Top > Search of Japanese Patents > PUF CIRCUIT GROUP AND MANUFACTURING METHOD, APPLICATION METHOD FOR PUF CIRCUIT, AND NETWORK SYSTEM > Specification

Specification :(In Japanese)PUF回路群,PUF回路群の製造方法,PUF回路の使用方法,及びネットワークシステム

Country (In Japanese)日本国特許庁(JP)
Gazette (In Japanese)公開特許公報(A)
Publication number P2020-031297A
Date of publication of application Feb 27, 2020
Title of the invention, or title of the device (In Japanese)PUF回路群,PUF回路群の製造方法,PUF回路の使用方法,及びネットワークシステム
IPC (International Patent Classification) H04L   9/10        (2006.01)
G11C  13/00        (2006.01)
G06F   7/58        (2006.01)
G06F  21/73        (2013.01)
H01L  27/11507     (2017.01)
H01L  27/10        (2006.01)
H01L  21/8229      (2006.01)
H01L  27/102       (2006.01)
FI (File Index) H04L 9/00 621Z
G11C 13/00 200
G06F 7/58 680
G06F 21/73
H01L 27/11507
H01L 27/10 431
H01L 27/102 391
Number of claims or invention 15
Filing form OL
Total pages 25
Application Number P2018-154477
Date of filing Aug 21, 2018
Inventor, or creator of device (In Japanese)【氏名】佐藤 高史
【氏名】田中 悠貴
【氏名】辺 松
【氏名】廣本 正之
Applicant (In Japanese)【識別番号】504132272
【氏名又は名称】国立大学法人京都大学
Representative (In Japanese)【識別番号】100111567、【弁理士】、【氏名又は名称】坂本 寛
Request for examination (In Japanese)未請求
Theme code 5F083
5J104
F-term 5F083BS50
5F083CR15
5F083ER22
5F083FR00
5F083GA27
5F083GA30
5F083LA02
5F083LA04
5F083LA07
5F083LA10
5F083ZA13
5J104AA07
5J104AA16
5J104EA08
5J104KA02
5J104KA06
5J104KA14
5J104NA38
Abstract (In Japanese)【課題】サーバへのCRPデータの保存を不要化する.
【解決手段】開示される回路群は,物理的複製困難関数(Physically Unclonable Function:PUF)回路を複数含むPUF回路群であって,前記PUF回路群に含まれる複数の前記PUF回路それぞれは,互いに等価なチャレンジレスポンスペア(Challenge Response Pair:CRP)を持つ.
【選択図】図4
Scope of claims (In Japanese)【請求項1】
物理的複製困難関数(Physically Unclonable Function:PUF)回路を複数含むPUF回路群であって,
前記PUF回路群に含まれる複数の前記PUF回路それぞれは,互いに等価なチャレンジレスポンスペア(Challenge Response Pair:CRP)を持つ
PUF回路群.
【請求項2】
複数の前記PUF回路それぞれは,共通の物理的なばらつきに基づく,互いに等価な物理的特性を保持しており,
複数の前記PUF回路それぞれのCRPは,前記物理的特性に基づいて定まっている
請求項1に記載のPUF回路群.
【請求項3】
複数の前記PUF回路それぞれは,前記物理的特性を保持する不揮発性メモリを有する
請求項2に記載のPUF回路群.
【請求項4】
前記不揮発性メモリは,メモリスタ,フラッシュメモリ及び強誘電体メモリからなる群から選択される一つのメモリであるである
請求項3に記載のPUF回路群.
【請求項5】
複数の前記PUF回路それぞれは,共通のチップから複数の前記PUF回路が切断により分離されたときの切断痕を有する
請求項1~4のいずれかに記載のPUF回路群.
【請求項6】
物理的複製困難関数(Physically Unclonable Function:PUF)回路を複数含むPUF回路群の製造方法であって,
共通の物理的なばらつきに基づく物理的特性を,複数のデバイスそれぞれに保持させることで,複数の前記デバイスを,互いに等価なチャレンジレスポンスペア(Challenge Response Pair:CRP)を持つ複数のPUF回路にする設定工程を含む
PUF回路群の製造方法.
【請求項7】
前記設定工程の前に,複数の前記デバイスを一体的に備えるチップを製造する工程を更に含み,
前記物理的特性は,前記チップが有する物理的なばらつきに基づく物理的特性である
請求項6に記載の製造方法.
【請求項8】
前記設定工程の後に,前記チップ中の複数の前記PUF回路を分離する工程を更に含む
請求項7に記載の製造方法.
【請求項9】
前記物理的特性は,複数の前記デバイスにおける少なくとも2つのデバイスそれぞれが有する物理的なばらつき相互の関係に基づく物理的特性である
請求項6から請求項8のいずれか1項に記載の製造方法.
【請求項10】
前記物理的特性は,複数の前記デバイスにおける特定のデバイスの物理的なばらつきに基づく物理的特性である
請求項6から請求項8のいずれか1項に記載の製造方法.
【請求項11】
前記物理的特性は,複数の前記デバイス以外のばらつき源の物理的なばらつきに基づく物理的特性である
請求項6から請求項8のいずれか1項に記載の製造方法.
【請求項12】
複数の前記デバイスそれぞれは,前記物理的特性を保持する不揮発性メモリを有する
請求項6から請求項11のいずれか1項に記載の製造方法.
【請求項13】
前記不揮発性メモリは,メモリスタ,フラッシュメモリ及び強誘電体メモリからなる群から選択される一つのメモリである
請求項12に記載の製造方法.
【請求項14】
通信ネットワークにより接続された複数の拠点それぞれが,互いに等価なチャレンジレスポンスペア(Challenge Response Pair:CRP)を持つ物理的複製困難関数(Physically Unclonable Function:PUF)回路を使用する
ことを含む方法.
【請求項15】
通信ネットワークにより接続された複数の拠点それぞれが,互いに等価なチャレンジレスポンスペア(Challenge Response Pair:CRP)を持つ物理的複製困難関数(Physically Unclonable Function:PUF)回路を有する
ネットワークシステム.
Detailed description of the invention (In Japanese)【技術分野】
【0001】
本開示は,PUF回路群,PUF回路群の製造方法,PUF回路の使用方法,及びネットワークシステムに関する.
【背景技術】
【0002】
PUF(Physical Unclonable Function)は,あるチャレンジ(入力値,c)を与えると,対応するレスポンス(出力値,r)を返す関数r=fα(c)として機能する.ただし,チャレンジとレスポンスの対応(CRP: challenge response pair)はPUF回路が有する物理的なばらつきαに依存して決まるため,従来のPUF回路においては,同じチャレンジに対するレスポンスはPUF回路ごとに異なり,人工的な複製が困難となる.そのためPUF回路は,個体認証や暗号プロトコルにおける使用が期待され,更には小規模な回路で実現可能である特徴からIoTデバイスのセキュリティ等,様々なセキュリティシステムでの応用が期待されている.なお,以下では,PUF回路を単に,「PUF」ということがある.
【先行技術文献】
【0003】

【非特許文献1】B. Gassend, D. Clarke, M. van Dijky, and S. Devadas, “Silicon physical random functions,” in Proc. Computer and Communication Security Conf., 2002, pp. 148-160.
【非特許文献2】G. E. Suh and S. Devadas, “Physical unclonable functions for device authentication and secret key generation,” in Proc. DAC, 2007, pp. 9-14.
【発明の概要】
【0004】
従来のPUFを用いる認証方式では,サーバにあるCRPとユーザが持つPUFのレスポンスを比較することで認証を行う.この認証方式ではユーザがPUFを所有する一方で,サーバはユーザが所有するPUFのCRPデータを保存する必要がある.しかし,サーバにおけるCRPデータの保存には,PUFからCRPデータを読み出す際,および読み出し後にこれを保管する際にかかるコスト(時間や保管のための記憶領域)を必要とする課題がある.しかも,サーバに保存すべきCRPデータ量が非常に大きくなる場合もある.したがって,サーバへのCRPデータの保存を不要化することが望まれる.
【0005】
さらに,PUF回路の応用によっては,サーバを介さずに,ユーザ間で認証を行いたい場合がある.これは,例えば,ユーザ間の通信は容易であるがサーバとの通信が困難である場合,サーバとユーザ間の通信経路の安全性が保証できない場合,サーバに悪意がないことを保証できない場合等である.これらの場合,サーバとの通信を行わずに認証を行うことができるのが望ましい.かかる観点からも,サーバへのCRPデータの保存を不要化することが望まれる.
【0006】
本開示の一側面は,物理的複製困難関数(PUF)回路を複数含むPUF回路群であって,前記PUF回路群に含まれる複数の前記PUF回路それぞれは,互いに等価なチャレンジレスポンスペア(CRP)を持つPUF回路群である.
【0007】
本開示の他の側面は,物理的複製困難関数回路を複数含むPUF回路群の製造方法であって,共通の物理的なばらつきに基づく物理的特性を,複数のデバイスそれぞれに保持させることで,複数の前記デバイスを,互いに等価なCRPを持つ複数のPUF回路にする設定工程を含むPUF回路群の製造方法である.
【0008】
本開示の更に他の側面は,通信ネットワークにより接続された複数の拠点それぞれが,互いに等価なCRPを持つ物理的複製困難関数回路を使用することを含む方法である.
【0009】
本開示の更に他の側面は,通信ネットワークにより接続された複数の拠点それぞれが,互いに等価なCRPを持つ物理的複製困難関数回路を有するネットワークシステムである.
【0010】
更なる詳細は,後述の実施形態として説明される.
【図面の簡単な説明】
【0011】
【図1】図1は,PUFの機能を提供するICチップの構成例及びPUFを用いた認証システム例を示す図である.
【図2】図2は,等価なレスポンスを返すPUFの例を示す図である.
【図3】図3は,等価なCRPをもつPUFを示す図である.
【図4】図4は,erPUF対の作成方法の概念図である.
【図5】図5は,製造フローの例を示す図である.
【図6】図6は,クロスカップリング型の基本回路構造を示す図であり,図6AはNMOS型を示し,図6BはPMOS型を示す.
【図7】図7は,ストレス時の状態を示す図であり,図7AはNMOS型を示し,図7BはPMOS型を示す.
【図8】図8は,erPUF対中の1ビットを生成する書き込み波形であり,図8AはNMOS型を示し,図8BはPMOS型を示す.
【図9】図9は,読み出し時の回路構造を示す図であり,図9AはNMOS型を示し,図9BはPMOS型を示す.
【図10】図10は,クロスカップリング型erPUF回路の全体構成図である.
【図11】図11は,クロスカップリング型erPUF対のアレイ回路図である.
【図12】図12は,クロスカップリング型erPUF対アレイ回路におけるセルの回路構造図であり,図12AはNMOS型を示し,図12BはPMOS型を示す.
【図13】図13は,書き込み制御回路図である.
【図14】図14は,信号制御回路図である.
【図15】図15は,erPUF回路の値設定におけるタイミングチャートである.
【図16】図16は,読み出し制御回路図である.
【図17】図17は,インバータリング型erPUFセルの基本回路構造図である.
【図18】図18は,インバータリング型erPUFセルの基本回路構造図である.
【図19】図19は,メモリスタを用いたerPUFグループ構成のためのセルの基本回路構造である.
【図20】図20は,erPUFグループ構成のためのセルの基本回路構造である.
【図21】図21は,SRAMメモリセルの特性ばらつきの自己修復の説明図であり,図21Aは,SRAMメモリセルの原理的な回路図であり,図21Bは,インバータの入出力特性を示し,図21CはSRAMメモリセルの安定性を評価するバタフライカーブを示す.
【図22】図22は,NBTIを用いるerPUFセルの基本構造図である.
【図23】図23は,セキュア通信におけるerPUFの使用例を示す図である.
【発明を実施するための形態】
【0012】
<1.従来のPUF>

【0013】
理解の容易のため,実施形態の説明に先立ち,まず,従来のPUFについて説明する.

【0014】
<1.1 PUFを有するICチップ>

【0015】
PUFは,典型的には電子回路として実現され,それ自体で単機能のICチップとして製造される場合,およびマイコンなどのPUF以外の回路とともにICチップ内に組み込まれる場合等がある.

【0016】
図1Aは,PUFを単機能のICチップ1として実現する場合の例を示している.ICチップ1は,複数ビット(ここではnビット)からなるチャレンジCを,入力回路2を通して受け取り,複数ビット(ここではmビット)からなるレスポンスRを,出力回路4を介して出力する.入力回路2と出力回路4において直列-並列変換や並列-直列変換等を行うことにより,ICチップ1に同時に入力されるチャレンジCのビット数とPUF回路3に入力されるチャレンジのビット数はそれぞれ異なっていてもよい.また,ICチップ1から同時に出力されるレスポンスRのビット数とPUF回路3から出力されるレスポンスRのビット数はそれぞれ異なっていても良い.

【0017】
図1Bは,マイコン回路5とともにPUF回路3を有するチップ6として実現する場合の例を示している.この例では,外部からの要求に応じて,または外部から与えられたチャレンジC’に応じて,マイコン回路5がPUF回路3と通信を行い,チャレンジC’に対するレスポンスR’を得る.

【0018】
図1Aの単機能のICチップ1は,例えばソケット等を介してプリント基板上に接続され,認証システムの一部をなす場合もある.単機能のICチップ1は,USBメモリやSDカードのような挿抜可能な形に実装されて可搬性を与えられるとともに,システムに組み込まれる.

【0019】
図1Cは,認証制御回路を用いてPUFの単機能ICチップ1と通信を行う場合を示している.携帯電話等の主要回路22に設けられた認証制御回路21から単機能のICチップ1に対しチャレンジCを入力し,レスポンスRを得ることで認証を行う.

【0020】
<1.2 PUFの応用例>

【0021】
PUFを用いてチップの認証を行う場合には,例えば以下の手順を取る.まず,チップ製造者が,製造したチップに搭載されているPUFについて,認証を行う回数と等しいかそれよりも十分大きい回数分のCRPを調べ記録し,製造者のサーバにCRPデータのデータベースを作成しておく.チップ購入者がチップの認証を行う際には,製造者のサーバに認証の要求を行う.製造者のサーバは作成したデータベースからあるチャレンジcを選び,ネットワークを介して,PUFに送信する.PUFは受け取ったチャレンジcからレスポンスrを得て,製造者のサーバにレスポンスrを返す.最後に製造者のサーバは受け取ったレスポンスrとデータベース内のr’を照合し,一致すれば正規品と判定する.

【0022】
n者(n>2)のユーザ認証を行う場合も同様にして,ユーザそれぞれが持つPUFとサーバが持つユーザごとのCRPデータベースとを用いる.各ユーザがサーバとの間でチャレンジとレスポンスを交換する通信を繰返してサーバが各ユーザを認証すれば,サーバを介してユーザ同士を認証することができる.

【0023】
CRPを秘密鍵として用い,一般的な暗号アルゴリズムと組み合わせる等の方法も提案されている.従来手法では,サーバがCRPデータを保持し,ユーザが物理的なPUFを保持することを前提として手続きが定義されている.

【0024】
上記のように,従来のPUFの応用では,サーバへのCRPデータの保存が必須であり,サーバへのCRPデータの保存を不要化することが望まれる.

【0025】
<2.実施形態に係るPUF回路群,PUF回路群の製造方法,PUF回路の使用方法,及びネットワークシステムの概要>

【0026】
(1)実施形態に係る回路群(回路グループ)は,物理的複製困難関数(Physically Unclonable Function:PUF)回路を複数含むPUF回路群である.PUF回路群は,2又はそれ以上のPUF回路の集合である.実施形態において,前記PUF回路群に含まれる複数の前記PUF回路それぞれは,互いに等価なチャレンジレスポンスペア(Challenge Response Pair:CRP)を持つ.異なる回路群(回路グループ)間では,従来のPUFと同様に,CRPが異なる.すなわち,前記PUF回路それぞれは,前記PUF回路群において固有のCRPを持ち,PUF回路群内においては,各CRPが等価である.等価なCRPを持つPUF回路群を使用することで,サーバへのCRPデータの保存が不要となる.

【0027】
ここで,「複数のPUF回路が等価なCRPを持つ」とは,複数のPUF回路それぞれに同一のチャレンジが与えられたときに,複数のPUF回路のレスポンスが極めて強く相関することを意味する.相関は,正でも負でもよい.すなわち,「複数のPUF回路が等価なCRPを持つ」とは,同一のチャレンジに対して,複数のPUF回路が常に完全に同一であるレスポンスを返すこと,または複数のPUF回路のレスポンスが互いに論理反転関係にあるなど,自明な変換によりそれぞれのレスポンスが実質的に同一であるととみなすことができる,ことを意味する.

【0028】
図2は,実質的に同一のレスポンスを返すとみなせるPUF,および同一のレスポンスとはみなせないPUFのCRPの例を示している.図2では,チャレンジの一部c0,c1, ... ,c14, ...に対するPUF1,PUF2,PUF3,PUF4,PUF5のレスポンスが示されている.PUF1とPUF2のレスポンスは全て等しく,図示していないチャレンジに対しても同様にレスポンスが全て等しければ,PUF1とPUF2のCRPは明らかに完全同一であり,PUF1とPUF2は等価なCRPを持つといえる.次に,PUF1とPUF3の応答を比較すると,これらは互いに論理反転関係にある.この場合においても,図示していないチャレンジを含めて全てのレスポンスが互いに論理反転関係にあるならば,一方のレスポンスを反転することで他方のレスポンスに一致させることが出来る.したがって,PUF1とPUF3のCRPは実質的に同一であり,PUF1とPUF3は等価なCRPを持つといえる.

【0029】
PUF1とPUF4のレスポンスを比較すると,図2中の15ビットのレスポンスのうち一致するものは7ビットであり,一致の場所もランダムである.したがって,レスポンスには相関が見られず,明らかにPUF1とPUF4のレスポンスは等価であるとは言えない.

【0030】
一方,PUF1とPUF5は大部分のレスポンスが等しいが,チャレンジc9に対するレスポンスだけが異なっている.PUFがばらつきを利用してその出力を決めていることから,従来のPUFにおいても,一般には,低い確率でのレスポンスの揺らぎは許容される.したがって,図示していないCRPを含め,例えば二つのPUFのレスポンスに対する一致性が予め決めたしきい値を上回る場合には,PUF1とPUF5のように完全一致が得られない場合にも等価なレスポンスを返すPUFとみなすことが出来る.

【0031】
以下では,等価なCRPを持つPUF回路をequivalent response PUF(erPUF)と呼び,図3Aのように等価なCRPを持つ複数のerPUFからなる群(グループ)をerPUFグループと呼ぶことがある.特に,図3BのようにerPUFグループが2つのerPUFから構成されるとき,そのerPUFグループをerPUF対とも呼ぶ.例えば,図2では,(PUF1,PUF2,PUF3,PUF5)が一つのerPUFグループを構成している.

【0032】
(2)複数の前記PUF回路それぞれは,共通の物理的なばらつきに基づく,互いに等価な物理的特性を保持しており,複数の前記PUF回路それぞれのCRPは,前記物理的特性に基づいて定まっているのが好ましい.物理的なばらつきは,例えば,回路の製造ばらつきである.共通の物理的なばらつきは,単一の物理的なばらつきによって構成されていてもよいし,複数の物理的なばらつきによって構成されていてもよい.物理的特性は,例えば,抵抗値である.等価な物理的特性とは,等価なCRPが得られる程度に,物理的特性が共通していればよく,例えば,完全に同一の物理特性(例えば,等しい抵抗値),反転した物理特性(例えば,反転関係にある抵抗値,より具体的には高抵抗と低抵抗),実質的に同一の物理特性(例えば,ほぼ等しい抵抗値)を含む.

【0033】
(3)複数の前記PUF回路それぞれは,前記物理的特性を保持する不揮発性メモリを有するのが好ましい.

【0034】
(4)前記不揮発性メモリは,メモリスタ,フラッシュメモリ及び強誘電体メモリからなる群から選択される一つのメモリであるであるのが好ましい.メモリスタは,物理特性として抵抗値を保持することができる.なお,フラッシュメモリ及び強誘電体メモリなどメモリスタ以外の他の不揮発性メモリを採用することもできる.

【0035】
(5)複数の前記PUF回路それぞれは,共通のチップから複数の前記PUF回路が切断により分離されたときの切断痕を有するのが好ましい.切断痕は,分離されたチップに残る切断面そのもののほか,切断箇所において途切れた残留配線も含む.

【0036】
(6)実施形態に係る回路群(回路グループ)の製造方法は,物理的複製困難関数回路を複数含むPUF回路群の製造方法である.製造方法は,共通の物理的なばらつきに基づく物理的特性を,複数のデバイスそれぞれに保持させることで,複数の前記デバイスを,互いに等価なCRPを持つ複数のPUF回路にする設定工程を含む.

【0037】
(7)製造方法は,前記設定工程の前に,複数の前記デバイスを一体的に備えるチップを製造する工程を更に含むことができる.前記物理的特性としては,前記チップが有する物理的なばらつきに基づく物理的特性を利用できる.

【0038】
(8)製造方法は,前記設定工程の後に,前記チップ中の複数の前記PUF回路を分離する工程を更に含むことができる.この工程により,分離された複数のPUF回路を得ることができる.

【0039】
(9)前記物理的特性は,複数の前記デバイスにおける少なくとも2つのデバイスそれぞれが有する物理的なばらつき相互の関係に基づく物理的特性であってもよい(図4C参照,図については後述する).すなわち,共通の物理的なばらつきとして,複数の物理的なばらつきを用い,それら複数の物理的なばらつき相互の関係で物理的特性を決めることができる.なお,物理的特性の決定に用いられる複数の物理的なばらつきは,全デバイスの物理的なばらつきであってもよいし,全デバイスのうちの2以上のデバイスの物理的なばらつきであってもよい.

【0040】
(10)前記物理的特性は,複数の前記デバイスにおける特定のデバイスの物理的なばらつきに基づく物理的特性であってもよい(図4B参照,図については後述する).

【0041】
(11)前記物理的特性は,複数の前記デバイス以外のばらつき源の物理的なばらつきに基づく物理的特性であってもよい(図4A参照,図については後述する).なお,ばらつき源は,チップ内に存在するが前記デバイス以外の箇所に存在するばらつき源であってもよいし,チップ外に存在し,デバイスに接続されたばらつき源であってもよい.

【0042】
(12)複数の前記デバイスそれぞれは,前記物理的特性を保持する不揮発性メモリを有することができる.

【0043】
(13)前記不揮発性メモリは,メモリスタ,フラッシュメモリ及び強誘電体メモリからなる群から選択される一つのメモリであるのが好ましい.

【0044】
(14)実施形態に係る方法は,通信ネットワークにより接続された複数の拠点それぞれが,互いに等価なチャレンジレスポンスペア(Challenge Response Pair:CRP)を持つ物理的複製困難関数(Physically Unclonable Function:PUF)回路を使用することを含む.

【0045】
(15)実施形態に係るネットワークシステムは,通信ネットワークにより接続された複数の拠点それぞれが,互いに等価なチャレンジレスポンスペア(Challenge Response Pair:CRP)を持つ物理的複製困難関数(Physically Unclonable Function:PUF)回路を有する.

【0046】
<3.実施形態に係るPUF回路群(erPUFグループ),erPUFグループの製造方法,erPUFグループの使用方法,及びネットワークシステムの例>

【0047】
<3.1 erPUFの製造方法,値設定>

【0048】
PUFでは,CRPがチップ固有となるように,何らかの物理的なばらつき源を用いてレスポンスが決定される.原理的には,同一グループに属するerPUFが,一つのばらつきを共通に用いることでレスポンスを同一とし,異なるグループに属するPUF間では,それぞれ別のばらつきを用いるように回路を作成することで,そのレスポンスを異なるものにできる.これを考慮すれば,erPUFグループは,様々な方法で作成できる.

【0049】
図4A,図4B,図4Cに,erPUF対を例として,erPUFグループを製造するための基本的な方法を示している.実施形態においては,複数のerPUF1,erPUF2が同じレスポンスを返せるように,ばらつき源45から得られる値Vを参照して,erPUF1,erPUF2が同じレスポンスを返せるような構成をとっている.このため,例えば,同じばらつき源45から得られるランダムな値Vが共通に書き込んである不揮発性メモリ回路は,erPUFとして機能する.ランダムな値Vは,不揮発性メモリ回路のセルに保持される.この場合には,アドレス生成器47によって生成されたアドレスADがチャレンジ,アドレスにより指定されるメモリセルが保持する値が,そのレスポンスとなる.

【0050】
なお,図4により作成されるerPUFと,既存の不揮発性メモリ回路は,明らかに異なっている.erPUF1には,ばらつき源45に由来するランダムな値があらかじめ書き込んであり,かつ,等価なCRPを持つ別のerPUF2が存在するためである.

【0051】
図4Aは,erPUFの作成方法の例である.図4Aの方法では,アドレス生成器47から与えられるアドレス(チャレンジに相当)ADを,erPUF1とerPUF2が共通に用いて,一つのばらつき源45から得られる出力値Vをそれぞれ共通のアドレスに記憶する.ばらつき源45としては,例えばトランジスタの熱雑音等から乱数を発生する物理乱数を用いることが出来る.または,計算機等を用いて得られる擬似乱数を用いることも可能である.

【0052】
図4Bは,erPUFの別の作成方法の例である.図4Bの方法では,erPUF対の一方(図4BではerPUF1)に含まれるばらつき源45から得られる値を,他方(図4BではerPUF2)にコピーすることにより,erPUF対を作成する.もちろん,この役割を適宜交換すること,すなわち,アドレス空間の前半部分の値をerPUF1のばらつき源45を使って定めてerPUF2へコピーし,アドレス空間の後半の値をerPUF2のばらつき源を使って定めてerPUF1へコピーするなど,双方向にデータをやり取りするような構成も可能である.

【0053】
図4Cは,erPUF対それぞれに含まれるばらつき源45,46の相互の関係から,erPUF対の値を決める方法の例である.図4Cの方法による構成を「相互型erPUF」と呼ぶことにする.相互型erPUFについては,後ほど,具体的な回路構成例を用いて詳細に説明する.

【0054】
図4A,図4B,図4Cに示す方法は,3以上のerPUFへ拡張することも容易である.なお,アドレス生成器47は,全てのアドレスを順次生成できれば良いことから,簡単なカウンタ等で構成できる.また,図4B,図4Cでは,erPUF1が図示しないアドレス生成器を持ち,アドレス信号ADをerPUF2に渡す前提で描かれているが,アドレスは,図4Aに示すように,erPUF1の外部から与えてもよい.また,erPUF1,erPUF2の両方がアドレス生成器を持つように構成することも可能である.この場合,信号ADは両者を同期させるためのリセット信号やクロック信号として用いることとなる.

【0055】
図4A,図4B,図4Cに示した作成方法によれば,erPUFを極めて容易に作成できる.一方で,値設定の際のセキュリティが必ずしも完全でない場合がある.erPUF1とerPUF2に書き込まれる値は,製造時にADやV等の信号を直接観測できる者,典型的にはerPUF対の作成を担当する人間等が観測し,記録出来る可能性がある.製造者が完全には信頼できないような場合には,ADやVを観測した情報が用いられてerPUFの実体を持たない第三者による「なりすまし」が可能となり得るため,ADやV等の信号は,製造者からも直接の観測が困難な形,例えば,チップ内に配線した状態で値を設定することが望ましい.

【0056】
<3.2 相互型erPUFの作成方法>

【0057】
図5は,「相互型erPUF対」の製造フローを示す.ここでは,erPUF対の例を用いて説明するが,この製造フローはerPUFグループにおいても同様である.また,この製造フローは,相互型erPUF以外のerPUFの製造にも適用できる.

【0058】
ここでは,単一チップ上にerPUF対を形成し,その後,それぞれのerPUFを切り離す場合について説明する.このような製造方法をとれば,先に述べた観測によるセキュリティ上の懸念を低減できる.ただし,単一チップ上にerPUF対を形成することは必須ではない.予め分離して作成されたerPUFチップに同じ値を書き込む場合についても,チップ間での信号をやり取りするための接続を行う必要があることを除けば,以下に示すものと同様のフローに従いerPUF対の作成が可能である.

【0059】
まず,複数のerPUFが搭載されたチップ(半導体チップ)を設計しその製造を行う(図5のステップS1).このチップにはグループをなす複数のerPUFと,erPUFへの,ばらつき書き込みおよび読み出しを行うための周辺回路とが同時に搭載されるため,各erPUFは互いにチップ上の配線により接続されている.なお,ばらつき書き込みを,「値書き込み」または「値設定」ということがある.また,後述のステップS2における値設定がされる前のerPUFを,単にデバイスという.

【0060】
次に,各デバイスをerPUFとして機能させるため,各デバイスに値設定を行う(図5のステップS2).先に述べたように,共通のエントロピー源を使用して,各erPUFが等価なCRPを持つようにerPUFへの値書き込みを行う.これにより,各デバイスそれぞれが,等価なCRPを持つerPUFとなり,erPUFグループが生成される.

【0061】
その後,チップを切断して,各erPUFを別々のチップに分離する(図5のステップS3).必要に応じて,上記で設定したCRPの書き換えを防ぐための書き込み回路を無効化する.書き込み回路を分離し破棄するなど,チップの切断により書き込み回路の無効化を同時に行うことができる場合には,この処理は省略できる.

【0062】
<3.3 erPUFの回路実現例>

【0063】
<3.3.1 クロスカップリング型erPUFの基本回路>

【0064】
ここでは,不揮発性メモリであるメモリスタMRL,MRRを用いて,erPUFを構成する.メモリスタMRL,MRRは,通過した電荷を抵抗値として記憶可能な素子であり,抵抗値をプログラム(設定)する際には,高い電圧を与え多くの電流を流す.抵抗値を読み出す際には,プログラム(設定)された抵抗値を変更しない低い電圧を用いる.以下,メモリスタに抵抗値をプログラムする高い電圧を与えることを,ストレスを与える,と呼ぶ.

【0065】
図6A,図6Bに示すクロスカップリング型回路を用いることで,erPUF対を実現できる.これらの回路では,左右ペアをなす回路双方に同時にストレスを与えると,一方のメモリスタMRL,MRRにのみ強いストレスがかかることを利用する.強くストレスのかかったメモリスタは他方のメモリスタと比較して高抵抗となるが,左右のどちらが高抵抗,低抵抗となるかは,主としてメモリスタMRL,MRRの初期ばらつきにより決まる.例えば高抵抗のメモリスタを含む場合を1,高抵抗のメモリスタを含まない低抵抗の場合を0として扱えば,これは対をなす二つのPUFと考えることが出来る.ここで二つのPUFの値は強い負の相関を持つことから,これをerPUFとして使うことができる.

【0066】
クロスカップリング型回路は,NMOSトランジスタ,PMOSトランジスタのいずれを用いても実現可能である.NMOSを用いたクロスカップリング型回路を図6Aに示し,PMOSを用いたクロスカップリング型回路を図6Bに示す.図6A,図6Bの回路はいずれも,一つのチップ60内に作成される.また,図6A,図6Bは,いずれもCRPの1ビット分の回路であり,実際のチップ60内には,多ビット分の回路が存在する.

【0067】
以下では,NMOSを用いる場合について主に説明する.NMOSを用いたクロスカップリング回路では,メモリスタMRL,MRRとNMOSトランジスタML,MRとを組(MRLとML,およびMRRとMR)としてそれぞれ擬似インバータの形に接続する.擬似インバータの1対について,互いの出力であるVR,VLを互いの入力(MOSトランジスタML,MRのゲート)端子に接続する.

【0068】
図6Aに示す回路の動作を説明する.いま,左右のメモリスタMRL,MRRの初期抵抗値をそれぞれRLとRRとする.RL>RRである場合の書き込み時における波形を図8Aに示す.まず,Vdd=Vss=0Vから出発し,タイミング81において,Vddを低電圧から高電圧に上げる.RL>RRであるためVL<VRとなり,図7AのようにMLはオン状態,MRはオフ状態となり,VLの電圧は変化しないが,VRの電圧はVddまで上昇する(図8Aのタイミング82).VRの上昇によりMRRには電圧がかからないが,MRLにはストレスがかかり抵抗値RLが上昇する(図8Aのタイミング83).

【0069】
図6Bに示すPMOSトランジスタを用いたerPUF対についても,メモリスタの抵抗値書き込み動作は同様である.Vdd=Vssの初期状態から,Vssの電位を下げる.RL>RRである場合の書き込み時における波形を図8Bに示す.タイミング81において,Vssを高電圧から低電圧に落とすと,RL>RRであるためVL>VRとなり,図7BのようにMLはオン状態,MRはオフ状態となる.このとき,VLの電圧は変化しないが,VRの電圧はVssとなる(図8Bのタイミング82).これによりMRRにはストレス電圧がかからないが,MRLにはストレスがかかり抵抗値RLが上昇する(図8のタイミング83).

【0070】
回路が対称であるから,RL<RRの場合にはMRRにのみストレスがかかり抵抗値RRのみが上昇する.以上のストレス印加により二つのメモリスタのいずれかが高抵抗となる.この動作により,2つのメモリスタMRR,MRLから,応答が互いに論理反転関係にあるメモリセルを作成できる.この処理は,図5のステップS2の「PUFの値設定」(のうちの1ビット分)に相当する.

【0071】
この書き込み動作を行った後,図6中の点線で示している位置61でチップ60を切断し,対を切り離す.この処理は,図5におけるステップS3の「チップの切断」に相当する.位置61は,切り離されたチップにおける切断面となる.また,切り離されたチップには,切断により途切れた配線(残留配線)が残る.残留配線は,例えば,MLとVRとを接続していた配線の一部である.切断面及び残留配線は,切断痕の一例である.

【0072】
切断後の基本回路構造を読み出し経路とともに図9A,9Bに示す.それぞれのerPUFのレスポンスを生成する際には,書き込まれている値が破壊されないよう,Vddを読み出し用の電圧とする.MOSトランジスタML,MRのゲート端子にバイアス電圧Vinputを入力してVreadと参照電圧Vrefをコンパレータ91で比較して0または1のレスポンスとして出力する.

【0073】
<3.3.2 クロスカップリング型erPUF対>

【0074】
図10は,上の基本回路を用いたerPUF回路(デバイス)106,107を備えるチップ(製造チップ)110の例を示す.erPUF106,107は,それぞれアレイ回路101,102を備えている.アレイ回路101,102は,図6A,6Bに示す基本回路構造(切断後)をセルとして複数備える回路である.

【0075】
製造時の値設定には,書き込み制御回路103と信号制御回路104を使用し,両アレイ回路の同位置のメモリスタ(セル)にストレスを印加し抵抗値を書き込む.製造後にはカットライン105でチップ110を切断し,第1erPUFチップ106と,第2erPUFチップ107と,書き込み制御回路103と,に分ける.書き込み制御回路103は不要であるため,カットライン105が書き込み制御回路103上を横切るようにすれば,切断は1回でもよい.

【0076】
チップの切断後,erPUFとして用いる場合には,I/O回路109から与えられる読み出しアドレス(チャレンジ)に基づき,読み出し制御回路108と信号制御回路104を用いてレスポンスを出力する.出力されたレスポンスは,読み出し制御回路108からI/O回路109に与えられる.なお,本例では行選択にnビット,列選択にmビットを用いるため,チャレンジとなるアドレスはn+mビットである.そのため,アレイ回路はN=2n行,M=2m列で構成され,CRPはN×M個である.以下ではそれぞれの回路構造を詳しく説明する.

【0077】
<3.3.3 クロスカップリング型erPUF対におけるアレイ回路>

【0078】
図11は,erPUF106,107が備えるアレイ回路101,102を示す.アレイ回路101,102ではVriとVsiを同じ行毎に,VxjとVyjを同じ列毎に共有する.なお,iは,1からNであり,jは,1からMである.また,書き込み制御回路103によって,erPUF101のVxとerPUF107のVyとを繋ぐ配線,erPUF106のVyとerPUF107のVxとを繋ぐ配線がそれぞれ交差するように接続して,選択されたセルのメモリスタへ抵抗値の書き込みを可能としている.

【0079】
図12Aは,NMOSトランジスタを用いる場合のi行j列目の「セル」111の回路構造を示す.ここで,erPUF106とerPUF107の二つの回路は,回路図上は同一である.図12Aのセル111は,図6Aの切断線61で分割した回路にNMOSトランジスタによるスイッチMx,Myを備えている.ストレス印加時には,Vriを高電圧Vddとする.erPUF106とerPUF107のアレイ回路101,102は全く同じ回路構造であるため,アレイ回路101,102中の選択セル111が,図6Aと同じ回路を形成できるよう,たすきがけに接続する.すなわち,erPUF106のセル111の端子VxjとerPUF107のセル111の端子Vyjを接続し,erPUF106のセル111の端子VyjとerPUF107のセル111の端子Vxjを接続し,スイッチMx,Myを閉じれば,図6Aと同様の回路が実現される.

【0080】
図12Bは,PMOSトランジスタを用いる場合のセル回路を示す.NMOSトランジスタを用いる場合と同様の回路構造であるが,スイッチMx, MyをPMOSトランジスタとし,ストレス印加時にはVriを負電圧とする点等が異なる.

【0081】
<3.3.4 クロスカップリング型erPUF対における書き込み制御回路と書き込み動作>

【0082】
erPUF製造時の値設定に用いる書き込み制御回路103と信号制御回路104について,アレイ回路101,102のセル111にNMOSトランジスタを用いる場合を例に説明する.図13は,書き込み制御回路103の例を示している.後に別チップとして切り分けられるデバイス,第1erPUF106と第2erPUF107とを同一チップ(製造チップ)上に作成している.両者106,107の他に書き込み制御回路103がある.

【0083】
書き込み制御回路103によって生成されたVxとVyは,第1erPUF106と第2erPUF107のアレイ回路101,102に入力される.第1erPUF106のセル111と第2erPUF107のセル111とでクロスカップリング回路を構成するため,VxとVyを交差して接続する.すなわち,第1erPUF106のVxjの端子134と第2erPUF107のVyjの端子135を接続し,第1erPUF106のVyjの端子136と第2erPUF107のVxjの端子137を接続する.

【0084】
この回路103では,カウンタ131により生成された行アドレスを用いて,1行毎にセル111への値設定を行う.ストレス電圧の印加時間は,タイミング制御回路132から出力されるVtにより制御する.Vxj,Vyjには,別の行の書き込みによる電荷が残ることで本来設定されるべき値を変えてしまう可能性があることから,タイミング制御回路132から出力されるVRESET信号により,スイッチトランジスタMAj,MBjを介して,Vxj,Vyjをリセット可能とする.

【0085】
図14は,信号制御回路104を示す.書き込み時には,信号制御回路104のセレクタ143に書き込み選択信号が与えられ,書き込み制御回路103から出力された書き込み行アドレスが,ワンホットエンコーダ141に与えられる.信号制御回路104は,書き込み制御回路103から出力された書き込み行アドレスから,アレイ回路101,102に与えられる書き込み行アドレスを,ワンホットエンコーダ141を用いて生成し,アレイ回路101,102のVsとVrに入力する.ここでは,ストレス印加を行選択後に行うため,Vrの印加を遅延回路142により遅延させている.遅延回路は,書き込み時には書き込み用の高い電源電圧(例えば2.5V)を,読み出し時には通常の電源電圧(例えば1.2V)を出力する.

【0086】
図15は,i行目の値設定(書き込み)を例に各信号の動作タイミングを示す.まず,タイミング制御回路132から出力されたVRESETにより,VxとVyをVssとする(図15のタイミング151).次にタイミング制御回路132から出力されたクロック信号CLKにより(図15のタイミング152),カウンタをi-1からiにインクリメントする(図15のタイミング153).さらに,タイミング制御回路132は,Vtを立ち上げて行アドレスを選択する(図15のタイミング154).これによりVsiが立ち上がり,i行目の全セルがクロスカップリング回路となる(図15のタイミング155).次いでVriがセルのメモリスタに印加されることでi行目の全てのメモリスタにストレス電圧が印加され,メモリスタに抵抗値が書き込まれる(図15のタイミング156).

【0087】
以上の回路構造と入力信号はアレイ回路のセルにNMOSトランジスタを用いた場合の回路と信号であるが,PMOSトランジスタを用いる場合も,信号の極性を反転させる等により同様の回路で構成できる.

【0088】
<3.3.5 クロスカップリング型erPUF対における読み出し制御回路と読み出し動作>

【0089】
図16は,読み出し制御回路108の構成例を示す.Vxには,読み出し用の電圧Vinput(例えば0.4V)を入力し,アレイ回路101,102において読み出し行アドレスによって指定された行のセルからVyにあらわれる電圧を,コンパレータ163において,参照電圧Vrefと比較する.読み出すべき列を,読み出し列アドレスに基づき,列選択回路164により選び,特定の一つのセルから得られたレスポンスを出力する.複数レスポンスを同時に用いるような応用では,列選択回路を設けず,1列分のレスポンスを一度に出力するような構成も可能である.

【0090】
読み出し行アドレス(nビット)及び読み出し列アドレス(mビット)は,I/O回路109(図10参照)から,信号制御回路104及び読み出し制御回路108へ与えられる.I/O回路109は,チャレンジを読み出しアドレス(n+mビット)として受け取り,読み出しアドレスの上位nビットを,読み出し行アドレスとして信号制御回路104へ与え,下位mビットを,読み出し列アドレスとして読み出し制御回路108へ与える.

【0091】
図14に戻り,レスポンスの読み出し時には,信号制御回路104のセレクタ143に読み出し選択信号が与えられ,I/O回路109から出力された読み出し行アドレスが,ワンホットエンコーダ141に与えられる.ワンホットエンコーダ141は,与えられた読み出し行アドレスから,アレイ回路101,102に与えられる読み出し行アドレスを生成し,アレイ回路101,102のVsとVrに入力する.

【0092】
<3.3.6 インバータリング型>

【0093】
図17は,メモリスタを用いる別のerPUFの構成例を示す.メモリスタは,両端にストレス電圧を与えることで抵抗値を書き込める.そこで,0/1を対として出力する任意の0/1出力回路170を複数のメモリスタMMR1,MMR2の両端に接続して電位差を与えれば,様々な回路によりerPUFを作成できる.

【0094】
例えば,図17において,両出力端nodeL, nodeRの値が,(nodeL=0, nodeR=1)または(nodeL=1,nodeR=0)となるような0/1出力回路170を用い,メモリスタMMR1,MMR2にプログラム可能な電位差を与えれば,メモリスタMMR1,MMR2に同じ抵抗値(いずれも高抵抗,またはいずれも低抵抗)を与えることができる.

【0095】
ここでは,メモリスタMMR1,MMR2を同方向にしているため,メモリスタMMR1,MMR2の書き込み結果が揃うが,メモリスタMMR1,MMR2の向きを互いに逆とすれば書き込み結果は互いに反転状態となる.

【0096】
メモリスタMMR1,MMR2への値書き込み後は0/1出力回路170は不要となるため,図17では,チップをカットライン171,172にて切断し,2つのメモリスタMMR1,MMR2からなるerPUF対を作成している.この回路は図4Aの例となっており,0/1出力回路170が,図4Aのばらつき源45に相当する.すなわち,図17の回路における値書き込みは,一つのばらつき源を用いてerPUF対の書き込みを行うことと等価である.図4Bに示すように,一方のerPUF中のばらつき源をもとに0/1出力を得る構成や,図4Cに示すようにエントロピー源をerPUF対で分散して持つ構成も可能である.

【0097】
図18A,図18B,図18Cは,erPUFセル対の具体的な回路構成例を示す.これらの回路ではいずれも,0/1出力回路170を,それぞれの出力端子を相手の入力端子に接続するインバータ181,182の対により実現している.これは,SRAM PUFと原理的には同じ回路であるが,これを用いて2つ(以上)からなるerPUFを作成する点が異なっている.

【0098】
図18Aでは,CUTLINE1,CUTLINE2でチップを切断することで図17と同様にMMR1,MMR2によるerPUF対を得ると同時に,0/1出力回路170を破棄できる.この回路を用いて,図4Bの形を構成できることは自明である.

【0099】
また,図18Aの回路を変形すると,図18Bのような回路構成が可能である.CUTLINE3で切断することで,ばらつき源となるインバータ181,182をチップ毎に分散してもたせてerPUF対を得ることができ,図4Cの形を構成できる.

【0100】
さらに,0/1出力回路170は最小トランジスタサイズで設計されることが一般的であるため,十分な駆動力が得られない場合がある.例えば図18Cのようにバッファ回路(ここではインバータ183,184)等を介してメモリスタをプログラムすることで,メモリスタへの値の書き込みを高速に,高電圧で行うことも可能である.

【0101】
このような回路形式では,3以上のerPUFからなるerPUFグループの構成は容易である.図19のように0/1出力回路170の出力を任意個のメモリスタMMR1,MMR2,MMRnに(バッファを介して)接続することによりerPUFグループを容易にプログラムできる.さらに,値が書き込まれるのはメモリスタである必要はなく,図20のように0/1出力回路170の出力を任意個のメモリ201,202,203に書き込むことでもerPUFグループを生成可能である.メモリ201,202,203は,フラッシュメモリや強誘電体メモリ等の不揮発性メモリであるのが好ましい.

【0102】
<3.3.7 NBTI型>

【0103】
本発明のさらに別の実現形態として,標準的なCMOSプロセス技術のみを用いてerPUFを実現する方法がある.SRAMメモリセルにストレス電圧を与えることでNBTI(負バイアス電圧温度不安定性: Negative Bias Temperature Instability)現象を生じさせ,これによりメモリセルを構成するトランジスタの特性の一つである駆動力を変え,メモリセルの安定性を向上させる特性ばらつきの自己修復が提案されている(N. E. Alias, A. Kumar, T. Saraya, S. Miyano, and T. Hiramoto, “NBTI Reliability of PFETs under Post-Fabrication Self-Improvement Scheme for SRAM,” IEICE Transactions on Electronics, vol. E96.C, no. 5, pp. 620-623, 2013.:以下,「参考文献」という).このNBTI現象を応用することでも,erPUFが実現できる.

【0104】
まず,準備としてNBTI現象を利用したSRAMメモリセルの自己修復について説明する.図21AにSRAMメモリセルの原理的な回路図を示す.説明を単純化するため,アクセストランジスタは省略している.SRAMメモリセルを構成するインバータの入出力特性の概形は図21Bのような形である.いま,入出力特性の傾きが最大となる位置を論理しきい電圧Vltと呼ぶものとする.SRAMメモリセルは,インバータが二つ(INV1とINV2)組み合わされた形となっている.図21Cに,図21Aに示す回路の論理しきい電圧Vlt1とVlt2の例を示す.図21Cはバタフライカーブと呼ばれ,二つのインバータの入出力特性により囲われる領域が大きいほどメモリセルが安定であることを意味する.

【0105】
いま電源電圧Vddを0Vから上げていくと,INV1とINV2それぞれの論理しきい電圧Vlt1とVlt2について,より高い論理しきい電圧を持つインバータの出力ノードが論理1,他方が論理0となる.この例では,node1が論理0,node2が論理1となる.参考文献は,電源電圧をさらに上げると,オンとなっているトランジスタMP1に選択的にNBTI現象が生じることを利用した自己修復を提案している.NBTI現象を起こす電源電圧を繰返し与えることで,MP1のしきい値が上がり電流が減少する.その結果,INV2の論理しきい電圧Vlt2が低下する.これを繰り返すと,最終的にはVlt2をVlt1にほぼ一致させることができる.

【0106】
次に,NBTIを用いてerPUFを構成する方法を説明する.図22が1ビット分のレスポンスを出力する回路の一例である.

【0107】
チップの製造後の書き込みは次のように行う.まず,スイッチφ1をすべて閉じ,スイッチφ2はすべて開ける.これにより,インバータINV1とインバータINV4がSRAMメモリセルと同様の形で接続される.また,インバータINV2とインバータINV3がSRAMメモリセルと同様の形で接続される.先に述べたように,INV1-INV4とINV2-INV3とからなる二つのインバータペアについてNBTIストレスを与える.すると,INV1とINV4を構成するPMOSトランジスタとNMOSトランジスタの論理しきい電圧がほぼ等しい値V14をとるようになる.また,INV2とINV3を構成するPMOSトランジスタとNMOSトランジスタの論理しきい値がほぼ等しい値V23をとる.ただし,V14とV23は互いに無相関であり,インバータのペア毎にばらついている.論理しきい値の操作を行なった後,CUTLINEでチップの切り離しを行う.

【0108】
切り離し後にはφ1のスイッチは事実上開いており,φ2のスイッチを閉じることにより,INV1-INV2からなるSRAMメモリセルと,INV3-INV4からなるSRAMメモリセルがそれぞれのチップ上にできる.この二つのSRAMメモリセルは,SRAM PUFの基本セルと同じ形となっている.ただし,これらの二つのSRAMメモリセルは,先に行なった電源電圧操作によるNBTIストレス印加により,INV1とINV4,INV2とINV3の論理しきい値がそれぞれほぼ等しくなっている.一方で,V14とV23は,チップ製造時のばらつきによりランダムに決定されている.ゆえに,V14がV23よりも高ければ,node1Lとnode2Rが論理1,node1Rとnode2Lが論理0となる.逆にV14がV23よりも低ければ,node1Lとnode2Rが論理0,node1Rとnode2Lが論理1となる.クロスカップル型と同様にアレイ構成として適切に周辺回路を設計すれば,二つのチップの対応するセルに同じ情報を記録できていることになるため,erPUFとして使用できる.

【0109】
<3.4 実施形態に係るPUFの使用方法例及びPUFを利用したネットワークシステム例>

【0110】
<3.4.1 チップ認証>

【0111】
チップ認証とは,製造されたチップが正規品であるかを判定する真贋判定のことであり,安全性が要求される応用では必須の手続きとなる.従来のPUFでは,チップ認証を行うために十分な数のCRPデータを読み出してデータベースを作成,保持する必要があった.しかし,erPUFを用いることにより,このようなデータベースを使用することなくチップ認証が行える.

【0112】
erPUF対を用いたチップ認証方式では,チップ製造者はerPUF対(第1erPUF,第2erPUF)を作成し,片方(第1erPUF,またはそれを組み込んだ機器)をチップ購入者に販売し,他方(第2erPUF)を製造者が所持しサーバとなる.チップ製造者の拠点とチップ購入者の拠点とが通信ネットワークを介して接続されたネットワークシステムが構築される.チップ購入者がチップの認証を行う際にはまず,ネットワークを介して,製造者に認証の要求を行う.それに応じて製造者はチャレンジCを生成し,ネットワークを介して,チップ購入者に送信する.チップ購入者は,チャレンジCから,第1erPUF(またはそれを組み込んだ機器)のレスポンスR1を得て製造者に,ネットワークを介して送信する.製造者は第2erPUFのレスポンスR2を求める.製造者は,R1とR2を比較し,これらが等価であると判断できれば正規品と判定できる.これは,kチップ(kは2以上の整数)からなるerPUFグループを用いて,製造者と(k-1)個のチップとの間で認証を行う拡張は,自明に可能である.

【0113】
<3.4.2 セキュア通信>

【0114】
従来は通信者間で秘密鍵の交換をする必要があった通信はすべて,erPUFを応用した安全な通信に置き換えることが出来る.

【0115】
erPUF群を利用してk者間でセキュアな通信を行うネットワークシステムの例を図23に示す.通信ネットワーク(通信路)にて接続された複数の拠点(端末)A1~Akの間でセキュア通信を行いたい場合には,事前に物理的な流通方法により同じerPUFグループに属するerPUFの物理的な実体をそれぞれが持つ.図に示すとおり,端末A1~Akは,同じグループのerPUFを用いてレスポンスを得られるようになっていれば,必ずしも同一の構成でなくても良い.

【0116】
例えば,端末A1と端末A2の二者間でセキュアな通信を行う場合には,まず端末A1が乱数生成器などを用いてチャレンジCを生成して,通信経路を介してそれを端末A2に渡す.それぞれが持つerPUFにチャレンジCを与えてレスポンスRを生成すれば,A1とA2は実質的に秘密鍵Rを共有していることとなるから,以降の通信ではレスポンスRを何らかの形で用いた共通鍵暗号方式等による通信が可能となる.三者間以上であっても同様に,秘密鍵をやりとりすることなく秘密鍵を共有できることは明らかである.

【0117】
<3.4.1 その他>

【0118】
さらに同様に,ディジタル署名が暗号化・復号化とほぼ同様の手続きであることから,erPUFを用いた安全な秘密鍵の共有を利用すれば,k者間のディジタル署名も実現可能であることは明らかである.また,erPUFのレスポンスを擬似乱数の初期値に用いれば,erPUFを持つ者の間でだけ共通であることを保証する,擬似乱数の系列を得ることが可能になる.

【0119】
<4.付記>

【0120】
本発明は,上記実施形態に限定されるものではなく,様々な変形が可能である.
【符号の説明】
【0121】
1 :ICチップ
2 :入力回路
3 :PUF回路
4 :出力回路
5 :マイコン回路
6 :チップ
21 :認証制御回路
22 :主要回路
45 :ばらつき源
46 :ばらつき源
47 :アドレス生成器
60 :チップ
61 :切断線
91 :コンパレータ
101 :アレイ回路
102 :アレイ回路
103 :書き込み制御回路
104 :信号制御回路
105 :カットライン
106 :第1erPUF
107 :第2erPUF
108 :読み出し制御回路
109 :I/O回路
110 :チップ
111 :セル
131 :カウンタ
132 :タイミング制御回路
134 :端子
135 :端子
136 :端子
137 :端子
141 :ワンホットエンコーダ
142 :遅延回路
143 :セレクタ
163 :コンパレータ
164 :列選択回路
170 :0/1出力回路
171 :カットライン
172 :カットライン
181 :インバータ
182 :インバータ
183 :インバータ
184 :インバータ
201 :メモリ
202 :メモリ
203 :メモリ
Drawing
(In Japanese)【図1】
0
(In Japanese)【図2】
1
(In Japanese)【図3】
2
(In Japanese)【図4】
3
(In Japanese)【図5】
4
(In Japanese)【図6】
5
(In Japanese)【図7】
6
(In Japanese)【図8】
7
(In Japanese)【図9】
8
(In Japanese)【図10】
9
(In Japanese)【図11】
10
(In Japanese)【図12】
11
(In Japanese)【図13】
12
(In Japanese)【図14】
13
(In Japanese)【図15】
14
(In Japanese)【図16】
15
(In Japanese)【図17】
16
(In Japanese)【図18】
17
(In Japanese)【図19】
18
(In Japanese)【図20】
19
(In Japanese)【図21】
20
(In Japanese)【図22】
21
(In Japanese)【図23】
22