CN114640475B - 去中心化的身份认证方法、装置、计算机设备及存储介质 - Google Patents

去中心化的身份认证方法、装置、计算机设备及存储介质 Download PDF

Info

Publication number
CN114640475B
CN114640475B CN202210541803.2A CN202210541803A CN114640475B CN 114640475 B CN114640475 B CN 114640475B CN 202210541803 A CN202210541803 A CN 202210541803A CN 114640475 B CN114640475 B CN 114640475B
Authority
CN
China
Prior art keywords
measurement
identity
parameter
target
measurement parameter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210541803.2A
Other languages
English (en)
Other versions
CN114640475A (zh
Inventor
孟坤
梁裕培
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Lvsuan Technology Co ltd
Original Assignee
Guangdong Lvsuan Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Lvsuan Technology Co ltd filed Critical Guangdong Lvsuan Technology Co ltd
Priority to CN202210541803.2A priority Critical patent/CN114640475B/zh
Publication of CN114640475A publication Critical patent/CN114640475A/zh
Application granted granted Critical
Publication of CN114640475B publication Critical patent/CN114640475B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords

Abstract

本申请涉及一种去中心化的身份认证方法、装置、计算机设备和存储介质,所述方法包括:获取被认证方的第一测量参数结构并广播第一测量参数结构;接收认证方发送的第一目标测量参数,其中认证方接收第一测量参数结构并根据第一测量参数结构确定第一目标测量参数;根据第一目标测量参数进行物理特性测量,测量后得到第一测量结果;根据第一测量结果生成第一身份标识;将第一身份标识发送到认证方,以使得认证方根据第一身份标识对被认证方进行身份认证。上述方法能够基于被认证方的物理特性的测量结果对被认证方进行身份认证,实现去中心化身份认证,并且不需要区块链技术,无需访问区块链中的密钥,从而提高身份认证的效率。

Description

去中心化的身份认证方法、装置、计算机设备及存储介质
技术领域
本申请涉及身份认证技术领域,特别是涉及一种去中心化的身份认证方法、装置、计算机设备和存储介质。
背景技术
密码学技术是解决信息安全问题最基础的解决方案,在信息系统、网络通信、互联网等领域广泛应用。密码学技术为设计信息保密通信、数据安全存取和数字身份鉴别功能提供了理论支撑。当前所使用的密码系统分为对称密码系统和公钥密码系统,它们提供安全保障往往仅依赖所使用密钥的安全性,密钥的安全分发是影响密码系统安全性的核心要素。对于对称密码系统,其加密和解密所使用的密钥相同,因此,在使用对称密码系统时,密钥分发或协商过程中鉴别密钥分发者身份(可鉴别性)和确保密钥不泄露(密钥机密性)是对称密码系统安全使用的首要条件。相应地,对于公钥密码系统,其加密和解密密钥不相同,分别被称为公钥和私钥,公钥和私钥由具有信息安全需求用户选择或计算获得,并把公钥分发给任意与其具有潜在信息交互需求的对方,方便对方使用公钥加密消息与其完成保密通信,或者使用公钥来鉴别其发送消息的来源。因此,与对称密码系统相比,公钥密码系统中密钥分发对象为公钥,且分发过程仅需保障密钥的可鉴别性。事实上,在安全部署公钥密码系统的假设下,对称密码系统场景下密钥分发的密钥机密性可依赖该公钥密码系统实现。因此,保障密钥分发的可鉴别性成为安全使用密码系统不可回避的问题。
针对密钥分发的可鉴别性问题,当前主流技术包括Kerberos(Kerberos是一种网络认证协议,它作为一种可信任的第三方认证服务,通过对称加密的方式执行认证服务)和PKI(Public Key Infrastructure,公钥基础设施)体系。上述两种主流技术的不足在于:均依赖对提供服务第三方绝对可信的假设,以及存在服务性能或可扩展性无法满足需求的挑战,以及无法应对提供服务方单点失效引发严重安全事件的风险。
随着人们对信息隐私和安全性需求的提升,研发去中心的安全体系架构(摆脱可信第三方假设)已成为当前该领域技术热点,依托以区块链为代表的去中心一致性数据平台实现公钥托管和依赖量子密钥分发网络(QKD)构建物理安全信道完成密钥分发是当前最为重要的解决方案。针对前者所述公钥托管,公钥下载和鉴别均需要对区块链账本进行检索,区块链低下的访问性能难以支撑实时性要求较高的场景,制约了其在互联网或封闭局域网络等场景中的使用推广。针对后者所述量子密钥,其高昂的基础设施建设成本、低下的密钥分发效率、以及难以实现的量子信息存储技术严重制约着其大规模的推广,因此当前还仅限于在对信息具有极高安全需求的核心应用场景使用。
综上所述,当前摆脱可信第三方服务的去中心化安全体系架构,存在密钥访问性能低以及安全体系架构构建成本高等问题。
发明内容
基于此,有必要针对上述技术问题,提供一种去中心化的身份认证方法、装置、计算机设备和存储介质,能够基于被认证方的物理特性的测量结果对被认证方进行身份认证,身份认证过程不需要依赖任何第三方权威机构,实现去中心化身份认证,并且不需要区块链技术,无需访问区块链中的密钥,从而提高身份认证的效率。此外,身份认证过程物理特性测量的测量结果以及身份标识均不需要存储,身份认证的安全体系架构构建成本低。
一种去中心化的身份认证方法,应用于被认证方,包括:获取被认证方的第一测量参数结构并广播第一测量参数结构;接收认证方发送的第一目标测量参数,其中认证方接收第一测量参数结构并根据第一测量参数结构确定第一目标测量参数;根据第一目标测量参数进行物理特性测量,测量后得到第一测量结果;根据第一测量结果生成第一身份标识;将第一身份标识发送到认证方,以使得认证方根据第一身份标识对被认证方进行身份认证。
在其中一个实施例中,一种去中心化的身份认证方法还包括:获取被认证方的第二身份标识并广播第二身份标识;其中认证方接收第二身份标识并根据第二身份标识识别出第一身份认证规则,并根据第一身份认证规则和第一身份标识对被认证方进行身份认证。
在其中一个实施例中,第一测量参数结构中包含多个测量参数,第一目标测量参数为多个测量参数中任一测量参数,或,第一目标测量参数为多个,多个第一目标测量参数为多个测量参数中任意多个测量参数;当第一目标测量参数为一个时,第一测量结果包含静态特征信息,静态特征信息为根据第一目标测量参数进行物理特性测量时得到的结果信息;当第一目标测量参数为多个且多个第一目标测量参数构成参数序列时,第一测量结果包含时序特征信息,时序特征信息中包含多个静态特征信息。
在其中一个实施例中,当第一目标测量参数为一个时,根据第一目标测量参数进行物理特性测量,得到第一测量结果,包括:根据第一测量参数结构确定第一测量结果的状态类别的数量;根据状态类别的数量确定二进制的长度;根据第一目标测量参数进行物理特性测量,得到第一测量结果的状态;根据二进制的长度采用二进制表示第一测量结果的状态,状态表示后得到第一测量结果;当第一目标测量参数为多个且多个第一目标测量参数构成参数序列时,根据第一目标测量参数进行物理特性测量,得到第一测量结果,包括:根据第一测量参数结构确定第一测量结果的状态类别的数量;根据状态类别的数量确定二进制的长度;根据第一目标测量参数进行物理特性测量,得到第一测量结果的状态;根据二进制的长度采用二进制表示第一测量结果的状态,状态表示后得到表示信息;在表示信息中插入二进制序列,插入操作结束后得到第一测量结果。
在其中一个实施例中,一种去中心化的身份认证方法还包括:获取待选测量参数以及待选测量内容;根据待选测量参数以及待选测量内容构建测量样本,测量样本中包含一个或多个待选测量参数以及一个或多个待选测量内容;根据测量样本进行物理特性测量,测量后得到样本结果;若样本结果的稳定性和/或随机性满足设定条件,则将待选测量参数作为第一测量参数结构中的测量参数以及将待选测量内容作为第一测量参数结构中的测量内容,测量内容表示物理特性测量的测量对象。
在其中一个实施例中,一种去中心化的身份认证方法还包括:根据待选测量参数以及待选测量内容构建测量序列,测量序列中包含一个或多个待选测量参数以及一个或多个待选测量内容;根据待选测量参数以及待选测量内容构建测量样本,包括:根据测量序列构建一个或多个所述测量样本。
在其中一个实施例中,测量样本为多个,样本结果为多个,一种去中心化的身份认证方法还包括:根据多个样本结果调整测量序列的长度;根据调整后的测量序列更新多个测量样本;根据更新后的多个测量样本进行物理特性测量,得到更新后的样本结果;根据更新后的样本结果识别是否将待选测量参数作为第一测量参数结构中的测量参数以及将待选测量内容作为第一测量参数结构中的测量内容。
在其中一个实施例中,根据第一测量结果生成第一身份标识,包括:根据第一目标测量参数以及第一测量结果生成第一身份标识;其中,认证方根据第一身份标识对被认证方进行身份认证,包括:认证方根据第一身份标识对被认证方的设备身份进行身份认证。
在其中一个实施例中,根据第一测量结果生成第一身份标识,包括:根据第一目标测量参数、被认证方的用户身份信息以及第一测量结果生成第一身份标识;其中,认证方根据第一身份标识对被认证方进行身份认证,包括:认证方根据第一身份标识对被认证方的用户身份进行身份认证。
一种去中心化的身份认证方法,应用于认证方,包括:接收被认证方广播的第二测量参数结构;根据第二测量参数结构确定第二目标测量参数,向被认证方发送第二目标测量参数;接收被认证方返回的第三身份标识,被认证方根据第二目标测量参数进行物理特性测量,得到第二测量结果,并根据第二测量结果生成第三身份标识;根据第三身份标识对被认证方进行身份认证。
在其中一个实施例中,一种去中心化的身份认证方法还包括:接收被认证方广播的第四身份标识;根据第四身份标识识别出第二身份认证规则;根据第三身份标识对被认证方进行身份认证,包括:根据第二身份认证规则和第三身份标识对被认证方进行身份认证。
一种去中心化的身份认证装置,应用于被认证方,包括:获取模块,用于获取被认证方的第一测量参数结构并广播第一测量参数结构;第一接收模块,用于接收认证方发送的第一目标测量参数,其中认证方接收第一测量参数结构并根据第一测量参数结构确定第一目标测量参数;测量模块,用于根据第一目标测量参数进行物理特性测量,测量后得到第一测量结果;生成模块,用于根据第一测量结果生成第一身份标识;第一发送模块,用于将第一身份标识发送到认证方,以使得认证方根据第一身份标识对被认证方进行身份认证。
一种去中心化的身份认证装置,应用于认证方,包括:第二接收模块,用于接收被认证方广播的第二测量参数结构;第二发送模块,用于根据第二测量参数结构确定第二目标测量参数,向被认证方发送第二目标测量参数;第三接收模块,用于接收被认证方返回的第三身份标识,被认证方根据第二目标测量参数进行物理特性测量,得到第二测量结果,并根据第二测量结果生成第三身份标识;认证模块,用于根据第三身份标识对被认证方进行身份认证。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述任一实施例方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述任一实施例方法的步骤。
上述一种去中心化的身份认证方法、装置、计算机设备和存储介质,获取被认证方的第一测量参数结构并广播第一测量参数结构,接收认证方发送的第一目标测量参数,其中认证方接收第一测量参数结构并根据第一测量参数结构确定第一目标测量参数,根据第一目标测量参数进行物理特性测量,测量后得到第一测量结果,根据第一测量结果生成第一身份标识,将第一身份标识发送到认证方,以使得认证方根据第一身份标识对被认证方进行身份认证。因此,能够在认证方和被认证方之间进行身份认证,无需可信第三方,实现去中心化身份认证。此外,被认证方的第一身份标识根据第一目标测量参数进行物理特性测量的第一测量结果确定,第一身份标识不需要访问区块链获得,从而提高身份认证的效率。再者,身份认证过程物理特性测量的第一测量结果以及第一身份标识均不需要存储,身份认证的安全体系架构构建成本低。
上述一种去中心化的身份认证方法、装置、计算机设备和存储介质,接收被认证方广播的第二测量参数结构,根据第二测量参数结构确定第二目标测量参数,向被认证方发送第二目标测量参数,接收被认证方返回的第三身份标识,被认证方根据第二目标测量参数进行物理特性测量,得到第二测量结果,并根据第二测量结果生成第三身份标识,根据第三身份标识对被认证方进行身份认证。因此,能够在认证方和被认证方之间进行身份认证,无需可信第三方,实现去中心化身份认证。此外,被认证方的第三身份标识根据第二目标测量参数进行物理特性测量的第二测量结果确定,认证方无需访问区块链获得第三身份标识,从而提高身份认证的效率。此外,身份认证过程物理特性测量的第一测量结果以及第一身份标识均不需要存储,身份认证的安全体系架构构建成本低。
附图说明
图1为一个实施例中一种去中心化的身份认证方法的应用环境图;
图2为一个实施例中一种去中心化的身份认证方法的流程示意图;
图3为一个实施例中第一测量参数结构的信息表示结构示意图;
图4为一个实施例中认证方对被认证方进行身份认证的信息交互示意图;
图5为一个实施例中被认证方的物理特性的唯一性验证的流程示意图;
图6为一个实施例中设备身份标识计算逻辑的示意图;
图7为一个实施例中用户身份标识计算逻辑的示意图;
图8为一个实施例中被认证方主动身份认证的广播方法的流程示意图;
图9为另一个实施例中一种去中心化的身份认证方法的流程示意图;
图10为一个实施例中被认证方的内部结构示意图;
图11为一个实施例中一种去中心化的身份认证的系统架构示意图;
图12为一个实施例中一种去中心化的身份认证装置的结构框图;
图13为一个实施例中一种去中心化的身份认证装置的结构框图;
图14为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的一种去中心化的身份认证方法,应用于如图1所示的应用环境中。如图1所示,多个终端设备包括终端设备1、终端设备2、终端设备3、终端设备4、终端设备5以及终端设备6。需要说明的是,此处只是举例说明,实际应用中终端设备的数量可以是任意大于2的数量值。多个终端设备中任一终端设备均可作为被认证方或认证方。例如,在一个示例中,如图1所示,终端设备1作为被认证方,终端设备4作为认证方。即,终端设备1向终端设备4请求身份认证。终端设备1用于执行本申请的一种去中心化的身份认证方法。具体地,终端设备1获取终端设备1的第一测量参数结构并广播第一测量参数结构。终端设备4接收第一测量参数结构并根据第一测量参数结构确定第一目标测量参数,并向终端设备1发送第一目标测量参数。终端设备1接收终端设备4发送的第一目标测量参数,根据第一目标测量参数进行物理特性测量,测量后得到第一测量结果,根据第一测量结果生成第一身份标识,将第一身份标识发送到终端设备4。终端设备4根据第一身份标识对终端设备1进行身份认证。
在一个实施例中,如图2所示,提供了一种去中心化的身份认证方法,应用于被认证方,以该方法应用于图1中的任一终端设备为例进行说明,包括以下步骤:
S202,获取被认证方的第一测量参数结构并广播第一测量参数结构。
本实施例中,被认证方向认证方请求对被认证方进行身份认证。被认证方可以指设备、设备注册的用户或设备中启动的进程等。例如,被认证方为图1所示中任一终端设备,该终端设备请求认证方对终端设备的身份进行身份认证。或,被认证方为终端设备中注册的用户,该终端设备请求认证方对终端设备的用户身份进行身份认证。或,被认证方为终端设备中启动的进程,该终端设备请求认证方对终端设备的用户身份进行身份认证。
本实施例中,被认证方包含特定的物理特性。如图3所示,第一测量参数结构中包含一个或多个测量参数,还可以包含一个或多个测量内容等。被认证方可以根据测量参数进行对应测量内容的物理特性测量。其中,被认证方获取到被认证方的第一测量参数结构后,将第一测量参数结构进行广播。广播后,认证方能够接收到第一测量参数结构。
S204,接收认证方发送的第一目标测量参数,其中认证方接收第一测量参数结构并根据第一测量参数结构确定第一目标测量参数。
本实施例中,认证方根据第一测量参数结构确定第一目标测量参数。可以是,第一测量参数结构中包含多个测量参数,认证方从多个测量参数中随机挑选任一个或多个第一目标测量参数。还可以是,认证方根据第一测量参数结构生成第一目标测量参数,或认证方根据第一测量参数结构从本地筛选出第一目标测量参数。进而,认证方向被认证方发送第一目标测量参数。
S206,根据第一目标测量参数进行物理特性测量,测量后得到第一测量结果。
本实施例中,被认证方的物理特性可测量,且物理特性的测量结果满足随机性和稳定性,从而使得基于被认证方的物理特性测量的测量结果生成的身份标识能够用于去中心化的身份认证。其中,被认证方的物理特性测量依赖于输入的第一目标测量参数。可以是,被认证方根据第一目标测量参数从第一测量参数结构中筛选出对应的测量内容,根据第一目标测量参数对被认证方的测量内容进行物理特性测量,得到物理特性的测量结果,此处物理特性的测量结果为上述第一测量结果。此外,物理特性测量还依赖于被认证方内部的物理特性的测量模块。具体地,被认证方中设置有物理特性的测量模块,测量模块中设置有用于测量物理特性的测量工具。将第一目标测量参数输入测量工具,通过测量工具进行物理特性测量,并由测量工具输出物理特性测量的第一测量结果。
例如,被认证方为终端设备,终端设备为电子器件,电子器件的物理特性可测量且测量结果唯一,电子器件中包含物理特性的测量模块。当接收到第一目标测量参数时,将第一目标测量参数输入电子器件的测量模块进行物理特性测量。如物理特性的测量内容为工作状态,测量模块输出的第一测量结果为工作状态的状态测量结果。
S208,根据第一测量结果生成第一身份标识。
本实施例中,被认证方基于第一测量结果生成第一身份标识。其中,第一身份标识用于标识出被认证方的身份。可以是,被认证方按照预设处理规则将第一测量结果进行处理,得到第一身份标识。如,预设处理规则为标识计算函数,结合第一测量结果和标识计算函数进行计算,得到第一身份标识。标识计算函数可以是单向函数。
S210,将第一身份标识发送到认证方,以使得认证方根据第一身份标识对被认证方进行身份认证。
本实施例中,被认证方将第一身份标识发送到认证方。认证方根据第一身份标识对被认证方进行身份认证。可以是,认证方根据第一测量参数结构确定第一目标测量参数时,确定出第一目标测量参数对应的身份信息。当接收到被认证方发送的第一身份标识时,将第一身份标识与上述对应的身份信息进行匹配。若匹配成功,则被认证方的身份认证成功,即认定被认证方的身份的合法性。反之,被认证方的身份认证失败。
综上,第一身份标识根据被认证方的物理特性测量的第一测量结果生成。需要指出的是,被认证方在进行物理特性测量时,参照的第一目标测量参数由认证方指定,第一目标测量参数具备一定的随机性。此外,被认证方的物理特性测量依赖于被认证方的物理特性,具备一定的客观性。第一目标测量参数的随机性以及被认证方的物理特性的客观性,使得生成的第一身份标识不受任何主观的攻击者操控,保证了第一身份标识的认证可信性,不需要任何第三方权威机构的背书,进而确保身份认证的去中心特性。
上述一种去中心化的身份认证方法,能够在认证方和被认证方之间进行身份认证,无需可信第三方,实现去中心化身份认证。此外,被认证方的第一身份标识根据第一目标测量参数进行物理特性测量的第一测量结果确定,第一身份标识不需要访问区块链获得,从而提高身份认证的效率。再者,身份认证过程物理特性测量的第一测量结果以及第一身份标识均不需要存储,身份认证的安全体系架构构建成本低。
在一个实施例中,上述广播第一测量参数结构的步骤中,或在上述广播第一测量参数结构的步骤之后,一种去中心化的身份认证方法还包括:获取被认证方的第二身份标识并广播第二身份标识。其中,认证方接收第二身份标识并根据第二身份标识识别出第一身份认证规则,并根据第一身份认证规则和第一身份标识对被认证方进行身份认证。
该实施例中,如图4所示,被认证方广播第一测量参数结构之外,还广播第二身份标识。第二身份标识为被认证方预先配置得到。第二身份标识可以根据第一测量参数结构生成,如根据第一测量参数结构中随机的测量参数计算得到。其中,第二身份标识和第一身份标识可以相同,也可以不相同。两者的区别在于:第二身份标识为被认证方预先配置的用于标识出被认证方身份的信息。第一身份标识为认证方指定出第一目标测量参数后,被认证方根据第一目标测量参数进行物理特性测量后基于测量结果生成。
虽然被认证方向认证方发送第二身份标识,以标识出被认证方的身份。认证方需对被认证方的身份进行核实认证。具体地,认证方获取第二身份标识对应的第一身份认证规则,采用该第一身份认证规则对被认证方的第一身份标识进行身份认证。
在一个实施例中,上述第一测量参数结构中包含多个测量参数,第一目标测量参数为多个测量参数中任一测量参数,或,第一目标测量参数为多个,多个第一目标测量参数为多个测量参数中任意多个测量参数;当第一目标测量参数为一个时,第一测量结果包含静态特征信息,静态特征信息为根据第一目标测量参数进行物理特性测量时得到的结果信息;当第一目标测量参数为多个且多个第一目标测量参数构成参数序列时,第一测量结果包含时序特征信息,时序特征信息中包含多个静态特征信息。
该实施例中,第一目标测量参数为多个测量参数中任一测量参数,或,多个第一目标测量参数为多个测量参数中任意多个测量参数。第一目标测量参数的任意性,可以使得被认证方根据第一目标测量参数进行物理特性测量得到第一测量结果并基于第一测量结果得到第一身份标识时,第一身份标识的随机性,进而可以保证被认证方的身份认证不易受攻击。
该实施例中,第一目标测量参数分为两种情况。一种情况是,第一目标测量参数为一个,此时根据第一目标测量参数进行物理特性测量后得到静态特征信息。另一种情况是,第一目标测量参数为多个且多个第一目标测量参数构成参数序列时,此时根据多个第一目标测量参数构成的参数序列进行物理特性测量后得到时序特征信息。其中,静态特征信息可以是单次输入一个第一目标测量参数后被认证方的物理特征呈现状态。时序特征信息可以是按照序列输入多个第一目标测量参数后被认证方的物理特征呈现状态序列。
例如,被认证方根据不同的测量参数,物理特性被测量出不同的值。一个完整结构的测量参数会测量得到一个测量结果,把该测量结果称为静态特征信息;若依次输入多个完整结构的测量参数构成的参数序列,则会得到一个对应的静态特征信息的序列,把该静态特征信息的序列称为时序特征信息。因此,第一测量结果与输入的第一目标测量参数有关,若输入只是单个第一目标测量参数,则第一测量结果采用静态特征信息表示;相应地,如果是多个第一目标测量参数构成的参数序列,则第一测量结果采用时序特征信息表示。物理特性测量时,选择什么样的输入方式,依据认证方对被认证方的认证强度需求,输入的第一目标测量参数的序列越长说明强度越大。
在一个实施例中,当第一目标测量参数为一个时,上述根据第一目标测量参数进行物理特性测量,得到第一测量结果,包括:根据第一测量参数结构确定第一测量结果的状态类别的数量;根据状态类别的数量确定二进制的长度;根据第一目标测量参数进行物理特性测量,得到第一测量结果的状态;根据二进制的长度采用二进制表示第一测量结果的状态,状态表示后得到第一测量结果。当第一目标测量参数为多个且多个第一目标测量参数构成参数序列时,上述根据第一目标测量参数进行物理特性测量,得到第一测量结果,包括:根据第一测量参数结构确定第一测量结果的状态类别的数量;根据状态类别的数量确定二进制的长度;根据第一目标测量参数进行物理特性测量,得到第一测量结果的状态;根据二进制的长度采用二进制表示第一测量结果的状态,状态表示后得到表示信息;在表示信息中插入二进制序列,插入操作结束后得到第一测量结果。
该实施例中,当输入的是单个第一目标测量参数时,第一测量结果的获得方式如下:
步骤1、给定输入的第一测量参数结构后,基于测量参数结构中的第一目标测量参数判断物理特性的测量结果可能呈现状态的类别数量 T;
步骤2、选择二进制表示方式,所使用二进制的长度不小于
Figure 735256DEST_PATH_IMAGE001
步骤3、将第一目标测量参数输入并进行物理特性测量之后,其测量状态出现的概率分布
Figure 793342DEST_PATH_IMAGE002
Figure 776342DEST_PATH_IMAGE003
为正整数,P表示概率。测量状态根据
Figure 702709DEST_PATH_IMAGE004
取值进行升序排序,将排序后的序列采用上述二进制表示,二进制表示后得到第一测量结果。
下面将具体描述上述方法步骤:
步骤11、给定输入的第一测量参数结构后,第一测量参数结构包括测量的特性内容、测量起始位置和测量结果所使用的编码方式等;根据测量工具和物理特性测量的潜在状态的出现类别,结合选定的第一目标测量参数等因素,判断物理特性测量可能呈现状态的类别数量T;
步骤22、 选择二进制表示方式,所使用二进制的长度不小于
Figure 454765DEST_PATH_IMAGE005
,为提高测量结果数据的可靠性和呈现随机性,在信息表示中增加反映第一测量参数结构的数据头和完整性验证码等数据段;
步骤33、物理特性的测量结果的状态出现的概率分布
Figure 214910DEST_PATH_IMAGE002
,测量状态根据
Figure 888468DEST_PATH_IMAGE006
取值进行升序排序,将排序后的序列采用上述二进制表示,二进制表示后得到第一测量结果。涉及的状态和状态概率的计算根据用例测试结果或上一个周期测量结果统计计算。
该实施例中,当输入的是多个第一目标测量参数构成的参数序列时,第一测量结果的获得方式如下:
步骤4、给定输入的第一测量参数结构后,基于测量参数结构中的第一目标测量参数判断物理特性的测量结果可能呈现状态的类别数量T;
步骤5、选择二进制表示方式,所使用二进制的长度不小于
Figure 352948DEST_PATH_IMAGE005
步骤6、将第一目标测量参数输入并进行物理特性测量之后,其测量状态出现的概率分布
Figure 428351DEST_PATH_IMAGE002
Figure 624977DEST_PATH_IMAGE003
为正整数,测量状态根据
Figure 910465DEST_PATH_IMAGE004
取值进行升序排序,将排序后的序列采用上述二进制表示,二进制表示后得到表示信息。
步骤7、对应输入的多个第一目标测量参数构成的参数序列,相邻参数对应输出二进制表示之间插入二进制序列。如,相邻第一目标测量参数对应二进制表示之间插入的二进制序列为“
Figure 54002DEST_PATH_IMAGE007
”或“
Figure 108545DEST_PATH_IMAGE008
”,且依次循环插入。输入的参数序列的序列
Figure 679335DEST_PATH_IMAGE009
长度,若
Figure 124223DEST_PATH_IMAGE010
,则以
Figure 930505DEST_PATH_IMAGE007
为起始,若
Figure 714921DEST_PATH_IMAGE011
,则以
Figure 581246DEST_PATH_IMAGE008
为起始。
下面将具体描述上述方法步骤:
步骤44、给定输入的第一测量参数结构后,第一测量参数结构包括测量的特性内容、测量起始位置和测量结果所使用的编码方式等;根据测量工具和物理特性测量的潜在状态的出现类别,结合选定的第一目标测量参数等因素,判断物理特性测量可能呈现状态的类别数量|T|;
步骤55、 选择二进制表示方式,所使用二进制的长度不小于
Figure 513430DEST_PATH_IMAGE005
,为提高测量结果数据的可靠性和呈现随机性,在信息表示中增加反映第一测量参数结构的数据头和完整性验证码等数据段;
步骤66、物理特性的测量结果的状态出现的概率分布
Figure 998769DEST_PATH_IMAGE002
,测量状态根据
Figure 762326DEST_PATH_IMAGE004
取值进行升序排序,将排序后的序列采用上述二进制表示,二进制表示后得到第一测量结果。涉及的状态和状态概率的计算根据用例测试结果或上一个周期测量结果统计计算。
步骤77、对应输入的多个第一目标测量参数构成的参数序列,相邻参数对应输出二进制表示之间插入二进制序列。如,相邻第一目标测量参数对应二进制表示之间插入的二进制序列为“
Figure 940497DEST_PATH_IMAGE012
”或“
Figure 422294DEST_PATH_IMAGE013
”,b表示的二进制表示,且依次循环插入。输入的参数序列的序列长度
Figure 508062DEST_PATH_IMAGE014
,若
Figure 1491DEST_PATH_IMAGE015
,则以
Figure 475198DEST_PATH_IMAGE012
为起始,若
Figure 319657DEST_PATH_IMAGE011
,则以
Figure 271433DEST_PATH_IMAGE013
为起始。根据设备资源使用情况和身份认证请求强度,插入的分隔序列长度可适当增加,所选择的备选序列之间的差异度可依据容错编码理论实施筛选。
在一个实施例中,上述获取被认证方的第一测量参数结构的步骤之前,还包括:获取待选测量参数以及待选测量内容;根据待选测量参数以及待选测量内容构建测量样本,测量样本中包含一个或多个待选测量参数以及一个或多个待选测量内容;根据测量样本进行物理特性测量,测量后得到样本结果;若样本结果的稳定性和/或随机性满足设定条件,则将待选测量参数作为第一测量参数结构中的测量参数以及将待选测量内容作为第一测量参数结构中的测量内容,测量内容表示物理特性测量的测量对象。
该实施例中,被认证方请求身份认证之前,为了保证其物理特性的可测性以及唯一性,需对测量参数以及物理特性测量的测量内容进行筛选。具体地,根据待选测量参数以及待选测量内容构建测量样本,根据测量样本进行物理特性测量,测量后得到样本结果。进而,判断样本结果的稳定性和/或随机性。判断的方式可以是,预先设置设定条件,通过设定条件以及样本结果确定样本结果的稳定性和/或随机性。其中,稳定性确保同样的被认证方采用同样的测量参数其测量结果是一致的,随机性确保与被认证方的物理特性的测量特性相同。若样本结果的稳定性和/或随机性满足设定条件,则可待选测量参数和待选测量内容作为第一测量参数结构中的对应内容。其中,被认证方根据任一测量参数进行物理特性测量时,基于该测量参数的测量内容进行物理特性测量。因此,能够保证基于第一测量参数结构中测量参数以及测量内容进行物理特性测量时,物理特性测量结果的唯一性。
在一个实施例中,上述根据待选测量参数以及待选测量内容构建测量样本的步骤之前,还包括:根据待选测量参数以及待选测量内容构建测量序列,测量序列中包含一个或多个待选测量参数以及一个或多个待选测量内容。上述根据待选测量参数以及待选测量内容构建测量样本,包括:根据测量序列构建一个或多个测量样本。
该实施例中,根据待选测量参数以及待选测量内容构建测量序列。其中,测量序列的长度为
Figure 947265DEST_PATH_IMAGE016
,b表示二进制,
Figure 467239DEST_PATH_IMAGE017
表示
Figure 658049DEST_PATH_IMAGE018
对应二进制序列的长度。根据第一测量参数结构生成
Figure 288881DEST_PATH_IMAGE019
的测量样本。进而,验证测量样本的随机性和稳定性。随机性测试应综合考虑国家、行业随机性测试标准,且用户可以根据需求定制化设置。
在一个实施例中,上述测量样本为多个,上述样本结果为多个,上述根据测量样本进行物理特性测量,测量后得到样本结果的步骤之后,还包括:根据多个样本结果调整测量序列的长度;根据调整后的测量序列更新多个测量样本;根据更新后的多个测量样本进行物理特性测量,得到更新后的样本结果;根据更新后的样本结果识别是否将待选测量参数作为第一测量参数结构中的测量参数以及将待选测量内容作为第一测量参数结构中的测量内容。
该实施例中,对于测量后得到的多个样本结果,需要验证样本结果是否满足设定的验证条件,才能基于多个样本结果的稳定性和/或随机性判断待选测量参数以及待选测量内容是否作为第一测量参数结构中的对应内容。若样本结果不满足验证条件,则需要基于多个样本结果调整测量序列的长度,进而基于调整后的测量序列重新更新样本结果。具体地,如图5所示,激活设备的物理特性的唯一性验证,按照以下流程验证并更新样本结果:
步骤8、选择与物理特性的唯一性判断指标以及参数m、x、t、s、v。其中,
Figure 553641DEST_PATH_IMAGE020
Figure 369150DEST_PATH_IMAGE021
,可根据场景和用户需求灵活配置。对于测量序列的长度
Figure 922622DEST_PATH_IMAGE022
,根据测量参数结构生成
Figure 481779DEST_PATH_IMAGE023
的测量样本,并验证测量样本的随机性。随机性测试应综合考虑国家、行业随机性测试标准,且用户可以根据需求定制化设置。
步骤9、依次按测量样本对物理特性进行测量,并计算所有测量样本的测量结果的平均汉明距离L或信息熵H;选择上述随机性度量指标还需考虑设备运行环境、设备工作状态等因素,应周期性地、或根据业务请求情况进行器件随机性的检验,并及时告警器件出现的任何问题。
步骤10、若平均汉明距离
Figure 866624DEST_PATH_IMAGE024
或信息熵
Figure 197243DEST_PATH_IMAGE025
,可根据场景和用户需求灵活配置,则减小测量序列的长度为
Figure 34749DEST_PATH_IMAGE026
,利用步骤8和步骤9的方法更新测量样本。若平均汉明距离
Figure 538542DEST_PATH_IMAGE027
或信息熵
Figure 777894DEST_PATH_IMAGE028
,则将
Figure 669626DEST_PATH_IMAGE029
为所使用的测量序列的长度,若否,则选择
Figure 260008DEST_PATH_IMAGE030
为所使用的测量序列的长度。测量序列的长度缩短步长s可满足累次减半的策略,降低测量序列长度确定算法无法收敛等问题出现。在实施过程中,可以设置缩短操作次数上限,若超过上限,则声明该设备出现故障,并告警。
步骤11、若平均汉明距离
Figure 770755DEST_PATH_IMAGE031
或信息熵
Figure 852894DEST_PATH_IMAGE032
,则增加测量序列的长度为
Figure 915528DEST_PATH_IMAGE033
,利用步骤8和步骤9的方法更新测量样本。若平均汉明距离
Figure 727626DEST_PATH_IMAGE034
或信息熵
Figure 838801DEST_PATH_IMAGE035
,则利用步骤10选择所使用的测量序列的长度;否则,利用步骤11选择所使用测量序列的长度。该方法能保证返回结果为通过验证的测量序列长度值,或声明设备故障的告警。
在一个实施例中,上述根据第一目标测量参数进行物理特性测量,测量后得到第一测量结果,包括:获取第一目标测量参数的测量内容,根据第一目标测量参数以及测量内容进行物理特性测量,得到第一测量结果。
该实施例中,测量内容可以设置在第一测量参数结构中,基于测量内容并根据第一目标测量参数进行物理特性测量。例如,测量内容为设备的工作状态。物理特性测量的实施包括物理特性的测量内容、测量手段和测量结果的使用。以电子元器件的工作状态为测量内容,物理特性的测量包括:选取具有稳定且可测量的电子元器件的工作状态作为测量内容,该测量内容与该电子元器件的制程工艺和集成工作场景密切耦合,任何改动均会引起测量内容雪崩式改变。在电子元器件中设置专门的测量单元,采用测量单元并使用旁路式测量电子元器件的工作状态,根据第一目标测量参数输出第一测量结果。其中,第一测量结果可以用于生成设备的第一身份标识,也可以用于被身份鉴别所需提供的凭证。输出的第一测量结果可以包含第一目标测量参数、第一测量结果、以及业务场景等信息。
下面将具体描述上述方法步骤:
(1)选取具有稳定且可测量电子元器件的工作状态作为测量内容,该测量内容与该电子元器件的制程工艺和集成工作场景密切耦合,任何改动均会引起测量内容雪崩式改变。SRAM(Static Random-Access Memory,静态随机存取存储器) PUF是提供可测量、可区分、抗克隆物理特性的可行方案,在实施过程中,可把SRAM作为备选电子元器件,测量单元为对其完成物理特性测量和返回测量结果的特定通能模块,其可配置测量频率和测量起始点等参数。
(2)设置专门的测量单元,并采用旁路式测量电子元器件的工作状态,并根据第一目标测量参数输出第一测量结果。选择SRAM工作电平作为测量内容,第一测量结果返回后,可采用加密算法或单向函数进一步增加结果随机性。
(3)第一测量结果可以用于生成设备的第一身份标识,也可以用于被身份鉴别所需提供的凭证;输出的第一测量结果还可以包含测量参数、测量结果、以及业务场景等信息。可以采用乘积结构或嵌套形式保障第一身份标识的随机性。
在一个实施例中,上述根据第一测量结果生成第一身份标识,包括:根据第一目标测量参数以及第一测量结果生成第一身份标识;其中,认证方根据第一身份标识对被认证方进行身份认证,包括:认证方根据第一身份标识对被认证方的设备身份进行身份认证。
该实施例中,可以是对被认证方的设备身份进行身份认证。根据第一目标测量参数以及第一测量结果生成第一身份标识。可以是,获取单向函数,单向函数中包含第一目标测量参数以及第一测量结果的自变量,单向函数的因变量为第一身份标识。根据单向函数和第一目标测量参数以及第一测量结果生成第一身份标识。
例如,被认证方为设备,设备选择所使用的单向函数和被请求验证所需的测试参数格式。结合图6所示,以单向函数为离散对数函数为例,单向函数为
Figure 521587DEST_PATH_IMAGE036
。其中,V表示第一身份标识;g与N为分别为指定的第一目标测量参数,在身份认证时,可以由认证方提供,U为第一测量结果。
根据第一目标测量参数进行物理特性测量,得到第一测量结果。第一测量结果可以是信息表示序列,并基于该信息表示序列使用单向函数生成设备的第一身份标识。以PUF(物理不可克隆技术)生成第一身份标识为例,通过把测量参数数值化为g与N,进而得到第一身份标识
Figure 427226DEST_PATH_IMAGE036
在一个实施例中,上述根据第一测量结果生成第一身份标识,包括:根据第一目标测量参数、被认证方的用户身份信息以及第一测量结果生成第一身份标识;其中,上述认证方根据第一身份标识对被认证方进行身份认证,包括:认证方根据第一身份标识对被认证方的用户身份进行身份认证。
该实施例中,可以是对被认证方的用户身份进行身份认证。根据第一目标测量参数、被认证方的用户身份信息以及第一测量结果生成第一身份标识。可以是,获取单向函数,单向函数中包含被认证方的用户身份信息、第一目标测量参数以及第一测量结果的自变量,单向函数的因变量为第一身份标识。根据单向函数和被认证方的用户身份信息、第一目标测量参数以及第一测量结果生成第一身份标识。
例如,被认证方为用户身份信息,选择所使用的单向函数和被请求验证所需的测试参数格式。结合图7所示,以单向函数为离散对数函数为例,单向函数为
Figure 929882DEST_PATH_IMAGE037
。其中,V1表示第一身份标识;g与N为分别为指定的第一目标测量参数,在身份认证时,可以由认证方提供,U为第一测量结果。
用户向设备完成注册,并由注册内容生成所需测量参数,得到用户在该设备上的身份标识码NC。其中,身份标识码NC为根据用户注册提供的内容生成相应的测量参数。身份标识码NC包含用户的注册用户名以及反映用于身份的口令等信息。用户可以向本地设备申请注册,也可通过网络向其它设备完成注册。
设备根据第一目标测量参数完成物理特性测量并生成信息表示序列,信息表示序列为第一测量结果的其中一个表示方式,并基于该信息表示序列和上述身份标识码NC,使用单向函数生成第一身份标识。可以PUF生成第一身份标识,通过把第一目标测量参数数值化为g与N,按照乘积方式包含用户的身份标识码NC,进而得到第一身份标识
Figure 579170DEST_PATH_IMAGE038
,V表示第一身份标识。
在一个实施例中,上述广播第一测量参数结构的步骤包括:设定时间内未接收到身份认证请求时,广播第一测量参数结构。
该实施例中,被认证方设定时间内未接收到身份认证请求,被认证方则主动请求对被认证方进行身份认证。其中身份认证请求用于请求对被认证方进行身份认证。
例如,主动的身份认证包括发起方A和鉴别方B,发起方A为被认证方,鉴别方B为认证方。结合图8所示,发起方A选择所使用的单向函数和被请求验证所需的第一测量参数结构;以单向函数离散对数为例,第一身份标识为
Figure 975516DEST_PATH_IMAGE039
, 其中,g与N为测量参数。发起方A设定周期T,若在T周期内无外部业务请求或身份认证请求,则主动以广播报文形式发送物理特性测量的第一测量参数结构。以PUF生成身份标识,发送的第一身份标识
Figure 52056DEST_PATH_IMAGE039
。鉴别方B设定存储时长参数M,若鉴别方B收到发起方A发来的包含测量参数的数据报文,解析并缓存该数据报文。若在存储期间M内收到相同数据报文,则丢弃新收到数据报文,记录存储报文存储时长的计时器归零;若超过存储周期M未收到新的广播数据报文,清空该报文数据。周期M越长其安全性将会降低,因此,一般应设置为平均业务到达间隔的1-2倍为宜。鉴别方B在存储发起方A的第一测量参数结构数据期间,根据需要,鉴别方B可通过向发起方A发送身份认证请求以对发起方A完成身份认证。可行的认证过程如下:发起方A发送身份证明凭据
Figure 838747DEST_PATH_IMAGE040
Figure 26145DEST_PATH_IMAGE041
。其中,
Figure 152364DEST_PATH_IMAGE042
为随机生成的证据,T为随机验证自变量;鉴别方B计算
Figure 665385DEST_PATH_IMAGE043
Figure 1689DEST_PATH_IMAGE044
。若v1=v2,则说明发起方A为基于PUF的可信方;否则,发起方A的身份认证失败。
本申请还提供一种去中心化的身份认证方法,应用于认证方。在一个实施例中,如图9所示,一种去中心化的身份认证方法包括以下步骤:
S902,接收被认证方广播的第二测量参数结构。
本实施例中,认证方和被认证方均为上述实施例所提到的身份认证相对应的两方。认证方除了执行本实施例中提到的各个操作步骤之外,还可执行上述任一实施例所提到的认证方执行的各操作步骤。被认证方除了执行本实施例中提到的各个操作步骤之外,还可执行上述任一实施例所提到的被认证方执行的各操作步骤。
本实施例中,被认证方请求认证方对被认证方进行身份认证时,被认证方广播其第二测量参数结构。其中,第二测量参数结构和第一测量参数结构为同一格式的测量参数结构。第二测量参数结构和第一测量参数结构可以指代相同,也可以指代不相同。当图2所示实施例中的被认证方与本实施例的被认证方为同一对象时,第二测量参数结构和第一测量参数结构相同。当图2所示实施例中的被认证方与本实施例的被认证方为不同对象但均具备被认证属性时,第二测量参数结构和第一测量参数结构不相同。例如,图2所示实施例中的被认证方为图1所示的终端设备1,本实施例的被认证方为图1所示的终端设备3,此时第二测量参数结构和第一测量参数结构不相同。
其中,认证方可以是图1中的除被认证方对应的终端设备以外的任一终端设备。如,被认证方对应图1中的终端设备4,认证方可以是图1中的终端设备5。
S904,根据第二测量参数结构确定第二目标测量参数,向被认证方发送第二目标测量参数。
本实施例中,认证方根据第二测量参数结构确定第二目标测量参数。其中,第二目标测量参数与第二测量参数结构相对应。第二目标测量参数可以与第一目标测量参数指代相同,也可以指代不相同。第二目标测量参数的确定方式可与第一目标测量参数的确定方式相同。具体参见上述步骤S204。
S906,接收被认证方返回的第三身份标识,被认证方根据第二目标测量参数进行物理特性测量,得到第二测量结果,并根据第二测量结果生成第三身份标识。
本实施例中,被认证方根据第二目标测量参数进行物理特性测量,得到第二测量结果。第二测量结果与第一测量结果均表示物理特性测量后得到的测量结果。第一测量结果基于第一目标测量结果进行物理特性测量得到,第二测量结果基于第二目标测量结果进行物理特性测量得到。被认证方基于第二测量结果生成第三身份标识。第三身份标识与第一身份标识均用于标识被认证方的身份,两者可相同或者不相同。
S908,根据第三身份标识对被认证方进行身份认证。
本实施例中,认证方根据第三身份标识对被认证方进行身份认证。可以是,认证方根据第二测量参数结构确定第二目标测量参数时,确定出第二目标测量参数对应的身份信息。当接收到被认证方发送的第三身份标识时,将第三身份标识与上述对应的身份信息进行匹配。若匹配成功,则被认证方的身份认证成功,即认定被认证方的身份的合法性。反之,被认证方的身份认证失败。
综上,第三身份标识根据被认证方的物理特性测量的第二测量结果生成。需要指出的是,被认证方在进行物理特性测量时,参照的第二目标测量参数由认证方指定,第二目标测量参数具备一定的随机性。此外,被认证方的物理特性测量依赖于被认证方的物理特性,具备一定的客观性。第二目标测量参数的随机性以及被认证方的物理特性的客观性,使得生成的第三身份标识不受任何主观的攻击者操控,保证了第三身份标识的认证可信性,不需要任何第三方权威机构的背书,进而确保身份认证的去中心特性。
在一个实施例中,上述根据第三身份标识对被认证方进行身份认证的步骤之前,还包括:接收被认证方广播的第四身份标识;根据第四身份标识识别出第二身份认证规则。上述根据第三身份标识对被认证方进行身份认证的步骤,还包括:根据第二身份认证规则和第三身份标识对被认证方进行身份认证。
该实施例中,被认证方广播第二测量参数结构之外,还广播第四身份标识。第四身份标识为被认证方预先配置得到。第四身份标识可以根据第二测量参数结构生成,如根据第二测量参数结构中随机的测量参数计算得到。其中,第四身份标识和第三身份标识可以相同,也可以不相同。两者的区别在于:第二身份标识为被认证方预先配置的用于标识出被认证方身份的信息。第三身份标识为认证方指定出第二目标测量参数后,被认证方根据第二目标测量参数进行物理特性测量后基于测量结果生成。第二身份认证规则与第一身份认证规则均用于对认证方发送的身份标识进行身份认证,第二身份认证规则与第一身份认证规则可以指代同一身份认证规则,也可以指代不同的身份认证规则。
虽然被认证方向认证方发送第四身份标识,以标识出被认证方的身份。认证方需对认证方的身份进行核实认证。具体地,认证方获取第四身份标识对应的第二身份认证规则,采用该第二身份认证规则对认证方的第三身份标识进行身份认证。因此,可提高对被认证方的身份认证的准确度。
在一个实施例中,接收被认证方广播的第二测量参数结构的步骤之前,还包括:识别到未存储被认证方的第二测量参数结构时,向所述被认证方发送身份认证请求,以使得被认证方广播第二测量参数结构。
该实施例中,认证方主动对被认证方进行身份认证,即被认证方被动身份认证。例如,被认证方C和认证方D。认证方D主动对被认证方C进行身份认证。具体地,被认证方C选择所使用的单向函数和被请求身份认证所需的第二测量参数结构以及单向函数,单向函数包括离散对数、椭圆曲线、以及背包问题等。根据需要,认证方D检查是否保存被认证方C的第二测量参数结构;若认证方D未存储有效的被认证方C的第二测量参数结构,则认证方D向被认证方C发送身份认证请求。被认证方C收到认证方D发来的身份认证请求后,被认证方C以广播报文形式向认证方D发送物理特性测量的第二测量参数结构。以综合使用SRAM PUF和离散对数为例,第二测量参数结构包括测量的起始位置、测量序列长度等信息,可以向认证方D出示合法参数样式协助认证方D完成后续第二目标测量参数选择和发送。认证方D设定存储时长参数M,若认证方D收到主动被认证方C发来的包含第二测量参数结构的数据报文,解析并缓存该数据报文。若在存储期间M内收到相同数据报文,则丢弃新收到数据报文,记录存储报文存储时长的计时器归零;若超过存储周期M未收到新的广播数据报文,清空该数据报文。以使用离散对数生成身份标识为例,被认证方C根据接收的第二目标测量参数,更新身份标识模组计算参数g和N;完成物理特性测量后,被认证方C向认证方D发送身份证明凭据
Figure 258358DEST_PATH_IMAGE045
Figure 35821DEST_PATH_IMAGE046
,其中,
Figure 454164DEST_PATH_IMAGE047
为随机生成的证据,T为随机验证自变量。根据需要,认证方D可通过向被认证方C发送身份认证请求以对被认证方C完成身份认证。认证方D收到被认证方C发来的证明凭证计算
Figure 887550DEST_PATH_IMAGE048
Figure 947910DEST_PATH_IMAGE049
。若v1=v2,则说明被认证方C为基于PUF的可信方;否则,被认证方C身份认证失败。
需要说明的是,本申请的一种去中心化的身份认证方法,依赖于被认证方的物理特性的可测量性以及物理特性的唯一性。结合图10和图11所示,本申请依赖被认证方(如电子器件)所具有可测量且特征唯一的物理特性、测量技术和交互机制的终端(或用户)的身份标识。其中,图11中的U1、U2、U3、U4、U5、U6、U7分别表示不同的认证方,UV1、UV2、UV3、UV4、UV5、UV6、UV7、UV8、UV9、UV10、UV11分别表示认证方中不同的独立访客单元。该去中心化的身份认证方法是一种去中心的信息安全保障机制,是对传统公钥基础设施(PKI)中利用CA证书和数字签名机制进行身份认证方法的有益补充,能够摆脱对可信第三方(证书中心)的依赖,能够更好地适应分布式、大规模、资源受限的数字技术场景。
应该理解的是,虽然流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,附图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
本申请还提供一种去中心化的身份认证装置,应用于被认证方,如图12所示,一种去中心化的身份认证装置包括获取模块1202、第一接收模块1204、测量模块1206、生成模块1208以及第一发送模块1210。获取模块1202,用于获取被认证方的第一测量参数结构并广播第一测量参数结构;第一接收模块1204,用于接收认证方发送的第一目标测量参数,其中认证方接收第一测量参数结构并根据第一测量参数结构确定第一目标测量参数;测量模块1206,用于根据第一目标测量参数进行物理特性测量,测量后得到第一测量结果;生成模块1208,用于根据第一测量结果生成第一身份标识;第一发送模块1210,用于将第一身份标识发送到认证方,以使得认证方根据第一身份标识对被认证方进行身份认证。
本申请还提供一种去中心化的身份认证装置,应用于认证方,如图13所示,一种去中心化的身份认证装置包括第二接收模块1302、第二发送模块1304、第三接收模块1306以及认证模块1308。第二接收模块1302,用于接收被认证方广播的第二测量参数结构;第二发送模块1304,用于根据第二测量参数结构确定第二目标测量参数,向被认证方发送第二目标测量参数;第三接收模块1306,用于接收被认证方返回的第三身份标识,被认证方根据第二目标测量参数进行物理特性测量,得到第二测量结果,并根据第二测量结果生成第三身份标识;认证模块1308,用于根据第三身份标识对被认证方进行身份认证。
关于一种去中心化的身份认证装置的具体限定可以参见上文中对于一种去中心化的身份认证方法的限定,在此不再赘述。上述一种去中心化的身份认证装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是设备,如图1所述的终端设备,其内部结构图可以如图14所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部设备连接,以接收外部设备输入信息。该计算机程序被处理器执行时以实现上述任一实施例所述的一种去中心化的身份认证方法。
本领域技术人员可以理解,图14中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述任一实施例所述的一种去中心化的身份认证方法。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述任一实施例所述的一种去中心化的身份认证方法。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink) DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (14)

1.一种去中心化的身份认证方法,应用于被认证方,所述方法包括:
获取所述被认证方的第一测量参数结构并广播所述第一测量参数结构;
接收认证方发送的第一目标测量参数,其中所述认证方接收所述第一测量参数结构并根据所述第一测量参数结构确定所述第一目标测量参数;
根据所述第一目标测量参数进行物理特性测量,测量后得到第一测量结果;
根据所述第一测量结果生成第一身份标识;
将所述第一身份标识发送到所述认证方,以使得所述认证方根据所述第一身份标识对所述被认证方进行身份认证;
其中,所述第一测量参数结构中包含多个测量参数,所述第一目标测量参数为所述多个测量参数中任一测量参数,或,所述第一目标测量参数为多个,多个第一目标测量参数为所述多个测量参数中任意多个测量参数;
当所述第一目标测量参数为一个时,所述第一测量结果包含静态特征信息,所述静态特征信息为根据所述第一目标测量参数进行物理特性测量时得到的结果信息;
当所述第一目标测量参数为多个且多个第一目标测量参数构成参数序列时,所述第一测量结果包含时序特征信息,所述时序特征信息中包含多个所述静态特征信息。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取所述被认证方的第二身份标识并广播所述第二身份标识;
其中所述认证方接收所述第二身份标识并根据所述第二身份标识识别出第一身份认证规则,并根据所述第一身份认证规则和所述第一身份标识对所述被认证方进行身份认证。
3.根据权利要求1所述的方法,其特征在于,当所述第一目标测量参数为一个时,所述根据所述第一目标测量参数进行物理特性测量,得到第一测量结果,包括:
根据所述第一测量参数结构确定所述第一测量结果的状态类别的数量;
根据所述状态类别的数量确定二进制的长度;
根据所述第一目标测量参数进行物理特性测量,得到所述第一测量结果的状态;
根据所述二进制的长度采用所述二进制表示所述第一测量结果的状态,状态表示后得到所述第一测量结果;
当所述第一目标测量参数为多个且多个第一目标测量参数构成参数序列时,所述根据所述第一目标测量参数进行物理特性测量,得到第一测量结果,包括:
根据所述第一测量参数结构确定所述第一测量结果的状态类别的数量;
根据所述状态类别的数量确定二进制的长度;
根据所述第一目标测量参数进行物理特性测量,得到所述第一测量结果的状态;
根据所述二进制的长度采用所述二进制表示所述第一测量结果的状态,状态表示后得到表示信息;
在所述表示信息中插入二进制序列,插入操作结束后得到所述第一测量结果。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取待选测量参数以及待选测量内容;
根据待选测量参数以及待选测量内容构建测量样本,所述测量样本中包含一个或多个所述待选测量参数以及一个或多个所述待选测量内容;
根据所述测量样本进行物理特性测量,测量后得到样本结果;
若所述样本结果的稳定性和/或随机性满足设定条件,则将所述待选测量参数作为所述第一测量参数结构中的测量参数以及将所述待选测量内容作为所述第一测量参数结构中的测量内容,所述测量内容表示所述物理特性测量的测量对象。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
根据所述待选测量参数以及所述待选测量内容构建测量序列,所述测量序列中包含一个或多个所述待选测量参数以及一个或多个所述待选测量内容;
所述根据待选测量参数以及待选测量内容构建测量样本,包括:根据所述测量序列构建一个或多个所述测量样本。
6.根据权利要求5所述的方法,其特征在于,所述测量样本为多个,所述样本结果为多个,所述方法还包括:
根据多个所述样本结果调整所述测量序列的长度;
根据调整后的所述测量序列更新多个测量样本;
根据更新后的所述多个测量样本进行物理特性测量,得到更新后的样本结果;
根据更新后的样本结果识别是否将所述待选测量参数作为所述第一测量参数结构中的测量参数以及将所述待选测量内容作为所述第一测量参数结构中的测量内容。
7.根据权利要求1所述的方法,其特征在于,所述根据所述第一测量结果生成第一身份标识,包括:根据所述第一目标测量参数以及所述第一测量结果生成所述第一身份标识;
其中,所述认证方根据所述第一身份标识对所述被认证方进行身份认证,包括:所述认证方根据所述第一身份标识对所述被认证方的设备身份进行身份认证。
8.根据权利要求1所述的方法,其特征在于,所述根据所述第一测量结果生成第一身份标识,包括:根据所述第一目标测量参数、所述被认证方的用户身份信息以及所述第一测量结果生成所述第一身份标识;
其中,所述认证方根据所述第一身份标识对所述被认证方进行身份认证,包括:所述认证方根据所述第一身份标识对所述被认证方的用户身份进行身份认证。
9.一种去中心化的身份认证方法,应用于认证方,所述方法包括:
接收被认证方广播的第二测量参数结构;
根据所述第二测量参数结构确定第二目标测量参数,向所述被认证方发送所述第二目标测量参数;
接收所述被认证方返回的第三身份标识,所述被认证方根据所述第二目标测量参数进行物理特性测量,得到第二测量结果,并根据所述第二测量结果生成所述第三身份标识;
根据所述第三身份标识对所述被认证方进行身份认证;
其中,所述第二测量参数结构中包含多个测量参数,所述第二目标测量参数为所述多个测量参数中任一测量参数,或,所述第二目标测量参数为多个,多个第二目标测量参数为所述多个测量参数中任意多个测量参数;
当所述第二目标测量参数为一个时,所述第二测量结果包含静态特征信息,所述静态特征信息为根据所述第二目标测量参数进行物理特性测量时得到的结果信息;
当所述第二目标测量参数为多个且多个第二目标测量参数构成参数序列时,所述第二测量结果包含时序特征信息,所述时序特征信息中包含多个所述静态特征信息。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
接收所述被认证方广播的第四身份标识;
根据所述第四身份标识识别出第二身份认证规则;
所述根据所述第三身份标识对所述被认证方进行身份认证,包括:
根据所述第二身份认证规则和所述第三身份标识对所述被认证方进行身份认证。
11.一种去中心化的身份认证装置,应用于被认证方,所述装置包括:
获取模块,用于获取所述被认证方的第一测量参数结构并广播所述第一测量参数结构;
第一接收模块,用于接收认证方发送的第一目标测量参数,其中所述认证方接收所述第一测量参数结构并根据所述第一测量参数结构确定所述第一目标测量参数;
测量模块,用于根据所述第一目标测量参数进行物理特性测量,测量后得到第一测量结果;
生成模块,用于根据所述第一测量结果生成第一身份标识;
第一发送模块,用于将所述第一身份标识发送到所述认证方,以使得所述认证方根据所述第一身份标识对所述被认证方进行身份认证;
其中,所述第一测量参数结构中包含多个测量参数,所述第一目标测量参数为所述多个测量参数中任一测量参数,或,所述第一目标测量参数为多个,多个第一目标测量参数为所述多个测量参数中任意多个测量参数;
当所述第一目标测量参数为一个时,所述第一测量结果包含静态特征信息,所述静态特征信息为根据所述第一目标测量参数进行物理特性测量时得到的结果信息;
当所述第一目标测量参数为多个且多个第一目标测量参数构成参数序列时,所述第一测量结果包含时序特征信息,所述时序特征信息中包含多个所述静态特征信息。
12.一种去中心化的身份认证装置,应用于认证方,所述装置包括:
第二接收模块,用于接收被认证方广播的第二测量参数结构;
第二发送模块,用于根据所述第二测量参数结构确定第二目标测量参数,向所述被认证方发送所述第二目标测量参数;
第三接收模块,用于接收所述被认证方返回的第三身份标识,所述被认证方根据所述第二目标测量参数进行物理特性测量,得到第二测量结果,并根据所述第二测量结果生成所述第三身份标识;
认证模块,用于根据所述第三身份标识对所述被认证方进行身份认证;
其中,所述第二测量参数结构中包含多个测量参数,所述第二目标测量参数为所述多个测量参数中任一测量参数,或,所述第二目标测量参数为多个,多个第二目标测量参数为所述多个测量参数中任意多个测量参数;
当所述第二目标测量参数为一个时,所述第二测量结果包含静态特征信息,所述静态特征信息为根据所述第二目标测量参数进行物理特性测量时得到的结果信息;
当所述第二目标测量参数为多个且多个第二目标测量参数构成参数序列时,所述第二测量结果包含时序特征信息,所述时序特征信息中包含多个所述静态特征信息。
13.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述方法的步骤,或,所述处理器执行所述计算机程序时实现权利要求9至10中任一项所述方法的步骤。
14.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8中任一项所述方法的步骤,或,所述计算机程序被处理器执行时实现权利要求9至10中任一项所述方法的步骤。
CN202210541803.2A 2022-05-19 2022-05-19 去中心化的身份认证方法、装置、计算机设备及存储介质 Active CN114640475B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210541803.2A CN114640475B (zh) 2022-05-19 2022-05-19 去中心化的身份认证方法、装置、计算机设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210541803.2A CN114640475B (zh) 2022-05-19 2022-05-19 去中心化的身份认证方法、装置、计算机设备及存储介质

Publications (2)

Publication Number Publication Date
CN114640475A CN114640475A (zh) 2022-06-17
CN114640475B true CN114640475B (zh) 2022-09-06

Family

ID=81953195

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210541803.2A Active CN114640475B (zh) 2022-05-19 2022-05-19 去中心化的身份认证方法、装置、计算机设备及存储介质

Country Status (1)

Country Link
CN (1) CN114640475B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102325131A (zh) * 2011-07-20 2012-01-18 北京邮电大学 无线传感器网络节点双向身份认证方法
CN109815657A (zh) * 2018-12-14 2019-05-28 深圳壹账通智能科技有限公司 一种基于联盟链的身份认证方法及终端设备
CN113010872A (zh) * 2021-04-09 2021-06-22 国网信息通信产业集团有限公司 一种身份认证方法、装置、计算机设备及存储介质

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA3002034A1 (en) * 2015-10-14 2017-04-20 Cambridge Blockchain, LLC Systems and methods for managing digital identities
CN106899410B (zh) * 2016-09-13 2019-06-25 中国移动通信有限公司研究院 一种设备身份认证的方法及装置
US10581615B2 (en) * 2016-09-18 2020-03-03 Cloudminds (Shenxhen) Robotics) Systems Co., Ltd. Blockchain-based identity authentication method, device, node and system
US10628566B2 (en) * 2017-11-20 2020-04-21 International Business Machines Corporation Authentication using delegated identities
CN111859347A (zh) * 2019-08-01 2020-10-30 创新先进技术有限公司 基于区块链的身份验证方法、装置及设备
CN110808998B (zh) * 2019-11-12 2022-05-17 上海华羿汽车系统集成有限公司 身份认证器的初始化、身份认证方法以及装置
CN113256278A (zh) * 2020-02-12 2021-08-13 梅特勒-托利多(常州)精密仪器有限公司 基于区块链的测量设备租赁方法及装置
CN111432374B (zh) * 2020-02-28 2023-09-15 深圳开源互联网安全技术有限公司 网联汽车网络节点身份认证方法、装置及可读存储介质
CN112351019B (zh) * 2020-10-29 2021-08-13 北京邮电大学 一种身份认证系统及方法
CN112383521A (zh) * 2020-11-02 2021-02-19 大连理工大学 一种分布式文件系统中节点身份认证方法
CN112953960B (zh) * 2021-03-10 2023-02-03 东软集团股份有限公司 一种区块链访问的身份认证方法、装置及设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102325131A (zh) * 2011-07-20 2012-01-18 北京邮电大学 无线传感器网络节点双向身份认证方法
CN109815657A (zh) * 2018-12-14 2019-05-28 深圳壹账通智能科技有限公司 一种基于联盟链的身份认证方法及终端设备
CN113010872A (zh) * 2021-04-09 2021-06-22 国网信息通信产业集团有限公司 一种身份认证方法、装置、计算机设备及存储介质

Also Published As

Publication number Publication date
CN114640475A (zh) 2022-06-17

Similar Documents

Publication Publication Date Title
JP7109569B2 (ja) デジタル証明書の検証方法並びにその、装置、コンピュータ機器並びにコンピュータプログラム
US9306942B1 (en) Agile OTP generation
EP3130104B1 (en) System and method for sequential data signatures
CN111010367B (zh) 数据存证方法、装置、计算机设备和存储介质
US8539249B2 (en) System and method for security authentication using biometric authentication technique
CN111541551B (zh) 门限签名消息的处理方法、系统、存储介质及服务器
US11831778B2 (en) zkMFA: zero-knowledge based multi-factor authentication system
CN112291062B (zh) 一种基于区块链的投票方法及装置
CN113301114A (zh) 区块链共识节点选择方法、装置、计算机设备和存储介质
CN110719167B (zh) 一种基于区块链的带时效性的签密方法
US11101989B2 (en) Trusted ring
CN115277010A (zh) 身份认证方法、系统、计算机设备和存储介质
CN115515127A (zh) 一种基于区块链的车联网通讯隐私保护方法
CN116707983A (zh) 授权认证方法及装置、接入认证方法及装置、设备、介质
CN114640475B (zh) 去中心化的身份认证方法、装置、计算机设备及存储介质
CN111353780A (zh) 授权验证方法、装置及存储介质
CN114422106B (zh) 一种多服务器环境下的物联网系统安全认证方法及系统
CN113395281B (zh) 可验证声明的验证方法、装置和电子设备
CN112277881B (zh) 一种身份认证方法及装置、车辆、用户设备
Liu et al. A Novel Privacy-preserving User Authentication Protocol for Big Data Environment
Jiang et al. Biometric-based two-factor authentication scheme under database leakage
US20220385465A1 (en) Recovering public keys
EP3809626A1 (en) Method for controlling validity of an attribute
CN112925543A (zh) 一种密码芯片嵌入式应用升级方法及装置
CN117811738A (zh) 一种网络中授权证书生成、认证的方法和设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant