CN115941176A - 一种基于puf的双向认证及密钥协商方法 - Google Patents
一种基于puf的双向认证及密钥协商方法 Download PDFInfo
- Publication number
- CN115941176A CN115941176A CN202211557351.3A CN202211557351A CN115941176A CN 115941176 A CN115941176 A CN 115941176A CN 202211557351 A CN202211557351 A CN 202211557351A CN 115941176 A CN115941176 A CN 115941176A
- Authority
- CN
- China
- Prior art keywords
- puf
- authentication
- random number
- key
- ciphertext
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Abstract
本发明涉及一种基于PUF的双向认证及密钥协商方法,属于信息安全领域。本发明基于对称加密算法和PUF实现了认证设备与认证服务器的双向认证及密钥协商方法,在满足安全性的基础上,使用对称加密算法和PUF代替了公钥证书体系,减少了使用证书体系带来的计算开销,缩短了认证时间,并且使用PUF做到需要完成一次注册之后,便可以通过对物理指纹的认证合法接入网络。通过以上功能,本发明实现了轻量级双向认证协议,保证安全性的同时也减少了计算开销,具备配置灵活性。
Description
技术领域
本发明属于信息安全领域,具体涉及一种基于PUF的双向认证及密钥协商方法。
背景技术
物理不可克隆函数(Physical Unclonable Function,PUF)的概念最早在2002年提出,它是一种硬件安全技术,是在电子器件生产过程中所自然产生的不能被复现的物理变化,类似于人类的指纹,PUF可以利用内在的物理构造来对电子器件进行唯一标识。PUF的特点是“唯一性”和“不可预测性”,在电子器件的制造中,由于随机因素影响,在相同条件下制作出来的电子器件也不会在物理结构特性上完全一致。
PUF具有运算快、抗克隆和不可预测的特点,在认证领域具有很高的研究价值。基于PUF设计的身份认证协议通常需要对应设备利用PUF生成多个激励响应对,然后把上述验证数据和该设备的身份识别标识保存在认证服务器的安全数据库中,在进行认证时,设备首先将身份标识发送给认证服务器,之后认证服务器从数据库获取对应身份标识的激励并发送给设备,设备利用PUF输入激励获取响应,并发送给认证服务器,认证服务器进行比对,若与数据库中的响应一致则认证成功。
虽然目前已有多种可供使用的设备认证方案,可在一定程度上认证设备身份的真实性,但这些认证技术不能把设备的物理性质和身份标识强绑定,设备仍存在被假冒攻击的安全风险。目前已有几种技术可以构造独特的设备指纹,包括存储静态数据、设置传统安全芯片和PUF技术等方法。采用存储静态数据的方法时,一旦设备遭到入侵攻击,这些信息会直接暴露给攻击者,安全性较低;设置传统安全芯片存放数字证书,虽然能够有效防止假冒攻击,需要一个完整的证书分发及公私钥认证方案,存在部署复杂、不够灵活、开销较大等问题;使用PUF的方法构造不可克隆且不可篡改的物理指纹,设备仅需要完成一次注册之后,便可以通过对物理指纹的认证合法接入网络,不需要额外的管理方案,开销相对较小,具有灵活动态可配置的优点。因此本发明基于PUF技术进行身份认证。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是如何提供一种基于PUF的双向认证及密钥协商方法,以解决采用存储静态数据的方法时安全性较低;设置传统安全芯片存放数字证书存在部署复杂、不够灵活、开销较大等问题。
(二)技术方案
为了解决上述技术问题,本发明提出一种基于PUF的双向认证及密钥协商方法,该方法包括如下步骤:
S21、PUF认证设备将自身设备ID发送给认证服务器;
S22、认证服务器根据设备ID从数据库中进行查找,查看是否已注册,并查找对应的激励响应对{Ci,Ri}i∈N,从对应的激励响应对{Ci,Ri}i∈N里获取任意一对{C,R},生成随机数r1以及会话密钥sk,基于响应R生成加密密钥k,使用对称加密算法和加密密钥k对随机数r1以及会话密钥sk进行加密得到密文M1,并将密文M1以及激励C发送给PUF认证设备;
S23、PUF认证设备收到密文M1以及激励C后,将激励C输入PUF硬件得到响应R,基于响应R生成加密密钥k,使用对称加密算法对密文M1进行解密得到随机数r1以及会话密钥sk,并生成随机数r2,使用对称加密算法和会话密钥sk对随机数r1以及r2进行加密得到密文M2,将密文M2发送给认证服务器;
S24、认证服务器收到密文M2,使用对称加密算法和会话密钥sk对密文M2进行解密得到随机数r1以及r2,并比对随机数r1与自身存储的随机数是否一致,若一致,则使用对称加密算法和会话密钥sk将随机数r2进行加密得到密文M3,并将密文M3发送给PUF认证设备;
S25、PUF认证设备收到密文M3,使用对称加密算法和密钥sk解密密文M3,得到随机数r2,并比对此随机数与自身存储的随机数是否一致,若一致则双向认证成功。
进一步地,该方法可应用于安全云存储系统中。
进一步地,PUF认证设备具有PUF硬件,两者一一对应,PUF硬件用于生成激励响应对,并且输入激励获取对应的响应,且唯一地标识此设备。
进一步地,认证服务器具备加密数据库,用于安全存储多个PUF认证设备的激励响应对,用于对PUF认证设备进行认证和密钥协商,构建安全会话通路。
进一步地,所述步骤S2中,利用随机数生成器生成随机数r1以及会话密钥sk。
进一步地,所述步骤S2中,对响应R进行哈希运算生成加密密钥k。
进一步地,所述步骤S3中,对响应R进行哈希运算生成加密密钥k。
进一步地,所述步骤S21之前,还包括注册过程。
进一步地,所述注册过程包括:PUF认证设备生成N个随机数Ci,并分别将n个随机数Ci作为激励输入PUF得到n个响应Ri,获取n个激励响应对{Ci,Ri}i∈N并将自身身份标识ID与n个激励响应对{Ci,Ri}i∈N注册并安全存储到认证服务器的加密数据库中。
进一步地,PUF认证设备基于安全第三方设备将自身身份标识ID与n个激励响应对{Ci,Ri}i∈N注册并安全存储到认证服务器的加密数据库中。
(三)有益效果
本发明提出一种基于PUF的双向认证及密钥协商方法,本发明基于对称加密算法和PUF实现了认证设备与认证服务器的双向认证及密钥协商方法,在满足安全性的基础上,使用对称加密算法和PUF代替了公钥证书体系,减少了使用证书体系带来的计算开销,缩短了认证时间,并且使用PUF做到需要完成一次注册之后,便可以通过对物理指纹的认证合法接入网络。通过以上功能,本发明实现了轻量级双向认证协议,保证安全性的同时也减少了计算开销,具备配置灵活性。
与现有技术相比,本发明基于对称密码算法和PUF实现了认证设备与认证服务器的双向认证及密钥协商。认证设备利用PUF生成多对激励响应并注册保存在认证服务器的数据库中,之后利用激励响应对和对称加密算法与认证服务器进行双向认证,在保证安全性的基础上,减少了因使用公钥证书体系带来的计算损耗,具备灵活性,适用于物联网或安全云存储系统中。
附图说明
图1为本发明基于PUF的双向认证及密钥协商方法架构图;
图2为本发明基于PUF的双向认证及密钥协商方法流程图。
具体实施方式
为使本发明的目的、内容和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
本发明涉及网络安全领域,特别涉及一种基于物理不可克隆函数的身份认证方法。本发明主要目的是实现PUF认证设备的认证以及提升认证的安全性,基于PUF及对称密码算法实现PUF认证设备与认证服务器之间的双向认证以及会话密钥协商,构建安全会话通路,不仅保证了设备的身份真实性,满足了设备低开销的需求,而且还能抵抗物理克隆攻击、重放攻击、中间人攻击和欺骗攻击。
一种基于PUF的轻量级双向认证及密钥协商方法,该方法可应用于安全云存储系统中。如图1所示,该方法包括PUF认证设备及认证服务器。PUF认证设备具有PUF硬件,两者一一对应,可以做到生成激励响应对,并且输入激励可以获取对应的响应,可以唯一地标识此设备;认证服务器具备加密数据库,可以安全存储多个PUF认证设备的激励响应对,用于对PUF认证设备进行认证和密钥协商,构建安全会话通路。
PUF认证设备与认证服务器的交互包括注册与认证两个步骤。所述注册操作包括如下步骤,PUF认证设备生成N个随机数Ci,并分别将n个随机数Ci作为激励输入PUF硬件得到n个响应Ri,获取n个激励响应对{Ci,Ri}i∈N并基于安全第三方设备将自身身份标识ID与n个激励响应对{Ci,Ri}i∈N注册并安全存储到认证服务器的加密数据库中。
如图2所示,所述PUF认证设备和认证服务器的认证操作包括如下步骤:
S21、PUF认证设备将自身设备ID发送给认证服务器;
S22、认证服务器根据设备ID从数据库中进行查找,查看是否已注册,并查找对应的激励响应对{Ci,Ri}i∈N,从对应的激励响应对{Ci,Ri}i∈N里获取任意一对{C,R},利用随机数生成器生成随机数r1以及会话密钥sk,对响应R进行哈希运算生成加密密钥k,使用对称加密算法和加密密钥k对随机数r1以及会话密钥sk进行加密得到密文M1,并将密文M1以及激励C发送给PUF认证设备;
S23、PUF认证设备收到密文M1以及激励C后,将激励C输入PUF硬件得到响应R,并对响应R进行哈希运算生成加密密钥k,使用对称加密算法对密文M1进行解密得到随机数r1以及会话密钥sk,并生成随机数r2,使用对称加密算法和会话密钥sk对随机数r1以及r2进行加密得到密文M2,将密文M2发送给认证服务器;
S24、认证服务器收到密文M2,使用对称加密算法和会话密钥sk对密文M2进行解密得到随机数r1以及r2,并比对随机数r1与自身存储的随机数是否一致,若一致,则使用对称加密算法和会话密钥sk将随机数r2进行加密得到密文M3,并将密文M3发送给PUF认证设备;
S25、PUF认证设备收到密文M3,使用对称加密算法和密钥sk解密密文M3,得到随机数r2,并比对此随机数与自身存储的随机数是否一致,若一致则双向认证成功。
本发明基于对称加密算法和PUF实现了认证设备与认证服务器的双向认证及密钥协商方法,在满足安全性的基础上,使用对称加密算法和PUF代替了公钥证书体系,减少了使用证书体系带来的计算开销,缩短了认证时间,并且使用PUF做到需要完成一次注册之后,便可以通过对物理指纹的认证合法接入网络。通过以上功能,本发明实现了轻量级双向认证协议,保证安全性的同时也减少了计算开销,具备配置灵活性。
与现有技术相比,本发明基于对称密码算法和PUF实现了认证设备与认证服务器的双向认证及密钥协商。认证设备利用PUF生成多对激励响应并注册保存在认证服务器的数据库中,之后利用激励响应对和对称加密算法与认证服务器进行双向认证,在保证安全性的基础上,减少了因使用公钥证书体系带来的计算损耗,具备灵活性,适用于物联网或安全云存储系统中。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (10)
1.一种基于PUF的双向认证及密钥协商方法,其特征在于,该方法包括如下步骤:
S21、PUF认证设备将自身设备ID发送给认证服务器;
S22、认证服务器根据设备ID从数据库中进行查找,查看是否已注册,并查找对应的激励响应对{Ci,Ri}i∈N,从对应的激励响应对{Ci,Ri}i∈N里获取任意一对{C,R},生成随机数r1以及会话密钥sk,基于响应R生成加密密钥k,使用对称加密算法和加密密钥k对随机数r1以及会话密钥sk进行加密得到密文M1,并将密文M1以及激励C发送给PUF认证设备;
S23、PUF认证设备收到密文M1以及激励C后,将激励C输入PUF硬件得到响应R,基于响应R生成加密密钥k,使用对称加密算法对密文M1进行解密得到随机数r1以及会话密钥sk,并生成随机数r2,使用对称加密算法和会话密钥sk对随机数r1以及r2进行加密得到密文M2,将密文M2发送给认证服务器;
S24、认证服务器收到密文M2,使用对称加密算法和会话密钥sk对密文M2进行解密得到随机数r1以及r2,并比对随机数r1与自身存储的随机数是否一致,若一致,则使用对称加密算法和会话密钥sk将随机数r2进行加密得到密文M3,并将密文M3发送给PUF认证设备;
S25、PUF认证设备收到密文M3,使用对称加密算法和密钥sk解密密文M3,得到随机数r2,并比对此随机数与自身存储的随机数是否一致,若一致则双向认证成功。
2.如权利要求1所述的基于PUF的双向认证及密钥协商方法,其特征在于,该方法可应用于安全云存储系统中。
3.如权利要求1所述的基于PUF的双向认证及密钥协商方法,其特征在于,PUF认证设备具有PUF硬件,两者一一对应,PUF硬件用于生成激励响应对,并且输入激励获取对应的响应,且唯一地标识此设备。
4.如权利要求3所述的基于PUF的双向认证及密钥协商方法,其特征在于,认证服务器具备加密数据库,用于安全存储多个PUF认证设备的激励响应对,用于对PUF认证设备进行认证和密钥协商,构建安全会话通路。
5.如权利要求1所述的基于PUF的双向认证及密钥协商方法,其特征在于,所述步骤S2中,利用随机数生成器生成随机数r1以及会话密钥sk。
6.如权利要求5所述的基于PUF的双向认证及密钥协商方法,其特征在于,所述步骤S2中,对响应R进行哈希运算生成加密密钥k。
7.如权利要求6所述的基于PUF的双向认证及密钥协商方法,其特征在于,所述步骤S3中,对响应R进行哈希运算生成加密密钥k。
8.如权利要求1-7任一项所述的基于PUF的双向认证及密钥协商方法,其特征在于,所述步骤S21之前,还包括注册过程。
9.如权利要求8所述的基于PUF的双向认证及密钥协商方法,其特征在于,所述注册过程包括:PUF认证设备生成N个随机数Ci,并分别将n个随机数Ci作为激励输入PUF得到n个响应Ri,获取n个激励响应对{Ci,Ri}i∈N并将自身身份标识ID与n个激励响应对{Ci,Ri}i∈N注册并安全存储到认证服务器的加密数据库中。
10.如权利要求9所述的基于PUF的双向认证及密钥协商方法,其特征在于,PUF认证设备基于安全第三方设备将自身身份标识ID与n个激励响应对{Ci,Ri}i∈N注册并安全存储到认证服务器的加密数据库中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211557351.3A CN115941176A (zh) | 2022-12-06 | 2022-12-06 | 一种基于puf的双向认证及密钥协商方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211557351.3A CN115941176A (zh) | 2022-12-06 | 2022-12-06 | 一种基于puf的双向认证及密钥协商方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115941176A true CN115941176A (zh) | 2023-04-07 |
Family
ID=86652157
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211557351.3A Pending CN115941176A (zh) | 2022-12-06 | 2022-12-06 | 一种基于puf的双向认证及密钥协商方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115941176A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116996234A (zh) * | 2023-09-26 | 2023-11-03 | 北京数盾信息科技有限公司 | 一种终端接入认证网关的方法、终端及认证网关 |
-
2022
- 2022-12-06 CN CN202211557351.3A patent/CN115941176A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116996234A (zh) * | 2023-09-26 | 2023-11-03 | 北京数盾信息科技有限公司 | 一种终端接入认证网关的方法、终端及认证网关 |
CN116996234B (zh) * | 2023-09-26 | 2023-12-26 | 北京数盾信息科技有限公司 | 一种终端接入认证网关的方法、终端及认证网关 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111818039B (zh) | 物联网中基于puf的三因素匿名用户认证协议方法 | |
CN109040067B (zh) | 一种基于物理不可克隆技术puf的用户认证设备及认证方法 | |
US9887989B2 (en) | Protecting passwords and biometrics against back-end security breaches | |
ES2818199T3 (es) | Método de verificación de seguridad con base en una característica biométrica, un terminal de cliente y un servidor | |
CN103124269B (zh) | 云环境下基于动态口令与生物特征的双向身份认证方法 | |
CN108881222A (zh) | 基于pam架构的强身份认证系统及方法 | |
CN105721153A (zh) | 基于认证信息的密钥交换系统及方法 | |
CN108964897A (zh) | 基于群组通信的身份认证系统和方法 | |
CN111817850B (zh) | 一种基于工业物联网的匿名群组认证方法 | |
Hossain et al. | ICAS: Two-factor identity-concealed authentication scheme for remote-servers | |
Panchal et al. | Designing Secure and Efficient Biometric-Based Access Mechanism for Cloud Services | |
CN115941176A (zh) | 一种基于puf的双向认证及密钥协商方法 | |
Shah et al. | A multifactor authentication system using secret splitting in the perspective of Cloud of Things | |
CN111355588B (zh) | 一种基于puf与指纹特征的可穿戴设备双因子认证方法及系统 | |
CN116112242B (zh) | 面向电力调控系统的统一安全认证方法及系统 | |
Dharminder et al. | Construction of lightweight authentication scheme for network applicants using smart cards | |
CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
CN115632797A (zh) | 一种基于零知识证明的安全身份验证方法 | |
KR100986980B1 (ko) | 생체 인증 방법, 클라이언트 및 서버 | |
CN111682936B (zh) | 一种基于物理不可克隆函数的Kerberos鉴权方法 | |
CN111541708B (zh) | 一种基于电力配电的身份认证方法 | |
CN115114648A (zh) | 一种数据处理方法、装置及电子设备 | |
WO2020121459A1 (ja) | 認証システム、クライアントおよびサーバ | |
CN117896079B (zh) | 一种基于puf和可撤销生物特征的高效认证方法 | |
Peyravian et al. | Generating user-based cryptographic keys and random numbers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |