図面 (/)

技術 動的鍵生成を用いるネットワーク認証システム

出願人 アナログディヴァイスィズインク
発明者 ウォルシュ,ジョンヴァルラーベンシュタイン,ジョンロスティムコ,チャールズ
出願日 2015年5月22日 (5年7ヶ月経過) 出願番号 2017-514397
公開日 2017年6月22日 (3年6ヶ月経過) 公開番号 2017-517229
状態 特許登録済
技術分野 暗号化・復号化装置及び秘密通信
主要キーワード 補助制御ユニット ハードウェア数 追加特徴 ハードウェア識別情報 デバイス認証情報 連続物 要望通り ヘルパーデータ
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2017年6月22日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (2)

課題・解決手段

(潜在的に別個ローカルエリアネットワーク上で)2つのエンドデバイス間で動的に生成された鍵を使用して、エンドポイント識別情報セキュア通信チャネルの両方の確立を容易にする動的鍵生成を用いるネットワーク認証システム対話型または非対話型認証プロトコルが、対象エンドデバイスの識別情報を確立するために使用され、動的鍵生成が、エンドデバイス間の暗号化された通信チャネルを生成するために共有対称セッション鍵を確立するために使用される。

概要

背景

オンライン通信の必須態様は、2つのエンドポイントが、それらのそれぞれの識別情報に基づいて認証されたチャネル確立する能力である。これに対する1つの解決策は、公開鍵基盤PKI)を利用し、公開鍵は、エンドデバイスが、それらが互いとのみ通信していることをかなり確信されることを可能にする。しかしながら、この方式では、エンドポイント及びその識別情報が一般に独立しており、すなわち、任意の識別情報が生成されてエンドポイントに割り当てられる。

様々なデバイス認証方式において、物理複製不可関数(PUF)が、各デバイスがデバイスに固有に結び付けられた特有の識別情報を有するように使用されている。Ruhrmairら(「Modeling Attacks on Physical Unclonable Functions」、Proceedings of the 17thACMconference on Computer and communications security、CCS’10、第237〜249頁、ACM、2010)は、PUFデバイスの3つの別個の種類を定義する。すなわち、
・弱いPUFは、典型的には、秘密鍵導出するためにのみ使用される。チャレンジスペースは、限定され得、レスポンススペースは、決して明らかにされないことが想定される。典型的な構築物は、SRAM型PUF(Holcombら、「Initial SRAM State as a Fingerprint and Source of True Random Numbers forRFID Tags」、In Proceedings of the Conference on RFID Security、2007)、バタフライPUF(Kumarら、「Extended abstract:The Butterfly PUF Protecting IP on EveryFPGA」、IEEE International Workshop on Hardware−Oriented Security and Trust、第67〜70頁、2008)、アービタPUF(Leeら、「A technique to build a secret key in integrated circuits for identification and authentication applications」、IEEE Symposium onVLSICircuits:Digest of Technical Papers、第176〜179頁、2004)、リングオシレータPUF(Suhら、「Physical Unclonable Functions for Device Authentication and Secret Key Generation」、Proceedings of the 44th annual Design Automation Conference、DAC’07、第9〜14頁、ACM、2007)、及びコーティングPUF(Tuylsら、「Read−Proof Hardware from Protective Coatings」、Proceedings of the 8th international conference on Cryptographic Hardware and Embedded Systems、CHES’06、第369〜383頁、Springer、2006)を含む。
・強いPUFは、(i)複製することが物理的に不可能であり、(ii)完全なセットのチャレンジレスポンス対を(典型的には、約1週間と見なされる)適当な時間内に収集することが不可能であり、及び(iii)ランダムなチャレンジに対するレスポンスを予測することが困難であることが想定される。例えば、Ruhrmairによって説明された超高情報量(SHIC)PUF(「Applications of High−Capacity Crossbar Memories in Cryptography」、IEEE Trans.Nanotechnol.、第10巻、第3:489〜498号、2011)は、強いPUFと考えられ得る。
・制御されたPUFは、強いPUFのための基準の全てを満たし、更に、プロトコル暗号法で増強するためにより高度な機能を計算することが可能な補助制御ユニットを実現する。

PUF出力には、同じ入力を評価するにもかかわらず、わずかに変動するという点で雑音がある。これは、一般に、生体測定における雑音を除去するように開発されたファジー抽出方法対処される。(Juelsら、「A Fuzzy Commitment Scheme」、Proceedings of the 6thACMconference on Computer and Communications Security、CCS’99、第28〜36頁、ACM、1999を参照)。ファジー抽出は、出力が固定入力に対して一定であるように、例えば補助制御ユニット内などのPUFを有するデバイス内で部分的に利用されてもよい。ファジー抽出(または逆ファジー抽出)は、例えば、再構築される機密値Vと、Vを回復するためのヘルパーストリング(helper string)Pを記憶するために、Juelsらによって説明されるような「セキュアスケッチ(sketch)」を利用し得る。入力ストリングO用のセキュアスケッチSSであって、ECCが、t個誤り訂正することが可能な長さnの二進(n,k,2t+1)誤り訂正符号であり、V←{0,1}kがkビット値である、セキュアスケッチSSは、例えば、SS(O;V)=O+ECC(V)として定義され得る。次いで、元の値Vは、D(P+O‘)=D(O+ECC(V)+O’)=Vとして誤り訂正符号ECC及びO’のための復号化方式Dを使用して、ヘルパーストリングP及びOの最大ハミング距離t内の入力O’を仮定すると、再現され得る。

デバイスdに結び付けられた物理的複製不可能関数Pd:{0,1}κ1→{0,1}κ2は、好適には、以下の特性を呈する。
1.複製不可能性:Pr[dist(y,x)≦t|x←Uκ1,y←P(x),z←P’]≦ε1、それらの出力分布が統計的にt近似(t−close)であるようにクローンPUF P’でPUF Pを複製する確率は、かなり十分小さなε1よりも少ない。
2.予測不可能性:相手は、(少なくともデバイスに対する物理的アクセスなしで)無視し得る程度を超える確率で、チャレンジcに対するデバイスのPUFレスポンスrを予測することができないことと、ヘルパーデータが、PUFレスポンスについて相手に何も明らかにしないことと、が望ましい。全ての実体が、確率的多項式時間(PPT)に結び付けられること、すなわち、(関連したパラメータにおけるビットの数のことを言う)グローバル安全性パラメータλに関して多くの多項式演算を要求する計算、

を単に効率的に行うことができることを想定すると、相手Aが、チャレンジcに対するPUF Pの正しいレスポンスrを推測する確率が、好適には、κ2において無視できることを示す。これは、例えば、相手AとPUFデバイスPとの間のゲーム、すなわち、長さκ1のチャレンジスペースCpから長さκ2のレスポンススペースRpまでの入力ストリングをマッピングする

を通して評価され得、ここで、1λのような単項に与えられる、λは、プロトコルのための安全性パラメータである。
PUF−PRED:PUF予測ゲーム

ゲームは、以下のように進む。
1.相手Aは、PUFデバイスPに対して(安全性パラメータλに関して)多項式の多くのチャレンジ

発行し、ここで、チャレンジセット

は、全チャレンジスペースCPの適切なサブセットである。
2.PUFデバイスPは、レスポンス{ri|ri←P(ci)}をAに戻す。
3.相手Aは、最終的に、チャレンジクエリ

の元のセットにはなかったチャレンジcを出力する。相手は、コミットされたチャレンジcについてPUFデバイスPに問い合わせることを許可されない。
4.相手Aは、多項式の多くのチャレンジ

の新たなセットをPUFデバイスPにもう一度発行してもよい。相手は、コミットされたチャレンジcについてPUFデバイスPに問い合わせることを許可されない。
5.PUFデバイスPは、レスポンス

をAに戻す。
6.相手Aは、最終的に、コミットされたチャレンジcに対するPのレスポンスについての推測r’を出力する。
相手は、推測r’が、Aのコミットされたチャレンジcに対するPの実際のレスポンスr←P(c)に等しいときにのみゲームに勝つ。(留意したように、PUFの出力には、雑音があり、その出力は、固定入力上でわずかに変動し、それゆえ、同等物が、典型的には、ファジー抽出器の出力に関して取られる(例えば、Dodisら、「Fuzzy Extractors:How to Generate Strong Keys from Biometrics and Other Noisy Data」、SIAM J.Comput.、第38巻、第1:97−139号、2008))。
3.頑強性:Pr[dist(y,z)>t|x←Uκ1,y←P(x),z←P(x)]≦ε2、すなわち、固定PUF Pが、同じ入力xについてt遠隔(t−distant)レスポンスをもたらす確率は、かなり十分小さなε2よりも少ない。
4.区別不可能性:PUFデバイスの出力(典型的にはファジー抽出器の出力)は、好適には、PPT相手Aのアドバンテージ

が最大でも無視し得る程度に1/2を超えるように、同じ長さlのランダムなストリングから計算的に区別することができない。PUFの区別不可能性は、例えば、相手Aが、PUF Pのためのファジー抽出器の出力rと、同じ長さlのランダムに選ばれたストリング

とを識別することを質問されるゲームを通して、評価され得る。
PUF−IND:PUF区別不可能性ゲーム

このゲームは、以下のように進む。
1.相手Aは、任意のチャレンジ

についての登録段階を実行する。
2.PUFデバイスは、Genの出力からの対応するヘルパーストリングHiを戻す。チャレンジ−ヘルパー対(ci,Hi)のこのセットをCHとして示す。
3.次に、相手Aは、任意のci∈CHのためのPUFレスポンスri=P(ci)を要求する。このステップにおいて要求されたチャレンジのセットを

として示す。
4.全ての要求

について、PUFデバイスは、セット{ri|ri←P(ci)}を戻す。
5.相手Aは、AがcについてHiを有するがRiを有さないように、チャレンジ

を選択する。PUFデバイスは、ビットb∈{0,1}を一様にランダムに選ぶ。
6.b=0である場合、Aは、Ri=Rep(P(c)=ri,Hi)で与えられる。そうではなくて、b=1である場合には、Aは、ランダムなストリング

で与えられる。
7.相手Aは、

ではない限り

についてPUFデバイスに問い合わせることを許可される。
8.全ての要求

について、PUFデバイスは、セット

を戻す。
9.相手は、推測(guess)ビットb’を出力し、b’=bのときに成功する。
PUFの関連する評価は、Horiら、「Quantitative and Statistical Performance Evaluation of Arbiter Physical Unclonable Functions onFPGAs」、2010 International Conference on Reconfigurable Computing and FPGAs(ReCon−Fig)、第298〜303頁、2010、Maiti、A Systematic Approach to Design an Efficient Physical Unclonable Function、論文、Virginia Tech、2012、及び他のものによって提供される。

様々な認証方式は、知識のゼロ知識証明を利用し、それは、所与ステートメントが真であることを提供すると同時にこの事実を超えて何も明らかにしないための方法である。ゼロ知識証明は、2人の当事者、すなわち、ステートメントの有効性を確立する証明者Pと、ステートメントが真であることを確信される必要がある検証者Vとの間の相互作用である。検証者は、真のステートメントが本当に真であることを圧倒的な確率で確信されるべきである。知識のゼロ知識証明を用いて、検証者は、ステートメントの有効性の新たな当事者を確信させるために前の証明からのメッセージを使用することができず、メッセージは、単一ビットの情報のみ、すなわち、証明者Pが秘密を持つか否かを明らかにする。2つの一般的な種類のゼロ知識証明、すなわち、一連のメッセージが、証明者Pと検証者Vとの間で交換される対話型ゼロ知識証明、及び証明者Pが、Vと相互作用せずに単一メッセージMを伝達し、更にVは、Pが秘密を持つことを確信される非対話型ゼロ知識証明が存在する。多くの(対話型)ゼロ知識証明システムは、ステートメントの有効性を確立するために複数の繰返しを要求する。すなわち、各相互作用は、証明者が秘密を持たない(またはステートメントがである)場合でさえも、いくらかの確率で成功し得る。それ故、ステートメントが偽であるときの成功の確率がpである場合、プロトコルは、1−(p)nが1に十分近づくまでn回実行される。

概要

(潜在的に別個のローカルエリアネットワーク上で)2つのエンドデバイス間で動的に生成された鍵を使用して、エンドポイント識別情報とセキュア通信チャネルの両方の確立を容易にする動的鍵生成を用いるネットワーク認証システム。対話型または非対話型認証プロトコルが、対象エンドデバイスの識別情報を確立するために使用され、動的鍵生成が、エンドデバイス間の暗号化された通信チャネルを生成するために共有対称セッション鍵を確立するために使用される。

目的

様々な認証方式は、知識のゼロ知識証明を利用し、それは、所与のステートメントが真であることを提供する

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

(分野番号表示ON)※整理標準化データをもとに当社作成

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

セキュア通信デバイスであって、a.通信入力及び通信出力と、b.前記デバイスに特有ハードウェア固有識別情報を有するハードウェア識別情報モジュールと、c.前記通信入力及び通信出力に、かつ前記ハードウェア識別情報モジュールに接続された論理プロセッサと、を備え、前記デバイスが、前記通信出力上で前記デバイスの前記ハードウェア固有識別情報に基づく情報を組み込む認証メッセージを送信することによって認証を行うように構成され、前記デバイスが、前記通信出力上でセッション鍵を生成して送信するように構成される、セキュア通信デバイス。

請求項2

前記デバイスが、非対話型認証を行うように構成される、請求項1に記載のセキュア通信デバイス。

請求項3

前記認証メッセージが、タイムスタンプを含む、請求項2に記載のセキュア通信デバイス。

請求項4

前記デバイスが、ゼロ知識において第1のパケット認証を行うように構成される、請求項1に記載のセキュア通信デバイス。

請求項5

前記デバイスが、前記デバイスの前記ハードウェア固有識別情報に基づく情報を組み込み、かつセッション鍵を組み込む認証更新メッセージを送信するように構成される、請求項1に記載のセキュア通信デバイス。

請求項6

前記ハードウェア識別情報モジュールが、物理複製不可関数である、請求項1に記載のセキュア通信デバイス。

請求項7

前記デバイスが、前記デバイスの前記ハードウェア固有識別情報に基づく情報及びセッション鍵を組み込む認証更新メッセージを送信するように構成される、請求項6に記載のセキュア通信デバイス。

請求項8

前記デバイスが、非対話型認証を行うように構成され、前記認証メッセージが、タイムスタンプを含む、請求項7に記載のセキュア通信デバイス。

請求項9

前記デバイスが、数学エンジンを更に備える、請求項6に記載のセキュア通信デバイス。

請求項10

前記デバイスが、楕円曲線暗号法を行うように構成され、前記数学的エンジンが、楕円曲線計算を行うように構成される、請求項9に記載のセキュア通信デバイス。

請求項11

前記デバイスが、前記通信出力上で更新された公開鍵を送信するように更に構成される、請求項1に記載のセキュア通信デバイス。

請求項12

前記ハードウェア識別情報モジュールが、物理的複製不可能関数である、請求項11に記載のセキュア通信デバイス。

請求項13

前記デバイスが、前記デバイスの前記ハードウェア固有識別情報に基づく情報を組み込む認証更新メッセージにおいて、前記通信出力上で更新された鍵を送信するように構成される、請求項11に記載のセキュア通信デバイス。

請求項14

セキュア通信デバイスであって、a.通信入力及び通信出力と、b.前記デバイスに特有のハードウェア固有識別情報を有するハードウェア識別情報モジュールと、c.前記通信入力及び通信出力に、かつ前記識別情報モジュールに接続された論理プロセッサと、を備え、前記デバイスが、受信したチャレンジメッセージ署名して、パケットの指定されたヘッダに前記署名を含む前記パケットを送信することによって、認証を行うように構成される、セキュア通信デバイス。

請求項15

前記ハードウェア識別情報モジュールが、物理的複製不可能関数である、請求項14に記載のセキュア通信デバイス。

請求項16

前記指定されたヘッダが、TCPオプションヘッダである、請求項14に記載のセキュア通信デバイス。

技術分野

0001

この開示は、一般に、ネットワーク認証に関し、特に、ただし、非排他的に、置換による改ざん及び破壊に対して保護するための認証に関する。

0002

関連出願の相互参照
本出願は、2014年5月22日に出願された米国仮特許出願通し番号第62/001,979の優先権の利益を主張し、参照によってそれを組み込む。

背景技術

0003

オンライン通信の必須態様は、2つのエンドポイントが、それらのそれぞれの識別情報に基づいて認証されたチャネル確立する能力である。これに対する1つの解決策は、公開鍵基盤PKI)を利用し、公開鍵は、エンドデバイスが、それらが互いとのみ通信していることをかなり確信されることを可能にする。しかしながら、この方式では、エンドポイント及びその識別情報が一般に独立しており、すなわち、任意の識別情報が生成されてエンドポイントに割り当てられる。

0004

様々なデバイス認証方式において、物理複製不可関数(PUF)が、各デバイスがデバイスに固有に結び付けられた特有の識別情報を有するように使用されている。Ruhrmairら(「Modeling Attacks on Physical Unclonable Functions」、Proceedings of the 17thACMconference on Computer and communications security、CCS’10、第237〜249頁、ACM、2010)は、PUFデバイスの3つの別個の種類を定義する。すなわち、
・弱いPUFは、典型的には、秘密鍵導出するためにのみ使用される。チャレンジスペースは、限定され得、レスポンススペースは、決して明らかにされないことが想定される。典型的な構築物は、SRAM型PUF(Holcombら、「Initial SRAM State as a Fingerprint and Source of True Random Numbers forRFID Tags」、In Proceedings of the Conference on RFID Security、2007)、バタフライPUF(Kumarら、「Extended abstract:The Butterfly PUF Protecting IP on EveryFPGA」、IEEE International Workshop on Hardware−Oriented Security and Trust、第67〜70頁、2008)、アービタPUF(Leeら、「A technique to build a secret key in integrated circuits for identification and authentication applications」、IEEE Symposium onVLSICircuits:Digest of Technical Papers、第176〜179頁、2004)、リングオシレータPUF(Suhら、「Physical Unclonable Functions for Device Authentication and Secret Key Generation」、Proceedings of the 44th annual Design Automation Conference、DAC’07、第9〜14頁、ACM、2007)、及びコーティングPUF(Tuylsら、「Read−Proof Hardware from Protective Coatings」、Proceedings of the 8th international conference on Cryptographic Hardware and Embedded Systems、CHES’06、第369〜383頁、Springer、2006)を含む。
・強いPUFは、(i)複製することが物理的に不可能であり、(ii)完全なセットのチャレンジレスポンス対を(典型的には、約1週間と見なされる)適当な時間内に収集することが不可能であり、及び(iii)ランダムなチャレンジに対するレスポンスを予測することが困難であることが想定される。例えば、Ruhrmairによって説明された超高情報量(SHIC)PUF(「Applications of High−Capacity Crossbar Memories in Cryptography」、IEEE Trans.Nanotechnol.、第10巻、第3:489〜498号、2011)は、強いPUFと考えられ得る。
・制御されたPUFは、強いPUFのための基準の全てを満たし、更に、プロトコル暗号法で増強するためにより高度な機能を計算することが可能な補助制御ユニットを実現する。

0005

PUF出力には、同じ入力を評価するにもかかわらず、わずかに変動するという点で雑音がある。これは、一般に、生体測定における雑音を除去するように開発されたファジー抽出方法対処される。(Juelsら、「A Fuzzy Commitment Scheme」、Proceedings of the 6thACMconference on Computer and Communications Security、CCS’99、第28〜36頁、ACM、1999を参照)。ファジー抽出は、出力が固定入力に対して一定であるように、例えば補助制御ユニット内などのPUFを有するデバイス内で部分的に利用されてもよい。ファジー抽出(または逆ファジー抽出)は、例えば、再構築される機密値Vと、Vを回復するためのヘルパーストリング(helper string)Pを記憶するために、Juelsらによって説明されるような「セキュアスケッチ(sketch)」を利用し得る。入力ストリングO用のセキュアスケッチSSであって、ECCが、t個誤り訂正することが可能な長さnの二進(n,k,2t+1)誤り訂正符号であり、V←{0,1}kがkビット値である、セキュアスケッチSSは、例えば、SS(O;V)=O+ECC(V)として定義され得る。次いで、元の値Vは、D(P+O‘)=D(O+ECC(V)+O’)=Vとして誤り訂正符号ECC及びO’のための復号化方式Dを使用して、ヘルパーストリングP及びOの最大ハミング距離t内の入力O’を仮定すると、再現され得る。

0006

デバイスdに結び付けられた物理的複製不可能関数Pd:{0,1}κ1→{0,1}κ2は、好適には、以下の特性を呈する。
1.複製不可能性:Pr[dist(y,x)≦t|x←Uκ1,y←P(x),z←P’]≦ε1、それらの出力分布が統計的にt近似(t−close)であるようにクローンPUF P’でPUF Pを複製する確率は、かなり十分小さなε1よりも少ない。
2.予測不可能性:相手は、(少なくともデバイスに対する物理的アクセスなしで)無視し得る程度を超える確率で、チャレンジcに対するデバイスのPUFレスポンスrを予測することができないことと、ヘルパーデータが、PUFレスポンスについて相手に何も明らかにしないことと、が望ましい。全ての実体が、確率的多項式時間(PPT)に結び付けられること、すなわち、(関連したパラメータにおけるビットの数のことを言う)グローバル安全性パラメータλに関して多くの多項式演算を要求する計算、

0007

0008

を単に効率的に行うことができることを想定すると、相手Aが、チャレンジcに対するPUF Pの正しいレスポンスrを推測する確率が、好適には、κ2において無視できることを示す。これは、例えば、相手AとPUFデバイスPとの間のゲーム、すなわち、長さκ1のチャレンジスペースCpから長さκ2のレスポンススペースRpまでの入力ストリングをマッピングする

0009

0010

を通して評価され得、ここで、1λのような単項に与えられる、λは、プロトコルのための安全性パラメータである。
PUF−PRED:PUF予測ゲーム

0011

0012

ゲームは、以下のように進む。
1.相手Aは、PUFデバイスPに対して(安全性パラメータλに関して)多項式の多くのチャレンジ

0013

0014

発行し、ここで、チャレンジセット

0015

0016

は、全チャレンジスペースCPの適切なサブセットである。
2.PUFデバイスPは、レスポンス{ri|ri←P(ci)}をAに戻す。
3.相手Aは、最終的に、チャレンジクエリ

0017

0018

の元のセットにはなかったチャレンジcを出力する。相手は、コミットされたチャレンジcについてPUFデバイスPに問い合わせることを許可されない。
4.相手Aは、多項式の多くのチャレンジ

0019

0020

の新たなセットをPUFデバイスPにもう一度発行してもよい。相手は、コミットされたチャレンジcについてPUFデバイスPに問い合わせることを許可されない。
5.PUFデバイスPは、レスポンス

0021

0022

をAに戻す。
6.相手Aは、最終的に、コミットされたチャレンジcに対するPのレスポンスについての推測r’を出力する。
相手は、推測r’が、Aのコミットされたチャレンジcに対するPの実際のレスポンスr←P(c)に等しいときにのみゲームに勝つ。(留意したように、PUFの出力には、雑音があり、その出力は、固定入力上でわずかに変動し、それゆえ、同等物が、典型的には、ファジー抽出器の出力に関して取られる(例えば、Dodisら、「Fuzzy Extractors:How to Generate Strong Keys from Biometrics and Other Noisy Data」、SIAM J.Comput.、第38巻、第1:97−139号、2008))。
3.頑強性:Pr[dist(y,z)>t|x←Uκ1,y←P(x),z←P(x)]≦ε2、すなわち、固定PUF Pが、同じ入力xについてt遠隔(t−distant)レスポンスをもたらす確率は、かなり十分小さなε2よりも少ない。
4.区別不可能性:PUFデバイスの出力(典型的にはファジー抽出器の出力)は、好適には、PPT相手Aのアドバンテージ

0023

0024

が最大でも無視し得る程度に1/2を超えるように、同じ長さlのランダムなストリングから計算的に区別することができない。PUFの区別不可能性は、例えば、相手Aが、PUF Pのためのファジー抽出器の出力rと、同じ長さlのランダムに選ばれたストリング

0025

0026

とを識別することを質問されるゲームを通して、評価され得る。
PUF−IND:PUF区別不可能性ゲーム

0027

0028

このゲームは、以下のように進む。
1.相手Aは、任意のチャレンジ

0029

0030

についての登録段階を実行する。
2.PUFデバイスは、Genの出力からの対応するヘルパーストリングHiを戻す。チャレンジ−ヘルパー対(ci,Hi)のこのセットをCHとして示す。
3.次に、相手Aは、任意のci∈CHのためのPUFレスポンスri=P(ci)を要求する。このステップにおいて要求されたチャレンジのセットを

0031

0032

として示す。
4.全ての要求

0033

0034

について、PUFデバイスは、セット{ri|ri←P(ci)}を戻す。
5.相手Aは、AがcについてHiを有するがRiを有さないように、チャレンジ

0035

0036

を選択する。PUFデバイスは、ビットb∈{0,1}を一様にランダムに選ぶ。
6.b=0である場合、Aは、Ri=Rep(P(c)=ri,Hi)で与えられる。そうではなくて、b=1である場合には、Aは、ランダムなストリング

0037

0038

で与えられる。
7.相手Aは、

0039

0040

ではない限り

0041

0042

についてPUFデバイスに問い合わせることを許可される。
8.全ての要求

0043

0044

について、PUFデバイスは、セット

0045

0046

を戻す。
9.相手は、推測(guess)ビットb’を出力し、b’=bのときに成功する。
PUFの関連する評価は、Horiら、「Quantitative and Statistical Performance Evaluation of Arbiter Physical Unclonable Functions onFPGAs」、2010 International Conference on Reconfigurable Computing and FPGAs(ReCon−Fig)、第298〜303頁、2010、Maiti、A Systematic Approach to Design an Efficient Physical Unclonable Function、論文、Virginia Tech、2012、及び他のものによって提供される。

0047

様々な認証方式は、知識のゼロ知識証明を利用し、それは、所与ステートメントが真であることを提供すると同時にこの事実を超えて何も明らかにしないための方法である。ゼロ知識証明は、2人の当事者、すなわち、ステートメントの有効性を確立する証明者Pと、ステートメントが真であることを確信される必要がある検証者Vとの間の相互作用である。検証者は、真のステートメントが本当に真であることを圧倒的な確率で確信されるべきである。知識のゼロ知識証明を用いて、検証者は、ステートメントの有効性の新たな当事者を確信させるために前の証明からのメッセージを使用することができず、メッセージは、単一ビットの情報のみ、すなわち、証明者Pが秘密を持つか否かを明らかにする。2つの一般的な種類のゼロ知識証明、すなわち、一連のメッセージが、証明者Pと検証者Vとの間で交換される対話型ゼロ知識証明、及び証明者Pが、Vと相互作用せずに単一メッセージMを伝達し、更にVは、Pが秘密を持つことを確信される非対話型ゼロ知識証明が存在する。多くの(対話型)ゼロ知識証明システムは、ステートメントの有効性を確立するために複数の繰返しを要求する。すなわち、各相互作用は、証明者が秘密を持たない(またはステートメントがである)場合でさえも、いくらかの確率で成功し得る。それ故、ステートメントが偽であるときの成功の確率がpである場合、プロトコルは、1−(p)nが1に十分近づくまでn回実行される。

0048

本発明のある実施形態に係る認証システムは、(潜在的に別個のローカルエリアネットワーク上で)2つのエンドデバイス間で動的に生成された鍵を使用して、エンドポイント識別情報とセキュア通信チャネルの両方の確立を容易にする。対話型または非対話型認証プロトコルが、対象エンドデバイスの識別情報を確立するために使用され、動的鍵生成が、エンドデバイス間の暗号化通信チャネルを生成するための共有対称セッション鍵を確立するために使用される。一実施形態では、次いで、共有対称セッション鍵が、要望通り更新され得、新たに動的に生成された鍵の下で暗号化され得る。

図面の簡単な説明

0049

本発明のある実施形態におけるデバイス間の動的鍵生成を例示する図である。

実施例

0050

この発明を実施するための形態は、(関連する専門用語及び慣例を含む)楕円曲線暗号を利用する実施形態例に基づくが、本明細書における発明の概念及び教示は、様々な他の暗号化方式、例えば、離散対数または因数分解のような異なる問題を利用するものなどに等しく適用する。同様に、本発明は、本発明と共にまたは本発明に基づいて利用され得る本明細書に説明される様々な追加特徴によって限定されない。

0051

デバイスの固有識別情報構築するために、デバイスの識別情報の(本明細書で登録トークンまたは公開鍵と称される)公開表現が生成される。楕円曲線数学フレームワークが使用され得るが、当業者は、他のフレームワーク(例えば、離散対数フレームワーク、それに関して、米国特許第8,918,647号が、参照によって本明細書に組み込まれる)が同じ機能を提供することを理解するであろう。暗号登録トークン(またはトークンの連続物){(cd,Pd,Ad mod p)}が、サーバによってチャレンジクエリ(または複数クエリ)に応答して各PUFデバイスdから収集される。各デバイスは、秘密鍵

0052

0053

をスペース{0,1}λ、から一様にランダムに選び、ここで、λは、安全性パラメータ(例えば、係数pにおけるビットの数)であり、デバイスの公開鍵として

0054

0055

mod pを計算し、ここで、Gは、

0056

0057

上の楕円曲線上の位数qの基点である。好適には、機密情報は、通信チャネル上で送信されず、または不揮発性メモリ内に記憶されない(例えば、デバイスは、Adの生成後に

0058

0059

廃棄し得る)。

0060

0061

がデバイスを認証するために必要とされるとき、登録トークン(cd,Pd,Ad mod p)は、デバイスdが、

0062

0063

再生成し、証明を完了することを可能にする。アルゴリズム1は、擬似コードにおける例示的な登録プロトコルを説明する。

0064

0065

登録プロセスは、好適には、1回のみ要求されるべきであり、好適には、万一、安全性侵害の場合には、デバイスが、サーバ側の軽微な変更を通して再登録せずにアクティブなままにすることができることを確実にするべきである。参照によって本明細書に組み込まれる米国特許第8,918,647号に説明されるように、チャレンジ−レスポンスツリーが、構築され得、根ノードのみがPUFレスポンスから直接的に導出され、導出されるトークンは、登録の間に収集されたものから生成される。)

0066

PUF使用可能なデバイスは、機密値をローカルに記憶し得、好適には不揮発性メモリ内に機密情報を記憶せずに取り出し得る。アルゴリズム2は、PUFを使用する機密値(例えば、

0067

0068

)の記憶を例示し、アルゴリズム3は、機密値の再生成を例示する。デバイスdのためのチャレンジcd及びヘルパーデータであるヘルパーdは、機密値について何も明らかにしないように、公開のものであり得る。本実施例は、排他的論理和+によって機密値の暗号化を使用するが、交代に、その値は、例えば、他の暗号化アルゴリズム(例えば、AES)に対して鍵を形成するために使用され得、任意のサイズの値の記憶及び取り出しを可能にする。

0069

0070

O及びO’がt近似(t−close)である時は常に、誤り訂正符号ECCが、復号アルゴリズムDに渡され得、機密値を回復する。

0071

認証段階は、サーバが、クライアントデバイスが要求を発行することを承認されることを検証することを可能にする。楕円曲線実施形態では、デバイスからの要求を受信すると、サーバは、アルゴリズム4に示されるように、要求を行うための許可を確立するためにChaumら(「An Improved Protocol for Demonstrating Possession of Discrete Logarithms and some Generalizations」、Proceedings of the 6th annual international conference on Theory and application of cryptographic techniques、EUROCRYPT’87、第127〜141頁、Springer、1988)のゼロ知識証明プロトコルの楕円曲線の変化形をデバイスdに関して行うことができる。

0072

0073

対話型ゼロ知識証明において検証するエンドデバイスからの通信のための要求は、最新の証明に特有のノンス値を取得することである。これは、傍受する相手が、有効なデバイスからの前の証明を使用して認証プロトコルを成功裏に完了し、エンドデバイスとして偽ることを防止する。

0074

非対話型ゼロ知識証明は、この通信要求を除去し、証明が、検証するエンドポイントと相互作用せずに完了されることを可能にする。アルゴリズム4の非対話型構築は、証明するエンドデバイスが証明を操作することを防止する手法において、検証者の代わりにノンスを生成することをデバイスに要求する。一実施例として、証明するエンドデバイスは、N←H(

0075

0076

・G mod p|τ)としてノンスNを構築し得、ここで、Hはハッシュ関数であり、τはタイムスタンプであり、x|yは、x及びyの連接(concatenation)を示す。タイムスタンプは、証明するエンドデバイスによって構築された前の証明が、将来、相手によって再現されることができないことを確実にする一方で、ハッシュ関数は、証明するエンドデバイスが、敵対する様態においてチャレンジを操作できないことを確実にする。タイムスタンプは、好適には、証明者に到着する際に最新のタイムスタンプに一致する必要はなく、検証するエンドポイントが、代わりに、そのタイムスタンプが、適度に最新(例えば、第2の粒度)であることを確認し、再現攻撃を防止するように単調に増加する。アルゴリズム5は、非対話型認証プロトコルを提供する。

0077

0078

非対話型認証が、ゼロ知識において第1のパケット認証を提供するように利用され得る。例えば、証明するエンドデバイスによって送信された第1のパケットは、以下の認証トークン、auth(認証)={B=r・G mod p,m=r+h・

0079

0080

mod p,τ}を含み得、それは、検証するエンドデバイスが、証明するエンドデバイスの識別情報を確立するのに十分である。認証は、受信する(検証する)エンドデバイスとの通信が、認証トークンの構築の前に必要ではないという点で、第1のパケットである。更に、送信する(証明する)エンドデバイスの検証は、送信する(証明する)エンドデバイスとの通信なしで完了する。タイムスタンプτは、もはや最新ではなくなるので、パケット認証(auth)を観察する傍受相手は、パケットを再現することが不可能になる。アルゴリズム6は、デバイスツーデバイス式の第1のパケット相互認証を例示する。

0081

0082

2つの通信デバイスが、アルゴリズム6を使用して、所望される通りに(すなわち、動的に)、(再)認証することができると同時に、認証トークン及び新たなセッション鍵を含む認証更新メッセージを送信することによって新たなセッション鍵を確立することができる。図1を参照すると、例えば、デバイスD1が、デバイスD5に対して第1のパケット上で識別情報を証明すると同時に、デバイスD5との新たなセッション鍵を確立することを望む場合には、認証更新パケットが、{BD1=r・G mod p,mD1=r+h・

0083

0084

mod p,τD1,EAD5(セッション鍵(D1、D5),SIGD1(H(セッション鍵(D1、D5))))}である。

0085

かかるデバイスの一実施形態は、例えば、215,000個の論理セル、13メガバイトブロクランダムアクセスメモリ、及び700個のデジタル信号処理(DSP)スライス装備した、Xilinx Artix7フィールドプログラマブルゲートアレイ(FPGA)プラットフォームを備え得る。楕円曲線暗号を利用する実施形態では、例えば、ハードウェア数学的エンジンが、基盤に搭載されたDSPスライスにおいてインスタンス化され得、PUF構築が論理セル内に位置付けられ、論理処理コアが、PUFへの入力及び出力を含み、それらを制御するように構築され、デバイスの外部入力及び出力が、例えば上記したものなどのアルゴリズムを行う(楕円曲線及び他の数学的計算を数学的エンジンに送信する)。それゆえ構築されたデバイス(例えば、図1におけるD1−D8)は、(例えばネットワーク経由などで)接続され得、非対話型相互認証及び動的鍵生成を行うことができる。例えば、大型集積回路等の上のコーティングPUFを使用するような、非常に多くの他の物理的な実施形態が、容易に明白である。

0086

別の実施形態では、対象エンドデバイスの新たな「公開鍵」が、新たなランダムセッション鍵を暗号化するために対象エンドデバイスとの通信を要求せずに生成され得、それは、最新のセッション鍵に取って代わることになる。新たな公開鍵は、所望される通りに、米国特許第8,918,647号に説明されるような導出されたトークンを使用して生成されてもよく、その米国特許は、その点について参照によって組み込まれる。

0087

当業者は、例示的な特徴及びアルゴリズムの他の組み合わせ並びに適合が、異なる用途において使用され得、デバイスのハードウェア識別情報の使用が、提供された実施例のゼロ知識態様によって限定されない種々の暗号認証技法に適用され得ることを理解するであろう。例えば、システムと通信することを望むデバイスが、最初に、例えば、アルゴリズム5などに従う認証を行い得、システムに対して第1のパケットを認証し、次いで、システムが、セキュア通信チャネルを始動するためにデバイスとの(認証更新メッセージを通した)動的セッション鍵確立プロトコルを行い得る。更に、認証プロトコルは、ゼロ知識に限定される必要はなく、識別情報を確立するための他の暗号構築物に基づき得る。例えば、サーバは、チャレンジメッセージ、どのデバイスが、そのハードウェア識別情報を使用して(例えば、デバイスのPUFによって再生成された秘密鍵及び標準署名アルゴリズムを使用して)デジタル式署名し、サーバに戻されるパケットヘッダ(例えば、TCPオプションヘッダ)内にこの署名を含むかをデバイスに送信し得る。受信後、サーバは、デバイスの公開鍵を使用してそのチャレンジが有効であることに関してデジタル署名を検証する。

0088

本発明の一実施形態は、楕円曲線数学的フレームワークに頼るので、当業者は、それが、暗号法で実施されるロールベースアクセス制御(RBAC)を支援するように拡張され得ることを理解するであろう。すなわち、データアクセスポリシー及びデバイス認証情報が、数学的に指定され得、RBACアルゴリズムが、{0,1}におけるアクセス決定に対するポリシーP及び認証情報Cをマッピングする関数

0089

0090

を計算する。これは、典型的には、双線型ペアリング(例えば、WeilまたはTateペアリング)の構築によって達成される。

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

(分野番号表示ON)※整理標準化データをもとに当社作成

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い技術

関連性が強い 技術一覧

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ