专利名称:用于检验物品的真实性、完整性和/或物理状态的设备、系统和方法
技术领域:
本发明涉及用于检验一个物品的真实性、完整性和/或物理状态的物理不可克隆 函数(PUF)设备,以及用于检验一个物理物品的真实性、完整性和/或物理状态的系统和方法。
背景技术:
产品盗版是世界性问题。据估计,所有世界贸易中超过5%是假冒货品,每年合计 达到大约$250亿。这种产品盗版影响了物理产品(例如,手表,备件和药品),以及非物理产 品(例如,音乐和计算机软件)。然而,在一些情况中,非物理产品包装在物理包内或者存储 在某种物理媒体上(诸如,⑶上的音乐),由此在一些情况中,非物理产品也可以视为物理产
P
ΡΠ O为了克服该盗版问题,已经开发了用于检查产品真实性的许多不同的技术解决方 案。一个这样的解决方案是例如与数据库连接的条形码系统,在该条形码系统中,保存了与 有关物品相关的个别信息。然而,条形码可以容易地被复制。而且,为了升级,单独地保存 在多个国家中大量物品的信息需要大量的管理。因此,已经开发了不需要集中管理的其它 类型的技术解决方案。物理不可克隆函数(PUF)是通过物理系统来实现的函数,使得函数易于求值 (evaluate),但是物理系统难以表征。而且,物理系统难以在物理上克隆。例如在R. Pappu, Physical One—Way Functions, Ph. D. thesis, MIT, 2001 中描述了 PUF。国际专利申请No. W02007/031908描述了一种用于确定物品真实性的物理不可克 隆函数(PUF)设备,其中,当第一次使用物品时破坏PUF设备的PUF结构(pattern)。当使 用或者公开物品时破坏生成密钥的PUF结构。当PUF结构被破坏时,原始的密钥被破坏且 不再能被恢复。而且,所破坏的PUF结构导致了不可预测的(随机的)新钥匙,该钥匙与用于 验证的参考值不一致。因此,在第一次使用之后伪造物品的真实性事实上是不可能的。通常,货物被船运,其易受一些环境影响的攻击,例如,高/低温、高速、暴露在光、 化学制品、湿气下等等,或者货物简单地随时间退化。特别的标签存在于市场中,其指出过多的状态是否已经例如通过不可逆地改变颜 色而发生。然而,不诚实的人可能通过未指出问题已经发生的新标签来代替“无效的”标签。 因此,用于该物品的(重新)出售条件将显示满足。,替代物可能是伪造的标签或者简单地是 可在法律上对在供应链内的一方有用的另一个真实的标签。这个问题可能起因于真实的标 签不能相互区别且典型地被大量提供在例如名册中。
发明内容
因此,本发明的目的是解决或者至少减少以上所讨论的问题。特别地,该目的在 于,获得用于检验物理产品再出售条件的改进设备。
3
根据本发明,提供一种物理不可克隆函数(PUF),其包括PUF结构,用于检验物品 的物理状态,其中,所述PUF结构被布置成在所述物品暴露到预定环境状况的情况下被破 坏。有益地,所述PUF结构被布置成当第一次使用所述物品时被破坏。优选地,所述PUF结构被形成在标签中或者标签上。在一个示范性实施例中,所述PUF结构被布置成随时间退化。PUF结构被设置在无源或者有源传感器中或者其上。在这种情况下,传感器可以包 括放射传感器、加速计、震荡或者振动传感器、化学或者生化传感器、湿度传感器、电磁场 传感器或者压力传感器。将要理解的是,这包含无源和有源传感器(例如,对放射能起反应 的光敏膜以及盖革计数器,中断元件以及电子加速计,等等)。在另一个实施例中,所述PUF结构被形成在光、热、或者湿度敏感材料中或者其 上。同样,根据本发明,提供一种用于检验物品的物理状态的系统,其中,所述物品具 有根据前述限定的、设置在其中或者其上的PUF,系统包括用于从所述PUF结构得到测量 的响应的装置;用于比较所述PUF的所述测量的响应和存储的响应的装置;以及用于确定 所述测量的响应是否与所述存储的响应一致的装置。系统可以进一步包括用于检验(verifying)在注册阶段期间所述PUF的所存储 的注册数据真实性的装置。还根据本发明,提供一种能够检验物品的物理状态的方法,包括提供如以上所限 定的PUF ;测量其响应;基于从所测量的响应导出的信息形成注册数据;以及存储所述注册 数据。在这种情况下,所述方法可以进一步包括在存储所述注册数据之前对其签名。上述方法的改进可以多次应用到特殊的询问(challenge),以便例如通过使用 对在所有检测到的第一响应数据上的单独位的多数票来得到更可靠的所检测到的第一响 应数据。根据系统的鲁棒性,可以要求进一步的改进。如在国际申请WO 2004/104899, "Authentication of a physical object” 中所描述的增量(Δ)收缩函数(Delta contracting functions)(通过引用包含于此)可以用来补偿这种变化且可以用来得到更 加可靠的注册数据。W02004/104899详细描述了如何生成可以在验证过程中使用的所谓辅助数据来改 进可靠性。辅助数据和所测量的响应数据在验证期间用作增量收缩函数的输入。增量收缩 函数利用辅助数据中的冗余来校正所测量的响应数据的误差。增量收缩函数的输出可以被 解释为能够在另一个处理中使用的噪声补偿响应。因此,有益地,形成所述注册数据的步骤包括生成在检验物品的物理状态期间增 量收缩函数使用的第一辅助数据的子步骤。本发明的这些和其他方面将根据本文所描述的实施例显而易见,并且参考所述实 施例进行阐述。
现在将仅仅借助于实例并参照附图来描述本发明的实施例,其中
4图1图解地说明了覆层PUF装置; 图2图解地说明了 PUF设备;
图3图解地说明了标签形式的无源的、防篡改的、环境脆弱的PUF; 图4图解地说明了用于离线检验真实性的系统; 图5示出了用于离线检验真实性的方法的流程图; 图6图解地说明了用于在线检验真实性的系统;以及 图7示出了用于在线检验真实性的方法的流程图。
具体实施例方式在不受控的生产过程(其是含有某种随机性的生产过程)中所生产的物理装置适 于用作PUF装置。这种PUF装置的实例是
光学PUF装置一含有当由激光束照射时产生斑纹结构图样的无序结构的透明介质。覆层PUF装置一在含有随机介电粒子(根据其可以测量局部电容值)的集成电路上 的覆层。声学PUF装置一利用声波探测的物理结构。硅PUF装置一在硅中产生的由于制造变化而具有电路延时差的集成电路。在所有情况下,可以选择用来形成PUF装置的材料,使得在该材料所附着的或者 该材料所并入的物品暴露到预定的环境状况的情况下,使得PUF结构被破坏。例如,假如所要求的是确定在极端温度下的暴露,则可以使用不同膨胀系数的两 种或者更多种材料,以致于暴露在温度极限的情况下引起破损。如果要确定极限温度或者 压力,在这种状况存在时可以使用起反应、混合或者熔化的化学材料。假如在光下的暴露将 被识别,则可以利用感光材料来形成设备。由于制造过程中的随机性,存在极高的可能性每个单独的装置将产生他们自己 唯一的标识符。现在参考图1,图解地示出了覆层PUF装置。集成电路(IC)IOO具有含有随机介电 粒子的覆层102。在该特定情况下中,存在具有不同介电常数的两种类型的介电粒子104、 106,每种粒子的介电常数、以及大小、形状和位置影响电容(容量)。通过测量覆层的几个不同的局部电容值,获得特征结构。该特征结构可以利用在 IC 100的顶部金属层中所包括的传感器结构矩阵108读出,所述传感器结构矩阵108设置 在绝缘层110上。参考附图中的图3,图示了防篡改的、环境易碎标签。标签110包括多个物理可探 测的粒子112的随机分布。优选地,随机分布通过在生产标签期间将粒子与制造标签的主 要材料元素(element)(例如塑料粒子或纸纤维)混合来实现。这将给出对于每个标签而言 唯一的随机分布。在本上下文中,“随机”分布的主要特征在于,其不能可靠地复制(即,“不 可克隆”),使得每个标签唯一可识别。有利地,粒子具有与主要标签粒子相比不同的材料(或被不同地处理,例如,被着 色或者被涂覆),不仅使得粒子的检测可靠和简单,而且保证标签所附着的或者标签所并入 的物品暴露到预定的环境状况的情况下PUF结构被破坏。
提供防篡改的、环境易碎的PUF的其他合适方法也被设想且本发明不必有意限制 在该方面。在任何情况下,用于PUF装置的特征结构将被称为“PUF结构”,且由该PUF结构所 产生的数据将被称为“密钥”或者“唯一标识符”。射频识别(RFID)标记是集成电路(IC),其可以用于物品的无线识别。今天,RFID 标记广泛地应用于供应链管理,且在将来,条形码系统可以由RFID装置来代替。通过将RFID装置和PUF装置相结合,获得用于无线识别和真实性检验的系统。图 2中呈现了将在这种系统中使用的设备。整个设备(此处称为“PUF设备” 200)可以是标签的形式,以便容易地附着到物品上。PUF设备200包括PUF装置202 (优选的是覆层PUF装置),以及RFID装置204。 RFID装置204又包括处理器206、通信构件208和存储器210。存储器210可以被分为易失存储器212 (例如,RAM)和非易失存储器214 (例如, EEPROM或者其他合适类型的ROM),其中,易失存储器212可以用于临时存储PUF结构,且非 易失存储器214可以用于存储为了识别目的的软件指令和数据。可替代地,注册数据可以 存储在非易失存储器上。可替代地,PUF结构可以以完全无源的、防篡改的标记或者类似物的形式来提供。参考图4,介绍了用于离线检验真实性的系统300。系统包括PUF设备302和控制 设备304。PUF设备302可以以如下方式被包括在附着在物品上的标签内当物品第一次使 用时,PUF设备内部的PUF结构被毁坏,例如
-打开盒子 -穿过带子 -胶合牛奶包装 -覆盖PUF的电子元件 -覆盖PUF的螺钉。可替代地,破坏PUF结构,使得PUF设备不再能够验证物品,但是PUF设备仍然可 以用于识别例如家庭环境中的物品。破坏PUF然后给其新的身份。总之,如果PUF设备已 经暴露到预先选择的非期望环境状况下,PUF结构将被破坏,且验证将是不可能的。控制设备304可以是适于近场通信(NFC)的手持设备,例如,能够NFC的移动电话。现在参考图5,描述了离线检验系统的方法。然而,在离线检验可能已经完成之前, PUF设备必须注册。在注册阶段,具有公钥e的受信第三方使用其私钥d给唯一的标识符S 签名承诺(Commitment)C (S),并且将所签名的承诺$dC(S)存储在PUF设备中,优选地存储 在非易失存储器214中。注意到,e、d对是公/私钥对,其中的所述公钥e是公众已知的, 以及所述私钥d由签名者保密。符号$d表示利用私钥d所创建的签名,其可以通过使用公 钥e (由任何人)来检验。所签名的承诺$dC(S)或者承诺C(S)不揭露关于唯一标识符S的任何信息。而且, 因为已经使用了(钥匙对e、d中的)私钥d,所以对于任何人来说可以使用公钥e来检查承 诺$dC(S)的签名。
首先,在离线验证中,在步骤400中,实例化信息从控制设备发送到PUF设备。如 果PUF设备被外供电,该步骤还包括向PUF设备供电。第二,在步骤402中,承诺$dC(S)从PUF设备发送到控制设备。第三,在步骤404中,控制设备接收承诺$d C( 且检验签名是有效的。第四,在步骤406中,PUF设备使用其合为一体的PUF结构创建秘密的密钥Stemp, 且在易失性存储器中临时存储该密钥StMP。第五,在步骤408中,PUF设备和控制设备相互作用,以便于检查在承诺$d C(S)中 所使用的秘密的密钥S是否对应于被临时存储的密钥stemp。为了不揭露任何秘密信息,例 如被临时存储的密钥Stemp,零知识(ZK)协议被用于PUF设备和控制设备之间的通信。以下, 将更加详细地描述Si协议。如果Stemp和S证明是相同的,则在暗示物品是可信的且没有被暴露在非期望的环 境状况(即,对于物品满足再出售条件)的注册之后,PUF设备没有被改变。然而,例如,如果某人按照以下方法已经打开或者使用物品包括PUF设备(特别 是PUF结构)的标签已经被破坏,则这将由于Stemp将与S不同的事实而被检测。相似地,如 果不满足再出售条件,因为Stanp将与S不同所以这将被检测。ZK协议的基本思想是证明拥有秘密,而不揭露它。在这种情况下,为了得到承诺 $d C(S)而使用的密钥S和临时存储的密钥Stemp将被证明相等,而不需要揭露它们中任何一 个。所签名的承诺$d C⑶优选地存储在含有PUF的RFID设备的存储器中。为了将 RFID设备与某个物理对象或者物品安全地连接,所签名的承诺和一个值“物品文本”上的附 加签名$’ ($d C(S),物品文本)优选地也存储在RFID设备上。此处,物品文本表示物品的 某个特征,如物品上文本,序列号,产品条形码、有效期,等等。第二签名$’由嵌入RFID的 一方使用公密来创建。读取器设备可以检查该第二签名$’是否有效以及在启动I协议之 前物品文本是否与所扫描物品匹配。可替代地,物品文本可以在读取器设备上显示,使得用 户可以检查所扫描的、具有PUF的RFID标记是与他正扫描的物品匹配的正确标记。一种可能的TJk协议是Schnorr识别协议。简言之,Schnorr识别协议如下进行 选择表示为P、q和g的三个公共数,其中,P是IOM比特的素数,q是160比特的素数,以及 g是q的可增加的次序(order)的生成器;并且,通过C(S)=gs mod ρ确定S的承诺,其中, S可以假设为0到q之间的数。随后,可以通过PUF设备来生成随机数r (满足1彡r彡q_l ),且,接下来,可以根 据mod ρ来确定相应的公共值χ。在这之后,控制设备生成随机询问e,对于随机询问e,PUF设备根据y=S*e+r mod q来生成响应q。该响应被送回到控制设备,所述控制设备然后可以根据 gy==x* (C (S)) e mod ρ
检查响应相对于值X、e和由受信第三方所签名的承诺C( 是正确的。按照Tk协议,PUF设备具有证人的角色,控制设备具有检验者的角色以及S用作 证据。在完全无源的PUF情况下,例如,具有所嵌入物理结构的防篡改标签(例如,图2中所示出的),也可以使用离线检验方法。在这种情况下,在注册阶段期间,存储PUF测量的、关于物品本身和关于物品信息 的数字表示)。如前所述,数字表示可以被签名或者被加密。在任何情况中,其以适当的形 式存储,以使得能够由检验设备来检验。检验设备从标签读取注册数据,并且检查其真实性。测量单元基于所述粒子的物理特性的测量确定关于物品中或者其上标签的数字 表示(此后称为“所测量的表示”)。所测量的特性包括关于至少一些粒子的实际分布的信 息,且被测量。检验设备还包括比较单元,其用于比较所测量的表示和所存储的表示。如果这两 种表示匹配,产品仅仅被接受为可信的且没有暴露到非期望的环境状况下(即,满足物体再 出售条件)。如果可以,产品被接受;否则,其被拒绝。用户被告知结果。代替使用离线检验系统,可以使用在线检验系统。参考图6,示出了包括PUF设备500、检验设备502和数据库504的在线检验系统。 数据库被保存在受信外部服务器上。控制设备502可以经由安全认证信道(SAC) 506与数据库(DB) 504通信。DB 504可以含有大量的询问Ci和响应氏对,其中根据(Ci, S)响应氏可以 通过使用将询问Ci和密钥S作为输入参数的密码学单向散列函数h ()询问来确定。可选 地,DB 504中的数据由注册官方来签名。现在参考图7,描述在线检验系统的方法。首先,在步骤600中,实例化信息从控制设备发送到PUF设备,如果PUF设备被外 部供电,该步骤还包括向PUF设备供电。第二.在步骤602中,PUF设备将ID发送到控制设备。第三,在步骤604中,控制设备接收ID且经由SAC转发该ID到DB。第四,在步骤606中,数据库接收ID且发现未用的CiZ^Ri对,并将其发送回控制设 备。可替换地,生成新的CiZ^i对且将其发送回控制设备。另一个替代方案是DB发送注册 的询问-响应对的完整列表到控制设备。第五,在步骤608中,控制设备接收CVRi对,并且将询问Ci转发到PUF设备。第六,在步骤610中,PUF设备接收C”随后,PUF设备使用PUF结构创建S且在易 失性存储器中存储该S。如果使用覆层PUF装置,则通过测量覆层的局部电容值来创建S。第七,在步骤612中,PUF装置通过使用先前提到的密码学单向散列函数R= MCi, S)来重构响应R。第八,在步骤614中,PUF设备将重构的响应R发送到控制设备。第九,在步骤616中,控制设备接收重构的响应R且检查该重构的响应是否等于响 应氏。如果所述响应相等,则PUF结构被认为未改变,这暗示着物品是可信的,并且满足再 出售条件。将被理解的是,询问-响应对的数量实际上可能是1。在这种情况系,一个单个的 物理特性被测量(但是响应不必是秘密的),并且注册数据的真实性由检验者来检查。不可 克隆性保证没有人可以伪造。此外,在完全无源、防篡改、环境易碎的PUF的情况下,可以使用在线检验系统。
在这种情况下,检验设备测量PUF的ID,且经由SAC将该ID转发到DB。接下来, 数据库接收ID,且发现未用的CVRi对,并将其发送回检验设备。可替代地,产生新的CVRi 对且将其发送回检验设备。另一个替代方案是DB发送注册的询问-响应对的完整列表到 检验设备。接下来,控制设备接收CVRi对且将询问Ci应用到PUF,并使用PUF结构创建S,以 及将该S存储到易失性存储器中。如果使用覆层PUF装置,则通过测量覆层的局部电容值 来创建S。检验设备然后通过使用先前提到的密码学单向散列函数R= h (Ci, S)来重构响应 R,并且检查该重构的响应是否等于响应氏。如果响应相等,PUF结构被认为未改变,这暗示 着物品是可信的,并且满足再出售条件。将被理解的是,询问-响应对的数量实际上可能是1。在这种情况下,一个单个的 物理特性被测量(但是响应不必是秘密的),并且注册数据的真实性由检验者来检查。不可 克隆性保证没有人可以伪造。应当注意,上述实施例是说明而不是限制本发明,且本领域技术人员将能够设计 许多可替代的实施例,而不脱离由所附权利要求限定的本发明的范围。在权利要求中,括号 中放置的任何附图标记将不被解释为限制权利要求。词语“包括”及类似词语不排除存在 不同于任何权利要求中或者作为整体的说明书中所列出的元件或者步骤。元件的单数引用 不排除这种元件的复数应用,反之亦然。本发明可以借助于包括若干独立元件的硬件来实 现,并且借助于适当的编程计算机来实现。在列举了若干个装置的设备权利要求中,这种装 置中的几个可以由同一项硬件来体现。在相互不同的从属权利要求中叙述某些方法的仅有 事实不表示这些方法的组合不能被有利地使用。
9
权利要求
1.一种物理不可克隆函数(PUF),包括PUF结构,用于检验物品的物理状态,其中,所 述PUF结构被布置成在所述物品暴露到预定环境状况的情况下被破坏。
2.如权利要求1所述PUF,其中,所述PUF结构被布置成当第一次使用所述物品时所 述PUF结构被破坏。
3.如权利要求1所述PUF,其中,所述PUF结构被形成在标记中或者其上。
4.如权利要求1所述PUF,其中,所述PUF结构被布置成随时间退化。
5.如权利要求1所述PUF,其中,所述PUF结构被设置在无源或者有源传感器中或者其上。
6.如权利要求5所述PUF,其中,所述传感器包括放射能传感器、加速计、震荡或者振 动传感器、化学或者生化传感器、湿度传感器、温度传感器、光传感器、电磁场传感器、或者 压力传感器。
7.如权利要求1所述PUF,其中,所述PUF结构被形成在光、温度、或者湿度敏感材料中 或者其上。
8.一种用于检验物品的物理状态的系统,其中,所述物品具有根据前述权利要求中任 何一项、设置在其中或者其上的PUF,该系统包括用于从所述PUF结构得到测量的响应的 装置,用于比较所述PUF的测量的响应和存储的响应的装置,以及用于确定测量的响应是 否与所述存储的响应一致的装置。
9.如权利要求8所述的系统,进一步包括用于检验在注册阶段期间所述PUF的所存 储的注册数据真实性的装置。
10.一种能够检验物品的物理状态的方法,包括提供根据权利要求1的PUF,测量其 响应,基于从所测量的响应导出的信息形成验证数据,以及存储所述验证数据。
11.如权利要求10所述的方法,进一步包括在存储所述验证数据之前对其签名。
12.如权利要求10所述的方法,其中,形成所述验证数据的步骤包括生成在检验物 品的物理状态期间使用的第一辅助数据的子步骤。
全文摘要
一种物理不可克隆函数(PUF)结构用于检验物品的物理状态。PUF结构被布置成在所述物品暴露到预定环境状况的情况下被破坏。检验物品的物理状况是通过根据PUF结构获得测量的响应以及比较PUF的测量的响应和所存储的响应来实现的。
文档编号G06F21/74GK102077205SQ200980124075
公开日2011年5月25日 申请日期2009年6月17日 优先权日2008年6月27日
发明者斯科里克 B., J. J. H. 谢珀斯 H. 申请人:皇家飞利浦电子股份有限公司