CN109564536A - 伪造品防止 - Google Patents
伪造品防止 Download PDFInfo
- Publication number
- CN109564536A CN109564536A CN201780046123.0A CN201780046123A CN109564536A CN 109564536 A CN109564536 A CN 109564536A CN 201780046123 A CN201780046123 A CN 201780046123A CN 109564536 A CN109564536 A CN 109564536A
- Authority
- CN
- China
- Prior art keywords
- input
- output
- information
- arbiter
- banknote
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/067—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
- G06K19/07—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
- G06K19/077—Constructional details, e.g. mounting of circuits in the carrier
- G06K19/07749—Constructional details, e.g. mounting of circuits in the carrier the record carrier being capable of non-contact communication, e.g. constructional details of the antenna of a non-contact smart card
- G06K19/07758—Constructional details, e.g. mounting of circuits in the carrier the record carrier being capable of non-contact communication, e.g. constructional details of the antenna of a non-contact smart card arrangements for adhering the record carrier to further objects or living beings, functioning as an identification tag
- G06K19/0776—Constructional details, e.g. mounting of circuits in the carrier the record carrier being capable of non-contact communication, e.g. constructional details of the antenna of a non-contact smart card arrangements for adhering the record carrier to further objects or living beings, functioning as an identification tag the adhering arrangement being a layer of adhesive, so that the record carrier can function as a sticker
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/86—Secure or tamper-resistant housings
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B42—BOOKBINDING; ALBUMS; FILES; SPECIAL PRINTED MATTER
- B42D—BOOKS; BOOK COVERS; LOOSE LEAVES; PRINTED MATTER CHARACTERISED BY IDENTIFICATION OR SECURITY FEATURES; PRINTED MATTER OF SPECIAL FORMAT OR STYLE NOT OTHERWISE PROVIDED FOR; DEVICES FOR USE THEREWITH AND NOT OTHERWISE PROVIDED FOR; MOVABLE-STRIP WRITING OR READING APPARATUS
- B42D25/00—Information-bearing cards or sheet-like structures characterised by identification or security features; Manufacture thereof
- B42D25/20—Information-bearing cards or sheet-like structures characterised by identification or security features; Manufacture thereof characterised by a particular use or purpose
- B42D25/29—Securities; Bank notes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/73—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/58—Random or pseudo-random number generators
- G06F7/588—Random number generators, i.e. based on natural stochastic processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/018—Certifying business or products
- G06Q30/0185—Product, service or business identity fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3278—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Business, Economics & Management (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Computational Mathematics (AREA)
- Mathematical Physics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Entrepreneurship & Innovation (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Credit Cards Or The Like (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了提供物理不可克隆函数的电路,所述电路包括第一部分和第二部分,所述第一部分提供根据所述电路的输入变化的随机值,所述第二部分对所述随机值进行散列运算以提供所述电路的输出值。所述第一部分覆盖所述第二部分以防止访问所述随机值。所述第一部分的破坏可以可检测的方式改变所述第一部分的运行。所述第一部分可覆盖立方体或平行六面体的表面。所述第一部分可绕平行六面体卷绕多次以从不同方向覆盖平行六面体的每一面。所述第二部分的输出可不与所述第一部分交叉。所述电路还可包括位于所述第一部分上的外层。所述外层可胶粘到所述第一部分。
Description
技术领域
本申请涉及伪造品防止领域,尤其涉及使用物理上不可克隆的值用于唯一识别从而防止伪造品,以及涉及物理不可克隆函数/功能的安全且实用的构建。
背景技术
保证一人正处理一财物的孤本变得十分需要。例如,钞票情形。自从钞票被发明开始到现在,银行和政府一直在与复制者和伪造者作斗争。伪造品即所谓的超级美钞已声名狼藉,因为美国宣称其由外国政府制造。使用数字技术制作可流通的伪钞已变得容易,5美元的钞票使用普通的HP打印机可转换为100美元的钞票,及骗子已在最近被发现,仅仅因为其行骗了2年并涉及许许多多伪钞。
怀着减轻伪造问题的希望,已采取许多安全措施:特殊的(如带浮雕的)纸、水印、特殊的墨水等。重新设计的20美元、50美元、10美元和5美元钞票在2003和2008年之间引入。新的100美元的钞票(根据美国联邦经济情报局的数据,最常伪造的钞票)去年进入流通。其包括两个新的安全特征:蓝色3D安全带及墨水池中颜色变化的钟。然而,迄今为止,尚没有安全措施被证明万无一失,必须不断发明新的措施。
最近已依赖量子力学来生产不可伪造的货币。这些方案非常有趣,但尚不可行,及很难分析。问题因另外的约束而加重,即,其解决方案不仅必须可行而且必须便宜。实际上,不可伪造的100美元钞票的批量生产成本假定说为10美元,则其将不太令人满意。
因而,需要提供一种使不可伪造的货币(及更一般地,认证财物及关于财物的信息)可行、安全及成本低的方法。具体地,需要提供这样的方法,其基于(1)物理上不可克隆的值PUV(比物理不可克隆函数PUF弱的形式)及(2)新的且安全的使用PUF的方式。还需要提供实用且安全的构建PUF的方法。
发明内容
根据在此描述的系统,提供物理不可克隆函数的电路包括第一部分和第二部分,所述第一部分提供根据所述电路的输入变化的随机值,所述第二部分对所述随机值进行散列/哈希运算以从所述电路提供输出值,其中所述第一部分覆盖所述第二部分以防止访问所述随机值。所述第一部分的破坏可以可检测的方式改变所述第一部分的运行。所述第一部分可覆盖立方体或平行六面体的表面。所述第一部分可绕平行六面体卷绕多次以从不同方向覆盖平行六面体的每一面。所述第二部分的输出可不与所述第一部分交叉。所述电路还可包括位于所述第一部分上的外层。所述外层可胶粘到所述第一部分。
进一步根据在此描述的系统,一种物理设备包括:用于基于特定输入和所述设备的微观结构一贯产生特定的不可预测的输出的装置;用于使能验证所述设备满足给定性质的装置;及用于使得实质上很难制造满足所述给定性质及响应于特定输入产生特定输出的另一设备的装置。该设备可以是集成电路,及用于使能验证的装置可包括暴露集成电路的布局以使能与预先指定的布局比较。
进一步根据在此描述的系统,使用物理设备产生信息的唯一认证文本,所述物理设备基于输入和所述设备的微观结构一贯产生不可预测的输出,所述设备被验证满足给定性质,及使得实质上很难制造满足所述给定性质及响应于特定输入产生特定输出的另一设备。产生信息的唯一认证文本包括使得所述设备被提供特定输入以产生特定输出、使得产生响应和所述信息的数字签名、及至少使得所述设备和所述数字签名可得到。产生信息的唯一认证文本还可包括使所述信息、所述特定输入和/或所述特定输出可得到。所述信息可以是钞票的面值,及所述数字签名可代表钞票发行者产生。所述信息可以是关于物品的信息,及所述物理设备可安全地连接到所述物品。所述信息可以是空信息。所述信息可以是关于物理包装的内容的信息,及所述物理设备可安全地密封所述包装。所述包装可被密封,及所述物理设备可固定到所述包装的密封件。包装内容可以是医用药物、食品和/或液体。数字签名可被使得可在网站上获得或者作为对查询的回答获得。所述信息、所述特定输入和所述特定输出中的至少一个可被使得可在环球网上获得或者作为对查询的回答获得。
进一步根据在此描述的系统,一种非短暂计算机可读介质,包含使用物理设备产生信息的唯一认证文本的软件,所述物理设备基于输入和所述设备的微观结构一贯产生不可预测的输出,所述设备被验证满足给定性质,及使得实质上很难制造满足所述给定性质及响应于特定输入产生特定输出的另一设备。所述软件包括使得所述设备被提供特定输入以产生特定输出的可执行代码、使得产生响应和所述信息的数字签名的可执行代码、及至少使得所述设备和所述数字签名可得到的可执行代码。所述软件还可包括使所述信息、所述特定输入和/或所述特定输出可得到的可执行代码。所述信息可以是钞票的面值,及所述数字签名可代表钞票发行者产生。所述信息可以是关于物品的信息,及所述物理设备可安全地连接到所述物品。所述信息可以是空信息。所述信息可以是关于物理包装的内容的信息,及所述物理设备可安全地密封所述包装。所述包装可被密封,及所述物理设备可固定到所述包装的密封件。包装内容可以是医用药物、食品和/或液体。数字签名可被使得可在网站上获得或者作为对查询的回答获得。所述信息、所述特定输入和所述特定输出中的至少一个可被使得可在环球网上获得或者作为对查询的回答获得。
进一步根据在此描述的系统,关于物品的唯一可信信息由实体E经物理设备D提供,物理设备D基于特定输入及基于D的唯一且很难复制的微结构始终产生特定不可预测的输出,其中D的输入-输出函数很难推断。在此描述的系统中,实体E初始将日期序列中的每一日期d与输入Cd相关联,其中,给定先前的输入C1,…,Cd-1,每一输入Cd很难单独地预测。每一这样的输入Cd之后被提供给物理设备以产生输出Rd。每一输出Rd之后由E连同需要唯一鉴别以产生数字签名Sd的信息I一起进行数字签署,其中输入Rd很难从Sd计算出来,给定Rd和I,签名Sd可容易地进行验证。该设备之后连接/附着到对其应用唯一可信信息的物品,信息I和数字签名存储在该设备中或者被使得可与物品一起获得。在日期序列的每一日期d,输入Cd则被宣传,可能以经确证的形式。为验证关于日期d的物品的唯一可信信息I,将所宣传的Cd作为输入提供给连接到该物品的设备以提供输出Rd,然后检验被使得可获得的数字签名之一是否为E针对Rd连同I一起的数字签名。
进一步根据在此描述的系统,(1)物理设备P,其基于特定输入及基于该物理设备的唯一且很难复制的微结构始终产生特定不可预测的输出,其中P的输入-输出函数很难推断,从(2)更简单的物理设备D构建,物理设备D基于特定输入及基于D的唯一且很难复制的微结构始终产生特定不可预测的输出,其中D的输入-输出函数未必很难推断。
附图说明
在此所述的系统的实施例现在将结合附图进行更详细地说明,附图简要说明如下。
图1为根据在此所述的系统的实施例的判优电路的示意图。
图2为根据在此描述的系统的实施例的具有判优电路的安全钞票的示图。
图3为根据在此描述的系统的实施例的使用PUV和另外的信息的一堆药片的示图。
图4为根据在此描述的系统的实施例的使用PUV和另外的信息的一瓶酒的示图。
图5为根据在此描述的系统的实施例的使用PUV和另外的信息的包装的示图。
图6为根据在此描述的系统的实施例的从弱PUF建立PUF的有限安全的方法的示意图。
图7为根据在此描述的系统的实施例的怎样经探查推断图6中所示的有限安全的PUF中的弱PUF的输入-输出函数的示意图。
图8为根据在此描述的系统的实施例的具有与图6的有限安全的PUF同样的输入-输出功能的备选设备的示意图。
图9为根据在此描述的系统的实施例的按线性方式构建的具有输入-输出函数F的弱PUF的示意图。
图10为根据在此描述的系统的实施例的具有输入-输出函数F并构建成覆盖给定体积的表面的弱PUF的二维示意图,其能够从外面接收输入并在覆盖的体积内产生输出。
图11为根据在此描述的系统的实施例的基于覆盖给定体积的表面的弱PUF及加密哈希函数H构建PUF的安全方法的二维示意图。
图12为根据在此描述的系统的实施例的图11的PUF具有外部保护层时的示意图。
图13为根据在此描述的系统的实施例的使用图11的PUF经PUF提供唯一可信信息I的系统的示意图。
图14为根据在此描述的系统的实施例的图11的PUF具有H的、与弱PUF不交叉的输出导线时的示意图。
具体实施方式
在此描述的系统提供安全且便宜地制造不可伪造的钞票及确保物品和/或信息可信的机制。
1、使用PUV进行唯一鉴别
物理上不可伪造的值(PUV)是具有关联的验证算法A的物理设备,其将多对设备仅映射到是或者否。实际上,如果D为PUV,则:
i)D响应于单一选择的输入一贯产生唯一随机值;及
ii)很难产生两个设备D1和D2,使得(a)A(D1)=A(D2)=是,及(b)D1和D2对同一所选输入c产生同样的值。
PUV不同于PUF(物理不可克隆函数)。直观地,PUF为不仅物理上不可克隆而且不能数学推理的设备,因而被建模为黑盒子随机函数F。换言之,不管一人如何选择输入序列x1,...,xn,知道值F(x1),...,F(xn),对于任何x≠x1,...,xn,他将不能预测好于随机猜测的F(x)值。相反,PUV不是实施随机算法的物理上不可克隆的设备,而是不可克隆的物理设备,只要该设备通过指定验证算法的审查,在通过同一算法的审查的所有设备之中,及实施单一“质询-响应对”(c,v),其中v已被随机选择,具有“稳定性要求”,即该设备每当c作为输入时必须输出v。虽然我们担心,PUV对不同于c的所有输入可提供同样的输出。
数字签名方案包括三个快速算法:概率性密钥生成器G、签名算法S和验证算法V。给定数值k作为输入(如k=4000),参与者x使用G产生一对k位密钥(即字符串):“公开的”密钥PKx和“秘密的”签名密钥SKx。公钥不会“泄露”其对应的私钥。也就是说,即使知道PKx,除x之外的其他人均不能在少于天文时间的时间内计算出SKx。参与者x使用SKx数字地签名消息。对于每一可能的消息(二进制串)m,x针对输入m和SKx运行算法S以产生串SIGx(m),称为x对m的数字签名。在不损失一般性的情形下,我们假定m可从SIGx(m)取回。实际上,如果m不能从SIGx(m)取回,我们可总是重新定义x对消息m的数字签名由(m,SIGx(m))对组成。知道PKx的每一个人可使用其验证x产生的签名。具体地,在下面输入的基础上(a)参与者x的公钥PKx、(b)消息m和(c)声称的x对消息m的数字签名,验证算法V输出是或者否以满足下面的性质:
i)合法签名总是被验证:如果s=SIGx(m),则V(PKx,m,s)=是;
ii)数字签名非常难以伪造:不知道SKx,如果x从来没有签名m,找到串s使得V(PKx,m,s)=是需要天文数字量的时间。
因而,为防止任何其他的人代表其签名消息,参与者x必须使得其签名密钥SKx保持秘密(因此称为“秘钥”),及使任何人能验证其签名的消息,x必须使其验证密钥PKx公开(因此称为“公钥”)。
参考图1,判优电路100包括多个多路复用器102及包括锁存器104。通常,判优电路不能数学推理。判优电路100可用于提供PUV。应注意,不能推理性不是PUV的要求,及不必须保持时延秘密。该电路100产生两个不同的、对每一输入X具有同样的布局长度的延迟通路并基于哪一通路更快产生输出Y。锁存器104的分辨率足够精细以确保在给定同样的输入X时,将获得同样的输出Y,只要环境(如温度)未明显变化。同时,由于电路尤其是导线的微观结构,时延在芯片间随机变化,因而具有与第一判优电路相同布局的第二判优电路将把输入X映射到与第一判优电路产生的输出不同的输出。换言之,判优电路在其自身中携带装置如其自己的导线的微观结构,以确保非常难以生产具有同样布局的、将输入X映射到与第一判优电路基于输入X产生的输出Y同样的输出的另一判优电路。应注意,克隆判优电路的困难性取决于布局一样。在没有该性质的情形下,制造基于输入X产生与电路100产生的输出Y一样的输出的电路没有意义。也就是说,具有一样的布局是判优电路的性质,其使得在实践中不可能制造具有与任何其它判优电路相同的输入-输出性态的第二判优电路。因而,验证所涉及的性质很重要,即在考虑输入-输出性态之前满足具有一样的布局。
具有预先指定的布局的判优电路仅为PUV的例子。任何其它PUV可与在此描述的系统一起使用。具体地,任何其它使用其自己的唯一微观结构作为保证其响应于给定输入产生的输出实质上不可预测但可重复的手段的集成电路。同样,代替具有一样的布局,判优电路满足的使得很难克隆判优电路的其它性质也是可能的。
在这里的实施例中,判优电路100对每一质询C产生1位的输出,在图1中,质询被示为具有128位。为确保对每一质询C产生k位输出,可能按下述增强判优电路100:首先,使用C作为预定伪随机生成器如密码安全生成器、线性反馈移位寄存器或任何其他类型的伪随机生成器的种子,以获得k个伪随机质询C1,C2,...,Ck的序列。随后,用每一伪随机质询按次序质询判优电路100。最后,源自质询的单位输出进行级联以获得所需要的k位响应R。
在这里的实施例中,判优电路100使用给定(掩模)布局L进行制造,微芯片未被遮蔽,以使L可进行观察。在一些实施例中,所有判优电路可共享一样的布局L。应注意,即使布局L保持固定,门延迟的可变性保持巨大。阅读机配置成向判优电路提供质询C并读对应的响应。在一些实施例中,阅读机也可将L保存在其内。
在工作时,阅读机验证判优电路100是否同时满足下述的两个性质:
(1)判优电路100具有布局L;及
(2)判优电路100以R响应于质询C。
为进行该确定,阅读机执行下面的步骤:
1)阅读机观察判优电路100的布局L’;
2)阅读机将L’与保存的L进行比较;
3)阅读机用C质询判优电路100以获得响应R’;及
4)当且仅当L与L’本质上一致及R与R’本质上一致时,阅读机接受判优电路100。
在一定程度上,不是确定(任意及可能不可观察的布局的)给定微芯片是否针对质询C提供响应(接近于)R,而是阅读机将质询应用于给定布局构成的电路并检查是否获得给定响应。
在这里的实施例中,判优电路100(或者可能另一类型的PUV)嵌入到普通钞票内以提供安全钞票200,可能连同其它定制的防伪保护一起。钞票200显示一值及一自身唯一序列号。安全钞票可按下述进行制造:
1)制造具有布局L的判优电路100;
2)用C质询判优电路100以获得和测量响应R;
3)使银行连同安全钞票的面值的指示($v)及任何另外的被认为有用的信息(可能没有)I一起产生R的数字签名S。具体地,I可指定日期信息、安全钞票的检验人、判优电路100的布局L(如果该布局为优化目的未固定)、和/或质询C(如果该质询未固定),或者在一些情形下,可能没有信息。例如,S=SIGBank(R,$100,I)。
4)将S保存在安全钞票200上(如条形码格式,或者判优电路100中,如果判优电路100具有非易失性存储器)。
安全钞票200可按下述进行验证:
1)使阅读机确定安全钞票200的判优电路100为开放布局及安全钞票200的部件足够接近L;
2)如果通过1)中的测试,用C质询判优电路100以获得响应R’;
3)取回声称的签名S并验证S由银行的三元组(R,$V,I)的数字签名组成及R’足够接近R;
4)如果同样通过3)中的测试,输出安全钞票200有效及面值为$V的指示。
在图2中,在判优电路100下面的十六进制数202表示S。阅读机能够拍照判优电路100的照片、将该照片与保存的L比较、及用C质询判优电路100以从判优电路100获得R’。阅读机还可读S、验证S及将R’与从S获得的R进行比较。
在此描述的系统的优点在于,安全钞票和阅读机不需要保存任何秘密信息。此外,尽管安全钞票使用数字签名,公钥构架并不必需,因为该系统可使用单一公钥(如用于验证银行的数字签名的公钥)实施,其可在系统内为大家知道,无需通过PKI或其它实体证明。此外,赋值给不可伪造的钞票的数字签名不需要撤销,因为钞票可持续总是有效。当然,银行具有物理上破坏破损(或其它原因)钞票及重新发行同样面值的另一钞票的选择。
推荐响应长度为至少128位,以使冲突的概率(即同样的值来自两个不同PUV)可忽略。质询长度影响判优器的可靠性,其可以为至少64位。判优器执行相对延迟比较,因此可抵抗老化、电压和温度变化。应注意,与传统集成电路中物理上不可克隆的函数应用不同,对于钞票而言,电压和温度变化明显较小。老化在电压由阅读机施加到PUV时出现,这非常少地发生。
由于判优器为小电路,在钞票上实施PUV的一种方式是使用印刷电子电路。在该情形下,PUV的图片可非常容易地取得,因而容易决定给定电路是否具有指定布局。印刷电子电路技术使用墨水并可直接印刷在钞票上(具有一些预处理)。
在这里描述的系统中,使用具有同样的质询C和同样的布局L的PUV因效率而提高性能及降低阅读机软件的成本。然而,每一安全钞票可具有单独的质询和/或单独的布局,其可连同适当的数字签名保存在钞票上。此外,除将签名S保存在安全钞票上之外,银行也可使得S可在网站上获得,例如,通过在可搜索的钞票序列号旁边公布S或者响应于查询公布S。应注意,这对于钞票的质询和/或布局的签名同样可能,如果不同钞票的质询和/或布局不同。阅读机可通过在网站上搜索钞票的序列号(或者查询该序列号)而取得S(及可能质询和/或布局),然后按本说明书别处描述的进行。应注意,基于网络的备选方案产生一些“痕迹”,因为使序列号与签名相关联的数据库可跟踪阅读机查询。因而,在没有足够模糊的查询的情形下,当使用网络获得钞票的部分信息时,钞票的地理定位可能暴露。
如果钞票相对不可伪造,发行非常高面值的钞票(如$1M钞票)是相对安全的选择,并使能大量货币的紧凑转移。如果希望使这样的高面值钞票可追踪,银行可使高面值钞票的签名可在网上得到或者响应于查询得到。
为增加可靠性,可能使用一个以上判优电路制造安全钞票。例如,可能使用两个判优电路,第一电路用值R1应答质询C1,及第二电路用值R2应答质询C2。在这样的系统中,银行可进行下述组成的签名S:S=SIGBank(R1,R2,$100,I)。
如果至少一个质询-响应已被适当地验证,则钞票可被视为已验证。因而,如果破损仅破坏了判优电路之一,钞票仍可被接受,然后给银行进行销毁和重新发行。
在此描述的系统可适于增加物理应用中使用的信用卡的安全性,即当刷信用卡以获得支付授权时。当然,在物理应用中,如果信用卡被盗,可能出现欺诈,而且其也可在信用卡被复制时出现。后一种欺诈可通过使信用卡具有判优电路和(信用卡公司的)数字签名而防止,其保证对所选质询的响应,及通过适当修改传统的信用卡阅读机使得该阅读机可执行上面描述的验证而防止。应注意,用于钞票的面值(如$100)不需要及可省略。
在此描述的系统提供无处不在的验证。阅读机可被标准化并成本低地制造。因而,每当钞票转手时,安全钞票均可被适当地验证。例如,在接受钞票作为支付之前可能常规地使阅读机检查钞票。同样,具有无接触的判优电路,具有近场通信(NFC)阅读机功能和高分辨率照相机的移动电话如最新款的Android智能电话和iPhone将使一般用户能验证其接收的钞票。
无处不在的钞票验证使能与安全货币的安全运输有关的另外形式的安全。尽管不可伪造,合法的安全钞票仍可能被盗,因而大量安全钞票从银行例如到该银行的支行或到另一银行的物理转移将与转移普通货币一样不安全。因而,这样的转移需要使用装甲车、成本高且危险。为避免这种情况,可能运输没有面值或有限面值的钞票,然后仅在这些钞票已安全到达计划的目的地时给予这些钞票适当的面值。例如,计划的目的地可以是银行的支行,及银行制造目标变成$100的钞票,具有嵌入的特定判优电路但没有数字签名。也就是说,尽管银行已经用C质询特定判优电路并知道相关联的响应R,但银行未将S=SIGBank(R,$100,I)印刷在钞票上,银行也未在网上发布S。因而,在S透露之前,该钞票差不多“仅值S将印刷在其上的纸的价值”。该钞票因而可成本低和无需保护地运输到目的地。仅在目的地(可能以密码安全方式)确定接收特定钞票(如经其序列号)之后,银行将S安全地传给目的地,其之后将S印刷在钞票上或者将S保存在判优电路中或者将S放在网上或者响应于查询提供S等。如本说明书别处所述,如果需要一些形式的可追踪性,就像例如在钞票将变成$1M钞票的情形下,在接收到支行对该钞票的适当确认之后,银行可将S发布在网上。
在此描述的系统可用于证明物品的真实性。该系统也可用于证明个体物体或一组物体的真实性。参考图3,制药公司F可保证一组(G)给定的药片300已由F生产和/或关于G的一些信息I保存。例如,F具有公开验证密钥PKF和对应的秘密签名密钥SKF。已生产一组(G)一个或多个药片,F希望使可能的分销商、零售商或买家确信信息I的真实性,所述信息包括F的指示或者关于F的信息(可能到具体生产设备的程度)和关于药片的化学成分、药片生产日期和/或药片过期日期等的信息。为此,该组药片可被放入适当的容器中并以包括判优电路302的方式安全地密封。例如,容器被密封(可能以在不破坏密封件及不留下痕迹的情形下很难接近所容纳之物的方式),及判优电路302安全地连接到密封件。也就是说,判优电路302以在不拆卸判优电路302的情形下不可能(或者几乎不可能)打开密封件的方式连接,其中拆卸判优电路302导致判优电路302产生不同于拆卸之前的值(或者不同的值),或者变得根本不能产生任何值。例如,容器可包括密封的一片铝箔,判优电路适当地嵌入在该铝箔中。作为备选,密封件可包括塑料瓶及判优电路302可适当地放在瓶盖和瓶体之间。
F向判优电路302提供质询C并获得响应R。具体地,质询-响应可在判优电路302被适当地嵌入之后获得,如果嵌入判优电路302可能改变判优电路302的质询-响应性态的话。F直接或间接数字地签名R和I(在此及本说明书中的别处,签名某物包括可能还具有其它数据签名R和I的可能性,如R和I和C)。例如,S=SIGF(C,R,I)或者S=SIGF(R,I)被视为F对R和I的直接签名。本领域技术人员可意识到,在该特定例子中或者本说明书中的任何别处,S可以是间接签名。例如,在没有任何计划的限制的情形下,为表示数据串D的特定片段背后的意思,如D=(C,R,I),F可生成两个数据串D1和D2,它们组合产生D(例如将两个数据串解释为数值,使得D1+D2=D),然后产生间接签名D,S,其由直接签名D1,S1和直接签名D2,S2组成。这样,可能验证S1为D1的直接签名,S2为D2的直接签名,因而验证签名人计划保证D=D1+D2。签名S和信息I之后被(以适当的形式)写在容器本身上,或者写在所附文档中,或者发布在网上,或者使得可响应于查询得到,或者以另一方式得到(或者这些方式的组合)。在这里的实施例中,S和I被提供为附着到药片瓶300的条形码304。买家或者分销商可通过检查容器和密封件的完整性、读信息I、用C质询电路302、获得响应R’、验证S是F对R和I的数字签名、及R和R’一样或足够接近而验证容器。如果所有检查均通过,信任F的验证者也可信任容器容纳之物为I中指定之物。
当然,在该例子中(及这里的别处),一些或所有步骤可由不同的实体执行。例如,制药公司F可生产药片,但不执行所有或部分其它步骤。具体地,制药公司F可将部分或所有其它步骤转包给单独的实体F’,及信息I可包括F’的指示和/或S=SIGF’(C,R,I)。同样,在使用容器可提供一些节约的同时,通过使F能一次处理多个物体,F可优选将个别判优电路嵌入在每一个体物体上。当然,信息I也可以是空信息。例如,如果F产生仅R的数字签名S,及某人验证S实际上为R的数字签名及R为对标准质询C的电路响应,其中该电路安全地密封一包药片,则尽管在包中没有另外的关于药片的信息,验证者被保证这些药片实际上由F生产。
在此描述的系统可通过多种方式一般化。判优电路可理解为任何PUV,具体地,对应于设备D的能够接收输入并产生对应的输出的任何PUV,其可基于输入C一贯产生不可预测的输出R。应注意,输入和/或输出可以是也可不是数字形式。例如,输入可以是怎样操作设备的指令(包括摇动设备或者施加给定电压到该设备的部分如导线),及输出可由观察到的设备对指令的反应组成,可能在其后变换为文字数字串。不可预测性指在不使用D本身的情形下(例如通过给予D输入C然后观察D产生的输出R),不可能预测设备D基于输入C将输出的值R的情形。理想地,R可以完美地随机,即如果R为位串,则其每一位具有一半为0和1的概率。但这样的完美并非必需。例如,如果R为足够长的位串(不损失一般性),则对于不可预测的R,其满足R的每一位不能例如以大于60%的概率正确猜测到的需要。同样,一致性意味着D基于输入C必须总是产生R,例如其足以使D大多数时间如80%的时间这样做。实际上,在该情形下,R可通过多次给D输入C及看哪一输出最频繁而找到。实际上,还足以使得D在不可忽略百分比的时间例如5%的时间基于输入C产生R,及在明显较少百分比的时间如少于2%的时间基于输入C产生值R’。实际上,通过多次将C给为D的输入,可能确定以较高频率产生的值R。D基于输入C产生R的指示包括计算在此讨论的R的任何方式及其它适当方式。
在此描述的系统使得D可被容易地检查以满足特定性质P,及很难找到不同于D的、满足性质P并基于输入C一贯产生R的另一设备D’。特别地,有实体设备A决定一设备是否满足性质P。例如,如果PUV由判优电路组成,则P可以是具有给定布局L的性质,及为使能验证该性质,留下电路布局暴露是有用的。具体地,能够验证L没有切口因而验证R来自该电路而不是隐藏的小型电路是有用的。如果希望依赖于具有给定布局L的性质,可印刷电路实际上是好的选择。阅读机可被加载关于布局L的图像或信息,但总的来说,A可以是能够确定PUV是否满足给定性质P的任何设备。应注意,性质P和设备A可由制造D的同一实体或者其它实体选择。例如,一实体可通过使P由不同实体选择、A由另一实体选择及D由又一实体制造而简单地导致(如请求)PUV的生产。具体地,制造A包括A已经可得到的可能性。作为备选,设备A可已经存在,但被使得能够通过将软件下载到A或者使A下载软件而验证性质P,A使用该软件能验证是否拥有性质P。
在此描述的系统可保证一段信息I的给定副本唯一地可信。I的“副本”可意味着I可从该副本正确地取回。任何片段的信息,包括I,可被编码为串(如位串或其它符号),及这样的串的真实性可借助于数字签名保证。然而,这样的串可连同其数字签名一起容易地复制,因而使可能任何人均能产生I的两个一样且认证的副本。如果很难(即不可能、几乎不可能或者成本太高)产生I的第二认证副本,认证信息I的副本可以是“唯一地可信”。一方可产生一些信息I的唯一认证副本,其通过使该方获得(如制造、促使制造或购买)基于输入C产生输出(一贯产生不可预测的输出)R的PUV D。然后,该方可数字地签名(或者更一般地,使别人数字地签名,如代表该方)R和I以产生签名S。之后,该方释放C、R、S和I或者使得其可得到(或者使别人释放或使得可得到)。
应注意,五个量D、C、R、S和I一起为I的认证副本,因为I为这些量之一。验证方按下述验证该副本的真实性:设P为PUV的性质及A为用于验证一设备是否满足性质P的装置。之后,为验证该副本,验证方验证D基于输入C产生输出R、S为正确实体(如所涉及方或代表所涉及方行动的另一方)对R和I的有效数字签名,如果两个验证均通过,则接受该副本为可信副本。还应注意,D、C、R、S和I实际上构成I的唯一认证副本,因为很难找到两个不同的PUV D和D’基于同样的输入C产生同样的结果R。
还应注意,可能提供I的仅由上述量中的四个如仅由D、C、S和I组成的副本。可能通过仅将C给为D的输入计算R。应注意,相对于这样的四量副本,D、C、S和I继续为I的唯一可信副本。如果输入C固定或者被公开地知道,C也变得多余,即D、S和I构成I的三量副本,其同样可唯一验证。最后,如果R和I的签名S使得R和I可从S进行计算,则D和S独自构成I的二量副本,其同样可唯一地验证。
应注意,R和I的数字签名可由(R,I)对或者通过级联R和I获得的R|I串的数字签名组成,可能具有一些使R结束和I开始清楚的符号,或者由H(R,I)的数字签名组成,其中H为单向哈希函数,或者正确地固定住R和I的任何其他方式。当然,数字地签名R和I包括数字地签名R、I和任何其它另外的信息I’,例如I’可包括日期信息或输入C。可能使用PUV认证物品或一组物品。物品不必须是上面描述的药片或医用药物。此外,PUV可安全地连接到物品本身上,而不是连接到包括物品的包装。如本说明书别处所述,将PUV安全地连接到物品意味着移除PUV导致PUV响应于输入不产生输出或者产生与PUV在拆卸之前已产生的输出不同的输出。之后,可以与使用PUV认证关于包含一个或多个物品(如一组药片)的包装所容纳之物的信息一样的方式使用PUV认证关于个别物品的信息。当然,将要认证的信息类型随应用变化。例如,时装设计者可能希望防止他人非法复制其生产的物品。例如,Gucci或者Vuitton可能想要其生产的女式包与廉价的伪造品容易地区分开,RayBan对其生产的眼镜可能想要实现同样的目的,等等。遗憾的是,不容易向客户保证其正在购买的物品确由声称的设计者生产。为此,设计者可使得PUV D安全地连接到其生产的物品G,使输入C将被给予D以产生输出R,数字地签名(或使他人数字地签名)R和I(其中I可包含设计者的指示)以产生数字签名S,及使S(可能连同C和/或R和/或I一起)可在物品本身上得到,物品包括连接到其的PUV D。关于物品的信息I因而被唯一地认证。这样的信息的验证以类似于前述的方式验证。
物品也可以是酒。参考图4,酒瓶400包括PUV 402和包含数字签名的信息的条形码404。在该情形下,该信息可指明生产商、年份、葡萄收获时间、关于发酵过程的信息等。物品可以是另一形式的液体,等等。
参考图5,包装500,其可以是金属包装,包括可焊接到包装500或者可能胶粘到包装500的PUV 502。数字签名的信息可表示为条形码标签504,其同样焊接或胶粘到包装500。应注意,当PUV D连接到物品或包装时,信息I可以是空信息(即信息I可以是零值)。这在希望仅认证包装内的物品来自特定制造商的情形下是有用的。例如,如果Gucci或Vuitton生产了其希望唯一认证的包,则其可将PUV D安全地连接到(或者使得安全地连接到)包,向D提供输入C以产生输出R,然后数字地仅签名(或使他人代表其签名)R,并使数字签名可得到(例如通过保存在D本身内、放在包上的别处、提供在网上或响应于查询可得到)。在该情形下,可能通过将C给为D的输入、获得响应R、然后验证被使得可得到的数字签名实际上为Gucci(或Vuitton)对R的数字签名而验证Gucci(或Vuitton)为该包的生产商。
2、使用PUF进行唯一鉴别
针对实体E,可能提供通过下述处理传递一些信息I的(唯一)真实性的方案:
-固定并宣扬输入C;
-使用PUV D计算对输入C的反应R;
-计算R和I的数字签名S,并使得S可在D本身上或者D放置于其上或牢固连接到其上的物品/包装/纸张上获得。
如果D连同I和S发送给验证者V,则V能够检验真实性(甚至I的唯一真实性),而不必与E或者代表E行动的任何其它实体交互。因而,上面的基本方案是完全非交互的方案。
可能令E使得C、I或S可在网络上获得。例如,D或者D放在其上的/包装/纸张可携带序号或者另一形式的标识符,其由验证者V用于从网络上取回C、I或S。该方案也可被认为是非交互式方案,但其可迫使E管理可能大的数据库。例如,E可以是制药公司,其希望使潜在的客户放心E生产的每一单一药片或者每瓶药片的真实性。
也可能令E响应于查询如经因特网接收的查询提供C、I或S。该方案为交互式方案,因为E等待接收来自V的消息或某一形式的信号,E对该消息或信号作出反应。
如上所述的交互式方案可使E免于运行大数据库,但在查询数量大和/或频繁时E可能费力。此外,查询-回答机制可使E(或者代表E行动的任何实体)暴露于计算机病毒及在非交互式方案中不会出现的其它类型的网络攻击,因为,对于非交互式方案,E仅向潜在的验证者“传出”信息,而不必接收和处理来自潜在验证者的任何消息。
在此描述的系统提供一种用于唯一鉴别的非交互式方案,其依赖于PUF,无论是否经安全硬件实施。
如本说明书别处描述的,PUF是实施不可预测的函数F的、物理上不可克隆的设备D。D实施F,对于输入x,D输出D(x)=F(x)。F不可预测意为,在一些输入时给定F值,不可能正确预测不同输入时的F值。D物理不可克隆意为,实质上很难制造实施与D实施的函数F一样的函数的不同设备D’。应当理解,F的输入的数量相当大,使得一个接一个地遍历所有输入不可行。
应注意,即使D为实施函数F的PUF,在仅仅几个输入x1,...,xn的情形下,制造实施与PUF D一样的F的不同设备D’没有价值。例如,如果已经知道F(x1),...,F(xn)或者给出作为D的输入的x1,...,xn以获得F(x1),...,F(xn),则可能容易制造D’,从而对于这样的输入xi,返回F(xi)。因而
用PUF代替PUV实施上面的基本唯一鉴别方案远不能保证唯一鉴别。
为经PUF保证唯一鉴别,可能有必要设计非常不同的方案,其在下面进行描述。在不损失一般性的前提下,可假定E希望唯一鉴别的信息是关于包装/瓶子/容器中包含的一组物品。应认识到,同样或类似的方案可用在先前讨论的其它应用中。
设E为实体,G为一组物品,D为实施函数F的PUF,d1,d2,...,dk为日期序列,及I为E希望在所述序列中的每一日期证明G(唯一)可信的一些信息。例如,I可包括空信息(没有信息),如在E简单地希望证实E为G的生产商或者E认可G的情形。同样,I可包括G或者物品自身的数字图片。为在上述的每一日期证实I,E按如下行动或者使一个或多个实体按如下行动:
-E选择输入序列C1,...,Ck。
E可随机或者以足够不可预测的方式进行选择。例如,E经一些秘密值C和适当的算法A如抗冲突哈希函数产生C1,...,Ck。例如,Ci=A(C,i)。
E可在d1之前选择C,并可对dk之后的日期继续使用C。
-E向D提供输入C1,...,Ck以产生对应的输出序列R1,...,Rk。
-对于前述Ri中的每一个,E产生Ri和I的数字签名Si。
可能E这样做使得至少Ri很难从Si计算。
确保字符串/消息m很难从该字符串/消息的数字签名计算出来的一种方法是数字签署H(m),其中H为单向函数或者抗冲突哈希函数(为验证这样的签名S实际上是m的数字签名,需要首先计算H(m),然后验证S为H(m)的数字签名)。
-E用D安全地密封包含G的包装/瓶子/容器并使得S1,...,Sk可获得。
例如,S1,...,Sk被(安全或者非安全地)保存在D或存储装置中,也可放在容器上,或者简单地印刷在容器上,例如条形码格式。
S1和Sk可按顺序存储,或者按使容易针对输入i取回Si的方式。
-在每一日期di,E使得Ci可获得,可能指明输入Ci与日期di关联。
例如,如果日期为多天,E例如在其网站上每天公布输入值。之后,E在di天公布的输入被取为Ci。E可使Ci以经认证的方式可获得。例如,E可数字签署Ci或者Ci和di,并使这样的数字签名也可获得。
为检验信息I在日期di成立,验证者V取回相关联的信息Ci。可能V还检验Ci确实可信,如果Ci可以经认证的形式获得。之后,V将Ci提供为D的输入以产生输出Ri。之后,V检查E针对Ri和I的数字签名(或者,如果E将数字签署Ri和I授权给另一实体,适当实体针对Ri和I的数字签名)是否已被使得可在容器上获得。如果Ri在被数字签署之前已经抗冲突哈希函数H哈希,则V首先计算H(Ri),然后寻找H(Ri)的适当数字签名。
如果所有上面提及的检查均通过,则V可认为关于物品的信息I在日期di确实可信。
应注意,该方案确实是非交互方案。实际上,E仅通过发出信息鉴别I,而不回答任何查询。
为分析上面讨论的方案的安全性,考虑(不计划任何限制)下面的应用。假定E为制药公司,容器为E生产的药片瓶,关于瓶中的药片,实体E希望唯一鉴别的信息I并包括关于E的标示、药片数量、药片的化学成分、它们的副作用、或它们的过期日期ed、瓶子或药片或二者的图像的数字化,d1,...,dk由相继的天组成。例如,如果药片一年过期,k可等于365,及d365可以是过期日期。则在生产药片并将它们放入瓶中时,E用PUF D安全地密封该瓶子(例如,E将D连在瓶子及瓶盖之间,使得打开瓶子将导致D停止工作或者实施完全不同且不可预测的函数F’)。之后,E选择(例如基于秘密输入C伪随机选择)365个足够不可预测的数C1,...C365,将每一Ci给予D作为输入以产生对应的输出Ri,产生Ri和I的数字签名Si,并将S1,...,S365放在瓶子上或者D本身中。该过程可在瓶子离开E的生产设施之前即第0天自动和效率高地进行。在每一随后的天d,E公开地公告输入Cd。通过这样做,E使得下述信息很清楚:对于其生产的任何药片瓶(及每一药片、各个物品或一组物品),如果验证者V希望知道关于瓶子或其内容物的一些信息I在天d是否有效,他应将Cd用作天d的输入。具体地,如果V希望验证关于瓶子B的一些信息I在天d是否成立,他应把输入Cd给予安全密封B的PUF D,获得对应的输出Rd,并检查E针对Rd和I的有效数字签名是否被使得可获得(例如在瓶子上或者在D中)。此外,V还可能想要检验数字签署的信息的一些方面是否正确。例如,V可能想要检验瓶中的药片数量是否是数字签署的数量、药片瓶看上去是否与数字签署的信息I中包括的数字图像相似等。
现在假定瓶子在生产之后通过邮件(或通过UPS、Fedex、另一特殊快递公司,或者由公司如Amazon或Alibaba供应)运送到客户或药店,及当瓶子B仍处于输送中时,例如第2天,骗子拦截B、偷取B并希望用假瓶子B’替换B。则骗子将发现很难欺骗B’的接收者相信B’已由E鉴别。客户将在一些时间之后接收B’,例如第4天。骗子不能从B取下PUF D并将其放在B’上。实际上,这样做将导致D停止工作或产生不同的随机输入,如本说明书别处描述的。因而,当客户在第4天收到B’并(例如从网络)知道E的“对第4天的输入”为C4,之后将C4作为输入给予D,客户或者得不到输出,或者得到输出R4’(其具有压倒性概率地永远不被E数字签署,因为D的可能输出数量非常大)。因而,由于没人能够伪造E的数字签名,骗子将不能够欺骗客户。骗子也不能打开瓶子B并将B中的原始药片用一些假药片替换,因为这样做将再次破坏D。骗子也不能通过生产假瓶B’并用全新PUF(或其它设备)D’密封假瓶而成功欺骗客户。实际上,通过在第2天行动并监视E使得可获得(如在网络上)的截至那时每天的输入,骗子可知道E针对第1天的输入C1和E针对第2天的输入,但不能预测E针对第4天的输入是什么(对第3天也不能),因为对于将来的日子的输入不可预测。因而,骗子可编程或生产设备D’,其被给予先前日子的输入并产生与D同样的输出,但不能生产D’使得其输出与D针对将来的输入的那些输出一致。
应注意,在上面的应用中,日期d1,...,dk可不对应于直到过期日期的日子,例如如果一周足以将瓶子运输到其计划目的地,日期对应于瓶子足以到达客户的天数,例如k=7。在该情形下,签名S1,...,S7可在运输而不是生产之前计算和/或加载在瓶子或其PUF上。
为获得另外的效率,E可使用同样的Ci在同一日期di鉴别关于多个容器的信息。实际上,对于同样的输入Ci,两个不同的PUF D和D’可产生不同的输出Ri和Ri’。因而,无论信息I和I’是否一样,E针对Ri和I的数字签名将不同于E针对Ri’和I’的数字签名。
注意,数字签名的产生非常快,从而可能使用比一天精细得多的粒度。为获得另外的效率,可使用Merkle(默克尔)树签名。实质上,默克尔树签名使能以每一字符串一次哈希的总计算代价加上单一“共享的”数字签名任意签署许多字符串。
最后,应注意,生产PUF的特定方式包括用于电路C、用于抗冲突哈希函数H、与PUV的电路D(如判优电路PUV)紧密联系的安全芯片。例如,由这样的安全芯片实施的函数可以是F(x)=H(x,D(x))。应注意,在该情形下,D的布局,无论是否被使得公开,均不被暴露,因为该布局被保护在安全芯片内。该芯片仍然应为PUF。实际上,即使被给予其它输入-输出对,F(x)不可预测。实际上,尽管D(x)可在不同于x的输入时从D的值推测,但永远不能清楚地看到D(x),而是仅仅H(x,D(x)),也就是说,D的输出被密码函数H掩蔽。同样,应注意,在该应用中,安全硬件比通常的硬件安全得多。当安全硬件保护存储在长期存储器中的秘钥SK时,在投资大量金钱之后可能有望发现SK,因为SK为存储在安全芯片中的非易失性字符串。当然,如果骗子预期能赚到更多钱作为回报,该“投资”合理。但该情形在此非常不同。首先,在此描述的安全芯片不隐藏任何长期存储的秘钥。函数H可被使得公开,D的布局也可公开。试图打开芯片以尝试暴露D然后向D馈送多个不同的输入进而知道结果并推测整个函数D(x)是非常艰巨的计划。实际上,函数D(x)取决于D的微观结构,成功打开安全芯片必需的侵入过程改变D的微观结构,因而事实上破坏或者根本改变希望知道的函数D(x)。此外,在在此描述的应用中,PUF相对于d天的输入Cd的输出Rd本身不是“所希望的鉴别”,而是仅仅为其一部分。实际上,E的数字签名安全地结合关于药片瓶B的Rd和信息I。因而,即使骗子成功打开密封B的PUF的安全芯片D及知道函数F(x),并生产实施与D同样的函数F的设备D’,骗子不能仿造E生产的任何东西,而仅仅是E生产的、对其保持同样信息I的药片瓶。实际上,即使在以很大代价知道F(x)之后,由于骗子不能够伪造E的签名,骗子仅能希望“复制”E先前为鉴别一些信息I而计算的数字签名。此外,如果E仅针对例如将给定瓶子B运输到目的地所需要的7天鉴别I,以很大代价破坏安全密封B的PUF将仅使骗子能仿造一周的同样类型的瓶子和药片,也许不足以抵消为破坏PUF付出的大量投资。
3、从弱PUF构建PUF
如本说明书别处描述的,判优电路对每一质询C产生1位的输出,但可被加强以对每一质询C产生k位的输出。具体地,不意为任何限制,,在此描述的系统按如下所述加强判优电路:
首先,C用作预先确定的伪随机发生器的种子以获得k个伪随机质询的序列C1,C2,…Ck。例如,如果H为适当的散列/哈希函数,可能定义Ci=H(i,C)。则判优电路依次用这些伪随机质询中的每一个进行质疑。最终,单一位的输出被级联以获得期望的k位响应R。
如在此描述的,由这样的加强的判优电路实施的函数F随机但非常弱。对于给定输入C,对应的输出F(C)为足够随机的值,但F可推断。也就是说,对于足够多的值Ci(可能每一个均进行仔细选择)给出F(Ci),对于每一将来的输入值C,可预测F(C)。当然,真正随机的函数是不可推断的。
因而,(加强的)判优电路能提供PUV但不能提供PUF。然而,(加强的)判优电路提供弱PUF,简称为WPUF。实质上,WPUF为实施函数F使得在F可能可容易推断的同时满足下述条件的物理设备D:
(a)对于各个输入C,F(C)足够随机;及
(b)D即使轻微的物理改动均导致实施F的明显的失败。例如,一个人可能获得破坏的设备或者实施完全不同于F的函数的设备。
应注意,构建WPUF可能比构建PUF容易得多。实际上,(加强的)判优电路本身是WPUF而不是PUF。下面描述从WPUF构建PUF的可行方法。
如已经提及的,可能希望防止使用产生F的输出的哈希函数H推断由WPUF D实施的函数F。该策略的第一方法可包括级联D和H。也就是说,对应于输入C的输出R可通过首先将C作为输入给予D然后使对应的输出值F(C)变为H的输入然后使H的对应输出H(F(C))成为最终输入R而获得。为避免敌手通过观察D的输入-输出值而推断函数F,D和H受某一形式的安全层保护(例如通过将整个电路制成一个安全硬件)。该情形如图6中所示,其中简图600示出了输入C被映射到输出R。点线框表示保护D的输出免于容易从外面观察到的安全层602。
然而,图6中所示的方法仅可具有有限值。安全芯片被制造成使得在不破坏芯片的情形下篡改芯片的内部内容代价高昂,但不必然不可能篡改安全芯片并获得信息。通过投入足够的财力,敌手可成功去除安全层602而不改动D。当敌手成功时,敌手可通过将不同的输入馈给D并观察对应的输出而推断D实施的函数F。应注意,敌手不需要完全去除安全层602。敌手成功插入“探测器”而不接触/改动D即满足需要,“探测器”使敌手对于足够多的输入C能看见D产生的输出F(C)是什么。
图7示出了已被损害的安全芯片。简图700示出了使敌手能检测D产生的输出F(C)是什么的探测器702。
图8包括简图800,其示出了不同的电路F’802、802’。在推断F之后,敌手可能制造F’802、802’,其实施F但以更标准的方式。通过级联F’802、802’和H,敌手实际上已克隆原始设备,因而这不是不寻常的PUF。非必须地,为使得更难认识到新设备是原始设备的克隆,敌手可能将新设备卷绕在安全层804中。图8示出了两个相当的设备,一个具有安全层804,一个没有安全层804。
为解决图8所示的问题,可能不使用任何安全层保护D和H的级联,而是使D本身为保密级。这是比已经提出的将D和H联在一起的方法好得多的备选方案。这在下面进行阐述。
具体地,考虑(加强的)判优电路。则,作为基本模块的重复,每一模块可线性跟随先前的模块。实施函数F的WPUF设备D 902的线性设计如图9中所示。
图10示出了WPUF设备1002,其设计成完全覆盖具有内腔的三维表面。一般地,WPUF可被设计成覆盖小立方体或平行六面体的表面。实际上,WPUF可绕这样的平行六面体卷绕几次并从不同方向覆盖每一面。在一些实施例中,WPUF可被设计成在不改动和/或破坏WPUF电路的情形下实际上不可能达到内部。图10中的WPUF设备1002被画为二维。应注意,WPUF1002的输入可从外面提供,但WPUF 1002的输出在里面。
图11包括简图1100,其示出了与H级联的WPUF 1002。H的电路被放在由WPUF 1002包围的腔内部,H的输出被传到外面。因此,从技术上讲,WPUF 1002完全覆盖外表面,除了H的输出导线通过之外。应注意,这是逻辑的描述。为使整个设备的体积最小化,内部可被紧密得多地塞满,但避免不想要的“短路”。同样,为了逻辑上简单,H的输出导线被画成笔直。然而,为了避免探测器可沿导线插入,甚至假定探测器和导线为一样的尺寸,H的输出导线可远非笔直。图14示出了H的输出导线根本不与D交叉。
WPUF 1002和哈希函数H的级联构成PUF P的原因在于不能克隆WPUF1002,也不能推断该系统实施的函数G(C)=H(F(C))。也不能推断WPUF 1002实施的函数F。实际上,尽管可将输入C提供给WPUF 1002(因而提供给整个设备),但不能在WPUF 1002的输出上读出F(C),因为为了访问WPUF 1002的输出,即使具有探测器,也必须非常轻微地改动WPUF 1002(的微结构),WPUF的任何这样的改动将导致WPUF实施完全不同于F的函数。
此外,为保护WPUF 1002的意外改动,可能使用外部保护层,在图12的简图1200中通过点线框1202标示。保护层甚至可胶粘或附着到原始WPUF。应注意,胶粘、附着、安全地附着或添加保护层1202的任何方式可改动原始WPUF的微结构,导致其实施不同的函数。任何初始改动没有关系,因为作为PUF P的第一级联的元件的WPUF D被定义为最终的WPUF,因而,在该情形下,WPUF在添加保护层1202之后获得。
根据在此的描述构建的PUF可具体用于实施上面描述的使用PUF的鉴别方案。图13包括简图1300,其示出了使用图11的WPUF 1002产生对应于与日期di关联的输入Ci的输出Ri。图13还示出了本说明书别处描述的实施例,其中Ri的数字签名Si连同需要唯一鉴别的信息I一起产生。图13还示出了可存储在WPUF 1002之中或外面的一些输出-签名对。
在此所述的多个不同实施例可按在此所述的系统的适当组合彼此组合。另外,在某些情形下,只要适当,流程图和/或描述的流水处理的步骤顺序可修改。随后,在屏幕布局中描述的屏幕元素及区域可不同于在此提出的实例。另外,在此所述的系统的多个不同方面可使用软件、硬件、软件和硬件的组合和/或具有所述功件并执行所述功能的其它计算机实施的模块或装置进行实施。
在此所述的系统的软件实施可包括保存在计算机可读介质中的可执行代码。计算机可读介质可以是非短暂介质并包括计算机硬盘驱动器、ROM、RAM、闪存、便携计算机存储介质如CD-ROM、DVD-ROM、闪盘驱动器、SD卡、和/或例如具有通用串行总线(USB)接口的其它驱动器,和/或任何其它适当的有形或非短暂计算机可读介质或可执行代码可保存于其上并由处理器执行的计算机存储器。在此所述的系统可结合任何适当的操作系统使用。
对于本领域技术人员,基于在此公开的发明的说明或实施,本发明的其它实施方式将显而易见。说明和例子仅视为示例,本发明的真实范围和精神由权利要求指明。
Claims (7)
1.提供物理不可克隆函数的电路,包括:
第一部分,其提供根据所述电路的输入变化的随机值;及
第二部分,其对所述随机值进行散列运算以提供所述电路的输出值,其中所述第一部分覆盖所述第二部分以防止访问所述随机值。
2.根据权利要求1所述的电路,其中所述第一部分的破坏以可检测的方式改变所述第一部分的运行。
3.根据权利要求1所述的电路,其中所述第一部分覆盖立方体或平行六面体的表面。
4.根据权利要求3所述的电路,其中所述第一部分绕平行六面体卷绕多次以从不同方向覆盖平行六面体的每一面。
5.根据权利要求1所述的电路,其中所述第二部分的输出不与所述第一部分交叉。
6.根据权利要求1所述的电路,还包括:
位于所述第一部分上的外层。
7.根据权利要求6所述的电路,其中所述外层胶粘到所述第一部分。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662372169P | 2016-08-08 | 2016-08-08 | |
| US62/372,169 | 2016-08-08 | ||
| PCT/US2017/045678 WO2018031437A1 (en) | 2016-08-08 | 2017-08-07 | Counterfeit prevention |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109564536A true CN109564536A (zh) | 2019-04-02 |
Family
ID=61163097
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780046123.0A Pending CN109564536A (zh) | 2016-08-08 | 2017-08-07 | 伪造品防止 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US10803374B2 (zh) |
| EP (1) | EP3497573A4 (zh) |
| JP (1) | JP2019530271A (zh) |
| KR (1) | KR20190039189A (zh) |
| CN (1) | CN109564536A (zh) |
| CA (1) | CA3031291A1 (zh) |
| MA (1) | MA45942A (zh) |
| WO (1) | WO2018031437A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10523443B1 (en) * | 2016-08-24 | 2019-12-31 | Bruce Kleinman | Devices, methods, and systems for cryptographic authentication and provenance of physical assets |
| US11741332B2 (en) | 2017-04-27 | 2023-08-29 | Silvio Micali | Securing cryptographic keys |
| US20210342659A1 (en) * | 2020-05-01 | 2021-11-04 | X-Celeprint Limited | Hybrid documents with electronic indicia |
| WO2022159072A1 (en) | 2021-01-19 | 2022-07-28 | Micali Dr Silvio | Securing cryptographic keys |
| US11720991B2 (en) | 2021-05-20 | 2023-08-08 | International Business Machines Corporation | Signing and authentication of digital images and other data arrays |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030204743A1 (en) * | 2002-04-16 | 2003-10-30 | Srinivas Devadas | Authentication of integrated circuits |
| US20070162798A1 (en) * | 2003-03-20 | 2007-07-12 | Arm Limited | Single event upset error detection within an integrated circuit |
| CN102656588A (zh) * | 2009-08-14 | 2012-09-05 | 本质Id有限责任公司 | 具有防篡改和抗老化系统的物理不可克隆函数 |
| CN103839013A (zh) * | 2014-02-27 | 2014-06-04 | 杭州晟元芯片技术有限公司 | 基于三延时链的物理不可克隆函数电路结构 |
| CN104657630A (zh) * | 2013-11-18 | 2015-05-27 | Vixs系统公司 | 利用物理不可克隆功能的集成电路供应 |
Family Cites Families (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5478990A (en) | 1993-10-14 | 1995-12-26 | Coleman Environmental Systems, Inc. | Method for tracking the production history of food products |
| JP3764198B2 (ja) * | 1996-03-04 | 2006-04-05 | 富士通株式会社 | 情報保護システム |
| JP3365957B2 (ja) * | 1998-05-12 | 2003-01-14 | 三基システムエンジニアリング株式会社 | 異常監視装置 |
| WO2003015169A1 (fr) * | 2001-08-07 | 2003-02-20 | Renesas Technology Corp. | Dispositif semi-conducteur et carte ci |
| US7856116B2 (en) * | 2004-11-09 | 2010-12-21 | Digimarc Corporation | Authenticating identification and security documents |
| US20090008924A1 (en) | 2005-05-11 | 2009-01-08 | Koninklijke Philips Electronics, N.V. | Authenticating banknotes or other physical objects |
| JP2009533742A (ja) | 2006-04-11 | 2009-09-17 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | データベースなしのノイジーな低電力puf認証 |
| JP5149909B2 (ja) | 2006-12-06 | 2013-02-20 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | Rfid装置とのデータ・アクセス制御 |
| US20080282206A1 (en) | 2007-01-11 | 2008-11-13 | Brent Alan Anderson | Structure for Designing an Integrated Circuit Having Anti-counterfeiting Measures |
| EP2214117B1 (en) * | 2007-09-19 | 2012-02-01 | Verayo, Inc. | Authentication with physical unclonable functions |
| WO2009156904A1 (en) | 2008-06-27 | 2009-12-30 | Koninklijke Philips Electronics N.V. | Device, system and method for verifying the authenticity integrity and/or physical condition of an item |
| EP2230793A3 (en) | 2009-03-16 | 2011-09-07 | Technische Universität München | On-Chip Electric Waves: An Analog Circuit Approach to Physical Uncloneable Functions: PUF |
| JP5499358B2 (ja) | 2010-03-24 | 2014-05-21 | 独立行政法人産業技術総合研究所 | 認証処理方法及び装置 |
| US8458489B2 (en) | 2010-03-25 | 2013-06-04 | Empire Technology Development Llc | Differential uncloneable variability-based cryptography |
| JP5354611B2 (ja) | 2010-07-29 | 2013-11-27 | 独立行政法人産業技術総合研究所 | 電子回路部品の真贋判定方法 |
| US8029320B1 (en) | 2010-11-15 | 2011-10-04 | Intel Corporation | Integrated module including physical layer network device, receptacle and physical layer isolation module |
| WO2012122994A1 (en) * | 2011-03-11 | 2012-09-20 | Kreft Heinz | Off-line transfer of electronic tokens between peer-devices |
| US20130147511A1 (en) * | 2011-12-07 | 2013-06-13 | Patrick Koeberl | Offline Device Authentication and Anti-Counterfeiting Using Physically Unclonable Functions |
| DE102012102254B4 (de) | 2012-03-16 | 2020-09-24 | Infineon Technologies Ag | Vorrichtung und Verfahren zur Rekonstruktion einer Bitfolge unter Vorkorrektur |
| JP2014026227A (ja) | 2012-07-30 | 2014-02-06 | Ricoh Co Ltd | 画像形成装置及び画像形成方法、並びに、画像形成方法のプログラム及びそのプログラムを記録した記録媒体 |
| US8928347B2 (en) | 2012-09-28 | 2015-01-06 | Intel Corporation | Integrated circuits having accessible and inaccessible physically unclonable functions |
| US9015500B2 (en) * | 2013-01-16 | 2015-04-21 | Qualcomm Incorporated | Method and apparatus for using dynamic voltage and frequency scaling with circuit-delay based integrated circuit identification |
| CN103198268B (zh) | 2013-03-18 | 2016-06-08 | 宁波大学 | 一种可重构多端口物理不可克隆函数电路 |
| JP2014220661A (ja) | 2013-05-08 | 2014-11-20 | 株式会社東芝 | 証明装置、出力装置、検証装置、入力装置、証明方法、検証方法およびプログラム |
| JP2015023301A (ja) | 2013-07-16 | 2015-02-02 | 株式会社リコー | 画像処理方法および装置 |
| WO2015103396A1 (en) | 2013-12-31 | 2015-07-09 | I-Property Holding Corp. | Pharmaceutical product packaging to prevent counterfeits |
| KR102186475B1 (ko) * | 2013-12-31 | 2020-12-03 | 주식회사 아이씨티케이 홀딩스 | 랜덤한 디지털 값을 생성하는 장치 및 방법 |
| US9246686B1 (en) * | 2014-06-17 | 2016-01-26 | Amazon Technologies, Inc. | Salt value service |
| WO2016024037A1 (en) * | 2014-08-13 | 2016-02-18 | Nokia Technologies Oy | Physical unclonable function |
| MA40917A (fr) * | 2014-11-03 | 2017-09-12 | Micali Silvio | Prévention de la contrefaçon |
| CA2992661A1 (en) | 2015-07-31 | 2017-02-09 | Silvio Micali | Counterfeit prevention |
-
2017
- 2017-08-07 MA MA045942A patent/MA45942A/fr unknown
- 2017-08-07 KR KR1020197006471A patent/KR20190039189A/ko not_active Application Discontinuation
- 2017-08-07 EP EP17840079.2A patent/EP3497573A4/en not_active Withdrawn
- 2017-08-07 US US16/317,859 patent/US10803374B2/en active Active
- 2017-08-07 JP JP2019505197A patent/JP2019530271A/ja active Pending
- 2017-08-07 CN CN201780046123.0A patent/CN109564536A/zh active Pending
- 2017-08-07 CA CA3031291A patent/CA3031291A1/en not_active Abandoned
- 2017-08-07 WO PCT/US2017/045678 patent/WO2018031437A1/en unknown
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030204743A1 (en) * | 2002-04-16 | 2003-10-30 | Srinivas Devadas | Authentication of integrated circuits |
| US20070162798A1 (en) * | 2003-03-20 | 2007-07-12 | Arm Limited | Single event upset error detection within an integrated circuit |
| CN102656588A (zh) * | 2009-08-14 | 2012-09-05 | 本质Id有限责任公司 | 具有防篡改和抗老化系统的物理不可克隆函数 |
| CN104657630A (zh) * | 2013-11-18 | 2015-05-27 | Vixs系统公司 | 利用物理不可克隆功能的集成电路供应 |
| CN103839013A (zh) * | 2014-02-27 | 2014-06-04 | 杭州晟元芯片技术有限公司 | 基于三延时链的物理不可克隆函数电路结构 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10803374B2 (en) | 2020-10-13 |
| EP3497573A1 (en) | 2019-06-19 |
| EP3497573A4 (en) | 2020-03-11 |
| CA3031291A1 (en) | 2018-02-15 |
| US20190236427A1 (en) | 2019-08-01 |
| KR20190039189A (ko) | 2019-04-10 |
| JP2019530271A (ja) | 2019-10-17 |
| WO2018031437A1 (en) | 2018-02-15 |
| MA45942A (fr) | 2019-06-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI813677B (zh) | 用於自動物件辨識及鑑認之方法及系統 | |
| CN109564536A (zh) | 伪造品防止 | |
| AU2017223136B2 (en) | Registry and automated management method for blockchain-enforced smart contracts | |
| KR102467625B1 (ko) | 외부 프로세스 또는 시스템을 제어하기 위한 블록 체인-구현 제어 방법 및 시스템 | |
| CN107852323A (zh) | 伪造品防止 | |
| BR112020020986A2 (pt) | Método de rastreamento de produtos usando bases de registros distribuídos e compartilhados e números aleatórios gerados por processos quânticos | |
| CN107003833A (zh) | 伪造品防止 | |
| Maleh et al. | Blockchain for cyber-physical systems: Challenges and applications | |
| Islam et al. | IoT security, privacy and trust in home-sharing economy via blockchain | |
| US11270184B2 (en) | Counterfeit prevention | |
| US7526648B2 (en) | Cryptographic method of protecting an electronic chip against fraud | |
| CN110249358A (zh) | 基于环1所有权证据导出高价值材料 | |
| JP2004515098A (ja) | 認証方法と認証装置 | |
| US11741332B2 (en) | Securing cryptographic keys | |
| US20240089120A1 (en) | Securing cryptographic keys | |
| CN118365338A (zh) | 一种基于大数据的商务防伪交易方法及系统 | |
| TW543314B (en) | Security module of electronic ticket credit adding system for transportation providing distributed security management architecture | |
| WO2024153828A1 (en) | Reassigning a digital representation of a physical item | |
| FR2814575A1 (fr) | Procedes et systemes d'identification, de chiffrement et de paiement electronique notamment a l'aide de supports homologues detenant un secret partage s'identifiant mutuellement |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40000440 Country of ref document: HK |
|
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190402 |