CN113872769A - 基于puf的设备认证方法、装置、计算机设备及存储介质 - Google Patents
基于puf的设备认证方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN113872769A CN113872769A CN202111151330.7A CN202111151330A CN113872769A CN 113872769 A CN113872769 A CN 113872769A CN 202111151330 A CN202111151330 A CN 202111151330A CN 113872769 A CN113872769 A CN 113872769A
- Authority
- CN
- China
- Prior art keywords
- puf
- identification code
- value
- hash value
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000004590 computer program Methods 0.000 claims description 18
- 238000004364 calculation method Methods 0.000 claims description 10
- 238000012790 confirmation Methods 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3278—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种基于PUF的设备认证方法、装置、计算机设备及存储介质,所述方法包括:获若接收到设备端发送的认证报文,解析所述认证报文以获得加密信息和预设哈希值,其中,所述加密信息和所述预设哈希值在所述设备端生成;解密所述加密信息以获得所述设备端的设备标识码,并根据所述设备标识码确认与所述设备标识码匹配的PUF值;计算所述设备标识码和所述PUF值的哈希值以获得待确认哈希值;判断所述待确认哈希值与所述预设哈希值是否匹配,并根据判断结果发送与所述判断结果匹配的认证结果至所述设备端。本发明不仅实现了PUF设备的认证还提高认证时的安全性。
Description
技术领域
本发明涉及物联网技术领域,尤其涉及一种基于PUF的设备认证方法、装置、计算机设备及存储介质。
背景技术
物理不可克隆函数(Physical Unclonable Function,PUF)是利用设备内在构造对设备进行唯一性标识,是一种新颖前沿的设备标识技术。但是,PUF由于是由设备内在构造所产生的,因此在设备生产、运输以及集成等过程中,存在泄漏问题,所以目前并没有一种合适的方法将PUF作为设备标识身份应用于设备认证上。
发明内容
本发明实施例提供了一种基于PUF的设备认证方法、装置、计算机设备及存储介质,不仅能够实现PUF设备的认证还能够提高在认证时的安全性。
第一方面,本发明实施例提供了一种基于PUF的设备认证方法,该方法包括:
若接收到设备端发送的认证报文,解析所述认证报文以获得加密信息和预设哈希值,其中,所述加密信息和所述预设哈希值在所述设备端生成;
解密所述加密信息以获得所述设备端的设备标识码,并根据所述设备标识码确认与所述设备标识码匹配的PUF值;
计算所述设备标识码和所述PUF值的哈希值以获得待确认哈希值;
判断所述待确认哈希值与所述预设哈希值是否匹配,并根据判断结果发送与所述判断结果匹配的认证结果至所述设备端。
第二方面,本发明实施例还提供了一种基于PUF的设备认证装置,该装置包括:
认证报文解析单元,用于若接收到设备端发送的认证报文,解析所述认证报文以获得加密信息和预设哈希值,其中,所述加密信息和所述预设哈希值在所述设备端生成;
第一确认单元,用于解密所述加密信息以获得所述设备端的设备标识码,并根据所述设备标识码确认与所述设备标识码匹配的PUF值;
第一计算单元,用于计算所述设备标识码和所述PUF值的哈希值以获得待确认哈希值;
第一发送单元,用于判断所述待确认哈希值与所述预设哈希值是否匹配,并根据判断结果发送与所述判断结果匹配的认证结果至所述设备端。
第三方面,本发明实施例还提供了一种计算机设备,其包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现上述方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序当被处理器执行时可实现上述方法。
本发明实施例提供了一种基于PUF的设备认证方法、装置、计算机设备及存储介质。本发明实施例在接收到设备端发送的认证报文时,对认证报文进行解析以获得加密信息和预设哈希值,该加密信息和预设哈希值由设备端产生并打包作为认证报文发送,通过解密加密信息以获得设备标识码,并且根据设备标识码确认设备端的PUF值,再计算设备标识码和PUF值的哈希值从而获得待确认哈希值,最后通过比对预设哈希值与待确认哈希值是否一致来判断是否认证成功并返回相应的认证结果至设备端,不仅实现了基于PUF的设备认证,同时,还通过比对哈希值是否一致来判断认证是否成功来提高在认证过程中的安全性。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1a是本发明实施例提供的基于PUF的设备认证方法的流程示意图;
图1b是本发明实施例提供的基于PUF的设备认证方法的应用场景图;
图2是本发明另一实施例提供的基于PUF的设备认证方法的流程示意图;
图3是本发明实施例提供的基于PUF的设备认证装置的示意性框图;
图4是本发明另一实施例提供的基于PUF的设备认证装置的示意性框图;
图5是本发明实施例提供的计算机设备的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
请参阅图1a,图1a是本发明实施例提供的基于PUF的设备认证方法的流程示意图。参见图1b,本发明实施例提供的际遇PUF设备认证方法应用于物联网管理平台,用于对设备端进行认证,其可以实现PUF设备的认证和提高认证过程中的安全性。如图1所示,该方法包括步骤S110~S140。
S110,若接收到设备端发送的认证报文,解析所述认证报文以获得加密信息和预设哈希值,其中,所述加密信息和所述预设哈希值在所述设备端生成。
在本发明实施例中,设备端需要进行认证时,会发送认证报文至物联网管理平台,当物联网管理平台收到该认证报文时,解析该认证报文以获得加密信息和预设哈希值,其中,加密信息和预设哈希值均由设备端所生成。
在某些实施例,例如本实施例中,如图2所示,所述步骤S110步骤之前可以包括步骤S110a-S110e。
S110a,获取所述设备端的设备信息,并根据所述设备信息生成与所述设备信息相对应的所述设备标识码;
在本发明实施例中,在设备端向物联网管理平台进行认证之前,需要先向物联网管理平台进行认证。在设备端向物联网管理平台注册时,需要先获取设备端的设备信息,该设备信息由工作人员进行填写,在工作人员填写完成后,物联网管理平台获取该设备信息,并根据该信息生成一个设备标识码,也即设备标识码由物联网管理平台生成,且具有唯一性,用于识别不同的设备端。其中,设备端可以设有一安全池,该安全池内集成有PUF、安全芯片和安全SDK等模块,安全池对外提供统一接口以供设备计算模块调用安全池功能,安全芯片提供基本的安全计算功能,包括随机数生成器、密码运算器和敏感信息存储等功能,安全SDK用于读取安全池内的PUF值。同时,安全池还设有调用接口和统一接口,调用接口包括安全芯片加密接口、解密接口、签名接口、验证接口和哈希运算接口,统一接口包括安全池加密接口、解密接口、签名接口、验签接口、随机数生成接口、Hash运算接口、安全读写接口以及PUF接口、对PUF值的哈希计算接口。
S110b,将所述设备标识码和平台公钥发送至所述设备端以使所述设备端根据所述设备标识码和所述平台公钥生成并发送注册报文。
在本发明实施例中,在生成设备端的设备标识码后,物联网管理平台将设备标识码和平台公钥发送至设备端,其中,物联网管理平台在发送设备标识码和平台公钥时,会通过安全信道进行传输以便于提高安全性,安全信道包括但不限于离线下载。物联网管理平台会预先配置一对平台私钥和一对平台公钥,其中,设备端可通过平台公钥对信息进行加密,物联网管理平台可通过平台私钥对设备加密的信息进行解密。设备端在接收到设备标识码和平台公钥后,会通过平台公钥对相关信息进行加密,例如对设备标识码进行加密,在完成加密后将加密后的内容作为注册报文的内容发送至物联网管理平台。
在某些实施例,例如本实施例中,如图2所示,所述步骤S110b可以包括如下步骤:获取所述平台公钥,通过所述平台公钥对所述设备标识码和所述PUF值进行加密以生成所述注册报文,其中,所述注册报文包括加密后的设备标识码和加密后的PUF值;将所述注册报文发送至所述物联网管理平台。
在本发明实施例中,设备端在生成注册报文时,具体包括如下内容:先获取由物联网管理平台发送的平台公钥,并通过该平台公钥对设备标识码和PUF值进行加密以获得加密后的设备标识码和加密后的PUF值,其中,PUF值由设备端所产生。最后将加密后的设备标识码和加密后的PUF值作为注册报文的内容发送至物联网管理平台。另外,注册报文的内容具体如下:
{E平台公钥(PUF值),E平台公钥(设备标识码)}=注册报文
S110c,若接收到所述设备端发送的注册报文,解析所述注册报文以获得所述加密后的设备标识码和所述加密后的PUF值。
S110d,通过平台私钥分别解密所述加密后的设备标识码和所述加密后的PUF值以获得所述设备标识码和所述PUF值。
在本发明实施例中,当物联网管理平台接收到设备端发送的注册报文时,通过解析该注册报文获得加密后的设备标识码和加密后的PUF值。再通过平台私钥对上述信息进行解密以获得设备标识码和PUF值,并且可以在物联网管理平台的数据库内判断是否存在与获得的设备标识码相同的设备标识码,若存在,则表明获得的设备标识码为合法设备标识码。
S110e,将所述设备标识码与所述PUF值进行绑定并将所述PUF值存储至PUF数据库中。
在本发明实施例中,将设备标识码与PUF值进行绑定以形成一对一的关系,可通过PUF值确认设备标识码或者通过设备标识码查询PUF值。在完成对设备标识码和PUF值的绑定后,将PUF值存储至PUF数据库中从而完成设备端的注册,其中,PUF数据库中包含有不同设备端的PUF值。
在某些实施例,例如本实施例中,所述认证报文包括所述加密信息、所述哈希值和Nonce值,设备端生成所述认证报文的步骤包括如下步骤:获取所述平台公钥和所述PUF值,并通过所述平台公钥对所述设备标识码进行加密以获得所述加密信息;生成所述Nonce值,并对所述加密信息、所述Nonce值和所述PUF值进行哈希计算以获得所述预设哈希值;根据所述加密信息、所述Nonce值和所述预设哈希值生成所述认证报文。
在本发明实施例中,设备端在认证时需要发送认证报文至物联网管理平台,认证报文的生成过程如下:在注册时,设备端已存储有物联网管理平台所发送的平台公钥和设备标识码,所以在生成认证报文时,可直接获取平台公钥和设备标识码,并通过平台公钥对设备标识码进行加密以生成加密信息。Nonce值由设备端产生,其中,Nonce是Number once的缩写,是一种只被使用一次的任意非重复的随机数,Nonce值包括但不限于时间戳、随机数、计数值等,主要用于提高安全性以及避免认证报文的重复。在获取到加密信息、Nonce值和PUF值后,计算上述三个值的哈希值以生成预设哈希值,提高在数据传输过程中的安全性。最后将预设哈希值和加密信息作为认证报文发送至物联网管理平台。
其中,认证报文的内容包括:
其中,hash=Hash(设备标识码|PUF值|Nonce值)。
S120,解密所述加密信息以获得所述设备端的设备标识码,并根据所述设备标识码确认与所述设备标识码匹配的PUF值。
在本发明实施例中,物联网管理平台在收到加密信息后对该加密信息进行解密以获得设备标识码,并且根据设备标识码在相应的数据库中确认与该设备标识码对应的PUF值。
在某些实施例,例如本实施例中,所述步骤S120步骤可以包括如下步骤:获取预先配置的平台私钥,并通过所述平台私钥对所述加密信息进行解密以获得所述设备端的设备标识码;根据所述设备标识码在所述PUF数据库中确认与所述设备标识码匹配的PUF值。
在本发明实施例中,物联网管理平台可以通过获取预先配置的平台私钥对加密信息解密以获得设备标识码,并且在PUF数据库中,确认与设备标识码匹配的PUF值。
S130,计算所述设备标识码和所述PUF值的哈希值以获得待确认哈希值。
在本发明实施例中,在获得设备标识码和PUF值后,计算设备标识码和PUF值的哈希值以获得待确认哈希值。在一些实施例中,若认证报文中的内容还包含有其他信息,例如Nonce值或者随机数,则计算设备标识码、PUF值以及其他信息的哈希值。
S140,判断所述待确认哈希值与所述预设哈希值是否匹配,并根据判断结果发送与所述判断结果匹配的认证结果至所述设备端。
在本发明实施例中,预设哈希值可以是由设备端通过计算设备标识码、PUF值以及Nonce值的哈希值所产生的,故物联网管理平台在获取到设备标识码时,会先确认该设备标识码的PUF值,并且计算设备标识码、PUF值以及Nonce值的哈希值,如果没有Nonce值则计算设备标识码和PUF值的哈希值。如果待确认哈希值与预设哈希值相同,则表明物联网管理平台的设备标识码、PUF值以及Nonce值均与设备端的设备标识码、PUF值以及Nonce值一致。其中,在认证报文中并没有直接包含有PUF值,避免了PUF值泄漏的可能,因此,比对待确认哈希值与预设哈希值是否一致的重点在于判断PUF值是否相同,具体公式如下:
Hash(D平台私钥(E平台公钥(设备标识码))|PUF值|Nonce值)是否等于hash
当待确认哈希值与预设哈希值相同时,表明物联网管理平台中存储的PUF值与设备端的PUF值一致,返回认证成功的结果,当待确认哈希值与预设哈希值不一致时,表明物联网管理平台中存储的PUF值与设备端的PUF值不相同,返回认证失败的结果。
在某些实施例,例如本实施例中,所述步骤S140步骤可以包括如下步骤:判断所述待确认哈希值与所述预设哈希值是否匹配;若所述待确认哈希值与所述预设哈希值匹配,确认所述认证报文是否包含时间戳;若所述认证报文包含有时间戳,返回带有时限的认证成功的结果至所述设备端;若所述待确认哈希值与所述预设哈希值不匹配,返回认证失败的结果至所述设备端。
在本发明实施例中,当待确认哈希值与预设哈希值一致时,返回认证成功的结果至设备端,其中,若认证报文中的信息包含有时间戳信息时,则可以同步返回该认证结果在多少时间内有效,当待确认哈希值与预设哈希值不一致时,返回认证失败的结果至设备端。
图3是本发明实施例提供的一种基于PUF的设备认证装置100的示意性框图。如图3所示,对应于以上基于PUF的设备认证方法,本发明还提供一种基于PUF的设备认证装置100。该基于PUF的设备认证装置100包括用于执行上述基于PUF的设备认证方法的单元。具体地,请参阅图3,该基于PUF的设备认证装置100包括认证报文解析单元110、第一确认单元120、第一计算单元130和第一发送单元140。
其中,认证报文解析单元110用于若接收到设备端发送的认证报文,解析所述认证报文以获得加密信息和预设哈希值,其中,所述加密信息和所述预设哈希值在所述设备端生成;第一确认单元120用于解密所述加密信息以获得所述设备端的设备标识码,并根据所述设备标识码确认与所述设备标识码匹配的PUF值;第一计算单元130用于计算所述设备标识码和所述PUF值的哈希值以获得待确认哈希值;第一发送单元140用于判断所述待确认哈希值与所述预设哈希值是否匹配,并根据判断结果发送与所述判断结果匹配的认证结果至所述设备端。
图4是本发明另一实施例提供的一种基于PUF的设备认证装置100的示意性框图。如图4所示,本实施例的基于PUF的设备认证装置100是上述实施例的基础上增加了第一获取单元110a、第二发送单元110b、注册报文解析单元110c、第一解密单元110d和PUF值存储单元110e。
其中,第一获取单元110a用于获取所述设备端的设备信息,并根据所述设备信息生成与所述设备信息相对应的所述设备标识码;第二发送单元110b用于将所述设备标识码和平台公钥发送至所述设备端以使所述设备端根据所述设备标识码和所述平台公钥生成并发送注册报文;注册报文解析单元110c用于若接收到所述设备端发送的注册报文,解析所述注册报文以获得所述加密后的设备标识码和所述加密后的PUF值;第一解密单元110d用于通过平台私钥分别解密所述加密后的设备标识码和所述加密后的PUF值以获得所述设备标识码和所述PUF值;PUF值存储单元110e用于将所述设备标识码与所述PUF值进行绑定并将所述PUF值存储至PUF数据库中。
在某些实施例,例如本实施例中,所述第二发送单元110b包括第二获取单元和第三发送单元。
其中,第二获取单元用于获取所述平台公钥,通过所述平台公钥对所述设备标识码和所述PUF值进行加密以生成所述注册报文,其中,所述注册报文包括加密后的设备标识码和加密后的PUF值;第三发送单元用于将所述注册报文发送至所述物联网管理平台。
在某些实施例,例如本实施例中,所述认证报文包括所述加密信息、所述哈希值和Nonce值,所述认证报文解析单元110包括第三获取单元、第二计算单元和认证报文生成单元。
其中,第三获取单元用于获取所述平台公钥和所述PUF值,并通过所述平台公钥对所述设备标识码进行加密以获得所述加密信息;第二计算单元用于生成所述Nonce值,并对所述加密信息、所述Nonce值和所述PUF值进行哈希计算以获得所述预设哈希值;认证报文生成单元用于根据所述加密信息、所述Nonce值和所述预设哈希值生成所述认证报文。
在某些实施例,例如本实施例中,所述第一计算单元130包括第四获取单元和PUF值确认单元。
其中,第四获取单元用于获取预先配置的平台私钥,并通过所述平台私钥对所述加密信息进行解密以获得所述设备端的设备标识码;PUF值确认单元用于根据所述设备标识码在所述PUF数据库中确认与所述设备标识码匹配的PUF值。
在某些实施例,例如本实施例中,所述第一发送单元140包括第一判断单元、第二确认单元、第一返回单元和第二返回单元。
其中,第一判断单元用于判断所述待确认哈希值与所述预设哈希值是否匹配;第二确认单元用于若所述待确认哈希值与所述预设哈希值匹配,确认所述认证报文是否包含时间戳;第一返回单元用于若所述认证报文包含有时间戳,返回带有时限的认证成功的结果至所述设备端;第二返回单元用于若所述待确认哈希值与所述预设哈希值不匹配,返回认证失败的结果至所述设备端。
需要说明的是,所属领域的技术人员可以清楚地了解到,上述基于PUF的设备认证装置和各单元的具体实现过程,可以参考前述方法实施例中的相应描述,为了描述的方便和简洁,在此不再赘述。
上述基于PUF的设备认证装置可以实现为一种计算机程序的形式,该计算机程序可以在如图5所示的计算机设备上运行。
请参阅图5,图5是本申请实施例提供的一种计算机设备的示意性框图。可以是终端,也可以是服务器,其中,终端可以是智能手机、平板电脑、笔记本电脑、台式电脑、个人数字助理和穿戴式设备等具有通信功能的电子设备。服务器可以是独立的服务器,也可以是多个服务器组成的服务器集群。
参阅图5,该计算机设备500包括通过***总线501连接的处理器502、存储器和接口507,其中,存储器可以包括非易失性存储介质503和内存储器504。
该非易失性存储介质503可存储操作***5031和计算机程序5032。该计算机程序5032被执行时,可使得处理器502执行一种基于PUF的设备认证方法。
该处理器502用于提供计算和控制能力,以支撑整个计算机设备500的运行。
该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境,该计算机程序5032被处理器502执行时,可使得处理器502执行一种基于PUF的设备认证方法。
该接口505用于与其它设备进行通信。本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备500的限定,具体的计算机设备500可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器502用于运行存储在存储器中的计算机程序5032,以实现如下步骤:
若接收到设备端发送的认证报文,解析所述认证报文以获得加密信息和预设哈希值,其中,所述加密信息和所述预设哈希值在所述设备端生成;
解密所述加密信息以获得所述设备端的设备标识码,并根据所述设备标识码确认与所述设备标识码匹配的PUF值;
计算所述设备标识码和所述PUF值的哈希值以获得待确认哈希值;
判断所述待确认哈希值与所述预设哈希值是否匹配,并根据判断结果发送与所述判断结果匹配的认证结果至所述设备端。
在一实施例中,处理器502在实现所述若接收到设备端发送的认证报文,解析所述认证报文以获得加密信息和预设哈希值的步骤之前,还包括如下步骤:
获取所述设备端的设备信息,并根据所述设备信息生成与所述设备信息相对应的所述设备标识码;
将所述设备标识码和平台公钥发送至所述设备端以使所述设备端根据所述设备标识码和所述平台公钥生成并发送注册报文。
在一实施例中,处理器502在实现所述判断纳管软件库中是否存在与所述风险软件名称相匹配的纳管软件的步骤时,具体实现如下步骤:
获取所述平台公钥,通过所述平台公钥对所述设备标识码和所述PUF值进行加密以生成所述注册报文,其中,所述注册报文包括加密后的设备标识码和加密后的PUF值;
将所述注册报文发送至所述物联网管理平台。
在一实施例中,处理器502在实现所述将所述设备标识码和平台公钥发送至所述设备端以使所述设备端根据所述设备标识码和所述平台公钥生成并发送注册报文的步骤之后,还包括如下步骤:
若接收到所述设备端发送的注册报文,解析所述注册报文以获得所述加密后的设备标识码和所述加密后的PUF值;
通过平台私钥分别解密所述加密后的设备标识码和所述加密后的PUF值以获得所述设备标识码和所述PUF值;
将所述设备标识码与所述PUF值进行绑定并将所述PUF值存储至PUF数据库中。
在一实施例中,处理器502在实现设备端生成所述认证报文的步骤时,具体实现如下步骤:
获取所述平台公钥和所述PUF值,并通过所述平台公钥对所述设备标识码进行加密以获得所述加密信息;
生成所述Nonce值,并对所述加密信息、所述Nonce值和所述PUF值进行哈希计算以获得所述预设哈希值;
根据所述加密信息、所述Nonce值和所述预设哈希值生成所述认证报文。
在一实施例中,处理器502在实现所述解密所述加密信息以获得所述设备端的设备标识码,并根据所述设备标识码确认与所述设备标识码匹配的PUF值的步骤时,具体实现如下步骤:
获取预先配置的平台私钥,并通过所述平台私钥对所述加密信息进行解密以获得所述设备端的设备标识码;
根据所述设备标识码在所述PUF数据库中确认与所述设备标识码匹配的PUF值。
在一实施例中,处理器502在实现所述判断所述待确认哈希值与所述预设哈希值是否匹配,并根据判断结果发送与所述判断结果匹配的认证结果至所述设备端的步骤时,具体实现如下步骤:
判断所述待确认哈希值与所述预设哈希值是否匹配;
若所述待确认哈希值与所述预设哈希值匹配,确认所述认证报文是否包含时间戳;
若所述认证报文包含有时间戳,返回带有时限的认证成功的结果至所述设备端;
若所述待确认哈希值与所述预设哈希值不匹配,返回认证失败的结果至所述设备端。
应当理解,在本申请实施例中,处理器502可以是中央处理单元(CentralProcessing Unit,CPU),该处理器502还可以是其他通用处理器、数字信号处理器(FigitalSignal Processor,FSP)、专用集成电路(Application Specific IntegrateF Circuit,ASIC)、现成可编程门阵列(FielF-Programmable GateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成。该计算机程序可存储于一存储介质中,该存储介质为计算机可读存储介质。该计算机程序被该计算机***中的至少一个处理器执行,以实现上述方法的实施例的流程步骤。
因此,本发明还提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序。该计算机程序当被处理器执行时实现上述基于PUF的设备认证方法的任一实施例。
所述存储介质可以是U盘、移动硬盘、只读存储器(ReaF-Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的。例如,各个单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备执行本发明各个实施例所述方法的全部或部分步骤。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详细描述的部分,可以参见其他实施例的相关描述。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,尚且本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种基于PUF的设备认证方法,应用于物联网管理平台,其特征在于,所述方法包括:
若接收到设备端发送的认证报文,解析所述认证报文以获得加密信息和预设哈希值,其中,所述加密信息和所述预设哈希值在所述设备端生成;
解密所述加密信息以获得所述设备端的设备标识码,并根据所述设备标识码确认与所述设备标识码匹配的PUF值;
计算所述设备标识码和所述PUF值的哈希值以获得待确认哈希值;
判断所述待确认哈希值与所述预设哈希值是否匹配,并根据判断结果发送与所述判断结果匹配的认证结果至所述设备端。
2.如权利要求1所述的基于PUF的设备认证方法,其特征在于,所述若接收到设备端发送的认证报文,解析所述认证报文以获得加密信息和预设哈希值的步骤之前,还包括:
获取所述设备端的设备信息,并根据所述设备信息生成与所述设备信息相对应的所述设备标识码;
将所述设备标识码和平台公钥发送至所述设备端以使所述设备端根据所述设备标识码和所述平台公钥生成并发送注册报文。
3.如权利要求2所述的基于PUF的设备认证方法,其特征在于,所述设备端根据所述设备标识码和所述平台公钥生成并发送注册报文的步骤,包括:
获取所述平台公钥,通过所述平台公钥对所述设备标识码和所述PUF值进行加密以生成所述注册报文,其中,所述注册报文包括加密后的设备标识码和加密后的PUF值;
将所述注册报文发送至所述物联网管理平台。
4.如权利要求3所述的基于PUF的设备认证方法,其特征在于,所述将所述设备标识码和平台公钥发送至所述设备端以使所述设备端根据所述设备标识码和所述平台公钥生成并发送注册报文的步骤之后,还包括:
若接收到所述设备端发送的注册报文,解析所述注册报文以获得所述加密后的设备标识码和所述加密后的PUF值;
通过平台私钥分别解密所述加密后的设备标识码和所述加密后的PUF值以获得所述设备标识码和所述PUF值;
将所述设备标识码与所述PUF值进行绑定并将所述PUF值存储至PUF数据库中。
5.如权利要求4所述的基于PUF的设备认证方法,其特征在于,所述解密所述加密信息以获得所述设备端的设备标识码,并根据所述设备标识码确认与所述设备标识码匹配的PUF值的步骤,包括:
获取预先配置的平台私钥,并通过所述平台私钥对所述加密信息进行解密以获得所述设备端的设备标识码;
根据所述设备标识码在所述PUF数据库中确认与所述设备标识码匹配的PUF值。
6.如权利要求2所述的基于PUF的设备认证方法,其特征在于,所述认证报文包括所述加密信息、所述哈希值和Nonce值,设备端生成所述认证报文的步骤,包括:
获取所述平台公钥和所述PUF值,并通过所述平台公钥对所述设备标识码进行加密以获得所述加密信息;
生成所述Nonce值,并对所述加密信息、所述Nonce值和所述PUF值进行哈希计算以获得所述预设哈希值;
根据所述加密信息、所述Nonce值和所述预设哈希值生成所述认证报文。
7.如权利要求1所述的基于PUF的设备认证方法,其特征在于,所述判断所述待确认哈希值与所述预设哈希值是否匹配,并根据判断结果发送与所述判断结果匹配的认证结果至所述设备端的步骤,包括:
判断所述待确认哈希值与所述预设哈希值是否匹配;
若所述待确认哈希值与所述预设哈希值匹配,确认所述认证报文是否包含时间戳;
若所述认证报文包含有时间戳,返回带有时限的认证成功的结果至所述设备端;
若所述待确认哈希值与所述预设哈希值不匹配,返回认证失败的结果至所述设备端。
8.一种基于PUF的设备认证装置,其特征在于,所述装置包括:
认证报文解析单元,用于若接收到设备端发送的认证报文,解析所述认证报文以获得加密信息和预设哈希值,其中,所述加密信息和所述预设哈希值在所述设备端生成;
第一确认单元,用于解密所述加密信息以获得所述设备端的设备标识码,并根据所述设备标识码确认与所述设备标识码匹配的PUF值;
第一计算单元,用于计算所述设备标识码和所述PUF值的哈希值以获得待确认哈希值;
第一发送单元,用于判断所述待确认哈希值与所述预设哈希值是否匹配,并根据判断结果发送与所述判断结果匹配的认证结果至所述设备端。
9.一种计算机设备,其特征在于,所述计算机设备搭建有物联网管理平台,所述计算机设备包括存储器以及与所述存储器相连的处理器;所述存储器用于存储计算机程序;所述处理器用于运行所述存储器中存储的计算机程序,以执行如权利要求1-7任一项所述方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时可实现如权利要求1-7中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111151330.7A CN113872769B (zh) | 2021-09-29 | 2021-09-29 | 基于puf的设备认证方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111151330.7A CN113872769B (zh) | 2021-09-29 | 2021-09-29 | 基于puf的设备认证方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113872769A true CN113872769A (zh) | 2021-12-31 |
| CN113872769B CN113872769B (zh) | 2024-02-20 |
Family
ID=78992688
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111151330.7A Active CN113872769B (zh) | 2021-09-29 | 2021-09-29 | 基于puf的设备认证方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113872769B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20140059485A (ko) * | 2012-11-08 | 2014-05-16 | 숭실대학교산학협력단 | Puf를 이용한 기기 인증 장치 및 방법 |
| CN105229965A (zh) * | 2013-05-15 | 2016-01-06 | 三菱电机株式会社 | 设备真伪判定***以及设备真伪判定方法 |
| US20160110571A1 (en) * | 2013-07-02 | 2016-04-21 | Soongsil University Research Consortium Techno-Park | Rfid tag authentication system |
| KR101756719B1 (ko) * | 2016-04-28 | 2017-07-12 | 주식회사 코인플러그 | 로그인을 지원하기 위한 방법 및 이를 사용한 인증 지원 서버 |
| US9985792B1 (en) * | 2015-03-25 | 2018-05-29 | National Technology & Engineering Solutions Of Sandia, Llc | Data to hardware binding with physical unclonable functions |
| CN109446788A (zh) * | 2018-10-12 | 2019-03-08 | 广州杰赛科技股份有限公司 | 一种设备的身份认证方法及装置、计算机存储介质 |
| CN110399166A (zh) * | 2019-06-25 | 2019-11-01 | 苏州浪潮智能科技有限公司 | ME Nonce值的保存方法、装置、设备及存储介质 |
| US20200295954A1 (en) * | 2019-03-13 | 2020-09-17 | Arizona Board Of Regents On Behalf Of Northern Arizona University | Puf-based key generation for cryptographic schemes |
| CN112272094A (zh) * | 2020-10-23 | 2021-01-26 | 国网江苏省电力有限公司信息通信分公司 | 基于puf和cpk算法的物联网设备身份认证方法、***及存储介质 |
-
2021
- 2021-09-29 CN CN202111151330.7A patent/CN113872769B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20140059485A (ko) * | 2012-11-08 | 2014-05-16 | 숭실대학교산학협력단 | Puf를 이용한 기기 인증 장치 및 방법 |
| CN105229965A (zh) * | 2013-05-15 | 2016-01-06 | 三菱电机株式会社 | 设备真伪判定***以及设备真伪判定方法 |
| US20160110571A1 (en) * | 2013-07-02 | 2016-04-21 | Soongsil University Research Consortium Techno-Park | Rfid tag authentication system |
| US9985792B1 (en) * | 2015-03-25 | 2018-05-29 | National Technology & Engineering Solutions Of Sandia, Llc | Data to hardware binding with physical unclonable functions |
| KR101756719B1 (ko) * | 2016-04-28 | 2017-07-12 | 주식회사 코인플러그 | 로그인을 지원하기 위한 방법 및 이를 사용한 인증 지원 서버 |
| CN109446788A (zh) * | 2018-10-12 | 2019-03-08 | 广州杰赛科技股份有限公司 | 一种设备的身份认证方法及装置、计算机存储介质 |
| US20200295954A1 (en) * | 2019-03-13 | 2020-09-17 | Arizona Board Of Regents On Behalf Of Northern Arizona University | Puf-based key generation for cryptographic schemes |
| CN110399166A (zh) * | 2019-06-25 | 2019-11-01 | 苏州浪潮智能科技有限公司 | ME Nonce值的保存方法、装置、设备及存储介质 |
| CN112272094A (zh) * | 2020-10-23 | 2021-01-26 | 国网江苏省电力有限公司信息通信分公司 | 基于puf和cpk算法的物联网设备身份认证方法、***及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 王利;李二霞;纪宇晨;李小勇;: "基于PUF的抗物理克隆RFID安全认证协议", 信息网络安全, no. 08 * |
| 秦华: "基于PUF的设备认证方法、装置、计算机设备 及存储介质", 《网络空间安全》, vol. 12, no. 2 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113872769B (zh) | 2024-02-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111628868B (zh) | 数字签名生成方法、装置、计算机设备和存储介质 | |
| CN110086608B (zh) | 用户认证方法、装置、计算机设备及计算机可读存储介质 | |
| CN110493197B (zh) | 一种登录处理方法及相关设备 | |
| US10797879B2 (en) | Methods and systems to facilitate authentication of a user | |
| CN112737779B (zh) | 一种密码机服务方法、装置、密码机及存储介质 | |
| US10924289B2 (en) | Public-private key pair account login and key manager | |
| CN106326763B (zh) | 获取电子文件的方法及装置 | |
| CN109981562B (zh) | 一种软件开发工具包授权方法及装置 | |
| US20200412554A1 (en) | Id as service based on blockchain | |
| CN108199847B (zh) | 数字安全处理方法、计算机设备及存储介质 | |
| US11652647B2 (en) | Authentication system and computer readable medium | |
| WO2021190197A1 (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
| JP2020074578A (ja) | 情報を登録および認証する方法およびデバイス | |
| CN114760114B (zh) | 身份认证方法、装置、设备及介质 | |
| KR102157695B1 (ko) | 익명 디지털 아이덴티티 수립 방법 | |
| CN113836506A (zh) | 身份认证方法、装置、***、电子设备、存储介质 | |
| CN114143108A (zh) | 一种会话加密方法、装置、设备及存储介质 | |
| CN114244530A (zh) | 资源访问方法及装置、电子设备、计算机可读存储介质 | |
| CN113709115A (zh) | 认证方法及装置 | |
| CN114168922B (zh) | 一种基于数字证书的用户ca证书生成方法和*** | |
| CN111241492A (zh) | 一种产品多租户安全授信方法、***及电子设备 | |
| CN115242471B (zh) | 信息传输方法、装置、电子设备及计算机可读存储介质 | |
| WO2020121459A1 (ja) | 認証システム、クライアントおよびサーバ | |
| EP1879321A1 (en) | Electronic signature with a trusted platform | |
| CN114978542A (zh) | 面向全生命周期的物联网设备身份认证方法、***及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |