密鑰信息生成裝置以及密鑰信息生成方法
【專利摘要】保密裝置在初始生成時（例如工廠出貨時），通過PUF技術(shù)生成保密裝置固有的標(biāo)識符w，根據(jù)標(biāo)識符w生成密鑰信息k（k=HF（k）），通過密鑰信息k對秘密信息mk進行加密（x=Enc（mk、k））來生成加密秘密信息x，將加密秘密信息x、和密鑰信息k的認(rèn)證代碼h（h=HF'（k））儲存到非易失性存儲器中。在運用時，通過PUF技術(shù)生成標(biāo)識符w，根據(jù)標(biāo)識符w生成密鑰信息k，通過密鑰信息k對加密秘密信息x進行解密。在運用時，在生成標(biāo)識符w的定時，保密裝置確認(rèn)當(dāng)前的動作環(huán)境是否從初始生成時大幅變化（S311）。在檢測到動作環(huán)境的變化的情況下（S311→S312），保密裝置進行作為秘密信息的認(rèn)證代碼h、加密秘密信息x的再設(shè)置處理（S312～S315）。
【專利說明】密鑰信息生成裝置以及密鑰信息生成方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及認(rèn)證處理、加密處理等的保密裝置(密鑰信息生成裝置)。本發(fā)明涉及用于長期間穩(wěn)定并且安全地管理在密碼處理中使用的秘密信息、為了對裝置進行認(rèn)證而所需的裝置固有的標(biāo)識符的裝置、方法。
【背景技術(shù)】
[0002]近年來，伴隨以便攜電話為代表的嵌入設(shè)備的網(wǎng)絡(luò)化，為了在嵌入設(shè)備中處理的數(shù)據(jù)的隱匿、完備性的保持、以及對嵌入設(shè)備自身進行認(rèn)證，嵌入設(shè)備進行與信息保密有關(guān)的處理的必要性變高。與信息保密有關(guān)的處理通過加密算法、認(rèn)證算法來實現(xiàn)。此處，為了執(zhí)行所述算法而成為大前提的是，各嵌入設(shè)備分別“安全地”保持唯一的秘密信息、設(shè)備固有的標(biāo)識符。該“安全地”的意思是指，可合法地利用該嵌入設(shè)備的人員以外的人員難以進行標(biāo)識符的讀取、篡改。
[0003]作為用于安全地保持標(biāo)識符的手段，有使用搭載有各種傳感器(光傳感器、電壓傳感器、頻率檢測器)，并通過物理性的保護膜(金屬殼體、基于樹脂的模)防止來自外部的非法訪問的框體、保密芯片等防篡改機構(gòu)的保護方法。這些保護方法是以保護非易失性地在裝置內(nèi)作為數(shù)字?jǐn)?shù)據(jù)存在的標(biāo)識符為前提的手段。
[0004]另一方面，作為通過與上述手段不同的作法來安全地保持標(biāo)識符的方法，有被稱為PUF (Physical Unclonable Function,物理不可克隆功能)的技術(shù)。PUF的大的特征點在于，未在裝置內(nèi)作為非易失性的數(shù)字?jǐn)?shù)據(jù)保持標(biāo)識符。關(guān)于PUF的實施方式有幾個。專利文獻I公開的“以信號發(fā)生器為基礎(chǔ)的裝置保密”、專利文獻2公開的“半導(dǎo)體設(shè)備標(biāo)識符的生成方法以及半導(dǎo)體設(shè)備”是其代表例子。
[0005]如專利文獻1、專利文獻2那樣的通過PUF生成的標(biāo)識符具有每當(dāng)進行生成時，未必生成唯一的比特串這樣的特征。即，標(biāo)識符被生成為包含噪聲的數(shù)據(jù)。以下，說明將包含噪聲的標(biāo)識符變換為唯一的數(shù)據(jù)的專利文獻I所記載的技術(shù)。
[0006]在專利文獻I中，首先，標(biāo)識符的生成被分成2個步驟(“初始生成”、和“再生成”)。在初始生成中生成的比特串成為該設(shè)備的標(biāo)識符。在再生成中，進行生成與在初始生成中生成的比特串相同的比特串那樣的處理。
[0007]<初始生成步驟>
[0008]首先，通過PUF生成比特串。此處，作為簡單的例子，生成5比特的數(shù)據(jù)。將該比特串設(shè)為
[0009]W= (wl, w2, w3, w4, w5) =10110。
[0010]接下來，計算該比特串的輔助數(shù)據(jù)s。此處，設(shè)為使用(5，1，5)重復(fù)碼來進行計算。
[0011]在該情況下，成為
[0012]S= (wlxor w2, wlxor w3,wlxor w4, wlxor w5) =1001
[0013]這4比特的比特串。
[0014]另外，輔助數(shù)據(jù)的計算方法依賴于所使用的糾錯碼的結(jié)構(gòu)。輔助數(shù)據(jù)是公開也可的數(shù)據(jù)，保管于非易失性區(qū)域中。即，儲存輔助數(shù)據(jù)的非易失性區(qū)域無需是安全的環(huán)境。
[0015]〈再生成步驟〉
[0016]在再生步驟中，與初始生成同樣地，通過PUF生成比特串和輔助數(shù)據(jù)。將該比特串設(shè)為
[0017]W，= (W，I, W，2, W，3, W，4, W，5) =10000。
[0018]在該例子中，與在初始生成步驟中生成的w相比，輸出2比特不同的數(shù)據(jù)。該比特串的錯誤相應(yīng)于在上述中敘述的噪聲。w’的輔助數(shù)據(jù)s’成為
[0019]s，=Illlo
[0020]接下來,讀出在初始生成步驟中計算并保管的s,計算
[0021]e=s xor s，。
[0022]SP，成為
[0023]e=s xor s’ =IOOlxorl 111=0110
[0024]= (el, e2, e3, e4)。
[0025]接下來，在下述步驟中，確定w’的錯誤比特位置。
[0026]此處，設(shè)為
[0027]SUM (el, e2, e3, e4) =el+e2+e3+e4,
[0028]SL (el, e2,e3, e4) = (elxor e2, elxor e3,elxor e4,el)。
[0029]< 步驟 1>
[0030]在SUM (el, e2, e3, e4) =2 中，
[0031]滿足小于3。因此，w’ I未錯。
[0032]< 步驟 2>
[0033]在(el，e2,e3, e4) <=SL (el, e2, e3, e4) =1100、
[0034]SUM (el, e2, e3, e4) =2 中，
[0035]滿足小于3。因此，w’ 2未錯。
[0036]< 步驟 3>
[0037]在(el，e2,e3, e4) <=SL (el, e2, e3, e4) =0111、
[0038]SUM (el, e2, e3, e4) =3 中，
[0039]不滿足小于3。w’ 3錯誤。
[0040]< 步驟 4>
[0041]在(el，e2,e3, e4) <=SL (el, e2, e3, e4) =1110、
[0042]SUM (el, e2, e3, e4) =3 中，
[0043]不滿足小于3。w’ 4錯誤。
[0044]< 步驟 5>
[0045]在(el,e2, e3, e4) <=SL (el, e2, e3, e4) =0011、
[0046]SUM (el, e2, e3, e4) =2 中，
[0047]滿足小于3。因此，w’ 5未錯。
[0048]依照以上的判定結(jié)果，修正W’。因此，在該情況下，w’被修正為10110。可知該比特串與在初始生成中生成的w相等。
[0049]這樣可知，通過進行利用了糾錯碼的處理，能夠?qū)肼暤臉?biāo)識符變換為唯一的數(shù)據(jù)。
[0050]另一方面，在上述例子中，如果在再生成時錯了 3比特的情況下，無法正確地從w’恢復(fù)W。即，在再生成步驟中發(fā)生了超過生成輔助數(shù)據(jù)的碼的修正能力的噪聲的情況下，無法正確地生成標(biāo)識符。因此，關(guān)于在上述處理中利用的糾錯碼，需要考慮PUF的錯誤概率來決定修正能力。
[0051]接下來，敘述PUF的錯誤概率。關(guān)于PUF的錯誤概率變高的主要原因，有以初始生成步驟為基準(zhǔn)的PUF的動作環(huán)境的變化。此處，關(guān)于動作環(huán)境的變化，可以舉出溫度、電壓變化、半導(dǎo)體設(shè)備的經(jīng)年變化等。
[0052]關(guān)于動作環(huán)境的變化，除了瞬間地發(fā)生的偶發(fā)的主要原因以外，還考慮日周變動、季節(jié)變動、經(jīng)年變化等時間性的變動。
[0053]現(xiàn)有技術(shù)
[0054]專利文獻1:日本特表2009-524998號公報
[0055]專利文獻2:日本特表2009-533741號公報

【發(fā)明內(nèi)容】

[0056]如果考慮PUF的錯誤概率在時間上變動，而使用關(guān)于修正能力具有充分的余量的碼，則必須使用復(fù)雜且規(guī)模大的電路。特別，在設(shè)想了車載器、工業(yè)設(shè)備、測量設(shè)備等耐用年數(shù)長的設(shè)備的情況下，難以高精度地估計與修正能力有關(guān)的余量。
[0057]本發(fā)明的目的在于提供一種即使是修正能力低的碼也能夠穩(wěn)定并且安全地在半導(dǎo)體設(shè)備內(nèi)管理秘密信息的裝置。另外，本發(fā)明的目的在于提供一種能夠安全地管理針對每個用途分配的各種秘密信息的裝置。
[0058]本發(fā)明的密鑰信息生成裝置是生成密鑰信息的密鑰信息生成裝置，其特征在于，具備:
[0059]標(biāo)識符生成部，根據(jù)所述密鑰信息生成裝置的物理特性，生成所述密鑰信息生成裝置固有的標(biāo)識符；
[0060]密鑰信息生成部，根據(jù)由所述標(biāo)識符生成部生成的所述標(biāo)識符，生成秘密信息的加密和解密中使用的所述密鑰信息；
[0061]密碼部，使用由所述密鑰信息生成部生成的所述密鑰信息，進行所述秘密信息的加密和解密；
[0062]散列部，通過至少使用由所述密鑰信息生成部生成的所述密鑰信息的規(guī)定的散列值生成方式,生成散列值；
[0063]存儲部，非易失性地存儲所述密碼部使用由所述密鑰信息生成部生成的所述密鑰信息對所述秘密信息進行加密而得到的加密秘密信息、和所述散列部通過至少使用所述秘密信息的加密中使用的所述密鑰信息的所述散列值生成方式而生成的所述散列值；以及
[0064]比較部，
[0065]所述標(biāo)識符生成部在所述密碼部對所述加密秘密信息進行解密時再生成所述標(biāo)識符，
[0066]所述密鑰信息生成部根據(jù)由所述標(biāo)識符生成部再生成的所述標(biāo)識符，再生成所述密碼部在所述加密秘密信息的解密中使用的所述密鑰信息，[0067]所述散列部通過至少使用由所述密鑰信息生成部再生成的所述密鑰信息的所述散列值生成方式，再生成所述散列值，[0068]所述比較部比較由所述散列部再生成的所述散列值、和所述存儲部所存儲的所述散列值，[0069]根據(jù)由所述比較部執(zhí)行的比較，在由所述散列部再生成的所述散列值、和所述存儲部所存儲的所述散列值相等的情況下，所述密碼部使用由所述密鑰信息生成部再生成的所述密鑰信息，對所述加密秘密信息進行解密。[0070]通過本發(fā)明，能夠提供能夠安全地管理針對每個用途分配的各種秘密信息的裝置。
【專利附圖】

【附圖說明】[0071]圖1是實施方式I的保密裝置101的結(jié)構(gòu)圖。[0072]圖2是實施方式I的保密裝置101的初始設(shè)定時的流程圖。[0073]圖3是實施方式I的保密裝置101的運用時的流程圖。[0074]圖4是實施方式2的保密裝置102的結(jié)構(gòu)圖。[0075]圖5是實施方式2的保密裝置102的運用時的流程圖。[0076](符號說明)[0077]101,102:保密裝置；110 =CPU ；120:非易失性存儲器；130:易失性存儲器；140:1/O ; 150-1、150-2:密鑰管理電路；151:PUF ；152:FEC ；153:HF ；154:HF，; 155:比較器;156-1:錯誤次數(shù)監(jiān)視器；156-2:錯誤比特數(shù)監(jiān)視器；160:密碼協(xié)處理器；170:本地總線；180:外部端口。
【具體實施方式】[0078]實施方式1.[0079]首先，定義在以下的實施方式I中使用的記號的含義。[0080](1)秘密信息mk;[0081]秘密信息mk是針對每個設(shè)備、或者針對每個出廠目的地不同的比特串。穩(wěn)定并且安全地管理該比特串是以下的實施方式1、2的保密裝置的最終目的。[0082](2)加密函數(shù)Enc、解密函數(shù)Dec ；[0083]關(guān)于作為加密函數(shù)的c=Enc (m，k)，通過秘密信息k對輸入m進行加密。將輸出c的加密函數(shù)記載為Enc。[0084]關(guān)于作為解密函數(shù)的Hi=Dec (C，k)，通過秘密信息k對輸入c進行解密。[0085](3) PUF 生成信息 W、s (s=syn (w))；[0086]將PUF的輸出信息記載為W。即，“w”是根據(jù)保密裝置101的物理特性，通過PUF技術(shù)生成的保密裝置101固有的標(biāo)識符。另外，將與標(biāo)識符W對應(yīng)的輔助數(shù)據(jù)記載為S。將輔助數(shù)據(jù)生成函數(shù)記載為syn。即，將使用了標(biāo)識符w的輔助數(shù)據(jù)s的生成記載為[0087]s=syn (W)。[0088](4)糾錯處理 W=FEC (w，，s);[0089]將使用再生成步驟中的PUF的輸出信息w’、和初始生成步驟中的輔助數(shù)據(jù)s來恢復(fù)初始生成步驟的W的處理(糾錯處理)記載為
[0090]W=FEC (W，， S)。
[0091](5)散列函數(shù) y=HF (X);
[0092]將求出“X”的散列值y的處理記載為
[0093]y=HF (X)。
[0094](6)將通過單向散列或者與(5)不同的散列函數(shù)求出“X”的散列值y的處理記載為
[0095]y=HF，(X)。
[0096]以下，參照圖1?圖3，說明實施方式I。
[0097]圖1是實施方式I的保密裝置101的框圖。保密裝置101以安全并且穩(wěn)定地管理秘密信息(后述的秘密信息mk)為目的。
[0098](保密裝置101的結(jié)構(gòu))
[0099]保密裝置101 (密鑰信息生成裝置)具備作為半導(dǎo)體設(shè)備的基本構(gòu)成要素的CPU110、以EEPROM等為代表的非易失性存儲器120 (存儲部)、SRAM等易失性存儲器130、作為信息的輸入輸出部的I/O (140)、密鑰管理電路150-1、密碼協(xié)處理器160 (密碼部)。密鑰管理電路150-1具有保密裝置101中的主要的功能。密碼協(xié)處理器160是面向保密的典型的半導(dǎo)體設(shè)備中搭載的密碼協(xié)處理器。如圖1所示，CPUllO?密碼協(xié)處理器160與本地總線 170 連接。關(guān)于 I/O (140),設(shè)想了 UART (Universal Asynchronous ReceiverTransmitter,通用異步收發(fā)器)等,經(jīng)由外部端口 180與外部進行通信。
[0100](密鑰管理電路150-1的結(jié)構(gòu))
[0101]在密鑰管理電路150-1中，作為構(gòu)成要素，具備:PUF151 (標(biāo)識符生成部)，生成包含噪聲的標(biāo)識符；FEC152 (糾錯部)，通過實施規(guī)定的糾錯處理來進行噪聲的修正；散列函數(shù)HF153 (密鑰信息生成部)，對修正了的標(biāo)識符進行隨機化；單向散列函數(shù)HF’154 (散列部)，生成標(biāo)識符的認(rèn)證代碼；比較器155 (比較部)，進行使用了認(rèn)證代碼的檢查；錯誤次數(shù)監(jiān)視器156-1 (監(jiān)視部)，接收比較器155的結(jié)果來管理比較結(jié)果為“不相等”的情況的次數(shù)。單向散列函數(shù)HF’ 154是認(rèn)證代碼生成部。認(rèn)證代碼由來于標(biāo)識符。
[0102]接下來，說明圖1的保密裝置101的動作。
[0103]圖2是說明初始設(shè)定時的保密裝置101的動作的流程圖。參照圖2對初始設(shè)定時進行說明。在圖2中，符號10表示的圖形表示寄存器等易失性存儲器，符號20表示的圖形表示非易失性存儲器。圖3、圖5也是同樣的。
[0104](I)最初，經(jīng)由外部端口 180，I/O (140)輸入對各設(shè)備分配的秘密信息mk (S201)。接受該輸入，密鑰管理電路150-1起動。首先，PUF151根據(jù)保密裝置101的物理特性，生成標(biāo)識符w (S202)。
[0105](2)接下來，F(xiàn)EC152生成與標(biāo)識符w對應(yīng)的輔助數(shù)據(jù)s=syn (w) (S203)。輔助數(shù)據(jù)s被輸出到密鑰管理電路150-1的外部，被儲存到非易失性存儲器120中。
[0106](3)接下來，散列函數(shù)HF153對標(biāo)識符w進行隨機化，輸出秘密信息k (還稱為密鑰信息k) (S204)。通過HF’154計算秘密信息k的認(rèn)證代碼h (散列值)(S205)。與輔助數(shù)據(jù)s同樣地，認(rèn)證代碼h被輸出到密鑰管理電路150-1的外部，被儲存到非易失性存儲器120 中。[0107](4)接下來，密碼協(xié)處理器160將秘密信息k作為密鑰信息，對在S201中輸入的秘密信息mk進行加密,計算X=Enc (mk,k) (S206)。加密秘密信息x與輔助數(shù)據(jù)S、認(rèn)證代碼h同樣地，被儲存到非易失性存儲器120中。
[0108](5)在以上的處理完成之后，密鑰管理電路150-1以及密碼協(xié)處理器160的寄存器(易失性存儲器)等中存在的秘密信息mk、k被清零(S207)，初始生成完成。
[0109]圖3是說明保密裝置101的運用時(再生成時)的動作的流程圖。 [0110](I)在保密裝置101進行動作時，有使用了秘密信息mk的加密、解密處理的要求的情況下，密鑰管理電路150-1最初起動。錯誤次數(shù)監(jiān)視器156-1使在內(nèi)部具有的內(nèi)部計數(shù)器cnt初始化(S301)。
[0111](2)接受該起動，PUF151生成(再生成)標(biāo)識符w’(S302)。此時，請留意標(biāo)識符w’未必與在初始設(shè)定時生成的標(biāo)識符W —致,標(biāo)識符W’是相對標(biāo)識符W包含噪聲的比特串。
[0112](3)接下來，F(xiàn)EC152使用標(biāo)識符w’、和非易失性存儲器120中儲存的輔助數(shù)據(jù)S，針對標(biāo)識符W’，計算作為糾錯處理的w’’=FEC (W’，s) (S303)。此時，請留意如果標(biāo)識符w’是錯誤FEC152的修正能力的范圍內(nèi)，則成為w’’ =w。
[0113](4)接下來，散列函數(shù)HF153使實施了糾錯處理的標(biāo)識符w’ ’隨機化，變換為密鑰信息k’’(密鑰信息的再生成)(S304)。
[0114](5)接下來，HF’ 154計算密鑰信息k’’的散列值h’’(散列值的再生成)，將散列值h’’送到比較器155 (S305)。
[0115](6)比較器155比較散列值h’’、和非易失性存儲器120中儲存的秘密信息k (密鑰信息k)的認(rèn)證代碼h，判定一致、不一致(S306)。在一致的情況下，比較器155將密鑰信息k’’送到密碼協(xié)處理器160。
[0116]此處,如果W，’ =w,貝丨J h=h，’ 并且 k=k，，。
[0117]w’’ !=w (w’’和w不一致)但h=h’’這一情況意味著單向散列函數(shù)的沖突，其通常是2-128這樣的非常低的概率。
[0118](7)接下來，密碼協(xié)處理器160使用非易失性存儲器120中儲存的加密秘密信息X、和通過散列函數(shù)HF153再生成的密鑰信息k’’來進行解密處理，得到Hik=Dec (x, k’’)(S310)。
[0119](8)另一方面，在S306中不一致的情況下，錯誤次數(shù)監(jiān)視器156-1從比較器155誤接受不一致通知，使內(nèi)部計數(shù)器cnt遞增(S307 )。
[0120](9)之后，錯誤次數(shù)監(jiān)視器156-1判定內(nèi)部計數(shù)器cnt是否超過再包裝用的閾值U (S308)。直至超過閾值U，再次從S302再啟動，執(zhí)行直至S306為止的一連串的處理。在內(nèi)部計數(shù)器cnt超過了閾值U的情況下，錯誤次數(shù)監(jiān)視器156-1對CPUllO通知密鑰管理失敗，處理停止(S309)。
[0121](10)接下來，在正常處理成功了的情況下，在執(zhí)行了 S310之后，錯誤次數(shù)監(jiān)視器156-1對內(nèi)部計數(shù)器cnt進行檢查，對內(nèi)部計數(shù)器cnt是否超過再包裝用的閾值V (第2閾值)進行檢查(規(guī)定的穩(wěn)定判定規(guī)則)(S311)。該閾值V是S308的閾值U以下的值。在內(nèi)部計數(shù)器cnt超過再包裝用的閾值V的情況下，處理進入S312，執(zhí)行以下敘述的再包裝處理。在再包裝處理中，錯誤次數(shù)監(jiān)視器156-1使FEC152、HF153、HF’ 154、密碼協(xié)處理器160執(zhí)行以下的處理。[0122]在再包裝處理中，在S312中，F(xiàn)EC152根據(jù)s’ =syn (w’)生成與在S302中再生成的標(biāo)識符對應(yīng)的更新用的輔助數(shù)據(jù)。
[0123]在S313中，HF153根據(jù)k’ =HF (w’)，生成以標(biāo)識符w’為輸入的秘密信息k’。
[0124]在S314中,HF，154根據(jù)h，=HF, (k’)生成密鑰信息k，的認(rèn)證代碼h，(散列值)。
[0125]在S315中，密碼協(xié)處理器160使用在S313中生成的密鑰信息k’，通過x’ =Enc(mk，k’)，作為更新用，對在S310中解密了的秘密信息mk進行加密。然后，錯誤次數(shù)監(jiān)視器156-1將非易失性存儲器120中儲存的(s，h，x)更新為(s’，h，，x，)。
[0126]此時，在更新中，還有由于某些理由向非易失性存儲器120的寫入失敗的情況。設(shè)想該情況，優(yōu)選不是將(S，h，X)替換為(s’，h’，X’)，而是通過非易失性存儲器120管理并運用至少2代量的(s，h，x)的組。
[0127]在錯誤次數(shù)監(jiān)視器156-1的內(nèi)部計數(shù)器cnt未超過閾值V的情況下，處理轉(zhuǎn)移到S316，密碼協(xié)處理器160執(zhí)行使用了秘密信息mk的“加密處理、解密處理”。在保密方面，優(yōu)選在執(zhí)行了 S309之后從寄存器將秘密信息mk清零。但是，在處理性能上有制約的情況下，也可以構(gòu)成為將秘密信息mk保持于寄存器，直至通過從外部向密碼協(xié)處理器160的清零要求，而將秘密信息mk從寄存器刪除并清零為止，執(zhí)行使用了秘密信息mk的加密、解密處理。不論在哪一個情況下，如果保密裝置的電源被切斷，則秘密信息mk被刪除。
[0128]在上述處理中，利用通過PUF151、FEC152以及HF153的處理生成的易失性的秘密信息k對秘密信息mk進行了加密。然后，將加密了的秘密信息mk儲存到非易失性存儲器120中，從而在保密裝置101中安全地管理秘密信息mk。另外，對時間上的變動所致的密鑰信息k的生成失敗的頻度進行檢測，在失敗的頻度變高的情況下，通過在當(dāng)前的動作環(huán)境中新生成的密鑰信息k’對秘密信息mk進行再包裝化，儲存到非易失性存儲器中。由此，新的密鑰信息k’相對原來的密鑰信·息k其時間上的變動變小，所以能夠再次降低密鑰信息k的生成失敗的頻度。這樣，關(guān)于易失性的秘密信息k，考慮時間上的變動而逐次更新，所以即使不在FEC的修正能力中附加余量，也能夠長期間地保證mk的解密。
[0129]另外，在上述方式中，僅在動作中，在寄存器內(nèi)存在秘密信息mk。在電源被切斷了的狀態(tài)下，僅有通過密鑰信息k加密了的加密秘密信息X處于非易失性區(qū)域中。因此，無法通過利用芯片破壞實現(xiàn)的靜態(tài)的解析來恢復(fù)密鑰信息k以及秘密信息mk。因此，相比于將秘密信息mk直接儲存于非易失性區(qū)域中，能夠更安全地管理。
[0130]進而，關(guān)于秘密信息mk，能夠針對每個用途控制分配。例如，還能夠在某產(chǎn)品群中，針對每個品種、每個出廠目的地變更mk的分配，在某產(chǎn)品群中，針對每個保密裝置變更mk的分配。另外，秘密信息mk既可以是共用密鑰密碼中的密鑰信息，也可以是公開密鑰密碼中的秘密密鑰。
[0131]實施方式2.[0132]參照圖4、圖5，說明實施方式2的保密裝置102。
[0133]圖4是保密裝置102的框圖。在保密裝置102中，密鑰管理電路150_1成為密鑰管理電路150-2。另外，密鑰管理電路150-1與密鑰管理電路150-2的相異僅在于錯誤次數(shù)監(jiān)視器156-1成為錯誤比特數(shù)監(jiān)視器156-2 (監(jiān)視部)。
[0134]錯誤比特數(shù)監(jiān)視器156-2與錯誤次數(shù)監(jiān)視器156-1不同，并非通過與認(rèn)證代碼h的不一致的次數(shù)來判定是否需要執(zhí)行再包裝處理(S311)，而是通過標(biāo)識符w’的錯誤比特數(shù)來進行判定。
[0135]圖5是說明保密裝置102的運用時(再生成)的動作的流程圖?；镜奶幚砹鞒膛c圖3相同，但S501以及S502的處理與圖3不同。
[0136](I)在S501中，錯誤比特數(shù)監(jiān)視器156-2根據(jù)在糾錯處理FEC152的處理中計算的錯誤定位器，對錯的比特數(shù)進行計數(shù)。將該計數(shù)值記載為cnt_b。
[0137](2)在S502中，錯誤比特數(shù)監(jiān)視器156-2比較“cnt_b”和再包裝用的閾值B，判定計數(shù)值“cnt_b”是否超過閾值B (規(guī)定的穩(wěn)定判定規(guī)則)。在計數(shù)值“cnt_b”超過了閾值B的情況下，與實施方式I同樣地，錯誤比特數(shù)監(jiān)視器156-2使FEC152、HF153、HF’ 154、密碼協(xié)處理器160執(zhí)行再包裝處理。
[0138]以下，進行實施方式I和實施方式2的比較。此處，在使用了最小距離是21的糾錯碼的例子中進行比較。在該情況下，可修正的比特數(shù)達到10比特，而在實施方式I中，當(dāng)標(biāo)識符W’的錯誤多于10比特，密鑰生成失敗的頻度變多時，執(zhí)行再包裝處理。另一方面，在實施方式2中，如果設(shè)為B=7，則雖然在密鑰生成中未失敗，但失敗的可能性變高。S卩，即使標(biāo)識符w’的錯誤是7比特以上10比特以下，也執(zhí)行再包裝處理。
[0139]在實施方式1、2中，關(guān)于生成認(rèn)證代碼的對象，將變換了設(shè)備標(biāo)識符w的秘密信息k記載為對象，但即使是變換前的設(shè)備標(biāo)識符W，也能夠達成等同的功能。
[0140]在以上的說明中，生成了密鑰信息的認(rèn)證代碼(散列值)。即，密鑰信息是認(rèn)證代碼(單向散列值)的生成對象(規(guī)定的散列值生成規(guī)則)。不限于此，也可以作為散列值生成規(guī)貝U，將標(biāo)識符作為認(rèn)證代碼的生成對象。另外，也可以將“連結(jié)密鑰信息k和加密秘密信息X而得到的數(shù)據(jù)”作為認(rèn)證代碼的生成對象，或者也可以將“連結(jié)標(biāo)識符w和加密秘密信息X而得到的數(shù)據(jù)”作為生成對象。通過這些，能夠檢測加密秘密信息X的篡改。
[0141]根據(jù)處理時間的折衷、非易失性存儲器的改寫次數(shù)的限制等，靈活使用實施方式I和實施方式2。
[0142]最后，在實施方式I以及實施方式2中敘述的方式不限于實施方式1、2的本身。即，能夠在實施階段在不脫離其要旨的范圍內(nèi)使構(gòu)成要素變形來實施。另外，能夠通過在上述實施方式中公開的多個構(gòu)成要素的適當(dāng)組合來形成各種發(fā)明。另外，也可以從實施方式所示的所有構(gòu)成要素中刪除幾個構(gòu)成要素。進而，也可以適當(dāng)?shù)亟M合不同的實施方式的構(gòu)成要素。
[0143]在以上的實施方式中，說明了保密裝置，但還能夠?qū)⒈Ｃ苎b置的動作掌握為密鑰 息生成方法。
[0144]在以上的實施方式中，說明了具備利用變換通過物理的特性生成的設(shè)備標(biāo)識符而得到的設(shè)備密鑰k對從外部提供的分配給設(shè)備的秘密信息mk進行加密的單元的保密裝置。
[0145]在以上的實施方式中，說明了具備通過散列值來判定是否正確地生成了通過物理的特性生成的設(shè)備標(biāo)識符的單元的保密裝置。
[0146]在以上的實施方式中，說明了具備通過散列值來判定是否正確地生成了通過物理的特性生成的設(shè)備標(biāo)識符并對失敗了的次數(shù)進行計數(shù)的功能、和在失敗次數(shù)超過了閾值的情況下通知設(shè)備標(biāo)識符的生成失敗了的功能的保密裝置。
[0147]在以上的實施方式中，說明了具備通過散列值來判定是否正確地生成了通過物理的特性生成的設(shè)備標(biāo)識符并對失敗了的次數(shù)進行計數(shù)的功能、和在設(shè)備標(biāo)識符的生成成功了時直至成功為止的失敗次數(shù)超過了閾值的情況下執(zhí)行新的設(shè)備標(biāo)識符的生成的功能的
保密裝置。
[0148]在以上的實施方式中，說明了具備針對新的設(shè)備標(biāo)識符的生成計算散列值，并更新此前的散列值的單元的保密裝置。
[0149]在以上的實施方式中，說明了具備根據(jù)比特的錯誤個數(shù)判定未正確地生成通過物理的特性生成的設(shè)備標(biāo)識符的可能性、并在比特的錯誤個數(shù)超過閾值的情況下執(zhí)行新的設(shè)備標(biāo)識符的生成的單元的保密裝置。
[0150]在以上的實施方式中，說明了具備將對秘密信息mk進行加密而得到的結(jié)果儲存到非易失性存儲器中的單元的保密裝置。
[0151]在以上的實施方式中，說明了具備對分配給設(shè)備的秘密信息mk進行加密，并檢測非易失性存儲器中儲存的數(shù)據(jù)的篡改的單元的保密裝置。
【權(quán)利要求】
1.一種生成密鑰信息的密鑰信息生成裝置，其特征在于，具備: 標(biāo)識符生成部，根據(jù)所述密鑰信息生成裝置的物理特性，生成所述密鑰信息生成裝置固有的標(biāo)識符； 密鑰信息生成部，根據(jù)由所述標(biāo)識符生成部生成的所述標(biāo)識符，生成秘密信息的加密和解密中使用的所述密鑰信息； 密碼部，使用由所述密鑰信息生成部生成的所述密鑰信息，進行所述秘密信息的加密和解密； 散列部，通過至少使用由所述密鑰信息生成部生成的所述密鑰信息的規(guī)定的散列值生成方式,生成散列值； 存儲部，非易失性地存儲所述密碼部使用由所述密鑰信息生成部生成的所述密鑰信息對所述秘密信息進行加密而得到的加密秘密信息、和所述散列部通過至少使用所述秘密信息的加密中使用的所述密鑰信息的所述散列值生成方式而生成的所述散列值；以及 比較部， 所述標(biāo)識符生成部在所述密碼部對所述加密秘密信息進行解密時再生成所述標(biāo)識符， 所述密鑰信息生成部根據(jù) 由所述標(biāo)識符生成部再生成的所述標(biāo)識符，再生成所述密碼部在所述加密秘密信息的解密中使用的所述密鑰信息， 所述散列部通過至少使用由所述密鑰信息生成部再生成的所述密鑰信息的所述散列值生成方式,再生成所述散列值， 所述比較部比較由所述散列部再生成的所述散列值、和所述存儲部所存儲的所述散列值， 根據(jù)由所述比較部執(zhí)行的比較，在由所述散列部再生成的所述散列值、和所述存儲部所存儲的所述散列值相等的情況下，所述密碼部使用由所述密鑰信息生成部再生成的所述密鑰信息，對所述加密秘密信息進行解密。
2.根據(jù)權(quán)利要求1所述的密鑰信息生成裝置，其特征在于， 所述密鑰信息生成裝置還具備監(jiān)視部，該監(jiān)視部針對所述標(biāo)識符生成部、所述密鑰信息生成部、所述散列部、以及所述比較部，直至通過所述散列部再生成與所述存儲部所存儲的所述散列值相同的散列值為止，在不超過作為預(yù)先設(shè)定的次數(shù)的閾值U的范圍內(nèi)，反復(fù)執(zhí)行由所述標(biāo)識符生成部、所述密鑰信息生成部、所述散列部執(zhí)行的各再生成處理、和由所述比較部執(zhí)行的比較處理的一連串的處理。
3.根據(jù)權(quán)利要求2所述的密鑰信息生成裝置，其特征在于， 所述密碼部在所述一連串的處理的反復(fù)次數(shù)不超過所述閾值U的范圍內(nèi)由所述散列部再生成了與所述存儲部所存儲的所述散列值相同的散列值的情況下，使用被再生成的所述密鑰信息對所述存儲部的所述加密秘密信息進行解密，該被再生成的所述密鑰信息是再生成被再生成的所述相同的散列值的基礎(chǔ)， 在所述監(jiān)視部中， 在所述一連串的處理的反復(fù)次數(shù)不超過所述閾值U的范圍內(nèi)由所述散列部再生成了與所述存儲部所存儲的所述散列值相同的散列值的情況下，根據(jù)規(guī)定的穩(wěn)定判定規(guī)則，判定成為再生成所述密鑰信息的基礎(chǔ)的被再生成的所述標(biāo)識符是否穩(wěn)定地被再生成，該密鑰信息是再生成與所述存儲部所存儲的所述散列值相同的散列值的基礎(chǔ)，當(dāng)判定為未穩(wěn)定地被再生成時， 使所述密鑰信息生成部根據(jù)成為再生成所述密鑰信息的基礎(chǔ)的被再生成的所述標(biāo)識符生成所述密鑰信息，該密鑰信息是再生成與所述存儲部所存儲的所述散列值相同的散列值的基礎(chǔ)， 使所述散列部通過至少使用使所述密鑰信息生成部生成的所述密鑰信息的所述散列值生成方式來生成更新用的散列值， 使所述密碼部使用使所述密鑰信息生成部生成的所述密鑰信息，將解密了的所述秘密信息加密為更新用的所述加密秘密信息，并且， 將所述存儲部所存儲的所述散列值和所述加密秘密信息更新為使所述散列部生成的更新用的所述散列值、和使所述密碼部加密了的更新用的所述加密秘密信息。
4.根據(jù)權(quán)利要求3所述的密鑰信息生成裝置，其特征在于， 在所述監(jiān)視部中，作為所述規(guī)定的穩(wěn)定判定規(guī)則，判定所述一連串的處理的所述反復(fù)次數(shù)是否超過作為所述閾值U以下的次數(shù)的第2閾值V，在所述一連串的處理的所述反復(fù)次數(shù)超過所述第2閾值V的情況下，判定為所述標(biāo)識符未穩(wěn)定地被再生成。
5.根據(jù)權(quán)利要求3所述的密鑰信息生成裝置，其特征在于， 所述密鑰信息生成裝置還具備糾錯部，該糾錯部在所述一連串的處理中，對由所述標(biāo)識符生成部再生成的所述標(biāo)識符實施規(guī)定的糾錯處理， 所述密鑰信息生成部在所述一連串的處理中，根據(jù)由所述糾錯部糾錯后的所述標(biāo)識符來再生成所述密鑰信息， 所述密碼部在所述一連串的處理的反復(fù)次數(shù)不超過所述閾值U的范圍內(nèi)由所述散列部再生成了與所述存儲部所存儲的所述散列值相同的散列值的情況下，使用成為再生成被再生成的相同的所述散列值的基礎(chǔ)的根據(jù)糾錯后的所述標(biāo)識符再生成的所述密鑰信息，對加密秘密信息進行解密， 所述監(jiān)視部在所述一連串的處理中，求出通過所述糾錯部的所述糾錯處理糾錯的錯誤比特數(shù)，并且在所述一連串的處理的反復(fù)次數(shù)不超過所述閾值U的范圍內(nèi)由所述散列部再生成了與所述存儲部所存儲的所述散列值相同的散列值的情況下，作為所述規(guī)定的穩(wěn)定判定規(guī)則，判定所述錯誤比特數(shù)是否超過規(guī)定的閾值B，在所述錯誤比特數(shù)超過所述閾值B的情況下，判定為所述標(biāo)識符未穩(wěn)定地被再生成。
6.根據(jù)權(quán)利要求2所述的密鑰信息生成裝置，其特征在于， 所述監(jiān)視部在所述一連串的處理的所述反復(fù)次數(shù)超過所述閾值數(shù)U的情況下，判定為所述密鑰信息的再生成失敗。
7.根據(jù)權(quán)利要求1所述的密鑰信息生成裝置，其特征在于， 在所述散列部中，作為所述散列值生成方式，使用由所述密鑰信息生成部生成的所述密鑰信息的散列值、以及將由所述密鑰信息生成部生成的所述密鑰信息和由所述密碼部加密了的所述加密秘密信息連結(jié)而得到的數(shù)據(jù)的散列值中的某一個散列值。
8.—種生成密鑰信息的密鑰信息生成裝置，其特征在于，具備: 標(biāo)識符生成部，根據(jù)所述密鑰信息生成裝置的物理特性，生成所述密鑰信息生成裝置固有的標(biāo)識符； 密鑰信息生成部，根據(jù)由所述標(biāo)識符生成部生成的所述標(biāo)識符，生成秘密信息的加密和解密中使用的所述密鑰信息； 密碼部，使用由所述密鑰信息生成部生成的所述密鑰信息，進行所述秘密信息的加密和解密； 散列部，通過至少使用由所述標(biāo)識符生成部生成的所述標(biāo)識符的規(guī)定的散列值生成方式來生成散列值； 存儲部，非易失性地存儲所述密碼部使用由所述密鑰信息生成部生成的所述密鑰信息對所述秘密信息進行加密而得到的加密秘密信息、和所述散列部通過至少使用成為生成所述秘密信息的加密中使用的所述密鑰信息的基礎(chǔ)的所述標(biāo)識符的所述散列值生成方式而生成的所述散列值；以及比較部， 所述標(biāo)識符生成部在所述密碼部對所述加密秘密信息進行解密時再生成所述標(biāo)識符，所述密鑰信息生成部根據(jù)由所述標(biāo)識符生成部再生成的所述標(biāo)識符，再生成所述密碼部在所述加密秘密信息的解密中使用的所述密鑰信息， 所述散列部通過至少使用由所述標(biāo)識符生成部再生成的所述標(biāo)識符的所述散列值生成方式來再生成所述 散列值， 所述比較部比較由所述散列部再生成的所述散列值、和所述存儲部所存儲的所述散列值， 根據(jù)由所述比較部執(zhí)行的比較，在由所述散列部再生成的所述散列值、和所述存儲部所存儲的所述散列值相等的情況下，所述密碼部使用由所述密鑰信息生成部再生成的所述密鑰信息，對所述加密秘密信息進行解密。
9.根據(jù)權(quán)利要求8所述的密鑰信息生成裝置，其特征在于， 在所述散列部中，作為所述散列值生成方式，使用由所述標(biāo)識符生成部生成的所述標(biāo)識符的散列值、以及將由所述標(biāo)識符生成部生成的所述標(biāo)識符和由所述密碼部加密了的所述加密秘密信息連結(jié)而得到的數(shù)據(jù)的散列值中的某一個散列值。
10.一種密鑰信息生成方法，是具備標(biāo)識符生成部、密鑰信息生成部、密碼部、散列部、存儲部、以及比較部的密鑰信息生成裝置進行的密鑰信息生成方法，其特征在于， 所述標(biāo)識符生成部根據(jù)所述密鑰信息生成裝置的物理特性，生成所述密鑰信息生成裝置固有的標(biāo)識符， 所述密鑰信息生成部根據(jù)由所述標(biāo)識符生成部生成的所述標(biāo)識符，生成秘密信息的加密和解密中使用的所述密鑰信息， 所述密碼部使用由所述密鑰信息生成部生成的所述密鑰信息，進行所述秘密信息的加密和解密， 所述散列部通過至少使用由所述密鑰信息生成部生成的所述密鑰信息的規(guī)定的散列值生成方式來生成散列值， 所述存儲部非易失性地存儲所述密碼部使用由所述密鑰信息生成部生成的所述密鑰信息對所述秘密信息進行加密而得到的加密秘密信息、和所述散列部通過至少使用所述秘密信息的加密中使用的所述密鑰信息的所述散列值生成方式來生成的所述散列值， 所述標(biāo)識符生成部在所述密碼部對所述加密秘密信息進行解密時再生成所述標(biāo)識符， 所述密鑰信息生成部根據(jù)由所述標(biāo)識符生成部再生成的所述標(biāo)識符，再生成所述密碼部在所述加密秘密信息的解密中使用的所述密鑰信息， 所述散列部通過至少使用由所述密鑰信息生成部再生成的所述密鑰信息的所述散列值生成方式來再生成所述散列值， 所述比較部比較由所述散列部再生成的所述散列值、和所述存儲部所存儲的所述散列值， 根據(jù)由所述比較部執(zhí)行的比較，在由所述散列部再生成的所述散列值、和所述存儲部所存儲的所述散列值相等的情況下，所述密碼部使用由所述密鑰信息生成部再生成的所述密鑰信息，對所述加密秘密信息進行解密。
11.根據(jù)權(quán)利要求10所述的密鑰信息生成方法，其特征在于， 所述密鑰信息生成裝置還具備監(jiān)視部， 所述監(jiān)視部針對所述標(biāo)識符生成部、所述密鑰信息生成部、所述散列部以及所述比較部，直至通過所述散列部再生成與所述存儲部所存儲的所述散列值相同的散列值為止，在不超過作為預(yù)先設(shè)定的次數(shù)的閾值U的范圍內(nèi)，反復(fù)執(zhí)行由所述標(biāo)識符生成部、所述密鑰信息生成部、所述散列部執(zhí)行的各再生成處理、和由所述比較部執(zhí)行的比較處理的一連串的處理。
12.根據(jù)權(quán)利要求11所述的密鑰信息生成方法，其特征在于， 所述密碼部在所述一連串的處理的反復(fù)次數(shù)不超過所述閾值U的范圍內(nèi)由所述散列部再生成了與所述存儲部所存儲的所述散列值相同的散列值的情況下，使用成為再生成被再生成的所述相同的散列值的基礎(chǔ)的被再生成的所述密鑰信息，對所述存儲部的所述加密秘密信息進行解密， 在所述監(jiān)視部中， 在所述一連串的處理的反復(fù)次數(shù)不超過所述閾值U的范圍內(nèi)由所述散列部再生成了與所述存儲部所存儲的所述散列值相同的散列值的情況下，根據(jù)規(guī)定的穩(wěn)定判定規(guī)則，判定成為再生成所述密鑰信息的基礎(chǔ)的被再生成的所述標(biāo)識符是否穩(wěn)定地被再生成，該密鑰信息是再生成與所述存儲部所存儲的所述散列值相同的散列值的基礎(chǔ)， 當(dāng)判定為未穩(wěn)定地被再生成時， 使所述密鑰信息生成部根據(jù)成為再生成所述密鑰信息的基礎(chǔ)的被再生成的所述標(biāo)識符生成所述密鑰信息，該密鑰信息是再生成與所述存儲部所存儲的所述散列值相同的散列值的基礎(chǔ)， 使所述散列部根據(jù)使所述密鑰信息生成部生成的所述密鑰信息生成更新用的散列值，使所述密碼部使用使所述密鑰信息生成部生成的所述密鑰信息，將解密了的所述秘密信息加密為更新用的所述加密秘密信息，并且， 將所述存儲部所存儲的所述散列值和所述加密秘密信息更新為使所述散列部生成的更新用的所述散列值、和使所述密碼部加密了的更新用的所述加密秘密信息。
【文檔編號】H04L9/10GK103583013SQ201180071344
【公開日】2014年2月12日 申請日期:2011年6月2日 優(yōu)先權(quán)日:2011年6月2日
【發(fā)明者】鈴木大輔 申請人:三菱電機株式會社