[发明专利]安全的直接存储器访问

说明书

背景

越来越多的计算设备正在被用来观看和/或听可能受版权保护的流式视频或音频内容。此外，随着流式回放分辨率越来越大的视频/音频内容，计算设备可能需要临时存储受保护的内容。版权受保护内容的所有者可能对计算设备设置要求以确保当内容被向计算设备流式回放时内容不会被盗版或自由地复制。这些要求可以包括配置计算设备以执行受保护的回放。通常，受保护的回放包括解密受保护的内容以及将解密的内容置于安全存储器，供最终输出到计算设备的用户。然而，当在安全存储器中时，解密的内容不可以被计算设备的主应用程序(例如，操作系统)访问。

附图简述

图1示出了示例计算平台。

图2示出了目的地管理器的示例体系结构的框图。

图3示出了安全DMA操作的示例过程图。

图4示出了另一个安全DMA操作的示例过程图。

图5示出了安全DMA操作的示例操作的流程图。

图6示出了示例系统。

具体实施方式

如在本发明中设想的，受保护的回放包括解密受保护内容并将解密的内容置于安全存储器中。在某些示例中，安全处理器(SEP)子系统可以提供安全直接存储器访问(DMA)操作。安全DMA操作可以被称为“加密DMA操作”。当前加密DMA操作包括从源存储器获取加密的内容，并将解密的内容置于安全目的地存储器中。对于这些当前加密DMA操作，主机或计算设备的操作系统通常对解密的内容将被置于什么目的地地址拥有控制权。但是，主机或操作系统可能被恶意应用程序或代码劫持。如此，恶意应用程序可能劫持操作系统并将解密的内容重新定向到非安全目的地存储器的目的地地址。恶意应用程序或可能任何应用程序都可能自由地复制解密的内容。

在某些示例中，实现了用于安全DMA操作的技术。对于这些示例，可以响应于DMA操作的启动，建立安全目的地地址范围。DMA操作可以包括获取在源存储器中维护的加密的内容，解密加密的内容，并将解密的内容置于安全目的地存储器中。一旦确定了安全目的地地址范围，可以接收包括与安全目的地存储器相关联的一个或多个目的地地址的目的地DMA表。允许解密的内容被置于安全目的地存储器中可以基于一个或多个目的地地址落在安全目的地地址范围内。

图1示出了示例计算平台100。如图1所示，计算平台100包括安全处理(SEP)子系统110、操作系统120、源存储器130、共享存储器140、安全目的地存储器150、视频/声音子系统160、中央处理单元(CPU)170、通信180，以及应用程序190。也如图1所示，多个接口可以互连和/或可通信地耦合计算平台100的元件。例如，用户接口115和接口125可以允许用户(未示出)和/或应用程序190耦合到操作系统120。接口135还可以允许操作系统120具有对计算平台100的元件，诸如SEP子系统110、共享存储器130、源存储器140、安全目的地存储器150、视频/声音子系统160或通信180的至少有限的访问。接口154可以允许计算平台100的硬件和/或固件元件可通信地耦合在一起，例如，通过系统总线或其他类型的内部通信信道。

在某些示例中，如图1所示，SEP子系统110可以包括目的地管理器112、加密DMA模块114和安全处理器116。目的地管理器112、加密DMA模块114和安全处理器116可以包括被配置成执行加密DMA操作的逻辑和/或特征。加密DMA操作可以包括获取在源存储器(例如，源存储器140)中维护的加密的内容，解密加密的内容，并将解密的内容置于安全的目的地存储器(例如，安全目的地存储器150)中。

根据某些示例，操作系统120可以与SEP子系统110进行协作，以允许应用程序190请求的内容的受保护的回放。对于这些示例，应用程序190的用户可能希望在附接到或耦合到计算平台100的显示器上观看流式视频(例如，通过网络资源或媒体服务器)。操作系统120，例如，可以允许应用程序190使用通信180来向源存储器140流送回放受保护的内容。如下面所描述的，操作系统120和/或应用程序190可以启动通过SEP子系统110的元件来实现的加密DMA操作，以允许加密的内容流的受保护的回放。