br>[0039]以简单的方式通过可再生的确定目标的参数来实现密钥更新。
[0040]本发明还包括用于创建从密码密钥中所推导的密钥的设备,该设备包括:
-电路单元,具有至少一个物理不可克隆函数;
-第一单元,用于根据密码密钥和至少一个推导参数来确定至少一个请求值; -电路单元的第二单元,用于借助于至少一个物理不可克隆函数根据至少一个请求值来产生应答值;
-第三单元,用于从至少一个应答值中推导所推导的密钥。
[0041]根据本发明的一种改进方案,所述设备包括至少一个另外的单元以在根据按照本发明的方法的上述的构型方式或改进方案的方法步骤中使用。
【附图说明】
[0042]下面利用实施例根据图进一步阐述本发明。其中:
图1示出用于创建从密码密钥中推导的密钥的方法的示意性图示以及用于创建从密码密钥中推导的密钥的设备的基本单元;
图2根据本发明的实施例示出用于创建从密码密钥中推导的密钥的方法的示意性图不O
【具体实施方式】
[0043]图1示意性示出,如何根据本发明的第一实施例在设备10上创建从密码密钥K和推导参数P推导的密钥I。给由密码密钥K和推导参数P组成的组合分配请求值C。密码密钥K例如是32比特、64比特、128比特或256比特长度的随机数序列。密码密钥K用作主密钥并且受保护地存放。例如主密钥存放在FPGA内的所谓的多态熔丝(Polyfuse)中。从现有技术中已知多态熔丝。该多态熔丝是非易失的并且仅能编程一次。
[0044]通过推导参数P的数量能够确定不同的所推导的密钥的数量。例如可以设想,网络节点对于与其通信的每个其它网络节点利用不同的密钥来加密通信。为此针对每个通信连接确定不同的推导参数P。在网络内借助于对称加密来加密的通信于是根据目标(也即在该情况下根据通信伙伴)来加密。
[0045]借助于哈希函数--例如循环冗余检查函数(Cyclic Redundancy Check,简称
CRC)——从推导参数P和密码密钥K中在第一单元El上确定请求值C。对于请求值C的确定来说设置专门为此设计的中央计算单元。这在当确定请求值C时的计算耗费高的情况下(也即例如在十亿数量级的挑战值的挑战值范围的情况下)尤其是有利的。
[0046]推导参数P例如说明IP地址并且为:
IP-192.168.13.12
所分配的请求值C是挑战值,现在物理不可克隆函数2 (所谓的Physical UnclonableFunct1n,简称PUF)被用该挑战值来施加。PUF2例如实现在集成半导体电路上并且构造为所谓的延迟PUF。环振荡器内的信号的延迟因此例如可以被分析并且由于制造过程引起的构造结构中的不可避免的不规则性是电路的明确特征。同样可以使用其它PUF变型(例如仲裁PUF或蝴蝶PUF)代替延迟PUF。
[0047]因此,从密码密钥K和推导参数P产生属于确定的挑战值C的响应值R,该响应值R的值对于嵌入到电路单元中的PUF2来说是特征性的。在第二电路单元上不能产生相同的响应值R。从响应值R中推导所推导的密钥I。
[0048]通过这种方式可能的是,在密钥推导方法期间同时将电路单元上的计算耗费保持为低的并且确保高的安全级别。通过使用PUF2来产生所推导的密钥,与来自现有技术的用于密钥推导的方法不同不需要密码算法。尽管如此,尤其仅在为此设置的设备上可以进行密钥推导。
[0049]推导用于解密数据载体或数据载体的一部分的密钥一一该密钥与为了加密数据载体或数据载体的一部分而创建的密钥相对应一一仅在其上也推导了用于加密的密钥的、具有集成电路的设备上是可能的。这尤其是在其上应该实施加密的设备。
[0050]根据本发明的第二实施例,从密码密钥K和推导参数P分配多个请求值C1、C2。图2对此示出示意性流程图。例如确定挑战Cl、C2,针对所述挑战借助于PUF2来确定分别所属的响应Rl、R2。这具有以下优点,在薄弱的PUF——该PUF在单个问询的情况下不可靠地使用可用的密钥空间一一的情况下也能够确定强密钥。每个挑战值Cl确定的响应值Rl被推导用于与目标绑定的密钥。
[0051]确定目标的参数--该参数说明与目标绑定的密钥的目标--例如以字符串的形式存在。现在通过将确定目标的参数例如与不同的字符串连结来产生多个属于确定目标的参数的中间参数。因此,通过人为地造成的复制从确定目标的参数中形成不同的中间参数。
[0052]为了对于每个单个的中间参数来确定挑战值Cl,类似于在单个推导参数的情况下确定挑战值Cl,借助于诸如尤其是MD5、SHA-U SHA256等的哈希函数来执行循环冗余检查或计算。挑战值C1、C2的量现在与从确定目标的参数中复制的中间参数的量有关地存在。
[0053]在该实施例中作为确定目标的参数来分析来自环境的上下文信息的参数。例如确定数据的检查和并且同时确定维护技术人员的标志。通过所描述的复制方法来推导中间参数。使用用于密钥推导的上下文信息使得能够创建多个会话专用的密钥。会话专用的密钥应该尤其对于维护技术人员的每次使用来说是一次性的。
[0054]根据第二实施例的方法在被构造为电路单元的设备10上实施。
[0055]用于确定挑战Cl、C2的所描述的方法在电路单元上的第一单元El上实施。PUF2明确地表征该电路单元。在第二单元E2的函数中,PUF2被用所分配的挑战值Cl、C2施加并且分别提供所属的响应值Rl、R2。
[0056]现在在第三单元E3 (该第三单元在该实施例中同样是电路单元的一部分)上推导所推导的密钥。所产生的响应值R1、R2可以为此作为具有要考虑的顺序的集合或列表来分析。例如首先计算整体响应值,该整体响应值从各个响应值Rl、R2的异或关联得出。可替代地,整体响应值可以作为各个响应值R1、R2的连结来确定。可替代地,可以分别从响应值Rl、R2中产生前密钥K1、K2并且在第二步骤中将前密钥K1、K2与所推导的密钥关联,尤其通过异或关联。否则给密钥推导函数传送整体响应值并且从中推导所推导的密钥。
[0057]所推导的密钥通过第三单元E3的输出单元来提供。
[0058]在挑战的有限的值范围的情况下,根据第二实施例的方法也使得能够创建所推导的密钥,其中以高的概率针对不同的确定目标的参数也产生不同的所推导的密钥。
【主权项】
1.用于创建从密码密钥(K)中推导的密钥(I)的方法,其中给密码密钥(K)和至少一个推导参数(P)分配至少一个请求值(C),其中在电路单元上借助于至少一个物理不可克隆函数(2)根据所述至少一个请求值(C)来产生应答值(R)并且从至少一个应答值(R)中推导所推导的密钥(I)。2.根据权利要求1所述的方法,其中给密码密钥(K)和至少一个推导参数(P)分配至少两个请求值(Cl、C2)。3.根据权利要求2所述的方法,其中根据至少两个请求值(Cl、C2)分别产生至少两个应答值(R1、R2)之一。4.根据权利要求3所述的方法,其中从至少两个应答值(Rl、R2)中推导所推导的密钥(I)。5.根据权利要求3或4所述的方法,其中在电路单元上两个或更多物理不可克隆函数分别被用至少一个请求值来施加并且分别产生取决于至少一个请求值的应答值。6.根据前述权利要求之一所述的方法,其中密码密钥(K)借助于至少一个物理不可克隆函数(2)来创建。7.根据前述权利要求之一所述的方法,其中电路单元被构造为集成半导体电路单元。8.根据前述权利要求之一所述的方法,其中所述至少一个物理不可克隆函数(2)被构造为延迟PUF、仲裁PUF、SRAM-PUF、环振荡器PUF、双稳环PUF、触发器PUF、短时脉冲PUF、蜂窝非线性网络PUF或者蝴蝶PUF。9.根据前述权利要求之一所述的方法,其中推导参数(P)由至少一个确定目标的参数形成。10.根据权利要求9所述的方法,其中确定目标的参数从下面的参数之一中选择:网络地址、节点标识符、接口标识符、应用的标识符、数据包的内容、随机值、计数值、中央单元的序列号、来自环境的上下文信息的参数或者数据块的检验和。11.用于创建从密码密钥(K)中所推导的密钥(I)的设备(10),该设备包括: -电路单元,具有至少一个物理不可克隆函数(2); -第一单元(El ),用于根据密码密钥(K)和至少一个推导参数(P)来确定至少一个请求值(C); -电路单元的第二单元(E2),用于借助于至少一个物理不可克隆函数(2)根据至少一个请求值(C)来产生应答值(R); -第三单元(E3),用于从至少一个应答值(R)中推导所推导的密钥(I)。12.根据权利要求11所述的设备,该设备还包括至少一个另外的单元以用于在根据权利要求I至10的方法步骤之一中使用。
【专利摘要】介绍用于借助于至少一个物理不可克隆函数来创建从密码密钥推导的密钥的方法和设备。在此给密码密钥和至少一个推导参数分配至少一个请求值。在电路单元上借助于至少一个物理不可克隆函数根据各至少一个请求值来产生应答值。从至少一个应答值中推导所推导的密钥。
【IPC分类】H04L9/32, H04L9/08
【公开号】CN105009507
【申请号】CN201480011130
【发明人】R.法尔克, S.弗里斯
【申请人】西门子公司
【公开日】2015年10月28日
【申请日】2014年1月14日
【公告号】DE102013203415A1, EP2918040A1, WO2014131539A1