用于產(chǎn)生數(shù)字圖像的裝置和方法
【專利摘要】本發(fā)明描述了用于產(chǎn)生數(shù)字圖像的一種裝置(20)和一種方法����。該裝置(20)包括具有第一安全模塊(36)的����、用于產(chǎn)生數(shù)字圖像的圖像產(chǎn)生單元(30)�����,所述第一安全模塊被構造為��,將唯一地識別第一安全模塊(36)的并且在其中安全存儲的第一秘密與數(shù)字圖像這樣加密地相關聯(lián)�����,使得根據(jù)該加密關聯(lián)的結(jié)果能夠確定數(shù)字圖像的整體性�。該裝置(20)還包括便攜式數(shù)據(jù)載體(40),其可以嵌入到該裝置(20)中�。在此,便攜式數(shù)據(jù)載體(40)具有第二安全模塊(48)���,其被構造為����,將唯一地識別便攜式數(shù)據(jù)載體(40)的并且在其中安全存儲的第二秘密與數(shù)字圖像如下地加密相關聯(lián)��,使得根據(jù)該加密相關聯(lián)的結(jié)果能夠確定便攜式數(shù)據(jù)載體(40)的身份�����。
【專利說明】用于產(chǎn)生數(shù)字圖像的裝置和方法
【技術領域】
[0001]本發(fā)明涉及用于產(chǎn)生數(shù)字圖像或者說照片的一種裝置和一種方法。
【背景技術】
[0002]利用常規(guī)的數(shù)碼相機產(chǎn)生的數(shù)字圖像或者說照片通常對于后來的篡改不安全��,即����,不能保證數(shù)字圖像不是被事后篡改過的。但是在許多情況下要求��,能夠明確地證明�,一幅數(shù)字圖像沒有被事后篡改����,即,其整體性沒有被破壞�。除了數(shù)字圖像的整體性,其關于作為首創(chuàng)者的拍攝者的真實性是另一個重要方面�,因為借助關于拍攝者的真實性可以唯一地確定數(shù)字圖像的首創(chuàng)者的、即拍攝者的身份�,并且該首創(chuàng)者證明為數(shù)字圖像的首創(chuàng)者權利的持有者。
[0003]整體性以及關于作為數(shù)字圖像的首創(chuàng)者的拍攝者來說的真實性特別地在以下情況中可以是重要的�。在公安調(diào)查或法律程序的范疇內(nèi)建立的數(shù)字照片一般地僅當確定了沒有對數(shù)字照片進行事后改變時才能作為證據(jù)材料使用。此外照片通常必須相應地被證明��。在建筑工程的范疇內(nèi)的總結(jié)分析中,數(shù)字照片例如可以用于記錄建筑損壞或用于證明進行了正確的工作����。在這樣的情況中也可能要求,能夠確定或者說保證數(shù)字照片的整體性以及真實性二者�。在借助數(shù)字圖像或者說照片來記錄醫(yī)學手術時也類似地成立。
[0004]從現(xiàn)有技術中公知數(shù)碼相機��,其在拍攝數(shù)字圖像時對數(shù)字圖像已經(jīng)在照相機中設置數(shù)字簽名并且可選地進行加密����。為此在這樣的數(shù)碼相機中存儲了相應的密鑰。在后臺系統(tǒng)中存儲了相應的合適加密的密鑰����,以便能夠?qū)?shù)字圖像又解密并且檢查數(shù)字簽名。
[0005]在文獻“SecuringEmbedded Smart Cameras with Trusted Computing”�����,ThomasWinkler and Bernhard Rinner, EURASIP Journal on Wireless Communications andNetworking, Volume2011, Article ID530354中描述了一種具有多個監(jiān)視照相機的視頻監(jiān)視系統(tǒng)�����,其中利用視頻監(jiān)視系統(tǒng)拍攝的視頻數(shù)據(jù)的整體性和其關于為此使用的監(jiān)視照相機的真實性通過如下來保證,即�,視頻監(jiān)視系統(tǒng)的監(jiān)視照相機分別被構造為具有以可信平臺模塊(Trusted Platform Module (TPM))形式的安全芯片或安全模塊。
[0006]盡管前面描述的公知解決方案可以實現(xiàn)在產(chǎn)生數(shù)字圖像時的一定的安全性標準���,但是其并不適合于����,以足夠的安全性標準既保證數(shù)字圖像的整體性又保證其關于作為首創(chuàng)者的拍攝者來說的真實性����。
【發(fā)明內(nèi)容】
[0007]從該背景出發(fā),本發(fā)明要解決的技術問題是�,提供用于產(chǎn)生數(shù)字圖像的一種改進的裝置和一種改進的方法,其中可以以足夠的安全性標準既保證數(shù)字圖像的完整性又保證其關于作為數(shù)字圖像的首創(chuàng)者的拍攝者來說的真實性���。
[0008]所述技術問題按照本發(fā)明通過按照權利要求1的用于產(chǎn)生數(shù)字圖像的裝置來解決����。相應的方法是方法獨立權利要求的內(nèi)容��。本發(fā)明的有利擴展在從屬權利要求中定義���。
[0009]本發(fā)明特別地基于如下基本思路,S卩,用于產(chǎn)生數(shù)字圖像的裝置����、特別是數(shù)碼相機,一方面具有在裝置中優(yōu)選嵌入的第一安全模塊和另一方面具有在便攜式數(shù)據(jù)載體上提供的并且為了產(chǎn)生數(shù)字圖像可以與所述裝置相連的第二安全模塊��,所述第一安全模塊在產(chǎn)生數(shù)字圖像時保證其整體性�,所述第二安全模塊在產(chǎn)生數(shù)字圖像時保證其關于作為首創(chuàng)者的拍攝者來說的真實性。
[0010]相應于該基本思路����,按照本發(fā)明的第一方面提供一種用于產(chǎn)生數(shù)字圖像的裝置。所述裝置包括具有第一安全模塊的����、用于產(chǎn)生數(shù)字圖像的圖像產(chǎn)生單元。在此所述第一安全模塊被構造為�����,將唯一地識別第一安全模塊的并且其中安全地存儲的第一秘密與數(shù)字圖像這樣加密地相關聯(lián)��,使得根據(jù)該加密關聯(lián)的結(jié)果可以確定數(shù)字圖像的整體性����。用于產(chǎn)生數(shù)字圖像的裝置還包括便攜式數(shù)據(jù)載體,其可以嵌入到該裝置中。便攜式數(shù)據(jù)載體具有第二安全模塊���,其被構造為�,將唯一地識別所述便攜式數(shù)據(jù)載體的并且其中安全地存儲的第二秘密與數(shù)字圖像這樣加密地相關聯(lián)�����,使得根據(jù)該加密相關聯(lián)的結(jié)果可以唯一地確定便攜式數(shù)據(jù)載體的身份�。
[0011]按照本發(fā)明的第二方面提供一種用于產(chǎn)生數(shù)字圖像的相應方法。在此方法包括如下步驟:借助用于產(chǎn)生數(shù)字圖像的裝置的圖像產(chǎn)生單元產(chǎn)生數(shù)字圖像���;將數(shù)字圖像與第一秘密加密相關聯(lián)�,所述第一秘密安全地存儲在作為圖像產(chǎn)生單元的部分的第一安全模塊中����,并且所述第一秘密唯一地識別第一安全模塊,其中根據(jù)該加密相關聯(lián)的結(jié)果可以確定數(shù)字圖像的整體性�;和將數(shù)字圖像與第二秘密加密相關聯(lián),所述第二秘密安全地存儲在作為可以嵌入到用于產(chǎn)生數(shù)字圖像的裝置中的便攜式數(shù)據(jù)載體的部分的第二安全模塊中�����,并且所述第二秘密唯一地識別第二安全模塊����,其中根據(jù)該加密相關聯(lián)的結(jié)果可以唯一地確定便攜式數(shù)據(jù)載體的身份。
[0012]優(yōu)選地���,用于產(chǎn)生數(shù)字圖像的裝置的圖像產(chǎn)生單元包括用于將由裝置采集的光學信號處理為數(shù)字原始數(shù)據(jù)的傳感器單元和用于將數(shù)字原始數(shù)據(jù)處理為數(shù)字圖像的處理器單元����。在此第一安全模塊優(yōu)選地作為處理器單元的部分構造��。替換地��,第一安全模塊可以是與處理器單元分離的組件��。按照另一個替換��,處理器單元的功能可以集成到第一安全模塊中��,從而在該情況中通過第一安全模塊提供處理器單元��。
[0013]第一和第二安全模塊(對于專業(yè)人員來說也作為安全元件公知)�����,分別可以作為以安全或智能卡控制器形式的硬件或作為可信平臺模塊(TPM)構造����。
[0014]替換地�,第一和/或第二安全模塊也可以作為以TrustZone形式的軟件構造����。在該優(yōu)選實施方式中例如可以在圖像產(chǎn)生單元的處理器單元中實現(xiàn)正常的運行時環(huán)境和安全可信的運行時環(huán)境。在此��,安全的運行時環(huán)境與正常的運行時環(huán)境隔離并且用于運行安全性關鍵的應用程序。安全的運行時環(huán)境的優(yōu)選例子是現(xiàn)有技術中公知的ARM?TrustZoriL R在該TrustZone內(nèi)部在此運行特別安全或加固的操作系統(tǒng),優(yōu)選同樣公知的操作系統(tǒng)MoDiuore:?。
[0015]優(yōu)選地�����,便攜式數(shù)據(jù)載體除了第二安全模塊、例如以安全控制器形式的安全模塊之外����,還具有大容量存儲器,在其上可以存儲所產(chǎn)生的數(shù)字圖像�。在該優(yōu)選實施方式中便攜式數(shù)據(jù)載體是存儲卡,在所述存儲卡上實現(xiàn)第二安全模塊并且所述存儲卡可以插入到用于產(chǎn)生數(shù)字圖像的裝置的相應卡槽中����。優(yōu)選地,存儲器除了第二安全模塊和大容量存儲器���、例如閃存之外�,還包括用于管理大容量存儲器的存儲控制器���。在此第二安全模塊可以被構造為�,基于在第二安全模塊中存儲的密鑰將數(shù)字圖像以加密的形式存儲在存儲卡的大容量存儲器上��。存儲卡例如可以是SD卡�����、SDHC卡�、SDXC卡、miniSD卡��、microSD卡等����。
[0016]按照優(yōu)選實施方式,安全地存儲在圖像產(chǎn)生單元的第一安全模塊中的第一秘密是第一簽名密鑰���,第一安全模塊將其與數(shù)字圖像以第一數(shù)字簽名的形式加密相關聯(lián)��。替換地�,第一秘密可以是MAC密鑰,第一安全模塊將其與數(shù)字圖像加密相關聯(lián)�����,方式是借助MAC密鑰確定數(shù)字圖像的MAC (Message Authentication Code,消息認證碼)����。
[0017]同樣,安全地存儲在第二安全模塊中的第二秘密優(yōu)選地是第二簽名密鑰���,其與數(shù)字圖像以第二數(shù)字簽名的形式加密相關聯(lián)��。替換地�,第二秘密同樣可以是MAC密鑰����,其與數(shù)字圖像加密相關聯(lián),其方式是借助MAC密鑰確定數(shù)字圖像的MAC(MeSSage AuthenticationCode)���。
[0018]用于產(chǎn)生數(shù)字圖像的裝置可以是數(shù)碼相機�、具有數(shù)碼相機的移動設備或數(shù)碼攝像機�����。同樣地,用于產(chǎn)生數(shù)字圖像的裝置可以是掃描儀�、復印機、和/或打印機��。
[0019]在其中用于產(chǎn)生數(shù)字圖像的裝置是具有數(shù)碼相機的移動電話的優(yōu)選實施方式中���,作為安全控制器構造的第一安全模塊可以是SIM卡、USIM卡或嵌入到移動電話電子設備中的安全控制器����。
[0020]處理器單元的第一安全模塊還可以被構造為,數(shù)字圖像具有數(shù)字水印��。在此可以是可見的和/或不可見的數(shù)字水印����。
[0021]按照優(yōu)選實施方式,第一安全模塊和/或第二安全模塊可以與以中央密鑰管理服務器形式的后臺系統(tǒng)通信��。優(yōu)選地�����,中央密鑰管理服務器由可信服務管理器(TrustedService Manager, TSM)運行����。
[0022]如專業(yè)人員看出的��,前面描述的優(yōu)選構造可以在本發(fā)明的第一方面的范圍內(nèi)����,即在用于產(chǎn)生數(shù)字圖像的裝置的范圍內(nèi)以及在本發(fā)明的第二方面的范圍內(nèi)����,即在用于產(chǎn)生數(shù)字圖像的方法的范圍內(nèi)有利地實現(xiàn)。
[0023]與現(xiàn)有技術不同����,本發(fā)明特別地具有以下優(yōu)點。在產(chǎn)生數(shù)字圖像時不僅使用在數(shù)碼相機上安全存儲的秘密��,而且附加地還使用在便攜式數(shù)據(jù)載體上安全存儲的秘密����,其唯一地識別便攜式數(shù)據(jù)載體或拍攝者。在數(shù)字圖像的后來的驗證中然后確定���,一方面數(shù)字圖像是借助安全的數(shù)碼相機拍攝的并且另一方面數(shù)字圖像可以唯一地與拍攝者對應�。數(shù)字圖像可以加密地存儲在便攜式數(shù)據(jù)載體上。
【專利附圖】
【附圖說明】
[0024]本發(fā)明的其他特征��、優(yōu)點和任務由結(jié)合附圖對多個實施例和實施變型的以下詳細描述中得出���。
[0025]圖1示出了具有以數(shù)碼相機形式的用于產(chǎn)生數(shù)字圖像的裝置的優(yōu)選實施方式的系統(tǒng)的不意圖�。
【具體實施方式】
[0026]在圖1中示意性示出的用于產(chǎn)生數(shù)字圖像的系統(tǒng)10的主要元件是以數(shù)碼相機20形式的用于產(chǎn)生數(shù)字圖像的裝置��。除了常規(guī)的數(shù)碼相機的通常的組成部分��、諸如以鏡頭形式的光學單元25之外�,數(shù)碼相機20還包括圖像產(chǎn)生單元30�����,其被構造為�,從入射到數(shù)碼相機20的鏡頭25上的光學信號產(chǎn)生數(shù)字圖像。為此����,圖像產(chǎn)生單元30具有成像的光學傳感器單元32,其例如可以是CCD或CMOS傳感器�。如專業(yè)人員公知的,這樣的CCD或CMOS傳感器將借助鏡頭25在其上成像的光學信號轉(zhuǎn)換為相應的電信號�����。
[0027]由光學傳感器單元32產(chǎn)生的電信號或原始數(shù)據(jù)可以由圖像產(chǎn)生單元30的處理器單元34讀出,其中必要時還可以設置A/D轉(zhuǎn)換器��,以便將由光學傳感器單元32產(chǎn)生的電信號轉(zhuǎn)換為數(shù)字原始數(shù)據(jù)���。處理器單元34優(yōu)選是圖像處理處理器�����,其特別地被構造為�,合適地處理由光學傳感器單元32產(chǎn)生的原始數(shù)據(jù)��。例如以圖像處理處理器形式的處理器單元34可以被構造為�����,執(zhí)行以下圖像處理步驟:降噪�����、白平衡��、銳化�����、對比度匹配、伽馬校正����、像差校正、到色彩空間的匹配�、具有到合適的圖像數(shù)據(jù)格式(例如JPEG)的轉(zhuǎn)換的數(shù)據(jù)壓縮等。盡管這樣的圖像處理步驟嚴格來說已經(jīng)改變由光學傳感器單元32采集的圖像���,但是這些圖像處理步驟不應當被理解為對數(shù)字圖像的不期望的篡改�,所述篡改應當利用本發(fā)明來檢測��。例如在本發(fā)明的意義上由處理器單元34建立的數(shù)字圖像的JPEG版本被理解為由光學傳感器單元32采集的圖像�。但是為了能夠跟蹤由處理器單元34對數(shù)字圖像進行的“允許的”圖像處理步驟或改變�����,優(yōu)選地記錄由處理器單元34進行的圖像處理步驟���,例如使用的校正值�����。這些信息可以與由處理器單元34產(chǎn)生的數(shù)字圖像一起或與其分離地存儲����,例如在圖像產(chǎn)生單元30的與處理器單元34相連的存儲器單元38中。但是按照本發(fā)明也可以考慮�,不進一步處理由光學傳感器單元32 (和必要時A/D轉(zhuǎn)換器)提供的數(shù)字原始數(shù)據(jù),而是直接作為數(shù)字原始數(shù)據(jù)存儲在存儲器單元38中�����。
[0028]除了前面描述的并且在圖1中示出的組件之外��,圖像產(chǎn)生單元30還包括安全模塊36,其對于專業(yè)人員來說也作為安全元件(SecureElement)公知��。按照優(yōu)選實施方式�����,安全模塊36被構造為安全控制器,其對于專業(yè)人員來說也作為可信平臺模塊(TrustedPlatform Module, TPM)公知���。對于芯片卡領域的專業(yè)人員來說特別地也作為芯片卡或智能卡控制器公知的這樣的安全控制器����,優(yōu)選地具有本身的處理器單元和本身的存儲器單元�����,優(yōu)選地不可以從安全控制器的外部對其進行訪問。優(yōu)選作為安全控制器構造的安全模塊34可以如圖1所示是處理器單元34的部分或作為單獨的元件構造����。按照另一個替換的實施方式,整個處理器單元34也可以作為安全控制器構造���。在該情況中�����,前面描述的圖像處理步驟����,例如降噪或數(shù)據(jù)壓縮��,可以由安全控制器進行���。
[0029]圖像產(chǎn)生單元30的優(yōu)選作為安全控制器構造的安全模塊36特別地被構造為,為由光學傳感器單元32提供的并且必要時由處理器單元34處理的數(shù)字圖像設置數(shù)字簽名�。為了建立這樣的數(shù)字簽名,在作為安全控制器構造的安全模塊36的安全的存儲器單元中優(yōu)選地存儲以第一簽名密鑰形式的第一秘密�����,其唯一地識別作為安全控制器構造的安全模塊36或數(shù)碼相機20。在此在圖1所示的其中作為安全控制器構造的安全模塊36與處理器單元分離地構造的實施方式中�����,處理器單元34和作為安全控制器構造的安全模塊36優(yōu)選地這樣構造���,使得為了建立數(shù)字圖像的簽名將相應的數(shù)據(jù)從處理器單元34傳輸?shù)阶鳛榘踩刂破鳂嬙斓陌踩K36�����,其在那里利用在安全的存儲器單元中存儲的第一簽名密鑰簽名并且被簽名的數(shù)字圖像又被傳輸?shù)教幚砥鲉卧?4�,從而第一簽名密鑰總是保留在作為安全控制器構造的安全模塊36的安全環(huán)境中�����。如上所述�����,也可以將在處理器單元34中對數(shù)字圖像進行的圖像處理步驟包括到數(shù)字簽名中�����。同樣也可以考慮,既為數(shù)字圖像的原始數(shù)據(jù)又為處理的數(shù)字圖像數(shù)字簽名�。專業(yè)人員還看出,替代數(shù)字簽名��,例如也可以使用具有相應的密鑰的 MAC (Message Authentication Code)���。[0030]優(yōu)選作為安全控制器構造的安全模塊36除了前面描述的建立數(shù)字簽名之外還被構造為��,將數(shù)字圖像加密��。數(shù)字圖像的加密提供優(yōu)點��,即�����,僅有權的接收者能夠?qū)⒓用艿臄?shù)字圖像解密����、查看和隨后進一步處理���。例如拍攝者可以將其加密的數(shù)字圖像即使經(jīng)過不安全的數(shù)據(jù)網(wǎng)絡傳輸?shù)浇邮照撸缇庉?���,而不具有對?shù)字圖像的第三方訪問�。當相機經(jīng)由WLAN或無線電網(wǎng)絡在線地連接到后臺系統(tǒng)時��,該第三方訪問在現(xiàn)在通常出現(xiàn)����。
[0031]替代圖像產(chǎn)生單元30的安全模塊36主要作為以安全控制器形式的硬件的構造,按照本發(fā)明也可以考慮圖像產(chǎn)生單元30的安全模塊36主要以在處理器單元34上實現(xiàn)的軟件解決方案形式的構造��,所述軟件解決方案對于安全移動電話領域的專業(yè)人員來說是公知的并且在所述軟件解決方案中在處理器單元34中構造一個正常的運行時環(huán)境(“NormalZone”)以及一個安全的運行時環(huán)境(“TrustZone”)����,優(yōu)選以所謂的ARM⑧TrustZontj ?形式的安全的運行時環(huán)境。如專業(yè)人員公知的����,ARM? TrustZone 是由ARM ?公司開發(fā)的系統(tǒng)架構,其在處理器單元中提供一個“安全的”值得信任的和一個“正常的”通常不值得信任的區(qū)域���。在此在按照本發(fā)明的實現(xiàn)中監(jiān)視�,圖像產(chǎn)生單元30的處理器單元34是在值得信任的還是在不值得信任的區(qū)域中運行���。此外還監(jiān)視在處理器單元34的值得信任的和不值得信任的區(qū)域之間的轉(zhuǎn)換�����。安全的運行時環(huán)境在此與正常的運行時環(huán)境隔離并且封裝安全性關鍵的處理��,由此有效防止了無權第三方的攻擊��。
[0032]在此描述的優(yōu)選實施方式中安全的或加固的操作系統(tǒng)(也作為Secure OperatingSystem公知)��,優(yōu)選地從現(xiàn)有技術公知的操作系統(tǒng)MobiCore⑩�����,在TrustZone中運行����。相反,正常的運行時環(huán)境包含常規(guī)的操作系統(tǒng)���。對于用于產(chǎn)生數(shù)字圖像的按照本發(fā)明的裝置是移動電話的情況�����,在正常的運行時環(huán)境中實現(xiàn)的操作系統(tǒng)是具有廣泛的功能范圍的所謂“Rich OS”����。移動電話的操作系統(tǒng)可以是例如安卓、Apple iOS, Windows Phone等���。
[0033]除了圖像產(chǎn)生單元30之外,數(shù)碼相機20還包括便攜式數(shù)據(jù)載體40��。優(yōu)選地���,便攜式數(shù)據(jù)載體被構造為存儲卡40�����,其形狀與數(shù)碼相機20的殼體中的相應卡槽的形狀兼容并且其由此可以插入到數(shù)碼相機20的殼體中的該卡槽中并且可以從中抽取出����。如果存儲卡40被插入到數(shù)碼相機20中�����,則存儲卡40經(jīng)由輸入/輸出接口 42與數(shù)碼相機20的圖像產(chǎn)生單元30相連����。輸入/輸出接口 42又與存儲卡40的存儲器控制器和大容量存儲器相連。優(yōu)選地存儲卡40的存儲器控制器和大容量存儲器作為閃存控制器44及作為閃存46構造。數(shù)碼相機30的存儲卡40與對于數(shù)碼相機使用的常規(guī)的存儲卡區(qū)別特別地在于��,存儲卡40具有優(yōu)選作為安全控制器構造的安全模塊48,其與閃存控制器44通信��。如在以安全控制器形式的�����、圖像產(chǎn)生單元30的安全模塊36的情況下�,存儲卡40的安全模塊48可以是芯片卡領域的專業(yè)人員公知的安全控制器。相應地���,以安全控制器形式的���、存儲卡40的安全模塊48包括本身的處理器單元和本身的安全的存儲器單元。相應的存儲卡例如由Giesecke&Devrient Secure Flash Solutions 公司以產(chǎn)品名稱 “Mobile Security Card���,���,銷售,在其中嵌入了按照Common Criteria EAL5+認證的智能卡控制器�����。除了閃存之外,該“Mobile Security Card”由此還包含以安全控制器形式的安全模塊和由此可以提供常規(guī)的智能卡或芯片卡的功能��,特別是數(shù)據(jù)的數(shù)字簽名����,數(shù)據(jù)的加密和/或驗證功能。安全控制器例如可以利用操作系統(tǒng)“Java Card”運行����。
[0034]優(yōu)選地�����,在作為安全控制器構造的�����、芯片卡40的安全模塊48的安全的存儲區(qū)域中存儲了以用于產(chǎn)生數(shù)字圖像的數(shù)字簽名的第二簽名密鑰形式的至少一個第二秘密��,其中第二簽名密鑰唯一地識別作為安全控制器構造的安全模塊48��。除了第二簽名密鑰之外�,在作為安全控制器構造的安全模塊48上還可以安全地存儲另外的秘密或數(shù)據(jù),其唯一地識別便攜式數(shù)據(jù)載體40或拍攝者���,以及例如用于加密數(shù)字圖像的加密密鑰����。
[0035]如前所述,當存儲卡40被插入到數(shù)碼相機20的相應卡槽中時���,存儲卡40經(jīng)由輸入/輸出接口 42與數(shù)碼相機20的圖像產(chǎn)生單元30相連����。數(shù)碼相機20現(xiàn)在優(yōu)選被構造為��,可以將在圖像產(chǎn)生單元30的存儲器38中存儲的�、借助安全模塊36和其中存儲的第一簽名密鑰數(shù)字地簽名的數(shù)字圖像,傳輸?shù)酱鎯?0的安全模塊48�����。當然����,也可以取消存儲器38中的中間存儲,從而簽名的數(shù)字圖像直接傳輸?shù)酱鎯?0的安全模塊48����。在那里可以將已經(jīng)由作為安全控制器構造的安全模塊36簽名的數(shù)字圖像附加地由存儲卡40的安全模塊48數(shù)字地簽名���。優(yōu)選地,在安全模塊48的安全存儲單元中存儲的����、唯一地識別存儲卡40或拍攝者的第二簽名密鑰包括到另一個數(shù)字簽名的建立當中。這樣由圖像產(chǎn)生單元30的安全模塊36和存儲卡40的安全模塊48數(shù)字簽名的圖像然后可以在存儲卡40的閃存46中存儲�。專業(yè)人員看出,在前面描述的通過存儲卡40的安全模塊48數(shù)字地簽名時為此使用的第二簽名密鑰也僅在安全模塊48的內(nèi)部被使用�。如在安全模塊36的情況中那樣安全模塊48附加地還被構造為,由其將設置有數(shù)字簽名的數(shù)字圖像加密����,以保管在存儲卡40的閃存46中加密的數(shù)字圖像�。
[0036]但是在替換的實施方式中可以考慮,第二簽名密鑰可以從存儲卡40的作為安全控制器構造的安全模塊48的安全存儲區(qū)域傳輸?shù)綌?shù)碼相機20的圖像產(chǎn)生單元30的安全模塊36���。優(yōu)選地在此將第二簽名密鑰加密地傳輸?shù)綌?shù)碼相機20的圖像產(chǎn)生單元30的作為安全控制器構造的安全模塊36��。在該替換實施方式中由此可以考慮���,在通過安全模塊36產(chǎn)生的、數(shù)字圖像的數(shù)字簽名中既可以采用在安全模塊36的安全存儲區(qū)域中存儲的第一秘密(優(yōu)選是第一簽名密鑰)又可以采用在安全模塊48的安全存儲區(qū)域中存儲的第二秘密(優(yōu)選是第二簽名密鑰)����。由此雙重簽名的數(shù)字圖像通過對于數(shù)碼相機20來說特定的第一簽名密鑰而標記為可信的并且通過對于拍攝者或存儲卡40來說特定的第二簽名密鑰附加地涉及拍攝者��。
[0037]如專業(yè)人員公知的����,為了建立數(shù)字簽名�,通常使用密鑰對的秘密的私有密鑰,所述密鑰對還包括一個公有密鑰�����。相應地�,在安全模塊36的安全存儲區(qū)域中存儲的第一簽名密鑰優(yōu)選地是第一私有密鑰并且在安全模塊48的安全存儲區(qū)域中存儲的第二簽名密鑰優(yōu)選地是第二私有密鑰。專業(yè)人員公知�,特別是在較大的數(shù)據(jù)量的情況下有利地可以將數(shù)字圖像的哈希值簽名并且將簽名附加到數(shù)字圖像而不是對圖像本身簽名。
[0038]為了檢查例如在存儲卡40的閃存46中存儲的數(shù)字圖像的數(shù)字簽名�����,將與在安全模塊36的安全存儲區(qū)域中存儲的私有第一簽名密鑰一起形成第一密鑰對的第一公有密鑰�����,和與在安全模塊48的安全存儲區(qū)域中存儲的私有第二簽名密鑰一起形成第二密鑰對的第二公有密鑰��,應用于雙重數(shù)字簽名的數(shù)字圖像。如專業(yè)人員公知的���,在此將第一和第二公有密鑰應用于雙重簽名的數(shù)字圖像時的順序應當與應用第一和第二簽名密鑰的順序相反�。
[0039]例如在存儲卡40的閃存46中存儲的數(shù)字圖像的數(shù)字簽名的檢查例如可以在個人計算機50上進行����。如在圖1中通過虛線雙箭頭表示的,數(shù)碼相機20優(yōu)選地被構造為與個人計算機50通信����。例如可以考慮,數(shù)碼相機20為此具有USB端口��,其可以經(jīng)由相應的纜線與個人計算機50的USB端口相連����,以便例如將一個如前所述雙重數(shù)字簽名的數(shù)字圖像從存儲卡40的閃存46中傳輸?shù)絺€人計算機50�。替換地,個人計算機50可以具有相應形狀的卡槽���,存儲卡40可插入到所述卡槽中���,由此個人計算機50具有對于在存儲卡40的閃存46中存儲的數(shù)字圖像的訪問��。
[0040]個人計算機50優(yōu)選地經(jīng)由因特網(wǎng)60與密鑰管理服務器70形式的后臺系統(tǒng)相連���,其如在后面詳細描述的優(yōu)選地作為中央的密鑰管理實體構造。為了存儲較大的數(shù)據(jù)量�,密鑰管理服務器70可以與數(shù)據(jù)庫80相連,但是所述數(shù)據(jù)庫當然也可以是密鑰管理服務器70的部分����。優(yōu)選地,在密鑰管理服務器70上存儲了與在圖像產(chǎn)生單元30的安全模塊36中存儲的私有第一簽名密鑰一起形成第一非對稱密鑰對的第一公有密鑰����,和與在存儲卡40的安全模塊48中存儲的私有第二簽名密鑰一起形成第二非對稱密鑰對的第二公有密鑰。因為通常多個公有密鑰存儲在密鑰管理服務器70上�,所以將信息與雙重簽名的數(shù)字圖像一起向個人計算機50傳輸,所述信息允許唯一地識別存儲卡40以及數(shù)碼相機20�,以便能夠根據(jù)該信息從密鑰管理服務器70查詢相應的公有密鑰。
[0041]在其中第二簽名密鑰由存儲卡40的安全模塊48優(yōu)選被加密地傳輸?shù)綀D像產(chǎn)生單元30的安全模塊36的實施方式中����,優(yōu)選地設置,一旦所屬的存儲卡40從數(shù)碼相機20的卡槽中被取出�����,傳輸?shù)綀D像產(chǎn)生單元30的安全模塊36第二簽名密鑰在那里被刪除。
[0042]按照本發(fā)明的一種優(yōu)選實施方式�����,在制造處理器單元34時�����,為其安全模塊36設置唯一的識別元素����,例如序列號。該唯一的識別元素可以用于產(chǎn)生第一簽名密鑰�。用于產(chǎn)生第二簽名密鑰的相應的識別元素可以在制造存儲卡40時存儲在存儲卡40的安全模塊48上。安全模塊36的識別元素以及安全模塊48的識別元素都可以存儲在密鑰管理服務器70上���。根據(jù)這些識別元素�,密鑰管理服務器70能夠一方面驗證數(shù)字圖像的雙重的數(shù)字簽名并且另一方面產(chǎn)生用于在安全模塊36和安全模塊48之間的安全通信的密鑰組��。在此優(yōu)選這樣產(chǎn)生對于一個安全模塊的密鑰��,使得其與用于另一個安全模塊的密鑰一起形成一種封閉的系統(tǒng)�。由此可以確保,拍攝者的����、在存儲卡40上存儲的密鑰只能被傳輸?shù)较鄳獦嬙斓臄?shù)碼相機20中。
[0043]由此密鑰管理服務器70優(yōu)選地既在制造時也在圖像檢查時起作用�。每個數(shù)碼相機20和/或每個存儲卡40在制造方法的范圍內(nèi)與密鑰管理服務器70加密地邏輯相關聯(lián)。該過程對于芯片卡領域的專業(yè)人員來說作為個性化公知�。
[0044]為了避免,在丟失或遺忘存儲卡40的情況下會由第三方使用數(shù)碼相機20���,優(yōu)選地設置����,為了使用存儲卡40必須相對于存儲卡40的安全模塊48驗證拍攝者���,例如通過輸入PIN����。如果三次先后輸入錯誤PIN�����,則可以將數(shù)碼相機20或者鎖定或者無存儲卡40的安全模塊48地運行�����,從而在該情況下不進行通過安全模塊48的第二數(shù)字簽名并且由此不允許對這樣產(chǎn)生的數(shù)字圖像的首創(chuàng)性進行斷言。PIN查詢例如可以經(jīng)由數(shù)碼相機20的顯示單元進行����,其通常也可以用于顯示采集的或產(chǎn)生的數(shù)字圖像。
[0045]按照優(yōu)選實施方式�����,在非常高的存儲要求的情況下在圖像產(chǎn)生單元30的安全模塊36上和存儲卡40的安全模塊48上分別存儲優(yōu)選對稱的密鑰對的一個密鑰����。該對稱的密鑰對可以一方面用于在圖像產(chǎn)生單元30的安全模塊36和存儲卡40的安全模塊48之間的相互的驗證,優(yōu)選是挑戰(zhàn)響應驗證(challenge-response authentication),和另一方面用于形成在圖像產(chǎn)生單元30的安全模塊36和存儲卡40的安全模塊48之間安全的�����、SP力口密的通信信道�。為此可以將分別在圖像產(chǎn)生單元30的安全模塊36和存儲卡40的安全模塊48中存儲的對稱密鑰作為主密鑰(Master Key)使用,從中分別導出會話密鑰(SessionKey)����。
[0046]如專業(yè)人員公知的,為了相對于數(shù)碼相機20驗證存儲卡40�����,圖像產(chǎn)生單元30的安全模塊36可以將例如以隨機數(shù)形式的挑戰(zhàn)傳輸?shù)酱鎯?0的安全模塊48�����,其然后按照統(tǒng)一的加密算法由存儲卡40的安全模塊48在使用在那里存儲的驗證密鑰的情況下被加密并且該加密的結(jié)果又被傳輸?shù)綀D像產(chǎn)生單元30的安全模塊36��。在圖像產(chǎn)生單元30的安全模塊36側(cè)類似地進行����,即,由圖像產(chǎn)生單元30的安全模塊36傳輸?shù)酱鎯?0的安全模塊48的隨機數(shù)借助在安全模塊36中存儲的相應驗證密鑰加密����,并且檢查,該加密的結(jié)果是否等于由存儲卡40的安全模塊48傳輸?shù)募用艿碾S機數(shù)�����。如果是�,則圖像產(chǎn)生單元30的安全模塊34可以假定,在存儲卡40的安全模塊48中存儲的驗證密鑰等于在圖像產(chǎn)生單元30的安全模塊36中存儲的驗證密鑰并且由此該存儲卡40是可信的�����。如專業(yè)人員公知的,數(shù)碼相機20相對于存儲卡40的驗證可以以相應的方式進行���。
[0047]如專業(yè)人員公知的��,在前面描述的挑戰(zhàn)響應驗證中必須保證�����,圖像產(chǎn)生單元30的安全模塊36和存儲卡40的安全模塊48使用用于分別計算加密的隨機數(shù)的相同方法�。特別是圖像產(chǎn)生單元30的安全模塊36和存儲卡40的安全模塊48必須使用用于加密的相同加密算法�。
[0048]盡管前面描述的優(yōu)選實施方式中用于產(chǎn)生數(shù)字圖像的裝置作為數(shù)碼相機或作為具有數(shù)碼相機的移動電話構造,但是專業(yè)人員知道�����,本發(fā)明可以應用于其中產(chǎn)生數(shù)字圖像的多個其他裝置��,例如掃描儀���、打印機和復印機��。
【權利要求】
1.一種用于產(chǎn)生數(shù)字圖像的裝置(20)�����,其中����,所述裝置(20)包括: 用于產(chǎn)生數(shù)字圖像的圖像產(chǎn)生單元(30)��,其具有第一安全模塊(36)���,所述第一安全模塊被構造為���,將唯一地識別所述第一安全模塊(36)的并且在其中安全存儲的第一秘密與數(shù)字圖像這樣加密地相關聯(lián),使得根據(jù)該加密地相關聯(lián)的結(jié)果能夠確定數(shù)字圖像的整體性�;和 便攜式數(shù)據(jù)載體(40),其能夠嵌入到所述裝置(20)中�,其中,所述便攜式數(shù)據(jù)載體(40)具有第二安全模塊(48)��,所述第二安全模塊被構造為����,將唯一地識別所述便攜式數(shù)據(jù)載體(40)的并且在其中安全存儲的第二秘密與數(shù)字圖像這樣加密地相關聯(lián),使得根據(jù)該加密地相關聯(lián)的結(jié)果能夠確定便攜式數(shù)據(jù)載體(40)的身份��。
2.根據(jù)權利要求1所述的裝置(20)�,其中����,所述第一和/或第二安全模塊(36���,48)��,分別作為以安全或智能卡控制器形式的硬件或作為可信平臺模塊(TPM)和/或作為以TrustZone形式的軟件構造��。
3.根據(jù)權利要求1所述的裝置(20)���,其中,所述圖像產(chǎn)生單元(30)包括用于將由裝置(20)所采集的光學信號處理為數(shù)字原始數(shù)據(jù)的傳感器單元(32)和用于將數(shù)字原始數(shù)據(jù)處理為數(shù)字圖像的處理器單元(34)�����,其中�����,優(yōu)選地所述第一安全模塊(36)作為所述處理器單元(34)的部分構造�,所述第一安全模塊(36)被構造為與所述處理器單元(34)分離的組件或通過所述第一安全模塊(36)提供所述處理器單元(34)。
4.根據(jù)權利要求3所述的裝置(20)��,其中�,在所述圖像產(chǎn)生單元(30)的處理器單元(34)中實現(xiàn)正常的運行時環(huán)境和安全可信的運行時環(huán)境����,其中���,安全的運行時環(huán)境與正常的運行時環(huán)境隔離并且用于運行安全性關鍵的應用程序���。
5.根據(jù)權利要求1所述的裝置(20)�����,其中���,安全地存儲在所述圖像產(chǎn)生單元(30)的第一安全模塊(36)中的第一秘密是第一簽名密鑰�,第一安全模塊(36)將其與數(shù)字圖像以第一數(shù)字簽名的形式加密地相關聯(lián)�����,或者是MAC密鑰���,第一安全模塊(36)將其與數(shù)字圖像加密地相關聯(lián)��,方式是借助MAC密鑰確定數(shù)字圖像的MAC (Message Authentication Code)�����。
6.根據(jù)權利要求1所述的裝置(20)����,其中,安全地存儲在便攜式數(shù)據(jù)載體(40)的第二安全模塊(48)中的第二秘密是第二簽名密鑰���,其與數(shù)字圖像以第二數(shù)字簽名的形式加密地相關聯(lián)����,或者是MAC密鑰����,其與數(shù)字圖像加密地相關聯(lián),方式是借助MAC密鑰確定數(shù)字圖像的 MAC (Message Authentication Code)����。
7.根據(jù)權利要求1所述的裝置(20),其中���,所述便攜式數(shù)據(jù)載體(40)除了第二安全模塊(48)之外還具有在其上能夠存儲所產(chǎn)生的數(shù)字圖像的大容量存儲器(46)����,其中,所述便攜式數(shù)據(jù)載體(40)優(yōu)選是存儲卡����。
8.根據(jù)權利要求1所述的裝置(20),其中�,用于產(chǎn)生數(shù)字圖像的裝置(20)是數(shù)碼相機、具有數(shù)碼相機的移動電話����、數(shù)碼攝像機、掃描儀�����、復印機�����、或打印機��。
9.根據(jù)權利要求1所述的裝置(20)���,其中,所述第一安全模塊(36)和/或第二安全模塊(48)能夠與以中央密鑰管理服務器(70)形式的后臺系統(tǒng)通信,所述中央密鑰管理服務器優(yōu)選地由可信服務管理器(TSM)運行�。
10.一種用于產(chǎn)生數(shù)字圖像的方法,其中�����,該方法包括如下步驟: 借助用于產(chǎn)生數(shù)字圖像的裝置(20)的圖像產(chǎn)生單元(30)產(chǎn)生數(shù)字圖像�; 將數(shù)字圖像與第一秘密加密地相關聯(lián),所述第一秘密安全地存儲在作為圖像產(chǎn)生單元(30)的部分的第一安全模塊(36)中�,并且唯一地識別所述第一安全模塊(36),其中�,根據(jù)該加密地相關聯(lián)的結(jié)果能夠確定數(shù)字圖像的整體性;和 將數(shù)字圖像與第二秘密加密地相關聯(lián)�����,所述第二秘密安全地存儲在作為能夠嵌入到用于產(chǎn)生數(shù)字圖像的裝置(20)中的便攜式數(shù)據(jù)載體(40)的部分的第二安全模塊(48)中并且唯一地識別所述第二安全模塊(48)��,其中���,根據(jù)該加密地相關聯(lián)的結(jié)果能夠確定便攜式數(shù)據(jù)載體(40)的身 份�����。
【文檔編號】H04N1/32GK103999442SQ201280062867
【公開日】2014年8月20日 申請日期:2012年12月19日 優(yōu)先權日:2011年12月23日
【發(fā)明者】A.瓊恩, T.德朗 申請人:德國捷德有限公司