CN1610888A - 存储防盗版密钥加密(sake)设备以便控制用于网络的数据存取的方法和装置 - Google Patents

Abstract

存储用于存储单元/存储器/网络的防盗版密钥加密(SAKE)设备控制的装置和方法。验证系统包括第一存储器、ROM和微控制器并验证主机的密码。第一存储单元存储验证序列(例如生物信息)以及验证算法被编程在ROM上。在从主机接收到密码后，微控制器加载和执行验证算法以便通过硬编码的验证序列校验密码。只有当校验密码后，才允许存取第二存储单元/存储器/网络。

Description

存储防盗版密钥加密(SAKE)设备以便控制用于网络的数据 存取的方法和装置

技术领域

本发明涉及网络通信领域。更具体地说，本发明涉及保密存取在网络上的限制信息。

背景技术

软件和其他数字介质的盗版和非法复制已经变得极其普遍，通常导致全世界的媒介和软件拥有者数十亿的利润损失。这一问题随着更快和更有技术的先进计算机的到来、廉价大容量存储器(即，CDs，DVDs)的开发，以及帮助数字盗版的各个方面的复制设备诸如CD刻录机变得更复杂。

每个技术成就表面上看来产生非法复制属于另一个的知识产权的新的和更好的方法。数字盗版的例子包括：复制专有软件以便出售给他人、在几个不同系统上安装单一专有软件包、将专有软件的拷贝放在Internet上或甚至从Internet下载版权图象。

尽管在已经合法购买软件的许多终端用户中，数字盗版是相当普遍，大规模盗版通常发生在再销售商层。例如，再销售商可以复制和将软件程序、数字音频文件或数字视频文件的多个拷贝分发给不同用户。这些仿造版本有时被传递到未怀疑的用户。已知硬件销售商使用单个软件包预载不同系统。在这些例子中，未向用户提供原始手册、磁盘和/或光盘(CDs)或简单地提供其盗版拷贝。

已经设计了防止数字盗版的蔓延问题的许多方法。一个方法是使用试用版软件(trialware)来限制使用软件产品。可以通过将截止日期或使用次数编程为软件程序来实现试用版软件。这种方案分别将软件产品的使用限制到特定持续时间或试用时间(trial time)，在此之后，不再运行受保护的应用程序。然后迫使用户购买全版产品或完全退出使用它。

硬件密钥是另一种防盗版设备，通常用来防止非法使用软件。硬件密钥是插入所选定的计算机端口的设备。只要执行软件，那么它用与检测其他硬件设备(诸如打印机、监视器或鼠标)类似的方式，检测硬件密钥的存在。编程软件以便它仅当连接适当的硬件密钥时才操作，防止非法使用软件。由于分配终端用户的硬件密钥的数量对应于所购买的客户访问许可证(seat license)的数量，当安装在没有必要硬件密钥的另一系统上时，该软件将不起作用。

另一通用的防盗版技术是要求在安装软件之前，输入由软件公司提供的某一注册密钥。传统上，仅与原始软件包一起给予注册密钥，尽管一些被电子地发行。不幸地是，无法防止注册密钥的持有者将软件安装在几个系统上。另外，许多电子注册密钥基于用户的个人信息(即，诸如用户名)，因此，一些黑客已经开发了计算用于任意名的注册密钥的程序。

不幸的是，通过使用注册密钥，黑客很容易避开所有上述防盗版系统(以及许多其他系统)。对抗这些防盗版技术的通用方法是将应用编程接口(API)的编码反汇编成汇编语言，此后，将汇编语言反编译成编程语言。通过从程序流获得的知识，黑客能容易重写程序或在程序本身内设置某些条件，以致回避所有防盗版验证算法。

由上文看来，非常需要具有不能由计算机黑客或其他数字盗版容易重编程或回避的防盗版系统。还需要具有能与现有大容量存储设备结合的防盗版系统。

发明内容

根据本发明的一个方面，提供SAKE的方法，其中将SAKE连接到主机或客户系统上以及SAKE通过其生物传感器获得用户的生物身份信息。根据存储在SAKE的内部存储单元中的生物模板，校验用户的生物身份信息，诸如指纹。从SAKE的内部存储单元检索与用户有关的包括公钥的各种初始化信息，以及经计算机网络诸如Internet，通过主机系统将初始化信息提供到信息提供者或Internet服务提供者(“ISP”)。在校验初始化信息后，在SAKE和信息提供者间建立网络通信。当SAKE从信息提供者获得信息时，加密该信息并存储在SAKE内的闪速存储器中。

从下面阐述的细节描述、附图和权利要求书，本发明的另外的特征和优点将是显而易见的。

附图说明

从下述给出的详细描述和本发明的各个实施例的附图，将更全面地理解本发明，然而，不应当视为将本发明限制到具体的实施例，而仅是用于说明和理解。

图1示例说明根据本发明的一个实施例，校验来自主机的密码的验证系统的示意图。

图2示例说明根据本发明的另一实施例，校验来自主机的密码的验证系统的示意图。

图3示例说明根据本发明的另一实施例，校验来自主机的密码的验证系统的示意图。

图4示例说明根据本发明的另一实施例，校验来自主机的密码的验证系统的示意图。

图5示例说明根据本发明的一个实施例，验证来自主机的密码的方法。

图6示例说明根据本发明的另一实施例，使用防盗版文件管理器的计算机系统的示意图。

图7示例说明根据本发明的另一实施例，用于从万维网服务器接收数据的验证系统的示意图。

图8示例说明根据本发明的一个实施例的网络结构。

图9是根据本发明的一个实施例，示例说明SAKE设备的框图。

图10是根据本发明的一个实施例，示例说明在网络上提供数据存取控制的方法的流程图。

图11是表示本发明的验证方法的实施例的各个步骤的流程图。

具体实施方式

论述用于在Internet上提供数据存取控制的装置和方法。

在下述描述中，为说明目的，阐述各个具体的细节以便提供本发明的全面理解。然而，对本领域的技术人员来说，实施本发明可以不要求这些具体的细节是显而易见的。在其他情况下，以框图形式给出非常公知的电路和设备以便避免使本发明不清楚。

应理解到本发明可以包含使用公知技术，诸如例如CMOS(“互补金属氧化物半导体”)技术，或其他半导体制造工艺很容易制造的晶体管电路。另外，可以通过用于制造数字设备的其他制造工艺实现本发明。

图1示例说明根据本发明的一个实施例，校验来自主机14的密码12的验证系统10。验证系统10包括第一存储单元16、只读存储器(ROM)单元18和微控制器20。微控制器20连接到主机14、第一存储单元16、ROM单元18和第二存储单元22。微控制器20最好通过通用串行总线(USB)控制器连接到主机14。

在本发明的另一实施例中，ROM单元18可以形成为微控制器20的一部分。此外，第一存储单元16和第二存储单元22可以是多个大容量存储设备的一个，包括硬盘驱动器、软盘或移动闪速存储设备，诸如由Trek2000制造的ThumbDrive。另外，两个存储单元可以用在一个物理结构中以便形成单一大容量存储设备。大容量存储设备也可以与微控制器20放在一起以便形成单一芯片。

第一存储单元16存储验证序列24，其用来校验密码12。验证密码12的验证算法26和验证序列24一起被编码在ROM单元18上。另外，ROM单元18最好包括关机算法(shutdown algorithm)28。因为这些算法和其他数据是硬编码的，ROM单元18的内容不能被再编译或再修改。在接收密码12后，微控制器20加载和执行验证算法26以便校验密码12和验证序列24。只有当校验密码12后，才允许存取第二存储单元22。

在从微控制器20接收询问后，可以由用户或主机14执行的软件程序输入密码12。因为验证算法26被硬编码在ROM单元18上，复制或再编译和改变驻留在主机14上的软件程序不破坏由本发明提供的版权保护。对本领域的技术人员来说密码12可以是私有字符串、通信协议序列或仅授权用户所知的其他一些保密协议是显而易见的。另外，密码12和验证序列24可以通过使用用户的指纹、虹膜、脸或语音作为验证手段，形成为生物验证的一部分。

密码12还可以被编程到在主机14上运行的软件上以及仅可以由验证算法26识别，因此，对终端用户是未知的。如上所述，最好在硬件或固件(诸如ROM单元18)上实现验证算法26以便其防篡改；即，验证算法26将极其难以逆操纵或抽取数据，因此极其难以回避。

关机算法28最好通过如果由微控制器20接收到一系列不正确密码，停止整个系统来实现，以阻止蛮力攻击。验证系统程序员可以定义在系统关机前允许的不正确密码的最大次数。关机算法28还可以编程以便不再接受达特定次数的密码输入。通过使用关机算法28，由蛮力应用程序使用来识别密码12的试验和误差方法对黑客来说将变成缓慢的过程。因此，算法阻止潜在的黑客试图识别密码12。

第二存储单元22用来存储主机12上的程序运行所需的程序和/或文件。这种文件的例子包括可执行程序(诸如软件安装程序)、数字音频文件、数字视频文件、图象文件、文本文件和库文件。微控制器20只有当由微控制器20接收到正确密码12后，才允许从主机14存取第二存储单元22。

尽管在这一实施例中示例为单个实体，对本领域的技术人员来说可以用多个方法组合微控制器20、第一存储单元16、ROM单元18和第二存储单元22应当是显而易见的。例如，可以在单个半导体芯片上实现微控制器20、第一存储单元16、ROM单元18和第二存储单元22。在另一实施例中，可以在与存储单元分开的芯片上实现微控制器20和ROM单元18。

因此，本发明具有很大的设计灵活性，可以根据用户需求容易改变。例如，一方面，使用多个芯片可以允许不同的卖方制造验证系统的不同部分。另一方面，将本发明制作在更少芯片(或单一芯片)上可以更廉价并提供更好的性能。另外，如果ROM单元18和微控制器20位于相同芯片上，更难以分开ROM以便读取存储在其上的数据。

图2示例说明根据本发明的另一实施例，校验来自主机54的密码52的验证系统50。验证系统50包括第一存储单元56、ROM单元58和微控制器60。微控制器60连接到主机54、第一存储单元56、ROM单元58和编码器62上。编码器62进一步连接到第二存储单元64。第一存储单元54存储用来校验密码52的验证序列66。验证密码52的验证算法68被编程到ROM单元58上。ROM单元58最好包括关机算法70。

在接收密码52后，微控制器60加载和执行验证算法68以便通过验证序列66校验密码52。只有当校验密码52后，才允许存取第二存储单元64。如果由微控制器60接收一系列错误密码，关机算法70最好停止整个系统。验证系统程序员确定允许尝试不正确密码的最大次数。

首先分别由编码器解密或加密将从第二存储单元64上读取或写到其上的数据。可以由编码器62使用许多不同的加密方案，包括国际数据加密算法(IDEA)、数据加密标准(DES)加密、三重数据加密标准(3-DES)加密和高质量保密标准(PGP)。通过加密第二存储单元64的内容，即使黑客设法读取回避微控制器60的内容(例如通过使用探查)，也不能懂得内容的含义。在已经验证过密码52后，可以使用解码器(未示出)来解密第二存储单元64的内容。

另外，存储在第二存储单元64中的数据可以由散列编码保护。另外，验证序列66最好也加密或散列以便防止黑客拆开验证序列66。如果第一存储单元56位于第二存储单元64中，这可以不需要另外的编码器来实现。

图3示例说明根据本发明的另一实施例，校验来自主机104的密码102的验证系统100的示意图。验证系统100包括ROM单元106和微控制器108。微控制器108连接到主机104、ROM单元106和编码器110。编码器110进一步连接到存储单元112。验证密码102的验证算法114被编程到ROM单元106上。校验密码102的验证序列116被硬编码到验证算法114上。ROM单元106最好包括关机算法118。

如在前实施例所述，在接收密码102后，微控制器108加载和执行验证算法114以便通过验证序列116校验密码102。仅在校验密码102后，才允许存取存储单元112。如果由微控制器108接收一系列不正确的密码后，最好使用关机算法118来停止整个系统。

通过直接将验证序列116硬编码到验证算法114，可以在多个位置，修改验证序列116实质上变得更困难。为改变硬编码验证序列，不仅需要重新编译(如果使用编译语言)，而且要求足够理解实现以便确保改变将不导致程序故障。这种措施使得黑客更难重新编程验证系统100。

图4示例说明根据本发明的另一实施例，校验来自主机154的密码152的验证系统150。验证系统150包括只读存储器(ROM)单元156和微控制器158。微控制器158连接到主机154、ROM单元156和编码器160。编码器160进一步连接到存储单元162。首先分别由编码器160解密或加密从存储单元162读取或写到其上的的数据。另外，可以采用散列编码以便保护存储在存储单元162上的数据。

存储单元162由两种类型的数据存储区组成：公用存储区164和专用存储区166。用来校验密码152的验证序列168存储在专用存储区166上。验证密码152的验证算法170被编程到ROM单元156上。ROM单元156还包含关机算法172。通过未宣告在存储单元162上可用的存储器大小，可以创建公用存储区164和专用存储区166。

例如，具有从000至1000的物理地址的存储单元，只有当向主机154上的操作系统(OS)诸如Windows宣告物理地址000至500，OS将不知道存在物理地址501至1000。在这种情况下，存储在物理地址000至500内的数据将可由任一用户存取。这一区称为公用存储区。相反地，未宣告的物理地址501至1000形成专用存储区，因为这些地址仅可用于微控制器158并仅能由授权用户或软件程序存取。

在未保密操作条件下，任一用户可以指示主机154来从公用存储区164上读取数据或将数据写到公用存储区164上。然而，如果用户希望存取公用存储区166，用户或软件程序必须首先输入密码152，然后将其发送到微控制器158，用于验证。在接收密码152后，微控制器158执行验证算法170以便通过验证序列168校验密码152。只有当校验密码152后，才允许存取专用存储区166。如果由微控制器158接收到一系列不正确密码，关机算法172停止整个系统。

图5示例说明根据本发明的一个实施例，用于验证来自主机的密码的方法200。首先在块202提供验证序列并最好存储在第一存储单元中。同时在另一块204中提供存储在ROM单元中的验证算法。在从主机接收提示后，由用户或软件程序输入密码。然后，在块206由执行验证算法的微控制器接收密码以便在判定块208通过验证序列校验密码。

如果在判定块208中校验密码，在块210中将允许存取专用区，诸如上述实施例中的第二存储单元。然后，用户能读取或写入第二存储单元，最好是加密的。如果在判定块208中未校验密码，用户将不拒绝存取第二存储单元以及方法200将在块212中结束。另外，如果密码不正确，将给予用户另外的机会来输入正确密码。然而，如果由微控制器接收到一系列不正确密码，最好停止系统。

图6示例说明根据本发明的另一实施例，使用防盗版文件管理器252的计算机系统250的示意图。防盗版文件管理器252连接到防盗版验证机254和存储单元256。防盗版管理器252应答来自多个软件程序258的请求，多个软件程序258请求来自防盗版验证机254的不同验证方案。由验证系统260保护存取存储单元256。在这一示例性系统中，本发明的灵活性通过防盗版文件管理器252允许同时验证许多不同类型的软件程序。

图7示例说明根据本发明的另一实施例，用于从万维网服务器302接收数据的验证系统300的示意图。验证系统300连接到主机304，主机304通常通过拨号或宽带连接连接到万维网服务器302。主机304最好经USB连接器连接到验证系统300。主机304的例子包括个人计算机(PC)、个人数字助理(PDA)、允许无线应用协议(允许WAP)的移动电话和输入板。

为从万维网服务器302检索数据，通过验证系统300校验由主机304接收的密码。通常由用户或主机中的软件输入密码。如果由用户输入密码，还可以将验证系统配置成接受生物密码，诸如指纹或视网膜扫描。如果验证成功，验证系统300通过主机304发送存取万维网服务器302的请求。在接收到该请求后，万维网服务器302准许存取具有保密数据的网页。该数据可以以音乐文件或在线书或软件程序的形式。因为硬编码验证系统300中的验证算法，未授权用户将不能规避或改变验证系统300中的校验方案，因此，将不能存取万维网服务器302上的数据。

在本发明的另一实施例中，密码将嵌入将从Internet检索的数据中。主机304将用于数据的请求发送到万维网服务器302。在接收到该请求后，万维网服务器302将嵌入所请求的数据中的密码发送到验证系统300用于校验。如果校验成功，在显示或执行它后，验证系统300允许主机304存取数据。在优选实施例中，加密来自万维网服务器302的数据。在用在主机304或存储在验证系统300之前，在验证系统300中执行数据的解密。

通过考虑本发明的说明和原理，对本领域的技术人员来说，本发明的其他实施例将是显而易见的。此外，某些术语用于描述清楚的目的，而不限制本发明。上述实施例和优选特征应当视为示例性的，由附加权利要求书限定本发明。

存储防盗版密钥加密设备(“SAKE”)的概述

根据本发明的一个方面，提供SAKE的方法，其中SAKE连接到主机或客户系统上，以及SAKE通过其生物传感器接收用户生物身份信息。根据存储在SAKE的内部存储单元中的生物模板，校验用户生物身份信息，诸如指纹。从SAKE的内部存储单元检索与用户有关的包括公钥的各种初始化信息，以及经计算机网络诸如Internet，通过主机系统将初始化信息提供到信息提供者或Internet服务提供者(“ISP”)。在校验初始化信息后，在SAKE和信息提供者间建立网络通信。当SAKE从信息提供者获得信息时，加密该信息并存储在SAKE内的闪速存储器中。

在一个实施例中，SAKE是包括板上生物校验能力的存储和防盗版设备。SAKE具有通用连接性能力，诸如USB连接器。高速数据传送和大容量存储能力是SAKE的另一优点。例如，SAKE可以具有一千兆字节的存储容量以及具有达每秒1千兆比特的存取速度。下面将论述SAKE的更详细的描述。

图8示例说明根据本发明的一个实施例的网络结构800。网络结构800包括多个SAKEs802、主机系统、Internet810和各个信息提供者、内容提供者和/或ISPs。主机系统在一个方面中包括个人计算机(“PC”)804、膝上型电脑805、个人数字助理(“PDA”)和其他数字处理系统，诸如服务器、小型计算机、大型计算机、销售点机、工作站等等。Internet810在另一实施例中可以是内联网、广域网(“WAN”)和/或局域网(“LAN”)。信息提供者包括在线交易820、Internet站点830、销售服务840、个人医疗信息850、电子学习资料860、图书馆865、出版商870、音乐875和TV游戏以及电影880。对本领域的技术人员来说其他功能块也能增加到网络结构800上是显而易见的。

在线交易820的内容提供者包括各种在线销售交易，其包括Internet上的商品、软件、信息和网络服务的在线销售。在一个实施例中，SAKE802提供保密交易，其包含在用户和信息提供者间存取、购买和下载产品。使用SAKE的优点是防止未授权、无节制地复制商业信息。

Internet站点830的内容提供者包括各个受限的万维网站，其要求例如会员资格来存取放在受限万维网站上的信息。在一个实施例中，SAKE82提供对受限Internet站点的受控访问。在另一实施例中，SAKE802提供受控分发由SAKE接收的信息的方法。在这种情况下，使用SAKE的优点是防止未授权访问。

服务840的内容提供者在一个方面中包括提供支持、资源和/或升级的各种在线服务。在一个实施例中，SAKE802提供向授权和/或注册服务的客户提供服务和/或升级的方法。在这种情况下，使用SAKE的优点是防止未授权方接收服务。

医疗数据850的内容提供者在一个方面中包含医疗信息，诸如受限医院万维网站。在一个实施例中，SAKE802提供保密方法以便从用于医疗数据850的内容提供者检索Internet上的个人医疗信息。在这种情况下，使用SAKE的优点是防止未授权方存取个人医疗数据。

电子学习860的内容提供者在一个方面中包括可以粘贴在网页上或从万维网站下载的在线教育资料。在一个实施例中，SAKE802提供保密方法以便从内容提供者将各种教育和/或学习资料下载到授权和/或注册的各个用户，从而接收教育资料。在这种情况下，使用SAKE的优点是防止未授权方从电子学习860的内容提供者下载教育资料。

图书馆865和出版商870的内容提供者在一个方面中包括能借或购买的各种在线书籍和文章。在一个实施例中，SAKE802通过下载用于授权用户的书籍和/或文章的数字拷贝，提供购买或借的保密方法。在这种情况下，使用SAKE的优点是防止未授权方获得粘贴在万维网站上的书籍和文章的拷贝。

音乐875和电视游戏/电影880的内容提供者在一个方面中包括能借或购买的各种在线数字音乐和游戏/电影。在一个实施例中，SAKE802提供用于授权用户购买或借音乐、游戏和/或电影的数字拷贝的保密方法。在这种情况下，使用SAKE的优点是防止未授权方获得粘贴在万维网站上的音乐、游戏和/或电影的拷贝。

在操作中，当例如用户想从万维网站购买软件时，SAKE首先验证用户，其可以包含生物识别过程。在校验用户的身份后，SAKE告知万维网站访问请求和保密码。在确认访问请求和保密码后，能通过ISP起作用的万维网站在Internet810上与SAKE建立网络通信。随后将加密公钥从SAKE转发到万维网站以便确认用户的真实身份。只要由万维网站确认该用户身份，其将所请求的软件经SAKE的主机系统发送到SAKE。在接收到该软件后，将其直接存储在主机系统中具有有限或无法查明的SAKE的闪速存储器中。

使用SAKE充当防盗版设备的优点是防止未授权复制Internet上的信息。使用SAKE的另一优点是仅直接将所下载的内容存储到SAKE中，从而在从主机系统断开SAKE后，在主机系统上无法查找。另一优点是在允许用户存取网络上，诸如Internet或内联网上的高级内容前，采用个人和生物信息来验证用户。

图9是根据本发明的一个实施例，示例说明SAKE900的框图。SAKE900包括微控制单元(“MCU”)901、闪速存储器922、USB连接器(插件)916和生物传感器920。MCU901进一步包括处理器902、内部存储器904、防窜改单元906、加密/解密单元908、散列算法910、生物校验912和USB控制器914。在一个实施例中，在单个芯片上制作处理器902、内部存储器904、防窜改单元906、加密/解密单元908、散列算法910、生物校验912和USB控制器914。使用各种总线930-938来在SAKE900中连接各个单元。对本领域的技术人员来说，其他功能块也可以增加到SAKE900上是显而易见的。

处理器902连接到930-932总线上，用于与各个部件来回传送信息。处理器902包括微处理器、处理器、中央处理单元或数字处理单元，诸如Pentium^TM、PowerPC^TM、Alpha^TM等等。处理器902通过执行指令控制SAKE900的数据流。在一个实施例中，处理器902执行可以存储在内部存储器904中的导航软件，用于控制数据流。

内部存储器904在一个实施例中是设计成存储验证数据，诸如公钥、私钥和生物模板等的闪速存储器。应注意到公钥、私钥和生物模板在设置或初始化SAKE900期间被加载到内部存储器904中。内部存储器904通过专用总线932连接到处理器902，用于快速数据存储和提取。在另一个实施例中，内部存储器904通过系统总线930连接到处理器902。生物模板包括指纹和/或虹膜模板。在另一实施例中，内部存储器904存储用来控制ISP和SAKE间的数据流的导航软件。导航软件还负责从闪速存储器922检索数据，然后显示该数据。

生物传感器920经总线936连接到生物验证单元912，其中生物传感器920检测来自用户的生物信息或图形。例如，作为生物传感器的指纹传感器检测来自当前正控制SAKE900的用户的指纹图。只要获得用户的指纹，将其从指纹传感器转发到生物校验单元912，用于验证用户。只要接收生物信息，生物校验单元912从内部存储器904，经处理器902提取生物模板，诸如指纹模板以及相对生物模板，验证正好接收的生物信息。将验证结果转发到处理器902。应注意到在初始化SAKE期间，加载生物模板。

USB控制器914经专用总线938连接到系统总线930和USB连接器916。USB控制器914设计成控制SAKE900和主机系统间的通信，在图9中未示出。USB连接器916在一个实施例中是能直接连接到主机系统的USB端口的USB插件。USB连接器916被设计成支撑SAKE的整个重量同时插入USB端口中。另外注意到当SAKE插入主机系统的USB端口时，仅将一部分SAKE插入主机系统。

散列算法910连接到系统总线930以便执行散列函数。散列算法910在一个实施例中是标准的散列算法，诸如保密散列标准(SHS)并在Internet上将它们发送到它们目的地之前被设计成散列公钥。

闪速存储器922经总线934连接到MCU901并配置成存储大量数据。例如，闪速存储器922能存储达1千兆字节。在一个实施例中，闪速存储器922具有大容量存储的能力以及从ISP下载的数据能直接存储在闪速存储器922中。为保护数据免受窃用，在将其存储在闪速存储器922中前，加密数据。加密/解密单元908连接到系统总线930并经总线934连接到闪速存储器922。在一个实施例中，可以是标准加密码的加密/解密单元908在存储在闪速存储器922前，根据私钥加密数据。加密/解密单元908也用来在从闪速存储器922提取数据后，根据私钥解密数据。

防窜改单元906连接到系统总线930上。将防窜改单元906的功能设计成当，检测到使用高温、电压和/或频率窜改或窃用SAKE时，防窜改单元906删除存储在内部存储器904和闪速存储器922中的数据。在一个实施例中，防窜改单元906包含能检测异常状态，诸如电压、频率和温度超出规格的传感器。

图10是根据本发明的一个实施例，示例说明提供网络上数据存取控制的方法的流程图100。在块1002，过程将控制设备连接到数字处理系统。在一个方面中，控制设备是SAKE，其包括USB连接器、MCU、闪速存储器和生物传感器。USB连接器用来直接连接到充当SAKE的主机系统的数字处理系统的USB端口上。该过程进入块1004。

在块1004，生物传感器检测用户的生物信息以及将所检测的生物信息转发到生物校验单元。生物校验单元相对于存储在内部存储器中的生物模板，验证所检测的生物信息。当验证用户身份后，这意味着生物信息诸如指纹与生物模板匹配，过程进入块1006。

在块1006，过程从内部存储器检索初始化信息。在一个实施例中，初始化信息包括保密码和公钥。可以在ISPs间改变的保密码用来在SAKE和ISP间建立初始通信。过程进入块1008。

在块1008，过程将保密码转发到相关的ISP以及请求建立通信。只要形成通信，将公钥转发到ISP以便确认真实的用户正与ISP通信。过程进入块1010。

在块1010，建立SAKE和ISP间的通信以及ISP准备执行用户请求。过程进入块1012。

在块1012，SAKE接收所请求的信息，诸如数字书籍或电影的拷贝。当加密所请求的信息后，过程进入块1014。

在块1014，过程将所加密的数据存储在SAKE的闪速存储器中。过程进入下一块。

图11是表示本发明的验证方法的实施例的各个步骤的流程图。在当前优选实施例中，用户使用如下参考图11所述的验证过程，请求并从内容服务器下载受限内容到分配给那个用户的SAKE设备。如上所述，受限内容能是各种信息的任何一种，诸如版权资料(例如，报纸、书籍、杂志、音乐、电影、软件、游戏等等)、保密记录(诸如医疗、金融)、私有商业信息(例如，个人文件、技术设计、客户联系等等)、在准许访问前要求付费或年龄验证的内容，以及要求存取控制的任何其他信息。

在步骤1105，为启动该验证过程，用户利用本发明的验证方法的实施例，访问内容提供者的登录网页。通常，用户使用安装在连接到Internet的客户计算机上的通用Internet浏览器软件(例如，Microsoft Internet Explorer)来导航万维网。为访问所指定的登录页，用户输入登录页的网页地址(例如，URL地址)或点击指向那个地址的超级链接或书签。根据特定的应用，客户计算机能是台式计算机、膝上型计算机、个人数字助理(PDA)、销售点(POS)终端、电视、游戏控制台、网络化信息站或允许用户与内容服务器交互作用的任何其他允许网络的设备。在一个实施例中，登录页存储在内容服务器上以及被编程为包括“登录”按钮或链接，当点击时，使得内容服务器生成启动验证过程的命令。因此，用户点击“登录”按钮以便起动验证过程。

在步骤1110，SAKE设备，在一个实施例中，包括插入客户计算机的USB端口的USB插件从内容服务器接收命令。这一命令建立内容服务器和SAKE设备间的通信。该命令还用来告知SAKE设备内容服务器准备从SAKE设备接收属于验证过程的信息。

在步骤1115，SAKE设备经嵌入SAKE设备的生物传感器，从用户俘获生物信息。在当前的优选实施例中，生物传感器是在SAKE设备的上表面上的嵌入指纹传感器。当用户将他/她的拇指放在传感器上时，捕获指纹，用于由SAKE设备验证，如下面将在步骤1120中所述。尽管在此描述了指纹作为身份验证技术，应当意识到根据本发明，也能使用其他基于生物的技术，诸如虹膜扫描。

在步骤1120中，相对于所存储的一个或多个授权用户的生物模板，校验所捕获的生物信息。在一个实施例中，当将SAKE设备指定到授权用户时，捕获那个授权用户的指纹并存储到SAKE设备中作为指纹模板。在一个实施例中，在支持多个授权用户的情况下，为每个授权用户创建和存储单个模板。此后，当人们想存取SAKE设备所指定的服务器上的受限内容时，通过SAKE设备中的指纹校验机，相对于所存储的授权用户的指纹模板，校验那个人的指纹。

如果在步骤1120中，确定所捕获的生物信息(例如指纹)与所存储的生物模板(或在多个授权用户的情况下，一个或多个模板)匹配时，那么在步骤1125，SAKE设备将通知传送到内容服务器，向服务器表明已经生物地验证过当前用户的身份。

在步骤1130，SAKE设备从内容服务器接收设备验证请求。在优选实施例中，内容服务器在从SAKE设备接收用户身份验证的通知后，将设备验证请求传送到SAKE设备，如上述步骤1125所述。

在步骤1135，SAKE设备响应在步骤1130所述的设备验证请求，将设备验证应答传送到内容服务器。重要地，设备验证应答允许SAKE设备和内容服务器完成验证握手。将SAKE设备编程为生成特定内容服务器的特征并可由其识别的设备验证应答。因此，应答允许服务器校验将SAKE设备适当地指定给用于访问服务器上的受限内容的用户。根据优选实施例，设备验证应答包括多个验证序列，每个序列被单独地传送到服务器。例如，在传送第一验证序列后，在传送下一序列本身前，SAKE设备能等待来自服务器的确认序列。考虑到个性化方面的灵活性，在验证握手中能使用任意数目的序列。在优选实施例中，不同内容服务器与它们相应的SAKE设备具有不同验证握手，以致为特定内容服务器分配的指定SAKE设备将不能用于存取另一内容服务器上的受限内容。

在步骤1140，SAKE设备从内容服务器接收密钥请求。在优选实施例中，当完成上述步骤1135中所述的验证握手时，内容服务器将密钥请求传送到SAKE设备。换句话说，当内容服务器断定用于受限内容的请求源自为那个目的适当分配的合法SAKE设备时，服务器将密钥请求发送到SAKE设备。

在步骤1145，SAKE设备响应在上述步骤1140中所述的密钥请求，将表示用户身份的第一密钥传送到内容服务器。这一第一密钥允许服务器确认用户的身份。在优选实施例中，第一密钥是唯一识别第三方的密钥持有者的公钥(例如，在公钥体系结构或PKI下所使用的)，诸如在这种情况下的内容服务器。在一个实施例中，使用最好存储在非易失固态存储器中的保密散列算法，在传送到内容服务器前，散列公钥。应当意识到根据本发明，可以由内容服务器本身或通过代表内容服务器的鉴定当局(“CA”)执行密钥校验。

在步骤1150，SAKE设备根据要求从内容服务器接收受限内容。在一个实施例中，由SAKE设备接收受限内容作为一个或多个数据流。换句话说，按流式将内容从内容服务器传送到SAKE设备。

应意识到根据上述优选实施例，内容服务器在用户的成功身份验证、内容服务器和SAKE设备间的成功验证握手以及使用唯一密钥诸如公钥的用户身份的成功校验后，仅将受限内容发送到SAKE设备。如上所述的本发明的三级验证过程提供更强的安全保护，防止未授权存取存储在内容服务器上的受限内容。

在步骤1155，SAKE设备加密从内容服务器接收的内容。在优选实施例中，使用表示用户身份的第二密钥，执行加密。在一个实施例中，第二密钥是指定到该用户的私钥。

在步骤1160中，SAKE设备将加密内容存储在其存储器中。保密所存储的内容，防止未授权存取，因为其处于加密形式并且在没有第二密钥(例如私钥)不能解密，如步骤1155中所述。在一个实施例中，所加密的内容存储在非易失固态存储器中。

在优选实施例中，SAKE设备包括一个或多个电压检测器、频率检测器和温度检测器(例如，温度计、恒温计)以便进一步保护所存储的信息，防止窜改。这些检测器监视电压、频率和温度的工作参数。应意识到普通黑客技术包括改变环境电压、频率和/或温度，其中存储设备试图操作以便获得未授权存取所存储的数据。因此，根据这一实施例，当检测器检测到落在所指定的它们的正常工作范围外的一个或多个工作参数时，SAKE设备删除或破坏在此存储的加密数据，可选地，为第一密钥、第二密钥和生物模板。这种数据自破坏特征提供防止未授权存取存储在SAKE设备中的受限内容的防御底线。

重要地，从内容服务器接收的内容直接进入SAKE设备以及不以任何形式存储在客户计算机上。Internet浏览器充当内容服务器和SAKE设备间的数据传送的导管。数据传送对用户是透明的以及内容既不在浏览器中显示给用户，也不允许使用浏览器界面将内容存储在客户计算机上。在一优选实施例中，通过流式传送数据，其提供防止窃用的另外的保护，因为在恶意拦截的情况下，不能有意义地重新汇编部分数据流。在一个实施例中，由浏览器(使用标准解密协议诸如DES、AES、3-DS)解密从服务器接收的加密数据，然后在存储前，由SAKE设备使用私钥加密。在另一实施例中，将加密数据原样传递到SAKE设备，其能执行另外的解密和/或重新加密。以加密形式将受限内容存储在SAKE设备内以及不能复制到连接到客户计算机的另一存储介质。此外，仅当通过生物检测器和校验机验证用户身份后，才允许检索数据。

只要将内容保密地存储在SAKE设备，授权用户能通过成功地传递生物验证，获得存取该内容，从而使得SAKE设备解密所存储的内容以及使其流动到适当的应用程序用于处理。例如，解密音乐文件或电影文件并流动到媒体播放器，用于重放。解密可执行文件，然后由SAKE设备运行。解密文件，以便由浏览者/直接来自SAKE设备的字处理程序浏览。因此，内容仍然在SAKE设备中，以及数据流处于SAKE设备控制下，以便防止未授权访问。在另一实施例中，流动加密内容，用于由适当的应用程序处理而不解密。在这一实施例中，提供能处理加密内容的个性化应用程序。

在上述说明中，已经参考其具体的示例性实施例描述了本发明。然而，在不背离本发明的更宽范围的情况下，可以做出各种改进和修改是显而易见的。因此，说明书和附图应视为示例性而不是限制意义。

Claims (41)

1.一种用于在信息网络上提供数据存取控制的方法，包括：

将控制设备连接到数字处理系统；

通过执行用户验证处理，获得用户身份；

当验证用户身份时，响应信息提供者，从控制设备的第一存储单元检索初始化信息；

经所述信息网络，通过所述数字处理系统，将所述初始化信息提供到所述信息提供者；

当接收到用户身份的确认时，在所述控制设备和信息提供者间建立通信；

从所述信息提供者获得信息；以及

将所述信息存储在所述控制设备的第二存储单元中。

2.如权利要求1所述的方法，其特征在于，所述将控制设备连接到数字处理系统进一步包括将通用串行总线(“USB”)协议连接器连接到所述数字处理系统的USB插孔以便于通信。

3.如权利要求2所述的方法，其特征在于，所述数字处理系统进一步包括连接到互联网、内联网、广域网(“WAN”)和局域网(“LAN”)的至少一个。

4.如权利要求3所述的方法，其特征在于，所述通过执行用户验证处理获得用户身份进一步包括：

启动指纹检测器来检测用户指纹；

从所述指纹检测器获得用户指纹；

从所述控制设备的所述第一存储单元检索指纹文件；以及

响应所述指纹文件，验证用户指纹。

5.如权利要求4所述的方法，其特征在于，所述通过执行用户验证处理获得用户身份进一步包括

启动虹膜检测器以便检测用户的虹膜；

从所述虹膜检测器获得用户虹膜；

从所述控制设备的所述第一存储单元检索虹膜文件；以及

响应所述虹膜文件，验证用户虹膜。

6.如权利要求1所述的方法，其特征在于，所述向信息提供者提供初始化信息进一步包括：

检索与所述信息提供者有关的保密码；

将所述保密码发送到所述信息提供者；

检索与所述信息提供者有关的公钥；以及

在将所述公钥发送到所述信息提供者前，散列所述公用。

7.如权利要求3所述的方法，其特征在于，所述从信息提供者获得信息进一步包括：

将在线交易请求发送到所述信息提供者；以及

响应所述在线交易请求，接收所述信息。

8.如权利要求3所述的方法，其特征在于，所述从信息提供者获得信息进一步包括：

将用于访问受限互联网站点的请求发送到所述信息提供者；以及

在校验所述请求后，响应所述请求，接收所述信息。

9.如权利要求3所述的方法，其特征在于，所述从信息提供者获得信息进一步包括：

将服务或升级请求发送到所述信息提供者；以及

在校验所述请求后，响应所述请求，接收所述信息。

10.如权利要求1所述的方法，进一步包括运行导航软件以便显示存储在所述控制设备的所述第二存储单元中的所述信息。

11.一种用于通过计算机网络提供受控传播信息的防盗版的方法，所述方法包括：

将SAKE连接到主机系统；

从指纹传感器获得用户指纹；

根据存储在SAKE的第一存储单元中的指纹数据，校验用户身份；

从SAKE的所述第一存储单元检索与所述用户有关的公钥；

经所述计算机网络，通过所述主机系统，将所述公钥提供到所述信息提供者；

当接收校验公钥的消息时，在SAKE和信息提供者间建立通信；

从所述信息提供者获得信息；以及

将所述信息存储在SAKE的第二存储单元中。

12.如权利要求11所述的方法，其特征在于，所述将SAKE连接到主机系统进一步包括将通用串行总线(“USB”)协议连接器连接到SAKE系统的USB插孔以便于通信。

13.如权利要求12所述的方法，其特征在于，所述主机系统进一步包括连接到互联网、内联网、广域网(“WAN”)和局域网(“LAN”)的至少一个。

14.如权利要求11所述的方法，其特征在于，所述经所述计算机网络，通过所述主机系统，将所述公钥提供到所述信息提供者进一步包括：

将保密码发送到所述信息提供者；以及

在发送所述公钥前，散列所述公钥。

15.如权利要求11所述的方法，其特征在于，所述将所述初始化信息提供到所述信息提供者进一步包括：

检索与所述信息提供者有关的公钥；以及

在将所散列的公钥发送到所述信息提供者前，散列所述公钥。

15.如权利要求11所述的方法，其特征在于，所述从所述信息提供者获得信息进一步包括：

将在线交易请求发送到所述信息提供者；以及

响应所述在线交易请求，接收所述信息。

16.如权利要求11所述的方法，其特征在于，所述从信息提供者获得信息进一步包括：

将用于访问受限互联网站点的请求发送到所述信息提供者；以及

在校验所述请求后，响应所述请求，接收所述信息。

17.如权利要求11所述的方法，其特征在于，所述从信息提供者获得信息进一步包括：

将服务或升级请求发送到所述信息提供者；以及

在校验所述请求后，响应所述请求，接收所述信息。

18.如权利要求11所述的方法，其特征在于，所述将信息存储在SAKE的第二存储单元进一步包括在将所述信息存储在SAKE的所述第一存储单元前，响应私钥，加密所述信息。

19.如权利要求11所述的方法，进一步包括：

从SAKE的所述第二存储单元检索所述信息；

解密所述信息；以及

运行导航软件以便显示所述信息。

20.如权利要求1所述的方法，进一步包括：

当电压、频率和温度检测设备的一个检测到窜改时，将防窜改码加载到执行序列中；以及

执行防窜改码。

21.一种用于通过互联网提供受控传播信息的防盗版设备，包括：

处理器；

连接到所述处理器的内部存储单元，配置成存储身份数据；

连接到所述处理器并能读取用户指纹的指纹传感器；

连接到所述指纹传感器的指纹校验单元，配置成根据存储在所述内部存储器中的验证数据，验证用户身份；

连接到所述处理器的闪速存储单元，用于存储大量数据；

连接到所述处理器的散列算法单元，配置成散列用于网络访问的公钥；以及

连接到所述处理器的通用串行总线(“USB”)连接器，用于连接到系统。

22.如权利要求21所述的防盗版设备，进一步包括连接到所述处理器的加密和解密单元，配置成在将所述信息存储在所述闪速存储单元中前，响应所述私钥，加密从互联网接收的所述信息。

23.如权利要求21所述的防盗版设备，进一步包括连接到所述处理器的加密和解密单元，配置成在互联网上发送所述信息前，解密存储在所述闪速存储单元中的所述信息。

24.如权利要求21所述的防盗版设备，进一步包括连接到所述处理器的防窜改单元，配置成当电压、频率和温度检测设备的一个检测到窜改状态时，破坏存储在所述内部和闪速存储单元中的数据。

25.如权利要求21所述的防盗版设备，进一步包括：

连接到所述处理器并用来验证用户身份的指纹校验单元；以及

连接到所述处理器并配置成控制所述防盗版设备和所述系统间的通信的USB控制器。

26.一种用于由用户存取受限信息的方法，所述方法包括步骤：

将便携式存储设备连接到客户计算机的通信端口，所述客户计算机通信地连接到网络上的内容服务器，所述内容服务器存储受限信息，所述便携式存储设备具有位于其上的生物检测器并能相对于所存储的授权用户的生物模板，校验用户身份；

使用所述生物检测器，捕获请求的生物信息；

所提供的所述便携式存储设备验证所述请求者的身份，将第一通知从所述便携式存储设备传送到所述内容服务器；

从所述内容服务器接收设备验证请求，以及响应此，将设备验证应答从所述便携式存储设备传送到所述内容服务器，所述设备验证应答用于完成所述内容服务器和所述便携式存储设备间的验证握手；

从所述内容服务器接收密钥请求，以及响应此，将表示所述请求者的第一密钥从所述便携式存储设备传送到所述内容服务器，所述第一密钥用于允许所述内容服务器确认所述请求者的身份；

从所述内容服务器接收所述受限信息；

使用表示所述请求者的身份的第二密钥，加密所述受限信息；以及

以加密的形式，将所述受限信息存储到所述便携式存储设备中，其中，不使用所述第二密钥，不能解密所述所存储加密信息。

27.如权利要求26所述的方法，进一步包括在检测到至少一个工作参数超出预定额定工作范围时，删除所述第一密钥、所述第二密钥、所述生物模板和所述所存储的加密数据的至少一个的步骤，其中，所述至少一个工作参数包括电压、频率和温度。

28.如权利要求26所述的方法，进一步包括在将其传送到所述内容服务器前，散列所述第一密钥的步骤。

29.如权利要求28所述的方法，其特征在于，保密散列算法驻留在所述便携式存储设备中的非易失固态存储器中，所述保密散列算法用来散列所述第一密钥。

30.如权利要求26所述的方法，其特征在于，所述第一密钥是唯一识别第三方的所述请求者的公钥。

31.如权利要求26所述的方法，其特征在于，所述第二密钥是所述请求者的私钥。

32.如权利要求26所述的方法，其特征在于，所述生物模板包括所述授权用户的指纹信息。

33.如权利要求26所述的方法，其特征在于，所述客户计算机的所述通信端口是USB端口以及所述便携式存储设备包括USB插孔。

34.如权利要求26所述的方法，其特征在于，所述所存储的加密信息驻留在所述便携式存储设备中的非易失固态存储器中。

35.如权利要求26所述的方法，其特征在于，所述设备验证应答包括从所述便携式存储设备传送到所述内容服务器的多个验证序列。

36.如权利要求26所述的方法，其特征在于，按流式将所述受限信息从所述内容服务器传送到所述便携式存储设备。

37.如权利要求26所述的方法，其特征在于，所述受限信息包括版权材料。

38.如权利要求26所述的方法，其特征在于，所述受限信息包括机密医疗记录。

39.如权利要求26所述的方法，其特征在于，所述受限信息包括私有商业信息。

40.如权利要求26所述的方法，进一步包括在由所述内容服务器接收所述受限信息前，完成电子付款交易的步骤。

Images