种通信可以涉及社交网络的会员和/或游戏平台中的外部选手之间的在线、多选手对弈。提供了电力管理接口940功能,以实现装置941-949之间的省电操作。
所示出的实施方式的STB/网关901包括处理电路、操作系统和存储器911(其组件可以由硬件、软件、或者其组合组成)、服务支持923、以及解码/编码/转码功能925,以支持诸如上述的那些网络交互。该实施方式中的服务支持923包括诸如电力管理927、桥接928、和媒体服务器-接收器服务929的各种功能。还可以包括STB/网关的其他常规特征。例如,处理电路911可以包括片上系统或提供核心处理器的类似装置、音频/视频解码器、媒体处理器/DSP、图形核心、加密/解密核心、自适应转码等。
图10是根据本发明实施方式的用于支持特权操作系统环境(诸如在认证媒体处理装置或机顶盒中使用的)以及软件应用程序之间的交互的方法1000的逻辑图。在所示出的实施例的步骤1002中,在装置中下载或安装认证的或其他可信的软件应用程序。然后,在步骤1004中(或者与步骤1002结合),对应的可信或不可信的软件框架与可信的/认证的软件应用程序相关。在步骤1006中,在建立的受限操作系统环境中最终执行软件框架和可信的/认证的软件应用程序的执行。在所示顺序的步骤中(其可以以可选顺序执行),在步骤1008中,设置诸如上述的那些的安全访问接口或层,以调节媒体处理系统和受限操作系统环境的安全部件之间的交互。
如文中可能使用的,术语“基本上”和“大致”为其对应术语和/或数据之间的相关性提供了业内可接受的公差。这种业内可接受的公差的范围从小于百分之一到百分之五十,并且对应于但不限于元件值、集成电路处理波动、温度波动、上升和下降时间、和/或热噪声。项目之间的这种相关性的范围从百分之几的差到幅度差。如文中还可能使用的,术语“可操作地耦接至”、“耦接至”、和/或“耦接”包括项目之间的直接耦接和/或项目之间经由干预项目(例如,该项目包括但不限于组件、元件、电路、和/或模块)的间接耦接,其中,对于间接耦接,干预项目不改变信号的信息,但是可以调节其电流水平、电压水平、和/或功率水平。如文中可能进一步使用的,推断的耦接(即,其中一个元件通过推断耦接至另一元件)包括两个项目之间与“耦接至”方式相同的直接或间接耦接。如文中可能会更进一步使用的,术语“可操作为”或者“可操作地耦接至”指示当包括一个或多个功率连接、输入、输出等的项目被激活时,执行其对应功能中的一个或多个,并且可以进一步包括到一个或多个其他项目的推断耦接。如文中可能进一步使用的,术语“与…相关”包括单独项目和/或嵌入在另一项目中的一个项目的直接和/或间接耦接。如文中可能使用的,术语“有利地比较”指示提供所需关系的两个以上项目、信号等之间的比较。例如,当所需的关系是信号1具有比信号2大的幅度时,当信号1的幅度大于信号2的幅度时或者当信号2的幅度小于信号1的幅度时,可以实现有利的比较。
如文中还可以使用的,术语“处理模块”、“模块”、“处理电路”、和/或“处理单元”可以是单个处理装置或多个处理装置。这种处理装置可以是微处理器、微控制器、数字信号处理器、微计算机、中央处理单元、场可编程门阵列、可编程逻辑器件、状态机、逻辑电路、模拟电路、数字电路、和/或基于电路的硬编码和/或操作指令操控信号(模拟和/或数字)的任何装置。处理模块、模块、处理电路、和/或处理单元可以具有相关内存和/或集成内存元件,其可以是单个内存装置、多个内存装置、和/或处理模块、模块、处理电路、和/或处理单元的嵌入电路。这种内存装置可以是只读存储器、随机存取存储器、易失存储器、非易失存储器、静态存储器、动态存储器、闪存、缓存、和/或存储数字信息的任何装置。值得注意的是,如果处理模块、模块、处理电路、和/或处理单元包括一个以上的处理装置,则处理装置可以位于中心(例如,经由有线和/或无线总线结构直接耦接在一起)或者位置可以是分布式的(例如,经由局域网和/或广域网的直接耦接的云计算)。还值得注意的是,如果处理模块、模块、处理电路、和/或处理单元经由状态机、模拟电路、数字电路、和/或逻辑电路实施其功能中的一个或多个,则存储对应操作指令的内存和/或内存元件可以嵌入到包括状态机、模拟电路、数字电路、和/或逻辑电路的电路中或者其外部。还值得注意的是,内存元件可以存储,并且处理模块、模块、处理电路、和/或处理单元执行与在一个或多个附图中示出的至少一些步骤和/或功能对应的硬编码的和/或操作指令。这种内存装置或内存元件可以包括在制品中。
以上已经借助于示出指定功能的性能及其关系的方法步骤描述了本发明。为了便于描述,已经任意定义了这些功能构造块和方法步骤的界限和顺序。只要能适当地执行所指定的功能和关系,还可以定义可选的界限和顺序。因此,这种可选的界限或顺序在所要求的本发明的范围和精神内。此外,为了便于描述,已经任意定义了这些功能构造块的界限。只要能适当地执行某些重要功能,还可以定义可选的界限。类似地,还可能已经任意地定义了流程图块,以说明某些重要功能。如果使用的话,还可以另外地定义流程图块界限和顺序,并且仍然执行某些重要功能。功能构造块以及流程图块和顺序的这种可选定义因此在所要求的本发明的范围和精神内。本领域普通技术人员将认识到,文中的功能构造块、以及其他说明性块、模块、和组件可以如图所示的实施,或者通过离散组件、专用集成电路、执行适当软件的处理器等或者其任意组合来实施。
还就一个或多个实施方式至少部分地描述了本发明。本发明的实施方式在文中用于说明本发明、其方面、其特征、其概念、和/或其实例。体现了本发明的设备制品、机器、和/或进程的物理实施方式可以包括参照文中描述的一个或多个实施方式描述的一个或多个方面、特征、概念、实例等。此外,从附图到附图,实施方式可以包含相同或相似地命名的可以使用相同或不同参考标号的功能、步骤、模块等,这样,功能、步骤、模块等可以是相同或类似的功能、步骤、模块等或者是不同的。
除非另有特别声明,来自、到达、或在文中给出的附图中的任意附图中的元件之间的信号可以是模拟或数字、连续时间或离散时间、单端或查分信号。例如,如果信号路径示出为单端路径,其还表示差分信号路径。类似地,如果信号路径示出为差分路径,其还表示单端信号路径。虽然文中描述了一个或多个特殊架构,如本领域普通技术人员认识到的,还可以实施其他架构,其使用未明确示出的一个或多个数据总线、元件之间的直接连接、和/或其他元件之间的间接耦接。
在本发明的各实施方式的描述中使用了术语“模块”。模块包括经由硬件实施以执行一个或多个功能(诸如处理一个或多个输入信号以产生一个或多个输出信号)的功能块。实施模块的硬件本身可以结合软件和/或固件运行。如文中所使用的,模块可以包含其本身也是模块的一个或多个子模块。
虽然文中已经明确描述了本发明的各种功能和特征的特殊组合,但是这些特征和功能的其他组合也是可以的。本发明不受文中公开的特殊实例的限制并且明确地包括这些其他组合。
Claims (10)
1.一种可操作为机顶盒的设备,所述设备具有底层硬件资源,所述设备包括:
机顶盒应用程序,使用所述底层硬件资源执行可信的媒体处理操作;
软件框架;
安全访问接口,被配置为支持所述机顶盒应用程序与所述软件框架之间的通信;以及
至少一个可信的软件应用程序,所述应用程序可在所述软件框架上执行。
2.根据权利要求1所述的设备,所述安全访问接口执行从由以下各项组成的组中选择的至少一个操作:处理和指针验证、非指针参数验证、堆分离、以及与未使用的资源相关的资源释放。
3.根据权利要求1所述的设备,进一步包括安全操作系统环境,所述安全访问接口被配置为支持所述软件框架与所述安全操作系统环境之间的通信。
4.根据权利要求3所述的设备,其中,所述安全操作系统环境包括基于Linux的操作系统内核。
5.根据权利要求3所述的设备,其中,所述安全访问接口包括安全访问服务器和安全访问客户端,所述安全访问客户端并入所述软件框架中。
6.根据权利要求5所述的设备,其中,所述安全访问服务器与所述安全访问客户端之间的通信至少部分地通过进程间通信调用发生。
7.根据权利要求1所述的设备,其中,所述不可信的软件框架包括至少一个版本的Android框架。
8.根据权利要求1所述的设备,其中,所述媒体处理装置是机顶盒装置,并且其中,所述至少一个可信的软件应用程序由服务运营商提供。
9.一种在包括软件框架的媒体处理装置中使用的方法,所述方法包括:
接收用于所述媒体处理装置的可信的应用程序软件;
使所述可信的应用程序软件与所述软件框架相关,所述软件框架支持所述可信的应用程序软件的执行;以及
建立受限的操作系统环境用于执行所述软件框架。
10.一种具有用于执行媒体传递操作的硬件资源的媒体处理装置,包括:
处理电路;
可信的软件应用程序;
用于执行所述可信的软件应用程序的软件框架;以及
由所述处理电路执行的操作系统,所述操作系统被配置为建立或支持特权操作系统环境和受限的操作系统环境,所述软件框架在所述受限的操作系统环境中执行。
Applications Claiming Priority (8)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201261715785P | 2012-10-18 | 2012-10-18 | |
| US61/715,785 | 2012-10-18 | ||
| US201261725964P | 2012-11-13 | 2012-11-13 | |
| US201261725790P | 2012-11-13 | 2012-11-13 | |
| US61/725,790 | 2012-11-13 | ||
| US61/725,964 | 2012-11-13 | ||
| US13/716,856 | 2012-12-17 | ||
| US13/716,856 US9344762B2 (en) | 2012-10-18 | 2012-12-17 | Integration of untrusted applications and frameworks with a secure operating system environment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103780959A true CN103780959A (zh) | 2014-05-07 |
| CN103780959B CN103780959B (zh) | 2017-10-13 |
Family
ID=49385092
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310492010.7A Active CN103780959B (zh) | 2012-10-18 | 2013-10-18 | 不可信的应用程序及框架与安全操作系统环境的整合 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9344762B2 (zh) |
| EP (1) | EP2723092A1 (zh) |
| CN (1) | CN103780959B (zh) |
| TW (1) | TWI558185B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017167166A1 (zh) * | 2016-04-01 | 2017-10-05 | 中国银联股份有限公司 | 一种tee访问控制方法以及实现该方法的移动终端 |
| CN107566365A (zh) * | 2017-08-31 | 2018-01-09 | 深圳市九洲电器有限公司 | 机顶盒网络应用安全保护方法及系统 |
| CN107659818A (zh) * | 2017-09-28 | 2018-02-02 | 福州瑞芯微电子股份有限公司 | 一种视频解码装置 |
| CN110442392A (zh) * | 2019-07-16 | 2019-11-12 | 新华三大数据技术有限公司 | 一种包隔离方法、装置、电子设备和存储介质 |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9386021B1 (en) * | 2011-05-25 | 2016-07-05 | Bromium, Inc. | Restricting network access to untrusted virtual machines |
| US10684899B2 (en) * | 2013-03-13 | 2020-06-16 | Northrop Grumman Systems Corporation | Mobile applications architecture |
| KR102100456B1 (ko) * | 2013-05-09 | 2020-04-13 | 삼성전자주식회사 | 전자장치에서 디지털 저작권 관리 서비스를 제공하기 위한 장치 및 방법 |
| US9591003B2 (en) * | 2013-08-28 | 2017-03-07 | Amazon Technologies, Inc. | Dynamic application security verification |
| US9501315B2 (en) | 2014-01-10 | 2016-11-22 | Citrix Systems, Inc. | Management of unmanaged user accounts and tasks in a multi-account mobile application |
| CN106407101B (zh) * | 2015-07-31 | 2021-04-30 | 三亚中兴软件有限责任公司 | 基于lxc的持续集成方法及装置 |
| KR101721004B1 (ko) * | 2016-01-15 | 2017-04-10 | (주) 글루시스 | 컨테이너 가상화 기술을 기반으로 하는 홈 네트워크 시스템 |
| US10855725B2 (en) * | 2016-06-02 | 2020-12-01 | Microsoft Technology Licensing, Llc | Hardware-based virtualized security isolation |
| US10560482B2 (en) * | 2017-07-08 | 2020-02-11 | Vmware, Inc. | Network access by applications in an enterprise managed device system |
| US11240207B2 (en) * | 2017-08-11 | 2022-02-01 | L3 Technologies, Inc. | Network isolation |
| US11601467B2 (en) | 2017-08-24 | 2023-03-07 | L3 Technologies, Inc. | Service provider advanced threat protection |
| US11178104B2 (en) | 2017-09-26 | 2021-11-16 | L3 Technologies, Inc. | Network isolation with cloud networks |
| US11184323B2 (en) | 2017-09-28 | 2021-11-23 | L3 Technologies, Inc | Threat isolation using a plurality of containers |
| US11223601B2 (en) | 2017-09-28 | 2022-01-11 | L3 Technologies, Inc. | Network isolation for collaboration software |
| US11336619B2 (en) | 2017-09-28 | 2022-05-17 | L3 Technologies, Inc. | Host process and memory separation |
| US11552987B2 (en) | 2017-09-28 | 2023-01-10 | L3 Technologies, Inc. | Systems and methods for command and control protection |
| US11374906B2 (en) | 2017-09-28 | 2022-06-28 | L3 Technologies, Inc. | Data exfiltration system and methods |
| US11550898B2 (en) | 2017-10-23 | 2023-01-10 | L3 Technologies, Inc. | Browser application implementing sandbox based internet isolation |
| US11120125B2 (en) | 2017-10-23 | 2021-09-14 | L3 Technologies, Inc. | Configurable internet isolation and security for laptops and similar devices |
| US11170096B2 (en) | 2017-10-23 | 2021-11-09 | L3 Technologies, Inc. | Configurable internet isolation and security for mobile devices |
| CN110419226B (zh) * | 2017-11-10 | 2021-01-08 | 华为技术有限公司 | 播放电视节目的方法和装置 |
| CN109445777B (zh) * | 2017-12-29 | 2022-10-28 | 贵阳朗玛信息技术股份有限公司 | 基于Android平台多个定制产品的开发框架及方法 |
| TWI685253B (zh) * | 2018-07-12 | 2020-02-11 | 瑞昱半導體股份有限公司 | 多媒體串流及路由裝置及其運作方法 |
| CN110740095B (zh) * | 2018-07-19 | 2022-07-12 | 瑞昱半导体股份有限公司 | 多媒体串流及路由装置及其运作方法 |
| US20200195531A1 (en) * | 2018-12-14 | 2020-06-18 | Hewlett Packard Enterprise Development Lp | Analytics on network switch using multi-threaded sandboxing of a script |
| CN111385618B (zh) * | 2018-12-29 | 2022-01-04 | 深圳Tcl新技术有限公司 | 一种信源列表显示方法、Android电视及存储介质 |
| CN110532189B (zh) * | 2019-07-18 | 2022-11-01 | 中国人民财产保险股份有限公司 | 一种持续集成系统、方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6487723B1 (en) * | 1996-02-14 | 2002-11-26 | Scientific-Atlanta, Inc. | Multicast downloading of software and data modules and their compatibility requirements |
| CN1545788A (zh) * | 2001-08-21 | 2004-11-10 | ����ɭ�绰�ɷ�����˾ | 用于服务等级协议检查的具有代理业务能力服务器的安全网关 |
| US7103914B2 (en) * | 2002-06-17 | 2006-09-05 | Bae Systems Information Technology Llc | Trusted computer system |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB8524455D0 (en) * | 1985-10-03 | 1985-11-06 | Isolation Systems Ltd | Monitoring activity of peripheral devices |
| US4926476A (en) * | 1989-02-03 | 1990-05-15 | Motorola, Inc. | Method and apparatus for secure execution of untrusted software |
| US5305456A (en) * | 1991-10-11 | 1994-04-19 | Security Integration, Inc. | Apparatus and method for computer system integrated security |
| US6301344B1 (en) * | 1997-11-05 | 2001-10-09 | Protel, Inc. | Intelligent public telephone system and method |
| US6615357B1 (en) * | 1999-01-29 | 2003-09-02 | International Business Machines Corporation | System and method for network address translation integration with IP security |
| US6578078B1 (en) * | 1999-04-02 | 2003-06-10 | Microsoft Corporation | Method for preserving referential integrity within web sites |
| EP1522923A3 (fr) | 2003-10-08 | 2011-06-22 | STMicroelectronics SA | Architecture de processeur à plusieurs contextes d'exécution simultanés |
| US7814554B1 (en) * | 2003-11-06 | 2010-10-12 | Gary Dean Ragner | Dynamic associative storage security for long-term memory storage devices |
| US7664965B2 (en) * | 2004-04-29 | 2010-02-16 | International Business Machines Corporation | Method and system for bootstrapping a trusted server having redundant trusted platform modules |
| WO2006011888A1 (en) | 2004-06-28 | 2006-02-02 | Disney Enterprises, Inc. | Dual virtual machine architecture for media devices |
| US7603562B2 (en) * | 2005-02-02 | 2009-10-13 | Insyde Software Corporation | System and method for reducing memory requirements of firmware |
| WO2006122024A2 (en) | 2005-05-10 | 2006-11-16 | Nokia Siemens Networks Gmbh & Co. Kg | Open architecture for internet protocol television |
| US7610310B2 (en) | 2006-06-30 | 2009-10-27 | Intel Corporation | Method and system for the protected storage of downloaded media content via a virtualized platform |
| US8024815B2 (en) | 2006-09-15 | 2011-09-20 | Microsoft Corporation | Isolation environment-based information access |
| US7667408B2 (en) * | 2007-03-12 | 2010-02-23 | Cirrus Logic, Inc. | Lighting system with lighting dimmer output mapping |
| CN101340281B (zh) * | 2007-07-02 | 2010-12-22 | 联想(北京)有限公司 | 针对在网络上进行安全登录输入的方法和系统 |
| US8769185B2 (en) * | 2007-10-23 | 2014-07-01 | Keicy Chung | Computer storage device having separate read-only space and read-write space, removable media component, system management interface, and network interface |
| US20090170472A1 (en) * | 2007-12-28 | 2009-07-02 | Chapin John M | Shared network infrastructure |
| KR101295393B1 (ko) | 2011-01-27 | 2013-08-09 | 주식회사 엘지씨엔에스 | 단일 운영체제 상에서 스마트 서비스와 디지털 텔레비젼 서비스를 제공하는 스마트 셋탑 박스 및 그것의 구동 방법 |
| EP2570920A1 (en) * | 2011-09-16 | 2013-03-20 | France Télécom | System and method for cross-platform application execution and display |
| US8689282B1 (en) * | 2011-12-23 | 2014-04-01 | Emc Corporation | Security policy enforcement framework for cloud-based information processing systems |
-
2012
- 2012-12-17 US US13/716,856 patent/US9344762B2/en active Active
-
2013
- 2013-10-17 EP EP13004978.6A patent/EP2723092A1/en not_active Ceased
- 2013-10-18 CN CN201310492010.7A patent/CN103780959B/zh active Active
- 2013-10-18 TW TW102137689A patent/TWI558185B/zh active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6487723B1 (en) * | 1996-02-14 | 2002-11-26 | Scientific-Atlanta, Inc. | Multicast downloading of software and data modules and their compatibility requirements |
| CN1545788A (zh) * | 2001-08-21 | 2004-11-10 | ����ɭ�绰�ɷ�����˾ | 用于服务等级协议检查的具有代理业务能力服务器的安全网关 |
| US7103914B2 (en) * | 2002-06-17 | 2006-09-05 | Bae Systems Information Technology Llc | Trusted computer system |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017167166A1 (zh) * | 2016-04-01 | 2017-10-05 | 中国银联股份有限公司 | 一种tee访问控制方法以及实现该方法的移动终端 |
| CN107566365A (zh) * | 2017-08-31 | 2018-01-09 | 深圳市九洲电器有限公司 | 机顶盒网络应用安全保护方法及系统 |
| CN107566365B (zh) * | 2017-08-31 | 2020-11-03 | 深圳市九洲电器有限公司 | 机顶盒网络应用安全保护方法及系统 |
| CN107659818A (zh) * | 2017-09-28 | 2018-02-02 | 福州瑞芯微电子股份有限公司 | 一种视频解码装置 |
| CN110442392A (zh) * | 2019-07-16 | 2019-11-12 | 新华三大数据技术有限公司 | 一种包隔离方法、装置、电子设备和存储介质 |
| CN110442392B (zh) * | 2019-07-16 | 2022-08-09 | 新华三大数据技术有限公司 | 一种包隔离方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103780959B (zh) | 2017-10-13 |
| US9344762B2 (en) | 2016-05-17 |
| US20140115646A1 (en) | 2014-04-24 |
| EP2723092A1 (en) | 2014-04-23 |
| TWI558185B (zh) | 2016-11-11 |
| TW201429234A (zh) | 2014-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103780959B (zh) | 不可信的应用程序及框架与安全操作系统环境的整合 | |
| CN103778389B (zh) | 不可信软件框架的媒体传递装置及使用方法 | |
| TWI551127B (zh) | 可用作機上盒的裝置、在媒介傳送設備中使用的方法及媒介傳送裝置 | |
| TWI550432B (zh) | 媒體處理裝置及於該裝置中建立媒體路徑的方法 | |
| TWI504204B (zh) | 媒體處理裝置及其操作方法 | |
| CN105191255B (zh) | 使内容接收器能够访问经加密的内容 | |
| JP6296253B2 (ja) | セキュリティ更新可能性のために配布されるホワイトリスト | |
| US20140115624A1 (en) | Security and Certification in a Set Top Box Device Having a Mixed Operating System or Framework Environment | |
| EP2827598A1 (en) | A system for receiving and decrypting streaming content |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1193286 Country of ref document: HK |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20170309 Address after: Singapore Singapore Applicant after: Avago Technologies Fiber IP Singapore Pte. Ltd. Address before: American California Applicant before: Zyray Wireless Inc. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20181019 Address after: Singapore Singapore Patentee after: Annwa high tech Limited by Share Ltd Address before: Singapore Singapore Patentee before: Avago Technologies Fiber IP Singapore Pte. Ltd. |
|
| TR01 | Transfer of patent right | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1193286 Country of ref document: HK |