CN101681657A - 安全存储器 - Google Patents

Abstract

用于安全地存储数字数据的系统100包括数据存储器110和物理不可复制功能模块120(PUF)，PUF包括用来接收询问的输入端(122)和用来对询问产生响应的输出端(124)。装置130确定与数据存储器关联的标识符。装置140将标识符的表示作为询问提供至PUF并且从PUF获得相应的响应。加密单元150执行用来对存储于数据存储器中的数字内容项进行防护和验证的加密操作，其中加密操作在通过已接收响应所导出的加密密钥的控制下执行。

Description

安全存储器

技术领域

本发明涉及安全存储器。

背景技术

数字数据存储领域中的安全性变得越来越重要。这一主题曾经主要与计算机服务器相关，现在它已从桌面PC扩展至各种便携式设备如MP3播放器、移动电话，以及嵌入式存储设备如存储卡、USB密钥、智能卡等等。在使用存储中数据的应用的数量增长的同时，存储和/或应用的供应商的数量也在增长。这使得对安全等级进行评估越来越困难。在这种运行着越来越多软件的不同敏感平台的数量不断增长的背景下，易感性(liability)正在增长。为了使用例如类似Windows Media DRM或Apples Fairplay的常用DRM应用的任意常用DRM(数字版权管理)，这些DRM应用可以用于音乐和/或视频下载，用户将要收到各种限制，例如内容可以呈现在何种类型或者数量的平台上、内容可以呈现的最长持续时间、对可制作复件的数量进行限制等等。实施DRM系统的公司必须同意通常要求最低安全级别的鲁棒性规则，例如保证实施不能被简单手段危及安全。在安全被破坏时会有严重的后果。

在安全敏感应用中的一个普遍问题是存储器，比如磁存储器(例如硬盘)、光学存储器(例如CD类、DVD类、蓝光光盘类、HD-DVD类)、电子存储器(例如Flash、M-RAM等)。某些数据需要在较长时期内持续存储。存储中的数据也可能需要防范被修改和/或读取。习惯上，保护措施被内置于操作系统或文件系统中。此外，鉴于存储器可以轻易地被移至不遵守这些保护措施的平台的事实，一般使用加密技术以获得可靠性和/或保密性。加密技术需要密钥。通常，使用所谓的主密钥导出专用密钥来用于多个应用，比如认证或解密/去扰，或用于多种用途，例如针对特定目的的个人信息、数据库中的不同文件或者甚至不同记录的不同加密，等等。以常规方式使用密钥会引入可以通过逆向操作或复制找到密钥的风险。经常地，机密密钥被嵌入需要通过此密钥安全存储和编码和/或认证的计算机程序(应用程序)的二进制映像中。特定的风险发生在通过常规处理器执行加密处理的系统中。在这种系统中，密钥的表示可以以普通(未编码的/未保护的)形式出现在主存储器(通常是RAM)中。业界一直努力使此类密钥变模糊。然而，模糊处理经常涉及到当前应用的重大调整。

近来，所谓的物理不可复制功能模块(PUF)被Pappu在“PhysicalOne-Way Functions”(MIT，2001年3月)中提出，其作为用于加密的目的生成安全密钥的成本有效方式。PUF被描述为用作散列函数以及用作认证的目的。由于数据实质上通过PUF被存储在材料中而不是电路中，此技术也可以用作需要认证的设备部件如安全感应器的一部分。各种进一步的开发集中于开发不同类型的PUF。基于PUF极其有用的特性：响应的唯一性和PUF的不可复制性，PUF的应用集中于将PUF用作针对智能卡和信用卡的唯一标识符或用作两个部件间的用于密码生成(普通随机)的“廉价”来源，见P.Tuyls等人“Information-Theoretic Security Analysis of Physical UncloneableFunctions”。

上述的使操作系统保持仅对带有某些特征(比如当前用户的应用)的实体限制数据访问的方法，具有以下问题：如果操作系统中的漏洞被发现、如果具有相同权限的其他应用能够对数据进行访问、或者如果在初始位置写数据的应用可以被更改来破坏数据，那么用户是易受攻击的。最后一条尤其令人担忧。在国际互联网上，公布有各种补丁以使应用程序可被改变以避开某些限制。尤其在游戏领域是非常普遍的。

最后，安全存储器还有一个问题，即对存储进行复制。通过从一个设备把存储复制到另一个设备，用户可以得到与存储的初始拥有者相同的权限。

发明内容

有利的是，提供具有低复杂度和高安全性的系统和方法。

为更好地解决这一问题，在本发明的第一方面中，用于安全地存储数字数据的系统包括：

数据存储器；

物理不可复制功能模块，以下称作PUF，包括用于接收询问的输入端和用于对询问产生响应的输出端；

用于确定与数据存储器相关联的标识符的装置；

用于将标识符的表示作为询问提供至PUF并且从PUF获取相应的响应的装置；

用于执行针对防护或者校验存储在数据存储器中的数字内容项的加密操作的加密单元，其中加密操作是在通过接收到的响应导出的加密密钥的控制下执行的。

根据本发明，PUF用来生成加密密钥。PUF的输入与数据存储器相关联。同样，PUF将加密密钥绑定到数据存储器。因为PUF是不可复制的，对存储于数据存储器中的内容进行复制变得无效。如果没有初始PUF，在已复制内容项上的加密操作将不产生预期结果。所述加密操作可以是任意加密操作，优选是认证或加密/解密。

在一个实施例中，馈送至PUF的标识符得自数据存储器本身(例如存储标识符)、系统的用户(例如用户名、和/或口令)或内容项(例如数字内容项的标识符，比如文件名；数字内容项的记录的标识符；或数字内容项本身)。

在一个实施例中，加密单元包括处理器和该系统包括用来使处理器执行加密操作的至少一部分的计算机程序；标识符通过至少一种计算机程序的表示来导出。通过至少部分地使用程序导出标识符，PUF被绑定到应用本身。这使得对程序的复制或篡改更加困难。程序可以是应用程序也可以是操作系统或操作系统的一部分。

在一个实施例中，系统包括用来计算与数据存储器相关联的标识符的散列以及将此散列用作提供至PUF的表示的装置。通过使用散列，标识符可以被牢固地绑定至更多数字信息，比如全部数字内容或全部应用程序。这使得很难修改内容或应用程序的即使很小一部分。

在一个实施例中，系统包括多个应用程序；每个应用程序使用存储于数据存储器中的相关联数字内容项，并且每个应用程序被配置为在加密密钥的控制下执行加密操作来防护或认证关联数字内容项；与数据存储器相关联的标识符通过至少应用程序和/或与应用程序相关联的数字内容项导出，因而标识符针对应用程序是唯一的。每个应用程序可以对各个内容项操作，然而也可以对相同内容项操作。根据本发明，针对每个应用程序唯一的标识符被馈送至PUF，产生唯一的加密密钥。于是，如果某个密钥被破解，系统的其余部分不受影响，因为密钥在PUF本身没有透露任何信息。在常规系统中使用主密钥来导出专用密钥。破解专用密钥之一会透露出有关主密钥的信息，这会削弱系统。

在一个实施例中，PUF与数据存储器是物理集成的。通过将PUF和存储器物理集成，建立了能够加强PUF所生成的密钥和存储器之间的绑定的物理连接。

在一个实施例中，数据存储器是光学类型，PUF是光学类型，PUF被集成在数据存储器的光学载体中。光学PUF具有良好的加密特性并且可以被集成在用于光学存储器的透明光学基片中。这种集成在PUF和存储器之间建立牢固的物理联系并且实现非常安全的PUF。

在一个实施例中，数据存储器在半导体器件上被实施并且PUF被集成在半导体器件上。通过将PUF集成到半导体器件中，可以实现低成本和牢固绑定。在其他实施例中，PUF是光学类型或电子类型。使用电子类型PUF是非常低成本的，因为这不需要额外的处理步骤。使用集成于半导体器件中的光学PUF提供了强大的保护。

本发明的这些和其它方面将通过参考下文描述的实施例阐明并且由此是显而易见的。

附图说明

附图中：

图1例示了其中可以应用本发明的示例性系统的框图；

图2例示了其中PUF被用来将存储器绑定至程序的实施例的框图；

图3例示了其中应用了散列的另一实施例的框图；

图4例示了其中绑定是专用的另一实施例。

具体实施方式

在图中使用相同参考数字处，除非指明不同，将代表相同的功能。本发明涉及使用‘物理不可复制功能模块’(PUF)来防护存储在数据存储器中的数据。尽管作为加密领域中的较新发展，就其本身而言，PUF是公知的。PUF可以被看作是由物理系统实现的功能模块，使得此功能模块易于被评估而物理系统难于描述。PUF由Pappu提出，作为用于加密目的生成安全密钥的低成本方式。PUF包含固有地不可复制的物理对象(由于在该对象的生产期间其包含许多不可控的(“随机”)参数)。在将激励(一般称为询问)提供给对象时，它以能被测量的响应来响应。这种询问-响应行为完整地描述这种结构。此外这种结构是篡改明显(tamper-evident)的，也就是说如果此结构被物理损毁(通过冲击)，其询问-响应行为将明显地改变。

通过应用将PUF存储来表示加密密钥，此密钥变得不可复制。从而，它不会被泄漏或复制。PUF是被设计使得其采用激励(询问)以复杂的方式进行交互并且产生唯一但不可预测的响应的物理系统。因此，PUF类似于带密钥的散列函数，其中材料起到密钥的作用。为了变得难以表征，系统应不允许通过测量对其交互组件的相关特性进行有效提取。由不可控的生成过程产生的物理系统，例如包含某些随机性的物理系统，将会是PUF的良好选择。由于这种随机性，难以生成PUF的物理复制。此外，如果物理功能是基于许多复杂的相互作用，那么数学建模也是非常困难的。这两种特性可被共同称作不可复制性。

图1例示了其中可以应用本发明的示例性系统100的框图。此系统用于安全地存储数字数据。数据本身包括至少一个可以采取任意形式的内容项，比如文件(例如由文字处理、电子表格程序、表示所产生的)、程序(例如具有源代码、可执行格式，或可编译格式如Java)、数字音频(例如具有MP3、WMA、AAC等格式的内容项)、以及图像、视频等等。数据也可以非常小，比如存储于智能卡中的信息。内容项还可以是使用数据的一个特定应用所需要的信息。例如，智能卡可以包含针对银行、商店、加油站等的单个的内容项(或内容项组)。系统100包括数据存储器110。数据存储器可以采取任意合适的形式，比如硬盘、光学存储器(例如CD、DVD、蓝光光盘、HD-DVD类)或嵌入半导体器件(例如Flash、M-RAM、智能卡等)。系统100还包括物理不可复制功能模块(PUF)120。PUF 120包括用于接收询问的输入端122和用于对询问产生响应的输出端124。显然地，PUF还包含在材料的物理特性或生成材料的物理/化学过程的物理材料126中固有的“随机”特性。PUF还包含探测单元128，其取决于由输入端122接收到的值来测量/感应材料126的特性。PUF本身不是本发明的主题。原则上，任意合适的PUF均可以被应用。PUF也包含预处理单元125和后处理单元。预处理单元125可以例如对已接收输入执行散列法操作。散列法操作的输出(散列)接着被提供至探测单元128。后处理单元127可以对探测单元128的输出执行后处理。例如，如果探测单元提供与没有信息的位(例如大量‘0’位)混合的有用信息，散列可以用来压缩输出。众所周知，探测单元常常受到干扰。即使是对完全相同的激励(输入)，由探测单元生成的响应在每个计算上也可以有轻微地差异。已知使用纠错代码“滤出”这种干扰。块127可以根据可能存储于PUF 120的存储器(未示出)中的辅助数据执行这种滤除。

系统100还包括用于确定与数据存储器相关联的标识符的装置130。任意适用的装置均可以被用作此部分。在实施例中，标识符至少通过以下之一导出：

数据存储器本身。例如存储器标识符(图1中的Stor-ID)可以从存储器读取，通过使用常规的方法来从存储器读取数据。优选地，标识符以无法通过常规的程序直接读取的普通格式的方式存储。例如，标识符可以被存储于只能通过操作系统的安全功能访问的存储介质的扇区，标识符也可以以模糊格式(使用任意适用的模糊功能)存储或以加密格式存储。

系统的用户。可以使用例如用户名、和/或密码或用户。用户的识别信息可以与由计算机的操作系统所使用的相同。此外可以使用专用技术比如生物测定学来获取安全格式的用户本身。

数字内容项。例如可以使用数字内容项的标识符，比如目录名(例如图1中的ID-1)或文件名(例如ID-1-1、ID-1-2、ID-2)。局部的标识符，比如像数据库中的字段名(例如例示为ID-2-1、ID-2-2、ID-2-3)、数字内容项名(例如C-2-1、C-2-2、C-2-3)的记录标识符也可以被使用。标识符也可以由数字内容项本身或数字内容项的部分直接导出，例如通过将数字内容项的散列(部分)用作标识符。

所述系统还包括装置140和加密单元150，其中装置140用来将标识符表示提供至PUF作为询问并从PUF获得相应响应，加密单元150用于执行针对防护和认证存储于数据存储器中的数字内容项安全的加密操作，加密操作在通过已接收的响应导出的加密密钥的控制下执行。装置140可以以非常直接的格式实施，例如在硬件中简单地将装置130的输出端连接至PUF的输入端122以及将PUF的输出端124连接至加密单元150。加密单元150可以执行任意能够使存储于存储器110中的内容项的安全性增强的加密技术。

根据本发明的系统可以用于将内容项存储(写)至数据存储器110、从数据存储器110读取内容项或两者均可。优选地，加密操作至少是下列之一：

认证，例如加密的数字标签被存储于数据存储器用于随后的验证。此操作特别适用于写操作。

校验认证，例如读取和校验标签。此操作特别适用于随后的内容项读取或者先校验数据存储器然后执行写操作。

加密。此操作特别适用于以加密格式写内容项。

解密。此操作特别适用于在解密读取内容项之后读取己加密内容项。

验证和加密/解密本身可以使用任意适用形式。

正如已知的，PUF可以生成加密密钥。PUF的输出(响应)可以直接馈送至加密单元150。如果需要，可以在将响应提供至加密单元150之前先对所述响应执行某些操作，比如将响应与其他类似密钥的数据合并和/或对响应执行常规的散列。这种后处理可以由单元127执行。

根据本发明，存储器110中的数据现在通过加密单元150来防护，并且存储器110被链接至通过PUF嵌入硬件中的硬器材(hardproperty)。在PUF的输入与存储器相关联处，PUF的输出用于加密安全。用这种方式，某些已知攻击得以避免或更加困难。特别是复制攻击得以被避免(因为PUF不可以被复制，所以存储也不能被复制)。系统也可以由定性术语来更好地描述，并且因此更适于评价。

在如图2所示的优选实施例中，加密单元150包括处理器152。处理器可以是任意适用的类型，例如常规的PC类处理器、嵌入式微控制器、或VLIW(比如用于对流数字内容执行加密或信号处理操作)。系统100还包括用来使处理器152执行至少是加密操作的一部分的计算机程序154。优选地，计算机程序被存储于数据存储器110中。执行期间，计算机程序被加载至加密单元150的存储器(未示出)中，比如RAM。在这个实施例中，单元130从计算机程序154的表示中得出标识符。单元130也可以使用其他与数据存储器110关联的输入来确定标识符。用这种方法，实际加密单元150通过程序被绑定至存储器。篡改程序154会引起标识符的更改。结果，对PUF 120的询问将被改变并且程序154所使用的加密密钥将会不同。解密/认证检查将会出错。优选地，标识符取决于存储器的表示(比如类似Stor-ID的存储器标识符)、要被加密的内容(比如内容标识符或内容的一部分)以及执行加密操作的程序。合成标识符可以通过简单地级连这些子标识符来产生。程序可以是应用程序，比如媒体播放器。可替换地或者另外，程序也可以表示参与加密操作的操作系统或操作系统的一部分。例如，动态链接库(DLL)或其他形式的编解码器可以被加载至操作系统中。优选地，根据本发明，这样的安全敏感程序部件通过应用PUF被保护。

在另一实施例中，如图3所示，系统包括用来计算与数据存储器关联的标识符的散列以及将散列用作提供至PUF的表示的装置310。有利地，散列被用来确保标识符(以及安全)取决于大量数字数据。例如，参照图2的实施例，散列可以在整个程序154(或至少执行加密操作的部分)的范围内计算。可以使用任意数学散列来计算所述散列，比如SHA-256或SHA-512。

在另一实施例中，系统包括多个应用程序，通常被作为计算机程序执行。图4例示了其中应用程序AP-1、AP-2和AP-3被存储于数据存储器110、但在执行期间被加载至加密单元150的实施例。每个应用程序AP-1、AP-2和AP-3分别地应用存储在数据存储器中的关联数字内容项，示为C-1-1、C-1-2和C-2-1至C-2-3。每个应用程序被指定在各个加密密钥K-1、K-2、K-3的控制下执行用于防护和认证关联数字内容项的安全的加密操作。与数据存储器关联的标识符至少通过应用程序和/或与应用程序关联的数字内容项获得，从而使得标识符对应用程序是唯一的。图4例示了基于图2的示例性框图。应该理解，此实施例也可以与图3的实施例结合应用。

在优选实施例中，PUF 120与数据存储器110是物理上集成的。所述集成优选以不可分的方式，也即，如果攻击者试图移除PUF，则PUF被损坏。这使得其中嵌入有PUF的数据存储器可被唯一识别并且不可复制。

有利的是，数据存储器110是光学类型(例如CD、DVD、HD-DVD、或者蓝光光盘系列)并且PUF是光学类型。在这种实施例中，PUF被集成在数据存储器110的光学载体中。可以增加单独的探针以扫描PUF。用于从光学存储器读取数据的已有激光也可以用来探测PUF。最初由Pappu开发的PUF是光学类的。光学PUF包括含有某些随机分布的散射材料的物理结构。它们利用由这种无序光学介质中的激光的多次散射引起的散斑图的唯一性。输入(“激励”)可以是比如激光束的入射角度、焦距或波长，激光的掩模图案阻塞部分，或波前的任意其他改变。输出可以是散斑图。物理复制由于以下两个原因是困难的：

(i)光漫射使得散射体的位置变模糊

(ii)即使所有散射体的位置已知，大量散射体的精确定位是非常困难和昂贵的，并且需要不同于初始随机处理的产品处理。

迄今为止的一些改进已使得第二代光学PUF变得可用。

在替代实施例中，在半导体器件如集成电路(IC)上实现数据存储器。数据存储器可以是例如非易失性存储器(例如闪存)、易失性存储器(例如SRAM)、或带存储器的智能卡。在这个实施例中，PUF同样是被集成在同一半导体器件中。PUF可以是能够与电子设备结合的任意类型。正在开发的光学类型的PUF可使用半导体技术实现，并且可以与电子电路结合。例如，正在开发采用半导体LED作为探针的PUF。替代方案是，可以采用电子类型的PUF。目前正在开发几种这样的PUF。例如，其中PUF基于蚀刻电路的阻抗或电容(例如可在IC中的延迟线测量到)中的固有差异、电子存储器的初始状态(例如SRAM启动噪声)中的固有差异、在IC上提供的单独涂层中的固有差异(例如，具有涂层中带有电特性微粒的随机图案的形式或涂层容量中的差异)或基于逻辑门的特性的产品变化(触发器PUF)。硅制PUF的示例由G.Edward Suh等人在“Aegis：Asingle-chip secure processor”(Information Security Technical report(2005)10，63-73，Elsevier)中描述。

本发明可以使用的产品包括移动电话、机顶盒、游戏控制台、个人电脑、服务器及路由器，以及智能卡。根据本发明的安全存储器可以被用于数字版权管理、访问控制、保密措施、用户数据的保护等。

应了解，本发明不但可以在软件中实现，也可以在硬件组件中实现，例如在数字信号处理器(DSP)或最佳化的VLIW处理器中实现。对软件实现来说，在图中描述的块可以被看作表示软件功能单元。本发明从而也可以扩展至适于实现本发明的计算机程序，特别是载体上或载体中的计算机程序。程序可以具有源代码、目标代码、源代码和目标代码之间的代码例如部分编译形式、或任意其它适于在根据本发明方法的实施中应用的格式。载体可以是任意能够承载程序的实体或设备。例如，载体可以包括存储介质，如ROM(CD ROM或半导体ROM)，或磁记录介质，如软磁盘或硬盘。此外，载体可以是比如电或光信号的可传输载体，可以经由电缆或光缆或通过无线电或其他方式传送。在程序被嵌入这种信号时，载体可以由这种线缆或其他设备或装置组成。可替代方案是，载体可以是嵌入有程序的集成电路、适于执行相关方法或用来在相关方法的执行中应用的集成电路。

应注意，上述实施例例示而不是限制本发明，并且所属领域的技术人员将能够不偏离所附权利要求的范围而设计出多种替代实施例。在权利要求中，任何置于括号中的标号不应被理解为限制权利要求。动词“包括”及其变化形式的使用并不排除未列在权利要求中的要素或步骤的存在。要素前的冠词“一个”不排除多个该要素的存在。本发明可以通过包含几个分立元件的硬件，以及通过适当编程的计算机来实现。在互不相同的从属权利要求中引述特定手段并不表示这些手段的组合不可以用来获得优点。

Claims (13)

1.一种用于安全地存储数字数据的系统，该系统包括：

数据存储器(110)；

物理不可复制功能模块(120)，下文中称作PUF，包括用于接收询问的输入端(122)和用于产生对询问的响应的输出端(124)；

装置(130)，用于确定与数据存储器相关联的标识符；

装置(140)，用于将标识符的表示作为询问提供至PUF并且从PUF获取相应的响应；

加密单元(150)，用于执行对存储于数据存储器中的数字内容项进行防护或校验的加密操作，其中在通过已接收的响应所导出的加密密钥的控制下执行加密操作。

2.如权利要求1所述的系统，其中加密操作至少下列之一：

认证；

校验认证；

加密；

解密。

3.如权利要求1所述的系统，其中标识符通过至少下列之一得到：

数据存储器本身；

系统的用户；

数字内容项。

4.如权利要求1所述的系统，其中加密单元包括处理器，并且所述系统包括用于使得处理器执行至少一部分加密操作的计算机程序；标识符通过至少一种计算机程序的表示而得到。

5.如权利要求1所述的系统，其中系统包括用于计算与数据存储器关联的标识符的散列以及将散列用作提供至PUF的表示的装置。

6.如权利要求1所述的系统，其中系统包括多个应用程序；每个应用程序使用存储于数据存储器中的关联数字内容项，每个应用程序被配置为在加密密钥的控制下执行用于防护或验证关联数字内容项的安全的加密操作；与数据存储器关联的标识符通过至少所述应用程序和/或与应用程序相关联的数字内容项导出，以使得标识符针对应用程序是唯一的。

7.如权利要求1所述的系统，其中PUF与数据存储器物理集成。

8.如权利要求7所述的系统，其中数据存储器为光学类型，PUF为光学类型，并且PUF被集成在数据存储器的光学载体中。

9.如权利要求7所述的系统，其中数据存储器在半导体器件上实现并且PUF被集成在半导体器件上。

10.如权利要求9所述的系统，其中PUF为光学类型或者电子类型。

11.一种用在如权利要求1所述的系统中的存储器装置，其中存储器装置包括数据存储器；以及包括用于接收询问的输入端和对询问产生响应的输出端的物理不可复制功能模块，其中PUF与数据存储器物理集成。

12.一种在数据存储器(110)中安全地存储数字数据的方法，该方法包括：

确定与数据存储器相关联的标识符；

将标识符的表示作为询问提供至物理不可复制功能模块(120)，以及从物理不可复制功能模块获取相应的响应；

执行用于对存储于数据存储器中的数字内容项进行防护或验证的加密操作，其中在通过已接收的响应所导出的加密密钥的控制下执行加密操作。

13.一种使处理器执行权利要求12的方法的计算机程序产品。

Images