專利名稱:給定種子產(chǎn)生任意號(hào)碼的方法
給定種子產(chǎn)生任意號(hào)碼的方法
背景技術(shù):
在許多加密系統(tǒng)中��,需要使用任意選擇號(hào)碼����。 一種情況是產(chǎn)生 加密密鑰����。優(yōu)選是真實(shí)隨機(jī)的號(hào)碼源,但是這種源通常一次只提供有 限數(shù)量的隨機(jī)比特��,或者使用起來(lái)非常昂貴和麻煩�����。另一種便宜且簡(jiǎn) 單的使用就是使用偽隨機(jī)號(hào)碼產(chǎn)生器����,給定一個(gè)被稱為種子的輸入, 該偽隨機(jī)號(hào)碼產(chǎn)生器提供任意號(hào)碼序列。該序列中的號(hào)碼對(duì)于標(biāo)準(zhǔn)統(tǒng) 計(jì)測(cè)試來(lái)說(shuō)看起來(lái)是隨機(jī)的���。使用相同的種子導(dǎo)致相同序列被再一次 產(chǎn)生。
越難預(yù)測(cè)序列中的下一個(gè)或前一個(gè)號(hào)碼��,那么偽隨機(jī)號(hào)碼產(chǎn)生 器就被認(rèn)為越安全���。最強(qiáng)大的一種偽隨機(jī)號(hào)碼產(chǎn)生器被稱為加密安全 偽隨機(jī)號(hào)碼產(chǎn)生器����。這些產(chǎn)生器使用來(lái)自高質(zhì)量源(諸如基于硬件的 隨機(jī)號(hào)碼產(chǎn)生器)的熵來(lái)產(chǎn)生非常難預(yù)測(cè)的序列�。但是,這些類型的
產(chǎn)生器具有特有的缺點(diǎn)因?yàn)闊o(wú)法輸入固定的種子����,它們的輸出不可 再現(xiàn)。
偽隨機(jī)號(hào)碼產(chǎn)生器可以用來(lái)避免必須存儲(chǔ)或傳送加密密鑰��,該 加密密鑰通常比用于偽隨機(jī)號(hào)碼產(chǎn)生器的種子長(zhǎng)得多�����。如果相同偽隨 機(jī)號(hào)碼產(chǎn)生器使用相同的種子���,那么可以獲得相同的任意號(hào)碼序列����。
該方法的固有缺點(diǎn)在于,如果用于產(chǎn)生密鑰的種子被暴露���,那 么密鑰以及由此所有使用該密鑰加密的消息可以被恢復(fù)�����。因此�,使種 子保密是非常重要的要求��。(當(dāng)然�, 一旦已經(jīng)產(chǎn)生密鑰,就可以刪除 種子�,但是這僅僅把問(wèn)題轉(zhuǎn)移到如何使^韻保密上面。)
因此�����,需要一種使用偽隨機(jī)號(hào)碼產(chǎn)生器產(chǎn)生任意號(hào)碼的方法��, 其中不必保密種子�����,而給定種子和偽隨機(jī)號(hào)碼產(chǎn)生器本身,偽隨機(jī)號(hào) 碼產(chǎn)生器的輸出不能被再現(xiàn)�。
發(fā)明內(nèi)容
因此,本發(fā)明有利地提供一種給定種子產(chǎn)生任意號(hào)碼的方法����, 其特征在于
向物理令牌提供從種子導(dǎo)出的詢問(wèn)(challenge)�,從物理令牌接收初始響應(yīng),
將初始響應(yīng)和與詢問(wèn)相關(guān)聯(lián)的幫助數(shù)據(jù)組合以便產(chǎn)生穩(wěn)定的響 應(yīng)�����,以及
使用偽隨機(jī)號(hào)碼產(chǎn)生器來(lái)產(chǎn)生任意號(hào)碼�����,該產(chǎn)生器使用該穩(wěn)定 的響應(yīng)作為該產(chǎn)生器的種子�。
這里的術(shù)語(yǔ)"物理令牌"表示實(shí)現(xiàn)物理隨機(jī)或不可復(fù)制功能
(PUF)的令牌或物體。該功能易于評(píng)估����,但是很難表征、建?;蛟?現(xiàn)�����。物理令牌通常是復(fù)雜的物理系統(tǒng)�,包括許多隨機(jī)分布的分量�。當(dāng) 使用合適的詢問(wèn)來(lái)探測(cè)時(shí),管理物理令牌和詢問(wèn)之間相互作用(例如�����, 在無(wú)序介質(zhì)中的多個(gè)散射波)的復(fù)雜物理學(xué)將對(duì)每個(gè)單獨(dú)的詢問(wèn)帶來(lái) 看起來(lái)隨機(jī)的輸出或響應(yīng)��。該物理令牌的復(fù)雜的小范圍結(jié)構(gòu)使其很難 產(chǎn)生一個(gè)物理的副本���。
從令牌接收的響應(yīng)易受到噪聲或擾動(dòng)的影響���,引起對(duì)于相同詢 問(wèn)的響應(yīng)的不同。這種采集噪聲可以有許多原因�����,例如令牌/檢測(cè) 器未對(duì)準(zhǔn)�,或者環(huán)境影響(例如溫度、濕度和振動(dòng))。對(duì)于本發(fā)明的 目的��,這并不總是問(wèn)題越不可預(yù)測(cè)����,那么產(chǎn)生的任意號(hào)碼的質(zhì)量就 越好。
對(duì)于本發(fā)明����,很重要的是,呈現(xiàn)給相同令牌的相同詢問(wèn)產(chǎn)生了 相同的穩(wěn)定響應(yīng)���。這需要對(duì)采集噪聲進(jìn)行補(bǔ)償。提供該補(bǔ)償?shù)囊环N方 法就是為物理令牌的各個(gè)詢問(wèn)/響應(yīng)對(duì)產(chǎn)生相應(yīng)的幫助數(shù)據(jù)項(xiàng)目����。給 定特定的詢問(wèn),幫助數(shù)據(jù)可以被構(gòu)建����,與測(cè)量的響應(yīng)組合以便提供冗 余。在本實(shí)施例中����,該冗余與對(duì)特定詢問(wèn)接收的響應(yīng)組合,確保對(duì)于 相同的詢問(wèn)獲得相同的響應(yīng)�����。
因?yàn)槭褂昧藥椭鷶?shù)據(jù),相同的詢問(wèn)將提供相同的響應(yīng)�����。通過(guò)向 令牌提供從種子導(dǎo)出的詢問(wèn)�����,可實(shí)現(xiàn)使用相同的種子將導(dǎo)致來(lái)自令牌 的相同響應(yīng)���。隨后���,該響應(yīng)被用于初始化偽隨機(jī)號(hào)碼產(chǎn)生器。
在本發(fā)明中�,種子不必保密。令牌的唯一屬性使得���,如果沒(méi)有 令牌就不可能預(yù)測(cè)或計(jì)算對(duì)于特定詢問(wèn)的響應(yīng)�����。這意味著�,給定種子 和偽隨機(jī)號(hào)碼產(chǎn)生器本身,偽隨機(jī)號(hào)碼產(chǎn)生器的輸出不能被再現(xiàn)��,因 為一個(gè)關(guān)鍵的組件���,即物理令牌�,是將種子變成初始化偽隨機(jī)號(hào)碼產(chǎn) 生器的響應(yīng)所必須的��。http: //www. csg. csail.mit. edu/pubs/memos/Memo-481/Memo-48L pdf上的MIT CSAIL CSG Technical Memo 481獲得��。該論文描述了 硬件隨機(jī)號(hào)碼產(chǎn)生器的實(shí)現(xiàn)��,該硬件隨機(jī)號(hào)碼產(chǎn)生器的基本物理系統(tǒng) 是基于物理隨機(jī)函數(shù)的��。
但是����,這與本發(fā)明并不相同��。僅僅使用令牌來(lái)產(chǎn)生隨機(jī)號(hào)碼序 列缺乏一個(gè)關(guān)鍵因素����,即相同的詢問(wèn)將提供相同的響應(yīng),允許在需要 特定序列重建的情況下使用所產(chǎn)生的任意號(hào)碼����。實(shí)際上��,該論文的教 義與本發(fā)明的不同之處在于�����,該論文將PRNG呈現(xiàn)為受主要安全缺點(diǎn) 所累��,該缺點(diǎn)通過(guò)使用硬件隨機(jī)號(hào)碼產(chǎn)生器而被克服�。
共同未決的專利申請(qǐng)WO 2006/067739 (代理號(hào)PH001838 )提供
了一種導(dǎo)出用于加密或驗(yàn)證在第一和第二節(jié)點(diǎn)之間發(fā)送的數(shù)據(jù)的密 鑰的方法���,該方法包括從物理不可復(fù)制功能的測(cè)量來(lái)確定典型值��;產(chǎn) 生隨機(jī)號(hào)碼�����;以及將典型值與隨機(jī)號(hào)碼結(jié)合以便提供加密密鑰�。該文 檔并未公開使用偽隨機(jī)號(hào)碼產(chǎn)生器�,更沒(méi)有提及使用來(lái)自PUF的穩(wěn)定
響應(yīng)作為產(chǎn)生器的種子來(lái)產(chǎn)生任意號(hào)碼。
在一個(gè)實(shí)施例中���,本方法還包括從產(chǎn)生的任意號(hào)碼構(gòu)建偽隨機(jī) 置換(permutation)���。這樣的置換可以有利地#>用作Feistel分塊 密碼(block cipher )中的循環(huán)函數(shù)(round funct ion)�����,雖然這種置 換的其他應(yīng)用也是可以的��。幾個(gè)Feistel分塊密碼使用多個(gè)各自的循 環(huán)函數(shù)����,這意味著相應(yīng)數(shù)量的偽隨機(jī)置換將被構(gòu)建���。例如���,DES分塊 密碼使用16輪循環(huán)(round)。
另一個(gè)例子參見(jiàn)在R. Anderson和E. Biham的"Two Practical and Provably Secure Block Ciphers: BEAR and LION", Proceedings of Third International Workshop on Fast Software Encryption, Lecture Notes in Computer Science 1039 pll3-120 (1996)中描 述的LIONESS分塊密碼����。
從M.Luby和C.Rackoff����, "How to construct pseudorandom permutations from pseudorandom functions", SIAM Journal on Computing vol. 17, no. 2��, pp. 373-386 (1998)本身可獲知將任意號(hào) 碼變換成偽隨機(jī)置換。該論文還公開了這樣的置換如何可以在 Feistel分塊密碼中使用為循環(huán)函數(shù)�。但是Luby和Rackoff沒(méi)有在 任何地方公開或暗示權(quán)利要求1的方法可以用來(lái)創(chuàng)建偽隨機(jī)置換的構(gòu)造的輸入。
在另一個(gè)實(shí)施例中����,本方法還包括接收/Z匈個(gè)比特的輸入,從 輸入中使用/7個(gè)比特作為詢問(wèn)�,并將輸入中剩余邁個(gè)比特與從物理令
牌中接收的響應(yīng)進(jìn)行組合。該組合運(yùn)算優(yōu)選地使用異或(X0R)運(yùn)算 來(lái)實(shí)現(xiàn)�。這是Feistel置換最常見(jiàn)的形式。
在另一個(gè)實(shí)施例中����,本方法還包括使用所產(chǎn)生的任意號(hào)碼來(lái)創(chuàng) 建加密密鑰。該實(shí)施例的優(yōu)點(diǎn)在于���,加密密鑰現(xiàn)在只能在給定種子和 物理令牌時(shí)重建�,其中該物理令牌被詢問(wèn)以便產(chǎn)生響應(yīng)�����,該響應(yīng)會(huì)導(dǎo) 致所產(chǎn)生的任意號(hào)碼���。這提供了相對(duì)于傳統(tǒng)方法而言顯著的優(yōu)點(diǎn)�����,傳 統(tǒng)方法中從偽隨機(jī)號(hào)碼產(chǎn)生器應(yīng)用中產(chǎn)生的密鑰(或是用于初始化該 產(chǎn)生器的種子)必須保密����。因?yàn)榱钆剖俏锢砦矬w,因此比數(shù)字?jǐn)?shù)據(jù)(例 如密鑰)更容易保護(hù)免受未授權(quán)訪問(wèn)���。
因此��,本發(fā)明的另一個(gè)方面就是使用物理令牌來(lái)產(chǎn)生任意號(hào)碼 的用途��,以及使用物理令牌來(lái)創(chuàng)建加密密鑰的用途�。
本發(fā)明還提供一種產(chǎn)生Feistel分塊密碼的方法�����,包括
向物理令牌提供詢問(wèn)��,
從該物理令牌接收初始響應(yīng)�,
將初始響應(yīng)和與詢問(wèn)相關(guān)聯(lián)的幫助數(shù)據(jù)組合以便產(chǎn)生穩(wěn)定的響 應(yīng)�����,以及
從該穩(wěn)定響應(yīng)構(gòu)建偽隨機(jī)置換,以及 使用該偽隨機(jī)置換作為Feistel分塊密碼中的循環(huán)函數(shù)��。 這避免了對(duì)PRNG的需要���,雖然其確實(shí)要求響應(yīng)本身包含足夠多 的比特來(lái)構(gòu)建置換���。
本發(fā)明的這些和其他方面將通過(guò)參考附圖中示出的示例實(shí)施例
來(lái)闡述并變得顯而易見(jiàn),其中
圖1示意性地示出了一種給定種子時(shí)產(chǎn)生任意號(hào)碼的系統(tǒng)��; 圖2示意性地示出了基于CPUF的偽隨機(jī)置換的實(shí)施例���;和 圖3示出了一種數(shù)據(jù)處理系統(tǒng)���,被配置來(lái)提供對(duì)加密數(shù)據(jù)的訪
問(wèn),其中CPUF被用作解密密鑰的基礎(chǔ)����。
在整個(gè)附圖中,相同的附圖標(biāo)記表示類似或相應(yīng)的特征��。在附圖中顯示的一些特征通常是由軟件實(shí)現(xiàn)的���,因而表示軟件實(shí)體��,例如 軟件模塊或?qū)ο蟆?br>
具體實(shí)施例方式
圖1示意性地示出了在給定種子時(shí)產(chǎn)生任意號(hào)碼的系統(tǒng)100��。系 統(tǒng)100包括偽隨機(jī)號(hào)碼產(chǎn)生器或PRNG 101����,其產(chǎn)生任意號(hào)碼作為輸 出。PRNG本身是已知的�����。PRNG的普通類型是線性疊合產(chǎn)生器�、滯后 Fibonacci產(chǎn)生器、線性反饋移位寄存器和廣義反饋移位寄存器�����。最 近的偽隨機(jī)算法的例子包括Blum Bl認(rèn)Shub�、 Fort腿和Mersenne twister。 PRNG的一個(gè)擴(kuò)展處理例如可以在由Menezes���、 Van Oorschot 和Vans tone所著的^/2W00ir o尸J/7/ 〃ec/ Cr/;^0^ra;7力/��, CRC Press October 1996, ISBN 0-8493-8523-7的第5章中得到�����。
通常來(lái)說(shuō)���,PRNG產(chǎn)生滿足許多統(tǒng)計(jì)測(cè)試的任意號(hào)碼序列。因此�����, 該序列類似真實(shí)的隨機(jī)序列�,但是由于該序列是由確定性過(guò)程產(chǎn)生 的,因此其實(shí)際上并不是隨機(jī)的�。為了創(chuàng)建特定序列,PRNG必須使 用圖1中示出為輸入S的某個(gè)"種子���,�,來(lái)初始化�。如果相同的種子被 輸入到PMG,那么將輸出相同的任意號(hào)碼序列�����。
所產(chǎn)生的序列可以用于任何加密或其他偽隨機(jī)序列有用的應(yīng)用 中�����。其中一個(gè)應(yīng)用就是利用所產(chǎn)生的任意號(hào)碼來(lái)創(chuàng)建加密密鑰。用于 諸如DES或AES之類的算法的密鑰需要一定數(shù)量的任意選擇的比特���, 例如對(duì)于DES而言是56個(gè)比特�,對(duì)于AES而言是128���、 192或256 個(gè)比特�����。使用PRNG來(lái)產(chǎn)生這些比特是常見(jiàn)的選擇���,尤其是對(duì)于臨時(shí) 密鑰,諸如在許多安全通信信道中使用的會(huì)話密鑰���。
另一個(gè)有利的應(yīng)用是使用該序列來(lái)構(gòu)建偽隨機(jī)置換即PRP,其然
后可以被用作分塊密碼的一部分���,例如作為Feistel分塊密碼的循環(huán) 函數(shù)。
分塊密碼是一個(gè)置換e��,"�����,,力^���,其通過(guò)"'7/中的一個(gè) 密鑰K來(lái)參數(shù)化���。該密鑰空間的大小(以比特為單位)被用作密碼 尸f的安全量規(guī)����。前向置換A被稱為水霧,反向置換尸戶被稱為席^�����。 從數(shù)學(xué)的觀點(diǎn)來(lái)看��,如果沒(méi)有黑盒子攻擊(即��,僅僅訪問(wèn)密碼的輸入
和輸出���,"力m+"中的a和"力"""中的輸出&W )能夠確定爪"中的 加密密鑰/�����,這種方式相對(duì)于蠻干0r^e /orcd (即嘗試所有/個(gè)可能密鑰)是有優(yōu)勢(shì)的�,那么分塊密碼A是安全的。在分塊密碼設(shè)計(jì)
中的一個(gè)范例是Kerckhoffs準(zhǔn)則�����,其聲明所有的安全必須駐留在密 鑰/中���,而不在所討論算法的總體結(jié)構(gòu)中����。這意味著優(yōu)選地�,精確置 換尸,應(yīng)當(dāng)被當(dāng)做秘密的,而總體結(jié)構(gòu)可以是眾人皆知的信息���。通常使 用的分塊密碼包括DES和AES分塊密碼���。
Luby和Rackoff在他們上述論文中描述了從任何偽隨機(jī)函數(shù)產(chǎn) 生器W簡(jiǎn)單構(gòu)建偽隨機(jī)置換產(chǎn)生器^WW-,力自。這允許基于密
碼的內(nèi)部分量力的某種"好"屬性的安全分塊密碼���。該構(gòu)建的主要特 征如下如果對(duì)于隨機(jī)挑選的函數(shù)力和辨7/中的串i���,攻擊者不能
區(qū)另ij 中的,"」和"�,7,中的隨機(jī)串�,那么函數(shù)
微力諷W"'^是偽隨機(jī)函數(shù)族(PRF )。令W力"中的&々和 ^���,//^中的X/cS^表示^和^的串聯(lián)�,并且+表示W(wǎng)力"的兩個(gè)元素 的異或或(xor)�����。置換Pi,尸e/We/f換被定義為
尸!. (3qc^ =xrc&//^十;q/ f"/」
Luby-Rackoff密碼包括許多Feistel置換的迭代�����。在以下描述 的實(shí)施例中����,4輪循環(huán)Feistel網(wǎng)絡(luò)由以下定義來(lái)使用
在等式(2)中��,密鑰密碼/包括4個(gè)偽隨機(jī)隨機(jī)函數(shù)門���, /^和尸,����,密碼空間/包括對(duì)于這些函數(shù)來(lái)說(shuō)許多可能的選擇。在該情 況下��,假設(shè)尸7�����, 尸j和/,相同的不可區(qū)別的屬性���,任何對(duì)手都不可 區(qū)分與來(lái)自爪/廣"的隨機(jī)元素�����。
如上所述��,用作輸入的給定種子S可以用于再現(xiàn)相應(yīng)的任意號(hào) 碼序列�����。這意味著�����,如果攻擊者知道PRNG和種子S�����,那么他就可以 恢復(fù)例如從該序列中產(chǎn)生的密鑰����。為了避免此事,本發(fā)明提出使用物 理令牌120向來(lái)自物理令牌的詢問(wèn)提供穩(wěn)定化的響應(yīng)作為用于PRNG 的種子���。這種向詢問(wèn)提供穩(wěn)定化的響應(yīng)的令牌120有時(shí)被稱為受控 PUF或CPUF�。物理隨機(jī)(不可復(fù)制)功能(PUF)是物理系統(tǒng)��,該系統(tǒng)易于評(píng) 估但難以表征��、建?���;蛟佻F(xiàn)����。PUF是使用一些物理隨機(jī)過(guò)程制造的系 統(tǒng),這樣這些PUF與它們的輸入以復(fù)雜的方式互相作用以便產(chǎn)生確定 性的但看起來(lái)隨機(jī)的輸出����。PUF的例子公開在
1. R. Pappu, B,Recht���, J. Taylor, N. Gershenfeld, "Physical One-Way Functions", Science vol. 297�, pp.2026��, (2002)
2. P. Tuyls�����, B. Skoric���, S. Stallinga���, A. H. Akke函ns, W.Ophey�����, "Information-Theoretic Security Analysis of Physical Unclonable Functions", Financial Cryptography FC����, 05, LNCS 3570����, Springer-Verlag pp. 141(2005)
3. B.Skoric�, P.Tuyls W.Ophey���, "Robust key extraction from Physical Unclonable Functions", Applied Cryptography and Network Security ACNS 2005, LNCS 3531��, pp. 407-422 (2005)
4. P. Tuyls��, B. Skoric, G. J. Schri jen����, R. Wolters����, J. van Geloven, N. Verhaegh�, H. Kretschmann, "Read-proof hardware from protective coatings", CHES 2006 to appear (2006)
5. B.Gassend,D.Clarke, M. van Dijk,S.Devadas, "Silicon Physical Random Functions", 9th ACM Conf. on Computer and Communications Security (2002)
6. P. Tuyls, B.Skoric, "Secret Key Generation from Classical Physics", Book Chapter, Hardware Technology Drivers for Ambient Intelligence, Kluwer (2005)
PUF可以基于的幾個(gè)物理系統(tǒng)目前是已知的����。主要類型是光學(xué) PUF (參見(jiàn)參考1 )���,涂層PUF (參考4 )�,硅PUF (參考5 )和聲學(xué) PUFs(參考6)。實(shí)際上���,具有以下屬性的任何物理系統(tǒng)可以被用作 為PUF,'如果其具有以下屬性
便宜且容易制造并包括隨機(jī)化的制造過(guò)程
表征或建模是不切實(shí)際的
大的輸入/輸出空間
PUF /7使用這樣的方法來(lái)從詢問(wèn)c產(chǎn)生響應(yīng)r (即「���,^ ):因?yàn)镻UF的隨機(jī)性以及在PUF中交互的物理復(fù)雜性r不能從c中恢復(fù), 原因在于
PUF本身很難表征����,也就是說(shuō)即使使用最好測(cè)量設(shè)備,也 不能以足夠的精確度來(lái)獲得關(guān)于PUF內(nèi)部結(jié)構(gòu)的所有細(xì)節(jié)�����,或者 這樣做的成本昂貴地令人望而卻步�。
即使這些細(xì)節(jié)能夠以某種方式獲得,那么構(gòu)建PUF的輸入 行為的數(shù)學(xué)模型也是非常難以計(jì)算的���,如果不是完全不切實(shí)際的 話���。
雖然本發(fā)明可應(yīng)用于所有類型的PUF,比如這里考慮將光學(xué)PUF 的特定實(shí)例作為所描述概念的具體實(shí)例��。光學(xué)PUF包括傳輸材料���,該 傳輸材料包括隨機(jī)分布的散射粒子����。這里的隨機(jī)性是由斑點(diǎn)圖案的唯 一性和不可預(yù)知性來(lái)提供的,該斑點(diǎn)圖案是從變形光學(xué)介質(zhì)中的激光 的多個(gè)散射而產(chǎn)生的(參考2)����。對(duì)于固定波長(zhǎng)的入射光,輸入是入 射角度��、焦距�、掩模圖案或任何其他波陣面中可再現(xiàn)的改變。輸出是 產(chǎn)生的斑點(diǎn)圖案���。即使給定所有散射的準(zhǔn)確細(xì)節(jié)�����,仍然非常難恢復(fù)特 定的斑點(diǎn)圖案����。
受控制PUF (CPUF)是輸出被穩(wěn)定化的PUF�。也就是說(shuō),對(duì)CPUF 的給定詢問(wèn)將產(chǎn)生相同的響應(yīng)��。由于普通PUF的唯一性和不可預(yù)測(cè) 性��,對(duì)PUF呈現(xiàn)的相同詢問(wèn)可以產(chǎn)生(略微)不同的結(jié)果��。這通常涉 及應(yīng)用幫助數(shù)據(jù)和/或錯(cuò)誤校正����,以及潛在地PUF響應(yīng)數(shù)據(jù)的一些簡(jiǎn) 單后處理,以便提高PUF在加密方面的"隨機(jī)性"屬性���。
為了產(chǎn)生可再現(xiàn)的PUF響應(yīng)�,有兩種通常的方法確保響應(yīng)的整體性��。
在第一個(gè)方法中�,PUF初始地通過(guò)登記階段,其中為相應(yīng)的詢問(wèn) 產(chǎn)生許多初始響應(yīng)�����。對(duì)于每一個(gè)初始響應(yīng)����,產(chǎn)生將補(bǔ)償對(duì)于給定詢問(wèn) 的響應(yīng)中的變化的幫助數(shù)據(jù)。然后�����,該幫助數(shù)據(jù)就起到對(duì)PUF響應(yīng)錯(cuò) 誤糾正的功能以便確保穩(wěn)定響應(yīng)。
在第二個(gè)方法中����,如果呈現(xiàn)了關(guān)于PUF物理屬性的足夠數(shù)據(jù), 那么PUF就能夠迅速產(chǎn)生其自己的幫助數(shù)據(jù)����。這包括存儲(chǔ)以及PUF的 一些物理知識(shí)。
有關(guān)PUF以及穩(wěn)定化PUF響應(yīng)的幫助數(shù)據(jù)的構(gòu)建的更多信息可 以參考以上給出的文獻(xiàn)�����。CPUF 120根據(jù)如下所述被用于本發(fā)明��。某個(gè)詢問(wèn)C被提供給CPUF 120����。產(chǎn)生器121將詢問(wèn)C變換成合適的信號(hào)(例如,光束)�,以便 吸引來(lái)自物理物體122的響應(yīng)。該初始響應(yīng)由接收機(jī)123測(cè)量�。接收 機(jī)123還獲得幫助數(shù)據(jù)W,并將來(lái)自物體122的初始響應(yīng)組合,以便 從初始響應(yīng)產(chǎn)生穩(wěn)定響應(yīng)���。然后����,該穩(wěn)定響應(yīng)作為種子S輸出��。
基于受控PUF的偽隨機(jī)置換的實(shí)施例如圖2示意性示出���。輸入 (假設(shè)為m+n比特長(zhǎng)),首先被分裂成左側(cè)m個(gè)比特和右側(cè)n個(gè)比特����。 右側(cè)的n個(gè)比特被轉(zhuǎn)換成用于CPUF 120的詢問(wèn)。CPUF 120使用單獨(dú) 獲得的幫助數(shù)據(jù)w來(lái)提供穩(wěn)定的響應(yīng)���。該響應(yīng)作為種子被提供給PRNG 101���,以便產(chǎn)生輸出,在本實(shí)施例中���,該輸出也是m個(gè)比特長(zhǎng)�����。
然后��,該輸出與輸入左手側(cè)的原始的m個(gè)比特組合����。該組合優(yōu) 選地使用XOR運(yùn)算來(lái)完成。然后右手側(cè)和左手側(cè)被交換�,以便產(chǎn)生置 換的輸出。
然后�����,為了創(chuàng)建Feistel密碼�, 一個(gè)接一個(gè)地執(zhí)行多個(gè)這些偽 隨機(jī)置換(優(yōu)選地至少4個(gè))。
系統(tǒng)100可以被實(shí)現(xiàn)為一種需要產(chǎn)生任意序列的設(shè)備���,諸如個(gè) 人計(jì)算機(jī)��、移動(dòng)電話或機(jī)頂盒����。在這樣的設(shè)備中�,CPUF 120或物體 122優(yōu)選地被實(shí)現(xiàn)為可移動(dòng)的組件��。這提高了設(shè)備的安全性如果沒(méi) 有物體122�����,就不可能再生特定的序列�,即使詢問(wèn)C和幫助數(shù)據(jù)W是 已知的���。
在本發(fā)明的可替換實(shí)施例中,偽隨機(jī)置換是直接從來(lái)自CPUF 120的穩(wěn)定響應(yīng)中構(gòu)建的��。這避免了對(duì)PRNG 101的需要�����,雖然其確 實(shí)需要響應(yīng)自身包含足夠的比特來(lái)構(gòu)建置換���。CPUF 120可以被詢問(wèn) 多次�����,以便提供足夠數(shù)量的比特用于構(gòu)建置換�。然后����,該偽隨機(jī)置換 就可以被利用為Feistel分塊密碼中的一個(gè)或多個(gè)循環(huán)函數(shù)����,如上所 述�����。
圖3示意性地顯示了數(shù)據(jù)處理系統(tǒng)300,諸如個(gè)人計(jì)算機(jī)��、移動(dòng) 電話或機(jī)頂盒��,被配置來(lái)提供對(duì)電子數(shù)據(jù)的訪問(wèn)���。該數(shù)據(jù)可以被存儲(chǔ) 在內(nèi)部存儲(chǔ)介質(zhì)301 (例如���,硬盤或固態(tài)存儲(chǔ)器)中,可以被提供在 外部存儲(chǔ)介質(zhì)302 (例如DVD盤)上��,或者可以使用接收機(jī)303從外 部源接收(例如通過(guò)從互聯(lián)網(wǎng)或移動(dòng)網(wǎng)絡(luò)下載的方式)�。
由于數(shù)據(jù)被加密,因此需要解密模塊304來(lái)解密該數(shù)據(jù)���。然后由處理模塊305處理該數(shù)據(jù)��。該數(shù)據(jù)可以是任何類型的數(shù)據(jù)���,這樣處 理類型取決于數(shù)據(jù)類型�。例如��,該數(shù)據(jù)可以是視聽(tīng)數(shù)據(jù)�����,然后其在顯 示屏310上和/或通過(guò)揚(yáng)聲器311呈現(xiàn)����。
與解密密鑰必須存儲(chǔ)在系統(tǒng)300內(nèi)或者傳送到系統(tǒng)300的系統(tǒng) 相比����,系統(tǒng)300包括密鑰產(chǎn)生模塊310,該模塊310包括系統(tǒng)100。 該模塊310產(chǎn)生解密數(shù)據(jù)所需要的密鑰�����。
模塊310被配備了插槽311�,用于插入CPUF 120。在操作過(guò)程 中�����,解密模塊305通知模塊310需要該解密密鑰并且指示要使用哪個(gè) 詢問(wèn)和哪個(gè)幫助數(shù)據(jù)。然后�,用戶將CPUF 120插入到插槽311。 CPUF 120使用所提供的數(shù)據(jù)被詢問(wèn)��,使用所提供的幫助數(shù)據(jù)穩(wěn)定化初始輸 出�����,并且該穩(wěn)定輸出被提供給PRNG 101以便產(chǎn)生任意號(hào)碼序列����,該 號(hào)碼序列被返回給解密模塊以便充當(dāng)解密密鑰。如果沒(méi)有CPUF 120����, 那么模塊310就不能恢復(fù)解密數(shù)據(jù)所需要的密鑰。
詢問(wèn)數(shù)據(jù)和幫助數(shù)據(jù)也可以被存儲(chǔ)在系統(tǒng)300中�����,當(dāng)其進(jìn)入系 統(tǒng)時(shí)可以被提供數(shù)據(jù)�����,或者可以下載或以其它方式獲得。詢問(wèn)和可應(yīng) 用的幫助數(shù)據(jù)可以與明文形式的電子數(shù)據(jù)相關(guān)聯(lián)一起被存儲(chǔ)���。例如��, 存儲(chǔ)介質(zhì)302可以在獨(dú)立的區(qū)域或位置提供詢問(wèn)和幫助數(shù)據(jù)��。該數(shù)據(jù) 也可以被提供在數(shù)字許可證或權(quán)利物體中����,該物體還指示與電子數(shù)據(jù) 相關(guān)聯(lián)的使用規(guī)則���。數(shù)字許可證或權(quán)利物體被用于數(shù)字權(quán)利管理和條 件訪問(wèn)的領(lǐng)域中�。
因此�,有利地,物體122現(xiàn)在被用作物理密鑰來(lái)解密電子數(shù)據(jù)��。 無(wú)論誰(shuí)擁有物體122且知道正確的詢問(wèn)和幫助數(shù)據(jù)�,都可以使用正確 的種子來(lái)初始化PRNG 101以便產(chǎn)生位于加密密鑰基礎(chǔ)的任意號(hào)碼序 列��。但是����,如果沒(méi)有物體122�����,那么就不能獲得正確的種子以及正確 的序列�。注意到這取消了以電子格式存儲(chǔ)密鑰和與密鑰相關(guān)的數(shù)據(jù)的 要求�����,該要求會(huì)降低使用該密鑰的設(shè)備的安全要求�。
應(yīng)當(dāng)注意到上述實(shí)施例示出而不是限制本發(fā)明,并且本領(lǐng)域技 術(shù)人員應(yīng)當(dāng)能夠設(shè)計(jì)許多可替換實(shí)施例�����,而不背離所附權(quán)利要求的范 圍����。例如,CPUF的某些類別可以以這種方式構(gòu)建�,兩個(gè)或更多CPUF 根據(jù)給定的相同輸入產(chǎn)生相同的穩(wěn)定響應(yīng)。當(dāng)使用這種類型的CPUF 時(shí)�,兩個(gè)或更多CPUF就都起到密鑰的作用。任意號(hào)碼序列可以直接 用作密鑰���,或者可以使用進(jìn)一步的處理將序列轉(zhuǎn)換成密鑰���。在權(quán)利要求中���,括號(hào)中的任何參考標(biāo)記都不應(yīng)該理解為限制權(quán) 利要求。詞語(yǔ)"包括"并不排除除了權(quán)利要求中列出的其他元件或步 驟的存在���。元件前面的詞語(yǔ)"一個(gè)"并不排除多個(gè)這樣元件的存在����。 本發(fā)明可以通過(guò)包括幾個(gè)獨(dú)立元件的硬件的方式實(shí)現(xiàn)��,或者通過(guò)合適 編程的計(jì)算機(jī)來(lái)實(shí)現(xiàn)�����。
在列出幾個(gè)裝置的設(shè)備權(quán)利要求中��,其中一些裝置可以由一個(gè) 或相同的硬件項(xiàng)來(lái)實(shí)現(xiàn)�����。僅僅某些措施在彼此不同的從屬權(quán)利要求中 闡述這個(gè)事實(shí)并不表示這些措施的組合不能有利的被使用�����。
權(quán)利要求
1.一種在給定種子時(shí)產(chǎn)生任意號(hào)碼的方法���,其特征在于向物理令牌提供從種子導(dǎo)出的詢問(wèn)����,從物理令牌接收初始響應(yīng)����,將初始響應(yīng)和與詢問(wèn)相關(guān)聯(lián)的幫助數(shù)據(jù)組合以便產(chǎn)生穩(wěn)定的響應(yīng),以及使用偽隨機(jī)號(hào)碼產(chǎn)生器來(lái)產(chǎn)生任意號(hào)碼�,該產(chǎn)生器使用該穩(wěn)定的響應(yīng)作為該產(chǎn)生器的種子。
2. 根據(jù)權(quán)利要求1的方法�����,還包括從所產(chǎn)生的任意號(hào)碼構(gòu)建偽隨 機(jī)置換��。
3. 根據(jù)權(quán)利要求2的方法���,還包括利用所述偽隨機(jī)置換作為 Feistel分塊密碼中的循環(huán)函數(shù)����。
4. 根據(jù)權(quán)利要求2或3的方法,其中�����,多個(gè)偽隨機(jī)置換被構(gòu)建 和被利用作為在Feistel分塊密碼中各自的多個(gè)循環(huán)函數(shù)�����。
5. 根據(jù)權(quán)利要求1的方法����,包括利用所產(chǎn)生的任意號(hào)碼來(lái)創(chuàng)建 加密密鑰。
6. 物理令牌用于使用偽隨機(jī)號(hào)碼產(chǎn)生器產(chǎn)生任意號(hào)碼的用途的 使用�,該偽隨機(jī)號(hào)碼產(chǎn)生器使用已經(jīng)用幫助數(shù)據(jù)穩(wěn)定化的對(duì)來(lái)自物理 令牌的詢問(wèn)的響應(yīng)作為該產(chǎn)生器的種子。
7. 用于通過(guò)使用偽隨機(jī)號(hào)碼產(chǎn)生器產(chǎn)生任意號(hào)碼來(lái)創(chuàng)建加密密 鑰的用途的物理令牌的使用�����,該產(chǎn)生器使用已經(jīng)用幫助數(shù)據(jù)穩(wěn)定化的 對(duì)來(lái)自物理令牌的詢問(wèn)的響應(yīng)作為該產(chǎn)生器的種子�,并且從所產(chǎn)生的 任意號(hào)碼來(lái)創(chuàng)建加密密鑰。
8. —種在給定種子時(shí)產(chǎn)生任意號(hào)碼的系統(tǒng)�����,其特征在于 用于向物理令牌提供從種子導(dǎo)出的詢問(wèn)的裝置��, 用于從物理令牌接收初始響應(yīng)的裝置,用于將初始響應(yīng)和與詢問(wèn)相關(guān)聯(lián)的幫助數(shù)據(jù)組合以便產(chǎn)生穩(wěn)定 的響應(yīng)的裝置�����,以及用于使用偽隨機(jī)號(hào)碼產(chǎn)生器來(lái)產(chǎn)生任意號(hào)碼的裝置�����,該產(chǎn)生器使 用該穩(wěn)定的響應(yīng)作為該產(chǎn)生器的種子��。
9. 一種產(chǎn)生Feistel分塊密碼的方法�����,包括 向物理令牌提供詢問(wèn)�����,從該物理令牌接收初始響應(yīng)���,將初始響應(yīng)和與詢問(wèn)相關(guān)聯(lián)的幫助數(shù)據(jù)組合以便產(chǎn)生穩(wěn)定的響應(yīng),從該穩(wěn)定響應(yīng)構(gòu)建偽隨機(jī)置換���,以及使用該偽隨機(jī)置換作為Feistel分塊密碼中的循環(huán)函數(shù)����。
10. 根據(jù)權(quán)利要求9的方法,其中���,許多偽隨機(jī)置換被構(gòu)建和被 利用作為Feistel分塊密碼中各自的循環(huán)函數(shù)�����。
11. 一種產(chǎn)生Feistel分塊密碼的系統(tǒng)����,包括 用于向物理令牌提供詢問(wèn)的裝置�, 用于從該物理令牌接收初始響應(yīng)的裝置,用于將初始響應(yīng)和與詢問(wèn)相關(guān)聯(lián)的幫助數(shù)據(jù)組合以便產(chǎn)生穩(wěn)定的響應(yīng)的裝置�����,用于從該穩(wěn)定響應(yīng)構(gòu)建偽隨機(jī)置換的裝置����,以及 用于使用該偽隨機(jī)置換作為Feistel分塊密碼中的循環(huán)函數(shù)的裝置。
全文摘要
本發(fā)明提供一種在給定種子時(shí)產(chǎn)生任意號(hào)碼的方法�,其特征在于向物理令牌提供從種子導(dǎo)出的詢問(wèn),從物理令牌接收初始響應(yīng)��,將初始響應(yīng)和與詢問(wèn)相關(guān)聯(lián)的幫助數(shù)據(jù)組合以便產(chǎn)生穩(wěn)定的響應(yīng),以及使用偽隨機(jī)號(hào)碼產(chǎn)生器來(lái)產(chǎn)生任意號(hào)碼����,該產(chǎn)生器使用該穩(wěn)定的響應(yīng)作為該產(chǎn)生器的種子。優(yōu)選地��,一個(gè)或多個(gè)這些偽隨機(jī)置換被用作Feistel分塊密碼中的一個(gè)或多個(gè)循環(huán)函數(shù)��。所產(chǎn)生的任意號(hào)碼也可以用來(lái)創(chuàng)建加密密鑰����。
文檔編號(hào)G06F7/58GK101542431SQ200780043885
公開日2009年9月23日 申請(qǐng)日期2007年11月26日 優(yōu)先權(quán)日2006年11月28日
發(fā)明者K·庫(kù)薩維, P·T·圖伊爾斯, T·克林斯 申請(qǐng)人:皇家飛利浦電子股份有限公司