データベースなしのノイジーな低電力PUF認証
本発明は、認証装置210で、物理トークン102を有するデバイス101,201を認証する方法、認証を実行するシステム、及び測定可能なパラメタを提供する物理トークンを有するデバイスに関する。本発明の基本的なアイデアは、物理クローン不可関数PUFの形式で物理トークン102を有する例えばRFIDタグといった低電力デバイス101,201が、暗号化処理又は処理能力の観点から負担の大きい他の処理から解放されるような安全な認証プロトコルを提供することにある。このため、認証されることになるPUFデバイス101,201が、実際に認証された認証装置から問い合わせを受けているかどうかを確認する。例えば、PUF102を有するRFIDタグが、銀行が認証を行いたい紙幣に配置されることができる。この認証は、暗号化されたデータを復号化する銀行のユニークな能力に基づかれる。暗号化されたデータは、例えば、そのRFIDタグ(又は実際にはPUF)が銀行に登録される登録フェーズにおいて作成されたデータである。ここで、認証装置に送られるレスポンスデータを作成するためRFIDタグは再度、PUFにチャレンジする。認証装置は、そのレスポンスデータが正しいかどうかチェックし、もし正しければ、その物理トークンを有するデバイスを認証する。なぜなら、そのデバイスは、登録フェーズで暗号化されて格納されたレスポンスデータに対応するレスポンスデータを生成できることになるからである。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、物理トークンを有するデバイスを認証装置で認証する方法、認証を実行するシステム及び測定可能なパラメタを与える物理トークンを有するデバイスに関する。
【背景技術】
【0002】
物理クローン不可関数(Physical Uncloneable Function)(PUF)は、仲間(parties)が共有された秘密を確立することのできる、改ざん防止環境を構築するのに使用される構造である。PUFは、物理トークンであり、その物理トークンに、チャレンジと呼ばれる入力が与えられる。チャレンジがPUFに与えられると、PUFはレスポンスと呼ばれるランダムなアナログ出力を生み出す。その複雑さと、準拠する物理法則とにより、トークンは「クローン不可」、即ち、物理的に複製すること、及び/又は計算機的にモデル化することができないものと考えられる。PUFはときどき、物理ランダム関数(Physical Random Function)とも呼ばれる。制御関数と組み合わされると、PUFはかなり強化されることができる。実際には、PUF及びPUFと切り離すことのできないアルゴリズムが、改ざん防止チップに含まれる。PUFは、そのアルゴリズムを介してのみアクセスされることができ、そのアルゴリズムをバイパス又は操作しようとするすべての試みは、PUFを破壊することになる。ハードウェア、ソフトウェア又はこれらの組み合わせにより実現されるアルゴリズムは、PUFの入力及び出力を支配する。例えば、PUFへの頻繁なチャレンジが禁止される、特定のクラスのチャレンジが禁止される、PUFの物理出力が暗号化される(hidden)、暗号化により保護されたデータだけが復号化される(reveal)、等である。斯かる手段は、十分にセキュリティを強化する。なぜなら、攻撃者は、思い通りにPUFにチャレンジすることができず、レスポンスを解釈することもできないからである。この種のPUFは、制御されたPUF(CPUF)と呼ばれる。
【0003】
PUFの例は、ランダムな位置に光散乱器を含む3D光学媒体である。入力、即ちチャレンジは、例えば、PUFを照らすレーザビームの入射角とすることができ、出力、即ちレスポンスは、特定の入射角の結果として光散乱により生成されるスペックルパターンとすることができる。このレスポンスは、カメラを用いて検出されることができ、暗号化鍵へと量子化されることができる。
【0004】
暗号化鍵素材の源として使用されることができるPUFを作成する別の方法は、誘電粒子が散在されるコーティングで集積回路(IC)を覆うことである。これらの粒子は通常、異なる誘電定数を持ち、製造工程が原因で多かれ少なかれランダムな形状、寸法及び位置を持つ。異なるコーティング位置での容量値を局所的に測定するため、センサ要素がICの上部金属層に配置される。この例では、コーティング自身が物理クローン不可関数を構成する。誘電粒子のランダムな性質の結果として、測定される容量値は優秀な鍵素材となる。コーティングの形式でPUFを備えるICは、容量を測定し、その容量値をビットストリングに変換する。そのビットストリングから、暗号化鍵が得られる。
【0005】
登録フェーズでは、チャレンジがPUFに与えられ、これは、そのチャレンジに対するユニークで予測不可能なレスポンスを生み出す。チャレンジ及び対応するレスポンスは、認証が次々と行われることになる認証装置に格納されることができる。通常、認証フェーズでは、認証装置が、証明を要する相手(a proving party)に登録フェーズで格納されたチャレンジを与える。その証明を要する相手が、そのチャレンジに対するレスポンス、しかも、登録フェーズで格納されたレスポンスと一致するレスポンスを戻すことができるならば、その証明を要する相手は、共有された秘密へのアクセスが可能であることを示したことになり、認証装置により認証される。登録フェーズ及び認証フェーズは、共有される秘密、即ち、レスポンスが表に出ることなく(without revealing)行われるべきである。これは通常、暗号化を用いて安全な通信路を設定することを含む。逆の状況も従来技術において知られている。PUFを具備するプロセッサは、そのPUFの以前の測定に関する情報を持つユーザと通信していることを検証することができる。こうして、PUFを備えるデバイスは、そのデバイスに対するアクセスを求めているユーザを認証することができる。
【0006】
PUFは、例えば、ユーザ自身を認証するため、及び特定のデータ、サービス又はデバイスへのアクセス権を取得するため、そのユーザにより用いられるトークンにおいて実現されることができる。トークンは例えば、無線周波数信号を用いて、又はアクセスされるデバイスの有線インタフェース(例えばUSB)を介して通信を行うスマートカードを有することができる。例えばスマートカード、SIMカード、クレジットカード、紙幣、有価証券、RFID(無線周波数識別子)タグ、セキュリティカメラ等の幅広い範囲の対象物及びデバイスを認証するのにPUFが使用されることができる。こうして、PUFは、例えばDRM(デジタル著作権管理)、コピープロテクション、ブランドプロテクション、及び偽造品発見といった用途に好適である。更に、PUFは、改ざんの証拠を見つける安価な方法を提供する。
【発明の開示】
【発明が解決しようとする課題】
【0007】
理想的には、PUFベースの認証プロトコルが以下の特性をすべて満足すべきである。
【0008】
1.識別能力:一意にPUFを識別するようPUF同士の特性間には十分な差が存在しなければならない。
【0009】
2.安全性:PUFから得られる秘密鍵は保護されなければならない。秘密鍵が危険にさらされると、攻撃者は、PUFデバイスのふりをすることができる(なりすまし、偽造、ID盗難等)。これらの秘密は、PUFデバイスを攻撃しようとする盗聴者、悪意ある認証者/第三者及びハッカーから保護されなければならない。
【0010】
3.ノイズ耐性:すべてのPUF測定は、ある程度ノイジー(noisy:ノイズを含む)である。暗号化処理がPUF出力に適用される場合、エラー訂正コードが通常最初に適用されなければならない。なぜなら、暗号化関数の実際のタスクは、それに与えられる入力を歪めることだからである。エラー訂正なしでは、入力データにおける小さな不一致が、出力データにおける大きな不一致を生じさせる。
【0011】
4.低コスト:認証者により使用されるアプライアンス(例えば、ATM装置)は一般に、高価であることが許される。しかしながら、認証されるべき相手により使用されるデバイス(例えば、ATMキャッシュカード)は安価でなければならない。
【0012】
RFIDタグは安価な識別子として使用され、バーコードを置き換えるものと予想される。最も簡単なタグは、識別番号(ID)と電子製造コード(EPC)とだけを含む。しかしながら、幾分より高価なタグは、例えば、PINコード、何らかの追加のメモリ、及び控え目な量の計算能力も含むことができる。RFIDタグを認証及び偽造防止目的、例えば紙幣の偽造発見に使用されることが提案されてきた。
【0013】
多くの用途は、認証プロトコルが、上記に与えられる必要な認証プロトコル特性を満たすことに加え、低電力デバイスで実行されることができることを要求する。その例は、埋め込みPUFを備えるRFIDタグ、一体化された指紋センサを備えるスマートカード、「電子ダスト(electronic dust)」用途等である。こうしたデバイスは、控え目な計算処理能力を持ち、一般に暗号、復号、署名、及び署名チェックといった暗号化処理を実行するにはあまりに貧弱である。更に、これらのデバイスは通常、あまりに貧弱なため、ノイジーな測定に関してエラー訂正アルゴリズムを実行することができない。しかしながら、一般に、ランダム番号を生成し、ハッシュ関数を計算するには十分な能力を持つ。従来技術における課題は、AES、DES、RSA、ECCといったエラー訂正及び暗号化アルゴリズムが使用できないような低電力デバイスを使用するとき、いかに安全性を確保するかという点にあった。
【0014】
膨大な量の紙幣検証といったいくつかの用途では、速度が重要な要件となる。暗号化処理に伴う問題は、暗号化処理がかなりの量のプロセッサ時間を必要とする点にある。
【0015】
更に、登録測定のデータベースを維持することが、認証者にとっては負担となっている。多数のPUFの記録を保持するとき、データベースの必要性を完全に回避することが明らかに有利である。
【0016】
本発明の目的は、上述した従来技術における問題のいくつかを克服することにある。特に、本発明の目的は、暗号、復号、署名、署名チェック、及びエラー訂正処理といった暗号化処理をノイジー測定に対して実行するのに十分な処理能力を持たない低電力デバイスでも実行されることができる安全な認証プロトコルを提供することにある。本発明の更なる目的は、認証装置が物理トークンに対する登録測定データベースを維持する必要のない安全な認証プロトコルを提供することにある。
【課題を解決するための手段】
【0017】
これらの目的は、請求項1に記載の認証装置で物理トークンを認証する方法、請求項19に記載の認証を実行するシステム、及び請求項25に記載の測定可能なパラメタを与える物理トークンを有するデバイスにより達成される。
【0018】
本発明の第1の側面によれば、認証装置で物理トークンを認証する方法が与えられる。その方法は、認証装置で、暗号化された(concealed)第1のセットのレスポンスデータを上記デバイスから受信するステップであって、上記レスポンスデータが、上記物理トークンから取得され、登録の間、上記デバイスに暗号化されて格納される、ステップと、上記暗号化されたレスポンスデータを復号化し(revealing)、上記デバイスに送信するステップとを有する。その方法は更に、上記デバイスで、上記第1のセットのレスポンスデータを得るのに利用された第1のチャレンジを用いて、レスポンスデータを得るため上記物理トークンにチャレンジし、上記認証装置から受信される上記第1のセットのレスポンスデータと上記取得されるレスポンスデータとを比較するステップと、上記取得されるレスポンスデータが、上記認証装置から受信される上記第1のセットのレスポンスデータに対応する場合、上記物理トークンから第2のセットのレスポンスデータを得るのに利用された第2のチャレンジを用いて上記物理トークンにチャレンジするステップであって、上記第2のセットは、レスポンスデータを得るため、登録の間、上記デバイスに暗号化されて格納される、ステップとを有する。その後、上記暗号化された第2のセットのレスポンスデータと、上記第2のチャレンジから得られる上記レスポンスデータとが認証装置に送信され、その認証装置は、上記暗号化された第2のセットのレスポンスデータを復号化し、上記第2のチャレンジから得られる上記レスポンスデータを上記第2のセットのレスポンスデータと比較する。上記2つのデータセット間に対応関係がある場合、上記デバイスが認証されたと考えられる。
【0019】
本発明の第2の側面によれば、認証を実行するシステムが提供される。そのシステムは、認証装置と、物理トークンを有するデバイスとを有する。そのシステムでは、上記認証装置が、上記物理トークンから得られ、登録の間上記デバイスに暗号化されて格納されるレスポンスデータの第1のセットを上記デバイスから受信し、上記暗号化されたレスポンスデータを復号化し、上記デバイスに送信するよう構成される。そのデバイスは、上記第1のセットのレスポンスデータを得るために利用された第1のチャレンジを用いて上記物理トークンにチャレンジすることによりレスポンスデータを取得し、上記認証装置から受信される上記第1のセットのレスポンスデータを上記取得されたレスポンスデータと比較し、上記取得されたレスポンスデータが、上記認証装置から受信される上記第1のセットのレスポンスデータに対応する場合、第2のセットのレスポンスデータを得るのに利用された第2のチャレンジを用いて上記物理トークンにチャレンジすることにより、上記物理トークンからレスポンスデータを取得するよう構成される。その第2のセットは、登録の間上記デバイスに暗号化されて格納される。更に、そのデバイスは、上記暗号化された第2のセットのレスポンスデータと上記第2のチャレンジから得られるレスポンスデータとを上記認証装置に送るよう構成される。上記認証装置は、上記暗号化された第2のセットのレスポンスデータを復号化し、上記第2のセットのレスポンスデータを上記第2のチャレンジから得られるレスポンスデータと比較するよう構成され、上記2つのデータセット間に対応関係が存在する場合、上記デバイスが認証されたと考えられる。
【0020】
本発明の第3の側面によれば、測定可能なパラメタを与える物理トークンを有するデバイスが提供される。そのデバイスは、上記物理トークンにより与えられる上記パラメタを測定するセンサ要素と、与えられるデータを不可逆関数において処理する論理回路と、上記デバイスの登録の間上記物理トークンから得られる暗号化されたレスポンスデータを格納する少なくとも1つのメモリと、外部回路と通信する通信手段とを更に有する。
【0021】
本発明の基本的なアイデアは、物理クローン不可関数(PUF)の形式で物理トークンを有する例えばRFIDタグといった低電力デバイスが、暗号化処理又は処理能力の観点から負担の大きい他の処理から解放されるような安全な認証プロトコルを提供することにある。このため、認証されることになるPUFデバイスが、実際に認証された認証装置から問い合わせを受けているかどうかを確認する。例えば、PUFを有するRFIDタグが、銀行が認証を行いたい紙幣に配置されることができる。この認証は、暗号化されたデータを復号化する銀行のユニークな能力に基づかれる。暗号化されたデータは、例えば、そのRFIDタグ(又は実際にはPUF)が銀行に登録される登録フェーズにおいて作成されたデータである。以下、認証側は、銀行の形式で例示され、被認証側、即ち、正当性の証明を行う側(a proving party)は、PUFを有するRFIDタグを備える紙幣の形式で実現される。データの暗号化は、対称又は非対称な暗号化を用いて実現されることができ、データの復号化は、それに応じた復号化を用いて実現される。
【0022】
詳細には、銀行は、RFIDタグから暗号化された第1のセットのレスポンスデータを受信する。このレスポンスデータは、以前にRFIDタグのPUFから得られたものであり、銀行により暗号化され、登録の間にタグに格納される。その後、銀行は、暗号化されたレスポンスデータを復号化し、プレーンテキストでタグに送る。タグは、レスポンスデータを得るため、登録された第1のセットのレスポンスデータを得るのに使用したチャレンジを用いてそのPUFにチャレンジし、その得られたレスポンスデータを認証装置から受信される第1のセットのレスポンスデータと比較する。得られたレスポンスデータが、銀行から受信される第1のセットのレスポンスデータに対応する場合、銀行に送られた暗号化されたレスポンスデータを銀行が復号化することができる点、及び例えば復号鍵といった暗号化されたレスポンスデータを復号化する手段へのアクセスを銀行が持っていたに違いない点が確認されたことになる。ここでRFIDタグは、銀行(又は実際に復号鍵を所有する何らかの認証された通信相手)と通信するよう誘導されるので、認証プロトコルの次のステップへと進む。
【0023】
ここで、レスポンスデータを作成するため、物理トークンの第2のセットのレスポンスデータを取得するのに以前使用されたチャレンジを用いてRFIDタグは再度PUFにチャレンジする。その第2のセットは、認証装置/登録装置により暗号化され、登録の間にトークンに格納される。暗号化された第2のセットのレスポンスデータと第2のチャレンジから得られるレスポンスデータとが認証装置に送られる。認証装置は、暗号化された第2のセットのレスポンスデータを復号化し、その復号化された第2のセットのレスポンスデータを第2のチャレンジから得られるレスポンスデータと比較する。対応関係があれば、その物理トークンを有するデバイスが認証されたと考える。なぜなら、そのデバイスは、登録フェーズで暗号化されて格納されたレスポンスデータに対応するレスポンスデータを生成できることになるからである。
【0024】
実際の登録を実行するもの(即ち登録装置)は、その後検証を行うもの(即ち認証装置)と必ずしも同一である必要はない点に留意されたい。例えば、銀行が中央集権的にデバイスを登録する一方、デバイスの検証は通常、銀行の支店で行われる。
【0025】
有利なことに、本発明は、処理能力の観点から低電力デバイスが限られたリソースを持つような環境における安全な認証プロトコルの用途を可能にする。特に、暗号化処理を実行するような用途である。更に、本発明の適用は、登録データのデータベースを維持する義務から認証装置を解放する。
【0026】
物理トークンを有するデバイスの登録は通常、ブートストラップ又は初期化モードにセットされるデバイスで実行される。その場合、デバイスは多数のセットのPUFレスポンスデータを復号化する。認証装置は、デバイスからレスポンスデータのセットを受信し、例えば、認証装置により保持される秘密対称鍵を用いて暗号化することによりそれらを秘密化する(conceal)。暗号化されたレスポンスデータのセットは、その後、PUFデバイスに格納され、ブートストラップモードが永久に不可能にされる。「レスポンスデータ」という用語は、PUFの実際の「生の」アナログレスポンスから得られるデジタルデータに関係するという点に留意されたい。レスポンスデータは、生のレスポンス自身のA/D変換で構成されることができるが、以下に説明されるように、ノイズ訂正されたレスポンスで構成されることもできる。当業者であれば、レスポンスデータを提供する多数の方法を予想することができるであろう。例えば、生のアナログレスポンスが、そこから適切に情報を抽出するよう処理されることができる。
【0027】
本発明の有利な実施形態において、レスポンスデータはノイズ訂正されたデータを有する。そのノイズ訂正されたデータは、物理トークンのレスポンスと、以下ヘルパーデータと呼ばれるノイズ訂正データとに基づかれる。ヘルパーデータは通常、安全な方法でノイズ耐性を提供するのに使用される。登録の間得られるレスポンスは、必ずしも、認証フェーズの間得られる(理論的には同一の)レスポンスと同一である必要はない。PUFレスポンスといった物理特性が測定されるとき、測定には常にランダムノイズが存在するものであり、その結果、同じ物理特性であるにも関わらず、別の測定では、アナログ特性をデジタルデータに変換する際の量子化処理の出力が異なる場合がある。こうして、PUFに対する同一のチャレンジは、必ずしも同じレスポンスを生み出すわけではない。ノイズに対する耐性を与えるため、ヘルパーデータが得られ、登録の間格納される。ノイズ耐性を実現するために認証の間ヘルパーデータが使用されることになる。ヘルパーデータは、公開データであると考えられ、レスポンスから得られる秘密の登録データに関する無視できる量の情報のみを公開する(reveal)。
【0028】
例示的なヘルパーデータスキームにおいて、ヘルパーデータW及び登録データSは、(W,S) = FG (R)が成り立つような何らかの適切な関数FGを介してPUFのレスポンスRに基づかれるものである。関数FGは、ヘルパーデータW及び登録データSの多くのペア(W,S)を1つのレスポンスRから生成することを可能にするランダム関数とすることができる。これは、登録データS(及びヘルパーデータW)が異なる登録認証機関に対して異なってよいことを可能にする。
【0029】
ヘルパーデータは、登録データ及びPUFのレスポンスに基づかれ、デルタ収縮関数(delta-contracting function)がレスポンスRとヘルパーデータWとに適用されるとき、その出力が登録データSに等しいよう選択される。デルタ収縮関数は、レスポンスに十分に似たデータの値が、結果として同じ出力値、即ち登録データと同一のデータを生じるよう、それがヘルパーデータの適切な値の選択を可能にするという特性を持つ。結果として、R'が十分な程度でRに似ている場合、G(R,W) = G(R',W) = Sが成立する。こうして、認証の間、ノイジーレスポンスR'が、ヘルパーデータWと共に、検証データS' = G(R',W)を生じさせ、これは、登録データSと同一である。ヘルパーデータWは、そのヘルパーデータを研究しても、登録データS又は検証データS'に関する情報が何ら明らかにされないよう構成される。
【0030】
ヘルパーデータスキームが利用される場合、認証装置は、登録フェーズにおいて、PUFデバイスから受信される生のレスポンスRからヘルパーデータWと登録データSとを構築する。その後、登録データは、暗号化され、(プレーンテキストの)ヘルパーデータと共にPUFデバイスに格納される。上述されたように、認証フェーズにおいて、PUFのレスポンスが、ヘルパーデータを用いてPUFデバイスで処理される。従って、ヘルパーデータが利用され、生のレスポンスRではない場合、認証装置に送られるレスポンスデータは、登録データSを有する。代わりにヘルパーデータが暗号化され、デバイスに格納されることができる点に留意されたい。その場合、暗号化されたヘルパーデータが認証フェーズにおいて認証装置に送られ、認証装置は、ヘルパーデータを復号化し、物理トークンを有するデバイスにプレーンテキストでそれを送る。
【0031】
有利なことに認証プロトコルの安全性を更に強化するため利用されることができる本発明の別の実施形態では、物理トークンを有するデバイスの登録の間、認証装置によりランダム番号xの形式で検証データが生成される。その後認証装置により番号xが暗号化され、署名され、トークンを有するデバイスに格納される。更に、xのハッシュ化されたコピーが好ましくはデバイスに格納される。認証フェーズにおいて、認証装置は、物理トークンを有するデバイスから署名付きの暗号化されたxを受信する。認証装置は署名をチェックする。署名が無効である場合、認証装置は、そのトークンが偽造品その他認証すべきでないものと考える。逆に、署名が有効である場合、認証装置は、暗号化されたxを復号化し、xをプレーンテキストでそのデバイスに送る。その後、そのデバイスは、xに不可逆関数を適用する。これは、例えばハッシュ関数といった、登録の間利用される不可逆関数と同じである。
【0032】
するとデバイスは、ハッシュ関数の出力とデバイスに格納されたハッシュ値とを比較する。ハッシュ値がマッチしない場合、デバイスは、その認証装置が未認証であると考え、認証プロトコルの次のステップには進まないことになる。次のステップとは、レスポンスデータを取得し、それを認証装置から得られるレスポンスデータと比較するステップである。
【0033】
本発明の更なる実施形態においては、認証されるデータ、即ちレスポンスデータと検証データとが、登録フェーズにおいて有効なデジタル署名を具備することができる。その後認証の間、認証装置は、暗号化されたレスポンスデータと検証データとが有効な署名を具備するかをチェックする。もし具備していない場合、そのプロトコルは中止される。なぜなら、適切なプロトコル安全性が保証されることができないからである。
【0034】
更に別の実施形態においては、物理トークンが、その物理トークンが含まれるデバイスに暗号的にバインドされる(cryptographically bound)。物理トークンが紙幣に配置されるRFIDタグに含まれると仮定する。すると、例えば紙幣のシリアル番号をPUFにバインドすることが可能である。これを実行する1つの方法は、暗号状態の(under encryption)1つ又は両方のPUFレスポンスにシリアル番号を追加することである。この実施形態の利点は、1つの紙幣からRFIDタグを除去し、それを別の紙幣に埋め込むことが、結果として、認証装置により容易に検出されることができるミスマッチを引き起こすことである。
【発明を実施するための最良の形態】
【0035】
添付の特許請求の範囲及び以下の詳細な説明を研究すれば、本発明の追加的な特徴及び利点が明らかとなるであろう。当業者は、以下に述べられる以外の実施形態を作成するため、本発明の異なる特徴が結合される点を理解されたい。PUFを有するRFIDタグを備えた紙幣が被認証側の例示として、銀行が認証側の例示として使用されるが、本発明は、安全な認証プロトコルが使用されることができる多くの環境に適用されることができる点を理解されたい。上述されたように、トークンは、例えば、無線周波数信号を用いて、又はアクセスされるデバイスの有線インタフェース(例えばUSB)を介して通信を行うスマートカードに含まれることができる。PUFは、スマートカード、SIMカード、クレジットカード、紙幣、有価証券、RFID(無線周波数識別子)タグ、セキュリティカメラ等の幅広い範囲の対象物及びデバイスを認証するのに使用されることができる。
【0036】
本発明の好ましい実施形態の詳細な説明が、対応する図面を参照して以下に与えられることになる。
【0037】
図1は、本発明の実施形態による認証のための測定可能なパラメタを提供する物理トークン102を有する例えばRFIDタグ等のデバイス101である。物理クローン不可関数(PUF)とも呼ばれる物理トークンは、デバイス101を覆うコーティング、又はそのコーティングの一部の形式で実現されることができる。コーティングには、誘電粒子が散在している。これらの粒子は通常、異なる誘電定数を持ち、ランダムなサイズ及び形状をしている。異なるコーティング位置で容量値を局所的に測定し、それにより、どのセンサ要素が読まれるかに応じて異なるレスポンスデータを作成するため、センサ要素103がRFIDタグに配置される。誘電粒子のランダムな性質の結果として、測定される容量値は優秀な暗号化素材となる。
【0038】
更に、アナログ容量値をビットストリングに変換するn個のA/Dコンバータ104がRFIDタグに含まれる。ビットストリングから暗号データが取得されることができる。「シリコンPUF」として知られるPUFが存在する点に留意されたい。これは、非常にデジタルフォーマットに近い生(raw)データを生成する。この生データは、完全にデジタルであるかのように処理されることができる。その場合、デバイス101にA/Dコンバータが含まれる必要がない。
【0039】
デバイス101は通常、データが入る入力部と、データが出る出力部とを具備する。RFIDタグの場合、データは、アンテナ105及びRFインタフェース109を介して入力/出力される。デバイス101は通常、中間特性のデータ(例えば、センサから得られるレスポンスデータ)を格納するためRAM106と、永久特性のデータ(例えば暗号化されたレスポンスデータ、ノイズ訂正データ、及び登録フェーズで格納される他のデータ)を格納するためのROM107との形式でメモリを有する。
【0040】
PUF102の実現のため、RFIDタグ101においては、以下の条件
(a) 低電力デザインである点(「オンボード」のバッテリなし、電力供給は外部電磁場から取得されなければならない)、
(b) 比較的高速回路が使用されるべきである点(例えば紙幣の高速高ボリュームチェック)、及び
(c) IC処理及びシリコン領域コスト要件
が満たされなければならない。
【0041】
現在RFIDタグは、CMOS IC処理で作られる。なぜなら一般に、CMOSは低コストで済み、この技術だと低電力回路デザインが可能であり、及びこうした処理がメモリ回路を埋め込むのに適しているからである。
【0042】
こうしたデザイン条件のため、マイクロプロセッサが、RFIDタグといった低コスト、低電力デバイスに埋め込まれることはできない。従って、本発明により可能とされる比較的簡単な暗号計算は、「ハードワイヤード」な暗号回路、即ち、低電力の標準的な論理ゲート(論理NANDおよびNOR関数)により実行されることができる。いったん、これらの数学的な暗号関数が、例えばVHDL(超高速集積回路ハードウェア記述言語)フォーマットで記述されれば、今日では、配置及びルートデザインツールにより、ハードワイヤード回路が自動的に生成されることができる。通常、ハッシュ関数を計算するといった処理を実行する暗号回路が、ブロック108により表わされる。VHDLを用いて実現される回路は、ASIC(特定用途向け集積回路)、FPGA(フィールドプログラム可能ゲートアレイ)、CPLD(結合プログラム可能論理デバイス)等といった論理デバイスで実現される。
【0043】
図1に示されるデバイス101が、登録装置/認証装置で登録される登録フェーズにおいて、物理トークン102を有するデバイスが、ブートストラップ又は初期化モードにセットされる。以下、図1に基づき銀行がRFIDタグを登録すると仮定する。その後そのタグは、例えば紙幣に含まれることになる。ブートストラップモードにおいて、そのデバイスは、少なくとも2つのセットのPUFレスポンスデータR1、R2を示す(reveal)。これらのデータは、センサ103により実行される容量測定に基づかれる。銀行は、デバイスからレスポンスデータR1、R2を受信し、例えば、銀行により保持される暗号化鍵K(対称又は非対称)を用いて暗号化することによりそれらを秘密化する。従って、暗号化されたレスポンスデータのセットEK(R1)、EK(R2)が、ROM107に格納され、ブートストラッピングモードが永久に不可能にされる。
【0044】
本発明の実施形態において、銀行は、その銀行により保持される秘密鍵(private key)を用いて、暗号化されたレスポンスデータのセットEK(R1)、EK(R2)にデジタル署名を与える。署名は、以下$EK(R1)、$EK(R2)で表される。銀行により署名を与えることは、本発明の認証プロトコルを実行するにあたり重要ではない。しかしながら、安全性の観点から認証プロトコルを実質的に強化することが好ましい。
【0045】
図2を参照すると、認証フェーズにおいて、銀行210の形式である認証者においてデバイス201が認証されるとき、ステップ220において、署名付きの暗号化されたレスポンスデータの第1のセット$EK(R1)が、銀行に与えられる。認証されるデバイスは、紙幣に含まれるRFIDタグ、又は図2に示されるように、銀行の顧客211がお金を引き出したいとき現金自動預け払い機(ATM)212に挿入して使うキャッシュカード201とすることができる。ステップ221において、銀行は、有効な署名が与えられたかをチェックし、有効であれば、暗号化されたデータを復号して、ATM212を介してキャッシュカード201に、結果として生じるプレーンテキストR1を送る。
【0046】
プレーンテキストのレスポンスデータR1を受信するとき、デバイス201は、登録の間レスポンスデータR1を得るのに利用されたチャレンジを用いてその物理トークンにチャレンジする。こうしてレスポンスデータの別のセットR1'が得られ、銀行210から受信されるレスポンスデータR1と比較される。2つのレスポンスデータセットの比較は、よく知られた比較スキームを利用することにより行われることができる。その比較スキームでは、2つのデータセット間の距離の大きさが計算される。例えば、ハミング距離又はユークリッド距離が計算される。2つのデータセット間に対応関係があれば(即ち、計算された距離が所定の閾値を超えないならば)、銀行は、銀行に送られた暗号化されたレスポンスデータ$EK(R1)を復号できること、及び、銀行が、対応する復号鍵に対するアクセス権を持っていたに違いないことが確認されたことになる。ここでキャッシュカードは銀行と通信するよう誘導されるので、認証プロトコルの次のステップに進む。
【0047】
この次のステップにおいて、デバイス201は、登録の間デバイスに署名付きで暗号化され格納される第2のセットのレスポンスデータを得るのに使用された第2のチャレンジを用いて、PUFにチャレンジする。ステップ223において、デバイスは、レスポンスデータの第2のセットR2'と登録フェーズでデバイスに格納された、署名付きで暗号化されたレスポンスデータ$EK(R2)とをATM212を介して銀行210に送る。銀行は、署名が有効かをチェックし、有効であれば、暗号化されたデータを復号化する。その後、銀行は、レスポンスデータの2つのセットR2、R2'を(例えばハミング距離計算を用いて)比較する。レスポンスデータの2つのセットR2、R2'間に対応関係が存在すれば、デバイス201が銀行210で認証される。なぜなら、銀行により暗号化され、登録フェーズの間デバイスに格納されたレスポンスデータに対応するレスポンスデータを銀行が明らかに生み出すことができるからである。
【0048】
本発明の別の実施形態では、以前に論じられたように、認証プロトコルに対する安全性を提供するために更なるパラメタが使用される。登録の間、デバイスがブートストラップモードにセットされるとき、ノイズ訂正データ/ヘルパーデータW及び登録データSが、(W,S) = FG (R)が成立するような何らかの適切な関数FGを介してPUFのレスポンスRに基づき作成される。その後、登録データSの形式でのレスポンスデータが署名付きで暗号化され、ヘルパーデータWと共にPUFデバイスに格納される。更に、銀行は、ランダム番号xの形式で検証データを生成する。その後番号xは、暗号化され署名され、デバイスに格納される。更に、xのハッシュされたコピーH(x)が好ましくはデバイスに格納される。こうして、この特定の実施形態において、デバイスは、$EK(S1)、$EK(S2)、$EK(x)、W、H(x)をROMに格納する。その後、ブートストラップモードが永久に不可能にされる。
【0049】
図2を参照すると、認証フェーズにおいて、銀行210の形式である認証者においてデバイス201が認証されるとき、ステップ220において、署名付きの暗号化されたレスポンスデータの第1のセット$EK(S1)が、署名付きで暗号化されたランダム番号$EK(x)と共に銀行に与えられる。認証されるデバイスは、銀行顧客211が預金機212を介して銀行に預金する紙幣に含まれるRFIDタグとすることができる。ステップ221で、銀行は、有効な署名が与えられたかをチェックし、有効であれば、暗号化されたレスポンスデータとランダム番号とを復号し、結果として生じるプレーンテキストデータS1及びxを預金機212に位置する紙幣201に送る。
【0050】
プレーンテキストデータS1及びxを受信するとき、デバイス201は、ランダム番号xにハッシュ関数を適用する。結果として生じるハッシュ値H(x)が、デバイス201のROMに格納されたハッシュ値H(x)に対応する場合、そのデバイスは、レスポンスデータR1を得るため登録の間に利用されたチャレンジを用いて物理トークンにチャレンジするステップに進む。受信された登録データS1は、レスポンスデータR1に基づかれる。他方、ハッシュ値が互いに一致しない場合、認証プロトコルは終了する。トークンは、生のレスポンスR1'を出力し、デバイス201は、レスポンスデータS1'を生成するためデバイスのROMに格納されるノイズ訂正ヘルパーデータWを用いる。レスポンスデータS1'は、銀行210から受信されるレスポンスデータS1と比較され、2つのセット間に対応関係があれば、銀行は、暗号化されたレスポンスデータ$EK(S1)を復号化するのに必要な復号鍵へのアクセスを持っていたに違いないことになる。
【0051】
その後、デバイス201は、登録の間第2のセットのレスポンスデータを得るのに使用された第2のチャレンジを用いて、PUFにチャレンジする。第2のセットのレスポンスデータは、署名付きで暗号化されてデバイスに格納される。デバイスは、第2のセットのレスポンスデータS2を作成するため、格納されたヘルパーデータを用いて、取得された生のレスポンスR2を処理する。デバイスは、ステップ223で、第2のセットのレスポンスデータS2'と登録フェーズにおいてデバイスに格納された、署名付きで暗号化されたレスポンスデータ$EK(S2)とを紙幣が位置する預金機212を介して銀行210に送信する。銀行は、署名が有効かをチェックし、有効であれば、暗号化されたレスポンスデータを復号化する。銀行は、その後、レスポンスデータの2つのセットS2、S2'を(例えばハミング距離計算を用いて)比較する。レスポンスデータの2つのセットS2、S2'間に対応関係が存在すれば、デバイス201が銀行210で認証される。なぜなら、銀行により暗号化され、登録フェーズの間デバイスに格納されたレスポンスデータに対応するレスポンスデータを銀行が明らかに生み出すことができるからである。
【0052】
他の用途におけるユーザ211が、物理トークンを有するデバイス201を介して、銀行210と直接通信できることに留意されたい。しかしながら、銀行210は通常、何らかの種類のデバイスリーダ(例えばATM212)を有する。そのリーダを介して、ユーザ211は、銀行と通信する。一般に、デバイスリーダ212は、非常に受動的なデバイスであり、これは通常、ユーザと、そのユーザが認証ラウンドを実行したい認証機関との間のインタフェースとして機能する。
【0053】
本発明の更なる実施形態では、上述されたように、物理トークンが、その物理トークンが含まれるデバイスに暗号的にバインドされることができる。この暗号的バインディングは、そのトークンが含まれるデバイスの識別子と物理トークンのレスポンスデータとを関連付け、及びその関連付けにより作成されたデータを暗号化し、デバイスにそれを格納することにより実現されることができる。例えば、登録の間、物理トークンが含まれるデバイスを統合する紙幣のシリアル番号にレスポンスデータが連結されることができる。その後、レスポンスデータ及びシリアル番号データは、例えば署名され、暗号化される。これは、$EK(S2,シリアル番号)を生じさせる。この暗号化されたデータは、その後、紙幣に格納され、従って、その中の物理トークンが、紙幣に暗号的にバインドされる。この実施形態を研究する当業者であれば理解されるように、バインディングを実現する多数の代替例が可能である。例えば、生成されたランダム番号xが、シリアル番号に結合され、その結合されたデータがハッシュされ、結果としてH(x,シリアル番号)を生じるよう構成されることができる。
【0054】
ヘルパーデータも暗号化され、登録の間デバイスで格納されることができる。こうして、例えば、$EK(x,W)を格納することにより、攻撃者が認証プロトコルを解読する(break)ことは更に困難になる。更に、ハッシュ化されたランダム番号H(x)が、登録の間暗号化されてデバイスに格納されることができる。$EK(H(x))を格納することは、プロトコルの安全性を向上させるのに取られる追加的な手段である。
【0055】
安全性を強化するために更に取られる手段は、認証プロトコルに完全性を与えることである。完全性を与えることにより、プロトコルの認証された通信相手だけが、交換されたデータを修正する能力を持つ。攻撃者が、認証済みの通信相手間で送信されたデータを修正しようと試みるとしても、認識されないまま行われることはない。完全性の提供は、登録フェーズにおいて、例えば、ハッシュ化されたランダム番号H(x)に結合されるレスポンスデータR1にハッシュ関数を適用することを登録装置に行わせることにより実現されることができる。これは、ハッシュ化されたデータH(R1||H(x))を生じさせる。その後、ハッシュ化されたデータは、被認証側のデバイスに格納され、ブートストラップモードが不可能にされる。ここで、R1又はH(x)のいずれか(又はその両方)が、被認証側と認証側との間での転送の間に操作されると、そのデバイスにより計算されるハッシュ値H(R1||H(x))が、登録の間デバイスに格納される値と異なることになり、こうして操作が発見されることになる。
【0056】
PUFの特性は、例えば、機械的衰弱により時間とともにゆっくりと変化することができる。これは、認証装置がPUFを誤って拒絶するという効果を持つ可能性がある。結果として、PUF特性が時間と共に変化するとき、PUFを有するデバイスに登録の間格納されるパラメタが更新されることができることが有利である。
【0057】
図2を再度参照すると、登録の間デバイスに格納されたパラメタの更新を可能とする本発明の実施形態において、ステップ223で、認証装置210は、第2のセットのレスポンスデータR2'と登録フェーズにおいてデバイスで格納された署名付きの暗号化されたレスポンスデータ$EK(R2)とをデバイス201から受信する。PUF特性が変化した場合、認証の間に得られる第2のセットのレスポンスデータR2'が、登録の間に得られる対応するレスポンスデータR2と異なり、そのデバイスが(誤って)拒絶されることになる可能性がある。この可能性のある問題を克服するために、認証装置は、受信されたR2'を暗号化して署名することにより、(デバイスにおけるPUF特性ドリフトの程度に基づき多かれ少なかれ連続する態様で)更新を行う。これは、$E(R2')を生じさせ、登録の間デバイスに格納された$E(R2)を$E(R2')で置き換えることを生じさせる。認証装置が登録装置でもある場合、暗号化されたレスポンスデータの署名だけが認証装置により行われる点に留意されたい。更に、認証装置が、受信されたプレーンテキストデータR2'と暗号化されたレスポンスデータ$EK(R2)とを用いてデバイスを認証することができる場合にのみ、更新は許可される。
【0058】
登録の間デバイスに格納されたパラメタの更新を更に改善するために、認証装置210は、ステップ220でデバイス201から受信される、登録の間にデバイスに格納された暗号化されたレスポンスデータの第1のセット$EK(R1)も更新する。上述された本発明の好ましい実施形態の説明において、認証装置は、第1のセットのレスポンスデータR1を更新することはできない。なぜなら、この第1のセットは、そのデバイスによって復号化されていないからである。更に、認証装置は、2番目のとき、そのデバイスを「ブートストラップモード」にすることはできない。従って、ステップ223において、デバイス201は、プレーンテキストデータR2'及び暗号化されたレスポンスデータ$EK(R2)と共に、取得されたレスポンスデータR1'を送る。以前の実施形態同様、認証装置は、受信されたR2'を暗号化し署名することにより更新を行う。これは、$E(R2')を生じさせ、認証装置が、受信されたプレーンテキストデータR2'と暗号化されたレスポンスデータ$EK(R2)とを用いてデバイスを認証することができる場合、登録の間デバイスに格納された$E(R2)を$E(R2')で置き換えることを生じさせる。ここで、認証装置は、受信されたR1'も暗号化し、署名することができる。これは、$E(R1')を生じさせ、登録の間デバイスに格納された$E(R1)を$E(R1')で置き換えることを生じさせる。これが安全性を低下させることはない。なぜなら、ステップ221で、認証装置がR1'に十分な程度まで似ているレスポンスデータのセットR1を知っていることが示される場合、ステップ223でデバイス201は、認証装置210にレスポンスデータR1'のみを送信することになるからである。ここでも、認証装置が、受信されたプレーンテキストデータR2'と暗号化されたレスポンスデータ$EK(R2)とを用いてデバイスを認証することができる場合にのみ、更新は許可される。
【0059】
本発明は、特定の例示的な実施形態を参照して説明されてきたが、多くの異なる変形、修正その他が当業者には明らかであろう。従って、記載される実施形態は、本発明の範囲を限定するものとして意図されるものではなく、添付された特許請求の範囲により規定されるものである。
【図面の簡単な説明】
【0060】
【図1】本発明の実施形態による物理トークンを有するデバイスを示す図である。
【図2】RFIDタグを有する紙幣が銀行で認証される、本発明の例示的な実施形態を示す図である。
【技術分野】
【0001】
本発明は、物理トークンを有するデバイスを認証装置で認証する方法、認証を実行するシステム及び測定可能なパラメタを与える物理トークンを有するデバイスに関する。
【背景技術】
【0002】
物理クローン不可関数(Physical Uncloneable Function)(PUF)は、仲間(parties)が共有された秘密を確立することのできる、改ざん防止環境を構築するのに使用される構造である。PUFは、物理トークンであり、その物理トークンに、チャレンジと呼ばれる入力が与えられる。チャレンジがPUFに与えられると、PUFはレスポンスと呼ばれるランダムなアナログ出力を生み出す。その複雑さと、準拠する物理法則とにより、トークンは「クローン不可」、即ち、物理的に複製すること、及び/又は計算機的にモデル化することができないものと考えられる。PUFはときどき、物理ランダム関数(Physical Random Function)とも呼ばれる。制御関数と組み合わされると、PUFはかなり強化されることができる。実際には、PUF及びPUFと切り離すことのできないアルゴリズムが、改ざん防止チップに含まれる。PUFは、そのアルゴリズムを介してのみアクセスされることができ、そのアルゴリズムをバイパス又は操作しようとするすべての試みは、PUFを破壊することになる。ハードウェア、ソフトウェア又はこれらの組み合わせにより実現されるアルゴリズムは、PUFの入力及び出力を支配する。例えば、PUFへの頻繁なチャレンジが禁止される、特定のクラスのチャレンジが禁止される、PUFの物理出力が暗号化される(hidden)、暗号化により保護されたデータだけが復号化される(reveal)、等である。斯かる手段は、十分にセキュリティを強化する。なぜなら、攻撃者は、思い通りにPUFにチャレンジすることができず、レスポンスを解釈することもできないからである。この種のPUFは、制御されたPUF(CPUF)と呼ばれる。
【0003】
PUFの例は、ランダムな位置に光散乱器を含む3D光学媒体である。入力、即ちチャレンジは、例えば、PUFを照らすレーザビームの入射角とすることができ、出力、即ちレスポンスは、特定の入射角の結果として光散乱により生成されるスペックルパターンとすることができる。このレスポンスは、カメラを用いて検出されることができ、暗号化鍵へと量子化されることができる。
【0004】
暗号化鍵素材の源として使用されることができるPUFを作成する別の方法は、誘電粒子が散在されるコーティングで集積回路(IC)を覆うことである。これらの粒子は通常、異なる誘電定数を持ち、製造工程が原因で多かれ少なかれランダムな形状、寸法及び位置を持つ。異なるコーティング位置での容量値を局所的に測定するため、センサ要素がICの上部金属層に配置される。この例では、コーティング自身が物理クローン不可関数を構成する。誘電粒子のランダムな性質の結果として、測定される容量値は優秀な鍵素材となる。コーティングの形式でPUFを備えるICは、容量を測定し、その容量値をビットストリングに変換する。そのビットストリングから、暗号化鍵が得られる。
【0005】
登録フェーズでは、チャレンジがPUFに与えられ、これは、そのチャレンジに対するユニークで予測不可能なレスポンスを生み出す。チャレンジ及び対応するレスポンスは、認証が次々と行われることになる認証装置に格納されることができる。通常、認証フェーズでは、認証装置が、証明を要する相手(a proving party)に登録フェーズで格納されたチャレンジを与える。その証明を要する相手が、そのチャレンジに対するレスポンス、しかも、登録フェーズで格納されたレスポンスと一致するレスポンスを戻すことができるならば、その証明を要する相手は、共有された秘密へのアクセスが可能であることを示したことになり、認証装置により認証される。登録フェーズ及び認証フェーズは、共有される秘密、即ち、レスポンスが表に出ることなく(without revealing)行われるべきである。これは通常、暗号化を用いて安全な通信路を設定することを含む。逆の状況も従来技術において知られている。PUFを具備するプロセッサは、そのPUFの以前の測定に関する情報を持つユーザと通信していることを検証することができる。こうして、PUFを備えるデバイスは、そのデバイスに対するアクセスを求めているユーザを認証することができる。
【0006】
PUFは、例えば、ユーザ自身を認証するため、及び特定のデータ、サービス又はデバイスへのアクセス権を取得するため、そのユーザにより用いられるトークンにおいて実現されることができる。トークンは例えば、無線周波数信号を用いて、又はアクセスされるデバイスの有線インタフェース(例えばUSB)を介して通信を行うスマートカードを有することができる。例えばスマートカード、SIMカード、クレジットカード、紙幣、有価証券、RFID(無線周波数識別子)タグ、セキュリティカメラ等の幅広い範囲の対象物及びデバイスを認証するのにPUFが使用されることができる。こうして、PUFは、例えばDRM(デジタル著作権管理)、コピープロテクション、ブランドプロテクション、及び偽造品発見といった用途に好適である。更に、PUFは、改ざんの証拠を見つける安価な方法を提供する。
【発明の開示】
【発明が解決しようとする課題】
【0007】
理想的には、PUFベースの認証プロトコルが以下の特性をすべて満足すべきである。
【0008】
1.識別能力:一意にPUFを識別するようPUF同士の特性間には十分な差が存在しなければならない。
【0009】
2.安全性:PUFから得られる秘密鍵は保護されなければならない。秘密鍵が危険にさらされると、攻撃者は、PUFデバイスのふりをすることができる(なりすまし、偽造、ID盗難等)。これらの秘密は、PUFデバイスを攻撃しようとする盗聴者、悪意ある認証者/第三者及びハッカーから保護されなければならない。
【0010】
3.ノイズ耐性:すべてのPUF測定は、ある程度ノイジー(noisy:ノイズを含む)である。暗号化処理がPUF出力に適用される場合、エラー訂正コードが通常最初に適用されなければならない。なぜなら、暗号化関数の実際のタスクは、それに与えられる入力を歪めることだからである。エラー訂正なしでは、入力データにおける小さな不一致が、出力データにおける大きな不一致を生じさせる。
【0011】
4.低コスト:認証者により使用されるアプライアンス(例えば、ATM装置)は一般に、高価であることが許される。しかしながら、認証されるべき相手により使用されるデバイス(例えば、ATMキャッシュカード)は安価でなければならない。
【0012】
RFIDタグは安価な識別子として使用され、バーコードを置き換えるものと予想される。最も簡単なタグは、識別番号(ID)と電子製造コード(EPC)とだけを含む。しかしながら、幾分より高価なタグは、例えば、PINコード、何らかの追加のメモリ、及び控え目な量の計算能力も含むことができる。RFIDタグを認証及び偽造防止目的、例えば紙幣の偽造発見に使用されることが提案されてきた。
【0013】
多くの用途は、認証プロトコルが、上記に与えられる必要な認証プロトコル特性を満たすことに加え、低電力デバイスで実行されることができることを要求する。その例は、埋め込みPUFを備えるRFIDタグ、一体化された指紋センサを備えるスマートカード、「電子ダスト(electronic dust)」用途等である。こうしたデバイスは、控え目な計算処理能力を持ち、一般に暗号、復号、署名、及び署名チェックといった暗号化処理を実行するにはあまりに貧弱である。更に、これらのデバイスは通常、あまりに貧弱なため、ノイジーな測定に関してエラー訂正アルゴリズムを実行することができない。しかしながら、一般に、ランダム番号を生成し、ハッシュ関数を計算するには十分な能力を持つ。従来技術における課題は、AES、DES、RSA、ECCといったエラー訂正及び暗号化アルゴリズムが使用できないような低電力デバイスを使用するとき、いかに安全性を確保するかという点にあった。
【0014】
膨大な量の紙幣検証といったいくつかの用途では、速度が重要な要件となる。暗号化処理に伴う問題は、暗号化処理がかなりの量のプロセッサ時間を必要とする点にある。
【0015】
更に、登録測定のデータベースを維持することが、認証者にとっては負担となっている。多数のPUFの記録を保持するとき、データベースの必要性を完全に回避することが明らかに有利である。
【0016】
本発明の目的は、上述した従来技術における問題のいくつかを克服することにある。特に、本発明の目的は、暗号、復号、署名、署名チェック、及びエラー訂正処理といった暗号化処理をノイジー測定に対して実行するのに十分な処理能力を持たない低電力デバイスでも実行されることができる安全な認証プロトコルを提供することにある。本発明の更なる目的は、認証装置が物理トークンに対する登録測定データベースを維持する必要のない安全な認証プロトコルを提供することにある。
【課題を解決するための手段】
【0017】
これらの目的は、請求項1に記載の認証装置で物理トークンを認証する方法、請求項19に記載の認証を実行するシステム、及び請求項25に記載の測定可能なパラメタを与える物理トークンを有するデバイスにより達成される。
【0018】
本発明の第1の側面によれば、認証装置で物理トークンを認証する方法が与えられる。その方法は、認証装置で、暗号化された(concealed)第1のセットのレスポンスデータを上記デバイスから受信するステップであって、上記レスポンスデータが、上記物理トークンから取得され、登録の間、上記デバイスに暗号化されて格納される、ステップと、上記暗号化されたレスポンスデータを復号化し(revealing)、上記デバイスに送信するステップとを有する。その方法は更に、上記デバイスで、上記第1のセットのレスポンスデータを得るのに利用された第1のチャレンジを用いて、レスポンスデータを得るため上記物理トークンにチャレンジし、上記認証装置から受信される上記第1のセットのレスポンスデータと上記取得されるレスポンスデータとを比較するステップと、上記取得されるレスポンスデータが、上記認証装置から受信される上記第1のセットのレスポンスデータに対応する場合、上記物理トークンから第2のセットのレスポンスデータを得るのに利用された第2のチャレンジを用いて上記物理トークンにチャレンジするステップであって、上記第2のセットは、レスポンスデータを得るため、登録の間、上記デバイスに暗号化されて格納される、ステップとを有する。その後、上記暗号化された第2のセットのレスポンスデータと、上記第2のチャレンジから得られる上記レスポンスデータとが認証装置に送信され、その認証装置は、上記暗号化された第2のセットのレスポンスデータを復号化し、上記第2のチャレンジから得られる上記レスポンスデータを上記第2のセットのレスポンスデータと比較する。上記2つのデータセット間に対応関係がある場合、上記デバイスが認証されたと考えられる。
【0019】
本発明の第2の側面によれば、認証を実行するシステムが提供される。そのシステムは、認証装置と、物理トークンを有するデバイスとを有する。そのシステムでは、上記認証装置が、上記物理トークンから得られ、登録の間上記デバイスに暗号化されて格納されるレスポンスデータの第1のセットを上記デバイスから受信し、上記暗号化されたレスポンスデータを復号化し、上記デバイスに送信するよう構成される。そのデバイスは、上記第1のセットのレスポンスデータを得るために利用された第1のチャレンジを用いて上記物理トークンにチャレンジすることによりレスポンスデータを取得し、上記認証装置から受信される上記第1のセットのレスポンスデータを上記取得されたレスポンスデータと比較し、上記取得されたレスポンスデータが、上記認証装置から受信される上記第1のセットのレスポンスデータに対応する場合、第2のセットのレスポンスデータを得るのに利用された第2のチャレンジを用いて上記物理トークンにチャレンジすることにより、上記物理トークンからレスポンスデータを取得するよう構成される。その第2のセットは、登録の間上記デバイスに暗号化されて格納される。更に、そのデバイスは、上記暗号化された第2のセットのレスポンスデータと上記第2のチャレンジから得られるレスポンスデータとを上記認証装置に送るよう構成される。上記認証装置は、上記暗号化された第2のセットのレスポンスデータを復号化し、上記第2のセットのレスポンスデータを上記第2のチャレンジから得られるレスポンスデータと比較するよう構成され、上記2つのデータセット間に対応関係が存在する場合、上記デバイスが認証されたと考えられる。
【0020】
本発明の第3の側面によれば、測定可能なパラメタを与える物理トークンを有するデバイスが提供される。そのデバイスは、上記物理トークンにより与えられる上記パラメタを測定するセンサ要素と、与えられるデータを不可逆関数において処理する論理回路と、上記デバイスの登録の間上記物理トークンから得られる暗号化されたレスポンスデータを格納する少なくとも1つのメモリと、外部回路と通信する通信手段とを更に有する。
【0021】
本発明の基本的なアイデアは、物理クローン不可関数(PUF)の形式で物理トークンを有する例えばRFIDタグといった低電力デバイスが、暗号化処理又は処理能力の観点から負担の大きい他の処理から解放されるような安全な認証プロトコルを提供することにある。このため、認証されることになるPUFデバイスが、実際に認証された認証装置から問い合わせを受けているかどうかを確認する。例えば、PUFを有するRFIDタグが、銀行が認証を行いたい紙幣に配置されることができる。この認証は、暗号化されたデータを復号化する銀行のユニークな能力に基づかれる。暗号化されたデータは、例えば、そのRFIDタグ(又は実際にはPUF)が銀行に登録される登録フェーズにおいて作成されたデータである。以下、認証側は、銀行の形式で例示され、被認証側、即ち、正当性の証明を行う側(a proving party)は、PUFを有するRFIDタグを備える紙幣の形式で実現される。データの暗号化は、対称又は非対称な暗号化を用いて実現されることができ、データの復号化は、それに応じた復号化を用いて実現される。
【0022】
詳細には、銀行は、RFIDタグから暗号化された第1のセットのレスポンスデータを受信する。このレスポンスデータは、以前にRFIDタグのPUFから得られたものであり、銀行により暗号化され、登録の間にタグに格納される。その後、銀行は、暗号化されたレスポンスデータを復号化し、プレーンテキストでタグに送る。タグは、レスポンスデータを得るため、登録された第1のセットのレスポンスデータを得るのに使用したチャレンジを用いてそのPUFにチャレンジし、その得られたレスポンスデータを認証装置から受信される第1のセットのレスポンスデータと比較する。得られたレスポンスデータが、銀行から受信される第1のセットのレスポンスデータに対応する場合、銀行に送られた暗号化されたレスポンスデータを銀行が復号化することができる点、及び例えば復号鍵といった暗号化されたレスポンスデータを復号化する手段へのアクセスを銀行が持っていたに違いない点が確認されたことになる。ここでRFIDタグは、銀行(又は実際に復号鍵を所有する何らかの認証された通信相手)と通信するよう誘導されるので、認証プロトコルの次のステップへと進む。
【0023】
ここで、レスポンスデータを作成するため、物理トークンの第2のセットのレスポンスデータを取得するのに以前使用されたチャレンジを用いてRFIDタグは再度PUFにチャレンジする。その第2のセットは、認証装置/登録装置により暗号化され、登録の間にトークンに格納される。暗号化された第2のセットのレスポンスデータと第2のチャレンジから得られるレスポンスデータとが認証装置に送られる。認証装置は、暗号化された第2のセットのレスポンスデータを復号化し、その復号化された第2のセットのレスポンスデータを第2のチャレンジから得られるレスポンスデータと比較する。対応関係があれば、その物理トークンを有するデバイスが認証されたと考える。なぜなら、そのデバイスは、登録フェーズで暗号化されて格納されたレスポンスデータに対応するレスポンスデータを生成できることになるからである。
【0024】
実際の登録を実行するもの(即ち登録装置)は、その後検証を行うもの(即ち認証装置)と必ずしも同一である必要はない点に留意されたい。例えば、銀行が中央集権的にデバイスを登録する一方、デバイスの検証は通常、銀行の支店で行われる。
【0025】
有利なことに、本発明は、処理能力の観点から低電力デバイスが限られたリソースを持つような環境における安全な認証プロトコルの用途を可能にする。特に、暗号化処理を実行するような用途である。更に、本発明の適用は、登録データのデータベースを維持する義務から認証装置を解放する。
【0026】
物理トークンを有するデバイスの登録は通常、ブートストラップ又は初期化モードにセットされるデバイスで実行される。その場合、デバイスは多数のセットのPUFレスポンスデータを復号化する。認証装置は、デバイスからレスポンスデータのセットを受信し、例えば、認証装置により保持される秘密対称鍵を用いて暗号化することによりそれらを秘密化する(conceal)。暗号化されたレスポンスデータのセットは、その後、PUFデバイスに格納され、ブートストラップモードが永久に不可能にされる。「レスポンスデータ」という用語は、PUFの実際の「生の」アナログレスポンスから得られるデジタルデータに関係するという点に留意されたい。レスポンスデータは、生のレスポンス自身のA/D変換で構成されることができるが、以下に説明されるように、ノイズ訂正されたレスポンスで構成されることもできる。当業者であれば、レスポンスデータを提供する多数の方法を予想することができるであろう。例えば、生のアナログレスポンスが、そこから適切に情報を抽出するよう処理されることができる。
【0027】
本発明の有利な実施形態において、レスポンスデータはノイズ訂正されたデータを有する。そのノイズ訂正されたデータは、物理トークンのレスポンスと、以下ヘルパーデータと呼ばれるノイズ訂正データとに基づかれる。ヘルパーデータは通常、安全な方法でノイズ耐性を提供するのに使用される。登録の間得られるレスポンスは、必ずしも、認証フェーズの間得られる(理論的には同一の)レスポンスと同一である必要はない。PUFレスポンスといった物理特性が測定されるとき、測定には常にランダムノイズが存在するものであり、その結果、同じ物理特性であるにも関わらず、別の測定では、アナログ特性をデジタルデータに変換する際の量子化処理の出力が異なる場合がある。こうして、PUFに対する同一のチャレンジは、必ずしも同じレスポンスを生み出すわけではない。ノイズに対する耐性を与えるため、ヘルパーデータが得られ、登録の間格納される。ノイズ耐性を実現するために認証の間ヘルパーデータが使用されることになる。ヘルパーデータは、公開データであると考えられ、レスポンスから得られる秘密の登録データに関する無視できる量の情報のみを公開する(reveal)。
【0028】
例示的なヘルパーデータスキームにおいて、ヘルパーデータW及び登録データSは、(W,S) = FG (R)が成り立つような何らかの適切な関数FGを介してPUFのレスポンスRに基づかれるものである。関数FGは、ヘルパーデータW及び登録データSの多くのペア(W,S)を1つのレスポンスRから生成することを可能にするランダム関数とすることができる。これは、登録データS(及びヘルパーデータW)が異なる登録認証機関に対して異なってよいことを可能にする。
【0029】
ヘルパーデータは、登録データ及びPUFのレスポンスに基づかれ、デルタ収縮関数(delta-contracting function)がレスポンスRとヘルパーデータWとに適用されるとき、その出力が登録データSに等しいよう選択される。デルタ収縮関数は、レスポンスに十分に似たデータの値が、結果として同じ出力値、即ち登録データと同一のデータを生じるよう、それがヘルパーデータの適切な値の選択を可能にするという特性を持つ。結果として、R'が十分な程度でRに似ている場合、G(R,W) = G(R',W) = Sが成立する。こうして、認証の間、ノイジーレスポンスR'が、ヘルパーデータWと共に、検証データS' = G(R',W)を生じさせ、これは、登録データSと同一である。ヘルパーデータWは、そのヘルパーデータを研究しても、登録データS又は検証データS'に関する情報が何ら明らかにされないよう構成される。
【0030】
ヘルパーデータスキームが利用される場合、認証装置は、登録フェーズにおいて、PUFデバイスから受信される生のレスポンスRからヘルパーデータWと登録データSとを構築する。その後、登録データは、暗号化され、(プレーンテキストの)ヘルパーデータと共にPUFデバイスに格納される。上述されたように、認証フェーズにおいて、PUFのレスポンスが、ヘルパーデータを用いてPUFデバイスで処理される。従って、ヘルパーデータが利用され、生のレスポンスRではない場合、認証装置に送られるレスポンスデータは、登録データSを有する。代わりにヘルパーデータが暗号化され、デバイスに格納されることができる点に留意されたい。その場合、暗号化されたヘルパーデータが認証フェーズにおいて認証装置に送られ、認証装置は、ヘルパーデータを復号化し、物理トークンを有するデバイスにプレーンテキストでそれを送る。
【0031】
有利なことに認証プロトコルの安全性を更に強化するため利用されることができる本発明の別の実施形態では、物理トークンを有するデバイスの登録の間、認証装置によりランダム番号xの形式で検証データが生成される。その後認証装置により番号xが暗号化され、署名され、トークンを有するデバイスに格納される。更に、xのハッシュ化されたコピーが好ましくはデバイスに格納される。認証フェーズにおいて、認証装置は、物理トークンを有するデバイスから署名付きの暗号化されたxを受信する。認証装置は署名をチェックする。署名が無効である場合、認証装置は、そのトークンが偽造品その他認証すべきでないものと考える。逆に、署名が有効である場合、認証装置は、暗号化されたxを復号化し、xをプレーンテキストでそのデバイスに送る。その後、そのデバイスは、xに不可逆関数を適用する。これは、例えばハッシュ関数といった、登録の間利用される不可逆関数と同じである。
【0032】
するとデバイスは、ハッシュ関数の出力とデバイスに格納されたハッシュ値とを比較する。ハッシュ値がマッチしない場合、デバイスは、その認証装置が未認証であると考え、認証プロトコルの次のステップには進まないことになる。次のステップとは、レスポンスデータを取得し、それを認証装置から得られるレスポンスデータと比較するステップである。
【0033】
本発明の更なる実施形態においては、認証されるデータ、即ちレスポンスデータと検証データとが、登録フェーズにおいて有効なデジタル署名を具備することができる。その後認証の間、認証装置は、暗号化されたレスポンスデータと検証データとが有効な署名を具備するかをチェックする。もし具備していない場合、そのプロトコルは中止される。なぜなら、適切なプロトコル安全性が保証されることができないからである。
【0034】
更に別の実施形態においては、物理トークンが、その物理トークンが含まれるデバイスに暗号的にバインドされる(cryptographically bound)。物理トークンが紙幣に配置されるRFIDタグに含まれると仮定する。すると、例えば紙幣のシリアル番号をPUFにバインドすることが可能である。これを実行する1つの方法は、暗号状態の(under encryption)1つ又は両方のPUFレスポンスにシリアル番号を追加することである。この実施形態の利点は、1つの紙幣からRFIDタグを除去し、それを別の紙幣に埋め込むことが、結果として、認証装置により容易に検出されることができるミスマッチを引き起こすことである。
【発明を実施するための最良の形態】
【0035】
添付の特許請求の範囲及び以下の詳細な説明を研究すれば、本発明の追加的な特徴及び利点が明らかとなるであろう。当業者は、以下に述べられる以外の実施形態を作成するため、本発明の異なる特徴が結合される点を理解されたい。PUFを有するRFIDタグを備えた紙幣が被認証側の例示として、銀行が認証側の例示として使用されるが、本発明は、安全な認証プロトコルが使用されることができる多くの環境に適用されることができる点を理解されたい。上述されたように、トークンは、例えば、無線周波数信号を用いて、又はアクセスされるデバイスの有線インタフェース(例えばUSB)を介して通信を行うスマートカードに含まれることができる。PUFは、スマートカード、SIMカード、クレジットカード、紙幣、有価証券、RFID(無線周波数識別子)タグ、セキュリティカメラ等の幅広い範囲の対象物及びデバイスを認証するのに使用されることができる。
【0036】
本発明の好ましい実施形態の詳細な説明が、対応する図面を参照して以下に与えられることになる。
【0037】
図1は、本発明の実施形態による認証のための測定可能なパラメタを提供する物理トークン102を有する例えばRFIDタグ等のデバイス101である。物理クローン不可関数(PUF)とも呼ばれる物理トークンは、デバイス101を覆うコーティング、又はそのコーティングの一部の形式で実現されることができる。コーティングには、誘電粒子が散在している。これらの粒子は通常、異なる誘電定数を持ち、ランダムなサイズ及び形状をしている。異なるコーティング位置で容量値を局所的に測定し、それにより、どのセンサ要素が読まれるかに応じて異なるレスポンスデータを作成するため、センサ要素103がRFIDタグに配置される。誘電粒子のランダムな性質の結果として、測定される容量値は優秀な暗号化素材となる。
【0038】
更に、アナログ容量値をビットストリングに変換するn個のA/Dコンバータ104がRFIDタグに含まれる。ビットストリングから暗号データが取得されることができる。「シリコンPUF」として知られるPUFが存在する点に留意されたい。これは、非常にデジタルフォーマットに近い生(raw)データを生成する。この生データは、完全にデジタルであるかのように処理されることができる。その場合、デバイス101にA/Dコンバータが含まれる必要がない。
【0039】
デバイス101は通常、データが入る入力部と、データが出る出力部とを具備する。RFIDタグの場合、データは、アンテナ105及びRFインタフェース109を介して入力/出力される。デバイス101は通常、中間特性のデータ(例えば、センサから得られるレスポンスデータ)を格納するためRAM106と、永久特性のデータ(例えば暗号化されたレスポンスデータ、ノイズ訂正データ、及び登録フェーズで格納される他のデータ)を格納するためのROM107との形式でメモリを有する。
【0040】
PUF102の実現のため、RFIDタグ101においては、以下の条件
(a) 低電力デザインである点(「オンボード」のバッテリなし、電力供給は外部電磁場から取得されなければならない)、
(b) 比較的高速回路が使用されるべきである点(例えば紙幣の高速高ボリュームチェック)、及び
(c) IC処理及びシリコン領域コスト要件
が満たされなければならない。
【0041】
現在RFIDタグは、CMOS IC処理で作られる。なぜなら一般に、CMOSは低コストで済み、この技術だと低電力回路デザインが可能であり、及びこうした処理がメモリ回路を埋め込むのに適しているからである。
【0042】
こうしたデザイン条件のため、マイクロプロセッサが、RFIDタグといった低コスト、低電力デバイスに埋め込まれることはできない。従って、本発明により可能とされる比較的簡単な暗号計算は、「ハードワイヤード」な暗号回路、即ち、低電力の標準的な論理ゲート(論理NANDおよびNOR関数)により実行されることができる。いったん、これらの数学的な暗号関数が、例えばVHDL(超高速集積回路ハードウェア記述言語)フォーマットで記述されれば、今日では、配置及びルートデザインツールにより、ハードワイヤード回路が自動的に生成されることができる。通常、ハッシュ関数を計算するといった処理を実行する暗号回路が、ブロック108により表わされる。VHDLを用いて実現される回路は、ASIC(特定用途向け集積回路)、FPGA(フィールドプログラム可能ゲートアレイ)、CPLD(結合プログラム可能論理デバイス)等といった論理デバイスで実現される。
【0043】
図1に示されるデバイス101が、登録装置/認証装置で登録される登録フェーズにおいて、物理トークン102を有するデバイスが、ブートストラップ又は初期化モードにセットされる。以下、図1に基づき銀行がRFIDタグを登録すると仮定する。その後そのタグは、例えば紙幣に含まれることになる。ブートストラップモードにおいて、そのデバイスは、少なくとも2つのセットのPUFレスポンスデータR1、R2を示す(reveal)。これらのデータは、センサ103により実行される容量測定に基づかれる。銀行は、デバイスからレスポンスデータR1、R2を受信し、例えば、銀行により保持される暗号化鍵K(対称又は非対称)を用いて暗号化することによりそれらを秘密化する。従って、暗号化されたレスポンスデータのセットEK(R1)、EK(R2)が、ROM107に格納され、ブートストラッピングモードが永久に不可能にされる。
【0044】
本発明の実施形態において、銀行は、その銀行により保持される秘密鍵(private key)を用いて、暗号化されたレスポンスデータのセットEK(R1)、EK(R2)にデジタル署名を与える。署名は、以下$EK(R1)、$EK(R2)で表される。銀行により署名を与えることは、本発明の認証プロトコルを実行するにあたり重要ではない。しかしながら、安全性の観点から認証プロトコルを実質的に強化することが好ましい。
【0045】
図2を参照すると、認証フェーズにおいて、銀行210の形式である認証者においてデバイス201が認証されるとき、ステップ220において、署名付きの暗号化されたレスポンスデータの第1のセット$EK(R1)が、銀行に与えられる。認証されるデバイスは、紙幣に含まれるRFIDタグ、又は図2に示されるように、銀行の顧客211がお金を引き出したいとき現金自動預け払い機(ATM)212に挿入して使うキャッシュカード201とすることができる。ステップ221において、銀行は、有効な署名が与えられたかをチェックし、有効であれば、暗号化されたデータを復号して、ATM212を介してキャッシュカード201に、結果として生じるプレーンテキストR1を送る。
【0046】
プレーンテキストのレスポンスデータR1を受信するとき、デバイス201は、登録の間レスポンスデータR1を得るのに利用されたチャレンジを用いてその物理トークンにチャレンジする。こうしてレスポンスデータの別のセットR1'が得られ、銀行210から受信されるレスポンスデータR1と比較される。2つのレスポンスデータセットの比較は、よく知られた比較スキームを利用することにより行われることができる。その比較スキームでは、2つのデータセット間の距離の大きさが計算される。例えば、ハミング距離又はユークリッド距離が計算される。2つのデータセット間に対応関係があれば(即ち、計算された距離が所定の閾値を超えないならば)、銀行は、銀行に送られた暗号化されたレスポンスデータ$EK(R1)を復号できること、及び、銀行が、対応する復号鍵に対するアクセス権を持っていたに違いないことが確認されたことになる。ここでキャッシュカードは銀行と通信するよう誘導されるので、認証プロトコルの次のステップに進む。
【0047】
この次のステップにおいて、デバイス201は、登録の間デバイスに署名付きで暗号化され格納される第2のセットのレスポンスデータを得るのに使用された第2のチャレンジを用いて、PUFにチャレンジする。ステップ223において、デバイスは、レスポンスデータの第2のセットR2'と登録フェーズでデバイスに格納された、署名付きで暗号化されたレスポンスデータ$EK(R2)とをATM212を介して銀行210に送る。銀行は、署名が有効かをチェックし、有効であれば、暗号化されたデータを復号化する。その後、銀行は、レスポンスデータの2つのセットR2、R2'を(例えばハミング距離計算を用いて)比較する。レスポンスデータの2つのセットR2、R2'間に対応関係が存在すれば、デバイス201が銀行210で認証される。なぜなら、銀行により暗号化され、登録フェーズの間デバイスに格納されたレスポンスデータに対応するレスポンスデータを銀行が明らかに生み出すことができるからである。
【0048】
本発明の別の実施形態では、以前に論じられたように、認証プロトコルに対する安全性を提供するために更なるパラメタが使用される。登録の間、デバイスがブートストラップモードにセットされるとき、ノイズ訂正データ/ヘルパーデータW及び登録データSが、(W,S) = FG (R)が成立するような何らかの適切な関数FGを介してPUFのレスポンスRに基づき作成される。その後、登録データSの形式でのレスポンスデータが署名付きで暗号化され、ヘルパーデータWと共にPUFデバイスに格納される。更に、銀行は、ランダム番号xの形式で検証データを生成する。その後番号xは、暗号化され署名され、デバイスに格納される。更に、xのハッシュされたコピーH(x)が好ましくはデバイスに格納される。こうして、この特定の実施形態において、デバイスは、$EK(S1)、$EK(S2)、$EK(x)、W、H(x)をROMに格納する。その後、ブートストラップモードが永久に不可能にされる。
【0049】
図2を参照すると、認証フェーズにおいて、銀行210の形式である認証者においてデバイス201が認証されるとき、ステップ220において、署名付きの暗号化されたレスポンスデータの第1のセット$EK(S1)が、署名付きで暗号化されたランダム番号$EK(x)と共に銀行に与えられる。認証されるデバイスは、銀行顧客211が預金機212を介して銀行に預金する紙幣に含まれるRFIDタグとすることができる。ステップ221で、銀行は、有効な署名が与えられたかをチェックし、有効であれば、暗号化されたレスポンスデータとランダム番号とを復号し、結果として生じるプレーンテキストデータS1及びxを預金機212に位置する紙幣201に送る。
【0050】
プレーンテキストデータS1及びxを受信するとき、デバイス201は、ランダム番号xにハッシュ関数を適用する。結果として生じるハッシュ値H(x)が、デバイス201のROMに格納されたハッシュ値H(x)に対応する場合、そのデバイスは、レスポンスデータR1を得るため登録の間に利用されたチャレンジを用いて物理トークンにチャレンジするステップに進む。受信された登録データS1は、レスポンスデータR1に基づかれる。他方、ハッシュ値が互いに一致しない場合、認証プロトコルは終了する。トークンは、生のレスポンスR1'を出力し、デバイス201は、レスポンスデータS1'を生成するためデバイスのROMに格納されるノイズ訂正ヘルパーデータWを用いる。レスポンスデータS1'は、銀行210から受信されるレスポンスデータS1と比較され、2つのセット間に対応関係があれば、銀行は、暗号化されたレスポンスデータ$EK(S1)を復号化するのに必要な復号鍵へのアクセスを持っていたに違いないことになる。
【0051】
その後、デバイス201は、登録の間第2のセットのレスポンスデータを得るのに使用された第2のチャレンジを用いて、PUFにチャレンジする。第2のセットのレスポンスデータは、署名付きで暗号化されてデバイスに格納される。デバイスは、第2のセットのレスポンスデータS2を作成するため、格納されたヘルパーデータを用いて、取得された生のレスポンスR2を処理する。デバイスは、ステップ223で、第2のセットのレスポンスデータS2'と登録フェーズにおいてデバイスに格納された、署名付きで暗号化されたレスポンスデータ$EK(S2)とを紙幣が位置する預金機212を介して銀行210に送信する。銀行は、署名が有効かをチェックし、有効であれば、暗号化されたレスポンスデータを復号化する。銀行は、その後、レスポンスデータの2つのセットS2、S2'を(例えばハミング距離計算を用いて)比較する。レスポンスデータの2つのセットS2、S2'間に対応関係が存在すれば、デバイス201が銀行210で認証される。なぜなら、銀行により暗号化され、登録フェーズの間デバイスに格納されたレスポンスデータに対応するレスポンスデータを銀行が明らかに生み出すことができるからである。
【0052】
他の用途におけるユーザ211が、物理トークンを有するデバイス201を介して、銀行210と直接通信できることに留意されたい。しかしながら、銀行210は通常、何らかの種類のデバイスリーダ(例えばATM212)を有する。そのリーダを介して、ユーザ211は、銀行と通信する。一般に、デバイスリーダ212は、非常に受動的なデバイスであり、これは通常、ユーザと、そのユーザが認証ラウンドを実行したい認証機関との間のインタフェースとして機能する。
【0053】
本発明の更なる実施形態では、上述されたように、物理トークンが、その物理トークンが含まれるデバイスに暗号的にバインドされることができる。この暗号的バインディングは、そのトークンが含まれるデバイスの識別子と物理トークンのレスポンスデータとを関連付け、及びその関連付けにより作成されたデータを暗号化し、デバイスにそれを格納することにより実現されることができる。例えば、登録の間、物理トークンが含まれるデバイスを統合する紙幣のシリアル番号にレスポンスデータが連結されることができる。その後、レスポンスデータ及びシリアル番号データは、例えば署名され、暗号化される。これは、$EK(S2,シリアル番号)を生じさせる。この暗号化されたデータは、その後、紙幣に格納され、従って、その中の物理トークンが、紙幣に暗号的にバインドされる。この実施形態を研究する当業者であれば理解されるように、バインディングを実現する多数の代替例が可能である。例えば、生成されたランダム番号xが、シリアル番号に結合され、その結合されたデータがハッシュされ、結果としてH(x,シリアル番号)を生じるよう構成されることができる。
【0054】
ヘルパーデータも暗号化され、登録の間デバイスで格納されることができる。こうして、例えば、$EK(x,W)を格納することにより、攻撃者が認証プロトコルを解読する(break)ことは更に困難になる。更に、ハッシュ化されたランダム番号H(x)が、登録の間暗号化されてデバイスに格納されることができる。$EK(H(x))を格納することは、プロトコルの安全性を向上させるのに取られる追加的な手段である。
【0055】
安全性を強化するために更に取られる手段は、認証プロトコルに完全性を与えることである。完全性を与えることにより、プロトコルの認証された通信相手だけが、交換されたデータを修正する能力を持つ。攻撃者が、認証済みの通信相手間で送信されたデータを修正しようと試みるとしても、認識されないまま行われることはない。完全性の提供は、登録フェーズにおいて、例えば、ハッシュ化されたランダム番号H(x)に結合されるレスポンスデータR1にハッシュ関数を適用することを登録装置に行わせることにより実現されることができる。これは、ハッシュ化されたデータH(R1||H(x))を生じさせる。その後、ハッシュ化されたデータは、被認証側のデバイスに格納され、ブートストラップモードが不可能にされる。ここで、R1又はH(x)のいずれか(又はその両方)が、被認証側と認証側との間での転送の間に操作されると、そのデバイスにより計算されるハッシュ値H(R1||H(x))が、登録の間デバイスに格納される値と異なることになり、こうして操作が発見されることになる。
【0056】
PUFの特性は、例えば、機械的衰弱により時間とともにゆっくりと変化することができる。これは、認証装置がPUFを誤って拒絶するという効果を持つ可能性がある。結果として、PUF特性が時間と共に変化するとき、PUFを有するデバイスに登録の間格納されるパラメタが更新されることができることが有利である。
【0057】
図2を再度参照すると、登録の間デバイスに格納されたパラメタの更新を可能とする本発明の実施形態において、ステップ223で、認証装置210は、第2のセットのレスポンスデータR2'と登録フェーズにおいてデバイスで格納された署名付きの暗号化されたレスポンスデータ$EK(R2)とをデバイス201から受信する。PUF特性が変化した場合、認証の間に得られる第2のセットのレスポンスデータR2'が、登録の間に得られる対応するレスポンスデータR2と異なり、そのデバイスが(誤って)拒絶されることになる可能性がある。この可能性のある問題を克服するために、認証装置は、受信されたR2'を暗号化して署名することにより、(デバイスにおけるPUF特性ドリフトの程度に基づき多かれ少なかれ連続する態様で)更新を行う。これは、$E(R2')を生じさせ、登録の間デバイスに格納された$E(R2)を$E(R2')で置き換えることを生じさせる。認証装置が登録装置でもある場合、暗号化されたレスポンスデータの署名だけが認証装置により行われる点に留意されたい。更に、認証装置が、受信されたプレーンテキストデータR2'と暗号化されたレスポンスデータ$EK(R2)とを用いてデバイスを認証することができる場合にのみ、更新は許可される。
【0058】
登録の間デバイスに格納されたパラメタの更新を更に改善するために、認証装置210は、ステップ220でデバイス201から受信される、登録の間にデバイスに格納された暗号化されたレスポンスデータの第1のセット$EK(R1)も更新する。上述された本発明の好ましい実施形態の説明において、認証装置は、第1のセットのレスポンスデータR1を更新することはできない。なぜなら、この第1のセットは、そのデバイスによって復号化されていないからである。更に、認証装置は、2番目のとき、そのデバイスを「ブートストラップモード」にすることはできない。従って、ステップ223において、デバイス201は、プレーンテキストデータR2'及び暗号化されたレスポンスデータ$EK(R2)と共に、取得されたレスポンスデータR1'を送る。以前の実施形態同様、認証装置は、受信されたR2'を暗号化し署名することにより更新を行う。これは、$E(R2')を生じさせ、認証装置が、受信されたプレーンテキストデータR2'と暗号化されたレスポンスデータ$EK(R2)とを用いてデバイスを認証することができる場合、登録の間デバイスに格納された$E(R2)を$E(R2')で置き換えることを生じさせる。ここで、認証装置は、受信されたR1'も暗号化し、署名することができる。これは、$E(R1')を生じさせ、登録の間デバイスに格納された$E(R1)を$E(R1')で置き換えることを生じさせる。これが安全性を低下させることはない。なぜなら、ステップ221で、認証装置がR1'に十分な程度まで似ているレスポンスデータのセットR1を知っていることが示される場合、ステップ223でデバイス201は、認証装置210にレスポンスデータR1'のみを送信することになるからである。ここでも、認証装置が、受信されたプレーンテキストデータR2'と暗号化されたレスポンスデータ$EK(R2)とを用いてデバイスを認証することができる場合にのみ、更新は許可される。
【0059】
本発明は、特定の例示的な実施形態を参照して説明されてきたが、多くの異なる変形、修正その他が当業者には明らかであろう。従って、記載される実施形態は、本発明の範囲を限定するものとして意図されるものではなく、添付された特許請求の範囲により規定されるものである。
【図面の簡単な説明】
【0060】
【図1】本発明の実施形態による物理トークンを有するデバイスを示す図である。
【図2】RFIDタグを有する紙幣が銀行で認証される、本発明の例示的な実施形態を示す図である。
【特許請求の範囲】
【請求項1】
物理トークンを有するデバイスを認証装置で認証する方法において、
認証装置で、暗号化された第1のセットのレスポンスデータを前記デバイスから受信するステップであって、前記レスポンスデータが、前記物理トークンから取得され、登録の間前記デバイスに暗号化されて格納される、ステップと、
前記暗号化されたレスポンスデータを復号化し、前記デバイスに送信するステップと、
前記デバイスで、前記第1のセットのレスポンスデータを得るのに利用された第1のチャレンジを用いて、レスポンスデータを得るため前記物理トークンにチャレンジし、前記認証装置から受信される前記第1のセットのレスポンスデータと前記取得されるレスポンスデータとを比較するステップと、
前記取得されるレスポンスデータが、前記認証装置から受信される前記第1のセットのレスポンスデータに対応する場合、前記物理トークンから第2のセットのレスポンスデータを得るのに利用された第2のチャレンジを用いて、レスポンスデータを得るため前記物理トークンにチャレンジするステップであって、前記第2のセットは、登録の間前記デバイスに暗号化されて格納される、ステップと、
前記暗号化された第2のセットのレスポンスデータと、前記第2のチャレンジから得られる前記レスポンスデータとを認証装置に送信するステップと、
認証装置で、前記暗号化された第2のセットのレスポンスデータを復号化し、前記第2のチャレンジから得られる前記レスポンスデータと前記第2のセットのレスポンスデータとを比較するステップであって、前記2つのデータセット間に対応関係がある場合、前記デバイスが認証されたと考えられる、ステップとを有する、方法。
【請求項2】
前記認証装置で、前記暗号化された第1のセットのレスポンスデータを受信するステップが、
前記暗号化された第1のセットのレスポンスデータが有効なデジタル署名を具備するかチェックするステップと、有効なデジタル署名を具備する場合、前記暗号化された第1のセットのレスポンスデータを復号化して前記デバイスに送信するステップとを更に有する、請求項1に記載の方法。
【請求項3】
前記認証装置で、前記暗号化された第2のセットのレスポンスデータが有効なデジタル署名を具備するかチェックするステップと、有効なデジタル署名を具備する場合、前記暗号化された第2のセットのレスポンスデータを復号化して、前記第2のチャレンジから得られるレスポンスデータを前記第2のセットのレスポンスデータと比較するステップとを更に有する、請求項1又は2に記載の方法。
【請求項4】
前記認証装置で、暗号化された検証データを前記デバイスから受信するステップであって、前記検証データが、登録の間前記デバイスに暗号化されて格納される、ステップと、
前記暗号化された検証データを復号化して前記デバイスに送信するステップと、
前記認証装置で、前記検証データに不可逆関数を適用し、前記関数の出力を前記デバイスに格納されたパラメタと比較するステップとを更に有し、前記関数の出力が前記格納されたパラメタに対応する場合、前記レスポンスデータを取得するステップと、前記認証装置から受信されるレスポンスデータを前記取得されるレスポンスデータと比較するステップとが実行される、請求項1乃至3のいずれか一項に記載の方法。
【請求項5】
前記認証装置で、前記暗号化された検証データを受信するステップが、
前記認証装置で、前記暗号化された検証データが有効なデジタル署名を具備するかチェックするステップと、有効なデジタル署名を具備する場合、前記暗号化された検証データを復号化して前記デバイスに送信するステップとを更に有する、請求項4に記載の方法。
【請求項6】
前記レスポンスデータが、前記物理トークンのレスポンスを有する、請求項1乃至5のいずれか一項に記載の方法。
【請求項7】
前記レスポンスデータが、前記物理トークンのレスポンスとノイズ訂正データとに基づき処理されたデータを有する、請求項1乃至6のいずれか一項に記載の方法。
【請求項8】
前記ノイズ訂正データを暗号化するステップと、
前記デバイスに前記暗号化されたノイズ訂正データを格納するステップとを更に有する、請求項7に記載の方法。
【請求項9】
前記物理トークンが、物理クローン不可関数である、請求項1乃至8のいずれか一項に記載の方法。
【請求項10】
前記物理トークンが、紙幣に含まれる、請求項1乃至9のいずれか一項に記載の方法。
【請求項11】
前記物理トークンが、該トークンが含まれる前記デバイスに暗号的にバインドされる、請求項1乃至10のいずれか一項に記載の方法。
【請求項12】
前記物理トークンのレスポンスデータを該トークンが含まれる前記デバイスの識別子に関連付けるステップと、
前記関連付けにより作成されるデータを暗号化し、前記暗号化されたデータを前記デバイスに格納するステップとを更に有する、請求項11に記載の方法。
【請求項13】
前記データセットを比較するステップにおいて、前記比較されたデータセットが互いに対応しない場合、次のステップに進む処理が停止される、請求項1乃至12のいずれか一項に記載の方法。
【請求項14】
前記データセットを比較するステップが、前記比較されるデータセット間のハミング距離を決定するステップを有する、請求項1乃至13のいずれか一項に記載の方法。
【請求項15】
登録の間前記デバイスに格納されたデータを更新するステップを更に有する、請求項1乃至14のいずれか一項に記載の方法。
【請求項16】
登録の間前記デバイスに格納されたデータを更新する前記ステップが、
前記認証装置で、前記第2のチャレンジから得られる前記受信されるレスポンスデータを暗号化するステップと、
前記デバイスにおいて、登録の間前記デバイスに暗号化されて格納された第2のセットのレスポンスデータを前記第2のチャレンジから得られる前記暗号化されたレスポンスデータで置き換えるステップとを有する、請求項15に記載の方法。
【請求項17】
前記認証装置で、前記第1のチャレンジを用いることにより前記物理トークンから得られる前記レスポンスデータを受信するステップと、
前記認証装置で、前記第1のチャレンジから得られる前記受信されるレスポンスデータを暗号化するステップと、
前記デバイスにおいて、登録の間前記デバイスに暗号化されて格納された第1のセットのレスポンスデータを前記第1のチャレンジから得られる前記暗号化されたレスポンスデータで置き換えるステップとを更に有する、請求項16に記載の方法。
【請求項18】
前記認証装置において、前記第1のチャレンジから得られる前記暗号化されたレスポンスデータと前記第2のチャレンジから得られる前記暗号化されたレスポンスデータとに署名を与えるステップを更に有する、請求項16又は17に記載の方法。
【請求項19】
認証を実行するシステムであって、
認証装置と、
物理トークンを有するデバイスとを有し、
前記認証装置が、
前記物理トークンから得られ、登録の間前記デバイスに暗号化されて格納されるレスポンスデータの第1のセットを前記デバイスから受信し、
前記暗号化されたレスポンスデータを復号化し、及び
前記復号されたレスポンスデータを前記デバイスに送信するよう構成され、
前記デバイスが、
前記第1のセットのレスポンスデータを得るために利用された第1のチャレンジを用いて前記物理トークンにチャレンジすることによりレスポンスデータを取得し、
前記認証装置から受信される前記第1のセットのレスポンスデータと前記取得されたレスポンスデータとを比較し、
前記取得されたレスポンスデータが、前記認証装置から受信される前記第1のセットのレスポンスデータに対応する場合、登録の間前記デバイスに暗号化されて格納される第2のセットのレスポンスデータを得るために利用された第2のチャレンジを用いて前記物理トークンにチャレンジすることにより、前記物理トークンからレスポンスデータを取得し、及び
前記暗号化された第2のセットのレスポンスデータと前記第2のチャレンジから得られるレスポンスデータとを前記認証装置に送るよう構成され、
前記認証装置が、
前記暗号化された第2のセットのレスポンスデータを復号化し、前記第2のセットのレスポンスデータと前記第2のチャレンジから得られるレスポンスデータとを比較するよう更に構成され、前記2つのデータセット間に対応関係が存在する場合、前記デバイスが認証されたと考えられる、システム。
【請求項20】
前記認証装置が、前記暗号化された第1のセットのレスポンスデータが有効なデジタル署名を具備するかチェックし、有効なデジタル署名を具備する場合、前記暗号化された第1のセットのレスポンスデータを復号化して前記デバイスに送信するよう更に構成される、請求項19に記載のシステム。
【請求項21】
前記認証装置が、前記暗号化された第2のセットのレスポンスデータが有効なデジタル署名を具備するかチェックし、有効なデジタル署名を具備する場合、前記暗号化された第2のセットのレスポンスデータを復号化して、前記第2のチャレンジから得られるレスポンスデータと前記第2のセットのレスポンスデータとを比較するよう更に構成される、請求項19又は20に記載のシステム。
【請求項22】
前記認証装置が、登録の間前記デバイスに暗号化されて格納される、暗号化された検証データを前記デバイスから受信し、前記暗号化された検証データを復号化して前記デバイスに送るよう更に構成され、
前記デバイスが、前記検証データに不可逆関数を適用し、前記関数の出力と前記デバイスに格納されたパラメタとを比較するよう更に構成され、前記関数の出力が、前記格納されたパラメタに対応する場合、前記レスポンスデータの取得、及び前記認証装置から受信されるレスポンスデータと前記取得されるレスポンスデータとの比較が実行される、請求項19乃至21のいずれか一項に記載のシステム。
【請求項23】
前記認証装置が、前記暗号化された検証データが有効なデジタル署名を具備するかチェックし、有効なデジタル署名を具備する場合、前記暗号化された検証データを復号化して前記物理トークンに送信するよう更に構成される、請求項22に記載のシステム。
【請求項24】
前記レスポンスデータが、前記物理トークンのレスポンスとノイズ訂正データとに基づき処理されるデータを有する、請求項19乃至23のいずれか一項に記載のシステム。
【請求項25】
測定可能なパラメタを与える物理トークンを有するデバイスであって、
前記物理トークンにより与えられる前記パラメタを測定するセンサ要素と、
与えられるデータを不可逆関数で処理する論理回路と、
前記デバイスの登録の間前記物理トークンから得られる暗号化されたレスポンスデータを格納する少なくとも1つのメモリと、
外部回路と通信する通信手段とを更に有する、デバイス。
【請求項26】
前記物理トークンが、少なくとも部分的に前記デバイスを覆うコーティングを有する、請求項25に記載のデバイス。
【請求項27】
前記デバイスが、RFIDタグである、請求項25又は26に記載のデバイス。
【請求項28】
測定されたアナログパラメタをデジタルデータに変換する少なくとも1つのアナログデジタルコンバータを更に有する、請求項25乃至27のいずれか一項に記載のデバイス。
【請求項1】
物理トークンを有するデバイスを認証装置で認証する方法において、
認証装置で、暗号化された第1のセットのレスポンスデータを前記デバイスから受信するステップであって、前記レスポンスデータが、前記物理トークンから取得され、登録の間前記デバイスに暗号化されて格納される、ステップと、
前記暗号化されたレスポンスデータを復号化し、前記デバイスに送信するステップと、
前記デバイスで、前記第1のセットのレスポンスデータを得るのに利用された第1のチャレンジを用いて、レスポンスデータを得るため前記物理トークンにチャレンジし、前記認証装置から受信される前記第1のセットのレスポンスデータと前記取得されるレスポンスデータとを比較するステップと、
前記取得されるレスポンスデータが、前記認証装置から受信される前記第1のセットのレスポンスデータに対応する場合、前記物理トークンから第2のセットのレスポンスデータを得るのに利用された第2のチャレンジを用いて、レスポンスデータを得るため前記物理トークンにチャレンジするステップであって、前記第2のセットは、登録の間前記デバイスに暗号化されて格納される、ステップと、
前記暗号化された第2のセットのレスポンスデータと、前記第2のチャレンジから得られる前記レスポンスデータとを認証装置に送信するステップと、
認証装置で、前記暗号化された第2のセットのレスポンスデータを復号化し、前記第2のチャレンジから得られる前記レスポンスデータと前記第2のセットのレスポンスデータとを比較するステップであって、前記2つのデータセット間に対応関係がある場合、前記デバイスが認証されたと考えられる、ステップとを有する、方法。
【請求項2】
前記認証装置で、前記暗号化された第1のセットのレスポンスデータを受信するステップが、
前記暗号化された第1のセットのレスポンスデータが有効なデジタル署名を具備するかチェックするステップと、有効なデジタル署名を具備する場合、前記暗号化された第1のセットのレスポンスデータを復号化して前記デバイスに送信するステップとを更に有する、請求項1に記載の方法。
【請求項3】
前記認証装置で、前記暗号化された第2のセットのレスポンスデータが有効なデジタル署名を具備するかチェックするステップと、有効なデジタル署名を具備する場合、前記暗号化された第2のセットのレスポンスデータを復号化して、前記第2のチャレンジから得られるレスポンスデータを前記第2のセットのレスポンスデータと比較するステップとを更に有する、請求項1又は2に記載の方法。
【請求項4】
前記認証装置で、暗号化された検証データを前記デバイスから受信するステップであって、前記検証データが、登録の間前記デバイスに暗号化されて格納される、ステップと、
前記暗号化された検証データを復号化して前記デバイスに送信するステップと、
前記認証装置で、前記検証データに不可逆関数を適用し、前記関数の出力を前記デバイスに格納されたパラメタと比較するステップとを更に有し、前記関数の出力が前記格納されたパラメタに対応する場合、前記レスポンスデータを取得するステップと、前記認証装置から受信されるレスポンスデータを前記取得されるレスポンスデータと比較するステップとが実行される、請求項1乃至3のいずれか一項に記載の方法。
【請求項5】
前記認証装置で、前記暗号化された検証データを受信するステップが、
前記認証装置で、前記暗号化された検証データが有効なデジタル署名を具備するかチェックするステップと、有効なデジタル署名を具備する場合、前記暗号化された検証データを復号化して前記デバイスに送信するステップとを更に有する、請求項4に記載の方法。
【請求項6】
前記レスポンスデータが、前記物理トークンのレスポンスを有する、請求項1乃至5のいずれか一項に記載の方法。
【請求項7】
前記レスポンスデータが、前記物理トークンのレスポンスとノイズ訂正データとに基づき処理されたデータを有する、請求項1乃至6のいずれか一項に記載の方法。
【請求項8】
前記ノイズ訂正データを暗号化するステップと、
前記デバイスに前記暗号化されたノイズ訂正データを格納するステップとを更に有する、請求項7に記載の方法。
【請求項9】
前記物理トークンが、物理クローン不可関数である、請求項1乃至8のいずれか一項に記載の方法。
【請求項10】
前記物理トークンが、紙幣に含まれる、請求項1乃至9のいずれか一項に記載の方法。
【請求項11】
前記物理トークンが、該トークンが含まれる前記デバイスに暗号的にバインドされる、請求項1乃至10のいずれか一項に記載の方法。
【請求項12】
前記物理トークンのレスポンスデータを該トークンが含まれる前記デバイスの識別子に関連付けるステップと、
前記関連付けにより作成されるデータを暗号化し、前記暗号化されたデータを前記デバイスに格納するステップとを更に有する、請求項11に記載の方法。
【請求項13】
前記データセットを比較するステップにおいて、前記比較されたデータセットが互いに対応しない場合、次のステップに進む処理が停止される、請求項1乃至12のいずれか一項に記載の方法。
【請求項14】
前記データセットを比較するステップが、前記比較されるデータセット間のハミング距離を決定するステップを有する、請求項1乃至13のいずれか一項に記載の方法。
【請求項15】
登録の間前記デバイスに格納されたデータを更新するステップを更に有する、請求項1乃至14のいずれか一項に記載の方法。
【請求項16】
登録の間前記デバイスに格納されたデータを更新する前記ステップが、
前記認証装置で、前記第2のチャレンジから得られる前記受信されるレスポンスデータを暗号化するステップと、
前記デバイスにおいて、登録の間前記デバイスに暗号化されて格納された第2のセットのレスポンスデータを前記第2のチャレンジから得られる前記暗号化されたレスポンスデータで置き換えるステップとを有する、請求項15に記載の方法。
【請求項17】
前記認証装置で、前記第1のチャレンジを用いることにより前記物理トークンから得られる前記レスポンスデータを受信するステップと、
前記認証装置で、前記第1のチャレンジから得られる前記受信されるレスポンスデータを暗号化するステップと、
前記デバイスにおいて、登録の間前記デバイスに暗号化されて格納された第1のセットのレスポンスデータを前記第1のチャレンジから得られる前記暗号化されたレスポンスデータで置き換えるステップとを更に有する、請求項16に記載の方法。
【請求項18】
前記認証装置において、前記第1のチャレンジから得られる前記暗号化されたレスポンスデータと前記第2のチャレンジから得られる前記暗号化されたレスポンスデータとに署名を与えるステップを更に有する、請求項16又は17に記載の方法。
【請求項19】
認証を実行するシステムであって、
認証装置と、
物理トークンを有するデバイスとを有し、
前記認証装置が、
前記物理トークンから得られ、登録の間前記デバイスに暗号化されて格納されるレスポンスデータの第1のセットを前記デバイスから受信し、
前記暗号化されたレスポンスデータを復号化し、及び
前記復号されたレスポンスデータを前記デバイスに送信するよう構成され、
前記デバイスが、
前記第1のセットのレスポンスデータを得るために利用された第1のチャレンジを用いて前記物理トークンにチャレンジすることによりレスポンスデータを取得し、
前記認証装置から受信される前記第1のセットのレスポンスデータと前記取得されたレスポンスデータとを比較し、
前記取得されたレスポンスデータが、前記認証装置から受信される前記第1のセットのレスポンスデータに対応する場合、登録の間前記デバイスに暗号化されて格納される第2のセットのレスポンスデータを得るために利用された第2のチャレンジを用いて前記物理トークンにチャレンジすることにより、前記物理トークンからレスポンスデータを取得し、及び
前記暗号化された第2のセットのレスポンスデータと前記第2のチャレンジから得られるレスポンスデータとを前記認証装置に送るよう構成され、
前記認証装置が、
前記暗号化された第2のセットのレスポンスデータを復号化し、前記第2のセットのレスポンスデータと前記第2のチャレンジから得られるレスポンスデータとを比較するよう更に構成され、前記2つのデータセット間に対応関係が存在する場合、前記デバイスが認証されたと考えられる、システム。
【請求項20】
前記認証装置が、前記暗号化された第1のセットのレスポンスデータが有効なデジタル署名を具備するかチェックし、有効なデジタル署名を具備する場合、前記暗号化された第1のセットのレスポンスデータを復号化して前記デバイスに送信するよう更に構成される、請求項19に記載のシステム。
【請求項21】
前記認証装置が、前記暗号化された第2のセットのレスポンスデータが有効なデジタル署名を具備するかチェックし、有効なデジタル署名を具備する場合、前記暗号化された第2のセットのレスポンスデータを復号化して、前記第2のチャレンジから得られるレスポンスデータと前記第2のセットのレスポンスデータとを比較するよう更に構成される、請求項19又は20に記載のシステム。
【請求項22】
前記認証装置が、登録の間前記デバイスに暗号化されて格納される、暗号化された検証データを前記デバイスから受信し、前記暗号化された検証データを復号化して前記デバイスに送るよう更に構成され、
前記デバイスが、前記検証データに不可逆関数を適用し、前記関数の出力と前記デバイスに格納されたパラメタとを比較するよう更に構成され、前記関数の出力が、前記格納されたパラメタに対応する場合、前記レスポンスデータの取得、及び前記認証装置から受信されるレスポンスデータと前記取得されるレスポンスデータとの比較が実行される、請求項19乃至21のいずれか一項に記載のシステム。
【請求項23】
前記認証装置が、前記暗号化された検証データが有効なデジタル署名を具備するかチェックし、有効なデジタル署名を具備する場合、前記暗号化された検証データを復号化して前記物理トークンに送信するよう更に構成される、請求項22に記載のシステム。
【請求項24】
前記レスポンスデータが、前記物理トークンのレスポンスとノイズ訂正データとに基づき処理されるデータを有する、請求項19乃至23のいずれか一項に記載のシステム。
【請求項25】
測定可能なパラメタを与える物理トークンを有するデバイスであって、
前記物理トークンにより与えられる前記パラメタを測定するセンサ要素と、
与えられるデータを不可逆関数で処理する論理回路と、
前記デバイスの登録の間前記物理トークンから得られる暗号化されたレスポンスデータを格納する少なくとも1つのメモリと、
外部回路と通信する通信手段とを更に有する、デバイス。
【請求項26】
前記物理トークンが、少なくとも部分的に前記デバイスを覆うコーティングを有する、請求項25に記載のデバイス。
【請求項27】
前記デバイスが、RFIDタグである、請求項25又は26に記載のデバイス。
【請求項28】
測定されたアナログパラメタをデジタルデータに変換する少なくとも1つのアナログデジタルコンバータを更に有する、請求項25乃至27のいずれか一項に記載のデバイス。
【図1】
【図2】
【図2】
【公表番号】特表2009−533742(P2009−533742A)
【公表日】平成21年9月17日(2009.9.17)
【国際特許分類】
【出願番号】特願2009−504882(P2009−504882)
【出願日】平成19年4月10日(2007.4.10)
【国際出願番号】PCT/IB2007/051263
【国際公開番号】WO2007/116368
【国際公開日】平成19年10月18日(2007.10.18)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
【公表日】平成21年9月17日(2009.9.17)
【国際特許分類】
【出願日】平成19年4月10日(2007.4.10)
【国際出願番号】PCT/IB2007/051263
【国際公開番号】WO2007/116368
【国際公開日】平成19年10月18日(2007.10.18)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
[ Back to top ]