一种基于物理不可克隆技术PUF的用户认证设备及认证方法技术

本发明专利技术公开了一种基于物理不可克隆技术PUF的用户认证设备，包括物理不可克隆模块PUF、认证模块、认证控制模块、随机数发生器和计数器，其中：所述物理不可克隆模块PUF嵌入在认证设备中用于产生认证相关的密钥对；所述认证模块嵌入非对称算法以及摘要算法来完成认证需要执行的运算；用户通过所述认证控制模块可手动控制发送认证请求以及发送认证信息；本发明专利技术基于简单易用、隐私安全以及兼容通用这三大原则，满足简单易用、高安全以及能够兼容多个网络服务器的需求，该设备内部芯片采用不可克隆技术PUF能够保障了设备的唯一性，满足设备不可克隆复制、隐私安全的特性。

【技术实现步骤摘要】
一种基于物理不可克隆技术PUF的用户认证设备及认证方法
本专利技术涉及数据安全认证
，具体涉及一种基于物理不可克隆技术PUF的用户认证设备及认证方法。
技术介绍
近年来，中、大型数据泄露事故的频发代表着基于密码的在线身份验证技术已经难以维护互联网的安全。而传统的用户名加密码的方式，如手机账号密码、支付密码、微信密码等，使用户很难进行创建和记忆，而且因为密码保存在集中式的数据库中，也很容易被窃，成为网络支付特别是安全性相对更加脆弱的移动支付的最大隐患。由于传统的基于密码的身份验证体系因其自身的安全问题，促使业界提出了硬件令牌(如U盾)、OTP动态密码技术等增强方案，但是，这些方案存在部署成本高、维护困难、跨应用兼容性等问题，目前这些方案还只是被诸如金融、政府等特殊领域或大型企业使用，并没有满足中小企业与个人用户的安全需求，导致后者继续面临身份验证信息被泄露的风险，面对这一现状，基于简单易用、隐私安全以及兼容通用这三大原则，成为目前安全认证方案所重点关注的内容。
技术实现思路
本专利技术的目的在于克服现有技术的缺点与不足，提供一种基于物理不可克隆技术PUF的用户认证设备及认证方法，该设备满足简单易用、高安全以及能够兼容多个网络服务器的需求，且该设备内部芯片采用不可克隆技术PUF能够保障了设备的唯一性，满足设备不可克隆复制、隐私安全的特性；该方法针对用户在Web进行高安全属性操作时，进行一种二次认证的方式来确保通信安全，一方面通过物理不可克隆技术PUF(PhysicalUnclonableFunction，PUF)可产生设备独一无二的设备ID，从而实现认证设备的不可克隆特性。本专利技术的目的通过下述技术方案实现：一种基于物理不可克隆技术PUF的用户认证设备，包括物理不可克隆模块PUF、认证模块、认证控制模块、随机数发生器和计数器，其中：所述物理不可克隆模块PUF嵌入在认证设备中用于产生认证相关的密钥对；所述认证模块嵌入非对称算法以及摘要算法来完成认证需要执行的运算；所述认证模块包括公钥生成模块，所述公钥生成模块利用物理不可克隆模块PUF的“响应”产生公开密钥，并将该公开密钥传输到服务器中；用户通过所述认证控制模块可手动控制发送认证请求以及发送认证信息；所述随机数发生器用于随机产生物理不可克隆模块PUF所需要的输入即密钥索引；所述计数器用于进行成功认证后次数的累加工作，记录成功认证的次数；所述物理不可克隆模块PUF需要跟认证设备的外部物理性地隔离，以确保攻击者不能通过攻击该认证设备而获得由所述物理不可克隆模块PUF产生的密钥对以及密钥索引，使认证密钥不会泄露到认证设备的外部；根据所述物理不可克隆模块PUF产生密钥的“挑战-响应”机制，认证设备设置产生真随机数的随机数发生器，所述随机数发生器用于产生物理不可克隆模块PUF的“挑战”，该“挑战”可发送给服务器作为密钥索引；认证设备向服务器发起注册申请首先需要产生认证设备自身的公开公钥，该公开公钥为：利用物理不可克隆模块PUF产生对应四组“挑战”的四组“响应”值，该四组“响应”值作为认证设备的认证私钥，认证私钥通过椭圆曲线点乘运算从而获得认证设备的公开公钥；当用户通过传统的账户密码方式登录到服务器进而对认证设备进行注册操作时，认证设备上的信号灯闪烁提醒用户按下认证设备上的按钮，该按钮连接所述认证控制模块，所述认证控制模块接收到用户的按键信息后对认证信息进行封包并发送给服务器；在认证设备进行二次认证时，需要通过人为按下认证设备上的按钮，认证设备会与服务器进行二次认证及双向认证。一种基于物理不可克隆技术PUF的用户认证方法，包括下述步骤：S1，认证设备注册；S1.1，利用内置了物理不可克隆技术PUF的认证设备，进行用户认证设备的注册；首先用户在客户端通过原有的用户名与密码登陆后，发出二次身份认证注册申请；S1.2，在通过二次身份认证注册申请后，认证设备利用随机数发生器产生随机数，该随机数作为认证设备的私钥索引Key_Index，并将该私钥索引作为物理不可克隆技术PUF的“挑战”，产生该“挑战”对应的“响应”作为认证私钥PRIV_Key，并通过认证模块中的公钥生成模块产生对应认证私钥PRIV_Key的公开密钥PUB_Key，并将私钥索引Key_Index、公开密钥PUB_Key以及相应证书发送给服务器；S1.3，服务器接收认证设备发来的私钥索引Key_Index、公开密钥PUB_Key以及相应证书后，验证证书及公开密钥PUB_Key的合法性，同时将私钥索引Key_Index及公开密钥PUB_Key保存在服务器对应用户的数据库中；S1.4，服务器完成对认证设备发来的数据的保存后，服务器响应认证设备对应的网站标识信息如主机名和端口号，并生成相应用户数据信息Client_data，通过SM3密码杂凑算法进行加密处理，产生杂凑处理结果即SM3(Client_data)，并将该SM3(Client_data)信息通过公开密钥PUB_Key发送给认证设备；S1.5，认证设备接收服务器发来的加密数据，通过S1.2产生的认证私钥PRIV_Key将数据进行解密后，对解密后的信息SM3(Client_data)通过认证私钥PRIV_Key进行签名操作产生签名信息Sign(SM3(Client_data))，并将信息发送给服务器；S1.6，服务器接收认证设备发来的签名信息Sign(SM3(Client_data))，并利用认证设备的公开密钥PUB_Key对签名信息进行验签操作，验签正确后，服务器随机产生一个256bit的随机数作为设备认证登陆的起始值S_Count，服务器保存该起始值S_Count，利用认证设备的公开密钥PUB_Key进行加密E(S_Count)并发送给认证设备；S1.7，认证设备接收加密的E(S_Count)信息后，利用认证设备中的认证私钥PRIV_Key解密该加密的E(S_Count)信息，即D(E(S_Count))后得到S_Count并保存在认证设备中，作为第二身份验证要素；S1.8，认证设备保存成功认证次数的起始值S_Count，服务器保存该用户认证设备的私钥索引Key_Index、公开密钥PUB_Key、认证次数的起始值S_Count、认证设备的响应信息SM3(Client_data)、以及其对应的Sign(SM3(Client_data))，则认证设备注册结束；S2，用户认证；S2.1，当用户通过已有的用户名和密码登陆后，在进行高安全属性的操作需要用户强身份验证时，后台服务器将原先注册时绑定着用户的设备信息私钥索引Key_Index和经过公开密钥PUB_Key加密后的认证信息发送给认证设备，同时将以下信息一并发送给认证设备：(SM3(Client_data)+Sign(SM3(Client_data)+SM3(S_Count)+Challenge)；认证设备接收到以上信息的数据包后进行数据解析；S2.2，认证设备首先提取出私钥索引Key_Index，利用该私钥索引Key_Index得到认证设备的认证私钥PRIV_Key，并利用该认证私钥PRIV_Key对数据包进行解密还原原始信息，则原始信息如下：(SM3(Client_data)+Sign(SM3(Clien本文档来自技高网...

【技术保护点】
1.一种基于物理不可克隆技术PUF的用户认证设备，其特征在于，包括物理不可克隆模块PUF、认证模块、认证控制模块、随机数发生器和计数器，其中：所述物理不可克隆模块PUF嵌入在认证设备中用于产生认证相关的密钥对；所述认证模块嵌入非对称算法以及摘要算法来完成认证需要执行的运算；所述认证模块包括公钥生成模块，所述公钥生成模块利用物理不可克隆模块PUF的“响应”产生公开密钥，并将该公开密钥传输到服务器中；用户通过所述认证控制模块可手动控制发送认证请求以及发送认证信息；所述随机数发生器用于随机产生物理不可克隆模块PUF所需要的输入即密钥索引；所述计数器用于进行成功认证后次数的累加工作，记录成功认证的次数；所述物理不可克隆模块PUF需要跟认证设备的外部物理性地隔离，以确保攻击者不能通过攻击该认证设备而获得由所述物理不可克隆模块PUF产生的密钥对以及密钥索引，使认证密钥不会泄露到认证设备的外部；根据所述物理不可克隆模块PUF产生密钥的“挑战‑响应”机制，认证设备设置产生真随机数的随机数发生器，所述随机数发生器用于产生物理不可克隆模块PUF的“挑战”，该“挑战”可发送给服务器作为密钥索引；认证设备向服务器发起注册申请首先需要产生认证设备自身的公开公钥，该公开公钥为：利用物理不可克隆模块PUF产生对应四组“挑战”的四组“响应”值，该四组“响应”值作为认证设备的认证私钥，认证私钥通过椭圆曲线点乘运算从而获得认证设备的公开公钥；当用户通过传统的账户密码方式登录到服务器进而对认证设备进行注册操作时，认证设备上的信号灯闪烁提醒用户按下认证设备上的按钮，该按钮连接所述认证控制模块，所述认证控制模块接收到用户的按键信息后对认证信息进行封包并发送给服务器；在认证设备进行二次认证时，需要通过人为按下认证设备上的按钮，认证设备会与服务器进行二次认证及双向认证。...

【技术特征摘要】
1.一种基于物理不可克隆技术PUF的用户认证设备，其特征在于，包括物理不可克隆模块PUF、认证模块、认证控制模块、随机数发生器和计数器，其中：所述物理不可克隆模块PUF嵌入在认证设备中用于产生认证相关的密钥对；所述认证模块嵌入非对称算法以及摘要算法来完成认证需要执行的运算；所述认证模块包括公钥生成模块，所述公钥生成模块利用物理不可克隆模块PUF的“响应”产生公开密钥，并将该公开密钥传输到服务器中；用户通过所述认证控制模块可手动控制发送认证请求以及发送认证信息；所述随机数发生器用于随机产生物理不可克隆模块PUF所需要的输入即密钥索引；所述计数器用于进行成功认证后次数的累加工作，记录成功认证的次数；所述物理不可克隆模块PUF需要跟认证设备的外部物理性地隔离，以确保攻击者不能通过攻击该认证设备而获得由所述物理不可克隆模块PUF产生的密钥对以及密钥索引，使认证密钥不会泄露到认证设备的外部；根据所述物理不可克隆模块PUF产生密钥的“挑战-响应”机制，认证设备设置产生真随机数的随机数发生器，所述随机数发生器用于产生物理不可克隆模块PUF的“挑战”，该“挑战”可发送给服务器作为密钥索引；认证设备向服务器发起注册申请首先需要产生认证设备自身的公开公钥，该公开公钥为：利用物理不可克隆模块PUF产生对应四组“挑战”的四组“响应”值，该四组“响应”值作为认证设备的认证私钥，认证私钥通过椭圆曲线点乘运算从而获得认证设备的公开公钥；当用户通过传统的账户密码方式登录到服务器进而对认证设备进行注册操作时，认证设备上的信号灯闪烁提醒用户按下认证设备上的按钮，该按钮连接所述认证控制模块，所述认证控制模块接收到用户的按键信息后对认证信息进行封包并发送给服务器；在认证设备进行二次认证时，需要通过人为按下认证设备上的按钮，认证设备会与服务器进行二次认证及双向认证。2.一种基于物理不可克隆技术PUF的用户认证方法，其特征在于，包括下述步骤：S1，认证设备注册；S1.1，利用内置了物理不可克隆技术PUF的认证设备，进行用户认证设备的注册；首先用户在客户端通过原有的用户名与密码登陆后，发出二次身份认证注册申请；S1.2，在通过二次身份认证注册申请后，认证设备利用随机数发生器产生随机数，该随机数作为认证设备的私钥索引Key_Index，并将该私钥索引作为物理不可克隆技术PUF的“挑战”，产生该“挑战”对应的“响应”作为认证私钥PRIV_Key，并通过认证模块中的公钥生成模块产生对应认证私钥PRIV_Key的公开密钥PUB_Key，并将私钥索引Key_Index、公开密钥PUB_Key以及相应证书发送给服务器；S1.3，服务器接收认证设备发来的私钥索引Key_Index、公开密钥PUB_Key以及相应证书后，验证证书及公开密钥PUB_Key的合法性，同时将私钥索引Key_Index及公开密钥PUB_Key保存在服务器对应用户的数据库中；S1.4，服务器完成对认证设备发来的数据的保存后，服务器响应认证设备对应的网站标识信息如主机名和端口号，并生成相应用户数据信息Client_data，通过SM3密码杂凑算法进行加密处理，产生杂凑处理结果即SM3(Client_data)，并将该SM3(Client_data)信息通过公开密钥PUB_Key发送给认证设备；S1.5，认证设备接收服务器发来的加密数据，通过S1.2产生的认证私钥PRIV_Key将数据进行解密后，对解密后的信息SM3(Client_data)通过认证私钥PRIV_Key进行签名操作产生签名信息Sign(SM3(Client_data))，并将信息发送给服务器；S1.6，服务器接收认证设备发来的签名信息Sign(SM3(Client_data))，并利用认证设备的公开密钥PUB_Key对签名信息进行验签操作，验签正确后，服务器随机产生一个256bit的随机数作为设备认证登陆的起始值S_Count，服务器保存该起始值S_Count，利用认证设备的公开密钥PUB_Key进行加密E(S_Count)并发送给认证设...

【专利技术属性】
技术研发人员：熊晓明，张盛仕，胡湘宏，
申请(专利权)人：广东工业大学，佛山芯珠微电子有限公司，
类型：发明
国别省市：广东,44