器件固有信息生成装置以及器件固有信息生成方法
器件固有信息生成装置以及器件固有信息生成方法
【专利摘要】本发明获得不受器件制造时的影响、或不受器件的经年劣化的影响,而输出满足所期望的性能的短时脉冲波形干扰的装置。该装置具有比特生成部(310),该比特生成部(310)具备:短时脉冲波形干扰产生电路(330),以及比特变换电路(340),将短时脉冲波形干扰的形状变换为信息比特;短时脉冲波形干扰产生电路通过搭载多个组合电路(331),而输出多个不同的短时脉冲波形干扰;比特生成部还具有:选择器(332),根据选择信号从多个不同的短时脉冲波形干扰中选择一个短时脉冲波形干扰,对比特变换电路进行输出,该装置还具备:性能评价/控制部(350),通过输出选择信号来取得与多个不同的短时脉冲波形干扰的各自所对应的比特信息,并基于各个比特信息来确定满足所期望的性能的短时脉冲波形干扰。
【专利说明】器件固有信息生成装置以及器件固有信息生成方法
【技术领域】
[0001]本发明涉及认证及加密等安全性(security),具体而言,涉及以生成认证所需的器件固有的识别符、加密所需的秘密秘钥等为目的的器件固有信息生成装置及器件固有信息生成方法。
【背景技术】
[0002]在ASIC及FPGA等半导体器件中,即使在同一种类的器件上安装同一电路,由于门(gate)延迟等器件特性针对每个器件个体而不同,也会存在针对每个器件个体而得到不同输出的现象。产生这样的现象的电路或这样的技术被称为物理不可克隆功能(PhysicalUnclonable Function)或物理不克隆(Physical Uncloning)技术(在下述说明中,将该技术称为PUF),期待着对于所谓认证及加密的用途的应用。
[0003]作为PUF的例子,有利用了在组合电路的输出信号中所产生的短时脉冲波形干扰(glitch)的现有技术(例如,参考专利文献I)。图13为专利文献I所示的PUF (以下称为短时脉冲波形干扰PUF)的基本构成图、以及具体的信号处理的说明图。图13(a)所示的短时脉冲波形干扰PUF1301构成为具备:数据寄存器群1320、短时脉冲波形干扰产生电路1330、以及比特变换电路1340。
[0004]在此,所谓短时脉冲波形干扰为,在信号的数值变化时的过渡状态中可看到的数值以O和I重复进行激烈变化的现象。此时,在信号波形所产生的波峰在此也称为短时脉冲波形干扰。
[0005]就图13 (a)而言,使对于由组合电路所构成的短时脉冲波形干扰产生电路1330的输入信号1311的数值变化时,与之相应地使输出信号1312的值变化。在至该变化结束为止的过渡状态中,产生短时脉冲波形干扰。以后,将包含有短时脉冲波形干扰的信号称为短时脉冲波形干扰信号。
[0006]短时脉冲波形干扰根据安装有短时脉冲波形干扰产生电路1330的器件个体的特性而变化。换言之,即使为相同的短时脉冲波形干扰产生电路1330,也针对各器件的每一个而产生不同的短时脉冲波形干扰。因此,根据短时脉冲波形干扰的形状,决定O或I的值,从而能够针对各器件的每一个产生不同的短时脉冲波形干扰。作为值的决定方式,例如有如下方法:如果短时脉冲波形干扰所包含的波峰的个数为偶数则设为0,如果为奇数则设为I。
[0007]以上的由短时脉冲波形干扰PUF1301实施的比特生成处理的流程如图13(b)所示。此外,将短时脉冲波形干扰形状变换为比特的比特变换电路1340的处理的实装例如图13(c)所示。在图13(c)中,示出了利用反转触发器(toggle flip-flop)(以下简称为反转FF)的比特变换电路1340,以及其动作的时序图。
[0008]反转FF是对于I次上升沿信号的输入,所输出的值反转(如果为O则变为1,如果为I则变为O)的电路。依据此原理,包含在短时脉冲波形干扰的波峰的数量为偶数和奇数中的哪一个将会一一对应于输出的反转次数的偶数、奇数,结果,一一对应于0、1的比特值。
[0009]通过图13所示的一系列处理,成为对应于输入信号1311而生成I比特。通过改变输入信号1311变化的方法而进行多次这样的处理,从而能够生成由多个比特所构成的比特列。换言之,将对于短时脉冲波形干扰生成电路1330的输入信号设为η比特时,通过进行例如O — 1、0 — 2、...、0 — 2η-1这样的2η-1个变化的方法,能够生成2η-1比特的比特列。
[0010]现有技术文献
[0011]专利文献
[0012]专利文献1:国际公开第11/086688号小册子
【发明内容】
[0013]发明所要解决的技术问题
[0014]然而,专利文献I所示的短时脉冲波形干扰PUF1301的构成中,存在下述的技术问题。在将短时脉冲波形干扰PUF1301安装于FPGA及ASIC等器件时的性能,在实际制造器件为止并不明确。因此,有可能在实际制造器件时并未满足所期望的性能。在此,性能是指例如信息量、错误率。
[0015]此外,即使在器件的制造当初满足了所期望的性能,也有可能因器件的经年劣化而变得不满足所期望的性能。那么,以下说明因器件的经年劣化而导致信息量减少的理由。短时脉冲波形干扰基于构成短时脉冲波形干扰产生电路1330的门的延迟特性而产生。因为该延迟特性根据器件的经年劣化而变化,所以短时脉冲波形干扰的方式也根据装置的经年劣化而变化。
[0016]图14为示出以往的短时脉冲波形干扰PEF的短时脉冲波形干扰产生电路的经年变化的状态的说明图。如图14所示,如果短时脉冲波形干扰产生电路1430经年变化,则产生难以发生短时脉冲波形干扰、或不会发生短时脉冲波形干扰的状况。其结果,所生成的信息量减少。原因在于,例如在如上述那样的根据短时脉冲波形干扰的波峰的数量是偶数还是奇数来决定比特的方法中,如果短时脉冲波形干扰在最初时未发生(波峰的个数为O),则比特必定会变为O。
[0017]作为不满足所期望的信息量或错误率的结果,无法生成所期望的比特长的识别符或秘密秘钥,产生产品设备不发挥功能的不良状况。
[0018]本发明为了解决前述的问题而作出的,目的在于获得一种器件固有信息生成装置以及器件固有信息生成方法,其不受器件制造时的影响,或不受装置经年劣化的影响,而能够输出满足所期望的性能的短时脉冲波形干扰。
[0019]解决技术问题的技术方案
[0020]本发明的器件固有信息生成装置通过具备比特生成部而在半导体器件内生成半导体器件的固有信息,该比特生成部具有短时脉冲波形干扰产生电路以及比特变换电路,其中该短时脉冲波形干扰产生电路输出组合电路的输出信号中产生的短时脉冲波形干扰,该比特变换电路将短时脉冲波形干扰的形状变换为信息比特,其中,短时脉冲波形干扰产生电路通过搭载多个组合电路,而构成为输出多个不同的短时脉冲波形干扰的上位短时脉冲波形干扰产生电路;比特生成部还具有:选择器,通过从外部接收选择信号,而从由短时脉冲波形干扰产生电路所输出的多个不同的短时脉冲波形干扰中选择一个短时脉冲波形干扰,并对比特变换电路输出;该器件固有信息生成装置还具备:性能评价/控制部,以从多个不同的短时脉冲波形干扰中依次选择一个短时脉冲波形干扰的方式输出选择信号,由此取得与多个不同的短时脉冲波形干扰的各自对应地由比特变换电路所变换的各个比特信息,基于各个比特信息,来确定满足所期望的性能的短时脉冲波形干扰,并以输出所确定的短时脉冲波形干扰作为半导体器件的固有信息的方式来指定选择信号。
[0021]此外,本发明的器件固有信息生成方法适用于器件固有信息生成装置,而用于在半导体器件内生成半导体器件的固有信息,该固有信息生成装置具有短时脉冲波形干扰产生电路以及比特变换电路,其中该短时脉冲波形干扰产生电路输出组合电路的输出信号中产生的短时脉冲波形干扰,该比特变换电路将短时脉冲波形干扰的形状变换为信息比特,该器件固有信息生成方法包括:输出选择信号的步骤,该选择信号使得从经由短时脉冲波形干扰产生电路中搭载的多个组合电路所输出的多个不同的短时脉冲波形干扰中,选择一个短时脉冲波形干扰而对比特变换电路输出;以从多个不同的短时脉冲波形干扰中依次选择一个的方式输出选择信号,由此取得与多个不同的短时脉冲波形干扰的各自对应地由比特变换电路所变换的各个比特信息,且基于各个比特信息来确定满足所期望的性能的短时脉冲波形干扰的步骤;以及以将所确定的短时脉冲波形干扰作为半导体器件的固有信息而输出的方式,来确定选择信号的步骤。
[0022]发明效果
[0023]依据本发明的器件固有信息生成装置以及器件固有信息生成方法,通过设为搭载多个短时脉冲波形干扰产生电路,能够从其中选择接近所期望性能的短时脉冲波形干扰产生电路,从而能够不受器件制造时的影响,或不受器件的经年劣化的影响,而得到能够输出满足所期望的性能的短时脉冲波形干扰的器件固有信息生成装置以及器件固有信息生成方法。
【专利附图】
【附图说明】
[0024]图1为用以说明本发明实施方式I的器件固有信息生成装置内的短时脉冲波形干扰产生电路的基本概念的图示。
[0025]图2为关于本发明实施方式I的短时脉冲波形干扰的稳定性的说明图。
[0026]图3为示出本发明实施方式I的器件固有信息生成装置的第I结构例的图。
[0027]图4为示出本发明实施方式I的器件固有信息生成装置的第2结构例的图。
[0028]图5为示出本发明实施方式I的性能评价/控制部所包含的错误率评价电路的结构例的图。
[0029]图6为示出本发明实施方式I的用于评价信息量的器件固有信息生成装置的结构例、以及性能评价/控制部所包含的信息量评价电路的结构例的图。
[0030]图7为示出本发明实施方式I的包含有器件固有信息生成装置的系统结构例的图。
[0031]图8为本发明实施方式I的图7所示的短时脉冲波形干扰PUF的初始设定的流程图。
[0032]图9为本发明实施方式I的图7所示的短时脉冲波形干扰PUF的再设定的流程图。[0033]图10为本发明实施方式2的进行秘钥生成时的性能评价/控制部的构成图。
[0034]图11为本发明实施方式2的图10所示的短时脉冲波形干扰PUF的初始设定的流程图。
[0035]图12为本发明实施方式2的图10所示的短时脉冲波形干扰PUF的再设定的流程图。
[0036]图13为专利文献I所示的PUF的基本构成图、以及具体的信号处理的说明图。
[0037]图14为示出以往的短时脉冲波形干扰PEF的短时脉冲波形干扰产生电路的经年变化的状态的说明图。
【具体实施方式】
[0038]以下使用【专利附图】
【附图说明】本发明的器件固有信息生成装置以及器件固有信息生成方法的最佳实施方式。
[0039]实施方式1.[0040]本发明的基本概念为搭载多个特性不同的短时脉冲波形干扰产生电路。作为特性,注目于短时脉冲波形干扰的产生个数,搭载大量的、从几乎不产生短时脉冲波形干扰的短时脉冲波形干扰产生电路、至产生大量短时脉冲波形干扰的短时脉冲波形干扰产生电路的电路。依据其目的,尤其以通过将单纯且较小的逻辑电路串联连接,阶段性地增加逻辑的复杂度,逐渐增加短时脉冲波形干扰的产生的结构作为基本。
[0041]图1为用以说明本发明实施方式I的器件固有信息生成装置内的短时脉冲波形干扰产生电路的基本概念的图。图1所示的短时脉冲波形干扰产生电路130是将相同的4个逻辑电路A(相当于逻辑电路131(1)至131(4))串联连接而构成的。在比,逻辑电路A可以是线性电路,也可以是非线性电路。
[0042]在使对于短时脉冲波形干扰产生电路130的输入信号变化时,在各逻辑电路131(1)至131(4)的输出中产生短时脉冲波形干扰。这些输出是将相同逻辑电路A串联连接的第I级、第2级、第3级、第4级的输出,并且随着级数增进,产生更多的短时脉冲波形干扰。
[0043]由此,例如在图1的例子中,第I级的逻辑电路131(1)的输出中,短时脉冲波形干扰较少而信息量较少。另一方面,第3级的逻辑电路131 (3)以及第4级的逻辑电路131 (4)的输出中,短时脉冲波形干扰较多而不稳定。相对于此,第2级的逻辑电路131 (2)的输出中,出现短时脉冲波形干扰与稳定性的平衡度较好的状况。
[0044]在此,针对稳定性,使用图2进行说明。图2为关于本发明实施方式I的短时脉冲波形干扰的稳定性的说明图,具体而言,示出对于相同的输入信号,对每个动作产生不同式样(pattern)的短时脉冲波形干扰,而每次所生成的比特不同的状况。这样的状态称为不稳定。在不稳定的状态下,由于每个动作的比特没有再现性,故无法将所生成的比特作为信息使用。换言之,意味着能够作为PUF使用的信息量减少。
[0045] 在之前的图1中,产生较多短时脉冲波形干扰(相当于第3级逻辑电路131 (3)的输出,或第4级逻辑电路(4)的输出)的输出,其信息量变高,但同时产生较多短时脉冲波形干扰的状态是不稳定的。因此,如果增加逻辑电路A的级数来增加短时脉冲波形干扰,则最初时作为PUF能够使用的信息量增加,但在某个时刻转为减少。其就是第2级及第3级的边界。据此,如果考虑短时脉冲波形干扰数和稳定性的兼顾,则在图1所示的例中,第2级逻辑电路131 (2)的输出可谓最适合利用为PUF。
[0046]此外,第3级的逻辑电路131(3)的输出在经过经年劣化后也有可能最适合作为PUF0换言之,就现在时间点而言,短时脉冲波形干扰较多而不稳定,但在由于经年劣化而短时脉冲波形干扰不容易出现时,该第3级逻辑电路131 (3)的输出能够最适合作为PUF。
[0047]此外,第4级的逻辑电路131 (4)的输出能够作为随机数产生器而不是PUF来利用。换言之,第4级的逻辑电路131 (4)的输出中由于短时脉冲波形干扰非常多而不稳定,所以如图2所示,每次的输出不稳定。因此,该第4级的逻辑电路131 (4)的输出虽无法用作PUF,但反而,成为能够作为随机数使用。
[0048]根据上述原理,对于本实施方式I的器件固有信息生成装置的内部结构,在图示若干具体例的同时,以下进行说明。图3为示出本发明实施方式I的器件固有信息生成装置的第I结构例的图。相当于图3所示的器件固有信息生成装置的短时脉冲波形干扰PUF301构成为具备比特生成部310以及性能评价/控制部350。
[0049]在此,比特生成部310具有进行比特生成的功能,且具备:数据寄存器群320、上位短时脉冲波形干扰产生电路330、以及比特变换电路340。另一方面,性能评价/控制部350具有:进行比特生成部310所生成的比特的性能评价,并控制比特控制部310,使得产生接近所期望的性能的短时脉冲波形干扰的功能。
[0050]接着,针对比特生成部310的内部结构进行详细说明。比特生成部310内的数据寄存器群320为保持输入至上位短时脉冲波形干扰产生电路330的数据的寄存器群。
[0051]并且,上位短时脉冲波形干扰产生电路330具备:将相同逻辑电路A N级串联连接而成的逻辑电路331 (I)?331 (N)、以及选择器332。在此,逻辑电路331 (I)?331 (N)的动作,与之前的图1的具有4级逻辑电路的短时脉冲波形干扰产生电路130相同。
[0052]此外,选择器320基于由性能评价/控制部350所输出的选择信号,进行选择切换,以便选择逻辑电路331 (I)?331 (N)中的哪一级的输出提供给变换电路340。通过具备这样的结构,上位短时脉冲波形干扰产生电路330具备使短时脉冲波形干扰的产生数阶段性地增加的结构,并能够通过由性能评价/控制部350所输出的选择信号,从N个短时脉冲波形干扰信号中选择其中一个。
[0053]并且,关于逻辑电路A,如之前的图1所说明的那样,可以是线性电路也可以是非线性电路。作为设计方针的一例,可以举出如下结构:为了抑制安装大小的目的,通过单独的情况下使用简单且小的逻辑电路,增加其级数N,由此增加逻辑的复杂度。
[0054]接着,图4为示出本发明实施方式I的器件固有信息生成装置的第2结构例的图,相当于图4所示的器件固有信息生成装置的短时脉冲波形干扰PUF401构成为具备比特生成部410以及性能评价/控制部450。此外,比特生成部410具备:数据寄存器群420、上位短时脉冲波形干扰产生电路430、以及比特变换电路440。
[0055]如果比较图4所示的第2结构例与之前的图3所示的第I结构例,则基本的结构相同,但上位短时脉冲波形干扰产生电路的内部结构不同。因此,以该不同点为中心,以下进行说明。在之前的图3所示的第I结构例的上位短时脉冲波形干扰产生电路330中,通过连接N级逻辑电路A,且选择来自其各级的输出,而生成总计N个短时脉冲波形干扰信号。
[0056]另一方面,图4所示的第2结构例的上位短时脉冲波形干扰产生电路430具备完全分开的N个短时脉冲波形干扰产生电路431 (I)?431 (N)、以及选择器432。换言之,通过安装N个完全分开的短时脉冲波形干扰产生电路,上位短时脉冲波形干扰产生电路430生成N个短时脉冲波形干扰信号。
[0057]作为此图4的结构的短时脉冲波形干扰产生电路431 (I)?431 (N)的例子,举出例如密码算法的S-box。通过利用DES、AES、MISTY、Camellia这样的各种密码算法的S_box,能够安装不同的短时脉冲波形干扰产生电路。
[0058]接着,针对图3的性能评价/控制部350、以及图4的性能评价/控制部450进行说明。两者的功能相同,在此使用图3,针对性能评价/控制部350的功能具体进行说明。
[0059]性能评价/控制部350控制选择器332,而对N个短时脉冲波形干扰信号一个一个地进行选择。由此,比特变换电路340通过将与各级所对应的短时脉冲波形干扰信号变换为比特,能够生成与各级所对应的比特。在此,性能评价/控制部350控制选择器332以使得重复(例如100次)进行对于某级的比特生成,此时,将作为比特变换器340的输出而首次所得的值与第2次以后所得的值进行比较,由此能够进行错误率的评价。
[0060]图5为示出本发明实施方式I的性能评价/控制部所包含的错误率评价电路的结构例的图。错误率评价电路560具备:寄存器561,保持首次的比特值;比较器562,比较首次的比特值与第2次以后的比特值;以及寄存器563,计算并保持其比较结果不一致的次数。
[0061]比较器562在比较结果不一致时,生成寄存器563的启动信号。并且,寄存器563根据启动信号而将寄存器的值增加1,由此能够计算不一致的次数。例如,如果在进行100次的比较之后的寄存器563的值为10,则错误率评价电路560判定错误率为10%。
[0062]这样,能够重复进行例如100次相同器件内的比特生成,使用该100个比特值来评价错误率。另一方面,为了评价信息量,则需要对于多个、例如100个不同的器件而生成的100个比特值。因此,需要建立在相同装置内模拟地存在多个器件的状况。
[0063]图6为示出本发明实施方式I的用于评价信息量的器件固有信息生成装置的结构例、以及性能评价/控制部所包含的信息量评价电路的结构例的图。相当于第6图(a)所示的器件固有信息生成装置的短时脉冲波形干扰PUF601构成为具备:数据寄存器群620、M个上位短时脉冲波形干扰产生电路630(1)?630 (M)、选择器632、比特变换电路640以及性能评价/控制部650。
[0064]在此,数据寄存器群620、选择器632、比特变换电路640、以及性能评价/控制部650分别与之前的图3的数据寄存器群320、选择器332、比特变换电路340、以及性能评价/控制部350具有相同功能。
[0065]此外,M个上位短时脉冲波形干扰产生电路630(1)?(M)为将与之前的图3的上位短时脉冲波形干扰产生电路330、或之前的图4的上位短时脉冲波形干扰产生电路430相当的上位短时脉冲波形干扰产生电路(换言之,为了生成N个短时脉冲波形干扰信号,而具有N个短时脉冲波形干扰产生电路的电路),以相同布局安装M个于器件上的电路。
[0066]并且,性能评价/控制部650通过控制选择器632而能够选择M个上位短时脉冲波形干扰产生电路630 (I)?630 (M)中的某一个的输出。由此,短时脉冲波形干扰PUF601模拟地构成相对于M个器件的短时脉冲波形干扰PUF,而模拟地生成相对于M个器件的比特。此外,短时脉冲波形干扰PUF601通过性能评价/控制部650进行相对于模拟地生成的M个比特值的统计处理,而能够评价信息量。
[0067]例如可通过香农熵来计测某比特所具有的信息量。香农熵在比特成为O的概率为P (成为I的概率为l-p)时,被定义为
[0068]-pXlog2(p)-(l_p) Xlog2(l_p)(I)
[0069]并且,log2为底数为2的对数函数。
[0070]将对数函数实现为电路时,由于安装大小变大,所以期望仅根据P的值进行关于信息量的评价。在此,由于上式(I)为在P = 0.5时取最大值的左右对称的凸函数,所以信息量大致的大小能够根据P的值进行判定。在此,使用图6 (b),对于性能评价/控制部650所包含的信息量评价电路670的功能进行说明。
[0071]图6 (b)所示的信息量评价电路670构成为具备:比较器671、以及两个寄存器672、673。比较器671判定比特变换电路640所生成的比特值是否为0,并基于其结果生成寄存器672以及寄存器673的启动信号。
[0072]两个寄存器672、673的启动信号互相为相反,寄存器672作为在比特值为O时值增加的计数器而发挥功能,而寄存器673作为在比特值为I时值增加的计数器而发挥功能。如上述那样,对于短时脉冲波形干扰PUF601所生成的M个比特值,作为性能评价/控制部650,使用该信息量评价电路670,从而能够计算M个中的O和I的个数,其结果能够评价信息量。
[0073]该电路也可使用于美国NIST SP800-22所决定的随机数检测的比特的0/1等频率性评价的目的中。
[0074]接下来,对于将以上说明的比特生成部、以及性能评价/控制部作为还包含CPU和存储器的系统来构成的例子进行说明。图7为示出包含本发明实施方式I的器件固有信息生成装置的系统结构例的图。相当于图7所示的器件固有信息生成装置的短时脉冲波形干扰PUF701构成为具备:比特生成部710以及性能评价/控制部750。
[0075]比特生成部710具备:数据寄存器群720、M个上位短时脉冲波形干扰产生电路730(1)~730 (M)、选择器732、以及比特变换电路740,且与之前的图6 (a)同样地具有以相同布局安装M个于器件上的上位短时脉冲波形干扰产生电路730 (I)~730(M)。并且,比特生成部710所生成的比特列输入至性能评价/控制部750。
[0076]性能评价/控制部750具备:错误订正电路751、OffHF电路752、比较/判定电路753、性能评价电路754、以及控制电路755。错误订正电路751是用于订正输入至性能评价/控制部750的比特列所包含的错误的电路。OWHF电路752是取得错误订正后的比特列的散列(hash)值的电路。
[0077]比较/判定电路753是将所生成的散列值与以前所生成的散列值进行比较的电路。性能评价电路754是评价输入至性能评价/控制部750的比特列的性能的电路。此外,控制电路755是基于比较/判定电路753的判定结果、以及性能评价电路754的判定结果,来控制比特生成部710的电路。
[0078]此外,图7所示的短时脉冲波形干扰PUF701经由系统总线780而与CPU781、存储器 782、1/0783 连接。
[0079]接下来,使用流程图,对于具备有图7所示的结构的短时脉冲波形干扰PUF701的动作进行详细说明。图8 为本发明实施方式I的图7所示的短时脉冲波形干扰PUF701的初始设定的流程图。此外,图9为本发明实施方式I的图7所示的短时脉冲波形干扰PUF701的再设定的流程图。
[0080]首先,使用图8,对于初始设定的一系列处理,分别按每个步骤进行说明。
[0081]步骤S801:是控制电路755取得比特b(l,l,l)至比特b(N,M,2n_l)的步骤。在此,b(i,j,k)的第I个下标i为短时脉冲波形干扰产生电路的编号(i = 1,...,N)。换言之,在之前的图3中,相当于选择逻辑电路331(1)?331(N)中的某一个的编号,而在之前的图4中,相当于选择短时脉冲波形干扰产生电路431 (I)?431(N)中的某一个的编号。
[0082]此外,第2个下标j相当于选择以相同布局安装了 M个的上位短时脉冲波形干扰产生电路730(1)?730(M)的中的某一个的编号(j = 1,...,M)。此外,第3个下标k表示向短时脉冲波形干扰产生电路的输入变化式样的编号,且在将输入信号设为η比特时,相当于2η-1比特的比特列。
[0083]步骤S802:是性能评价电路754评价比特b(l,1,I)........比特b(N,M,2n_l)
的性能的步骤。性能评价电路754根据其评价结果选择满足所期望的性能的下标i(i =1,...,N),并将下标i保持于存储器782。
[0084]此外,关于下标j,由于是表示为了评价信息量而模拟地安装了 M个器件的下标,所以在评价后,实际使用的只要为其中之一即可。以下,以使用j = I来进行说明。
[0085]步骤S803:是错误订正电路751对于与在j = I时的满足所期望的性能的下标所对应的比特列w(i) = (b(i,l,l),...,b(i,l,2n-l)),生成订正错误所需的校验子S,将其保存于存储器782的步骤。
[0086]步骤S804:是OffHF电路752计算比特列w⑴的散列值h,并保持于存储器782的步骤。
[0087]上述为初始设定的流程图。通过这样的一系列处理,性能评价/控制部750能够对满足所期望的性能的下标1、比特列w(i)的错误订正所需的校验子S、以及比特列w(i)的散列值h进行初始设定。
[0088]接下来,使用图9,对于再设定的一系列处理,分别按每个步骤进行说明。
[0089]步骤S901:是控制电路755以O对计数值cnt的值进行初始化的步骤。该计数值cnt示出步骤S903的错误订正失败的次数。
[0090]步骤S902:是控制电路755通过控制比特生成部710,而生成与在之前的初始设定中所决定的下标i所对应的比特列w(i) ’的步骤。控制电路755从存储器782读出下标
i。并且,控制电路755生成用于选择短时脉冲波形干扰产生电路i的选择信号,该选择信号被输入至第I台(相当于j = D上位短时脉冲波形干扰产生电路730(1)内的选择器。由此,可生成比特列w(i)’。并且,由于比特列w(i)’通常包含有错误,所以成为与在初始设定中所生成的w(i)不同的值,而附带有“’”。
[0091]步骤S903:是错误订正电路751对比特列w(i) ’进行错误订正处理,而得到比特列w(i) ”的步骤。错误订正电路751从存储器782读出在初始设定中所生成的错误订正用校验子S,并对比特列w(i)’进行错误订正处理。期望的是,错误订正处理后的比特列w(i)”与在初始设定中所生成的比特列w(i) —致。
[0092]步骤S904:是0WHF752计算比特列w(i) ”的散列值h”的步骤。
[0093]步骤S905:是比较/判定电路753将散列值h”与在初始设定中所生成的散列值h进行比较,且基于比较结果使处理分支的步骤。在h = h”时,意味着步骤S903的错误订正成功,而成功再生成了在初始设定中所生成的比特列w(i)。反之,在h h”时,意味着步骤S903的错误订正失败,而未能成功再生成在初始设定中所生成的比特列w (i)。
[0094]步骤S906:是控制电路755在步骤S905中成为h幸h”时,将表示错误订正失败的次数的计数值cnt的值增加1,并推进至下一步骤S907的步骤。
[0095]步骤S907:是控制电路755判定计数值cnt的值是否超过某预定的阈值U的步骤。在计数值cnt未超过U时,则回到步骤S902,控制电路755再度进行比特列生成与错误订正。
[0096]步骤S908:是在步骤S907中,在cnt>U时,控制电路755进行失败通知的步骤。这意味着已判定为即使控制电路755再持续进行比特列生成及错误订正,也无法再生成比特列w⑴。
[0097]步骤S909:是在步骤S905中,散列值成为h = h”而成功地完成再生成比特列w(i)时,控制电路755对计数值cnt的值是否超过某阈值V进行判定的步骤。控制电路755在cnt未超过V时,结束再设定处理。并且,U与V的关系为U>V。
[0098]步骤S910:是在步骤S909中,在成为cnt>V时,性能评价/控制部750进行初始设定的处理并选择新的下标i’的步骤。这意味着由于比特列w(i)的再生成已失败数次,所以性能评价/控制部750判断为电路特性已大幅改变,在无法再生成比特列w(i)之前,通过重新进行初始设定 来重新选择新的i’。
[0099]上述是再设定的流程图。通过这样的一系列处理,性能评价/控制部750不受器件制造的影响,或不受器件的经年劣化的影响,而能够保证输出满足所期望的性能(信息量、错误率)的短时脉冲波形干扰,且可根据需要而重新进行初始设定。
[0100]如上述那样,根据实施方式1,搭载多个短时脉冲波形干扰产生电路,能够进行对这些的信息量评价。因此,能够从多个短时脉冲波形干扰产生电路中选择使用的短时脉冲波形干扰产生电路,由此能够提高满足所期望的性能的可能性。并且,通过具备性能评价/控制部,在实际上能够选择满足所期望的性能的短时脉冲波形干扰产生电路。
[0101]此外,通过具有这些特征,在器件制造时、器件经年劣化后,也能够保证短时脉冲波形干扰PUF满足所期望的信息量。其结果,能够保证利用短时脉冲波形干扰PUF的产品设备的功能正常运作,或者能够更加延长功能的保证期间等。
[0102]此外,搭载多个短时脉冲波形干扰产生电路,尤其,搭载容易生成短时脉冲波形干扰并且每次的比特生成的再现性较低的短时脉冲波形干扰产生电路,能够进行所生成的比特的0/1等频率性评价,由此也可作为短时脉冲波形干扰PUF的随机数产生器而使用。
[0103]实施方式2.[0104]在之前的实施方式I中,说明了进行最适当的短时脉冲波形干扰产生电路的选择的初始设定、以及在短时脉冲波形干扰产生电路的特性发生变化了时的再设定。相对于此,在本实施方式2中,对于使用了短时脉冲波形干扰产生电路的具体的应用例进行说明。
[0105]使用基于短时脉冲波形干扰PUF的比特列生成,能够进行使用于加密算法的秘钥生成。图10是本发明实施方式2的进行秘钥生成时的性能评价/控制部的结构图。本实施方式2的性能评价/控制部1050具备:错误订正电路1051、0WHF电路1052、比较/判定电路1053、性能评价电路1054、控制电路1055、以及HF电路1056。此外,在本实施方式2的图10的结构中,包含有加密电路1090。
[0106]如果与之前的实施方式I的图7的结构进行比较,则不同点在于本实施方式2的图10的性能评价/控制部1050还具备有以将比特列随机化为目的的散列函数(HF电路1056)。通过该HF电路1056的工作,可将短时脉冲波形干扰PUF1001中所生成的比特列作为加密算法的秘钥来使用。
[0107]接下来,使用流程图,对于具备图10所示的结构的短时脉冲波形干扰PUF1001的动作进行详细说明。图11为本发明实施方式2的图10所示的短时脉冲波形干扰PUF1001的初始设定的流程图。此外,图12为本发明实施方式2的图10所示的短时脉冲波形干扰PUF1001的再设定的流程图。
[0108]首先,使用图11,对于初始设定的一系列处理分别按每个步骤进行说明。此外,该图11的流程图是在之前的实施方式I的图8的流程图上追加关于秘钥生成的处理的流程图。具体而言,步骤S1102?S1105与步骤S801?S804相同,而步骤S110US1105?S1108相当于作为关于秘钥生成的处理而新追加的步骤。
[0109]步骤SllOl:是加密电路1090从1/01082输入主秘钥mk,并保持于内部寄存器的步骤。
[0110]步骤S1102:是控制电路1055取得比特b(l,l,l)?比特b (N,M,2n_l)的步骤。
[0111]步骤SI 103:是性能评价电路1054评价比特b(l,l,l),...,b(N,M,2n_l)的性能的步骤。性能评价电路1054根据该评价结果来选择满足所期望的性能的下标I (i = 1,...,N),并将下标i保持于存储器1082。
[0112]步骤SI 104:是错误订正电路1051对于与在j = I时的满足所期望的性能的下标i所对应的比特列w(i) = (b(i,l,l),...,b(i,l,2n-l))生成错误订正所需的校验子s,并保持于存储器的步骤。
[0113]步骤SI 105:是OWHF电路1052计算比特列w⑴的散列值h,并保持于存储器1082
的步骤。
[0114]步骤SI 106:HF电路1056计算比特列w⑴的散列值k,并保持于加密电路1090内部的寄存器的步骤。该k相当于使用短时脉冲波形干扰PUF1001所生成的加密秘钥。
[0115]步骤SI 107:是加密电路1090使用在步骤SI 106中所生成的加密秘钥k对主秘钥mk进行加密,而取得加密数据X的步骤。加密电路1090将加密数据X保持于存储器1082。
[0116]步骤S1108:是加密电路1090将保持于内部的寄存器的主秘钥mk及加密秘钥k删除的步骤。
[0117]在上述图11的流程图中,虽存在两个加密秘钥mk及k,但主秘钥mk是实际上用于对数据进行加密的秘钥,而短时脉冲波形干扰PUF中所生成的加密秘钥k是用于对主秘钥mk进行加密的秘钥。在此,不将加密秘钥k使用于数据的加密的理由在于,短时脉冲波形干扰PUF1001的输出由于装置的经年劣化而变化,而变得无法再生成与初始设定相同的加密秘钥k。
[0118]以上是初始设定的流程图。通过这样的一系列处理,性能评价/控制部1050能够对满足所期望的性能的下标1、比特列w(i)的错误订正所需的校验子S、以及比特列w(i)的散列值h进行初始设定。并且,性能评价/控制部1050可进行主秘钥mk的取得、加密秘钥k的生成、以及加密数据X的生成。[0119]接下来,使用图12,对于再设定的一系列处理分别按每个步骤进行说明。并且,该图12的流程是在之前的实施方式I中的图9的流程图上追加关于秘钥管理的处理的流程图。具体而言,步骤S1201?S1208与步骤S901?S908相同,而步骤S1211与步骤S909相同,步骤S1209、S1210、S1212相当于作为关于秘钥管理的处理而新追加的步骤。
[0120]步骤S1201:是控制电路1055以O对计数值cnt的值进行初始化的步骤。
[0121]步骤S1202:是控制电路1055通过对比特生成部1010进行控制,而生成与之前的初始设定中所决定的下标i所对应的比特列w(i) ’的步骤。
[0122]步骤S1203:是错误订正电路1051对比特列w(i) ’进行错误订正,而取得比特列w⑴”的步骤。
[0123]步骤S1204:是OffHF电路1052计算比特列w(i) ”的散列值h”的步骤。
[0124]步骤S1205:是比较/判定电路1053将散列值h”与在初始设定中所生成的散列值h进行比较,且基于比较结果使处理分支的步骤。
[0125]步骤S1206:是控制电路1055在步骤S1205中成为h幸h”时,将表示错误订正失败的次数的计数值cnt的值增加1,并推进至下一个步骤S1207的步骤。
[0126]步骤S1207:是控制电路1055判定计数值cnt的值是否超过某预定的阈值U的步骤。在计数值cnt未超过U时,则回到步骤S1202,控制电路1055再度进行比特列生成与错误订正。
[0127]步骤S1208:是在步骤S1207中,在cnt>U时,控制电路1055进行失败通知的步骤。
[0128]步骤S1209:是HP电路1056计算比特列w(i) ”的散列值k的步骤。在S1205中,由于h古h”从而w⑴” =w(i),所以在此所求出的散列值k与w(i)的散列值k 一致。这意味着成功地完成初始设定中所生成的秘钥的再生成。OWHF电路1052将所计算出的散列值k保持于加密电路1090内部的寄存器作为再生成的秘钥k。
[0129]步骤S1210:是加密电路1090使用所再生成的秘钥k对数据x进行解密,而取得主秘钥mk的步骤。加密电路1090将主秘钥mk保持于内部的寄存器。
[0130]步骤S1211:是控制电路1055判定计数值cnt的值是否超过某阈值V的步骤。控制电路1055在cnt未超过V时,推进至S1212。
[0131]步骤S1212:是加密电路1090使用主秘钥mk进行加密处理的步骤。
[0132]步骤S1213:在步骤S1211中,在成为cnt>V时,性能评价/控制部1050进行初始设定的处理而选择新的下标i’,以及对基于与其对应的新的秘钥k’的mk进行加密的步骤。这意味着由于比特列w (i)的再生成已失败数次,性能评价/控制部1050判断为电路特性已大幅改变,而在无法再生成比特列w (i)(因此,k无法再生成)之前,通过重新进行初始设定来重新选择新的i’。
[0133]以上是再设定的流程图。通过这样的一系列处理,性能评价/控制部1050不受器件制造的影响,或不受器件的经年劣化的影响,而能够保证输出满足所期望的性能(信息量或错误率)的短时脉冲波形干扰,能够根据需要而重新进行初始设定。此外,也能够应用于关于秘钥管理的处理。
[0134]如以上那样,根据实施方式2,使用基于具有之前的实施方式I的效果的短时脉冲波形干扰PUF的比特列生成,而能够进行用于在加密算法中使用的秘钥生成,能够应用于加密处理。
【权利要求】
1.一种器件固有信息生成装置,通过具备比特生成部而在半导体器件内生成所述半导体器件的固有信息,该比特生成部具有短时脉冲波形干扰产生电路以及比特变换电路,其中该短时脉冲波形干扰产生电路输出组合电路的输出信号中产生的短时脉冲波形干扰,该比特变换电路将所述短时脉冲波形干扰的形状变换为信息比特,该器件固有信息生成装置的特征在于: 所述短时脉冲波形干扰产生电路通过搭载多个组合电路,而构成为输出多个不同的短时脉冲波形干扰的上位短时脉冲波形干扰产生电路; 所述比特生成部还具有:选择器,通过从外部接收选择信号,而从由所述短时脉冲波形干扰产生电路所输出的所述多个不同的短时脉冲波形干扰中选择一个短时脉冲波形干扰,并对所述比特变换电路输出; 该器件固有信息生成装置还具备:性能评价/控制部,以从所述多个不同的短时脉冲波形干扰中依次选择一个短时脉冲波形干扰的方式输出所述选择信号,由此取得与所述多个不同的短时脉冲波形干扰的各自对应地由所述比特变换电路所变换的各个比特信息,基于所述各个比特信息,来确定满足所期望的性能的短时脉冲波形干扰,并以输出所确定的短时脉冲波形干扰作为所述半导体器件的所述固有信息的方式来确定所述选择信号。
2.根据权利要求1所述的器件固有信息生成装置,其特征在于, 构成所述短时脉冲波形干扰产生电路的所述上位短时脉冲波形干扰产生电路,是通过将相同逻辑电路串联连接而多级构成的,且将各级的输出信号作为所述多个不同的短时脉冲波形干扰而输出。
3.根据权利要求1所述的器件固有信息生成装置,其特征在于, 构成所述短时脉冲波形干扰产生电路的所述上位短时脉冲波形干扰产生电路,由电路结构不同的多个短时脉冲波形干扰产生电路所构成,且将所述多个短时脉冲波形干扰产生电路各自的输出信号作为所述多个不同的短时脉冲波形干扰而输出。
4.根据权利要求1~3中任一项所述的器件固有信息生成装置,其特征在于, 所述性能评价/控制部包括:错误率评价电路,重复执行以从所述多个不同的短时脉冲波形干扰中依次选择一个短时脉冲波形干扰的方式输出所述选择信号,由此取得与所述多个不同的短时脉冲波形干扰的各自对应地由所述比特变换电路所变换的各个比特信息的操作,并根据所述比特信息对于重复次数的一致度,来进行所述多个不同的短时脉冲波形干扰的各自的错误率评价。
5.根据权利要求1~4中任一项所述的器件固有信息生成装置,其特征在于, 所述短时脉冲波形干扰产生电路构成为在一个所述半导体器件上搭载多个所述上位短时脉冲波形干扰产生电路, 所述比特生成部还具有:第二选择器,从外部接收笫二选择信号,由此从多个上位短时脉冲波形干扰产生电路的各自的输出中选择一个输出,并对所述比特变换电路进行输出, 所述性能评价/控制部还包括:信息量评价电路,执行以从所述多个上位短时脉冲波形干扰产生电路的各自的输出中依次选择一个的方式输出所述第二选择信号,并通过使对于各个上位短时脉冲波形干扰产生电路的η比特(η为2以上的整数)的输入信号依次变化,由此将与所述多个上位短时脉冲波形干扰产生电路的各自对应地由所述比特变换电路所变换的各个比特信息作为2η-1比特的比特列而取得的操作,且通过对比特列所包含的比特值为I的比特数进行计数,来进行所述多个上位短时脉冲波形干扰的各自的信息量评价。
6.根据权利要求4或5所述的器件固有信息生成装置,其特征在于, 所述性能评价/控制部还具有: 错误订正电路,用于对经由所述比特生成部内的所述比特变换电路而取入的比特列所包含的错误进行订正; OffHF电路,生成由所述错误订正电路进行错误订正后的比特列的散列值; 比较/判定电路,将由所述OWHF电路所生成的所述散列值与在此以前所生成的散列值进行比较; 性能评价电路,进行所述错误率评价或所述信息量评价作为所述比特列的性能;以及 控制电路,进行控制,使得根据基于所述比较/判定电路的判定结果、以及基于性能评价电路的评价结果,从满足所期望的性能的短时脉冲波形干扰生成由所述比特生成部所输出的所述信息比特。
7.根据权利要求6所述的器件固有信息生成装置,其特征在于, 所述性能评价/控制部还具有:HF电路,对由所述错误订正电路进行错误订正后的比特列进行随机化而求出散列值,由此生成加密秘钥。
8.一种器件固有信息生成方法,适用于器件固有信息生成装置,而用于在半导体器件内生成所述半导体器件的固有信息,该固有信息生成装置具有短时脉冲波形干扰产生电路以及比特变换电路,其中该短时脉冲波形干扰产生电路输出组合电路的输出信号中产生的短时脉冲波形干扰,该比特变换电路将所述短时脉冲波形干扰的形状变换为信息比特,其特征在于包括: 输出选择信号的步骤,该选择信号使得从经由所述短时脉冲波形干扰产生电路中所搭载的多个组合电路所输出的所述多个不同的短时脉冲波形干扰中,选择一个短时脉冲波形干扰而对所述比特变换电路输出; 以从所述多个不同的短时脉冲波形干扰中依次选择一个的方式输出所述选择信号,由此取得与多个不同的短时脉冲波形干扰的各自对应地由所述比特变换电路所变换的各个比特信息,且基于所述各个比特信息来确定满足所期望的性能的短时脉冲波形干扰的步骤;以及 以将所确定的短时脉冲波形干扰作为所述半导体器件的固有信息而输出的方式,来确定所述选择信号的步骤。
【文档编号】G09C1/00GK103946909SQ201180074942
【公开日】2014年7月23日 申请日期:2011年12月22日 优先权日:2011年12月22日
【发明者】清水孝一 申请人:三菱电机株式会社
【专利摘要】本发明获得不受器件制造时的影响、或不受器件的经年劣化的影响,而输出满足所期望的性能的短时脉冲波形干扰的装置。该装置具有比特生成部(310),该比特生成部(310)具备:短时脉冲波形干扰产生电路(330),以及比特变换电路(340),将短时脉冲波形干扰的形状变换为信息比特;短时脉冲波形干扰产生电路通过搭载多个组合电路(331),而输出多个不同的短时脉冲波形干扰;比特生成部还具有:选择器(332),根据选择信号从多个不同的短时脉冲波形干扰中选择一个短时脉冲波形干扰,对比特变换电路进行输出,该装置还具备:性能评价/控制部(350),通过输出选择信号来取得与多个不同的短时脉冲波形干扰的各自所对应的比特信息,并基于各个比特信息来确定满足所期望的性能的短时脉冲波形干扰。
【专利说明】器件固有信息生成装置以及器件固有信息生成方法
【技术领域】
[0001]本发明涉及认证及加密等安全性(security),具体而言,涉及以生成认证所需的器件固有的识别符、加密所需的秘密秘钥等为目的的器件固有信息生成装置及器件固有信息生成方法。
【背景技术】
[0002]在ASIC及FPGA等半导体器件中,即使在同一种类的器件上安装同一电路,由于门(gate)延迟等器件特性针对每个器件个体而不同,也会存在针对每个器件个体而得到不同输出的现象。产生这样的现象的电路或这样的技术被称为物理不可克隆功能(PhysicalUnclonable Function)或物理不克隆(Physical Uncloning)技术(在下述说明中,将该技术称为PUF),期待着对于所谓认证及加密的用途的应用。
[0003]作为PUF的例子,有利用了在组合电路的输出信号中所产生的短时脉冲波形干扰(glitch)的现有技术(例如,参考专利文献I)。图13为专利文献I所示的PUF (以下称为短时脉冲波形干扰PUF)的基本构成图、以及具体的信号处理的说明图。图13(a)所示的短时脉冲波形干扰PUF1301构成为具备:数据寄存器群1320、短时脉冲波形干扰产生电路1330、以及比特变换电路1340。
[0004]在此,所谓短时脉冲波形干扰为,在信号的数值变化时的过渡状态中可看到的数值以O和I重复进行激烈变化的现象。此时,在信号波形所产生的波峰在此也称为短时脉冲波形干扰。
[0005]就图13 (a)而言,使对于由组合电路所构成的短时脉冲波形干扰产生电路1330的输入信号1311的数值变化时,与之相应地使输出信号1312的值变化。在至该变化结束为止的过渡状态中,产生短时脉冲波形干扰。以后,将包含有短时脉冲波形干扰的信号称为短时脉冲波形干扰信号。
[0006]短时脉冲波形干扰根据安装有短时脉冲波形干扰产生电路1330的器件个体的特性而变化。换言之,即使为相同的短时脉冲波形干扰产生电路1330,也针对各器件的每一个而产生不同的短时脉冲波形干扰。因此,根据短时脉冲波形干扰的形状,决定O或I的值,从而能够针对各器件的每一个产生不同的短时脉冲波形干扰。作为值的决定方式,例如有如下方法:如果短时脉冲波形干扰所包含的波峰的个数为偶数则设为0,如果为奇数则设为I。
[0007]以上的由短时脉冲波形干扰PUF1301实施的比特生成处理的流程如图13(b)所示。此外,将短时脉冲波形干扰形状变换为比特的比特变换电路1340的处理的实装例如图13(c)所示。在图13(c)中,示出了利用反转触发器(toggle flip-flop)(以下简称为反转FF)的比特变换电路1340,以及其动作的时序图。
[0008]反转FF是对于I次上升沿信号的输入,所输出的值反转(如果为O则变为1,如果为I则变为O)的电路。依据此原理,包含在短时脉冲波形干扰的波峰的数量为偶数和奇数中的哪一个将会一一对应于输出的反转次数的偶数、奇数,结果,一一对应于0、1的比特值。
[0009]通过图13所示的一系列处理,成为对应于输入信号1311而生成I比特。通过改变输入信号1311变化的方法而进行多次这样的处理,从而能够生成由多个比特所构成的比特列。换言之,将对于短时脉冲波形干扰生成电路1330的输入信号设为η比特时,通过进行例如O — 1、0 — 2、...、0 — 2η-1这样的2η-1个变化的方法,能够生成2η-1比特的比特列。
[0010]现有技术文献
[0011]专利文献
[0012]专利文献1:国际公开第11/086688号小册子
【发明内容】
[0013]发明所要解决的技术问题
[0014]然而,专利文献I所示的短时脉冲波形干扰PUF1301的构成中,存在下述的技术问题。在将短时脉冲波形干扰PUF1301安装于FPGA及ASIC等器件时的性能,在实际制造器件为止并不明确。因此,有可能在实际制造器件时并未满足所期望的性能。在此,性能是指例如信息量、错误率。
[0015]此外,即使在器件的制造当初满足了所期望的性能,也有可能因器件的经年劣化而变得不满足所期望的性能。那么,以下说明因器件的经年劣化而导致信息量减少的理由。短时脉冲波形干扰基于构成短时脉冲波形干扰产生电路1330的门的延迟特性而产生。因为该延迟特性根据器件的经年劣化而变化,所以短时脉冲波形干扰的方式也根据装置的经年劣化而变化。
[0016]图14为示出以往的短时脉冲波形干扰PEF的短时脉冲波形干扰产生电路的经年变化的状态的说明图。如图14所示,如果短时脉冲波形干扰产生电路1430经年变化,则产生难以发生短时脉冲波形干扰、或不会发生短时脉冲波形干扰的状况。其结果,所生成的信息量减少。原因在于,例如在如上述那样的根据短时脉冲波形干扰的波峰的数量是偶数还是奇数来决定比特的方法中,如果短时脉冲波形干扰在最初时未发生(波峰的个数为O),则比特必定会变为O。
[0017]作为不满足所期望的信息量或错误率的结果,无法生成所期望的比特长的识别符或秘密秘钥,产生产品设备不发挥功能的不良状况。
[0018]本发明为了解决前述的问题而作出的,目的在于获得一种器件固有信息生成装置以及器件固有信息生成方法,其不受器件制造时的影响,或不受装置经年劣化的影响,而能够输出满足所期望的性能的短时脉冲波形干扰。
[0019]解决技术问题的技术方案
[0020]本发明的器件固有信息生成装置通过具备比特生成部而在半导体器件内生成半导体器件的固有信息,该比特生成部具有短时脉冲波形干扰产生电路以及比特变换电路,其中该短时脉冲波形干扰产生电路输出组合电路的输出信号中产生的短时脉冲波形干扰,该比特变换电路将短时脉冲波形干扰的形状变换为信息比特,其中,短时脉冲波形干扰产生电路通过搭载多个组合电路,而构成为输出多个不同的短时脉冲波形干扰的上位短时脉冲波形干扰产生电路;比特生成部还具有:选择器,通过从外部接收选择信号,而从由短时脉冲波形干扰产生电路所输出的多个不同的短时脉冲波形干扰中选择一个短时脉冲波形干扰,并对比特变换电路输出;该器件固有信息生成装置还具备:性能评价/控制部,以从多个不同的短时脉冲波形干扰中依次选择一个短时脉冲波形干扰的方式输出选择信号,由此取得与多个不同的短时脉冲波形干扰的各自对应地由比特变换电路所变换的各个比特信息,基于各个比特信息,来确定满足所期望的性能的短时脉冲波形干扰,并以输出所确定的短时脉冲波形干扰作为半导体器件的固有信息的方式来指定选择信号。
[0021]此外,本发明的器件固有信息生成方法适用于器件固有信息生成装置,而用于在半导体器件内生成半导体器件的固有信息,该固有信息生成装置具有短时脉冲波形干扰产生电路以及比特变换电路,其中该短时脉冲波形干扰产生电路输出组合电路的输出信号中产生的短时脉冲波形干扰,该比特变换电路将短时脉冲波形干扰的形状变换为信息比特,该器件固有信息生成方法包括:输出选择信号的步骤,该选择信号使得从经由短时脉冲波形干扰产生电路中搭载的多个组合电路所输出的多个不同的短时脉冲波形干扰中,选择一个短时脉冲波形干扰而对比特变换电路输出;以从多个不同的短时脉冲波形干扰中依次选择一个的方式输出选择信号,由此取得与多个不同的短时脉冲波形干扰的各自对应地由比特变换电路所变换的各个比特信息,且基于各个比特信息来确定满足所期望的性能的短时脉冲波形干扰的步骤;以及以将所确定的短时脉冲波形干扰作为半导体器件的固有信息而输出的方式,来确定选择信号的步骤。
[0022]发明效果
[0023]依据本发明的器件固有信息生成装置以及器件固有信息生成方法,通过设为搭载多个短时脉冲波形干扰产生电路,能够从其中选择接近所期望性能的短时脉冲波形干扰产生电路,从而能够不受器件制造时的影响,或不受器件的经年劣化的影响,而得到能够输出满足所期望的性能的短时脉冲波形干扰的器件固有信息生成装置以及器件固有信息生成方法。
【专利附图】
【附图说明】
[0024]图1为用以说明本发明实施方式I的器件固有信息生成装置内的短时脉冲波形干扰产生电路的基本概念的图示。
[0025]图2为关于本发明实施方式I的短时脉冲波形干扰的稳定性的说明图。
[0026]图3为示出本发明实施方式I的器件固有信息生成装置的第I结构例的图。
[0027]图4为示出本发明实施方式I的器件固有信息生成装置的第2结构例的图。
[0028]图5为示出本发明实施方式I的性能评价/控制部所包含的错误率评价电路的结构例的图。
[0029]图6为示出本发明实施方式I的用于评价信息量的器件固有信息生成装置的结构例、以及性能评价/控制部所包含的信息量评价电路的结构例的图。
[0030]图7为示出本发明实施方式I的包含有器件固有信息生成装置的系统结构例的图。
[0031]图8为本发明实施方式I的图7所示的短时脉冲波形干扰PUF的初始设定的流程图。
[0032]图9为本发明实施方式I的图7所示的短时脉冲波形干扰PUF的再设定的流程图。[0033]图10为本发明实施方式2的进行秘钥生成时的性能评价/控制部的构成图。
[0034]图11为本发明实施方式2的图10所示的短时脉冲波形干扰PUF的初始设定的流程图。
[0035]图12为本发明实施方式2的图10所示的短时脉冲波形干扰PUF的再设定的流程图。
[0036]图13为专利文献I所示的PUF的基本构成图、以及具体的信号处理的说明图。
[0037]图14为示出以往的短时脉冲波形干扰PEF的短时脉冲波形干扰产生电路的经年变化的状态的说明图。
【具体实施方式】
[0038]以下使用【专利附图】
【附图说明】本发明的器件固有信息生成装置以及器件固有信息生成方法的最佳实施方式。
[0039]实施方式1.[0040]本发明的基本概念为搭载多个特性不同的短时脉冲波形干扰产生电路。作为特性,注目于短时脉冲波形干扰的产生个数,搭载大量的、从几乎不产生短时脉冲波形干扰的短时脉冲波形干扰产生电路、至产生大量短时脉冲波形干扰的短时脉冲波形干扰产生电路的电路。依据其目的,尤其以通过将单纯且较小的逻辑电路串联连接,阶段性地增加逻辑的复杂度,逐渐增加短时脉冲波形干扰的产生的结构作为基本。
[0041]图1为用以说明本发明实施方式I的器件固有信息生成装置内的短时脉冲波形干扰产生电路的基本概念的图。图1所示的短时脉冲波形干扰产生电路130是将相同的4个逻辑电路A(相当于逻辑电路131(1)至131(4))串联连接而构成的。在比,逻辑电路A可以是线性电路,也可以是非线性电路。
[0042]在使对于短时脉冲波形干扰产生电路130的输入信号变化时,在各逻辑电路131(1)至131(4)的输出中产生短时脉冲波形干扰。这些输出是将相同逻辑电路A串联连接的第I级、第2级、第3级、第4级的输出,并且随着级数增进,产生更多的短时脉冲波形干扰。
[0043]由此,例如在图1的例子中,第I级的逻辑电路131(1)的输出中,短时脉冲波形干扰较少而信息量较少。另一方面,第3级的逻辑电路131 (3)以及第4级的逻辑电路131 (4)的输出中,短时脉冲波形干扰较多而不稳定。相对于此,第2级的逻辑电路131 (2)的输出中,出现短时脉冲波形干扰与稳定性的平衡度较好的状况。
[0044]在此,针对稳定性,使用图2进行说明。图2为关于本发明实施方式I的短时脉冲波形干扰的稳定性的说明图,具体而言,示出对于相同的输入信号,对每个动作产生不同式样(pattern)的短时脉冲波形干扰,而每次所生成的比特不同的状况。这样的状态称为不稳定。在不稳定的状态下,由于每个动作的比特没有再现性,故无法将所生成的比特作为信息使用。换言之,意味着能够作为PUF使用的信息量减少。
[0045] 在之前的图1中,产生较多短时脉冲波形干扰(相当于第3级逻辑电路131 (3)的输出,或第4级逻辑电路(4)的输出)的输出,其信息量变高,但同时产生较多短时脉冲波形干扰的状态是不稳定的。因此,如果增加逻辑电路A的级数来增加短时脉冲波形干扰,则最初时作为PUF能够使用的信息量增加,但在某个时刻转为减少。其就是第2级及第3级的边界。据此,如果考虑短时脉冲波形干扰数和稳定性的兼顾,则在图1所示的例中,第2级逻辑电路131 (2)的输出可谓最适合利用为PUF。
[0046]此外,第3级的逻辑电路131(3)的输出在经过经年劣化后也有可能最适合作为PUF0换言之,就现在时间点而言,短时脉冲波形干扰较多而不稳定,但在由于经年劣化而短时脉冲波形干扰不容易出现时,该第3级逻辑电路131 (3)的输出能够最适合作为PUF。
[0047]此外,第4级的逻辑电路131 (4)的输出能够作为随机数产生器而不是PUF来利用。换言之,第4级的逻辑电路131 (4)的输出中由于短时脉冲波形干扰非常多而不稳定,所以如图2所示,每次的输出不稳定。因此,该第4级的逻辑电路131 (4)的输出虽无法用作PUF,但反而,成为能够作为随机数使用。
[0048]根据上述原理,对于本实施方式I的器件固有信息生成装置的内部结构,在图示若干具体例的同时,以下进行说明。图3为示出本发明实施方式I的器件固有信息生成装置的第I结构例的图。相当于图3所示的器件固有信息生成装置的短时脉冲波形干扰PUF301构成为具备比特生成部310以及性能评价/控制部350。
[0049]在此,比特生成部310具有进行比特生成的功能,且具备:数据寄存器群320、上位短时脉冲波形干扰产生电路330、以及比特变换电路340。另一方面,性能评价/控制部350具有:进行比特生成部310所生成的比特的性能评价,并控制比特控制部310,使得产生接近所期望的性能的短时脉冲波形干扰的功能。
[0050]接着,针对比特生成部310的内部结构进行详细说明。比特生成部310内的数据寄存器群320为保持输入至上位短时脉冲波形干扰产生电路330的数据的寄存器群。
[0051]并且,上位短时脉冲波形干扰产生电路330具备:将相同逻辑电路A N级串联连接而成的逻辑电路331 (I)?331 (N)、以及选择器332。在此,逻辑电路331 (I)?331 (N)的动作,与之前的图1的具有4级逻辑电路的短时脉冲波形干扰产生电路130相同。
[0052]此外,选择器320基于由性能评价/控制部350所输出的选择信号,进行选择切换,以便选择逻辑电路331 (I)?331 (N)中的哪一级的输出提供给变换电路340。通过具备这样的结构,上位短时脉冲波形干扰产生电路330具备使短时脉冲波形干扰的产生数阶段性地增加的结构,并能够通过由性能评价/控制部350所输出的选择信号,从N个短时脉冲波形干扰信号中选择其中一个。
[0053]并且,关于逻辑电路A,如之前的图1所说明的那样,可以是线性电路也可以是非线性电路。作为设计方针的一例,可以举出如下结构:为了抑制安装大小的目的,通过单独的情况下使用简单且小的逻辑电路,增加其级数N,由此增加逻辑的复杂度。
[0054]接着,图4为示出本发明实施方式I的器件固有信息生成装置的第2结构例的图,相当于图4所示的器件固有信息生成装置的短时脉冲波形干扰PUF401构成为具备比特生成部410以及性能评价/控制部450。此外,比特生成部410具备:数据寄存器群420、上位短时脉冲波形干扰产生电路430、以及比特变换电路440。
[0055]如果比较图4所示的第2结构例与之前的图3所示的第I结构例,则基本的结构相同,但上位短时脉冲波形干扰产生电路的内部结构不同。因此,以该不同点为中心,以下进行说明。在之前的图3所示的第I结构例的上位短时脉冲波形干扰产生电路330中,通过连接N级逻辑电路A,且选择来自其各级的输出,而生成总计N个短时脉冲波形干扰信号。
[0056]另一方面,图4所示的第2结构例的上位短时脉冲波形干扰产生电路430具备完全分开的N个短时脉冲波形干扰产生电路431 (I)?431 (N)、以及选择器432。换言之,通过安装N个完全分开的短时脉冲波形干扰产生电路,上位短时脉冲波形干扰产生电路430生成N个短时脉冲波形干扰信号。
[0057]作为此图4的结构的短时脉冲波形干扰产生电路431 (I)?431 (N)的例子,举出例如密码算法的S-box。通过利用DES、AES、MISTY、Camellia这样的各种密码算法的S_box,能够安装不同的短时脉冲波形干扰产生电路。
[0058]接着,针对图3的性能评价/控制部350、以及图4的性能评价/控制部450进行说明。两者的功能相同,在此使用图3,针对性能评价/控制部350的功能具体进行说明。
[0059]性能评价/控制部350控制选择器332,而对N个短时脉冲波形干扰信号一个一个地进行选择。由此,比特变换电路340通过将与各级所对应的短时脉冲波形干扰信号变换为比特,能够生成与各级所对应的比特。在此,性能评价/控制部350控制选择器332以使得重复(例如100次)进行对于某级的比特生成,此时,将作为比特变换器340的输出而首次所得的值与第2次以后所得的值进行比较,由此能够进行错误率的评价。
[0060]图5为示出本发明实施方式I的性能评价/控制部所包含的错误率评价电路的结构例的图。错误率评价电路560具备:寄存器561,保持首次的比特值;比较器562,比较首次的比特值与第2次以后的比特值;以及寄存器563,计算并保持其比较结果不一致的次数。
[0061]比较器562在比较结果不一致时,生成寄存器563的启动信号。并且,寄存器563根据启动信号而将寄存器的值增加1,由此能够计算不一致的次数。例如,如果在进行100次的比较之后的寄存器563的值为10,则错误率评价电路560判定错误率为10%。
[0062]这样,能够重复进行例如100次相同器件内的比特生成,使用该100个比特值来评价错误率。另一方面,为了评价信息量,则需要对于多个、例如100个不同的器件而生成的100个比特值。因此,需要建立在相同装置内模拟地存在多个器件的状况。
[0063]图6为示出本发明实施方式I的用于评价信息量的器件固有信息生成装置的结构例、以及性能评价/控制部所包含的信息量评价电路的结构例的图。相当于第6图(a)所示的器件固有信息生成装置的短时脉冲波形干扰PUF601构成为具备:数据寄存器群620、M个上位短时脉冲波形干扰产生电路630(1)?630 (M)、选择器632、比特变换电路640以及性能评价/控制部650。
[0064]在此,数据寄存器群620、选择器632、比特变换电路640、以及性能评价/控制部650分别与之前的图3的数据寄存器群320、选择器332、比特变换电路340、以及性能评价/控制部350具有相同功能。
[0065]此外,M个上位短时脉冲波形干扰产生电路630(1)?(M)为将与之前的图3的上位短时脉冲波形干扰产生电路330、或之前的图4的上位短时脉冲波形干扰产生电路430相当的上位短时脉冲波形干扰产生电路(换言之,为了生成N个短时脉冲波形干扰信号,而具有N个短时脉冲波形干扰产生电路的电路),以相同布局安装M个于器件上的电路。
[0066]并且,性能评价/控制部650通过控制选择器632而能够选择M个上位短时脉冲波形干扰产生电路630 (I)?630 (M)中的某一个的输出。由此,短时脉冲波形干扰PUF601模拟地构成相对于M个器件的短时脉冲波形干扰PUF,而模拟地生成相对于M个器件的比特。此外,短时脉冲波形干扰PUF601通过性能评价/控制部650进行相对于模拟地生成的M个比特值的统计处理,而能够评价信息量。
[0067]例如可通过香农熵来计测某比特所具有的信息量。香农熵在比特成为O的概率为P (成为I的概率为l-p)时,被定义为
[0068]-pXlog2(p)-(l_p) Xlog2(l_p)(I)
[0069]并且,log2为底数为2的对数函数。
[0070]将对数函数实现为电路时,由于安装大小变大,所以期望仅根据P的值进行关于信息量的评价。在此,由于上式(I)为在P = 0.5时取最大值的左右对称的凸函数,所以信息量大致的大小能够根据P的值进行判定。在此,使用图6 (b),对于性能评价/控制部650所包含的信息量评价电路670的功能进行说明。
[0071]图6 (b)所示的信息量评价电路670构成为具备:比较器671、以及两个寄存器672、673。比较器671判定比特变换电路640所生成的比特值是否为0,并基于其结果生成寄存器672以及寄存器673的启动信号。
[0072]两个寄存器672、673的启动信号互相为相反,寄存器672作为在比特值为O时值增加的计数器而发挥功能,而寄存器673作为在比特值为I时值增加的计数器而发挥功能。如上述那样,对于短时脉冲波形干扰PUF601所生成的M个比特值,作为性能评价/控制部650,使用该信息量评价电路670,从而能够计算M个中的O和I的个数,其结果能够评价信息量。
[0073]该电路也可使用于美国NIST SP800-22所决定的随机数检测的比特的0/1等频率性评价的目的中。
[0074]接下来,对于将以上说明的比特生成部、以及性能评价/控制部作为还包含CPU和存储器的系统来构成的例子进行说明。图7为示出包含本发明实施方式I的器件固有信息生成装置的系统结构例的图。相当于图7所示的器件固有信息生成装置的短时脉冲波形干扰PUF701构成为具备:比特生成部710以及性能评价/控制部750。
[0075]比特生成部710具备:数据寄存器群720、M个上位短时脉冲波形干扰产生电路730(1)~730 (M)、选择器732、以及比特变换电路740,且与之前的图6 (a)同样地具有以相同布局安装M个于器件上的上位短时脉冲波形干扰产生电路730 (I)~730(M)。并且,比特生成部710所生成的比特列输入至性能评价/控制部750。
[0076]性能评价/控制部750具备:错误订正电路751、OffHF电路752、比较/判定电路753、性能评价电路754、以及控制电路755。错误订正电路751是用于订正输入至性能评价/控制部750的比特列所包含的错误的电路。OWHF电路752是取得错误订正后的比特列的散列(hash)值的电路。
[0077]比较/判定电路753是将所生成的散列值与以前所生成的散列值进行比较的电路。性能评价电路754是评价输入至性能评价/控制部750的比特列的性能的电路。此外,控制电路755是基于比较/判定电路753的判定结果、以及性能评价电路754的判定结果,来控制比特生成部710的电路。
[0078]此外,图7所示的短时脉冲波形干扰PUF701经由系统总线780而与CPU781、存储器 782、1/0783 连接。
[0079]接下来,使用流程图,对于具备有图7所示的结构的短时脉冲波形干扰PUF701的动作进行详细说明。图8 为本发明实施方式I的图7所示的短时脉冲波形干扰PUF701的初始设定的流程图。此外,图9为本发明实施方式I的图7所示的短时脉冲波形干扰PUF701的再设定的流程图。
[0080]首先,使用图8,对于初始设定的一系列处理,分别按每个步骤进行说明。
[0081]步骤S801:是控制电路755取得比特b(l,l,l)至比特b(N,M,2n_l)的步骤。在此,b(i,j,k)的第I个下标i为短时脉冲波形干扰产生电路的编号(i = 1,...,N)。换言之,在之前的图3中,相当于选择逻辑电路331(1)?331(N)中的某一个的编号,而在之前的图4中,相当于选择短时脉冲波形干扰产生电路431 (I)?431(N)中的某一个的编号。
[0082]此外,第2个下标j相当于选择以相同布局安装了 M个的上位短时脉冲波形干扰产生电路730(1)?730(M)的中的某一个的编号(j = 1,...,M)。此外,第3个下标k表示向短时脉冲波形干扰产生电路的输入变化式样的编号,且在将输入信号设为η比特时,相当于2η-1比特的比特列。
[0083]步骤S802:是性能评价电路754评价比特b(l,1,I)........比特b(N,M,2n_l)
的性能的步骤。性能评价电路754根据其评价结果选择满足所期望的性能的下标i(i =1,...,N),并将下标i保持于存储器782。
[0084]此外,关于下标j,由于是表示为了评价信息量而模拟地安装了 M个器件的下标,所以在评价后,实际使用的只要为其中之一即可。以下,以使用j = I来进行说明。
[0085]步骤S803:是错误订正电路751对于与在j = I时的满足所期望的性能的下标所对应的比特列w(i) = (b(i,l,l),...,b(i,l,2n-l)),生成订正错误所需的校验子S,将其保存于存储器782的步骤。
[0086]步骤S804:是OffHF电路752计算比特列w⑴的散列值h,并保持于存储器782的步骤。
[0087]上述为初始设定的流程图。通过这样的一系列处理,性能评价/控制部750能够对满足所期望的性能的下标1、比特列w(i)的错误订正所需的校验子S、以及比特列w(i)的散列值h进行初始设定。
[0088]接下来,使用图9,对于再设定的一系列处理,分别按每个步骤进行说明。
[0089]步骤S901:是控制电路755以O对计数值cnt的值进行初始化的步骤。该计数值cnt示出步骤S903的错误订正失败的次数。
[0090]步骤S902:是控制电路755通过控制比特生成部710,而生成与在之前的初始设定中所决定的下标i所对应的比特列w(i) ’的步骤。控制电路755从存储器782读出下标
i。并且,控制电路755生成用于选择短时脉冲波形干扰产生电路i的选择信号,该选择信号被输入至第I台(相当于j = D上位短时脉冲波形干扰产生电路730(1)内的选择器。由此,可生成比特列w(i)’。并且,由于比特列w(i)’通常包含有错误,所以成为与在初始设定中所生成的w(i)不同的值,而附带有“’”。
[0091]步骤S903:是错误订正电路751对比特列w(i) ’进行错误订正处理,而得到比特列w(i) ”的步骤。错误订正电路751从存储器782读出在初始设定中所生成的错误订正用校验子S,并对比特列w(i)’进行错误订正处理。期望的是,错误订正处理后的比特列w(i)”与在初始设定中所生成的比特列w(i) —致。
[0092]步骤S904:是0WHF752计算比特列w(i) ”的散列值h”的步骤。
[0093]步骤S905:是比较/判定电路753将散列值h”与在初始设定中所生成的散列值h进行比较,且基于比较结果使处理分支的步骤。在h = h”时,意味着步骤S903的错误订正成功,而成功再生成了在初始设定中所生成的比特列w(i)。反之,在h h”时,意味着步骤S903的错误订正失败,而未能成功再生成在初始设定中所生成的比特列w (i)。
[0094]步骤S906:是控制电路755在步骤S905中成为h幸h”时,将表示错误订正失败的次数的计数值cnt的值增加1,并推进至下一步骤S907的步骤。
[0095]步骤S907:是控制电路755判定计数值cnt的值是否超过某预定的阈值U的步骤。在计数值cnt未超过U时,则回到步骤S902,控制电路755再度进行比特列生成与错误订正。
[0096]步骤S908:是在步骤S907中,在cnt>U时,控制电路755进行失败通知的步骤。这意味着已判定为即使控制电路755再持续进行比特列生成及错误订正,也无法再生成比特列w⑴。
[0097]步骤S909:是在步骤S905中,散列值成为h = h”而成功地完成再生成比特列w(i)时,控制电路755对计数值cnt的值是否超过某阈值V进行判定的步骤。控制电路755在cnt未超过V时,结束再设定处理。并且,U与V的关系为U>V。
[0098]步骤S910:是在步骤S909中,在成为cnt>V时,性能评价/控制部750进行初始设定的处理并选择新的下标i’的步骤。这意味着由于比特列w(i)的再生成已失败数次,所以性能评价/控制部750判断为电路特性已大幅改变,在无法再生成比特列w(i)之前,通过重新进行初始设定 来重新选择新的i’。
[0099]上述是再设定的流程图。通过这样的一系列处理,性能评价/控制部750不受器件制造的影响,或不受器件的经年劣化的影响,而能够保证输出满足所期望的性能(信息量、错误率)的短时脉冲波形干扰,且可根据需要而重新进行初始设定。
[0100]如上述那样,根据实施方式1,搭载多个短时脉冲波形干扰产生电路,能够进行对这些的信息量评价。因此,能够从多个短时脉冲波形干扰产生电路中选择使用的短时脉冲波形干扰产生电路,由此能够提高满足所期望的性能的可能性。并且,通过具备性能评价/控制部,在实际上能够选择满足所期望的性能的短时脉冲波形干扰产生电路。
[0101]此外,通过具有这些特征,在器件制造时、器件经年劣化后,也能够保证短时脉冲波形干扰PUF满足所期望的信息量。其结果,能够保证利用短时脉冲波形干扰PUF的产品设备的功能正常运作,或者能够更加延长功能的保证期间等。
[0102]此外,搭载多个短时脉冲波形干扰产生电路,尤其,搭载容易生成短时脉冲波形干扰并且每次的比特生成的再现性较低的短时脉冲波形干扰产生电路,能够进行所生成的比特的0/1等频率性评价,由此也可作为短时脉冲波形干扰PUF的随机数产生器而使用。
[0103]实施方式2.[0104]在之前的实施方式I中,说明了进行最适当的短时脉冲波形干扰产生电路的选择的初始设定、以及在短时脉冲波形干扰产生电路的特性发生变化了时的再设定。相对于此,在本实施方式2中,对于使用了短时脉冲波形干扰产生电路的具体的应用例进行说明。
[0105]使用基于短时脉冲波形干扰PUF的比特列生成,能够进行使用于加密算法的秘钥生成。图10是本发明实施方式2的进行秘钥生成时的性能评价/控制部的结构图。本实施方式2的性能评价/控制部1050具备:错误订正电路1051、0WHF电路1052、比较/判定电路1053、性能评价电路1054、控制电路1055、以及HF电路1056。此外,在本实施方式2的图10的结构中,包含有加密电路1090。
[0106]如果与之前的实施方式I的图7的结构进行比较,则不同点在于本实施方式2的图10的性能评价/控制部1050还具备有以将比特列随机化为目的的散列函数(HF电路1056)。通过该HF电路1056的工作,可将短时脉冲波形干扰PUF1001中所生成的比特列作为加密算法的秘钥来使用。
[0107]接下来,使用流程图,对于具备图10所示的结构的短时脉冲波形干扰PUF1001的动作进行详细说明。图11为本发明实施方式2的图10所示的短时脉冲波形干扰PUF1001的初始设定的流程图。此外,图12为本发明实施方式2的图10所示的短时脉冲波形干扰PUF1001的再设定的流程图。
[0108]首先,使用图11,对于初始设定的一系列处理分别按每个步骤进行说明。此外,该图11的流程图是在之前的实施方式I的图8的流程图上追加关于秘钥生成的处理的流程图。具体而言,步骤S1102?S1105与步骤S801?S804相同,而步骤S110US1105?S1108相当于作为关于秘钥生成的处理而新追加的步骤。
[0109]步骤SllOl:是加密电路1090从1/01082输入主秘钥mk,并保持于内部寄存器的步骤。
[0110]步骤S1102:是控制电路1055取得比特b(l,l,l)?比特b (N,M,2n_l)的步骤。
[0111]步骤SI 103:是性能评价电路1054评价比特b(l,l,l),...,b(N,M,2n_l)的性能的步骤。性能评价电路1054根据该评价结果来选择满足所期望的性能的下标I (i = 1,...,N),并将下标i保持于存储器1082。
[0112]步骤SI 104:是错误订正电路1051对于与在j = I时的满足所期望的性能的下标i所对应的比特列w(i) = (b(i,l,l),...,b(i,l,2n-l))生成错误订正所需的校验子s,并保持于存储器的步骤。
[0113]步骤SI 105:是OWHF电路1052计算比特列w⑴的散列值h,并保持于存储器1082
的步骤。
[0114]步骤SI 106:HF电路1056计算比特列w⑴的散列值k,并保持于加密电路1090内部的寄存器的步骤。该k相当于使用短时脉冲波形干扰PUF1001所生成的加密秘钥。
[0115]步骤SI 107:是加密电路1090使用在步骤SI 106中所生成的加密秘钥k对主秘钥mk进行加密,而取得加密数据X的步骤。加密电路1090将加密数据X保持于存储器1082。
[0116]步骤S1108:是加密电路1090将保持于内部的寄存器的主秘钥mk及加密秘钥k删除的步骤。
[0117]在上述图11的流程图中,虽存在两个加密秘钥mk及k,但主秘钥mk是实际上用于对数据进行加密的秘钥,而短时脉冲波形干扰PUF中所生成的加密秘钥k是用于对主秘钥mk进行加密的秘钥。在此,不将加密秘钥k使用于数据的加密的理由在于,短时脉冲波形干扰PUF1001的输出由于装置的经年劣化而变化,而变得无法再生成与初始设定相同的加密秘钥k。
[0118]以上是初始设定的流程图。通过这样的一系列处理,性能评价/控制部1050能够对满足所期望的性能的下标1、比特列w(i)的错误订正所需的校验子S、以及比特列w(i)的散列值h进行初始设定。并且,性能评价/控制部1050可进行主秘钥mk的取得、加密秘钥k的生成、以及加密数据X的生成。[0119]接下来,使用图12,对于再设定的一系列处理分别按每个步骤进行说明。并且,该图12的流程是在之前的实施方式I中的图9的流程图上追加关于秘钥管理的处理的流程图。具体而言,步骤S1201?S1208与步骤S901?S908相同,而步骤S1211与步骤S909相同,步骤S1209、S1210、S1212相当于作为关于秘钥管理的处理而新追加的步骤。
[0120]步骤S1201:是控制电路1055以O对计数值cnt的值进行初始化的步骤。
[0121]步骤S1202:是控制电路1055通过对比特生成部1010进行控制,而生成与之前的初始设定中所决定的下标i所对应的比特列w(i) ’的步骤。
[0122]步骤S1203:是错误订正电路1051对比特列w(i) ’进行错误订正,而取得比特列w⑴”的步骤。
[0123]步骤S1204:是OffHF电路1052计算比特列w(i) ”的散列值h”的步骤。
[0124]步骤S1205:是比较/判定电路1053将散列值h”与在初始设定中所生成的散列值h进行比较,且基于比较结果使处理分支的步骤。
[0125]步骤S1206:是控制电路1055在步骤S1205中成为h幸h”时,将表示错误订正失败的次数的计数值cnt的值增加1,并推进至下一个步骤S1207的步骤。
[0126]步骤S1207:是控制电路1055判定计数值cnt的值是否超过某预定的阈值U的步骤。在计数值cnt未超过U时,则回到步骤S1202,控制电路1055再度进行比特列生成与错误订正。
[0127]步骤S1208:是在步骤S1207中,在cnt>U时,控制电路1055进行失败通知的步骤。
[0128]步骤S1209:是HP电路1056计算比特列w(i) ”的散列值k的步骤。在S1205中,由于h古h”从而w⑴” =w(i),所以在此所求出的散列值k与w(i)的散列值k 一致。这意味着成功地完成初始设定中所生成的秘钥的再生成。OWHF电路1052将所计算出的散列值k保持于加密电路1090内部的寄存器作为再生成的秘钥k。
[0129]步骤S1210:是加密电路1090使用所再生成的秘钥k对数据x进行解密,而取得主秘钥mk的步骤。加密电路1090将主秘钥mk保持于内部的寄存器。
[0130]步骤S1211:是控制电路1055判定计数值cnt的值是否超过某阈值V的步骤。控制电路1055在cnt未超过V时,推进至S1212。
[0131]步骤S1212:是加密电路1090使用主秘钥mk进行加密处理的步骤。
[0132]步骤S1213:在步骤S1211中,在成为cnt>V时,性能评价/控制部1050进行初始设定的处理而选择新的下标i’,以及对基于与其对应的新的秘钥k’的mk进行加密的步骤。这意味着由于比特列w (i)的再生成已失败数次,性能评价/控制部1050判断为电路特性已大幅改变,而在无法再生成比特列w (i)(因此,k无法再生成)之前,通过重新进行初始设定来重新选择新的i’。
[0133]以上是再设定的流程图。通过这样的一系列处理,性能评价/控制部1050不受器件制造的影响,或不受器件的经年劣化的影响,而能够保证输出满足所期望的性能(信息量或错误率)的短时脉冲波形干扰,能够根据需要而重新进行初始设定。此外,也能够应用于关于秘钥管理的处理。
[0134]如以上那样,根据实施方式2,使用基于具有之前的实施方式I的效果的短时脉冲波形干扰PUF的比特列生成,而能够进行用于在加密算法中使用的秘钥生成,能够应用于加密处理。
【权利要求】
1.一种器件固有信息生成装置,通过具备比特生成部而在半导体器件内生成所述半导体器件的固有信息,该比特生成部具有短时脉冲波形干扰产生电路以及比特变换电路,其中该短时脉冲波形干扰产生电路输出组合电路的输出信号中产生的短时脉冲波形干扰,该比特变换电路将所述短时脉冲波形干扰的形状变换为信息比特,该器件固有信息生成装置的特征在于: 所述短时脉冲波形干扰产生电路通过搭载多个组合电路,而构成为输出多个不同的短时脉冲波形干扰的上位短时脉冲波形干扰产生电路; 所述比特生成部还具有:选择器,通过从外部接收选择信号,而从由所述短时脉冲波形干扰产生电路所输出的所述多个不同的短时脉冲波形干扰中选择一个短时脉冲波形干扰,并对所述比特变换电路输出; 该器件固有信息生成装置还具备:性能评价/控制部,以从所述多个不同的短时脉冲波形干扰中依次选择一个短时脉冲波形干扰的方式输出所述选择信号,由此取得与所述多个不同的短时脉冲波形干扰的各自对应地由所述比特变换电路所变换的各个比特信息,基于所述各个比特信息,来确定满足所期望的性能的短时脉冲波形干扰,并以输出所确定的短时脉冲波形干扰作为所述半导体器件的所述固有信息的方式来确定所述选择信号。
2.根据权利要求1所述的器件固有信息生成装置,其特征在于, 构成所述短时脉冲波形干扰产生电路的所述上位短时脉冲波形干扰产生电路,是通过将相同逻辑电路串联连接而多级构成的,且将各级的输出信号作为所述多个不同的短时脉冲波形干扰而输出。
3.根据权利要求1所述的器件固有信息生成装置,其特征在于, 构成所述短时脉冲波形干扰产生电路的所述上位短时脉冲波形干扰产生电路,由电路结构不同的多个短时脉冲波形干扰产生电路所构成,且将所述多个短时脉冲波形干扰产生电路各自的输出信号作为所述多个不同的短时脉冲波形干扰而输出。
4.根据权利要求1~3中任一项所述的器件固有信息生成装置,其特征在于, 所述性能评价/控制部包括:错误率评价电路,重复执行以从所述多个不同的短时脉冲波形干扰中依次选择一个短时脉冲波形干扰的方式输出所述选择信号,由此取得与所述多个不同的短时脉冲波形干扰的各自对应地由所述比特变换电路所变换的各个比特信息的操作,并根据所述比特信息对于重复次数的一致度,来进行所述多个不同的短时脉冲波形干扰的各自的错误率评价。
5.根据权利要求1~4中任一项所述的器件固有信息生成装置,其特征在于, 所述短时脉冲波形干扰产生电路构成为在一个所述半导体器件上搭载多个所述上位短时脉冲波形干扰产生电路, 所述比特生成部还具有:第二选择器,从外部接收笫二选择信号,由此从多个上位短时脉冲波形干扰产生电路的各自的输出中选择一个输出,并对所述比特变换电路进行输出, 所述性能评价/控制部还包括:信息量评价电路,执行以从所述多个上位短时脉冲波形干扰产生电路的各自的输出中依次选择一个的方式输出所述第二选择信号,并通过使对于各个上位短时脉冲波形干扰产生电路的η比特(η为2以上的整数)的输入信号依次变化,由此将与所述多个上位短时脉冲波形干扰产生电路的各自对应地由所述比特变换电路所变换的各个比特信息作为2η-1比特的比特列而取得的操作,且通过对比特列所包含的比特值为I的比特数进行计数,来进行所述多个上位短时脉冲波形干扰的各自的信息量评价。
6.根据权利要求4或5所述的器件固有信息生成装置,其特征在于, 所述性能评价/控制部还具有: 错误订正电路,用于对经由所述比特生成部内的所述比特变换电路而取入的比特列所包含的错误进行订正; OffHF电路,生成由所述错误订正电路进行错误订正后的比特列的散列值; 比较/判定电路,将由所述OWHF电路所生成的所述散列值与在此以前所生成的散列值进行比较; 性能评价电路,进行所述错误率评价或所述信息量评价作为所述比特列的性能;以及 控制电路,进行控制,使得根据基于所述比较/判定电路的判定结果、以及基于性能评价电路的评价结果,从满足所期望的性能的短时脉冲波形干扰生成由所述比特生成部所输出的所述信息比特。
7.根据权利要求6所述的器件固有信息生成装置,其特征在于, 所述性能评价/控制部还具有:HF电路,对由所述错误订正电路进行错误订正后的比特列进行随机化而求出散列值,由此生成加密秘钥。
8.一种器件固有信息生成方法,适用于器件固有信息生成装置,而用于在半导体器件内生成所述半导体器件的固有信息,该固有信息生成装置具有短时脉冲波形干扰产生电路以及比特变换电路,其中该短时脉冲波形干扰产生电路输出组合电路的输出信号中产生的短时脉冲波形干扰,该比特变换电路将所述短时脉冲波形干扰的形状变换为信息比特,其特征在于包括: 输出选择信号的步骤,该选择信号使得从经由所述短时脉冲波形干扰产生电路中所搭载的多个组合电路所输出的所述多个不同的短时脉冲波形干扰中,选择一个短时脉冲波形干扰而对所述比特变换电路输出; 以从所述多个不同的短时脉冲波形干扰中依次选择一个的方式输出所述选择信号,由此取得与多个不同的短时脉冲波形干扰的各自对应地由所述比特变换电路所变换的各个比特信息,且基于所述各个比特信息来确定满足所期望的性能的短时脉冲波形干扰的步骤;以及 以将所确定的短时脉冲波形干扰作为所述半导体器件的固有信息而输出的方式,来确定所述选择信号的步骤。
【文档编号】G09C1/00GK103946909SQ201180074942
【公开日】2014年7月23日 申请日期:2011年12月22日 优先权日:2011年12月22日
【发明者】清水孝一 申请人:三菱电机株式会社
相关技术
网友询问留言
已有0条留言
- 还没有人留言评论。精彩留言会获得点赞!
1