用于使用装置认证来保护数字内容的方法和设备.pdf

一种用户装置可通过划分安全性模式和普通模式并执行操作来增强数字内容的保护级别。为了进一步增强数字内容的保护级别，用户装置可确定主操作系统是否被侵入，并阻止安全模式下的操作。否则，指示用户装置的装置安全性级别的装置授权信息由内容服务服务器授权，并且用户装置根据结果阻止安全模式下的操作。

1.  一种用于由用户装置保护数字内容的方法，其中，用户装置包括主操作系统和运行安全数字内容的安全操作系统，所述方法包括：
基于主操作系统检测到与安全数字内容有关的运行请求的输入，请求运行安全操作系统；
由安全操作系统识别指示主操作系统是否被侵入的侵入信息；
由安全操作系统基于识别到侵入信息来确定安全模式下的操作。

2.  如权利要求1所述的方法，其中，侵入信息在启动用户装置的处理中被获得并被存储在安全存储区中，其中，主操作系统对安全存储区的访问被阻止。

3.  如权利要求1所述的方法，其中，被确定的操作是阻止安全模式。

4.  一种用于由用户装置保护数字内容的方法，其中，用户装置包括主操作系统和运行安全数字内容的安全操作系统，所述方法包括：
基于检测到与安全数字内容有关的运行请求的输入，请求运行安全操作系统；
由安全操作系统收集指示装置的装置安全性级别的装置认证信息；
由安全操作系统对装置认证信息进行加密，并将经加密的装置认证信息发送到主操作系统；
由主操作系统将装置认证信息发送到提供安全内容的服务器；
由主操作系统接收服务器针对基于装置认证信息所确定的装置的装置安全性级别的认证结果；
由安全操作系统基于所述认证结果来确定安全模式下的操作。

5.  如权利要求4所述的方法，其中，装置认证信息包括以下信息中的至少一个：关于主操作系统是否被侵入的侵入信息、关于包括在安全操作系统中的多个功能模块中的每个功能模块的完整性确认信息和关于收集到装置认证信息的时间的信息。

6.  如权利要求5所述的方法，其中，侵入信息和完整性信息在启动用户装置的处理中被获得，并被存储在安全存储区中，其中，主操作系统对安全存储区的访问被阻止。

7.  如权利要求5所述的方法，其中，如果侵入信息指示主操作系统被侵 入，则认证结果为失败。

8.  如权利要求5所述的方法，其中，如果完整性信息指示所述多个功能模块中的至少一个模块的完整性被破坏，则认证结果为失败。

9.  如权利要求5所述的方法，其中，如果收集时间比装置认证信息的发送时间点早多于预定时间量，则认证结果为失败。

10.  如权利要求4所述的方法，其中，被确定的操作是阻止安全模式。

11.  一种用于保护用户装置的数字内容的设备，所述设备包括：
主操作系统；
安全操作系统，运行安全数字内容；
安全存储区，其中，主操作系统对所述安全存储区的访问被阻止，并且仅安全操作系统对所述安全存储区的访问被允许，
其中，主操作系统基于检测到与安全内容有关的运行请求的输入来请求运行安全操作系统，
安全操作系统识别存储在安全存储区中并指示主操作系统是否被侵入的侵入信息，并基于识别到侵入信息来确定安全模式下的操作。

12.  如权利要求11所述的设备，其中，侵入信息在用户装置启动时被获得，并被存储在安全存储区中。

13.  如权利要求11所述的设备，其中，被确定的操作是阻止安全模式。

14.  一种用于保护装置的数字内容的设备，所述设备包括：
主操作系统；
安全操作系统，运行安全数字内容；
安全存储区，其中，主操作系统对所述安全存储区的访问被阻止，并且仅安全操作系统对所述安全存储区的访问被允许，
其中，主操作系统基于检测到与安全内容有关的运行请求的输入来请求运行安全操作系统，
安全操作系统收集安全存储区中的指示装置的装置安全性级别的装置认证信息，
装置认证信息被加密并被发送到主操作系统，
主操作系统将装置认证信息发送到提供安全内容的服务器，并从服务器接收对基于装置认证信息所确定的装置的装置安全性级别的认证结果，
安全操作系统基于所述认证结果确定安全模式下的操作。

15.  如权利要求14所述的设备，其中，装置认证信息包括以下信息中的至少一个：关于主操作系统是否被侵入的侵入信息、关于包括在安全操作系统中的多个功能模块中的每个功能模块的完整性确认信息和关于收集到装置认证信息的时间的信息。

16.  如权利要求15所述的设备，其中，侵入信息和完整性确认信息在启动用户装置的处理中被获得，并被存储在安全存储区中，其中，主操作系统对所述安全存储区的访问被阻止。

17.  如权利要求15所述的设备，其中，如果侵入信息指示主操作系统被侵入，则认证结果为失败。

18.  如权利要求15所述的设备，其中，如果完整性信息指示所述多个功能模块中的至少一个模块的完整性被破坏，则认证结果为失败。

19.  如权利要求15所述的设备，其中，如果收集时间比装置认证信息的发送时间点早多于预定时间量，则认证结果为失败。

20.  如权利要求14所述的设备，其中，被确定的操作是阻止安全模式。

用于使用装置认证来保护数字内容的方法和设备
技术领域
本发明涉及一种数据处理设备。更具体地讲，本发明涉及一种可通过使用与主操作系统(OS)分离的安全操作系统来增强安全性的数据处理设备及其方法。
背景技术
近来，由于数字设备要求处理高质量服务，因此各种数字内容已经被提供给用户装置，诸如电视机、计算机和便携式装置。数字内容可包括视频文件、音频文件、各种应用等。由于数字内容被积极提供，因此已提出各种用于保护关于数字内容的知识产权的版权的方法。
数字版权管理(DRM)服务是一种用于保护数字内容的方法。DRM服务使用加密技术持续管理和保护数字内容的知识产权版权。DRM服务是用于安全地将各种内容从内容提供商(CP)发送到用户并保护内容不被接收到该内容的用户非法分发的技术。DRM技术允许对在产生、分发、使用和丢弃数字内容的处理期间的信息进行保护，并在提供版权保护时，使数字内容能够根据用户的在线和离线授权而被使用。
为了在用户装置上使用被应用了DRM技术的内容(DRM内容)，用户装置应首先连接到提供相应DRM内容的系统，然后下载DRM内容、关于DRM内容的元数据以及证书。元数据是指存储有关于DRM内容的信息的数据，证书是指指示将用于对经加密的DRM内容以及对内容的访问的授权(例如，次数和时间段)进行解密的加密密钥的数据。根据处理，DRM内容和证书全部被存储在用户装置上，并且DRM内容可被使用。
同时，用户装置使用中央处理单元(CPU)和操作系统(OS)。移动设备使用开放式OS，以实现开放式应用程序接口。开放式操作系统在增强移动设备和移动服务的竞争力方面起到关键作用。另外，主要制造商和主要提供商在战略上开放移动设备的操作系统，因此应用程序接口、软件开发套件以及源文件也对公众开放。
发明内容
技术问题
如上所述，即使DRM技术被使用，数字内容的分发仍然包括一些安全隐患。例如，另一个用户装置可截获被分配给特定用户装置的证书，或通过侵入用户装置的操作系统来提取和获得存储在特定用户装置上的证书或经解密的DRM内容。
另外，用户装置从互联网下载多个应用，并且在由移动设备的制造商检查并保证应用的质量之后，这些应用将被使用。然而，实际上，并非各种应用的所有功能都被检查。因此，针对移动设备的恶意代码正在增加，并且使用开放式操作系统的移动设备会受包含恶意代码的软件攻击。
即使数字内容以加密的方式被提供，但如果用户装置自身在安全性方面很脆弱，则它在防止数字内容的非法使用和分发方面是有限的。
以上信息被呈现为仅用于帮助对本公开的理解的背景信息。关于以上内容中的任意一项内容是否适用为关于本发明的现有技术，未判定也未断言。
解决方案
本发明的各方面将至少解决上述问题和/或缺点，并至少提供以下所述的优点。因此，本发明的一方面在于提供一种用于以增强的安全性来保护数字内容的方法和设备。
本发明的另一方面在于提供一种用于通过增强使用数字内容的用户装置的装置安全性功能来保护数字内容的方法和设备。
本发明的另一方面在于提供一种用于通过增强对用户装置的安全性功能进行认证的处理来保护数字内容的方法和设备。
根据本发明的一方面，一种用于由用户装置保护数字内容的方法，其中，所述用户装置包括主操作系统和运行安全数字内容的单独的安全操作系统。所述方法包括：基于主操作系统检测到与安全数字内容有关的执行请求的输入，请求运行安全操作系统；由安全操作系统识别指示主操作系统是否被侵入的侵入信息；由安全操作系统基于识别到侵入信息来确定安全模式下的操作。
根据本发明的另一方面，一种用于由用户装置保护数字内容的方法，其 中，所述用户装置包括主操作系统和运行安全数字内容的单独的安全操作系统。所述方法包括：基于检测到与安全数字内容有关的运行请求的输入，请求运行安全操作系统；由安全操作系统收集指示装置的装置安全性级别的装置认证信息；由安全操作系统对装置认证信息进行加密，并将经加密的装置认证信息发送到主操作系统；由主操作系统将装置认证信息发送到提供安全内容的服务器；由主操作系统接收针对由服务器基于装置认证信息所确定的装置的装置安全性级别的认证结果；由安全操作系统基于所述认证结果来确定安全模式下的操作。
有益效果
本发明可提供一种用于通过增强使用数字内容的用户装置的装置安全功能来保护数字内容的方法和设备。另外，本发明的示例性实施例可提供一种用于以增强后的用于认证用户装置的安全性功能的处理来保护数字内容的方法和设备。
附图说明
图1是示出根据本发明的示例性实施例的数字内容服务系统的配置的示图；
图2是示出根据本发明的示例性实施例的用户装置的配置的示图；
图3是示出根据本发明的示例性实施例的控制器的配置的示图；
图4是示出根据本发明的示例性实施例的用户装置的启动处理的示图；
图5和图6是示出根据本发明的示例性实施例的用户装置的安全性认证处理的示图；
图7是示出根据本发明的示例性实施例的数字内容服务服务器的操作处理的示图。
应注意，贯穿附图，相同的附图标号被用于描述相同的或相似的元件、特征和结构。
具体实施方式
以下参照附图进行的描述被提供用于帮助对由权利要求及其等同物限定的本发明的示例性实施例的全面理解。所述描述包括用于帮助所述理解的各 种特定细节，但是这些细节将仅被认为是示例性的。因此，本领域的普通技术人员将认识到，在不脱离本发明的范围和精神的情况下，可对描述于此的实施例做出各种改变和修改。另外，为了清楚和简洁，可省略对公知功能和结构的描述。
在以下描述和权利要求中使用的术语和词语不限于字面含义，而仅由发明人使用以实现对本发明的清楚和一致的理解。因此，对于本领域的技术人员应清楚的是，本发明的示例性实施例的以下描述仅被提供用于说明的目的，而不用于限制由权利要求及其等同物限定的本发明的目的。
应理解的是，除非上下文另有明确指示，否则单数形式包括复数指代。因此，例如，参照“组件表面”包括参照一个或更多个这种表面。
近来，数字设备能够提供高质量服务，因此各种数字内容已被提供给用户装置，诸如电视机、计算机和便携式装置。数字内容可包括视频文件、音频文件、图像、动画、文本和各种应用。由于数字内容已得到发展，因此提出了各种用于保护关于数字内容的知识产权的版权的方法。
在这些方法中，数字版权管理(DRM)服务是一种安全性方法，在该方法中，内容提供商向用户装置提供经加密的数字内容，用户装置获得用于对经加密的数字内容和指示对内容的访问的权限(例如，次数和时间长度)的证书进行解密的密钥，使得相应数字内容可由用户装置来使用。数字内容的使用是由用户装置使用数字内容执行实质性操作，例如，再现视频内容，再现音频内容，以及执行特定应用。
然而，至于安全性方法，通过侵入用户装置的操作系统，另一用户装置可截获被分配给特定用户装置的证书，或提取和获得存储在特定用户装置中的证书或经解密的数字内容。即使数字内容以加密的方式被提供，但如果用户装置自身具有安全漏洞，则防止未经授权使用或分发数字内容是有限的。
因此，本发明的示例性实施例提供一种通过提高用户装置内的执行环境自身的安全性级别的增强的内容保护方法。为了保证使用处理器的嵌入式系统的稳定性，本发明的示例性实施例提供一种针对处理器、外围装置和存储装置的芯片级安全性技术。
为了实现这些目标，根据本发明的示例性实施例的用户装置在处理器中提供两个分开的运行环境，其中，这两个分开的运行环境包括普通运行环境和安全性运行环境。这种抽象在逻辑上严格地使普通程序的执行和直接与装 置的安全性关联的重要程序的执行分开。用户装置不但将这种逻辑划分应用于处理器，还将其应用于外围装置和存储装置。抽象地对运行环境的逻辑划分可在保护直接与系统的安全性或资源关联的程序的执行不受恶意用户或程序的威胁方面发挥作用。
根据本发明的示例性实施例，用户装置包括支持普通模式的第一操作系统(OS)(在下文中被称为主OS)和支持安全模式的第二操作系统(在下文中被称为安全OS)，使用处理器在由安全OS管理的安全区中运行与安全性有关的安全程序，并在由主OS管理的普通区中运行普通程序。另外，阻止主OS对安全区的访问。在普通区和安全区之间的划分不是物理划分，而是逻辑划分。普通区指示在主OS环境中管理的软件和硬件配置的操作。安全区指示在安全OS环境中管理的软件和硬件配置的操作。因此，可在普通区和安全区之间共享一些硬件配置。
例如，如果请求使用要求安全性的安全视频内容，则执行在安全模式下在安全区中针对相应视频文件的解密、解码和渲染，以进行再现和输出。在每个步骤中生成的数据被存储在安全区中。另外，不允许通过普通模式下的应用或主OS对存储在安全区中的数据的直接访问。
另外，如果请求使用不要求安全性的普通视频内容，则执行在普通模式下在普通区中针对相应视频文件的解密、解码和渲染，以进行再现和输出。在每个步骤中生成的数据被存储在普通区中。
以不同的操作模式并在不同的操作区中再现普通视频内容和安全视频内容中的每个。然而，最终输出普通视频内容和安全视频内容的输出装置被共享。
以此方式，根据本发明的示例性实施例，用户装置可通过划分安全性模式和普通模式并恰当地执行操作来增强数字内容的保护级别。另外，为了进一步增强数字内容的保护级别，用户装置可确定主OS是否被侵入，并阻止安全模式下的操作。另外，指示用户装置的装置安全性级别的装置授权信息被内容服务服务器授权，并且用户装置根据结果来阻止安全模式下的操作。
图1是示出根据本发明的示例性实施例的数字内容服务系统的配置的示图。
参照图1，数字内容服务系统包括用户装置100和内容服务服务器10。
内容服务服务器10是这样的装置，该装置用于向参加数字内容服务的用 户装置提供各种数字内容并管理关于参加该服务的用户的信息以及相应用户装置的信息。内容服务服务器10可认证从用户装置100接收到的装置认证信息，并将结果发送到用户装置100。装置认证信息包括能够评估用户装置100的装置安全性级别的信息。
内容服务服务器10包括控制处理器11、通信单元13和存储单元15。
控制处理器11控制内容服务服务器10的整体操作，特别是响应于用户装置的装置认证请求来控制内容服务服务器10的操作。通信单元13根据控制处理器11的控制来执行与用户装置的通信。
存储单元15存储由内容提供商提供的各种数字内容、参加服务的用户的信息以及关于相应用户装置的信息。另外，通过使用从用户装置接收到的装置认证信息，策略信息被存储，其中，策略信息成为用于评估相应用户装置的装置安全性级别的恰当性的标准。
用户装置10是通过请求、接收并再现数字内容来使用数字内容的装置。用户装置100的示例可以是电视机、移动终端、智能手机、蜂窝电话、个人多媒体播放器(PMP)和音频文件播放器。
图2是示出根据本发明的示例性实施例的用户装置的配置的示图，其中，用户装置是诸如智能手机的移动设备。
参照图2，用户装置100可经由移动通信模块120、子通信模块130和连接器165连接到外部设备(未示出)。“外部设备”是另一设备(未示出)，诸如蜂窝手机、智能电话、平板个人计算机(PC)或服务器。
用户装置100包括触摸屏190和触摸屏控制器195。另外，用户装置100包括控制器110、移动通信模块120、子通信模块130、多媒体模块140、相机模块150、全球定位系统(GPS)模块155、输入/输出模块160、传感器模块170、存储单元175和电源单元180。子通信模块130包括无线局域网(LAN)模块131和短距通信模块132中的至少一个。多媒体模块140包括广播通信模块141、音频再现模块142和视频再现模块143中的至少一个。相机模块150包括第一相机151和第二相机152中的至少一个。输入/输出模块160包括按钮161、麦克风162、扬声器163、振动电机164、连接器165和可选键盘166。
控制器110包括只读存储器(ROM)112、随机存取存储器(RAM)113和启动程序加载器114，其中，ROM112存储用于控制中央处理单元(CPU)111 和用户装置100的控制程序，RAM113存储从用户装置100的外部输入的信号或数据，并且RAM113被用作用于在用户装置100中执行的操作的存储区域，启动程序加载器114在用户装置100上电时执行启动。CPU111可包括单核处理器、双核处理器、三核处理器、四核处理器等。CPU111、ROM112和RAM113可经由内部总线彼此连接。
控制器110可控制移动通信模块120、子通信模块130、多媒体模块140、相机模块150、GPS模块155、输入/输出模块160、传感器模块170、存储单元175、电源单元180、第一触摸屏190a、第二触摸屏190b和触摸屏控制器195。
控制器110使用一个CPU111来保持与主OS和安全OS中的每一个OS相应的多个OS环境，并且如果有必要，则在分别与主OS和安全OS相应的普通模式和安全模式这两个独立的模式下执行操作。安全模式指示在安全区中执行要求安全性的安全性运行的模式，普通模式指示在普通区中执行不要求安全性的非安全性运行的模式。根据本发明的示例性实施例，控制器110包括主单元200和安全性单元300，其中，主单元200在主OS环境中执行非安全性运行(普通运行)，安全性单元300在安全OS环境中执行安全性运行。控制器110通过将普通模式和安全模式分开，由主单元200和安全性单元300来执行操作。主OS在主单元200中运行，安全OS在安全性单元300中以单独的方式运行。另外，阻止主OS对由安全OS使用的存储区的访问。因此，即使当主OS是开放OS时，恶意代码也不能访问安全OS和由安全OS使用的存储区。
因此，主单元200和安全性单元300包括分别被要求执行普通运行和安全性运行的多个功能模块。图3中示出了主单元200和安全性单元300的配置的示例。
控制器110在普通模式下运行不要求安全性的普通程序、普通应用或数字内容，并在安全模式下运行要求安全性的程序、要求安全性的应用或要求安全性的安全内容。根据本发明的示例性实施例，要求安全性的数字内容(即，安全内容)可以是受内容保护系统(诸如DRM)保护的内容。另外，可将要求安全性的所有内容划分为要求高安全性的内容和要求相对低的安全性的内容。由安全性单元300处理要求高安全性的内容，在主单元200中处理要求相对低的安全性的内容。例如，控制器110可在安全模式下对与安全内容相 应的音频和/或视频流进行解密、解码和渲染。
具体地，当接收到用于根据用户请求执行特定数字内容的请求时，控制器110确认所述特定数字内容是安全内容还是普通内容。如果所述特定数字内容是安全内容，则控制器110切换至安全模式，并在安全区中处理特定内容。例如，如果所述特定数字内容是被应用了DRM的视频内容，则控制器110在安全模式下对视频内容的音频和/或视频流进行解密、解码和渲染，并将处理结果存储在被限制访问的安全存储区中。另外，控制器110进行控制，使得在安全模式下被存储在安全存储区中的音频和/或视频数据通过多媒体模块140被输出。按此方式，控制器110进行控制，使得在安全模式下使用被限制访问的安全存储区179来处理安全内容，因此难以侵入安全内容。
在控制器110中，主单元200和安全性单元300被包括在CPU111中。图3中示出CPU111的配置。
图3是示出根据本发明的示例性实施例的控制器的配置的示图。
参照图3，CPU111包括主单元200、安全性单元300和安全性通信单元270，其中，主单元200执行普通运行，安全性单元300执行安全性运行，安全性通信单元270执行主单元200和安全性单元300之间的通信。主单元200使用主OS，并在普通模式下执行不要求安全性的普通程序、普通应用或普通内容的运行。如果需要运行要求安全性的安全程序、安全应用或安全内容，则通过安全性通信单元270对安全性单元300指示或请求所述运行。
主OS210在主单元200中运行，安全OS310以单独的方式在安全性单元300中运行。另外，主OS210可不直接访问安全性单元300，可通过安全性通信单元270指示或请求运行特定功能、线程和处理。安全性通信单元270使数据处理设备或移动设备能够在安全模式和非安全模式之间执行切换。安全性通信单元270可使用预定比特在硬件上划分主单元200可访问的存储区以及安全性单元300可访问的存储区。因此，主单元200对由安全性单元300使用的存储区的访问被阻止。因此，如果主单元200的主OS210是开放OS，则恶意代码不可访问安全OS310和由安全OS310使用的存储区。下面描述在安全性单元300中处理要求安全性的内容的方法。
安全性单元300根据主单元200的请求在安全模式下运行要求安全性的安全程序、安全应用或安全内容。
主单元200包括主OS210、解密单元220、解码单元230、渲染单元240 和应用单元250。安全性单元300包括安全OS310、安全性服务单元340、提供服务单元320和安全文件系统(SFS)330。
主OS210是用户装置100的主操作系统。主OS210在普通模式下执行用户装置100的整个操作，特别是在普通模式下执行不要求安全性的普通程序、普通应用或普通内容的运行。当需要运行要求安全性的安全程序、安全应用和安全内容时，主OS210通过安全性通信单元270向安全性单元300指示或请求相应运行。
当请求运行内容时，解密单元220从普通存储区177读取与请求运行的内容相应的音频和/或视频流，并确定音频和/或视频流是否是要求安全性的音频和/或视频流。解密单元220可确认内容保护系统(诸如DRM)是否被应用到音频和/或视频流，并可确定音频和/或视频流是否要求安全性。另外，当使音频和/或视频流能够在安全模式下被运行的标识符被包括在音频和/或视频流中时，解密单元220可确定该音频和/或视频流要求安全性。
如果被请求运行的内容是不要求安全性的音频和/或视频流，则解密单元220以划分为净荷单元的方式将不要求安全性的音频和/或视频流存储在普通存储区177，并请求解码。如果请求运行的音频和/或视频流是要求安全性的音频和/或视频流，则解密单元220将要求安全性的音频和/或视频流划分为净荷单元，并请求主OS210针对净荷单元中的要求安全性的音频和/或视频流执行安全性解密。另外，如果从主OS210接收到指示安全性解密被完成的信息，则解密单元220请求解码单元230执行解码。
解码单元230包括视频解码模块232和音频解码模块234。如果请求对不要求安全性的普通音频和/或视频流进行解码，则解码单元230在普通模式下通过视频解码模块232和/或音频解码模块234，使用音频和/或视频编解码器将存储在普通存储区177中的净荷单元中的音频和/或视频流解码成帧单元的音频和/或视频数据。解码单元230将解码后的音频和/或视频数据存储在普通存储区177中，并请求渲染单元240执行渲染。当请求对要求安全性的视频流进行解码时，解码单元230请求主OS210在安全模式下执行安全性解码。另外，如果从主OS210接收到指示安全性解码被完成的信息，则解码单元230请求渲染单元240执行渲染。
渲染单元240包括视频渲染模块242和音频渲染模块244。如果请求渲染不要求安全性的普通音频和/或视频数据，则渲染单元240在普通模式下通 过视频渲染模块242和/或音频渲染模块244执行视频渲染，使得被存储在普通存储区177中的解码后的视频数据产生为可显示在屏幕上的2维和3维视频信号，并且渲染单元240输出产生的视频信号。渲染单元240将解码后的音频数据渲染成模拟音频信号。
同时，当请求渲染要求安全性的视频数据时，渲染单元240请求主OS210在安全模式下执行安全性渲染。另外，当指示安全性渲染被完成的信息来自主OS210时，渲染单元240请求输出经渲染的视频信号和音频信号。经渲染的视频信号和音频信号分别通过显示装置和扬声器输出。
应用单元250包括内容下载应用、内容再现应用等，并在应用根据用户请求运行时执行相应功能。
安全OS310是用户装置100的安全操作系统。安全OS310在安全模式下运行要求安全性的安全内容。如果通过安全性通信单元270从主OS210接收到针对要求安全性的视频流的解密请求、解码请求和渲染请求中的至少一个请求或针对要求安全性的音频流的解密请求，则安全性OS310将接收到的请求发送到安全性服务单元340。
提供服务单元320从外部内容保护服务提供商(诸如DRM服务提供商)接收安全性密钥和认证信息，并将安全性密钥和认证信息存储在SFS330中。另外，安全性密钥和认证信息可由设备制造商提前存储在SFS330中。
SFS330是在安全模式下可访问的存储区，并包括用于运行要求安全性的安全内容(诸如针对要求安全性的音频和/或视频信号的解密运行、解码运行和渲染运行)的各种程序和信息。另外，SFS330存储由提供服务单元320存储的安全性密钥和认证信息。
安全性服务单元340包括执行安全性解密的安全性解密服务342、执行安全性解码的安全性解码服务344和执行安全性渲染的安全性渲染服务346。安全性服务单元340通过安全性解密服务342执行安全性解密。安全性服务单元340通过安全性解码服务344执行安全性解码。安全性服务单元340通过安全性渲染服务346执行安全性渲染。
如果针对要求安全性的视频流的解密请求从安全OS310发送，则安全性服务单元340使用存储在SFS330中的安全性密钥和认证信息针对要求安全性的视频流执行安全性解密，并将被执行了安全性解密的视频流存储在安全存储区179中。另外，如果针对要求安全性的视频流的解码请求从安全OS310 发送，则安全性服务单元340使用相应视频编解码器针对要求安全性的视频流执行安全性解码，并将经安全性解码的视频流存储在安全存储区179中。另外，如果针对要求安全性的视频数据的渲染请求从安全OS310发送，则安全性服务单元340执行安全性渲染，使得解码后的音频数据产生为被显示在2维或3维屏幕上的视频信号，并且安全性服务单元340将视频信号输出到主单元200。
响应于针对来自安全OS310的要求安全性的视频流的解密请求，安全性服务单元340使用存储在SFS330中的安全性密钥和认证信息针对要求安全性的音频流执行安全性解密，并且安全性服务单元340将经安全性解密的音频流存储在安全存储区179中。
再次参照图2，当用户装置100上电时，启动程序加载器114启动用户装置100。当启动开始时，启动程序加载器114首先加载安全OS，并在安全OS被完全加载后加载主OS。
另外，根据本发明的示例性实施例，启动程序加载器114确定主OS是否在启动处理中受到侵入。例如，对主OS的侵入可以是root主OS(不包括安卓OS root)。安卓root是允许运行安卓移动操作系统的智能手机、平板和其他装置的用户获得安卓子系统内的特权控制(公知为“root访问”)的处理。执行root常常是为了以下目的：克服运营商和硬件制造商设置在一些装置上的限制，从而得到改变或替换系统应用和设置、运行要求管理员级别权限的专用应用或执行对于普通安卓用户无法访问的其他操作的能力。对于安卓，root还可通常用其当前操作系统的较新版本来促进完全删除并替换装置的操作系统。
例如，启动程序加载器114参考被合法装备在用户装置100上的主OS的ROM二进制图像，以确认ROM二进制图像是否与用户装置100的主OS相似。如果确定ROM二进制图像不相似，则确定主OS已被用户改变。相反，如果配售主OS的经销商等的签名被确认，并且在启动时，正确的签名未呈现在针对用户装置100的主OS的ROM二进制图像上，则确定主OS已被用户改变。被合法装备的主OS的ROM二进制图像存储在普通存储区域177中。
如果确定主OS被侵入，则启动程序加载器114将主OS的侵入信息存储在安全存储区179上。启动程序加载器114可通过安全性单元300在安全模式下将主OS的侵入信息存储在安全存储区179上。
当请求安全内容的运行或以后请求安全性运行时，主OS的侵入信息可用作用于确定控制器110是否在安全模式下被操作的标准。
启动程序加载器114在启动处理中确认安全性单元300的多个功能模块中的每个功能模块的完整性。启动程序加载器114在启动时加载安全OS并确认安全性单元300的多个功能模块中的每个功能模块的二进制图像，并确认所述多个功能模块中的每个功能模块的经销商的签名。如果在启动时，在所述多个功能模块中的每个功能模块的二进制图像上不存在经销商的正确签名，则确定所述多个功能模块中的每个功能模块的完整性被破坏。安全性单元300的多个功能模块中的每个功能模块可以是例如提供服务单元320、安全性服务单元340和SFS330。安全性单元300的多个功能模块中的每个功能模块的普通二进制图像存储在普通存储区177上，并且在启动时，安全性单元300的多个功能模块中的每个功能模块的普通二进制图像可根据启动程序加载器114的请求从安全性单元300提供。
启动程序加载器114通过安全性单元300在安全模式下将通过确认安全性单元300的多个功能模块中的每个功能模块的完整性所获得的结果存储在安全存储区179上。当请求安全内容的运行或请求安全性运行时，通过确认安全性单元300的多个功能模块中的每个功能模块的完整性所获得的结果也可用作用于确定控制器110是否在安全模式下被操作的标准。
存储单元175可根据控制器110的控制来存储与移动通信模块120、子通信模块130、多媒体模块140、相机模块150、GPS模块155、输入/输出模块160、传感器模块170或触摸屏190的操作相应地被输入/输出的信号或数据。存储单元175可存储用于控制用户装置100或控制器110的控制程序和应用。
术语“存储单元”包括存储单元175、控制器110中的ROM112、RAM113或安装在用户装置100上的存储卡(未示出)(例如，SD卡和记忆棒)。存储单元可包括非易失性存储器、易失性存储器、硬盘驱动器(HDD)或固态驱动器(SSD)。
存储单元175可包括普通存储区177和安全存储区179。普通存储区177可存储普通数据和程序，安全存储区179可存储只有被允许访问的组件可以在安全模式下访问的数据和程序。根据本发明的示例性实施例，普通存储区177可存储与使用移动通信模块120、无线LAN模块131和短距通信模块132 中的至少一个模块下载的内容相应的音频和/或视频流。另外，普通存储区177可存储在普通模式下针对普通内容执行解密和解码时产生的经解密的音频和/或视频数据、解码后的音频数据和/或视频数据等。安全存储区179可存储在安全模式下针对安全内容进行解密或解码时产生的经解密的音频和/或视频数据、解码后的音频和/或视频数据等。术语“存储单元”可包括存储单元175、控制器110中的ROM112、RAM113和安装在用户装置100上的存储卡(未示出)(例如，SD卡和记忆棒)。存储单元可包括非易失性存储器、易失性存储器、硬盘驱动器(HDD)或固态驱动器(SSD)。
移动通信模块120根据控制器110的控制使用至少一根(一根或更多根)天线(未示出)使用户装置100能够通过移动通信连接到外部装置。移动通信模块120发送/接收用于与移动电话(未示出)、智能手机(未示出)、平板PC或具有输入到装置100的电话号码的其他装置(未示出)进行语音通信、视频通信、短消息服务(SMS)和多媒体消息服务(MMS)的无线信号。
子通信模块130可包括WLAN模块131和短距通信模块132中的至少一个。例如，子通信模块130可仅包括无线LAN模块131、仅包括短距通信模块132或包括无线LAN模块131和短距通信模块132两者。
在安装有无线接入点(AP)(未示出)的地方，无线LAN模块131可根据控制器110的控制连接到互联网。无线LAN模块131支持电气和电子工程师协会(IEEE)的无线LAN标准(IEEE802.11x)。短距通信模块132可根据控制器110的控制在用户装置100和成像设备(未示出)之间以无线方式执行短距通信。短距通信可包括蓝牙、红外数据协会(IrDA)等。
用户装置100可包括移动通信模块120、无线LAN模块131和短距通信模块132中的至少一个。例如，用户装置100可包括移动通信模块120、无线LAN模块131和短距通信模块132的组合。
移动通信模块120、无线LAN模块131和短距通信模块132中的至少一个在控制器110的控制下发送用于向外部内容提供商请求安全内容的请求信号，或者可接收响应于安全内容请求的安全内容。另外，移动通信模块120、无线LAN模块131和短距通信模块132中的至少一个可在控制器110的控制下请求或接收用于对保护的内容(诸如DRM)进行解密或认证的密钥数据和认证信息。
多媒体模块140可包括广播通信模块141、音频再现模块142或视频再 现模块143。广播通信模块141可根据控制器110的控制，通过广播通信天线(未示出)接收从广播站发送的广播信号(例如，电视机(TV)广播信号、无线电广播信号或数据广播信号)和广播附加信息(例如，电子节目指南(EPS)或电子服务指南(ESG))。音频再现模块142可根据控制器110的控制再现被存储或接收的数字音频文件(例如，具有文件扩展名“mp3”、“wma”、“ogg”或“wav”的文件)。视频再现模块143可根据控制器110的控制再现被存储或接收的数字视频文件(例如，具有文件扩展名“mpeg”、“mpg”、“mp4”、“avi”、“mov”或“mkv”的文件)。视频再现模块143可再现数字音频文件。
多媒体模块140可包括音频再现模块142和视频再现模块143，而不包括广播通信模块141。另外，多媒体模块140的音频再现模块142或视频再现模块143可包括在控制器110中。多媒体模块140在控制器110的控制下在普通模式下处理存储在普通存储区177中的音频和/或视频数据并输出该音频和/或视频数据，并在安全模式下处理存储在安全存储区179中的音频和/或视频数据并输出该音频和/或视频数据。
相机模块150可包括用于根据控制器110的控制捕捉静止图像或运动图像的第一相机151和第二相机152中的至少一个。另外，第一相机151或第二相机152可包括用于提供捕捉图像所需的光量的辅助光源(例如，闪光灯(未示出))。第一相机151安装在用户装置100的正面，第二相机152安装在用户装置100的背面。根据另一方法，第一相机151和第二相机152相邻地排列(例如，在第一相机151和第二相机152之间的空间大于1cm并小于8cm)，并且可捕捉3维静止图像和3维运动图像。
GPS模块155可从地球轨道上的多个GPS卫星(未示出)接收无线电信号，并可使用无线电信号从GPS卫星(未示出)到达用户装置100的到达时间来计算用户装置100的位置。
输入/输出模块160可包括多个按钮161、麦克风162、扬声器163、振动电机164、连接器165和可选的键盘166中的至少一个。
按钮161可被形成在用户装置100的壳体的正面、侧面和/或背面上，并包括电源/锁定按钮(未示出)、音量按钮(未示出)、菜单按钮(未示出)、主页按钮、后退按钮和搜索按钮中的至少一个。
麦克风162根据控制器110的控制通过接收语音或声音的输入来产生电信号。
扬声器163可根据控制器110的控制将移动通信模块120、子通信模块130、多媒体模块140或相机模块150的各种信号(例如，无线信号、广播信号、数字音频文件、数字视频文件、照片等)相应的声音输出到用户装置100的外部。扬声器163可输出与由用户装置100执行的功能相应的声音(例如，按钮操作声音或与电话通信相应的通信连接声音)。一个或更多个扬声器163可被形成在用户装置100的壳体的一个合适位置处或多个合适位置处。
振动电机164可根据控制器110的控制将电信号转换为机械振动。例如，当从另一设备(未示出)接收到语音通信时，在振动模式下的用户装置100操作振动电机164。一个或更多个振动电机164可形成在用户装置100的壳体中。振动电机164可响应于触摸触摸屏190的用户的触摸操作或触摸屏190上的触摸的连续移动而执行操作。
连接器165可被用作用于连接用户装置100与外部设备(未示出)或电源(未示出)的接口。根据控制器110的控制，通过连接到连接器165的有线线缆将存储在用户装置100的存储单元175中的数据发送到外部设备(未示出)，或者可从外部设备(未示出)接收数据。此外，通过连接到连接器165的有线线缆从电源(未示出)接收电力或对电池(未示出)充电。
键盘166可从用户接收键输入以控制用户装置100。键盘166包括：被形成在用户装置100上的物理键盘(未示出)或被显示在触摸屏190上的虚拟键盘(未示出)。根据用户装置100的设计或结构，可不包括形成在用户装置100上的物理键盘(未示出)。
传感器模块170可包括用于检测用户装置100的状态的至少一个传感器。例如，传感器模块170可包括：接近传感器，用于检测用户是否接近用户装置100；环境光传感器(未示出)，用于检测用户装置100周围的光量；运动传感器(未示出)，检测用户装置100的操作(例如，用户装置100的旋转、施加到用户装置100的加速度或振动)。至少一个传感器检测状态，产生与所述检测相应的信号，并将产生的信号发送到控制器110。可根据用户装置100的性能添加或去除传感器模块170的传感器。
存储单元175可根据控制器110的控制来存储与移动通信模块120、子通信模块130、多媒体模块140、相机模块150、GPS模块155、输入/输出模块160、传感器模块170和触摸屏190的操作相应地被输入/输出的信号或数据。存储单元175可存储用于控制用户装置100或控制器110的控制程序和 应用。
电源单元180可根据控制器110的控制向设置在用户装置100的壳体中的一个或更多个电池(未示出)供电。一个或更多个电池(未示出)向用户装置100供电。另外，电源单元180可通过连接到连接器165的有线线缆从外部电源(未示出)向用户装置100供应电力输入。
触摸屏190可向用户提供与各种服务相应的用户界面(例如，通信、数据传输、广播和拍摄)。根据本发明的示例性实施例，可提供用于执行应用(诸如内容下载应用或内容再现应用)的用户界面。
触摸屏190可将与被接收为对用户界面的输入的至少一个触摸相应的模拟信号传输到触摸屏控制器195。触摸屏190可接收通过用户的身体(例如，包括拇指的手指)或可触摸的输入装置(例如，触摸笔)的至少一个触摸的输入。另外，触摸屏190可输入至少一个触摸中的一个触摸的连续移动。触摸屏190可将与输入触摸的连续移动相应的模拟信号发送到触摸屏控制器195。例如，可将用户对运行内容下载应用的请求或在内容下载应用的运行期间产生的与各种用户选择相应的模拟信号发送到触摸屏控制器195。
根据本发明的示例性实施例的触摸不限于用用户的身体或可接触的输入装置对触摸屏190的接触，并且触摸可包括非接触(例如，触摸屏190和用户的身体或可触摸的输入装置之间的距离是1mm或更少)。由触摸屏190可检测的距离可根据用户装置100的性能或结构被改变。
触摸屏190可用电阻类型、电容类型、红外类型和声波类型来实现。
触摸屏控制器195将从触摸屏190接收到的模拟信号转换成数字信号(例如，X和Y坐标)，并将数字信号发送到控制器110。控制器110可使用从触摸屏控制器195接收到的数字信号来控制触摸屏190。例如，控制器110可响应于触摸使显示在触摸屏190上的快捷图标(未示出)被选择，或执行快捷图标(未示出)。另外，触摸屏控制器195可包括在控制器110中。
以下参照图4至图7描述被配置为如上所述的用户装置100中的以下处理：确认用户装置100的装置安全性级别，根据结果阻止安全模式自身的操作，增强针对数字内容的保护级别。图4和图5是示出根据本发明的用户装置100确定主OS是否被侵入并阻止在安全模式下执行用户装置的操作的示例的示图。图6和图7是示出根据本发明的内容服务服务器10认证指示用户装置100的装置安全级别的装置认证信息和用户装置100阻止在安全模式下执 行用户装置100的操作的示例的示图。
图4是示出根据本发明的示例性实施例的用户装置的启动处理的示图。
参照图4，当用户装置100上电时，在步骤301，启动程序加载器114开始启动。在步骤303，启动程序加载器114加载安全OS，并在步骤304针对安全性单元300的多个功能模块中的每个模块确认完整性。启动程序加载器114请求安全性单元300存储多个功能模块中的每个功能模块的完整性确认结果。安全性单元300根据所述请求在安全模式下将完整性确认结果存储在安全存储区179上。
在步骤305，启动程序加载器114确认主OS是否被侵入。根据确认结果，如果确认主OS被侵入，则在步骤307，启动程序加载器114请求安全性单元300存储主OS的侵入信息。安全性单元300根据所述请求在安全模式下将主OS的侵入信息存储在安全存储区179中。
在步骤309，启动程序加载器114加载主OS，并结束启动。
图5和图6是示出根据本发明的示例性实施例的用户装置的安全性认证处理的示图。
参照图5，在步骤401，主单元200接收安全性服务的运行请求的输入。安全性服务的运行请求是针对要求安全性的各种服务的请求，例如，对从外部获得安全内容的请求和针对安全内容的运行请求。其中，主单元200包括主OS，安全性单元300包括安全OS。
当安全性服务请求被输入时，在步骤405，主单元200通知安全性单元300安全性服务请求被输入。因此，在步骤407，安全性单元300确认主OS的侵入信息是否存在于安全存储区179中。如果主OS的侵入信息不存在，则安全性单元300在安全模式下运行请求的安全性服务。然而，如果主OS的侵入信息存在，则安全性单元300前进至步骤409，并阻止安全模式。另外，在步骤411，安全性单元300通知主单元200安全模式被阻止。
因此，在步骤413，主单元200将通知安全模式被阻止的信息消息提供给用户，并且安全性服务请求可不被执行。
换句话说，主OS确认主OS是否被侵入，并且如果确认主OS被侵入，则安全OS阻止安全模式。
因此，用户装置100确认主OS是否被侵入，并且如果确认主OS被侵入，则用户装置100确定用户装置100的装置安全性级别不满足标准值，并阻止 安全模式的操作本身，使得针对安全内容的安全性级别可被增强。
根据本发明的另一示例性实施例，从数字内容服务服务器10认证用户装置100的装置安全性级别，并且可根据结果阻止安全模式下的操作。在图6中示出了这种处理。
参照图6，如果在步骤501请求对数字内容服务服务器10的访问，则在步骤503，主单元200(即，主OS)向安全性单元300(即，安全OS)请求装置认证信息。可在针对数字内容请求下载时产生到数字内容服务服务器10的连接。装置认证信息是关于可确定用户装置100的装置安全性级别的各种原因的信息(例如，主OS的侵入信息)和/或关于与安全性单元300的多个功能模块中的每个功能模块有关的完整性确认结果的信息。
安全性单元300根据在步骤503的结果进行到步骤505，并在安全模式下收集装置认证信息。例如，安全性单元300收集指示是否支持安全模式的安全性信息、指示主OS是否被侵入的主OS的侵入信息、指示安全性单元300的多个功能模块中的每个功能模块的完整性确认结果的完整性信息。另外，指示装置认证信息被收集到时的时间的收集时间信息可包括在装置认证信息中。
在步骤507，安全性单元300对装置认证信息进行加密，并在步骤509将经加密的装置认证信息发送到主单元200。
当装置认证信息被发送时，在步骤511，主单元200将装置认证信息连同装置认证请求一起发送到数字内容服务服务器10。
如果数字内容服务服务器10接收到装置认证请求和装置认证信息，则数字内容服务服务器10执行如图7中示出的操作。
图7是示出根据本发明的示例性实施例的数字内容服务服务器的操作处理的示图。
参照图7，如果在步骤601，数字内容服务服务器10接收到装置认证请求和装置认证信息，则通过步骤603至609，接收到的装置认证信息被解密并且装置认证信息被确认。在步骤603，数字内容服务服务器10确认安全性信息以确认用户装置100是否支持安全模式。如果确定用户装置100不支持安全模式，则数字内容服务服务器10进行到步骤613，通知用户装置100认证失败，并结束认证处理。
如果用户装置100支持安全模式，则内容服务服务器10进行到步骤605， 确认主OS的侵入信息，并确认用户装置100的主OS是否被侵入。根据确认结果，如果确定主OS被侵入，则内容服务服务器10进行到步骤613，通知用户装置100认证失败，并结束认证处理。
如果确认用户装置100的主OS未被侵入，则内容服务服务器10进行到步骤607，确认完整性信息，并确认用于支持安全模式的包括在用户装置100中的多个功能模块中的每个功能模块的完整性是否被破坏。根据确认结果，如果确定存在被破坏的完整性，则内容服务服务器10进行到步骤613，通知用户装置100认证失败，并结束认证处理。
如果确认用户装置100的完整性一切正常，则内容服务服务器10进行到步骤609，并确认收集到装置认证信息的时间。将接收到装置认证信息的时间和包括在装置认证信息中的收集时间彼此进行比较。如果差大于设置的标准值，则确定装置认证信息不是可用的。内容服务服务器10进行到步骤613，通知用户装置100认证失败，并结束认证处理。
如果差小于设置的标准值，则确定装置认证信息是可用的。内容服务服务器10进行到步骤611，通知用户装置100认证成功，并结束认证处理。
根据如上所述的内容服务服务器10的操作，在图6步骤513，用户装置100可接收认证结果。当接收到认证时，在步骤515，主单元200将认证结果发送到安全性单元300。另外，主单元200进行到步骤517，主单元200可将认证结果提供给用户。
在步骤519，接收认证结果的安全性单元300确认认证结果。根据确认结果，如果认证失败，则安全性单元300进行到步骤521，并阻止安全模式。另外，在步骤523，安全性单元300通知主单元200安全模式被阻止。因此，在步骤525，主单元200将指示安全模式被阻止的信息消息提供给用户，并因此安全性服务请求可不被执行。根据对安全模式的阻止，用户装置100可正常地执行下载或运行普通内容的操作，但是可不执行下载或运行安全内容的操作。
如果认证结果指示认证成功，则安全性单元300进行到步骤527，并正常地执行装置安全模式，并因此访问内容服务服务器10，使得用户的请求被执行。
在此方式下，可通过确认关于用户装置100的装置安全性级别是否符合与数字内容服务服务器10相关的标准值的认证，并且如果确定用户装置100 的装置安全性级别不符合所述标准值，则通过阻止安全模式的操作本身来增强针对安全内容的安全级别。
根据以上描述的本发明的示例性实施例，假设用于访问数字内容服务器10的请求存在，则装置认证信息被收集，并被发送到数字内容服务服务器10，使得认证处理被执行。然而，根据另一示例性实施例，装置认证信息被周期性地收集并被发送到数字内容服务服务器10，使得认证处理被执行。另外，无论何时安全性服务请求输入出现时，装置认证信息都被收集并发送到数字内容服务服务器10，使得认证处理被执行。
根据本发明的示例性实施例，使用移动设备的示例对根据本发明的安全性数据处理设备进行了描述，但是本发明所属领域的技术人员容易理解，本发明可被应用于使用操作系统的设备，诸如数字TV、机顶盒、个人计算机和膝上型计算机。
另外，可通过程序指令的形式来实现根据本发明的示例性实施例的方法，其中，程序指令可由各种计算机装置来执行并可存储在非易失性计算机可读介质中。非易失性计算机可读介质可单独地或组合地包括程序指令、数据文件、数据结构等。可专门针对本发明设计和配置存储在介质中的程序指令，或者所述程序指令对于计算机软件领域中的技术人员是已知且可用的。
本发明的示例性实施例可提供一种用于通过增强使用数字内容的用户装置的装置安全性功能来保护数据内容的方法和设备。另外，本发明的示例性实施例可提供一种用于使用增强的用于认证用户装置的安全性功能的处理来保护数字内容的方法和设备。
虽然已参照本发明的特定示例性实施例示出并描述了本发明，但是在不脱离由权利要求及其等同物限定的本发明的精神和范围的情况下，可在所述示例性实施例中进行形式和细节上的各种改变。