CN105743645A - 基于puf的流秘钥生成装置、方法及数据加密、解密方法 - Google Patents

Abstract

本发明提供一种基于PUF的流秘钥生成装置、方法及数据加密、解密方法，基于物理不可克隆函数来产生用于流加密的密钥流，并使用该密钥流对数据进行加密和解密，包括：利用物理不可克隆函数的输入和输出的关联不可预测性对装置进行激励输入，通过装置自带的反馈机制得到多个随机的基本输出；再通过装置的输出对基本输出集合里的元素进行随机选择，得到任意长度的密钥流；最后使用得到的密钥流对数据进行加密和解密；本发明还提供了基于该装置的数据授权方法，包括端对端的数据授权和基于可信第三方的数据授权两种方式，该方法基于硬件进行实现，利用了物理不可克隆函数的随机性和不可预测性，可以达到比传统的流加密方法更高的速率和安全性。

Description

基于PUF的流秘钥生成装置、方法及数据加密、解密方法

技术领域

本发明属于数据安全保护领域，特别涉及一种基于PUF的流秘钥生成装置、方法及数据加密、解密方法。

背景技术

在互联网日益发展的今天，人们的日常生活中对互联网的依赖也越来越强。淘宝、京东等在线商城的出现使得人们开始在网上进行购物；QQ、微博等的流行使得人们倾向于在网上进行社交；各种门户网站的涌现使得人们抛弃传统的纸质媒体，而转向在网上获取资讯信息；百度云盘等的出现使得人们开始习惯于将各种个人文件存于云端。互联网正在无形中改变着人们的生产生活方式，给人们的日常生活和工作带来了极大的便利。然而，随着互联网的普及与流行，它所引发的安全问题也日益严重。在这个万物互联的时代，互联网上传输的数据包括了人们的工作数据、社交数据、账户名密码以及越来越多的隐私数据。这些数据的泄露往往会给个人或企业带来巨大的经济和名誉损失。为了保护数据安全和个人隐私，当前在互联网上最常用的方法就是对数据进行加密操作。加密包括了在数据发送时的加密，数据传输时的加密以及数据存储时的加密。通过加密的方式对数据进行处理，可以保证数据即使被窃取，里面所包含的信息也不能被获取，从而保证了用户数据和个人隐私的安全性。

加密技术分为块加密和流加密两种。块加密对固定长度的数据进行固定的操作，得到加密后的密文。典型的块加密技术有AES、DES和RSA等。流加密则是以比特为最小的处理单元，对数据的不同比特进行不同的操作。和块加密的方式相比，流加密可以处理任意长度的数据，而且流加密方法的操作步骤一般比块加密方法的少，单步操作的复杂度比流加密的方法低，所以有更快的运行速度。由于流加密对数据的不同位置施以不同的变换，所以在相同的计算量下，流加密方法能得到比块加密方法更好的安全性。流加密被广泛应用于各种网络协议(TLS，SSL，WPA等)和通讯等领域。流加密更好的安全性和加密速率快的特性使得很多国家的军事部门和国际性的机构组织都将它作为保护数据安全的首选加密手段。典型的流加密算法有RC4，A5和Grain等。

然而传统的流加密算法在日益增长的安全需求下开始遇到了瓶颈。随着互联网的飞速发展，互联网中每天产生的数据量也越来越大，这也就意味着需要加密的数据量越来越大。而且随着各种设备的不断更新，互联网数据传输的速率也越来越快。传统流加密算法在面对这些问题时，往往会出现密钥流周期过小，加密速率太慢等问题，使得数据的安全性和传统算法的适用性都受到了极大的挑战。在互联网飞速发展的今天，人们急需一种新的安全且高效的加密算法来保证互联网中各种数据的安全性。

发明内容

为了克服上述现有技术的缺点，本发明的目的在于提供一种基于PUF的流秘钥生成装置、方法及数据加密、解密方法，完全利用硬件来产生流加密算法用来加密所使用的流密钥，因为该方法完全基于硬件，所以它可以达到更高的加密速率，同时由于PUF的唯一性和输入输出之间的不可预测性，它能够达到更高的安全性。

为了实现上述目的，本发明采用的技术方案是：

一种基于PUF的流秘钥生成装置，包括物理不可克隆函数(PUF)模块和反馈函数f(c,r)模块，其中，对物理不可克隆函数模块给予随机的初始激励c，得到一个响应r，反馈函数f(c,r)模块将初始激励c和响应r作为输入，并将得到的输出c’作为物理不可克隆函数模块的新的激励。

所述基于PUF的流秘钥生成装置还可包括Stream-Gen模块，Stream-Gen模块用于控制整个流密钥生成的流程，并产生加密所需的密钥流，反馈函数 其中p为比特位的移位数，由用户自行设定，n为所需响应r的比特位数，m为激励c的比特位数。

本发明还公开了利用所述基于PUF的流秘钥生成装置的流密钥的产生方法，给该装置一个随机的初始激励c，装置最终产生M个等长的基本输出，基本输出集合KS_A＝{K_A ¹,K_A ²,…,K_A ⁱ…,K_A ^M}，K_A ⁱ表示第i个基本输出，1≤i≤M，每个基本输出具有唯一的ID值，根据该ID值从基本输出集合中选择一个元素，作为流密钥的一部分，最终得到任意长度的加密所需的密钥流K_A＝[K_A ¹,K_A ²,…,K_A ^N]和加密所用的ID的有序序列ID_A， ${\mathrm{ID}}_A=\[ID\left(K_A^1\right),ID\left(K_A^2\right),\mathrm{...},ID\left(K_A^j\right)\mathrm{...},ID\left(K_A^N\right)\],$ 表示第j个基本输出的ID，1≤j≤N。

本发明中，基于PUF的反馈装置持续产生随机的比特流，Stream-Gen模块在获得基本输出集合KS之后，继续从PUF得到随机的比特流，并每次将定长的比特流转换为ID值，得到ID值之后，Stream-Gen模块从KS中进行选取元素，得到密钥流并记录所用到的ID序列。

本发明进一步提供了利用所述密钥流的数据加密、解密方法，将明文通过得到的密钥流按位异或的方式进行加密，得到密文；

解密的时候，通过解密方的流秘钥生成装置，产生基本输出集合；然后通过加密所用的密钥流的有序序列IDs对得到的基本输出集合进行选择，得到解密所用的密钥流；然后将密钥流和密文按位异或的方式解密得到明文。

所述加密过程中：给予需要加密的数据D＝[D₁,D₂,…,D_i…,D_N]，|D_i|＝L，加密流程如下：

D_e＝[D_e ¹,D_e ²,...,D_e ^N]

K_A＝[K_A ¹,K_A ²,...,K_A ^N]

$where{D}_e^i=R\⊕K_A^i,i\∈\[1,N\]$

$K_A^i\∈{\mathrm{KS}}_A$

其中K_A为流密钥，D_e为加密后的数据即密文，D为未加密的明文数据，D和K_A通过按位异或的方式，得到密文D_e；

解密流程如下：

$\begin{array}{c}{D}_i=D_e^i\⊕K_B^i,i\∈\[1,N\]\\ =D_i\⊕K_B^i\⊕K_B^i\\ =D_i\end{array}$

D＝[D₁,D₂,...,D_N]

$where{K}_B^i\∈{\mathrm{KS}}_B$

其中K_B为流密钥，D_e为加密后的数据即密文，D为未加密的明文数据，D_e和K_B通过按位异或的方式，得到明文D。

所述密钥流的数据加密、解密方法，还可包括数据授权，当一个用户A需要另一个用户B的数据的时候，用户B需要得到用户A的授权才能对数据进行正确的解密。

所述授权方法包括：

基于可信第三方的授权方式：用户B发送利用自己的流秘钥生成装置产生的基本输出集合给第三方，由第三方负责用户B的身份认证，如果认证通过，将基本输出集合发送给用户A，请求数据的授权；

或，

端到端的授权方式：用户B直接发送利用自己的流秘钥生成装置产生的基本输出集合给用户A，向用户A进行请求收据授权；

用户A根据收到的基本输出集合和加密数据时产生的ID序列，利用自己的流密钥生成装置生成密钥流，对存在本地的已加密的数据进行操作，得到利用用户B的基本输出集合加密的数据，完成数据授权。

所述用户A收到基本输出集合后，根据如下流程完成授权：

$\begin{array}{c}{D}_e^i=D_e^i\⊕K_A^i\⊕K_B^i,i\∈\[1,N\]\\ =D_i\⊕K_B^i\end{array}$

$D_e=\[D_e^1,D_e^2,\mathrm{...},D_e^N\]$

whereK_A ⁱ∈KS_AandK_B ⁱ∈KS_B

其中K_A为使用A的流密钥生成装置生成的流密钥，K_B为基于KS_B，利用生成K_A的ID序列，从KS_B中进行选择所得到的密钥流，D_e为加密后的数据，D为未加密的明文数据，D_e和K_A，K_B通过按位异或的方式，得到授权后的密文D_e。

与现有技术相比，本发明基于硬件进行实现，利用了物理不可克隆函数的随机性和不可预测性，可以达到比传统的流加密方法更高的速率和安全性。

附图说明

图1为基于物理不可克隆函数的流密钥生成装置结构示意图。

图2为基于流密钥生成装置的数据授权协议。

图3为数据的解密流程图。

具体实施方式

下面结合附图和实施例详细说明本发明的实施方式。

本发明提出的流密钥生成装置是基于物理不可克隆函数的。图1给出了本发明提出的流密钥生成装置的具体结构。该装置主要包括PUF，反馈函数和Stream-Gen三个模块。PUF接受一个初始激励c，产生一个响应r。反馈函数f(c,r)将c和r作为函数的输入，得到输出c’，作为PUF的新的激励。通过这种反馈式的设计，PUF可以不停地产生输出。Stream-Gen模块用于控制整个流密钥生成的流程，按照特定的算法产生加密所需的密钥流。产生密钥流所用的算法如下所示：

利用上述流密钥生成装置，给予PUF一个初始激励c，通过PUF不断地输出得到M个定长的基本输出，每个输出都有属于他的唯一的ID值(通常该ID值就是它的下标)。在得到基本输出集合之后，PUF继续输出比特流。

然后Stream-Gen模块根据上面的流密钥生成算法，先得到基本输出集合KS_A＝{K_A ¹,K_A ²,…,K_A ^M}，whereL＝|K_A ⁱ|(i＝1toM)，不断地将比特流转换为ID，根据ID在基本输出集合里进行选择，得到足够长的加密所需的密钥流K_A＝[K_A ¹,K_A ²,…,K_A ^N]，1≤N≤M，以及加密所用ID的有序序列 ${\mathrm{ID}}_A=\[ID\left(K_A^1\right),ID\left(K_A^2\right),\mathrm{...},ID\left(K_A^N\right)\],whereID\left(K_A^i\right)\≤M,i\∈\[1,N\].$

密钥流生成装置中所用到的反馈函数的具体公式为：

在加密的时候，数据和等长的密钥流进行逐比特的异或操作，得到加密后的密文。具体地，给予需要加密的数据D＝[D₁,D₂,…,D_N]where|D_i|＝L，加密的具体流程公式(2)所示：

$\begin{array}{c}{D}_e=\[{D_e}^1,{D_e}^2,\mathrm{...},{D_e}^N\]\\ K_A=\[{K_A}^1,{K_A}^2,\mathrm{...},{K_A}^N\]\\ where{D}_e^i=D_i\⊕K_A^i,i\∈\[1,N\]\\ K_A^i\∈{\mathrm{KS}}_A\end{array}---\left(2\right)$

本发明还提供了一个数据授权的协议，使用者可以利用它对不同的数据请求者进行授权。数据请求者只能对已得到授权的数据进行正确的解密。

本发明提供了两种授权方式：端到端授权方式和基于可信第三方的授权方式。基于可信第三方的授权方式如图2所示。首先，数据的请求方B利用自己的PUF产生一个基本输出集合KS_B，然后将KS_B发送给可信第三方。可信第三方在接收到B的数据请求之后，对B的身份进行认证，如果认证通过，就将集合KS_B发送给数据的拥有者A，请求数据的授权。A收到集合KS_B之后，根据KS_B和加密所用的ID序列，利用自己的流密钥生成装置对数据进行操作，得到授权后的数据，并发送给B。

在端到端的授权方式中，数据请求方B直接向数据的拥有者A进行授权请求。

A在得到B的基本输出集合KS_B之后，根据请求的数据生成时所用的ID序列，从KS_B中选择基本输出，得到密钥流K_B＝[K_B ¹,K_B ²,…,K_B ^N]。授权方式如公式(3)所示：

$\begin{array}{c}{D}_e^i=D_e^i\⊕K_A^i\⊕K_B^i,i\∈\[1,N\]\\ =D_i\⊕K_B^i\\ D_e=\[D_e^1,D_e^2,\mathrm{...},D_e^N\]\\ {{\mathrm{whereK}}_A}^i\∈{\mathrm{KS}}_{A}and{K_B}^i\∈{\mathrm{KS}}_B\end{array}---\left(3\right)$

图3给出了数据的解密流程。能够解密的前提是解密方是该数据的拥有者或者解密方已经得到了该数据的授权。首先，解密方利用自己的流密钥生成装置，给予初始激励c，产生基本输出集合KS_B，然后根据数据加密时所用的ID序列，从KS_B中进行选择，得到和数据等长的密钥流K_B。最后将密钥流和数据进行按位的异或操作，得到解密后的明文。解密具体流程如公式(4)所示：

$\begin{array}{c}{D}_i=D_e^i\⊕K_B^i,i\∈\[1,N\]\\ =D_i\⊕K_B^i\⊕K_B^i\\ =D_i\\ D=\[D_1,D_2,\mathrm{...},D_N\]\\ where{K}_B^i\∈{\mathrm{KS}}_B\end{array}---\left(4\right)$

Claims (9)

1.一种基于PUF的流秘钥生成装置，其特征在于，包括物理不可克隆函数(PUF)模块和反馈函数f(c,r)模块，其中，对物理不可克隆函数模块给予随机的初始激励c，得到一个响应r，反馈函数f(c,r)模块将初始激励c和响应r作为输入，并将得到的输出c’作为物理不可克隆函数模块的新的激励。

2.根据权利要求1所述基于PUF的流秘钥生成装置，其特征在于，还包括Stream-Gen模块，Stream-Gen模块用于控制整个流密钥生成的流程，并产生加密所需的密钥流，反馈函数p<m∧p≤n，其中p为比特位的移位数，由用户自行设定，n为所需响应r的比特位数，m为激励c的比特位数。

3.利用权利要求1所述基于PUF的流秘钥生成装置的流密钥的产生方法，其特征在于，给该装置一个随机的初始激励c，装置最终产生M个等长的基本输出，基本输出集合KS_A＝{K_A ¹,K_A ²,…,K_A ⁱ…,K_A ^M}，K_A ⁱ表示第i个基本输出，1≤i≤M，每个基本输出具有唯一的ID值，根据该ID值从基本输出集合中选择一个元素，作为流密钥的一部分，最终得到任意长度的加密所需的密钥流K_A＝[K_A ¹,K_A ²,…,K_A ^N]和加密所用的ID的有序序列ID_A， ${\mathrm{ID}}_A=[\mathrm{ID}\left(K_A^1\right),\mathrm{ID}\left(K_A^2\right),...,\mathrm{ID}\left(K_A^j\right)...,\mathrm{ID}\left(K_A^N\right)],$ 表示第j个基本输出的ID，1≤j≤N。

4.利用权利要求3所述流密钥的产生方法，其特征在于，基于PUF的反馈装置持续产生随机的比特流，Stream-Gen模块在获得基本输出集合KS之后，继续从PUF得到随机的比特流，并每次将定长的比特流转换为ID值，得到ID值之后，Stream-Gen模块从KS中进行选取元素，得到密钥流并记录所用到的ID序列。

5.利用权利要求3所述密钥流的数据加密、解密方法，其特征在于，

将明文通过得到的密钥流按位异或的方式进行加密，得到密文；

解密的时候，通过解密方的流秘钥生成装置，产生基本输出集合；然后通过加密所用的密钥流的有序序列IDs对得到的基本输出集合进行选择，得到解密所用的密钥流；然后将密钥流和密文按位异或的方式解密得到明文。

6.根据权利要求5所述密钥流的数据加密、解密方法，其特征在于，

所述加密过程中：给予需要加密的数据D＝[D₁,D₂,…,D_i…,D_N]，|D_i|＝L，加密流程如下：

D_e＝[D_e ¹,D_e ²,...,D_e ^N]

K_A＝[K_A ¹,K_A ²,...,K_A ^N]

$\begin{array}{cc}where& D_e^i=D_i\&CirclePlus;K_A^i\end{array},i\&Element;\&lsqb;1,N\&rsqb;$

$K_A^i\&Element;{\mathrm{KS}}_A$

其中K_A为流密钥，D_e为加密后的数据即密文，D为未加密的明文数据，D和K_A通过按位异或的方式，得到密文D_e；

解密流程如下：

$\begin{array}{c}{D}_i=D_e^i\&CirclePlus;K_B^i\\ =D_i\&CirclePlus;K_B^i\&CirclePlus;K_B^i\\ =D_i\end{array},i\&Element;\&lsqb;1,N\&rsqb;$

D＝[D₁,D₂,...,D_N]

$\begin{array}{cc}where& K_B^i\&Element;{\mathrm{KS}}_B\end{array}$

其中K_B为流密钥，D_e为加密后的数据即密文，D为未加密的明文数据，D_e和K_B通过按位异或的方式，得到明文D。

7.根据权利要求5所述密钥流的数据加密、解密方法，其特征在于，还包括数据授权，当一个用户A需要另一个用户B的数据的时候，用户B需要得到用户A的授权才能对数据进行正确的解密。

8.根据权利要求7所述密钥流的数据加密、解密方法，其特征在于，所述授权方法包括：

基于可信第三方的授权方式：用户B发送利用自己的流秘钥生成装置产生的基本输出集合给第三方，由第三方负责用户B的身份认证，如果认证通过，将基本输出集合发送给用户A，请求数据的授权；

或，

端到端的授权方式：用户B直接发送利用自己的流秘钥生成装置产生的基本输出集合给用户A，向用户A进行请求收据授权；

用户A根据收到的基本输出集合和加密数据时产生的ID序列，利用自己的流密钥生成装置生成密钥流，对存在本地的已加密的数据进行操作，得到利用用户B的基本输出集合加密的数据，完成数据授权。

9.根据权利要求8所述密钥流的数据加密、解密方法，其特征在于，

所述用户A收到基本输出集合后，根据如下流程完成授权：

$\begin{array}{c}{D}_e^i=D_e^i\&CirclePlus;K_A^i\&CirclePlus;K_B^i\\ =D_i\&CirclePlus;K_B^i\end{array},i\&Element;\&lsqb;1,N\&rsqb;$

$D_e=\&lsqb;D_e^1,D_e^2,...,D_e^N\&rsqb;$

$\begin{array}{cccc}where& {K_A}^i\&Element;{\mathrm{KS}}_A& and& {K_B}^i\&Element;{\mathrm{KS}}_B\end{array}$

其中K_A为使用A的流密钥生成装置生成的流密钥，K_B为基于KS_B，利用生成K_A的ID序列，从KS_B中进行选择所得到的密钥流，D_e为加密后的数据，D为未加密的明文数据，D_e和K_A，K_B通过按位异或的方式，得到授权后的密文D_e。