本發(fā)明專利技術(shù)公開了一種基于偽隨機(jī)數(shù)和PUF的設(shè)備指紋構(gòu)建方法,克服現(xiàn)有技術(shù)中存在的PUF對存儲空間要求較高且抵抗側(cè)信道攻擊的能力低的問題,包括以下步驟:S1:獲取端設(shè)備s組PUF信息作為端設(shè)備初始指紋,建立端設(shè)備初始指紋信息表;S2:進(jìn)行偽隨機(jī)數(shù)生成器種子值加密協(xié)商;S3:基于加密協(xié)商后的偽隨機(jī)數(shù)生成器種子值和所述PUF信息生成臨時設(shè)備指紋。本發(fā)明專利技術(shù)利用偽隨機(jī)數(shù)與PUF信息的運算,在同等存儲條件下提大地提升了密鑰空間;端設(shè)備不存儲密鑰或能夠恢復(fù)出密鑰的關(guān)鍵信息,增強(qiáng)了對抗側(cè)信道攻擊的能力。的能力。的能力。
【技術(shù)實現(xiàn)步驟摘要】
一種基于偽隨機(jī)數(shù)和PUF的設(shè)備指紋構(gòu)建方法
[0001]本專利技術(shù)涉及電力物聯(lián)網(wǎng)安全
,特別涉及了一種基于偽隨機(jī)數(shù)和PUF的設(shè)備指紋構(gòu)建方法。
技術(shù)介紹
[0002]物理不可克隆函數(shù)(Physical Unclonable Function,PUF)利用芯片在制造過程中的工藝偏差生成芯片唯一標(biāo)識。現(xiàn)有研究證明,PUF唯一性、穩(wěn)定性、不可復(fù)制性和不可預(yù)測性良好,可應(yīng)用于身份認(rèn)證、通信加密、存儲數(shù)據(jù)保護(hù)等領(lǐng)域。
[0003]然而,當(dāng)用于通信數(shù)據(jù)加密時,為滿足密鑰更新需求,通信對端需要存儲多組PUF信息。以128比特長度的秘鑰為例,1個“挑戰(zhàn)
?
響應(yīng)”對所需的存儲空間為256比特,對應(yīng)1種密鑰配置。當(dāng)密鑰空間為1000時,所需存儲空間是256千比特,密鑰空間小且存儲開銷大。其次,當(dāng)用于存儲數(shù)據(jù)加密時,仍需存儲恢復(fù)出密鑰所需的關(guān)鍵信息(包括但不限于PUF挑戰(zhàn)信息),在易于物理獲取的非可信環(huán)境中,其抵抗側(cè)信道攻擊等威脅存儲數(shù)據(jù)安全的性能并未得到提升。
[0004]低壓分布式電源系統(tǒng)位于用戶側(cè),通常計算、存儲等資源受限,對存儲要求較高;且易于物理接近和獲取,實施側(cè)信道攻擊的成本較低。因此,PUF技術(shù)應(yīng)用于低壓分布式電源系統(tǒng)智能終端時亟須降低其對存儲空間的要求,同時提高應(yīng)對側(cè)信道攻擊的能力。
技術(shù)實現(xiàn)思路
[0005]本專利技術(shù)的目的是克服現(xiàn)有技術(shù)中存在的PUF技術(shù)應(yīng)用于低壓分布式電源系統(tǒng)智能終端時,對存儲空間要求較高且抵抗側(cè)信道攻擊的能力較低的問題,提供了一種基于偽隨機(jī)數(shù)和PUF的設(shè)備指紋構(gòu)建方法,在同等存儲條件下提大地提升了密鑰空間,同時增強(qiáng)了對抗側(cè)信道攻擊的能力。
[0006]為了實現(xiàn)上述目的,本專利技術(shù)采用以下技術(shù)方案:一種基于偽隨機(jī)數(shù)和PUF的設(shè)備指紋構(gòu)建方法,包括下列步驟:
[0007]S1:獲取端設(shè)備s組PUF信息作為端設(shè)備初始指紋,建立端設(shè)備初始指紋信息表;
[0008]S2:進(jìn)行偽隨機(jī)數(shù)生成器種子值加密協(xié)商;
[0009]S3:基于加密協(xié)商后的偽隨機(jī)數(shù)生成器種子值和所述PUF信息生成臨時設(shè)備指紋。
[0010]本申請適用于低壓分布式電源應(yīng)用場景。假設(shè)網(wǎng)絡(luò)中包含1個邊設(shè)備和若干個端設(shè)備,其中邊設(shè)備為融合終端或者邊緣物聯(lián)代理,用于組建、管理整個低壓分布式電源通信和調(diào)控網(wǎng)絡(luò);端設(shè)備為光伏逆變器、直流計量,以及各種發(fā)電量、環(huán)境量、狀態(tài)量監(jiān)測終端,其計算、存儲資源非常受限,且廣泛分布在用戶側(cè)環(huán)境中。在業(yè)務(wù)層面,端設(shè)備通常只與邊設(shè)備進(jìn)行信息交互,端設(shè)備之間不進(jìn)行信息交互。在網(wǎng)絡(luò)層面,端設(shè)備除了直接與邊設(shè)備進(jìn)行通信外,還可以轉(zhuǎn)發(fā)其他端設(shè)備去向/來自邊設(shè)備的數(shù)據(jù)。端設(shè)備入網(wǎng)前必須利用線下方式在邊設(shè)備進(jìn)行注冊。端設(shè)備的s組PUF信息儲存在邊設(shè)備非易失性存儲器中,將s組PUF信息作為初始指紋,用于在入網(wǎng)后進(jìn)行認(rèn)證保護(hù),所述認(rèn)證保護(hù)包括身份認(rèn)證、密鑰協(xié)商以及
存儲數(shù)據(jù)加密保護(hù)。
[0011]本專利技術(shù)將PUF技術(shù)和偽隨機(jī)數(shù)生成技術(shù)應(yīng)用于低壓分布式電源智能終端上,可用于實現(xiàn)智能終端的身份認(rèn)證、通信密鑰生成及存儲數(shù)據(jù)加密保護(hù),通過邊設(shè)備與端設(shè)備加密協(xié)商生成的偽隨機(jī)數(shù)與PUF信息計算生成臨時設(shè)備指紋,用于加密通信數(shù)據(jù)時可以在同等存儲條件下提大地提升密鑰空間;用于加密關(guān)鍵存儲數(shù)據(jù)時,端設(shè)備不存儲恢復(fù)出密鑰所需的關(guān)鍵信息,增強(qiáng)了對抗側(cè)信道攻擊的能力。
[0012]作為優(yōu)選,利用真隨機(jī)數(shù)生成器、所述PUF信息和哈希函數(shù)生成偽隨機(jī)數(shù)生成器種子值并進(jìn)行加密協(xié)商。
[0013]本申請將真隨機(jī)數(shù)生成器、所述PUF信息和哈希函數(shù)結(jié)合生成偽隨機(jī)數(shù)生成器種子值,并對生成的偽隨機(jī)數(shù)生成器種子值進(jìn)行加密協(xié)商,實現(xiàn)非可信環(huán)境中低壓分布式電源智能終端存儲的關(guān)鍵數(shù)據(jù)的加密保護(hù)。
[0014]作為優(yōu)選,所述步驟S2進(jìn)一步包括:
[0015]S2.1:邊設(shè)備利用真隨機(jī)數(shù)生成器產(chǎn)生真隨機(jī)數(shù)T
A
,從端設(shè)備初始指紋信息表中獲取一組初始指紋信息(PUF(c),PUF(r)),利用哈希函數(shù)計算生成并將M1和PUF(c)發(fā)送給端設(shè)備;
[0016]S2.2:端設(shè)備根據(jù)接收到的PUF“挑戰(zhàn)”值PUF(c)提取PUF“響應(yīng)”值PUF(r),利用真隨機(jī)數(shù)生成器產(chǎn)生真隨機(jī)數(shù)T
B
,根據(jù)接收到的M1計算并將M2和M3返回給邊設(shè)備;
[0017]S2.3:邊設(shè)備根據(jù)接收到的M3恢復(fù)出T
B
,根據(jù)接收到的M2和恢復(fù)出的T
B
計算得出若M'1和M1相同,則種子值加密協(xié)商完成,生成若不相同,重新發(fā)起種子值加密協(xié)商流程。
[0018]上述過程可在入網(wǎng)后,端設(shè)備在需要進(jìn)行身份認(rèn)證、協(xié)商通信密鑰或者加密存儲密鑰時執(zhí)行;本申請中上述過程由邊設(shè)備發(fā)起,但也可由端設(shè)備發(fā)起,流程與邊設(shè)備發(fā)起過程相同。偽隨機(jī)數(shù)生成器種子值協(xié)商過程不影響本申請其他步驟實施,也可采用其他方法實現(xiàn),包括但不限于PKI等。利用哈希函數(shù)的不可逆特性對偽隨機(jī)數(shù)加密協(xié)商過程進(jìn)行加密,可保證偽隨機(jī)數(shù)種子值加密協(xié)商的安全性。其中,M1是隨機(jī)數(shù)T
A
與其哈希值h(T
A
)的異或,M1用于與步驟S2.3中恢復(fù)出來的值M'1對比,判斷數(shù)據(jù)傳輸過程中以及端設(shè)備解密過程中是否出現(xiàn)了錯誤;并能用于生成偽隨機(jī)數(shù)種子值。M2、M3是協(xié)商過程中生成的中間表示,具體的:M2是M1與真隨機(jī)數(shù)T
B
的哈希值的異或;M3是利用設(shè)備指紋對真隨機(jī)數(shù)T
B
進(jìn)行加密,保證數(shù)據(jù)傳輸過程中不泄露T
B
。由于邊設(shè)備中存儲了設(shè)備指紋,邊設(shè)備收到M3后可以根據(jù)設(shè)備指紋恢復(fù)出T
B
。Seed代表偽隨機(jī)數(shù)生成器種子值加密協(xié)商過程協(xié)商出來的最終結(jié)果,是步驟S2的最終輸出,即偽隨機(jī)數(shù)生成器種子值。
[0019]作為優(yōu)選,所述步驟S3包括端設(shè)備基于加密協(xié)商后的偽隨機(jī)數(shù)生成器種子值和PUF信息生成臨時設(shè)備指紋:
[0020]A1:端設(shè)備利用加密協(xié)商出的種子值生成偽隨機(jī)數(shù)G1=PRNG(Seed);
[0021]A2:獲取用于本次臨時設(shè)備指紋生成的PUF“挑戰(zhàn)”值PUF1(c);
[0022]A3:根據(jù)PUF“挑戰(zhàn)”值PUF1(c)獲取PUF“響應(yīng)”值PUF1(r);
[0023]A4:將生成的偽隨機(jī)數(shù)G1=PRNG(Seed)的長度擴(kuò)展為PUF“響應(yīng)”值PUF1(r)長度一致;
[0024]A5:將PUF“響應(yīng)”值PUF1(r)與擴(kuò)展后的偽隨機(jī)數(shù)進(jìn)行異或,生成臨時設(shè)備指紋。
[0025]將偽隨機(jī)數(shù)與PUF“響應(yīng)”值PUF1(r)進(jìn)行運算,擴(kuò)充了密鑰空間并減低對存儲空間的要求。
[0026]作為優(yōu)選,所述步驟S3包括邊設(shè)備基于加密協(xié)商后的偽隨機(jī)數(shù)生成器種子值和PUF信息生成臨時設(shè)備指紋:
[0027]B1:邊設(shè)備利用加密協(xié)商出的種子值生成偽隨機(jī)數(shù)G2=PRNG(Seed);
[0028]B2:獲取用于本次臨時設(shè)備指紋生成的PUF“挑戰(zhàn)本文檔來自技高網(wǎng)...
【技術(shù)保護(hù)點】
【技術(shù)特征摘要】
1.一種基于偽隨機(jī)數(shù)和PUF的設(shè)備指紋構(gòu)建方法,其特征在于,包括以下步驟:S1:獲取端設(shè)備s組PUF信息作為端設(shè)備初始指紋,建立端設(shè)備初始指紋信息表;S2:進(jìn)行偽隨機(jī)數(shù)生成器種子值加密協(xié)商;S3:基于加密協(xié)商后的偽隨機(jī)數(shù)生成器種子值和所述PUF信息生成臨時設(shè)備指紋。2.根據(jù)權(quán)利要求1所述的一種基于偽隨機(jī)數(shù)和PUF的設(shè)備指紋構(gòu)建方法,其特征在于,利用真隨機(jī)數(shù)生成器、所述PUF信息和哈希函數(shù)生成偽隨機(jī)數(shù)生成器種子值并進(jìn)行加密協(xié)商。3.根據(jù)權(quán)利要求1或2所述的一種基于偽隨機(jī)數(shù)和PUF的設(shè)備指紋構(gòu)建方法,其特征在于,所述步驟S2進(jìn)一步包括:S2.1:邊設(shè)備利用真隨機(jī)數(shù)生成器產(chǎn)生真隨機(jī)數(shù)T
A
,從端設(shè)備初始指紋信息表中獲取一組初始指紋信息(PUF(c),PUF(r)),利用哈希函數(shù)計算生成并將M1和PUF(c)發(fā)送給端設(shè)備;S2.2:端設(shè)備根據(jù)接收到的PUF“挑戰(zhàn)”值PUF(c)提取PUF“響應(yīng)”值PUF(r),利用真隨機(jī)數(shù)生成器產(chǎn)生真隨機(jī)數(shù)T
B
,根據(jù)接收到的M1計算計算并將M2和M3返回給邊設(shè)備;S2.3:邊設(shè)備根據(jù)接收到的M3恢復(fù)出T
B
,根據(jù)接收到的M2和恢復(fù)出的T
B
計算得出若M1'和M1相同,則種子值加密協(xié)商完成,生成若不相同,重新發(fā)起種子值加密協(xié)商流程。4.根據(jù)權(quán)利要求1所述的一種基于偽隨機(jī)數(shù)和PUF的設(shè)備指紋構(gòu)建方法,其特征在于,所述步驟S3包括端設(shè)備基于加密協(xié)商后的偽隨機(jī)數(shù)生成器種子值和PUF信息生成臨時設(shè)備指紋:A1:端設(shè)備利用加密協(xié)商出的種子值生成偽隨機(jī)數(shù)G1=PRNG(Seed);A2:獲取用于本次臨時設(shè)備指紋生成的PUF“挑戰(zhàn)”值PUF1(c);A3:根據(jù)PUF“挑戰(zhàn)”值獲取PUF“響應(yīng)”值PUF1(r);A4:將生成的偽隨機(jī)數(shù)G1=PRNG(Seed)的長度擴(kuò)展為PUF“響應(yīng)”值PUF1(r)長度一致;A5:將PUF“響應(yīng)”值PUF1(r)與擴(kuò)展后的偽隨機(jī)數(shù)進(jìn)行異或,生成臨時設(shè)備指紋。5.根據(jù)權(quán)利要求1或4所述的一種基于偽隨機(jī)數(shù)和PUF的設(shè)備指紋構(gòu)建方法,其特征在于,所述步驟S3包括邊設(shè)備基于加密協(xié)商后的偽隨...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:鄭偉軍,王征,唐錦江,王瀅,吳國慶,葉昕炯,鄭濤,曾建梁,孫峰,安春燕,杜斌,徐晨,姚娟,徐俊璞,徐正民,毛澤穎,盛銀波,周一飛,吳芳,金義嘉,
申請(專利權(quán))人:嘉興恒創(chuàng)電力集團(tuán)有限公司華創(chuàng)信息科技分公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。