CN101542496A - 利用物理不可克隆功能的身份验证 - Google Patents

Abstract

用于身份验证的物理不可克隆功能(PUF)可以在多种电子装置(包括FPGA、RFID、及ASIC)中实现。在一些实现方式中，可以在数据库中管理与可以被登记并被用于确定身份验证数据的各个PUF相对应的查问－响应对。稍后，当企图利用PUF对目标对象进行身份验证时，查问集合(或子集)被应用于每个PUF装置以对其进行身份验证并从而将这些PUF装置相互区分开。在一些实例中，实现身份验证而不需要在装置上实现复杂的加密电路。此外，当要对特定装置进行身份验证时，身份验证站不一定必须与保存身份验证数据的管理机构正在通信。

Description

利用物理不可克隆功能的身份验证

相关申请的交叉参考

本申请要求于2007年9月19日提交的题为“AuthenticationSystems Involving Physically Unclonable Functions”的第60/973,505号美国临时申请、以及于2008年1月2日提交的题为“Secure RFID”的第61/018,618号美国临时申请的优先权，通过引证将它们结合到本文中。

本申请还涉及2005年9月14日提交的且于2006年9月21日作为US2006/0210082A1公开的题为“Volatile Device Keys andApplications Thereof”的第11/273,920号美国申请，通过引证将其结合到本文中。

背景技术

本发明涉及利用物理不可克隆功能的身份验证。

电子电路中的物理不可克隆功能(PUF)可以用于将多个集成电路(IC，“芯片”)相互区分开。利用硬件(“硬PUF”)中的或可编程装置(“软PUF”)中的PUF将芯片相互区分开的能力是对IC进行身份验证的一条潜在有价值的方式。这种身份验证的应用范围较广，并且其中包括防伪造、存货控制、多因素身份验证(以允许访问计算机***或在线计算机***&网络)、以及用于加密和其他安全应用的秘密密钥生成(其利用结合基本PUF电路来使用的适当控制逻辑进行)。有效的身份验证机制可以以多种方式来执行，但是通常涉及使用数字查问(1和0的串)，当数字查问被应用于典型的PUF电路时产生对应的数字响应(另一1和0的串)，其中集成电路不同数字响应不同。这些查问及其对应响应是该PUF的查问响应对(challenge-response pair，简称CRP)。

发明内容

用于身份验证的PUF可以在多种电子装置(包括FPGA、RFID、及ASIC)中实现。在一些实现方式中，可以在数据库中创建对应于各个PUF的CRP并对其进行管理。稍后，当企图利用PUF对目标对象进行身份验证时，查问集(或子集)被应用于每个PUF装置以对其进行身份验证并从而将这些PUF装置相互区分开。由于任意两个PUF具有不同的电子特性(尽管在其他方面电子电路布置图完全相同)，对于电子部件的身份验证来说，这能够是一种有效且低成本的机制。完成身份验证而无需在装置上实现复杂的加密电路。利用具有更少的逻辑门的更简单电路还降低了该装置所需的功率量。

一般而言，在一个方面中，一种用于利用身份验证站对装置进行身份验证的方法，其中，该装置提供以下能力：接受来自身份验证站的查问值并将对该查问值的响应值返回到身份验证站，该响应值依赖于该装置的制造特性(例如，半导体制造特性)。该方法包括对该装置进行识别，对该装置进行识别包括在身份验证站处接受来自待进行身份验证的装置的标识数据。检索特征在于与所识别装置相关联的一个或多个查问值和响应值对的身份验证数据，其中，由与该装置通信的可信管理机构在之前获得该身份验证数据。在识别该装置之后，该数据检索不需要身份验证站和可信管理机构之间的通信。第一查问值从身份验证站提供给该装置，而在身份验证站处接受来自该装置的第一响应值。然后确定第一查问值和第一响应值对是否足够匹配身份验证数据。

多个方面还可以包括以下各项中的一项或多项。

如果数据中存在表示的查问和响应值对使得数据中的查问等于第一查问值而数据中的对应响应不同于第一响应值，数据中的对应响应比第一响应值少预定最大数目的比特位置，则第一查问值和第一响应值对充分匹配。

该装置包括接近装置，诸如射频识别装置(RFID)，并且接受标识数据的步骤、提供第一查问的步骤、以及接受第一响应的步骤各自均包括利用无线通信协议在身份验证站和接近装置之间进行通信。例如，无线通信协议可与ISO 14443标准兼容，并且标识数据可表示与该装置相关联的电子产品代码(EPC)。

身份验证站是与可信管理机构相关联的多个分布式身份验证站之一，其中，身份验证站可以位于可信管理机构远处。

确定身份验证数据包括：在接受来自装置的标识之前，接受使多个装置标识中的每一个都与由装置的可信管理机构获得的对应于装置标识的装置的查问值和响应值对的对应子集相关联的数据。在识别该装置之后，根据接受的标识数据来访问该装置的查问和响应值对的子集。

确定身份验证数据包括：在身份验证站处接受来自该装置的身份验证数据的密码。在识别该装置之前，接受用于对从装置接受的数据的密码进行解密的解密信息，例如，接受来自可信管理机构的解密信息。

身份验证数据包括足以预测多个查问值中的每一个的响应值的模型参数。例如，模型参数包括对应于装置中的延迟元件的延迟参数，在装置处根据延迟参数确定响应值。

该方法包括：在身份验证站处选择查问值，以及根据模型参数来确定所选查问的预定响应值，确定第一查问值和第一响应值对是否足够匹配身份验证数据包括：确定第一响应值是否足够匹配预定响应值。

在适于对该装置进行进一步的身份验证的身份验证站处确定额外的身份验证数据，例如，通过另外的身份验证站来进行确定。这可以包括：生成一个或多个额外的查问值，将查问值提供给该装置，以及接受来自该装置的对应响应值。额外的身份验证数据可以被提供给可信管理机构，或者额外的身份验证数据的密码可以被提供给装置，或被传递给另外的身份验证站。

该方法进一步包括：在与该装置相关联的确定性序列中确定第一查问值作为第二查问值的在前值，以及从接受的第一响应值确定第二响应值。确定第一查问值和第一响应值对是否足够匹配身份验证数据包括：确定第二查问值和第二响应值对是否足够匹配身份验证数据。

一般而言，在另一方面中，对任意对象/装置使用多个查问以改善身份验证错误率。

一般而言，在另一个方面中，将与CRP结合的ID用于对象/装置以提高性能，扩展能力，和/或利于更加高度可扩展的CRP身份验证***。

一般而言，在另一个方面中，CRP的多个数据库被用于增强跨越多个用户的身份验证处理的灵活性，允许第三方调解，和/或提供CRP的任意数据库中的信息周围的违反安全性事件中的恢复机制，其中，多个数据库可以被共享或者可以相互独立。

一般而言，在另一个方面中，装置安全电路包括用于对一组输出进行组合并利用多个输出的组合来进行与装置相关联的安全功能的电路，每个输出均由用于选择装置的物理特性的对应控制输入来确定，其中，这些输出依赖于该装置的物理特性。在一些实例中，该装置包括一组单独的电路，每个电路均用于生成这组输出中的不同的输出。在一些实例中，同一电路被用于生成这组输出中的多个输出。用于对这组输出进行组合的电路可以包括异OR(XOR)运算的电路。该期间还可以包括用于根据提供给该装置的查问值生成控制输入的电路。例如，该电路包括线性反馈移位寄存器(LFSR)。

一般而言，在另一方面中，一种用于对装置进行身份验证的方法包括：登记多个装置中的每一个，其中，每个装置均提供这样的能力：接受查问值并返回对查问值的响应值，响应值依赖于该装置的制造特性。登记每个装置包括：将多个查问值提供给装置，接受来自装置的对应的多个响应值，根据多个查问值和对应的多个响应值计算模型参数。模型参数足以用来预测对应于提供给该装置的查问值的响应值。存储模型参数以随后用于对该装置进行身份验证。

多个方面还可以包括以下各项中的一项或多项。

存储模型参数包括与该装置的标识相关联地存储模型参数。

存储模型参数包括：将模型参数的密码提供给该装置以在该装置上存储。

该方法包括：对多个装置中的一个装置进行身份验证，检索这一个装置的模型参数，将第一查问值提供给该装置，接受来自该装置的第一响应值，以及根据模型参数确定第一查问值和第一响应值对是否足够匹配。

接受来自该装置的用于计算模型参数的响应值之后，禁止该装置随后提供适合于该装置随后的模型参数计算的响应值。例如，该禁止包括：物理上对装置进行改变(例如，烧成短路)，或删除所需数据(例如，加密密钥)。

计算模型参数包括：计算与该装置的电路元件的电路参数相对应的参数，该参数用于根据查问值计算响应值。

一般而言，在另一个方面中，安全装置包括：通信接口，用于接受来自身份验证站的查问值并将对应响应值提供给身份验证站；序列器，用于基于查问值确定配置值的序列；以及响应电路，其功能特性依赖于电路制造特性，该电路制造特性本质上是该装置独有的，该电路包括耦合到序列器的输出端的配置输入端，使得响应输出依赖于配置值和制造特性。该装置被配置为接受查问值并根据按照序列器的输出配置的响应电路的序列配置来生成对应的响应值。序列器可以包括线性反馈移位寄存器。响应电路可以包括一组延迟元件，可以根据配置输入端来配置延迟元件以形成一个或多个通过响应电路的延迟路径。

本文描述的方法可以解决以下各项中的一项或多项。首先，PUF可以是在电学上“嘈杂的”。除非将误差校正应用到PUF的输出上，否则即使每次用同一查问询问PUF，PUF也会产生略微不同的结果。该现象类似于人类生物测定(例如，指纹)测量会产生互相略微不同的结果的方式。就人类生物测定而言，这些差异可能是由于测量***中的错误、接触点上的污点等。就PUF而言，噪声的原因可能是温度、电压、辐射、或老化，众所周知它们会改变电路的电学特性和功能特性。就PUF而言，这可能使对同一查问的响应在不同测量之间有轻微变化。

第二，随着要被身份验证的装置数目在尺度上增长，如果只存储CRP则对数据库进行管理(尤其是在板上组装数据库之后对数据进行索引和访问)的困难增加。另外，如果该***的用户仅仅想简单地识别该装置/部件/产品(诸如为了跟踪&追踪储存库控制)，则添加了额外的复杂度。如果用户仅仅想只利用CRP来识别该部件，则可能要求用户选择应用于该装置的查问，但却没有任何关于哪个CRP该对应于该特定装置的导航。当然，可以利用应用于全部装置的同一预查问做这个，但是这么做添加了额外的处理步骤，减慢了处理，并极大地放大了索引障碍。

第三，存在这样的情况，使用于全部身份验证事件的CRP的单一“金”储存库与装配有PUF的装置相关联可能使身份验证处理复杂化。在所有方必须访问单一的数据库、过长的网络等待时间、一起访问网络的出现、或担忧引起数据库的灾难性故障(诸如如果单一数据库周围的安全可能被袭击者破坏，则会出现这些情况)的情况下，单一数据库远不够理想。此外，在一些情况下，不同方可能想要其自己的用于要被身份验证的对象的CRP数据库，并且它们可能不想要在中央数据库中共享或存储其自己的CRP。

一般而言，在另一个方面中，安全射频识别装置使用来自多个(例如，2个、3个或更多个)“PUF”电路的输出的组合，例如，利用XOR运算符进行组合。PUF电路的输出可以各自对应于不同PUF电路的输出，或者可以对应于同一PUF电路的顺序估计出的输出，例如，利用使输出依赖于不同物理特性的不同控制输入。

在一些实例中，根据线性反馈移位寄存器(LFSR)的输出来控制每个PUF电路，例如，其中，每个LFSR实现一个不同的多项式输出并利用采样或不同输入(即，查问)。

一个或多个方面的优点可以包括增加了模拟PUF电路的难度。例如，利用对两个不同PUF的XOR可以极大地提高模拟PUF中的物理特性(例如，延迟)的难度。作为另一个实例，利用确定对PUF的控制输入的LFSR，通过使得对手难以选择PUF的特定特性以有助于PUF的输出，使得难以进行模拟。

本发明的其他特征和优点将从以下的说明以及从权利要求中变得显而易见。

附图说明

图1是示出基于PUF的RFID身份验证***的示图。

图2是示出基于PUF的RFID身份验证***的示图。

图3是示出基于PUF的RFID的示图。

图4是示出PUF根据查问生成响应的流程图。

图5是示出总计到一个响应中的响应比特的示图。

图6是示出总计到一个嵌入有应答响应的长响应的冗余响应比特的示图。

图7是示出具有用于模拟的具有额外输出电路的PUF的示图。

具体实施方式

参照图1，身份验证***的一个实例使用物理不可克隆功能(PUF)电路进行诸如RFID(射频识别装置)的接近装置的身份验证。具体地，该身份验证***对传统的RFID的识别功能进行了扩展从而提供身份验证功能，这防止了RFID的“克隆”，或者使这种克隆非常复杂。应当理解的是，以下所描述的技术并不局限为用于RFID或附近装置。身份验证***的其他实例提出了利用集成的PUF作为身份验证基础的不同类型装置。

在一个示例性场景中，将处于未编程状态的RFID 110提供给制造商102，诸如奢侈消费者产品的制造商。该制造商将REID固定于所制造的产品以在该产品通过供应链移动到最终消费者时用作识别和身份验证的基础。例如，制造商可以将标识号(ID)104(诸如EPC(电子产品代码))存储在RFID上。在其他实例中，每个RFID均被构造成具有永久的唯一ID，之后可以根据需要将该唯一ID与EPC或批次号联系起来。

作为建立附有RFID 110的产品真实性的发起方的管理机构120利用RFID上的PUF 114来确定随后将被用于RFID身份验证的信息。注意到管理机构120与原始制造商102可以是同一方。通常来讲，该身份验证方法依赖于登记阶段，在登记阶段中管理机构向RFID提供一组查问126，装置上的PUF 114使用这些查问来生成对应的响应128，以及这些响应传递回到管理机构120。每个查问及其相关联的响应形成查问响应对(CRP)。这组查问形成可能发送的所有可能查问的一个非常小的子集，并且因此可以看作是随机选择。例如，使用64比特的查问，则存在2⁶⁴种可能查问，并且登记期间使用的查问数目通常将是该数量中非常小的一部分，例如，数以百计的64-比特的查问。管理机构安全地存储可以被用于身份验证的该CRP小子集。

在未来的某个时间，通常在RFID已脱离管理机构或其他可信方的监管之后，对RFID进行身份验证。该身份验证包括：将一个查问(或者可能是一个小子集)从身份验证站(诸如便携RFID读取器)提供给该装置，接收对应的响应，以及确定该响应是否与初始登记期间提供的响应合适地一致。例如，从登记期间使用的子集中随机选择的查问被提供给该RFID，并根据多个比特等级差异对该响应与登记的响应进行比较。例如，在一些实例中，如果128个比特中存在少于12比特的差异，则断定身份验证时间响应和登记时间响应。

使用上述一般方法的身份验证***的实例利用特定技术、以下描述的通常用于改善性能并扩展CRP身份验证***的能力的技术族、以及特别是利用嵌入在电子电路中的PUF构建的CRP身份验证***中的一个或多个。

在一些实施例中，为了降低PUF电路中的“噪声”(例如，比特误差)导致的类型1(假阳性，即，将克隆装置断定为可信的)和类型2(假阴性，即，将真的装置断定为不可信)误差，可以向一个装备有PUF的集成电路/装置应用多个查问。统计理论认为将多个查问应用于同一个对象会降低身份验证误差率。这可以以多种方式(具有类似效果的方式)来完成，其中包括：(a)在同一读取/查问/响应周期中应用两个以上查问并链接得到的各个响应(从而有效地增加了查问的比特长度而不需要对每个查问进行单独身份验证的步骤)，以及(b)如果在第一次身份验证尝试之后产品看上去是不可信的，则按照序列顺序应用第二个、第三个、或第n个查问。可以在硬件或固件中执行这些技术中的第一种而不会给身份验证***造成负担。这些技术中的第二种具有这样的优势，其可以选择性地只针对之前发现是可疑/不可信的那些PUF对象应用。假设对于任意给定PUF的查问和下层的响应在统计上是互相独立的，则通过对给定对象使用多个查问和响应，可以降低类型1和类型2误差。此外，即使下层查问&响应在统计上讲不是完全独立的，如果在从一个装置到另一个装置的下层CRP结果中存在一些随机性的测量，则其仍可以显示出类型1和类型2误差降低了。

在一些实施例中，每个RFID都不具有唯一ID。相反，标识符预查问被发送给该装置，而响应被用做ID。如果已知多个装置针对该预查问返回同样的响应，则可能需要额外的查问来唯一标识该装置。在一些实施例中，为了提高身份验证处理的效率并减少数据库处理问题的复杂度，非PUF“标识符”的使用为该***增添了显著的优势，非PUF“标识符”诸如唯一产品编号(该号码可以是以任意顺序分配的——随机、串行化等)或与用于装备有PUF的对象的CRP结合的其他单一的唯一标识符(“ID”)。这样的编号可以存储在非易失性随机存取存储器(这种编号的最普通形式的存储器)或通过其他方式从该电路中生成。通过使基本上可以作为“公共”ID的东西(例如，电子产品全球代码，EPC)与用于该装置的一组下层CRP相关联，极大地简化了身份验证处理。

参照图1，这种情况下的身份验证步骤读取/扫描ID 104并关联特定的CRP，该CRP存储在(例如)数据库122中用于该对象ID。利用该ID，在身份验证处理过程中进行随后的测试时，可以对数据库122进行快速排序以查找应当对应于该产品的CRP。利用ID，在数据库中查找该对象不需要预查问。此外，不仅可以利用ID更有效地组织并访问数据库本身，但关于该产品的信息对于身份验证来说不是核心的，而且可以使用户更容易获得诸如基本库存控制的其他事务。在一些示例性使用模型中，包括库存控制或跟踪&追踪***中的使用，这种ID可以是公共的。

在一些实施例中，为了在数据处理过程中提供更大的灵活性，并且为了允许多方均使用同一个身份验证***，此外还为了提供会使身份验证CRP的任意数据库的安全折衷的恢复机制，可以创建多个CRP数据库，并且此外可以跨越多个用户来关联单独的或者甚至完全不同的CRP数据库。在一个这种模型下，拥有可信的配备有PUF的装置的任意方均可以创建它们自己的与该对象相关联的CRP的数据库。在统计学上讲，如果PUF的物理熵足够大(主要由可以通过PUF生成的独立比特的数目来限定)，通过设计可以使任意两方具有用于同一对象的同一CRP数据库的可能性任意小。通过发送给进行身份验证的装置的查问序列来获取完全不同的CRP集合而创建每个数据库。如果所有方都同意共享同一数据库，则每一方至少可以独立管理其自己的信息。或者具有其自己的用于这样的对象/装置的CRP，或者利用多方自身之间的协议的第三方(诸如中央储存库或服务提供商)，可以在这些方之间作出公断并证明(例如)A方持有的对象与B方在另一时间/地点拥有的另一对象一样(情况也可以是不一样)。在该实例中，如果这两方A和B从不需要共享用于被讨论对象的它们各自的CRP，则它们不再需要共享用于被讨论对象的它们各自的CRP。目前可以实现多方之间的信任链。此外，为了提供会使身份验证CRP的任意数据库的安全折衷的恢复机制，可以创建多个CRP数据库。

参照图1，在一些实现方式中，初始登记中由管理机构120获取的初始的CRP集合被存储在主数据库122中。然后全部或一些已知的查问响应对被安全地分发给远程装置，在远程装置接收到该数据后不一定保持与该主数据库通信。例如，该远程装置可以是手持的RFID读取器140，该读取器将CRP存储在本地数据库142中。如果本地数据库142具有用于要进行身份验证的产品的至少一个CRP，则该装置140可以执行身份验证。有时，或者根据来自远程装置的命令，可以将其他CRP从主数据库122分发到远程装置140以补充所使用的CRP，如果存在响应被截取过的任何可能性，则这些所使用的CRP会由于安全原因不再被使用。通过发送额外的查问并记录各响应150，形成新的CRP，读取器140还可以直接从进行身份验证的装置110刷新其自己的本地数据库142。然而，如果在通信可能被截取的情况下实施该步骤，伪造者可能重放最近获取的CRP。

在一些实现方式中，当装置110已经过身份验证时，读取器140可以直接从经过身份验证的装置刷新其自己的本地数据库142。读取器140发出随机查问并且产品自身提供新的响应150。在一些实现方式中，由远程装置提供这些新的查问。例如，通过远程装置每次利用CRP来对一个产品进行身份验证，即使该产品处于截取时间期间的不可信环境中，该产品仍然提供其他CRP，该CRP可以稍后用于对该产品再次进行身份验证。最新产生的该CRP可以被上载到中央数据库122，然后被分发到此外的其他远程装置用于稍后的身份验证。在一些实现方式中，该读取器和该产品之间的协议会使得该产品为每次身份验证提供稍后可以使用的新的CRP(或者对于由读取器提供的第二个查问的响应)，从而不需要单独发起用来获得该新的CRP的交互。

再次参照图1，在一些实现方式中，RFID装置110具有PUF电路114和(例如)关联到电子产品代码(EPC)的标识符(ID)104。在一些实现方式中，由制造商102将ID 104存储在非易失性存储器(ID寄存器)112中。注册管理机构120从该装置检索ID 104并向PUF电路114提供多个查问(例如，challenge_i 126)。该管理机构记录针对每个查问的响应(例如，response_i 128)，以创建表示所发现的查问/响应对(CRP)的数据集合D。在一些实例中，数据集合D明确地表示查问-响应对，例如，作为列表或在数据库中。D中的用于任何特定RFID的CRP的数目都是不全面的，而可以只代表用于该电路的可能CRP的一小部分。管理机构将与该装置的ID关联的数据集合D例如存储在由装置标识符索引的数据库122中。

后来，通常在RFID已脱离可信方的监管之后，利用读取器140(诸如便携的RFID读取器)来对该装置进行身份验证。在一些实例中，该读取器对该管理机构或由管理机构创建的数据库122进行可信的通信访问。在其他实例中，在读取器对RFID进行身份验证的时候，读取器可以与管理机构断开连接。

在一些实例中，该读取器从装置110检索ID 104，确定与ID相关联的查问-响应数据D，并向该电路发出选自在D中表示的查问/响应对的集合的查问146。例如，通过利用ID来查询数据库，确定用于与ID相关联的CRP集合的数据D。该数据库可以是远程的(例如，由注册管理机构控制的或信任的数据库122)或本地的(例如，包含在读取器自身内的数据库142)。例如，在读取器在身份验证期间将与管理机构断开连接的实例中，主数据库122的一部分可以被传送到读取器140并被存储在本地数据库142中。例如，可以根据之前对基于预期需要进行身份验证的产品的数据(诸如对应于供应链中传送中的许多产品的数据)的请求，来选择该数据库的一部分。例如，利用防干预的熵而在读取器中安全地维护数据，以防止数据被暴露。

一般而言，在读取器处选择查问146用于单一用途。选择可以是确定的(例如，通过未排序列表顺序选择)或者随机的(即，从D中表示的CRP中随机选择的)。由于每个查问均选自2^N(N是查问中的比特数目)个可能查问池，所以即使随机选择，仍可预期每个查问选择都是唯一的。

由读取器对电路响应R’148(在装置中利用PUF生成的且被发送回读取器的电路响应)和来自D的预期响应进行比较。如果响应R’足够相似于预期响应R，则已对该电路进行了身份验证。尽管精确的匹配是理想的，但是会分配一些比特误差(高达阈值)。如果响应R’与R匹配(其中比特误差小于阈值)，则对于身份验证来说认为其足够相似。在一些实施例中，非法响应(例如，128比特的响应中大约有64个错误比特)和合法响应(例如，128比特的响应中大约有12-16个错误比特)之间有明显的差异。通过设置适当的身份验证代码距离阈值可以互相平衡和折衷假阳性(将冒名顶替者识别为可信的)和假阴性(拒绝合法装置)。确定足够的相似性的其他方法也是可能的，例如，有区分地给不同的比特误差加权。如果R’不是足够相似的，则可以拒绝该装置，可以发出额外的查问，或者可以调用其他验证步骤。

在一些实施例中，读取器对本地数据库D_L进行维护。该本地数据库可以是从注册管理机构初始获取的或定时获取的，可以以加密的形式附加至一批RFID装置(例如，附加在封装有多个产品的DVD上，其中多个产品都标记有RFID装置)，或者可以以加密形式嵌入到RFID装置自身上。一旦已对电路进行了身份验证，则可以由读取器通过发出额外的查问并记录响应来扩充D_L。附加地或可选地，这些额外的登记CRP可以被发回管理机构120，以添加到中央数据库120，或者发到其他读取器用于进一步沿着供应链进行身份验证。额外的登记允许刷新已知CRP的数目，以在任意给定位置或时间使已知CRP的数目最小。

参照图2，在如上所述的一些实施例中，在登记阶段期间，管理机构220基于提供给装置210的查问226以及从该装置接收到的对应响应228来确定CRP数据D。然后管理机构对数据D(或者更典型地对应于登记的查问响应对的子集的数据子集)进行加密以形成E(D)。例如，E(D)可以包括登记期间使用的每个查问-响应对的独立的密码。然后管理机构将加密的CRP数据传递给该装置(262)，在该装置处利用该装置自身210以加密的形式E(D)将CRP数据存储在存储器216中。E(D)可以是利用公共/私有密钥对方案、利用共享密钥方案、或者利用任意其他方案来加密的。注意到在装置210中不需要数据解密功能性。多个装置210都可以使用同一解密密钥，例如，按照公司、按照接受者、按照批次、或者按照电路的任意其他类集范围一起分组。然后该读取器只需要与预期装置相关的解密密钥。在一些实例中，加密密钥是每个装置特有的，例如，根据一组装置共有的密钥以及装置的ID 204确定。

在身份验证时，RFID装置210(例如)基于来自读取器240的请求向该读取器提供用于该装置的ID和E(D)。在一些实现方式中，向RFID供电会使RFID传送其ID和E(D)。注意到，在所描述的场景中，只要该读取器具有用于对来自该装置的数据进行解密的密钥，则在身份验证的时候或者甚至在通过中央管理机构登记该装置之后该读取器都不一定要连接到中央管理机构。读取器对D进行解密并选择查问，然后该查问被发送给电路。选择查问可以是确定的(例如，顺序的)或随机的(即，从D中的CRP随机选择)。在一些实例中，读取器进行查问(或查问索引)的选择并只请求来自读取器的所选加密数据，从而避免发送装置上的全部的数据库的需要。在一些实施例中，该读取器通过发送新的查问并接收对应响应来执行进一步的登记，然后创建本地D_L用于随后的身份验证或在电路上重新存储。

当将D存储在该装置上时，原则上在验证PUF电路是合法的与验证ID是合法的之间存在连接损失。这可以通过将ID链接到身份验证处理来校正。在一些实施例中，在PUF电路内装置ID被用作查问的一部分。例如，在生成响应之前来自读取器的查问与内部的装置ID相结合。在一些实施例中，装置ID被用作加密方案的一部分用于对E(D)加密。例如，用于对E(D)进行解密的密钥是ID和读取器已知的私密密钥的函数。在一些实施例中，在加密之前装置ID可以被包括在数据库D中，从而读取器可以使用该装置ID来验证装置ID；这用作装置ID的传统消息身份验证代码，确保利用特定ID使该加密的数据库依赖于该装置。

参照图3，示例性RFID 300的框图包括无线电电路302和数据元件310(例如，用于ID 312的存储器和用于E(D)316的存储器)。在一些实施例中，RFID 300中使用的PUF 320包括两个基于延迟的元件330，这两个元件中的每一个均从一组延迟级332中生成单一的比特，延迟级终止于判优器338，该判优器根据N比特的查问322对沿着所选择的两条路径的延迟进行比较。每个延迟级332均由查问值326来配置。例如，在一些实施例中，每个延迟级332均是复用器334对。查问值326将每个复用器334配置为传递特定输入。还可以使用延迟级332的其他配置。

可以优选地以非线性的方式(例如，使用XOR逻辑门)在340结合两个基于延迟的元件330所产生的两个比特，以产生M比特响应350的一个比特。反复M次重复该过程以生成完整的M比特响应。在一些实施例中，每次反复均使用序列器324(例如，线性反馈移位寄存器(LFSR))生成的随后查问配置。在一些实施例中，可以使用多于两个的基于延迟的元件，这些元件的输出被集体进行XOR(以2为模数进行求和)或者以非线性方式(例如，根据散列元件)进行组合。在一些实施例中，只使用一个基于延迟的元件。通过扩展地使用序列器或者使用多个序列器来生成多个通道。例如，由来自第一序列器的第一查问来控制通过基于延迟的元件的第一通道。然后由来自第二序列器的第二查问来控制第二通道。例如，利用XOR逻辑门来组合这两个通道。一个或多个序列器以及一个或多个基于延迟的元件的任意组合可以用于生成查问响应对。

参照图4，在一些实施例中，初始查问410被用于启动(seed)确定性序列器414(例如，LFSR)。每个响应比特R_i 440均由通过challenge_i 418配置的PUF电路420生成。每个随后的challenge_i 418均由确定性序列器414生成。每个随后的challenge_i 418均可以根据序列器的类型以及每个challenge_i 418中期望的新比特的数目由序列器414的一个或多个迭代来生成。为了生成M比特的响应450可以重复该处理M次。该处理在图5中示出，其中，M个查问(510，512，514，…，518)被用于生成M个响应比特(540，542，544，…，548)，对M个响应比特进行组合以形成M比特响应550。

在一些实施例中，如图3所示，PUF电路结合了序列器，例如，LFSR。该序列器接受N比特查问322(即，从读取器发送的查问或者从管理机构发送到装置的查问)并生成随后的N比特查问的确定性序列。响应于序列中的初始查问和每个随后的查问来由PUF电路生成每个响应比特。例如，每个查问比特被用作基于延迟的元件330的每个延迟级332的配置控制326。

参照图2，在一些实施例中，可以利用装置210以加密的形式E(D)将少量的CRP存储262在存储器216中。和之前一样，可以利用公共/私有密钥对方案、利用共享密钥方案、或利用任意其他方案来对E(D)进行加密。在一些实施例中，加密密钥是读取器内的私有密钥和装置ID 204的函数。

读取器240从装置210中检索装置ID 204和加密数据E(D)。数据D是加密的且选择了查问C。该读取器随机选择偏移量Δ，然后根据装置中实现的序列器来计算查问前体C_P，以使C_P发生在C之前的确定性序列Δ迭代中。然后读取器将查问C_P发送到该装置，从而从不畅行无阻地在读取器和装置之间的通信中发送查问C。PUF电路生成最小的Δ+M比特的响应，其中，M是该响应中的比特数目。例如，该装置可以配置为生成2M比特响应，而该装置未知的Δ可以由读取器在0至M-1的范围内选择。所期望的针对查问C的响应R’预计在该装置响应中的Δ个比特处。

例如，参照图6，E(D)包括用于查问614和响应654的CRP。读取器对E(D)进行加密并确定前体查问C_P并将查问C_P发送给该装置。该装置基于C_P→challenge₁610产生用于配置的响应比特R₁640。然后该装置以确定性顺序产生用于随后的查问的响应比特，例如，challenge_Δ612导致比特R_Δ642。由读取器来接收由初始响应比特R₁640至R_Δ642组成的初始响应652，但不作为探寻响应来对初始响应进行测试。在接收到Δ初始响应比特之后，输入的比特组成了响应于所期望的查问的响应654。即，challenge_Δ+1614至challenge_Δ+M 616导致响应比特R_Δ+1644至R_Δ+M 646，这些响应比特组成了相应的响应654。该装置不知道Δ，因此将继续生成随后的查问618和响应比特648用于跟踪响应656，而读取器将忽略它们。只要存在至少Δ+M个比特，该装置就可以生成任意数目的响应比特。

读取器对R’和来自解码的CRP的预期的R进行比较并确定R’是否足够接近用于身份验证的R。以该方式，探寻响应埋藏在响应流中的读取器未知的位置处。

在上述多种技术中，代表登记的查问-响应对的数据D明确地(例如)作为二元的查问和接收到的响应的列表。在一些实施例中，不是明确存储这种二元对，而是允许预测针对额外查问的响应的数据由管理机构来确定并被包括在数据中(或者除了明确存储这种二元的对之外，还由管理机构来确定并被包括在数据中)。例如，RFID上的PUF数字模型可以用于确定预计的响应。然而，注意到，该PUF被设计为防止未被授权方建立这种模型(或者被设计为未被授权方很难建立这种模型)。

在一些实施例中，PUF被设计为具有额外的输出连接。这些连接暴露足以产生PUF电路模型的电路内部工作。在生成这种模型之后，使额外的输出连接被破坏或无法使用。实例包括使用独立的加密密钥或者过载就会破坏连接的保险丝。

参照图7，作为额外连接的实例，PUF电路具有三个输出比特R_iA 754、R_iB 756、及R_i 752。输出R_i 752用于形成响应并被形成为R_iA 754和R_iB 756的组合(例如，利用XOR逻辑门)。因此R_iA 754和R_iB 756仅用作额外的输出用于生成模型。即，管理机构将查问提供给装置，而装置反过来在XOR之前的根据基于延迟的元件中的每一个来提供比特序列。然后管理机构使用这些原始响应(例如，R_iA754和R_iB 756)来构建模型并响应于任意查问预计每个基于延迟的元件的比特输出。在登记之后，PUF被改为防止直接输出没有经过XOR的原始输出。例如，保险丝744被放置在通向每个额外输出(R_iA754和R_iB 756)的线路上。一旦建立完模型，则每个保险丝744被过载并被破坏，以切断输出连接。XOR步骤，或PUF元件的输出的非线性组合的其他形式，禁止后来的未被授权方建立模型。

在一些实例中，电路模型被加密为E(D_M)并被存储在装置上。然后读取器从装置接收ID和E(D_M)。装备有用于E(D_M)的加密密钥的读取器确定电路模型D_M。该读取器生成任意的随机查问，将该查问发送给PUF电路，接收电路响应R’，利用电路模型D_M确定预期的响应R，并对R’和R进行比较。如果R足够接近R’，则该电路被确认。在一些实施例中，该电路将该ID结合到查问中。在一些实施例中，用于E(D_M)的加密方案结合了该ID。

如图3所示，PUF电路的实现方式使用从一个共用的源驱动的、通过一链交换复用器对路由的一对几乎完全相同的信号轨迹。查问字对复用器进行控制，并且在复用器链末尾的竞态条件判优器处对输出进行确定。制造过程中的自然变化在复用器中产生难以预知的信号路径传播延迟。因此，完全相同的装置以其他方式产生唯一的时序签名，使该判优器对每一唯一查问都输出唯一比特。在一些实施例中，使用多条链并对结果进行组合以形成PUF输出。通过对起源于查问的确定性序列的判优器输出比特进行连接来生成多比特响应。可以按照确定性方式在硬件或软件中模拟这种类型的电路。对于给定查问，完整的模型产生与真实PUF电路实际上难以区分的输出。对于用作嵌入的加密模型，这有助于拥有这样的模型，该模型易于建立，需要最少的部件或相对简单的代码，且只需要关于所建模装置的少量信息(例如，真实的查问/响应对)。

N比特长的复用器PUF电路可以被抽象为N个极性开关和N+1个差分延迟块的链。每个延迟块均保持带符号的数字值δ_n(n＝0…N)，数字值δ_n描述复用器级对PUF输出的相对贡献，其中，δ₀元素代表与查问无关的偏差。查问比特c_n对每个级的极性开关p_n进行控制：

p_n＝(1＝＝c_n)？(+1)∶(-1)

通过将给定查问施加给这些开关并对延迟进行累计来计算用于给定查问的PUF输出偏差的等价物，其中，每一级的极性开关均有条件地对之前各级的总和值求反：

bias＝(…((δ_N*p_N+δ_N-1)*p_N-1+δ_N-2)…+δ₂)*p₂+δ₁)*p₁+δ₀

PUF判优器运算可以被近似为检验输出偏差的符号；因此，输出比特r＝(偏差＞＝0)。

在对特定PUF电路进行建模的一个方法中，通过迭代近似来确定该电路特有的N+1个δ_n值。最初，将所有的δ_n值设置为0。对于每个查问C_k(长度N的c_n，k阵列)，该模型都输出偏差b_k和对应的模型结果r_k。对于对应的查问，该装置实际上返回比特值a_k。然后，训练偏差的后向传播通过δ_n值的阵列递增t_k，在每一级处通过极性p_n有条件地求反。在该模型与PUF装置一致的情况下(a_k＝＝r_k)，将训练偏差增量设置为使得其增加当前全部偏差的数量：

t_k+＝[(1＝＝a_k)？(+1)∶(-1)]

在该模型与PUF装置不一致的情况下(a_k≠r_k)，将训练偏差增量设置为使得其相等地对全部δ_n值进行校正以产生期望的结果：

$t_{k-}=[(1==a_k)?(+1):(-1)]\frac{-b_k}{N+1}$

然后将训练偏差增量(t_k)应用于每个δ_n：

δ₀＝δ₀+t_k

δ₁＝δ₁+t_k*p₁

δ₂＝δ₂+t_k*p₁*p₂

…

δ_N＝δ_N+t_k*p₁*p₂*…*P_N-1*p_N

对所有可利用的PUF数据(CRP)重复该步骤。当无法区分该误差率与PUF装置的自然误差率时，该模型是合格的。在一些实施例中，各产生64比特响应的三十二个64比特查问足以产生单个64-复用器PUF链的模型。通过(例如)利用XOR来组合两条这样的链，同一模型可能需要远远超过2⁶⁴个查问。因此，制造商可以对这两条链单独建模，然后切断直接的链输出，以将以后的使用限制为XOR输出。这使得在计算上难以再现该模型。

在一些实例中，在符合ISO 14443-A，HF 13.56工作频率的RFID装置中实现上述的基于RFID的技术。以长度64、128或256比特来配置查问和响应的长度。该装置具有512比特用户存储器。在一些实例中，通过利用存储器映射的地址来接收查问利用标准的空中传播的命令来执行查问-响应交互，其中，PUF输出被写到另一存储器映射的寄存器。因此，使用提供查问的书写序列，随后进行读取以检索响应。在一些实例中，使用新的查问-响应命令，使得只使用单一的交互来既提供查问又检索响应。

上述的技术可以与共同未决的申请11/273,920中描述的***结合使用。例如，这些技术还可以用于对接近装置之外的装置进行身份验证。尽管就RFID和RFID读取器描述了这些技术，但是注意到其他装置(包括接近装置和读取器)也可以利用这些技术也是有用的。实例包括：利用PUF电路来对连接进行验证的蓝牙使能装置；例如在媒体被下载到该装置时利用PUF电路对该装置进行验证的便携媒体装置；在连接到网络时利用PUF电路来对手机进行验证的手机。此外，在各种背景中都能看到RFID，包括用在防伪货品(例如，药物、电子装置、或带标签的手袋)中以及携带个人信息(例如，安全标记卡、大量客运通行证、或护照)。随着REID变得普及，RFID读取器也变得更加普及。例如，可以将手机构建为包括RFID读取器，使得手机可以用于通过与中央管理机构进行通信来对RFID进行身份验证。不同的技术适合于不同的环境。

可以在硬件中、在软件中、或者在硬件和软件的组合中实现上述方法的实例。硬件可以包括定制集成电路、或可配置的电路(诸如现场可编程门阵列(FPGA))。可以根据存储在计算机可读介质上的电路规格指令来指定硬件实现方式，例如，以用于FPGA的配置数据的形式或者以硬件描述语言(HDL)(诸如，Verilog)的形式。软件实现方式可以包括存储在计算机可读介质上的指令，用于控制通用的或专用的控制器或处理器的执行。例如，身份验证站可以包括通用处理器，该处理器由所存储的程序所控制，而接近装置可以包括专用控制处理器，该处理器由存储在该装置上的指令来控制。

应当理解的是，前述描述旨在举例说明，而不旨在限制本发明的范围，本发明的范围由所附权利要求来限定。其他实施例处于以下权利要求的范围。

Claims (33)

1.一种利用身份验证站对装置进行身份验证的方法，所述装置具有如下能力：接受来自所述身份验证站的查问值并将对所述查问值的响应值返回到所述身份验证站，所述响应值依赖于所述装置的制造特性，所述方法包括：

对所述装置进行识别，包括：在所述身份验证站处接受来自待进行身份验证的所述装置的标识数据；

确定身份验证数据，该身份验证数据的特征在于与被识别的所述装置相关联的一个或多个查问值和响应值对，该一个或多个查问值和响应值对是由与所述装置通信的可信管理机构在之前获得的，其中，在对所述装置进行识别之后，所述数据的检索不需要所述身份验证站和所述可信管理机构之间的通信；

将第一查问值从所述身份验证站提供给所述装置；

在所述身份验证站处接受来自所述装置的第一响应值；

确定所述第一查问值和第一响应值对是否与所述身份验证数据充分匹配。

2.根据权利要求1所述的方法，其中，所述装置包括射频接近装置，并且接受所述识别数据的步骤、提供所述第一查问的步骤、以及接受所述第一响应的步骤中的每一步骤均包括使用无线电通信协议在所述身份验证站和所述射频接近装置之间进行通信。

3.根据权利要求2所述的方法，其中，所述无线电通信协议与ISO14443标准兼容。

4.根据权利要求1所述的方法，其中，所述识别数据代表与所述装置关联的电子产品代码(EPC)。

5.根据权利要求1所述的方法，其中，所述身份验证站包括与所述可信管理机构相关联的多个分布式身份验证站之一。

6.根据权利要求1所述的方法，其中，确定所述身份验证数据包括：

在接受来自所述装置的标识之前，接受使多个装置标识中的每一个都与所述查问值和响应值对的对应子集相关联的数据，其中该查问值和响应值对是由装置的所述可信管理机构获得以使所述装置对应于所述装置标识；以及

在对所述装置进行识别之后，根据接受到的所述标识数据来访问用于所述装置的值的子集。

7.根据权利要求1所述的方法，其中，确定所述身份验证数据包括：

在所述身份验证站处接受来自所述装置的所述身份验证数据的密码。

8.根据权利要求7所述的方法，进一步包括：在识别所述装置之前，接收用于对从所述装置接受的数据的密码进行解密的解密信息。

9.根据权利要求1所述的方法，其中，所述身份验证数据包括足以用来预计用于多个查问值中的每一个的响应值的模型参数。

10.根据权利要求9所述的方法，其中，所述模型参数包括对应于所述装置中的延迟元件的延迟参数，在所述装置处根据所述延迟参数来确定响应值。

11.根据权利要求9所述的方法，进一步包括：在所述身份验证站处选择查问值，并根据所述模型参数确定用于所选查问的预计响应值，并且其中，根据所述身份验证数据来确定所述第一查问值和第一响应值对是否足够匹配包括确定所述第一响应值是否与所预计的响应值充分匹配。

12.根据权利要求1所述的方法，进一步包括在所述身份验证站处确定用于所述装置的进一步的身份验证的额外的身份验证数据，包括：生成一个或多个额外的查问值，将所述查问值提供给所述装置，以及接受来自所述装置的对应响应值。

13.根据权利要求12所述的方法，进一步包括：将所述额外的身份验证数据提供给所述可信管理机构。

14.根据权利要求12所述的方法，进一步包括：将所述额外的身份验证数据的密码提供给所述装置。

15.根据权利要求1所述的方法，进一步包括：

以与所述装置相关联的确定性顺序将所述第一查问值确定为第二查问值的在前值；以及

根据所接受的第一响应值确定第二响应值；

其中，根据所述身份验证数据来确定所述第一查问值和所述第一响应值对是否充分匹配包括：根据所述身份验证数据来确定所述第二查问值和所述第二响应值对是否充分匹配。

16.一种用于改善身份验证误差率的方法，包括：

将多个查问提供给实体；

基于对所述多个查问的对应响应来执行所述实体的身份验证。

17.一种用于对装置进行身份验证的方法，包括：

将查问提供给所述装置；

在所述装置处将所述查问与所存储的装置标识符进行组合；以及

提供对所述查问和所述标识符的所述组合的响应。

18.一种方法，包括：

对多个数据库进行维护，所述多个数据库用于保存装置的查问-响应对；

利用所述多个数据库中的任一个来启动所述装置的身份验证；以及

基于所述多个数据库中的其他数据库中的信息披露来防止披露所述多个数据库中的任一个数据库的信息。

19.一种装置安全电路，包括：

电路，所述电路用于对多个输出进行组合，每个所述输出通过用于选择所述装置物理特性的对应控制输入来确定，并且所述输出依赖于所述物理特性；以及

将多个所述输出的所述组合用于与所述装置相关联的安全功能。

20.根据权利要求19所述的装置，进一步包括：

多个独立电路，每个所述电路均用于生成所述多个输出中的一个不同的输出。

21.根据权利要求19所述的装置，进一步包括：

用于生成多个所述输出中的若干输出的电路。

22.根据权利要求19所述的装置，进一步包括：

用于根据提供给所述装置的查问值生成所述控制输入的电路。

23.根据权利要求22所述的装置，其中，用于生成所述控制输入的电路包括线性反馈移位寄存器。

24.根据权利要求19所述的装置，其中，用于对所述多个输出进行组合的电路包括实现异OR(XOR)运算的电路。

25.一种用于对装置进行身份验证的方法，每个装置均具有如下能力：接受查问值并返回对所述查问值的响应值，所述响应值依赖于所述装置的制造特性，所述方法包括对多个所述装置中的每一个进行登记，包括：

将多个查问值提供给所述装置；

接受来自所述装置的对应的多个响应值；

根据所述多个查问值和所述对应的多个响应值计算模型参数，所述模型参数足以用来预计对应于提供给所述装置的所述多个查问值的多个响应值；以及

存储所述模型参数供随后对所述装置进行身份验证使用。

26.根据权利要求25所述的方法，其中，存储所述模型参数包括：

存储与所述装置的标识相关联的所述模型参数。

27.根据权利要求25所述的方法，其中，存储所述模型参数包括：

将所述模型参数的密码提供给所述装置以存储在所述装置上。

28.根据权利要求25所述的方法，进一步包括对多个所述装置中的一个进行身份验证，包括：

检索所述装置的所述模型参数；

将第一查问值提供给所述装置；

接受来自所述装置的第一响应值；

根据所述模型参数来确定所述第一查问值和所述第一响应值对是否充分匹配。

29.根据权利要求25所述的方法，其中，在接受来自所述装置的用于计算所述模型参数的所述响应值之后，禁止所述装置随后提供适于随后计算用于所述装置的模型参数的响应值。

30.根据权利要求25所述的方法，其中，计算所述模型参数包括：计算与所述装置的电路元件的电路参数相对应的参数，所述参数用于根据查问值计算响应值。

31.一种安全装置，包括：

通信接口，用于接受来自身份验证站的查问值并将对应的响应值提供给所述身份验证站；

序列器，用于基于所述查问值确定配置值序列；以及

响应电路，所述响应电路的功能特性取决于所述装置的基本独有的电路的制造特性，所述电路包括配置输入端，所述输入端耦合到所述序列器的输出端，从而所述响应的输出取决于配置值和所述制造特性；

其中，所述装置被配置为接受所述查问值并根据按照所述序列器的输出配置的所述响应电路的序列配置来生成所述对应的响应值。

32.根据权利要求31所述的安全装置，其中，所述序列器包括线性反馈移位寄存器。

33.根据权利要求31所述的安全装置，其中，所述响应电路包括多个延迟元件，所述多个延迟元件可根据配置输入端进行配置以形成通过所述响应电路的一条或多条延迟路径。

Images