CN110049002B - 一种基于PUF的IPSec认证方法 - Google Patents
一种基于PUF的IPSec认证方法 Download PDFInfo
- Publication number
- CN110049002B CN110049002B CN201910154498.XA CN201910154498A CN110049002B CN 110049002 B CN110049002 B CN 110049002B CN 201910154498 A CN201910154498 A CN 201910154498A CN 110049002 B CN110049002 B CN 110049002B
- Authority
- CN
- China
- Prior art keywords
- puf
- party
- ipsec
- response
- identity information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
Abstract
本发明公开了一种基于PUF的IPSec认证方法,IPSec协议执行方利用PUF电路产生加密密钥,并利用加密密钥对身份信息进行加密生成身份密文,MAC消息由身份信息和PUF电路产生密钥时的辅助数据组成。执行方将身份密文及辅助数据封装在IPSec头的验证数据字段中发送给响应方。响应方利用辅助数据,通过PUF模块恢复密钥,对身份密文解密,提取出身份信息。使用身份信息验证身份的合法性。与传统IPSec需要将密钥附着在验证消息中的方法相比较,本方法使用辅助数据附着在验证消息中,不涉及密钥自身的传输,有效地避免了窃听和拦截攻击,提高了数据传输的安全性,简化了密钥交换流程。
Description
技术领域
本发明涉及一种基于PUF模块的加解密方式,应用于IPSec的身份验证领域,适用于IPSec中的密钥交换。
背景技术
针对Internet的安全需要,Internet工程任务组(IETF)颁布了IP层安全标准IPSec。IPSec在IP层对数据包进行高强度的安全处理,它可以“无缝”的为IP层引入安全特性。
IPSec协议主要为IP层和上层提供各种安全服务,这些服务包括数据完整性、数据源验证、机密性、抗重播保护和有限信息流机密性等等。
IPSec安全体系结构主要包括安全协议—AH和ESP协议、IKE密钥交换协议、验证和加密算法、SA数据库安全和策略数据库。
PUF(Physical Unclonable Function,物理不可克隆函数)是指对一个物理实体输入一个激励,利用其不可避免的内在物理构造的随机差异输出一个不可预测的响应。这类物理实体受生产工艺中不可控制的随机因素影响,任意两个物理组件的响应是相互独立的,具有唯一性,类似于人类的指纹,而且受生产工艺水平的限制,复制一个具有相同响应的物理组件是不可能的,所以称其为不可克隆函数。显然,它最主要的优势是可以抵抗物理克隆攻击的发生。同时相对于资源有限的物理实体来说,它的优势还包括这种不能被克隆的激励响应行为不仅可以实现一些与传统密码技术一样的功能,而且还能大大减少计算、存储和通信开销。
将PUF技术引入IPSec的认证应用当中,利用PUF技术的特性生成加密密钥,替代普通的密钥管理协议。有效的避免了窃听和拦截攻击,提高了数据传输的安全性,简化了密钥交换流程,降低了密钥运算的复杂性。
发明内容
为了克服现有技术的上述缺点,本发明提供了一种基于PUF的IPSec认证方法,利用PUF物理不可克隆函数的唯一性和防克隆性,解决传统IPSec需要将密钥附着在验证消息中可能被窃听和拦截攻击的风险,提高了数据传输的安全性,简化了密钥交换流程。
本发明解决其技术问题所采用的技术方案是:一种基于PUF的IPSec认证方法,包括如下步骤:
步骤一、IPSec的执行方采集并记录CRPs响应对;
步骤二、部署网络环境;
步骤三、将执行方已经采集过CRPs响应对的PUF模块接入响应方;
步骤四、执行方生成验证数据发送给响应方;
步骤五、响应方验证身份信息。
与现有技术相比,本发明的积极效果是:
在IPSec执行过程中,不涉及密钥自身的传输,有效地避免了窃听和拦截攻击,提高了数据传输的安全性,简化了密钥交换流程,降低了密钥运算的复杂性。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为本发明PUF CRPs值录入采样示意图;
图2为基本网络环境示意图;
图3为生成验证数据示意图;
图4为身份信息验证示意图。
具体实施方式
一种基于PUF的IPSec认证方法,该方法中,IPSec协议执行方利用PUF电路产生加密密钥,并利用加密密钥对身份信息进行加密生成身份密文,MAC消息由身份信息和PUF电路产生密钥时的辅助数据组成。执行方将身份密文及辅助数据封装在IPSec头(AH、ESP头)的验证数据字段中发送给响应方。响应方利用辅助数据,通过PUF模块恢复密钥,对身份密文解密,提取出身份信息。使用身份信息验证身份的合法性。与传统IPSec需要将密钥附着在验证消息中的方法相比较,本方法使用辅助数据附着在验证消息中,不涉及密钥自身的传输,有效地避免了窃听和拦截攻击,提高了数据传输的安全性,简化了密钥交换流程。
具体步骤:首先IPSec协议的执行方采集记录PUF模块的CRPs激励/响应对(Challenge/Response Pairs,CRPs)。采集完成后将该PUF块接入响应方。
IPSec的执行方发起认证:
a)执行方在录入的CRPs响应对中选定一个挑战值c,及对应的响应值x;
b)将响应值x与哈希种子h进行全域散列得到密钥s;
c)身份信息通过生成的密钥s进行加密得到加密数据ES;
d)将挑战值c和哈希种子h作为辅助数据与加密数据ES结合得到验证数据字段;
e)将待验证的数据字段封装在IPSec头(AH、ESP头)的验证数据字段中发送给响应方。
IPSec响应方在收到执行方过来的请求后:
a)将辅助数据中的挑战值c输入到PUF模块中得到响应值x;
b)将响应值x与辅助数据中的哈希种子h进行全域散列得到密钥s;
c)通过密钥s对加密数据ES进行解密得到身份信息;
d)验证身份信息。
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图对本发明进行进一步详细说明。
PUF不可克隆函数,其特征在于:不可克隆性、防篡改和轻量级等属性,对一个物理实体PUF输入一个激励,利用其不可避免的内在物理构造的随机差异输出一个不可预测的响应。
PUF模块基于集成电路工艺差异实现,采用通用的接口如:PCI E、USB,可以接入计算机设备。
在本具体实施例中,首先,IPSec的执行方接入PUF模块,使用对应的采集软件对该模块的挑战激励值进行采集,将其中的结果保存得到可用的CRPs响应对,如图1所示。
基本网络环境如图2所示,设备1为IPSec的执行方,设备2为IPSec的响应方,设备1通过网络与设备2相连。部署好网络环境后将执行方已经采集过CRPs响应对的PUF模块接入响应方。认证的具体方法步骤如图3、图4所示:一、执行方在录入的CRPs响应对中选定一个挑战值c,及对应的响应值x;二、执行方将响应值x与哈希种子h进行全域散列得到密钥s;三、执行方将身份信息通过生成的密钥s进行加密得到加密数据ES;四、执行方将挑战值c和哈希种子h作为辅助数据与加密数据ES结合得到验证数据字段;五、执行方将验证数据字段封装在IPSec头(AH、ESP头)的验证数据字段中发送给响应方。五、响应方收到数据后将辅助数据中的挑战值c输入到PUF模块中得到响应值x。六、响应方将响应值与辅助数据中的哈希种子h进行全域散列得到与执行方同样的密钥s;七、响应方通过密钥s对加密数据ES进行解密得到身份信息;八、响应方验证身份信息;八、响应方返回验证结果。
采用PUF模块进行密钥交换时,只需要在信道上传输挑战值即可,不需要复杂的数学计算,使用PUF进行密钥交换只需要依靠“挑战-响应”行为和单向散列函数计算即可完成密钥的交换,减少了计算资源的消耗,提高了密钥的交换速度,由于不涉及密钥自身的传输,有效的避免了窃听和拦截攻击,提高了数据传输的安全性,简化了密钥交换流程,降低了密钥运算的复杂性。
Claims (5)
1.一种基于PUF的IPSec认证方法,其特征在于:包括如下步骤:
步骤一、IPSec的执行方采集并记录CRPs响应对;
步骤二、部署网络环境;
步骤三、将执行方已经采集过CRPs响应对的PUF模块接入响应方;
步骤四、执行方将身份密文及辅助数据封装在IPSec头的验证数据字段中生成验证数据发送给响应方:
(1)执行方在CRPs响应对中选定一个挑战值c,及对应的响应值x;
(2)将响应值x与哈希种子h进行全域散列得到密钥s;
(3)身份信息通过生成的密钥s进行加密得到加密数据ES;
(4)将挑战值c和哈希种子h作为辅助数据与加密数据ES结合得到验证数据字段;
(5)将待验证的数据字段封装在IPSec头的验证数据字段中发送给响应方;
步骤五、响应方验证身份信息。
2.根据权利要求1所述的一种基于PUF的IPSec认证方法,其特征在于:步骤五所述响应方验证身份信息的方法为:
(1)响应方将辅助数据中的挑战值c输入到PUF模块中得到响应值x;
(2)将响应值x与辅助数据中的哈希种子h进行全域散列得到密钥s;
(3)通过密钥s对加密数据ES进行解密得到身份信息;
(4)响应方验证身份信息并返回验证结果。
3.根据权利要求1所述的一种基于PUF的IPSec认证方法,其特征在于:步骤一所述IPSec的执行方采集并记录CRPs响应对的方法为:执行方接入PUF模块,使用对应的采集软件对该模块的挑战激励值进行采集,将其中的结果保存得到可用的CRPs响应对。
4.根据权利要求1所述的一种基于PUF的IPSec认证方法,其特征在于:步骤二所述部署网络环境的方法为:将执行方的计算机设备通过网络与响应方的计算机设备相连。
5.根据权利要求1所述的一种基于PUF的IPSec认证方法,其特征在于:所述PUF模块采用PCI E或USB通用接口接入执行方或响应方的计算机设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910154498.XA CN110049002B (zh) | 2019-03-01 | 2019-03-01 | 一种基于PUF的IPSec认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910154498.XA CN110049002B (zh) | 2019-03-01 | 2019-03-01 | 一种基于PUF的IPSec认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110049002A CN110049002A (zh) | 2019-07-23 |
CN110049002B true CN110049002B (zh) | 2021-07-27 |
Family
ID=67274363
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910154498.XA Active CN110049002B (zh) | 2019-03-01 | 2019-03-01 | 一种基于PUF的IPSec认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110049002B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113726720B (zh) * | 2020-05-26 | 2023-03-24 | 中国电信股份有限公司 | 物联网设备通信方法、设备、服务器和通信系统 |
US20230403166A1 (en) * | 2020-10-28 | 2023-12-14 | Beijing Boe Technology Development Co., Ltd. | Information processing method and apparatus, electronic device, and storage medium |
CN112398657B (zh) * | 2020-11-05 | 2021-10-29 | 北京邮电大学 | 一种基于无线多径衰落信道的puf认证方法及装置 |
CN112737770B (zh) * | 2020-12-22 | 2022-05-20 | 北京航空航天大学 | 基于puf的网络双向认证和密钥协商方法及装置 |
CN114039728A (zh) * | 2021-12-24 | 2022-02-11 | 中电长城(长沙)信息技术有限公司 | 一种报文加解密方法及其系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102970679A (zh) * | 2012-11-21 | 2013-03-13 | 联想中望系统服务有限公司 | 基于身份的安全签名方法 |
CN104782076A (zh) * | 2012-10-19 | 2015-07-15 | 西门子公司 | 使用puf用于检验认证、尤其是用于防止对ic或控制设备的功能的未获得授权的访问 |
CN105009507A (zh) * | 2013-02-28 | 2015-10-28 | 西门子公司 | 借助于物理不可克隆函数创建从加密密钥中推导的密钥 |
CN107615285A (zh) * | 2015-03-05 | 2018-01-19 | 美国亚德诺半导体公司 | 包括物理不可克隆功能和阈值加密的认证系统和装置 |
CN108092776A (zh) * | 2017-12-04 | 2018-05-29 | 南京南瑞信息通信科技有限公司 | 一种身份认证服务器和身份认证令牌 |
CN108199845A (zh) * | 2017-12-08 | 2018-06-22 | 中国电子科技集团公司第三十研究所 | 一种基于puf的轻量级认证设备及认证方法 |
CN109150541A (zh) * | 2018-08-15 | 2019-01-04 | 飞天诚信科技股份有限公司 | 一种认证系统及其工作方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8954735B2 (en) * | 2012-09-28 | 2015-02-10 | Intel Corporation | Device, method, and system for secure trust anchor provisioning and protection using tamper-resistant hardware |
-
2019
- 2019-03-01 CN CN201910154498.XA patent/CN110049002B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104782076A (zh) * | 2012-10-19 | 2015-07-15 | 西门子公司 | 使用puf用于检验认证、尤其是用于防止对ic或控制设备的功能的未获得授权的访问 |
CN102970679A (zh) * | 2012-11-21 | 2013-03-13 | 联想中望系统服务有限公司 | 基于身份的安全签名方法 |
CN105009507A (zh) * | 2013-02-28 | 2015-10-28 | 西门子公司 | 借助于物理不可克隆函数创建从加密密钥中推导的密钥 |
CN107615285A (zh) * | 2015-03-05 | 2018-01-19 | 美国亚德诺半导体公司 | 包括物理不可克隆功能和阈值加密的认证系统和装置 |
CN108092776A (zh) * | 2017-12-04 | 2018-05-29 | 南京南瑞信息通信科技有限公司 | 一种身份认证服务器和身份认证令牌 |
CN108199845A (zh) * | 2017-12-08 | 2018-06-22 | 中国电子科技集团公司第三十研究所 | 一种基于puf的轻量级认证设备及认证方法 |
CN109150541A (zh) * | 2018-08-15 | 2019-01-04 | 飞天诚信科技股份有限公司 | 一种认证系统及其工作方法 |
Non-Patent Citations (1)
Title |
---|
《物理不可克隆函数综述》;张紫楠等;《计算机应用》;20121101;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN110049002A (zh) | 2019-07-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110049002B (zh) | 一种基于PUF的IPSec认证方法 | |
Abdullah et al. | Blockchain based approach to enhance big data authentication in distributed environment | |
CN103685282B (zh) | 一种基于单点登录的身份认证方法 | |
CA2446304C (en) | Use and generation of a session key in a secure socket layer connection | |
EP2020797B1 (en) | Client-server Opaque token passing apparatus and method | |
CN101442407B (zh) | 利用生物特征进行身份认证的方法及系统 | |
CN111083131A (zh) | 一种用于电力物联网感知终端轻量级身份认证的方法 | |
CN104935568A (zh) | 一种面向云平台接口鉴权签名方法 | |
CN106850207B (zh) | 无ca的身份认证方法和系统 | |
CN109787761A (zh) | 一种基于物理不可克隆函数的设备认证与密钥分发系统和方法 | |
WO2013034187A1 (en) | Secure communication | |
CN104468126A (zh) | 一种安全通信系统及方法 | |
WO2017009378A1 (en) | Security management system for performing a secure transmission of data from a token to a service provider server by means of an identity provider server | |
CN110891065A (zh) | 一种基于Token的用户身份辅助加密的方法 | |
CN105049448B (zh) | 单点登录装置和方法 | |
CN114513339A (zh) | 一种安全认证方法、系统及装置 | |
CN109150906A (zh) | 一种实时数据通信安全方法 | |
Huang et al. | A secure communication over wireless environments by using a data connection core | |
Narendrakumar et al. | Token security for internet of things | |
Kwon et al. | (In-) security of cookies in HTTPS: Cookie theft by removing cookie flags | |
CN101527708B (zh) | 恢复连接的方法和装置 | |
CN116743372A (zh) | 基于ssl协议的量子安全协议实现方法及系统 | |
CN114363077B (zh) | 基于安全访问服务边缘的管理系统 | |
CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
CN115941176A (zh) | 一种基于puf的双向认证及密钥协商方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |