专利名称::具有防篡改和抗老化系统的物理不可克隆函数的利记博彩app
技术领域:
:本发明涉及一种用于生成识别性响应样式(identifyingresponsepattern)的系统,其包括一个用作物理不可克隆函数(physicallyunclonablefunction)的存储器,所述存储器包括多个可重写的(reiritable)存储位置,每个存储位置具有至少两个可行的(possible)逻辑状态;以及一个输入端,其用于接收激活信号以使得每个存储位置进入其可行的逻辑状态之一,所进入的状态依赖于所述存储器的物理的、至少部分随机的特性,且由此生成对识别所述系统有用的逻辑状态响应样式(responsepattern)。本发明还涉及一种生成识别性响应样式的方法,并且涉及一种相应的计算机程序。
背景技术:
:物理不可克隆函数(PUF)是如下的函数,其被实现为一个物理系统(physicalsystem),以使得通过如下方式来得到该函数针对输入的输出给该物理系统提供激励形式的输入,以及将由所述激励与所述物理系统之间的交互引起的行为映射到输出。其中所述交互是不可预测的,且本质上依赖于该物理系统中的随机元素,以至于在没有物理访问所述物理系统的情况下不能得到所述输出,并且不能再现(reproduce)所述物理系统。优选地,PUF也易于评价(evaluate)。对于实际使用,PUF优选地制造成本低。常规上,PUF接受的输入或激励被称为“询问(challenge)”。PUF的输出,即PUF在与所述激励交互之后呈现的行为,被称为“响应”。包括PUF的询问和相应响应的一个对(pair)被称为一个询问-响应对。一些类型的PUF允许宽范围的不同输入,一些类型允许更有限范围的输入,或者甚至可以仅允许单个输入。用某个单个询问对PUF进行询问也可以被称为该PUF的“激活”。更优选的是,如果用相同的询问对一个PUF进行多次评价,该PUF会产生全都相同的多个响应。然而这个属性不是必要的,并且在实践中大多数PUF不具有这个属性。只要所述多个响应彼此足够接近,就可以有效地应用该PUF。由于在不访问该系统的情况下不能预测激励与该物理系统之间的交互,所以难于对该PUF进行表征和建模。因此,仅能使用该特定PUF下层的特定物理系统来得到该特定PUF的针对输入的输出。拥有询问-响应对证明了,在某点,该询问被提供给该PUF下层的独一无二的物理系统。因为这个属性,即询问-响应对与独一无二的物理装置联系的属性,PUF被称为不可克隆的。通过给一个装置配备PUF,该装置也变得不可克隆。通过(至少部分)不可控(uncontrollable)的制造方法(即不可避免会引入一些随机性的制造方法)来生产的物理系统被证明是PUF的好的候选。PUF的一个优点是它们固有地拥有抗篡改(tamperresistant)性质为了研究PUF的工作原理而将该PUF分解也会干扰所述随机元素,因此也会干扰输入到输出的映射方式。本领域中已知多种类型的PUF,包括多种类型的电子PUF,包括多种类型的基于电子存储器的PUF。PUF也可以基于其他概念,例如光学PUF。构建PUF的一种方式使用了静态随机存取储存器(SRAM);这些PUF被称为SRAMPUF。SRAM具有如下属性在它们上电之后,它们就被填充了开位(on-bits)和关位(off-bits)的随机样式。虽然如果该SRAM下次上电时该样式可能不会确切重复自己,但是两个这种样式之间的差别通常比此状态下的位的数目的一半小得多。第二种S-RAMPUF是用双端口RAM构建的。通过同时在两个端口上写入不同的信息,即用不同信息询问该RAM,存取器单元(memorycell)被带入未定义状态,这显示了类PUF行为(PUF-likebehavior)。由于制造过程中不可避免的变异,SRAM的部件相对于彼此的配置是至少稍微随机的。这些变异反映在,例如,该SRAM的存储器单元中的晶体管的稍微不同的阈值电压。当该SRAM以未定义状态被读出时(例如在写动作之前),该SRAM的输出依赖于随机配置。制造具有相同特性行为的新SRAM要求制造具有相同配置的SRAM,该配置是随机获得的。因为这是无法实现的,所以该SRAM作为一个物理系统是不可克隆的,即该SRAM是一个PUF。PUF的另一个实例是所谓的蝶形PUF。该蝶形PUF包括多个蝶形PUF单元。一个蝶形PUF单元包括两个锁存器(latches)或触发器(flip-flops)的交叉耦合。该蝶形PUF可以被实现在现场可编程门阵列(FPGA)上,即使该FPGA不包括SRAM。该蝶形PUF可被视为SRAM存储器单元的模拟,其使用在FPGA上可提供的元件。蝶形的运行方式也与SRAM的运行方式相似。蝶形PUF也能够从实现该蝶形PUF的集成电路的复杂物理特性中提取秘密。在下面的论文中更全面地解释了蝶形PUF:SandeepS.Kumar,JorgeGuajardo,RoelMaes,Geert-JanSchrijen,PimTuyls,"ThebutterflyPUFprotectingIPoneveryFPGA,",pp.67-70,2008IEEEInternationalWorkshoponHardware-OrientedSecurityandTrust,2008。在公开号为W02009/024913的国际专利申请“identificationofdevicesusingphysicallyunclonablefunctions”中也描述了蝶形PUF,该申请通过弓丨用纳入本文。尤其见图8和10以及相应的描述。PUF的一个应用是在电子电路上得出密码密钥(cryptographickey)。该电子电路通常包括集成电路(IC)和/或可编程逻辑。该可编程逻辑包括,例如,现场可编程门阵列(FPGA)、可编程逻辑器件(PLD)或数字信号处理器(DSP)、微处理器等。并非把密码密钥存储在某种非易失性存储器中,而是仅在该装置需要该密钥的时候才从该PUF生成该密钥。在不再需要该密钥时,可以删除该密钥。在下次需要该密钥时,可以再次从该PUF得到该密钥。由于在用相同询问进行两次评价时该PUF可能不会给出确切相同结果,所以可以使用所谓的辅助数据算法(也被称为模糊提取器(FuzzyExtractor))来确保该密钥每次被得出时是相同的。例如,国际专利申请W02006/129242“TemplateRenewalinHelperdataSystems”中描述了一种使用辅助数据来从噪声测量值构建可再现值的方法,该申请通过引用纳入本文。—种使用PUF来产生密码密钥的方式如下。首先,在注册阶段(enrollmentphase)产生询问-响应对。然后,使用模糊提取器产生辅助数据。在该装置上,询问和辅助数据被存储在非易失性存储器中。为了得出该密码密钥,通过再次针对该询问评价该PUF来得到一个新响应。通过根据辅助数据算法将所述新响应与所存储的辅助数据结合,得出密钥。所述辅助数据确保该密钥每次被得出时是相同的。在没有PUF的情况下,攻击者可以通过向通常存储密钥的非易失性存储器发动物理攻击来恢复该密码密钥。例如,该攻击者可以打开该存取器并探测其内容。使用PUF使得这种攻击难得多,这是因为所寻求的PUF样式仅在该PUF被激活的时候才物化(materialize)。此外,打开该PUF通常会干扰该PUF与输入交互的精确方式。据此,该攻击者从他的探测获知的信息与被用来产生该密码密钥的交互无关。这使得攻击者更难于使用物理攻击来找到该密钥。换言之,攻击者不能侵入式打开包括PUF的芯片,因为他需要该芯片工作以使得该PUF样式物化,并且因为打开该芯片会毁坏该PUF产生该PUF样式的能力;另一方面,他必须打开该芯片,否则他就无法访问该秘密的PUF样式。不幸的是,可能存在使攻击者脱离这个两难困境的方法。在基于电子存储器的PUF已被激活之后将其冻结,可以使得PUF样式变得暂时固定在该存储器中,即使该芯片被抑制(deactivate)和打开。该样式变得仿佛被冻结在该存储器中。在冻结该存储器之后,攻击者可以拆开该芯片,并确定该芯片在冻结之时的存储内容。在以下论文中讨论了类似的攻击Halderman,A.J.,S.D.Schoen,N.Heninger,ff.Clarkson,ff.Paul,J.A.Calandrino,A.J.Feldman,J.Appelbaum,andE.ff.Felten(2009).Lestweremembercold-bootattacksonencryptionkeys.Commun.ACM52(5),91-98。通过从该系统中取出该存储器并在一个不同的系统中读取其内容,在存储器已冻结之后对其进行检查可以是可行的。对抗这种攻击的对策是把用作PUF的存储器集成在该系统中,而不是使用可以从该系统分立地取出的分立存储装置。甚至在后一情况下,即在该存储器是该系统的集成部分的情况下,也可以通过打开该芯片并使用电子显微镜查看内部来检查该存储器冻结时的内容。可以通过低技术手段,诸如用倒置的一罐多用途防尘喷雾剂(也称为“罐装空气”)喷射存储芯片,来冻结存储器。保持该罐倒置会产生所要求的低温。一种更先进的技术是向存储芯片施加液氮。发现后一方法会产生更好的结果,即更多的存储器单元保持了冻结之前它们在运行中具有的值。注意,存储器可能易受到无需冻结的非法访问,例如,通过使用刺入总线中的细微探针或针来探测通向所述存储器的总线。然而,我们把可以对存储器在运行使用中的内容进行非法访问的所有类型的攻击统称为冻结攻击。现有技术的一个问题是基于电子存储器的PUF可能易受到冻结攻击。
发明内容本发明的一个目的是避免或减轻基于PUF的存储器易受冻结攻击的性质。该目的以及其他目的通过本发明的用于生成识别性响应样式的系统来达到。所述用于生成识别性响应样式的系统包括一个用作物理不可克隆函数的存储器。所述存储器包括多个可重写的存储位置。每个存储位置具有至少两个可行的逻辑状态。所述存储器具有一个输入端,该输入端用于接收激活信号以使得每个存储位置进入其可行的逻辑状态之一。所进入的状态依赖于所述存储器的物理的、至少部分随机的特性。由此生成对识别所述系统有用的逻辑状态响应样式。所述系统还包括一个存储器改写装置(memory-overwritingdevice),该存储器改写装置被配置为改写所述多个存储位置的至少第一部分以消隐(obscure)所述存储器中的响应样式。在所述系统开启时,所述存储器被激活,这使得所述存储位置包含一序列(asequenceof)逻辑状态,即响应样式。所述一序列逻辑状态依赖于所述存储器中存在的物理(例如结构性的)变异,因此适于识别所述装置所述响应样式可以用多种方式使用。示例应用包括识别所述装置或其拥有者,保护密钥生成和/或存储,等等。例如,它可以用于以下识别。所进入的逻辑状态的序列可以被与同一存储位置在所述装置先前开启时的内容进行比较,并且如果这两个序列的差异位置少于在不同开启之间的响应样式的自然偏差所能解释的,则可以确定这两个序列是从同一装置得到的。即,识别了所述装置。这类识别作为防伪对策是有用的。例如,数据库可能填充了从(例如工厂中的)所有已知真系统(genuinesystems)得到的响应样式。在该领域中,可以通过将一个系统的响应样式与所述数据库中的所有响应样式进行比较来验证所述系统是否是真的。存在使用所述响应样式的许多其他方式。例如,使用所谓的辅助数据,可以纠正所述响应样式与在先前开启所述存储器时得到的响应样式之间的偏差。从已纠正的响应样式可以得出密码密钥。密码密钥可以用于多种功能,包括验证、加密、解密等。在已使用存储器内容之后,例如在已得出密码密钥之后,可以通过使用所述存储器改写装置来防止所述系统受到冻结攻击。所述存储器改写装置被配置为改写所述多个存储位置的至少第一部分,以消隐所述存储器中的响应样式。改写所述存储位置以及消隐所述存储位置中的逻辑状态是对抗所述冻结攻击的对策。可以通过多种方式来改写所述第一部分以消隐其内容。例如,一个固定值(例如零或十六进制值“ff”)可以被用来改写所述第一部分。替代地,可以用随机数据来改写所述第一部分。所述随机数据可以是,例如,伪随机数据、真随机数据或其组合。所述第一部分可以是固定的,例如,所述第一部分的存储位置可以被贮藏在所述系统的一个存储器中。所述第一部分也可以作为随机生成处理的结果(可能是伪随机地)而被确定。此时,攻击者冻结所述存储器,并且打开所述芯片或以其他方式访问所述存储器,他发现所述存储器在第一部分的内容被消隐了。即,存在于所述第一部分中的逻辑状态(例如值)对于该攻击者是无用的。本发明人认识到,一般不必消隐全部所述多个存储位置。仅需要把所述多个存储位置的信息内容减少到攻击者不再能利用的水平,或者至少把它减少到使攻击显著更难的水平。通过部分消隐所述逻辑状态(这些逻辑状态可能会通过冻结攻击而被得到),减少了所述响应样式上的或从所述响应样式得出的实体(诸如密码密钥)上的信息量。据此,使得冻结攻击更加困难。例如,在第一识别实施例中,当前响应样式与先前从所述存储位置读取的响应样式之间的差别大到不能再由所述存储器中自然出现的变异来解释就足够了。据此,攻击者不能使用在冻结之后得到的逻辑状态来愚弄(spoof)所述系统。“愚弄”指的是如下情形攻击者可以能够建立一个在某些方面行动与所述真装置不可区分的装置。注意,甚至得到所述响应样式的拷贝的攻击者也不能够克隆所述装置,因为他不能产生具有与真装置相同的开启特性的存储器。因此,在物理水平上,真装置与其拷贝是可区分的。可以想象攻击者利用被设计用来纠正所述响应样式中的误差(errors)的辅助数据,所述辅助数据可能已由所述攻击者以一些可能非法的方式得到。然而,使用这样的辅助数据仅能纠正有限数目的误差。能纠正多少误差依赖于在构建所述辅助数据的过程中使用的参数。只要所述第一部分足够大以保证所述存储器中存在的误差的数目大于用所述辅助数据能纠正的误差的数目,就显著阻碍了冻结攻击,如果没有完全挫败冻结攻击的话。即使所述第一部分的大小不能保证所述存储器中存在的误差的数目大于用所述辅助数据能纠正的误差的数目,在所述第一部分之外自然出现的误差也可以足够至少使得攻击者的攻击很可能难得多。注意到,依赖于采用所述辅助数据的纠错机制,在所述第一部分中的位置被消隐的响应样式中存在的信息仍可能(至少在信息理论上)给攻击者提供某个小的有利条件。然而,通过使得所述第一部分足够大,可以使得这个有利条件小到期望的程度。所述系统可以被包含在多种不同装置中。例如,所述系统可以被包含在移动电话、计算机、笔记本电脑、上网本、机顶盒、访问控制系统、智能卡、RFID标签、路由器、微控制器中。一般,所述系统可以有用地用在任何如下装置中,该装置需要存储或生成用于任何密码目的的密码密钥,或者需要生成很可能对于该装置是独一无二的串(string)(即识别该装置的串)。所述响应样式(可能在误差已被纠正(例如使用辅助数据)之后)可以用于生成密码密钥。在后一情况中,所述系统可以被视为一个用于生成密码密钥的系统。所述存储器可以是随机访问存储器、易失性存储器等。例如,所述存储器可以包括SRAM、双端口RAM或蝶形PUF。实际上,所述存储器可以是任何种类的可用作PUF的存储器,所述存储器易受到如下攻击,该攻击至少暂时固定所述存储器的内容以使得可以用某种侵入方式检查所述存储器并且可以改写所述存储器。可以采取至少两个可行的逻辑状态的一个存储位置将被称为能够存储一个“位(bit)”。这两个值将被表示为“O”和“I”。注意,某些类型的存储器允许多于两个可行的逻辑状态。例如,多层(multi-leveled)存储位置可以能够存储例如四个电压水平,从而能够存储四个值。用于接收激活信号的输入端可以是用于给所述存储器上电的电源线。例如,SRAM的存储位置一旦受电就会进入一个逻辑状态。对于双端口RAM,所述激活信号也可以包括同时在这两个端口上写入不同信号。所述存储器的物理的、至少部分随机的特性可以包括,例如,构成所述存储器的部件的轻微结构性变异。例如,不同存储位置和不同存储器使用的确切材料可能存在差别。例如,掺杂水平可能不同。可以用多种方式对存储位置进行改写,例如,用固定值、用预定固定序列、或用真随机序列。预定固定序列可以是用伪随机数生成器(PRNG)生成的。伪随机数生成器是一种用于生成与随机数属性近似的一序列数的算法。已知实例包括线性同余生成器(linearcongruentialgenerators)以及线性反馈移位寄存器(linerfeedbackshiftregisters)。PRNG通常从种子开始。所述种子可以被固定在所述系统中,例如在非易失性随机访问存储器(例如闪存)中。所述种子也可以被固定在ROM中,例如作为程序代码的一部分。所述种子也可以是从所述PUF中得出的。也可以使用无种(seed-less)PRNG,例如无理数(诸如Pi)的数位(digits)。流密码(streamciphers)形成了PRNG的又一个实例。它们也可以被用来通过生成密钥流来生成预定固定序列。所述系统可以包括一个存储器读取装置,该存储器读取装置被配置为从所述存储器读取所述响应样式。优选地,所述存储器在所述开启序列中非常早地被擦除,从而避免正好在开启和改写之间受到冻结攻击。在一个实施方案中,所述系统包括一个辅助数据存储器,所述辅助数据存储器包括纠错数据,该纠错数据用于纠正所进入的逻辑状态与先前从所述多个存储位置读取的逻辑状态之间的偏差。对于一些应用,期望的是,在所述系统的任意开启之后生成的响应是相同的。对于许多类型的存储器,当它们用作PUF时,不能保证这一点。大多数存储位置在多次接收所述激活信号之后(例如在所述系统多次冷启动(cold-booted)或开始之后)会进入相同逻辑状态。然而,一些存储位置可能有时在多次接收激活信号之后进入不同的逻辑状态。如果要从所述响应样式得到密码密钥,则这是不期望的。处理该问题的一种方式是将所述存储位置的一个读数(read-out)指定为特殊(special)读数(经常被称为注册数据)。所述辅助数据包含纠错数据,以纠正所述响应样式与所述注册数据的偏差。例如,所述辅助数据可以包括由所述注册串的多个子集计算出的奇偶校验位(paritybits)。替代地,所述辅助数据可以包含所述注册数据的异或和(exclusive-orsum)以及来自纠错码的码字,所述纠错码具有至少与所述多个存储位置中的位一样多的位。在一个实施方案中,所述第一部分包括全部所述多个存储位置。改写全部所述多个存储位置从而消隐其内容以免攻击者在冻结攻击期间看到具有如下优点所述攻击者通过使用这类攻击不会得知任何信息。在一个实施方案中,所述存储器改写装置被配置为改写所述辅助数据存储器。通常,当必须再次修复所生成的响应中的偏差时,一旦下一次使用所述系统,就需要所述辅助数据存储器的内容。然而,在一些情形下,不会再次需要所述辅助数据。例如,在被布置为仅被使用预定的有限次数的系统中,在所述系统被使用了所允许的最后一次之后,所述辅助数据可以被毁坏。例如,用在允许进入场地的门票中的RFID标签可以旨在仅使用一次。一旦所述门票已被用过,所述RFID标签就可以毁坏所述辅助数据。由此降低了攻击者以某种方式改变所述门票以使得它可以被再次使用的风险。可能期望毁坏所述辅助数据的第二种情况是在如下情形中所述系统已检测到篡改尝试,例如通过使用包含在所述系统中的攻击检测器。例如,在所述系统的芯片中,可以嵌入一个光传感器。由于所述光传感器位于所述芯片的覆层(coating)之下,它在正常情况下检测不到光。然而,如果所述芯片的覆层被去除以使得容易访问所述芯片的存储器,则所述光传感器会检测到光。在这种情形下,所述系统可以合理地确信有人故意篡改其正常运行,即,所述系统受到攻击。在这种情况下,审慎之举是删除可能对攻击者有帮助的所有信息(诸如所述辅助数据)。类似地,如果检测到篡改,就可以扩展所述第一部分。例如,正常地所述系统可以仅改写其存储位置的一部分,或完全不改写其存储位置,但是在攻击检测器检测到攻击之后,所述系统可以改写全部所述存储位置。在一个实施方案中,所述系统包括一个篡改标志(tamperingflag)。所述存储器改写装置被配置为在所述篡改标志被置位(set)的条件下进行改写。篡改标志可以被实现为闪存,或者被实现为电可烧断的熔丝(electricallyblowablefuse)等。所述标志可以被攻击检测器置位。篡改标志是对攻击检测器的有用扩展。考虑已检测到攻击的情形。如果所述PUF没有因攻击而损坏或者至少没有足够严重地损坏,则攻击者可能会抑制所述系统并且重新激活所述PUF,以使得所述PUF采取其通常的开启样式。然而,在具有篡改标志的情况下,这种方案对于攻击者不会有效。所述系统检测到所述标志被置位,并且擦除所述存储器。攻击者讨厌的是他正在攻击的装置刚检测到他的单个篡改尝试就马上就变得无用。优选地,所述篡改标志是一个一次写入(write-once)存储器,诸如可烧断的熔丝。在一个实施方案中,一旦检测到所述篡改标志已被置位,所述第一部分的大小就增加。例如,它增加到覆盖全部所述多个存储位置。在一个实施方案中,所述存储器改写装置被配置为用固定值(例如零)改写所述多个存储位置的所述第一部分。用固定值改写可以非常快地进行,且不要求随机数生成器。然而这种类型的改写存在缺点。考虑所述第一多个中的每个位置表示所述存储器的一个字节的情形,并且考虑这些字节被用零字节改写。虽然一些零字节会自然出现,但是看到该存储器的攻击者可能会合理地假定所有零字节都与所述第一部分的字节对应,即与已改写的字节对应。虽然他仍不知道原始值是什么,但是他至少知道大致引入了多少误差以及在哪里引入了误差。如果所述第一部分非常大,尤其如果所述第一部分包括全部所述多个存储位置,则该缺点不会出现。在一个实施方案中,所述第一部分表示分布在全部所述多个存储位置上的位位置(bit-locations)。由于O(或I)位相对经常出现,这避免了上述问题。那些假定所有零位都与已改写的位对应的攻击者会造成比较大的误差,至少与字节被改写的情形相比。在一个实施方案中,所述存储器改写装置被配置为用一序列随机值来改写所述多个存储位置的所述第一部分。用作PUF的存储器的正常启动样式通常看起来是随机的。因此,如果一序列随机值被用于改写所述第一部分中的位置,则攻击者将不能够区分已改写的位置和未改写的位置。在该实施方案中,所述第一部分中的位置针基于的是位还是字节并没有区别。使用这种类型的改写会使得所述攻击者的处境稍微更坏;所述攻击者现在仅能猜测位置被改写了,而不知道哪些位置被改写了。他既不知道哪些位置被改写了,也不知道多少位置被改写了。在一个实施方案中,所述系统包括一个异或装置,其中所述存储器改写装置被配置为,通过向所述多个存储位置中的所述第一部分的对应位置写入所述对应位置的进入状态(enteredstate)与来自一序列随机值的一个对应值的异或,来消隐所述存储器中的响应样式。异或装置可以包括异或门。一些存储器可以仅在每次启动循环(boot-cycle)才接收所述激活信号。为了更经常地重新生成所述响应样式,所述存储器必须被抑制并且被重新激活。这样的循环花费了相对长的时间,而且具有如下缺点存储在所述存储器中的任何内容,甚至存储在所述存储器的在所述多个位置之外的位置中的数据,都丢失了。然而,出于安全原因,可能期望能够重构(reconstruct)所述密钥。例如,所述密码密钥在使用之后可能已被擦除,以避免意外暴露(例如因软件缺陷)。当以后再次需要所述密钥时,必须重新计算。如果所述PUF存储器的足够大的第一部分已被改写,则这是不可能的。该实施方案解决了这个问题。通过用所述存储位置在开启之后进入的逻辑状态与一个随机值的异或来改写所述存储位置,可以以后通过再次执行目前存储值与该随机值的所述异或来重构所述逻辑状态。目前存储值是所述异或的结果以及在开启之后进入的逻辑状态。所述异或具有如下性质用一个固定值应用所述异或两次会撤销所述异或的作用。另一方面,至少对于不知道所述随机值的人,比如攻击者,逻辑状态与随机值的异或本身就是一个随机值。因此保持了消隐所述存储器的效果。在一个实施方案中,所述多个存储位置的所述第一部分和/或所述一序列随机值是通过对一个固定的随机数种子应用伪随机函数来获得的。可想到,攻击者以某种方式设法不止一次地得到了所述存储器在操作使用期间的读数。因为对所述第一部分进行了消隐,所以所述攻击者不能够使用任何一个所得到的响应样式。所述攻击者不知道所得到的逻辑状态中的哪些是正确的,也不知到多少是正确的。然而,如果所述攻击者能比较两个响应值,则他能够通过留意哪些存储器位置是相同的以及哪些存储器位置是不同的来达到这个目的。虽然不同存储器位置中的一些是由自然变异导致的,但是大多数差别是由对所述第一部分应用消隐导致的。如果在所述第一部分中的位置不同,则所述攻击者知道在那些进一步得到的响应样式中发生变化的存储位置中发现的逻辑状态之一很可能是正确的。如果所述攻击者对应于多于两个的激活得到了多于两个的响应样式,则所述攻击者可以对每个存储位置的内容使用多数派投票(majorityvoting)的方式来确定所述存储位置很可能的内容。通过确保所述第一部分中的位置在每次激活之后是相同的,可以避免这个问题。另一方面,人们希望所述第一部分的内容是随机的。这个问题可以通过并非真随机地而是根据伪随机数生成器来选择所述第一部分中的位置来解决。类似地,如果用来改写所述第一部分中的位置的值在新的激活之后改变,则这给攻击者指出了哪些位置在所述第一部分中。为了避免甚至把这些信息泄露给攻击者,用于改写的值可以被选择为在每次激活之后是相同的。可以通过根据伪随机数生成器选择所述一序列随机数来达到这个目的。尤其,如果所述消隐使用了所述异或装置,则有利的是使用一个伪随机数生成器。当所述消隐必须被撤销时,可以重新生成和重新应用所述第一部分和所述随机序列。不需要存储所述第一部分和/所述一序列随机值,仅需要所述种子。在一个实施方案中,所述一序列随机值的至少一部分是真随机的,并且所述一序列随机值的至少一部分是通过对固定的随机数种子应用伪随机函数来得到的。在该实施方案中,用于改写的数据甚至更接近地与攻击者从PUF预计的数据类型相像。考虑设法得到存储器的相对大数目的多个测量值的攻击者。假设在某个存储位置所述攻击者总是看到相同的存储值。那么所述攻击者可以继而进行如下推理。如果该存储位置不是所述第一部分的一部分,那么它会经常是相同的值,但不总是,因为自然可变性(variability)会导致测量数据中有一些变化。因此,如果该值总是相同的,则它很可能是所述第一部分的一部分。通过对全部所述存储位置进行这个观察,所述攻击者能够在很大程度上推断哪个存储位置在所述第一部分中以及哪个存储位置不在所述第一部分中。即,所述攻击者会假定在他的测量中从不改变的存储位置属于所述第一部分,并且所有那些有时改变的存储位置不属于所述第一部分。因此,通过在用来改写所述第一部分的数据中引入一点噪声,就更难于区分所述第一部分与真实数据(realdata)。优选地,真随机的随机序列中的字节的数目近似相同于一个存储位置中的一个字节与其通常开启值不同的概率。在一个实施方案中,所述随机数种子依赖于识别性响应样式。优选地,所述固定种子依赖于所述PUF,而不是依赖于预定的存储值。如果攻击者设法得到同一系统的不同情况的响应样式,则他可以比较这两个响应。如果这两个响应使用相同的第一部分,则它们的响应样式会确切地在所述第一部分中的那些存储位置处一致。如果所述种子依赖于所述PUF,则这可以被避免。优选地,所述种子依赖于所述注册数据,即,依赖于所述响应样式的已纠正版本。在一个实施方案中,在重复施加所述激活信号之后,所述响应样式的生成易于退化(degradation)。所述系统的该实施方案包括一个抗退化装置,其被配置为向所述多个存储位置的第二部分的每个对应位置写入先前从所述第二部分的该对应位置读取的逻辑状态的逆(inverse),所述第二部分优选地与所述第一部分不相交(disjoint)。已经发现,诸如SRAM之类的存储器以及更普通地那些基于反馈效应的存储器(诸如交叉耦合锁存器、触发器、晶体管等)在重复施加所述激活信号之后易于退化。即,在所述系统已被重复激活之后,从所述存储器获得的响应样式偏离(driftaway)注册数据。与所述存储器的先前读数相比,越来越多的存储位置在被激活时进入不同的逻辑状态。这种退化效应也被称为“老化(aging)”。如果所述PUF要被更长期地以及在很多次开启之后使用,这个现象尤其存在问题。上至某一点,纠错机制可以通过纠正新偏差来纠正这个行为,但是在某一点,所述响应样式会包含太多的误差而不能纠正。可以导致这个成问题的退化的一个机制是负偏置温度不稳定性(NBTI),也被称为烧进(burn-in)。NBTI使得在pMOS晶体管的负偏置条件下生成界面讲(interfacetrap),由此使得其阈值电压降低。结果是,受到影响的存储器单元的开启行为随时间而变化。观察到,可以通过用先前读取的值的逆改写存储器单元来降低所述退化效应。达到这个目的有几种方式。例如,人们可以在开启之后读取存储器单元的逻辑状态,计算该逻辑状态的逆,以及把该逻辑状态的逆写回到该存储器单元。虽然把已反转的逻辑状态写回到存储位置减慢了退化过程,但是带来了缺点。如果攻击者设法冻结所述存取器并读出所述存储器,则他会得到该秘密响应样式的已反转的拷贝。简单地把他找到的样式反转,攻击者就能重构他正在寻找的响应样式。从该响应样式,他可以能够愚弄所述装置,或者得出所述系统的秘密的密码密钥。在申请号为PCT/IB2009/051592,名称为“Methodofreducingtheoccurrenceofburn-induetonegativebiastemperatureinstability,,的国际专利申请中进一步描述了通过用先前得到的存储器内容的逆改写该存储器来防止老化,该国际专利申请通过引用纳入本文。本发明人进一步认识到,不必减慢全部所述存储器单元的退化。取而代之,可以对一些存储位置(即对所述第二部分中的位置)使用抗退化,而对一些其他位置使用抗冻结对策。如所述,在所述响应样式中可以容许某一误差水平。例如,对于一些应用,可以容许某一数目的误差。在上面给出的抗伪造实施例中,如果引入某一小数目的额外误差,则可能不会是问题。可以通过增加预期的偏离存储位置的数目来补偿所述额外误差。对于其他应用,若干额外误差可以通过所述辅助数据来修复。可以在每次开启时区别地选择所述第一部分的内容,这使得所述抗冻结对策仅偶尔应用于存储位置,这降低了不应用抗老化对策的影响。在任何激活之后还是消隐了所述存储位置的某一部分。在一个实施方案中,所述第一部分和所述第二部分的并集(union)共同构成全部所述多个存储位置。在又一个改进方案中,所述第一部分可以包含某一小数目的位位置,比如16个位位置散布在所述多个存储位置上。所述小数目的位位置中的一些(但可能不是全部)会包含额外误差。确切的数目依赖于存储器类型,并且可以经验性地确定,例如通过重复执行所述方法并且对偏差的数目进行计数。比如,所述位的四分之一会在某点发生偏离。通过选择更强大的纠错算法,所述辅助数据可以纠正额外的4个误差。然而对于攻击者,16个额外变化会导致平均8个额外误差。这8个额外误差被添加到攻击者因其侵入方法而引起的误差。例如,冻结仅对所述位的某一百分比有效,打开芯片会对所述存储位置中的一些造成损坏,等等。换言之,即使所述第一部分没有覆盖全部所述多个存储位置,它也降低了所生成的响应样式对于攻击目的的价值。在某点,即使所述攻击者访问了所述辅助数据,他也不能重构正确的注册数据,因为他找到的响应样式实在包含太多误差。换言之,对一些存储位置不使用抗退化而是改写那些存储位置,对攻击者而言是比合法应用更大的问题,因为即使没有抗老化,也不是全部那些单元都会开始偏离。对一些存储位置使用抗冻结对策并且对其他位置使用抗老化对策,防止了整个存储器的冻结和老化二者。注意,如果期望,一些存储位置可以既不属于所述第一部分也不属于所述第二部分。在一个实施方案中,所述系统包括一个注册串重构装置,以重构先前从所述多个存储位置读取的逻辑状态,所述注册串重构装置被配置为对所述纠错数据和所进入的逻辑状态应用纠错函数,以纠正所进入的逻辑状态与先前读取的逻辑状态之间的偏差,其中所述抗退化装置被配置为向所述多个存储位置的第二部分的每个对应位置写入先前从所述第二部分的该对应位置读取的已重构逻辑状态的逆。已经发现,通过总是用相同的响应样式来改写所述存储器单元,更好地防止了响应样式的生成退化。这可以如下地实现。在某点,例如在所述存储器第一次开启时对所述存储器进行读取,这个响应样式被存储以使得以后可以用这个响应样式改写所述存储器。这样的响应样式有时被称为“黄金开启值(goldenstart-upvalues)”。注意,代替存储所述响应样式本身,人们也可以存储所述黄金开启值的逆。然而,存储响应样式带来了安全风险。当一个PUF被用于安全应用时,该PUF的内容是秘密的。事实上,人们经常相当长久地保守这个秘密。如果该PUF的内容或者与该内容直接相关的串(诸如逆)被存储在该芯片上某处的某个其他存储器中,则人们冒的风险是这个拷贝受到威胁。攻击者可以攻击所存储的黄金开启值,而不是攻击该PUF来得到其存储器的拷贝。该实施方案解决了这个问题;使用所读取的响应样式以及所述辅助数据,可以修复所述响应样式与所述注册响应样式之间的偏差。至少当所述退化尚未发展到所述响应样式包含与注册数据具有太多偏差的程度时,这是可行的。这样,先前从所述多个存储位置读取的逻辑状态被重构,确切地说,用来产生所述辅助数据的注册数据被重构。通过反转这个数据并且把它写入所述第二部分中的存储位置,与使用当前响应样式的情况相比,更有力地减缓了它们的老化。然而,所述辅助数据不需要与所述响应样式相关。虽然应用可能希望将所述辅助数据保密作为预防措施,但是在没有响应样式的情况下单独访问所述辅助数据不能被用来重构注册数据。使用辅助数据来重构注册数据以及使用已反转的辅助数据来减缓响应样式生成的退化被认为是一个独立发明,其可以在没有改写装置的情况下实现。例如,如在以下系统中一种用于生成识别性响应样式的系统,包括一个用作物理不可克隆函数的存储器,其包括多个可重写的存储位置和一个输入端,每个存储位置具有至少两个可行的逻辑位置,所述输入端用于接收激活信号以使得每个所述存储位置进入其可行的逻辑状态之一,所进入的逻辑状态依赖于所述存储器的物理的、至少部分随机的特性,由此生成对识别所述系统有用的逻辑状态响应样式,在重复施加所述激活信号之后所述响应样式的生成易退化;一个抗退化装置,其被配置为向所述多个存储位置的至少一部分的每个对应位置写入先前从所述部分的该对应位置读取的逻辑状态的逆;以及一个注册串重构装置,以重构先前从所述多个存储位置读取的逻辑状态,所述注册串重构装置被配置为对所述纠错数据和所进入的逻辑状态应用纠错函数以纠正所进入的逻辑状态与先前读取的逻辑状态之间的偏差,其中所述抗退化装置被配置为向所述多个存储位置中的所述部分的每个对应位置写入先前从所述部分的该对应位置读取的已重构逻辑状态的逆。在一个实施方案中,所述抗退化装置被配置为向所述多个存储位置的第二部分的每个对应位置写入在所述第二部分的该对应位置进入的逻辑状态的逆。使用可得到的开启值具有如下优点在可以应用所述抗老化对策之前不要求进行计算。即使辅助数据存在并且可以被用来重构黄金开启值,在完成这以及可以应用所述抗老化对策之前也会花费一些时间。例如,以下序列的事件可能在开启期间发生。开启之后,所述多个存储位置的每个存储位置中的每个逻辑状态被替换成它的逆,然后辅助数据被用于重构所述注册数据,从所述存储器中的已反转的逻辑状态开始工作。所述注册数据用于PUF应用,例如生成密码密钥,例如通过使用密钥导出函数(key-derivationfunction)。接下来,所述注册数据的逆被至少写入所述多个存储位置的所述第二部分。对于大多数存储位置,这不会导致差别。然而,在所述存储位置偏离所述注册数据的那些地方,所述逻辑状态会被改变。最后,所述第一部分中的位置被消隐,例如用随机数据改写。在一个实施方案中,所述系统包括一个温度传感器,其中所述抗退化装置被配置为在所述温度传感器的温度测量值高于预定的上温度阈值(uppertemperaturethreshold)的条件下对所述第二部分进行写入。已经观察到,所述老化问题在较高温度时比在较低温度时更显著。尤其,NBTI效应随温度而变得更大。因此,在较高温度时应用抗老化对策更重要。大多数时侯,当所述装置处于正常运行条件时,应用所述抗老化对策是不必要的,或者至少不应用抗老化的负面效应可以通过其他手段(例如辅助数据)来调和。例如,一个实施方案可以如下地工作。开启之后,所述系统确定当前温度,如果该温度低于上温度阈值,则用随机数据改写全部存储器。如果该温度高于上温度阈值,则对所述存储位置的至少第二部分应用所述抗老化。在一个实施方案中,所述系统包括一个温度传感器,其中所述存储器改写装置被配置为,在所述温度传感器的温度测量值低于预定的下温度阈值(lowertemperaturethreshold)的条件下,改写所述多个存储位置的至少第一部分。冻结攻击即将发生的一个标志是当前温度低于某个预定的下温度阈值。例如,温度测量值低于典型运行温度是有人正在冷却所述系统的一个标志。通过仅在冻结攻击的可能性更大时(假定是罕见事件)才改写第一部分,所述系统可以在大多数时候使用抗老化对策。这样,既获得了对冻结攻击的良好防护(因为当这样的攻击更可能发生时采用了防冻结攻击对策),又获得了对老化的良好防护(因为可以在大多数时候应用抗老化对策)。例如,每当所述温度测量值高于所述下阈值时,所述第二部分可以被扩展到覆盖全部所述多个存储位置。确定所述上阈值还是所述下阈值是在安全性和假警报可能性之间的权衡。可以通过在正常运行期间重复测量所述系统的运行温度来确定所述典型运行温度。所述下阈值可以被设置到在大样本中发现的运行温度。为了降低假阳性(falsepositive)可能性,所述阈值可以进一步减少一个比如10%的安全余裕(safetymargin)。在一个实施方案中,所述存储器改写装置包括一个用于接收调谐参数(tuningparameter)的调谐参数输入端,所述存储器改写装置被配置为根据所述调谐参数来设置所述第一部分中的位置的数目与所述第二部分中的位置的数目之间的比例。在制造所述系统期间,存储器的确切属性可能是未知的。当所述第一部分被选择得大时,所述冻结攻击很可能失败。当所述第二部分被选择得大时,所述老化很可能可观地减缓。这两个部分之间的确切比例依赖于老化的严重性以及执行冻结攻击的容易性。有利地,当现场测试数据可得到时,可以在制造所述系统之后设置该比例。本发明的又一方面涉及一种从用作物理不可克隆函数的存储器生成识别性响应样式的方法,所述存储器包括多个可重写的存储位置,每个存储位置具有至少两个可行的逻辑状态,所述方法包括向所述存储器的输入端施加激活信号,从而使得每个所述存储位置进入其可行的逻辑状态之一,所进入的状态依赖于所述存储器的物理的、至少部分随机的特性,由此生成对识别所述存储器有用的逻辑状态响应样式;从所述存储器读出所述响应样式,其中所述方法进一步包括改写所述多个存储位置的至少第一部分以消隐所述存储器中的响应样式。在一个实施方案中,所述存储器包括下列中的任何一个静态随机访问存储器,双端口RAM,或蝶形单元。在生成响应的方法的一个实施方案中,在重复施加所述激活信号之后所述响应样式的生成易退化,所述方法包括向所述多个存储位置的第二部分的每个对应位置写入先前从所述第二部分的该对应位置读取的逻辑状态的逆,所述第二部分优选地与所述第一部分不相交。所述方法的一个实施方案包括得到温度测量值;以及在所述温度测量值高于预定的温度阈值的条件下对所述多个存储位置的第二部分的每个对应位置进行写入。本发明的方法可以作为计算机实现的方法实现在计算机上,或者实现在专用硬件中,或者二者的组合。用于本发明的方法的可执行代码可以被存储在计算机程序产品上。计算机程序产品的实例包括存储器装置、光学存储装置、集成电路、服务器、在线软件等。所述计算机程序可以作为配置数据嵌入,所述配置数据在被加载到可配置电子电路(例如FPGA)中时把所述电子电路配置为执行本发明的方法。在一个优选实施方案中,所述计算机程序包括计算机程序代码工具,其适于当所述计算机程序在计算机上运行时执行本发明的方法的所有步骤。优选地,所述计算机程序被实现在计算机可读介质上。用于生成识别性响应样式的系统,其包括一个用作物理不可克隆函数的存储器,被配置为根据所述存储器的物理的、至少部分随机的特性来生成响应样式;所述系统可以易受到冻结攻击以及老化。一种存储器改写装置,其被配置为改写所述多个存储位置的至少第一部分以消隐所述存储器中的响应样式,避免冻结攻击。一种抗退化装置,其被配置为向所述多个存储位置的第二部分的每个对应位置写入先前从所述存储器读取的响应的逆,降低老化效应。通过举例的方式并参照附图更详细地解释本发明,在附图中图I是示出了根据本发明的用于生成识别性响应样式的系统的第一实施方案的框图,图2是示出了根据本发明的用于生成识别性响应样式的系统的第二实施方案的框图,图3是示出了根据本发明的用于生成识别性响应样式的系统的方法的流程图,图4示出了智能卡的示意性俯视图。在所有图中,相同或相应的特征由相同的参考数字表示。参考数字列表100用于生成识别性响应样式的系统110存储器改写装置120用作物理不可克隆函数的存储器130辅助数据存储器140注册串重构装置150伪随机数生成器160抗退化装置170温度传感器200用于生成识别性响应样式的系统300本发明的方法310向存储器的输入端施加激活信号320从存储器读出响应样式330得到温度测量值340确定温度测量值是否低于预定的下温度阈值350改写所述多个存储位置的至少第一部分360向所述多个存储位置的第二部分写入先前从所述第二部分的对应位置读取的逻辑状态的逆400智能卡410集成电路420卡通过举例的方式参照随附的表I进一步解释本发明,表I在下面进一步说明。具体实施方式虽然本发明可能有许多不同形式的实施方案,但是附图中示出了并且将在本文中详细描述一个或多个具体实施方案;应理解,本公开内容应被认为是本发明的原理的例示,而不意在将本发明限于所示出的和描述的具体实施方案。图I示出了用于生成识别性响应样式的系统的第一实施方案。图I中示出了存储器120,其可以用作物理不可克隆函数。存储器120包括多个可重写的存储位置(图I中未示出)。一个存储位置可以采取至少两个可行的逻辑状态。如果存储器120不用作PUF,则其逻辑状态通常会用来表示存储在所述存储器中的一些数据。然而,当存储器120在输入端(未示出)上接收到激活信号时,所述系统使得每个存储位置进入其可行的逻辑状态之一,这使得存储器120适于用作PUF。即,在接收所述激活信号之后,存储器120的存储位置的内容依赖于所述存储器的物理的、至少部分随机的特性。例如,它们固有地依赖于所述存储器的组成部件的物理配置,例如相对布置。例如,系统100的激活单元(未示出)可以将所述激活信号传递至存储器120。优选地,在系统100开启之后不久就传递所述激活信号。例如,所述激活信号可以作为启动序列(boot-upsequence)的一部分被传递至存储器120。这样的激活单元可以是系统100的一部分,但也可以是一个不同系统的一部分。例如,系统100可以被包含在智能卡中,并且所述激活单元可以被包含在智能卡阅读器中。一些数目的存储位置可以被组成更大的单元。例如,可以按例如字节、字(words)等组织所述存储器。然而,这对于使用本发明没有区别,不论存储器的组织形式如何都可以应用本发明。例如,存储器120可以是SRAM,它的存储位置中的开启样式表现为一个PUF。在此情况下,可以简单地通过向存储器120的电源线供电来给出所述激活信号。例如,存储器120可以是双端口RAM,在此情况下,所述激活信号包括同时在所述RAM的两个端口上进行写入。用作PUF的其他存储器也可以具有不同的激活样式。如果所述存储器的物理特性尚未改变,则所述存储器的第二次激活会使得大多数存储位置第二次进入同一逻辑状态。此外,由于所述物理特性是至少部分随机的,所以它们共同形成了对识别所述系统有用的逻辑状态响应样式。存储位置在多次接收所述激活信号之后进入的逻辑状态的某一变异可以被容许,因为某一变异不影响所述响应样式的识别能力。注意,要想使所述PUF准备好接收另一次激活,某一中间动作可能是必要的。例如,可能要求给存储器120断电。可以以许多不同方式来使用所述响应样式。例如,所述响应样式可以“原样(asis)”被用来识别所述系统。所述响应样式也可以被进一步处理,例如以减少或去除它的上述变异。系统100进一步包括存储器改写装置110。存储器改写装置110被配置为改写所述多个存储位置的至少第一部分,以消隐所述存储器中的响应样式。所述激活信号以及对所述响应样式的读取通常发生在使用存储器改写装置110之前。但是这不是必要的,例如,有时可以在不需要所述响应样式的情况下使用系统100,在这样的情况下,可以改写存储器120,然后将激活信号分派至存储器120。如果攻击者可以得到存储器120的内容,则可以存在多种不期望的后果。例如,如果所述响应样式被用来得出内容密钥,则所述攻击者可以能够自己从所述响应样式得出所述内容密钥。然后,用所述内容密钥加密的任何内容都能被所述攻击者解密及访问。例如,如果所述响应样式被用来得出一个验证密钥,则能够访问所述响应样式的攻击者可以能够通过使用所述验证密钥(例如在验证协议中)来使他自己或者它的一个系统假冒真实系统100。改写存储器120具有如下优点从那时刻起,所述系统的攻击者不再能得到所述响应样式。即使他访问了存储器120,他也不会得到所述响应样式,因为所述存储器被改写了。例如,存储器改写装置110可以例如用固定值(诸如O)或者用真随机序列或伪随机序列完全改写储存器120。可以通过使用真随机数生成器(未示出)来获得真随机序列。存在许多用于真随机数生成器的设计,例如,可以通过放大由电阻器产生的噪声(也被称为约翰逊噪声)或由半导体二极管等产生的噪声来获得一个真随机数生成器。存储器改写装置110也可以通过改写不包括全部所述多个存储位置的第一部分来部分改写存储器120。例如,存储器改写装置110可以改写存储器120中的每隔一个的(everyother)存储位置。对于所述响应样式的大部分应用而言,对一半的存储位置进行改写就足以使得所得到的响应样式对攻击者无用。仅对一部分的存储位置进行改写可以做起来更快,从而减少存储器内容易受攻击的时间量。系统100可以包括一个篡改标志(未示出)。存储器改写装置110可以被配置为检测所述标志的存在。仅当存储器改写装置110检测到所述标志被置位时,它才会改写所述第一部分。或者,存储器改写装置110可以被配置为改写所述存储位置中的比如四分之一或一半,不过当检测到所述标志被置位时可以将这增加到全部所述多个存储位置。所述篡改标志可以使用非易失性随机访问存储器、一次写入存储器(WORM)、电可烧断熔丝等来实现。所述篡改标志的置位可以是通过一个篡改检测装置(未示出)来执行的,所述篡改检测装置被配置为检测对系统100的篡改尝试。所述篡改检测装置可以包括许多已知的篡改检测技术,例如,所述篡改检测装置可以包括一个用于检测系统100的壳体中的裂口(breach)的传感器。图2示出了系统200,即用于生成识别性响应样式的系统的第二实施方案,其与系统100相比具有许多改进。系统200包括一个抗退化装置160。抗退化装置160被配置为抵抗存储器120中的老化效应。所述抗老化装置被配置为反转存储器120中存在于所述多个存储位置的第二部分中的存储位置的内容。所述第二部分可以被选择为使得所述第一部分和所述第二部分共同构成全部所述多个存储位置。优选地,所述第二部分与所述第一部分不相交。注意,即使所述第二部分与所述第一部分不相交,人们也可以采用如下方法首先反转存储器120的所有存储位置,然后改写所述第一部分。这具有如下净效应第一部分被改写了,并且与所述第一部分不相交的第二部分被反转了。后一方法具有更好的抗老化特性。包括若干位的存储位置的反转可以通过对每个位用“I”值进行异或运算来实现。即,用逻辑O值替换逻辑I值,且用逻辑I值替换逻辑O值。例如,一个字节可以通过用十六进制值“ff”进行异或运算来反转。优选地,能采取多于两个值的存储位置被反转为最能延缓老化的值。这可以通过如下步骤来确定使用多个存储样本重复进行反转,一个特定值具有可行的反转之一;以及确定哪个存储样本老化最慢。优选地,所述反转在激活信号之后不久(例如在所述系统开启之后不久),例如在启动序列期间,进行。改写和反转可以结合,但这不是必要的。例如,所述存储器可以是,存储器120可以在开启之后立即被反转,但是所述第一部分可以仅在使用存储器120(例如以获得密钥)之后才被改写。替代地,在所述存储器已被使用之后对其进行反转。注意,可以使用存储器120的任何算法都可以适于在存储器120已被反转之后使用存储器120,只是简单地调整以采取已反转的值而不是未反转的值。系统200可选地包括辅助数据存储器130以及注册串重构装置140。如果存储器120在多次激活中具有一些可变性(可以经常是这样的),则对于一些应用而言优选的是去除这个可变性。例如,如果要从存储器120得出一个密码密钥(例如通过使用密钥导出算法,诸如散列函数(hashfunction)),则存储器120中的变化可导致所述密钥也变化,这是不期望的。注意,存储器120和130可以被集成在一个存储装置(例如存储芯片)中。在系统200的注册阶段期间,所述多个存储位置的内容被读出。这可以例如是存储器120的第一次激活,虽然这也可以是以后的激活。所得到的逻辑状态响应样式被称为注册串。注册串重构装置140试图由在以后的激活之后从存储器120读取的响应样式重构所述注册串,即使所述以后的响应样式可能包含相对于所述注册串的变异,即误差。在所述注册阶段期间,纠错数据被从所述注册串中构建,并且被存储在辅助数据存储器130中。之后,注册串重构装置140可以使用一个纠错算法由以后的响应样式和所述纠错数据重构所述注册串。为此目的,注册串重构装置140可以访问存储器120和130。注意,所述激活信号被认为是一种类型的询问,并且所述响应样式被认为是相应的响应。所述纠错数据也被称为“辅助数据”。对本领域技术人员而言,为了重构注册串而计算辅助数据的一般概念是已知的。例如,公开号为W02006/053304的国际专利申请描述了可以如何计算这样的纠错数据以及可以如何重构注册串,参见例如图3和相应的说明。该专利申请还给出了可以如何从响应样式得出密钥的更多细节。在以下文献中更全面地描述了构建和使用纠错数据以重构注册串例如J.P.Linnaftz,P.Tuyls,!NewShieldingFunctionstoEnhancePrivacyandPreventMisuseofBiometricTemplates',InJ.KittlerandM.Nixon,editors;Proceedingsofthe3rdConferenceonAudioandVideoBasedPersonAuthentication,volume2688ofLectureNotesinComputerScience,pages238—250,Springer-Verlag,2003andY.Dodisetal,'FuzzyextractorsHowtogeneratestrongkeysfrombiometricsandothernoisydata',AdvancesincryptoIogy-Eurocrypt2004,Ser.LNCS,C.CahinandJ.Camenisch,Eds.,vol.3027.Springer-Verlag,2004,pp.523-540。例如,可以选择字长(wordsize)大于所述多个存储位置的BCH码。存储器120的响应样式被读取,并且被与所述BCH码的随机码字进行异或,其结果被存储在存储器130中。在后续激活时,所述响应样式被与存储器130的内容进行异或,并且被使用BCH算法进行纠错。所得到的已纠错的码字被再次与存储器130的内容进行异或,从而得到原始响应样式,即注册串。如果系统200使用存储器130和注册串重构装置140,则抗退化装置160可以如下地采用。在注册串重构装置140已经重构所述注册串之后,抗退化装置160可以把所述注册串的逆写入到存储器120的第二部分。再次,抗退化装置160可以首先把所述注册串写入到所述第二部分,或者写入到存储器120的全部,然后存储器改写装置110可以改写所述第一部分。替代地,存储器改写装置110可以首先改写所述第一部分,然后抗退化装置160可以把所述注册串的逆仅写入到对应于所述第二部分的存储位置。把所述注册串的逆而不是所进入的逻辑状态的逆写入到存储器120进一步延缓了存储器120的老化。可选地,系统200可以包括伪随机数生成器150。伪随机数生成器150被配置为产生伪随机序列。例如,伪随机数生成器150使用流密码。生成伪随机序列的一般概念对本领域技术人员而言是已知的。所述伪随机序列的品质(即,区分所述伪随机序列与真随机序列有多难)是安全权衡。所述第一部分越大,所述随机数的品质就应越好。优选的是,所述伪随机序列是均等分布的(equidistributed)。伪随机数生成器150可以被配置为从种子开始生成它的序列。所述种子可以被存储在系统200的存储器中(不一定是存储器120或130)。所述种子可以被固定在系统200的一个程序中。所述种子可以被选为0,或者任何其他随机的但固定的数。所述种子也可以依赖于所述响应样式。如果存储器200使用存储器130和注册串重构装置140,则所述种子也可以依赖于所述注册串。例如,所述种子可以是所述注册串的若干字节,比如首4个字节,或者可以是所述注册串的散列。如果注册串重构装置140产生固定的码字,则所述种子也可以依赖于所述码字。这具有所述伪随机序列是固定的优点,该优点也是通过使用固定的种子来得到的;但同时,所述伪随机序列对于系统200的特定实施方案而言或多或少是独一无二的,因为所述种子依赖于PUF,即存储器120。如果与系统200的情况的数目相比所述种子足够大且依赖于所述PUF的足够大的部分,则所述伪随机序列对于所述装置而言是独一无二的。随机序列(诸如真随机序列或伪随机序列)可被用于改写存储位置。例如,对于所述第一部分中的每个存储位置,存储器改写装置110选择所述随机序列的下一个元素(element)并且将其写入到所述存储位置。为了使所述随机数据与真实PUF输出更接近地相似,存储器改写装置110可以,例如使用真随机数生成器(未示出),改变所述随机序列中具有小概率的部分。在缺少真随机数生成器的情况下,可以使用具有至少稍微随机的信息的其他源,诸如系统时钟、温度传感器等。随机序列(例如真随机的或伪随机的)也可以被用于选择所述第一部分自身。例如,可以在所述随机序列的随机值与所述多个存储位置之间建立对应性(correspondence)。确定所述随机序列的下一个值,并且使用所述对应得到所述存储器的下一个位置,直到所述第一部分具有期望的大小。代替用独立于所述存储位置的原始进入状态的数据进行改写,也可以用依赖于原始进入状态的数据来消隐存储位置。例如,可以例如使用AES或RSA对所述存储位置的内容进行加密。用于加密的密钥可以依赖于识别串,且优选地依赖于已重构的注册串。当以后需要存储器120的内容时,可以通过解密所述第一部分并反转所述第二部分来重构所述内容。替代地,所述系统可以包括一个异或装置(XOR)(未示出)。存储器改写装置110可以使用异或运算把伪随机数生成器150的伪随机序列与所述第一部分中的存储位置的内容组合起来。所述异或运算具有如下优点当被应用两次时,就恢复了所述存储器的原始内容。这样,简单地通过保留伪随机数生成器150使用的种子,就可以在需要时恢复所述存储器的内容。如果系统200具有存储器130,则存储器改写装置110可以被配置为也改写存储器130。虽然根据信息理论,存储器130中的辅助数据不需要包含关于响应样式或注册串的任何信息,当不再需要辅助数据时将其移除被认为是更安全的。这具有如下优点如果攻击者设法得到存储器120的拷贝,则他仍可以被防止得到存储器130的拷贝。这意味着,攻击者不会知道如何修复所述响应样式中的误差。如果所述注册串被用于例如得出密码密钥,则这可以是一个严重的负担。为了改写存储器130,存储器改写装置110可以访问存储器130。系统200可选地包括温度传感器170。温度传感器170可以被用来得到温度测量值。所述温度测量值可以被存储器改写装置Iio和抗退化装置160之任一使用。存储器改写装置110可以如下地使用所述温度测量值。当所述温度测量值低于预定的下温度阈值时,存储器改写装置110照常改写所述第一部分。然而,如果所述温度测量值不低于预定的下温度阈值,则存储器改写装置110不改写所述第一部分。替代地,如果所述温度测量值低于预定的下温度阈值,存储器改写装置110也可以扩展所述第一部分,以及/或者如果所述温度测量值不低于预定的下温度阈值,则减小所述第一部分。抗退化装置160可以如下地使用所述温度测量值。当所述温度测量值高于预定的上温度阈值时,抗退化装置160照常反转所述第二部分。然而,如果所述温度测量值不高于预定的上温度阈值,则抗退化装置160不反转所述第二部分。替代地,如果所述温度测量值高于预定的上温度阈值,抗退化装置160也可以扩展所述第二部分,以及/或者如果所述温度测量值不高于预定的上温度阈值,则减小所述第二部分。注意,系统200不需要同时使用上温度阈值和下温度阈值二者。在一个实施方案中,可以如下地使用上温度阈值和下温度阈值二者如果温度测量值低于下温度阈值,则改写全部所述多个存储位置;如果温度测量值高于上温度阈值,则反转全部所述多个存储位置;如果温度测量值在下温度阈值与上温度阈值之间,则改写所述存储位置的一部分且反转所述存储位置的另一部分。该实施方案具有如下优点如果冻结风险最高,则改写得最多;如果因老化而造成的损坏最大(温度越高,老化越严重),则反转得最多;在这两个极端之间,二者兼做。在各个温度都能提供最需要的保护。所述上阈值和/或所述下阈值可以被预定且固定在系统200中,例如存储在存储器中。然而,它们也可以以后被上传到系统200。可选地,系统200包括一个调谐装置(未示出),所述调谐装置能访问存储器改写装置Iio和抗退化装置160二者。所述调谐装置被配置为从系统200之外接收调谐参数。所述调谐参数表示所述存储器的多大份额应被所述第一部分覆盖以及多大份额应被所述第二部分覆盖。如果所述第一部分和所述第二部分组合为整个存储器120,则单个参数就可以足够了。例如,所述调谐参数可以代表百分比;例如,所述多个存储位置应被所述第一部分覆盖的百分比。所述调谐装置可以将百分比转送至存储器改写装置110抗退化装置160。所述调谐装置也可以计算所述第一部分和所述第二部分期望的大小(size)应是多大,并且将这些大小分别转送至存储器改写装置110和抗退化装置160。代替接收调谐参数(例如从所述系统之外),所述调谐装置也可以自己根据温度测量值来计算所述调谐参数。例如,所述调谐装置可以包括一个将温度转换为各部分大小的表(table)。在一个实施方案中,所述调谐参数仅用在下温度阈值与上温度阈值之间。下面使用表I进一步解释本发明的一个实施方案的运行。表I的各行编号从I到5,这被表示在第一列中。表I中的值用十六进制数表示,范围从00到ff。该实施例中的数字和大小仅是示例性的。从第二列开始,每列对应于一个存储位置。表I的第I行进一步具有16列,示出了存储器120开启之后的内容。存储器120是以字节来组织的。示出了16*8=128个位。注册串重构装置140已根据第I行的内容和辅助数据重构了所述注册串,即存储器120的更早的响应样式。所述辅助数据未在表I中示出。已重构的注册串在第2行中示出。注意,所述注册串中的一些值与第I行中示出的所进入的逻辑状态相同。假定8个位中大约有I个位(12.5%)在多次激活之间改变。对于其他存储器120,该数目可以更低,也可以更高,因为该数目依赖于所使用的存储器的类型。优选地,为每种类型的存储器确定误差率。存储器改写装置110确定哪些存储器位置会被包括在所述第一部分中。决定,大约25%的存储器位置应被改写。为此产生一个随机序列,其在第3行中示出。与第3行中小于40(十六进制)的随机数在同一列中的每个存储位置被包括在所述第一部分中。由于40是100=(ff+Ι)的25%,结果是,所述多个存储位置的大约25%被包括在所述第一部分中。如上所述,有许多替代方法来确定所述第一部分和/或所述第二部分。第3行也可以通过使用真随机数生成器或通过使用伪随机数生成器150(可能具有固定种子)来产生。第3行可以通过使用具有基于表I第2行的种子的伪随机数生成器150来产生。第4行用R(代表“随机”)表示哪个存储位置被包括在所述第一部分中。其余存储位置用A(代表“抗老化”)表示;它们被包括在所述第二部分中。接下来,存储器改写装置110用随机数据改写用R表示的存储条目(memoryentries)。所述随机数据取自又一个随机序列(未在表I中示出),它可以是真随机的或伪随机的。用A表示的条目被第2行的逆改写。结果在表I第5行中示出。当再次给出所述激活信号时,例如系统200被断电又上电或者给出冷复位(coldreset),第I行会稍微不同。第2行会相同,因为变异被纠正了。如果伪随机数生成器150使用基于第2行的种子或者使用固定种子,则第3行和第4行会相同。如果伪随机数生成器150也被用来用固定种子改写所述第一部分,则第5行也会相同。在一个不同的实施方案中,没有使用存储器130和注册串重构装置140。在此情况下可以省略第2行。在第5行中,则可以用第I行的逆改写A。在此情形中,有利的是,在用来改写R的数中引入一些噪声。例如,可以使用另一随机序列的位,大多数由O位组成,且8个位中大约有I个位是I。在用所述固定序列改写R之后,所述另一随机序列可以与所述第一部分进行异或。注意到,在没有存储器改写装置110和伪随机数生成器150的情况下,使用存储器120、存储器130、注册串重构装置140和抗退化装置160也可以得到有利的系统。在此情况下,抗退化装置160把所述注册串的逆写入到全部所述多个存储位置。可选地,这样的系统也使用温度传感器170,在此情况下,如果温度传感器170的温度测量值高于上阈值,抗退化装置160可以把所述注册串的逆写入到存储器120。注意,一个实施方案可以一起省略写入逆。在此情况下,用A映射表示的存储位置保留它们的原始值。在一个实施方案中没有进行改写,在此情况下可以用“A”代替“R”。图3示出了一个流程图,其示出了本发明的方法的一个可行的实施方案。所述方法从用作物理不可克隆函数的存储器(例如存储器120)生成识别性响应样式。所述存储器包括多个可重写的存储位置,每个存储位置具有至少两个可行的逻辑状态。所述方法包括向存储器的输入端施加激活信号310;从所述存储器读出响应样式320;得到温度测量值330。在步骤340,决定所述温度测量值是否低于预定的下温度阈值。如果所述温度测量值低于预定的下温度阈值,则执行步骤350,否则执行步骤360。在步骤350,所述多个存储位置的至少第一部分被改写以消隐所述存储器中的响应样式。在步骤360,向所述多个存储位置的第二部分写入先前从所述第二部分的对应位置读取的逻辑状态的逆。在本发明的方法的该特定实施方法中,优选的是,所述存储器要么被完全改写要么被完全反转,但是这不是必要的,并且其他变化是可行的。在该实施方案中,所述方法包括在所述温度测量值低于预定的下温度阈值的条件下,改写所述多个存储位置以消隐所述存储器中的响应样式;以及在所述温度测量值不低于预定的下温度阈值的条件下,向所述多个存储位置的每个对应位置写入先前从该对应位置读取的逻辑状态的逆。执行所述方法的许多不同方式是可行的,如本领域技术人员明了的。例如,所述步骤的顺序可以改变,或者一些步骤可以并行执行。此外,也可以在步骤之间插入其他步骤。所插入的步骤可以表示对诸如本文描述的方法的改进,或者所插入的步骤可以与该方法无关。例如,步骤310和320可以(至少部分地)与步骤330并行执行。此外,一个给定步骤可以不必在下一个步骤开始之前完全完成。本发明的方法可以使用软件来执行,该软件包括用于使处理器系统执行方法300的指令。软件可以仅包括由所述系统的特定子实体执行的那些步骤。所述软件可以被存储在合适的存储介质中,诸如硬盘、软盘、存储器等。所述软件可以作为信号通过线路或无线地发送,或者使用数据网络(例如因特网)发送。所述软件可以在服务器上可提供,以供下载和/或远程使用。图4以俯视图示出了本发明的智能卡400的示意性表示。所述智能卡包括集成电路410以及支撑集成电路410的(通常为塑料的)卡420。电路410包括用于存储器(例如存储器120或130)的部件。电路410包括处理单元,用于运行计算机程序部件以执行本发明的方法。所述处理单元可以通过总线连接至所述存储器。电路410可以包括其他部件,诸如温度传感器、真随机数生成器、加密协同处理器等。所述卡可以被布置为用于接触和/或非接触通信。所述智能卡可以被用在例如机顶盒中,以控制对内容的访问。应理解,本发明还扩展至适于实施本发明的计算机程序,尤其是载体上或载体中的计算机程序。所述程序的形式可以是源代码、目标代码、在源代码与目标代码之间的代码(诸如部分编译的形式)、或者适于用于执行本发明的方法的任何其他形式。还应理解,这样的程序可以具有许多不同的架构设计。例如,实现本发明的方法或系统的功能的程序代码可以被细分成一个或多个子例程。在这些子例程之间分配所述功能的许多不同方式是本领域技术人员明了的。所述子例程序可以被共同存储在一个可执行文件中,以形成ー个自足的程序。这样的可执行文件可以包括计算机可执行指令,例如处理器指令和/或翻译器指令(例如Java翻译器指令)。替代地,所述子例程中的ー个或多个或全部可以被存储在至少ー个外部库文件中,并且与主程序静态或动态(例如运行时)链接。所述主程序包含对至少一个所述子例程的至少一次调用。另外,所述子例程可以包括相互的函数调用。一个涉及计算机程序产品的实施方案包括如下计算机可执行指令,所述计算机可执行指令对应于所述的至少ー个方法的每个处理步骤。这些指令可以被划分成子例程以及/或者被存储在可以静态或动态链接的一个或多个文件中。另ー个涉及计算机程序产品的实施方案包括如下计算机可执行指令,所述计算机可执行指令对应于所述的至少ー个系统和/或产品的每个设备。这些指令可以被划分成子例程以及/或者被存储在可以静态或动态链接的一个或多个文件中。计算机程序的载体可以是能够承载所述程序的任何实体或装置。例如,所述载体可以包括存储介质,诸如R0M,例如CDROM或半导体ROM;磁记录介质,例如软盘或硬盘。此夕卜,所述载体可以是可传输的载体,诸如电信号或光信号,它们可以通过电缆或光缆或者通过无线电或其他工具传递。当所述程序被体现在这样的信号中时,所述载体可以由这样的线缆或其他装置或设备构成。替代地,所述载体可以是嵌入所述程序的集成电路,所述集成电路适于执行有关方法,或适于用在有关方法的执行中。应注意上述实施方案例示本发明而不是限制本发明,并且本领域技术人员将能够设计许多替代实施方案而不脱离所附权利要求的范围。在权利要求中,在括号中的任何參考标记都不应被解释为限制该权利要求。动词“包括”(comprise)及其词形变化的使用不排除存在权利要求中所列元件或步骤之外的其他元件或步骤。元件前面的冠词“ー(a/an)”不排除存在多个这样的元件。本发明可以通过硬件(包括几个分立元件)以及通过适当编程的计算机来实现。在列举了几个设备的装置权利要求中,这些设备中的几个可以通过同一项硬件来实现。仅凭某些措施被记载在相互不同的从属权利要求中这一事实,不表示不能有利地使用这些措施的组合。权利要求1.一种用于生成识别性响应样式的系统,包括-一个用作物理不可克隆函数的存储器(120),其包括多个可重写的存储位置,每个存储位置具有至少两个可行的逻辑状态;以及一个输入端,其用于接收激活信号以使得每个存储位置进入其可行的逻辑状态之一,所进入的状态依赖于所述存储器的物理的、至少部分随机的特性,且由此生成对识别所述系统有用的逻辑状态响应样式;以及-一个存储器改写装置(110),其被配置为改写所述多个存储位置的至少第一部分以消隐所述存储器中的响应样式。2.根据权利要求I所述的用于生成识别性响应样式的系统,包括一个辅助数据存储器(130),所述辅助数据存储器包括纠错数据,所述纠错数据用于纠正所进入的逻辑状态与先前从所述多个存储位置读取的逻辑状态之间的偏差,其中所述存储器改写装置被配置为改写所述辅助数据存储器。3.根据前述权利要求中任一项所述的用于生成识别性响应样式的系统,包括一个篡改标志,并且其中所述存储器改写装置被配置为在所述篡改标志被置位的条件下进行改写。4.根据前述权利要求中任一项所述的用于生成识别性响应样式的系统,其中所述存储器改写装置被配置为用一序列随机值改写所述多个存储位置的所述第一部分。5.根据前述权利要求中任一项所述的用于生成识别性响应样式的系统,包括一个异或装置,其中所述存储器改写装置被配置为,通过向所述多个存储位置的所述第一部分的对应位置写入该对应位置的进入状态与来自一序列随机值的对应值的异或,来消隐所述存储器中的响应样式。6.根据权利要求4或5所述的用于生成识别性响应样式的系统,其中所述多个存储位置的所述第一部分和/所述一序列随机值的至少一部分是通过对固定的随机数种子应用伪随机函数(150)来得到的。7.根据权利要求6所述的用于生成识别性响应样式的系统,其中所述一序列随机值的至少一部分是真随机的。8.根据权利要求6和7中任一项所述的用于生成识别性响应样式的系统,其中所述随机数种子依赖于所述识别性响应样式。9.根据前述权利要求中任一项所述的用于生成识别性响应样式的系统,其中在重复施加所述激活信号之后所述响应样式的生成易退化,所述系统包括一个抗退化装置(160),该抗退化装置被配置为向所述多个存储位置的第二部分的每个对应位置写入先前从所述第二部分的该对应位置读取的逻辑状态的逆。10.根据权利要求9所述的用于生成识别性响应样式的系统,包括-一个辅助数据存储器(130),所述辅助数据存储器包括纠错数据,所述纠错数据用于纠正所进入的逻辑状态与先前从所述多个存储位置读取的逻辑状态之间的偏差;以及-一个注册串重构装置(140),用于重构先前从所述多个存储位置读取的逻辑状态,所述注册串重构装置被配置为对所述纠错数据以及对所进入的逻辑状态应用纠错函数,以纠正所进入的逻辑状态与先前读取的逻辑状态之间的偏差,其中所述抗退化装置被配置为向所述多个存储位置的所述第二部分的每个对应位置写入先前从所述第二部分的该对应位置读取的已重构逻辑状态的逆。11.根据权利要求9和10中任一项所述的用于生成识别性响应样式的系统,包括一个温度传感器(170),其中-所述抗退化装置被配置为,在所述温度传感器的温度测量值高于预定的上温度阈值的条件下,向所述第二部分进行写入,或者-所述存储器改写装置被配置为,在所述温度传感器的温度测量值低于预定的下温度阈值的条件下,改写所述多个存储位置的至少第一部分。12.根据前述权利要求中任一项所述的用于生成识别性响应样式的系统,其中所述存储器改写装置包括一个用于接收调谐参数的调谐参数输入端,所述存储器改写装置被配置为根据所述调谐参数来设置所述第一部分中的位置的数目与所述第二部分中的位置的数目之间的比例。13.根据权利要求12所述的用于生成识别性响应样式的系统,其中所述调谐参数是温度依赖性的。14.一种从用作物理不可克隆函数的存储器生成识别性响应样式的方法,所述存储器包括多个可重写的存储位置,每个存储位置具有至少两个可行的逻辑状态,所述方法包括-对所述存储器的输入端施加激活信号,从而使得每个存储位置进入其可行的逻辑状态之一,所进入的状态依赖于所述存储器的物理的、至少部分随机的特性,且由此生成对识别所述存储器有用的逻辑状态响应样式;-从所述存储器读出所述响应样式,其中所述方法进一步包括-改写所述多个存储位置的至少第一部分以消隐所述存储器中的响应样式。15.根据权利要求14所述的生成响应的方法,其中在重复施加所述激活信号之后所述响应样式的生成易退化,所述方法包括-向所述多个存储位置的第二部分的每个对应位置写入先前从所述第二部分的该对应位置读取的逻辑状态的逆。16.根据权利要求15所述的生成响应的方法,包括得到温度测量值,并且其中-在所述温度测量值高于预定的温度阈值的条件下,向所述多个存储位置的第二部分的每个对应位置进行写入,或者-在所述温度测量值低于预定的下温度阈值的条件下,改写所述多个存储位置的至少第一部分。17.—种包括计算机程序代码工具的计算机程序,当所述计算机程序在计算机上运行时,所述计算机程序代码工具适于执行权利要求14-16中任一项所述的方法的所有步骤。18.根据权利要求17所述的计算机程序,其被实现在计算机可读介质上。全文摘要用于生成识别性响应样式的系统,其包括一个用作物理不可克隆函数的存储器(120),被配置为根据所述存储器的物理的、至少部分随机的特性来生成响应样式;所述系统可以易受到冻结攻击以及老化。一种存储器改写装置(110),其被配置为改写所述多个存储位置的至少第一部分以消隐所述存储器中的响应样式,避免冻结攻击。一种抗退化装置(160),其被配置为向所述多个存储位置的第二部分的每个对应位置写入先前从所述存储器读取的响应的逆,降低老化效应。文档编号H04L9/08GK102656588SQ201080046620公开日2012年9月5日申请日期2010年8月6日优先权日2009年8月14日发明者G-J·史邱瑞珍,P·T·图尔斯申请人:本质Id有限责任公司