CN107493172B - 无线射频认证系统及认证方法 - Google Patents
无线射频认证系统及认证方法 Download PDFInfo
- Publication number
- CN107493172B CN107493172B CN201610414230.1A CN201610414230A CN107493172B CN 107493172 B CN107493172 B CN 107493172B CN 201610414230 A CN201610414230 A CN 201610414230A CN 107493172 B CN107493172 B CN 107493172B
- Authority
- CN
- China
- Prior art keywords
- data
- radio frequency
- processing
- wireless radio
- authentication server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3278—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种无线射频认证系统及认证方法。所述无线射频认证系统包括:无线射频设备及认证服务器。其中,所述无线射频设备包括:PUF单元,编码器,第一处理单元,第一认证单元以及第二处理单元,其中:所述PUF单元,适于在上电时,输出真实响应数据;所述认证服务器包括:解码器,第三处理单元,第四处理单元以及第二认证单元,所述第二处理单元及第三处理单元中的至少一个基于所述真实响应数据对相应的数据进行处理。应用上述方案可以提高无线射频设备与认证服务器认证过程中的安全性。
Description
技术领域
本发明涉及无线通信技术领域,具体涉及一种无线射频认证系统及认证方法。
背景技术
物联网被称为继计算机、互联网之后,世界信息产业的第三次浪潮。无线射频识别(Radio Frequency Identification,RFID)技术作为构建物联网的关键技术,近年来受到人们的广泛关注。基于RFID的无线射频设备也越来越多,例如智能卡、移动终端、微处理器、计算机、路由器、机顶盒等。
在实际应用中,克隆、假冒攻击、重放攻击、恶意监听、恶意拦截、非同步攻击等是对无线射频设备的主要攻击手段。为了应对上述攻击,无线射频设备在使用前,通常需要与认证服务器进行相互认证,以验证认证双方的合法性,提高后续使用的安全性。
通常情况下,无线射频设备与认证服务器之间相互认证都是基于密钥,利用密钥对某个随机数进行加密,从而验证认证双方的合法性。然而,在该认证过程中,密钥需要保存在非易失性存储器中,例如电可擦可编程只读存储器(Electrically ErasableProgrammable Read-Only Memory,EEPROM)、闪存(FLASH)等。此时,攻击者可以用探针、电子扫描镜等物理攻击技术,来获得该密钥。一旦攻击者获得了用于认证的密钥,就可以大量的伪造无线射频设备,后续使用无线射频设备的安全性得不到有效保证,无法满足用户对安全性的要求。
发明内容
本发明解决的技术问题是如何提高无线射频设备与认证服务器认证过程中的安全性。
为解决上述技术问题,本发明实施例提供一种无线射频认证系统,所述系统包括:无线射频设备及认证服务器,其中:
所述无线射频设备包括:PUF单元,编码器,第一处理单元,第一认证单元以及第二处理单元,其中:所述PUF单元,适于在上电时,输出真实响应数据;所述编码器,适于对所述真实响应数据进行编码处理,获得对应的辅助数据并发送至认证服务器;所述第一处理单元,适于在接收到所述认证服务器发送的第一处理数据时,对所述第一处理数据进行逆处理,分别获得与第一数据对应的第二数据,以及与第三数据对应的第四数据;其中,所述第一处理数据为所述认证服务器对所述第一数据及第三数据进行处理后的数据;所述第一认证单元,适于基于所述第二数据及第一数据,对所述认证服务器进行认证;所述第二处理单元,适于当所述认证服务器通过认证时,对所述第四数据进行处理,获得第二处理数据并发送至所述认证服务器,由所述认证服务器根据所述第二处理数据对所述无线射频设备进行认证;
所述认证服务器包括:解码器,第三处理单元,第四处理单元以及第二认证单元,其中:所述解码器,适于当接收到所述无线射频设备发送的辅助数据时,对所述辅助数据及对应的标准响应数据进行解码处理,获得对应的第一响应数据;所述第三处理单元,适于对第一数据及第三数据进行处理,获得第一处理数据并发送至所述无线射频设备,由所述无线射频设备根据所述第一处理数据对所述认证服务器进行认证;所述第四处理单元,适于在接收到所述无线射频设备发送的第二处理数据时,对所述第二处理数据进行逆处理,获得第五数据;其中,所述第二处理数据为所述无线射频设备对第四数据进行处理后的数据;所述第二认证单元,适于基于所述第五数据及第三数据,对所述无线射频设备进行认证;所述第二处理单元及第三处理单元中的至少一个基于所述真实响应数据对相应的数据进行处理。
可选地,所述第二处理单元适于当所述认证服务器通过认证时,将所述真实响应数据作为密钥,对所述第四数据进行加密处理,或者将所述真实响应数据作为操作数,对所述第四数据执行运算操作,获得所述第二处理数据。
可选地,所述第三处理单元适于将所述真实响应数据对应的第一响应数据作为密钥,对第一数据及第三数据进行加密处理,或者将所述真实响应数据对应的第一响应数据作为操作数,对第一数据及第三数据执行运算操作,获得所述第一处理数据。
可选地,所述无线射频设备还包括:数据获取单元,适于产生所述第一数据。
可选地,所述无线射频设备还包括:第五处理单元,适于对所述真实响应数据进行压缩或运算处理,获得长度小于所述真实响应数据的第三处理数据,并将所述第三处理数据发送至所述第一处理单元及第二处理单元中的至少一个;所述认证服务器还包括:第六处理单元,适于对所述第一响应数据进行压缩或运算处理,获得长度小于所述第一响应数据的第四处理数据,并将所述第四处理数据发送至所述第三处理单元及第四处理单元中的至少一个;所述第五处理单元与第六处理单元的处理过程相同。
可选地,所述第五处理单元适于利用所述第一数据对所述真实响应数据进行压缩或运算处理。
可选地,所述第六处理单元适于利用所述第一数据对所述第一响应数据进行压缩或运算处理。
可选地,所述无线射频设备还包括:加密单元,适于在将所述辅助数据发送至所述认证服务器之前,对所述辅助数据进行加密处理,并将加密处理后的辅助数据发送至所述认证服务器;所述认证服务还包括:解密单元,适于当接收到所述无线射频设备发送的加密后的辅助数据时,对所述加密后的辅助数据进行解密,获得所述辅助数据。
可选地,所述无线射频设备及认证服务器还包括:密钥生成单元,适于利用所述第一数据生成输出至加密单元和解密单元的密钥流。
可选地,所述数据获取单元还适于产生第六数据;所述第二处理单元适于当所述认证服务器通过认证时,对所述第六数据及所述第四数据进行处理,获得所述第二处理数据。
可选地,所述认证服务器还包括:数据产生单元,适于产生所述第三数据。
可选地,所述PUF单元还适于在上电时,输出所述真实响应数据对应的标准响应数据的标识信息并发送至认证服务器;所述认证服务器还包括:响应数据获取单元,适于在接收到所述标准响应数据的标识信息时,从所存储的PUF物理特征参数数据中获取对应的标准响应数据。
本发明实施例提供了一种认证方法,所述方法包括:无线射频设备在上电时,产生真实响应数据,并对所述真实响应数据进行编码处理,获得对应的辅助数据并发送至所述认证服务器;认证服务器对所述辅助数据及对应的标准响应数据进行解码处理,获得对应的第一响应数据,并对第一数据及第三数据进行处理,获得第一处理数据并发送至所述无线射频设备;所述无线射频设备对所述第一处理数据进行逆处理,分别获得与第一数据对应的第二数据,以及与第三数据对应的第四数据,并基于所述第二数据及第一数据,对所述认证服务器进行认证;所述无线射频设备在所述认证服务器通过认证时,对所述第四数据进行处理,获得第二处理数据并发送至所述认证服务器;所述认证服务器对所述第二处理数据进行逆处理,获得第五数据,并基于所述第五数据及第三数据,对所述无线射频设备进行认证;其中,所述无线射频设备对所述第四数据进行的处理以及所述认证服务器对第一数据及第三数据进行的处理其中至少一种处理过程为基于所述真实响应数据进行。
可选地,在所述认证服务器对第一数据及第三数据进行处理之前,还包括:所述认证服务器对所述第一响应数据进行压缩或运算处理,获得长度小于所述第一响应数据的第四处理数据;在所述无线射频设备对第四数据进行处理之前,还包括:所述无线射频设备对所述真实响应数据进行压缩或运算处理,获得长度小于所述真实响应数据的第三处理数据。
可选地,在所述无线射频设备将所述辅助数据发送至所述认证服务器之前,还包括:所述无线射频设备对所述辅助数据进行加密处理,获得加密后的辅助数据;在所述认证服务器对所述辅助数据进行解码处理之前,还包括:所述认证服务器对所述加密后的辅助数据进行解密。
相对于现有技术,本发明实施例的优点在于:
采用上述方案,由于第二处理单元及第三处理单元中的至少一个基于所述真实响应数据对相应的数据进行处理,而所述真实响应数据是在PUF单元上电时产生的,无须保存在非易失性存储器中,从而可以防止攻击者通过探针、电子扫描镜等物理攻击手段进行攻击,提高无线射频设备与认证服务器认证过程中的安全性。
通过第五处理单元对所述真实响应数据进行压缩或运算处理,可以降低第一处理单元及第二处理单元对相应数据进行处理的复杂度,提高认证速度。
通过第六处理单元对所述第一响应数据进行压缩或运算处理,可以降低第三处理单元及第四处理单元对相应数据进行处理的复杂度,提高认证速度。
在将辅助数据发送至所述认证服务器之前,对所述辅助数据进行加密处理,将加密处理后的辅助数据再发送至所述认证服务器,可以防止攻击者通过辅助数据来分析预测PUF子单元的真实响应数据,进而防止伪造无线射频设备,从而可以进一步提高无线射频设备与认证服务器认证过程中的安全性。
附图说明
图1是本发明实施例中一种无线射频认证系统的结构示意图;
图2是本发明实施例中另一种无线射频认证系统的结构示意图;
图3是本发明实施例中又一种无线射频认证系统的结构示意图;
图4是本发明实施例中又一种无线射频认证系统的结构示意图;
图5是本发明实施例中一种认证过程中的数据交互示意图。
具体实施方式
目前的双向认证过程中,密钥需要保存在非易失性存储器中。此时,攻击者可以用探针、电子扫描镜等物理攻击技术,来获得该密钥。一旦攻击者获得了用于认证的密钥,就可以大量的伪造无线射频设备,后续使用无线射频设备的安全性得不到有效保证,无法满足用户对安全性的要求。
针对上述问题,本发明实施例提供了一种无线射频认证系统,在所述无线射频认证系统中,无线射频设备中设置有PUF单元,PUF单元在上电时可以输出真实响应数据。在无线射频设备与认证服务器之间相互认证的过程中,可以基于所述真实响应数据对需要交互的数据进行处理。由于所述真实响应数据仅在PUF单元上电时产生,无须保存在非易失性存储器中,从而可以防止攻击者通过探针、电子扫描镜等物理攻击手段进行攻击,提高无线射频设备与认证服务器认证过程中的安全性。
为使本发明的上述目的、特征和有益效果能够更为明显易懂,下面结合附图对本发明的具体实施例做详细的说明。
参照图1,本发明实施例提供了一种无线射频认证系统,所述系统可以包括无线射频设备10以及认证服务器20。下面分别对所述无线射频设备10以及认证服务器20进行详细介绍:
所述无线射频设备10可以包括:PUF单元101,编码器102,第一处理单元103,第一认证单元104以及第二处理单元105。其中:
所述PUF单元101,适于在上电时,输出真实响应数据D0;
所述编码器102,适于对所述真实响应数据D0进行编码处理,获得对应的辅助数据P0并发送至认证服务器20;
所述第一处理单元103,适于在接收到所述认证服务器20发送的第一处理数据T1时,对所述第一处理数据T1进行逆处理,分别获得与第一数据W1对应的第二数据W2,以及与第三数据W3对应的第四数据W4;其中,所述第一处理数据T1为所述认证服务器20对所述第一数据W1及第三数据W3进行处理后的数据;
所述第一认证单元104,适于基于所述第二数据W2及第一数据W1,对所述认证服务器20进行认证;
所述第二处理单元105,适于当所述认证服务器20通过认证时,对所述第四数据W4进行处理,获得第二处理数据T2并发送至所述认证服务器20,由所述认证服务器20根据所述第二处理数据T2对所述无线射频设备10进行认证。
所述认证服务器20包括:解码器201,第三处理单元202,第四处理单元203以及第二认证单元204,其中:
所述解码器201,适于当接收到所述无线射频设备发送的辅助数据P0时,对所述辅助数据P0及对应的标准响应数据R0进行解码处理,获得对应的第一响应数据D1;
所述第三处理单元202,适于对第一数据W1及第三数据W3进行处理,获得第一处理数据T1并发送至所述无线射频设备10,由所述无线射频设备10根据所述第一处理数据T1对所述认证服务器20进行认证;
所述第四处理单元203,适于在接收到所述无线射频设备10发送的第二处理数据T2时,对所述第二处理数据T2进行逆处理,获得第五数据W5;其中,所述第二处理数据T2为所述无线射频设备10对第四数据W4进行处理后的数据;
所述第二认证单元204,适于基于所述第五数据W5及第三数据W3,对所述无线射频设备10进行认证;
所述第二处理单元105及第三处理单元202中的至少一个基于所述真实响应数据D0对相应的数据进行处理。
在具体实施中,基于PUF的无线射频设备10与认证服务器20相互认证之前,需要在认证服务器20上进行注册。在注册阶段,认证服务器20读取无线射频设备10中PUF单元101的PUF物理特征参数数据。通常注册过程在安全环境中进行,且仅进行一次。注册结束后,读出PUF物理特征参数数据的接口永远关闭。在认证阶段,PUF单元101上电后所产生的响应,称为真实响应数据D0;认证服务器20从PUF物理特征参数数据中获取的响应,称为标准响应数据R0。同一挑战对应的标准响应数据R0和真实响应数据D0之间存在一定的联系,利用编码算法对真实响应数据进行编码,可以得到对应的辅助数据P0,利用解码算法对所述标准响应数据R0及辅助数据P0进行解码处理,可以得到对应的真实响应数据D0。基于标准响应数据R0、真实响应数据D0以及辅助数据P0三者之间的关系,认证服务器20与无线射频设备10之间可以相互进行认证,以确认对方的合法性。
在本发明的实施例中,所述预先存储的PUF物理特征参数数据可以为表征所述无线射频设备10中PUF单元101物理特征的相关参数,通常用于产生标准响应数据。例如,当PUF单元101为SRAM PUF时,所述PUF物理特征参数可以为SRAM的全部字节值。当PUF单元101为环振PUF时,所述PUF物理特征参数可以为环振的频率值。
由于PUF单元101的真实响应数据D0仅在上电时产生,并且,PUF单元101在每次上电时所输出真实响应数据D0都是唯一且不可预测的。因此,在本发明的实施例中,基于所述真实响应数据D0对无线射频设备10与认证服务器20之间需要交互的数据进行处理,以防止攻击者通过探针、电子扫描镜等物理攻击手段进行攻击,提高无线射频设备与认证服务器认证过程中的安全性。
目前,PUF通常包括两类,一种为强PUF,一种为弱PUF。其中,强PUF存在大量的挑战响应对,但制造成本高,并且使用复杂,例如Arbiter PUF等基于电路延时的PUF,或基于模拟电路的CNN PUF等。弱PUF仅存在少量的挑战响应对,,但制造成本较低,并且使用更加简便,例如静态存储器SRAM,闪存Flash等存储器PUF。现有的无线射频设备中通常使用强PUF来进行认证,由于强PUF需要专用电路,为了安全性,需要复制多个相同的专用电路,从而造成无线射频设备的成本较高,面积较大。
在本发明的实施例中,在注册阶段,所述认证服务器20可以从所述无线射频设备10中读取部分或者全部的PUF物理特征参数数据,利用PUF物理特征参数数据与无线射频设备10进行相互认证。本发明的实施例中,所述PUF单元既可以通过强PUF来实现,也可以通过弱PUF来实现。
在具体实施中,PUF单元101输出真实响应数据D0后,编码器102对所述真实响应数据D0进行编码处理,获得对应的辅助数据P0。需要说明的是,所述编码器102可以采用多种编码方式对所述真实响应数据D0进行编码处理,具体不受限制,只要相应的编码处理后,能够获得对应的辅助数据P0即可。比如,所述编码器102可以采用Golay码、Reed-Muller码或BCH码的编码方式对所述真实响应数据D0进行编码处理。具体编码时,还可以利用随机数进行编码,以增强所获得的辅助数据P0的随机性。
所述解码器201接收到辅助数据P0,对所述辅助数据P0及对应的标准响应数据R0进行解码处理,获得对应的第一响应数据D1。可以理解的是,所述解码器201对所述辅助数据P0的解码方式,与所述编码器102对所述真实响应数据D0的编码方式相对应。
需要说明的是,在本发明的实施例中,所述认证服务器20可以预先仅存储一个标准响应数据所对应的PUF物理特征参数数据。换句话说,认证服务器20在注册阶段时,可以仅从无线射频设备10中读取一个标准响应数据所对应的PUF物理特征参数数据,由此不仅可以进一步节约认证服务器20的存储空间,而且可以减少注册阶段与无线射频设备10之间的数据交互,提高注册速度。此时,所述PUF单元101在上电后仅输出真实响应数据D0即可,解码器202在接收到所述辅助数据P0后,可以直接根据所存储的PUF物理特征参数数据获得对应的标准响应数据R0,并进行解码。
例如,当所述PUF单元101为256字节的SRAM PUF时,在注册阶段,所述认证服务器20可以仅从无线射频设备10中读出SRAM的部分字节值,也就是对应一个标准响应数据的PUF物理特征参数数据。
又如,当所述PUF单元101为256个环振频率的环振PUF时,在注册阶段,所述认证服务器20可以从无线射频设备10中读出部分环振的频率值,也就是对应一个标准响应数据的PUF物理特征参数数据。
当然,所述认证服务器20还可以预先存储两个以上的标准响应数据所对应的PUF物理特征参数数据,此时,所述PUF单元101在上电后,除输出真实响应数据D0外,还输出对应的标准响应数据的标识信息。相应地,所述第三认证单元20还可以包括:响应数据获取单元(未示出),适于当接收到所述无线射频设备10发送的标准响应数据的标识信息时,从预先存储的PUF物理特征参数数据中,获取与所述标准响应数据的标识信息对应的标准响应数据R0。所述解码器202可以根据所述响应数据获取单元获取到的标准响应数据R0进行解码。
获得第一响应数据D1后,所述第三处理单元202对第一数据W1及第三数据W3进行处理,获得第一处理数据T1。所述第一处理单元103在接收到第一处理数据T1后,对所述第一处理数据T1进行逆处理,分别获得与第一数据W1对应的第二数据W2,以及与第三数据W3对应的第四数据W4。
其中,所述第三处理单元202可以先对所述第一数据W1及第三数据W3进行拼接后,得到拼接后的数据W1||W3,再对拼接后的数据W1||W3进行相应地处理,以便第一处理单元103在对所述第一数据W1及第三数据W3进行逆处理后,可以恢复出所述第二数据W2及第四数据W4。
在具体实施中,所述第三处理单元202对拼接后的数据W1||W3进行处理时,可以存在多种处理方式,包括但不限于加密、相关运算等。例如,所述第三处理单元202可以通过密码运算的方式,对拼接后的数据W1||W3进行处理。其中,所选择的密码算法可以为对称密码算法,例如,DES算法、RC2算法、RC4算法、RC5算法和Blowfish算法等;还可以为非对称密码算法,例如RSA算法、ECC算法和Knapsack算法等。其中,所述密码算法还可以包括但不限于上述标准算法及简化的定制算法。所述相关运算包括但不限于哈希运算。
可以理解的是,由于所述第一处理单元103与所述第三处理单元202的处理过程互逆,因此,本领域技术人员可以参照上述对第三处理单元202的描述,选择与所述第三处理单元202的逆处理算法对所述第一处理数据T1进行处理即可。比如,所述第三处理单元202选择DES加密算法对拼接后的数据W1||W3进行加密处理时,所述第一处理单元103可以选择对应的DES解密算法对第一处理数据T1进行解密处理。
在具体实施中,所述第三处理单元202基于所述真实响应数据D0对拼接后的数据W1||W3进行处理时,可以基于对所述真实响应数据D0解码后所获得的第一响应数据D1对拼接后的数据W1||W3进行处理。例如,当所述第三处理单元202的处理方式为加密处理时,可以将所述第一响应数据D1作为密钥,对拼接后的数据W1||W3进行处理。当所述第三处理单元202的处理方式为相关运算时,可以将所述第一响应数据D1作为所述相关运算的一操作数,对拼接后的数据W1||W3执行相应的运算操作。
需要说明的是,在具体实施中,所述第一数据W1可以为无线射频设备10产生的,也可以为无线射频设备10从其它设备或器件中获取到的,具体不受限制。在本发明的一实施例中,为了获得更高的安全性,所述第一数据W1可以是从包含有限个数值的集合中随机抽取的,且每次所抽取的数值均不同。当然,所述第一数据W1也可以为随机数,只要使得每次认证中的第一数据W1均不相同即可。
需要说明的是,在具体实施中,所述第三数据W3可以为认证服务器20产生的,也可以为认证服务器20从其它设备或器件中获取到的,具体不受限制。在本发明的一实施例中,为了获得更高的安全性,所述第三数据W3可以是从包含有限个数值的集合中随机抽取的,且每次所抽取的数值均不同。当然,所述第三数据W3也可以为随机数,只要使得每次认证中的第三数据W3均不相同即可。
获得第二数据W2后,所述第一认证单元104可以将所述第二数据W2与第一数据W1进行对比,对所述认证服务器进行认证,并输出认证结果Out1。具体地,若二者相同,则所述认证服务器20通过认证,即所述认证服务器20为合法的服务器。若二者不同,则所述认证服务器20未通过认证,即所述认证服务器20为非法的服务器。
当所述认证服务器20通过认证时,所述第二处理单元105继续对所述第四数据W4进行处理,获得第二处理数据T2。所述第四处理单元203在接收到第二处理数据T2时,对所述第二处理数据T2进行逆处理,获得第五数据W5,最后由第二认证单元204将第五数据W5与第三数据W3进行比对,并输出认证结果Out2。若二者相同,则所述无线射频设备10通过认证,即所述无线射频设备10为合法设备,否则所述无线射频设备10未通过认证,即所述无线射频设备10为非法设备。
需要说明的是,PUF单元101输出的真实响应数据D0每次都略有不同,通过第三处理单元202以及第二处理单元105的处理之后,对应得到的第一处理数据T1以及第二处理数据T2能够满足伪随机数的要求,攻击者从认证服务器20与无线射频设备10的数据交互过程中获取的第一处理数据T1等同于随机数。
在具体实施中,本领域技术人员可以参照上述对所述第三处理单元202的描述进行实施所述第二处理单元105,以及参照上述对所述第一处理单元103的描述实施所述第四处理单元203,此处不再赘述。
需要说明的是,当所述第二处理单元105基于所述真实响应数据D0对第四数据W4进行处理时,可以直接利用所述真实响应数据D0对第四数据W4进行处理,例如,将所述真实响应数据D0作为密钥,对第四数据W4进行加密处理,或者将所述真实响应数据D0作为所述相关运算的一操作数,对第四数据W4进行相应的运算操作。
所述第二处理单元105也可以先将第四数据W4与第六数据W6进行拼接,得到拼接后的数据W4||W6,再利用所述真实响应数据D0对拼接后的数据W4||W6进行处理。例如,将所述真实响应数据D0作为密钥,对拼接后的数据W4||W6进行加密处理,或者将所述真实响应数据D0作为所述相关运算的一操作数,对拼接后的数据W4||W6进行相应的运算操作。
在具体实施中,可以参照上述对第一数据W1的描述实施所述第六数据W6,此处不再赘述。
在本发明的一实施例中,所述无线射频设备可以包括:数据获取单元106,适于产生第一数据W1。当所述数据获取单元106产生第一数据W1后,可以分别将第一数据W1发送至第一认证单元104以及第三处理单元202。在具体实施中,所述数据获取单元106还适于产生第六数据W6,并将所产生的第六数据W6发送至第二处理单元105。
在本发明的一实施例中,所述认证服务器可以包括:数据产生单元205,适于产生所述第三数据W3,并将所述第三数据W3发送至第三处理单元202和第二认证单元204。
参照图2,本发明实施例还提供了另一种无线射频认证系统。与图1中示出的实施例不同之处在于,所述无线射频设备10还包括:第五处理单元107,适于对所述真实响应数据D0进行压缩或运算处理,获得长度小于所述真实响应数据D0的第三处理数据T3,并将所述第三处理数据T3发送至将所述第一处理单元103及第二处理单元105中的至少一个。
相应地,所述认证服务器20还包括:第六处理单元206,适于对所述第一响应数据D1进行压缩或运算处理,获得长度小于所述第一响应数据D1的第四处理数据T4,并将所述第四处理数据T4发送至所述第三处理单元202及第四处理单元203中的至少一个。
通常情况下,所述真实响应数据D0的长度较长,经所述第五处理单元107的压缩或运算处理后,得到第三处理数据T3。第三处理数据T3的长度较短,更适合所述第一处理单元103或第二处理单元105对相应数据的处理。例如,所述真实响应数据D0的长度为300Byte,经第五处理单元107的压缩或运算处理后,数据T3的长度为128bit,其中,1Byte=8bit。
相似地,所述第一响应数据D1的长度也较长,经所述第六处理单元206的压缩或运算处理后,得到第四处理数据T4。第四处理数据T4的长度较短,更适合所述第三处理单元202及第四处理单元203对相应数据进行处理。
需要说明的是,在具体实施中,所述第五处理单元107以及第六处理单元206的处理过程相同。具体的压缩算法或运算操作不受限制,比如,可以采用相邻比特位进行异或的方法,对所述真实响应数据D0及第一响应数据D1进行压缩,也可以采用哈希算法对所述真实响应数据D0及第一响应数据D1进行相应的运算操作。
需要说明的是,在具体实施中,所述第三处理数据T3是否发送至第一处理单元103及第二处理单元105,以及所述第四处理数据T4是否发送至所述第三处理单元202及第四处理单元203,可以根据实际情况进行设置。
比如,当所述第三处理单元202利用第四处理数据T4对第一数据W1及第三数据W3进行处理时,所述第五处理单元107将所述第三处理数据T3发送至所述第一处理单元103,否则无须将所述第三处理数据T3发送至所述第一处理单元103。当所述第二处理单元105利用所述第三处理数据T3对所述第四数据W4进行处理时,所述第六处理单元206将所述第四处理数据T4发送至所述第四处理单元203,否则无须将所述第四处理数据T4发送至所述第四处理单元203。
参照图3,本发明的实施例还提供了又一种无线射频认证系统。与图2中示出的实施例不同之处在于,所述无线射频设备10还包括:加密单元108,适于在将所述辅助数据P0发送至所述认证服务器20之前,对所述辅助数据P0进行加密处理,并将加密处理后的辅助数据P1发送至所述认证服务器20。
相应地,所述认证服务器20还包括:解密单元207,适于当接收到所述无线射频设备发送的加密后的辅助数据P1时,对所述加密后的辅助数据P1进行解密,获得所述辅助数据P0。
在具体实施中,所述加密单元108用于加密的密钥,以及所述解密单元207用于解密的密钥,可以为固定密钥,也可以为利用随机数产生的密钥流,具体不受限制。并且,所述加密单元108可以利用对称密码算法对所述辅助数据P0进行加密,也可以利用非对称密码算法对所述辅助数据P0进行加密,具体不受限制。
可以理解的是,所述解密单元207对加密后的辅助数据P1进行解密时,所选择的解密算法与加密单元108所选择的密码算法相对应。比如,所述加密单元108选择的密码算法为DES加密算法时,所述解密单元207可以选择对应的DES解密算法。通过解密单元207的解密,可以获得辅助数据P0,从而由解码器201对辅助数据P0以及标准响应数据R0进行解码处理,得到第一响应数据D1。
参照图4,本发明的实施例还提供了又一种无线射频认证系统。与图3中示出的实施例不同之处在于,所述无线射频设备10以及所述认证服务器20均还包括:密钥生成单元109,适于利用所述第一数据W1生成输出至加密单元108和解密单元207的密钥流key。所述加密单元108可以将所述密钥流key作为对辅助数据P0进行加密的密钥,所述解密单元207可以将所述密钥流key作为对所述加密后的辅助数据P1进行解密的密钥。
需要说明的是,所述密钥流key的具体长度及形式不受限制,只要所述加密单元108和解密单元207采用均采用所述密钥流key进行加密或解密即可。比如,当第一数据W1为随机数时,所述密钥流key为利用随机数产生的随机密钥流,当所述第一数据W1为固定数时,所述密钥流key为利用固定数产生的固定密钥流。
综上可知,本发明实施例的无线射频认证系统,由于无线射频设备10以及认证服务器20在相互认证的过程中,可以利用PUF单元101的真实响应数据对所交互的部分或全部数据进行处理。由于PUF每次所产生的真实响应数据不完全相同,存在一定的随机性,这样使得每次认证中,经过各个处理单元处理后数据都是随机的,因此可以防止攻击者获取相应的数据并分析以伪造无线射频设备,提高认证过程中的安全性。
为了使本领域技术人员更好地理解和实现本发明,以下对上述无线射频认证系统对应的认证方法进行详细描述。
参照图5,本发明实施例还提供了一种认证方法,所述认证方法可以包括如下步骤:
S51:无线射频设备10在上电时,产生真实响应数据D0,并对所述真实响应数据D0进行编码处理,获得对应的辅助数据P0;
S52:所述无线射频设备10将辅助数据P0发送至认证服务器20;
S53:所述认证服务器20对所述辅助数据P0及对应的标准响应数据R0进行解码处理,获得对应的第一响应数据D1,并对第一数据W1及第三数据W3进行处理,获得第一处理数据T1;
S54:所述认证服务器20将所述第一处理数据T1发送至所述无线射频设备10;
S55:所述无线射频设备10对所述第一处理数据T1进行逆处理,分别获得与第一数据W1对应的第二数据W2,以及与第三数据W3对应的第四数据W4,并基于所述第二数据W2及第一数据W1,对所述认证服务器20进行认证;
S56:所述无线射频设备10在所述认证服务器20通过认证时,对所述第四数据W4进行处理,获得第二处理数据T2;
S57:所述无线射频设备10将第二处理数据T2发送至所述认证服务器20;
S58:所述认证服务器20对所述第二处理数据T2进行逆处理,获得第五数据W5,并基于所述第五数据W5及第三数据W3,对所述无线射频设备10进行认证。
其中,所述无线射频设备10对所述第四数据W4进行的处理基于所述真实响应数据D0进行,或者所述认证服务器20对第一数据W1及第三数据W3进行的处理基于所述真实响应数据D0进行,或者所述无线射频设备10对所述第四数据W4进行的处理以及所述认证服务器20对第一数据W1及第三数据W3进行的处理均基于所述真实响应数据D0进行。
在具体实施中,为了降低所述认证服务器20对第一数据W1及第三数据W3进行处理的复杂度,所述认证服务器20在对第一数据W1及第三数据W3进行处理之前,可以先对第一响应数据D1进行压缩或运算处理,获得长度小于所述第一响应数据D1的第四处理数据T4。所述认证服务器20可以利用所述第四处理数据T4对第一数据W1及第三数据W3进行处理。
相应地,所述无线射频设备10对第四数据W4进行处理之前,可以先对所述真实响应数据D0进行压缩或运算处理,获得长度小于所述真实响应数据D0的第三处理数据T3。所述无线射频设备10可以利用第三处理数据T3对所述第四数据W4进行处理。
在具体实施中,为了进一步提高数据交互过程中的安全性,所述无线射频设备10将所述辅助数据P0发送至所述认证服务器20之前,可以先对所述辅助数据P0进行加密处理,获得加密后的辅助数据P1。相应地,所述认证服务器20对所述辅助数据P0进行解码处理之前,可以先对加密后的辅助数据P1进行解密,获得辅助数据P0,进而再对所述辅助数据P0解码。
需要说明的是,本发明的上述实施例中,所述无线射频设备为基于无线射频技术的设备,包括但不限于智能卡、移动终端、微处理器、计算机、路由器、机顶盒等。具体无论所述无线射频设备的表现形式如何,均不够成对本发明的限制,且均在本发明的保护范围之内。
需要说明的是,本发明的上述实施例中,所述认证服务器为与所述无线射频设备适配的无线射频服务器。比如,所述无线射频设备为智能卡时,所述认证服务器可以为读卡器。并且,所述认证服务器可以是一台独立的专用服务器,也可以同时提供其它服务,比如可以在其他服务器上开辟一块专用的存储区和内存区,以提供性能监测服务。当然,无论是采用何种方式的认证服务器,只要可以与所述无线射频设备进行数据交互即可。
由上述内容可知,本发明实施例中的认证方法,在相互认证的过程中,利用PUF产生的真实响应数据对所交互的部分或全部数据进行处理,进而可以防止攻击者获取相应的数据并分析,从而可以防止攻击者伪造无线射频设备中的PUF子单元,提高认证过程中的安全性。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:ROM、RAM、磁盘或光盘等。
虽然本发明披露如上,但本发明并非限定于此。任何本领域技术人员,在不脱离本发明的精神和范围内,均可作各种更动与修改,因此本发明的保护范围应当以权利要求所限定的范围为准。
Claims (15)
1.一种无线射频认证系统,其特征在于,包括:无线射频设备及认证服务器,其中:
所述无线射频设备包括:PUF单元,编码器,第一处理单元,第一认证单元以及第二处理单元,其中:
所述PUF单元,适于在上电时,输出真实响应数据;
所述编码器,适于对所述真实响应数据进行编码处理,获得对应的辅助数据并发送至认证服务器;
所述第一处理单元,适于在接收到所述认证服务器发送的第一处理数据时,对所述第一处理数据进行逆处理,分别获得与第一数据对应的第二数据,以及与第三数据对应的第四数据;其中,所述第一处理数据为所述认证服务器对所述第一数据及第三数据进行处理后的数据;
所述第一认证单元,适于基于所述第二数据及第一数据,对所述认证服务器进行认证;
所述第二处理单元,适于当所述认证服务器通过认证时,对所述第四数据进行处理,获得第二处理数据并发送至所述认证服务器,由所述认证服务器根据所述第二处理数据对所述无线射频设备进行认证;
所述认证服务器包括:解码器,第三处理单元,第四处理单元以及第二认证单元,其中:
所述解码器,适于当接收到所述无线射频设备发送的辅助数据时,对所述辅助数据及对应的标准响应数据进行解码处理,获得对应的第一响应数据;所述标准响应数据为:所述认证服务器从所述PUF单元中读取的PUF物理特征参数数据中获取的响应;
所述第三处理单元,适于对第一数据及第三数据进行处理,获得第一处理数据并发送至所述无线射频设备,由所述无线射频设备根据所述第一处理数据对所述认证服务器进行认证;
所述第四处理单元,适于在接收到所述无线射频设备发送的第二处理数据时,对所述第二处理数据进行逆处理,获得第五数据;其中,所述第二处理数据为所述无线射频设备对第四数据进行处理后的数据;
所述第二认证单元,适于基于所述第五数据及第三数据,对所述无线射频设备进行认证;
所述第二处理单元及第三处理单元中的至少一个基于所述真实响应数据对相应的数据进行处理。
2.如权利要求1所述的无线射频认证系统,其特征在于,所述第二处理单元适于当所述认证服务器通过认证时,将所述真实响应数据作为密钥,对所述第四数据进行加密处理,或者将所述真实响应数据作为操作数,对所述第四数据执行运算操作,获得所述第二处理数据。
3.如权利要求1所述的无线射频认证系统,其特征在于,所述第三处理单元适于将所述真实响应数据对应的第一响应数据作为密钥,对第一数据及第三数据进行加密处理,或者将所述真实响应数据对应的第一响应数据作为操作数,对第一数据及第三数据执行运算操作,获得所述第一处理数据。
4.如权利要求1所述的无线射频认证系统,其特征在于,所述无线射频设备还包括:数据获取单元,适于产生所述第一数据。
5.如权利要求4所述的无线射频认证系统,其特征在于,
所述无线射频设备还包括:第五处理单元,适于对所述真实响应数据进行压缩或运算处理,获得长度小于所述真实响应数据的第三处理数据,并将所述第三处理数据发送至所述第一处理单元及第二处理单元中的至少一个;
所述认证服务器还包括:第六处理单元,适于对所述第一响应数据进行压缩或运算处理,获得长度小于所述第一响应数据的第四处理数据,并将所述第四处理数据发送至所述第三处理单元及第四处理单元中的至少一个;
所述第五处理单元与第六处理单元的处理过程相同。
6.如权利要求5所述的无线射频认证系统,其特征在于,所述第五处理单元适于利用所述第一数据对所述真实响应数据进行压缩或运算处理。
7.如权利要求5所述的无线射频认证系统,其特征在于,所述第六处理单元适于利用所述第一数据对所述第一响应数据进行压缩或运算处理。
8.如权利要求4所述的无线射频认证系统,其特征在于,
所述无线射频设备还包括:加密单元,适于在将所述辅助数据发送至所述认证服务器之前,对所述辅助数据进行加密处理,并将加密处理后的辅助数据发送至所述认证服务器;
所述认证服务还包括:解密单元,适于当接收到所述无线射频设备发送的加密后的辅助数据时,对所述加密后的辅助数据进行解密,获得所述辅助数据。
9.如权利要求8所述的无线射频认证系统,其特征在于,所述无线射频设备及认证服务器还包括:密钥生成单元,适于利用所述第一数据生成输出至加密单元和解密单元的密钥流。
10.如权利要求4所述的无线射频认证系统,其特征在于,所述数据获取单元还适于产生第六数据;
所述第二处理单元适于当所述认证服务器通过认证时,对所述第六数据及所述第四数据进行处理,获得所述第二处理数据。
11.如权利要求1所述的无线射频认证系统,其特征在于,所述认证服务器还包括:数据产生单元,适于产生所述第三数据。
12.如权利要求1~11任一项所述的无线射频认证系统,其特征在于,所述PUF单元还适于在上电时,输出所述真实响应数据对应的标准响应数据的标识信息并发送至认证服务器;
所述认证服务器还包括:响应数据获取单元,适于在接收到所述标准响应数据的标识信息时,从所存储的PUF物理特征参数数据中获取对应的标准响应数据。
13.一种认证方法,其特征在于,所述方法包括:
无线射频设备在上电时,产生真实响应数据,并对所述真实响应数据进行编码处理,获得对应的辅助数据并发送至所述认证服务器;
认证服务器对所述辅助数据及对应的标准响应数据进行解码处理,获得对应的第一响应数据,并对第一数据及第三数据进行处理,获得第一处理数据并发送至所述无线射频设备;所述标准响应数据为:所述认证服务器从PUF单元中读取的PUF物理特征参数数据中获取的响应;
所述无线射频设备对所述第一处理数据进行逆处理,分别获得与第一数据对应的第二数据,以及与第三数据对应的第四数据,并基于所述第二数据及第一数据,对所述认证服务器进行认证;
所述无线射频设备在所述认证服务器通过认证时,对所述第四数据进行处理,获得第二处理数据并发送至所述认证服务器;
所述认证服务器对所述第二处理数据进行逆处理,获得第五数据,并基于所述第五数据及第三数据,对所述无线射频设备进行认证;
其中,所述无线射频设备对所述第四数据进行的处理以及所述认证服务器对第一数据及第三数据进行的处理其中至少一种处理过程为基于所述真实响应数据进行。
14.如权利要求13所述的认证方法,其特征在于,在所述认证服务器对第一数据及第三数据进行处理之前,还包括:所述认证服务器对所述第一响应数据进行压缩或运算处理,获得长度小于所述第一响应数据的第四处理数据;
在所述无线射频设备对第四数据进行处理之前,还包括:所述无线射频设备对所述真实响应数据进行压缩或运算处理,获得长度小于所述真实响应数据的第三处理数据。
15.如权利要求13所述的认证方法,其特征在于,在所述无线射频设备将所述辅助数据发送至所述认证服务器之前,还包括:所述无线射频设备对所述辅助数据进行加密处理,获得加密后的辅助数据;
在所述认证服务器对所述辅助数据进行解码处理之前,还包括:所述认证服务器对所述加密后的辅助数据进行解密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610414230.1A CN107493172B (zh) | 2016-06-13 | 2016-06-13 | 无线射频认证系统及认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610414230.1A CN107493172B (zh) | 2016-06-13 | 2016-06-13 | 无线射频认证系统及认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107493172A CN107493172A (zh) | 2017-12-19 |
| CN107493172B true CN107493172B (zh) | 2020-07-17 |
Family
ID=60642462
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610414230.1A Active CN107493172B (zh) | 2016-06-13 | 2016-06-13 | 无线射频认证系统及认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107493172B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108108988A (zh) * | 2018-03-08 | 2018-06-01 | 合肥宇胜物联网标识科技有限公司 | 一种陶瓷标识防伪和追溯的方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2230794A2 (en) * | 2009-03-16 | 2010-09-22 | Technische Universität München | Towards Electrical, Integrated Implementations of SIMPL Systems |
| CN103345690A (zh) * | 2013-07-19 | 2013-10-09 | 中山大学 | 一种基于rfid和物理不可克隆函数的防伪方法 |
| CN103905202A (zh) * | 2014-03-28 | 2014-07-02 | 广东工业大学 | 一种基于puf的rfid轻量级双向认证方法 |
| CN104468094A (zh) * | 2013-09-24 | 2015-03-25 | 瑞萨电子株式会社 | 加密密钥提供方法、半导体集成电路及加密密钥管理设备 |
-
2016
- 2016-06-13 CN CN201610414230.1A patent/CN107493172B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2230794A2 (en) * | 2009-03-16 | 2010-09-22 | Technische Universität München | Towards Electrical, Integrated Implementations of SIMPL Systems |
| CN103345690A (zh) * | 2013-07-19 | 2013-10-09 | 中山大学 | 一种基于rfid和物理不可克隆函数的防伪方法 |
| CN104468094A (zh) * | 2013-09-24 | 2015-03-25 | 瑞萨电子株式会社 | 加密密钥提供方法、半导体集成电路及加密密钥管理设备 |
| CN103905202A (zh) * | 2014-03-28 | 2014-07-02 | 广东工业大学 | 一种基于puf的rfid轻量级双向认证方法 |
Non-Patent Citations (1)
| Title |
|---|
| "嵌入式SoC片上SRAM PUF的设计与实现";刘客;《中国优秀硕士学位论文全文数据库 信息科技辑》;20140615;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107493172A (zh) | 2017-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10015159B2 (en) | Terminal authentication system, server device, and terminal authentication method | |
| TWI489847B (zh) | 資料加密方法、資料驗證方法及電子裝置 | |
| CN108737326B (zh) | 用于进行令牌验证的方法、系统、装置及电子设备 | |
| CA2969332C (en) | A method and device for authentication | |
| CN110690956B (zh) | 双向认证方法及系统、服务器和终端 | |
| US10511438B2 (en) | Method, system and apparatus using forward-secure cryptography for passcode verification | |
| MXPA03003710A (es) | Metodos para cambiar a distancia una contrasena de comunicaciones. | |
| CN112637161B (zh) | 数据传输方法和存储介质 | |
| CN110868291B (zh) | 一种数据加密传输方法、装置、系统及存储介质 | |
| KR101739203B1 (ko) | 일회용 개인키 기반 전자 서명과 동형 암호를 이용한 패스워드 기반 사용자 인증 방법 | |
| CN111526007B (zh) | 一种随机数生成方法及系统 | |
| CN107493171A (zh) | 无线射频设备、认证服务器及认证方法 | |
| CN111786777B (zh) | 一种流式数据加解密方法、装置、系统及存储介质 | |
| CN111291398B (zh) | 基于区块链的认证方法、装置、计算机设备及存储介质 | |
| CN107493172B (zh) | 无线射频认证系统及认证方法 | |
| CN107493572B (zh) | 一种无线射频设备、认证服务器及认证方法 | |
| KR101912403B1 (ko) | 장비들 간의 보안 인증 방법 | |
| CN107493253B (zh) | 无线射频设备、服务器及无线射频通信系统 | |
| KR102377265B1 (ko) | 네트워크 내의 장치 | |
| CN110784868B (zh) | 无线通信的加密和解密、数据传输方法及无线通信系统 | |
| CN114205142A (zh) | 数据传输方法、装置、电子设备和存储介质 | |
| CN108738014B (zh) | 无线射频设备、认证服务器、认证系统及安全认证方法 | |
| CN109302284B (zh) | 一种硬件钱包 | |
| JP4611642B2 (ja) | 認証システム | |
| CN113726720B (zh) | 物联网设备通信方法、设备、服务器和通信系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |