本发明专利技术公开了一种基于PUF的认证方法及设备,在进行基于PUF的离线认证方法时,在生成私钥时基于PUF内在物理构造差异值及设备的片内操作系统代码相结合生成,在验证时,也基于PUF内在物理构造差异值及设备的片内操作系统代码相结合验证。这样,经过认证的私钥和设备内的片内操作系统代码及PUF内在物理构造差异值完成了绑定,任何试图通过修改片内操作系统代码来获取私钥的行为,都无法获得认证过的私钥,从而防止设备被伪造,从而提高了离线认证基于PUF的设备的安全性。
【技术实现步骤摘要】
本专利技术涉及信息安全领域,特别涉及一种基于物理不可克隆功能单元(PUF)的认证方法及设备。
技术介绍
随着半导体技术的发展,出现了 PUF。PUF是一组微型的电路,通过提取半导体器件制造过程中不可避免产生的物理构造差异值,生成无限多个、特有的“密钥”,这些“密钥”不可预测,PUF上电的时候,密钥存在,掉电的时候,密钥消失,即使是芯片的制造商也无法仿制,从而这些“密钥”可以广泛地应用于安全和防伪。目前,有很多基于PUF的认证方法。其中,最常用的认证方法为基于PUF的在线认证方法,具体地说:首先,基于PUF的物理构造差异值生成对应每个PUF的唯一响应对(CRP),将对应每个PUF的唯一 CRP,存储于在线数据库中;这个步骤为认证方法的注册阶段,在这个阶段内,在线数据库存储了所有PUF对应的唯一 CRP ;然后,当认证者要验证一个PUF时,则访问在线数据库,将PUF的唯一 CRP发送给在线数据库认证,在线数据库根据所发送的唯一 CRP是否匹配所存储的该PUF的唯一 CRP,确定验证是否成功。这种基于PUF的认证方法容易实现,但是对认证环境有严格的要求,认证的整个过程需要在线处理,限制了认证的应用实用范围。因此,提出了基于PUF的离线认证方法,该离线认证方法应用了公钥密码算法。将PUF及其他的半导体单元都集成在一个芯片上,该芯片安置于设备上,该芯片具有存储单元和处理器单元等,可以运行软件,实现各种功能。认证设备的具体过程为:第一个步骤,设备中的PUF生成唯一私钥,该唯一私钥是通过提取PUF制造过程中不可避免产生的物理构造差异值得到的,是其物理特有特性;第二个步骤,基于PUF的唯一私钥,设备内部计算得到相应的公钥;第三个步骤,设备将计算生成的公钥输出,公钥被权威第三方机构签名后,得到证书,保存在设备中;这时,就完成了认证方法的注册阶段,以下步骤为验证阶段;第四个步骤,要验证时,用户设备发送随机验证信息给设备;第五个步骤,设备中的PUF再次生成唯一私钥对验证信息进行签名,得到签名结果,将签名结果及存储的证书返回给用户设备;第六个步骤,用户设备验证该设备,即解析验证证书,获得设备的公钥,由用户设备采用公钥对签名结果进行解码,根据解码后的签名结果是否为随机信息,确认设备是否合法,如果认证成功,则确认该设备是合法的。上述基于PUF的设备认证方法采用了公钥密码算法,在实现上可以离线认证。但是,由于设备具有PUF和其他半导体单元,在运行软件时,软件可以拥有访问PUF和其他半导体单元的权限,所以一旦运行恶意软件时,恶意软件访问PUF和其他半导体单元,将基于PUF输出的唯一私钥轻易地读出,就会基于窃取的私钥对设备进行伪造,使伪造后的设备在验证阶段仍然验证成功。通常来说,设备中的PUF及其他的半导体单元是由制造商工厂生产,制造商与这些芯片有物理接触,一些制造商员工可以将恶意软件下载到设备中从而窃取基于PUF输出的唯一私钥;当设备被送到软件公司,进行软件开发测试时,伪造者也可以将恶意软件下载到设备中,在软件调试阶段窃取基于PUF输出的唯一私钥。综上,上述这种基于PUF的离线认证方法,由于在生成公钥及证书的过程中基于的PUF的唯一私钥很可能被窃取,用作其他伪造设备的认证,所以认证安全度不高。
技术实现思路
有鉴于此,本专利技术实施例提供一种基于PUF的认证方法,该方法能够提高离线认证基于PUF的设备的安全性。本专利技术实施例提供一种基于PUF的认证设备,该设备能够提高认证安全性。为达到上述目的,本专利技术实施的技术方案具体是这样实现的:一种基于PUF的认证方法,该方法包括:获取设备的片内操作系统代码,进行计算;将对片内操作系统代码计算得到的值作为PUF挑战信息,输入到PUF中,得到PUF的输出响应,将PUF输出响应经过变换作为设备的私钥;基于设备的私钥计算得到设备的公钥,输出;将接收的证书进行存储,所述证书为合法软件拥有者基于设备的公钥产生的。所述计算为哈希计算。所述哈希计算采用抗碰撞哈希函数计算。一种基于PUF的认证方法,该方法包括:设备接收用户设备发送的随机信息;设备获取片内操作系统代码,进行计算;将对片内操作系统代码计算得到的值输入PUF,将PUF的输出响应经过变换作为设备的私钥,采用设备的私钥对随机信息进行签名处理,得到签名结果;将得到的签名结果及存储的证书发送给用户设备,由用户设备验证证书及签名结果,确认设备是否合法。所述由用户设备验证证书及签名结果,确认设备是否合法为:解析验证证书,获得设备的公钥,由用户设备采用公钥对签名结果进行解码,根据解码后的签名结果是否为随机信息,确认设备是否合法。所述计算为哈希计算。所述哈希计算采用抗碰撞哈希函数计算。一种基于PUF的认证设备,包括:基本固件、存储器及输入输出单元,其中,基本固件,用于从存储器中获取片内操作系统代码,进行计算,将计算得到的值作为PUF挑战信息,输入到PUF中,将PUF的输出响应经过变换后作为设备的私钥,基于设备的私钥计算得到设备的公钥;存储器,用于存储片内操作系统代码,将接收的证书进行存储,所述证书为合法软件拥有者基于设备的公钥产生的;输入输出单元,用于将设备的公钥输出,接收证书。包括:基本固件包括哈希模块、PUF固件及运算模块,其中,哈希模块,用于将获取的片内操作系统代码,进行哈希计算;PUF固件,用于接收哈希计算后的片内操作系统代码作为PUF挑战信息,输出响应作为设备的私钥;运算模块,用于基于设备的私钥计算得到设备的公钥。基本固件从存储器中获取片内操作系统代码,进行计算,将计算得到的值作为PUF挑战信息,输入到PUF中,将PUF的输出响应经过变换作为设备的私钥,采用设备的私钥对随机信息进行签名处理,得到签名结果;输入输出单元,还用于接收随机信息;将得到的签名结果及证书发送。基本固件包括哈希模块、PUF固件及运输模块,其中,哈希模块,用于将获取的片内操作系统代码,进行哈希计算;PUF固件,用于接收哈希计算后的片内操作系统代码作为PUF挑战信息,输出响应作为设备的私钥;运算模块,用于采用设备的私钥对随机信息进行签名处理,得到签名结果。由上述方案可以看出,本专利技术实施例在进行基于PUF的离线认证方法时,在生成私钥时不仅仅基于PUF内在物理构造差异值,而是基于PUF内在物理构造差异值及设备的片内操作系统代码相结合生成,在验证时,也基于PUF内在物理构造差异值及设备的片内操作系统代码结合验证。这样,经过认证的私钥和设备内的片内操作系统代码及PUF内在物理构造差异值完成了绑定,任何试图通过修改片内操作系统代码来获取私钥的行为,都无法获得认证过的私钥,从而防止设备被伪造,提高了离线认证基于PUF的设备的安全性。【附图说明】图1为本专利技术实施例提供的基于PUF的注册方法流程图;图2为本专利技术实施例提供的基于PUF的验证方法流程图;图3为本专利技术实施例提供的基于PUF的认证设备结构示意图;图4为本专利技术实施例提供的用户设备结构示意图。【具体实施方式】为使本专利技术的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本专利技术作进一步详细说明。从
技术介绍
可以看出,在进行基于PUF的离线认证设备的生命周期内,无人可以保证设备内的PUF的唯一私钥不被窃取,由于在PUF的制造过程本文档来自技高网...
【技术保护点】
一种基于PUF的认证方法,其特征在于,该方法包括:获取设备的片内操作系统代码,进行计算;将对片内操作系统代码计算得到的值作为PUF挑战信息,输入到PUF中,得到PUF的输出响应,将PUF输出响应经过变换作为设备的私钥;基于设备的私钥计算得到设备的公钥,输出;将接收的证书进行存储,所述证书为合法软件拥有者基于设备的公钥产生的。
【技术特征摘要】
【专利技术属性】
技术研发人员:刘宗斌,章庆隆,韩晔,高能,向继,王琼霄,
申请(专利权)人:中国科学院数据与通信保护研究教育中心,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。