CN110100412A - 反向计算模糊提取器和用于认证的方法 - Google Patents
反向计算模糊提取器和用于认证的方法 Download PDFInfo
- Publication number
- CN110100412A CN110100412A CN201780081454.8A CN201780081454A CN110100412A CN 110100412 A CN110100412 A CN 110100412A CN 201780081454 A CN201780081454 A CN 201780081454A CN 110100412 A CN110100412 A CN 110100412A
- Authority
- CN
- China
- Prior art keywords
- equipment
- bit string
- processor
- equally distributed
- transceiver
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3278—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/122—Hardware reduction or efficient architectures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/34—Encoding or coding, e.g. Huffman coding or error correction
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了用于认证第一设备的方法和系统。所述方法包括如下步骤:测量第一设备的物理不可克隆函数关于质询位串的第一响应位串,所述物理不可克隆函数是由第一设备的处理器和第一设备的进一步的物理组件中的一个提供的;从均匀分布的随机向量得出共享秘密位串;通过将均匀分布的随机矩阵与均匀分布的随机向量相乘并且将第一响应位串与乘法运算的结果相加来编码辅助位串;以及将辅助位串传输到远离于第一设备的第二设备。
Description
本申请要求于2016年12月30日提交的美国临时申请序列号62/440,685的优先权权益,该美国临时申请的公开被在其整体上通过引用合并于此。
技术领域
在本文件中公开的方法和设备涉及密码学,并且更特别地,涉及用于设备认证的物理不可克隆函数和模糊提取器的使用。
背景技术
在一些应用中,物理不可克隆函数(PUF)被用于认证设备。然而,任何PUF的原始响应是有噪声的并且必须进行后处理,以在每次查询PUF时得出例如相同的密钥。模糊提取器可以利用纠错码来构造,并且被用于使用公共可用的所谓辅助数据来从PUF的原始响应移除噪声。由于纠错码(以及存在于辅助数据中的冗余信息)的性质,传统的信息理论模糊提取器不保持存在于PUF的原始响应中的全部熵。例如,如果PUF的原始响应具有n比特的熵,则在PUF的原始响应被由传统的信息理论模糊提取器处理之后,仅有m比特可以被使用,其中m<n。在其中PUF的原始响应具有有限量的熵的情况下,这样的熵损失是特别糟糕的。作为示例,初步的实验指示MEMS-PUF的原始响应的熵合计略小于90比特。然而,如果PUF响应被用于得出对称密钥,则就安全性而言这是不够的。例如,德国BSI技术指南TR-02102-1“Kryptographische Verfahren:Empfehlungen und Schlüssellängen(加密方法:建议和密钥长度)”(2015-01版,2015年2月10日)要求至少128比特的对称秘密密钥长度。
因此,将有利的是为传统模糊提取器提供替换,在其中可以保持PUF的全部熵并且可以从其得出更长的密钥。更进一步地,如果所述方法可以被用于认证具有极小处理能力和存储器容量的支持轻量级PUF的设备,则这也将是有利的。
发明内容
公开了一种用于认证第一设备的方法。所述方法包括如下步骤:测量第一设备的物理不可克隆函数关于质询位串的第一响应位串,所述物理不可克隆函数是由第一设备的处理器和第一设备的进一步的物理组件中的一个提供的;利用第一设备的处理器从均匀分布的随机向量得出共享的秘密位串;利用第一设备的处理器,通过将均匀分布的随机矩阵与均匀分布的随机向量相乘并且将第一响应位串与乘法运算的结果相加来编码辅助位串;以及利用第一设备的收发器将辅助位串传输到远离于第一设备的第二设备。
公开了一种用于认证第一设备的系统。所述系统包括第一设备,所述第一设备具有(ⅰ)收发器、(ⅱ)存储器存储、以及(ⅲ)可操作地连接到收发器和存储器存储的处理器,处理器和第一设备的进一步的物理组件中的一个被配置为提供由处理器可使用的物理不可克隆函数。所述处理器被配置为:接收第一设备的物理不可克隆函数关于质询位串的第一响应位串的测量;从均匀分布的随机向量得出共享的秘密位串;通过将均匀分布的随机矩阵与均匀分布的随机向量相乘并且将第一响应位串与乘法运算的结果相加来编码辅助位串;以及操作第一设备的收发器以将辅助位串传输到远离于第一设备的第二设备。
附图说明
在关于随附附图所作的以下描述中解释方法和设备的前述的各方面以及其它特征。
图1示出包括证明设备和验证设备的系统。
图2示出反向计算模糊提取器的框图。
图3示出用于使用反向计算模糊提取器来认证设备的方法。
具体实施方式
出于促进对本公开的原理的理解的目的,现在将参照在附图中图示并且在以下的书面说明书中描述的实施例。要理解的是没有由此限制本公开的范围的意图。要进一步理解的是本公开包括对图示的实施例的任何变更和修改,并且包括如本公开所属的领域中的技术人员通常会想到的对本公开的原理的进一步应用。
图1示出包括证明设备102(在此也被称为“证明器”)和验证设备104(在此也被称为“验证器”)的系统100。证明设备102和验证设备104经由不安全的通信信道(诸如网络106(例如,互联网、无线局域网、或者无线网状网))或者直接通信信道(例如,射频识别(RFID)或者近场通信(NFC))与彼此通信。假定通信信道是不安全的,则验证设备104和证明设备102被配置为至少执行认证处理,以验证证明设备102的身份和真实性。在一些实施例中,认证处理是相互的认证处理,其中设备102和设备104这两者的身份和真实性都被验证。
在一些实施例中,证明设备102可以包括安全令牌、智能卡、硬件安全模块、机器、控制器、致动器、传感器、平板计算机、智能电话、膝上型电脑、或者被配置用于与主机系统或者另外的设备进行通信的任何其它设备。在至少一些实施例中,证明设备是具有相对有限的处理能力和存储器的轻量级设备,诸如物联网(IoT)设备。
在示出的实施例中,证明设备102包括处理器108、存储器110、以及收发器112。证明设备102还可以包括可操作地连接到处理器108并且被配置为提供一个或多个服务或者功能的许多附加的组件,诸如感测元件、致动器、接口、显示器等(未示出)。存储器110被配置为存储当由处理器108执行时使得证明设备102能够执行一个或多个服务或者功能的程序指令。除了用于实现证明设备102的基本服务或功能的程序指令之外,程序指令还至少包括用于向验证设备104证明证明设备102的身份和真实性的认证程序114。存储器110还被配置为存储数据116,其可以包括由认证程序126利用的数据。
存储器110可以是能够存储由处理器108可访问的信息的任何类型的设备,诸如存储器卡、ROM、RAM、可写存储器、只读存储器、硬盘驱动器、光盘、闪速存储器、或者如将由那些本领域普通技术人员认识到的充当数据存储设备的任何各种其它计算机可读介质。附加地,虽然存储器110是以F来单片地示出的,但是存储器110可以包括被用于不同目的的不同类型的若干分立的存储器。
处理器108可以包括具有中央处理器、多个处理器、用于实现功能的专用电路的系统,或者其它系统。更进一步地,那些本领域普通技术人员将认识到“处理器”包括处理数据、信号或者其它信息的任何硬件系统、硬件机制或者硬件组件。
收发器112可以是被配置用于与其它电子设备进行通信的各种设备中的任何一种,其包括发送通信信号和接收通信信号的能力。收发器112可以包括被配置为与不同的网络和系统进行通信的不同类型的收发器。收发器112至少被配置为在证明设备102和验证设备104之间交换数据,但是还可以被配置为在网络106上与附加的设备进行通信。在一个实施例中,收发器112被配置为使用诸如Wi-Fi、蓝牙、RFID、NFC、紫蜂(ZigBee)、Z-Wave、或者以太网的协议来交换数据。
证明设备102还具有物理不可克隆函数(PUF)118,其可以由处理器108利用,被配置为接收输入(例如,质询位串)并且产生独特的输出(例如,响应位串)。PUF 118的输出响应取决于证明设备102的至少一个组件的独特的物理结构,并且充当针对证明设备102的数字指纹。在至少一个实施例中,证明设备102的诸如处理器108、存储器110、收发器112、或者MEMS传感器(未示出)的半导体器件为PUF 118提供基础。在其它实施例中,证明设备102可以包括被配置为仅提供PUF 118的专用半导体器件(未示出)。
提供PUF 118的半导体器件或者其它组件的微观结构包括随机的物理变量,所述随机的物理变量是通过在制造期间自然地引入的并且甚至连制造商也不可能控制或者复制。附加地,在一些类型的支持PUF的半导体器件中,在环境状况中的诸如温度、供电电压、以及电磁干扰的变量也将随机性和不可预测性引入到设备的操作中。作为结果,PUF 118对于特定输入具有独特的并且不可预测的生成响应的方式。更进一步地,针对给定的质询输入串,PUF 118未必每次可靠地产生恰好相同的响应串。相反,针对给定的质询输入串,PUF118可以在每次它被使用时可靠地生成相似但是不相同的响应。以这种方式,PUF 118可以被认为具有有噪声的响应。
与证明设备102相反,在一些实施例中,验证设备104是诸如远程服务器、(例如如在家庭自动化系统中使用的)本地控制集线器、支付亭、或者必须验证所连接的设备的身份和真实性的任何其它设备的主机系统。附加地,验证设备104与证明设备102相比一般具有更多的处理能力和更多的存储器,并且更好地适合于承担认证处理的任何计算上的或者存储器密集的方面。
在示出的实施例中,验证设备104包括处理器120、存储器122、以及收发器124。存储器122被配置为存储当由处理器120执行时使得验证设备104能够执行一个或多个服务或者功能的程序指令。除了用于实现验证设备104的基本服务或者功能的程序指令之外,程序指令还至少包括用于验证证明设备102的身份和真实性的认证程序126。存储器122还被配置为存储数据128,所述数据128可以包括由认证程序126利用的数据,诸如证明设备102的PUF 118的质询和测量响应对。
存储器122可以是能够存储由处理器120可访问的信息的任何类型的设备,诸如存储器卡、ROM、RAM、可写存储器、只读存储器、硬盘驱动器、光盘、闪速存储器、或者如将由那些本领域普通技术人员认识的充当数据存储设备的各种其它计算机可读介质中的任何一种。
处理器120可以包括具有中央处理器、多个处理器、用于实现功能的专用电路的系统,或者其它系统。更进一步地,那些本领域普通技术人员将认识到“处理器”包括处理数据、信号或者其它信息的任何硬件系统、硬件机制或者硬件组件。
收发器124可以是被配置用于与其它电子设备进行通信的各种设备中的任何一个,其包括发送通信信号和接收通信信号的能力。收发器124可以包括被配置为与不同的网络和系统进行通信的不同类型的收发器。收发器124至少被配置为在验证设备104和证明设备102之间交换数据,但是还可以被配置为在网络106上与附加的设备进行通信。在一个实施例中,收发器124被配置为使用诸如Wi-Fi、蓝牙、RFID、NFC、紫蜂(ZigBee)、Z-Wave、或者以太网的协议来交换数据。
图2示出反向计算模糊提取器200的框图。与被定义为信息理论对象的传统模糊提取器不同,反向计算模糊提取器200基于错误学习(LWE)来拓展计算安全性,错误学习是用以保持PUF 118的全部熵并且获得更长的加密密钥的后量子安全问题。与许多传统的模糊提取器不同,加密密钥不是从PUF响应提取的。替代地,随机线性码被用于使用LWE假设来得出更长的密钥,并且PUF响应被用于以利用足够相似的PUF响应的知识可解密的方式来“加密”密钥。
反向计算模糊提取器200包括生成函数202。生成函数202接收所测量的PUF 118的响应作为输入。附加地,生成函数202接收均匀分布的随机矩阵A和均匀分布的随机向量作为输入。在至少一个实施例中,向量是随机线性码。在一个示例性实施例中,矩阵A和向量是根据并且而在有限域上均匀采样的,其中n是安全参数,m≥n,并且q是素数,如在“Computational Fuzzy Extractors(计算模糊提取器)”(Benjamin Fuller,Xianrui Meng,和Leonid Reyzin,Advances in Cryptology(密码学进展)-ASIACRYPT 2013,174-193页,Springer(斯普林格出版社),2013)中描述的那样,其中选择m、n和q以便维持提供输入串w'的源的全部熵。生成函数202包括编码函数204,编码函数204使用矩阵乘法和加法来计算向量,其可以被认为是的加密,其中解密根据任何接近的w起效。编码函数204由于矩阵A和向量的均匀分布而有利地掩盖在PUF118的响应中的任何统计偏差。附加地,生成函数202从随机向量得出共享秘密。在一个实施例中,共享秘密是包括随机向量的第一到第个元素的位串。在一个实施例中,共享秘密与随机向量相同。生成函数202的输出是共享秘密和辅助数据。辅助数据p被认为是公共数据并且对于对手来说可以被知悉,而共享秘密可以被用于加密密钥或者用于认证。
反向计算模糊提取器200进一步包括再现函数206。再现函数206接收先前测量的PUF 118的响应作为输入。附加地,再现函数206接收辅助数据作为输入。再现函数206包括计算的减法函数208。附加地,再现函数206包括解码函数210,解码函数210对减法运算的结果进行解码,并且如果根据某种预先限定的度量(例如,在和之间的汉明距离(Hamming distance)小于t),响应足够接近和/或类似于响应,则解码函数210能够以共享秘密进行输出。否则,如果响应并非足够接近和/或类似于响应(例如,在和之间的汉明距离大于t),则解码函数210不能解出并且输出错误值。这样的解码算法的一个实施例在“Computational Fuzzy Extractors(计算模糊提取器)”(Benjamin Fuller,Xianrui Meng,和Leonid Reyzin,Advances in Cryptology(密码学进展)-ASIACRYPT 2013,174-193页,Springer(斯普林格出版社),2013)中是已知的,其中解码算法:(1)在没有进行替换的情况下随机地选择行;(2)将A、b限制于行并且将它们表示为、;(3)找出中的线性独立的n行,并且如果不存在这样的行,则输出并且停止;(4)利用、(分别地)表示、对这些行的限制并且计算;(5)如果具有多于t个的非零坐标,则返回步骤(1);以及(6)输出。再现函数206的输出取决于解码函数210的解而是共享秘密或者是错误值。
在一些实施例中,鲁棒的计算模糊提取器200的生成函数202和再现函数206是在处理器108和/或处理器120中的硅块中实现的,并且作为处理器中的功能是可访问的。在其它的实施例中,模糊提取器200的生成函数202和再现函数206是使用硬件和软件的组合或者纯软件(例如,认证程序114和126)实现的,优选地使用存储器110和/或存储器122的存储软件指令但是不能被轻易修改的区域,以确保用于模糊提取器的软件指令不被更改。
如在下面更详细地讨论的那样,在认证处理期间,证明设备102从验证设备104接收质询c(例如,位串)。质询串c被提供给PUF 118,其输出有噪声的响应。生成函数202基于有噪声的响应、矩阵A、以及向量输出辅助数据p和共享秘密。辅助数据p被提供给验证设备104,并且再现函数206基于先前测量的响应和辅助数据p输出共享秘密或者错误值。如果成功地输出共享秘密,则那么验证设备104知悉证明设备102是真实的(即包括独特的PUF设备118)。否则,如果输出错误值,则那么验证设备104知悉证明设备102不是真实的(即不包括独特的PUF设备118)。
图3示出用于使用反向计算模糊提取器200来认证设备的详细方法300。在对方法的描述中,对方法正在执行一些任务或者功能的记述指代控制器或者一般目的处理器执行存储在操作地连接到控制器或者处理器的非暂态计算机可读存储介质中的编程指令,以操纵数据或者操作系统100中的一个或多个组件以执行任务或者功能。上面的证明设备102的处理器108或者验证设备104的处理器120可以是这样的控制器或者处理器,并且所执行的程序指令(例如,认证程序114和126)可以被存储在存储器110和122中。附加地,方法的步骤可以以任何可行的时间顺序执行而不管各图中示出的顺序或者以其来描述步骤的顺序如何。
方法300以在验证设备和证明设备之间交换认证请求和认证请求确认来为认证作准备(框302和304)的步骤开始。特别地,参照在此详细讨论的特定实施例,作为预备步骤,证明设备102和验证设备104被配置为交换认证请求消息和认证请求确认消息来为证明设备102的认证作准备。在一个实施例中,证明设备102的处理器108被配置为操作收发器112以将认证请求传输到验证设备104。在至少一个实施例中,认证请求包括独特地标识证明设备102的标识符ID。验证设备104利用收发器124接收认证请求。验证设备104的处理器120被配置为将所接收的标识符ID与存储在数据库128中的已知标识符的列表进行比较。如果标识符ID是已知的标识符,则处理器120被配置为操作收发器124以将认证请求确认传输到证明设备102。注意的是在一些实施例中验证设备102被配置为将认证请求传输到证明设备102,并且证明设备102被配置为将认证请求确认和标识符ID一起传输到验证设备104。
方法300以从验证设备传输质询位串(框306)和在证明设备处接收质询位串(框308)的步骤继续。特别地,在一些实施例中,验证设备104的处理器120操作收发器124以将质询位串c传输到证明设备102。在一些实施例中,针对每个已知的标识符ID,验证设备104的数据库128存储多个质询—响应位串对,其中每个响应位串是所测量的PUF 118对于不同的质询位串的响应(其对应于相应的标识符ID)。在至少一个实施例中,所述的对是在制造证明设备102时、在制造包括PUF 118的特定组件时、或者另外在认证处理之前生成的。在从证明设备102接收到认证请求之后或者响应于从证明设备102接收到认证请求,验证设备104的处理器120被配置为从数据库128选择质询位串c并且操作收发器124以将质询位串c传输到证明设备102。在一个实施例中,处理器120被配置为使用时间表或者被设置用于决定要利用哪个质询位串c的其它规则来从多个质询位串选择质询位串c。证明设备102被配置为利用收发器112接收质询位串c。
在一些替换的实施例中,质询位串c可以在制造时被安装在证明设备102的存储器110上。在这样的实施例中,可以省略从验证设备104传输质询位串c(框306)的步骤。替代地,证明设备102的处理器108被配置为从存储器110读取质询位串c。在一个实施例中,响应于接收到认证请求确认,处理器108读取质询位串c。在一些实施例中,多个质询位串被存储在存储器110中。在一个实施例中,处理器108被配置为使用时间表或者被设置用于决定要利用哪个质询位串c的其它规则来从多个质询位串选择质询位串c。
方法300以测量证明设备的物理不可克隆函数对于质询位串的响应位串(框310)的步骤继续。特别地,证明设备102的处理器108被配置为提供质询位串c作为对PUF 118的输入。处理器108测量、接收、或者另外确定PUF 118对于质询位串c的有噪声的响应。
方法300以使用反向计算模糊提取器的生成函数来生成共享秘密位串和公共辅助数据(框312)的步骤继续。特别地,证明设备102的处理器108被配置为使用如在上面关于图2讨论的反向计算模糊提取器200的生成函数202来从均匀分布的随机向量得出共享秘密位串。更进一步地,处理器108被配置为使用如在上面关于图2讨论的反向计算模糊提取器200的生成函数202的编码函数204,通过将均匀分布的随机矩阵A与均匀分布的随机向量相乘并且将有噪声的响应位串与乘法运算的结果相加来编码辅助位串。在一个实施例中,处理器108被配置为在认证时生成均匀分布的随机向量。在一个实施例中,处理器108被配置为在认证时、连同质询位串c一起、或者在一些其它之前的时间处从验证设备104接收均匀分布的随机矩阵A,所述均匀分布的随机矩阵A被认为是公共辅助数据p的一部分。然而,在许多实施例中,均匀分布的随机矩阵A是在制造时被安装在存储器110上的并且在不同的认证期间被重新使用。在证明设备102的初始部署之后,验证设备104被配置为仅出于安全相关的原因在必要情况下传输新的均匀分布的随机矩阵A。在替换的实施例中,证明设备102的处理器108可以生成均匀分布的随机矩阵A并且将它提供给验证设备104。
方法300以从证明设备传输辅助位串(框314)和在验证设备处接收辅助位串(框316)的步骤继续。特别地,证明设备102的处理器108操作收发器112以至少将辅助位串传输到验证设备104。验证设备104被配置为利用收发器124接收辅助位串。在一些实施例中,证明设备102将包括均匀分布的随机矩阵A的所有公共辅助数据p传输到验证设备104。
方法300以从验证设备的存储器读取先前测量的证明设备的物理不可克隆函数对于质询位串的响应位串(框318)的步骤继续。特别地,如在上面讨论的那样,验证设备104的数据库128存储多个质询—响应位串对,其中每个响应位串是所测量的PUF 118对于不同的质询位串的响应。在接收辅助位串之后,验证设备104的处理器120被配置为读取先前测量的与由证明设备102使用以生成辅助位串的质询位串c对应的响应位串。
方法300以使用反向计算模糊提取器的再现函数来再现共享秘密位串(框320)的步骤继续。特别地,验证设备104的处理器120被配置为使用如在上面关于图2讨论的反向计算模糊提取器200的再现函数206的减法函数208来从辅助位串减去先前测量的响应位串。更进一步地,处理器120被配置为通过使用如在上面关于图2讨论的反向计算模糊提取器200的再现函数206的解码函数210解码减法运算的结果来尝试得出共享秘密。如在上面讨论的那样,如果根据某种预先限定的度量(例如,在和之间的汉明距离小于t),响应足够接近和/或类似于响应,则解码函数210能够输出共享秘密。否则,如果响应并非足够接近和/或类似于响应(例如,在和之间的汉明距离大于t)不够接近和/或相似,则解码函数210不能求解并且输出错误值。
方法300以从验证设备传输(ⅰ)指示认证成功的证实消息和(ⅱ)指示认证不成功的拒绝消息中的一个(框322)以及在证明设备处接收(ⅰ)证实消息和(ⅱ)拒绝消息中的一个(框324)的步骤继续。特别地,响应于成功地从解码处理得出共享秘密,验证设备104的处理器120被配置为操作收发器124以将认证证实消息传输到证明设备102,所述认证证实消息指示证明设备102被由验证设备104成功地认证。响应于解码处理未能求解并且输出错误值,处理器120被配置为操作收发器124以将认证拒绝消息传输到证明设备102,所述认证拒绝消息指示证明设备102未被由验证设备104成功地认证。
在此描述的方法(例如,方法300和/或反向计算模糊提取器200)通过使得证明设备102或验证设备104/证明设备102和验证设备104能够更高效和安全地操作以认证证明设备102从而分别地或者以组合方式对证明设备102和验证设备104的功能进行改进。特别地,在一个实施例中,生成函数202以运行并且再现函数206以运行。在验证设备104上实现计算上昂贵的再现函数206,并且在证明设备102上实现计算上不太昂贵的生成函数202。以这种方式,可以有利地在轻量级证明设备102上实现所述方法。附加地,由于矩阵A和向量的均匀随机分布,在不要求任何附加的步骤的情况下掩盖PUF 118的响应中的任何统计偏差,由此使信息泄露最小化并且改进系统100的安全性。最终,保留了PUF 118的全部熵并且能够获得更长的加密密钥。
虽然已经在附图和前述描述中详细地图示并且描述了本公开,但是附图和前述描述应当被认为是说明性的并且并非是在特性上为约束性的。应当理解仅已经呈现了优选的实施例,并且想要保护落入在本公开的精神之内的所有改变、修改和进一步的应用。
Claims (20)
1.一种认证第一设备的方法,所述方法包括:
测量第一设备的物理不可克隆函数关于质询位串的第一响应位串,物理不可克隆函数是由第一设备的组件提供的;
利用第一设备的处理器从均匀分布的随机向量得出共享的秘密位串;
利用第一设备的处理器,通过将均匀分布的随机矩阵与均匀分布的随机向量相乘并且将第一响应位串与乘法运算的结果相加来编码辅助位串;以及
利用第一设备的收发器将辅助位串传输到远离于第一设备的第二设备。
2.如权利要求1所述的方法,进一步包括:
利用第二设备的收发器从第一设备接收辅助位串;
利用第二设备的处理器从第二设备的存储器存储读取第一设备的物理不可克隆函数关于质询位串的先前所测量的第二响应位串,第二响应位串是在制造第一设备时被测量并且存储的;
利用第二设备的处理器从辅助位串减去第二响应位串;
利用第二设备的处理器使用均匀分布的随机矩阵来解码减法运算的结果,如果第一响应位串在对于第二响应位串的相似度的阈值水平之内,则从解码提供共享秘密位串,否则解码输出错误值;以及
利用第二设备的收发器,将(ⅰ)指示认证成功的证实消息和(ⅱ)指示认证不成功的拒绝消息中的一个传输到第一设备,只有当从解码提供了共享秘密位串时才传输证实消息,否则传输拒绝消息。
3.如权利要求2所述的方法,进一步包括:
利用第一设备的收发器从第二设备接收(ⅰ)证实消息和(ⅱ)拒绝消息中的一个。
4.如权利要求1所述的方法,进一步包括:
利用第一设备的收发器从第二设备接收质询位串。
5.如权利要求1所述的方法,进一步包括:
从第一设备的存储器存储读取质询位串。
6.如权利要求1所述的方法,进一步包括:
利用第一设备的处理器从第一设备的存储器存储读取均匀分布的随机矩阵,均匀分布的随机矩阵在制造第一设备时被存储在存储器存储中。
7.如权利要求1所述的方法,进一步包括:
利用第一设备的发射器从第二设备接收均匀分布的随机矩阵;以及
利用第一设备的处理器将所接收的均匀分布的随机矩阵存储在第一设备的存储器存储中,用所接收的均匀分布的随机矩阵替代在第一设备的存储器存储中的任何当前存储的版本的均匀分布的随机矩阵。
8.如权利要求1所述的方法,进一步包括:
利用第一设备的发射器传输认证请求消息,认证请求消息包括第一设备的标识符。
9.如权利要求1所述的方法,其中物理不可克隆函数是由第一设备的处理器和第一设备的存储器存储中的一个提供的。
10.如权利要求1所述的方法,其中物理不可克隆函数是由第一设备的被配置为提供物理不可克隆函数的微机电系统提供的。
11.一种系统,包括:
第一设备,其具有(ⅰ)收发器、(ⅱ)存储器存储、以及(ⅲ)可操作地连接到收发器和存储器存储的处理器,第一设备的组件被配置为提供由处理器可用的物理不可克隆函数,处理器被配置为:
接收第一设备的物理不可克隆函数关于质询位串的第一响应位串的测量;
从均匀分布的随机向量得出共享秘密位串;
通过将均匀分布的随机矩阵与均匀分布的随机向量相乘并且将第一响应位串与乘法运算的结果相加来编码辅助位串;以及
操作第一设备的收发器以将辅助位串传输到远离于第一设备的第二设备。
12.如权利要求11所述的系统,进一步包括:
第二设备,其具有(ⅰ)收发器、(ⅱ)存储器存储、以及(ⅲ)可操作地连接到收发器和存储器存储的处理器,处理器被配置为:
操作第二设备的收发器以从第一设备接收辅助位串;
从第二设备的存储器存储读取第一设备的物理不可克隆函数关于质询位串的先前测量的第二响应位串,第二响应位串是在制造第一设备时被测量并且存储的;
从辅助位串减去第二响应位串;
解码减法运算的结果,如果第一响应位串在对于第二响应位串的相似度的阈值水平之内,则从解码提供共享秘密位串,否则解码输出错误值;以及
将(ⅰ)指示认证成功的证实消息和(ⅱ)指示认证不成功的拒绝消息中的一个传输到第一设备,只有当从解码提供了共享秘密位串时才传输证实消息,否则传输拒绝消息。
13.如权利要求12所述的系统,第一设备的处理器被进一步配置为:
操作第一设备的收发器以从第二设备接收(ⅰ)证实消息和(ⅱ)拒绝消息中的一个。
14.如权利要求11所述的系统,第一设备的处理器被进一步配置为:
操作第一设备的收发器以从第二设备接收质询位串。
15.如权利要求11所述的系统,第一设备的处理器被进一步配置为:
从第一设备的存储器存储读取质询位串。
16.如权利要求11所述的系统,第一设备的处理器被进一步配置为:
从第一设备的存储器存储读取均匀分布的随机矩阵,均匀分布的随机矩阵在制造第一设备时被存储在存储器存储中。
17.如权利要求11所述的系统,第一设备的处理器被进一步配置为:
操作第一设备的收发器以从第二设备接收均匀分布的随机矩阵;以及
将所接收的均匀分布的随机矩阵存储在第一设备的存储器存储中,用所接收的均匀分布的随机矩阵替代在第一设备的存储器存储中的任何当前存储的版本的均匀分布的随机矩阵。
18.如权利要求11所述的系统,第一设备的处理器被进一步配置为:
操作第一设备的收发器以传输认证请求消息,认证请求消息包括第一设备的标识符。
19.如权利要求11所述的系统,其中物理不可克隆函数是由第一设备的处理器和第一设备的存储器存储中的一个提供的。
20.如权利要求11所述的系统,第一设备进一步包括:
微机电系统,其可操作地连接到处理器并且被配置为提供物理不可克隆函数。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662440685P | 2016-12-30 | 2016-12-30 | |
| US62/440685 | 2016-12-30 | ||
| PCT/EP2017/084606 WO2018122235A1 (en) | 2016-12-30 | 2017-12-27 | Reverse computational fuzzy extractor and method for authentication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110100412A true CN110100412A (zh) | 2019-08-06 |
| CN110100412B CN110100412B (zh) | 2022-07-15 |
Family
ID=60888440
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780081454.8A Active CN110100412B (zh) | 2016-12-30 | 2017-12-27 | 反向计算模糊提取器和用于认证的方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11165594B2 (zh) |
| EP (1) | EP3563515B1 (zh) |
| KR (1) | KR102554982B1 (zh) |
| CN (1) | CN110100412B (zh) |
| WO (1) | WO2018122235A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114365134A (zh) * | 2019-08-14 | 2022-04-15 | 亚萨合莱有限公司 | 使用不可克隆函数的安全身份证 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018183572A1 (en) * | 2017-03-29 | 2018-10-04 | Board Of Regents, The University Of Texas System | Reducing amount of helper data in silicon physical unclonable functions via lossy compression without production-time error characterization |
| US11050574B2 (en) | 2017-11-29 | 2021-06-29 | Taiwan Semiconductor Manufacturing Company, Ltd. | Authentication based on physically unclonable functions |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE602004028118D1 (de) * | 2003-05-21 | 2010-08-26 | Koninkl Philips Electronics Nv | Verfahren und Vorrichtung zur Authentifikation eines physischen Gegenstandes |
| KR100827187B1 (ko) * | 2006-10-11 | 2008-05-02 | 엔에이치엔(주) | 보안 인증 시스템 및 방법 |
| US8590010B2 (en) * | 2011-11-22 | 2013-11-19 | International Business Machines Corporation | Retention based intrinsic fingerprint identification featuring a fuzzy algorithm and a dynamic key |
| DE102013109315B4 (de) * | 2013-08-28 | 2016-08-04 | Infineon Technologies Ag | Verfahren und Datenverarbeitungseinrichtung zum Rekonstruieren eines Vektors |
-
2017
- 2017-12-27 WO PCT/EP2017/084606 patent/WO2018122235A1/en unknown
- 2017-12-27 CN CN201780081454.8A patent/CN110100412B/zh active Active
- 2017-12-27 KR KR1020197018779A patent/KR102554982B1/ko active IP Right Grant
- 2017-12-27 EP EP17822708.8A patent/EP3563515B1/en active Active
- 2017-12-27 US US16/320,769 patent/US11165594B2/en active Active
Non-Patent Citations (2)
| Title |
|---|
| GHAITH HAMMOURI AND BERK SUNAR: "《PUF-HB: A Tamper-Resilient HB Based Authentication Protocol》", 《APPLIED CRYPTOGRAPHY AND NETWORK SECURITY,6TH INTERNATIONAL CONFERENCE, ACNS 2008》 * |
| 李艳; 周清雷: "《PUF-NLHB:基于PUF的轻量级认证协议》", 《小型微型计算机系统》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114365134A (zh) * | 2019-08-14 | 2022-04-15 | 亚萨合莱有限公司 | 使用不可克隆函数的安全身份证 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20190097083A (ko) | 2019-08-20 |
| EP3563515A1 (en) | 2019-11-06 |
| KR102554982B1 (ko) | 2023-07-14 |
| WO2018122235A1 (en) | 2018-07-05 |
| US20190165958A1 (en) | 2019-05-30 |
| CN110100412B (zh) | 2022-07-15 |
| US11165594B2 (en) | 2021-11-02 |
| EP3563515B1 (en) | 2021-10-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3113410B1 (en) | Electronic device and method for generating random and unique code | |
| US11018870B2 (en) | Biometric verification process using certification token | |
| US9971986B2 (en) | Method and system for validating a device that uses a dynamic identifier | |
| CN110089075B (zh) | 用于计算模糊提取器的矩阵的伪随机生成以及用于验证的方法 | |
| US20120311320A1 (en) | Mobile Transaction Methods and Devices With Three-Dimensional Colorgram Tokens | |
| CN101842795B (zh) | 用于进行具有动态安全性的交互的系统、方法和设备 | |
| JP2016537887A (ja) | カードリーダデバイスとリモートサーバの間の通信を安全化するためのシステムおよび方法 | |
| JP5337582B2 (ja) | 正当性が保証されたidの生成方法及び正当性保証rfidタグ | |
| CN105681269A (zh) | 基于隐私保护集合的生物计量认证 | |
| CN101765996A (zh) | 远程认证和交易签名 | |
| CN105052072A (zh) | 远程认证和业务签名 | |
| CN104662864A (zh) | 使用了移动认证应用的用户方便的认证方法和装置 | |
| US20080271144A1 (en) | Method for the authenticated transmission of a personalized data set or program to a hardware security module in particular of a franking machine | |
| CN110100413B (zh) | 用于认证的鲁棒计算模糊提取器及方法 | |
| KR101070727B1 (ko) | 좌표영역과 비밀키 값을 이용한 인증 시스템 및 그 방법 | |
| CN110100412A (zh) | 反向计算模糊提取器和用于认证的方法 | |
| Lesjak et al. | A secure hardware module and system concept for local and remote industrial embedded system identification | |
| TW201126993A (en) | Authorization method, authorization system and electronic tag | |
| CN105210071A (zh) | 用于持久认证的隐私保护的知识/因素拥有测试 | |
| CN105681041B (zh) | 一种rfid所有权转移方法 | |
| EP4104079A1 (en) | Method, system, and computer program product for authentication | |
| KR20110005612A (ko) | 생체 인식을 이용한 오티피 운영 방법 및 시스템과 이를 위한 오티피 장치 및 기록매체 | |
| CN109314714A (zh) | 将票证认证委托给物联网和服务中星形网络的系统和方法 | |
| KR20080056565A (ko) | 저가의 전자장치에 적합한 인증 시스템 및 인증 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |