KR101723006B1 - 물리적 복제 방지 기능 기반 키 생성 시스템을 이용하는 디바이스 인증 - Google Patents

물리적 복제 방지 기능 기반 키 생성 시스템을 이용하는 디바이스 인증 Download PDF

Info

Publication number
KR101723006B1
KR101723006B1 KR1020157014017A KR20157014017A KR101723006B1 KR 101723006 B1 KR101723006 B1 KR 101723006B1 KR 1020157014017 A KR1020157014017 A KR 1020157014017A KR 20157014017 A KR20157014017 A KR 20157014017A KR 101723006 B1 KR101723006 B1 KR 101723006B1
Authority
KR
South Korea
Prior art keywords
keys
puf
hardware
hardware device
verification
Prior art date
Application number
KR1020157014017A
Other languages
English (en)
Other versions
KR20150080579A (ko
Inventor
패트릭 코에베를
지앙타오 리
Original Assignee
인텔 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코포레이션 filed Critical 인텔 코포레이션
Publication of KR20150080579A publication Critical patent/KR20150080579A/ko
Application granted granted Critical
Publication of KR101723006B1 publication Critical patent/KR101723006B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/73Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

하드웨어 디바이스를 인증하는 인스트럭션이 저장된 적어도 하나의 머신 액세스 가능한 저장 매체가 제공된다. 인스트럭션은 프로세서에 의해 실행될 때 프로세서로 하여금, 하드웨어 디바이스상의 물리적 복제 방지 기능(PUF)으로부터 두개 이상의 디바이스 키를 수신하고, 두개 이상의 디바이스 키로부터 디바이스 식별자를 생성하고, 하드웨어 디바이스로부터 디바이스 증명서를 획득하고, 디바이스 식별자의 검증을 수행하고, 디바이스 식별자 검증의 결과를 제공하도록 한다. 보다 구체적인 실시예에서, 인스트럭션은 프로세서에 의해 실행될 때 프로세서로 하여금, 디바이스 증명서에서 디지털 서명의 검증을 수행하고, 디지털 서명 검증의 결과를 제공하도록 한다. 디바이스 식별자 검증 및 디지털 서명 검증 중 적어도 하나가 실패하는 경우 하드웨어 디바이스가 거부될 수 있다.

Description

물리적 복제 방지 기능 기반 키 생성 시스템을 이용하는 디바이스 인증{DEVICE AUTHENTICATION USING A PHYSICALLY UNCLONABLE FUNCTIONS BASED KEY GENERATION SYSTEM}
본 개시는 전반적으로 반도체 분야에 관한 것으로, 보다 구체적으로, 물리적 복제 방지 기능(physically unclonable functions : PUF) 기반 키 생성 시스템을 이용하는 디바이스 인증에 관한 것이다.
위조 하드웨어 디바이스에 의한 전자 컴포넌트 공급 체인의 오염은 현재의 셰계화된 시장에서 심각하고 또한 증가하고 있는 위험이다. 복제 및 위조 디바이스가 각종 레벨에서 발생할 수 있다. 리마킹(re-marking)은 위조 디바이스의 저 기술(low technology) 기법이며 발각된 위조의 대부분을 차지한다. 통상적인 리마킹 공격에서, 디바이스의 제품 마킹은 원래의 식별 마킹을, 보다 높은 사양 또는 보다 고가의 부품을 나타내는 새로운 식별 마킹으로 대체함으로써 잘못 표시된다. 이러한 디바이스는, 전자 제품 또는 시스템에 내장되는 경우, 원래의 부품이 설계되지 않은 동작 환경에 따라 현장에서 고장을 일으킬 수 있다. 디바이스 고장은 디바이스 제조자의 명성이 저하되는 것을 초래할 수 있다. 다른 위조 기법은, 예를 들어, 제조 마스크를 복제하거나 또는 디바이스를 리버스 엔지니어링함으로써 디바이스를 복제하는 시도를 포함할 수 있다. 이러한 경우, 위조자는 리마킹된 디바이스 또는 복제된 칩의 인증되지 않은 판매를 통해 칩 설계로부터 이익을 취할 수 있다. 따라서, 이러한 디바이스의 합법적인 제조자에 대한 이익 마진이 불리하게 영향을 받을 수 있다. 추가적으로, 위조 제품이 공급 체인에 진입하는 위험성은 일반적으로 디바이스가 공급 부족을 겪거나 또는 제조자에 의해 제품이 종단될 때 증가한다. 따라서, 하드웨어 디바이스의 인증되지 않은 복제 및 위조에 대한 보호에 있어서 보다 효과적인 기법이 요구된다.
본 개시 및 특징과 그 장점의 보다 완전한 이해를 제공하기 위해, 첨부 도면과 함께 후술하는 상세한 설명을 참조하며, 도면에서 동일한 참조부호는 동일한 부분을 나타낸다.
도 1은 예시적인 실시예에 따른 물리적 복제 방지 기능(PUF) 기반 키 생성 시스템을 이용하는 디바이스 인증을 나타내는 간략화된 블록도이고,
도 2는 실시예에 따른 인증 시스템의 등록 단계 동안 하드웨어 디바이스의 간략화된 상호 작용 도면이고,
도 3은 실시예에 따른 인증 시스템의 평가 단계 동안 하드웨어 디바이스의 간략화된 상호 작용 도면이고,
도 4는 본 개시의 실시예에 따라 연관될 수 있는 예시적인 동작을 도시하는 간략화된 플로우차트이고,
도 5는 본 개시의 실시예에 따라 연관될 수 있는 다른 예시적인 동작을 도시하는 간략화된 플로우차트이고,
도 6은 본 개시의 실시예에 따른 예시적인 프로세서의 블록도이고,
도 7은 본 개시의 실시예에 따른 예시적인 모바일 디바이스 시스템의 블록도이고,
도 8은 본 개시의 실시예에 따른 예시적인 컴퓨팅 시스템의 블록도이다.
도 1은 실시예에 따른 디바이스 인증 시스템(100)을 나타내는 간략화된 블록도이다. 인증 시스템(100)은 등록 호스트(120), 평가 호스트(140), 및 증명되고 인증될 하드웨어 디바이스(150)를 포함할 수 있다. 액세스 어댑터(110)는 하드웨어 디바이스(150)와 등록 호스트(130) 사이의 통신을 용이하게 할 수 있다. 액세스 어댑터(130)는 하드웨어 디바이스(150)와 평가 호스트(140) 사이의 통신을 용이하게 할 수 있다. 통신 링크(115 및 135)는 액세스 어댑터(110)와 등록 호스트(120) 사이, 및 액세스 어댑터(130)와 평가 호스트(140) 사이 각각의 통신을 가능하게 하는 임의의 적절한 형태로 구성될 수 있다. 등록 호스트(120)는 등록 모듈(122), 프로세서(125), 및 메모리 요소(127)를 포함할 수 있다. 평가 호스트(140)는 평가 모듈(142), 프로세서(145), 및 메모리 요소(147)를 포함할 수 있다. 하드웨어 디바이스(150)는 물리적 복제 방지 기능(PUF) 기반 키 생성 시스템(152), 비휘발성 메모리(157), 및 PUF 기반 키 생성 시스템(152)에 대한 액세스를 가능하게 하는 외부 액세스 인터페이스(159)를 포함할 수 있다.
예시적인 구현예에서, 인증 시스템(100)은 하드웨어 디바이스가 제조될 때, 등록 호스트(120) 및 액세스 어댑터(110)를 통해 하드웨어 디바이스(150)의 디바이스 제조자와 연관될 수 있다. 인증 시스템(100)은 하드웨어 디바이스(150)가 다른 전자 디바이스를 제조하는 데 사용될 때, 평가 호스트(140) 및 액세스 어댑터(130)를 통해 다른 전자 디바이스의 제조자(본 명세서에서 "검증자"로서 또한 지칭됨)와 또한 연관될 수 있다.
인증 시스템(100)의 기법을 설명하기 위해, 도 1에 도시된 바와 같이, 전자 컴포넌트 공급 체인 및 이들 공급 체인 내의 하드웨어 디바이스에 존재할 수 있는 활동 및 보안성 문제를 이해하는 것이 중요하다. 다음의 기본 정보는 본 개시가 적절하게 설명될 수 있는 기초로서 보여질 수 있다. 이러한 정보는 단지 예시를 위해 제공되므로, 본 개시 및 그 잠재적인 애플리케이션의 넓은 범위를 제한하는 임의의 방식으로 해석되어서는 안 된다.
위조 반도체 디바이스는 종종 전자 디바이스(예를 들어, 퍼스널 컴퓨터, 랩탑, 스마트폰, 태블릿, 이북(eBook) 판독기 등과 같은 모바일 디바이스, 게임 시스템 등)의 어셈블리 단계 동안 제조 환경에서 전자 컴포넌트 공급 체인에 진입한다. 일반적으로, 집적 회로 또는 칩과 같이, 본 명세서에서 '하드웨어 디바이스'로서 또한 지칭되는 다양한 반도체 디바이스가 당해 전자 디바이스를 구성하는 어셈블리 단계에서 사용된다. 칩이 요구되는 사양을 충족하지 않는 경우, 위조 칩은 전자 디바이스가 고장나게 할 수 있다. 또한, 제품 고장은 전자 디바이스 및 그 제조자의 명성이 저하되는 것을 초래할 수 있다. 저하된 명성은 종종 수익 손실 및 시장 점유율 감소로 이어진다. 따라서, 전자 디바이스의 제조자는 전자 디바이스를 구성하는 데에 사용되는 칩이 진품이고 위조 칩이 아니라는 것을 보장하기를 원한다.
현재 위조 반도체 디바이스를 검출하는 방법은 시각적 검사, 전자 테스팅, 신뢰도 테스팅 및 파괴 테스팅과 같은 수동적 검사를 포함하며, 이는 전문 지식, 설비 및 시간에 있어 많은 투자를 필요로 할 수 있다. 추가적으로, 이들 방법은 매우 고가일 수 있다. 또한, 이러한 방법은 디바이스의 출처 또는 성능을 보장할 수 없고, 많은 경우에, 예를 들어, 테스트가 파괴적일 때, 테스팅을 단지 디바이스의 샘플에 대해서만 수행할 수 있다.
디바이스 인증의 몇몇 방법은 복제와 같은 특정의 타입의 위조에 대해 보호하는 것이 불가능할 수 있다. 예를 들어, 레지스터 내의 고유한 식별자는 디바이스를 복제하는 것에 대해 보호할 수 없다. 고유한 ID가 퓨즈 또는 몇몇 타입의 비휘발성 메모리에 저장되는 경우, 위조자가 디바이스를 복제하고 상이한 고유한 식별자를 레지스터에 저장할 수 있다.
다른 위조 방지 기법은 다른 단점을 가질 수 있다. 예를 들어, 통상적으로 사용되는 위조 방지 기법은 CPU_ID(central processing unit identifier) 메커니즘이며, 이는 CPU 특징의 식별을 지원한다. 그러나, 이 메커니즘은 동일한 디바이스 타입의 2개의 개별적인 예를 구분하는 것이 충분하지 않다.
물리적 복제 방지 기능(PUF)은 보다 효과적인 인증 방식을 구성하는데 있어서 기초적인 보안성의 기본으로서 사용될 수 있다. PUF는 측정되거나 챌린지(challenge)될 때, 고유하고, 반복 가능하고, 예측 가능하지 않은 응답을 제공하는 물리적 시스템이다. 동일한 챌린지 응답(challenge-response) 동작을 갖는 PUF의 물리적 복제물을 생성하는 것이 어려워서, 심지어 제조자에 의해서도 복제가 불가능한 구조가 초래된다.
실리콘 PUF 구현예는 현재 대부분의 집적 회로(IC)를 제조하는데 사용되는 CMOS(complementary metal-oxide-semiconductor) 제조 기술에 영향을 미친다. 실리콘 PUF는 집적 회로 제조 프로세스의 결과인 제어 불가능한 제조 편차를 활용한다. 도펀트 농도 및 라인 폭과 같은 파라미터의 제조 편차는 동일한 집적 회로 설계의 인스턴스들 사이의 타이밍 동작의 차이를 의미한다. 이들 타이밍 차이는 칩에 대해 지문을 추출하는 적절한 회로를 이용하여 측정될 수 있다.
다수의 상이한 실리콘 PUF가 제안되었다. 예를 들어, 중재자 PUF는 중재자에 의해 종단되는 일련의 구성 가능한 지연 요소를 이용하여 2개의 지연 경로의 상대적인 지연을 비교한다. 지연 요소 구성 벡터로서 PUF 챌린지를 이용함으로써, 회로는 챌린지 비트 수의 지수인 챌린지 공간을 나타낸다.
링 발진기 PUF는 PUF 응답을 생성하기 위해 자체 발진 지연 루프의 상대 주파수를 비교한다. 따라서 단일 응답 비트는 한 쌍의 발진기에 의해 생성될 수 있다.
다른 PUF 타입은 초기화되지 않은 6 트랜지스터 SRAM 셀의 파워 업(power-up) 상태에 근거한다. SRAM 셀에서의 저장 메커니즘은 파워 업 이후에 2개의 안정 상태 중 하나를 취하는 4개의 교차 연결된 트랜지스터로 구성된다. 셀이 어느 상태에 진입하는지는 주로 트랜지스터의 상대 특성에 의해 결정되므로, 임의의 미스매칭은 셀로 하여금 상태들 중 하나의 상태에 대해 바이어스를 갖게 한다. 미스매칭은 제조 시에 고정되므로, 셀은 동일한 상태에서 파워 업을 하려고 한다. 파워 업 동작은 셀들 사이에서 랜덤이지만, 하나의 셀에 대해 강성이므로, PUF로서 사용하는데 매우 적합한 구조가 초래된다. SRAM PUF의 사용에서의 챌린지는 SRAM 어드레스의 세트, 및 파워 업 이후의 이들 어드레스의 컨텐츠 응답으로서 고려될 수 있다.
디바이스 추적 가능성 및 인증을 제공하는 몇몇 표준화된 방법이 정의되었으나, 이들의 적어도 몇몇은 예측 불가능하고, 랜덤인 코드의 생성에 근거하고 디바이스 패키지 및 보다 높은 레벨에서 적용되도록 의도되는 직렬화 메커니즘이다. PUF를 이용하는 인증 방법은 제조 설비에 배치되어야 하는 제조자 데이터베이스를 보호하도록 온라인 액세스를 필요로 할 수 있다. 추가적으로, 큰 챌린지 응답 쌍을 갖는 PUF가 요구될 수 있다. 다른 메커니즘은 하드웨어 시뮬레이터 공격에 대해 강성이 되도록 단일 디바이스에서 다수의 PUF 인스턴스를 필요로 할 수 있다. 또한, 오프라인 인증을 허용하는 메커니즘은 디바이스 식별자가 변경 가능한 경우(예를 들어, 상이한 온도, 전압, 및/또는 열 노이즈 하에서) 어느 정도의 잘못된 채택 레이트 및 잘못된 거부 레이트를 가질 수 있다.
도 1의 인증 시스템(100)은 상술한 많은 문제(및 더 많은 문제)를 해결한다. 인증 시스템(100)은 하드웨어 디바이스에 대해 키를 생성하고 도출하는 물리적 복제 방지 기능(PUF) 기반 키 생성 시스템을 이용함으로써 하드웨어 디바이스의 위조를 방지한다. PUF 기반 키 생성 시스템은 그 제조 동안 하드웨어 디바이스에 임베드된다(embedded). 인증 시스템(100)의 등록 단계 동안, 다수의 키(예를 들어, 1000개의 키 등)는 하드웨어 디바이스의 진정한 하드웨어 식별자로서 생성된다. 디바이스 제조자는 하드웨어 디바이스에 디바이스 증명서를 저장함으로써 디바이스를 증명한다. 하드웨어 디바이스는 신뢰할 수 없는 공급 체인을 통해 검증자(예를 들어, 하드웨어 디바이스가 집적되는 다른 전자 디바이스의 제조자)에 적하될 수 있다. 인증 시스템(100)의 평가 단계 동안, 검증자는 하드웨어 디바이스를 인증하고 하드웨어 디바이스가 진정한 디바이스 제조자로부터의 진정한 디바이스라는 것을 검증한다. 디바이스 식별자를 검증하도록 하드웨어 디바이스로부터 동일한 키를 생성하고, 디바이스 증명서상에서 서명을 검증하도록 제조자 공개 키를 이용함으로써 인증이 수행될 수 있다.
도 1의 인프라스트럭쳐(infrastructure)를 참조하면, 인증 시스템(100)에 포함될 수 있는 가능한 인프라스트럭쳐의 일부에 관한 간략한 설명이 제공되어 있다. 인증 시스템(100)은 예시적인 실시예에서 복수의, 가능하게는 이산적인 네트워크 환경에 걸칠 수 있다. 인증 시스템(100)의 등록 단계를 위한 네트워크 환경이 등록 호스트(120) 및 액세스 어댑터(110)에 의해 적어도 부분적으로 제공될 수 있다. 하드웨어 디바이스(150)는 등록 단계 동안 액세스 어댑터(110)에 접속될 수 있다. 인증 시스템(100)의 평가 단계를 위한 별도의 네트워크 환경이 평가 호스트(140) 및 액세스 어댑터(130)에 의해 적어도 부분적으로 제공될 수 있다. 하드웨어 디바이스(150)는 평가 단계 동안 액세스 어댑터(130)에 접속될 수 있다.
등록 호스트(120) 및 평가 호스트(140)는 등록(또는 증명) 기능 및 평가(또는 인증) 기능을 각각 제공하는 인증 시스템(100)의 컴퓨팅 시스템이다. 이들 기능은 하드웨어 디바이스(150)와 같은 하드웨어 디바이스에 제공된다. 본 명세서에서 사용되는 바와 같이, '컴퓨팅 시스템'은 서버, 기기, 퍼스널 컴퓨터, 랩탑, 모바일 디바이스, 프로세서, 모듈, 또는 네트워크 환경에서 정보를 교환하도록 동작 가능한 임의의 다른 적절한 디바이스, 컴포넌트, 요소, 전용 기기, 또는 객체를 포함하도록 의도된다.
호스트(120 및 140)는 본 명세서에서 기술한 바와 같이, 등록 및 평가 기능을 달성(또는 촉진)하는 로직을 포함할 수 있다. 이들 요소의 각각은 본 명세서에서 기술된 동작의 몇몇을 용이하게 하는 내부 구조(예를 들어, 프로세서(125, 145), 메모리 요소(127, 147) 등)를 가질 수 있다. 컴퓨팅 시스템 및 다른 네트워크 요소(예를 들어, 라우터, 게이트웨이, 스위치, 브리지, 로드밸런서(loadbalancer), 방화벽, 어댑터 등)는 그 동작을 용이하게 하고 네트워크 환경에서 데이터 또는 정보를 수신하고, 송신하고, 및/또는 달리 통신하는 것을 가능하게 하는 임의의 적절한 알고리즘, 하드웨어, 소프트웨어, 컴포넌트, 모듈, 인터페이스, 통신 프로토콜, 또는 객체를 포함할 수 있다.
다른 실시예에서, 이들 등록 및 평가 기능은 이들 요소에 대해 외부에서 전체적으로 혹은 부분적으로 실행되고, 또는 이 의도하는 기능을 성취하는 몇몇 다른 컴퓨팅 시스템에 포함될 수 있다. 예를 들어, 등록 기능은 (예를 들어, 디바이스 제조자 설비로서 기능하는) 서버 또는 기기에 제공될 수 있고 네트워크를 통해 호스트(120)와 통신할 수 있다. 서버 또는 기기는 복수의 다른 호스트(예를 들어, 디바이스 제조자 설비에서 하드웨어 디바이스를 액세스하는 호스트)와 또한 통신할 수 있다. 마찬가지로, 평가 기능은 (예를 들어, 디바이스 제조자로부터 하드웨어 디바이스를 수신하는 검증자로서 기능하는) 서버 또는 기기에 제공될 수 있고 네트워크를 통해 호스트(140)와 통신할 수 있다. 서버 또는 기기는 복수의 다른 호스트(예를 들어, 검증자의 설비에서 하드웨어 디바이스를 액세스하는 호스트)와 또한 통신할 수 있다.
호스트와 다른 컴퓨팅 시스템 또는 네트워크 요소 사이의 통신을 가능하게 하는 네트워크는 정보의 패킷을 수신하고 송신하는 상호 접속된 통신 경로의 일련의 포인트 또는 노드를 각각 나타낼 수 있다. 이들 네트워크는 노드들 사이의 통신 인터페이스를 제공하고 LAN(local area networks), WLAN(wireless local area networks), WAN(wide area networks), 인트라넷, 엑스트라넷, VPN(virtual private networks), 또는 유선 및 무선 네트워크를 포함하는, 임의의 다른 적절한 네트워크 구성, 또는 임의의 그 조합으로서 구성될 수 있다. 추가적으로, 셀룰라 네트워크를 통한 무선 신호 통신은 인증 시스템(100)에 또한 제공될 수 있고, 셀룰라 네트워크와의 통신을 가능하게 하도록 적절한 인터페이스 및 인프라스트럭쳐가 제공될 수 있다.
인증 시스템(100)의 몇몇 부분은 네트워크에서 패킷의 송신 및/또는 수신을 위해 TCP/IP(transmission control protocol/internet protocol) 통신이 가능한 구성을 포함할 수 있다. 인증 시스템(100)의 몇몇 부분은 적절한 경우 특정의 필요에 따라, UDP/IP(user datagram protocol/IP) 또는 임의의 다른 적절한 프로토콜과 결합하여 또한 동작할 수 있다. 본 명세서에서 사용되는 바와 같은 '데이터'란 용어는 전자 디바이스, 하드웨어 디바이스, 및/또는 네트워크에서 하나의 포인트로부터 다른 포인트로 통신될 수 있는 임의의 적절한 포맷의, 임의의 타입의 2진, 숫자, 음성, 비디오, 매체, 텍스트, 또는 스트립트 데이터, 또는 임의의 타입의 소스 또는 객체 코드, 또는 임의의 다른 적절한 정보를 지칭한다.
등록 단계에서, 등록 호스트(120)는 액세스 어댑터(110)에 의해 나타내어지는 몇몇 타입의 어댑터를 통해 하드웨어 디바이스(150)에 접속된다. 평가 단계에서, 평가 호스트(140)는 액세스 어댑터(130)에 의해 나타내어지는 몇몇 타입의 어댑터를 통해 하드웨어 디바이스(150)에 접속된다. 하드웨어 디바이스상의 PUF 기반 키 생성 시스템을 액세스하는 하나의 통상적인 방식은 JTAG(Joint Test Action Group) 표준이며, 이는 공식적으로 IEEE(Institute of Electrical and Electronics Engineers) 1149.1-2001 Standard Test Access Port and Boundary-Scan Architecture, 7/23/2001로서 지칭된다. 액세스 어댑터(110 및 130)는 JTAG 어댑터일 수 있고, 임의의 적절한 인터페이스(115 및 135)를 통해, 각각 등록 호스트(120) 및 평가 호스트(140)에 접속될 수 있다. 인터페이스(115 및 135)는 이더넷, PCI(peripheral component interconnect), 및 USB(universal serial bus)를 포함할 수 있으며, 이들로만 제한되지 않는다.
JTAG 표준은 하드웨어 디바이스(150)에서 외부 액세스 인터페이스(159)에 의해 표시되는 통상적인 외부 테스트 액세스 포트를 정의한다. 외부 테스트 액세스 포트는 등록 단계 동안, 및 평가 단계 동안, PUF 기반 키 생성 시스템(152)에 인터페이스를 제공할 수 있다. 그의 아키텍처는 평가 단계가 완전하게 장착된(fully populated) 보드상에서 어셈블리 이후에 이루어질 수 있도록 한다. JTAG는 종종 PCB(printed circuit board)의 땜납 프로세스 동안 개방 또는 단락이 생성되는지를 판정하는 경계 스캔 테스팅을 수행하는데 사용된다. JTAG는 PUF 기반 키 생성 시스템(152)으로부터 키를 판독하고 하드웨어 디바이스의 비휘발성 메모리(157)로부터 디바이스 증명서를 판독하기 위해 인증 시스템(100)에서 사용될 수 있다. JTAG가 요구되는 정보(예를 들어, 키 및 디바이스 증명서)를 획득하도록 사용될 수 있는 하나의 예시적인 산업 표준이지만, 다른 표준이 역시 구현될 수 있다.
하드웨어 디바이스(150)는 PUF 기반 키 생성 시스템이 임베드될 수 있는 임의의 반도체 디바이스일 수 있다. 하드웨어 디바이스(150)의 예는 집적 회로, CPU(central processing units), 마이크로프로세서, 칩셋, SoC(system on a chip), RAM(random access memory), ROM(read-only memory) 등을 포함하며, 이들로만 제한되지 않는다.
PUF 기반 키 생성 시스템(152)은 하드웨어 디바이스(150)상에 임베드되고 다수의 키를 생성하도록 구성된다. 키는 인증 시스템(100)에 의해 하드웨어 디바이스(150)의 진정한 하드웨어 식별자로서 사용될 수 있다. 생성된 키의 수가 증가할수록, 시스템의 보안성이 또한 증대한다. 그러나, 키의 수가 너무 많아지면, 시스템 성능이 영향을 받을 수 있으므로 증명 및 인증 동작이 잠재적으로 지연을 경험할 수 있다. 예시적인 구현예에서, PUF 기반 키 생성 시스템(152)은 500 내지 5000개의 범위에서 키를 생성할 수 있다. 이 범위는 예시를 위해 제공되며, 인증 시스템(100)은 예시 범위 밖의 개수의 키를 생성하도록 구성될 수 있다. 따라서, 하나의 하드웨어 디바이스를 인증하도록 인증 시스템(100)에 의해 다수의 키가 사용될 수 있지만, 생성될 수 있는 키의 실제 수는 유연성이 있고 디바이스 제조자 및/또는 검증자의 특정의 요건 및 필요에 근거하여 구성될 수 있다.
PUF 기반 키 생성 시스템은 하나 이상의 PUF 루트 키를 생성하는 기본 정적 엔트로피 소스로서 PUF를 사용한다. 기본 정적 엔트로피 소스는 플랫폼 고유이며 외부적으로 알려지지 않는다. PUF 비트는 완전하게 정적이 아닐 수 있고 완전한 엔트로피를 갖지 않을 수 있기 때문에, PUF 비트는 PUF 루트 키로서 직접 사용되지 않는다. 그 대신에, PUF 비트는 일반적으로 먼저 사후 처리된다(post-processed first). 사후 처리된 기능(퍼지(fuzzy) 추출기라 또한 지칭됨)은 에러 정정 및 엔트로피 추출을 PUF 비트에 적용할 수 있다. 키 생성 시스템 내에서, 보다 많은 키가 암호화 키 도출 기능을 이용하여 PUF 루트 키로부터 도출될 수 있다.
일례에서, 논리적으로 재구성 가능한 PUF(LR-PUF)는 복수의 출력된 키가 PUF 값으로부터 암호적으로 도출될 수 있게 한다. 논리적으로 재구성 가능한 PUF는 PUF의 물리적 특성 및 제어 로직에 의해 유지된 논리 상태에 의존하는 챌린지/응답 동작을 제공한다. 따라서, 재구성 가능한 PUF의 상태를 업데이트함으로써, 그 챌린지/응답 동작이 동적으로 변경될 수 있다. 챌린지/응답 동작을 동적으로 변경하는 상태를 업데이트하는 것은 재구성 가능한 PUF가 하드웨어 디바이스에 배치된 이후에 이루어질 수 있다.
재구성 가능한 PUF의 특정의 예에서, 상태는 비휘발성 메모리에 저장되고 제어 로직에 의해 유지된다. 제어 로직은 LR-PUF에게 질의하는 알고리즘 및 LR-PUF를 재구성하는 알고리즘을 포함한다. 질의 알고리즘은 챌린지를 연산하고, 응답을 평가하고, 결과를 반환한다. 재구성 알고리즘은 현재의 상태를 새로운 독립 상태로 변경함으로써 LR-PUF를 재구성한다. 상대방은 LR-PUF의 현재 및 과거 상태를 알 수 있지만, 상태를 과거의 LR-PUF 상태로 변경할 수 없다.
다른 PUF 기반 키 생성 시스템은 복수의 키가 아니라, 하나의 키를 제공할 수 있다. 이들 시스템의 경우, 하드웨어 내의 암호화 키 도출은 다수의(잠재적으로 제한되지 않는) 키를 도출하도록 구현될 수 있다. 추가적으로, 다수의 키가 생성될 수 있는 임의의 다른 PUF 기반 키 생성 시스템이 하드웨어 디바이스(150)에 임베드되어 인증 시스템(100)의 등록 및 평가 단계 동안 키를 생성할 수 있다.
PUF 기반 키 생성 시스템(152)의 도메인 분리는 하드웨어 디바이스에 대한 액세스를 얻는 공급 체인 내의 검증자 또는 다른 개체가 PUF 기반 키 생성 시스템을 액세스하고 플랫폼의 키를 인지하지 못하게 하도록 제공될 수 있다. 따라서, PUF 기반 키 생성 시스템의 개별적인 물리적 인스턴스는 단일 하드웨어 디바이스에서 구현될 수 있다. 하나의 인스턴스는 증명 및 인증을 위해 전용될 수 있는 한편, 다른 인스턴스는 내부 플랫폼 키를 위해 전용될 수 있다. 외부 액세스 인터페이스(159)는 증명 및 인증에 전용되는 PUF 기반 키 생성 시스템에 대해 외부 액세스를 제공할 수 있으나, 내부 플랫폼 키에 전용된 PUF 기반 키 생성 시스템에 대해서는 제공할 수 없다. 이 구성은 공급 체인 내의 검증자(및 기타)가 내부 플랫폼 키를 액세스할 수 없음을 보장한다.
비휘발성 메모리(157)는 등록 호스트(120)에 의해 생성된 디바이스 증명서를 저장하는데 사용될 수 있다. 비휘발성 메모리의 예로는 플래시 메모리 및 퓨즈를 포함하지만, 이들로만 제한되지 않는다. 그러나, 모든 하드웨어 디바이스가 비휘발성 메모리를 갖지는 않는다. 이 상황에서, 디바이스 증명서는 2D 데이터 매트릭스(예를 들어, 데이터 매트릭스 ECC(Error Checking and Correction) 200 표준)를 이용하여 IC 패키지 상에 저장될 수 있다. 2D 데이터 매트릭스를 이용함으로써, 44x44 매트릭스는 1136 비트를 인코딩할 수 있다. 600DPI의 해상도에서, 데이터 매트릭스는 단지 대략 8mmx8mm 공간을 차지한다.
도 2를 참조하면, 인증 시스템(100)의 등록 단계의 상호 작용 도면이 도시되어 있다. 등록 단계는 디바이스 제조자에 의해 하드웨어 디바이스를 증명하는 것에 관련한다. 공개/개인 키 쌍 및 고유한 디바이스 식별자를 이용하여 증명이 이루어질 수 있다. (mpk, msk)가 디바이스 제조자의 공개 검증 키 및 개인 서명 키 쌍이라고 가정한다. 디바이스 제조자는 PUF 기반 키 생성 시스템(152)을 하드웨어 디바이스(150)에 임베드한다. 제조자는 n개의 디바이스 키를 획득하도록 PUF 기반 키 생성 시스템(152)에게 질의한다. 제조자는 (160)에서, 출력된 n개의 키를, 본 명세서에서 '디바이스 ID'라 또한 지칭되는 보다 작은 디바이스 식별자(idD)로 해쉬(hash)한다. 임의의 강성의 암호화 해쉬 기능이 사용될 수 있다. 제조자는 (170)에서, idD를 서명하도록 디바이스 제조자의 개인 서명 키(mpk)를 사용하여 디지털 서명 σ을 생성한다. 제조자는 디바이스 증명서(idD, σ)(180)를 설정하고, 디바이스 증명서를 하드웨어 디바이스(150)의 비휘발성 메모리(157)에 저장한다.
공개 키 암호화는 개인 서명 키 및 공개 키를 포함하는 수학적으로 링크된 키 쌍이 송신자로부터 수신자로 전송되는 데이터를 보호하고 데이터의 인증을 검증하는데 사용될 수 있는 메커니즘이다. 디지털 서명은 데이터가 특정의 송신자로부터 유래된 것임이 증명되는 메커니즘이다. 송신자에 대해서만 알려질 수 있는 개인 키는 데이터, 또는 그 일부를 암호화하는데 사용되어, 디지털 서명을 생성할 수 있다. 인증 시스템(100)에서, 디바이스 식별자(idD)는 디지털 서명(σ)을 생성하도록 암호화되는 데이터일 수 있다. 암호화된 데이터 또는 디지털 서명은 수신 개체(예를 들어, 검증자)로 전송될 수 있다. 수신 개체는 키 쌍의 공개 키를 사용하여 디지털 서명을 복호화하고 데이터의 인증을 검증할 수 있다. 공개 키는 디지털 서명과 함께 수신 개체로 전송될 수 있거나 또는 수신 개체에 달리 제공될 수 있다.
도 3을 참조하면, 인증 시스템(100)의 평가 단계의 상호 작용 도면이 도시되어 있다. 평가 단계는 검증자(예를 들어, 하드웨어 디바이스가 집적되는 전자 디바이스의 제조자)에 의해 하드웨어 디바이스를 증명하는 것에 관련한다. 일단 검증자가 공급 체인으로부터 하드웨어 디바이스(150)를 획득하면, 하드웨어 디바이스가 검증될 수 있다. 검증자는 PUF 기반 키 생성 시스템(152)에게 질의하여 n개의 키를 획득할 수 있는데, 이 n개의 키는 등록 단계에서 획득된 n개의 키와 동일해야 한다. 검증자는 (160)에서, 출력된 n개의 키를 보다 작은 디바이스 식별자(idD')로 해쉬한다. 등록 단계 동안 사용된 동일한 암호화 해쉬 기능이 평가 단계 동안 사용된다. 검증자는 하드웨어 디바이스(150)의 비휘발성 메모리(157)로부터 디바이스 증명서(idD, σ)를 판독한다. 검증자는 (190)에서 idD가 idD'와 매칭하는지를 체크함으로써 디바이스 식별자를 검증할 수 있다. 이들이 매칭하지 않는 경우, 검증자는 하드웨어 디바이스(150)를 인증되지 않는 것으로서 거부할 수 있다. 검증자는 (190)에서, 디바이스 제조자의 공개 검증 키(mpk)를 또한 사용하여 idD상의 디지털 서명 σ을 검증할 수 있다. 서명 검증이 실패하면, 검증자는 하드웨어 디바이스(150)를 인증되지 않는 것으로서 거부할 수 있다.
n개의 디바이스 키를 획득하도록 하는 PUF 기반 키 생성 시스템에 대한 질의는 등록 단계(예를 들어, 디바이스 제조자에 의한) 및 평가 단계(예를 들어, 검증자에 의한)에서 동일한 질의일 수 있다. 키의 수는, 예를 들어, n=512, n=1024, 또는 n=2048로서 설정될 수 있다. 질의는 하드웨어로 하드코딩될 수 있거나, 또는 질의 동안 하드웨어 디바이스(150)에 제공될 수 있다. 예를 들어, 제 1 질의는 key1을 획득하도록 '위조 방지-1'로서 설정될 수 있고, 제 2 질의는 key2을 획득하도록 '위조 방지-2'로서 설정될 수 있다. 또한, 질의는 공개적일 수 있다.
디지털 서명 방식으로서 복수의 디바이스 키를 생성하는 PUF 기반 키 생성 시스템을 사용하는 것은 하드웨어 디바이스에 대해 효과적이고 신뢰 가능한 위조 방지 해법이다. 예시적인 실시예에서, 디바이스 증명서는 디지털 서명되고 디바이스 ID로 제한된다. 해쉬 기능(예를 들어, SHA-256)의 충돌 내성 특성을 고려하면, 공격자는 위조된 디바이스가 성공적으로 검증되도록 하기 위해 PUF 기반 키 생성 시스템으로부터의 모든 키를 위조해야 한다. PUF는 복제 불가능하므로, 인증 시스템(100)의 공격자는 하드웨어 내의 모든 디바이스 키를 시뮬레이팅하고 디바이스 인증 동안 디바이스 키를 검증자에 출력할 수 있어야 한다. 키의 수가 충분히 많으면, 키를 하드웨어로 하드코딩하는 비용은 잠재적인 공격자의 공격이 비경제적으로 되게 할 수 있다.
추가적으로, 인증 시스템(100)은 간단하고 저가로 구현할 수 있다. 평가 단계 동안 임의의 안전한 온라인 데이터베이스 액세스를 필요로 하지 않을 수 있다. 몇몇 실시예에서, 디바이스에 대해 잠재적으로 요구되는 임의의 추가적인 비휘발성 스토리지는 작을 수 있으므로, 비용 효과적인 해법이 구현될 수 있다. 또한, 인증 시스템(100)은 PUF 기반 키 생성 시스템에 대해 사용된 적은 양의 PUF 회로만을 필요로 할 수 있다. 다수의 PUF 애플리케이션과 달리, 몇몇 실시예에서, PUF 질의 및 디바이스 증명서는 공개적일 수 있고, 보호되지 않을 수 있다. 추가적으로, 몇몇 실시예에서 에러 정정 또는 퍼지 추출기는 요구되지 않을 수 있다. 또한, PUF 기반 키 생성 시스템을 이용하는 인증 시스템의 잘못된 채택 및 거부 레이트는 최소 0이다.
도 4를 참조하면, 인증 시스템(100)의 실시예의 등록 단계와 연관될 수 있는 동작의 예시적인 흐름(400)이 도시되어 있다. 예시적인 일 구현예에서, 흐름(400)의 일부 또는 전부는 등록 호스트(120)의 등록 모듈(122)에 의해 수행될 수 있다. 흐름(400)은 하드웨어, 소프트웨어, 펌웨어, 또는 그 임의의 적절한 조합으로 구현될 수 있다.
등록 단계에서, 하드웨어 디바이스는 디바이스 제조자에 의해 증명된다. (mpk, msk)가 디바이스 제조자의 공개 검증 키 및 개인 서명 키의 키 쌍이라고 가정한다. 예시적인 실시예에서, 제조자는 PUF 기반 키 생성 시스템을 하드웨어 디바이스에 임베드한다. PUF 기반 키 생성 시스템은 다른 용도를 가질 수 있다. 그러나, 다른 실시예에서, 증명 및 인증을 위한 디바이스 키를 제공하는 데에 PUF 기반 키 생성 시스템이 전용될 수 있는 한편, 다른 PUF 시스템이 하드웨어 디바이스에 임베드되어 다른 용도(예를 들어, 플랫폼 키)로 전용될 수 있다.
(402)에서, 디바이스 제조자는 (예를 들어, 등록 호스트(120)의 등록 모듈(122)을 통해) n개의 키에 대해 하드웨어 디바이스에 임베드된 PUF 기반 키 생성 시스템에게 질의한다. 예를 들어, 키의 수는 512, 1024, 또는 2048로 설정될 수 있다. 이들 질의는 공개적일 수 있고, 하드웨어로 하드코딩될 수 있거나, 또는 질의 동안 하드웨어 디바이스에 제공될 수 있다. n개의 키의 각각의 키에 대해 질의가 행해질 수 있다.
PUF 기반 키 생성 시스템으로부터 모든 n개의 키를 수신한 후에, (404)에서, 디바이스 제조자는 모든 출력된 n개의 키를 보다 작은 디바이스 ID(idD)로 해쉬한다. 암호화 해쉬 기능은 디바이스 ID(idD)를 획득하도록 n개의 키에 적용될 수 있다. 암호화 해쉬 기능은 데이터에 대한 임의의 변경이 해쉬 값으로 변경할 가능성이 매우 높도록, 임의의 데이터 블록을 취하고 고정 사이즈 비트 스트링을 반환하는 알고리즘이다. 사용될 수 있는 강성의 암호화 해쉬 기능의 예는 U.S. FIPS(Federal Information Processing Standard)로서 NSA(National Security Agency)에 의해 지정되고 NIST(National Institute of Standards and Technology)에 의해 2002년에 공표된 SHA-256를 포함하되, 이로만 제한되지 않는다.
(406)에서, 제조자는 그 개인 서명 키(mpk)를 사용하여 디바이스 ID(idD)를 서명하고 디지털 서명(σ)을 생성할 수 있다. (408)에서, 제조자는 디바이스 ID 및 디지털 서명에 근거하여 디바이스 증명서(idD, σ)를 생성한다. (410)에서, 제조자는 하드웨어 디바이스의 비휘발성 메모리에 디바이스 증명서를 저장한다.
도 5를 참조하면, 인증 시스템(100)의 실시예의 평가 단계와 연관될 수 있는 동작의 예시적인 흐름(500)이 도시되어 있다. 예시적인 일 구현예에서, 흐름(500)의 일부 또는 전부는 평가 호스트(140)의 평가 모듈(142)에 의해 수행될 수 있다. 흐름(500)은 하드웨어, 소프트웨어, 펌웨어, 또는 그 임의의 적절한 조합으로 구현될 수 있다.
평가 단계에서, 검증자는 공급 체인으로부터(예를 들어, 디바이스 제조자로부터)인 것으로 추정되는 하드웨어 디바이스를 수신한다. 그러나, 위조 공격에서, 하드웨어 디바이스는 위조 개체에 의해 공급될 수 있다. (502)에서, 검증자는 (예를 들어, 평가 호스트(140)의 평가 모듈(142)을 통해) n개의 키에 대해 하드웨어 디바이스에 임베드된 PUF 기반 키 생성 시스템에게 질의한다. 예를 들어, 키의 수는 512, 1024, 또는 2048로 설정될 수 있다. 키의 수는 등록 단계에서 설정되는 키의 수와 동일한 양으로 설정된다. 이들 질의는 공개적일 수 있고, 하드웨어로 하드코딩될 수 있거나, 또는 질의 동안 하드웨어 디바이스에 제공될 수 있다. n개의 키의 각각의 키에 대해 질의가 행해질 수 있다.
(504)에서, 검증자는 모든 출력된 n개의 키를 보다 작은 디바이스 ID(idD')로 해쉬한다. 검증자는 복수의 디바이스 키를 보다 작은 디바이스 ID로 해쉬하도록 등록 모듈에 의해 사용되는 동일한 암호화 해쉬 기능을 사용한다. (506)에서, 검증자는 디바이스 증명서(idD, σ)를 판독할 수 있다. 예를 들어, 디바이스 증명서는 하드웨어 디바이스의 비휘발성 메모리로부터 판독될 수 있다.
(508)에서, 검증자는 디바이스 식별자를 검증한다. 등록 단계에서 생성된 디바이스 ID가 평가 단계로부터의 디바이스 ID와 매칭하지 않으면(즉, idD≠idD'), 검증은 실패한다. 디바이스 식별자 검증이 실패한 것을 나타내는 결과가 임의의 적절한 방식으로(예를 들어, 리포트, 디스플레이 스크린 메시지 또는 경보, 텍스트 메시지, 이메일 등) 검증자에 제공될 수 있다. 디바이스 식별자 검증이 실패하면, (514)에서 하드웨어 디바이스가 검증자에 의해 거부될 수 있고, 제조되는 전자 디바이스로 집적되지 않는다.
한편, 등록 단계에서 생성된 디바이스 ID가 평가 단계로부터의 디바이스 ID와 매칭하면(즉, idD =idD'), (510)에서, 디바이스 증명서상의 디지털 서명이 검증될 수 있다. 디지털 서명은 제조자 공개 키(mpk)를 이용하여 검증될 수 있다. 디지털 서명 검증이 실패하면, 실패한 디지털 서명 검증을 나타내는 결과가 임의의 적절한 방식으로 (예를 들어, 리포트, 디스플레이 스크린 메시지 또는 경보, 텍스트 메시지, 이메일 등) 검증자에 제공될 수 있다. 디지털 서명 검증이 실패하면, (514)에서 검증자에 의해 하드웨어 디바이스가 거부될 수 있고, 제조되는 전자 디바이스로 집적되지 않는다. 그러나, (510)에서 디지털 서명이 검증되고, (508)에서 디바이스 식별자가 검증되면, (512)에서 하드웨어 디바이스가 검증자에 의해 채택될 수 있고, 전자 디바이스로 집적된다.
도 6 내지 도 8은 본 명세서에서 개시된 실시예에 따라 사용될 수 있는 예시적인 컴퓨터 아키텍처의 블록도이다. 프로세서, 모바일 디바이스, 및 컴퓨팅 시스템의 분야에서 알려진 다른 컴퓨터 아키텍처 설계가 또한 사용될 수 있다. 일반적으로, 본 명세서에서 개시된 실시예에 대한 적절한 컴퓨터 아키텍처는 도 6 내지 도 8에 도시된 구성을 포함할 수 있으며, 이들로만 제한되지 않는다.
도 6은 실시예에 따른 프로세서의 예시적인 도면이다. 프로세서(600)는 등록 호스트(120) 및 평가 호스트(140) 각각의 프로세서(125 및 145)의 예시적인 일 실시예이다. 추가적으로, 프로세서(600)는 인증 시스템(100)에 의해 인증될 수 있는 소정의 타입의 하드웨어 디바이스의 예이다.
프로세서(600)는 마이크로프로세서, 임베디드 프로세서, 디지털 신호 프로세서(DSP), 네트워크 프로세서, 멀티 코어 프로세서, 단일 코어 프로세서, 또는 코드를 실행하는 다른 디바이스와 같은 임의의 타입의 프로세서일 수 있다. 단지 하나의 프로세서(600)가 도 6에 도시되어 있으나, 프로세싱 요소는 이와 달리 도 6에 도시된 프로세서(600)를 두개 이상 포함할 수 있다. 프로세서(600)는 단일 쓰레드(single-threaded) 코어일 수 있거나, 또는 적어도 하나의 실시예의 경우, 프로세서(600)는 코어 당 두개 이상 하드웨어 쓰레드 콘텍스트(또는 "논리 프로세서")를 포함할 수 있다는 점에서 멀티쓰레드(multithreaded)될 수 있다.
도 6은 실시예에 따른 프로세서(600)에 커플링된 메모리(602)를 또한 도시한다. 메모리(602)는 당 분야에서 통상의 지식을 가진 자에게 알려져 있거나 또는 달리 이용 가능한 바와 같은 (메모리 계층의 각종 층을 포함하는) 임의의 다양한 메모리일 수 있다. 이러한 메모리 요소는 RAM(random access memory), ROM(read only memory), FPGA(field programmable gate array)의 로직 블록, EPROM(erasable programmable read only memory), 및 EEPROM(electrically erasable programmable ROM)을 포함할 수 있지만, 이들로만 제한되지 않는다.
프로세서(600)는 본 명세서에서 기술된 증명 및 인증 동작과 연관된 임의의 타입의 인스트럭션을 실행할 수 있다. 일반적으로, 프로세서(600)는 하나의 상태 또는 사물로부터 다른 상태 또는 사물로 요소 또는 아티클(예를 들어, 데이터)을 변환할 수 있다.
코드(604)는 프로세서(600)에 의해 실행될 하나 이상의 인스트럭션일 수 있고, 메모리(602)에 저장될 수 있거나, 또는 소프트웨어, 하드웨어, 펌웨어, 또는 그 임의의 적절한 조합에 저장되거나, 또는 적절하고 특정의 필요에 근거하여 임의의 다른 내부 또는 외부 컴포넌트, 디바이스, 요소, 또는 객체에 저장될 수 있다. 일례에서, 프로세서(600)는 코드(604)에 의해 표시된 인스트럭션의 프로그램 시퀀스를 따를 수 있다. 각각의 인스트럭션은 프론트 엔드 로직(606)으로 입력되고 하나 이상의 디코더(608)에 의해 프로세스된다. 디코더는 사전 정의된 포맷으로 고정 폭 마이크로 오퍼레이션과 같은 마이크로 오퍼레이션을 그 출력으로서 생성할 수 있거나, 또는 원래의 코드 인스트럭션을 반영하는 다른 인스트럭션, 마이크로인스트럭션, 또는 제어 신호를 생성할 수 있다. 프론트 엔드 로직(606)은 레지스터 재명명 로직(610) 및 스케줄링 로직(612)을 또한 포함하며, 이는 일반적으로 리소스를 할당하고 실행을 위한 인스트럭션에 대응하는 동작을 큐잉한다.
프로세서(600)는 실행 유닛 세트(6161 내지 616m)를 갖는 실행 로직(614)을 또한 포함할 수 있다. 몇몇 실시예는 특정의 기능 또는 기능 세트에 전용되는 다수의 실행 유닛을 포함할 수 있다. 다른 실시예는 단지 하나의 실행 유닛 또는 특정의 기능을 수행할 수 있는 하나의 실행 유닛을 포함할 수 있다. 실행 로직(614)은 코드 인스트럭션에 의해 특정된 동작을 수행한다.
코드 인스트럭션에 의해 특정된 동작의 실행 완료 후에, 백 엔드 로직(618)은 코드(604)의 인스트럭션을 퇴거(retire)시킬 수 있다. 일 실시예에서, 프로세서(600)는 무순서 실행을 허용하지만 순차적인 인스트럭션의 퇴거를 필요로 한다. 퇴거 로직(620)은 다양한 공지의 형태(예를 들어, 재순서 버퍼 등)를 취할 수 있다. 이러한 방식으로, 프로세서(600)는 적어도 디코더에 의해 생성된 출력, 레지스터 재명명 로직(610)에 의해 이용된 하드웨어 레지스터와 테이블, 및 실행 로직(614)에 의해 수정된 임의의 레지스터(도시되지 않음)의 관점에서, 코드(604)의 실행 동안 변환된다.
도 6에 도시되어 있지 않지만, 프로세싱 요소는 프로세서(600)를 갖는 칩상에서 다른 요소를 포함할 수 있다. 예를 들면, 프로세싱 요소는 프로세서(600)와 함께 메모리 제어 로직을 포함할 수 있다. 프로세싱 요소는 I/O 제어 로직을 포함할 수 있고 및/또는 메모리 제어 로직과 통합된 I/O 제어 로직을 포함할 수 있다. 프로세싱 요소는 하나 이상의 캐쉬를 또한 포함할 수 있다. 몇몇 실시예에서, (플래시 메모리 또는 퓨즈와 같은) 비휘발성 메모리는 프로세서(600)를 갖는 칩상에 포함될 수 있다.
도 7은 예시적인 모바일 디바이스(700)의 블록도가 도시되어 있다. 모바일 디바이스(700)는 인증 시스템(100)의 가능한 컴퓨팅 시스템의 예이다. 실시예에서, 모바일 디바이스(700)는 무선 통신 신호의 송신자 및 수신기로서 동작한다. 구체적으로, 일례에서, 모바일 디바이스(700)는 셀룰라 네트워크 음성 및 데이터 모바일 서비스를 송신하고 수신할 수 있다. 모바일 서비스는 완전한 인터넷 액세스, 다운로드 가능한 스트리밍 비디오 컨텐츠 뿐만 아니라 음성 전화 통신과 같은 기능을 포함한다.
모바일 디바이스(700)는 "3G(third generation)" 셀룰라 서비스를 수신할 수 있는 핸드셋과 같은 통상적인 무선 또는 셀룰라 휴대용 전화에 대응할 수 있다. 다른 예에서, 모바일 디바이스(700)는 "4G" 모바일 서비스 뿐만 아니라 임의의 다른 적절한 서비스를 송신하고 수신할 수 있다.
모바일 디바이스(700)에 대응할 수 있는 디바이스의 예는 전화 서비스를 지원하는 능력과 함께, 인터넷 액세스, 이메일 및 인스턴트 메시징 통신이 가능한 것과 같은 셀룰라 전화 핸드셋과 스마트폰, 및 휴대용 비디오 수신 및 디스플레이 디바이스를 포함한다. 본 명세서를 참조하는 당 분야에서 통상의 지식을 가진 자라면 본 명세서에서 기술된 바와 같은 본 개시의 각종 측면의 구현에 적합한 현재의 스마트폰 및 전화 핸드셋 디바이스와 시스템의 속성을 용이하게 이해할 것이다. 이와 같이, 도 7에 도시된 모바일 디바이스(700)의 아키텍처는 상대적으로 높은 레벨에서 제공된다. 그러나, 본 아키텍처에 대한 수정 및 대체가 행해질 수 있고, 이는 독자에게 명백할 것이고, 이러한 수정 및 대체는 본 설명의 범위 내에 있는 것으로 간주될 것이다.
본 개시의 측면에서, 모바일 디바이스(700)는 안테나에 접속되고 이와 통신하는 트랜시버(702)를 포함한다. 트랜시버(702)는 무선 주파수 트랜시버일 수 있다. 또한, 무선 신호는 트랜시버(702)를 통해 송신되고 수신될 수 있다. 트랜시버(702)는, 예를 들어, 아날로그 및 디지털 무선 주파수(RF) '프론트 엔드' 기능, 필요하다면, 중간 주파수(IF)를 통해 RF 신호를 베이스밴드 주파수로 변환하는 회로, 아날로그 및 디지털 필터링, 및 현재의 셀룰라 주파수, 예를 들어, 3G 또는 4G 통신을 위해 적합한 주파수를 통해 무선 통신을 수행하는데 유용한 다른 통상적인 회로를 포함하도록 구성될 수 있다. 트랜시버(702)는 베이스밴드 주파수에서 통신되는 신호 및 수신되는 신호의 디지털 신호 프로세싱의 대부분을 수행할 수 있는 프로세서(704)에 접속된다. 프로세서(704)는 사용자에 대한 텍스트, 그래픽 및 비디오의 디스플레이를 위한 디스플레이 요소(708)에 그래픽 인터페이스를 제공할 수 있다. 프로세서(704)는 도 6의 프로세서(600)를 참조하여 도시되고 기술된 바와 같은 실시예를 포함할 수 있다.
본 개시의 측면에서, 프로세서(704)는 본 명세서에서 기술된 바와 같이, PUF 기반 키 생성 시스템을 이용하여 하드웨어 디바이스의 인증을 수행하도록 임의의 타입의 인스트럭션을 실행할 수 있는 프로세서일 수 있다. 프로세서(704)는 인증 동작을 수행함에 있어 사용될 정보를 저장하는 메모리 요소(706)에 또한 연결될 수 있다. 예시적인 프로세서(704) 및 메모리 요소(706)의 추가적인 세부사항이 본 명세서에서 후술된다. 예시적인 실시예에서, 모바일 디바이스(700)는 SoC(system-on-a-chip) 아키텍처로 설계될 수 있고, 이는 적어도 몇몇 실시예에서, 모바일 디바이스의 다수 또는 모든 구성요소를 하나의 칩에 집적한다.
본 개시의 측면에서, 모바일 디바이스(700)의 메모리 요소(706)는 인증 시스템 모듈(712)을 또한 포함할 수 있다. 예를 들어, 인증 시스템 모듈(712)은 모바일 디바이스(700)가 등록 호스트(120)로서 기능할 때 등록 모듈(122)을 포함할 수 있다. 인증 시스템 모듈(712)은 모바일 디바이스(700)가 평가 호스트(140)로서 기능할 때 평가 모듈(145)을 포함할 수 있다.
도 8은 실시예에 따른 포인트 투 포인트(point-to-point : PtP) 구성으로 배치되는 컴퓨팅 시스템(800)을 도시한다. 특히, 도 8은 프로세서, 메모리, 및 입/출력 디바이스가 다수의 포인트 투 포인트 인터페이스에 의해 상호 접속되는 시스템을 도시한다. 일반적으로, 인증 시스템(100)의 하나 이상의 컴퓨팅 시스템 또는 호스트는 컴퓨팅 시스템(800)과 동일하거나 유사한 방식으로 구성될 수 있다. 예를 들어, 본 명세서에서 도시되고 기술된 등록 호스트(120) 및 평가 호스트(140)는 예시적인 컴퓨팅 시스템(800)과 동일하거나 유사한 방식으로 각각 구성될 수 있다.
프로세서(870 및 880)는 메모리 요소(832 및 834)와 통신하도록 집적 메모리 콘트롤러(memory controller) 로직(872 및 882)을 또한 포함할 수 있다. 다른 실시예에서, 메모리 콘트롤러 로직(872 및 882)은 프로세서(870 및 880)와 분리되는 이산 로직일 수 있다. 메모리 요소(832 및/또는 834)는 본 명세서에서 기술된 바와 같은 PUF 기반 키 생성 시스템을 이용하여 디바이스의 인증과 연관된 동작을 수행함에 있어 프로세서(870 및 880)에 의해 사용될 각종 데이터를 저장할 수 있다.
프로세서(870 및 880)는 도 6의 프로세서(600) 및 도 1의 프로세서(125 및 145)를 참조하여 기술된 것과 같은 임의의 타입의 프로세서일 수 있다. 프로세서(870 및 880)는 포인트 투 포인트 인터페이스 회로(878 및 888)를 이용하여 각각, 포인트 투 포인트 인터페이스(850)를 통해 데이터를 교환할 수 있다. 프로세서(870 및 880)는 포인트 투 포인트 인터페이스 회로(876, 886, 894 및 898)를 이용하여 개별적인 포인트 투 포인트 인터페이스(852, 854)를 통해 칩셋(890)과 각각 데이터를 교환할 수 있다. 칩셋(890)은 PtP 인터페이스 회로일 수 있는 인터페이스 회로(892)를 이용하여 고성능 그래픽 인터페이스(839)를 통해 고성능 그래픽 회로(838)와 데이터를 또한 교환할 수 있다. 다른 실시예에서, 도 8에 도시된 일부 또는 모든 PtP 링크는 PtP 링크 이외의 멀티 드롭 버스로서 구현될 수 있다.
본 명세서에서 기술된 바와 같이, 적어도 하나의 실시예는 프로세서(1102 및 1104) 내에서 적어도 부분적으로 제공될 수 있다. 그러나, 다른 실시예는 도 1의 인증 시스템(100) 내의 다른 회로, 로직 유닛 또는 디바이스에 적어도 부분적으로 존재할 수 있다. 또한, 다른 실시예는 몇몇 회로, 로직 유닛 또는 디바이스에 걸쳐 분산될 수 있다.
칩셋(890)은 인터페이스 회로(896)를 통해 버스(820)와 통신할 수 있다. 버스(820)는 버스 브리지(818) 및 I/O 디바이스(816)와 같은 버스를 통해 통신하는 하나 이상의 디바이스를 가질 수 있다. 버스(810)를 통해, 버스 브리지(818)는 키보드/마우스(812)(또는 터치 스크린, 트랙볼 등과 같은 다른 입력 디바이스), (모뎀, 네트워크 인터페이스 디바이스, 또는 컴퓨터 네트워크(860)를 통해 통신할 수 있는 다른 타입의 디바이스와 같은) 통신 디바이스(826), 오디오 I/O 디바이스(814), 및/또는 데이터 저장 디바이스(828)와 같은 다른 디바이스와 통신할 수 있다. 데이터 저장 디바이스(828)는 프로세서(870 및/또는 880)에 의해 실행될 수 있는 코드(830)를 저장할 수 있다. 다른 실시예에서, 버스 아키텍처의 임의의 부분은 하나 이상의 PtP 링크로 구현될 수 있다.
도 8에 도시된 컴퓨터 시스템은 본 명세서에서 기술된 각종 실시예를 구현하는데 이용될 수 있는 컴퓨팅 시스템의 실시예를 개략적으로 도시한 것이다. 도 8에 도시된 시스템의 각종 구성요소는 본 명세서에서 제공된 바와 같이, PUF 기반 키 생성 시스템을 이용하여 하드웨어 디바이스의 인증을 수행할 수 있는 SoC(system-on-a-chip) 아키텍처 또는 임의의 다른 적절한 구성으로 조합될 수 있음을 이해할 것이다.
본 명세서에서 기술된 인증 시스템(100)의 등록 및 평가 기능은 하나 이상의 유형의 매체로 인코딩된 로직(프로세서(예를 들어, 프로세서(600) 또는 다른 유사한 머신 등)에 의해 실행되는, 예를 들어, ASIC(application specific integrated circuit), DSP(digital signal processor) 인스트럭션, 소프트웨어(객체 코드 및 소스 코드를 잠재적으로 포함)로 제공되는 임베드된 로직)에 의해 구현될 수 있다. 적어도 하나의 실시예에서 유형의 매체는 비일시적일 수 있다. 이들 몇몇의 경우, 메모리(예를 들어, 메모리(602))는 본 명세서에서 기술된 동작에 대해 사용된 데이터를 저장할 수 있다. 이것은 본 명세서에서 기술된 동작을 수행하도록 실행되는 소프트웨어, 로직, 코드, 또는 프로세서 인스트럭션을 저장할 수 있는 메모리를 포함한다. 실시예에서, 유형의 매체는 호스트(120 및 140)의 각각에 제공될 수 있다.
추가적으로, 인증 시스템(100)에서 추적되거나, 송신되거나, 수신되거나, 또는 저장되는 정보가 특정의 필요 및 구현에 근거하여, 임의의 데이터베이스, 레지스터, 테이블, 캐쉬, 큐, 제어 리스트, 또는 저장 구조에 제공될 수 있고, 이들 모두는 임의의 적절한 타임프레임에서 참조될 수 있다. 본 명세서에서 기술된 임의의 메모리 항목은 '메모리 요소'란 폭넓은 용어 내에 포함되는 것으로서 해석되어야 한다. 마찬가지로, 본 명세서에서 기술된 임의의 잠재적인 프로세싱 요소, 모듈, 및 머신은 '프로세서'란 폭넓은 용어 내에 포함되는 것으로서 해석되어야 한다.
본 명세서에서 제공된 다수의 예와 함께, 상호 작용은 2개, 3개, 4개, 또는 그 이상의 네트워크 요소, 컴퓨팅 시스템, 모듈, 및/또는 다른 컴포넌트의 관점에서 기술될 수 있음에 주목한다. 그러나, 이것은 명확성 및 예시를 위해서만 행해졌다. 시스템은 임의의 적절한 방식으로 통합될 수 있음을 이해해야 한다. 유사한 설계 대체예를 따라, 도 1의 임의의 도시된 모듈, 노드, 요소, 및 다른 컴포넌트는 각종 가능한 구성으로 조합될 수 있고, 이들 모두는 명확하게 본 명세서의 폭넓은 범위 내에 있다. 도 1의 시스템(및 그 개시내용)은 용이하게 스케일러블(scalable)하며, 다수의 컴포넌트 뿐만 아니라, 보다 복잡한/정교한 배치 및 구성을 수용할 수 있음을 이해해야 한다. 따라서, 제공된 예는 무수한 다른 아키텍처에 잠재적으로 적용되는 바와 같이 시스템(100)의 범위 또는 폭넓은 개시내용을 제한해서는 안 된다.
선행하는 도면을 참조하여 기술된 동작은 시스템에 의해 실행되거나 시스템 내에서 실행될 수 있는 가능한 상황의 일부만을 도시한다는 것에 주목하는 것이 또한 중요하다. 이들 동작의 몇몇은 적절한 경우 삭제되거나 제거될 수 있고, 또는 이들 동작은 기술된 개념의 범위로부터 크게 벗어나지 않고 수정되거나 변경될 수 있다. 또한, 이들 동작의 타이밍은 크게 변형될 수 있고 또한 본 개시내용에 개시된 결과를 성취한다. 선행하는 동작 흐름은 예시 및 설명을 위해 제공되었다. 임의의 적절한 배치, 배열, 구성, 및 타이밍 메커니즘은 기술된 개념의 범위로부터 크게 벗어나지 않고 제공될 수 있다는 점에서 시스템은 실질적인 유연성을 제공한다.
다음의 예는 본 명세서에 따른 실시예에 관한 것이다. 하나 이상의 실시예는 하드웨어 디바이스를 증명하는 인스트럭션이 저장된 적어도 하나의 머신 액세스 가능한 저장 매체를 제공할 수 있다. 인스트럭션은 프로세서에 의해 실행될 때 프로세서로 하여금, 하드웨어 디바이스상의 물리적 복제 방지 기능(PUF)으로부터 두개 이상의 디바이스 키를 수신하고, 두개 이상의 디바이스 키로부터 디바이스 식별자를 생성하고, 디바이스 식별자 및 개인 키에 근거하여 디지털 서명을 생성하고, 디바이스 식별자 및 디지털 서명에 근거하여 디바이스 증명서를 생성하고, 디바이스 증명서를 메모리 요소에 저장하도록 한다.
실시예의 예에서, 물리적 복제 방지 기능은 두개 이상의 디바이스 키를 생성하도록 하드웨어 디바이스상에서 구성되고, 키는 하드웨어 디바이스를 고유하게 식별한다.
실시예의 예에서, 메모리 요소는 물리적 복제 방지 기능을 갖는 하드웨어 디바이스에 포함되는 비휘발성 메모리 요소이다.
실시예의 예에서, 두개 이상의 디바이스 키는 500 내지 5000개의 키를 포함한다.
실시예의 예는 프로세서에 의해 실행될 때 프로세서로 하여금, 두개 이상의 디바이스 키의 각각에 대해 하드웨어 디바이스상의 물리적 복제 방지 기능에게 질의하게 하는 인스트럭션을 더 포함한다.
실시예의 예에서, 디바이스 식별자를 생성하는 것은 두개 이상의 키에 암호화 해쉬 알고리즘(cryptographic hash algorithm)을 적용하는 것을 포함한다.
하나 이상의 실시예는 하드웨어 디바이스를 증명하는 장치를 포함한다. 장치는 프로세서 및 프로세서상에서 실행하는 등록(enrollment) 모듈을 포함한다. 등록 모듈은, 하드웨어 디바이스상의 물리적 복제 방지 기능(PUF)으로부터 두개 이상의 디바이스 키를 수신하고, 두개 이상의 디바이스 키로부터 디바이스 식별자를 생성하고, 디바이스 식별자 및 개인 키에 근거하여 디지털 서명을 생성하고, 디바이스 식별자 및 디지털 서명에 근거하여 디바이스 증명서를 생성하고, 디바이스 증명서를 메모리 요소에 저장하도록 구성될 수 있다.
실시예의 예에서, 물리적 복제 방지 기능은 두개 이상의 디바이스 키를 생성하도록 하드웨어 디바이스상에서 구성되고, 키는 하드웨어 디바이스를 고유하게 식별한다.
실시예의 예에서, 메모리 요소는 물리적 복제 방지 기능을 갖는 하드웨어 디바이스에 포함되는 비휘발성 메모리 요소이다.
실시예의 예에서, 두개 이상의 디바이스 키는 500 내지 5000개의 키를 포함한다.
실시예의 예에서, 등록 모듈은 두개 이상의 디바이스 키의 각각에 대해 하드웨어 디바이스상의 물리적 복제 방지 기능에게 질의하도록 더 구성된다.
실시예의 예에서, 등록 모듈은 두개 이상의 디바이스 키에 암호화 해쉬 알고리즘(cryptographic hash algorithm)을 적용하여 디바이스 식별자를 생성하도록 더 구성된다.
하나 이상의 실시예는 하드웨어 디바이스를 인증하는 인스트럭션이 저장된 적어도 하나의 머신 액세스 가능한 저장 매체를 제공할 수 있다. 인스트럭션은 프로세서에 의해 실행될 때 프로세서로 하여금, 하드웨어 디바이스상의 물리적 복제 방지 기능(PUF)으로부터 두개 이상의 디바이스 키를 수신하고, 두개 이상의 디바이스 키로부터 디바이스 식별자를 생성하고, 하드웨어 디바이스로부터 디바이스 증명서를 획득하고, 디바이스 식별자의 검증을 수행하고, 디바이스 식별자 검증의 결과를 제공하도록 한다.
실시예의 예에서, 결과가 디바이스 식별자 검증이 실패하였음을 나타내는 경우 하드웨어 디바이스가 거부된다.
실시예의 예는 프로세서에 의해 실행될 때 프로세서로 하여금, 두개 이상의 디바이스 키에 암호화 해쉬 알고리즘을 적용하여 디바이스 식별자를 생성하도록 하는 인스트럭션을 더 포함한다.
실시예의 예는 프로세서에 의해 실행될 때 프로세서로 하여금, 디바이스 식별자를 이전에 생성된 디바이스 식별자와 비교하여 디바이스 식별자 검증을 수행하도록 하는 인스트럭션을 더 포함한다.
실시예의 예에서, 디바이스 식별자 및 이전에 생성된 디바이스 식별자가 매칭하지 않는 경우, 결과는 디바이스 식별자 검증이 실패하였음을 나타낸다.
실시예의 예는 프로세서에 의해 실행될 때 프로세서로 하여금, 디바이스 증명서에서 디지털 서명의 검증을 수행하고, 디지털 서명 검증의 결과를 제공하도록 하는 인스트럭션을 더 포함한다.
실시예의 예에서, 결과가 디지털 서명 검증이 실패하였음을 나타내는 경우 하드웨어 디바이스가 거부된다.
실시예의 예는 프로세서에 의해 실행될 때 프로세서로 하여금, 키 쌍의 공개 키를 이용하여 디지털 서명을 복호하여 디지털 서명 검증을 수행하도록 하는 인스트럭션을 더 포함한다.
실시예의 예는 프로세서에 의해 실행될 때 프로세서로 하여금, 두개 이상의 디바이스 키의 각각에 대해 하드웨어 디바이스상의 물리적 복제 방지 기능에게 질의하도록 하는 인스트럭션을 더 포함한다.
하나 이상의 실시예는 하드웨어 디바이스를 인증하는 장치를 포함한다. 장치는 프로세서, 및 프로세서상에서 실행하는 평가 모듈을 포함한다. 평가 모듈은, 하드웨어 디바이스상의 물리적 복제 방지 기능(PUF)으로부터 두개 이상의 디바이스 키를 수신하고, 두개 이상의 디바이스 키로부터 디바이스 식별자를 생성하고, 하드웨어 디바이스로부터 디바이스 증명서를 획득하고, 디바이스 식별자의 검증을 수행하고, 디바이스 식별자 검증의 결과를 제공하도록 구성될 수 있다.
실시예의 예에서, 결과가 디바이스 식별자 검증이 실패하였음을 나타내는 경우 하드웨어 디바이스가 거부된다.
실시예의 예에서, 평가 모듈은 두개 이상의 디바이스 키에 암호화 해쉬 알고리즘을 적용하여 디바이스 식별자를 생성하도록 또한 구성된다.
실시예의 예에서, 평가 모듈은 디바이스 식별자를 이전에 생성된 디바이스 식별자와 비교하여 디바이스 식별자 검증을 수행하도록 또한 구성된다.
실시예의 예에서, 디바이스 식별자 및 이전에 생성된 디바이스 식별자가 매칭하지 않는 경우, 결과는 디바이스 식별자 검증이 실패하였음을 나타낸다.
실시예의 예에서,평가 모듈은 디바이스 증명서에서 디지털 서명의 검증을 수행하고, 디지털 서명 검증의 결과를 제공하도록 또한 구성된다.
실시예의 예에서, 결과가 디지털 서명 검증이 실패하였음을 나타내는 경우 하드웨어 디바이스가 거부된다.
실시예의 예에서, 평가 모듈은 키 쌍의 공개 키를 이용하여 디지털 서명을 복호하여 디지털 서명 검증을 수행하도록 또한 구성된다.
실시예의 예에서, 평가 모듈은 두개 이상의 디바이스 키의 각각에 대해 하드웨어 디바이스상의 물리적 복제 방지 기능에게 질의하도록 구성된다.
하나 이상의 실시예는 하드웨어 디바이스를 증명하는 방법을 제공할 수 있다. 방법은 하드웨어 디바이스상의 물리적 복제 방지 기능(PUF)으로부터 두개 이상의 디바이스 키를 수신하는 단계와, 두개 이상의 디바이스 키로부터 디바이스 식별자를 생성하는 단계와, 디바이스 식별자 및 개인 키에 근거하여 디지털 서명을 생성하는 단계와, 디바이스 식별자 및 디지털 서명에 근거하여 디바이스 증명서를 생성하는 단계와, 디바이스 증명서를 메모리 요소에 저장하는 단계를 포함할 수 있다.
하나 이상의 실시예는 하드웨어 디바이스를 인증하는 방법을 제공할 수 있다. 방법은 하드웨어 디바이스상의 물리적 복제 방지 기능(PUF)으로부터 두개 이상의 디바이스 키를 수신하는 단계와, 두개 이상의 디바이스 키로부터 디바이스 식별자를 생성하는 단계와, 하드웨어 디바이스로부터 디바이스 증명서를 획득하는 단계와, 디바이스 식별자의 검증을 수행하는 단계와, 디바이스 식별자 검증의 결과를 제공하는 단계를 포함할 수 있다.
일 특정의 예시적인 구현예는 하드웨어 디바이스상의 물리적 복제 방지 기능(PUF)으로부터 두개 이상의 디바이스 키를 수신하는 수단과, 두개 이상의 디바이스 키로부터 디바이스 식별자를 생성하는 수단과, 디바이스 식별자 및 개인 키에 근거하여 디지털 서명을 생성하는 수단과, 디바이스 식별자 및 디지털 서명에 근거하여 디바이스 증명서를 생성하는 수단과, 디바이스 증명서를 메모리 요소에 저장하는 수단을 포함할 수 있다. 구현예는 두개 이상의 디바이스 키를 생성하도록 하드웨어 디바이스상에서 구성되는 물리적 복제 방지 기능을 또한 포함할 수 있고, 키는 하드웨어 디바이스를 고유하게 식별한다. 추가적으로, 구현예에서, 메모리 요소는 물리적 복제 방지 기능을 갖는 하드웨어 디바이스에 포함되는 비휘발성 메모리 요소일 수 있다. 또한 구현예에서, 두개 이상 디바이스 키는 500 내지 5000개의 키를 포함할 수 있다. 구현예는 두개 이상 디바이스 키의 각각에 대해 하드웨어 디바이스상의 물리적 복제 방지 기능에게 질의하는 수단을 더 포함할 수 있다. 추가적으로, 디바이스 식별자를 생성하는 수단은 두개 이상의 디바이스 키에 암호화 해쉬 알고리즘을 적용하는 수단을 포함한다.
다른 특정의 예시적인 구현예는 하드웨어 디바이스상의 물리적 복제 방지 기능(PUF)으로부터 두개 이상의 디바이스 키를 수신하는 수단과, 두개 이상의 디바이스 키로부터 디바이스 식별자를 생성하는 수단과, 하드웨어 디바이스로부터 디바이스 증명서를 획득하는 수단과, 디바이스 식별자의 검증을 수행하는 수단과, 디바이스 식별자 검증의 결과를 제공하는 수단을 포함할 수 있다. 구현예에서, 결과가 디바이스 식별자 검증이 실패하였음을 나타내는 경우 하드웨어 디바이스가 거부될 수 있다. 디바이스 식별자를 생성하는 수단은 두개 이상의 디바이스 키에 암호화 해쉬 알고리즘을 적용하는 수단을 포함할 수 있다. 디바이스 식별자 검증을 수행하는 수단은 디바이스 식별자를 이전에 생성된 디바이스 식별자와 비교하는 수단을 포함할 수 있다. 구현예에서, 디바이스 식별자 및 이전에 생성된 디바이스 식별자가 매칭하지 않는 경우, 결과는 디바이스 식별자 검증이 실패하였음을 나타낼 수 있다. 추가적으로, 구현예는 디바이스 증명서에서 디지털 서명의 검증을 수행하는 수단, 및 디지털 서명 검증의 결과를 제공하는 수단을 포함할 수 있다. 구현예에서, 결과가 디지털 서명 검증이 실패하였음을 나타내는 경우 하드웨어 디바이스가 거부될 수 있다. 디지털 서명 검증을 수행하는 수단은 키 쌍의 공개 키를 이용하여 디지털 서명을 복호하는 수단을 포함할 수 있다. 구현예는 두개 이상의 디바이스 키의 각각에 대해 하드웨어 디바이스상의 물리적 복제 방지 기능에게 질의하는 수단을 더 포함할 수 있다.

Claims (25)

  1. 하드웨어 디바이스(a hardware device)를 증명하기 위한 인스트럭션(instructions)이 저장된 적어도 하나의 비일시적 머신 액세스 가능한 저장 매체로서,
    상기 인스트럭션은 프로세서에 의해 실행될 때 상기 프로세서로 하여금,
    상기 하드웨어 디바이스상의 물리적 복제 방지 기능(physically unclonable function : PUF) 기반 키 생성 시스템에게 두개 이상의 디바이스 키(two or more device keys)에 대해 질의하고,
    등록 호스트(an enrollment host)가, 상기 하드웨어 디바이스상의 PUF 기반 키 생성 시스템에 의해 생성된 상기 두개 이상의 디바이스 키를 수신 - 상기 두개 이상의 디바이스 키 중 적어도 하나의 디바이스 키는 암호화 키 도출 기능을 적용하는 것에 의해 PUF 루트 키로부터 도출됨 - 하고,
    상기 등록 호스트가, 상기 두개 이상의 디바이스 키에 암호화 해쉬 알고리즘(cryptographic hash algorithm)을 적용함으로써 디바이스 식별자를 생성하고,
    상기 디바이스 식별자 및 개인 키(private key)에 근거하여 디지털 서명을 생성하고,
    상기 디바이스 식별자 및 상기 디지털 서명에 근거하여 디바이스 증명서(device certificate)를 생성하고,
    상기 디바이스 증명서를 상기 하드웨어 디바이스의 메모리 요소에 저장하도록 하는
    머신 액세스 가능한 저장 매체.
  2. 제 1 항에 있어서,
    상기 두개 이상의 디바이스 키는 상기 하드웨어 디바이스를 고유하게 식별하는
    머신 액세스 가능한 저장 매체.
  3. 제 1 항에 있어서,
    상기 메모리 요소는 상기 PUF 기반 키 생성 시스템을 갖는 상기 하드웨어 디바이스에 포함되는 비휘발성 메모리 요소인
    머신 액세스 가능한 저장 매체.
  4. 제 1 항에 있어서,
    상기 두개 이상의 디바이스 키는 500 내지 5000개의 키를 포함하는
    머신 액세스 가능한 저장 매체.
  5. 제 1 항에 있어서,
    상기 PUF 기반 키 생성 시스템은 상기 두개 이상의 디바이스 키를 위한 질의를 수신하고, 상기 하드웨어 디바이스 상의 다른 별도의 물리적 PUF 기반 키 생성 시스템은 외부 디바이스로부터 질의를 받지 않는
    머신 액세스 가능한 저장 매체.
  6. 하드웨어 디바이스를 증명하는 장치로서,
    프로세서와,
    상기 프로세서 상에서 실행하는 등록(enrollment) 모듈을 포함하고,
    상기 등록 모듈은,
    상기 하드웨어 디바이스상의 물리적 복제 방지 기능(physically unclonable function : PUF) 기반 키 생성 시스템에게 두개 이상의 디바이스 키에 대해 질의하고,
    상기 하드웨어 디바이스상의 PUF 기반 키 생성 시스템으로부터 상기 두개 이상의 디바이스 키를 수신 - 상기 두개 이상의 디바이스 키 중 적어도 하나의 디바이스 키는 암호화 키 도출 기능을 적용하는 것에 의해 PUF 루트 키로부터 도출됨 - 하고,
    암호화 해쉬 알고리즘을 상기 두개 이상의 디바이스 키에 적용함으로써 디바이스 식별자를 생성하고,
    상기 디바이스 식별자 및 개인 키에 근거하여 디지털 서명을 생성하고,
    상기 디바이스 식별자 및 상기 디지털 서명에 근거하여 디바이스 증명서를 생성하고,
    상기 디바이스 증명서를 상기 하드웨어 디바이스의 메모리 요소에 저장하도록 구성되는
    하드웨어 디바이스 증명 장치.
  7. 제 6 항에 있어서,
    상기 두개 이상의 디바이스 키는 상기 하드웨어 디바이스를 고유하게 식별하는
    하드웨어 디바이스 증명 장치.
  8. 제 6 항에 있어서,
    상기 메모리 요소는 상기 PUF 기반 키 생성 시스템을 갖는 상기 하드웨어 디바이스에 포함되는 비휘발성 메모리 요소인
    하드웨어 디바이스 증명 장치.
  9. 제 6 항에 있어서,
    상기 두개 이상의 디바이스 키는 500 내지 5000개의 키를 포함하는
    하드웨어 디바이스 증명 장치.
  10. 하드웨어 디바이스를 인증하는 인스트럭션이 저장된 적어도 하나의 머신 액세스 가능한 저장 매체로서,
    상기 인스트럭션은 프로세서에 의해 실행될 때 상기 프로세서로 하여금,
    상기 하드웨어 디바이스상의 물리적 복제 방지 기능(physically unclonable function : PUF) 기반 키 생성 시스템에게 두개 이상의 디바이스 키에 대해 질의하고,
    평가 호스트가, 상기 하드웨어 디바이스상의 PUF 기반 키 생성 시스템에 의해 생성된 상기 두개 이상의 디바이스 키를 수신 - 상기 두개 이상의 디바이스 키 중 적어도 하나의 디바이스 키는 암호화 키 도출 기능을 적용하는 것에 의해 PUF 루트 키로부터 도출됨 - 하고,
    상기 평가 호스트가, 암호화 해쉬 알고리즘을 상기 두개 이상의 디바이스 키에 적용함으로써 디바이스 식별자를 생성하고,
    상기 하드웨어 디바이스로부터 디바이스 증명서를 획득하고,
    상기 디바이스 식별자의 검증을 수행하고,
    상기 디바이스 식별자 검증의 결과를 제공하도록 하는
    머신 액세스 가능한 저장 매체.
  11. 제 10 항에 있어서,
    상기 결과가 상기 디바이스 식별자 검증이 실패하였음을 나타내는 경우 상기 하드웨어 디바이스가 거부되는
    머신 액세스 가능한 저장 매체.
  12. 제 10 항에 있어서,
    상기 프로세서에 의해 실행될 때 상기 프로세서로 하여금, 상기 디바이스 식별자를 이전에 생성된 디바이스 식별자와 비교하여 상기 디바이스 식별자 검증을 수행하도록 하는 인스트럭션을 더 포함하는
    머신 액세스 가능한 저장 매체.
  13. 제 12항에 있어서,
    상기 디바이스 식별자 및 상기 이전에 생성된 디바이스 식별자가 매칭하지 않는 경우, 상기 결과는 상기 디바이스 식별자 검증이 실패하였음을 나타내는
    머신 액세스 가능한 저장 매체.
  14. 제 10 항에 있어서,
    상기 프로세서에 의해 실행될 때 상기 프로세서로 하여금,
    상기 디바이스 증명서에서 디지털 서명의 검증을 수행하고,
    상기 디지털 서명 검증의 결과를 제공하도록 하는 인스트럭션을 더 포함하는
    머신 액세스 가능한 저장 매체.
  15. 제 14 항에 있어서,
    상기 디지털 서명 검증의 결과가 상기 디지털 서명 검증이 실패하였음을 나타내는 경우 상기 하드웨어 디바이스가 거부되는
    머신 액세스 가능한 저장 매체.
  16. 제 14 항에 있어서,
    상기 프로세서에 의해 실행될 때 상기 프로세서로 하여금, 키 쌍의 공개 키를 이용하여 상기 디지털 서명을 복호하여 상기 디지털 서명 검증을 수행하도록 하는 인스트럭션을 더 포함하는
    머신 액세스 가능한 저장 매체.
  17. 제 10 항에 있어서,
    상기 PUF 기반 키 생성 시스템은 상기 두개 이상의 디바이스 키를 위한 질의를 수신하고, 상기 하드웨어 디바이스 상의 다른 별도의 물리적 PUF 기반 키 생성 시스템은 외부 디바이스로부터 질의를 받지 않는
    머신 액세스 가능한 저장 매체.
  18. 하드웨어 디바이스를 인증하는 장치로서,
    프로세서와,
    상기 프로세서 상에서 실행하는 평가 모듈을 포함하고,
    상기 평가 모듈은,
    상기 하드웨어 디바이스상의 물리적 복제 방지 기능(physically unclonable function : PUF) 기반 키 생성 시스템에게 두개 이상의 디바이스 키에 대해 질의하고,
    상기 하드웨어 디바이스상의 PUF 기반 키 생성 시스템으로부터 상기 두개 이상의 디바이스 키를 수신 - 상기 두개 이상의 디바이스 키 중 적어도 하나의 디바이스 키는 암호화 키 도출 기능을 적용하는 것에 의해 PUF 루트 키로부터 도출됨 - 하고,
    암호화 해쉬 알고리즘을 상기 두개 이상의 디바이스 키에 적용함으로써 디바이스 식별자를 생성하고,
    상기 하드웨어 디바이스로부터 디바이스 증명서를 획득하고,
    상기 디바이스 식별자의 검증을 수행하고,
    상기 디바이스 식별자 검증의 결과를 제공하는
    하드웨어 디바이스 인증 장치.
  19. 제 18 항에 있어서,
    상기 결과가 상기 디바이스 식별자 검증이 실패하였음을 나타내는 경우 상기 하드웨어 디바이스가 거부되는
    하드웨어 디바이스 인증 장치.
  20. 제 18 항에 있어서,
    상기 평가 모듈은, 상기 디바이스 식별자를 이전에 생성된 디바이스 식별자와 비교하여 상기 디바이스 식별자 검증을 수행하도록 또한 구성되는
    하드웨어 디바이스 인증 장치.
  21. 제 20 항에 있어서,
    상기 디바이스 식별자 및 상기 이전에 생성된 디바이스 식별자가 매칭하지 않는 경우, 상기 결과는 상기 디바이스 식별자 검증이 실패하였음을 나타내는
    하드웨어 디바이스 인증 장치.
  22. 제 18 항에 있어서,
    상기 평가 모듈은,
    상기 디바이스 증명서에서 디지털 서명의 검증을 수행하고,
    상기 디지털 서명 검증의 결과를 제공하도록 또한 구성되는
    하드웨어 디바이스 인증 장치.
  23. 제 22 항에 있어서,
    상기 디지털 서명 검증의 결과가 상기 디지털 서명 검증이 실패하였음을 나타내는 경우 상기 하드웨어 디바이스가 거부되는
    하드웨어 디바이스 인증 장치.
  24. 제 22 항에 있어서,
    상기 평가 모듈은, 키 쌍의 공개 키를 이용하여 상기 디지털 서명을 복호하여 상기 디지털 서명 검증을 수행하도록 또한 구성되는
    하드웨어 디바이스 인증 장치.
  25. 삭제
KR1020157014017A 2012-12-28 2013-11-21 물리적 복제 방지 기능 기반 키 생성 시스템을 이용하는 디바이스 인증 KR101723006B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/730,469 2012-12-28
US13/730,469 US8938792B2 (en) 2012-12-28 2012-12-28 Device authentication using a physically unclonable functions based key generation system
PCT/US2013/071346 WO2014105310A1 (en) 2012-12-28 2013-11-21 Device authentication using a physically unclonable functions based key generation system

Publications (2)

Publication Number Publication Date
KR20150080579A KR20150080579A (ko) 2015-07-09
KR101723006B1 true KR101723006B1 (ko) 2017-04-04

Family

ID=51019000

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020157014017A KR101723006B1 (ko) 2012-12-28 2013-11-21 물리적 복제 방지 기능 기반 키 생성 시스템을 이용하는 디바이스 인증

Country Status (5)

Country Link
US (1) US8938792B2 (ko)
EP (1) EP2939171A4 (ko)
KR (1) KR101723006B1 (ko)
CN (1) CN104838385B (ko)
WO (1) WO2014105310A1 (ko)

Families Citing this family (107)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104025500B (zh) 2011-12-29 2017-07-25 英特尔公司 使用在物理上不可克隆的函数的安全密钥存储
US8938792B2 (en) 2012-12-28 2015-01-20 Intel Corporation Device authentication using a physically unclonable functions based key generation system
US9390291B2 (en) * 2012-12-29 2016-07-12 Intel Corporation Secure key derivation and cryptography logic for integrated circuits
WO2014112999A1 (en) * 2013-01-16 2014-07-24 Intel Corporation Grouping of physically unclonable functions
US8972730B2 (en) * 2013-03-08 2015-03-03 Honeywell International Inc. System and method of using a signed GUID
CN104184713B (zh) 2013-05-27 2018-03-27 阿里巴巴集团控股有限公司 终端识别方法、机器识别码注册方法及相应系统、设备
DE102013227184A1 (de) * 2013-12-27 2015-07-02 Robert Bosch Gmbh Verfahren zur Absicherung eines Systems-on-a-Chip
GB2522032A (en) * 2014-01-10 2015-07-15 Ibm Controlling the configuration of computer systems
GB2515853B (en) 2014-02-25 2015-08-19 Cambridge Silicon Radio Ltd Latency mitigation
GB2512501A (en) 2014-02-25 2014-10-01 Cambridge Silicon Radio Ltd Packet identification
US20150278055A1 (en) * 2014-03-28 2015-10-01 International Business Machines Corporation Pluggable component tracking program
US10432409B2 (en) * 2014-05-05 2019-10-01 Analog Devices, Inc. Authentication system and device including physical unclonable function and threshold cryptography
US9292692B2 (en) * 2014-05-05 2016-03-22 Sypris Electronics, Llc System and device for verifying the integrity of a system from its subcomponents
US9946858B2 (en) 2014-05-05 2018-04-17 Analog Devices, Inc. Authentication system and device including physical unclonable function and threshold cryptography
US9715590B2 (en) 2014-05-05 2017-07-25 Analog Devices, Inc. System and device for verifying the integrity of a system from its subcomponents
US9672342B2 (en) 2014-05-05 2017-06-06 Analog Devices, Inc. System and device binding metadata with hardware intrinsic properties
KR101593166B1 (ko) * 2014-06-02 2016-02-15 한국전자통신연구원 물리적 복제 방지 함수의 오류를 방지하는 장치 및 그 방법
US9426130B2 (en) 2014-07-21 2016-08-23 Xiaomi Inc. Methods, devices and systems for anti-counterfeiting authentication
JP2016025628A (ja) * 2014-07-24 2016-02-08 株式会社リコー 情報処理システム、および電子機器
US9425803B1 (en) * 2015-05-07 2016-08-23 The United States Of America As Represented By The Secretary Of The Navy Apparatuses and methods for implementing various physically unclonable function (PUF) and random number generator capabilities
US10135615B2 (en) 2015-05-11 2018-11-20 The Trustees Of Columbia University In The City Of New York Voltage and temperature compensated device for physically unclonable function
US9569601B2 (en) 2015-05-19 2017-02-14 Anvaya Solutions, Inc. System and method for authenticating and enabling functioning of a manufactured electronic device
US10032016B2 (en) 2015-05-19 2018-07-24 Anvaya Solutions, Inc. System and method to cause an obfuscated non-functional device to transition to a starting functional state using a specified number of cycles
US9813395B2 (en) 2015-05-19 2017-11-07 Anvaya Solutions, Inc. System and method for authenticating and enabling an electronic device in an electronic system
JP6386181B2 (ja) * 2015-06-22 2018-09-05 三菱電機株式会社 真贋判定システム、及び真贋判定方法
CN107735983B (zh) * 2015-06-22 2020-12-04 三菱电机株式会社 真伪判定装置、真伪判定系统及真伪判定方法
FR3038757B1 (fr) * 2015-07-07 2017-08-11 Univ Montpellier Systeme et procede d'authentification et de licence ip
US9838201B2 (en) * 2015-10-13 2017-12-05 Sony Interactive Entertainment America Llc Secure key store derivation and management from a single secure root key
US20170126414A1 (en) * 2015-10-28 2017-05-04 Texas Instruments Incorporated Database-less authentication with physically unclonable functions
US10841087B2 (en) * 2015-11-05 2020-11-17 Mitsubishi Electric Corporation Security device, system, and security method
WO2017096596A1 (zh) * 2015-12-10 2017-06-15 深圳市大疆创新科技有限公司 无人机认证方法,安全通信方法及对应系统
US10567170B2 (en) * 2015-12-24 2020-02-18 Mcafee, Llc Hardware-generated dynamic identifier
US10536271B1 (en) * 2016-01-10 2020-01-14 Apple Inc. Silicon key attestation
EP3403209B1 (en) * 2016-01-11 2024-04-24 UNM Rainforest Innovations A privacy-preserving, mutual puf-based authentication protocol
US10262164B2 (en) 2016-01-15 2019-04-16 Blockchain Asics Llc Cryptographic ASIC including circuitry-encoded transformation function
GB2547025A (en) * 2016-02-05 2017-08-09 Thales Holdings Uk Plc A method of data transfer, a method of controlling use of data and a cryptographic device
US10572651B2 (en) 2016-02-16 2020-02-25 Samsung Electronics Co., Ltd. Key generating method and apparatus using characteristic of memory
US9900310B2 (en) * 2016-02-24 2018-02-20 Intel Corporation Local verification of code authentication
DE102016204055B4 (de) 2016-03-11 2019-04-04 Universität Ulm Verfahren und Vorrichtung zur Erzeugung einer digitalen Signatur
DE102016205198A1 (de) * 2016-03-30 2017-10-05 Siemens Aktiengesellschaft Nachweisen einer Authentizität eines Gerätes mithilfe eines Berechtigungsnachweises
US20170372306A1 (en) * 2016-06-27 2017-12-28 Samsung Electronics Co., Ltd. Payment by mobile device secured by f-puf
CN117196655A (zh) * 2016-08-03 2023-12-08 惠普发展公司,有限责任合伙企业 数字签名数据
US10855477B2 (en) 2016-08-04 2020-12-01 Macronix International Co., Ltd. Non-volatile memory with physical unclonable function and random number generator
US10404478B2 (en) * 2016-08-04 2019-09-03 Macronix International Co., Ltd. Physical unclonable function using divided threshold distributions in non-volatile memory
US11258599B2 (en) * 2016-08-04 2022-02-22 Macronix International Co., Ltd. Stable physically unclonable function
US10911229B2 (en) 2016-08-04 2021-02-02 Macronix International Co., Ltd. Unchangeable physical unclonable function in non-volatile memory
US10680809B2 (en) 2016-08-04 2020-06-09 Macronix International Co., Ltd. Physical unclonable function for security key
CN107786778B (zh) * 2016-08-31 2021-09-28 冲电气工业株式会社 图像形成系统
US10785022B2 (en) * 2016-09-13 2020-09-22 Hiroshi Watanabe Network without abuse of a private key
CA3042394A1 (en) * 2016-11-04 2018-05-11 Stc.Unm System and methods for entropy and statistical quality metrics in physical unclonable function generated bitstrings
WO2018088996A1 (en) * 2016-11-09 2018-05-17 Lexmark International, Inc. Manufacturing a helical physical unclonable function
EP3330878B1 (en) * 2016-12-05 2019-03-13 Samsung SDI Co., Ltd. Control unit for a battery system with security identifier
US10148653B2 (en) * 2016-12-14 2018-12-04 The Boeing Company Authenticating an aircraft data exchange using detected differences of onboard electronics
ES2794406T3 (es) * 2016-12-21 2020-11-18 Merck Patent Gmbh Marca de seguridad compuesta basada en puf para antifalsificación
US10587421B2 (en) * 2017-01-12 2020-03-10 Honeywell International Inc. Techniques for genuine device assurance by establishing identity and trust using certificates
GB2548493B (en) * 2017-03-17 2018-03-28 Quantum Base Ltd Optical reading of a security element
US10425235B2 (en) 2017-06-02 2019-09-24 Analog Devices, Inc. Device and system with global tamper resistance
US10958452B2 (en) 2017-06-06 2021-03-23 Analog Devices, Inc. System and device including reconfigurable physical unclonable functions and threshold cryptography
CN107862101B (zh) * 2017-09-12 2021-01-05 广东工业大学 一种基于仲裁器的全新架构物理不可克隆函数的电路结构
US10649735B2 (en) * 2017-09-12 2020-05-12 Ememory Technology Inc. Security system with entropy bits
US10868669B2 (en) * 2017-10-16 2020-12-15 Taiwan Semiconductor Manufacturing Company Ltd. Method for role-based data transmission using physically unclonable function (PUF)-based keys
US10521616B2 (en) * 2017-11-08 2019-12-31 Analog Devices, Inc. Remote re-enrollment of physical unclonable functions
US11144649B2 (en) * 2018-01-25 2021-10-12 Kigen (Uk) Limited Sensitive information provision process
US11082241B2 (en) * 2018-03-30 2021-08-03 Intel Corporation Physically unclonable function with feed-forward addressing and variable latency output
US10416602B1 (en) * 2018-04-16 2019-09-17 Lexmark International, Inc. System and methods for detecting non-authentic slave components using clock frequency changes
US10256974B1 (en) 2018-04-25 2019-04-09 Blockchain Asics Llc Cryptographic ASIC for key hierarchy enforcement
EP3564846A1 (en) * 2018-04-30 2019-11-06 Merck Patent GmbH Methods and systems for automatic object recognition and authentication
EP3565179B1 (en) * 2018-04-30 2022-10-19 Merck Patent GmbH Composite security marking and methods and apparatuses for providing and reading same
US11044107B2 (en) * 2018-05-01 2021-06-22 Analog Devices, Inc. Device authentication based on analog characteristics without error correction
KR102503373B1 (ko) * 2018-09-12 2023-02-24 삼성전자주식회사 인증 채굴 회로, 이를 포함하는 전자 시스템 및 블록체인 네트워크의 형성 방법
US10754619B2 (en) * 2018-09-27 2020-08-25 Intel Corporation Self-calibrated von-neumann extractor
EP3850510B1 (en) * 2018-11-01 2023-12-27 Hewlett-Packard Development Company, L.P. Infrastructure device enrolment
US11017090B2 (en) 2018-12-17 2021-05-25 Hewlett Packard Enterprise Development Lp Verification of a state of a platform
CN109858287B (zh) * 2019-01-28 2021-04-16 北京航空航天大学 一种基于互连线的物理不可克隆结构及自加扰电路结构
US11245680B2 (en) 2019-03-01 2022-02-08 Analog Devices, Inc. Garbled circuit for device authentication
AU2020239957A1 (en) * 2019-03-21 2021-09-16 Lexmark International, Inc. A device and method for scanning the physical signature data of a physical unclonable function with a smartphone
US11361660B2 (en) 2019-03-25 2022-06-14 Micron Technology, Inc. Verifying identity of an emergency vehicle during operation
US11233650B2 (en) 2019-03-25 2022-01-25 Micron Technology, Inc. Verifying identity of a vehicle entering a trust zone
US11323275B2 (en) 2019-03-25 2022-05-03 Micron Technology, Inc. Verification of identity using a secret key
US11218330B2 (en) * 2019-03-25 2022-01-04 Micron Technology, Inc. Generating an identity for a computing device using a physical unclonable function
US11101984B2 (en) * 2019-04-04 2021-08-24 Micron Technology, Inc. Onboarding software on secure devices to generate device identities for authentication with remote servers
CN110135187A (zh) * 2019-04-16 2019-08-16 广东工业大学 一种基于puf的文件加解密系统及加解密方法
EP4011031B1 (en) * 2019-08-14 2023-08-23 Assa Abloy Ab Secure identity card using unclonable functions
US11360784B2 (en) * 2019-09-10 2022-06-14 Hewlett Packard Enterprise Development Lp Integrity manifest certificate
GB201913058D0 (en) * 2019-09-10 2019-10-23 Ttp Plc Unit verification method and device
US20220358203A1 (en) * 2019-10-01 2022-11-10 Kansas State University Research Foundation Puf-rake: a puf-based robust and lightweight authentication and key establishment protocol
CN111168288B (zh) * 2020-01-02 2022-01-04 中船重工鹏力(南京)智能装备系统有限公司 一种双环焊缝激光视觉跟踪系统及跟踪方法
US11768611B2 (en) 2020-04-02 2023-09-26 Axiado Corporation Secure boot of a processing chip
US11856096B2 (en) * 2020-06-12 2023-12-26 University Of Florida Research Foundation, Incorporated Defense of JTAG I/O network
US12010217B2 (en) * 2020-07-31 2024-06-11 Micron Technology, Inc. Secure memory system programming for host device verification
US11917088B2 (en) * 2020-09-21 2024-02-27 International Business Machines Corporation Integrating device identity into a permissioning framework of a blockchain
KR102459592B1 (ko) * 2020-10-06 2022-10-28 주식회사 아이씨티케이 홀딩스 하드웨어 장치의 식별 정보를 생성하고 인증하는 전자 장치 및 이의 동작 방법
US20220131847A1 (en) * 2020-10-26 2022-04-28 Micron Technology, Inc. Subscription Sharing among a Group of Endpoints having Memory Devices Secured for Reliable Identity Validation
US11380379B2 (en) 2020-11-02 2022-07-05 Macronix International Co., Ltd. PUF applications in memories
CN114626020A (zh) * 2020-12-11 2022-06-14 熵码科技股份有限公司 用来控制装置激活的方法以及相关电子装置
ES2922405A1 (es) * 2021-03-03 2022-09-14 Hinojosa Manuel Borrego captura de tramas de red firmadas (sPCAP)
US11924638B2 (en) * 2021-06-01 2024-03-05 Micron Technology, Inc. Cellular network authentication using a memory security token
US20220385485A1 (en) * 2021-06-01 2022-12-01 Micron Technology, Inc. Identity theft protection with no password access
US11856058B2 (en) 2021-12-14 2023-12-26 Micron Technology, Inc. Peer to peer transfer of proof of space plots to or from solid state drives
US12015706B2 (en) 2021-12-14 2024-06-18 Micron Technology, Inc. Combined cryptographic key management services for access control and proof of space
US11960756B2 (en) 2021-12-14 2024-04-16 Micron Technology, Inc. Management of storage space in solid state drives to support proof of space activities
US11941254B2 (en) * 2021-12-14 2024-03-26 Micron Technology, Inc. Test memory sub-systems through validation of responses to proof of space challenges
US11977742B2 (en) 2022-02-02 2024-05-07 Micron Technology, Inc. Solid state drives configurable to use storage spaces of remote devices in activities involving proof of space
US11775188B2 (en) 2022-02-02 2023-10-03 Micron Technology, Inc. Communications to reclaim storage space occupied by proof of space plots in solid state drives
US20230254137A1 (en) * 2022-02-10 2023-08-10 Micron Technology, Inc. Simulation-based testing of a key management server
US20230327864A1 (en) * 2022-04-12 2023-10-12 Huawei Technologies Co., Ltd. Apparatuses, methods, and computer-readable media for generating and utilizing a physical unclonable function key
CN114915487B (zh) * 2022-06-09 2023-10-03 中国电信股份有限公司 终端认证方法、系统、装置、设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120321077A1 (en) * 2011-06-20 2012-12-20 Renesas Electronics Corporation Cryptographic communication system and cryptographic communication method

Family Cites Families (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6823454B1 (en) * 1999-11-08 2004-11-23 International Business Machines Corporation Using device certificates to authenticate servers before automatic address assignment
US20020129261A1 (en) 2001-03-08 2002-09-12 Cromer Daryl Carvis Apparatus and method for encrypting and decrypting data recorded on portable cryptographic tokens
US7310821B2 (en) 2001-08-27 2007-12-18 Dphi Acquisitions, Inc. Host certification method and system
KR100552654B1 (ko) * 2002-04-10 2006-02-20 주식회사 하이닉스반도체 칩 상에서 평면적으로 비사각형의 메모리 뱅크를 갖는반도체 메모리 장치
US7840803B2 (en) 2002-04-16 2010-11-23 Massachusetts Institute Of Technology Authentication of integrated circuits
US7949877B2 (en) * 2003-06-30 2011-05-24 Realnetworks, Inc. Rights enforcement and usage reporting on a client device
US20050039016A1 (en) * 2003-08-12 2005-02-17 Selim Aissi Method for using trusted, hardware-based identity credentials in runtime package signature to secure mobile communications and high-value transaction execution
EP3798874A1 (en) 2003-08-26 2021-03-31 Panasonic Intellectual Property Corporation of America Program execution device
US7813507B2 (en) 2005-04-21 2010-10-12 Intel Corporation Method and system for creating random cryptographic keys in hardware
US8856533B2 (en) 2005-09-14 2014-10-07 Koninklijke Philips N.V. Device, system and method for determining authenticity of an item
US8290150B2 (en) 2007-05-11 2012-10-16 Validity Sensors, Inc. Method and system for electronically securing an electronic device using physically unclonable functions
WO2008152547A1 (en) 2007-06-12 2008-12-18 Nxp B.V. Secure storage
US8661552B2 (en) 2007-06-28 2014-02-25 Microsoft Corporation Provisioning a computing system for digital rights management
EP2191410B1 (en) 2007-08-22 2014-10-08 Intrinsic ID B.V. Identification of devices using physically unclonable functions
WO2009079050A2 (en) * 2007-09-19 2009-06-25 Verayo, Inc. Authentication with physical unclonable functions
US20090080659A1 (en) 2007-09-21 2009-03-26 Texas Instruments Incorporated Systems and methods for hardware key encryption
US8966660B2 (en) 2008-08-07 2015-02-24 William Marsh Rice University Methods and systems of digital rights management for integrated circuits
JP5406199B2 (ja) 2008-09-24 2014-02-05 パナソニック株式会社 記録再生システム、記録媒体装置及び記録再生装置
JP6220110B2 (ja) * 2008-09-26 2017-10-25 コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. デバイス及びユーザの認証
US7761714B2 (en) 2008-10-02 2010-07-20 Infineon Technologies Ag Integrated circuit and method for preventing an unauthorized access to a digital value
US8683210B2 (en) 2008-11-21 2014-03-25 Verayo, Inc. Non-networked RFID-PUF authentication
JP5423088B2 (ja) 2009-03-25 2014-02-19 ソニー株式会社 集積回路、暗号通信装置、暗号通信システム、情報処理方法、及び暗号通信方法
US8379856B2 (en) 2009-06-17 2013-02-19 Empire Technology Development Llc Hardware based cryptography
US8370787B2 (en) 2009-08-25 2013-02-05 Empire Technology Development Llc Testing security of mapping functions
US8387071B2 (en) 2009-08-28 2013-02-26 Empire Technology Development, Llc Controlling integrated circuits including remote activation or deactivation
WO2011048126A1 (en) 2009-10-21 2011-04-28 Intrinsic Id B.V. Distribution system and method for distributing digital information
US8402401B2 (en) 2009-11-09 2013-03-19 Case Western University Protection of intellectual property cores through a design flow
WO2011089143A1 (en) 2010-01-20 2011-07-28 Intrinsic Id B.V. Device and method for obtaining a cryptographic key
US8458489B2 (en) 2010-03-25 2013-06-04 Empire Technology Development Llc Differential uncloneable variability-based cryptography
EP2625640B1 (en) 2010-10-04 2018-08-01 Intrinsic ID B.V. Physical unclonable function with improved start-up behaviour
US8694778B2 (en) * 2010-11-19 2014-04-08 Nxp B.V. Enrollment of physically unclonable functions
KR20120056018A (ko) 2010-11-24 2012-06-01 삼성전자주식회사 범프들과 테스트 패드들이 십자 모양으로 배열되는 반도체 장치
US20120137137A1 (en) * 2010-11-30 2012-05-31 Brickell Ernest F Method and apparatus for key provisioning of hardware devices
US8386990B1 (en) * 2010-12-07 2013-02-26 Xilinx, Inc. Unique identifier derived from an intrinsic characteristic of an integrated circuit
JP5225412B2 (ja) 2011-03-03 2013-07-03 株式会社東芝 通信装置および通信方法
WO2012122994A1 (en) * 2011-03-11 2012-09-20 Kreft Heinz Off-line transfer of electronic tokens between peer-devices
US20130141137A1 (en) 2011-06-01 2013-06-06 ISC8 Inc. Stacked Physically Uncloneable Function Sense and Respond Module
JP5420114B2 (ja) * 2011-06-02 2014-02-19 三菱電機株式会社 鍵情報生成装置及び鍵情報生成方法
JP5770026B2 (ja) 2011-06-20 2015-08-26 ルネサスエレクトロニクス株式会社 半導体装置
DE102011079259B9 (de) 2011-07-15 2013-11-28 Infineon Technologies Ag Bitfehlerkorrektur zur Beseitigung von altersbedingten Fehlern in einem Bitmuster
CN102393890B (zh) * 2011-10-09 2014-07-16 广州大学 一种抗物理入侵和旁路攻击的密码芯片系统及其实现方法
US8700916B2 (en) 2011-12-02 2014-04-15 Cisco Technology, Inc. Utilizing physically unclonable functions to derive device specific keying material for protection of information
US20130147511A1 (en) * 2011-12-07 2013-06-13 Patrick Koeberl Offline Device Authentication and Anti-Counterfeiting Using Physically Unclonable Functions
CN104025500B (zh) 2011-12-29 2017-07-25 英特尔公司 使用在物理上不可克隆的函数的安全密钥存储
CN102546149B (zh) * 2012-01-16 2014-12-03 华南理工大学 一种密码芯片系统及密钥提取方法
US8525549B1 (en) 2012-02-23 2013-09-03 International Business Machines Corporation Physical unclonable function cell and array
US8750502B2 (en) 2012-03-22 2014-06-10 Purdue Research Foundation System on chip and method for cryptography using a physically unclonable function
US10079678B2 (en) 2012-07-24 2018-09-18 Intel Corporation Providing access to encrypted data
US9742563B2 (en) 2012-09-28 2017-08-22 Intel Corporation Secure provisioning of secret keys during integrated circuit manufacturing
US8928347B2 (en) 2012-09-28 2015-01-06 Intel Corporation Integrated circuits having accessible and inaccessible physically unclonable functions
US8954735B2 (en) 2012-09-28 2015-02-10 Intel Corporation Device, method, and system for secure trust anchor provisioning and protection using tamper-resistant hardware
US8938792B2 (en) 2012-12-28 2015-01-20 Intel Corporation Device authentication using a physically unclonable functions based key generation system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120321077A1 (en) * 2011-06-20 2012-12-20 Renesas Electronics Corporation Cryptographic communication system and cryptographic communication method

Also Published As

Publication number Publication date
EP2939171A4 (en) 2016-08-10
WO2014105310A1 (en) 2014-07-03
KR20150080579A (ko) 2015-07-09
CN104838385B (zh) 2018-03-02
US20140189890A1 (en) 2014-07-03
EP2939171A1 (en) 2015-11-04
US8938792B2 (en) 2015-01-20
CN104838385A (zh) 2015-08-12

Similar Documents

Publication Publication Date Title
KR101723006B1 (ko) 물리적 복제 방지 기능 기반 키 생성 시스템을 이용하는 디바이스 인증
Shamsoshoara et al. A survey on physical unclonable function (PUF)-based security solutions for Internet of Things
US10129037B2 (en) System and method for authenticating and enabling functioning of a manufactured electronic device
CN108885675B (zh) 包括电路编码变换函数的加密asic
Clark Anti-tamper JTAG TAP design enables DRM to JTAG registers and P1687 on-chip instruments
Armknecht et al. A formalization of the security features of physical functions
KR102499723B1 (ko) 물리적 복제방지 기능 비트스트링 생성에 대한 신뢰성 향상 방법
Huang et al. A PUF-based unified identity verification framework for secure IoT hardware via device authentication
US10250577B2 (en) System and method for authenticating and enabling an electronic device in an electronic system
US20130147511A1 (en) Offline Device Authentication and Anti-Counterfeiting Using Physically Unclonable Functions
WO2012001796A1 (ja) 個体別情報生成装置及び個体別情報生成方法
US10032016B2 (en) System and method to cause an obfuscated non-functional device to transition to a starting functional state using a specified number of cycles
JP2013131868A (ja) 温度センサ、暗号化装置、暗号化方法、及び個体別情報生成装置
Barbareschi et al. On the adoption of physically unclonable functions to secure iiot devices
Hemavathy et al. Arbiter puf—a review of design, composition, and security aspects
Bruneau et al. Development of the unified security requirements of PUFs during the standardization process
Prada-Delgado et al. Physical unclonable keys for smart lock systems using Bluetooth Low Energy
Sami et al. POCA: First power-on chip authentication in untrusted foundry and assembly
Aysu et al. A design method for remote integrity checking of complex PCBs
Nassar et al. CaPUF: Cascaded PUF structure for machine learning resiliency
Roy et al. Device-specific security challenges and solution in IoT edge computing: a review
Sami et al. Advancing Trustworthiness in System-in-Package: A Novel Root-of-Trust Hardware Security Module for Heterogeneous Integration
Koeberl et al. A practical device authentication scheme using SRAM PUFs
Tariguliyev et al. Reliability and security of arbiter‐based physical unclonable function circuits
Plusquellic PUF-based authentication

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant