ホーム > 特許ランキング > ブリルニクスジャパン株式会社
知財求人 - 知財ポータルサイト「IP Force」
▶ ブリルニクスジャパン株式会社の特許一覧 ▶ 学校法人立命館の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-07-21
(45)【発行日】2023-07-31
(54)【発明の名称】固体撮像装置、固体撮像装置の駆動方法、および電子機器
(51)【国際特許分類】
H04N 25/70 20230101AFI20230724BHJP
H04N 25/76 20230101ALI20230724BHJP
H04N 25/77 20230101ALI20230724BHJP
【FI】
H04N25/70
H04N25/76
H04N25/77
【請求項の数】
15
(21)【出願番号】P 2019039240
(22)【出願日】2019-03-05
(65)【公開番号】P2020145533
(43)【公開日】2020-09-10
【審査請求日】2022-02-16
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成30年度、国立研究開発法人新エネルギー・産業技術総合開発機構 IoT推進のための横断技術開発プロジェクト 複製不可能デバイスを活用したIoTハードウェアセキュリティ基盤の研究開発委託研究、産業技術力強化法第19条の適用を受ける特許出願
(73)【特許権者】
【識別番号】514179562
【氏名又は名称】ブリルニクスジャパン株式会社
(73)【特許権者】
【識別番号】593006630
【氏名又は名称】学校法人立命館
(74)【代理人】
【識別番号】110001863
【氏名又は名称】弁理士法人アテンダ国際特許事務所
(72)【発明者】
【氏名】大倉 俊介
(72)【発明者】
【氏名】石川 賢一郎
(72)【発明者】
【氏名】白畑 正芳
(72)【発明者】
【氏名】藤野 毅
(72)【発明者】
【氏名】汐崎 充
(72)【発明者】
【氏名】久保田 貴也
【審査官】鈴木 肇
(56)【参考文献】
【文献】国際公開第2016/167076(WO,A1)
【文献】特表2019-505860(JP,A)
【文献】特開2018-117269(JP,A)
【文献】米国特許出願公開第2017/0104949(US,A1)
【文献】大倉 俊介 他,CMOSイメージセンサの画素ばらつきを活用したPUF(CIS-PUF)の提案(1) -基本コンセプトとシミュレーション検討-,2017年 暗号と情報セキュリティシンポジウム(SCIS2017),電子情報通信学会,2017年01月27日,1-8
(58)【調査した分野】(Int.Cl.,DB名)
H04N 25/70
H04N 25/76
H04N 25/77
(57)【特許請求の範囲】
【請求項1】
光電変換機能を有する複数の画素が行列状に配列された画素部と、前記画素部から画素信号の読み出しを行う読み出し部と、
ファジー抽出器(Fuzzy Extractor)を含み、前記画素のばらつき情報および前記読み出し部のばらつき情報の少なくともいずれかに関連付けて固有鍵を含むレスポンスデータを生成するレスポンスデータ生成部と、を有し、
前記ファジー抽出器は、
真性乱数生成モード時に前記読み出し部により前記画素から読み出した画素信号または前記画素部の列出力に対応して配置され、入力される列出力信号を処理する前記読み出し部の列信号処理部から読み出した読み出し信号を用いて真性乱数を生成する真性乱数生成器を含み、前記真性乱数生成器で生成した真性乱数と、初期鍵生成時に取得したレスポンスとしてのばらつき情報とに基づいて初期鍵およびヘルパーデータを生成する初期鍵生成部と、
鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるエラーを含むレスポンスとしてのばらつき情報とに基づいて固有鍵を生成する鍵再生成部と、を含む
固体撮像装置。
【請求項2】
前記画素は、蓄積期間に光電変換により生成した電荷を蓄積する光電変換素子と、
前記光電変換素子に蓄積された電荷を転送期間に転送可能な転送素子と、
前記転送素子を通じて前記光電変換素子で蓄積された電荷が転送されるフローティングディフュージョン(FD)と、
前記フローティングディフュージョンの電荷を電荷量に応じた利得をもって電圧信号に変換するソースフォロワ素子と、
前記フローティングディフュージョンを所定電位にリセットするリセット素子と、を含み、
真性乱数生成モード時に前記読み出し部により前記画素から読み出した画素信号は、
前記リセット素子が導通状態時のFDリセットノイズを含む信号、または、
前記リセット素子および前記転送素子が導通状態時のFDリセットノイズを含む信号、を含む
請求項1記載の固体撮像装置。
【請求項3】
前記画素部は、一つの前記フローティングディフュージョン、一つの前記ソースフォロワ素子、および一つのリセット素子を複数の前記光電変換素子および前記転送素子で共有する画素共有構造を有する
請求項2記載の固体撮像装置。
【請求項4】
画素アレイ端に画素出力電圧振幅を制限するクリップ回路が配置されている請求項2または3記載の固体撮像装置。
【請求項5】
前記読み出し部は、前記真性乱数生成モード時に前記画素信号または前記読み出し信号の読み出しを複数回行う
請求項1から4のいずれか一に記載の固体撮像装置。
【請求項6】
前記読み出し部は、選択された画素から前記画素信号の読み出しを複数回行う
請求項5記載の固体撮像装置。
【請求項7】
前記読み出し部は、選択された行の複数の画素から前記画素信号の読み出しを行う
請求項5記載の固体撮像装置。
【請求項8】
前記読み出し部は、選択された列の複数の画素から前記画素信号の読み出しを行う
請求項5記載の固体撮像装置。
【請求項9】
前記読み出し部は、前記画素部の少なくとも一つの列出力に対応して配置され、入力される列出力信号を処理する複数の列信号処理部と、
前記画素部の列出力による列出力信号の供給先をシャッフルして、前記列出力に対応して配置された前記列信号処理部と異なる列信号処理部に入力するように切り替え可能なマルチプレクサと、を含む
請求項8記載の固体撮像装置。
【請求項10】
前記真性乱数生成モード時に読み出される画素は、オプティカルブラック領域に配置された画素から選択される請求項2から9のいずれか一に記載の固体撮像装置。
【請求項11】
前記読み出し部の列信号処理部は、前記画素からの読み出し信号を増幅するアンプと、
前記アンプの出力信号をアナログ信号からデジタル信号に変換するアナログデジタル(AD)変換器と、を含み、
前記読み出し部の列信号処理部から読み出される読み出し信号は、
前記画素の読み出し信号が入力されない状態であって、
前記アンプの出力が入力されない状態での前記AD変換器の出力信号、または、
前記アンプの出力が入力された状態での前記AD変換器の出力信号を含む
請求項1記載の固体撮像装置。
【請求項12】
前記真性乱数生成器は、複数の前記画素信号または複数の前記読み出し信号の排他的論理和演算を行う
請求項1から11のいずれか一に記載の固体撮像装置。
【請求項13】
ファジー抽出器(Fuzzy Extractor)は、前記初期鍵生成部が、
初期鍵生成時に取得したレスポンスとしてのばらつき情報に基づいて初期鍵およびヘルパーデータを生成し、
前記鍵再生成部が、
鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるエラーを含むレスポンスとしてのばらつき情報と、当該鍵再生成時のばらつき情報より予測した信頼度情報とを用いて軟判定を行って固有鍵を生成する
請求項1から12のいずれか一に記載の固体撮像装置。
【請求項14】
光電変換機能を有する複数の画素が行列状に配列された画素部と、前記画素部から画素信号の読み出しを行う読み出し部と、
を含む固体撮像装置の駆動方法であって、
前記画素のばらつき情報および前記読み出し部のばらつき情報の少なくともいずれかの情報を取得する情報取得ステップと、
ファジー抽出器(Fuzzy Extractor)を適用したファジー抽出ステップを含み、前記情報取得ステップで取得したばらつき情報に関連付けて固有鍵を含むレスポンスデータを生成するレスポンスデータ生成ステップと、を含み、
前記レスポンスデータ生成ステップのファジー抽出ステップは、
真性乱数生成モード時に前記読み出し部により前記画素から読み出した画素信号または前記画素部の列出力に対応して配置され、入力される列出力信号を処理する前記読み出し部の列信号処理部から読み出した読み出し信号を用いて真性乱数を生成する真性乱数生成ステップを含み、前記真性乱数生成ステップで生成した真性乱数と、初期鍵生成時に取得したレスポンスとしてのばらつき情報とに基づいて初期鍵およびヘルパーデータを生成する初期鍵生成ステップと、
鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるエラーを含むレスポンスとしてのばらつき情報とに基づいて固有鍵を生成する鍵再生成ステップと、を含む
固体撮像装置の駆動方法。
【請求項15】
固体撮像装置と、前記固体撮像装置に被写体像を結像する光学系と、を有し、
前記固体撮像装置は、
光電変換機能を有する複数の画素が行列状に配列された画素部と、
前記画素部から画素信号の読み出しを行う読み出し部と、
ファジー抽出器(Fuzzy Extractor)を含み、前記画素のばらつき情報および前記読み出し部のばらつき情報の少なくともいずれかに関連付けて固有鍵を含むレスポンスデータを生成するレスポンスデータ生成部と、を有し、
前記ファジー抽出器は、
真性乱数生成モード時に前記読み出し部により前記画素から読み出した画素信号または前記画素部の列出力に対応して配置され、入力される列出力信号を処理する前記読み出し部の列信号処理部から読み出した読み出し信号を用いて真性乱数を生成する真性乱数生成器を含み、前記真性乱数生成器で生成した真性乱数と、初期鍵生成時に取得したレスポンスとしてのばらつき情報とに基づいて初期鍵およびヘルパーデータを生成する初期鍵生成部と、
鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるエラーを含むレスポンスとしてのばらつき情報とに基づいて固有鍵を生成する鍵再生成部と、を含む
電子機器。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、固体撮像装置、固体撮像装置の駆動方法、および電子機器に関するものである。
【背景技術】
【0002】
光を検出して電荷を発生させる光電変換素子を用いた固体撮像装置(イメージセンサ)として、CMOS(Complementary Metal Oxide Semiconductor)イメージセンサが実用に供されている。
CMOSイメージセンサは、デジタルカメラ、ビデオカメラ、監視カメラ、医療用内視鏡、パーソナルコンピュータ(PC)、携帯電話等の携帯端末装置(モバイル機器)等の各種電子機器の一部として広く適用されている。
CMOSイメージセンサは、デジタルカメラ、ビデオカメラ、監視カメラ、医療用内視鏡、パーソナルコンピュータ(PC)、携帯電話等の携帯端末装置(モバイル機器)等の各種電子機器の一部として広く適用されている。
【0003】
このように、様々な分野の光撮像に利用されるCMOSイメージセンサの市場規模は大きく、今後も車載カメラをはじめとする搭載アプリケーションの増加により需要が伸びることが予想される。
【0004】
そして、近年、身の回りのあらゆるモノをインターネットに接続するIoT(Internet of Things)が大きく注目を集めている。IoTによって得られたデータが、インターネットを通じてクラウド側の計算機に収集され、解析された結果を再びIoT側に情報として伝えることが可能になっている。
たとえば、完全自動運転などを実現する場合の車載センサもIoTとみなすことができ、取得データの改ざんは事故など重大な被害を生じるおそれがある。
たとえば、完全自動運転などを実現する場合の車載センサもIoTとみなすことができ、取得データの改ざんは事故など重大な被害を生じるおそれがある。
【0005】
このように、IoT時代の情報の入り口であるIoTセンサのセキュリティを高めることが重要になってくる。IoTセンサのセキュリティを高める要件としては、まずは不正なセンサが接続されていないこと、次の段階として、センサで取得されたデータが改ざんされていないことを確認する手段が必要となる。
従来の暗号技術ではデジタル化されたマイコンチップ以降の信号は守られているが、センサチップから出てくる直後の信号が必ずしも守られていない。その理由は、部品としてのセンサ単体には低コストが求められ、余分な回路となるセキュリティ技術が普及していないためである。
従来の暗号技術ではデジタル化されたマイコンチップ以降の信号は守られているが、センサチップから出てくる直後の信号が必ずしも守られていない。その理由は、部品としてのセンサ単体には低コストが求められ、余分な回路となるセキュリティ技術が普及していないためである。
【0006】
一方、LSIのセキュリティ技術としてPUF (Physically Unclonable Function;物理複製困難関数)と呼ばれる技術が近年注目を集めている。PUFは半導体におけるばらつきを物理特徴量として抽出し、デバイス固有の出力を得る技術である。
また、半導体デバイスにおいてPUFとは、製造時に発生するトランジスタのしきい値のばらつきなどにより起こる微小な性能のずれを抽出し、固有のIDとして出力する回路である。
このPUFで発生させた固有IDを用いてデバイスを認証したり、取得データに真正性を確保するためのメッセージ認証符号(MAC)を付与したりすることで情報の改ざんを防止できる。
また、半導体デバイスにおいてPUFとは、製造時に発生するトランジスタのしきい値のばらつきなどにより起こる微小な性能のずれを抽出し、固有のIDとして出力する回路である。
このPUFで発生させた固有IDを用いてデバイスを認証したり、取得データに真正性を確保するためのメッセージ認証符号(MAC)を付与したりすることで情報の改ざんを防止できる。
【0007】
以上のような状況において、CMOSイメージセンサ(CIS)に余分な回路を追加せず、CISの画素ばらつきを取り出し、それを個体固有の情報として利用することでセキュリティ機能をもたせられるCMOSイメージセンサPUF(CIS-PUF)が提案されている。
【0008】
たとえば、非特許文献1および2には、センサのデバイス認証と画像データの改ざんを防止する対策として、CMOSイメージセンサにおける画素ばらつき情報からPUFの固有IDを生成するCMOSイメージセンサPUF(CIS-PUF)が提案されている。
【0009】
これらのCIS-PUFではPUFレスポンスを生成する際に、画素トランジスタのばらつきに相当する複数ビット、たとえば12ビットのデジタル値(Vout)を出力し,隣接するトランジスタのしきい値電圧の大小関係より1/0のレスポンスを得る。
大小比較する画素トランジスタの値Voutの差が大きい場合は、ノイズや温度・電圧などの環境条件が変動しても、しきい値電圧の大小関係は反転しないため、安定なビットであることが判断できる。
大小比較する画素トランジスタの値Voutの差が大きい場合は、ノイズや温度・電圧などの環境条件が変動しても、しきい値電圧の大小関係は反転しないため、安定なビットであることが判断できる。
【0010】
なお、PUFレスポンス生成時に、レスポンス中で、エラービットになりやすいビットを予測できる性質は、従来典型的なPUFとして提案されている(非特許文献3,4参照)。
【先行技術文献】
【特許文献】
【0011】
【文献】大倉,名倉,白畑,汐崎,久保田,石川,高柳,藤野,“CMOSイメージセンサの画素ばらつきを活用した PUF(CIS-PUF) の提案 (1) ‐基本コンセプトとシミュレーション検討‐”,2017年暗号と情報セキュリティシンポジウム(SCIS2017),3C4-4,2017.
【文献】名倉,大倉,白畑,汐崎,久保田,石川,高柳,藤野,“CMOSイメージセンサの画素ばらつきを活用した PUF(CIS-PUF) の提案 (2) ‐実データによるPUF性能評価‐”, 2017年暗号と情報セキュリティシンポジウム(SCIS2017),3C4-5,2017.
【文献】D. Lim,J. W. Lee, B. Gassend, G. E. Suh, M. van Dijk, S. Devadas, “Extracting secret keys from integrated circuits”, IEEE Trans. on VLSI System,vol 13,no. 10,pp.1200-1205,2005.
【文献】G.E. Suh,S. Devadas,“Physical Unclonable Functions for Device Authentication and Secret Key Generation”DAC’07,pp.9-14,2007.
【文献】Y. Dodis, R. Ostrovsky, L. Reyzin, and A. Smith, "Fuzzy Extractors: How to Generate Strong Keys from Biometrics and Other Noizy Data," LNCS 3027, pp.523- 540, 2004.
【発明の概要】
【発明が解決しようとする課題】
【0012】
ところで、デバイス個体固有のばらつきをセキュリティに利用するPUFの応用としてチャレンジおよびレスポンス認証(Challenge & Response(CR認証))と暗号鍵(固有鍵)生成の利用がある。
【0013】
PUFのレスポンスにはノイズによるエラ-がつきものであり、前者のCR認証ではエラーを考慮し、一致しないビットをある程度許容する閾値を設け認証する方法が取られている。
一方、後者の暗号鍵生成ではビットエラ-が許されず、初期鍵生成以降、同じ鍵を生成する(再生成)にはエラ-を除去する技術が必要となる。
一方、後者の暗号鍵生成ではビットエラ-が許されず、初期鍵生成以降、同じ鍵を生成する(再生成)にはエラ-を除去する技術が必要となる。
【0014】
この鍵生成およびエラーを除去する技術として、ファジー抽出器(Fuzzy Extractor)が提案されている(たとえば非特許文献5参照)。
【0015】
ファジー抽出器では、疑似乱数およびPUFレスポンスに基づいて暗号鍵が生成され、ランダムノイズは除去される。
【0016】
しかしながら、疑似乱数はランダム性に限界があり、リプレイ攻撃に対して脆弱である。このため、ファジー抽出器には真の乱数生成器が必要となるが既存の真性乱数生成器では高コストとなるという不利益がある。
【0017】
本発明は、低コストで高いランダム性を有する真性乱数を生成することが可能で、ひいては画像の改ざん、ねつ造を確実に防止することが可能な固体撮像装置、固体撮像装置の駆動方法、および電子機器を提供することにある。
【課題を解決するための手段】
【0018】
本発明の第1の観点の固体撮像装置は、光電変換機能を有する複数の画素が行列状に配列された画素部と、前記画素部から画素信号の読み出しを行う読み出し部と、ファジー抽出器(Fuzzy Extractor)を含み、前記画素のばらつき情報および前記読み出し部のばらつき情報の少なくともいずれかに関連付けて固有鍵を含むレスポンスデータを生成するレスポンスデータ生成部と、を有し、前記ファジー抽出器は、真性乱数生成モード時に前記読み出し部により前記画素から読み出した画素信号または前記画素部の列出力に対応して配置され、入力される列出力信号を処理する前記読み出し部の列信号処理部から読み出した読み出し信号を用いて真性乱数を生成する真性乱数生成器を含み、前記真性乱数生成器で生成した真性乱数と、初期鍵生成時に取得したレスポンスとしてのばらつき情報とに基づいて初期鍵およびヘルパーデータを生成する初期鍵生成部と、鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるエラーを含むレスポンスとしてのばらつき情報とに基づいて固有鍵を生成する鍵再生成部と、を含む。
【0019】
本発明の第2の観点は、光電変換機能を有する複数の画素が行列状に配列された画素部と、前記画素部から画素信号の読み出しを行う読み出し部と、を含む固体撮像装置の駆動方法であって、前記画素のばらつき情報および前記読み出し部のばらつき情報の少なくともいずれかの情報を取得する情報取得ステップと、ファジー抽出器(Fuzzy Extractor)を適用したファジー抽出ステップを含み、前記情報取得ステップで取得したばらつき情報に関連付けて固有鍵を含むレスポンスデータを生成するレスポンスデータ生成ステップと、を含み、前記レスポンスデータ生成ステップのファジー抽出ステップは、真性乱数生成モード時に前記読み出し部により前記画素から読み出した画素信号または前記画素部の列出力に対応して配置され、入力される列出力信号を処理する前記読み出し部の列信号処理部から読み出した読み出し信号を用いて真性乱数を生成する真性乱数生成ステップを含み、前記真性乱数生成ステップで生成した真性乱数と、初期鍵生成時に取得したレスポンスとしてのばらつき情報とに基づいて初期鍵およびヘルパーデータを生成する初期鍵生成ステップと、鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるエラーを含むレスポンスとしてのばらつき情報とに基づいて固有鍵を生成する鍵再生成ステップと、を含む。
【0020】
本発明の第3の観点の電子機器は、固体撮像装置と、前記固体撮像装置に被写体像を結像する光学系と、を有し、前記固体撮像装置は、光電変換機能を有する複数の画素が行列状に配列された画素部と、前記画素部から画素信号の読み出しを行う読み出し部と、ファジー抽出器(Fuzzy Extractor)を含み、前記画素のばらつき情報および前記読み出し部のばらつき情報の少なくともいずれかに関連付けて固有鍵を含むレスポンスデータを生成するレスポンスデータ生成部と、を有し、前記ファジー抽出器は、真性乱数生成モード時に前記読み出し部により前記画素から読み出した画素信号または前記画素部の列出力に対応して配置され、入力される列出力信号を処理する前記読み出し部の列信号処理部から読み出した読み出し信号を用いて真性乱数を生成する真性乱数生成器を含み、前記真性乱数生成器で生成した真性乱数と、初期鍵生成時に取得したレスポンスとしてのばらつき情報とに基づいて初期鍵およびヘルパーデータを生成する初期鍵生成部と、鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるエラーを含むレスポンスとしてのばらつき情報とに基づいて固有鍵を生成する鍵再生成部と、を含む。
【発明の効果】
【0021】
本発明によれば、低コストで高いランダム性を有する真性乱数を生成することが可能で、ひいては画像の改ざん、ねつ造を確実に防止することが可能となる。
【図面の簡単な説明】
【0022】
【図1】本発明の第1の実施形態に係る固体撮像装置の構成例を示すブロック図である。
【図2】チャレンジおよびレスポンス認証(Challenge & Response(CR認証))システムの概要について説明するための図である。
【図3】本実施形態に係る画素の一例を示す回路図である。
【図4】本発明の実施形態に係る固体撮像装置の画素部の列出力の読み出し系の構成例を説明するための図である。
【図5】本実施形態に係る暗号化処理系であるレスポンス生成部の全体的な概要を示すブロック図である。
【図7】本第1の実施形態に係る鍵生成部の固有鍵出力部に適用可能なファジー抽出器の構成例を示す図である。
【図8】本実施形態に係る真性乱数生成器が、真性乱数を生成するときに適用する画素から読み出した画素信号、および、読み出し部の列信号処理部から読み出される読み出し信号を説明するための図である。
【図9】真の乱数の発生に画素から読み出した画素信号を用いる場合の画素信号の読み出し方法等を説明するための図である。
【図10】画素信号読み出し時の画素出力分布、モジュロ演算器の出力例を示す図である。
【図11】2画素の出力画素信号をXOR(排他的論理和)演算を行うことにより、ランダム性を改善することができる例を示す図である。
【図12】真の乱数の発生に読み出し部の列信号処理部のアンプおよびADCから読み出される読み出し信号の読み出し方法等を説明するための図である。
【図13】真の乱数の発生に読み出し部の列信号処理部のADCのみから読み出される読み出し信号の読み出し方法等を説明するための図である。
【図14】本第1の実施形態に係る画素共有構造を有する画素部および列毎に配置された列読出し回路の概要を示す図である。
【図18】本第2の実施形態に係る鍵生成部の固有鍵出力部に適用可能なファジー抽出器の構成例を示す図である。
【図19】CMOSイメージセンサPUF(CIS-PUF)のPUFレスポンスとしてのばらつき情報における安定ビットの出力ペアと不安定ビットの出力ペアのヒストグラムを示す図である。
【図23】本第2の実施形態に係る信頼度を予測して設定する方法をより具体的に説明するための図である。
【図24】本第2の実施形態に係る第2の信頼度設定方法を説明するための第1の図である。
【図25】本第2の実施形態に係る第2の信頼度設定方法を説明するための第2の図である。
【図26】本第2の実施形態に係る第1の信頼度設定方法および第2の信頼度設定方法、並びに、比較例としての一般的な硬判定ファジー抽出器を用いた判定方法の信頼度と第1の差ΔVoutgetとの関係を示す図である。
【図27】信頼度を利用して判定を行う相関復号について説明するための図である。
【図28】エラービットの計測結果を示す図である。
【図29】本実施形態に係る第1の信頼度設定方法および第2の信頼度設定方法、並びに、比較例としての一般的な硬判定ファジー抽出器を用いた判定方法のエラー訂正能力について示す図である。
【図30】本発明の実施形態に係る固体撮像装置が適用される電子機器の構成の一例を示す図である。
【発明を実施するための形態】
【0023】
以下、本発明の実施形態を図面に関連付けて説明する。
【0024】
【0025】
この固体撮像装置10は、図1に示すように、撮像部としての画素部20、垂直走査回路(行走査回路)30、読み出し回路(列(カラム)読み出し回路)40、水平走査回路(列走査回路)50、タイミング制御回路60、および信号処理回路70を主構成要素として有している。
これらの構成要素のうち、たとえば垂直走査回路30、読み出し回路40、水平走査回路50、およびタイミング制御回路60により画素信号の読み出し部90が構成される。
これらの構成要素のうち、たとえば垂直走査回路30、読み出し回路40、水平走査回路50、およびタイミング制御回路60により画素信号の読み出し部90が構成される。
【0026】
本実施形態に係る固体撮像装置10は、センサのデバイス認証と画像データの改ざんを防止する対策として、CMOSイメージセンサにおける画素ばらつきからPUFの固有IDを生成するCMOSイメージセンサPUF(CIS-PUF)として形成されている。
固体撮像装置10は、CIS-PUFではPUFのレスポンス(以下、PUFレスポンスという場合もある)を生成する際に、画素のばらつき情報および読み出し部のばらつき情報のうちの少なくともいずれか一方に関連付けて固有鍵を含むレスポンスデータを生成することが可能に構成される。
固体撮像装置10は、CIS-PUFではPUFのレスポンス(以下、PUFレスポンスという場合もある)を生成する際に、画素のばらつき情報および読み出し部のばらつき情報のうちの少なくともいずれか一方に関連付けて固有鍵を含むレスポンスデータを生成することが可能に構成される。
【0027】
このように、本実施形態に係るCIS-PUFは、CMOSイメージセンサの画素ばらつきおよび読み出し部のばらつき情報のうちの少なくともいずれか一方を抽出しPUFに応用したものである。
本来、画素ばらつきの多くはCDS回路によって除去されるが、本実施形態に係るCIS-PUFはCDS回路を動作させて撮影する通常の撮像モード(通常動作モード)と、CDS回路を動作させずに撮影するセキュリティモード(PUFモードあるいはレスポンス作成モードMDR)と、を有している。
さらに、本実施形態に係る固体撮像装置10は、画素のFDリセットノイズの読み出し信号(情報)により真性乱数を生成する真性乱数生成モードMTRGを有している。
本来、画素ばらつきの多くはCDS回路によって除去されるが、本実施形態に係るCIS-PUFはCDS回路を動作させて撮影する通常の撮像モード(通常動作モード)と、CDS回路を動作させずに撮影するセキュリティモード(PUFモードあるいはレスポンス作成モードMDR)と、を有している。
さらに、本実施形態に係る固体撮像装置10は、画素のFDリセットノイズの読み出し信号(情報)により真性乱数を生成する真性乱数生成モードMTRGを有している。
【0028】
そして、本実施形態に係る固体撮像装置10は、レスポンスデータ生成部において、ファジー抽出器(Fuzzy Extractor)を適用し、安定なレスポンスを生成する方法として、画素トランジスタのばらつきに相当する複数ビット、たとえば12ビットのデジタル値Voutを有効に活用する方法が採用される。
【0029】
本第1の実施形態に係るファジー抽出器は、基本的に、真性乱数生成モード時に読み出し部90により画素から読み出した画素信号または画素部20の列出力に対応して配置され、入力される列出力信号を処理する読み出し部の列信号処理部から読み出した読み出し信号を用いて低コストで高いランダム性を有する真性乱数を生成することが可能な真性乱数生成器を含み、真性乱数生成器で生成した真性乱数と、初期鍵生成時に取得したレスポンスとしてのばらつき情報とに基づいて初期鍵およびヘルパーデータを生成する初期鍵生成部と、鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるエラーを含むレスポンスとしてのばらつき情報とに基づいて固有鍵を生成する鍵再生成部と、を含んで構成される。
【0030】
また、CIS-PUFは画素のアドレスをチャレンジ(Challenge)とし、所定の手順で生成した1/0データをレスポンス(Response)とするPUFである。
ここで、デバイス個体固有のばらつきをセキュリティに利用するPUFの応用としてのチャレンジおよびレスポンス認証(Challenge & Response(CR認証))の概要について説明する。
ここで、デバイス個体固有のばらつきをセキュリティに利用するPUFの応用としてのチャレンジおよびレスポンス認証(Challenge & Response(CR認証))の概要について説明する。
【0031】
図2は、チャレンジおよびレスポンス認証(Challenge & Response(CR認証))システムの概要について説明するための図である。
【0032】
図2のCR認証システム100は、本実施形態に係る固体撮像装置10を搭載したCIS-PUFチップ200、およびマイクロコンピュータ(以下、マイコンという)300を含んで構成されている。
【0033】
このCIS-PUFを用いたCR認証システム100においては、初めに認証側のマイコン300がCIS-PUFチップ200に対してPUFモードコマンドを送信する(ステップST1)。
これを受けてCIS-PUFチップ200はPUFモードで撮影を行いPUFモード画像を得る。
次に、マイコン300は乱数発生器(RNG)301によりどの画素を使用してIDを生成するかを乱数で決定し、そのアドレス指定をチャレンジ情報としてCIS-PUFチップ200に送信する(ステップST2)。
CIS-PUFチップ200は受け取ったアドレス指定に従ってPUFモード画像を切り出し、1/0データを生成する。CIS-PUFチップ200は、このIDをチャレンジに対するレスポンスとしてマイコン300に送信する(ステップST3)。
マイコン300は事前に登録しておいた1/0データから指定したアドレスのIDを切り出し、CIS-PUFチップ200から受け取ったIDと比較する。IDが一致すれば認証成功となる(ステップST4)。
これを受けてCIS-PUFチップ200はPUFモードで撮影を行いPUFモード画像を得る。
次に、マイコン300は乱数発生器(RNG)301によりどの画素を使用してIDを生成するかを乱数で決定し、そのアドレス指定をチャレンジ情報としてCIS-PUFチップ200に送信する(ステップST2)。
CIS-PUFチップ200は受け取ったアドレス指定に従ってPUFモード画像を切り出し、1/0データを生成する。CIS-PUFチップ200は、このIDをチャレンジに対するレスポンスとしてマイコン300に送信する(ステップST3)。
マイコン300は事前に登録しておいた1/0データから指定したアドレスのIDを切り出し、CIS-PUFチップ200から受け取ったIDと比較する。IDが一致すれば認証成功となる(ステップST4)。
【0034】
以下、固体撮像装置10の各部の構成および機能の概要、特に、画素部20の構成および機能等について説明する。
その後、本実施形態の固体撮像装置10の特徴的な構成、機能について、固有鍵の生成、並びに固有鍵を含む識別データと画像データの一体化を行ってレスポンスデータを作成する、いわゆる暗号化処理であるレスポンスデータ作成処理を中心に説明する。
より具体的には、レスポンスデータ生成部において、安定なレスポンスを生成するために、真性乱数発生器を含むファジー抽出器(Fuzzy Extractor)を適用し、安定なレスポンスを生成する方法として、画素トランジスタのばらつきに相当する12ビットのデジタル値Voutを有効に活用する。
また、第2の実施形態として、PUFレスポンスビットの信頼度情報を取得し、取得した信頼度情報を軟判定ファジー抽出器(鍵再生成部)に応用している具体的な方法等について詳述する。また、実データを使ってファジー抽出器における軟判定の訂正能力について考察した結果について述べる。
その後、本実施形態の固体撮像装置10の特徴的な構成、機能について、固有鍵の生成、並びに固有鍵を含む識別データと画像データの一体化を行ってレスポンスデータを作成する、いわゆる暗号化処理であるレスポンスデータ作成処理を中心に説明する。
より具体的には、レスポンスデータ生成部において、安定なレスポンスを生成するために、真性乱数発生器を含むファジー抽出器(Fuzzy Extractor)を適用し、安定なレスポンスを生成する方法として、画素トランジスタのばらつきに相当する12ビットのデジタル値Voutを有効に活用する。
また、第2の実施形態として、PUFレスポンスビットの信頼度情報を取得し、取得した信頼度情報を軟判定ファジー抽出器(鍵再生成部)に応用している具体的な方法等について詳述する。また、実データを使ってファジー抽出器における軟判定の訂正能力について考察した結果について述べる。
【0035】
(画素並びに画素部20の基本的な構成)
画素部20は、フォトダイオード(光電変換素子)と画素内アンプとを含む複数の画素がn行×m列の2次元の行列状(マトリクス状)に配列されている。
画素部20は、フォトダイオード(光電変換素子)と画素内アンプとを含む複数の画素がn行×m列の2次元の行列状(マトリクス状)に配列されている。
【0036】
図3は、本実施形態に係る画素の一例を示す回路図である。
【0037】
この画素PXLは、たとえば光電変換素子であるフォトダイオード(PD)を有する。
そして、このフォトダイオードPDに対して、転送トランジスタTG-Tr、リセットトランジスタRST-Tr、ソースフォロワトランジスタSF-Tr、および選択トランジスタSEL-Trをそれぞれ一つずつ有する。
そして、このフォトダイオードPDに対して、転送トランジスタTG-Tr、リセットトランジスタRST-Tr、ソースフォロワトランジスタSF-Tr、および選択トランジスタSEL-Trをそれぞれ一つずつ有する。
【0038】
フォトダイオードPDは、入射光量に応じた量の信号電荷(ここでは電子)を発生し、蓄積する。
以下、信号電荷は電子であり、各トランジスタがn型トランジスタである場合について説明するが、信号電荷がホールであったり、各トランジスタがp型トランジスタであっても構わない。
また、本実施形態は、後で例示するように、複数のフォトダイオード間で、リセットトランジスタRST-Tr、ソースフォロワトランジスタSF-Tr、および選択トランジスタSEL-Trの各トランジスタを共有している場合にも有効であり、また、選択トランジスタを有していない3トランジスタ(3Tr)画素を採用している場合にも有効である。
以下、信号電荷は電子であり、各トランジスタがn型トランジスタである場合について説明するが、信号電荷がホールであったり、各トランジスタがp型トランジスタであっても構わない。
また、本実施形態は、後で例示するように、複数のフォトダイオード間で、リセットトランジスタRST-Tr、ソースフォロワトランジスタSF-Tr、および選択トランジスタSEL-Trの各トランジスタを共有している場合にも有効であり、また、選択トランジスタを有していない3トランジスタ(3Tr)画素を採用している場合にも有効である。
【0039】
転送トランジスタTG-Trは、フォトダイオードPDとフローティングディフュージョンFD(Floating Diffusion;浮遊拡散層)の間に接続され、制御信号TGを通じて制御される。
転送トランジスタTG-Trは、制御信号TGがハイレベル(H)の期間に選択されて導通状態となり、フォトダイオードPDで光電変換された電子をフローティングディフュージョンFDに転送する。
転送トランジスタTG-Trは、制御信号TGがハイレベル(H)の期間に選択されて導通状態となり、フォトダイオードPDで光電変換された電子をフローティングディフュージョンFDに転送する。
【0040】
リセットトランジスタRST-Trは、電源線VRstとフローティングディフュージョンFDの間に接続され、制御信号RSTを通じて制御される。
なお、リセットトランジスタRST-Trは、電源線VDDとフローティングディフュージョンFDの間に接続され、制御信号RSTを通じて制御されるように構成してもよい。
リセットトランジスタRST-Trは、制御信号RSTがHレベルの期間に選択されて導通状態となり、フローティングディフュージョンFDを電源線VRst(またはVDD)の電位にリセットする。
なお、リセットトランジスタRST-Trは、電源線VDDとフローティングディフュージョンFDの間に接続され、制御信号RSTを通じて制御されるように構成してもよい。
リセットトランジスタRST-Trは、制御信号RSTがHレベルの期間に選択されて導通状態となり、フローティングディフュージョンFDを電源線VRst(またはVDD)の電位にリセットする。
【0041】
ソースフォロワトランジスタSF-Trと選択トランジスタSEL-Trは、電源線VDDと垂直信号線LSGNの間に直列に接続されている。
ソースフォロワトランジスタSF-TrのゲートにはフローティングディフュージョンFDが接続され、選択トランジスタSEL-Trは制御信号SELを通じて制御される。
選択トランジスタSEL-Trは、制御信号SELがHの期間に選択されて導通状態となる。これにより、ソースフォロワトランジスタSF-TrはフローティングディフュージョンFDの電位に応じた列出力アナログ信号VSLを垂直信号線LSGNに出力する。
これらの動作は、たとえば転送トランジスタTG-Tr、リセットトランジスタRST-Tr、および選択トランジスタSEL-Trの各ゲートが行単位で接続されていることから、1行分の各画素について同時並列的に行われる。
ソースフォロワトランジスタSF-TrのゲートにはフローティングディフュージョンFDが接続され、選択トランジスタSEL-Trは制御信号SELを通じて制御される。
選択トランジスタSEL-Trは、制御信号SELがHの期間に選択されて導通状態となる。これにより、ソースフォロワトランジスタSF-TrはフローティングディフュージョンFDの電位に応じた列出力アナログ信号VSLを垂直信号線LSGNに出力する。
これらの動作は、たとえば転送トランジスタTG-Tr、リセットトランジスタRST-Tr、および選択トランジスタSEL-Trの各ゲートが行単位で接続されていることから、1行分の各画素について同時並列的に行われる。
【0042】
画素部20には、画素PXLがn行×m列配置されているので、各制御信号SEL、RST、TGの制御線はそれぞれn本、垂直信号線LSGNはm本ある。
図1においては、各制御信号SEL、RST、TGの制御線を1本の行走査制御線として表している。
図1においては、各制御信号SEL、RST、TGの制御線を1本の行走査制御線として表している。
【0043】
垂直走査回路30は、タイミング制御回路60の制御に応じてシャッター行および読み出し行において行走査制御線を通して画素の駆動を行う。
また、垂直走査回路30は、アドレス信号に従い、信号の読み出しを行うリード行と、フォトダイオードPDに蓄積された電荷をリセットするシャッター行の行アドレスの行選択信号を出力する。
また、垂直走査回路30は、アドレス信号に従い、信号の読み出しを行うリード行と、フォトダイオードPDに蓄積された電荷をリセットするシャッター行の行アドレスの行選択信号を出力する。
【0044】
読み出し回路40は、画素部20の各列出力に対応して配置された複数の列(カラム)信号処理回路(図示せず)を含み、複数の列信号処理回路で列並列処理が可能に構成されてもよい。
【0045】
読み出し回路40は、相関二重サンプリング(CDS:Correlated Double Sampling)回路やADC(アナログデジタルコンバータ;AD変換器)、アンプ(AMP,増幅器)、サンプルホールド(S/H)回路等を含んで構成可能である。
【0046】
このように、読み出し回路40は、たとえば図4(A)に示すように、画素部20の各列出力アナログ信号VSLをデジタル信号に変換するADC41を含んで構成されてもよい。
あるいは、読み出し回路40は、たとえば図4(B)に示すように、画素部20の各列出力アナログ信号VSLを増幅するアンプ(AMP)42が配置されてもよい。
また、読み出し回路40は、たとえば図4(C)に示すように、画素部20の各列出力アナログ信号VSLをサンプル、ホールドするサンプルホールド(S/H)回路43が配置されてもよい。
また、読み出し回路40は、画素部20の各列から出力される画素信号に対して所定の処理が施された信号を記憶するカラムメモリとしてのSRAMが配置されてもよい。
あるいは、読み出し回路40は、たとえば図4(B)に示すように、画素部20の各列出力アナログ信号VSLを増幅するアンプ(AMP)42が配置されてもよい。
また、読み出し回路40は、たとえば図4(C)に示すように、画素部20の各列出力アナログ信号VSLをサンプル、ホールドするサンプルホールド(S/H)回路43が配置されてもよい。
また、読み出し回路40は、画素部20の各列から出力される画素信号に対して所定の処理が施された信号を記憶するカラムメモリとしてのSRAMが配置されてもよい。
【0047】
水平走査回路50は、読み出し回路40のADC等の複数の列信号処理回路で処理された信号を走査して水平方向に転送し、信号処理回路70に出力する。
【0048】
タイミング制御回路60は、画素部20、垂直走査回路30、読み出し回路40、水平走査回路50等の信号処理に必要なタイミング信号を生成する。
【0049】
信号処理回路70は、通常読み出しモードMDUのときには、読み出し回路40により読み出され所定の処理が施された読み出し信号に対する所定の信号処理により2次元画像データを生成する。
【0050】
上述したように、固体撮像装置(CMOSイメージセンサ)では、わずかな光で光電変換により発生した電子を、微小容量で電圧に変換し、さらに微小面積のソースフォロワトランジスタSF-Trを用いて、出力している。そのため、容量をリセットする際に発生するノイズやトランジスタの素子ばらつきなどの微小なノイズを除去する必要があり、画素毎のリセットレベル(VRST)と輝度レベル(信号レベル:VSIG)の差分を出力している。
このように、CMOSイメージセンサでは、画素毎のリセットレベルと輝度レベルの差分を出力することで、リセットノイズと閾値ばらつきを除去し、数電子の信号を検出することができる。この差分を検出する動作は、CDS(相関二重サンプリング)と呼ばれ、広く用いられている技術であり、アレイ状に配置された全て画素に対して、CDS読出しを順次行い、1フレーム分の通常の2次元画像データを出力する。
このように、CMOSイメージセンサでは、画素毎のリセットレベルと輝度レベルの差分を出力することで、リセットノイズと閾値ばらつきを除去し、数電子の信号を検出することができる。この差分を検出する動作は、CDS(相関二重サンプリング)と呼ばれ、広く用いられている技術であり、アレイ状に配置された全て画素に対して、CDS読出しを順次行い、1フレーム分の通常の2次元画像データを出力する。
【0051】
本実施形態の固体撮像装置10では、この通常の2次元画像データを生成するための動作は、通常動作モードMDUで動作可能に構成されている。
【0052】
ただし、本実施形態における信号処理回路70においては、画像の無断使用や改ざん、ねつ造等が行われてしまうことを防止するために、固体撮像装置10の固有のばらつき情報(画素、読み出し回路のばらつき情報)から固有鍵を生成し、固有鍵と固体撮像装置10から得られる取得データを組み合わせて識別データを生成し、この識別データを画像データに一体化してレスポンスデータRPDとして出力し、固有鍵に関する情報を認識していない場合には識別データを正しく作成できないように構成されている。
【0053】
本実施形態の固体撮像装置10では、この固有鍵の生成に関する動作は、レスポンス作成モードMDR(PUFモード)で動作可能に構成されている。
【0054】
本実施形態のレスポンス作成モードMDRにおいては、周辺輝度に依存しない、チップ毎に固有な画素ばらつきパターン(ばらつき情報)を固有IDとして出力する。
このように、本実施形態のレスポンス作成モードMDRにおいては、画素毎のばらつきパターンのみを出力する。輝度レベルを出力しないため、イメージセンサの露光条件に依存しないパターン画像を出力することができる。また、各画素の出力には、FPNとフレーム毎にランダムに変動する熱雑音が含まれるが、レスポンス作成モードMDRにおけるFPNは熱雑音に対して10倍以上大きいため、安定した固定ばらつきパターンをレスポンスデータRPDとして出力することができる。
このように、本実施形態のレスポンス作成モードMDRにおいては、画素毎のばらつきパターンのみを出力する。輝度レベルを出力しないため、イメージセンサの露光条件に依存しないパターン画像を出力することができる。また、各画素の出力には、FPNとフレーム毎にランダムに変動する熱雑音が含まれるが、レスポンス作成モードMDRにおけるFPNは熱雑音に対して10倍以上大きいため、安定した固定ばらつきパターンをレスポンスデータRPDとして出力することができる。
【0055】
本実施形態のレスポンス作成モードMDRにおいては、固有鍵の生成に際し、画素のばらつき情報および読み出し部のばらつき情報の少なくともいずれかに関連付けて固有鍵を含むレスポンスデータを生成する。
【0056】
以上、固体撮像装置10の各部の構成および機能の概要、特に、画素部20の基本的な構成および機能等について説明した。
以下、本実施形態の固体撮像装置10の特徴的な構成、機能について、固有鍵の生成、並びに固有鍵を含む識別データと画像データの一体化を行ってレスポンスデータを作成する、いわゆる暗号化処理であるレスポンスデータ作成処理を中心に説明する。
以下、本実施形態の固体撮像装置10の特徴的な構成、機能について、固有鍵の生成、並びに固有鍵を含む識別データと画像データの一体化を行ってレスポンスデータを作成する、いわゆる暗号化処理であるレスポンスデータ作成処理を中心に説明する。
【0057】
【0058】
図5の暗号化処理系であるレスポンスデータ作成部80は、情報取得部81、鍵生成部82、画像データ生成部83、識別データ生成部84、一体化部85、およびメモリ86を主構成要素として有している。
なお、図5の例では情報取得部81と鍵生成部82が別の機能ブロックとして構成されているが、情報取得部81と鍵生成部82を一つの機能ブロックとして構成することも可能である。
なお、図5の例では情報取得部81と鍵生成部82が別の機能ブロックとして構成されているが、情報取得部81と鍵生成部82を一つの機能ブロックとして構成することも可能である。
【0059】
情報取得部81は、画素PXLのばらつき情報PFLCおよび読み出し回路40の構成回路のばらつき情報CFLCの少なくともいずれかを取得し、取得したばらつき情報を鍵生成部82に供給する。
【0060】
(鍵生成部82の構成)
鍵生成部82は、情報取得部81により取得され供給される画素のばらつき情報および読み出し回路40のばらつき情報の少なくともいずれかを鍵生成用データKYGDとして用いて固有鍵を生成する。
鍵生成部82は、生成した固有鍵KYを識別データ生成部84に供給する。
鍵生成部82は、たとえば画素部20の有効画素の読み出し時以外の期間(たとえばブランキング期間)に固有鍵KYの生成を行う。
鍵生成部82は、情報取得部81により取得され供給される画素のばらつき情報および読み出し回路40のばらつき情報の少なくともいずれかを鍵生成用データKYGDとして用いて固有鍵を生成する。
鍵生成部82は、生成した固有鍵KYを識別データ生成部84に供給する。
鍵生成部82は、たとえば画素部20の有効画素の読み出し時以外の期間(たとえばブランキング期間)に固有鍵KYの生成を行う。
【0061】
鍵生成部82は、鍵の再現性を強くするためにファジー抽出器(Fuzzy Extractor)により鍵の生成を行う。
ファジー抽出器は、ある程度安定した入力に対して同じ出力を出すことを目的とする演算器である。
ファジー抽出器は、ある程度安定した入力に対して同じ出力を出すことを目的とする演算器である。
【0062】
【0063】
本第1の実施形態に係るファジー抽出器820は、基本的に、真性乱数発生モードMTRG時に読み出し部90により画素から読み出した画素信号または画素部20の列出力に対応して配置され、入力される列出力信号を処理する読み出し部の列信号処理部から読み出した読み出し信号を用いて低コストで高いランダム性を有する真性乱数を発生することが可能な真性乱数発生器を含み、真性乱数発生器で発生した真性乱数と、初期鍵生成時に取得したレスポンスとしてのばらつき情報とに基づいて初期鍵およびヘルパーデータを生成する初期鍵生成部821と、鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるエラーを含むレスポンスとしてのばらつき情報とに基づいて固有鍵を生成する鍵再生成部822と、を含んで構成される。
【0064】
初期鍵生成部821は、PUFレスポンス入力部(Response)8211、真性乱数生成器(Random)8212、符号化部(Encode)8213、排他的論理和回路(XOR)8214、および第1のハッシュ(Hash)部8215を含んで構成されている。
【0065】
初期鍵生成部821においては、情報取得部81により取得されたたとえばソースフォロワトランジスタSFのしきい値VTHのばらつき情報がPUFレスポンス入力部8211により入力データWとして抽出され、XOR8214および第1のハッシュ部8215に入力される。
第1のハッシュ部8215において、入力データWに基づいて初期鍵KYIが生成される。この初期鍵KYIは識別データ生成部84に供給される。この初期鍵KYIは、たとえば出荷時の鍵データとしてメモリ86に書き込まれる。たとえば初期鍵データをチップ出荷時に、たとえばソフトウェアによって切断することができる電子フューズ(efuse)などのメモリに書き込み、鍵データの再現性を保証するように構成することも可能である。
第1のハッシュ部8215において、入力データWに基づいて初期鍵KYIが生成される。この初期鍵KYIは識別データ生成部84に供給される。この初期鍵KYIは、たとえば出荷時の鍵データとしてメモリ86に書き込まれる。たとえば初期鍵データをチップ出荷時に、たとえばソフトウェアによって切断することができる電子フューズ(efuse)などのメモリに書き込み、鍵データの再現性を保証するように構成することも可能である。
【0066】
また、初期鍵生成部821においては、真性乱数生成器8212が第1の真性乱数生成モードMTRG1時に読み出し部90により画素から読み出した画素信号または第2の真性乱数生成モードMTRG2時に画素部20の列出力に対応して配置され、入力される列出力信号を処理する読み出し部の列信号処理部から読み出した読み出し信号を用いて低コストで高いランダム性を有する真性乱数Rを発生する。
【0067】
図8は、本実施形態に係る真性乱数生成器8212が、第1の真性乱数生成モードMTRG1時または第2の真性乱数生成モードMTRG2時に真性乱数Rを生成するときに適用する画素から読み出した画素信号、および、読み出し部90の列信号処理部400から読み出される読み出し信号を説明するための図である。
【0068】
真の乱数発生には画素から読み出した画素信号または画素の読み出し信号が入力されない状態における読み出し部90の列読み出し回路の列信号処理部400の読み出し信号を用いることができる。
【0069】
(第1の真性乱数生成モードMTRG1時の乱数生成)
図9は、真の乱数の発生に画素から読み出した画素信号を用いる場合の画素信号の読み出し方法等を説明するための図である。
図10は、画素信号読み出し時の画素出力分布、モジュロ演算器の出力例を示す図である。
図9は、真の乱数の発生に画素から読み出した画素信号を用いる場合の画素信号の読み出し方法等を説明するための図である。
図10は、画素信号読み出し時の画素出力分布、モジュロ演算器の出力例を示す図である。
【0070】
真性乱数生成モードMTRG1時に読み出し部90により画素PXLから読み出した画素信号pixel outputは、リセットトランジスタRST-Trが導通状態時のFDリセットノイズを含む信号、または、リセットトランジスタRST-Trおよび転送トランジスタTG-Trが導通状態時のFDリセットノイズを含む信号を含む。所定期間において制御信号RSTはハイ(HIGH)に設定でき、制御信号TGは1H期間の最初にトグルでき、TGはロー(LOW)に設定できる。
【0071】
いわゆるkTCノイズは画素PXLのフローティングディフュージョンFDから読み出され、画素PXLのフローティングディフュージョンFDは画像信号読み出しモードで除去される。フローティングディフュージョンFDの容量は非常に小さいので、大きなランダムノイズが読み出され、光信号が除去される。
真の乱数は、画素(ピクセル)制御シーケンスを変更することによって、非常に低コストで画素から生成される。
ランダム性は簡単な信号処理によって改善される。
真の乱数は、画素(ピクセル)制御シーケンスを変更することによって、非常に低コストで画素から生成される。
ランダム性は簡単な信号処理によって改善される。
【0072】
真性乱数生成モードMTRG1時には、図8の読み出し系モデルにおいて、制御信号CTL1、CTL2がたとえばハイレベルに設定されて、スイッチSW1、SW2が導通状態に保持される。すなわち、ソースフォロワトランジスタSF-Trの出力がスイッチSW1を介してアンプ42に入力され、アンプ42の出力がスイッチSW2、SW3を介してADC41に入力されるように制御される。
【0073】
ここで、一例として、乱数を128ビットとして説明する。
たとえば、12ビットの画素読み出しは、モジュロ演算器710におけるモジュロ(MOD)演算で2値化される。分割数Nは、2、4、8、・・・である。
たとえば、12ビットの画素読み出しは、モジュロ演算器710におけるモジュロ(MOD)演算で2値化される。分割数Nは、2、4、8、・・・である。
【0074】
(N=2の場合)
図9中、符号(1)で示すように、選択された画素は128回読み出すことができる。FPNが削除されているので、ランダムネスが最適である。
図9中、符号(1)で示すように、選択された画素は128回読み出すことができる。FPNが削除されているので、ランダムネスが最適である。
【0075】
また、図9中、符号(2)で示すように、画素行から128画素を選択できる。読み出し速度は、列読み出し回路40を有するCISに最適である。
【0076】
また、図9中、符号(3)で示すように、画素列から128画素を選択できる。選択された画素のアドレスは、デジタル疑似乱数発生器によって与えられ得る。
【0077】
また、図9中、符号(4)で示すように、選択された画素のアドレスは、強い照明下での光学的オーバーフローを回避するためにオプティカルブラック(OB:Optical Black)画素のアドレスとすることができる。
【0078】
また、高いランダム性を確保するために、読み出し部90を図9に示すように構成することも可能である。
すなわち、読み出し部90は、画素部20の少なくとも一つの列出力に対応して配置され、入力される列出力信号を処理する複数の列信号処理部(たとえばアンプ42とADC41)400と、画素部の列出力による列出力信号の供給先をシャッフルして、列出力に対応して配置された列信号処理部と異なる列信号処理部に入力するように切り替え可能なマルチプレクサ410と、を含む。
すなわち、読み出し部90は、画素部20の少なくとも一つの列出力に対応して配置され、入力される列出力信号を処理する複数の列信号処理部(たとえばアンプ42とADC41)400と、画素部の列出力による列出力信号の供給先をシャッフルして、列出力に対応して配置された列信号処理部と異なる列信号処理部に入力するように切り替え可能なマルチプレクサ410と、を含む。
【0079】
また、2画素の出力画素信号をXOR(排他的論理和)演算を行うことにより、ランダム性を改善することができる。
図11は、2画素の出力画素信号をXOR(排他的論理和)演算を行うことにより、ランダム性を改善することができる例を示す図である。
今、図11に示すように、0の頻度(60%)が1の頻度(40%)より高い場合を想定すると、XOR出力での頻度とランダム性が改善される。
“A”が0(60%)で、“B”が0(60%)、1(40%)の場合にXOR演算を行うと、0(36%)、1(24%)となる。
“A”が1(40%)で、“B”が0(60%)、1(40%)の場合にXOR演算を行うと、0(24%)、1(36%)となる。
したがって、XOR出力は、0(52%=36%+12%)、1(48%=24%+24%)となり、図11の例ではランダム性が8%改善される。
図11は、2画素の出力画素信号をXOR(排他的論理和)演算を行うことにより、ランダム性を改善することができる例を示す図である。
今、図11に示すように、0の頻度(60%)が1の頻度(40%)より高い場合を想定すると、XOR出力での頻度とランダム性が改善される。
“A”が0(60%)で、“B”が0(60%)、1(40%)の場合にXOR演算を行うと、0(36%)、1(24%)となる。
“A”が1(40%)で、“B”が0(60%)、1(40%)の場合にXOR演算を行うと、0(24%)、1(36%)となる。
したがって、XOR出力は、0(52%=36%+12%)、1(48%=24%+24%)となり、図11の例ではランダム性が8%改善される。
【0080】
なお、2つのMOD出力をXORすることも可能である。
【0081】
(第2の真性乱数生成モードMTRG2時の乱数生成)
図12は、真の乱数の発生に読み出し部90の列信号処理部400のアンプ42およびADC41から読み出される読み出し信号の読み出し方法等を説明するための図である。
図13は、真の乱数の発生に読み出し部90の列信号処理部400のADC41のみから読み出される読み出し信号の読み出し方法等を説明するための図である。
図12は、真の乱数の発生に読み出し部90の列信号処理部400のアンプ42およびADC41から読み出される読み出し信号の読み出し方法等を説明するための図である。
図13は、真の乱数の発生に読み出し部90の列信号処理部400のADC41のみから読み出される読み出し信号の読み出し方法等を説明するための図である。
【0082】
真の乱数の発生には、図12に示すように、読み出し部90の列信号処理部400のアンプ42およびADC41から読み出される読み出し信号を使用することができる。
【0083】
この場合には、図8の読み出し系モデルにおいて、制御信号CTL1がたとえばローレベル、制御信号CTL2がハイレベルに設定されて、スイッチSW1が非導通状態、スイッチSW2が導通状態に保持される。すなわち、ソースフォロワトランジスタSF―Trの出力がスイッチSW1を介してアンプ42に入力されず、アンプ42の出力がスイッチSW2、SW3を介してADC41に入力されるように制御される。
【0084】
また、真の乱数の発生には、図13に示すように、読み出し部90の列信号処理部400のADC41のみから読み出される読み出し信号を使用することができる。
【0085】
この場合には、図8の読み出し系モデルにおいて、制御信号CTL1、CTL2がたとえばローレベルに設定されて、スイッチSW1、SW2が非導通状態に保持される。すなわち、ソースフォロワトランジスタSF―Trの出力がスイッチSW1を介してアンプ42に入力されず、アンプ42の出力がスイッチSW2、SW3を介してADC41に入力されないように制御される。
【0086】
このように、第2の真性乱数生成モードMTRG2時の乱数生成において、読み出し部90の列信号処理部400から読み出される読み出し信号は、画素PXLの読み出し信号が入力されない状態であって、アンプ42の出力が入力されない状態でのADC41の出力信号、または、アンプ42の出力が入力された状態でのADC41の出力信号を含む。
【0087】
なお、乱数としては、12ビット画素の読み出しは、中央値と比較することによって二値化することができる。
また、ランダム性を改善する方法として、3つ以上の画素出力をXOR演算することも可能である。XOR処理された画素のグループは疑似数発生器によって選択することができる。
また、ランダム性を改善する方法として、3つ以上の画素出力をXOR演算することも可能である。XOR処理された画素のグループは疑似数発生器によって選択することができる。
【0088】
以上の構成、機能を有する真性乱数生成器8212を備えることにより、高いランダム性を確保でき、低電力および低コスト、高い情報セキュリティを実現することが可能となる。
【0089】
真性乱数生成器8212により生成された真性乱数Rで符号化部8213にて誤り訂正符号の符号語Cが作成され、その符号語CがXOR8214に供給される。
XOR8214においては、入力データWと符号語Cとの排他的論理和がとられ、これにより、1/0のビット列のヘルパーデータSHD(WxorC)が生成される。
このヘルパーデータSHD(WxorC)は、鍵データとは違って秘匿の必要はなく、メモリ86に格納される。メモリ86に格納されたヘルパーデータSHDは、鍵再生成部822における鍵再生成のベースデータとして用いられる。
XOR8214においては、入力データWと符号語Cとの排他的論理和がとられ、これにより、1/0のビット列のヘルパーデータSHD(WxorC)が生成される。
このヘルパーデータSHD(WxorC)は、鍵データとは違って秘匿の必要はなく、メモリ86に格納される。メモリ86に格納されたヘルパーデータSHDは、鍵再生成部822における鍵再生成のベースデータとして用いられる。
【0090】
鍵再生成部822は、リカバリ用のPUFレスポンス入力部(Response)8221、排他的論理和回路(XOR)8222、復号部(Decode)8223、排他的論理和回路(XOR)8224、およびハッシュ(Hash)部8225を含んで構成されている。
なお、復号部8223は誤り訂正部として機能する。
なお、復号部8223は誤り訂正部として機能する。
【0091】
鍵再生成部822においては、情報取得部81により取得されたたとえばソースフォロワトランジスタSFのしきい値VTHのばらつき情報を含む入力データW’、並びに、メモリ86に格納されたヘルパーデータSHD(WxorC)がXOR8222に入力される。ヘルパーデータSHD(WxorC)はXOR8224にも入力される。
XOR8222においては、入力データW’とヘルパーデータWxorCとの排他的論理和がとられ、データC’として復号部8223に供給される。
復号部8223においては、データC’(CxorE)に対する復号処理が行われて、エラーEが除去された推定符号語Cが生成され、推定符号語CがXOR8224に供給される。
XOR8224においては、推定符号語CとヘルパーデータWxorCの排他的論理和がとられ、その結果が推定データWとしてハッシュ部8225に入力される。
そして、ハッシュ部8225において、入力した推定データWに基づいて再生成鍵KYが生成される。この再生成鍵KYは識別データ生成部84に供給される。
もし、入力データW’のノイズが少なく、データC’が訂正可能である場合には、C’=Cとなり、W’=Wとなり鍵が再生成される。この場合、再生成鍵は初期鍵と一致する。
XOR8222においては、入力データW’とヘルパーデータWxorCとの排他的論理和がとられ、データC’として復号部8223に供給される。
復号部8223においては、データC’(CxorE)に対する復号処理が行われて、エラーEが除去された推定符号語Cが生成され、推定符号語CがXOR8224に供給される。
XOR8224においては、推定符号語CとヘルパーデータWxorCの排他的論理和がとられ、その結果が推定データWとしてハッシュ部8225に入力される。
そして、ハッシュ部8225において、入力した推定データWに基づいて再生成鍵KYが生成される。この再生成鍵KYは識別データ生成部84に供給される。
もし、入力データW’のノイズが少なく、データC’が訂正可能である場合には、C’=Cとなり、W’=Wとなり鍵が再生成される。この場合、再生成鍵は初期鍵と一致する。
【0092】
なお、上記の鍵生成部82は、画素または読み出し回路40のばらつき情報に基づいて固有鍵を生成する例について説明したが、異なるばらつき情報により生成した固有鍵同士の演算を行って最終的な固有鍵を得るように構成することも可能である。
たとえば、次のように構成することも可能である。
たとえば、次のように構成することも可能である。
【0093】
すなわち、鍵生成部82は、たとえば、読み出し回路40のADC41、アンプ(AMP)42、またはS/H回路43のばらつき情報を用いて第1固有鍵を生成する第1機能と、読み出し回路40のカラムメモリ45のSRAMの出力を用いて第2固有鍵を生成する第2機能と、を含み、第1機能により生成された第1固有鍵と、第2機能により生成された第2固有鍵とを演算することにより最終的な固有鍵を生成するように構成することも可能である。
【0094】
この構成は、画素のばらつき情報に関しても同様に適用可能である。
【0095】
画像データ生成部83は、通常読み出しモードで読み出し回路40を通して読み出され所定の処理が施された読み出し信号に対する所定の信号処理により、たとえば図5に示すような2次元画像データIMGを生成する。
画像データ生成部83は、生成した画像データIMGを一体化部85に供給する。
画像データ生成部83は、生成した画像データIMGを一体化部85に供給する。
【0096】
画像データ生成部83は、固体撮像装置10から取得した取得データAQDを識別データ生成部84に供給する。
ここで、取得データAQDは、少なくとも画素、日付、温度、GPS(Global Positioning System)に関するデータのうちの少なくともいずれかのデータである。
ここで、取得データAQDは、少なくとも画素、日付、温度、GPS(Global Positioning System)に関するデータのうちの少なくともいずれかのデータである。
【0097】
識別データ生成部84は、鍵生成部82で生成された固有鍵KYと、本固体撮像装置10で取得した取得データAQDを組み合わせて識別データDSCDを生成する。
識別データ生成部84は、生成した識別データDSCDを一体化部85に供給する。
識別データ生成部84は、生成した識別データDSCDを一体化部85に供給する。
【0098】
一体化部85は、図5に示すように、識別データ生成部84で生成された識別データDSCDと画像データ生成部83による読み出しデータに基づく画像データIMGを一体化して、センサチップの最終出力として出力する。
一体化部85は、たとえば図5に示すように、一体化データが、ヘッダHD、識別データDSCD、画像データIMGの順となるように一体化する。
一体化部85は、たとえば図5に示すように、一体化データが、ヘッダHD、識別データDSCD、画像データIMGの順となるように一体化する。
【0099】
上述したように、暗号化処理系であるレスポンスデータ作成部80においては、固体撮像装置10の固有のばらつき情報(画素、読み出し回路のばらつき情報)から固有鍵KYを生成し、固有鍵KYと固体撮像装置10から得られる取得データAQDを組み合わせて識別データDSCDを生成し、この識別データDSCDを画像データIMGに一体化して出力することから、固有鍵に関する情報を認識していない場合には、正しい識別データを作成できず、画像が改変等された場合に、改変された等がわかり、ねつ造することが困難となっている。
【0100】
なお、一体化部85は、一体化する鍵情報を用いて階層的に画像部分にマスクをする機能を含むように構成してもよい。
また、一体化部85は、一体化する鍵情報を用いて画像に電子透かしを入れる機能を含むように構成してもよい。
また、一体化部85は、一体化する鍵情報を用いて画像に電子透かしを入れる機能を含むように構成してもよい。
【0101】
前述したように、本実施形態に係るCIS-PUFはCDS回路を動作させて撮影する通常の撮像モード(通常動作モード)MDUと、CDS回路を動作させずに撮影するセキュリティモード(PUFモードあるいはレスポンス作成モードMDR)と、たとえば画素のFDリセットノイズの読み出し信号(情報)により真性乱数を生成する真性乱数生成モードMTRGと、を有している。
以下、通常動作モード、真性乱数生成モードMTRG、およびレスポンス作成モードMDRにおける動作の概要を説明する。
なお、画素部20は、一つのフローティングディフュージョンFD、一つのソースフォロワトランジスタSF-Tr、および一つのリセットトランジスタRST-Trを複数(本例では2)のフォトダイオードPDおよび転送トラジスタTG-Trで共有する画素共有構造を有することが可能であることから、この画素共有構造に関連付けて説明する。
以下、通常動作モード、真性乱数生成モードMTRG、およびレスポンス作成モードMDRにおける動作の概要を説明する。
なお、画素部20は、一つのフローティングディフュージョンFD、一つのソースフォロワトランジスタSF-Tr、および一つのリセットトランジスタRST-Trを複数(本例では2)のフォトダイオードPDおよび転送トラジスタTG-Trで共有する画素共有構造を有することが可能であることから、この画素共有構造に関連付けて説明する。
【0102】
図14は、本第1の実施形態に係る画素共有構造を有する画素部および列毎に配置された列読出し回路の概要を示す図である。
【0103】
図14の画素部20Aは、一つのフローティングディフュージョンFD、一つのソースフォロワ素子でフォースフォロワトランジスタSF-Tr、一つのリセット素子としてのリセットトランジスタRST-Tr、および一つの選択素子としての選択トランジスタSEL-Trを,複数(本例では2)の光電変換素子であるフォトダイオードPD1、PD22および転送素子としての転送トランジスタTG-Tr1,TG-Tr2で共有する画素共有構造を有する。
【0104】
すなわち、図14のCMOSイメージセンサの画素PXLAは、フォトダイオードPD1およびPD2、転送クロックである制御信号TG1およびTG2で駆動する転送トランジスタTG-Tr1,TG-Tr2、リセットクロックである制御信号RSTで駆動するリセットトランジスタRST-Tr、ソースフォロワ(SF)トランジスタSF-Tr、選択クロックである制御信号SELで駆動する選択トランジスタSEL-Trにより構成されている。
ここで、2個のフォトダイオードPD1,PD2がリセットトランジスタRST-Tr、ソースフォロワ(SF)トランジスタSF-Tr、選択トランジスタSEL-Trを共有している。
これは、近年の微細な画素に対して広く用いられる方式であり、各トランジスタをPD間で共有することにより、PDの面積を所定の素サイズに対して大きくとり、光電変換可能な領域を広げることで、入射光に対する検出感度を高めている。
ここで、2個のフォトダイオードPD1,PD2がリセットトランジスタRST-Tr、ソースフォロワ(SF)トランジスタSF-Tr、選択トランジスタSEL-Trを共有している。
これは、近年の微細な画素に対して広く用いられる方式であり、各トランジスタをPD間で共有することにより、PDの面積を所定の素サイズに対して大きくとり、光電変換可能な領域を広げることで、入射光に対する検出感度を高めている。
【0105】
選択トランジスタSEL-Trがオンした画素では、電源電圧Vddの電源線VDD、ソースフォロワ(SF)トランジスタSF-Tr、電流源Idが直列となり、ソースフォロワ回路を構成する。
このソースフォロワ回路により、フローティングディフュージョンFDの電圧が読み出し回路40のAMP42を介してADC41に入力されて、デジタル変換され、制御信号CLKHにより駆動するスイッチSW41を介してインターフェス回路に出力される。
また、クリップ回路44が画素アレイ端に配置され、クリップクロックである制御信号CLIPによって駆動するクリップゲートCGおよびダイオード接続トランジスタM0は、画素アレイ端に配置され、画素出力電圧振幅を制限することで、安定的に動作させるために用いられる。
このソースフォロワ回路により、フローティングディフュージョンFDの電圧が読み出し回路40のAMP42を介してADC41に入力されて、デジタル変換され、制御信号CLKHにより駆動するスイッチSW41を介してインターフェス回路に出力される。
また、クリップ回路44が画素アレイ端に配置され、クリップクロックである制御信号CLIPによって駆動するクリップゲートCGおよびダイオード接続トランジスタM0は、画素アレイ端に配置され、画素出力電圧振幅を制限することで、安定的に動作させるために用いられる。
【0106】
ここで、図14の固体撮像装置10Aの通常動作モードMDU、真性乱数生成モードMTRGおよびレスポンス作成モードMDRにおける動作の概要を図15、図16および図17に関連付けて説明する。
図15は、図14の固体撮像装置10Aの通常動作モードMDUにおける要部の動作波形を示す図である。
図16は、図14の固体撮像装置10Aの真性乱数生成モードMTRGにおける要部の動作波形を示す図である。
図17は、図14の固体撮像装置10Aのレスポンス作成モードMDRにおける要部の動作波形を示す図である。
図15は、図14の固体撮像装置10Aの通常動作モードMDUにおける要部の動作波形を示す図である。
図16は、図14の固体撮像装置10Aの真性乱数生成モードMTRGにおける要部の動作波形を示す図である。
図17は、図14の固体撮像装置10Aのレスポンス作成モードMDRにおける要部の動作波形を示す図である。
【0107】
(通常動作モードMDUにおける動作)
通常動作モードMDUにおいて、n行目の制御信号SELがHレベルに遷移し、行の選択が行われる。
次に、選択行の制御信号RSTがHレベルのとき、フローティングディフュージョンFDはリセットされ、リセット電圧VRST(Vrst)がソースフォロワから垂直信号線LSGNを介して出力され、時刻t1で後段ADC41に保持され、デジタル変換される。
フォトダイオードPD1で光電変換され蓄積された電子は、制御信号TG1がHレベルのとき転送トランジスタTG-Trを通って、フローティングディフュージョンFDに転送され、電圧に変換される。ソースフォロワによってこのときの信号電圧VSIG(Vsig)が出力され、時刻t2で後段のADC41に保持され、デジタル変換される。
フォトダイオードPD2についても同様に読み出される。
ここで、ソースフォロワ回路の入出力特性は次式で表される。
通常動作モードMDUにおいて、n行目の制御信号SELがHレベルに遷移し、行の選択が行われる。
次に、選択行の制御信号RSTがHレベルのとき、フローティングディフュージョンFDはリセットされ、リセット電圧VRST(Vrst)がソースフォロワから垂直信号線LSGNを介して出力され、時刻t1で後段ADC41に保持され、デジタル変換される。
フォトダイオードPD1で光電変換され蓄積された電子は、制御信号TG1がHレベルのとき転送トランジスタTG-Trを通って、フローティングディフュージョンFDに転送され、電圧に変換される。ソースフォロワによってこのときの信号電圧VSIG(Vsig)が出力され、時刻t2で後段のADC41に保持され、デジタル変換される。
フォトダイオードPD2についても同様に読み出される。
ここで、ソースフォロワ回路の入出力特性は次式で表される。
【0108】
【数1】
【0109】
ここで、Vgs、Vth,ΔVth、β、Idはそれぞれゲート・ソース間電圧、ソースフォロワ(SF)トランジスタSF-Trのしきい値(閾値)電圧、基板バイアス電圧、トランジスタサイズに比例する係数、バイアス電流をそれぞれ示している。
これらは製造ばらつきによってそれぞれトランジスタ毎に異なるため、画素出力電圧は画素毎にばらつきを生じてしまう.
しかし、CDS処理によって、リセット信号(リセットレベル)と輝度信号(信号レベル)の差分を取ることで、これらのバラツキのうち、オフセット成分を除去することができる。CDS出力は下記の式で表される。
これらは製造ばらつきによってそれぞれトランジスタ毎に異なるため、画素出力電圧は画素毎にばらつきを生じてしまう.
しかし、CDS処理によって、リセット信号(リセットレベル)と輝度信号(信号レベル)の差分を取ることで、これらのバラツキのうち、オフセット成分を除去することができる。CDS出力は下記の式で表される。
【0110】
【数2】
【0111】
ここで、Aはソースフォロワ回路のゲインを示している。画素毎のゲインばらつきが残るが、リセットレベルVRSTと輝度レベル(信号レベル)VSIGの差分、つまり輝度に比例する係数となるため、暗時の微小な信号も検出が可能となる。
【0112】
(真性乱数生成モードMTRGにおける動作)
真性乱数生成モードMTRGにおいて、図16に示すように、n行目の制御信号SELがHレベルに遷移し、行の選択が行われる。
次に、選択行の制御信号RSTがHレベルのとき、フローティングディフュージョンFDはリセットされ、リセット電圧VRST11(Vrst11)がソースフォロワから垂直信号線LSGNを介して出力され、時刻t11で後段ADC41に保持され、デジタル変換される。
次に、選択行の制御信号RSTがHレベルのとき、制御信号TG1がたとえば1H期間Hレベルに設定されて、フォトダイオードPD1およびフローティングディフュージョンFDがリセットされ、そのリセット電圧VRST12(Vrst12)がソースフォロワから垂直信号線LSGNを介して出力され、時刻t12で後段ADC41に保持され、デジタル変換される。
フォトダイオードPD2についても同様に読み出される。
真性乱数生成モードMTRGにおいて、図16に示すように、n行目の制御信号SELがHレベルに遷移し、行の選択が行われる。
次に、選択行の制御信号RSTがHレベルのとき、フローティングディフュージョンFDはリセットされ、リセット電圧VRST11(Vrst11)がソースフォロワから垂直信号線LSGNを介して出力され、時刻t11で後段ADC41に保持され、デジタル変換される。
次に、選択行の制御信号RSTがHレベルのとき、制御信号TG1がたとえば1H期間Hレベルに設定されて、フォトダイオードPD1およびフローティングディフュージョンFDがリセットされ、そのリセット電圧VRST12(Vrst12)がソースフォロワから垂直信号線LSGNを介して出力され、時刻t12で後段ADC41に保持され、デジタル変換される。
フォトダイオードPD2についても同様に読み出される。
【0113】
(レスポンス作成モードMDRの動作)
レスポンス作成モードMDRでは、上記CDSを省略することで、画素毎のばらつきを出力する。ここでは、クリップ画素出力を基準レベルとして、各画素を読み出すことで、AMP42以降の回路動作を変更することなく、ばらつきパターンを出力することができる。
レスポンス作成モードMDRでは、上記CDSを省略することで、画素毎のばらつきを出力する。ここでは、クリップ画素出力を基準レベルとして、各画素を読み出すことで、AMP42以降の回路動作を変更することなく、ばらつきパターンを出力することができる。
【0114】
レスポンス作成モードMDRにおいて、図17に示すように、最初に制御信号CLIPをHレベルに遷移させ、クリップ回路44を選択する。クリップ回路44のソースフォロワ(SF)トランジスタM0は電源電圧Vddの電源線VDDに短絡されているため、電源電圧Vddがソースフォロワを介して出力され、時刻t21で後段のADC41に保持され、デジタル変換される。
次に、n行目の制御信号SELがHレベルに遷移され、行の選択が行われる。
同時に、選択行の制御信号RSTとTG1もHレベルに遷移させ、フォトダイオードPD1およびフローティングディフュージョンFDをリセットする。これは、高輝度時にフォトダイオードPD1からフローティングディフュージョンFDに溢れ出た電子が検出されるのを防ぐためである。
ここで、フローティングディフュージョンFDはリセットトランジスタRST-Trにより電源電圧Vddの電源線VDDに短絡されているため、電源電圧Vddがソースフォロワを介して出力され、時刻t22で後段のADC41に保持され、デジタル変換される。
次に、n行目の制御信号SELがHレベルに遷移され、行の選択が行われる。
同時に、選択行の制御信号RSTとTG1もHレベルに遷移させ、フォトダイオードPD1およびフローティングディフュージョンFDをリセットする。これは、高輝度時にフォトダイオードPD1からフローティングディフュージョンFDに溢れ出た電子が検出されるのを防ぐためである。
ここで、フローティングディフュージョンFDはリセットトランジスタRST-Trにより電源電圧Vddの電源線VDDに短絡されているため、電源電圧Vddがソースフォロワを介して出力され、時刻t22で後段のADC41に保持され、デジタル変換される。
【0115】
後段回路は、通常動作モードMDUと同様に動作し、クリップ信号と画素リセット信号の差分を出力する。
ただし、レスポンス作成モードMDRでは、無相関の信号の差分を出力するため、差分二重サンプリング(DDS: Differential Double Sampling) と呼ぶ。DDS出力は次式で表される。
ただし、レスポンス作成モードMDRでは、無相関の信号の差分を出力するため、差分二重サンプリング(DDS: Differential Double Sampling) と呼ぶ。DDS出力は次式で表される。
【0116】
【数3】
【0117】
ここで、Vgs0、Vth0、ΔVth0、β0は、それぞれクリップ回路44、ソースフォロワ(SF)トランジスタのゲート・ソース間電圧、SFトランジスタの閾値、基板バイアス電圧、トランジスタに比例する係数をそれぞれ示している。
以上より、クリップ回路44を基準として画素のVth,ΔVthおよびβばらつきのみを出力することができる。この動作を全画素に対して行うことで、200万画素等の素子特性の製造ばらつきを抽出することができる。
以上より、クリップ回路44を基準として画素のVth,ΔVthおよびβばらつきのみを出力することができる。この動作を全画素に対して行うことで、200万画素等の素子特性の製造ばらつきを抽出することができる。
【0118】
一方、Vth0、β0、Idはそれぞれ各列で共通のクリップ回路44および電流源の成分であり、これらの製造ばらつきは、列毎に固有のばらつき成分となる。
したがって、DDS出力は、列毎に固有なばらつき成分が、画素毎に固有なばらつきに重畳された信号となる。この列毎に固有なばらつき成分により、画素アレイにおけるばらつき信号パターンのランダム性が低下してしまう。
したがって、DDS出力は、列毎に固有なばらつき成分が、画素毎に固有なばらつきに重畳された信号となる。この列毎に固有なばらつき成分により、画素アレイにおけるばらつき信号パターンのランダム性が低下してしまう。
【0119】
以上説明したように、本第1の実施形態においては、信号処理回路70は、読み出し回路40により読み出され所定の処理が施された読み出し信号に対する所定の信号処理により2次元画像データを生成する。
ただし、本実施形態においては、暗号化処理系であるレスポンスデータ作成部80が、画像の無断使用や改ざん、ねつ造等が行われてしまうことを防止するために、固体撮像装置10の固有のばらつき情報(画素、読み出し回路のばらつき情報)から固有鍵KYを生成し、固有鍵KYと固体撮像装置10から得られる取得データAQDを組み合わせて識別データDSCDを生成し、この識別データDSCDを画像データIMGに一体化して出力し、固有鍵KYに関する情報を認識していない場合には識別データを正しく作成できないように構成されている。
ただし、本実施形態においては、暗号化処理系であるレスポンスデータ作成部80が、画像の無断使用や改ざん、ねつ造等が行われてしまうことを防止するために、固体撮像装置10の固有のばらつき情報(画素、読み出し回路のばらつき情報)から固有鍵KYを生成し、固有鍵KYと固体撮像装置10から得られる取得データAQDを組み合わせて識別データDSCDを生成し、この識別データDSCDを画像データIMGに一体化して出力し、固有鍵KYに関する情報を認識していない場合には識別データを正しく作成できないように構成されている。
【0120】
本第1の実施形態に係るファジー抽出器は、基本的に、真性乱数生成モード時に読み出し部90により画素から読み出した画素信号または画素部20の列出力に対応して配置され、入力される列出力信号を処理する読み出し部の列信号処理部から読み出した読み出し信号を用いて低コストで高いランダム性を有する真性乱数を生成することが可能な真性乱数生成器8212を含み、真性乱数生成器で生成した真性乱数と、初期鍵生成時に取得したレスポンスとしてのばらつき情報とに基づいて初期鍵およびヘルパーデータを生成する初期鍵生成部821と、鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるエラーを含むレスポンスとしてのばらつき情報とに基づいて固有鍵を生成する鍵再生成部822と、を含んで構成される。
したがって、本第1の実施形態によれば、高いランダム性を確保でき、低電力および低コスト、高い情報セキュリティを実現することが可能となる。
したがって、本第1の実施形態によれば、高いランダム性を確保でき、低電力および低コスト、高い情報セキュリティを実現することが可能となる。
【0121】
真の乱数の発生に画素から読み出した画素信号を用いる第1の真性乱数生成モードMTRG1時の乱数生成の場合、選択された画素を複数回(たとえば128回)読み出すことにより、FPNを削除することができ、ランダムネスが最適である。
また、画素行から複数(たとえば128)画素を選択することができ、この場合、読み出し速度は、列読み出し回路40を有するCISに最適である。
また、画素列から複数(たとえば128)画素を選択することができ、この場合、選択された画素のアドレスは、デジタル疑似乱数発生器によって与えられることができる。
また、選択された画素のアドレスは、強い照明下での光学的オーバーフローを回避するためにOB(Optical Black)画素のアドレスとすることができる。
また、画素行から複数(たとえば128)画素を選択することができ、この場合、読み出し速度は、列読み出し回路40を有するCISに最適である。
また、画素列から複数(たとえば128)画素を選択することができ、この場合、選択された画素のアドレスは、デジタル疑似乱数発生器によって与えられることができる。
また、選択された画素のアドレスは、強い照明下での光学的オーバーフローを回避するためにOB(Optical Black)画素のアドレスとすることができる。
【0122】
また、高いランダム性を確保するために、読み出し部90を図9に示すように構成することも可能である。
また、読み出し部90は、画素部20の少なくとも一つの列出力に対応して配置され、入力される列出力信号を処理する複数の列信号処理部(たとえばアンプ42とADC41)400と、画素部の列出力による列出力信号の供給先をシャッフルして、列出力に対応して配置された列信号理部と異なる列信号処理部に入力するように切り替え可能なマルチプレクサ410と、を含むことにより、高いランダム性を確保することができる。
また、読み出し部90は、画素部20の少なくとも一つの列出力に対応して配置され、入力される列出力信号を処理する複数の列信号処理部(たとえばアンプ42とADC41)400と、画素部の列出力による列出力信号の供給先をシャッフルして、列出力に対応して配置された列信号理部と異なる列信号処理部に入力するように切り替え可能なマルチプレクサ410と、を含むことにより、高いランダム性を確保することができる。
【0123】
また、2画素の出力画素信号をXOR(排他的論理和)演算を行うことにより、ランダム性を改善することができる。
【0124】
また、第2の真性乱数生成モードMTRG2時の乱数生成において、読み出し部90の列信号処理部400から読み出される読み出し信号は、画素PXLの読み出し信号が入力されない状態であって、アンプ42の出力が入力されない状態でのADC41の出力信号、または、アンプ42の出力が入力された状態でのADC41の出力信号を含む。
【0125】
なお、乱数としては、12ビット画素の読み出しは、中央値と比較することによって二値化することができる。
また、ランダム性を改善する方法として、3つ以上の画素出力をXOR演算することも可能である。XOR処理された画素のグループは疑似数発生器によって選択することができる。
また、ランダム性を改善する方法として、3つ以上の画素出力をXOR演算することも可能である。XOR処理された画素のグループは疑似数発生器によって選択することができる。
【0126】
(第2の実施形態)
図18は、本第2の実施形態に係る鍵生成部の固有鍵出力部に適用可能なファジー抽出器の構成例を示す図である。
図18は、本第2の実施形態に係る鍵生成部の固有鍵出力部に適用可能なファジー抽出器の構成例を示す図である。
【0127】
第2の実施形態に係る図18のファジー抽出器820Bが第1の実施形態に係るファジー抽出器820と異なる点は次の通りである。
本第2の実施形態に係るファジー抽出器820Bは、CIS-PUFで得られるデジタル値Voutに関連付けてPUFレスポンスビットの信頼度情報を取得し、取得した信頼度情報を軟判定ファジー抽出器(鍵再生成部)に応用することが可能であるように、すなわち、本第2の実施形態では、CIS-PUFが鍵再生成時のPUFレスポンスであるばらつき情報より信頼度情報を予測できることから、初期鍵生成は硬判定と同様とし、鍵再生成時に取得デ-タより信頼度を付与して軟判定を行うことが可能であるように、次の構成が採用されている。
すなわち、ファジー抽出器820Bは、鍵再生成部822Bにおいて、信頼度情報取得部8226、XOR8227および符号変換部(SGN)8228が新たな構成要素として設けられている。
本第2の実施形態に係るファジー抽出器820Bは、CIS-PUFで得られるデジタル値Voutに関連付けてPUFレスポンスビットの信頼度情報を取得し、取得した信頼度情報を軟判定ファジー抽出器(鍵再生成部)に応用することが可能であるように、すなわち、本第2の実施形態では、CIS-PUFが鍵再生成時のPUFレスポンスであるばらつき情報より信頼度情報を予測できることから、初期鍵生成は硬判定と同様とし、鍵再生成時に取得デ-タより信頼度を付与して軟判定を行うことが可能であるように、次の構成が採用されている。
すなわち、ファジー抽出器820Bは、鍵再生成部822Bにおいて、信頼度情報取得部8226、XOR8227および符号変換部(SGN)8228が新たな構成要素として設けられている。
【0128】
鍵再生成部822においては、信頼度情報取得部8226により、鍵再生成時に得られるエラーを含むレスポンスとしてのばらつき情報より予測した信頼度情報Qが取得され、XOR8227に供給される。
XOR8227においては、鍵再生成時に得られるエラーを含むレスポンスとしてのばらつき情報W(x)Eと信頼度情報Qが演算されて第1のデータW(x)E(x)Qが取得され、XOR8222に供給される。このとき、ばらつき情報W(x)Eは軟判定に対応させるために1/0のデータが-1/1のデータとして与えられる。
XOR8222においては、ヘルパーデータW(x)Cと信頼度情報Qを含む第1のデータW(x)E(x)Qとが演算され、誤り訂正符号の符号語Cにエラー成分Eと信頼度情報Qが演算された第2のデータC(x)E(x)Qが取得されて、復号部8223に供給される。このとき、ヘルパーデータW(x)Cも軟判定に対応させるために1/0のデータが-1/1のデータとして与えられる。
復号部8223においては、第2のデータC(x)E(x)Qが、信頼度情報Qを利用した相関復号によって復号されて、推定符号語C’が取得され、XOR8224に供給される。この軟判定時の相関復号に関連して内積をとるために、「0」を「1」、「1」を「-1」と符号が変換されている。
XOR8224においては、復号部8223による推定符号語C’とヘルパーデータW(x)Cが演算されて推定ばらつき情報W’が取得され、符号変換部8228に供給される。
符号変換部8228においては、-1/1のデータが1/0のデータに再変換され、第2のハッシュ部8225供給される。
第2のハッシュ部8225おいては、推定ばらつき情報W’をハッシュ(Hash)関数に通して得られたハッシュ値が再生成鍵K’として出力される。
XOR8227においては、鍵再生成時に得られるエラーを含むレスポンスとしてのばらつき情報W(x)Eと信頼度情報Qが演算されて第1のデータW(x)E(x)Qが取得され、XOR8222に供給される。このとき、ばらつき情報W(x)Eは軟判定に対応させるために1/0のデータが-1/1のデータとして与えられる。
XOR8222においては、ヘルパーデータW(x)Cと信頼度情報Qを含む第1のデータW(x)E(x)Qとが演算され、誤り訂正符号の符号語Cにエラー成分Eと信頼度情報Qが演算された第2のデータC(x)E(x)Qが取得されて、復号部8223に供給される。このとき、ヘルパーデータW(x)Cも軟判定に対応させるために1/0のデータが-1/1のデータとして与えられる。
復号部8223においては、第2のデータC(x)E(x)Qが、信頼度情報Qを利用した相関復号によって復号されて、推定符号語C’が取得され、XOR8224に供給される。この軟判定時の相関復号に関連して内積をとるために、「0」を「1」、「1」を「-1」と符号が変換されている。
XOR8224においては、復号部8223による推定符号語C’とヘルパーデータW(x)Cが演算されて推定ばらつき情報W’が取得され、符号変換部8228に供給される。
符号変換部8228においては、-1/1のデータが1/0のデータに再変換され、第2のハッシュ部8225供給される。
第2のハッシュ部8225おいては、推定ばらつき情報W’をハッシュ(Hash)関数に通して得られたハッシュ値が再生成鍵K’として出力される。
【0129】
そして、誤り訂正部による推定符号語C’が初期鍵生成時の符号語Cと一致しているならば、再生成鍵は初期鍵と一致する。
【0130】
(信頼度情報に関する説明)
以下に、信頼度情報等について説明する。
以下に、信頼度情報等について説明する。
【0131】
本第2の実施形態に係る固体撮像装置10Bは、PUFレスポンスである画素や読み出し部90のばらつき情報を生成する際に、一例として、画素トランジスタのばらつきに相当する複数ビット、たとえば12ビットのデジタル値(Vout)を出力し、隣接するトランジスタのしきい値電圧の大小関係より1/0のレスポンスデータを取得する。
固体撮像装置10Bは、大小比較する画素トランジスタのデジタル値Voutの差が大きい場合は、ノイズや温度・電圧などの環境条件が変動しても、しきい値電圧VTHとの大小関係は反転しないため、安定なビットであることが判断できる。
固体撮像装置10Bは、大小比較する画素トランジスタのデジタル値Voutの差が大きい場合は、ノイズや温度・電圧などの環境条件が変動しても、しきい値電圧VTHとの大小関係は反転しないため、安定なビットであることが判断できる。
【0132】
また、本実施形態に係るファジー抽出器は、CIS-PUFで得られるデジタル値Voutに関連付けてPUFレスポンスビットの信頼度情報を取得し、取得した信頼度情報を軟判定ファジー抽出器(鍵再生成部)に応用することが可能である。
すなわち、本第2の実施形態では、CIS-PUFが鍵再生成時のPUFレスポンスであるばらつき情報より信頼度情報を予測できることから、初期鍵生成は硬判定と同様とし、鍵再生成時に取得デ-タより信頼度を付与して軟判定を行うことが可能である。
すなわち、本第2の実施形態では、CIS-PUFが鍵再生成時のPUFレスポンスであるばらつき情報より信頼度情報を予測できることから、初期鍵生成は硬判定と同様とし、鍵再生成時に取得デ-タより信頼度を付与して軟判定を行うことが可能である。
【0133】
これにより、本実施形態の固体撮像装置10は、信頼度情報を得るために事前にチップごとのレスポンスの複数測定とヘルパーデータへの信頼度付与が不要で、初期鍵生成時にファジー抽出器(Fuzzy Extractor)の保存デ-タが増大することを防止でき、秘匿性の高い固有のレスポンスデータを生成することが可能で、ひいては画像の改ざん、ねつ造を確実に防止することが可能となっている。
【0134】
上述したように、本第2の実施形態に係る固体撮像装置10Bは、暗号処理系としてのレスポンスデータ生成部80の鍵生成部82において、真性乱数生成器を含むファジー抽出器(Fuzzy Extractor)を適用し、安定なレスポンスデータを生成する方法として、画素トランジスタのばらつきに相当する複数ビット、たとえば12ビットのデジタル値Voutを有効に活用する方法が採用される。
固体撮像装置10Bは、CIS-PUFで得られるデジタル値Voutに関連付けてPUFレスポンスビットの信頼度情報Qを取得し、取得した信頼度情報Qを軟判定ファジー抽出器(鍵再生成部)に応用している。
すなわち、本実施形態では、CIS-PUFが鍵再生成時のPUFレスポンス(ばらつき情報)より信頼度情報を予測できることから、初期鍵生成は硬判定と同様とし、鍵再生成時に取得デ-タより信頼度を付与して軟判定を行う。
固体撮像装置10Bは、CIS-PUFで得られるデジタル値Voutに関連付けてPUFレスポンスビットの信頼度情報Qを取得し、取得した信頼度情報Qを軟判定ファジー抽出器(鍵再生成部)に応用している。
すなわち、本実施形態では、CIS-PUFが鍵再生成時のPUFレスポンス(ばらつき情報)より信頼度情報を予測できることから、初期鍵生成は硬判定と同様とし、鍵再生成時に取得デ-タより信頼度を付与して軟判定を行う。
【0135】
本第2の実施形態において、レスポンスデータ生成部80は、鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるばらつき情報と、鍵再生成時のばらつき情報より予測した信頼度情報Qとを用いて固有鍵を生成する。
本第2の実施形態において、PUFレスポンスであるばらつき情報は、1ビット当たり2つの出力値が得られる複数ビット、たとえば12ビットのデジタル値Voutとして取得され、レスポンスデータ生成部80(鍵生成部82)は、ばらつき情報の2つの出力値を信頼度情報Qとして利用する。
CIS-PUFレスポンスとしてのばらつき情報の2つの出力値の差分値でビット反転し易い、ビット反転しにくい程度を予測可能であり、レスポンスデータ生成部80は、鍵再生成時に得られるばらつき情報の2つの出力値の差分値から信頼度を予測する。
本第2の実施形態において、PUFレスポンスであるばらつき情報は、1ビット当たり2つの出力値が得られる複数ビット、たとえば12ビットのデジタル値Voutとして取得され、レスポンスデータ生成部80(鍵生成部82)は、ばらつき情報の2つの出力値を信頼度情報Qとして利用する。
CIS-PUFレスポンスとしてのばらつき情報の2つの出力値の差分値でビット反転し易い、ビット反転しにくい程度を予測可能であり、レスポンスデータ生成部80は、鍵再生成時に得られるばらつき情報の2つの出力値の差分値から信頼度を予測する。
【0136】
図19(A)~図19(C)は、CMOSイメージセンサPUF(CIS-PUF)のPUFレスポンスとしてのばらつき情報における安定ビットの出力ペアと不安定ビットの出力ペアのヒストグラムを示す図である。
図19(A)は画素部20の一例を示し、図19(B)は安定ビット100回の出力分布を示し、図19(C)は不安定ビット100回の出力分布を示している。
図19(A)は画素部20の一例を示し、図19(B)は安定ビット100回の出力分布を示し、図19(C)は不安定ビット100回の出力分布を示している。
【0137】
CIS-PUFのレスポンスとしての画素のばらつき情報は1ビットあたり2出力あり、その差分値で反転し易い、反転し難い程度が予想できる。
そのため、初期鍵生成の時に反転の信頼度情報をヘルパーデ-タに記録しなくても、鍵再生成時のレスポンスデ-タから信頼度情報を予測し、それを軟判定に活用すること可能である。
図19(B)および図19(C)は、安定ビット(bit)の出力ペアと不安定ビット(bit)の出力ペアの100回分の出力のヒストグラムを示したものである。
1つの出力は似たような形である平均値の周りに一定のσで分布している。ばらつきは出力をとるごとに乗ってくるランダムノイズの影響を受けている。
そのため、初期鍵生成の時に反転の信頼度情報をヘルパーデ-タに記録しなくても、鍵再生成時のレスポンスデ-タから信頼度情報を予測し、それを軟判定に活用すること可能である。
図19(B)および図19(C)は、安定ビット(bit)の出力ペアと不安定ビット(bit)の出力ペアの100回分の出力のヒストグラムを示したものである。
1つの出力は似たような形である平均値の周りに一定のσで分布している。ばらつきは出力をとるごとに乗ってくるランダムノイズの影響を受けている。
【0138】
このように、本第2の実施形態では、鍵再生成時に得られるPUFレスポンスとしてのばらつき情報の2つの出力値の差分値から信頼度を予測する。
以下に、いわゆるCMOSイメージセンサPUF (CIS-PUF)の要部を形成する2つの出力値を持つばらつき情報を取得するのに好適な情報取得部を含む、画素部および列毎に配置された列読出し回路の概要について説明する。
その後、具体的なPUFレスポンス(ばらつき情報)の生成、信頼度情報Qの設定について説明する。ファジー抽出器の説明においては、一般的なファジー抽出器(硬判定ファジー抽出器)、並びに、初期鍵生成および鍵再生成時に軟判定を行うファジー抽出器との誤り訂正能力の比較結果についても述べる。
以下に、いわゆるCMOSイメージセンサPUF (CIS-PUF)の要部を形成する2つの出力値を持つばらつき情報を取得するのに好適な情報取得部を含む、画素部および列毎に配置された列読出し回路の概要について説明する。
その後、具体的なPUFレスポンス(ばらつき情報)の生成、信頼度情報Qの設定について説明する。ファジー抽出器の説明においては、一般的なファジー抽出器(硬判定ファジー抽出器)、並びに、初期鍵生成および鍵再生成時に軟判定を行うファジー抽出器との誤り訂正能力の比較結果についても述べる。
【0139】
前述した図14は、CMOSイメージセンサPUF(CIS-PUF)の要部を形成する2つの出力値を持つばらつき情報を取得するのに好適な情報取得部を含む、本実施形態に係る画素部および列毎に配置された列読出し回路の概要を示している。
【0140】
図14の画素部20Aおよび列(カラム)読出し回路40は、ばらつき信号の再現性を高め、ばらつきパターンのユニーク性を改善するために、垂直(図では上下)の2画素間で大小判定(引き算等)して2値化を行うことが可能となるように構成されている。
【0141】
(図14のCIS-PUFの概要)
ここで、図14のCIS-PUFの概要について説明する。
CIS-PUFは、CMOSイメージセンサの画素毎の特性ばらつきを利用してデバイスごとに固有のPUFレスポンス(画素のばらつき情報)を生成する。前述したように、特性ばらつきには固定した位置に生じる固定パターンノイズ(FPN:Fixed Pattern Noise)や画素等の位置に関係なくランダムに生じるランダムノイズがある。
CMOSイメージセンサは、通常動作モードMDUにおいては、これら特性ばらつきを除去するために,画素毎にリセット電位(VRST)と信号電位(VSIG)の差分を取るCDS(相関二重サンプリング:Correlated Double Sampling)を行っている。
ここで、図14のCIS-PUFの概要について説明する。
CIS-PUFは、CMOSイメージセンサの画素毎の特性ばらつきを利用してデバイスごとに固有のPUFレスポンス(画素のばらつき情報)を生成する。前述したように、特性ばらつきには固定した位置に生じる固定パターンノイズ(FPN:Fixed Pattern Noise)や画素等の位置に関係なくランダムに生じるランダムノイズがある。
CMOSイメージセンサは、通常動作モードMDUにおいては、これら特性ばらつきを除去するために,画素毎にリセット電位(VRST)と信号電位(VSIG)の差分を取るCDS(相関二重サンプリング:Correlated Double Sampling)を行っている。
【0142】
一方でCIS-PUFは、PUFレスポンスを生成する目的でばらつき情報を得るために、CDSを動作させない信号読み出しモードであるレスポンス作成モード(PUFモード)MDRを持つ。このPUFモードにより画素ばらつきが支配的となる出力を得ることができる。
【0143】
図14のCIS-PUFとしての固体撮像装置(CMOSイメージセンサ)10Aは、画素数1,920×1,080(フルHD)のアレイ構造を有している。
この固体撮像装置(CMOSイメージセンサ)10Aは、垂直方向(図では上下)に隣接した2画素でソースフォロワトランジスタSF-Trを共有しており、ソースフォロワトランジスタSF-Trの数は1,920×540である。
PUFモードでは,列毎に存在するクリップ回路44から得られる電位を基準電位とし、各画素のリセット電位と差分を取ることで、画素毎のばらつきを抽出している。
この固体撮像装置(CMOSイメージセンサ)10Aは、垂直方向(図では上下)に隣接した2画素でソースフォロワトランジスタSF-Trを共有しており、ソースフォロワトランジスタSF-Trの数は1,920×540である。
PUFモードでは,列毎に存在するクリップ回路44から得られる電位を基準電位とし、各画素のリセット電位と差分を取ることで、画素毎のばらつきを抽出している。
【0144】
(図14のCIS-PUFにおけるPUFレスポンスの生成)
次に、図14のCIS-PUFにおけるPUFレスポンスの生成の概要について説明する。
図20は、図14のCIS-PUFの画素ばらつきを利用したPUFレスポンス生成の様子を示す図である。
次に、図14のCIS-PUFにおけるPUFレスポンスの生成の概要について説明する。
図20は、図14のCIS-PUFの画素ばらつきを利用したPUFレスポンス生成の様子を示す図である。
【0145】
CIS-PUFの画素ばらつきを利用したPUFレスポンス生成は、垂直方向(上下)に隣接した2つのソースフォロワトランジスタSF-Trの出力値Vout(ADコンバータで41デジタル化された出力)を大小比較し、1ビットを出力している。
図20の例では、上下の出力値Voutを大小比較し、上側の出力値が下側の出力値より大きい場合(上>下)「1」、上側の出力値が下側の出力値より小さい場合(上<下)「0」とする。
図20の例では、上下の出力値Voutを大小比較し、上側の出力値が下側の出力値より大きい場合(上>下)「1」、上側の出力値が下側の出力値より小さい場合(上<下)「0」とする。
【0146】
実測に用いたCMOSイメージセンサはソースフォロワトランジスタSF-Trの数が1,920×540である。そこから、上下隣接のソースフォロワトランジスタSF-Trの出力値を大小比較し、1,920×270の1/0データ(PUFレスポンス)を作成している。
したがって、CIS-PUFの1チップから約0.5Mビットのレスポンスを得ることができる。
したがって、CIS-PUFの1チップから約0.5Mビットのレスポンスを得ることができる。
【0147】
【0148】
図16の再現性では、100回試行(100枚画像)分の出力から平均をとり、基準のレスポンスとしている。図21においては、その基準と各1回試行(1枚画像)のレスポンスでハミングディスタンス(HD)をとった結果を載せている。
ただし、レスポンスは1,920×270のビットを128ビットずつ区切った4,050ブロック×15チップ分の分布である。
また、図21において、ユニーク性では異なる15チップの基準レスポンス同士のハミングディスタンス(HD)をとった結果を載せている。図21において、ユニーク性は再現性と同様にレスポンスを128ビット区切りにし、4,050ブロックの分布でまとめてある。
ただし、レスポンスは1,920×270のビットを128ビットずつ区切った4,050ブロック×15チップ分の分布である。
また、図21において、ユニーク性では異なる15チップの基準レスポンス同士のハミングディスタンス(HD)をとった結果を載せている。図21において、ユニーク性は再現性と同様にレスポンスを128ビット区切りにし、4,050ブロックの分布でまとめてある。
【0149】
図21に示すように、再現性では,平均値が128ビット中1.10ビット(反転率 = 0.86%),最大でも8ビット(反転率 = 6.25%)と非常に良い値が得られている。
ユニーク性でも、平均値が63.99ビットと理想的な値(64ビット)にほぼ等しく、高いユニーク性であることが確認できている。
ユニーク性でも、平均値が63.99ビットと理想的な値(64ビット)にほぼ等しく、高いユニーク性であることが確認できている。
【0150】
(CIS-PUFの不安定ビット)
次に、図14のCIS-PUFの不安定ビットについて考察する。
図22(A)および図22(B)は、図14および図20に示すようなレスポンス生成方式によって得られたPUFレスポンスの安定ビットと不安定ビットを示す図である。
図22(A)は2つのソースフォロワトランジスタSF-Tr出力の100回試行分の安定ビットの出力分布を示し、図22(B)は2つのソースフォロワトランジスタSF-Tr出力の100回試行分の不安定ビットの出力分布を示している。
次に、図14のCIS-PUFの不安定ビットについて考察する。
図22(A)および図22(B)は、図14および図20に示すようなレスポンス生成方式によって得られたPUFレスポンスの安定ビットと不安定ビットを示す図である。
図22(A)は2つのソースフォロワトランジスタSF-Tr出力の100回試行分の安定ビットの出力分布を示し、図22(B)は2つのソースフォロワトランジスタSF-Tr出力の100回試行分の不安定ビットの出力分布を示している。
【0151】
図22(A)および図22(B)には、平均出力も示されており、2つの平均出力の差をΔVoutで示してある。
ここで用いた平均出力は、CMOSイメージセンサのばらつきの中でもFPN(固定パターンノイズ)が影響しており、ソースフォロワトランジスタSF-Trの出力毎に1つに定まる。
一方、出力平均からの分布の広がりはランダムノイズの影響であり、ある一定のσに沿って全ての出力で同様の分布を作る。
ここで用いた平均出力は、CMOSイメージセンサのばらつきの中でもFPN(固定パターンノイズ)が影響しており、ソースフォロワトランジスタSF-Trの出力毎に1つに定まる。
一方、出力平均からの分布の広がりはランダムノイズの影響であり、ある一定のσに沿って全ての出力で同様の分布を作る。
【0152】
図22(A)および図22(B)からわかるように、安定ビットでは試行毎の出力変動に対して、差ΔVoutが大きく、試行により出力の大小関係が逆転することはない。
一方で、不安定ビットでは平均出力の差ΔVoutが小さく、試行によって大小関係が逆転し、ビット反転を起こす。
このことより、図14等に示すCIS-PUFは、平均出力の差ΔVoutを確認することによって、対応するソースフォロワトランジスタSF-Trペアのビットの反転しやすさを推測することが可能である。
一方で、不安定ビットでは平均出力の差ΔVoutが小さく、試行によって大小関係が逆転し、ビット反転を起こす。
このことより、図14等に示すCIS-PUFは、平均出力の差ΔVoutを確認することによって、対応するソースフォロワトランジスタSF-Trペアのビットの反転しやすさを推測することが可能である。
【0153】
以下に、信頼度情報の設定方法等について説明する。
本第2の実施形態において、レスポンスデータ生成部80における鍵生成部82は、ファジー抽出器を適用し、鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるばらつき情報と、鍵再生成時のばらつき情報より予測した信頼度情報とを用いて固有鍵を生成する。
本第2の実施形態においては、上述したように、PUFレスポンスであるばらつき情報は、1ビット当たり2つの出力値が得られる複数ビット(本例では12ビット)のデジタル値として取得され、鍵生成部82は、PUFレスポンスであるばらつき情報の2つの出力値を信頼度情報として利用する。
本第2の実施形態において、レスポンスデータ生成部80における鍵生成部82は、ファジー抽出器を適用し、鍵再生成時に、初期に鍵を生成して得られたヘルパーデータと、鍵再生成時に得られるばらつき情報と、鍵再生成時のばらつき情報より予測した信頼度情報とを用いて固有鍵を生成する。
本第2の実施形態においては、上述したように、PUFレスポンスであるばらつき情報は、1ビット当たり2つの出力値が得られる複数ビット(本例では12ビット)のデジタル値として取得され、鍵生成部82は、PUFレスポンスであるばらつき情報の2つの出力値を信頼度情報として利用する。
【0154】
本第2の実施形態においては、上述したように、PUFレスポンスであるばらつき情報の2つの出力値の差分値でビット反転し易い、ビット反転しにくい程度を予測可能であり、鍵生成部82は、鍵再生成時に得られるばらつき情報の2つの出力値の差分値から信頼度を予測する。
【0155】
鍵生成部82は、信頼度を予測して設定する方法として、たとえば2つの方法を採用可能である。
【0156】
(第1の信頼度設定方法)
第1の信頼度設定方法では、鍵生成部82は、鍵再生成時に得られるばらつき情報の2つの出力値の第1の差ΔVoutgetと、出力値の平均同士の第2の差ΔVoutが一致すると仮定し、第1の差ΔVoutgetが大きいほど、2つの出力値分布が重なる面積は小さくビット反転の確率が小さく、第1の差ΔVoutgetが小さいほど、2つの出力値分布が重なる面積は大きくビット反転の確率が大きい、と想定して信頼度を設定する。
鍵生成部82は、第1の差ΔVoutgetから想定した2つの出力値分布が重なる面積が最大のとき信頼度を最低とし、重なる面積が小さくなるにつれて信頼度を最大に近づけて信頼度の設定を行う。
あるいは、鍵生成部82は、第1の差ΔVoutgetから想定した2つの出力値分布が重なる面積が最小のとき信頼度を最大とし、重なる面積が大きくなるにつれて信頼度を最小に近づけて信頼度の設定を行う。
第1の信頼度設定方法では、鍵生成部82は、鍵再生成時に得られるばらつき情報の2つの出力値の第1の差ΔVoutgetと、出力値の平均同士の第2の差ΔVoutが一致すると仮定し、第1の差ΔVoutgetが大きいほど、2つの出力値分布が重なる面積は小さくビット反転の確率が小さく、第1の差ΔVoutgetが小さいほど、2つの出力値分布が重なる面積は大きくビット反転の確率が大きい、と想定して信頼度を設定する。
鍵生成部82は、第1の差ΔVoutgetから想定した2つの出力値分布が重なる面積が最大のとき信頼度を最低とし、重なる面積が小さくなるにつれて信頼度を最大に近づけて信頼度の設定を行う。
あるいは、鍵生成部82は、第1の差ΔVoutgetから想定した2つの出力値分布が重なる面積が最小のとき信頼度を最大とし、重なる面積が大きくなるにつれて信頼度を最小に近づけて信頼度の設定を行う。
【0157】
(第2の信頼度設定方法)
第2の信頼度設定方法では、鍵生成部82は、鍵再生成時に得られるばらつき情報の2つの出力値の第1の差ΔVoutgetが、出力値の平均同士の第2の差ΔVoutと異なり、値を取得するごとに値が変動し、得られた第1の差ΔVoutgetが第2の差ΔVoutよりも大きい場合と小さい場合が確率的に存在することを前提として、第1の差ΔVoutgetが第2の差ΔVoutからずれる割合を考慮して信頼度の設定を行う。
鍵生成部82は、第1の差ΔVoutgetが、第2の差ΔVout±αとなることを想定し、第1の差ΔVoutgetが第2の差ΔVoutからずれる割合を考慮した信頼度設定を行う。
第2の信頼度設定方法では、鍵生成部82は、鍵再生成時に得られるばらつき情報の2つの出力値の第1の差ΔVoutgetが、出力値の平均同士の第2の差ΔVoutと異なり、値を取得するごとに値が変動し、得られた第1の差ΔVoutgetが第2の差ΔVoutよりも大きい場合と小さい場合が確率的に存在することを前提として、第1の差ΔVoutgetが第2の差ΔVoutからずれる割合を考慮して信頼度の設定を行う。
鍵生成部82は、第1の差ΔVoutgetが、第2の差ΔVout±αとなることを想定し、第1の差ΔVoutgetが第2の差ΔVoutからずれる割合を考慮した信頼度設定を行う。
【0158】
ここで、軟判定を行う鍵再生成部822における信頼度情報取得部8226において信頼度を予測して設定する方法を、図面に関連付けてより具体的に説明する。
【0159】
前述したCIS-PUFの安定ビットと不安定ビットの説明で、垂直方向(上下)に隣接した2つのソースフォロワトランジスタSF-Trの出力の分布から,平均値と平均値の差である第2の差ΔVoutの大きさを用いている。
本第2の実施形態において、CIS-PUFの信頼度情報Qも、この上下に隣接した2つのソースフォロワトランジスタSF-Trの出力差から作成する。
そして、本第2の実施形態において採用させるファジー抽出器820Bは、鍵の再生成時にワンショットで信頼度を得ることを想定している。
そこで、本実施形態では、ワンショットで得られた上下に隣接する2つのソースフォロワトランジスタSF-Trの出力値の差を第1の差ΔVout_getとする。
本第2の実施形態において、CIS-PUFの信頼度情報Qも、この上下に隣接した2つのソースフォロワトランジスタSF-Trの出力差から作成する。
そして、本第2の実施形態において採用させるファジー抽出器820Bは、鍵の再生成時にワンショットで信頼度を得ることを想定している。
そこで、本実施形態では、ワンショットで得られた上下に隣接する2つのソースフォロワトランジスタSF-Trの出力値の差を第1の差ΔVout_getとする。
【0160】
図23は、本実施形態に係る信頼度を予測して設定する方法をより具体的に説明するための図である。
【0161】
(第1の信頼度設定方法の具体的な説明)
第1の信頼度設定方法では、図23に示すように、鍵生成部82は、鍵再生成時に得られるばらつき情報の2つの出力値の第1の差ΔVoutgetと、出力値の平均同士の第2の差ΔVoutが一致すると仮定し、ΔVout_get=ΔVoutとする。
このとき、第1の差ΔVout_getが大きければ、2つのソースフォロワトランジスタSF-Trの出力分布は重ならず、ビット反転を起こす確率は0に近い。一方、第1の差ΔVout_getが小さければ小さいほど、2つのソースフォロワトランジスタSF-Trの出力分布が重なる面積は大きくなり,ビット反転が起きやすくなる。
この性質を利用し、第1の差ΔVoutgetが大きいほど、2つの出力値分布が重なる面積は小さくビット反転の確率が小さく、第1の差ΔVoutgetが小さいほど、2つの出力値分布が重なる面積は大きくビット反転の確率が大きい、と想定して信頼度を設定する。
第1の信頼度設定方法では、図23に示すように、鍵生成部82は、鍵再生成時に得られるばらつき情報の2つの出力値の第1の差ΔVoutgetと、出力値の平均同士の第2の差ΔVoutが一致すると仮定し、ΔVout_get=ΔVoutとする。
このとき、第1の差ΔVout_getが大きければ、2つのソースフォロワトランジスタSF-Trの出力分布は重ならず、ビット反転を起こす確率は0に近い。一方、第1の差ΔVout_getが小さければ小さいほど、2つのソースフォロワトランジスタSF-Trの出力分布が重なる面積は大きくなり,ビット反転が起きやすくなる。
この性質を利用し、第1の差ΔVoutgetが大きいほど、2つの出力値分布が重なる面積は小さくビット反転の確率が小さく、第1の差ΔVoutgetが小さいほど、2つの出力値分布が重なる面積は大きくビット反転の確率が大きい、と想定して信頼度を設定する。
【0162】
鍵生成部82は、第1の差ΔVoutgetから想定した2つの出力値分布が重なる面積が最大のとき信頼度を最低とし、重なる面積が小さくなるにつれて信頼度を最大に近づけて信頼度の設定を行う。
あるいは、鍵生成部82は、第1の差ΔVoutgetから想定した2つの出力値分布が重なる面積が最小のとき信頼度を最大とし、重なる面積が大きくなるにつれて信頼度を最小に近づけて信頼度の設定を行う。
あるいは、鍵生成部82は、第1の差ΔVoutgetから想定した2つの出力値分布が重なる面積が最小のとき信頼度を最大とし、重なる面積が大きくなるにつれて信頼度を最小に近づけて信頼度の設定を行う。
【0163】
より具体的には、鍵再生成時には、1ビット当たり2つの出力が得られる。この差分を第1の差ΔVoutgetとするが、この出力値がそれぞれ多数回の出力を統計処理した時の最頻値(平均値でもよい)同士の差(これを第2の差ΔVoutとする)とどれほどずれているか1回の取得ではわからない。
仮定のひとつとしては得られた2つの出力が最頻値(平均値)であると仮定する。これはΔVout = ΔVoutgetとすることである。
そし統計的出力分布を仮定して(たとえば、あるσで与えられる正規分布として)第2の差ΔVoutからふたつの出力分布の重なり面積を計算し、重なり面積100%→反転確率50%→信頼度0、重なり面積0%→反転確率0%→信頼度1として、その間を適当な関数(たとえば直線補完)で補完する。
仮定のひとつとしては得られた2つの出力が最頻値(平均値)であると仮定する。これはΔVout = ΔVoutgetとすることである。
そし統計的出力分布を仮定して(たとえば、あるσで与えられる正規分布として)第2の差ΔVoutからふたつの出力分布の重なり面積を計算し、重なり面積100%→反転確率50%→信頼度0、重なり面積0%→反転確率0%→信頼度1として、その間を適当な関数(たとえば直線補完)で補完する。
【0164】
(第2の信頼度設定方法の具体的な説明)
次に、第1の信頼度設定方法よりも精度の高い第2の信頼度設定方法について説明する。
図24(A)および図24(B)は、本実施形態に係る第2の信頼度設定方法を説明するための第1の図である。
図25(A)~図25(D)は、本実施形態に係る第2の信頼度設定方法を説明するための第2の図である。
次に、第1の信頼度設定方法よりも精度の高い第2の信頼度設定方法について説明する。
図24(A)および図24(B)は、本実施形態に係る第2の信頼度設定方法を説明するための第1の図である。
図25(A)~図25(D)は、本実施形態に係る第2の信頼度設定方法を説明するための第2の図である。
【0165】
第2の信頼度設定方法では、鍵生成部82は、鍵再生成時に得られるばらつき情報の2つの出力値の第1の差ΔVoutgetが、出力値の平均同士の第2の差ΔVoutと異なり、値を取得するごとに値が変動し、得られた第1の差ΔVoutgetが第2の差ΔVoutよりも大きい場合と小さい場合が確率的に存在することを前提として、第1の差ΔVoutgetが第2の差ΔVoutからずれる割合を考慮して信頼度の設定を行う。
鍵生成部82は、第1の差ΔVoutgetが、第2の差ΔVout+x(±α)となることを想定し、第1の差ΔVoutgetが第2の差ΔVoutからずれる割合を考慮した信頼度設定を行う。
鍵生成部82は、第1の差ΔVoutgetが、第2の差ΔVout+x(±α)となることを想定し、第1の差ΔVoutgetが第2の差ΔVoutからずれる割合を考慮した信頼度設定を行う。
【0166】
第2の信頼度設定方法では、ひとつずつの出力は最頻値の周りに一定のσで与えられる正規分布であると仮定する。これにより得られた出力が最頻値からずれて存在する確率を考慮して第2の差ΔVoutを確率ごとに計算する。
具体的には、図24(B)に示すように、得られた左の出力が最頻値から左にずれている量をa(右にずれている量は負になる)とし、右の出力が最頻値から右にずれている量をb(左にずれている場合は負になる)とする。
これにより、ΔVout = ΔVoutget-a-bとなる。
具体的には、図24(B)に示すように、得られた左の出力が最頻値から左にずれている量をa(右にずれている量は負になる)とし、右の出力が最頻値から右にずれている量をb(左にずれている場合は負になる)とする。
これにより、ΔVout = ΔVoutget-a-bとなる。
【0167】
aおよびbが取りうる確率は図25(A)~図25(D)に示すような考え方で計算する。
たとえばa(bも同様)の値が正規分布の平均値から±0.5σ内であれば平均値に寄せる。この時はa(b)=0である。次の1σの範囲に入る場合はa(b)=±1σに寄せる。さらにその外の範囲に入る場合はa(b)=±2σに寄せる。
a、bそれぞれの値に寄る確率は図25(D)に示す表のようになる。
この確率をΔVout = ΔVoutget-a-bから計算される第2の差ΔVoutより求められる信頼度とを掛け合わせ、すべての和を求める。その結果を図21(C)に示している。
たとえばa(bも同様)の値が正規分布の平均値から±0.5σ内であれば平均値に寄せる。この時はa(b)=0である。次の1σの範囲に入る場合はa(b)=±1σに寄せる。さらにその外の範囲に入る場合はa(b)=±2σに寄せる。
a、bそれぞれの値に寄る確率は図25(D)に示す表のようになる。
この確率をΔVout = ΔVoutget-a-bから計算される第2の差ΔVoutより求められる信頼度とを掛け合わせ、すべての和を求める。その結果を図21(C)に示している。
【0168】
図26は、本第2の実施形態に係る第1の信頼度設定方法および第2の信頼度設定方法、並びに、比較例としての一般的な硬判定ファジー抽出器を用いた判定方法の信頼度と第1の差ΔVoutgetとの関係を示す図である。
図26において、特性曲線C1が第1の信頼度設定方法による信頼度と第1の差ΔVoutgetとの関係を示し、特性曲線C2が第2の信頼度設定方法による信頼度と第1の差ΔVoutgetとの関係を示し、特性曲線C3が比較例である硬判定方法による信頼度と第1の差ΔVoutgetとの関係を示している。
図26において、特性曲線C1が第1の信頼度設定方法による信頼度と第1の差ΔVoutgetとの関係を示し、特性曲線C2が第2の信頼度設定方法による信頼度と第1の差ΔVoutgetとの関係を示し、特性曲線C3が比較例である硬判定方法による信頼度と第1の差ΔVoutgetとの関係を示している。
【0169】
図26からわかるように、第2の信頼度設定方法の方が第1の信頼度設定方法より精度が高い。
【0170】
(比較例としての硬判定ファジー抽出器および既存の軟判定ファジー抽出器の説明)
次に、比較例としての硬判定ファジー抽出器および既存の軟判定ファジー抽出器を説明する。そして、本実施形態に係るファジー抽出器、比較例としての硬判定ファジー抽出器および既存の軟判定ファジー抽出器のエラー訂正能力等について考察する。
次に、比較例としての硬判定ファジー抽出器および既存の軟判定ファジー抽出器を説明する。そして、本実施形態に係るファジー抽出器、比較例としての硬判定ファジー抽出器および既存の軟判定ファジー抽出器のエラー訂正能力等について考察する。
【0171】
(比較例としての硬判定ファジー抽出器の説明)
まず、比較例としての硬判定ファジー抽出器は基本的に図7のファジー抽出器を採用することができる。
まず、比較例としての硬判定ファジー抽出器は基本的に図7のファジー抽出器を採用することができる。
【0172】
なお、判定に使う誤り訂正符号に一次のリードマラー符号(RM符号)を使用している。この符号は比較的簡単な構造をしており,効率的に符号化が行える。
本実施形態においては、一次のRM符号の中で、規模の小さいRM(8,4,4)を使うと仮定した.これは、4ビットの情報ビットから8ビットの符号語を生成し、符号語間で最低4ビットのHD(ハミングディスタンス)を持つ。
そのため、本実施形態では、情報量4ビットで、8ビット中1ビットの誤りを訂正できる能力を持つ。このRM(8,4,4)を使うにあたって、PUFレスポンス8ビット中エラービットがnビット含まれる確率を求めた。
本実施形態においては、一次のRM符号の中で、規模の小さいRM(8,4,4)を使うと仮定した.これは、4ビットの情報ビットから8ビットの符号語を生成し、符号語間で最低4ビットのHD(ハミングディスタンス)を持つ。
そのため、本実施形態では、情報量4ビットで、8ビット中1ビットの誤りを訂正できる能力を持つ。このRM(8,4,4)を使うにあたって、PUFレスポンス8ビット中エラービットがnビット含まれる確率を求めた。
【0173】
復号についてRM(リ-ドマラ-)符号を用いてさらに説明する。
上記したように、RM(8,4,4)を例にとる。
符号長8ビット、情報量4ビットで、用いる符号を24=16個 (8bitフルなら28=256個のところ)にして、全ての符号の最小HD(ハミングディスタンス)を4ビットにしている。
上記したように、RM(8,4,4)を例にとる。
符号長8ビット、情報量4ビットで、用いる符号を24=16個 (8bitフルなら28=256個のところ)にして、全ての符号の最小HD(ハミングディスタンス)を4ビットにしている。
【0174】
次式で示す、RM(8,4,4)の基底ベクトルを用いて、
【0175】
【数4】
【0176】
4ビットの情報a1,a2,a3,a4に対してRM符号は次式で与えられる。
【0177】
【数5】
【0178】
4ビット全てに割り振られるRM符号は下記表1のようになる。
【0179】
【表1】
【0180】
下記の表2にノイズがある場合の再生成したレスポンスの符号と他の符号とのHDを示す。
ノイズ1ビットであれば、元の正解の符号とのHDが一番小さく、これを真の符号と判定することができる。一方、ノイズ2ビットであればHD2となる候補が複数存在し、真の符号を決められない。ノイズ3ビットtではHD最小が別の符号となり間違ってしまうことになる。
このようにRM(n, k, d)ではd/2-1bit までのノイズ(反転)まで再生可能な符号と言える。
ノイズ1ビットであれば、元の正解の符号とのHDが一番小さく、これを真の符号と判定することができる。一方、ノイズ2ビットであればHD2となる候補が複数存在し、真の符号を決められない。ノイズ3ビットtではHD最小が別の符号となり間違ってしまうことになる。
このようにRM(n, k, d)ではd/2-1bit までのノイズ(反転)まで再生可能な符号と言える。
【0181】
【表2】
【0182】
(比較例としての既存の軟判定ファジー抽出器の説明)
次に、比較例としての既存の軟判定ファジー抽出器について説明する。
次に、比較例としての既存の軟判定ファジー抽出器について説明する。
【0183】
既存の軟判定ファジー抽出器では、鍵の初期生成における前処理で複数回レスポンスを取得し、多数決処理を行うことでわかる最も高い確率で発生するレスポンスデータと信頼度情報を得ることが特徴である。
【0184】
【0185】
この相関復号では、事前に誤りやすいビットは信頼度(重み)を小さくし、誤りにくいビットは信頼度を大きくする。このとき、信頼度をつける前のビットの成分は1を-1に、0を+1に置き換えて後の計算を行う。
そして、HD(ハミングディスタンス)が一番小さくなる符号語を候補から選ぶのではなく、候補の符号語と信頼度付きのベクトルで内積を取り、計算結果を最大にする符号語を正しい符号語として選択する。図中、(x)を用いた式は各成分同士の乗算を表す。
そして、HD(ハミングディスタンス)が一番小さくなる符号語を候補から選ぶのではなく、候補の符号語と信頼度付きのベクトルで内積を取り、計算結果を最大にする符号語を正しい符号語として選択する。図中、(x)を用いた式は各成分同士の乗算を表す。
【0186】
たとえば、正しい符号語が(+1,-1,+1,-1)または(+1,+1,+1,+1)であり、エラーを含む出力結果が(+1,+1,+1,-1)であった場合には、信頼度情報がない場合はどちらもHDは1ビットとなりどちらが正しい符号語か判断できない。
ところが、信頼度として(+5,+1,+5,-5)という2ビット目の誤り確率が高いというデータが与えられていれば、2ビット目を誤った(+1,-1,+1,-1)が正しい符号語であったと予測できる。
ところが、信頼度として(+5,+1,+5,-5)という2ビット目の誤り確率が高いというデータが与えられていれば、2ビット目を誤った(+1,-1,+1,-1)が正しい符号語であったと予測できる。
【0187】
軟判定時の相関復号について説明する。
前述したように、後で内積を取るために0→1、1→-1と符号を変換する。
表3に示すように、反転し易いビットは小さいウェイト、反転し難いビットは大きいウェイトを付与する。得られた符号にウェイトをかけ、それぞれの符号との内積をとり、一番高いものを真の符号とする。
前述したように、後で内積を取るために0→1、1→-1と符号を変換する。
表3に示すように、反転し易いビットは小さいウェイト、反転し難いビットは大きいウェイトを付与する。得られた符号にウェイトをかけ、それぞれの符号との内積をとり、一番高いものを真の符号とする。
【0188】
【表3】
【0189】
表3、表4の例では3ビットまで反転しても真の符号を見いだせている。
反転した部分は内積計算で負の寄与をするが、反転しやすいbitの寄与はウェイトが小さいため、反転していない正の寄与に対し負の寄与は少なく、真の符号が内積最大値を取りえる確率が高くなる。
反転した部分は内積計算で負の寄与をするが、反転しやすいbitの寄与はウェイトが小さいため、反転していない正の寄与に対し負の寄与は少なく、真の符号が内積最大値を取りえる確率が高くなる。
【0190】
【表4】
【0191】
この既存の手法は通常の硬判定ファジー抽出器よりも高い訂正能力を持つが、信頼度情報をヘルパーデータの中に保管する必要がある。そのため、保管するデータの容量が大きくなる欠点を持つ。
【0192】
これに対して、本第2の実施形態の鍵再生成時に信頼度情報Qを採用した高い訂正能力をもった軟判定を行うことが可能なファジー抽出器820Bでは、CIS-PUFがPUFレスポンスを生成するたび、同時に対応するビットのソースフォロワトランジスタSF-Trペアの平均出力差(ΔVout)から、ビットの不安定さを推測できる。
この特性によって、CIS-PUFでは1回の試行(1枚画像)で信頼度を得ることができる。そのため、既存の軟判定ファジー抽出器とは違い、鍵の初期生成の際に必ずしも信頼度を付与した大きいヘルパーデータを作成する必要がなく、鍵の再生成時に、その都度信頼度を付与したPUFレスポンスを用意するという方法をとることができる。
さらに、信頼度を付与する分、硬判定ファジー抽出器よりも高い訂正能力が期待できる。
この特性によって、CIS-PUFでは1回の試行(1枚画像)で信頼度を得ることができる。そのため、既存の軟判定ファジー抽出器とは違い、鍵の初期生成の際に必ずしも信頼度を付与した大きいヘルパーデータを作成する必要がなく、鍵の再生成時に、その都度信頼度を付与したPUFレスポンスを用意するという方法をとることができる。
さらに、信頼度を付与する分、硬判定ファジー抽出器よりも高い訂正能力が期待できる。
【0193】
(実データによる評価)
次に、実データを用いたエラービットの訂正で能力の評価結果について述べる。まず、レスポンスに含まれるエラービットの割合を述べ、レスポンスに含まれたエラービットの数に応じた訂正能力ついて述べる。
次に、実データを用いたエラービットの訂正で能力の評価結果について述べる。まず、レスポンスに含まれるエラービットの割合を述べ、レスポンスに含まれたエラービットの数に応じた訂正能力ついて述べる。
【0194】
(実データとエラービット解析)
CIS-PUFに本実施形態に係る新・軟判定ファジー抽出器を適応させるにあたって、実際にどれだけの訂正能力が得られるのかを実データから確認する。実データとしては、5チップの出力データをそれぞれ100回試行(画像100枚)分用意した。
ここでは、前述したように、軟判定ファジー抽出器に使う誤り訂正符号に一次のリードマラー符号(RM符号)を使用する。この符号は比較的簡単な構造をしており、効率的に符号化が行えるため、ファジー抽出器の検討には向いているといえる。
今回は一次のRM符号の中で、規模の小さいRM(8,4,4)を使うと仮定した。これは、4ビットの情報ビットから8ビットの符号語を生成し、符号語間で最低4ビットのHD(ハミングディスタンス)を持つ。
そのため、情報量4ビットで、8ビット中1ビットの誤りを訂正できる能力を持つ。このRM(8,4,4)を使うにあたって、PUFレスポンス8ビット中エラービットがnビット含まれる確率を求めた。
CIS-PUFに本実施形態に係る新・軟判定ファジー抽出器を適応させるにあたって、実際にどれだけの訂正能力が得られるのかを実データから確認する。実データとしては、5チップの出力データをそれぞれ100回試行(画像100枚)分用意した。
ここでは、前述したように、軟判定ファジー抽出器に使う誤り訂正符号に一次のリードマラー符号(RM符号)を使用する。この符号は比較的簡単な構造をしており、効率的に符号化が行えるため、ファジー抽出器の検討には向いているといえる。
今回は一次のRM符号の中で、規模の小さいRM(8,4,4)を使うと仮定した。これは、4ビットの情報ビットから8ビットの符号語を生成し、符号語間で最低4ビットのHD(ハミングディスタンス)を持つ。
そのため、情報量4ビットで、8ビット中1ビットの誤りを訂正できる能力を持つ。このRM(8,4,4)を使うにあたって、PUFレスポンス8ビット中エラービットがnビット含まれる確率を求めた。
【0195】
評価においては、レスポンスの基準となる鍵の初期生成で用いるPUFレスポンスに、100回試行分の出力データを重ねることでランダムノイズをできる限り削減して生成した1/0データを使用する。
この基準デ-タと100枚それぞれの1枚データより得られる1/0デ-タとのHD(ハミングディスタンス)を求めることでエラービット数を求める。
ただし、8ビット当たりに含まれるエラービットを求めるため、1チップ1,920×270ビットのレスポンスを8ビットずつ切り取り、64,800ブロック分に分け,5チップ×64,800ブロック×100回試行分(約32M)で計測している。
この基準デ-タと100枚それぞれの1枚データより得られる1/0デ-タとのHD(ハミングディスタンス)を求めることでエラービット数を求める。
ただし、8ビット当たりに含まれるエラービットを求めるため、1チップ1,920×270ビットのレスポンスを8ビットずつ切り取り、64,800ブロック分に分け,5チップ×64,800ブロック×100回試行分(約32M)で計測している。
【0196】
図28は、エラービットの計測結果を示す図である。
図28からわかるように、CIS-PUFのレスポンスを8ビットずつ区切った場合、含まれるエラービットはほとんどが0ビット化1ビットであり、多くてもほぼ3ビット以内に収まる。
図28からわかるように、CIS-PUFのレスポンスを8ビットずつ区切った場合、含まれるエラービットはほとんどが0ビット化1ビットであり、多くてもほぼ3ビット以内に収まる。
【0197】
(本第2の実施形態に係る新・軟判定ファジー抽出器を通した場合のエラー訂正能力)
ここでは、上述したエラービット解析得た各1枚試行のレスポンスを実際にファジー抽出器に通し、訂正が成功するかを確認する。
ここでは、上述したエラービット解析得た各1枚試行のレスポンスを実際にファジー抽出器に通し、訂正が成功するかを確認する。
【0198】
図29は、本第2の実施形態に係る第1の信頼度設定方法および第2の信頼度設定方法、並びに、比較例としての一般的な硬判定ファジー抽出器を用いた判定方法のエラー訂正能力について示す図である。
レスポンスを通すファジー抽出器は硬判定方式、本実施形態に係る第1の信頼度設定方法および第2の信頼度設定方法の3通りを試した。図29は、8ビット中エラービットがnビット含まれていた場合の訂正が成功する確率を示している。
図29において、特性曲線C11が第1の信頼度設定方法によるエラービットと確率との関係を示し、特性曲線C12が第2の信頼度設定方法によるエラービットと確率との関係を示し、特性曲線C13が比較例である硬判定方法によるエラービットと確率との関係を示している。
レスポンスを通すファジー抽出器は硬判定方式、本実施形態に係る第1の信頼度設定方法および第2の信頼度設定方法の3通りを試した。図29は、8ビット中エラービットがnビット含まれていた場合の訂正が成功する確率を示している。
図29において、特性曲線C11が第1の信頼度設定方法によるエラービットと確率との関係を示し、特性曲線C12が第2の信頼度設定方法によるエラービットと確率との関係を示し、特性曲線C13が比較例である硬判定方法によるエラービットと確率との関係を示している。
【0199】
図29から、硬判定では1ビットのエラーしか訂正できなかった訂正能力が、本実施形態に係る新・軟判定を用いることによって向上していることが見て取れる。
新・軟判定ファジー抽出器では,硬判定で1ビットまでしか訂正できないRM(8,4,4)で2ビットエラーまではほぼ確実に訂正でき、3ビットエラーにおいてもいくらかの確率で訂正が成功している。
さらに、ランダムノイズによる第1の差ΔVout_getのずれを考慮した第2の信頼度設定方法においては、考慮しなかった場合よりも訂正能力が向上することが分かった。
また、図29では、3ビットエラーした場合の訂正能力に不安は残るが、図28からCIS-PUFのレスポンスにおいて8ビット内に含まれるエラービットの出現確率を考慮すると、本第2の実施形態に係る新・軟判定ファジー抽出器で訂正に1回失敗したとしても、複数回鍵の再生成処理を行えば正しい再生成鍵を作成することができると考えられる。
新・軟判定ファジー抽出器では,硬判定で1ビットまでしか訂正できないRM(8,4,4)で2ビットエラーまではほぼ確実に訂正でき、3ビットエラーにおいてもいくらかの確率で訂正が成功している。
さらに、ランダムノイズによる第1の差ΔVout_getのずれを考慮した第2の信頼度設定方法においては、考慮しなかった場合よりも訂正能力が向上することが分かった。
また、図29では、3ビットエラーした場合の訂正能力に不安は残るが、図28からCIS-PUFのレスポンスにおいて8ビット内に含まれるエラービットの出現確率を考慮すると、本第2の実施形態に係る新・軟判定ファジー抽出器で訂正に1回失敗したとしても、複数回鍵の再生成処理を行えば正しい再生成鍵を作成することができると考えられる。
【0200】
以上説明したように、本第2の実施形態によれば、鍵再生成時に信頼度情報Qを採用した高い訂正能力をもった軟判定を行うことが可能なファジー抽出器820では、CIS-PUFがPUFレスポンスを生成するたび、同時に対応するビットのソースフォロワトランジスタSF-Trペアの平均出力差(ΔVout)から、ビットの不安定さを推測できる。
この特性によって、CIS-PUFでは1回の試行(1枚画像)で信頼度を得ることができる。そのため、既存の軟判定ファジー抽出器とは違い、鍵の初期生成の際に必ずしも信頼度を付与した大きいヘルパーデータを作成する必要がなく、鍵の再生成時に、その都度信頼度を付与したPUFレスポンスを用意するという方法をとることができる。
さらに、信頼度を付与する分、硬判定ファジー抽出器よりも高い訂正能力が期待できる。
この特性によって、CIS-PUFでは1回の試行(1枚画像)で信頼度を得ることができる。そのため、既存の軟判定ファジー抽出器とは違い、鍵の初期生成の際に必ずしも信頼度を付与した大きいヘルパーデータを作成する必要がなく、鍵の再生成時に、その都度信頼度を付与したPUFレスポンスを用意するという方法をとることができる。
さらに、信頼度を付与する分、硬判定ファジー抽出器よりも高い訂正能力が期待できる。
【0201】
このように、本第2の実施形態によれば、信頼度情報を得るためのレスポンスの複数測定とヘルパーデータへの信頼度付与が不要で、初期鍵生成時にファジー抽出器(Fuzzy Extractor)の保存デ-タが増大することを防止でき、秘匿性の高い固有のレスポンスデータを生成することが可能で、ひいては画像の改ざん、ねつ造を確実に防止することが可能となる。
【0202】
なお、上記の鍵生成部82は、画素または読み出し回路40のばらつき情報に基づいて固有鍵を生成する例について説明したが、異なるばらつき情報により生成した固有鍵同士の演算を行って最終的な固有鍵を得るように構成することも可能である。
たとえば、次のように構成することも可能である。
たとえば、次のように構成することも可能である。
【0203】
すなわち、鍵生成部82は、たとえば、読み出し回路40のADC41、アンプ(AMP)42、またはS/H回路43のばらつき情報を用いて第1固有鍵を生成する第1機能と、読み出し回路40のカラムメモリ45のSRAMの出力を用いて第2固有鍵を生成する第2機能と、を含み、第1機能により生成された第1固有鍵と、第2機能により生成された第2固有鍵とを演算することにより最終的な固有鍵を生成するように構成することも可能である。
【0204】
この構成は、画素のばらつき情報に関しても同様に適用可能である。
【0205】
なお、一体化部85は、一体化する鍵情報を用いて階層的に画像部分にマスクをする機能を含むように構成してもよい。
また、一体化部85は、一体化する鍵情報を用いて画像に電子透かしを入れる機能を含むように構成してもよい。
また、一体化部85は、一体化する鍵情報を用いて画像に電子透かしを入れる機能を含むように構成してもよい。
【0206】
なお、本実施形態において、固体撮像装置10の各構成要素が同一パッケージ内に搭載されている構成を採用可能である。
【0207】
固体撮像装置(CIS)10とISP(Image Signal Processor)を同一パッケージに封止したSiP (Silicon in Package)にて、鍵および識別データを生成する信号処理をパッケージ内部にて完結し、パッケージ外部に固有鍵データを出力することなく、識別データを生成可能な構成を採用可能である。
【0208】
また、イメージセンサと信号処理回路とを備えたSoC (System on Chip)において、鍵および識別データを生成する信号処理をチップ内部にて完結し、チップ外部に固有鍵データを出力することなく、識別データを生成可能な構成を採用可能である。
【0209】
また、本実施形態の固体撮像装置10は、前述したように、通常の読出し駆動タイミングとは別に、リーク電流などを長時間蓄積するための駆動タイミングを備えるように構成可能である。また、アナログアンプ、デジタルアンプ、または、ADCのフルスケール電圧を縮小し、リーク電圧の蓄積電圧を強調して出力しても良い。また、複数行あるいは複数フレームのデータを平均化、または加算することで、ランダムノイズ成分を低減しても良い。
【0210】
また、読み出し回路40の構成回路のばらつき情報CFLCについて、情報取得部81は、読み出し回路40の構成回路のばらつき情報CFLCとして、ADCのばらつき情報を採用することができる。
また、情報取得部81は、読み出し回路40の構成回路のばらつき情報CFLCとして、アンプ(AMP、増幅器)のばらつき情報を採用することができる。
また、情報取得部81は、読み出し回路40の構成回路のばらつき情報CFLCとして、S/H回路のばらつき情報を採用することができる。
また、情報取得部81は、読み出し回路40の構成回路のばらつき情報CFLCとして、カラムメモリのSRAMの出力(ばらつき)情報を採用することができる。
また、情報取得部81は、読み出し回路40の構成回路のばらつき情報CFLCとして、アンプ(AMP、増幅器)のばらつき情報を採用することができる。
また、情報取得部81は、読み出し回路40の構成回路のばらつき情報CFLCとして、S/H回路のばらつき情報を採用することができる。
また、情報取得部81は、読み出し回路40の構成回路のばらつき情報CFLCとして、カラムメモリのSRAMの出力(ばらつき)情報を採用することができる。
【0211】
以上説明した固体撮像装置10,10Aは、デジタルカメラやビデオカメラ、携帯端末、あるいは監視用カメラ、医療用内視鏡用カメラなどの電子機器に、撮像デバイスとして適用することができる。
【0212】
図30は、本発明の実施形態に係る固体撮像装置が適用されるカメラシステムを搭載した電子機器の構成の一例を示す図である。
【0213】
本電子機器400は、図30に示すように、本実施形態に係る固体撮像装置10,10Aが適用可能なCMOSイメージセンサ(IMGSNS)410を有する。
さらに、電子機器400は、このCMOSイメージセンサ410の画素領域に入射光を導く(被写体像を結像する)光学系(レンズ等)420を有する。
電子機器400は、CMOSイメージセンサ410の出力信号を処理する信号処理回路(PRC)430を有する。
さらに、電子機器400は、このCMOSイメージセンサ410の画素領域に入射光を導く(被写体像を結像する)光学系(レンズ等)420を有する。
電子機器400は、CMOSイメージセンサ410の出力信号を処理する信号処理回路(PRC)430を有する。
【0214】
信号処理回路430は、CMOSイメージセンサ410の出力信号に対して所定の信号処理を施す。
信号処理回路430で処理された画像信号は、液晶ディスプレイ等からなるモニタに動画として映し出し、あるいはプリンタに出力することも可能であり、またメモリカード等の記録媒体に直接記録する等、種々の態様が可能である。
信号処理回路430で処理された画像信号は、液晶ディスプレイ等からなるモニタに動画として映し出し、あるいはプリンタに出力することも可能であり、またメモリカード等の記録媒体に直接記録する等、種々の態様が可能である。
【0215】
上述したように、CMOSイメージセンサ410として、前述した固体撮像装置10,10Aを搭載することで、高性能、小型、低コストのカメラシステムを提供することが可能となる。
そして、カメラの設置の要件に実装サイズ、接続可能ケーブル本数、ケーブル長さ、設置高さなどの制約がある用途に使われる、たとえば、監視用カメラ、医療用内視鏡用カメラなどの電子機器を実現することができる。
そして、カメラの設置の要件に実装サイズ、接続可能ケーブル本数、ケーブル長さ、設置高さなどの制約がある用途に使われる、たとえば、監視用カメラ、医療用内視鏡用カメラなどの電子機器を実現することができる。
【符号の説明】
【0216】
10,10A・・・固体撮像装置、20,20A・・・画素部、30・・・垂直走査回路、40・・・読み出し回路、44・・・クリップ回路、50・・・水平走査回路、60・・・タイミング制御回路、70・・・信号処理回路、80・・・レスポンス生成部、81・・・情報取得部、82,82A・・・鍵生成部、820,820B・・・ファジー抽出器、821・・・初期鍵生成部、8211・・・PUFレスポンス入力部(Response)、8212・・・真性乱数生成器(Random)、8213・・・符号化部(Encode)、8214・・・排他的論理和回路(XOR)、8215・・・第1のハッシュ(Hash)部、822,822B・・・鍵再生成部、8226・・・信頼度情報取得部、83・・・画像データ生成部、84・・・識別データ生成部、85・・・一体化部、86・・・メモリ、90・・・読み出し部、10・・・CR認証システム、200・・・CIS-PUFチップ、300・・・マイクロコンピュータ(マイコン)、400・・・電子機器、410・・・CMOSイメージセンサ(IMGSNS)、420・・・光学系、430・・・信号処理回路(PRC)。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】