设备特定安全性数据的安全实现及利用的制作方法

专利名称：设备特定安全性数据的安全实现及利用的制作方法
发明的技术领域一般来说，本发明涉及用于各种用途的设备特定安全性数据的管理、实现和利用，更具体来说，涉及用于为设备提供这种设备特定安全性数据的安全有效的程序。
背景技术：
一般需要在诸如移动电话、个人计算机、照相机、音频设备、服务器、基站和防火墙之类的各种各样的不同设备中实现和利用设备特定安全性数据。设备特定安全性数据可用于各种用途，其中包括关于通过不安全网络的通信的安全性问题、数字内容的内容标记等等的管理。
为了便于理解本发明背后的基本原理，考虑设备的大量制造过程可能是有帮助的。具体来说，例如，考虑对任何第三方(尤其是第三方芯片制造商)具有有限信任的设备制造商可能是有用的，他需要以低成本生产包含防篡改保护的且每个设备唯一的密钥和/或其它安全性数据的设备。
在网络通信中，例如，数据安全性往往基于某种安全性数据、如密钥，它用来建立数据保密性、数据完整性、验证、授权、认可和/或其它安全性服务。随着因特网、分组数据电信网和其它通信网络的迅速发展，能够提供适当的数据安全性、如保护网络中节点和/或设备之间交换的消息，已经变得越来越重要。为了简洁起见，参与这种通信的任何实体将称作网络设备，以及实例包括移动电话、个人计算机、安全性网关、防火墙、无线电基站等等。
在安全且节省成本地制造具有以后可用于例如与网络通信相关的安全性问题的安全性数据的设备时存在若干困难-安装或实现设备特定安全性数据，每个设备均不相同。对于某些设备组件，这可能需要全新的制造工艺，因而变得成本高和/或低效。
-将安全性数据放置在设备内的某个位置，使得它不会受到未经授权方的损害或操纵。
-确保安全性数据在设备的整个制造过程中免受未经授权方的影响。特别是，如果在制造过程中涉及非置信方，则附加的安全性管理可能是必要的。
-安全地管理与安全性数据相关的信息，这对于授权方以后能够提供关于设备的数据安全性、例如建立与设备的安全连接是需要的。例如，如果设备安全性数据为密码协议、如验证和/或加密协议中的共享秘密密钥，则相同的密钥必须可得到且只可用于应当能够建立与设备的安全连接的已授权通信合作方。
例如，为了改进系统安全性和健壮性，包括移动通信系统、寻呼系统以及无线和有线数据网在内的当今许多通信系统都采用验证和加密程序。建立安全且健壮的通信的问题在范围从通用网络通信到更专门的应用、如数字版权管理(DRM)的许多技术应用中都会遇到。
一般来说，对于在设备中存储安全性数据存在两种解决方案，或者存储在芯片或集成电路(IC)中，或者存储在某种可编程存储器、例如PROM中，要记住，存储在IC中的数据一般受到更多保护。
在参考文献[1]中，主密钥存储在智能卡的EEPROM中，并用于对要存储在较不安全的存储媒体中的敏感信息加密。
参考文献[2]公开一种处理器，为了从外部设备将程序下载到其RAM存储器中，它连接到外部设备。如果程序经过加密，设置在处理器中的解密模块访问永久存储在处理器中的密钥，以便对程序信息解密。
参考文献[3]提及结合智能卡的所谓板上密钥生成。
将保密数据、如设备特定随机数存储在IC中目前可能采用标准IC生产工具进行。但是，将随机数或某种相关数据从IC制造商安全传递给使用IC的设备制造商的后勤工作采用当前技术，或者不可行/昂贵，和/或要求用于处理安全性数据的特殊安全性管理。一般来说，设备制造商和IC制造商可以是不同方。如果某种安全性数据由IC制造商管理，则这可能是安全性弱点、攻击的可能目标，并且还可能增加IC的成本。
同样的论述适用于代表设备制造商生成密钥和/或将其存储在IC中的IC制造商。
设备制造商可让IC制造商在IC上存储数据，这种数据在IC制造之后是无法提取的，除非采用极先进的逆向工程。但是，在安全性上下文中借助于当前技术水平来使用这种设备数据要求IC制造商中和设备制造商中以及两者之间的安全性管理，并且在工业化过程中、特别是对于大量市场，是不可靠或者不可行/昂贵的。
设备制造商可将安全性数据插入PROM，从而避免包括IC制造商作为置信第三方，并且还避免IC制造工艺中的昂贵变更。但是，PROM中的秘密也没有防止对手对设备的存取(即使只是暂时的)。此外，实现PROM功能性所需的ASIC(专用集成电路)技术导致IC的大量额外成本，例如通过IC生产过程中的附加掩模。
另外，IC制造商可能希望将其IC的使用限制在他/她信任的或者与之有商业协议的那些设备制造商。
一个略有不同但仍然相关的问题是，与设备制造商和/或用户有置信关系的第三方与设备或设备的用户进行安全通信。因此，设备特定安全性数据的安全性管理可能要求还包括其它方。

发明内容
本发明克服了先有技术配置的这些及其它缺陷。
本发明的一个目的是实现和利用诸如移动电话、个人计算机、照相机、音频设备、服务器、基站和防火墙之类的设备中的设备特定安全性数据。
本发明的一个目的是提供一种安全且节省成本地制造具有安全性数据能力的设备的方法以及用于管理安全性数据的方法。特别是，希望为该设备提供防篡改保护且设备特定的安全性数据。另外也重要的是确保安全性数据在设备的整个制造过程中不受未经授权方的损害，而无需昂贵的安全性管理。
本发明的另一个目的是提供一种改进方法，用于维护关于网络设备与外部通信合作方之间网络通信的数据安全性。
本发明的又一个目的是提供一种标记由内容产生设备产生的数字内容的改进方法。
根据本发明的一个基本思想是提供一种防篡改电子电路，它配置用于在设备中实现以及在设备中操作期间安全地实现和利用设备特定安全性数据。防篡改电子电路基本上配备了不可通过外部电路接口存取的防篡改存储的秘密。电子电路还配备了至少部分响应或根据存储的秘密执行加密处理的功能性，以便产生在设备使用过程中在内部限制于所述电子电路以内的设备特定安全性数据的示例。电子电路还配置用于响应内部限制的设备特定安全性数据来执行一个或多个安全性相关的操作或算法。
这样，可有效地完成用于安全性目的的设备特定安全性数据的安全实现和利用。安全性没有受到损害，因为在电子电路外部绝对不可能得到所存储的秘密，以及设备特定安全性数据在设备的使用或操作过程中在内部限制于电路以内。这意味着，设备特定安全性数据阻止外部电路编程接口的使用，并且仅可在电路内用于在设备的使用和操作过程中执行安全性相关的操作。作为一个特定实例，设备特定安全性数据可与安全性相关的操作结合使用，以便将加密输入信息转换成明文输出信息，而没有暴露所存储的秘密或设备特定安全性数据本身。安全性相关的操作可以是诸如加密信息的解密之类的简单操作，或者是更复杂的复合操作。
电子电路可以是集成电路(IC)、智能卡或其它任何防篡改电子电路，但最好是封装电路。
根据本发明的防篡改电子电路普遍适用于各种各样的设备，产生可用于各种安全性相关目的的内部限制的设备特定安全性数据。
电子电路可以例如设置在网络设备中，以及在网络设备内工作的电路所处理的设备特定安全性数据则可用于网络通信中的数据安全性操作，包括数据保密性、数据完整性、验证、授权和认可。特定实例涉及保护通过不安全网络、包括因特网和蜂窝通信网络的通信的安全。
在另一个应用情况中，电子电路设置在产生数字内容的设备中，以及由内容产生设备内工作的电路所处理的设备特定安全性数据则可用于例如通过产生嵌入数字内容中的设备特定指纹来标记所产生的数字内容。
更明确地说，在电路制造时，随机秘密最好安全地存储在电子电路、如IC内。这可通过甚至电路制造商也不知道该秘密的方式来实现。这种秘密数据可以是通常属于大数字集合的任何任意或随机生成的数字，从而避免推测或预先计算攻击。此外，电子电路最好配备了用于在具有秘密作为(至少部分)输入的电子电路中执行所实现的安全性或加密算法。一旦电子电路由设备制造商安装用于在设备中工作，则所存储的秘密可与密码安全性算法共同用于产生对于在其中实现电子电路的具体设备来说特定的安全性数据的示例。
因此，存储的秘密以及在电子电路中实现的加密算法允许产生安全限制的设备特定安全性数据，例如加密和解密密钥、绑定密钥、对称密钥、私钥和相关联的公钥和/或其它可用于各种安全性操作的设备特定安全性数据。
具体来说，能够产生设备特定安全性数据，以及根据最初由电路(IC)制造商存储在电子电路中的任何秘密、随机数据提供完全安全性功能性，这显然是有利的。
此外，电子电路允许产生及管理该电路可设置在其中的广泛设备的设备特定安全性数据。另外，由于秘密数据安全地存储在电路中，因此在制造设备的过程中或者在电路(IC)制造商与设备制造商之间电路分发过程中不需要任何大范围的安全性管理。
在电子电路中实现的加密处理最好基于加密函数或算法，它经过设计，使得在计算上不可能在不知道秘密的情况下推算算法的结果和/或由结果推算秘密。
秘密可以是电路实现的加密算法的唯一输入。或者，附加输入数据可与算法中的秘密共同提供及使用，从而产生设备特定安全性数据。产生设备特定安全性数据所需的触发数据最好是在设备的配置过程中定义，例如在制造过程的配置阶段或在用户配置过程中。在设备的使用过程中，预定触发数据必须通过外部电路接口施加，以便能够产生适当的安全性数据。除非施加了正确的触发数据，否则电子电路中的加密处理通常仅产生无意义的数据或者根本不工作。这意味着，电子电路通常要求某种形式的预定触发数据，以便在内部重新产生设备特定安全性数据。
如果触发数据在设备的制造过程中或者与其相关地定义，则触发数据可能需要经由中间置信方、例如与设备用户相关联的网络运营商从设备制造商安全地传送给设备。或者，触发数据由另一个配置方、如网络运营商定义，并安全地传送给设备。还可能在配置过程中已经将预定触发数据存储在设备中，供需要为安全性相关的操作调用设备特定安全性数据时方便存取。这意味着，具有对设备的物理访问权的对手可能获得对触发数据或代码的访问权，从而执行安全性相关的操作。但是，对手绝不会获得对设备特定安全性数据本身的访问权。另外，可通过采用用户选择的密码保护所存储的触发代码来获得更高度的安全性。
例如，触发数据或代码可根据在设备的配置过程中提供的配置设备特定安全性数据来定义。电子电路最好是配置用于根据存储的秘密产生作为配置设备特定安全性数据的加密表示的触发数据，其中，加密表示在配置阶段通过外部电路接口输出。在设备的使用过程中，只要所述附加输入对应于加密表示，则设备特定安全性数据在内部再生。可在配置期间通过外部电路接口提供配置安全性数据，允许设备制造商或其它置信方自由选择所制造设备的设备特定安全性数据。但是，还能够在配置阶段在电子电路中内部产生配置安全性数据。
在涉及不对称密码术的本发明的另一个实施例中，适当的附加输入、如素数、数学群的生成元、现时标志(nonce)和/或PIN码可在设备配置过程中、例如在制造的配置阶段或在用户配置过程中施加到电路，用于产生不对称密钥对以及用于通过外部电路接口输出公钥。在设备的使用过程中，只要通过外部电路接口施加了相同附加输入的至少一部分，则在内部产生或再生对应的私钥。
或者，触发数据可能是简单的籽数，例如现时标志、所谓的绑定身份等等，它最初在配置设备期间施加到电子电路，迫使电子电路响应所谓的设备访问码而通过外部电路接口输出设备特定安全性数据。设备访问码可用于在某些情况下、通常在设备制造过程的受控环境中，使设备特定安全性数据在电路外面可用，而安全性数据在设备的使用期间始终在内部被限制于电子电路以内。
一般来说，电子电路可配备用于要求验证的验证协议，以便允许对电路中的某个功能性的访问，从而将电路的使用有效地限制于授权方。电子电路通常配置用于验证设备制造商或其它配置方，以及用于响应成功的验证而向设备制造商提供设备访问码。例如，设备访问码可根据来自设备制造商的询问以及电子电路中存储的秘密作为询问-应答对来产生。电子电路还可配置用于禁止对存储的秘密和/或设备特定安全性数据的内部访问，除非预定设备访问码被输入电子电路。这样，就能够确保只允许授权方、如设备制造商和/或置信方使用存储的秘密来产生设备特定安全性数据和/或使用安全性数据本身。
应当理解，多个单独的触发数据信号可能在配置设备期间被定义，其中，各触发数据信号与相应的各个设备特定安全性数据关联。电子电路配置成只要关联的触发数据信号施加到电路，则产生特定的设备特定安全性数据。这种特征可用于提供多用户身份模块、例如用于验证和密钥协定的多用户SIM(用户身份模块)，或者多信道解码器、例如卫星或有线电视解码器，其中需要多个唯一的安全性密钥。
本发明还涉及与设备特定安全性数据关联的附加安全性管理，例如认证和信任委托，以便使置信第三方能够与网络设备和/或用户安全地通信。
本发明提供以下优点-为安全性目的对设备特定安全性数据的安全且节省成本的实现和利用；-未受损的安全性，因为存储的秘密在电路外部绝对不可用，以及设备特定安全性数据在设备的使用期间在内部限制于电路以内；-防篡改电子电路中设备特定安全性数据的有效保护；-产生设备特定安全性数据以及根据最初由电路(IC)制造商存储在电路中的任何秘密随机数据提供完全安全性功能性的能力；-仅要求电路(IC)制造商的极有限置信度；-在设备的制造过程中和/或在电路(IC)制造商与设备制造商之间不需要大量的安全性管理；-用于允许设备特定安全性数据的产生的触发数据的有效使用；-将电路中的某种功能性的使用限制到授权方的可能性；-结合所谓的普通信任委托协议或设备认证结构的设备特定安全性数据的提供对安全数字版权管理的密钥管理问题提供了可行的可实现解决方案；以及-为多用户身份模块和多信道解码器展开。
通过阅读对本发明的实施例的以下说明，将会了解本发明提供的其它优点。
附图概述通过参照以下结合附图进行的说明，将会更好地理解本发明以及其它目的和优点，附图中

图1是根据本发明的一个基本优选实施例、配备了防篡改电子电路的一般设备的示意框图；图2是用于在网络设备中实现并配置用于根据设备特定安全性数据在网络通信中执行数据安全性操作的电子电路的示意框图；图3是用于在数字内容产生设备中实现并配置用于根据设备特定安全性数据执行内容标记的电子电路的示意框图；图4是根据本发明的一个优选实施例、用于制造具有包括设备特定安全性数据的管理的安全性数据能力的设备的方法的示意流程图；图5是示意流程图，说明根据本发明的一个示范实施例的触发数据的配置和使用；图6是根据本发明的一个优选实施例、配备了将配置安全性数据加密为触发数据的功能性的防篡改电子电路的示意框图；图7是图6的电路的一个具体实施例的示意框图，其中采用附加输入密钥进一步增强了安全性；图8是根据本发明的另一个优选实施例、配备了允许对配置期间所产生的安全性数据的外部存取的设备访问码功能性的防篡改电子电路的示意框图；图9是根据本发明的又一个优选实施例、响应触发数据以便有选择地产生不对称密钥对/私钥的防篡改电子电路的示意框图；图10是为生成私钥和公钥而实现的图9的电路的一个具体实施例的示意框图；图11是根据私钥和公钥的生成为共享密钥生成(例如Diffie-Hellman)实现的电子电路的示意框图；图12是为生成私钥和公钥而实现的、配备了用于以密码方式保护输出私钥的加密算法的集成电路的一个实施例的示意框图；图13是采用验证协议和关联设备访问码管理器/控制器实现的电子电路的一个实施例的示意框图；图14是配备了如果没有正确的设备访问码施加到设备访问码管理器/控制器、则禁止对保密数据或安全性数据的访问的功能性的电子电路的一个实施例的示意框图；图15是为生成一系列绑定密钥而配置的电子电路的一个基本实施例的示意框图；以及图16是配备了用于生成一系列绑定密钥的迭代实现的电子电路的另一个实施例的示意框图。
本发明的实施例的详细说明在所有图中，相同的参考标号将用于相应或相似的元件。
一般概述图1是根据本发明的一个基本优选实施例、配备了防篡改电子电路的一般设备的示意框图。一般设备100包括防篡改电子电路10以及通常还包括用于与设备之间传递数据的一般输入/输出单元20。该设备无疑可配备例如用于执行各种数据处理的附加单元，全部取决于具体设备及其整体功能。
防篡改电子电路10可以是集成电路(IC)、智能卡或其它任何防篡改电子电路，并且最好包括输入/输出单元11、用于秘密C的存储单元12、用于加密处理的引擎或单元13以及安全性相关操作的实际实现14。所存储的秘密C不可通过外部电路接口访问，因此在电子电路10外部不可用。加密引擎13连接到存储单元12，并配置用于至少部分响应存储的秘密来执行加密处理，以便产生设备特定安全性数据的示例，它在设备100的使用过程中在内部限制于电子电路10内。这一般表示，加密引擎13所产生的设备特定安全性数据在设备100的正常使用过程中在电子电路的外部编程接口上不可用。安全性操作单元14链接到加密引擎13的输出，并配置用于响应内部限制的设备特定安全性数据来执行一个或多个安全性相关的操作。
极大的优点是能够根据最初存储在电子电路10中的任何秘密数据C产生设备特定安全性数据，以及提供完全安全性功能性。安全性没有受到损害，因为存储的秘密在电子电路10外部绝对不可用，以及内部产生的设备特定安全性数据在设备的正常操作过程中只可用于电路中执行安全性相关的操作。
根据本发明的防篡改电子电路一般适用于广泛的设备，产生可用于各种安全性相关目的的内部限制的设备特定安全性数据。适合实现根据本发明的电子电路的设备的实例包括移动电话、个人计算机、照相机、音频设备、网络服务器、安全性网关、防火墙、基站等等。
网络设备应用如图2所示，电子电路10可以例如设置在网络设备中，以及由网络设备100中工作的电路内部产生的设备特定安全性数据则可用于网络通信中的数据安全性操作。图2所示的网络设备100一般包括防篡改电子电路10、用户界面20-1以及用于与一个或多个网络中的其它网络设备或实体通信的网络通信单元20-2。网络通信中的数据安全性操作的实例包括数据保密性、数据完整性、验证、授权和认可，例如在参考文献[4-6]中普遍定义的那样。在另一种应用情况中，存储的秘密C甚至可用来产生终端地址，它(唯一地)用于设备/终端，并可用于有效的网络通信。
内容标记应用如图3所示，电子电路10也可设置在产生诸如数字音频、视频、图像、文本等数字内容的设备100中。这类内容产生设备的实例包括数字照相机、摄像机、录音机、数字扫描仪以及任何以数字形式表示内容的数字化设备。由内容产生设备内工作的电路内部产生及维护的设备特定安全性数据则可用于例如通过产生嵌入数字内容中的设备特定指纹来标记所产生的数字内容。这意味着，内容可绑定到实际产生该内容的特定设备，并且指纹以后可用作产生的证明。这种功能尤其在法律审判中变得越来越重要，因为伪造图像的可能性通过以低价可得到的先进图像处理软件变得广为普及。例如，设备特定安全性数据的示例可以仅响应存储的秘密C或者响应存储的秘密结合附加输入数据、如某种预定触发数据和/或内容本身来产生。内部产生的设备特定安全性数据则用作在单元14中实现的安全性相关操作的输入，用于根据所产生的设备特定安全性数据将设备特定指纹嵌入数字内容。然后，已标记的内容从电子电路10输出。
如本发明所建议的内容标记在网络设备和内容产生设备的组合、如带集成照相机的移动电话中可能特别有用，但也适用于独立照相机或类似的成像、视频或音频设备。
制造情况下面，主要采用具体示范情况、即设备(有时又称作实体)的制造来描述本发明，其中包括初始秘密和/或设备特定安全性数据的管理以及这类安全性数据以后在设备内的使用。但应当理解，本发明不限于此，以及制造情况仅用作更好地理解本发明的基本概念和原理的基础。
图4是根据本发明的一个优选实施例、用于制造具有包括设备特定安全性数据的管理的安全性数据能力的设备的方法的示意流程图。
在步骤S1，在电路制造时，或多或少的随机秘密最好安全地存储在防篡改电子电路中。这可通过甚至电路或芯片制造商也不知道秘密的方式来实现。这种秘密数据可以是任何任意或随机产生的数字。在也在电路制造时执行的步骤S2中，电子电路配备了为在具有秘密作为输入或部分输入的电子电路中执行所实现的加密算法。一旦电子电路由设备制造商安装用于在设备中工作，则所存储的秘密可与加密算法共同用于产生对于在其中实现电子电路的具体设备特定的安全性数据的示例。加密算法处理最好基于加密函数，它经过设计，使得在计算上不可能在不知道秘密的情况下推算算法的结果和/或由结果推算秘密。在步骤S3，安全性相关操作在防篡改电子电路中实现。该操作配置用于采用设备特定安全性数据作为输入，以及可能涉及例如加密/解密、数据完整性、验证、认可、授权和内容标记。电子电路以这样的方式设计加密算法在整个设备的使用过程中产生的设备特定安全性数据在内部限制于电子电路内。这可通过采用防篡改电子电路中的受限制寄存器来实现，该受限制寄存器仅可通过在设备的使用过程中用于写访问的加密算法以及用于读访问的安全性相关操作来访问。采用目前的技术水平，例如将128位安全性密钥存储在集成电路中的专用硬件寄存器中，当前是可行的。或者，通过存储器保护技术来确保内部限制。例如，电子电路中的内部存储器的受保护区可被定义用于设备特定安全性数据的存储。则仅从一个或多个指定存储地址区域允许对这个受保护区的存取，在一个或多个指定存储地址区域中，上述加密算法和安全性相关操作以可执行形式保存。
因此，存储的秘密以及在电子电路中实现的加密算法允许产生安全限制的设备特定安全性数据，例如加密和解密密钥、绑定密钥、对称密钥、私钥及相关公钥和/或其它只可用于电子电路内各种安全性操作的设备特定安全性数据。
在步骤S4，在设备制造时，设备制造商在给定设备中安装电路。在步骤S5，设备制造商也可负责在可选的严格控制的配置阶段产生的设备特定安全性数据及补充信息的一般管理，稍后将详细说明。
具体来说，显然有利的是能够根据最初由电路制造商存储在电子电路中的任何秘密、随机数据产生设备特定安全性数据，以及提供完全安全性功能性。此外，电子电路允许产生及管理该电路可设置在其中的广泛设备的设备特定安全性数据。另外，由于秘密数据安全地存储在电路中，因此在制造设备时或者在电路制造商与设备制造商之间电路分发时不需要任何大量的安全性管理。
实际上，在电路制造商与设备制造商之间要求极有限的安全性管理。C的具体值通常不相干，只要它一直是未授权方未知的，尤其是在不知道或无权存取C的情况下。存储的秘密C在充分大的集合中充分随机并且无法链接到特定电路，这就充分满足要求。由于在电路制造过程中不需要记录或从C导出信息，因此这可在电路制造商处在受控环境中有效地实现。
但是，在需要时或者在适当情况下，电路制造商与设备制造商之间的附加安全性管理可通过根据设备制造商的公钥(其中公钥存储在电路中)在电路中实现秘密C的公钥加密(例如RSA加密)并输出加密的秘密来获得。加密的输出只可由设备制造商采用相应的私钥来解密。这样，C将为设备制造商所知。
如稍后将描述的那样，本发明还完全适合于设备特定安全性数据的附加安全性管理，例如认证和信任委托，以便使置信第三方能够与网络设备和/或用户安全地通信。
适当的安全性管理的类型取决于要求系统防止的具体威胁或攻击，还取决于系统中在某种程度上信任的哪些方。例如，网络设备的安全性数据的管理是极其重要的任务，因为整个通信的安全性可能依靠它。
因此，采用设备特定安全性数据授权的各方对于所述问题的不同示例可能有所不同。在以下实例中假定，设备制造商是受信任具有设备特定安全性数据的，但本发明实际上不限于那个假定。如上所述，芯片制造商不需要是受信任具有安全性数据的，但一般假定某种置信关系，例如，芯片制造商实现商定的内容，并且不引入秘密“后门”等等。同样常见的是，设备拥有者或用户被认为是置信方，因为确保消息传送是安全的通常是为了他/她的利益。但是，情况不一定是这样，并且不作这种假定；具体的免除情况是DRM的情况。
例如，数字版权管理(DRM)是用于保护数字内容分发系统中的内容提供者/拥有者的资产的技术。该技术在大部分情况下通过对内容加密并将包含解密密钥(通常以加密形式)以及描述允许对内容进行什么处理的使用权限的所谓许可证与此内容关联来实现。
在用于呈现内容的设备中，实现DRM模块/代理以便确保呈现跟随使用权限规定的内容。这个代理通常作为软件和/或硬件模块来实现，从而强制执行许可证中所述的使用策略。从内容提供者的观点来看，DRM模块/代理构成用户设备内的置信方。注意，用户不是置信方，因为用户可能希望避开内容保护而不受许可证规定的限制来使用此内容。
保护内容安全的问题一部分是管理从内容分发者到将要使用内容的设备的传输过程中的内容的保密性以及许可证的完整性。对此问题的一种可能的解决方案是让内容提供者/分发者向呈现设备中的DRM模块/代理安全地传递“密钥加密密钥”，它可用来导出内容加密密钥并检验许可证完整性。为了保护密钥加密密钥，用户不可用的设备安全性数据可由DRM模块/代理使用。另外，置信内容提供者/分发者还需要与此安全性数据相关的某种信息来保证到这个具体设备的传送。例如，如果安全性数据是解密密钥，则相应的加密密钥通常是内容分发者/提供者需要的。
触发数据-配置与用法再次参照图1，存储的秘密C可以是对加密引擎的唯一输入。但是，作为选择，附加输入也可经由电子电路10的输入/输出单元11来施加，并与加密引擎13中存储的秘密C共同用来产生设备特定安全性数据。在本发明的一个优选实施例中，产生正确的安全性数据所需的可选触发数据(由图1中的虚线表示)在设备100的配置过程中定义，例如在制造过程的配置阶段或在用户配置过程中，取决于具体应用。
在设备100以后的使用中，相同的触发数据必须施加到电子电路10的加密引擎13中，以便能够产生设备特定安全性数据。
如图5的基本流程图中示意说明的，触发数据在设备的配置过程中确定，也许在设备的制造过程中的配置阶段或者在用户配置过程中(S11)，稍后将进行阐述。在以后的使用中，只要通过外部电路接口施加了相同的触发数据，则产生内部限制的设备特定安全性数据。换言之，需要存储秘密C以及预定触发数据，以便能够产生正确的安全性数据(S12)。最后，响应内部产生及内部限制的设备特定安全性数据来执行安全性相关的操作(S13)。如果触发数据在设备的制造过程中定义，则触发数据可能需要例如经由中间置信方、如设备的用户所关联的网络运营商从设备制造商安全地传送给设备。
或者，预定的触发数据存储在设备中，供需要为安全性相关的操作调用设备特定安全性数据时方便存取。在一些应用中，附加输入数据甚至可以是公开已知的信息，因为只有包括特定电路的设备的拥有者才能够产生因所涉及的存储秘密得到的结果。这意味着，对手对设备的物理访问可能获得对触发数据或代码的访问，从而执行安全性相关操作。但是，对手绝不会获得对于在整个设备的使用过程中始终在内部限制于电路内的设备特定安全性数据本身的访问。在一些应用中，例如通过用户选择的密码来保护所存储的触发代码可能是有利的。
多触发另外还完全可能在设备的配置过程中定义多个单独的触发数据信号，其中，各触发数据信号与相应的单独设备特定安全性数据关联。只要关联的触发数据信号施加到电路，则根据本发明的电子电路配置用于产生特定的设备特定安全性数据。这可用于提供例如用于验证和密钥协定的多用户SIM(用户身份模块)的多用户身份模块或者例如卫星或有线电视解码器的多信道解码器，其中需要若干唯一的安全性密钥。某个密钥仅通过施加相应的触发数据来激活。
一般来说，触发数据可通过若干方式来定义。例如，触发数据可根据在设备的配置过程中提供的配置设备特定安全性数据来定义，如下面主要参照图6和图7所述。触发数据也可能是最初在配置设备期间施加到电子电路的简单籽数，迫使电子电路响应所谓的设备访问码而通过外部电路接口输出设备特定安全性数据，如主要参照图8所述。或者，对于基于不对称密码术的应用，诸如素数、数学群的生成元、现时标志和/或PIN码等适当的附加输入可用作触发数据，如以下参照图9-12所述。
配置安全性数据的加密/解密图6是根据本发明的一个优选实施例、配备了将配置安全性数据加密为触发数据的功能性的防篡改电子电路的示意框图。电子电路最好配置用于根据存储的秘密产生作为某个配置设备特定安全性数据的加密表示的触发数据。加密表示则在配置阶段通过外部电路接口输出。在设备的使用过程中，只要所述附加输入对应于加密表示，则设备特定安全性数据在内部再生。这允许设备制造商或控制设备的其它置信方、如网络运营者在设备配置期间自由选择所制造设备的设备特定安全性数据。这在其中要求安全性数据具有特定格式的某些应用中可能是有利的。例如，在不对称密码术、如RSA或椭圆曲线中，密钥不只是随机字符串，而是必需小心选取的。
除了电路制造商在存储单元12中实现的随机秘密C之外，电子电路10还包括陷门单向函数的实际实现15，在本例中表示为采用秘密C作为加密密钥的加密算法E。电子电路10还包括在本例中执行解密D的相应陷门逆算法的实际实现13以及安全性相关操作的实现14。
在配置期间，设备制造商或其它配置方产生任何预期的设备特定安全性数据K、例如密钥，并将它施加到电路10用于加密。应当理解，配置不一定需要在制造过程中执行，也可在以后执行，例如由设备制造商在单独的配置阶段中或者由控制所制造设备的独立方、如网络运营者来进行。加密结果表示E(C，K)＝X由设备制造商或其它配置方在受控环境中记录，并可选地存储在设备中。由此产生的对(X，K)例如可在以后由配置方或置信第三方用来与设备可靠地通信。适当的时候，考虑信任模型、结果表示X和/或相应的配置安全性数据K可由置信网络运营者来管理。结果表示X可根据从验证和密钥协定程序得到的会话密钥从运营者安全地传递到设备、如移动电话或者与运营者关联的类似网络设备。
或者，加密表示X已经在配置期间存储在设备中。除非K在设备的使用过程中被内部限制，否则有权访问设备及存储的触发数据X的对手可能掌握设备密钥K。因此，内部产生的设备密钥K在设备的使用过程中绝不会显示到电路外部，而是仅在电路内用于所需的任何安全性操作。这意味着，加密表示X可存储在例如设备中的PROM中，同时敏感的设备密钥K将抵抗对手通过对设备以及对电子电路的编程接口的访问进行的破解。可选地，如果信任模型允许这样，则X甚至可受到用户的保护，使得必须执行通过密码或PIN的验证，才能够取回X以输入到电子电路中，可选地，连同在需要特殊验证码之前有限次数的尝试。
总之，图6所示的电路涉及两个不同阶段中的若干层操作在配置阶段，以设备密钥K的形式的配置数据采用算法E来加密。此后，在设备的使用过程中，加密的结果表示采用算法D来解密，然后，所得设备密钥示例被用作安全性相关操作的输入，诸如加密信息解密为明文、数据源验证、消息完整性保护等或者这些安全性操作的组合，如本领域的技术人员清楚的那样。可选地，操作D可结合对于信任模型敏感的未加密安全性相关功能性，例如应当只可用于授权方并因此保持在电路内的数据的管理。DRM对此提供了一个特定实例，其中，可能要求优质明文内容(诸如文本、音频和视频)保持为保密的，但允许更低分辨率的副本到达呈现设备。
因此，安全性相关操作可配置用于根据与设备密钥K有关的信息控制的可选地降低分辨率或可选地执行D/A转换等等。
以上程序无疑可扩展到多对(K，X)和/或多个秘密C。同样，C的实际值一般不是相干的，只要它不为任何未经授权方所知。
还应当理解，能够在配置阶段在电子电路中内部产生配置安全性数据，稍后结合图12进行说明。
图7是图6的电路的一个具体实施例的示意框图，其中具有采用附加输入密钥的进一步的安全性增强。为了进一步增强图6的防篡改电子电路的安全性，可采用附加输入密钥，如图7所示。与图6相似，在配置过程中，例如在制造时，设备制造商或其它配置方采用单元15中实现的算法E以及密钥C对安全性数据K1加密。所得到的加密输出X1可在配置期间存储在设备中，或者安全地传送到设备，然后再输入到单元13中实现的相关解密算法D1。附加安全性数据K2也可被产生并在内部限制于电子电路10以内。安全性数据K2的加密表示X2最好提供给设备，用作电子电路10的输入。K2最初可由设备制造商或其它配置方例如结合K1的加密来产生。或者，K2最初可由第三方、例如希望将数字数据安全地分发给设备的内容提供者或分发者来产生。在这种情况下，内容提供者将K2表示为X2，其方式是，对K1的内部存取对于内部再生K2是必要的，例如，如果K1为私钥，则X2为密钥K2的相应公钥加密。私钥可以是设备制造商的私钥，并且不需要为用户所知。公钥可能例如可从公钥基础设施的认证机构得到。内容提供者则将X2分发给设备。相关的解密算法D2在电子电路的单元14-1中实现，用于通过内部产生的K1对所接收的加密输入X2解密。通过将X1、X2和所接收的数据cip输入相关电路接口，可得到根据单元14-2中实现的安全性算法D’、从设备制造商或第三方、如内容提供者接收的数据的解密(或其它安全性操作)，从而得到明文cle。
在配置过程中可选地允许对安全性数据的外部访问图8是根据本发明的另一个优选实施例、配备了允许对所产生安全性数据的外部访问的设备访问码功能性的防篡改电子电路的示意框图。如前面所述，触发数据或者可能是简单的籽数，例如现时标志、绑定身份或类似数据，它最初在配置设备期间施加到电子电路，用于根据存储的秘密C和输入触发数据R产生设备特定安全性数据B。例如，R可以是随机位串和/或某个唯一的设备身份。加密引擎13最好通过采用秘密C和触发数据R作为输入的加密单向函数f的近似来实现。例如，加密单向函数可以是采用C作为密钥的输入数据R的密钥式MAC(消息验证码)，参见[7，8]。
除了用于保持秘密C的基本存储单元12、加密引擎13和安全性相关操作14之外，图8所示的防篡改电子电路10还包括控制器16和开关设备17，用于在配置期间有选择地迫使电子电路通过外部电路接口输出设备特定安全性数据B。控制器16最好是响应所谓的设备访问码(DAC)而工作，并且当DAC在配置阶段施加到电路时闭合开关17，以使设备特定安全性数据B在电路外部可用。例如，DAC可由电路制造商在授权程序中提供给设备制造商或其它配置方，稍后将进行详细描述。如果在配置期间没有输入正确的DAC，则开关17常开，以及设备特定安全性数据B仅在适当的内部接口可用，从而绝不会离开电子电路10。在配置之后，甚至可能希望禁用控制器16，以便确保对手采用对设备的物理访问无法通过在尝试掌握设备特定安全性数据时测试不同代码来攻击电路10。
例如，配置可在制造过程中执行，其中，设备制造商将电子电路、例如从IC制造商接收的IC插入特定设备。通过使用所实现的加密函数f，可得到设备特定安全性数据。在受控环境中，设备制造商输入某个数据R，作为到电路的加密引擎中实现的算法的输入，以便产生结果f(C，R)＝B，并且还施加预定DAC到控制器16，以便允许所得安全性数据B的外部输出。
在图8的实例中，设备制造商或其它配置方一般不能够选择设备特定安全性数据，但必须接受来自单向函数f的任何内容，而在图6和图7的实例中，配置方自由选择设备特定安全性数据。
对(R，B)可在以后、例如在设备已经出售给用户之后由设备制造商或其它配置方、或者设备配置方信任的第三方用来与设备安全地通信。设备特定安全性数据B可用来保护通信安全，例如作为对称加密算法或消息验证码中的密钥。在使用过程中，设备需要触发数据R在电子电路10中内部重新创建B。例如，如果R等于密钥协定程序、例如GSM AKA(验证和密钥协定)或UMTS AKA中的RAND，则所得设备特定安全性数据将为AKA会话密钥。
触发数据R可在制造和/或配置过程中存储在设备中，或者在建立安全通信之前提供。虽然高保密性是更可取的，但触发数据R不一定需要保持保密，因为只有通过对正确的电子电路的存取，才会产生相关安全性数据B，并且在设备的使用过程中，安全性数据B从未离开电路。但是，R最好受到完整性保护，例如采用B或者通过某种带外机制，以防止例如通信、处理中的干扰和/或拒绝服务攻击。
特定应用的一个实例可能是拥有/管理通过不可靠网络进行通信的多个网络节点的公司。例如，节点/设备可能是移动网络中的无线电基站、耗电计量设备、自动饮料/食品售卖机，所有这些都配备了具有图8的整体结构的电子电路。在由公司的委托人员进行的节点配置过程中，多个节点特定密钥B由制造商响应一个或多个输入数字R、采用一个或多个DAC从电路中提取安全性数据来产生。在使用过程中，输入数字R被分发(最好受到完整性保护)给网络节点(或者在制造/配置过程中存储在其中)，并输入到相应的电子电路，以便产生节点特定密钥B。一旦秘密密钥B在所涉及的节点之间安全共享，则安全通信可通过采用B的任何传统的加密协议来建立。
多个对(R，B)可被产生和/或多个秘密C可被实现，例如以便允许撤消某个安全性数据或者区分通信双方。
在另一个特定实例中，对(R，B)可构成绑定身份绑定密钥对。涉及绑定身份绑定密钥对的产生的信任委托的一个实例是称作普通信任委托(GTD)协议的协议。提供对GTD协议的基本概述可能是有用的。GTD协议中的信任的建立和委托的机制基于以下假设通常为设备制造商的一方P1以及通常为关联设备的一方P2共享(对称)秘密。该协议利用以下事实设备制造商P1通常已经将秘密设备密钥分配给设备P2，其设备密钥在设备中受到适当保护。与P1具有信任关系的第三方P3希望与P2安全地通信。作为主要组件，GTD协议包括基本请求-应答协议，其中，P3向P1请求用于与P2安全通信的绑定密钥。P1方产生对于对P2和P3唯一的绑定身份。然后，P1方根据绑定身份以及P1与P2共享的秘密、最好通过采用加密单向函数来得出绑定密钥。绑定密钥通常与绑定身份一起从P1安全地发送到P3(安全性基于从P1与P3之间的现有信任关系得到的密钥)。由于P2知道P1与P2之间的共享秘密，因此P2方也可在给定上述绑定身份时计算相同的绑定密钥。后者一般不是保密的，并且可从P1或P3发送到P2。因此，P2和P3则可采用绑定密钥安全地通信。当然，不是设备特定密钥本身，从中得到的另一个密钥可用于双方来计算绑定密钥。在这种程序中，P1因此以P2与P3之间的绑定密钥的形式对P3“授予信任”。
设备制造商根本不需要将设备特定密钥(或者更一般的实体密钥)透露给其它任何一方，因为不需要将设备特定密钥传送到设备和设备制造商(或其它设备配置方)的外部。另外，GTD协议不要求单个第三方被所有设备制造商信任。
未知的秘密根本不必离开制造商的领域，除了在设备的电子电路内的受保护区域中之外，其中(电路)制造商在制造过程中存储了秘密。因此，与先有技术相比，制造商具有更多可能性以及所有动机使秘密保密。
产生私钥和/或不对称密钥对图9是根据本发明的又一个优选实施例、响应触发数据、有选择地产生私钥/不对称密钥对的防篡改电子电路的示意框图。在图9中，适当的附加输入、如素数、数学群的生成元、现时标志和/或PIN码可在设备的配置过程中，或者在制造的配置阶段或者在用户配置过程中施加到电路，用于产生不对称密钥对(A，PA)以及用于通过外部电路接口输出公钥PA。在设备的使用过程中，只要通过外部电路接口施加了相同附加输入的至少一部分作为触发数据，则对应的私钥A在内部再生。内部产生的私钥A则可用于PKI(公钥基础设施)操作、如加密/解密和验证。
图10是为生成私钥和公钥而实现的图9的电路的一个具体实施例的示意框图。下面考虑基于离散对数的密码术的示范情况。例如，能够在以具有生成元G的大素数P为模的整数的乘法群上采用离散对数问题。从1，...，P-2中随机选取的整数可用作私钥。如图10所示，将指定这个数字A，它可能与未知芯片秘密号C相同或者从芯片秘密与可选输入中得出。如前面所述，数字A隐藏在电子电路内，并且应当无法提取，A的任何信息(除不重要的之外)也不可提取。
加密引擎13基于用于至少根据秘密C产生密钥A的一般函数Z。大素数P可以可选地输入引擎13，它则必须产生适当的A。生成元G也可以被输入，但电路则应当最好检查G是否为该群的生成元。例如由设备制造商产生的现时标志也可以可选地输入电路，用于产生密钥A。
应当还能够从电路产生并输出相应的公钥PA，这可能例如是GAmod P和/或其它信息、如G或P。加密引擎13则也可包括用于最好根据P、G和A产生这个公钥PA的一般函数Y。公钥应当以验证方式分发给相关通信合作方，使得它可被安全使用，其中更多内容将在稍后进行描述。电子电路10可执行一个或多个公钥操作D’，例如基于私钥A的加密或数字签名功能。特定实例是ElGamal加密和ElGamal签名。
在电路制造过程中，未知秘密C易于产生并存储在电路10(如IC)中，以及采用图10所示的新功能性，因此能够产生不对称密钥对，不对称密钥对可由其中设置了IC的设备用于安全通信。
这种公-私钥对的另一种用法是共享密钥生成，如图11中示意说明。例如，对于Diffie-Hellman共享密钥生成，设备公钥PA＝GAmod P与通信合作方公钥PB＝GBmod P交换，其中B是相应的私钥。PB被馈入电路10中的共享密钥生成单元14-3，以及计算共享秘密GABmodP。可选的随机现时标志也可与共享秘密共同用于算法中，以便保证新鲜度及限制私钥信息的泄露。结果是共享秘密密钥KAB，它不是外部可获得的。所建立的密钥则可用于安全性相关操作D’，例如在单元14-2中实现的加密信息CIP到明文输出CLE的转换。
更一般来说，如果A是不对称加密方案中具有相应公钥PA的私钥，则对于在防篡改电子电路中受保护的A，本发明还包含以下情况通过公钥PA加密的对称密钥K被解密和用于电路中，并且没有暴露在电路外部，与前面的实例相似。
根据用法，私钥可用作设备密钥。可选地，相应的公钥可由设备制造商证明，稍后将进行阐述。
在一个备选实施例中，用户产生私钥，不一定直接从芯片秘密中得出。例如，加密引擎13可采用伪随机数生成器来实现，它采用芯片秘密作为籽数可迭代多次，可能与某种附加输入一起产生私钥。如前面实例中那样，私钥可隐藏在电子电路中，以及相应的公钥可用于外部。
可选地，附加现时标志可由用户在生成密钥期间插入。作为替代或者作为补充，在PIN或密码是在电路内部产生私钥所必需的意义上，PIN(个人标识号)或映射为数字的密码可以是现时标志或现时标志的一部分，从而允许用户验证。
可与以上方法结合使用的又一个选项是采用加密算法E和芯片秘密C’对如上述情况之一中产生的私钥加密，并输出加密的私钥X，如图12所示。与图9-11的实施例相似，图12所示的防篡改电子电路10包括存储单元12-1、用于产生不对称密钥对的加密引擎13以及安全性相关操作14。但另外，图12中的电路10还包括实现算法E的加密单元15、用于附加秘密C’的另一个存储单元12-2以及用于对加密私钥解密的解密单元13-2。这实际上是图9或图10的实现和图6的实现的混合，但是，其中所谓的配置设备特定密钥、在此为私钥A、是响应可选输入数据而在内部产生的，然后再加密为结果表示X。当私钥需要在整个设备的使用过程中用于电子电路内时，X经由特殊接口插入解密单元13-2，然后再由D根据C’进行解密。内部产生的私钥A随后可用于算法D’中。可选地，X可受到密码保护，或者要求其它用户验证。
虽然图10-12中所示的实现基于离散对数，但应当理解，产生不对称密钥对的其它方案也是可行的。
对电路功能的使用进行授权如前面简要提到的，可能是为了电路制造商的利益而迫使设备制造商或其它配置方仅在经过电路制造商这样授权之后才可采用防篡改电子电路。另外或者作为替代，根据信任模型，设备制造商可能希望对应当有权访问电子电路的功能的(其它)各方(如果有的话)进行授权。这可通过根据验证过程“调节”电子电路中的某些操作来实现。这类操作可以是例如对某些算法的值C的存取，以及甚至是可能还包含C的某些值从电路的输出。验证过程可以是简单的维护/用户密码，但最好涉及安全验证机制，诸如Fiat-Shamir协议[9]或其它零知识协议。
图13是采用验证协议和相关联的设备访问码(DAC)管理器/控制器实现的电子电路的一个实施例的示意框图。为简洁起见，在图13中仅说明与验证和设备访问码相关的电路的那些部分。现在给出用于提供设备访问码的验证程序的一个实例。验证协议18、如Fiat-Shamir协议最好在电子电路10中实现。这使电子电路10能够根据电路10中实现的公钥PK来验证设备制造商或其它配置方。设备制造商或其它配置方采用编程站110将通过私钥SK签署的信息传送到电子电路10，用于在验证协议单元18中根据相应公钥PK进行检验。这显然暗示，公钥PK必需已经在电路制造过程中输入电子电路10。设备制造商或其它配置方通常产生不对称密钥对(SK，PK)，并为电路制造商提供公钥PK或这类公钥的列表。公钥无疑是公开信息，并且不要求附加安全性管理。另外，电子电路10还配备了DAC管理器/控制器16。询问R从编程站110输入到DAC管理器16。例如，R可以是随机数，包含设备身份的信息或者是这种信息的散列值。如果先前验证成功，如来自验证协议单元18的信号所表明，则DAC管理器16例如通过采用MAC函数产生响应S。响应S则由电子电路10传送到编程站110。对(R，S)构成设备访问码DAC，它随后可由已授权方用来获得对某些电路功能的访问权。例如，DAC可由设备制造商或其它配置方用于在设备配置过程中使设备特定安全性数据在外部电路接口上可用，如前面在图8中举例说明的。
给定适当的信任模型，例如设备制造商可对置信第三方提供/许可DAC。DAC还可用来对设备“重新编程”，例如用新数据替换受损的安全性数据。
如图14所示，电子电路还可配置用于禁止对存储的秘密和/或设备特定安全性数据的内部访问，除非预定设备访问码DAC被输入电子电路。例如，这可通过在从存储单元12到加密引擎13的信号通路中和/或在从加密引擎13到安全性相关操作14的信号通路中设置开关来实现。开关通常由DAC管理器/控制器16来控制，它响应设备访问码(R，S)而工作。例如，DAC管理器16可通过计算密钥式MAC将所接收的R值映射成预期的响应S’S’＝MAC(R，C)，然后再比较所接收的响应S与所计算的预期响应S’，以便检验设备访问码(R，S)。缺省时，开关是开路的，禁止对电路功能的访问。一旦正确的设备访问码被输入及检验，则DAC管理器/控制器16闭合开关，从而允许对电路功能的访问。
这样，就能够确保只允许授权方、如设备制造商和/或受信任具有设备访问码的其它方使用存储的秘密来产生设备特定安全性数据和/或使用安全性数据本身。
以上用于基于验证提供对电路功能的条件访问的机制是本发明的总体特征，并且可适用于本申请中给出的实例的任一个。
绑定密钥的分级结构以上公开的GTD协议也可迭代地应用，产生一系列共享绑定密钥。基本GTD协议以共享秘密密钥的双方开始，以及以与第三方共享另一个秘密密钥的初始方之一结束。该程序可迭代地反复进行，其中涉及第四方，它在协议的第二次应用之后，具有与先前各方之一的共享秘密密钥，对于更高次迭代依此类推。
已经认识到，迭代GTD协议也可完全在防篡改电子电路中实现，如图15所示。加密引擎13这时包括加密单向函数f的多个示例，用于响应相应的绑定身份R1，...，Rk，根据下列公式产生一系列k个绑定密钥B1，...，BkBi＝f(Bi-1，Ri)，对于i＝1，...，k其中B0＝C。
第一绑定密钥B1通常由设备制造商或其它配置方在设备的配置过程、例如在制造过程的配置阶段中，通过将正确的设备访问码DAC输入DAC控制器16来推算。一旦正确的DAC经过控制器16检验，则开关17闭合，以便允许第一绑定密钥B1输出到电子电路10的外部。如果没有输入正确的DAC，则绑定密钥在电路外部不可用。
通过提供绑定身份序列，设备随后可计算相应的绑定密钥，以及最后执行安全性操作，例如通过解密算法D’将加密数据CIP解码为明文输出CLE。绑定密钥在内部限制于电路10以内，并且无法通过外部IC接口由不知道设备访问码的第三方进行传送。通过这种实现，攻击者通过对设备的物理存取最多能够对给定加密消息解密，但无法得到对实际绑定密钥的访问权。
因此，我们在没有电路制造商与设备制造商之间的任何安全性管理的情况下已经建立仅在电子电路内可用的设备特定密钥的整个集合(Bi，i＝1，...，k)。
在图15的实现中，绑定身份R1，...，Rk被“并行”插入。或者，绑定密钥可通过“迭代”实现来产生，如图16中示意说明。在图16的实例中，绑定身份R1，...，Rk与表示所需迭代的数量的数值k一起被“顺序”插入，例如串联到IC输入接口。电子电路10中的内置算法则将函数f迭代由插入数值k表示的次数，相继处理相关输入(Bi＝f(Bi-1，Ri)，其中i＝1，...，k，并且其中B0＝C)，从而将Bk输出到操作D’或其它任何适当的安全性相关操作或算法。通过这种修改，可对于D’的受保护使用产生任何中间绑定密钥。如前面所述，DAC可被输入以便提供对初始绑定密钥的外部访问。
管理安全性数据以包括置信第三方下面将重点更多地放在置信第三方想要与设备安全地通信、其中具有或没有涉及/置信的用户时如何处理安全性管理。
涉及/置信的用户是一般情况，不需要进一步说明。但是，在DRM设定中，用户不象前面所述那样是置信的。在其它设定中，也许在正常操作中没有用户，例如在设备独立运行的情况下。在涉及第三方的所有情况中，第三方必须存取某种信息，以便能够确保与预期设备的安全通信。这种信息可以例如是由置信和授权方担保的设备的对称密钥，或者是用来验证通信实体的设备制造商签署的设备公钥证书。下面更详细说明两个实例。
对第三方的对称密钥委托考虑图8的实例。作为特定示例，(R，B)可能是“绑定身份”-“绑定密钥”对，简单地称作“绑定对”，如基本GTD协议中那样。因此，一个或数个绑定对在例如在设备制造时的配置过程中产生，并由配置方、如设备制造商存储。通过带外配置，置信第三方以安全方式被委托这个特定设备的一个或数个绑定对，然后可通过引用/提供绑定身份与设备安全地通信。
迭代GTD协议可类似地实现，以便允许置信方进一步把信任给予可与设备安全地通信的各方。
或者，所选对称密钥K可如结合图6所述来使用，以及对(X，K)可按照与以上(R，B)同样的方式使用，以便允许置信第三方建立到设备的安全通道。
公钥基础设施再次考虑图6举例说明的结构。现在假定K为不对称密钥、如私钥。以下操作可在特定安全位置、例如在制造过程中在设备制造商处执行私有设备解密密钥K可与设备制造商的私有签名密钥签署的公开加密密钥证书一起产生。后一种密钥还具有置信方、如公钥基础设施(PKI)的认证机构(CA)签署的相应公钥证书，并可用于相关方进行存取，参见[8]。密钥K被馈入电子电路，以便产生相应的X，它可存储在设备中。随后，私钥K可在设备制造商的域中完全擦除，从而防止任何未经授权的使用。公开加密密钥证书可设置在公众可用的证书库中。有权访问公钥的任何人以后可执行与此设备有关的数据的加密。私有解密密钥仅在电子电路中短时间存在。
情况与数字签名完全相似，在以上段落中用“签名”代替“解密”，以及用“检验”代替“加密”，如熟悉此主题的人员已知的那样。
相似的程序适用于结合图9-12所述的实现。在那里，私钥已经可得到或者在电子电路中产生，以及相应的公钥在电路外部显示。因此，设备制造商或用户可证明/请求这个公钥的证明，然后第三方可使用证书来允许预期的安全性操作。
上述实施例仅作为实例给出，并且应该理解，本发明不限于此。保留了本文所公开并要求其权益的根本的基本原理的其它修改、变更和改进均处于本发明的范围之内。
参考文献[1]欧洲专利申请0753816A1，1997年1月15日公布。
美国专利No.6141756，2000年10月31日授权。
数字签名卡范围-用于进行电子商务的安全智能卡，GEMPLUS，2003年10月27日印制，摘自http//www.gemplus.com/products/dig_sign_cards_range。
PKI如何可降低与电子商务交易关联的风险，Cannady和Stockton，IBM，2001年2月1日。
数据安全性机制，2003年9月2日印制，摘自http//www.cardsnowindia.com/news/security1.htm。
开放世界的安全性，SKillteam，2003年9月2日印制，摘自http//www.common.lu。
HMAC，用于消息验证的键控散列，RFC 2104，IETF。
应用加密术手册，Menezes、van Oorschot以及Vanstone，第1、9及12章，CRC出版社。
美国专利No.4748668，1988年5月31日授权。
权利要求
1.一种用于在设备中实现的防篡改电子电路，所述防篡改电子电路包括-用于防篡改地存储通过外部电路接口不可访问的秘密的部件；-用于至少部分响应所述存储的秘密而执行加密处理、以便产生在所述设备的使用过程中在内部限制于所述电子电路内的设备特定安全性数据的示例的部件；以及-用于响应所述内部限制的设备特定安全性数据来执行安全性相关的操作的部件。
2.如权利要求1所述的电子电路，其特征在于，所述设备是网络设备，以及所述操作涉及网络通信中的数据保密性、数据完整性、验证、授权和认可其中的至少一项。
3.如权利要求1所述的电子电路，其特征在于，所述设备被配置用于产生数字内容，以及所述安全性相关操作被配置用于根据所述设备特定安全性数据标记所述数字内容。
4.如权利要求3所述的电子电路，其特征在于，所述操作被配置用于产生嵌入所述数字内容的设备特定指纹。
5.如权利要求1所述的电子电路，其特征在于，用于执行加密处理的所述部件被配置用于在预定触发数据形式的附加输入数据在所述设备的使用过程中通过外部电路接口施加时产生所述设备特定安全性数据，其中所述触发数据在所述设备的配置过程中定义。
6.如权利要求5所述的电子电路，其特征在于，所述触发数据在所述设备的制造过程中的配置阶段定义。
7.如权利要求5所述的电子电路，其特征在于，所述触发数据根据在所述设备的配置过程中提供的配置设备特定安全性数据来定义，以及所述电子电路还包括-用于根据所述存储的秘密和所述配置设备特定安全性数据在所述设备的配置过程中产生作为所述配置设备特定安全性数据的加密表示的所述触发数据的部件；-用于在配置过程中通过外部电路接口输出所述加密表示的部件；以及-用于只要所述附加输入对应于所述加密表示、就在所述设备的使用过程中内部再生所述设备特定安全性数据的部件。
8.如权利要求7所述的电子电路，其特征在于，通过外部电路接口提供所述配置设备特定安全性数据。
9.如权利要求7所述的电子电路，其特征在于还包括用于在所述设备的配置过程中、至少部分根据所述存储的秘密、内部产生所述配置设备特定安全性数据的部件。
10.如权利要求9所述的电子电路，其特征在于，用于内部产生所述配置设备特定安全性数据的所述部件包括用于至少部分根据所述存储的秘密产生私钥的部件，以及所述触发数据在所述设备的配置过程中作为所述私钥的加密表示来产生。
11.如权利要求1所述的电子电路，其特征在于还包括用于只要预定设备访问码被输入所述电子电路、就在所述设备的配置过程中使所述设备特定安全性数据通过外部电路接口可用的部件。
12.如权利要求1所述的电子电路，其特征在于还包括用于在没有预定设备访问码被输入所述电子电路时、禁止对所述存储的秘密和所述设备特定安全性数据中至少一个的内部访问的部件。
13.如权利要求11或12所述的电子电路，其特征在于还包括-用于所述设备的制造商的验证的部件；-用于在设备制造过程中响应成功的验证而向所述设备制造商提供所述设备访问码的部件。
14.如权利要求13所述的电子电路，其特征在于，所述设备访问码根据来自所述设备制造商的询问以及所述存储的秘密作为询问-应答对提供。
15.如权利要求1所述的电子电路，其特征在于，用于根据所述限制的设备特定安全性数据来执行安全性相关操作的所述部件包括-用于根据所述设备特定安全性数据和其它外部输入数据执行附加加密处理以产生其它安全性数据的部件；以及-用于响应所述其它安全性数据来执行所述安全性相关操作的部件。
16.如权利要求15所述的电子电路，其特征在于，所述设备特定安全性数据表示私钥，以及所述其它外部输入数据表示所述其它设备特定安全性数据通过相应公钥的加密。
17.如权利要求16所述的电子电路，其特征在于，所述其它安全性数据表示内容提供者发放的对称内容解密密钥，以及所述设备特定安全性数据表示设备制造商的私钥。
18.如权利要求1所述的电子电路，其特征在于，用于执行加密处理以产生设备特定安全性数据的所述部件被配置用于响应通过外部电路接口施加的籽数而产生对称加密密钥。
19.如权利要求1所述的电子电路，其特征在于，用于执行加密处理以产生设备特定安全性数据的所述部件被配置用于至少部分根据所述存储的秘密产生私钥，以及用于执行安全性相关操作的所述部件包括用于根据所述内部限制的私钥来执行不对称加密操作的部件。
20.如权利要求19所述的电子电路，其特征在于还包括用于在所述设备的配置过程中产生与所述私钥对应的公钥的部件，以及用于通过外部电路接口输出所述公钥的部件。
21.如权利要求19所述的电子电路，其特征在于，所述对应公钥是在所述设备的配置过程中响应所述秘密和附加输入数据而产生的，以及用于执行加密处理以产生所述私钥的所述部件可用于只要在所述设备的使用过程中通过外部电路接口施加所述相同附加输入数据的至少一部分，就内部再生所述私钥。
22.如权利要求19所述的电子电路，其特征在于还包括-用于根据所述产生的私钥和预期通信合作方的公钥来执行共享密钥生成以产生新的共享密钥的部件；以及-用于根据所述新的共享密钥执行加密处理的部件。
23.如权利要求1所述的电子电路，其特征在于，在所述设备的配置过程中定义多个单独的触发数据信号，每个触发数据信号与相应的独立设备特定安全性数据关联，以及用于执行加密处理的所述部件被配置用于只要在所述设备的使用过程中通过外部电路接口施加所述关联触发数据，就产生具体的设备特定安全性数据。
24.如权利要求23所述的电子电路，其特征在于，所述电子电路可用作多用户身份模块，以及所述安全性相关操作包括验证和密钥协定。
25.如权利要求23所述的电子电路，其特征在于，所述电子电路可用作多信道解码器，以及所述安全性相关操作包括信道解码。
26.如权利要求1所述的电子电路，其特征在于，用于加密处理的所述部件可用于响应相应的绑定身份R1，...，Rk，根据下列公式产生作为一系列的k个绑定密钥B1，...，Bk的所述设备特定安全性数据Bi＝f(Bi-1，Ri) 对于i＝1，...，k，其中B0表示所述存储的秘密，以及f为加密单向函数。
27.如权利要求1所述的电子电路，其特征在于，所述电子电路是集成电路(IC)。
28.一种采用防篡改电子电路实现的设备，所述电子电路包括-用于防篡改地存储通过外部电路接口不可访问的秘密的部件；-用于至少部分响应所述存储的秘密而执行加密处理以产生在所述设备的使用过程中在内部限制于所述电子电路内的设备特定安全性数据的示例的部件；以及-用于响应所述内部限制的设备特定安全性数据来执行安全性相关操作的部件。
29.如权利要求28所述的设备，其特征在于，所述设备是网络设备，以及所述操作涉及网络通信中的数据保密性、数据完整性、验证、授权及认可其中的至少一项。
30.如权利要求28所述的设备，其特征在于，所述设备被配置用于产生数字内容，以及所述安全性相关操作被配置用于根据所述设备特定安全性数据标记所述数字内容。
31.如权利要求28所述的设备，其特征在于，用于执行加密处理的所述部件被配置用于只要在所述设备的使用过程中通过所述电子电路的外部电路接口施加预定触发数据形式的附加输入数据，就产生所述设备特定安全性数据，其中所述触发数据在所述设备的配置过程中定义。
32.一种用于设备的安全性数据的管理的方法，所述方法包括以下步骤-在防篡改电子电路的制造过程中，在受控环境下，在所述电子电路中存储秘密随机数，使得所述秘密数在所述电子电路的外部不可用；-在电路制造过程中，在所述电子电路中实现用于至少部分根据所述存储的秘密数执行加密处理以产生在所述设备的使用过程中在内部限制于所述电子电路内的设备特定安全性数据的功能性；-在电路制造过程中，在所述电子电路中实现安全性相关操作，所述安全性相关操作被配置用于在所述设备的使用过程中接收至少所述内部限制的设备特定安全性数据作为输入；以及-在设备制造过程中，将所述电子电路安装到所述设备中。
33.如权利要求32所述的方法，其特征在于，所述设备是网络设备，以及所述操作涉及网络通信中的数据保密性、数据完整性、验证、授权及认可其中的至少一项。
34.如权利要求32所述的方法，其特征在于，所述设备被配置用于产生数字内容，以及所述安全性相关操作被配置用于根据所述设备特定安全性数据标记所述数字内容。
35.如权利要求32所述的方法，其特征在于还包括以下步骤在所述设备的配置过程中提供以后在所述设备的使用过程中要施加的触发数据，以便能够在所述电子电路内产生所述设备特定安全性数据。
36.如权利要求35所述的方法，其特征在于还包括将所述触发数据从设备配置方安全地传送到所述设备的步骤。
37.如权利要求35所述的方法，其特征在于还包括以下步骤-在设备配置过程中，在受控环境下，将所述触发数据作为输入数据输入所述电子电路，以便从所述电子电路的加密功能性得到设备特定安全性数据；-在设备配置过程中，在受控环境下，记录所述设备特定安全性数据和所述输入数据；以及-在设备配置过程中，在受控环境下，将预定设备访问码输入所述电子电路，用于通过外部电路接口访问所述设备特定安全性数据。
38.如权利要求37所述的方法，其特征在于，所述设备特定安全性数据可由所述配置方或置信第三方用于涉及所述设备的安全性相关操作，所述电子电路需要所述输入数据以在内部再生所述设备特定安全性数据。
39.如权利要求35所述的方法，其特征在于还包括以下步骤-在设备配置过程中，在受控环境下，产生设备特定安全性数据；-在设备配置过程中，在受控环境下，将所述产生的设备特定安全性数据输入所述电子电路，以便从所述电子电路的加密功能性得到作为结果表示的所述触发数据；以及-在设备配置过程中，在受控环境下，记录所述结果表示以及先前产生的设备特定安全性数据。
40.如权利要求39所述的方法，其特征在于，所述设备特定安全性数据可由所述配置方或置信第三方用于涉及所述设备的安全性相关操作，所述电子电路需要所述结果表示以在内部再生所述设备特定安全性数据。
41.一种用于维护涉及网络设备与外部通信合作方之间的网络通信的数据安全性的方法，其中，所述网络设备包括防篡改电子电路，所述电子电路具有所述电子电路外部不可访问的存储秘密，以及所述方法包括以下步骤-至少部分根据所述存储的秘密在所述电子电路中执行加密处理，以便产生在内部限制于所述电子电路内的设备特定安全性数据的示例；以及-根据所述内部限制的设备特定安全性数据在所述电子电路中执行涉及所述网络设备与所述通信合作方之间网络通信中的数据安全性的操作。
42.如权利要求41所述的方法，其特征在于，所述操作涉及数据保密性、数据完整性、验证、授权及认可其中的至少一个。
43.如权利要求41所述的方法，其特征在于还包括以下步骤在所述网络设备的使用过程中通过所述电子电路的外部电路接口施加预定触发数据，以便能够内部产生所述设备特定安全性数据，其中，所述预定触发数据在所述网络设备的配置过程中定义。
44.如权利要求43所述的方法，其特征在于，所述触发数据在所述网络设备的制造过程中的配置阶段定义。
45.一种用于标记内容产生设备所产生的数字内容的方法，其中所述内容产生设备包括防篡改电子电路，所述电子电路具有所述电子电路外部不可访问的存储秘密，以及所述方法包括以下步骤-至少部分根据所述存储的秘密在所述电子电路中执行加密处理，以便产生在内部限制于所述电子电路内的设备特定安全性数据的示例；以及-根据所述内部限制的设备特定安全性数据在所述电子电路中执行所述数字内容的内容标记。
46.如权利要求45所述的方法，其特征在于，所述执行内容标记的步骤包括产生嵌入所述数字内容的设备特定指纹的步骤。
全文摘要
本发明涉及配置用于在设备(100)中实现的防篡改电子电路(10)。电子电路(10)在设备(100)的操作过程中安全地实现及利用设备特定安全性数据，以及基本上配备了通过外部电路接口不可访问的防篡改存储的秘密(C)。电子电路(10)还配备了至少部分响应存储的秘密而执行加密处理以产生在设备(100)的使用过程中在内部限制于所述电子电路(10)内的设备特定安全性数据的示例的功能性(13)。电子电路(10)还配置用于响应内部限制的设备特定安全性数据来执行一个或多个安全性相关的操作或算法(14)。这样，可有效地实现为安全性目的对设备特定安全性数据的安全实现和利用。安全性没有受到损害，因为存储的秘密(C)在电子电路外部绝对不可用，以及设备特定安全性数据在设备的使用或操作过程中在内部限制于电路内。
文档编号G06F21/00GK1708942SQ200380102111
公开日2005年12月14日 申请日期2003年10月27日 优先权日2002年10月31日
发明者B·斯米特斯, G·塞米德, P·-O·纳布兰特 申请人:艾利森电话股份有限公司