【技术实现步骤摘要】
【国外来华专利技术】相关申请案的交叉参考本申请案主张2014年3月11日在美国专利商标局提交的第14/205,226号美国非临时专利申请案的优先权和权益,所述申请案的全部内容通过引用结合在此。
各种特征涉及数据验证,且尤其涉及用于存储在移动计算装置中的数据的消息验证码(MAC)标签。
技术介绍
数据完整性/验证可以通过将标签或哈希(例如MAC标签)与数据存储在一起而提供于数据存储系统中。例如,通过对秘密密钥和数据应用消息验证算法(MAA),可以生成MAC标签以用于待存储的数据单元。数据单元和MAC标签随后存储在存储装置中,例如存储器装置。当随后从存储装置读取数据单元时,基于所检索的数据和原始秘密密钥而生成新MAC标签。如果新MAC标签与所存储的MAC标签不同,那么将数据单元拒绝为损坏的。如果新MAC标签与所存储的MAC标签相同,那么数据由此得到验证且被认为是可信的。然而,如果数据随时间推移合理地更新,那么攻击者可能用旧(数据单元,标签)对来替换存储装置中的有效(数据单元,标签)对。这是回退攻击的实例。确切地说,当数据存储在用于例如移动无线装置中的类型的更加安全的芯片上系统(SoC)处理电路的外部的相对较不安全的存储装置(例如芯片外存储装置)中时,可能出现问题。此类存储装置系统容易受到的另一形式的攻击是剪切粘贴攻击,其中攻击者用来自另一位置的经加密数据段来替换某一经加密数据段,由此希望当处于新位置时,所得经解密数据将与旧位置相同。减轻这些形式的攻击可能是昂贵的,因为有效的减轻可能需要将状态数据存储在安全的存储装置中,例如存储在芯片上存储装置内。例如,在极端情况下,可以将所有标签 ...
【技术保护点】
一种用于存储数据以准许验证所述数据的方法,其包括:基于初级密钥、待存储的数据单元、所述数据单元的对应的索引以及所述数据单元的次级密钥而获得消息验证码;将所述消息验证码和所述数据单元存储在第一存储装置中;以及将所述数据单元的所述次级密钥存储在第二存储装置中。
【技术特征摘要】
【国外来华专利技术】2014.03.11 US 14/205,2261.一种用于存储数据以准许验证所述数据的方法,其包括:基于初级密钥、待存储的数据单元、所述数据单元的对应的索引以及所述数据单元的次级密钥而获得消息验证码;将所述消息验证码和所述数据单元存储在第一存储装置中;以及将所述数据单元的所述次级密钥存储在第二存储装置中。2.根据权利要求1所述的方法,其进一步包括:在到所述第一存储装置的每一新数据写入操作后获得待存储在所述第一存储装置中的对应的数据单元的新次级密钥。3.根据权利要求1所述的方法,其进一步包括通过以下操作来验证存储在所述第一存储装置中的数据单元:从所述第一存储装置获得数据单元和在所述对应的数据单元索引处的对应的消息验证码;基于所述数据单元索引从所述第二存储装置获得对应的次级密钥;从所述第二存储装置获得所述初级密钥;基于所述初级密钥、从所述第一存储装置获得的所述数据单元、所述对应的数据单元索引以及所述对应的次级密钥而获得新消息验证码;以及比较所述新消息验证码与从所述第一存储装置获得的所述消息验证码以检测其间的任何差异。4.根据权利要求3所述的方法,其进一步包括在于所述新消息验证码与从所述第一存储装置获得的所述消息验证码之间检测到任何差异时产生差错指示符。5.根据权利要求1所述的方法,其中所述次级密钥基本上小于所述消息验证码和所述初级密钥。6.根据权利要求1所述的方法,其中所述消息验证码MAC是针对对应的数据单元索引(i)基于全局初级密钥(K)、每数据单元次级密钥(Ni)、所述数据单元(Mi)以及所述数据单元索引(i)而获得的标签(Ti)。7.根据权利要求6所述的方法,其中所述标签(Ti)是通过基于所述全局初级密钥(K)、所述次级密钥(Ni)以及所述数据单元(Mi)而将消息验证算法MAA应用到所述对应的数据单元索引(i)来获得。8.根据权利要求7所述的方法,其进一步包括在应用所述MAA之前,串连特定的次级密钥(Ni)、对应的索引(i)以及所述数据单元(Mi)与所述全局初级密钥(K)以获得所述消息验证码MAC。9.根据权利要求1所述的方法,其中所述次级密钥是随机或伪随机值中的一者。10.根据权利要求1所述的方法,其中所有次级密钥值初始地设定为零,且所有随后的次级密钥值设定为非零值。11.根据权利要求1所述的方法,其中所述方法在耦合到芯片外存储装置的芯片上系统装置内操作,且所述第一存储装置包含所述芯片外存储装置。12.根据权利要求1所述的方法,其中所述方法在具有芯片上存储装置的芯片上系统装置内操作,且所述第二存储装置包含所述芯片上存储装置。13.一种装置,其包括:第一存储装置,其用于存储数据单元和消息验证码;第二存储装置,其用于存储用于验证所述第一存储装置的所述数据单元的验证密钥;处理电路,其耦合到所述第一和第二存储装置,所述处理电路经配置以基于初级密钥、待存储的数据单元、数据单元的对应的索引以及所述数据单元的次级密钥而获得消息验证码;将所述消息验证码和所述数据单元存储在所述第一存储装置中;以及将所述数据单元的所述次级密钥存储在所述第二存储装置中。14.根据权利要求13所述的装置,其中所述处理电路进一步经配置以在到所述第一存储装置的每一新数据写入操作后获得待存储在所述第一存储装置中的对应的数据单元的新次级密钥。15.根据权利要求13所述的装置,其中所述处理电路进一步经配置以通过以下操作来验证存储在所述第一存储装置中的数据单元:从所述第一存储装置获得数据单元和在所述对应的数据单元索引处的对应的消息验证码;基于所述数据单元索引从所述第二存储装置获得对应的次级密钥;从所述第二存储装置获得所述初级密钥;基于所述初级密钥、从所述第一存储装置获得的所述数据单元、所述对应的数据单元索引以及所述对应的次级密钥而获得新消息验证码;以及比较所述新消息验证码与从所述第一存储装置获得的所述消息验证码以检测其间的任何差异。16.根据权利要求15所述的装置,其中所述处理电路进一步经配置以在于所述新消息...
【专利技术属性】
技术研发人员:B·B·布伦利,V·K·代瓦西加马尼,S·N·阿南德,
申请(专利权)人:高通股份有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。