n,Brussels,BE,N° 266,De cember21,1995.)。
[0036] 设备4还包括:解密装置12,用于对所接收的多媒体内容进行解密;W及解码装置 14,用于经由授权控制消息ECM的控制消息所接收的经加密控制字。
[0037] 解密装置12W及解码装置14能够执行具有第一安全等级的安全服务,所述第一 安全等级是所考虑的最高安全等级。特别地,该意味着执行由该些装置实施的、很难通过任 何类型的攻击来窃用的安全服务是重要的。
[003引执行安全服务所需的各种参数被存储在相关的存储器16中。
[0039] 解码装置14和解密装置12被实施W根据接收的多媒体内容提供经解密多媒体内 容,该经解密多媒体内容随后被提供给能够实时对其进行解码的解码器8从而提供在检索 装置6上能够被检索的多媒体内容。
[0040] 多媒体处理设备4进一步包括用于连接至通信网络20的装置18,该通信网络20 例如为因特网。
[0041] 此外,也存在用于执行应用服务的装置22,该些应用服务具有较第一安全等级低 的相关安全等级,因而要求较低的安全性。
[0042] 例如,具有低于所述第一安全等级的安全等级的第=方应用服务通常为由第=方 服务器提供并且由多媒体内容处理设备4的用户进行下载及安装的软件应用。第=方服务 器24通常完全独立于向发射器2负责的提供商或运营商。
[0043] 例如,第S方应用服务可W是使得用户能够查看银行数据的银行应用。另一第S 方应用服务例如为与检索装置6和可用的控制装置7兼容的游戏应用。
[0044] 还存在用于存储与第=方应用服务相关的参数和数据的存储装置26。
[0045] 在一个替代实施例中,用于实现本发明的处理设备4被W机顶盒类型的连接外壳 的形式实现,其能够发送经解密多媒体内容到具有针对多媒体内容的检索装置的用户设 备,比如电视机。图2示出了软件架构,该软件架构使得有可能实现根据本发明的一个实施 例参考图1所描述的各种装置。
[0046] 在该实施例中,由多媒体内容处理设备4执行的一组服务在分别被标记为G1、G2 和G3的=个虚拟机组之间进行划分,该=个虚拟机组受控于图2中被标记为30的管理器 或虚拟机监视器(VirtualMachineMonitor,VMM)。
[0047] 管理器是一种已知的软件机制,其使得有可能在由一个或更多处理器构成的硬件 支持上创建任何数量的分离且独立的虚拟处理器W及对存储器(RAM、SRAM等)进行分区。 将参考图3对管理器进行更为详细的描述。
[0048] 管理器30经由向每个虚拟机W及每个虚拟机组分配执行权限的指令31、32、33来 控制各个虚拟机组G1、G2和G3。不同的虚拟机被严格独立地执行,即使它们属于同一组。
[0049] 第一虚拟机组G1实现针对第=方应用服务的执行装置22,该些第=方应用服务 来自受控于应用提供商的第=方服务器,该应用提供商独立于提供多媒体内容的运营商。 第=方服务器可通过通信网络20进行访问并且第=方应用服务有用户进行下载和安装。 [0化0] 第一组中的每个虚拟机执行与给定组的第=方应用服务(在图中分别被标记为 APPi、APP2和APPs)对应的软件找。在图2所示的示例中,在组G1中仅示出了一个虚拟机, 其软件找由多个第S方应用组成;与服务APPi相关的34,与服务APP2相关的35W及与服 务APPs相关的36。
[0化1] 可替换地,出于性能的原因,考虑到将相似的应用服务集合在由虚拟机执行的单 个软件找中,该些相似的服务具有非常接近和交织的功能。在该种情况下,第一组的虚拟机 执行第=方应用服务的集合。
[0化2] 此外,具有高执行权限的特定虚拟机组G1的虚拟处理器37的一个实施例专用于 实现操作系统OSi,例如由执行APPi,APP2,APPs所需的库组所完成的Linux程序集,通常被 称为执行时间。
[0化3] 第二虚拟机组G2专用于受控于运营商或运营商之一但却具有较第一安全等级低 的相关安全等级的应用或者应用服务38,该些运营商负责经加密多媒体数据发射器2。运 营商所提供的服务由操作系统0S2进行支持,该操作系统0S2由虚拟处理器的特权模式39 来实现。
[0054]操作系统OS,可不同于操作系统0S1,从而使得有可能使异构操作环境共存。
[0055] 可W考虑到运营商所提供的服务的安全等级不同于与用户安装的第S方应用服 务相关联的安全等级,但是其仍然低于用于管理安全性的组G3的安全等级W及管理器的 最大等级。
[0化6] 例如,运营商所提供的服务包括付费收看多媒体内容备选项(offer)、内容重播备 选项、内容推荐、免费内容等。
[0057] 在一个实施例中,服务由运营商提供或者当多媒体内容处理设备4被提供给用户 时将服务预先安装在该多媒体内容处理设备4中。也可W考虑对运营商所提供的服务进行 更新。在该种情况下,设置为由管理器30经由认证协议对运营商进行认证W使得运营商所 发射的应用服务由管理器30进行安装从而被第二虚拟机组G2的虚拟机所执行。
[005引所有由运营商提供并且要求等于所述第一安全等级的高安全等级的服务(被称 为安全服务),尤其是由接入控制10、解密装置12和解码装置14进行的服务各自由来自第 =虚拟机组G3的虚拟机或者由该组虚拟机之一的进程来执行。特别地,来自组G3的虚拟 机向接入控制服务提供解码服务,使得有可能验证用户对多媒体内容的接入权限。
[0化9] 虚拟机组G3或者安全组也执行具有第一安全等级的其他服务,例如安全显示、安 全存储、安全网络接入、密码和/或登录入口(Entry)等。
[0060] 来自该虚拟机组G3的虚拟机实现监视40或安全监视服务,该使得有可能验证由 其他虚拟机组所分别执行的服务的执行顺应性并且在必要时停止/重启有问题的虚拟机。 当来自组G1和G2的虚拟机之一的行为偏离或者表现为偏离该些组各自所声明的安全先决 条件时,如果组中的一个或所有虚拟机的行为偏离预定的框架(例如,反恶意软件或反病 毒软件),则安全监视系统40可W在组G1或G2之一的执行合同(executioncon化act)要 求的情况下,决定停止或重启组中的一个或所有虚拟机。
[0061] 虚拟机组G3也进行"可信第=方"服务41,从而确保对W下可用硬件资源的公平 分享;存储器16、26,网络连接18,执行时间和对当前物理资源的使用,尤其是GPU型的专用 处理器。
[0062] 来自其他虚拟器组的虚拟机将经由安全信道42、44被连接至可信第=方服务41, 从而使得该些虚拟机能够使用特定协议与可信第=方服务41通信。安全通信信道为其使 用不会直接危害使用它的虚拟机的操作的信道。即使使用安全信道的虚拟机之一受到攻击 而被损害,该信道的使用不会直接导致使用该信道的其他虚拟机的安全性的恶化。该样的 安全信道对本领域技术人员是已知的;该些安全信道主要建立在W严格限制的方式统计地 分配的资源(处理器、存储器、总线)上。当然,安全信道不会停止攻击和间接信道扣除,但 是他们将延缓威胁的蔓延并且提供时间W供安全组G3作出响应。
[0063] 因此,可信第=方服务41根据预建立的规范来保障每个虚拟机组的安全合同、来 自组G1和G2的某些数据的保护和完整性W及对攻击或缺陷的相对抗渗性。
[0064] 图3示意性地示出了对分别被标记为VM。和VM。的虚拟机进行控制的管理器30在 Intel⑩处理器架构下的实施方式。
[0065] 管理器30被开发为软件程序的形式,该软件程序承载在由给定个数(n个)的合 适物理处理器所提供的硬件介质上。被标记为50、52的此类处理器如图所示。该组物理处 理器组成了虚拟存储器管理单元(MMU)。
[0066] 管理器30在启动时运行并且控制所有硬件资源W用一组虚拟处理器或虚拟机的 操作来代替n个本地物理处理器的操作。
[0067] 传统上,处理器虚拟化包括修改物理处理器的操作系统的