專利名稱:安全傳感器芯片的制作方法
技術領域:
本發(fā)明涉及實現(xiàn)用于記錄數(shù)據(jù)或者數(shù)據(jù)序列的傳感器芯片,該傳感器芯片隨后就數(shù)據(jù)真實性即隨后使用的數(shù)據(jù)是否形成原始記錄數(shù)據(jù)而受校驗。作為示例,在使用其中記錄圖像或視頻序列的數(shù)字相機和數(shù)字攝像機時,形成隨后再現(xiàn)圖像或視頻序列的數(shù)據(jù)的真實性可以相對于原始記錄數(shù)據(jù)被校驗。
背景技術:
數(shù)字相機已經(jīng)投放市場相當長的時間。數(shù)字相機僅僅是數(shù)字照相的一個方面。盡管你需要照相機以捕捉圖像,但是存在包括數(shù)字照相總構思的許多不同工具和設備。實際上,為了開發(fā)完整的數(shù)字照相解決方案,所需要的僅僅是一種產(chǎn)品系統(tǒng),這些產(chǎn)品協(xié)同工作以幫助用戶采集、存儲、管理和顯示照片,無論是在個人計算機上還是以熟悉的快照的形式。由于技術的進步,目前已經(jīng)可以獲得這樣的系統(tǒng)。該系統(tǒng)基本上由數(shù)字照相機、掃描儀、照片質量打印機、照片編輯軟件和數(shù)字相冊構成。
對于新手,數(shù)字相機為用戶提供了便利,例如圖像的畫面質量方面的更大靈活性。許多圖像編輯和增強是在拍攝照片之后完成的。該特征優(yōu)于傳統(tǒng)膠片相機。采用傳統(tǒng)膠片相機時,用戶在拍攝期望照片之前必須手動恰當?shù)卣{整所有設置。一旦照片輸入到計算機且合適的圖像軟件被載入,數(shù)字相機則提供了校正照片幾乎所有方面的能力。
數(shù)字照相的許多樂趣來源于用于處理所拍攝照片的成像軟件。照片編輯軟件允許個人對圖像表現(xiàn)添加情趣或者使圖像失真而以此為樂等。使用照片編輯軟件,特殊效果可以添加到通過電子郵件、計算機電纜、掃描儀、磁盤或智能卡(Smart-Card)輸入計算機的任何圖像。這種可能性相當多。市場上存在為大多數(shù)新手用戶所青睞的許多照片編輯軟件包,新手用戶被認為對這些軟件包是最為了解的。
數(shù)字照相機中最常用的圖像記錄裝置為電荷耦合器件(CCD)。該CCD提供為包含連接或耦合的電容器的陣列的集成電路。在外部電路的控制下,各個電容器可以將其電荷傳輸?shù)揭粋€或另外的相鄰電容器。
包含像素柵格的CCD在數(shù)字照相機、光學掃描儀和攝像機中用作光感測裝置。CCD一般響應于70%的入射光(意味著量子效率約為70%),使得它們的效率高于照相膠片,后者僅捕捉約2%的入射光。圖像通過透鏡投影到電容器陣列上,導致各個電容器積累與該位置的光強成比例的電荷。線掃描照相機中使用的一維陣列捕捉圖像的一段,而攝像機和靜止照相機中使用的二維陣列捕捉整個圖像或者其矩形部分。一旦陣列暴露于圖像,控制電路導致各個電容器將其內容傳輸?shù)狡湎噜彽碾娙萜鳌T撽嚵兄械淖詈笠粋€電容器將其電荷傾瀉到放大器中,該放大器將電荷轉換成電壓。通過重復這個過程,控制電路將該陣列的全部內容轉換成變化的電壓,控制電路對該變化電壓進行采樣、數(shù)字化并存儲于存儲器內。存儲的圖像可以傳輸?shù)酱蛴C、存儲裝置或視頻顯示器。
照片或圖片例如在訴訟案件中經(jīng)常用作證據(jù)或憑證。來自公共場合的安防攝像機的視頻鏡頭越來越多地用作犯罪調查的憑證。此外,在許多不同場合下,人們出示圖像以證明他們曾位于某處或者曾目擊某事發(fā)生。對于所述情形,最重要的是人們可以信賴所呈示圖像的完整性和真實性。換言之,是否可以信賴一個圖像,認為其未被篡改,以及在隨后場合中顯示的是在第一次暴露時由攝像機芯片真實和原始記錄的原始圖像?是否有可能確定圖像在形成之后未經(jīng)上述的目前市場中提供的諸多數(shù)字圖像編輯軟件所篡改?使用數(shù)字圖像的記錄的另一個示例是證明在給定位置和給定時間測量了特定生物測量。這種情形的示例為,用戶通過將其指紋或其虹膜圖像放置于傳感器上而可以進入建筑物的系統(tǒng)。如果出于某種原因必需了解特定時刻究竟哪些人實際上訪問了該建筑物,則需要獲得有關哪些人進入該建筑物的可靠信息。任何人(即使是系統(tǒng)操作人員)都不應該能形成測得識別圖像的假日志。
盡管這里有關背景技術所選擇的示例涉及攝相機芯片作為示例,本文件中的討論涉及通過半導體芯片/處理器記錄物理參數(shù)的各種現(xiàn)有技術傳感器芯片。
來自18th Annual Computer Security ApplicationsConference,December 9-13,2002,Las Vegas作者為Gassend,Clarke,Devadas,van Dijk的會議文章Controlled PhysicalRandom Functions揭示了一種理論,其中“受控PUF可以用于確保一段代碼僅運行于具有由PUF定義的特定身份的處理器芯片上。這樣,非法代碼將無法運行?!痹撐募沂镜娜績热萁Y合于本申請文檔作為參考。所述會議協(xié)議(conference protocol)揭示的主要思想引用如下。
物理隨機函數(shù)(PUF)是一種只能借助復雜物理系統(tǒng)進行評估的隨機函數(shù)。PUF可以按照不同方式實施(例如硅、光學、聲學、涂層)且可以用于經(jīng)鑒定的識別(authenticated identification)用途。密鑰可以從PUF的測量得到,這些密鑰例如可以用于鑒定目的。術語“受控物理隨機函數(shù)(CPUF)”定義了只能通過安全算法訪問的PUF,該安全算法以不可分離的方式在安全裝置內物理綁定到該PUF。如果黑客試圖通過獲得對控制器的物理訪問而繞開該安全算法,這將會導致PUF的毀壞以及密鑰材料因此毀壞。控制是使PUF能夠超越簡單的經(jīng)鑒定的識別應用的基本思想。
PUF和受控PUF具有許多應用,包括智能卡識別、經(jīng)證明的執(zhí)行以及軟件授權。在目前的智能卡中,密鑰通常存儲于只讀存儲器(ROM)或其他非易失性存儲器(例如EEPROM)中。擁有智能卡的人通過許多得到良好證實的攻擊方法之一提取其數(shù)字密鑰信息,可以產(chǎn)生該智能卡的復制。對于可用于鑒別芯片的智能卡上的唯一PUF,不要求將密鑰存儲在非易失性存儲器中對于硅PUF的情形,智能卡硬件本身就是密鑰。對于涂層PUF的情形,IC周圍的涂層形成該密鑰。這種密鑰無法復制,因此人們無法控制、恢復、和繼續(xù)使用該密鑰。
經(jīng)證明的執(zhí)行產(chǎn)生一證書,該證書向請求計算的人證明,特定計算在特定處理器芯片上執(zhí)行了,并且該計算產(chǎn)生了給定結果。這個人隨后可以信賴能夠保證其制造了該芯片的芯片制造者的可信任度,而不是信賴該芯片的所有者,芯片所有者可能事實上沒有執(zhí)行該計算而虛構該結果。經(jīng)證明的執(zhí)行對于網(wǎng)格計算(gridcomputing)和其他形式的分布計算是非常有用的,用來防止惡意志愿者。實際上,經(jīng)證明的執(zhí)行可實現(xiàn)匿名計算的商業(yè)模式,其中通過產(chǎn)生證書,計算可由個人出售且客戶可以得到服務可靠性的保證。
受控PUF還可以用于保證一段代碼僅在具有由PUF定義的特定身份的處理器芯片上運行。按照這種方式,盜版代碼無法運行。
倘若密鑰可以保密,使用經(jīng)典密碼原語可以產(chǎn)生所謂的數(shù)字PUF。如果IC配備有密鑰k和偽隨機散列函數(shù)h,且防篡改技術用于使得無法從IC提取k,則函數(shù)x→h(k,x)為PUF。如果控制邏輯與該PUF一起嵌在防篡改IC,則CPUF實際上已經(jīng)形成。
然而,這種CPUF不是非常令人滿意。首先,其要求高質量的防篡改。目前可得到提供這種防篡改的系統(tǒng)。例如,IBM的PCICryptographic Coprocessor在可運行對安全敏感的處理的篡改檢測和篡改響應環(huán)境中封裝了486系列處理子系統(tǒng)。智能卡還結合障礙來保護隱藏(多個)密鑰,這些密鑰中許多已經(jīng)被破壞。然而一般而言,有效的防篡改包(package)昂貴且體積大。其次,數(shù)字PUF并不防制造者。PUF制造者使用同一密鑰可隨意生產(chǎn)多個IC,或者設法攻擊IC的防篡改包裝并提取密鑰的某些人可以容易地產(chǎn)生PUF的復制品。
由于這兩個弱點,數(shù)字PUF與以數(shù)字形式存儲密鑰相比并不具備任何安全性優(yōu)點,因此使用傳統(tǒng)密鑰存儲系統(tǒng)更好。
通過利用IC內器件(門和布線)延遲的統(tǒng)計學變化,可以形成防制造者的PUF(硅PUF)。由同一批次或同一晶片制造的IC具有固有的延遲變化。例如由于在各種制造步驟中工藝溫度和壓力變化,晶片上不同管芯之間以及不同晶片之間的變化是隨機的。由于這些隨機成分引起的延遲變化的幅度可達5%或更大。
延遲的芯片上測量可以以非常高的精確度進行,因此當在兩個或多個IC之間比較相應布線的延遲時,信噪比非常高。一電路中器件組的延遲在實現(xiàn)該電路的多個IC之間是唯一的可能性很高,如果該裝置組大的話。這些延遲對應于隱式隱藏密鑰,這與數(shù)字PUF中的顯式隱藏密鑰相反。盡管環(huán)境變化會導致器件延遲的改變,但是實質上使用延遲率的延遲的相對測量提供了耐環(huán)境變化的魯棒性,該環(huán)境變化例如為變化的環(huán)境溫度和電源變化。
上述會議參考文獻討論了如何保證某一段軟件只能在特定處理器上運行,這對于DRM(數(shù)字版權管理)系統(tǒng)的情形是重要的。軟件程序的運行結果根本得不到保證。特定處理器無法給出可由任何人校驗的執(zhí)行證據(jù)。
一種備選類型的PUF為“電容性PUF”(或者“涂層PUF”)。涂層PUF由位于芯片上金屬層內的電容性傳感器陣列組成,其測量由覆蓋芯片的涂層感應的局部(隨機)電容。這些電容用于從涂層獲得唯一的標識符或密鑰。
該材料體系由涂層組成,該涂層直接涂敷在IC頂部上并具有不均勻的(介)電屬性。電容性傳感器存在于IC上,嵌入在上金屬層內。這些傳感器電容性檢測涂層的局部(介)電屬性。通過使用多個傳感器結構覆蓋該IC并選擇性地對其中的一個或幾個尋址,由此可以讀出多個密鑰(即,對挑戰(zhàn)的應答)。通過在不同頻率或者使用不同電壓調制幅度進行測量,可以形成另外的挑戰(zhàn)-應答對。
這種類型的PUF的一個重要優(yōu)點為材料和測量系統(tǒng)的相對簡單。完成該測量只需很少附加成本,因為不需要外部設備,但是傳感器和數(shù)據(jù)處理可以簡單地集成到IC本身內。通常,上金屬層的覆蓋包含非常少的功能線(大部分是平鋪(tiling)),因此這可以被涂層檢測結構所替代而無需額外成本。另外的優(yōu)點為,不可能直接訪問(或者讀出)測量系統(tǒng)而不破壞該PUF本身。
發(fā)明內容
本發(fā)明的一個目標是提供一種裝置和方法,其中在特定傳感器芯片上運行某一程序時的輸出為一些數(shù)字數(shù)據(jù),且其中該輸出包含附帶證據(jù),該證據(jù)保證該數(shù)據(jù)確實是使用該特定傳感器芯片的記錄結果!由此確保記錄程序已經(jīng)執(zhí)行并且特定數(shù)據(jù)為所確定的特定傳感器芯片上記錄的結果。僅采用受控PUF且簡單地將傳感器芯片連接到該受控PUF(通過布線或者電路板),不足以保證徹底保護和安全。
根據(jù)本發(fā)明的一個方面,揭示了在獨立的方法權利要求中說明的方法。
根據(jù)本發(fā)明的另一方面,揭示了在獨立的裝置權利要求中說明的裝置。
本發(fā)明的這些方面所達到的優(yōu)點為,可以使使用芯片的任何類型傳感器是安全的。該解決方案為通過將傳感器芯片與優(yōu)選為涂層PUF的PUF組合,并使用“電子證據(jù)(e-proof)”,可形成安全的傳感器,所述“安全的”意義在于所述傳感器中所使用的傳感器芯片所測量/記錄的數(shù)據(jù)可以被證明是真實的。因此與測量數(shù)據(jù)一起,得到了該測量數(shù)據(jù)確實是由該特定傳感器芯片測量的密碼安全證據(jù)。
術語傳感器芯片包括用于記錄物理參數(shù)的各種芯片,因此術語芯片包括例如處理器或ASIC的等價物。傳感器芯片可以設計成用于使用例如用于相機中的圖像記錄的光探測元件(CCD或CMOS芯片)來探測光,其中術語光至少包括可見光、紅外光和紫外光;通過溫度感測元件檢測溫度;通過壓力檢測元件檢測壓力;通過聲音記錄元件檢測聲音;檢測無線電波和雷達波;檢測加速度、速度、運動、位置(例如GPS)、濕度。
該傳感器還可包括下述組中的傳感器元件光電子傳感器、激光傳感器、放射性輻射傳感器、化學傳感器(感測化學元素或化合物)。
傳感器芯片周圍的涂層CPUF具有容易評估但是極難復制或表征的特性。因此該涂層可以用于唯一地識別組合的傳感器芯片和CPUF。傳感器芯片的所有數(shù)字輸入和輸出受到可訪問PUF的微處理器(CPUF控制器)控制。只有預先定義的協(xié)議才可以在該微處理器上執(zhí)行。這些協(xié)議設計成使得該芯片只能按照安全方式使用(不泄漏有關PUF層的秘密信息)。
這些協(xié)議之一將使傳感器芯片記錄期望的數(shù)據(jù)并將其與執(zhí)行的證據(jù)一起提供給輸出,如下文在實施例中所描述。該證據(jù)利用了嵌入了該傳感器芯片的特定CPUF的獨特(無法復制的)屬性。對手無法濫用該芯片形成假執(zhí)行證據(jù),因為這需要執(zhí)行預定義協(xié)議之外的指令,在獲得對該傳感器芯片的物理訪問時才能實現(xiàn)這一點。因為芯片涂敷有CPUF,侵入芯片將改變或者破壞CPUF的所述屬性并導致無效的執(zhí)行證據(jù)。
執(zhí)行證據(jù)向任何校驗者證明某一數(shù)據(jù)記錄是由該特定“安全傳感器芯片”執(zhí)行的,該安全傳感器芯片通過其PUF的屬性被識別。當然可以添加另外的識別值(獨特的數(shù))以使識別變得容易。
利用本發(fā)明揭示內容的一個非常重要的優(yōu)點為,傳感器芯片以及控制器布置在CPUF涂層內,使得傳感器的輸出數(shù)據(jù)可以直接由控制器處理,黑客無法影響傳感器芯片和控制器之間的通信。如果黑客試圖侵入芯片并訪問該傳感器芯片與/或也嵌入的控制器內固有的信息或代碼,則黑客必須物理訪問該芯片且必須侵入PUF涂層,這將毀壞密鑰材料因而無法從該芯片再產(chǎn)生有效證據(jù)。
傳感器芯片以及控制器安置于CPUF涂層內部,使得傳感器芯片的輸出數(shù)據(jù)可以直接由控制器處理,黑客因此無法影響傳感器芯片和控制器之間的通信。前述現(xiàn)有技術參考文獻討論了可以確保某一段軟件只能在特定處理器上運行。它并不對軟件程序運行結果作出任何保證。本發(fā)明公開了一種傳感器,其可以真正地給出可以由任何人驗證的執(zhí)行證據(jù)。因此運行某一程序的輸出(此處為使用傳感器的測量)為一些數(shù)字數(shù)據(jù),附帶證據(jù)確保該數(shù)據(jù)確實是用該特定傳感器測量的結果。藉此可以保證測量程序已經(jīng)在被標識的傳感器芯片/處理器上執(zhí)行(且所述特定數(shù)據(jù)為執(zhí)行結果)。該證據(jù)可以由也可訪問該傳感器的任何人驗證(例如獨立的一方)。
參照下述實施例,本發(fā)明的這些和其他方面將變得顯而易見。
本發(fā)明尤其適用于需要校驗利用特定傳感器芯片記錄的數(shù)據(jù)是否確實是由該傳感器芯片記錄的各種裝置,例如用于安防攝像機(例如用于監(jiān)督目的)。
圖1示意性示出了根據(jù)本發(fā)明一方面的嵌入的傳感器芯片。
圖2示意性示出了包括用于記錄時間和位置的模塊以及用于記錄時間和位置數(shù)據(jù)日志的存儲器的傳感器的不同實施例。
具體實施例方式
下文中將參照附圖描述用于執(zhí)行根據(jù)本發(fā)明的方法的多個實施例。
通過使用物理隨機函數(shù)(PUF)層,優(yōu)選以涂層PUF的形式,涂敷芯片和微控制器(該微控制器在本文中簡單地指控制器),實施本發(fā)明的一個實施例。本實施例的示意性視圖見圖1,該圖示出了根據(jù)本發(fā)明一個實施例的傳感器芯片。該圖中,傳感器芯片用數(shù)字1表示。該傳感器芯片由微控制器2(稱為CPUF控制器)控制,微控制器2通過輸入線3和輸出線4連接到外部環(huán)境。這些輸入和輸出線是與外部環(huán)境的唯一連接。傳感器芯片和微控制器2都嵌入在CPUF涂層5內。在所示示例中,假設傳感器芯片1由數(shù)字相機芯片(例如CCD芯片)表示。
在圖2a至2d中示出了CPUF涂層內包含的模塊的示例。第一個圖2a示出了與傳感器芯片1集成并連接到CPUF控制器2的時鐘模塊6,由此可安全地記錄所記錄參數(shù)的時間日志。第二個圖2b示出了與傳感器芯片1集成并連接到CPUF控制器2的定位模塊7,由此可以安全地記錄所記錄參數(shù)的位置日志。圖2c示出了時鐘模塊6和定位模塊7都與CPUF控制器2集成的芯片,由此可以安全地記錄參數(shù)事件的時間和位置日志。此外,附加存儲器8可以嵌入在CPUF涂層內,用于記錄參數(shù)記錄時的時間和位置日志,與/或用于記錄出現(xiàn)對傳感器芯片1的篡改事件時的時間與/或位置。其他組合當然是可能的,例如將根據(jù)圖2a或圖2b的實施例擴展到包括日志記錄存儲器8。
PUF是一種容易評估但是難以表征的函數(shù)。示例包括光學單向函數(shù)、硅PUF(先前所討論的)和涂層PUF。與數(shù)字PUF(單向函數(shù))相比,它們的優(yōu)點為它們是不可復制的。這使得它們非常適用于鑒定和識別目的。硅PUF利用與該PUF集成的IC內的門和布線的延遲的統(tǒng)計學變化。
密碼協(xié)議的一個重要機制是挑戰(zhàn)-應答機制,其示例如下校驗者V想要驗證證明人P是否了解一段秘密信息,由此例如提供其身份。因此,V發(fā)送挑戰(zhàn)c到P,P基于c以及僅P了解的一段的獨特知識而使用c形成答案。V核查由P給出的該答案并決定是否接受該答案。一般的實施是基于公共密鑰密碼術P發(fā)出公共密鑰PK并將相應的密鑰SK保密。V選擇一個隨機數(shù)r,使用PK對r密并將其發(fā)送到P。對P的挑戰(zhàn)是找到隨機用戶值r。顯然,如果P知道SK,則P可以向V給出恰當?shù)拇鸢缸C明他知道SK。
先前部分中的數(shù)字方法的一個缺點為,攻擊者可以打開證明人裝置P,讀出SK并在另外的裝置中使用該信息,而由此成功地假扮成P??赡艹霈F(xiàn)這種情況的原因為,存儲于P內的秘密信息是可復制的。此外,上述現(xiàn)有技術中指出的會議論文中提出的硅PUF似乎對例如溫度、電容場和電源變化的環(huán)境改變敏感。這使得他們會形成不可再現(xiàn)的事件。這種情況下,他們無法可靠地用于所有情形的鑒別和識別目的。因此根據(jù)本發(fā)明一個方面揭示了將該PUF基于(即使在工廠內的)無法復制的裝置的某些獨特屬性(對外部變化較不敏感),更具體地使該PUF基于IC(芯片、處理器)頂上的特殊涂層。這種涂層可以用于檢測對裝置的篡改。其中的思想為,通過檢測由于層的制作工藝中固有的隨機性導致的對于裝置而言是獨特的屬性(由此可以由其導出獨特的裝置標識符),驗證涂層的存在。通過使用某種電容(或者阻抗)測量可以確定介電性能。在大多數(shù)實際情形中,電容將以對于每個單獨的裝置而言是獨特的方式依賴于頻率。這種效應可以有利地用于產(chǎn)生對挑戰(zhàn)的應答。
為了識別裝置本身,裝置將從校驗者接收挑戰(zhàn)c。例如這可以通過產(chǎn)生如下應答而實現(xiàn)。
r=h2(c,PUF(h1(c))) (1)其中c代表挑戰(zhàn),r代表應答,散列函數(shù)h2和h1以物理上不可分離的方式鏈接到PUF。含有該涂層的裝置將具有能夠測量涂層的局部物理特性(例如電容、阻抗等)的多個傳感器。挑戰(zhàn)的一部分c1用于確定所使用的傳感器的子組。示范性地,人們可以想到n個傳感器的陣列。該挑戰(zhàn)的c1部分規(guī)定哪些傳感器可以被使用。備選地,c1不是表示一個而是多個傳感器(即,電容器)。這些傳感器可以并聯(lián)連接用于測量。
在產(chǎn)生對挑戰(zhàn)c的應答r的第二步驟中,必須使用由挑戰(zhàn)的部分c1指示的傳感器子組進行測量。一個可能性是使用挑戰(zhàn)的一部分c2使該測量參數(shù)化。該測量的結果或者其散列(方程1)將是裝置對挑戰(zhàn)c的應答r。
概言之,要求保護一種實施為IC的PUF,該IC包括至少與微控制器組合的傳感器芯片且在某些實施例中還包括時鐘模塊和定位系統(tǒng)模塊(也可以是處理器以及ASIC的形式),且所有這些部件一起具有物理特性(例如電容、電阻等)局部變化的涂層,其中這些物理特性使用參數(shù)化的測量在芯片上被測量。測量的參數(shù)從挑戰(zhàn)導出,應答從測量結果導出。
在CPUF中,在鏈接到PUF的安全算法的控制下使用安全程序,使得PUF只能通過來自該安全程序的兩個原函數(shù)GetSecret(.)和GetResponse(.)被訪問。GetSecret(.)保證PUF的輸入取決于執(zhí)行所述原函數(shù)(primitive function)所依據(jù)的安全程序的表示。GetResponse(.)保證PUF的輸出取決于執(zhí)行所述原函數(shù)所依據(jù)的安全程序的表示。由于這種依賴性,如果這些原函數(shù)依據(jù)不同安全程序執(zhí)行,則PUF的輸入和PUF的輸出將不同。此外,亦如現(xiàn)有技術中所描述的,這些原函數(shù)確保新的挑戰(zhàn)-應答對的產(chǎn)生可受到調節(jié)且是安全的。
現(xiàn)有技術中也描述了的經(jīng)鑒定的執(zhí)行對挑戰(zhàn)使用GetSecret(.)原語,對于該挑戰(zhàn),用戶可基于僅為用戶所知的秘密PUF挑戰(zhàn)-應答對計算輸出。按照這種方式,該輸出可以為用戶證明他使用該PUF算法在特定處理器芯片上執(zhí)行了一算法。
然而,用戶無法使用該輸出向第三方證明該程序在特定處理器上有效執(zhí)行了,因為用戶可能使用他的挑戰(zhàn)-應答對自己產(chǎn)生了該結果。例如在電子交易系統(tǒng)中,卻是經(jīng)常期望能夠向第三方事實上證明程序(例如為觀看節(jié)目付費的程序)已經(jīng)在特定處理器上執(zhí)行。
因此在本發(fā)明中使用了一種方法,該方法能夠產(chǎn)生證據(jù)結果,作為可由任何第三方驗證的證書,該證據(jù)結果可以用作在特定處理器上執(zhí)行特定計算的證據(jù),稱為電子證據(jù)。這種電子證據(jù)將與由傳感器芯片記錄的數(shù)據(jù)的傳送一起由微控制器的輸出傳送到傳感器芯片的外部環(huán)境。
這個目標可以通過一種方法(現(xiàn)有技術)實現(xiàn),以證明程序指令執(zhí)行的真實性,該方法包括-在安全程序的控制下在包括隨機函數(shù)(例如PUF)的安全裝置(例如本發(fā)明中的傳感器芯片)上執(zhí)行程序指令的步驟,該隨機函數(shù)只能通過受控界面從該安全程序訪問,該受控界面包括訪問該隨機函數(shù)的至少一個原函數(shù),該隨機函數(shù)返回輸出,該輸出取決于安全程序的至少一些部分(調用原函數(shù)的那些部分)的表示的至少一部分;-通過經(jīng)由該受控界面訪問該隨機函數(shù),在運行于第一模式的安全程序的執(zhí)行過程中使用該隨機函數(shù)計算證據(jù)結果的步驟;以及-通過經(jīng)由該受控界面訪問該隨機函數(shù),在運行于第二模式的同一安全程序的執(zhí)行過程中使用該隨機函數(shù)驗證所述證據(jù)結果的步驟。
在同一或不同的執(zhí)行輪次中,該安全程序可以運行于不同的工作模式。通過在同一程序中具有至少兩個工作模式,該安全程序可以有利地在不同程序執(zhí)行中使用該隨機函數(shù)。由于訪問該隨機函數(shù)的原函數(shù)也取決于安全程序(其為工作于不同模式的同一安全程序)的至少一部分的表示,因此為在這些不同模式下的安全程序保證了對該隨機函數(shù)的訪問,且任何其他安全程序無法以損害由該隨機函數(shù)提供的安全的方式訪問該隨機函數(shù)。這種“多模式”程序因此是有利的概念,因為在該安全程序第一次執(zhí)行過程中,其他模式下的功能性已經(jīng)得到明確定義和限制。
通過使輸出取決于安全程序的表示,這(幾乎)保證了運行于安全裝置上的任何其他安全程序對于相同的輸入通過受控界面得到不同的結果。例如由黑客設計的獲取信息以產(chǎn)生非法證據(jù)結果的任何其他安全程序通過該受控界面僅得到無效的結果,因為這些結果取決于安全程序表示,對于原始安全程序和黑客使用的安全程序,安全程序表示是不同的。
安全程序的表示可以是散列或其他簽名、或者其一部分。通常,安全程序的表示覆蓋了完整安全程序,但是在特殊情形下(例如該安全程序包括與隨機函數(shù)無關的大部分時),則有利的是,將該表示限于安全程序的一些部分,這些部分處理原函數(shù)的輸入和輸出的調用和處理。
在安全程序執(zhí)行過程中,可以使用原函數(shù)得到密鑰,該原函數(shù)的輸出也取決于安全程序的表示。該密鑰可以用于加密(部分)證據(jù)結果。除了在同一安全程序的隨后執(zhí)行(以相同模式或者不同模式)中,由該密鑰加密的任何結果都是無效的。
安全程序通常由安全裝置的用戶提供。其也可以是不同的子系統(tǒng)或者其他系統(tǒng)。
為了快速地檢索特定安全程序供隨后使用,因此程序代碼或其散列代碼,可選地與有關許可(誰被允許隨后的執(zhí)行)的信息一起可以被存儲,用于以相同模式或者不同模式隨后執(zhí)行該安全程序。
使用這種方法,CPUF可以用于產(chǎn)生執(zhí)行證據(jù)作為證據(jù)結果,稱為電子證據(jù),其為可由任何第三方(其也可訪問該傳感器裝置)驗證的證書。根據(jù)本發(fā)明一個方面,這種電子證據(jù)可以從嵌入CPUF內部的微控制器與由傳感器芯片記錄的參數(shù)一起傳送到外部環(huán)境。
此外,CCD芯片和微控制器應該被擴展成具有額外的處理能力,以便為其提供受控PUF(CPUF)的功能。
要求保護的方法和裝置中使用的定位(位置)系統(tǒng)為選自下述組中的一個衛(wèi)星定位系統(tǒng)(GPS)、使用定位衛(wèi)星與地面定位發(fā)射器組合的定位系統(tǒng)、僅使用地面定位發(fā)射器的定位系統(tǒng)。
記錄事件日志的另外存儲器可以添加到該傳感器芯片/CPUF控制器。例如,來自時鐘模塊和GPS模塊的順序數(shù)據(jù)可以登記在該日志中。所登記數(shù)據(jù)序列的不規(guī)則性于是可以用于證明對時間或位置數(shù)據(jù)的篡改(對手可能試圖形成假GPS信號或者通過施加電磁場或沖擊而試圖復位內部時鐘)。只能通過CPUF控制器內預定的協(xié)議才能完成對該日志的讀取。
盡管已經(jīng)結合特定實施例描述了本發(fā)明,但是并非旨在將本發(fā)明限制于此處所述的具體形式。相反,本發(fā)明的范圍僅由所附權利要求限制。在權利要求中,術語包括和包含并不排除存在其他元件或步驟。此外,盡管元件和方法步驟被單獨地羅列為多個裝置,但是元件或方法步驟可以由例如單個單元或處理器實施。此外,盡管各個特征包含在不同的權利要求中,這些特征可以被有利地組合,且包含在不同權利要求中并不暗示特征的組合不是可行與/或有利的。此外,單個引用并不排除多個。因此“一”、“一個”、“第一”、“第二”等并不排除多個。權利要求中的參考符號純粹是為了使示例清楚,不應理解為以任何方式限制權利要求的范圍。
權利要求
1.一種使用傳感器記錄數(shù)字信息的方法,該傳感器記錄有關至少一個物理參數(shù)的數(shù)據(jù),該方法包括步驟為所述傳感器提供傳感器芯片(1),為所述芯片(1)提供利用CPUF涂層(5)形成的受控物理隨機函數(shù),即CPUF,通過CPUF控制器(2)控制所述傳感器芯片(1)的所有輸入(3)和所有輸出(4),以及將所述傳感器芯片(1)和所述CPUF控制器(2)都嵌入所述CPUF涂層(5)。
2.根據(jù)權利要求1的方法,還包括如下步驟與所記錄數(shù)據(jù)的輸出一起提供電子證據(jù),該電子證據(jù)證明所輸出的數(shù)據(jù)是在所述特定傳感器芯片(1)上記錄的。
3.根據(jù)權利要求2的方法,還包括通過所述傳感器芯片(1)記錄光的步驟。
4.根據(jù)權利要求3的方法,還包括如下步驟通過CCD照相機芯片或者CMOS照相機芯片設置待執(zhí)行的所述光記錄。
5.根據(jù)權利要求4的方法,還包括為數(shù)字照相機或者數(shù)字攝像機提供所述傳感器的步驟。
6.根據(jù)權利要求4的方法,還包括通過所述傳感器芯片(1)映射人的虹膜圖案的步驟。
7.根據(jù)權利要求4的方法,還包括通過所述傳感器芯片(1)映射人的指紋圖案的步驟。
8.根據(jù)權利要求2的方法,還包括通過所述傳感器芯片(2)記錄聲音的步驟。
9.根據(jù)權利要求8的方法,還包括通過所述傳感器芯片(1)映射人的語音模式的步驟。
10.一種用于記錄有關至少一個物理參數(shù)的數(shù)字信息的傳感器,包括傳感器芯片(1),其特征在于所述傳感器芯片(1)具有形式為CPUF涂層(5)的受控PUF(CPUF),所述傳感器芯片(1)的所有數(shù)字輸入(3)和輸出(4)由微控制器控制,所述微控制器即CPUF控制器(2),以及所述傳感器芯片(1)和所述CPUF控制器(2)都嵌入所述CPUF涂層(5)內。
11.根據(jù)權利要求10的傳感器,其中所述芯片(1)為包括光探測元件的光探測芯片。
12.根據(jù)權利要求11的傳感器,其中所述芯片(1)包括光探測元件的陣列。
13.根據(jù)權利要求12的傳感器,其中所述芯片(1)為電荷耦合器件芯片(CCD)。
14.根據(jù)權利要求12的傳感器,其中所述芯片(1)為CMOS照相機芯片。
15.根據(jù)權利要求11至14中任何一項的傳感器,其中所述芯片(1)設計為用于映射人的虹膜圖案。
16.根據(jù)權利要求11的傳感器,其中所述芯片(1)設計為用于映射人的指紋圖案。
17.根據(jù)權利要求10的傳感器,其中所述芯片(1)設計為用于記錄人的語音模式。
18.根據(jù)權利要求10的傳感器,其中時鐘模塊(6)嵌入所述芯片(1)內,由此所述CPUF控制器(2)的輸出包括所述記錄的時間的記錄。
19.根據(jù)權利要求10的傳感器,其中定位系統(tǒng)模塊(7)嵌入所述芯片(1)內,由此所述CPUF控制器(2)的輸出包括所述記錄的位置的記錄。
20.根據(jù)權利要求10的傳感器,其中所述芯片(1)具有至少一個元件,該至少一個元件為用于選自下述組的任一物理參數(shù)的傳感器光、溫度、壓力、聲音、加速度、速度、運動、位置、濕度、電磁能量。
21.根據(jù)權利要求10的傳感器,其中所述芯片(1)包括選自下述組的傳感器元件光電傳感器、激光傳感器、放射性輻射傳感器、化學傳感器(檢測化學元素或化合物)。
22.根據(jù)權利要求18的傳感器,其中所述芯片(1)具有用于記錄由所述模塊記錄的事件的日志的存儲器(8)。
23.根據(jù)權利要求10的傳感器,其中所述CPUF控制器(2)集成到所述傳感器芯片(1)中。
24.根據(jù)權利要求10的傳感器,其中所述CPUF控制器(2)設計成輸出包括電子證據(jù)的數(shù)據(jù),所述電子證據(jù)證明所輸出的數(shù)據(jù)是在所述特定傳感器芯片(1)上記錄的。
25.一種具有根據(jù)任一前述權利要求的傳感器的數(shù)字相機。
全文摘要
提供安全傳感器芯片(1)的方法和裝置,該安全傳感器芯片用于記錄有關至少一個物理參數(shù)的數(shù)字信息,其中該記錄隨后就其真實性可得到校驗,即該至少一個物理參數(shù)是否確實由該特定芯片(1)記錄,其中這是通過為傳感器芯片(1)提供形式為涂層(5)的受控物理隨機函數(shù)(CPUF)而實現(xiàn),且其中傳感器芯片(1)和控制該傳感器芯片的所有數(shù)字輸入(3)和輸出(4)的微控制器(2)都嵌入在CPUF涂層(5)內。
文檔編號G06F21/86GK101044514SQ200580035633
公開日2007年9月26日 申請日期2005年10月6日 優(yōu)先權日2004年10月18日
發(fā)明者G·J·施里詹, P·T·圖爾斯 申請人:皇家飛利浦電子股份有限公司