基于强PUF的轻量级自更新消息认证方法技术

一种面向物联网系统的基于强PUF的轻量级自更新消息认证方法，基于预协商双方均拥有一个强PUF，并根据预置的基本系统参数进行预协商以生成初始共享密钥，认证请求方使用初始密钥和基本系统参数生成消息认证码，并将网络数据消息及其消息认证码发送至认证方，以供其使用初始密钥和基本系统参数对消息认证码进行验证。本发明专利技术在仅需预先共享少量数据的情况下，能基于强PUF实现网络数据包的快速认证，以及双方共享密钥的动态更新。对任意攻击者，强PUF的引入使该攻击者即便能通过读取设备存储器内容、分析和复制硬件实现电路等手段，获取了当前终端设备中的密钥，但仍难以伪造合法的消息认证码。消息认证码。消息认证码。

【技术实现步骤摘要】
基于强PUF的轻量级自更新消息认证方法


[0001]本专利技术涉及的是一种信息安全领域的消息认证与密钥更新技术，具体是一种基于物理不可克隆函数(Physically Unclonable Function，PUF)的轻量级自更新消息认证方法，该方法尤其适用于物联网这类资源受限平台中的网络数据认证。

技术介绍

[0002]消息认证码(Message Authentication Code，MAC)技术被广泛用于各类信息系统与产品中，可用于校验通信数据的完整性和验证数据来源的可靠性。这一技术要求双方设备能共享并秘密存储一对称密钥，以计算或验证一条网络数据对应的消息认证码(tag)。
[0003]现有消息认证方案的构造可基于哈希函数(Hash)或分组密码，如HMAC与CBC
‑
MAC。在物联网等系统中，终端设备面临着被入侵与拆解的风险，传统技术在应用时面临的挑战包括：1)算法密钥等敏感数据需安全存储，例如存放在只可一次编程的非易失内存(One Time Progammable NVM，OTP NVM)中。但此时攻击者可逆向与调试设备的其余电路，从而在本地的模拟环境中运行被攻击设备内的MAC算法，进而也能生成合法的算法数据如消息认证码等。2)在应用时需考虑设备密钥的动态更新问题，因为能量侧信道分析等攻击可通过电磁探头等装置采集设备运行时泄露的电磁信息，并使用模板攻击等技术恢复设备内的长期密钥。
[0004]PUF是一种具有信号映射功能的硬件实体，能将激励信号唯一且随机地映射到响应信号，其映射功能的随机性来源于制造工艺与生产环境的随机物理偏差和波动，如上电初始值、光线强度、温度波动等。因此，各个PUF实例之间将互不相同且无法复制。当制作流程结束后，硬件设备的电气特征等参数将与其装载的PUF融为一体，激励响应对(Challenge Response Pair，CRP)可唯一标识一个PUF实例及其所在的设备。根据PUF拥有CRP数量多少可分为强PUF与弱PUF，强PUF的特点主要包括：CRP数量远多于生产环境所需(如2
100
)、响应的随机性强且稳定性好、响应的生成速度快等。
[0005]而现有基于强PUF设计的物联网技术方案的缺陷在于：1)通信双方需预先共享并安全存储大量的PUF CRP，对终端设备的存储环境与带宽要求较高；2)某些方案仅支持单方PUF设备的签密和验证，应用局限性较大；3)利用机器学习等技术可实现对强PUF的建模。

技术实现思路

[0006]本专利技术针对现有认证过程的安全性依赖于所存储的安全认证条目，且安全认证条目直接包含了PUF响应。一旦攻击者能获得服务器的存储资源，将能直接假冒服务器进行认证与通信。此时，攻击者还能通过收集大量资源受限设备的PUF响应来对PUF设备进行建模导致安全性不足的问题，提出一种面向物联网系统的基于强PUF的轻量级自更新消息认证方法，两物联网终端在仅需预先共享少量数据的情况下，能基于强PUF实现网络数据包的快速认证，以及双方共享密钥的动态更新。对任意攻击者，强PUF的引入使该攻击者即便能通过读取设备存储器内容、分析和复制硬件实现电路等手段，获取了当前终端设备中的密钥，
但仍难以伪造合法的消息认证码。
[0007]本专利技术是通过以下技术方案实现的：
[0008]本专利技术涉及一种基于强PUF的轻量级自更新消息认证方法，基于预协商双方均拥有一个强PUF，并根据预置的基本系统参数进行预协商以生成初始共享密钥，认证请求方使用初始密钥和基本系统参数生成消息认证码，并将网络数据消息及其消息认证码发送至认证方，以供其使用初始密钥和基本系统参数对消息认证码进行验证。
[0009]所述的预协商双方是指拥有安全离线信道和不安全在线信道的两物联网终端设备A、B；两设备在出厂时已分别装载了一个强PUF实例puf
A
，puf
B
，其中预协商是指在系统初始化部署时，A、B在安全离线信道内根据强PUF和基本系统参数协商得到初始的共享密钥。
[0010]所述的基本系统参数包括：网络数据包的消息认证码长度n，设备中预置的哈希函数H和一任选的初始向量IV∈{0，1}
*
以提供网络的初始状态。
[0011]所述的哈希函数是指：满足密码学安全的哈希函数，具体为所述的哈希函数是指：满足密码学安全的哈希函数，具体为其中：M表示任意长的网络数据，t为M对应的哈希值，表示网络数据的校验值。
[0012]所述的密码学安全是指如下需求：
[0013]1)单向性：对于易于计算t＝H(M)；对于不存在多项式时间算法能找到M使得H(M)＝t；
[0014]2)抗弱碰撞性：给定(M，t＝H(M))∈{0，1}
*
×
{0，1}
n
，不存在多项式时间算法能找到一个M
*
≠M使得H(M
*
)＝t；
[0015]所述的初始共享密钥，通过双方设备先在本地分别根据初始向量IV计算C0＝H(IV)并生成各自的响应R
A
＝H(puf
A
(C0))，R
B
＝H(puf
B
(C0))后相互交换响应后，双方各自在本地计算并存储初始共享密钥K0＝(C0，T0)，其中：)，其中：为按位异或运算。
[0016]所述的网络数据的消息认证码通过以下方式得到：认证请求方A根据强PUF的可靠性重新生成本地响应R
A
＝H(puf
A
(C0))，并计算认证方响应以及认证请求激励C
A
＝H(M||R
A
)后，根据强PUF的独一性和单向性生成响应更新R
′
A
＝H(puf
A
(C
A
))和消息认证码tag＝(t，σ)，其中：M为网络中的报文数据，数据的认证哈希值码tag＝(t，σ)，其中：M为网络中的报文数据，数据的认证哈希值||为比特串拼接操作。
[0017]所述的验证是指：认证方B根据根据强PUF的可靠性重新生成本地响应R
B
＝H(puf
B
(C0))，并计算认证请求方响应以及本地认证请求激励C
A
＝H(M||R
A
)后，计算得到认证请求方响应更新以及本地哈希值t
′
＝H(C
A
||R
A
)，当t
′
等于收到的消息认证码中的认证哈希值t时验证通过。
[0018]当需更换共享密钥时，双方设备可在当前网络环境中利用消息认证码的计算与验证方式重新协商出密钥，例如在不安全的在线信道中，认证双方基于消息认证算法本身的运算结构，利用强PUF、基本系统参数和已有密钥，即已存储的共享密钥K＝(C，T)计算消息认证算法的新密钥K
′
，具体为：
[0019]以A、B根据本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于强PUF的轻量级自更新消息认证方法，其特征在于，基于预协商双方均拥有一个强PUF，并根据预置的基本系统参数进行预协商以生成初始共享密钥，认证请求方使用初始密钥和基本系统参数生成消息认证码，并将消息及其消息认证码发送至认证方，以供其使用初始密钥和基本系统参数对消息认证码进行验证；所述的基本系统参数包括：哈希函数与强PUF的输出长度n，密码学安全的哈希函数H和一任选的初始激励C0∈{0，1}
n
；所述的哈希函数是指：满足密码学安全的哈希函数，具体为t＝H(M)∈{0，1}
n
，其中：M表示任意长消息，t为M对应的哈希值；所述的初始共享密钥，通过认证双方先在本地分别根据初始激励C0生成各自的响应R4＝puf
A
(C0)，R
B
＝puf
B
(C0)后相互交换响应后，双方各自在本地计算并存储初始共享密钥K0＝(C0，T0)，其中：)，其中：为按位异或运算；当需更换共享密钥时，双方设备可在当前网络环境中利用消息认证码的计算与验证方式重新协商出密钥，认证双方基于消息认证算法本身的运算结构，利用强PUF、基本系统参数和已有密钥，即已存储的共享密钥K＝(C，T)计算消息认证算法的新密钥K
′
。2.根据权利要求1所述的基于强PUF的轻量级自更新消息认证方法，其特征是，所述的消息认证码通过以下方式得到：认证请求方A根据强PUF的可靠性重新生成本地响应R
A
＝puf
A
(C0)，并计算认证方响应以及认证请求激励C
A
＝H(M||R
A
)后，根据强PUF的独一性和单向性生成响应更新R
′
A
＝H(puf
A
(C
A
))和消息认证码tag＝(t，σ)，其中：认证哈希值t＝H(C
A
||R
′
A
)，||为比特串拼接操作。3.根据权利要求1所述的基于强PUF的轻量级自更新消息认证方法，其特征是，所述的验证是指：认证方B根据根据强PUF的可靠性重新生成本地响应R
B
＝puf
B
(C0)，并计算认证请求方响应以及本地认证请求激励C
A
＝H(M||R
A
)后，计算得到认证请求方响应更新以及本地哈希值t
′
＝H(C
A
||R
′
A
...

【专利技术属性】
技术研发人员：张效林，谷大武，张驰，
申请(专利权)人：上海交通大学，
类型：发明
国别省市：