WO2008056612A1 - Appareil de sécurité d'informations - Google Patents

Description

明 細 書

情報セキュリティ装置

技術分野

[0001] 本発明は、認証や暗号を実現するシステムに関するものであり、暗号処理で用いる 鍵などの秘密データや、機器固有の IDデータを解析力 保護された形でセキュアに 実装する情報セキュリティ装置に関する。

背景技術

[0002] 近年、デジタルコンテンツの著作権保護やネット上の通信データの秘匿を目的とし て、各種民生機器などで喑号処理を行うケースが多くなつてきた。喑号処理において は、その処理に用いる鍵や IDデータを機器内に蓄積する必要があり、著作権保護シ ステムや秘話通信システムの安全性は、前記鍵や IDデータの秘匿性に大きく依存す る。従って、そういった秘密データを、機器外部からの解析から保護された形でセキ ユアに蓄積する必要がある。

[0003] 秘密データをセキュアに蓄積する典型的な従来方法としては、耐タンパ一性の高 いハードウェアチップ (耐タンパ一チップ）内に蓄積する方法や、耐タンパ一が施され たソフトウェアプログラム内に埋め込むような方法があった。しかし、前者の方法では 、秘密データの高い秘匿性は実現できるものの特殊な専用チップが必要となるため コストが高くなるという問題があり、後者の方法では、一般的には余り高い秘匿性は実 現できず、時間をかけて解析を行うことで秘密データが露呈してしまう可能性があつ た。

[0004] 耐タンパ一チップのような特殊なハードウェアを必要とせず、秘密データの高い秘 匿性を実現可能な方法として、 PUF (Physically Uncloanable Function)と呼 ばれる技術がある。 PUFとは、デバイスの物理的な特性を利用して、物理的な解析 に対しても耐性があるような秘密データの蓄積方法である。 PUFの具体的な方法は 、各種がある力 中でも特許文献 1に開示の Silicon PUFと呼ばれる方法は、製造 に特殊な環境や設備を必要としないことから、安価な製造コストで高い耐タンパ一性 を実現でき、低コスト性が要求される民生機器などに特に適した方法といえる。 [0005] (Silicon PUFの概要）

図 1は、従来の Silicon PUFを実現する回路の構成を示した図である。図 1にお いて、 PUF回路 2000は、トリガ信号を入力すると、 1ビットの秘密データを出力する 回路である。

[0006] PUF回路 2000は、 8個のリングオシレータ（第 1リングオシレータ 2001〜第 8リング オシレータ 2008)と、入力データに基づいて前記 8個のリングオシレータのうちから 1 個を選択するリングオシレータ選択部（第 1リングオシレータ選択部 2011及び第 2リ ングオシレータ選択部 2012)と、前記リングオシレータ選択部が選択したリングオシ レータの発振周波数をカウントする周波数カウント部（第 1周波数カウント部 2021及 び第 2周波数カウント部 2022)と、カウントした周波数を元に PUF回路 2000の出力 ビットを決定する出力ビット決定部 2030とからなる。以下、 PUF回路 2000の動作を 説明する。

[0007] まず、リングオシレータ選択部 2011、 2012はそれぞれ、 8個のリングオシレータ 20 0；!〜 2008の中から予め決定した 1個をそれぞれ選択する。次に、前記リングオシレ ータ 200；!〜 2008にトリガ信号が入力され、リングオシレータは発振動作を開始する 。周波数カクン卜咅 2021、 2022 (ま、前記ジング才シレータ選択咅 2011、 2012カ¾1 択したリングオシレータからの出力信号をそれぞれ計測して、リングオシレータの発 振周波数を計測する。そして、出力ビット決定部 2030は、前記計測した 2つの発振 周波数を比較し、その大小関係によって、 PUF回路 2000の出力ビットを決定する。

[0008] 上記一連の動作により、 PUF回路 2000にトリガ信号を入力すると、 PUF回路 200 0の内部で出力ビットが 1ビットだけ決定され出力される。 8個のリングオシレータ 200 ；!〜 2008は、リングオシレータの段数などの回路構成は同一である力 S、製造プロセス において遅延時間など物理的な特性に若干であるがバラつきが生じる。それにより、 各リングオシレータの発振周波数は、少しずつ異なった値となる。その異なり方は、 P UF回路を製造する際に予測不可能な形で決まり、かつ、 PUF回路ごとに違ってくる 。このような発振周波数により出力ビットが異なる。また、入力データに対する出力ビ ットの対応関係は、 PUF回路内の各リングオシレータの発振周波数を計測することで 解析すること力 Sできる。しかし、 PUF回路に対して、例えばブロービングなどで、外部 から発振周波数による解析操作を行うと、リングオシレータの物理特性が変化して、 出力ビット計算時と同じ発振周波数を計測することができないので、外部からの解析 により、入力データに対する出力ビットの対応関係を調べることは困難である。また、 PUF回路は、リングオシレータ、周波数カウンタ、比較器などの組み合わせ回路によ つて実現できるため、特殊な製造環境や設備を必要とせず、通常の LSI製造環境- 設備を用いて安価に製造することが可能である。

[0009] (Silicon PUFの課題）

上記のとおり、 Silicon PUFの技術により、安価なコストによって、解析困難な形で チップごとに異なった入出力関係を有する関数を実装することが可能となったが、以 下のような課題もある。 PUF回路の出力ビットは、入力データに基づいて選択された リングオシレータの発振周波数の大小関係で決定される。先ほど説明したとおり、回 路製造時の遅延時間などの物理特性のバラつきによって、リングオシレータの発信 周波数にバラつきが生じる力 周波数の差がわず力、しかない二つのリングオシレータ 間の大小関係は、温度変化など外部の環境によって逆転してしまう恐れがある。例え ば、ある入力データによって、二つのリングオシレータ A及び Bが選択され、発振周波 数がそれぞれ 1256Hz、 1245Hzと計測されたとする。このとき、出力ビット値は、 [A の発振周波数] > [Bの発振周波数]から" 1 "と判定される。また、別のタイミングで同 じ入力データを、この PUF回路に入力すると、同じリングオシレータ A及び Bが選択さ れるカ S、このとき、先ほどよりも外部の温度が上昇したとする。その場合、リングオシレ ータの遅延時間が上昇するので、発振周波数も、それぞれ低下することになるが、そ の低下の度合いにも、リングオシレータによって若干であるがバラつきがあるので、リ ングオシレータの元もとの周波数差が僅力もかない場合には、大小関係が反転して しまう恐れがある。上記の例では、リングオシレータ Aと Bとの周波数差は、 9Hzしかな いので、温度変化によって、 [Aの発振周波数]〉 [Bの発振周波数]という大小関係 は反転してしまう恐れがある。即ち、同じ入力データに対して、場合によっては、違う 出力ビット値を出力してしまう恐れがあり、出力ビット値の安定性に課題がある。

[0010] (Slilicon PUFの改良）

上記課題に対し、従来方法では誤り訂正符号を導入し、出力値（出力ビットの値） の誤りを訂正することで安定性を向上させている。

[0011] 図 2は、従来方法における情報セキュリティ装置 3000の構成を示している。情報セ キユリティ装置 3000は、外部から入力された入力データに対し、 PUFを使用して生 成した鍵を用いた鍵付ハッシュ値を出力している。鍵付ハッシュ値は、鍵付ハッシュ 関数を用いて生成される。鍵付ハッシュ関数については、非特許文献 1の 189〜； 19 5ページに記載されている。

[0012] 情報セキュリティ装置 3000は、外部から入力データを受け付ける入力部 3001と、 鍵付ハッシュ値を出力する出力部 3002と、鍵付ハッシュ値を生成するハッシュ生成 部 3003と、 PUFを用いて鍵を生成する PUF部 3004と、誤り訂正情報に基づき、鍵 を誤り訂正し訂正後ハッシュ鍵を生成する誤り訂正部 3005と、誤り訂正情報を格納 する誤り訂正情報格納部 3006とを備える。

[0013] PUF部 3004は先の PUF回路 2000を複数、例えば、 6個備え、それぞれの PUF 回路の出力ビットを連結した 6ビットを鍵とする。

[0014] 情報セキュリティ装置 3000の動作を以下に示す。入力部 3001は外部のデータの 入力を受け付け、これにより PUF部 3004内の PUF回路 2000にトリガ信号を入力す る。 PUF回路 2000では、出力ビットを生成し、 PUF部 3004は 6つの PUF回路 200 0の出力ビットを連結したものを鍵とする。その後、誤り訂正部 3005は鍵を誤り訂正 情報を用いて訂正し訂正後ハッシュ鍵を生成する。さらにハッシュ生成部 3003は訂 正後ハッシュ鍵を用いて、入力データの鍵付ハッシュ値を生成し、出力部 3002がこ れを出力する。

[0015] 誤り訂正情報は、情報セキュリティ装置 3000の製造時に、 PUF部 3004内の PUF 回路 2000の値を計測して決定する。具体的には、 PUF部 3004の鍵を複数回計測 し、その中で最も高確率に発生する鍵の値を求め、これに対して誤り訂正情報を確 定し、誤り訂正情報格納部 3006に格納する。

特許文献 1：米国特許出願公開第 2003/0204743号明細書

非特許文献 1 :岡本龍明、山本博資、 "現代暗号"、産業図書（1997年）

発明の開示

発明が解決しょうとする課題 [0016] しかしながら、上記従来技術では、メモリ（誤り訂正情報格納部 3006)に格納された 誤り訂正情報を解析することで、誤り訂正部 3005からハッシュ生成部 3003に入力さ れる訂正後ハッシュ鍵の鍵値が求めやすくなつてしまうという問題がある。

[0017] 例えば、 3ビットごとの繰り返し符号を用いて誤り訂正する方法を考える。繰り返し符 号では、 3ビットのハミング重みを計算し、それが 1以下であれば" 0"、 2以上であれば "1"と復号化する。例えば、 "011"であれば、 "1"と復号化する。上記の PUF部 300 4の出力は 6ビットであるが、これを 2ビットごとの 3組に分割し、誤り訂正情報を、 3ビッ トの繰り返し符号の 1ビット分を 3組合わせた合計 3ビットとする。情報セキュリティ装置 3000の製造時に、 PUF部 3004の出力値を計測し、最も高確率に発生する出力値 を" 11 00 01 "であるとする。誤り訂正情報を" X Y Z" (X、 Y、 Zは 0または 1)とす る。このとき、一つ目の符号は" 1 IX"となる力 これを復号化すると" 1 "となる。ここで 誤りが起こっても正しく復号化できるように" X"を 1に設定する。同様に、 "Υ "を 0に設 定する。 "Ζ "は 0、 1のどちらに設定してもよいが、ここでは"；!"とする。そうすると、誤り 訂正情報は" 1 0 1 "であり、復号化後の値、すなわち、訂正後ハッシュ鍵は" 1 0 1 "である。したがって、誤り訂正情報と訂正後ハッシュ鍵が等しくなり、攻撃者が誤り 訂正情報を解析することで訂正後ハッシュ鍵を知ることができる。

[0018] 上記例は、極端なケースで説明して!/、る力 このような誤り訂正方法や誤り訂正情 報の設定をしない場合も、攻撃者が誤り訂正情報を用いて訂正後ハッシュ鍵の鍵値 を求めやすくなる可能性がある。鍵値が求められると、それをメモリに格納して鍵付ハ ッシュ関数に使用する PUFのシミュレータを攻撃者が作成し、それを用いた偽造が 可能になるため秘匿性が保たれなくなる。

[0019] このように、従来技術では、 PUFの安全性が低いという課題がある。

[0020] そこで本発明は、上記課題を解決するものであって、メモリに格納された情報を攻 撃者により解析されても、 PUFの安全性が低下しない情報セキュリティ装置を提供す ることを目的とする。つまり、秘密データの安定性と秘匿性を高めた情報セキュリティ 装置を提供することを目的とする。

課題を解決するための手段

[0021] 上記目的を達成するために、本発明に係る情報セキュリティ装置は、予め設定され た秘密データを出力する情報セキュリティ装置であって、予め定められた秘密データ を出力するように物理特性を利用して設定された耐タンパ一性を有する第 1の耐タン パー回路と、第 1の訂正用データを記憶している訂正用データ記憶手段と、第 2の訂 正用データを出力するように物理特性を利用して設定された耐タンパ一性を有する 第 2の耐タンパ一回路と、前記訂正用データ記憶手段に記憶されている第 1の訂正 用データと、前記第 2の耐タンパ一回路から出力される第 2の訂正用データとを用い て、誤り訂正情報を生成する訂正情報生成手段と、前記訂正情報生成手段により生 成された誤り訂正情報を用いて、前記第 1の耐タンパ一回路から出力される秘密デ ータに対して誤り訂正を行い、誤り訂正された前記秘密データを出力する誤り訂正手 段とを備えることを特徴とする。例えば、前記第 1の耐タンパ一回路に設定される秘密 データと、前記第 2の耐タンパ一回路に設定される第 2の訂正用データとは、 PUF (P hysically Unclonable Function)により設疋 れ飞いる。

[0022] これにより、秘密データの誤り訂正に直接的に用いられる誤り訂正情報は、従来の ようにメモリに格納されておらず、第 2の耐タンパ一回路を用いて生成されるため、攻 撃者に対して誤り訂正情報を見つけ難くすることができ、その結果、第 1の耐タンパ 一回路に設定された秘密データの安全性および秘匿性を高めることができる。さらに 、本発明では、周辺温度などの環境変化や経年的な要因によって第 1の耐タンパ一 回路から出力される秘密データに誤りが生じても、誤り訂正情報によってその誤りが 訂正されるため、秘密データの安定性を高めることができる。

[0023] また、前記情報セキュリティ装置は、さらに、入力データを取得する取得手段と、前 記誤り訂正手段から出力される秘密データを鍵として用い、前記鍵により前記入力デ 一タを喑号化する暗号化手段とを備えることを特徴としてもよい。

[0024] 例えば、入力データは鍵付ハッシュ値や暗号文に変換される。これにより、鍵付ハ ッシュ値や暗号文などの安全性を高めることができる。

[0025] また、前記第 1の耐タンパ一回路は、 1ビットの値を前記秘密データの少なくとも一 部として出力する 1つ以上の第 1の PUF回路を備え、前記第 2の耐タンパ一回路は、 2ビット以上の値を前記第 2の訂正用データの少なくとも一部として出力する 1つ以上 の第 2の PUF回路を備えることを特徴としてもょレ、。 [0026] 例えば、第 2の PUF回路から 1ビットの値しか出力されないような場合には、ノイズな どによってその値に誤りが生じることがある。しかし、本発明では、第 2の PUF回路は 2ビット以上の値を出力するため、そのうちの 1ビットに誤りが生じても、その誤りを容 易に訂正することができ、第 2の耐タンパ一回路から出力される第 2の訂正用データ の耐ノイズ性を向上することができる。

[0027] また、前記第 1の耐タンパ一回路は、 1つ以上の第 1の PUF回路を備え、前記第 1 の PUF回路は、発振信号を出力する N (N≥ 2)個の発振部と、前記 N個の発振部か ら M (M≤N)個の発振部を選択する選択部と、前記選択部により選択された M個の 発振部から出力される発振信号の周波数の大小関係に基づいて出力値を決定して 出力する決定部とを備え、前記選択部は、前記決定部によって決定される出力値が 前記予め定められた秘密データの少なくとも一部を示すように M個の発振部を選択 することを特徴としてもよい。具体的には、前記選択部は、前記 M個の発振部から出 力される発振信号の周波数の差分が第 1の閾値以上となるように前記 M個の発振部 を選択する。

[0028] 例えば、選択された 2つの発振部から出力される発振信号の周波数の差分が極め て小さい場合には、それらの発振部の物理特性が経年的に変化することによって、 それらの周波数の大小関係が反転してしまうことがある。しかし、本発明では、周波数 の差分が第 1の閾値以上になるように M個の発振部が選択されるため、それらの発 振部の物理特性が経年変化しても、それらの発振部から出力される発振信号の周波 数の大小関係が変化してしまうのを抑えることができる。その結果、第 1の耐タンパ一 回路から出力される秘密データに発生する誤りを抑えることができる。

[0029] また、前記情報セキュリティ装置は、さらに、前記誤り訂正手段から出力される誤り 訂正後の秘密データと、前記第 1の耐タンパ一回路から出力される秘密データとを比 較することにより、前記第 1の耐タンパ一回路から出力される秘密データに誤りが生じ たか否力、を判別する誤り判別手段と、前記誤り判別手段により誤りが生じたと判別さ れたときには、前記第 1の耐タンパ一回路に対して、前記予め定められた秘密データ の再設定を要求する再設定要求手段とを備え、前記第 1の PUF回路は、さらに、前 記再設定要求手段から再設定の要求を受け付けたときには、前記選択部による選択 を再度実行させることにより、前記予め定められた秘密データの再設定を行う再設定 を備えることを特 ί毁としてもよ!/、。

[0030] これにより、第 1の耐タンパ一回路が出力した秘密データに誤りが生じたときには、 予め定められた秘密データが第 1の耐タンパ一回路に設定し直されるため、誤り訂正 の精度を高めることができ、秘密データの安定性をさらに向上することができる。

[0031] また、前記第 1の PUF回路は、さらに、前記予め定められた秘密データの少なくとも 一部を記憶するための秘密データ用記憶部と、前記選択部が Μ個の発振部を選択 する際に、前記発振周波数の差分が前記第 1の閾値以上となるような Μ個の発振部 を選択することができないときに、前記秘密データの少なくとも一部を前記秘密デー タ用記憶部に格納する格納処理部と、前記秘密データ用記憶部に前記秘密データ の少なくとも一部が格納されているときには、前記決定部による出力値の決定を禁止 し、前記秘密データ用記憶部に格納されてレ、る前記秘密データの少なくとも一部を 出力する出力制御部とを備えることを特徴としてもよい。

[0032] Ν個の発振部の何れを選択しても、選択された Μ個の発振部から出力される発振 信号の周波数の差分が第 1の閾値未満となってしまう場合には、その第 1の PUF回 路からの出力値に誤りが生じ易くその信頼性が低くなる。したがって、本発明では、こ のような場合には、第 1の PUF回路が出力すべき、予め定められた秘密データの少 なくとも一部が秘密データ用記憶部に格納され、その秘密データの少なくとも一部が 出力されるため、第 1の耐タンパ一回路から出力される秘密データに誤りが生じるの を防ぎ、信頼性を高めることができる。

[0033] また、前記第 1の耐タンパ一回路は、複数の前記第 1の PUF回路と、前記複数の第

1の PUF回路から出力される出力値を結合することにより秘密データを生成する結合 部とを備え、前記誤り判別手段は、前記第 1の耐タンパ一回路から出力される秘密デ ータに誤りが生じたと判別するときには、さらに、前記複数の第 1の PUF回路のうち、 誤った出力値を出力する第 1の PUF回路を特定し、前記再設定要求手段は、誤った 出力値を出力していると特定された第 1の PUF回路に対して、出力値が前記予め定 められた秘密データの一部を示すように、出力値の再設定を要求することを特徴とし てもよい。 [0034] これにより、誤った出力値を出力する第 1の PUF回路が特定されて、その特定され た第 1の PUF回路の出力値が再設定されるため、予め定められた秘密データを第 1 の耐タンパ一回路に適切に設定し直すことができる。

[0035] また、前記情報セキュリティ装置は、さらに、前記誤り訂正手段から出力される誤り 訂正後の秘密データと、前記第 1の耐タンパ一回路から出力される誤り訂正前の秘 密データとを比較することにより、前記誤り訂正前の秘密データに誤りが生じたか否 かを判別する誤り判別手段と、前記誤り判別手段により誤りが生じたと判別されたとき には、前記第 1の耐タンパ一回路に対して、前記予め定められた秘密データの再設 定を要求する再設定要求手段とを備え、前記第 1の PUF回路は、さらに、前記予め 定められた秘密データの少なくとも一部を記憶するための秘密データ用記憶部と、前 記再設定要求手段から再設定の要求を受け付けたときには、前記秘密データの少な くとも一部を前記秘密データ用記憶部に格納する格納処理部と、前記秘密データ用 記憶部に前記秘密データの少なくとも一部が格納されているときには、前記決定部 による出力値の決定を禁止し、前記秘密データ用記憶部に格納されている前記秘密 データの少なくとも一部を出力する出力制御部とを備えることを特徴としてもよい。

[0036] 第 1の PUF回路が一度でも誤った出力値を出力した場合には、その第 1の PUF回 路の信頼性は疑わしい。したがって、本発明では、このような場合には、その第 1の P UF回路が出力すべき出力値である、予め定められた秘密データの少なくとも一部が 秘密データ用記憶部に格納され、その秘密データの少なくとも一部が出力されるた め、第 1の耐タンパ一回路から出力される秘密データに誤りが生じるのを防ぎ、信頼 十生を高めることができる。

[0037] また、前記第 1の PUF回路は、さらに、前記 M個の発振部から出力される発振信号 の周波数の差分が第 2の閾値未満であるか否力、を判別する差分判別部と、前記差分 判別部によって前記第 2の閾値未満であると判別されると、前記選択部による選択を 再度実行させることにより、前記予め定められた秘密データの再設定を行う再設定部 とを備えることを特 ί毁としてもよ!/、。

[0038] これにより、第 1の PUF回路から出力される出力値の誤りを未然に防ぐことができる

〇 [0039] また、前記第 1の PUF回路は、さらに、前記第 1および第 2の閾値のうちの少なくと も一方を格納している閾値格納部と、前記閾値格納部に格納されている、前記第 1 および第 2の閾値のうちの少なくとも一方を更新する更新部とを備えることを特徴とし てもよい。

[0040] これにより、予め定められた秘密データを適切なタイミングで設定し直すことができ

[0041] また、上記目的を達成するために、本発明に係るデータ生成装置は、秘密データ の誤りを訂正するための第 1の訂正用データを生成するデータ生成装置であって、 予め定められた秘密データを出力するように物理特性を利用して設定された耐タン パー性を有する第 1の耐タンパ一回路から出力される出力値を計測する第 1の計測 手段と、第 2の訂正用データを出力するように物理特性を利用して設定された耐タン パー性を有する第 2の耐タンパ一回路から出力される出力値を計測する第 2の計測 手段と、前記第 1および第 2の計測手段によって計測された出力値に基づいて、前記 第 1の訂正用データを生成するデータ生成手段と、前記データ生成手段によって生 成された前記第 1の訂正用データを記憶媒体に格納する格納処理手段とを備えるこ とを特徴とする。例えば、前記データ生成手段は、前記第 1の計測手段によって計測 された出力値と、前記秘密データの示す値との差分を算出することにより、誤り訂正 情報を生成する第 1の生成手段と、前記第 2の計測手段によって計測された出力値 と、前記誤り訂正情報の示す値との差分を算出することにより、前記第 1の訂正用デ ータを生成する第 2の生成手段とを備える。

[0042] これにより、第 2の訂正用データを用いて誤り訂正情報を生成するために必要な第 1の訂正用データを適切に生成すること力 Sできる。

[0043] なお、本発明は、このような情報セキュリティ装置およびデータ生成装置として実現 すること力 Sできるだけでなく、その装置によって行われる処理方法や、その処理方法 をコンピュータに実行させるプログラム、そのプログラムを格納する記憶媒体、集積回 路としてあ実現すること力 Sでさる。

発明の効果

[0044] 本発明の情報セキュリティ装置は、メモリに格納された情報を用いても、 PUFにより 秘匿された秘密データを攻撃者が知ることができなくなり、 PUFの安全性が低下しな いようにすること力 Sでき、その価ィ直は大きい。さらに、本発明の情報セキュリティ装置に よれば、従来技術の PUF回路と同様に製造コストが安価でセキュアにデータを保管 可能という特徴を保持しつつ、かつ、経年変化に対する出力ビット値の安定性を向上 できるような情報セキュリティ装置を提供することが可能になるという効果がある。 図面の簡単な説明

[図 1]図 1は、従来の PUF回路の構成を示す図である。

園 2]図 2は、従来の PUFの誤り訂正を用いた情報セキュリティ装置の構成を示す図 である。

園 3]図 3は、本発明の実施の形態 1における情報セキュリティシステムの構成を示す ブロック図である。

[図 4]図 4は、同上の情報セキュリティ装置の構成を示す図である。

[図 5]図 5は、同上の情報生成用 PUF部の構成を示す図である。

[図 6]図 6は、同上の第 1の PUF回路の構成を示す図である。

[図 7]図 7は、同上の誤り訂正用 PUF部の構成を示す図である。

[図 8]図 8は、同上の第 2の PUF回路の構成を示す図である。

[図 9]図 9は、同上の第 2の PUF回路の差分と出カイ直のマッピングを示す図である。

[図 10]図 10は、同上の誤り訂正情報生成装置の構成を示す図である。

[図 11]図 11は、同上の環境変化解析部で解析した出力値の分布を示す図である。 園 12A]図 12Aは、同上の誤り訂正情報生成装置が誤り訂正部分情報を設定すると きの動作を示すフローチャートである。

園 12B]図 12Bは、同上の情報セキュリティ装置が鍵付ハッシュ値を計算するときの 動作を示すフローチャートである。

[図 13]図 13は、本発明の実施の形態 2における PUF回路の構成を示すブロック図で ある。

[図 14]図 14は、同上のリングオシレータの構成を示すブロック図である。

[図 15]図 15は、同上の PUF回路が入力値データを設定するときの動作を示すフロ 一チャートである [図 16]図 16は、同上の PUF回路が出力ビットを算出するときの動作を示すフローチ ヤートである。

[図 17]図 17は、同上の PUF回路が入力値データを再設定するときの動作を示すフ ローチャートである。

[図 18]図 18は、本発明の実施の形態 3に係る PUF回路の構成を示すブロック図であ

[図 19]図 19は、同上の情報生成用 PUF部にハッシュ鍵を設定する方法を説明する ための図である。

園 20]図 20は、同上の情報セキュリティ装置の構成を示す図である。

[図 21]図 21は、同上の誤り訂正処理部の構成を示す図である。

[図 22]図 22は、同上の PUF回路の他の動作を示す図である。

符号の説明

1 PUF回路

13 出力ビット決定部

14 入力値保管部

15 入力値設定部

16 入力値再設定判定部

17 閾値保管部

18 出力ビット制御部

19 出力ビット保管部

101 〜； 108 第 1〜第 8リングォ、:ノレータ

111 , 112 第 1、第 2リングオシレータ選択部

121 , 122 第 1、第 2周波数カウント部

1000 情報セキュリティ:

1100, 3000 情報セキ

1101 , 3001 入力部

1102, 3002 出力部

1103, 3003 ノヽッシュ生成部 1104 情報生成用 PUF部

11041A~11041I 第 1の PUF回路 11042 ハッシュ鍵生成部

1105, 3005 誤り訂正部

1106 誤り訂正用 PUF部

11061A—11061I 第 2の PUF回路

11062 誤り訂正用 PUF情報生成

1107 誤り訂正部分情報格納部

1108 誤り訂正情報生成部

1200 誤り訂正情報生成装置

1201 PUF回路計測部

1202 環境変化部

1203 環境変化解析部

1204 誤り訂正部分情報生成部

1205 誤り訂正部分情報設定部

2000 PUF回路

2001 第 1リング才シレー -タ

2002 第 2リングオシレー -タ

2003 第 3リング才シレー -タ

2004 第 4リング才シレー -タ

2005 第 5リングオシレー -タ

2006 第 6リング才シレー -タ

2007 第 7リング才シレー -タ

2008 第 8リングオシレー -タ

2011 第 1リング才シレー -タ選択部

2012 第 2リング才シレー -タ選択部

2021 第 1周波数カウント部

2022 第 2周波数カウント部 2030 出力ビット決定部

3004 PUF部

3006 誤り訂正情報格納部

発明を実施するための最良の形態

[0047] 以下、本発明の実施の形態について、図面を参照しながら説明する。

[0048] (実施の形態 1)

本発明に係る第 1の実施の形態としての情報セキュリティシステム 1000について、 説明する。

[0049] 図 3は、実施の形態 1における情報セキュリティシステム 1000の構成を示す図であ

[0050] 本情報セキュリティシステム 1000は、秘密データの安定性と秘匿性を高めた情報 セキュリティ装置 1100と、誤り訂正部分情報を生成して情報セキュリティ装置 1100 に設定する誤り訂正情報生成装置 1200とを備える。なお、本実施の形態では、誤り 訂正情報生成装置 1200がデータ生成装置として構成されている。

[0051] <情報セキュリティ装置 1100の構成〉

図 4は、情報セキュリティ装置 1100の構成を示す図である。情報セキュリティ装置 1 100は、データ（入力データ）の入力を受け付ける入力部 1101と、データを出力する 出力部 1102と、鍵付ハッシュ値を計算するハッシュ生成部 1103と、鍵付ハッシュ関 数の鍵であるハッシュ鍵を生成する情報生成用 PUF部 1104と、ハッシュ鍵の誤りを 訂正し訂正後ハッシュ鍵を生成する誤り訂正部 1105と、誤り訂正用 PUF情報を生 成する誤り訂正用 PUF部 1106と、誤り訂正部分情報を格納する誤り訂正部分情報 格納部 1107と、誤り訂正情報を生成する誤り訂正情報生成部 1108とを備える。

[0052] なお、本実施の形態では、情報生成用 PUF部 1104が、予め設定された秘密デー タたるハッシュ鍵を出力するように設定された第 1の耐タンパ一回路として構成され、 誤り訂正部分情報格納部 1107が、第 1の訂正用データたる誤り訂正部分情報を記 憶している訂正用データ記憶手段として構成されている。また、誤り訂正用 PUF部 1 106が、第 2の訂正用データたる誤り訂正用 PUF情報を出力するように設定された 第 2の耐タンパ一回路として構成され、誤り訂正情報生成部 1108が、誤り訂正情報 を生成する訂正情報生成手段として構成されている。さらに、入力部 1101が、入力 データを取得する取得手段として構成され、ハッシュ生成部 1103が、入力データを 暗号化する暗号化手段として構成されて!/、る。

[0053] 入力部 1101は、外部より入力された入力データを受け付け、ハッシュ生成部 1103 に入力する。入力部 1101は、さらに入力データを受け付けたときに、 PUF回路への トリガを情報生成用 PUF部 1104と誤り訂正用 PUF部 1106に入力する。

[0054] 出力部 1102は、鍵付ハッシュ値を出力する。

[0055] ノ、ッシュ生成部 1103は、誤り訂正部 1105で出力された訂正後ハッシュ鍵と入力 部 1101で受け付けた入力データを用いて、鍵付ハッシュ値を計算し、出力部 1102 に入力する。

[0056] 情報生成用 PUF部 1104は、鍵付ハッシュ関数のハッシュ鍵を生成する。

[0057] 図 5は、情報生成用 PUF部 1104の構成を示す図である。

[0058] 情報生成用 PUF部 1104は、図 5に示すように、 9つの第 1の PUF回路 11041A、

11041B, 11041C, 11041D, 11041E, 11041F, 11041G, 11041H, 11041

Iと、第 1の PUF回路のビットを連結してハッシュ鍵を生成するハッシュ鍵生成部 110 42と力 なる。後述する第 1の PUF回路は 1ビットの情報を出力し、情報生成用 PUF 部 1104は 9つの第 1の PUF回路の各 1ビットの情報を連結して、誤り訂正部 1105に 入力する。なお、ここでは第 1の PUF回路の数は 9としていた力 9に限らず、 2以上 であれば何でもよい。

[0059] (第 1の PUF回路 11041A、 · · ·、 11041G, 11041H, 110411の構成 ίこつ!/ヽて） 第 1の PUF回路 11041Α、 · · ·、 110411はそれぞれ、同じ構成であるため、以下 では代表して第 1の PUF回路 11041Aの構成を説明する。

[0060] 図 6は、第 1の PUF回路 11041Aの構成を示す図である。

[0061] 第 1の PUF回路 11041Aは、図 6に示すように、第 1リングオシレータ 11041Α01、 第 2リングオシレータ 11041Α02、…、及び第 8リングオシレータ 11041A08と、第 1リング才シレータ選択咅 と、第 2リング才シレータ選択咅 と、 第 1周波数カウント部 11041A21と、第 2周波数カウント部 11041A22と、出力ビット 決定部 11041A30とから構成される。なお、本実施の形態では、第 1リングオシレー タ 11041A01〜第 8リングオシレータ 11041A08がそれぞれ、発振信号を出力する 発振部として構成され、第 1リングオシレータ選択部 11041A11と第 2リングオシレー タ選択部 11041 A12とがそれぞれ、発振部を選択する選択部として構成され、出力 ビット決定部 11041A30力 第 1の PUF回路 11041Aの出力値を決定して出力する 決定部として構成されて!/、る。

[0062] 第 1リングオシレータ 11041A01〜第 8リングオシレータ 11041A08は、同じ構成 であり、それぞれトリガ信号に対して出力信号 (発振信号)を出力する。

[0063] 第 リングオシレータ選択部 11041A11は、第 リングオシレータ 1041A01〜 1 041A08の中から予め与えられたリングオシレータを選択する。

[0064] 第 2リングオシレータ選択部 11041A12は、第 リングオシレータ 1041A01〜 1 041A08の中力、ら、第 1リングオシレータ選択部 11041A11と異なり、予め与えられ たリングオシレータを選択する。なお、リングオシレータの数を 8としていたが、これに 限らなレ、。リングオシレータの数は 2以上であればよ!/、。

[0065] 第 1周波数カウント部 11041A21は、第 1リングオシレータ選択部 11041A11で選 択したリングオシレータの周波数を計測する。

[0066] 第 2周波数カウント部 11041A22は、第 2リングオシレータ選択部 11041A12で選 択したリングオシレータの周波数を計測する。

[0067] 出力ビット決定部 11041A30は、第 1周波数カウント部 11041A21で計測した周 波数 F1と第 2周波数カウント部 11041A22で計測した周波数 F2を比較し、 F1≥F2 であれば" 0"、 F1 < F2であれば "1"を出力する。なお、ここでは周波数を計測すると したが、周波数そのものではなぐ周波数に近いもの、例えば、予め与えられた一定 時間内のリングオシレータの出力信号が予め与えられた振幅と等しくなる回数を計測 するとしてもよい。この場合、周波数の代わりにこの回数を比較して、 "0"、 "1"の出力 ビットを決定してもよい。また、上記では F1≥F2の場合" 0"、 F1 < F2の場合 "1"を 出力するとしたが、 F1 < F2の場合" 1"、 F1≥F2の場合" 0"を出力するとしてもよい

[0068] (第 1の PUF回路 11041A、 · · ·、 110411の動作について）

以下、構成について説明したときと同様に、代表して第 1の PUF回路 11041Aの動 作を説明する。

[0069] 第 1リングオシレータ選択部 11041A11は、予め与えられたリングオシレータを選 択する。第 2リングオシレータ選択部 11041A12も、予め与えられたリングオシレータ を選択する。第 1周波数カウント部 11041A21は、第 1リングオシレータ選択部 1104 1A11で選択したリングオシレータの周波数を計測する。第 2周波数カウント部 1104 1A22は、第 2リングオシレータ選択部 11041A12で選択したリングオシレータの周 波数を計測する。出力ビット決定部 11041A30は、第 1周波数カウント部 11041A2 1及び第 2周波数カウント部 11041A22で計測した周波数を用いて、出力ビットを決 疋 。

[0070] (ハッシュ鍵生成部 11042について）

ノヽッシュ鍵生成部 11042は、第 1の PUF回路 11041A〜； 11041Gのビットを連結 し、連結したものをハッシュ鍵とする。

[0071] 誤り訂正部 1105は、誤り訂正情報生成部 1108で生成した誤り訂正情報を用いて 、情報生成用 PUF部 1104で生成したハッシュ鍵を誤り訂正し、訂正後ハッシュ鍵を 生成する。誤り訂正の方法は、何でもよいが、簡単のため、例を示す。

[0072] (誤り訂正の方法例）

この例では、 3ビットの繰り返し符号を 3つ連結したものを使用している。繰り返し符 号とは、 "0"を" 000"、 "1"を" 111 "と符号化し、復号時には 3ビットの多数決を取る 符号である。例えば、 "101"であれば 1の数が 2で多数決を取るど' 1"と復号化される 。すなわち、符号のハミング重み（1の数）が 1以下であれば" 0"、 2以上であれば" 1" と復号化する。

[0073] 誤り訂正情報を" 010 010 001"とする。情報生成用 PUF部 1104で生成したハ ッシュ鍵を" 101 000 111 "とする。誤り訂正部 1105では、誤り訂正情報とハッシュ 鍵の排他的論理和（XOR)を取る。

[0074] "010 010 001" XOR "101 000 111"

= "111 010 110"

これに対し復号化すると、一つ目の繰り返し符号は" 111 "であるため" 1"、二つ目 は" 010"であるため" 0"、三つ目は" 110"であるため" 1 "と復号化する。 [0075] したがって、この例では訂正後ハッシュ鍵は" 101 "となる。

[0076] 誤り訂正用 PUF部 1106は、誤り訂正用 PUF情報を生成する。

[0077] 図 7は、誤り訂正用 PUF部 1106の構成を示す図である。

[0078] 誤り訂正用 PUF部 1106は、図 7に示すように、 9つの第 2の PUF回路 11061A、 1 1061B, 11061C, 11061D, 11061E, 11061F, 11061G, 11061H, 110611 と、第 2の PUF回路のビットを連結して誤り訂正用 PUF情報を生成する誤り訂正用 P UF情報生成部 11062とからなる。後述する第 2の PUF回路は 3ビットの情報を出力 し、誤り訂正用 PUF部 1106は 9つの第 2の PUF回路の各 3ビットの情報を連結して 、誤り訂正情報生成部 1108に入力する。なお、ここでは第 2の PUF回路の数は 9と していたが、 9に限らず、 2以上であれば何でもよい。

[0079] (第 2の PUF回路 11061A、 · · ·、 110611の構成について）

第 2の PUF回路 11061A、 · · ·、 110611はそれぞれ、同じ構成であるため、以下 では代表して第 2の PUF回路 11061Aの構成を示す。

[0080] 図 8は、第 2の PUF回路 11061Aの構成を示す図である。

[0081] 第 2の PUF回路 11061Aは、図 8に示すように、第 1リングオシレータ 11061A01、 第 2リングオシレータ 11061A02、…、及び第 8リングオシレータ 11061A08と、第 1リングオシレータ選択部 11061A11と、第 2リングオシレータ選択部 11061A12と、 第 1周波数カウント部 11061A21と、第 2周波数カウント部 11061A22と、出力ビット 決定部 11061A30とから構成される。

[0082] 第 1リングオシレータ 11061A01〜第 8リングオシレータ 11061A08は、同じ構成 であり、それぞれトリガ信号に対して出力信号を出力する。

[0083] 第 1リングオシレータ選択部 11061A11は、第 1リングオシレータ; 11061A01〜； 11 061A08の中から予め与えられたリングオシレータを選択する。

[0084] 第 2リングオシレータ選択部 11061A12は、第 リングオシレータ 1061A01〜 1 061A08の中力、ら、第 1リングオシレータ選択部 11061A11と異なり、予め与えられ たリングオシレータを選択する。なお、リングオシレータの数を 8としていたが、これに 限らなレ、。リングオシレータの数は 2以上であればよ!/、。

[0085] 第 1周波数カウント部 11061A21は、第 1リングオシレータ選択部 11061A11で選 択したリングオシレータの周波数を計測する。

[0086] 第 2周波数カウント部 11061A22は、第 2リングオシレータ選択部 11061A12で選 択したリングオシレータの周波数を計測する。

[0087] 出力ビット決定部 11061A30は、第 1周波数カウント部 11061A21で計測した周 波数 F1と第 2周波数カウント部 11061A22で計測した周波数 F2とを比較し、 F1と F 2の差分によって、 "0"から" 7"までの値を示す 3ビットを 1要素として出力する。

[0088] 図 9は、周波数の差分（F2— F1)に対する値（3ビット）のマッピングを示す図である 。図 9では、差分の 300から 300までを 8等分してそれぞれを" 0"から" 7"までマツ ビングしている。なお、マッピング方法はこれだけに限らない。範囲をこれ以外、例え ば一 500から 500までとしてもよいし、等分ではなぐ値ごとに不等分にマッピングし てもよい。

[0089] (第 2の PUF回路 11061A、 · · ·、 110611の動作について）

以下、構成について説明したときと同様に、代表して第 2の PUF回路 11061Aの動 作を説明する。

[0090] 第 1リングオシレータ選択部 11061A11は、予め与えられたリングオシレータを選 択する。第 2リングオシレータ選択部 11061A12も、予め与えられたリングオシレータ を選択する。第 1周波数カウント部 11061A21は、第 1リングオシレータ選択部 1106 1A11で選択したリングオシレータの周波数を計測する。第 2周波数カウント部 1106 1A22は、第 2リングオシレータ選択部 11061A12で選択したリングオシレータの周 波数を計測する。出力ビット決定部 11061A30は、第 1周波数カウント部 11061A2 1及び第 2周波数カウント部 11061A22で計測した周波数を用いて、出力である 3ビ ットを決定する。つまり、出力ビット決定部 11061A30は、第 1周波数カウント部 1106 1A21と、第 2周波数カウント部 11061A22で計測した周波数との差分に応じた 3ビ ットの値を、図 9に示すマッピングを用いて決定する。例えば、出力ビット決定部 110 61A30は、差分が 0以上 75未満であれば" 4"を決定し、差分が 75以上 150未満で あれば" 5"を決定する。

[0091] (誤り訂正用 PUF情報生成部 11062について）

誤り訂正用 PUF情報生成部 11062は、第 2の PUF回路 11061A〜； 110611から 出力される各要素を連結し、連結したものを誤り訂正用 PUF情報とする。例えば、第 2の PUF回路 11061A〜； 110611から出力される各要素が、 "2"、 "6"、 "5"、 "1"、 " 5"、 "7"、 "2"、 "3"、 "7"であれば、誤り訂正用 PUF情報は" 265 157 237"であ

[0092] 誤り訂正部分情報格納部 1107は、誤り訂正情報の部分情報である誤り訂正部分 情報を格納する。誤り訂正部分情報は誤り訂正情報生成装置 1200が生成して格納 する。

[0093] 誤り訂正情報生成部 1108は、誤り訂正用 PUF部 1106が生成する誤り訂正用 PU F情報と、誤り訂正部分情報格納部 1107が格納している誤り訂正部分情報とを用い て、誤り訂正情報を生成する。誤り訂正情報の生成方法の例を以下に示す。この例 では、誤り訂正用 PUF情報を、予め与えられた方法により符号化し、その結果生成さ れた符号化後誤り訂正用 PUF情報と誤り訂正部分情報の排他的論理和を取ってい るが、誤り訂正情報の生成方法は、この例に限らない。排他的論理和の部分をガロ ァ体における乗算に変えてもよい。また、排他的論理和の代わりに、符号化後誤り訂 正用 PUF情報と誤り訂正部分情報を整数値と見立てて、カロ算するとしてもよ!/、。

[0094] (誤り訂正情報生成の例）

誤り訂正用 PUF部 1106が出力した誤り訂正用 PUF情報が上記のように、 "265 157 237"であるとする。これに対し、この要素の値が 3以下の場合" 0"、 4以上の場 合" 1 "と 1ビットの値に符号化する。符号化した結果、" 011 011 001 "となり、これ を符号化後誤り訂正用 PUF情報とする。これと誤り訂正部分情報格納部 1107に格 納されている誤り訂正部分情報との差分を取る。誤り訂正部分情報を" 001 001 0 00"とするとき、誤り訂正情報は、

"Oi l 011 001" XOR "001 001 000"

= "010 010 001"

である。

[0095] なお、この符号化はこれだけに限らず、例えば、 4以上を" 0"、 3以下を" 1 "と符号 化してもよい。

[0096] <誤り訂正情報生成装置 1200の構成〉 図 10は、誤り訂正情報生成装置 1200の構成を示す図である。誤り訂正情報生成 装置 1200は、情報セキュリティ装置 1100内の第 1の PUF回路及び第 2の PUF回路 の出力値を計測する PUF回路計測部 1201と、第 1の PUF回路及び第 2の PUF回 路の周囲の環境を変化させる環境変化部 1202と、環境変化による PUF回路計測部 1201で計測した出力値の分布を解析する環境変化解析部 1203と、環境変化解析 部 1203の解析結果により誤り訂正部分情報を生成する誤り訂正部分情報生成部 1 204と、誤り訂正部分情報を情報セキュリティ装置 1100内の誤り訂正部分情報格納 部 1107に格納する誤り訂正部分情報設定部 1205とを備える。なお、本実施の形態 では、 PUF回路計測部 1201が第 1の計測手段および第 2の計測手段として構成さ れ、誤り訂正部分情報生成部 1204がデータ生成手段として構成され、誤り訂正部分 情報設定部 1205が格納処理手段として構成されている。また、本実施の形態にお ける誤り訂正部分情報生成部 1204は、誤り訂正情報を生成する第 1の生成手段と、 その誤り訂正情報を用いて第 1の訂正用データたる誤り訂正部分情報を生成する第 2の生成手段とを備えて!/、る。

[0097] PUF回路計測部 1201は、第 1の PUF回路 11041A〜； 110411と、第 2の PUF回 路 11061A〜； 110611の出力値を計測する。

[0098] 環境変化部 1202は、第 1の PUF回路及び第 2の PUF回路の周囲の環境を変化さ せる。具体的には、例えば、周囲の温度を変化させる。

[0099] 環境変化解析部 1203は、環境変化による PUF回路計測部 1201で計測した出力 値の分布を解析する。すなわち、温度ごとの第 1の PUF回路及び第 2の PUF回路の 出力値の分布を求める。

[0100] 誤り訂正部分情報生成部 1204は、誤り訂正部分情報を生成する。

[0101] (誤り訂正部分情報生成部 1204の処理）

誤り訂正部分情報生成部 1204はまず、環境変化解析部 1203で解析した第 1の P UF回路の出力値の分布に基づいて、誤り訂正情報を求める。

[0102] 図 11は、第 1の PUF回路及び第 2の PUF回路の出力値の分布例を示す図である 。具体的な例としては、第 1の PUF回路の出力値の分布で最も高確率で出現した出 力値に対し、誤り訂正符号を用いて符号化をしたものとその出力値との差分を誤り訂 正情報とする。上記誤り訂正の方法例や誤り訂正情報生成の例と合わせると、最も高 確率で出現した出力値は、 9つの第 1の PUF回路 11041A〜； 110411の出力値を並 ベると" 101 000 110"である。ここで、例として、 3ビットの繰り返し符号を用いるた め、最も高確率で出現する出力値も、 3ビットごとに区切って判断する。図 11では、一 つ目の 3ビットは 0°Cのとき" 100"、 10°Cのとき" 101"、 20°Cのとき" 101 "であるため 、最も高確率で出現した出力値は" 101"である。同様に、二つ目は" 000"、三つ目 は" 110"となる。 3ビットの繰り返し符号を 3つ並べたものを使用してこの出力値を符 号化すると、" 111 000 111"になる。したがって、出力値と符号化したものの差分 は、

"101 000 110" XOR "111 000 111"

= "010 000 001"

であり、これを誤り訂正情報とする。

次に、誤り訂正部分情報生成部 1204は、環境変化解析部 1203で解析した第 2の PUF回路の出力値の分布に基づいて、誤り訂正用 PUF情報を求める。図 11は、出 力値の分布例を示している。一つの第 2の PUF回路の出力値は 3ビットの要素である 、図 11では、第 2の PUF回路 11061A〜； 110611の出力値を左から順番に並べて いる。誤り訂正部分情報の生成方法の具体的な例としては、第 2の PUF回路の出力 値の分布で各要素で最も高確率で出現した出力値に対し、予め定めた方法で符号 化した符号化後誤り訂正用 PUF情報と誤り訂正情報との差分を誤り訂正部分情報と する。図 11の例では、一つ目の要素は 0°Cのとき" 3"、 10°Cのとき" 2"、 20°Cのとき" 2"であるため、最も高確率で出現した出力値は" 2"である。これに対し、誤り訂正情 報生成の例と同じ符号化方法を使用すると、この要素の値が 4以下の場合" 0"、 5以 上の場合" 1"と 1ビットの値に符号化する。図 11の例では、一つ目の要素は" 2"であ るため、符号化後の値は" 0"となる。同様に二つ目以降も符号化すると、符号化後誤 り訂正用 PUF情報は" 011 011 001 "となる。符号化後誤り訂正用 PUF情報と、 誤り訂正情報との差分を取ると、

"010 000 001" XOR "Oi l 011 001"

= "001 011 000" となり、" 001 Oi l 000"を誤り訂正部分情報とする。

[0104] 誤り訂正部分情報設定部 1205は、誤り訂正部分情報生成部 1204で生成した誤り 訂正部分情報を、情報セキュリティ装置 1100内の誤り訂正部分情報格納部 1107に 格納する。

[0105] <情報セキュリティシステム 1000の動作〉

図 12Aは、情報セキュリティシステム 1000の誤り訂正情報生成装置 1200が誤り訂 正部分情報を設定するときの動作を示すフローチャートである。

[0106] 誤り訂正情報生成装置 1200は、誤り訂正部分情報を設定する時には、以下のよう に動作する。なお、誤り訂正部分情報を生成して情報セキュリティ装置 1100内の誤 り訂正部分情報格納部 1107に設定する処理は、情報セキュリティ装置 1100の製造 時に実施される。

[0107] ステップ S101：環境変化部 1202は、第 1の PUF回路及び第 2の PUF回路の周囲 の環境を変化させる。さらに環境変化部 1202は、変化させた環境の情報を、環境変 化解析部 1203に入力する。

[0108] ステップ S102 : PUF回路計測部 1201は、第 1の PUF回路及び第 2の PUF回路 の出力値を計測し、環境変化解析部 1203に入力する。

[0109] ステップ S103 :環境変化解析部 1203は、環境の情報と第 1の PUF回路及び第 2 の PUF回路の出力値から分布を得る。

[0110] ステップ S104 :誤り訂正部分情報生成部 1204は、出力値の分布より、誤り訂正部 分情報を生成する。

[0111] ステップ S105 :誤り訂正部分情報設定部 1205は、誤り訂正部分情報を、情報セキ ユリティ装置 1100内の誤り訂正部分情報格納部 1107に格納する。

[0112] 図 12Bは、情報セキュリティシステム 1000の情報セキュリティ装置 1100が鍵付ハツ シュ値を計算するときの動作を示すフローチャートである。

[0113] 情報セキュリティ装置 1100は、鍵付ハッシュ値を計算する時には、以下のように動 作する。なお、情報セキュリティ装置 1100が、入力された入力データに対し、鍵付ハ ッシュ値を生成し出力する処理は、ユーザからの入力やアプリケーションプログラムか らのトリガにより行われる。 [0114] ステップ S201 :入力部 1101は、外部より入力された入力データを受け付け、ハツ シュ生成部 1103に入力する。さらに、入力部 1101は、 PUF回路へのトリガ信号を 情報生成用 PUF部 1104と誤り訂正用 PUF部 1106に入力する。

[0115] ステップ S202 :情報生成用 PUF部 1104は、ハッシュ鍵を生成し、誤り訂正部 110 5に入力する。

[0116] ステップ S203 :誤り訂正用 PUF部 1106は、誤り訂正用 PUF情報を生成し、誤り訂 正情報生成部 1108に入力する。

[0117] ステップ S204 :誤り訂正情報生成部 1108は、誤り訂正用 PUF情報と誤り訂正部 分情報格納部 1107に格納されて!/、る誤り訂正部分情報とを用いて、誤り訂正情報 を生成し、誤り訂正部 1105に入力する。

[0118] ステップ S205 :誤り訂正部 1105は、誤り訂正情報を用いて、ハッシュ鍵を誤り訂正 し、訂正後ハッシュ鍵を生成し、ハッシュ生成部 1103に入力する。

[0119] ステップ S206 :ハッシュ生成部 1103は、訂正後ハッシュ鍵を鍵として使用して、入 力データの鍵付ハッシュ値を生成し、出力部 1102に入力する。

[0120] ステップ S207 :出力部 1102は、鍵付ハッシュ値を外部へ出力する。

[0121] このように本実施の形態では、情報セキュリティ装置 1100は、誤り訂正情報を直接 メモリに格納せず、誤り訂正部分情報を格納している。そのため、誤り訂正情報に攻 撃者が直接アクセスできないため、 PUFの秘密、すなわち、ハッシュ鍵を攻撃者が得 ることが困難であり、安全である。また、誤り訂正用 PUF部 1106と誤り訂正情報生成 部 1108を設けることで、誤り訂正部分情報から誤り訂正情報を復元でき、誤り訂正が 正しく働く。

[0122] (実施の形態 2)

実施の形態 1における情報生成用 PUF部 1104のハッシュ鍵の誤りは、環境変化 によって生じることがある力 S、PUF回路の周波数特性の経年変化によっても生じるこ とがある。本実施の形態では、実施の形態 1における情報セキュリティシステム 1000 の構成に対して、さらに、 PUF回路の経年的な出力変動を抑えることにより、情報生 成用 PUF部 1104から出力されるハッシュ鍵の誤りを軽減することを特徴とする。

[0123] 以下、本発明の実施の形態 2について、図面を参照しながら説明する。 [0124] (PUF回路 1の構成）

図 13は、本発明の実施の形態 2における PUF回路 1の構成の一例を示したブロッ ク図である。 PUF回路 1は、実施の形態 1における第 1の PUF回路 11041A〜； 1104 IIのそれぞれに相当し、第 1〜第 8リングオシレータ 101〜； 108と、第 1〜第 2リングォ シレータ選択部 11；!〜 112と、第 1〜第 2周波数カウント部 121〜； 122と、出力ビット 決定部 13と、入力値保管部 14と、入力値設定部 15と、入力値再設定判定部 16と、 閾値保管部 17と、出力ビット制御部 18と、出力ビット保管部 19とからなる。

[0125] なお、本実施の形態では、出力ビット保管部 19が、秘密データたるハッシュ鍵の一 部を記憶するための秘密データ用記憶部として構成され、出力ビット制御部 18が、 ノ、ッシュ鍵の一部を出力ビット保管部 19に格納する格納処理部として構成されてい るとともに、出力ビット保管部 19に格納されているハッシュ鍵の一部を出力する出力 制御部として構成されている。以下、各部の詳細について説明する。

[0126] (1)第 1〜第 8リングオシレータ; 101〜； 108

第 1〜第 8リングオシレータ 10；!〜 108はそれぞれ、奇数個の否定回路をリング状 に接続した構成を基本とする発振回路であり、トリガ信号の入力により所定の発振周 波数を有する発振信号（出力信号)を出力する。これら 8個のリングオシレータの構成 及び動作は全て同じであるので、以下では、それらをリングオシレータ 100として、そ の構成及び動作を説明する。

[0127] 図 14は、リングオシレータ 100の構成の一例を示すブロック図である。リングオシレ ータ 100は、 7段のリングオシレータであり、 NAND回路 21と、 7個の否定回路 22〜 28力、らなる。なお、本実施の形態では、 7段のリングオシレータとしている力 これは 奇数段であれば何段のリングオシレータであってもよい。

[0128] リングオシレータ 100にトリガ信号が入力されていない場合、即ち、トリガ信号として 「0」が入力されている場合、 NAND回路 21の出力は「1」となる。よって、否定回路 2 2の出力は「0」となり、否定回路 23の出力は「1」となり、 · · ·、否定回路 27の出力（即 ち NAND回路 21の 1つの入力）は「1」となる力 NAND回路 21のもう 1つの入力は「 0」であるから、 NAND回路 21の出力は「1」のままである。即ち、リングオシレータ 10 0は、上記の定常状態で安定する。このとき、否定回路 28の出力、即ちリングオシレ ータ 100の出力信号は「0」で安定する。まとめると、リングオシレータ 100へのトリガ 信号が「0」の場合にはリングオシレータ 100は発振せず、その出力信号は「0」で安 疋 。

[0129] 一方、リングオシレータ 100にトリガ信号が入力された場合、即ち、トリガ信号として「 1」が入力された場合、 NAND回路 21の出力は「1」となる。よって、否定回路 22の出 力は「0」となり、否定回路 23の出力は「1」となり、 · · ·、否定回路 27の出力は「1」とな る。このとき、 NAND回路 21の 2つの入力はどちらも「1」になるため、 NAND回路 21 の出力は、「1」から「0」に遷移する。この遷移に伴い、否定回路 22の出力は「1」とな り、否定回路 23の出力は「0」となり、 · · ·、否定回路 27の出力は「0」となる。このとき、 NAND回路 21の一方の入力力 S「0」になるため、 NAND回路 21の出力は、再び「0」 から「1」に遷移する。上記のように、トリガ信号「1」が入力されると、リングオシレータ 1 00の内部状態は安定せずに、 NAND回路 21の出力は「1」と「0」の間で遷移を繰り 返し、発振する。このとき、リングオシレータ 100は、所定の発振周波数を有する発振 信号を出力する。前記発振周波数は、リングオシレータの段数で決まり、理論的には 段数と回路構成が同じリングオシレータであれば、同じになることになる。しかし、実 際には、同一の構成を持つリングオシレータであっても、リングオシレータを構成する 回路素子の周波数特性のバラつきが生じるので、発振周波数にも若干のバラつきが ある。なお、上記発振状態において、トリガ信号が「0」に変化すると、 NAND回路 21 の出力は「1」で安定するので、発振動作は停止し、出力信号は「0」になる。

[0130] (2)第 1〜第 2リングオシレータ選択部 111〜； 112

第 1〜第 2リングオシレータ選択部 111〜； 112は、それぞれ、入力値保管部 14から 入力される 3ビットの入力値データに基づいて、前記第 1〜第 8リングオシレータ 101 〜； 108から 1個を選択し、選択したリングオシレータから出力される発振信号を取得し て第 1周波数カウント部 121または第 2周波数カウント部 122に入力する。つまり、第 1リングオシレータ選択部 111は、選択したリングオシレータから出力される発振信号 を取得して第 1周波数カウント部 121に入力し、第 2リングオシレータ選択部 112は、 選択したリングオシレータから出力される発振信号を取得して第 2周波数カウント部 1 22に入力する。 [0131] 3ビットの入力値データと、選択するリングオシレータとの対応関係は、任意の入力 値データが、ある 1つのリングオシレータに対応していれば、どのようなものであっても 良いが、本実施の形態では、以下の通りとする。第 1〜第 2リングオシレータ選択部 1 11〜； 112は、それぞれ、入力値データ「000」（2進数）に対しては、第 1リングオシレ ータ 101を選択する。入力値データ「001」（2進数）に対しては、第 2リングオシレータ 102を選択する。入力値データ「010」（2進数）に対しては、第 3リングオシレータ 10 3を選択する。 · · ·。入力データ「111」（2進数）に対しては、第 8リングオシレータ 108 を選択する。なお、第 1リングオシレータ選択部 111および第 2リングオシレータ選択 部 112は、それぞれ、互いに異なる入力値データを取得して、互いに異なるリングォ シレータを選択する。

[0132] (3)第 1〜第 2周波数カウント部 121〜； 122

第 1〜第 2周波数カウント部 121〜； 122は、それぞれ、第 1リングオシレータ選択部 111または第 2リングオシレータ選択部 112から入力される発振信号の発振周波数を 計測して、計測結果を出力ビット決定部 13に入力する。つまり、第 1周波数カウント部 121は、第 1リングオシレータ選択部 111から入力される発振信号の発振周波数を計 測し、第 2周波数カウント部 122は、第 2リングオシレータ選択部 112から入力される 発振信号の発振周波数を計測する。

[0133] (4)出力ビット決定部 13

出力ビット決定部 13は、第 1周波数カウント部 121および第 2周波数カウント部 122 力、らそれぞれ入力される発振周波数の大小関係を比較し、その比較結果に基づい て 1ビットの出力ビットの値を決定して、その決定された値を示す出力ビットを出力ビッ ト制御部 18に入力する。

[0134] 比較結果と出力ビットの値との対応関係はどのようなものでもよいか、本実施の形態 では、（第 1周波数カウント部 121の計測周波数）く（第 2周波数カウント部 122の計 測周波数)であれば、「1」と決定し、そうでなければ「0」と決定するものとする。

[0135] (5)出力ビット制御部 18

出力ビット制御部 18は、 PUF回路 1に対して外部からトリガ信号が入力されて出力 ビットの出力要求があった場合には、まず、出力ビット保管部 19に出力ビットが保管 されているか否かを確認する。出力ビットが保管されている場合には、保管されてい る出力ビットを PUF回路 1から出力して処理を終了する。出力ビット保管部 19に出力 ビットが保管されていない場合には、出力ビット決定部 13から、出力ビットが入力され た後に、以下の処理を行う。

[0136] 出力ビット制御部 18は、まず、出力ビット決定部 13から入力される出力ビットを一時 保管し、入力値設定部 15から、出力ビットの退避要求信号が入力された場合には、 一時保管している出力ビットを、 PUF回路 1の出力ビットとして出力するとともに、出 力ビット保管部 19に出力する。一方、入力値設定部 15から、出力ビットの退避要求 信号が入力されない場合には、一時保管している出力ビットを、 PUF回路 1の出力ビ ットとして出力する。

[0137] (6)入力値保管部 14

入力値保管部 14は、第 1リングオシレータ選択部 111及び第 2リングオシレータ選 択部 112に入力する 3ビットの入力値データを 2個保管する。以降では、第 1リングォ シレータ選択部 111に入力する 3ビットの入力値データを第 1入力値データとし、第 2 リングオシレータ選択部 112に入力する 3ビットの入力値データを第 2入力値データと する。

[0138] (7)入力値設定部 15

入力値設定部 15は、初期化時、または入力値再設定判定部 16より入力値再設定 要求信号が入力されたときに動作し、閾値保管部 17に保管されている入力設定用 閾値以上の周波数差を有する 2個のリングオシレータが選択されるように、第 1リング オシレータ選択部 111及び第 2リングオシレータ選択部 112への入力値データ（それ ぞれ 3ビット）を設定する。

[0139] 具体的に、入力値設定部 15は、初期化時には、 PUF回路 1の外部から出力設定 値を取得し、その出力設定値を示す出力ビットが PUF回路 1から出力されるように、 第 1リングオシレータ選択部 111及び第 2リングオシレータ選択部 112への入力値デ ータを設定する。このとき、出力設定値が「1」であれば、入力値設定部 15は、（第 1 周波数カウント部 121の計測周波数）く (第 2周波数カウント部 122の計測周波数)で あって且つ、それらの周波数の差の絶対値が入力設定用閾値以上となるような 2つ のリングオシレータが選択されるように、 2つの入力値データを設定する。また、出力 設定値が「0」であれば、入力値設定部 15は、（第 1周波数カウント部 121の計測周 波数）≥ (第 2周波数カウント部 122の計測周波数）であって且つ、それらの周波数の 差の絶対値が入力設定用閾値以上となるような 2つのリングオシレータが選択される ように、 2つの入力値データを設定する。

[0140] また、入力値設定部 15は、入力値再設定要求信号を取得したときには、既に設定 されている、第 1周波数カウント部 121の計測周波数と、第 2周波数カウント部 122の 計測周波数との大小関係を維持し、それらの周波数の差の絶対値が入力設定用閾 値以上となるような 2つのリングオシレータが改めて選択されるように、 2つの入力値 データを再設定する。

[0141] また、前記入力設定用閾値以上の周波数差を有する 2個のリングオシレータを選択 するような入力値データの決定に失敗した場合 (即ち、周波数差が前記閾値以上に なるリングオシレータのペアが見つからなかった場合）には、入力値設定部 15は、出 力ビットの退避要求信号を出力ビット制御部 18に入力する。

[0142] なお、本実施の形態では、第 1リングオシレータ選択部 111、第 2リングオシレータ 選択部 112、入力値保管部 14および入力値設定部 15が、 8個のリングオシレータか ら 2個のリングオシレータを選択する選択部として構成されている。また、入力値設定 部 15が、周波数差が第 1の閾値たる入力設定用閾値以上となる 2個のリングオシレ ータを検索する検索部として構成され、入力値保管部 14が、検索部によって検索さ れた 2個のリングオシレータを示す選択パラメータたる入力値データを保持するパラメ ータ保持部として構成されている。さらに、第 1リングオシレータ選択部 111および第 2リングオシレータ選択部 112がそれぞれ、入力値データの示すリングオシレータを 選択すべきリングオシレータとして決定して選択する選択決定部として構成されてい

[0143] (8)入力値再設定判定部 16

入力値再設定判定部 16は、第 1周波数カウント部 121および第 2周波数カウント部 122から出力される発振周波数を観測し、その周波数差の絶対値が、閾値保管部 1 7に保管されている入力値再設定判定用閾値よりも小さくなつた場合には、入力値設 定部 15に入力値再設定要求信号を入力する。

[0144] なお、本実施の形態では、入力値再設定判定部 16が、周波数差が第 2の閾値たる 入力値再設定判定用閾値未満であるか否力、を判別する差分判別部と、上述の選択 部による選択を再度実行させる再設定部として構成されている。

[0145] (9)閾値保管部 17

閾値保管部 17は、入力設定用閾値及び入力値再設定判定用閾値を保管する。こ れらの値は正の値である。本実施の形態では、これらの値は、 PUF回路 1の製造時 に書き込むものとする力 回路製造後に外部から書き込むようにしても良いし、書き 込んだ後でも、外部力、ら書き換えること力 Sできるようにしても良い。また、何らかの認証 を行った上で、外部からの書き込みを許可するようにしても良い。なお、本実施の形 態では、閾値保管部 17が、第 1の閾値たる入力設定用閾値と、第 2の閾値たる入力 値再設定判定用閾値とを格納して!/、る閾値格納部として構成されて!/、る。

[0146] 以下、 PUF回路 1の動作を説明する。 PUF回路 1の動作は、「入力値データの設 定」、「出力ビットの算出」および「入力値データの再設定」の 3種類に大別され、以下 、それぞれについて説明する。

[0147] (入力値データの設定）

図 15は、 PUF回路 1が入力値データを設定するときの動作を示すフローチャート である。

[0148] 「入力値データの設定」は、 PUF回路 1が製造された後の初期化処理として実行す る処理である。「入力値データの設定」処理は、以下のようにして行う。

[0149] ステップ S301：入力値設定部 15は、 PUF回路 1の外部から入力される 1ビットの値 を出力設定値として受け付ける。また、閾値保管部 17に保管されている入力設定用 閾値を読み込む。

[0150] ステップ S302 :入力値設定部 15は、入力値データの候補を選択して、その候補に おける第 1周波数カウント部 121および第 2周波数カウント部 122による発振周波数 の計測を実行させる。即ち、入力値設定部 15は、第 1入力値データの候補として N1 = 000 (2進数）〜 111 (2進数）の中から何れか 1つを選択し、第 2入力値データの候 補として N2 = 000 (2進数）〜 111 (2進数）の中力、ら何れ力、 1つを選択する。そして、 入力値設定部 15は、（第 1入力値データの候補，第 2入力値データの候補） = (N1 , N2)の組み合わせによって選択されるリングオシレータを用い、第 1周波数カウント部 121および第 2周波数カウント部 122による発振周波数の計測を実行させる。具体的 には、 PUF回路 1は以下の動作を実行する。

[0151] ステップ S302a :入力値設定部 15は、第 1入力値データ及び第 2入力値データの 候補として（Nl , N2)を生成し、第 1リングオシレータ選択部 111に N1を、第 2リング オシレータ選択部 112に N2を、それぞれ入力する。

[0152] ステップ S302b :第 1リングオシレータ選択部 111は、前記 N1に基づいて、前に述 ベた規則に従い、第 1リングオシレータ 101〜第 8リングオシレータ 108の中力も 1つ のリングオシレータを選択する。第 2リングオシレータ選択部 112は、前記 N2に基づ いて、前に述べた規則に従い、第 1リングオシレータ 101〜第 8リングオシレータ 108 の中から 1つのリングオシレータを選択する。

[0153] ステップ S302c :ここで、ステップ S302bで選択された 2個のリングオシレータにトリ ガ信号が入力されると、選択された 2つのリングオシレータは発振して、発振信号を 出力する。このとき、第 1リングオシレータ選択部 111により選択されたリングオシレー タは、同第 1リングオシレータ選択部 111を介して第 1周波数カウント部 121に発振信 号を入力する。第 2リングオシレータ選択部 112により選択されたリングオシレータは 、同第 2リングオシレータ選択部 112を介して第 2周波数カウント部 122に発振信号を 入力する。

[0154] ステップ S302d :第 1周波数カウント部 121及び第 2周波数カウント部 122は、それ ぞれ入力された発振信号から発振周波数を計測する。ここで、第 1周波数カウント部 121は、発振周波数 F1を計測し、第 2周波数カウント部 122は、発振周波数 F2を計 測する。そして、計測した F1及び F2を、入力値設定部 15に入力する。

[0155] ステップ S303 :入力値設定部 15は、上述のように計測された発振周波数 Fl , F2 に基づいて選択された入力値データの候補力 S、設定されるべき入力値データとして 相応しいか否か、つまり選択された候補が失敗であつたか否かを判別する。具体的 には、入力値設定部 15は、入力された F1及び F2から、周波数の差分 D = F2— F1 を計算し、差分 Dとステップ S301で受け付けた出力設定値との間に矛盾がなぐ力、 つ、差分 Dの絶対値が入力設定用閾値以上であれば、選択された候補が失敗でな いと判別する。この場合、後述するステップ S304で説明するように、入力値設定部 1 5は、そのときの（Nl , N2)について、 N1を第 1入力値データ、 N2を第 2入力値デー タとして、入力値保管部 14に入力し、出力設定値を消去する。ここで、「差分 Dと出力 設定値との間に矛盾がない」とは、出力設定値が 0の場合には差分 Dが負の値また は 0であることを意味し、出力設定値が 1の場合には差分 Dが正の値であることを意 味する。上記の条件を満たさない場合には、入力値設定部 15は、選択された候補が 失敗と判別する。この場合、後述するステップ S305で説明するように、別の候補 (N1 , N2)を生成して、ステップ S302a〜S302dを繰り返し実行する。なお、全ての（N1 , N2)の組み合わせについて、上記の条件を満たすような（Nl , N2)が見つからな 力、つた場合には、後述するステップ S306で説明するように、入力値設定部 15は、出 力設定値と、上述の退避要求信号に相当する入力値設定失敗信号とを出力ビット制 御部 18に入力した後、出力設定値を消去する。

[0156] ステップ S304 :入力値保管部 14は、入力値設定部 15から入力される Nl、 N2、す なわち失敗でないと判別された第 1入力値データの候補 Nlと第 2入力値データの候 補 N2とを、それぞれ設定されるべき第 1入力値データおよび第 2入力値データとして 保管し、「入力値データの設定」処理を終了する。

[0157] ステップ S305 :入力値設定部 15は、選択された第 1入力値データの候補 N1およ び第 2入力値データの候補 N2がステップ S303で失敗と判別されると、その候補 N1 , N2以外の他の候補があるか否かを判別する。ここで、入力値設定部 15は、他の候 補があると判別すると、ステップ S302からの処理を繰り返し、他の候補がないと判別 すると、ステップ S306の処理を実行する。

[0158] ステップ S306 :入力値設定部 15は、上述のように他の候補がないと判別すると、出 力ビット制御部 18に対して、出力設定値と入力値設定失敗信号とを出力する。出力 ビット制御部 18は、入力値設定失敗信号と出力設定値を受け付けて、出力設定値（ 出力設定値を示す出力ビット）を、出力ビット保管部 19に入力する。出力ビット保管 部 19は、出力設定値を保管し、「入力値データの設定」処理を終了する。

[0159] (出力ビットの算出） 図 16は、 PUF回路 1が出力ビットを算出するときの動作を示すフローチャートであ

[0160] 「出力ビットの算出」処理は、 PUF回路 1の外部からトリガ信号が入力されたときに 実行される。この処理により、 PUF回路 1は、内部にセキュアに保持する 1ビットの出 力ビットを PUF回路 1の外部に出力する。具体的には、 PUF回路 1へのトリガ信号が 入力されると、以下の一連の動作を行う。

[0161] ステップ S401：出力ビット制御部 18は、出力ビット保管部 19に出力設定値（出力 設定値を示す出力ビット）が保管されて!/、るかどうかを確認して、保管されてレ、る場合 には、その出力設定ィ直（1ビット）を PUF回路 1からの出力ビットとして出力して、「出 力ビットの算出」処理を終了する。出力設定値が保管されていない場合には、ステツ プ S402に進む。

[0162] ステップ S402 :入力値保管部 14は、内部に保管する第 1入力値データを第 1リン グオシレータ選択部 111に、第 2入力値データを第 2リングオシレータ選択部 112に それぞれ入力する。

[0163] ステップ S403 :第 1リングオシレータ選択部 111は、第 1入力値データに基づいて、 第 1リングオシレータ 101〜第 8リングオシレータ 108の中力も 1つを選択する。また、 第 2リングオシレータ選択部 112は、第 2入力値データに基づいて、第 1リングオシレ ータ 101〜第 8リングオシレータ 108の中から 1つを選択する。

[0164] ステップ S404 :ステップ S403において選択された 2個のリングオシレータにそれぞ れトリガ信号が入力され、発振動作が行われて、発振信号が出力される。このとき、出 力された発振信号は、それぞれ、第 1リングオシレータ選択部 111及び第 2リングオシ レータ選択部 112を介して、第 1周波数カウント部 121及び第 2周波数カウント部 122 に入力される。

[0165] ステップ S405 :第 1周波数カウント部 121および第 2周波数カウント部 122は、それ ぞれ入力される発振信号の発振周波数 Fl、 F2を計測し、出力ビット決定部 13及び 入力値再設定判定部 16に入力する。

[0166] ステップ S406 :出力ビット決定部 13は、入力される発振周波数 Fl、 F2の大小関係 を比較して、比較結果に基づいて、既に述べた判定規則に従い、 1ビットの出力ビッ トを決定して、出力ビット制御部 18に入力する。出力ビット制御部 18は、入力された 出力ビットを一時保管する。

[0167] ステップ S407 :入力値再設定判定部 16は、閾値保管部 17に保管されている入力 値再設定判定用閾値を読み出す。次に、入力値再設定判定部 16は、入力される発 振周波数 Fl、 F2から、周波数差分 D = F2— F1を計算し、差分 Dの絶対値が、前記 入力値再設定判定用閾値以上である力、確認する。もしも、前記閾値未満であれば、 入力値再設定判定部 16は、入力値設定部 15に、入力値再設定要求信号を入力す る。一方、前記閾値以上であれば、入力値再設定判定部 16は何も行わない。

[0168] ステップ S408 :入力値設定部 15は、入力値再設定要求信号を受け付けると、後で 説明する入力値データの再設定処理を実行する。この処理の結果、「入力値保管部 14に保管する第 1入力値データ Nl、第 2入力値データ N2を更新する」か、「入力値 再設定失敗信号を出力ビット制御部 18に送信する」か、のいずれかが行われる。

[0169] ステップ S409 :出力ビット制御部 18は、出力ビット決定部 13から入力されて一時保 管されている 1ビットの出力ビットを PUF回路 1の出力ビットとして出力する。入力値設 定部 15から、入力値再設定失敗信号を受け取つていない場合には、出力ビット制御 部 18は、そのまま出力ビットの算出を終了する。入力値再設定失敗信号を受け取つ た場合には、出力ビット制御部 18は、更に前記 1ビットの出力ビットを、出力設定値と して出力ビット保管部 19に入力する。そして、出力ビット保管部 19は、前記出力設定 値を内部に保管して、「出力ビットの算出」処理を終了する。

[0170] (入力値データの再設定）

図 17は、 PUF回路 1が入力値データを再設定するときの動作を示すフローチヤ一 トでめる。

[0171] 「入力値データの再設定」処理は、上述の「出力ビットの算出」処理において、入力 値設定部 15が入力値再設定要求信号を受け付けた場合に実行するサブルーチン 処理である。「入力値データの再設定」処理は、以下のようにして行う。

[0172] ステップ S501：入力値設定部 15は、入力設定用閾値と出力設定値を特定する。

つまり、入力値設定部 15は、閾値保管部 17に保管する入力設定用閾値を読み込む 。さらに、入力値設定部 15は、「出力ビットの算出」のステップ S405において、第 1周 波数カウント部 121から入力された発振周波数 Flと、第 2周波数カウント部 122から 入力された発振周波数 F2との大小関係を比較し、 F2〉F1であれば、出力設定値を 「1」とし、そうでなければ、出力設定値を「0」とする。

[0173] ステップ S502 :入力値設定部 15は、入力値データの候補を選択して、その候補に おける第 1周波数カウント部 121および第 2周波数カウント部 122による発振周波数 の計測を実行させる。即ち、入力値設定部 15は、第 1入力値データの候補として N1 = 000 (2進数）〜 111 (2進数）の中から何れか 1つを選択し、第 2入力値データの候 補として N2 = 000 (2進数）〜 111 (2進数）の中力、ら何れ力、 1つを選択する。そして、 入力値設定部 15は、（第 1入力値データの候補，第 2入力値データの候補） = (N1 , N2)の組み合わせによって選択されるリングオシレータを用い、第 1周波数カウント部 121および第 2周波数カウント部 122による発振周波数の計測を実行させる。具体的 には、 PUF回路 1は以下の動作を実行する。

[0174] ステップ S502a :入力値設定部 15は、第 1入力値データ及び第 2入力値データの 候補として（Nl , N2)を生成し、第 1リングオシレータ選択部 111に N1を、第 2リング オシレータ選択部 112に N2を、それぞれ入力する。

[0175] ステップ S502b :第 1リングオシレータ選択部 111は、前記 N1に基づいて、前に述 ベた規則に従い、第 1リングオシレータ 101〜第 8リングオシレータ 108の中力も 1つ のリングオシレータを選択する。第 2リングオシレータ選択部 112は、前記 N2に基づ いて、前に述べた規則に従い、第 1リングオシレータ 101〜第 8リングオシレータ 108 の中から 1つのリングオシレータを選択する。

[0176] ステップ S502c :ここで、ステップ S502bで選択された 2個のリングオシレータにトリ ガ信号が入力されると、選択された 2つのリングオシレータは発振して、発振信号を 出力する。このとき、第 1リングオシレータ選択部 111により選択されたリングオシレー タは、同第 1リングオシレータ選択部 111を介して第 1周波数カウント部 121に発振信 号を入力する。第 2リングオシレータ選択部 112により選択されたリングオシレータは 、同第 2リングオシレータ選択部 112を介して第 2周波数カウント部 122に発振信号を 入力する。

[0177] ステップ S502d :第 1周波数カウント部 121及び第 2周波数カウント部 122は、それ ぞれ入力された発振信号から発振周波数を計測する。ここで、第 1周波数カウント部 121は、発振周波数 F1を計測し、第 2周波数カウント部 122は、発振周波数 F2を計 測する。そして、計測した F1及び F2を、入力値設定部 15に入力する。

[0178] ステップ S503 :入力値設定部 15は、上述のように計測された発振周波数 Fl , F2 に基づいて選択された入力値データの候補力 S、設定されるべき入力値データとして 相応しいか否か、つまり選択された候補が失敗であつたか否かを判別する。具体的 には、入力値設定部 15は、入力された F1及び F2から、周波数の差分 D = F2— F1 を計算し、差分 Dとステップ S501で特定した出力設定値との間に矛盾がなぐかつ、 差分 Dの絶対値が入力設定用閾値以上であれば、選択された候補が失敗でなレ、と 判別する。この場合、後述するステップ S504で説明するように、入力値設定部 15は 、そのときの（Nl , N2)について、 N1を第 1入力値データ、 N2を第 2入力値データと して、入力値保管部 14に入力し、出力設定値を消去する。ここで、「差分 Dと出力設 定値との間に矛盾がない」とは、出力設定値が 0の場合には差分 Dが負の値または 0 であることを意味し、出力設定値が 1の場合には差分 Dが正の値であることを意味す る。上記の条件を満たさない場合には、入力値設定部 15は、選択された候補が失敗 と判別する。この場合、後述するステップ S 505で説明するように、別の候補 (Nl , N 2)を生成して、ステップ S502a〜S502dを繰り返し実行する。なお、全ての（Nl , N 2)の組み合わせについて、入力設定用閾値に基づく上記の条件を満たすようなもの がな力 た場合には、後述するステップ S506で説明するように、入力値設定部 15は 、出力設定値と、上述の退避要求信号に相当する入力値再設定失敗信号とを出力 ビット制御部 18に入力する。そして、出力設定値を消去する。

[0179] ステップ S504 :入力値保管部 14は、入力値設定部 15から入力される Nl、 N2、す なわち失敗でないと判別された第 1入力値データの候補 Nlと第 2入力値データの候 補 N2とを、それぞれ設定されるべき第 1入力データおよび第 2入力データとして保管 し、「入力値データの再設定」処理を終了する。

[0180] ステップ S505 :入力値設定部 15は、選択された第 1入力値データの候補 N1およ び第 2入力値データの候補 N2がステップ S 503で失敗と判別されると、その候補 N1 , N2以外の他の候補があるか否かを判別する。ここで、入力値設定部 15は、他の候 補があると判別すると、ステップ S502からの処理を繰り返し、他の候補がないと判別 すると、ステップ S 506の処理を実行する。

[0181] ステップ S506 :入力値設定部 15は、上述のように他の候補がないと判別すると、出 力ビット制御部 18に対して、出力設定値と入力値再設定失敗信号とを出力する。出 力ビット制御部 18は、入力値再設定失敗信号と出力設定値を受け付けて、出力設 定値を、出力ビット保管部 19に入力する。出力ビット保管部 19は、出力設定値を保 管し、「入力値データの再設定」処理を終了する。

[0182] (PUF回路 1の動作概要）

以上の動作を元に、本実施の形態における PUF回路 1の動作は、以下の通りであ

[0183] PUF回路 1が製造された後に、 PUF回路 1は「入力値データの設定」処理を行い、

1または 0の出力ビットを設定する。その後、 PUF回路 1は「出力ビットの算出」処理を 行い、「入力値データの設定」処理により設定された 1ビットの出力ビットを出力する。 その際、 PUF回路 1は、入力値保管部 14に設定している入力値データ（Nl , N2)に よって選択される 2つのリングオシレータの周波数差が、経年変化などにより、所定の 閾値未満になったと検知した場合には、「入力値データの再設定」処理を行い、前記 入力値データの再設定を行う。

[0184] 本実施の形態においては、リングオシレータを構成する回路の周波数特性の経年 変化により、設定された入力値データによって選択される 2つのリングオシレータの周 波数差が所定の閾値未満になったことを検知して、周波数差が所定の閾値以上にな るように、入力値データを再設定する。一方、従来では、上記のような経年変化により 、リングオシレータの周波数差が小さくなり、外部環境の変化によって周波数の大小 関係が逆転する恐れが高くなつたとしても、入力値データを再設定するような仕組み は備えていない。従って、経年変化による周波数特性の変化に対して、 PUF回路 1 は、従来の構成よりも、出力ビットの安定性という点で向上しているといえる。

[0185] また、本実施の形態では、入力設定用閾値及び入力値再設定判定用閾値という 2 つの値を導入して、閾値保管部 17に保管している。従来では、これらの値を PUF回 路内部に保管することはない。しかし、これらの値は、リングオシレータの周波数差分 の絶対値に関する閾値なので、この値から、出力ビットの算出処理において選択され るリングオシレータの発振周波数の大小関係を推測することはできない。即ち、これら の値から、 1ビットの出力ビットを推測することはできず、本実施の形態における PUF 回路 1においても、従来の PUF回路と同様に安全に秘密データを保持することが可 能である。

[0186] また、本実施の形態では、経年変化によるリングオシレータの周波数特性の変化が 進んで、入力値データの再設定処理において、所定の閾値以上の周波数差となるリ ングオシレータペアが見つからなかった場合には、出力ビットを出力ビット保管部 19 に保管し、以降は、この出力ビット保管部 19に保管されている出力ビットを出力する。 これは、入力値データの再設定によって、これ以上安定した出力ビットを PUFの構成 により保持することが困難と判断した場合には、出力ビットをそのまま保持することで、 出力ビットの安定性を保持し続けようとするものである。これにより、出力ビットの安全 性は、 PUFで記憶している場合と比べて低下する。しかし、鍵データのような数十ビ ット〜数百ビットの秘密データのうち、仮に 1ビットだけが解析され露呈したとしても、 致命的な安全性低下に繋がることは稀であるので、実質的に安全性上に著しい問題 を生じることはない。なお、上記の仕組みは、高い安全性を有する PUF回路を実現 する場合には、削除してもよい。

[0187] 以上にて述べたように、本実施の形態では、 PUF回路において、リングオシレータ の周波数差分が所定の閾値未満になったことを検知すると、周波数差が閾値以上と なるようなリングオシレータを選択するように入力値データを再設定する。これによつ て、リングオシレータの周波数特性が経年変化しても、 PUF回路の出力ビットの安定 性を向上することができる。即ち、経年変化が起こっても、出力ビットが反転してしま わないような PUF回路を用いた情報セキュリティ装置を提供することが可能である。

[0188] (実施の形態 3)

次に、本発明の実施の形態 3について、図面を参照しながら説明する。実施の形態 3では、実施の形態 2に加えて、更に、 PUF回路の外部で行う誤り訂正符号を用いた 誤り訂正、もしくは、誤り検出の結果を元に、入力値データの再設定処理を実行する 構成を追加することで、周波数の経年変化に対する PUF回路の出力ビットの安定性 をより向上させた構成となっている。

[0189] (PUF回路 4の構成）

図 18は、実施の形態 3に係る PUF回路 4の内部構成の一例を示したブロック図で ある。 PUF回路 4は、実施の形態 1およびその変形例における第 1の PUF11041A 〜； 110411のそれぞれに相当し、図 13の実施の形態 2における PUF回路 1とほぼ同 じ構成である。すなわち、 PUF回路 4は、第 1〜第 8リングオシレータ 101〜； 108と、 第 1〜第 2リングオシレータ選択部 11；!〜 112と、第 1〜第 2周波数カウント部 12；!〜 122と、出力ビット決定部 13と、入力値保管部 14と、入力値設定部 45と、入力値再 設定判定部 16と、閾値保管部 17と、出力ビット制御部 18と、出力ビット保管部 19と 力 なる。

[0190] PUF回路 1と唯一異なる点は、 PUF回路 4は、外部から入力値再設定要求信号が 入力され、入力値設定部 45は前記入力値再設定要求信号を受け付ける点である。 つまり、本実施の形態における入力値設定部 45は、実施の形態 2の入力設定部 15 と同様の機能を有するとともに、 PUF回路 4の外部から入力値再設定要求信号を取 得したときには、入力値再設定判定部 16から入力値再設定要求信号を取得したとき と同様、実施の形態 2における「入力値データの再設定」処理を実行する。

[0191] 本実施の形態における情報生成用 PUF部は、このような PUF回路 4を 9個備え、 3 ビットの秘密データであるハッシュ鍵をセキュアに保持することができる。

[0192] 図 19は、本実施の形態における情報生成用 PUF部にハッシュ鍵を設定する方法 を説明するための図である。

[0193] 情報生成用 PUF部 1104aは、 9つの PUF回路 4と、 9つの PUF回路 4から出力さ れる出力ビットを連結するビット連結部 302とを備える。ビット連結部 302は、実施の 形態 1のハッシュ鍵生成部 11042と同様の機能を有する。このような情報生成用 PU F部 1104aに 3ビットのハッシュ鍵を設定するときには、誤り訂正符号生成部 300と、 ビット分割部 301とを用いる。ハッシュ鍵の設定処理は、情報生成用 PUF部 1104a が製造された後で、ハッシュ鍵が設定されて!/、な!/、状態にぉレ、て行われる処理であ

[0194] 誤り訂正符号生成部 300は、 3ビットのハッシュ鍵に対して誤り訂正符号化を行って 、ハッシュ鍵に対する誤り訂正符号を生成する。ビット分割部 301は、誤り訂正符号 生成部 300が生成した誤り訂正符号をビット単位に分割して、各ビットをそれぞれ各 PUF回路 4に出力設定値として入力する。以下、具体的な例を挙げてハッシュ鍵の 設定処理につ!/、て説明する。

[0195] まず、ハッシュ鍵 Mを誤り訂正符号生成部 300に入力する。誤り訂正符号生成部 3 00は、ハッシュ鍵 Mに対する誤り訂正符号 (誤り訂正符号語 C)を、以下のように生成 する。まず、ハッシュ鍵 Mを M= (ml、 m2、 m3)とする。ここで、 ml、 m2、 m3は、そ れぞれ 1ビットの値であり、 mlは Mの最上位ビット、 m2は Mの上位から 2ビット目のビ ット、 m3は、 Mの最下位ビットとする。このとき、誤り訂正符号生成部 300は、 Mに対 する誤り訂正符号語 Cを 9ビットの値 C= (ml、 ml、 ml、 m2、 m2、 m2、 m3、 m3、 m3)として決定する。例えば、 M= 101 (2進数）の場合、 C = 111000111 (2進数） であり、 M = 011 (2進数）の場合、 C = 000111111 (2進数）である。誤り訂正符号 生成部 300は、こうして得られた 9ビットの誤り訂正符号語 Cをビット分割部 301に入 力する。ビット分割部 301は、入力された 9ビットの Cを上位から 1ビットずつ分割して 、各ビットをそれぞれ 9つの PUF回路 4に入力する。 9つの PUF回路 4は、それぞれ 入力された 1ビットデータを出力設定 として、実施の形態 2における PUF回路 1の「 入力値データの設定」処理と全く同じ処理を行う。

[0196] 図 20は、本実施の形態における情報セキュリティ装置 1100aの構成を示す図であ

[0197] 本実施の形態における情報セキュリティ装置 1100aは、情報生成用 PUF部 1104a と、誤り訂正処理部 303と、排他的論理和部 305と、ビット分割部 306と、復号化部 3 04と、入力部 1101と、ハッシュ生成部 1103と、出力部 1102とからなる。なお、本実 施の形態における入力部 1101、ハッシュ生成部 1103および出力部 1102は、実施 の形態 1の情報セキュリティ装置 1100における入力部 1101、ハッシュ生成部 1103 および出力部 1102と同じである。

[0198] トリガ信号が情報生成用 PUF部 1104aの 9つの PUF回路 4に入力されると、各 PU F回路 4は、実施の形態 2における「出力ビットの算出」処理と同じ処理を行って、それ ぞれ 1ビットの出力ビットを出力する。ビット連結部 302は、 9つの PUF回路 4の順列 に従って、 1番目の PUF回路 4の出力ビットが最上位ビットとなり、 9番目の PUF回路 4の出力ビットが最下位ビットとなるように、ビット連結を行うことにより、誤り訂正前の ハッシュ鍵を 9ビットデータとして生成し、誤り訂正処理部 303と排他的論理和部 305 とに入力する。なお、本実施の形態では、ビット連結部 302が、複数の PUF回路 4か ら出力される出力値を結合する結合部として構成されている。

[0199] 誤り訂正処理部 303は、入力された 9ビットデータに対して誤り訂正を行い、その結 果の 9ビットデータを出力する。

[0200] 図 21は、誤り訂正処理部 303の構成を示す図である。

[0201] 誤り訂正処理部 303は、誤り訂正部 1105aと、誤り訂正情報生成部 1108と、誤り訂 正用 PUF部 1106と、誤り訂正部分情報格納部 1107とを備えている。本実施の形態 における誤り訂正情報生成部 1108、誤り訂正用 PUF部 1106、および誤り訂正部分 情報格納部 1107は、実施の形態 1における誤り訂正情報生成部 1108、誤り訂正用 PUF部 1106、および誤り訂正部分情報格納部 1107と同じである。

[0202] また、本実施の形態における誤り訂正部 1105aは、実施の形態 1における誤り訂正 部 1105と同様に排他的論理和の演算を実行する力 3ビットの繰り返し符号を 1ビッ トにするような復号化は実行しない。つまり、誤り訂正部 1105aは、誤り訂正前のハツ シュ鍵である 9ビットデータと誤り訂正情報との排他的論理和を取って、その結果であ る 9ビットデータを復号化部 304と排他的論理和部 305とに入力する。

[0203] 復号化部 304は、誤り訂正処理部 303から入力された 9ビットデータを、 3ビットの繰 り返し符号に分割し、各 3ビットの繰り返し符号を 1ビットに復号化する。つまり、本実 施の形態における誤り訂正部 1105aと復号化部 304とにより、実施の形態 1の誤り訂 正部 1105が実現される。

[0204] 具体的に、復号化部 304は、入力された誤り訂正結果の 9ビットデータから誤り訂正 符号化のために付加した冗長性を除去して、 3ビットの訂正後ハッシュ鍵を出力する 。つまり、復号化部 304は、上述の 9ビットデータを上位から 3ビットずつ分割し、各 3 ビットデータについて、 000 (2進数）の場合は 0 (2進数）に、 111 (2進数）の場合は 1 (2進数）に変換した後、再び連結して 3ビットデータとする。これにより、「入力値デー タの設定」処理において各 PUF回路 4に設定したハッシュ鍵である 3ビットと同じデー タが得られる。ここで、上記に用いた誤り訂正符号は、情報ビットに対して情報ビットと 同じ値 2ビットを冗長ビットとして付加する繰り返し符号であり、 3ビット（情報ビット 1ビ ットと冗長ビット 2ビット）のうち 1ビットに誤りが生じてデータが反転しても、誤りを検知 して訂正することが可能である。

[0205] なお、誤り訂正処理部 303は、以下のようにして誤り訂正処理を行ってもよい。すな わち、誤り訂正処理部 303は、入力された 9ビットデータを、上位から 3ビットずつに分 害 IJして、 c l、 c2、 c3とする。次に、 c l、 c2、 c3のそれぞれについて、ノヽミング重み（1 の立っているビットの数）を計算する。そして、ハミング重みが 2以上であれば、 111 ( 2進数）とし、ノ、ミング重みが 1以下であれば、 000 (2進数）とする。例えば、 010 (2進 数）であれば、 000 (2進数）とし、 110 (2進数）であれば、 111 (2進数）とする。そうし て得られた 3ビット X 3個のデータを、上位から、 clの誤り訂正処理結果、 c2の誤り訂 正処理結果、 c3の誤り訂正処理結果の順に連結したものを、最終的な誤り訂正結果 の 9ビットデータとして、復号化部 304及び排他的論理和部 305に入力する。

[0206] 排他的論理和部 305は、ビット連結部 302から入力された誤り訂正前の 9ビットデー タと、誤り訂正処理部 303から入力された誤り訂正後の 9ビットデータとの排他的論理 和演算を行い、その演算結果である 9ビットデータをビット分割部 306に入力する。こ れは、誤り訂正前と訂正後のデータを比較して、誤り訂正が行われたビット位置に 1を 立てる処理を行っていることと同じである。つまり、本実施の形態では、排他的論理和 部 305が、情報生成用 PUF部 1104aから出力されるハッシュ鍵に誤りが生じたか否 かを判別する誤り判別手段として構成されている。

[0207] ビット分割部 306は、入力された 9ビットデータを上位から 1ビットずつ分割して、各 ビットをそれぞれ各 PUF回路 4に入力する。これにより、誤り訂正が行われたビットを 出力した PUF回路 4には、 1ビットデータ「1」が入力値再設定要求信号として入力さ れ、誤り訂正が行われなかったビットを出力した PUF回路 4には、 1ビットデータ「0」 カ入力されることになる。 つまり、本実施の形態では、ビット分割部 306が、情報生成 用 PUF部 1104aに対して、ハッシュ鍵の再設定を要求する再設定要求手段として構 成されている。

[0208] 入力値再設定要求信号が入力された PUF回路 4は、上記実施の形態 2と同様の「 入力値データの再設定」処理を実行する。つまり、 PUF回路 4は、図 17を用いて上 述のように説明した処理を実行する。但し、 PUF回路 4の入力値設定部 45は、ステツ プ S501において出力設定値を特定するときには、既に出力ビットに誤りが生じてい るため、上述とは逆の規則に基づいて出力設定値を特定する。例えば、入力値設定 部 45は、第 1周波数カウント部 121から入力された発振周波数 F1と、第 2周波数カウ ント部 122から入力された発振周波数 F2との大小関係を比較し、 F2≤F1であれば 、出力設定値を「1」とし、そうでなければ、出力設定値を「0」とする。

[0209] なお、本実施の形態では、 PUF回路 4の入力値設定部 45が、ハッシュ鍵の再設定 を行う再設定部として構成されてレ、る。

[0210] 本実施の形態では、誤りが発生して!/、ると検知されたビット (誤り訂正が行われたビ ット）については、そのビット値を生成した PUF回路に対して入力値データの再設定 処理を指示することが特徴である。この構成により、実施の形態 2では得られなかった 以下のような効果がある。例えば、実施の形態 2の場合は、入力値再設定判定用閾 値を Rとしたとき、リングオシレータの周波数特性が急激に変化し、発振周波数の差 分（F2— F1)力 元々は F2— F1〉Rであったものが、 F2— F1 <— Rとなるように変 化した場合、 PUF回路の出力ビット値は反転してしまい、更に、 F2— F1の絶対値は 、 R以上になるために、入力値の再設定処理は行われない。しかし、本実施の形態に おいては、上記の出力ビットの反転が検知され、入力値の再設定処理が行われるた めに、適切に入力値データが再設定される。このように、本実施の形態においては、 リングオシレータの急激な周波数特性変化についても、適切に入力値データの再設 定が行われ、出力ビットの安定性が保たれる。

[0211] なお、本実施の形態では、出力ビットに誤りが生じたときには、その出力ビットを出 力した PUF回路 4、つまり入力値再設定要求信号を取得した PUF回路 4は、入力値 データの再設定を行ったが、入力値データの再設定を行うことなぐ出力すべき出力 ビットの値、すなわち出力設定値を出力ビット保管部 19に格納してもよい。

[0212] 図 22は、入力値再設定要求信号を取得した PUF回路 4の他の動作を示すフロー チャートである。

[0213] まず、入力値再設定要求信号を取得した入力値設定部 45は出力設定値を特定す る（ステップ S601)。このとき、入力値設定部 45は、上述と同様、既に出力ビットに誤 りが生じているため、第 1周波数カウント部 121から入力された発振周波数 F1と、第 2 周波数カウント部 122から入力された発振周波数 F2との大小関係を比較し、 F2≤F 1であれば、出力設定値を「1」とし、そうでなければ、出力設定値を「0」とする。

[0214] そして、入力値設定部 45は、特定した出力設定値と退避要求信号とを出力ビット制 御部 18に出力することにより、その出力ビット制御部 18にその出力設定値（出力設 定値を示す出力ビット）を出力ビット保管部 19に格納させる（ステップ S602)。

[0215] このように、入力値再設定要求信号を取得した PUF回路 4が入力値データの再設 定を行わず出力設定値を出力ビット保管部 19に格納する場合には、 PUF回路 4に おける今後の処理負担を軽減し、出力ビットを安定させることができる。

[0216] (変形例）

上記に説明した実施の形態 1〜3は、本発明の実施の一例であり、本発明はこの実 施の形態に何ら限定されるものではなぐその旨を逸脱しない範囲において種々なる 態様で実施し得るものである。例えば、以下のような場合も本発明に含まれる。

[0217] (1)情報セキュリティ装置及び誤り訂正情報生成装置で使用する誤り訂正符号は、 繰り返し符号であるが、これに限らない。誤り訂正符号であれば何でもよい。例えば、 リード '·ソロモン符号などの代数的符号や畳み込み符号であってもよい。また、符号 長（ビットや要素の数)を 9とし、情報記号数を 3としていた力 これに限らない。安全 性の面では、訂正後ハッシュ鍵は 80ビット以上である方がよ!/、。

[0218] (2)情報セキュリティ装置では、鍵付ハッシュ値を出力するとしている力 これに限ら ない。秘密の鍵を用いて入力データを変換した変換データを出力すればよい。変換 データは、鍵付ハッシュ値の他に、暗号文、復号文、署名データなどがある。

[0219] (3)情報セキュリティ装置では、 PUF回路を使用している力 これだけに限らない。

PUF回路の代わりに、秘密の情報を出力可能な耐タンパ一回路であればよい。また 、環境や経年劣化により出力が変化する耐タンパ一回路であってもよい。耐タンパ一 回路として、特許文献 2 (特開 2006— 060109号公報）に記載されている、識別情報 生成回路を使用してもよい。識別情報生成回路は、電源をオンした際のフリップフロ ップゃ RAM、 StaticRAMの各メモリセルから最初に出力される論理信号から、固有 の識別コードを生成する。なお、 PUFには、スペックルパタンを利用した Optical P UF、ゲート遅延を利用した Silicon PUF、誘電率を利用した Coating PUF、およ びノイズ音を利用した Acoustic PUFなどがある。

[0220] (4)誤り訂正情報生成装置の環境変化部では、 PUF回路の周囲の温度を変化さ せるとしていたが、他の環境変化、例えば、電圧変化であってもよい。また、環境変化 ではなぐ現在の環境を取得して、環境変化解析部へ現在の環境を知らせる構成で あよい。

[0221] (5)第 2の PUF回路において、差分から" 0"から" 7"までの値への変換するルール は予め、固定化したものを与えている力 この変換ルールを誤り訂正情報生成装置 が決定して第 2の PUF回路に埋め込む、もしくは誤り訂正部分情報格納部に格納し てもよい。また、第 2の PUF回路の誤り訂正情報を誤り訂正部分情報格納部に格納 してもよい。この場合、第 2の PUF回路の誤り訂正情報を用いて、誤り訂正用 PUF情 報を知り、誤り訂正部分情報から第 1の PUF回路の誤り訂正情報を攻撃者が知ること が可能になる。しかし、攻撃者の解析に要する処理量が大きくなるため、安全性の向 上としては有効である。さらに、 PUF回路をさらに第 3、第 4、 · · ·と追加して、誤り訂 正情報を攻撃者がより求めに《してもよい。

[0222] (6)実施の形態では、 2個のリングオシレータの発振周波数の大小関係から 1ビット または 3ビットの出力ビットを決定していた力 これは 2個とは限らず、 3個以上のリン グオシレータであってもよい。このとき、例えば、 3個のリングオシレータの周波数が、 A、 B、 Cのとき、 A、 B、 Cの大小関係の全パタンと出力ビットの対応関係が予めルー ルとして決定されていれば良い。また、このとき入力値再設定判定部における判定方 法としては、 A、 B、 Cを周波数の大きい順に並べた上で、（1番目の周波数）と（2番 目の周波数)の差分と（2番目の周波数)と（3番目の周波数)の差分をそれぞれ計算 し、各差分値が所定の閾値以上であるかどうかをチェックすることで、判定すればよ い。

[0223] (7)実施の形態では、「入力値データの設定」処理および「入力値データの再設定 」処理において、入力値設定用閾値以上の差分を有する入力値ペア (Nl , N2)が 見つかった時点で、そのィ直を、入カイ直保管部に設定あるいは再設定していた力 こ れは、まず全ての入力値ペア（Nl , N2)について、周波数の差分値を求めた上で、 差分値の一番大きくなる (Nl , N2)を選び、そのときの差分値が入力値設定用閾値 以上であれば、選んだ値を入力値保管部に設定あるいは再設定し、上記閾値未満 であれば、入力値設定失敗信号ある!/、は入力値再設定失敗信号を送付するようにし てもよい。

[0224] (8)閾値保管部に保管する入力設定用閾値及び入力値再設定判定用閾値は、必 ずしも PUF回路の製造時に設定する必要はなぐ製造後に、設定するようにしても良 い。また、一度設定した後でも、再設定ができるようにしても良い。つまり、入力設定 用閾値及び入力値再設定判定用閾値の少なくとも一方を更新してもよい。例えば、 P UF回路が出力ビット算出処理を所定回数行うたびに、閾値を変更したり、入力値デ 一タの再設定処理の際に、現在設定されている入力設定用閾値を満たすリングオシ レータペアが存在しない場合には、今の閾値よりも小さくするようにその閾値を変更し たり、してもよい。

[0225] (9)入力値再設定判定部による入力値再設定判定は、出力ビット算出処理を行うご とに毎回行う必要はなぐ所定回数出力ビット算出処理を行うごとに行うようにしてもよ いし、外部からの指示信号を受け付けたときに行うようにしてもよい。

[0226] (10)本実施の形態では、発振回路としてリングオシレータを用いた場合の構成を 示しているが、これは固体振動子発振回路、 CR発振回路、 LC反結合発振回路、な ど発振回路であれば何でもよレ、。

[0227] (11)実施の形態では、 1つの PUF回路から出力されるデータは 1ビットまたは 3ビッ トであった力 S、これは 1ビットまたは 3ビットに限定されず、発振周波数の大小関係から 出力ビットを決定する決定ルールを予め決めておけば、 2ビットや 4ビット以上であつ てもよい。

[0228] (12)上記の各装置は、具体的には、マイクロプロセッサ、 ROM、 RAM,ハードデ イスクュニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンビユー タシステムである。前記 RAMまたはハードディスクユニットには、コンピュータプログラ ムが記憶されている。前記マイクロプロセッサ力 前記コンピュータプログラムにしたが つて動作することにより、各装置は、その機能を達成する。ここでコンピュータプロダラ ムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが 複数個組み合わされて構成されたものである。

[0229] (13)上記の各装置を構成する構成要素の一部または全部は、 1個のシステム LSI

(Large Scale Integration：大規模集積回路）から構成されているとしてもよい。 システム LSIは、複数の構成部を 1個のチップ上に集積して製造された超多機能 LSI であり、具体的には、マイクロプロセッサ、 ROM、 RAMなどを含んで構成されるコン ピュータシステムである。前記 RAMには、コンピュータプログラムが記憶されている。 前記マイクロプロセッサ力 前記コンピュータプログラムにしたがって動作することによ り、システム LSIは、その機能を達成する。

[0230] (14)上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能 な IC (Integrated Circuit)カードまたは単体のモジュールから構成されているとしても よい。例えば、図 4に示す情報セキュリティ装置 1100の全体を ICカードとして構成し たり、その情報セキュリティ装置 1100のうち情報生成用 PUF部 1104と、誤り訂正部 1105と、誤り訂正情報生成部 1108と、誤り訂正用 PUF部 1106と、誤り訂正部分情 報格納部 1107とを ICカードとして構成してもよい。前記 ICカードまたは前記モジュ ールは、マイクロプロセッサ、 ROM、 RAMなどから構成されるコンピュータシステム である。前記 ICカードまたは前記モジュールは、上記の超多機能 LSIを含むとしても よい。マイクロプロセッサ力 コンピュータプログラムにしたがって動作することにより、 前記 ICカードまたは前記モジュールは、その機能を達成する。この ICカードまたはこ のモジュールは、耐タンパ性を有するとしてもよ!/、。

[0231] (15)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンビュ ータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプ ログラムからなるディジタル信号であるとしてもよい。

[0232] (16)また、本発明は、前記コンピュータプログラムまたは前記ディジタル信号をコン ピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、 C D— ROM、 MO、 DVD, DVD-ROM, DVD -RAM, BD (Blu— ray Disc)、半 導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されてい る前記ディジタノレ信号であるとしてあよレ、。 [0233] (17)また、本発明は、前記コンピュータプログラムまたは前記ディジタル信号を、電 気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、デ ータ放送等を経由して伝送するものとしてもよい。

[0234] (18)また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであ つて、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセ ッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。

[0235] (19)また、前記プログラムまたは前記ディジタル信号を前記記録媒体に記録して 移送することにより、または前記プログラムまたは前記ディジタル信号を前記ネットヮ 一ク等を経由して移送することにより、独立した他のコンピュータシステムにより実施 するとしてあよい。

[0236] (20)上記実施の形態;!〜 3及び上記変形例をそれぞれ組み合わせるとしてもよい

〇

産業上の利用可能性

[0237] 本発明に係る情報セキュリティ装置は、メモリに格納された情報を用いても、 PUFに より秘匿された鍵値などの秘密データを攻撃者が知ることができなくなり、 PUFの安 全性が低下しないようにすることができるという効果を奏し、例えば、 ICカードなどに 適用すること力できる。また、本発明に力、かる情報セキュリティ装置は、鍵データや ID データなどの秘密データをセキュアかつ安価に保持しつつ、従来技術よりも、経年変 化に対する秘密データの安定性を向上させるという特徴を有するので、高セキユリテ ィ、低コスト、かつ高安定性での実現が求められる情報セキュリティ装置の実現に有 用である。

Claims

請求の範囲

[1] 予め設定された秘密データを出力する情報セキュリティ装置であって、

予め定められた秘密データを出力するように物理特性を利用して設定された耐タン パー性を有する第 1の耐タンパ一回路と、

第 1の訂正用データを記憶している訂正用データ記憶手段と、

第 2の訂正用データを出力するように物理特性を利用して設定された耐タンパ一性 を有する第 2の耐タンパ一回路と、

前記訂正用データ記憶手段に記憶されている第 1の訂正用データと、前記第 2の 耐タンパ一回路から出力される第 2の訂正用データとを用いて、誤り訂正情報を生成 する訂正情報生成手段と、

前記訂正情報生成手段により生成された誤り訂正情報を用いて、前記第 1の耐タン パー回路から出力される秘密データに対して誤り訂正を行い、誤り訂正された前記 秘密データを出力する誤り訂正手段と

を備えることを特徴とする情報セキュリティ装置。

[2] 前記情報セキュリティ装置は、さらに、

入力データを取得する取得手段と、

前記誤り訂正手段から出力される秘密データを鍵として用い、前記鍵により前記入 力データを暗号化する暗号化手段とを備える

ことを特徴とする請求項 1記載の情報セキュリティ装置。

[3] 前記第 1の耐タンパ一回路に設定される秘密データと、前記第 2の耐タンパ一回路 に設定される第 2の訂正用データとは、 PUF (Physically Unclonable Function)により 設定されている

ことを特徴とする請求項 1記載の情報セキュリティ装置。

[4] 前記第 1の耐タンパ一回路は、 1ビットの値を前記秘密データの少なくとも一部とし て出力する 1つ以上の第 1の PUF回路を備え、

前記第 2の耐タンパ一回路は、 2ビット以上の値を前記第 2の訂正用データの少なく とも一部として出力する 1つ以上の第 2の PUF回路を備える

ことを特徴とする請求項 3記載の情報セキュリティ装置。

[5] 前記第 1の耐タンパ一回路は、 1つ以上の第 1の PUF回路を備え、 前記第 1の PUF回路は、

発振信号を出力する N (N≥ 2)個の発振部と、

前記 N個の発振部から M (M≤N)個の発振部を選択する選択部と、

前記選択部により選択された M個の発振部から出力される発振信号の周波数の大 小関係に基づいて出力値を決定して出力する決定部とを備え、

前記選択部は、前記決定部によって決定される出力値が前記予め定められた秘密 データの少なくとも一部を示すように M個の発振部を選択する

ことを特徴とする請求項 3記載の情報セキュリティ装置。

[6] 前記選択部は、前記 M個の発振部から出力される発振信号の周波数の差分が第 1 の閾値以上となるように前記 M個の発振部を選択する

ことを特徴とする請求項 5記載の情報セキュリティ装置。

[7] 前記情報セキュリティ装置は、さらに、

前記誤り訂正手段から出力される誤り訂正後の秘密データと、前記第 1の耐タンパ 一回路から出力される秘密データとを比較することにより、前記第 1の耐タンパ一回 路から出力される秘密データに誤りが生じたか否力、を判別する誤り判別手段と、 前記誤り判別手段により誤りが生じたと判別されたときには、前記第 1の耐タンパ一 回路に対して、前記予め定められた秘密データの再設定を要求する再設定要求手 段とを備え、

前記第 1の PUF回路は、さらに、

前記再設定要求手段から再設定の要求を受け付けたときには、前記選択部による 選択を再度実行させることにより、前記予め定められた秘密データの再設定を行う再 設定部を備える

ことを特徴とする請求項 6記載の情報セキュリティ装置。

[8] 前記第 1の PUF回路は、さらに、

前記予め定められた秘密データの少なくとも一部を記憶するための秘密データ用 記憶部と、

前記選択部が M個の発振部を選択する際に、前記発振周波数の差分が前記第 1 の閾値以上となるような M個の発振部を選択することができないときに、前記秘密デ ータの少なくとも一部を前記秘密データ用記憶部に格納する格納処理部と、 前記秘密データ用記憶部に前記秘密データの少なくとも一部が格納されていると きには、前記決定部による出力値の決定を禁止し、前記秘密データ用記憶部に格納 されている前記秘密データの少なくとも一部を出力する出力制御部とを備える ことを特徴とする請求項 7記載の情報セキュリティ装置。

[9] 前記第 1の耐タンパ一回路は、

複数の前記第 1の PUF回路と、

前記複数の第 1の PUF回路から出力される出力値を結合することにより秘密データ を生成する結合部とを備え、

前記誤り判別手段は、前記第 1の耐タンパ一回路から出力される秘密データに誤り が生じたと判別するときには、さらに、前記複数の第 1の PUF回路のうち、誤った出 力値を出力する第 1の PUF回路を特定し、

前記再設定要求手段は、誤った出力値を出力していると特定された第 1の PUF回 路に対して、出力値が前記予め定められた秘密データの一部を示すように、出力値 の再設定を要求する

ことを特徴とする請求項 7記載の情報セキュリティ装置。

[10] 前記情報セキュリティ装置は、さらに、

前記誤り訂正手段から出力される誤り訂正後の秘密データと、前記第 1の耐タンパ 一回路から出力される誤り訂正前の秘密データとを比較することにより、前記誤り訂 正前の秘密データに誤りが生じたか否かを判別する誤り判別手段と、

前記誤り判別手段により誤りが生じたと判別されたときには、前記第 1の耐タンパ一 回路に対して、前記予め定められた秘密データの再設定を要求する再設定要求手 段とを備え、

前記第 1の PUF回路は、さらに、

前記予め定められた秘密データの少なくとも一部を記憶するための秘密データ用 記憶部と、

前記再設定要求手段から再設定の要求を受け付けたときには、前記秘密データの 少なくとも一部を前記秘密データ用記憶部に格納する格納処理部と、 前記秘密データ用記憶部に前記秘密データの少なくとも一部が格納されていると きには、前記決定部による出力値の決定を禁止し、前記秘密データ用記憶部に格納 されている前記秘密データの少なくとも一部を出力する出力制御部とを備える ことを特徴とする請求項 6記載の情報セキュリティ装置。

[11] 前記第 1の PUF回路は、さらに、

前記 M個の発振部から出力される発振信号の周波数の差分が第 2の閾値未満で あるか否かを判別する差分判別部と、

前記差分判別部によって前記第 2の閾値未満であると判別されると、前記選択部に よる選択を再度実行させることにより、前記予め定められた秘密データの再設定を行 う再設定部とを備える

ことを特徴とする請求項 6記載の情報セキュリティ装置。

[12] 前記第 1の PUF回路は、さらに、

前記第 1および第 2の閾値のうちの少なくとも一方を格納している閾値格納部と、 前記閾値格納部に格納されている、前記第 1および第 2の閾値のうちの少なくとも 一方を更新する更新部とを備える

ことを特徴とする請求項 11記載の情報セキュリティ装置。

[13] 前記選択部は、

前記 M個の発振部から出力される発振信号の周波数の差分が第 1の閾値以上とな るような前記 M個の発振部を検索する検索部と、

前記検索部によって検索された M個の発振部を示す選択パラメータを保持するパ ラメータ保持部と、

前記パラメータ保持部に保持されている選択パラメータの示す M個の発振部を選 択すべき M個の発振部と決定して選択する選択決定部とを備える

ことを特徴とする請求項 6記載の情報セキュリティ装置。

[14] 秘密データの誤りを訂正するための第 1の訂正用データを生成するデータ生成装 置であって、

予め定められた秘密データを出力するように物理特性を利用して設定された耐タン パー性を有する第 1の耐タンパ一回路から出力される出力値を計測する第 1の計測 手段と、

第 2の訂正用データを出力するように物理特性を利用して設定された耐タンパ一性 を有する第 2の耐タンパ一回路から出力される出力値を計測する第 2の計測手段と、 前記第 1および第 2の計測手段によって計測された出力 に基づいて、前記第 1の 訂正用データを生成するデータ生成手段と、

前記データ生成手段によって生成された前記第 1の訂正用データを記憶媒体に格 納する格納処理手段と

を備えることを特徴とするデータ生成装置。

[15] 前記データ生成手段は、

前記第 1の計測手段によって計測された出力値と、前記秘密データの示す値との 差分を算出することにより、誤り訂正情報を生成する第 1の生成手段と、

前記第 2の計測手段によって計測された出力値と、前記誤り訂正情報の示す値と の差分を算出することにより、前記第 1の訂正用データを生成する第 2の生成手段と を備える

ことを特徴とする請求項 14記載のデータ生成装置。

[16] 前記第 1および第 2の計測手段は、出力値の計測を繰り返し行い、

前記第 1の生成手段は、繰り返し計測された出力値の分布に基づいて特定される 出力値を用いて前記誤り訂正情報を生成し、

前記第 2の生成手段は、繰り返し計測された出力値の分布に基づいて特定される 出力値を用いて前記第 1の訂正用データを生成する

ことを特徴とする請求項 15記載のデータ生成装置。

[17] 前記データ生成装置は、さらに、

前記第 1および第 2の耐タンパ一回路から出力される出力値の計測が行われるごと に、前記第 1および第 2の耐タンパ一回路の周辺環境を変化させる環境変化手段を 備える

ことを特徴とする請求項 16記載のデータ生成装置。

[18] 前記環境変化手段は、前記第 1および第 2の耐タンパ一回路の周辺温度を変化さ せる

ことを特徴とする請求項 17記載のデータ生成装置。

[19] 予め設定された秘密データを出力する情報セキュリティ方法であって、

予め定められた秘密データを出力するように物理特性を利用して設定された耐タン パー性を有する第 1の耐タンパ一回路から秘密データを出力させる第 1の出カステツ プと、

第 1の訂正用データを記憶している訂正用データ記憶手段から前記第 1の訂正用 データを出力させる第 2の出力ステップと、

第 2の訂正用データを出力するように物理特性を利用して設定された耐タンパ一性 を有する第 2の耐タンパ一回路から第 2の訂正用データを出力させる第 3の出力ステ 前記第 2の出力ステップで出力される第 1の訂正用データと、前記第 3の出カステツ プで出力される第 2の訂正用データとを用いて、誤り訂正情報を生成する訂正情報 生成ステップと、

前記訂正情報生成ステップで生成された誤り訂正情報を用いて、前記第 1の出力 ステップで出力される秘密データに対して誤り訂正を行い、誤り訂正された前記秘密 データを出力する誤り訂正ステップと

を含むことを特徴とする情報セキュリティ方法。

[20] 秘密データの誤りを訂正するための第 1の訂正用データを生成するデータ生成方 法であって、

予め定められた秘密データを出力するように物理特性を利用して設定された耐タン パー性を有する第 1の耐タンパ一回路から出力される出力値を計測する第 1の計測 第 2の訂正用データを出力するように物理特性を利用して設定された耐タンパ一性 を有する第 2の耐タンパ一回路から出力される出力値を計測する第 2の計測ステップ と、

前記第 1および第 2の計測ステップで計測された出力 に基づレ、て、前記第 1の訂 正用データを生成するデータ生成ステップと、 前記データ生成ステップで生成された前記第 1の訂正用データを記憶媒体に格納 する格納ステップと

を含むことを特徴とするデータ生成方法。

[21] 予め設定された秘密データを出力するためのプログラムであって、

予め定められた秘密データを出力するように物理特性を利用して設定された耐タン パー性を有する第 1の耐タンパ一回路から秘密データを出力させる第 1の出カステツ プと、

第 1の訂正用データを記憶している訂正用データ記憶手段から前記第 1の訂正用 データを出力させる第 2の出力ステップと、

第 2の訂正用データを出力するように物理特性を利用して設定された耐タンパ一性 を有する第 2の耐タンパ一回路から第 2の訂正用データを出力させる第 3の出力ステ 前記第 2の出力ステップで出力される第 1の訂正用データと、前記第 3の出カステツ プで出力される第 2の訂正用データとを用いて、誤り訂正情報を生成する訂正情報 生成ステップと、

前記訂正情報生成ステップで生成された誤り訂正情報を用いて、前記第 1の出力 ステップで出力される秘密データに対して誤り訂正を行い、誤り訂正された前記秘密 データを出力する誤り訂正ステップと

をコンピュータに実行させることを特徴とするプログラム。

[22] 秘密データの誤りを訂正するための第 1の訂正用データを生成するためのプロダラ ムであって、

予め定められた秘密データを出力するように物理特性を利用して設定された耐タン パー性を有する第 1の耐タンパ一回路から出力される出力値を計測する第 1の計測 第 2の訂正用データを出力するように物理特性を利用して設定された耐タンパ一性 を有する第 2の耐タンパ一回路から出力される出力値を計測する第 2の計測ステップ と、

前記第 1および第 2の計測ステップで計測された出力 に基づレ、て、前記第 1の訂 正用データを生成するデータ生成ステップと、

前記データ生成ステップで生成された前記第 1の訂正用データを記憶媒体に格納 する格納ステップと

をコンピュータに実行させることを特徴とするプログラム。

[23] 予め設定された秘密データを出力する集積回路であって、

予め定められた秘密データを出力するように物理特性を利用して設定された耐タン パー性を有する第 1の耐タンパ一回路と、

第 1の訂正用データを記憶している訂正用データ記憶手段と、

第 2の訂正用データを出力するように物理特性を利用して設定された耐タンパ一性 を有する第 2の耐タンパ一回路と、

前記訂正用データ記憶手段に記憶されている第 1の訂正用データと、前記第 2の 耐タンパ一回路から出力される第 2の訂正用データとを用いて、誤り訂正情報を生成 する訂正情報生成手段と、

前記訂正情報生成手段により生成された誤り訂正情報を用いて、前記第 1の耐タン パー回路から出力される秘密データに対して誤り訂正を行い、誤り訂正された前記 秘密データを出力する誤り訂正手段と

を備えることを特徴とする集積回路。

[24] 秘密データの誤りを訂正するための第 1の訂正用データを生成する集積回路であ つて、

予め定められた秘密データを出力するように物理特性を利用して設定された耐タン パー性を有する第 1の耐タンパ一回路から出力される出力値を計測する第 1の計測 手段と、

第 2の訂正用データを出力するように物理特性を利用して設定された耐タンパ一性 を有する第 2の耐タンパ一回路から出力される出力値を計測する第 2の計測手段と、 前記第 1および第 2の計測手段によって計測された出力値に基づいて、前記第 1の 訂正用データを生成するデータ生成手段と、

前記データ生成手段によって生成された前記第 1の訂正用データを記憶媒体に格 納する格納処理手段と を備えることを特徴とする集積回路。