本发明专利技术公开了一种基于PUF的IPSec认证方法,IPSec协议执行方利用PUF电路产生加密密钥,并利用加密密钥对身份信息进行加密生成身份密文,MAC消息由身份信息和PUF电路产生密钥时的辅助数据组成。执行方将身份密文及辅助数据封装在IPSec头的验证数据字段中发送给响应方。响应方利用辅助数据,通过PUF模块恢复密钥,对身份密文解密,提取出身份信息。使用身份信息验证身份的合法性。与传统IPSec需要将密钥附着在验证消息中的方法相比较,本方法使用辅助数据附着在验证消息中,不涉及密钥自身的传输,有效地避免了窃听和拦截攻击,提高了数据传输的安全性,简化了密钥交换流程。
An IPSec Authentication Method Based on PUF
【技术实现步骤摘要】
一种基于PUF的IPSec认证方法
本专利技术涉及一种基于PUF模块的加解密方式,应用于IPSec的身份验证领域,适用于IPSec中的密钥交换。
技术介绍
针对Internet的安全需要,Internet工程任务组(IETF)颁布了IP层安全标准IPSec。IPSec在IP层对数据包进行高强度的安全处理,它可以“无缝”的为IP层引入安全特性。IPSec协议主要为IP层和上层提供各种安全服务,这些服务包括数据完整性、数据源验证、机密性、抗重播保护和有限信息流机密性等等。IPSec安全体系结构主要包括安全协议—AH和ESP协议、IKE密钥交换协议、验证和加密算法、SA数据库安全和策略数据库。PUF(PhysicalUnclonableFunction,物理不可克隆函数)是指对一个物理实体输入一个激励,利用其不可避免的内在物理构造的随机差异输出一个不可预测的响应。这类物理实体受生产工艺中不可控制的随机因素影响,任意两个物理组件的响应是相互独立的,具有唯一性,类似于人类的指纹,而且受生产工艺水平的限制,复制一个具有相同响应的物理组件是不可能的,所以称其为不可克隆函数。显然,它最主要的优势是可以抵抗物理克隆攻击的发生。同时相对于资源有限的物理实体来说,它的优势还包括这种不能被克隆的激励响应行为不仅可以实现一些与传统密码技术一样的功能,而且还能大大减少计算、存储和通信开销。将PUF技术引入IPSec的认证应用当中,利用PUF技术的特性生成加密密钥,替代普通的密钥管理协议。有效的避免了窃听和拦截攻击,提高了数据传输的安全性,简化了密钥交换流程,降低了密钥运算的复杂性。专利
技术实现思路
为了克服现有技术的上述缺点,本专利技术提供了一种基于PUF的IPSec认证方法,利用PUF物理不可克隆函数的唯一性和防克隆性,解决传统IPSec需要将密钥附着在验证消息中可能被窃听和拦截攻击的风险,提高了数据传输的安全性,简化了密钥交换流程。本专利技术解决其技术问题所采用的技术方案是:一种基于PUF的IPSec认证方法,包括如下步骤:步骤一、IPSec的执行方采集并记录CRPs响应对;步骤二、部署网络环境;步骤三、将执行方已经采集过CRPs响应对的PUF模块接入响应方;步骤四、执行方生成验证数据发送给响应方;步骤五、响应方验证身份信息。与现有技术相比,本专利技术的积极效果是:在IPSec执行过程中,不涉及密钥自身的传输,有效地避免了窃听和拦截攻击,提高了数据传输的安全性,简化了密钥交换流程,降低了密钥运算的复杂性。附图说明本专利技术将通过例子并参照附图的方式说明,其中:图1为本专利技术PUFCRPs值录入采样示意图;图2为基本网络环境示意图;图3为生成验证数据示意图;图4为身份信息验证示意图。具体实施方式一种基于PUF的IPSec认证方法,该方法中,IPSec协议执行方利用PUF电路产生加密密钥,并利用加密密钥对身份信息进行加密生成身份密文,MAC消息由身份信息和PUF电路产生密钥时的辅助数据组成。执行方将身份密文及辅助数据封装在IPSec头(AH、ESP头)的验证数据字段中发送给响应方。响应方利用辅助数据,通过PUF模块恢复密钥,对身份密文解密,提取出身份信息。使用身份信息验证身份的合法性。与传统IPSec需要将密钥附着在验证消息中的方法相比较,本方法使用辅助数据附着在验证消息中,不涉及密钥自身的传输,有效地避免了窃听和拦截攻击,提高了数据传输的安全性,简化了密钥交换流程。具体步骤:首先IPSec协议的执行方采集记录PUF模块的CRPs激励/响应对(Challenge/ResponsePairs,CRPs)。采集完成后将该PUF块接入响应方。IPSec的执行方发起认证:a)执行方在录入的CRPs响应对中选定一个挑战值c,及对应的响应值x;b)将响应值x与哈希种子h进行全域散列得到密钥s;c)身份信息通过生成的密钥s进行加密得到加密数据ES;d)将挑战值c和哈希种子h作为辅助数据与加密数据ES结合得到验证数据字段;e)将待验证的数据字段封装在IPSec头(AH、ESP头)的验证数据字段中发送给响应方。IPSec响应方在收到执行方过来的请求后:a)将辅助数据中的挑战值c输入到PUF模块中得到响应值x;b)将响应值x与辅助数据中的哈希种子h进行全域散列得到密钥s;c)通过密钥s对加密数据ES进行解密得到身份信息;d)验证身份信息。为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图对本专利技术进行进一步详细说明。PUF不可克隆函数,其特征在于:不可克隆性、防篡改和轻量级等属性,对一个物理实体PUF输入一个激励,利用其不可避免的内在物理构造的随机差异输出一个不可预测的响应。PUF模块基于集成电路工艺差异实现,采用通用的接口如:PCIE、USB,可以接入计算机设备。在本具体实施例中,首先,IPSec的执行方接入PUF模块,使用对应的采集软件对该模块的挑战激励值进行采集,将其中的结果保存得到可用的CRPs响应对,如图1所示。基本网络环境如图2所示,设备1为IPSec的执行方,设备2为IPSec的响应方,设备1通过网络与设备2相连。部署好网络环境后将执行方已经采集过CRPs响应对的PUF模块接入响应方。认证的具体方法步骤如图3、图4所示:一、执行方在录入的CRPs响应对中选定一个挑战值c,及对应的响应值x;二、执行方将响应值x与哈希种子h进行全域散列得到密钥s;三、执行方将身份信息通过生成的密钥s进行加密得到加密数据ES;四、执行方将挑战值c和哈希种子h作为辅助数据与加密数据ES结合得到验证数据字段;五、执行方将验证数据字段封装在IPSec头(AH、ESP头)的验证数据字段中发送给响应方。五、响应方收到数据后将辅助数据中的挑战值c输入到PUF模块中得到响应值x。六、响应方将响应值与辅助数据中的哈希种子h进行全域散列得到与执行方同样的密钥s;七、响应方通过密钥s对加密数据ES进行解密得到身份信息;八、响应方验证身份信息;八、响应方返回验证结果。采用PUF模块进行密钥交换时,只需要在信道上传输挑战值即可,不需要复杂的数学计算,使用PUF进行密钥交换只需要依靠“挑战-响应”行为和单向散列函数计算即可完成密钥的交换,减少了计算资源的消耗,提高了密钥的交换速度,由于不涉及密钥自身的传输,有效的避免了窃听和拦截攻击,提高了数据传输的安全性,简化了密钥交换流程,降低了密钥运算的复杂性。本文档来自技高网...
【技术保护点】
1.一种基于PUF的IPSec认证方法,其特征在于:包括如下步骤:步骤一、IPSec的执行方采集并记录CRPs响应对;步骤二、部署网络环境;步骤三、将执行方已经采集过CRPs响应对的PUF模块接入响应方;步骤四、执行方生成验证数据发送给响应方;步骤五、响应方验证身份信息。
【技术特征摘要】
1.一种基于PUF的IPSec认证方法,其特征在于:包括如下步骤:步骤一、IPSec的执行方采集并记录CRPs响应对;步骤二、部署网络环境;步骤三、将执行方已经采集过CRPs响应对的PUF模块接入响应方;步骤四、执行方生成验证数据发送给响应方;步骤五、响应方验证身份信息。2.根据权利要求1所述的一种基于PUF的IPSec认证方法,其特征在于:步骤四所述执行方生成验证数据的方法为:(1)执行方在CRPs响应对中选定一个挑战值c,及对应的响应值x;(2)将响应值x与哈希种子h进行全域散列得到密钥s;(3)身份信息通过生成的密钥s进行加密得到加密数据ES;(4)将挑战值c和哈希种子h作为辅助数据与加密数据ES结合得到验证数据字段;(5)将待验证的数据字段封装在IPSec头的验证数据字段中发送给响应方。3.根据权利要求2所述的一种基于PUF的IPSec认证方法,其特征在于:步骤五所...
【专利技术属性】
技术研发人员:咸凛,李赛野,冷冰,周洁,杨世春,王远强,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。