支持混合安全和不安全媒体路径的机顶盒结构

摘要

本发明涉及支持混合安全和不安全媒体路径的机顶盒结构，提出了一种多媒体处理装置，诸如机顶盒，具有多个用于支持提供不同安全级别的多个媒体路径的可选择的硬件和软件部件。通常，每个安全级别对应特定认证服务边界定义或用于管理诸如硬件加速模块和软件界面的密钥/认证和安全管理方案。可以自适应地采用不同的部件组以确保对一个或多个安全限制的复合兼容性并且解决部件的不可用性。例如可以基于具体的源或媒体来应用安全限制，并且可以在提供相应安全级别的多个路径上提供不同版本的媒体项。在一个实施方式中，服务运营商或内容提供商可以提供必需的认证或安全要求，或者则协助路径部件的选择。

说明书

相关专利/专利申请的交叉引用

本申请要求以下美国临时专利申请的权益，其内容从各个方面不失其 完整性地并入本文并组成本美国实用专利申请的一部分：

1.于2012年10月18日提交的题为“不可靠的架构部件与安全操作 系统环境的结合（INTEGRATION of UNTRUSTED FRAMEWORK  COMPONENTS WITH A SECURE OPERATIING SYSTEM  ENVIRONMENT）”的未决的美国临时专利申请序列第61/715,785号（专 利代理号BP30636）。

2.于2012年11月13日提交的题为“不可靠的应用和具有安全操作 系统环境的架构的结合（INTEGRATION OF UNTRUSTED  APPLICATIONS AND FRAMEWORKS WITH A SECURE OPERATIING  SYSTEM ENVIRONMENT）”的未决的美国临时专利申请序列第 61/725,964号（专利代理号BP30637）。

3.于2012年12月6日提交的题为“在具有混合的操作系统或架构环 境的机顶盒装置中的安全和认证（SET TOP BOX ARCHITECTURE  SUPPORTING MIXED SECURE AND UNSECURE MEDIA PATHWAYS）” 的未决的美国临时专利申请序列第61/733,958号（专利代理号BP30639）。

4.于2012年12月7日提交的题为“支持混合了安全和不安全媒体路 径的机顶盒结构（SET TOP BOX ARCHITECTURE SUPPORTING MIXED  SECURE AND UNSECURE MEDIA PATHWAYS）”的未决的美国临时专利 申请序列第61/734,700号（专利代理号BP30640）。

技术领域

本发明总体上涉及媒体处理系统，并且特别地涉及，在诸如机顶盒这 样具有与安全操作系统环境结合的不可靠的部件的装置中建立和维持安 全和不安全的媒体路径。

背景技术

在特定类型的装置中提供相关不可靠软件应用或架构的尝试可能会 复杂化根据一个或多个工业指定的认证标准或测试规程。例如，由有线电 视使用的很多机顶盒的出售商认证是经由严格的认证过程来管理的，该认 证过程测试对实施诸如PacketCable^TM、CableHome^TM以及 OpenCable^TM的规格的装置的互用性和安全兼容性。这种装置的成功认证 需要整个端到端的安全。同样地，在特定装置或部件（诸如片上系统）中 实施的数字权限管理（DRM）以及其他技术（诸如片上系统）可能需要截 然不同的认证过程（其不允许与非安全操作系统（OS）环境或软件架构的 交互）。当在电缆机顶盒、电缆调制器、媒体终端适配器或类似的电缆服 务装置中实施时，特定规格可能需要在制造的同时在装置中嵌入数字证 书。这种证书支持包括装置认证和内容完整性的多个安全特性。作为实例， 嵌入在这种装置中的数字证书通过使得内容提供商或服务运营商认证请 求服务的装置来帮助阻止服务的盗印。

通常，如果没有被隔离，在机顶盒或类似的装置中的媒体路径的任何 不安全的部分，将会导致这类路径的认证失败。大部分常规的机顶盒被设 计为通过装置的不同的元件或部件提供单个安全的和被认证的路径。在一 些近来的多处理器机顶盒中，通过在常规的被认证的路径与不可靠的部件 之间创建硬件边界将二者分离开。特别是，第一处理模块被用作提供安全 功能（例如，解码操作），而具有较低安全级别的独立的处理模块被用于 支持不可靠的架构。

众所周知，软件架构可以提供不会由潜在的操作系统提供的应用编程 界面功能和服务，并且因此可以提供不依靠于特定实施方式的平台的标 准。架构通常被设计为可再度使用的并且可修改的软件系统或子系统。例 如，安卓已经成为用于移动装置的快速成长的操作系统/架构的其中之一。 从开放资源Linux community建立贡献的安卓提供用于建立能够配置在很 多不同类型的装置（诸如，智能手机或平板装置）之间的应用的开发工具 和可再度应用的部件。

典型的安卓架构是其中每个安卓应用是具有与其他应用整体隔离来 运行的代码的不同“用户”的“多用户”基于Linux的系统。这种进程隔离（或 应用“沙箱”）提供特定的安全级别。然而，当应用使用的各种部件、进程、 线程等集成在机顶盒类型的装置中时，其可能不能受到足够的保护，导致 在这类装置中使用安卓时，安卓被认为是“不可靠”的架构。例如，访问任 意网页或接收来自非认证的第三方的代码的应用可能导致不可靠的Java 脚本在机顶盒上可能以高权限运行。这类代码可能利用其它代码（浏览器 代码）中的缺点并且接收对文件系统的非授权的访问等，从而危及装置的 安全、暴露所包含的数据或导致系统的不稳定性。

如上述说明的，为了提供更高性能和/或多任务处理能力，某些装置的 处理单元可能具有多个处理器或处理内核。在这些多处理器系统的某些 中，当运行多个应用或程序时，通常需要访问控制来分离开运行在多处理 器上的应用的功能。运行在不同处理器上的不同应用和/或任务的分离或隔 离有助于确保一个应用不会干扰另一个的执行。同样地，分配给一个处理 器的数据不应由另一个处理器访问，除非该数据在两个处理器之间共享。 通常通过虚拟存储器来处理这种分离，其中每个进程具有唯一的存储器利 用，外部进程不可访问该存储器。可以通过内核或设备驱动程序接口来控 制硬件访问，这提供了某种程度的安全性。然而，即使是在一个处理器环 境提供可靠的或安全的操作而另一个处理器运行在不安全的或受限的环 境中的多处理器系统中，当操作系统管理分离时，仍然可以存在从不安全 区域到安全区域的入侵的巨大可能性。

例如，在允许用户接收电视信号并且还允许用户访问互联网的机顶盒 中，安全环境中可以运行关于接收、解密和显示通过有线电视或卫星电视 供应商或其他服务运营商提供的特定频道或内容的应用（包括安全机顶盒 应用）。机顶盒中的不安全环境可以执行基于安卓的应用（其允许用户访 问用于网页浏览的互联网、游戏等）。在这个实例中，内容提供商一般不 希望用户或任何人访问关于广播或付费频道的应用。但是，如果在软件中 具有控制对两种环境的访问的共性，诸如在两种环境中运行相同的操作系 统以管理在两种环境下的访问，则可能具有高风险的违规访问。无论是有 意的还是无意的，这样的违规行为可能会导致不安全地进入到机顶盒的安 全应用，诸如源于网络的入侵进入受保护的电视频道。

因此，有必要获取一种将不可靠的架构与具有安全操作系统环境的应 用（诸如机顶盒的应用）相结合的有效的方式，而同时也保持关于适用的 认证程序和安全措施的兼容性和灵活性。

发明内容

根据本发明的一个方面，提出一种用于在具有多个可选择的路径部件 的媒体处理装置中支持安全的和不安全的媒体路径的方法，该方法包括： 确定关于媒体项或内容提供商的第一期望安全级别；利用第一组可选择的 路径部件建立第一媒体路径，第一媒体路径符合第一期望安全级别；确定 关于媒体项或内容提供商的第二期望安全级别，并且利用第二组可选择的 路径部件建立第二媒体路径，第二媒体路径符合第二期望安全级别。

根据本发明的该方面的实施方式，该方法进一步包括：在第一路径或 第二路径中的至少一个上执行媒体处理操作。

根据本发明的该方面的实施方式，该方法进一步包括：对在第一媒体 路径上的媒体项执行媒体处理操作；终止在第一媒体路径上的媒体处理操 作；以及在第二媒体路径上恢复媒体处理操作。

根据本发明的该方面的实施方式，恢复媒体处理操作的步骤对媒体项 的第二版本进行。

根据本发明的该方面的实施方式，媒体项的第二版本包括具有至少一 个不同质量特性的媒体项的版本。

根据本发明的该方面的实施方式，第一安全级别相关于由外部源提供 的媒体项，并且第二安全级别相关于由媒体处理装置产生的媒体项的版 本。

根据本发明的该方面的实施方式，该方法进一步包括：对在第一媒体 路径上的第一媒体项执行媒体处理操作；终止在第一媒体路径上的媒体处 理操作；利用第三组可选择的路径部件动态地建立第三媒体路径，第三媒 体路径符合第一期望安全级别；以及在第三媒体路径上恢复所终止的媒体 处理操作。

根据本发明的该方面的实施方式，至少部分地由服务运营商或内容提 供商执行的确定第一期望安全级别的步骤进一步包括：在选择第一组可选 择的路径部件之前，为服务运营商或内容提供商提供可用的路径部件的指 示。

根据本发明的该方面的实施方式，第一或第二期望安全级别对应于服 务运营商所使用的条件性访问或数字权限管理系统的要求。

根据本发明的该方面的实施方式，第一或第二期望安全级别对应于用 于涉及特定媒体项或媒体项分类的处理或递送操作的认证请求。

根据本发明的该方面的实施方式，第一或第二媒体路径包括：包括内 容提供商的上游部分、包括媒体处理装置的中间部分以及包括内容接收者 的下游部分，其中，至少一个路径部分提供第一安全级别，并且至少一个 路径部分提供较弱的第二安全级别。

根据本发明的该方面的实施方式，多个可选择路径部件包括多个硬件 加速模块。

根据本发明的另一方面，提出一种用于在诸如机顶盒这样具有关于路 径的操作节点的多个可选择的路径部件的媒体处理装置中建立不同安全 级别的路径的方法，该方法包括：利用第一组可选择的路径部件建立第一 媒体路径，第一媒体路径符合第一安全级别；利用第二组可选择的路径部 件建立第二媒体路径，第二媒体路径符合第二安全级别；在第一媒体路径 上执行媒体处理操作；终止在第一媒体路径上的媒体处理操作；利用第三 组可选择的路径部件动态地建立第三媒体路径，第三媒体路径符合源于第 一安全级别的安全级别；以及在第三媒体路径上恢复所终止的媒体处理操 作。

根据本发明的该另一方面的实施方式，多个可选择的路径部件包括从 视频编码、视频解码、图形渲染、数字权限管理、加密和解密中选择的硬 件加速模块。

根据本发明的该另一方面的实施方式，第一安全级别对应于服务运营 商利用的条件性访问或数字权限管理系统的要求。

根据本发明的又一方面，提出一种媒体处理装置，包括：处理电路； 由处理电路执行的操作系统，操作系统被配置为建立至少一个特权的操作 系统环境以及至少一个受限的操作系统环境；以及多个可选择的路径部 件，包括由至少一个特权的操作系统环境控制或执行的部件以及由至少一 个受限的操作系统环境控制或执行的部件；以及安全和密钥管理支持系 统，能够操作为：利用第一组可选择的路径部件建立第一媒体路径，第一 媒体路径符合第一安全级别；以及利用第二组可选择的路径部件建立第二 媒体路径，第二媒体路径符合第二安全级别。

根据本发明的该又一方面的实施方式，由至少一个特权的操作系统控 制或执行的部件包括多个硬件加速功能。

根据本发明的该又一方面的实施方式，由至少一个受限的操作系统环 境控制或执行的部件包括不可靠的软件架构。

根据本发明的该又一方面的实施方式，安全和密钥管理支持系统进一 步能够操作为与服务运营商或内容提供商交换路径配置信息。

根据本发明的该又一方面的实施方式，第一媒体路径兼容于由关联于 媒体处理装置的服务运营商利用的认证或条件性访问系统。

附图说明

图1示出了根据本公开的实施方式的具有密钥管理和认证支持系统的 媒体处理装置，其中，示出了通过多个加速的硬件和软件路径元件支持的 安全的（认证的）和不安全的自适应媒体路径。

图2示出了根据本公开的实施方式建立的安全的和不安全的路径。

图3A示出了根据本公开的实施方式的示例性路径配置。

图3B示出了根据本公开的实施方式的不同安全级别的媒体路径。

图4是根据本公开的实施方式在媒体处理装置中建立多个媒体路径的 方法的逻辑图。

图5是根据本公开的实施方式动态地建立交替的媒体路径的方法的逻 辑图。

图6示出了根据本公开的各种实施方式的用作安全操作系统环境的客 户端的不可靠的架构和架构聚合体。

图7示出了根据本公开的各种实施方式的利用认证应用的机顶盒结 构。

图8示出了根据本公开的各种实施方式的作为在虚拟化环境中的机顶 盒应用的客户端的不可靠的架构。

图9示出了根据本公开的实施方式的将构架分割为可靠和不可靠部分 的分割。

图10是根据本公开的各种实施方式的支持操作系统环境的硬件隔离 的多处理器系统的框图。

图11是根据本公开的实施方式的机顶盒（STB）/网关（GW）的示意 性框图。

具体实施方式

尽管结合安卓架构和/或Linux操作系统描述了某些实施方式，但本发 明的其它实施方式可以利用各种当前的或未来的操作系统/内核和架构来 实践，并且采用可以利用多处理器、处理内核和/或处理电路的各种计算电 路、装置、服务器和/或系统。此外，在所述的实施方式中，本文的某些说 明描述为提供处理功能的装置描述了处理模块、处理器或CPU（例如， CPU1，CPU2）。但是，可以理解，在其它实施例中，可以使用各种其它 设备和/或术语以提供在实施本发明中的处理功能。本发明可容易地应用到 存在其中期望两个或更多个区之间的隔离的多处理环境（区，域等）的其 他用途。同样地，尽管某些实施方式被描述为通过执行可靠的媒体处理操 作的机顶盒（STB）或类似的媒体处理装置来实施，新颖的结构和方法可 以全部或部分应用到包括媒体消费装置（诸如PVR、DVD播放器、接入 点、电视机、计算装置、智能手机等）的其他装置，如本文中所使用的， 条件性访问（CA）是指内容的保护（通过在同意对该内容的访问之前需 要满足特定条件），而DRM是指禁止对不是内容提供商所期望的或想要的 数字内容的使用的任何技术。

现在参照图1，其示出了根据本公开的实施方式的具有密钥管理和认 证支持系统102的媒体处理装置100。密钥管理和认证支持系统102与其 他装置资源相结合，被操作为建立通过多个加速的硬件和软件路径元素支 持的安全的/认证的以及不安全的媒体路径。例如，密钥管理功能可将不同 的密钥与不同的功能相关联，激活或控制某些接口，控制如何生成、存储 和访问密钥等。此外，密钥管理和认证支持系统102可以注册认证的CA 和DRM系统和相关的路径以及在媒体处理装置100中允许的操作。安全 处理器104可为来自密钥管理和认证支持系统102的路径配置请求提供服 务，并可进一步被操作为检测来自受限的操作系统环境的以未授权的方式 使用其媒体路径或节点的尝试、限制对认证的路径的访问等。

在操作中，为了产生输出流110，可靠的源106（诸如，服务运营商） 的内容和应用软件的处理可被限制为可靠的或认证的路径部件（诸如，安 全存储器112、可靠的/安全的处理电路116以及一个或多个安全硬件/软件 加速功能120a-n）。同样地，来自不可靠的源106（诸如，某些基于Web 的源）的处理内容和应用软件可被限制为不可靠的部件（诸如，通用的或 不安全的存储器114，通用的或不安全的处理电路118以及不安全的软件/ 硬件加速功能122）。根据所需的安全级别和其他考虑，在可靠的和不可靠 的部件之间的有效边界可以如下详细描述的动态的方式变动。

在能够支持多个加速的硬件和软件路径元件的媒体处理装置100中， 整个安全或不安全的路径可以从提供例如最大硬件加速和最高输出质量 的路径配置到提供非加速的、低输出质量的路径配置中自适应地建立并且 应用。每一路径节点可以具有实现多个媒体流的服务的一个或多个软件和 /或一个或更多硬件基础。

图2示出了根据本公开的实施方式建立的安全的和不安全的路径。在 该实施方式中，根据期望的安全级别1到3选择在每个操作路径节点的硬 件/软件部件。通常，每个安全级别对应特定的认证服务边界定义和密钥/ 认证以及用于管理诸如硬件加速功能和软件API的资源的安全管理方案。 例如，安全级别可涉及需要特定保证量的安全存储器和处理资源的版权保 护认证方案。

可基于部件的安全的或不安全的性质、部件的当前的或预期的可用 性、部件的历史可用性，部件的性能级别和功耗等，在装置或系统中进行 相应部件的选择和管理以执行信号或媒体的递送。可以自适应地采用不同 部件组以确保对一个或多个安全/兼容性限制的兼容。这些限制可基于例如 具体的源或内容来应用以建立多个诸如下面结合图3A和图3B更详细地 描述的安全的和不安全的路径。

图3A示出了根据本公开的实施方式的示例性路径配置302。在该实 施方式中，由端到端的安全性和认证支持300控制形成对应给定安全级别 的路径配置的部件的选择。作为实例而不是作为限制，装置的可用的部件 可包括：CPU/处理选项，存储器选项，输入/输出接口，软件API，用于 执行视频编码、视频解码、2D和3D图形的渲染、数字权限管理、加密、 解密等的硬件加速功能。某些部件可以执行或实现诸如音频/视频捕捉、格 式转换、回放、保存和流动的多媒体功能。

在某些实施方式中，应指出，部件可以具有相关联的质量和安全特性。 安全特性可涉及在该类部件中的特定性能，但也可涉及底层系统的安全 性。例如，如果在底层安全的硬件（例如，安全处理器）上运行，给定的 路径节点可具有认证的、安全的专用硬件部或认证的、安全的软件部件。 如果在不安全的硬件上运行，同样的（或近乎相同）安全软件部件可以被 认为只部分安全或不安全。也可限制当前可用的路径的安全级别，并且可 以由各种限制或资源竞争触发动态路径适配。

在一个实例中，根据多流需求，可以执行全部资源路径的动态适配以 支持例如并发的解码、编码或代码转换路径。此外，特定装置和架构功能 模块（包括硬件加速部件）可以具有多个处理选项（硬件、软件以及其组 合），多个选项可以分别共存并可由复制的副本（例如，硬件的拷贝和软 件实例化）支持。每个这种模块可以有特定的安全性和性能质量特性。基 于这些特性和当前可用性（考虑到其他预先存在的流路径），进一步的路 径可以被建立并且动态地适应具有各种的整体性能和安全性品质。只要端 到端的路径满足诸如由应用、服务运营商和内容提供商施加的最低安全要 求，则可以委任路径以建立或替换当前的路径。

图3B示出了根据本公开的实施方式的不同安全级别的媒体路径。在 该实施方式中，安全性和密钥管理功能310被操作为建立提供第一和第二 安全级别的第一和第二安全路径314和316以及第三不安全的路径318。 可以选择各种路径以用于一个或多个版本的媒体项312的并发处理以及其 至一个或多个接收装置的递送（在输出接口320）。

在一个实例中，服务运营商或内容提供商可以同时地递送用于在“白 金”路径、“黄金”路径和非认证路径上递送的多个版本（可能是不同的质 量）的媒体项或广播。此外，可由不同安全性或服务质量（QoS）级别支 持不同版本（例如，版本1到3）的媒体项。例如，电影的高清晰度或3D 版本可以比电影的较低分辨率的版本具有更高的安全性要求。在某些实施 方式中，如果媒体处理装置无法支持媒体项的高清晰度版的递送，则该项 可经由利用代码转换功能以产生能够被装置递送的较低质量的版本的较 低安全性路径递送。可替代地，媒体源或内容提供商可以提供不同版本的 媒体项以用于基于可用的媒体路径的特性（诸如QoS）或安全级别的选择 性的或自适应的递送。此外，来自特定的媒体源的内容或部分内容可经由 不安全的路径递送。例如，电影流服务，可以不对电影预告片、电影的最 初几分钟、电影的较低分辨率版本等放置限制。

还注意到，可以随着时间的推移更新或修改关于特定的媒体项的安全 性要求。即，路径选择和自适应可以基于媒体项、媒体接收器、媒体源的 特性，在多流环境中的其他媒体流的特性，路径部件的可用性，整个装置 的性能等（其可以随着时间而改变从而使任意给定的考虑因素在某一时刻 具有相对较高的权重而在另一时刻具有相对较低的权重）。此外，也可以 在不同的时间采用不同的相应的考虑。

在某些实施中，媒体处理装置可以提供多个安全的和不安全的媒体路 径结构（其子集对于特定的媒体项或媒体流的递送可能是可接受的）。随 着其他数据流的增加，先前的流可能会限制整个可接受的子集。路径自适 应和判断可以使正在进行的流使用不同的媒体路径结构以腾出空间给新 的流。可以由媒体源、媒体处理装置或由内容本身（或相关元数据）确定 并管理路径的可接受性。

除了相关联的安全特性，在路径结构中的部件可以具有固有的输出质 量特性。因此，从安全的角度来看，可接受的路径可以自身带有相应的质 量。例如，相对较低的安全路径可被限制为用于过时的电影版本、较低的 分辨率或帧速率、植入或覆盖广告等。

如将理解的，本文所描述的公开的实施方式可以适用于上行和下行通 信。更具体地，可以根据端到端的安全性要求配置上游路径部分、下游路 径部分和包括媒体处理装置的中间部分。可替代地，或对于给定的媒体项， 媒体路径配置的部分可以具有不同级别的相关安全性，诸如，安全的上游 部分和相对不安全的下游部分（可能涉及第二层认证或未认证的运作模 式）。如将认识到，许多其它的组合也是可以的。

在这样的一个实例中，通过将频道改变至常规的广播电视频道，可以 中断需要完整的端到端的安全性的按次付费类型的媒体流。该频道可能需 要完全的从服务运营商头端到机顶盒的安全性，但允许不安全的机顶盒到 电视媒介的递送。将频道再次调谐到（或选择）免费分配的互联网视频源 可以允许从服务器源到电视的完全未认证的和不安全的媒体路径。类似 地，与机顶盒交互以从相连的DVD播放器选择PVR源或内容可以允许使 用完全未认证的/不安全的路径。如所说明的，可以由媒体本身（或在相关 联的元数据中）指示或由媒体源管理可用的安全级别的施加/允许。

在某些实施中，内容提供商可评估下游的安全性能并提供多路径结构 （伴随有各种定价选项）。通过用户选择（例如，经由与机顶盒的交互）， 可以激活特定的路径结构。此外，可以提供接口以指示激活的路径选项。 其他媒体源的选择可以触发这样的接口以例如将一个路径结构优先于另 一个地排列、强制PVR的“非实时”递送（推迟的观看）、提高关于特定路 径结构的安全性和成本等。

图4是根据本公开的实施方式的在诸如具有多个可选择的路径部件 的机顶盒的媒体处理装置中建立多个媒体路径的方法400的逻辑图。在步 骤402中，编译关于可选择的移动设备的硬件/软件部件（诸如，硬件加速 器、a/v解码器，DRM功能，解密/加密模块等）的信息。可以将该信息制 成表格或编译以被装置和/或第三方使用。接着，在步骤404中，例如为服 务运营商或内容提供商提供可用部件的指示。接收者可以通过产生用于下 载（在步骤406）的信息（例如，包括对应于可用部件的条件性访问、认 证和/或安全性要求）作出响应。

下载的信息可以对应于多个预先建立的安全级别的第一个。在各种实 施方式中，例如，期望的安全级别可对应于既定的或行业标准认证或由服 务运营商使用的条件性访问系统的测试规程、要求等。类似地，期望的安 全级别可对应于用于涉及特定内容/媒体项或内容/媒体项的分类的处理和 递送操作的认证要求。

在步骤408中，从第一组路径部件中建立与第一安全级别相一致的第 一媒体路径。接着，在步骤410中，确定关于内容提供商的媒体项（其可 以是相比步骤406中处理的媒体项完全不同的媒体项或其不同版本）的第 二安全级别。在步骤412中利用该第二安全级别以从第二组路径部件中建 立第二媒体路径。然后在步骤414中，在第一或第二的媒体路径的至少一 个中执行媒体处理操作。

图5是根据本公开的实施方式的在诸如具有多个关于路径的操作节 点的可选择的路径部件的机顶盒这样的媒体处理装置中动态地建立替换 媒体路径的方法500的逻辑图。在步骤502中，利用第一组路径部件建立 与第一安全级别相一致的第一媒体路径。接着，在步骤504中，利用第二 组路径部件建立（至少）与第二安全级别相一致的第二媒体路径。然后在 与第一安全级别一致的第一媒体路径上开始媒体处理操作（诸如，接收和 修改用于递送至接收装置的视频或电影）（步骤508）。

继续媒体处理操作直至完成或直至在步骤510中检测到关于第一媒 体路径的部件使用冲突或其他问题，利用第三组路径部件（可能与第一或 第二组重叠）建立与第一安全级别一致或起源于第一安全级别的第三媒体 路径（步骤512）并且终止在第一媒体路径上的媒体处理操作（步骤514）。 除了安全性，在第三组路径部件的选择过程中，可以利用各种因素（包括 相当的预期功耗、相当的性能级别、前两者的组合等）。

然后在步骤516中，使用第三媒体路径恢复终止的媒体处理操作。例 如，路径劣化、处理瓶颈（可能是由于并发的多流处理）、处理节点的不 可用、成本、每个浏览者的方向等，需要这种路径的调整。此外，自适应 的路径转换可能需要质量或性能降级或升级。

下面的图示出了根据本公开的各种实施方式的在安全装置（诸如认证 的机顶盒装置）中不可靠的软件和软件架构（诸如安卓架构）与安全操作 系统（OS）内核环境的结合。通常，OS内核可以被认为是操作系统的心 脏（或ring0），OS内核提供在系统硬件部件与操作系统的其余部件和安 装的应用之间的接口。如下面详细描述的，安全的软件抽象层被设置以隔 离对装置的底层软件、硬件以及安全部件的访问。

可能经由包括支持应用接口（API）并确保安全的进程间通信（IPC） 调用或内核驱动程序的安全访问客户端和安全访问服务器（例如，图6中 的元件606、612和616）的安全访问层或接口出现不可靠的软件/架构与 安全的OS内核之间的通信和数据交换。在某些实施方式中，安全访问客 户端可以是架构的一部分或可由架构访问，而相关联的安全访问服务器结 合于安全的操作环境或运行为安全内核模块。在操作中，安全的访问接口 通过无限制的执行参数认证/检查以及通过硬件（可用时）的外围区域检查、 指针验证、直接/间接的堆栈指针验证、堆栈隔离可帮助防止由于不良数据 或参数导致的系统漏洞或不稳定，并且在受限的进程停止之后释放硬件资 源。安全访问服务器可以限制对服务器端库的访问并返回错误以响应于由 客户端传递的无效的或非法的参数。安全访问接口可进一步执行看门狗功 能以释放为离开的或不稳定的客户端保留的资源。

软件架构可以支持应用之间的不同程度的协作和依赖。然而，必须确 保由应用使用的提供服务并与其他应用以及底层操作系统通信的接口以 防卫漏洞和常规的违法操作。如在上面现有技术的描述中所说明的，如果 不具有严格的硬件隔离和独立的运行环境，执行来自不可靠的架构的未经 授权的代码的潜在可能会危机整个系统的安全性并且负面地影响已建立 的认证的或安全的路径缺失的诸如本文描述的那些的方法和架构（例如， 安全访问服务器）。

现在参照图6，其示出了根据本公开的各种实施方式的不可靠的架构 608以及用作安全操作系统环境的客户端的架构聚合体602。在示出的实 施方式中，为了支持各种（不可靠的）应用604，可以采用架构“聚合体”602 以包含和扩展利用各种1-n架构的操作。以这种方式，例如，服务提供商 可以为第三方架构以及其他“中间件”产品提供对系统资源的安全访问。作 为实例而不是作为限制，这些产品可包括Adobe Air、Adobe Flash、苹果 iOS、微软Silverlight、Java小程序以及类似的并列技术。架构聚合体602 可包括一套量身定制的操作系统库和HTML能力以支持这类技术以及用 户接口的Web引擎访问等。

在某些实施方式中，由架构聚合体602支持的用户界面可以使用户能 够启动由不可靠的架构608支持的应用。例如，Android架构608和/或架 构聚合体602可以提供一系列的API或按钮614（包括提供可用的安卓应 用的可视化显示的Android按钮）。此外，Android架构608和架构聚合体 602可以共享图形屏幕。以这种方式，可能不需要将功能转移到电子架构 608中，否则可能是必要的。应注意，在给定装置中，与由其它架构（由 架构聚合体602支持）所利用的相比，Android架构608可以使用不同的 工具链来构建，并且支持不同组的应用610的运行。

在示出的实施方式中，不可靠的架构608和架构聚合体602能够经由 与访问客户端606和612以及软件抽象层API618相协作运行的接入服务 器616访问安全的或可靠的根操作系统（诸如基于Linux操作系统的620） 和/或底层硬件（诸如安全机顶盒硬件部件622）。在该示出的实施方式中， 访问客户端612实现不可靠的架构与访问服务器616之间的安全通信，而 架构聚合体602类似地由访问客户端606支持。

包括任何必要的软件补丁的全部或部分Linux操作系统实例624被设 置为支持不可靠的架构608的运行，并且访问客户端612可以进一步用作 控制不可靠的架构608与全部或部分Linux操作系统实例624之间的通信。 安卓软件堆栈的Linux内核部件可包括例如显示驱动器、USB驱动器、键 盘驱动器、WiFi驱动器、音频驱动器、电源管理、联编程序（binder）（IPC） 驱动器、蓝牙驱动器、闪存存储器驱动器等。此外，架构608可以包括 API或一个或多个按钮614，其例如可实现可用的应用610（其例如可以 使用应用IPC调用运行在不可靠的架构608上）的可视化显示。

在一个实施方式中，使用进程隔离技术执行不可靠架构608（包括其 部件以及不可靠的应用610）的运行。这种进程隔离技术可能需要例如利 用虚拟地址空间（其中，第一进程的地址空间与第二进程的地址空间是不 同的）。在某些实现方式（例如，系统策略允许进程在诸如共享存储器或 本地套接字这样的IPC信道上协作）中，可以禁止或严格控制进程间存储 器访问。

图7示出了根据本公开的实施方式的利用认证应用702的机顶盒或其 它安全体系结构700。在示出的实施方式中，认证应用702可以是预装的 或例如从服务运营商或基于云的源提供的认证应用的目录中下载的。作为 实例，这类应用可包括媒体流应用（例如，Netflix）、游戏应用、网页浏 览应用、基于iOS的应用、Android应用等。在某些实施方式中，可能需 要结合或下载额外的操作系统以支持相应类的认证应用。可替代地，可以 将给定应用的不同认证版本做成可用的以支持各种安装的操作系统和/或 架构710。如下面结合图8详细描述的，可以在一个或多个虚拟机容器708 中运行认证应用702。

在示出的实施方式中，不可靠的客户端应用和架构通过应用IPC调 用以及访问最小客户端712（访问最小的“访客”Linux服务接入716）与底 层机顶盒平台的安全部分交互，该安全部分包括机顶盒应用704、认证（运 营商供应的）应用702以及安全Linux内核环境724。同样地，在可靠的 用户模式（或“特权的”）的操作系统环境中的应用经由访问客户端714接 收对“托管的”Linux服务接入718的全部访问。可以由完整主机的根文件 系统720来支持可靠的用户模式环境，而在单独的分区或磁盘上的最小访 客账户根文件系统722可以支持不可靠的用户模式（或“受限的”）的操作 系统环境。

在某些实施方式中，可以由不可靠的客户端应用/架构710通过IPC 调用（通过网络套接字传递）访问机顶盒的诸如媒体处理和硬件加速资源 （用于音频/视频编码和解码、使用标准化API（诸如，开放式图形库或 “OpenGL”）的2D和3D图形的渲染、数字版权、加密/解密等）的某些资 源以及网络接口。同样地，通过IPC调用（诸如调用Android的API或按 钮），诸如IR控制信号的事件可以从机顶盒平台传递至不可靠的客户端应 用/架构710。

在一个示例性实施方式中，初始机顶盒应用704被构造为运行在虚拟 机容器706的Android应用。根据有关的安卓架构的性能，可能需要非标 准的API或库以支持某些机顶盒的诸如PVR、画中画、转码、信道调整 操作的功能。此外，该方法可能需要特定的接口连接（例如，将字符串传 递至接口以创建作为硬件调用一部分的编码路径）或非标准功能（甚至是 应用程序）规定，以解决在有关的架构中所缺乏的或认证所需要的服务和 功能。例如，通过提供“隐藏”在安卓端口接入（porting）层之下的服务， 安卓架构可以被扩展至包括非标准的功能（不会负面地影响性能），并且 通过这样的层接收并且解译统一资源标识符（“URI”）。

在其它实施方式中，下载的（或预装的）每个应用包括完整的安全性 定义，而不是由源管理的或由内容本身（或相关联的元数据）定义的端至 端的安全性定义。例如，每个应用可具有它自己的可下载条件访问安全性 （dCAS）或可下载的DRM元/定义。相应的认证过程中可能需要例如利 用提供认证的决定性部分的一个或多个应用验证整个安全路径的一部分。 可替代地，可以通过定义使用哪个机制的（下载的）应用来提供多个预定 义的条件接入机制。然后可以无需考虑特定公司或媒体的条件性接入要求 来验证安全的“边界”。

在各种实施方式中，机顶盒或类似的装置可以与媒体消费网络中的其 他装置（例如，PVR、DVD播放器、接入点、电视机、计算装置、智能 手机等）交换性能以比较应用的要求。一旦做到这一点，应用可以选择其 将允许的一个或多个操作模式（如果有的话）。如果机顶盒不能支持这些 的模式（由于资源竞争或其他方面），这些模式变为不可用的。如果能够 选择可用的一组操作模式，并且这组模式可以在媒体流递送期间的传播时 被动态地切换至这些模式中的其他形式，这可能需要协调应用或源以支持 转换（可能需要在媒体中的质量变化）。

图8示出了根据本公开的各种实施方式的作为在虚拟环境中的机顶 盒应用（“STB应用”）804的客户端的不可靠的架构802。如图所示，STB 应用804被设置为执行机顶盒800的基本操作并与诸如安卓架构802的不 可靠的“客户端”架构的接口连接。在该实施方式中，STB应用804运行在 包括安全访问内核驱动器808以及访问服务器816（其包括由STB应用使 用的完整访问接口810以及由安卓架构802经由访问客户端812使用的更 加受限的访客访问接口812）的安全的或特权的Linux操作系统内核环境 （诸如对称多处理（SMP）的Linux内核的环境806）中。STB应用804 包括支持与完整访问接口810的通信的访问客户端814的功能，并且使用 例如基于容器的虚拟化使安卓架构802能够运行为安全Linux内核环境 806的不可靠的客户端。如可以理解的，客户端/服务器体系结构允许崩溃 或终止不可靠的进程，而不会危及底层硬件安全以及造成系统不稳定性。

除了访问客户端818，所示出的实施方式的Android架构802可包括 可靠的/认证的和/或不可靠的应用和应用支持820，JavaScript脚本解译， 浏览器功能822，插件（例如，Adobe Flash插件）以及Dalvik虚拟机。 在某些实施方案中，认证应用820可以从服务运营商、内容提供商、基于 云计算的源等下载或由其提供。Android架构802进一步包括通过最小访 客Linux服务访问接口826实现对安全Linux内核环境806的必要部件的 受限访问的平台或操作系统访问功能824。

在本公开的各种实施方式中，可以采用各种虚拟化技术，包括利用运 行在共享的操作系统内核或独立的操作系统内核的虚拟系统的实施。特定 的方法的选择可能依赖于所要求的隔离级别以及处理和存储资源的可用 性。在示出的实施方式中，不可靠的Android架构802运行在第一虚拟机 （VM）访客Linux容器830（例如“LXC”或Linux资源容器）上以提供与 安全进程和资源的进一步隔离。在该实施方式中，STB应用可以类似地运 行在具有完整主机Linux服务访问828的第二VM主机Linux容器832上。 简单地说，通常，基于容器的虚拟化（或操作系统级的虚拟化）允许内核 与在其上面安装的多个隔离的虚拟机或虚拟环境一起运行。每个虚拟环境 可以专用于特定的应用，并且通常不是完整的操作系统实例，而是操作系 统中工作于在主机操作系统内核中的虚拟层（或硬件资源抽象层）的局部 实例。

尽管虚拟化可以减轻不可靠的部件的硬件隔离的需要，在某些实施方 式中，具有不同的安全级别的多个处理器可以受益于虚拟容器结构（其完 全经由这样的处理器中的一个来运行，而其他容器可跨多个处理器）。在 一个这样的实施方式中，第一处理器可以专用于非安全功能的执行，而第 二安全处理器可以专用于常规的STB功能。在各种替代实施方式中，不 可靠的架构可以是经由例如非处理器的硬件/外围设备、从处理器隔离的存 储器和/或外围设备等被沙箱化硬件。考虑安全的和不可靠的软件和硬件之 间的各种其它划分（例如，将不可靠的架构或应用本身划分到“可靠的”部 分和“不可靠的”部分），在下面描述其实例。此外，通过利用硬件和操作 系统的虚拟化特性，多个操作系统可以同时运行在相同的硬件上。

图9示出了根据本公开的替代实施方式的架构到可靠的和不可靠的 部分900和902的分割。在该实施方式中，（安卓）架构900、网页浏览器 等的可靠的部分900以及相应的不可靠的部分902分别运行在一个或多个 独立的虚拟机容器904和908中。可靠的部分900可包括安全平台和操作 系统访问接口910。除了可靠的部分900，机顶盒应用906以及可靠的或 认证的应用930可运行在虚拟机容器904中。

使用涉及Web浏览器的实例，浏览器中运行潜在的不安全的Flash 或Java脚本代码（诸如，渲染引擎）的部分可以运行在具有有限的文件系 统和外围设备访问的“不可靠的”虚拟机容器908中，而浏览器中具有对底 层平台硬件和敏感的操作系统资源具有访问权限的部分可以运行在一个 或多个“可靠的”虚拟机容器904中。在进一步的实施方式中，可靠的部分 900可包括支持安全的应用或应用的安全部分的架构或修改版本的架构的 安全克隆（secure clone）。在这样的实施方式中，不安全的应用或其部分 可以由存在于不可靠的或受限的用户域或容器的架构来执行。可采用硬件 沙箱化的各种方法以进一步隔离架构中不可靠的部分并支持受限的操作 系统域或环境。

该实施方式的安全Linux内核环境912包括安全访问内核驱动器914 和访问服务器920（其提供支持可靠的用户模式功能的完整访问接口916 以及支持不可靠的用户模式功能的访客访问接口918）。完整主机Linux服 务接入922和最小访客Linux服务接入924分别被设置为可靠的和不可靠 的用户模式环境。如上所述，可靠的用户模式环境可以由完整的主机根文 件系统926来支持，而在单独的分区或磁盘的最小访客根文件系统928支 持不可靠的用户模式环境。

图10是根据本公开的各种实施方式的支持操作系统环境的硬件隔离 的多处理器系统的框图。例如，第一处理器CPU1可以专用于常规的机顶 盒功能并支持安全访问服务器1000，而第二个处理器（web）CPU2可以 专用于非安全功能和不可靠的应用（例如，Android架构客户端1002或网 页浏览器）的运行。由CPU1支持的可靠的运行环境能够限制对某些核心 STB功能（其包括硬件加速模块1004，DRM功能1006等）的访问。可 以由诸如上面详细描述的密钥管理和认证支持系统1008控制对这类部件 的访问和启动。

在一个实施方式中，当在“沙箱”模式时，CPU1和CPU2均被隔离在 单独的并且不同的区域。在另一个实施方式中，可靠的CPU1被设置具有 自身的隔离的存储区域并且还被给予CPU2的某些或全部地址范围的存储 器映射部分的访问权限。通常，当在单独的或隔离的区域、环境或域中运 行时，两个CPU运行不同的应用，从而使CPU1执行一组指令，而CPU2 执行不同组的指令。这种性质的隔离或分离通常被称为沙箱化或沙箱模 式。大多数沙箱的目的是为了阻止一个区域访问另一区域中的功能或具有 一个区域进入另一个区域的受控访问权限。在某些情况下，可以限制两个 区域具有对另一区域的访问权限或只具有区域之间的受控访问权限。在某 些应用中，一个区域可被视为安全的、特权的或可靠的区域，并且另一个 被视为受限的、不安全的或不可靠的区域，其中，非安全区域中运行的应 用程序的访问被阻止或控制以免访问运行在安全区域某些应用程序。

如上面说明的，大量的装置利用多个处理器或处理内核运行独立的程 序、应用程序等。在其中一个区域不具有对第二区域的访问权限的情况下， 一种确保这种分离的方式是通过检测对系统存储器的访问。即，通过确保 分配给CPU1的访问没有被CPU2访问（除非该访问的区域是共享区域）， 可以阻止运行在CPU2上的应用违背该功能性分离。实现这种保护的一种 方式是提供访问检查和访问控制以确保正确的处理模块访问该处理模块 的允许访问的区域。在示出的实施方式中，CPU1和CPU2可直接通过网 络套接字、IPC调用等通信。

图11是根据本公开的实施方式的机顶盒（STB）/网关（GW）1101 的示意性框图。STB/网关1101提供了许多功能，包括将来自外部源的信 号转换为能够被网络设备使用的内容。STB/网关1101可进一步操作为支 持单向或双向通信以及网络设备之间的桥接的网关。

示出的实施方式的STB/网关1101经由一个或多个有线的和无线的网 络/链接与住宅的网络基础设施1105和外部媒体系统1107交互。有线的和 无线的网络/链接可以利用各种传输介质中的一种或多种，诸如，同轴电缆、 屏蔽的双绞线电缆、光纤电缆、电力线配线和无线媒介（无线电频率、微 波、卫星、红外线等），并且根据各种通信和网络协议（TCP/IP、UPnP、 IPv6等）来运行。此外，有线的和无线的网络/链接可包含利用生成树协 议的多跳网络、直接无线连接、对等链接等。

外部媒体的系统1107可以包括，例如，一个或多个电缆，卫星和/ 或地面电视系统。这些系统可以利用各种前端设备和服务（诸如接收用于 进一步处理和分配的电视信号的电缆前端），并且这些前端设备和服务可 以提供诸如互联网连接和VoIP服务的其他各种服务。

示出的实施方式的STB/网关1101包括广播/单播/多播前端1113，前 端1113被操作为从外部媒体系统1107或住宅的网络基础设施1105中接 收用于进一步处理和分配的非压缩的或压缩的数字视频、数字音频以及其 他数据信号。前端1113包括被操作为隔离特定信道的调谐电路1119a。然 后来自调谐器电路1119a的信号被提供至数转换（ADC）电路1120A和解 调电路1121A以转换为二进制格式/流。一旦转换为二进制格式，前向纠 错（FEC）电路1122A检查接收到的二进制流的完整性。然后可以将从二 进制流中提取的音频、视频以及数据解译（例如，通过解码1125）为适于 被下行装置使用的格式。应注意，解调电路1121A可支持一个或多个调制 技术，诸如，正交相移键控（QPSK）、正交幅度调制（QAM）、正交编码 频分复用（COFDM）等。

前端1113可被集成于可进一步支持例如交互式数字电视、网络DVR 功能、通过DOCSIS应用的IP视频以及3D图形支持的一个或多个半导体 装置中。此外，多个调谐电路1119a（包括带内和带外调谐器）、ADC电 路1120A以及解调电路1121a可被设置为针对不同的调制机制和电视标准 （诸如，PAL、NTS、ATSC、SECAM、DVB-C、DVB-T（2）、DVB-H， ISDB、T-DMB、开放式电缆（Open Cable））。

在本公开的一个替代实施方式中，由智能手机或移动计算装置来执行 STB/网关1101的功能。在该实施方式中，“前端”1113包括一个或多个无 线接口（包括PHY和基带功能），诸如蜂窝（3G、4G、增强的IMT等） 或广域网（HetNet、Wi-Fi、WiMax等）接口。该接口可支持一个或多个 调制和复用技术，诸如，OFDM、OFDMA、SC–FDMA、QPSK、QAM、 64QAM、CSMA、MIMO等。在示出的实施方式中，无线接口包括收发器 1119b，模拟数字转换（ADC）和数字模拟转换（DAC）电路1120b，解 调和调制电路1121B和FEC（诸如turbo码或LDPC码）电路1122b。可 以由处理电路和存储器1111提供编码、解码和转码1125功能。

STB/网关1101还包括用于与住宅的网络设施1105和/或外部媒体系 统1107通信的（广域网）接口电路1115。通过通信接口电路1115，STB/ 网关1101可以直接与上行资源通信或提供在这些资源与耦接至STB/网关 1101的装置（例如，装置1141-1149）之间的（双向的）桥接通信。

在图11的实施方式中，STB/网关1101经由通信接口电路1117与各 种装置1141-1149通信。例如，电视或显示接口模块1131与（数字）电视 机1141或其他媒体显示装置通信以转播电视节目并且实现可用的交互式 媒体服务。在某些实施方式中，电视机或显示接口模块1131可包括远程 用户界面（RUI）服务器。类似地，音频接口1133提供对音频系统1143 的音频节目或音频库的访问。

通信接口电路1117进一步包括用于接收来自远程控制1145的控制信 号的远程控制接口1135。除了常规的远程控制操作，远程控制1145可进 一步提供中继或映射至相关的消费电子装置的语音和/或手势控制信号。用 户接口1137也被设置为用于与一个或多个用户接口装置1147的通信。游 戏界面1139用作提供与游戏系统1149的交互式通信。这种通信可涉及例 如社交网络的成员和/或在游戏平台的外部玩家之间的在线的多人游戏。电 源管理接口1140的功能被设置为实现装置1141-1149之间的省电操作。

示出的实施方式的STB/网关的1101包括处理电路、操作系统和存储 器1111（其部件可以由硬件、软件、或其组合组成）、服务支持1123以及 解码/编码/代码转换功能1125以支持诸如上述那些的网络交互。在该实施 方式中的服务支持1123包括各种功能，诸如，电源管理1127、桥接1128 以及媒体服务器-接收器服务1129。也可包括STB/网关的其他常规特征。 例如，处理电路1111可以包括提供内核处理器、音频/视频解码器、媒体 处理器/DSP、图形内核、加密/解密内核、自适应代码转换等的片上系统 或类似的装置。

如本文中可使用的，术语“基本上”、“近似地”提供了业内可接受的相 应的术语和/或术语之间的相关性的容差。这种业内可接受的容差范围从小 于1％至50％，并且对应于（但不限于）部件值，集成电路处理变化，温 度变化，上升和下降时间和/或热噪声。术语之间的这种相关性从百分之几 的差别变化到巨大的差别。如本文中还可使用的，术语“可操作地耦接至”， “耦接至”和/或“耦接”包括术语之间的直接的耦接和/或术语之间经由中间 术语的间接耦接（例如，术语包括，但不限于，部件、元件、电路和/或模 块），其中，对于间接连接，中间术语不会修改信号的信息，但可以调整 其电流电平、电压电平和/或功率电平。如本文中可进一步使用的，推断耦 接（即，其中，一个元件通过推断耦接至另一元件）以与“耦接至”相同的 方式包括直接的和间接的耦接。如本文中可更一步使用的，术语“可操作 地”或“可操作地耦接至”表示术语包括一个或多个电源连接、输入、输出 等以在被激活时执行一个或多个相应的功能，并且还可以包括推断的耦接 至一个或多个其他术语。如本文中又可进一步使用的，术语“相关联”包括 单独的术语和/或嵌入在另一术语中一个术语的直接的和/或间接的连接。 如本文中可使用的，术语“比较结果有利”表示两个或更多个术语、信号等 之间的比较提供了期望的关系。例如，当期望的关系是信号1具有比信号 2更大的幅度时，当信号1的幅度大于信号2的幅度或当信号2的幅度小 于信号1的幅度时，可以实现有利的比较结果。

如本文中还可使用的，术语“处理模块”、“模块”、“处理电路”和/或“处 理单元”可以是单个处理装置或多个处理装置。这样的处理装置可以是微 处理器、微控制器、数字信号处理器、微型计算机、中央处理单元、现场 可编程门阵列、可编程逻辑器件、状态机、逻辑电路、模拟电路、数字电 路和/或基于电路的硬编码和/或操作指令操纵信号（模拟的和/或数字的） 的任何装置。处理模块、模块、处理电路和/或处理单元可以具有相关联的 存储器和/或集成的存储元件（其可以是单个存储装置、多个存储装置和/ 或处理模块、模块、处理电路和/或处理单元的嵌入式电路）。这种存储装 置可以是只读存储器、随机存取存储器、易失性存储器、非易失性存储器、 静态存储器、动态存储器、闪存、高速缓冲存储器和/或存储数字信息的任 何装置。应注意，如果处理模块、模块、处理电路和/或处理单元包括多个 处理装置，这些处理装置可以是集中式分布的（例如，经由有线的和/或无 线的总线结构直接耦接在一起），或可以是分布式分布的（例如，经由通 过局域网和/或广域网的间接连接的云计算）。还应注意，如果处理模块、 模块、处理电路和/或处理单元经由状态机、模拟电路、数字电路和/或逻 辑电路实现一个或多个其功能，则存储相应指令的存储器和/或存储元件的 可被嵌入包括状态机、模拟电路、数字电路、和/或逻辑电路的电路的内部 /外部。还应进一步注意，存储元件可存储并且处理模块、模块、处理电路 和/或处理单元执行对应在一个或多个附图中示出的至少某些步骤和/或功 能的硬编码的和/或操作指令。这种存储装置或存储元件可以包含在制造的 产品中。

上面已经借助于说明特定功能的性能和其关系的方法步骤描述了本 发明。为了描述的方便，这些功能组成模块和方法步骤的界限和顺序在本 文被任意地定义。可以定义可选的界限和顺序，只要适当地执行了特定的 功能和关系。因此，任何这种替代的界限或顺序在所要求保护的发明的范 围和精神之内。此外，为了描述的方便，这些功能组成模块的界限被专门 地定义。可以定义替代的界限，只要适当地执行了某些重要的功能。类似 地，本文中还专门地定义了流程图模块以说明某些重要功能。为广泛应用， 另外地，可以以其他方式定义流程图模块的界限和顺序而仍能实现某些重 要功能。因此，功能组成模块以及流程图模块的界限和顺序的这些替代性 定义在所要求保护的发明的范围和精神之内。本技术领域的普通技术人员 将认识到，所述的功能模块以及其它的说明性模块、模组和部件可以如示 出的或通过分立元件、专用集成电路、执行合适的软件等的处理器或其任 意组合来实施。

已经至少部分地以一个或多个实施方式的形式描述了本发明。本文中 使用本发明的实施方式以说明本发明、其方面、其特征、其概念和/或其实 例。设备的物理实施方式、制造的产品、机器和/或体现本发明的过程可包 括参考一个或多个本文描述的实施方式描述的方面、特征、概念、实例等。 此外，在附图中，实施方式可结合相同的或类似的指定的功能、步骤、模 块等（其可使用与这些功能、步骤、模块等相同的或不同的参考标号）， 可以是相同或相似的功能、步骤、模块等或是不同的。

除非特别声明为相反的，至、来自本文中呈现的任意附图中的元件的 信号和/或元件之间的信号可以是模拟或数字的、连续时间或离散时间、单 端的或差分的。比如，如果一个信号路径显示为单端的路径，它也表示差 分信号路径。类似地，如果信号路径显示为差分路径，它也表示单端的信 号路径。尽管本文描述了一个或多个特定的结构，如本技术领域的普通技 术人员认识到的，同样地，可以实施使用一个或多个数据总线（未清楚示 出）、元件之间的直接连通性和/或其他元件之间的间接耦接的其他结构。

在本发明的各种实施方式的描述中使用了术语“模块”。模块包括经由 硬件实施的执行一个或多个模块功能（诸如从一个或多个输入信号产生一 个或多个输出信号的处理）的功能模块。实施模块的硬件本身可以结合软 件和/或固件来运行。如本文所用的，模块可以包含一个或多个其本身是模 块的子模块。

尽管本文中已经清楚地描述了本发明的各种功能和特征的特定组合， 这些特征和功能的其它组合同样也是可行的。本发明不是由特定实例来限 制的并且清楚地结合这些其他组合。