CN112787813B - 一种基于可信执行环境的身份认证方法 - Google Patents
一种基于可信执行环境的身份认证方法 Download PDFInfo
- Publication number
- CN112787813B CN112787813B CN202110065687.7A CN202110065687A CN112787813B CN 112787813 B CN112787813 B CN 112787813B CN 202110065687 A CN202110065687 A CN 202110065687A CN 112787813 B CN112787813 B CN 112787813B
- Authority
- CN
- China
- Prior art keywords
- challenge
- identity
- authentication
- key
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00309—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00563—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys using personal physical data of the operator, e.g. finger prints, retinal images, voicepatterns
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00571—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3278—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于可信执行环境的身份认证方法,该方法包括以下步骤:在TEE中生成随机序列作为PUF的激励,通过PUF生成保护身份密钥,并创建身份密钥及PUF绑定的挑战/应答对;在TEE中生成随机数,对随机数、存储密钥、身份ID信息进行加密运算,随机数和加密运算结果生成多个挑战/应答对;认证服务器从多个挑战/应答对中选择一对未使用过的挑战/应答对发送给设备中的TEE进行认证服务;认证服务器取出身份密钥密文,将身份密钥密文与挑战/应答对做比较,若相同,则认证成功,否则为失败;当认证服务器上的未使用挑战/应答至少剩余一对时,需要通过会话密钥session_key保护的会话更新挑战/应答对,会话更新挑战/应答对通过信道安全传输到认证服务器。
Description
技术领域
本发明涉及移动设备信息安全技术领域,具体来说,涉及一种基于可信执行环境的身份认证方法。
背景技术
TEE是可信执行环境的简称,当前的可信执行环境主要是基于智能终端(如智能手机)中处理器的安全区域构建的可信执行环境,可信执行环境是一个独立的执行区域,它提供了很多安全属性,如隔离性,完整性等,同时可信执行环境也确保了加载到可信执行环境中代码和数据的安全性,传统的可信执行环境技术包含ARM的TrustZone等。
随着物联网的发展,越来越多的物联网设备中需要构建可信执行环境,来支撑物联网安全敏感的业务,物联网身份认证是认证服务器或者其他验证终端是指通过一定的手段,完成物联网设备身份的确认,实现物联网设备的访问控制,目前,物联网设备身份确认基于物理不可克隆方法,通过提取制造过程中不可避免的制造差异获得秘密信息,特别地,当电路断电的时候,秘密信息消失,攻击者无法用传统的攻击方式获得电路中的秘密信息,而且一般的入侵式攻击还会破坏电路中的制造差异,导致攻击无效,物理不可克隆方法在密钥存储、认证防伪、安全启动等方面都提供了全新的安全方案,但是这类物理防克隆方法无法防止重播攻击,另外,基于共享密钥或者PKI的挑战/应答身份认证机制无法防止物理克隆,如,传统的身份认证方法,需要引入安全芯片或者可信执行环境的可信根保护身份密钥,基于TEE+SE+挑战/应答的移动安全可以解决物理克隆、重播攻击以及通过可执行环境保护PUF,但是需要额外增加安全芯片,增加部署和成本。
发明内容
针对相关技术中的上述技术问题,本发明提出一种基于可信执行环境的身份认证方法,基于TEE的可信认证服务、运用PUF和挑战/应答方式,搭建低成本的安全的单芯片身份认证方案。
为实现上述技术目的,本发明的技术方案是这样实现的:一种基于可信执行环境的身份认证方法,该方法包括以下步骤:
S1 在TEE中生成随机序列作为PUF的激励,通过PUF生成保护身份密钥,并创建身份密钥及PUF绑定的挑战/应答对;
S2 在TEE中生成随机数,对随机数、存储密钥、身份ID信息进行加密运算和哈希运算,随机数和加密运算结果生成多个挑战/应答对;
S3 认证服务器从多个挑战/应答对中选择一对未使用过的挑战/应答对发送给设备中的TEE进行认证服务;
S4 认证服务器取出身份密钥密文,将身份密钥密文与挑战/应答对做比较,若相同,则认证成功,否则为失败;
S5 对挑战/应答对进行更新,当认证服务器上的未使用挑战/应答至少剩余一对时,需要通过会话密钥session_key保护的会话更新挑战/应答对,会话更新挑战/应答对通过信道安全传输到认证服务器。
进一步地,所述S1创建身份密钥进一步包含:
S1.1在TEE中生成随机序列作为PUF的激励,通过PUF生成响应RSP,运用RSP作为AES加密密钥对身份密钥进行加密,将激励和加密模型结构存储到一次性编程存储器OTP上,实现PUF、AES在TEE中的访问。
进一步地,所述S2中生成挑战/应答对进一步包含:
S2.1运用RSP作为密钥进行AES加密,随机数和加密运算结果生成多个挑战/应答对,并将生成的多个挑战/应答对上传到认证服务器,同时,所述认证服务器存储着设备身份密钥、ID设备信息。
进一步地,所述S3中TEE认证服务进一步包含:
S3.1 TEE认证服务将一次性编辑存储器OTP上的激励取出输入给PUF ;PUF接收到一次性编辑存储器OTP的激励后,在运用PUF响应RSP,使得RSP解密一次性编程存储器OTP上的身份密钥密文,得到身份密钥;
进一步地,所述S3.1中身份密钥认证进一步包含:
S3.1.1对随机数、存储密钥、身份ID信息进行加密运算,运用RSP作为密钥进行AES加密,生成信令msg1,在运用身份ID信息对挑战/应答和会话密钥加密,生成信令msg2,并将信令msg1、信令msg2上传到认证服务器。
进一步地,所述S4中认证服务器与挑战/应答对认证进一步包含:
S4.1 若认证成功,则运用身份密钥对信令msg2解密,将解密结果中的挑战/应答和认证服务器对比,对比结果相等则解密结果中的session_key有效,并在后续的会话中使用,否则身份密钥被篡改,判定认证过程失败。
进一步地,所述S5中更新挑战应答对进一步包含:
S5.1 认证服务器上的挑战/应答对通过安全更新,实现挑战/应答对不重复,防止了重复攻击,保证了整个认证过程的真实性;
S5.2 将PUF与认证服务器配置在TEE中运行,实现认证服务器存储设备物理防克隆。
本发明的有益效果:鉴于现有技术中存在的不足,本申请具有如下有益效果:
1)安全性:通过PUF保护身份密钥,防止密钥复制攻击,通过对PUF应答挑战的抗重播设计,实现真正的密钥和设备的绑定,使得密钥意外泄漏仍然不可用,或者冒充,通过可信执行环境隔离限制设备上其他非可信代码对于身份密钥的非法访问;
2)高性能:整个保护过程在一个服务器设备交互流程中完成,具有较高的实用价值,基于TEE的可信认证服务、运用PUF和挑战/应答方式,搭建低成本的安全的单芯片身份认证方案。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例所述的基于可信执行环境的身份认证方法流程框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
如图 1 所示,根据本发明实施例所述的基于可信执行环境的身份认证方法,该方法包括以下步骤:
步骤一、初始化阶段,采用PUF保护身份密钥,创建身份密钥和PUF绑定的挑战/应答对;
步骤二、身份认证阶段,认证服务器从多个挑战/应答对中选择一对未使用过的挑战/应答对发送给设备中的TEE进行认证服务;
步骤三、挑战/应答对更新阶段,认证服务器上的挑战/应答对通过安全更新,实现挑战/应答对不重复,防止了重复攻击。
在本发明的一个具体实施例中,初始化阶段,在TEE中生成随机序列作为PUF的激励,通过PUF生成响应RSP,运用RSP作为AES加密密钥对身份密钥进行加密,将激励和加密模型结构存储到一次性编程存储器OTP上,实现PUF、AES在TEE中的访问,在TEE中生成随机数,对随机数、存储密钥、身份ID信息进行加密运算和哈希运算,运用RSP作为密钥进行AES加密,随机数和加密运算结果生成多个挑战/应答对,并将生成的多个挑战/应答对上传到认证服务器,同时,所述认证服务器存储着设备身份密钥、ID设备信息。
在本发明的一个具体实施例中,身份认证阶段,认证服务器从多个挑战/应答对中选择一对未使用过的挑战/应答对发送给设备中的TEE进行认证服务,TEE认证服务将一次性编辑存储器OTP上的激励取出输入给PUF ,PUF接收到一次性编辑存储器OTP的激励后,在运用PUF响应RSP,使得RSP解密一次性编程存储器OTP上的身份密钥密文,得到身份密钥,对随机数、存储密钥、身份ID信息进行加密运算,运用RSP作为密钥进行AES加密(RSP, hash(random, id_key, id)),生成信令msg1,在运用身份ID信息对挑战/应答和会话密钥加密(id_key, challenge||session_key),生成信令msg2,并将信令msg1、信令msg2上传到认证服务器;
认证服务器取出身份密钥密文,将身份密钥密文与挑战/应答对做比较,若相同,则认证成功,否则为失败,若认证成功,则运用身份密钥对信令msg2解密,将解密结果中的挑战/应答和认证服务器对比,对比结果相等则解密结果中的session_key有效,并在后续的会话中使用,否则身份密钥被篡改,判定认证过程失败。
在本发明的一个具体实施例中,挑战/应答对更新阶段,当认证服务器上的未使用挑战/应答至少剩余一对时,需要通过会话密钥session_key保护的会话更新挑战/应答对,会话更新挑战/应答对通过信道安全传输到认证服务器,由于认证服务器上的挑战/应答对通过安全更新,实现挑战/应答对不重复,防止了重复攻击,保证了整个认证过程的真实性,将PUF与认证服务器配置在TEE中运行,实现认证服务器存储设备物理防克隆。
为了方便理解本发明的上述技术方案,以下通过具体使用方式上对本发明的上述技术方案进行详细说明。
在具体使用时,根据本发明所述的基于可信执行环境的身份认证方法,应用于智能门锁的具体实施例说明如下:
1)智能门锁业务主要由智能门锁设备和远程服务器构成;
2)智能门锁包括用户的身份认证模块(PIN码、智能卡、指纹/人脸/掌动脉/声纹等生物识别)、开关锁模块、连接模块以及设备身份认证模块组成;
3)远程认证服务器由设备认证服务、开锁服务构成;
智能门锁初始化实施过程如下:
1)运用固件烧录工具将初始化程序烧录到设备芯片内,运行初始化程序,对智能门锁的设备密钥和设备ID进行加密存储,并将相关信息上传到认证服务器;
2)使用固件烧录工具将智能门锁业务程序烧录到设备芯片中;
3)给门锁上电,门锁中的设备身份认证程序通过认证服务器的设备认证程序进行认证;
4)认证成功后,在智能门锁本地和任务服务器中生成了用于加密通信的共享密钥,建立了信道安全传输;
5)认证服务器通过信道安全传输,进行开锁指令下发、更新PIN码等业务;
6)智能门锁会根据一定的策略和任务服务器进行身份认证,提高安全性;
7)智能门锁应用过程中,运用认证服务器上的挑战/应答对通过安全更新,实现挑战/应答对不重复,防止了重复攻击,保证了整个认证过程的抗重播安全特性。
综上所述,借助于本发明的上述技术方案,安全性:通过PUF保护身份密钥,防止密钥复制攻击,通过对PUF应答挑战的抗重播设计,实现真正的密钥和设备的绑定,使得密钥意外泄漏仍然不可用,或者冒充,通过可信执行环境隔离限制设备上其他非可信代码对于身份密钥的非法访问;高性能:整个保护过程在一个服务器设备交互流程中完成,具有较高的实用价值,基于TEE的可信认证服务、运用PUF和挑战/应答方式,搭建低成本的安全的单芯片身份认证方案。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种基于可信执行环境的身份认证方法,其特征在于,该方法包
括以下步骤:
S1 在TEE中生成随机序列作为PUF的激励,通过PUF生成保护身份密钥,并创建身份密钥及PUF绑定的挑战/应答对;
S2 在TEE中生成随机数,对随机数、存储密钥、身份ID信息进行加密运算和哈希运算,随机数和加密运算结果生成多个挑战/应答对;
S3 认证服务器从多个挑战/应答对中选择一对未使用过的挑战/应答对发送给设备中的TEE进行认证服务;
S4 认证服务器取出身份密钥密文,将身份密钥密文与挑战/应答对进行比对,若相同,则认证成功,否则为失败;
S5 对挑战/应答对进行更新,当认证服务器上的未使用挑战/应答至少剩余一对时,通过会话密钥session_key保护的会话更新挑战/应答对,会话更新挑战/应答对通过信道安全传输到认证服务器。
2.根据权利要求1所述的基于可信执行环境的身份认证方法,其特征在于,所述S1创建身份密钥进一步包含:
S1.1在TEE中生成随机序列作为PUF的激励,通过PUF生成响应RSP,运用RSP作为AES加密密钥对身份密钥进行加密,将激励和加密模型结构存储到一次性编程存储器OTP上,实现PUF、AES在TEE中的访问。
3.根据权利要求1所述的基于可信执行环境的身份认证方法,其特征在于,所述S2中生成挑战/应答对进一步包含:
S2.1运用RSP作为密钥进行AES加密,随机数和加密运算结果生成多个挑战/应答对,并将生成的多个挑战/应答对上传到认证服务器,同时,所述认证服务器存储着设备身份密钥、ID设备信息。
4.根据权利要求1所述的基于可信执行环境的身份认证方法,其特征在于,所述S3中TEE认证服务进一步包含:
S3.1 TEE认证服务将一次性编辑存储器OTP上的激励取出输入给PUF ,PUF接收到一次性编辑存储器OTP的激励后,再运用PUF响应RSP,使得RSP解密一次性编程存储器OTP上的身份密钥密文,得到身份密钥;
所述S3.1进一步包含:
S3.1.1对随机数、存储密钥、身份ID信息进行加密运算,运用RSP作为密钥进行AES加密,生成信令msg1,再运用身份ID信息对挑战/应答和会话密钥加密,生成信令msg2,并将信令msg1、信令msg2上传到认证服务器。
5.根据权利要求4所述的基于可信执行环境的身份认证方法,其特征在于,所述S4进一步包含:
S4.1 若认证成功,则运用身份密钥对信令msg2解密,将解密结果中的挑战/应答和认证服务器对比,对比结果相等则解密结果中的session_key有效,并在后续的会话中使用,否则身份密钥被篡改,判定认证过程失败。
6.根据权利要求1所述的基于可信执行环境的身份认证方法,其特征在于,所述S5中更新挑战/应答对进一步包含:
S5.1 认证服务器上的挑战/应答对通过安全更新,实现挑战/应答对不重复,防止了重复攻击,保证了整个认证过程的真实性;
S5.2 将PUF与认证服务器配置在TEE中运行,实现认证服务器存储设备物理防克隆。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110065687.7A CN112787813B (zh) | 2021-01-19 | 2021-01-19 | 一种基于可信执行环境的身份认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110065687.7A CN112787813B (zh) | 2021-01-19 | 2021-01-19 | 一种基于可信执行环境的身份认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112787813A CN112787813A (zh) | 2021-05-11 |
CN112787813B true CN112787813B (zh) | 2023-03-24 |
Family
ID=75757517
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110065687.7A Active CN112787813B (zh) | 2021-01-19 | 2021-01-19 | 一种基于可信执行环境的身份认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112787813B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114039732B (zh) * | 2021-11-08 | 2024-01-19 | 中国人民解放军国防科技大学 | 一种物理层认证方法、***、设备及计算机可读存储介质 |
CN114827176B (zh) * | 2022-04-08 | 2023-05-09 | 华中科技大学 | 一种分散式存储***中防御女巫攻击的方法和*** |
CN116451188B (zh) * | 2023-06-16 | 2023-08-29 | 无锡沐创集成电路设计有限公司 | 一种软件程序运行安全保护方法、***以及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108449322A (zh) * | 2018-02-13 | 2018-08-24 | 环球鑫彩(北京)彩票投资管理有限公司 | 身份注册、认证方法、***及相关设备 |
CN108540442A (zh) * | 2018-02-08 | 2018-09-14 | 北京豆荚科技有限公司 | 一种访问可信执行环境的控制方法 |
CN108563953A (zh) * | 2018-03-26 | 2018-09-21 | 南京微可信信息技术有限公司 | 一种安全可扩展的可信应用开发方法 |
CN108768660A (zh) * | 2018-05-28 | 2018-11-06 | 北京航空航天大学 | 基于物理不可克隆函数的物联网设备身份认证方法 |
CN109040067A (zh) * | 2018-08-02 | 2018-12-18 | 广东工业大学 | 一种基于物理不可克隆技术puf的用户认证设备及认证方法 |
WO2020078804A1 (en) * | 2018-10-17 | 2020-04-23 | Siemens Aktiengesellschaft | Puf based securing of device update |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170288885A1 (en) * | 2016-03-31 | 2017-10-05 | Intel Corporation | System, Apparatus And Method For Providing A Physically Unclonable Function (PUF) Based On A Memory Technology |
KR102384664B1 (ko) * | 2019-06-28 | 2022-04-11 | 한국전자통신연구원 | 사용자 장치, 물리적 복제방지 기능 기반 인증 서버 및 그것의 동작 방법 |
-
2021
- 2021-01-19 CN CN202110065687.7A patent/CN112787813B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108540442A (zh) * | 2018-02-08 | 2018-09-14 | 北京豆荚科技有限公司 | 一种访问可信执行环境的控制方法 |
CN108449322A (zh) * | 2018-02-13 | 2018-08-24 | 环球鑫彩(北京)彩票投资管理有限公司 | 身份注册、认证方法、***及相关设备 |
CN108563953A (zh) * | 2018-03-26 | 2018-09-21 | 南京微可信信息技术有限公司 | 一种安全可扩展的可信应用开发方法 |
CN108768660A (zh) * | 2018-05-28 | 2018-11-06 | 北京航空航天大学 | 基于物理不可克隆函数的物联网设备身份认证方法 |
CN109040067A (zh) * | 2018-08-02 | 2018-12-18 | 广东工业大学 | 一种基于物理不可克隆技术puf的用户认证设备及认证方法 |
WO2020078804A1 (en) * | 2018-10-17 | 2020-04-23 | Siemens Aktiengesellschaft | Puf based securing of device update |
Also Published As
Publication number | Publication date |
---|---|
CN112787813A (zh) | 2021-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10482291B2 (en) | Secure field-programmable gate array (FPGA) architecture | |
CN106130982B (zh) | 基于pki体系的智能家电远程控制方法 | |
CN112787813B (zh) | 一种基于可信执行环境的身份认证方法 | |
CA2838763C (en) | Credential authentication methods and systems | |
US7373509B2 (en) | Multi-authentication for a computing device connecting to a network | |
RU2434352C2 (ru) | Способ и устройство для надежной аутентификации | |
CN102017578B (zh) | 用于在令牌与验证器之间进行认证的网络助手 | |
CN109379387B (zh) | 一种物联网设备间的安全认证和数据通信*** | |
CN108494551A (zh) | 基于协同密钥的处理方法、***、计算机设备及存储介质 | |
KR20080020621A (ko) | 무결성 보호된 보안 저장의 실행 | |
CN108471352A (zh) | 基于分布式私钥的处理方法、***、计算机设备及存储介质 | |
CN101140605A (zh) | 数据安全读取方法及其安全存储装置 | |
US11405202B2 (en) | Key processing method and apparatus | |
CN111401901B (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
EP3292654B1 (en) | A security approach for storing credentials for offline use and copy-protected vault content in devices | |
Kostiainen et al. | Towards user-friendly credential transfer on open credential platforms | |
ES2709223T3 (es) | Procedimiento de utilización, a partir de un terminal, de datos criptográficos de un usuario almacenados en una base de datos | |
US20060053288A1 (en) | Interface method and device for the on-line exchange of content data in a secure manner | |
CN110493177A (zh) | 基于非对称密钥池对和序列号的量子通信服务站aka密钥协商方法和*** | |
JP5675979B2 (ja) | スマートカードを個人専有化する単純化された方法とその関連装置 | |
CN115171245B (zh) | 一种基于hce的门锁安全认证方法及*** | |
CN110740036A (zh) | 基于云计算的防攻击数据保密方法 | |
WO2013138867A1 (en) | Secure nfc apparatus and method | |
Lu et al. | Communication security between a computer and a hardware token | |
CN112184960A (zh) | 一种智能锁控制方法、装置、智能锁、***和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |