CN105723651B

CN105723651B - 可验证装置

Info

Publication number: CN105723651B
Application number: CN201480061517.XA
Authority: CN
Inventors: 约翰·罗斯·沃罗本斯汀
Original assignee: Analog Devices Inc
Current assignee: Analog Devices Inc
Priority date: 2013-11-10
Filing date: 2014-11-10
Publication date: 2020-01-07
Anticipated expiration: 2034-11-10
Also published as: WO2015116288A3; EP3069249B1; US20160021096A1; EP3069249A2; WO2015116288A2; US20150134966A1; US9998445B2; AU2014380147A1; JP6202657B2; US8918647B1; CN105723651A; EP3069249A4; JP2017501652A

Abstract

一种可验证装置包括：物理不可克隆函数(“PUF”)装置，其具有PUF输入和PUF输出，且经建构以响应于挑战C而产生特征性输出O；处理器，其具有连接到所述PUF输出的输入，经配置以：(1)响应于接收到输出O而产生取决于私用值r的提交值，且(2)响应于同时接收到输出O和包含随机数的验证查询而返回对应于所述提交值和令牌的零知识证明验证值，所述令牌包含取决于私用值r和随机值的盲值，所述处理器经配置以解密所述随机值。与所述装置一起使用的验证系统优选地具有包含挑战C和提交值的工作校验集合以及包含挑战C和对应令牌的有限校验集合。

Description

可验证装置

技术领域

本发明大体上涉及硬件校验，且明确地说但非排他地，涉及绑定验证以防止通过替代而篡改和颠覆。

相关申请案的交叉引用

本申请案主张2013年12月11日申请的第14/103,599号申请案的权益，且主张2013年11月10日申请的第61/902,283号临时申请案的权益，所述两个申请案皆以引用的方式并入本文中。第2013/0212642号美国专利申请公开案和申请人的同在申请中的第13/829,826号美国专利申请案的内容也以引用的方式并入本文中，尤其是其对于弹性装置验证系统的揭示内容，本文中描述的系统的合适实施例可与之一起使用。

背景技术

PUF的独特性质提供优于传统公共密钥基础设施(PKI)构造的若干优势。一般而言，PUF提供两个核心性质：对较大电路的篡改检测以及充当有噪声的随机启示程序。第一特性是来自PUF自身的物理设计。由于PUF依赖于不可克隆的硬件容差(例如，电线延迟、电阻，等)，因此对PUF或所附接的集成电路的任何修改都会不可逆地更改PUF从挑战到响应的映射。第二特性是在理想理论模型中采用，其中PUF处理为提供(有噪声的)对挑战的响应的启示程序，其中挑战与响应之间的映射不可在硬件中建模或重复。Ruhrmair等人(“Modeling attacks on physical unclonable functions”，Proceedings of the 17thACM conference on Computer and Communications Security，CCSTO，第237页到第249页，纽约，2010，ACM(“Ruhrmair I”))已反驳了建模稳健性的主张，且提出对此类攻击有弹性的硬件构造(Ruhrmair等人，“Applications of high-capacity crossbar memories incryptography”，IEEE Trans.Nanotechnology，10(3)：489-498，2011年5月(“RuhrmairII”))。因此，假定PUF不可建模的理论构造仍令人感兴趣，因此现有PUF硬件可被Riihrmair等人(Riihrmair II)提出的设计替换。

关于物理不可克隆函数(PUF)的文献评估了PUF硬件设计的性质(例如，Gassend等人，“ilicon physical random functions”，Proceedings of the 9th ACM conferenceon Computer and Communications Security，CCS′02，第148页到第160页，纽约，2002，ACM.；Katzenbeisser等人，“PUFs：Myth，fact or busted？A security evaluation ofphysically unclonable functions(PUFs)cast in Silicon”，CHES，第283页到第301页，Springer，2012；Ravikanth，“Physical One-Way Functions”，博士论文，2001；RiihrmairII；Suh等人，“Physical Unclonable Functions for Device Authentication andSecret Key Generation”，Proceedings of the ffth Annual Design AutomationConference，DAC′07，第9页到第14页，纽约，2007，ACM；Yu等人，“Recombination ofPhysical Unclonable Functions”，GOMACTech，2010(“Yu I”))提供PUF特性的形式理论模型，且关于这些定义的设计协议(引自Armknecht等人，“A formalization of thesecurity features of physical functions”，Proceedings of the 2011 IEEESymposium on Security and Privacy，SPT1，第397页到第412页，华盛顿特区，2011；Brzuska等人，“Physically un-cloneable functions in the universal compositionframework”，Advances in Cryptology-CRYPTO 2011-31st Annual CryptologyConference，Lecture Notes in Computer Science第6841卷，第51页，Springer，2011；Frikkcn等人，“Robust authentication using physically unclon-able functions”，Information Security，Lecture Notes in Computer Science第5735卷，第262页到第277页，Springer Berlin Heidelberg，2009；Handschuh等人，“Hardware intrinsic securityfrom physically un-clonable functions”，Towards Hardware-Intrinsic Security，Information Security and Cryptography，第39页到第53页，Springer BerlinHeidelberg，2010；Kirkpatrick等人，“PUF ROKs：A hardware approach to read-oncekeys”，Proceedings of the 6th ACM Symposium on Information，Computer andCommunications Security，ASIACCS′ll，第155页到第164页，纽约，2011，ACM；Paral等人，“Reliable and efficient PUF-based key generation using pattern matching”，Hardware-Oriented Security and Trust(HOST)，2011 IEEE International Symposium，第128133页，2011年6月；Ruhrmair等人，“PUFs in Security Protocols：Attack Modelsand Security Evaluations”，2013 IEEE Symposium on Security and Privacy，第286页到第300页，2013(“Ruhrmair IIP)；van Dijk等人，”Physical Unclonable Functions inCryptographic Protocols：Security Proofs and Impossibility Results”，CryptologyePrint Archive，Report 2012/228，2012；Wu等人，“On foundation and construction ofphysical unclonable functions”，Cryptology ePrint Archive，Report 2010/171，2010；Yu等人，“Lightweight and Secure PUF Key Storage using limits of MachineLearning”，Proceedings of the 13th International Conference on CryptographicHardware and Embedded Systems，CHEST 1，第358页到第373页，柏林，海德堡，2011，Springer-Vcrlag(“Yu II”))。

Ravikanth在其博士论文中介绍了物理单向函数的概念。物理构造是基于光学器件，使用经由半透明凝胶点火的激光器的光斑模式来建构不可克隆的单向函数。这一精密工作导致并不依赖于精确机械对准和测量的物理不可克隆函数(PUF)的更为实际的构造。

Gassend等人介绍了经由集成电路建构的PUF的概念。这一工作通过Ravikanth去除对机械对准和输出测量所必需的精确要求而改善了使用光学器件的原始物理单向函数构造。通过在集成电路中实施PUF，硬件广泛可用且易于集成到现有系统中。

Suh等人介绍了PUF的环形振荡器构造，其具有许多合乎需要的性质。具体来说，环形振荡器设计容易在硬件中实施，稳健且不可预测。作者表明环形振荡器构造展现46％的芯片间变化，但仅具有0.5％的芯片内变化。

Riihrmair II描述了缓解Ruhrmair I表明的现有PUF构造的问题的一个候选方向。其介绍了超高信息含量(SHIC)PUF的概念。SHIC-PUF含有大量信息(例如，10¹⁰位)，而具有构造所不可避免的自为施加的缓慢读出速率。因此，如果对手尝试获取全挑战-响应对集合，那么实现这一目标所需的时间将超过装置的寿命。使用光刻横杆式存储器，小PUF要将需要至少三年的连续读取才能全部建模。随着纳米技术的开发，非光刻横杆式(约10nm)将需要数十年来全部建模。因此，SHIC-PUF的安全性独立于对手的计算能力且固有地与物理构造相关。另外，横杆可用作覆层PUF，其保护下伏电路。

Yu I描述了将装置的独特硬件特性处理为基因材料的PUF构造。类似于基因重组，这些性质可重组以产生与原始材料具有不同特性的输出。在作者的构造中，可更改PUF以提供NIST可校验随机输出、指数挑战空间和实值输出。真实随机输出为用于密码强验证协议的必需特性。实值输出促进软决策错误校正，其中报告信号和强度两者(Yu等人，“Secureand Robust Error Correction for Physical Unclonable Functions”，IEEE Des.Test，27(1)：48到65，2010年1月(“Yu III)”))。最后，作者还表明了如何利用单独的产生与验证模式建构多模式PUF。

Katzenbeisser等人评估了各种PUF构造所采用的性质，从而找出理想PUF所缺乏的许多必需特性。在改变的环境条件中比较仲裁器、环形振荡器、SRAM、触发器与锁存器PUF构造的稳健性和不可预测性。尽管所有PUF构造可接受地稳健，但仲裁器PUF具有低熵，而触发器和锁存器PUF受温度波动的显著影响。环形振荡器的缺点为低最小熵，而SRAM不具有指数输入空间。然而，环形振荡器和SRAM设计更为接近于理想PUF。

接下来，我们回顾关于将PUF应用于密码编译协议以及产生形式模型以评估PUF相依性协议的安全性的文献。

Handschuh等人给出了可如何将PUF应用于防伪和知识产权领域的高阶描述。作者概述了现有财产保护方法的缺点，主要是密钥存储设计。通过使用PUF，秘密密钥不再可复制，因为PUF的设计是不可克隆的。

Ruhrmair I描述了对包含仲裁器和环形振荡器设计的多种PUF构造的攻击。建模攻击仅需要关于PUF构造的结构参数的数个线性挑战响应对。在其中攻击需要极大量挑战响应对的构造中，基础构造的组件数目极大地增长。因此，基础构造变得不能建置，且设计者和对手面临相同的渐进性难题。所存在的攻击足以破坏生产中的大部分PUF构造，且表明其它方法看来满足防卫者与对手两者的指数级复杂度增大。

Wu等人表明，当对于一些常数c，

时，具有l位输入、m位输出和n个组件的PUF并不实施随机函数。即随机函数家族的大小必须等于输出域的大小。令

为PUF的函数家族且为输出域，可得出

然而，当时，则

这一信息理论限制将具有

个组件的PUF建立为伪随机函数家族。为使此些PUF家族实施恰当的伪随机家族，输入的混淆与扩散是必需的。作者展示了如何通过使用PUF产生用于分组加密的密钥来建构物理不可克隆伪随机排列。最后，作者建构了用于错误校正的称为多数表决暗位(majority voting dark bit)的安全帮助程序数据算法，其比标准软决策错误校正码更为有效。

Yu II描述了用于安全性的基于机器学习的基本原理(通过对于给定分类错误考虑对手比PUF的优势)。通过假定在参数中具有k位的PUF需要至少k个挑战-响应对来获得分类优势，作者得出结论，0.5的分类错误率等效于安全性。在技术上，作者应指定这一结果将仅适用于具有单位输出的PUF。通过去除PUF的输出为独立同分布(i.i.d.)的假设，除了降低错误校正码的复杂度之外，PUF的复杂度也可降低。

Kirkpatrick等人描述了如何使用PUF来产生一次读取密钥(read-once key)，在使用后，所述密钥立即毁坏并且不可能进一步使用。此类构造将促进Goldwasser等人(“One-time Programs”，Proceedings of the 28th Annual Conference on Cryptology：Advances in Cryptology，CRYPTO 2008，第39页到第56页，柏林，海德堡，2008，Springer-Verlag)提出的一次程序。PUF-ROK构造需要与存储初始种子值的寄存器集成，其为有效的安全参数。PUF和寄存器处于反馈回路中，因此在读取PUF的输出后，初始密钥永久地毁坏。作者还描述了如何允许以任意次序解密一次读取密钥。因此，可建构有效的k读取密钥。

Armknecht等人给出PUF的合乎需要性质的形式安全性定义。现有模型并不允许准确地建模宽范围的PUF构造，例如需要PUF充当物理单向函数。通过引入输出仅单个位的PUF，反转变得无足轻重。作者的PUF模型需要稳健性、物理不可克隆性和不可预测，且给出形式安全性定义和游戏以表明PUF构造是安全的。这促进在密码编译协议中使用PUF，其中协议的安全性必须可还原到现有硬性问题。

Brzuska等人在通用可组合框架中使用PUF建构用于未察觉传送、位承诺和密匙互换的密码编译协议。Canetti的通用可组合(UC)框架(“Universally ComposableSecurity：A new paradigm for cryptographic protocols”，Proceedings of the 42ndIEEE Symposium on Foundations of Computer Science，FOCS′01，华盛顿特区，2001，IEEE Computer Society)促进在任意系统中从子协议导出协议的安全性证明。

van Dijk等人法工作通过考虑涉及PUF装置的密码编译协议的更实际的攻击情形而改善了Brzuska等人非工作。具体来说，作者的新安全性模型集中在对手在协议期间有权接入PUF装置时。作者表明，当对手对PUF具有后接入权时，用于单独基于使用PUF的未察觉传送或密匙互换的任何协议是不可能的。对于其它安全性模型给出类似的不可能性结果，甚至当PUF建模为理想的随机排列启示程序时也是这样。作者在三个模型中介绍了形式安全性定义，且给出在这些模型的子集下的位提交、密匙互换和未察觉传送的新颖协议。最后，作者表明，Brzuska等人对Canetti的通用可组合框架的应用在这些安全性模型中并不有效，且应被视为遗留问题。

发明内容

根据本发明的一个方面的装置验证系统包含一个或多个装置、能够与其通信的子级服务器和经配置以通过以下操作来注册装置的根服务器：收集装置特定令牌且从其建立完整校验集合(“CVS”)；通过选择CVS的子集建立工作校验集合(“WVS”)；通过对WVS的至少部分执行推导函数来建立有限校验集合(“LVS”)；以及将部分或全部所述LVS分布到子级服务器。根据本发明的另一方面的装置验证系统经配置而使得含有PUF的装置和与所述装置通信的服务器可执行扩展BPV产生。根据本发明的又一方面的系统包含含有PUF且经配置以对验证相关值的子集多次执行错误解码的装置。

附图说明

图1为注册与验证算法的核心组件的说明；

图2为所导出的密钥树构造的说明；

图3为我们的实验设置的说明；

图4为重叠的PUF内与PUF间错误率分布的说明；

图5为分离的PUF内与PUF间错误率分布的说明；以及

图6为以实验方式观察到的PUF内到PUF间错误率分布的说明。

具体实施方式

我们回顾下Frikken等人的注册与验证协议。作者在银行验证的上下文中考虑PUF验证。经由知识的零知识证明来证明银行客户端的识别码，其表明客户端知道口令并且拥有能够产生预先注册的群组元素的离散对数的装置。所述构造对于许多形式的攻击是稳健的，包含对手对装置和服务器的损害。另外，所述构造容易扩展以支持应急口令，其中验证成功但向银行服务器通知客户端受到胁迫。我们在这一工作中建置了作者的构造的子集，去除了用户且仅集中于验证硬件。

我们以两种方式来修改其协议。首先，我们减小必需的模数乘法的数目，因为PUF自身驻留在资源受约束的装置(即，数学计算能力相对显著小于比较时广泛可用的个人计算机的数学计算能力的装置)上。第二，我们修改了注册算法，使得其仅需要出现一次。许多基于PUF的验证协议采用受信任注册阶段，其中PUF装置在没有对手的干预的情况下与服务器交互。由于重新注册昂贵，在大规模部署的系统中尤其如此，因此我们修改了注册协议以虑及未来故障或产生额外注册令牌的需要。

概述

我们首先在构造中使用的基元方面来描述Frikken等人的注册与验证协议。所述协议的核心操作说明于图1中。

·注册服务器将随机挑战C发布到装置，其作为输入传递到PUF。假设O表示PUF对挑战C的响应。

·装置选择随机群组元素

且使用扩展BPV产生器处理(Boyko等人，“Speeding up discrete log and factoring based schemes via precomptations”，Advances in Cryptology EUROCRYPT98，Lecture Notes in Computer Science第1403卷，第221页到第235页，柏林海德堡Springer，1998)来建构一对(r，g^r mod p)，其主要取决于随机群组元素rand，其实质性减少建构g^r mod p所必需的模数乘法的数目。

·由于PUF输出O有噪声，因此不保证在未来查询挑战C时，新输出O′将满足O′＝O。然而，假定O与O′相对于某一距离量度(例如汉明距离)将为t接近。因此，错误校正码可应用于PUF输出，使得至多t个错误仍会恢复O。我们对于随机群组元素rand应用错误校正，且利用PUF的输出O使这一值变得不可知，以使得最终帮助程序值

不展现关于rand的信息。在恢复期间，每当O与O′为t接近时，计算

的异或运算将返回rand。这一处理称为模糊提取，且详细地描述于“形式PUF定义”下的第一段中。

·对(P，g^r mod p)返回到注册服务器作为用于在未来验证装置的提交。注意，P或g^r mod p都不需要保持机密，因为没有PUF输出O，不可恢复私用指数r。

·当服务器希望验证装置为真实的时，其将元组(C，P，随机数)发送到充当Chaum等人(“An improved protocol for demonstrating possession of discretelogarithms and some generalizations”，Proceedings of the 6th annualinternational conference on Theory and Application of CryptographicTechniques，EUROCRYPT’87，第127页到第141页，柏林，海德堡，1988，Springer-Verlag)的零知识证明协议中的校验器的装置。在输入挑战C时，装置返回输出O′。

·PUF输出O′与错误校正帮助程序数据P的异或运算经由错误解码而运行。只要O′与原始PUF输出O为t接近，解码过程就会成功地恢复随机群组元素rand。

·群组元素rand用作到扩展BPV产生器处理的输入，所述处理返回对(r，g^r modp)。

·在恢复私用指数r之后，装置建构充当证明项(prover)的零知识证明响应对(c′，ω)。服务器在零知识证明中充当校验器，且如果对(c′，ω)满足证明条件，那么就接受装置为真实的。

我们现在给出关于PUF的建模假设的形式描述以及注册与验证算法中所涉及的每一基元。

模型

我们考虑三个主要实体类型：

·一组服务器S，其中每一服务器s_i∈S控制其系统上的装置的验证。

·一组装置

每一装置具有嵌入式PUF。

·对手A，其希望伪装成合法装置

以获得存储在服务器的某一子集

上的资源。

我们假定所有实体绑定到概率多项式时间(probabilistic polynomialtime，PPT)。即，所有实体可执行相对于全局安全参数A的需要许多多项式操作的计算。在我们的设定中，A是指群组模量p中的位数目。限制意味着需要关于A的极多操作的计算对于代理来说不高效，且成功的概率几乎可以忽略。

PUF装置

构造中使用的特定PUF装置是至关重要的。Riihrmair I定义了三种相异类别的PUF装置：

1.弱PUF：弱PUF典型地仅用以导出秘密密钥。挑战空间可能有限，且假定响应空间从不显示。典型构造包含SRAM(Holcomb等人，“Initial SRAM state as a fingerprintand source of true random numbers for RFID tags”，In Proceedings of theConference on RFID Security，2007)、Butterfly(Kumar等人，“Extended Abstract：TheButterfly PUF protecting IP on every FPGA”，Hardware-Oriented Security andTrust，HOST 2008，IEEE International Workshop，第67页到第70页，2008)和Coating(Tuyls等人，“Read-proof hardware from protective coatings”，Proceedings of the8th International Conference on Cryptographic Hardware and Embedded Systems，CHES’06，第369页到第383页，柏林，海德堡，2006，Springer-Verlag)PUF。

2.强PUF：认为强PUF(i)在物理上不可能克隆，(ii)不可能在合理时间(即约数周)内收集到一组完整的挑战响应对，且(iii)难以预测对随机挑战的响应。

3.受控PUF：受控PUF满足强PUF的所有准则，且此外实施用于计算更高级功能性的辅助控制单元。

在我们的设定中，受控PUF为最合乎需要的。另外，我们将需要对手在物理上不可能观察到传递到辅助控制单元的PUF输出。我们假定仅显示辅助控制单元的最终输出，且对手不可观察到所有中间计算。

形式PUF定义

形式上，理想PUF构造满足定义1：

定义1。绑定到装置d的物理上不可克隆函数

为具有以下特性的函数：

1.不可克隆：我们要求

利用克隆PUF P′复制PUF P的概率，使得其输出分布在统计上达到t接近，小于一些足够小的∈1。

2.不可预测：我们要求

从而使得在对手A的所有概率性多项式时间的κ2中，对手A猜对PUF P对挑战c的正确响应r的概率可以忽略。

3.稳健：我们要求

固定PUF P对于相同输入x产生t距离响应的概率小于一些足够小的∈2。通过利用(m，l，t，∈3)模糊提取器(Gen，Rep)使PUF装置d变得不可知来满足这一特性。

4.模糊提取：我们要求，在PUF d的注册阶段期间，给定挑战c，PUF计算

其中r←P_d(c)且输出P。在挑战W′与原始挑战W为t接近时，帮助程序字符串P允许恢复R。

5.不可分辨性：我们要求PUF的输出在计算上不可与相同长度的随机字符串分辨开来，使得PPT对手A的优势为

其中∈3可以忽略。

模糊提取

PUF装置的输出有噪声，且因此尽管评估相同输入，也会稍有不同。为了在这一有噪声的函数上对于给定输入产生固定值，模糊提取器是必需的。在我们的构造中，我们在辅助控制单元中实施模糊提取，使得输出对于固定输入是恒定的。基于在注册处理期间使用的Juels等人(“A fuzzy commitment scheme”，Proceedings of the 6th ACM conferenceon Computer and Security，CCS’99，第28页到第36页，纽约，1999，ACM)的模糊提交函数，我们现在在形式上定义Dodis等人(“Fuzzy extractors：How to generate frombiometrics and other noisy data”，SIAM J.Comput.，第97页到第139页，2008年3月)的汉明距离构造。

定义2。令C为二进制(n，k，2t+1)错误校正码，且令rand←{0，1}^k为随机k位值。由此，下式定义用于输入字符串O的安全概况(secure sketch)：

在图1中，注册挑战1说明注册服务器将随机挑战C发布到装置。挑战对于k位挑战从{0，1}^k随机地均匀地抽出。

定义2用以建置用于注册阶段的产生程序，其必须输出集合(rand，P)，其中rand为随机值，且P为用以恢复rand的帮助程序字符串。

PUF查询2说明硬件装置关于挑战C查询PUF，且产生响应O。

减少模数乘法

模幂运算为昂贵的运算，妨碍在例如移动装置的资源受约束装置(即，能够用单手方便地携带的装置)上实施基于PUF的验证系统。我们已识别出利用Frikken等人协议的特性来调适将这一运算的机载消耗减小一个数量级的构件。

Boyko等人给出了在用于将模幂运算安全地外包给服务器的其它上下文中使用的协议，且其方法通常称为利用BPV产生器。Nguyen等人(“Distribution of modular sumsand the security of the server aided exponentiaion”，Cryptography andComputational Number Theory，Progress in Computer Science and Applied Logic第20卷，第331页到第342页，2001)接着给出了对模数和的分布的界限，且演示了可如何扩展BPV产生器以减小资源受约束装置上的计算负载以借助于服务器安全地执行模幂运算。Chen等人(“New algorithms for secure outsourcing of modular exponentiations”，Computer Security，ESORICS 2012，Lecture Notes in Computer Science第7459卷，第541页到第556页，Springer Berlin Heidelberg，2012)给出了执行同时模幂运算的方法，且给出对其协议的更彻底的安全性分析。

利用注册与验证协议建构我们的基于PUF的验证系统并不对指数强加特定结构，这使得我们能够成功地调适扩展BPV产生器以降低计算模幂的计算成本，方法如下：

参数选择：如由BPV产生器的原作者所建议，对于256位素数p，建议参数{n＝256，k＝16}经由中断BPV产生器的对应子集总和问题而维持离散对数问题的安全性。

预处理：产生n个随机证书

以充当群组

的指数。对于每一j∈[1，…，n]，计算

其中g为群组

的产生器。这些值存储在集合

中。这一阶段由服务器执行，且数据库可公开显示。在我们的设定中，V存储在装置上。

对产生：当要产生秘密对(x，g^x mod p)时，产生随机子集

使得|S|＝k，1≤k＜n。我们接着计算：

如果x≡0 mod(p-1)，那么集合S随机地重新产生，直到这一等式不再成立。秘密对由此为(x，X)。因此，我们已建构由算法2给出的PairGen函数，其中f′(·)定义于方程式4中。

在PairGen(·)输出对(x，X)时，我们通过PairGen_x(·)来表示输出，即输出x，且类似地，通过PairGen_X(·)表示输出X＝(g^x mod p)。注意，X不需要为私用的，同时不必显示私用指数x。

使用BPV产生器导致计算机密对(x，g^x mod p)所需的模数乘法的数目实质性减小。对于256位素数p，二乘算法对于n位指数执行模幂运算需要1.5n个模数乘法。因此，并非需要384个模数乘法，使用BPV产生器仅需要15，改善了一个数量级。

在我们的构造中，需要装置产生取决于PUF(-)函数的输出的特定对(x，g^x modp)。在注册协议(算法3)中，产生函数(算法1)视为输入挑战c且返回取决于PUF(c)的输出的对(rand，P)。值rand为

的随机选择的群组元素，在给出相同挑战c和帮助程序字符串P时，其可由PUF恢复。因此，我们需要PairGen(n，k)的输出主要取决于私用值rand，以使得对于固定挑战产生相同对(x，X)。我们通过定义用于从所恢复的值rand产生索引集合S的确定性函数来实现这一目的。具体来说，我们定义f′(·)，如下：

因此，经由R上的哈希(hash)链产生具有k个索引的集合S，减小对的总数目n的模数。在我们的实施方案中，H(·)是SHA-256哈希算法。由于群组元素rand为秘密，因此f′(·)和完整集合

的定义知识不会对任何概率性多项式时间对手A产生优势。我们重新定义函数PairGen(·，·)以接受索引变量参数R和集合

仍参考图1，BPV产生3说明装置选择随机群组元素

且使用扩展BPV产生器处理来建构主要取决于随机群组元素rand的对(r，g^r mod p)，其实质性减少建构g^rmod p所必需的模数乘法的数目。

错误校正4说明使用错误校正的硬件装置。由于PUF输出O有噪声，因此不保证在未来查询挑战C时，新输出O′将满足O′＝O。然而，假定O与O′相对于某一距离量度(例如汉明距离)将为t接近。因此，错误校正码可应用于PUF输出，使得至多t个错误仍会恢复O。我们对于随机群组元素rand应用错误校正，且利用PUF的输出O使这一值变得不可知，以使得最终帮助程序值

的异或运算将返回rand。这一处理称为模糊提取。

注册数据元组5说明硬件装置建构由待用于错误解码的帮助程序数据P组成的对(P，g^r mod p)，且将g^r mod p提交到指数r。注意，P或g^rmod p都不需要保持机密，因为没有PUF输出O，不可恢复私用指数r。

存储注册6说明服务器存储硬件装置注册令牌(P，g^r mod p)供用于未来验证协议。

注册阶段响应于服务器的挑战查询而从PUF装置收集一系列n个令牌验证令牌充当提交项以使得装置可在未来被验证。注意，敏感信息不经由通信信道传输或存储于非易失性存储器中。私用指数r由装置产生，且在构造g^r mod p之后被舍弃。当需要指数r来经由零知识证明协议验证装置时，注册令牌

允许装置重新产生r且完成证明。这提供优于替代PUF验证协议(例如原初挑战-响应协议或PKI构造)的实质性益处，因为后两者都需要将私用信息存储于非易失性存储器中。

算法3以伪码描述注册协议。

理想地，在装置处于制造商处的受信任环境中时，注册处理应仅需要一次。另外，这一处理必须确保如果发生安全性违反，装置可经由服务器侧上的微小改变保持有效而无需重新注册。我们通过建构挑战-响应树而实现这一特性，其中仅从PUF响应直接导出根节点。这使得对手成功解决离散对数问题(例如，当模数小时，如在我们当前的实施方案中)时的影响最小化。

为了防止此类攻击导致被迫进行重新注册处理，我们从注册期间收集的那些令牌产生导出令牌。假如对手成功地解决离散对数问题，所恢复的指数不会帮助对手向服务器伪装为具有不同导出令牌的装置。分层验证结构如下：

定义3。完整校验集合(CVS)经定义为集合其中r_i与经由Rep协议(算法4)的PUF输出相关。

CVS由一组挑战和其相关联PUF响应组成，其中已知仅可由PUF接入的机密r_i隐藏在指数中。从这一组根挑战-响应对，我们导出用于分层验证的树状结构。

定义4。工作校验集合(WVS)为CVS的子集，通过选择单个根挑战-响应对而区分，其中这一对充当验证树的根。

在图2中。工作校验集合13说明选择完整校验集合的一部分充当工作校验集合。

给定WVS从CVS选择单个对

这一对将充当验证树的根。我们现在描述如何导出这一根值的子级节点。

定义5。有限校验集合(LVS)为WVS的子集，通过建构验证集合

而从根节点导出。

为建立子级节点，根节点选择随机值

且建构mod p。这一值隐藏根节点

因为子级节点无法解密

以恢复e_i。加密函数定义为：

导出指数14说明随机指数e_i的产生，其用以产生导出令牌

随机指数e_i使根指数r_i变得不可知。

我们需要子级节点不能够产生密钥，然而，PUF装置必须能够解密指数e_i以在零知识证明中成功地证明对指数的知识。我们使用

作为密钥，因为PUF可经由产生协议(算法1)使用c_i恢复校验集合的推导结构说明于图2中。

导出注册令牌15说明待分布到其它服务器的导出令牌。令牌

允许另一服务器验证装置，同时不展现关于根指数r_i的任何内容。即使导出令牌受损(展现r_ie_i)，仍不获得关于r_i的信息，这阻止对手向任何服务器伪装为不同于拥有

mod p的装置的硬件装置。

通过仅分布导出令牌，能够解决离散对数问题的对手A仅恢复r_ie_i mod(p-1)。然而，这不允许A向任何其它服务器伪装为装置，因为每一导出指数e_i是随机产生的。为了向不同服务器伪装所述装置，A必须解决另一离散对数问题。另外，恢复导出指数r_ie_i使得A在尝试恢复r_i、根指数时没有优势。并非迫使重新注册，根服务器简单地将新导出的令牌发布到受损的子级服务器。

返回到图1，验证挑战7说明尝试验证硬件装置的服务器。服务器将元组(C，P，随机数)发送到所述装置，充当Chaum等人的零知识证明协议中的校验器。

我们现在定义Rep程序，使得对于输入O′(其中dist(O，O′)≤t)，可恢复原始PUF输出rand：

定义6。令D对二进制(n，k，2t+1)错误校正码ECC的解码方案，且令O′为输入，使得dist(O，O′)≤t。由此，Rep定义为：

从定义6，我们现在可描述Rep算法，其允许PUF输出O′原始输出O相差至多t以再现输出rand，使得Rep(O′)＝rand，其是使用公用帮助程序字符串

我们在注册中使用Gen和Rep算法，且

验证协议确保恢复相同随机值rand，只要PUF输出O、O′相差至多t位即可。

PUF恢复8说明硬件装置关于挑战C查询PUF，且返回输出O′，其中O′不必等于O。如果装置是真实的，那么当O′与O相差至多t位时，校验将成功，其中使用t位错误校正码。

错误校正去除9说明硬件装置去除错误校正以恢复随机群组元素。PUF输出O′与错误校正帮助程序数据P的异或运算经由错误解码而运行。只要O′与原始PUF输出O为t接近，解码过程将成功地恢复随机群组元素rand。

BPV重新产生10说明硬件装置使用群组元素rand作为到扩展BPV产生器处理的输入，其返回对(r，g^r mod p)。

零知识证明11说明硬件装置建构零知识证明收据。在恢复私用指数r之后，装置建构零知识证明响应对(c′，ω)，充当证明项。

校验零知识证明12说明服务器尝试校验零知识证明收据。服务器在零知识证明中充当校验器，且如果对(c′，ω)满足证明条件，那么接受装置为真实的。

验证阶段允许服务器校验客户端装置被授权发出请求。在从装置接收到请求之后，服务器即刻利用装置d参与到Chaum等人的零知识证明协议中以建立执行请求的权限。所述协议在算法5中给出为伪码。

实施方案

如图3中所见，我们在Xilinx Spartan 6 FPGA SP605开发板上将我们的协议实施为概念证明。所属领域的技术人员将容易地认识到如何调适硬件模块化数学引擎以接受较大模数，优选地至少1024位。PUF和模块化数学引擎两者都驻留在FPGA网状架构中，而所有其它操作使用MicroBlaze处理器在软件中执行。装置经由RS232连接与桌上型服务器通信。

用于装置和服务器的注册与验证协议是用C编写，其中服务器侧上的Java前端用于用户接口且与本地SQL数据库通信。

错误校正码

理想地，关于相同挑战的两个单独PUF之间的PUF间错误率应为约50％，而关于挑战的PUF内错误率应实质性较小。这两个分布之间的距离越大，错误肯定和错误否定出现的可能性越低。图4说明在分布重叠，制作不可能避免错误肯定和错误否定的情况下的PUF间与PUF内错误之间的可能关系。图5说明相距更远的分布，其中建立边界以使错误肯定和错误否定最小化较简单。最后，图6说明我们使用三个Xilinx开发板以实验方式观察到的真实PUF间和PUF内错误率。观察到的PUF间错误率具有(μ＝129，σ＝5)，其满足输出位相差的约一半的理想错误率。观察到的PUF内错误率具有(μ＝15，σ＝4)。

错误解码为装置上必须执行的计算上最昂贵的运算。我们的实施方案选择(n，k，2t+1)BCH代码(Bose等人，“On a class of error correcting binary group codes”，Information and Control，第68页到第79页，1960)，其中代码具有长度n，从而接受长度至多为k的原始数据且校正至多t个错误。在我们从PUF提取256位时，最初，使用(1023，668，73)BCH代码，以使得可校正高达36个错误。然而，PUF自身仅具有32位，因此为提取256位，查询PUF八次。并非经由256位串接输出执行错误校正，我们使用每一32位输出块上的(127，71，17)BCH代码。这一改变实质性地减小了产生多顶式的大小，改善了解码速度，尽管需要运行八次而非一次。

这一改变的益处为现在可在PUF输出中校正总共64位，同时减少解码时间。这代价是仅能够每个32位块校正8个错误，因为现在是对于32位而非256位的块大小定义错误校正码。因此，处置高达64个错误的错误校正码可能俘获所有PUF内错误而不会由于“校正”PUF间错误而引入错误肯定。另一方面，尽管这给出256位函数的形态，但其安全性等效于经由2³²个元素的蛮力搜索。因此，并非攻击推测的256位函数，具有系统的一些知识的对手可能攻击32位排列，且组合每一较小挑战-响应对块以产生全PUF映射。因此，使用在所部署系统中接受1024位输入的PUF将为优选的。

我们以实验方式确定每一操作必需的总时间，所述操作包含从服务器上的SQL数据库存储和检索值，以及装置与服务器之间的通信。服务器配备有8核3.1GHz处理器和16GBRAM。表1报告1000次试验的每协议平均时间。

表1：执行结果

我们注意到，所有实验具有0％错误肯定和错误否定率。通过经最大错误校正阈值设定为64位，我们能够完全区分PUF装置。然而，在所部署系统中，环境因素可能会影响PUF内错误率。如果PUF内错误率增大超出错误校正阈值，那么不可避免地会引入错误否定。

关于在大规模验证系统中部署PUF的频繁关注点是验证系统对于改变的环境条件可能不稳健。随着PUF硬件老化，预期存在于响应中的错误的数目会增大。Maiti等人(“Theimpact of aging on an FPGA-based physical unclonable function”，FieldProgrammable Logic and Applications(FPL)，2011年国际会议，第151页到第156页)通过有目的地将装置加压超出正常操作条件而研究了模拟老化对PUF硬件的影响。通过改变温度和电压两者，作者能够展示PUF内变化的漂移，随时间推移，PUF内变化将导致错误否定。我们通过选择错误校正阈值以使其到PUF内与PUF间错误分布两者的距离最大化来减轻这一不可避免的漂移。

在验证系统中，错误否定往往比错误肯定的破坏性小。Maiti等人指出，错误漂移绝对会影响PUF内错误率分布。因此，PUF内差错率存在朝向50％的最大熵率漂移的趋势。在确定重新注册周期或装置使用寿命时，应考虑这一不可避免的问题。

Claims

1.一种用于与验证系统一起使用的可验证装置，包括：

a)物理不可克隆函数“PUF”装置，包含PUF输入和PUF输出，且经建构以便响应于特定挑战C的输入而产生表征所述PUF装置和所述特定挑战C的输出O；

b)处理器，所述处理器具有连接到PUF输出的处理器输入，所述处理器经配置以：

i)响应于从所述PUF输出接收到输出O而产生取决于所述输出O和私用值r的提交值；以及

ii)响应于同时接收到包含随机数的验证查询和来自所述PUF输出的输出O，执行作为扩展Boyko-Peinado-Venkatesan产生的一部分的操作并返回对应于所述提交值的零知识证明验证值；

其中所述零知识证明验证值进一步对应于包含取决于所述私用值r和随机值的盲值的验证令牌，且其中所述处理器经配置以解密所述随机值。

2.根据权利要求1所述的可验证装置，其中所述PUF装置为受控PUF装置。

3.根据权利要求1所述的可验证装置，其中所述提交值对所述输出O的相依性包括对错误校正帮助程序字符串的相依性。

4.根据权利要求1所述的可验证装置，进一步包括现场可编程门阵列“FPGA”，其中所述PUF装置驻留在所述FPGA中。

5.根据权利要求1到4中任一权利要求所述的可验证装置，其中所述可验证装置意欲与之一起使用的所述验证系统经配置以在所述可验证装置外部产生所述随机值，且其中所述处理器经配置以使用密钥解密所述随机值。

6.根据权利要求1到4中任一权利要求所述的可验证装置，其中所述处理器经配置以在产生所述提交值期间产生并舍弃所述私用值r。

7.根据权利要求1到4中任一权利要求所述的可验证装置，其中所述提交值是所述私用值r的指数函数。

8.根据权利要求1到4中任一权利要求所述的可验证装置，其中所述盲值以指数方式取决于所述私用值r乘以所述随机值。

9.根据权利要求1到4中任一权利要求所述的可验证装置，其中所述随机值为素数阶群中的元素。

10.一种用于与可验证装置一起使用的验证系统，所述可验证装置经建构以便响应于特定挑战C的输入而在内部产生表征所述装置和所述特定挑战C的输出O，且经配置以：i)一旦接收到所述特定挑战C，便产生取决于所述输出O和私用值r的对应提交值，以及ii)一旦接收到包含所述特定挑战C和随机数的验证查询，便执行作为扩展Boyko-Peinado-Venkatesan产生的一部分的操作并返回对应于所述提交值的零知识证明验证值；所述验证系统包括注册服务器，所述注册服务器：

a)具有包含所述特定挑战C以及所述可验证装置的对应提交值的工作校验集合；以及

b)经配置以产生验证令牌，所述验证令牌：

i)包含取决于所述私用值r以及能够通过所述可验证装置解密的随机值的盲值；以及

ii)对应于所述零知识证明验证值。

11.根据权利要求10所述的验证系统，其中所述注册服务器经配置以产生所述随机值且利用与所述可验证装置共享的密钥加密所述随机值。

12.根据权利要求10或11所述的验证系统，其中所述提交值是所述私用值r的指数函数。

13.根据权利要求10或11中任一权利要求所述的验证系统，其中所述盲值以指数方式取决于所述私用值r乘以所述随机值。

14.根据权利要求10所述的验证系统，其中所述注册服务器经配置以产生包含所述特定挑战C和验证令牌的有限校验集合。

15.根据权利要求14所述的验证系统，进一步包括具有所述有限校验集合的验证服务器。

16.根据权利要求14所述的验证系统，进一步包括各自具有不同有限校验集合的多个验证服务器，其中每一有限校验集合包含所述特定挑战C以及特定用于特定验证服务器的对应令牌。

17.根据权利要求14所述的验证系统，其中所述有限校验集合进一步包含错误校正帮助程序字符串，且所述提交值对所述输出O的相依性包括对所述错误校正帮助程序字符串的相依性。

18.根据权利要求10、11或14到17中任一权利要求所述的验证系统，其中所述注册服务器具有包含用于所述可验证装置的多个不同特定挑战值和对应提交值的完整校验集合。

19.根据权利要求10、11或14到17中任一权利要求所述的验证系统，其中所述注册服务器拥有用于多个可验证装置的挑战值和对应提交值。

20.根据权利要求10、11或14到17中任一权利要求所述的验证系统，其中所述可验证装置包含经配置以产生所述输出O的物理不可克隆函数“PUF”。

21.一种用于与验证实体一起使用的可验证装置，包括：

a)物理不可克隆函数“PUF”装置，所述PUF装置具有PUF输入和PUF输出，且经建构以便响应于特定挑战C的输入而产生表征所述PUF和所述特定挑战C的输出O；

b)处理器，所述处理器具有连接到所述PUF输出且能够连接到所述验证实体的处理器输入以及能够连接到所述验证实体的处理器输出，所述处理器经配置以：

i)响应于从所述PUF输出接收到输出O而产生取决于私用值r的提交值；以及

ii)响应于同时接收到包含随机数的验证查询和来自所述PUF输出的输出O而执行作为扩展Boyko-Peinado-Venkatesan产生的一部分的操作且返回对应于所述提交值的零知识证明验证值。

22.根据权利要求21所述的可验证装置，其中所述处理器进一步经配置以从验证服务器接收经预处理的指数且在扩展Boyko-Peinado-Venkatesan产生中使用那些指数。

23.根据权利要求21所述的可验证装置，其中所述处理器进一步经配置以执行包含所述输入和哈希链的处理的操作。

24.根据权利要求21所述的可验证装置，其中所述处理器进一步经配置以响应于接收到来自所述PUF输出的输出O而产生帮助程序字符串连同所述提交值。

25.一种用于与验证实体一起使用的可验证装置，包括：

i)响应于接收到来自所述PUF输出的输出O而产生取决于私用值r的提交值和帮助程序字符串；以及

ii)响应于同时接收到验证查询和来自所述PUF输出的输出O而产生基于所述输出O的全块值，将所述全块值分解成多个子部分，对所述子部分中的每一个执行错误校正码，且返回对应于所述提交值的零知识证明验证值。

26.根据权利要求25所述的可验证装置，其中所述错误校正码为Bose-Chaudhuri-Hocquenghem“BCH”码。

27.根据权利要求21或25所述的可验证装置，其中所述可验证装置是资源受约束的。

28.根据权利要求21或25所述的可验证装置，其中所述可验证装置为移动装置。