专利名称:应用执行设备、应用执行方法、集成电路、和计算机可读程序的利记博彩app
技术领域:
本发明涉及一种获取并执行应用程序的应用执行设备,特别是涉 及执行通过数字电视广播获取的应用程序的技术。
背景技术:
近年来,已经就各种数字电视广播标准进行了研究。这样的标准 的一个例子是在许多国家被使用的MHP(多媒体家庭平台)。按照 MHP,广播设备在广播波中复用应用程序(以下简称"应用")并使用 对象传送带(data carousd沐对其进行传输,并且数字电视接收设备接 收并执行该应用。
通过执行这种应用,数字电视接收设备能够完成传统的电视接收 设备无法完成的各种功能。例如,能够实现交互式电视系统,由此数 字电视接收设备通过诸如因特网这样的网络将信息发送到广播站,其 中该信息是被应用连同从广播波接收的广播节目一起收集的。
然而,如果对资源无限制访问,例如数字电视接收设备中文件系 统的使用和网络的连接,被授权给应用,那么当该应用包含恶意代码 时,用户可能遭受损害或者该数字电视接收设备的控制系统可能遭受 不利影响。例如,执行包含恶意代码的应用可能导致观看期间信道转 换的发生,或者存储于该数字电视接收设备中的信息被泄漏或破坏。 为避免这种情况,MHP规范的第12节"安全性"定义了怎样安全地 执行应用。
按照该节,有两种类型的应用不需认证的未签名应用;需要认证的已签名应用。
未签名应用不需认证就被执行,但是,为保护系统,禁止可能不 利地影响系统的资源访问。
已签名应用被允许比未签名应用访问更多的资源。然而,在启动
前,通过使用1509证书识别该应用的传送者、并基于散列值检查该 应用是否被篡改,来对该已签名应用执行认证。只有当认证成功,该 已签名应用才被启动。这样,通过仅执行被认证为由可信任传送者发 送的有效应用的已签名应用,保护了系统。
然而,该技术有以下问题。尽管已签名应用比未签名应用提供更 高的功能,但是已签名应用不能被及时启动,因为它首先需要被认证。 这引发了对于更快启动高功能应用的技术的需求。
发明内容
本发明旨在提供一种应用执行设备、 一种应用执行方法、 一种用 于应用执行设备的集成电路、和一种保证安全性的同时能够加速启动 高功能应用的计算机可读程序。
所述目标能够通过一种应用执行设备来完成,该应用执行设备包
括获取单元,用于获取包含访问资源的指令的应用程序;判定单元,
用于判定所获取的应用程序是否被篡改;暂时性(tentative)许可设置单
元,用于获得示出仅访问第一资源的许可的暂时性许可信息;确定性 (defmite)许可设置单元,用于获得示出访问第一资源和第二资源的许 可的确定性许可信息;以及执行单元,用于在判定单元完成判定前, 在暂时性许可信息示出的许可范围内开始执行该应用程序,并且在该 判定单元完成判定后,如果该应用程序被判定为没有被篡改,则在确 定性许可信息示出的许可范围内继续执行该应用程序。
按照上述结构,该应用执行设备能够启动应用程序,而不需要等 待完成篡改检査的等待时间。如果作为篡改检査的结果,该应用程序 被判定为没有被篡改,那么该应用程序被授权访问不仅第一资源和而 且第二资源。这使得实现需要访问第二资源的高功能应用程序是可能 的。因此,能够在保证高安全性的同时快速启动高功能应用程序。
这里,如果应用程序被判定为被篡改,执行单元可以假定该应用 程序的文件大小为零。
按照上述结构,如果应用程序被判定为为被篡改,则该应用程序 的文件大小被假定为零。这防止该应用程序被进一步执行。
这样,即使当应用程序被篡改而包含可能不利地影响设备的访问 第二资源的指令时,高安全性也能够被保证。
这里,执行单元可以在获取单元完成应用程序的获取前开始执行 该应用程序。
按照上述结构,应用执行设备能够启动应用程序,而不需要等待 完成该应用程序的获取的等待时间。
这使得该应用程序更快速地被启动。
这里,获取单元可以通过接收携带应用程序的数字流来获取该应 用程序。
按照上述结构,当由于数字流的低传输速率导致花费很长时间获 取应用程序时,应用执行设备能够启动该应用程序,而不用等待完成 该应用程序的获取。
因此,无论携带应用程序的数字流的传输速率如何,该应用程序 都能够被快速启动。
这里,数字流可以是数字电视广播的传输流,其中应用程序被利 用对象传送带复用于该传输流中。
数字电视接收设备获取例如100,000步骤的应用程序所需的时间 段是大约20秒,其中使用对象传送带在传输流中传送该100,000步 骤的应用程序,该大约20秒对应于该对象传送带的一个周期。这表 明,在需要对整个应用程序执行的篡改检查完成前,至少20秒是必 须的。具有上述结构的应用执行设备能够启动该应用程序,而不需要 这样的等待完成获取该应用程序的等待时间。
因此,应用程序的启动能够由从启动所需的部分应用程序被获取 到整个应用程序被获取的时间段来加速。
这里,第一资源可以是在MHP中未签名应用被允许访问的资源。按照上述结构,在篡改检査完成前,应用程序被授权访问MHP 中传统的未签名应用程序被允许访问的第一资源。同时,由于有不利 地影响设备的风险,应用程序被禁止访问第二资源,直至篡改检查的 完成,其中该第二资源是在MHP中传统的未签名应用程序被禁止访 问的。
因此,与传统的未签名应用程序相同的安全级别能够被保证,直 至篡改检査的完成。
这里,应用执行设备可以进一步包含传送者识别单元,用于基
于用来识别传送者的传送者信息来识别应用程序的传送者,其中对象 传送带除了包含应用程序外还包含传送者信息,获取单元进一步获取 该传送者信息,并且在传送者识别单元完成传送者识别后,执行单元 开始执行该应用程序。
按照上述结构,应用执行设备不启动应用程序,直至传送者被识 别。这防止了执行不可信任传送者发送的应用程序,以此可以提高安 全性。
这里,获取单元可以进一步获取示出应用程序类型的应用标识 符,其中如果所获取的应用标识符示出的类型与预定类型相符,则执 行单元在判定单元完成判定前开始执行该应用程序。
按照上述结构,依照应用程序的类型,应用执行设备在篡改检查 完成前启动该应用程序。
这样,按照本发明的新类型的应用程序能够被处理,该处理不同 于直至篡改检查完成才能被启动的传统的已签名应用程序。
这里,当执行单元在执行被包含在该应用程序中的指令的过程 中,得到访问第二资源的指令但是判定单元没有完成判定时,执行单 元可以等待直至判定单元完成判定。
按照上述结构,应用程序被禁止访问第二资源,直至篡改检査的 完成。通过这种禁止对第二资源的访问,保证了高安全性,其中对第 二资源的访问可能不利地影响设备。在篡改检查完成且应用程序被判 定为没有被篡改后,该应用程序被授权访问第二资源。这使得可以实 现高功能的应用程序。这里,应用程序可以包含示出该应用程序的散列值的散列信息, 其中,通过计算所获取的应用程序的散列值、并将计算的散列值与散 列信息示出的散列值相比较,判定单元判定所获取的应用程序是否被 篡改。
按照上述结构,如果应用程序的至少一个部分被篡改,则散列值 的比较将导致不匹配。因此应用的篡改能够被准确地检测到,以此可 以获得高安全性。
这里,获取单元可以通过具有不同级别的篡改风险的多个获取途 径之一来获取应用程序,其中暂时性许可设置单元获得对应于该应用 程序的获取途径的暂时性许可信息,并且当该应用程序的获取途径具 有较低级别的篡改风险时,对应于获取途径的暂时性许可信息示出对 访问包含特定资源在内的第一资源的许可,其中对该特定资源的访问 在不利地影响应用执行设备方面上具有较高风险。
按照上述结构,当从具有较低级别的篡改风险的安全获取途径获 取应用程序时,该应用程序被授权访问更多资源,包含具有不利地影 响设备的风险的资源。这使得应用程序中更多指令被执行,使得更有 可能到执行单元得到访问第二资源的指令时完成篡改检査。
这减少了等待篡改检查完成的需要。因此,用户能够在保证高安 全性的同时方便地使用应用程序。
这里,当应用程序的获取途径具有较低级别的篡改风险时,该应 用程序可以处于加密的形式,其中当应用程序的获取途径具有较高级 别的篡改风险时,该应用程序处于未加密的形式。
按照上述结构,当应用程序被以加密形式获取时,该应用程序被 授权访问更多资源,包括具有不利地影响设备的风险的资源。这使得 应用程序中的更多指令被执行。
结果,等待篡改检査完成的需要减少了。因此,用户能够在保证 高安全性的同时方便地使用该应用程序。
这里,获取单元可以通过具有不同的获取应用程序所需时间段的 多个获取途径之一来获取应用程序,其中暂时性许可设置单元获得对 应于该应用程序的获取途径的暂时性许可信息,并且当该应用程序的获取途径需要较长时间段时,对应于该获取途径的暂时性许可信息示 出对访问包含特定资源在内的第一资源的许可,其中对该特定资源的 访问在不利地影响应用执行设备方面上具有较高的风险。
当从获取应用程序所需的时间段较长的获取途径获取应用程序 时,在篡改检査完成前花费了较长时间。按照上述结构,这样的应用 程序在篡改检查完成前被授权访问更多资源,包含具有不利地影响设 备的风险的资源。这使得应用程序的更多指令被执行,因此更有可能 到执行单元得到访问第二资源的指令时完成篡改检查。
结果,等待篡改检查完成的需要减少了,因此,用户能够方便地 使用应用程序,即使当应用程序的获取花费很长时间时也是如此。
这里,应用执行设备可以进一步包含已签名应用执行单元,用 于如果获取单元通过从记录介质读取应用程序而获得该应用程序、并 且判定单元判定该应用程序没有被篡改,则在判定单元完成判定后开 始执行该应用程序,其中,如果获取单元通过接收携带该应用程序的 数字流来获取该应用程序,则执行单元在判定单元完成判定前开始执 行该应用程序。
从记录介质获取应用程序并因此对该应用程序执行篡改检查只 花费很短时间。在这种情况下,具有上述结构的应用执行设备在篡改 检査完成后启动该应用程序,这与传统的已签名应用程序的方式相 同。结果,获得了与传统的已签名应用程序相同级别的安全性。
同时,从数字流获取应用程序并因此对该应用程序执行篡改检査 要花费很长时间。在这种情况下,应用执行设备利用仅访问第一资源 的授权来启动该应用程序,而不需要等待篡改检査的完成。在篡改检 査完成且应用程序被判定为没有被篡改后,该应用程序进一步被授权 访问第二资源,作为其结果,访问第二资源的指令能够被执行。这样 做时,在保证安全性的同时加速了应用程序的启动。
所述目标也能够通过一种包括以下单元的集成电路来完成获取 单元,用于获取包含访问资源的指令的应用程序;判定单元,用于判 定所获取的应用程序是否被篡改;暂时性许可设置单元,用于获得示 出仅访问第一资源的许可的暂时性许可信息;确定性许可设置单元,用于获得示出访问第一资源和第二资源的许可的确定性许可信息;以 及执行单元,用于在判定单元完成判定前,在暂时性许可信息示出的 许可范围内开始执行应用程序,以及在判定单元完成判定后,如果该 应用程序被判定为没有被篡改,则在确定性许可信息示出的许可范围 内继续执行该应用程序。
按照上述结构,集成电路能够启动应用程序,而不需要等待完成 篡改检査的等待时间。如果作为篡改检査的结果,该应用程序被判定 为没有被篡改,那么该应用程序被授权访问不仅第一资源而且第二资 源。这使得实现需要访问第二资源的高功能应用程序是可能的。
因此,能够在保证高安全性的同时快速启动高功能应用程序。
所述目标也能够通过一种包括以下步骤的应用执行方法来完成
获取步骤,用于获取包含访问资源的指令的应用程序;判定步骤,用 于判定所获取的应用程序是否被篡改;暂时性许可设置步骤,用于获 得示出仅访问第一资源的许可的暂时性许可信息;确定性许可设置步 骤,用于获得示出访问第一资源和第二资源的许可的确定性许可信 息;以及执行步骤,用于在判定步骤完成判定前,在暂时性许可信息 示出的许可范围内开始执行应用程序,以及在判定步骤完成判定后, 如果该应用程序被判定为没有被篡改,则在确定性许可信息示出的许 可范围内继续执行该应用程序。
按照上述方法,应用程序能够被启动,而不需要等待完成篡改检 查的等待时间。如果作为篡改检查的结果,该应用程序被判定为没有 被篡改,那么该应用程序被授权访问不仅第一资源而且第二资源。这 使得实现需要访问第二资源的高功能应用程序是可能的。
因此,能够在保证高安全性的同时快速启动高功能应用程序。 所述目标也能够通过一种使计算机执行以下步骤的计算机可读 程序来完成获取步骤,用于获取包含访问资源的指令的应用程序; 判定步骤,用于判定所获取的应用程序是否被篡改;暂时性许可设置 步骤,用于获得示出仅访问第一资源的许可的暂时性许可信息;确定 性许可设置步骤,用于获得示出访问第一资源和第二资源的许可的确 定性许可信息;以及执行步骤,用于在判定步骤完成判定前,在暂时性许可信息示出的许可范围内开始执行应用程序,以及在判定步骤完 成判定后,如果该应用程序被判定为没有被篡改,则在确定性许可信 息示出的许可范围内继续执行该应用程序。
按照上述程序,应用程序能够被启动,而不需要等待完成篡改检 查的等待时间。如果作为篡改检査的结果,该应用程序被判定为没有 被篡改,那么该应用程序被授权访问不仅第一资源而且第二资源。这 使得实现需要访问第二资源的高功能应用程序是可能的。
因此,能够在保证高安全性的同时快速启动高功能应用程序。
图1示出包括本发明第一实施例涉及的数字电视接收设备的交
互式电视系统的结构;
图2A示出传输数据的结构;
图2B是携带图2A中示出的传输数据的传输流的表示图3是图2中示出的管理信息的数据结构的表示图4是图2中示出的应用的目录结构的表示图5示出图4中示出的传送者信息文件的数据结构;
图6示出图4中示出的散列信息文件的数据结构;
图7示出图4中示出的篡改检查散列值文件的数据结构;
图8示出图4中示出的许可信息文件的示例;
图9示出按照MHP专门用于未签名应用和已签名应用的访问许
可;
图IO示出图1中示出的数字电视接收设备的硬件结构; 图11示出存储于图10中示出的ROM中的程序的功能结构; 图12示出用于控制应用执行的功能结构; 图13是示出数字电视接收设备中信道选择过程的流程图; 图14A是示出数字电视接收设备中应用启动控制过程的流程图; 图14B是示出创建于图14A的步骤S22中的篡改检査线程的流 程图15是示出控制应用访问资源的过程的流程图;图16示出携带图2中示出的附加数据的对象传送带的示例; 图17示出本发明第二实施例涉及的数字电视接收设备的硬件结
构;
图18示出图17中示出的数字电视接收设备中控制应用的执行的 功能结构;
图19是示出图17示出的数字电视接收设备启动时设置访问许可 的过程的流程图20是示出作为第二实施例的变型的过程的流程图。
具体实施例方式
(第一实施例)
下文描述了本发明的应用执行设备的第一实施例。在第一实施例 中,从广播波获取应用并执行该应用的数字电视接收设备被用作应用 执行设备的示例。
图1示出包含第一实施例的数字电视接收设备的交互式电视系 统的结构。
在该图中,广播设备l被安装于数字电视广播站内。广播设备l 发送数字电视广播的传输数据10,并通过诸如因特网这样的网络从 数字电视接收设备2接收信息。
数字电视接收设备2被数字电视广播的观看者使用。数字电视接 收设备2从广播设备1接收数字电视广播的传输数据10。数字电视 接收设备2具有回放包含于传输数据10中的广播节目的功能,以及 执行包含于传输数据10中的应用的功能。通过该应用的执行,数字 电视接收设备2通过网络发送信息至广播设备1。这样,完成了交互 式服务。
图2A示出从广播设备1发送的传输数据10的结构。如图所示, 传输数据10大致由广播程序的视频数据11和音频数据12、以及附 加数据13组成。传输数据10实际由MPEG2传输流实现,该传输流 通过复用视频数据11的流、音频数据12的流、以及被对象传送带携 带的DSM-CC段中的附加数据13来生成,如图2B所示出的。MPEG2传输流和DSM-CC分别在MPEG规范ISO/正C 138181-1和138181-6
中被详细描述,因此这里省略其解释。
附加数据13包含应用14、以及应用14的管理信息15,其中应 用14是用Java(注册商标)编写的程序。因为对象传送带被用于附加 数据13,因此相同的信息被循环传输。这样,无论观看者何时选择 对应于传输数据10的信道,数字电视接收设备2都能够在预定时间 段内获取整个附加数据13。
图3是管理信息15的数据结构的表示图。
在该图中,管理信息15包含应用标识符16、执行标记17、保留 标记18、以及保留信息19。
应用标识符16取值为0x0000至0xFFFF之一,并唯一标识应用 14。当应用标识符16在范围0x0000至0x3FFF中时,应用14是MHP 中定义的未签名应用。当应用标识符16在范围0x4000至0x7FFF中 时,应用14是MHP中定义的已签名应用。当应用标识符16在范围 0x8000至0xFFFF中时,应用14是暂时性未签名应用,它是按照本 实施例的一种新类型应用。
图4是应用14的目录结构的表示图。在该图中,应用14在根目 录21下具有应用目录22。应用目录22包含传送者信息文件23、应 用目录22的散列信息文件24、篡改检查散列值文件25、以及主类目 录26。
主类目录26包含主类目录26的散列信息文件27、许可信息文 件28、主类文件29、以及子类目录30。子类目录30包含子类目录 30的散列信息文件31、以及子类文件32和33。
图5详细示出图4中示出的传送者信息文件23的数据结构。传 送者信息文件23是用于证明应用14的传送者身份的X.509证书。在 X.509证书中,发布者名称23a示出传送者的名称,公共密钥信息23b 示出被用于解密篡改检查散列值文件25中的签名数据的公共密钥。 X.509在RFC 2459等中被详细描述,因此这里省略其解释。
图6详细示出图4中示出的散列信息文件24的数据结构。散列 信息文件24包含示出散列值数目的散列值计数24a,以及一一对应于散列值的多个信息集合。每个信息集合由散列算法24b、示出文件 数目的文件计数24c、文件的文件名称24d、以及由文件计算出的散 列值24e组成。
图7详细示出图4中示出的篡改检查散列值文件25的数据结构。 篡改检査散列值文件25包含X.509证书标识符25a、散列算法25b、 以及签名数据25c。利用与传送者信息文件23中的公共密钥信息23b 示出的公共密钥相应的秘密密钥,通过加密从散列信息文件24计算 出的散列值,来生成签名数据25c。
图8示出图4中示出的许可信息文件28的示例。许可信息文件 28以XML示出访问应用14的执行中所需的资源的许可。更详细地, 许可信息文件28示出对访问属于图9中示出的附加许可组的一个或 者更多资源的许可。在数字电视接收设备2中,如果应用14被判定 是由可信任传送者发送的并且没有被篡改,应用24被允许访问许可 信息文件28中示出的资源。XML在RFC 3023等中被详细描述,因 此这里省略其解释。
以下描述数字电视接收设备2的硬件结构。
图10示出数字电视接收设备2的硬件结构。如图所示,数字电 视接收设备2包含TS解码器101、音频解码器102、视频解码器103、 扬声器104、显示器105、图像输出单元106、 CPU 107、网络设备 108、输入单元109、主存储单元IIO、 二级存储单元lll、以及ROM 112。
数字电视接收设备2中,TS解码器101对携带传输数据10的 MPEG传输流进行解复用,并且视频解码器103和音频解码器102分 别解码被由TS解码器101获得的视频数据11和音频数据12,并且 将已解码的视频数据和音频数据输出至显示器105和扬声器104。这 样,数字电视接收设备2回放广播节目。
图像输出单元106在从视频解码器103输出的已解码视频数据上 叠加图像数据,诸如用于数字电视接收设备2的设置屏的图像数据或 者用于应用14的显示屏的图像数据。
输入单元109接收由观看者通过远程控制进行的用户操作。CPU107按照输入单元109接收的用户操作来控制图像输出单元 106以更新图像数据。这样,数字电视接收设备2执行交互式操作。
主存储单元110是实际由RAM实现的工作区域。从传输数据10 分离的应用14被存储于主存储单元110中。
二级存储单元111是一包含在诸如硬盘或者EEPROM设备中的 非易失性存储器。二级存储单元111存储可信任传送者列表。
ROM 112存储用于控制数字电视接收设备2的程序。数字电视 接收设备2的功能由CPU 107结合硬件资源执行ROM 112中的程序 来实现。
图11示出ROM 112中存储的程序的功能结构。
ROM 112中存储的程序包含控制单元201、应用管理单元202、
Java(注册商标)类库203、 Java(注册商标)VM 204、设备驱动器205、
以及OS 206。
控制单元201按照输入单元109接收的用户操作来控制数字电视 接收设备2。
设备驱动器205包含用于扬声器104、显示器105、图像输出单 元106、以及网络设备108的驱动。
应用管理单元202和Java(注册商标)类库203控制存储于主存储 单元110中的应用14的执行。
图12详细示出用于控制应用14的执行的功能结构。
应用管理单元202包含应用信息读取单元211 、生存周期管理单 元212、以及应用认证单元213。 Java(注册商标)类库203包含安全管 理单元221和资源库222。
应用信息读取单元211从主存储单元110读取包含在附加数据 13中的管理信息15。
生存周期管理单元212基于管理信息15,根据未签名应用、已 签名应用以及暂时性未签名应用之一的启动过程来启动应用14。
应用认证单元213包含传送者识别单元214、认证状态管理单元 215、篡改检査单元216、以及许可读取单元217,并认证应用14。 认证状态管理单元215包含认证状态保存单元218和未签名应用许可保存单元219。未签名应用许可保存单元219持有未签名应用许可信 息,该信息示出MHP中对访问被授权给未签名应用的资源的许可(下 文简称"未签名应用许可")。例如,未签名应用许可信息通过用XML 来编写未签名应用许可进行实现。
MHP禁止未签名应用访问预定资源。更详细地,未签名应用被 禁止访问图9中以标记"X"指示的资源。另一方面,已签名应用被
授权无限制访问由包含于应用中的许可信息文件指定的资源。
按照本实施例的暂时性未签名应用被使用未签名应用许可的授 权而启动,而不用等待应用的篡改检查的完成。这样,暂时性未签名 应用以与未签名应用相同的方式被禁止访问预定资源,直至篡改检査 完成。篡改检查完成且暂时性未签名应用被判定为有效应用后,暂时 性未签名应用被授权以与已签名应用相同的方式,无限制访问由包含 在应用中的许可信息文件指定的资源。
在Java(注册商标)类库203中,安全管理单元221包含许可设置 单元223和许可检查单元224,并且控制应用14被允许访问的资源 范围。
参照图13至15,具有上述结构的数字电视接收设备2的操作被 描述如下。这里,作为信道转换结果发生的应用14的自动执行被用 作数字电视接收设备2的示例操作。
图13是示出数字电视接收设备2中信道选择过程的流程图。 从输入单元109接收到转换至对应于传输数据10的信道的用户 操作时(S1),控制单元201命令TS解码器101转换到该信道,并复 用携带传输数据10的传输流。然后控制单元201命令视频解码器103 和音频解码器102通过设备驱动器205回放视频数据11和音频数据 12(S2)。控制单元201进一步命令TS解码器101将从传输数据10获 得的附加数据13存储至主存储单元110中,并命令应用管理单元202 控制应用14的启动(S3)。为响应存储附加数据13的指令,TS解码器 101从传输数据10获取携带附加数据13的对象传送带,并且顺序地 将所获取的附加数据13存储至主存储单元110。当自指令接收后经 过对象传送带的一个周期(例如,大约20秒)时,整个附加数据13被获取至主存储单元110中。这完成了数字电视接收设备2中的信道选 择过程。
图14A是示出数字电视接收设备2中应用启动控制过程的流程图。
当从图13步骤S3中控制单元201接收到控制应用14的启动的 指令时,应用管理单元202中的应用信息读取单元221从存储于主存 储单元110中的附加数据13中读取管理信息15(S11)。这里,当观看 者选择对应于传输数据10的信道时,TS解码器101从对象传送带的 哪个部分开始获取附加数据13是未知的。这意味着,当应用信息读 取单元2U试图读取管理信息15时,管理信息15可能并未存在于主 存储单元110中(S12:否)。在这种情况下,应用信息读取单元211 重复尝试读取管理信息15,直至TS解码器101接收到包含管理信息 15的模块。在读取管理信息15(S12:是)后,应用信息读取单元211 将所读取的管理信息15传送至生存周期管理单元212。
生存周期管理单元212接收管理信息15,并判定是否自动启动 应用14(S13)。更详细地,生存周期管理单元212检査管理信息15中 的执行标记17。如果执行标记17是OFF(S13:否),则生存周期管理 单元212判定应用14将不被自动启动,并结束该过程。如果执行标 记17是ON(S13:是),则生存周期管理单元212判定应用14将被自 动启动。接下来的步骤S14至S16中,生存周期管理单元212基于管 理信息15中的应用标识符16来判定应用14是否是未签名应用、已 签名应用、或者暂时性未签名应用。
如果应用标识符16在0x0000至0x3FFF的范围中(S14:是),生 存周期管理单元212判定应用14是传统的未签名应用。在这种情况 下,生存周期管理单元212从未签名应用许可保存单元219读取未签 名应用许可信息,并将未签名应用许可信息传送至Java(注册商标)类 库203的安全管理单元221中的许可设置单元223。许可设置单元223 将被未签名应用许可信息示出的未签名应用许可设置为启动时授权 给应用14的访问许可225。
如果应用标识符16在0x4000至0x7FFF的范围中(S15:是),生存周期管理单元212判定应用14是传统的已签名应用,并命令应用 认证单元213对应用14进行认证。应用认证单元213执行如下认证。 首先,传送者识别单元214执行传送者识别(S18)。详细地,传送者 识别单元214从主存储单元110读取图5中示出的传送者信息文件 23。如果传送者信息文件23中的发布者名称23a被包含在预先存储 于二级存储单元211中的可信任传送者列表中,传送者识别单元214 判定应用14的传送者是可信任传送者(S18:是)。这里,传送者信息 文件23中的公共密钥信息23b能够被用于判定传送者信息文件23是 否是从传送者自身发送的,其中该传送者信息文件23是乂.509证书。
如果应用14的传送者被判定为可信任传送者,则应用认证单元 213等待,直至整个应用14被存储于主存储单元110中。此后,篡 改检査单元216对应用14执行篡改检查(S19)。该篡改检查能够以以 下方式进行。对于应用目录22、主类目录26、以及子类目录30中的 每个,篡改检査单元216根据目录中包含的每个文件计算散列值,并 将计算出的散列值与属于该目录的散列信息文件24、 27和31之一示 出的散列值相比较。进一步地,篡改检查单元216根据散列信息文件 24计算一个散列值,利用传送者信息文件23的公共密钥信息23b中 示出的公共密钥来解密篡改检査散列值文件25中的签名数据25c以 获取一个散列值,并将两个散列值相比较。如果所有上述比较结果相 匹配,则篡改检查单元216判定应用14没有被篡改。另一方面,如 果任一上述比较结果不匹配,则篡改检査单元216判定应用14被篡 改。如果应用14被判定为没有被篡改(S19:是),则篡改检査单元216 通知许可读取单元217认证成功。作为响应,许可读取单元217从主 存储单元110读取许可信息文件28(S20)。这里,如果由于许可信息 文件28首先不包含在应用14中,结果许可读取单元217不能读取许 可信息文件28,那么许可读取单元217改为从未签名应用许可保存 单元219读取未签名应用许可信息。
通过生存周期管理单元212,许可读取单元217将所读取的许可 信息文件28传送至安全管理单元221中的许可设置单元223。许可 设置单元223将许可信息文件28示出的己签名应用许可设置为访问许可225(S21)。
同时,如果传送者被判定不是可信任传送者(S18:否),或者如 果应用M被判定为己经被篡改(S19:否),则应用认证单元213通知 生存周期管理单元212认证失败。生存周期管理单元212因此结束该 过程,而不启动应用14。
如果应用标识符16在0x8000至0xFFFF的范围中(S16:是),生 存周期管理单元212判定应用14是按照本实施例的新类型应用—— 暂时性未签名应用,并命令应用认证单元213对应用14进行认证。 应用认证单元213等待,直至TS解码器101接收到传送者信息文件 23、并将其存储至主存储单元110中。 一旦传送者信息文件23被存 储到主存储单元110中,传送者识别单元214就执行与步骤S18中相 同的传送者认证(S25)。如果应用14的传送者被判定为可信任传送者 (S25:是),则应用认证单元213命令篡改检査单元216和许可读取 单元217创建篡改检查线程(S22),并且还通知生存周期管理单元212 应用14的传送者是可信任传送者。被通知后,生存周期管理单元212 从未签名应用许可保存单元219读取未签名应用许可信息,并将未签 名应用许可信息传送至安全管理单元221中的许可设置单元223。许 可设置单元223将未签名应用许可信息示出的未签名应用许可设置 为访问许可225(S23)。同时,如果应用14的传送者被判定为不是可 信任传送者(S25:否),应用认证单元213通知生存周期管理单元212 应用14的传送者不是可信任传送者。生存周期管理单元212因此结 束该过程,而不启动应用14。
在访问许可225在步骤S17、 S21以及S23之任一中被设置后, 生存周期管理单元212利用Java(注册商标)类库203来启动应用 14(S24)。这完成了应用启动控制过程。
利用上述过程,应用14的启动被加速。假定应用14具有很大的 数据量,并因此花费很长时间来获取包含应用14的对象传送带的一 个周期和并根据应用14计算散列值。按照用于传统的己签名应用的 过程,应用14不能被启动,直至对象传送带的一个周期被获取并且 应用14被认证。另一方面,按照用于暂时性未签名应用的过程,当部分对象传送带被获取时,应用14能够被启动。
由篡改检查单元216和许可读取单元217在步骤S22中创建的篡 改检查线程具有以下过程。注意该篡改检査线程与应用14的执行被 并行处理,其中该应用14是步骤S24中启动的暂时性未签名应用。
图14B是示出篡改检查线程的过程的流程图。
在TS解码器101获取整个附加数据13并将整个应用14存储至 主存储单元110中后,篡改检查单元216对应用14执行篡改检査 (S31)。如果作为篡改检查结果,应用14被判定为没有被篡改(S32: 是),则篡改检查单元216将此通知到许可读取单元217。作为响应, 许可读取单元217从主存储单元110读取许可信息文件28,并将许 可信息文件28传送至认证状态管理单元215。过程结束前,认证状 态管理单元215将许可信息文件28注册至认证状态保存单元218中 (S33)。另一方面,如果应用14被判定为已经被篡改(S32:否),则篡 改检査单元216通知认证状态管理单元215认证失败。过程结束前, 认证状态管理单元215将指示认证失败的信息注册至认证状态保存 单元218中(S34)。这完成了篡改检查线程。
MHP规定,当对于已签名应用的篡改检査导致失败时,该已签 名应用的文件大小被假定为零。作为结果,该已签名应用被视为没有 任何内容,尽管该已签名应用本身存在。这样,当篡改检查单元216 通知应用失败时,认证状态管理单元215执行的步骤S34可以修改如 下,以使得本发明与MHP相适应。在步骤S34中,认证状态管理单 元215将指示认证失败的信息注册至认证状态保存单元218中。另外, 在用于管理主存储单元110的文件系统中,认证状态管理单元215将 应用14的每个文件的文件大小或者应用14中每个文件的文件大小变 为零,其中对此计算出的散列值与散列信息文件中对应的散列值不匹配。
与图14B示出的篡改检査线程并行地,图14A的步骤S24中启 动的暂时性未签名应用——应用14被执行。在应用14的执行中, Java(注册商标)类库203判定应用14是否被允许访问应用14请求的 资源。在传统的未签名应用或者已签名应用的情况下,基于步骤S17或者S21中设置的访问许可225来做出该判定。在按照本实施例的暂 时性未签名应用的情况下,基于步骤S23中设置的访问许可225来做 出判定,直至篡改检查完成。在篡改检查完成并且应用被判定为没有 被篡改后,基于步骤S23中设置的访问许可225和在步骤S33中注册 到认证状态保存单元218中的许可信息文件28 二者来做出判定。
以下解释Java(注册商标)类库203如何控制作为暂时性未签名应 用的应用14对资源的访问。
图15是示出控制应用14访问资源的过程的流程图。 当应用14需要访问资源时,诸如连接到网络或者从二级存储单 元111读取文件时,应用14调用Java(注册商标)类库203中的资源库 222(S41)。
接收到调用后,资源库222向安全管理单元221询问应用14是 否被允许访问该资源。
安全管理单元221通过许可检査单元224查阅访问许可225,以 判定访问许可225是否包含访问该资源的权限(S42)。这里,图14A 的步骤S23中未签名应用许可被设置为访问许可225。这样,如果未 签名应用许可包含对该资源的访问权限(S42:是),则安全管理单元 221向资源库222通知应用14被允许访问该资源。因此,在结束该 过程前,资源库222授权应用14访问该资源,并发送请求至该资源 (S43)。这样,应用14访问该资源。
如果被设置为访问许可225的未签名应用许可不包含对该资源 的访问权限(S42:否),则安全管理单元221向认证状态管理单元215 询问认证状态。
如果篡改检查线程的篡改检查没有完成(S44:否),则认证状态 管理单元215等待篡改检查的完成。 一旦篡改检查完成(S44:是), 认证状态管理单元215从认证状态保存单元218读取许可信息文件 28,并将许可信息文件28传送至安全管理单元221(S45)。
安全管理单元221从认证状态管理单元215接收许可信息文件 28,并判定许可信息文件28是否包含对该资源的访问权限(S46)。安 全管理单元221将判定结果通知给资源库222。如果许可信息文件28包含对该资源的访问权限(S46:是),则资 源库222授权应用14访问该资源,并发送请求至该资源(S43)。这样, 应用14访问该资源。如果许可信息文件28不包含对该资源的访问权 限(S46:否),则在结束该过程前,资源库222将指示禁止访问该资 源的错误信息发送至应用14(S47)。在这种情况下,不能进一步执行 应用14,因此应用14被终止。这完成了控制应用14对资源的访问 的过程,其中应用14是暂时性未签名应用。
按照上述过程,在篡改检查完成前,作为暂时性未签名应用的应 用14以未签名应用许可的授权被启动,并且应用14的指令被从最上 层指令(top instruction)开始顺序地执行。在篡改检查完成且应用14被 判定为没有被篡改后,应用14进一步被授权由许可信息文件28指定 的己签名应用许可,其中许可信息文件28由应用14的传送者生成。 随后,即使当该执行得到访问没有被包含在未签名应用许可内的资源 的指令时,如果由许可信息文件28指定的已签名应用许可包含对该 资源的访问权限,则该指令仍能够被执行。
因此,应用14能够使用未签名应用许可的授权被快速启动,而 不用等待篡改检查的完成。因为应用14被禁止访问不包含在未签名 应用许可中的资源直至篡改检查完成,因此高安全性被保证。在篡改 检査完成且应用14被判定为没有被篡改后,应用14进一步被授权访 问未包含在未签名应用许可中的资源。这使得实现高功能应用是可能 的。
假定应用14中,在显示器105上再现图像的指令先于使用未签 名应用许可不能被执行的指令,并且该未签名应用许可包含显示图形 的权限。按照上述过程,无论应用14的整个数据量如何,图像都能 够被快速显示在显示器105上,这使得缩短观看者的等待时间并提高 操作性是可能的。
在传统的已签名应用的情况下,应用14中每个文件的篡改检查 都需要先于启动完成,即使当应用14仅执行图形显示也是如此。如 果这种应用14的整个数据量很大,会花费很长时间来从传输流获取 应用14并对应用14执行篡改检查。这导致应用14启动的延迟,并因此导致图形显示的生成的延迟。另一方面,在按照本实施例的暂时
性未签名应用的情况下,具有未签名应用许可的授权的应用14先于 篡改检查的完成而被启动。因此,图形显示能够在未签名应用许可范 围内被快速生成。
这里注意,即使当应用14是暂时性未签名应用时,也需要在启 动前,利用管理信息15中的应用标识符16来判定应用14的类型、 并利用传送者信息文件23来识别应用14的传送者。为此,需要先于 启动来获取至少管理信息15、传送者信息文件23、以及包含应用14 的最上层指令的主类文件29。
由此,诸如图16中示出的对象传送带可以被用于传输附加数据 13。在该图中,应用14被分为4个模块A1至A4,并且管理信息15 被包含于模块M1中。在该对象传送带中,携带传送者信息文件23 和主类文件29的模块Al、以及携带管理信息15的模块Ml比其他 模块被更频繁地传送。无论TS解码器101在对象传送带的哪一部分 开始获取附加数据13,这都增加了减少获取主类文件29、传送者信 息文件23以及管理信息15所需时间的可能性。因此应用14的启动 能够被进一步加速。
(第二实施例)
第一实施例描述了从传输流获取应用的示例,但是记录于可移动 记录介质上的应用也能够被存储于主存储单元110中并被执行。然 而,与来自广播站的传输流传送的应用相比,被记录于可移动记录介 质上的应用能够被利用个人计算机等更容易地进行分析,并因此更可 能被篡改。
由此,本发明的第二实施例描述了一种数字电视接收设备,该数 字电视接收设备依照应用的获取途径,改变在篡改检査完成前在启动 时暂时性地授权给应用的访问许可。
图17示出第二实施例涉及的数字电视接收设备3的硬件结构。
与第一实施例中相同的部件被赋予相同的参考标号,并省略其解释。 数字电视接收设备3与第一实施例的数字电视接收设备2的不同之处在于,进一步包含了二级存储单元U3。
二级存储单元113是诸如SD卡或光盘这样的可移动非易失性存 储器。不同的应用被存储于二级存储单元111和二级存储单元113中。
图18示出数字电视接收设备3中用于控制应用14的执行的功能 结构。该结构与图12示出的第一实施例的结构的不同之处在于,生 存周期管理单元212包含了获取途径保存单元231 ,并且认证状态管 理单元215包含了第一暂时性许可保存单元232、第二暂时性许可保 存单元233和第三暂时性许可保存单元234,而取代了未签名应用许 可保存单元219。
获取途径保存单元231是持有获取途径信息的功能块,该获取途 径信息示出存储于主存储单元110中的应用14被获取的获取途径。 当应用14被存储于主存储单元110中时,该获取途径信息被应用信 息读取单元211获取,并被设置在获取途径保存单元231中。主要有 四种获取途径从传输流分离的应用;从二级存储单元lll读取的应 用;从二级存储单元113读取的应用;以及从因特网下载的应用。在 本实施例中,对这些获取途径的篡改风险被假定为以传输流、二级存 储单元lll、 二级存储单元113、因特网的顺序增长。
第一暂时性许可保存单元232、第二暂时性许可保存单元233和 第三暂时性许可保存单元234分别持有第一暂时性许可信息、第二暂 时性许可信息和第三暂时性许可信息。第一暂时性许可信息、第二暂 时性许可信息和第三暂时性许可信息各自示出对访问资源的许可。可 访问资源的数目以第一暂时性许可信息、第二暂时性许可信息和第三 暂时性许可信息的顺序减少。更详细地,第一暂时性许可信息示出第 一暂时性许可,其包含显示控制权限、控制传输流和选择信道的权限、 以及访问二级存储单元111和113的权限。第二暂时性许可信息示出 第二暂时性许可,其包含显示控制权限和访问二级存储单元111和 113的权限。第三暂时性许可信息示出第三暂时性许可,其包含显示 控制权限和访问作为可移动非易失性存储器的二级存储单元113的 权限。与第一实施例中的未签名应用许可信息类似,第一暂时性许可 信息、第二暂时性许可信息和第三暂时性许可信息各自通过用XML来编写相应的许可来实现。
具有上述结构的数字电视接收设备3以以下方式设置启动时授 权给应用14的访问许可225。这里,当应用14的获取途径具有较低 篡改风险时,数字电视接收设备3授权应用14访问更多资源。
图19是示出数字电视接收设备3中启动时设置访问许可225的 过程的流程图。
生存周期管理单元212从获取途径保存单元231读取获取途径信 息(S61)。基于所读取的获取途径信息,生存周期管理单元212判定 获取应用14所通过的获取途径(S62、 S64、以及S65)。
如果应用14是从传输流获取的(S62:是),则生存周期管理单元 212从第一暂时性许可保存单元232读取第一暂时性许可信息,并命 令安全管理单元221将第一暂时性许可信息示出的第一暂时性许可 设置为访问许可225(S63)。
如果应用14是从二级存储单元111读取的(S64:是,且S65:否), 则生存周期管理单元212从第二暂时性许可保存单元233读取第二暂 时性许可信息,并命令安全管理单元212将第二暂时性许可信息示出 的第二暂时性许可设置为访问许可225(S66)。
如果应用14是从二级存储单元113读取的(S64:是,且S65:是) 或者从因特网下载的(S64:否),则生存周期管理单元212从第三暂 时性许可保存单元234读取第三暂时性许可信息,并命令安全管理单 元212将第三暂时性许可信息示出的第三暂时性许可设置为访问许 可225(S67)。
按照该过程,依照应用14的获取途径,在启动时暂时性地授权 给应用14的访问许可225发生改变。如果应用14的获取途径具有较 低的篡改风险,则应用14被暂时性地授权访问更多资源。因为利用 访问更多资源的授权,应用14的更多指令能够被执行,所以由于在 暂时性许可之内资源调用的发生不被允许而导致的必须等待篡改检 査完成的可能性减少了。
该实施例描述了这种情况对于获取途径的篡改风险以传输流、 二级存储单元lll、 二级存储单元113和因特网的顺序减少。然而,在因特网的情况下,在使用SSL或类似来下载通过TCP/IP传送的、 加密形式的数据和未使用SSL或类似来下载未加密形式的数据之间, 篡改风险进一步有所不同。这就是说,当没有使用SSL来下载应用 14时,篡改风险更高。因此通过依照SSL的使用而改变暂时性地授 权给应用的访问许可,本发明也能够被应用于从因特网下载应用并执 行它的应用执行设备。详细地,如果应用14是使用SSL从因特网下 载的,则相比当应用14是没有使用SSL而被下载时,应用14被暂 时性地授权访问更多的资源。
第二实施例描述了这种情况暂时性地授权给应用14的访问许 可依照应用14的获取途径的篡改风险而改变。作为选择,暂时性地 授权给应用14的访问许可可以依照通过获取途径获取应用所需的时 间段而改变。基于诸如传输流的数据传输速率或者二级存储单元的数 据访问时间这样的因素,应用获取所需的该时间段能够被确定。这样, 当应用14的获取途径需要用于应用获取的较长时间段时,对更多资 源的访问可以被暂时性地授权给应用14。这样做时,当花费较长时 间来获取应用14并因此执行篡改检查时,应用14被暂时性地授权访 问更多的资源,因此应用14中的更多指令能够被执行。这使得观看 者可以使用应用14,而不用注意篡改检查还没有完成。
同样,从二级存储单元读取应用比从传输流获取应用要花费短得 多的时间。由此,可以采用图20示出的过程。
在图20中,如果应用14的获取途径是传输流(S5h是),则创 建篡改检查线程,而不用等待整个应用14被存储到主存储单元110 中(S52)。然后应用14被授权第三暂时性许可(S53)并被启动(S57)。 如果应用14的获取途径不是传输流(S51:否),则以与传统的已签名 应用相同的方法,步骤S54至S57在整个应用14被存储到主存储单 元110后被执行。这样做时,仅当应用14的获取花费很长时间时, 应用14的启动才被加速。否则,按照传统的已签名应用的过程来安 全地执行应用14。
(变型)已经以上述实施例描述了本发明,尽管很明显地,本发明不限于 上述情况。下面给出示例变型。
(1) 本发明也适用于上述实施例中的流程图示出的应用执行方 法。可以通过能够被计算机执行的计算机可读程序来实现该方法。这 种计算机程序可以作为数字信号被发送。
本发明可以由计算机可读记录介质来实现,所述计算机可读记录
介质诸如软盘、硬盘、CD-ROM、 MO、 DVD、 DVD-ROM、 DVD-RAM、 BD(蓝光光盘)、或者半导体存储器,上述提及的计算机可读程序和/ 或数字信号被记录其上。
反过来,本发明也可以由记录于这种记录介质上的计算机可读程 序和/或数字信号来实现。
实现本发明的计算机可读程序或数字信号也可以通过网络被传 输,所述网络诸如电子通信网络、有线或者无线通信网络、或者因特 网。
同样,通过分发记录了计算机可读程序和/或数字信号的记录介 质、或者通过网络发送计算机可读程序和/或数字信号,计算机程序 和/或数字信号可以被提供给独立的计算机系统。然后该独立的计算 机系统可以执行计算机可读程序和/或数字信号来按照本发明运行。
(2) 本发明也可以由控制应用执行设备的LSI电路来实现。这种 LSI电路能够通过集成图12或18中示出的功能块来实现。这些功能 块可以在多个芯片中单独地构造,或者部分或全部构造于一个芯片 中。
这里提及的LSI电路依照集成度可以是集成电路、系统大规模集 成电路、超大规模集成电路、或者甚大规模集成电路。
作为选择,专用电路或者通用处理器可以被用于电路集成以替代 LSI。作为制造后可被编程的LSI芯片的FPGA(现场可编程门阵列) 和能够重新配置LSI芯片中电路单元连接和设置的可重配置处理器 也是可应用的。
作为半导体和其它技术进步的结果,如果将来发展出能够取代传 统的LSI的新的IC技术,上述实施例中描述的功能块和部件可以使用该技术来集成。例如,对于这样的技术,可以采用生物工程技术。
(3) 第一实施例描述了这种情况具有未签名应用许可的授权的 应用先于篡改检查的完成被启动。然而,本发明不限于此,只要该应 用被暂时性地授权这种不会不利地影响设备的访问许可即可。例如, 除了被判定为具有不利地影响设备的风险的访问权限之外,该应用可 以被授权未签名应用许可。作为选择,该应用可以被授权包含于未签 名应用许可中的所有访问权限、以及进一步被授权对可以无安全损失 地访问的二级存储单元111中的文件的访问权限。
(4) 第一实施例描述了这种情况传输流从一个广播设备发送并 被一个数据电视接收设备接收。然而,本发明不限于这种广播设备和 数字电视接收设备之间的数字关系,系统可以包含多个用于发送传输 流的广播设备和多个用于接收传输流的数字电视接收设备。
(5) 本发明不限于特定的应用传输途径的物理特性,对于通过诸 如地面波、人造卫星和有线电视这样的不同传输途径传送的应用都是 适用的。
(6) 第一和第二实施例将数字电视接收设备作为本发明的应用 执行设备的示例进行描述,但是本发明对于诸如移动电话这样的用于 执行应用的其它环境同样适用。
(7) 第一和第二实施例中描述的限定和变型可以自由组合。
工业实用性
本发明的应用执行设备具有加速应用启动的效果,并能够有效地 应用于例如获取利用对象传送带传送的应用并执行所获取的应用的 数字电视接收设备。
权利要求
1、一种应用执行设备,包括获取单元,用于获取包含访问资源的指令的应用程序;判定单元,用于判定所获取的应用程序是否被篡改;暂时性许可设置单元,用于获得示出仅访问第一资源的许可的暂时性许可信息;确定性许可设置单元,用于获得示出访问所述第一资源和第二资源的许可的确定性许可信息;以及执行单元,用于在所述判定单元完成所述判定前,在所述暂时性许可信息示出的所述许可范围内开始执行所述应用程序,以及在所述判定单元完成所述判定后,如果所述应用程序被判定为没有被篡改,则在所述确定性许可信息示出的所述许可范围内继续执行所述应用程序,其中所述第二资源是根据所述暂时性许可信息不允许访问的资源。
2、 如权利要求l所述的应用执行设备,其中如果所述应用程序被判定为被篡改,则所述执行单元假定所 述应用程序的文件大小为零。
3、 如权利要求1所述的应用执行设备,其中在所述获取单元已经获取包括顶部指令的部分所述应用程 序后且在己经获取整个所述应用程序前,所述执行单元从所述应用程 序的顶部指令开始执行所述应用程序。
4、 如权利要求3所述的应用执行设备,其中通过接收携带所述应用程序的数字流,所述获取单元获取所 述应用程序。
5、 如权利要求4所述的应用执行设备, 其中所述数字流是数字电视广播的传输流,以及 使用对象轮,所述应用程序被复用于所述传输流中。
6、 如权利要求5所述的应用执行设备,其中所述第一资源是在MHP中未签名应用被允许访问的资源。
7、 如权利要求5所述的应用执行设备,还包括 传送者识别单元,用于基于用于识别所述传送者的传送者信息来识别所述应用程序的传送者,其中所述对象轮除了包含所述应用程序外还包含所述传送者信息,所述获取单元还获取所述传送者信息,以及 在所述传送者识别单元完成所述传送者的识别后,所述执行单元 开始执行所述应用程序。
8、 如权利要求1所述的应用执行设备,其中所述获取单元还获取示出所述应用程序的类型的应用标识 符,以及如果所获取的应用标识符示出的所述类型与预定类型相匹配,则 在所述判定单元完成所述判定前,所述执行单元开始执行所述应用程 序,以及所述预定类型是在所述判定单元完成所述判定之前仅被允许访 问所述第一资源的应用程序的类型。
9、 如权利要求1所述的应用执行设备,其中在执行包含于所述应用程序中的所述指令的过程中,当所述 执行单元得到访问所述第二资源的指令、但是所述判定单元没有完成 所述判定时,所述执行单元等待直至所述判定单元完成所述判定。
10、 如权利要求1所述的应用执行设备,其中所述应用程序包含示出所述应用程序的散列值的散列信息,以及通过计算所获取的应用程序的散列值并将所计算的散列值与由 所述散列信息示出的所述散列值相比较,所述判定单元判定所获取的 应用程序是否被篡改。
11、 如权利要求1所述的应用执行设备, 其中所述获取单元通过具有不同级别的篡改风险的多个获取途径之一来获取所述应用程序,所述暂时性许可设置单元获得对应于所述应用程序的所述获取 途径的所述暂时性许可信息,以及当所述应用程序的所述获取途径具有较低级别的篡改风险时,对 应于所述获取途径的所述暂时性许可信息允许访问包含特定资源在 内的所述第一资源,其中对所述特定资源的访问存在不利地影响所述 应用执行设备的较高风险。
12、 如权利要求11所述的应用执行设备,其中当所述应用程序的所述获取途径具有较低级别的篡改风险 时,所述应用程序处于加密的形式,以及当所述应用程序的所述获取途径具有较高级别的篡改风险时,所 述应用程序处于未加密的形式。
13、 如权利要求1所述的应用执行设备,其中所述获取单元通过具有不同的获取应用程序所需的时间段 的多个获取途径之一来获取所述应用程序,所述暂时性许可设置单元获得对应于所述应用程序的所述获取 途径的所述暂时性许可信息,以及当所述应用程序的所述获取途径具有所需的较长时间段时,对应 于所述获取途径的所述暂时性许可信息允许访问包含特定资源在内的所述第一资源,其中对所述特定资源的访问存在不利地影响所述应 用执行设备的较高风险。
14、 如权利要求1所述的应用执行设备,还包括 已签名应用执行单元,用于如果所述获取单元通过从记录介质读取所述应用程序而获取所述应用程序、并且所述判定单元判定所述应 用程序没有被篡改,则在所述判定单元完成所述判定后,开始执行所 述应用程序,其中如果所述获取单元通过接收携带所述应用程序的数字流来 获取所述应用程序,则在所述判定单元完成所述判定前,所述执行单 元开始执行所述应用程序。
15、 一种集成电路,包括获取单元,用于获取包含访问资源的指令的应用程序; 判定单元,用于判定所获取的应用程序是否被篡改; 暂时性许可设置单元,用于获得示出仅访问第一资源的许可的暂 时性许可信息;确定性许可设置单元,用于获得示出访问所述第一资源和第二资 源的许可的确定性许可信息;以及 执行单元,用于在所述判定单元完成所述判定前,在所述暂时性许可信息示出的 所述许可范围内开始执行所述应用程序,以及在所述判定单元完成所述判定后,如果所述应用程序被判定为没 有被篡改,则在所述确定性许可信息示出的所述许可范围内继续执行 所述应用程序,其中所述第二资源是根据所述暂时性许可信息不允许访问的资源。
16、 一种应用执行方法,包括获取步骤,用于获取包含访问资源的指令的应用程序;判定步骤,用于判定所获取的应用程序是否被篡改; 暂时性许可设置步骤,用于获得示出仅访问第一资源的许可的暂时性许可信息;确定性许可设置步骤,用于获得示出访问所述第一资源和第二资源的许可的确定性许可信息;以及 执行步骤,用于在所述判定步骤完成所述判定前,在所述暂时性许可信息示出的 所述许可范围内开始执行所述应用程序,以及在所述判定步骤完成所述判定后,如果所述应用程序被判定为没 有被篡改,则在所述确定性许可信息示出的所述许可范围内继续执行 所述应用程序,其中所述第二资源是根据所述暂时性许可信息不允许访问的资源。
17、 一种包含程序代码的计算机程序,所述程序代码被操作来使计算机执行下述步骤获取步骤,用于获取包含访问资源的指令的应用程序; 判定步骤,用于判定所获取的应用程序是否被篡改; 暂时性许可设置步骤,用于获得示出仅访问第一资源的许可的暂时性许可信息;确定性许可设置步骤,用于获得示出访问所述第一资源和第二资 源的许可的确定性许可信息;以及 执行步骤,用于在所述判定步骤完成所述判定前,在所述暂时性许可信息示出的 所述许可范围内开始执行所述应用程序,以及在所述判定步骤完成所述判定后,如果所述应用程序被判定为没 有被篡改,则在所述确定性许可信息示出的所述许可范围内继续执行 所述应用程序,其中所述第二资源是根据所述暂时性许可信息不允许访问的资源。
全文摘要
用对被授权给未签名应用的资源的访问许可来启动应用。与该应用的执行并行地,使用篡改检查线程对该应用进行篡改检查。当在完成篡改检查之前,在应用的执行过程中请求访问未授权给未签名应用的资源时,应用进入等待状态直到完成篡改检查。作为篡改检查的结果,在应用被判定为没有被篡改后,该应用被进一步授予对由包含在该应用中的许可信息文件指定的资源的访问许可。如果该进一步授予的访问许可包括对该资源的访问权限,则继续执行应用。
文档编号H04N5/00GK101426076SQ20081018564
公开日2009年5月6日 申请日期2004年9月17日 优先权日2003年9月17日
发明者今西芳典 申请人:松下电器产业株式会社