處理認(rèn)證信息的裝置及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明是關(guān)于數(shù)字安全領(lǐng)域，特別是關(guān)于一種儲(chǔ)存并處理生物信息的裝置和方法。此外，本發(fā)明是關(guān)于一種安全地儲(chǔ)存和處理生物信息和/或用戶密碼的方法，被用于電子裝置的嵌入性系統(tǒng)(Embedded system)、片上系統(tǒng)SoC (System on Chip)、智能卡(SmartCard)，通用用戶識(shí)別模塊USIM(Universal Subscriber Identity Module,)等裝置的防護(hù)/認(rèn)證。
【背景技術(shù)】
[0002]根據(jù)信息化社會(huì)的日新月益，對于個(gè)人隱私防護(hù)的需求也日益增加，安全認(rèn)證工具成為一個(gè)重要的科技議題。
[0003]尤其是網(wǎng)絡(luò)銀行、智能卡(Smart Card)和機(jī)器對機(jī)器M2M(Machine to Machine)技術(shù)中，要求用于辨識(shí)用戶或者裝置的認(rèn)證密鑰必須具備高水準(zhǔn)的安全可信度。在接下來的說明書里，將認(rèn)證密鑰(Authenticat1n key)稱為識(shí)別密鑰(Identificat1n key)或密鑰(Key)。
[0004]認(rèn)證可包括基于持有物(possess1n-based)的認(rèn)證、基于知識(shí)(knowledge-based)的認(rèn)證，基于持有物的認(rèn)證要擁有特定的物體才能通過認(rèn)證，而基于知識(shí)的認(rèn)證則是要以密碼(Password)來執(zhí)行。
[0005]由于基于持有物和基于知識(shí)的認(rèn)證各自有自己的優(yōu)缺點(diǎn)，因此兩者都正被采納作為安全認(rèn)證的方式。
[0006]同時(shí)，物理不可克隆功能PUF(Physical Unclonable Funct1n)可提供無法預(yù)測的數(shù)字值。就算提供精密的制程且PUF在相同的制程中被制成，PUF所提供的數(shù)字值也會(huì)不同。
[0007]因此，也被稱作不可被復(fù)制的POWF(Physical One-Way Funct1n practicallyimpossible to be duplicated)。
[0008]該P(yáng)UF可用來生成安全和/或認(rèn)證的密鑰。例如，PUF可被用來提供唯一密鑰來區(qū)分多個(gè)不同的裝置(Unique key to distinguish devices from one another) o
[0009]然而，在使用PUF所生成的密鑰進(jìn)行認(rèn)證時(shí)，用戶難以記住識(shí)別密鑰。在將用戶輸入密碼和/或用戶的生物信息作為認(rèn)證密鑰時(shí)，儲(chǔ)存在終端電腦的信息必須具有高水準(zhǔn)的安全保障。

【發(fā)明內(nèi)容】

[0010]技術(shù)方案
[0011]根據(jù)一個(gè)側(cè)面，提供一種信息處理裝置，包括:物理不可克隆功能PUF，利用半導(dǎo)體制造過程中的制程偏差生成至少一個(gè)唯一密鑰；和加密單元，利用該唯一密鑰將從用戶接收到的密碼加密來生成識(shí)別密鑰。
[0012]根據(jù)一個(gè)實(shí)施例，PUF可利用半導(dǎo)體導(dǎo)電層之間形成的層間接觸判斷導(dǎo)電層是否短路，來生成唯一密鑰。
[0013]在這種情況下，半導(dǎo)體的導(dǎo)電層之間形成的該層間接觸，可根據(jù)半導(dǎo)體制程中提供的設(shè)計(jì)規(guī)定的尺寸更小地被構(gòu)成。
[0014]根據(jù)一個(gè)實(shí)施例，PUF可具有符合以下條件的層間接觸的尺寸，其為半導(dǎo)體的導(dǎo)電層之間所形成的層間接觸使導(dǎo)電層短路的機(jī)率和不短路的機(jī)率的差異在預(yù)設(shè)的誤差范圍內(nèi)。
[0015]根據(jù)一個(gè)實(shí)施例，PUF可具有N個(gè)單位結(jié)構(gòu)，利用一對導(dǎo)電層以及連接該導(dǎo)電層的層間接觸，生成I比特的元數(shù)字值，N為自然數(shù)，通過該N個(gè)單位結(jié)構(gòu)生成N比特的唯一密鑰。
[0016]在這種情況下，PUF可生成N比特的數(shù)字值。信息處理裝置可將N比特的唯一密鑰中包含的數(shù)字值按K個(gè)單位分組，k為自然數(shù)，在被分組的多個(gè)組中比較第一組和一第二組，且當(dāng)?shù)谝唤M所包含的以k個(gè)數(shù)字比特構(gòu)成的值大于在該第二組所包含的k個(gè)數(shù)字比特構(gòu)成的值時(shí)，可將代表第一組和第二組數(shù)字值決定為I。
[0017]在此，當(dāng)?shù)谝唤M中包含的k個(gè)數(shù)字比特所構(gòu)成的值與第二組中包含的k個(gè)數(shù)字比特所構(gòu)成的值相同時(shí)，信息處理裝置根據(jù)設(shè)定可選擇性地將代表第一組和第二組的數(shù)字值決定為I或O中的一個(gè)，或是也可不決定代表第一組和第二組的數(shù)字值。
[0018]根據(jù)一個(gè)實(shí)施例，加密單元可將唯一密鑰作為回合密鑰將密碼加密N次，來生成識(shí)別密鑰，N為自然數(shù)。
[0019]在這種情況下，加密單元根據(jù)AES(Advance Encrypt1n Standard)方法或T-DES (Triple Data Encrypt1n Standard)方法，將密碼加密來生成識(shí)別密鑰。
[0020]根據(jù)另一個(gè)側(cè)面，提供一種信息處理裝置，包括:PUF，利用半導(dǎo)體制造過程中的制程偏差來生成至少一個(gè)唯一密鑰；和加密單元，利用唯一密鑰將輸入的生物信息加密來生成識(shí)別密鑰。
[0021]根據(jù)一個(gè)實(shí)施例，PUF可利用半導(dǎo)體導(dǎo)電層之間形成的層間接觸判斷導(dǎo)電層是否短路，來生成唯一密鑰。
[0022]根據(jù)一個(gè)實(shí)施例，半導(dǎo)體的導(dǎo)電層之間形成的該層間接觸，可根據(jù)半導(dǎo)體制程中提供的設(shè)計(jì)規(guī)定的尺寸更小地被構(gòu)成。
[0023]此外，PUF可具有符合以下條件的層間接觸的尺寸，其為半導(dǎo)體的導(dǎo)電層之間所形成的層間接觸使導(dǎo)電層短路的機(jī)率和不短路的機(jī)率的差異在預(yù)設(shè)的誤差范圍內(nèi)。
[0024]根據(jù)又另一個(gè)側(cè)面，提供一種信息處理裝置，包括至少一個(gè)PUF，利用半導(dǎo)體制造過程中的制程偏差，生成由至少一個(gè)數(shù)字值構(gòu)成的唯一密鑰，并包括加密單元，將從用戶接收到的密碼及生物信息中的至少一個(gè)加密來生成識(shí)別密鑰。
[0025]根據(jù)一個(gè)實(shí)施例，加密單元可將至少一個(gè)唯一密鑰作為回合密鑰，將該密碼和生物信息中的至少一個(gè)加密N次，來生成識(shí)別密鑰，N為自然數(shù)。
[0026]根據(jù)一個(gè)實(shí)施例，加密單元根據(jù)AES方法或T-DES方法，將該密碼或生物信息中的至少一個(gè)加密來生成識(shí)別密鑰。
[0027]根據(jù)一個(gè)實(shí)施例，PUF可利用半導(dǎo)體導(dǎo)電層之間形成的層間接觸判斷導(dǎo)電層是否短路，來生成唯一密鑰。。
[0028]在此，該層間接觸，可根據(jù)半導(dǎo)體制程中提供的設(shè)計(jì)規(guī)定的尺寸更小地被構(gòu)成。
[0029]此外，PUF可具有符合以下條件的層間接觸的尺寸，其為半導(dǎo)體的導(dǎo)電層之間所形成的層間接觸使導(dǎo)電層短路的機(jī)率和不短路的機(jī)率的差異在預(yù)設(shè)的誤差范圍內(nèi)。。
[0030]根據(jù)一個(gè)實(shí)施例，信息處理裝置可進(jìn)一步包括:PUF選擇單元，其在至少一個(gè)PUF中選擇該加密單元將用來加密的PUF。
[0031]根據(jù)又一個(gè)側(cè)面，提供一種信息處理方法，包括以下步驟:處理裝置中包含的PUF利用半導(dǎo)體制造過程中的制程偏差生成至少一個(gè)唯一密鑰；該信息處理裝置的加密單元，利用該唯一密鑰將輸入至該信息處理裝置的第一用戶輸入密碼或第一用戶生物信息中的至少一個(gè)加密，生成加密的密碼或加密的生物信息中的至少一個(gè)。
[0032]根據(jù)一個(gè)實(shí)施例，信息處理方法可進(jìn)一步包括以下步驟:當(dāng)?shù)诙脩糨斎朊艽a和第二用戶生物信息中的至少一個(gè)被用戶輸入至該信息處理裝置時(shí)，將該第二用戶輸入密碼或該第二用戶生物信息中的至少一個(gè)加密；以及該信息處理裝置的認(rèn)證單元，將加密的第二用戶輸入密碼或加密的第二用戶生物信息中的至少一個(gè)與加密的密碼和加密的生物信息中的至少一個(gè)進(jìn)行比較來執(zhí)行認(rèn)證。
[0033]根據(jù)另一個(gè)實(shí)施例，信息處理方法可進(jìn)一步包括以下步驟:當(dāng)該第二用戶輸入密碼和該第二用戶生物信息中的至少一個(gè)被用戶輸入至該信息處理裝置時(shí)，由該信息處理裝置的加密單元，將加密的密碼或加密的生物信息中的至少一個(gè)解密，來生成第一用戶輸入密碼或第一用戶生物信息中的至少一個(gè)；以及該信息處理裝置的認(rèn)證單元，將解密的第一用戶輸入密碼或第一用戶生物信息中的至少一個(gè)與第二用戶輸入密碼或第二用戶生物信息中的至少一個(gè)進(jìn)行比較來執(zhí)行認(rèn)證。
【附圖說明】
[0034]圖1是根據(jù)一個(gè)實(shí)施例的信息處理裝置。
[0035]圖2是根據(jù)一個(gè)實(shí)施例用于說明PUF結(jié)構(gòu)的示意圖。
[0036]圖3是示出圖2的實(shí)施例中用于說明PUF的曲線圖。
[0037]圖4是根據(jù)一個(gè)實(shí)施例用于說明PUF結(jié)構(gòu)的示意圖。
[0038]圖5是根據(jù)一個(gè)實(shí)施例的PUF中生成唯一密鑰的層間接觸陣列。
[0039]圖6是根據(jù)一個(gè)實(shí)施例用于說明PUF生成的唯一密鑰的識(shí)別過程。
[0040]圖7是根據(jù)一個(gè)實(shí)施例用于說明PUF生成的唯一密鑰的平衡過程的示意圖。
[0041]圖8是根據(jù)一個(gè)實(shí)施例的信息處理裝置。
[0042]圖9是根據(jù)一個(gè)實(shí)施例的PUF被配置在加密單元中的示例性結(jié)構(gòu)。
[0043]圖10是根據(jù)一個(gè)實(shí)施例的信息處理方法，將密碼和/或生物信息加密并儲(chǔ)存的過程的流程圖。
[0044]圖11是示出圖8說明的信息處理裝置將密碼和/或生物信息加密并儲(chǔ)存過程的流程圖。
[0045]圖12是根據(jù)一個(gè)實(shí)施例的信息處理裝置中認(rèn)證用戶輸入密碼和/或生物信息過程的流程圖。
[0046]圖13是根據(jù)另一個(gè)實(shí)施例的信息處理裝置中認(rèn)證用戶輸入密碼和/或生物信息過程的流程圖。
【具體實(shí)施方式】
[0047]在下文中，參照附圖對本發(fā)明實(shí)施例進(jìn)行詳細(xì)說明，但是本發(fā)明并不僅局限于在此列出的實(shí)施例。圖中示出的相同符號(hào)表示相同部件。
[0048]圖1是根據(jù)一個(gè)實(shí)施例的信息處理裝置100。
[0049]根據(jù)一個(gè)實(shí)施例，該信息處理裝置100可將從用戶接收的密碼(Password)和/或者生物信息加密并安全地儲(chǔ)存來執(zhí)行安全認(rèn)證。
[0050]根據(jù)一個(gè)實(shí)施例，信息處理裝置100的接收單元110可接收使用者輸入的密碼。
[0051]基于知識(shí)的認(rèn)證可以是用戶注冊密碼后以注冊的密碼來認(rèn)證用戶和/或者裝置的處理過程。然而，當(dāng)該用戶密碼將安全攻擊被破解時(shí)，該基于知識(shí)的認(rèn)證就不可信了。
[0052]因此，需要一種高水準(zhǔn)的安全處理來注冊并管理用戶的密碼。
[0053]根據(jù)一個(gè)實(shí)施例，信息處理裝置100將從接收單元110接收到的用戶密碼加密并儲(chǔ)存(注冊)。當(dāng)然，也可不儲(chǔ)存接收的密碼直接傳達(dá)給加密單元。此外，接收的密碼可以是純文本(Plain text)。
[0054]根據(jù)一個(gè)實(shí)施例，信息處理裝置包括物理不可克隆功能(PUF) 120，利用半導(dǎo)體制程的制程偏差，生成不隨時(shí)間而改變的隨機(jī)數(shù)字值(Digital value)的唯一密鑰。
[0055]PUF120所生成的數(shù)字值可以是，例如N比特(但