CN107493572B - 一种无线射频设备、认证服务器及认证方法 - Google Patents
一种无线射频设备、认证服务器及认证方法 Download PDFInfo
- Publication number
- CN107493572B CN107493572B CN201610420488.2A CN201610420488A CN107493572B CN 107493572 B CN107493572 B CN 107493572B CN 201610420488 A CN201610420488 A CN 201610420488A CN 107493572 B CN107493572 B CN 107493572B
- Authority
- CN
- China
- Prior art keywords
- data
- radio frequency
- wireless radio
- processing
- authentication server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种无线射频设备、认证服务器及认证方法。所述无线射频设备包括:包括:第一认证单元,所述第一认证单元包括:PUF子单元、编码器以及第一处理子单元,其中:所述PUF子单元,适于在上电时,输出真实响应数据;所述编码器,适于对所述真实响应数据进行编码处理,获得对应的辅助数据,并将所述辅助数据发送至所述认证服务器;所述第一处理子单元,适于对所述真实响应数据进行处理,获得对应的第一处理数据,并发送至所述认证服务器。应用上述方案,可以提高无线射频设备与认证服务器认证过程中的安全性。
Description
技术领域
本发明涉及无线通信技术领域,具体涉及一种无线射频设备、认证服务器及认证方法。
背景技术
物联网被称为继计算机、互联网之后,世界信息产业的第三次浪潮。无线射频识别(Radio Frequency Identification, RFID)技术作为构建物联网的关键技术,近年来受到人们的广泛关注。基于RFID的无线射频设备也越来越多,例如智能卡、移动终端、微处理器、计算机、路由器、机顶盒等。
在实际应用中,克隆、假冒攻击、重放攻击、恶意监听、恶意拦截、非同步攻击等是对无线射频设备的主要攻击手段。为了应对上述攻击,无线射频设备在使用前,通常需要与认证服务器进行相互认证,以验证认证双方的合法性,提高后续使用的安全性。
通常情况下,无线射频设备与认证服务器之间相互认证都是基于密钥,利用密钥对某个随机数进行加密,从而验证认证双方的合法性。然而,在该认证过程中,密钥需要保存在非易失性存储器中,例如EEPROM、FLASH等。此时,攻击者可以用探针、电子扫描镜等物理攻击技术,来获得该密钥。一旦攻击者获得了用于认证的密钥,就可以大量的伪造无线射频设备,后续使用无线射频设备的安全性得不到有效保证。
为了抵抗物理攻击以及克隆攻击,无线射频设备中设置了物理不可克隆(Physically Unclonable Function,PUF)单元,利用PUF单元进行认证。PUF技术是当今半导体安全技术的新突破。PUF单元在上电时,给定一个输入,其基于制造过程中不可避免产生的随机物理差异,可以输出一个唯一的不可预测的响应,此时的输入即为该响应对应的挑战。由于PUF单元的响应无须存储,因此可以节约无线射频设备的存储空间,并且,设置有PUF单元的无线射频设备可以抵抗物理攻击以及克隆攻击。
每个芯片在其生产制造过程中都会不可避免地产生许多个体之间的差异,所以无论芯片如何设计,在制造流程中,芯片与芯片之间总会产生微小的差异,即使在设计、封装、制造工艺完全一致的条件下,也不可能复制出两个一模一样的芯片。该物理差异来源于制造过程中无法控制的因素,从而PUF天然拥有唯一性、随机性和不可克隆性。PUF上电时,响应存在,掉电的时候,响应消失。即使是制造商也无法仿制,从而可以广泛地应用于安全和防伪。
然而,在现有的基于PUF的无线射频设备与认证服务器相互认证过程中,攻击者利用相应的攻击手段仍然能够伪造无线射频设备,导致认证的安全性较差,无法满足用户对安全性的要求。
发明内容
本发明解决的技术问题是如何提高无线射频设备与认证服务器认证过程中的安全性,以防止攻击者通过攻击来伪造无线射频设备。
为解决上述技术问题,本发明实施例提供一种无线射频设备,所述无线射频设备包括:第一认证单元,适于认证服务器对所述无线射频设备进行认证,所述第一认证单元包括:PUF子单元、编码器以及第一处理子单元,其中:所述PUF子单元,适于在上电时,输出真实响应数据;所述编码器,适于对所述真实响应数据进行编码处理,获得对应的辅助数据,并将所述辅助数据发送至所述认证服务器;所述第一处理子单元,适于对所述真实响应数据进行处理,获得对应的第一处理数据,并发送至所述认证服务器,由所述认证服务器根据所述辅助数据以及第一处理数据对所述无线射频设备进行认证。
可选地,所述无线射频设备还包括:第二认证单元,适于在所述认证服务器对所述无线射频设备进行认证之前,与所述认证服务器进行数据交互,对所述认证服务器进行认证。
可选地,所述第二认证单元包括:获取子单元,适于获取第一随机数并发送至所述认证服务器;第三处理子单元,适于对所述第一随机数进行处理,得到第二处理数据;第一认证子单元,适于当接收到所述认证服务器发送的第三处理数据时,对所述认证服务器进行认证,其中,所述第三处理数据为所述认证服务器对所述第一随机数进行处理后的数据,且与所述第二处理数据对应的处理过程相同。
可选地,所述第一认证单元还包括:加密子单元,适于在将所述辅助数据发送至所述认证服务器之前,对所述辅助数据进行加密处理,并将加密处理后的辅助数据发送至所述认证服务器。
可选地,所述第一认证单元还包括:第一密钥生成子单元,适于利用第一数据及所述第二处理数据中的至少一个生成第一密钥流。
可选地,所述第一处理子单元,适于利用所述第一密钥流,对所述真实响应数据进行处理。
可选地,所述加密子单元,适于利用所述第一密钥流,对所述辅助数据进行加密处理。
可选地,所述PUF子单元还适于在上电时,输出所述真实响应数据对应的标准响应数据的标识信息,并将所述标准响应数据的标识信息发送至所述认证服务器。
本发明实施例还提供了一种认证服务器,所述认证服务器包括:第三认证单元,适于对无线射频设备进行认证;所述第三认证单元包括:解码器,第二处理子单元以及第二认证子单元,其中:所述解码器,适于当接收到所述无线射频设备发送的辅助数据时,对所述辅助数据及对应的标准响应数据进行解码处理,获得对应的第一响应数据,所述辅助数据为对所述无线射频设备中PUF子单元输出的真实响应数据进行编码处理后的数据;所述第二处理子单元,适于对所述第一响应数据进行处理,获得第四处理数据;所述第二认证子单元,适于当接收到所述无线射频设备发送的第一处理数据时,基于所述第四处理数据及第一处理数据,对所述无线射频设备进行认证,其中,所述第一处理数据为所述无线射频设备对所述PUF子单元输出的真实响应数据进行处理后的数据,且与所述第四处理数据对应的处理过程相同。
可选地,所述认证服务器还包括:第四认证单元,适于在所述第三认证单元对所述无线射频设备进行认证之前,与所述无线射频设备进行交互,由所述无线射频设备对所述服务器进行认证。
可选地,所述第四认证单元包括:第四处理子单元,适于当接收到所述无线射频设备发送的第一随机数时,对所述第一随机数进行处理,得到第三处理数据,并发送至所述无线射频设备,由所述无线射频设备基于所述第三处理数据对所述认证服务器进行认证。
可选地,所述第三认证单元还包括:解密子单元,适于当接收到所述无线射频设备发送的加密后的辅助数据时,对所述加密后的辅助数据进行解密,获得所述辅助数据。
可选地,所述第三认证单元还包括:第二密钥生成子单元,适于利用第一数据及所述第三处理数据中的至少一个生成第二密钥流。
可选地,所述第二处理子单元,适于利用所述第二密钥流,对所述第一响应数据进行处理,获得所述第四处理数据。
可选地,所述解密子单元适于利用所述第二密钥流,对所述加密后的辅助数据进行解密,获得所述辅助数据。
可选地,所述第三认证单元还包括:第一数据获取子单元,适于产生所述第一数据。
可选地,所述第三认证单元还包括:响应数据获取子单元,适于当接收到所述无线射频设备发送的标准响应数据的标识信息时,从预先存储的PUF物理特征参数数据中,获取与所述标准响应数据的标识信息对应的标准响应数据,所述PUF物理特征参数数据为用于产生标准响应数据的数据。
本发明实施例还提供了一种无线射频设备的认证方法,所述方法包括:获取PUF上电时输出的真实响应数据;对所述真实响应数据进行编码处理,获得对应的辅助数据,并将所述辅助数据发送至所述认证服务器;对所述真实响应数据进行处理,获得对应的第一处理数据,并发送至所述认证服务器,由所述认证服务器根据所述辅助数据以及第一处理数据对所述无线射频设备进行认证。
可选地,所述方法还包括:在所述认证服务器对所述无线射频设备进行认证之前,与所述认证服务器进行数据交互,对所述认证服务器进行认证。
可选地,所述在所述认证服务器对所述无线射频设备进行认证之前,与所述认证服务器进行数据交互,对所述认证服务器进行认证,包括:获取第一随机数并发送至所述认证服务器;对所述第一随机数进行处理,得到第二处理数据;当接收到所述认证服务器发送的第三处理数据时,对所述认证服务器进行认证,其中,所述第三处理数据与所述第二处理数据对应的处理过程相同。
本发明实施例还提供了另一种无线射频设备的认证方法,所述方法包括:当接收到所述无线射频设备发送的辅助数据时,对所述辅助数据及对应的标准响应数据进行解码处理,获得对应的第一响应数据,所述辅助数据为对所述无线射频设备输出的真实响应数据进行编码处理后的数据;对所述第一响应数据进行处理,获得第四处理数据;当接收到所述无线射频设备发送的第一处理数据时,基于所述第四处理数据及第一处理数据,对所述无线射频设备进行认证,其中,所述第一处理数据与所述第四处理数据对应的处理过程相同。
可选地,所述方法还包括:在对所述无线射频设备进行认证之前,与所述无线射频设备进行交互,在所述无线射频设备中进行认证。
可选地,所述在对所述无线射频设备进行认证之前,与所述无线射频设备进行交互,在所述无线射频设备中进行认证,包括:当接收到所述无线射频设备发送的第一随机数时,对所述第一随机数进行处理,得到第三处理数据,并发送至所述无线射频设备,由所述无线射频设备基于所述第三处理数据进行认证。
相对于现有技术,本发明实施例的优点在于:
采用上述无线射频设备,利用PUF子单元本身的随机性,获得真实响应数据后,对所述真实响应数据进行处理后再发送至认证服务器,而非将所述真实响应数据直接发送至所述认证服务器,故可以防止攻击者获取并通过分析PUF子单元的真实输出数据来伪造PUF子单元,进而可以防止伪造无线射频设备,提高无线射频设备与认证服务器认证过程中的安全性。
在认证服务器对无线射频设备进行认证之前,对所述认证服务器进行认证,可以防止假冒的认证服务器获得辅助数据和第一处理数据,从而可以防止攻击者通过辅助数据来分析预测PUF子单元的真实响应数据,进而防止伪造无线射频设备,因而可以进一步提高无线射频设备与认证服务器认证过程中的安全性。
在将辅助数据发送至所述认证服务器之前,利用固定密钥或第一密钥流对所述辅助数据进行加密处理,将加密处理后的辅助数据再发送至所述认证服务器,可以防止攻击者通过辅助数据来分析预测PUF子单元的真实响应数据,进而防止伪造无线射频设备,从而可以进一步提高无线射频设备与认证服务器认证过程中的安全性。
当第一数据及所述第二处理数据中的至少一个为随机数时,利用随机数生成所述第一密钥流,可以使得所述第一密钥流更加随机化,提高加密的安全性。
当第一数据及所述第三处理数据中的至少一个为随机数时,利用随机数生成所述第二密钥流,可以使得所述第二密钥流更加随机化,提高加密的安全性。
当预先存储的PUF物理特征参数数据对应一个标准响应数据时,此时所述认证服务器仅保存一个标准响应数据,也就是说,认证服务器在注册阶段时,仅从无线射频设备中读取一个标准响应数据所对应的PUF物理特征参数数据,由此不仅可以进一步节约认证服务器的存储空间,而且可以减少注册阶段与无线射频设备之间的数据交互,提高注册速度。
附图说明
图1是本发明实施例中一种第一认证单元及第三认证单元的结构示意图;
图2是本发明实施例中另一种第一认证单元及第三认证单元的结构示意图;
图3是本发明实施例中一种第二认证单元及第四认证单元的结构示意图;
图4是是本发明实施例中又一种第一认证单元及第三认证单元的结构示意图;
图5是本发明实施例中一种无线射频设备的认证方法的流程图;
图6是本发明实施例中另一种无线射频设备的认证方法的流程图。
具体实施方式
在设置有PUF单元的无线射频设备中,由于PUF单元在上电时,响应存在,掉电时,响应消失,因此,利用PUF单元进行认证,可以防止探针、电子扫描等物理攻击。另外,由于每个PUF单元在其生产制造过程中都会不可避免地产生许多个体之间的差异,该物理差异来源于制造过程中无法控制的因素,所以无论PUF单元如何设计,PUF单元与PUF单元之间总会存在一些微小的差异,即使在设计、封装、制造工艺完全一致的条件下,也不可能复制出两个一模一样的PUF单元,从而PUF单元天然拥有唯一性和不可克隆性,可以抵抗重放攻击、侧信道攻击以及恶意攻击等攻击手段。
目前,与认证服务器进行相互认证的过程中,无线射频设备与认证服务器之间均以真实的数据进行交互,也就是说,无线射频设备与认证服务器均将真实的数据直接发送至对方。其中,所述真实的数据包括PUF单元的挑战以及真实响应数据。在上述认证过程中,攻击者往往可以通过截取认证过程中的真实数据,进而对所截取的数据进行分析,根据分析结果来伪造PUF单元,进而可以伪造无线射频设备。
针对上述问题,本发明实施例提供了一种无线射频设备,所述无线射频设备包括第一认证单元,所述第一认证单元中设置有第二处理子单元,所述第二处理子单元可以对所述真实响应数据进行处理,获得对应的第一处理数据,并发送至所述认证服务器,由所述认证服务器根据所述辅助数据以及第一处理数据对所述无线射频设备进行认证,由于所述第一处理数据非所述真实响应数据本身,故可以防止攻击者通过截取所述真实响应数据来伪造PUF子单元,提高无线射频设备与认证服务器认证过程中的安全性。
为使本发明的上述目的、特征和有益效果能够更为明显易懂,下面结合附图对本发明的具体实施例做详细的说明。
参照图1,本发明实施例提供了一种无线射频设备,所述无线射频设备可以包括:第一认证单元10。所述第一认证单元10适于认证服务器对所述无线射频设备进行认证。
在具体实施中,所述第一认证单元10可以包括:PUF子单元101、编码器102以及第一处理子单元103,其中:
所述PUF子单元101,适于在上电时,输出真实响应数据D1;
所述编码器102,适于对所述真实响应数据D1进行编码处理,获得对应的辅助数据P1,并将所述辅助数据P1发送至所述认证服务器;
所述第一处理子单元103,适于对所述真实响应数据D1进行处理,获得对应的第一处理数据T1,并发送至所述认证服务器,由所述认证服务器根据所述辅助数据P1以及第一处理数据T1对所述无线射频设备进行认证。
对应地,本发明的实施例还提供了一种认证服务器,所述认证服务器可以包括:第三认证单元20。所述第三认证单元20适于对所述无线射频设备进行认证。
在具体实施中,所述第三认证单元20包括:解码器202,第二处理子单元203以及第二认证子单元204,其中:
所述解码器202,适于当接收到所述无线射频设备发送的辅助数据P1时,对所述辅助数据P1及对应的标准响应数据D0进行解码处理,获得对应的第一响应数据D2,所述辅助数据P1为对所述无线射频设备输出的真实响应数据D1进行编码处理后的数据;
所述第一处理子单元203,适于对所述第一响应数据D2进行处理,获得第四处理数据T4;
所述第二认证子单元204,适于当接收到所述无线射频设备发送的第一处理数据T1时,基于所述第四处理数据T4及第一处理数据T1,对所述无线射频设备进行认证。其中,所述第一处理数据T1为所述认证服务器对所述真实响应数据D1进行处理后的数据,且与所述第四处理数据T4对应的处理过程相同。
在具体实施中,基于PUF的无线射频设备与认证服务器相互认证之前,需要在认证服务器上进行注册。在注册阶段,认证服务器读取无线射频设备中PUF子单元101的PUF物理特征参数数据。通常注册过程在安全环境中进行,且仅进行一次。注册结束后,读出PUF物理特征参数数据的接口永远关闭。在认证阶段,PUF子单元101在上电后所产生的响应,称为真实响应数据;认证服务器从PUF物理特征参数数据中获取的响应,称为标准响应数据。同一挑战对应的标准响应数据和真实响应数据之间存在一定的联系,利用编码算法对真实响应数据进行编码,可以得到对应的辅助数据,利用解码算法对所述标准响应数据及辅助数据进行解码处理,可以得到对应的真实响应数据。基于标准响应数据、真实响应数据以及辅助数据三者之间的关系,认证服务器可以对无线射频设备进行认证,以确认无线射频设备的合法性。
在第一认证单元10中,所述PUF子单元101输出真实响应数据D1后,所述编码器102对所述真实响应数据D1进行编码处理,获得对应的辅助数据P1,所述第一处理子单元103对所述真实响应数据D1进行处理,获得对应的第一处理数据T1。
需要说明的是,所述编码器102可以采用多种编码方式对所述真实响应数据D1进行编码处理,具体不受限制,只要相应的编码处理后,能够获得对应的辅助数据P1即可。比如,所述编码器102可以采用Golay码、Reed-Muller码或BCH码的编码方式对所述真实响应数据D1进行编码处理。具体编码时,还可以利用随机数进行编码,以增强所获得的辅助数据的随机性。
在具体实施中,所述第一处理子单元103对所述真实响应数据D1进行处理时,可以存在多种处理方式,包括但不限于加密、相关运算等。例如,所述第一处理子单元103可以通过密码运算的方式,对所述真实响应数据D1进行处理。其中,所选择的密码算法可以为摘要算法,例如SHA-256等;也可以为对称密码算法,例如,DES算法、RC2算法、RC4算法、RC5算法和Blowfish算法等;还可以为非对称密码算法,例如RSA算法、ECC算法和Knapsack算法等。其中,所述密码算法还可以包括但不限于上述标准算法及简化的定制算法。
在第三认证单元20中,解码器202接收到所述无线射频设备发送的辅助数据P1后,对标准响应数据D0以及辅助数据P1进行解码,得到第一响应数据D2,通过第二处理子单元203对第一响应数据D2进行处理,得到第四处理数据T4,最终由第二认证子单元204比较第四处理数据T4以及第一处理数据T1,判断二者是否相同,若相同,则所述无线射频设备是合法的,否则所述无线射频设备是非法的。
在具体实施中,本领域技术人员可以参照上述对所述第一处理子单元103的描述实施所述第二处理子单元203,此处不再赘述。需要说明的是,所述第一处理数据T1与第四处理数据T4对应的处理过程相同,也就是说,所述第一处理子单元103以及所述第二处理子单元203采用相同的处理算法及参数对各自输入的数据进行处理。比如,当所述第一处理子单元103采用DES加密算法对真实响应数据D1进行加密处理时,所述第二处理子单元203也采用DES加密算法对第一响应数据D2进行加密处理,并且所述第一处理子单元103及第二处理子单元203进行加密处理时的密钥相同。
目前,PUF通常包括两类,一种为强PUF,一种为弱PUF。其中,强PUF存在大量的挑战响应对,防攻击性强,但制造成本高,并且使用复杂,例如Arbiter PUF等基于电路延时的PUF,或基于模拟电路的CNN PUF 等。弱PUF仅存在少量的挑战响应对,防攻击性弱,但制造成本较低,并且使用更加简便,例如静态存储器SRAM,闪存Flash等存储器PUF。现有的无线射频设备中通常使用强PUF来进行认证,由于强PUF需要专用电路,为了安全性,需要复制多个相同的专用电路,从而造成无线射频设备的成本较高,面积较大。
在本发明的实施例中,所述预先存储的PUF物理特征参数数据可以为表征所述无线射频设备中PUF子单元101物理特征的相关参数,通常用于产生标准响应数据。例如,当PUF子单元101为SRAM PUF时,所述PUF物理特征参数可以为SRAM的全部字节值。当PUF子单元101为环振PUF时,所述PUF物理特征参数可以为环振的频率值。
在注册阶段,所述认证服务器可以从所述无线射频设备中读取部分或者全部的PUF物理特征参数数据,利用PUF物理特征参数数据与无线射频设备进行相互认证。本发明的实施例中,所述PUF子单元既可以通过强PUF来实现,也可以通过弱PUF来实现。
在本发明的实施例中,所述认证服务器可以预先仅存储一个标准响应数据所对应的PUF物理特征参数数据。换句话说,认证服务器在注册阶段时,可以仅从无线射频设备中读取一个标准响应数据所对应的PUF物理特征参数数据,由此不仅可以进一步节约认证服务器的存储空间,而且可以减少注册阶段与无线射频设备之间的数据交互,提高注册速度。此时,所述PUF子单元101在上电后仅输出真实响应数据即可,解码器202在接收到所述辅助数据后,可以直接根据所存储的PUF物理特征参数数据获得对应的标准响应数据D0,并进行解码。
例如,当所述PUF子单元101为256字节的SRAM PUF时,在注册阶段,所述认证服务器可以仅从无线射频设备中读出SRAM的一个字节值,也就是对应一个标准响应数据的PUF物理特征参数数据。
又如,当所述PUF子单元101为256个环振频率的环振PUF时,在注册阶段,所述认证服务器可以从无线设备中读出一个环振的频率值,也就是对应一个标准响应数据的PUF物理特征参数数据。
当然,所述认证服务器还可以预先存储两个以上的标准响应数据所对应的PUF物理特征参数数据,此时,所述PUF子单元101在上电后,除输出真实响应数据D1外,还输出对应的标准响应数据的标识信息S。相应地,所述第三认证单元20还可以包括:响应数据获取子单元201,适于当接收到所述无线射频设备发送的标准响应数据的标识信息S时,从预先存储的PUF物理特征参数数据中,获取与所述标准响应数据的标识信息S对应的标准响应数据D0。所述解码器202可以根据所述响应数据获取子单元201获取到的标准响应数据D0进行解码。
需要说明的是,所述标准响应数据的标识信息S可以通过多种形式来标识所述标准响应数据,具体不受限制,只要认证服务器根据该标准响应数据的标识信息S可以从预先存储的PUF物理特征参数数据中获取到对应的标准响应数据即可。比如,所述标准响应数据的标识信息S可以为对应标准响应数据的起始地址信息。
参照图2,本发明的另一实施例中,提供了一种无线射频设备以及对应的认证服务器。与图1中示出的实施例不同之处在于,所述第一认证单元10还包括:加密子单元104。所述加密子单元104适于在将所述辅助数据P1发送至所述认证服务器之前,对所述辅助数据P1进行加密处理,并将加密处理后的辅助数据P0发送至所述认证服务器。其中,所述密钥可以为固定密钥,也可以为利用随机数产生的密钥流,具体不受限制。
对应地,所述第三认证单元20还可以包括:解密子单元205。所述解密子单元205适于当接收到所述无线射频设备发送的加密后的辅助数据P0时,对所述加密后的辅助数据P0进行解密。
在具体实施中,所述加密子单元104可以利用对称密码算法对所述辅助数据P1进行加密,也可以利用非对称密码算法对所述辅助数据P1进行加密,具体可以参照上述对所述第一处理子单元103的描述进行实施。
可以理解的是,所述解密子单元205对加密后的辅助数据P0进行解密时,所选择的解密算法与加密子单元104所选择的密码算法相对应。比如,所述加密子单元104选择的密码算法为DES加密算法时,所述解密子单元205可以选择对应的DES解密算法。通过解密子单元205的解密,可以获得辅助数据P1,从而由解码器202对辅助数据P1以及标准响应数据D0进行解码处理,得到第一响应数据D2。
在具体实施中,无线射频设备与认证服务器相互认证时,既可以由无线射频设备先对认证服务器进行认证,再由认证服务器对所述无线射频设备进行认证,也可以由所述认证服务器先对所述无线射频设备进行认证,再由所述无线射频设备对认证服务器进行认证,具体认证顺序不受限制,但无论以何种顺序进行认证,均不够成对本发明的限制,且均在本发明的保护范围之内。
参照图3,在本发明的又一实施例中,提供了一种无线射频设备及对应的认证服务器。与图1中示出的实施例不同之处在于,除所述第一认证单元外,所述无线射频设备还可以包括:第二认证单元11。所述第二认证单元11适于在所述认证服务器对所述无线射频设备进行认证之前,与所述认证服务器进行数据交互,对所述认证服务器进行认证。也就是说,具体认证时,先由无线射频设备对所述认证服务器进行认证,再由认证服务器对所述无线射频设备进行认证,由此可以防止假冒的认证服务器获得辅助数据和第一处理数据T1,进一步提高无线射频设备与认证服务器认证过程中的安全性。
在具体实施中,所述第二认证单元11可以包括:获取子单元111,第三处理子单元112以及第一认证子单元113。其中:
所述获取子单元111,适于获取第一随机数R1并发送至所述认证服务器;
所述第三处理子单元112,适于对所述第一随机数R1进行处理,得到第二处理数据T2;
所述第一认证子单元113,适于当接收到所述认证服务器发送的第三处理数据T3时,对所述认证服务器进行认证,其中,所述第三处理数据T3为所述认证服务器对所述第一随机数进行处理后的数据,且与所述第二处理数据T2对应的处理过程相同。
对应地,所述认证服务器可以包括:第四认证单元21,适于在第三认证单元11对所述无线射频设备进行认证之前,与所述无线射频设备进行交互,由所述无线射频设备进行认证。
在具体实施中,所述第四认证单元21可以包括:第四处理子单元211,适于当接收到所述无线射频设备发送的第一随机数R1时,对所述第一随机数R1进行处理,得到第三处理数据T3,并发送至所述无线射频设备,由所述无线射频设备基于所述第三处理数据T3对所述认证服务器进行认证。
需要说明的是,在具体实施中,所述第一随机数R1可以是由所述无线射频设备自身产生的,也可以是由所述无线射频设备从其它设备中获取到的,并且,所述第一随机数R1的长度、具体数值以及表现形式均不受限制。
在具体实施中,所述第二处理数据T2与所述第三处理数据T3的处理过程相同,也就是说,所述第三处理子单元112以及所述第四处理子单元211采用相同的处理算法及参数对第一随机数R1进行处理。比如,当所述第三处理子单元112采用DES加密算法对第一随机数R1进行加密处理时,所述第四处理子单元211也采用DES加密算法对第一随机数R1进行加密处理,并且所述第三处理子单元112及第四处理子单元211进行加密处理时的密钥相同。具体实施所述第三处理子单元112以及所述第四处理子单元211时,可以参照上述对第一处理子单元103以及第二处理子单元203的描述,此处不再赘述。
在具体实施中,所述第一认证子单元113接收到所述认证服务器发送的第三处理数据T3时,可以将所述第三处理数据T3与所述第二处理数据T2进行比较。若二者相同,则所述认证服务器通过认证,即所述认证服务器为合法的认证服务器,进而可以由所述第一认证单元与认证服务器进行交互,完成认证服务器对所述无线射频设备的认证,否则所述认证服务器为非法的认证服务器。
参照图4,在本发明的再一实施例中,提供了一种无线射频设备以及对应的认证服务器。与图2中示出的实施例不同的是,所述第一认证单元10还可以包括:第一密钥生成子单元105。所述第一密钥生成子单元105适于利用第一数据R2以及第二处理数据T2中的至少一个生成所述第一密钥流key1。
对应地,所述认证服务器20还可以包括:第二密钥生成子单元206,所述第二密钥生成子单元206适于利用第一数据R2及所述第三处理数据T3中的至少一个生成第二密钥流key2。
在具体实施中,所述第一密钥生成子单元105可以仅利用第一数据R2生成第一密钥流key1,也可以仅利用第二处理数据T2生成第一密钥流key1,还可以同时利用第一数据R2及第二处理数据T2生成第一密钥流key1。由于所述第一数据R2可以为随机数,也可以为固定数据,因此,所述第一密钥流key1可以为随机密钥,也可以为固定密钥。
在具体实施中,所述第二密钥生成子单元206可以仅利用包括第一数据R2生成第二密钥流key2,也可以仅利用第三处理数据T3生成第二密钥流key2,还可以同时利用第一数据R2及第三处理数据T3生成第二密钥流key2。由于所述第一数据R2可以为随机数,也可以为固定数据,因此,所述第二密钥流key2可以为随机密钥,也可以为固定密钥。
此时,在第一认证单元10中,所述第一处理子单元103以及加密子单元104中的部分或全部可以利用第一密钥生成子单元105所生成的第一密钥流key1进行处理。比如,所述第一处理子单元103可以利用第一密钥流key1对真实响应数据D1进行加密处理。所述加密子单元104可以利用第一密钥流key1对辅助数据P1进行加密处理。
在第三认证单元20中,所述第二处理子单元203以及所述解密子单元205中的部分或者全部可以利用第二密钥生成子单元206所生成的第二密钥流key2进行处理。比如,所述第二处理子单元203可以利用第二密钥流key2对对第一响应数据D2进行加密处理,所述解密子单元205可以利用第二密钥流key2对加密后的辅助数据P0进行解密处理。
需要说明的是,所述第一数据R2可以为所述认证服务器产生的,也可以为所述认证服务器从其它设备或器件中获取到的,具体不受限制。并且,在具体实施中,为了获得更高的安全性,可以限制所述认证服务器对所述无线射频设备进行认证的次数。例如,所述认证服务器仅可对所述无线射频设备进行20次认证,若达到认证次数时,所述无线射频设备仍未通过认证服务器的认证,则最终认证失败,即所述无线射频设备为不合法的设备。此种情况下,每次认证过程中的第一数据可以是从包含n 个数值的集合中随机抽取的,或者为随机数,只要使得每个认证中的第一数据R2均不相同即可。
在本发明的一实施例中,所述认证服务器可以包括:第一数据获取子单元207,适于产生第一数据R2。第一数据获取子单元207可以在产生所述第一数据R2后,将其分别发送至所述第一密钥生成子单元105以及第二密钥生成子单元206,使得所述第一密钥生成子单元105及第二密钥生成子单元206可以利用所述第一数据R2产生相应的密钥流。
需要说明的是,在具体实施中,所述第一处理子单元103、第二处理子单元203以及加密子单元104对相应的数据进行处理时,以及解密子单元205对相应的数据进行解密处理时,可以分别使用不同的密钥,也可以部分子单元使用相同的密钥,还可以全部子单元均使用相同的密钥,具体不受限制,只要相同或相对应的子单元使用相同的密钥即可。并且,各个子单元所使用的密钥可以是由所述无线射频设备自身生成的,也可以是所述无线射频设备从其它设备中获取到的。但具体无论以何种方式获取所述密钥,均不构成对本发明的限制,且均在本发明的保护范围之内。
需要说明的是,在具体实施中,若无线射频设备通过对认证服务器的认证,即所述认证服务器是合法的,此时所述第二处理数据T2及第三处理数据T3相同,第一处理子单元103对真实响应数据D1进行处理时的密钥,与第二处理子单元203对第一响应数据D2进行处理时的密钥也就相同。若所述认证服务器为假冒的服务器,则在无线射频设备对认证服务器进行认证阶段,第一处理子单元103对真实响应数据D1进行处理时的密钥,与第二处理子单元203对第一响应数据D2进行处理时的密钥也就不同,最终导致无线射频设备无法通过认证服务器的认证。
需要说明的是,PUF子单元101输出的真实响应数据D1每次都略有不同,通过第一处理子单元103处理之后,得到的第一处理数据T1能够满足伪随机数的要求,攻击者从认证服务器与无线射频设备的数据交互过程中获取的第一处理数据T1等同于随机数。当第一数据R2为随机数时,若第一密钥生成子单元105中使用了认证服务器发送的第一数据R2,并且产生的密钥参与处理真实响应数据D1,则攻击者无法使用伪造的无线射频设备进行重放攻击。
综上可知,本发明实施例中的无线射频设备以及认证服务器,在相互认证的过程中,对所交互的部分或全部数据进行处理,进而可以防止攻击者获取相应的数据并分析,从而可以防止攻击者伪造无线射频设备中的PUF子单元,提高认证过程中的安全性。
在具体实施中,本领域技术人员根据需要,可以采用本发明上述实施例中提供的无线射频设备以及与其相应的认证服务器,组成无线射频认证系统,相应地提高无线射频设备及认证服务器相互认证过程中的安全性。
为了使本领域技术人员更好地理解和实现本发明,以下对上述无线射频设备以及认证服务器对应的认证方法进行详细描述。
参照图5,本发明实施例提供了一种无线射频设备的认证方法,所述方法可以包括如下步骤:
步骤51,获取PUF上电时输出的真实响应数据;
步骤52,对所述真实响应数据进行编码处理,获得对应的辅助数据,并将所述辅助数据发送至所述认证服务器;
步骤53,对所述真实响应数据进行处理,获得对应的第一处理数据,并发送至所述认证服务器,由所述认证服务器根据所述辅助数据以及第一处理数据对所述无线射频设备进行认证。
需要说明的是,在具体实施中,步骤52及步骤53的执行顺序不受限制,既可以先执行步骤52,再执行步骤53,也可以先执行步骤53,再执行步骤52,还可以同时执行步骤52及53。
在具体实施中,所述方法还可以包括:在所述认证服务器对所述无线射频设备进行认证之前,与所述认证服务器进行数据交互,对所述认证服务器进行认证。
具体地,可以先获取第一随机数并发送至所述认证服务器,再对对所述第一随机数进行处理,得到第二处理数据,最后当接收到所述认证服务器发送的第三处理数据时,对所述认证服务器进行认证,其中,所述第三处理数据与所述第二处理数据对应的处理过程相同。
参照图6,本发明实施例还提供了另一种无线射频设备的认证方法,所述方法可以包括如下步骤:
步骤61,当接收到所述无线射频设备发送的辅助数据时,对所述辅助数据及对应的标准响应数据进行解码处理,获得对应的第一响应数据;
其中,所述辅助数据为对所述无线射频设备输出的真实响应数据进行编码处理后的数据;
步骤62,对所述第一响应数据进行处理,获得第四处理数据。
步骤63,当接收到所述无线射频设备发送的第一处理数据时,基于所述第四处理数据及第一处理数据,对所述无线射频设备进行认证。
其中,所述第一处理数据与所述第四处理数据对应的处理过程相同。
在具体实施中,所述方法还可以包括:在对所述无线射频设备进行认证之前,与所述无线射频设备进行交互,在所述无线射频设备中进行认证。具体地,当接收到所述无线射频设备发送的第一随机数时,对所述第一随机数进行处理,得到第三处理数据,并发送至所述无线射频设备,由所述无线射频设备基于所述第三处理数据进行认证。
需要说明的是,本发明的上述实施例中,所述无线射频设备为基于无线射频技术的设备,包括但不限于智能卡、移动终端、微处理器、计算机、路由器、机顶盒等。具体无论所述无线射频设备的表现形式如何,均不够成对本发明的限制,且均在本发明的保护范围之内。
需要说明的是,本发明的上述实施例中,所述认证服务器为与所述无线射频设备适配的无线射频服务器。比如,所述无线射频设备为智能卡时,所述认证服务器可以为读卡器。并且,所述认证服务器可以是一台独立的专用服务器,也可以同时提供其它服务,比如可以在其他服务器上开辟一块专用的存储区和内存区,以提供性能监测服务。当然,无论是采用何种方式的认证服务器,只要可以与所述无线射频设备进行数据交互即可。
由上述内容可知,本发明实施例中的认证方法,在相互认证的过程中,通过对所交互的部分或全部数据进行处理,进而可以防止攻击者获取相应的数据并分析,从而可以防止攻击者伪造无线射频设备中的PUF子单元,提高认证过程中的安全性。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:ROM、RAM、磁盘或光盘等。
虽然本发明披露如上,但本发明并非限定于此。任何本领域技术人员,在不脱离本发明的精神和范围内,均可作各种更动与修改,因此本发明的保护范围应当以权利要求所限定的范围为准。
Claims (10)
1.一种无线射频设备,其特征在于,包括:第一认证单元,适于认证服务器对所述无线射频设备进行认证,所述第一认证单元包括:PUF子单元、编码器以及第一处理子单元,其中:
所述PUF子单元,适于在上电时,输出真实响应数据,以及输出所述真实响应数据对应的标准响应数据的标识信息,并将所述标准响应数据的标识信息发送至所述认证服务器;所述标准响应数据为注册阶段认证服务器从PUF物理特征参数数据中获取的响应,以使得所述认证服务器在接收到所述无线射频设备发送的标准响应数据的标识信息时,从预先存储的PUF物理特征参数数据中,获取与所述标准响应数据的标识信息对应的标准响应数据;
所述编码器,适于对所述真实响应数据进行编码处理,获得对应的辅助数据,并将所述辅助数据发送至所述认证服务器;
所述第一处理子单元,适于对所述真实响应数据进行处理,获得对应的第一处理数据,并发送至所述认证服务器,由所述认证服务器根据所述辅助数据以及第一处理数据对所述无线射频设备进行认证,具体为:所述认证服务器在接收到所述无线射频设备发送的辅助数据时,对所述辅助数据及对应的标准响应数据进行解码处理,获得对应的第一响应数据,对所述第一响应数据进行处理,获得第四处理数据;在接收到所述无线射频设备发送的第一处理数据时,基于所述第四处理数据及第一处理数据,对所述无线射频设备进行认证;
所述无线射频设备还包括:第二认证单元,适于在所述认证服务器对所述无线射频设备进行认证之前,对所述认证服务器进行认证;
所述第一认证单元还包括:加密子单元及第一密钥生成子单元;
所述加密子单元,适于在将所述辅助数据发送至所述认证服务器之前,对所述辅助数据进行加密处理,并将加密处理后的辅助数据发送至所述认证服务器;
所述第一密钥生成子单元,适于利用第一数据生成第一密钥流,所述第一数据为随机数。
2.如权利要求1所述的无线射频设备,其特征在于,所述第二认证单元,适于在所述认证服务器对所述无线射频设备进行认证之前,与所述认证服务器进行数据交互,对所述认证服务器进行认证。
3.如权利要求2所述的无线射频设备,其特征在于,所述第二认证单元包括:
获取子单元,适于获取第一随机数并发送至所述认证服务器;
第三处理子单元,适于对所述第一随机数进行处理,得到第二处理数据;
第一认证子单元,适于当接收到所述认证服务器发送的第三处理数据时,对所述认证服务器进行认证,其中,所述第三处理数据为所述认证服务器对所述第一随机数进行处理后的数据,且与所述第二处理数据对应的处理过程相同。
4.如权利要求3所述的无线射频设备,其特征在于,所述第一处理子单元,适于利用所述第一密钥流,对所述真实响应数据进行处理。
5.如权利要求3所述的无线射频设备,其特征在于,所述加密子单元,适于利用所述第一密钥流,对所述辅助数据进行加密处理。
6.一种认证服务器,其特征在于,包括:第三认证单元,适于对无线射频设备进行认证;所述第三认证单元包括:解码器,第二处理子单元、第二认证子单元及响应数据获取子单元,其中:
所述解码器,适于当接收到所述无线射频设备发送的辅助数据时,对所述辅助数据及对应的标准响应数据进行解码处理,获得对应的第一响应数据,所述辅助数据为对所述无线射频设备中PUF子单元输出的真实响应数据进行编码处理后的数据;
所述第二处理子单元,适于对所述第一响应数据进行处理,获得第四处理数据;
所述第二认证子单元,适于当接收到所述无线射频设备发送的第一处理数据时,基于所述第四处理数据及第一处理数据,对所述无线射频设备进行认证,其中,所述第一处理数据为所述无线射频设备对所述PUF子单元输出的真实响应数据进行处理后的数据,且与所述第四处理数据对应的处理过程相同;
所述认证服务器还包括:第四认证单元,适于在所述第三认证单元对所述无线射频设备进行认证之前,与所述无线射频设备进行交互,由所述无线射频设备对所述服务器进行认证;
所述响应数据获取子单元,适于当接收到所述无线射频设备发送的标准响应数据的标识信息时,从预先存储的PUF物理特征参数数据中,获取与所述标准响应数据的标识信息对应的标准响应数据,所述PUF物理特征参数数据为用于产生标准响应数据的数据;所述标准响应数据为注册阶段认证服务器从PUF物理特征参数数据中获取的响应;
所述第三认证单元还包括解密子单元及第二密钥生成子单元;所述解密子单元,适于当接收到所述无线射频设备发送的加密后的辅助数据时,对所述加密后的辅助数据进行解密,获得所述辅助数据;所述第二密钥生成子单元,适于利用第一数据生成第二密钥流,所述第一数据为随机数。
7.如权利要求6所述的认证服务器,其特征在于,所述第四认证单元包括:第四处理子单元,适于当接收到所述无线射频设备发送的第一随机数时,对所述第一随机数进行处理,得到第三处理数据,并发送至所述无线射频设备,由所述无线射频设备基于所述第三处理数据对所述认证服务器进行认证。
8.如权利要求7所述的认证服务器,其特征在于,所述第二处理子单元,适于利用所述第二密钥流,对所述第一响应数据进行处理,获得所述第四处理数据。
9.如权利要求7所述的认证服务器,其特征在于,所述解密子单元适于利用所述第二密钥流,对所述加密后的辅助数据进行解密,获得所述辅助数据。
10.如权利要求7所述的认证服务器,其特征在于,所述第三认证单元还包括:第一数据获取子单元,适于产生所述第一数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610420488.2A CN107493572B (zh) | 2016-06-13 | 2016-06-13 | 一种无线射频设备、认证服务器及认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610420488.2A CN107493572B (zh) | 2016-06-13 | 2016-06-13 | 一种无线射频设备、认证服务器及认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107493572A CN107493572A (zh) | 2017-12-19 |
| CN107493572B true CN107493572B (zh) | 2021-04-02 |
Family
ID=60642389
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610420488.2A Active CN107493572B (zh) | 2016-06-13 | 2016-06-13 | 一种无线射频设备、认证服务器及认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107493572B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111756525B (zh) * | 2019-03-26 | 2023-01-17 | 北京普安信科技有限公司 | 一种传送高质量密钥的方法、服务器、终端及系统 |
| CN112600860B (zh) * | 2021-03-02 | 2021-06-18 | 浙江口碑网络技术有限公司 | 设备身份认证的方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102325131A (zh) * | 2011-07-20 | 2012-01-18 | 北京邮电大学 | 无线传感器网络节点双向身份认证方法 |
| CN102970679A (zh) * | 2012-11-21 | 2013-03-13 | 联想中望系统服务有限公司 | 基于身份的安全签名方法 |
| CN104836669A (zh) * | 2015-05-08 | 2015-08-12 | 东南大学 | 一种基于sram puf的安全认证方法及一种终端、认证系统 |
| CN105324777A (zh) * | 2013-07-04 | 2016-02-10 | 凸版印刷株式会社 | 装置及认证系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150134966A1 (en) * | 2013-11-10 | 2015-05-14 | Sypris Electronics, Llc | Authentication System |
-
2016
- 2016-06-13 CN CN201610420488.2A patent/CN107493572B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102325131A (zh) * | 2011-07-20 | 2012-01-18 | 北京邮电大学 | 无线传感器网络节点双向身份认证方法 |
| CN102970679A (zh) * | 2012-11-21 | 2013-03-13 | 联想中望系统服务有限公司 | 基于身份的安全签名方法 |
| CN105324777A (zh) * | 2013-07-04 | 2016-02-10 | 凸版印刷株式会社 | 装置及认证系统 |
| CN104836669A (zh) * | 2015-05-08 | 2015-08-12 | 东南大学 | 一种基于sram puf的安全认证方法及一种终端、认证系统 |
Non-Patent Citations (2)
| Title |
|---|
| Anthony van Herrewege等.Reverse Fuzzy Extractors: Enabling Lightweight Mutual Authentication for PUF-enabled RFIDs.《Financial Cryptography and Data Security》.2012, * |
| Reverse Fuzzy Extractors: Enabling Lightweight Mutual Authentication for PUF-enabled RFIDs;Anthony van Herrewege等;《Financial Cryptography and Data Security》;20121231;第1-8节 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107493572A (zh) | 2017-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108737326B (zh) | 用于进行令牌验证的方法、系统、装置及电子设备 | |
| WO2012001796A1 (ja) | 個体別情報生成装置及び個体別情報生成方法 | |
| US10511438B2 (en) | Method, system and apparatus using forward-secure cryptography for passcode verification | |
| CN101765996A (zh) | 远程认证和交易签名 | |
| CA2969332C (en) | A method and device for authentication | |
| EP2996277B1 (en) | Securing a crytographic device against implementation attacks | |
| JP2012527190A (ja) | 対称暗号化システムにおいてデバイスを安全に識別し認証するためのシステムおよび方法 | |
| CN107493171A (zh) | 无线射频设备、认证服务器及认证方法 | |
| CN105656862A (zh) | 认证方法及装置 | |
| CN106100823B (zh) | 保护密码装置 | |
| Avoine et al. | A survey of security and privacy issues in ePassport protocols | |
| Oke et al. | Developing multifactor authentication technique for secure electronic voting system | |
| Liou et al. | A sophisticated RFID application on multi-factor authentication | |
| EP3358492A1 (en) | Electronic device with self-protection and anti-cloning capabilities and related method | |
| KR20100031354A (ko) | Otp를 이용한 태그 보안 처리 방법 | |
| CN107493572B (zh) | 一种无线射频设备、认证服务器及认证方法 | |
| CN107463977B (zh) | 通过无接触式读取对卡进行认证的电路和方法 | |
| EP3185504A1 (en) | Security management system for securing a communication between a remote server and an electronic device | |
| JP6246516B2 (ja) | 情報処理システム | |
| CN104579692A (zh) | 一种基于智能卡的信息处理方法 | |
| CN107493172B (zh) | 无线射频认证系统及认证方法 | |
| CN107493253B (zh) | 无线射频设备、服务器及无线射频通信系统 | |
| CN110098915A (zh) | 认证方法及系统、终端 | |
| CN108738014B (zh) | 无线射频设备、认证服务器、认证系统及安全认证方法 | |
| Auletta et al. | Increasing privacy threats in the cyberspace: The case of italian e-passports |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |