CN109040067B - 一种基于物理不可克隆技术puf的用户认证设备及认证方法 - Google Patents

Abstract

本发明公开了一种基于物理不可克隆技术PUF的用户认证设备，包括物理不可克隆模块PUF、认证模块、认证控制模块、随机数发生器和计数器，其中：所述物理不可克隆模块PUF嵌入在认证设备中用于产生认证相关的密钥对；所述认证模块嵌入非对称算法以及摘要算法来完成认证需要执行的运算；用户通过所述认证控制模块可手动控制发送认证请求以及发送认证信息；本发明基于简单易用、隐私安全以及兼容通用这三大原则，满足简单易用、高安全以及能够兼容多个网络服务器的需求，该设备内部芯片采用不可克隆技术PUF能够保障了设备的唯一性，满足设备不可克隆复制、隐私安全的特性。

Description

一种基于物理不可克隆技术PUF的用户认证设备及认证方法

技术领域

本发明涉及数据安全认证技术领域，具体涉及一种基于物理不可克隆技术PUF的用户认证设备及认证方法。

背景技术

近年来，中、大型数据泄露事故的频发代表着基于密码的在线身份验证技术已经难以维护互联网的安全。而传统的用户名加密码的方式，如手机账号密码、支付密码、微信密码等，使用户很难进行创建和记忆，而且因为密码保存在集中式的数据库中，也很容易被窃，成为网络支付特别是安全性相对更加脆弱的移动支付的最大隐患。由于传统的基于密码的身份验证体系因其自身的安全问题，促使业界提出了硬件令牌(如U盾)、OTP动态密码技术等增强方案，但是，这些方案存在部署成本高、维护困难、跨应用兼容性等问题，目前这些方案还只是被诸如金融、政府等特殊领域或大型企业使用，并没有满足中小企业与个人用户的安全需求，导致后者继续面临身份验证信息被泄露的风险，面对这一现状，基于简单易用、隐私安全以及兼容通用这三大原则，成为目前安全认证方案所重点关注的内容。

发明内容

本发明的目的在于克服现有技术的缺点与不足，提供一种基于物理不可克隆技术PUF的用户认证设备及认证方法，该设备满足简单易用、高安全以及能够兼容多个网络服务器的需求，且该设备内部芯片采用不可克隆技术PUF能够保障了设备的唯一性，满足设备不可克隆复制、隐私安全的特性；该方法针对用户在Web进行高安全属性操作时，进行一种二次认证的方式来确保通信安全，一方面通过物理不可克隆技术PUF(Physical UnclonableFunction，PUF)可产生设备独一无二的设备ID，从而实现认证设备的不可克隆特性。

本发明的目的通过下述技术方案实现：

一种基于物理不可克隆技术PUF的用户认证设备，包括物理不可克隆模块PUF、认证模块、认证控制模块、随机数发生器和计数器，其中：

所述物理不可克隆模块PUF嵌入在认证设备中用于产生认证相关的密钥对；

所述认证模块嵌入非对称算法以及摘要算法来完成认证需要执行的运算；所述认证模块包括公钥生成模块，所述公钥生成模块利用物理不可克隆模块PUF的“响应”产生公开密钥，并将该公开密钥传输到服务器中；

用户通过所述认证控制模块可手动控制发送认证请求以及发送认证信息；

所述随机数发生器用于随机产生物理不可克隆模块PUF所需要的输入即密钥索引；

所述计数器用于进行成功认证后次数的累加工作，记录成功认证的次数；

所述物理不可克隆模块PUF需要跟认证设备的外部物理性地隔离，以确保攻击者不能通过攻击该认证设备而获得由所述物理不可克隆模块PUF产生的密钥对以及密钥索引，使认证密钥不会泄露到认证设备的外部；

根据所述物理不可克隆模块PUF产生密钥的“挑战-响应”机制，认证设备设置产生真随机数的随机数发生器，所述随机数发生器用于产生物理不可克隆模块PUF的“挑战”，该“挑战”可发送给服务器作为密钥索引；

认证设备向服务器发起注册申请首先需要产生认证设备自身的公开公钥，该公开公钥为：利用物理不可克隆模块PUF产生对应四组“挑战”的四组“响应”值，该四组“响应”值作为认证设备的认证私钥，认证私钥通过椭圆曲线点乘运算从而获得认证设备的公开公钥；

当用户通过传统的账户密码方式登录到服务器进而对认证设备进行注册操作时，认证设备上的信号灯闪烁提醒用户按下认证设备上的按钮，该按钮连接所述认证控制模块，所述认证控制模块接收到用户的按键信息后对认证信息进行封包并发送给服务器；在认证设备进行二次认证时，需要通过人为按下认证设备上的按钮，认证设备会与服务器进行二次认证及双向认证。

一种基于物理不可克隆技术PUF的用户认证方法，包括下述步骤：

S1，认证设备注册；

S1.1，利用内置了物理不可克隆技术PUF的认证设备，进行用户认证设备的注册；首先用户在客户端通过原有的用户名与密码登陆后，发出二次身份认证注册申请；

S1.2，在通过二次身份认证注册申请后，认证设备利用随机数发生器产生随机数，该随机数作为认证设备的私钥索引Key_Index，并将该私钥索引作为物理不可克隆技术PUF的“挑战”，产生该“挑战”对应的“响应”作为认证私钥PRIV_Key，并通过认证模块中的公钥生成模块产生对应认证私钥PRIV_Key的公开密钥PUB_Key，并将私钥索引Key_Index、公开密钥PUB_Key以及相应证书发送给服务器；

S1.3，服务器接收认证设备发来的私钥索引Key_Index、公开密钥PUB_Key以及相应证书后，验证证书及公开密钥PUB_Key的合法性，同时将私钥索引Key_Index及公开密钥PUB_Key保存在服务器对应用户的数据库中；

S1.4，服务器完成对认证设备发来的数据的保存后，服务器响应认证设备对应的网站标识信息如主机名和端口号，并生成相应用户数据信息Client_data，通过SM3密码杂凑算法进行加密处理，产生杂凑处理结果即SM3(Client_data)，并将该SM3(Client_data)信息通过公开密钥PUB_Key发送给认证设备；

S1.5，认证设备接收服务器发来的加密数据，通过S1.2产生的认证私钥PRIV_Key将数据进行解密后，对解密后的信息SM3(Client_data)通过认证私钥PRIV_Key进行签名操作产生签名信息Sign(SM3(Client_data))，并将信息发送给服务器；

S1.6，服务器接收认证设备发来的签名信息Sign(SM3(Client_data))，并利用认证设备的公开密钥PUB_Key对签名信息进行验签操作，验签正确后，服务器随机产生一个256bit的随机数作为设备认证登陆的起始值S_Count，服务器保存该起始值S_Count，利用认证设备的公开密钥PUB_Key进行加密E(S_Count)并发送给认证设备；

S1.7，认证设备接收加密的E(S_Count)信息后，利用认证设备中的认证私钥PRIV_Key解密该加密的E(S_Count)信息，即D(E(S_Count))后得到S_Count并保存在认证设备中，作为第二身份验证要素；

S1.8，认证设备保存成功认证次数的起始值S_Count，服务器保存该用户认证设备的私钥索引Key_Index、公开密钥PUB_Key、认证次数的起始值S_Count、认证设备的响应信息SM3(Client_data)、以及其对应的Sign(SM3(Client_data))，则认证设备注册结束；

S2，用户认证；

S2.1，当用户通过已有的用户名和密码登陆后，在进行高安全属性的操作需要用户强身份验证时，后台服务器将原先注册时绑定着用户的设备信息私钥索引Key_Index和经过公开密钥PUB_Key加密后的认证信息发送给认证设备，同时将以下信息一并发送给认证设备：

(SM3(Client_data)+Sign(SM3(Client_data)+SM3(S_Count)+Challenge)；

认证设备接收到以上信息的数据包后进行数据解析；

S2.2，认证设备首先提取出私钥索引Key_Index，利用该私钥索引Key_Index得到认证设备的认证私钥PRIV_Key，并利用该认证私钥PRIV_Key对数据包进行解密还原原始信息，则原始信息如下：

(SM3(Client_data)+Sign(SM3(Client_data))+SM3(S_Count)+Challenge)；

利用认证私钥PRIV_Key对SM3(Client_data)进行签名后得到Sign’(SM3(Client_data))，对比Sign’(SM3(Client_data))与Sign(SM3(Client_data))，若两者匹配相同则进行次数记录的认证，若两者匹配不同即代表服务器是伪造或者不正确的，认证设备提示不合法，不发送认证信息；

S2.3，认证设备进行次数记录的认证，首先将存储在认证设备中的认证次数的起始值S_Count进行杂凑处理，得到SM3’(S_Count)，然后将杂凑处理结果SM3’(S_Count)与认证设备发送来的SM3(S_Count)进行对比，若两者匹配，则说明服务器为合法，提示用户按键发送认证设备的认证信息；若两者不匹配，则说明服务器是伪造或者不正确，认证设备提示不合法，终止操作；

S2.4，服务器在合法的情况下，首先用户进行认证设备的按键确认，然后认证设备利用私钥索引Key_Index产生的认证私钥PRIV_Key，对服务器发送来的数据包中的Challenge进行签名操作Sign(Challenge)，同时将记录在认证设备中的S_Count进行SM3杂凑SM3(S_Count)，将数据(Challenge+Sign_C(Challenge)+SM3(S_Count))封包后发送给服务器；

S2.5，服务器收到认证设备发送来的数据包，并对数据包中的数据进行解析后，利用认证设备的公钥PUB_Key对Challenge+Sign(Challenge)进行验签，得到Sign_C’(Sign(Challenge))，若该Sign_C’(Sign(Challenge))与Sign_C(Challenge)匹配，服务器进行计数器次数记录的认证；若不匹配则说明认证设备不合法，服务器拒绝本次用户操作；

S2.6，在服务器验证签名信息正确后，服务器将进行计数器次数记录认证，服务器将与认证设备绑定的认证信息S_Count进行杂凑处理，将杂凑处理结果SM3’(S_Count)与认证设备发送来的SM3(S_Count)进行对比，若两者匹配，说明认证设备合法可进行用户高安全操作，在成功验证认证设备的合法性后，服务器中的S_Count进行加1操作并将其保存到用户信息数据库中；若两者不匹配，则说明认证设备不合法，认证设备存在被克隆的风险，服务器中断通信；

S2.7，服务器确认认证设备合法后，认证设备中的计数器值S_Count也进行加1操作后保存。

本发明与现有技术相比具有以下的有益效果：

(1)本发明基于简单易用、隐私安全以及兼容通用这三大原则，并针对这些原则，本发明的设备满足简单易用、高安全以及能够兼容多个网络服务器的需求，该设备内部芯片采用不可克隆技术PUF能够保障了设备的唯一性，满足设备不可克隆复制、隐私安全的特性；针对目前互联网安全认证的需求，本发明的方法针对用户在Web进行高安全属性操作时，进行一种二次认证的方式来确保通信安全，一方面通过物理不可克隆技术PUF(Physical Unclonable Function，PUF)可产生设备独一无二的设备ID，从而实现认证设备的不可克隆特性，其次通过物理不可克隆技术PUF，认证设备能够产生出高安全的密钥对，以及密钥索引；

(2)本发明的认证设备通过PUF产生的密钥对以及密钥索引在服务器端进行注册后，用户能够在进行传统的用户密码认证后，再进行二次认证；用户认证设备及服务器端存储了认证次数记录，通过认证次数记录可动态发送认证信息，确保认证信息使用完一次便失效，即使攻击者在信道中截取该认证信息也无法使用，此外该认证次数记录值的起始值为256bit的随机数，并且在通信中以杂凑的方式出现，使攻击者无法在短时间内破译，从而使用户端可以确保服务器端的正当性，同时服务器端也能够验证用户的正当性，通过可信的网络通信协议机制执行安全认证方案，从而完成用户与服务器端的双向认证，建立起用户与网络服务器端的安全通信及安全操作；

(3)本发明利用物理不可克隆技术PUF产生密钥对，PUF功能的运行是基于“挑战-响应”机制来实现的，挑战和相应响应之间的映射都依赖于物理材料在生产过程中复杂而多变的特性；PUF电路利用提取芯片制造过程中不可避免产生的差异，生成无限多个、唯一的、不可预测的“密钥”，能够完成设备认证，具有防克隆特性；设计成支持目前主流接口USB的可便携式设备，一个设备支持多个服务器复用功能，从而使该认证设备具有复用性；

(4)本发明认证设备在服务器端进行注册成功后，服务器端会产生一个初始的认证次数值，通过认证设备公钥加密发送给认证设备，认证设备解密并存储该认证次数值，用于二次认证中认证次数的校验，由于该初始的认证次数值为随机数产生的256bit，并且在传输认证次数值时以中国国家密码管理局在2010年发布的SM3密码杂凑算法杂凑处理之后的方式传输，有效防止该值被窃取或暴力破解，并且通过该认证次数记录值能够防止认证设备被克隆的情况，具有高安全，防破解及防克隆的特性；

(5)本发明的认证设备可以修改存储在服务器端的注册信息，服务器端通过发送原先存储的签名认证信息给认证设备，认证设备通过认证后，便可进行注册信息的修改，修改的方式是通过认证设备重新生成密钥索引、密钥对、签名信息，认证信息将覆盖原先存储在服务器端中的认证信息；在用传统的用户名-密码的方式登录服务器后，认证设备可进行双向认证，认证设备首先会对服务器发送过来密钥索引、签名信息进行服务器合法性认证判断，之后用户设备会发送认证设备给服务器，服务器端对用户设备进行合法性认证。

附图说明

图1为本发明认证设备的组成示意图；

图2为本发明认证设备的注册流程图；

图3为本发明服务器的数据库保存设备信息框架图；

图4为本发明服务器发送认证信息的流程图；

图5为本发明认证设备验证服务器合法性的流程图；

图6为本发明服务器验证认证设备合法性的流程图。

具体实施方式

下面结合实施例及附图对本发明作进一步详细的描述，但本发明的实施方式不限于此。

如图1～6所示，一种基于物理不可克隆技术PUF的用户认证设备，包括物理不可克隆模块PUF、认证模块、认证控制模块、随机数发生器和计数器，其中：

所述物理不可克隆模块PUF嵌入在认证设备中用于产生认证相关的密钥对；

所述认证模块嵌入非对称算法以及摘要算法来完成认证需要执行的运算；所述认证模块包括公钥生成模块，所述公钥生成模块利用物理不可克隆模块PUF的“响应”产生公开密钥，并将该公开密钥传输到服务器中；

用户通过所述认证控制模块可手动控制发送认证请求以及发送认证信息；

所述随机数发生器用于随机产生物理不可克隆模块PUF所需要的输入即密钥索引；

所述计数器用于进行成功认证后次数的累加工作，记录成功认证的次数；

所述物理不可克隆模块PUF需要跟认证设备的外部物理性地隔离，以确保攻击者不能通过攻击该认证设备而获得由所述物理不可克隆模块PUF产生的密钥对以及密钥索引，使认证密钥不会泄露到认证设备的外部；

根据所述物理不可克隆模块PUF产生密钥的“挑战-响应”机制，认证设备设置产生真随机数的随机数发生器，所述随机数发生器用于产生物理不可克隆模块PUF的“挑战”，该“挑战”可发送给服务器作为密钥索引；

认证设备向服务器发起注册申请首先需要产生认证设备自身的公开公钥，该公开公钥为：利用物理不可克隆模块PUF产生对应四组“挑战”的四组“响应”值，该四组“响应”值作为认证设备的认证私钥，认证私钥通过椭圆曲线点乘运算从而获得认证设备的公开公钥；

当用户通过传统的账户密码方式登录到服务器进而对认证设备进行注册操作时，认证设备上的信号灯闪烁提醒用户按下认证设备上的按钮，该按钮连接所述认证控制模块，所述认证控制模块接收到用户的按键信息后对认证信息进行封包并发送给服务器；在认证设备进行二次认证时，需要通过人为按下认证设备上的按钮，认证设备会与服务器进行二次认证及双向认证。

一种基于物理不可克隆技术PUF的用户认证方法，包括下述步骤：

S1，认证设备注册；

S1.1，利用内置了物理不可克隆技术PUF的认证设备，进行用户认证设备的注册；首先用户在客户端通过原有的用户名与密码登陆后，发出二次身份认证注册申请；

S1.2，在通过二次身份认证注册申请后，认证设备利用随机数发生器产生随机数，该随机数作为认证设备的私钥索引Key_Index，并将该私钥索引作为物理不可克隆技术PUF的“挑战”，产生该“挑战”对应的“响应”作为认证私钥PRIV_Key，并通过认证模块中的公钥生成模块产生对应认证私钥PRIV_Key的公开密钥PUB_Key，并将私钥索引Key_Index、公开密钥PUB_Key以及相应证书发送给服务器；

S1.3，服务器接收认证设备发来的私钥索引Key_Index、公开密钥PUB_Key以及相应证书后，验证证书及公开密钥PUB_Key的合法性，同时将私钥索引Key_Index及公开密钥PUB_Key保存在服务器对应用户的数据库中；

S1.4，服务器完成对认证设备发来的数据的保存后，服务器响应认证设备对应的网站标识信息如主机名和端口号，并生成相应用户数据信息Client_data，通过中国国家密码管理局在2010年发布的SM3密码杂凑算法进行加密处理，产生杂凑处理结果即SM3(Client_data)，并将该SM3(Client_data)信息通过公开密钥PUB_Key发送给认证设备；

S1.5，认证设备接收服务器发来的加密数据，通过S1.2产生的认证私钥PRIV_Key将数据进行解密后，对解密后的信息SM3(Client_data)通过认证私钥PRIV_Key进行签名操作产生签名信息Sign(SM3(Client_data))，并将信息发送给服务器；

S1.6，服务器接收认证设备发来的签名信息Sign(SM3(Client_data))，并利用认证设备的公开密钥PUB_Key对签名信息进行验签操作，验签正确后，服务器随机产生一个256bit的随机数作为设备认证登陆的起始值S_Count，服务器保存该起始值S_Count，利用认证设备的公开密钥PUB_Key进行加密E(S_Count)并发送给认证设备；

S1.7，认证设备接收加密的E(S_Count)信息后，利用认证设备中的认证私钥PRIV_Key解密该加密的E(S_Count)信息，即D(E(S_Count))后得到S_Count并保存在认证设备中，作为第二身份验证要素；

S1.8，认证设备保存成功认证次数的起始值S_Count，服务器保存该用户认证设备的私钥索引Key_Index、公开密钥PUB_Key、认证次数的起始值S_Count、认证设备的响应信息SM3(Client_data)、以及其对应的Sign(SM3(Client_data))，则认证设备注册结束；

S2，用户认证；

S2.1，当用户通过已有的用户名和密码登陆后，在进行高安全属性的操作需要用户强身份验证时，后台服务器将原先注册时绑定着用户的设备信息私钥索引Key_Index和经过公开密钥PUB_Key加密后的认证信息发送给认证设备，同时将以下信息一并发送给认证设备：

(SM3(Client_data)+Sign(SM3(Client_data)+SM3(S_Count)+Challenge)；

认证设备接收到以上信息的数据包后进行数据解析；

S2.2，认证设备首先提取出私钥索引Key_Index，利用该私钥索引Key_Index得到认证设备的认证私钥PRIV_Key，并利用该认证私钥PRIV_Key对数据包进行解密还原原始信息，则原始信息如下：

(SM3(Client_data)+Sign(SM3(Client_data))+SM3(S_Count)+Challenge)；

利用认证私钥PRIV_Key对SM3(Client_data)进行签名后得到Sign’(SM3(Client_data))，对比Sign’(SM3(Client_data))与Sign(SM3(Client_data))，若两者匹配相同则进行次数记录的认证，若两者匹配不同即代表服务器是伪造或者不正确的，认证设备提示不合法，不发送认证信息；

S2.3，认证设备进行次数记录的认证，首先将存储在认证设备中的认证次数的起始值S_Count进行杂凑处理，得到SM3’(S_Count)，然后将杂凑处理结果SM3’(S_Count)与认证设备发送来的SM3(S_Count)进行对比，若两者匹配，则说明服务器为合法，提示用户按键发送认证设备的认证信息；若两者不匹配，则说明服务器是伪造或者不正确，认证设备提示不合法，终止操作；

S2.4，服务器在合法的情况下，首先用户进行认证设备的按键确认，然后认证设备利用私钥索引Key_Index产生的认证私钥PRIV_Key，对服务器发送来的数据包中的Challenge进行签名操作Sign(Challenge)，同时将记录在认证设备中的S_Count进行SM3杂凑SM3(S_Count)，将数据(Challenge+Sign_C(Challenge)+SM3(S_Count))封包后发送给服务器；

S2.5，服务器收到认证设备发送来的数据包，并对数据包中的数据进行解析后，利用认证设备的公钥PUB_Key对Challenge+Sign(Challenge)进行验签，得到Sign_C’(Sign(Challenge))，若该Sign_C’(Sign(Challenge))与Sign_C(Challenge)匹配，服务器进行计数器次数记录的认证；若不匹配则说明认证设备不合法，服务器拒绝本次用户操作；

S2.6，在服务器验证签名信息正确后，服务器将进行计数器次数记录认证，服务器将与认证设备绑定的认证信息S_Count进行杂凑处理，将杂凑处理结果SM3’(S_Count)与认证设备发送来的SM3(S_Count)进行对比，若两者匹配，说明认证设备合法可进行用户高安全操作，在成功验证认证设备的合法性后，服务器中的S_Count进行加1操作并将其保存到用户信息数据库中；若两者不匹配，则说明认证设备不合法，认证设备存在被克隆的风险，服务器中断通信；

S2.7，服务器确认认证设备合法后，认证设备中的计数器值S_Count也进行加1操作后保存。

具体来说，如图1所示，图1为该安全认证设备框架包括：物理不可克隆模块PUF，嵌入在该认证设备中用于产生认证相关的密钥对；认证模块，嵌入非对称算法以及摘要算法来完成认证需要执行的运算；认证控制模块，用户通过该模块可手动控制发送认证请求以及发送认证信息；随机数发生器，用于随机产生PUF所需要的输入即密钥索引；计数器，用于进行成功认证后次数的累加工作，记录成功认证的次数。

如图2所示，图2为认证设备向服务器发起设备注册的流程图，具体的实施如下：

(210)认证设备向服务器端发起注册申请，服务器端接收该注册申请进行后续操作。

(211)认证设备在通过注册申请后，认证设备利用随机数发生器产生随机数，该随机数作为认证设备的私钥索引(Key_Index)，并将该私钥索引作为物理不可克隆PUF的“挑战”，产生该“挑战”挑战对应的“响应”作为认证私钥(PRIV_Key)，并通过认证模块单元中的公钥生成模块产生对应PRIV_Key的公开密钥PUB_Key。

(212)认证设备将私钥索引、PUB_Key以及相应证书发送给服务器端。

(310)服务器端接收认证设备发送过来的密钥索引，公开密钥及证书后，验证证书及公开密钥合法性，同时将密钥索引及公开密钥保存在服务器对应用户的数据库中。

(311)服务器完成对认证设备发送过来的数据保存后，服务器响应认证设备对应的主机名、端口号等网站标识信息生成相应用户数据信息Client_data，通过SM3进行杂凑处理即SM3(Client_data)。

(312)服务器利用认证设备公钥PUB_Key对SM3(Client_data)进行椭圆曲线加密算法SM2进行公钥加密，产生加密信息P1。

(313)服务器端发送加密信息P1。

(213)认证设备接收到服务器发送过来的加密数据，通过步骤(211)产生的认证私钥PRIV_Key将数据进行解密得到SM3(Client_data)。

(214)认证设备利用私钥PRIV_Key以及密钥索引Key_Index对解密后的信息SM3(Client_data)进行签名操作产生签名信息Sign(SM3(Client_data))。

(215)认证设备发送签名信息Sign(SM3(Client_data))(图2简写为Sign)，以及相应的SM3(Client_data)。

(311)服务端接收到认证设备发送过来的签名信息Sign(SM3(Client_data))(图2简写为Sign)，利用设备公开密钥PUB_Key对签名信息进行验签操作。

(312)服务器端验证签名信息Sign是否与步骤(311)生成的Sign(SM3(Client_data))(图2简写为Sign)一致。

(313)服务器端验签正确后，服务器端随机产生一个256bit的随机数当做设备认证登陆的起始值S_Count，服务器端保存该起始值S_Count。

(314)服务器端利用认证设备的公开密钥PUB_Key进行加密S_Count得到P2为E(S_Count)。_[z1]

(315)服务器端发送(314)加密生成的P2给认证设备。

(216)认证设备接收到信息后，利用原先设备私钥PRIV_Key解密该密文P2后得到S_Count。

(217)认证设备将S_Count保存在认证设备中，用作第二身份验证要素。

(316)认证设备注册成功，服务器端保存设备信息，保存的信息如图3所示。

认证设备向服务器发起认证登陆，具体的实施如下：

Step1：如图4所示，图4为服务器发送认证信息的流程图，具体实施如下：

(410)认证设备向服务器请求认证，服务器接收该请求认证。

(510)服务器接收到认证设备发出的认证请求，首先生成认证挑战Challenge，用于后续认证设备的签名认证。

(511)(512)服务器端根据认证设备的用户名索引，在服务器数据库中找到对应的设备信息，其中设备信息包括：密钥索引Key_Index、认证设备公钥PUB_Key、设备信息SM3(Client_data_[z2])、设备信息对应的签名信息Sign、以及成功认证的次数S_Count。

(513)服务器端向客户端发送密钥索引Key_Index，认证设备接收密钥索引。

(514)服务器设备将认证设备的认证信息进行封包，产生信息M，该信息由SM3(Client_data)、Sign、以及SM3(S_Count)组成。

(515)服务器端利用设备公钥PUB_Key对封包信息进行加密，其中封包信息包括步骤(510)、步骤(514)产生的挑战信息Challenge、以及设备信息M，得到加密后的密文P1。

(516)服务器端发送步骤(515)产生的加密信息P1，即服务器端发送认证信息。

(411)认证设备接收到服务器设备发送的密钥索引Key_Index，通过PUF模块产生认证设备的私钥PRIV_Key。

(412)认证设备利用步骤(411)产生的设备私钥PRIV_Key，通过认证模块中的公钥生成模块，利用椭圆曲线算法SM2的点乘运算获得认证设备的公钥PUB_Key。

(413)认证设备利用密钥索引Key_Index对应的设备私钥PRIV_Key解密服务器端发送过来的密文P1，从而使认证设备得到服务器端发送过来的认证信息包括：设备认证信息M以及服务器端发送过来的挑战信息Challenge，至此服务器端完成认证信息的发送。

Step2：如图5所示，图5为认证设备验证服务器的合法性的流程图，具体实施如下：

(414)认证设备接收服务器端发送的认证信息，利用PRIV_Key及Key_Index对SM3(Client_data)进行SM2签名得到Sign’。

(415)认证设备比对服务器发送过来的签名信息Sign以及通过步骤(414)产生的签名信息Sign’，如果两者不匹配代表服务器不合法，终止认证，若两者匹配，认证设备进行下一步认证。

(416)认证设备读取存储在认证设备中成功认证的次数记录S_Count进行SM3杂凑，得到SM3’(S_Count)。

(417)认证设备比对服务器发送过来的SM3(S_Count)(图5中简写为SM3)以及通过步骤(416)产生的次数记录杂凑值SM3’(S_Count)(图5中简写为SM3’)，如果两者不匹配代表服务器不合法，终止认证，若两者匹配，代表服务器合法，认证设备的信号灯闪烁等待用户按下发送认证信息按钮。

(418)用户按下发送认证设备按钮，认证设备对服务器端发送过来的Challenge进行签名操作得到Sign_C。

(419)认证设备将步骤(418)得到Sign_C以及认证设备中的S_Count的杂凑值SM3’(S_Count)进行封包后发送给服务器端，至此认证设备完成了对服务器的认证以及发送认证信息给服务器端。

Step3：如图6所示，图6为服务器端验证设备合法性的流程图，具体实施如下：

(610)认证设备发送设备认证信息Sign_C、SM3’(S_Count)，服务器端接收该认证信息后，对该进行拆包后提取数据进行运算。

(517)服务器端对步骤(510)产生的挑战信息Challenge、以及认证设备端发送过来的Sign_C，利用认证设备公钥PUB_Key进行验签操作得到Sign_C’。

(518)服务器端对比认证设备发送过来的签名信息Sign_C以及步骤(517)产生验签信息Sign_C’，若两者不匹配，代表认证设备为非法设备，服务器端终止通信，若两者匹配则服务器端进行成功认证次数的验证。

(519)服务器端读取数据库中对应用户的认证次数S_Count，并进行SM3杂凑，得到杂凑结果SM3(S_Count)。

(520)服务器端对比认证设备发送过来的次数记录杂凑值SM3’(S_Count)(图6中简写为SM3’)，与步骤(519)产生的SM3(S_Count)(图6中简写为SM3)，若两者不相同，代表认证设备为非法设备，服务器端中断通信；若两者相同，代表认证设备为合法设备，认证通过。

(521)服务器认证设备的合法性若不通过，则服务器端中断通信以及认证设备的用户操作，相反若服务器确认了设备为合法设备，则认证设备通过服务器认证，用户可进行安全操作同时认证设备中存储的次数记录S_Count进行加1操作后保存在认证设备中。

(522)服务器认证设备的合法性若不通过，则服务器端中断通信以及认证设备的用户操作，相反若服务器确认了设备为合法设备，则认证设备通过服务器认证，用户可进行安全操作同时服务器端存储的次数记录S_Count进行加1操作后保存在服务器端对应用户都测数据库中。

进一步来说，利用物理不可克隆技术PUF产生密钥对，PUF功能的运行是基于“挑战-响应”机制来实现的，挑战和相应响应之间的映射都依赖于物理材料在生产过程中复杂而多变的特性。PUF电路利用提取芯片制造过程中不可避免产生的差异，生成无限多个、唯一的、不可预测的“密钥”；利用随机数发生器产生4个64bit的随机挑战，从而得到4个唯一的随机的64bit挑战对应的响应，该随机挑战可以当做用户的设备密钥索引，利用密钥索引作为PUF的挑战输入，从而能够产生对应的响应输出，该输出为设备私钥；对于植入了不同PUF的认证设备，即使是相同的密钥索引，不同的认证设备产生的设备私钥也不同；利用物理不可克隆技术PUF产生设备“指纹”，用于产生服务器与用户信息绑定的密钥对，Web服务器或认证服务器验证用户身份，同时使用计数器，实时监测设备成功认证次数，可以防止设备被克隆。

认证设备在服务器端进行注册成功后，服务器端会产生一个初始的认证次数值，通过认证设备公钥加密发送给认证设备，认证设备解密并存储该认证次数值，用于二次认证中认证次数的校验，由于该初始的认证次数值为随机数产生的256bit，并且在传输认证次数值时以SM3杂凑的方式传输，有效防止该值被窃取或暴力破解，并且通过该认证次数记录值能够防止认证设备被克隆的情况，具有高安全，防破解及防克隆的特性。认证单元采用椭圆曲线SM2算法，主要应用其签名与验签操作，其次采用摘要函数SM3算法，主要用于产生数字信息指纹。认证控制模块，用于用户手动控制USB认证设备发送认证请求以及发送认证信息确认。在用传统的用户名-密码的方式登录服务器后，认证设备要跟用户进行绑定，用户设备需要进行注册，用户需要在客户端通过原有的用户名与密码认证登陆成功好，发出二次认证注册申请，通过向服务器发送注册认证信息完成用户设备在服务器端对应用户下的绑定操作。认证设备完成设备注册后，用户在进行高安全属性操作时，后台服务器端会发送二次认证相关的认证信息，认证设备端接收到后要进行服务器认证，验证服务器是否为可信服务器后再发送二次认证的认证信息到服务器端，若验证不通过，表示服务器为不可信，USB认证设备不会发送二次认证所需要的认证信息，同时提醒用户此次通信存在风险。

认证设备可以修改存储在服务器端的注册信息，服务器端通过发送原先存储的签名认证信息给认证设备，认证设备通过认证后，便可进行注册信息的修改，修改的方式是通过认证设备重新生成密钥索引、密钥对、签名信息，认证信息将覆盖原先存储在服务器端中的认证信息。

在用传统的用户名-密码的方式登录服务器后，认证设备可进行双向认证，认证设备首先会对服务器发送过来密钥索引、签名信息进行服务器合法性认证判断，若认证设备确定服务器为合法服务器后会对服务器发送过来认证信息中的挑战信息进行签名，同时认证设备会将设备本身成功认证的次数进行SM3杂凑处理后发送给服务器端，服务器端接收到签名信息后利用先前注册时设备的公钥进行验签，接着比对服务器自身所存储的设备认证次数的杂凑值，如果两者都正常，表明认证设备通过服务器认证，此时服务器端对设备成功认证次数进行累加，并将其记录在数据库中，同时发送成功认证反馈到认证设备，认证设备接收到后进行次数的累加，并将记录存在认证设备中，后续用户可进行其他安全操作包括修改注册信息等。

本发明基于简单易用、隐私安全以及兼容通用这三大原则，并针对这些原则，本发明的设备满足简单易用、高安全以及能够兼容多个网络服务器的需求，该设备内部芯片采用不可克隆技术PUF能够保障了设备的唯一性，满足设备不可克隆复制、隐私安全的特性；针对目前互联网安全认证的需求，本发明的方法针对用户在Web进行高安全属性操作时，进行一种二次认证的方式来确保通信安全，一方面通过物理不可克隆技术PUF(PhysicalUnclonable Function，PUF)可产生设备独一无二的设备ID，从而实现认证设备的不可克隆特性，其次通过物理不可克隆技术PUF，认证设备能够产生出高安全的密钥对，以及密钥索引；认证设备通过PUF产生的密钥对以及密钥索引在服务器端进行注册后，用户能够在进行传统的用户密码认证后，再进行二次认证；用户认证设备及服务器端存储了认证次数记录，通过认证次数记录可动态发送认证信息，确保认证信息使用完一次便失效，即使攻击者在信道中截取该认证信息也无法使用，此外该认证次数记录值的起始值为256bit的随机数，并且在通信中以杂凑的方式出现，使攻击者无法在短时间内破译，从而使用户端可以确保服务器端的正当性，同时服务器端也能够验证用户的正当性，通过可信的网络通信协议机制执行安全认证方案，从而完成用户与服务器端的双向认证，建立起用户与网络服务器端的安全通信及安全操作；

本发明利用物理不可克隆技术PUF产生密钥对，PUF功能的运行是基于“挑战-响应”机制来实现的，挑战和相应响应之间的映射都依赖于物理材料在生产过程中复杂而多变的特性；PUF电路利用提取芯片制造过程中不可避免产生的差异，生成无限多个、唯一的、不可预测的“密钥”，能够完成设备认证，具有防克隆特性；设计成支持目前主流接口USB的可便携式设备，一个设备支持多个服务器复用功能，从而使该认证设备具有复用性；

本发明认证设备在服务器端进行注册成功后，服务器端会产生一个初始的认证次数值，通过认证设备公钥加密发送给认证设备，认证设备解密并存储该认证次数值，用于二次认证中认证次数的校验，由于该初始的认证次数值为随机数产生的256bit，并且在传输认证次数值时以SM3杂凑的方式传输，有效防止该值被窃取或暴力破解，并且通过该认证次数记录值能够防止认证设备被克隆的情况，具有高安全，防破解及防克隆的特性；

本发明的认证设备可以修改存储在服务器端的注册信息，服务器端通过发送原先存储的签名认证信息给认证设备，认证设备通过认证后，便可进行注册信息的修改，修改的方式是通过认证设备重新生成密钥索引、密钥对、签名信息，认证信息将覆盖原先存储在服务器端中的认证信息；在用传统的用户名-密码的方式登录服务器后，认证设备可进行双向认证，认证设备首先会对服务器发送过来密钥索引、签名信息进行服务器合法性认证判断，之后用户设备会发送认证设备给服务器，服务器端对用户设备进行合法性认证。

上述为本发明较佳的实施方式，但本发明的实施方式并不受上述内容的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (1)

1.一种基于物理不可克隆技术PUF的用户认证方法，其特征在于，包括下述步骤：

S1，认证设备注册；

S1.1，利用内置了物理不可克隆技术PUF的认证设备，进行用户认证设备的注册；首先用户在客户端通过原有的用户名与密码登陆后，发出二次身份认证注册申请；

S1.2，在通过二次身份认证注册申请后，认证设备利用随机数发生器产生随机数，该随机数作为认证设备的私钥索引Key_Index，并将该私钥索引作为物理不可克隆技术PUF的“挑战”，产生该“挑战”对应的“响应”作为认证私钥PRIV_Key，并通过认证模块中的公钥生成模块产生对应认证私钥PRIV_Key的公开密钥PUB_Key，并将私钥索引Key_Index、公开密钥PUB_Key以及相应证书发送给服务器；

S1.3，服务器接收认证设备发来的私钥索引Key_Index、公开密钥PUB_Key以及相应证书后，验证证书及公开密钥PUB_Key的合法性，同时将私钥索引Key_Index及公开密钥PUB_Key保存在服务器对应用户的数据库中；

S1.4，服务器完成对认证设备发来的数据的保存后，服务器响应认证设备对应的网站标识信息如主机名和端口号，并生成相应用户数据信息Client_data，通过SM3密码杂凑算法进行加密处理，产生杂凑处理结果即SM3(Client_data)，并将该SM3(Client_data)信息通过公开密钥PUB_Key发送给认证设备；

S1.5，认证设备接收服务器发来的加密数据，通过S1.2产生的认证私钥PRIV_Key将数据进行解密后，对解密后的信息SM3(Client_data)通过认证私钥PRIV_Key进行签名操作产生签名信息Sign(SM3(Client_data))，并将信息发送给服务器；

S1.6，服务器接收认证设备发来的签名信息Sign(SM3(Client_data))，并利用认证设备的公开密钥PUB_Key对签名信息进行验签操作，验签正确后，服务器随机产生一个256bit的随机数作为设备认证登陆的起始值S_Count，服务器保存该起始值S_Count，利用认证设备的公开密钥PUB_Key进行加密E(S_Count)并发送给认证设备；

S1.7，认证设备接收加密的E(S_Count)信息后，利用认证设备中的认证私钥PRIV_Key解密该加密的E(S_Count)信息，即D(E(S_Count))后得到S_Count并保存在认证设备中，作为第二身份验证要素；

S1.8，认证设备保存成功认证次数的起始值S_Count，服务器保存该用户认证设备的私钥索引Key_Index、公开密钥PUB_Key、认证次数的起始值S_Count、认证设备的响应信息SM3(Client_data)、以及其对应的Sign(SM3(Client_data))，则认证设备注册结束；

S2，用户认证；

S2.1，当用户通过已有的用户名和密码登陆后，在进行高安全属性的操作需要用户强身份验证时，后台服务器将原先注册时绑定着用户的设备信息私钥索引Key_Index和经过公开密钥PUB_Key加密后的认证信息发送给认证设备，同时将以下信息一并发送给认证设备：

(SM3(Client_data)+Sign(SM3(Client_data)+SM3(S_Count)+Challenge)；

认证设备接收到以上信息的数据包后进行数据解析；

S2.2，认证设备首先提取出私钥索引Key_Index，利用该私钥索引Key_Index得到认证设备的认证私钥PRIV_Key，并利用该认证私钥PRIV_Key对数据包进行解密还原原始信息，则原始信息如下：

(SM3(Client_data)+Sign(SM3(Client_data))+SM3(S_Count)+Challenge)；

利用认证私钥PRIV_Key对SM3(Client_data)进行签名后得到Sign’(SM3(Client_data))，对比Sign’(SM3(Client_data))与Sign(SM3(Client_data))，若两者匹配相同则进行次数记录的认证，若两者匹配不同即代表服务器是伪造或者不正确的，认证设备提示不合法，不发送认证信息；

S2.3，认证设备进行次数记录的认证，首先将存储在认证设备中的认证次数的起始值S_Count进行杂凑处理，得到SM3’(S_Count)，然后将杂凑处理结果SM3’(S_Count)与认证设备发送来的SM3(S_Count)进行对比，若两者匹配，则说明服务器为合法，提示用户按键发送认证设备的认证信息；若两者不匹配，则说明服务器是伪造或者不正确，认证设备提示不合法，终止操作；

S2.4，服务器在合法的情况下，首先用户进行认证设备的按键确认，然后认证设备利用私钥索引Key_Index产生的认证私钥PRIV_Key，对服务器发送来的数据包中的Challenge进行签名操作Sign(Challenge)，同时将记录在认证设备中的S_Count进行SM3杂凑SM3(S_Count)，将数据(Challenge+Sign_C(Challenge)+SM3(S_Count))封包后发送给服务器；

S2.5，服务器收到认证设备发送来的数据包，并对数据包中的数据进行解析后，利用认证设备的公钥PUB_Key对Challenge+Sign(Challenge)进行验签，得到Sign_C’(Sign(Challenge))，若该Sign_C’(Sign(Challenge))与Sign_C(Challenge)匹配，服务器进行计数器次数记录的认证；若不匹配则说明认证设备不合法，服务器拒绝本次用户操作；

S2.6，在服务器验证签名信息正确后，服务器将进行计数器次数记录认证，服务器将与认证设备绑定的认证信息S_Count进行杂凑处理，将杂凑处理结果SM3’(S_Count)与认证设备发送来的SM3(S_Count)进行对比，若两者匹配，说明认证设备合法可进行用户高安全操作，在成功验证认证设备的合法性后，服务器中的S_Count进行加1操作并将其保存到用户信息数据库中；若两者不匹配，则说明认证设备不合法，认证设备存在被克隆的风险，服务器中断通信；

S2.7，服务器确认认证设备合法后，认证设备中的计数器值S_Count也进行加1操作后保存。

Images