专利名称:在相对非可靠的存储媒体上安全地存储高度机密信息的方法和装置的制作方法
技术领域:
本发明涉及一种在相对非可靠的存储媒体上安全地存储高度机密信息的方法和装置。
在计算机系统中,经常有必要存储高度机密的信息(例如信用卡号码或加密密码等)。但是,按照非保密的方式存储这样的高度机密的信息,就有可能更改或窃取这些信息,把对计算机系统的存取仅限于受委托的人,并且在计算机系统上仅运行被认可的程序就是对这个问题的一种解决方法,然而这是不现实的。有供第三者使用的计算机系统,并且这种系统除那些第三者使用之外,保持相对无效的状态。例如在像交互式电视系统这样的多媒体系统中,用户解码器将存储高度机密的用户信息,但是又必须可以用来运行由不知道的第三者所写的程序。
一种交互式电视应用由视频部分、音频部分和计算机程序部分组成,这种交互式电视应用是通过发自中心广播台的复合信号而被播送到远处的收视位置,每个收视位置都有一个接收机/解码器,用来检测并提供复合的交互式电视应用信号,再把该信号分离成视频、音频和计算机程序部分,产生电视接收机要求的视频和音频信号,并且执行与观众对话的计算机程序。每一个解码器还有一个电话接口,可以在计算机程序的控制下(并经用户认可)参与数据呼叫以便把信息发送到远处的收视位置或接收来自收视位置的信息(包括要执行的计算机程序代码)。
一个所考虑的交互应用就是一个选购过程,当观众点播节目的时候,就用保密的方式把事先输入到解码器之中的观众的信用卡号码(经用户认可)发送到选购节目提供器,这样,就必须把用户的信用卡号码存储到解码器内。然而,也能够通过广播或电话网装载计算机程序,这就可以窃取观众的信用卡号码或别的高度机密信息,并经电话网把它转播给第三者。
一种安全地保持高度机密信息的方法需要硬件连接到计算机系统上,以便在任何公用部分和要存储高度机密信息的部分之间提供一个缓冲器。但是,硬件的解决方案是昂贵的,在交互式电视系统中,是一个主要的问题,作为一种消费产品,成本是极为敏感的。因此,在这种系统中所适用的可靠的硬件的总量要被设计得包含并保护最小信息量。但是,可能会有大量的必须被保护而不被窃取的高度机密的信息,这就要求相对较大量的高度机密的信息不被更改或窃取,而又不需要大量昂贵的可靠的硬件。
按照本发明的原理,在包括相对可靠的存储媒体和相对非可靠的存储媒体上的计算机系统内安全地存储高度机密信息的方法由下述步骤组成。用加密密码把高度机密信息加密;把经加密的高度机密信息存储在相对较不可靠的存储媒体上,并且把加密密码存储在相对可靠的存储媒体上。
在计算机系统内存储高度机密的信息的装置包括存储有加密密码的相对可靠的存储媒体以及相对非可靠的存储媒体,一个加密器用加密密码对高度机密信息进行加密,并把经加密的高度机密信息存储在相对非可靠的存储媒体上。
附图简要说明
图1是与本发明有关的一个交互电视解码器的方框图;图2,图3和4是以方框图的形式和流程图的形式局部地说明与本发明有关的集合顶箱的运行图;图5是可以实现本发明的接收机的方框图。
图1是与本发明有关的一个交互式电视解码器的方框图,图1表示一种连接到一个智能卡20的集合顶箱10,智能卡20是一种小型装置,例如像信用卡那样大小,它被插入到集合顶箱10内的连接器30上。集合顶箱10包括以公知的经过系统母线110连接到RAM104、ROM106、EEPROM108以及I/O接口112的CPU102。该集合顶箱10还包括也连接到系统母线110的例如用来接收广播交互电视复合信号的另一个I/O接口(未示出),该符合信号用来产生提供给电视监视器和扬声器用的视频和音频信号,该接口经电视系统连接到一个远处的计算机,和/或连接到收视位置的一台固定的个人计算机。一个计算机系统设计技术领域的普通技术人员应该清楚如何设计和安装I/O提供这些服务的适配器以及如何把它们连接到系统母线110上。
智能卡20包括以公知的方式经过系统母线210连接到RAM204、ROM206、EEPROM208以及I/O接口212的CPU202。集合顶箱10内的I/O接口112通过连接器30到智能卡内的I/O接口212。
图2是以方框图的形式和流程图的形式局部地用来理解图1中的集合顶箱10和智能卡20的运行的图。在图2中凡是图1内所说明的部件都用与之相同的标号来标注,以下就不再详细描述。图2中所表示的线代表所说明的部件间的数据流向,并不表示各部件的物理连接。
参照图1,在运行中,集合顶箱10内的CPU102可以从RAM104、EEPROM108和输入口如I/O接口112中检索数据,并能处理这些数据,并把经处理过的数据存储到RAM104、EEPROM108中,或把经处理过的数据提供到输出口如I/O接口112,这都是按公知的方式在存储在ROM106内的程序的控制下进行的。参照图2,EEPROM108被划分为系统部分416和用户部分418,系统部分416包含与系统有关的信息420,用户有部分418包含与用户有关的信息;同样,RAM104被划分为系统部分424和用户部分426,系统部分424包含与系统有关的信息,用户部分426包含与用户有关的信息。
经广播或电话网(未示出)提供到集合顶箱10的交互程序是标记的形式,这种标记由集合顶箱10中的转换器以公知的方式进行转换,交互程序由一个或多个编码模块以及可能的一个或多个数据模块构成。参照图4,编码模块被存储在编码部分402内的RAM104中,数据模块被存储在数据部分404内。存储在ROM106中的转换器406由集合顶箱10内的CPU102来执行,并分别转换RAM104的编码部分402和数据部分404内的编码模块和数据模块。交互程序可以从数据部分404读出数据,处理这些数据,并在转换器406的控制下把经更改的数据块写入到数据部分404。转换器406还以公知的方式通过对硬件驱动器408的,也存储在ROM106内的程序呼叫与集合顶箱10内的硬件交互对话。
可以通过来自转换器406的程序呼叫进行存取的一组库存程序410被提供用作通用要求功能,仅通过对库存程序410的适当的呼叫就能分别达到智能卡I/O驱动器408A、EEPROM108以及RAM104,424和426的系统部分及用户部分。在把高度机密信息从任意来源返回到交互程序之前,该库存程序410可以被预先编程,以便征求和接收用户认可。该库存程序410大体上分别对于EEPROM108内存储的数据和RAM104,424和426的系统及用户部分起一个″软件狗″的作用。由于该库存程序410的这种″软件狗″的功能,就使EEPROM108和RAM104,424,426的系统部分以及用户部分分别是比RAM104,402,404的编码和数据部分相对更安全的存储媒体。另外,由于EEPROM108物理上是与RAM104分离的,所以,EEPROM108是比RAM104相对更安全的存储媒体。
再参照图1,智能卡20中的CPU202被编程,以便经I/O接口212接受来自集合顶箱10的数据,并且经I/O接口212把信息送回到集合顶箱10,这些运行都是在ROM204内存储的程序控制下进行的。仅仅这些已经编程到ROM204中的运行能由智能卡20内的CPU202来执行。例如在购买集合顶箱10的时候,就把唯一识别买主并起解密(和加密)密码作用的主密码通过I/O接口212提供到智能卡20,这个主密码是非常重要的机密信息。为了把该主密码存储在EEPROM208内,而把智能卡20中的CPU202进行编程。参照图2,可以把智能卡20内的EEPROM208划分为系统部分和用户部分。CPU202把主密码302存储在EEPROM208的系统部分。
再参照图1,当集合顶箱10通过广泛接收加密的数据,并必须进行解密时,经加密的数据就通过I/O接口212被送到智能卡20,智能卡20内的CPU202事先存储在EEPROM内的主密码302对经加密的数据进行解密,并把明文数据经I/O接口212返回到集合顶箱10。同样,CPU202要把经I/O接口212送来的明文进行加密,然后把经加密的数据经I/O接口212送回到集合顶箱10。由于为了把主密码302返回到集合顶箱10,并不把CPU202编程,所以,为了在集合顶箱10上运行程序更改或获得并窃取该主密码302是不可能的。该CPU202对于存储在智能卡20的数据来说起到一个″硬件狗″的作用,因此,是一个非常安全的存储媒体,比集合箱10内的EEPROM108或RAM104相对更加安全。
如上所述,集合顶箱10内的EEPROM108或RAM104不受智能卡20内的CPU202这种″硬件狗″保护的,而是经库存程序410以软件的形式来保护EEPROM108和RAM104。然而,由于EEPROM108和RAM104由软件来保护,所以,总是有可能由别的软件无意或有意地破坏其保护,交互程序借助于诱骗保护软件的方法有可能加快达到EEPROM108或RAM104,例如在浮动处理期间可以把不精确的数据送到一个程序装载器(未示出),或在执行程序期间有意识把该程序组(未示出)溢出,简而言之,软件保护可能被其他软件克服。
如上所述,最安全的存储媒体是智能卡20,其次是集合顶箱10内的EEPROM108,再其次是RAM104的系统部分412和用户部分414,安全性最差的是RAM104的编码部分402和数据部分404。为了保证高度机密信息的最低限度的安全性,就必须把它以与主密码302相同的方式存储在智能卡20内的EEPROM108中。然而,智能卡20内的EEPROM208的容量是有限的,而且可能有仅能存储极小量的高度机密信息(而不是主密码302)的空间,或者完全没有。同样,集合顶箱10内的EEPROM108的容量也是有限的,并且也可能有仅能存储有限量高度机密信息的空间,或者完全没有。这样,大多数高度机密的用户信息就必须存储在安全性最差的存储媒体RAM104内。
如上所述,为了存储比适用于智能卡20内更大量的高度机密信息,首先要用存储在智能卡20中的主密码302由智能卡20内的CPU202对该高度机密信息进行加密(使用例如数据加密标准或DES),然后可以把经加密的高度机密信息存储在安全性相对较低的EEPROM108内,或者存储在RAM104的系统部分412或用户部分414内。进一步,为了防止高度机密信息的更改,计算高度机密信息的密码校验总和,并附加在该信息上,例如使用一维密码复述函数,如众所周知的可适用的复述函数MD5(MD5可适用于盒式盘,来自Counterpane Systems,730Fair Oak Ave.,Oak Park Illinois,60302)。校验总和可以产生在明文信息上,或加密的信息上,或两者都有。在优选实施例中,校验总和是产生于经加密的信息上的,校验总和可以用CPU102或CPU202通过软件产生,或者在连接到公共结构的专用硬件复述功能部件(未示出)中产生。没有存储在智能卡20内的主密码302,任何存取加密过的高度机密信息的程序都不能对它解密,也不能读取它。另外,附加到该信息上的事先计算的密码校验总和与新更改的高度机密信息上计算的密码校验总和之间的差异会检测出任何企图对经加密的信息的更改。
在智能卡20要对任意数据进行解密之前,要征求用户认可,这可通过对个人识别号码(PN)来访问该用户,PIN最好是一个4至6个字符的识别码,该PIN可以在最初由集合顶箱10的卖主来选择,并且可以由用户随时改变。如果由用户所提供的PIN与当前所存储的PIN一致,数据就被解密;如果一个不正确的PIN在一列内连续地输入某个预定的次数如4次,那么就假定某人而不是该用户要非法进入集合顶箱10,并且主密码302完全不能执行。
参照图2,为了得到最大的安全性,PIN304被存储在智能卡20内,PIN因为仅有4至6个字符,它可以存储在4至6比特中,在智能卡20内的EEPROM208中有足够的自由存储空间来存储PIN304,智能卡20内的CPU202可以被编程而不释放PIN304,这就使PIN304的存储非常安全。只有在观众提供正确的PIN时,智能卡20才对要求节目的高度机密信息数据进行解密,这样,就在观众的控制下安全地释放高度机密的数据。
在断电的情况下用户想要保护高度机密的信息,如二次密码、信用卡号码等,都被存储在集合顶箱10内的EEPROM108中,这种信息使用智能卡20内的主密码302来加密。然后,把经过加密的系统信息420存储在集合顶箱10内的EEPROM108的系统部分416中,而经过加密的高度机密的用户信息422被存储在EEPROM108的用户部分418内。任意获得分别存取经加密的高度机密的系统信息或用户信息420和422的诈骗程序必然要求智能卡20对它进行解密,但是智能卡20不这样做,除非接收到来自用户的准确的PIN;而且任意企图通过随机地发送PIN来进入智能卡,几次不成功的试图之后,就完全不能执行主密码302。
然而,如上所述,EEPROM108也有有限的存储高度机密信息的空间,这样,在断电的情况下必须要保留的重要的信息就只能以上述的方式存储在EEPROM108内。参照图3,较大量的高度机密信息被存储在相对较不安全的RAM104上,这种信息用一个以加密的形式存储在EEPROM108的系统部分416中的二次密码进行加密,并附加密码校验总和,经过加密的高度机密系统信息被存储在RAM104的系统部分412中,而经过加密的高度机密的用户信息被存储在RAM104的用户部分414内。因为对RAM104的存储要求较低,所以较大量的高度机密信息可以被存储在RAM104中。
为了存取这种信息,必须首先把存储在EEPROM108的经加密的二次密码解密,如上所述,由于二次密码是用存储在智能卡20内的主密码302预先自身加密的,所以,在收到用户认可之后,只能由智能卡20来解密。一旦经解密的二次密码从智能卡20返回,它就可以被用来对存储在RAM104中的高度机密信息进行解密。因为在RAM104内比EEPROM108或智能卡20内有更大的空间,所以,在RAM104中可以存储更大量的高度机密信息。这种信息仍能安全地对付未经许可的存取,因为毕竟要求存储在智能卡20内的主密码来对它进行解密。也可以用主密码302对存储在RAM104内的高度机密信息进行加密。
参照图4,即使在智能卡20内只有不充分的存储用户PIN的存储空间也可以应用上述的技术,在图4中,主密码302仅被存储在智能卡20内,用主密码302对PIN解密并附加密码校验总和,经加密的PIN304′被存储在集合顶箱10内的EEPROM108的系统部分416中,在图4的实施方案中,当智能卡20被请求对数据解密时,它就从EEPROM108中接收经加密的PIN304′,并对它解密,把它的密码校验总和与事先存储的密码校验总和相比较,如果密码校验总和相同,就向用户征求PIN,并与经解密的PIN相比较,如果它们相同,就对所要求的信息解密。如上所述,一系列不正确的PIN号码将不能操作主密码302,而高度机密信息可以被解密并存储在RAM104内。
集合顶箱10的一个特指的实施例将产生、存储并管理它自己的公共专用密码对,在该实施例中,集合顶箱或BOX被安排采用Rivest,Shamir和Adleman公共密码算法RSA作为签署标记,RSA算法要求产生并存储两个基本号码p和q以及号码BOX_EXPONENT_SIZE的任意指数″e″,其中p小于q和每个号码BOX_PUBLIC_MODULUX_SIZE/2。这三个值p,q,e提供导出所有其他执行RSA密码的参数所必须的全部信息,然而,因为不希望为导出每个签署标记的其他参数而招致计算上的代价或对公共密码的怀疑,所以该系统仅产生一次参数(或至少每次重新设置BOX),并为重复使用而存储各个值。这些值应该存储在BOX中的安全的非易失存储器内,然而,如上所述,这种存储可能是有限的,因此,这些值被安全地存储在RAM中,以保证数据的整体性和保密性。
上述的方案实现如下,产生或提供数值p和q,并按照n=p×q来由BOXCPU102或智能卡CPU202计算一个BOX模数″n″;选择或预先确定BOX EXPONENT″e″,并存储在非易失存储器如EEPROM108内;数值n和e被存储为RAM104内的明文,便于存取的抹除。数值n和e形成公共密码,并且被作成公共密码系统中的公共知识,这样就不需要保密。数值p和q用一个伪随机数发生器来产生,该发生器最初是由128比特的源字来规定的,该伪随机数发生器至少可以部分地由一个复述函数如MD5构成,该函数可以由CPU以软件的形式来执行。
进一步的数值(用来提供个人密码)由CPU计算如下1.dp=e-1(mod(p-1))2.dq=e-1(mod(q-1))3.p-1(mod q)4. p°质数和q°质数(用于Montgomery通分的单个单位值)数值1-4用随机选择的DES密码K来加密,并把经加密的数据存储在RAM104中,在RAM内的至少这个数据上执行复述函数(例如MD5),以便产生校验总和C,数值p,q,e,K和C都被存储在安全的非易失存储器208内。在存储在安全的存储器内的数据上产生校验总和,并附加在该数据上,按照这种方式,就保持了相对不安全的RAM104内的数据的整体性和保密性。
在RAM内的数据可以被利用之前,在非易失存储器内的安全数据上完成校验总和,并对所附加的校验总和进行校验。如果它们是一致的,就从安全的非易失存储器208把校验总和C提取出来,并RAM在数据上进行整体性校验。也就是说,为了产生一个进一步的校验总和C*而在RAM数据上完成复述,然后把C*与相应在的校验总和C相比较,如果这个或现有的比较失败,就假定该数据是不可靠的,并把该安全数据和RAM存储数据设定为错误数值;如果校验总和是一致的,就存取密码K,并把相应的RAM数据解密并采用。即1-4项被存取并被用作人个密码加密。用智能卡20来进行DES加密是最适当的。另外,BOX可以包括分离的加密/解密硬件,为了进行RAM内数据的DES加密和解密,可以访问这些硬件。
应用上述的技术就可以通过用存储在相对更可靠的存储媒体上的密码对信息进行加密以及把经加密的高度机密信息存储在相对更不可靠的存储媒体上的方法来把相对较大量的高度机密信息安全地存储在相对不可靠的存储媒体上。
图5以方框图形式表示一个多媒体或交互式电视接收机,由天线80检测信号,并达到调谐检波器81,由此提取出一个特定频段的所接收的信号,并提供一个基带多路复用信息包信号,用户通过系统控制器(以下称IRD控制器)89按普通的方法来选择频段。使用例如里德·索罗门正向纠错(FEC)编码会把名义上的广播信号错误地编码,该基带信号将被加到FEC码器82,该FEC码器82使所收到的视频信号同步,并提供一连串纠错信号信息包,FEC码器82可以按照规定的间隔或根据要求由存储控制器87提供信息包。在这两种情况下都是由FEC电路提供信息包成帧信号或同步信号,该信号包括各个信息包信息由FEC82传送的的时间。
只有来自单个程序信号的信息包才可以由接收机来处理,在该例中,假定用户不知道要从多路复用的信息包串中选择哪些信息包,这种信息被包含在节目索引之中,节目索引本身是由数据构成的程序,这种数据通过它们各自的服务信道Id′s或SID′s程序信号成分相互关联起来,该节目索引是每个节目的列表,包括各节目的音频、视频和数据成分的SCID′s。该节目索引被安排一个固定的SCID,当接收机接通电源时,IRD控制器89就被编程,以便把与节目索引相关的SCID装入到SCID检测器84中,该检测器可以是一组匹配滤波器。当检测到节目索引SCID时,存储器控制器87就被调节来把相应的信息包有效负载发送到存储器88内的一个预定的位置上,供IRD控制器使用。
该IRD控制器经接口90等待来自用户的编程请求, 该接口被表示为一个键盘,它也可以是普通的遥控器或接收机前面板开关。用户可以要求看4频道上提供的节目(在本地模拟TV系统中),然后IRD控制器89被编程,以便对4频道节目成分的SCID′s扫描被装在存储器88内的节目索引表,并且把这些SCID′s装入SCID检测器84中。
对所要求的节目来说,最后都必须把所收到的音频、视频或数据程序分分别发送到各自的音频信号处理器93、视频信号处理器92或辅助信号处理器91(94)。数据是按相对恒定的速率来接收的,但是通常信号处理器要求以脉冲串的形式来输入数据(例如按照各自的解压类型),图5的示例系统首先是把各个信息包发送到存储器88内的预定的存储位置。此后,通过存储器安排这些成分来提供所要求的信号的数据速率,以便缓冲或节制。
音频、视频或数据信息包被装在各自的预定存储位置上,以便能使信息处理容易地存取分量数据。各分量信息包的有效负载被装在适当的存储区,用做相应的SCID′s,并且控制由SCID检测所提供的信号,这种结合可以在存储器控制器87内由硬件完成,也可以用程序来实现。
各信号信息包经一个信号伪随机序列译码器86从REC82被耦合到存储器控制器87,各信号信息包括包题头和有效载荷,只有信号的有效载荷被编码,信息包题头由恒定不变的伪随机序列译码器来传送。由信息包题头内的标示符来确定一个信息包是否要被伪随机序列译码,并由信息包内的一个二级标示符指定如何把它进行伪随机序列译码,这种正在编码的信息包基本上与上述处理的应用模块安全性无关。
一个交互式系统可以包括能够用多媒体信号的数据部分来运行的多个装置,例如图5中的AUX1和AUX2处理器都可以对应于信号的数据部分。AUX1处理器可以是一个用做检测所发送的股票市场数据和用所发送的交互应用处理这些数据的个人计算机、PC;AUX2可以是一个能够用来进行与发送出的交互商业信息有关的交互式刺激性交易的电视系统。要注意到交互性可能有助于与图5的相互连接的电视调制解调器(未示出)。另外,特别是系统的保养来说,IRD控制器89可以被编程,以便处理和执行所发送的应用。
在本例中对于存储高度机密信息的上面的描述是用系统控制器89来进行的,假定该系统控制器包括安全的非易失存储器ROM和一个智能卡,RAM104可以由一个预定的存储器方块89构成,硬件驱动器408包含在存储器控制器87内,本例中,图5内的所有各项都包含在集合顶箱中。
权利要求
1.在包括相对较可靠的存储媒体和相对较不可靠的存储媒体的计算机系统中,一种把高度机密信息存储在相对较不可靠的存储媒体上的方法,其特征在于包括如下步骤用一个密码对高度机密信息进行加密;把经加密的高度机密信息存储在相对较不可靠的存储媒体上;并且把密码存储在较可靠的存储媒体上。
2.根据权利要求1的方法,在该方法中,相对较可靠的存储媒体包括一个处理器和一个存储器,其特征在于存储密码的步骤包括把密码供给处理器;以及把密码从该处理器传送到存储器;对高度机密信息进行加密的步骤包括把高度机密信息供给该处理器;用事先存储在存储器内的密码对处理器中的高度机密信息进行加密;以及从处理器返回经过加密的高度机密信息,以便存储在相对不可靠的存储媒体内。
3.根据权利要求1的方法,其特征在于还有步骤从相对不可靠的存储媒体上检索经过加密的高度机密信息;用密码对检索到的经过加密的高度机密信息进行解密。
4.根据权利要求1的方法,其中相对较可靠的存储媒体包括处理器和存储器,其特征在于对高度机密信息进行解密的步骤包括把检索到的经过加密的高度机密信息供给处理器;用密码对处理器内的检索到的高度机密信息进行解密;以及从处理器返回经过解密的高度机密信息。
5.根据权利要求3的方法,其特征在于对高度机密信息加密的步骤包括计算经加密的高度机密信息的上的密码校验总和的步骤;存储经过加密的高度机密信息的步骤包括存储密码校验总和的步骤;解密步骤包括检索事先所存储的密码校验总和的步骤;在所存储的经加密的高度机密信息上计算密码校验总和的步骤;把事先所存储的密码校验总和与新计算的密码校验总和进行比较的步骤;以及如果事先所存储的密码校验总和与新计算的密码校验总和不一致,就报告有错。
6.根据权利要求3的方法,其特征在于在检索步骤之前还有步骤要求用户认可;以及只有收到来自用户的认可,才执行检索和解密步骤。
7.根据权利要求6的方法,其特征在于要求用户认可的步骤包括要求来自用户的识别字符串;接收来自用户的识别字符串;把所接收到的识别字符串与预定的识别字符串相比较;以及如果所接收到的识别字符串与预定的识别字符串一致,就确定从用户接收到了认可。
8.根据权利要求7的方法,其特征在于存储密码的步骤包括把预定的识别字符串存储在相对较可靠的存储媒体上的步骤。
9.根据权利要求7的方法,其特征在于存储密码的步骤包括用密码加密预定的识别字符串;以及把经加密的预定的识别字符串存储在相对不可靠的存储媒体上;以及比较步骤包括从相对不可靠的存储媒体上检索经加密的预定的识别字符串;用该密码字符串对经加密的预定的识别字符串进行解密;以及把来自用户的识别字串与经解密的预定的识别字符串相比较。
10.根据权利要求9的方法,其特征在于对预定的识别字符串进行加密的步骤包括在预定的识别字符串上计算密码校验总和的步骤;存储经过加密的预定的识别字符串的步骤包括把密码校验总和存储在相对不可靠的存储媒体上的步骤;检索经加密的预定的识别字符串的步骤包括还检索事先所存储的密码校验总和的步骤;以及对经过加密的预定的识别字符串进行解密的步骤包括对该预定的识别字符串计算密码校验总和;把所计算出的密码校验总和与所接收到的密码校验总和进行比较;以及只有所计算出的密码校验总和与所接收到的密码校验总和一致,才执行接收到的密码校验总和与经解密的密码校验总和的比较。
11.根据权利要求1的方法,其特征在于对高度机密信息进行加密的步骤包括对经过加密的高度机密信息进行计算密码校验总的步骤;以及存储经过加密的高度机密信息的步骤包括存储带有经加密的高度机密信息的密码校验总和的步骤。
12.用来安全地存储高度机密信息的交互式电视系统中的处理器装置,其特征在于包括用来存储密码的相对校可靠的存储媒体(208);相对不可靠的存储媒体(108;104);连接到相对不可靠的存储媒体并响应于密码(302)的加密器(202),该加密器用来对高度机密信息进行加密,并把经加密的高度机密信息存储到相对不可靠的存储媒体上。
13.根据权利要求12的装置,其特征在于还包括一个连接到相对不可靠的存储媒体并响应于密码的解密器,该解密器用来从相对不可靠的存储媒体上检索经过加密的高度机密信息,并对经加密的高度机密信息进行解密。
14.根据权利要求13的装置,其特征在于解密器包括要求用户认可并从相对不可靠的存储媒体上检索经加密的高度机密信息的电路,只有接收到来自用户的认可,该电路才对经加密的高度机密信息进行解密。
15.根据权利要求14的装置,其特征在于要求认可的电路包括要求来自用户的识别字符串的电路;检索来自用户的识别字符串的电路;用来把所接收到的识别字符串与预定的识别字符串相比较的电路,只有所接收到的识别字符串与预定的识别字符串一致,该电路才确定接收到了认可。
16.根据权利要求15的装置,其特征在于预定的识别字符串以经过加密的形式被存储在相对不可靠的存储媒体上,解密器还包括用来从相对不可靠的存储媒体上检索经加密的预定的识别字符串的电路;以及对经检索的经加密的预定的识别字符串进行解密的电路。
17.根据权利要求12的装置,其特征在于相对较可靠的存储媒体包括微处理器;和经系统母线连接到微处理器用来存储密码的存储器;其中微处理器包括加密器和解密器。
18.根据权利要求17的装置,其特征在于相对不可靠的存储媒体包括另一个微处理器;和经系统母线连接到该微处理器用来存储经加密的高度机密信息的读/写存储器。
19.根据权利要求18的装置,其特征在于相对较可靠的存储媒体还包括经相对较可靠的存储媒体上的系统母线连接到相对较可靠的存储媒体上的微处理器和存储器的输入/输出口;经相对不可靠的存储媒体上的系统母线连接到相对不可靠的存储媒体上的微处理器和读/写存储器的输入/输出口;以及相对较可靠的存储媒体上的输入/输出口连接到相对不可靠的存储媒体上的输入/输出口。
20.根据权利要求12的装置,其特征在于还包括用来在经加密的高度机密信息上产生校验总和并把所述的校验总和附加到所存储的所说的经加密过的高度机密信息上的电路;用来在所存储的经加密的高度机密信息上产生另一个校验总和并把所说的另一个校验总和与所说的附加到所存储的经过加密过的高度机密信息上的所说的校验总和进行比较的电路;以及用所说的校验总和和所说的另一个校验总和调节的解密器,两者一致就对所存储的经加密的高度机密信息进行解密。
全文摘要
一种在计算机系统中安全存储高度机密信息的方法,该计算机系统包括较可靠和较不可靠的存储媒体。首先,用一密码对信息加密,再把加密的信息存在较不可靠的存储媒体上,而把密码存在较可靠的存储媒体上。还公开了在计算机系统中安全存储高度机密信息的设备,该计算机系统包括存有密码(302)的较可靠的存储媒体(208)和较不可靠的存储媒体(108;104)。加密器(202)用密码对信息加密,并把加密的信息存在较不可靠的存储媒体上。
文档编号G06F15/00GK1156284SQ96110789
公开日1997年8月6日 申请日期1996年7月6日 优先权日1996年7月6日
发明者P·罗哈吉 申请人:汤姆森消费电子有限公司