一种基于硬件物理密钥的窄带物联网鉴权认证方法技术

本发明专利技术提供一种基于硬件物理密钥的窄带物联网鉴权认证方法，通过比较物联网设备中集成电路不同位置振荡环的振荡频率反映硬件的差异来提取硬件密钥,然后将此密钥作为物联网设备鉴权认证的根密钥与窄带物联网中核心网的用户签约服务器中的认证中心共享。相对于传统的密钥存储方式基于环形振荡器物理不可克隆函数的密钥存储方式具有按需生成、不用保存、难以复制等优点，能够为各种嵌入设备提供低成本、高安全的硬件密钥。高安全的硬件密钥。高安全的硬件密钥。

【技术实现步骤摘要】
一种基于硬件物理密钥的窄带物联网鉴权认证方法


[0001]本专利技术属于窄带物联网安全和物理不可克隆函数
，具体涉及一种基于硬件物理密钥的窄带物联网鉴权认证方法。

技术介绍

[0002]窄带物联网(Narrow Band Internet of Things,NB
‑
IoT)主流硬件一般由集成电路构成，通信大多需要经过具有广播特性的无线信道，易受到监听、伪造和篡改等威胁。目前在技术上主要是通过设备的鉴权认证或消息的隐藏来达到信息的保护，其主要方法是通过使用加密算法来实现，安全性主要依赖于密钥的安全性。NB
‑
IoT设备结构简单，存储密钥的只读存储器(Read Only Memory,Rom)容易受到侵入式和非侵入式的攻击，从而导致密钥的泄露，造成整个安全系统的奔溃。

技术实现思路

[0003]本专利技术为克服NB
‑
IoT鉴权认证过程中使用的密钥容易受到侵入式和非侵入式的攻击，从而导致密钥的泄露的问题，提出了一种利用环形振荡器物理不可克隆函数(Ring Oscillator PUF,RO PUF)的生成硬件密钥进行NB
‑
IoT设备鉴权认证的方法，通过比较物联网设备中集成电路不同位置振荡环的振荡频率反映硬件的差异来提取硬件密钥,然后将此密钥作为物联网设备鉴权认证的根密钥与窄带物联网中核心网的用户签约服务器中的认证中心(Authentication Center,AuC)共享。
[0004]在本专利技术提出的接入认证方法中，嵌有RO PUF的用户终端(User Equipment,UE)、移动管理实体(Mobility Management Entity,MME)和本地用户服务器(Home Subscriber Server,HSS)三个主体参与鉴权认证过程。UE以用户的身份和其余两个实体进行身份认证和密钥协商,MME表示被访问的网络，HSS负责对UE的身份进行认证。UE由可信的物联网设备生产商提供，每个UE内部都嵌入了ROPUF来提供与其设备唯一对应的硬件密钥K，同时物联网设备生产商也将这些密钥在UE安装时提供给HSS。在HSS中，AuC可通UE的国际移动用户识别码(International Mobile Subscriber Identification Number,IMSI)索引到相应的根密钥K。
[0005]一种基于硬件物理密钥的窄带物联网鉴权认证方法，具体包括：
[0006]S1用户终端向移动管理实体发送接入请求及请求信息；
[0007]S2所述移动管理实体接收到请求，向相应的本地用户服务器发送身份验证请求及身份验证信息；
[0008]S3所述本地用户服务器接收到身份验证请求后进行验证，如果验证通过，所述本地用户服务器生成认证向量AV；反之，否则验证失败，拒绝该接入请求,并发送给所述移动管理实体；
[0009]S4所述移动管理实体收到认证向量AV后将其存储，并提取其中的数据，同时分配一个密钥标识K
ASME
；然后向用户终端发起用户身份认证请求；
[0010]S5所述用户终端接收到认证请求后，提取认证请求中的RAND、MAC和SQN；然后计算XMAC，比较XMAC与MAC是否相同，并验证序列号SQN的合法性；如果全部验证通过，说明将要接入的是可信网络；接下来计算RES，并将RES返回给移动管理实体；否则，拒绝接入；
[0011]S6所述移动管理实体把接收到的RES和从认证向量AV中提取的XRES作对比，如果相同，则说明用户终端身份是合法的，认证通过；否则是非法用户，拒绝其接入；
[0012]S7认证通过以后，根据基础密钥生成其他会话密钥，鉴权认证结束。
[0013]进一步的，所述用户终端安装有硬件密钥生成模块；所述硬件密钥生成模块生成根密钥K。
[0014]进一步的，所述密钥生成模块由两个环形振荡器、两个多路复用器和计数器以及一个比较器组成。
[0015]进一步的，所述S1中所述请求信息包括所述用户终端的身份标识IMSI和所述本地用户服务器的身份标识ID
HSS
。
[0016]进一步的，所述S2所述身份验证信息包括用户终端的身份标识IMSI、服务网的标识SN
id
和网络类型。
[0017]进一步的，所述S3中进行验证为验证IMSI、SN
id
的合法性；
[0018]所述生成认证向量AV的具体过程为，本地服务器通过IMSI索引到相应的根密钥K，通过计算生成认证向量。
[0019]进一步的，所述S4中认证请求中包含认证令牌AUTN。
[0020]进一步的，所述用户终端和移动管理实体都以K
ASME
为基础密钥。
[0021]本专利技术的技术效果：
[0022]相对于传统的密钥存储方式，基于RO PUF的密钥存储方式具有按需生成、不用保存、难以复制等优点，能够为各种嵌入设备提供低成本、高安全的硬件密钥。
附图说明
[0023]附图大体上通过举例而不是限制的方式示出各种实施例，并且与说明书以及权利要求书一起用于对所专利技术的实施例进行说明。在适当的时候，在所有附图中使用相同的附图标记指代同一或相似的部分。这样的实施例是例证性的，而并非旨在作为本装置或方法的穷尽或排他实施例。
[0024]图1为基于硬件物理密钥的NB
‑
IoT鉴权认证方法框架图；
[0025]图2为基于硬件物理密钥的NB
‑
IoT鉴权认证方法流程图。
具体实施方式
[0026]需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
[0027]本专利技术为克服NB
‑
IoT鉴权认证过程中使用的密钥容易受到侵入式和非侵入式的攻击，从而导致密钥的泄露的问题，提出了一种利用RO PUF生成硬件密钥进行NB
‑
IoT设备鉴权认证的方法，通过比较物联网设备中集成电路不同位置振荡环的振荡频率反映硬件的差异来提取硬件密钥,然后将此密钥作为物联网设备鉴权认证的根密钥与窄带物联网中核心网本地用户服务器中的认证中心共享。
[0028]在本专利技术提出的接入认证方法中，嵌有RO PUF的用户终端、移动管理实体和本地用户服务器三个主体参与鉴权认证过程。UE以用户的身份和其余两个实体进行身份认证和密钥协商,MME表示被访问的网络，HSS负责对UE的身份进行认证。UE由可信的物联网设备生产商提供，每个UE内部都嵌入了RO PUF来提供与其设备唯一对应的硬件密钥K，同时物联网设备生产商也将这些密钥在UE安装时提供给HSS。在HSS中，AuC可通UE的国际移动用户识别码索引到相应的根密钥K。
[0029]本专利技术中产生硬件密钥的RO PUF利用集成电路中的随机工艺偏差导致的振荡环(环形振荡器)振荡频率差异来本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于硬件物理密钥的窄带物联网鉴权认证方法，其特征在于，具体包括：S1用户终端向移动管理实体发送接入请求及请求信息；S2所述移动管理实体接收到请求，向相应的本地用户服务器发送身份验证请求及身份验证信息；S3所述本地用户服务器接收到身份验证请求后进行验证，如果验证通过，所述本地用户服务器生成认证向量AV；反之，否则验证失败，拒绝该接入请求,并发送给所述移动管理实体；S4所述移动管理实体收到认证向量AV后将其存储，并提取其中的数据，同时分配一个密钥标识K
ASME
；然后向用户终端发起用户身份认证请求；S5所述用户终端接收到认证请求后，提取认证请求中的RAND、MAC和SQN；然后计算XMAC，比较XMAC与MAC是否相同，并验证序列号SQN的合法性；如果全部验证通过，说明将要接入的是可信网络；接下来计算RES，并将RES返回给移动管理实体；否则，拒绝接入；S6所述移动管理实体把接收到的RES和从认证向量AV中提取的XRES作对比，如果相同，则说明用户终端身份是合法的，认证通过；否则是非法用户，拒绝其接入；S7认证通过以后，根据基础密钥生成其他会话密钥，鉴权认证结束。2.根据权利要求1所述的...

【专利技术属性】
技术研发人员：张琳，
申请(专利权)人：厦门普理信息科技有限公司，
类型：发明
国别省市：