一种基于可信执行环境和计算态凭证的IIoT认证方案制造技术

本发明专利技术涉及一种基于可信执行环境和计算态凭证的工业物联网认证方案。随着物联网技术在工业领域的广泛应用，工业物联网(IIoT)的安全性成为关注焦点。现有基于动态认证凭证的方案存在凭证存储和认证表丢失风险。为解决这些问题，本发明专利技术引入机密计算的可信执行环境(TEE)，实现凭证的计算态，避免凭证存储风险，并保证数据的机密性和完整性。该方案包括六个阶段，涵盖初始化、用户注册、设备注册、认证与密钥交换、动态更新和密码更改。通过该方案，工业物联网认证过程的安全性得到增强。业物联网认证过程的安全性得到增强。业物联网认证过程的安全性得到增强。

【技术实现步骤摘要】
一种基于可信执行环境和计算态凭证的IIoT认证方案


[0001]本专利技术涉及机密计算领域，具体涉及一种基于可信执行环境和计算态凭证的工业物联网认证方案。

技术介绍

[0002]物联网技术在工业领域的应用为工业带来了发展机遇，实现了积极的经济和生产效益。工业物联网(IIoT)被广泛应用于电能生产与传输、石油工业、铁路、航空航天工业等关系国计民生的关键基础设施中。然而IIoT的应用也带来了额外的安全风险，针对IIoT的攻击往往不局限于数据层面，通过攻击IIoT可以直接威胁到关键的基础设施，造成严重的后果。由于工业物联网设备在公共信道中的通信是开放和不可靠的，可能导致窃听、拦截和篡改。因此，需要建立一个安全的认证方案来保护工业物联网数据和指令的安全性。
[0003]近年来，基于动态认证凭证(DAC)的认证方案在认证阶段之后更新用于密钥协商的凭证，实现了更好的安全性。但是DAC更新周期与用户的登录频率是同步的，在两次登录的间隔时间内，凭证或凭证的假名是静态存储在设备上的，设备不会拒绝恶意代码访问凭证进行匹配攻击，这意味着如果时间间隔足够长，即本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于可信执行环境和计算态凭证的IIoT认证方案，其特征在于：该技术基于可信执行环境，实现了两方面功能：1.基于可信执行环境，实现了认证方案会话密钥协商凭证的计算态，协商凭证不以任何形式存储，仅在运行时临时生成，解决了传统存储态凭证的泄露风险；2.基于可信执行环境，实现了生成密钥协商凭证所需数据的完整性和机密性保护，进一步保障了会话密钥协商过程的安全性；为实现通信三方的安全的身份认证和会话密钥协商，该方案包括六个阶段，分别为：初始化阶段、用户注册(U)阶段、工业现场设备(IFE)注册阶段、认证和密钥交换阶段、动态更新阶段、密码更改阶段；其中，可信执行环境(TEE)指机密计算技术提供的安全硬件环境，可以保护其中代码和数据的完整性和机密性。其中，实现会话密钥协商凭证的计算态指协商临时密钥所需的凭证2.如权利要求1所述的一种基于可信执行环境和计算态凭证的IIoT认证方案，其特征在于：所述初始化阶段，超级管理员(SA)为网关(GW)和工业现场设备(IFE)写入配置信息，具体流程为：S11:SA为网关GW配置机密计算环境，随后为GW生成用于实现计算态凭证的主密钥K
GW
，并保存在TEE中；S12:SA为GW和IFD编写基本配置参数和操作函数，包括：硬件id、连接操作||、散列算法h()、散列算法HMAC消息和xor异或操作；S13:SA为每个网关GW生成一对公私钥，即公钥K
P
和私钥K
V
，SA存储公钥K
P
及相应的网关信息，网关存储私钥K
V
，初始化后，GW即可部署在工作区；3.如权利要求1所述的一种基于可信执行环境和计算态凭证的IIoT认证方案，其特征在于：所述用户注册阶段，具体为：S21:U和SA建立可靠的通信，可以是物理相邻空间，也可以是在线可靠信道，以实现U和SA之间的信息一致性；S22:U向客户端插入SC卡，获取本地存储信息ID
SC
，然后输入ID
i
,BIO
i
,PW
i
，计算：(σ
i
,τ
i
)＝Gen(BIO
i
),UID
i
＝h(ID
SC
||σ
i
),U向SA请求UID
i
对应的RN
SA
，并计算：RPW
i
＝h(ID
SC
||σ
i
||PW
i
),V＝h(UID
i
||RPW
i
)SA向U提供ID
GW
和K
P
，U生成当前时间戳TS1，生成主密钥计算：客户端向GW发送消息m1＝{MSG
i
,TS1}；S23:GW检查TS1的新鲜度，如果不新鲜则拒绝注册。如果是新鲜的，计算UID
i
,GW检查是否等于TS1，否则拒绝注册，如果相等，获取ID
GW
并将密钥对保存在TEE区域，生成当前时间戳TS2并计算：ACK
GW
＝h(ID
GW
||TS2),向客户端发送消息m2＝{MSG
GW
,TS2}；S24:U检查TS2的新鲜度，如果新鲜，则计算：ACK
GW
＝h(ID
GW
||TS2)
检查是否等于ACK
GW
，如果是，则将键值对保存在TEE区域中，将{V,τ
i
}保存到SC卡中；4.如权利要求1所述的一种基于可信执行环境和计算态凭证的IIoT认证方案，其特征在于：所述工业现场设备注册阶段，具体流程为：S31:IFD和SA建立可靠的通信，可以是物理相邻空间，也可以是在线可靠信道，以实现IFD与SA之间的信息一致性；S32:IFD获得自己的标识ID
j
，SA提供目标GW的唯一标识ID
GW
和相应的公钥K
P
，然后生成随机数并计算：IFD生成新的时间戳TS1，并使用公钥K
P
加密信息：然后向GW发送注册消息m1＝{MSG
j
,TS1}；S33:GW在接收到注册请求消息m1之后检查时间戳TS1的新鲜度，如果不新鲜，它将拒绝注册并请求重新发送，GW使用私钥K
v
对信息进行解密：ID
j
,然后检查TS1是否等于如果它们不相等，则GW拒绝注册并请求m1的重新发送，GW将ID
j
,输入到TEE中，保存键值对然后GW生成新的时间戳TS2并计算：ACK
GW
＝h(ID
GW
||TS2),GW向IFD发送消息m2＝{MSG
GW
,TS2}；S34:IFD接收消息m2并检查时间戳TS2的新鲜度；如果不是新鲜的，丢弃它并请求重新传输，如果是新鲜的，IFD计算:ACK
GW
...

【专利技术属性】
技术研发人员：刘忻，杨浩睿，马浚，张瑞生，杨玲，王健，李安福，张登晓，王淼，
申请(专利权)人：兰州大学，
类型：发明
国别省市：