一种基于PUF技术的离线设备安全认证系统及实现方法技术方案

一种基于PUF技术的离线设备安全认证系统及实现方法，包括：主设备和从设备，所述主设备包括：主控制器模块、认证协处理器模块、第一非易失性存储器、第一PUF模块和主设备通信接口模块；所述认证协处理器分别与所述主控制器、主设备通信接口模块、第一非易失性储存器电连接；所述从设备包括：从设备通信接口模块、第二PUF模块、第二非易失性存储器以及认证处理模块；所述认证处理模块分别与所述从设备通信接口模块和第二非易失性存储器电连接，所述第二PUF模块与所述第二非易失性存储器电连接；所述主设备和从设备通过主设备通信接口模块和从设备通信接口模块以相同的通信数据协议连接。接。接。

【技术实现步骤摘要】
一种基于PUF技术的离线设备安全认证系统及实现方法


[0001]本专利技术涉及安全认证
，具体为一种基于PUF技术的离线设备安全认证系统及实现方法。

技术介绍

[0002]近年来，物联网(IOT)技术日益成熟，智能灯、智能音箱、智能摄像头以及可穿戴设备等产品已经走进人们的日常生活，智能终端更是随处可见，虽然物联网有广阔的发展前景，但安全性问题已成为物联网发展的最大障碍，并被列为物联网的头号隐忧，为了解决带来的隐患和降低风险，一些重要场合的电子设备的使用需要进行安全认证，例如，被认证的设备是一个从设备，用于执行安全认证的设备是主设备，当从设备需要进行安全认证时，需要将从设备连接至主设备，主设备读取从设备的数据并对从设备的数据进行校验，以判断从设备是否通过安全认证。
[0003]通常，主设备对从设备进行安全认证时，需要从服务器获取从设备ID号等数据或者密钥，因此，主设备需要设置网络通信模块，以实现与服务器之间的通信。然而，基于安全性的考虑，一些主设备不能够与服务器进行通信，这种设备通常被称为离线设备。由于离线设备不会与服务器等网络设备进行网络连接，在安全认证时主设备无法将从设备的ID号等上传服务器进行比对，而主设备本身不可能存储所有从设备的ID号，因此，现有离线设备的认证时，从设备无法做到一物一码。
[0004]目前通常的做法是采用单一的对称加密算法或非对称加密算法，即主设备与从设备上运行相同或者相对应的加密、解密算法，当采用对称加密算法时，则主设备和从设备需要存储相同的密钥，若主设备或从设备其中一种的密钥被攻破，则所有主从设备全部被破解；当采用非对称加密算法时，算法计算量大，功耗高，安全认证时间长且主从设备相应物理成本增加。
[0005]为此，一些离线设备设置一个计数器，通过计数器来计算使用的次数，通过对计数器的计数值进行安全认证。例如，主设备与从设备通过首次认证后，主设备记录从设备的计数器的计数值，且主设备后续与从设备连接时，从设备将识别码通过哈希算法计算获得一个哈希值，将识别码与哈希值发送至主设备，主设备判断该哈希值是否正确，如正确，则向从设备发送计数值增加1的指令，并读取从设备的从设备计数值；主设备判断所读取的从设备计数值是否大于主设备所记录的计数值加1，如是，则不通过从设备的认证。
[0006]然而，一方面，这种方法只能够验证连接至主设备的从设备的真伪，如果不法分子将废弃或者遗失的从设备连接至主设备，仍然能够通过安全认证，对离线设备的使用造成安全隐患。另一方面，现在有的离线设备认证方法对密文的处理基本上只依赖于哈希函数，加密算法单一，安全性不高，也存在安全隐患。
[0007]不难看出，现有技术中存在如下的问题和缺点：
[0008]由于离线设备没有网络连接，目前市面上在安全认证时主设备无法将从设备的ID码上传服务器进行比对，而主设备本身不可能存储所有从设备的ID码，所以从设备无法做
到一物一码。
[0009]目前市面上的离线设备相互认证通常采用单一的对称加密算法或非对称加密算法。当采用对称加密算法时，则主设备和从设备需要存储相同的密钥，若主设备或从设备其中一种的密钥被攻破，则所有主从设备全部被破解；当采用非对称加密算法时，算法计算量大，功耗高，安全认证时间长且主从设备相应物理成本增加，不适合市场应用。大部分离线设备安全认证的安全机制或者可信机制依赖于密钥的安全性。目前，密钥往往以非易失性形式存储，攻击者可以通过入侵式攻击或者非入侵式物理攻击读取密钥。对于绝大多数加密方案，密钥的安全生成和存储是保证系统安全的一个至关重要的前提。密钥生成需要一个随机源来保证密钥的不可预测和唯一性，密钥存储需要可靠的存储空间来保证密钥信息不会被未授权的机构获取。

技术实现思路

[0010]为此，为了解决现有技术中的上述问题，本专利技术提出一种基于PUF技术的离线设备安全认证方法。
[0011]本专利技术通过以下技术手段解决上述问题：
[0012]一种基于PUF技术的离线设备安全认证系统，包括：
[0013]主设备和从设备，所述主设备包括：主控制器模块、认证协处理器模块、第一非易失性存储器、第一PUF模块和主设备通信接口模块；所述认证协处理器分别与所述主控制器、主设备通信接口模块、第一非易失性储存器电连接；
[0014]所述从设备包括：从设备通信接口模块、第二PUF模块、第二非易失性存储器以及认证处理模块；所述认证处理模块分别与所述从设备通信接口模块和第二非易失性存储器电连接，所述第二PUF模块与所述第二非易失性存储器电连接；
[0015]所述主设备和从设备通过主设备通信接口模块和从设备通信接口模块以相同的通信数据协议连接。
[0016]进一步的，主控制器是主设备的控制单元，认证协处理器是进行安全认证流程的处理模块；从设备中的认证处理模块是与主设备中的认证协处理器模块对应进行安全认证流程的处理模块；主非易失性存储器和从非易失性存储器，是在掉电情况下数据仍可存储的带有电擦除功能的存储器，该存储器内存储主设备和从设备的ID码、密钥以及计数器数值数据；第一PUF模块和第二PUF模块是产生认证过程中所需的密钥和随机数模块。
[0017]本专利技术还提供一种基于PUF技术的离线设备安全认证系统的实现方法：
[0018]S1、主设备和从设备首次连接子流程，从设备首次接入主设备通信接口模块时开启的认证流程；
[0019]S10、所述主设备通过主设备通信接口模块监测到从设备接入；主控制器向所述认证协处理器发送安全认证启动指令；认证协处理器通过主设备通信接口模块向从设备发送寻找设备指令；
[0020]S11、从设备接收到寻找设备指令，对第二PUF模块产生的密钥进行填充形成第一填充密钥，与第二PUF模块产生的第一随机数异或计算获得第一组输入分组数据，计算哈希函数的输出数据；
[0021]S12、计算第一外部哈希值，将从设备ID码以及第一验证哈希值Q发送至主设备；
[0022]S13、验证第一验证哈希值是否通过验证；否，执行S20；是，执行S14；
[0023]S14、从设备应用第二PUF模块产生的第三随机数、第四随机数加密初始密钥，形成第一拼接数据并发送至主设备；
[0024]S15、主设备对第一拼接数据进行解密并进行验证；
[0025]S16、是否通过验证；否，执行S20；是，执行S17；
[0026]S17、从设备将ID码与计数器的计数值加密，形成第二拼接数据发送至主设备；
[0027]S18、主设备对第二拼接数据进行解密并进行验证；
[0028]S19、是否通过验证；否，执行S20；是，执行S21；
[0029]S20、终止认证；
[0030]S21、通过从设备的首次认证。
[0031]S2、从设备每次启动子流程，从设备每次进行工作时，主设备和从设备之间再次进行认证流程。
[0032]进一步的，所述S2包括：
[0033]S200、本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于PUF技术的离线设备安全认证系统，其特征在于，包括：主设备和从设备，所述主设备包括：主控制器模块、认证协处理器模块、第一非易失性存储器、第一PUF模块和主设备通信接口模块；所述认证协处理器分别与所述主控制器、主设备通信接口模块、第一非易失性储存器电连接；所述从设备包括：从设备通信接口模块、第二PUF模块、第二非易失性存储器以及认证处理模块；所述认证处理模块分别与所述从设备通信接口模块和第二非易失性存储器电连接，所述第二PUF模块与所述第二非易失性存储器电连接；所述主设备和从设备通过主设备通信接口模块和从设备通信接口模块以相同的通信数据协议连接。2.根据权利要求1所述的基于PUF技术的离线设备安全认证系统，其特征在于：主控制器是主设备的控制单元，认证协处理器是进行安全认证流程的处理模块；从设备中的认证处理模块是与主设备中的认证协处理器模块对应进行安全认证流程的处理模块；主非易失性存储器和从非易失性存储器，是在掉电情况下数据仍可存储的带有电擦除功能的存储器，该存储器内存储主设备和从设备的ID码、密钥以及计数器数值数据；第一PUF模块和第二PUF模块是产生认证过程中所需的密钥和随机数模块。3.一种采用权利要求2所述的基于PUF技术的离线设备安全认证系统的实现方法，其特征在于：S1、主设备和从设备首次连接子流程，从设备首次接入主设备通信接口模块时开启的认证流程；S10、所述主设备通过主设备通信接口模块监测到从设备接入；主控制器向所述认证协处理器发送安全认证启动指令；认证协处理器通过主设备通信接口模块向从设备发送寻找设备指令；S11、从设备接收到寻找设备指令，对第二PUF模块产生的密钥进行填充形成第一填充密钥，与第二PUF模块产生的第一随机数异或计算获得第一组输入分组数据，计算哈希函数的输出数据；S12、计算第一外部哈希值，将从设备ID码以及第一验证哈希值Q发送至主设备；S13、验证第一验证哈希值是否通过验证；否，执行S20；是，执行S14；S14、从设备应用第二PUF模块产生的第三随机数、第四随机数加密初始密钥，形成第一拼接数据并发送至主设备；S15、主设备对第一拼接数据进行解密并进行验证；S16、是否通过验证；否，执行S20；是，执行S17；S17、从设备将ID码与计数器的计数值加密，形成第二拼接数据发送至主设备；S18、主设备对第二拼接数据进行解密并进行验证；S19、是否通过验证；否，执行S20；是，执行S21；S20、终止认证；S21、通过从设备的首次认证。S2、从设备每次启动子流程，从设备每次进行工作时，主设备和从设备之间再次进行认证流程。4.根据权利要求3所述的基于PUF技术的离线设备安全认证系统的实现方法，其特征在
于，所述S2包括：S200、所述主设备通过主设备通信接口模块监测到从设备接入；主控制器向所述认证协处理器发送安全认证启动指令；认证协处理器通过主设备通信接口模块向从设备发送寻找设备指令；S201、从设备接收到寻找设备指令，对第二PUF模块产生的密钥进行填充形成第一填充密钥，与第二PUF模块产生的第一随机数异或计算获得第一组输入分组数据，计算哈希函数的输出数据；S202、计算第一外部哈希值，将从设备ID码以及第一验证哈希值Q发送至主设备；...

【专利技术属性】
技术研发人员：沈志春，夏玥，吴欣延，张清贵，刘心舸，林镇坤，
申请(专利权)人：珠海晶通科技有限公司，
类型：发明
国别省市：