[发明专利]反向计算模糊提取器和用于认证的方法

说明书

公开了用于认证第一设备的方法和系统。所述方法包括如下步骤：测量第一设备的物理不可克隆函数关于质询位串的第一响应位串，所述物理不可克隆函数是由第一设备的处理器和第一设备的进一步的物理组件中的一个提供的；从均匀分布的随机向量得出共享秘密位串；通过将均匀分布的随机矩阵与均匀分布的随机向量相乘并且将第一响应位串与乘法运算的结果相加来编码辅助位串；以及将辅助位串传输到远离于第一设备的第二设备。

本申请要求于2016年12月30日提交的美国临时申请序列号62/440,685的优先权权益，该美国临时申请的公开被在其整体上通过引用合并于此。

技术领域

在本文件中公开的方法和设备涉及密码学，并且更特别地，涉及用于设备认证的物理不可克隆函数和模糊提取器的使用。

背景技术

在一些应用中，物理不可克隆函数（PUF）被用于认证设备。然而，任何PUF的原始响应是有噪声的并且必须进行后处理，以在每次查询PUF时得出例如相同的密钥。模糊提取器可以利用纠错码来构造，并且被用于使用公共可用的所谓辅助数据来从PUF的原始响应移除噪声。由于纠错码（以及存在于辅助数据中的冗余信息）的性质，传统的信息理论模糊提取器不保持存在于PUF的原始响应中的全部熵。例如，如果PUF的原始响应具有n比特的熵，则在PUF的原始响应被由传统的信息理论模糊提取器处理之后，仅有m比特可以被使用，其中m＜n。在其中PUF的原始响应具有有限量的熵的情况下，这样的熵损失是特别糟糕的。作为示例，初步的实验指示MEMS-PUF的原始响应的熵合计略小于90比特。然而，如果PUF响应被用于得出对称密钥，则就安全性而言这是不够的。例如，德国BSI技术指南TR-02102-1“Kryptographische Verfahren：Empfehlungen und Schlüssellängen（加密方法：建议和密钥长度）”（2015-01版，2015年2月10日）要求至少128比特的对称秘密密钥长度。

因此，将有利的是为传统模糊提取器提供替换，在其中可以保持PUF的全部熵并且可以从其得出更长的密钥。更进一步地，如果所述方法可以被用于认证具有极小处理能力和存储器容量的支持轻量级PUF的设备，则这也将是有利的。

发明内容

公开了一种用于认证第一设备的方法。所述方法包括如下步骤：测量第一设备的物理不可克隆函数关于质询位串的第一响应位串，所述物理不可克隆函数是由第一设备的处理器和第一设备的进一步的物理组件中的一个提供的；利用第一设备的处理器从均匀分布的随机向量得出共享的秘密位串；利用第一设备的处理器，通过将均匀分布的随机矩阵与均匀分布的随机向量相乘并且将第一响应位串与乘法运算的结果相加来编码辅助位串；以及利用第一设备的收发器将辅助位串传输到远离于第一设备的第二设备。

公开了一种用于认证第一设备的系统。所述系统包括第一设备，所述第一设备具有（ⅰ）收发器、（ⅱ）存储器存储、以及（ⅲ）可操作地连接到收发器和存储器存储的处理器，处理器和第一设备的进一步的物理组件中的一个被配置为提供由处理器可使用的物理不可克隆函数。所述处理器被配置为：接收第一设备的物理不可克隆函数关于质询位串的第一响应位串的测量；从均匀分布的随机向量得出共享的秘密位串；通过将均匀分布的随机矩阵与均匀分布的随机向量相乘并且将第一响应位串与乘法运算的结果相加来编码辅助位串；以及操作第一设备的收发器以将辅助位串传输到远离于第一设备的第二设备。

附图说明

在关于随附附图所作的以下描述中解释方法和设备的前述的各方面以及其它特征。

图1示出包括证明设备和验证设备的系统。

图2示出反向计算模糊提取器的框图。

图3示出用于使用反向计算模糊提取器来认证设备的方法。

具体实施方式