專利名稱:應(yīng)用執(zhí)行設(shè)備、應(yīng)用執(zhí)行方法、集成電路、和計(jì)算機(jī)可讀程序的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種獲取并執(zhí)行應(yīng)用程序的應(yīng)用執(zhí)行設(shè)備,特別是涉及執(zhí)行通過(guò)數(shù)字電視廣播獲取的應(yīng)用程序的技術(shù)。
背景技術(shù):
近年來(lái),已經(jīng)就各種數(shù)字電視廣播標(biāo)準(zhǔn)進(jìn)行了研究。這樣的標(biāo)準(zhǔn)的一個(gè)例子是在許多國(guó)家被使用的MHP(多媒體家庭平臺(tái))。按照MHP,廣播設(shè)備在廣播波中復(fù)用應(yīng)用程序(以下簡(jiǎn)稱“應(yīng)用”)并使用對(duì)象傳送帶(data carousel)來(lái)對(duì)其進(jìn)行傳輸,并且數(shù)字電視接收設(shè)備接收并執(zhí)行該應(yīng)用。
通過(guò)執(zhí)行這種應(yīng)用,數(shù)字電視接收設(shè)備能夠完成傳統(tǒng)的電視接收設(shè)備無(wú)法完成的各種功能。例如,能夠?qū)崿F(xiàn)交互式電視系統(tǒng),由此數(shù)字電視接收設(shè)備通過(guò)諸如因特網(wǎng)這樣的網(wǎng)絡(luò)將信息發(fā)送到廣播站,其中該信息是被應(yīng)用連同從廣播波接收的廣播節(jié)目一起收集的。
然而,如果對(duì)資源無(wú)限制訪問(wèn),例如數(shù)字電視接收設(shè)備中文件系統(tǒng)的使用和網(wǎng)絡(luò)的連接,被授權(quán)給應(yīng)用,那么當(dāng)該應(yīng)用包含惡意代碼時(shí),用戶可能遭受損害或者該數(shù)字電視接收設(shè)備的控制系統(tǒng)可能遭受不利影響。例如,執(zhí)行包含惡意代碼的應(yīng)用可能導(dǎo)致觀看期間信道轉(zhuǎn)換的發(fā)生,或者存儲(chǔ)于該數(shù)字電視接收設(shè)備中的信息被泄漏或破壞。為避免這種情況,MHP規(guī)范的第12節(jié)“安全性”定義了怎樣安全地執(zhí)行應(yīng)用。
按照該節(jié),有兩種類型的應(yīng)用不需認(rèn)證的未簽名應(yīng)用;需要認(rèn)證的已簽名應(yīng)用。
未簽名應(yīng)用不需認(rèn)證就被執(zhí)行,但是,為保護(hù)系統(tǒng),禁止可能不利地影響系統(tǒng)的資源訪問(wèn)。
已簽名應(yīng)用被允許比未簽名應(yīng)用訪問(wèn)更多的資源。然而,在啟動(dòng)前,通過(guò)使用X.509證書識(shí)別該應(yīng)用的傳送者、并基于散列值檢查該應(yīng)用是否被篡改,來(lái)對(duì)該已簽名應(yīng)用執(zhí)行認(rèn)證。只有當(dāng)認(rèn)證成功,該已簽名應(yīng)用才被啟動(dòng)。這樣,通過(guò)僅執(zhí)行被認(rèn)證為由可信任傳送者發(fā)送的有效應(yīng)用的已簽名應(yīng)用,保護(hù)了系統(tǒng)。
然而,該技術(shù)有以下問(wèn)題。盡管已簽名應(yīng)用比未簽名應(yīng)用提供更高的功能,但是已簽名應(yīng)用不能被及時(shí)啟動(dòng),因?yàn)樗紫刃枰徽J(rèn)證。這引發(fā)了對(duì)于更快啟動(dòng)高功能應(yīng)用的技術(shù)的需求。
發(fā)明內(nèi)容
本發(fā)明旨在提供一種應(yīng)用執(zhí)行設(shè)備、一種應(yīng)用執(zhí)行方法、一種用于應(yīng)用執(zhí)行設(shè)備的集成電路、和一種保證安全性的同時(shí)能夠加速啟動(dòng)高功能應(yīng)用的計(jì)算機(jī)可讀程序。
所述目標(biāo)能夠通過(guò)一種應(yīng)用執(zhí)行設(shè)備來(lái)完成,該應(yīng)用執(zhí)行設(shè)備包括獲取單元,用于獲取包含訪問(wèn)資源的指令的應(yīng)用程序;判定單元,用于判定所獲取的應(yīng)用程序是否被篡改;暫時(shí)性(tentative)許可設(shè)置單元,用于獲得示出僅訪問(wèn)第一資源的許可的暫時(shí)性許可信息;確定性(definite)許可設(shè)置單元,用于獲得示出訪問(wèn)第一資源和第二資源的許可的確定性許可信息;以及執(zhí)行單元,用于在判定單元完成判定前,在暫時(shí)性許可信息示出的許可范圍內(nèi)開始執(zhí)行該應(yīng)用程序,并且在該判定單元完成判定后,如果該應(yīng)用程序被判定為沒有被篡改,則在確定性許可信息示出的許可范圍內(nèi)繼續(xù)執(zhí)行該應(yīng)用程序。
按照上述結(jié)構(gòu),該應(yīng)用執(zhí)行設(shè)備能夠啟動(dòng)應(yīng)用程序,而不需要等待完成篡改檢查的等待時(shí)間。如果作為篡改檢查的結(jié)果,該應(yīng)用程序被判定為沒有被篡改,那么該應(yīng)用程序被授權(quán)訪問(wèn)不僅第一資源和而且第二資源。這使得實(shí)現(xiàn)需要訪問(wèn)第二資源的高功能應(yīng)用程序是可能的。
因此,能夠在保證高安全性的同時(shí)快速啟動(dòng)高功能應(yīng)用程序。
這里,如果應(yīng)用程序被判定為被篡改,執(zhí)行單元可以假定該應(yīng)用程序的文件大小為零。
按照上述結(jié)構(gòu),如果應(yīng)用程序被判定為為被篡改,則該應(yīng)用程序的文件大小被假定為零。這防止該應(yīng)用程序被進(jìn)一步執(zhí)行。
這樣,即使當(dāng)應(yīng)用程序被篡改而包含可能不利地影響設(shè)備的訪問(wèn)第二資源的指令時(shí),高安全性也能夠被保證。
這里,執(zhí)行單元可以在獲取單元完成應(yīng)用程序的獲取前開始執(zhí)行該應(yīng)用程序。
按照上述結(jié)構(gòu),應(yīng)用執(zhí)行設(shè)備能夠啟動(dòng)應(yīng)用程序,而不需要等待完成該應(yīng)用程序的獲取的等待時(shí)間。
這使得該應(yīng)用程序更快速地被啟動(dòng)。
這里,獲取單元可以通過(guò)接收攜帶應(yīng)用程序的數(shù)字流來(lái)獲取該應(yīng)用程序。
按照上述結(jié)構(gòu),當(dāng)由于數(shù)字流的低傳輸速率導(dǎo)致花費(fèi)很長(zhǎng)時(shí)間獲取應(yīng)用程序時(shí),應(yīng)用執(zhí)行設(shè)備能夠啟動(dòng)該應(yīng)用程序,而不用等待完成該應(yīng)用程序的獲取。
因此,無(wú)論攜帶應(yīng)用程序的數(shù)字流的傳輸速率如何,該應(yīng)用程序都能夠被快速啟動(dòng)。
這里,數(shù)字流可以是數(shù)字電視廣播的傳輸流,其中應(yīng)用程序被利用對(duì)象傳送帶復(fù)用于該傳輸流中。
數(shù)字電視接收設(shè)備獲取例如100,000步驟的應(yīng)用程序所需的時(shí)間段是大約20秒,其中使用對(duì)象傳送帶在傳輸流中傳送該100,000步驟的應(yīng)用程序,該大約20秒對(duì)應(yīng)于該對(duì)象傳送帶的一個(gè)周期。這表明,在需要對(duì)整個(gè)應(yīng)用程序執(zhí)行的篡改檢查完成前,至少20秒是必須的。具有上述結(jié)構(gòu)的應(yīng)用執(zhí)行設(shè)備能夠啟動(dòng)該應(yīng)用程序,而不需要這樣的等待完成獲取該應(yīng)用程序的等待時(shí)間。
因此,應(yīng)用程序的啟動(dòng)能夠由從啟動(dòng)所需的部分應(yīng)用程序被獲取到整個(gè)應(yīng)用程序被獲取的時(shí)間段來(lái)加速。
這里,第一資源可以是在MHP中未簽名應(yīng)用被允許訪問(wèn)的資源。
按照上述結(jié)構(gòu),在篡改檢查完成前,應(yīng)用程序被授權(quán)訪問(wèn)MHP中傳統(tǒng)的未簽名應(yīng)用程序被允許訪問(wèn)的第一資源。同時(shí),由于有不利地影響設(shè)備的風(fēng)險(xiǎn),應(yīng)用程序被禁止訪問(wèn)第二資源,直至篡改檢查的完成,其中該第二資源是在MHP中傳統(tǒng)的未簽名應(yīng)用程序被禁止訪問(wèn)的。
因此,與傳統(tǒng)的未簽名應(yīng)用程序相同的安全級(jí)別能夠被保證,直至篡改檢查的完成。
這里,應(yīng)用執(zhí)行設(shè)備可以進(jìn)一步包含傳送者識(shí)別單元,用于基于用來(lái)識(shí)別傳送者的傳送者信息來(lái)識(shí)別應(yīng)用程序的傳送者,其中對(duì)象傳送帶除了包含應(yīng)用程序外還包含傳送者信息,獲取單元進(jìn)一步獲取該傳送者信息,并且在傳送者識(shí)別單元完成傳送者識(shí)別后,執(zhí)行單元開始執(zhí)行該應(yīng)用程序。
按照上述結(jié)構(gòu),應(yīng)用執(zhí)行設(shè)備不啟動(dòng)應(yīng)用程序,直至傳送者被識(shí)別。這防止了執(zhí)行不可信任傳送者發(fā)送的應(yīng)用程序,以此可以提高安全性。
這里,獲取單元可以進(jìn)一步獲取示出應(yīng)用程序類型的應(yīng)用標(biāo)識(shí)符,其中如果所獲取的應(yīng)用標(biāo)識(shí)符示出的類型與預(yù)定類型相符,則執(zhí)行單元在判定單元完成判定前開始執(zhí)行該應(yīng)用程序。
按照上述結(jié)構(gòu),依照應(yīng)用程序的類型,應(yīng)用執(zhí)行設(shè)備在篡改檢查完成前啟動(dòng)該應(yīng)用程序。
這樣,按照本發(fā)明的新類型的應(yīng)用程序能夠被處理,該處理不同于直至篡改檢查完成才能被啟動(dòng)的傳統(tǒng)的已簽名應(yīng)用程序。
這里,當(dāng)執(zhí)行單元在執(zhí)行被包含在該應(yīng)用程序中的指令的過(guò)程中,得到訪問(wèn)第二資源的指令但是判定單元沒有完成判定時(shí),執(zhí)行單元可以等待直至判定單元完成判定。
按照上述結(jié)構(gòu),應(yīng)用程序被禁止訪問(wèn)第二資源,直至篡改檢查的完成。通過(guò)這種禁止對(duì)第二資源的訪問(wèn),保證了高安全性,其中對(duì)第二資源的訪問(wèn)可能不利地影響設(shè)備。在篡改檢查完成且應(yīng)用程序被判定為沒有被篡改后,該應(yīng)用程序被授權(quán)訪問(wèn)第二資源。這使得可以實(shí)現(xiàn)高功能的應(yīng)用程序。
這里,應(yīng)用程序可以包含示出該應(yīng)用程序的散列值的散列信息,其中,通過(guò)計(jì)算所獲取的應(yīng)用程序的散列值、并將計(jì)算的散列值與散列信息示出的散列值相比較,判定單元判定所獲取的應(yīng)用程序是否被篡改。
按照上述結(jié)構(gòu),如果應(yīng)用程序的至少一個(gè)部分被篡改,則散列值的比較將導(dǎo)致不匹配。因此應(yīng)用的篡改能夠被準(zhǔn)確地檢測(cè)到,以此可以獲得高安全性。
這里,獲取單元可以通過(guò)具有不同級(jí)別的篡改風(fēng)險(xiǎn)的多個(gè)獲取途徑之一來(lái)獲取應(yīng)用程序,其中暫時(shí)性許可設(shè)置單元獲得對(duì)應(yīng)于該應(yīng)用程序的獲取途徑的暫時(shí)性許可信息,并且當(dāng)該應(yīng)用程序的獲取途徑具有較低級(jí)別的篡改風(fēng)險(xiǎn)時(shí),對(duì)應(yīng)于獲取途徑的暫時(shí)性許可信息示出對(duì)訪問(wèn)包含特定資源在內(nèi)的第一資源的許可,其中對(duì)該特定資源的訪問(wèn)在不利地影響應(yīng)用執(zhí)行設(shè)備方面上具有較高風(fēng)險(xiǎn)。
按照上述結(jié)構(gòu),當(dāng)從具有較低級(jí)別的篡改風(fēng)險(xiǎn)的安全獲取途徑獲取應(yīng)用程序時(shí),該應(yīng)用程序被授權(quán)訪問(wèn)更多資源,包含具有不利地影響設(shè)備的風(fēng)險(xiǎn)的資源。這使得應(yīng)用程序中更多指令被執(zhí)行,使得更有可能到執(zhí)行單元得到訪問(wèn)第二資源的指令時(shí)完成篡改檢查。
這減少了等待篡改檢查完成的需要。因此,用戶能夠在保證高安全性的同時(shí)方便地使用應(yīng)用程序。
這里,當(dāng)應(yīng)用程序的獲取途徑具有較低級(jí)別的篡改風(fēng)險(xiǎn)時(shí),該應(yīng)用程序可以處于加密的形式,其中當(dāng)應(yīng)用程序的獲取途徑具有較高級(jí)別的篡改風(fēng)險(xiǎn)時(shí),該應(yīng)用程序處于未加密的形式。
按照上述結(jié)構(gòu),當(dāng)應(yīng)用程序被以加密形式獲取時(shí),該應(yīng)用程序被授權(quán)訪問(wèn)更多資源,包括具有不利地影響設(shè)備的風(fēng)險(xiǎn)的資源。這使得應(yīng)用程序中的更多指令被執(zhí)行。
結(jié)果,等待篡改檢查完成的需要減少了。因此,用戶能夠在保證高安全性的同時(shí)方便地使用該應(yīng)用程序。
這里,獲取單元可以通過(guò)具有不同的獲取應(yīng)用程序所需時(shí)間段的多個(gè)獲取途徑之一來(lái)獲取應(yīng)用程序,其中暫時(shí)性許可設(shè)置單元獲得對(duì)應(yīng)于該應(yīng)用程序的獲取途徑的暫時(shí)性許可信息,并且當(dāng)該應(yīng)用程序的獲取途徑需要較長(zhǎng)時(shí)間段時(shí),對(duì)應(yīng)于該獲取途徑的暫時(shí)性許可信息示出對(duì)訪問(wèn)包含特定資源在內(nèi)的第一資源的許可,其中對(duì)該特定資源的訪問(wèn)在不利地影響應(yīng)用執(zhí)行設(shè)備方面上具有較高的風(fēng)險(xiǎn)。
當(dāng)從獲取應(yīng)用程序所需的時(shí)間段較長(zhǎng)的獲取途徑獲取應(yīng)用程序時(shí),在篡改檢查完成前花費(fèi)了較長(zhǎng)時(shí)間。按照上述結(jié)構(gòu),這樣的應(yīng)用程序在篡改檢查完成前被授權(quán)訪問(wèn)更多資源,包含具有不利地影響設(shè)備的風(fēng)險(xiǎn)的資源。這使得應(yīng)用程序的更多指令被執(zhí)行,因此更有可能到執(zhí)行單元得到訪問(wèn)第二資源的指令時(shí)完成篡改檢查。
結(jié)果,等待篡改檢查完成的需要減少了,因此,用戶能夠方便地使用應(yīng)用程序,即使當(dāng)應(yīng)用程序的獲取花費(fèi)很長(zhǎng)時(shí)間時(shí)也是如此。
這里,應(yīng)用執(zhí)行設(shè)備可以進(jìn)一步包含已簽名應(yīng)用執(zhí)行單元,用于如果獲取單元通過(guò)從記錄介質(zhì)讀取應(yīng)用程序而獲得該應(yīng)用程序、并且判定單元判定該應(yīng)用程序沒有被篡改,則在判定單元完成判定后開始執(zhí)行該應(yīng)用程序,其中,如果獲取單元通過(guò)接收攜帶該應(yīng)用程序的數(shù)字流來(lái)獲取該應(yīng)用程序,則執(zhí)行單元在判定單元完成判定前開始執(zhí)行該應(yīng)用程序。
從記錄介質(zhì)獲取應(yīng)用程序并因此對(duì)該應(yīng)用程序執(zhí)行篡改檢查只花費(fèi)很短時(shí)間。在這種情況下,具有上述結(jié)構(gòu)的應(yīng)用執(zhí)行設(shè)備在篡改檢查完成后啟動(dòng)該應(yīng)用程序,這與傳統(tǒng)的已簽名應(yīng)用程序的方式相同。結(jié)果,獲得了與傳統(tǒng)的已簽名應(yīng)用程序相同級(jí)別的安全性。
同時(shí),從數(shù)字流獲取應(yīng)用程序并因此對(duì)該應(yīng)用程序執(zhí)行篡改檢查要花費(fèi)很長(zhǎng)時(shí)間。在這種情況下,應(yīng)用執(zhí)行設(shè)備利用僅訪問(wèn)第一資源的授權(quán)來(lái)啟動(dòng)該應(yīng)用程序,而不需要等待篡改檢查的完成。在篡改檢查完成且應(yīng)用程序被判定為沒有被篡改后,該應(yīng)用程序進(jìn)一步被授權(quán)訪問(wèn)第二資源,作為其結(jié)果,訪問(wèn)第二資源的指令能夠被執(zhí)行。這樣做時(shí),在保證安全性的同時(shí)加速了應(yīng)用程序的啟動(dòng)。
所述目標(biāo)也能夠通過(guò)一種包括以下單元的集成電路來(lái)完成獲取單元,用于獲取包含訪問(wèn)資源的指令的應(yīng)用程序;判定單元,用于判定所獲取的應(yīng)用程序是否被篡改;暫時(shí)性許可設(shè)置單元,用于獲得示出僅訪問(wèn)第一資源的許可的暫時(shí)性許可信息;確定性許可設(shè)置單元,用于獲得示出訪問(wèn)第一資源和第二資源的許可的確定性許可信息;以及執(zhí)行單元,用于在判定單元完成判定前,在暫時(shí)性許可信息示出的許可范圍內(nèi)開始執(zhí)行應(yīng)用程序,以及在判定單元完成判定后,如果該應(yīng)用程序被判定為沒有被篡改,則在確定性許可信息示出的許可范圍內(nèi)繼續(xù)執(zhí)行該應(yīng)用程序。
按照上述結(jié)構(gòu),集成電路能夠啟動(dòng)應(yīng)用程序,而不需要等待完成篡改檢查的等待時(shí)間。如果作為篡改檢查的結(jié)果,該應(yīng)用程序被判定為沒有被篡改,那么該應(yīng)用程序被授權(quán)訪問(wèn)不僅第一資源而且第二資源。這使得實(shí)現(xiàn)需要訪問(wèn)第二資源的高功能應(yīng)用程序是可能的。
因此,能夠在保證高安全性的同時(shí)快速啟動(dòng)高功能應(yīng)用程序。
所述目標(biāo)也能夠通過(guò)一種包括以下步驟的應(yīng)用執(zhí)行方法來(lái)完成獲取步驟,用于獲取包含訪問(wèn)資源的指令的應(yīng)用程序;判定步驟,用于判定所獲取的應(yīng)用程序是否被篡改;暫時(shí)性許可設(shè)置步驟,用于獲得示出僅訪問(wèn)第一資源的許可的暫時(shí)性許可信息;確定性許可設(shè)置步驟,用于獲得示出訪問(wèn)第一資源和第二資源的許可的確定性許可信息;以及執(zhí)行步驟,用于在判定步驟完成判定前,在暫時(shí)性許可信息示出的許可范圍內(nèi)開始執(zhí)行應(yīng)用程序,以及在判定步驟完成判定后,如果該應(yīng)用程序被判定為沒有被篡改,則在確定性許可信息示出的許可范圍內(nèi)繼續(xù)執(zhí)行該應(yīng)用程序。
按照上述方法,應(yīng)用程序能夠被啟動(dòng),而不需要等待完成篡改檢查的等待時(shí)間。如果作為篡改檢查的結(jié)果,該應(yīng)用程序被判定為沒有被篡改,那么該應(yīng)用程序被授權(quán)訪問(wèn)不僅第一資源而且第二資源。這使得實(shí)現(xiàn)需要訪問(wèn)第二資源的高功能應(yīng)用程序是可能的。
因此,能夠在保證高安全性的同時(shí)快速啟動(dòng)高功能應(yīng)用程序。
所述目標(biāo)也能夠通過(guò)一種使計(jì)算機(jī)執(zhí)行以下步驟的計(jì)算機(jī)可讀程序來(lái)完成獲取步驟,用于獲取包含訪問(wèn)資源的指令的應(yīng)用程序;判定步驟,用于判定所獲取的應(yīng)用程序是否被篡改;暫時(shí)性許可設(shè)置步驟,用于獲得示出僅訪問(wèn)第一資源的許可的暫時(shí)性許可信息;確定性許可設(shè)置步驟,用于獲得示出訪問(wèn)第一資源和第二資源的許可的確定性許可信息;以及執(zhí)行步驟,用于在判定步驟完成判定前,在暫時(shí)性許可信息示出的許可范圍內(nèi)開始執(zhí)行應(yīng)用程序,以及在判定步驟完成判定后,如果該應(yīng)用程序被判定為沒有被篡改,則在確定性許可信息示出的許可范圍內(nèi)繼續(xù)執(zhí)行該應(yīng)用程序。
按照上述程序,應(yīng)用程序能夠被啟動(dòng),而不需要等待完成篡改檢查的等待時(shí)間。如果作為篡改檢查的結(jié)果,該應(yīng)用程序被判定為沒有被篡改,那么該應(yīng)用程序被授權(quán)訪問(wèn)不僅第一資源而且第二資源。這使得實(shí)現(xiàn)需要訪問(wèn)第二資源的高功能應(yīng)用程序是可能的。
因此,能夠在保證高安全性的同時(shí)快速啟動(dòng)高功能應(yīng)用程序。
圖1示出包括本發(fā)明第一實(shí)施例涉及的數(shù)字電視接收設(shè)備的交互式電視系統(tǒng)的結(jié)構(gòu);圖2A示出傳輸數(shù)據(jù)的結(jié)構(gòu);圖2B是攜帶圖2A中示出的傳輸數(shù)據(jù)的傳輸流的表示圖;圖3是圖2中示出的管理信息的數(shù)據(jù)結(jié)構(gòu)的表示圖;圖4是圖2中示出的應(yīng)用的目錄結(jié)構(gòu)的表示圖;圖5示出圖4中示出的傳送者信息文件的數(shù)據(jù)結(jié)構(gòu);圖6示出圖4中示出的散列信息文件的數(shù)據(jù)結(jié)構(gòu);圖7示出圖4中示出的篡改檢查散列值文件的數(shù)據(jù)結(jié)構(gòu);圖8示出圖4中示出的許可信息文件的示例;圖9示出按照MHP專門用于未簽名應(yīng)用和已簽名應(yīng)用的訪問(wèn)許可;圖10示出圖1中示出的數(shù)字電視接收設(shè)備的硬件結(jié)構(gòu);圖11示出存儲(chǔ)于圖10中示出的ROM中的程序的功能結(jié)構(gòu);圖12示出用于控制應(yīng)用執(zhí)行的功能結(jié)構(gòu);圖13是示出數(shù)字電視接收設(shè)備中信道選擇過(guò)程的流程圖;圖14A是示出數(shù)字電視接收設(shè)備中應(yīng)用啟動(dòng)控制過(guò)程的流程圖;圖14B是示出創(chuàng)建于圖14A的步驟S22中的篡改檢查線程的流程圖;圖15是示出控制應(yīng)用訪問(wèn)資源的過(guò)程的流程圖;圖16示出攜帶圖2中示出的附加數(shù)據(jù)的對(duì)象傳送帶的示例;圖17示出本發(fā)明第二實(shí)施例涉及的數(shù)字電視接收設(shè)備的硬件結(jié)構(gòu);圖18示出圖17中示出的數(shù)字電視接收設(shè)備中控制應(yīng)用的執(zhí)行的功能結(jié)構(gòu);圖19是示出圖17示出的數(shù)字電視接收設(shè)備啟動(dòng)時(shí)設(shè)置訪問(wèn)許可的過(guò)程的流程圖;圖20是示出作為第二實(shí)施例的變型的過(guò)程的流程圖。
具體實(shí)施例方式
(第一實(shí)施例)下文描述了本發(fā)明的應(yīng)用執(zhí)行設(shè)備的第一實(shí)施例。在第一實(shí)施例中,從廣播波獲取應(yīng)用并執(zhí)行該應(yīng)用的數(shù)字電視接收設(shè)備被用作應(yīng)用執(zhí)行設(shè)備的示例。
圖1示出包含第一實(shí)施例的數(shù)字電視接收設(shè)備的交互式電視系統(tǒng)的結(jié)構(gòu)。
在該圖中,廣播設(shè)備1被安裝于數(shù)字電視廣播站內(nèi)。廣播設(shè)備1發(fā)送數(shù)字電視廣播的傳輸數(shù)據(jù)10,并通過(guò)諸如因特網(wǎng)這樣的網(wǎng)絡(luò)從數(shù)字電視接收設(shè)備2接收信息。
數(shù)字電視接收設(shè)備2被數(shù)字電視廣播的觀看者使用。數(shù)字電視接收設(shè)備2從廣播設(shè)備1接收數(shù)字電視廣播的傳輸數(shù)據(jù)10。數(shù)字電視接收設(shè)備2具有回放包含于傳輸數(shù)據(jù)10中的廣播節(jié)目的功能,以及執(zhí)行包含于傳輸數(shù)據(jù)10中的應(yīng)用的功能。通過(guò)該應(yīng)用的執(zhí)行,數(shù)字電視接收設(shè)備2通過(guò)網(wǎng)絡(luò)發(fā)送信息至廣播設(shè)備1。這樣,完成了交互式服務(wù)。
圖2A示出從廣播設(shè)備1發(fā)送的傳輸數(shù)據(jù)10的結(jié)構(gòu)。如圖所示,傳輸數(shù)據(jù)10大致由廣播程序的視頻數(shù)據(jù)11和音頻數(shù)據(jù)12、以及附加數(shù)據(jù)13組成。傳輸數(shù)據(jù)10實(shí)際由MPEG2傳輸流實(shí)現(xiàn),該傳輸流通過(guò)復(fù)用視頻數(shù)據(jù)11的流、音頻數(shù)據(jù)12的流、以及被對(duì)象傳送帶攜帶的DSM-CC段中的附加數(shù)據(jù)13來(lái)生成,如圖2B所示出的。MPEG2傳輸流和DSM-CC分別在MPEG規(guī)范ISO/IEC138181-1和138181-6中被詳細(xì)描述,因此這里省略其解釋。
附加數(shù)據(jù)13包含應(yīng)用14、以及應(yīng)用14的管理信息15,其中應(yīng)用14是用Java(注冊(cè)商標(biāo))編寫的程序。因?yàn)閷?duì)象傳送帶被用于附加數(shù)據(jù)13,因此相同的信息被循環(huán)傳輸。這樣,無(wú)論觀看者何時(shí)選擇對(duì)應(yīng)于傳輸數(shù)據(jù)10的信道,數(shù)字電視接收設(shè)備2都能夠在預(yù)定時(shí)間段內(nèi)獲取整個(gè)附加數(shù)據(jù)13。
圖3是管理信息15的數(shù)據(jù)結(jié)構(gòu)的表示圖。
在該圖中,管理信息15包含應(yīng)用標(biāo)識(shí)符16、執(zhí)行標(biāo)記17、保留標(biāo)記18、以及保留信息19。
應(yīng)用標(biāo)識(shí)符16取值為0x0000至0xFFFF之一,并唯一標(biāo)識(shí)應(yīng)用14。當(dāng)應(yīng)用標(biāo)識(shí)符16在范圍0x0000至0x3FFF中時(shí),應(yīng)用14是MHP中定義的未簽名應(yīng)用。當(dāng)應(yīng)用標(biāo)識(shí)符16在范圍0x4000至0x7FFF中時(shí),應(yīng)用14是MHP中定義的已簽名應(yīng)用。當(dāng)應(yīng)用標(biāo)識(shí)符16在范圍0x8000至0xFFFF中時(shí),應(yīng)用14是暫時(shí)性未簽名應(yīng)用,它是按照本實(shí)施例的一種新類型應(yīng)用。
圖4是應(yīng)用14的目錄結(jié)構(gòu)的表示圖。在該圖中,應(yīng)用14在根目錄21下具有應(yīng)用目錄22。應(yīng)用目錄22包含傳送者信息文件23、應(yīng)用目錄22的散列信息文件24、篡改檢查散列值文件25、以及主類目錄26。
主類目錄26包含主類目錄26的散列信息文件27、許可信息文件28、主類文件29、以及子類目錄30。子類目錄30包含子類目錄30的散列信息文件31、以及子類文件32和33。
圖5詳細(xì)示出圖4中示出的傳送者信息文件23的數(shù)據(jù)結(jié)構(gòu)。傳送者信息文件23是用于證明應(yīng)用14的傳送者身份的X.509證書。在X.509證書中,發(fā)布者名稱23a示出傳送者的名稱,公共密鑰信息23b示出被用于解密篡改檢查散列值文件25中的簽名數(shù)據(jù)的公共密鑰。X.509在RFC 2459等中被詳細(xì)描述,因此這里省略其解釋。
圖6詳細(xì)示出圖4中示出的散列信息文件24的數(shù)據(jù)結(jié)構(gòu)。散列信息文件24包含示出散列值數(shù)目的散列值計(jì)數(shù)24a,以及一一對(duì)應(yīng)于散列值的多個(gè)信息集合。每個(gè)信息集合由散列算法24b、示出文件數(shù)目的文件計(jì)數(shù)24c、文件的文件名稱24d、以及由文件計(jì)算出的散列值24e組成。
圖7詳細(xì)示出圖4中示出的篡改檢查散列值文件25的數(shù)據(jù)結(jié)構(gòu)。篡改檢查散列值文件25包含X.509證書標(biāo)識(shí)符25a、散列算法25b、以及簽名數(shù)據(jù)25c。利用與傳送者信息文件23中的公共密鑰信息23b示出的公共密鑰相應(yīng)的秘密密鑰,通過(guò)加密從散列信息文件24計(jì)算出的散列值,來(lái)生成簽名數(shù)據(jù)25c。
圖8示出圖4中示出的許可信息文件28的示例。許可信息文件28以XML示出訪問(wèn)應(yīng)用14的執(zhí)行中所需的資源的許可。更詳細(xì)地,許可信息文件28示出對(duì)訪問(wèn)屬于圖9中示出的附加許可組的一個(gè)或者更多資源的許可。在數(shù)字電視接收設(shè)備2中,如果應(yīng)用14被判定是由可信任傳送者發(fā)送的并且沒有被篡改,應(yīng)用24被允許訪問(wèn)許可信息文件28中示出的資源。XML在RFC 3023等中被詳細(xì)描述,因此這里省略其解釋。
以下描述數(shù)字電視接收設(shè)備2的硬件結(jié)構(gòu)。
圖10示出數(shù)字電視接收設(shè)備2的硬件結(jié)構(gòu)。如圖所示,數(shù)字電視接收設(shè)備2包含TS解碼器101、音頻解碼器102、視頻解碼器103、揚(yáng)聲器104、顯示器105、圖像輸出單元106、CPU 107、網(wǎng)絡(luò)設(shè)備108、輸入單元109、主存儲(chǔ)單元110、二級(jí)存儲(chǔ)單元111、以及ROM112。
數(shù)字電視接收設(shè)備2中,TS解碼器101對(duì)攜帶傳輸數(shù)據(jù)10的MPEG傳輸流進(jìn)行解復(fù)用,并且視頻解碼器103和音頻解碼器102分別解碼被由TS解碼器101獲得的視頻數(shù)據(jù)11和音頻數(shù)據(jù)12,并且將已解碼的視頻數(shù)據(jù)和音頻數(shù)據(jù)輸出至顯示器105和揚(yáng)聲器104。這樣,數(shù)字電視接收設(shè)備2回放廣播節(jié)目。
圖像輸出單元106在從視頻解碼器103輸出的已解碼視頻數(shù)據(jù)上疊加圖像數(shù)據(jù),諸如用于數(shù)字電視接收設(shè)備2的設(shè)置屏的圖像數(shù)據(jù)或者用于應(yīng)用14的顯示屏的圖像數(shù)據(jù)。
輸入單元109接收由觀看者通過(guò)遠(yuǎn)程控制進(jìn)行的用戶操作。
CPU 107按照輸入單元109接收的用戶操作來(lái)控制圖像輸出單元106以更新圖像數(shù)據(jù)。這樣,數(shù)字電視接收設(shè)備2執(zhí)行交互式操作。
主存儲(chǔ)單元110是實(shí)際由RAM實(shí)現(xiàn)的工作區(qū)域。從傳輸數(shù)據(jù)10分離的應(yīng)用14被存儲(chǔ)于主存儲(chǔ)單元110中。
二級(jí)存儲(chǔ)單元111是一包含在諸如硬盤或者EEPROM設(shè)備中的非易失性存儲(chǔ)器。二級(jí)存儲(chǔ)單元111存儲(chǔ)可信任傳送者列表。
ROM 112存儲(chǔ)用于控制數(shù)字電視接收設(shè)備2的程序。數(shù)字電視接收設(shè)備2的功能由CPU 107結(jié)合硬件資源執(zhí)行ROM 112中的程序來(lái)實(shí)現(xiàn)。
圖11示出ROM 112中存儲(chǔ)的程序的功能結(jié)構(gòu)。
ROM 112中存儲(chǔ)的程序包含控制單元201、應(yīng)用管理單元202、Java(注冊(cè)商標(biāo))類庫(kù)203、Java(注冊(cè)商標(biāo))VM204、設(shè)備驅(qū)動(dòng)器205、以及OS206。
控制單元201按照輸入單元109接收的用戶操作來(lái)控制數(shù)字電視接收設(shè)備2。
設(shè)備驅(qū)動(dòng)器205包含用于揚(yáng)聲器104、顯示器105、圖像輸出單元106、以及網(wǎng)絡(luò)設(shè)備108的驅(qū)動(dòng)。
應(yīng)用管理單元202和Java(注冊(cè)商標(biāo))類庫(kù)203控制存儲(chǔ)于主存儲(chǔ)單元110中的應(yīng)用14的執(zhí)行。
圖12詳細(xì)示出用于控制應(yīng)用14的執(zhí)行的功能結(jié)構(gòu)。
應(yīng)用管理單元202包含應(yīng)用信息讀取單元211、生存周期管理單元212、以及應(yīng)用認(rèn)證單元213。Java(注冊(cè)商標(biāo))類庫(kù)203包含安全管理單元221和資源庫(kù)222。
應(yīng)用信息讀取單元211從主存儲(chǔ)單元110讀取包含在附加數(shù)據(jù)13中的管理信息15。
生存周期管理單元212基于管理信息15,根據(jù)未簽名應(yīng)用、已簽名應(yīng)用以及暫時(shí)性未簽名應(yīng)用之一的啟動(dòng)過(guò)程來(lái)啟動(dòng)應(yīng)用14。
應(yīng)用認(rèn)證單元213包含傳送者識(shí)別單元214、認(rèn)證狀態(tài)管理單元215、篡改檢查單元216、以及許可讀取單元217,并認(rèn)證應(yīng)用14。認(rèn)證狀態(tài)管理單元215包含認(rèn)證狀態(tài)保存單元218和未簽名應(yīng)用許可保存單元219。未簽名應(yīng)用許可保存單元219持有未簽名應(yīng)用許可信息,該信息示出MHP中對(duì)訪問(wèn)被授權(quán)給未簽名應(yīng)用的資源的許可(下文簡(jiǎn)稱“未簽名應(yīng)用許可”)。例如,未簽名應(yīng)用許可信息通過(guò)用XML來(lái)編寫未簽名應(yīng)用許可進(jìn)行實(shí)現(xiàn)。
MHP禁止未簽名應(yīng)用訪問(wèn)預(yù)定資源。更詳細(xì)地,未簽名應(yīng)用被禁止訪問(wèn)圖9中以標(biāo)記“×”指示的資源。另一方面,已簽名應(yīng)用被授權(quán)無(wú)限制訪問(wèn)由包含于應(yīng)用中的許可信息文件指定的資源。
按照本實(shí)施例的暫時(shí)性未簽名應(yīng)用被使用未簽名應(yīng)用許可的授權(quán)而啟動(dòng),而不用等待應(yīng)用的篡改檢查的完成。這樣,暫時(shí)性未簽名應(yīng)用以與未簽名應(yīng)用相同的方式被禁止訪問(wèn)預(yù)定資源,直至篡改檢查完成。篡改檢查完成且暫時(shí)性未簽名應(yīng)用被判定為有效應(yīng)用后,暫時(shí)性未簽名應(yīng)用被授權(quán)以與已簽名應(yīng)用相同的方式,無(wú)限制訪問(wèn)由包含在應(yīng)用中的許可信息文件指定的資源。
在Java(注冊(cè)商標(biāo))類庫(kù)203中,安全管理單元221包含許可設(shè)置單元223和許可檢查單元224,并且控制應(yīng)用14被允許訪問(wèn)的資源范圍。
參照?qǐng)D13至15,具有上述結(jié)構(gòu)的數(shù)字電視接收設(shè)備2的操作被描述如下。這里,作為信道轉(zhuǎn)換結(jié)果發(fā)生的應(yīng)用14的自動(dòng)執(zhí)行被用作數(shù)字電視接收設(shè)備2的示例操作。
圖13是示出數(shù)字電視接收設(shè)備2中信道選擇過(guò)程的流程圖。
從輸入單元109接收到轉(zhuǎn)換至對(duì)應(yīng)于傳輸數(shù)據(jù)10的信道的用戶操作時(shí)(S1),控制單元201命令TS解碼器101轉(zhuǎn)換到該信道,并復(fù)用攜帶傳輸數(shù)據(jù)10的傳輸流。然后控制單元201命令視頻解碼器103和音頻解碼器102通過(guò)設(shè)備驅(qū)動(dòng)器205回放視頻數(shù)據(jù)11和音頻數(shù)據(jù)12(S2)??刂茊卧?01進(jìn)一步命令TS解碼器101將從傳輸數(shù)據(jù)10獲得的附加數(shù)據(jù)13存儲(chǔ)至主存儲(chǔ)單元110中,并命令應(yīng)用管理單元202控制應(yīng)用14的啟動(dòng)(S3)。為響應(yīng)存儲(chǔ)附加數(shù)據(jù)13的指令,TS解碼器101從傳輸數(shù)據(jù)10獲取攜帶附加數(shù)據(jù)13的對(duì)象傳送帶,并且順序地將所獲取的附加數(shù)據(jù)13存儲(chǔ)至主存儲(chǔ)單元110。當(dāng)自指令接收后經(jīng)過(guò)對(duì)象傳送帶的一個(gè)周期(例如,大約20秒)時(shí),整個(gè)附加數(shù)據(jù)13被獲取至主存儲(chǔ)單元110中。這完成了數(shù)字電視接收設(shè)備2中的信道選擇過(guò)程。
圖14A是示出數(shù)字電視接收設(shè)備2中應(yīng)用啟動(dòng)控制過(guò)程的流程圖。
當(dāng)從圖13步驟S3中控制單元201接收到控制應(yīng)用14的啟動(dòng)的指令時(shí),應(yīng)用管理單元202中的應(yīng)用信息讀取單元221從存儲(chǔ)于主存儲(chǔ)單元110中的附加數(shù)據(jù)13中讀取管理信息15(S11)。這里,當(dāng)觀看者選擇對(duì)應(yīng)于傳輸數(shù)據(jù)10的信道時(shí),TS解碼器101從對(duì)象傳送帶的哪個(gè)部分開始獲取附加數(shù)據(jù)13是未知的。這意味著,當(dāng)應(yīng)用信息讀取單元211試圖讀取管理信息15時(shí),管理信息15可能并未存在于主存儲(chǔ)單元110中(S12否)。在這種情況下,應(yīng)用信息讀取單元211重復(fù)嘗試讀取管理信息15,直至TS解碼器101接收到包含管理信息15的模塊。在讀取管理信息15(S12是)后,應(yīng)用信息讀取單元211將所讀取的管理信息15傳送至生存周期管理單元212。
生存周期管理單元212接收管理信息15,并判定是否自動(dòng)啟動(dòng)應(yīng)用14(S13)。更詳細(xì)地,生存周期管理單元212檢查管理信息15中的執(zhí)行標(biāo)記17。如果執(zhí)行標(biāo)記17是OFF(S13否),則生存周期管理單元212判定應(yīng)用14將不被自動(dòng)啟動(dòng),并結(jié)束該過(guò)程。如果執(zhí)行標(biāo)記17是ON(S13是),則生存周期管理單元212判定應(yīng)用14將被自動(dòng)啟動(dòng)。接下來(lái)的步驟S14至S16中,生存周期管理單元212基于管理信息15中的應(yīng)用標(biāo)識(shí)符16來(lái)判定應(yīng)用14是否是未簽名應(yīng)用、已簽名應(yīng)用、或者暫時(shí)性未簽名應(yīng)用。
如果應(yīng)用標(biāo)識(shí)符16在0x0000至0x3FFF的范圍中(S14是),生存周期管理單元212判定應(yīng)用14是傳統(tǒng)的未簽名應(yīng)用。在這種情況下,生存周期管理單元212從未簽名應(yīng)用許可保存單元219讀取未簽名應(yīng)用許可信息,并將未簽名應(yīng)用許可信息傳送至Java(注冊(cè)商標(biāo))類庫(kù)203的安全管理單元221中的許可設(shè)置單元223。許可設(shè)置單元223將被未簽名應(yīng)用許可信息示出的未簽名應(yīng)用許可設(shè)置為啟動(dòng)時(shí)授權(quán)給應(yīng)用14的訪問(wèn)許可225。
如果應(yīng)用標(biāo)識(shí)符16在0x4000至0x7FFF的范圍中(S15是),生存周期管理單元212判定應(yīng)用14是傳統(tǒng)的已簽名應(yīng)用,并命令應(yīng)用認(rèn)證單元213對(duì)應(yīng)用14進(jìn)行認(rèn)證。應(yīng)用認(rèn)證單元213執(zhí)行如下認(rèn)證。首先,傳送者識(shí)別單元214執(zhí)行傳送者識(shí)別(S18)。詳細(xì)地,傳送者識(shí)別單元214從主存儲(chǔ)單元110讀取圖5中示出的傳送者信息文件23。如果傳送者信息文件23中的發(fā)布者名稱23a被包含在預(yù)先存儲(chǔ)于二級(jí)存儲(chǔ)單元211中的可信任傳送者列表中,傳送者識(shí)別單元214判定應(yīng)用14的傳送者是可信任傳送者(S18是)。這里,傳送者信息文件23中的公共密鑰信息23b能夠被用于判定傳送者信息文件23是否是從傳送者自身發(fā)送的,其中該傳送者信息文件23是X.509證書。
如果應(yīng)用14的傳送者被判定為可信任傳送者,則應(yīng)用認(rèn)證單元213等待,直至整個(gè)應(yīng)用14被存儲(chǔ)于主存儲(chǔ)單元110中。此后,篡改檢查單元216對(duì)應(yīng)用14執(zhí)行篡改檢查(S19)。該篡改檢查能夠以以下方式進(jìn)行。對(duì)于應(yīng)用目錄22、主類目錄26、以及子類目錄30中的每個(gè),篡改檢查單元216根據(jù)目錄中包含的每個(gè)文件計(jì)算散列值,并將計(jì)算出的散列值與屬于該目錄的散列信息文件24、27和31之一示出的散列值相比較。進(jìn)一步地,篡改檢查單元216根據(jù)散列信息文件24計(jì)算一個(gè)散列值,利用傳送者信息文件23的公共密鑰信息23b中示出的公共密鑰來(lái)解密篡改檢查散列值文件25中的簽名數(shù)據(jù)25c以獲取一個(gè)散列值,并將兩個(gè)散列值相比較。如果所有上述比較結(jié)果相匹配,則篡改檢查單元216判定應(yīng)用14沒有被篡改。另一方面,如果任一上述比較結(jié)果不匹配,則篡改檢查單元216判定應(yīng)用14被篡改。如果應(yīng)用14被判定為沒有被篡改(S19是),則篡改檢查單元216通知許可讀取單元217認(rèn)證成功。作為響應(yīng),許可讀取單元217從主存儲(chǔ)單元110讀取許可信息文件28(S20)。這里,如果由于許可信息文件28首先不包含在應(yīng)用14中,結(jié)果許可讀取單元217不能讀取許可信息文件28,那么許可讀取單元217改為從未簽名應(yīng)用許可保存單元219讀取未簽名應(yīng)用許可信息。
通過(guò)生存周期管理單元212,許可讀取單元217將所讀取的許可信息文件28傳送至安全管理單元221中的許可設(shè)置單元223。許可設(shè)置單元223將許可信息文件28示出的已簽名應(yīng)用許可設(shè)置為訪問(wèn)許可225(S21)。
同時(shí),如果傳送者被判定不是可信任傳送者(S18否),或者如果應(yīng)用14被判定為已經(jīng)被篡改(S19否),則應(yīng)用認(rèn)證單元213通知生存周期管理單元212認(rèn)證失敗。生存周期管理單元212因此結(jié)束該過(guò)程,而不啟動(dòng)應(yīng)用14。
如果應(yīng)用標(biāo)識(shí)符16在0x8000至0xFFFF的范圍中(S16是),生存周期管理單元212判定應(yīng)用14是按照本實(shí)施例的新類型應(yīng)用——暫時(shí)性未簽名應(yīng)用,并命令應(yīng)用認(rèn)證單元213對(duì)應(yīng)用14進(jìn)行認(rèn)證。應(yīng)用認(rèn)證單元213等待,直至TS解碼器101接收到傳送者信息文件23、并將其存儲(chǔ)至主存儲(chǔ)單元110中。一旦傳送者信息文件23被存儲(chǔ)到主存儲(chǔ)單元110中,傳送者識(shí)別單元214就執(zhí)行與步驟S18中相同的傳送者認(rèn)證(S25)。如果應(yīng)用14的傳送者被判定為可信任傳送者(S25是),則應(yīng)用認(rèn)證單元213命令篡改檢查單元216和許可讀取單元217創(chuàng)建篡改檢查線程(S22),并且還通知生存周期管理單元212應(yīng)用14的傳送者是可信任傳送者。被通知后,生存周期管理單元212從未簽名應(yīng)用許可保存單元219讀取未簽名應(yīng)用許可信息,并將未簽名應(yīng)用許可信息傳送至安全管理單元221中的許可設(shè)置單元223。許可設(shè)置單元223將未簽名應(yīng)用許可信息示出的未簽名應(yīng)用許可設(shè)置為訪問(wèn)許可225(S23)。同時(shí),如果應(yīng)用14的傳送者被判定為不是可信任傳送者(S25否),應(yīng)用認(rèn)證單元213通知生存周期管理單元212應(yīng)用14的傳送者不是可信任傳送者。生存周期管理單元212因此結(jié)束該過(guò)程,而不啟動(dòng)應(yīng)用14。
在訪問(wèn)許可225在步驟S17、S21以及S23之任一中被設(shè)置后,生存周期管理單元212利用Java(注冊(cè)商標(biāo))類庫(kù)203來(lái)啟動(dòng)應(yīng)用14(S24)。這完成了應(yīng)用啟動(dòng)控制過(guò)程。
利用上述過(guò)程,應(yīng)用14的啟動(dòng)被加速。假定應(yīng)用14具有很大的數(shù)據(jù)量,并因此花費(fèi)很長(zhǎng)時(shí)間來(lái)獲取包含應(yīng)用14的對(duì)象傳送帶的一個(gè)周期和并根據(jù)應(yīng)用14計(jì)算散列值。按照用于傳統(tǒng)的已簽名應(yīng)用的過(guò)程,應(yīng)用14不能被啟動(dòng),直至對(duì)象傳送帶的一個(gè)周期被獲取并且應(yīng)用14被認(rèn)證。另一方面,按照用于暫時(shí)性未簽名應(yīng)用的過(guò)程,當(dāng)部分對(duì)象傳送帶被獲取時(shí),應(yīng)用14能夠被啟動(dòng)。
由篡改檢查單元216和許可讀取單元217在步驟S22中創(chuàng)建的篡改檢查線程具有以下過(guò)程。注意該篡改檢查線程與應(yīng)用14的執(zhí)行被并行處理,其中該應(yīng)用14是步驟S24中啟動(dòng)的暫時(shí)性未簽名應(yīng)用。
圖14B是示出篡改檢查線程的過(guò)程的流程圖。
在TS解碼器101獲取整個(gè)附加數(shù)據(jù)13并將整個(gè)應(yīng)用14存儲(chǔ)至主存儲(chǔ)單元110中后,篡改檢查單元216對(duì)應(yīng)用14執(zhí)行篡改檢查(S31)。如果作為篡改檢查結(jié)果,應(yīng)用14被判定為沒有被篡改(S32是),則篡改檢查單元216將此通知到許可讀取單元217。作為響應(yīng),許可讀取單元217從主存儲(chǔ)單元110讀取許可信息文件28,并將許可信息文件28傳送至認(rèn)證狀態(tài)管理單元215。過(guò)程結(jié)束前,認(rèn)證狀態(tài)管理單元215將許可信息文件28注冊(cè)至認(rèn)證狀態(tài)保存單元218中(S33)。另一方面,如果應(yīng)用14被判定為已經(jīng)被篡改(S32否),則篡改檢查單元216通知認(rèn)證狀態(tài)管理單元215認(rèn)證失敗。過(guò)程結(jié)束前,認(rèn)證狀態(tài)管理單元215將指示認(rèn)證失敗的信息注冊(cè)至認(rèn)證狀態(tài)保存單元218中(S34)。這完成了篡改檢查線程。
MHP規(guī)定,當(dāng)對(duì)于已簽名應(yīng)用的篡改檢查導(dǎo)致失敗時(shí),該已簽名應(yīng)用的文件大小被假定為零。作為結(jié)果,該已簽名應(yīng)用被視為沒有任何內(nèi)容,盡管該已簽名應(yīng)用本身存在。這樣,當(dāng)篡改檢查單元216通知應(yīng)用失敗時(shí),認(rèn)證狀態(tài)管理單元215執(zhí)行的步驟S34可以修改如下,以使得本發(fā)明與MHP相適應(yīng)。在步驟S34中,認(rèn)證狀態(tài)管理單元215將指示認(rèn)證失敗的信息注冊(cè)至認(rèn)證狀態(tài)保存單元218中。另外,在用于管理主存儲(chǔ)單元110的文件系統(tǒng)中,認(rèn)證狀態(tài)管理單元215將應(yīng)用14的每個(gè)文件的文件大小或者應(yīng)用14中每個(gè)文件的文件大小變?yōu)榱?,其中?duì)此計(jì)算出的散列值與散列信息文件中對(duì)應(yīng)的散列值不匹配。
與圖14B示出的篡改檢查線程并行地,圖14A的步驟S24中啟動(dòng)的暫時(shí)性未簽名應(yīng)用——應(yīng)用14被執(zhí)行。在應(yīng)用14的執(zhí)行中,Java(注冊(cè)商標(biāo))類庫(kù)203判定應(yīng)用14是否被允許訪問(wèn)應(yīng)用14請(qǐng)求的資源。在傳統(tǒng)的未簽名應(yīng)用或者已簽名應(yīng)用的情況下,基于步驟S17或者S21中設(shè)置的訪問(wèn)許可225來(lái)做出該判定。在按照本實(shí)施例的暫時(shí)性未簽名應(yīng)用的情況下,基于步驟S23中設(shè)置的訪問(wèn)許可225來(lái)做出判定,直至篡改檢查完成。在篡改檢查完成并且應(yīng)用被判定為沒有被篡改后,基于步驟S23中設(shè)置的訪問(wèn)許可225和在步驟S33中注冊(cè)到認(rèn)證狀態(tài)保存單元218中的許可信息文件28二者來(lái)做出判定。
以下解釋Java(注冊(cè)商標(biāo))類庫(kù)203如何控制作為暫時(shí)性未簽名應(yīng)用的應(yīng)用14對(duì)資源的訪問(wèn)。
圖15是示出控制應(yīng)用14訪問(wèn)資源的過(guò)程的流程圖。
當(dāng)應(yīng)用14需要訪問(wèn)資源時(shí),諸如連接到網(wǎng)絡(luò)或者從二級(jí)存儲(chǔ)單元111讀取文件時(shí),應(yīng)用14調(diào)用Java(注冊(cè)商標(biāo))類庫(kù)203中的資源庫(kù)222(S41)。
接收到調(diào)用后,資源庫(kù)222向安全管理單元221詢問(wèn)應(yīng)用14是否被允許訪問(wèn)該資源。
安全管理單元221通過(guò)許可檢查單元224查閱訪問(wèn)許可225,以判定訪問(wèn)許可225是否包含訪問(wèn)該資源的權(quán)限(S42)。這里,圖14A的步驟S23中未簽名應(yīng)用許可被設(shè)置為訪問(wèn)許可225。這樣,如果未簽名應(yīng)用許可包含對(duì)該資源的訪問(wèn)權(quán)限(S42是),則安全管理單元221向資源庫(kù)222通知應(yīng)用14被允許訪問(wèn)該資源。因此,在結(jié)束該過(guò)程前,資源庫(kù)222授權(quán)應(yīng)用14訪問(wèn)該資源,并發(fā)送請(qǐng)求至該資源(S43)。這樣,應(yīng)用14訪問(wèn)該資源。
如果被設(shè)置為訪問(wèn)許可225的未簽名應(yīng)用許可不包含對(duì)該資源的訪問(wèn)權(quán)限(S42否),則安全管理單元221向認(rèn)證狀態(tài)管理單元215詢問(wèn)認(rèn)證狀態(tài)。
如果篡改檢查線程的篡改檢查沒有完成(S44否),則認(rèn)證狀態(tài)管理單元215等待篡改檢查的完成。一旦篡改檢查完成(S44是),認(rèn)證狀態(tài)管理單元215從認(rèn)證狀態(tài)保存單元218讀取許可信息文件28,并將許可信息文件28傳送至安全管理單元221(S45)。
安全管理單元221從認(rèn)證狀態(tài)管理單元215接收許可信息文件28,并判定許可信息文件28是否包含對(duì)該資源的訪問(wèn)權(quán)限(S46)。安全管理單元221將判定結(jié)果通知給資源庫(kù)222。
如果許可信息文件28包含對(duì)該資源的訪問(wèn)權(quán)限(S46是),則資源庫(kù)222授權(quán)應(yīng)用14訪問(wèn)該資源,并發(fā)送請(qǐng)求至該資源(S43)。這樣,應(yīng)用14訪問(wèn)該資源。如果許可信息文件28不包含對(duì)該資源的訪問(wèn)權(quán)限(S46否),則在結(jié)束該過(guò)程前,資源庫(kù)222將指示禁止訪問(wèn)該資源的錯(cuò)誤信息發(fā)送至應(yīng)用14(S47)。在這種情況下,不能進(jìn)一步執(zhí)行應(yīng)用14,因此應(yīng)用14被終止。這完成了控制應(yīng)用14對(duì)資源的訪問(wèn)的過(guò)程,其中應(yīng)用14是暫時(shí)性未簽名應(yīng)用。
按照上述過(guò)程,在篡改檢查完成前,作為暫時(shí)性未簽名應(yīng)用的應(yīng)用14以未簽名應(yīng)用許可的授權(quán)被啟動(dòng),并且應(yīng)用14的指令被從最上層指令(top instruction)開始順序地執(zhí)行。在篡改檢查完成且應(yīng)用14被判定為沒有被篡改后,應(yīng)用14進(jìn)一步被授權(quán)由許可信息文件28指定的已簽名應(yīng)用許可,其中許可信息文件28由應(yīng)用14的傳送者生成。隨后,即使當(dāng)該執(zhí)行得到訪問(wèn)沒有被包含在未簽名應(yīng)用許可內(nèi)的資源的指令時(shí),如果由許可信息文件28指定的已簽名應(yīng)用許可包含對(duì)該資源的訪問(wèn)權(quán)限,則該指令仍能夠被執(zhí)行。
因此,應(yīng)用14能夠使用未簽名應(yīng)用許可的授權(quán)被快速啟動(dòng),而不用等待篡改檢查的完成。因?yàn)閼?yīng)用14被禁止訪問(wèn)不包含在未簽名應(yīng)用許可中的資源直至篡改檢查完成,因此高安全性被保證。在篡改檢查完成且應(yīng)用14被判定為沒有被篡改后,應(yīng)用14進(jìn)一步被授權(quán)訪問(wèn)未包含在未簽名應(yīng)用許可中的資源。這使得實(shí)現(xiàn)高功能應(yīng)用是可能的。
假定應(yīng)用14中,在顯示器105上再現(xiàn)圖像的指令先于使用未簽名應(yīng)用許可不能被執(zhí)行的指令,并且該未簽名應(yīng)用許可包含顯示圖形的權(quán)限。按照上述過(guò)程,無(wú)論應(yīng)用14的整個(gè)數(shù)據(jù)量如何,圖像都能夠被快速顯示在顯示器105上,這使得縮短觀看者的等待時(shí)間并提高操作性是可能的。
在傳統(tǒng)的已簽名應(yīng)用的情況下,應(yīng)用14中每個(gè)文件的篡改檢查都需要先于啟動(dòng)完成,即使當(dāng)應(yīng)用14僅執(zhí)行圖形顯示也是如此。如果這種應(yīng)用14的整個(gè)數(shù)據(jù)量很大,會(huì)花費(fèi)很長(zhǎng)時(shí)間來(lái)從傳輸流獲取應(yīng)用14并對(duì)應(yīng)用14執(zhí)行篡改檢查。這導(dǎo)致應(yīng)用14啟動(dòng)的延遲,并因此導(dǎo)致圖形顯示的生成的延遲。另一方面,在按照本實(shí)施例的暫時(shí)性未簽名應(yīng)用的情況下,具有未簽名應(yīng)用許可的授權(quán)的應(yīng)用14先于篡改檢查的完成而被啟動(dòng)。因此,圖形顯示能夠在未簽名應(yīng)用許可范圍內(nèi)被快速生成。
這里注意,即使當(dāng)應(yīng)用14是暫時(shí)性未簽名應(yīng)用時(shí),也需要在啟動(dòng)前,利用管理信息15中的應(yīng)用標(biāo)識(shí)符16來(lái)判定應(yīng)用14的類型、并利用傳送者信息文件23來(lái)識(shí)別應(yīng)用14的傳送者。為此,需要先于啟動(dòng)來(lái)獲取至少管理信息15、傳送者信息文件23、以及包含應(yīng)用14的最上層指令的主類文件29。
由此,諸如圖16中示出的對(duì)象傳送帶可以被用于傳輸附加數(shù)據(jù)13。在該圖中,應(yīng)用14被分為4個(gè)模塊A1至A4,并且管理信息15被包含于模塊M1中。在該對(duì)象傳送帶中,攜帶傳送者信息文件23和主類文件29的模塊A1、以及攜帶管理信息15的模塊M1比其他模塊被更頻繁地傳送。無(wú)論TS解碼器101在對(duì)象傳送帶的哪一部分開始獲取附加數(shù)據(jù)13,這都增加了減少獲取主類文件29、傳送者信息文件23以及管理信息15所需時(shí)間的可能性。因此應(yīng)用14的啟動(dòng)能夠被進(jìn)一步加速。
(第二實(shí)施例)第一實(shí)施例描述了從傳輸流獲取應(yīng)用的示例,但是記錄于可移動(dòng)記錄介質(zhì)上的應(yīng)用也能夠被存儲(chǔ)于主存儲(chǔ)單元110中并被執(zhí)行。然而,與來(lái)自廣播站的傳輸流傳送的應(yīng)用相比,被記錄于可移動(dòng)記錄介質(zhì)上的應(yīng)用能夠被利用個(gè)人計(jì)算機(jī)等更容易地進(jìn)行分析,并因此更可能被篡改。
由此,本發(fā)明的第二實(shí)施例描述了一種數(shù)字電視接收設(shè)備,該數(shù)字電視接收設(shè)備依照應(yīng)用的獲取途徑,改變?cè)诖鄹臋z查完成前在啟動(dòng)時(shí)暫時(shí)性地授權(quán)給應(yīng)用的訪問(wèn)許可。
圖17示出第二實(shí)施例涉及的數(shù)字電視接收設(shè)備3的硬件結(jié)構(gòu)。與第一實(shí)施例中相同的部件被賦予相同的參考標(biāo)號(hào),并省略其解釋。
數(shù)字電視接收設(shè)備3與第一實(shí)施例的數(shù)字電視接收設(shè)備2的不同之處在于,進(jìn)一步包含了二級(jí)存儲(chǔ)單元113。
二級(jí)存儲(chǔ)單元113是諸如SD卡或光盤這樣的可移動(dòng)非易失性存儲(chǔ)器。不同的應(yīng)用被存儲(chǔ)于二級(jí)存儲(chǔ)單元111和二級(jí)存儲(chǔ)單元113中。
圖18示出數(shù)字電視接收設(shè)備3中用于控制應(yīng)用14的執(zhí)行的功能結(jié)構(gòu)。該結(jié)構(gòu)與圖12示出的第一實(shí)施例的結(jié)構(gòu)的不同之處在于,生存周期管理單元212包含了獲取途徑保存單元231,并且認(rèn)證狀態(tài)管理單元215包含了第一暫時(shí)性許可保存單元232、第二暫時(shí)性許可保存單元233和第三暫時(shí)性許可保存單元234,而取代了未簽名應(yīng)用許可保存單元219。
獲取途徑保存單元231是持有獲取途徑信息的功能塊,該獲取途徑信息示出存儲(chǔ)于主存儲(chǔ)單元110中的應(yīng)用14被獲取的獲取途徑。當(dāng)應(yīng)用14被存儲(chǔ)于主存儲(chǔ)單元110中時(shí),該獲取途徑信息被應(yīng)用信息讀取單元211獲取,并被設(shè)置在獲取途徑保存單元231中。主要有四種獲取途徑從傳輸流分離的應(yīng)用;從二級(jí)存儲(chǔ)單元111讀取的應(yīng)用;從二級(jí)存儲(chǔ)單元113讀取的應(yīng)用;以及從因特網(wǎng)下載的應(yīng)用。在本實(shí)施例中,對(duì)這些獲取途徑的篡改風(fēng)險(xiǎn)被假定為以傳輸流、二級(jí)存儲(chǔ)單元111、二級(jí)存儲(chǔ)單元113、因特網(wǎng)的順序增長(zhǎng)。
第一暫時(shí)性許可保存單元232、第二暫時(shí)性許可保存單元233和第三暫時(shí)性許可保存單元234分別持有第一暫時(shí)性許可信息、第二暫時(shí)性許可信息和第三暫時(shí)性許可信息。第一暫時(shí)性許可信息、第二暫時(shí)性許可信息和第三暫時(shí)性許可信息各自示出對(duì)訪問(wèn)資源的許可??稍L問(wèn)資源的數(shù)目以第一暫時(shí)性許可信息、第二暫時(shí)性許可信息和第三暫時(shí)性許可信息的順序減少。更詳細(xì)地,第一暫時(shí)性許可信息示出第一暫時(shí)性許可,其包含顯示控制權(quán)限、控制傳輸流和選擇信道的權(quán)限、以及訪問(wèn)二級(jí)存儲(chǔ)單元111和113的權(quán)限。第二暫時(shí)性許可信息示出第二暫時(shí)性許可,其包含顯示控制權(quán)限和訪問(wèn)二級(jí)存儲(chǔ)單元111和113的權(quán)限。第三暫時(shí)性許可信息示出第三暫時(shí)性許可,其包含顯示控制權(quán)限和訪問(wèn)作為可移動(dòng)非易失性存儲(chǔ)器的二級(jí)存儲(chǔ)單元113的權(quán)限。與第一實(shí)施例中的未簽名應(yīng)用許可信息類似,第一暫時(shí)性許可信息、第二暫時(shí)性許可信息和第三暫時(shí)性許可信息各自通過(guò)用XML來(lái)編寫相應(yīng)的許可來(lái)實(shí)現(xiàn)。
具有上述結(jié)構(gòu)的數(shù)字電視接收設(shè)備3以以下方式設(shè)置啟動(dòng)時(shí)授權(quán)給應(yīng)用14的訪問(wèn)許可225。這里,當(dāng)應(yīng)用14的獲取途徑具有較低篡改風(fēng)險(xiǎn)時(shí),數(shù)字電視接收設(shè)備3授權(quán)應(yīng)用14訪問(wèn)更多資源。
圖19是示出數(shù)字電視接收設(shè)備3中啟動(dòng)時(shí)設(shè)置訪問(wèn)許可225的過(guò)程的流程圖。
生存周期管理單元212從獲取途徑保存單元231讀取獲取途徑信息(S61)?;谒x取的獲取途徑信息,生存周期管理單元212判定獲取應(yīng)用14所通過(guò)的獲取途徑(S62、S64、以及S65)。
如果應(yīng)用14是從傳輸流獲取的(S62是),則生存周期管理單元212從第一暫時(shí)性許可保存單元232讀取第一暫時(shí)性許可信息,并命令安全管理單元221將第一暫時(shí)性許可信息示出的第一暫時(shí)性許可設(shè)置為訪問(wèn)許可225(S63)。
如果應(yīng)用14是從二級(jí)存儲(chǔ)單元111讀取的(S64是,且S65否),則生存周期管理單元212從第二暫時(shí)性許可保存單元233讀取第二暫時(shí)性許可信息,并命令安全管理單元212將第二暫時(shí)性許可信息示出的第二暫時(shí)性許可設(shè)置為訪問(wèn)許可225(S66)。
如果應(yīng)用14是從二級(jí)存儲(chǔ)單元113讀取的(S64是,且S65是)或者從因特網(wǎng)下載的(S64否),則生存周期管理單元212從第三暫時(shí)性許可保存單元234讀取第三暫時(shí)性許可信息,并命令安全管理單元212將第三暫時(shí)性許可信息示出的第三暫時(shí)性許可設(shè)置為訪問(wèn)許可225(S67)。
按照該過(guò)程,依照應(yīng)用14的獲取途徑,在啟動(dòng)時(shí)暫時(shí)性地授權(quán)給應(yīng)用14的訪問(wèn)許可225發(fā)生改變。如果應(yīng)用14的獲取途徑具有較低的篡改風(fēng)險(xiǎn),則應(yīng)用14被暫時(shí)性地授權(quán)訪問(wèn)更多資源。因?yàn)槔迷L問(wèn)更多資源的授權(quán),應(yīng)用14的更多指令能夠被執(zhí)行,所以由于在暫時(shí)性許可之內(nèi)資源調(diào)用的發(fā)生不被允許而導(dǎo)致的必須等待篡改檢查完成的可能性減少了。
該實(shí)施例描述了這種情況對(duì)于獲取途徑的篡改風(fēng)險(xiǎn)以傳輸流、二級(jí)存儲(chǔ)單元111、二級(jí)存儲(chǔ)單元113和因特網(wǎng)的順序減少。然而,在因特網(wǎng)的情況下,在使用SSL或類似來(lái)下載通過(guò)TCP/IP傳送的、加密形式的數(shù)據(jù)和未使用SSL或類似來(lái)下載未加密形式的數(shù)據(jù)之間,篡改風(fēng)險(xiǎn)進(jìn)一步有所不同。這就是說(shuō),當(dāng)沒有使用SSL來(lái)下載應(yīng)用14時(shí),篡改風(fēng)險(xiǎn)更高。因此通過(guò)依照SSL的使用而改變暫時(shí)性地授權(quán)給應(yīng)用的訪問(wèn)許可,本發(fā)明也能夠被應(yīng)用于從因特網(wǎng)下載應(yīng)用并執(zhí)行它的應(yīng)用執(zhí)行設(shè)備。詳細(xì)地,如果應(yīng)用14是使用SSL從因特網(wǎng)下載的,則相比當(dāng)應(yīng)用14是沒有使用SSL而被下載時(shí),應(yīng)用14被暫時(shí)性地授權(quán)訪問(wèn)更多的資源。
第二實(shí)施例描述了這種情況暫時(shí)性地授權(quán)給應(yīng)用14的訪問(wèn)許可依照應(yīng)用14的獲取途徑的篡改風(fēng)險(xiǎn)而改變。作為選擇,暫時(shí)性地授權(quán)給應(yīng)用14的訪問(wèn)許可可以依照通過(guò)獲取途徑獲取應(yīng)用所需的時(shí)間段而改變?;谥T如傳輸流的數(shù)據(jù)傳輸速率或者二級(jí)存儲(chǔ)單元的數(shù)據(jù)訪問(wèn)時(shí)間這樣的因素,應(yīng)用獲取所需的該時(shí)間段能夠被確定。這樣,當(dāng)應(yīng)用14的獲取途徑需要用于應(yīng)用獲取的較長(zhǎng)時(shí)間段時(shí),對(duì)更多資源的訪問(wèn)可以被暫時(shí)性地授權(quán)給應(yīng)用14。這樣做時(shí),當(dāng)花費(fèi)較長(zhǎng)時(shí)間來(lái)獲取應(yīng)用14并因此執(zhí)行篡改檢查時(shí),應(yīng)用14被暫時(shí)性地授權(quán)訪問(wèn)更多的資源,因此應(yīng)用14中的更多指令能夠被執(zhí)行。這使得觀看者可以使用應(yīng)用14,而不用注意篡改檢查還沒有完成。
同樣,從二級(jí)存儲(chǔ)單元讀取應(yīng)用比從傳輸流獲取應(yīng)用要花費(fèi)短得多的時(shí)間。由此,可以采用圖20示出的過(guò)程。
在圖20中,如果應(yīng)用14的獲取途徑是傳輸流(S51是),則創(chuàng)建篡改檢查線程,而不用等待整個(gè)應(yīng)用14被存儲(chǔ)到主存儲(chǔ)單元110中(S52)。然后應(yīng)用14被授權(quán)第三暫時(shí)性許可(S53)并被啟動(dòng)(S57)。如果應(yīng)用14的獲取途徑不是傳輸流(S51否),則以與傳統(tǒng)的已簽名應(yīng)用相同的方法,步驟S54至S57在整個(gè)應(yīng)用14被存儲(chǔ)到主存儲(chǔ)單元110后被執(zhí)行。這樣做時(shí),僅當(dāng)應(yīng)用14的獲取花費(fèi)很長(zhǎng)時(shí)間時(shí),應(yīng)用14的啟動(dòng)才被加速。否則,按照傳統(tǒng)的已簽名應(yīng)用的過(guò)程來(lái)安全地執(zhí)行應(yīng)用14。
(變型)已經(jīng)以上述實(shí)施例描述了本發(fā)明,盡管很明顯地,本發(fā)明不限于上述情況。下面給出示例變型。
(1)本發(fā)明也適用于上述實(shí)施例中的流程圖示出的應(yīng)用執(zhí)行方法??梢酝ㄟ^(guò)能夠被計(jì)算機(jī)執(zhí)行的計(jì)算機(jī)可讀程序來(lái)實(shí)現(xiàn)該方法。這種計(jì)算機(jī)程序可以作為數(shù)字信號(hào)被發(fā)送。
本發(fā)明可以由計(jì)算機(jī)可讀記錄介質(zhì)來(lái)實(shí)現(xiàn),所述計(jì)算機(jī)可讀記錄介質(zhì)諸如軟盤、硬盤、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(藍(lán)光光盤)、或者半導(dǎo)體存儲(chǔ)器,上述提及的計(jì)算機(jī)可讀程序和/或數(shù)字信號(hào)被記錄其上。
反過(guò)來(lái),本發(fā)明也可以由記錄于這種記錄介質(zhì)上的計(jì)算機(jī)可讀程序和/或數(shù)字信號(hào)來(lái)實(shí)現(xiàn)。
實(shí)現(xiàn)本發(fā)明的計(jì)算機(jī)可讀程序或數(shù)字信號(hào)也可以通過(guò)網(wǎng)絡(luò)被傳輸,所述網(wǎng)絡(luò)諸如電子通信網(wǎng)絡(luò)、有線或者無(wú)線通信網(wǎng)絡(luò)、或者因特網(wǎng)。
同樣,通過(guò)分發(fā)記錄了計(jì)算機(jī)可讀程序和/或數(shù)字信號(hào)的記錄介質(zhì)、或者通過(guò)網(wǎng)絡(luò)發(fā)送計(jì)算機(jī)可讀程序和/或數(shù)字信號(hào),計(jì)算機(jī)程序和/或數(shù)字信號(hào)可以被提供給獨(dú)立的計(jì)算機(jī)系統(tǒng)。然后該獨(dú)立的計(jì)算機(jī)系統(tǒng)可以執(zhí)行計(jì)算機(jī)可讀程序和/或數(shù)字信號(hào)來(lái)按照本發(fā)明運(yùn)行。
(2)本發(fā)明也可以由控制應(yīng)用執(zhí)行設(shè)備的LSI電路來(lái)實(shí)現(xiàn)。這種LSI電路能夠通過(guò)集成圖12或18中示出的功能塊來(lái)實(shí)現(xiàn)。這些功能塊可以在多個(gè)芯片中單獨(dú)地構(gòu)造,或者部分或全部構(gòu)造于一個(gè)芯片中。
這里提及的LSI電路依照集成度可以是集成電路、系統(tǒng)大規(guī)模集成電路、超大規(guī)模集成電路、或者甚大規(guī)模集成電路。
作為選擇,專用電路或者通用處理器可以被用于電路集成以替代LSI。作為制造后可被編程的LSI芯片的FPGA(現(xiàn)場(chǎng)可編程門陣列)和能夠重新配置LSI芯片中電路單元連接和設(shè)置的可重配置處理器也是可應(yīng)用的。
作為半導(dǎo)體和其它技術(shù)進(jìn)步的結(jié)果,如果將來(lái)發(fā)展出能夠取代傳統(tǒng)的LSI的新的IC技術(shù),上述實(shí)施例中描述的功能塊和部件可以使用該技術(shù)來(lái)集成。例如,對(duì)于這樣的技術(shù),可以采用生物工程技術(shù)。
(3)第一實(shí)施例描述了這種情況具有未簽名應(yīng)用許可的授權(quán)的應(yīng)用先于篡改檢查的完成被啟動(dòng)。然而,本發(fā)明不限于此,只要該應(yīng)用被暫時(shí)性地授權(quán)這種不會(huì)不利地影響設(shè)備的訪問(wèn)許可即可。例如,除了被判定為具有不利地影響設(shè)備的風(fēng)險(xiǎn)的訪問(wèn)權(quán)限之外,該應(yīng)用可以被授權(quán)未簽名應(yīng)用許可。作為選擇,該應(yīng)用可以被授權(quán)包含于未簽名應(yīng)用許可中的所有訪問(wèn)權(quán)限、以及進(jìn)一步被授權(quán)對(duì)可以無(wú)安全損失地訪問(wèn)的二級(jí)存儲(chǔ)單元111中的文件的訪問(wèn)權(quán)限。
(4)第一實(shí)施例描述了這種情況傳輸流從一個(gè)廣播設(shè)備發(fā)送并被一個(gè)數(shù)據(jù)電視接收設(shè)備接收。然而,本發(fā)明不限于這種廣播設(shè)備和數(shù)字電視接收設(shè)備之間的數(shù)字關(guān)系,系統(tǒng)可以包含多個(gè)用于發(fā)送傳輸流的廣播設(shè)備和多個(gè)用于接收傳輸流的數(shù)字電視接收設(shè)備。
(5)本發(fā)明不限于特定的應(yīng)用傳輸途徑的物理特性,對(duì)于通過(guò)諸如地面波、人造衛(wèi)星和有線電視這樣的不同傳輸途徑傳送的應(yīng)用都是適用的。
(6)第一和第二實(shí)施例將數(shù)字電視接收設(shè)備作為本發(fā)明的應(yīng)用執(zhí)行設(shè)備的示例進(jìn)行描述,但是本發(fā)明對(duì)于諸如移動(dòng)電話這樣的用于執(zhí)行應(yīng)用的其它環(huán)境同樣適用。
(7)第一和第二實(shí)施例中描述的限定和變型可以自由組合。
工業(yè)實(shí)用性本發(fā)明的應(yīng)用執(zhí)行設(shè)備具有加速應(yīng)用啟動(dòng)的效果,并能夠有效地應(yīng)用于例如獲取利用對(duì)象傳送帶傳送的應(yīng)用并執(zhí)行所獲取的應(yīng)用的數(shù)字電視接收設(shè)備。
權(quán)利要求
1.一種應(yīng)用執(zhí)行設(shè)備,包括獲取單元,用于獲取包含訪問(wèn)資源的指令的應(yīng)用程序;判定單元,用于判定所獲取的應(yīng)用程序是否被篡改;暫時(shí)性許可設(shè)置單元,用于獲得示出僅訪問(wèn)第一資源的許可的暫時(shí)性許可信息;確定性許可設(shè)置單元,用于獲得示出訪問(wèn)所述第一資源和第二資源的許可的確定性許可信息;以及執(zhí)行單元,用于在所述判定單元完成所述判定前,在所述暫時(shí)性許可信息示出的所述許可范圍內(nèi)開始執(zhí)行所述應(yīng)用程序,以及在所述判定單元完成所述判定后,如果所述應(yīng)用程序被判定為沒有被篡改,則在所述確定性許可信息示出的所述許可范圍內(nèi)繼續(xù)執(zhí)行所述應(yīng)用程序。
2.如權(quán)利要求1所述的應(yīng)用執(zhí)行設(shè)備,其中如果所述應(yīng)用程序被判定為被篡改,則所述執(zhí)行單元假定所述應(yīng)用程序的文件大小為零。
3.如權(quán)利要求1所述的應(yīng)用執(zhí)行設(shè)備,其中在所述獲取單元完成所述應(yīng)用程序的獲取前,所述執(zhí)行單元開始執(zhí)行所述應(yīng)用程序。
4.如權(quán)利要求3所述的應(yīng)用執(zhí)行設(shè)備,其中通過(guò)接收攜帶所述應(yīng)用程序的數(shù)字流,所述獲取單元獲取所述應(yīng)用程序。
5.如權(quán)利要求4所述的應(yīng)用執(zhí)行設(shè)備,其中所述數(shù)字流是數(shù)字電視廣播的傳輸流,以及使用對(duì)象傳送帶,所述應(yīng)用程序被復(fù)用于所述傳輸流中。
6.如權(quán)利要求5所述的應(yīng)用執(zhí)行設(shè)備,其中所述第一資源是在MHP中未簽名應(yīng)用被允許訪問(wèn)的資源。
7.如權(quán)利要求5所述的應(yīng)用執(zhí)行設(shè)備,還包括傳送者識(shí)別單元,用于基于用于識(shí)別所述傳送者的傳送者信息來(lái)識(shí)別所述應(yīng)用程序的傳送者,其中所述對(duì)象傳送帶除了包含所述應(yīng)用程序外還包含所述傳送者信息,所述獲取單元還獲取所述傳送者信息,以及在所述傳送者識(shí)別單元完成所述傳送者的識(shí)別后,所述執(zhí)行單元開始執(zhí)行所述應(yīng)用程序。
8.如權(quán)利要求1所述的應(yīng)用執(zhí)行設(shè)備,其中所述獲取單元還獲取示出所述應(yīng)用程序的類型的應(yīng)用標(biāo)識(shí)符,以及如果所獲取的應(yīng)用標(biāo)識(shí)符示出的所述類型與預(yù)定類型相匹配,則在所述判定單元完成所述判定前,所述執(zhí)行單元開始執(zhí)行所述應(yīng)用程序。
9.如權(quán)利要求8所述的應(yīng)用執(zhí)行設(shè)備,其中所述預(yù)定類型是在所述判定單元完成所述判定之前僅被允許訪問(wèn)所述第一資源的應(yīng)用程序的類型。
10.如權(quán)利要求1所述的應(yīng)用執(zhí)行設(shè)備,其中在執(zhí)行包含于所述應(yīng)用程序中的所述指令的過(guò)程中,當(dāng)所述執(zhí)行單元得到訪問(wèn)所述第二資源的指令、但是所述判定單元沒有完成所述判定時(shí),所述執(zhí)行單元等待直至所述判定單元完成所述判定。
11.如權(quán)利要求1所述的應(yīng)用執(zhí)行設(shè)備,其中所述應(yīng)用程序包含示出所述應(yīng)用程序的散列值的散列信息,以及通過(guò)計(jì)算所獲取的應(yīng)用程序的散列值并將所計(jì)算的散列值與由所述散列信息示出的所述散列值相比較,所述判定單元判定所獲取的應(yīng)用程序是否被篡改。
12.如權(quán)利要求1所述的應(yīng)用執(zhí)行設(shè)備,其中所述獲取單元通過(guò)具有不同級(jí)別的篡改風(fēng)險(xiǎn)的多個(gè)獲取途徑之一來(lái)獲取所述應(yīng)用程序,所述暫時(shí)性許可設(shè)置單元獲得對(duì)應(yīng)于所述應(yīng)用程序的所述獲取途徑的所述暫時(shí)性許可信息,以及當(dāng)所述應(yīng)用程序的所述獲取途徑具有較低級(jí)別的篡改風(fēng)險(xiǎn)時(shí),對(duì)應(yīng)于所述獲取途徑的所述暫時(shí)性許可信息示出訪問(wèn)包含特定資源在內(nèi)的所述第一資源的所述許可,其中對(duì)所述特定資源的訪問(wèn)在不利地影響所述應(yīng)用執(zhí)行設(shè)備方面上具有較高風(fēng)險(xiǎn)。
13.如權(quán)利要求12所述的應(yīng)用執(zhí)行設(shè)備,其中當(dāng)所述應(yīng)用程序的所述獲取途徑具有較低級(jí)別的篡改風(fēng)險(xiǎn)時(shí),所述應(yīng)用程序處于加密的形式,以及當(dāng)所述應(yīng)用程序的所述獲取途徑具有較高級(jí)別的篡改風(fēng)險(xiǎn)時(shí),所述應(yīng)用程序處于未加密的形式。
14.如權(quán)利要求1所述的應(yīng)用執(zhí)行設(shè)備,其中所述獲取單元通過(guò)具有不同的獲取應(yīng)用程序所需的時(shí)間段的多個(gè)獲取途徑之一來(lái)獲取所述應(yīng)用程序,所述暫時(shí)性許可設(shè)置單元獲得對(duì)應(yīng)于所述應(yīng)用程序的所述獲取途徑的所述暫時(shí)性許可信息,以及當(dāng)所述應(yīng)用程序的所述獲取途徑具有所需的較長(zhǎng)時(shí)間段時(shí),對(duì)應(yīng)于所述獲取途徑的所述暫時(shí)性許可信息示出訪問(wèn)包含特定資源在內(nèi)的所述第一資源的所述許可,其中對(duì)所述特定資源的訪問(wèn)在不利地影響所述應(yīng)用執(zhí)行設(shè)備方面上具有的較高風(fēng)險(xiǎn)。
15.如權(quán)利要求1所述的應(yīng)用執(zhí)行設(shè)備,還包括已簽名應(yīng)用執(zhí)行單元,用于如果所述獲取單元通過(guò)從記錄介質(zhì)讀取所述應(yīng)用程序而獲取所述應(yīng)用程序、并且所述判定單元判定所述應(yīng)用程序沒有被篡改,則在所述判定單元完成所述判定后,開始執(zhí)行所述應(yīng)用程序,其中如果所述獲取單元通過(guò)接收攜帶所述應(yīng)用程序的數(shù)字流來(lái)獲取所述應(yīng)用程序,則在所述判定單元完成所述判定前,所述執(zhí)行單元開始執(zhí)行所述應(yīng)用程序。
16.一種集成電路,包括獲取單元,用于獲取包含訪問(wèn)資源的指令的應(yīng)用程序;判定單元,用于判定所獲取的應(yīng)用程序是否被篡改;暫時(shí)性許可設(shè)置單元,用于獲得示出僅訪問(wèn)第一資源的許可的暫時(shí)性許可信息;確定性許可設(shè)置單元,用于獲得示出訪問(wèn)所述第一資源和第二資源的許可的確定性許可信息;以及執(zhí)行單元,用于在所述判定單元完成所述判定前,在所述暫時(shí)性許可信息示出的所述許可范圍內(nèi)開始執(zhí)行所述應(yīng)用程序,以及在所述判定單元完成所述判定后,如果所述應(yīng)用程序被判定為沒有被篡改,則在所述確定性許可信息示出的所述許可范圍內(nèi)繼續(xù)執(zhí)行所述應(yīng)用程序。
17.一種應(yīng)用執(zhí)行方法,包括獲取步驟,用于獲取包含訪問(wèn)資源的指令的應(yīng)用程序;判定步驟,用于判定所獲取的應(yīng)用程序是否被篡改;暫時(shí)性許可設(shè)置步驟,用于獲得示出僅訪問(wèn)第一資源的許可的暫時(shí)性許可信息;確定性許可設(shè)置步驟,用于獲得示出訪問(wèn)所述第一資源和第二資源的許可的確定性許可信息;以及執(zhí)行步驟,用于在所述判定步驟完成所述判定前,在所述暫時(shí)性許可信息示出的所述許可范圍內(nèi)開始執(zhí)行所述應(yīng)用程序,以及在所述判定步驟完成所述判定后,如果所述應(yīng)用程序被判定為沒有被篡改,則在所述確定性許可信息示出的所述許可范圍內(nèi)繼續(xù)執(zhí)行所述應(yīng)用程序。
18.一種用于使計(jì)算機(jī)執(zhí)行以下步驟的計(jì)算機(jī)可讀程序獲取步驟,用于獲取包含訪問(wèn)資源的指令的應(yīng)用程序;判定步驟,用于判定所獲取的應(yīng)用程序是否被篡改;暫時(shí)性許可設(shè)置步驟,用于獲得示出僅訪問(wèn)第一資源的許可的暫時(shí)性許可信息;確定性許可設(shè)置步驟,用于獲得示出訪問(wèn)所述第一資源和第二資源的許可的確定性許可信息;以及執(zhí)行步驟,用于在所述判定步驟完成所述判定前,在所述暫時(shí)性許可信息示出的所述許可范圍內(nèi)開始執(zhí)行所述應(yīng)用程序,以及在所述判定步驟完成所述判定后,如果所述應(yīng)用程序被判定為沒有被篡改,則在所述確定性許可信息示出的所述許可范圍內(nèi)繼續(xù)執(zhí)行所述應(yīng)用程序。
全文摘要
用對(duì)被授權(quán)給未簽名應(yīng)用的資源的訪問(wèn)許可來(lái)啟動(dòng)應(yīng)用。與該應(yīng)用的執(zhí)行并行地,使用篡改檢查線程對(duì)該應(yīng)用進(jìn)行篡改檢查。當(dāng)在完成篡改檢查之前,在應(yīng)用的執(zhí)行過(guò)程中請(qǐng)求訪問(wèn)未授權(quán)給未簽名應(yīng)用的資源時(shí),應(yīng)用進(jìn)入等待狀態(tài)直到完成篡改檢查。作為篡改檢查的結(jié)果,在應(yīng)用被判定為沒有被篡改后,該應(yīng)用被進(jìn)一步授予對(duì)由包含在該應(yīng)用中的許可信息文件指定的資源的訪問(wèn)許可。如果該進(jìn)一步授予的訪問(wèn)許可包括對(duì)該資源的訪問(wèn)權(quán)限,則繼續(xù)執(zhí)行應(yīng)用。
文檔編號(hào)G06F21/00GK1853408SQ20048002677
公開日2006年10月25日 申請(qǐng)日期2004年9月17日 優(yōu)先權(quán)日2003年9月17日
發(fā)明者今西芳典 申請(qǐng)人:松下電器產(chǎn)業(yè)株式會(huì)社