WO2019142898A1

WO2019142898A1 - 固体撮像装置、固体撮像装置の駆動方法、および電子機器

Info

Publication number: WO2019142898A1
Application number: PCT/JP2019/001423
Authority: WO
Inventors: 俊介大倉; 白畑　正芳; 藤野　毅; 汐崎　充; 久保田　貴也
Original assignee: ブリルニクスジャパン株式会社; 学校法人立命館
Priority date: 2018-01-22
Filing date: 2019-01-18
Publication date: 2019-07-25
Also published as: US11637982B2; CN111630845B; JP2019129355A; US20210127080A1; CN111630845A; JP7114833B2

Abstract

固体撮像装置１０は、画素部２０と、画素部２０から画素信号の読み出しを行う読み出し部９０と、ファジー抽出器（Fuzzy Extractor）を含み、画素および読み出し部のばらつき情報の少なくともいずれかに関連付けて固有鍵を含むレスポンスデータを生成するレスポスデータ生成部８０を、を有し、レスポンスデータ生成部１０は、鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるばらつき情報と、鍵再生成時のばらつき情報より予測した信頼度情報とを用いて固有鍵を生成する。これにより、信頼度情報を得るためのレスポンスの複数測定とヘルパーデータへの信頼度付与が不要で、初期鍵生成時にファジー抽出器の保存デ－タが増大することを防止でき、秘匿性の高い固有のレスポンスデータを生成することが可能となる。

Description

固体撮像装置、固体撮像装置の駆動方法、および電子機器

　本発明は、固体撮像装置、固体撮像装置の駆動方法、および電子機器に関するものである。

　光を検出して電荷を発生させる光電変換素子を用いた固体撮像装置（イメージセンサ）として、ＣＭＯＳ（Complementary Metal Oxide Semiconductor）イメージセンサが実用に供されている。
　ＣＭＯＳイメージセンサは、デジタルカメラ、ビデオカメラ、監視カメラ、医療用内視鏡、パーソナルコンピュータ（ＰＣ）、携帯電話等の携帯端末装置(モバイル機器)等の各種電子機器の一部として広く適用されている。

　このように、様々な分野の光撮像に利用されるＣＭＯSイメージセンサの市場規模は大きく、今後も車載カメラをはじめとする搭載アプリケーションの増加により需要が伸びることが予想される。

　そして、近年、身の回りのあらゆるモノをインターネットに接続するＩｏＴ(Internet of Things)が大きく注目を集めている。ＩｏＴによって得られたデータが、インターネットを通じてクラウド側の計算機に収集され，解析された結果を再びＩｏＴ側に情報として伝えることが可能になっている。
　たとえば、完全自動運転などを実現する場合の車載センサもＩｏＴとみなすことができ、取得データの改ざんは事故など重大な被害を生じるおそれがある。

　このように、ＩｏＴ時代の情報の入り口であるＩｏＴセンサのセキュリティを高めることが重要になってくる。ＩｏＴセンサのセキュリティを高める要件としては、まずは不正なセンサが接続されていないこと、次の段階として、センサで取得されたデータが改ざんされていないことを確認する手段が必要となる。
　従来の暗号技術ではデジタル化されたマイコンチップ以降の信号は守られているが、センサチップから出てくる直後の信号が必ずしも守られていない。その理由は、部品としてのセンサ単体には低コストが求められ、余分な回路となるセキュリティ技術が普及していないためである。

　一方、ＬＳＩのセキュリティ技術としてＰＵＦ (Physically Unclonable Function；物理複製困難関数)と呼ばれる技術が近年注目を集めている。ＰＵＦは半導体におけるばらつきを物理特徴量として抽出し、デバイス固有の出力を得る技術である。
　また、半導体デバイスにおいてＰＵＦとは、製造時に発生するトランジスタのしきい値のばらつきなどにより起こる微小な性能のずれを抽出し、固有のＩＤとして出力する回路である。
　このＰＵＦで発生させた固有ＩＤを用いてデバイスを認証したり、取得データに真正性を確保するためのメッセージ認証符号（ＭＡＣ）を付与したりすることで情報の改ざんを防止できる。

　以上のような状況において、ＣＭＯＳイメージセンサ(CIS)に余分な回路を追加せず、ＣＩＳの画素ばらつきを取り出し、それを個体固有の情報として利用することでセキュリティ機能をもたせられるＣＭＯＳイメージセンサＰＵＦ(CIS-PUF)が提案されている。

　たとえば、非特許文献１および２には、センサのデバイス認証と画像データの改ざんを防止する対策として、ＣＭＯＳイメージセンサにおける画素ばらつき情報からＰＵＦの固有ＩＤを生成するＣＭＯＳイメージセンサＰＵＦ (CIS-PUF)が提案されている。

　これらのＣＩＳ-ＰＵＦではＰＵＦレスポンスを生成する際に、画素トランジスタのばらつきに相当する複数ビット、たとえば１２ビットのデジタル値（Ｖｏｕｔ）を出力し，隣接するトランジスタのしきい値電圧の大小関係より１／０のレスポンスを得る。
　大小比較する画素トランジスタの値Ｖｏｕｔの差が大きい場合は、ノイズや温度・電圧などの環境条件が変動しても、しきい値電圧の大小関係は反転しないため、安定なビットであることが判断できる。

　なお、ＰＵＦレスポンス生成時に、レスポンス中で、エラービットになりやすいビットを予測できる性質は、従来典型的なＰＵＦとして提案されている（非特許文献３，４参照）。

大倉，名倉，白畑，汐崎，久保田，石川，高柳，藤野,"CMOSイメージセンサの画素ばらつきを活用した PUF(CIS-PUF) の提案 (1) ‐基本コンセプトとシミュレーション検討‐",2017年暗号と情報セキュリティシンポジウム(SCIS2017),3C4-4,2017. 名倉，大倉，白畑，汐崎，久保田，石川，高柳，藤野,"CMOSイメージセンサの画素ばらつきを活用した PUF(CIS-PUF) の提案 (2) ‐実データによるPUF性能評価‐", 2017年暗号と情報セキュリティシンポジウム(SCIS2017),3C4-5,2017. D. Lim，J. W. Lee, B. Gassend, G. E. Suh, M. van Dijk, S. Devadas, "Extracting secret keys from integrated circuits", IEEE Trans. on VLSI System，vol 13，no. 10，pp.1200-1205，2005. G.E. Suh，S. Devadas，"Physical Unclonable Functions for Device Authentication and Secret Key Generation"DAC’07，pp.9-14，2007. Y. Dodis, R. Ostrovsky, L. Reyzin, and A. Smith, "Fuzzy Extractors: How to Generate Strong Keys from Biometrics and Other Noizy Data," LNCS 3027, pp.523- 540, 2004. [7] 谷口，汐崎，村山，久保，藤野,"物理的複製不可能関数(PUF)デバイスにおけるレスポンスの再現性向上のための軟判定Fuzzy Extractorの検討", 電子情報通信学会技術研究報告 : 信学技報 112(382), 19-24, 2013-01-21.

　ところで、デバイス個体固有のばらつきをセキュリティに利用するＰＵＦの応用としてチャレンジおよびレスポンス認証（Challenge & Response(CR認証)）と暗号鍵（固有鍵）生成の利用がある。

　ＰＵＦのレスポンスにはノイズによるエラ－がつきものであり、前者のＣＲ認証ではエラーを考慮し、一致しないビットをある程度許容する閾値を設け認証する方法が取られている。
　一方、後者の暗号鍵生成ではビットエラ－が許されず、初期鍵生成以降、同じ鍵を生成する(再生成)にはエラ－を除去する技術が必要となる。

　この鍵生成およびエラーを除去する技術として、ファジー抽出器（Fuzzy Extractor）が提案されている（たとえば非特許文献５参照）。
　このファジー抽出器では、冗長をもたせた符号からエラ－を除去し真の符号を判定する方法が用いられている。
　判定方法として硬判定と、軟判定という技術が提案されている。

　このように、安定なレスポンスを生成するためにはファジー抽出器（Fuzzy Extractor）が用いられ、この誤り訂正能力を高めるために、ＰＵＦの個別のビットに付与された信頼度情報を用いる軟判定に対応したファジー抽出器が提案されている（たとえば非特許文献６参照）。
　この種の軟判定ファジー抽出器では、事前にＰＵＦレスポンスを多数回生成し、その信頼度を算出した後、その信頼度をヘルパーデータに付与している。
　そのため、信頼度情報を得るためのレスポンスの複数測定とヘルパーデータへの信頼度付与が必要となり、チップごとに信頼度情報を得るための追加の処理が必要であり、初期鍵生成時にファジー抽出器（Fuzzy Extractor）の保存デ－タが増大するという不利益がある。

　本発明は、信頼度情報を得るために事前にチップごとのレスポンスの複数測定とヘルパーデータへの信頼度付与が不要で、初期鍵生成時にファジー抽出器（Fuzzy Extractor）の保存デ－タが増大することを防止でき、秘匿性の高い固有のレスポンスデータを生成することが可能で、ひいては画像の改ざん、ねつ造を確実に防止することが可能な固体撮像装置、固体撮像装置の駆動方法、および電子機器を提供することにある。

　本発明の第１の観点の固体撮像装置は、光電変換機能を有する複数の画素が行列状に配列された画素部と、前記画素部から画素信号の読み出しを行う読み出し部と、ファジー抽出器（Fuzzy Extractor）を含み、前記画素のばらつき情報および前記読み出し部のばらつき情報の少なくともいずれかに関連付けて固有鍵を含むレスポンスデータを生成するレスポスデータ生成部を、を有し、前記レスポンスデータ生成部は、鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるばらつき情報と、当該鍵再生成時のばらつき情報より予測した信頼度情報とを用いて固有鍵を生成する。

　本発明の第２の観点は、光電変換機能を有する複数の画素が行列状に配列された画素部と、前記画素部から画素信号の読み出しを行う読み出し部と、を含む固体撮像装置の駆動方法であって、前記画素のばらつき情報および前記読み出し部のばらつき情報の少なくともいずれかの情報を取得する情報取得ステップと、ファジー抽出器（Fuzzy Extractor）を適用して、前記情報取得ステップで取得したばらつき情報に関連付けて固有鍵を含むレスポンスデータを生成するレスポスデータ生成ステップと、を含み、前記レスポンスデータ生成ステップにおいて、鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるばらつき情報と、当該鍵再生成時のばらつき情報より予測した信頼度情報とを用いて固有鍵を生成する。

　本発明の第３の観点の電子機器は、固体撮像装置と、前記固体撮像装置に被写体像を結像する光学系と、を有し、前記固体撮像装置は、光電変換機能を有する複数の画素が行列状に配列された画素部と、前記画素部から画素信号の読み出しを行う読み出し部と、ファジー抽出器（Fuzzy Extractor）を含み、前記画素のばらつき情報および前記読み出し部のばらつき情報の少なくともいずれかに関連付けて固有鍵を含むレスポンスデータを生成するレスポスデータ生成部を、を有し、前記レスポンスデータ生成部は、鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるばらつき情報と、当該鍵再生成時のばらつき情報より予測した信頼度情報とを用いて固有鍵を生成する。

　本発明によれば、信頼度情報を得るために事前にチップごとのレスポンスの複数測定とヘルパーデータへの信頼度付与が不要で、初期鍵生成時にファジー抽出器（Fuzzy Extractor）の保存デ－タが増大することを防止でき、秘匿性の高い固有のレスポンスデータを生成することが可能で、ひいては画像の改ざん、ねつ造を確実に防止することが可能となる。

図１は、本発明の実施形態に係る固体撮像装置の構成例を示すブロック図である。図２は、チャレンジおよびレスポンス認証（Challenge & Response(CR認証)）システムの概要について説明するための図である。図３は、本実施形態に係る画素の一例を示す回路図である。図４（Ａ）～図４（Ｃ）は、本発明の実施形態に係る固体撮像装置の画素部の列出力の読み出し系の構成例を説明するための図である。図５は、本実施形態に係る暗号化処理系であるレスポンス生成部の全体的な概要を示すブロック図である。図６は、図５の暗号化処理系であるレスポンスデータ作成の処理を模式的に示す図である。図７（Ａ）および図７（Ｂ）は、画素のばらつき情報としてリーク電流を採用した理由について説明するための図である。図８（Ａ）および図８（Ｂ）は、１画素当たりの情報量についての一例を示す図である。図９（Ａ）および図９（Ｂ）は、９つの要素の場合の出力と情報量について説明するための図である。図１０は、１６の要素の場合の偏った出力と情報量について説明するための図である。図１１（Ａ）～図１１（Ｄ）は、画素のリーク電流としてフォトダイオードのリーク電流を採用した場合の通常動作モードとレスポンス作成モードにおける要部の動作波形等を示す図である。図１２（Ａ）および図１２（Ｂ）は、画素のばらつき情報として、画素部の有効画素以外の無効画素領域の情報を採用することを説明するための図である。図１３（Ａ）～図１３（Ｅ）は、画素のばらつき情報としてソースフォロワトランジスタのしきい値のばらつき情報を採用した場合の通常動作モードとレスポンス作成モードにおける要部の動作波形等を示す図である。図１４（Ａ）～図１４（Ｃ）は、ＣＭＯＳイメージセンサＰＵＦ(CIS-PUF)のＰＵＦレスポンスとしてのばらつき情報における安定ビットの出力ペアと不安定ビットの出力ペアのヒストグラムを示す図である。図１５は、ＣＭＯＳイメージセンサＰＵＦ(CIS-PUF)の要部を形成する２つの出力値を持つばらつき情報を取得するのに好適な情報取得部を含む、本実施形態に係る画素部および列毎に配置された列読出し回路の概要を示す図である。図１６は、図１５のＣＩＳ－ＰＵＦの画素ばらつきを利用したＰＵＦレスポンス生成の様子を示す図である。図１７は、図１５および図１６に示すようなレスポンス生成方式によって得られたＰＵＦ性能としての再現性とユニーク性を示す図である。図１８（Ａ）および図１８Ｆレスポンスの安定ビットと不安定ビットを示す図である。図１９（Ａ）および図１９（Ｂ）は、本実施形態に係る鍵生成部の固有鍵出力部に適用可能なファジー抽出器の構成例を示す図である。図２０は、本実施形態に係る信頼度を予測して設定する方法をより具体的に説明するための図である。図２１（Ａ）および図２１（Ｂ）は、本実施形態に係る第２の信頼度設定方法を説明するための第１の図である。図２２（Ａ）～図２２（Ｄ）は、本実施形態に係る第２の信頼度設定方法を説明するための第２の図である。図２３は、本実施形態に係る第１の信頼度設定方法および第２の信頼度設定方法、並びに、比較例としての一般的な硬判定ファジー抽出器を用いた判定方法の信頼度と第１の差ΔVout getとの関係を示す図である。図２４（Ａ）および図２４（Ｂ）は、比較例としての硬判定ファジー抽出器の構成例を示す図である。図２５は、信頼度を利用して判定を行う相関復号について説明するための図である。図２６（Ａ）および図２６（Ｂ）は、比較例としての相関復号を利用した軟判定ファジー抽出器の構成例を示す図である。図２７は、エラービットの計測結果を示す図である。図２８は、本実施形態に係る第１の信頼度設定方法および第２の信頼度設定方法、並びに、比較例としての一般的な硬判定ファジー抽出器を用いた判定方法のエラー訂正能力について示す図である。図２９は、本発明の実施形態に係る固体撮像装置が適用される電子機器の構成の一例を示す図である。

　１０，１０Ａ・・・固体撮像装置、２０，２０Ａ・・・画素部、３０・・・垂直走査回路、４０・・・読み出し回路、４４・・・クリップ回路、５０・・・水平走査回路、６０・・・タイミング制御回路、７０・・・信号処理回路、８０・・・暗号化処理系、８１・・・情報取得部、８２，８２Ａ・・・鍵生成部、８２０・・・ファジー抽出器、８２１・・・初期鍵生成部、８２２・・・鍵再生成部、８３・・・画像データ生成部、８４・・・識別データ生成部、８５・・・一体化部、８６・・・メモリ、９０・・・読み出し部、１０・・・ＣＲ認証システム、２００・・・ＣＩＳ－ＰＵＦチップ、３００・・・マイクロコンピュータ（マイコン）、４００・・・電子機器、４１０・・・ＣＭＯＳイメージセンサ（ＩＭＧＳＮＳ）、４２０・・・光学系、４３０・・・信号処理回路（ＰＲＣ）。

　以下、本発明の実施形態を図面に関連付けて説明する。

　図１は、本発明の実施形態に係る固体撮像装置の構成例を示すブロック図である。
　本実施形態において、固体撮像装置１０は、たとえばＣＭＯＳイメージセンサにより構成される。

　この固体撮像装置１０は、図１に示すように、撮像部としての画素部２０、垂直走査回路（行走査回路）３０、読み出し回路（列（カラム）読み出し回路）４０、水平走査回路（列走査回路）５０、タイミング制御回路６０、および信号処理回路７０を主構成要素として有している。
　これらの構成要素のうち、たとえば垂直走査回路３０、読み出し回路４０、水平走査回路５０、およびタイミング制御回路６０により画素信号の読み出し部９０が構成される。

　本実施形態に係る固体撮像装置１０は、センサのデバイス認証と画像データの改ざんを防止する対策として、ＣＭＯＳイメージセンサにおける画素ばらつきからＰＵＦの固有ＩＤを生成するＣＭＯＳイメージセンサＰＵＦ (CIS-PUF)として形成されている。
　固体撮像装置１０は、ＣＩＳ-ＰＵＦではＰＵＦのレスポンス（以下、ＰＵＦレスポンスという場合もある）を生成する際に、画素のばらつき情報および読み出し部のばらつき情報のうちの少なくともいずれか一方に関連付けて固有鍵を含むレスポンスデータを生成することが可能に構成される。

　本実施形態に係る固体撮像装置１０は、後で詳述するように、ＰＵＦレスポンスである画素や読み出し部９０のばらつき情報を生成する際に、一例として、画素トランジスタのばらつきに相当する複数ビット、たとえば１２ビットのデジタル値（Ｖｏｕｔ）を出力し、隣接するトランジスタのしきい値電圧の大小関係より１／０のレスポンスデータを取得する。
　固体撮像装置１０は、大小比較する画素トランジスタのデジタル値Ｖｏｕｔの差が大きい場合は、ノイズや温度・電圧などの環境条件が変動しても、しきい値電圧ＶＴＨとの大小関係は反転しないため、安定なビットであることが判断できる。

　そして、本実施形態に係る固体撮像装置１０は、レスポンスデータ生成部において、ファジー抽出器（Fuzzy Extractor）を適用し、安定なレスポンスを生成する方法として、画素トランジスタのばらつきに相当する複数ビット、たとえば１２ビットのデジタル値Ｖｏｕｔを有効に活用する方法が採用される。
　後で詳述するように、ＣＩＳ-ＰＵＦで得られるデジタル値Ｖｏｕｔに関連付けてＰＵＦレスポンスビットの信頼度情報を取得し、取得した信頼度情報を軟判定ファジー抽出器（鍵再生成部）に応用している。
　すなわち、本実施形態では、ＣＩＳ－ＰＵＦが鍵再生時のＰＵＦレスポンスであるばらつき情報より信頼度情報を予測できることから、初期鍵生成は硬判定と同様とし、鍵再生成時に取得デ－タより信頼度を付与して軟判定を行う。

　これにより、本実施形態の固体撮像装置１０は、信頼度情報を得るために事前にチップごとのレスポンスの複数測定とヘルパーデータへの信頼度付与が不要で、初期鍵生成時にファジー抽出器（Fuzzy Extractor）の保存デ－タが増大することを防止でき、秘匿性の高い固有のレスポンスデータを生成することが可能で、ひいては画像の改ざん、ねつ造を確実に防止することが可能となっている。

　また、本実施形態において、ＣＭＯＳイメージセンサＰＵＦ(CIS-PUF)は、ＣＭＯＳイメージセンサの画素ばらつきおよび読み出し部のばらつき情報のうちの少なくともいずれか一方を抽出しＰＵＦに応用したものである。
　本来、画素ばらつきの多くはＣＤＳ回路によって除去されるが、ＣＩＳ-ＰＵＦは相関二重サンプリング（ＣＤＳ：Correlated Double Sampling）回路を動作させて撮影する通常の撮像モード（通常動作モード）と、ＣＤＳ回路を動作させずに撮影するＰＵＦモード（レスポンス作成モード）を有している。

　また、ＣＩＳ-ＰＵＦは画素のアドレスをチャレンジ(Challenge)とし、所定の手順で生成した１／０データをレスポンス(Response)とするＰＵＦである。
　ここで、デバイス個体固有のばらつきをセキュリティに利用するＰＵＦの応用としてのチャレンジおよびレスポンス認証（Challenge & Response(CR認証)）の概要について説明する。

　図２は、チャレンジおよびレスポンス認証（Challenge & Response(CR認証)）システムの概要について説明するための図である。

　図２のＣＲ認証システム１００は、本実施形態に係る固体撮像装置１０を搭載したＣＩＳ－ＰＵＦチップ２００、およびマイクロコンピュータ（以下、マイコンという）３００を含んで構成されている。

　このＣＩＳ-ＰＵＦを用いたＣＲ認証システム１００においては、初めに認証側のマイコン３００がＣＩＳ－ＰＵＦチップ２００に対してＰＵＦモードコマンドを送信する（ステップＳＴ１）。
　これを受けてＣＩＳ－ＰＵＦチップ２００はＰＵＦモードで撮影を行いＰＵＦモード画像を得る。
　次に、マイコン３００は乱数発生器（ＲＮＧ）３０１によりどの画素を使用してＩＤを生成するかを乱数で決定し、そのアドレス指定をチャレンジ情報としてＣＩＳ－ＰＵＦチップ２００に送信する（ステップＳＴ２）。
　ＣＩＳ－ＰＵＦチップ２００は受け取ったアドレス指定に従ってＰＵＦモード画像を切り出し、１/０データを生成する。ＣＩＳ－ＰＵＦチップ２００は、このＩＤをチャレンジに対するレスポンスとしてマイコン３００に送信する（ステップＳＴ３）。
　マイコン３００は事前に登録しておいた１/０データから指定したアドレスのＩＤを切り出し、ＣＩＳ－ＰＵＦチップ２００から受け取ったＩＤと比較する。ＩＤが一致すれば認証成功となる（ステップＳＴ４）。

　以下、固体撮像装置１０の各部の構成および機能の概要、特に、画素部２０の構成および機能等について説明する。
　その後、本実施形態の固体撮像装置１０の特徴的な構成、機能について、固有鍵の生成、並びに固有鍵を含む識別データと画像データの一体化を行ってレスポンスデータを作成する、いわゆる暗号化処理であるレスポンスデータ作成処理を中心に説明する。
　より具体的には、レスポンスデータ生成部において、安定なレスポンスを生成するために、ファジー抽出器（Fuzzy Extractor）を適用し、安定なレスポンスを生成する方法として、画素トランジスタのばらつきに相当する１２ビットのデジタル値Ｖｏｕｔを有効に活用して、ＰＵＦレスポンスビットの信頼度情報を取得し、取得した信頼度情報を軟判定ファジー抽出器（鍵再生成部）に応用している具体的な方法等について詳述する。また、実データを使ってファジー抽出器における軟判定の訂正能力について考察した結果について述べる。

（画素並びに画素部２０の基本的な構成）
　画素部２０は、フォトダイオード（光電変換素子）と画素内アンプとを含む複数の画素がｎ行×ｍ列の２次元の行列状（マトリクス状）に配列されている。

　図３は、本実施形態に係る画素の一例を示す回路図である。

　この画素ＰＸＬは、たとえば光電変換素子であるフォトダイオード（ＰＤ）を有する。
　そして、このフォトダイオードＰＤに対して、転送トランジスタＴＧ－Ｔｒ、リセットトランジスタＲＳＴ－Ｔｒ、ソースフォロワトランジスタＳＦ－Ｔｒ、および選択トランジスタＳＥＬ－Ｔｒをそれぞれ一つずつ有する。

　フォトダイオードＰＤは、入射光量に応じた量の信号電荷（ここでは電子）を発生し、蓄積する。
　以下、信号電荷は電子であり、各トランジスタがｎ型トランジスタである場合について説明するが、信号電荷がホールであったり、各トランジスタがｐ型トランジスタであっても構わない。
　また、本実施形態は、後で例示するように、複数のフォトダイオード間で、リセットトランジスタＲＳＴ－Ｔｒ、ソースフォロワトランジスタＳＦ－Ｔｒ、および選択トランジスタＳＥＬ－Ｔｒの各トランジスタを共有している場合にも有効であり、また、選択トランジスタを有していない３トランジスタ（３Ｔｒ）画素を採用している場合にも有効である。

　転送トランジスタＴＧ－Ｔｒは、フォトダイオードＰＤとフローティングディフュージョンＦＤ（Ｆｌｏａｔｉｎｇ　Ｄｉｆｆｕｓｉｏｎ；浮遊拡散層）の間に接続され、制御信号ＴＧを通じて制御される。
　転送トランジスタＴＧ－Ｔｒは、制御信号ＴＧがハイレベル（Ｈ）の期間に選択されて導通状態となり、フォトダイオードＰＤで光電変換された電子をフローティングディフュージョンＦＤに転送する。

　リセットトランジスタＲＳＴ－Ｔｒは、電源線ＶＲｓｔとフローティングディフュージョンＦＤの間に接続され、制御信号ＲＳＴを通じて制御される。
　なお、リセットトランジスタＲＳＴ－Ｔｒは、電源線ＶＤＤとフローティングディフュージョンＦＤの間に接続され、制御信号ＲＳＴを通じて制御されるように構成してもよい。
　リセットトランジスタＲＳＴ－Ｔｒは、制御信号ＲＳＴがＨレベルの期間に選択されて導通状態となり、フローティングディフュージョンＦＤを電源線ＶＲｓｔ（またはＶＤＤ）の電位にリセットする。

　ソースフォロワトランジスタＳＦ－Ｔｒと選択トランジスタＳＥＬ－Ｔｒは、電源線ＶＤＤと垂直信号線ＬＳＧＮの間に直列に接続されている。
　ソースフォロワトランジスタＳＦ－ＴｒのゲートにはフローティングディフュージョンＦＤが接続され、選択トランジスタＳＥＬ－Ｔｒは制御信号ＳＥＬを通じて制御される。
　選択トランジスタＳＥＬ－Ｔｒは、制御信号ＳＥＬがＨの期間に選択されて導通状態となる。これにより、ソースフォロワトランジスタＳＦ－ＴｒはフローティングディフュージョンＦＤの電位に応じた列出力アナログ信号ＶＳＬを垂直信号線ＬＳＧＮに出力する。
　これらの動作は、たとえば転送トランジスタＴＧ－Ｔｒ、リセットトランジスタＲＳＴ－Ｔｒ、および選択トランジスタＳＥＬ－Ｔｒの各ゲートが行単位で接続されていることから、１行分の各画素について同時並列的に行われる。

　画素部２０には、画素ＰＸＬがｎ行×ｍ列配置されているので、各制御信号ＳＥＬ、ＲＳＴ、ＴＧの制御線はそれぞれｎ本、垂直信号線ＬＳＧＮはｍ本ある。
　図１においては、各制御信号ＳＥＬ、ＲＳＴ、ＴＧの制御線を１本の行走査制御線として表している。

　垂直走査回路３０は、タイミング制御回路６０の制御に応じてシャッター行および読み出し行において行走査制御線を通して画素の駆動を行う。
　また、垂直走査回路３０は、アドレス信号に従い、信号の読み出しを行うリード行と、フォトダイオードＰＤに蓄積された電荷をリセットするシャッター行の行アドレスの行選択信号を出力する。

　読み出し回路４０は、画素部２０の各列出力に対応して配置された複数の列（カラム）信号処理回路（図示せず）を含み、複数の列信号処理回路で列並列処理が可能に構成されてもよい。

　読み出し回路４０は、相関二重サンプリング（ＣＤＳ：Correlated Double Sampling）回路やＡＤＣ（アナログデジタルコンバータ；ＡＤ変換器）、アンプ（ＡＭＰ，増幅器）、サンプルホールド（Ｓ／Ｈ）回路等を含んで構成可能である。

　このように、読み出し回路４０は、たとえば図４（Ａ）に示すように、画素部２０の各列出力アナログ信号ＶＳＬをデジタル信号に変換するＡＤＣ４１を含んで構成されてもよい。
　あるいは、読み出し回路４０は、たとえば図４（Ｂ）に示すように、画素部２０の各列出力アナログ信号ＶＳＬを増幅するアンプ（ＡＭＰ）４２が配置されてもよい。
　また、読み出し回路４０は、たとえば図４（Ｃ）に示すように、画素部２０の各列出力アナログ信号ＶＳＬをサンプル、ホールドするサンプルホールド（Ｓ／Ｈ）回路４３が配置されてもよい。
　また、読み出し回路４０は、画素部２０の各列から出力される画素信号に対して所定の処理が施された信号を記憶するカラムメモリとしてのＳＲＡＭが配置されてもよい。

　水平走査回路５０は、読み出し回路４０のＡＤＣ等の複数の列信号処理回路で処理された信号を走査して水平方向に転送し、信号処理回路７０に出力する。

　タイミング制御回路６０は、画素部２０、垂直走査回路３０、読み出し回路４０、水平走査回路５０等の信号処理に必要なタイミング信号を生成する。

　信号処理回路７０は、通常読み出しモードＭＤＵのときには、読み出し回路４０により読み出され所定の処理が施された読み出し信号に対する所定の信号処理により２次元画像データを生成する。

　上述したように、固体撮像装置（ＣＭＯＳイメージセンサ）では、わずかな光で光電変換により発生した電子を、微小容量で電圧に変換し、さらに微小面積のソースフォロワトランジスタＳＦ－Ｔｒを用いて、出力している。そのため、容量をリセットする際に発生するノイズやトランジスタの素子ばらつきなどの微小なノイズを除去する必要があり、画素毎のリセットレベル（ＶＲＳＴ）と輝度レベル（信号レベル：ＶＳＩＧ）の差分を出力している。
　このように、ＣＭＯＳイメージセンサでは、画素毎のリセットレベルと輝度レベルの差分を出力することで、リセットノイズと閾値ばらつきを除去し、数電子の信号を検出することができる。この差分を検出する動作は、ＣＤＳ（相関二重サンプリング）と呼ばれ、広く用いられている技術であり、アレイ状に配置された全て画素に対して、ＣＤＳ読出しを順次行い、１フレーム分の通常の２次元画像データを出力する。

　本実施形態の固体撮像装置１０では、この通常の２次元画像データを生成するための動作は、通常動作モードＭＤＵで動作可能に構成されている。

　ただし、本実施形態における信号処理回路７０においては、画像の無断使用や改ざん、ねつ造等が行われてしまうことを防止するために、固体撮像装置１０の固有のばらつき情報（画素、読み出し回路のばらつき情報）から固有鍵を生成し、固有鍵と固体撮像装置１０から得られる取得データを組み合わせて識別データを生成し、この識別データを画像データに一体化してレスポンスデータＲＰＤとして出力し、固有鍵に関する情報を認識していない場合には識別データを正しく作成できないように構成されている。

　本実施形態の固体撮像装置１０では、この固有鍵の生成に関する動作は、レスポンス作成モードＭＤＲ（ＰＵＦモード）で動作可能に構成されている。

　本実施形態のレスポンス作成モードＭＤＲにおいては、周辺輝度に依存しない、チップ毎に固有な画素ばらつきパターン（ばらつき情報）を固有ＩＤとして出力する。
　このように、本実施形態のレスポンス作成モードＭＤＲにおいては、画素毎のばらつきパターンのみを出力する。輝度レベルを出力しないため、イメージセンサの露光条件に依存しないパターン画像を出力することができる。また、各画素の出力には、ＦＰＮとフレーム毎にランダムに変動する熱雑音が含まれるが、レスポンス作成モードＭＤＲにおけるＦＰＮは熱雑音に対して１０倍以上大きいため、安定した固定ばらつきパターンをレスポンスデータＲＰＤとして出力することができる。

　本実施形態のレスポンス作成モードＭＤＲにおいては、固有鍵の生成に際し、画素のばらつき情報および読み出し部のばらつき情報の少なくともいずれかに関連付けて固有鍵を含むレスポンスデータを生成する。

　以上、固体撮像装置１０の各部の構成および機能の概要、特に、画素部２０の基本的な構成および機能等について説明した。
　以下、本実施形態の固体撮像装置１０の特徴的な構成、機能について、固有鍵の生成、並びに固有鍵を含む識別データと画像データの一体化を行ってレスポンスデータを作成する、いわゆる暗号化処理であるレスポンスデータ作成処理を中心に説明する。

　図５は、本実施形態に係る暗号化処理系であるレスポンスデータ作成の全体的な概要を示すブロック図である。
　図６は、図５の暗号化処理系であるレスポンスデータ作成の処理を模式的に示す図である。

　図５の暗号化処理系であるレスポンスデータ作成部８０は、情報取得部８１、鍵生成部８２、画像データ生成部８３、識別データ生成部８４、一体化部８５、およびメモリ８６を主構成要素として有している。
　なお、図５の例では情報取得部８１と鍵生成部８２が別の機能ブロックとして構成されているが、情報取得部８１と鍵生成部８２を一つの機能ブロックとして構成することも可能である。

　情報取得部８１は、画素ＰＸＬのばらつき情報ＰＦＬＣおよび読み出し回路４０の構成回路のばらつき情報ＣＦＬＣの少なくともいずれかを取得し、取得したばらつき情報を鍵生成部８２に供給する。

　ここで、一例として画素ＰＸＬのばらつき情報ＰＦＬＣについての概略を説明する。

（画素ＰＸＬのばらつき情報ＰＦＬＣについて）
　まず、画素ＰＸＬのばらつき情報ＰＦＬＣについて説明する。
　本実施形態においては、画素ＰＸＬのばらつき情報ＰＦＬＣとして、基本的に、リーク電流と位置情報を用いる。
　ここで、リーク電流を採用した理由について述べる。

　図７（Ａ）および図７（Ｂ）は、画素のばらつき情報としてリーク電流を採用した理由について説明するための図である。図７（Ａ）は画素リーク電流の強度分布を示し、図７（Ｂ）は白キズの場所分布の一例を示している。

　固体撮像装置１０のセンサ画素には、図７（Ａ）に示すように、１００％抑制することのできないリーク電流が存在する。これの特に極端なもの(暗視野露光でも一瞬で白とびする)を白キズ、または白点という。以下では白キズという。
　固体撮像装置１０は、出荷前に極力この白キズを減らす努力がはらわれるが、また抑えきれない白キズは後段の画像処理で回りの画素デ－タから白キズ画素を補完し画像出力している。
　この白キズは画素アレイのどこに出現するかは作製してみなければわからず、しかも再現性がある。そのため個体固有の情報と見なせる。
　そこで、本実施形態では、画素ＰＸＬのばらつき情報ＰＦＬＣとして、リーク電流と位置情報を用い固有鍵ＫＹを生成する。たとえば図７（Ｂ）に示すように、白キズの発生場所（発生位置）と個数を固有情報として固有鍵ＫＹを生成することが可能である。
　本実施形態においては、この情報を固有鍵として、セキュリティ分野で用いられるＰＵＦ技術を応用して暗号化処理を行う。

　図８（Ａ）および図８（Ｂ）は、１画素当たりの情報量についての一例を示す図である。
　１画素あたりの情報量Ｈは次式で与えられる。

　Ｈ = -P0・log₂(P0) -P1・log₂(P1)
　ここで、P0 : 白キズの出る確率、P1 : 白キズが出ない確率1 - P0

　たとえば、１００万画素(1E6)の場合、白キズ１００ｐｐｍは１００個に相当し、情報量として次のようになる。

　1.47E-3×1E6 = 1.47E3 bit= 1,470bit

　ちなみに、鍵生成に必要な要件(セキュリティ側から)は１画素あたりの白キズ発生確率は次のように与えられる。

　100～3,000ppm = 0.01%～0.3%

　次に、出力と情報量について図９および図１０に関連付けて考察する。
　図９（Ａ）および図９（Ｂ）は、９つの要素の場合の出力と情報量について説明するための図である。
　図１０は、１６の要素の場合の偏った出力と情報量について説明するための図である。

　９つ（３×３）の要素の場合、図９（Ａ）に示すように、各要素に1/2の確率で１または０が出る場合、この出力はそのまま鍵として用いることができ、９bit分の鍵情報として有効である。
　もしノイズにより、エラー訂正に５bit必要であるとすると、図９（Ｂ）に示すように、有効な鍵情報は４bit分となり、鍵としては４bit分の情報として出力する。

　次に、１６（４×４）の要素で、偏った出力の場合について説明する。
　１６（４×４）の要素の場合、図１０に示すように、各要素に１の出る確率が1/16で、１要素のどこかに必ず１が出るサンプル群の場合、これは全部で１６通りしかなく、４bitの情報しかない。
　白キズの情報量もこれと同じ考え方で、１００万画素中の各画素に1/2の確率で１または０が出る場合の情報量は１００万bitであるが、１００万画素中に１００ppm存在する白キズの情報量は１,４００bit程度となる。
　これだけの情報量であれば、鍵としては有効活用可能である。

　画素のばらつき情報ＰＦＬＣを取得する情報取得部８１は、図７（Ａ）に示すように、画素のリーク情報を、しきい値ＶＴＨに関連付けて取得する。
　図７（Ａ）の例の場合、リーク電流Ｉleakがしきい値ＶＴＨ１より大きいときに、白キズであると判別できる。
　また、情報取得部８１は、しきい値が複数設定されてもよく（図７（Ａ）の例ではＶＨ１、ＶＴＨ２）、複数のしきい値ＶＴＨ１、ＶＴＨ２との関連で情報を区別することも可能である。
　なお、しきい値ＶＴＨを温度等の環境に応じて変化させることも可能である。

　また、情報取得部８１は、画素のばらつき情報ＰＦＬＣとして、一定以上のリーク電流を示す画素の位置情報を採用することができる。
　また、情報取得部８１は、画素のばらつき情報ＰＦＬＣとして、リーク電流順の上位の画素の集合を採用することができる。
　また、情報取得部８１は、画素のばらつき情報ＰＦＬＣとして、集合の列方向および行方向アドレスを採用することができる。

（フォトダイオードのリーク電流）
　情報取得部８１は、たとえば画素のリーク電流ＩleakとしてフォトダイオードＰＤのリーク電流を採用することができる。

　図１１（Ａ）～図１１（Ｄ）は、画素のリーク電流ＩleakとしてフォトダイオードＰＤのリーク電流を採用した場合の通常動作モードとレスポンス作成モードＭＤＲにおける要部の動作波形等を示す図である。
　図１１（Ａ）が通常動作モードＭＤＵ時の動作波形を、図１１（Ｂ）がレスポンス作成モードＭＤＲの動作波形を、図１１（Ｃ）がばらつき情報を二値化した鍵パターンイメージを示し、図１１（Ｄ）が出力信号と画素数としきい値ＶＴＨとの関係を示している。
　なお、前述したように、本実施形態において、固体撮像装置１０は、通常動作モードＭＤＵとレスポンス作成モードＭＤＲで動作可能に構成されている。

　通常動作モードＭＤＵにおいては、図１１（Ａ）に示すように、シャッターを閉じた状態で画素ＰＸＬをリセットし、シャッター開放中に露光する。
　また、シャッターを閉じた状態で信号を読み出す。

　レスポンス作成モードＭＤＲにおいては、図１１（Ｂ）に示すように、シャッターを閉じた状態で画素をリセットし、一定時間後に画素信号を読み出す。
　この場合、露光されないため、フォトダイオードＰＤに生じるリーク電流のみが固有の鍵パターンとして出力される。
　この固有の鍵パターンは、図１１（Ｄ）に示すように、重金属汚染等により極大値をもつため、再現性が高い。

　また、情報取得部８１は、画素のばらつき情報ＰＦＬＣとして、画素部２０の有効画素以外の無効画素領域のフォトダイオードの情報を採用することができる。
　図１２（Ａ）および図１２（Ｂ）は、画素のばらつき情報ＰＦＬＣとして、画素部２０の有効画素以外の無効画素領域の情報を採用することを説明するための図である。

　通常、画素部２０は、図１２（Ａ）に示すように、有効画素領域２１と有効画素領域２１の周辺の無効画素領域（ＯＢ；Optical Black領域等）２２を含んで構成されている。
　また、無効画素領域（ＯＢ；Optical Black領域）２２は、図１２（Ｂ）に示すように、遮光膜２３により遮光されている。
　本実施形態においては、ＯＢ画素領域２２の画素等、有効画素以外の画素領域の白キズや暗電流の情報を採用して鍵とすることで、鍵の検出を困難にすることが可能である（鍵検出には専用の読み出しタイミングを必要とする）。

　また、フォトダイオード（ＰＤ）としては、埋め込みフォトダイオード（Ｂｕｒｉｅｄ　Ｐｈｏｔｏ　Ｄｉｏｄｅ；ＢＰＤ）が広く用いられている。
　フォトダイオード（ＰＤ）を形成する基板表面にはダングリングボンドなどの欠陥による表面準位が存在するため、熱エネルギーによって多くの電荷（暗電流）が発生し、正しい信号が読み出せなくなってしまう。埋め込みフォトダイオード（ＢＰＤ）では、フォトダイオード（ＰＤ）の電荷蓄積部を基板内に埋め込むことで、暗電流の信号への混入を低減する。
　埋め込みフォトダイオードＢＰＤは、有効画素領域２１においては、表面側から第１導電型のｐ＋層２０１、第２導電型のｎ＋層２０２が形成されている。
　本実施形態においては、ＯＢ領域２２において、図１２（Ｂ）に示すように、フォトダイオードＰＤ表面のｐ＋層のｐシールドを除去し、暗電流・白キズ（＝鍵、Key）が発生しやすくすることも可能である。

　また、本実施形態では、フォトダイオードＰＤのリーク電流が変動し、この変動を考慮して鍵作成の情報に付加することも可能である。
　鍵とする白キズ等のディフェクト（ｄｅｆｅｃｔ、欠陥）の個数について考察すると、たとえば白キズの場合、後発白キズ（後から増える白キズ）や消滅する白キズがある。
　後発キズ対策としては、一定数の白キズをチップ内の座標指定で鍵として指定する。
　消滅白キズ対策としては、白キズは必要な最低の白キズ個数よりあらかじめ多くのキズを鍵として設定する。
　後発傷対策としては、特定の出力レンジに収まる傷を鍵として使用する。

　また、本実施形態では、たとえば、情報取得部８１は、画素のばらつき情報ＰＦＬＣを取得する画素領域を任意に指定可能である。また、情報取得部８１は、指定する領域を、ダイナミックに変化させることも可能である。

（ソースフォロワトランジスタＳＦのしきい値）
　情報取得部８１は、画素のばらつき情報としてソースフォロワトランジスタＳＦのしきい値ＶＴＨのばらつき情報を採用することができる。

　図１３（Ａ）～図１３（Ｅ）は、画素のばらつき情報としてソースフォロワトランジスタＳＦのしきい値ＶＴＨのばらつき情報を採用した場合の通常動作モードとレスポンス作成モードにおける要部の動作波形等を示す図である。
　図１３（Ａ）が画素ＰＸＬの読み出し系の回路図を、図１３（Ｂ）が通常動作モードＭＤＵ時の動作波形を、図１３（Ｃ）がレスポンス作成モードＭＤＲの動作波形を、図１３（Ｄ）がばらつき情報を二値化した鍵パターンイメージを示し、図１３（Ｅ）が出力信号と画素数としきい値ＶＴＨとの関係を示している。
　図１３（Ａ）の画素ＰＸＬの読み出し系においては、垂直信号線ＬＳＧＮにＣＤＳ回路４４がスイッチＳＷ０の一端子を介して接続されている。スイッチＳＷ０の他端子は基準電圧Ｖｒｅｆの供給ラインに接続されている。

　通常動作モードＭＤＵにおいては、図１３（Ｂ）に示すように、差分信号を画素の出力信号として用いることで、各画素ＰＸＬが備えるソースフォロワトランジスタＳＦのしきい値のばらつきを除去している。

　レスポンス作成モードＭＤＲにおいては、図１３（Ｃ）に示すように、時刻ｔ１に後段回路は基準電圧レベル（Ｖｒｅｆ)、時刻ｔ２に後段回路は画素のリセット電圧レベルを取り込む。
　これらの信号の差分を読み出すことで、各画素ＰＸＬのリセット電圧のばらつきを取り出すことができる。
　本例では、このばらつき分布を鍵として用いる。
　上記ばらつきは１００ｍＶ程度なので、アンプ等で増幅しても良い。

　ところで、本実施形態に係る固体撮像装置１０は、暗号処理系としてのレスポンスデータ生成部８０の鍵生成部８２において、ファジー抽出器（Fuzzy Extractor）を適用し、安定なレスポンスデータを生成する方法として、画素トランジスタのばらつきに相当する複数ビット、たとえば１２ビットのデジタル値Ｖｏｕｔを有効に活用する方法が採用される。
　固体撮像装置１０は、ＣＩＳ-ＰＵＦで得られるデジタル値Ｖｏｕｔに関連付けてＰＵＦレスポンスビットの信頼度情報Ｑを取得し、取得した信頼度情報Ｑを軟判定ファジー抽出器（鍵再生成部）に応用している。
　すなわち、本実施形態では、ＣＩＳ－ＰＵＦが鍵再生時のＰＵＦレスポンス（ばらつき情報）より信頼度情報を予測できることから、初期鍵生成は硬判定と同様とし、鍵再生成時に取得デ－タより信頼度を付与して軟判定を行う。

　本実施形態において、レスポンスデータ生成部８０は、鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるばらつき情報と、鍵再生成時のばらつき情報より予測した信頼度情報Ｑとを用いて固有鍵を生成する。
　本実施形態において、ＰＵＦレスポンスであるばらつき情報は、１ビット当たり２つの出力値が得られる複数ビット、たとえば１２ビットのデジタル値Ｖｏｕｔとして取得され、レスポンスデータ生成部８０（鍵生成部８２）は、ばらつき情報の２つの出力値を信頼度情報Ｑとして利用する。
　後で詳述するように、ＣＩＳ－ＰＵＦレスポンスとしてのばらつき情報の２つの出力値の差分値でビット反転し易い、ビット反転しにくい程度を予測可能であり、レスポンスデータ生成部８０は、鍵再生成時に得られるばらつき情報の２つの出力値の差分値から信頼度を予測する。

　図１４（Ａ）～図１４（Ｃ）は、ＣＭＯＳイメージセンサＰＵＦ(CIS-PUF)のＰＵＦレスポンスとしてのばらつき情報における安定ビットの出力ペアと不安定ビットの出力ペアのヒストグラムを示す図である。
　図１４（Ａ）は画素部２０の一例を示し、図１４（Ｂ）は安定ビット１００回の出力分布を示し、図１４（Ｃ）は不安定ビット１００回の出力分布を示している。

　ＣＩＳ－ＰＵＦのレスポンスとしての画素のばらつき情報は１ビットあたり２出力あり、その差分値で反転し易い、反転し難い程度が予想できる。
　そのため、初期鍵生成の時に反転の信頼度情報をヘルパーデ－タに記録しなくても、鍵再生成時のレスポンスデ－タから信頼度情報を予測し、それを軟判定に活用すること可能である。
　図１４（Ｂ）および図１４（Ｃ）は、安定ビット（bit）の出力ペアと不安定ビット（bit）の出力ペアの１００回分の出力のヒストグラムを示したものである。
　１つの出力は似たような形である平均値の周りに一定のσで分布している。ばらつきは出力をとるごとに乗ってくるランダムノイズの影響を受けている。

　このように、本実施形態では、鍵再生成時に得られるＰＵＦレスポンスとしてのばらつき情報の２つの出力値の差分値から信頼度を予測する。
　以下に、いわゆるＣＭＯＳイメージセンサＰＵＦ (CIS-PUF)の要部を形成する２つの出力値を持つばらつき情報を取得するのに好適な情報取得部を含む、画素部および列毎に配置された列読出し回路の概要について説明する。
　その後、具体的なＰＵＦレスポンス（ばらつき情報）の生成、信頼度情報Ｑの設定、並びに、鍵再生成時に信頼度情報Ｑを採用した高い訂正能力をもった軟判定を行うことが可能なファジー抽出器（Fuzzy Extractor）の構成例について説明する。ファジー抽出器の説明においては、一般的なファジー抽出器（硬判定ファジー抽出器）、並びに、初期鍵生成および鍵再生成時に軟判定を行うファジー抽出器との誤り訂正能力の比較結果についても述べる。

　図１５は、ＣＭＯＳイメージセンサＰＵＦ (CIS-PUF)の要部を形成する２つの出力値を持つばらつき情報を取得するのに好適な情報取得部を含む、本実施形態に係る画素部および列毎に配置された列読出し回路の概要を示す図である。

　図１５の画素部２０Ａおよび列（カラム）読出し回路４０は、ばらつき信号の再現性を高め、ばらつきパターンのユニーク性を改善するために、垂直（図では上下）の２画素間で大小判定（引き算等）して２値化を行うことが可能となるように構成されている。

　図１５の画素部２０Ａは、一つのフローティングディフュージョンＦＤ、一つのソースフォロワ素子としてのソースフォロワトランジスタＳＦ－Ｔｒ、一つのリセット素子としてのリセットトランジスタＲＳＴ－Ｔｒ、および一つの選択素子とての選択トランジスタＳＥＬ－Ｔｒを、複数（本例では２）の光電変換素子であるフォトダイオードＰＤ１、ＰＤ２２および転送素子としての転送トランジスタＴＧ－Ｔｒ１，ＴＧ－Ｔｒ２で共有する画素共有構造を有する。

　すなわち、図１５のＣＭＯＳイメージセンサの画素ＰＸＬＡは、フォトダイオードＰＤ１およびＰＤ２、転送クロックである制御信号ＴＧ１およびＴＧ２で駆動する転送トランジスタＴＧ－Ｔｒ１，ＴＧ－Ｔｒ２、リセットクロックである制御信号ＲＳＴで駆動するリセットトランジスタＲＳＴ－Ｔｒ、ソースフォロワ（ＳＦ）トランジスタＳＦ－Ｔｒ、選択クロックである制御信号ＳＥＬで駆動する選択トランジスタＳＥＬ－Ｔｒにより構成されている。
　ここで、２個のフォトダイオードＰＤ１，ＰＤ２がリセットトランジスタＲＳＴ－Ｔｒ、ソースフォロワ（ＳＦ）トランジスタＳＦ－Ｔｒ、選択トランジスタＳＥＬ－Ｔｒを共有している。
　これは、近年の微細な画素に対して広く用いられる方式であり、各トランジスタをＰＤ間で共有することにより、ＰＤの面積を所定の素サイズに対して大きくとり、光電変換可能な領域を広げることで、入射光に対する検出感度を高めている。

　選択トランジスタＳＥＬ－Ｔｒがオンした画素では、電源電圧Ｖｄｄの電源線ＶＤＤ、ソースフォロワ（ＳＦ）トランジスタＳＦ－Ｔｒ、電流源Ｉｄが直列となり、ソースフォロワ回路を構成する。
　このソースフォロワ回路により、フローティングディフュージョンＦＤの電圧が読み出し回路４０のＡＭＰ４２を介してＡＤＣ４１に入力されて、デジタル変換され、図示しないインターフェス回路に出力される。
　また、クリップ回路４４が画素アレイ端に配置され、クリップクロックである制御信号ＣＬＩＰによって駆動するクリップゲートＣＧおよびダイオード接続トランジスタＭ０は、画素アレイ端に配置され、画素出力電圧振幅を制限することで、安定的に動作させるために用いられる。

（図１５のＣＩＳ－ＰＵＦの概要）
　ここで、図１５のＣＩＳ－ＰＵＦの概要について説明する。
　ＣＩＳ－ＰＵＦは、ＣＭＯＳイメージセンサの画素毎の特性ばらつきを利用してデバイスごとに固有のＰＵＦレスポンス（画素のばらつき情報）を生成する。前述したように、特性ばらつきには固定した位置に生じる固定パターンノイズ(FPN：Fixed Pattern Noise)や画素等の位置に関係なくランダムに生じるランダムノイズがある。
　ＣＭＯＳイメージセンサは、通常動作モードＭＤＵにおいては、これら特性ばらつきを除去するために，画素毎にリセット電位（ＶＲＳＴ）と信号電位（ＶＳＩＧ）の差分を取るＣＤＳ（相関二重サンプリング：Correlated Double Sampling)を行っている。

　一方でＣＩＳ－ＰＵＦは、ＰＵＦレスポンスを生成する目的でばらつき情報を得るために、ＣＤＳを動作させない信号読み出しモードであるレスポンス作成モード（ＰＵＦモード）ＭＤＲを持つ。このＰＵＦモードにより画素ばらつきが支配的となる出力を得ることができる。

　図１５のＣＩＳ－ＰＵＦとしての固体撮像装置（ＣＭＯＳイメージセンサ）１０Ａは、画素数1,920×1,080(フルHD)のアレイ構造を有している。
　この固体撮像装置（ＣＭＯＳイメージセンサ）１０Ａは、垂直方向（図では上下）に隣接した２画素でソースフォロワトランジスタＳＦ－Ｔｒを共有しており、ソースフォロワトランジスタＳＦ－Ｔｒの数は1,920×540である。
　ＰＵＦモードでは，列毎に存在するクリップ回路４４から得られる電位を基準電位とし、各画素のリセット電位と差分を取ることで、画素毎のばらつきを抽出している。

（図１５のＣＩＳ－ＰＵＦにおけるＰＵＦレスポンスの生成）
　次に、図１５のＣＩＳ－ＰＵＦにおけるＰＵＦレスポンスの生成の概要について説明する。
　図１６は、図１５のＣＩＳ－ＰＵＦの画素ばらつきを利用したＰＵＦレスポンス生成の様子を示す図である。

　ＣＩＳ－ＰＵＦの画素ばらつきを利用したＰＵＦレスポンス生成は、垂直方向（上下）に隣接した２つのソースフォロワトランジスタＳＦ－Ｔｒの出力値Ｖｏｕｔ(ＡＤコンバータで４１デジタル化された出力)を大小比較し、１ビットを出力している。
　図１６の例では、上下の出力値Ｖｏｕｔを大小比較し、上側の出力値が下側の出力値より大きい場合（上＞下）「１」、上側の出力値が下側の出力値より小さい場合（上＜下）「０」とする。

　実測に用いたＣＭＯＳイメージセンサはソースフォロワトランジスタＳＦ－Ｔｒの数が1,920×540である。そこから、上下隣接のソースフォロワトランジスタＳＦ－Ｔｒの出力値を大小比較し、1,920×270の１/０データ(ＰＵＦレスポンス)を作成している。
　したがって、ＣＩＳ－ＰＵＦの１チップから約０．５Ｍビットのレスポンスを得ることができる。

　図１７は、図１５および図１６に示すようなレスポンス生成方式によって得られたＰＵＦ性能としての再現性とユニーク性を示す図である。

　図１７の再現性では、１００回試行(１００枚画像)分の出力から平均をとり、基準のレスポンスとしている。図１７においては、その基準と各１回試行(１枚画像)のレスポンスでハミングディスタンス（ＨＤ）をとった結果を載せている。
　ただし、レスポンスは1,920×270のビットを128ビットずつ区切った4,050ブロック×15チップ分の分布である。
　また、図１７において、ユニーク性では異なる１５チップの基準レスポンス同士のハミングディスタンス（ＨＤ）をとった結果を載せている。図１７において、ユニーク性は再現性と同様にレスポンスを128ビット区切りにし、4,050ブロックの分布でまとめてある。

　図１７に示すように、再現性では，平均値が128ビット中1.10ビット(反転率 = 0.86%)，最大でも8ビット(反転率 = 6.25%)と非常に良い値が得られている。
　ユニーク性でも、平均値が63.99ビットと理想的な値(64ビット)にほぼ等しく、高いユニーク性であることが確認できている。

（ＣＩＳ－ＰＵＦの不安定ビット）
　次に、図１５のＣＩＳ－ＰＵＦの不安定ビットについて考察する。
　図１８（Ａ）および（Ｂ）は、図１５および図１６に示すようなレスポンス生成方式によって得られたＰＵＦレスポンスの安定ビットと不安定ビットを示す図である。
　図１８（Ａ）は２つのソースフォロワトランジスタＳＦ－Ｔｒ出力の１００回試行分の安定ビットの出力分布を示し、図１８（Ｂ）は２つのソースフォロワトランジスタＳＦ－Ｔｒ出力の１００回試行分の不安定ビットの出力分布を示している。

　図１８（Ａ）および図１８（Ｂ）には、平均出力も示されており、２つの平均出力の差をΔＶｏｕｔで示してある。
　ここで用いた平均出力は、ＣＭＯＳイメージセンサのばらつきの中でもＦＰＮ（固定パターンノイズ）が影響しており、ソースフォロワトランジスタＳＦ－Ｔｒの出力毎に１つに定まる。
　一方、出力平均からの分布の広がりはランダムノイズの影響であり、ある一定のσに沿って全ての出力で同様の分布を作る。

　図１８（Ａ）および図１８（Ｂ）からわかるように、安定ビットでは試行毎の出力変動に対して、差ΔＶｏｕｔが大きく、試行により出力の大小関係が逆転することはない。
　一方で、不安定ビットでは平均出力の差ΔＶｏｕｔが小さく、試行によって大小関係が逆転し、ビット反転を起こす。
　このことより、図１５等に示すＣＩＳ－ＰＵＦは、平均出力の差ΔＶｏｕｔを確認することによって、対応するソースフォロワトランジスタＳＦ－Ｔｒペアのビットの反転しやすさを推測することが可能である。

　鍵生成部８２（図５、図６）は、情報取得部８１により取得され供給される画素のばらつき情報および読み出し回路４０のばらつき情報の少なくともいずれかを用いて固有鍵を生成する。
　鍵生成部８２は、生成した固有鍵ＫＹを識別データ生成部８４に供給する。
　鍵生成部８２は、たとえば画素部２０の有効画素の読み出し時以外の期間（たとえばブランキング期間）に固有鍵ＫＹの生成を行う。

　図５および図６の画像データ生成部８３は、通常読み出しモードで読み出し回路４０を通して読み出され所定の処理が施された読み出し信号に対する所定の信号処理により、たとえば図５に示すような２次元画像データＩＭＧを生成する。
　画像データ生成部８３は、生成した画像データＩＭＧを一体化部８５に供給する。

　画像データ生成部８３は、固体撮像装置１０から取得した取得データＡＱＤを識別データ生成部８４に供給する。
　ここで、取得データＡＱＤは、少なくとも画素、日付、温度、ＧＰＳ（Global Positioning System）に関するデータのうちの少なくともいずれかのデータである。

　識別データ生成部８４は、鍵生成部８２で生成された固有鍵ＫＹと、本固体撮像装置１０で取得した取得データＡＱＤを組み合わせて識別データＤＳＣＤを生成する。
　識別データ生成部８４は、生成した識別データＤＳＣＤを一体化部８５に供給する。

　一体化部８５は、図６に示すように、識別データ生成部８４で生成された識別データＤＳＣＤと画像データ生成部８３による読み出しデータに基づく画像データＩＭＧを一体化して、センサチップの最終のレスポンスデータＲＰＤとして出力する。
　一体化部８５は、たとえば図６に示すように、一体化データが、ヘッダＨＤ、識別データＤＳＣＤ、画像データＩＭＧの順となるように一体化する。

（鍵生成部８２の構成例）
　以下に、鍵生成部６２の具体的な構成例および信頼度情報の設定方法等について説明する。
　本実施形態に係る鍵生成部８２は、鍵の再現性を強くするためにファジー抽出器（Fuzzy Extractor）により鍵の生成を行う。
　ファジー抽出器は、ノイズを含んだデータを一意な鍵情報に変換する演算器であって、ある程度安定した入力に対して同じ出力を出すことを目的とする演算器である。

　本実施形態において、レスポンスデータ生成部８０における鍵生成部８２は、ファジー抽出器を適用し、鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるばらつき情報と、鍵再生成時のばらつき情報より予測した信頼度情報とを用いて固有鍵を生成する。
　本実施形態においては、上述したように、ＰＵＦレスポンスであるばらつき情報は、１ビット当たり２つの出力値が得られる複数ビット（本例では１２ビット）のデジタル値として取得され、鍵生成部８２は、ＰＵＦレスポンスであるばらつき情報の２つの出力値を信頼度情報として利用する。

　本実施形態においては、上述したように、ＰＵＦレスポンスであるばらつき情報の２つの出力値の差分値でビット反転し易い、ビット反転しにくい程度を予測可能であり、鍵生成部８２は、鍵再生成時に得られるばらつき情報の２つの出力値の差分値から信頼度を予測する。

　鍵生成部８２は、信頼度を予測して設定する方法として、たとえば２つの方法を採用可能である。

（第１の信頼度設定方法）
　第１の信頼度設定方法では、鍵生成部８２は、鍵再生成時に得られるばらつき情報の２つの出力値の第１の差ΔVout getと、出力値の平均同士の第２の差ΔVoutが一致すると仮定し、第１の差ΔVout getが大きいほど、２つの出力値分布が重なる面積は小さくビット反転の確率が小さく、第１の差ΔVout getが小さいほど、２つの出力値分布が重なる面積は大きくビット反転の確率が大きい、と想定して信頼度を設定する。
　鍵生成部８２は、第１の差ΔVout getから想定した２つの出力値分布が重なる面積が最大のとき信頼度を最低とし、重なる面積が小さくなるにつれて信頼度を最大に近づけて信頼度の設定を行う。
　あるいは、鍵生成部８２は、第１の差ΔVout getから想定した２つの出力値分布が重なる面積が最小のとき信頼度を最大とし、重なる面積が大きくなるにつれて信頼度を最小に近づけて信頼度の設定を行う。

（第２の信頼度設定方法）
　第２の信頼度設定方法では、鍵生成部８２は、鍵再生成時に得られるばらつき情報の２つの出力値の第１の差ΔVout getが、出力値の平均同士の第２の差ΔVoutと異なり、値を取得するごとに値が変動し、得られた第１の差ΔVout getが第２の差ΔVoutよりも大きい場合と小さい場合が確率的に存在することを前提として、第１の差ΔVout getが第２の差ΔVoutからずれる割合を考慮して信頼度の設定を行う。
　鍵生成部８２は、第１の差ΔVout getが、第２の差ΔVout±αとなることを想定し、第１の差ΔVout getが第２の差ΔVoutからずれる割合を考慮した信頼度設定を行う。

（好適なファジー抽出器の構成例）
　次に、鍵再生成時に信頼度情報Ｑを採用した高い訂正能力をもった軟判定を行うことが可能なファジー抽出器（Fuzzy Extractor）の構成例について説明する。また、ファジー抽出器の説明においては、一般的なファジー抽出器（硬判定ファジー抽出器）、並びに、初期鍵生成および鍵再生成時に軟判定を行うファジー抽出器との誤り訂正能力の比較結果についても述べる。

　図１９（Ａ）および図１９（Ｂ）は、本実施形態に係る鍵生成部の固有鍵出力部に適用可能なファジー抽出器の構成例を示す図である。
　ファジー抽出器８２０は、図１９（Ａ）に示す初期鍵生成部８２１および図１９（Ｂ）に示す鍵再生成部８２２を有する。

　初期鍵生成部８２１は、図１９（Ａ）に示すように、たとえばリングオシレータ（ＲＮＧ）により形成される乱数生成器８２１１、符号化部８２１２、排他的論理和回路（ＸＯＲ）８２１３、および第１のハッシュ（Ｈａｓｈ）部８２１４を含んで構成されている。

　初期鍵生成部８２１においては、情報取得部８１により取得されたＰＵＦレスポンスであるばらつき情報が入力データＷとしてＸＯＲ８２１３および第１のハッシュ部８２１４に入力される。
　第１のハッシュ部８２１４において、入力データＷに基づいて初期鍵ＫＹＩが生成される。この初期鍵ＫＹＩは識別データ生成部８４に供給される。この初期鍵ＫＹＩは、たとえば出荷時の鍵データとしてメモリ８６に書き込まれる。

　また、初期鍵生成部８２１においては、乱数生成器８２１１により生成された乱数Ｒで符号化部８２１２にて誤り訂正符号の符号語Ｃが作成され、その符号語ＣがＸＯＲ８２１３に供給される。
　ＸＯＲ８２１３においては、入力データＷと符号語Ｃとの排他的論理和がとられ、これにより、１／０のビット列のヘルパーデータＳＨＤ（ＷｘｏｒＣ）が生成される。
　このヘルパーデータＳＨＤ（ＷｘｏｒＣ）は、鍵データとは違って秘匿の必要はなく、メモリ８６に格納される。メモリ８６に格納されたヘルパーデータＳＨＤは、鍵再生成部８２２における鍵再生成のベースデータとして用いられる。

　鍵再生成部８２２は、図１９（Ｂ）に示すように、信頼度情報取得部８２２１、第１の乗算器８２２２、第２の乗算器８２２３、誤り訂正部８２２４、第３の乗算器８２２５、符号変換部（ＳＧＮ）８２２６、および第２のハッシュ（Ｈａｓｈ）部８２２７を含んで構成されている。

　鍵再生成部８２２においては、信頼度情報取得部８２２１により、鍵再生成時に得られるエラーを含むレスポンスとしてのばらつき情報より予測した信頼度情報Ｑが取得され、第１の乗算器８２２２に供給される。
　第１の乗算器８２２２においては、鍵再生成時に得られるエラーを含むレスポンスとしてのばらつき情報Ｗ（ｘ）Ｅと信頼度情報Ｑが乗算されて第１のデータＷ（ｘ）Ｅ（ｘ）Ｑが取得され、第２の乗算器８２２３に供給される。このとき、ばらつき情報Ｗ（ｘ）Ｅは軟判定に対応させるために１／０のデータが－１／１のデータとして与えられる。
　第２の乗算器８２２３においては、ヘルパーデータＷ（ｘ）Ｃと信頼度情報Ｑを含む第１のデータＷ（ｘ）Ｅ（ｘ）Ｑとが乗算され、誤り訂正符号の符号語Ｃにエラー成分Ｅと信頼度情報Ｑが乗算された第２のデータＣ（ｘ）Ｅ（ｘ）Ｑが取得されて、誤り訂正部８２２４に供給される。このとき、ヘルパーデータＷ（ｘ）Ｃも軟判定に対応させるために１／０のデータが－１／１のデータとして与えられる。
　誤り訂正部８２２４においては、第２のデータＣ（ｘ）Ｅ（ｘ）Ｑが、信頼度情報Ｑを利用した相関復号によって復号されて、推定符号語Ｃ’が取得され、第３の乗算器８２２５に供給される。この軟判定時の相関復号に関連して内積をとるために、「０」を「１」、「１」を「－１」と符号が変換されている。
　第３の乗算器８２２５においては、誤り訂正部８２２４による推定符号語Ｃ’とヘルパーデータＷ（ｘ）Ｃが乗算されて推定ばらつき情報Ｗ’が取得され、符号変換部８２２６に供給される。
　符号変換部８２２６においては、－１／１のデータが１／０のデータに再変換され、第２のハッシュ部８２２７に供給される。
　第２のハッシュ部８２２７においては、推定ばらつき情報Ｗ’をハッシュ（Hash）関数に通して得られたハッシュ値が再生成鍵Ｋ’として出力される。

　そして、誤り訂正部による推定符号語Ｃ’が初期鍵生成時の符号語Ｃと一致しているならば、再生成鍵は初期鍵と一致する。

　上述したように、ＰＵＦレスポンスであるばらつき情報の２つの出力値の差分値でビット反転し易い、ビット反転しにくい程度を予測可能であり、鍵生成部８２の鍵再生成部８２２においては、は、鍵再生成時に得られるばらつき情報の２つの出力値の差分値から信頼度を予測する。

　ここで、軟判定を行う鍵再生成部８２２における信頼度情報取得部８２１において信頼度を予測して設定する方法を、図面に関連付けてより具体的に説明する。

　前述したＣＩＳ－ＰＵＦの安定ビットと不安定ビットの説明で、垂直方向（上下）に隣接した２つのソースフォロワトランジスタＳＦ－Ｔｒの出力の分布から，平均値と平均値の差である第２の差ΔVoutの大きさを用いている。
　本実施形態において、ＣＩＳ－ＰＵＦの信頼度情報Ｑも、この上下に隣接した２つのソースフォロワトランジスタＳＦ－Ｔｒの出力差から作成する。
　そして、本実施形態において採用させるファジー抽出器８２０は、鍵の再生成時にワンショットで信頼度を得ることを想定している。
　そこで、本実施形態では、ワンショットで得られた上下に隣接する２つのソースフォロワトランジスタＳＦ－Ｔｒの出力値の差を第１の差ΔVout_getとする。

　図２０は、本実施形態に係る信頼度を予測して設定する方法をより具体的に説明するための図である。

（第１の信頼度設定方法の具体的な説明）
　第１の信頼度設定方法では、図２０に示すように、鍵生成部８２は、鍵再生成時に得られるばらつき情報の２つの出力値の第１の差ΔVout getと、出力値の平均同士の第２の差ΔVoutが一致すると仮定し、ΔVout_get＝ΔVoutとする。
　このとき、第１の差ΔVout_getが大きければ、２つのソースフォロワトランジスタＳＦ－Ｔｒの出力分布は重ならず、ビット反転を起こす確率は０に近い。一方、第１の差ΔVout_getが小さければ小さいほど、２つのソースフォロワトランジスタＳＦ－Ｔｒの出力分布が重なる面積は大きくなり，ビット反転が起きやすくなる。
　この性質を利用し、第１の差ΔVout getが大きいほど、２つの出力値分布が重なる面積は小さくビット反転の確率が小さく、第１の差ΔVout getが小さいほど、２つの出力値分布が重なる面積は大きくビット反転の確率が大きい、と想定して信頼度を設定する。

　鍵生成部８２は、第１の差ΔVout getから想定した２つの出力値分布が重なる面積が最大のとき信頼度を最低とし、重なる面積が小さくなるにつれて信頼度を最大に近づけて信頼度の設定を行う。
　あるいは、鍵生成部８２は、第１の差ΔVout getから想定した２つの出力値分布が重なる面積が最小のとき信頼度を最大とし、重なる面積が大きくなるにつれて信頼度を最小に近づけて信頼度の設定を行う。

　より具体的には、鍵再生成時には、１ビット当たり２つの出力が得られる。この差分を第１の差ΔVout getとするが、この出力値がそれぞれ多数回の出力を統計処理した時の最頻値(平均値でもよい)同士の差(これを第２の差ΔＶoutとする)とどれほどずれているか１回の取得ではわからない。
　仮定のひとつとしては得られた２つの出力が最頻値(平均値)であると仮定する。これはΔVout = ΔVout getとすることである。
　そし統計的出力分布を仮定して(たとえば、あるσで与えられる正規分布として)第２の差ΔVoutからふたつの出力分布の重なり面積を計算し、重なり面積１００％→反転確率５０％→信頼度０、重なり面積０％→反転確率０％→信頼度１として、その間を適当な関数(たとえば直線補完)で補完する。

（第２の信頼度設定方法の具体的な説明）
　次に、第１の信頼度設定方法よりも精度の高い第２の信頼度設定方法について説明する。
　図２１（Ａ）および図２１（Ｂ）は、本実施形態に係る第２の信頼度設定方法を説明するための第１の図である。
　図２２（Ａ）～図２２（Ｄ）は、本実施形態に係る第２の信頼度設定方法を説明するための第２の図である。

　第２の信頼度設定方法では、鍵生成部８２は、鍵再生成時に得られるばらつき情報の２つの出力値の第１の差ΔVout getが、出力値の平均同士の第２の差ΔVoutと異なり、値を取得するごとに値が変動し、得られた第１の差ΔVout getが第２の差ΔVoutよりも大きい場合と小さい場合が確率的に存在することを前提として、第１の差ΔVout getが第２の差ΔVoutからずれる割合を考慮して信頼度の設定を行う。
　鍵生成部８２は、第１の差ΔVout getが、第２の差ΔVout＋ｘ（±α）となることを想定し、第１の差ΔVout getが第２の差ΔVoutからずれる割合を考慮した信頼度設定を行う。

　第２の信頼度設定方法では、ひとつずつの出力は最頻値の周りに一定のσで与えられる正規分布であると仮定する。これにより得られた出力が最頻値からずれて存在する確率を考慮して第２の差ΔVoutを確率ごとに計算する。
　具体的には、図２１（Ｂ）に示すように、得られた左の出力が最頻値から左にずれている量をａ(右にずれている量は負になる)とし、右の出力が最頻値から右にずれている量をｂ(左にずれている場合は負になる)とする。
　これにより、ΔVout = ΔVout get－ａ－ｂとなる。

　ａおよびｂが取りうる確率は図２２（Ａ）～図２２（Ｄ）に示すような考え方で計算する。
　たとえばａ(ｂも同様)の値が正規分布の平均値から±0.5σ内であれば平均値に寄せる。この時はａ(ｂ)＝０である。次の１σの範囲に入る場合はａ（ｂ）＝±１σに寄せる。さらにその外の範囲に入る場合はａ（ｂ）＝±２σに寄せる。
　ａ、ｂそれぞれの値に寄る確率は図２２（Ｄ）に示す表のようになる。
この確率をΔVout = ΔVout get－ａ－ｂから計算される第２の差ΔVoutより求められる信頼度とを掛け合わせ、すべての和を求める。その結果を図２２（Ｃ）に示している。

　図２３は、本実施形態に係る第１の信頼度設定方法および第２の信頼度設定方法、並びに、比較例としての一般的な硬判定ファジー抽出器を用いた判定方法の信頼度と第１の差ΔVout getとの関係を示す図である。
　図２３において、特性曲線Ｃ１が第１の信頼度設定方法による信頼度と第１の差ΔVout getとの関係を示し、特性曲線Ｃ２が第２の信頼度設定方法による信頼度と第１の差ΔVout getとの関係を示し、特性曲線Ｃ３が比較例である硬判定方法による信頼度と第１の差ΔVout getとの関係を示している。

　図２３からわかるように、第２の信頼度設定方法の方が第１の信頼度設定方法より精度が高い。

（比較例としての硬判定ファジー抽出器および既存の軟判定ファジー抽出器の説明）
　次に、比較例としての硬判定ファジー抽出器および既存の軟判定ファジー抽出器を説明する。そして、本実施形態に係るファジー抽出器、比較例としての硬判定ファジー抽出器および既存の軟判定ファジー抽出器のエラー訂正能力等について考察する。

（比較例としての硬判定ファジー抽出器の説明）
　まず、比較例としての硬判定ファジー抽出器について説明する。

　図２４（Ａ）および図２４（Ｂ）は、比較例としての硬判定ファジー抽出器の構成例を示す図である。
　図２４のファジー抽出器８３０は、図２４（Ａ）に示す初期鍵生成部８３１および図２４（Ｂ）に示す鍵再生成部８３２を有する。

　初期鍵生成部８３１は、図２４（Ａ）に示すように、たとえばリングオシレータ（ＲＮＧ）により形成される乱数生成器８３１１、符号化部８３１２、排他的論理和回路（ＸＯＲ）８３１３、および第１のハッシュ（Ｈａｓｈ）部８３１４を含んで構成されている。

　初期鍵生成部８３１においては、情報取得部８１により取得されたＰＵＦレスポンスであるばらつき情報が入力データＷとしてＸＯＲ８３１３および第１のハッシュ部８３１４に入力される。
　第１のハッシュ部８３１４において、入力データＷに基づいて初期鍵ＫＹＩが生成される。この初期鍵ＫＹＩは識別データ生成部８４に供給される。この初期鍵ＫＹＩは、たとえば出荷時の鍵データとしてメモリ８６に書き込まれる。たとえば初期鍵データをチップ出荷時に、たとえばソフトウェアによって切断することができる電子フューズ（ｅｆｕｓｅ）などのメモリに書き込み、鍵データの再現性を保証するように構成することも可能である。

　また、初期鍵生成部８３１においては、乱数生成器８３１１により生成された乱数Ｒで符号化部８３１２にて誤り訂正符号の符号語Ｃが作成され、その符号語ＣがＸＯＲ８３１３に供給される。
　ＸＯＲ８３１３においては、入力データＷと符号語Ｃとの排他的論理和がとられ、これにより、１／０のビット列のヘルパーデータＳＨＤ（ＷｘｏｒＣ）が生成される。
　このヘルパーデータＳＨＤ（ＷｘｏｒＣ）は、鍵データとは違って秘匿の必要はなく、メモリ８６に格納される。メモリ８６に格納されたヘルパーデータＳＨＤは、鍵再生成部８３２における鍵再生成のベースデータとして用いられる。

　鍵再生成部８３２は、図２４（Ｂ）に示すように、排他的論理和回路（ＸＯＲ）８３２１、誤り訂正部８３２２、排他的論理和回路（ＸＯＲ）８３２３、および第２のハッシュ（Ｈａｓｈ）部８３２４を含んで構成されている。

　鍵再生成部８３２においては、情報取得部８１により取得されたたとえばエラーを含む画素のばらつき情報を含む入力データ（ＷｘｏｒＥ）、並びに、メモリ８６に格納されたヘルパーデータＳＨＤ（ＷｘｏｒＣ）がＸＯＲ３２２１に入力される。ヘルパーデータＳＨＤ（ＷｘｏｒＣ）はＸＯＲ８３２３にも入力される。
　ＸＯＲ８３２１においては、入力データ（ＷｘｏｒＥ）とヘルパーデータＷｘｏｒＣとの排他的論理和がとられ、データ（ＣｘｏｒＥ）として誤り訂正部８３２２に供給される。
　誤り訂正部８３２２においては、データ（ＣｘｏｒＥ）に対する復号処理が行われて、エラーＥが除去された推定符号語Ｃ’が生成され、ＸＯＲ８３２３に供給される。
　ＸＯＲ８３２３においては、推定符号語Ｃ’とヘルパーデータ（ＷｘｏｒＣ）の排他的論理和がとられ、その結果が推定データＷ’として第２のハッシュ部８３２４に入力される。
　そして、第２のハッシュ部８３２４において、入力した推定データＷ’に基づいて再生成鍵Ｋ’が生成される。この再生成鍵ＫＹは識別データ生成部８４に供給される。
　もし、入力データＷのノイズが少なく、データ（ＣｘｏｒＥ）が訂正可能である場合には、Ｃ’＝Ｃとなり、Ｗ’＝Ｗとなり鍵が再生成される。この場合、再生成鍵は初期鍵と一致する。

　なお、判定に使う誤り訂正符号に一次のリードマラー符号(ＲＭ符号)を使用している。この符号は比較的簡単な構造をしており，効率的に符号化が行える。
　本実施形態においては、一次のＲＭ符号の中で、規模の小さいＲＭ(8,4,4)を使うと仮定した．これは、４ビットの情報ビットから８ビットの符号語を生成し、符号語間で最低４ビットのＨＤ（ハミングディスタンス）を持つ。
　そのため、本実施形態では、情報量４ビットで、８ビット中１ビットの誤りを訂正できる能力を持つ。このＲＭ(8,4,4)を使うにあたって、ＰＵＦレスポンス８ビット中エラービットがｎビット含まれる確率を求めた。

　復号についてＲＭ(リ－ドマラ－)符号を用いてさらに説明する。
　上記したように、ＲＭ(8,4,4)を例にとる。
　符号長８ビット、情報量４ビットで、用いる符号を2⁴=16個 (8bitフルなら2⁸=256個のところ)にして、全ての符号の最小ＨＤ(ハミングディスタンス)を４ビットにしている。

　次式で示す、ＲＭ(8,4,4)の基底ベクトルを用いて、

　４ビットの情報ａ１，ａ２，ａ３，ａ４に対してＲＭ符号は次式で与えられる。

　４ビット全てに割り振られるＲＭ符号は下記表１のようになる。

　下記の表２にノイズがある場合の再生成したレスポンスの符号と他の符号とのＨＤを示す。
　ノイズ１ビットであれば、元の正解の符号とのＨＤが一番小さく、これを真の符号と判定することができる。一方、ノイズ２ビットであればＨＤ２となる候補が複数存在し、真の符号を決められない。ノイズ３ビットtではＨＤ最小が別の符号となり間違ってしまうことになる。
　このようにＲＭ(n, k, d)ではd/2-1bit までのノイズ(反転)まで再生可能な符号と言える。

（比較例としての既存の軟判定ファジー抽出器の説明）
　次に、比較例としての既存の軟判定ファジー抽出器について説明する。

　既存の軟判定ファジー抽出器では、鍵の初期生成における前処理で複数回レスポンスを取得し、多数決処理を行うことでわかる最も高い確率で発生するレスポンスデータと信頼度情報を得ることが特徴である。

　図２５は、信頼度を利用して判定を行う相関復号について説明するための図である。
　ここで、信頼度を利用して判定を行う相関復号について図２５に関連付けて説明する。

　この相関復号では、事前に誤りやすいビットは信頼度(重み)を小さくし、誤りにくいビットは信頼度を大きくする。このとき、信頼度をつける前のビットの成分は１を－１に、０を＋１に置き換えて後の計算を行う。
　そして、ＨＤ（ハミングディスタンス)が一番小さくなる符号語を候補から選ぶのではなく、候補の符号語と信頼度付きのベクトルで内積を取り、計算結果を最大にする符号語を正しい符号語として選択する。図中、（ｘ）を用いた式は各成分同士の乗算を表す。

　たとえば、正しい符号語が(+1,-1,+1,-1)または(+1,+1,+1,+1)であり、エラーを含む出力結果が(+1,+1,+1,-1)であった場合には、信頼度情報がない場合はどちらもＨＤは１ビットとなりどちらが正しい符号語か判断できない。
　ところが、信頼度として（+5,+1,+5,-5）という２ビット目の誤り確率が高いというデータが与えられていれば、２ビット目を誤った(+1,-1,+1,-1)が正しい符号語であったと予測できる。

　図２６（Ａ）および図２６（Ｂ）は、比較例としての相関復号を利用した軟判定ファジー抽出器の構成例を示す図である。
　図２６のファジー抽出器８４０は、図２６（Ａ）に示す初期鍵生成部８４１および図２６（Ｂ）に示す鍵再生成部８４２を有する。

　初期鍵生成部８４１は、図２６（Ａ）に示すように、たとえばリングオシレータ（ＲＮＧ）により形成される乱数生成器８４１１、符号化部８４１２、排他的論理和回路（ＸＯＲ）８４１３、符号変換部８４１４、および第１のハッシュ（Ｈａｓｈ）部８４１５を含んで構成されている。

　初期鍵生成部８４１において、鍵の初期生成時には、入力データとしてこの入力データＷと信頼度情報Ｑの各成分同士を乗算したＷ（ｘ）Ｑというデータを与えるため、Ｗの成分は１／０データではなく－１／＋１のデータとして与えられる。以降、符号は－１／＋１のデータとする。
　鍵の初期生成では、入力データＷ（ｘ）Ｑを各成分の符号から符号変換部８４１４で１／０データに変換されて第１のハッシュ部８４１５に入力される。そして、第１のハッシュ部８４１５において、入力データＷに基づいて初期鍵ＫＹＩが生成される。
　また、初期鍵生成部８４１においては、乱数生成器８４１１により生成された乱数Ｒで符号化部８４１２にて誤り訂正符号の符号語Ｃが作成され、その符号語ＣがＸＯＲ８４１３に供給される。
　ＸＯＲ８４１３においては、入力データＷ（ｘ）Ｑと符号語Ｃとの排他的論理和がとられ、これにより、１／０のビット列のヘルパーデータＳＨＤ（Ｗ（ｘ）Ｑ（ｘ）Ｃ）が生成される。

　鍵再生成部８４２は、図２６（Ｂ）に示すように、第１の乗算器８４２１、誤り訂正部８４２２、第２の乗算器８４２３、符号変換部（ＳＧＮ）８４２４、および第２のハッシュ（Ｈａｓｈ）部８４２５を含んで構成されている。

　鍵再生成部８４２においては、第１の乗算器８４２１においては、鍵再生成時に得られるエラーを含むレスポンスとしてのばらつき情報Ｗ（ｘ）Ｅと信頼度情報Ｑが乗算されているヘルパーデータＷ（ｘ）Ｑ（ｘ）Ｃが乗算されてデータＣ（ｘ）Ｅ（ｘ）Ｑが取得されて、誤り訂正部８４２２に供給される。このとき、ヘルパーデータＷ（ｘ）Ｃも軟判定に対応させるために１／０のデータが－１／１のデータとして与えられる。
　誤り訂正部８４２２においては、データＣ（ｘ）Ｅ（ｘ）Ｑが、信頼度情報Ｑを利用した相関復号によって復号されて、推定符号語Ｃ’が取得され、第２の乗算器８４２３に供給される。この軟判定時の相関復号に関連して内積をとるために、「０」を「１」、「１」を「－１」と符号が変換されている。
　第２の乗算器８４２３においては、誤り訂正部８４２２による推定符号語Ｃ’とヘルパーデータＷ（ｘ）Ｑ（ｘ）Ｃが乗算されて推定ばらつき情報Ｗ’（ｘ）Ｑが取得され、符号変換部８４２４に供給される。
　符号変換部８４２４においては、－１／１のデータが１／０のデータに再変換され、第２のハッシュ部８４２５に供給される。
　第２のハッシュ部８４２５においては、推定ばらつき情報Ｗ’をハッシュ（Hash）関数に通して得られたハッシュ値が再生成鍵として出力される。
　ここで、C’= Cであるならば，再生成鍵Ｋ’は初期鍵Ｋに一致し，一意なＰＵＦ鍵が復元される。

　軟判定時の相関復号について説明する。
　前述したように、後で内積を取るために０→１、１→－１と符号を変換する。
　表３に示すように、反転し易いビットは小さいウェイト、反転し難いビットは大きいウェイトを付与する。得られた符号にウェイトをかけ、それぞれの符号との内積をとり、一番高いものを真の符号とする。

　表３、表４の例では３ビットまで反転しても真の符号を見いだせている。
　反転した部分は内積計算で負の寄与をするが、反転しやすいbitの寄与はウェイトが小さいため、反転していない正の寄与に対し負の寄与は少なく、真の符号が内積最大値を取りえる確率が高くなる。

　この既存の手法は通常の硬判定ファジー抽出器よりも高い訂正能力を持つが、信頼度情報をヘルパーデータの中に保管する必要がある。そのため、保管するデータの容量が大きくなる欠点を持つ。

　これに対して、本実施形態の鍵再生成時に信頼度情報Ｑを採用した高い訂正能力をもった軟判定を行うことが可能なファジー抽出器８２０では、ＣＩＳ－ＰＵＦがＰＵＦレスポンスを生成するたび、同時に対応するビットのソースフォロワトランジスタＳＦ－Ｔｒペアの平均出力差(ΔVout)から、ビットの不安定さを推測できる。
　この特性によって、ＣＩＳ－ＰＵＦでは１回の試行(１枚画像)で信頼度を得ることができる。そのため、既存の軟判定ファジー抽出器８４０とは違い、鍵の初期生成の際に必ずしも信頼度を付与した大きいヘルパーデータを作成する必要がなく、鍵の再生成時に、その都度信頼度を付与したＰＵＦレスポンスを用意するという方法をとることができる。
　さらに、信頼度を付与する分、硬判定ファジー抽出器８３０よりも高い訂正能力が期待できる。

（実データによる評価）
　次に、実データを用いたエラービットの訂正で能力の評価結果について述べる。まず、レスポンスに含まれるエラービットの割合を述べ、レスポンスに含まれたエラービットの数に応じた訂正能力ついて述べる。

（実データとエラービット解析）
　ＣＩＳ－ＰＵＦに本実施形態に係る新・軟判定ファジー抽出器を適応させるにあたって、実際にどれだけの訂正能力が得られるのかを実データから確認する。実データとしては、５チップの出力データをそれぞれ１００回試行(画像１００枚)分用意した。
　ここでは、前述したように、軟判定ファジー抽出器に使う誤り訂正符号に一次のリードマラー符号(ＲＭ符号)を使用する。この符号は比較的簡単な構造をしており、効率的に符号化が行えるため、ファジー抽出器の検討には向いているといえる。
　今回は一次のＲＭ符号の中で、規模の小さいＲＭ(8,4,4)を使うと仮定した。これは、４ビットの情報ビットから８ビットの符号語を生成し、符号語間で最低４ビットのＨＤ（ハミングディスタンス）を持つ。
　そのため、情報量４ビットで、８ビット中１ビットの誤りを訂正できる能力を持つ。このＲＭ(8,4,4)を使うにあたって、ＰＵＦレスポンス８ビット中エラービットがｎビット含まれる確率を求めた。

　評価においては、レスポンスの基準となる鍵の初期生成で用いるＰＵＦレスポンスに、１００回試行分の出力データを重ねることでランダムノイズをできる限り削減して生成した１／０データを使用する。
　この基準デ－タと１００枚それぞれの１枚データより得られる１／０デ－タとのＨＤ（ハミングディスタンス）を求めることでエラービット数を求める。
　ただし、８ビット当たりに含まれるエラービットを求めるため、１チップ1,920×270ビットのレスポンスを８ビットずつ切り取り、64,800ブロック分に分け，5チップ×64,800ブロック×100回試行分（約32M）で計測している。

　図２７は、エラービットの計測結果を示す図である。
　図２７からわかるように、ＣＩＳ－ＰＵＦのレスポンスを８ビットずつ区切った場合、含まれるエラービットはほとんどが０ビット化１ビットであり、多くてもほぼ３ビット以内に収まる。

（本実施形態に係る新・軟判定ファジー抽出器を通した場合のエラー訂正能力）
　ここでは、上述したエラービット解析得た各１枚試行のレスポンスを実際にファジー抽出器に通し、訂正が成功するかを確認する。

　図２８は、本実施形態に係る第１の信頼度設定方法および第２の信頼度設定方法、並びに、比較例としての一般的な硬判定ファジー抽出器を用いた判定方法のエラー訂正能力について示す図である。
　レスポンスを通すファジー抽出器は硬判定方式、本実施形態に係る第１の信頼度設定方法および第２の信頼度設定方法の３通りを試した。図２８は、８ビット中エラービットがｎビット含まれていた場合の訂正が成功する確率を示している。
　図２８において、特性曲線Ｃ１１が第１の信頼度設定方法によるエラービットと確率との関係を示し、特性曲線Ｃ１２が第２の信頼度設定方法によるエラービットと確率との関係を示し、特性曲線Ｃ１３が比較例である硬判定方法によるエラービットと確率との関係を示している。

　図２８から、硬判定では１ビットのエラーしか訂正できなかった訂正能力が、本実施形態に係る新・軟判定を用いることによって向上していることが見て取れる。
　新・軟判定ファジー抽出器では，硬判定で１ビットまでしか訂正できないＲＭ(8,4,4)で２ビットエラーまではほぼ確実に訂正でき、３ビットエラーにおいてもいくらかの確率で訂正が成功している。
　さらに、ランダムノイズによる第１の差ΔVout_getのずれを考慮した第２の信頼度設定方法においては、考慮しなかった場合よりも訂正能力が向上することが分かった。
　また、図２８では、３ビットエラーした場合の訂正能力に不安は残るが、図２７からＣＩＳ－ＰＵＦのレスポンスにおいて８ビット内に含まれるエラービットの出現確率を考慮すと、本実施形態に係る新・軟判定ファジー抽出器で訂正に１回失敗したとしても、複数回鍵の再生成処理を行えば正しい再生成鍵を作成することができると考えられる。

　以上説明したように、本実施形態によれば、鍵再生成時に信頼度情報Ｑを採用した高い訂正能力をもった軟判定を行うことが可能なファジー抽出器８２０では、ＣＩＳ－ＰＵＦがＰＵＦレスポンスを生成するたび、同時に対応するビットのソースフォロワトランジスタＳＦ－Ｔｒペアの平均出力差(ΔVout)から、ビットの不安定さを推測できる。
　この特性によって、ＣＩＳ－ＰＵＦでは１回の試行(１枚画像)で信頼度を得ることができる。そのため、既存の軟判定ファジー抽出器８４０とは違い、鍵の初期生成の際に必ずしも信頼度を付与した大きいヘルパーデータを作成する必要がなく、鍵の再生成時に、その都度信頼度を付与したＰＵＦレスポンスを用意するという方法をとることができる。
　さらに、信頼度を付与する分、硬判定ファジー抽出器８３０よりも高い訂正能力が期待できる。

　このように、本実施形態によれば、信頼度情報を得るためのレスポンスの複数測定とヘルパーデータへの信頼度付与が不要で、初期鍵生成時にファジー抽出器（Fuzzy Extractor）の保存デ－タが増大することを防止でき、秘匿性の高い固有のレスポンスデータを生成することが可能で、ひいては画像の改ざん、ねつ造を確実に防止することが可能となる。

　なお、上記の鍵生成部８２は、画素または読み出し回路４０のばらつき情報に基づいて固有鍵を生成する例について説明したが、異なるばらつき情報により生成した固有鍵同士の演算を行って最終的な固有鍵を得るように構成することも可能である。
　たとえば、次のように構成することも可能である。

　すなわち、鍵生成部８２は、たとえば、読み出し回路４０のＡＤＣ４１、アンプ（ＡＭＰ）４２、またはＳ／Ｈ回路４３のばらつき情報を用いて第１固有鍵を生成する第１機能と、読み出し回路４０のカラムメモリ４５のＳＲＡＭの出力を用いて第２固有鍵を生成する第２機能と、を含み、第１機能により生成された第１固有鍵と、第２機能により生成された第２固有鍵とを演算することにより最終的な固有鍵を生成するように構成することも可能である。

　この構成は、画素のばらつき情報に関しても同様に適用可能である。

　なお、一体化部８５は、一体化する鍵情報を用いて階層的に画像部分にマスクをする機能を含むように構成してもよい。
　また、一体化部８５は、一体化する鍵情報を用いて画像に電子透かしを入れる機能を含むように構成してもよい。

　なお、本実施形態において、固体撮像装置１０の各構成要素が同一パッケージ内に搭載されている構成を採用可能である。

　固体撮像装置（ＣＩＳ）１０とＩＳＰ(Image Signal Processor)を同一パッケージに封止したＳｉＰ (Silicon in Package)にて、鍵および識別データを生成する信号処理をパッケージ内部にて完結し、パッケージ外部に固有鍵データを出力することなく、識別データを生成可能な構成を採用可能である。

　また、イメージセンサと信号処理回路とを備えたＳｏＣ (System on Chip)において、鍵および識別データを生成する信号処理をチップ内部にて完結し、チップ外部に固有鍵データを出力することなく、識別データを生成可能な構成を採用可能である。

　また、本実施形態の固体撮像装置１０は、前述したように、通常の読出し駆動タイミングとは別に、リーク電流などを長時間蓄積するための駆動タイミングを備えるように構成可能である。また、アナログアンプ、デジタルアンプ、または、ＡＤＣのフルスケール電圧を縮小し、リーク電圧の蓄積電圧を強調して出力しても良い。また、複数行あるいは複数フレームのデータを平均化、または加算することで、ランダムノイズ成分を低減しても良い。

　また、読み出し回路４０の構成回路のばらつき情報ＣＦＬＣについて、情報取得部８１は、読み出し回路４０の構成回路のばらつき情報ＣＦＬＣとして、ＡＤＣのばらつき情報を採用することができる。
　また、情報取得部８１は、読み出し回路４０の構成回路のばらつき情報ＣＦＬＣとして、アンプ（ＡＭＰ、増幅器）のばらつき情報を採用することができる。
　また、情報取得部８１は、読み出し回路４０の構成回路のばらつき情報ＣＦＬＣとして、Ｓ／Ｈ回路のばらつき情報を採用することができる。
　また、情報取得部８１は、読み出し回路４０の構成回路のばらつき情報ＣＦＬＣとして、カラムメモリのＳＲＡＭの出力（ばらつき）情報を採用することができる。

　以上説明した固体撮像装置１０，１０Ａは、デジタルカメラやビデオカメラ、携帯端末、あるいは監視用カメラ、医療用内視鏡用カメラなどの電子機器に、撮像デバイスとして適用することができる。

　図２９は、本発明の実施形態に係る固体撮像装置が適用されるカメラシステムを搭載した電子機器の構成の一例を示す図である。

　本電子機器４００は、図２９に示すように、本実施形態に係る固体撮像装置１０，１０Ａが適用可能なＣＭＯＳイメージセンサ（ＩＭＧＳＮＳ）４１０を有する。
　さらに、電子機器４００は、このＣＭＯＳイメージセンサ４１０の画素領域に入射光を導く（被写体像を結像する）光学系（レンズ等）４２０を有する。
　電子機器４００は、ＣＭＯＳイメージセンサ４１０の出力信号を処理する信号処理回路(ＰＲＣ)４３０を有する。

　信号処理回路４３０は、ＣＭＯＳイメージセンサ４１０の出力信号に対して所定の信号処理を施す。
　信号処理回路４３０で処理された画像信号は、液晶ディスプレイ等からなるモニタに動画として映し出し、あるいはプリンタに出力することも可能であり、またメモリカード等の記録媒体に直接記録する等、種々の態様が可能である。

　上述したように、ＣＭＯＳイメージセンサ４１０として、前述した固体撮像装置１０，１０Ａを搭載することで、高性能、小型、低コストのカメラシステムを提供することが可能となる。
　そして、カメラの設置の要件に実装サイズ、接続可能ケーブル本数、ケーブル長さ、設置高さなどの制約がある用途に使われる、たとえば、監視用カメラ、医療用内視鏡用カメラなどの電子機器を実現することができる。

Claims

　光電変換機能を有する複数の画素が行列状に配列された画素部と、
　前記画素部から画素信号の読み出しを行う読み出し部と、
　ファジー抽出器（Fuzzy Extractor）を含み、前記画素のばらつき情報および前記読み出し部のばらつき情報の少なくともいずれかに関連付けて固有鍵を含むレスポンスデータを生成するレスポスデータ生成部を、を有し、
　前記レスポンスデータ生成部は、
　　鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるばらつき情報と、当該鍵再生成時のばらつき情報より予測した信頼度情報とを用いて固有鍵を生成する
　固体撮像装置。
　前記ばらつき情報は、１ビット当たり２つの出力値が得られる複数ビットのデジタル値として取得され、
　前記レスポンスデータ生成部は、
　　前記ばらつき情報の２つの出力値を前記信頼度情報として利用する
　請求項１記載の固体撮像装置。
　前記ばらつき情報の２つの出力値の差分値でビット反転し易い、ビット反転しにくい程度を予測可能であり、
　前記レスポンスデータ生成部は、
　　鍵再生成時に得られる前記ばらつき情報の２つの出力値の差分値から前記信頼度情報を予測する
　請求項２記載の固体撮像装置。
　前記レスポンスデータ生成部は、
　　鍵再生成時に得られる前記ばらつき情報の２つの出力値の第１の差と、前記出力値の平均同士の第２の差が一致すると仮定し、
　　前記第１の差が大きいほど、前記２つの出力値分布が重なる面積は小さくビット反転の確率が小さく、前記第１の差が小さいほど、前記２つの出力値分布が重なる面積は大きくビット反転の確率が大きい、と想定して信頼度を設定する
　請求項２記載の固体撮像装置。
　前記レスポンスデータ生成部は、
　　前記第１の差から想定した２つの出力値分布が重なる面積が最大のとき信頼度を最低とし、重なる面積が小さくなるにつれて信頼度を最大に近づけて信頼度の設定を行う
　請求項４記載の固体撮像装置。
　前記レスポンスデータ生成部は、
　　前記第１の差から想定した２つの出力値分布が重なる面積が最小のとき信頼度を最大とし、重なる面積が大きくなるにつれて信頼度を最小に近づけて信頼度の設定を行う
　請求項４記載の固体撮像装置。
　前記レスポンスデータ生成部は、
　　鍵再生成時に得られる前記ばらつき情報の２つの出力値の第１の差が、前記出力値の平均同士の第２の差と異なり、値を取得するごとに値が変動し、得られた第１の差が前記第２の差よりも大きい場合と小さい場合が確率的に存在することを前提として、
　　前記第１の差が前記第２の差からずれる割合を考慮して信頼度の設定を行う
　請求項２記載の固体撮像装置。
　前記レスポンスデータ生成部は、
　　前記第１の差が、第２の差±αとなることを想定し、当該第１の差が前記第２の差からずれる割合を考慮した信頼度設定を行う
　請求項７記載の固体撮像装置。
　ファジー抽出器（Fuzzy Extractor）は、
　　初期鍵生成時に取得したレスポンスとしてのばらつき情報に基づいて初期鍵およびヘルパーデータを生成する初期鍵生成部と、
　　鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるエラーを含むレスポンスとしてのばらつき情報と、当該鍵再生成時のばらつき情報より予測した信頼度情報とを用いて軟判定を行って固有鍵を生成する鍵再生成部と、を含む
　請求項１記載の固体撮像装置。
　前記初期鍵生成部は、
　　取得されたレスポンスとしてのばらつき情報Ｗをハッシュ（Hash）関数に通して得られたハッシュ値を初期鍵として出力する第１のハッシュ部と、
　　前記取得されたばらつき情報Ｗと、乱数を用いて作成した誤り訂正符号の符号語Ｃとの排他的論理和（ＷｘｏｒＣ）をヘルパーデータとして出力する排他的論理和部と、を含む
　請求項９記載の固体撮像装置。
　前記鍵再生成部は、
　　鍵再生成時に得られるエラーを含むレスポンスとしてのばらつき情報より予測した信頼度情報Ｑを取得する信頼度情報取得部と、
　　鍵再生成時に得られるエラーを含むレスポンスとしてのばらつき情報Ｗ（ｘ）Ｅと前記信頼度情報Ｑを乗算して第１のデータＷ（ｘ）Ｅ（ｘ）Ｑを取得する第１の乗算器と、
　　前記ヘルパーデータＷ（ｘ）Ｃと前記信頼度情報Ｑを含む前記第１のデータとを乗算して前記誤り訂正符号の符号語Ｃにエラー成分Ｅと信頼度情報Ｑが乗算された第２のデータＣ（ｘ）Ｅ（ｘ）Ｑを取得する第２の乗算器と、
　　前記第２のデータＣ（ｘ）Ｅ（ｘ）Ｑを、前記信頼度情報Ｑを利用した相関復号によって復号し、推定符号語Ｃ’を取得する誤り訂正部と、
　　前記誤り訂正部による推定符号語Ｃ’と前記ヘルパーデータＷ（ｘ）Ｃを乗算して推定ばらつき情報Ｗ’を取得する第３の乗算器と、
　　前記推定ばらつき情報Ｗ’をハッシュ（Hash）関数に通して得られたハッシュ値を再生成鍵として出力する第２のハッシュ部と、を含む
　請求項９記載の固体撮像装置。
　前記誤り訂正部による推定符号語Ｃ’が初期鍵生成時の符号語Ｃと一致しているならば，再生成鍵は初期鍵と一致する
　請求項１１記載の固体撮像装置。
　前記鍵再生成部は、
　　鍵再生成時に得られるエラーを含むレスポンスとしてのばらつき情報Ｗ（ｘ）Ｅ、および前記ヘルパーデータＷ（ｘ）Ｃは、１／０のデータが－１／１のデータに変換して与えられ、
　　前記第２のハッシュ部への入力前に－１／１のデータが１／０のデータに再変換される
　請求項１１記載の固体撮像装置。
　前記画素は、
　　蓄積期間に光電変換により生成した電荷を蓄積する光電変換素子と、
　　前記光電変換素子に蓄積された電荷を転送期間に転送可能な転送素子と、
　　前記転送素子を通じて前記光電変換素子で蓄積された電荷が転送されるフローティングディフュージョンと、
　　前記フローティングディフュージョンの電荷を電荷量に応じた利得をもって電圧信号に変換するソースフォロワ素子と、
　　前記フローティングディフュージョンを所定電位にリセットするリセット素子と、を含む
　請求項１記載の固体撮像装置。
　前記画素部は、
　　一つの前記フローティングディフュージョン、一つの前記ソースフォロワ素子、および一つのリセット素子を複数の前記光電変換素子および前記転送素子で共有する画素共有構造を有する
　請求項１４記載の固体撮像装置。
　画素アレイ端に画素出力電圧振幅を制限するクリップ回路が配置されている
　請求項１４記載の固体撮像装置。
　光電変換機能を有する複数の画素が行列状に配列された画素部と、
　前記画素部から画素信号の読み出しを行う読み出し部と、
　を含む固体撮像装置の駆動方法であって、
　前記画素のばらつき情報および前記読み出し部のばらつき情報の少なくともいずれかの情報を取得する情報取得ステップと、
　ファジー抽出器（Fuzzy Extractor）を適用して、前記情報取得ステップで取得したばらつき情報に関連付けて固有鍵を含むレスポンスデータを生成するレスポスデータ生成ステップと、を含み、
　前記レスポンスデータ生成ステップにおいて、
　　鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるばらつき情報と、当該鍵再生成時のばらつき情報より予測した信頼度情報とを用いて固有鍵を生成する
　固体撮像装置の駆動方法。
　固体撮像装置と、
　前記固体撮像装置に被写体像を結像する光学系と、を有し、
　前記固体撮像装置は、
　　光電変換機能を有する複数の画素が行列状に配列された画素部と、
　　前記画素部から画素信号の読み出しを行う読み出し部と、
　　ファジー抽出器（Fuzzy Extractor）を含み、前記画素のばらつき情報および前記読み出し部のばらつき情報の少なくともいずれかに関連付けて固有鍵を含むレスポンスデータを生成するレスポスデータ生成部を、を有し、
　　前記レスポンスデータ生成部は、
　　　鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるばらつき情報と、当該鍵再生成時のばらつき情報より予測した信頼度情報とを用いて固有鍵を生成する
　電子機器。