CN110049002A - 一种基于PUF的IPSec认证方法 - Google Patents

一种基于PUF的IPSec认证方法 Download PDF

Info

Publication number
CN110049002A
CN110049002A CN201910154498.XA CN201910154498A CN110049002A CN 110049002 A CN110049002 A CN 110049002A CN 201910154498 A CN201910154498 A CN 201910154498A CN 110049002 A CN110049002 A CN 110049002A
Authority
CN
China
Prior art keywords
puf
key
ipsec
responder
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910154498.XA
Other languages
English (en)
Other versions
CN110049002B (zh
Inventor
咸凛
李赛野
冷冰
周洁
杨世春
王远强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 30 Research Institute
Original Assignee
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 30 Research Institute filed Critical CETC 30 Research Institute
Priority to CN201910154498.XA priority Critical patent/CN110049002B/zh
Publication of CN110049002A publication Critical patent/CN110049002A/zh
Application granted granted Critical
Publication of CN110049002B publication Critical patent/CN110049002B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于PUF的IPSec认证方法,IPSec协议执行方利用PUF电路产生加密密钥,并利用加密密钥对身份信息进行加密生成身份密文,MAC消息由身份信息和PUF电路产生密钥时的辅助数据组成。执行方将身份密文及辅助数据封装在IPSec头的验证数据字段中发送给响应方。响应方利用辅助数据,通过PUF模块恢复密钥,对身份密文解密,提取出身份信息。使用身份信息验证身份的合法性。与传统IPSec需要将密钥附着在验证消息中的方法相比较,本方法使用辅助数据附着在验证消息中,不涉及密钥自身的传输,有效地避免了窃听和拦截攻击,提高了数据传输的安全性,简化了密钥交换流程。

Description

一种基于PUF的IPSec认证方法
技术领域
本发明涉及一种基于PUF模块的加解密方式,应用于IPSec的身份验证领域,适用于IPSec中的密钥交换。
背景技术
针对Internet的安全需要,Internet工程任务组(IETF)颁布了IP层安全标准IPSec。IPSec在IP层对数据包进行高强度的安全处理,它可以“无缝”的为IP层引入安全特性。
IPSec协议主要为IP层和上层提供各种安全服务,这些服务包括数据完整性、数据源验证、机密性、抗重播保护和有限信息流机密性等等。
IPSec安全体系结构主要包括安全协议—AH和ESP协议、IKE密钥交换协议、验证和加密算法、SA数据库安全和策略数据库。
PUF(Physical Unclonable Function,物理不可克隆函数)是指对一个物理实体输入一个激励,利用其不可避免的内在物理构造的随机差异输出一个不可预测的响应。这类物理实体受生产工艺中不可控制的随机因素影响,任意两个物理组件的响应是相互独立的,具有唯一性,类似于人类的指纹,而且受生产工艺水平的限制,复制一个具有相同响应的物理组件是不可能的,所以称其为不可克隆函数。显然,它最主要的优势是可以抵抗物理克隆攻击的发生。同时相对于资源有限的物理实体来说,它的优势还包括这种不能被克隆的激励响应行为不仅可以实现一些与传统密码技术一样的功能,而且还能大大减少计算、存储和通信开销。
将PUF技术引入IPSec的认证应用当中,利用PUF技术的特性生成加密密钥,替代普通的密钥管理协议。有效的避免了窃听和拦截攻击,提高了数据传输的安全性,简化了密钥交换流程,降低了密钥运算的复杂性。
发明内容
为了克服现有技术的上述缺点,本发明提供了一种基于PUF的IPSec认证方法,利用PUF物理不可克隆函数的唯一性和防克隆性,解决传统IPSec需要将密钥附着在验证消息中可能被窃听和拦截攻击的风险,提高了数据传输的安全性,简化了密钥交换流程。
本发明解决其技术问题所采用的技术方案是:一种基于PUF的IPSec认证方法,包括如下步骤:
步骤一、IPSec的执行方采集并记录CRPs响应对;
步骤二、部署网络环境;
步骤三、将执行方已经采集过CRPs响应对的PUF模块接入响应方;
步骤四、执行方生成验证数据发送给响应方;
步骤五、响应方验证身份信息。
与现有技术相比,本发明的积极效果是:
在IPSec执行过程中,不涉及密钥自身的传输,有效地避免了窃听和拦截攻击,提高了数据传输的安全性,简化了密钥交换流程,降低了密钥运算的复杂性。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为本发明PUF CRPs值录入采样示意图;
图2为基本网络环境示意图;
图3为生成验证数据示意图;
图4为身份信息验证示意图。
具体实施方式
一种基于PUF的IPSec认证方法,该方法中,IPSec协议执行方利用PUF电路产生加密密钥,并利用加密密钥对身份信息进行加密生成身份密文,MAC消息由身份信息和PUF电路产生密钥时的辅助数据组成。执行方将身份密文及辅助数据封装在IPSec头(AH、ESP头)的验证数据字段中发送给响应方。响应方利用辅助数据,通过PUF模块恢复密钥,对身份密文解密,提取出身份信息。使用身份信息验证身份的合法性。与传统IPSec需要将密钥附着在验证消息中的方法相比较,本方法使用辅助数据附着在验证消息中,不涉及密钥自身的传输,有效地避免了窃听和拦截攻击,提高了数据传输的安全性,简化了密钥交换流程。
具体步骤:首先IPSec协议的执行方采集记录PUF模块的CRPs激励/响应对(Challenge/Response Pairs,CRPs)。采集完成后将该PUF块接入响应方。
IPSec的执行方发起认证:
a)执行方在录入的CRPs响应对中选定一个挑战值c,及对应的响应值x;
b)将响应值x与哈希种子h进行全域散列得到密钥s;
c)身份信息通过生成的密钥s进行加密得到加密数据ES;
d)将挑战值c和哈希种子h作为辅助数据与加密数据ES结合得到验证数据字段;
e)将待验证的数据字段封装在IPSec头(AH、ESP头)的验证数据字段中发送给响应方。
IPSec响应方在收到执行方过来的请求后:
a)将辅助数据中的挑战值c输入到PUF模块中得到响应值x;
b)将响应值x与辅助数据中的哈希种子h进行全域散列得到密钥s;
c)通过密钥s对加密数据ES进行解密得到身份信息;
d)验证身份信息。
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图对本发明进行进一步详细说明。
PUF不可克隆函数,其特征在于:不可克隆性、防篡改和轻量级等属性,对一个物理实体PUF输入一个激励,利用其不可避免的内在物理构造的随机差异输出一个不可预测的响应。
PUF模块基于集成电路工艺差异实现,采用通用的接口如:PCI E、USB,可以接入计算机设备。
在本具体实施例中,首先,IPSec的执行方接入PUF模块,使用对应的采集软件对该模块的挑战激励值进行采集,将其中的结果保存得到可用的CRPs响应对,如图1所示。
基本网络环境如图2所示,设备1为IPSec的执行方,设备2为IPSec的响应方,设备1通过网络与设备2相连。部署好网络环境后将执行方已经采集过CRPs响应对的PUF模块接入响应方。认证的具体方法步骤如图3、图4所示:一、执行方在录入的CRPs响应对中选定一个挑战值c,及对应的响应值x;二、执行方将响应值x与哈希种子h进行全域散列得到密钥s;三、执行方将身份信息通过生成的密钥s进行加密得到加密数据ES;四、执行方将挑战值c和哈希种子h作为辅助数据与加密数据ES结合得到验证数据字段;五、执行方将验证数据字段封装在IPSec头(AH、ESP头)的验证数据字段中发送给响应方。五、响应方收到数据后将辅助数据中的挑战值c输入到PUF模块中得到响应值x。六、响应方将响应值与辅助数据中的哈希种子h进行全域散列得到与执行方同样的密钥s;七、响应方通过密钥s对加密数据ES进行解密得到身份信息;八、响应方验证身份信息;八、响应方返回验证结果。
采用PUF模块进行密钥交换时,只需要在信道上传输挑战值即可,不需要复杂的数学计算,使用PUF进行密钥交换只需要依靠“挑战-响应”行为和单向散列函数计算即可完成密钥的交换,减少了计算资源的消耗,提高了密钥的交换速度,由于不涉及密钥自身的传输,有效的避免了窃听和拦截攻击,提高了数据传输的安全性,简化了密钥交换流程,降低了密钥运算的复杂性。

Claims (6)

1.一种基于PUF的IPSec认证方法,其特征在于:包括如下步骤:
步骤一、IPSec的执行方采集并记录CRPs响应对;
步骤二、部署网络环境;
步骤三、将执行方已经采集过CRPs响应对的PUF模块接入响应方;
步骤四、执行方生成验证数据发送给响应方;
步骤五、响应方验证身份信息。
2.根据权利要求1所述的一种基于PUF的IPSec认证方法,其特征在于:步骤四所述执行方生成验证数据的方法为:
(1)执行方在CRPs响应对中选定一个挑战值c,及对应的响应值x;
(2)将响应值x与哈希种子h进行全域散列得到密钥s;
(3)身份信息通过生成的密钥s进行加密得到加密数据ES;
(4)将挑战值c和哈希种子h作为辅助数据与加密数据ES结合得到验证数据字段;
(5)将待验证的数据字段封装在IPSec头的验证数据字段中发送给响应方。
3.根据权利要求2所述的一种基于PUF的IPSec认证方法,其特征在于:步骤五所述响应方验证身份信息的方法为:
(1)响应方将辅助数据中的挑战值c输入到PUF模块中得到响应值x;
(2)将响应值x与辅助数据中的哈希种子h进行全域散列得到密钥s;
(3)通过密钥s对加密数据ES进行解密得到身份信息;
(4)响应方验证身份信息并返回验证结果。
4.根据权利要求1所述的一种基于PUF的IPSec认证方法,其特征在于:步骤一所述执行方采集CRPs响应对的方法为:执行方接入PUF模块,使用对应的采集软件对该模块的挑战激励值进行采集,将其中的结果保存得到可用的CRPs响应对。
5.根据权利要求1所述的一种基于PUF的IPSec认证方法,其特征在于:步骤二所述部署网络环境的方法为:将执行方的计算机设备通过网络与响应方的计算机设备相连。
6.根据权利要求1所述的一种基于PUF的IPSec认证方法,其特征在于:所述PUF模块采用PCI E或USB通用接口接入执行方或响应方的计算机设备。
CN201910154498.XA 2019-03-01 2019-03-01 一种基于PUF的IPSec认证方法 Active CN110049002B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910154498.XA CN110049002B (zh) 2019-03-01 2019-03-01 一种基于PUF的IPSec认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910154498.XA CN110049002B (zh) 2019-03-01 2019-03-01 一种基于PUF的IPSec认证方法

Publications (2)

Publication Number Publication Date
CN110049002A true CN110049002A (zh) 2019-07-23
CN110049002B CN110049002B (zh) 2021-07-27

Family

ID=67274363

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910154498.XA Active CN110049002B (zh) 2019-03-01 2019-03-01 一种基于PUF的IPSec认证方法

Country Status (1)

Country Link
CN (1) CN110049002B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112398657A (zh) * 2020-11-05 2021-02-23 北京邮电大学 一种基于无线多径衰落信道的puf认证方法及装置
CN112737770A (zh) * 2020-12-22 2021-04-30 北京航空航天大学 基于puf的网络双向认证和密钥协商方法及装置
CN113726720A (zh) * 2020-05-26 2021-11-30 中国电信股份有限公司 物联网设备通信方法、设备、服务器和通信***
CN114039728A (zh) * 2021-12-24 2022-02-11 中电长城(长沙)信息技术有限公司 一种报文加解密方法及其***
WO2022087888A1 (zh) * 2020-10-28 2022-05-05 京东方科技集团股份有限公司 信息处理方法、装置、电子设备和存储介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102970679A (zh) * 2012-11-21 2013-03-13 联想中望***服务有限公司 基于身份的安全签名方法
US20140095867A1 (en) * 2012-09-28 2014-04-03 Ned M. Smith Device, method, and system for secure trust anchor provisioning and protection using tamper-resistant hardware
CN104782076A (zh) * 2012-10-19 2015-07-15 西门子公司 使用puf用于检验认证、尤其是用于防止对ic或控制设备的功能的未获得授权的访问
CN105009507A (zh) * 2013-02-28 2015-10-28 西门子公司 借助于物理不可克隆函数创建从加密密钥中推导的密钥
CN107615285A (zh) * 2015-03-05 2018-01-19 美国亚德诺半导体公司 包括物理不可克隆功能和阈值加密的认证***和装置
CN108092776A (zh) * 2017-12-04 2018-05-29 南京南瑞信息通信科技有限公司 一种身份认证服务器和身份认证令牌
CN108199845A (zh) * 2017-12-08 2018-06-22 中国电子科技集团公司第三十研究所 一种基于puf的轻量级认证设备及认证方法
CN109150541A (zh) * 2018-08-15 2019-01-04 飞天诚信科技股份有限公司 一种认证***及其工作方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140095867A1 (en) * 2012-09-28 2014-04-03 Ned M. Smith Device, method, and system for secure trust anchor provisioning and protection using tamper-resistant hardware
CN104782076A (zh) * 2012-10-19 2015-07-15 西门子公司 使用puf用于检验认证、尤其是用于防止对ic或控制设备的功能的未获得授权的访问
CN102970679A (zh) * 2012-11-21 2013-03-13 联想中望***服务有限公司 基于身份的安全签名方法
CN105009507A (zh) * 2013-02-28 2015-10-28 西门子公司 借助于物理不可克隆函数创建从加密密钥中推导的密钥
CN107615285A (zh) * 2015-03-05 2018-01-19 美国亚德诺半导体公司 包括物理不可克隆功能和阈值加密的认证***和装置
CN108092776A (zh) * 2017-12-04 2018-05-29 南京南瑞信息通信科技有限公司 一种身份认证服务器和身份认证令牌
CN108199845A (zh) * 2017-12-08 2018-06-22 中国电子科技集团公司第三十研究所 一种基于puf的轻量级认证设备及认证方法
CN109150541A (zh) * 2018-08-15 2019-01-04 飞天诚信科技股份有限公司 一种认证***及其工作方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张紫楠等: "《物理不可克隆函数综述》", 《计算机应用》 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113726720A (zh) * 2020-05-26 2021-11-30 中国电信股份有限公司 物联网设备通信方法、设备、服务器和通信***
WO2022087888A1 (zh) * 2020-10-28 2022-05-05 京东方科技集团股份有限公司 信息处理方法、装置、电子设备和存储介质
CN112398657A (zh) * 2020-11-05 2021-02-23 北京邮电大学 一种基于无线多径衰落信道的puf认证方法及装置
CN112737770A (zh) * 2020-12-22 2021-04-30 北京航空航天大学 基于puf的网络双向认证和密钥协商方法及装置
CN112737770B (zh) * 2020-12-22 2022-05-20 北京航空航天大学 基于puf的网络双向认证和密钥协商方法及装置
CN114039728A (zh) * 2021-12-24 2022-02-11 中电长城(长沙)信息技术有限公司 一种报文加解密方法及其***

Also Published As

Publication number Publication date
CN110049002B (zh) 2021-07-27

Similar Documents

Publication Publication Date Title
Abdullah et al. Blockchain based approach to enhance big data authentication in distributed environment
CN108092776B (zh) 一种基于身份认证服务器和身份认证令牌的***
CN103780618B (zh) 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法
CN110049002A (zh) 一种基于PUF的IPSec认证方法
CN109787761B (zh) 一种基于物理不可克隆函数的设备认证与密钥分发***和方法
US11102191B2 (en) Enabling single sign-on authentication for accessing protected network services
CN107257334A (zh) 用于Hadoop集群的身份认证方法
US20120054491A1 (en) Re-authentication in client-server communications
US11316685B1 (en) Systems and methods for encrypted content management
Liang et al. Novel private data access control scheme suitable for mobile edge computing
Zhang et al. A secure revocable fine-grained access control and data sharing scheme for SCADA in IIoT systems
CN114513339A (zh) 一种安全认证方法、***及装置
CN116388995A (zh) 一种基于puf的轻量级智能电网认证方法
CN114024698A (zh) 一种基于国密算法的配电物联网业务安全交互方法及***
CN116599659B (zh) 无证书身份认证与密钥协商方法以及***
CN114363077B (zh) 基于安全访问服务边缘的管理***
CN112468983B (zh) 一种低功耗的电力物联网智能设备接入认证方法及其辅助装置
CN115459975A (zh) 一种基于Chebyshev多项式的工业边缘设备无证书接入认证方法
CN111682936B (zh) 一种基于物理不可克隆函数的Kerberos鉴权方法
KR102192477B1 (ko) Fido 기반 인증 대용의 암묵인증방법, 시스템 및 프로그램
Yingkai et al. A kind of identity authentication under cloud computing environment
CN111010385A (zh) 一种基于RESTful的安全交互方法
US12010102B1 (en) Hybrid cryptography virtual private networks
Ren et al. BIA: A blockchain-based identity authorization mechanism
CN114374519B (zh) 一种数据传输的方法、***及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant