CN113630255B - 基于sram puf的轻量级双向认证方法及系统 - Google Patents

Abstract

本发明公开了一种基于SRAM PUF的轻量级双向认证方法及系统，包括：注册步骤：设备基于SRAM PUF发送全部CRP空间，平台通过预设的内部信道对设备进行注册；标准认证步骤：设备部署后，和IoT节点通过公开信道进行通信，其中，IoT节点和平台在认证之前已经建立安全信道，IoT节点需要得到设备的PUF注册信息才可进行认证，并且能够缓存一部分设备的PUF注册信息，对于未缓存信息的设备的接入请求，IoT节点向平台申请该设备的数据，以进行对设备的标准认证；快速认证步骤：对于IoT节点已经缓存了注册信息的设备，进行基于注册信息的快速认证。该方法利用SRAM PUF和双向认证技术，保证了设备和节点的身份真实性，满足了设备低开销的需求，还能抵抗物理克隆攻击、重放攻击、中间人攻击和欺骗攻击，此外设备只需要集成至多两种复杂算法即可实现双向认证，实现简单，易于部署。

Description

基于SRAM PUF的轻量级双向认证方法及系统

技术领域

本发明涉及网络安全技术领域，特别涉及一种基于SRAM PUF的轻量级双向认证方法及系统。

背景技术

物联网(Internet of Things，IoT)技术本质上是一种将智能设备或事物连接在一起的网络基础设施。物联网中的端点设备可以通过通信模块将数据上传至物联网节点，节点再将这些数据发送给企业平台进行统一管理及进一步处理。物联网技术也逐渐应用于包括工业、医疗、交通在内的越来越多的行业中。然而在实际场景中，物联网端点设备通常会部署在一个开放且不受保护的环境中，设备容易被物理克隆攻击，面临身份伪造、非法接入等安全难题。

虽然目前物联网中已有多种可供使用的设备认证方案，这些技术都有着轻量级的优点，可在一定程度上认证设备身份的真实性，但应用于物联网时，由于接入的边缘设备缺少唯一的、不可克隆、不可篡改的指纹，这些认证技术不能把设备的物理性质和身份标识强绑定，设备仍存在被假冒攻击的安全风险。以能源行业中使用的智能计量表为例，生产企业和法定检定机构需要给检定合格的计量表提供合格证和检定证书，同时有这两种合格证明的计量表才能被正式部署。因为合格证和检定证书是针对身份标识颁发的，若是使用传统的针对身份标识的认证手段进行设备认证，不能保证最终接入的表和检定合格的表是同一块表，存在着计量仪表被替换的风险。一些不法分子可能会通过换表的方式把不合格的计量仪表接入网络试图“偷水偷电”，也有可能会接入一种带有病毒的设备，一旦认证成功接入网络后，把病毒传播到网络中，渗透并攻击整个热力行业物联网，给热力企业和广大人民群众带来严重的财产损失，甚至危害人民的生命安全，造成不可估量的后果。因此，需要一种能够防止此类安全攻击的技术，例如构造设备指纹进行身份防伪认证。

目前已有几种技术可以构造独特的设备指纹，包括存储静态数据、设置传统安全芯片和物理不可克隆函数(Physical Unclonable Function，PUF)技术等方法。采用存储静态数据的方法时，一旦设备遭到入侵攻击，这些信息会直接暴露给攻击者，安全性较低。设置传统安全芯片存放数字证书或密钥，可以设计成像USB KEY芯片一样让敏感数据不可被复制，虽然能够有效防止假冒攻击，但数字证书或密钥由安全芯片的设计制造方提供，不仅需要一个完整的证书分发和密钥管理方案，而且证书和密钥常常不会被芯片设计制造方提供机构之外的认证机构承认，因此存在部署复杂、不够灵活、开销较大等问题，不适用于接入海量异构设备的物联网。使用PUF的方法构造不可克隆且不可篡改的物理指纹，由于指纹只与设备的物理特性相关，设备仅需要完成一次注册之后，便可以通过对物理指纹的认证合法接入网络，不需要额外的管理方案，开销相对较小；此外目前已有多种较为成熟的PUF技术，可以根据异构网络中不同设备自身的特点选择合适的PUF构建指纹，具有灵活动态可配置的优点。因此本发明使用PUF技术提取物理指纹进行身份认证。

物理实体在制造工艺过程中会产生随机性差异，通过一定规则将这些差异以数字信息提取出来的结果，被称为物理不可克隆函数(Physical Unclonable Function，PUF)。一般地，对实体输入一个挑战后，利用PUF技术，实体会输出一个不可预测的响应，作为潜在的密钥或实体的唯一标识。PUF就像是一个黑箱单向函数，给定一个输入，它会产生相应的输出，输入和输出的关系依赖于实体的物理特性、不可预测。利用PUF技术，可以把设备的物理特性和其身份进行绑定，具有唯一性、不可预测性、不可克隆性和防篡改等性质，能够有效防止设备被替换或冒充。

目前较为成熟的数字电路PUF技术包括仲裁器PUF、环形振荡器PUF(RingOscillator PUF，RO PUF)、毛刺PUF以及SRAM PUF。仲裁PUF、RO PUF以及毛刺PUF虽然能够产生较多的挑战-响应对(Challenge Response Pair，CRP)，但都需要额外的电路生成响应，对大部分现有的物联网端点设备而言只能采取外接PUF模块的方案进行物理指纹提取；而对已经集成SRAM的设备不需要嵌入或外接额外电路就可提取SRAM PUF。采用外接PUF模块的方法进行认证虽然可以有效防止假冒攻击，但终端设备仍有被部分替换的风险。例如攻击者可以把设备原有模块替换成自己的非法模块，使用原始的身份信息并外接原来的PUF模块。因为使用了相同的身份信息和PUF模块，攻击者的非法模块可以成功地接入物联网，达到渗透攻击的目的，从而对物联网造成损害。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本发明提出一种基于SRAM PUF的轻量级双向认证方法，该方法利用SRAMPUF和双向认证技术，不仅保证了设备和节点的身份真实性，满足了设备低开销的需求，而且还能抵抗物理克隆攻击、重放攻击、中间人攻击和欺骗攻击。此外，设备只需要集成至多两种复杂算法即可实现双向认证，实现简单，易于部署。

本申请第一方面实施例提供一种基于SRAM PUF的轻量级双向认证方法，包括以下步骤：注册步骤：设备基于SRAM PUF发送全部CRP空间，平台通过预设的内部信道对设备进行注册；标准认证步骤：所述设备部署后，和IoT节点通过公开信道进行通信，其中，所述IoT节点和平台在认证之前已经建立安全信道，所述IoT节点需要得到设备的PUF注册信息才可进行认证，并且能够缓存一部分设备的PUF注册信息，对于未缓存信息的设备的接入请求，所述IoT节点向所述平台申请该设备的数据，以进行对设备的标准认证；快速认证步骤：对于所述IoT节点已经缓存了注册信息的设备，进行基于所述注册信息的快速认证。

本申请第二方面实施例提供一种基于SRAM PUF的轻量级双向认证系统，包括：注册模块，用于设备基于SRAM PUF发送全部CRP空间，平台通过预设的内部信道对设备进行注册；标准认证模块，用于所述设备部署后，和IoT节点通过公开信道进行通信，其中，所述IoT节点和平台在认证之前已经建立安全信道，所述IoT节点需要得到设备的PUF注册信息才可进行认证，并且能够缓存一部分设备的PUF注册信息，对于未缓存信息的设备的接入请求，所述IoT节点向所述平台申请该设备的数据，以进行对设备的标准认证；快速认证模块，用于对于所述IoT节点已经缓存了注册信息的设备，进行基于所述注册信息的快速认证。

本申请第三方面实施例提供一种电子设备，包括：处理器和存储器；其中，所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序，以实现如上述实施例所述的基于SRAM PUF的轻量级双向认证方法。

本申请第四方面实施例提供一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行，以用于实现行如上述实施例所述的基于SRAM PUF的轻量级双向认证方法。

本发明实施例的基于SRAM PUF的轻量级双向认证方法及系统，具有以下有益效果：

1)该方案利用PUF构造轻量级的设备物理指纹，由于PUF利用了物理实体在制造工艺过程中产生的随机性差异构造设备的物理指纹，这种差异不可预测且难以复制，攻击者很难复制一个和已有设备拥有相同物理指纹的设备，因此该方案能够有效抵抗物理克隆攻击。

2)使用SRAM PUF技术构造物理指纹，对已经集成SRAM的设备，无需外接额外电路，只需读取上电时SRAM数据即可得到全部的CRP空间信息，可对现有的设备直接进行软件升级即可实现方案在设备端的部署。

3)每次会话利用计数器和认证主密钥共同生成会话密钥，每一次会话结束后计数器会自动加一，因此设备和节点每次会话的会话密钥均不同，能够抵抗重放攻击；且计数器的值无需在不安全信道中传输，攻击者就算破译了一个会话密钥，但在得不到计数器和主密钥的情况下除非破译加密算法，否则无法推断出上次会话和下次会话的密钥。

4)利用单向的AND运算实现了基于PUF的轻量级双向认证，设备和节点可以在不安全信道上完成对通信双方身份的真实性认证，从而在保证能够抵抗攻击者伪造设备身份接入网络攻击的同时，让攻击者无法假冒服务器向设备骗取正确响应，有效抵抗中间人攻击。

5)“已注册”标志位有效时，设备会忽略任何角色发来的注册请求，从而抵抗攻击者冒充成平台欺骗设备进行注册来骗取设备PUF信息的攻击，有效抵抗欺骗攻击。

6)对有安全存储功能的端点设备，仅需集成一种复杂算法即对称密码算法即可实现方案；对无安全存储功能的端点设备，仅需集成两种复杂算法即对称密码算法和模糊提取器即可实现方案，因此该方案易于实现且方便部署。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为根据本发明一个实施例的物联网系统模型示意图；

图2为根据本发明一个实施例的SRAM PUF原理结构图；

图3为根据本发明一个实施例的基于SRAM PUF的轻量级双向认证方法流程图；

图4为根据本发明一个实施例的注册协议示意图；

图5为根据本发明一个实施例的标准认证协议示意图；

图6为根据本发明一个实施例的快速认证协议示意图；

图7为根据本发明一个实施例的模糊提取器示意图；

图8为根据本发明一个实施例的优化后的注册协议示意图；

图9为根据本发明一个实施例的简化版认证协议示意图；

图10为根据本发明一个实施例的基于SRAM PUF的轻量级双向认证系统示意图；

图11为申请实施例提供的电子设备的结构示意图。

附图标记说明：

100-注册模块、200-标准注册模块、300-快速注册模块、111-存储器、112-处理器和113-通信接口。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

下面参照附图描述根据本发明实施例提出的基于SRAM PUF的轻量级双向认证方法及系统。

首先将参照附图描述根据本发明实施例提出的基于SRAM PUF的轻量级双向认证方法。

目前物联网端点设备通常会部署在一个开放且不受保护的环境中，设备容易被物理克隆攻击，面临身份伪造、非法接入等安全难题。本发明的目的是针对上述问题并结合物联网端点设备海量接入、资源受限、身份缺乏认证的特点，提出一种应用于物联网的基于SRAM PUF的轻量级双向认证方案。

本发明结合了物理不可克隆函数(PUF)技术、基于SRAM PUF的物理指纹构造技术、基于计数器的密钥生成技术和基于PUF的轻量级双向认证技术，其技术方案如下：

1)物理不可克隆函数(PUF)技术。针对物联网端点设备容易被物理克隆攻击，面临身份伪造、非法接入等安全难题，本发明利用PUF技术为端点设备构造独特且难以预测的物理指纹。

2)基于SRAM PUF的物理指纹构造技术。为避免设备需用额外电路产生PUF响应，本发明使用SRAM PUF技术构造物理指纹。对已经集成SRAM的设备，只需读取上电时SRAM数据即可得到全部的CRP空间信息，易于实现且方便部署。

3)基于计数器的密钥生成技术。为了避免攻击者在不知道会话密钥的情况下也能实时重放攻击，本发明利用计数器和认证主密钥共同生成每一轮的会话密钥。每一次会话结束后计数器会自动加一，因此设备和节点每次会话的会话密钥均不同；且计数器的值无需在不安全信道中传输，攻击者就算破译了一个会话密钥，但在得不到计数器和主密钥的情况下除非破译加密算法，否则很难推断出上次会话和下次会话的密钥；

4)基于PUF的轻量级双向认证技术。针对攻击者可能冒充节点向端点设备骗取PUF信息的风险，本发明利用单向的AND运算实现了基于PUF的双向认证。利用AND运算，节点会在设备发送响应认证身份前，将自己存有的正确响应以一种难以恢复的方式发送给设备。设备收到消息后将自己恢复的响应作同样的单向运算，检查两个结果的汉明距离是否小于阈值，从而认证节点的身份。之后设备会将响应发送给节点，节点收到后将其与数据库存储的正确响应作比对，检查汉明距离是否小于阈值，从而认证设备的身份。

下面对本发明的名词进行解释。

系统模型

本发明提出的认证方案是基于一个物联网系统模型提出的，该模型如图1所示。该模型主要包括端点设备、IoT节点、企业平台和中心服务器4个角色。

端点设备：指物联网中的端点设备，包括智能仪表、智能家居控制器、汽车嵌入式处理器等，需要向IoT节点发送接入物联网的申请后，才可接入物联网，从而通过IoT节点向企业平台上传数据或接受平台命令。此外假设系统模型里使用的端点设备都嵌入了SRAM，从而都有SRAM PUF的CRP。端点设备的资源通常是非常有限的，因此应尽可能减小设备的开销。

IoT节点：为某一局域网(Local Area Network，LAN)中的设备提供身份认证和接入服务，会暂存一些设备的注册信息，若接入设备的信息没有存在节点上，则需要向企业平台请求这些数据。一旦设备完成认证后，IoT节点会作为一个中继服务器，为设备和企业平台提供消息转发服务。模型中假设IoT节点的资源相对较大，能够进行较为复杂的计算，但存储资源相对有限。

企业平台：通常指在包括医疗、工业、交通等领域中，设备的制造方或管理方使用的服务器平台，这些平台存储了他们负责的端点设备的注册数据等信息，并且能够通过IoT节点与端点设备进行通信。假设平台拥有足够大的存储资源与计算资源，能够存储大量的设备注册信息，并且能够进行复杂的计算。

中心服务器：包括但不限于监管企业平台的机构的服务器。平台需要将设备上传的数据对中心服务器公开，中心服务器将起到对平台进行监督的作用。

基于SRAM PUF的物理指纹构建方案

SRAM PUF建立在上电时每个SRAM单元所显示的稳态之上。SRAM的每一位都是六晶体管存储单元，由交叉耦合的反相器和存取晶体管组成。原理结构如图2所示。图中标记了A和B两个状态节点，未上电时，AB两点均处于低电平状态(AB＝00)。一旦通电，这种不稳定状态将立即转变为两种稳定状态之一，0(AB＝01)或1(AB＝10)。理想情况下，单元值为0或者1的可能性是相同的、无偏的、均为50％，但是实际情况却是这些单元会以较大概率显示为某一状态。这种差异是由SRAM内部对称单元参数的不匹配造成的，即来源于制造工艺差异或者环境差异，制造上的随机性差异会使得SRAM上电后大部分基本单元的状态节点会有一个相对稳定的状态，并且不同的SRAM里稳定的单元位置各不相同，这些单元偏向的值也各不相同。对于带SRAM的端点设备来说，可以通过读取SRAM上电数据来得到SRAM PUF物理指纹，作为其难以预测的、不可篡改的唯一身份标识。

PUF拥有许多属性，通过对PUF属性进行测试分析，可以评价PUF的性能，并为PUF认证方案选择合适的参数提供数据支持。

1)随机性

PUF的随机性指大量PUF响应中0和1的占比，常用汉明重量恒量，并通过它的平均值和占总比特数的比率来表现。理想情况下，物理实体的PUF响应为完全随机的比特串，0和1的占比理想值应各为50％，即汉明重量应占总比特数的50％。但实际上由于制程差异和环境因素影响，每一个物理实体实际的PUF响应的汉明重量可能会有所偏差。随机性好指响应没有大部分倾向0或1。

定义1(汉明重量)指PUF输出的响应中1的个数。通常通过以下式子进行度量，其中W_H表示汉明重量，r_i表示第i位响应的值，n表示响应的总位数。

2)稳定性

PUF的稳定性指对同一物理实体输入同一挑战，在相同的测试条件下输出响应的可靠程度，常用片内汉明距离来度量，并通过它的平均值和占总比特数的比率来表现。在理想情况下，外界环境发生改变时，对同一物理实体输入相同挑战，其产生的响应保持不变，即片内汉明距离应占总比特数的0％。但在实际情况中，即使测试条件不变，物理实体产生的响应也会发生一定变化。PUF的稳定性好指物理实体对相同的输入挑战，更容易产生相同的输出响应。

定义2(片内汉明距离)指对同一物理实体输入同一挑战，每次产生的响应之间的汉明距离。其中HD_intra表示片内汉明距离，r_j，i表示对同一输入挑战第j次测量时第i位响应的值，n表示响应的总位数。

3)唯一性

PUF的唯一性指结构相同的不同物理实体在同一输入挑战下在输出响应上反应出的差异性，常由片间汉明距离来度量，并通过它的平均值和占总比特数的比率来表现。理想状态下，由于存在制程差异，任何PUF实体间的响应都应该是独立随机的，这是指唯一性较强的情况，片间汉明距离应占总比特数的50％。但实际情况中的片间汉明距离会受到各种因素的影响，导致其占总比特数的比率有所偏差。PUF的唯一性好指不同物理实体对同一输入挑战产生的输出响应相对独立。

定义3(片间汉明距离)指对不同物理实体输入同一挑战时响应之间的汉明距离。其中HD_inter表示片间汉明距离，r_h,i表示对同一输入挑战第h个实体产生的第i位响应的值，n表示响应的总位数。

图3为根据本发明一个实施例的基于SRAM PUF的轻量级双向认证方法流程图。

如图3所示，该基于SRAM PUF的轻量级双向认证方法包括以下步骤：

在步骤S101中，注册步骤：设备基于SRAM PUF发送全部CRP空间，平台通过预设的内部信道对设备进行注册。

可以理解的是，设备生产出厂并检定合格后，可信的工作人员通过内部信道即一种安全信道对设备进行注册，因此传输数据无需加密。此外，利用SRAM PUF的性质，一次性将全部CRP空间发送给平台进行注册，注册阶段使用的协议如图4所示。

在本发明的一个实施例中，注册步骤具体包括：

设备向平台发送设备用于表示接入请求的身份标识，处于注册模式下的平台检查设备无注册后生成注册信号，并将其发送至设备；

设备收到注册信号后，读取全部上电SRAM数据，并将全部上电SRAM数据发送至平台，平台存储注册信息即SRAM数据后，生成并存储认证主密钥k；

平台将认证主密钥和注册成功信号发送至设备，平台计数器清零；

设备收到认证主密钥后进行存储k并将Flag置1，设备计数器清零。

具体地，注册步骤详细过程为：

设备初始化后，向平台发送设备的身份标识DID表示接入请求；

处于注册模式下的平台会检查设备没有注册过，于是向设备发送注册信号Enroll；

设备收到注册信号Enroll后，检查“已注册”标志位Flag为0，读取自己的全部上电SRAM数据SRAM data，并将其发送给平台；

平台存储设备的DID和SRAM data，生成并存储认证主密钥k，并将其和注册成功信号SuccessfulEnrollment发送给设备后，将计数器cnt_p清零；

设备收到密钥k后存储k并将Flag置1，计数器cnt_d清零。

在步骤S102中，标准认证步骤：设备部署后，和IoT节点通过公开信道进行通信，其中，IoT节点和平台在认证之前已经建立安全信道，IoT节点需要得到设备的PUF注册信息才可进行认证，并且能够缓存一部分设备的PUF注册信息，对于未缓存信息的设备的接入请求，IoT节点向平台申请该设备的数据，以进行对设备的标准认证。

在本发明的一个实施例中，标准认证步骤包括：

设备向IoT节点发送表示接入请求的DID；

在认证模式下的IoT节点检查没有存储设备的注册信息，向平台发送DID；

IoT节点从平台接收已注册设备的认证主密钥k、SRAM数据SRAM data和平台计数器cnt_p；

IoT节点接收并存储k,SRAM data后，将计数器cnt_n的值置为cnt_p，计算k₁＝E_k[f(cnt_n)]，其中，E_k表示用密钥k加密，f()为填充函数，并选择一对CRP即(C，R)，生成随机数N，计算

和Auth₁＝N AND R，将认证信号Auth和

发送给设备；

设备收到认证信号Auth后，读取k，计算k₁＝E_k[f(cnt_d)]，解密接收到的消息并检查DID是否正确，然后计算R′＝PUF(C)，

Auth′₁＝N′AND R′，计算并检查HD_cal(Auth′₁，Auth₁)≤T₂认证节点身份，其中HD_cal指计算汉明距离，T₂为判定阈值，之后将节点认证通过信号Node Pass和响应R′加密后发送给节点；

节点收到消息后，计算并检查HD_cal(R′，R)≤T₁认证设备身份，然后将设备认证通过信号Device Pass加密后发送给设备，并将计数器cnt_n加一后发送给平台，对平台的计数器进行更新；

设备收到消息后，计数器cnt_d加一，之后通过IoT节点与平台进行会话，成功接入网络。

具体地，系统模型中，设备在部署后和IoT节点将通过不安全的公开信道进行通信，所以该信道中传输的大部分数据是加密的。假设IoT节点和平台在认证之前已经通过某种协议建立了安全信道。此外，IoT节点资源有限，只会缓存几个设备的PUF注册信息。对于未缓存信息的设备的接入请求，IoT节点需要向平台申请数据，进行标准认证。这一阶段中采用协议的详细过程如图5所示。认证步骤具体如下：

设备初始化后，向IoT节点发送DID表示接入请求；

处于认证模式下的IoT节点会检查自己没有存储设备的注册信息，于是向平台发送DID；

处于认证模式下的平台检查设备已经注册过，于是把k,SRAM data，cnt_p发送给IoT节点；

IoT节点接收并存储k,SRAM data，并将计数器cnt_n的值置为cnt_p，计算k₁＝E_k[f(cnt_n)]，其中E_k表示用密钥k加密，f()是一种简单的填充函数。然后选择一对CRP即(C，R)，生成随机数N，计算

和Auth₁＝N AND R，将认证信号Auth和

发送给设备；

设备收到Auth后，读取k，计算k₁＝E_k[F(cnt_d)]，解密并检查DID是否正确。计算R′＝PUF(C)，

Auth′₁＝N′AND R′。计算并检查HD_cal(Auth′₁,Auth₁)≤T₂认证节点身份，其中HD_cAl指计算汉明距离，T₂为判定阈值。然后设备将节点认证通过信号Node Pass和响应R′加密后发送给节点；

节点收到消息后，计算并检查HD_cal(R′，R)≤T₁认证设备身份，然后将设备认证通过信号Device Pass加密后发送给设备，并将计数器cnt_n加一后发送给平台，对平台的计数器进行更新；

设备收到消息后，计数器cnt_d加一，然后可通过IoT节点与平台进行会话，成功接入网络。本次接入认证完成后的这次会话中，设备和节点之间仍可通过密钥k₁进行通信。

本阶段用到了两个判定阈值T₁和T₂，在实际部署中需要确定其具体的取值。显然，设置T₁∈(max{HD_intra},min{HD_inter})可以取得较好的认证端点设备的效果，其中max{HD_intra}指端点设备的最大片内汉明距离，min{HD_inter}指端点设备的最小片间汉明距离。并且可以推断，如果N具有良好的随机性，即0和1各占50％，我们可以设置T₂≈0.5T₁以得到最佳的认证效果。

在步骤S103中，快速认证步骤：对于IoT节点已经缓存了注册信息的设备，进行基于注册信息的快速认证。

具体地，对于IoT节点已经缓存了注册信息的设备，将进行快速认证。这一阶段中采用协议的详细过程如图6所示。快速认证步骤如下：

设备初始化后，向IoT节点发送DID表示接入请求；

处于认证模式下的IoT节点会检查自己已经存储了设备的注册信息，于是查找k，计算k₁＝E_k[f(cnt_n)]。然后选择一对CRP即(C,R)，生成随机数N，计算

和Auth₁＝N AND R，将认证信号Auth和

发送给设备；

设备收到Auth后，读取k，计算k₁＝E_k[f(cnt_d)]，解密并检查DID是否正确。计算R′＝PUF(C)，

Auth′₁＝N′AND R′。计算并检查HD_cal(Auth′₁,Auth₁)≤T₂认证节点身份，其中HD_cal指计算汉明距离，T₂为判定阈值。然后设备将节点认证通过信号Node Pass和响应R′加密后发送给节点；

节点收到消息后，计算并检查HD_cal(R′,R)≤T₁认证设备身份，然后将设备认证通过信号Device Pass加密后发送给设备，并将计数器cnt_n加一后发送给平台，对平台的计数器进行更新；

设备收到消息后，计数器cnt_d加一，然后可通过IoT节点与平台进行会话，成功接入网络。

在本发明的一个实施例中，设备为无安全存储功能的端点设备时，通过模糊提取器对注册步骤、标准认证步骤和快速认证步骤进行优化，以实现对认证主密钥进行安全存储。

具体地，然而实际场景中许多端点设备是没有用到安全存储技术的，若是直接使用上述协议的话，认证主密钥k的安全存储将会是一个很大的问题。于是本文借助模糊提取模型，对上述协议进行了进一步的优化，解决了认证主密钥的存储问题，使其能够适用于无安全存储功能的端点设备。

图7给出了一种基于BCH纠错码的模糊提取模型。该模型分为生成模块和再生模块。在生成模块部分，输入挑战C并输出响应R，利用BCH码和随机数X生成这对CRP的hd，即辅助数据(Helper Data)。生成模块的运算过程可以用公式(R,hd)＝FE.Gen(C,X)表示。在再生模块部分，输入相同挑战C并产生响应R′，利用这对CRP的hd可以恢复出原始的响应R。当然，如果辅助数据hd出错，或是两次响应R和R′的差异过大，将无法恢复出正确的响应。再生模块的运算过程可以用R＝FE.Rec(C,hd)表示。

注册阶段采用的协议整体结构与之前的协议类似，优化的注册的协议如图8所示。

相较于之前的协议，该协议中平台并没有直接生成认证主密钥k，而是计算得到一个和一组设备的CRP即(C_k,R_k)相关的密钥k。借助模糊提取器，设备通过计算(R_k,hd)＝FE.Gen(C_k,X)，并存储了C_k和辅助数据hd，避免了直接存储密钥k的问题。

标准认证阶段和快速认证阶段采取的协议与之前的协议类似，区别主要体现在设备对密钥的读取上，省略了平台的简化版认证协议如图9所示。

在认证协议中，设备会通过之前存储的C_k和hd，借助模糊提取器，计算R_k＝FE.Rec(C_k,hd)得到完全相同的响应R_k后，计算得到主密钥k，然后再进行下面的步骤。由于设备存储的是不会暴露k信息的C_k和hd，并且能够无误地恢复k，从而实现了k的安全存储。

根据本发明实施例提出的基于SRAM PUF的轻量级双向认证方法，通过采用SRAMPUF作为设备的物理指纹提取技术，在认证方面，采用双向认证的方法证明设备和认证服务器双方身份的真实性，从而在保证能够抵抗攻击者伪造设备身份接入网络攻击的同时，让攻击者无法假冒服务器向设备骗取正确的PUF响应信息。

本发明提出了一种应用于物联网的基于SRAM PUF的轻量级双向认证方案。该方案利用SRAM PUF和双向认证技术，不仅保证了设备和节点的身份真实性，满足了设备低开销的需求，而且还能抵抗物理克隆攻击、重放攻击、中间人攻击和欺骗攻击。此外，该设备只需要集成至多两种复杂算法即可实现双向认证，实现简单，易于部署。

其次参照附图描述根据本发明实施例提出的基于SRAM PUF的轻量级双向认证系统。

图10为根据本发明一个实施例的基于SRAM PUF的轻量级双向认证系统。

如图10所示，该基于SRAM PUF的轻量级双向认证系统包括：注册模块100、标准认证模块200和快速认证模块300。

其中，注册模块100，用于设备基于SRAM PUF发送全部CRP空间，平台通过预设的内部信道对设备进行注册。标准认证模块200，用于设备部署后，和IoT节点通过公开信道进行通信，其中，IoT节点和平台在认证之前已经建立安全信道，IoT节点需要得到设备的PUF注册信息才可进行认证，并且能够缓存一部分设备的PUF注册信息，对于未缓存信息的设备的接入请求，IoT节点向平台申请该设备的数据，以进行对设备的标准认证。快速认证模块300，用于对于IoT节点已经缓存了注册信息的设备，进行基于注册信息的快速认证。

在本发明的一个实施例中，注册模块，具体用于，设备向平台发送设备用于表示接入请求的身份标识，处于注册模式下的平台检查设备无注册后生成注册信号，并将其发送至设备；设备收到注册信号后，读取全部上电SRAM数据，并将全部上电SRAM数据发送至平台，平台存储注册信息即SRAM数据后，生成并存储认证主密钥k；平台将认证主密钥和注册成功信号发送至设备，平台计数器清零；设备收到认证主密钥后进行存储k并将Flag置1，设备计数器清零。

需要说明的是，前述对方法实施例的解释说明也适用于该实施例的装置，此处不再赘述。

根据本发明实施例提出的基于SRAM PUF的轻量级双向认证系统，通过针对物联网端点设备容易被物理克隆攻击，面临身份伪造、非法接入等安全难题，使用SRAM PUF技术，利用物理实体在制造工艺过程中产生的随机性差异，为端点设备构造难以预测且不可篡改的物理指纹；利用计数器和认证主密钥共同生成每一轮的会话密钥，每次会话的会话密钥均不相同，且让攻击者在知道某个会话密钥但不知道主密钥和计数器值的情况下难以推断出上次会话和下次会话的密钥；利用AND运算实现了轻量级的双向认证，从而让节点和端点设备能够互相认证对方身份的真实性。本发明的优势如下：利用SRAM PUF构造轻量级的设备物理指纹，能够有效抵抗物理克隆攻击的同时，对现有的带SRAM的设备直接进行软件升级即可实现方案在设备端的部署；每次会话利用计数器和认证主密钥共同生成会话密钥，能够有效抵抗重放攻击；利用单向的AND运算实现了基于PUF的轻量级双向认证，设备和节点可以在不安全信道上完成对通信双方身份的真实性认证，有效抵抗中间人攻击；“已注册”标志位的设计让设备在注册后忽略任何角色发来的注册请求，从而抵抗欺骗攻击；端点设备仅需集成至多两种复杂算法即可实现方案，因此该方案易于实现且方便部署。

为了实现上述实施例，本申请还提出一种电子设备，包括：处理器和存储器。其中，处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，以用于实现如前述实施例的基于SRAM PUF的轻量级双向认证方法。

图11为本申请实施例提供的电子设备的结构示意图。该电子设备可以包括该电子设备可以包括：存储器111、处理器112及存储在存储器111上并可在处理器112上运行的计算机程序。

处理器112执行程序时实现上述实施例中提供的基于SRAM PUF的轻量级双向认证方法。

进一步地，计算机设备还包括：

通信接口113，用于存储器111和处理器112之间的通信。

存储器111，用于存放可在处理器112上运行的计算机程序。

存储器111可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。

如果存储器111、处理器112和通信接口113独立实现，则通信接口113、存储器111和处理器112可以通过总线相互连接并完成相互间的通信。总线可以是工业标准体系结构(Industry Standard Architecture，简称为ISA)总线、外部设备互连(PeripheralComponent，简称为PCI)总线或扩展工业标准体系结构(Extended Industry StandardArchitecture，简称为EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图11中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

可选的，在具体实现上，如果存储器111、处理器112及通信接口113，集成在一块芯片上实现，则存储器111、处理器112及通信接口113可以通过内部接口完成相互间的通信。

处理器112可能是一个中央处理器(Central Processing Unit，简称为CPU)，或者是特定集成电路(Application Specific Integrated Circuit，简称为ASIC)，或者是被配置成实施本申请实施例的一个或多个集成电路。

本实施例还提供一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如上的基于SRAM PUF的轻量级双向认证方法。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (10)

1.一种基于SRAM PUF的轻量级双向认证方法，其特征在于，包括以下步骤：

注册步骤：设备基于SRAM PUF发送全部挑战-响应对CRP空间，平台通过预设的内部信道对设备进行注册；

标准认证步骤：所述设备部署后，和IoT节点通过公开信道进行通信，其中，所述IoT节点和平台在认证之前已经建立安全信道，所述IoT节点需要得到设备的PUF注册信息才可进行认证，并且能够缓存一部分设备的PUF注册信息，对于未缓存注册信息的设备的接入请求，所述IoT节点向所述平台申请该设备的注册信息，以进行对设备的标准认证；以及

快速认证步骤：对于所述IoT节点已经缓存了注册信息的设备，进行基于所述注册信息的快速认证；

其中，在所述标准认证步骤和所述快速认证步骤中，所述IoT节点利用单向AND运算，将自身存有的正确响应发送给设备，设备收到所述正确响应后，将自身恢复的响应进行所述单向AND运算，并检查两个运算结果的汉明距离是否小于等于阈值，从而认证所述IoT节点的身份；设备将自身恢复的响应发送给所述IoT节点，所述IoT节点将设备自身恢复的响应与数据库存储的正确响应进行比对，检查汉明距离是否小于等于阈值，从而认证设备的身份。

2.根据权利要求1所述的方法，其特征在于，所述注册步骤具体包括：

设备向所述平台发送设备用于表示接入请求的身份标识DID，处于注册模式下的平台检查所述设备无注册后生成注册信号，并将其发送至所述设备；

所述设备收到所述注册信号后，读取全部上电SRAM数据即得到全部CRP空间信息，并将所述全部上电SRAM数据发送至所述平台，平台存储注册信息即SRAM数据后，生成并存储认证主密钥k；

所述平台将所述认证主密钥和注册成功信号发送至所述设备，平台计数器cnt_p清零；

所述设备收到所述认证主密钥后进行存储k并将Flag置1，设备计数器cnt_d清零。

3.根据权利要求2所述的方法，其特征在于，所述标准认证步骤包括：

所述设备向所述IoT节点发送表示接入请求的DID；

在认证模式下的所述IoT节点检查没有存储设备的注册信息，向平台发送DID；

所述IoT节点从平台接收已注册设备的所述认证主密钥k、所述SRAM数据SRAM data和平台计数器cnt_p；

所述IoT节点接收并存储所述k,SRAM data后，将节点计数器cnt_n的值置为平台计数器cnt_p的值，计算密钥

k₁＝E_k[f(cnt_n)]，其中，E_k表示用密钥k加密，f()为填充函数，并选择一对CRP即(C,R)，生成随机数N，计算N₁＝N⊕R和Auth₁＝N AND R，将认证信号Auth和

发送给所述设备；

所述设备收到所述认证信号Auth后，读取k，计算密钥k₁＝E_k[f(cnt_d)]，解密接收到的消息并检查所述DID是否正确，然后计算R′＝PUF(C)，N′＝N₁⊕R′，Auth′₁＝N′AND R′，计算并检查HD_cal(Auth′₁,Auth₁)≤T₂以认证节点身份，其中HD_cal指计算汉明距离，T₂为判定阈值，之后将节点认证通过信号Node Pass和响应R′加密后发送给节点；

所述节点收到消息后，计算并检查HD_cal(R′,R)≤T₁以认证设备身份，然后将设备认证通过信号Device Pass加密后发送给所述设备，并将所述节点计数器cnt_n加一后发送给所述平台，对所述平台计数器cnt_p进行更新；

所述设备收到消息后，所述设备计数器cnt_d加一，之后通过所述IoT节点与所述平台进行会话，成功接入网络。

4.根据权利要求3所述的方法，其特征在于，在接入认证完成后的这次会话中，所述设备和所述节点之间通过所述密钥k₁进行通信。

5.根据权利要求3所述的方法，其特征在于，所述快速认证步骤包括：

设备向所述IoT节点发送表示接入请求的DID；

在处于认证模式下的IoT节点检查是否已经存储所述设备的注册信息，其中，查找k，计算k₁＝E_k[f(cnt_n)]，并选择一对CRP即(C,R)，生成随机数N，计算N₁＝N⊕R和Auth₁＝N ANDR，将认证信号Auth和

发送给所述设备；

所述设备收到所述认证信号Auth后，读取k，计算k₁＝E_k[f(cnt_d)]，解密接收到的消息并检查所述DID是否正确，然后计算R′＝PUF(C)，N′＝N₁⊕R′，Auth′₁＝N′AND R′，计算并检查HD_cal(Auth′₁,Auth₁)≤T₂以认证节点身份，之后将节点认证通过信号Node Pass和响应R′加密后发送给节点；

所述节点收到消息后，计算并检查HD_cal(R′,R)≤T₁以认证设备身份，然后将设备认证通过信号Device Pass加密后发送给所述设备，并将节点计数器cnt_n加一后发送给所述平台，对所述平台计数器cnt_p进行更新；

所述设备收到消息后，所述设备计数器cnt_d加一，之后可通过所述IoT节点与所述平台进行会话，成功接入网络。

6.根据权利要求1-5任一项所述的方法，其特征在于，所述设备为无安全存储功能的端点设备时，通过模糊提取器对所述注册步骤、所述标准认证步骤和所述快速认证步骤进行优化，以对所述认证主密钥进行安全存储；在所述注册步骤中，所述平台并没有直接生成认证主密钥k，而是计算得到一个和一组设备的CRP即(C_k,R_k)相关的主密钥k，设备存储C_k和辅助数据hd；在所述标准认证步骤和所述快速认证步骤中设备通过之前存储的C_k和hd，计算得到主密钥k。

7.一种基于SRAM PUF的轻量级双向认证系统，其特征在于，包括：

注册模块，用于设备基于SRAM PUF发送全部挑战-响应对CRP空间，平台通过预设的内部信道对设备进行注册；

标准认证模块，用于所述设备部署后，和IoT节点通过公开信道进行通信，其中，所述IoT节点和平台在认证之前已经建立安全信道，所述IoT节点需要得到设备的PUF注册信息才可进行认证，并且能够缓存一部分设备的PUF注册信息，对于未缓存注册信息的设备的接入请求，所述IoT节点向所述平台申请该设备的注册信息，以进行对设备的标准认证；以及

快速认证模块，用于对于所述IoT节点已经缓存了注册信息的设备，进行基于所述注册信息的快速认证；

其中，在所述标准认证模块和所述快速认证模块中，所述IoT节点利用单向AND运算，将自身存有的正确响应发送给设备，设备收到所述正确响应后，将自身恢复的响应进行所述单向AND运算，并检查两个运算结果的汉明距离是否小于阈值，从而认证所述IoT节点的身份；设备将自身恢复的响应发送给所述IoT节点，所述IoT节点将设备自身恢复的响应与数据库存储的正确响应进行比对，检查汉明距离是否小于阈值，从而认证设备的身份。

8.根据权利要求7所述的系统，其特征在于，所述注册模块，具体用于，设备向所述平台发送设备用于表示接入请求的身份标识DID，处于注册模式下的平台检查所述设备无注册后生成注册信号，并将其发送至所述设备；所述设备收到所述注册信号后，读取全部上电SRAM数据即得到全部CRP空间信息，并将所述全部上电SRAM数据发送至所述平台，平台存储注册信息即SRAM数据后，生成并存储认证主密钥k；所述平台将所述认证主密钥和注册成功信号发送至所述设备，平台计数器cnt_p清零；所述设备收到所述认证主密钥后进行存储k并将Flag置1，设备计数器cnt_d清零。

9.一种电子设备，其特征在于，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序，以实现如权利要求1-6任一项所述的基于SRAM PUF的轻量级双向认证方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行，以用于实现如权利要求1-6任一项所述的基于SRAM PUF的轻量级双向认证方法。

Images