CN112272094B - 基于puf和cpk算法的物联网设备身份认证方法、系统及存储介质 - Google Patents

基于puf和cpk算法的物联网设备身份认证方法、系统及存储介质 Download PDF

Info

Publication number
CN112272094B
CN112272094B CN202011146373.1A CN202011146373A CN112272094B CN 112272094 B CN112272094 B CN 112272094B CN 202011146373 A CN202011146373 A CN 202011146373A CN 112272094 B CN112272094 B CN 112272094B
Authority
CN
China
Prior art keywords
internet
equipment
things
identity authentication
things equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011146373.1A
Other languages
English (en)
Other versions
CN112272094A (zh
Inventor
张明明
夏元轶
冒佳明
赵俊峰
夏飞
范磊
许良杰
胡俊
邵志鹏
陈牧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Global Energy Interconnection Research Institute
Anhui Jiyuan Software Co Ltd
Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Original Assignee
Global Energy Interconnection Research Institute
Anhui Jiyuan Software Co Ltd
Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Global Energy Interconnection Research Institute, Anhui Jiyuan Software Co Ltd, Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd filed Critical Global Energy Interconnection Research Institute
Priority to CN202011146373.1A priority Critical patent/CN112272094B/zh
Publication of CN112272094A publication Critical patent/CN112272094A/zh
Application granted granted Critical
Publication of CN112272094B publication Critical patent/CN112272094B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3278Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Collating Specific Patterns (AREA)

Abstract

本发明公开了一种基于PUF和CPK算法的物联网设备身份认证方法、系统及存储介质,旨在解决现有技术中物联网设备身份认证安全性不足、资源受限的技术问题。其包括:基于PUF获取物联网设备的挑战和响应,并利用物联网设备的挑战、响应和预生成的设备标识ID构建设备指纹库;基于CPK加密算法和设备标识ID生成物联网设备的公私钥;基于设备指纹库和公私钥进行物联网设备双重身份认证,获取身份认证结果。本发明能够在提高物联网设备身份认证安全性的同时降低物联网设备的资源消耗,身份认证结果更加准确可靠。

Description

基于PUF和CPK算法的物联网设备身份认证方法、系统及存储 介质
技术领域
本发明涉及一种基于PUF和CPK算法的物联网设备身份认证方法、系统及存储介质,属于物联网设备安全认证技术领域。
背景技术
随着物联网技术的发展,物联网安全性收到越来越多的关注,对物联网中的设备进行身份认证非常重要。传统的身份认证一般采用用户名、密码认证或采用 PKI/CA 技术实现,用户名、密码认证的方式难以实现对海量用户的支持,同时难以在一些低端的智能设备里面实现,因此无法在物联网安全中得到广泛的应用;PKI/CA 系统需要为每一个设备、智能终端都颁发数字证书,且在使用过程中还需要交换对方的证书,在物联网这种用户数巨大、点对交互频繁而随机的使用场景下,需要维护管理大量证书、进行在线交换,其整体建设和维护成本非常之高,难以普及。
CPK 体制具有密钥本身直接证明标识的真伪而无需第三方证明的显著优点,证书可以不需要运行工具,公钥无需传递,且消耗存储资源很小,方便快捷,可满足物联网海量设备大规模认证的需求。但是,基于密码学的身份认证技术存在密钥泄漏、密钥生成、分发成本高等问题。
PUF(Physical Uncloable Functions,物理不可克隆函数,或简称PUFs)广泛存在于现有的移动及互联网终端设备中。PUF技术主要利用芯片制造过程中内部门电路或者光照等工序存在的随机工艺偏差生成设备物理指纹,其具有不可克隆性、唯一性、可靠性、安全性、不可预测性、计算代价小、无需存储等特点,具有广泛的应用前景。但是,基于PUF的身份认证技术所产生的CRP对与其节点数量呈线性关系,因此,存在被破解的可能。
发明内容
为了解决现有技术中物联网设备身份认证安全性不足、资源受限的问题,本发明提出了一种基于PUF和CPK算法的物联网设备身份认证方法、系统及存储介质,利用PUF和CPK进行物联网设备的双重身份认证,在提高物联网身份认证安全性的同时,降低物联网设备的资源消耗。
为解决上述技术问题,本发明采用了如下技术手段:
第一方面,本发明提出了一种基于PUF和CPK算法的物联网设备身份认证方法,包括以下步骤:
基于PUF获取物联网设备的挑战和响应,并利用物联网设备的挑战、响应和预生成的设备标识ID构建设备指纹库;
基于CPK加密算法和设备标识ID生成物联网设备的公私钥;
基于设备指纹库和公私钥进行物联网设备双重身份认证,获取身份认证结果。
结合第一方面,进一步的,所述物联网设备的挑战和响应的获取方法如下:
当物联网设备具有DRAM组件时,将DRAM组件带电工作时写入数据的值和数据地址作为物联网设备的挑战,输入PUF;将DRAM组件断电后再次加电,重新读取 DRAM组件中数据地址中的数值作为 PUF 的输出,即物联网设备的响应;
当物联网设备具有SARM组件时,将SARM组件的存储单元地址作为物联网设备的挑战,输入PUF,将SRAM组件通电后,读取存储单元地址中的数值作为 PUF 输出,即物联网设备的响应。
结合第一方面,进一步的,所述设备标识ID的生成方法包括如下步骤:
获取物联网设备的基本属性和设备行为特征,所述基本属性包括IP地址、MAC地址、设备机器名称、操作系统种类,所述设备行为特征包括物联网设备的数据上传次数、数据上传间隔、单次上传数据量;
基于深度学习方法处理物联网设备的基本属性和设备行为特征,提取物联网设备的特征向量;
对物联网设备的特征向量进行压缩变换,生成物联网设备的设备标识ID。
结合第一方面,进一步的,所述物联网设备的公私钥的生成方法包括如下步骤:
基于椭圆曲线离散对数问题构建公私钥种子矩阵;
对设备标识ID进行哈希运算,获取设备标识ID的哈希值;
通过行映射算法计算设备标识ID的哈希值对应的行坐标序列,并根据行坐标序列从公私钥种子矩阵中提取密钥因子;
对密钥因子进行组合运算,获取物联网设备的公私钥。
结合第一方面,进一步的,所述物联网设备双重身份认证的具体操作如下:
从设备指纹库中提取物联网设备的挑战,利用物联网设备的公钥对挑战和随机数进行加密,获得加密数据,所述随机数由随机数发生器生成;
将加密数据传输到物联网设备,获取服务器身份认证结果;
当服务器身份认证成功,从物联网设备获取私钥签名数据,否则,认为物联网设备身份认证失败;
利用公钥对私钥签名数据进行解签,获得解签数据;
从设备指纹库中提取物联网设备的响应,并对物联网设备的响应进行哈希运算,获得响应哈希值;
对响应哈希值和解签数据进行匹配,当匹配成功,认为物联网设备身份认证成功,将设备指纹库中的物联网设备的挑战、响应删除,否则,认为物联网身份认证失败。
结合第一方面,进一步的,服务器身份认证的过程如下:
利用物联网设备的私钥对加密数据进行解密,获得物联网设备的挑战和随机数;
对随机数的数值进行验证,当随机数正确,认为服务器身份认证成功,否则,认为服务器身份认证失败;
所述私钥签名数据的生成方法包括如下步骤:
将物联网设备的挑战输入PUF,获得实时响应,对实时响应进行哈希运算,获得实时响应哈希值;
利用物联网设备的私钥对实时响应哈希值进行数字签名,获得私钥签名数据。
结合第一方面,进一步的,对响应哈希值和解签数据进行匹配的具体操作如下:
计算响应哈希值与解密数据的距离,并将距离与预设的阈值比较,当距离不大于预设的阈值,则匹配成功,否则,匹配失败。
第二方面,本发明提出了一种基于PUF和CPK算法的物联网设备身份认证系统,包括:
标识ID生成模块,用来根据物联网设备的基本属性和设备行为特征生成设备标识ID;
设备注册模块,用来基于PUF获取物联网设备的挑战和响应;
密钥生成模块,用来基于CPK加密算法和设备标识ID生成物联网设备的公私钥;
设备指纹库,用来存储物联网设备的挑战、响应和设备标识ID;
身份认证模块,用来基于设备指纹库和公私钥进行物联网设备双重身份认证,获取身份认证结果。
第三方面,本发明提出了一种基于PUF和CPK算法的物联网设备身份认证系统,包括处理器及存储介质;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行本发明第一方面所述方法的步骤。
第四方面,本发明提出了计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明第一方面所述方法的步骤。
采用以上技术手段后可以获得以下优势:
本发明提出了一种基于PUF和CPK算法的物联网设备身份认证方法、系统及存储介质,利用PUF获得物联网设备的挑战-响应对(CRP),利用CPK算法获得物联网设备的公私钥,然后基于CRP和公私钥进行物联网设备的双重身份认证,提高了身份认证结果的准确性、可靠性和安全性。
本发明中的CRP与设备标识ID一起存储在设备指纹库中,在完成身份认证之后,会将CRP删除,避免被破解,进一步提高了物联网设备身份认证的安全性。本发明不需要第三方认证设备标识真伪,公私钥由服务器端的密钥生成模块生成、管理,不需要物联网设备生成、管理密钥,降低了物联网设备的资源消耗。
附图说明
图1为本发明一种基于PUF和CPK算法的物联网设备身份认证方法的步骤流程图。
图2为本发明实施例中物联网设备双重身份认证的流程图。
图3为本发明一种基于PUF和CPK算法的物联网设备身份认证系统的结构示意图。
图中,1是标识ID生成模块,2是设备注册模块,3是密钥生成模块,4是设备指纹库,5是身份认证模块。
具体实施方式
下面结合附图对本发明的技术方案作进一步说明:
本发明提出了一种基于PUF和CPK算法的物联网设备身份认证方法,如图1所示,具体包括以下步骤:
步骤1、基于PUF获取物联网设备的挑战和响应,并利用物联网设备的挑战、响应和预生成的设备标识ID构建设备指纹库。
在进行物联网设备身份认证之前,需要先进行设备注册,设备注册包括生成设备标识ID和获取物联网设备的挑战-响应对。
设备标识ID是基于设备多元特征生成的,具体生成方法包括如下步骤:
从物联网设备处获取基本属性和设备行为特征。基本属性包括IP地址、MAC地址、设备机器名称、操作系统种类等,如果物联网设备是一台计算机,则设备机器名称是该计算机的产品名称,如联想,操作系统种类是该计算机按照的操作系统名称,如win7x86。设备行为特征包括物联网设备的数据上传次数、数据上传间隔、单次上传数据量等内容。
对物联网设备的基本属性进行统计注册,基于深度学习方法处理物联网设备的基本属性和设备行为特征,提取物联网设备的特征向量,具体的,采用卷积神经网络对物联网设备的基本属性和设备行为特征进行数据清洗、数据填充、特征提取等操作,获取对应的特征向量。
对物联网设备的特征向量进行压缩变换,比如散列计算、加密运算等,生成物联网设备的设备标识ID。设备标识ID具有唯一性,是设备身份认证过程中的关键参数,设备标识ID会同步到物联网设备中和物联网服务器中。
物理网设备接入物联网后,向物联网服务器提交注册申请,注册申请中包含设备标识ID,物联网服务器在验证了设备标识ID后进行物联网设备的挑战和响应的获取,并将获取到的挑战、响应与设备标识ID对应后存储到设备指纹库中,即将ID-CRP存储到设备指纹库。
物联网设备的挑战和响应的获取方法如下:
当物联网设备具有DRAM组件时,将DRAM组件带电工作时写入数据的值和数据地址作为物联网设备的挑战,输入PUF;将DRAM组件断电后再次加电,重新读取 DRAM组件中数据地址中的数值作为 PUF 的输出,即物联网设备的响应。
当物联网设备具有SARM组件时,将SARM组件的存储单元地址作为物联网设备的挑战,输入PUF,将SRAM组件通电后,读取存储单元地址中的数值作为 PUF 输出,即物联网设备的响应。
步骤2、基于CPK加密算法和设备标识ID生成物联网设备的公私钥,具体操作如下:
步骤201、基于椭圆曲线离散对数问题构建公私钥种子矩阵;
步骤202、对设备标识ID进行哈希运算,获取设备标识ID的哈希值;
步骤203、通过行映射算法计算设备标识ID的哈希值对应的行坐标序列,并根据行坐标序列从公私钥种子矩阵中提取密钥因子;
步骤204、对密钥因子进行组合运算,获取与设备标识ID对应的物联网设备的公私钥。
本发明获得物联网设备的公私钥后,将私钥发送到对应的物联网设备,私钥由物联网设备本地进行存储,公钥存储在物联网服务器中,同时,公开公钥种子矩阵。
步骤3、基于设备指纹库和公私钥进行物联网设备双重身份认证,获取身份认证结果。如图2所示,物联网设备双重身份认证的具体操作如下:
步骤301、针对物联网设备的身份认证请求,获取物联网设备的公钥PKu和私钥SKu,利用随机数发生器自动生成一个随机数a,将随机数a同步到物联网设备和物联网服务器;从设备指纹库中提取物联网设备的挑战,利用物联网设备的公钥PKu对挑战和随机数a进行加密,获得加密数据。
步骤302、物联网服务器将加密数据传输到物联网设备,获取服务器身份认证结果。本发明采用的是双重身份认证,第一重身份认证就是物联网设备对物联网服务器的认证,具体的:利用物联网设备的私钥SKu对加密数据进行解密,获得物联网设备的挑战和随机数a;在物联网设备本地对随机数a的数值进行验证,当随机数a正确,认为服务器身份认证成功,否则,认为服务器身份认证失败。
步骤303、当服务器身份认证成功,从物联网设备获取私钥签名数据,其中,私钥签名数据的生成方法为:将解密出来的物联网设备的挑战输入PUF,获得实时响应,对实时响应进行哈希运算,获得实时响应哈希值;利用物联网设备的私钥SKu对实时响应哈希值进行数字签名,获得私钥签名数据。
当服务器身份认证失败,认为物联网设备身份认证失败,结束身份认证。
步骤304、物联网服务器利用公钥PKu对私钥签名数据进行解签,获得解签数据,即实时响应哈希值。在解签过程中,如果解签失败,则拒绝物联网设备的身份认证请求,认为物联网设备身份认证失败。
步骤305、在解签成功的前提下,从设备指纹库中提取物联网设备的响应,并对物联网设备的响应进行与步骤303中相同的哈希运算,获得响应哈希值。
步骤306、对响应哈希值和解签数据进行匹配,当匹配成功,认为物联网设备身份认证成功,将设备指纹库中的物联网设备的挑战、响应删除;否则,认为物联网身份认证失败。具体的匹配过程为:计算响应哈希值与解密数据的距离,比如计算它们的汉明距离,并将距离与预设的阈值比较,当距离不大于预设的阈值,则匹配成功,否则,匹配失败;其中,预设的阈值通常是人为选择的。
本发明方法的步骤3中的加密、解密操作都属于现有的CPK密码技术,签名、解签是现有技术中用于校验的密码算法,解签包括解密和验证签名两个过程。
本发明还提出了一种基于PUF和CPK算法的物联网设备身份认证系统,如图3所示,包括标识ID生成模块1、设备注册模块2、密钥生成模块3、设备指纹库4、身份认证模块5。物联网身份认证系统涉及两方,一方是物联网设备,另一方是物联网服务器,标识ID生成模块、设备注册模块、密钥生成模块和设备指纹库都搭建在物联网服务器上,身份认证模块连接物联网设备和物联网服务器。
标识ID生成模块主要用来根据物联网设备的基本属性和设备行为特征生成设备标识ID,并将设备标识ID同步到物联网设备和物联网服务器;设备注册模块主要用来根据物联网设备的注册请求,基于PUF获取物联网设备的挑战和响应;设备指纹库从标识ID生成模块获取设备标识ID,从设备注册模块获取物联网设备的挑战和响应,然后将这3种数据一一对应后存储起来。
密钥生成模块主要用来基于CPK加密算法和设备标识ID生成物联网设备的公私钥,并将物联网设备的私钥发送到对应的物联网设备中,实现对密钥的生成、管理功能。
身份认证模块主要用来根据物联网设备的身份认证请求,基于设备指纹库和公私钥进行物联网设备双重身份认证,获取身份认证结果。
本发明还提出了一种基于PUF和CPK算法的物联网设备身份认证系统,包括处理器及存储介质;其中,存储介质用于存储指令;处理器用于根据所述指令进行操作以执行本发明物联网设备身份认证方法的步骤。
本发明还提出了计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明物联网设备身份认证方法方法的步骤。
本发明基于PUF和CPK算法进行物联网设备的双重身份认证,在提高了物联网设备身份认证安全性的同时降低了物联网设备的资源消耗,相比于现有技术,本发明的身份认证结果更加准确可靠。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。

Claims (8)

1.一种基于PUF和CPK算法的物联网设备身份认证方法,其特征在于,包括以下步骤:
基于PUF获取物联网设备的挑战和响应,并利用物联网设备的挑战、响应和预生成的设备标识ID构建设备指纹库;
基于CPK加密算法和设备标识ID生成物联网设备的公私钥;
基于设备指纹库和公私钥进行物联网设备双重身份认证,获取身份认证结果;
所述物联网设备双重身份认证的具体操作如下:
从设备指纹库中提取物联网设备的挑战,利用物联网设备的公钥对挑战和随机数进行加密,获得加密数据,所述随机数由随机数发生器生成;
将加密数据传输到物联网设备,获取服务器身份认证结果;
当服务器身份认证成功,从物联网设备获取私钥签名数据,否则,认为物联网设备身份认证失败;
利用公钥对私钥签名数据进行解签,获得解签数据;
从设备指纹库中提取物联网设备的响应,并对物联网设备的响应进行哈希运算,获得响应哈希值;
对响应哈希值和解签数据进行匹配,当匹配成功,认为物联网设备身份认证成功,将设备指纹库中的物联网设备的挑战、响应删除,否则,认为物联网设备身份认证失败;
服务器身份认证的过程如下:
利用物联网设备的私钥对加密数据进行解密,获得物联网设备的挑战和随机数;
对随机数的数值进行验证,当随机数正确,认为服务器身份认证成功,否则,认为服务器身份认证失败;
所述私钥签名数据的生成方法包括如下步骤:
将物联网设备的挑战输入PUF,获得实时响应,对实时响应进行哈希运算,获得实时响应哈希值;
利用物联网设备的私钥对实时响应哈希值进行数字签名,获得私钥签名数据。
2.根据权利要求1所述的一种基于PUF和CPK算法的物联网设备身份认证方法,其特征在于,所述物联网设备的挑战和响应的获取方法如下:
当物联网设备具有DRAM组件时,将DRAM组件带电工作时写入数据的值和数据地址作为物联网设备的挑战,输入PUF;将DRAM组件断电后再次加电,重新读取DRAM组件中数据地址中的数值作为PUF的输出,即物联网设备的响应;
当物联网设备具有SARM组件时,将SARM组件的存储单元地址作为物联网设备的挑战,输入PUF,将SRAM组件通电后,读取存储单元地址中的数值作为PUF输出,即物联网设备的响应。
3.根据权利要求1所述的一种基于PUF和CPK算法的物联网设备身份认证方法,其特征在于,所述设备标识ID的生成方法包括如下步骤:
获取物联网设备的基本属性和设备行为特征,所述基本属性包括IP地址、MAC地址、设备机器名称、操作系统种类,所述设备行为特征包括物联网设备的数据上传次数、数据上传间隔、单次上传数据量;
基于深度学习方法处理物联网设备的基本属性和设备行为特征,提取物联网设备的特征向量;
对物联网设备的特征向量进行压缩变换,生成物联网设备的设备标识ID。
4.根据权利要求1所述的一种基于PUF和CPK算法的物联网设备身份认证方法,其特征在于,所述物联网设备的公私钥的生成方法包括如下步骤:
基于椭圆曲线离散对数问题构建公私钥种子矩阵;
对设备标识ID进行哈希运算,获取设备标识ID的哈希值;
通过行映射算法计算设备标识ID的哈希值对应的行坐标序列,并根据行坐标序列从公私钥种子矩阵中提取密钥因子;
对密钥因子进行组合运算,获取物联网设备的公私钥。
5.根据权利要求1所述的一种基于PUF和CPK算法的物联网设备身份认证方法,其特征在于,对响应哈希值和解签数据进行匹配的具体操作如下:
计算响应哈希值与解密数据的距离,并将距离与预设的阈值比较,当距离不大于预设的阈值,则匹配成功,否则,匹配失败。
6.一种基于PUF和CPK算法的物联网设备身份认证系统,其特征在于,包括:
标识ID生成模块,用来根据物联网设备的基本属性和设备行为特征生成设备标识ID;
设备注册模块,用来基于PUF获取物联网设备的挑战和响应;
密钥生成模块,用来基于CPK加密算法和设备标识ID生成物联网设备的公私钥;
设备指纹库,用来存储物联网设备的挑战、响应和设备标识ID;
身份认证模块,用来基于设备指纹库和公私钥进行物联网设备双重身份认证,获取身份认证结果;
其中,所述物联网设备双重身份认证的具体操作如下:
从设备指纹库中提取物联网设备的挑战,利用物联网设备的公钥对挑战和随机数进行加密,获得加密数据,所述随机数由随机数发生器生成;
将加密数据传输到物联网设备,获取服务器身份认证结果;
当服务器身份认证成功,从物联网设备获取私钥签名数据,否则,认为物联网设备身份认证失败;
利用公钥对私钥签名数据进行解签,获得解签数据;
从设备指纹库中提取物联网设备的响应,并对物联网设备的响应进行哈希运算,获得响应哈希值;
对响应哈希值和解签数据进行匹配,当匹配成功,认为物联网设备身份认证成功,将设备指纹库中的物联网设备的挑战、响应删除,否则,认为物联网设备身份认证失败;
服务器身份认证的过程如下:
利用物联网设备的私钥对加密数据进行解密,获得物联网设备的挑战和随机数;
对随机数的数值进行验证,当随机数正确,认为服务器身份认证成功,否则,认为服务器身份认证失败;
所述私钥签名数据的生成方法包括如下步骤:
将物联网设备的挑战输入PUF,获得实时响应,对实时响应进行哈希运算,获得实时响应哈希值;
利用物联网设备的私钥对实时响应哈希值进行数字签名,获得私钥签名数据。
7.一种基于PUF和CPK算法的物联网设备身份认证系统,其特征在于,包括处理器及存储介质;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据权利要求1~5任一项所述方法的步骤。
8.计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1~5任一项所述方法的步骤。
CN202011146373.1A 2020-10-23 2020-10-23 基于puf和cpk算法的物联网设备身份认证方法、系统及存储介质 Active CN112272094B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011146373.1A CN112272094B (zh) 2020-10-23 2020-10-23 基于puf和cpk算法的物联网设备身份认证方法、系统及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011146373.1A CN112272094B (zh) 2020-10-23 2020-10-23 基于puf和cpk算法的物联网设备身份认证方法、系统及存储介质

Publications (2)

Publication Number Publication Date
CN112272094A CN112272094A (zh) 2021-01-26
CN112272094B true CN112272094B (zh) 2021-07-06

Family

ID=74342511

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011146373.1A Active CN112272094B (zh) 2020-10-23 2020-10-23 基于puf和cpk算法的物联网设备身份认证方法、系统及存储介质

Country Status (1)

Country Link
CN (1) CN112272094B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113162768B (zh) * 2021-02-24 2022-07-22 北京科技大学 一种基于区块链的智能物联网设备认证方法及系统
CN112968770B (zh) * 2021-03-15 2023-02-07 北京智芯微电子科技有限公司 物联网智能终端设备指纹提取方法、装置及电子设备
CN113378148A (zh) * 2021-06-09 2021-09-10 永旗(北京)科技有限公司 一种基于区块链的物联网设备身份认证系统及方法
CN113872769B (zh) * 2021-09-29 2024-02-20 天翼物联科技有限公司 基于puf的设备认证方法、装置、计算机设备及存储介质
CN114358268B (zh) * 2022-01-07 2024-04-19 湖南大学 软硬件结合的卷积神经网络模型知识产权保护方法
CN114499899B (zh) * 2022-04-15 2022-09-09 阿里云计算有限公司 身份校验系统
CN115189895B (zh) * 2022-08-16 2024-05-17 国网江苏省电力有限公司电力科学研究院 一种适用于无线传感网络低功耗传感器的身份认证方法和系统
CN116668203B (zh) * 2023-08-02 2023-10-20 浙江大华技术股份有限公司 设备认证方法、物联网设备、认证平台以及可读存储介质
CN117118765B (zh) * 2023-10-25 2023-12-22 易讯科技股份有限公司 一种ipv6身份安全认证方法及系统
CN117240625B (zh) * 2023-11-14 2024-01-12 武汉海昌信息技术有限公司 一种涉及防篡改的数据处理方法、装置及电子设备
CN117579272A (zh) * 2023-12-29 2024-02-20 暨南大学 跨机构的金融隐私数据共享方法和装置、存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109344595A (zh) * 2018-07-26 2019-02-15 广东工业大学 一种基于哈希算法与puf电路的物联网设备id认证方法
CN111355588A (zh) * 2020-02-19 2020-06-30 武汉大学 一种基于puf与指纹特征的可穿戴设备双因子认证方法及系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014055148A2 (en) * 2012-07-09 2014-04-10 Massachusetts Institute Of Technology Cryptography and key management device and architecture
JP2015065495A (ja) * 2013-09-24 2015-04-09 ルネサスエレクトロニクス株式会社 暗号鍵供給方法、半導体集積回路および暗号鍵管理装置
CN105743645B (zh) * 2016-01-25 2019-06-18 清华大学 基于puf的流秘钥生成装置、方法及数据加密、解密方法
CN108173662B (zh) * 2018-02-12 2019-12-24 海信集团有限公司 一种设备的认证方法和装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109344595A (zh) * 2018-07-26 2019-02-15 广东工业大学 一种基于哈希算法与puf电路的物联网设备id认证方法
CN111355588A (zh) * 2020-02-19 2020-06-30 武汉大学 一种基于puf与指纹特征的可穿戴设备双因子认证方法及系统

Also Published As

Publication number Publication date
CN112272094A (zh) 2021-01-26

Similar Documents

Publication Publication Date Title
CN112272094B (zh) 基于puf和cpk算法的物联网设备身份认证方法、系统及存储介质
TWI707244B (zh) 區塊鏈跨鏈的認證方法、系統、伺服器及可讀儲存媒體
Yu et al. Identity-based remote data integrity checking with perfect data privacy preserving for cloud storage
CN106797313B (zh) 利用动态密钥生成的网络认证系统
CN103795534B (zh) 基于口令的认证方法及用于执行该方法的装置
CN111193748B (zh) 一种交互式密钥安全认证方法及系统
US11477039B2 (en) Response-based cryptography using physical unclonable functions
CN106487786B (zh) 一种基于生物特征的云数据完整性验证方法及系统
CN112800439B (zh) 一种面向安全存储的密钥管理协议设计方法及系统
CN105721153A (zh) 基于认证信息的密钥交换系统及方法
CN113347143B (zh) 一种身份验证方法、装置、设备及存储介质
CN104660397A (zh) 密钥管理方法及系统
CN111698238A (zh) 电力物联网终端层设备密钥的管理方法、系统及存储介质
CN113378148A (zh) 一种基于区块链的物联网设备身份认证系统及方法
CN109039656A (zh) Sm9联合数字签名方法、装置和计算机设备
CN111865579B (zh) 基于sm2算法改造的数据加解密方法及装置
CN114584316A (zh) 一种面向物联网的去中心化did身份聚合验证方法及装置
Feiri et al. Efficient and secure storage of private keys for pseudonymous vehicular communication
CN117155615A (zh) 数据加密传输方法、系统、电子设备及存储介质
CN111740965A (zh) 一种基于物理不可克隆方程的物联网设备认证方法
CN116055177A (zh) 一种适用于物联网设备的轻量级认证及密钥协商方法
CN114553557B (zh) 密钥调用方法、装置、计算机设备和存储介质
CN111460463A (zh) 电子存证保存和公证方法、装置、设备及存储介质
CN114238886A (zh) 基于ibe的电网pmu身份认证方法、装置、计算机设备和介质
CN114244531A (zh) 基于强puf的轻量级自更新消息认证方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant