【技术实现步骤摘要】
本专利技术涉及信息安全领域,具体涉及后量子密码学与物联网安全领域,尤其涉及一种基于puf的后量子物联网静态密钥管理方法及系统。
技术介绍
1、密钥管理是信息安全的核心技术之一,主要用于生成、存储、分发和更新加密密钥,以保障数据的机密性、完整性和真实性。然而,在物联网(internet of things,简称iot)设备中,密钥管理面临特殊的挑战。由于物联网设备的资源受限、计算能力低、功耗要求高,以及设备的多样化和分布式应用场景,这些都使得传统的密钥管理方案难以有效应对。
2、具体而言,物联网设备中的密钥管理技术面临以下挑战:
3、1)资源限制:物联网设备通常具有较低的处理能力和有限的存储空间,难以承载复杂的加密算法和密钥管理系统。
4、2)安全存储问题:传统密钥管理依赖于将密钥存储在设备的安全区域,然而这种方法容易受到物理攻击,密钥泄露风险较高。
5、3)量子计算威胁:随着量子计算技术的发展,传统的加密算法面临被破解的风险。
6、4)动态更新机制缺乏:许多物联网设备部署时间较长,缺乏有效的动态密钥更新机制,可能导致长期使用的密钥存在安全隐患。
7、因此,本专利技术提出一种密钥管理方案,尤其适用于物联网设备,旨在解决上述一个或多个挑战中的技术问题。
技术实现思路
1、为了解决上述问题,本专利技术提出一种应用于物联网设备的密钥管理方法,所述方法包括以下步骤:
2、将基于所述物联网设备而确定的挑战信号输
3、将所述puf响应输入密钥派生函数kdf,得到密钥加密密钥kek。
4、利用后量子密码学pqc算法生成pqc公钥和pqc私钥。
5、利用所述kek作为密钥,根据对称加密算法加密所述pqc私钥,并将加密后的pqc私钥存储在安全存储区域;所述kek和未加密的pqc私钥被从内存中清除。
6、在一些实施例中,所述puf函数为:基于软件的puf函数,或基于硬件的puf函数,或结合软件和硬件的混合puf函数。
7、在一些实施例中,将所述puf响应输入密钥派生函数kdf,具体包括:将所述puf响应和随机盐值共同输入所述kdf函数。
8、在一些实施例中,在将加密后的pqc私钥存储在安全存储区域之后,所述方法还包括:
9、将再次基于所述物联网设备而确定的所述挑战信号输入所述puf函数,重新生成所述puf响应。
10、将所述puf响应输入所述kdf函数,重构所述kek。
11、使用所述kek,以及与所述对称加密算法对应的对称解密算法,解密从所述安全存储区域中读取的所述加密后的pqc私钥。
12、在对解密出的所述pqc私钥使用完毕后,从内存中对其进行清除。
13、在一些实施例中,所述挑战信号的确定,包括:
14、收集所述物联网设备的操作系统的固定特征,基于所述固定特征生成初始挑战。
15、对所述初始挑战应用加密哈希函数生成最终挑战,作为所述挑战信号。
16、在一些实施例中,在重构所述kek后,以及,在解密从所述安全存储区域中读取的所述加密后的pqc私钥之前,所述方法还包括:
17、检查重构是否成功;如果重构失败,执行错误恢复流程。
18、在一些实施例中,在将加密后的pqc私钥存储在安全存储区域之后,所述方法还包括:
19、响应于预设条件的满足,触发对所述pqc私钥的更新及加密操作。
20、在一些更具体的实施例中,所述预设条件为:当前时间与所述pqc私钥的生成时间之差大于时间阈值;或者,所述pqc私钥相关的安全事件的发生次数大于计数阈值;或者,所述pqc私钥的生成系统的预定性能指标的误差度量大于误差阈值。
21、另一方面,本专利技术还提供一种密钥管理系统,来实施上述密钥管理方法,所述系统基于物联网设备运行,包括以下部分:
22、puf模块,基于所述物联网设备而确定的挑战信号输入puf函数,生成puf响应。该模块利用芯片内部的物理不可克隆函数生成随机、唯一的puf响应。
23、密钥派生模块,用于将所述puf响应输入密钥派生函数kdf,得到密钥加密密钥kek。
24、pqc密钥生成模块,用于根据pqc算法生成pqc公钥和pqc私钥。
25、pqc密钥加密模块,用于根据所述kek和对称加密算法加密所述pqc私钥,并将加密后的pqc私钥存储在安全存储区域,将所述kek和未加密的pqc私钥被从内存中清除。
26、pqc密钥解密模块,用于根据所述原始的puf响应和所述kdf函数对应的密钥重构函数重构所述kek,并使用kek和对称解密算法解密所述pqc私钥,并在所述pqc私钥使用完毕后,从内存中对其进行清除。
27、在一些实施例中,该系统还可以包括动态密钥更新模块506,用于在预设条件满足时,触发对所述pqc私钥的更新及加密操作。
28、在一些更具体的实施例中,所述预设条件为:当前时间与所述pqc私钥的生成时间之差大于时间阈值;或者,所述pqc私钥相关的安全事件的发生次数大于计数阈值;或者,所述pqc私钥的生成系统的预定性能指标的误差度量大于误差阈值。
29、在一些实施例中,所述密钥管理系统500还包括挑战信号确定模块,用于:
30、收集所述物联网设备的操作系统的固定特征,基于所述固定特征生成初始挑战。
31、对所述初始挑战应用加密哈希函数生成最终挑战,作为所述挑战信号。
32、在一些实施例中,密钥派生模块具体用于:将所述puf响应和随机盐值共同输入密钥派生函数kdf,得到密钥加密密钥kek。
33、在一些实施例中,所述pqc密钥解密模块,在重构所述kek后,还负责检查重构是否成功;如果重构失败,执行错误恢复流程。
34、本专利技术提供的密钥管理方法及系统,能够在资源受限的物联网设备上实现高效、低成本的密钥管理,同时,利用了puf特性避免存储kek,并且结合后量子密码算法增强密钥抗量子攻击能力,实现了密钥管理的安全性提升。
本文档来自技高网...【技术保护点】
1.一种密钥管理方法,其特征在于,所述方法应用于物联网设备,包括以下步骤:
2.根据权利要求1所述的方法,其特征在于,所述PUF函数为:基于软件的PUF函数,或基于硬件的PUF函数,或结合软件和硬件的混合PUF函数。
3.根据权利要求1所述的方法,其特征在于,将所述PUF响应输入密钥派生函数KDF,具体包括:
4.根据权利要求1所述的方法,其特征在于,在将加密后的PQC私钥存储在安全存储区域之后,所述方法还包括:
5.根据权利要求1或4所述的方法,其特征在于,所述挑战信号的确定,包括:
6.根据权利要求4所述的方法,其特征在于,在重构所述KEK后,以及,在解密从所述安全存储区域中读取的所述加密后的PQC私钥之前,所述方法还包括:
7.根据权利要求1所述的方法,其中,在将加密后的PQC私钥存储在安全存储区域之后,所述方法还包括:响应于预设条件的满足,触发对所述PQC私钥的更新及加密操作。
8.根据权利要求7所述的方法,其中,所述预设条件为:当前时间与所述PQC私钥的生成时间之差大于时间阈值;或者,所
9.一种密钥管理系统,其特征在于,所述系统基于物联网设备运行,包括以下部分:
10.根据权利要求9所述的密钥管理系统,其特征在于,所述系统还包括密钥更新模块,用于在预设条件满足时,触发对所述PQC私钥的更新及加密操作。
...【技术特征摘要】
1.一种密钥管理方法,其特征在于,所述方法应用于物联网设备,包括以下步骤:
2.根据权利要求1所述的方法,其特征在于,所述puf函数为:基于软件的puf函数,或基于硬件的puf函数,或结合软件和硬件的混合puf函数。
3.根据权利要求1所述的方法,其特征在于,将所述puf响应输入密钥派生函数kdf,具体包括:
4.根据权利要求1所述的方法,其特征在于,在将加密后的pqc私钥存储在安全存储区域之后,所述方法还包括:
5.根据权利要求1或4所述的方法,其特征在于,所述挑战信号的确定,包括:
6.根据权利要求4所述的方法,其特征在于,在重构所述kek后,以及,在解密从所述安全存储区域中读取的所述加密后的pqc私钥之前...
【专利技术属性】
技术研发人员:冯凯,黄蕾蕾,
申请(专利权)人:正则量子北京技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。