CN108768660B - 基于物理不可克隆函数的物联网设备身份认证方法 - Google Patents

Abstract

本发明涉及一种基于物理不可克隆函数的物联网设备身份认证方法，该方法结合物理不可克隆函数的性质特点以及零知识证明的内容，可用于物联网网络中多设备及用户本身的身份认证，属于信息安全中的物联网安全领域。该认证方法中，有服务器、用户、访问设备和被访问设备四个实体，其主要内容为：注册阶段：服务器需要对特定挑战的响应值和用户口令以一离散对数群生成元的幂形式进行存储，进行设备注册；认证阶段，服务器发送已注册的挑战进行二次响应，此时访问设备和设备作为整体与用户和服务器进行零知识证明；同时访问设备、设备以及服务器进行另一零知识证明，向服务器完成用户的身份认证，以及访问设备、设备合法性的初步认证及最终认证。

Description

基于物理不可克隆函数的物联网设备身份认证方法

技术领域

本发明涉及一种基于物理不可克隆函数的物联网设备身份认证方法，可用于物联网网络中多设备及用户本身的身份认证，属于信息安全中的物联网安全领域。

背景技术

在大数据与物联网交汇交融的时代，物联网(Internet of Things，IoT)作为互联网的拓展及延伸，建立起物与物之间的交流通信。物联网，是一个以“物”为数据源的网络。随着各种感知器件和信息技术的发展，物联网覆盖的范围越发广泛，物联网感知层为整个信息网络贡献的信源、信宿越来越多，信息空间中各种角色的交互交融所产生的数据量也在不断膨胀，正在超越互联网成为大数据的主要信息来源。

物联网的发展建立在信息技术基础之上，受社会需求驱动。随着各行业智能设备的发明以及智慧模式的提出，物联网将广泛应用于工业、农业、商业、医疗卫生、安全保卫、环境保护、空天国防等领域。物联网网络资源的发展，关系着未来网络技术和信息资源的掌控。现代社会生活工作已经建立在复杂的互联网之上，物联网使得人与物、物与物、物与物交互联系，这将促进催生出“可计算、可信、云、大数据”等概念式智慧生活及工作模式，人也必将越来越依赖于物联网。届时物联网网络安全必然会成为影响社会稳定、国家安全的重要因素之一。

与传统的互联网网络安全相比，物联网中的安全问题将更复杂。物联网网络的通信不仅涵盖互联网中各种情形下的数据及信息的交换，物联网的感知层包含着巨大数据量的传感器，数据在射频网络和无线传感器网络中产生、交换。如何保障物与人、物与物之间信息的完整性和真实性，是物联网网络安全技术重要研究内容之一。

网络中信息安全交换与传递与身份认证技术有着密切的联系。传统意义上，身份认证是指确认网络通信中使用者/用户的身份真实性的过程，比如通过口令、令牌以及代表身份的指纹来进行身份的简单认证，通过身份认证，可以确认用户对信息的访问以及资源的使用权限。在物联网网络中，“身份”被赋予了更多的含义：不仅要认证用户的身份真实可靠，同时还要验证网络中的设备可信合法。在硬件设备系统中，认证是指确认芯片、电路板和系统组件(如RFID标签及智能卡等)的身份和真实性的过程。而在物联网中，对设备的认证提出了更高的要求：(1)在一个典型网络中将存在多个访问设备和被访问设备，如何有效管理并区分，避免内部攻击是重要问题；(2)要求数据多元发展；(3)保证数据源的信息的真实性与完整性。

本发明基于物理不可克隆函数(Physical Unclonable Function，PUF)设计物联网中的身份认证协议。PUF能够依赖于它在其上执行的物理硬件的独特特性提供硬件特有的字符串，对于物联网网络中的设备，PUF提供了两个有价值的功能：(1)使用确定信息动态重新生成敏感信息，不需要进行存储；(2)防篡改能力。PUF能够利用物理实体在制造工艺过程中造成的随机性差异，经一定的规则将这些差异以数字信息的形式提取出来。在实体输入一个激励的前提下，输出一个不可预测的响应，作为加密需要的密钥或者唯一标识ID(Identification Digital，ID)。不同于将秘密信息存储于存储器，PUF是从实体的复杂物理特性里导出秘密信息。利用PUF来承载认证信息，可以保证硬件设备的鲁棒性与实用性；并且PUF是与设备本身绑定，由芯片上的物理制造随机差异所决定，无法在其他设备上再现，具有唯一性；任何对设备进行的篡改尝试都会对PUF产生影响，破坏原有PUF，具有不可篡改的性质。

发明内容

本发明的目的是提供一种基于物理不可克隆函数的物联网设备身份认证方法，该发明中，用户可以利用内置PUF的访问设备向物联网网络中的设备进行身份认证。本发明利用物理不可克隆函数相关技术作为硬件设备认证的技术基础，结合密码学中零知识证明理论设计协议，为用户提供强大的安全保证。

本发明技术解决方案：一种基于物理不可克隆函数的物联网设备身份认证方法，应用场景包括四个主要的实体：中心服务器

同时也是一个系统网络的数据库，表示对用户进行身份验证和数据管理的一个实体；用户

代表使用者；阅读器

和设备

用户通过阅读器

(访问设备)对设备

进行访问。在进行认证协议之前，阅读器

及设备

中都内置有PUF，参与与服务器

的注册协议，一旦完成注册过程并执行认证过程，用户

能在使用

的帮助下进行认证并合理访问设备

因此，定义两个过程：

注册：是

和

之间的协议，用户

在

的帮助下向服务器注册。如果注册成功，则服务器获得并存储可用于后续认证的令牌T_u。

认证：是

和

之间的协议，其中使用

的

与使用存储凭证T_u的

来决定接收还是拒绝用户；也是

和

的协议，

在认证过程能够互相证明对方是合法的(访问)设备。

假设一个小型物联网环境中包含若干智能设备

在这个环境中存在一个管理服务中心

同时可以作为一个数据库存储各种认证信息，用户

作为使用者，需要使用阅读设备(或访问设备)

通过

对网络中的设备

进行数据访问。要求认证过程能满足以下属性：

1)即便敌手拥有访问设备

也无法通过系统验证成功。在实际情况下这种安全概念是必要的，访问设备可能是一个移动终端，很容易出现在某时刻终端存在于他人手中。为确保设备本身不会透露任何敏感信息，方案中设备上将不存储此类信息。

2)合法用户在没有设备的情形下无法认证成功。这点同样重要，它保证了在成功登录时必须有设备，同时相当于敌手知道了服务器中的存储信息以及用户信息，也不能创建所对应设备的克隆。

3)PUF本身的属性保证了设备的不可克隆和不可篡改，任何篡改都会使得PUF成为一个全新的PUF′，这就保证了合法用户必须拥有原始设备进行认证，才能成功通过认证。

在这个解决方案中(协议流程图如图4)，我们假设服务器

建立并宣布离散对数问题素数阶为q的群

及其生成元g₀。也就是说，

可以是素数p的乘法群

的一个子群。假设PUF被构造为使用

或者在询问PUF时，用户向PUF提交群。

注册阶段：

步骤一：服务器

向用户

发送挑战c以及群

的描述，由

表示它可以由一对(p,q)和它的生成元g₀组成。

步骤二：用户

向设备

发送H(c||pwd)，

g₀，其中pwd是用户密码，用于修改的Gen协议。

其中，Gen协议是来自模糊提取的两个协议：Gen和Rep协议。设一个模糊提取器有参数(m,l,t,ε)。

Gen协议：在注册阶段使用，输出为集合(R,P)，R是要重新生成的值，P是一个公共辅助字符串，用于恢复给定访问C下PUF的响应。纠错码ECC用于消除给定访问下PUF输出中最多t个错误。满足：在最小熵m的C的任何分布下，如果(R,P)←Gen(C)，则(R,P)和(U_l,R)的最大差异为ε。

Rep协议：这是一个恢复算法，给定P，(R,P)←Gen(C)，如果PUF的输出O′与注册时的输出O的距离dist(O,O′)≤t，则可以用公共辅助字符串和误解码算法重新输出R：Rep(O′,P)＝R。

步骤三：设备

计算一个挑战d＝H(H(c||pwd),<G_q>,g₀)并在此值上运行Gen以获得响应r，P。然后

发送给用户(g₀ ^r,P)。

步骤四：用户将(g₀ ^r,P)转发到服务器

服务器

将信息c，g₀，

一起存储。

认证阶段：

步骤一：服务器

向用户

发送挑战c，

g₀，P和一个随机数N。

步骤二：

将(H(c||pwd),

g₀,P,N)发送到访问设备

上进行Rep协议。

步骤三：访问设备

计算挑战d＝H(H(c||pwd),g₀,P)然后在该值上运行Rep以获得响应r。

随机选择

并计算出

以及

和w＝v-C′r mod q。

暂时保存C′、w。另外，

生成随机数

并以

及g₁、p₁为参数计算

然后

将

作为问询信息发送给被访问设备

步骤四：设备

初步认证访问设备

收到

发送的问询信息后，

首先在访问控制列表

中检索是否存在标识符

来初步认证

如果

不存在，证明

不是初始化阶段中的合法设备，则认证过程停止。如果

存在，设备

对

做取整运算得到D，

然后，

在内存中寻找Auth_ij，将其分割为Auth_l||Auth_r，其中高位是Auth_l，剩下的是Auth_r。考虑到下溢，分割时虚设位用零填充。

计算

和

并将

作为响应发送给

其中，f_pseudo(·)是伪随机函数。Auth_ij是关于

和

的认证信息，设一特定输入c₀，

Auth_ij存储在设备

中，每个设备只存储与自己相关的认证信息。

步骤五：访问设备

初步认证设备

当收到

发送的信息后，

首先在访问控制列表

中检索是否存在标识符

来初步认证

如果

不存在，则认证过程停止。反之，访问设备初步认证

接着将

和在步骤三保存的C′、w一同发送给用户

用户将这些值发送各服务器

其中，步骤四及步骤五中，

分别是合法访问设备

和设备

的标识符，由两者本身的PUF所决定，是各自PUF对特定输入的响应处理后的结果。存在于各自的访问控制列表中，如访问设备

的访问控制列表

中会有若干设备

的标识符；同理，

存在于设备

中，包含各种访问访问设备的标识符。

步骤六：服务器

首先计算

且如果C＝C′，则接受用户身份验证，同时承认访问设备

为合法设备，否则认证停止。

同时，服务器还需对收到的

信息进行处理，

计算

检索认证信息Auth_ij，并对其分割为Auth_l||Auth_r，继续计算

和

通过判断

与

是否相等来确认设备

的合法性。若

则设备

的合法性得到访问设备

的最终认证。

到达步骤六，已经验证用户为合法用户，访问设备

是合法原始设备，且

的合法性得到访问设备

的最终认证。

3、优点及功效：

本发明涉及一种基于物理不可克隆函数的物联网设备身份认证方案，可用于物联网网络中多设备及用户本身的身份认证，其优点和功效是：

1)该方案首次将硬件信息安全技术应用于物联网网络设备，结合信息安全技术中的身份认证以及零知识证明理论，提出了具体的认证方案，为用户提供了强大的安全保证。

2)该方案使用双因子认证，使得合法用户必须拥有合法设备的情形之下才可以进行身份认证和信息访问，用户口令与合法设备缺一不可。

3)基于物理不可克隆函数的性质，设备无法复制与克隆，保证了每一个设备的身份的唯一性，同时协议过程为零知识证明，挑战由PUF即时响应，设备不需要额外空间存储敏感信息。

4)该方案避免多实体系统中的内部攻击。

附图说明

图1为本发明流程图。

图2为PUF预测响应游戏流程框图。

图3为PUF响应不可区分游戏流程框图。

图4为基于PUF的物联网设备身份认证协议流程图。

具体实施方式

下面结合附图以及具体实施方式进一步说明本发明。

1、PUF模型

(1)PUF预测响应游戏

正如在以前的PUF文献中，我们做了一个标准的假设，没有物理设备，PUF的行为是不可预测的。令U_κ表示从{0,1}^κ随机选择的一组字符串。设PUF为函数

在长度为κ₁的输入上产生一个长度为κ₂的串。在给出定义之前，让我们先定义下面的PUF预测响应游戏(如图2)：

阶段一：敌手

对任何选择的c_i，

其中挑战集合

是所有挑战空间

的一个真子集，请求获得PUF响应r_i。

阶段二：PUF设备

将响应

返回给

阶段三-挑战：

选择一个迄今为止没有被查询的挑战c，即

不允许向的设备

的PUF提交挑战c的询问。

阶段四：敌手

可能再次发出一组新的多项式挑战

同时

仍然不允许向设备

的PUF提交挑战c的询问。

阶段五：设备

的PUF返回响应

给

响应：

输出PUF的响应

的猜测r′。如果r＝r′，则

获胜。令

表示

正确猜测

对c的响应而获胜的概率。即，当

的猜测r′等于

对挑战c的实际响应

时，敌手获胜。

(2)PUF响应不可区分游戏

PUF响应不可区分游戏(如图3)要求敌手

区分PUF的模糊提取器(m,l,t,ε)-fuzzy extractor的输出R和从{0,1}^l随机选取的一组字符串。下面对游戏进行定义，令U_κ表示从{0,1}^κ随机选取的字符串的集合。

阶段一-注册：敌手

对挑战

执行注册程序。

阶段二：设备D从Gen的输出中返回对应的辅助字符串P_i，(R_i,P_i)←Gen(r_i＝PUF_D(c_i))，设CP是这些(c_i,P_i)对的集合。

阶段三：对于任何

请求并接收其PUF响应R_i。

阶段四-挑战：

选择一个挑战c，c在注册阶段已被注册，但不在阶段三中，即

且

有P_i但没有对挑战c的R_i。PUF设备随机选择一个比特b，b∈{0,1}。

阶段五：如果b＝0，则给定R＝Rep(PUF_D(c)＝r,P)。否则，如果b＝1，那么

被赋予一个随机串s∈{0,1}^l。

阶段六：敌手

允许向设备D的PUF询问任何c′_i∈CP,c′_i≠c，对于所有c′_i≠c的挑战，PUF设备返回{r_i′|r_i′←PUF_D(c′_i)}。

阶段七-响应：最后，

输出一个比特b′。如果b＝b′则

获胜。令

表示

赢得比赛的概率。我们假设

可以忽略不计。

现在定义一个物理不可克隆函数，函数满足定义1，其安全性通过两个形式化游戏PUF预测响应游戏和PUF不可区分游戏定义。

定义1.与设备D的本身物理特性相关的物理不可克隆函数

是具有以下属性的函数：

(i)运行高效：PUF_D易于计算评估；

(ii)不可预测性：

在κ₂中可以忽略不计。

(iii)模糊提取：要求在PUF的注册阶段，给定一个挑战值c，PUF计算(R,P)←Gen(c)，其中R是要再生成的值，r←PUF(c)是PUF的响应值，P是辅助值。辅助字符串允许后续响应r′(与原始响应r距离为t)时可以被恢复为R。

(iv)不可区分性：要求PUF的输出在计算上与同样长度的随机字符串无法区分，PPT内

的攻击优势为

其中ε₁是可以忽略的。

(v)噪声有界：在相同挑战下，来自同一PUF_D的两个响应距离最多为t，对于可忽略的ε₂，有

(vi)唯一性：对于每个设备D，PUF_D是唯一的，对于其他任何设备D′的PUF_D′，ε₃足够小：

2、具体实施

在这个解决方案中，我们假设服务器

建立并宣布离散对数问题素数阶为q的群

及其生成元g₀。也就是说，

可以是素数p的乘法群

的一个子群。假设PUF被构造为使用

或者在询问PUF时，用户向PUF提交群。

准备工作：

令网络中设备为

D_j,j＝1,2,3,...，设一特定输入c₀，

Auth_ij存储在设备

中，每个设备只存储与自己相关的认证信息。

设另一特定输入c_m，

将这些

存入其访问控制列表

中，同理，

将这些

存入其访问控制列表

中。

分别是合法访问设备

和设备

的标识符，由两者本身的PUF所决定，是各自PUF对特定输入的响应处理后的结果，存在于各自的访问控制列表中。

注册阶段：

步骤一：服务器

向用户

发送挑战c以及群

的描述，由

表示它可以由一对(p,q)和它的生成元g₀组成。

步骤二：用户

向访问设备

发送H(c||pwd)，

g₀，其中pwd是用户密码，||为连接符号，H(·)为哈希函数，

将这些收到的值用于修改后的Gen协议。

步骤三：设备

计算一个挑战d＝H(H(c||pwd),<G_q>,g₀)并在此值上运行Gen以获得响应r，P。然后

发送给用户(g₀ ^r,P)。

步骤四：用户将(g₀ ^r,P)转发到服务器

服务器

将信息c，g₀，

一起存储。

认证阶段：

步骤一：服务器

向用户

发送挑战c，

g₀，P和一个随机数N。

步骤二：

将(H(c||pwd),

g₀,P,N)发送到访问设备

上进行Rep协议。

步骤三：访问设备

计算挑战d＝H(H(c||pwd),g₀,P)然后在该值上运行Rep以获得响应r。

随机选择

并计算出

以及

和w＝v-C′r mod q。

暂时保存C′、w。另外，

生成随机数

并以

及g₁、p₁为参数计算

然后

将

作为问询信息发送给被访问设备

步骤四：设备

初步认证访问设备

收到

发送的问询信息后，

首先在访问控制列表

中检索是否存在标识符

来初步认证

如果

不存在，证明

不是初始化阶段中的合法设备，则认证过程停止。如果

存在，设备

对

做取整运算得到D，

然后，

在内存中寻找Auth_ij，将其分割为Auth_l||Auth_r，其中高位是Auth_l，剩下的是Auth_r。考虑到下溢，分割时虚设位用零填充。

计算

和

并将

作为响应发送给

步骤五：访问设备

初步认证设备

当收到

发送的信息后，

首先在访问控制列表

中检索是否存在标识符

来初步认证

如果

不存在，则认证过程停止。反之，访问设备初步认证

接着将

和在步骤三保存的C′、w一同发送给用户

用户将这些值发送各服务器

步骤六：服务器

首先计算

且如果C＝C′，则接受用户身份验证，同时承认访问设备

为合法设备，否则认证停止。

同时，服务器还需对收到的

信息进行处理，

计算

检索认证信息Auth_ij，并对其分割为Auth_l||Auth_r，继续计算

和

通过判断

与

是否相等来确认设备

的合法性。若

则设备

的合法性得到访问设备

的最终认证。

到达步骤六，协议结束，已经验证用户

为合法用户，访问设备

是合法原始设备，且

的合法性得到访问设备

的最终认证。

其中，涉及到的外文词汇对照表如下：

表1发明涉及外文词汇对照表

Claims (1)

1.一种基于物理不可克隆函数的物联网设备身份认证方法，其特征在于：该方法应用场景包括四个主要的实体：中心服务器

同时也是一个系统网络的数据库，表示对用户进行身份验证和数据管理的一个实体；用户

代表使用者；阅读器

和设备

用户通过阅读器

即访问设备对设备

进行访问；在进行认证协议之前，阅读器

及设备

中都内置有PUF，参与与服务器

的注册协议，一旦完成注册过程并执行认证过程，用户

能在使用

的帮助下进行认证并合理访问设备

定义两个过程：

注册：是

和

之间的协议，用户

在

的帮助下向服务器注册；如果注册成功，则服务器获得并存储可用于后续认证的令牌T_u；

认证：是

和

之间的协议，其中使用

的

与使用存储凭证T_u的

来决定接收还是拒绝用户；也是

和

的协议，

在认证过程能够互相证明对方是合法的访问设备；

一个小型物联网环境中包含若干智能设备

在这个环境中存在一个管理服务中心

同时可以作为一个数据库存储各种认证信息，用户

作为使用者，需要使用阅读设备或访问设备

通过

对网络中的设备

进行数据访问，要求认证过程能满足以下属性：

1)即便敌手拥有访问设备

也无法通过系统验证成功；在实际情况下这种安全概念是必要的，访问设备可能是一个移动终端，很容易出现在某时刻终端存在于他人手中；为确保设备本身不会透露任何敏感信息，方案中设备上将不存储此类信息；

2)合法用户在没有设备的情形下无法认证成功，这点同样重要，它保证了在成功登录时必须有设备，同时相当于敌手知道了服务器中的存储信息以及用户信息，也不能创建所对应设备的克隆；

3)PUF本身的属性保证了设备的不可克隆和不可篡改，任何篡改都会使得PUF成为一个全新的PUF′，这就保证了合法用户必须拥有原始设备进行认证，才能成功通过认证；

服务器

建立并宣布离散对数问题素数阶为q的群

及其生成元g₀；也就是说，

可以是素数p的乘法群

的一个子群；PUF被构造为使用

或者在询问PUF时，用户向PUF提交群；

注册阶段：

步骤一：服务器

向用户

发送挑战c以及群

的描述，由

表示它可以由一对(p,q)和它的生成元g₀组成；

步骤二：用户

向设备

发送H(c||pwd)，

g₀，其中pwd是用户密码，用于修改Gen协议；

其中，Gen协议是来自模糊提取的两个协议：Gen和Rep协议，设一个模糊提取器有参数

其中m为最小熵，t为允许的PUF输出中错误的最多位数；

Gen协议：在注册阶段使用，输出为集合(R,P)，R是要重新生成的值，P是一个公共辅助字符串，用于恢复给定访问C下PUF的响应，纠错码ECC用于消除给定访问下PUF输出中最多t个错误，满足：在最小熵m的C的任何分布下，如果(R,P)←Gen(C)，则(R,P)和

的最大差异为ε；

Rep协议：这是一个恢复算法，给定P，(R,P)←Gen(C)，如果PUF的输出O′与注册时的输出O的距离dist(O,O′)≤t，则可以用公共辅助字符串和误解码算法重新输出R：Rep(O′,P)＝R；

步骤三：设备

计算一个挑战d＝H(H(c||pwd),<G_q>,g₀)并在此值上运行Gen以获得响应r，P，然后

发送给用户(g₀ ^r,P)；

步骤四：用户将(g₀ ^r,P)转发到服务器

服务器

将信息c，g₀，

一起存储；

认证阶段：

步骤一：服务器

向用户

发送挑战c，

g₀，P和一个随机数N；

步骤二：

将(H(c||pwd),

g₀,P,N)发送到访问设备

上进行Rep协议；

步骤三：访问设备

计算挑战d＝H(H(c||pwd),g₀,P)然后在该值上运行Rep以获得响应r，

随机选择

并计算出

以及

和w＝v-C′r mod q，

暂时保存C′、w，另外，

生成随机数

并以

及g₁、p₁为参数计算

然后

将

作为问询信息发送给被访问设备

步骤四：设备

初步认证访问设备

收到

发送的问询信息后，

首先在访问控制列表

中检索是否存在标识符

来初步认证

如果

不存在，证明

不是初始化阶段中的合法设备，则认证过程停止，如果

存在，设备

对

做取整运算得到D，

然后，

在内存中寻找Auth_ij，将其分割为Auth_l||Auth_r，其中高位是Auth_l，剩下的是Auth_r，考虑到下溢，分割时虚设位用零填充，

计算

和

并将

作为响应发送给

其中，f_pseudo(·)是伪随机函数，Auth_ij是关于

和

的认证信息，设一特定输入c₀，

Auth_ij存储在设备

中，每个设备只存储与自己相关的认证信息；

步骤五：访问设备

初步认证设备

当收到

发送的信息后，

首先在访问控制列表

中检索是否存在标识符

来初步认证

如果

不存在，则认证过程停止，反之，访问设备初步认证

接着将

和在步骤三保存的C′、w一同发送给用户

用户将这些值发送各服务器

其中，步骤四及步骤五中，

分别是合法访问设备

和设备

的标识符，由两者本身的PUF所决定，是各自PUF对特定输入的响应处理后的结果，存在于各自的访问控制列表中，如访问设备

的访问控制列表

中会有若干设备

的标识符；同理，

存在于设备

中，包含各种访问访问设备的标识符；

步骤六：服务器

首先计算

且如果C＝C′，则接受用户身份验证，同时承认访问设备

为合法设备，否则认证停止；

同时，服务器还需对收到的

信息进行处理，

计算

检索认证信息Auth_ij，并对其分割为Auth_l||Auth_r，继续计算

和

通过判断

与

是否相等来确认设备

的合法性，若

则设备

的合法性得到访问设备

的最终认证；

到达步骤六，已经验证用户为合法用户，访问设备

是合法原始设备，且

的合法性得到访问设备

的最终认证。

Images