CN101099207B - 带有水印功能的便携数据载体 - Google Patents

Abstract

公开了一种便携数据载体(1)，其包括非易失性存储器(11)、处理器(15)和可以由所述处理器(15)执行的水印应用程序(131)，该水印应用程序也存储在数据载体(1)上。所述水印应用程序(131)被设置为检查(152)存储在数据载体(1)上的数据(110、140)或者想要存储在数据载体(1)上的数据是否存在数字水印，或者用数字水印对所述数据(110、140)进行标记。检查(152)或标记(151)是在数据载体(1)上执行的，并且在检查(152)和标记(151)后，已检查或已标记的数据(110、140)被存储在非易失性存储器(11)中以保存不定长的时间。

Description

带有水印功能的便携数据载体

本发明涉及用于管理便携数据载体上的数据的方法和计算机程序产品，尤其是所谓的多媒体卡，以及这样的便携数据载体。

随着经济、管理和新闻处理和处理步骤的日益增长的数字化，产生了越来越多的数字文档，并且由于其更加灵活的处理，所以所述数字文档被使用来代替传统的纸件文档。由于基本上可以不受限制地自由复制数据，所以通常优选提供这些带有数字水印形式的来源或创作者的参考信息的数据。这样的数字水印特别适用于数字数据中的版权保护和管理，即所谓的“数字版权管理”(DRM)。

数字水印被添加到数字文档和文件中，以便提供对第三方透明的指明来源或创作者的可查看参考信息。为了上述目的，水印“被编织到”要标记的数据中或者它们的二进制代码中，从而只有拥有了数字密钥才能移除水印(至少不会没有数据损失)，并且不容易从外部识别出在数据中的这样的水印。

在这方面，已知为了利用水印进行标记，从终端到单独的芯片卡传送数据以在那里进行标记，并且将已标记的数据返回给所述终端，从而，在芯片卡上仅仅临时存在数据。

还知道在所谓的多媒体卡上存储数据，其中该多媒体卡不支持数字水印，但是被用在支持数字水印的系统中。

因此，本发明的目的在于有效地并且可靠地管理开放系统上的数字数据的来源或作者身份。

该问题是通过根据本发明的具有独立权利要求的特征的方法和装置而解决的。在从属于这些独立权利要求的权利要求中，描述了本发明的优选实施方式和发展。

根据本发明，提供了一种便携数据载体，该便携数据载体包括非易失性存储器、处理器和可由所述处理器执行的并且也存储在所述数据载体中的水印应用程序。所述水印应用程序被配置为它可以检查存储在所述数据载体上的数据和/或想要保留在所述数据载体上的数据中是否存在数字水印，和/或用数字水印标记这些数据。所述检查或标记是在所述数据载体上进行的，在被检查或标记后，已检查或标记的数据被写入到非易失性存储器中，以便在那里保存不定长的时间(an indefinite time)。如果从外部设备访问数据，则数据在被检查或标记后传送到所述外部设备。已经标记有第一水印的数据可以进一步被标记上第二水印或其他水印，所述第二水印或其他水印例如指明所述数据载体。

由于水印应用程序是在便携数据载体上的并且在那里本地执行，所以不容易被仅仅具有访问所述数据载体可连接至的终端的访问权限的人误用。由于可以在数据载体上存储已检查或标记的数据不定长的时间，所以便携数据载体还可以被用作DRM系统的便携扩展或者作为支持关于数据的来源或作者身份的信息的多媒体卡。多媒体卡具有至少一个处理器，其用于管理目的和/或用于实现安全功能。该处理器最好可用于实现水印功能。

当数据载体经由合适的接口连接到终端(例如固定工作站或者移动笔记本)，水印应用程序可以被配置为一旦存储在其非易失性存储器中的数据被外部设备访问，它就执行对这些数据的检查或标记。这样，未被标记的数据就不能离开便携数据载体。

基本上，根据本发明也可以在数据载体上存储未被标记的数据。因此，优选地在数据载体上附加地创建特别安全存储器，其中存储未被标记的数据。可以借助保密PIN、生物认证(biometric authentication)或其它安全请求确保对这样的特别安全存储区域的访问的安全。可以以附加的非易失性存储模块或在数据载体的已存在非易失性存储器中的安全存储区域的形式实现这样的安全存储器。

在安全存储器中，也可以存放密钥，以便阻止未授权人偷窃密钥，所述密钥用于利用水印检查和/或标记数据。

优选地，在数据载体上创建加密应用程序作为附加的安全特征，该应用程序可以在处理器上执行，并且在数据被从数据载体传送到终端之前对所述数据进行加密和/或对接收到的加密数据进行解密。

在一个优选实施例中，水印应用程序在数据载体的处理器中作为背景过程启动，该应用程序永久地监视数据载体上的数据并且执行对用户透明的数据的检查或标记。

在另一实施例中，可以以访问控制的方式操作水印应用程序，以便仅在对数据载体的数据进行直接读和/或写访问时，才激活相应的水印过程以用于检查或标记数据。例如，当在非易失性存储器中存储数据时，所述数据被立即检查和/或标记。

进一步，优选地，将水印应用程序配置为可以根据特定属性来区分数据，所述特定属性诸如例如数据类型、文件名、所有者等，并且相应地，针对特定属性相关的水印检查它们和/或利用这些特定属性相关的水印对它们进行标记。这样，根据本发明可以向不同的数据载体分配单独的水印，以便在以其它方式再现的(非法记录或复制的)数据中，可跟踪地包含复制数据的载体的至少一个数字水印，并且可选地还包括在其上初始创建所述数据的设备的水印。

本发明的其它特征在后续的对根据本发明的各种例子和可选实施例的描述中将变得明显。参照附图1，该附图是唯一的图并且示出根据本发明的、与固定终端交互的数据载体。

如同在开始处描述的，借助保密的数字密钥对于第三方透明地并且不可逆地将数字水印编织到数字文档和数据中，作为数据中对来源或创作者的可检查参考信息。不应当禁止对带有上述水印的数据的复制，应当仅仅确认数据的来源或作者以及合法的占有。理想地，水印是如此健壮以致于当水印经历常规数据处理和变换(例如转换和压缩)时水印保持不受破坏。用于图片数据的水印方法例如是Eikonanark，SysCoP1.2或者PictureMarc。特别是，在本文档中使用的术语“数字水印”不包含传统加密签名或哈希数值，因为上述水印通常被添加到要保护的数据中并且对第三方可见。

为了证明真实性、原创性和作者身份并且为了管理数字数据，将数字水印引入数字数据中以便确保对版权的保护(例如以DRM系统)，其中可以基本上无质量损失地复制所述数字数据。因此，应用程序的一个重要的经济领域尤其是用做多媒体数据(例如图片数据、视频和音频数据及其它文档)或软件程序的复制保护。在软件程序中，至少嵌入在软件中的数据可以被水印标记。

为了检查文件中特定数字水印的存在或者用数字水印对文件进行标记，需要数字密钥，并且水印算法使用该密钥将相应的水印透明地插入文件中或在文件中验证该水印。由于根据现有技术，通常这些密钥是对称密钥，未被授权的人获得密钥后，可以使用该密钥对文档进行非授权的标记并且因此用于伪造或假扮创作者。这意味着：在其中很多人有权访问水印功能的公司或政府部门中的较大计算机系统中，就存在误用的危险。

因此，更合理的是使用外部设备或便携数据载体(例如带有处理器的芯片卡1(智能卡))以便在数据载体的受保护的环境中检查152或产生151数字水印。

微处理器芯片卡1通过相应的通信接口16和21与终端2连接，所述终端例如是工作站、便携计算机(膝上计算机、笔记本)、个人数字助理(PDA)或者移动电话。这样，严格安全水印功能(security-critical watermark functionality)被保护起来免受对终端2的未授权访问的威胁。

芯片卡1包括处理器15和存储器阵列，上述两者通过内部总线系统17彼此通信。存储器阵列包括永久存储器10(ROM)、非易失性可重写存储器11(EEPROM或者闪存或类似存储器)以及易失性存储器12(RAM)，其中所述易失性存储器12的内容在芯片卡1断电后立即被删除。在ROM存储器10中设置有不可变化的操作系统13(例如STARCOS、STARSIM和JAVA等)，其为操作芯片卡1提供充分的功能。这些功能例如包括加密应用程序132、各种管理应用程序133和水印应用程序131。显然，也可以采用其它的便携数据载体或者芯片卡1，其操作系统13结构不同，或者其应用程序131、132、133的组织结构与图1中示出的结构不同，并且例如上述应用程序完全地或部分地位于非易失性存储器11中。

提供非易失性EEPROM存储器11用于存储文档和数据110、140并且保持文档和数据不定长的时间以便终端2获取。在EEPROM存储器11中包含标记有水印的数据110和未标记的数据140。在图1中，带有有水印的数据110以螺旋符号标记。但是这仅仅是为了说明的目的，因为通常不能通过观察文件来察看数字水印的存在与否。

在图1中示出的本发明的优选实施例中，未标记的数据140被存储在EEPROM存储器11的特别安全存储区域14中以便保护它们免受未授权访问的威胁，因为它们仍然不带有任何水印形式的指明创作者的参考信息。此外，在安全存储区域14中还包含有安全相关的数据(例如用于水印应用程序131的数字水印密钥141或者用于加密应用程序132的加密密钥142)。只有在芯片卡1的用户特别地授权他自己例如借助PIN、“通过短语(pass phrase)”或通过生物或其它认证后才能对存储区域14寻址。

除了图1中示出的存储器阵列，还可以省略特别安全存储区域14并且将其数据内容放置到常规EEPROM存储器11中。类似地，EEPROM存储器11可以整体被特别保护或者在常规EEPROM存储器11之外设置用于上述目的的另一个特别安全EEPROM存储器。

以处理器15(CPU)可以理解的机器语言的格式来提供操作系统13的功能，以便处理器15可以执行上述功能。特别地，水印应用程序131是在处理器15上以水印过程150的形式执行的。水印处理器150排外地在存储在芯片卡1中的数据110、140、120和121的基础上执行并且出于安全的原因不访问终端2上的数据。

它主要实现了两个重要的功能，即检查152相关数据110、140是否存在特定的水印并且用水印对未标记的数据140进行标记151。可以在其被存储前，为来自终端的数据设置水印。可以使用RAM存储器12作为主存储器来执行这些功能，以便当芯片卡1和终端2之间的连接中断时，已检查的或已标记的数据152将自动删除。在检查152或标记151之后，所述已检查的或已标记的数据110、140被写入到EEPROM存储器11中以便在那里保存不定长的时间。

终端2可以是常规计算机，其设置有与芯片卡1进行数据传输的通信接口21、显示设备22(例如显示器)、输入单元23(例如键盘)、处理器24、包含文档和数据的存储器25以及可选地用于对文档进行加密和解密的加密单元26。

除了图1中示出的芯片卡，全部这些带有处理器的便携存储介质都适用于作为便携数据载体。这些存储介质可以是海量存储器卡、USB软件狗、令牌、记忆棒或者类似的带有非易失性可重写的存储器的存储介质，只要它们具有微处理器。微处理器通常用于执行涉及存储器的管理功能，例如控制与外部设备的通信。这样的处理器还可以被配置为执行根据本发明的水印应用程序131或者提供恰当的功能。

优选地，最好通过合适的加密功能132、26对要传送的数据加密或者对加密的数据进行解密。除了图1中示出的以外，还可以由特定协处理器提供安全相关的功能(例如芯片卡1的水印应用程序131和加密应用程序132)，该协处理器被优化为可以快速地执行上述算术操作。由于类似的操作，还可以在此处使用加密协处理器来实现水印功能。

在要被检查或标记的数据110、140在易失性RAM存储器12中经过检查152或标记151之后，这些数据被当做已标记数据110或未标记数据140保存在EEPROM存储器11中，并且可选地，在安全存储区域14中或者其他存储器中，从而在那里保留不定长的时间。在检查152或标记151后，甚至当数据被直接再次传输给终端2时，数据被存储在EEPROM存储器11中。

存在水印应用程序131或水印过程150的实施例的多种变化形式。只要芯片卡1与终端2连接并且被提供电源，水印过程150的数据处理可以作为永久的背景过程、与读或写访问(R/W)独立地执行。此处，过程150可以以连续重复的形式运行或者在预定的规律时间点启动。在该时间点存储在或要存储在数据载体1上的全部数据140、110被检查152是否存在特定水印并且如果在数据中不存在水印，则被标记151。

类似地，要确定其创作者的数据110可以针对特定水印进行检查152，并且根据水印的存在与否，被以特定方式进一步处理，所述特定方式例如被删除、锁定、加密、复制或其它处理。

进一步，通过仅在终端2执行对数据载体1的数据110、140的读/写访问(R/W)时才触发数据处理，可以以访问控制的方式执行水印过程150。例如，当数据被写入数据载体1中时，全部数据立刻被检查/标记。可以根据特定的附加条件执行对数据110、140的处理，例如根据数据类型、访问类型或特定用户的访问特权或过程。

除了图1中示出的实施例，根据本发明的水印应用程序131可以使用多个水印以用于检查152和标记151，根据数据的特定属性选择特定的水印，例如根据数据类型(例如文档类型、音频或视频数据、图片数据、可执行程序数据等)，或者对于不同的访问类型、访问人员或终端使用不同的水印。

而且，对于很多应用，优选地仅对选定的数据进行处理。当存储在数据载体1上的数据110、140被以微分文件系统(differentiating file system)组织时，其中该文件系统记录文件名、文件类型或者其它文件属性(例如访问权限、签名、操作时间等)，数据110、140的处理可以被限制到这些属性的某一些。例如，可以确定只有特定图片、视频或音频文件被检查152或标记151。在层次组织的文件系统中，处理可以附加地被限制到特定的子目录。类似地，在特定情况下，可以考虑在背景中与数据访问独立地处理特定数据110、140或目录，同时以访问控制方式处理其他数据110、140或目录。优选地，使用不同的水印。

尽管，原则上全部已检查或标记的数据放置在非易失性EEPROM存储器11中，但是，很明显，根据本发明的设置有水印功能的数据载体也可以用于处理临时数据，其中所述临时数据是从终端2向数据载体1传输的，并且在那里中被检查152和标记151，并且随后再次被直接提供给终端2。这样，数据载体1还可以表示“黑盒系统”，该系统与终端2连接并且执行根据本发明的对用户透明的功能。

Claims (17)

1.一种用于管理便携数据载体(1)上的数据(110、140)的方法，包括以下步骤：

检查(152)在数据(110、140)中是否存在数字水印；

在检查的数据中不存在数字水印的情况下，利用数字水印来标记(151)所述数据(110、140)，其中检查并标记所述数据(110，140)的步骤是在所述数据载体(1)上执行的；以及

将标记数字水印的数据存储在所述数据载体(1)的非易失性存储器(11)中。

2.根据权利要求1所述的方法，其特征在于，当从所述数据载体(1)外部访问所述数据(110、140)时，对所述数据进行检查(152)和/或标记(151)。

3.根据权利要求1所述的方法，其特征在于，当所述数据(110、140)被存储在所述非易失性存储器(11)中时，对所述数据进行检查(152)和/或标记(151)。

4.根据权利要求1所述的方法，其特征在于，当所述数据(110、140)未被标记时，将所述数据存储在所述数据载体(1)的安全非易失性存储器(14)中。

5.根据权利要求1所述的方法，其特征在于，使用被存储在安全非易失性存储器(14)中的密钥(141)来检查(152)和/或标记(151)所述数据。

6.根据权利要求4所述的方法，其特征在于，在所述安全非易失性存储器(14)被访问之前，通过PIN、或生物访问代码来激活所述安全非易失性存储器(14)。

7.根据权利要求1所述的方法，其特征在于，在将所述数据(110、140)从所述数据载体传输到终端之前，以密码方式加密所述数据。

8.根据权利要求1所述的方法，其特征在于，所述方法在所述数据载体(1)上作为背景过程运行，该方法永久地或以规律的时间间隔运行。

9.根据权利要求1所述的方法，其特征在于，所述方法仅在对存储在所述非易失性存储器(11)中的数据(110、140)进行读/写访问时才运行。

10.根据权利要求1-9之一所述的方法，其特征在于，只对特定的数据类型检查(152)和/或标记(151)和/或只对特定的文件类型检查(152)和/或标记(151)特定的水印。

11.一种用于管理便携数据载体(1)上的数据(110、140)的装置，包括以下部件：

用于检查(152)在数据(110、140)中是否存在数字水印的部件；

用于在检查的数据中不存在数字水印的情况下、利用数字水印来标记(151)所述数据(110、140)的部件，其中检查并标记所述数据(110，140)是在所述数据载体(1)上执行的；以及

用于将标记数字水印的数据存储在所述数据载体(1)的非易失性存储器(11)中的部件。

12.根据权利要求11所述的装置，其特征在于，所述装置还包括：用于当从所述数据载体(1)外部访问所述数据(110、140)时、对所述数据进行检查(152)和/或标记(151)的部件。

13.根据权利要求11所述的装置，其特征在于，所述装置还包括：用于当所述数据(110、140)被存储在所述非易失性存储器(11)中时、对所述数据进行检查(152)和/或标记(151)的部件。

14.根据权利要求11所述的装置，其特征在于，所述装置还包括：用于当所述数据(110、140)未被标记时、将所述数据存储在所述数据载体(1)的安全非易失性存储器(14)中的部件。

15.根据权利要求11所述的装置，其特征在于，所述装置还包括：使用被存储在安全非易失性存储器(14)中的密钥(141)来检查(152)和/或标记(151)所述数据(110，140)的部件。

16.根据权利要求14所述的装置，其特征在于，所述装置还包括：用于在所述安全非易失性存储器(14)被访问之前，通过PIN、或生物访问代码来激活所述安全非易失性存储器(14)的部件。

17.根据权利要求11所述的装置，其特征在于，所述装置还包括：用于在将所述数据(110、140)从所述数据载体传输到终端之前、以密码方式加密所述数据(110，140)的部件。