无需数据库的噪声低功率puf认证的制作方法

专利名称：无需数据库的噪声低功率puf认证的制作方法
无需数据库的噪声低功率PUF认证
本发明涉及一 种用于在验证器上进行认证的方法、包括物理令牌的 设备、用于执行认证的系统、以及包括用于提供可测量参数的物理令 牌的设备。
物理不可克隆功能(PUF)是用于创建下述防篡改环境的结构，在 所述抗干扰环境中，当事方可建立共享秘密。PUF是向其提供了输入(挑 战)的物理令牌。当向PUF提供挑战时，它生成被称为响应的随机模 拟输出。因为其复杂性以及它遵循的自然法则，所以认为该令牌是"不 可克隆的"，即难以实施物理地复制和/或计算建模。有时还将PUF称 为物理随机功能。如果将PUF与控制功能结合在一起，那么可使PUF 显著地加强。在事件中，将PUF和与PUF分不开的算法包括在防篡改 芯片之内。只可通过该算法来访问PUF，并且任何绕过该算法或者对该 算法进行操纵的企图都将破坏PUF。以硬件、软件、或者其组合实现的 算法将控治PUF的输入和输出。例如，阻止频繁向PUF发出挑战、阻 止某些类别的挑战、隐藏PUF的物理输出、仅显现加密保护的数据等 等。这些措施可显著地增强安全性，这是因为攻击者无法随意地向PUF 发出挑战并且无法对该响应进行解释。将这种类型的PUF称为受控的 PUF ( CPUF )。
PUF的示例是包含有处于随机位置的光散射器的3D光学介质。输 入(即挑战)可以是例如照射PUF的激光束的入射角，并且输出(即 响应)是作为特定入射角的结果而由光散射器所产生的散斑图案。利 用照相才几可对该响应进行检测并且可将该响应量化成密钥。
创建可用作密钥材料源的PUF的另一方式是利用其中介电粒子散 布其中的涂层来覆盖集成电路(IC)。由于生产工艺，这些粒子通常 具有不同介电常数以及或多或少地随机形状、大小以及位置。传感器 元件位于IC的顶部金属层处以对不同涂层位置处的电容值进4亍局部测 量。在该示例中，涂层本身构成了物理不可克隆功能。作为介电粒子 的随机性的结果，所测量的电容值可形成极好的密钥材料。具有涂层 形式的PUF的IC对电容进行测量，并且将该电容值转换成从其可导出密钥的位串。
在注册阶段中，将挑战提供给PUF，该PUF产生对于该挑战唯一且 不可预测的响应。将该挑战和相应的响应存储在验证器处，并且随后 将利用该验证器进行认证。典型地，在认证阶段，验证器向检验方提 供在注册阶段所存储的挑战。如果检验方能够返回对该挑战的响应， 且该响应与在注册阶段所存储的响应相匹配，那么认为检验方^皮检验 为可访问共享秘密，并且因此由验证器进行了认证。进行注册阶段和 认证阶段而应当不会揭示共享秘密(即响应)，其通常涉及借助于加 密来设置安全信道的。相反状况在该技术领域中也已为大家所熟知 配备有PUF的处理器可证实它与具有其PUF的先验测量知识的用户进 行通信。因此，配置有PUF的设备可对寻求访问该i殳备的用户进行认 证。
PUF例如以由用户所采用的令牌来实现，以对本身进行认证并且因 此可访问某些数据、服务或者设备。这些令牌例如包括借助于射频信 号或者通过有线接口 (诸如USB)而与要访问的设备进行通信的智能卡。 PUF可用于对例如智能卡、SIM卡、信用卡、钞票、有价证券、RFID(射 频识别)标签、安全相机等等这样的大范围的对象和设备进行认证。 因此，PUF可很好的适用于例如DRM (数字权限管理)、拷贝保护、商 标保护、以及伪品检测这样的应用中。此外，PUFs提供了防窃启(tamper evidence)的廉价方法。
理想地，基于PUF的认证协议将满足所有以下特性
1、 区分能力PUF特性之间必须存在足够的差别以对PUF进行唯 一地标识；
2、 安全性必须保护从PUF所导出的密钥。如果它们受到危害， 那么攻击者可模仿PUF设备(伪造、假冒、身份盗窃等等)。必须对 这些密钥进行保护以免偷听者、恶意验证器/第三方以及黑客企图攻击 该PUF设备；
3、 噪声容许在某种程度上，所有PUF度量都是有噪声的。如果 将加密操作应用于PUF输出，那么首先通常必须应用纠错码，因为加 密功能的实际任务使提供给它的输入错乱。如果没有纠错，输入数据 的很小偏差将会导致输出数据很大的偏差；
4、 低成本验证器所使用的器具(例如ATM机) 一般是昂贵的。然而，要认证的一方所使用的设备(例如ATM提款卡)必须很i^更宜。
RFID标签用作便宜的标识符并且期望取代条型码。最简单的标签 仅包含标识号(ID)和电子产品编码(EPC)。然而，稍微更昂贵的标 签还可包含例如PIN码、 一些外加存储器以及适量的计算能力。已提 议了使用RFID标签以用于认证和防伪目的，例如用于对伪钞进行检观，J。
外，还要求认证^议;在低,功率设备上运行。示例是具有嵌入式PUF 的RFID标签、具有集成指紋传感器的智能卡、"电除尘"应用等等。这 些设备具有适度的处理功率能力并且通常太弱而不能执行诸如加密、 解密、签名、以及签名校验这样的密码学操作。此外，它们通常太弱 而不能在有噪声的度量上执行纠错算法。然而，它们通常具有足以生 成随机数并且计算散列函数的功率。现有技术的问题在于当不允许低 功率设备使用纠错以及像AES、 DES、 RSA、 ECC等之类的密码算法时如 何确保安全性。
在诸如大批量验钞这样的一些应用中，速度是重要的要求。密码操 作的问题在于它们需要长的处理器时间量。
此外，对于验证器而言，维持注册度量的数据库是很麻烦的。当保 持大量PUF的记录时，总而言之显然有利的是可避免数据库的必要性。
本发明的目的是克服上述先有技术中的一些问题。尤其是，本发明 的目的是提供一种还可在下述低功率设备上运行的安全认证协议，所 述低功率设备不具有足够的处理功率以对噪声度量执行诸如加密、解 密、签名、签名校验以及纠错这样的密码学操作。本发明进一步的目 的是提供这样一种安全认证协议，在该安全认证协议中，验证器不必 保持用于物理令牌的注册度量的数据库。
这些目的通过根据权利要求1的、用于在验证器上对物理令牌进行 认证的方法、根据权利要求19的用于执行认证的系统、以及才艮据权利 要求25的、包括有用于提供可测量参数的物理令牌的设备来实现。
在本发明的第一方面中，提供了一种用于在验证器处对物理令牌进 行认证的方法，该方法包括步骤在验证器处接收来自设备的第一集 合的隐蔽响应数据，该响应数据从所述物理令牌导出、被隐蔽并且在 注册期间存储在该设备中；揭示所隐蔽的响应数据；以及将它发送到该设备。此外，该方法包括步骤在该设备处利用第一挑战向物理令 牌进行挑战以导出响应数据，其中该第一挑战用于导出第一集合的响 应数据；将所导出的响应数据与从验证器接收到的第一集合的响应数 据进行比较；以及如果所导出的响应数据与从验证器接收到的第一集 合的响应数据相对应，那么利用第二挑战向该物理令牌进行挑战以导 出响应数据，其中所述第二挑战用于从物理令牌导出第二集合的响应 数据并且该第二集合被隐蔽并且在注册期间存储在设备中。此后，将 第二集合的隐蔽响应数据以及从第二挑战所导出的响应数据发送到验 证器，该验证器揭示第二集合的隐蔽响应数据，并将该第二集合的响 应数据与从第二挑战所导出的响应数据进行比较，其中如果这两个数 据集合之间存在相应性，那么认为该设备4皮i人证了 。
在本发明的第二方面中，提供了一种用于执行认证的系统，所述系 统包括验证器以及包括有物理令牌的设备。在该系统中，该验证器布 置为从该设备接收第一集合的隐蔽响应数据，该响应数据从物理令牌 导出、被隐蔽并且在注册期间存储在该设备中，并且该该验证器布置 为揭示所隐蔽的响应数据并且将它发送到该设备。该设备被布置为通 过利用用于导出第一集合的响应数据的第一挑战来对物理令牌进行挑 战来导出响应数据、将所导出的响应数据与从验证器接收到的第一集 合的响应数据进行比较、并且在如果所导出的响应数据与从验证器接 收到的第一集合的响应数据相对应，则通过用第二挑战来对物理令牌 进行挑战而导出响应数据，其中所述第二挑战用于从物理令牌导出第 二集合的响应数据并且该第二集合被隐蔽并且在注册期间存储在该设 备中。此外，该设备被布置为将第二集合的隐蔽响应数据以及从第二 挑战所导出的响应数据发送到验证器，该验证器揭示第二集合的隐蔽 响应数据，并且将第二集合的响应数据与从第二挑战所导出的响应数 据进行比较，其中如果这两个数据集合之间存在相应性，那么认为该 设备被认证了 。
在本发明的第三方面中，提供了一种包括用于提供可测量参数的物 理令牌的设备，其中该设备进一步包括传感器元件，用于对由物理 令牌所提供的参数进行测量；逻辑电路，用于以不可逆函数对提供给 它的数据进行处理；至少一个存储器，用于在设备的注册期间存储从 所述物理令牌所导出的隐蔽的响应数据；以及通信装置，用于与外部实体进行通信。
本发明的基本思想是提供一种安全认证协议，在该安全认证协议
中，可使例如RFID标签这样的、包括有物理不可克隆功能(PUF)形 式的物理令牌的低功率设备免于执行密码学操作或者就处理功率而言 的其他需要操作。为此，要认证的PUF设备验证她是否正由被授权的 验证器进行查询。例如，可以在银行希望f人证的钞票中布置包括PUF 的RFID标签。该验证基于银行可揭示隐蔽数据的独有能力，所述隐蔽 数据诸如是已经在向银行登记RFID标记(或者实际上PUF)的注册阶 段中创建的数据。在下文中，示例了验证方是银行、并且要认证的一 方即检验方具体体现为配备有包括PUF的RFID标签的钞票的形式。借 助于对称或者非对称加密可实现数据的隐蔽，并且因此，借助于解密 来实施数据的揭示。
详细而言，银行从RFID标签接收第一集合的隐蔽响应数据。该响 应数据先前从RFID标签的PUF导出、被银行隐蔽并且在注册期间存储 在标签中。此后，银行揭示所隐蔽的响应数据并且将其以明文发送到 标签。该标签利用用于导出第一注册集合的响应数据的挑战来向其PUF 进行挑战以导出响应数据，并且对所导出的响应数据与从验证器所接 收到的第一集合的响应数据进行比较。如果所导出的响应数据与从银 行接收到的笫一响应数据集合相对应，那么已经验证了银行能够揭示 发送给它的隐蔽响应数据，并且由此肯定已经具有对例如解密密钥这 样的、用于揭示隐蔽响应数据的装置的存取。因为RFID标签现在确认 它正与银行进行通信(或者实际上拥有解密密钥的任何授权方)，因 此进到认证协议的下 一 步骤。
现在，RFID标签再次通过利用挑战来向其PUF进行挑战以创建响 应数据，其中所述挑战先前用于导出物理令牌的第二集合的响应数据， 并且该第二集合在注册期间通过验证器/注册器而隐蔽并且存储在令 牌上。将第二集合的隐蔽响应数据和从第二挑战所导出的响应数据发 送到验证器。验证器揭示第二集合的隐蔽响应数据并且对第二集合的 响应数据与从第二挑战所导出的响应数据进行比较。如果存在相应性，
那么认为包括有该物理令牌的设备被认证了 ，这是因为它能够产生与 在注册阶段中隐蔽且存储的响应数据相对应的响应数据。应该注意的是，执行实际注册的一方(即注册器)不必与随后执行 验证的一方(验证器)相同。例如，银行集中地对设备进行注册，而 通常在本地银行办公室进行对该设备的验证。
有利地，本发明可使安全认证协议能够应用在下述环境中，在该环 境中，就处理功率而言，低功率设备具有有限资源，尤其是用于执行 密码学操作而言更是如此。此外，本发明的应用可使验证器免于对注
册数据的数据库进行维护的责任。
通常利用设置在自举或初始模式下的设备来执行包括物理令牌的
设备的注册，在所述自举或初始模式中，该设备可揭示许多集合的PUF 响应数据。验证器从该设备接收响应数据集并且例如借助于利用由验 证器所保持的私密对称密钥来对它们进行加密来隐蔽它们。此后将隐 蔽的响应数据集合存储在PUF设备中，并且自举模式永久无效。应该 注意的是，术语"响应数据"是指从PUF的实际"原始"模拟响应所导出 的数字数据。该响应数据可以包括原始响应本身的A/D变换，但是如 随后所描述的，它也可以是包括经噪声校正的响应。所属技术领域的 专业人员可预见到用于提供响应数据的许多方式。例如，可对原始模 拟响应进行处理以便从它适当地提取信息。
在本发明的有利实施例中，响应数据包括基于物理令牌的响应的经 噪声校正的数据以及在下文中被称为帮助数据的校正噪声数据。帮助 数据通常用于以安全方式提供噪声-鲁棒性。在注册期间获得的响应 不必与在认证阶段期间获得的响应相同(理论上相同)。当对诸如PUF 响应之类的物理特性进行测量时，在测量过程中总是存在随机噪声， 因此对于相同物理特性的不同测量而言，用于将模拟特性变换成数字 数据的量化处理的结果是不同的。因此，用于PUF的相同挑战未必产 生相同的响应。为了提供对噪声的鲁棒性，在注册期间导出帮助数据 并对其进行存储。在认证期间将使用该帮助数据以实现噪声鲁棒性。 帮助数据被认为是公开数据并且仅揭示与从该响应所导出的私密注册 数据有关的信息的可以忽略量。
在示例性帮助数据方案中，帮助数据W和注册数据S经由一些适当 函数Fg而基于PUF的响应R，以便(W， S) = Fe (R)。该函数Fg可以 是可从单个响应R中生成帮助数据W与注册数据S的许多对(W， S) 的随机化函数。这可使注册数据S (并且由此也使帮助数据W)对于不同的注册认证而言是不同的。
帮助数据基于注册数据和PUF的响应，并且将它选择为当将增量 (A)收缩函数应用于响应R和帮助数据W上时，结果等于注册数据S。 增量-收缩函数的特征在于它允许选择适当值的帮助数据以便充分相 似于该响应的任何数据值都会导致相同输出值，即与注册数据相同的 数据。因此，如果R'与R相似达到充分程度，那么G(R, W)-G(R、 W) = S。因此，在认证期间，噪声响应『将与帮助数据W—起产生与 注册数据S相同的验证数据S' = G (R'， W)。将帮助数据W配置为不 会通过对帮助数据进行研究而可揭示出与注册数据S或者验证数据S' 有关的信息。
在釆用帮助数据方案的情况下，在注册阶段中，验证器根据从PUF 设备接收到的原始响应R来构造帮助数据W和注册数据S。此后，隐蔽 注册数据，并且将其与帮助数据(明文) 一起存储在PUF设备中。在 认证阶段，如上所述，在PUF设备上利用帮助数据对PUF的响应进行 处理，并且在采用帮助数据的情况下发送给验证器的响应数据因此包 括注册数据S而不包括原始响应R。应该注意的是，作为选择，可以隐 蔽帮助数据并将其存储在该设备中。在这种情况下，在认证阶段将隐 蔽的帮助数据发送到验证器，该验证器揭示它并且将它以明文的形式 发送到包括有该物理令牌的设备。
在本发明的可有利地用于进一步增强认证协议的安全性的另一实 施例中，在包括有物理令牌的设备的注册期间，验证器生成以随机数x 形式的验证数据。此后验证器对数字x进行加密和签名并且将它存储 在包括有该令牌的设备中。此外，优选将x的散列拷贝存储在该设备 中。在认证阶段中，验证器从包括有该物理令牌的设备接收签名的且 隐蔽的x。验证器对该签名进行检查。如果该签名无效，那么认为该令 牌是伪品或者否则不可信。相反地，如果该签名有效，那么验证器揭 示隐蔽的x并且以明文的形式将x发送到该设备。此后该设备将不可 逆函数应用于x上。这与在注册期间所采用的例如散列函数这样的不 可逆函数相同。
此后，该设备对该散列函数的输出与存储在该设备中的散列值进行 比较。如果该散列值不匹配，那么该设备认为该验证器是非法的并且 不会进行到认证协议的下一步骤。下一步骤是导出响应数据并且将它与从验证器所接收到的响应数据进行比较的步骤。
在本发明的进一步实施例中，要验证的数据，即响应数据和验证数 据在注册阶段中具有有效数字签名。此后，在认证期间，验证器检查 隐蔽的响应数据和验证数据是否已具有有效签名。如果没有，那么该 协议结束，这是因为无法确保适当的协议安全性。
在又一实施例中，将物理令牌密码学地捆绑到包括该物理令牌的设
备。假定物理令牌包括在布置在钞票中的RFID标签中此后有可能可 将钞票的序列号捆绑到PUF上。这样做的一个方式是在加密之下将该 序列号追加到PUF响应之一或者两者上。该实施例的优点在于从一张 钞票中除去RFID标签并且将它嵌入到另一张中会导致可很容易由验证 器检测到的不匹配。
当研究随后的权利要求及其后描述时，本发明的进一步特征和优点 变得显而易见。本领域普通技术人员可认识到可以对本发明的不同特 征进行组合以创建除了在下文中所描述的那些实施例之外的实施例。 即使配置有包括PUF的RFID标签的钞票用作与要被认证的一方的示例 并且将银行例示为验证方，但是应当理解的是本发明可应用于可使用 安全认证协议的许多环境中。如在上面所提到的，令牌例如包括在借 助于射频信号或者通过有线接口 (诸如USB)而与要访问的设备进行通 信的智能卡中。PUF可用于对例如智能卡、SIM卡、信用卡、钞票、有 价证券、RFID (射频标识)标签、安全相机等等这样的大范围的对象 和设备进行认证。
下面参考附图对本发明的优选实施例进行详细说明，在附图中 图l给出了根据本发明实施例的包括有物理令牌的设备。 图2给出了其中要在银行对包括RFID标签的钞票进行认证的本发 明的示例性实施例。


图1给出了根据本发明实施例的例如RFID标签这样的包括物理令 牌102的设备101，其中该物理令牌102提供用于认证的可测量参数。 也被称为物理不可克隆功能(PUF)的物理令牌可以具体体现为涂层或 者覆盖设备101的涂层的一部分的形式。介电粒子散布在该涂层中。 这些粒子典型地具有不同介电常数并且具有随机的大小和形状。在RFID标签中布置了传感器元件103以对不同涂层位置的电容值进行局 部测量，从而创建取决于对哪些传感器元件进行读取的不同响应数据。 作为介电粒子的随机性的结果，所测量的电容值可形成极好的密码材料。
还把A/D转换器104包含在RFID标签中以用于将模拟电容值转换 成从其可导出密码学数据的位串。应该注意的是，存在被称为"硅PUF" 的PUF，这些PUF生成非常接近数字格式的原始数据，并且可就好象原 始数据完全是数字那样对原始数据进行处理。在这种情况下，不必在 设备101中包括A/D转换器。
设备101典型地配置有通过其可键入数据的输入以及通过其可提 供数据的输出。在RFID标签的情况下，通过天线105和RF接口 109 输入/输出数据。设备101典型地包括用于存储中间特征的数据(例如 从传感器导出的响应数据)的RAM 106形式的存储器以及用于存储永 久特征的数据(例如隐蔽的响应数据、噪声校正数据以及在注册阶段 中存储的其它数据)的ROM 107。
为了实现PUF 102并且在RFID标签101中，以下参数必须遵循 (a)低功率设计(没有"板载"电池，必须从外部电磁场导出电
源)，
(b )应使用相对高速的电路(例如用于对钞票进行高容量检查)，
以及
(c) IC工艺和珪面积成本。
目前，在CMOS IC工艺中制造RFID标签，这是因为CMOS通常成本 低、该技术中可能的低功率电路设计、以及用于利用这些工艺来嵌入 存储器电路的适当性。
因为这些设计参数，因此无法将微处理器嵌入到诸如RFID标签之 类的低成本、低功率设备中。因此，通过即就是低功率标准逻辑门(逻 辑NAND和NOR函数)这样的"硬连线"密码逻辑可执行本发明允许的相 对简单的密码学计算。 一旦已按照VHDL (超高速集成电路硬件描述语 言)格式对这些数学密码函数进行了描述，现今可通过布局&布线设计 工具自动生成硬连线电路。块108表示典型地执行诸如计算散列函数 之类的操作的密码逻辑。在诸如ASIC (专用集成电路)、FPGA (现场 可编程门阵列)、CPLD (复杂可编程序逻辑设备)等等之类的逻辑设备中可实现借助于VHDL实施的电路。
在其中如图1所示的设备101在注册器/验证器处登记的注册阶 段中，以自举或初始化模式设置包括物理令牌102的设备。在下文中， 假定银行对根据图1的RFID标签进行注册，该标签随后将包括在例如 钞票内。在自举模式中，设备揭示至少两个集合的PUF响应数据Rh R2,这些数据基于传感器103执行的电容测量。银行从该设备接收响应 数据R1、 R2并且例如借助于利用银行所保持的密钥K(对称或不对称) 来对它们进行加密而隐蔽它们。此后将加密的响应数据集合E(Ri)、 EK (R2)存储在ROM 107中并且使自举模式永久无效。
在本发明的实施例中，银行借助于银行所保持的私钥来向加密的响 应数据EK (R!) 、 EK (R2)提供数字签名。该签名在下文中被表示为$& (RJ 、 $EK (R2)。由银行提供签名对于执行本发明的认证协议不是必 须的。然而，就安全性而言更好地是它显著增强了认证协议。
参考图2，在认证阶段中，当在以银行210形式的验证器处对设备 201进行认证时，在步骤22Q向银行提供第一集合SE"RJ的经签名且 加密的响应数据。要认证的设备是包含在钞票或者如图2中所说明的 提款卡201之中的RFID标签，其中银行顾客211利用该提款卡来希望 通过将提款卡插入到自动取款机(ATM) 212中而提款。银行检查是否 已提供了有效签名，并且如果是这样的话，则在步骤221中对加密数 据进行解密并且通过ATM 212将最终明文数据Rl发送到提款卡201。
当接收到明文响应数据R!时，设备201利用在注册期间采用以导 出响应数据R,的挑战向其物理令牌进行挑战。因此导出另一集合Rl' 的响应数据并且对其与从银行210接收到的响应数据Rl进行比较。可 以通过采用下述众所周知的比较方案来进行对这两个响应数据集的比 较，在所述比较方案中，计算例如汉明距离或欧几里德距离这样的、 在两个数据集合之间的距离的度量。如果这两个集合之间存在相应性 (即所计算的距离不超过预定阈值)，那么证明银行能够对发送给它 的加密响应数据SEK (RJ进行解密，并且由此必然具有对相应解密密 钥的访问。因为现在提款卡被确认为它正与4艮行进行通信，因此进行 认证协议的下一步骤。
在该下一步骤中，设备201利用第二挑战来对其PUF进行挑战，该 第二挑战用于在注册期间导出第二集合的响应数据并且该第二挑战被签名、加密、并且存储在该设备中。该设备在步骤222中经由ATM212 将第二集合R/的响应数据以及在注册阶段中存储在该设备处的经签 名且加密的响应数据SEK ( R2)发送到银行210。银行检查该签名是否是 有效的，并且如果这样的话，对加密的响应数据进行解密。此后银行 对这两个集合的响应数据R2、 R/ (例如利用汉明距离计算)进行比较。 如果这两个集合的响应数据R2、 R/之间存在相应性，那么在银行210 处认证了设备201,这是因为很清楚它能够产生与银行所加密的且在注 册阶段期间存储在该设备中的响应数据相对应的响应数据。
在本发明的另一实施例中，如先前所讨论的，使用进一步的参数用 于向认证协议提供安全性。在注册期间，当已将该设备设置为处于自 举模式下时，通过一些适当的函数Fe基于PUF的响应R来创建噪声校 正的数据/帮助数据W以及注册数据S,以便(W, S)=Fe(R)。此后， 对以注册数据S形式的响应数据进行签名、加密、并且将其与帮助数 据W —起存储到PUF设备中。此外，银行生成以随机数x形式的验证 数据。此后对该数字x进行加密、签名、并且将其存储在该设备上。 此外，优选地将x的散列拷贝H (x)存储在该设备处。因此，在该特 定实施例中，该设备将貼k (SJ 、 $EK (S2) 、 $EK (x) 、 W、 H (x)存 储在其ROM中。此后，使自举模式永久无效。
参考图2，在认证阶段，当在银行210形式的验证器处对设备201 进行认证时，在步骤22 0将经签名且加密的响应数据的第 一集合SEk( S！) 与经签名且加密的随机数SEK (x) —起提供给银行。要认证的设备可以 是包含在钞票中的RFID标签，其中该钞票是银行顾客211希望通过存 款机212而将其存款到银行中的钞票。银行检查是否已提供了有效签 名，并且如果是这样的话，在步骤221中，对加密的响应数据和随机 数进行解密并且将最终明文数据Si和x发送到位于存款机212中的钞 票201。
当接收到明文数据Si和x时，设备201将散列函数应用到随机数x 上。如果最终散列值H ( x )与存储在设备201的ROM中的散列值H ( x ) 相对应，那么该设备进行到利用用于在注册期间导出响应数据R！(所 接收到的注册数据Si基于该响应数据RJ的挑战向其物理令牌进行挑 战。另一方面，如果散列值彼此不相应，那么停止认证协议。令牌输 出原始响应R/ ，并且设备201使用存储在该设备的ROM中的噪声校正帮助数据W以产生响应数据S/ 。将响应数据S/与从银行210所接收 的响应数据Si进行比较，并且如果这两个集合之间存在相应性，那么 银行必可访问要对进加密的响应数据SEK (SJ进行解密所需的解密密 钥。
此后，设备201利用第二挑战向其PUF发出挑战，该第二挑战用于 在注册期间导出第二集合的响应数据并且该第二挑战被签名、加密、 并且存储在该设备中。该设备利用所存储的帮助数据对所导出的原始 响应R2进行处理以创建第二集合的响应数据S2。在步骤222中该设备 通过钞票所处的存款机212将第二集合S/的响应数据以及在注册阶段 中存储在设备上的经签名且加密的响应数据SEK (S2)发送到银行210。 银行检查签名是否有效，并且如果这样的话，对加密的响应数据进行 解密。此后，银行对这两个集合的响应数据S2， S/ (利用例如汉明距 离计算)进行比较。如果这两个集合的响应数据S2， S/之间存在相应 性，那么在银行210认证了设备201，这是因为它可生成与在注册阶段 由银行加密且存储在该设备中的响应数据相对应的响应数据。
应该注意的是，其他应用中的用户211可通过包括物理令牌的他/ 她的设备201直接与银行210进行通信。然而，银行210典型地包括 用户211通过其可与银行进行通信的一些类型的设备读取器(例如ATM 212)。通常，设备读取器212是通常用作用户与用户希望与之执行一 系列的认证的官方之间的接口的完全无源设备。
在本发明的进一步实施例中，如上所描述的，可将物理令牌密码学 地捆绑到包括它的设备上。借助于将物理令牌的响应数据与包括该令 牌的设备的标识符相关联、对该关联所创建的数据进行加密、并且将 它存储在该设备中来实施该密码学捆绑。例如，在注册期间，响应数 据可以与具体体现了包括该物理令牌的设备的钞票的序列号相连接。 此后对该响应数据和序列号数据进行例如签名和加密，这会产生$& (S2,序列号)。此后将加密的数据存储在妙票中，并且因此将包括在 其中的物理令牌密码学地捆绑到钞票上。如技术人员在研究该实施例 时所明白的那样，可有许多替代用于实现该捆绑。例如，可使所生成 的随机数x与序列号相连接，并且可对所连接的数据进行散列，以产 生H (x,序列号)。
还可在注册期间对帮助数据进行加密并且将其存储到设备上。因此，通过存储例如SEK(x, W)，可进一步阻止攻击者破坏认证协议。 此外，可在注册期间对散列随机数H (x)进行加密并且将其存储在设 备中。存儲SEk (H (x))是为提高协议安全性而采取的附加措施。
用于增强安全性而采取的进一步措施是提供具有完整性的认证协 议。通过提供完整性，只有该协议的授权方能够对交换数据进行修改。 如果攻击者企图修改在授权方之间发送的数据，那么它不会不被察觉 到。通过在注册阶段中让注册器将散列函数应用于例如与散列随机数H (x)相连接的响应数据Ri上可实现提供完整性，这会产生散列数据H (R」lH(x))。此后将散列数据存储在要认证的一方的设备中，并且 使自举模式无效。现在，如果在要认证的一方与验证器之间的传送期 间对Ri或者H(x)(或者这两者)进行操作，那么该设备所计算的散 列值H(RJlH(x))将不同于在注册期间存储在设备中的值，并且因 此将检测到该操作。
由于例如机械损耗可使PUF的特性随时间而慢慢地发生变化，这可 具有验证器错误地拒绝PUF的效果。因此，有利的是当PUF特性随着 时间变化时，可对在注册期间在包括有PUF的设备中存储的参数进行 更新。
再次参考图2,在能够对在注册期间存储在该设备中的参数进行更 新的本发明的实施例中，验证器210在步骤222从设备201接收第二 集合V的响应数据以及在注册阶段存储在该设备处的经签名且加密 的响应数据SEf (R2)。如果PUF特性已经改变了，那么存在在认证期 间所导出的第二集合R/的响应数据不同于在注册期间所导出的相应 响应数据R2，并且将(错误地)拒绝该设备。为了克服这个潜在的问 题，验证器通过对所接收到的R、进行加密和签名可执行更新(在或多 或少连续的基础上，这取决于该设备中的PUF特性漂移程度)而产生 $E US)，并且验证器用3E (R、)取代在注册期间存储在该设备中的 $E(R2)。应该注意的是，只有如果验证器也是注册器，才可通过验证 器进行对经加密响应数据的签名。此外，如果验证器能够借助于所接 收到的明文数据R、和加密的响应数据SEK (R2)来对该设备进行认证， 那么仅允许更新。
为了进一步改进对在注册期间存储在该设备中的参数的更新，在步 骤220中，验证器210还更新在注册期间存储在该设备中的并且从设备201所接收的笫一集合的加密响应数据SEK (RJ 。在上面所给出的 对本发明优选实施例的描述中，验证器无法更新第一集合的响应数据 R"这是因为该设备不能揭示该第一集合。此外，验证器无法第二次将 该设备置于其"自举模式"。因此，在步骤222中，设备201将所导出 的响应数据R、与明文数据R'2以及加密响应数据SEK (R2) —起进行发 送。如先前实施例所示，如果验证器能够借助于所接收的明文数据R、 和加密的响应数据$& (R2)来对该设备进行认证，那么验证器通过对 所接收到的R、进行加密和签名可执行更新以产生SE US)，并且验 证器用SE (R、)取代在注册期间存储在该设备中的SE (R2)。现在， 验证器还对所接收到的R、进行加密和签名以产生SE (R、)，并且用 眾E(R、)取代在注册期间存储在该设备中的SE (RJ 。这不会导致违反 安全的行为，这是因为如果验证器在步骤221示出了它知道与R、相似 到足够程度的响应数据R!的集合，那么设备201在步骤222仅将响应 数据R、发送到验证器210。再次，只有如果验证器可借助于所接收到 的明文数据R、和加密的响应数据SEK (R2)对该设备进行认证的话， 才允许更新。
即使已参考其特定示例性实施例对本发明进行了说明，但是对于本 领域普通技术人员来说，可显而易见地得知许多不同变化、修改等等。
制。、'々、1 、、. ，、.、、权利要求
1、一种用于在验证器(210)处对包括物理令牌(102)的设备(101，201)进行认证的方法，该方法包括步骤在所述验证器处接收来自该设备的第一集合的隐蔽响应数据，该响应数据在注册期间从物理令牌导出、被隐蔽、并且存储在该设备中；揭示所隐蔽的响应数据并且将它发送到该设备；在该设备处利用用于导出第一集合的响应数据的第一挑战向该物理令牌进行挑战以导出响应数据，并且将所导出的响应数据与从该验证器所接收的第一集合的响应数据进行比较；如果所导出的响应数据与从该验证器所接收的第一响应数据集合相对应，那么利用第二挑战向该物理令牌进行挑战以导出响应数据，所述第二挑战用于从物理令牌导出第二集合的响应数据并且该第二集合在注册期间被隐蔽并且存储在设备中；将第二集合的隐蔽响应数据以及从第二挑战所导出的响应数据发送到该验证器；在该验证器处揭示第二集合的隐蔽响应数据，并将该第二集合的响应数据与从第二挑战所导出的响应数据进行比较，其中如果这两个数据集合之间存在相应性，那么认为该设备被认证了。
2、 根据权利要求1所述的方法，其中在该验证器(210)处接收 第一集合的隐蔽响应数据的步骤还包括步骤检查第一集合的隐蔽响应数据是否具有有效数字签名，并且如果是 这样的话，执行揭示第一集合的隐藏数据并且将它发送到设备(201) 的步骤。
3、 根据权利要求1或者2所述的方法，还包括步骤 在验证器(210)处检查第二集合的隐藏响应数据是否具有有效数字签名，并且如果是这样的话，执行揭示第二集合的隐藏数据、并且 将该第二集合的响应数据与从第二挑战所导出的响应数据进行比较的 步骤。
4、 根据权利要求1-3任何一个所述的方法，还包括步骤 在验证器(210)处从设备(201)接收隐蔽的验证数据，该验证数据在注册期间被隐蔽并且存储在该设备中；揭示该隐蔽的验证数据并且将它发送到该设备；以及 在该设备上将不可逆函数应用到该验证数据上，并且将该函数的输 出与存储在该设备中的参数进行比较，其中如果该函数的输出与所存 储的参数相对应，则执行所述导出响应数据并且将所导出的响应数据 与从验证器所接收到的响应数据进行比较的步骤。
5、 根据权利要求4所述的方法，其中在该验证器(210)处接收 隐蔽的验证数据的步骤还包括步骤在验证器处检查该隐蔽的验证数据是否具有有效数字签名，并且如 果是这样的话，执行揭示所隐蔽的验证数据并且将它发送到该设备 (201 )的步骤。
6、 根据先前权利要求任何一个所述的方法，其中所述响应数据 包括该物理令牌(102)的响应。
7、 根据先前权利要求任何一个上述的方法，其中所述响应数据 包括基于该物理令牌(102)的响应以及噪声校正数据的经处理的数据。
8、 根据权利要求7所述的方法，还包括步骤 对该噪声校正数据进行加密；以及将所加密的噪声校正数据存储到该设备(101, 201)中。
9、 根据先前权利要求任何一个所述的方法，其中该物理令牌 (102)是物理不可克隆功能。
10、 根据先前权利要求任何一个所述的方法，其中该物理令牌 (102)包括在钞票之内。
11、 根据先前权利要求任何一个所述的方法，其中将该物理令牌 (102)密码学地捆绑到包括它的设备(101)上。
12、 根据权利要求11所述的方法，还包括步骤 将该物理令牌(102 )的响应数据与包括该令牌的设备(101 )的标识符相关联；以及隐蔽该关联所创建的数据并且将所隐蔽的数据存储在该设备中。
13、 根据先前权利要求任何一个所述的方法，其中在所述对数据集 合进行比较的步骤中，如果所比较的数据集合彼此不对应，那么停止 进行到下一步骤。
14、 根据先前权利要求任何一个所述的方法，其中所述对数据集合 进行比较的步骤包括确定所比较的数据集合之间的汉明距离。
15、 根据先前权利要求任何一个所述的方法，还包括步骤 更新在注册期间存储在该设备(101， 201)中的数据。
16、 根据权利要求15所述的方法，其中所述更新在注册期间存储 在该设备(101， 201)中的数据的步骤包括在该验证器(210)处隐蔽从第二挑战所导出的、所接收到的响应 数据；以及在该设备中用从第二挑战所导出的隐蔽响应数据取代在注册期间 存储在该设备中的隐蔽的第二集合的响应数据。
17、 根据权利要求16所述的方法，还包括步骤 在该验证器(210)处通过使用第一挑战来接收从该物理令牌(102)所导出的响应数据；在验证器处隐蔽从第一挑战所导出的、所接收到的响应数据；以及 在该设备(IOI， 201)中用从第一挑战所导出的隐蔽响应数据取代在注册期间存储在该设备中的第 一 集合的隐蔽响应数据。
18、 根据权利要求16或者17任何一个所述的方法，还包括步骤 在该验证器(210)处对从第一挑战所导出的隐蔽响应数据以及从第二 口令所导出的隐蔽响应数据进行签名。
19、 一种执行认证的系统，所述系统包括 验证器(210);以及包括物理令牌(102)的设备(101, 201),其中 验证器被布置为接收来自该设备的第一集合的隐蔽响应数据，该响应数据在注册期 间从物理令牌导出、被隐蔽、并且存储在该设备中； 揭示该隐蔽的响应数据；以及 将它发送到该设备； 该"i殳备^皮布置为通过利用用于导出笫一集合的响应数据的第一挑战向该物理令牌 进行挑战；将所导出的响应数据与从验证器所接收到的第一集合的响应数据 进行比较；如果所导出的响应数据与从验证器所接收到的第一响应数据集合 相对应，则利用第二挑战向该物理令牌进行挑战以导出响应数据，所述第二挑战用于从该物理令牌导出第二集合的响应数据并且该第二集合在注册期间被隐蔽并且存储在该设备中；将第二集合的隐蔽响应数据以及从第二挑战所导出的响应数据发送到该验证器；该验证器还被布置为揭示第二集合的隐蔽响应数据并将该第二集合的响应数据与从第 二挑战所导出的响应数据进行比较，其中如果这两个数据集合之间存 在相应性，那么认为该设备被认证了 。
20、 根据权利要求19所述的系统，其中该验证器(210)还被布置 为检查第一集合的隐蔽响应数据是否具有有效数字签名，并且如果 是这样的话，揭示第一集合的隐蔽数据并且将它发送到该设备(201)。
21、 根据权利要求19或者20所述的系统，其中该验证器(210) 还被布置为检查第二集合的隐蔽响应数据是否具有有效数字签名， 并且如果是这样的话，揭示第二集合的隐蔽响应数据并且将该第二集 合的响应数据与从第二挑战所导出的响应数据进行比较。
22、 根据权利要求19-21任何一个所述的系统，其中 该验证器(210)还被布置为从该设备接收隐蔽的验证数据，该验证数据在注册期间被隐蔽并且存储在该设备中；揭示该隐蔽的验证 数据并且将它发送到该设备；以及该设备(201)还被布置为将不可逆函数应用到该验证数据上并 且将该函数的输出与存储在该设备中的参数进行比较，其中如果该函 数的输出与所存储的参数相对应，那么执行导出响应数据并且将所导 出的响应数据与从该验证器接收到的响应数据进行比较。
23、 根据权利要求22所述的系统，其中该验证器(210)还被布置 为检查该隐蔽的验证数据是否具有有效数字签名，并且如果是这样 的话，揭示该隐蔽的验证数据并且将它发送到物理令牌。
24、 根据权利要求19-23任何一个所述的系统，其中所述响应数 据包括基于物理令牌的响应以及噪声校正数据的经处理的数据。
25、 一种包括用于提供可测量参数的物理令牌(102 )的设备(101 )， 所述设备还包括传感器元件(103),用于对物理令牌所提供的参数进行测量； 逻辑电路(108)，用于以不可逆函数对提供给它的数据进行处理；至少一个存储器(106, 107 )，用于在设备的注册期间存储从所述 物理令牌导出的响应数据；以及通信装置(105， 109)，用于与外部实体进行通信。
26、 根据权利要求25所述的设备(101 ),其中所述物理令牌(102 ) 包括至少局部地覆盖该设备的涂层。
27、 根据权利要求25或者26任何一个所述的设备(101)，其中 所述设备是射频识别(RFID)标签。
28、 根据权利要求25 - 27任何一个所述的设备(101),还包括 用于将所测量的模拟参数转换成数字数据的至少一个模数转换器(104)。
全文摘要
本发明涉及一种用于在验证器(210)处对包括物理令牌(102)的设备(101，201)进行认证的方法、用于执行认证的系统、以及包括用于提供可测量参数的物理令牌的设备。本发明的基本思想是提供一种安全认证协议，在该安全认证协议中，可使例如RFID标签这样的、包括有物理不可克隆功能(PUF)形式的物理令牌(102)的低功率设备免于执行密码学操作或者就处理功率而言的其他需要操作。为此，要被认证的PUF设备(101，201)验证它是否事实上正被授权的验证器来查询。例如，在银行希望认证的钞票中布置了包括PUF(102)的RFID标签。该验证基于银行独有的、能够揭示隐蔽数据的能力，其中隐蔽数据诸如是在向银行登记RFID标记(或者实际上PUF)的注册阶段中已经创建的数据。现在，RFID标签再次向其PUF进行挑战以创建发送到验证器的响应数据。该验证器检查响应数据是否正确，并且如果是这样的话，认证包括该物理令牌的设备，这是因为该设备能够产生与隐蔽且在注册阶段中存储的响应数据相对应的响应数据。
文档编号G06F21/35GK101422015SQ200780013249
公开日2009年4月29日 申请日期2007年4月10日 优先权日2006年4月11日
发明者A·M·H·汤比尔, B·斯科里克, P·T·图伊尔斯 申请人:皇家飞利浦电子股份有限公司