KR20220058106A - Authentication device using physical unclonable function - Google Patents

Authentication device using physical unclonable function Download PDF

Info

Publication number
KR20220058106A
KR20220058106A KR1020200143478A KR20200143478A KR20220058106A KR 20220058106 A KR20220058106 A KR 20220058106A KR 1020200143478 A KR1020200143478 A KR 1020200143478A KR 20200143478 A KR20200143478 A KR 20200143478A KR 20220058106 A KR20220058106 A KR 20220058106A
Authority
KR
South Korea
Prior art keywords
authentication
data
puf
server
authentication device
Prior art date
Application number
KR1020200143478A
Other languages
Korean (ko)
Other versions
KR102515902B1 (en
Inventor
이정원
김다영
최서연
최윤영
선우경
Original Assignee
이화여자대학교 산학협력단
서울대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이화여자대학교 산학협력단, 서울대학교산학협력단 filed Critical 이화여자대학교 산학협력단
Priority to KR1020200143478A priority Critical patent/KR102515902B1/en
Publication of KR20220058106A publication Critical patent/KR20220058106A/en
Application granted granted Critical
Publication of KR102515902B1 publication Critical patent/KR102515902B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3278Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/73Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Abstract

Disclosed is an authentication device using a physical unclonable function. The authentication device includes a physical unclonable function (PUF) chip that outputs specific response data to specific challenge data. The authentication device selects challenge data to be used for authentication from among a plurality of challenge data included in a CRPs table of the PUF chip according to an authentication information generation rule shared with a server and generates PUF encrypted data using the selected challenge data and response data when the selected challenge data is input to the PUF chip. The PUF encrypted data may be used to derive an authentication result through comparison with server-encrypted data generated by the server according to the same authentication information generation rule as the authentication information generation rule used to generate the PUF encrypted data. Accordingly, a problem in which the challenge data and response data are exposed on a network can be prevented.

Description

물리적 복제 방지 기술을 이용한 인증 장치{AUTHENTICATION DEVICE USING PHYSICAL UNCLONABLE FUNCTION}AUTHENTICATION DEVICE USING PHYSICAL UNCLONABLE FUNCTION

본 발명은 물리적 복제 방지 기술(Physical Unclonable Function, PUF)을 이용한 인증 장치에 관한 것으로, 보다 구체적으로는 인증을 위한 네트워크 통신 중 첼린지-응답 데이터 쌍(Challenge-Response Pair, CRP)으로 구성된 CRPs 테이블의 노출을 없애 보안 성능을 향상시키는 장치에 관한 것이다.The present invention relates to an authentication device using a Physical Unclonable Function (PUF), and more specifically, a CRPs table composed of a Challenge-Response Pair (CRP) during network communication for authentication. It relates to a device that improves security performance by eliminating the exposure of

기존의 소프트웨어 기반 보안은 키(Key)를 비휘발성 메모리(Non-Volatile Memory, NVM)에 저장해 두는 방식으로 진행되지만, NVM에 저장된 디지털 키는 물리적 공격을 이용한 알고리즘 해킹 속도가 가속화되면서 보안에 취약하다는 단점이 있다. 이를 극복하기 위해 유니크한 휘발성 디지털 키(Unique volatile digital keys)를 생성하는 하드웨어 기반 보안 방식의 일종인 “물리적 복제 방지 기술 (Physical Unclonable Function, PUF)”이 고안되었다.Existing software-based security proceeds by storing the key in a non-volatile memory (NVM), but the digital key stored in the NVM is vulnerable to security as the algorithm hacking speed using a physical attack accelerates. There are disadvantages. To overcome this, “Physical Unclonable Function (PUF)”, a type of hardware-based security method that generates unique volatile digital keys, was devised.

PUF는 하드웨어 장비에서 나타나는 예측 불가능하고 조절 불가능한 공정 편차를 활용하여 난수를 생성할 수 있는데 이와 같은 난수를 키 생성 및 인증에 사용함으로써 복제 불가한 간단한 하드웨어 칩으로 기존의 소프트웨어 보안 방식의 단점을 보완할 수 있는 방법을 제공할 수 있다.PUF can generate random numbers by utilizing unpredictable and uncontrollable process deviations that appear in hardware equipment. By using such random numbers for key generation and authentication, a simple hardware chip that cannot be duplicated can compensate for the shortcomings of the existing software security method. You can provide a way to

보다 구체적으로 공정 편차에 따라 각기 다르게 형성된 PUF 칩에 첼린지 데이터라는 특정 입력 신호 넣었을 때 나오는 출력을 응답 데이터라고 하며, PUF는 이와 같은 첼린지-응답 데이터 쌍을 보안 인증 절차에서 활용할 수 있다. 이때, PUF 칩에서 생성할 수 있는 CRP들의 일부 혹은 전체를 CRPs 테이블이라고 칭할 수 있다. More specifically, the output output when a specific input signal called challenge data is put into a PUF chip formed differently according to process deviation is called response data, and PUF can utilize such a challenge-response data pair in the security authentication procedure. In this case, some or all of the CRPs that can be generated in the PUF chip may be referred to as a CRPs table.

일례로, 서버가 CRPs 테이블을 가지고 있고, 사용자는 PUF 칩을 포함하는 인증 장치를 가지고 있는 상황을 가정하여 서버가 첼린지 데이터를 인증 장치로 전송하면, 인증 장치는 수신된 첼린지 데이터를 PUF 칩에 입력함으로써 응답 데이터를 출력할 수 있다. 이후 인증 장치가 출력된 응답 데이터를 서버에 전달하면, 서버는 소지한 CRPs 테이블을 이용하여 첼린지-응답 데이터 쌍이 일치하는지 확인함으로써 인증 여부를 판단할 수 있다.For example, assuming that the server has a CRPs table and the user has an authentication device including a PUF chip, when the server transmits challenge data to the authentication device, the authentication device transmits the received challenge data to the PUF chip. Response data can be output by inputting to . Thereafter, when the authentication device transmits the output response data to the server, the server can determine whether authentication is performed by checking whether the challenge-response data pair matches using the CRPs table possessed.

다만, 이와 같이 서버가 첼린지 데이터를 인증 장치로 전송하는 과정 및 인증 장치가 응답 데이터를 서버에게 전송하는 과정에서 첼린지 데이터 및 응답 데이터가 네트워크 상에 노출될 수 있으며, 이로 인해 CRPs 테이블의 노출을 통한 해킹 위험성이 증가하는 문제점이 있었다.However, in the process in which the server transmits the challenge data to the authentication device and the authentication device transmits the response data to the server, the challenge data and the response data may be exposed on the network, thereby exposing the CRPs table There was a problem in that the risk of hacking through the

본 발명은 첼린지 데이터와 응답 데이터를 통해 생성된 암호화 데이터를 이용하여 인증을 수행함으로써 네트워크 상에 첼린지 데이터와 응답 데이터가 노출되는 문제를 방지할 수 있는 장치 및 방법을 제공한다.The present invention provides an apparatus and method capable of preventing the problem of exposing challenge data and response data on a network by performing authentication using encrypted data generated through challenge data and response data.

본 발명의 일실시예에 따른 인증 장치는 특정 첼린지(Challenge) 데이터에 대해 특정 응답(Response) 데이터를 출력하는 PUF(Physical Unclonable Function) 칩을 포함하고, 상기 인증 장치는 서버와 공유하는 인증 정보 생성 규칙에 따라 상기 PUF 칩의 CRPs 테이블에 포함된 복수의 첼린지 데이터들 중 인증에 사용할 첼린지 데이터를 선택하고, 상기 선택된 첼린지 데이터 및 상기 선택된 첼린지 데이터를 PUF 칩에 입력하였을 때의 응답 데이터를 이용하여 PUF 암호화 데이터를 생성하며, 상기 PUF 암호화 데이터는 상기 PUF 암호화 데이터를 생성하는데 사용된 인증 정보 생성 규칙과 동일한 인증 정보 생성 규칙에 따라 상기 서버에 의해 생성된 서버 암호화 데이터와의 비교를 통해 인증 결과를 도출하는데 사용될 수 있다.An authentication device according to an embodiment of the present invention includes a PUF (Physical Unclonable Function) chip that outputs specific response data with respect to specific challenge data, and the authentication device includes authentication information shared with a server Response when challenge data to be used for authentication is selected from among a plurality of challenge data included in the CRPs table of the PUF chip according to a generation rule, and the selected challenge data and the selected challenge data are input to the PUF chip Generate PUF-encrypted data using data, wherein the PUF-encrypted data compares with server-encrypted data generated by the server according to the same authentication information generation rule as the authentication information generation rule used to generate the PUF-encrypted data. It can be used to derive authentication results through

상기 인증 장치는 상기 인증 정보 생성 규칙에 따라 상기 PUF 칩의 CRPs 테이블에 포함된 복수의 첼린지 데이터들 중 두 개 이상의 첼린지 데이터들이 선택되는 경우, 상기 선택된 첼린지 데이터들과 상기 선택된 첼린지 데이터에 대응하는 응답 데이터들의 조합 순서에 따라 서로 다른 PUF 암호화 데이터를 생성할 수 있다.When two or more challenge data from among a plurality of challenge data included in the CRPs table of the PUF chip are selected according to the authentication information generation rule, the authentication device includes the selected challenge data and the selected challenge data. Different PUF-encrypted data may be generated according to a combination order of response data corresponding to .

상기 인증 장치는 상기 서버와 규칙 목록을 공유하고, 기준 시간으로부터 일정 주기 마다 상기 규칙 목록에 포함된 서로 다른 인증 정보 생성 규칙들을 순차적으로 선택하여 업데이트 할 수 있다.The authentication device may share a rule list with the server, and may sequentially select and update different authentication information generation rules included in the rule list at regular intervals from a reference time.

상기 인증 장치는 상기 서버와 규칙 목록을 공유하고, 인증 절차가 수행되는 시간 정보에 기초하여 해당 시간 정보에 대해 미리 정해진 인증 정보 생성 규칙을 선택하거나, 상기 규칙 목록에 포함된 서로 다른 인증 정보 생성 규칙들을 비순차적으로 선택하여 업데이트 할 수 있다.The authentication device shares a list of rules with the server and selects a predetermined authentication information generation rule for the corresponding time information based on the time information at which the authentication procedure is performed, or different authentication information generation rules included in the rule list You can update them by selecting them out of sequence.

상기 인증 장치는 상기 서버와 규칙 목록을 공유하고, 이전 인증 정보에 기초하여 미리 정해진 인증 정보 생성 규칙을 선택하거나, 상기 규칙 목록에 포함된 서로 다른 인증 정보 생성 규칙들을 비순차적으로 선택하여 업데이트 할 수 있다.The authentication device shares a rule list with the server, selects a predetermined authentication information generation rule based on previous authentication information, or selects and updates different authentication information generation rules included in the rule list out of sequence there is.

본 발명의 일실시예에 따른 인증 장치는 특정 첼린지(Challenge) 데이터에 대해 특정 응답(Response) 데이터를 출력하는 PUF(Physical Unclonable Function) 칩을 포함하고, 상기 인증 장치는 서버와 공유하는 인증 정보 생성 규칙에 따라 상기 PUF 칩의 CRPs 테이블에 포함된 복수의 첼린지 데이터들 및 응답 데이터들 중 인증에 사용할 임의의 첼린지 데이터 및 임의의 응답 데이터를 각각 선택하고, 상기 각각 선택된 첼린지 데이터 및 응답 데이터를 이용하여 PUF 암호화 데이터를 생성하며, 상기 PUF 암호화 데이터는 상기 PUF 암호화 데이터를 생성하는데 사용된 인증 정보 생성 규칙과 동일한 인증 정보 생성 규칙에 따라 상기 서버에 의해 생성된 서버 암호화 데이터와의 비교를 통해 인증 결과를 도출하는데 사용될 수 있다.An authentication device according to an embodiment of the present invention includes a PUF (Physical Unclonable Function) chip that outputs specific response data with respect to specific challenge data, and the authentication device includes authentication information shared with a server According to a generation rule, random challenge data and random response data to be used for authentication are selected from among a plurality of challenge data and response data included in the CRPs table of the PUF chip, respectively, and the selected challenge data and response Generate PUF-encrypted data using data, wherein the PUF-encrypted data compares with server-encrypted data generated by the server according to the same authentication information generation rule as the authentication information generation rule used to generate the PUF-encrypted data. It can be used to derive authentication results through

상기 인증 장치는 상기 서버와 규칙 목록을 공유하고, 기준 시간으로부터 일정 주기 마다 상기 규칙 목록에 포함된 서로 다른 인증 정보 생성 규칙들을 순차적으로 선택하여 업데이트 할 수 있다.The authentication device may share a rule list with the server, and may sequentially select and update different authentication information generation rules included in the rule list at regular intervals from a reference time.

상기 인증 장치는 상기 서버와 규칙 목록을 공유하고, 인증 절차가 수행되는 시간 정보에 기초하여 해당 시간 정보에 대해 미리 정해진 인증 정보 생성 규칙을 선택하거나, 상기 규칙 목록에 포함된 서로 다른 인증 정보 생성 규칙들을 비순차적으로 선택하여 업데이트 할 수 있다.The authentication device shares a list of rules with the server and selects a predetermined authentication information generation rule for the corresponding time information based on the time information at which the authentication procedure is performed, or different authentication information generation rules included in the rule list You can update them by selecting them out of sequence.

상기 인증 장치는 상기 서버와 규칙 목록을 공유하고, 이전 인증 정보에 기초하여 미리 정해진 인증 정보 생성 규칙을 선택하거나, 상기 규칙 목록에 포함된 서로 다른 인증 정보 생성 규칙들을 비순차적으로 선택하여 업데이트 할 수 있다.The authentication device shares a rule list with the server, selects a predetermined authentication information generation rule based on previous authentication information, or selects and updates different authentication information generation rules included in the rule list out of sequence there is.

본 발명의 일실시예에 따른 인증 장치는 동일한 첼린지(Challenge) 데이터에 대해 서로 다른 응답(Response) 데이터를 출력하는 복수의 PUF(Physical Unclonable Function) 칩들을 포함하고, 상기 인증 장치는 서버와 공유하는 인증 정보 생성 규칙에 따라 상기 복수의 PUF 칩들 중 적어도 하나 이상 PUF 칩을 선택하고, 상기 선택된 PUF 칩의 CRPs 테이블에 포함된 복수의 첼린지 데이터들 중 인증에 사용할 적어도 하나 이상의 첼린지 데이터를 선택하며, 상기 선택된 첼린지 데이터 및 상기 선택된 첼린지 데이터를 PUF 칩에 입력하였을 때의 응답 데이터를 이용하여 PUF 암호화 데이터를 생성하고, 상기 PUF 암호화 데이터는 상기 PUF 암호화 데이터를 생성하는데 사용된 인증 정보 생성 규칙과 동일한 인증 정보 생성 규칙에 따라 상기 서버에 의해 생성된 서버 암호화 데이터와의 비교를 통해 인증 결과를 도출하는데 사용될 수 있다.An authentication device according to an embodiment of the present invention includes a plurality of PUF (Physical Unclonable Function) chips that output different response data to the same challenge data, and the authentication device is shared with a server selects at least one PUF chip from among the plurality of PUF chips according to an authentication information generation rule, and generating PUF-encrypted data using the selected challenge data and response data when the selected challenge data is input to the PUF chip, and the PUF-encrypted data generates authentication information used to generate the PUF-encrypted data It can be used to derive an authentication result through comparison with server encrypted data generated by the server according to the same authentication information generation rule as the rule.

상기 인증 장치는 상기 복수의 PUF 칩들 중 두 개 이상의 PUF 칩들이 선택되는 경우, 상기 선택된 PUF 칩들의 CRPs 테이블에서 선택된 첼린지 데이터 및 상기 선택된 첼린지 데이터를 PUF 칩에 입력하였을 때의 응답 데이터에 대한 조합 순서에 따라 서로 다른 PUF 암호화 데이터를 생성할 수 있다.When two or more PUF chips are selected from among the plurality of PUF chips, the authentication device responds to the challenge data selected from the CRPs table of the selected PUF chips and the response data when the selected challenge data is input to the PUF chip Different PUF-encrypted data can be generated according to the combination order.

상기 인증 장치는 상기 서버와 규칙 목록을 공유하고, 기준 시간으로부터 일정 주기 마다 상기 규칙 목록에 포함된 서로 다른 인증 정보 생성 규칙들을 순차적으로 선택하여 업데이트 할 수 있다.The authentication device may share a rule list with the server, and may sequentially select and update different authentication information generation rules included in the rule list at regular intervals from a reference time.

상기 인증 장치는 상기 서버와 규칙 목록을 공유하고, 인증 절차가 수행되는 시간 정보에 기초하여 해당 시간 정보에 대해 미리 정해진 인증 정보 생성 규칙을 선택하거나, 상기 규칙 목록에 포함된 서로 다른 인증 정보 생성 규칙들을 비순차적으로 선택하여 업데이트 할 수 있다.The authentication device shares a list of rules with the server and selects a predetermined authentication information generation rule for the corresponding time information based on the time information at which the authentication procedure is performed, or different authentication information generation rules included in the rule list You can update them by selecting them out of sequence.

상기 인증 장치는 상기 서버와 규칙 목록을 공유하고, 이전 인증 정보에 기초하여 미리 정해진 인증 정보 생성 규칙을 선택하거나, 상기 규칙 목록에 포함된 서로 다른 인증 정보 생성 규칙들을 비순차적으로 선택하여 업데이트 할 수 있다.The authentication device shares a rule list with the server, selects a predetermined authentication information generation rule based on previous authentication information, or selects and updates different authentication information generation rules included in the rule list out of sequence there is.

본 발명은 첼린지 데이터와 응답 데이터를 통해 생성된 암호화 데이터를 이용하여 인증을 수행함으로써 네트워크 상에 첼린지 데이터와 응답 데이터가 노출되는 문제를 방지할 수 있다.The present invention can prevent the problem of exposing the challenge data and the response data on the network by performing authentication using the encrypted data generated through the challenge data and the response data.

도 1은 본 발명의 일실시예에 따른 특정 첼린지-응답 데이터를 이용한 인증 시스템을 도시한 도면이다.
도 2는 본 발명의 일실시예에 따른 임의의 첼린지-응답 데이터를 이용한 인증 시스템을 도시한 도면이다.
도 3은 본 발명의 일실시예에 따른 멀티 PUF 칩들을 이용한 시스템을 도시한 도면이다.1 is a diagram illustrating an authentication system using specific challenge-response data according to an embodiment of the present invention.
2 is a diagram illustrating an authentication system using arbitrary challenge-response data according to an embodiment of the present invention.
3 is a diagram illustrating a system using multi-PUF chips according to an embodiment of the present invention.

이하, 본 발명의 실시예를 첨부된 도면을 참조하여 상세하게 설명한다. Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 따른 특정 첼린지-응답 데이터를 이용한 인증 시스템을 도시한 도면이다.1 is a diagram illustrating an authentication system using specific challenge-response data according to an embodiment of the present invention.

본 발명에서 제공하는 인증 시스템(100)은 서버(110)와 사용자가 소지한 인증 장치(120) 간의 상호 인증을 제공할 수 있다. 보다 구체적으로 도 1의 (a)는 서버(110)가 인증 장치(120)의 진위를 확인하는 경우의 예이고, 도 1의 (b)는 인증 장치(120)가 서버(110)의 진위를 확인하는 경우의 예를 나타낸 도면이다. 이때, 인증 시스템(100)을 구성하는 요소는 서버(110)와 인증 장치(120)로 한정되는 것이 아니고, 서버(110) 간 또는 인증 장치(120) 간의 상호 인증을 제공할 수도 있다.The authentication system 100 provided in the present invention may provide mutual authentication between the server 110 and the authentication device 120 possessed by the user. More specifically, Fig. 1 (a) is an example when the server 110 confirms the authenticity of the authentication device 120, Figure 1 (b) is the authentication device 120 is the authenticity of the server 110 It is a drawing showing an example of the case of confirmation. In this case, the elements constituting the authentication system 100 are not limited to the server 110 and the authentication device 120 , and mutual authentication between the servers 110 or between the authentication devices 120 may be provided.

인증 장치(120)는 PUF 칩을 포함할 수 있으며, PUF 칩은 임의의 첼린지 데이터를 입력 받아 고유한 응답 데이터를 출력할 수 있다. 이와 같이 PUF 칩을 통해 입출력되는 첼린지-응답 데이터 쌍들을 CRPs 테이블이라고 칭할 수 있으며, 서버(110)는 PUF 칩의 CRPs 테이블을 사전에 저장할 수 있다. 이때, 서버(110)에 저장되는 CRPs 테이블은 PUF 칩에서 생성할 수 있는 CRPs의 일부 혹은 전체로 구성될 수 있다.The authentication device 120 may include a PUF chip, and the PUF chip may receive arbitrary challenge data and output unique response data. In this way, the pair of challenge-response data input/output through the PUF chip may be referred to as a CRPs table, and the server 110 may store the CRPs table of the PUF chip in advance. In this case, the CRPs table stored in the server 110 may be composed of some or all of CRPs that can be generated by the PUF chip.

인증 장치(120)가 PUF 칩에 첼린지 데이터를 넣고 응답 데이터를 획득하는 과정을 난수 독출 모드라고 하며, PUF 칩에서 발생한 응답 데이터를 바탕으로 서버(110)로 회신할 PUF 인증 정보를 생성하는 과정을 인증 정보 생성 모드라고 칭할 수 있다. 인증 장치(120)는 이와 같이 생성된 PUF 인증 정보를 이용함으로써 서버(110)와의 인증을 수행할 수 있다.A process in which the authentication device 120 puts challenge data into the PUF chip and obtains response data is called a random number reading mode, and a process of generating PUF authentication information to be returned to the server 110 based on the response data generated in the PUF chip may be referred to as an authentication information generation mode. The authentication device 120 may perform authentication with the server 110 by using the generated PUF authentication information.

일례로, 도 1의 (a)를 참고하면, 인증 장치(120)는 서버(110)와 공유하는 인증 정보 생성 규칙에 따라 PUF 칩의 CRPs 테이블에 포함된 복수의 첼린지 데이터들 중 인증에 사용할 첼린지 데이터를 선택할 있다. 즉, 인증 장치(120)는 인증 정보 생성 규칙에 따라 인증에 사용할 첼린지 데이터를 선택함으로써 외부, 즉 서버(110)로부터 첼린지 데이터를 수신할 필요가 없으므로 네트워크 상에 첼린지 데이터의 노출을 방지할 수 있다.As an example, referring to (a) of FIG. 1 , the authentication device 120 may be used for authentication among a plurality of challenge data included in the CRPs table of the PUF chip according to the authentication information generation rule shared with the server 110 . Challenge data can be selected. That is, since the authentication device 120 does not need to receive the challenge data from the outside, that is, the server 110 by selecting the challenge data to be used for authentication according to the authentication information generation rule, exposure of the challenge data on the network is prevented. can do.

이후 인증 장치(120)는 선택된 첼린지 데이터를 PUF 칩에 입력하였을 때의 응답 데이터를 획득할 수 있다. 인증 장치(120)는 이와 같이 획득된 응답 데이터를 그대로 서버(110)로 전송하여 인증을 수행하는 대신, 인증 정보 생성 규칙에 포함된 암호화 방식에 따라 첼린지 데이터와 응답 데이터를 이용하여 PUF 암호화 데이터를 생성하고, 생성된 PUF 암호화 데이터를 PUF 인증 정보로서 서버(110)로 전송할 수 있다. 즉, 인증 장치(120)는 인증 정보 생성 규칙에 따라 PUF 암호화 데이터를 생성하고, 이를 이용하여 인증을 수행함으로써 네트워크 상이 응답 데이터가 노출되는 것을 방지할 수 있다. 이때, 인증 장치(120)는 해시 함수와 같은 암호화 function을 사용하거나, 첼린지 데이터와 응답 데이터를 활용한 디지털 연산을 사용할 수 있다. Thereafter, the authentication device 120 may acquire response data when the selected challenge data is input to the PUF chip. The authentication device 120 transmits the thus-obtained response data to the server 110 as it is to perform authentication, but instead uses the challenge data and the response data according to the encryption method included in the authentication information generation rule to obtain PUF-encrypted data. may be generated, and the generated PUF encrypted data may be transmitted to the server 110 as PUF authentication information. That is, the authentication device 120 generates PUF encrypted data according to the authentication information generation rule and performs authentication using the generated PUF data, thereby preventing exposure of response data over the network. In this case, the authentication device 120 may use an encryption function such as a hash function, or may use a digital operation utilizing challenge data and response data.

서버(110)는 인증 장치(120)로부터 PUF 인증 정보를 수신한 경우, 인증 장치(120)와 공유하는 인증 정보 생성 규칙에 따라 인증에 사용할 첼린지 데이터를 선택할 수 있으며, 미리 저장된 CRPs 테이블을 이용하여 선택된 첼린지 데이터에 대응하는 응답 데이터를 식별할 수 있다.When the server 110 receives the PUF authentication information from the authentication device 120 , the server 110 may select challenge data to be used for authentication according to the authentication information generation rule shared with the authentication device 120 , and use the pre-stored CRPs table. Thus, it is possible to identify response data corresponding to the selected challenge data.

그리고, 서버(110)는 인증 정보 생성 규칙에 포함된 암호화 방식에 따라 첼린지 데이터와 응답 데이터를 이용하여 서버 암호화 데이터를 생성할 수 있다. 이때, 서버(110)는 인증 장치(120)가 PUF 암호화 데이터를 생성하는데 사용된 암호화 방식과 동일한 암호화 방식에 따라 서버 암호화 데이터를 생성할 수 있다.In addition, the server 110 may generate server encryption data using the challenge data and the response data according to the encryption method included in the authentication information generation rule. In this case, the server 110 may generate the server encrypted data according to the same encryption method as the encryption method used by the authentication device 120 to generate the PUF encrypted data.

이후 서버(110)는 생성된 서버 암호화 데이터를 인증 장치(120)로부터 수신된 PUF 암호화 데이터와 비교함으로써 인증 결과를 도출할 수 있다. 그리고, 서버(110)는 도출된 인증 결과를 인증 장치(120)로 전송함으로써 인증을 완료할 수 있다. Thereafter, the server 110 may derive the authentication result by comparing the generated server encrypted data with the PUF encrypted data received from the authentication device 120 . Then, the server 110 may complete the authentication by transmitting the derived authentication result to the authentication device 120 .

한편, 서버(110)는 도출된 인증 결과를 인증 장치(120)로 전송하지 않을 수도 있다. 이와 같이 본 발명의 인증 시스템(100)은 PUF 암호화 데이터에 대한 인증 결과를 전송하지 않음으로써 PUF 암호화 데이터의 유효성이 노출되는 것을 방지할 수 있다.Meanwhile, the server 110 may not transmit the derived authentication result to the authentication device 120 . As described above, the authentication system 100 of the present invention can prevent the validity of the PUF encrypted data from being exposed by not transmitting the authentication result for the PUF encrypted data.

일례로, 도 1의 (a)에서는 인증 장치(120)가 인증 정보 생성 규칙에 따라 복수의 첼린지 데이터들 중 인증에 사용할 첼린지 데이터로 "1"을 선택할 수 있고, 첼린지 데이터 "1"을 PUF 칩에 입력함으로써 응답 데이터 "A"를 획득할 수 있다. 그리고, 인증 장치(120)는 인증 정보 생성 규칙에 따라 첼린지 데이터 "1"과 응답 데이터 "A"를 이용하여 "가"라는 PUF 암호화 데이터를 생성한 후 이를 서버(110)로 전송할 수 있다.For example, in FIG. 1A , the authentication device 120 may select “1” as the challenge data to be used for authentication among a plurality of challenge data according to the authentication information generation rule, and the challenge data “1” Response data "A" may be obtained by inputting ? to the PUF chip. Then, the authentication device 120 may generate PUF-encrypted data called “A” by using the challenge data “1” and the response data “A” according to the authentication information generation rule, and then transmit it to the server 110 .

서버(110)는 인증 장치(120)로부터 "가"라는 PUF 암호화 데이터를 수신한 경우, 인증 장치(120)와 공유하는 동일한 인증 정보 생성 규칙에 따라 복수의 첼린지 데이터들 중 인증에 사용할 첼린지 데이터로 "1"을 선택할 수 있고, 미리 저장된 CRPs 테이블을 이용하여 선택된 첼린지 데이터 "1"에 대응하는 응답 데이터 "A"를 식별할 수 있다. 그리고, 서버(110)는 인증 정보 생성 규칙에 따라 첼린지 데이터 "1"과 응답 데이터 "A"를 이용하여 "가"라는 서버 암호화 데이터를 생성한 후 PUF 암호화 데이터와 비교함으로써 인증 결과를 도출할 수 있다.When the server 110 receives the PUF-encrypted data “A” from the authentication device 120 , the server 110 selects a challenge to be used for authentication among a plurality of challenge data according to the same authentication information generation rule shared with the authentication device 120 . “1” may be selected as data, and response data “A” corresponding to the selected challenge data “1” may be identified using the previously stored CRPs table. Then, the server 110 generates the server encrypted data “A” using the challenge data “1” and the response data “A” according to the authentication information generation rule and compares it with the PUF encrypted data to derive the authentication result. can

도 1의 (b)는 인증 장치(120)가 서버(110)의 진위를 확인하는 경우의 예로써 도 1의 (a)에서의 서버(110)와 인증 장치(120) 간의 역할이 반대이므로 자세한 설명은 생략하도록 한다.Figure 1 (b) is an example of a case in which the authentication device 120 checks the authenticity of the server 110. In Figure 1 (a), the roles between the server 110 and the authentication device 120 are reversed. The description will be omitted.

한편, 도 1의 (a) 및 (b)의 예에서는 CRPs 테이블에 포함된 복수의 첼린지 데이터들 중 인증에 사용할 하나의 첼린지 데이터를 선택하는 구성을 제공하고 있다. 이와는 달리 본 발명의 인증 시스템(100)은 CRPs 테이블에 포함된 복수의 첼린지 데이터들 중 적어도 두 개 이상의 첼린지 데이터들을 선택할 수 있다. On the other hand, in the example of (a) and (b) of Figure 1 provides a configuration for selecting one challenge data to be used for authentication from among a plurality of challenge data included in the CRPs table. Contrary to this, the authentication system 100 of the present invention may select at least two or more challenge data from among a plurality of challenge data included in the CRPs table.

일례로, 인증 시스템(100)의 인증 장치(120)는 인증 정보 생성 규칙에 따라 첼린지 데이터 "1"과 "3"을 선택할 수 있고, 이를 PUF 칩에 입력함으로써 응답 데이터 "A"와 "C"를 각각 획득할 수 있다. 이때, 인증 장치(120)는 인증 정보 생성 규칙에 포함된 암호화 방식에 따라 이와 같이 획득된 첼린지-응답 데이터 쌍 (1-A) 및 (3-C)의 조합 순서를 변경함으로써 서로 다른 PUF 암호화 데이터를 생성할 수 있으며, 이를 통해 보안성을 향상시킬 수 있다. As an example, the authentication device 120 of the authentication system 100 may select the challenge data “1” and “3” according to the authentication information generation rule, and by inputting them into the PUF chip, the response data “A” and “C” " can be obtained individually. In this case, the authentication device 120 encrypts different PUFs by changing the combination order of the thus obtained challenge-response data pairs (1-A) and (3-C) according to the encryption method included in the authentication information generation rule. Data can be generated, which can improve security.

한편, 서버(110)와 인증 장치(120)가 서로 공유하는 인증 정보 생성 규칙은 미리 정해진 방법에 따라 업데이트 될 수 있다. Meanwhile, the authentication information generation rule shared by the server 110 and the authentication device 120 may be updated according to a predetermined method.

(1) 고정 주기형.(One) fixed cycle type.

서버(110)와 인증 장치(120)는 기준 시간 및 규칙 목록을 사전에 공유할 수 있다. 이후 서버(110)와 인증 장치(120)는 각자 가지고 있는 clock를 통해 기준 시간으로부터 일정 주기 마다 규칙 목록에 포함된 복수의 인증 정보 생성 규칙들을 순차적으로 선택하여 업데이트할 수 있다. The server 110 and the authentication device 120 may share a reference time and a list of rules in advance. Thereafter, the server 110 and the authentication device 120 may sequentially select and update a plurality of authentication information generation rules included in the rule list at regular intervals from the reference time through their respective clocks.

(2) 시간 정보형. (2) Time information type.

서버(110)와 인증 장치(120)는 규칙 목록 및 시간 정보에 따라 몇 번째 규칙을 사용할 것인지에 대한 정보를 사전에 공유할 수 있다. 이후 인증 절차가 이루어지는 실시간 정보를 바탕으로 해당 시간 정보에 맞는 인증 정보 생성 규칙을 선택하여 업데이트할 수 있다. 이때, 시간 정보는 서버(110)가 인증 장치(120)로 첼린지 데이터를 전송한 시간 혹은 인증 장치(120)가 첼린지 데이터를 수신한 시간 혹은 인증 장치(120)가 PUF 인증 정보를 서버(110)로 전송한 시간 등 인증 절차가 이루어 지는 중의 실시간 정보를 의미할 수 있다.The server 110 and the authentication device 120 may share information on the number of rules to be used in advance according to the rule list and time information. After that, based on the real-time information on which the authentication process is performed, it is possible to select and update an authentication information generation rule suitable for the corresponding time information. At this time, the time information is the time when the server 110 transmits the challenge data to the authentication device 120 or the time when the authentication device 120 receives the challenge data or the authentication device 120 sends the PUF authentication information to the server ( 110) may mean real-time information during the authentication process, such as the time transmitted.

또는, 서버(110)와 인증 장치(120)는 인증 절차가 수행되는 시간 정보에 기초하여 규칙 목록에 포함된 서로 다른 인증 정보 생성 규칙들을 비순차적으로 선택하여 업데이트 할 수 있다. 보다 구체적으로 서버(110)와 인증 장치(120)는 인증 절차가 수행되는 시간 정보에 CRPs 테이블을 구성하는 첼린지-응답 데이터 쌍의 개수 정보를 적용함으로써 규칙 목록에 포함된 서로 다른 인증 정보 생성 규칙들을 비순차적으로 선택하여 업데이트 할 수 있다.Alternatively, the server 110 and the authentication device 120 may non-sequentially select and update different authentication information generation rules included in the rule list based on time information during which the authentication procedure is performed. More specifically, the server 110 and the authentication device 120 apply different authentication information generation rules included in the rule list by applying the information on the number of challenge-response data pairs constituting the CRPs table to the time information during which the authentication procedure is performed. You can update them by selecting them out of sequence.

일례로, 서버(110) 혹은 인증 장치(120)가 정보를 전송하는 시간(초)을 이용하여 인증 정보를 생성한다고 가정한다. 이때, 도 1의 (a) 및 (b)를 참고하면, CPRs 테이블은 총 4개의 첼린지-응답 데이터 쌍으로 구성되어 있으며, 만약 서버(110) 혹은 인증 장치(120)가 10시 04분 57초에 정보를 전송하였다면, 초에 해당하는 시간 정보인 57을 첼린지-응답 데이터 쌍의 개수인 4로 나눔으로써 나머지인 1을 획득할 수 있다. 이때, 4의 나머지는 0, 1, 2, 3이 존재할 수 있으므로, 서버(110) 혹은 인증 장치(120)는 획득된 나머지 1에 대응하여 CPRs 테이블에 포함된 첼린지-응답 데이터 쌍들 중 두번째 첼린지-응답 데이터 쌍 (2-B)을 새로운 인증 정보 생성 규칙으로 선택하여 업데이트 할 수 있다.For example, it is assumed that the server 110 or the authentication device 120 generates authentication information using the time (seconds) for transmitting the information. At this time, referring to (a) and (b) of FIG. 1 , the CPRs table consists of a total of four challenge-response data pairs, and if the server 110 or the authentication device 120 If information is transmitted in seconds, a remainder of 1 can be obtained by dividing 57, which is time information corresponding to seconds, by 4, which is the number of challenge-response data pairs. At this time, since 0, 1, 2, and 3 may exist in the remainder of 4, the server 110 or the authentication device 120 corresponds to the obtained remainder 1 and includes the second cell among the challenge-response data pairs included in the CPRs table. The Lindsey-response data pair (2-B) can be updated by selecting it as a new credential generation rule.

(3) 이전 인증 정보형.(3) Previous authentication information type.

서버(110)와 인증 장치(120)는 규칙 목록 및 이전 인증 정보에 따라 몇 번째 규칙을 사용할 것인지에 대한 정보를 사전에 공유하고, 이전 인증 정보에 대응하는 인증 정보 생성 규칙을 선택하여 업데이트 할 수 있다. 또는 서버(110)와 인증 장치(120)는 이전 인증 정보에 기초하여 규칙 목록에 포함된 서로 다른 인증 정보 생성 규칙들을 비순차적으로 선택하여 업데이트 할 수 있다.The server 110 and the authentication device 120 can share information on which rule to use according to the rule list and previous authentication information in advance, and select and update an authentication information generation rule corresponding to the previous authentication information. . Alternatively, the server 110 and the authentication device 120 may non-sequentially select and update different authentication information generation rules included in the rule list based on previous authentication information.

보다 구체적으로 서버(110)와 인증 장치(120)는 이전 인증 정보에 기초하여 이전 인증에 사용된 첼린지-응답 데이터 쌍을 식별하고, 식별된 첼린지-응답 데이터 쌍을 해시(Hash) 함수에 적용함으로써 인증 정보 생성 규칙을 선택하기 위한 출력을 획득할 수 있다.More specifically, the server 110 and the authentication device 120 identify the challenge-response data pair used for the previous authentication based on the previous authentication information, and use the identified challenge-response data pair to a hash function. By applying, it is possible to obtain an output for selecting the authentication information generation rule.

일례로, 서버(110) 혹은 인증 장치(120)가 도 1의 (a) 및 (b)에 적용된 CRPs 테이블을 이용한다고 가정한다. 최초의 인증 시에는 이전 인증 정보가 없으므로, 서버(110)와 인증 장치(120)는 CRPs 테이블에서 임의의 첼린지-응답 데이터 쌍을 이용하여 인증을 수행할 수 있다. 예를 들어, 서버(110) 혹은 인증 장치(120)는 CRPs 테이블 중 첫번째 첼린지-응답 데이터 쌍(1-A)을 인증에 사용할 수 있다. As an example, it is assumed that the server 110 or the authentication device 120 uses the CRPs table applied to (a) and (b) of FIG. 1 . Since there is no previous authentication information during the initial authentication, the server 110 and the authentication device 120 may perform authentication using an arbitrary challenge-response data pair in the CRPs table. For example, the server 110 or the authentication device 120 may use the first challenge-response data pair 1-A in the CRPs table for authentication.

이후 서버(110) 혹은 인증 장치(120)는 최초의 인증에서 사용된 첼린지-응답 데이터 쌍을 이용하여 다음 인증에 사용할 첼린지-응답 데이터 쌍을 결정할 수 있다. 이를 위해 서버(110) 혹은 인증 장치(120)는 아래의 표 1과 같이 최초의 인증에서 사용된 첼린지-응답 데이터 쌍을 해시 함수에 적용하여 얻은 출력 "#1"을 이용하여 다음 인증에 사용할 첼린지-응답 데이터 쌍을 결정할 수 있다. Thereafter, the server 110 or the authentication device 120 may determine a challenge-response data pair to be used for the next authentication by using the challenge-response data pair used in the first authentication. To this end, the server 110 or the authentication device 120 uses the output “#1” obtained by applying the challenge-response data pair used in the first authentication to the hash function as shown in Table 1 below to be used for the next authentication. A challenge-response data pair may be determined.

Figure pat00001
Figure pat00001

이때, 서버(110) 혹은 인증 장치(120)는 해시 함수의 출력 일부 혹은 전체를 숫자로 변환하여 CRPs 테이블을 구성하는 첼린지-응답 데이터 쌍의 개수 정보로 나눔으로써 나머지를 획득할 수 있다. 일례로, 서버(110) 혹은 인증 장치(120)는 숫자로 변환된 출력 "#1" 중 마지막 숫자인 "7"을 첼린지-응답 데이터 쌍의 개수인 4로 나눔으로써 나머지인 3을 획득할 수 있다. 이때, 다음 인증에 사용할 첼린지-응답 데이터 쌍을 결정하기 위해 사용되는 출력 "#1"의 값은 사용자에 의해 다양한 값이 선택될 수 있다.In this case, the server 110 or the authentication device 120 converts some or all of the output of the hash function into a number and divides it by the number information of the challenge-response data pairs constituting the CRPs table to obtain the remainder. As an example, the server 110 or the authentication device 120 divides the last number "7" among the output "#1" converted into numbers by 4, which is the number of challenge-response data pairs to obtain a remainder of 3 can In this case, various values may be selected by the user as the value of the output “#1” used to determine the challenge-response data pair to be used for the next authentication.

4의 나머지는 0, 1, 2, 3이 존재할 수 있으므로, 서버(110) 혹은 인증 장치(120)는 획득된 나머지 3에 대응하여 CPRs 테이블에 포함된 첼린지-응답 데이터 쌍들 중 네번째 첼린지-응답 데이터 쌍 (4-D)을 새로운 인증 정보 생성 규칙으로 선택하여 업데이트 할 수 있다.Since 0, 1, 2, and 3 may exist in the remainder of 4, the server 110 or the authentication device 120 corresponds to the obtained remaining 3 and is included in the CPRs table - the fourth challenge among the response data pairs - The response data pair (4-D) can be updated by selecting it as a new authentication information generation rule.

그리고, 서버(110) 혹은 인증 장치(120)는 "#1"과 다음 인증에서 사용된 (4-D)를 해시 함수에 적용함으로써 출력 "#2"를 획득할 수 있고, 이를 다음 인증에 사용할 첼린지-응답 데이터 쌍을 결정하는데 이용할 수 있다.Then, the server 110 or the authentication device 120 may obtain the output “#2” by applying “#1” and (4-D) used in the next authentication to the hash function, and use it for the next authentication. It can be used to determine a challenge-response data pair.

이때, 이전 인증에 사용된 첼린지-응답 데이터 쌍만을 해시 함수에 적용하는 경우, 다음 인증 조합은 바로 직전 인증 조합에만 영향을 받을 수 있다. 이와는 달리 이전 인증 조합을 바탕으로 생성한 해시 함수의 결과를 다시 해시 함수에 적용하여 다음 인증 조합을 결정하는 경우, 다음 인증 조합은 최초의 인증 이후의 모든 인증 조합의 영향을 받을 수 있다. In this case, if only the challenge-response data pair used in the previous authentication is applied to the hash function, the next authentication combination may be affected only by the immediately preceding authentication combination. On the other hand, if the result of the hash function generated based on the previous authentication combination is applied to the hash function again to determine the next authentication combination, the next authentication combination may be affected by all authentication combinations after the first authentication.

이와 같이 본 발명에서 제공하는 인증 시스템(110)은 이전 인증 정보를 활용함으로써 인증에 참여하는 주체에 대한 검증이 가능하다는 장점이 있다.As described above, the authentication system 110 provided in the present invention has the advantage of being able to verify the subject participating in the authentication by utilizing the previous authentication information.

도 2는 본 발명의 일실시예에 따른 임의의 첼린지-응답 데이터를 이용한 인증 시스템을 도시한 도면이다.2 is a diagram illustrating an authentication system using arbitrary challenge-response data according to an embodiment of the present invention.

도 1과는 달리 도 2에서 제공하는 인증 시스템(200)은 서버(210) 또는 인증 장치(220)가 CRPs 테이블에서 하나의 특정 첼린지-응답 데이터 쌍을 이용하여 암호화 데이터를 생성하는 것이 아닌 서로 다른 두 개 이상의 첼린지-응답 데이터 쌍을 활용하여 암호화 데이터를 생성할 수 있다.Unlike FIG. 1, in the authentication system 200 provided in FIG. 2, the server 210 or the authentication device 220 does not generate encrypted data using one specific challenge-response data pair in the CRPs table, but each other. Two or more different challenge-response data pairs may be utilized to generate encrypted data.

도 2를 참고하면, PUF 칩을 통해 생성되는 CRPs 테이블은 (1-A), (2-B), (3-C), (4-D)로 정해져 있으나, 서버(210) 또는 인증 장치(220)는 서로 공유하고 있는 인증 정보 생성 규칙에 따라 서로 다른 두 개 이상의 첼린지-응답 데이터 쌍에서 인증에 사용할 첼린지 데이터 및 응답 데이터를 각각 선택함으로써 보다 다양한 종류의 암호화 데이터를 생성할 수 있다.Referring to FIG. 2 , the CRPs table generated through the PUF chip is defined as (1-A), (2-B), (3-C), and (4-D), but the server 210 or the authentication device ( 220) may generate more diverse types of encrypted data by selecting each of the challenge data and response data to be used for authentication from two or more different challenge-response data pairs according to a shared authentication information generation rule.

일례로, 도 2를 참고하면, 인증 장치(220)는 인증 정보 생성 규칙에 따라 인증에 사용할 첼린지 데이터로 "1"과 "3"을 순차적으로 선택할 수 있다. 인증 장치(220)는 첫번째 선택된 첼린지 데이터 "1"의 경우 그대로 이용하고, 두번째 선택된 첼린지 데이터 "3"은 PUF 칩에 입력하여 응답 데이터 "C"를 획득할 수 있다. 인증 장치(220)는 인증 정보 생성 규칙에 포함된 암호화 방식에 따라 이와 같이 획득된 첼린지 데이터 "1"과 응답 데이터 "C"를 암호화함으로써 "거"라는 PUF 암호화 데이터를 생성한 후 이를 서버(210)로 전송할 수 있다.For example, referring to FIG. 2 , the authentication device 220 may sequentially select “1” and “3” as challenge data to be used for authentication according to the authentication information generation rule. The authentication device 220 may use the first selected challenge data “1” as it is, and input the second selected challenge data “3” to the PUF chip to obtain response data “C”. The authentication device 220 encrypts the obtained challenge data “1” and response data “C” according to the encryption method included in the authentication information generation rule to generate PUF-encrypted data called “false” and then transmits it to the server ( 210) can be transmitted.

서버(210)는 인증 장치(220)로부터 "거"라는 PUF 암호화 데이터를 수신한 경우, 인증 장치(220)와 공유하는 동일한 인증 정보 생성 규칙에 따라 복수의 첼린지 데이터들 중 인증에 사용할 첼린지 데이터로 "1"과 "3"을 순차적으로 선택할 수 있다. 서버(210)는 첫번째 선택된 첼린지 데이터 "1"의 경우 그대로 이용하고, 미리 저장된 CRPs 테이블을 이용하여 두번째 선택된 첼린지 데이터 "3"에 대응하는 응답 데이터 "C"를 식별할 수 있다. 그리고, 서버(210)는 인증 정보 생성 규칙에 포함된 암호화 방식에 따라 첼린지 데이터 "1"과 응답 데이터 "C"를 이용하여 "거"라는 서버 암호화 데이터를 생성한 후 이를 PUF 암호화 데이터와 비교함으로써 인증 결과를 도출할 수 있다.When the server 210 receives the PUF-encrypted data of “no” from the authentication device 220 , the server 210 selects a challenge to be used for authentication among a plurality of challenge data according to the same authentication information generation rule shared with the authentication device 220 . You can select "1" and "3" sequentially as data. The server 210 may use the first selected challenge data “1” as it is, and identify response data “C” corresponding to the second selected challenge data “3” using the pre-stored CRPs table. Then, the server 210 generates server-encrypted data called “go” by using the challenge data “1” and the response data “C” according to the encryption method included in the authentication information generation rule, and compares it with the PUF-encrypted data. By doing so, the authentication result can be derived.

도 3은 본 발명의 일실시예에 따른 멀티 PUF 칩들을 이용한 시스템을 도시한 도면이다.3 is a diagram illustrating a system using multi-PUF chips according to an embodiment of the present invention.

도 3을 참고하면, 인증 시스템(300)은 서버(310)와 하나 이상의 PUF 칩으로 구성된 다중 PUF 회로를 포함하는 인증 장치(320)로 구성될 수 있다. 이때, 인증 장치(320)는 도 3과 같이 복수의 PUF 칩들(321-322)을 포함할 수 있으며, 복수의 PUF 칩들(321-322) 각각은 동일한 첼린지 데이터에 대해 서로 다른 고유한 응답 데이터를 출력할 수 있다.Referring to FIG. 3 , the authentication system 300 may include a server 310 and an authentication device 320 including multiple PUF circuits including one or more PUF chips. In this case, the authentication device 320 may include a plurality of PUF chips 321-322 as shown in FIG. 3 , and each of the plurality of PUF chips 321-322 has different unique response data for the same challenge data. can be printed out.

따라서, 본 발명의 인증 시스템(300)은 이와 같이 복수의 PUF 칩들(321-322)로 구성된 인증 장치(320)를 이용함으로써 단일 PUF 칩을 통한 인증 시스템에서의 한정된 CRPs 개수가 가지는 보안 성능의 한계를 개선할 수 있다.Therefore, the authentication system 300 of the present invention uses the authentication device 320 composed of a plurality of PUF chips 321-322 as described above, thereby limiting the security performance of the limited number of CRPs in the authentication system through a single PUF chip. can be improved

보다 구체적으로 인증 장치(320)는 서버(310)와 공유하는 인증 정보 생성 규칙에 따라 복수의 PUF 칩들(321-322) 중 적어도 하나 이상 PUF 칩을 선택할 수 있다. 이후 인증 장치(320)는 선택된 PUF 칩의 CRPs 테이블에 포함된 복수의 첼린지 데이터들 중 인증에 사용할 적어도 하나 이상의 첼린지 데이터를 선택할 있다. 인증 장치(320)는 이와 같이 선택된 첼린지 데이터 및 선택된 첼린지 데이터를 PUF 칩에 입력하였을 때의 응답 데이터를 이용하여 PUF 암호화 데이터를 생성한 후 이를 서버(310)로 전송할 수 있다.More specifically, the authentication device 320 may select at least one PUF chip from among the plurality of PUF chips 321-322 according to the authentication information generation rule shared with the server 310 . Thereafter, the authentication device 320 may select at least one challenge data to be used for authentication from among a plurality of challenge data included in the CRPs table of the selected PUF chip. The authentication device 320 may generate PUF encrypted data using the selected challenge data and response data when the selected challenge data is input to the PUF chip, and then transmit it to the server 310 .

서버(310)는 인증 장치(320)로부터 PUF 암호화 데이터를 수신한 경우, 인증 장치(320)와 공유하는 인증 정보 생성 규칙에 따라 복수의 CRPs 테이블들 중 인증에 사용할 CRPs 테이블을 선택할 수 있다. 이후 서버(310)는 선택된 CRPs 테이블에 포함된 복수의 첼린지 데이터들 중 인증에 사용할 적어도 하나 이상의 첼린지 데이터를 선택할 수 있으며, 미리 저장된 CRPs 테이블을 이용하여 선택된 첼린지 데이터에 대응하는 응답 데이터를 식별할 수 있다.When the server 310 receives the PUF encrypted data from the authentication device 320 , the server 310 may select a CRPs table to be used for authentication from among a plurality of CRPs tables according to an authentication information generation rule shared with the authentication device 320 . Thereafter, the server 310 may select at least one or more challenge data to be used for authentication from among a plurality of challenge data included in the selected CRPs table, and use the pre-stored CRPs table to retrieve response data corresponding to the selected challenge data. can be identified.

그리고, 서버(310)는 인증 정보 생성 규칙에 포함된 암호화 방식에 따라 선택된 첼린지 데이터와 이에 대한 응답 데이터를 이용하여 서버 암호화 데이터를 생성할 수 있다. 이때, 서버(310)는 인증 장치(320)가 PUF 암호화 데이터를 생성하는데 사용된 암호화 방식과 동일한 암호화 방식에 따라 서버 암호화 데이터를 생성할 수 있다.In addition, the server 310 may generate server encryption data using the challenge data and response data selected according to the encryption method included in the authentication information generation rule. In this case, the server 310 may generate the server encrypted data according to the same encryption method as the encryption method used by the authentication device 320 to generate the PUF encrypted data.

이후 서버(310)는 생성된 서버 암호화 데이터를 인증 장치(320)로부터 수신된 PUF 암호화 데이터와 비교함으로써 인증 결과를 도출할 수 있다. 그리고, 서버(310)는 도출된 인증 결과를 인증 장치(320)로 전송함으로써 인증을 완료할 수 있다. Thereafter, the server 310 may derive an authentication result by comparing the generated server encrypted data with the PUF encrypted data received from the authentication device 320 . Then, the server 310 may complete the authentication by transmitting the derived authentication result to the authentication device 320 .

일례로, 도 3에서는 인증 장치(320)가 인증 정보 생성 규칙에 따라 복수의 PUF 칩들 중 sub-PUF1 및 sub-PUF2를 선택할 수 있다. 이후 인증 장치(320)는 인증 정보 생성 규칙에 따라 선택된 sub-PUF1 및 sub-PUF2에 대응하는 CRPs 테이블에서 인증에 사용할 첼린지 데이터로 "1"와 "2"를 각각 선택할 수 있고, 선택된 첼린지 데이터 "1"과 "2"를 각각 sub-PUF1 및 sub-PUF2에 입력함으로써 응답 데이터 "A" 및 "b"를 획득할 수 있다.For example, in FIG. 3 , the authentication apparatus 320 may select sub-PUF1 and sub-PUF2 from among a plurality of PUF chips according to an authentication information generation rule. Thereafter, the authentication device 320 may select “1” and “2” as challenge data to be used for authentication in the CRPs table corresponding to the sub-PUF1 and sub-PUF2 selected according to the authentication information generation rule, respectively, and the selected challenge Response data "A" and "b" can be obtained by inputting data "1" and "2" to sub-PUF1 and sub-PUF2, respectively.

그리고, 인증 장치(320)는 인증 정보 생성 규칙에 포함된 암호화 방식에 따라 이와 같이 획득된 첼린지-응답 데이터 쌍 (1-A)와 (2-b)를 암호화함으로써 "간"이라는 PUF 암호화 데이터를 생성한 후 이를 서버(310)로 전송할 수 있다.Then, the authentication device 320 encrypts the challenge-response data pairs (1-A) and (2-b) obtained in this way according to the encryption method included in the authentication information generation rule, so that PUF-encrypted data called “intermediate” may be generated and then transmitted to the server 310 .

서버(310)는 인증 장치(320)로부터 "간"이라는 PUF 암호화 데이터를 수신한 경우, 인증 장치(220)와 공유하는 동일한 인증 정보 생성 규칙에 따라 복수의 CRPs 테이블들 중 sub-PUF1 및 sub-PUF2에 대응하는 CRPs 테이블을 각각 식별할 수 있다. 그리고, 서버(310)는 각각 식별된 CRPs 테이블에서 인증에 사용할 첼린지 데이터인 "1"와 "2"에 대응하는 응답 데이터 "A"와 "b"를 식별할 수 있다. 그리고, 서버(310)는 인증 정보 생성 규칙에 포함된 암호화 방식에 따라 이와 같이 획득된 첼린지-응답 데이터 쌍 (1-A)와 (2-b)를 암호화함으로써 "간"이라는 서버 암호화 데이터를 생성한 후 이를 PUF 암호화 데이터와 비교함으로써 인증 결과를 도출할 수 있다.When the server 310 receives the PUF-encrypted data called “liver” from the authentication device 320 , the server 310 follows the same authentication information generation rule shared with the authentication device 220 , among a plurality of CRPs tables sub-PUF1 and sub- It is possible to identify each CRPs table corresponding to PUF2. Then, the server 310 may identify response data "A" and "b" corresponding to "1" and "2", which are challenge data to be used for authentication in the identified CRPs table, respectively. Then, the server 310 encrypts the challenge-response data pairs (1-A) and (2-b) obtained in this way according to the encryption method included in the authentication information generation rule to obtain server-encrypted data called “intermediate”. After creation, the authentication result can be derived by comparing it with PUF-encrypted data.

이때, 서버(310)와 인증 장치(320)는 인증 정보 생성 규칙을 통해 획득된 첼린지-응답 데이터 쌍 (1-A)와 (2-b)의 조합 순서를 변경함으로써 서로 다른 PUF 암호화 데이터를 생성할 수 있으며, 이를 통해 보안성을 향상시킬 수 있다.At this time, the server 310 and the authentication device 320 change the combination order of the challenge-response data pairs (1-A) and (2-b) obtained through the authentication information generation rule to obtain different PUF-encrypted data can be created, and this can improve security.

한편, 본 발명에 따른 방법은 컴퓨터에서 실행될 수 있는 프로그램으로 작성되어 마그네틱 저장매체, 광학적 판독매체, 디지털 저장매체 등 다양한 기록 매체로도 구현될 수 있다.Meanwhile, the method according to the present invention is written as a program that can be executed on a computer and can be implemented in various recording media such as magnetic storage media, optical reading media, and digital storage media.

본 명세서에 설명된 각종 기술들의 구현들은 디지털 전자 회로조직으로, 또는 컴퓨터 하드웨어, 펌웨어, 소프트웨어로, 또는 그들의 조합들로 구현될 수 있다. 구현들은 데이터 처리 장치, 예를 들어 프로그램가능 프로세서, 컴퓨터, 또는 다수의 컴퓨터들의 동작에 의한 처리를 위해, 또는 이 동작을 제어하기 위해, 컴퓨터 프로그램 제품, 즉 정보 캐리어, 예를 들어 기계 판독가능 저장 장치(컴퓨터 판독가능 매체) 또는 전파 신호에서 유형적으로 구체화된 컴퓨터 프로그램으로서 구현될 수 있다. 상술한 컴퓨터 프로그램(들)과 같은 컴퓨터 프로그램은 컴파일된 또는 인터프리트된 언어들을 포함하는 임의의 형태의 프로그래밍 언어로 기록될 수 있고, 독립형 프로그램으로서 또는 모듈, 구성요소, 서브루틴, 또는 컴퓨팅 환경에서의 사용에 적절한 다른 유닛으로서 포함하는 임의의 형태로 전개될 수 있다. 컴퓨터 프로그램은 하나의 사이트에서 하나의 컴퓨터 또는 다수의 컴퓨터들 상에서 처리되도록 또는 다수의 사이트들에 걸쳐 분배되고 통신 네트워크에 의해 상호 연결되도록 전개될 수 있다.Implementations of the various techniques described herein may be implemented in digital electronic circuitry, or in computer hardware, firmware, software, or combinations thereof. Implementations may be implemented for processing by, or controlling the operation of, a data processing device, eg, a programmable processor, computer, or number of computers, a computer program product, ie an information carrier, eg, a machine readable storage It may be embodied as a computer program tangibly embodied in an apparatus (computer readable medium) or a radio signal. A computer program, such as the computer program(s) described above, may be written in any form of programming language, including compiled or interpreted languages, as a standalone program or in a module, component, subroutine, or computing environment. It can be deployed in any form, including as other units suitable for use in A computer program may be deployed to be processed on one computer or multiple computers at one site or distributed across multiple sites and interconnected by a communications network.

컴퓨터 프로그램의 처리에 적절한 프로세서들은 예로서, 범용 및 특수 목적 마이크로프로세서들 둘 다, 및 임의의 종류의 디지털 컴퓨터의 임의의 하나 이상의 프로세서들을 포함한다. 일반적으로, 프로세서는 판독 전용 메모리 또는 랜덤 액세스 메모리 또는 둘 다로부터 명령어들 및 데이터를 수신할 것이다. 컴퓨터의 요소들은 명령어들을 실행하는 적어도 하나의 프로세서 및 명령어들 및 데이터를 저장하는 하나 이상의 메모리 장치들을 포함할 수 있다. 일반적으로, 컴퓨터는 데이터를 저장하는 하나 이상의 대량 저장 장치들, 예를 들어 자기, 자기-광 디스크들, 또는 광 디스크들을 포함할 수 있거나, 이것들로부터 데이터를 수신하거나 이것들에 데이터를 송신하거나 또는 양쪽으로 되도록 결합될 수도 있다. 컴퓨터 프로그램 명령어들 및 데이터를 구체화하는데 적절한 정보 캐리어들은 예로서 반도체 메모리 장치들, 예를 들어, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(Magnetic Media), CD-ROM(Compact Disk Read Only Memory), DVD(Digital Video Disk)와 같은 광 기록 매체(Optical Media), 플롭티컬 디스크(Floptical Disk)와 같은 자기-광 매체(Magneto-Optical Media), 롬(ROM, Read Only Memory), 램(RAM, Random Access Memory), 플래시 메모리, EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM) 등을 포함한다. 프로세서 및 메모리는 특수 목적 논리 회로조직에 의해 보충되거나, 이에 포함될 수 있다.Processors suitable for processing a computer program include, by way of example, both general and special purpose microprocessors, and any one or more processors of any kind of digital computer. Generally, a processor will receive instructions and data from either read-only memory or random access memory or both. Elements of a computer may include at least one processor that executes instructions and one or more memory devices that store instructions and data. In general, a computer may include one or more mass storage devices for storing data, for example magnetic, magneto-optical disks, or optical disks, receiving data from, sending data to, or both. may be combined to become Information carriers suitable for embodying computer program instructions and data are, for example, semiconductor memory devices, for example, magnetic media such as hard disks, floppy disks and magnetic tapes, Compact Disk Read Only Memory (CD-ROM). ), an optical recording medium such as a DVD (Digital Video Disk), a magneto-optical medium such as an optical disk, ROM (Read Only Memory), RAM (RAM) , Random Access Memory), flash memory, EPROM (Erasable Programmable ROM), EEPROM (Electrically Erasable Programmable ROM), and the like. Processors and memories may be supplemented by, or included in, special purpose logic circuitry.

또한, 컴퓨터 판독가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용매체일 수 있고, 컴퓨터 저장매체 및 전송매체를 모두 포함할 수 있다.In addition, the computer-readable medium may be any available medium that can be accessed by a computer, and may include both computer storage media and transmission media.

본 명세서는 다수의 특정한 구현물의 세부사항들을 포함하지만, 이들은 어떠한 발명이나 청구 가능한 것의 범위에 대해서도 제한적인 것으로서 이해되어서는 안되며, 오히려 특정한 발명의 특정한 실시형태에 특유할 수 있는 특징들에 대한 설명으로서 이해되어야 한다. 개별적인 실시형태의 문맥에서 본 명세서에 기술된 특정한 특징들은 단일 실시형태에서 조합하여 구현될 수도 있다. 반대로, 단일 실시형태의 문맥에서 기술한 다양한 특징들 역시 개별적으로 혹은 어떠한 적절한 하위 조합으로도 복수의 실시형태에서 구현 가능하다. 나아가, 특징들이 특정한 조합으로 동작하고 초기에 그와 같이 청구된 바와 같이 묘사될 수 있지만, 청구된 조합으로부터의 하나 이상의 특징들은 일부 경우에 그 조합으로부터 배제될 수 있으며, 그 청구된 조합은 하위 조합이나 하위 조합의 변형물로 변경될 수 있다.While this specification contains numerous specific implementation details, they should not be construed as limitations on the scope of any invention or claim, but rather as descriptions of features that may be specific to particular embodiments of particular inventions. should be understood Certain features that are described herein in the context of separate embodiments may be implemented in combination in a single embodiment. Conversely, various features that are described in the context of a single embodiment may also be implemented in multiple embodiments, either individually or in any suitable subcombination. Furthermore, although features operate in a particular combination and may be initially depicted as claimed as such, one or more features from a claimed combination may in some cases be excluded from the combination, the claimed combination being a sub-combination. or a variant of a sub-combination.

마찬가지로, 특정한 순서로 도면에서 동작들을 묘사하고 있지만, 이는 바람직한 결과를 얻기 위하여 도시된 그 특정한 순서나 순차적인 순서대로 그러한 동작들을 수행하여야 한다거나 모든 도시된 동작들이 수행되어야 하는 것으로 이해되어서는 안 된다. 특정한 경우, 멀티태스킹과 병렬 프로세싱이 유리할 수 있다. 또한, 상술한 실시형태의 다양한 장치 컴포넌트의 분리는 그러한 분리를 모든 실시형태에서 요구하는 것으로 이해되어서는 안되며, 설명한 프로그램 컴포넌트와 장치들은 일반적으로 단일의 소프트웨어 제품으로 함께 통합되거나 다중 소프트웨어 제품에 패키징 될 수 있다는 점을 이해하여야 한다.Likewise, although acts are depicted in the drawings in a particular order, it should not be construed that all acts shown must be performed or that such acts must be performed in the specific order or sequential order shown to obtain desirable results. In certain cases, multitasking and parallel processing may be advantageous. Further, the separation of the various device components of the above-described embodiments should not be construed as requiring such separation in all embodiments, and the program components and devices described may generally be integrated together into a single software product or packaged into multiple software products. You have to understand that you can.

한편, 본 명세서와 도면에 개시된 본 발명의 실시 예들은 이해를 돕기 위해 특정 예를 제시한 것에 지나지 않으며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 자명한 것이다.On the other hand, the embodiments of the present invention disclosed in the present specification and drawings are merely presented as specific examples to aid understanding, and are not intended to limit the scope of the present invention. It will be apparent to those of ordinary skill in the art to which the present invention pertains that other modifications based on the technical spirit of the present invention can be implemented in addition to the embodiments disclosed herein.

100 : 인증 시스템
110 : 서버
120 : 인증 장치100: authentication system
110 : server
120: authentication device

Claims (14)

인증 장치에 있어서,
특정 첼린지(Challenge) 데이터에 대해 특정 응답(Response) 데이터를 출력하는 PUF(Physical Unclonable Function) 칩을 포함하고,
상기 인증 장치는,
서버와 공유하는 인증 정보 생성 규칙에 따라 상기 PUF 칩의 CRPs 테이블에 포함된 복수의 첼린지 데이터들 중 인증에 사용할 첼린지 데이터를 선택하고, 상기 선택된 첼린지 데이터 및 상기 선택된 첼린지 데이터를 PUF 칩에 입력하였을 때의 응답 데이터를 이용하여 PUF 암호화 데이터를 생성하며,
상기 PUF 암호화 데이터는,
상기 PUF 암호화 데이터를 생성하는데 사용된 인증 정보 생성 규칙과 동일한 인증 정보 생성 규칙에 따라 상기 서버에 의해 생성된 서버 암호화 데이터와의 비교를 통해 인증 결과를 도출하는데 사용되는 인증 장치.In the authentication device,
Includes a PUF (Physical Unclonable Function) chip that outputs specific response data for specific challenge data,
The authentication device is
According to the authentication information generation rule shared with the server, challenge data to be used for authentication is selected from among a plurality of challenge data included in the CRPs table of the PUF chip, and the selected challenge data and the selected challenge data are combined with the PUF chip. Generates PUF-encrypted data using the response data when input to
The PUF encrypted data is
An authentication device used to derive an authentication result through comparison with server encrypted data generated by the server according to the same authentication information generating rule as the authentication information generating rule used to generate the PUF encrypted data. 제1항에 있어서
상기 인증 장치는,
상기 인증 정보 생성 규칙에 따라 상기 PUF 칩의 CRPs 테이블에 포함된 복수의 첼린지 데이터들 중 두 개 이상의 첼린지 데이터들이 선택되는 경우, 상기 선택된 첼린지 데이터들과 상기 선택된 첼린지 데이터에 대응하는 응답 데이터들의 조합 순서에 따라 서로 다른 PUF 암호화 데이터를 생성하는 인증 장치.2. The method of claim 1
The authentication device is
When two or more of the plurality of challenge data included in the CRPs table of the PUF chip are selected according to the authentication information generation rule, the selected challenge data and a response corresponding to the selected challenge data An authentication device that generates different PUF-encrypted data according to the data combination order. 제1항에 있어서,
상기 인증 장치는,
상기 서버와 규칙 목록을 공유하고, 기준 시간으로부터 일정 주기 마다 상기 규칙 목록에 포함된 서로 다른 인증 정보 생성 규칙들을 순차적으로 선택하여 업데이트하는 인증 장치.According to claim 1,
The authentication device is
An authentication device that shares a rule list with the server and sequentially selects and updates different authentication information generation rules included in the rule list every predetermined period from a reference time. 제1항에 있어서,
상기 인증 장치는,
상기 서버와 규칙 목록을 공유하고, 인증 절차가 수행되는 시간 정보에 기초하여 해당 시간 정보에 대해 미리 정해진 인증 정보 생성 규칙을 선택하거나, 상기 규칙 목록에 포함된 서로 다른 인증 정보 생성 규칙들을 비순차적으로 선택하여 업데이트하는 인증 장치.According to claim 1,
The authentication device is
A rule list is shared with the server, and a predetermined authentication information generation rule is selected for the corresponding time information based on the time information at which the authentication procedure is performed, or different authentication information generation rules included in the rule list are selected non-sequentially. Authenticator to select and update. 제1항에 있어서,
상기 인증 장치는,
상기 서버와 규칙 목록을 공유하고, 이전 인증 정보에 기초하여 미리 정해진 인증 정보 생성 규칙을 선택하거나, 상기 규칙 목록에 포함된 서로 다른 인증 정보 생성 규칙들을 비순차적으로 선택하여 업데이트하는 인증 장치.According to claim 1,
The authentication device is
An authentication device that shares a rule list with the server, selects a predetermined authentication information generation rule based on previous authentication information, or selects and updates different authentication information generation rules included in the rule list non-sequentially. 인증 장치에 있어서,
특정 첼린지(Challenge) 데이터에 대해 특정 응답(Response) 데이터를 출력하는 PUF(Physical Unclonable Function) 칩을 포함하고,
상기 인증 장치는,
서버와 공유하는 인증 정보 생성 규칙에 따라 상기 PUF 칩의 CRPs 테이블에 포함된 복수의 첼린지 데이터들 및 응답 데이터들 중 인증에 사용할 임의의 첼린지 데이터 및 임의의 응답 데이터를 각각 선택하고, 상기 각각 선택된 첼린지 데이터 및 응답 데이터를 이용하여 PUF 암호화 데이터를 생성하며,
상기 PUF 암호화 데이터는,
상기 PUF 암호화 데이터를 생성하는데 사용된 인증 정보 생성 규칙과 동일한 인증 정보 생성 규칙에 따라 상기 서버에 의해 생성된 서버 암호화 데이터와의 비교를 통해 인증 결과를 도출하는데 사용되는 인증 장치.In the authentication device,
Includes a PUF (Physical Unclonable Function) chip that outputs specific response data for specific challenge data,
The authentication device is
According to the authentication information generation rule shared with the server, random challenge data and random response data to be used for authentication are selected from among a plurality of challenge data and response data included in the CRPs table of the PUF chip, respectively, and each PUF encryption data is generated using the selected challenge data and response data,
The PUF encrypted data is
An authentication device used to derive an authentication result through comparison with server encrypted data generated by the server according to the same authentication information generating rule as the authentication information generating rule used to generate the PUF encrypted data. 제6항에 있어서,
상기 인증 장치는,
상기 서버와 규칙 목록을 공유하고, 기준 시간으로부터 일정 주기 마다 상기 규칙 목록에 포함된 서로 다른 인증 정보 생성 규칙들을 순차적으로 선택하여 업데이트하는 인증 장치.7. The method of claim 6,
The authentication device is
An authentication device that shares a rule list with the server and sequentially selects and updates different authentication information generation rules included in the rule list every predetermined period from a reference time. 제6항에 있어서,
상기 인증 장치는,
상기 서버와 규칙 목록을 공유하고, 인증 절차가 수행되는 시간 정보에 기초하여 해당 시간 정보에 대해 미리 정해진 인증 정보 생성 규칙을 선택하거나, 상기 규칙 목록에 포함된 서로 다른 인증 정보 생성 규칙들을 비순차적으로 선택하여 업데이트하는 인증 장치.7. The method of claim 6,
The authentication device is
A rule list is shared with the server, and a predetermined authentication information generation rule is selected for the corresponding time information based on the time information at which the authentication procedure is performed, or different authentication information generation rules included in the rule list are selected non-sequentially. Authenticator to select and update. 제6항에 있어서,
상기 인증 장치는,
상기 서버와 규칙 목록을 공유하고, 이전 인증 정보에 기초하여 미리 정해진 인증 정보 생성 규칙을 선택하거나, 상기 규칙 목록에 포함된 서로 다른 인증 정보 생성 규칙들을 비순차적으로 선택하여 업데이트하는 인증 장치.7. The method of claim 6,
The authentication device is
An authentication device that shares a rule list with the server, selects a predetermined authentication information generation rule based on previous authentication information, or selects and updates different authentication information generation rules included in the rule list non-sequentially. 인증 장치에 있어서,
동일한 첼린지(Challenge) 데이터에 대해 서로 다른 응답(Response) 데이터를 출력하는 복수의 PUF(Physical Unclonable Function) 칩들을 포함하고,
상기 인증 장치는,
서버와 공유하는 인증 정보 생성 규칙에 따라 상기 복수의 PUF 칩들 중 적어도 하나 이상 PUF 칩을 선택하고, 상기 선택된 PUF 칩의 CRPs 테이블에 포함된 복수의 첼린지 데이터들 중 인증에 사용할 적어도 하나 이상의 첼린지 데이터를 선택하며, 상기 선택된 첼린지 데이터 및 상기 선택된 첼린지 데이터를 PUF 칩에 입력하였을 때의 응답 데이터를 이용하여 PUF 암호화 데이터를 생성하고,
상기 PUF 암호화 데이터는,
상기 PUF 암호화 데이터를 생성하는데 사용된 인증 정보 생성 규칙과 동일한 인증 정보 생성 규칙에 따라 상기 서버에 의해 생성된 서버 암호화 데이터와의 비교를 통해 인증 결과를 도출하는데 사용되는 인증 장치.In the authentication device,
It includes a plurality of PUF (Physical Unclonable Function) chips that output different response data to the same challenge data,
The authentication device is
At least one PUF chip is selected from among the plurality of PUF chips according to an authentication information generation rule shared with the server, and at least one challenge to be used for authentication among a plurality of challenge data included in the CRPs table of the selected PUF chip selecting data, and generating PUF encrypted data using the selected challenge data and response data when the selected challenge data is input to the PUF chip;
The PUF encrypted data is
An authentication device used to derive an authentication result through comparison with server encrypted data generated by the server according to the same authentication information generating rule as the authentication information generating rule used to generate the PUF encrypted data. 제10항에 있어서,
상기 인증 장치는,
상기 복수의 PUF 칩들 중 두 개 이상의 PUF 칩들이 선택되는 경우, 상기 선택된 PUF 칩들의 CRPs 테이블에서 선택된 첼린지 데이터 및 상기 선택된 첼린지 데이터를 PUF 칩에 입력하였을 때의 응답 데이터에 대한 조합 순서에 따라 서로 다른 PUF 암호화 데이터를 생성하는 인증 장치.11. The method of claim 10,
The authentication device is
When two or more PUF chips are selected from among the plurality of PUF chips, the challenge data selected from the CRPs table of the selected PUF chips and the response data when the selected challenge data is input to the PUF chip according to the combination order An authenticator that generates different PUF-encrypted data. 제10항에 있어서,
상기 인증 장치는,
상기 서버와 규칙 목록을 공유하고, 기준 시간으로부터 일정 주기 마다 상기 규칙 목록에 포함된 서로 다른 인증 정보 생성 규칙들을 순차적으로 선택하여 업데이트하는 인증 장치.11. The method of claim 10,
The authentication device is
An authentication device that shares a rule list with the server and sequentially selects and updates different authentication information generation rules included in the rule list every predetermined period from a reference time. 제10항에 있어서,
상기 인증 장치는,
상기 서버와 규칙 목록을 공유하고, 인증 절차가 수행되는 시간 정보에 기초하여 해당 시간 정보에 대해 미리 정해진 인증 정보 생성 규칙을 선택하거나, 상기 규칙 목록에 포함된 서로 다른 인증 정보 생성 규칙들을 비순차적으로 선택하여 업데이트하는 인증 장치.11. The method of claim 10,
The authentication device is
A rule list is shared with the server, and a predetermined authentication information generation rule is selected for the corresponding time information based on the time information at which the authentication procedure is performed, or different authentication information generation rules included in the rule list are selected non-sequentially. Authenticator to select and update. 제10항에 있어서,
상기 인증 장치는,
상기 서버와 규칙 목록을 공유하고, 이전 인증 정보에 기초하여 미리 정해진 인증 정보 생성 규칙을 선택하거나, 상기 규칙 목록에 포함된 서로 다른 인증 정보 생성 규칙들을 비순차적으로 선택하여 업데이트하는 인증 장치.11. The method of claim 10,
The authentication device is
An authentication device that shares a rule list with the server, selects a predetermined authentication information generation rule based on previous authentication information, or selects and updates different authentication information generation rules included in the rule list non-sequentially.
KR1020200143478A 2020-10-30 2020-10-30 Authentication device using physical unclonable function KR102515902B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200143478A KR102515902B1 (en) 2020-10-30 2020-10-30 Authentication device using physical unclonable function

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200143478A KR102515902B1 (en) 2020-10-30 2020-10-30 Authentication device using physical unclonable function

Publications (2)

Publication Number Publication Date
KR20220058106A true KR20220058106A (en) 2022-05-09
KR102515902B1 KR102515902B1 (en) 2023-03-31

Family

ID=81582017

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200143478A KR102515902B1 (en) 2020-10-30 2020-10-30 Authentication device using physical unclonable function

Country Status (1)

Country Link
KR (1) KR102515902B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050027015A (en) * 2003-09-12 2005-03-17 루센트 테크놀러지스 인크 Authenticating access to a wireless local area network based on security value(s) associated with a cellular system
JP2009517910A (en) * 2005-11-29 2009-04-30 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ Physical shared secrets and peripheral proofs using PUFS
KR20140059485A (en) * 2012-11-08 2014-05-16 숭실대학교산학협력단 Device authentication apparatus and method using physical unclonable function
KR101571377B1 (en) * 2015-05-12 2015-11-24 주식회사 기가레인 System and method for beacon data

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050027015A (en) * 2003-09-12 2005-03-17 루센트 테크놀러지스 인크 Authenticating access to a wireless local area network based on security value(s) associated with a cellular system
JP2009517910A (en) * 2005-11-29 2009-04-30 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ Physical shared secrets and peripheral proofs using PUFS
KR20140059485A (en) * 2012-11-08 2014-05-16 숭실대학교산학협력단 Device authentication apparatus and method using physical unclonable function
KR101571377B1 (en) * 2015-05-12 2015-11-24 주식회사 기가레인 System and method for beacon data

Also Published As

Publication number Publication date
KR102515902B1 (en) 2023-03-31

Similar Documents

Publication Publication Date Title
US20220021662A1 (en) Operating system for blockchain iot devices
US10833871B2 (en) System and method for deterministic signing of a message using a multi-party computation (MPC) process
EP3449452B1 (en) Implementing logic gate functionality using a blockchain
US11985225B2 (en) Computer-implemented systems and methods for using veiled values in blockchain
US11010465B2 (en) Password management with addressable physical unclonable function generators
WO2019040716A1 (en) Streaming authentication using chained identifiers
US10454910B2 (en) Management apparatus, computer program product, system, device, method, information processing apparatus, and server
US20200204360A1 (en) Method and Devices for Communicating Securely Between Devices
KR102162044B1 (en) The Method for User Authentication Based on Block Chain and The System Thereof
CN110690963B (en) Key agreement method and device based on FPGA
US11368319B2 (en) Integrated circuit performing authentication using challenge-response protocol and method of using the integrated circuit
US10630471B1 (en) System and method for enforcement of correctness for key derivation
WO2016018298A1 (en) Key search token for encrypted data
US9509665B2 (en) Protecting against malicious modification in cryptographic operations
US20220067140A1 (en) Resilient password management system using an array of addressable physical unclonable functions
CN110716728A (en) Credible updating method and device for FPGA (field programmable Gate array) logic
KR20210025547A (en) Method for using service with one time id based on pki, and user terminal using the same
US10848312B2 (en) Zero-knowledge architecture between multiple systems
WO2017134759A1 (en) Authentication device, authentication system, and authentication program
KR102515902B1 (en) Authentication device using physical unclonable function
KR102282855B1 (en) Authentication device including a plurality of puf chips
KR102325988B1 (en) Authentication method and apparatus of user terminal using physical unclonable function
US11630912B2 (en) System and method for controlling transaction data access
CN114546271B (en) Data read-write method, device and system based on block chain
KR20230152322A (en) Authentication method and apparatus of user terminal using physical unclonable function

Legal Events

Date Code Title Description
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant