CN114422152A - 一种基于puf和区块链的工业环境认证方法 - Google Patents

Abstract

本发明涉及一种基于PUF和区块链的工业环境认证方法，属于信息安全领域，将边缘服务器和区块链结合，工业终端传感器设备和边缘服务器之间进行安全会话之前，双方都将在云计算中心进行注册，同时边缘服务器维护区块链，存储工业终端传感器设备和边缘服务器的身份和公钥，工业终端传感器设备结合PUF和混沌映射的零知识证明与边缘服务器相互认证，并且通过协商的会话密钥直接安全地访问云服务器上的数据，能够抵抗常见的攻击，提高了通信的安全性。

Description

一种基于PUF和区块链的工业环境认证方法

技术领域

本发明涉及信息安全技术领域，特别是涉及一种基于PUF和区块链的工业环境认证方法。

背景技术

随着物联网技术应用到各种工业控制系统中，工业物联网被认为是工业4.0的支柱，是提高智能制造的关键。工业物联网将各种传感器、控制器、专用设备和先进的信息技术集成到工业生产过程的各个环节，具有感知和监控的能力，收集数据，执行企业能力扩展的任务，提高了生产效率和企业竞争力。云计算为工业物联网的数据处理提供了计算平台，但网络带宽的增长远远不能满足数据增长的需求。为了解决这些问题，边缘计算应运而生，边缘计算是指网络边缘上的计算和存储资源，无论从地理距离还是网络距离来看，都离用户更近。但是在边缘计算中，计算和网络的安全不能被保证，他们更容易受到攻击者攻击。

发明内容

本发明的目的是提供一种基于PUF和区块链的工业环境认证方法，提高了通信的安全性。

为实现上述目的，本发明提供了如下方案：

一种基于PUF和区块链的工业环境认证方法，包括：

通过云服务器中心初始化系统参数{x,s,p,H₁(·),H₂(·)}，x表示随机数，p表示大素数，H₁(·)和H₂(·)均表示哈希函数，s表示随机数；

将边缘服务器的服务标识ESID_j通过安全通道发送给所述云服务器中心；所述边缘服务器为区块链网络中节点；

所述云服务器中心接收到服务标识ESID_j后，将所述边缘服务器的注册消息{e_j,

,EH_j}发送到所述边缘服务器；其中e_j为随机数，e_j为所述边缘服务器的私钥，

为所述边缘服务器的公钥，

表示e_j阶切比雪夫混沌映射多项式，EH_j=H₁(s)；

工业终端传感器设备通过安全通道发送注册请求消息{ID_i,PK_i}到所述云服务器中心；其中ID_i表示所述工业终端传感器设备的用户身份信息，PK_i=PUF_i(a _i)，PUF_i()表示物理不可克隆功能函数，a _i表示一个响应值；

所述云服务器中心接收到注册请求消息{ID_i,PK_i}后，计算所述工业终端传感器设备的假名身份信息PID_i=H₁(s)⊕PK_i⊕ID_i，将随机数t _i作为所述工业终端传感器设备私钥，计算公钥

，所述云服务器中心通过安全通道将所述工业终端传感器设备的注册信息{PID_i,t _i,

,ESID_j,

}发送到所述工业终端传感器设备，同时将消息{PID_i,

}发送到边缘服务器；

表示t _i阶切比雪夫混沌映射多项式；

所述边缘服务器接收到消息{PID_i,

}后，将服务标识ESID_j和消息{PID_i,

}存储到区块链上；

所述工业终端传感器设备将第一认证消息{PID_i,ESID_j,TD_i,UD_i,T₁}发送到所述边缘服务器；T₁表示时间戳，

，PK_i=PUF_i(a _i)，TD_i=ID_i⊕PK_i，UD_i=K_i⊕PK_i；

所述边缘服务器接收到第一认证消息{PID_i,ESID_j,TD_i,UD_i,T₁}后，验证时间戳T₁是否合法，若时间戳T₁不合法则停止认证，若时间戳T₁合法则所述边缘服务器检索PID_i在区块链上是否存在，若PID_i不在区块链上则停止认证，若PID_i在区块链上则从区块链上获得所述工业终端传感器设备的公钥

；

所述边缘服务器计算

、PK_i=

⊕UD_i、

=TD_i⊕PK_i和ID_i=H₁(s)⊕PK_i⊕PID_i；

所述边缘服务器验证

是否等于ID_i，若

不等于ID_i则认证失败，若

等于ID_i则所述边缘服务器对所述工业终端传感器设备的身份认证成功；

所述边缘服务器对所述工业终端传感器设备的身份认证成功后，计算R_j=

、z_j=r _j+e_jPK_i、KD_j=H₁(PK_i||ID_i||

||ESID_j)和KZD_j=KD_j⊕z_j，将第二认证消息{R_j,KZD_j,T₂}发送到所述工业终端传感器设备；T₂表示时间戳，

表示r _j阶切比雪夫混沌映射多项式，r _j表示随机数；

所述工业终端传感器设备接收到第二认证消息{R_j,KZD_j,T₂}后，验证时间戳T₂是否合法，若时间戳T₂不合法则停止认证，若时间戳T₂合法则计算

=H₁(PK_i||ID_i||K_i||ESID_j)和z_j=

⊕KZD_j；

所述工业终端传感器设备验证

是否成立，若不成立则停止认证，若成立则所述工业终端传感器设备发送第三认证消息{KUD_i,M_i,C_i,T₃}到所述边缘服务器；C_i=

，u_i=c_i+t_iPK_i，KUD_i=

⊕u_i，SK_i=H₂(PK_i||K_i||

)，M_i=H₁(SK_i||ID_i||ESID_j)，T₃表示时间戳，c_i表示随机数，

表示z _j阶切比雪夫混沌映射多项式，

表示PK_i阶切比雪夫混沌映射多项式，

，

表示c_i阶切比雪夫混沌映射多项式；

所述边缘服务器接收到第三认证消息{KUD_i,M_i,C_i,T₃}后，验证时间戳T₃是否合法，若时间戳T₃不合法则停止认证，若时间戳T₃合法则计算u_i=KD_j⊕KUD_i；

所述边缘服务器验证

是否成立，若不成立则停止认证，若成立则计算SK_j=H₂(PK_i||

||

)，

；

表示u_i阶切比雪夫混沌映射多项式；

；

所述边缘服务器验验证

和M_i是否相等，若不相等则停止认证，若相等完成认证，所述边缘服务器与所述工业终端传感器设备进行通信。

可选地，所述工业终端传感器设备通过配备微控制器组件连接到PUF模块，所述PUF模块用于提供物理不可克隆功能函数。

可选地，所述边缘服务器与所述工业终端传感器设备进行通信，具体包括：

所述边缘服务器与所述工业终端传感器设备通过会话密码进行通信。

可选地，所述验证时间戳T₁是否合法具体包括：验证时间戳T₁是否在设定时间范围内。

可选地，所述边缘服务器接收到注册消息{e_j,

,EH_j}后，将服务标识ESID_j和注册消息{e_j,

,EH_j}存储到所述边缘服务器。

可选地，所述工业终端传感器设备接收到注册信息{PID_i,t _i,

,ESID_j,

}后，将注册信息{PID_i,t _i,

,ESID_j,

}存储到所述工业终端传感器设备。

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明公开了一种基于PUF和区块链的工业环境认证方法，将边缘服务器和区块链结合，工业终端传感器设备和边缘服务器之间进行安全会话之前，双方都将在云计算中心进行注册，同时边缘服务器维护区块链，存储双方的身份和公钥，可以提供跨域认证；工业终端传感器设备结合PUF和混沌映射的零知识证明与边缘服务器相互认证，并且通过协商的会话密钥直接安全地访问云服务器上的数据，能够抵抗常见的攻击，提高了通信的安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种基于PUF和区块链的工业环境认证方法中数据传输示意图；

图2为本发明一种基于PUF和区块链的工业环境认证方法流程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的目的是提供一种基于PUF和区块链的工业环境认证方法，提高了通信的安全性。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

图1为本发明一种基于PUF和区块链的工业环境认证方法中数据传输示意图；图2为本发明一种基于PUF和区块链的工业环境认证方法流程示意图，如图1-2所示一种基于PUF和区块链的工业环境认证方法，包括：

1.系统初始化阶段

通过云服务器中心（Cloud Service Center，CSC）初始化系统参数{x,s,p,H₁(·),H₂(·)}，x表示随机数，p表示大素数，H₁(·)和H₂(·)均表示哈希函数，s表示随机数。初始化区块链（Blockchain），在工业环境中，由于边缘网络可以收集各种制造信息并进行局部处理。在许多情况下，可以进行实时干预。因此工业终端传感器设备可以连接到附近的边缘网络。边缘网络由边缘服务器组成，为工业终端传感器设备提供相应的服务。这里边缘服务器将被假定为区块链网络中的矿工。边缘服务器的主要功能是存储信息和验证区块链事务，并且与工业物联网传感器设备进行认证和协商会话密钥。在区块链网络中，它可以由多个边缘服务器构成。区块链可以被授权的实体用于读取，但只能由边缘服务器写入。

2.注册阶段

边缘服务器（Edge server，ES）ES_j首先选择服务标识ESID_j，将边缘服务器（Edgeserver，ES）ES_j的服务标识ESID_j通过安全通道发送给所述云服务器中心；边缘服务器为区块链网络中节点。

所述云服务器中心接收到服务标识ESID_j后，将所述边缘服务器ES_j的注册消息{e_j,

,EH_j}发送到所述边缘服务器ES_j；其中e_j为随机数，e_j为所述边缘服务器的私钥，

为所述边缘服务器的公钥，

表示e_j阶切比雪夫混沌映射多项式，EH_j=H₁(s)。

所述边缘服务器ES_j接收到注册消息{e_j,

,EH_j}后，将服务标识ESID_j和注册消息{e_j,

,EH_j}存储到所述边缘服务器ES_j。

工业终端传感器设备（Industrial Terminal Sensor Equipment，ITSE）ITSE_i通过安全通道发送注册请求消息{ID_i,PK_i}到所述云服务器中心；其中ID_i表示所述工业终端传感器设备的用户真实身份信息，PK_i=PUF_i(a _i)，PUF_i()表示物理不可克隆功能函数（Physical Unclonable Function，PUF），a _i表示一个响应值。

所述云服务器中心接收到注册请求消息{ID_i,PK_i}后，计算所述工业终端传感器设备ITSE_i的假名身份信息PID_i=H₁(s)⊕PK_i⊕ID_i，将随机数t _i作为所述工业终端传感器设备私钥，计算公钥

，所述云服务器中心通过安全通道将所述工业终端传感器设备ITSE_i的注册信息{PID_i,t _i,

,ESID_j,

}发送到所述工业终端传感器设备ITSE_i，同时将消息{PID_i,

}发送到边缘服务器ES_j；

表示t _i阶切比雪夫混沌映射多项式。所述工业终端传感器设备ITSE_i接收到注册信息{PID_i,t _i,

,ESID_j,

}后，将注册信息{PID_i,t _i,

,ESID_j,

}存储到所述工业终端传感器设备ITSE_i。

所述边缘服务器ES_j接收到消息{PID_i,

}后，将服务标识ESID_j和消息{PID_i,

}存储到区块链上。

3.认证阶段

(1)所述工业终端传感器设备ITSE_i将第一认证消息{PID_i,ESID_j,TD_i,UD_i,T₁}发送到所述边缘服务器ES_j；T₁表示时间戳，

，PK_i=PUF_i(a _i)，TD_i=ID_i⊕PK_i，UD_i=K_i⊕PK_i。

(2)所述边缘服务器ES_j接收到第一认证消息{PID_i,ESID_j,TD_i,UD_i,T₁}后，验证时间戳T₁是否合法，若时间戳T₁不合法则停止认证，若时间戳T₁合法则所述边缘服务器ES_j检索PID_i在区块链上是否存在，若PID_i不在区块链上则说明工业终端传感器设备ITSE_i未注册，停止认证，若PID_i在区块链上则从区块链上获得所述工业终端传感器设备ITSE_i的公钥

。

所述边缘服务器ES_j计算

、PK_i=

⊕UD_i、

=TD_i⊕PK_i和ID_i=H₁(s)⊕PK_i⊕PID_i。

所述边缘服务器ES_j验证

是否等于ID_i，若

不等于ID_i则认证失败，若

等于ID_i则所述边缘服务器ES_j对所述工业终端传感器设备ITSE_i的身份认证成功。

所述边缘服务器ES_j对所述工业终端传感器设备ITSE_i的身份认证成功后，计算R_j=

、z_j=r _j+e_jPK_i、KD_j=H₁(PK_i||ID_i||

||ESID_j)和KZD_j=KD_j⊕z_j，将第二认证消息{R_j,KZD_j,T₂}发送到所述工业终端传感器设备ITSE_i；T₂表示时间戳，

表示r _j阶切比雪夫混沌映射多项式，r _j表示随机数。

(3)所述工业终端传感器设备ITSE_i接收到第二认证消息{R_j,KZD_j,T₂}后，验证时间戳T₂是否合法，若时间戳T₂不合法则停止认证，若时间戳T₂合法则计算

=H₁(PK_i||ID_i||K_i||ESID_j)和z_j=

⊕KZD_j。

所述工业终端传感器设备ITSE_i验证

=

是否成立，若不成立则停止认证，若成立则所述工业终端传感器设备ITSE_i发送第三认证消息{KUD_i,M_i,C_i,T₃}到所述边缘服务器ES_j；C_i=

，u_i=c_i+t_iPK_i，KUD_i=

⊕u_i，SK_i=H₂(PK_i||K_i||

)，M_i=H₁(SK_i||ID_i||ESID_j)，SK_i表示会话密钥，T₃表示时间戳，c_i表示随机数，

表示z _j阶切比雪夫混沌映射多项式，

表示PK_i阶切比雪夫混沌映射多项式，

=

，

表示c_i阶切比雪夫混沌映射多项式。

(4)所述边缘服务器ES_j接收到第三认证消息{KUD_i,M_i,C_i,T₃}后，验证时间戳T₃是否合法，若时间戳T₃不合法则停止认证，若时间戳T₃合法则计算u_i=KD_j⊕KUD_i。

所述边缘服务器ES_j验证

=

是否成立，若不成立则停止认证，若成立则计算SK_j=H₂(PK_i||

||

)，

；

表示u_i阶切比雪夫混沌映射多项式；

。

所述边缘服务器ES_j验验证

和M_i是否相等，若不相等则停止认证，若相等说明边缘服务器ES_j和工业终端传感器设备ITSE_i生成的会话密钥是相等的，完成认证。此时所述边缘服务器ES_j与所述工业终端传感器设备ITSE_i通过会话密码进行通信。

所述工业终端传感器设备ITSE_i通过配备微控制器组件连接到PUF模块，所述PUF模块用于提供物理不可克隆功能函数。

所述验证时间戳T₁、T₂和T₃是否合法具体包括：验证时间戳T₁、T₂和T₃是否在设定时间范围内。

本发明具有以下有益效果：

1.本发明所提供的方法中通信实体（边缘服务器和工业终端传感器设备）进行相互验证，避免了假冒攻击，保证了通信的安全性。

2.本发明提供的方法是通信实体通过时间戳和加密值来保证消息的新鲜性，从而避免了重放攻击。

4.本发明所提供的方法中用户生成的会话密钥都是由边缘服务器和工业终端传感器设备通过各自生成的秘密值和身份信息生成的，因此会话密钥的向安全性得到了保证。

5. 本发明所提供的方法中工业终端传感器设备通过物理不可克隆功能函数计算的秘密值具有唯一性和不可克隆性。因此，可以有效抵抗节点捕获攻击。

6.本发明所提供的方法中认证过程中生成的消息包括混沌映射密码算法和物理不可克隆功能函数计算的秘密值。因此，不能动态地篡改任何消息，可以有效抵抗中间人攻击。

7.本发明所提供的方法中使用工业终端传感器设备的匿名进行通信，保证了用户的隐私安全。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。

Claims (6)

1.一种基于PUF和区块链的工业环境认证方法，其特征在于，包括：

通过云服务器中心初始化系统参数{x,s,p,H₁(·),H₂(·)}，x表示随机数，p表示大素数，H₁(·)和H₂(·)均表示哈希函数，s表示随机数；

将边缘服务器的服务标识ESID_j通过安全通道发送给所述云服务器中心；所述边缘服务器为区块链网络中节点；

所述云服务器中心接收到服务标识ESID_j后，将所述边缘服务器的注册消息{e_j,

,EH_j}发送到所述边缘服务器；其中e_j为随机数，e_j为所述边缘服务器的私钥，

为所述边缘服务器的公钥，

表示e_j阶切比雪夫混沌映射多项式，EH_j=H₁(s)；

工业终端传感器设备通过安全通道发送注册请求消息{ID_i,PK_i}到所述云服务器中心；其中ID_i表示所述工业终端传感器设备的用户身份信息，PK_i=PUF_i(a _i)，PUF_i()表示物理不可克隆功能函数，a _i表示一个响应值；

所述云服务器中心接收到注册请求消息{ID_i,PK_i}后，计算所述工业终端传感器设备的假名身份信息PID_i=H₁(s)⊕PK_i⊕ID_i，将随机数t _i作为所述工业终端传感器设备私钥，计算公钥

，所述云服务器中心通过安全通道将所述工业终端传感器设备的注册信息{PID_i,t _i,

,ESID_j,

}发送到所述工业终端传感器设备，同时将消息{PID_i,

}发送到边缘服务器；

表示t _i阶切比雪夫混沌映射多项式；

所述边缘服务器接收到消息{PID_i,

}后，将服务标识ESID_j和消息{PID_i,

}存储到区块链上；

所述工业终端传感器设备将第一认证消息{PID_i,ESID_j,TD_i,UD_i,T₁}发送到所述边缘服务器；T₁表示时间戳，

，PK_i=PUF_i(a _i)，TD_i=ID_i⊕PK_i，UD_i=K_i⊕PK_i；

所述边缘服务器接收到第一认证消息{PID_i,ESID_j,TD_i,UD_i,T₁}后，验证时间戳T₁是否合法，若时间戳T₁不合法则停止认证，若时间戳T₁合法则所述边缘服务器检索PID_i在区块链上是否存在，若PID_i不在区块链上则停止认证，若PID_i在区块链上则从区块链上获得所述工业终端传感器设备的公钥

；

所述边缘服务器计算

、PK_i=

⊕UD_i、

=TD_i⊕PK_i和ID_i=H₁(s)⊕PK_i⊕PID_i；

所述边缘服务器验证

是否等于ID_i，若

不等于ID_i则认证失败，若

等于ID_i则所述边缘服务器对所述工业终端传感器设备的身份认证成功；

所述边缘服务器对所述工业终端传感器设备的身份认证成功后，计算R_j=

、z_j=r _j+e_jPK_i、KD_j=H₁(PK_i||ID_i||

||ESID_j)和KZD_j=KD_j⊕z_j，将第二认证消息{R_j,KZD_j,T₂}发送到所述工业终端传感器设备；T₂表示时间戳，

表示r _j阶切比雪夫混沌映射多项式，r _j表示随机数；

所述工业终端传感器设备接收到第二认证消息{R_j,KZD_j,T₂}后，验证时间戳T₂是否合法，若时间戳T₂不合法则停止认证，若时间戳T₂合法则计算

=H₁(PK_i||ID_i||K_i||ESID_j)和z_j=

⊕KZD_j；

所述工业终端传感器设备验证

是否成立，若不成立则停止认证，若成立则所述工业终端传感器设备发送第三认证消息{KUD_i,M_i,C_i,T₃}到所述边缘服务器；C_i=

，u_i=c_i+t_iPK_i，KUD_i=

⊕u_i，SK_i=H₂(PK_i||K_i||

)，M_i=H₁(SK_i||ID_i||ESID_j)，T₃表示时间戳，c_i表示随机数，

表示z _j阶切比雪夫混沌映射多项式，

表示PK_i阶切比雪夫混沌映射多项式，

，

表示c_i阶切比雪夫混沌映射多项式；

所述边缘服务器接收到第三认证消息{KUD_i,M_i,C_i,T₃}后，验证时间戳T₃是否合法，若时间戳T₃不合法则停止认证，若时间戳T₃合法则计算u_i=KD_j⊕KUD_i；

所述边缘服务器验证

是否成立，若不成立则停止认证，若成立则计算SK_j=H₂(PK_i||

||

)，

；

表示u_i阶切比雪夫混沌映射多项式；

；

所述边缘服务器验验证

和M_i是否相等，若不相等则停止认证，若相等完成认证，所述边缘服务器与所述工业终端传感器设备进行通信。

2.根据权利要求1所述的基于PUF和区块链的工业环境认证方法，其特征在于，所述工业终端传感器设备通过配备微控制器组件连接到PUF模块，所述PUF模块用于提供物理不可克隆功能函数。

3.根据权利要求1所述的基于PUF和区块链的工业环境认证方法，其特征在于，所述边缘服务器与所述工业终端传感器设备进行通信，具体包括：

所述边缘服务器与所述工业终端传感器设备通过会话密码进行通信。

4.根据权利要求1所述的基于PUF和区块链的工业环境认证方法，其特征在于，所述验证时间戳T₁是否合法具体包括：验证时间戳T₁是否在设定时间范围内。

5.根据权利要求1所述的基于PUF和区块链的工业环境认证方法，其特征在于，所述边缘服务器接收到注册消息{e_j,

,EH_j}后，将服务标识ESID_j和注册消息{e_j,

,EH_j}存储到所述边缘服务器。

6.根据权利要求1所述的基于PUF和区块链的工业环境认证方法，其特征在于，所述工业终端传感器设备接收到注册信息{PID_i,t _i,

,ESID_j,

}后，将注册信息{PID_i,t _i,

,ESID_j,

}存储到所述工业终端传感器设备。

Images