TW201301838A - 認證元件、被認證元件、及認證方法 - Google Patents

認證元件、被認證元件、及認證方法 Download PDF

Info

Publication number
TW201301838A
TW201301838A TW101106094A TW101106094A TW201301838A TW 201301838 A TW201301838 A TW 201301838A TW 101106094 A TW101106094 A TW 101106094A TW 101106094 A TW101106094 A TW 101106094A TW 201301838 A TW201301838 A TW 201301838A
Authority
TW
Taiwan
Prior art keywords
component
data
secret information
key
authentication
Prior art date
Application number
TW101106094A
Other languages
English (en)
Other versions
TWI491239B (zh
Inventor
Yuji Nagai
Taku Kato
Tatsuyuki Matsushita
Original Assignee
Toshiba Kk
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Kk filed Critical Toshiba Kk
Publication of TW201301838A publication Critical patent/TW201301838A/zh
Application granted granted Critical
Publication of TWI491239B publication Critical patent/TWI491239B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

根據一實施例,一種在儲存金鑰資訊之一被認證元件與認證該被認證元件的一認證元件之間的認證方法,該金鑰資訊具有由一金鑰轉換記錄、具有一矩陣形式之秘密資訊XY及藉由加密該秘密資訊XY而產生之秘密資訊XYE構成的一資料結構,該方法包括:藉由該認證元件自接收自該被認證元件之該金鑰資訊選擇對應於該認證元件之一裝置索引的一記錄,及藉由一裝置金鑰解密該記錄,藉此取得一金鑰轉換;及藉由使用該對應金鑰轉換且共用該秘密資訊XY來藉由該認證元件對該秘密資訊XYE執行一解密處理,該秘密資訊XYE係接收自該被認證元件。

Description

認證元件、被認證元件、及認證方法
本文中所描述之實施例大體上係關於一種認證元件、一種被認證元件及一種認證方法。
本申請案係基於2011年6月17日申請之先前日本專利申請案第2011-135644號,且主張該案之優先權的權利,該案之全文以引用之方式併入本文中。
一般而言,在需要安全之領域中,採用基於與加密器共用之秘密的方法作為用於證明某人自身確實性的手段。
舉例而言,在用於電子結算之IC卡等中,個別化ID及秘密資訊儲存於卡中之IC中,且IC卡具有用於基於ID及秘密資訊執行認證的加密處理功能。在另一實例中,存在用於在內容之版權保護下證明SD(商標)卡之確實性的手段。
在以上實例中之每一者中,被認證元件包括秘密金鑰及加密器為必要的。然而,加密器之實施需要相對大之電路規模。因此,在同時外加對電路規模之約束的環境中,證明某人自身之確實性極其困難。外加對電路規模之約束的典型實例為RFID(射頻識別)。因此,近年來,存在對實施之需要日益遞增的背景。
一般而言,根據一實施例,儲存具有一資料結構(該資料結構由金鑰轉換記錄、矩陣形式之秘密資訊XY及藉由對秘密資訊XY加密而產生之秘密資訊XYE構成)之金鑰資 訊的被認證元件與認證元件(其對被認證元件進行認證)之間的認證方法包括:藉由認證元件自接收自被認證元件之金鑰資訊選擇對應於認證元件之裝置索引的記錄,及藉由裝置金鑰解密該記錄,藉此取得金鑰轉換;及藉由使用對應金鑰轉換及共用秘密資訊XY來藉由認證元件對接收自被認證元件之金鑰資訊XYE執行解密處理。
[比較性實例1(HB+協定之實例)]
首先,參看圖1,描述比較性實例1。比較性實例1係關於HB+協定之實例。
HB+協定為HB協定之改良的協定,其係由Hopper及Blum在2000年提出之輕量型認證協定。HB協定係基於有雜訊的同位值之識別為困難的(LPN:學習有雜訊的同位)的事實,且已證明了抵抗被動攻擊之安全性。然而,HB協定易受諸如讀取器之偽裝的主動攻擊。為了解決此問題,Juels等人在2005年提出了HB+協定。
HB+協定之概況係如圖1中所展示。在圖1中,a、b、x及y為向量,且v及z為位元。
如圖中所展示,在HB+協定中,係被認證元件(待認證組件)之標籤與係認證元件(認證組件)之讀取器共用秘密資訊向量x及y。
標籤將臨時亂數向量b遞送至讀取器。
接著,讀取器將臨時亂數a遞送至標籤。
隨後,標籤計算亂數a與秘密資訊向量x之間的內積(a.x),及亂數b與秘密資訊向量y之間的內積(b.y)。另外, 標籤產生在機率η之情況下變為1的變數v。接著,標籤將內積(a.x)、內積(b.y)及變數v相加,且計算z=ax⊕by⊕v。在此狀況下,ax意謂內積(a.x),且⊕意謂互斥邏輯和。
接著,標籤將所計算之z傳輸至讀取器。
隨後,讀取器比較接收到之z與自己計算之ax⊕by,且檢查相符/不符。以上處理系列可稱為「1個循環」。
當1個循環之處理經重複複數次(例如,數十次至數萬次)時,且當上述不符之機率減低至預定t以下時,認為標籤保持秘密資訊,且認證經成功地執行。
同時,ax⊕by為秘密資訊x、y與繫結向量a、b之內積。因此,若x、y之繫結向量xy為秘密資訊,且a、b之繫結向量為Concat(a,b),則ax⊕by可表達為Concat(a,b)xy。
[比較性實例2(隨機HB#協定之實例)]
接下來,參看圖2,描述比較性實例2。比較性實例2係關於隨機HB#協定之實例。隨機HB#協定為展示於上述比較性實例1中之HB+協定之進一步改良的協定。
儘管上述HB+協定提供對被動攻擊及主動攻擊之解決方案,但存在HB+協定易受中間人攻擊之傾向。為了解決此問題,Gilbert等人提出隨機HB#協定作為HB+協定的改良協定。
隨機HB#協定之概況係如圖2中所展示。在圖2中,X及Y為矩陣,且a、b、z及v為向量。
如圖2中所展示,在隨機HB#協定中,標籤與讀取器共用秘密資訊矩陣X及Y。
首先,標籤將臨時亂數向量b遞送至讀取器。
接著,讀取器將臨時亂數a遞送至標籤。
隨後,標籤計算亂數a與秘密資訊矩陣X之間的內積(aX)及亂數b與秘密資訊向量Y之間的內積(bY)。在此狀況下,由於X及Y為矩陣且a及b為向量,所以每一內積結果為向量。另外,標籤產生在機率η之情況下變為1的變數v。接著,標籤將上述值相加,且計算z=aX⊕bY⊕v。在此狀況下,z為向量。
接著,標籤將所計算出之z傳輸至讀取器。
隨後,讀取器執行接收到之z與自身計算之aX⊕bY之間的位元加法,亦即,藉由使用互斥或運算之結果來計算aX⊕bY⊕z的漢明權重Hwt(aX⊕bY⊕z)。當漢明權重Hwt(aX⊕bY⊕z)減低至預定值tclen以下時,認為標籤保持秘密資訊,且認證經成功執行。在此狀況下,ηt<0.5,且clen為aX⊕bY的位元長度。
同時,aX⊕bY為秘密資訊片段X及Y之繫結矩陣與a及b之繫結向量的內積。因此,若X及Y之繫結矩陣XY為秘密資訊,且a及b之繫結向量為Concat(a,b),則aX⊕bY可表達為Concat(a,b)XY。
<對實施之改良點>
然而,在上述比較性實例1及2之協定中,例如,當在NAND快閃記憶體等上實施該等協定時,以下改良點(I)至(IV)為可想到的。
(I)秘密資訊片段X及Y之共用手段
如上文所描述,在上述比較性實例1及2中,讀取器及標籤需要共用秘密資訊X及Y。然而,實例1及2未能預設用於共用秘密資訊X及Y的具體共用方法。
因此,在所有讀取器及標籤預先共用相同X、Y之狀況下,若X、Y一旦暴露,則整體系統將受到致命影響。另一方面,在不同資訊X、Y應用至每一標籤之狀況下,請求讀取器側存取(例如)資料庫,該資料庫儲存應用至所有標籤之X及Y或完全管理X及Y。結果,讀取器側上之負載增大。
作為相關先前技術,日本專利申請案未審查專利公開案第2000-357213號提出一種記錄裝置與記錄媒體之間的相互認證之方法,該記錄裝置將重複內容記錄於具有算術處理功能的記錄媒體中。記錄媒體至少儲存視記錄媒體而定之第一資訊,及視記錄媒體而定且在執行與記錄裝置之相互認證時將與記錄裝置共用的第二資訊。基於自記錄媒體獲得之第一資訊,記錄裝置產生在執行與記錄媒體之相互認證時使用的認證資訊。記錄裝置與記錄媒體之間的相互認證係藉由使用所產生之認證資訊與該第二資訊來執行。
(II)用於將秘密資訊片段X及Y高效地記錄於組件P中的手段
在上述HB+協定及隨機HB#協定中,同等秘密資訊量(亦即,X、Y之同等資料大小)為必要的,以便使得難以藉由實務計算量識別上述LPN問題。若X、Y對於所有標籤為共同的,則固線式日誌實施為可能的。然而,當X、Y在標 籤之間變化時,標籤需要具有足夠記憶體容量以便保持X、Y。同時,有必要個別地記錄標籤製作中的資料,且記錄時間反映於製作時間上。
結果,標籤之成本歸因於記憶體容量之增大及記錄時間的增大而增大。
(III)用於保護儲存於組件P中之秘密資訊片段X及Y不被損壞的手段
在組件P將X、Y儲存於內部記憶體中的狀況下,當X、Y用於認證時,需要X、Y之資料完整性。然而,先前技術在此方面無所作為。為了確保資料完整性,以下方法為可想到的:將錯誤校正碼所添加至之X、Y儲存於標籤之內部記憶體中,且在認證時執行校正處理。然而,一般而言,低廉記憶體並不總具有校正功能。當記憶體並不具有校正功能時,校正功能需要作為組件提供於標籤而非記憶體中。
結果,標籤之成本增大。
(IV)秘密資訊片段X及Y暴露時的秘密資訊更新手段
承認上述隨機HB#協定在預定條件下可抵抗被動攻擊、主動攻擊及中間人攻擊。然而,近年來,已報告了對廣義中間人攻擊之易感性,且不可排除暴露X、Y之可能性。儘管對於暴露X、Y需要同等的攻擊成本,但若X、Y一旦經暴露,則使用X、Y製作偽造標籤變得可能。因此,需要用於更新秘密資訊之手段以便轉換至新X、Y,即使當X、Y已被暴露時亦如此。
考慮到以上情形,以下參看圖式描述實施例。上文已藉由實例描述了讀取器及RFID之標籤。然而,相同要求適用於諸如NAND快閃記憶體之記憶體晶片,其中電路面積與成本直接相關。因此,在以下實施例中,描述實例,其中認證NAND快閃記憶體之主機裝置(主機)用作充當認證元件之讀取器,且NAND快閃記憶體(NAND晶片)用作充當被認證元件之標籤。然而,實施例並不限於此等實例。舉例而言,實施例適用於各種實施模式,諸如NOR快閃記憶體、電阻性隨機存取記憶體(ReRAM)、磁阻式隨機存取記憶體(MRAM)、相變隨機存取記憶體(PRAM)、鐵電式隨機存取記憶體(FeRAM)、具有算術功能及記憶體之儲存裝置(諸如,硬碟機或固態碟機)、需要認證之組件(諸如,RFID或IC卡),及包含電腦(該電腦包括通用算術元件及通用記憶體)及軟體之系統。在以下描述中,貫穿圖式,相同參考數字表示共同零件。
[第一實施例]
接下來,給出根據第一實施例之認證元件、被認證元件及認證方法的描述。
<1.結構實例(記憶體系統)>
首先,參看圖3,描述根據第一實施例之結構實例。
展示於圖3中之記憶體系統包括係被認證元件之NAND快閃記憶體10、係認證元件之主機裝置20,及居間調解兩者之控制器19。如圖3中所展示,主機裝置20經由稱作「控制器19」之裝置存取NAND快閃記憶體10,該裝置具有存 取NAND快閃記憶體10的功能。
描述半導體產品之製作製程。半導體產品之製作製程主要分成在基板晶圓上形成電路之預處理,及將晶圓切割成單件並履行佈線及樹脂封裝密封的後處理。在此狀況下,控制器19以各種方式組態,(例如)使得控制器19在預處理中包括於NAND快閃記憶體10中、控制器19並非在預處理中經包括而是在後處理中包括於同一封裝中,或控制器19形成為與NAND快閃記憶體10不同的晶片。在包括圖3之諸圖中,藉由實例描述其中控制器19形成為與NAND快閃記憶體10不同之晶片的狀況。然而,本實施例適用於以上狀況中之任一者。在以下描述中,除非另外指定,否則控制器在許多狀況下居間調解主機裝置20與NAND快閃記憶體10之間的資料及指令之異動,但將省略此情形之描述。稍後將描述NAND快閃記憶體10與控制器19的結構實例。
以下將描述說明於圖3中的各別組件及資料處理。如圖中所展示,說明共用秘密資訊X、Y之方法,及將此方法應用至NAND快閃記憶體10之狀況下的結構。
1-1. NAND快閃記憶體
NAND快閃記憶體10為被認證元件。根據此實例之NAND快閃記憶體10包括記憶胞列11、安置於記憶胞陣列11之周邊區域中的資料快取記憶體12、壓縮算術電路13、偏置RNG 14、輸出模組15、亂數產生器16、置換與串連電路18,及逐位元加法電路C1。
在記憶胞陣列11中,複數個記憶體胞在位元線與字線 (未圖示)之間的交叉點處配置成矩陣。記憶體胞以指定次序在半導體基板上包括隧道絕緣膜、浮動閘、層間絕緣膜,及連接至字線的控制閘。位元線方向上之記憶體胞的電流路徑經串行連接,藉此構成記憶胞單元。記憶胞單元藉由連接至位元線及源極線之選擇電晶體加以選擇。字線方向上之複數個記憶體胞構成為資料讀取及資料寫入之單位的1頁。此外,複數個頁構成係資料抹除單位之區塊。
記憶胞陣列11包括ROM區域11-1、隱藏區域11-2及使用者區域11-3。
ROM區域11-1為禁止資料記錄且准許資料讀取的區域。在根據此實例之ROM區域11-1中,記錄資料XYE(xe個位元),其係藉由對秘密資訊XY加密且進一步將校正碼添加至經加密之秘密資訊而獲得。為進行加密,可使用具有(例如)係對稱型金鑰加密之AES(進階加密標準)之加密器。作為加密模式,可使用CTR(計數器)、CBC(加密區塊鏈)等。此外,可使用係非對稱型加密的ECDSA(橢圓曲線加密)或RSA。除此之外,作為錯誤校正碼,可使用BCH碼、李德所羅門碼、LDPC(低密度同位檢查)碼等。以此方式,本實例適用於任一加密方法及任一校正碼。在此狀況下,XYE表達為藉由對秘密資訊XY加密且進一步將校正碼添加至經加密之秘密資訊而獲得的資料。此外,(xe個位元)表示位元數目。
隱藏區域11-2為禁止NAND快閃記憶體10之外部進行資料記錄且禁止資料讀取(讀取程式禁止)之區域。在根據此 實例之隱藏區域11-2中,記錄對應於供認證中使用之X、Y的資料XY。
使用者區域11-3係可自由地執行資料記錄及資料讀取的區域。在使用者區域11-3中,例如,記錄諸如相片之影像資料及移動圖像資料。
上述ROM區域、隱藏區域及使用者區域可藉由使得實體結構不同來實現,或可藉由NAND快閃記憶體內之邏輯控制來實現,其中實體結構為相同的。在此狀況下,邏輯控制係(例如)以下方法:各別區域具備控制來自NAND快閃記憶體外部之存取的多個識別符,此等識別符經儲存,且在NAND快閃記憶體具有接收到之來自外部的對該等區域之存取時,藉由識別符執行存取控制。
此外,構成記憶胞陣列11之記憶體胞中的每一者可係儲存複數個位元之記憶體胞(MLC:多位準記憶胞),或儲存1位元的記憶體胞(SLC:單位準記憶胞)。另外,ROM區域及隱藏區域可經組態以由SLC使用,且使用者區域可經組態以由MLC使用。此時,記憶胞陣列之實體結構在SLC區域與MLC區域之間可為不同的,或記憶體胞之可用作MLC的僅部分位元可經利用而作為偽SLC區域。
資料快取記憶體12暫時儲存已自記憶胞陣列11讀出之資料。
偏置RNG 14產生亂數v,該亂數v在預定機率η之情況下變為1。同時,以下描述之亂數產生器可用作偏置RNG之輸入源。在此狀況下,對應於機率η之亂數可藉由對複數 個亂數序列執行算術運算(諸如,「及(AND)」或「或(OR)」)來產生,該等亂數序列係自亂數產生器輸出。
亂數產生器(RNG:亂數產生器)16產生在認證中使用的亂數Nonce_N(a位元)。
置換與串連電路(置換與串連)18藉由使用由主機裝置20及記憶體10兩者共用之XY而產生亂數Nonce(c個位元),該亂數Nonce由自主機裝置20輸入之亂數Nonce_H及自記憶體10輸入之亂數Nonce_N構成。在此狀況下,a意謂Nonce_N之位元長度,b意謂Nonce_H之位元長度,且c意謂每壓縮算術電路之1次處理輸入的位元長度。具體而言,自置換與串連電路(置換與串連)輸出之個別亂數Nonce為用於壓縮算術電路之1次處理的資料,且Nonce_N及Nonce_H之總位元可用於1次處理,或其部分可經選擇性地使用。
壓縮算術電路(壓縮(例如,內積))13關於資料快取記憶體12之輸出XY(每一者c位元)及置換與串連電路18的輸出(c個位元)執行預定算術運算(諸如,內積算術運算),且輸出資料C。
逐位元加法電路C1向輸出模組15輸出Z=C+v,Z係藉由將已由偏置RNG產生之v與壓縮算術電路13的輸出位元相加而獲得。如上文所描述,位元加法意謂互斥邏輯和。具體而言,逐位元加法電路輸出2個輸入資料之位元的互斥邏輯和。
輸出模組15經由控制器19將逐位元加法電路C1之結果 (Z=C+v)輸出至主機裝置20。
不同於記憶胞陣列11之諸如資料快取記憶體12之結構組件亦可安置於記憶體控制器19中。
1-2.主機
根據本實例之主機20包括校正處理模組21、解密模組22、金鑰保持模組23、資料暫時儲存模組25、壓縮算術電路26、亂數產生器27、置換與串連電路29,及判定模組30。
校正處理模組(ECC)21對已自NAND快閃記憶體10之ROM區域11-1讀出的資料XYE執行錯誤校正處理(ECC)。
解密模組(解密)22在所讀出之資料XYE已經受錯誤校正處理之後藉由保持於金鑰保持模組23中之金鑰對資料XYE進行解密,藉此獲得XY。
資料暫時儲存模組(資料快取記憶體)25暫時儲存經解密之XY。藉此,主機裝置20與NAND快閃記憶體10可共用秘密資訊XY。
壓縮算術電路(壓縮(例如,內積))26關於資料快取記憶體25之輸出(每一者c位元)及置換與串連電路29的輸出(c個位元)執行預定算術運算(諸如,內積算術運算),且輸出資料C。
亂數產生器(RNG)27產生主機之亂數Nonce_H(b位元)。
置換與串連電路(置換與串連)29藉由使用由主機20及記憶體10兩者共用之XY而產生亂數Nonce(c個位元),該亂數Nonce由自主機20輸入之亂數Nonce_H及自記憶體10輸入 之亂數Nonce_N構成。
判定模組(若Hwt(Z⊕C)tclen,則接受)30如上文所描述關於壓縮算術模組26之輸出C及輸出模組15的輸出Z來計算漢明權重Hwt(Z⊕C)。當漢明權重Hwt(Z⊕C)變得低於預定值tclen時,判定模組30認為保持了秘密資訊並判定認證成功。假設ηt<0.5,且clen為Z⊕C之位元長度。
以此方式,主機20(將偏置RNG處理27排除在外)藉由判定模組30比較已藉由相同處理獲得的C與Z來確認係被認證元件之NAND快閃記憶體10的確實性。
同時,上述結構之相同處理可經執行複數次,且藉此可最終確認確實性。舉例而言,在本圖中,作為實例說明C為複數個位元之狀況,且比較判定方法在判定中使用Z及C之加法位元序列中的漢明權重。若C為單一位元,則類似於上述HB+協定,上述處理需要執行複數次。在此狀況下,類似於HB+協定,基於錯誤變數之出現機率檢查Z與C之間的不符之比率應已足夠。
1-3.修改
除以上內容外,如下文將描述,在必要時可修改此實施例之結構。
壓縮處理可對應於根據展示於圖1及圖2中之比較性實例1及2的內積計算,但可不必對應於內積計算。舉例而言,在壓縮處理中,基於XY之資料以及基於Nonce_H及Nonce_N的資料可輸入至由LFSR(線性回饋移位暫存器)構成之算術裝置,且LFSR中之暫存器值的一部分或全部在 輸入之後可用作壓縮結果。或者,CRC算術裝置可用作LFSR。另外,雜湊函數可用作用於壓縮處理的函數。雜湊函數可或可並非基於加密器。不管使用哪一算術方法,在此實施例中提出之方法皆為適用的。在屬於為安全之基礎的LPN問題中不存在差別。壓縮處理可為無損壓縮或有損壓縮。壓縮處理意謂輸出至少小於輸入資料且視輸入資料而定之資料的處理。
給出關於發送基於Nonce_H及Nonce_N產生之Nonce之處理的描述。Nonce為藉由以預定次序繫結Nonce_H及Nonce_N而產生且接著予以發送的資料。繫結/發送方法可為簡單之前饋資料繫結/發送方法,或雙向資料經交替插入的交錯資料繫結/發送方法。資料可藉由上述方法發送複數次。在任一狀況下,Nonce為自Nonce_N及Nonce_H之至少一部分產生的資料,且係具有c位元長度之資料。假設Nonce_N之資料長度為a,Nonce_H之資料長度為b,且兩者之總資料長度為d。若c=d且資料並未被發送複數次,則來自壓縮計算模組之輸出為1位元。若c=d且資料被發送複數次,則來自壓縮計算模組之輸出使得1位元被發送複數次。若c<d且資料被發送複數次,則來自壓縮計算模組之輸出使得1位元被發送複數次。
另一方面,至於計算藉由Nonce進行之壓縮所關於的XY,XY中之資料以c位元為單位發送至壓縮計算模組。XY資料之位元大小x等於c或c的整數倍。當位元大小x等於c時,壓縮計算模組之輸出為1位元。當XY資料之位元 大小x為c的整數倍時,壓縮計算模組之輸出使得1位元被輸出複數次。典型組合如下: .在c=d=x之狀況下,壓縮計算模組之輸出為1位元, .在c=d<x之狀況下,壓縮計算模組之輸出為1位元的複數倍,及 .在c<d且c<x之狀況下,壓縮計算模組之輸出為1位元的複數倍。同時,以上實例係關於壓縮計算模組將2個輸入壓縮成1位元之狀況。在壓縮計算模組將2個輸入壓縮成複數個位元之狀況下,壓縮計算模組自身每次之輸出值變為複數個位元。
<2.認證流程>
接著,參看圖4,給出關於具有展示於圖3中之結構的記憶體系統之認證流程的描述。
若開始認證,則主機裝置20在步驟S11中將XYE之讀取指令(讀取XYE)發送至NAND快閃記憶體10。
接著,在步驟S12中,NAND快閃記憶體10根據讀取指令自記憶胞陣列11-1載入XYE(載入XYE),且將此XYE發送至主機裝置20。
隨後,在步驟S13中,主機裝置20對接收到之XYE執行上述解密處理,且擷取XY(擷取XY)。
接著,在步驟S14中,主機裝置20將認證請求(請求認證)發送至NAND快閃記憶體10。在此狀況下,認證請求可包括Nonce_H。
其後,在步驟S15中,NAND快閃記憶體10接收 Nonce_H,且載入XY(載入XY(若需要))。
接著,在步驟S16中,NAND快閃記憶體10產生Nonce_N及v(產生Nonce_N,產生v)。
隨後,在步驟S17中,NAND快閃記憶體10相加如上所述而產生之v,且計算Z。NAND快閃記憶體10將Nonce_N及Z發送至主機20。
接著,在步驟S18中,在接收到Nonce_N及Z之後,主機20執行預定算術運算(諸如,內積算術運算),且計算資料C。
隨後,在步驟S19中,主機裝置20關於Z及C之逐位元XOR值的序列計算漢明權重Hwt(Z⊕C),且執行判定處理以判定漢明權重Hwt(Z⊕C)是否低於預定值tClen(檢查Hwt(Z⊕C)tClen)。如上文所描述,t為基於由NAND快閃記憶體10在計算Z時使用之錯誤位元或錯誤向量中的錯誤加法機率(或資料中1的出現機率)η的值,且假設ηt<0.5。此外,假設clen為C之位元長度。
隨後,在步驟S20中,當步驟S19中之判定結果未能變得低於預定值(失敗)時,主機20判定失敗並停止操作。
接著,在步驟S21中,當步驟S19中之判定結果低於預定值(成功)時,主機20判定是否已達到預定循環數(足夠循環)。在此情形下,循環數指代自認證請求處理至判定處理之一系列處理。若未達到循環數(否),則重複認證請求處理(S14~)。
隨後,在步驟S22中,當達到循環數(是)時,主機裝置 20認為已成功執行了認證,且在必要時基於XY執行計算媒體ID的處理。稍後將描述媒體ID之計算處理及使用媒體ID(S23及以下)的方法。
藉由上述操作,完成根據第一實施例之認證流程(結束)。
同時,在各別循環之間使用不同參數Nonce_N、Nonce_H及v為必要的。此外,當NAND快閃記憶體10已接收到認證請求時,若先前認證請求時之XY保持載入於資料快取記憶體中,則有可能省略XY自記憶胞陣列之載入,且使用資料快取記憶體中的值。此外,在步驟S17之後,可抹除資料快取記憶體中之XY。詳言之,在NAND快閃記憶體10將存取資料快取記憶體之功能提供至外部之狀況下,在安全性方面,在已計算出對於認證係必要之資料Z時的階段抹除資料快取記憶體中之秘密資訊XY為有用的。
<3.有利效應>
根據關於第一實施例之結構及認證方法,可改良以上各點(I)至(IV),且可獲得至少以下有利效應(1)。
(1)認證元件與被認證元件之間可共用不同秘密資訊XY,同時維持秘密資訊XY之秘密狀態,且可藉由基於經共用秘密資訊之少量計算來執行認證。
根據本實施例之NAND快閃記憶體10將秘密資訊XY儲存於係記錄禁止/讀取禁止區域的隱藏區域11-2中,且將藉由對秘密資訊XY加密並將校正碼添加至經加密之秘密資訊 而獲得的XYE儲存於為記錄禁止/讀取准許區域的ROM區域11-1中。另外,主機裝置20具有讀出XYE且執行錯誤校正處理21及解密處理22的功能,且可藉由用於解密之金鑰23在NAND快閃記憶體10與主機裝置20之間共用秘密資訊XY。因此,認證元件及被認證元件可藉由經共用秘密資訊XY執行認證(S11至S23)。
此外,NAND快閃記憶體10及主機裝置20包括產生臨時亂數之RNG 16、17,置換與串連模組18、29,壓縮計算模組13、26,臨時亂數之逐位元加法模組C1,及輸出模組15。此外,NAND快閃記憶體10包括偏置RNG 14。主機20包括判定模組30,判定模組30比較自NAND快閃記憶體10輸出之Z與主機裝置內計算之C,藉此執行認證。
如上文所描述,在第一實施例中,由於秘密資訊XY儲存於係記錄禁止/讀取禁止區域之隱藏區域11-2中,且資料Z係藉由使用此資訊而產生,所以可保證保密。此外,藉由對秘密資訊XY加密且將校正碼添加至經加密之資訊而獲得的XYE儲存於為記錄禁止/讀取准許區域的ROM區域11-1中。主機20使用金鑰23使自ROM區域11-1讀出之XYE經受錯誤校正處理21及解密處理22,藉此共用XY。因此,認證元件與被認證元件之間可共用不同秘密資訊XY,同時維持秘密資訊XY的秘密狀態。
因此,根據關於第一實施例之結構及認證方法,存在如下優點:認證元件與被認證元件之間可共用不同秘密資訊XY,同時維持秘密資訊XY之秘密狀態,且可藉由基於經 共用秘密資訊之少量計算來執行認證。
[第二實施例]
接下來,參看圖5及圖6,給出關於根據第二實施例之認證元件/被認證元件及認證方法的描述。在以下描述中,與第一實施例重疊之部分的描述被省略。
<結構實例(記憶體系統)>
參看圖5,描述第二實施例之結構實例。
如圖5中所展示,第二實施例之結構實例不同於第一實施例,不同之處在於,NAND快閃記憶體10將XYE之複數個片段及XY之複數個片段分別儲存於ROM區域11-1及隱藏區域11-2中。在此實例中,當i與j不同時,XY[i]≠XY[j],且XYE[i]≠XYE[j]。
以此方式,藉由儲存複數個XYE及複數個XY之集合,有可能提供用於在秘密資訊片段X及Y經暴露時更新秘密資訊之手段。若XY及XYE之一集合因中間人攻擊或其類似者而暴露,且藉由盜用暴露之XY及XYE製作出了偽造裝置,則在本實施例中,有可能更新藉由主機裝置20保持之金鑰[1]23(例如,金鑰[1]經更新之金鑰[2])。以此方式,藉由使用不同於暴露之XY及XYE之集合的集合,消除偽造裝置變得可能。至於用於每一XY[i]之加密的金鑰,當i不同時,較佳使用不同金鑰。
在其他方面,第二實施例與第一實施例實質上相同,因此省略詳細描述。
<認證流程>
接下來,參看圖6,描述根據第二實施例之認證操作。
在第二實施例中,由於複數個XY及複數個XYE記錄於NAND快閃記憶體10中,所以主機裝置20選擇待使用之XY,藉此執行認證。
因此,在第二實施例中,在步驟S14中,當主機20請求認證時,主機裝置20將指定將使用之XY的參數i連同亂數Nonce_H發送至NAND快閃記憶體10。在此方面,第二實施例不同於第一實施例。
在其他方面,第二實施例與第一實施例實質上相同,因此省略詳細描述。
<有利效應>
根據關於第二實施例之認證元件/被認證元件及認證方法,可改良以上各點(I)至(IV),且可獲得至少上述有利效應(1)。
此外,第二實施例不同於第一實施例,不同之處在於,NAND快閃記憶體10將XYE之複數個片段及XY之複數個片段分別儲存於ROM區域11-1及隱藏區域11-2中。
以此方式,藉由儲存複數個XYE及複數個XY之集合,有可能提供用於在秘密資訊片段X及Y經暴露時更新秘密資訊之手段。若XY及XYE之一集合因中間人攻擊或其類似者而暴露,且藉由盜用暴露之XY及XYE製作出了偽造裝置,則在本實施例中,有可能更新藉由主機20保持之金鑰[1]23(例如,金鑰[1]經更新之金鑰[2])。
因此,在第二實施例之認證流程中,在步驟S14中,當 主機裝置20請求認證時,主機裝置20將指定將使用之XY的參數i連同亂數Nonce_H發送至NAND快閃記憶體10。
在第二實施例中,如上文所描述,NAND快閃記憶體10具有複數個XY及複數個XYE,具有藉由來自主機裝置之指令選擇性地發送XYE之功能,且藉由來自主機裝置之指令選擇性地設定用於認證的XY。此外,主機裝置具有選擇性地讀出對應於由主機裝置自身保持之金鑰的XYE之功能,具有解密XYE之功能,且具有在預定條件下更新由自身保持之金鑰的功能。
結果,藉由使用不同於暴露之XY及XYE之集合的集合,有利地消除偽造裝置變得可能。
[第三實施例]
接下來,參看圖7至圖9,給出關於根據第三實施例之認證元件/被認證元件及認證方法的描述。
<結構實例(記憶體系統)>
參看圖7,描述第三實施例之結構實例。
如圖7中所展示,第三實施例不同於第二實施例,不同之處在於,NAND快閃記憶體10將XYsubE之複數個片段及XYsub之複數個片段分別儲存於ROM區域11-1B及隱藏區域11-2B中。在此實例中,當i與j不同時,XYsub[i]≠XYsub[j],XYsubE[i]≠XYsubE[j]。XYsubE為藉由加密XYsub且接著將校正碼添加至經加密之XYsub而獲得的資料。
XYsub類似於XY而記錄於記錄禁止/讀取禁止區域(隱藏 區域)11-2B中,且XYsubE類似於XYE而儲存於記錄禁止/讀取准許區域(ROM區域)11-1B中。
XYmain之資料大小大於XYsub的資料大小(資料大小:XYmain>XYsub)。此外,由XYmain及XYsub構成之資料對應於上述秘密資訊XY。
在第三實施例中,如上文所描述,由於除XY之集合外進一步包括XYsub[i]及XYsubE[i]之集合,所以第三實施例為有利的,有利之處在於可高效地記錄秘密資訊X及Y。 稍後將描述細節。
此外,NAND快閃記憶體10包括用於儲存XYsub之資料快取記憶體12B,及用於在逐位元基礎上將XYmain與XYsub相加的逐位元加法模組C2。逐位元加法模組C2之輸出值對應於用於認證之上述XY值。在此實例中,由於位元長度在XYmain與XYsub之間為不同的,所以XYsub之重複資料應用至位元加法C2。
舉例而言,如圖中所展示,位元加法作為預定算術運算係可想到的。當XYmain之資料大小為XYsub之資料大小的整數倍時,以下組態為可想到的:自儲存XYmain資料的資料快取記憶體成功地發送XYmain,且自儲存XYsub資料的資料快取記憶體成功且重複地發送XYsub。可認為儲存XYsub之資料快取記憶體係環緩衝器。除逐位元加法外,XYmain及XYsub之繫結值可用作XY,或XYmain及XYsub之交插繫結值可用作XY。此外,XYmain及XYsub可輸入至LFSR,且LFSR之預定暫存器的值可用作XY。簡言之, 在本實施例中,儘管使用了逐位元加法模組,但有可能應用將由兩個輸入構成之資料用作XY的算術方法中之任一者。
類似地,主機裝置20進一步包括一校正處理模組21B、一解密模組22B、一金鑰保持模組23B、一資料儲存模組25B,及一加法模組C3,前述各者適應於讀出之XYsubE。藉由以上結構,主機裝置20類似地執行錯誤校正處理,且藉由對應KEY_XYsub執行解密,藉此獲得XYsub。因此,主機裝置與NAND快閃記憶體之間可共用秘密資訊XYmain及XYsub。儘管在圖中將KEY_XYmain及KEY_XYsub描繪為不同物件,但此等KEY_XYmain及KEY_XYsub可實際上為相同的。至於用於每一XYsub[i]之加密的KEY_XYsub,當i不同時,較佳使用不同KEY_XYsub。此外,主機裝置20及記憶體10基於XY值執行認證處理,該XY值係藉由執行藉由使用XYmain及XYsub進行之預定算術運算而獲得。
<認證流程>
接下來,參看圖8,描述根據第三實施例之認證操作。
在第三實施例中,除XYmain外,XYsub亦記錄於NAND快閃記憶體10中,且亦記錄藉由加密XYsub及XYmain獲得的XYmainE及XYsubE
因此,如圖中所展示,在對應步驟S13中,主機10進一步讀出XYmainE及XYsubE,解密XYmainE及XYsubE,且基於秘密資訊XYmain及XYsub產生秘密資訊XY(產生XY)。隨後,主機裝置20藉由使用自秘密資訊XYmain及 XYsub導出之資訊執行類似認證。
類似地,在NAND快閃記憶體10側,在步驟S15中,基於讀出之秘密資訊XYmain及XYsub產生秘密資訊XY(產生XY)。在此方面,第三實施例不同於第二實施例。
<有利效應>
根據關於第三實施例之認證元件/被認證元件及認證方法,可改良以上各點(I)至(IV),且可獲得至少上述有利效應(1)。另外,在第三實施例中,可獲得以下有利效應(2)。
(2)可高效地記錄秘密資訊X、Y,且可有利地縮短記錄時間。
在第三實施例中,NAND快閃記憶體10具有複數個XYsub及複數個XYsubE,藉由來自主機裝置20之指令選擇性地發送XYsubE,藉由來自主機裝置20之指令選擇性地設定用於認證的XYsub,及藉由由所選擇XYsub及XY之預定算術運算導出的值執行認證。
此外,主機裝置具有選擇性地讀出對應於藉由主機裝置自身保持之金鑰23B的XYsubE之功能,具有解密XYsubE之功能22B,且具有在預定條件下更新自身保持之金鑰23B的功能,且藉由由所選擇XYsub及XYmain之預定算術運算導出的值執行認證30。
如上文所描述,由於除XYmain之集合外進一步包括XYsub[i]及XYsubE[i]之集合,所以存在可高效地記錄秘密資訊X及Y之優點。
更具體而言,例如,在圖9中說明此情形。如圖9中所展示,在NAND快閃記憶體之製作製程中,XYmain、XYmainE、XYsub及XYsubE之複數個集合藉由XY產生器(XY GEN)產生,且藉由寫入器寫入至複數個NAND快閃記憶體(在此實例中,晶片1至晶片4)中。
在此實例中,XYmain及XYmainE之資料可為包含複數個晶片(晶片1至晶片4)之群組(例如,許多)中的相同資料。另一方面,XYsub與XYsubE需要為晶片(晶片1至晶片4)之間的不同資料(XYsub1至XYsub4,及XYsubE1至XYsubE4)。
如上文所描述,在第三實施例中,在資料寫入操作中,使得資料量為大之XYmain及XYmainE在複數個晶片(晶片1至晶片4)之間為共同的。藉此,記憶體中之資料寫入處理可經最佳化,且資料可經高效地記錄。
若藉由固線式組態來結構化XYmain及XYmainE,則實際記錄之資料為資料量係小的XYsub及XYsubE,且記錄時間可經縮短。若將XYmain及XYmainE記錄於記憶胞上,則由於此等記憶胞在群組中為相同的,所以有可能縮短用於將記錄資料轉送至NAND快閃記憶體中之資料記錄裝置的時間。如上文已描述,由於記錄時間之增大變為成本之增大,所以第三實施例具有可減小製造成本的極大好處。
[第四實施例(多重記錄之實例)]
接下來,參看圖10及圖11,給出關於根據第四實施例之認證元件/被認證元件及認證方法的描述。
<結構實例(記憶體系統)>
參看圖10,描述第四實施例之結構實例。
第四實施例不同於第二實施例,不同之處在於,藉由多次重複複數個XY[i]而產生之資訊片段11-2A、11-2B及11-2C進一步包括於記憶體10的隱藏區域11-2中。
具體而言,藉由重複第二實施例中之XY[i]而獲得之資料在圖10中藉由XY[i,1],XY[i,2],...,XY[i,n]指示,且XY[i,1]=XY[i,2]=,...,=XY[i,n],其中1im。此外,XY[1,j]≠XY[2,j]≠,...,≠XY[m,j],其中1jn。
在此實例中,雖然ECC相加至XYE,但ECC並不相加至XY。因此,當錯誤包括於已自NAND快閃記憶體之記憶胞讀出的資料中時,可認為喪失了用於NAND快閃記憶體之認證的XY之完整性。然而,如在本實施例中,由於進一步包括藉由重複複數個XY[i]而產生之資訊片段11-2A、11-2B及11-2C,所以檢查總和與選擇模組12-0可藉由重複資料之間的資料比較來偵測是否包括錯誤。
因此,本實施例之記憶體不同於第二實施例之記憶體,不同之處在於,此實施例進一步包括用於適合於藉由重複XY[i]而產生的資訊片段11-2A、11-2B及11-2C之檢查總和與選擇模組(檢查總和與選擇)12-0。
在圖10中,藉由與上文所描述相同的預定方法比較自記憶胞11-2載入之至少兩個XY之資料集合,且檢查是否包括錯誤。若包括錯誤或不可消除錯誤,則再次載入至少兩個XY之不同資料集合,且執行類似檢查。重複此情形,直 至不包括錯誤,或直至找到可供消除錯誤的資料集合。當找到此資料集合時,將此集合用於認證。作為預定方法之實例,以下方法為可想到的:載入兩個XY,且在逐位元基礎上計算XOR值,且接著執行關於所有XOR值是否為0的檢查。或者,以下方法為可想到的:載入三個或三個以上XY,且獲得藉由多數檢查而在逐位元基礎上已消除錯誤的XY。此外,儘管XY之所有重複資料在此圖中為相同資料,但可想到採用預先形成並記錄資料之此種方法,該資料具有重複資料中的奇數資料之極性與偶數資料之極性經顛倒的此互補關係。在此狀況下,載入具有互補關係之兩個XY,且在逐位元基礎上計算XOR值,且接著執行關於所有XOR值是否為1的檢查。
<認證流程>
接下了,參看圖11,描述根據第四實施例之認證操作。
如圖11中所展示,在第四實施例中,將複數個XY多次記錄於NAND快閃記憶體10之隱藏區域11-2中。
接著,在步驟S15中,NAND快閃記憶體10讀出至少兩個XY,比較該至少兩個XY,且藉由使用不包括錯誤之XY執行認證(載入/比較XY)。
<有利效應>
根據關於第四實施例之認證元件/被認證元件及認證方法,可改良以上各點(I)至(IV),且可獲得至少上述有利效應(1)。
此外,根據第四實施例,藉由多次重複複數個XY[i]而 產生之資訊片段11-2A、11-2B及11-2C進一步包括於記憶體10的隱藏區域11-2中。
在此狀況下,雖然ECC相加至XYE,但ECC並不相加至XY。因此,當錯誤包括於已自NAND快閃記憶體之記憶胞讀出的資料中時,可認為喪失了用於NAND快閃記憶體之認證的XY之完整性。
然而,根據第四實施例,由於進一步包括藉由重複複數個XY[i]而產生之資訊片段11-2A、11-2B及11-2C,所以檢查總和與選擇模組12-0可藉由重複資料之間的資料比較來偵測是否包括錯誤。結果,即使在錯誤包括於已自記憶體10之記憶胞讀出之資料中的狀況下,仍有可能有利地防止用於記憶體10之認證之XY的完整性被喪失。
[第五實施例]
接下來,參看圖12及圖13,給出關於根據第五實施例之認證元件/被認證元件及認證方法的描述。
<結構實例(記憶體系統)>
參看圖12,描述第五實施例之結構實例。第五實施例之結構實例為關於第三實施例與第四實施例之組合的實例。
如圖12中所展示,第五實施例之NAND快閃記憶體10不同於第四實施例之NAND快閃記憶體10,不同之處在於,XYsub及XYsubE之重複資料XYsub[i,j]及XYsubE[i,j]亦記錄於隱藏區域11-2中。
此外,此實施例進一步包括一檢查總和與選擇模組12-0B及用於適合於以上各者的資料快取記憶體12B。
<認證流程>
接下來,參看圖13,描述根據第五實施例之認證操作。
在第五實施例中,XYsub亦多次記錄於NAND快閃記憶體10中(XYsub[i,j]及XYsubE[i,j])。
因此,在步驟S15中,NAND快閃記憶體10進一步讀出至少兩個XYsub,比較該至少兩個XYsub,且藉由使用不包括錯誤之XYsub執行認證(載入/比較XY及XYsub)。
<有利效應>
根據關於第五實施例之認證元件/被認證元件及認證方法,可改良以上各點(I)至(IV),且可獲得至少上述有利效應(1)。
此外,根據第五實施例,NAND快閃記憶體10亦將XYsub及XYsubE之重複資料XYsub[i,j]及XYsubE[i,j]記錄於隱藏區域11-2中。
在必要的情況下,本實施例之結構及方法為適用的。
[第六實施例]
接下來,參看圖14及圖15,給出關於根據第六實施例之認證元件/被認證元件及認證方法的描述。
<結構實例(記憶體系統)>
參看圖14,描述第六實施例之結構實例。
又,在第六實施例中,NAND快閃記憶體10包括藉由重複複數個片段XY[i]而產生的資訊。具體而言,藉由重複第二實施例中之XY[i]而產生之資料在圖14中藉由XY[i,1],XY[i,2],...,XY[i,n]指示,且XY[i,1]=XY[i, 2]=,...,=XY[i,n],其中1im。此外,XY[1,j]≠XY[2,j]≠,...,≠XY[m,j],其中1jn。
在此實例中,XY資料之重複與第四實施例中相同。然而,在第六實施例中,重複資料之比較處理並非在NAND快閃記憶體10側上執行。實情為,比較處理在主機20中執行。在此方面,第六實施例不同於第四實施例。此外,第六實施例不同於第四實施例,不同之處在於,主機20包括一多數檢查模組(多數檢查)31。
具體而言,根據藉由主機裝置20指定之i,NAND快閃記憶體10載入XY[i,1],XY[i,2],...,XY[i,n]中之至少兩者,且關於每一XY執行上述認證處理。在此狀況下,相同Nonce_N及相同Nonce_H用於每一XY,且亦應用藉由偏置RNG產生之相同v。
NAND快閃記憶體10之傳輸模組15在其他參數相同之條件下計算關於複數個XY之複數個Z(Z[i,1],Z[i,2],...,Z[i,n]),且將計算出之Z發送至主機裝置20。
在接收到複數個Z(Z[i,1],Z[i,2],...,Z[i,n])之後,主機裝置藉由多數檢查模組31執行多數檢查,且獲得單一Z。在此狀況下,當每一Z由複數個位元要素構成時,且當壓縮計算模組之輸出由複數個位元構成時,多數檢查係在逐位元基礎上執行。
在獲得藉由多數檢查已消除錯誤之Z之後,主機裝置執行與上文所描述相同之判定處理30,藉此認證NAND快閃記憶體10。
<認證流程>
接下來,參看圖15,描述根據第六實施例之認證操作。
在第六實施例中,NAND快閃記憶體10藉由使用多次記錄於NAND快閃記憶體10中之XY來計算複數個Z,且發送Z。主機裝置對複數個Z執行多數檢查,藉此獲得單一Z並執行認證。
因此,在步驟S17中,NAND快閃記憶體10將所計算之複數個Z及j傳輸至主機20。
隨後,在步驟S18中,主機20執行複數個Z之多數檢查,此為與第四實施例的差別。
<有利效應>
根據關於第六實施例之認證元件/被認證元件及認證方法,可改良以上各點(I)至(IV),且可獲得至少上述有利效應(1)。
此外,在第六實施例中,NAND快閃記憶體10進一步包括藉由重複複數個XY[i]而產生的資訊。此外,主機20包括多數檢查模組(多數檢查)31。
因此,可減小其中計算資源受到約束之NAND快閃記憶體10中之比較處理的負載,且可依賴具有足夠計算資源之主機20來執行比較處理(多數處理)31。結果,有利地,可抑制NAND快閃記憶體10之成本的增大,且可消除錯誤。
[第七實施例]
接下來,參看圖16至圖17,給出關於根據第七實施例之認證元件/被認證元件及認證方法的描述。
<結構實例(記憶體系統)>
參看圖16,描述第七實施例之結構實例。第七實施例係關於第三實施例及第六實施例之組合的實例。
如圖16中所展示,NAND快閃記憶體10亦儲存XYsub及XYsubE之重複資料11-2B及11-1B。類似於上述第六實施例,複數個XY之認證資料Z藉由計算模組15計算且發送至主機20,且在主機裝置20中執行多數檢查31。
<認證流程>
接下來,參看圖17,描述根據第七實施例之認證操作。
在第七實施例中,NAND快閃記憶體10藉由使用多次記錄於NAND快閃記憶體10中之XYmain及XYsub來計算複數個Z,且發送Z。主機裝置對複數個Z執行多數檢查,藉此獲得單一Z並執行認證。
因此,在步驟S11中,主機裝置20發出關於經多次記錄之XYmain及XYsub的讀出請求(讀取XYmainE及XYsubE)。
隨後,在步驟S12中,NAND快閃記憶體10讀出經多次記錄之XYmain及XYsub(載入XYmainE及XYsubE),且將XYmain及XYsub發送至主機20(XYmainE及XYsubE)。
<有利效應>
根據關於第七實施例之認證元件/被認證元件及認證方法,可改良以上各點(I)至(IV),且可獲得至少有利效應(1)。
此外,根據第七實施例,NAND快閃記憶體10亦記錄XYsub及XYsubE之重複資料11-2B及11-1B。類似於上述第 六實施例,複數個XY之認證資料Z藉由計算模組15計算且發送至主機20,且在主機20中執行多數檢查31。
以此方式,在必要的情況下,本實施例為適用的。
[第八實施例]
接下來,參看圖18至圖22,給出關於根據第八實施例之認證元件/被認證元件及認證方法的描述。
<結構實例(記憶體系統)>
參看圖18,描述第八實施例之結構實例。第八實施例提供使得用於第六實施例中之個別主機裝置20中之XY值的組合不同之方法。
如圖18中所展示,第八實施例不同於第六實施例,不同之處在於,NAND快閃記憶體10將金鑰資訊(金鑰序列資訊)80儲存於使用者區域(其他區域)11-3中,該金鑰資訊具有由金鑰轉換記錄構成的資料結構。金鑰資訊(金鑰序列資訊)80不必儲存於使用者區域11-3中。金鑰資訊(金鑰序列資訊)80可儲存於ROM區域11-1或禁止資料寫入及資料抹除中之至少一者的區域中。
如在第六實施例中一般,記錄於ROM區域11-1中之容器經組態以儲存複數個XYE。然而,不同於第六實施例,複數個XYE具有矩陣形式之資料結構,且在主機裝置20中之使用方法係不同的。因此,在以下描述中,複數個XYE稱為「XYE矩陣81」。儘管假設資料結構為矩陣資料結構,但記憶胞陣列11中之實際資料配置不需要具有矩陣結構。相同情形適用於下文描述之XY矩陣82。
此外,如在第六實施例中一般,記錄於隱藏區域11-2中之XY資料經組態以儲存複數個XY。然而,不同於第六實施例,複數個XY具有矩陣形式之資料結構,且在主機裝置20中之使用方法為不同的。因此,在以下描述中,複數個XY稱為「XY矩陣82」。XY矩陣82在必要的情況下經多次記錄(被記錄多次)。多重記錄之目的如上文所描述為確保資料之可靠性,且相同情形適用於使用方法。經多次記錄之XY矩陣82可配置於不同頁或不同區塊中。
本實施例不同於前述實施例,不同之處在於,主機裝置20包括一剖析與選擇模組84、一濾波與解密模組86及一濾波與多數檢查模組88以便處理金鑰資訊(金鑰序列資訊)80,且主機裝置20藉由使用裝置索引83及裝置金鑰23獲得插槽金鑰(對應於裝置索引之插槽金鑰)85及插槽索引序列87。
裝置索引83為用於自金鑰資訊(金鑰序列資訊)80選擇對應於主機裝置20之資料記錄的索引,該金鑰資訊(金鑰序列資訊)80係自NAND快閃記憶體10讀出。在主機裝置20中,裝置索引83之儲存位置係任意位置,但需要將裝置索引83儲存於不易暴露的位置處。
剖析與選擇模組84自金鑰資訊(金鑰序列資訊80)選擇對應於自身裝置索引83的資料記錄,該金鑰資訊(金鑰序列資訊)80係自NAND快閃記憶體10讀出。所選擇之資料記錄輸出至解密模組22,且使用裝置金鑰23予以解密。在主機裝置20中,裝置金鑰23之儲存位置係任意位置,但需要將 裝置金鑰23儲存於不易暴露的位置處。
插槽金鑰(對應於裝置索引之插槽金鑰)85包括於藉由由裝置金鑰23解密對應於裝置索引83之資料記錄而獲得的資料中。插槽金鑰(對應於裝置索引之插槽金鑰)85為對應於裝置索引83的插槽金鑰資料。
類似於插槽金鑰(對應於裝置索引之插槽金鑰)85,插槽索引序列(插槽索引序列)87包括於藉由由裝置金鑰23解密對應於裝置索引83之資料記錄而獲得的資料中。插槽索引序列87為對應於各別插槽金鑰(對應於裝置索引之插槽金鑰)85的索引資料。
濾波與解密模組86自已自NAND快閃記憶體10讀出且已經受ECC處理之XYE矩陣81選擇對應於插槽索引序列87的要素,且藉由使用插槽金鑰(對應於裝置索引之插槽金鑰)85來解密該要素。藉此,主機裝置20獲取秘密資訊XY序列24。
濾波與多數檢查模組88自接收自NAND快閃記憶體10之計算結果選擇資料記錄中的對應於插槽索引序列87的計算結果z[i]。
判定模組30藉由使用所產生之資料C及藉由濾波與多數檢查模組88選擇的計算結果z[i]來執行判定處理。
<關於:資料結構>
參看圖19,給出關於金鑰資訊(金鑰序列資訊)80、XYE矩陣81及XY矩陣82之資料結構的描述。
首先,描述記錄於隱藏區域11-2中的展示於圖19之部分 (a)中的XY矩陣82。XY矩陣82由針對預定資料單元編號之複數個XY資料(XY(1,1)至XY(n,m))構成。在所說明之實例中,XY矩陣82具有16×16之配置結構,且每一要素構成單一XY資料。若單一XY資料由64個位元組構成,則XY矩陣82由64×16×16個位元組構成。
接下來,描述保持於容器中之XYE矩陣81。容器由複數個經加密之XY資料(Enc(Ks(1,1),XY(1,1))至Enc(Ks(n,m)、XY(n,m))構成,前述各者係藉由加密XY矩陣之各別要素而獲得。類似於XY矩陣82,XYE矩陣81具有16×16之配置結構,且每一要素構成單一XYE資料。此外,各別要素藉由不同金鑰來加密。用於加密之金鑰稱為「插槽金鑰(插槽金鑰(Ks))」,且相同數字(索引)分配至之插槽金鑰(插槽金鑰(Ks))用於相同數字(索引)分配至之XY資料的加密。具體而言,XYE矩陣81中之每一要素XYE(i,j)具有XYE(i,j)=Enc(Ks(i,j),XY(i,j))的關係。
接下來,描述展示於圖19之部分(c)中的金鑰資訊(金鑰序列資訊)80。金鑰資訊(金鑰序列資訊)80由對應於裝置金鑰(裝置金鑰(Kd))23及裝置索引83之複數個資料記錄構成,裝置金鑰(裝置金鑰(Kd))23及裝置索引83由主機裝置20擁有。每一資料記錄包括對應於裝置索引83的資料,及已藉由對應於裝置索引83之裝置金鑰(裝置金鑰(Kd))23加密的經加密之插槽金鑰序列。
經加密之插槽金鑰序列由以下兩者構成:資料Enc(Kd,Index),其藉由由裝置金鑰(裝置金鑰(Kd))23加密插槽索 引而獲得;及資料Enc(Kd,Ks),其藉由由裝置金鑰(裝置金鑰(Kd))23加密對應於插槽索引之插槽金鑰(插槽金鑰(Ks))而獲得。在此實例中,採用以下組態:一插槽索引及插槽金鑰(插槽金鑰(Ks))係選自XYE矩陣81的每一列。
在XY矩陣82中,單一XY資料之大小為任意大小,且並不限於上述64個位元組。因而,整體XY矩陣82之大小為任一大小,且XY矩陣82可根據其大小儲存於記憶胞陣列11上之同一頁中,或複數個頁中,或同一區塊中,或複數個區塊中。類似地,XYE矩陣81可根據其大小儲存於記憶胞陣列11上之同一頁中,或複數個頁中,或同一區塊中,或複數個區塊中。
<秘密資訊共用方法之具體實例>
接下來,參看圖20,給出關於藉由使用金鑰資訊80共用秘密資訊之方法之具體實例的描述。主機裝置20自金鑰資訊(金鑰序列資訊)80選擇對應於主機裝置20自身擁有之裝置索引83的資料記錄,金鑰資訊(金鑰序列資訊)80已自NAND快閃記憶體10讀出。在此實例中,自讀出之金鑰資訊(金鑰序列資訊)80選擇對應於裝置索引(裝置索引1)之經加密資料記錄(經加密插槽金鑰序列1)。
隨後,解密模組22藉由使用裝置金鑰(Kd1)23解密所選擇之資料記錄。結果,獲得係插槽索引及插槽金鑰(插槽金鑰(Ks))之序列的序列((1,m,...,2):(XY(1,1),XY(2,m),...,XY(n,2))。指示插槽索引之轉換的序列(1,m,...,2)變為插槽索引序列87。
接著,如藉由圖20中之虛線所指示,濾波與解密模組86自傳輸自NAND快閃記憶體10的XYE矩陣81之每一列選擇對應於插槽索引序列87的要素,且藉由對應於插槽索引之插槽金鑰(插槽金鑰(Ks))來解密元件,藉此獲得XY序列24。
隨後,基於獲得之XY序列24,主機裝置20中之濾波與多數檢查模組88檢查自NAND快閃記憶體10傳回之Z。以此方式,NAND快閃記憶體10不僅傳回對應於藉由主機裝置20獲得之XY序列24的Z,而且傳回對應於XY矩陣82中之所有要素的Z。因此,濾波與多數檢查模組88對對應於藉由自身裝置獲得之XY序列24及插槽索引序列87的Z進行濾波及選擇,且藉由判定模組30對僅此Z執行認證處理。
<關於:散佈金鑰資訊80的方法>
接下來,參看圖21,給出關於散佈金鑰資訊(金鑰序列資訊80)之方法的描述。在製造NAND快閃記憶體10時,將XY矩陣82及XYE矩陣81記錄於NAND快閃記憶體10中。在此狀況下,「在製造時」具有廣泛含義。XY矩陣82及XYE矩陣81可在預處理中並行地寫入至處於晶圓狀態的所有晶片中,或可在後處理中寫入至每一經切割之經封裝晶片中。對應於XY矩陣82及XYE矩陣81之金鑰資訊(金鑰序列資訊)80可與XY矩陣82及XYE矩陣81同時地進行記錄,或可以不同時序進行記錄。
舉例而言,購買NAND快閃記憶體10且製造記憶卡之卡製造商可將金鑰資訊(金鑰序列資訊)80寫入至NAND快閃記憶體10或散發金鑰資訊(金鑰序列資訊)80的伺服器(金鑰 矩陣散佈器)中,可經由網路將金鑰資訊(金鑰序列資訊)80寫入至NAND快閃記憶體10中。
在任一狀況下,將繫結至XY矩陣82及XYE矩陣81之IDm記錄於NAND快閃記憶體10中。卡製造商或伺服器自資料庫(金鑰矩陣資料庫)選擇對應於IDm之金鑰序列資訊80,且將金鑰序列資訊80寫入至NAND快閃記憶體10中。在此狀況下,IDm為NAND快閃記憶體10之識別符,且為繫結至金鑰序列資訊80的資訊。儘管NAND快閃記憶體10之製造及記憶卡之製造係藉由相同公司進行,但上述相同情形適用於NAND快閃記憶體10之製造位置與記憶卡之製造位置不同的狀況。
當無破解發生於主機裝置中時,金鑰資訊(金鑰序列資訊)80包括所有主機裝置之資料記錄。另一方面,當破解發生於主機裝置中時,例如,當破解已發生於主機裝置B(主機B)中時,金鑰資訊(金鑰序列資訊)80以一形式散發,使得此主機裝置之記錄並不包括於金鑰資訊(金鑰序列資訊)80中(排除所記錄之被侵入裝置B)。藉此,有可能防止XY序列自經破解之主機裝置(主機B)之進一步洩漏。
在以上實例中,主機裝置(裝置)已描述為單元,可使得XY序列在該等單元之間不同。然而,在實際實施中,此單元可為複數個裝置之群組,例如,具有相同型號之裝置的裝置群組,藉由同一製造商製造之裝置的裝置群組,藉由裝置實施方法(硬體實施、軟體實施,或硬體及軟體實施)分類的裝置群組,藉由裝置之使用者(一般使用者、商 業使用者或伺服器中之處理器)分類的裝置群組,或上述各者之組合。
<認證流程>
接下來,參看圖22A,描述根據第八實施例之認證操作。
在第八實施例中,主機裝置20讀出記錄於NAND快閃記憶體10中之金鑰資訊(金鑰序列資訊)80,選擇對應於其自身裝置索引的資料記錄,且接著藉由裝置金鑰解密此記錄,藉此獲得插槽金鑰及插槽索引。
若開始認證(開始),則主機裝置20在步驟S31中將金鑰資訊(金鑰序列資訊)80之讀取指令(讀取金鑰序列資訊)發送至NAND快閃記憶體10。在所說明實例中,由於控制器居間調解主機裝置20與NAND快閃記憶體10,所以自主機裝置20發送至控制器之指令的命令系統及實際上自控制器發送至NAND快閃記憶體之指令的命令系統可為不同或相同的。
接著,在步驟S32中,根據讀取指令,NAND快閃記憶體10自使用者區域11-3載入金鑰資訊(金鑰序列資訊)80(載入金鑰序列資訊),且將金鑰資訊(金鑰序列資訊)80發送至主機裝置20。讀取指令可包括或可不包括記錄金鑰資訊(金鑰序列資訊)80的位址。當讀取指令不包括此位址時,NAND快閃記憶體自身產生預定內部位址,且獲取金鑰資訊(金鑰序列資訊)80。
隨後,在步驟S33中,主機裝置20自所發送之金鑰資訊 (金鑰序列資訊)80選擇對應於自身裝置索引的資料記錄,且接著藉由裝置索引解密此記錄,藉此取得插槽金鑰及插槽索引(擷取金鑰序列)。
接著,在步驟S11中,主機裝置20將XYE矩陣81之讀取指令(讀取XYE)發送至NAND快閃記憶體10。讀取指令(讀取XYE)可為不同於讀取指令(讀取金鑰序列資訊)之命令,或兩者在使用同一命令之情況下可藉由輸入不同位址來區分。
隨後,在步驟S12中,根據讀取指令,NAND快閃記憶體10自ROM區域11-1載入XYE矩陣81(載入XYE),且將XYE矩陣81發送至主機裝置20。
接著,在步驟S13中,主機裝置20藉由對應插槽金鑰來解密對應於插槽索引的XYE要素,且獲得XY序列24。
隨後,在步驟S14中,主機裝置20將認證請求連同XY矩陣80之索引編號(i)及亂數(Nonce_H)一起發送至NAND快閃記憶體10(請求認證)。索引編號為插槽索引,或對應於XY矩陣之列或行的編號。
接著,在步驟S15至S17中,NAND快閃記憶體10在使用記錄於隱藏區域11-2中之XY矩陣80的情況下藉由使用對應於XY矩陣80之索引編號的XY來計算複數個Z,且將該等Z連同亂數(Nonce_N)一起發送至主機裝置20。
隨後,在步驟S18至S23中,主機裝置20藉由根據由主機裝置20自身擁有之插槽索引序列對讀出之資料進行濾波而獲得單一Z,且執行類似認證。
<有利效應>
根據關於第八實施例之認證元件/被認證元件及認證方法,可改良以上各點(I)至(IV),且可獲得至少以下有利效應。
在第八實施例中,NAND快閃記憶體10包括金鑰資訊(金鑰序列資訊)80,其具有由用於主機裝置20中之金鑰轉換記錄構成的資料結構。NAND快閃記憶體10以對應於金鑰資訊(金鑰序列資訊)80之方式包括具有矩陣資料結構之秘密資訊XY矩陣82及藉由加密秘密資訊XY矩陣82而產生的XYE矩陣81。
因此,首先,由於金鑰資訊(金鑰序列資訊)80之值可與個別主機裝置20相關聯地改變,所以對中間人攻擊之容許度可得以改良。具體而言,可有利地使得哪一XY資料用於認證為不可見的。
其次,即使用於解密XYE矩陣81之金鑰自主機裝置20洩漏且接著XY矩陣82之值經暴露,金鑰資訊(金鑰序列資訊)80在主機裝置20之間仍為不同的。因此,存在以下優點:可減小安全保護對整體認證系統的影響。
具體而言,在其他實施例中,每一主機裝置20具有用於解密XYEMatrix之每一列的KEY[i],亦即,每一主機裝置20作為全域秘密對待。因此,若一主機裝置20被破解且洩漏了金鑰,則藉由使用此金鑰加密的XYEMatrix之數個列之所有XY值將被暴露。為此狀況做準備,藉由複數個列及對應於此等列之金鑰來加密XYE。然而,可僅保持保密 而抵抗具有若干列之主機裝置的破解。若達到若干個列之數目,則整個認證系統將崩潰。
然而,在第八實施例中,保證最大(1616!)/(1616-16!)作為組合之數目,藉由該等組合,可自(列之數目×行之數目)的要素選擇用於認證之XY序列。因此,即使主機裝置20被破解且暴露了此裝置之XY序列資料,仍可減小對其他主機裝置之影響,且可改良破解容限高達整個認證系統的崩潰。
參看圖22B,給出更具體描述,圖22B說明在第八實施例及第二實施例之狀況下時間與系統容限之間的關係。在藉由圖22B中之虛線指示的第二實施例之狀況下,在秘密資訊已被洩漏L次(例如,若干次)時之洩漏程度線性增大。另一方面,在藉由實線指示之第八實施例中,由於在裝置之間存在秘密資訊之重疊分量,所以洩漏程度低於第二實施例中的洩漏程度。此外,在第二實施例中,若第二實施例中之秘密資訊之列的上限數目設定為M次,則秘密資訊已被洩漏M次(例如,約10次)時之系統容限對應於所有秘密已被洩漏的狀況。在此狀況下,由於缺乏可加以取代之秘密資訊,所以系統崩潰。另一方面,在藉由實線指示之第八實施例的狀況下,即使秘密資訊已被洩漏M次(例如,約10次),秘密洩漏程度之增大仍為非線性的,且因此與藉由虛線指示之參考實例相比較可保證更充分之系統容限,且可充分滿足產品的秘密之安全容許度。
如上文所描述,本實施例不同於前述實施例,不同之處 在於,可分散秘密洩漏之風險程度。舉例而言,在藉由實線指示之第八實施例之狀況下,產品經設計以便在秘密資訊已被洩漏N次(例如,數十次)且未能滿足產品容許度的產品壽命之時間點t3(例如,約10年)之前充分滿足產品生產安全的洩漏程度應已足夠。
此外,可識別已藉由暴露之XY序列破解的主機裝置(裝置)。另一方面,當破解之裝置已變得清楚時,自金鑰資訊(金鑰序列資訊)80排除藉由由此裝置擁有之裝置金鑰加密的資料記錄。藉此,可使破解之裝置無效,且可保證新製造之NAND快閃記憶體10之XY矩陣的保密。以此方式,藉由排除暴露之秘密的資料記錄,可防止對下一次生產的秘密洩漏,且可有利地改良生產之間的保密。
如上文已描述,第八實施例為有利的在於,可改良對中間人攻擊之容許度,可藉由使可在逐裝置基礎上導出之XY序列個別化來減小XY值被暴露時的影響,可識別被破解之主機裝置,且可使被破解之主機裝置的金鑰無效。
[第九實施例]
接下來,參看圖23至圖27,給出關於根據第九實施例之認證元件/被認證元件及認證方法的描述。
<結構實例(記憶體系統)>
參看圖23,描述根據第九實施例之記憶體系統的結構實例。第九實施例不同於第八實施例,不同之處在於,類似於第七實施例,使用XYsub 82B及XYsubE 81B。
如圖23中所展示,第九實施例之NAND快閃記憶體10不 同於第八實施例之NAND快閃記憶體10,不同之處在於,另外儲存XYsub 82B及XYsubE 81B。存在XYsub 82B及XYsubE 81B中之每一者係單數或複數之狀況。另外,在複數個XYsub 82B及XYsubE 81B之狀況下,存在採用行結構及採用列/行結構之狀況。
矩陣資料(1)(「單數」之狀況)
接下來,參看圖24,給出XYsub 82B及XYsubE 81B中之每一者係單數之狀況的描述。
如圖24之部分(a)中所展示,單一XYsub 82B記錄於隱藏區域11-2中,從而用於NAND快閃記憶體10中的內部處理。
如圖24之部分(b)中所展示,藉由由插槽金鑰(ks_sub)加密Xysub而產生的單一XYsubE(Enc(Ks_sub,XYsub))81B記錄於容器中。
如圖24之部分(c)中所展示,藉由由裝置金鑰加密插槽金鑰(Ks_sub)而獲得的單一資料(經加密之子插槽金鑰)80B包括於金鑰資訊(金鑰序列資訊)80中。
矩陣資料(2)(行結構之狀況)
接下來,參看圖25,給出使用具有行結構之複數個XYsub之狀況的描述。
如圖25之部分(a)中所展示,在此實例中,具有行結構之複數個XYsub(XYsub(1),XYsub(2),...,XYsub(n))82B記錄於秘密區域11-2中,從而用於NAND快閃記憶體10中的內部處理。
如圖25之部分(b)中所展示,藉由由插槽金鑰(ks_sub)加密每一Xysub而獲得的複數行資料XYsubE(Enc(Ks_sub(1),XYsub(1)),...,Enc(Ks_sub(n),XYsub(n))記錄於容器11-1中。
如圖25之部分(c)中所展示,藉由由裝置金鑰加密插槽金鑰(Ks_sub)而獲得的行結構資料(經加密之子插槽金鑰1,...,經加密之子插槽金鑰n)80B包括於金鑰資訊(金鑰序列資訊)80中。
矩陣資料(3)(列/行結構之狀況)
接下來,參看圖26,給出使用具有列/行結構之複數個XYsub之狀況的描述。
如圖26之部分(a)中所展示,以伴隨描述於第八實施例中之XY的方式將XYsub矩陣82B記錄於隱藏區域11-2中,從而用於NAND快閃記憶體10中的內部處理。
如圖26之部分(b)中所展示,藉由由用於加密XY(i,j)的插槽金鑰Ks(i,j)加密每一XYsub(i,j)而獲得的列/行結構資料XYsubE陣列(Enc(Ks(1,1),XYsub(1,1),...,Enc(Ks(n,m),XYsub(n,m))81B記錄於容器11-1中。
如圖26之部分(c)中所展示,由於金鑰資訊(金鑰序列資訊)80包括已用於XY(i,j)之加密的插槽金鑰Ks(i,j),所以不需要新包括專用於XYsub的插槽金鑰。
如上文已描述,針對單一XYsub 82B及單一XYsubE 81B之狀況或針對複數個XYsub 82B及複數個XYsubE 81B之狀況的列/行結構(例如)適用於XYsub 82B及XYsubE 81B。
<認證流程>
接下來,參看圖27,描述根據第九實施例之認證操作。
在第九實施例中,同樣,在步驟S31至S33中,主機裝置20類似地讀出記錄於NAND快閃記憶體10中之金鑰資訊(金鑰序列資訊)80,選擇對應於自身裝置索引(裝置索引)的資料記錄,且接著藉由裝置金鑰解密此記錄,藉此獲得插槽金鑰及插槽索引。
接著,在步驟S13中,主機裝置20自NAND快閃記憶體10讀出XYE矩陣,藉由對應插槽金鑰解密對應於插槽索引的XYE要素及XYsubE要素,且獲得XY序列及XYsub。
隨後,在步驟S14中,主機裝置20將認證請求連同XY矩陣之索引編號(i)及亂數(Nonce_H)一起發送至NAND快閃記憶體10。
接著,在步驟S15至S17中,NAND快閃記憶體10在使用記錄於隱藏區域11-2中之XY矩陣的情況下藉由使用對應於XY矩陣之索引編號的XY及XYsub來計算複數個Z,且將該等Z連同亂數(Nonce_N)一起發送至主機裝置20。
隨後,主機裝置20類似地藉由根據由主機裝置20自身擁有之插槽索引序列對讀出之資料進行濾波而獲得單一Z,且執行認證。
<有利效應>
根據關於第九實施例之認證元件/被認證元件及認證方法,可改良以上各點(I)至(IV),且可獲得與第八實施例中之有利效應相同的有利效應。此外,至少存在記錄時間可 被縮短之優點。
[第十實施例]
接下來,參看圖28及圖31,給出關於根據第十實施例之認證元件/被認證元件及認證方法的描述。
在前述實施例中,主機裝置20包括用於獲得NAND快閃記憶體10之秘密資訊的裝置金鑰23。藉此,主機裝置20讀出NAND快閃記憶體10之經加密之秘密資訊XYE,且在NAND快閃記憶體10與主機裝置20之間共用秘密XY。
相比之下,在第十實施例中,主機裝置20不自NAND快閃記憶體10接收秘密資訊,且由主機裝置20擁有之秘密資訊的裝置唯一XY(90H)在主機裝置20之間變化。藉此,藉由NAND快閃記憶體10擁有之秘密資訊並不自主機裝置20洩漏。另外,即使秘密自主機裝置20洩漏,洩漏之影響限於裝置唯一XY(90H)之洩漏,且具有不同裝置唯一XY之其他主機裝置不受影響。如下文將描述,此係因為裝置唯一XY(90H)為藉由單向函數處理模組91在XY(90M)與裝置ID(89H)之間的計算結果。具體而言,即使裝置唯一XY(90H)及裝置ID(89H)經暴露,仍不可執行用於導出XY(90M)的逆函數處理。
<結構實例(記憶體系統)>
首先,參看圖28,描述根據第十實施例之記憶體系統的結構實例。第十實施例關於以下方面不同於前述實施例。
NAND快閃記憶體10包括單向函數處理模組91及非線性處理模組92M。此外,係NAND快閃記憶體10之唯一ID的 記憶體ID(89M)記錄於ROM區域11-1中。與前述實施例之差別為,XY值(90M)記錄於隱藏區域11-1中。
此實施例之主機裝置20不同於前述實施例之主機裝置20,不同之處在於,主機裝置20包括係主機裝置20之唯一ID的裝置ID(89H)、係主機裝置20之唯一XY值的裝置唯一XY(90H)、一錯誤校正模組95,及一非線性處理模組92H。
在上述結構中,主機裝置20讀出裝置ID(89H),且將讀出之裝置ID(89H)發送至NAND快閃記憶體10。
在主機裝置20中,錯誤校正模組95對已自NAND快閃記憶體10讀出之記憶體ID(ECC或記錄多次)(89M)執行錯誤校正處理。
隨後,在主機裝置20中,非線性處理模組92H對自身裝置唯一XY(90H)及讀出之經錯誤校正的記憶體ID(89M)執行非線性處理,藉此獲得記憶體及裝置的唯一值「唯一XY」。
另一方面,在NAND快閃記憶體10中,單向函數處理模組91對已自主機裝置20接收到之裝置ID(89H)及已自快取記憶體12B讀出的自身XY值(90M)執行單向函數處理。藉此,獲得與由主機裝置20擁有之裝置唯一XY相同的值。隨後,已自快取記憶體12A讀出之自身記憶體ID(89M)及裝置唯一XY在非線性處理模組92M中經受非線性處理。因此,可獲得記憶體及裝置之與主機裝置之唯一XY相同的唯一值「唯一XY」。
其後,NAND快閃記憶體10及主機裝置20兩者藉由使用記憶體及裝置之唯一XY執行同一認證處理。
<關於:單向函數處理模組(單向函數)91>
接下來,參看圖29,描述單向函數處理模組(單向函數)91。
如圖29中所展示,根據此實施例之單向函數處理模組91包括一密碼盒(Crypto Box)96及一互斥或電路C8。
密碼盒96藉由使用金鑰執行輸入之密碼分析。互斥或電路C8在輸入與來自密碼盒96之輸出之間執行互斥或處理,且產生輸出。
在此狀況下,輸入為單向函數處理模組91之目標資料,且輸出為處理結果。有可能使用上述XY值作為輸入且上述裝置ID值作為金鑰,或使用上述裝置ID值作為輸入且上述XY值作為金鑰。
<關於:密碼盒96>
接下來,參看圖30,描述密碼盒96。
如圖30中所展示,此實施例之密碼盒96包括複數個互斥或電路C9-0至C9-n、複數個S盒及置換模組97-1至97-n,及複數個更新處理模組98-1至98-n。
複數個互斥或電路C9-0至C9-n藉由接收輸入及金鑰,或藉由更新處理模組98-1至98-n更新之金鑰及來自S盒及置換模組97-1至97-n的輸入來輸出互斥或值。
S盒及置換模組97-1至97-n對來自先前級之互斥或電路C9-0至C9-n的輸出執行非線性處理。在此狀況下,S盒為 輸入值之藉由資料轉置表進行的轉化處理,且置換為值之位元在轉置處理之後的置換。
更新處理模組98-1至98-n更新先前級之金鑰。更新對應於轉置處理及置換處理之額外結果產生,或藉由外部輸入之更新值對更新計算的執行。藉由計數器產生之值可用作更新值,且互斥或處理可用於更新計算。
如上文所描述,此實施例中之密碼盒96中的處理經並行執行,且每一處理稱為「1個循環」。在此狀況下,每一循環之輸出值用作下一循環的輸入值。上述非線性處理之複數個循環的結果作為輸出而輸出。因此,由於關於非線性處理之甚至「1個循環」亦為複雜處理,所以單向函數處理模組91需要之單向函數處理可藉由在複數個循環上更新並執行此處理來執行。
同時,由於上述轉置處理及置換處理中之每一者係非線性處理,所以轉置處理或置換處理或其組合可用作上述非線性處理模組的結構要素。
<認證流程>
接下來,參看圖31,描述關於第十實施例之認證處理。
在步驟S41中,主機裝置20請求讀出記錄於NAND快閃記憶體10中之記憶體ID(89M)。
接著,在步驟S42中,對來自主機之請求做出回應,NAND快閃記憶體10讀出記錄於ROM區域11-1中之記憶體ID(89M),且將記憶體ID(89M)發送至主機裝置20。
隨後,在步驟S43中,主機裝置20對獲取之記憶體 ID(89M)及自身裝置唯一ID(90H)執行非線性處理,且獲得記憶體及裝置的唯一XY。
接著,在步驟S44中,主機裝置20向NAND快閃記憶體10發送認證請求連同主機亂數(Nonce_H)及裝置ID(89H)。
隨後,在步驟S45中,NAND快閃記憶體10藉由使用所發送之裝置ID(89H)及其自身XY(90M)及記憶體ID(89M)而藉由上述處理獲得記憶體及裝置的唯一XY。
其後,執行與上文所描述相同的認證處理。
<有利效應>
根據關於第十實施例之認證元件/被認證元件及認證方法,可改良以上各點(I)至(IV),且可獲得以下有利效應。
在前述實施例中,主機裝置20包括用於獲得NAND快閃記憶體10之秘密資訊的裝置金鑰23。藉此,主機裝置20讀出NAND快閃記憶體10之經加密之秘密資訊XYE,且在NAND快閃記憶體10與主機裝置20之間共用秘密XY。
相比之下,在第十實施例中,主機裝置20不自NAND快閃記憶體10接收秘密資訊,且係藉由主機裝置20擁有之秘密資訊的裝置唯一XY(90H)在主機裝置20之間變化。藉此,NAND快閃記憶體10擁有之秘密資訊並不自主機裝置20洩漏。另外,即使秘密自主機裝置20洩漏,洩漏之影響限於裝置唯一XY(90H)之洩漏,且具有不同裝置唯一XY之其他主機裝置不受影響。如上文已描述,此係因為裝置唯一XY(90H)為藉由單向函數處理模組91在XY(90M)與裝置ID(89H)之間的計算結果。具體而言,由於執行了單向函 數處理,所以即使裝置唯一XY(90H)及裝置ID(89H)經保護,用於導出XY之逆函數處理仍為不可能的。
此外,在本實施例中,為了獲得記憶體及裝置之唯一XY,非線性處理模組92M及92H對記憶體ID(89M)及裝置唯一XY(90H)執行非線性處理。因此,有利地,存在建立交換律之很小憂慮。舉例而言,當採用內積算術運算作為認證方法時,內積算術運算為線性處理。因此,若對記憶體ID及裝置唯一XY執行線性,以便獲得記憶體及裝置之唯一XY,則存在建立交換律的憂慮。在此狀況下,由於有可能偽裝記憶體ID,所以在主機裝置20及NAND快閃記憶體10中之至少一者中提供非線性處理為所要的。在本實施例中,在主機裝置20及NAND快閃記憶體10兩者之非線性處理模組92M及92H中執行非線性處理,且因此有可能防止建立交換律。
此外,用於認證之資訊係記憶體及裝置之唯一XY,該唯一XY取決於NAND快閃記憶體10及主機裝置20之組合而不同,NAND快閃記憶體10及主機裝置20皆經認證。因此,存在可減小中間人攻擊之風險的優點。即使記憶體及裝置之唯一XY因中間人攻擊而暴露,但可使用此值之環境為非常有限的。原因在於,僅可針對該主機裝置20偽裝認證。
如上文已描述,第十實施例具有以下有利效應:可改良對中間人攻擊之容許度,可藉由使散佈至裝置之秘密資訊對於個別裝置為唯一的來減小秘密資訊被暴露時的影響, 可識別被破解之主機裝置,且可使被破解之主機裝置的金鑰無效。
[第十一實施例(媒體ID擷取處理)]
接著,參看圖32至圖35,描述第十一實施例。第十一實施例係關於上述步驟S22中計算媒體ID(媒體ID)的各種處理(媒體ID擷取處理)。
ID擷取處理(1)2
ID擷取處理(1)如圖32中所展示。如圖32中所展示,在此實例(1)中,在步驟RS1中,對用於上述認證中之XYmain及XYsub執行單向函數處理(單向函數)。將處理之結果作為媒體ID對待。
在此狀況下,作為單向函數處理,可基於諸如SHA-1、SHA-256或AEG-H之加密來使用單向算術運算。
ID擷取處理(2)
ID擷取處理(2)如圖33中所展示。如圖33中所展示,在此實例(2)中,在步驟RS1、RS2中,已用於上述認證中之XYmain及XYsub藉由使用對應於KEY_XYmain及KEY_XYsub中之一者的KEY_XY而進一步經受解碼處理(解碼),KEY_XYmain及KEY_XYsub已在上述認證處理中用於KEY_XYmainE及KEY_XYsubE的解密中。
隨後,在步驟RS3中,執行類似單向函數處理(單向函數),且處理之結果作為媒體ID對待。
ID擷取處理(3)
ID擷取處理(3)如圖34中所展示。如圖34中所展示,在 此實例(3)中,在步驟RS1、RS2中,已用於上述認證中之XYmain及XYsub藉由使用KEY_XYmain及KEY_XYsub而進一步經受解碼處理(解碼),KEY_XYmain及KEY_XYsub已在上述認證處理中用於KEY_XYmainE及KEY_XYsubE的解密中。
隨後,在步驟RS3中,執行類似單向函數處理(單向函數),且處理之結果作為媒體ID對待。
ID擷取處理(4)
ID擷取處理(4)如圖35中所展示。如圖35中所展示,在此實例(4)中,在步驟RS1、RS2中,已用於上述認證中之XYmain及XYsub藉由使用不同於KEY_XYmain及KEY_XYsub的KEY_XYmain2及KEY_XYsub2而進一步經受解碼處理(解碼),KEY_XYmain及KEY_XYsub已在上述認證處理中用於KEY_XYmainE及KEY_XYsubE的解密中。在此狀況下,KEY_XYmain2及KEY_XYsub2可具有相同值。
隨後,在步驟RS3中,執行類似單向函數處理(單向函數),且處理之結果作為媒體ID對待。
[第十二實施例(媒體ID繫結處理)]
接下來,參看圖36及圖37,描述第十二實施例。第十二實施例係關於媒體ID之使用方法(媒體ID繫結處理)。
舉例而言,當商用移動圖像內容或其類似者記錄於實體媒體上並播放時,使用以下方法:對於實體媒體唯一之識別資訊用於內容記錄時之加密處理中,且內容繫結至實體媒體。
在播放內容時,採用以下方法:執行基於識別資訊之解密處理或檢查處理,且當已經再現之識別資訊並不與在記錄內容時之加密處理中使用的識別資訊相符時,停止內容的播放。實體媒體之實例包括諸如ID卡之抽取式媒體,及併入至行動電話等中的嵌入式記憶體。
在任一狀況下,上述方法之目標為,在記錄於某一媒體上之經加密內容已被非法複製至另一媒體時停止經非法重複之內容的播放。作為針對此用途之資訊,使用在媒體之間變化的上述識別資訊(媒體ID)。
ID繫結處理(1)
ID繫結處理(I)如圖36中所展示。如圖36中所展示,在此實例(I)中,執行MAC(訊息認證碼)產生處理,且此處理用於防止非法重複。
具體而言,在步驟BP1中,在使用媒體ID作為上述識別資訊之方法的實例中,基於用於內容加密之內容金鑰對媒體ID或其他資訊執行MAC產生處理。
隨後,在將內容記錄於媒體中之設備中,產生MAC,且將所產生之MAC記錄於媒體中。在播放來自媒體之內容的設備中,基於媒體ID或內容金鑰來檢查所記錄之MAC。當已確認確實性時,播放內容。當尚未確認確實性時,應用停止內容之播放的此種方法。
ID繫結處理(2)
ID繫結處理(2)如圖37中所展示。如圖37中所展示,在此實例(2)中,媒體ID用作用於產生內容金鑰之資訊,內 容金鑰用於內容加密。
在步驟BP1中,在將內容記錄於媒體中之設備中,媒體ID及內容金鑰前導項經受單向函數處理(單向函數)。
在將內容記錄於媒體中之設備中,記錄已藉由經處理之內容金鑰加密的內容。
在播放來自媒體之內容的設備中,所記錄之內容金鑰前導項及媒體ID經受類似單向函數處理,藉此獲得內容金鑰。因此,執行內容之解密及播放。在媒體ID不一致之狀況下,亦即,在內容資料已經非法複製至不同媒體之狀況下,導出之內容金鑰與用於內容加密中的金鑰不一致。因此,內容之解密失敗,且停止播放。
[第十三實施例(記憶體及儲存/播放主機的實例)]
接下來,參看圖38,描述第十三實施例。第十三實施例係關於一實例,其中在係上述實施例之結構之組合的記憶卡(包括NAND晶片)10、記錄主機(記錄裝置)20A及播放主機(播放裝置)20B的系統中,執行上述認證,且藉由使用上述媒體ID來在主機20B中播放內容。
當記錄主機(記錄裝置)20A將內容記錄於記憶卡(包括NAND晶片)10中時,首先在記憶卡(包括NAND晶片)10與記錄主機(記錄裝置)20A之間執行以上實施例中的認證處理。在已成功執行認證處理之後,執行以上實施例中的ID擷取處理。接著,將已藉由以上實施例中之ID繫結處理(1)產生之MAC記錄於記憶卡(包括NAND晶片)10中。此外,記錄由用於ID繫結處理(1)中之內容金鑰加密的內容 (經加密之內容)。另外,亦以安全形式記錄內容金鑰自身。在此情形下,安全形式可為以下形式:記錄於記憶卡(包括NAND晶片)10中之在記憶卡(包括NAND晶片)10與記錄主機(記錄裝置)20A之間已成功執行認證之後變為可存取的記錄區域中。在此情形下,認證可為本申請案中所描述之認證方法,或可藉由由記憶卡(包括NAND晶片)10擁有之某一其他認證功能來實現。安全形式之另一實例可為由記憶卡(包括NAND晶片)10或記錄主機(記錄裝置)20A擁有之金鑰進行的經加密形式。
當播放主機(播放裝置)20B自記憶卡(包括NAND晶片)10讀出內容並播放該內容時,首先在記憶卡(包括NAND晶片)10與播放主機(播放裝置)20B之間執行以上實施例中的認證處理。在已成功執行認證處理之後,執行以上實施例中的ID擷取處理。接著,藉由對應於以上實施例中之ID繫結處理(1)之處理驗證記錄於記憶卡(包括NAND晶片)10中的MAC。其後,自記憶卡(包括NAND晶片)10讀出內容金鑰,且解密經加密之內容(經加密之內容),且藉此播放內容。
[第十四實施例(記憶體及儲存/播放主機的另一實例)]
接下來,參看圖39,描述第十四實施例。第十四實施例係關於一實例,其中在係上述實施例之結構之組合的記憶卡(包括NAND晶片)10、記錄主機(記錄裝置)20A及播放主機(播放裝置)20B的系統中,執行上述認證,且藉由使用上述媒體ID來在主機20B中播放內容。
當記錄主機(記錄裝置)20A將內容記錄於記憶卡(包括NAND晶片)10中時,首先在記憶卡(包括NAND晶片)10與記錄主機(記錄裝置)20A之間執行以上實施例中的認證處理。在已成功執行認證處理之後,執行以上實施例中的ID擷取處理。接著,將已藉由以上實施例中之ID繫結處理(1)產生之內容金鑰記錄於記憶卡(包括NAND晶片)10中。此外,記錄由已由ID繫結處理(2)產生之內容金鑰加密的內容(經加密之內容)。另外,亦以安全形式記錄內容金鑰前導項自身。
在此情形下,安全形式可為以下形式:記錄於記憶卡(包括NAND晶片)10中之在記憶卡(包括NAND晶片)10與記錄主機(記錄裝置)20A之間已成功執行認證之後變為可存取的記錄區域中。在此情形下,認證可為本申請案中所描述之認證方法,或可藉由由記憶卡(包括NAND晶片)10擁有之某一其他認證功能來實現。安全形式之另一實例可為由記憶卡(包括NAND晶片)10或記錄主機(記錄裝置)20A擁有之金鑰進行的經加密形式。
當播放主機(播放裝置)20B自記憶卡(包括NAND晶片)10讀出內容並播放該內容時,首先在記憶卡(包括NAND晶片)10與播放主機(播放裝置)20B之間執行以上實施例中的認證處理。在已成功執行認證處理之後,執行以上實施例中的ID擷取處理。接著,藉由對應於以上實施例中之ID繫結處理(2)之處理,自已記錄於記憶卡(包括NAND晶片)10中的內容金鑰前導項產生內容金鑰。其後,解密經加密之 內容(經加密之內容),且藉此播放內容。
[第十五實施例(記憶體、控制器及主機的實例)]
接下來,參看圖40,描述第十五實施例。第十五實施例係關於適用於上述實施例之NAND快閃記憶體10、控制器19及主機裝置20的實例。在此實施例中,採用SD卡(商標)作為記憶卡之實例。
如圖40中所展示,在此實施例中,說明連接至記憶卡之主機裝置的功能區塊。各別功能區塊可藉由硬體或電腦軟體或藉由兩者之組合來實現。因此,一般而言,自各別區塊之功能之觀點描述各別區塊,以便闡明藉由功能中的哪一者來實現每一區塊。此等功能作為硬體抑或軟體來執行視實施之具體模式而定,或視外加於整體系統的設計約束而定。熟習此項技術者在實施之每一具體模式中可藉由各種方法來實現此等功能,但實施之所有方法係在本發明之範疇內。
主機裝置20包括諸如應用程式或作業系統之軟體211。使用者指導軟體211以將資料寫入至記憶卡中,或自記憶卡讀出資料。軟體211指導檔案系統212以寫入並讀取資料。檔案系統212為用於管理係管理目標之記錄於儲存媒體中之檔案資料的機構。檔案系統212將管理資訊記錄於儲存媒體中的記憶體區域中,且藉由使用管理資訊來管理檔案資料。
主機裝置20包括一SD介面213。SD介面213由對於執行主機裝置20與記憶卡之間的介面處理為必要的硬體及軟體 構成。主機裝置20經由SD介面213與記憶卡通信。SD介面213指定對於主機裝置20與記憶卡之間的通信為必要的各種協定,且包括藉由稍後將描述的記憶卡之SD介面31而可相互辨識的各種命令之集合。此外,SD介面213包括可連接至記憶卡之SD介面31的硬體結構(插腳之配置,插腳之數目等)。
記憶卡包括NAND快閃記憶體10及用於控制記憶體體10之控制器19。當記憶卡連接至主機20時,或當在將記憶卡插入至處於關斷狀態之主機20的狀態中接通主機20時,向記憶卡供電,執行初始化處理,且執行對應於來自主機20之存取的處理。
NAND記憶體10以非揮發性狀態儲存資料,且以包含複數個記憶體胞之稱作「頁」的單位執行資料寫入及讀取。將唯一實體位址分配給每一頁。此外,記憶體10以包含複數個頁之稱作「區塊」(抹除區塊)的單位執行資料之抹除。在一些狀況下,將實體位址分配給實體區塊單元。
控制器19管理記憶體10之資料的儲存狀態。儲存狀態之管理包括管理頁(或實體區塊)之實體位址與儲存於此頁中之資料之邏輯位址之間的關係,及管理哪一實體位址指示處於抹除狀態(不寫入資料或儲存無效資料的狀態)之頁(或實體區塊)。
控制器19包括SD介面31、MPU 32、ROM(唯讀記憶體)33、RAM(隨機存取記憶體)34,及NAND介面35。
SD介面31由對於執行主機20與控制器19之間的介面處 理為必要的硬體及軟體構成。類似於SD介面213,SD介面31指定使得能夠在主機20與控制器19之間通信的協定,包括各種命令之集合,且亦包括硬體結構(插腳之配置、插腳之數目等)。記憶卡(控制器19)經由SD介面31與主機20通信。SD介面31包括暫存器36。
MPU 32控制記憶卡之整體操作。舉例而言,當向記憶卡供電時,MPU 32將儲存於ROM 33中之韌體(控制程式)讀出至RAM 34中,且執行預定處理。MPU 32根據控制程式產生各種表,或根據接收自主機20之命令對記憶體10執行預定處理。
ROM 33儲存(例如)藉由MPU 32控制之控制程式。RAM 34被用作MPU 32之工作區域,且暫時儲存控制程式或各種表。此等表包括轉化表(邏輯/實體表),其用於將藉由檔案系統12分配給資料之邏輯位址轉換為實際儲存資料之頁的實體位址。NAND介面35執行控制器19與記憶體10之間的介面處理。
根據儲存之資料的種類,NAND快閃記憶體10中之記憶體區域包括(例如)系統資料區域、秘密資料區域、受保護資料區域、使用者資料區域等。系統資料區域為記憶體10中之藉由控制器19保證以便儲存對於控制器19之操作為必要之資料的區域。秘密資料區域儲存供加密使用之金鑰資訊及在認證時使用之秘密資料,且不可自主機裝置20存取。受保護資料區域儲存重要資料、安全資料等。使用者資料區域可藉由主機20自由存取並使用,且儲存(例如)諸 如AV內容檔案及影像資料的使用者資料。控制器19保全使用者資料區域之一部分,且儲存對於控制器19自身之操作為必要的控制資料(例如,邏輯/實體位址轉化表)。
[第十六實施例]
接下來,描述第十六實施例作為上述NAND快閃記憶體10之具體結構實例。
<整體結構實例>
圖41展示NAND快閃記憶體10之具體整體結構實例。
如圖41中所展示,此實施例之NAND快閃記憶體包括記憶體胞陣列11、亂數產生電路16、控制電路19、認證電路51、位元線控制電路52、行解碼器53、資料輸入/輸出緩衝器54、資料輸入/輸出端子55、字線驅動電路56、控制信號輸入端子58,及電力產生電路59。
記憶體胞陣列11由複數個區塊(區塊1至區塊n)構成。區塊(區塊1至區塊n)中之每一者包括配置於字線與位元線之交叉點處的複數個記憶體胞。舉例而言,區塊1係上述ROM區域11-1。舉例而言,區塊2係隱藏區域11-2。其他區塊為(例如)可自主機裝置20存取的使用者區域(使用者區域)11-3。
ROM區域11-1為(例如)OTP(一次程式化)區塊,且僅准許一次寫入。在資料寫入之後,藉由使用諸如電熔絲、雷射熔絲或ROM熔絲之構件控制區塊解碼器,藉此禁止抹除操作。隱藏區域11-2設定為處於一狀態,使得隱藏區域11-2不可藉由(例如)用外部位址進行解碼而選擇。隱藏區域 11-2為僅可藉由NAND快閃記憶體中之控制電路19讀出資料的區域。
認證電路51包括(例如)上述壓縮算術電路13、偏置RNG 14、輸出模組15、亂數產生器16、置換與串連電路18,及逐位元加法電路C1。認證電路51藉由控制電路19控制。舉例而言,已藉由亂數產生器16產生之亂數根據控制電路19之控制用於認證處理中之秘密金鑰或詢問(challenge)資料的產生,且在必要時經由資料輸入/輸出端子55將亂數傳輸至外部主機裝置20。
位元線控制電路52經由位元線讀出記憶體胞陣列11中之記憶體胞的資料,且經由位元線偵測記憶體胞陣列11中之記憶體胞的狀態。此外,位元線控制電路52經由位元線向記憶體胞陣列11中之記憶體胞施加寫入控制電壓,藉此將資料寫入至記憶體胞中。
在位元線控制電路52中,提供諸如頁緩衝器(未圖示)之資料記憶體電路12,且此資料記憶體電路藉由行解碼器53加以選擇。經由資料輸入/輸出緩衝器54將記憶體胞之已讀出至資料記憶體電路的資料自資料輸出/輸出端子55輸出至外部。
資料輸入/輸出端子55連接至(例如)外部主機裝置。資料輸入/輸出端子55具有為(例如)8位元或16位元之匯流排寬度。NAND快閃記憶體可支援諸如切換模式介面的高速介面標準。在切換模式介面中,例如,經由資料輸入/輸出端子55與資料選通信號(DQS)之上升邊緣及下降邊緣同步 地履行資料轉送。
主機裝置20係(例如)微電腦,且接收自資料輸入/輸出端子55輸出的資料。主機裝置20輸出用於控制NAND快閃記憶體10之操作、位址ADD及資料DT的各種命令CMD(寫入命令、讀取命令、抹除命令、狀態讀取命令等)。已自主機裝置輸入至資料輸入/輸出端子55的寫入資料DT經由資料輸入/輸出緩衝器54供應至由行解碼器53選擇的資料記憶體電路(未圖示)。另一方面,命令CMD及位址ADD供應至控制電路19。
字線驅動電路56在控制電路19之控制下選擇記憶體胞陣列11中的字線,且將對於資料讀取、寫入或抹除為必要的電壓施加至所選擇字線。
電壓產生電路59在控制電路19之控制下供應對於展示於圖中之所連接結構電路之操作為必要的電壓。舉例而言,電壓產生電路59使供應自主機裝置之外部電壓升壓,且產生在資料讀取、寫入或抹除時施加至字線的電壓。
控制電路(控制器)19將必要之控制信號及控制電壓遞送至各別所連接電路,藉此控制NAND快閃記憶體10之整體操作。控制電路19連接至記憶體胞陣列11、認證電路51、位元線控制電路52、行解碼器53、資料輸入/輸出緩衝器54、字線驅動電路56及電壓產生電路59。所連接之結構電路由控制電路19控制。
控制電路19連接至控制信號輸入端子58,且藉由經由控制信號輸入端子58自主機裝置輸入的諸如以下各者之控制 信號的組合來控制:WE(寫入致能)信號、RE(讀取致能)信號、ALE(位址鎖存致能)信號,及CLE(命令鎖存致能)信號。
在功能方面,字線驅動電路56、位元線控制電路52、行解碼器53及控制電路19構成資料寫入電路、資料讀取電路及資料抹除電路。主機裝置藉由監視RY/BY(就緒/繁忙)信號輸出端子(未圖示)來偵測NAND快閃記憶體是否正執行內部操作,諸如寫入操作、讀取操作或抹除操作。控制電路19經由RY/BY信號輸出端子輸出RY/BY信號。
<區塊之結構實例>
接下來,參看圖42,描述構成記憶體胞陣列之區塊的結構實例。藉由實例來描述圖41中之區塊「區塊1」。在此實例中,由於區塊「區塊1」中之記憶體胞經分批抹除,所以此區塊係資料抹除單位。
區塊「區塊1」包含在字線方向(WL方向)上配置之複數個記憶體胞單元MU。記憶體胞單元MU包含:NAND串(記憶體胞串),其在與WL方向交叉之位元線方向(BL方向)上配置,且由具有串行連接之電流路徑的8個記憶體胞MC0至MC7構成;源極側選擇電晶體S1,其連接至NAND串之電流路徑的一末端;及一汲極側選擇電晶體S2,其連接至NAND串之電流路徑的另一末端。
在本實施例中,記憶體胞單元MU包含8個記憶體胞MC0至MC7。然而,記憶體胞之數目並不限於8,且可為兩個或兩個以上,例如56或32。
源極側選擇電晶體S1之電流路徑的另一末端連接至源極線SL。汲極側選擇電晶體S2之電流路徑的另一末端連接至位元線BLm-1,該位元線BLm-1提供於記憶體胞單元MU之與每一記憶體胞單元MU關聯的上側上,且在BL方向上延伸。
字線WL0至WL7在WL方向上延伸,且在WL方向上共同連接至複數個記憶體胞之控制電極。選擇閘極線SGS在WL方向上延伸,且在WL方向上共同連接至複數個選擇電晶體S1。類似地,選擇閘極線SGD在WL方向上延伸,且在WL方向上共同連接至複數個選擇電晶體S2。
呈現與字線WL0至WL7中之每一者相關聯的頁。舉例而言,如藉由圖42中之虛線所指示,呈現與字線WL7關聯的頁7。由於以頁為單位執行將稍後描述之資料讀取操作及資料寫入操作,所以頁為資料讀取單位及資料寫入單位。
<單位準記憶體胞(SLC:單位準記憶胞)之臨限值分佈>
接下來,參看圖43,描述單位準記憶體胞(SLC:單位準記憶胞)之臨限值分佈。
在單位準記憶體胞之臨限值分佈(Vth分佈)中,在將資料記錄於記憶體胞中之後,展現如圖43中所說明之「1」、「0」的分佈。在此實例中,「1」分配給抹除狀態,且「0」分配給寫入狀態(經程式化狀態)。
在資料寫入操作及資料抹除操作時,在施加寫入電壓或抹除電壓之後,執行驗證操作以檢查每一記憶體胞之臨限值電壓,且再次執行資料寫入或連續地控制尚未達到目標 位準之記憶胞中的資料抹除操作。因此,用於判定驗證操作是否已完成之驗證位準提供於「1」及「0」的分佈中。
在控制實例中,在資料寫入操作中,控制電路(控制器)19組合地增大施加至控制閘之電壓,增大電壓施加時間且增大電壓施加之次數,藉此將每一記憶體胞之臨限電壓設定為目標位準。又,在資料抹除操作中,控制電路(控制器)19組合地增大施加至半導體基板中之p型井(Pwell)之電壓,增大電壓施加時間且增大電壓施加之次數,藉此將每一記憶體胞之臨限電壓設定為目標位準。以此方式,如圖43中所展示,經程式化之資料具有「1」及「0」的預定分佈寬度。
在資料讀取中,讀取電壓(讀取位準之臨限值)設定於「0」分佈與「1」分佈之間的中間點處。藉此,判定每一記憶體胞保持何資料。具體而言,當讀取電壓施加至控制閘CG時,若記憶體胞MC設定為處於接通狀態,則判定「1」,且若記憶體胞MC保持於關斷狀態,則判定「0」。
與尚未執行驗證操作之狀況相比較,臨限值分佈在已執行驗證操作的狀況下變為較狹窄的。此情形之原因在於,藉由寫入電壓之一次施加而注入之電子的量在記憶體胞之間變化,且存在較早經程式化之記憶體胞及較遲經程式化的記憶體胞。因此,每當寫入電壓施加時檢查每一記憶體胞之臨限電壓。在已達到驗證位準之記憶體胞中,禁止(抑制)隨後電子注入。在尚未達到驗證位準之記憶體胞中,再次施加寫入電壓,且繼續電子注入。結果,與未執 行驗證操作之狀況相比較,臨限值分佈變得較窄。
<多位準記憶體胞(MLC:多位準記憶胞)之臨限值分佈>
接下來,參看圖44,描述多位準記憶體胞(MLC:多位準記憶胞)之臨限值分佈。
在多位準記憶體胞中,精細地控制經程式化狀態下的電子注入量。藉此,例如,當兩個位元儲存於一記憶體胞中時,形成四個臨限值分佈。當三個位元儲存於一記憶體胞中時,形成八個臨限值分佈。
在所說明實例中,在多位準記憶體胞之臨限值分佈(Vth分佈)中,將兩位元資料記錄於一記憶體胞中。因此,如圖44中所展示,「11」、「01」、「00」及「10」以自較低臨限電壓側起之次序分配給四個臨限值分佈。為了方便,在一些狀況下,以自較低臨限電壓側起之次序將四個臨限值分佈稱為「E」位準、「A」位準、「B」位準及「C」位準。
又,在多位準記憶體胞之資料寫入的狀況下,類似於單位準記憶體胞之資料寫入的狀況,以達到目標臨限電壓之方式適當地控制寫入操作。此外,驗證位準類似地提供於「11」、「01」、「00」及「10」分佈中的每一者中。
在多位準記憶體胞之資料讀取時,讀取電壓TH1、TH2及TH3設定於各別分佈之中間點處。藉此,判定「11」、「01」、「00」及「10」中之何資料儲存於每一記憶體胞中。
在許多狀況下,可根據位元為TH2抑或更大而加以辨識 的位元(亦即,圖中之MSB位元)及可根據位元為TH1或更大及TH3或更小而加以辨識的位元(亦即,圖中之LSB位元)指派給不同頁,且將此等頁稱作(例如)「下頁」及「上頁」。具體而言,並不藉由同時使用TH1、TH2及TH3來讀取一頁。當讀取下頁時,使用TH2;且當讀取上頁時,使用TH1及TH3。
雖然已描述了某些實施例,但此等實施例僅藉由實例來呈現,且並非意欲限制本發明的範疇。實際上,本文中所描述之新穎實施例可以多種其他形式來體現;此外,可進行本文中所描述之實施例之形式上的各種省略、取代及改變而不偏離本發明之精神。隨附申請專利範圍及其等效物意欲涵蓋如在本發明之範疇及精神內的此等形式或修改。
10‧‧‧被認證元件/NAND快閃記憶體/NAND晶片
11-1‧‧‧ROM區域
11-1B‧‧‧ROM區域
11‧‧‧記憶胞陣列
11-2‧‧‧隱藏區域
11-2A‧‧‧資訊片段
11-2B‧‧‧隱藏區域/資訊片段
11-2C‧‧‧資訊片段
11-3‧‧‧使用者區域
12‧‧‧資料快取記憶體
12-0‧‧‧檢查總和與選擇模組
12-0B‧‧‧檢查總和與選擇模組
12A‧‧‧資料快取記憶體
12B‧‧‧資料快取記憶體
13‧‧‧壓縮算術電路
14‧‧‧偏置RNG
15‧‧‧輸出模組
16‧‧‧亂數產生器
17‧‧‧亂數產生器
18‧‧‧置換與串連電路
19‧‧‧控制電路/控制器
20‧‧‧認證元件/主機裝置
20A‧‧‧記錄主機(記錄裝置)
20B‧‧‧播放主機(播放裝置)
21‧‧‧校正處理模組
21A‧‧‧校正處理模組
21B‧‧‧校正處理模組
22‧‧‧解密模組
22B‧‧‧解密模組
23‧‧‧金鑰保持模組
23B‧‧‧金鑰保持模組
24‧‧‧秘密資訊XY序列
25‧‧‧資料暫時儲存模組/資料快取記憶體
25B‧‧‧資料儲存模組
26‧‧‧壓縮算術電路
27‧‧‧亂數產生器
29‧‧‧置換與串連電路
30‧‧‧判定模組
31‧‧‧多數檢查模組/SD介面
32‧‧‧MPU
33‧‧‧ROM(唯讀記憶體)
34‧‧‧RAM(隨機存取記憶體)
35‧‧‧NAND介面
36‧‧‧暫存器
51‧‧‧認證電路
52‧‧‧位元線控制電路
53‧‧‧行解碼器
54‧‧‧資料輸入/輸出緩衝器
55‧‧‧資料輸入/輸出端子
56‧‧‧字線驅動電路
58‧‧‧控制信號輸入端子
59‧‧‧電力產生電路
80‧‧‧金鑰序列資訊
80A‧‧‧經加密之插槽金鑰
81‧‧‧XYE矩陣
81A‧‧‧經加密之XY矩陣
81B‧‧‧XYE/經加密之XYsub矩陣
82‧‧‧XY矩陣
82A‧‧‧XY矩陣
82B‧‧‧XYsub
83‧‧‧裝置索引
84‧‧‧剖析與選擇模組
85‧‧‧對應於裝置索引之插槽金鑰
86‧‧‧濾波器與解密模組
87‧‧‧插槽索引序列
88‧‧‧濾波與多數檢查模組
89H‧‧‧裝置ID
89M‧‧‧記憶體ID
90H‧‧‧裝置唯一XY
90M‧‧‧XY/XY值
91‧‧‧單向函數處理模組
92H‧‧‧非線性處理模組
92M‧‧‧非線性處理模組
93‧‧‧檢查總和與選擇模組
95‧‧‧錯誤校正模組
96‧‧‧密碼盒
97-1至97-n‧‧‧S盒及置換模組
98-1至98-n‧‧‧更新處理模組
211‧‧‧軟體
212‧‧‧檔案系統
213‧‧‧SD介面
ADD‧‧‧位址
ALE‧‧‧位址鎖存致能信號
BLm-1‧‧‧位元線
C‧‧‧資料
C1‧‧‧逐位元加法電路
C2‧‧‧逐位元加法模組
C3‧‧‧加法模組
C8‧‧‧互斥或電路
C9-0至C9-n‧‧‧互斥或電路
CLE‧‧‧命令鎖存致能信號
CMD‧‧‧命令
DT‧‧‧資料
MC0至MC7‧‧‧記憶體胞
MU‧‧‧記憶體胞單元
RE‧‧‧讀取致能信號
S1‧‧‧源極側選擇電晶體
S2‧‧‧汲極側選擇電晶體
SGD‧‧‧選擇閘極線
SGS‧‧‧選擇閘極線
SL‧‧‧源極線
TH1‧‧‧讀取電壓
TH2‧‧‧讀取電壓
TH3‧‧‧讀取電壓
WE‧‧‧寫入致能信號
WL0至WL7‧‧‧字線
圖1為展示根據比較性實例1之協定的方塊圖;圖2為展示根據比較性實例2之協定的方塊圖;圖3為展示根據第一實施例之結構實例的方塊圖;圖4為說明根據第一實施例之認證流程的流程圖;圖5為展示根據第二實施例之結構實例的方塊圖;圖6為說明根據第二實施例之認證流程的流程圖;圖7為展示根據第三實施例之結構實例的方塊圖;圖8為說明根據第三實施例之認證流程的流程圖;圖9為展示第三實施例中之秘密資訊之資料轉送的方塊圖;圖10為展示根據第四實施例之結構實例的方塊圖; 圖11為說明根據第四實施例之認證流程的流程圖;圖12為展示根據第五實施例之結構實例的方塊圖;圖13為說明根據第五實施例之認證流程的流程圖;圖14為展示根據第六實施例之結構實例的方塊圖;圖15為說明根據第六實施例之認證流程的流程圖;圖16為展示根據第七實施例之結構實例的方塊圖;圖17為說明根據第七實施例之認證流程的流程圖;圖18為展示根據第八實施例之結構實例的方塊圖;圖19展示根據第八實施例之矩陣資料的結構實例;圖20說明使用根據第八實施例之矩陣資料的方法;圖21說明根據第八實施例之金鑰序列資訊之資料遞送的實例;圖22A為說明根據第八實施例之認證流程的流程圖;圖22B展示在第八實施例及第二實施例之狀況下時間與秘密容許度之間的關係;圖23為展示根據第九實施例之結構實例的方塊圖;圖24展示根據第九實施例之矩陣資料的結構實例(1);圖25展示根據第九實施例之矩陣資料的結構實例(2);圖26展示根據第九實施例之矩陣資料的結構實例(3);圖27為說明根據第九實施例之認證流程的流程圖;圖28為展示根據第十實施例之結構實例的方塊圖;圖29為展示圖28中之單向函數之結構實例的方塊圖;圖30為展示圖29中之密碼盒之結構實例的方塊圖;圖31為說明根據第十實施例之認證流程的流程圖; 圖32為說明根據第十一實施例之ID擷取處理(1)的方塊圖;圖33為說明根據第十一實施例之ID擷取處理(2)的方塊圖;圖34為說明根據第十一實施例之ID擷取處理(3)的方塊圖;圖35為說明根據第十一實施例之ID擷取處理(4)的方塊圖;圖36為說明根據第十二實施例之ID繫結處理(1)的方塊圖;圖37為說明根據第十二實施例之ID繫結處理(2)的方塊圖;圖38為展示根據第十三實施例之結構實例的方塊圖;圖39為展示根據第十四實施例之結構實例的方塊圖;圖40為展示根據第十五實施例之結構實例的方塊圖;圖41為展示根據第十六實施例之NAND快閃記憶體之結構實例的方塊圖;圖42為展示圖41中之區塊的等效電路圖;圖43展示單位準記憶體胞(SLC)之臨限值分佈;及圖44展示多位準記憶體胞(MLC)之臨限值分佈。

Claims (18)

  1. 一種在儲存金鑰資訊之一被認證元件與認證該被認證元件之一認證元件之間的認證方法,該金鑰資訊具有由一金鑰轉換記錄、具有一矩陣形式之秘密資訊XY及藉由加密該秘密資訊XY而產生之秘密資訊XYE構成的一資料結構,該方法包含:藉由該認證元件自接收自該被認證元件之該金鑰資訊選擇對應於該認證元件之一裝置索引的一記錄,及藉由一裝置金鑰解密該記錄,藉此取得一金鑰轉換;及藉由使用該對應金鑰轉換且共用該秘密資訊XY來藉由該認證元件對該秘密資訊XYE執行一解密處理,該秘密資訊XYE係接收自該被認證元件。
  2. 如請求項1之方法,其進一步包含:藉由該被認證元件接收藉由該認證元件產生的一亂數B;藉由該被認證元件產生一亂數A及資料v(v具有1之一發生機率η(η<0.5));藉由該被認證元件產生一亂數D,該亂數D由該所產生之亂數A與該接收到的亂數B之至少一部分構成;及藉由該被認證元件藉由關於該亂數D之至少一部分及該秘密資訊XY執行一壓縮操作而產生資料C。
  3. 如請求項2之方法,其進一步包含:將自該資料C及該資料v獲得之一所計算結果Z傳輸至該認證元件; 藉由該認證元件產生一亂數D,該亂數D由該所產生之亂數A與該接收到的亂數B之至少一部分構成;藉由該認證元件藉由關於該亂數D之至少一部分及該秘密資訊XY執行一壓縮操作而產生資料C;及藉由使用該接收到之所計算結果Z及該所產生的資料C藉由該認證元件執行一判定處理。
  4. 一種被認證元件,其包含:一記憶體,其經組態以儲存具有一資料結構之金鑰資訊,該資料結構由一金鑰轉換記錄、具有一矩陣形式之秘密資訊XY及藉由加密該秘密資訊XY而產生之秘密資訊XYE構成;一產生模組,其經組態以產生一亂數A;一產生模組,其經組態以產生一亂數D,該亂數D由該所產生之亂數A及接收到之一亂數B的至少一部分構成;一計算模組,其經組態以藉由關於該亂數D及自該記憶體載入之該秘密資訊XY執行一壓縮操作而產生資料C;一產生模組,其經組態以產生資料v(v具有1之一發生機率η(η<0.5));及一逐位元加法模組,其經組態以自該資料v及該資料C計算一結果Z。
  5. 如請求項4之被認證元件,其中具有該具該矩陣形式之資料結構的該秘密資訊XY由秘密資訊XYmain及XYsub構成,且 具有該具該矩陣形式之資料結構的該經加密之秘密資訊XYE由XYmainE及XYsubE構成(資料大小:XYsub<XYmain,XYsubE<XYmainE)。
  6. 如請求項5之被認證元件,其中該秘密資訊XYmain在包含複數個該等被認證元件之一群組中為相同的,且該秘密資訊XYsub在該等被認證元件之間係不同的。
  7. 一種認證一被認證元件之認證元件,該被認證元件儲存具有一資料結構之金鑰資訊,該資料結構由一金鑰轉換記錄、具有一矩陣形式之秘密資訊XY及藉由加密該秘密資訊XY而產生之秘密資訊XYE構成,該認證元件包含:一剖析與選擇模組,其經組態以自接收自該被認證元件之該金鑰資訊選擇對應於該認證元件之一裝置索引的一記錄;一解密模組,其經組態以藉由一裝置金鑰解密該記錄,藉此取得一金鑰轉換;一濾波與解密模組,其經組態以藉由使用該對應金鑰轉換對接收自該被認證元件之該秘密資訊XYE執行一解密處理且共用該秘密資訊XY;一產生模組,其經組態以產生一亂數B;一產生模組,其經組態以產生一亂數D,該亂數D由該所產生之亂數B及接收自該被認證元件之一亂數A的至少一部分構成;一計算模組,其經組態以藉由關於該亂數D之至少一部分及該秘密資訊XY執行一壓縮操作而產生資料C; 一檢查模組,其經組態以自接收自該被認證元件之計算結果選擇對應於該記錄中之一索引的一計算結果Z;及一判定模組,其經組態以藉由使用該所產生之資料C及該所選擇之計算結果Z執行一判定處理。
  8. 如請求項7之認證元件,其中具有該具該矩陣形式之資料結構的該秘密資訊XY由秘密資訊XYmain及XYsub構成,且具有該具該矩陣形式之資料結構的該經加密之秘密資訊XYE由XYmainE及XYsubE構成(資料大小:XYsub<XYmain,XYsubE<XYmainE)。
  9. 如請求項8之認證元件,其中該秘密資訊XYmain在包含複數個該等被認證元件之一群組中為相同的,且該秘密資訊XYsub在該等被認證元件之間係不同的。
  10. 一種在儲存一被認證元件ID及秘密資訊XY之一被認證元件與儲存一認證元件ID及唯一秘密資訊「唯一XY」之一認證元件之間的認證方法,其包含:藉由該被認證元件將經請求之該被認證元件ID傳輸至該認證元件;藉由該認證元件對已獲取之該被認證元件ID及由該認證元件擁有之該唯一秘密資訊「唯一XY」執行一非線性處理,藉此獲得一唯一值(記憶體及裝置之唯一XY);及藉由該被認證元件對已傳輸之該認證元件ID及由該被認證元件擁有之該秘密資訊XY執行一單向函數處理,藉此共用該秘密資訊「唯一XY」。
  11. 如請求項10之方法,其進一步包含:藉由該被認證元件對由該被認證元件擁有之該被認證元件ID及經共用之該秘密資訊XY執行一非線性處理,藉此獲得一唯一值(記憶體及裝置之唯一XY)。
  12. 如請求項11之方法,其進一步包含:藉由該被認證元件接收由該認證元件產生的一亂數B;藉由該被認證元件產生一亂數A及資料v(v具有1之一發生機率η(η<0.5));藉由該被認證元件產生一亂數D,該亂數D由該所產生之亂數A與該接收到的亂數B之至少一部分構成;藉由該被認證元件藉由關於該亂數D之至少一部分及該唯一值(記憶體及裝置之唯一XY)執行一壓縮操作而產生資料C;將自該資料C及該資料v獲得之一計算結果Z傳輸至該認證元件;藉由該認證元件產生一亂數D,該亂數D由該所產生之亂數A與該接收到的亂數B之至少一部分構成;藉由該認證元件藉由關於該亂數D之至少一部分及該唯一值(記憶體及裝置之唯一XY)執行一壓縮操作而產生資料C;及藉由使用該接收到之計算結果Z及該所產生的資料C藉由該認證元件執行一判定處理。
  13. 一種被認證元件,其包含: 一記憶體,其經組態以儲存一被認證元件ID及秘密資訊XY;一單向函數處理模組,其經組態以對發送自一認證元件之一認證元件ID及由該被認證元件擁有的該秘密資訊XY執行一單向函數處理,藉此輸出唯一秘密資訊XY;及一非線性處理模組,其經組態以對該被認證元件ID及該唯一秘密資訊「唯一XY」執行一非線性處理,藉此與該認證元件共用一唯一值(記憶體及裝置之唯一XY)。
  14. 如請求項13之被認證元件,其中該單向函數處理模組包括:一密碼盒,其經組態以藉由使用一裝置金鑰Key來對一輸入執行一密碼分析處理;及一互斥或電路,其經組態以在該輸入與該密碼盒之一輸出之間執行一互斥或處理。
  15. 如請求項13之被認證元件,其進一步包含一計算電路,該計算電路經組態以關於該非線性處理模組之一輸出執行一預定運算。
  16. 一種認證元件,其包含:一認證元件ID及唯一秘密資訊「唯一XY」;及一非線性處理模組,其經組態以對自一被認證元件獲取之一被認證元件ID及由該認證元件擁有的該唯一秘密資訊「唯一XY」執行一非線性處理,藉此與該被認證元件共用一唯一值(記憶體及裝置之唯一XY)。
  17. 如請求項16之認證元件,其進一步包含一計算電路,該 計算電路經組態以關於該非線性處理模組之一輸出執行一預定運算。
  18. 如請求項16之認證元件,其進一步包含一錯誤校正模組,該錯誤校正模組經組態以對該被認證元件ID執行一錯誤校正處理,且向該非線性處理模組輸出一輸出。
TW101106094A 2011-06-17 2012-02-23 認證元件、被認證元件、及認證方法 TWI491239B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011135644A JP2013005293A (ja) 2011-06-17 2011-06-17 認証コンポーネント、被認証コンポーネントおよびその認証方法

Publications (2)

Publication Number Publication Date
TW201301838A true TW201301838A (zh) 2013-01-01
TWI491239B TWI491239B (zh) 2015-07-01

Family

ID=45976989

Family Applications (1)

Application Number Title Priority Date Filing Date
TW101106094A TWI491239B (zh) 2011-06-17 2012-02-23 認證元件、被認證元件、及認證方法

Country Status (7)

Country Link
US (1) US9544138B2 (zh)
EP (1) EP2721767A2 (zh)
JP (1) JP2013005293A (zh)
KR (1) KR20130129431A (zh)
CN (1) CN103404077A (zh)
TW (1) TWI491239B (zh)
WO (1) WO2012172832A2 (zh)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012227901A (ja) * 2011-04-22 2012-11-15 Toshiba Corp 認証コンポーネント、被認証コンポーネントおよびその認証方法
US8661527B2 (en) 2011-08-31 2014-02-25 Kabushiki Kaisha Toshiba Authenticator, authenticatee and authentication method
US9124432B2 (en) 2012-05-25 2015-09-01 Kabushiki Kaisha Toshiba Host device and authentication method for host device
US10223688B2 (en) 2012-09-24 2019-03-05 Samsung Electronics Co., Ltd. Competing mobile payment offers
US20140279566A1 (en) * 2013-03-15 2014-09-18 Samsung Electronics Co., Ltd. Secure mobile payment using media binding
KR101489686B1 (ko) * 2013-08-13 2015-02-04 고려대학교 산학협력단 차량용 네트워크의 전자제어장치간 인증 방법
US20150244520A1 (en) * 2014-02-21 2015-08-27 Safe Frontier Llc One-time-pad data encryption with media server
CN104301104B (zh) * 2014-06-20 2019-05-10 齐亚斌 一种数字证书签名的方法和系统
US9578004B2 (en) * 2014-09-12 2017-02-21 Ca, Inc. Authentication of API-based endpoints
US10355862B2 (en) * 2014-10-23 2019-07-16 Nec Corporation MAC tag list generating apparatus, MAC tag list verifying apparatus, MAC tag list generating method, MAC tag list verifying method and program recording medium
WO2016141029A1 (en) * 2015-03-03 2016-09-09 Wonderhealth, Llc. Access control for encrypted data in machine-readable identifiers
TWI625733B (zh) * 2017-02-22 2018-06-01 旺宏電子股份有限公司 產生積體電路固有資訊的裝置及方法
US10291594B2 (en) 2017-08-31 2019-05-14 Fmr Llc Systems and methods for data encryption and decryption
CN107908574B (zh) * 2017-11-22 2021-09-10 深圳华中科技大学研究院 固态盘数据存储的安全保护方法
EP3750273A1 (en) * 2018-02-06 2020-12-16 Sony Corporation Information processing device, information processing method, and program
US11496314B2 (en) * 2019-12-18 2022-11-08 Intel Corporation Integrity protected command buffer execution

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5450491A (en) * 1993-08-26 1995-09-12 At&T Corp. Authenticator card and system
US6704489B1 (en) * 1999-05-06 2004-03-09 Matsushita Electric Industrial Co., Ltd. Resource management system and digital video reproducing/recording apparatus
JP4011792B2 (ja) 1999-06-16 2007-11-21 株式会社東芝 記録方法、再生方法、記録装置、再生装置及び記録媒体
US6934389B2 (en) * 2001-03-02 2005-08-23 Ati International Srl Method and apparatus for providing bus-encrypted copy protection key to an unsecured bus
US7143443B2 (en) * 2001-10-01 2006-11-28 Ntt Docomo, Inc. Secure sharing of personal devices among different users
US7095856B2 (en) * 2002-03-29 2006-08-22 Motorola, Inc. Method and apparatus to maintain encryption synchronization in a multi-modulation TDM system
US20040086121A1 (en) * 2002-10-31 2004-05-06 Sensis Corporation Secure automatic dependant surveillance
JP4692826B2 (ja) * 2003-07-28 2011-06-01 ソニー株式会社 情報処理装置および方法、記録媒体、並びにプログラム
US8140675B2 (en) * 2004-01-15 2012-03-20 Panasonic Corporation Content reproduction apparatus
WO2005121972A1 (en) * 2004-06-14 2005-12-22 Research In Motion Limited Method and system for securing data utilizing redundant secure key storage
JP2006201895A (ja) 2005-01-19 2006-08-03 Fujitsu Ltd 認証鍵および認証装置
US7620385B2 (en) * 2005-06-27 2009-11-17 Motorola, Inc. System and method for enhanced secret mode
FR2893165B1 (fr) * 2005-11-08 2008-01-25 Sagem Defense Securite Identification d'etiquette radiofrequence
US20080013721A1 (en) 2005-11-30 2008-01-17 Jing-Jang Hwang Asymmetric cryptography with discretionary private key
JP4994814B2 (ja) * 2006-12-05 2012-08-08 キヤノン株式会社 画像処理装置及びその制御方法
FR2916594A1 (fr) * 2007-05-23 2008-11-28 France Telecom Procede d'authentification d'une entite par une entite verificatrice
US8200985B2 (en) * 2007-09-20 2012-06-12 Broadcom Corporation Method and system for protecting data
EP2193626B1 (fr) 2007-09-26 2018-12-26 Orange Communication securisee entre une etiquette electronique et un lecteur
CN101946552B (zh) * 2008-02-27 2016-06-15 日本电信电话株式会社 无线通信方法、基站装置及无线通信系统
US8595504B2 (en) 2008-08-12 2013-11-26 Industrial Technology Research Institute Light weight authentication and secret retrieval
US8230219B2 (en) * 2008-08-12 2012-07-24 Texas Instruments Incorporated Reduced computation for bit-by-bit password verification in mutual authentication
US20100122082A1 (en) * 2008-10-08 2010-05-13 Leiwen Deng User identity validation system and method
US20100153731A1 (en) * 2008-12-17 2010-06-17 Information And Communications University Lightweight Authentication Method, System, and Key Exchange Protocol For Low-Cost Electronic Devices
US20100153719A1 (en) * 2008-12-17 2010-06-17 Information And Communications University Lightweight Authentication Method and System for Low-Cost Devices Without Pseudorandom Number Generator
US20100235626A1 (en) * 2009-03-10 2010-09-16 Kwon Eun Jung Apparatus and method for mutual authentication in downloadable conditional access system
CN101882197B (zh) * 2010-05-31 2012-07-04 北京航空航天大学 一种基于分级密钥的rfid询问-应答安全认证方法

Also Published As

Publication number Publication date
KR20130129431A (ko) 2013-11-28
CN103404077A (zh) 2013-11-20
US20140289526A1 (en) 2014-09-25
US9544138B2 (en) 2017-01-10
EP2721767A2 (en) 2014-04-23
JP2013005293A (ja) 2013-01-07
WO2012172832A2 (en) 2012-12-20
WO2012172832A3 (en) 2013-05-23
TWI491239B (zh) 2015-07-01

Similar Documents

Publication Publication Date Title
TWI491239B (zh) 認證元件、被認證元件、及認證方法
KR101540875B1 (ko) 의사-난수 생성용 반도체 메모리 장치
CN103348625B (zh) 认证者、被认证者和认证方法
KR101494991B1 (ko) 인증자, 피인증자 및 인증 방법
KR101494990B1 (ko) 인증자, 피인증자 및 인증 방법

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees