用于产生数字图像的装置和方法

用于产生数字图像的装置和方法
【专利摘要】本发明描述了用于产生数字图像的一种装置(20)和一种方法。该装置(20)包括具有第一安全模块(36)的、用于产生数字图像的图像产生单元(30)，所述第一安全模块被构造为，将唯一地识别第一安全模块(36)的并且在其中安全存储的第一秘密与数字图像这样加密地相关联，使得根据该加密关联的结果能够确定数字图像的整体性。该装置(20)还包括便携式数据载体(40)，其可以嵌入到该装置(20)中。在此，便携式数据载体(40)具有第二安全模块(48)，其被构造为，将唯一地识别便携式数据载体(40)的并且在其中安全存储的第二秘密与数字图像如下地加密相关联，使得根据该加密相关联的结果能够确定便携式数据载体(40)的身份。
【专利说明】用于产生数字图像的装置和方法
【技术领域】
[0001]本发明涉及用于产生数字图像或者说照片的一种装置和一种方法。
【背景技术】
[0002]利用常规的数码相机产生的数字图像或者说照片通常对于后来的篡改不安全，即，不能保证数字图像不是被事后篡改过的。但是在许多情况下要求，能够明确地证明，一幅数字图像没有被事后篡改，即，其整体性没有被破坏。除了数字图像的整体性，其关于作为首创者的拍摄者的真实性是另一个重要方面，因为借助关于拍摄者的真实性可以唯一地确定数字图像的首创者的、即拍摄者的身份，并且该首创者证明为数字图像的首创者权利的持有者。
[0003]整体性以及关于作为数字图像的首创者的拍摄者来说的真实性特别地在以下情况中可以是重要的。在公安调查或法律程序的范畴内建立的数字照片一般地仅当确定了没有对数字照片进行事后改变时才能作为证据材料使用。此外照片通常必须相应地被证明。在建筑工程的范畴内的总结分析中，数字照片例如可以用于记录建筑损坏或用于证明进行了正确的工作。在这样的情况中也可能要求，能够确定或者说保证数字照片的整体性以及真实性二者。在借助数字图像或者说照片来记录医学手术时也类似地成立。
[0004]从现有技术中公知数码相机，其在拍摄数字图像时对数字图像已经在照相机中设置数字签名并且可选地进行加密。为此在这样的数码相机中存储了相应的密钥。在后台系统中存储了相应的合适加密的密钥，以便能够将数字图像又解密并且检查数字签名。
[0005]在文献“SecuringEmbedded Smart Cameras with Trusted Computing”，ThomasWinkler and Bernhard Rinner, EURASIP Journal on Wireless Communications andNetworking, Volume2011, Article ID530354中描述了一种具有多个监视照相机的视频监视系统，其中利用视频监视系统拍摄的视频数据的整体性和其关于为此使用的监视照相机的真实性通过如下来保证，即，视频监视系统的监视照相机分别被构造为具有以可信平台模块(Trusted Platform Module (TPM))形式的安全芯片或安全模块。
[0006]尽管前面描述的公知解决方案可以实现在产生数字图像时的一定的安全性标准，但是其并不适合于，以足够的安全性标准既保证数字图像的整体性又保证其关于作为首创者的拍摄者来说的真实性。

【发明内容】

[0007]从该背景出发，本发明要解决的技术问题是，提供用于产生数字图像的一种改进的装置和一种改进的方法，其中可以以足够的安全性标准既保证数字图像的完整性又保证其关于作为数字图像的首创者的拍摄者来说的真实性。
[0008]所述技术问题按照本发明通过按照权利要求1的用于产生数字图像的装置来解决。相应的方法是方法独立权利要求的内容。本发明的有利扩展在从属权利要求中定义。
[0009]本发明特别地基于如下基本思路，S卩，用于产生数字图像的装置、特别是数码相机，一方面具有在装置中优选嵌入的第一安全模块和另一方面具有在便携式数据载体上提供的并且为了产生数字图像可以与所述装置相连的第二安全模块，所述第一安全模块在产生数字图像时保证其整体性，所述第二安全模块在产生数字图像时保证其关于作为首创者的拍摄者来说的真实性。
[0010]相应于该基本思路，按照本发明的第一方面提供一种用于产生数字图像的装置。所述装置包括具有第一安全模块的、用于产生数字图像的图像产生单元。在此所述第一安全模块被构造为，将唯一地识别第一安全模块的并且其中安全地存储的第一秘密与数字图像这样加密地相关联，使得根据该加密关联的结果可以确定数字图像的整体性。用于产生数字图像的装置还包括便携式数据载体，其可以嵌入到该装置中。便携式数据载体具有第二安全模块，其被构造为，将唯一地识别所述便携式数据载体的并且其中安全地存储的第二秘密与数字图像这样加密地相关联，使得根据该加密相关联的结果可以唯一地确定便携式数据载体的身份。
[0011]按照本发明的第二方面提供一种用于产生数字图像的相应方法。在此方法包括如下步骤:借助用于产生数字图像的装置的图像产生单元产生数字图像；将数字图像与第一秘密加密相关联，所述第一秘密安全地存储在作为图像产生单元的部分的第一安全模块中，并且所述第一秘密唯一地识别第一安全模块，其中根据该加密相关联的结果可以确定数字图像的整体性；和将数字图像与第二秘密加密相关联，所述第二秘密安全地存储在作为可以嵌入到用于产生数字图像的装置中的便携式数据载体的部分的第二安全模块中，并且所述第二秘密唯一地识别第二安全模块，其中根据该加密相关联的结果可以唯一地确定便携式数据载体的身份。
[0012]优选地，用于产生数字图像的装置的图像产生单元包括用于将由装置采集的光学信号处理为数字原始数据的传感器单元和用于将数字原始数据处理为数字图像的处理器单元。在此第一安全模块优选地作为处理器单元的部分构造。替换地，第一安全模块可以是与处理器单元分离的组件。按照另一个替换，处理器单元的功能可以集成到第一安全模块中，从而在该情况中通过第一安全模块提供处理器单元。
[0013]第一和第二安全模块(对于专业人员来说也作为安全元件公知)，分别可以作为以安全或智能卡控制器形式的硬件或作为可信平台模块(TPM)构造。
[0014]替换地，第一和/或第二安全模块也可以作为以TrustZone形式的软件构造。在该优选实施方式中例如可以在图像产生单元的处理器单元中实现正常的运行时环境和安全可信的运行时环境。在此，安全的运行时环境与正常的运行时环境隔离并且用于运行安全性关键的应用程序。安全的运行时环境的优选例子是现有技术中公知的ARM?TrustZoriL R在该TrustZone内部在此运行特别安全或加固的操作系统,优选同样公知的操作系统MoDiuore:?。
[0015]优选地，便携式数据载体除了第二安全模块、例如以安全控制器形式的安全模块之外，还具有大容量存储器，在其上可以存储所产生的数字图像。在该优选实施方式中便携式数据载体是存储卡，在所述存储卡上实现第二安全模块并且所述存储卡可以插入到用于产生数字图像的装置的相应卡槽中。优选地，存储器除了第二安全模块和大容量存储器、例如闪存之外，还包括用于管理大容量存储器的存储控制器。在此第二安全模块可以被构造为，基于在第二安全模块中存储的密钥将数字图像以加密的形式存储在存储卡的大容量存储器上。存储卡例如可以是SD卡、SDHC卡、SDXC卡、miniSD卡、microSD卡等。
[0016]按照优选实施方式，安全地存储在图像产生单元的第一安全模块中的第一秘密是第一签名密钥，第一安全模块将其与数字图像以第一数字签名的形式加密相关联。替换地，第一秘密可以是MAC密钥，第一安全模块将其与数字图像加密相关联，方式是借助MAC密钥确定数字图像的MAC (Message Authentication Code,消息认证码)。
[0017]同样，安全地存储在第二安全模块中的第二秘密优选地是第二签名密钥，其与数字图像以第二数字签名的形式加密相关联。替换地，第二秘密同样可以是MAC密钥，其与数字图像加密相关联，其方式是借助MAC密钥确定数字图像的MAC(MeSSage AuthenticationCode)。
[0018]用于产生数字图像的装置可以是数码相机、具有数码相机的移动设备或数码摄像机。同样地，用于产生数字图像的装置可以是扫描仪、复印机、和/或打印机。
[0019]在其中用于产生数字图像的装置是具有数码相机的移动电话的优选实施方式中，作为安全控制器构造的第一安全模块可以是SIM卡、USIM卡或嵌入到移动电话电子设备中的安全控制器。
[0020]处理器单元的第一安全模块还可以被构造为，数字图像具有数字水印。在此可以是可见的和/或不可见的数字水印。
[0021]按照优选实施方式，第一安全模块和/或第二安全模块可以与以中央密钥管理服务器形式的后台系统通信。优选地，中央密钥管理服务器由可信服务管理器(TrustedService Manager, TSM)运行。
[0022]如专业人员看出的，前面描述的优选构造可以在本发明的第一方面的范围内，即在用于产生数字图像的装置的范围内以及在本发明的第二方面的范围内，即在用于产生数字图像的方法的范围内有利地实现。
[0023]与现有技术不同，本发明特别地具有以下优点。在产生数字图像时不仅使用在数码相机上安全存储的秘密，而且附加地还使用在便携式数据载体上安全存储的秘密，其唯一地识别便携式数据载体或拍摄者。在数字图像的后来的验证中然后确定，一方面数字图像是借助安全的数码相机拍摄的并且另一方面数字图像可以唯一地与拍摄者对应。数字图像可以加密地存储在便携式数据载体上。
【专利附图】

【附图说明】
[0024]本发明的其他特征、优点和任务由结合附图对多个实施例和实施变型的以下详细描述中得出。
[0025]图1示出了具有以数码相机形式的用于产生数字图像的装置的优选实施方式的系统的不意图。
【具体实施方式】
[0026]在图1中示意性示出的用于产生数字图像的系统10的主要元件是以数码相机20形式的用于产生数字图像的装置。除了常规的数码相机的通常的组成部分、诸如以镜头形式的光学单元25之外，数码相机20还包括图像产生单元30，其被构造为，从入射到数码相机20的镜头25上的光学信号产生数字图像。为此，图像产生单元30具有成像的光学传感器单元32，其例如可以是CCD或CMOS传感器。如专业人员公知的，这样的CCD或CMOS传感器将借助镜头25在其上成像的光学信号转换为相应的电信号。
[0027]由光学传感器单元32产生的电信号或原始数据可以由图像产生单元30的处理器单元34读出，其中必要时还可以设置A/D转换器，以便将由光学传感器单元32产生的电信号转换为数字原始数据。处理器单元34优选是图像处理处理器，其特别地被构造为，合适地处理由光学传感器单元32产生的原始数据。例如以图像处理处理器形式的处理器单元34可以被构造为，执行以下图像处理步骤:降噪、白平衡、锐化、对比度匹配、伽马校正、像差校正、到色彩空间的匹配、具有到合适的图像数据格式(例如JPEG)的转换的数据压缩等。尽管这样的图像处理步骤严格来说已经改变由光学传感器单元32采集的图像，但是这些图像处理步骤不应当被理解为对数字图像的不期望的篡改，所述篡改应当利用本发明来检测。例如在本发明的意义上由处理器单元34建立的数字图像的JPEG版本被理解为由光学传感器单元32采集的图像。但是为了能够跟踪由处理器单元34对数字图像进行的“允许的”图像处理步骤或改变，优选地记录由处理器单元34进行的图像处理步骤，例如使用的校正值。这些信息可以与由处理器单元34产生的数字图像一起或与其分离地存储，例如在图像产生单元30的与处理器单元34相连的存储器单元38中。但是按照本发明也可以考虑，不进一步处理由光学传感器单元32 (和必要时A/D转换器)提供的数字原始数据，而是直接作为数字原始数据存储在存储器单元38中。
[0028]除了前面描述的并且在图1中示出的组件之外，图像产生单元30还包括安全模块36,其对于专业人员来说也作为安全元件(SecureElement)公知。按照优选实施方式，安全模块36被构造为安全控制器,其对于专业人员来说也作为可信平台模块(TrustedPlatform Module, TPM)公知。对于芯片卡领域的专业人员来说特别地也作为芯片卡或智能卡控制器公知的这样的安全控制器，优选地具有本身的处理器单元和本身的存储器单元，优选地不可以从安全控制器的外部对其进行访问。优选作为安全控制器构造的安全模块34可以如图1所示是处理器单元34的部分或作为单独的元件构造。按照另一个替换的实施方式，整个处理器单元34也可以作为安全控制器构造。在该情况中，前面描述的图像处理步骤，例如降噪或数据压缩，可以由安全控制器进行。
[0029]图像产生单元30的优选作为安全控制器构造的安全模块36特别地被构造为，为由光学传感器单元32提供的并且必要时由处理器单元34处理的数字图像设置数字签名。为了建立这样的数字签名，在作为安全控制器构造的安全模块36的安全的存储器单元中优选地存储以第一签名密钥形式的第一秘密，其唯一地识别作为安全控制器构造的安全模块36或数码相机20。在此在图1所示的其中作为安全控制器构造的安全模块36与处理器单元分离地构造的实施方式中，处理器单元34和作为安全控制器构造的安全模块36优选地这样构造，使得为了建立数字图像的签名将相应的数据从处理器单元34传输到作为安全控制器构造的安全模块36，其在那里利用在安全的存储器单元中存储的第一签名密钥签名并且被签名的数字图像又被传输到处理器单元34，从而第一签名密钥总是保留在作为安全控制器构造的安全模块36的安全环境中。如上所述，也可以将在处理器单元34中对数字图像进行的图像处理步骤包括到数字签名中。同样也可以考虑，既为数字图像的原始数据又为处理的数字图像数字签名。专业人员还看出，替代数字签名，例如也可以使用具有相应的密钥的 MAC (Message Authentication Code)。[0030]优选作为安全控制器构造的安全模块36除了前面描述的建立数字签名之外还被构造为，将数字图像加密。数字图像的加密提供优点，即，仅有权的接收者能够将加密的数字图像解密、查看和随后进一步处理。例如拍摄者可以将其加密的数字图像即使经过不安全的数据网络传输到接收者，例如编辑，而不具有对数字图像的第三方访问。当相机经由WLAN或无线电网络在线地连接到后台系统时，该第三方访问在现在通常出现。
[0031]替代图像产生单元30的安全模块36主要作为以安全控制器形式的硬件的构造，按照本发明也可以考虑图像产生单元30的安全模块36主要以在处理器单元34上实现的软件解决方案形式的构造，所述软件解决方案对于安全移动电话领域的专业人员来说是公知的并且在所述软件解决方案中在处理器单元34中构造一个正常的运行时环境(“NormalZone”)以及一个安全的运行时环境(“TrustZone”)，优选以所谓的ARM⑧TrustZontj ?形式的安全的运行时环境。如专业人员公知的，ARM? TrustZone 是由ARM ?公司开发的系统架构，其在处理器单元中提供一个“安全的”值得信任的和一个“正常的”通常不值得信任的区域。在此在按照本发明的实现中监视，图像产生单元30的处理器单元34是在值得信任的还是在不值得信任的区域中运行。此外还监视在处理器单元34的值得信任的和不值得信任的区域之间的转换。安全的运行时环境在此与正常的运行时环境隔离并且封装安全性关键的处理，由此有效防止了无权第三方的攻击。
[0032]在此描述的优选实施方式中安全的或加固的操作系统(也作为Secure OperatingSystem公知)，优选地从现有技术公知的操作系统MobiCore⑩，在TrustZone中运行。相反，正常的运行时环境包含常规的操作系统。对于用于产生数字图像的按照本发明的装置是移动电话的情况，在正常的运行时环境中实现的操作系统是具有广泛的功能范围的所谓“Rich OS”。移动电话的操作系统可以是例如安卓、Apple iOS, Windows Phone等。
[0033]除了图像产生单元30之外，数码相机20还包括便携式数据载体40。优选地，便携式数据载体被构造为存储卡40，其形状与数码相机20的壳体中的相应卡槽的形状兼容并且其由此可以插入到数码相机20的壳体中的该卡槽中并且可以从中抽取出。如果存储卡40被插入到数码相机20中，则存储卡40经由输入/输出接口 42与数码相机20的图像产生单元30相连。输入/输出接口 42又与存储卡40的存储器控制器和大容量存储器相连。优选地存储卡40的存储器控制器和大容量存储器作为闪存控制器44及作为闪存46构造。数码相机30的存储卡40与对于数码相机使用的常规的存储卡区别特别地在于，存储卡40具有优选作为安全控制器构造的安全模块48,其与闪存控制器44通信。如在以安全控制器形式的、图像产生单元30的安全模块36的情况下，存储卡40的安全模块48可以是芯片卡领域的专业人员公知的安全控制器。相应地，以安全控制器形式的、存储卡40的安全模块48包括本身的处理器单元和本身的安全的存储器单元。相应的存储卡例如由Giesecke&Devrient Secure Flash Solutions 公司以产品名称 “Mobile Security Card，，销售，在其中嵌入了按照Common Criteria EAL5+认证的智能卡控制器。除了闪存之外，该“Mobile Security Card”由此还包含以安全控制器形式的安全模块和由此可以提供常规的智能卡或芯片卡的功能，特别是数据的数字签名，数据的加密和/或验证功能。安全控制器例如可以利用操作系统“Java Card”运行。
[0034]优选地，在作为安全控制器构造的、芯片卡40的安全模块48的安全的存储区域中存储了以用于产生数字图像的数字签名的第二签名密钥形式的至少一个第二秘密，其中第二签名密钥唯一地识别作为安全控制器构造的安全模块48。除了第二签名密钥之外，在作为安全控制器构造的安全模块48上还可以安全地存储另外的秘密或数据，其唯一地识别便携式数据载体40或拍摄者，以及例如用于加密数字图像的加密密钥。
[0035]如前所述，当存储卡40被插入到数码相机20的相应卡槽中时，存储卡40经由输入/输出接口 42与数码相机20的图像产生单元30相连。数码相机20现在优选被构造为，可以将在图像产生单元30的存储器38中存储的、借助安全模块36和其中存储的第一签名密钥数字地签名的数字图像，传输到存储卡40的安全模块48。当然，也可以取消存储器38中的中间存储，从而签名的数字图像直接传输到存储卡40的安全模块48。在那里可以将已经由作为安全控制器构造的安全模块36签名的数字图像附加地由存储卡40的安全模块48数字地签名。优选地，在安全模块48的安全存储单元中存储的、唯一地识别存储卡40或拍摄者的第二签名密钥包括到另一个数字签名的建立当中。这样由图像产生单元30的安全模块36和存储卡40的安全模块48数字签名的图像然后可以在存储卡40的闪存46中存储。专业人员看出，在前面描述的通过存储卡40的安全模块48数字地签名时为此使用的第二签名密钥也仅在安全模块48的内部被使用。如在安全模块36的情况中那样安全模块48附加地还被构造为，由其将设置有数字签名的数字图像加密，以保管在存储卡40的闪存46中加密的数字图像。
[0036]但是在替换的实施方式中可以考虑，第二签名密钥可以从存储卡40的作为安全控制器构造的安全模块48的安全存储区域传输到数码相机20的图像产生单元30的安全模块36。优选地在此将第二签名密钥加密地传输到数码相机20的图像产生单元30的作为安全控制器构造的安全模块36。在该替换实施方式中由此可以考虑，在通过安全模块36产生的、数字图像的数字签名中既可以采用在安全模块36的安全存储区域中存储的第一秘密(优选是第一签名密钥)又可以采用在安全模块48的安全存储区域中存储的第二秘密(优选是第二签名密钥)。由此双重签名的数字图像通过对于数码相机20来说特定的第一签名密钥而标记为可信的并且通过对于拍摄者或存储卡40来说特定的第二签名密钥附加地涉及拍摄者。
[0037]如专业人员公知的，为了建立数字签名，通常使用密钥对的秘密的私有密钥，所述密钥对还包括一个公有密钥。相应地，在安全模块36的安全存储区域中存储的第一签名密钥优选地是第一私有密钥并且在安全模块48的安全存储区域中存储的第二签名密钥优选地是第二私有密钥。专业人员公知，特别是在较大的数据量的情况下有利地可以将数字图像的哈希值签名并且将签名附加到数字图像而不是对图像本身签名。
[0038]为了检查例如在存储卡40的闪存46中存储的数字图像的数字签名，将与在安全模块36的安全存储区域中存储的私有第一签名密钥一起形成第一密钥对的第一公有密钥，和与在安全模块48的安全存储区域中存储的私有第二签名密钥一起形成第二密钥对的第二公有密钥，应用于双重数字签名的数字图像。如专业人员公知的，在此将第一和第二公有密钥应用于双重签名的数字图像时的顺序应当与应用第一和第二签名密钥的顺序相反。
[0039]例如在存储卡40的闪存46中存储的数字图像的数字签名的检查例如可以在个人计算机50上进行。如在图1中通过虚线双箭头表示的，数码相机20优选地被构造为与个人计算机50通信。例如可以考虑，数码相机20为此具有USB端口，其可以经由相应的缆线与个人计算机50的USB端口相连，以便例如将一个如前所述双重数字签名的数字图像从存储卡40的闪存46中传输到个人计算机50。替换地，个人计算机50可以具有相应形状的卡槽，存储卡40可插入到所述卡槽中，由此个人计算机50具有对于在存储卡40的闪存46中存储的数字图像的访问。
[0040]个人计算机50优选地经由因特网60与密钥管理服务器70形式的后台系统相连，其如在后面详细描述的优选地作为中央的密钥管理实体构造。为了存储较大的数据量，密钥管理服务器70可以与数据库80相连，但是所述数据库当然也可以是密钥管理服务器70的部分。优选地，在密钥管理服务器70上存储了与在图像产生单元30的安全模块36中存储的私有第一签名密钥一起形成第一非对称密钥对的第一公有密钥，和与在存储卡40的安全模块48中存储的私有第二签名密钥一起形成第二非对称密钥对的第二公有密钥。因为通常多个公有密钥存储在密钥管理服务器70上，所以将信息与双重签名的数字图像一起向个人计算机50传输，所述信息允许唯一地识别存储卡40以及数码相机20，以便能够根据该信息从密钥管理服务器70查询相应的公有密钥。
[0041]在其中第二签名密钥由存储卡40的安全模块48优选被加密地传输到图像产生单元30的安全模块36的实施方式中，优选地设置，一旦所属的存储卡40从数码相机20的卡槽中被取出，传输到图像产生单元30的安全模块36第二签名密钥在那里被删除。
[0042]按照本发明的一种优选实施方式，在制造处理器单元34时，为其安全模块36设置唯一的识别元素，例如序列号。该唯一的识别元素可以用于产生第一签名密钥。用于产生第二签名密钥的相应的识别元素可以在制造存储卡40时存储在存储卡40的安全模块48上。安全模块36的识别元素以及安全模块48的识别元素都可以存储在密钥管理服务器70上。根据这些识别元素，密钥管理服务器70能够一方面验证数字图像的双重的数字签名并且另一方面产生用于在安全模块36和安全模块48之间的安全通信的密钥组。在此优选这样产生对于一个安全模块的密钥，使得其与用于另一个安全模块的密钥一起形成一种封闭的系统。由此可以确保，拍摄者的、在存储卡40上存储的密钥只能被传输到相应构造的数码相机20中。
[0043]由此密钥管理服务器70优选地既在制造时也在图像检查时起作用。每个数码相机20和/或每个存储卡40在制造方法的范围内与密钥管理服务器70加密地逻辑相关联。该过程对于芯片卡领域的专业人员来说作为个性化公知。
[0044]为了避免，在丢失或遗忘存储卡40的情况下会由第三方使用数码相机20，优选地设置，为了使用存储卡40必须相对于存储卡40的安全模块48验证拍摄者，例如通过输入PIN。如果三次先后输入错误PIN，则可以将数码相机20或者锁定或者无存储卡40的安全模块48地运行，从而在该情况下不进行通过安全模块48的第二数字签名并且由此不允许对这样产生的数字图像的首创性进行断言。PIN查询例如可以经由数码相机20的显示单元进行，其通常也可以用于显示采集的或产生的数字图像。
[0045]按照优选实施方式，在非常高的存储要求的情况下在图像产生单元30的安全模块36上和存储卡40的安全模块48上分别存储优选对称的密钥对的一个密钥。该对称的密钥对可以一方面用于在图像产生单元30的安全模块36和存储卡40的安全模块48之间的相互的验证，优选是挑战响应验证(challenge-response authentication),和另一方面用于形成在图像产生单元30的安全模块36和存储卡40的安全模块48之间安全的、SP力口密的通信信道。为此可以将分别在图像产生单元30的安全模块36和存储卡40的安全模块48中存储的对称密钥作为主密钥(Master Key)使用，从中分别导出会话密钥(SessionKey)。
[0046]如专业人员公知的，为了相对于数码相机20验证存储卡40，图像产生单元30的安全模块36可以将例如以随机数形式的挑战传输到存储卡40的安全模块48，其然后按照统一的加密算法由存储卡40的安全模块48在使用在那里存储的验证密钥的情况下被加密并且该加密的结果又被传输到图像产生单元30的安全模块36。在图像产生单元30的安全模块36侧类似地进行，即，由图像产生单元30的安全模块36传输到存储卡40的安全模块48的随机数借助在安全模块36中存储的相应验证密钥加密，并且检查，该加密的结果是否等于由存储卡40的安全模块48传输的加密的随机数。如果是，则图像产生单元30的安全模块34可以假定，在存储卡40的安全模块48中存储的验证密钥等于在图像产生单元30的安全模块36中存储的验证密钥并且由此该存储卡40是可信的。如专业人员公知的，数码相机20相对于存储卡40的验证可以以相应的方式进行。
[0047]如专业人员公知的，在前面描述的挑战响应验证中必须保证，图像产生单元30的安全模块36和存储卡40的安全模块48使用用于分别计算加密的随机数的相同方法。特别是图像产生单元30的安全模块36和存储卡40的安全模块48必须使用用于加密的相同加密算法。
[0048]尽管前面描述的优选实施方式中用于产生数字图像的装置作为数码相机或作为具有数码相机的移动电话构造，但是专业人员知道，本发明可以应用于其中产生数字图像的多个其他装置，例如扫描仪、打印机和复印机。
【权利要求】
1.一种用于产生数字图像的装置(20)，其中，所述装置(20)包括: 用于产生数字图像的图像产生单元(30)，其具有第一安全模块(36)，所述第一安全模块被构造为，将唯一地识别所述第一安全模块(36)的并且在其中安全存储的第一秘密与数字图像这样加密地相关联，使得根据该加密地相关联的结果能够确定数字图像的整体性；和 便携式数据载体(40)，其能够嵌入到所述装置(20)中，其中，所述便携式数据载体(40)具有第二安全模块(48)，所述第二安全模块被构造为，将唯一地识别所述便携式数据载体(40)的并且在其中安全存储的第二秘密与数字图像这样加密地相关联，使得根据该加密地相关联的结果能够确定便携式数据载体(40)的身份。
2.根据权利要求1所述的装置(20)，其中，所述第一和/或第二安全模块(36，48)，分别作为以安全或智能卡控制器形式的硬件或作为可信平台模块(TPM)和/或作为以TrustZone形式的软件构造。
3.根据权利要求1所述的装置(20)，其中，所述图像产生单元(30)包括用于将由装置(20)所采集的光学信号处理为数字原始数据的传感器单元(32)和用于将数字原始数据处理为数字图像的处理器单元(34)，其中，优选地所述第一安全模块(36)作为所述处理器单元(34)的部分构造，所述第一安全模块(36)被构造为与所述处理器单元(34)分离的组件或通过所述第一安全模块(36)提供所述处理器单元(34)。
4.根据权利要求3所述的装置(20)，其中，在所述图像产生单元(30)的处理器单元(34)中实现正常的运行时环境和安全可信的运行时环境，其中，安全的运行时环境与正常的运行时环境隔离并且用于运行安全性关键的应用程序。
5.根据权利要求1所述的装置(20)，其中，安全地存储在所述图像产生单元(30)的第一安全模块(36)中的第一秘密是第一签名密钥，第一安全模块(36)将其与数字图像以第一数字签名的形式加密地相关联，或者是MAC密钥，第一安全模块(36)将其与数字图像加密地相关联，方式是借助MAC密钥确定数字图像的MAC (Message Authentication Code)。
6.根据权利要求1所述的装置(20)，其中，安全地存储在便携式数据载体(40)的第二安全模块(48)中的第二秘密是第二签名密钥，其与数字图像以第二数字签名的形式加密地相关联，或者是MAC密钥，其与数字图像加密地相关联，方式是借助MAC密钥确定数字图像的 MAC (Message Authentication Code)。
7.根据权利要求1所述的装置(20)，其中，所述便携式数据载体(40)除了第二安全模块(48)之外还具有在其上能够存储所产生的数字图像的大容量存储器(46)，其中，所述便携式数据载体(40)优选是存储卡。
8.根据权利要求1所述的装置(20)，其中，用于产生数字图像的装置(20)是数码相机、具有数码相机的移动电话、数码摄像机、扫描仪、复印机、或打印机。
9.根据权利要求1所述的装置(20)，其中，所述第一安全模块(36)和/或第二安全模块(48)能够与以中央密钥管理服务器(70)形式的后台系统通信，所述中央密钥管理服务器优选地由可信服务管理器(TSM)运行。
10.一种用于产生数字图像的方法，其中，该方法包括如下步骤: 借助用于产生数字图像的装置(20)的图像产生单元(30)产生数字图像； 将数字图像与第一秘密加密地相关联，所述第一秘密安全地存储在作为图像产生单元(30)的部分的第一安全模块(36)中，并且唯一地识别所述第一安全模块(36)，其中，根据该加密地相关联的结果能够确定数字图像的整体性；和 将数字图像与第二秘密加密地相关联，所述第二秘密安全地存储在作为能够嵌入到用于产生数字图像的装置(20)中的便携式数据载体(40)的部分的第二安全模块(48)中并且唯一地识别所述第二安全模块(48)，其中，根据该加密地相关联的结果能够确定便携式数据载体(40)的身 份。
【文档编号】H04N1/32GK103999442SQ201280062867
【公开日】2014年8月20日 申请日期:2012年12月19日 优先权日:2011年12月23日
【发明者】A.琼恩, T.德朗 申请人:德国捷德有限公司