一种基于物理不可克隆硬件的标识认证方法及系统技术方案

本发明专利技术公开了一种基于物理不可克隆硬件的标识认证方法及系统，该方法包括：提取可信终端的响应序列；对响应序列进行散列处理，生成认证数据；其中，可信终端指配置有物理不可克隆硬件的终端设备，以及，针对可信终端予以物理屏蔽；响应序列至少包括物理不可克隆硬件的唯一标识与时间戳。本发明专利技术实施例中，对终端设备配置物理不可克隆硬件并予以物理屏蔽，杜绝侧信道攻击，进而采用时间戳与物理不可克隆硬件的唯一标识构造认证数据，在不降低入网效率与通信成本的前提下，大幅提高通信安全性，降低入网信任成本。降低入网信任成本。降低入网信任成本。

【技术实现步骤摘要】
一种基于物理不可克隆硬件的标识认证方法及系统


[0001]本专利技术涉及信息安全
，尤其涉及一种基于物理不可克隆硬件的标识认证方法及系统。

技术介绍

[0002]随着物联网的飞速发展，同一家居环境中终端设备的布设数量可能达到数十台，而在工业环境下，为了对各工段各流程实现在线监测与控制，更是围绕作业区域与工业设备布设了成百上千用于监控、传输、同步或控制的终端设备。而随着终端设备接入量的不断增长，经由终端设备所输入的虚假信息，与人为伪造的篡改信息等恶意流量随之激增。传统信息安全防护体系缺乏对物联网信息的防护措施，特别是在加密设备受到侧信道攻击时，缺乏有效的甄别应对措施。

技术实现思路

[0003]本专利技术实施例公开一种基于物理不可克隆硬件的标识认证方法及系统，对终端设备配置物理不可克隆硬件并予以物理屏蔽，杜绝侧信道攻击，进而采用时间戳与物理不可克隆硬件的唯一标识构造认证数据，在不降低入网效率与通信成本的前提下，大幅提高通信安全性，降低入网信任成本。
[0004]本专利技术实施例第一方面公开一种基于物理不可克隆硬件的标识认证方法，所述方法包括：
[0005]提取可信终端的响应序列；
[0006]对所述响应序列进行散列处理，生成认证数据；
[0007]其中，所述可信终端指配置有物理不可克隆硬件的终端设备，且，针对所述可信终端设置至少用以屏蔽电磁辐射信号的屏蔽组件；
[0008]所述响应序列至少包括所述物理不可克隆硬件的唯一标识与时间戳。
[0009]作为一种可选的实施方式，所述提取可信终端的响应序列，包括：
[0010]基于模糊提取器构造码偏移结构；
[0011]响应于所述可信终端的接入指令，所述码偏移结构对所述可信终端当前生成的随机源提取所述响应序列。
[0012]作为一种可选的实施方式，所述对所述响应序列进行散列处理，生成认证数据，包括：
[0013]采用移位器对所述响应序列的每一输入位的数据执行移位操作，获得移位序列；
[0014]对所述移位序列中最近输入位不为零的数据，采用XOR累加器执行异或操作，获得所述认证数据。
[0015]作为一种可选的实施方式，所述方法还包括：
[0016]采集所述认证数据的功率轨迹；
[0017]对所述功率轨迹提取各峰值的平均值，以及，对所述功率轨迹提取局部最大值的
独特正峰值；
[0018]对比所述平均值及所述独特正峰值，对所述认证数据恢复为所述响应序列。
[0019]作为一种可选的实施方式，所述方法还包括：
[0020]所述可信终端向安全网关提交包含个人身份信息及所述认证数据的接入请求；
[0021]所述安全网关基于所述认证数据恢复获得响应序列；
[0022]基于响应序列所包含唯一标识与时间戳对所述可信终端进行可信性认证；
[0023]对可信性认证合格的可信终端许可接入。
[0024]本专利技术实施例第二方面公开一种系统，所述系统包括：
[0025]设置于可信终端上的物理不可克隆硬件；
[0026]用以对可信终端予以物理屏蔽的屏蔽组件；
[0027]用以基于所述可信终端生成认证数据的散列组件；
[0028]用以对所述可信终端进行可信性认证的安全网关。
[0029]作为一种可选的实施方式，所述物理不可克隆硬件基于物理不可克隆函数所构造，针对输入的任意激励，所述物理不可克隆硬件输出唯一的响应信号；
[0030]基于所述响应信号生成用以标示所述可信终端的唯一标识。
[0031]作为一种可选的实施方式，所述屏蔽组件用以对可信终端运行产生的侧信道信息予以遮蔽，以及，对外部针对可信终端进行的侧信道攻击予以拦截；
[0032]其中，所述侧信道信息包括但不限于可信终端运行所产生的时长信息、功率信息、电磁辐射信号及元器件状态信息；
[0033]所述侧信道攻击指通过伪造侧信道信息进行非法接入的攻击行为。
[0034]作为一种可选的实施方式，所述散列组件至少具备移位器及XOR累加器，用以对所述可信终端的响应序列执行散列处理，生成认证数据。
[0035]与现有技术相比，本专利技术实施例具有以下有益效果：
[0036]对终端设备配置物理不可克隆硬件并予以物理屏蔽，杜绝侧信道攻击，进而采用时间戳与物理不可克隆硬件的唯一标识构造认证数据，在不降低入网效率与通信成本的前提下，大幅提高通信安全性，降低入网信任成本。
附图说明
[0037]为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0038]图1是本专利技术实施例公开的一种基于物理不可克隆硬件的标识认证方法的流程示意图；
[0039]图2是本专利技术实施例公开的一种系统的结构示意图。
具体实施方式
[0040]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本专利技术一部分实施例，而不是全部的实施例。基于本
专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0041]本专利技术实施例公开了一种基于物理不可克隆硬件的标识认证方法及系统，对终端设备配置物理不可克隆硬件并予以物理屏蔽，杜绝侧信道攻击，进而采用时间戳与物理不可克隆硬件的唯一标识构造认证数据，在不降低入网效率与通信成本的前提下，大幅提高通信安全性，降低入网信任成本。
[0042]实施例一
[0043]请参阅图1，如图1所示，该基于物理不可克隆硬件的标识认证方法可以包括以下步骤。
[0044]101、提取可信终端的响应序列。
[0045]本实施例中，可信终端指配置有物理不可克隆硬件的终端设备，且，针对可信终端设置至少用以屏蔽电磁辐射信号的屏蔽组件。
[0046]具体地，物理不可克隆硬件基于物理不可克隆函数所构造，其原理是利用集成电路在制造过程中存在的不可控差异，针对输入的任意激励，物理不可克隆硬件输出唯一的响应信号，且该响应信号不可预测。
[0047]在此，每一可信终端配置有独立的物理不可克隆硬件，采用该物理不可克隆硬件在认证过程输出的唯一标识作为一部分认证数据，从而有效强化了物联网可信执行环境下设备入网认证的安全性。
[0048]此外，还针对可信终端设置至少用以屏蔽电磁辐射信号的屏蔽组件。
[0049]作为一种可选的实施方式，屏蔽组件可以是完整包覆于可信终端外部的金属材质壳体，并设有弯折的布线管路供可信终端连接供电线缆与通讯线缆，此种屏蔽组件适用于大型固定式的可信终端，如大型工业设备、综控设备等，以提供高可靠无死角的电磁屏蔽性能。
[0050]作为另一本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于物理不可克隆硬件的标识认证方法，其特征在于，所述方法包括：提取可信终端的响应序列；对所述响应序列进行散列处理，生成认证数据；其中，所述可信终端指配置有物理不可克隆硬件的终端设备，且，针对所述可信终端设置至少用以屏蔽电磁辐射信号的屏蔽组件；所述响应序列至少包括所述物理不可克隆硬件的唯一标识与时间戳。2.根据权利要求1所述的基于物理不可克隆硬件的标识认证方法，其特征在于，所述提取可信终端的响应序列，包括：基于模糊提取器构造码偏移结构；响应于所述可信终端的接入指令，所述码偏移结构对所述可信终端当前生成的随机源提取所述响应序列。3.根据权利要求1所述的基于物理不可克隆硬件的标识认证方法，其特征在于，所述对所述响应序列进行散列处理，生成认证数据，包括：采用移位器对所述响应序列的每一输入位的数据执行移位操作，获得移位序列；对所述移位序列中最近输入位不为零的数据，采用XOR累加器执行异或操作，获得所述认证数据。4.根据权利要求3所述的基于物理不可克隆硬件的标识认证方法，其特征在于，所述方法还包括：采集所述认证数据的功率轨迹；对所述功率轨迹提取各峰值的平均值，以及，对所述功率轨迹提取局部最大值的独特正峰值；对比所述平均值及所述独特正峰值，对所述认证数据恢复为所述响应序列。5.根据权利要求1所述的基于物理不可克隆硬件的标识认证方法，其特征在于，所述方法还包括：所述可信终端向安全网关提交包含个人身份信息...

【专利技术属性】
技术研发人员：裴玉奎，
申请(专利权)人：清华珠三角研究院，
类型：发明
国别省市：