基于设备指纹和PUF的轻量级安全认证方法和装置制造方法及图纸

本发明专利技术公开了一种基于设备指纹和PUF的轻量级安全认证方法和装置，所述方法包括边缘物联网设备生成消息M0和认证参数I0发送到设备管理；设备管理基于接受到的消息M0计算出哈希值I0'，若I0'与I0相等，则生成M1，并进一步生成认证参数I1；设备管理将消息M1和认证参数I1经连接管理发送至边缘物联网设备；边缘物联网设备基于接收到的消息M1，计算出哈希值I1'，若I1'与I1相等，则生成会话密钥k

【技术实现步骤摘要】
基于设备指纹和PUF的轻量级安全认证方法和装置


[0001]本专利技术属于安全认证和物联网领域，具体涉及一种基于设备指纹和PUF的轻量级安全认证方法和装置。

技术介绍

[0002]随着物联网(IoT)设备的不断增长，特别是在海量终端接入物联网场景下，这些设备产生的大量数据可能会导致许多的安全和隐私问题。而在物联网中，最重要的安全要求包括设备认证和隐私安全。但是现有的有关物联网设备认证的研究并不详尽，而且大多数方案都很容易受到模拟、克隆、拒绝服务(DoS)和物理攻击的影响。
[0003]现有的物联网设备认证研究可以分为三类，分别是基于安全原语的、基于硬件的和基于无线信道特征的设备认证方案。基于安全原语的设备认证技术使用过滤器、哈希链、区块链或零知识证明(ZKP)来实现设备认证，例如有人提出了一种使用布隆过滤器和基于属性加密的物联网设备认证技术。然而，这种技术要求物联网设备存储来源信息，但在实际应用中这并不一定可行(物联网设备内存很小)。此外，攻击者可以很容易使用物理攻击的方式来篡改存储在设备中的来源信息。另外也有人提出使用基于身份的哈希链在多个物联网设备之间传输来源信息。但是这种技术依赖于物联网设备身份信息，因此容易受到模拟攻击。还有人提出了使用非交互ZKPs、数据来源压缩算法或者区块链来进行设备认证的方法，但是这些方案可能会导致计算上的复杂度变高，导致计算密集型的操作变多。基于硬件的设备认证方案使用专门的硬件来实现，如可信平台模块(TPM)，但这些基于硬件的技术依赖于专用的硬件，这对于物联网设备来说代价过于昂贵。
[0004]基于无线信道特征的安全性目前是一个很好的研究的领域。现有文献包括密钥生成、基于临近性的认证、安全配对、Sybil攻击检测和入侵检测。例如，有些技术使用接受到的信号强度指标(RSSI)值在体域网中生成独特的无线指纹。然而，由于无线指纹的长度和优化，该技术具有较高的通信和计算开销。另外一种使用多跳源协议的方案使用RSSI值但是没有身份验证机制，因此攻击者可以很容易的欺骗RSSI值以隐藏其位置。
[0005]事实上我们发现物联网中现有的设备认证技术都存在以下一个或多个问题：(1)依赖对于物联网设备来说过于昂贵的安全硬件；(2)所有设备必须有同样的架构体系；(3)对物联网设备来说计算过于复杂；(4)易受物理攻击和克隆攻击，没有隐私保护；(5)可以使用短暂的秘密泄露(ESL)攻击。

技术实现思路

[0006]针对上述问题，本专利技术提出一种基于设备指纹和PUF的轻量级安全认证方法和装置，能够实现物联网设备的匿名性和安全性。
[0007]为了实现上述技术目的，达到上述技术效果，本专利技术通过以下技术方案实现：
[0008]第一方面，本专利技术提供了一种基于设备指纹和PUF的轻量级安全认证方法，包括：
[0009]边缘物联网设备生成随机噪声N1，并结合其PUF生成秘密响应R
i
生成消息
其中，表示虚假身份标识；
[0010]边缘物联网设备基于所述消息生成认证参数I0＝H(M0||R
i
)，H为哈希函数，并将消息和认证参数I0＝H(M0||R
i
)发送到设备管理；
[0011]设备管理基于接受到的消息计算出哈希值I0'，若I0'与I0相等，则生成一个随机噪声N2，进而生成消息并进一步生成认证参数I1＝H(M1||N1||N2||R
i
)；
[0012]设备管理将消息和认证参数I1＝H(M1||N1||N2||R
i
)经连接管理发送至边缘物联网设备；
[0013]边缘物联网设备基于接收到的消息计算出哈希值I1'，若I1'与I1相等，则生成会话密钥更新其虚假身份标识然后将发送到设备管理；ID
A
表示边缘物联网设备的标识号；
[0014]设备管理生成新的虚假身份标识并验证若通过验证，则设备管理会存储以供将来的身份验证请求。
[0015]可选地，所述方法还包括：
[0016]边缘物联网设备生成随机噪声N3，然后生成和V1＝H(D1||k
i
||N3)，然后将D1和V1发送给连接管理，其中，Data表示待传输数据内容；F
GA
是边缘物联网设备对无线信道进行采样生成的无线指纹；
[0017]连接管理创建消息D
G
＝{F
AG
}和相应的身份验证参数V
G
＝H(D
G
||k
GS
)，并将D
G
和V
G
发给设备管理，F
AG
为连接管理对无线信道进行采样生成的无线指纹；
[0018]设备管理使用会话密钥k
i
和秘密对称密钥k
GS
分别对D1和D
G
进行解密，得到Data和无线指纹，若无线信道未受到破坏，且F
AG
＝F
GA
，则设备管理接收数据，并向边缘物联网设备发送认证参数作为确认；
[0019]边缘物联网设备对接受到的V
S
进行验证，如果验证成功，则进行数据发送。
[0020]可选地，若F
AG
≠F
GA
，则设备管理拒绝接收边缘物联网设备发送的数据；如果V
S
验证失败，则边缘物联网设备重新发送数据。
[0021]可选地，无线信道的破坏情况通过以下步骤获得：
[0022]分别计算F
GA
和F
AG
的方差，并取两个方差之间的差，即Δ＝Var(F
GA
)
‑
Var(F
AG
)，Var表示方差运算；
[0023]将Δ与阈值进行比较，如果Δ小于阈值，则边缘物联网设备和设备管理之间的无线链路被认为是合法的，否则认为二者之间的信道受到破坏，数据将被丢弃。
[0024]可选地，所述物联网设备内存储有CRP，所述方法还包括更新CRP，具体包括以下步骤：
[0025]设备管理向连接管理发送和C
i+1
表示第i+1次迭代的询问；
[0026]边缘物联网设备解密M1获得C
i+1
和N1，并验证认证参数X1，然后边缘物联网设备存
储新的C
i+1
的值，并使用它来生成新的秘密响应R
i+1
；
[0027]边缘物联网设备生成随机噪声N2，并产生新的虚假身份标识
[0028]物联网设备向设备管理发送M2＝{R
i+1
,N1,N2}以及相应的认证参数
[0029]设备管理解密M2，从中获得R
i+1
和N2，并使用N2生成新的虚假身份标识并验证X2；
[0030]设备管理将边缘物联网设备的CRP替换为(C
i+1
,本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于设备指纹和PUF的轻量级安全认证方法，其特征在于，包括：边缘物联网设备生成随机噪声N1，并结合其PUF生成秘密响应R
i
生成消息其中，表示虚假身份标识；边缘物联网设备基于所述消息生成认证参数I0＝H(M0||R
i
)，H为哈希函数，并将消息和认证参数I0＝H(M0||R
i
)发送到设备管理；设备管理基于接受到的消息计算出哈希值I0'，若I0'与I0相等，则生成一个随机噪声N2，进而生成消息并进一步生成认证参数I1＝H(M1||N1||N2||R
i
)；设备管理将消息和认证参数I1＝H(M1||N1||N2||R
i
)经连接管理发送至边缘物联网设备；边缘物联网设备基于接收到的消息计算出哈希值I1'，若I1'与I1相等，则生成会话密钥更新其虚假身份标识然后将发送到设备管理；ID
A
表示边缘物联网设备的标识号；设备管理生成新的虚假身份标识并验证若通过验证，则设备管理会存储以供将来的身份验证请求。2.根据权利要求1所述的一种基于设备指纹和PUF的轻量级安全认证方法，其特征在于，所述方法还包括：边缘物联网设备生成随机噪声N3，然后生成和V1＝H(D1||k
i
||N3)，然后将D1和V1发送给连接管理，其中，Data表示待传输数据内容；F
GA
是边缘物联网设备对无线信道进行采样生成的无线指纹；连接管理创建消息D
G
＝{F
AG
}和相应的身份验证参数V
G
＝H(D
G
||k
GS
)，并将D
G
和V
G
发给设备管理，F
AG
为连接管理对无线信道进行采样生成的无线指纹；设备管理使用会话密钥k
i
和秘密对称密钥k
GS
分别对D1和D
G
进行解密，得到Data和无线指纹，若无线信道未受到破坏，且F
AG
＝F
GA
，则设备管理接收数据，并向边缘物联网设备发送认证参数作为确认；边缘物联网设备对接受到的V
S
进行验证，如果验证成功，则进行数据发送。3.根据权利要求2所述的一种基于设备指纹和PUF的轻量级安全认证方法，其特征在于：若F
AG
≠F
GA
，则设备管理拒绝接收边缘物联网设备发送的数据；如果V
S
验证失败，则边缘物联网设备重新发送数据。4.根据权利要求2所述的一种基于设备指纹和PUF的轻量级安全认证方法，其特征在于：无线信道的破坏情况通过以下步骤获得：分别计算F
GA
和F
AG
的方差，并取两个方差之间的差，即Δ＝Var(F
GA
)
‑
Var(F
AG
)，Var表示方差运算；将Δ与阈值进行比较，如果Δ小于阈值，则边缘物联网设备和设备管理之间的无线链路被认为是合法的，否则认为二者之间的信道受到破坏，数据将被丢弃。
5.根据权利要求1所述的一种基于设备指纹和PUF的轻量级安全认证方法，其特征在于，所述物联网设备内存储有CRP，所述方法还包括更新CRP，具体包括以下步骤：设备管理向连接管理发送和C
i+1
表示第i+1次迭代的询问；边缘物联网设备解密M1获得C
i+1
和N1，并验证认证参数X1，然后边缘物联网设备存储新的C
i+1
的值，并使用它来生成新的秘密响应R
i+1
；边缘物联网设备生成随机噪声N2，并产生新的虚假身份标识物联网设备向设备管理发送M2＝{R
i+1
,N1,N2}以及相应的认证参数设备管理解密M2，从中获得R
i+1
和N2，并使用N2生成新的虚假身份标识并验证X2；设备管理将边缘物联网设备的CRP替换为(C
i+1
,R
i+1
)。6.一种基于设备指纹和P...

【专利技术属性】
技术研发人员：缪巍巍，曾锃，王传君，李世豪，张震，张瑞，张明轩，滕昌志，胡游君，周忠冉，张文鹏，刘赛，蔡世龙，
申请(专利权)人：国网江苏省电力有限公司南京南瑞信息通信科技有限公司，
类型：发明
国别省市：