【技術實現(xiàn)步驟摘要】
本專利技術涉及信息安全領域,具體涉及后量子密碼學與物聯(lián)網(wǎng)安全領域,尤其涉及一種基于puf的后量子物聯(lián)網(wǎng)靜態(tài)密鑰管理方法及系統(tǒng)。
技術介紹
1、密鑰管理是信息安全的核心技術之一,主要用于生成、存儲、分發(fā)和更新加密密鑰,以保障數(shù)據(jù)的機密性、完整性和真實性。然而,在物聯(lián)網(wǎng)(internet?of?things,簡稱iot)設備中,密鑰管理面臨特殊的挑戰(zhàn)。由于物聯(lián)網(wǎng)設備的資源受限、計算能力低、功耗要求高,以及設備的多樣化和分布式應用場景,這些都使得傳統(tǒng)的密鑰管理方案難以有效應對。
2、具體而言,物聯(lián)網(wǎng)設備中的密鑰管理技術面臨以下挑戰(zhàn):
3、1)資源限制:物聯(lián)網(wǎng)設備通常具有較低的處理能力和有限的存儲空間,難以承載復雜的加密算法和密鑰管理系統(tǒng)。
4、2)安全存儲問題:傳統(tǒng)密鑰管理依賴于將密鑰存儲在設備的安全區(qū)域,然而這種方法容易受到物理攻擊,密鑰泄露風險較高。
5、3)量子計算威脅:隨著量子計算技術的發(fā)展,傳統(tǒng)的加密算法面臨被破解的風險。
6、4)動態(tài)更新機制缺乏:許多物聯(lián)網(wǎng)設備部署時間較長,缺乏有效的動態(tài)密鑰更新機制,可能導致長期使用的密鑰存在安全隱患。
7、因此,本專利技術提出一種密鑰管理方案,尤其適用于物聯(lián)網(wǎng)設備,旨在解決上述一個或多個挑戰(zhàn)中的技術問題。
技術實現(xiàn)思路
1、為了解決上述問題,本專利技術提出一種應用于物聯(lián)網(wǎng)設備的密鑰管理方法,所述方法包括以下步驟:
2、將基于所述物聯(lián)網(wǎng)設備而確定的挑戰(zhàn)信號輸
3、將所述puf響應輸入密鑰派生函數(shù)kdf,得到密鑰加密密鑰kek。
4、利用后量子密碼學pqc算法生成pqc公鑰和pqc私鑰。
5、利用所述kek作為密鑰,根據(jù)對稱加密算法加密所述pqc私鑰,并將加密后的pqc私鑰存儲在安全存儲區(qū)域;所述kek和未加密的pqc私鑰被從內(nèi)存中清除。
6、在一些實施例中,所述puf函數(shù)為:基于軟件的puf函數(shù),或基于硬件的puf函數(shù),或結合軟件和硬件的混合puf函數(shù)。
7、在一些實施例中,將所述puf響應輸入密鑰派生函數(shù)kdf,具體包括:將所述puf響應和隨機鹽值共同輸入所述kdf函數(shù)。
8、在一些實施例中,在將加密后的pqc私鑰存儲在安全存儲區(qū)域之后,所述方法還包括:
9、將再次基于所述物聯(lián)網(wǎng)設備而確定的所述挑戰(zhàn)信號輸入所述puf函數(shù),重新生成所述puf響應。
10、將所述puf響應輸入所述kdf函數(shù),重構所述kek。
11、使用所述kek,以及與所述對稱加密算法對應的對稱解密算法,解密從所述安全存儲區(qū)域中讀取的所述加密后的pqc私鑰。
12、在對解密出的所述pqc私鑰使用完畢后,從內(nèi)存中對其進行清除。
13、在一些實施例中,所述挑戰(zhàn)信號的確定,包括:
14、收集所述物聯(lián)網(wǎng)設備的操作系統(tǒng)的固定特征,基于所述固定特征生成初始挑戰(zhàn)。
15、對所述初始挑戰(zhàn)應用加密哈希函數(shù)生成最終挑戰(zhàn),作為所述挑戰(zhàn)信號。
16、在一些實施例中,在重構所述kek后,以及,在解密從所述安全存儲區(qū)域中讀取的所述加密后的pqc私鑰之前,所述方法還包括:
17、檢查重構是否成功;如果重構失敗,執(zhí)行錯誤恢復流程。
18、在一些實施例中,在將加密后的pqc私鑰存儲在安全存儲區(qū)域之后,所述方法還包括:
19、響應于預設條件的滿足,觸發(fā)對所述pqc私鑰的更新及加密操作。
20、在一些更具體的實施例中,所述預設條件為:當前時間與所述pqc私鑰的生成時間之差大于時間閾值;或者,所述pqc私鑰相關的安全事件的發(fā)生次數(shù)大于計數(shù)閾值;或者,所述pqc私鑰的生成系統(tǒng)的預定性能指標的誤差度量大于誤差閾值。
21、另一方面,本專利技術還提供一種密鑰管理系統(tǒng),來實施上述密鑰管理方法,所述系統(tǒng)基于物聯(lián)網(wǎng)設備運行,包括以下部分:
22、puf模塊,基于所述物聯(lián)網(wǎng)設備而確定的挑戰(zhàn)信號輸入puf函數(shù),生成puf響應。該模塊利用芯片內(nèi)部的物理不可克隆函數(shù)生成隨機、唯一的puf響應。
23、密鑰派生模塊,用于將所述puf響應輸入密鑰派生函數(shù)kdf,得到密鑰加密密鑰kek。
24、pqc密鑰生成模塊,用于根據(jù)pqc算法生成pqc公鑰和pqc私鑰。
25、pqc密鑰加密模塊,用于根據(jù)所述kek和對稱加密算法加密所述pqc私鑰,并將加密后的pqc私鑰存儲在安全存儲區(qū)域,將所述kek和未加密的pqc私鑰被從內(nèi)存中清除。
26、pqc密鑰解密模塊,用于根據(jù)所述原始的puf響應和所述kdf函數(shù)對應的密鑰重構函數(shù)重構所述kek,并使用kek和對稱解密算法解密所述pqc私鑰,并在所述pqc私鑰使用完畢后,從內(nèi)存中對其進行清除。
27、在一些實施例中,該系統(tǒng)還可以包括動態(tài)密鑰更新模塊506,用于在預設條件滿足時,觸發(fā)對所述pqc私鑰的更新及加密操作。
28、在一些更具體的實施例中,所述預設條件為:當前時間與所述pqc私鑰的生成時間之差大于時間閾值;或者,所述pqc私鑰相關的安全事件的發(fā)生次數(shù)大于計數(shù)閾值;或者,所述pqc私鑰的生成系統(tǒng)的預定性能指標的誤差度量大于誤差閾值。
29、在一些實施例中,所述密鑰管理系統(tǒng)500還包括挑戰(zhàn)信號確定模塊,用于:
30、收集所述物聯(lián)網(wǎng)設備的操作系統(tǒng)的固定特征,基于所述固定特征生成初始挑戰(zhàn)。
31、對所述初始挑戰(zhàn)應用加密哈希函數(shù)生成最終挑戰(zhàn),作為所述挑戰(zhàn)信號。
32、在一些實施例中,密鑰派生模塊具體用于:將所述puf響應和隨機鹽值共同輸入密鑰派生函數(shù)kdf,得到密鑰加密密鑰kek。
33、在一些實施例中,所述pqc密鑰解密模塊,在重構所述kek后,還負責檢查重構是否成功;如果重構失敗,執(zhí)行錯誤恢復流程。
34、本專利技術提供的密鑰管理方法及系統(tǒng),能夠在資源受限的物聯(lián)網(wǎng)設備上實現(xiàn)高效、低成本的密鑰管理,同時,利用了puf特性避免存儲kek,并且結合后量子密碼算法增強密鑰抗量子攻擊能力,實現(xiàn)了密鑰管理的安全性提升。
本文檔來自技高網(wǎng)...【技術保護點】
1.一種密鑰管理方法,其特征在于,所述方法應用于物聯(lián)網(wǎng)設備,包括以下步驟:
2.根據(jù)權利要求1所述的方法,其特征在于,所述PUF函數(shù)為:基于軟件的PUF函數(shù),或基于硬件的PUF函數(shù),或結合軟件和硬件的混合PUF函數(shù)。
3.根據(jù)權利要求1所述的方法,其特征在于,將所述PUF響應輸入密鑰派生函數(shù)KDF,具體包括:
4.根據(jù)權利要求1所述的方法,其特征在于,在將加密后的PQC私鑰存儲在安全存儲區(qū)域之后,所述方法還包括:
5.根據(jù)權利要求1或4所述的方法,其特征在于,所述挑戰(zhàn)信號的確定,包括:
6.根據(jù)權利要求4所述的方法,其特征在于,在重構所述KEK后,以及,在解密從所述安全存儲區(qū)域中讀取的所述加密后的PQC私鑰之前,所述方法還包括:
7.根據(jù)權利要求1所述的方法,其中,在將加密后的PQC私鑰存儲在安全存儲區(qū)域之后,所述方法還包括:響應于預設條件的滿足,觸發(fā)對所述PQC私鑰的更新及加密操作。
8.根據(jù)權利要求7所述的方法,其中,所述預設條件為:當前時間與所述PQC私鑰的生成時間之差大于時間閾值;或者,所
9.一種密鑰管理系統(tǒng),其特征在于,所述系統(tǒng)基于物聯(lián)網(wǎng)設備運行,包括以下部分:
10.根據(jù)權利要求9所述的密鑰管理系統(tǒng),其特征在于,所述系統(tǒng)還包括密鑰更新模塊,用于在預設條件滿足時,觸發(fā)對所述PQC私鑰的更新及加密操作。
...【技術特征摘要】
1.一種密鑰管理方法,其特征在于,所述方法應用于物聯(lián)網(wǎng)設備,包括以下步驟:
2.根據(jù)權利要求1所述的方法,其特征在于,所述puf函數(shù)為:基于軟件的puf函數(shù),或基于硬件的puf函數(shù),或結合軟件和硬件的混合puf函數(shù)。
3.根據(jù)權利要求1所述的方法,其特征在于,將所述puf響應輸入密鑰派生函數(shù)kdf,具體包括:
4.根據(jù)權利要求1所述的方法,其特征在于,在將加密后的pqc私鑰存儲在安全存儲區(qū)域之后,所述方法還包括:
5.根據(jù)權利要求1或4所述的方法,其特征在于,所述挑戰(zhàn)信號的確定,包括:
6.根據(jù)權利要求4所述的方法,其特征在于,在重構所述kek后,以及,在解密從所述安全存儲區(qū)域中讀取的所述加密后的pqc私鑰之前...
【專利技術屬性】
技術研發(fā)人員:馮凱,黃蕾蕾,
申請(專利權)人:正則量子北京技術有限公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。