CN111431841B - 一种物联网安全感知系统及物联网数据安全传输方法 - Google Patents
一种物联网安全感知系统及物联网数据安全传输方法 Download PDFInfo
- Publication number
- CN111431841B CN111431841B CN201910022448.6A CN201910022448A CN111431841B CN 111431841 B CN111431841 B CN 111431841B CN 201910022448 A CN201910022448 A CN 201910022448A CN 111431841 B CN111431841 B CN 111431841B
- Authority
- CN
- China
- Prior art keywords
- sequence
- challenge
- response
- responder
- characteristic function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3278—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种物联网安全感知系统及物联网数据安全传输方法,物联网安全感知系统包括感知终端,感知终端内置有互为双向通信连接的控制模块、通信模块、传感器和PUF芯片,感知终端与外界数据平台进行双向通信安全连接;物联网数据安全传输方法包括将PUF芯片的若干挑战/响应对注册在数据平台上、感知终端与数据平台建立双向通信连接、通过请求与应答方式进行至少双向识别与认证过程、通过PUF芯片生成加密密钥和解密密钥用于数据的加密与解密。采用本发明的技术方案,通过利用PUF芯片独有的挑战响应机制,既减少了控制模块的运算负荷,降低了系统功耗,又使双方建立了安全的双向通信链路,提升了双方数据传输的安全性,能够有效防止第三方入侵。
Description
技术领域
本发明涉及物联网技术领域,尤其涉及一种物联网安全感知系统及物联网数据安全传输方法。
背景技术
物联网是新一代信息技术的重要组成部分。其英文名称是“The Internetofthings”,物联网的用户端延伸和扩展到了任何物品与物品之间,进行信息交换和通信。物联网的提出为国家智慧城市建设奠定了基础,实现智慧城市的互联互通协同共享,中国物联网校企联盟将物联网定义为当下几乎所有技术与计算机、互联网技术的结合,实现物体与物体之间:环境以及状态信息实时共享以及智能化的收集、传递、处理、执行。广义上说,当下涉及到信息技术的应用,都可以纳入物联网的范畴。
在物联网迅速发展的同时,其产业基础薄弱、关键核心技术有待突破、网络信息安全存在潜在隐患等问题依然突出,亟需加强引导和加快解决。随着我国物联网产业的高速发展,物联网数据传输的安全性必将受到重视。由于物联网连接和处理的对象是机器和智能物体以及相关的数据,其所有权的特性导致其信息安全的要求很高,对隐私权的保护要求更高。物联网安全必须改变先系统后安全的思路,在物联网应用设计和实施之初,就同时考虑应用和安全,将两者从一开始就紧密结合起来,系统地考虑感知层、网络层和应用层的安全,才能更好地解决各种物联网安全问题,应对物联网安全的新挑战。然而,现有技术中并没有一种有效的方法来保证物联网数据传输的安全,使得物联网的安全已经成为制约其进一步发展的一个关键瓶颈。尤其是物联网的感知终端具有价格需要低廉、功耗很低、通信带宽很窄的特点。基于提高计算复杂度来实现的软件算法的信息安全措施需要高计算能力,无法满足物联网终端的低成本和低功耗的要求。
发明内容
本发明提供一种物联网安全感知系统及物联网数据安全传输方法,所述物联网安全感知系统包括感知终端,所述感知终端内置有控制模块、通信模块、传感器和PUF芯片,所述控制模块分别与通信模块、传感器之间建立有双向通信连接,所述PUF芯片与所述控制模块之间建立有双向通信连接,所述感知终端通过所述通信模块与外界数据平台进行双向通信连接。
所述控制模块与所述通信模块是集成为一体的。
所述PUF芯片是实体物理芯片,包括采用基于CMOS SRAM架构制成。
此外,本发明还提供了一种使用所述物联网安全感知系统的物联网数据安全传输方法,其特征在于:包括以下步骤:
步骤一:注册阶段:所述感知终端通过其内置的随机序列生成器生成若干个挑战序列,然后通过PUF芯片的挑战响应机制获取相应的响应序列,再将所生成的挑战序列和响应序列存储在所述数据平台内置的数据库内;
步骤二:建立通信连接阶段:所述感知终端通过所述通信模块与外界数据平台进行双向通信连接,将所述数据平台作为请求方,感知终端作为应答方;
步骤三:双向识别阶段:请求方调取其内部存储的其中一对挑战序列C1和响应序列R1,先对该响应序列R1使用特征函数运算获得特征函数值A,再将特征函数值A和挑战序列C1发送至应答方,应答方先利用挑战序列C1通过PUF获取相应的响应序列R′1、再对响应序列R′1采用同样的特征函数运算获取特征函数值B,应答方再将特征函数值A与特征函数值B进行比较,若二者相等,则应答方判定请求方合法,否则应答方判定请求方不合法;应答方将挑战序列C1和响应序列R′1发给请求方,请求方将获取的响应序列R′1使用所述特征函数进行运算,获取特征函数值C,请求方再将特征函数值C与特征函数值A进行比较,若二者相等,则请求方判定应答方合法,否则请求方判定应答方不合法;
步骤四:双向认证阶段:请求方调取其内部存储的其中一对挑战序列C2和响应序列R2,请求方将挑战序列C2发送至应答方,应答方通过PUF芯片获取响应序列R′2,应答方再将响应序列R′2回送至请求方,请求方将响应序列R′2与响应序列R2进行比较,若二者相等,则请求方判定应答方合法,否则请求方判定应答方不合法;
步骤五:数据传送阶段:请求方调取其内部存储的其中一对不同的挑战序列C3和响应序列R3,再将该挑战序列C3发送至应答方,应答方将C3通过PUF获取响应序列R3’并将其作为加密密钥,再将该加密密钥对需要发送的数据进行加密,生成加密后的密文,再将该密文发送至请求方,请求方再将所调取的响应序列R3并将其作为解密密钥,通过该解密密钥对所获取的密文进行解密,获得数据。
所述物联网数据安全传输方法还包括:步骤四中所述双向识别阶段还包括:请求获取响应序列R′1之后,将响应序列R′1与响应序列R1进行比较,若二者相等,则请求方判定应答方合法,否则请求方判定应答方不合法。
所述物联网数据安全传输方法还包括:
步骤1:在进行步骤一时,所述感知终端将其内置的ID数字序列存储于所述数据平台内置的数据库以内。
步骤2:在进行步骤三时,所述请求方在将特征函数值和挑战序列C1发送至应答方的同时,还将步骤1中所述ID数字序列发送至应答方。
步骤三中所述双向识别阶段与步骤四中所述双向认证阶段可重复进行多次。
步骤五中所述请求方在将该挑战序列C2发送至应答方的同时,还向应答方法出请求回传加密数据指令。
所述特征函数是Hash散列函数。
上述技术方案具有如下有益效果:采用本发明的物联网安全感知系统,通过在物联网感知终端内置物理不可克隆函数芯片,简称PUF硬件芯片,用于与外界数据平台建立双向通信连接,根据PUF芯片所具有的独一无二的PUF挑战响应机制,使其在双方进行通信和数据传输时,一方面,该物理芯片具有功耗低的优点,大幅度降低了制造成本和运行成本,另一方面,提高了系统的安全性,根据PUF挑战响应机制的特性,即每次PUF芯片的输出响应均是独一无二的,即具有不可复制特性和不可预测特性,使得系统的安全性大幅度提高,即使某一感知终端被第三方所窃获或者攻击,也不会对其它物联网感知终端造成影响,即使相应的软件算法也被攻克或窃获,但由于每次PUF芯片的输出响应仍然是独一无二的,使得整个系统仍然能够保持安全的通信,大幅度提高了系统安全措施级别。此外,采用本发明提供的物联网数据安全传输方法,在双方在传输数据之前即通过至少两次识别认证阶段,每次识别认证过程均使用不同的挑战序列,也产生出不同的响应序列,每对挑战序列与响应序列均独一无二,使双方建立了可靠、安全的双向通信链路,在数据通信过程中,通过利用PUF挑战响应机制生成了独一无二的加密密钥和解密密钥,使得只有参与通信的双方之间能够进行安全的数据传输,有效防止任何第三方的入侵,保证了双方数据传输的安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明物联网安全感知系统的结构示意图;
图2是本发明物联网数据安全传输方法的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种物联网安全感知系统,如图1所示,物联网安全感知系统包括感知终端,感知终端内置有控制模块、通信模块、传感器和PUF芯片,控制模块分别与通信模块、传感器之间建立有双向通信连接,PUF芯片与控制模块之间建立有双向通信连接,感知终端通过所述通信模块与外界数据平台进行双向通信连接。进一步地,控制模块与通信模块是集成为一体的。PUF芯片是实体物理芯片,包括采用基于CMOS SRAM架构制成。
在绝大多数情况下,采用CMOS SRAM架构的PUF芯片就可满足物联网感知终端的安全通信链接,PUF芯片实际上是一个物理器件实现的输入/输出映射功能,一个特定的输入,会对应一个特定的输出,或者称之为挑战/响应功能,因为经常成对出现,当输入同一个挑战序列时,不同的PUF芯片会生成不同的响应,同时,PUF芯片具有物理不可克隆特性,即使公开所有的工艺步骤和设备型号,甚至芯片代工制造生产线平台,即使设计者本人也无法复制出具有同样性能的PUF芯片。每个PUF芯片的性能表现在其挑战/响应的映射功能的独一无二,此外,PUF芯片还具有不预测特性,在输入挑战相同的情况下,PUF芯片也会在每次运行之后输出不同的响应,因此,即使输入挑战已被第三方获知,但第三方仍然无法通过数学建模的方法或计算机模拟的方法获知这些挑战再次输入PUF芯片之后,会产生怎样的响应,即PUF芯片的不可预测特性。
在本发明提供的物联网安全感知系统中,控制模块可以完全集成到通信模块里,使通信模块以内包含了控制功能,控制模块以内通常包含有一些运算、存储功能,主要用于识别和认证操作外,还有Hash运算、加密运算和纠错等功能,当控制模块完全集成在通信模块以内时,提高了系统集成度,减小了系统的体积,同时,控制模块中的这些运算功能不需要消耗太多功耗和资源,为整个系统节省了能源;传感器发送和接收的数据都要通过控制模块的处理才能进行下一步的操作,通信模块接收和发送的数据同样都需要有控制模块处理后才能进行下一步的操作,在本发明提供的物联网安全感知系统中,PUF芯片可以视为控制模块功能的扩展,PUF实际上采用物理的办法帮助控制模块从事了极为复杂的运算,并具有低成本、低功耗的特点,由于设置PUF芯片,简化了控制模块的运算功能,从而使整个系统的功耗都大幅度降低,相应地大幅度降低了制造成本和运行成本。
此外,如图2所示,本发明还提供了一种使用物联网安全感知系统的物联网数据安全传输方法,包括以下步骤:
步骤一:注册阶段:所述感知终端通过其内置的随机序列生成器生成若干个挑战序列,然后通过PUF芯片的挑战响应机制获取相应的响应序列,再将所生成的挑战序列和响应序列存储在所述数据平台内置的数据库内;
步骤二:建立通信连接阶段:所述感知终端通过所述通信模块与外界数据平台进行双向通信连接,将所述数据平台作为请求方,感知终端作为应答方;
步骤三:双向识别阶段:请求方调取其内部存储的其中一对挑战序列C1和响应序列R1,先对该响应序列R1使用特征函数运算获得特征函数值A,再将特征函数值A和挑战序列C1发送至应答方,应答方先利用挑战序列C1通过PUF获取相应的响应序列R′1、再对响应序列R′1采用同样的特征函数运算获取特征函数值B,应答方再将特征函数值A与特征函数值B进行比较,若二者相等,则应答方判定请求方合法,否则应答方判定请求方不合法;应答方将挑战序列C1和响应序列R′1发给请求方,请求方将获取的响应序列R′1使用所述特征函数进行运算,获取特征函数值C,请求方再将特征函数值C与特征函数值A进行比较,若二者相等,则请求方判定应答方合法,否则请求方判定应答方不合法;进一步地,优选特征函数是Hash散列函数。步骤三中双向识别与认证阶段还包括:当应答方判定数据平台合法之后,将所获取的响应序列R′1回送至请求方。进一步地,所述双向识别阶段还包括:请求获取响应序列R′1之后,将响应序列R′1与响应序列R1进行比较,若二者相等,则请求方判定应答方合法,否则请求方判定应答方不合法。
步骤四:双向认证阶段:请求方调取其内部存储的其中一对挑战序列C2和响应序列R2,请求方将挑战序列C2发送至应答方,应答方通过PUF芯片获取响应序列R′2,应答方再将响应序列R′2回送至请求方,请求方将响应序列R′2与响应序列R2进行比较,若二者相等,则请求方判定应答方合法,否则请求方判定应答方不合法;此外,步骤三中所述双向识别阶段与步骤四中所述双向认证阶段可重复进行多次。
步骤五:数据传送阶段:请求方调取其内部存储的其中一对不同的挑战序列C3和响应序列R3,再将该挑战序列C3发送至应答方,应答方将C3通过PUF获取响应序列R3’并将其作为加密密钥,再将该加密密钥对需要发送的数据进行加密,生成加密后的密文,再将该密文发送至请求方,请求方再将所调取的响应序列R3并将其作为解密密钥,通过该解密密钥对所获取的密文进行解密,获得数据。进一步地,所述请求方在将该挑战序列C2发送至应答方的同时,还向应答方法出请求回传加密数据指令。
进一步地,物联网数据安全传输方法还包括:
步骤1:在进行步骤一时,感知终端将其内置的ID数字序列存储于数据平台内置的数据库以内。
步骤2:在进行步骤三时,请求方在将特征函数值和挑战序列C1发送至应答方的同时,还将步骤1中ID数字序列发送至应答方。
采用本发明的物联网安全感知系统,通过在物联网感知终端内置物理不可克隆函数芯片,简称PUF硬件芯片,用于与外界数据平台建立双向通信连接,根据PUF芯片所具有的独一无二的PUF挑战响应机制,使其在双方进行通信和数据传输时,一方面,该物理芯片具有功耗低的优点,大幅度降低了制造成本和运行成本,另一方面,提高了系统的安全性,根据PUF挑战响应机制的特性,即每次PUF芯片的输出响应均是独一无二的,即具有不可复制特性和不可预测特性,使得系统的安全性大幅度提高,即使某一感知终端被第三方所窃获或者攻击,也不会对其它物联网感知终端造成影响,即使相应的软件算法也被攻克或窃获,但由于每次PUF芯片的输出响应仍然是独一无二的,使得整个系统仍然能够保持安全的通信,大幅度提高了系统安全措施级别。此外,采用本发明提供的物联网数据安全传输方法,在双方在传输数据之前即通过至少两次识别认证阶段,每次识别认证过程均使用不同的挑战序列,也产生出不同的响应序列,每对挑战序列与响应序列均独一无二,使双方建立了可靠、安全的双向通信链路,在数据通信过程中,通过利用PUF挑战响应机制生成了独一无二的加密密钥和解密密钥,使得只有参与通信的双方之间能够进行安全的数据传输,有效防止任何第三方的入侵,保证了双方数据传输的安全。
实施例1:
步骤一:注册阶段:感知终端通过其内置的序列生成器生成若干个挑战序列,然后通过PUF芯片的挑战响应机制获取相应的响应序列,再将所生成的挑战序列和响应序列存储在数据平台内置的数据库以内;每一个PUF芯片在植入到感知终端之前,需要在数据平台的服务器上进行注册,注册阶段的过程实质上就是将该PUF芯片内所生成的若干对挑战序列/响应序列存储到数据平台的服务器里,以备调用,需要注意的是,这些注册的PUF芯片信息,也就是存储在数据平台上的挑战序列/响应序列,简称为CR对,CR对的数据是物联网感知端的信息安全基础。
步骤二:建立通信连接阶段:感知终端通过通信模块与外界数据平台进行双向通信连接,将感知终端和数据平台中的一方作为请求方,另一方作为应答方;
步骤三:双向识别阶段:
1、由数据平台发起,从数据库中调用需要对话的感知终端的ID数字序列,以及已经注册感知终端里PUF的挑战序列C,并把与之对应的响应序列R经过Hash计算,生成Hash(R);
2、通过感知终端与数据平台之间的通信链路根据ID把C和Hash(R)发送给所对应的感知终端;
3、感知终端接收C和Hash(R),并将C输入给PUF芯片,输出响应R’,并对R’进行Hash运算,得到Hash(R’),如果Hash(R’)与Hash(R)相等,则证明感知终端认为要与之对话的数据平台是合法的,此时感知终端发送R’,否则感知终端认为要与之对话的数据平台是不合法的;
4、通过感知终端与数据平台之间的通信链路把ID和R’返回给数据平台;
5、数据平台根据接收到的ID和R’,计算R’的Hash值,得到Hash(R’),如果Hash(R’)与Hash(R)相等,则证明数据平台认为感知终端是合法的,这样,感知终端与数据平台之间的双向识别操作完成。采用本发明的技术方案具有以下优势:其一,Hash计算是一种能把长数据序列减缩较短数据序列的单向函数运算,第三方攻击者,即使拿到了R的Hash值,也无法反推出R,Hash运算可以采用公开的标准算法,也不会影响系统的安全性;其二,识别操作也可以由感知终端发起,感知终端把ID,C和对应的Hash(R)发送给数据平台,进行后面相应的双向识别操作,效果是一样的。
步骤四:双向认证阶段:
1、在双向识别操作完成的基础上,数据平台的服务器再从该终端节点的PUF注册的CR对里调用另一个C1和R1,并计算相应的Hash(R1);
2、发送C1和要求该终端节点回传数据的指令;
3、该感知终端接收C1,将C1输入到自身的PUF芯片,输出R1’;
4、感知终端把R1’发回给数据平台;
5、数据平台服务器根据收到的R1’,计算相应的Hash(R1’),如果Hash(R1’)=Hash(R1),则双方判定认证通过;采用本发明的技术方案具有以下优势:其一,为了提高认证的安全性能,有时候,数据平台会多次向感知终端发出和比对CR对;其二,请求方也可以是感知终端,由感知终端发起认证。
步骤五:数据传送阶段:
1、在完成双向识别与认证之后,数据平台的服务器再从该终端节点PUF注册的CR对里调用另一对C2和R2;
2、数据平台发送C2和要求感知终端回传加密数据的指令;
3、感知终端接收C2,并输入至自身的PUF芯片,输出R2’;
4、感知终端利用R2’生成加密密钥,用此密钥对需要发送的数据进行加密,生成密文;
5、感知终端将密文发送给数据平台;
6、数据平台利用R2生成解密密钥,请注意这里,R2’=R2会严格相等,解密密钥会与加密秘钥也会相等,感知终端与数据平台之间的对称密钥协商达成;
7、数据平台利用解密密钥对接收的密文解密,获取感知终端的数据。
采用本发明的技术方案具有以下优势:由于感知终端内置有PUF芯片,实际上,感知终端与数据平台之间采用的是对称加密体制。如果要加强数据平台服务器端的安全性,也可以通过这一阶段,让感知终端的PUF生成新的CR对,通过此加密/解密安全传送给数据平台,及时更新数据平台里的PUF注册数据,一方面减少了第一次注册PUF的CR对的数量,减小数据平台的存储开销;另一方面,经常性地更新PUF的CR对,相当于更换密钥,有助于物联网安全,对于这个操作,也不会增加感知终端太多的运算量和功耗。
以上的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种物联网安全感知系统,其特征在于:包括感知终端,所述感知终端内置有控制模块、通信模块、传感器和PUF芯片,所述控制模块分别与通信模块、传感器之间建立有双向通信连接,所述PUF芯片与所述控制模块之间建立有双向通信连接,所述感知终端通过所述通信模块与外界数据平台进行双向通信连接;
所述感知终端用于在注册阶段通过其内置的随机序列生成器生成若干个挑战序列,然后通过PUF芯片的挑战响应机制获取相应的响应序列,再将所生成的挑战序列和响应序列存储在所述数据平台内置的数据库内;
所述感知终端还用于在建立通信连接阶段通过所述通信模块与外界数据平台进行双向通信连接,将所述数据平台作为请求方,感知终端作为应答方;
所述请求方用于在双向识别阶段调取其内部存储的其中一对挑战序列C1和响应序列R1,先对该响应序列R1使用特征函数运算获得特征函数值A,再将特征函数值A和挑战序列C1发送至应答方;
所述应答方用于在双向识别阶段响应于收到来自所述请求方发送的特征函数值A和挑战序列C1,先利用挑战序列C1通过PUF获取相应的响应序列R′1、再对响应序列R′1采用同样的特征函数运算获取特征函数值B,再将特征函数值A与特征函数值B进行比较,若二者相等,则判定请求方合法,否则判定请求方不合法;
所述应答方还用于在双向识别阶段将挑战序列C1和响应序列R′1发给请求方;
所述请求方还用于在双向识别阶段响应于收到来自所述应答方的挑战序列C1和响应序列R′1,将获取的响应序列R′1使用所述特征函数进行运算,获取特征函数值C,请求方再将特征函数值C与特征函数值A进行比较,若二者相等,则请求方判定应答方合法,否则请求方判定应答方不合法;
所述请求方还用于在双向认证阶段调取其内部存储的其中一对挑战序列C2和响应序列R2,将挑战序列C2发送至应答方;
所述应答方还用于在双向认证阶段响应于收到来自所述请求方的挑战序列C2,通过PUF芯片获取响应序列R′2, 再将响应序列R′2回送至请求方;
所述请求方还用于在双向认证阶段响应于收到来自应答方的响应序列R′2,将响应序列R′2与响应序列R2进行比较,若二者相等,则请求方判定应答方合法,否则请求方判定应答方不合法;
所述请求方还用于在数据传送阶段调取其内部存储的其中一对不同的挑战序列C3和响应序列R3,再将该挑战序列C3发送至应答方;
所述应答方还用于在数据传送阶段响应于收到来自所述请求方的挑战序列C3,将C3通过PUF获取响应序列R3’并将其作为加密密钥,再将该加密密钥对需要发送的数据进行加密,生成加密后的密文,再将该密文发送至请求方;
所述请求方还用于在数据传送阶段响应于收到来自所述应答方的密文,将所调取的响应序列R3并将其作为解密密钥,通过该解密密钥对所获取的密文进行解密,获得数据。
2.如权利要求1所述的物联网安全感知系统,其特征在于:所述控制模块与所述通信模块是集成为一体的。
3.如权利要求1所述的物联网安全感知系统,其特征在于:所述PUF芯片是实体物理芯片,包括采用基于CMOS SRAM架构制成。
4.一种如权利要求1至3任一项所述物联网安全感知系统的物联网数据安全传输方法,其特征在于:包括以下步骤:
步骤一:注册阶段:所述感知终端通过其内置的随机序列生成器生成若干个挑战序列,然后通过PUF芯片的挑战响应机制获取相应的响应序列,再将所生成的挑战序列和响应序列存储在所述数据平台内置的数据库内;
步骤二:建立通信连接阶段:所述感知终端通过所述通信模块与外界数据平台进行双向通信连接,将所述数据平台作为请求方,感知终端作为应答方;
步骤三:双向识别阶段:请求方调取其内部存储的其中一对挑战序列C1和响应序列R1,先对该响应序列R1使用特征函数运算获得特征函数值A,再将特征函数值A和挑战序列C1发送至应答方,应答方先利用挑战序列C1通过PUF获取相应的响应序列R′1、再对响应序列R′1采用同样的特征函数运算获取特征函数值B,应答方再将特征函数值A与特征函数值B进行比较,若二者相等,则应答方判定请求方合法,否则应答方判定请求方不合法;应答方将挑战序列C1和响应序列R′1发给请求方,请求方将获取的响应序列R′1使用所述特征函数进行运算,获取特征函数值C,请求方再将特征函数值C与特征函数值A进行比较,若二者相等,则请求方判定应答方合法,否则请求方判定应答方不合法;
步骤四:双向认证阶段:请求方调取其内部存储的其中一对挑战序列C2和响应序列R2,请求方将挑战序列C2发送至应答方,应答方通过PUF芯片获取响应序列R′2, 应答方再将响应序列R′2回送至请求方,请求方将响应序列R′2与响应序列R2进行比较,若二者相等,则请求方判定应答方合法,否则请求方判定应答方不合法;
步骤五:数据传送阶段:请求方调取其内部存储的其中一对不同的挑战序列C3和响应序列R3,再将该挑战序列C3发送至应答方,应答方将C3通过PUF获取响应序列R3’并将其作为加密密钥,再将该加密密钥对需要发送的数据进行加密,生成加密后的密文,再将该密文发送至请求方,请求方再将所调取的响应序列R3并将其作为解密密钥,通过该解密密钥对所获取的密文进行解密,获得数据。
5.如权利要求4所述的物联网数据安全传输方法,其特征在于:所述物联网数据安全传输方法还包括:步骤三中所述双向识别阶段还包括:请求获取响应序列R′1之后,将响应序列R′1与响应序列R1进行比较,若二者相等,则请求方判定应答方合法,否则请求方判定应答方不合法。
6.如权利要求4所述的物联网数据安全传输方法,其特征在于:所述物联网数据安全传输方法还包括:
步骤1:在进行步骤一时,所述感知终端将其内置的ID数字序列存储于所述数据平台内置的数据库以内;
步骤2:在进行步骤三时,所述请求方在将特征函数值和挑战序列C1发送至应答方的同时,还将步骤1中所述ID数字序列发送至应答方。
7.如权利要求4所述的物联网数据安全传输方法,其特征在于:步骤三中所述双向识别阶段与步骤四中所述双向认证阶段可重复进行多次。
8.如权利要求4所述的物联网数据安全传输方法,其特征在于:步骤五中所述请求方在将该挑战序列C2发送至应答方的同时,还向应答方发出请求回传加密数据指令。
9.如权利要求4所述的物联网数据安全传输方法,其特征在于:所述特征函数是Hash散列函数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910022448.6A CN111431841B (zh) | 2019-01-10 | 2019-01-10 | 一种物联网安全感知系统及物联网数据安全传输方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910022448.6A CN111431841B (zh) | 2019-01-10 | 2019-01-10 | 一种物联网安全感知系统及物联网数据安全传输方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111431841A CN111431841A (zh) | 2020-07-17 |
CN111431841B true CN111431841B (zh) | 2022-08-02 |
Family
ID=71545754
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910022448.6A Active CN111431841B (zh) | 2019-01-10 | 2019-01-10 | 一种物联网安全感知系统及物联网数据安全传输方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111431841B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111865617B (zh) * | 2020-08-04 | 2021-09-07 | 上海交通大学 | 一种基于物理不可克隆函数的增强系统可靠性方法 |
CN115022871A (zh) * | 2021-03-03 | 2022-09-06 | 石家庄望峰科技有限公司 | 无线人体局域网的鉴权方法和心电监测系统 |
CN112637638B (zh) * | 2021-03-09 | 2021-06-01 | 浙江宇视科技有限公司 | 密钥免交互的视频交互方法、装置、电子设备及存储介质 |
CN114900328A (zh) * | 2022-04-01 | 2022-08-12 | 广州新华学院 | 一种物联网安全感知接入系统和方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102523579A (zh) * | 2011-12-23 | 2012-06-27 | 东南大学 | 基于物理不可克隆功能的无线传感器网络及其实现方法 |
CN108173662A (zh) * | 2018-02-12 | 2018-06-15 | 海信集团有限公司 | 一种设备的认证方法和装置 |
CN108243008A (zh) * | 2016-12-23 | 2018-07-03 | 智能Ic卡公司 | 使用高可靠性物理不可克隆功能的秘密密钥生成 |
CN108768660A (zh) * | 2018-05-28 | 2018-11-06 | 北京航空航天大学 | 基于物理不可克隆函数的物联网设备身份认证方法 |
CN109040067A (zh) * | 2018-08-02 | 2018-12-18 | 广东工业大学 | 一种基于物理不可克隆技术puf的用户认证设备及认证方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN203942538U (zh) * | 2014-04-21 | 2014-11-12 | 天津联芯科技有限公司 | 基于puf身份验证和信息加密的手机耳机 |
CA2971212C (en) * | 2014-12-15 | 2023-08-08 | Stc.Unm | Reliability enhancement methods for physically unclonable function bitstring generation |
-
2019
- 2019-01-10 CN CN201910022448.6A patent/CN111431841B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102523579A (zh) * | 2011-12-23 | 2012-06-27 | 东南大学 | 基于物理不可克隆功能的无线传感器网络及其实现方法 |
CN108243008A (zh) * | 2016-12-23 | 2018-07-03 | 智能Ic卡公司 | 使用高可靠性物理不可克隆功能的秘密密钥生成 |
CN108173662A (zh) * | 2018-02-12 | 2018-06-15 | 海信集团有限公司 | 一种设备的认证方法和装置 |
CN108768660A (zh) * | 2018-05-28 | 2018-11-06 | 北京航空航天大学 | 基于物理不可克隆函数的物联网设备身份认证方法 |
CN109040067A (zh) * | 2018-08-02 | 2018-12-18 | 广东工业大学 | 一种基于物理不可克隆技术puf的用户认证设备及认证方法 |
Non-Patent Citations (1)
Title |
---|
一种基于SRAM PUF的安全双向认证协议;刘丹等;《密码学报》;20170831;第1-12页 * |
Also Published As
Publication number | Publication date |
---|---|
CN111431841A (zh) | 2020-07-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111431841B (zh) | 一种物联网安全感知系统及物联网数据安全传输方法 | |
CN110008717B (zh) | 支持隐私保护的决策树分类服务系统及方法 | |
Sanjuan et al. | Message queuing telemetry transport (MQTT) security: A cryptographic smart card approach | |
EP4270266A1 (en) | Method and apparatus for updating machine learning model | |
CN111832044B (zh) | 一种安全的协同计算处理方法及系统 | |
Sani et al. | A universally composable key exchange protocol for advanced metering infrastructure in the energy Internet | |
Zhao et al. | Security analysis of SM2 key exchange protocol in TPM2. 0 | |
Gan et al. | Partial policy hiding attribute-based encryption in vehicular fog computing | |
CN111200604A (zh) | 一种基于数据聚合的隐私保护方法及系统 | |
Sharma et al. | sTrade: Blockchain based secure energy trading using vehicle-to-grid mutual authentication in smart transportation | |
WO2021168614A1 (zh) | 数据加密处理方法、数据解密处理方法、装置及电子设备 | |
CN102209066B (zh) | 网络认证的方法和设备 | |
CN110610418A (zh) | 基于区块链的交易状态查询方法、系统、设备及存储介质 | |
Jiang et al. | Lightweight healthcare wireless body area network scheme with amplified security | |
CN108270563A (zh) | 一种基于sm2加密算法的数据交换方法和系统 | |
CN116488919A (zh) | 一种数据处理方法、通信节点及存储介质 | |
CN116681141A (zh) | 隐私保护的联邦学习方法、终端及存储介质 | |
CN112468983B (zh) | 一种低功耗的电力物联网智能设备接入认证方法及其辅助装置 | |
WO2021196478A1 (zh) | 加密数据对等关系比对方法、装置、计算机设备及存储介质 | |
CN114172742A (zh) | 基于节点地图与边缘认证的电力物联网终端设备分层认证方法 | |
Qi et al. | TBVPAKE: An efficient and provably secure verifier-based PAKE protocol for IoT applications | |
Anakath et al. | Fingerprint Agreement Using Enhanced Kerberos Authentication Protocol on M-Health. | |
Raza et al. | A secure authentication protocol against the co-located app attack in ble | |
CN113543120B (zh) | 一种基于联邦学习的移动终端信用反欺诈预估方法及系统 | |
Li et al. | A secure and verifiable outsourcing scheme for assisting mobile device training machine learning model |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20230609 Address after: Room 522, Floor 5, Building 101, No. 7, Yard 11, Xingke East Street, Yanqi Economic Development Zone, Huairou District, Beijing 101400 Patentee after: Beijing puanxin Technology Co.,Ltd. Patentee after: Suzhou Industrial Park Xinchuang Electronic Technology Co.,Ltd. Address before: 100102 floor 7, building 1, No. 50, wangjingsili, Chaoyang District, Beijing (No. 1725, xinqihang incubator) Patentee before: Beijing puanxin Technology Co.,Ltd. |