專利名稱:利用物理不可復制函數對令牌的詢問響應認證的制作方法
技術領域:
本發明涉及一種對提供可測量參數的物理令牌進行認證的方法, 以及一種包括提供用于認證的可測量參數的物理令牌的設備。
背景技術:
物理不可復制函數(physical uncloneable function, PUF )是一種
用于創建防墓改環境的結構,其中,多方可以建立共享的秘密和/或密 碼材料(例如加密密鑰)。PIIF是一種物理令牌,對其提供輸入—— 詢問。當將詢問提供給PUF時,其產生被稱為響應的隨機模擬輸出。 因為其復雜度及其所遵循的物理規律,令牌被認為是"不可復制的", 即,對于物理復制和/或計算式模型是不可行的。PUF有時也被稱為物 理隨機函數。如果PUF與控制函數(control fuction)組合,則實質上 可以加強PUF。在實踐中,PUF和與PUF不可分的算法被包括在防篡 改芯片(所謂的受控PUF (CPUF))內。以硬件、軟件或它們的組合 實現的算法對PUF的輸入和輸出進行管理。例如,禁止頻繁詢問PUF, 禁止特定類型的詢問,隱藏PIJF的物理輸出,僅公開以受密碼保護的 數據等等。
可以將PUF用作密碼密鑰材料的生成器的原因在于,可以根據 PUF的輸出推導出比特串。這種PUF的示例是在隨機位置包含光散射 元件的3D光學介質。對于光學介質的輸入(即詢問)可以是例如照射 PUF的激光光束的入射角,輸出(即響應)是由光散射元件所創建的 作為特定入射角結果的斑點圖案。這種響應可以通過相機來檢測,并 且可以被量化為密碼密鑰。創建可以用作密碼密鑰材料的源的PUF的 另一方式是以介電粒子散布在其中的涂覆層來覆蓋集成電路(IC)。 這些粒子典型地具有不同的介電常數以及歸因于制造工藝的或多或少 的隨機形狀、尺寸和位置。傳感器元件^L布置在IC的頂部金屬層,以 在不同涂覆層位置對電容值進行本地化測量。在該示例中,涂覆層自 身構成物理不可復制函數。作為介電粒子的隨機特性的結果,所測量的電容值促成了優秀的密鑰材料。具有涂覆層形式的PDF的IC對電 容進行測量,并且將電容值轉換為比特串,根據所述比特串而推導密 碼密鑰。
"Protecting Devices by Active Coating" by Dr. Reinhard Posch, Technische Universitat GRAZ, AUSTRIA, published in /owrmi/ t/f Ve/*5^/ C。wi/7Mfer 5V:&wce, vo/.《wo. 7 (7995), iS/7r/wger
尸M. O .,公開了一種利用例如在智能卡中或在一些其它安全硬件設備 的覆蓋材料中所使用的涂覆材料的隨機特性來檢測設備的墓改的方 法。在所公開的方法中,涂覆層被假設為具有電可測量特性(例如電 阻或電容)的材料。因為材料的不可再現和隨機特性,所以可以感測 電可測量特性,并且可以根據所感測的值來創建密碼密鑰材料。篡改 這種類型的涂覆層的操作導致密碼密鑰的改變,并且篡改操作因此毀 壞所述密鑰。
對集成電路(IC)的物理攻擊在某種程度上引出了一個主要的安全性 問題,所述程度日益增大,并且芯片制造商一般以保護性涂覆層來覆 蓋他們的IC。攻擊者不斷開發技術來繞過芯片制造商的防范措施。這
些技術范圍從蝕刻到光和離子束攻擊。因此,期望開發并改進用于阻
止對芯片(例如IC)的安全性攻擊的方法。
發明內容
本發明的目的在于解決現有技術中的上述問題,并且提供一種用 于檢測設備的篡改的方式。
通過一種如權利要求1所述的對提供可測量參數的物理令牌進行
認證的方法以及一種如權利要求10所述的包括提供用于認證的可測量
參數的物理令牌的設備來達到該目的。
在本發明第一方面中,提供一種方法,包括以下步驟測量由物 理令牌所提供的多個所述參數的值;以噪聲糾正數據處理測量值,以
推導驗證數據的集合。進一步地,所述方法包括以下步驟對所述驗 證數據與登記數據進行比較,所述登記數據根據在物理令牌的登記期 間所測量的所述多個參數的值而推導得出;確定所推導出的驗證數據 是否與所述登記數據對應,其中,如果所述驗證數據與所述登記數據 之間存在對應關系,則將所述物理令牌看作是認證的。
在本發明第二方面中,提供一種設備,該設備包括用于測量由物理令牌所提供的多個所述參數的值的裝置;用于進行以下處理的裝 置以噪聲糾正數據處理測量值,以推導驗證數據的集合;對所述驗 證數據與登記數據進行比較,所述登記數據根據所述噪聲糾正數據和 在物理令牌的登記期間所測量的所述多個參數的值而推導得出;確定 所推導出的驗證數據是否與所述登記數據對應,其中,如果所述驗證 數據與所述登記數據之間存在對應關系,則所述設備被認為是認證的。
本發明的基本構思在于利用設備中所包括的物理令牌的特性來檢 測所述設備是否被篡改。
在登記階段,測量由所述物理令牌所提供的多個物理參數的值。 例如,應該對其檢測篡改的設備包括具有傳感器元件的集成電路 (IC)、覆蓋1C的涂覆層的形式的物理令牌。被布置在IC處的所述 傳感器元件被布置為測量由所述涂覆層所提供的多個物理參數(例 如在不同涂覆層位置處的電容)。因此,在涂覆層的N個不同位置處 典型地測量電容值,這產生測量值1^,,,1^,... ,Rnj的集合R。測量值的 這個集合被稱為響應數據。采用噪聲糾正數據(也稱之為幫助方數據) 來以安全方式提供噪聲健壯性。在登記期間所獲得的響應不一定必須 與在認證階段期間所獲得的(理論上相同的)響應相同。當測量物理 特性(例如響應)時,總是有隨機噪聲出現在測量操作中,從而用于 將所測量的模擬特性轉換為數字數據的量化處理的結果(outcome)將 對于相同物理特性的不同測量操作而不同。為了向噪聲提供健壯性, 在登記期間推導幫助方數據并且對其進行存儲。所述幫助方數據將在 認證期間被使用,以實現噪聲健壯性。幫助方數據被看作是公共數據, 并且僅公開可忽略的量的關于根據所述響應數據所推導出的秘密登記 數據的信息。
在示例性幫助方數據方案中,經由以(W, S) = Fg(R)的方式的某些 適當函數FG,所述幫助方數據W和登記數據S是基于物理令牌的響應 數據R的。函數Fg可以是隨機化函數,其使得能夠從響應數據的一個 單個集合R生成很多對(W, S)幫助方數據W和登記數據S。這允 許所述登記數據S (并且因此也允許幫助方數據W)對于不同登記授 權方(authorities)而不同。于是將所推導出的幫助方數據和登記數據 存儲在實現所述物理令牌的設備中。所述設備包括微處理器或具有計 算能力的某些其它適當的設備,以及存儲裝置。優選地,但并非必須,在存儲所述登記數據之前,由所述微處理器以密碼方式來保護所述登 記數據。
于是,在認證階段,測量電容值,其產生測量值R'o,R'h... ,R'Nd 的另一集合R'。在登記階段,選取幫助方數據,從而當將 delta-contracting函數G應用于所述響應數據R=R0, &,... , R^和幫助 方數據W=W,,, W,,…,WNj時,結果等于登記數據S-So, S,,…,Sn小 delta-contracting函數具有以下特性其允許選取幫助方數據的適當的 值,從而充分類似響應的數據的任意值產生相同輸出值(即與登記數 據相同的數據)。結果,如果R'充分程度地相似于R,則G(R, W) = G(R', W)-S。因此,在認證期間,噪聲響應R'連同幫助方數據W—起將產 生驗i正數據S'= G(R', W),其與登記數據S相同。按以下方式來布置 所述幫助方數據不公開關于所述登記數據的信息。于在所述設備中 以密碼方式保護所述登記數據的情況下,所述設備的所述微處理器在 認證階段也以密碼方式保護所述驗證數據S'。 一旦在所述設備中已經 以密碼方式保護了所述登記數據和所述驗證數據,那么就可以在所述 設備外部安全地處理所得到的受保護數據。
在認證階段,對所述驗證數據S'與所述登記數據S進行比較,并 且確定所推導出的驗證數據是否與所述登記數據對應。如果對應,則 將所述物理令牌看作是認證的。
本發明有利地用于確定設備(例如集成電路)是否已經被攻擊或 者篡改。典型地,對所述設備的物理攻擊毀壞保護性涂覆層。通過毀 壞所述涂覆層(即所述設備的物理令牌),已經修改了所述涂覆層的 特性,并且已經改動了在給定涂覆層位置處的涂覆層的響應。結果, 在認證階段所推導出的響應數據將不同于在所述登記數據中所推導出 的所述響應數據,并且包括所述物理令牌的設備的認證操作將失敗。
例如,當1C希望檢查其是否受攻擊時,其在N個涂覆層位置(其 中,傳感器被布置在各個位置以用于測量電容)執行電容值的測量, 產生測量值R'(,,R、,." ,RVh于是,在登記期間所創建的幫助方數據 W0, W"…,用于推導驗證數據S'n, S、,…,S'w。于是,IC計算 S'=S'0|| ... ||SW散列值H(S')(其中,ll表示數據的級聯)——即登 記數據_^通過散列函數而以密碼方式來保護。然而,應注意,可以
對驗證數據s'的明文拷貝與所述登記數據s的明文拷貝進行比較,在此情況下,無需采取密碼保護方式。最終,1C檢查是否H(S) = H(S')。 如果存在對應關系,則1C判斷其尚未被攻擊,而如果散列值彼此不對 應,則一個或多個測量的電容值不同于在登記期間所測量的對應值。IC 于是得出結論其已經被篡改,并且將適當地采取行動(例如進入休 眠模式或簡單地自我關閉)。已由給定傳感器在認證期間所測量的并 且關于由相同的給定傳感器在登記期間所測量的值而不同的電容值極 有可能暗示1C已經被篡改。因此,所述多個(N個)測量電容值必 須落入待認證1C的預定誤差容限邊界之內推導S和S'所采用的 delta-contracting函數G越敏感,所述邊界越窄。
在本發明實施例中,將不可逆函數的形式的密碼函數(例如散列 函數)應用于所述驗證數據S'。有利的是,應該采用登記階段和認證 階段兩者,而不公開根據在所述設備處測量的涂覆層電容值所推導出 的秘密數據(即登記數據以及驗證數據)。因此,在所述秘密數據待 從所述設備導出的情況下,所述設備的微處理器通過使用散列函數來 使得在所述登記階段中的登記數據模糊化,產生散列值H(S)。散列 函數具有需要相對少量的處理功率的優點。在認證時,所述驗證數據S' 被散列化,這產生H (S')。如果比較結果示出H(S)=H(S'),則包括所 述物理令牌的設備確定其尚未被攻擊,并且因此其是認證的。
進一步地,通過將散列函數應用于所述秘密數據,如上所述,如 杲需要,則可以在所述設備外部安全地處理散列化后的登記數據H ( S ) 和驗證數據H (S')。
在另一實施例中,在登記期間例如使用對稱加密方式或不對稱加 密方式對所述登記數據S進行加密。有可能的是,在認證階段也對所 述驗證數據S'進行加密,并且將對應的加密后的數據集合EK (S)與 EK (S')彼此進行比較。或者,對已加密的登記數據進行解密,散列 化,并且與所述驗證數據的散列化拷貝進行比較。如果執行加密操作,
則可以有利地重用數據。
當研讀所附權利要求以及以下描述時,本發明的其它特征和優點 將變得清楚。本領域技術人員應理解,可以組合本發明的不同特征, 從而創建除了以下所描述的實施例之外的實施例。
以下將參照附圖給出本發明優選實施例的詳細描述,其中 圖1示出根據本發明實施例的包括提供用于認證的可測量參數的 物理令牌的設備。
具體實施例方式
圖1示出根據本發明實施例的包括提供用于認證的可測量參數的 物理令牌的設備。該設備ll包括集成電路(IC),其由半導體晶片12、 絕緣層13和傳感器元件16組成。進一步地,該設備包括覆蓋IC的涂 覆層14的形式的物理不可復制函數(PUF)。在涂覆層14中,散布介 電粒子15。這些粒子典型地具有不同介電常數,并且是隨機大小和形 狀。傳感器元件16被布置在絕緣頂部金屬層13處,以用于在不同涂 覆位置對電容值進行本地化測量。設備ll典型地布置有輸入,經由 所述輸入可以輸入數據;輸出,經由所述輸出可以提供加密/解密(并 且有可能被簽署的)數據。或者,設備11可以接收已加密數據作為輸 入數據,并且輸出解密后的數據。設備11還包括微處理器17或具有 計算能力的某些其它適當的設備(例如AS1C(專用集成電路)、FPGA
(現場可編程門陣列)、CPLD (復雜可編程邏輯設備)等等)。微處 理器例如被采用為執行密碼運算,并且根據測量的電容值來推導數據 集合。進一步地,設備ll包括存儲裝置18,并且微處理器典型地被布 置有模數轉換器(未示出),以用于將測量的模擬電容值轉換為數字 比特串,以用于進一步處理。當執行本發明的方法不同實施例的步驟 時,微處理器典型地執行下載到設備并且存儲在存儲裝置18中的適當 的軟件。本領域技術人員理解,關于輸入和/或輸出數據,存在大量組 合,加密/解密所述數據,或者根據其中使用了所述設備的應用而以任 何其它適當的方式對所述數據進行處理。
因此,在本發明實施例中,在設備11的登記期間由傳感器元件16
來測量涂覆層14的多個電容值R,、、 R,、 ....... RN-i。由設備來選取噪
聲糾正數據W,并且通過應用于微處理器17的函數FG,以(W, S)= Fc(R)的方式來推導基于噪聲糾正數據W和涂覆層的響應數據R(其典 型地包括級聯的電容值R』R』......Pw)的登記數據S。此外,微處
理器將散列函數H應用于登記數據S,其產生散列值H(S)。所推導
出的幫助方數據W和受保護的登記數據H (S)被存儲在設備的存儲器18中。
于是,在認證階段,在檢測到有可能篡改設備的情況下,在與在 登記期間所使用的相同傳感器元件18處測量電容值,這產生測量值
RV R'i........ 的另一集合R'。如上所述,在登記期間選取幫
助方數據,從而當將delta-contracting函數G應用于登記響應數據R 和幫助方數據W時,結果等于登記數據S。 delta-contracting函數具有 以下特性其允許選取幫助方數據的適當的值,從而充分類似響應的 數據的任意值產生相同輸出值(即與登記數據相同的數據)。結果, 如果在認證期間所推導出的響應數據R'充分程度地相似于在登記期間 所推導出的響應數據R,則G(R, W)-G(R', W) = S。因此,如果涂覆 層14的電容特性尚未被修改,則在認證期間,噪聲響應R'連同幫助方 數據W—起將產生驗證數據S'^G(R', W),其與登記數據S相同。微 處理器n執行驗證數據的散列化運算,產生H (S')。于是,對散列
化后的驗證數據與散列化后的登記數據進行比較。如果H(S')=H(S), 則認為設備未被篡改,并且因此可以是認證的。
雖然已經參照本發明特定示例性實施例描述了本發明,但許多改 動、修改等等對于本領域技術人員將是清楚的。因此,所描述的實施 例并非意欲限制所附權利要求所定義的本發明的范圍。
權利要求
1. 一種對提供可測量參數的物理令牌(14)進行認證的方法,所述方法包括以下步驟測量由所述物理令牌(14)提供的多個(N)所述參數的值(R'0,...,R'N-1);以噪聲糾正數據(W0,...,WN-1)來處理所述測量值(R'0,...,R'N-1,以推導驗證數據(S'0,...,S'N-1);對驗證數據(S'0,...,S'N-1)與登記數據(S0,...,SN-1)進行比較,所述登記數據(S0,...,SN-1)是根據所述噪聲糾正數據以及在所述物理令牌的登記期間所測量的所述多個(N)參數的值(R0,...,RN-1)推導出的;確定所推導出的驗證數據(S'0,...,S'N-1)是否與所述登記數據(S0,...,SN-1)對應,其中,如果所述驗證數據與所述登記數據之間存在對應關系,則認為所述物理令牌是經過認證的。
2. 如權利要求1所述的方法,其中,在物理令牌(14)的登記期間 推導出所述噪聲糾正數據(W)。
3. 如權利要求1或2所述的方法,進一步包括以下步驟 以密碼方式保護所述驗證數據(S'),其中,對所述以密碼方式所保護的驗證數據與以密碼方式所保護的登記數據進行比較,并且如果 所述受保護的驗證數據與所述受保護的登記數據之間存在對應關系, 則認為所述物理令牌是經過認證的。
4. 如權利要求3所述的方法,其中,通過應用不可逆函數來保護所 述數據。
5. 如權利要求4所述的方法,其中所述不可逆函數是散列函數。
6. 如權利要求4或5中的任意一項所述的方法,其中,所述以密碼 方式保護數據的步驟包括以下步驟將不可逆函數應用于所述驗證數據(S'),其中,對所述不可逆函數的輸出與應用于所述登記數據的所述不可逆函數的輸出進行比較, 并且如果所述不可逆函數的所述兩個輸出之間存在對應關系,則認為 所述物理令牌是經過認證的。
7. 如權利要求3或4中的任意一項所述的方法,其中,通過加密方式來保護所述數據。
8. 如前述權利要求中的任意一項所述的方法,進一步包括以下步驟在物理令牌(14)的登記期間選擇所述噪聲糾正數據(W),從 而通過應用函數(Fg)使得(W, S) = Fg(R),基于所述噪聲糾正數據和 所述多個(N)參數的測量值(R)來推導所述登記數據(S)。
9. 如權利要求8所述的方法,進一步包括以下步驟 將所述噪聲糾正數據(W)和所述登記數據(S)存儲在所述物理令牌(14)處。
10. —種設備(ll),包括提供用于所述設備的認證的可測量參數 的物理令牌(14),所述設備進一步包括用于測量由所述物理令牌(14)所提供的多個(N)所述參數的值(R'o, ,)的裝置(16);用于進行以下操作的裝置(17 ) 以噪聲糾正數據(Wn,,…,Ww ) 來處理所述測量值(RV.^RV,)以推導驗證數據(S',),…,S'Nd ); 對驗證數據(S',h ... , S'N-)與登記數據(S,h…,Sw )進行比較,所述 登記數據(So,... , SN—,)是根據所述噪聲糾正數據以及在所述物理令牌 的登記期間所測量的所述多個(N)參數的值(R,,,…,RN—,)推導出的; 以及確定所推導出的驗證數據(S' , ... , SV,)是否與所述登記數據(S ,... , SN ,)對應,其中,如果所述驗證數據與所述登記數據之間存 在對應關系,則認為所述物理令牌是經過認證的。
11. 如權利要求IO所述的設備(11),其中,所述用于處理的裝置 (17)被進一步布置為將不可逆函數應用于所述驗證數據(S'),其中,對所述不可逆函數的輸出與應用于所述登記數據的所述不可逆函 數的輸出進行比較,并且如果所述不可逆函數的所述兩個輸出之間存 在對應關系,則認為所述物理令牌(14)是經過認證的。
12. 如權利要求7或8中的任意一項所述的設備(11 ),其中,所 述用于處理的裝置(17)被進一步布置為在物理令牌(14)的登記 期間選擇所述噪聲糾正數據(W),從而通過應用函數(Fg)使得(W, S) = Fg(R),基于所述噪聲糾正數據和所述多個(N )參數的測量值(R) 來推導所述登記數據(S)。
13. 如權利要求10-12中的任意一項所述的設備(11),進一步包括用于存儲所述噪聲糾正數據(W )和所述登記數據(S )的裝置(18 )。
14. 如權利要求10-13中的任意一項所述的設備(1),進一步包 括集成電路。
15. 如權利要求14所述的設備(11),其中,所述物理令牌U4) 包括涂覆層,在所述涂覆層中,散布介電粒子(15),所述涂覆層 覆蓋所述集成電路。
16. —種計算機程序產品,其包括計算機可執行組件,當所述計算 機可執行組件運行在所述設備所包括的處理單元(17)上時,用于使 得設備(11)執行如權利要求1-9中的任意一項所述的步驟。
全文摘要
本發明涉及一種對提供可測量參數的物理令牌(14)進行認證的方法,以及一種包括提供用于認證的可測量參數的物理令牌(14)的設備(11)。本發明的基本構思在于利用設備(11)中所包括的物理令牌(14)的特性來檢測所述設備是否被篡改。在登記階段,測量由所述物理令牌所提供的多個物理參數的值。這種測量值的集合被稱為響應數據。采用噪聲糾正數據(也稱之為幫助方數據)來以安全方式將噪聲健壯性提供給所述響應數據。于是,在認證階段,再次測量參數值,并且采用噪所述聲糾正數據來推導驗證數據。對所述驗證數據與所述登記數據進行比較,并且確定所推導出的驗證數據是否與所述登記數據對應。如果對應,則認為所述物理令牌是經過認證的。
文檔編號H04L9/08GK101421971SQ200780012945
公開日2009年4月29日 申請日期2007年4月5日 優先權日2006年4月11日
發明者P·T·圖伊爾斯 申請人:皇家飛利浦電子股份有限公司