用于安全地存储数字数据的系统100包括数据存储器110和物理不可复制功能模块120(PUF),PUF包括用来接收询问的输入端(122)和用来对询问产生响应的输出端(124)。装置130确定与数据存储器关联的标识符。装置140将标识符的表示作为询问提供至PUF并且从PUF获得相应的响应。加密单元150执行用来对存储于数据存储器中的数字内容项进行防护和验证的加密操作,其中加密操作在通过已接收响应所导出的加密密钥的控制下执行。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及安全存储器。
技术介绍
数字数据存储领域中的安全性变得越来越重要。这一主题曾经主要与计算机服务器相关,现在它已从桌面PC扩展至各种便携式设备如MP3播放器、移动电话,以及嵌入式存储设备如存储卡、USB密钥、智能卡等等。在使用存储中数据的应用的数量增长的同时,存储和/或应用的供应商的数量也在增长。这使得对安全等级进行评估越来越困难。在这种运行着越来越多软件的不同敏感平台的数量不断增长的背景下,易感性(liability)正在增长。为了使用例如类似Windows Media DRM或Apples Fairplay的常用DRM应用的任意常用DRM(数字版权管理),这些DRM应用可以用于音乐和/或视频下载,用户将要收到各种限制,例如内容可以呈现在何种类型或者数量的平台上、内容可以呈现的最长持续时间、对可制作复件的数量进行限制等等。实施DRM系统的公司必须同意通常要求最低安全级别的鲁棒性规则,例如保证实施不能被简单手段危及安全。在安全被破坏时会有严重的后果。在安全敏感应用中的一个普遍问题是存储器,比如磁存储器(例如硬盘)、光学存储器(例如CD类、DVD类、蓝光光盘类、HD-DVD类)、电子存储器(例如Flash、M-RAM等)。某些数据需要在较长时期内持续存储。存储中的数据也可能需要防范被修改和/或读取。习惯上,保护措施被内置于操作系统或文件系统中。此外,鉴于存储器可以轻易地被移至不遵守这些保护措施的平台的事实,一般使用加密技术以获得可靠性和/或保密性。加密技术需要密钥。通常,使用所谓的主密钥导出专用密钥来用于多个应用,比如认证或解密/去扰,-->或用于多种用途,例如针对特定目的的个人信息、数据库中的不同文件或者甚至不同记录的不同加密,等等。以常规方式使用密钥会引入可以通过逆向操作或复制找到密钥的风险。经常地,机密密钥被嵌入需要通过此密钥安全存储和编码和/或认证的计算机程序(应用程序)的二进制映像中。特定的风险发生在通过常规处理器执行加密处理的系统中。在这种系统中,密钥的表示可以以普通(未编码的/未保护的)形式出现在主存储器(通常是RAM)中。业界一直努力使此类密钥变模糊。然而,模糊处理经常涉及到当前应用的重大调整。近来,所谓的物理不可复制功能模块(PUF)被Pappu在“PhysicalOne-Way Functions”(MIT,2001年3月)中提出,其作为用于加密的目的生成安全密钥的成本有效方式。PUF被描述为用作散列函数以及用作认证的目的。由于数据实质上通过PUF被存储在材料中而不是电路中,此技术也可以用作需要认证的设备部件如安全感应器的一部分。各种进一步的开发集中于开发不同类型的PUF。基于PUF极其有用的特性:响应的唯一性和PUF的不可复制性,PUF的应用集中于将PUF用作针对智能卡和信用卡的唯一标识符或用作两个部件间的用于密码生成(普通随机)的“廉价”来源,见P.Tuyls等人“Information-Theoretic Security Analysis of Physical UncloneableFunctions”。上述的使操作系统保持仅对带有某些特征(比如当前用户的应用)的实体限制数据访问的方法,具有以下问题:如果操作系统中的漏洞被发现、如果具有相同权限的其他应用能够对数据进行访问、或者如果在初始位置写数据的应用可以被更改来破坏数据,那么用户是易受攻击的。最后一条尤其令人担忧。在国际互联网上,公布有各种补丁以使应用程序可被改变以避开某些限制。尤其在游戏领域是非常普遍的。最后,安全存储器还有一个问题,即对存储进行复制。通过从一个设备把存储复制到另一个设备,用户可以得到与存储的初始拥有者相同的权限。-->
技术实现思路
有利的是,提供具有低复杂度和高安全性的系统和方法。为更好地解决这一问题,在本专利技术的第一方面中,用于安全地存储数字数据的系统包括:数据存储器;物理不可复制功能模块,以下称作PUF,包括用于接收询问的输入端和用于对询问产生响应的输出端;用于确定与数据存储器相关联的标识符的装置;用于将标识符的表示作为询问提供至PUF并且从PUF获取相应的响应的装置;用于执行针对防护或者校验存储在数据存储器中的数字内容项的加密操作的加密单元,其中加密操作是在通过接收到的响应导出的加密密钥的控制下执行的。根据本专利技术,PUF用来生成加密密钥。PUF的输入与数据存储器相关联。同样,PUF将加密密钥绑定到数据存储器。因为PUF是不可复制的,对存储于数据存储器中的内容进行复制变得无效。如果没有初始PUF,在已复制内容项上的加密操作将不产生预期结果。所述加密操作可以是任意加密操作,优选是认证或加密/解密。在一个实施例中,馈送至PUF的标识符得自数据存储器本身(例如存储标识符)、系统的用户(例如用户名、和/或口令)或内容项(例如数字内容项的标识符,比如文件名;数字内容项的记录的标识符;或数字内容项本身)。在一个实施例中,加密单元包括处理器和该系统包括用来使处理器执行加密操作的至少一部分的计算机程序;标识符通过至少一种计算机程序的表示来导出。通过至少部分地使用程序导出标识符,PUF被绑定到应用本身。这使得对程序的复制或篡改更加困难。程序可以是应用程序也可以是操作系统或操作系统的一部分。在一个实施例中,系统包括用来计算与数据存储器相关联的标识符的散列以及将此散列用作提供至PUF的表示的装置。通过使用散列,标识符可以被牢固地绑定至更多数字信息,比如全部数字内容-->或全部应用程序。这使得很难修改内容或应用程序的即使很小一部分。在一个实施例中,系统包括多个应用程序;每个应用程序使用存储于数据存储器中的相关联数字内容项,并且每个应用程序被配置为在加密密钥的控制下执行加密操作来防护或认证关联数字内容项;与数据存储器相关联的标识符通过至少应用程序和/或与应用程序相关联的数字内容项导出,因而标识符针对应用程序是唯一的。每个应用程序可以对各个内容项操作,然而也可以对相同内容项操作。根据本专利技术,针对每个应用程序唯一的标识符被馈送至PUF,产生唯一的加密密钥。于是,如果某个密钥被破解,系统的其余部分不受影响,因为密钥在PUF本身没有透露任何信息。在常规系统中使用主密钥来导出专用密钥。破解专用密钥之一会透露出有关主密钥的信息,这会削弱系统。在一个实施例中,PUF与数据存储器是物理集成的。通过将PUF和存储器物理集成,建立了能够加强PUF所生成的密钥和存储器之间的绑定的物理连接。在一个实施例中,数据存储器是光学类型,PUF是光学类型,PUF被集成在数据存储器的光学载体中。光学PUF具有良好的加密特性并且可以被集成在用于光学存储器的透明光学基片中。这种集成在PUF和存储器之间建立牢固的物理联系并且实现非常安全的PUF。在一个实施例中,数据存储器在半导体器件上被实施并且PUF被集成在半导体器件上。通过将PUF集成到半导体器件中,可以实现低成本和牢固绑定。在其他实施例中,PUF是光学类型或电子类型。使用电子类型PUF是非常低成本的,因为这不需要额外的处理步骤。使用集成于半导体器件中的光学PUF提供了强大的保护。本专利技术的这些和其它方面将通过参考下文描述的实施例阐明并且由此是显而易见的。附图说明附图中:-本文档来自技高网...
【技术保护点】
一种用于安全地存储数字数据的系统,该系统包括: 数据存储器(110); 物理不可复制功能模块(120),下文中称作PUF,包括用于接收询问的输入端(122)和用于产生对询问的响应的输出端(124); 装置(130),用于确 定与数据存储器相关联的标识符; 装置(140),用于将标识符的表示作为询问提供至PUF并且从PUF获取相应的响应; 加密单元(150),用于执行对存储于数据存储器中的数字内容项进行防护或校验的加密操作,其中在通过已接收的响应所导 出的加密密钥的控制下执行加密操作。
【技术特征摘要】
【国外来华专利技术】EP 2007-6-12 07110082.01.一种用于安全地存储数字数据的系统,该系统包括:数据存储器(110);物理不可复制功能模块(120),下文中称作PUF,包括用于接收询问的输入端(122)和用于产生对询问的响应的输出端(124);装置(130),用于确定与数据存储器相关联的标识符;装置(140),用于将标识符的表示作为询问提供至PUF并且从PUF获取相应的响应;加密单元(150),用于执行对存储于数据存储器中的数字内容项进行防护或校验的加密操作,其中在通过已接收的响应所导出的加密密钥的控制下执行加密操作。2.如权利要求1所述的系统,其中加密操作至少下列之一:认证;校验认证;加密;解密。3.如权利要求1所述的系统,其中标识符通过至少下列之一得到:数据存储器本身;系统的用户;数字内容项。4.如权利要求1所述的系统,其中加密单元包括处理器,并且所述系统包括用于使得处理器执行至少一部分加密操作的计算机程序;标识符通过至少一种计算机程序的表示而得到。5.如权利要求1所述的系统,其中系统包括用于计算与数据存储器关联的标识符的散列以及将散列用作提供至PUF的表示的装置。6.如权利要求1所述的系统,其中系统包括多个应用程序;每个应用程序使用存储于数据存储器中的关联数...
【专利技术属性】
技术研发人员:桑德尔M范赖恩索,
申请(专利权)人:NXP股份有限公司,
类型:发明
国别省市:NL[荷兰]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。