背景技術

在許多加密系統中，需要使用任意選擇號碼。一種情況是產生加密密鑰。優選是真實隨機的號碼源，但是這種源通常一次只提供有限數量的隨機比特，或者使用起來非常昂貴和麻煩。另一種便宜且簡單的使用就是使用偽隨機號碼產生器，給定一個被稱為種子的輸入，該偽隨機號碼產生器提供任意號碼序列。該序列中的號碼對于標準統計測試來說看起來是隨機的。使用相同的種子導致相同序列被再一次產生。?

越難預測序列中的下一個或前一個號碼，那么偽隨機號碼產生器就被認為越安全。最強大的一種偽隨機號碼產生器被稱為加密安全偽隨機號碼產生器。這些產生器使用來自高質量源(諸如基于硬件的隨機號碼產生器)的熵來產生非常難預測的序列。但是，這些類型的產生器具有特有的缺點：因為無法輸入固定的種子，它們的輸出不可再現。?

偽隨機號碼產生器可以用來避免必須存儲或傳送加密密鑰，該加密密鑰通常比用于偽隨機號碼產生器的種子長得多。如果相同偽隨機號碼產生器使用相同的種子，那么可以獲得相同的任意號碼序列。?

該方法的固有缺點在于，如果用于產生密鑰的種子被暴露，那么密鑰以及由此所有使用該密鑰加密的消息可以被恢復。因此，使種子保密是非常重要的要求。(當然，一旦已經產生密鑰，就可以刪除種子，但是這僅僅把問題轉移到如何使密鑰保密上面。)?

因此，需要一種使用偽隨機號碼產生器產生任意號碼的方法，其中不必保密種子，而給定種子和偽隨機號碼產生器本身，偽隨機號碼產生器的輸出不能被再現。?

發明內容

因此，本發明有利地提供一種給定種子產生任意號碼的方法，其特征在于：?

向物理令牌提供從種子導出的詢問(challenge)，?

從物理令牌接收初始響應，?

將初始響應和與詢問相關聯的幫助數據組合以便產生穩定的響應，以及?

使用偽隨機號碼產生器來產生任意號碼，該產生器使用該穩定的響應作為該產生器的種子。?

這里的術語“物理令牌”表示實現物理隨機或不可復制功能(PUF)的令牌或物體。該功能易于評估，但是很難表征、建模或再現。物理令牌通常是復雜的物理系統，包括許多隨機分布的分量。當使用合適的詢問來探測時，管理物理令牌和詢問之間相互作用(例如，在無序介質中的多個散射波)的復雜物理學將對每個單獨的詢問帶來看起來隨機的輸出或響應。該物理令牌的復雜的小范圍結構使其很難產生一個物理的副本。?

從令牌接收的響應易受到噪聲或擾動的影響，引起對于相同詢問的響應的不同。這種采集噪聲可以有許多原因，例如：令牌/檢測器未對準，或者環境影響(例如溫度、濕度和振動)。對于本發明的目的，這并不總是問題：越不可預測，那么產生的任意號碼的質量就越好。?

對于本發明，很重要的是，呈現給相同令牌的相同詢問產生了相同的穩定響應。這需要對采集噪聲進行補償。提供該補償的一種方法就是為物理令牌的各個詢問/響應對產生相應的幫助數據項目。給定特定的詢問，幫助數據可以被構建，與測量的響應組合以便提供冗余。在本實施例中，該冗余與對特定詢問接收的響應組合，確保對于相同的詢問獲得相同的響應。?

因為使用了幫助數據，相同的詢問將提供相同的響應。通過向令牌提供從種子導出的詢問，可實現使用相同的種子將導致來自令牌的相同響應。隨后，該響應被用于初始化偽隨機號碼產生器。?

在本發明中，種子不必保密。令牌的唯一屬性使得，如果沒有令牌就不可能預測或計算對于特定詢問的響應。這意味著，給定種子和偽隨機號碼產生器本身，偽隨機號碼產生器的輸出不能被再現，因為一個關鍵的組件，即物理令牌，是將種子變成初始化偽隨機號碼產生器的響應所必須的。?

基于令牌的隨機號碼產生本身是已知的，例如可以從因特網?http://www.csg.csail.mit.edu/pubs/memos/Memo-481/Memo-481.pdf上的MIT?CSAIL?CSG?Technical?Memo?481獲得。該論文描述了硬件隨機號碼產生器的實現，該硬件隨機號碼產生器的基本物理系統是基于物理隨機函數的。?

但是，這與本發明并不相同。僅僅使用令牌來產生隨機號碼序列缺乏一個關鍵因素，即相同的詢問將提供相同的響應，允許在需要特定序列重建的情況下使用所產生的任意號碼。實際上，該論文的教義與本發明的不同之處在于，該論文將PRNG呈現為受主要安全缺點所累，該缺點通過使用硬件隨機號碼產生器而被克服。?