The invention discloses a device authentication and key distribution system based on physical non-clonal function, which includes server, HUB and terminal equipment; the method of the invention includes manual registration of all HUB and terminal equipment on server before network deployment; deployment of network equipment according to three-layer tree topology structure; identity authentication and key between devices. Distribution includes authentication and key distribution between server and HUB, and authentication and key distribution between HUB and terminal equipment. The invention is based on PUF, and can realize bidirectional authentication and key distribution among server, HUB and terminal equipment. Unlike the traditional key pre-storage and public key methods, the invention is based on PUF as authentication factor and key generator, which can not only prevent key leakage, but also reduce the computational complexity, and can be widely applied to resource-constrained low-energy Internet of Things devices.
【技术实现步骤摘要】
一种基于物理不可克隆函数的设备认证与密钥分发系统和方法
本专利技术属于轻量级密码协议和物联网信息安全
,具体涉及一种基于物理不可克隆函数的设备认证与密钥分发系统和方法。
技术介绍
针对资源受限设备,如何实现既安全又高效的认证与密钥分发,如何提出轻量级的密码协议,是目前亟待完善解决的关键技术问题,是物联网与大数据时代下个人隐私保护的重要实现手段。传统的基于公钥基础设施(PublicKeyInfrastructure,PKI)或数字证书技术的密钥分发体制,不适用于传感器、射频识别,RFID(RadioFrequencyIdentification,RFID)、可穿戴设备等资源受限设备。物理不可克隆函数(PhysicalUnclonableFunction,PUF)技术的出现与发展为轻量级密码协议的研究提供了崭新的思路,为解决上述关键问题提供全新的低成本和高安全性的解决方案。PUF是一种新兴的加密组件,能够提取集成电路内门电路或连接线(导线)间由于制造工艺的不一致性而引入的随机差异并利用这些随机差异以一定规则生成加密(响应)信号。物理对象中的随机差异可以理解成它的“指纹”,是该物理对象所特有的。基于PUF对轻量级密码协议展开研究,是从硬件底层出发,利用PUF芯片在极低的硬件资源成本下,轻量级地实现类似于量子密钥分发的安全性和防克隆性,并且不需要存储密钥,具有极高的性价比和应用前景。目前业界针对PUF的研究主要针对PUF的物理构造方法、纠错函数优化等方面,协议设计方面大部分针对简单的两方通信,而将PUF应用于层次化的复杂网络拓扑中的研究成果较少。
技术实现思路
...
【技术保护点】
1.一种基于物理不可克隆函数的设备认证与密钥分发系统,其特征在于,包括服务器、HUB、终端设备;所述服务器为认证中心和密钥分发中心,并向HUB与终端设备发送密文指令,网络中只有一个服务器;所述HUB负责终端设备的组网和管理,HUB被安装PUF芯片,与服务器和终端设备分别进行双向认证和密钥分配,网络中有若干个HUB,每个HUB管理若干终端设备;所述终端设备被安装PUF芯片,与HUB、服务器进行双向认证与密钥分配,能够解密服务器和HUB的密文控制指令,并向服务器和HUB发送密文数据,网络中有大量终端设备。
【技术特征摘要】
1.一种基于物理不可克隆函数的设备认证与密钥分发系统,其特征在于,包括服务器、HUB、终端设备;所述服务器为认证中心和密钥分发中心,并向HUB与终端设备发送密文指令,网络中只有一个服务器;所述HUB负责终端设备的组网和管理,HUB被安装PUF芯片,与服务器和终端设备分别进行双向认证和密钥分配,网络中有若干个HUB,每个HUB管理若干终端设备;所述终端设备被安装PUF芯片,与HUB、服务器进行双向认证与密钥分配,能够解密服务器和HUB的密文控制指令,并向服务器和HUB发送密文数据,网络中有大量终端设备。2.一种基于物理不可克隆函数的设备认证与密钥分发方法,其特征在于,包括以下步骤:步骤1:手工注册:在网络部署前,所有HUB和终端设备在服务器上进行手工注册;注册过的设备称为合法设备,未注册的设备称为非法设备;步骤2:网络部署:按三层树状拓扑结构部署网络设备;步骤3:认证与密钥分发:各设备之间进行身份认证与密钥分发;所述认证与密钥分发包括服务器与HUB间的认证与密钥分发和HUB与终端设备的认证与密钥分发。3.根据权利要求2所述的一种基于物理不可克隆函数的设备认证与密钥分发方法,其特征在于,步骤1所述手工注册包括以下步骤:(1)产生激励:服务器生成若干个随机数作为激励;(2)输入激励:服务器将若干激励输入HUB设备中的PUF芯片;服务器将若干激励输入终端设备中的PUF芯片;(3)生成响应:HUB设备中的PUF芯片根据输入的激励生成响应;终端设备中的PUF芯片根据输入的激励生成响应;(4)返回响应:HUB设备将生成的所述响应返回给服务器;终端设备将生成的所述响应返回给服务器;(5)存储CRP:服务器将HUB设备的CRP存储在本地;服务器将终端设备的CRP存储在本地;所述CRP为激励值与PUF芯片根据该激励生成的响应值组成的二元数组;CRP只存储在服务器中,不存储在HUB或终端设备中。4.根据权利要求2所述的一种基于物理不可克隆函数的设备认证与密钥分发方法,其特征在于,步骤2所述网络设备部署方法为:将一个服务器设为根节点;若干HUB设备设为二层节点,一个服务器管理若干HUB设备,且每个HUB设备管理若干终端设备;终端设备设为三层节点,一个HUB设备管理若干终端设备,终端设备与服务器不直接连接。5.根据权利要求2所述的一种基于物理不可克隆函数的设备认证与密钥分发方法,其特征在于,步骤3所述服务器与HUB间的认证与密钥分发为服务器与HUB设备之间进行双向身份认证,并由HUB设备生成会话密钥,将会话密钥通过加密方式发送给服务器;具体步骤为:(1)服务器在若干激励中随机选取一个激励,通过明文形式发送给HUB;(2)HUB收到激励后,利用PUF芯片,生成响应;同时随机生成一个会话密钥,作为HUB与服务器之间通信的对称密钥;HUB将会话密钥加密生成密文1,加密密钥是响应;HUB生成随机数1,加密生成密文2,加密密钥是会话密钥;(3)HUB将激励、随机数1、密文1、密文2和自身HUB标识符发送给服务器;(4)服务器在本地查找HUB的CRP,利用CRP中的响应作为解密密钥,对收到的密文1进行解密,得到明文1;若服务器本地存储的CRP,与HUB所生成的CRP是相同的,则明文1与会话密钥相等;服务器利用解密得到的明文1作为解密密钥,对收到的密文2进行解密,得到明文2;若明文1与会话密钥相等,则明文2与得到的随机数1相等;(5)服务...
【专利技术属性】
技术研发人员:柳亚男,郭雨晨,夏雨欣,戴泽坤,李晓蓉,
申请(专利权)人:金陵科技学院,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。