專利名稱：無需數(shù)據(jù)庫(kù)的噪聲低功率puf認(rèn)證的制作方法
無需數(shù)據(jù)庫(kù)的噪聲低功率PUF認(rèn)證
本發(fā)明涉及一 種用于在驗(yàn)證器上進(jìn)行認(rèn)證的方法、包括物理令牌的 設(shè)備、用于執(zhí)行認(rèn)證的系統(tǒng)、以及包括用于提供可測(cè)量參數(shù)的物理令 牌的設(shè)備。
物理不可克隆功能(PUF)是用于創(chuàng)建下述防篡改環(huán)境的結(jié)構(gòu)，在 所述抗干擾環(huán)境中，當(dāng)事方可建立共享秘密。PUF是向其提供了輸入(挑 戰(zhàn))的物理令牌。當(dāng)向PUF提供挑戰(zhàn)時(shí)，它生成被稱為響應(yīng)的隨機(jī)模 擬輸出。因?yàn)槠鋸?fù)雜性以及它遵循的自然法則，所以認(rèn)為該令牌是"不 可克隆的"，即難以實(shí)施物理地復(fù)制和/或計(jì)算建模。有時(shí)還將PUF稱 為物理隨機(jī)功能。如果將PUF與控制功能結(jié)合在一起，那么可使PUF 顯著地加強(qiáng)。在事件中，將PUF和與PUF分不開的算法包括在防篡改 芯片之內(nèi)。只可通過該算法來訪問PUF，并且任何繞過該算法或者對(duì)該 算法進(jìn)行操縱的企圖都將破壞PUF。以硬件、軟件、或者其組合實(shí)現(xiàn)的 算法將控治PUF的輸入和輸出。例如，阻止頻繁向PUF發(fā)出挑戰(zhàn)、阻 止某些類別的挑戰(zhàn)、隱藏PUF的物理輸出、僅顯現(xiàn)加密保護(hù)的數(shù)據(jù)等 等。這些措施可顯著地增強(qiáng)安全性，這是因?yàn)楣粽邿o法隨意地向PUF 發(fā)出挑戰(zhàn)并且無法對(duì)該響應(yīng)進(jìn)行解釋。將這種類型的PUF稱為受控的 PUF ( CPUF )。
PUF的示例是包含有處于隨機(jī)位置的光散射器的3D光學(xué)介質(zhì)。輸 入(即挑戰(zhàn))可以是例如照射PUF的激光束的入射角，并且輸出(即 響應(yīng))是作為特定入射角的結(jié)果而由光散射器所產(chǎn)生的散斑圖案。利 用照相才幾可對(duì)該響應(yīng)進(jìn)行檢測(cè)并且可將該響應(yīng)量化成密鑰。
創(chuàng)建可用作密鑰材料源的PUF的另一方式是利用其中介電粒子散 布其中的涂層來覆蓋集成電路(IC)。由于生產(chǎn)工藝，這些粒子通常 具有不同介電常數(shù)以及或多或少地隨機(jī)形狀、大小以及位置。傳感器 元件位于IC的頂部金屬層處以對(duì)不同涂層位置處的電容值進(jìn)4亍局部測(cè) 量。在該示例中，涂層本身構(gòu)成了物理不可克隆功能。作為介電粒子 的隨機(jī)性的結(jié)果，所測(cè)量的電容值可形成極好的密鑰材料。具有涂層 形式的PUF的IC對(duì)電容進(jìn)行測(cè)量，并且將該電容值轉(zhuǎn)換成從其可導(dǎo)出密鑰的位串。
在注冊(cè)階段中，將挑戰(zhàn)提供給PUF，該P(yáng)UF產(chǎn)生對(duì)于該挑戰(zhàn)唯一且 不可預(yù)測(cè)的響應(yīng)。將該挑戰(zhàn)和相應(yīng)的響應(yīng)存儲(chǔ)在驗(yàn)證器處，并且隨后 將利用該驗(yàn)證器進(jìn)行認(rèn)證。典型地，在認(rèn)證階段，驗(yàn)證器向檢驗(yàn)方提 供在注冊(cè)階段所存儲(chǔ)的挑戰(zhàn)。如果檢驗(yàn)方能夠返回對(duì)該挑戰(zhàn)的響應(yīng)， 且該響應(yīng)與在注冊(cè)階段所存儲(chǔ)的響應(yīng)相匹配，那么認(rèn)為檢驗(yàn)方^皮檢驗(yàn) 為可訪問共享秘密，并且因此由驗(yàn)證器進(jìn)行了認(rèn)證。進(jìn)行注冊(cè)階段和 認(rèn)證階段而應(yīng)當(dāng)不會(huì)揭示共享秘密(即響應(yīng))，其通常涉及借助于加 密來設(shè)置安全信道的。相反狀況在該技術(shù)領(lǐng)域中也已為大家所熟知 配備有PUF的處理器可證實(shí)它與具有其PUF的先驗(yàn)測(cè)量知識(shí)的用戶進(jìn) 行通信。因此，配置有PUF的設(shè)備可對(duì)尋求訪問該i殳備的用戶進(jìn)行認(rèn) 證。
PUF例如以由用戶所采用的令牌來實(shí)現(xiàn)，以對(duì)本身進(jìn)行認(rèn)證并且因 此可訪問某些數(shù)據(jù)、服務(wù)或者設(shè)備。這些令牌例如包括借助于射頻信 號(hào)或者通過有線接口 (諸如USB)而與要訪問的設(shè)備進(jìn)行通信的智能卡。 PUF可用于對(duì)例如智能卡、SIM卡、信用卡、鈔票、有價(jià)證券、RFID(射 頻識(shí)別)標(biāo)簽、安全相機(jī)等等這樣的大范圍的對(duì)象和設(shè)備進(jìn)行認(rèn)證。 因此，PUF可很好的適用于例如DRM (數(shù)字權(quán)限管理)、拷貝保護(hù)、商 標(biāo)保護(hù)、以及偽品檢測(cè)這樣的應(yīng)用中。此外，PUFs提供了防竊啟(tamper evidence)的廉價(jià)方法。
理想地，基于PUF的認(rèn)證協(xié)議將滿足所有以下特性
1、 區(qū)分能力PUF特性之間必須存在足夠的差別以對(duì)PUF進(jìn)行唯 一地標(biāo)識(shí)；
2、 安全性必須保護(hù)從PUF所導(dǎo)出的密鑰。如果它們受到危害， 那么攻擊者可模仿PUF設(shè)備(偽造、假冒、身份盜竊等等)。必須對(duì) 這些密鑰進(jìn)行保護(hù)以免偷聽者、惡意驗(yàn)證器/第三方以及黑客企圖攻擊 該P(yáng)UF設(shè)備；
3、 噪聲容許在某種程度上，所有PUF度量都是有噪聲的。如果 將加密操作應(yīng)用于PUF輸出，那么首先通常必須應(yīng)用糾錯(cuò)碼，因?yàn)榧?密功能的實(shí)際任務(wù)使提供給它的輸入錯(cuò)亂。如果沒有糾錯(cuò)，輸入數(shù)據(jù) 的很小偏差將會(huì)導(dǎo)致輸出數(shù)據(jù)很大的偏差；
4、 低成本驗(yàn)證器所使用的器具(例如ATM機(jī)) 一般是昂貴的。然而，要認(rèn)證的一方所使用的設(shè)備(例如ATM提款卡)必須很i^更宜。
RFID標(biāo)簽用作便宜的標(biāo)識(shí)符并且期望取代條型碼。最簡(jiǎn)單的標(biāo)簽 僅包含標(biāo)識(shí)號(hào)(ID)和電子產(chǎn)品編碼(EPC)。然而，稍微更昂貴的標(biāo) 簽還可包含例如PIN碼、 一些外加存儲(chǔ)器以及適量的計(jì)算能力。已提 議了使用RFID標(biāo)簽以用于認(rèn)證和防偽目的，例如用于對(duì)偽鈔進(jìn)行檢觀，J。
外，還要求認(rèn)證^議;在低,功率設(shè)備上運(yùn)行。示例是具有嵌入式PUF 的RFID標(biāo)簽、具有集成指紋傳感器的智能卡、"電除塵"應(yīng)用等等。這 些設(shè)備具有適度的處理功率能力并且通常太弱而不能執(zhí)行諸如加密、 解密、簽名、以及簽名校驗(yàn)這樣的密碼學(xué)操作。此外，它們通常太弱 而不能在有噪聲的度量上執(zhí)行糾錯(cuò)算法。然而，它們通常具有足以生 成隨機(jī)數(shù)并且計(jì)算散列函數(shù)的功率?，F(xiàn)有技術(shù)的問題在于當(dāng)不允許低 功率設(shè)備使用糾錯(cuò)以及像AES、 DES、 RSA、 ECC等之類的密碼算法時(shí)如 何確保安全性。
在諸如大批量驗(yàn)鈔這樣的一些應(yīng)用中，速度是重要的要求。密碼操 作的問題在于它們需要長(zhǎng)的處理器時(shí)間量。
此外，對(duì)于驗(yàn)證器而言，維持注冊(cè)度量的數(shù)據(jù)庫(kù)是很麻煩的。當(dāng)保 持大量PUF的記錄時(shí)，總而言之顯然有利的是可避免數(shù)據(jù)庫(kù)的必要性。
本發(fā)明的目的是克服上述先有技術(shù)中的一些問題。尤其是，本發(fā)明 的目的是提供一種還可在下述低功率設(shè)備上運(yùn)行的安全認(rèn)證協(xié)議，所 述低功率設(shè)備不具有足夠的處理功率以對(duì)噪聲度量執(zhí)行諸如加密、解 密、簽名、簽名校驗(yàn)以及糾錯(cuò)這樣的密碼學(xué)操作。本發(fā)明進(jìn)一步的目 的是提供這樣一種安全認(rèn)證協(xié)議，在該安全認(rèn)證協(xié)議中，驗(yàn)證器不必 保持用于物理令牌的注冊(cè)度量的數(shù)據(jù)庫(kù)。
這些目的通過根據(jù)權(quán)利要求1的、用于在驗(yàn)證器上對(duì)物理令牌進(jìn)行 認(rèn)證的方法、根據(jù)權(quán)利要求19的用于執(zhí)行認(rèn)證的系統(tǒng)、以及才艮據(jù)權(quán)利 要求25的、包括有用于提供可測(cè)量參數(shù)的物理令牌的設(shè)備來實(shí)現(xiàn)。
在本發(fā)明的第一方面中，提供了一種用于在驗(yàn)證器處對(duì)物理令牌進(jìn) 行認(rèn)證的方法，該方法包括步驟在驗(yàn)證器處接收來自設(shè)備的第一集 合的隱蔽響應(yīng)數(shù)據(jù)，該響應(yīng)數(shù)據(jù)從所述物理令牌導(dǎo)出、被隱蔽并且在 注冊(cè)期間存儲(chǔ)在該設(shè)備中；揭示所隱蔽的響應(yīng)數(shù)據(jù)；以及將它發(fā)送到該設(shè)備。此外，該方法包括步驟在該設(shè)備處利用第一挑戰(zhàn)向物理令 牌進(jìn)行挑戰(zhàn)以導(dǎo)出響應(yīng)數(shù)據(jù)，其中該第一挑戰(zhàn)用于導(dǎo)出第一集合的響 應(yīng)數(shù)據(jù)；將所導(dǎo)出的響應(yīng)數(shù)據(jù)與從驗(yàn)證器接收到的第一集合的響應(yīng)數(shù) 據(jù)進(jìn)行比較；以及如果所導(dǎo)出的響應(yīng)數(shù)據(jù)與從驗(yàn)證器接收到的第一集 合的響應(yīng)數(shù)據(jù)相對(duì)應(yīng)，那么利用第二挑戰(zhàn)向該物理令牌進(jìn)行挑戰(zhàn)以導(dǎo) 出響應(yīng)數(shù)據(jù)，其中所述第二挑戰(zhàn)用于從物理令牌導(dǎo)出第二集合的響應(yīng) 數(shù)據(jù)并且該第二集合被隱蔽并且在注冊(cè)期間存儲(chǔ)在設(shè)備中。此后，將 第二集合的隱蔽響應(yīng)數(shù)據(jù)以及從第二挑戰(zhàn)所導(dǎo)出的響應(yīng)數(shù)據(jù)發(fā)送到驗(yàn) 證器，該驗(yàn)證器揭示第二集合的隱蔽響應(yīng)數(shù)據(jù)，并將該第二集合的響 應(yīng)數(shù)據(jù)與從第二挑戰(zhàn)所導(dǎo)出的響應(yīng)數(shù)據(jù)進(jìn)行比較，其中如果這兩個(gè)數(shù) 據(jù)集合之間存在相應(yīng)性，那么認(rèn)為該設(shè)備4皮i人證了 。
在本發(fā)明的第二方面中，提供了一種用于執(zhí)行認(rèn)證的系統(tǒng)，所述系 統(tǒng)包括驗(yàn)證器以及包括有物理令牌的設(shè)備。在該系統(tǒng)中，該驗(yàn)證器布 置為從該設(shè)備接收第一集合的隱蔽響應(yīng)數(shù)據(jù)，該響應(yīng)數(shù)據(jù)從物理令牌 導(dǎo)出、被隱蔽并且在注冊(cè)期間存儲(chǔ)在該設(shè)備中，并且該該驗(yàn)證器布置 為揭示所隱蔽的響應(yīng)數(shù)據(jù)并且將它發(fā)送到該設(shè)備。該設(shè)備被布置為通 過利用用于導(dǎo)出第一集合的響應(yīng)數(shù)據(jù)的第一挑戰(zhàn)來對(duì)物理令牌進(jìn)行挑 戰(zhàn)來導(dǎo)出響應(yīng)數(shù)據(jù)、將所導(dǎo)出的響應(yīng)數(shù)據(jù)與從驗(yàn)證器接收到的第一集 合的響應(yīng)數(shù)據(jù)進(jìn)行比較、并且在如果所導(dǎo)出的響應(yīng)數(shù)據(jù)與從驗(yàn)證器接 收到的第一集合的響應(yīng)數(shù)據(jù)相對(duì)應(yīng)，則通過用第二挑戰(zhàn)來對(duì)物理令牌 進(jìn)行挑戰(zhàn)而導(dǎo)出響應(yīng)數(shù)據(jù)，其中所述第二挑戰(zhàn)用于從物理令牌導(dǎo)出第 二集合的響應(yīng)數(shù)據(jù)并且該第二集合被隱蔽并且在注冊(cè)期間存儲(chǔ)在該設(shè) 備中。此外，該設(shè)備被布置為將第二集合的隱蔽響應(yīng)數(shù)據(jù)以及從第二 挑戰(zhàn)所導(dǎo)出的響應(yīng)數(shù)據(jù)發(fā)送到驗(yàn)證器，該驗(yàn)證器揭示第二集合的隱蔽 響應(yīng)數(shù)據(jù)，并且將第二集合的響應(yīng)數(shù)據(jù)與從第二挑戰(zhàn)所導(dǎo)出的響應(yīng)數(shù) 據(jù)進(jìn)行比較，其中如果這兩個(gè)數(shù)據(jù)集合之間存在相應(yīng)性，那么認(rèn)為該 設(shè)備被認(rèn)證了 。
在本發(fā)明的第三方面中，提供了一種包括用于提供可測(cè)量參數(shù)的物 理令牌的設(shè)備，其中該設(shè)備進(jìn)一步包括傳感器元件，用于對(duì)由物理 令牌所提供的參數(shù)進(jìn)行測(cè)量；邏輯電路，用于以不可逆函數(shù)對(duì)提供給 它的數(shù)據(jù)進(jìn)行處理；至少一個(gè)存儲(chǔ)器，用于在設(shè)備的注冊(cè)期間存儲(chǔ)從 所述物理令牌所導(dǎo)出的隱蔽的響應(yīng)數(shù)據(jù)；以及通信裝置，用于與外部實(shí)體進(jìn)行通信。
本發(fā)明的基本思想是提供一種安全認(rèn)證協(xié)議，在該安全認(rèn)證協(xié)議
中，可使例如RFID標(biāo)簽這樣的、包括有物理不可克隆功能(PUF)形 式的物理令牌的低功率設(shè)備免于執(zhí)行密碼學(xué)操作或者就處理功率而言 的其他需要操作。為此，要認(rèn)證的PUF設(shè)備驗(yàn)證她是否正由被授權(quán)的 驗(yàn)證器進(jìn)行查詢。例如，可以在銀行希望f人證的鈔票中布置包括PUF 的RFID標(biāo)簽。該驗(yàn)證基于銀行可揭示隱蔽數(shù)據(jù)的獨(dú)有能力，所述隱蔽 數(shù)據(jù)諸如是已經(jīng)在向銀行登記RFID標(biāo)記(或者實(shí)際上PUF)的注冊(cè)階 段中創(chuàng)建的數(shù)據(jù)。在下文中，示例了驗(yàn)證方是銀行、并且要認(rèn)證的一 方即檢驗(yàn)方具體體現(xiàn)為配備有包括PUF的RFID標(biāo)簽的鈔票的形式。借 助于對(duì)稱或者非對(duì)稱加密可實(shí)現(xiàn)數(shù)據(jù)的隱蔽，并且因此，借助于解密 來實(shí)施數(shù)據(jù)的揭示。
詳細(xì)而言，銀行從RFID標(biāo)簽接收第一集合的隱蔽響應(yīng)數(shù)據(jù)。該響 應(yīng)數(shù)據(jù)先前從RFID標(biāo)簽的PUF導(dǎo)出、被銀行隱蔽并且在注冊(cè)期間存儲(chǔ) 在標(biāo)簽中。此后，銀行揭示所隱蔽的響應(yīng)數(shù)據(jù)并且將其以明文發(fā)送到 標(biāo)簽。該標(biāo)簽利用用于導(dǎo)出第一注冊(cè)集合的響應(yīng)數(shù)據(jù)的挑戰(zhàn)來向其PUF 進(jìn)行挑戰(zhàn)以導(dǎo)出響應(yīng)數(shù)據(jù)，并且對(duì)所導(dǎo)出的響應(yīng)數(shù)據(jù)與從驗(yàn)證器所接 收到的第一集合的響應(yīng)數(shù)據(jù)進(jìn)行比較。如果所導(dǎo)出的響應(yīng)數(shù)據(jù)與從銀 行接收到的笫一響應(yīng)數(shù)據(jù)集合相對(duì)應(yīng)，那么已經(jīng)驗(yàn)證了銀行能夠揭示 發(fā)送給它的隱蔽響應(yīng)數(shù)據(jù)，并且由此肯定已經(jīng)具有對(duì)例如解密密鑰這 樣的、用于揭示隱蔽響應(yīng)數(shù)據(jù)的裝置的存取。因?yàn)镽FID標(biāo)簽現(xiàn)在確認(rèn) 它正與銀行進(jìn)行通信(或者實(shí)際上擁有解密密鑰的任何授權(quán)方)，因 此進(jìn)到認(rèn)證協(xié)議的下 一 步驟。
現(xiàn)在，RFID標(biāo)簽再次通過利用挑戰(zhàn)來向其PUF進(jìn)行挑戰(zhàn)以創(chuàng)建響 應(yīng)數(shù)據(jù)，其中所述挑戰(zhàn)先前用于導(dǎo)出物理令牌的第二集合的響應(yīng)數(shù)據(jù)， 并且該第二集合在注冊(cè)期間通過驗(yàn)證器/注冊(cè)器而隱蔽并且存儲(chǔ)在令 牌上。將第二集合的隱蔽響應(yīng)數(shù)據(jù)和從第二挑戰(zhàn)所導(dǎo)出的響應(yīng)數(shù)據(jù)發(fā) 送到驗(yàn)證器。驗(yàn)證器揭示第二集合的隱蔽響應(yīng)數(shù)據(jù)并且對(duì)第二集合的 響應(yīng)數(shù)據(jù)與從第二挑戰(zhàn)所導(dǎo)出的響應(yīng)數(shù)據(jù)進(jìn)行比較。如果存在相應(yīng)性，
那么認(rèn)為包括有該物理令牌的設(shè)備被認(rèn)證了 ，這是因?yàn)樗軌虍a(chǎn)生與 在注冊(cè)階段中隱蔽且存儲(chǔ)的響應(yīng)數(shù)據(jù)相對(duì)應(yīng)的響應(yīng)數(shù)據(jù)。應(yīng)該注意的是，執(zhí)行實(shí)際注冊(cè)的一方(即注冊(cè)器)不必與隨后執(zhí)行 驗(yàn)證的一方(驗(yàn)證器)相同。例如，銀行集中地對(duì)設(shè)備進(jìn)行注冊(cè)，而 通常在本地銀行辦公室進(jìn)行對(duì)該設(shè)備的驗(yàn)證。
有利地，本發(fā)明可使安全認(rèn)證協(xié)議能夠應(yīng)用在下述環(huán)境中，在該環(huán) 境中，就處理功率而言，低功率設(shè)備具有有限資源，尤其是用于執(zhí)行 密碼學(xué)操作而言更是如此。此外，本發(fā)明的應(yīng)用可使驗(yàn)證器免于對(duì)注
冊(cè)數(shù)據(jù)的數(shù)據(jù)庫(kù)進(jìn)行維護(hù)的責(zé)任。
通常利用設(shè)置在自舉或初始模式下的設(shè)備來執(zhí)行包括物理令牌的
設(shè)備的注冊(cè)，在所述自舉或初始模式中，該設(shè)備可揭示許多集合的PUF 響應(yīng)數(shù)據(jù)。驗(yàn)證器從該設(shè)備接收響應(yīng)數(shù)據(jù)集并且例如借助于利用由驗(yàn) 證器所保持的私密對(duì)稱密鑰來對(duì)它們進(jìn)行加密來隱蔽它們。此后將隱 蔽的響應(yīng)數(shù)據(jù)集合存儲(chǔ)在PUF設(shè)備中，并且自舉模式永久無效。應(yīng)該 注意的是，術(shù)語"響應(yīng)數(shù)據(jù)"是指從PUF的實(shí)際"原始"模擬響應(yīng)所導(dǎo)出 的數(shù)字?jǐn)?shù)據(jù)。該響應(yīng)數(shù)據(jù)可以包括原始響應(yīng)本身的A/D變換，但是如 隨后所描述的，它也可以是包括經(jīng)噪聲校正的響應(yīng)。所屬技術(shù)領(lǐng)域的 專業(yè)人員可預(yù)見到用于提供響應(yīng)數(shù)據(jù)的許多方式。例如，可對(duì)原始模 擬響應(yīng)進(jìn)行處理以便從它適當(dāng)?shù)靥崛⌒畔ⅰ?br> 在本發(fā)明的有利實(shí)施例中，響應(yīng)數(shù)據(jù)包括基于物理令牌的響應(yīng)的經(jīng) 噪聲校正的數(shù)據(jù)以及在下文中被稱為幫助數(shù)據(jù)的校正噪聲數(shù)據(jù)。幫助 數(shù)據(jù)通常用于以安全方式提供噪聲-魯棒性。在注冊(cè)期間獲得的響應(yīng) 不必與在認(rèn)證階段期間獲得的響應(yīng)相同(理論上相同)。當(dāng)對(duì)諸如PUF 響應(yīng)之類的物理特性進(jìn)行測(cè)量時(shí)，在測(cè)量過程中總是存在隨機(jī)噪聲， 因此對(duì)于相同物理特性的不同測(cè)量而言，用于將模擬特性變換成數(shù)字 數(shù)據(jù)的量化處理的結(jié)果是不同的。因此，用于PUF的相同挑戰(zhàn)未必產(chǎn) 生相同的響應(yīng)。為了提供對(duì)噪聲的魯棒性，在注冊(cè)期間導(dǎo)出幫助數(shù)據(jù) 并對(duì)其進(jìn)行存儲(chǔ)。在認(rèn)證期間將使用該幫助數(shù)據(jù)以實(shí)現(xiàn)噪聲魯棒性。 幫助數(shù)據(jù)被認(rèn)為是公開數(shù)據(jù)并且僅揭示與從該響應(yīng)所導(dǎo)出的私密注冊(cè) 數(shù)據(jù)有關(guān)的信息的可以忽略量。
在示例性幫助數(shù)據(jù)方案中，幫助數(shù)據(jù)W和注冊(cè)數(shù)據(jù)S經(jīng)由一些適當(dāng) 函數(shù)Fg而基于PUF的響應(yīng)R，以便(W， S) = Fe (R)。該函數(shù)Fg可以 是可從單個(gè)響應(yīng)R中生成幫助數(shù)據(jù)W與注冊(cè)數(shù)據(jù)S的許多對(duì)(W， S) 的隨機(jī)化函數(shù)。這可使注冊(cè)數(shù)據(jù)S (并且由此也使幫助數(shù)據(jù)W)對(duì)于不同的注冊(cè)認(rèn)證而言是不同的。
幫助數(shù)據(jù)基于注冊(cè)數(shù)據(jù)和PUF的響應(yīng)，并且將它選擇為當(dāng)將增量 (A)收縮函數(shù)應(yīng)用于響應(yīng)R和幫助數(shù)據(jù)W上時(shí)，結(jié)果等于注冊(cè)數(shù)據(jù)S。 增量-收縮函數(shù)的特征在于它允許選擇適當(dāng)值的幫助數(shù)據(jù)以便充分相 似于該響應(yīng)的任何數(shù)據(jù)值都會(huì)導(dǎo)致相同輸出值，即與注冊(cè)數(shù)據(jù)相同的 數(shù)據(jù)。因此，如果R'與R相似達(dá)到充分程度，那么G(R, W)-G(R、 W) = S。因此，在認(rèn)證期間，噪聲響應(yīng)『將與幫助數(shù)據(jù)W—起產(chǎn)生與 注冊(cè)數(shù)據(jù)S相同的驗(yàn)證數(shù)據(jù)S' = G (R'， W)。將幫助數(shù)據(jù)W配置為不 會(huì)通過對(duì)幫助數(shù)據(jù)進(jìn)行研究而可揭示出與注冊(cè)數(shù)據(jù)S或者驗(yàn)證數(shù)據(jù)S' 有關(guān)的信息。
在釆用幫助數(shù)據(jù)方案的情況下，在注冊(cè)階段中，驗(yàn)證器根據(jù)從PUF 設(shè)備接收到的原始響應(yīng)R來構(gòu)造幫助數(shù)據(jù)W和注冊(cè)數(shù)據(jù)S。此后，隱蔽 注冊(cè)數(shù)據(jù)，并且將其與幫助數(shù)據(jù)(明文) 一起存儲(chǔ)在PUF設(shè)備中。在 認(rèn)證階段，如上所述，在PUF設(shè)備上利用幫助數(shù)據(jù)對(duì)PUF的響應(yīng)進(jìn)行 處理，并且在采用幫助數(shù)據(jù)的情況下發(fā)送給驗(yàn)證器的響應(yīng)數(shù)據(jù)因此包 括注冊(cè)數(shù)據(jù)S而不包括原始響應(yīng)R。應(yīng)該注意的是，作為選擇，可以隱 蔽幫助數(shù)據(jù)并將其存儲(chǔ)在該設(shè)備中。在這種情況下，在認(rèn)證階段將隱 蔽的幫助數(shù)據(jù)發(fā)送到驗(yàn)證器，該驗(yàn)證器揭示它并且將它以明文的形式 發(fā)送到包括有該物理令牌的設(shè)備。
在本發(fā)明的可有利地用于進(jìn)一步增強(qiáng)認(rèn)證協(xié)議的安全性的另一實(shí) 施例中，在包括有物理令牌的設(shè)備的注冊(cè)期間，驗(yàn)證器生成以隨機(jī)數(shù)x 形式的驗(yàn)證數(shù)據(jù)。此后驗(yàn)證器對(duì)數(shù)字x進(jìn)行加密和簽名并且將它存儲(chǔ) 在包括有該令牌的設(shè)備中。此外，優(yōu)選將x的散列拷貝存儲(chǔ)在該設(shè)備 中。在認(rèn)證階段中，驗(yàn)證器從包括有該物理令牌的設(shè)備接收簽名的且 隱蔽的x。驗(yàn)證器對(duì)該簽名進(jìn)行檢查。如果該簽名無效，那么認(rèn)為該令 牌是偽品或者否則不可信。相反地，如果該簽名有效，那么驗(yàn)證器揭 示隱蔽的x并且以明文的形式將x發(fā)送到該設(shè)備。此后該設(shè)備將不可 逆函數(shù)應(yīng)用于x上。這與在注冊(cè)期間所采用的例如散列函數(shù)這樣的不 可逆函數(shù)相同。
此后，該設(shè)備對(duì)該散列函數(shù)的輸出與存儲(chǔ)在該設(shè)備中的散列值進(jìn)行 比較。如果該散列值不匹配，那么該設(shè)備認(rèn)為該驗(yàn)證器是非法的并且 不會(huì)進(jìn)行到認(rèn)證協(xié)議的下一步驟。下一步驟是導(dǎo)出響應(yīng)數(shù)據(jù)并且將它與從驗(yàn)證器所接收到的響應(yīng)數(shù)據(jù)進(jìn)行比較的步驟。
在本發(fā)明的進(jìn)一步實(shí)施例中，要驗(yàn)證的數(shù)據(jù)，即響應(yīng)數(shù)據(jù)和驗(yàn)證數(shù) 據(jù)在注冊(cè)階段中具有有效數(shù)字簽名。此后，在認(rèn)證期間，驗(yàn)證器檢查 隱蔽的響應(yīng)數(shù)據(jù)和驗(yàn)證數(shù)據(jù)是否已具有有效簽名。如果沒有，那么該 協(xié)議結(jié)束，這是因?yàn)闊o法確保適當(dāng)?shù)膮f(xié)議安全性。
在又一實(shí)施例中，將物理令牌密碼學(xué)地捆綁到包括該物理令牌的設(shè)
備。假定物理令牌包括在布置在鈔票中的RFID標(biāo)簽中此后有可能可 將鈔票的序列號(hào)捆綁到PUF上。這樣做的一個(gè)方式是在加密之下將該 序列號(hào)追加到PUF響應(yīng)之一或者兩者上。該實(shí)施例的優(yōu)點(diǎn)在于從一張 鈔票中除去RFID標(biāo)簽并且將它嵌入到另一張中會(huì)導(dǎo)致可很容易由驗(yàn)證 器檢測(cè)到的不匹配。
當(dāng)研究隨后的權(quán)利要求及其后描述時(shí)，本發(fā)明的進(jìn)一步特征和優(yōu)點(diǎn) 變得顯而易見。本領(lǐng)域普通技術(shù)人員可認(rèn)識(shí)到可以對(duì)本發(fā)明的不同特 征進(jìn)行組合以創(chuàng)建除了在下文中所描述的那些實(shí)施例之外的實(shí)施例。 即使配置有包括PUF的RFID標(biāo)簽的鈔票用作與要被認(rèn)證的一方的示例 并且將銀行例示為驗(yàn)證方，但是應(yīng)當(dāng)理解的是本發(fā)明可應(yīng)用于可使用 安全認(rèn)證協(xié)議的許多環(huán)境中。如在上面所提到的，令牌例如包括在借 助于射頻信號(hào)或者通過有線接口 (諸如USB)而與要訪問的設(shè)備進(jìn)行通 信的智能卡中。PUF可用于對(duì)例如智能卡、SIM卡、信用卡、鈔票、有 價(jià)證券、RFID (射頻標(biāo)識(shí))標(biāo)簽、安全相機(jī)等等這樣的大范圍的對(duì)象 和設(shè)備進(jìn)行認(rèn)證。
下面參考附圖對(duì)本發(fā)明的優(yōu)選實(shí)施例進(jìn)行詳細(xì)說明，在附圖中 圖l給出了根據(jù)本發(fā)明實(shí)施例的包括有物理令牌的設(shè)備。 圖2給出了其中要在銀行對(duì)包括RFID標(biāo)簽的鈔票進(jìn)行認(rèn)證的本發(fā) 明的示例性實(shí)施例。


圖1給出了根據(jù)本發(fā)明實(shí)施例的例如RFID標(biāo)簽這樣的包括物理令 牌102的設(shè)備101，其中該物理令牌102提供用于認(rèn)證的可測(cè)量參數(shù)。 也被稱為物理不可克隆功能(PUF)的物理令牌可以具體體現(xiàn)為涂層或 者覆蓋設(shè)備101的涂層的一部分的形式。介電粒子散布在該涂層中。 這些粒子典型地具有不同介電常數(shù)并且具有隨機(jī)的大小和形狀。在RFID標(biāo)簽中布置了傳感器元件103以對(duì)不同涂層位置的電容值進(jìn)行局 部測(cè)量，從而創(chuàng)建取決于對(duì)哪些傳感器元件進(jìn)行讀取的不同響應(yīng)數(shù)據(jù)。 作為介電粒子的隨機(jī)性的結(jié)果，所測(cè)量的電容值可形成極好的密碼材料。
還把A/D轉(zhuǎn)換器104包含在RFID標(biāo)簽中以用于將模擬電容值轉(zhuǎn)換 成從其可導(dǎo)出密碼學(xué)數(shù)據(jù)的位串。應(yīng)該注意的是，存在被稱為"硅PUF" 的PUF，這些PUF生成非常接近數(shù)字格式的原始數(shù)據(jù)，并且可就好象原 始數(shù)據(jù)完全是數(shù)字那樣對(duì)原始數(shù)據(jù)進(jìn)行處理。在這種情況下，不必在 設(shè)備101中包括A/D轉(zhuǎn)換器。
設(shè)備101典型地配置有通過其可鍵入數(shù)據(jù)的輸入以及通過其可提 供數(shù)據(jù)的輸出。在RFID標(biāo)簽的情況下，通過天線105和RF接口 109 輸入/輸出數(shù)據(jù)。設(shè)備101典型地包括用于存儲(chǔ)中間特征的數(shù)據(jù)(例如 從傳感器導(dǎo)出的響應(yīng)數(shù)據(jù))的RAM 106形式的存儲(chǔ)器以及用于存儲(chǔ)永 久特征的數(shù)據(jù)(例如隱蔽的響應(yīng)數(shù)據(jù)、噪聲校正數(shù)據(jù)以及在注冊(cè)階段 中存儲(chǔ)的其它數(shù)據(jù))的ROM 107。
為了實(shí)現(xiàn)PUF 102并且在RFID標(biāo)簽101中，以下參數(shù)必須遵循 (a)低功率設(shè)計(jì)(沒有"板載"電池，必須從外部電磁場(chǎng)導(dǎo)出電
源)，
(b )應(yīng)使用相對(duì)高速的電路(例如用于對(duì)鈔票進(jìn)行高容量檢查)，
以及
(c) IC工藝和珪面積成本。
目前，在CMOS IC工藝中制造RFID標(biāo)簽，這是因?yàn)镃MOS通常成本 低、該技術(shù)中可能的低功率電路設(shè)計(jì)、以及用于利用這些工藝來嵌入 存儲(chǔ)器電路的適當(dāng)性。
因?yàn)檫@些設(shè)計(jì)參數(shù)，因此無法將微處理器嵌入到諸如RFID標(biāo)簽之 類的低成本、低功率設(shè)備中。因此，通過即就是低功率標(biāo)準(zhǔn)邏輯門(邏 輯NAND和NOR函數(shù))這樣的"硬連線"密碼邏輯可執(zhí)行本發(fā)明允許的相 對(duì)簡(jiǎn)單的密碼學(xué)計(jì)算。 一旦已按照VHDL (超高速集成電路硬件描述語 言)格式對(duì)這些數(shù)學(xué)密碼函數(shù)進(jìn)行了描述，現(xiàn)今可通過布局&布線設(shè)計(jì) 工具自動(dòng)生成硬連線電路。塊108表示典型地執(zhí)行諸如計(jì)算散列函數(shù) 之類的操作的密碼邏輯。在諸如ASIC (專用集成電路)、FPGA (現(xiàn)場(chǎng) 可編程門陣列)、CPLD (復(fù)雜可編程序邏輯設(shè)備)等等之類的邏輯設(shè)備中可實(shí)現(xiàn)借助于VHDL實(shí)施的電路。
在其中如圖1所示的設(shè)備101在注冊(cè)器/驗(yàn)證器處登記的注冊(cè)階 段中，以自舉或初始化模式設(shè)置包括物理令牌102的設(shè)備。在下文中， 假定銀行對(duì)根據(jù)圖1的RFID標(biāo)簽進(jìn)行注冊(cè)，該標(biāo)簽隨后將包括在例如 鈔票內(nèi)。在自舉模式中，設(shè)備揭示至少兩個(gè)集合的PUF響應(yīng)數(shù)據(jù)Rh R2,這些數(shù)據(jù)基于傳感器103執(zhí)行的電容測(cè)量。銀行從該設(shè)備接收響應(yīng) 數(shù)據(jù)R1、 R2并且例如借助于利用銀行所保持的密鑰K(對(duì)稱或不對(duì)稱) 來對(duì)它們進(jìn)行加密而隱蔽它們。此后將加密的響應(yīng)數(shù)據(jù)集合E(Ri)、 EK (R2)存儲(chǔ)在ROM 107中并且使自舉模式永久無效。
在本發(fā)明的實(shí)施例中，銀行借助于銀行所保持的私鑰來向加密的響 應(yīng)數(shù)據(jù)EK (R!) 、 EK (R2)提供數(shù)字簽名。該簽名在下文中被表示為$& (RJ 、 $EK (R2)。由銀行提供簽名對(duì)于執(zhí)行本發(fā)明的認(rèn)證協(xié)議不是必 須的。然而，就安全性而言更好地是它顯著增強(qiáng)了認(rèn)證協(xié)議。
參考圖2，在認(rèn)證階段中，當(dāng)在以銀行210形式的驗(yàn)證器處對(duì)設(shè)備 201進(jìn)行認(rèn)證時(shí)，在步驟22Q向銀行提供第一集合SE"RJ的經(jīng)簽名且 加密的響應(yīng)數(shù)據(jù)。要認(rèn)證的設(shè)備是包含在鈔票或者如圖2中所說明的 提款卡201之中的RFID標(biāo)簽，其中銀行顧客211利用該提款卡來希望 通過將提款卡插入到自動(dòng)取款機(jī)(ATM) 212中而提款。銀行檢查是否 已提供了有效簽名，并且如果是這樣的話，則在步驟221中對(duì)加密數(shù) 據(jù)進(jìn)行解密并且通過ATM 212將最終明文數(shù)據(jù)Rl發(fā)送到提款卡201。
當(dāng)接收到明文響應(yīng)數(shù)據(jù)R!時(shí)，設(shè)備201利用在注冊(cè)期間采用以導(dǎo) 出響應(yīng)數(shù)據(jù)R,的挑戰(zhàn)向其物理令牌進(jìn)行挑戰(zhàn)。因此導(dǎo)出另一集合Rl' 的響應(yīng)數(shù)據(jù)并且對(duì)其與從銀行210接收到的響應(yīng)數(shù)據(jù)Rl進(jìn)行比較?？?以通過采用下述眾所周知的比較方案來進(jìn)行對(duì)這兩個(gè)響應(yīng)數(shù)據(jù)集的比 較，在所述比較方案中，計(jì)算例如漢明距離或歐幾里德距離這樣的、 在兩個(gè)數(shù)據(jù)集合之間的距離的度量。如果這兩個(gè)集合之間存在相應(yīng)性 (即所計(jì)算的距離不超過預(yù)定閾值)，那么證明銀行能夠?qū)Πl(fā)送給它 的加密響應(yīng)數(shù)據(jù)SEK (RJ進(jìn)行解密，并且由此必然具有對(duì)相應(yīng)解密密 鑰的訪問。因?yàn)楝F(xiàn)在提款卡被確認(rèn)為它正與4艮行進(jìn)行通信，因此進(jìn)行 認(rèn)證協(xié)議的下一步驟。
在該下一步驟中，設(shè)備201利用第二挑戰(zhàn)來對(duì)其PUF進(jìn)行挑戰(zhàn)，該 第二挑戰(zhàn)用于在注冊(cè)期間導(dǎo)出第二集合的響應(yīng)數(shù)據(jù)并且該第二挑戰(zhàn)被簽名、加密、并且存儲(chǔ)在該設(shè)備中。該設(shè)備在步驟222中經(jīng)由ATM212 將第二集合R/的響應(yīng)數(shù)據(jù)以及在注冊(cè)階段中存儲(chǔ)在該設(shè)備處的經(jīng)簽 名且加密的響應(yīng)數(shù)據(jù)SEK ( R2)發(fā)送到銀行210。銀行檢查該簽名是否是 有效的，并且如果這樣的話，對(duì)加密的響應(yīng)數(shù)據(jù)進(jìn)行解密。此后銀行 對(duì)這兩個(gè)集合的響應(yīng)數(shù)據(jù)R2、 R/ (例如利用漢明距離計(jì)算)進(jìn)行比較。 如果這兩個(gè)集合的響應(yīng)數(shù)據(jù)R2、 R/之間存在相應(yīng)性，那么在銀行210 處認(rèn)證了設(shè)備201,這是因?yàn)楹芮宄軌虍a(chǎn)生與銀行所加密的且在注 冊(cè)階段期間存儲(chǔ)在該設(shè)備中的響應(yīng)數(shù)據(jù)相對(duì)應(yīng)的響應(yīng)數(shù)據(jù)。
在本發(fā)明的另一實(shí)施例中，如先前所討論的，使用進(jìn)一步的參數(shù)用 于向認(rèn)證協(xié)議提供安全性。在注冊(cè)期間，當(dāng)已將該設(shè)備設(shè)置為處于自 舉模式下時(shí)，通過一些適當(dāng)?shù)暮瘮?shù)Fe基于PUF的響應(yīng)R來創(chuàng)建噪聲校 正的數(shù)據(jù)/幫助數(shù)據(jù)W以及注冊(cè)數(shù)據(jù)S,以便(W, S)=Fe(R)。此后， 對(duì)以注冊(cè)數(shù)據(jù)S形式的響應(yīng)數(shù)據(jù)進(jìn)行簽名、加密、并且將其與幫助數(shù) 據(jù)W —起存儲(chǔ)到PUF設(shè)備中。此外，銀行生成以隨機(jī)數(shù)x形式的驗(yàn)證 數(shù)據(jù)。此后對(duì)該數(shù)字x進(jìn)行加密、簽名、并且將其存儲(chǔ)在該設(shè)備上。 此外，優(yōu)選地將x的散列拷貝H (x)存儲(chǔ)在該設(shè)備處。因此，在該特 定實(shí)施例中，該設(shè)備將貼k (SJ 、 $EK (S2) 、 $EK (x) 、 W、 H (x)存 儲(chǔ)在其ROM中。此后，使自舉模式永久無效。
參考圖2，在認(rèn)證階段，當(dāng)在銀行210形式的驗(yàn)證器處對(duì)設(shè)備201 進(jìn)行認(rèn)證時(shí)，在步驟22 0將經(jīng)簽名且加密的響應(yīng)數(shù)據(jù)的第 一集合SEk( S！) 與經(jīng)簽名且加密的隨機(jī)數(shù)SEK (x) —起提供給銀行。要認(rèn)證的設(shè)備可以 是包含在鈔票中的RFID標(biāo)簽，其中該鈔票是銀行顧客211希望通過存 款機(jī)212而將其存款到銀行中的鈔票。銀行檢查是否已提供了有效簽 名，并且如果是這樣的話，在步驟221中，對(duì)加密的響應(yīng)數(shù)據(jù)和隨機(jī) 數(shù)進(jìn)行解密并且將最終明文數(shù)據(jù)Si和x發(fā)送到位于存款機(jī)212中的鈔 票201。
當(dāng)接收到明文數(shù)據(jù)Si和x時(shí)，設(shè)備201將散列函數(shù)應(yīng)用到隨機(jī)數(shù)x 上。如果最終散列值H ( x )與存儲(chǔ)在設(shè)備201的ROM中的散列值H ( x ) 相對(duì)應(yīng)，那么該設(shè)備進(jìn)行到利用用于在注冊(cè)期間導(dǎo)出響應(yīng)數(shù)據(jù)R！(所 接收到的注冊(cè)數(shù)據(jù)Si基于該響應(yīng)數(shù)據(jù)RJ的挑戰(zhàn)向其物理令牌進(jìn)行挑 戰(zhàn)。另一方面，如果散列值彼此不相應(yīng)，那么停止認(rèn)證協(xié)議。令牌輸 出原始響應(yīng)R/ ，并且設(shè)備201使用存儲(chǔ)在該設(shè)備的ROM中的噪聲校正幫助數(shù)據(jù)W以產(chǎn)生響應(yīng)數(shù)據(jù)S/ 。將響應(yīng)數(shù)據(jù)S/與從銀行210所接收 的響應(yīng)數(shù)據(jù)Si進(jìn)行比較，并且如果這兩個(gè)集合之間存在相應(yīng)性，那么 銀行必可訪問要對(duì)進(jìn)加密的響應(yīng)數(shù)據(jù)SEK (SJ進(jìn)行解密所需的解密密 鑰。
此后，設(shè)備201利用第二挑戰(zhàn)向其PUF發(fā)出挑戰(zhàn)，該第二挑戰(zhàn)用于 在注冊(cè)期間導(dǎo)出第二集合的響應(yīng)數(shù)據(jù)并且該第二挑戰(zhàn)被簽名、加密、 并且存儲(chǔ)在該設(shè)備中。該設(shè)備利用所存儲(chǔ)的幫助數(shù)據(jù)對(duì)所導(dǎo)出的原始 響應(yīng)R2進(jìn)行處理以創(chuàng)建第二集合的響應(yīng)數(shù)據(jù)S2。在步驟222中該設(shè)備 通過鈔票所處的存款機(jī)212將第二集合S/的響應(yīng)數(shù)據(jù)以及在注冊(cè)階段 中存儲(chǔ)在設(shè)備上的經(jīng)簽名且加密的響應(yīng)數(shù)據(jù)SEK (S2)發(fā)送到銀行210。 銀行檢查簽名是否有效，并且如果這樣的話，對(duì)加密的響應(yīng)數(shù)據(jù)進(jìn)行 解密。此后，銀行對(duì)這兩個(gè)集合的響應(yīng)數(shù)據(jù)S2， S/ (利用例如漢明距 離計(jì)算)進(jìn)行比較。如果這兩個(gè)集合的響應(yīng)數(shù)據(jù)S2， S/之間存在相應(yīng) 性，那么在銀行210認(rèn)證了設(shè)備201，這是因?yàn)樗缮膳c在注冊(cè)階段 由銀行加密且存儲(chǔ)在該設(shè)備中的響應(yīng)數(shù)據(jù)相對(duì)應(yīng)的響應(yīng)數(shù)據(jù)。
應(yīng)該注意的是，其他應(yīng)用中的用戶211可通過包括物理令牌的他/ 她的設(shè)備201直接與銀行210進(jìn)行通信。然而，銀行210典型地包括 用戶211通過其可與銀行進(jìn)行通信的一些類型的設(shè)備讀取器(例如ATM 212)。通常，設(shè)備讀取器212是通常用作用戶與用戶希望與之執(zhí)行一 系列的認(rèn)證的官方之間的接口的完全無源設(shè)備。
在本發(fā)明的進(jìn)一步實(shí)施例中，如上所描述的，可將物理令牌密碼學(xué) 地捆綁到包括它的設(shè)備上。借助于將物理令牌的響應(yīng)數(shù)據(jù)與包括該令 牌的設(shè)備的標(biāo)識(shí)符相關(guān)聯(lián)、對(duì)該關(guān)聯(lián)所創(chuàng)建的數(shù)據(jù)進(jìn)行加密、并且將 它存儲(chǔ)在該設(shè)備中來實(shí)施該密碼學(xué)捆綁。例如，在注冊(cè)期間，響應(yīng)數(shù) 據(jù)可以與具體體現(xiàn)了包括該物理令牌的設(shè)備的鈔票的序列號(hào)相連接。 此后對(duì)該響應(yīng)數(shù)據(jù)和序列號(hào)數(shù)據(jù)進(jìn)行例如簽名和加密，這會(huì)產(chǎn)生$& (S2,序列號(hào))。此后將加密的數(shù)據(jù)存儲(chǔ)在妙票中，并且因此將包括在 其中的物理令牌密碼學(xué)地捆綁到鈔票上。如技術(shù)人員在研究該實(shí)施例 時(shí)所明白的那樣，可有許多替代用于實(shí)現(xiàn)該捆綁。例如，可使所生成 的隨機(jī)數(shù)x與序列號(hào)相連接，并且可對(duì)所連接的數(shù)據(jù)進(jìn)行散列，以產(chǎn) 生H (x,序列號(hào))。
還可在注冊(cè)期間對(duì)幫助數(shù)據(jù)進(jìn)行加密并且將其存儲(chǔ)到設(shè)備上。因此，通過存儲(chǔ)例如SEK(x, W)，可進(jìn)一步阻止攻擊者破壞認(rèn)證協(xié)議。 此外，可在注冊(cè)期間對(duì)散列隨機(jī)數(shù)H (x)進(jìn)行加密并且將其存儲(chǔ)在設(shè) 備中。存儲(chǔ)SEk (H (x))是為提高協(xié)議安全性而采取的附加措施。
用于增強(qiáng)安全性而采取的進(jìn)一步措施是提供具有完整性的認(rèn)證協(xié) 議。通過提供完整性，只有該協(xié)議的授權(quán)方能夠?qū)粨Q數(shù)據(jù)進(jìn)行修改。 如果攻擊者企圖修改在授權(quán)方之間發(fā)送的數(shù)據(jù)，那么它不會(huì)不被察覺 到。通過在注冊(cè)階段中讓注冊(cè)器將散列函數(shù)應(yīng)用于例如與散列隨機(jī)數(shù)H (x)相連接的響應(yīng)數(shù)據(jù)Ri上可實(shí)現(xiàn)提供完整性，這會(huì)產(chǎn)生散列數(shù)據(jù)H (R」lH(x))。此后將散列數(shù)據(jù)存儲(chǔ)在要認(rèn)證的一方的設(shè)備中，并且 使自舉模式無效。現(xiàn)在，如果在要認(rèn)證的一方與驗(yàn)證器之間的傳送期 間對(duì)Ri或者H(x)(或者這兩者)進(jìn)行操作，那么該設(shè)備所計(jì)算的散 列值H(RJlH(x))將不同于在注冊(cè)期間存儲(chǔ)在設(shè)備中的值，并且因 此將檢測(cè)到該操作。
由于例如機(jī)械損耗可使PUF的特性隨時(shí)間而慢慢地發(fā)生變化，這可 具有驗(yàn)證器錯(cuò)誤地拒絕PUF的效果。因此，有利的是當(dāng)PUF特性隨著 時(shí)間變化時(shí)，可對(duì)在注冊(cè)期間在包括有PUF的設(shè)備中存儲(chǔ)的參數(shù)進(jìn)行 更新。
再次參考圖2,在能夠?qū)υ谧?cè)期間存儲(chǔ)在該設(shè)備中的參數(shù)進(jìn)行更 新的本發(fā)明的實(shí)施例中，驗(yàn)證器210在步驟222從設(shè)備201接收第二 集合V的響應(yīng)數(shù)據(jù)以及在注冊(cè)階段存儲(chǔ)在該設(shè)備處的經(jīng)簽名且加密 的響應(yīng)數(shù)據(jù)SEf (R2)。如果PUF特性已經(jīng)改變了，那么存在在認(rèn)證期 間所導(dǎo)出的第二集合R/的響應(yīng)數(shù)據(jù)不同于在注冊(cè)期間所導(dǎo)出的相應(yīng) 響應(yīng)數(shù)據(jù)R2，并且將(錯(cuò)誤地)拒絕該設(shè)備。為了克服這個(gè)潛在的問 題，驗(yàn)證器通過對(duì)所接收到的R、進(jìn)行加密和簽名可執(zhí)行更新(在或多 或少連續(xù)的基礎(chǔ)上，這取決于該設(shè)備中的PUF特性漂移程度)而產(chǎn)生 $E US)，并且驗(yàn)證器用3E (R、)取代在注冊(cè)期間存儲(chǔ)在該設(shè)備中的 $E(R2)。應(yīng)該注意的是，只有如果驗(yàn)證器也是注冊(cè)器，才可通過驗(yàn)證 器進(jìn)行對(duì)經(jīng)加密響應(yīng)數(shù)據(jù)的簽名。此外，如果驗(yàn)證器能夠借助于所接 收到的明文數(shù)據(jù)R、和加密的響應(yīng)數(shù)據(jù)SEK (R2)來對(duì)該設(shè)備進(jìn)行認(rèn)證， 那么僅允許更新。
為了進(jìn)一步改進(jìn)對(duì)在注冊(cè)期間存儲(chǔ)在該設(shè)備中的參數(shù)的更新，在步 驟220中，驗(yàn)證器210還更新在注冊(cè)期間存儲(chǔ)在該設(shè)備中的并且從設(shè)備201所接收的笫一集合的加密響應(yīng)數(shù)據(jù)SEK (RJ 。在上面所給出的 對(duì)本發(fā)明優(yōu)選實(shí)施例的描述中，驗(yàn)證器無法更新第一集合的響應(yīng)數(shù)據(jù) R"這是因?yàn)樵撛O(shè)備不能揭示該第一集合。此外，驗(yàn)證器無法第二次將 該設(shè)備置于其"自舉模式"。因此，在步驟222中，設(shè)備201將所導(dǎo)出 的響應(yīng)數(shù)據(jù)R、與明文數(shù)據(jù)R'2以及加密響應(yīng)數(shù)據(jù)SEK (R2) —起進(jìn)行發(fā) 送。如先前實(shí)施例所示，如果驗(yàn)證器能夠借助于所接收的明文數(shù)據(jù)R、 和加密的響應(yīng)數(shù)據(jù)$& (R2)來對(duì)該設(shè)備進(jìn)行認(rèn)證，那么驗(yàn)證器通過對(duì) 所接收到的R、進(jìn)行加密和簽名可執(zhí)行更新以產(chǎn)生SE US)，并且驗(yàn) 證器用SE (R、)取代在注冊(cè)期間存儲(chǔ)在該設(shè)備中的SE (R2)?，F(xiàn)在， 驗(yàn)證器還對(duì)所接收到的R、進(jìn)行加密和簽名以產(chǎn)生SE (R、)，并且用 眾E(R、)取代在注冊(cè)期間存儲(chǔ)在該設(shè)備中的SE (RJ 。這不會(huì)導(dǎo)致違反 安全的行為，這是因?yàn)槿绻?yàn)證器在步驟221示出了它知道與R、相似 到足夠程度的響應(yīng)數(shù)據(jù)R!的集合，那么設(shè)備201在步驟222僅將響應(yīng) 數(shù)據(jù)R、發(fā)送到驗(yàn)證器210。再次，只有如果驗(yàn)證器可借助于所接收到 的明文數(shù)據(jù)R、和加密的響應(yīng)數(shù)據(jù)SEK (R2)對(duì)該設(shè)備進(jìn)行認(rèn)證的話， 才允許更新。
即使已參考其特定示例性實(shí)施例對(duì)本發(fā)明進(jìn)行了說明，但是對(duì)于本 領(lǐng)域普通技術(shù)人員來說，可顯而易見地得知許多不同變化、修改等等。
制。、'々、1 、、. ，、.、、權(quán)利要求
1、一種用于在驗(yàn)證器(210)處對(duì)包括物理令牌(102)的設(shè)備(101，201)進(jìn)行認(rèn)證的方法，該方法包括步驟在所述驗(yàn)證器處接收來自該設(shè)備的第一集合的隱蔽響應(yīng)數(shù)據(jù)，該響應(yīng)數(shù)據(jù)在注冊(cè)期間從物理令牌導(dǎo)出、被隱蔽、并且存儲(chǔ)在該設(shè)備中；揭示所隱蔽的響應(yīng)數(shù)據(jù)并且將它發(fā)送到該設(shè)備；在該設(shè)備處利用用于導(dǎo)出第一集合的響應(yīng)數(shù)據(jù)的第一挑戰(zhàn)向該物理令牌進(jìn)行挑戰(zhàn)以導(dǎo)出響應(yīng)數(shù)據(jù)，并且將所導(dǎo)出的響應(yīng)數(shù)據(jù)與從該驗(yàn)證器所接收的第一集合的響應(yīng)數(shù)據(jù)進(jìn)行比較；如果所導(dǎo)出的響應(yīng)數(shù)據(jù)與從該驗(yàn)證器所接收的第一響應(yīng)數(shù)據(jù)集合相對(duì)應(yīng)，那么利用第二挑戰(zhàn)向該物理令牌進(jìn)行挑戰(zhàn)以導(dǎo)出響應(yīng)數(shù)據(jù)，所述第二挑戰(zhàn)用于從物理令牌導(dǎo)出第二集合的響應(yīng)數(shù)據(jù)并且該第二集合在注冊(cè)期間被隱蔽并且存儲(chǔ)在設(shè)備中；將第二集合的隱蔽響應(yīng)數(shù)據(jù)以及從第二挑戰(zhàn)所導(dǎo)出的響應(yīng)數(shù)據(jù)發(fā)送到該驗(yàn)證器；在該驗(yàn)證器處揭示第二集合的隱蔽響應(yīng)數(shù)據(jù)，并將該第二集合的響應(yīng)數(shù)據(jù)與從第二挑戰(zhàn)所導(dǎo)出的響應(yīng)數(shù)據(jù)進(jìn)行比較，其中如果這兩個(gè)數(shù)據(jù)集合之間存在相應(yīng)性，那么認(rèn)為該設(shè)備被認(rèn)證了。
2、 根據(jù)權(quán)利要求1所述的方法，其中在該驗(yàn)證器(210)處接收 第一集合的隱蔽響應(yīng)數(shù)據(jù)的步驟還包括步驟檢查第一集合的隱蔽響應(yīng)數(shù)據(jù)是否具有有效數(shù)字簽名，并且如果是 這樣的話，執(zhí)行揭示第一集合的隱藏?cái)?shù)據(jù)并且將它發(fā)送到設(shè)備(201) 的步驟。
3、 根據(jù)權(quán)利要求1或者2所述的方法，還包括步驟 在驗(yàn)證器(210)處檢查第二集合的隱藏響應(yīng)數(shù)據(jù)是否具有有效數(shù)字簽名，并且如果是這樣的話，執(zhí)行揭示第二集合的隱藏?cái)?shù)據(jù)、并且 將該第二集合的響應(yīng)數(shù)據(jù)與從第二挑戰(zhàn)所導(dǎo)出的響應(yīng)數(shù)據(jù)進(jìn)行比較的 步驟。
4、 根據(jù)權(quán)利要求1-3任何一個(gè)所述的方法，還包括步驟 在驗(yàn)證器(210)處從設(shè)備(201)接收隱蔽的驗(yàn)證數(shù)據(jù)，該驗(yàn)證數(shù)據(jù)在注冊(cè)期間被隱蔽并且存儲(chǔ)在該設(shè)備中；揭示該隱蔽的驗(yàn)證數(shù)據(jù)并且將它發(fā)送到該設(shè)備；以及 在該設(shè)備上將不可逆函數(shù)應(yīng)用到該驗(yàn)證數(shù)據(jù)上，并且將該函數(shù)的輸 出與存儲(chǔ)在該設(shè)備中的參數(shù)進(jìn)行比較，其中如果該函數(shù)的輸出與所存 儲(chǔ)的參數(shù)相對(duì)應(yīng)，則執(zhí)行所述導(dǎo)出響應(yīng)數(shù)據(jù)并且將所導(dǎo)出的響應(yīng)數(shù)據(jù) 與從驗(yàn)證器所接收到的響應(yīng)數(shù)據(jù)進(jìn)行比較的步驟。
5、 根據(jù)權(quán)利要求4所述的方法，其中在該驗(yàn)證器(210)處接收 隱蔽的驗(yàn)證數(shù)據(jù)的步驟還包括步驟在驗(yàn)證器處檢查該隱蔽的驗(yàn)證數(shù)據(jù)是否具有有效數(shù)字簽名，并且如 果是這樣的話，執(zhí)行揭示所隱蔽的驗(yàn)證數(shù)據(jù)并且將它發(fā)送到該設(shè)備 (201 )的步驟。
6、 根據(jù)先前權(quán)利要求任何一個(gè)所述的方法，其中所述響應(yīng)數(shù)據(jù) 包括該物理令牌(102)的響應(yīng)。
7、 根據(jù)先前權(quán)利要求任何一個(gè)上述的方法，其中所述響應(yīng)數(shù)據(jù) 包括基于該物理令牌(102)的響應(yīng)以及噪聲校正數(shù)據(jù)的經(jīng)處理的數(shù)據(jù)。
8、 根據(jù)權(quán)利要求7所述的方法，還包括步驟 對(duì)該噪聲校正數(shù)據(jù)進(jìn)行加密；以及將所加密的噪聲校正數(shù)據(jù)存儲(chǔ)到該設(shè)備(101, 201)中。
9、 根據(jù)先前權(quán)利要求任何一個(gè)所述的方法，其中該物理令牌 (102)是物理不可克隆功能。
10、 根據(jù)先前權(quán)利要求任何一個(gè)所述的方法，其中該物理令牌 (102)包括在鈔票之內(nèi)。
11、 根據(jù)先前權(quán)利要求任何一個(gè)所述的方法，其中將該物理令牌 (102)密碼學(xué)地捆綁到包括它的設(shè)備(101)上。
12、 根據(jù)權(quán)利要求11所述的方法，還包括步驟 將該物理令牌(102 )的響應(yīng)數(shù)據(jù)與包括該令牌的設(shè)備(101 )的標(biāo)識(shí)符相關(guān)聯(lián)；以及隱蔽該關(guān)聯(lián)所創(chuàng)建的數(shù)據(jù)并且將所隱蔽的數(shù)據(jù)存儲(chǔ)在該設(shè)備中。
13、 根據(jù)先前權(quán)利要求任何一個(gè)所述的方法，其中在所述對(duì)數(shù)據(jù)集 合進(jìn)行比較的步驟中，如果所比較的數(shù)據(jù)集合彼此不對(duì)應(yīng)，那么停止 進(jìn)行到下一步驟。
14、 根據(jù)先前權(quán)利要求任何一個(gè)所述的方法，其中所述對(duì)數(shù)據(jù)集合 進(jìn)行比較的步驟包括確定所比較的數(shù)據(jù)集合之間的漢明距離。
15、 根據(jù)先前權(quán)利要求任何一個(gè)所述的方法，還包括步驟 更新在注冊(cè)期間存儲(chǔ)在該設(shè)備(101， 201)中的數(shù)據(jù)。
16、 根據(jù)權(quán)利要求15所述的方法，其中所述更新在注冊(cè)期間存儲(chǔ) 在該設(shè)備(101， 201)中的數(shù)據(jù)的步驟包括在該驗(yàn)證器(210)處隱蔽從第二挑戰(zhàn)所導(dǎo)出的、所接收到的響應(yīng) 數(shù)據(jù)；以及在該設(shè)備中用從第二挑戰(zhàn)所導(dǎo)出的隱蔽響應(yīng)數(shù)據(jù)取代在注冊(cè)期間 存儲(chǔ)在該設(shè)備中的隱蔽的第二集合的響應(yīng)數(shù)據(jù)。
17、 根據(jù)權(quán)利要求16所述的方法，還包括步驟 在該驗(yàn)證器(210)處通過使用第一挑戰(zhàn)來接收從該物理令牌(102)所導(dǎo)出的響應(yīng)數(shù)據(jù)；在驗(yàn)證器處隱蔽從第一挑戰(zhàn)所導(dǎo)出的、所接收到的響應(yīng)數(shù)據(jù)；以及 在該設(shè)備(IOI， 201)中用從第一挑戰(zhàn)所導(dǎo)出的隱蔽響應(yīng)數(shù)據(jù)取代在注冊(cè)期間存儲(chǔ)在該設(shè)備中的第 一 集合的隱蔽響應(yīng)數(shù)據(jù)。
18、 根據(jù)權(quán)利要求16或者17任何一個(gè)所述的方法，還包括步驟 在該驗(yàn)證器(210)處對(duì)從第一挑戰(zhàn)所導(dǎo)出的隱蔽響應(yīng)數(shù)據(jù)以及從第二 口令所導(dǎo)出的隱蔽響應(yīng)數(shù)據(jù)進(jìn)行簽名。
19、 一種執(zhí)行認(rèn)證的系統(tǒng)，所述系統(tǒng)包括 驗(yàn)證器(210);以及包括物理令牌(102)的設(shè)備(101, 201),其中 驗(yàn)證器被布置為接收來自該設(shè)備的第一集合的隱蔽響應(yīng)數(shù)據(jù)，該響應(yīng)數(shù)據(jù)在注冊(cè)期 間從物理令牌導(dǎo)出、被隱蔽、并且存儲(chǔ)在該設(shè)備中； 揭示該隱蔽的響應(yīng)數(shù)據(jù)；以及 將它發(fā)送到該設(shè)備； 該"i殳備^皮布置為通過利用用于導(dǎo)出笫一集合的響應(yīng)數(shù)據(jù)的第一挑戰(zhàn)向該物理令牌 進(jìn)行挑戰(zhàn)；將所導(dǎo)出的響應(yīng)數(shù)據(jù)與從驗(yàn)證器所接收到的第一集合的響應(yīng)數(shù)據(jù) 進(jìn)行比較；如果所導(dǎo)出的響應(yīng)數(shù)據(jù)與從驗(yàn)證器所接收到的第一響應(yīng)數(shù)據(jù)集合 相對(duì)應(yīng)，則利用第二挑戰(zhàn)向該物理令牌進(jìn)行挑戰(zhàn)以導(dǎo)出響應(yīng)數(shù)據(jù)，所述第二挑戰(zhàn)用于從該物理令牌導(dǎo)出第二集合的響應(yīng)數(shù)據(jù)并且該第二集合在注冊(cè)期間被隱蔽并且存儲(chǔ)在該設(shè)備中；將第二集合的隱蔽響應(yīng)數(shù)據(jù)以及從第二挑戰(zhàn)所導(dǎo)出的響應(yīng)數(shù)據(jù)發(fā)送到該驗(yàn)證器；該驗(yàn)證器還被布置為揭示第二集合的隱蔽響應(yīng)數(shù)據(jù)并將該第二集合的響應(yīng)數(shù)據(jù)與從第 二挑戰(zhàn)所導(dǎo)出的響應(yīng)數(shù)據(jù)進(jìn)行比較，其中如果這兩個(gè)數(shù)據(jù)集合之間存 在相應(yīng)性，那么認(rèn)為該設(shè)備被認(rèn)證了 。
20、 根據(jù)權(quán)利要求19所述的系統(tǒng)，其中該驗(yàn)證器(210)還被布置 為檢查第一集合的隱蔽響應(yīng)數(shù)據(jù)是否具有有效數(shù)字簽名，并且如果 是這樣的話，揭示第一集合的隱蔽數(shù)據(jù)并且將它發(fā)送到該設(shè)備(201)。
21、 根據(jù)權(quán)利要求19或者20所述的系統(tǒng)，其中該驗(yàn)證器(210) 還被布置為檢查第二集合的隱蔽響應(yīng)數(shù)據(jù)是否具有有效數(shù)字簽名， 并且如果是這樣的話，揭示第二集合的隱蔽響應(yīng)數(shù)據(jù)并且將該第二集 合的響應(yīng)數(shù)據(jù)與從第二挑戰(zhàn)所導(dǎo)出的響應(yīng)數(shù)據(jù)進(jìn)行比較。
22、 根據(jù)權(quán)利要求19-21任何一個(gè)所述的系統(tǒng)，其中 該驗(yàn)證器(210)還被布置為從該設(shè)備接收隱蔽的驗(yàn)證數(shù)據(jù)，該驗(yàn)證數(shù)據(jù)在注冊(cè)期間被隱蔽并且存儲(chǔ)在該設(shè)備中；揭示該隱蔽的驗(yàn)證 數(shù)據(jù)并且將它發(fā)送到該設(shè)備；以及該設(shè)備(201)還被布置為將不可逆函數(shù)應(yīng)用到該驗(yàn)證數(shù)據(jù)上并 且將該函數(shù)的輸出與存儲(chǔ)在該設(shè)備中的參數(shù)進(jìn)行比較，其中如果該函 數(shù)的輸出與所存儲(chǔ)的參數(shù)相對(duì)應(yīng)，那么執(zhí)行導(dǎo)出響應(yīng)數(shù)據(jù)并且將所導(dǎo) 出的響應(yīng)數(shù)據(jù)與從該驗(yàn)證器接收到的響應(yīng)數(shù)據(jù)進(jìn)行比較。
23、 根據(jù)權(quán)利要求22所述的系統(tǒng)，其中該驗(yàn)證器(210)還被布置 為檢查該隱蔽的驗(yàn)證數(shù)據(jù)是否具有有效數(shù)字簽名，并且如果是這樣 的話，揭示該隱蔽的驗(yàn)證數(shù)據(jù)并且將它發(fā)送到物理令牌。
24、 根據(jù)權(quán)利要求19-23任何一個(gè)所述的系統(tǒng)，其中所述響應(yīng)數(shù) 據(jù)包括基于物理令牌的響應(yīng)以及噪聲校正數(shù)據(jù)的經(jīng)處理的數(shù)據(jù)。
25、 一種包括用于提供可測(cè)量參數(shù)的物理令牌(102 )的設(shè)備(101 )， 所述設(shè)備還包括傳感器元件(103),用于對(duì)物理令牌所提供的參數(shù)進(jìn)行測(cè)量； 邏輯電路(108)，用于以不可逆函數(shù)對(duì)提供給它的數(shù)據(jù)進(jìn)行處理；至少一個(gè)存儲(chǔ)器(106, 107 )，用于在設(shè)備的注冊(cè)期間存儲(chǔ)從所述 物理令牌導(dǎo)出的響應(yīng)數(shù)據(jù)；以及通信裝置(105， 109)，用于與外部實(shí)體進(jìn)行通信。
26、 根據(jù)權(quán)利要求25所述的設(shè)備(101 ),其中所述物理令牌(102 ) 包括至少局部地覆蓋該設(shè)備的涂層。
27、 根據(jù)權(quán)利要求25或者26任何一個(gè)所述的設(shè)備(101)，其中 所述設(shè)備是射頻識(shí)別(RFID)標(biāo)簽。
28、 根據(jù)權(quán)利要求25 - 27任何一個(gè)所述的設(shè)備(101),還包括 用于將所測(cè)量的模擬參數(shù)轉(zhuǎn)換成數(shù)字?jǐn)?shù)據(jù)的至少一個(gè)模數(shù)轉(zhuǎn)換器(104)。
全文摘要
本發(fā)明涉及一種用于在驗(yàn)證器(210)處對(duì)包括物理令牌(102)的設(shè)備(101，201)進(jìn)行認(rèn)證的方法、用于執(zhí)行認(rèn)證的系統(tǒng)、以及包括用于提供可測(cè)量參數(shù)的物理令牌的設(shè)備。本發(fā)明的基本思想是提供一種安全認(rèn)證協(xié)議，在該安全認(rèn)證協(xié)議中，可使例如RFID標(biāo)簽這樣的、包括有物理不可克隆功能(PUF)形式的物理令牌(102)的低功率設(shè)備免于執(zhí)行密碼學(xué)操作或者就處理功率而言的其他需要操作。為此，要被認(rèn)證的PUF設(shè)備(101，201)驗(yàn)證它是否事實(shí)上正被授權(quán)的驗(yàn)證器來查詢。例如，在銀行希望認(rèn)證的鈔票中布置了包括PUF(102)的RFID標(biāo)簽。該驗(yàn)證基于銀行獨(dú)有的、能夠揭示隱蔽數(shù)據(jù)的能力，其中隱蔽數(shù)據(jù)諸如是在向銀行登記RFID標(biāo)記(或者實(shí)際上PUF)的注冊(cè)階段中已經(jīng)創(chuàng)建的數(shù)據(jù)。現(xiàn)在，RFID標(biāo)簽再次向其PUF進(jìn)行挑戰(zhàn)以創(chuàng)建發(fā)送到驗(yàn)證器的響應(yīng)數(shù)據(jù)。該驗(yàn)證器檢查響應(yīng)數(shù)據(jù)是否正確，并且如果是這樣的話，認(rèn)證包括該物理令牌的設(shè)備，這是因?yàn)樵撛O(shè)備能夠產(chǎn)生與隱蔽且在注冊(cè)階段中存儲(chǔ)的響應(yīng)數(shù)據(jù)相對(duì)應(yīng)的響應(yīng)數(shù)據(jù)。
文檔編號(hào)G06F21/35GK101422015SQ200780013249
公開日2009年4月29日 申請(qǐng)日期2007年4月10日 優(yōu)先權(quán)日2006年4月11日
發(fā)明者A·M·H·湯比爾, B·斯科里克, P·T·圖伊爾斯 申請(qǐng)人:皇家飛利浦電子股份有限公司