本发明专利技术涉及一种物理不可克隆函数硬件中高熵值随机数生成方法,包括初始熵源提取、熵累加和高熵值随机数生成三个部分,在熵源提取部分,物联网终端设备根据SRAM存储器的物理特性,提取“噪声”指纹即上电初始值作为初始PUF熵源;在熵累加部分,将提取PUF值作为挑战响应对作为低熵源输入,并利用基于HMAC算法的熵累加器从PUF值中提取出高熵值随机数种子,作为设备密钥;在高熵值随机数生成阶段中,以真随机数种子为输入,通过基于密码学安全的伪随机数发生器,生成不同长度的高熵值算法的随机数发生器生成不同长度的高熵值随机数。本方法采用硬件设备特有的PUF硬件指纹,降低物联网终端设备信任体系的计算、存储开销,同时为终端设备信任根提供安全的高熵值随机数。设备信任根提供安全的高熵值随机数。设备信任根提供安全的高熵值随机数。
【技术实现步骤摘要】
一种物理不可克隆函数硬件中高熵值随机数生成方法
[0001]本专利技术涉及一种PUF硬件指纹在新领域的应用,具体涉及一种物理不可克隆函数硬件中高熵值随机数生成方法,属于信息安全
技术介绍
[0002]当前物联网终端设备由于普遍计算、存储资源受限以及缺乏硬件安全芯片,而难以建立安全且高性能的可信安全机制,而随机数的质量是可信安全机制的关键,在隐私数据加密保护中有着核心的作用。
[0003]高质量的随机数应满足三个条件,随机性、不可预测性和不可重复性。随机性是指,随机数的出现是随机的,看起来是均匀分布并且能通过随机性检测的;不可预测性是即使攻击者获得了真随机数发生器的软硬件算法及原理,也无法预测将要产生的随机数;不可重复性是指,产生的随机数与先前产生以及之后产生的随机数不存在互相关性,即无法通过先验知识对之后的随机数进行预测。
[0004]信息熵是信息论的基本概念,表示信息源各种可能发生的不确定性,并且香农提出了信息熵的量化数学表达式。因此随机数的高熵值意味着随机数的高随机性,另外根据国家密码局发布的《密码模块安全技术要求》规定,一般的安全参数至少需要256比特的最小熵,因此在设计信任根设备秘钥和随机数时,应考虑秘钥长度在256以上,并且拥有足够的最小熵。
[0005]为了给可信安全功能提供加密所需的随机数,我们需要在终端设备中构造随机数发生器(RNG),目前随机数发生器的包括三种类型,真随机数发生器(TRNG)、伪随机数发生器(PRNG)和混合随机数发生器(HRNG)。一般地在计算机中采用PRNG,原理是选取一个固定种子作为输入,使用一个确定性的算法来产生随机数序列,但缺点是得到的随机数结果在一定长度之后会出现数值循环;TRNG利用物理方法来实现随机数发生,产生的是真正意义时随机、不重复的随机数序列;HRNG是结合TRNG和PRNG,利用TRNG从熵源中产生真随机数种子,并将真随机数种子输入PRNG中产生随机数。在实际应用中,HRNG相比于TRNG,具有不会因熵源刷新而被阻塞的优点。
[0006]物理不可克隆函数(Physically unclonable Function,PUF)是IC设备在生产中无法避免的工艺偏差产生的,具有唯一性。因此不同的设备具有不同的激励响应信号对(挑战响应对),这相当于利用物理不可克隆函数为每一个设备赋予了一个独特的指纹,这种不可克隆的指纹可以用于身份认证。目前比较有代表性的物理不合克隆函数有有光学PUF、Arbiter PUF、ROPUF和SRAMPUF等。
[0007]SRAMPUF是由于每次SRAM上电时,其晶体管阈值电压的差异导致每个SRAM单元都有独特的0和1的状态可以作为设备指纹,并将PUF激励和反馈值称为“挑战响应对”。另外,SRAM每次上电时的初始值会由于晶体管阈值电压的随机差异而存在一定范围内的随机偏差,即指纹噪声。本实验基于SRAMPUF指纹中的噪声,提取噪声的随机值作为熵源。根据PUF的物理不可克隆函数特性,SRAMPUF每次上电时存在的噪声偏差是根据硬件电路中的物理
现象产生的,具有真随机性,可以作为熵源来通过熵累加来生成真随机数种子。
技术实现思路
[0008]本专利技术正是针对现有技术中存在的问题,提供一种物理不可克隆函数硬件中高熵值随机数生成方法,该技术方案设计了一种混合随机数发生器(HRNG)来同时实现终端设备中随机数种子和高熵值随机数的生成,解决的问题包括物联网终端设备中安全设备秘钥的生成和高熵值随机数的生成,来保证设备秘密ID的安全性,同时高熵值真随机数可以用于加密数据等其他安全功能中,为物联网终端设备提出轻量级的高熵值随机数发生的解决方法。
[0009]为了实现上述目的,本专利技术的技术方案如下,一种物理不可克隆函数硬件中高熵值随机数生成方法,包括三个阶段,初始熵源提取阶段、熵累加阶段和高熵值随机数生成阶段,具体步骤如下:
[0010]步骤S1,在初始熵源提取阶段,初始数据由一个物理不可克隆函数硬件产生,之后对得到的初始数据的01比特序列通过不同的数学方法进行评估;
[0011]步骤S2,在熵累加阶段,通过熵累加器,以PUF电路初始值为输入,在熵累加器中通过异或函数、消息摘要函数等方式对PUF初始值进行熵累加和提取,来实现PUF初始值中高熵值的真随机数种子的提取,提取得到的真随机数种子可以作为安全设备密钥;
[0012]步骤S3,在随机数生成阶段,以高熵值的真随机数种子为输入,在真随机数发生器中,通过哈希函数、对称加密算法等方式对真随机数种子进行运算,并按需生成不同长度的高熵值随机数。
[0013]作为本专利技术的一种改进,所述步骤S1中初始熵源提取阶段进一步包括:
[0014]S11,熵源提取器提取的是SRAMPUF指纹中的“噪声”,由于SRAM每次上电时的初始值会存在一定范围内的随机偏差,因此SRAMPUF是一种噪声指纹,并且这种噪声是物理原理造成的具有真随机性,本专利技术基于SRAMPUF指纹中的噪声,提取噪声的随机值作为熵源;
[0015]S12,针对提取PUF值得到的挑战响应对的01比特序列,采用计算汉明距离的方法对得到的PUF响应值进行性能评估,包括唯一性和健壮性,分别表示PUF值硬件指纹的唯一性特征和可靠硬件指纹的健壮性特征;采用计算最小熵的方法,来根据最小熵的大小对熵累加阶段的初始数据输入、输出长度的关系作相应的限制。
[0016]步骤S1包括如下子步骤:
[0017]S11,设置不同范围和长度的挑战值,对存储器设备进行挑战并获取其响应值,获得挑战响应对,包括获取同一长度下不同地址范围的PUF值,以及获取同一地址范围下不同次数的PUF值;
[0018]S12,由同一长度D下两两不同范围的PUF进行n次汉明距离的计算,获得汉明距离平均值PUF值的唯一性可以根据表示,理想状态下唯一性值为50%;同一长度D两两不同次数的PUF进行n次汉明距离的计算,获得汉明距离平均值PUF值的稳定性可以根据表示,如果在BCH纠错函数20%的纠错误差范围内可以认为PUF值是稳定的;
同一长度D进行n次采集,用表示最小熵来表示PUF值作为熵源的随机性大小。
[0019]作为本专利技术的一种改进,所述步骤S2中熵累加阶段进一步包括:
[0020]S21,在生成随机数种子过程中,使用熵累加器,根据消息摘要函数的原理从PUF熵源来积累提取足够高熵的结果,而避免设计复杂的熵估计部分;
[0021]S22:以足够多的同一PUF下不同次数的值作为输入,根据最小熵大小及输出的真随机数种子长度,计算出输入数据所需的最小长度值;
[0022]S23,将随机数种子作为设备密钥,而无需通过原始设备厂商来生成设备密钥;
[0023]S24,在函数计算方面采用改进的迭代HMAC
‑
SHA256算法,具有更好的安全性,并且保证真随机数种子具有足够高的熵值。
[0024]作为本专利技术的一种改进,所述步骤S3中高熵值随机数生成本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种物理不可克隆函数硬件中高熵值随机数生成方法,其特征在于,包括三个阶段,初始熵源提取阶段、熵累加阶段和高熵值随机数生成阶段,具体步骤如下:步骤S1,在初始熵源提取阶段,初始数据由一个物理不可克隆函数硬件产生,之后对得到的初始数据的01比特序列通过不同的数学方法进行评估;步骤S2,在熵累加阶段,通过熵累加器,以PUF电路初始值为输入,在熵累加器中通过异或函数、消息摘要函数方式对PUF初始值进行熵累加和提取,来实现PUF初始值中高熵值的真随机数种子的提取,提取得到的真随机数种子可以作为安全设备密钥;步骤S3,在随机数生成阶段,以高熵值的真随机数种子为输入,在伪随机数发生器中,通过哈希函数、对称加密算法等方式对真随机数种子进行运算,并按需生成不同长度的高熵值随机数。2.根据权利要求1所述的物理不可克隆函数硬件中高熵值随机数生成方法,其特征在于,所述步骤S1中初始熵源提取阶段进一步包括:步骤S1包括如下子步骤:S11,设置不同范围和长度的挑战值,对存储器设备进行挑战并获取其响应值,获得挑战响应对,包括获取同一长度下不同地址范围的PUF值,以及获取同一地址范围下不同次数的PUF值;S12,由同一长度D下两两不同范围的PUF进行n次汉明距离的计算,获得汉明距离平均值PUF值的唯一性可以根据表示,理想状态下唯一性值为50%;同一长度D两两不同次数的PUF进行n次汉明距离的计算,获得汉明距离平均值PUF值的稳定性可以根据表示,如果在BCH纠错函数20%的纠错误差范围内可以认为PUF值是稳定的;同一长度D进行n次采集,用表示最...
【专利技术属性】
技术研发人员:陈立全,赵泽瑞,王金龙,
申请(专利权)人:东南大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。