专利名称:利用物理不可复制函数对令牌的询问响应认证的制作方法
技术领域:
本发明涉及一种对提供可测量参数的物理令牌进行认证的方法, 以及一种包括提供用于认证的可测量参数的物理令牌的设备。
背景技术:
物理不可复制函数(physical uncloneable function, PUF )是一种
用于创建防墓改环境的结构,其中,多方可以建立共享的秘密和/或密 码材料(例如加密密钥)。PIIF是一种物理令牌,对其提供输入—— 询问。当将询问提供给PUF时,其产生被称为响应的随机模拟输出。 因为其复杂度及其所遵循的物理规律,令牌被认为是"不可复制的", 即,对于物理复制和/或计算式模型是不可行的。PUF有时也被称为物 理随机函数。如果PUF与控制函数(control fuction)组合,则实质上 可以加强PUF。在实践中,PUF和与PUF不可分的算法被包括在防篡 改芯片(所谓的受控PUF (CPUF))内。以硬件、软件或它们的组合 实现的算法对PUF的输入和输出进行管理。例如,禁止频繁询问PUF, 禁止特定类型的询问,隐藏PIJF的物理输出,仅公开以受密码保护的 数据等等。
可以将PUF用作密码密钥材料的生成器的原因在于,可以根据 PUF的输出推导出比特串。这种PUF的示例是在随机位置包含光散射 元件的3D光学介质。对于光学介质的输入(即询问)可以是例如照射 PUF的激光光束的入射角,输出(即响应)是由光散射元件所创建的 作为特定入射角结果的斑点图案。这种响应可以通过相机来检测,并 且可以被量化为密码密钥。创建可以用作密码密钥材料的源的PUF的 另一方式是以介电粒子散布在其中的涂覆层来覆盖集成电路(IC)。 这些粒子典型地具有不同的介电常数以及归因于制造工艺的或多或少 的随机形状、尺寸和位置。传感器元件^L布置在IC的顶部金属层,以 在不同涂覆层位置对电容值进行本地化测量。在该示例中,涂覆层自 身构成物理不可复制函数。作为介电粒子的随机特性的结果,所测量的电容值促成了优秀的密钥材料。具有涂覆层形式的PDF的IC对电 容进行测量,并且将电容值转换为比特串,根据所述比特串而推导密 码密钥。
"Protecting Devices by Active Coating" by Dr. Reinhard Posch, Technische Universitat GRAZ, AUSTRIA, published in /owrmi/ t/f Ve/*5^/ C。wi/7Mfer 5V:&wce, vo/.《wo. 7 (7995), iS/7r/wger
尸M. O .,公开了一种利用例如在智能卡中或在一些其它安全硬件设备 的覆盖材料中所使用的涂覆材料的随机特性来检测设备的墓改的方 法。在所公开的方法中,涂覆层被假设为具有电可测量特性(例如电 阻或电容)的材料。因为材料的不可再现和随机特性,所以可以感测 电可测量特性,并且可以根据所感测的值来创建密码密钥材料。篡改 这种类型的涂覆层的操作导致密码密钥的改变,并且篡改操作因此毁 坏所述密钥。
对集成电路(IC)的物理攻击在某种程度上引出了一个主要的安全性 问题,所述程度日益增大,并且芯片制造商一般以保护性涂覆层来覆 盖他们的IC。攻击者不断开发技术来绕过芯片制造商的防范措施。这
些技术范围从蚀刻到光和离子束攻击。因此,期望开发并改进用于阻
止对芯片(例如IC)的安全性攻击的方法。
发明内容
本发明的目的在于解决现有技术中的上述问题,并且提供一种用 于检测设备的篡改的方式。
通过一种如权利要求1所述的对提供可测量参数的物理令牌进行
认证的方法以及一种如权利要求10所述的包括提供用于认证的可测量
参数的物理令牌的设备来达到该目的。
在本发明第一方面中,提供一种方法,包括以下步骤测量由物 理令牌所提供的多个所述参数的值;以噪声纠正数据处理测量值,以
推导验证数据的集合。进一步地,所述方法包括以下步骤对所述验 证数据与登记数据进行比较,所述登记数据根据在物理令牌的登记期 间所测量的所述多个参数的值而推导得出;确定所推导出的验证数据 是否与所述登记数据对应,其中,如果所述验证数据与所述登记数据 之间存在对应关系,则将所述物理令牌看作是认证的。
在本发明第二方面中,提供一种设备,该设备包括用于测量由物理令牌所提供的多个所述参数的值的装置;用于进行以下处理的装 置以噪声纠正数据处理测量值,以推导验证数据的集合;对所述验 证数据与登记数据进行比较,所述登记数据根据所述噪声纠正数据和 在物理令牌的登记期间所测量的所述多个参数的值而推导得出;确定 所推导出的验证数据是否与所述登记数据对应,其中,如果所述验证 数据与所述登记数据之间存在对应关系,则所述设备被认为是认证的。
本发明的基本构思在于利用设备中所包括的物理令牌的特性来检 测所述设备是否被篡改。
在登记阶段,测量由所述物理令牌所提供的多个物理参数的值。 例如,应该对其检测篡改的设备包括具有传感器元件的集成电路 (IC)、覆盖1C的涂覆层的形式的物理令牌。被布置在IC处的所述 传感器元件被布置为测量由所述涂覆层所提供的多个物理参数(例 如在不同涂覆层位置处的电容)。因此,在涂覆层的N个不同位置处 典型地测量电容值,这产生测量值1^,,,1^,... ,Rnj的集合R。测量值的 这个集合被称为响应数据。采用噪声纠正数据(也称之为帮助方数据) 来以安全方式提供噪声健壮性。在登记期间所获得的响应不一定必须 与在认证阶段期间所获得的(理论上相同的)响应相同。当测量物理 特性(例如响应)时,总是有随机噪声出现在测量操作中,从而用于 将所测量的模拟特性转换为数字数据的量化处理的结果(outcome)将 对于相同物理特性的不同测量操作而不同。为了向噪声提供健壮性, 在登记期间推导帮助方数据并且对其进行存储。所述帮助方数据将在 认证期间被使用,以实现噪声健壮性。帮助方数据被看作是公共数据, 并且仅公开可忽略的量的关于根据所述响应数据所推导出的秘密登记 数据的信息。
在示例性帮助方数据方案中,经由以(W, S) = Fg(R)的方式的某些 适当函数FG,所述帮助方数据W和登记数据S是基于物理令牌的响应 数据R的。函数Fg可以是随机化函数,其使得能够从响应数据的一个 单个集合R生成很多对(W, S)帮助方数据W和登记数据S。这允 许所述登记数据S (并且因此也允许帮助方数据W)对于不同登记授 权方(authorities)而不同。于是将所推导出的帮助方数据和登记数据 存储在实现所述物理令牌的设备中。所述设备包括微处理器或具有计 算能力的某些其它适当的设备,以及存储装置。优选地,但并非必须,在存储所述登记数据之前,由所述微处理器以密码方式来保护所述登 记数据。
于是,在认证阶段,测量电容值,其产生测量值R'o,R'h... ,R'Nd 的另一集合R'。在登记阶段,选取帮助方数据,从而当将 delta-contracting函数G应用于所述响应数据R=R0, &,... , R^和帮助 方数据W=W,,, W,,…,WNj时,结果等于登记数据S-So, S,,…,Sn小 delta-contracting函数具有以下特性其允许选取帮助方数据的适当的 值,从而充分类似响应的数据的任意值产生相同输出值(即与登记数 据相同的数据)。结果,如果R'充分程度地相似于R,则G(R, W) = G(R', W)-S。因此,在认证期间,噪声响应R'连同帮助方数据W—起将产 生验i正数据S'= G(R', W),其与登记数据S相同。按以下方式来布置 所述帮助方数据不公开关于所述登记数据的信息。于在所述设备中 以密码方式保护所述登记数据的情况下,所述设备的所述微处理器在 认证阶段也以密码方式保护所述验证数据S'。 一旦在所述设备中已经 以密码方式保护了所述登记数据和所述验证数据,那么就可以在所述 设备外部安全地处理所得到的受保护数据。
在认证阶段,对所述验证数据S'与所述登记数据S进行比较,并 且确定所推导出的验证数据是否与所述登记数据对应。如果对应,则 将所述物理令牌看作是认证的。
本发明有利地用于确定设备(例如集成电路)是否已经被攻击或 者篡改。典型地,对所述设备的物理攻击毁坏保护性涂覆层。通过毁 坏所述涂覆层(即所述设备的物理令牌),已经修改了所述涂覆层的 特性,并且已经改动了在给定涂覆层位置处的涂覆层的响应。结果, 在认证阶段所推导出的响应数据将不同于在所述登记数据中所推导出 的所述响应数据,并且包括所述物理令牌的设备的认证操作将失败。
例如,当1C希望检查其是否受攻击时,其在N个涂覆层位置(其 中,传感器被布置在各个位置以用于测量电容)执行电容值的测量, 产生测量值R'(,,R、,." ,RVh于是,在登记期间所创建的帮助方数据 W0, W"…,用于推导验证数据S'n, S、,…,S'w。于是,IC计算 S'=S'0|| ... ||SW散列值H(S')(其中,ll表示数据的级联)——即登 记数据_^通过散列函数而以密码方式来保护。然而,应注意,可以
对验证数据s'的明文拷贝与所述登记数据s的明文拷贝进行比较,在此情况下,无需采取密码保护方式。最终,1C检查是否H(S) = H(S')。 如果存在对应关系,则1C判断其尚未被攻击,而如果散列值彼此不对 应,则一个或多个测量的电容值不同于在登记期间所测量的对应值。IC 于是得出结论其已经被篡改,并且将适当地采取行动(例如进入休 眠模式或简单地自我关闭)。已由给定传感器在认证期间所测量的并 且关于由相同的给定传感器在登记期间所测量的值而不同的电容值极 有可能暗示1C已经被篡改。因此,所述多个(N个)测量电容值必 须落入待认证1C的预定误差容限边界之内推导S和S'所采用的 delta-contracting函数G越敏感,所述边界越窄。
在本发明实施例中,将不可逆函数的形式的密码函数(例如散列 函数)应用于所述验证数据S'。有利的是,应该采用登记阶段和认证 阶段两者,而不公开根据在所述设备处测量的涂覆层电容值所推导出 的秘密数据(即登记数据以及验证数据)。因此,在所述秘密数据待 从所述设备导出的情况下,所述设备的微处理器通过使用散列函数来 使得在所述登记阶段中的登记数据模糊化,产生散列值H(S)。散列 函数具有需要相对少量的处理功率的优点。在认证时,所述验证数据S' 被散列化,这产生H (S')。如果比较结果示出H(S)=H(S'),则包括所 述物理令牌的设备确定其尚未被攻击,并且因此其是认证的。
进一步地,通过将散列函数应用于所述秘密数据,如上所述,如 杲需要,则可以在所述设备外部安全地处理散列化后的登记数据H ( S ) 和验证数据H (S')。
在另一实施例中,在登记期间例如使用对称加密方式或不对称加 密方式对所述登记数据S进行加密。有可能的是,在认证阶段也对所 述验证数据S'进行加密,并且将对应的加密后的数据集合EK (S)与 EK (S')彼此进行比较。或者,对已加密的登记数据进行解密,散列 化,并且与所述验证数据的散列化拷贝进行比较。如果执行加密操作,
则可以有利地重用数据。
当研读所附权利要求以及以下描述时,本发明的其它特征和优点 将变得清楚。本领域技术人员应理解,可以组合本发明的不同特征, 从而创建除了以下所描述的实施例之外的实施例。
以下将参照附图给出本发明优选实施例的详细描述,其中 图1示出根据本发明实施例的包括提供用于认证的可测量参数的 物理令牌的设备。
具体实施例方式
图1示出根据本发明实施例的包括提供用于认证的可测量参数的 物理令牌的设备。该设备ll包括集成电路(IC),其由半导体晶片12、 绝缘层13和传感器元件16组成。进一步地,该设备包括覆盖IC的涂 覆层14的形式的物理不可复制函数(PUF)。在涂覆层14中,散布介 电粒子15。这些粒子典型地具有不同介电常数,并且是随机大小和形 状。传感器元件16被布置在绝缘顶部金属层13处,以用于在不同涂 覆位置对电容值进行本地化测量。设备ll典型地布置有输入,经由 所述输入可以输入数据;输出,经由所述输出可以提供加密/解密(并 且有可能被签署的)数据。或者,设备11可以接收已加密数据作为输 入数据,并且输出解密后的数据。设备11还包括微处理器17或具有 计算能力的某些其它适当的设备(例如AS1C(专用集成电路)、FPGA
(现场可编程门阵列)、CPLD (复杂可编程逻辑设备)等等)。微处 理器例如被采用为执行密码运算,并且根据测量的电容值来推导数据 集合。进一步地,设备ll包括存储装置18,并且微处理器典型地被布 置有模数转换器(未示出),以用于将测量的模拟电容值转换为数字 比特串,以用于进一步处理。当执行本发明的方法不同实施例的步骤 时,微处理器典型地执行下载到设备并且存储在存储装置18中的适当 的软件。本领域技术人员理解,关于输入和/或输出数据,存在大量组 合,加密/解密所述数据,或者根据其中使用了所述设备的应用而以任 何其它适当的方式对所述数据进行处理。
因此,在本发明实施例中,在设备11的登记期间由传感器元件16
来测量涂覆层14的多个电容值R,、、 R,、 ....... RN-i。由设备来选取噪
声纠正数据W,并且通过应用于微处理器17的函数FG,以(W, S)= Fc(R)的方式来推导基于噪声纠正数据W和涂覆层的响应数据R(其典 型地包括级联的电容值R』R』......Pw)的登记数据S。此外,微处
理器将散列函数H应用于登记数据S,其产生散列值H(S)。所推导
出的帮助方数据W和受保护的登记数据H (S)被存储在设备的存储器18中。
于是,在认证阶段,在检测到有可能篡改设备的情况下,在与在 登记期间所使用的相同传感器元件18处测量电容值,这产生测量值
RV R'i........ 的另一集合R'。如上所述,在登记期间选取帮
助方数据,从而当将delta-contracting函数G应用于登记响应数据R 和帮助方数据W时,结果等于登记数据S。 delta-contracting函数具有 以下特性其允许选取帮助方数据的适当的值,从而充分类似响应的 数据的任意值产生相同输出值(即与登记数据相同的数据)。结果, 如果在认证期间所推导出的响应数据R'充分程度地相似于在登记期间 所推导出的响应数据R,则G(R, W)-G(R', W) = S。因此,如果涂覆 层14的电容特性尚未被修改,则在认证期间,噪声响应R'连同帮助方 数据W—起将产生验证数据S'^G(R', W),其与登记数据S相同。微 处理器n执行验证数据的散列化运算,产生H (S')。于是,对散列
化后的验证数据与散列化后的登记数据进行比较。如果H(S')=H(S), 则认为设备未被篡改,并且因此可以是认证的。
虽然已经参照本发明特定示例性实施例描述了本发明,但许多改 动、修改等等对于本领域技术人员将是清楚的。因此,所描述的实施 例并非意欲限制所附权利要求所定义的本发明的范围。
权利要求
1. 一种对提供可测量参数的物理令牌(14)进行认证的方法,所述方法包括以下步骤测量由所述物理令牌(14)提供的多个(N)所述参数的值(R'0,...,R'N-1);以噪声纠正数据(W0,...,WN-1)来处理所述测量值(R'0,...,R'N-1,以推导验证数据(S'0,...,S'N-1);对验证数据(S'0,...,S'N-1)与登记数据(S0,...,SN-1)进行比较,所述登记数据(S0,...,SN-1)是根据所述噪声纠正数据以及在所述物理令牌的登记期间所测量的所述多个(N)参数的值(R0,...,RN-1)推导出的;确定所推导出的验证数据(S'0,...,S'N-1)是否与所述登记数据(S0,...,SN-1)对应,其中,如果所述验证数据与所述登记数据之间存在对应关系,则认为所述物理令牌是经过认证的。
2. 如权利要求1所述的方法,其中,在物理令牌(14)的登记期间 推导出所述噪声纠正数据(W)。
3. 如权利要求1或2所述的方法,进一步包括以下步骤 以密码方式保护所述验证数据(S'),其中,对所述以密码方式所保护的验证数据与以密码方式所保护的登记数据进行比较,并且如果 所述受保护的验证数据与所述受保护的登记数据之间存在对应关系, 则认为所述物理令牌是经过认证的。
4. 如权利要求3所述的方法,其中,通过应用不可逆函数来保护所 述数据。
5. 如权利要求4所述的方法,其中所述不可逆函数是散列函数。
6. 如权利要求4或5中的任意一项所述的方法,其中,所述以密码 方式保护数据的步骤包括以下步骤将不可逆函数应用于所述验证数据(S'),其中,对所述不可逆函数的输出与应用于所述登记数据的所述不可逆函数的输出进行比较, 并且如果所述不可逆函数的所述两个输出之间存在对应关系,则认为 所述物理令牌是经过认证的。
7. 如权利要求3或4中的任意一项所述的方法,其中,通过加密方式来保护所述数据。
8. 如前述权利要求中的任意一项所述的方法,进一步包括以下步骤在物理令牌(14)的登记期间选择所述噪声纠正数据(W),从 而通过应用函数(Fg)使得(W, S) = Fg(R),基于所述噪声纠正数据和 所述多个(N)参数的测量值(R)来推导所述登记数据(S)。
9. 如权利要求8所述的方法,进一步包括以下步骤 将所述噪声纠正数据(W)和所述登记数据(S)存储在所述物理令牌(14)处。
10. —种设备(ll),包括提供用于所述设备的认证的可测量参数 的物理令牌(14),所述设备进一步包括用于测量由所述物理令牌(14)所提供的多个(N)所述参数的值(R'o, ,)的装置(16);用于进行以下操作的装置(17 ) 以噪声纠正数据(Wn,,…,Ww ) 来处理所述测量值(RV.^RV,)以推导验证数据(S',),…,S'Nd ); 对验证数据(S',h ... , S'N-)与登记数据(S,h…,Sw )进行比较,所述 登记数据(So,... , SN—,)是根据所述噪声纠正数据以及在所述物理令牌 的登记期间所测量的所述多个(N)参数的值(R,,,…,RN—,)推导出的; 以及确定所推导出的验证数据(S' , ... , SV,)是否与所述登记数据(S ,... , SN ,)对应,其中,如果所述验证数据与所述登记数据之间存 在对应关系,则认为所述物理令牌是经过认证的。
11. 如权利要求IO所述的设备(11),其中,所述用于处理的装置 (17)被进一步布置为将不可逆函数应用于所述验证数据(S'),其中,对所述不可逆函数的输出与应用于所述登记数据的所述不可逆函 数的输出进行比较,并且如果所述不可逆函数的所述两个输出之间存 在对应关系,则认为所述物理令牌(14)是经过认证的。
12. 如权利要求7或8中的任意一项所述的设备(11 ),其中,所 述用于处理的装置(17)被进一步布置为在物理令牌(14)的登记 期间选择所述噪声纠正数据(W),从而通过应用函数(Fg)使得(W, S) = Fg(R),基于所述噪声纠正数据和所述多个(N )参数的测量值(R) 来推导所述登记数据(S)。
13. 如权利要求10-12中的任意一项所述的设备(11),进一步包括用于存储所述噪声纠正数据(W )和所述登记数据(S )的装置(18 )。
14. 如权利要求10-13中的任意一项所述的设备(1),进一步包 括集成电路。
15. 如权利要求14所述的设备(11),其中,所述物理令牌U4) 包括涂覆层,在所述涂覆层中,散布介电粒子(15),所述涂覆层 覆盖所述集成电路。
16. —种计算机程序产品,其包括计算机可执行组件,当所述计算 机可执行组件运行在所述设备所包括的处理单元(17)上时,用于使 得设备(11)执行如权利要求1-9中的任意一项所述的步骤。
全文摘要
本发明涉及一种对提供可测量参数的物理令牌(14)进行认证的方法,以及一种包括提供用于认证的可测量参数的物理令牌(14)的设备(11)。本发明的基本构思在于利用设备(11)中所包括的物理令牌(14)的特性来检测所述设备是否被篡改。在登记阶段,测量由所述物理令牌所提供的多个物理参数的值。这种测量值的集合被称为响应数据。采用噪声纠正数据(也称之为帮助方数据)来以安全方式将噪声健壮性提供给所述响应数据。于是,在认证阶段,再次测量参数值,并且采用噪所述声纠正数据来推导验证数据。对所述验证数据与所述登记数据进行比较,并且确定所推导出的验证数据是否与所述登记数据对应。如果对应,则认为所述物理令牌是经过认证的。
文档编号H04L9/08GK101421971SQ200780012945
公开日2009年4月29日 申请日期2007年4月5日 优先权日2006年4月11日
发明者P·T·图伊尔斯 申请人:皇家飞利浦电子股份有限公司