CN101422015A - 无需数据库的噪声低功率puf认证 - Google Patents

Abstract

本发明涉及一种用于在验证器(210)处对包括物理令牌(102)的设备(101，201)进行认证的方法、用于执行认证的***、以及包括用于提供可测量参数的物理令牌的设备。本发明的基本思想是提供一种安全认证协议，在该安全认证协议中，可使例如RFID标签这样的、包括有物理不可克隆功能(PUF)形式的物理令牌(102)的低功率设备免于执行密码学操作或者就处理功率而言的其他需要操作。为此，要被认证的PUF设备(101，201)验证它是否事实上正被授权的验证器来查询。例如，在银行希望认证的钞票中布置了包括PUF(102)的RFID标签。该验证基于银行独有的、能够揭示隐蔽数据的能力，其中隐蔽数据诸如是在向银行登记RFID标记(或者实际上PUF)的注册阶段中已经创建的数据。现在，RFID标签再次向其PUF进行挑战以创建发送到验证器的响应数据。该验证器检查响应数据是否正确，并且如果是这样的话，认证包括该物理令牌的设备，这是因为该设备能够产生与隐蔽且在注册阶段中存储的响应数据相对应的响应数据。

Description

无需数据库的噪声低功率PUF认证

本发明涉及一种用于在验证器上进行认证的方法、包括物理令牌的设备、用于执行认证的***、以及包括用于提供可测量参数的物理令牌的设备。

物理不可克隆功能(PUF)是用于创建下述防篡改环境的结构，在所述抗干扰环境中，当事方可建立共享秘密。PUF是向其提供了输入(挑战)的物理令牌。当向PUF提供挑战时，它生成被称为响应的随机模拟输出。因为其复杂性以及它遵循的自然法则，所以认为该令牌是＂不可克隆的＂，即难以实施物理地复制和/或计算建模。有时还将PUF称为物理随机功能。如果将PUF与控制功能结合在一起，那么可使PUF显著地加强。在事件中，将PUF和与PUF分不开的算法包括在防篡改芯片之内。只可通过该算法来访问PUF，并且任何绕过该算法或者对该算法进行操纵的企图都将破坏PUF。以硬件、软件、或者其组合实现的算法将控治PUF的输入和输出。例如，阻止频繁向PUF发出挑战、阻止某些类别的挑战、隐藏PUF的物理输出、仅显现加密保护的数据等等。这些措施可显著地增强安全性，这是因为攻击者无法随意地向PUF发出挑战并且无法对该响应进行解释。将这种类型的PUF称为受控的PUF(CPUF)。

PUF的示例是包含有处于随机位置的光散射器的3D光学介质。输入(即挑战)可以是例如照射PUF的激光束的入射角，并且输出(即响应)是作为特定入射角的结果而由光散射器所产生的散斑图案。利用照相机可对该响应进行检测并且可将该响应量化成密钥。

创建可用作密钥材料源的PUF的另一方式是利用其中介电粒子散布其中的涂层来覆盖集成电路(IC)。由于生产工艺，这些粒子通常具有不同介电常数以及或多或少地随机形状、大小以及位置。传感器元件位于IC的顶部金属层处以对不同涂层位置处的电容值进行局部测量。在该示例中，涂层本身构成了物理不可克隆功能。作为介电粒子的随机性的结果，所测量的电容值可形成极好的密钥材料。具有涂层形式的PUF的IC对电容进行测量，并且将该电容值转换成从其可导出密钥的位串。

在注册阶段中，将挑战提供给PUF，该PUF产生对于该挑战唯一且不可预测的响应。将该挑战和相应的响应存储在验证器处，并且随后将利用该验证器进行认证。典型地，在认证阶段，验证器向检验方提供在注册阶段所存储的挑战。如果检验方能够返回对该挑战的响应，且该响应与在注册阶段所存储的响应相匹配，那么认为检验方被检验为可访问共享秘密，并且因此由验证器进行了认证。进行注册阶段和认证阶段而应当不会揭示共享秘密(即响应)，其通常涉及借助于加密来设置安全信道的。相反状况在该技术领域中也已为大家所熟知：配备有PUF的处理器可证实它与具有其PUF的先验测量知识的用户进行通信。因此，配置有PUF的设备可对寻求访问该设备的用户进行认证。

PUF例如以由用户所采用的令牌来实现，以对本身进行认证并且因此可访问某些数据、服务或者设备。这些令牌例如包括借助于射频信号或者通过有线接口(诸如USB)而与要访问的设备进行通信的智能卡。PUF可用于对例如智能卡、SIM卡、***、钞票、有价证券、RFID(射频识别)标签、安全相机等等这样的大范围的对象和设备进行认证。因此，PUF可很好的适用于例如DRM(数字权限管理)、拷贝保护、商标保护、以及伪品检测这样的应用中。此外，PUFs提供了防窃启(tamperevidence)的廉价方法。

理想地，基于PUF的认证协议将满足所有以下特性：

1、区分能力：PUF特性之间必须存在足够的差别以对PUF进行唯一地标识；

2、安全性：必须保护从PUF所导出的密钥。如果它们受到危害，那么攻击者可模仿PUF设备(伪造、假冒、身份盗窃等等)。必须对这些密钥进行保护以免偷听者、恶意验证器/第三方以及黑客企图攻击该PUF设备；

3、噪声容许：在某种程度上，所有PUF度量都是有噪声的。如果将加密操作应用于PUF输出，那么首先通常必须应用纠错码，因为加密功能的实际任务使提供给它的输入错乱。如果没有纠错，输入数据的很小偏差将会导致输出数据很大的偏差；

4、低成本：验证器所使用的器具(例如ATM机)一般是昂贵的。然而，要认证的一方所使用的设备(例如ATM提款卡)必须很便宜。

RFID标签用作便宜的标识符并且期望取代条型码。最简单的标签仅包含标识号(ID)和电子产品编码(EPC)。然而，稍微更昂贵的标签还可包含例如PIN码、一些外加存储器以及适量的计算能力。已提议了使用RFID标签以用于认证和防伪目的，例如用于对伪钞进行检测。

越来越多的应用除了要求满足上面所给出的所需认证协议特性之外，还要求认证协议可在低功率设备上运行。示例是具有嵌入式PUF的RFID标签、具有集成指纹传感器的智能卡、＂电除尘＂应用等等。这些设备具有适度的处理功率能力并且通常太弱而不能执行诸如加密、解密、签名、以及签名校验这样的密码学操作。此外，它们通常太弱而不能在有噪声的度量上执行纠错算法。然而，它们通常具有足以生成随机数并且计算散列函数的功率。现有技术的问题在于当不允许低功率设备使用纠错以及像AES、DES、RSA、ECC等之类的密码算法时如何确保安全性。

在诸如大批量验钞这样的一些应用中，速度是重要的要求。密码操作的问题在于它们需要长的处理器时间量。

此外，对于验证器而言，维持注册度量的数据库是很麻烦的。当保持大量PUF的记录时，总而言之显然有利的是可避免数据库的必要性。

本发明的目的是克服上述先有技术中的一些问题。尤其是，本发明的目的是提供一种还可在下述低功率设备上运行的安全认证协议，所述低功率设备不具有足够的处理功率以对噪声度量执行诸如加密、解密、签名、签名校验以及纠错这样的密码学操作。本发明进一步的目的是提供这样一种安全认证协议，在该安全认证协议中，验证器不必保持用于物理令牌的注册度量的数据库。

这些目的通过根据权利要求1的、用于在验证器上对物理令牌进行认证的方法、根据权利要求19的用于执行认证的***、以及根据权利要求25的、包括有用于提供可测量参数的物理令牌的设备来实现。

在本发明的第一方面中，提供了一种用于在验证器处对物理令牌进行认证的方法，该方法包括步骤：在验证器处接收来自设备的第一集合的隐蔽响应数据，该响应数据从所述物理令牌导出、被隐蔽并且在注册期间存储在该设备中；揭示所隐蔽的响应数据；以及将它发送到该设备。此外，该方法包括步骤：在该设备处利用第一挑战向物理令牌进行挑战以导出响应数据，其中该第一挑战用于导出第一集合的响应数据；将所导出的响应数据与从验证器接收到的第一集合的响应数据进行比较；以及如果所导出的响应数据与从验证器接收到的第一集合的响应数据相对应，那么利用第二挑战向该物理令牌进行挑战以导出响应数据，其中所述第二挑战用于从物理令牌导出第二集合的响应数据并且该第二集合被隐蔽并且在注册期间存储在设备中。此后，将第二集合的隐蔽响应数据以及从第二挑战所导出的响应数据发送到验证器，该验证器揭示第二集合的隐蔽响应数据，并将该第二集合的响应数据与从第二挑战所导出的响应数据进行比较，其中如果这两个数据集合之间存在相应性，那么认为该设备被认证了。

在本发明的第二方面中，提供了一种用于执行认证的***，所述***包括验证器以及包括有物理令牌的设备。在该***中，该验证器布置为从该设备接收第一集合的隐蔽响应数据，该响应数据从物理令牌导出、被隐蔽并且在注册期间存储在该设备中，并且该该验证器布置为揭示所隐蔽的响应数据并且将它发送到该设备。该设备被布置为通过利用用于导出第一集合的响应数据的第一挑战来对物理令牌进行挑战来导出响应数据、将所导出的响应数据与从验证器接收到的第一集合的响应数据进行比较、并且在如果所导出的响应数据与从验证器接收到的第一集合的响应数据相对应，则通过用第二挑战来对物理令牌进行挑战而导出响应数据，其中所述第二挑战用于从物理令牌导出第二集合的响应数据并且该第二集合被隐蔽并且在注册期间存储在该设备中。此外，该设备被布置为将第二集合的隐蔽响应数据以及从第二挑战所导出的响应数据发送到验证器，该验证器揭示第二集合的隐蔽响应数据，并且将第二集合的响应数据与从第二挑战所导出的响应数据进行比较，其中如果这两个数据集合之间存在相应性，那么认为该设备被认证了。

在本发明的第三方面中，提供了一种包括用于提供可测量参数的物理令牌的设备，其中该设备进一步包括：传感器元件，用于对由物理令牌所提供的参数进行测量；逻辑电路，用于以不可逆函数对提供给它的数据进行处理；至少一个存储器，用于在设备的注册期间存储从所述物理令牌所导出的隐蔽的响应数据；以及通信装置，用于与外部实体进行通信。

本发明的基本思想是提供一种安全认证协议，在该安全认证协议中，可使例如RFID标签这样的、包括有物理不可克隆功能(PUF)形式的物理令牌的低功率设备免于执行密码学操作或者就处理功率而言的其他需要操作。为此，要认证的PUF设备验证她是否正由被授权的验证器进行查询。例如，可以在银行希望认证的钞票中布置包括PUF的RFID标签。该验证基于银行可揭示隐蔽数据的独有能力，所述隐蔽数据诸如是已经在向银行登记RFID标记(或者实际上PUF)的注册阶段中创建的数据。在下文中，示例了验证方是银行、并且要认证的一方即检验方具体体现为配备有包括PUF的RFID标签的钞票的形式。借助于对称或者非对称加密可实现数据的隐蔽，并且因此，借助于解密来实施数据的揭示。

详细而言，银行从RFID标签接收第一集合的隐蔽响应数据。该响应数据先前从RFID标签的PUF导出、被银行隐蔽并且在注册期间存储在标签中。此后，银行揭示所隐蔽的响应数据并且将其以明文发送到标签。该标签利用用于导出第一注册集合的响应数据的挑战来向其PUF进行挑战以导出响应数据，并且对所导出的响应数据与从验证器所接收到的第一集合的响应数据进行比较。如果所导出的响应数据与从银行接收到的第一响应数据集合相对应，那么已经验证了银行能够揭示发送给它的隐蔽响应数据，并且由此肯定已经具有对例如解密密钥这样的、用于揭示隐蔽响应数据的装置的存取。因为RFID标签现在确认它正与银行进行通信(或者实际上拥有解密密钥的任何授权方)，因此进到认证协议的下一步骤。

现在，RFID标签再次通过利用挑战来向其PUF进行挑战以创建响应数据，其中所述挑战先前用于导出物理令牌的第二集合的响应数据，并且该第二集合在注册期间通过验证器/注册器而隐蔽并且存储在令牌上。将第二集合的隐蔽响应数据和从第二挑战所导出的响应数据发送到验证器。验证器揭示第二集合的隐蔽响应数据并且对第二集合的响应数据与从第二挑战所导出的响应数据进行比较。如果存在相应性，那么认为包括有该物理令牌的设备被认证了，这是因为它能够产生与在注册阶段中隐蔽且存储的响应数据相对应的响应数据。

应该注意的是，执行实际注册的一方(即注册器)不必与随后执行验证的一方(验证器)相同。例如，银行集中地对设备进行注册，而通常在本地银行办公室进行对该设备的验证。

有利地，本发明可使安全认证协议能够应用在下述环境中，在该环境中，就处理功率而言，低功率设备具有有限资源，尤其是用于执行密码学操作而言更是如此。此外，本发明的应用可使验证器免于对注册数据的数据库进行维护的责任。

通常利用设置在自举或初始模式下的设备来执行包括物理令牌的设备的注册，在所述自举或初始模式中，该设备可揭示许多集合的PUF响应数据。验证器从该设备接收响应数据集并且例如借助于利用由验证器所保持的私密对称密钥来对它们进行加密来隐蔽它们。此后将隐蔽的响应数据集合存储在PUF设备中，并且自举模式永久无效。应该注意的是，术语＂响应数据＂是指从PUF的实际“原始”模拟响应所导出的数字数据。该响应数据可以包括原始响应本身的A/D变换，但是如随后所描述的，它也可以是包括经噪声校正的响应。所属技术领域的专业人员可预见到用于提供响应数据的许多方式。例如，可对原始模拟响应进行处理以便从它适当地提取信息。

在本发明的有利实施例中，响应数据包括基于物理令牌的响应的经噪声校正的数据以及在下文中被称为帮助数据的校正噪声数据。帮助数据通常用于以安全方式提供噪声-鲁棒性。在注册期间获得的响应不必与在认证阶段期间获得的响应相同(理论上相同)。当对诸如PUF响应之类的物理特性进行测量时，在测量过程中总是存在随机噪声，因此对于相同物理特性的不同测量而言，用于将模拟特性变换成数字数据的量化处理的结果是不同的。因此，用于PUF的相同挑战未必产生相同的响应。为了提供对噪声的鲁棒性，在注册期间导出帮助数据并对其进行存储。在认证期间将使用该帮助数据以实现噪声鲁棒性。帮助数据被认为是公开数据并且仅揭示与从该响应所导出的私密注册数据有关的信息的可以忽略量。

在示例性帮助数据方案中，帮助数据W和注册数据S经由一些适当函数F_G而基于PUF的响应R，以便(W，S)＝F_G(R)。该函数F_G可以是可从单个响应R中生成帮助数据W与注册数据S的许多对(W，S)的随机化函数。这可使注册数据S(并且由此也使帮助数据W)对于不同的注册认证而言是不同的。

帮助数据基于注册数据和PUF的响应，并且将它选择为当将增量(Δ)收缩函数应用于响应R和帮助数据W上时，结果等于注册数据S。增量-收缩函数的特征在于它允许选择适当值的帮助数据以便充分相似于该响应的任何数据值都会导致相同输出值，即与注册数据相同的数据。因此，如果R′与R相似达到充分程度，那么G(R，W)＝G(R′，W)＝S。因此，在认证期间，噪声响应R′将与帮助数据W一起产生与注册数据S相同的验证数据S′＝G(R′，W)。将帮助数据W配置为不会通过对帮助数据进行研究而可揭示出与注册数据S或者验证数据S′有关的信息。

在采用帮助数据方案的情况下，在注册阶段中，验证器根据从PUF设备接收到的原始响应R来构造帮助数据W和注册数据S。此后，隐蔽注册数据，并且将其与帮助数据(明文)一起存储在PUF设备中。在认证阶段，如上所述，在PUF设备上利用帮助数据对PUF的响应进行处理，并且在采用帮助数据的情况下发送给验证器的响应数据因此包括注册数据S而不包括原始响应R。应该注意的是，作为选择，可以隐蔽帮助数据并将其存储在该设备中。在这种情况下，在认证阶段将隐蔽的帮助数据发送到验证器，该验证器揭示它并且将它以明文的形式发送到包括有该物理令牌的设备。

在本发明的可有利地用于进一步增强认证协议的安全性的另一实施例中，在包括有物理令牌的设备的注册期间，验证器生成以随机数x形式的验证数据。此后验证器对数字x进行加密和签名并且将它存储在包括有该令牌的设备中。此外，优选将x的散列拷贝存储在该设备中。在认证阶段中，验证器从包括有该物理令牌的设备接收签名的且隐蔽的x。验证器对该签名进行检查。如果该签名无效，那么认为该令牌是伪品或者否则不可信。相反地，如果该签名有效，那么验证器揭示隐蔽的x并且以明文的形式将x发送到该设备。此后该设备将不可逆函数应用于x上。这与在注册期间所采用的例如散列函数这样的不可逆函数相同。

此后，该设备对该散列函数的输出与存储在该设备中的散列值进行比较。如果该散列值不匹配，那么该设备认为该验证器是非法的并且不会进行到认证协议的下一步骤。下一步骤是导出响应数据并且将它与从验证器所接收到的响应数据进行比较的步骤。

在本发明的进一步实施例中，要验证的数据，即响应数据和验证数据在注册阶段中具有有效数字签名。此后，在认证期间，验证器检查隐蔽的响应数据和验证数据是否已具有有效签名。如果没有，那么该协议结束，这是因为无法确保适当的协议安全性。

在又一实施例中，将物理令牌密码学地捆绑到包括该物理令牌的设备。假定物理令牌包括在布置在钞票中的RFID标签中：此后有可能可将钞票的序列号捆绑到PUF上。这样做的一个方式是在加密之下将该序列号追加到PUF响应之一或者两者上。该实施例的优点在于从一张钞票中除去RFID标签并且将它嵌入到另一张中会导致可很容易由验证器检测到的不匹配。

当研究随后的权利要求及其后描述时，本发明的进一步特征和优点变得显而易见。本领域普通技术人员可认识到可以对本发明的不同特征进行组合以创建除了在下文中所描述的那些实施例之外的实施例。即使配置有包括PUF的RFID标签的钞票用作与要被认证的一方的示例并且将银行例示为验证方，但是应当理解的是本发明可应用于可使用安全认证协议的许多环境中。如在上面所提到的，令牌例如包括在借助于射频信号或者通过有线接口(诸如USB)而与要访问的设备进行通信的智能卡中。PUF可用于对例如智能卡、SIM卡、***、钞票、有价证券、RFID(射频标识)标签、安全相机等等这样的大范围的对象和设备进行认证。

下面参考附图对本发明的优选实施例进行详细说明，在附图中：

图1给出了根据本发明实施例的包括有物理令牌的设备。

图2给出了其中要在银行对包括RFID标签的钞票进行认证的本发明的示例性实施例。

图1给出了根据本发明实施例的例如RFID标签这样的包括物理令牌102的设备101，其中该物理令牌102提供用于认证的可测量参数。也被称为物理不可克隆功能(PUF)的物理令牌可以具体体现为涂层或者覆盖设备101的涂层的一部分的形式。介电粒子散布在该涂层中。这些粒子典型地具有不同介电常数并且具有随机的大小和形状。在RFID标签中布置了传感器元件103以对不同涂层位置的电容值进行局部测量，从而创建取决于对哪些传感器元件进行读取的不同响应数据。作为介电粒子的随机性的结果，所测量的电容值可形成极好的密码材料。

还把A/D转换器104包含在RFID标签中以用于将模拟电容值转换成从其可导出密码学数据的位串。应该注意的是，存在被称为＂硅PUF＂的PUF，这些PUF生成非常接近数字格式的原始数据，并且可就好象原始数据完全是数字那样对原始数据进行处理。在这种情况下，不必在设备101中包括A/D转换器。

设备101典型地配置有通过其可键入数据的输入以及通过其可提供数据的输出。在RFID标签的情况下，通过天线105和RF接口109输入/输出数据。设备101典型地包括用于存储中间特征的数据(例如从传感器导出的响应数据)的RAM 106形式的存储器以及用于存储永久特征的数据(例如隐蔽的响应数据、噪声校正数据以及在注册阶段中存储的其它数据)的ROM 107。

为了实现PUF 102并且在RFID标签101中，以下参数必须遵循：

(a)低功率设计(没有“板载”电池，必须从外部电磁场导出电源)，

(b)应使用相对高速的电路(例如用于对钞票进行高容量检查)，以及

(c)IC工艺和硅面积成本。

目前，在CMOS IC工艺中制造RFID标签，这是因为CMOS通常成本低、该技术中可能的低功率电路设计、以及用于利用这些工艺来嵌入存储器电路的适当性。

因为这些设计参数，因此无法将微处理器嵌入到诸如RFID标签之类的低成本、低功率设备中。因此，通过即就是低功率标准逻辑门(逻辑NAND和NOR函数)这样的“硬连线”密码逻辑可执行本发明允许的相对简单的密码学计算。一旦已按照VHDL(超高速集成电路硬件描述语言)格式对这些数学密码函数进行了描述，现今可通过布局&布线设计工具自动生成硬连线电路。块108表示典型地执行诸如计算散列函数之类的操作的密码逻辑。在诸如ASIC(专用集成电路)、FPGA(现场可编程门阵列)、CPLD(复杂可编程序逻辑设备)等等之类的逻辑设备中可实现借助于VHDL实施的电路。

在其中如图1所示的设备101在注册器/验证器处登记的注册阶段中，以自举或初始化模式设置包括物理令牌102的设备。在下文中，假定银行对根据图1的RFID标签进行注册，该标签随后将包括在例如钞票内。在自举模式中，设备揭示至少两个集合的PUF响应数据R₁、R₂，这些数据基于传感器103执行的电容测量。银行从该设备接收响应数据R1、R2并且例如借助于利用银行所保持的密钥K(对称或不对称)来对它们进行加密而隐蔽它们。此后将加密的响应数据集合E_K(R₁)、E_K(R₂)存储在ROM 107中并且使自举模式永久无效。

在本发明的实施例中，银行借助于银行所保持的私钥来向加密的响应数据E_K(R₁)、E_K(R₂)提供数字签名。该签名在下文中被表示为$E_K(R₁)、$E_K(R₂)。由银行提供签名对于执行本发明的认证协议不是必须的。然而，就安全性而言更好地是它显著增强了认证协议。

参考图2，在认证阶段中，当在以银行210形式的验证器处对设备201进行认证时，在步骤220向银行提供第一集合$E_K(R₁)的经签名且加密的响应数据。要认证的设备是包含在钞票或者如图2中所说明的提款卡201之中的RFID标签，其中银行顾客211利用该提款卡来希望通过将提款卡***到自动取款机(ATM)212中而提款。银行检查是否已提供了有效签名，并且如果是这样的话，则在步骤221中对加密数据进行解密并且通过ATM 212将最终明文数据R1发送到提款卡201。

当接收到明文响应数据R₁时，设备201利用在注册期间采用以导出响应数据R₁的挑战向其物理令牌进行挑战。因此导出另一集合R1′的响应数据并且对其与从银行210接收到的响应数据R1进行比较。可以通过采用下述众所周知的比较方案来进行对这两个响应数据集的比较，在所述比较方案中，计算例如汉明距离或欧几里德距离这样的、在两个数据集合之间的距离的度量。如果这两个集合之间存在相应性(即所计算的距离不超过预定阈值)，那么证明银行能够对发送给它的加密响应数据$E_K(R₁)进行解密，并且由此必然具有对相应解密密钥的访问。因为现在提款卡被确认为它正与银行进行通信，因此进行认证协议的下一步骤。

在该下一步骤中，设备201利用第二挑战来对其PUF进行挑战，该第二挑战用于在注册期间导出第二集合的响应数据并且该第二挑战被签名、加密、并且存储在该设备中。该设备在步骤222中经由ATM212将第二集合R₂′的响应数据以及在注册阶段中存储在该设备处的经签名且加密的响应数据$E_K(R₂)发送到银行210。银行检查该签名是否是有效的，并且如果这样的话，对加密的响应数据进行解密。此后银行对这两个集合的响应数据R₂、R₂′(例如利用汉明距离计算)进行比较。如果这两个集合的响应数据R₂、R₂′之间存在相应性，那么在银行210处认证了设备201，这是因为很清楚它能够产生与银行所加密的且在注册阶段期间存储在该设备中的响应数据相对应的响应数据。

在本发明的另一实施例中，如先前所讨论的，使用进一步的参数用于向认证协议提供安全性。在注册期间，当已将该设备设置为处于自举模式下时，通过一些适当的函数F_G基于PUF的响应R来创建噪声校正的数据/帮助数据W以及注册数据S，以便(W，S)＝F_G(R)。此后，对以注册数据S形式的响应数据进行签名、加密、并且将其与帮助数据W一起存储到PUF设备中。此外，银行生成以随机数x形式的验证数据。此后对该数字x进行加密、签名、并且将其存储在该设备上。此外，优选地将x的散列拷贝H(x)存储在该设备处。因此，在该特定实施例中，该设备将$E_K(S₁)、$E_K(S₂)、$E_K(x)、W、H(x)存储在其ROM中。此后，使自举模式永久无效。

参考图2，在认证阶段，当在银行210形式的验证器处对设备201进行认证时，在步骤220将经签名且加密的响应数据的第一集合$E_K(S₁)与经签名且加密的随机数$E_K(x)一起提供给银行。要认证的设备可以是包含在钞票中的RFID标签，其中该钞票是银行顾客211希望通过存款机212而将其存款到银行中的钞票。银行检查是否已提供了有效签名，并且如果是这样的话，在步骤221中，对加密的响应数据和随机数进行解密并且将最终明文数据S₁和x发送到位于存款机212中的钞票201。

当接收到明文数据S₁和x时，设备201将散列函数应用到随机数x上。如果最终散列值H(x)与存储在设备201的ROM中的散列值H(x)相对应，那么该设备进行到利用用于在注册期间导出响应数据R₁(所接收到的注册数据S₁基于该响应数据R₁)的挑战向其物理令牌进行挑战。另一方面，如果散列值彼此不相应，那么停止认证协议。令牌输出原始响应R₁′，并且设备201使用存储在该设备的ROM中的噪声校正帮助数据W以产生响应数据S₁′。将响应数据S₁′与从银行210所接收的响应数据S₁进行比较，并且如果这两个集合之间存在相应性，那么银行必可访问要对进加密的响应数据$E_K(S₁)进行解密所需的解密密钥。

此后，设备201利用第二挑战向其PUF发出挑战，该第二挑战用于在注册期间导出第二集合的响应数据并且该第二挑战被签名、加密、并且存储在该设备中。该设备利用所存储的帮助数据对所导出的原始响应R₂进行处理以创建第二集合的响应数据S₂。在步骤222中该设备通过钞票所处的存款机212将第二集合S₂′的响应数据以及在注册阶段中存储在设备上的经签名且加密的响应数据$E_K(S₂)发送到银行210。银行检查签名是否有效，并且如果这样的话，对加密的响应数据进行解密。此后，银行对这两个集合的响应数据S₂，S₂′(利用例如汉明距离计算)进行比较。如果这两个集合的响应数据S₂，S₂′之间存在相应性，那么在银行210认证了设备201，这是因为它可生成与在注册阶段由银行加密且存储在该设备中的响应数据相对应的响应数据。

应该注意的是，其他应用中的用户211可通过包括物理令牌的他/她的设备201直接与银行210进行通信。然而，银行210典型地包括用户211通过其可与银行进行通信的一些类型的设备读取器(例如ATM212)。通常，设备读取器212是通常用作用户与用户希望与之执行一系列的认证的官方之间的接口的完全无源设备。

在本发明的进一步实施例中，如上所描述的，可将物理令牌密码学地捆绑到包括它的设备上。借助于将物理令牌的响应数据与包括该令牌的设备的标识符相关联、对该关联所创建的数据进行加密、并且将它存储在该设备中来实施该密码学捆绑。例如，在注册期间，响应数据可以与具体体现了包括该物理令牌的设备的钞票的序列号相连接。此后对该响应数据和序列号数据进行例如签名和加密，这会产生$E_K(S₂，序列号)。此后将加密的数据存储在钞票中，并且因此将包括在其中的物理令牌密码学地捆绑到钞票上。如技术人员在研究该实施例时所明白的那样，可有许多替代用于实现该捆绑。例如，可使所生成的随机数x与序列号相连接，并且可对所连接的数据进行散列，以产生H(x，序列号)。

还可在注册期间对帮助数据进行加密并且将其存储到设备上。因此，通过存储例如$E_K(x，W)，可进一步阻止攻击者破坏认证协议。此外，可在注册期间对散列随机数H(x)进行加密并且将其存储在设备中。存储$E_K(H(x))是为提高协议安全性而采取的附加措施。

用于增强安全性而采取的进一步措施是提供具有完整性的认证协议。通过提供完整性，只有该协议的授权方能够对交换数据进行修改。如果攻击者企图修改在授权方之间发送的数据，那么它不会不被察觉到。通过在注册阶段中让注册器将散列函数应用于例如与散列随机数H(x)相连接的响应数据R₁上可实现提供完整性，这会产生散列数据H(R₁||H(x))。此后将散列数据存储在要认证的一方的设备中，并且使自举模式无效。现在，如果在要认证的一方与验证器之间的传送期间对R₁或者H(x)(或者这两者)进行操作，那么该设备所计算的散列值H(R₁||H(x))将不同于在注册期间存储在设备中的值，并且因此将检测到该操作。

由于例如机械损耗可使PUF的特性随时间而慢慢地发生变化，这可具有验证器错误地拒绝PUF的效果。因此，有利的是当PUF特性随着时间变化时，可对在注册期间在包括有PUF的设备中存储的参数进行更新。

再次参考图2，在能够对在注册期间存储在该设备中的参数进行更新的本发明的实施例中，验证器210在步骤222从设备201接收第二集合R₂′的响应数据以及在注册阶段存储在该设备处的经签名且加密的响应数据$E_K(R₂)。如果PUF特性已经改变了，那么存在在认证期间所导出的第二集合R₂′的响应数据不同于在注册期间所导出的相应响应数据R2，并且将(错误地)拒绝该设备。为了克服这个潜在的问题，验证器通过对所接收到的R′₂进行加密和签名可执行更新(在或多或少连续的基础上，这取决于该设备中的PUF特性漂移程度)而产生$E(R′₂)，并且验证器用$E(R′₂)取代在注册期间存储在该设备中的$E(R₂)。应该注意的是，只有如果验证器也是注册器，才可通过验证器进行对经加密响应数据的签名。此外，如果验证器能够借助于所接收到的明文数据R′₂和加密的响应数据$E_K(R₂)来对该设备进行认证，那么仅允许更新。

为了进一步改进对在注册期间存储在该设备中的参数的更新，在步骤220中，验证器210还更新在注册期间存储在该设备中的并且从设备201所接收的第一集合的加密响应数据$E_K(R₁)。在上面所给出的对本发明优选实施例的描述中，验证器无法更新第一集合的响应数据R₁，这是因为该设备不能揭示该第一集合。此外，验证器无法第二次将该设备置于其＂自举模式＂。因此，在步骤222中，设备201将所导出的响应数据R′₁与明文数据R′₂以及加密响应数据$E_K(R₂)一起进行发送。如先前实施例所示，如果验证器能够借助于所接收的明文数据R′₂和加密的响应数据$E_K(R₂)来对该设备进行认证，那么验证器通过对所接收到的R′₂进行加密和签名可执行更新以产生＄E(R′₂)，并且验证器用$E(R′₂)取代在注册期间存储在该设备中的$E(R₂)。现在，验证器还对所接收到的R′₁进行加密和签名以产生＄E(R′₁)，并且用$E(R′₁)取代在注册期间存储在该设备中的$E(R₁)。这不会导致违反安全的行为，这是因为如果验证器在步骤221示出了它知道与R′₁相似到足够程度的响应数据R₁的集合，那么设备201在步骤222仅将响应数据R′₁发送到验证器210。再次，只有如果验证器可借助于所接收到的明文数据R′₂和加密的响应数据$EK(R2)对该设备进行认证的话，才允许更新。

即使已参考其特定示例性实施例对本发明进行了说明，但是对于本领域普通技术人员来说，可显而易见地得知许多不同变化、修改等等。因此所述实施例不是对随后权利要求所定义的本发明的范围做出限制。

Claims (28)

1、一种用于在验证器(210)处对包括物理令牌(102)的设备(101，201)进行认证的方法，该方法包括步骤：

在所述验证器处接收来自该设备的第一集合的隐蔽响应数据，该响应数据在注册期间从物理令牌导出、被隐蔽、并且存储在该设备中；

揭示所隐蔽的响应数据并且将它发送到该设备；

在该设备处利用用于导出第一集合的响应数据的第一挑战向该物理令牌进行挑战以导出响应数据，并且将所导出的响应数据与从该验证器所接收的第一集合的响应数据进行比较；

如果所导出的响应数据与从该验证器所接收的第一响应数据集合相对应，那么利用第二挑战向该物理令牌进行挑战以导出响应数据，所述第二挑战用于从物理令牌导出第二集合的响应数据并且该第二集合在注册期间被隐蔽并且存储在设备中；

将第二集合的隐蔽响应数据以及从第二挑战所导出的响应数据发送到该验证器；

在该验证器处揭示第二集合的隐蔽响应数据，并将该第二集合的响应数据与从第二挑战所导出的响应数据进行比较，其中如果这两个数据集合之间存在相应性，那么认为该设备被认证了。

2、根据权利要求1所述的方法，其中在该验证器(210)处接收第一集合的隐蔽响应数据的步骤还包括步骤：

检查第一集合的隐蔽响应数据是否具有有效数字签名，并且如果是这样的话，执行揭示第一集合的隐藏数据并且将它发送到设备(201)的步骤。

3、根据权利要求1或者2所述的方法，还包括步骤：

在验证器(210)处检查第二集合的隐藏响应数据是否具有有效数字签名，并且如果是这样的话，执行揭示第二集合的隐藏数据、并且将该第二集合的响应数据与从第二挑战所导出的响应数据进行比较的步骤。

4、根据权利要求1-3任何一个所述的方法，还包括步骤：

在验证器(210)处从设备(201)接收隐蔽的验证数据，该验证数据在注册期间被隐蔽并且存储在该设备中；

揭示该隐蔽的验证数据并且将它发送到该设备；以及

在该设备上将不可逆函数应用到该验证数据上，并且将该函数的输出与存储在该设备中的参数进行比较，其中如果该函数的输出与所存储的参数相对应，则执行所述导出响应数据并且将所导出的响应数据与从验证器所接收到的响应数据进行比较的步骤。

5、根据权利要求4所述的方法，其中在该验证器(210)处接收隐蔽的验证数据的步骤还包括步骤：

在验证器处检查该隐蔽的验证数据是否具有有效数字签名，并且如果是这样的话，执行揭示所隐蔽的验证数据并且将它发送到该设备(201)的步骤。

6、根据先前权利要求任何一个所述的方法，其中所述响应数据包括该物理令牌(102)的响应。

7、根据先前权利要求任何一个上述的方法，其中所述响应数据包括基于该物理令牌(102)的响应以及噪声校正数据的经处理的数据。

8、根据权利要求7所述的方法，还包括步骤：

对该噪声校正数据进行加密；以及

将所加密的噪声校正数据存储到该设备(101，201)中。

9、根据先前权利要求任何一个所述的方法，其中该物理令牌(102)是物理不可克隆功能。

10、根据先前权利要求任何一个所述的方法，其中该物理令牌(102)包括在钞票之内。

11、根据先前权利要求任何一个所述的方法，其中将该物理令牌(102)密码学地捆绑到包括它的设备(101)上。

12、根据权利要求11所述的方法，还包括步骤：

将该物理令牌(102)的响应数据与包括该令牌的设备(101)的标识符相关联；以及

隐蔽该关联所创建的数据并且将所隐蔽的数据存储在该设备中。

13、根据先前权利要求任何一个所述的方法，其中在所述对数据集合进行比较的步骤中，如果所比较的数据集合彼此不对应，那么停止进行到下一步骤。

14、根据先前权利要求任何一个所述的方法，其中所述对数据集合进行比较的步骤包括确定所比较的数据集合之间的汉明距离。

15、根据先前权利要求任何一个所述的方法，还包括步骤：

更新在注册期间存储在该设备(101，201)中的数据。

16、根据权利要求15所述的方法，其中所述更新在注册期间存储在该设备(101，201)中的数据的步骤包括：

在该验证器(210)处隐蔽从第二挑战所导出的、所接收到的响应数据；以及

在该设备中用从第二挑战所导出的隐蔽响应数据取代在注册期间存储在该设备中的隐蔽的第二集合的响应数据。

17、根据权利要求16所述的方法，还包括步骤：

在该验证器(210)处通过使用第一挑战来接收从该物理令牌(102)所导出的响应数据；

在验证器处隐蔽从第一挑战所导出的、所接收到的响应数据；以及

在该设备(101，201)中用从第一挑战所导出的隐蔽响应数据取代在注册期间存储在该设备中的第一集合的隐蔽响应数据。

18、根据权利要求16或者17任何一个所述的方法，还包括步骤：

在该验证器(210)处对从第一挑战所导出的隐蔽响应数据以及从第二口令所导出的隐蔽响应数据进行签名。

19、一种执行认证的***，所述***包括：

验证器(210)；以及

包括物理令牌(102)的设备(101，201)，其中：

验证器被布置为：

接收来自该设备的第一集合的隐蔽响应数据，该响应数据在注册期间从物理令牌导出、被隐蔽、并且存储在该设备中；

揭示该隐蔽的响应数据；以及

将它发送到该设备；

该设备被布置为：

通过利用用于导出第一集合的响应数据的第一挑战向该物理令牌进行挑战；

将所导出的响应数据与从验证器所接收到的第一集合的响应数据进行比较；

如果所导出的响应数据与从验证器所接收到的第一响应数据集合相对应，则利用第二挑战向该物理令牌进行挑战以导出响应数据，所述第二挑战用于从该物理令牌导出第二集合的响应数据并且该第二集合在注册期间被隐蔽并且存储在该设备中；

将第二集合的隐蔽响应数据以及从第二挑战所导出的响应数据发送到该验证器；

该验证器还被布置为：

揭示第二集合的隐蔽响应数据并将该第二集合的响应数据与从第二挑战所导出的响应数据进行比较，其中如果这两个数据集合之间存在相应性，那么认为该设备被认证了。

20、根据权利要求19所述的***，其中该验证器(210)还被布置为：检查第一集合的隐蔽响应数据是否具有有效数字签名，并且如果是这样的话，揭示第一集合的隐蔽数据并且将它发送到该设备(201)。

21、根据权利要求19或者20所述的***，其中该验证器(210)还被布置为：检查第二集合的隐蔽响应数据是否具有有效数字签名，并且如果是这样的话，揭示第二集合的隐蔽响应数据并且将该第二集合的响应数据与从第二挑战所导出的响应数据进行比较。

22、根据权利要求19-21任何一个所述的***，其中

该验证器(210)还被布置为：从该设备接收隐蔽的验证数据，该验证数据在注册期间被隐蔽并且存储在该设备中；揭示该隐蔽的验证数据并且将它发送到该设备；以及

该设备(201)还被布置为：将不可逆函数应用到该验证数据上并且将该函数的输出与存储在该设备中的参数进行比较，其中如果该函数的输出与所存储的参数相对应，那么执行导出响应数据并且将所导出的响应数据与从该验证器接收到的响应数据进行比较。

23、根据权利要求22所述的***，其中该验证器(210)还被布置为：检查该隐蔽的验证数据是否具有有效数字签名，并且如果是这样的话，揭示该隐蔽的验证数据并且将它发送到物理令牌。

24、根据权利要求19-23任何一个所述的***，其中所述响应数据包括基于物理令牌的响应以及噪声校正数据的经处理的数据。

25、一种包括用于提供可测量参数的物理令牌(102)的设备(101)，所述设备还包括：

传感器元件(103)，用于对物理令牌所提供的参数进行测量；

逻辑电路(108)，用于以不可逆函数对提供给它的数据进行处理；

至少一个存储器(106，107)，用于在设备的注册期间存储从所述物理令牌导出的响应数据；以及

通信装置(105，109)，用于与外部实体进行通信。

26、根据权利要求25所述的设备(101)，其中所述物理令牌(102)包括至少局部地覆盖该设备的涂层。

27、根据权利要求25或者26任何一个所述的设备(101)，其中所述设备是射频识别(RFID)标签。

28、根据权利要求25-27任何一个所述的设备(101)，还包括

用于将所测量的模拟参数转换成数字数据的至少一个模数转换器(104)。

Images