CN107615285B

CN107615285B - 包括物理不可克隆功能和阈值加密的认证系统和装置

Info

Publication number: CN107615285B
Application number: CN201680022841.XA
Authority: CN
Inventors: J·R·瓦尔拉本斯泰因
Original assignee: Analog Devices Inc
Current assignee: Analog Devices Inc
Priority date: 2015-03-05
Filing date: 2016-03-07
Publication date: 2020-08-11
Anticipated expiration: 2036-03-07
Also published as: JP2018507658A; EP3265943A1; EP3265943A4; EP3265943B1; CN107615285A

Abstract

包括物理不可克隆功能(PUF)和阈值加密的认证系统和装置，包括：PUF装置，具有PUF输入和PUF输出，并且被构造为响应于挑战的输入而产生是PUF和挑战的特性的输出值；和处理器，具有连接所述PUF输出的处理器输入和具有连接所述PUF输入的处理器输出，所述处理器被布置为：通过处理器输出控制对所述PUF输入的挑战的发布，从PUF输出接收输出并且与期望加密输出的实例结合进行多次以下顺序的步骤。

Description

包括物理不可克隆功能和阈值加密的认证系统和装置

技术领域

本公开一般涉及硬件验证，特别是但不排他地涉及绑定认证以防止通过替换的篡改和颠覆。

相关申请的交叉引用

该国际申请要求2015年5月5日提交的非临时美国专利申请S.N.14/704,914("914申请")、2015年6月22日提交的S.N.14/746.054(这是“914申请的部分继续申请”)、和2015年3月5日提交的美国临时专利申请S.N.62/128.920(“920申请”)、以及2015年4月21日提交的S.N.62/150,586(“586申请”)的优先权。'920和'586申请的内容和2004年5月5日提交的美国临时专利申请S.N.61/988,848(公布在美国申请公开案No.20150317480的起诉记录中)的内容也通过引用并入本文。

背景技术

PUF的独特特性为加密结构提供了几个优点。一般来说，PUF可以提供以下三个主要优点：(1)消除密钥存储，(2)提供篡改检测，(3)建立硬件根本信任。可以通过评估PUP来动态地重新生成具有该PUF的所识别的硬件的唯一值来消除密钥存储。对于篡改检测，PUF的不可克隆性质(例如，线延迟、电阻)可能使得对PUF的修改不可逆地改变PUF在注册后的挑战(输入)到响应(输出)的映射(但是，在注册前不能防止恶意修改，例如Becker etal.,"Stealthy Dopant-Level Hardware Trojans,"Cryptographic Hardware andEmbedded Systems-CHES 2013,volume 8086 of Lecture Notes in Computer Science,pages 197-214,Springer,2013)。这些PUF属性可用于产生硬件唯一的篡改保护值，从而可以建立硬件根本信任。

Ruhrmair et al.("Modeling Attacks on Physical Unclonable Functions,"Proceedings of the 17th ACM conference on Computer and communicationssecurity,CCS'10,pages 237-249,ACM,2010)定义三个不同类别的PUF装置：

弱PUF通常仅用于导出秘密密钥。挑战空间可能受到限制，并且假定响应空间永远不会被揭示。典型的结构包括SRAM(Holcomb et al.,"Initial SRAM State as aFingerprint and Source of True Random Numbers for RFID Tags,"In Proceedingsof the Conference on RFID Security,2007),Butterfly(Kumar et al.,"Extendedabstract:The Butterfly PUF Protecting IP on Every FPGA,"IEEE InternationalWorkshop on Hardware-Oriented Security and Trust,pages 67-70,2008),Arbiter(Lee et al.,"A technique to build a secret key in integrated circuits foridentification and authentication applications,"IEEE Symposium on VLSICircuits:Digest of Technical Papers,pages 176-179,2004),Ring Oscillator(Suhet al.,"Physical Unclonable Functions for Device Authentication and SecretKey Generation,"Proceedings of the 44'h annual Design Automation Conference,DAC'07,pages 9-14,ACM,2007),and Coating(Tuyls et al.,"Read-Proof Hardwarefrom Protective Coatings,"Proceedings of the 8th international conference onCryptographic Hardware and Embedded Systems,CHES'06,pages 369-383,Springer,2006)PUFs.。

假设强PUF是(i)在物理上不可能克隆，(ii)不可能在合理的时间(通常被认为是数周)收集一套完整的挑战响应对，以及(iii)难以预测对随机挑战的回应。例如，由Ruhrmair("Applications of High-Capacity Crossbar Memories in Cryptography,"IEEE Trans.Nanotechnol,volume 10,no.3:489-498,2011)描述的超高信息内容(SHIC)PUF可被认为是强PUF。

控制PUF满足强PUF的所有标准，并且还实现了一个辅助控制单元，能够计算更高级的功能来加密盟盟增强协议。

PUF输出嘈杂，尽管评估相同的输入它略有变化。这通常用模糊提取来解决，模糊提取是一种开发用于消除生物测量中的噪声的方法(参见Juels et ah,"A FuzzyCommitment Scheme,"Proceedings of the 6th ACM conference on Computer andCommunications Security,CCS'99,pages 28-36,ACM,1999)。模糊提取可以部分地在具有PUF的设备内使用，例如在辅助控制单元内，使得输出对于固定输入是恒定的。模糊提取(或反向模糊提取)可以例如使用由Juels等人描述的“安全草图”以存储敏感值

从被重建和助手程序字符串助手程序i进行恢复

输入字符串O的安全草图SS，其中ECC是能够校正t误差和

的长度n的二元(n，k，2t+1)误差校正代码，{0，1}^k是κ-位值，例如可定义为

然后考虑助手程序字符串助手程序i初始值V可再现，O的最大Hamming距离i内输入O'，使用解码方案D用于误差校正代码ECC和O'，表现为：

物理不可克隆功能

与装置d结合优选具有以下性质：

1.不可克隆:

P(x)，z P′]≤∈1，使用克隆PUFP'复制PUF P的概率使得其输出分布在t统计学上接近，小于一些足够小的∈₁。

2.不可预测性；希望对手无法预测具有可忽略的概率(至少没有物理访问设备)的挑战c的设备的PUF响应r，并且助手程序数据不向对手显示关于PUF响应的任何内容。假设所有实体都被绑定到概率多项式时间(PPT)，即只能有效地进行相对于全局安全性参数λ多项式运算的运算(这是指相关参数中的位数)，

表示对手猜测PUF P对挑战c的正确响应r的概率在κ2中优选是可忽略的。这可以通过例如对手A和PUF装置P之间的游戏进行评估：

将长度为κ₁的挑战空间C_P的输入字符串映射到长度为κ₂的响应空间R_P，其中λ是协议的安全参数，一元给定为1^λ。

PUF-PRED:PUF预测游戏

游戏进行如下:

1.对手

的问题很多(安全参数λ)对PUF装置

提出挑战，其中挑战集

是整个挑战空间C_P的适当子集。

2.PUF装置P返回响应{r_i|r_i←P(c_i)}至A。

3.对手

最终输出一个不在原始的挑战查询集中的挑战

对手不得在承诺的挑战c上查询PUF装置P。

4.对手

可能再次发布一套新的

对PUF装置P的许多挑战。对手不允许在承诺的挑战c上查询PUF装置P。

5.PUF装置P返回响应{r′_i|r′_i←P(c′_i)}至A。

6.对手

最终输出guess r’P对于承诺的挑战的回应c。

对手只有赢得比赛，当猜测等于guess r’P的实际响应r←P(c)到A的承诺挑战c，(如上所述，PUF的输出是嘈杂的，将在任何固定的输入略有不同，所以平等是通常取决于模糊提取器的输出(例如Dodis et al.."Fuzzy Extractors:How to Generate Strong Keysfrom Biometrics and Other Noisy Data,"SIAM J.Compu,volume 38,no.1:97-139,2008)。

3.稳健性:

z←P(x)]≤∈₂,即，固定的PUF P产生响应的概率-在相同输入x上的距离小于一些足够小的∈₂。

4.不可分辨:PUF装置(通常是模糊提取器输出)的输出优选地在计算上与相同长度

的随机串不能区分，使得PPT对手A的优点

最多可忽略不计超过1/2。PUF的不可区分性例如通过一个游戏来评估对手A被要求区分PUF P的模糊提取器的输出r和相同长度

的随机选择的字符串

PUF-IND:PUF不可分辨的游戏

该游戏进行如下:

1.对手

在任何挑战c_i∈C_P上执行注册对象。

2.PUF装置返回用PUF P(c)的输出使误差校正敏感值ECC(R_i)蒙蔽的对应助手程序串PUF P(c)。表示这套挑战-助手程序对(c_i，H_i)作为

3.对手

现在要求任何一个

的PUF响应r_i＝P(c_i)。在此步骤中表示所要求的挑战

4.对于所有请求

PUF装置返回集合{r_i|r_i←P(c_i)}。

5.对手

选择挑战

使得

对于c而言具有H_i而不是R_i。PUF设备随机均匀地选择一个位b^b∈{0，1}。

6.如果b＝0，

则给定

否则，如果b＝1，则

给出随机串

7.只要c′_i＝c，对方

就可以查询PUF装置c′_i∈CH。

8.对于所有请求c′_i≠c，PUF装置返回集合{r′_i|r′_i←P(c′_i)}。

9.对手输出一个猜测位b'，当b’＝b时成功。

提供了相关的PUF评估：Hori et al.,"Quantitative and StatisticalPerformance Evaluation of Arbiter Physical Unclonable Functions on FPGAs,"2010 International Conference on Reconfigurable Computing and FPGAs(ReCon-Fig),pages 298-303,2010；Maiti,A Systematic Approach to Design an EfficientPhysical Unclonable Function,dissertation,Virginia Tech,2012,和其他。

物理不可克隆功能的文献评估PUF硬件设计的性质(例如Gassend et al.,"Silicon Physical Random Functions,"Proceedings of the 9th ACM conference onComputer and communications security,CCS'02,pages 148-160,ACM,2002；Katzenbeisser et al.,"PUFs:Myth,Fact or Busted？A Security Evaluation ofPhysically Unclonable Functions(PUFs)Cast in Silicon,"Cryptographic Hardwareand Embedded Systems-CHES'12,pages 283-301,Springer,2012；Ravikanth,Physicalone-way functions,Ph.D.thesis,2001；Ruhrmair et al.,"Applications of High-Capacity Crossbar Memories in Cryptography,"IEEE Trans.Nanotechnol,volume 10,no.3:489-498,2011；Suh et al.,"Physical Unclonable Functions for DeviceAuthentication and Secret Key Generation,"Proceedings of the 44th annualDesign Automation Conference,DAC'07,pages 9-14,ACM,2007；Yu et al.,"Recombination of Physical Unclonable Functions,"GOMACTech,2010)供PUF属性的正式理论模型，并设计这些定义的协议(cf.Armknecht et al.,"AFormalization of theSecurity Features of Physical Functions,"Proceedings of the 2011 IEEESymposium on SecurUy and Privacy,SP'11,pages 397-412,IEEE ComputerSociety.2011；Brzuska et al,"Physically Un-cloneabie Functions in theUniversal Composition Framework,"Advances in Cryptol-ogy-CRYPTO 2011-31stAnnual Cryptology Conference,volume 6841of Lecture Notes in Computer Science,page 51,Springer,2011；Frikken et al.,"Robust Authentication using PhysicallyUnclonable Functions,"Information Security,volume 5735 of Lecture Notes inComputer Science,pages 262-277,Springer,2009；Handschuh et al.,"HardwareIntrinsic Security from Physically Unclonable Functions,"Towards Hardware-Intrinsic Security,Information Security and Cryptography,pages 39-53,Springer,2010；Kirkpatrick et al.,"PUF ROKs:A Hardware Approach to Read-OnceKeys,"Proceedings of the 6th ACM Symposium on Information,Computer andCommunications Security,ASIACCS 1,pages 155-164,ACM,2011；Paral et al.,"Reliable and Efficient PUF-based Key Generation using Pattern Matching,"IEEEInternational Symposium on Hardware-Oriented Security and Trust(HOST),pages128-133,2011；Ruhrmair et al.,"PUFs in Security Protocols:Attack Models andSecurity Evaluations,"2013IEEE Symposium on Security and Privacy,volume 0:286-300,2013；van Dijk et al.,"Physical Unclonable Functions in CryptographicProtocols:Security Proofs and Impossibility Results,"Cryptology ePrintArchive,Report 2012/228,2012；Wu et al.,"On Foundation and Construction ofPhysical Unclon-able Functions,"2010；Yu et al.,"Lightweight and Secure PUFKey Storage using Limits of Machine Learning."Proceedings of the 13thinternational conference on Cryptographic Hardware and Embedded Systems,CHES'll,pages 358-373,Springer,2011),

现有技术的基于PUF的协议分为两大类：(1)如下面在协议1中描述的简单的询问-响应提供过程，或(2)设备的PUF响应的加密增加，使得原始PUF输出从不离开装置。这些方法可能要求外部实体处理在现有公钥密码学标准中不受支持或多余的辅助信息(例如，挑战它们相关的助手程序数据)，和/或涉及硬件设备认证到在初始注册过程中应用的挑战，和/或以硬件设备为前提，总是对给定的挑战基本上恢复相同的响应。

当给定的质询-响应对反映了收集对时设备的硬件状态，器件会老化，并且硬件状态会随时间而漂移。随着PUF硬件老化，响应中出现的错误数量可能会增加。Maiti et al.("The Impact of Aging on an FPGA-Based Physical Unclonable Function,"International Conference on Field Programmable Logic and Applications(FPL),pages 151-156,2011)通过有目的地强调设备超出正常工作条件，研究模拟老化对PUF硬件的影响。通过改变温度和电压，作者能够显示内部PUF变化的漂移，随着时间的推移，会导致假阴性。Maiti等注意到误差漂移严重影响内部PUF误差率分布趋向最大熵率50％。经过足够的时间后，硬件设备可能无法再恢复正确的响应。

例如，假设在注册期间向设备发出特定挑战ci，设备返回将设备的硬件标识与挑战c相链接的公共令牌{commitment_i，helper_i}。要进行身份验证，设备使用配对{c_i，helper_i}恢复其私有身份标签

如图10所示，随着时间的推移，PUF硬件可能达到一个时间(例如，在图10的示例中的时间τ＝5，为了简单起见，假定随着时间线性地发生漂移)，硬件老化增加了错误超出设备的误差校正极限，并且该设备不再能够可靠地再生其密钥。

Kirkpatrick et al.("Software Techniques to Combat Drift in PUF-basedAuthentication Systems,"Workshop on Secure Component and SystemIdentification,2010)描述检测硬件老化漂移的方法，并通过更新存储在外部服务器上的设备的挑战-承诺对进行响应。然而，这种方法要求服务器以挑战-承诺对的形式维护辅助信息，并且在服务器和设备之间执行周期性协议。

基于PUF的系统面临的另一个挑战是侧向通道攻击，其试图观察和分析辅助环境变量来推导出关于敏感PUF输出的信息。例如，电磁(EM)分析(例如Merli et al,"Semi-invasive EM Attack on FPGA RO PUFs and Countermeasures,"Proceedings of theWorkshop on Embedded Systems Security,WESS'11,pages 2:1-2:9,ACM,2011；Merli etal.,"Side-Channel Analysis of PUFs and Fuzzy Extractors,"Trust andTrustworthy Computing,volume 6740 of Lecture Notes in Computer Science,pages33-47,Springer,2011；Schuster,Side-Channel Analysis of Physical Un-clonableFunctions(PUFs),Master's thesis,Techmsehe Universitat Munchen,2010)通过在设备操作期间观察改变的EM场，提取PUF输出位。另一种侧向通道攻击方法是(简单或差分)功率分析(例如Karakoyunlu et al.,"Differential template attacks on PUF启用cryptographic devices,"IEEE International Workshop on Information Forensicsand Security(WIFS),pages 1-6,2010；Kocher et al.,"Introduction to DifferentialPower Analysis,"Cryptography Research,Inc.,2011；Kocher et al.,"DifferentialPower Analysis,"Proceedings of the 19th Annual International CryptologyConference on Advances in Crypto logy,CRYPTO'99,pages 388-397,Springer,1999；Riihrmair et al.,"Power and Timing Side Channels for PUFs and their EfficientExploitation,"2013)，其中从设备收集功率迹线并进行分析以提取敏感信息(例如，PUF输出位)。通过对设备恢复基本上与固定挑战相同的响应的设备的许多观察，对手可以发现敏感的PUF输出。

虽然已知通过引入随机性可以在某些系统中减少侧向信道攻击的有效性(Coron,"Resistance Against Differential Power Analysis For Elliptic CurveCryptos stems,"Cryptographic Hardware and Embedded Systems,volume 1717 ofLecture Notes in Computer Science,pages 292-302,Springer,1999)以这种方式掩饰敏感值可能会留下一些漏洞，因为基础值保持静态和/或引入额外的复杂性和/或处理开销。

发明内容

在根据本发明的认证系统中，PUF的挑战反应行为可以被内部化并且用于维护密钥的共享。可以实现这种方法，使得支持PUF的硬件设备可以执行任意阈值加密操作(例如，解密、数字签名生成、零知识证明)，而不会生成，重建或存储密钥。还可以实现它，以便消除对任何外部实体发出挑战并存储设备的辅助程序数据的需要，和/或使得允许外部实体不能与标准公钥协议区分的基于PUF的协议。在一个实施方案中，设备可以配备诸如PUF的信任根，并且被配置为周期性地刷新必须由设备生成，恢复或处理的所有敏感值。这可以用于减轻PUF老化和/或侧信道攻击。阈值共享操作可能会交错，使得一个共享始终保持存储。

附图说明

图1是具有单个PUF电路和两个阈值共享的设备的功能图；

图2是具有双PUF电路的装置的功能图；

图3是示出仅给出一个点的内插程度d＝3的示例多项式P(x)的尝试的曲线图，其中至少需要d+1点失败；

图4示出了给出两点的内插同一多项式P(x)的失败尝试；

图5示出了给出三个点的内插相同多项式P(x)的失败尝试；

图6示出了给出四个点的P(x)的成功插值；

图7是本发明的实施例中的与图2相同的装置的登记的操作流程图；

图8是本发明的实施例中的与图2类似的装置中的阈值加密操作的操作流程图；

图9是交错阈值操作的操作流程图；

图10是示出了针对固定挑战的PUF输出中随时间的错误的图；

图11是示出在PUF输出中随时间变化的错误图，其中

的更新的挑战-助手程序对；

图12是示出PUF输出中随时间的错误的图，其中对刷新建立有界的PUF错误率；

图13是表示批量PUF处理中心的图；和

图14是描绘来自复合元件的联合身份的图。

具体实施方式

参考使用椭圆曲线密码(包括相关联的术语和约定)的实施例的示例来描述本发明，但本发明的概念和教导同样适用于各种其他加密方案，例如使用不同问题的离散对数或离散对数考虑因素(在这方面，美国专利号8,918,647的教导通过引用并入本文)，并且本发明不受本文所述的各种附加特征的限制，这些附加特征可以与本发明一起使用或利用本发明。

阈值加密

阈值加密涉及在一组参与者之间分配加密操作，使得只有在与会者的法定人数的协作下才能进行操作。值得信赖的经销商D为参与者

生成主不对称密钥对

然后，密码在n个参与者之间分配，每个参与者接收到

的共享。这构成了

的(t，n)共享，使得至少t个参与者的法定人数必须组合其私有共享以便使用主密钥执行操作。.

虽然本发明可以使用其他秘密方案(例如Blakley,"Safeguardingcryptographic keys,"Proceedings of the 1979 AFIPS National ComputerConference,pages 313-317,AFIPS Press,1979)，将使用Shamir的多项式内插构造来描述一个例子("How to Share a Secret,"Cornmun.ACM.,volume 22,no.11:612-613,1979)可用于共享秘密。定义度t-1的多项式f(·)，其中系数C_i，保持私有：f(x)＝c₀+c₁x+…+c_t-1x^t-1mod q。在不知道系数的情况下，可以通过应用拉格朗日多项式内插方法，至少得到f(·)的t个点，f(·)。密钥

可以被设置为自由系数c₀(即，

)，并且分配给参与者的密钥的一组共享(例如Ertaul,"ECC Based Threshold Cryptography for Se-cure DataForwarding and Secure Key Exchange in MANET(I),"NETWORKING 2005,NetworkingTechnologies,Services,and Protocols；Performance of Computer and CommunicationNetworks；Mobile and Wireless Communications Systems,volume 3462of LectureNotes in Computer Science,pages 102-113,Springer,2005)。为了在n个参与者

中分割密钥

经销商将p_i’s<public，private>密钥对计算为<r_i·G modq，r_i>，使得r_i＝f(i)，i≠0。这里，

是椭圆曲线E的阶数q的基点，(P)_x(resp.(P)_y)是指曲线E上的点P的x(resp.y)坐标(在从上下文显而易见的情况下，可以省略操作的模数。公钥可供所有参与者使用，而密钥则可以安全地分发给每个参与者(例如，使用设备的公钥和ElGamal加密)。所有参与者还可以访问(c_j·G)_0≤j≤t-1，这允许它们通过检查其密钥和其他参与者的公钥来验证其密钥:

这组成(t.n)可验证的秘密共享(VSS)(例如Feldman,"A Practical Scheme forNon-interactive Verifiable Secret Sharing,"Proceedings of the 28th AnnualSymposium on Foundations of Computer Science,SFCS'87,pages 427-438,IEEEComputer Society,1987；Pedersen,"Non-Interactive and Information-TheoreticSecure Verifiable Secret Sharing."Advances in Cryptology,CRYPTO 91,volume 576of Lecture Notes in Computer Science,pages 129-140,Springer,1992)密码

因为参与者能够验证其在全球知名公钥上的共享的合法性。

现在，可以访问任何t共享{(i,r_i)}_1≤i≤t,其中f(·)具有度t—1和t≤n,共享(i,r_i)可以通过拉格朗日多项式内插进行评估f(x):

这允许t个参与者的任意定理

来组合它们的共享{i，r_i)}_1≤i≤t并且恢复多项式的自由系数c₀＝f(0)，这是主人不对称密钥

虽然拉格朗日形式用于内插多项式，但是可以替代其他方法(例如，使用单项式或牛顿形式)。类似地，虽然示例性构造评估f(·)而不是恢复系数，或者可以使用Vandermonde矩阵表示并求解线性方程组来实现后者。

图3-图6描述

Lagrange多项式内插。内插多项式

由一组k个点{(x_i，P(x_i))}_1≤i≤k生成。图3示出了从单个点产生的内插多项式

图4示出了由两点产生的内插多项式

图5说明内插多项式

这是从三点产生的。图6示出了内插多项式

这是从四点产生的。由于多项式的程度只有三个，任何四个点都会导致原始多项式的完美内插。当集合k的大小超过多项式的程度时t—1(i.e.,k≥t),

优选内插原始多项式P(·)。因此，在这个例子中，内插多项式是从超过多项式的(3)的四个点产生的。注意，给定任何一组k<t点，不存在关于秘密P(0)的信息，因为存在满足k<t点集合的无限数量的度t-1的多项式。

虽然示例性实施例可以使用椭圆曲线糖图，但是很明显，各种其他加密框架(例如ElGamal,RSA,NTRU,etc.)可以被雇用。使用阈值加密，解密和签名，阈值零知识证明，阈值签密和分布式密钥生成等多种方法，可以在此框架内进行多个阈值加密操作。同样可以使用其他椭圆曲线机制如Massey-Omura、Diffie-Hellman、Menezes-Vanstone、Koyama-Maurer-Okamoto-Vanstone、Ertaul、Demytko等。

拥有设备注册信息的实体

因此可以使用诸如ElGamal加密的方法加密消息m，使得仅目标设备能够恢复它:

那么，如果一个组的所有参与者

其中

|P|＝n和t≤n,望解密加密(yG,m+(yrG)_x)消息m∈[1,p-1]使用组密匙r,阈值ElGamal解密(例如，每个Ertaui)可以如下使用：

各参与者

局域计算该值r_i＝f(i)计算阴影:

各参与者然后广播它们的部分解密S_i定义为S_i＝

W_i·yG mod q.

各参与者局域计算该值:

最后，各参与者现在可以通过计算在本地恢复消息(m+(yrG)_y)-S mod q＝(m+(yrG)_y)-(ryG)_y＝m。

同样，组

其中

|P|＝n和t≤n可以使用阈值签名方案(例如Chen etal.,"An efficient threshold group signature scheme,"IEEE Region 10 ConferenceTENCON,volume B,pages 13--16Vol.2,2004；Hua-qun et al.,"Verifiable(t,n)Threshold Signature Scheme based on Elliptic Curve,"Wuhan University Journalof Natural Sciences,volume 10,no.1:165-168,2005；Ibrahim et al.,"A RobustThreshold Elliptic Curve Digital Signature providing a,New Verifiable SecretSharing Scheme,"IEEE I6ih Midwest Symposium on Circuits and Systems,volume 1,pages 276-280Vol.1,2003；Kim et al.,"Threshold Signature Schemes for ElGamalVariants,"Computer Standards and Interfaces,volume 33,no.4:432-437,2011；Shao,"Repairing Efficient Threshold Group Signature Scheme,"InternationalJournal of Network Security,2008)

如下生成代表消息rn的P的代码的签名:

各参与者

使用它们的秘密密钥r_i＝f(i)和随机整数yi∈F_q计算其个人签名(R_i,S_i)用于信息m。

首先，R_i从yi·G mod p计算并向所有与会者公开

然后，各参与者p_i计算R,e,和S_i如下:

e＝h(m，(R)_y mod q)

h(·)或表示加密散列函数。各参与者向指定的秘书广播3/4(为了方便，不需要信任)。

秘书收到了所有(R_i，S_i)对，通过计算验证签名：

e＝h(m，(R)_y mod q)

如果构建正确，该等式将保持为：

如果这些保持，秘书计算:

它计算组签名((R)_y mod q，S)针对m。

在接收到(R，S)时，接收机p_R检查其对于整个参与者组

的公钥

的有效性:

因为有效的签名:

一组

的参与者，其中

和t≤n也可以协作来演示拥有一个共享密钥

使用知识的阈值零知识证明(例如Sardar et ai.,"ZeroKnowledge Proof in Secret Sharing Scheme Using Elliptic Curve Cryptography,"Global Trends in Computing and Communication Systems,volume 269 ofCommunications in Computer and Information Science,pages 220-226,Springer,2012):

组公钥是

其中r是共享密钥，G是组生成器。验证者V选择一个短暂的随机数N，并将其分配给所有参与者

各参与者

使用它们的秘密共享r_i＝f(i)和随机数整数y_i来计算共享秘密r的个人证明(B_i，M_i)。

首先，B_i被计算并公布给所有参与者

B_i＝y_i·G mod p

-各参与者局域计算:

然后，各参与者p_i计算；e，M_i:

接收到(B_i，M_i)_l≤i≤t时，验证者V计算:

接下来，验证者根据公钥

检查证明的有效性。

如果

验证者V接受阈值零知识证明为有效，否则拒绝证明。

签密过程(例如Changgen et al.,"Threshold Signeryption Scheme based onElliptic Curve Cryptosystem and Verifiable Secret Sharing,"InternationalConference on Wireless Communications,Networking and Mobile Computing,volume2,pages 1182-1185,2005；Zheng,"Digital Signeryption or How to Achieve Cost(Signature&Encryption)《Cost(Signature)+Cost(Encryption),"Advances inCryptology,CRYPTO'97,volume 1294of Lecture Notes in Computer Science,pages165-179,Springer,1997；Zheng et al.,"How to Construct Efficient SigneryptionSchemes on Elliptic Curves,"Inf.Process,Lett.,volume 68,no.5:227-233,1998)消息有助于以低于单独计算的成本执行签名和加密消息。给定消息m∈[1，q-1]和具有公共密钥

的接收机p_R，可以如下生成签名:

每个

选择一个随机的k_i∈[1，q-1]并计算Y_i＝k_i·G，并公开向秘书广播(为方便起见，谁不需要信任)和接收者p_R。每个

还计算

这是私有的(例如，使用ElGamal加密)发送到p_R。

秘书计算:

r＝m·(Z)_x mod p

并且广播r(不要与r_i混淆，参与者p_i’s的

的共享)给每个签名者p₁≤i≤t。

每个签名者p₁≤i≤t计算:

e_i＝r_i·x_i mod q

s_i＝k_i-e_i·r mod q

其中r_i＝f(i)是

的p_i的共享，每位签名人将秘密部分s_i的密码发送给秘书。

在接收到部分签密s_i时，秘书计算

以通过检查来验证部分加密的有效性

一旦收到所有的部分s_i签名，并检查其有效性，秘书将它们结合起来计算：

并且(r，s)^j是最终签名发送给发射机p_R。

接收参与者p_R，现已收到<{Y_i＝k_i·G}_i∈[1...n]，(r，s)>计算

收件人p_R然后证实:

如果这些保持，m上的组签名是有效的。

接收者p_R现在可以通过计算来恢复消息m:

有了这个，收件人p_R既已经验证了群组的消息m的签名，就像解密一样。

分布式密钥生成

标准阈值加密操作(例如上述讨论)传统上要求存在可信任的经销商

以定义生成多项式f(·)，选择秘密r并将r的共享分配给所有参与者p_i∈p。分布式密钥生成协议(例如Ibrahim；Pedersen,"A Threshold Cryp-tosystem without a Trusted Party,"Advances in Cryptology,EUROCRYPT 91.volume 547of Lecture Notes in ComputerScience,pages 522-526.Springer,1991；Tang,"ECDKG:A Distributed Key GenerationProtocol Based on Elliptic Curve Discrete Logarithm,"Technical Report 04-838,Department of Computer Science,University of Southern California,2004)消除信任经销商的必要性，并允许一组参与者

生成没有人知道共享密钥r的秘密共享。这可以在现在的情况下完成如下：

各参与者

定义了随机多项式；f_i(·)度t-1，其中t是阈值。参与者的临时私人价值p_i是

的自由系数f_i(·)。

各参与者

私人地向参与者

发送f_i(j)。

参与者p_i广播

对系数f_i(·)的承诺。

参与者p_i广播{f_i(j)·G mod p}_{j∈[0，...，n]}，所有参与者的公开共享。

各参与者

，必须现在验证它们收到的共享。

-首先各参与者p_j≠i验证:

同样，各参与者

验证其共享与其他共享一致：:

如果这两个验证成功，各参与者

计算主人的不对称密钥r；

类似地，该组的主不对称公钥计算为：

分布式密钥生成协议对于企图偏离输出分布的对手最好是安全的，如所描述的攻击：Gennaro et al.("Secure Distributed Key Generation for Discrete-Log BasedCryp-tosystems,"Advances in Cryptology,EUROCRYPT 99,volume 1592 oi LectureNotes in Computer Science,pages 295-310,Springer.1999).(Gennaro et al.("Secure Applications of Pedersen's Distributed Key Generation Protocol,"Topicsin Cryptology.CT-RSA 2003,volume 2612 of Lecture Notes in Computer Science,pages 373-390,Springer,2003)后来得出结论，即使对手有能力偏离输出分布，许多门槛操作也可以安全地执行)。类似地，阈值结构优选地针对静态和适应性恶意对手都是安全的(Abe et al.,"Adaptively Secure Feldman VSS and Applications to Universaily-Composable Threshold Cryptography,"Advances in Cryptology,CRYPTO 2004,volume3152 of Lecture Notes in Computer Science,pages 317-334,Springer,2004；Jareckiet al.,"Adaptively Secure Threshold Cryptography:Introducing Concurrency,Removing Erasures,"Advances in Cryptology,EUROCRYPT 2000,volume 1807ofLecture Notes in Computer Science,pages 221-242,Springer,2000；Libert et al.,"Adaptively Secure Forward-Secure Non-interactive Threshold Cryptosystems,"Information Security and Cryptology,volume 7537of Lecture Notes in ComputerScience,pages 1-21,Springer,2012)。

PUF-启用阈值加密

PUF的核心功能是提取挑战(输入)域和响应(输出)范围之间的唯一映射。由于从挑战到响应的映射对于每个PUF启动设备都是独一无二的，因此通过配置过程收集一组挑战-响应对(CRP)可以在将来验证设备。协议1说明了基于许多PUF启动协议的简单配置过程。

协议1：挑战响应配置

验证通过发出服务器已知响应的质询，并验证该响应是否接近预期响应。然而，这种轻便的天真协议有很多限制。在注册期间，必须收集大量的质询-响应对，因为每对只能使用一次认证。如果对手观察到这个反应，就可以伪装成设备。类似地，挑战响应数据库是敏感的，因为对手可以应用机器学习来完全表征PUF映射[Ruhnnair I]。通过在PUF功能周围应用加密结构可以完全消除这些问题。

在使用椭圆曲线密码的实施例的示例中，下面的算法1和2可以用于允许PUF启动设备本地存储和检索敏感值而不将任何敏感信息存储在非易失性存储器中。算法1示出了使用PUF存储敏感值v_i，并且算法2示出了v_i的动态再生。挑战C_i和助手程序数据助手程序i可以是公开的，因为两者都没有揭示关于敏感值v_i的任何东西。虽然本示例使用v_i的加密，或者

v_i也可以用作其他加密算法(例如AES)的密钥，以使得能够存储和检索任意大小的值。

每当O和O′关闭时，误差校正代码EGG可以被传递到解码算法D，其将恢复敏感值v_i。

使用算法3，本地设备可以使用PUF执行注册协议。这允许每个PUF电路产生本地公共密钥

其对于引导更复杂的密钥建立算法(例如，算法4中的分布式密钥生成协议)是有用的。当密钥建立算法在设备内部执行(而不是在一组不同的设备之间执行时)，则此引导过程可能不是必需的。

根据本发明，基于PUF的加密原语适用于秘密共享，以允许基于PUF或其他信任根的阈值加密。使用使用椭圆曲线密码的实施例的示例，分布式密钥生成用于生成主密钥

的数量的共享(例如，两个r₁，r₂)，它本身永远不会生成或构造。(也可以直接使用消息(例如，如Ertaul所述)而不是密钥)。协议总结在算法4：PUF-DKG中，其中示例性实现将选择(t，n)为(2,2)。

使用算法1和2存储和检索敏感值，以及用于执行初始分布式密钥生成协议的算法4，现在可以执行任意PUF启动阈值加密操作(例如，解密，数字签名，零知识证明)。算法-5描述了如何评估需要输入参与者的共享r的任意阈值加密操作O。请注意，已恢复的共享已经乘以拉格朗日条款

这使得能够由PUF启动参与者执行任何阈值加密操作(例如解密，数字签名生成，零知识证明)，而不会生成，重建或存储它们的密钥。此外，从外部的角度(例如，服务器)，PUF启动设备简单地实现标准公钥加密协议。也就是说，服务器永远不会出现挑战或存储助手程序数据，并且与设备的交互与任何标准公钥密码设备都是不可区分的。

通过内部化PUF的挑战响应功能，并且利用算法1和2来本地存储和恢复值(例如，加密密钥)，可以执行任意(例如，对称或非对称)加密操作，而不需要发布或存储辅助(例如，挑战或助手程序数据)信息。虽然本文描述的一个实施例有利地通过分布式密钥生成和阈值加密来加强构造，但是根据本发明，也不需要通过使用设备的PUF功能的局部存储和检索来支持任意加密操作。

尽管阈值加密通常考虑在物理上不同的节点之间分配操作，但是在本发明的一个实施例中，阈值加密可以应用于单个设备内。作为示例，设备可以配备有例如两个PUF电路(例如，环形振荡器，仲裁器，SRAM)并且具有同时执行至少两个指令(例如，通过多个CPU核心)的能力。这种设备的一个实施例可以包括配备有例如215,000个逻辑单元，13兆字节的块随机存取存储器和700个数字信号处理(DSP)片)的Xilinx Artix 7现场可编程门阵列(FPGA)平台。在采用椭圆曲线密码的实施例中，硬件数学引擎可以在板载DSP片段中被实例化，其中PUF结构位于逻辑单元内，以及包括输入和输出到PUF的逻辑处理核心，以及构造成控制那些和设备的外部输入和输出，并且执行诸如上述的算法(向数学引擎发送椭圆曲线和其他数学计算)。FPGA可以在FPGA结构的单独区域中实现一个或多个PUF电路。可以通过实例化多个软件CPU(例如，MicroBlaze处理器)来实现同时执行。仅具有一个PUF电路的本发明的实施例将简单地在每个共享上顺序执行操作，而不是并行地查询多个PUF电路。图2示出了配备有两个PUF电路以实现本地阈值加密操作的设备；该设备可以是例如具有包含每个PUF的单独核心的FPGA。然后可以通过构建局部(2,2)阈值系统来消除单个PUF的潜在可抽取的输出，其中每个部分3/4充当不同的参与者。例如，每个部分可以选择随机挑战，运行注册算法(算法3)以生成不对称密钥对

并在本地存储其公共注册信息，然后一起运行分布式密钥生成协议(算法4)，并通过一个从未实际构建的密钥执行所有加密操作。当在单个设备中应用阈值加密时，可能无需运行注册算法(算法3)来生成不对称密钥对，因为所有计算都在设备内部执行。

算法6描述了双PUF装置如何通过使用分布式密钥生成来构造设备内的(2,2)阈值共享来以阈值方式计算加密操作。也就是说，这两个部分建立了一个已知的密钥，既不通过分布式密钥生成，也可以公开相应的公钥

目前针对设备的所有操作现在都通过内部协作以阈值方式执行(每部分检索其共享r_i；并且执行本地阈值操作，并且结果被组合以完成阈值操作

)，而设备的输入/输出行为保持不变到外部系统。

因此，不是被限制在发出到设备的响应与其响应之间的映射(在一定程度上可能是挑战的函数)，多-PUF装置d_i可以具有单个静态外部身份

每个PUF核心的挑战响应功能用于维护从未生成或构造的设备私有身份

的每个共享。这会使远程敌方的侧面信道攻击更加困难，远程对手现在必须遵守并解决在设备中同时生成的多个值。各部分检索其共享

并执行本地门槛操作，并将共享合并以完成操作

参考图7和图8，描述了使用椭圆曲线密码的示例实施例的核心操作，将密钥分成两个共享，以及(2,2)阈值操作。

注册命令1：在初始注册过程中，服务器和设备同意在有限域

和g阶基点G上定义的椭圆曲线E，其中p是λ位长。服务器向设备发出注册命令。

分布式密钥生成2：该设备在本地执行分布式密钥生成，创建主密钥(从不生成或构造)的共享(r₀，r₁)及其公钥A＝(r₀+r₁)·G。而不是直接添加共享(将构建密匙r＝r₀+r₁)。公钥通过计算(r₀·G)+(r₁·G)形成。

助手程序数据生成3：设备生成随机挑战c＝c₀||c₁，其中||表示级联，并且每个C_i块是λ位长。该设备通过模糊提取将每个共享r_i链接到PUF的输出O_i，输出公共助手程序h_i。因为PUF输出O_i是嘈杂的，所以不能保证在询问问题时C_i在将来，新的输出O′_i将满足O′_i＝O_i。然而，假设O_i和O′_i将相对于一些距离度量(例如，Hamming距离)是闭合的。因此，误差校正代码可以应用于PUF输出，使得最多t个错误仍然恢复(O_i可以在每个共享r_i上应用误差校正，并且该值与PUF O_i的输出蒙蔽；挑战C_i，使每个助手程序值

不显示关于共享r_i的信息。在通过模糊提取恢复过程中，只要O_i和O′_it-关闭，计算独家或

将返回。设备本地存储挑战c＝c₀||c₁和助手程序数据h＝h₀||h₁这将允许它以后恢复共享。请注意，挑战和助手程序数据都是公开的，并且在不调用PUF的情况下，不会显示共享或设备的密钥。该过程由算法1描述。

返回公钥4：设备将其公共注册信息{A＝(r₀+r₁)·G}返回给服务器。

商店注册5：服务器存储设备的公共注册信息以及设备唯一的(非敏感)标识符(例如序列号)。

阈值操作查询6：当服务器希望设备执行加密操作(例如解密、数字签名生成、零知识证明认证)时，会发生以下问题：

-要执行的操作的适当命令

-操作所需的任何辅助数据Aux(例如，要解密的密文，要签名的消息)

PUF检索7：设备从其本地存储器读取挑战c＝c₀||c₁和助手程序数据h＝h₀||h₁。然后，设备在每个挑战块C_i上查询PUF，并将输出O′_i与助手程序块h_i和误差校正代码组合以恢复每个共享块r_i。该过程由算法2描述。

阈值操作8：设备在每个共享r_i上执行阈值操作

算法5描述了任何任意阈值操作

的这个过程。

组合阈值操作9：设备组合阈值操作以形成完整的操作

并将结果返回给服务器。

处理操作10：服务器最终执行操作所需的任何其他处理(例如，验证零知识证明)。

共享刷新

各种共享刷新协议(例如,Prankel et al.,"Optimal-Resilience ProactivePublic-Key Cryptosystems,"38th Annual Symposium on Foundations of ComputerScience,pages 384-393,1997；Herzberg et al.,"Proactive Public Key andSignature Systems."Proceedings of the 4th ACM Conference on Computer andCommunications Security,CCS'97,pages 100-110,ACM,1997；Herzberg et al.,"Proactive Secret Sharing Or:How to Cope With Perpetual Leakage,"Advances inCryptol-ogy,CRYPTO 95,volume 963of Lecture Notes in Computer Science,pages339-352,Springer,1995)允许一组玩家

中的每一个将时间段

上的原始秘密r的共享刷新为新的共享

使得得到的新共享集合

仍然是原始秘密的共享。该协议不需要重建主密钥r，因此移动对手将必须在固定时间段

内妥协t玩家，以便恢复共享密钥。假设度数(t-1)的多项式f(·)表示n个参与者中的共享秘密r＝f(0)，每个参与者具有共享r_i＝f(i)，并且表示将玩家p_j加密为ENC_j(·)并且通过p_j解密为DEC_j(·)，玩家组合

可以使用如下协议刷新它们的r共享：

每个玩家p_i定义一个度数(t-1)的新多项式，使得δ_i(0)＝0：

其中从

随机选择集合

每个玩家p_i计算以下集合：

{u_ij＝δ_i(j)}_j∈[1...n]

{e_ij＝ENC_j)u_ij)}_j∈[1...n]

并广播可验证的秘密共享

{e_ij}>及其签名

每个玩家p_i恢复u_ji＝DEC_i(ENC_i(u_ji))并验证

最后，每个玩家p_i从时间段

更新它们的共享：

因此，更新的组的共享

保持主密钥

的共享，而t-1或更少的时间段内的共享的知识

在时间段

中是无用的。

如算法7中所述，参与者可以将其在时间段

中的共享更新为新的共享

在下一个时间段内，这样的一组共享{r_i}_i∈[1...n]仍然是主密钥的共享

硬件设备在图8中的共享刷新11处执行算法7，以在下一个时间段

生成新的共享

在PUF刷新和存储12时，硬件设备产生新的挑战

这将刷新下一个时期的挑战-助手程序对。硬件设备使用新的挑战来存储更新的共享。修改算法5和6以分别反映修改的算法8和9来刷新阈值共享以及挑战-助手程序对。

参考图1所示的单PUF实施例，共享更新可以可选地在逻辑上分为准备阶段(算法10)和应用阶段(算法11)。在准备过程中，各参与者产生其随机多项式，并将其部分更新分发给其他参与者。所有参与者广播其部分共享更新后，准备阶段完成。(如果在诸如FPGAj的单个设备中应用准备，则可以省略广播。

接下来，各参与者验证从其他参与者接收到的更新信息，并将更新应用到其在共享中，如算法11所示。

由于可以独立于其他共享执行股票上的每个阈值操作，所以该设备一次只需要恢复一个共享。该过程在算法12中示出。在接收到命令

及其相关联的辅助信息Aux时，设备首先执行算法10来准备共享更新。接下来，设备对每个共享迭代地执行阈值操作。通过从非易失性存储器读取挑战-助手程序对，并使用PUF重新生成相应的共享，可以恢复共享。在共享上执行阈值操作之后，使用算法11应用共享更新，该算法生成新时间段

的更新共享。在计算每个共享上的阈值操作之后，组合阈值操作以形成返回给服务器的结果

在一个实施方案中，(2,2)阈值系统内部构造到器件。算法13示出了更一般的算法12的单PUF(2,2)阈值构造的示例。该设备具有共享集合{r₀，r₁}，并且迭代地计算每个共享上的阈值操作以产生组

一旦两个阈值操作完成并且共享已经被更新和存储，则两个阈值操作被组合成最终输出

图9中示出了算法13的流程，即更一般的算法12的特定单PUF(2,2)阈值结构。在步骤1之前，执行共享更新准备(算法10)。在步骤1中，第一共享

检索，并执行其对应的本地阈值操作。然后应用共享更新(算法11)

以产生下一个时间段的

然后，使用生成相应助手程序数据

的新的随机挑战

来存储更新的共享，这将允许使用PUF恢复更新的共享。在步骤2中对于共享

遵循相同的过程。最后，组合输出

通过组合在每个共享上执行的两个本地阈值操作来构建。

该设备具有恒定的身份

但是所有操作

都需要

在没有重建的情况下执行

并且每个操作执行后都会发生更改。由于每个部分使用PUF存储和PUF检索算法来维护其共享，所以在执行PUF-储存时，每次操作之后，(挑战，助手程序)对被更新。每个共享在新的时间段

中被刷新，并且通过产生随机挑战

而储存，并且并且设置更新的助手程序至

策略阈值操作，使得共享再生，阈值操作和共享存储连续发生(而不是同时发生)排除同时恢复了一个以上的更新共享。任何篡改，而一个共享存在(假设篡改推PUF输出超越误差校正限制)防止另一个共享的恢复，在这种情况下，设备不能执行其密钥的操作。

因此，对这种实施方式应用侧向渠道攻击的对手必须从不能超过刷新期间的观察期间提取t个或更多个共享。换句话说，对手在特定时间段内必须妥协t装置，因为时间段

中的任何共享在从时间段

到时间段

中都是无用的。因此，可以通过更频繁地更新(即使在每个操作)。(增加刷新频率也可能增加侧面信道攻击固有的多个PUF装置实施例的困难，其中远程对手必须观察并解决在设备中同时生成的多个PUF值)。

而且，使用固定挑战/助手程序和恢复的系统的寿命直接限于硬件由于加密器造成的错误率的增加，通过在每个时间段内不断地更新对，所以误差率可以被名义上重置为零。也就是说，在每个时间段

期间周期性地刷新对

将PUF输出链接到硬件的当前状态，从而消除了从先前时间段的硬件漂移，在图11说明设备在时间

时使用算法2：PUF检测的时间

使用原始的挑战-助手程序对

恢复其共享，然后设备在内部产生新的挑战-助手程序对

的时间段

然后通过运行算法1：PUF-储存使用

的新的挑战-助手程序对来存储共享。更新的挑战-助手程序对到硬件的当前状态，消除了在时间段

期间发生的硬件老化，因此，PUF输出的预期位数错误在时间

为零，尽管硬件按照速率ρ持续老化。

如图12所示，通过重复周期性地更新每个PUF核心的内部挑战-助手程序对的过程，通过调整刷新周期周期，最大PUF输出误差可以被限制并且变得任意小。因此，PUF映射的逐渐变化是无关紧要的。只要硬件在时间之间没有致命老化，转移将不断地被考虑到存储的挑战和助手程序数据中。

动态会员

该构造中的共享的动态性质还允许参与组参与者数量可以动态变化的实施例，使得参与者可以加入或离开(t，n)阈值系统中的一组参与者。在这种情况下，只有通过将它们退出下一个共享刷新协议，才能将最多n-t个参与者从集合

中删除。要将参与者p_j添加到参与者集合中，每个当前参与者p_i从其共享更新多项式δ_i(·)生成额外的共享u_ij。

在使用动态会员(在(t，n)阈值系统中)和多PUF装置的一些实施例中，设备可以被配置为执行本地自检，以确保不听到由于硬件老化，它不能再收回共享。可以为设备设置第二阈值

(可由误差校正校正的最大错误数)，使得当在PUF中观察到

个错误时，启动转换协议。转换协议可以将设备的能力转移到其密钥

到不同的设备d_j≠i，而不恢复

在双PUF装置的示例中，当设备检测到关键的硬件老化(例如，当PUF错误超过次级阈值

时)，它运行共享刷新协议并增加n：2→4。设备d_i现在拥有该组共享{r_i}_1≤i≤4，并且在验证d_j是否有效之后私密地将ENC_j{r_i}_3≤i≤4发送给d_j(例如，验证来自d_j的注册令牌上的可信来源的签名，有d_j执行零知识证明)，一旦d_j接收到集合{r_i}_3≤i≤4，d_i和d_j都可以作为d_i，并且在硬件故障d_i的情况下，它可以容易被d_j替换。

内部自检程序可以容易地扩展到使用多个支持PUF的设备作为较大系统的一部分的设置(例如，如下所述的处理中心)。当一个启用PUF的设备无法恢复其共享时，可以用新设备替换。剩余和正常运行的启用PUF的设备运行共享更新算法，并通过发送新设备共享来增加n。这允许由多个启用PUF的设备组成的系统继续充当单个实体，因为故障设备可以立即被替换并提供全局(t，n)阈值系统的共享。

阈值对称操作

除了不对称操作之外，还可以以阈值方式执行对称加密操作。(例如Nikova etal.,"Threshold Implementations Against Side-Channel Attacks and Glitches,"Information and Communications Security,volume 4307 of Lecture Notes inComputer Science,pages 529-545,Springer Berlin Heidelberg,2006；Moradi etal.,"Pushing the Limits:A Very Compact and a Threshold Implementation ofAES,"Advances in Cryptology-EU-ROCRYPT 2011,volume 6632of Lecture Notes inComputer Science,pages 69-88,Springer Berlin Heidelberg,2011；Bilgin et al.,"AMore Efficient AES Threshold Implementation,"Cryptology ePrint Archive,Report2013/697,2013)。这使得所有加密操作(不对称和对称)都可以通过阈值共享而不是密钥执行。与对不称密钥的共享描述的刷新过程一样，对称密钥的共享也可以被刷新。

可重构的PUF

在一个实施方案中，也可以使用可重构的PUF。(例如参见Majzoobi et al.,"Techniques for Design and Implementation of Secure Reconfigurable PUFs,"ACMTransactions on Reconfigurable Technology Systems,volume 2,no.1:5:1-5:33,2009；Kursawe et al.."Reconfigurable Physical Unclonable Functions-Enablingtechnology for tamper-resistant storage,"Hardware-Oriented Security andTrust,2009.HOST ′09.IEEE International Workshop on,pages 22-29,2009；Katzenbeisser et al.,"Recyclable PUFs:logically reconfigurable PUFs,"Journalof Cryptographic Engineering,volume 1,no.3:177-186,2011；Eichhorn et al.,"Logically Reconfigurable PUFs:Memory-based Secure Key Storage,"Proceedings ofthe Sixth ACM Workshop on Scalable Trusted Computing,STC 1,pages 59-64,ACM,2011)。可重构的PUF可以改变其参数，从而生成新的PUF映射。这种重新配置可能是可逆的，或不可逆转的和永久的。

作为一个示例，该设备可以被提供有具有不可逆重新配置过程的两个可重构的PUF电路(例如，PUF-A，PUF-B)和采用的2-2阈值共享。在使用PUF-A进行每个共享恢复并刷新之后，将其转换为使用PUF-B进行存储的挑战助手程序对。一旦使用PUF-B存储了刷新的共享，则将重新配置过程应用于PUF-A，使PUF-A现在展现出新的PUF映射。下一次共享回收时，使用PUF-B进行恢复和PUF-A进行相同的程序。

作为另一示例，该设备可以设置有具有可逆配置过程的单个可重构的PUF电路，并且采用2-2阈值共享。PUF配置由参数控制，该参数可以本地存储在设备上。使用参数a来恢复一个共享，选择一个新的随机参数b，PUF被重新配置，刷新的共享被转换成一个挑战-助手程序对，用于配置参数b的PUF进行存储。然后使用参数a重新配置PUF，以恢复第二共享，随后将其刷新并转换为使用配置有参数b的PUF进行存储的挑战助手程序对。现在，原始PUF参数a被删除，下一轮将选择一个新的随机参数c来替换参数b。

稳定性

标准PUF协议固有地链接到特定的硬件设备(实际上这是它们的目标)，这可以对容易地扩展系统以支持任意处理负载的能力施加约束。图13示出了一个处理中心，其设计用于扩展以支持任意大的处理负荷，PUF用于动态地再生私人信息。通过分布式密钥生成构建秘密的(t，n)共享，系统的密钥从未构建或存储。然而，任何t PUF都可以协作，代表处理中心执行加密操作。例如，如果t-7，则每行PUF可以代表处理中心共同执行加密操作，并且可以同时完成四个请求(使用行A到D)。因此，可以设计可扩展的硬件固有身份解决方案，其中具有本地硬件固有身份(例如，配备PUF)的硬件组件的组)能够协同地起作用以为其组形成唯一的硬件固有身份整个。本发明的该实施例不需要构成系统的设备在本地实现阈值加密。相反，每个设备可以运行算法3并公布其本地公钥

然后为系统设置(t，n)共享，使用每个设备的本地公钥进行私人通信。

图14示出了从一组组件标识生成的主身份。可以构建(n，n)阈值系统，要求所有组件能够恢复其共享，以便使用主身份执行加密操作。在本发明的另一个实施例中，(t，n)阈值系统可以被构造成要求所有关键部件和一些非关键部件能够恢复它们的共享，以便使用主标识执行加密操作。

性能

对具有单个模拟的384位环形振荡器PUF(这不需要误差校正)和在NIST椭圆曲线P-384上定义的(2,2)阈值系统的实施例进行性能测试。每个共享的操作顺序地执行而不是同时地在多PUF实施例中进行。测试测量了存储和检索值以及设备与服务器之间的通信所需的总时间。该服务器配备了8核3,1GHz处理器和16GB RAM，并且在115200波特连接上以100MHz运行的Xilinx Artix 7FPGA上实现的器件侧算法，其中所有操作都在NIST上执行P-384曲线。表1报告了1000次试验中每个方案的平均时间。

表1：性能结果

Claims

1.用于认证系统的认证装置，包括：

a)物理不可克隆功能PUF装置，具有PUF输入和PUF输出，并且被构造为响应于挑战的输入而产生是该PUF装置和该挑战的特性的输出值；和

b)处理器，具有连接所述PUF输出的处理器输入并具有连接所述PUF输入的处理器输出，所述处理器被布置为：通过所述处理器输出控制对所述PUF输入的挑战的发布，并且与期望加密输出的实例结合进行多次以下顺序的步骤：

i)通过所述处理器输出对所述PUF输入发布挑战，并通过所述处理器输入从所述PUF输出接收相应的输出；

ii)使用在步骤i)中从所述PUF输出接收的输出来恢复和在步骤i)中从所述PUF输出接收的输出相关的私钥或密钥的局域共享；和

iii)针对在步骤ii)中恢复的局域共享进行局域加密操作；

其中所述私钥或密钥被分成共享，并且从而对于期望加密输出的给定实例，不同的局域共享在步骤ii)中恢复，这些不同的局域共享一起允许操作被使用所述私钥或密钥执行。

2.根据权利要求1所述的认证装置，其中所述处理器还被布置为进行共享刷新程序以刷新所述私钥或密钥的共享。

3.根据权利要求2所述的认证装置，其中所述处理器还被布置为结合在步骤iii)中进行的多个局域加密操作以产生加密输出。

4.根据权利要求2所述的认证装置，其中所述处理器还被布置为进行LaGrange多项式内插。

5.根据权利要求2所述的认证装置，其中所述处理器还被布置为进行椭圆曲线密码。

6.根据权利要求2所述的认证装置，其中所述处理器还被布置为进行分布式密钥生成。

7.根据权利要求1所述的认证装置，其中所述处理器包括多于一个逻辑核心，并且所述处理器被布置为使得各逻辑核心能够与其他逻辑核心同时执行步骤i)-iii)。

8.根据权利要求2所述的认证装置，其中所述处理器还被布置为将所述共享刷新程序划分为准备阶段和应用阶段。

9.根据权利要求8所述的认证装置，其中所述处理器还被布置为进行包括产生共享更新信息的准备阶段，和进行包括将所述共享更新信息应用于一个或多个共享的应用阶段。

10.根据权利要求9所述的认证装置，其中所述处理器还被布置为进行所述准备阶段和应用阶段，使得一次只有一个共享刷新程序被执行。

11.根据权利要求10所述的认证装置，其中所述认证装置包括可重构的PUF。

12.根据权利要求1所述的认证装置，其中所述处理器还被布置为结合在步骤iii)中进行的多个局域加密操作以产生加密输出。

13.根据权利要求1所述的认证装置，其中在步骤ii)中恢复的局域共享通过助手程序和在步骤i)中从所述PUF输出接收的输出相关。

14.根据权利要求13所述的认证装置，其中所述助手程序存储在所述认证装置上。

15.根据权利要求1-14中任一项所述的认证装置，其中所述处理器被布置为对于期望加密输出的给定实例在其执行多次步骤i)的每次中发布不同的挑战。

16.根据权利要求1-14中任一项所述的认证装置，其中所述处理器还被布置为进行零知识证明认证协议。

17.根据权利要求1-14中任一项所述的认证装置，其中所述认证装置包括多于一个PUF。

18.根据权利要求1-14中任一项所述的认证装置，其中所述处理器包括多于一个逻辑核心。

19.一种认证方法，包括：

i)对物理不可克隆功能PUF装置发布挑战，并从所述PUF装置接收相应的输出，其中所述输出是由所述PUF装置响应于所述挑战的输入而产生的并是所述PUF装置和所述挑战的特性；

ii)使用在步骤i)中从所述PUF装置接收的输出来恢复和在步骤i)中从所述PUF装置接收的输出相关的私钥或密钥的局域共享；和

iii)针对在步骤ii)中恢复的局域共享进行局域加密操作；

其中所述私钥或密钥被分成共享，并且从而对于期望加密输出的给定实例，不同的局域共享在步骤ii)中恢复，不同的局域共享一起允许操作被使用所述私钥或密钥执行。

20.根据权利要求19所述的认证方法，还包括进行共享刷新程序以刷新所述私钥或密钥的共享。

21.根据权利要求20所述的认证方法，还包括结合在步骤iii)中进行的多个局域加密操作以产生加密输出。

22.根据权利要求20所述的认证方法，还包括进行LaGrange多项式内插。

23.根据权利要求20所述的认证方法，还包括进行椭圆曲线密码。

24.根据权利要求20所述的认证方法，还包括进行分布式密钥生成。

25.根据权利要求20所述的认证方法，其中所述共享刷新程序被划分为准备阶段和应用阶段。

26.根据权利要求25所述的认证方法，还包括进行包括产生共享更新信息的准备阶段，和进行包括将所述共享更新信息应用于一个或多个共享的应用阶段。

27.根据权利要求26所述的认证方法，还包括进行所述准备阶段和应用阶段，使得一次只有一个共享刷新程序被执行。

28.根据权利要求19所述的认证方法，还包括结合在步骤iii)中进行的多个局域加密操作以产生加密输出。

29.根据权利要求19所述的认证方法，其中在步骤ii)中恢复的局域共享通过助手程序和在步骤i)中从所述PUF装置接收的输出相关。

30.根据权利要求19-29中任一项所述的认证方法，其中，对于期望加密输出的给定实例，在其执行多次步骤i)的每次中发布不同的挑战。

31.根据权利要求19-29中任一项所述的认证方法，还包括进行零知识证明认证协议。

32.一种服务器，包括：

处理器：以及

存储器，其上存储有指令，所述指令在所述处理器上执行时使所述处理器执行权利要求19-31中任一项所述的方法。

33.一种非暂态计算机可读存储介质，其上存储有指令，所述指令在由处理器执行时使所述处理器执行权利要求19-31中任一项所述的方法。