[发明专利]一种基于物理不可克隆函数的密钥保护方法和安全芯片

说明书

本发明公开了一种基于物理不可克隆函数的密钥保护方法，其步骤包括密钥登记阶段、密钥重构阶段。密钥登记阶段一般处于设备制造阶段，用于使用设备上的物理不可克隆函数将设备密钥绑定到设备上。密钥重构阶段处于设备使用阶段，用于计算登记阶段绑定到设备上的密钥。本发明还可包括密钥更新阶段，密钥更新阶段用于更新设备密钥。本发明可以为设备安全的绑定多个密钥，并且保证一个密钥的泄露不会影响其他密钥的安全性，另外，本发明提供了密钥更新机制，允许在不更换设备硬件的情况下更新设备密钥。

技术领域

本发明涉及信息安全领域中的密钥保护方法，特别是涉及芯片或设备中使用物理不可克隆函数(Physical Unclonable Function，PUF)增强密钥安全性的密钥保护方法以及基于物理不可克隆函数的安全芯片。

背景技术

现代密码学中，密钥是数字签名、身份认证、加解密、安全通信等密码学功能的核心，一旦密钥被攻击者获得，那么上述密码学功能的安全性将无法得到保证。由此可见密钥在信息安全系统的重要性。而且随着电子商务、银行业务等与安全密切相关的业务的兴起，密钥保护在现代信息社会变得越来越重要。目前保护密钥的基本思路是使用专门的电路或者硬件存储密钥，然后向外提供密码学功能接口。这种思路的主要目的是将密钥的运行环境与普通代码的运行环境隔离，使得攻击者无法直接获得密钥。目前比较常见的产品形态为安全硬件，比如可信平台模块(Trusted Platform Module，TPM)、USB Key、安全令牌、加密卡等。在智能手机等对体积要求比较高的场景，密钥被集成在手机的片上系统(Systemon Chip，SoC)内部，手机SoC上同时还集成相应的密码学功能电路供手机调用。

因为密钥的使用场景要求密钥在设备重启后仍然能够继续使用，所以目前一般将密钥固化在安全硬件或电路中，通常情况下存储在ROM或者EEPROM等掉电非易失性存储介质中。这种存储方式相当于将密钥固化在电路上，使用时直接调用。但是随着攻击者物理攻击能力的增强，现在已经出现了各种直接攻击安全芯片的方法，包括半侵入式攻击以及侵入式攻击等。这些攻击通过极细的探针侵入芯片或电路内部，然后直接读取芯片内部存储的数据。很多攻击者公开了攻击案例，比如2010年就有美国黑客攻破了Infineon的TPM安全芯片，获得了芯片内部的密钥。为了抵抗物理攻击，安全芯片制造者在机密数据存储区域部署探测物理环境变化(比如压力、物理破坏、温度等)的传感器，一旦发现物理环境发生变化(即物理攻击者的行为)，立刻销毁存储区域内的机密数据。这种方式极大的增加了芯片的制造成本和设计难度，并且随着攻击手段的升级，能力强的攻击者仍然可以攻破安全芯片。

上述密钥保护方式容易被攻破的主要原因在于需要永久性存储密钥，从而给了攻击者更多的攻击机会。为了克服上述缺陷，信息安全产业界和学术界提出了新的密钥保护方法：物理不可克隆函数(PUF)。PUF是一种物理组件，这类组件在受到外部的激励后会生成一个具有指纹特征的响应：不同的组件所形成的响应相互独立，但是相同组件在多次相同激励下产生的响应基本一致。使用PUF来保护密钥的算法称为模糊提取器算法，包含两个阶段：登记阶段和重构阶段。

1、在登记阶段，设备生产厂商生成要绑定到这个设备上的密钥，将这个密钥使用纠错码的编码算法生成一个码字，然后将这个码字与设备上PUF的指纹进行异或操作得到辅助数据，最后将辅助数据保存在设备上。注意，此辅助数据不需要安全存储。

2、在重构阶段，用户激励设备上的PUF获得设备指纹，与存储在设备上的辅助数据进行异或得到一个具有“噪音”的码字，将此码字通过纠错码的解码算法进行纠错，得到厂商在登记阶段绑定到此设备的密钥。用户在使用完密钥之后可以删除密钥，降低被泄露的风险。

通过上面对模糊提取器算法的描述可以看出PUF的指纹相当于密钥的一个掩码，只要无法得到指纹信息，辅助数据对攻击者来说就相当于随机数，攻击者就无法获得任何有关密钥的信息。虽然上述方法提升了传统密钥存储方式的安全性，但是仍然存在如下不足：