【技术实现步骤摘要】
本专利技术属于通信网络安全,具体地,涉及一种安全且轻量的跨层接入互认证与密钥协商方法及系统。
技术介绍
1、接入认证和密钥协商是网络通信中用于保护安全和隐私的两项关键技术。接入认证是指通过验证接入终端或用户的身份,判断其是否具有接入网络或者访问特定资源的合法权限,可以防止网络被非法接入和恶意入侵。密钥协商是指通信双方建立相同密钥的过程,用于在后续通信会话中加密和解密数据,保证通信的机密性和完整性。兼具上述两项安全技术的协议称为接入认证与密钥协商方法,这类协议通常以接入认证为主,密钥协商为辅。
2、对于具备网络规模剧增、无线环境开放、互联网边界泛化、资源受限和服务对象敏感这类特点的网络来说,例如工业物联网,轻量级和隐私保护需求变得极为重要,这也成为接入认证协议的重要研究方向之一。现有的通信网络大多采用基于密码学的上层认证机制实现认证目标,能提供极高的安全性,已有很多较为完整的算法及协议,但是普遍复杂度较高,与轻量和隐私保护的需求存在冲突。物理层认证是一种不同于上层密码学的底层认证机制,包括基于发射端设备特征、统计信道特征等方向的被动式物理层认证和基于传输参数修改、叠加物理层标签等方向的主动式物理层认证,复杂度和通信开销较低,但安全性能同样较低。
3、物理不可克隆函数(physically unclonable functions,puf)是一种硬件安全原语,能够基于集成电路内部独有的随机性,建立输入挑战与输出响应之间的联系,即挑战-响应对(challenge-response pair,crp),具备天然的
技术实现思路
1、针对上述问题,本专利技术将物理层的硬件“指纹”crp和无线信道相位信息与上层的密码学接入认证方法结合,提出了一种安全且轻量的跨层接入互认证与密钥协商方法及系统,融合了两层的认证技术并保留了两种单层方法的优点,互补了各自的缺点,最终以十分轻量的代价实现了具备隐私保护和多种安全功能的接入互认证与会话密钥协商。
2、本专利技术分为系统初始化与终端注册方案和跨层互认证与密钥协商方案两个部分;
3、其中初始化与终端注册部分解决的技术问题包括:(1)终端对网关身份匿名的注册方法;(2)网关处crp低存储设计方法。
4、跨层互认证与密钥协商部分解决的技术问题包括:(1)低复杂度密码学原语与物理层信息融合的跨层终端-网关互认证方法;(2)抗外部和内部隐私威胁的传输信息设计方法;(3)安全且快速的会话密钥协商方法。
5、本专利技术通过以下技术方案实现:
6、一种安全且轻量的跨层接入互认证与密钥协商方法:
7、所述方法具体包括以下步骤:
8、步骤一、系统初始化,网关选择单向哈希函数并定义puf提取响应方式;
9、步骤二、终端注册,终端通过在真实身份id与随机数的哈希运算生成伪身份pidi,并通过安全信道发送至网关;
10、步骤三、网关存储伪身份pidi,为其生成挑战参数ci并发送回终端;终端使用自身puf生成响应参数ri与当前伪身份pidi进行异或操作并将结果ri发送至网关;网关将ri与当前伪身份pidi进行异或操作后恢复得到ri,并存储该终端当前轮次的pidi与挑战-响应对(ci,ri);
11、步骤四、终端生成认证信息,终端生成随机数b和当前时间戳t1,将终端注册阶段存储的当前挑战参数ci输入puf得到响应参数ri,计算认证消息,生成有n个子载波的随机相位ofdm信号并发送给网关;
12、步骤五、网关验证步骤四的认证消息,认证通过后生成会话密钥,处理接收到的多载波信号的相位并将处理结果发送回终端进行认证;
13、步骤六、终端验证步骤五的认证消息,认证成功后生成会话密钥,用于生成认证成功标识,并在加密当前伪身份后发送至网关;
14、步骤七、网关再次验证步骤六的认证消息,若网关根据步骤五的会话密钥成功解密并得到步骤六的认证成功标识,则表明接入终端与网关节点的互认证和会话密钥协商成功并结束。
15、进一步的,在步骤一中具体为:
16、网关选择单向哈希函数h(·):{0,1}*→{0,1}l,并定义puf提取响应方式puf(·):{0,1}c→{0,1}r;其中,{0,1}n指长度为n的0、1比特数据,*指任意长度,l指哈希函数的输出长度,c指puf的输入挑战长度,r指puf的输出响应长度。
17、进一步的,在步骤二中具体为:
18、终端生成随机数ai和当前时间戳ti,与真实身份id位连接后做哈希运算,计算出当前伪身份pidi=h(id||ai||ti),将pidi通过安全信道发送至网关;其中,i指当前轮次。
19、进一步的,在步骤三中具体为:
20、网关存储pidi,为其生成随机的puf挑战参数ci,将ci通过安全信道发送回终端;终端收到并存储当前挑战参数ci,将其输入自身puf后得到响应参数ri=puf(ci),将ri与当前伪身份pidi进行异或操作后得到将ri通过安全信道发送至网关;网关将ri与当前伪身份pidi进行异或操作后恢复得到并存储该终端当前轮次的pidi与挑战-响应对(ci,ri)。
21、进一步的,在步骤四中具体为:
22、终端生成随机数b和当前时间戳t1,将注册阶段存储的当前挑战参数ci输入puf得到响应参数ri,计算认证消息和m2=h(m1||ri||t1||b),生成有n个子载波的随机相位ofdm信号
23、其中子载波的相位服从[0,2π)上的均匀分布,“t”表示矩阵转置;随后,终端将消息①{pidi,m1,m2,sa,t1}发送给网关。
24、进一步的,在步骤五中具体为:
25、步骤五一、网关首先判断消息收到时间与发送时间t1之差是否小于合理的最大传输时延δt,如果不符合则退出认证程序;如果符合则用注册阶段存储的pidi与挑战-响应对(ci,ri)计算m3=h(pidi||ci||t1),将m3与m1异或恢复出b,进而计算m4=h(m1||ri||t1||b);
26、比较m4与收到的m2是否相等,如果相等,则网关对终端认证成功;网关生成当前时间戳t2和随机数b2,计算得到会话密钥ski=h(pidi||ci||ri||t1||t2||b||b2);
27、步骤五二、网关计算接收到的多载波信号的相位:
28、
29、假设puf响应参数和随机数的长度与子载波数匹配,即lr=lb=ln;将ri和依次按2bit切分,每个分组有四种可能,即00、01、10、11;
30、定义一个长度是ri二倍的过渡参数x,令其前一半是ri的n/2个分组,后一半是的n/2个分组,即x有n个分组:
31、
32、其中,rn指ri的第n个分组,指的第n个分组;
33、用映射函数m:{0,1}2→[0,2π)本文档来自技高网...
【技术保护点】
1.一种安全且轻量的跨层接入互认证与密钥协商方法,其特征在于:
2.根据权利要求1所述方法,其特征在于:在步骤一中具体为:
3.根据权利要求2所述方法,其特征在于:在步骤二中具体为:
4.根据权利要求3所述方法,其特征在于:在步骤三中具体为:
5.根据权利要求4所述方法,其特征在于:在步骤四中具体为:
6.根据权利要求5所述方法,其特征在于:在步骤五中具体为:
7.根据权利要求6所述方法,其特征在于:在步骤六中具体包括:
8.根据权利要求7所述方法,其特征在于:在步骤七中具体为:
9.一种安全且轻量的跨层接入互认证与密钥协商系统,其特征在于:
10.一种电子设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至8中任意一项所述方法的步骤。
【技术特征摘要】
1.一种安全且轻量的跨层接入互认证与密钥协商方法,其特征在于:
2.根据权利要求1所述方法,其特征在于:在步骤一中具体为:
3.根据权利要求2所述方法,其特征在于:在步骤二中具体为:
4.根据权利要求3所述方法,其特征在于:在步骤三中具体为:
5.根据权利要求4所述方法,其特征在于:在步骤四中具体为:
6.根据权利要求5所述方法,其特征在于:在...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。