CN117914491A - 一种便携式puf的数字加解密方法及*** - Google Patents

一种便携式puf的数字加解密方法及*** Download PDF

Info

Publication number
CN117914491A
CN117914491A CN202410309485.6A CN202410309485A CN117914491A CN 117914491 A CN117914491 A CN 117914491A CN 202410309485 A CN202410309485 A CN 202410309485A CN 117914491 A CN117914491 A CN 117914491A
Authority
CN
China
Prior art keywords
data
encrypted
excitation
information
check code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202410309485.6A
Other languages
English (en)
Other versions
CN117914491B (zh
Inventor
刘延飞
张骞
陈诚
王杰铃
杨晶晶
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Rocket Force University of Engineering of PLA
Original Assignee
Rocket Force University of Engineering of PLA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Rocket Force University of Engineering of PLA filed Critical Rocket Force University of Engineering of PLA
Priority to CN202410309485.6A priority Critical patent/CN117914491B/zh
Publication of CN117914491A publication Critical patent/CN117914491A/zh
Application granted granted Critical
Publication of CN117914491B publication Critical patent/CN117914491B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明公开了一种便携式PUF的数字加解密方法及***,方法包括:生成原始数据;根据原始数据生成第一激励信息并发送至便携式SRAM PUF设备,接收便携式SRAM PUF设备针对第一激励信息返回的第一响应信息;加密设备通过电子接口与便携式SRAM PUF设备通信连接;根据预设加密算法和第一响应信息生成第一密钥;获取待加密数据,生成待加密数据的校验码;根据第一密钥、待加密数据、待加密数据的校验码、预设加密算法和原始数据生成加密信息;将加密信息发送至解密设备,以使解密设备利用便携式SRAM PUF设备对加密信息进行解密。本发明能够减少密钥分发过程中的风险隐患,提高数据存储和传输的安全性。

Description

一种便携式PUF的数字加解密方法及***
技术领域
本发明属于信息安全技术领域,具体涉及一种便携式PUF的数字加解密方法及***。
背景技术
随着互联网的快速发展,存储于操作***中的文本、图片、视频、程序代码等文件数据由于网络共享的存在暴露在网络环境中,流转于网络中的认证、备份、数据交换等网络传输数据存在被窃取的可能,涉及的相关关键信息有可能因为被广泛感知、运算、传输与存储而遭受攻击,文件、程序、网络数据等计算机终端和网络链路中的二进制数据信息存储和使用的安全性成为人们必须面对和解决的难题,尤其在复杂网络环境下,如何确保数据安全成为互联网发展面临的难题和国内外科技工作者研究的热点问题。数据安全风险主要包括文件窃取、内容篡改和信息泄露等,进而导致数据真实性、完整性、可读性和保密性等安全属性遭受破坏。为提高数据的安全性,人们提出采用密码算法对数据进行加密以此来保护用户的数据安全,由于对称加密具有加密速度快,加解密使用同样密钥的良好特性在数据加密方面得到广泛应用,但是在加解密过程中如何安全地存储和分发密钥是数据加解密的最大难题,如果用户数据全部基于某个特定密钥实现加解密,一旦该密钥被破解,所有数据都将面临安全风险,如果用户不同文件数据采用不同密钥,实现大批量密钥存储、分发以及更新也非常困难,所以亟需采用新技术解决该问题。
目前,对于二进制数据加密主要使用基于用户口令和生物特征识别的加密技术实现。利用用户口令进行数据加密的方式虽然易用性高,但是由于算法本身所用密钥依赖于用户口令生成,其生成算法一旦遭受攻击被破解,以该口令密钥生成算法为基础的所有加密数据将面临巨大安全风险。利用生物特征识别的方式,例如声纹识别加密,虽然声纹识别加密可以通过采集人类生物信息进行后处理后实现文件加密,与人类个体物理特征形成强关联,但是由于声纹输入时间长,且周围环境出现噪声容易对信号产生干扰,会降低声纹识别准确率,另外也存在录音回放攻击的风险。
也就是说,目前的加密方法在数据安全存储和传输方面存在安全隐患。
发明内容
为了解决现有技术中所存在的上述问题,本发明提供了一种便携式PUF的数字加解密方法及***。
本发明要解决的技术问题通过以下技术方案实现:
本发明提供一种便携式PUF的数字加密方法,应用于加密设备,包括:
生成原始数据;
根据所述原始数据生成第一激励信息;所述第一激励信息包括:第一激励数据;
将所述第一激励信息发送至便携式SRAM PUF设备,并接收所述便携式SRAM PUF设备针对所述第一激励信息返回的第一响应信息;所述第一响应信息包括:针对所述第一激励数据的第一响应数据;所述加密设备通过电子接口与所述便携式SRAM PUF设备通信连接;
根据预设加密算法和所述第一响应信息,生成第一密钥;
获取待加密数据,并生成所述待加密数据的校验码;
根据所述第一密钥、所述待加密数据、所述待加密数据的校验码、所述预设加密算法和所述原始数据,生成加密信息;
将所述加密信息发送至解密设备,以使所述解密设备利用所述便携式SRAM PUF设备对所述加密信息进行解密。
本发明还提供一种便携式PUF的数字解密方法,应用于解密设备,包括:
接收加密设备发送的加密信息;
根据所述加密信息,分别确定所述原始数据、所述预设加密算法、所述待加密数据的校验码和所述待加密数据的密文数据;
根据所述原始数据生成第二激励信息;所述第二激励信息包括:第二激励数据;
将所述第二激励信息发送至所述加密设备生成所述加密信息时所使用的便携式SRAM PUF设备,并接收所述便携式SRAM PUF设备针对所述第二激励信息返回的第二响应信息;所述第二响应信息包括:针对所述第二激励数据的第二响应数据;所述解密设备通过电子接口与所述便携式SRAM PUF设备通信连接;
根据所述预设加密算法和所述第二响应信息,生成第二密钥;
根据所述第二密钥、所述密文数据和所述待加密数据的校验码,进行所述密文数据的解密。
本发明还提供一种便携式PUF的数字加解密***,包括:
加密设备,用于生成原始数据,根据所述原始数据生成第一激励信息,所述第一激励信息包括第一激励数据,将所述第一激励信息发送至便携式SRAM PUF设备,并接收所述便携式SRAM PUF设备针对所述第一激励信息返回的第一响应信息,所述第一响应信息包括针对所述第一激励数据的第一响应数据,根据预设加密算法和所述第一响应信息,生成第一密钥,获取待加密数据,并生成所述待加密数据的校验码,根据所述第一密钥、所述待加密数据、所述待加密数据的校验码、所述预设加密算法和所述原始数据,生成加密信息,将所述加密信息发送至解密设备;
解密设备,用于接收所述加密信息,根据所述加密信息,分别确定所述原始数据、所述预设加密算法、所述待加密数据的校验码和所述待加密数据的密文数据,根据所述原始数据生成第二激励信息,所述第二激励信息包括第二激励数据,将所述第二激励信息发送至所述便携式SRAM PUF设备,并接收所述便携式SRAM PUF设备针对所述第二激励信息返回的第二响应信息,所述第二响应信息包括针对所述第二激励数据的第二响应数据,根据所述预设加密算法和所述第二响应信息,生成第二密钥,根据所述第二密钥、所述密文数据和所述待加密数据的校验码,进行所述密文数据的解密;
所述便携式SRAM PUF设备,用于当与所述加密设备通过电子接口通信连接时,根据所述第一激励信息生成所述第一响应信息,并发送至所述加密设备;当与所述解密设备通过电子接口通信连接时,根据所述第二激励信息生成所述第二响应信息,并发送至所述解密设备。
与现有技术相比,本发明的有益效果:
本发明基于便携式的SRAM PUF进行数据加密,使用的密钥可以直接利用便携式的SRAM PUF设备实时生成,便携式的SRAM PUF设备平时处于关闭状态,只有密钥生成时通过电子接口与便携式SRAM PUF设备建立通信连接,以启动SRAM PUF设备完成关键数据的生成,当不需要生成密钥时,不会与便携式SRAM PUF设备进行通信连接,因而便携式SRAM PUF设备在不启用的状态下会断电存放,并且,便携式SRAM PUF设备不会存储任何秘密信息,攻击者由于无法发现并获取设备内容,所以可以有效防止基于密钥存储的窃取攻击;并且,利用SRAM PUF设备具备的物理随机特性生成用于产生密钥的关键数据,以实现数据流加密实时密钥的生成,密钥不直接存放到计算机中,在使用时利用SRAM PUF动态生成,最大限度地降低了密钥存放所存在的安全风险;同时,将产生密钥的关键数据与密文进行编码整合,实现“密钥关键信息+密文”的存放和传输模式,从而优化了数据加/解密过程中的密钥管理方法,减少了密钥分发过程中的风险隐患,提高了数据存储和传输的安全性,实现了更高级别安全和更高效率的数据流的加解密,解决了数据安全保护中密钥存储和分发的关键难点问题。
以下将结合附图及具体实施方式对本发明做进一步详细说明。
附图说明
图1是本发明实施例提供的应用于加密设备的一种便携式PUF的数字加密方法的流程示意图;
图2是本发明实施例提供的便携式SRAM PUF设备的一个示例性的尺寸示意图;
图3是本发明实施例提供的示例性的基于SRAM PUF设备使用KDF产生密钥的整体过程示意图;
图4是本发明实施例提供的一个示例性的基于便携式PUF的数字加密流程图;
图5是本发明实施例提供的另一个示例性的基于便携式PUF的数字加密流程图;
图6是本发明实施例提供的应用于解密设备的一种便携式PUF的数字解密方法的流程示意图;
图7是本发明实施例提供的一个示例性的基于便携式PUF的数字解密流程图;
图8是本发明实施例提供的另一个示例性的基于便携式PUF的数字解密流程图;
图9是本发明实施例提供的一个加密子***或解密子***的示例性的结构示意图。
具体实施方式
下面结合具体实施例对本发明做进一步详细的描述,但本发明的实施方式不限于此。
为进一步提升数据安全的保障能力,人们借鉴生物特征作为认证锚的方式,提出物理不可克隆函数(PUF,Physical Unclonable Function)作为一种新型的硬件安全机制。PUF也被称为“数字指纹”,主要是利用固有的设备变化来对给定的输入产生不可克隆的唯一设备响应,在密码学中使用PUF的优势是具备“不可预测性”和“唯一性”。PUF技术是近年来国内外学者深入研究的一项加密技术,其中,SRAM PUF是一种半导体芯片,其中,SRAM是Static Random Access Memory的英文缩写,称为静态随机存取存储器。SRAM PUF具有使用方便、成本低、功耗省等特性,可以与当前网络设备进行良好的有机结合,相比于其他PUF具有更强的应用优势,非常适用于设备数量庞大的互联网。本发明改进了SRAM PUF硬件电路实现,使其更加小型化且直接可以与计算机设备通过U口连接传输数据,将其作为在互联网数据存储和传输过程中的安全保护的关键设备,用硬件PUF密钥生成的方式替代传统软件算法密钥生成的方式,可以有效解决互联网发展过程中数据安全存储和传输方面存在的隐患问题。
图1是本发明实施例提供的一种便携式PUF的数字加密方法的流程示意图,该方法应用于加密设备,如图1所示,该方法包括:
S101、生成原始数据。
这里,原始数据可以是随机数,例如,可以调用***函数或第三方库提供的函数API接口,以加密设备的当前时间作为种子Seed生成随机数。
S102、根据原始数据生成第一激励信息;第一激励信息包括:第一激励数据。
具体的,根据原始数据生成便携式SRAM PUF设备的第一激励数据;计算第一激励数据的校验码;将第一激励数据和第一激励数据的校验码,作为第一激励信息;第一激励数据的校验码用于使便携式SRAM PUF设备对接收到的第一激励数据进行校验。
本发明中,校验码具体可以为CRC校验码。
这里,为了对不同设备产生的激励数据进行区分,本申请将加密设备根据随机数生成的激励数据称为第一激励数据,将下述的解密设备根据该随机数生成的激励数据称为第二激励数据,以进行区分,其他带有“第一”、“第二”的名词同理。
这里,加密设备可以对随机数进行预处理,以构造出符合便携式SRAM PUF设备要求的激励数据。
S103、将第一激励信息发送至便携式SRAM PUF设备,并接收便携式SRAM PUF设备针对第一激励信息返回的第一响应信息;第一响应信息包括:针对第一激励数据的第一响应数据;加密设备通过电子接口与便携式SRAM PUF设备通信连接。
这里,便携式SRAM PUF设备包括:外壳、电路板,以及与电路板连接的电子接口;电路板以及部分电子接口置于外壳内;当便携式SRAM PUF设备的电子接口与加密设备的电子接口插接时,便携式SRAM PUF设备与加密设备实现通信连接。具体的,电路板上包括MCU模块、SRAM PUF芯片、通信模块、电源模块等核心模块。例如,电路板上集成有MCU模块、RAMPUF芯片、通信模块、电源模块、晶振和下载调试模块。示例性的,便携式SRAM PUF设备的电子接口可以为U口。示例性的,便携式SRAM PUF设备可以如U盘大小,从而更方便用户携带和使用,设备可以直接通过COM口与MCU模块进行通信连接,以更加便捷、高效的方式实现数据交换,完成密钥生成过程。例如,图2为便携式SRAM PUF设备的一个示例性的尺寸示意图;如图2所示,便携式SRAM PUF设备的电子接口的宽度可以为12.827mm,电路板的长度可以为33.071mm,电路板的宽度可以为14.122mm,电路板上的固定孔到电路板边缘的距离可以为8.001mm。
这里,便携式SRAM PUF设备从加密设备发送的第一激励信息中解析出第一激励数据和第一激励数据的校验码,并重新计算第一激励数据的校验码,当计算出的第一激励数据的校验码与解析出的第一激励数据的校验码相同时,根据第一激励数据生成第一响应数据,并生成第一响应数据的校验码,将第一响应数据和第一响应数据的校验码作为第一响应信息发送至加密设备;而当计算出的第一激励数据的校验码与解析出的第一激励数据的校验码不同时,则发出数据传输错误警告。
S104、根据预设加密算法和第一响应信息,生成第一密钥。
具体的,从第一响应信息中解析出第一响应数据以及第一响应数据的校验码;计算第一响应数据的校验码;当计算得到的第一响应数据的校验码,与解析出的第一响应数据的校验码相同时,采用预设加密算法对第一响应数据进行后处理,得到第一密钥;否则,说明传输过程中出错,发出数据传输错误警告。
这里,预设加密算法可以根据实际需要任意设定,本发明对此不作限定。
由于SRAM PUF设备具有不可克隆的硅指纹,因而,可以利用密钥派生函数(KDF,Key Derivation Functions)根据不同输入生成不同密钥,用于保护信息***关键信息的安全。本发明基于SRAM PUF设备使用KDF产生密钥的整体过程如图3所示,对随机数进行预处理,以将随机数调制为符合SRAM PUF设备中的SRAM PUF芯片的输入样式后作为SRAM PUF芯片的激励数据,使用SRAM PUF芯片所具备的“硬件指纹”作为唯一特征,与输入的激励数据进行异或,然后,采用密码学Hash算法产生激励数据对应的响应数据,之后,采用预设加密算法对响应数据进行后处理,得到加密密钥,其中,SRAM PUF芯片的密钥派生函数表示为:PUF=Hash(DATAChallengeXOR DATAPUF_id),其中,DATAChallenge表示激励信号,DATAPUF_id表示SRAM PUF芯片所具备的“硬件指纹”,XOR表示异或操作。
由于Hash算法是一类单向函数,无法从输出数据推导出输入数据,所以无论攻击者获得多少激励和响应数据,都无法准确预测下一个激励数据对应的响应数据。因此,基于SRAM PUF的密钥生成过程是安全的,攻击者无法只根据激励数据破解出解密密钥,必须持有特定PUF设备才能正确完成密钥生成,获得解密所需密钥。
S105、获取待加密数据,并生成待加密数据的校验码。
这里,待加密数据为二进制数据。例如,待加密数据可以是文本、图片、音视频等文件数据流,或者,可以是脚本、可执行程序、库文件等程序数据流,还可以是接入认证、数据回传、命令发布等网络数据流。
S106、根据第一密钥、待加密数据、待加密数据的校验码、预设加密算法和原始数据,生成加密信息。
具体的,采用第一密钥对待加密数据进行加密,得到密文数据;将密文数据、待加密数据的校验码、预设加密算法和原始数据进行编码整合,得到加密数据;计算加密数据的校验码;其中,加密数据和加密数据的校验码构成加密信息。
S107、将加密信息发送至解密设备,以使解密设备利用便携式SRAM PUF设备对加密信息进行解密。
为进一步说明本发明所提的便携式PUF的数字加密方法,请参考图4和图5。
数据准备阶段:加密设备获得待加密明文数据PlainText后,计算校验码CRCPlainText,并调用自身的***函数或第三方库提供的函数API接口,以***当前时间作为种子Seed生成随机数RandomNumber,接着,对RandomNumber进行预处理,以构造出符合便携式SRAM PUF设备要求的激励数据,并计算激励数据的校验码CRCChallenge
密钥生成阶段:加密设备按照协议格式将激励数据与CRCChallenge进行封装,通过操作***COM口发送至便携式SRAM PUF设备,便携式SRAM PUF设备接收数据后进行格式解析,提取出激励数据与CRCChallenge,计算激励数据的CRC校验码CRCChallenge,并与提取出的CRCChallenge进行比对,如果不一致(即错误),则表示传输过程出错,发出数据传输错误警告;如果一致(即正确),则便携式SRAM PUF设备产生响应数据,并计算响应数据的校验码CRCResponse,将响应数据和CRCResponse按照协议格式封装后,通过操作***COM口回送至加密设备。加密设备接收数据后按协议规定进行内容解析,提取响应数据与CRCResponse,计算响应数据的CRC校验码CRCResponse,并与接收到的CRCResponse进行比对,如果正确,则根据对称加密算法类型AlgorithmType的不同,对响应数据进行后处理,以获得AlgorithmType所需的特定长度的密钥,如果错误,则表示传输过程出错,发出数据传输错误告警。
数据加密阶段:加密设备利用获得的加密密钥,使用对称加密算法对明文数据PlainText进行加密,获得密文数据CipherText,接着,将CipherText、CRCPlainTesxt、AlgorithmType和RandomNumber进行编码整合,获得最终加密数据EncryptData(即密文),计算EncryptData的校验码CRCEncryptData,并将EncryptData和CRCEncryptData发送至解密设备。
如图6所示,本发明还提供一种便携式PUF的数字解密方法,该方法应用于解密设备,如图6所示,该方法包括:
S201、接收加密设备发送的加密信息。
S202、根据加密信息,分别确定原始数据、预设加密算法、待加密数据的校验码和待加密数据的密文数据。
具体的,解密设备计算加密数据的校验码;当计算出的加密数据的校验码,与接收到的加密数据的校验码相同时,从加密数据中分别解析出原始数据、预设加密算法、待加密数据的校验码和待加密数据的密文数据;否则,说明传输过程中出错,发出数据传输错误警告。
S203、根据原始数据生成第二激励信息;第二激励信息包括:第二激励数据。
此步骤的原理与上述S102的原理相同,此处不再赘述。
S204、将第二激励信息发送至便携式SRAM PUF设备,并接收便携式SRAM PUF设备针对第二激励信息返回的第二响应信息;第二响应信息包括:针对第二激励数据的第二响应数据;解密设备通过电子接口与便携式SRAM PUF设备通信连接。
这里,解密设备与加密设备使用的是同一个SRAM PUF设备。
此步骤的原理与上述S103的原理相同,此处不再赘述。
S205、根据预设加密算法和第二响应信息,生成第二密钥。
此步骤的原理与上述S104的原理相同,此处不再赘述。
S206、根据第二密钥、密文数据和待加密数据的校验码,进行密文数据的解密。
具体的,解密设备采用第二密钥对密文数据进行解密,得到解密数据;计算解密数据的校验码;当解密数据的校验码与待加密数据的校验码一致时,表明解密数据为待加密数据,解密成功;当解密数据的校验码与待加密数据的校验码不一致时,表明解密失败。
为进一步说明本发明所提的便携式PUF的数字解密方法,请参考图7和图8。
数据准备阶段:解密设备获得待解密数据EncryptData和CRCEncryptData后,计算EncryptData的校验码CRCEncryptData,并与接收到的CRCEncryptData进行比对,如果不一致,则给出CRCEncryptData错误的警告,如果一致,则按照文件格式对EncryptData进行解析,提取出CipherText、CRCPlainTesxt、加密算法类型AlgorithmType和RandomNumber;接着,对RandomNumber进行预处理,以构造出符合便携式SRAM PUF设备的要求的激励数据(Challenge),并计算激励数据的校验码CRCChallenge
密钥生成阶段:解密设备按照协议格式将Challenge与CRCChallenge进行封装,通过操作***COM口发送至便携式SRAM PUF设备,便携式SRAM PUF设备接收数据后进行格式解析,提取出Challenge与CRCChallenge,计算Challenge的校验码CRCChallenge并与解析出的CRCChallenge进行比对,如果错误,则表示传输过程出错,发出数据传输错误警告,如果正确,则便携式SRAM PUF设备产生响应数据,并计算响应数据的校验码CRCResponse,将响应数据和CRCResponse按照协议格式封装后,通过操作***COM口回送至解密设备,解密设备接收数据后按协议规定进行内容解析,提取响应数据与CRCResponse,计算响应数据的CRC校验码CRCResponse,并与接收到的CRCResponse进行比对,如果正确,则根据对称加密算法类型AlgorithmType的不同,对响应数据进行后处理,以获得AlgorithmType所需的特定长度的密钥作为解密密钥,如果错误,则表示传输过程出错,发出数据传输错误告警。
数据解密阶段:解密设备使用对称加密算法,利用解密密钥对CipherText进行解密操作,获得PlainText,接着,计算明文数据PlainText的校验码CRCPlainText',并比较CRCPlainText'与解析出的CRCPlainText是否一致,如果一致则表示解密成功,否则,表示解密失败。
本发明还提供一种便携式PUF的数字加解密***,包括:上述的加密设备、上述的解密设备和上述的便携式的SRAM PUF设备。加密设备,用于生成原始数据,根据原始数据生成第一激励信息,第一激励信息包括第一激励数据,将第一激励信息发送至便携式SRAMPUF设备,并接收便携式SRAM PUF设备针对第一激励信息返回的第一响应信息,第一响应信息包括针对第一激励数据的第一响应数据,根据预设加密算法和第一响应信息,生成第一密钥,获取待加密数据,并生成待加密数据的校验码,根据第一密钥、待加密数据、待加密数据的校验码、预设加密算法和原始数据,生成加密信息,将加密信息发送至解密设备。解密设备,用于接收加密信息,根据加密信息,分别确定原始数据、预设加密算法、待加密数据的校验码和待加密数据的密文数据,根据原始数据生成第二激励信息,第二激励信息包括第二激励数据,将第二激励信息发送至便携式SRAM PUF设备,并接收便携式SRAM PUF设备针对第二激励信息返回的第二响应信息,第二响应信息包括针对第二激励数据的第二响应数据,根据预设加密算法和第二响应信息,生成第二密钥,根据第二密钥、密文数据和待加密数据的校验码,进行密文数据的解密。便携式SRAM PUF设备,用于当与加密设备通过电子接口通信连接时,根据第一激励信息生成第一响应信息,并发送至加密设备;当与解密设备通过电子接口通信连接时,根据第二激励信息生成第二响应信息,并发送至解密设备。
便携式SRAM PUF设备,具体用于当与加密设备通过电子接口通信连接时,从加密设备发送的第一激励信息中解析出第一激励数据和第一激励数据的校验码,并重新计算第一激励数据的校验码,当计算出的第一激励数据的校验码与解析出的第一激励数据的校验码相同时,根据第一激励数据生成第一响应数据,并生成第一响应数据的校验码,将第一响应数据和第一响应数据的校验码作为第一响应信息发送至加密设备;当与解密设备通过电子接口通信连接时,从解密设备发送的第二激励信息中解析出第二激励数据和第二激励数据的校验码,并重新计算第二激励数据的校验码,当计算出的第二激励数据的校验码与解析出的第二激励数据的校验码相同时,根据第二激励数据生成第二响应数据,并生成第二响应数据的校验码,将第二响应数据和第二响应数据的校验码作为第二响应信息发送至解密设备。
这里,在上述便携式PUF的数字加解密***中,加密设备和便携式SRAM PUF设备构成加密子***,解密设备和便携式SRAM PUF设备构成解密子***。示例性的,图9为加密子***或解密子***的结构示意图,如图9所示,便携式SRAM PUF设备包括电子接口和电路板,电路板上集成有MCU模块、RAM PUF芯片、通信模块和电源模块;通过该电子接口,便携式SRAM PUF设备可以与加密设备或解密设备进行通信连接。
本发明可以根据不同的激励数据获得不同密钥,对于所有类型数据都可以进行安全加密,数据加密和解密所需密钥是通过SRAM PUF实时产生,从而在物理层面阻断了密钥被窃取的可能,有效保障了用户信息安全。具体而言,相比于现有的数字加密方式,本发明具有四个方面的优势:
1)使用硬件PUF替代传统软件算法生成密钥。SRAM PUF经过改进后实现小型化和通用接口的连接,便于日常数据加密使用。基于SRAM PUF的数据加解密方法使用的密钥可以直接利用SRAM PUF设备实时生成,SRAM PUF设备平时处于关闭状态,只有密钥生成时启动SRAM PUF设备完成关键数据的生成,SRAM PUF设备在不启用的状态下会断电存放,且不会存储任何秘密信息,攻击者由于无法发现并获取设备内容,所以可以有效防止基于密钥存储的窃取攻击。
2)利用SRAM PUF数据转换单向函数特性,将密钥关键信息跟随密文一起保存,降低密钥管理的复杂度。在加密过程中,可以配置密码算法、密钥长度等数据,一旦加密完成,所有配置信息包括密钥生成关键数据将和密文一起进行编码整合,在解密时无需再次进行配置,在SRAM PUF设备存在的情况下,***会自动进行算法识别和密钥生成,完成数据解密工作。在密钥生成过程中,由于SRAM PUF实现激励数据向响应数据转换的过程中使用单向函数,攻击者无法利用密钥生成关键数据破解密钥,可以有效提高解密效率,降低***管理密码的复杂度。
3)利用SRAM PUF密钥派生函数,数据加密实现实时密钥生成,提高数据加密的安全性。在加密过程中,利用设备或第三方软件提供的API接口产生随机数,然后使用SRAMPUF密钥派生函数产生不同的密钥(即响应数据),使用不同密钥对二进制数据实施加密,攻击者在破解单个密钥的情况下,仍然无法获知其他数据加密密钥,可以有效提升二进制数据加密的安全性。另外,由于最终的密钥关键信息会跟随加密数据一起保存,所以不存在密钥安全管理的问题,所有数据加密可以根据需要实时产生新的密钥,最终保存也不用额外占用内存空间,可以根据需要实现加密密钥的实时更新。
4)本发明将文件、程序、网络数据等均以二进制数据流的形式进行加载处理,避免了数据类型不同带来的差异,最大限度地扩展了方法的应用范围,进而实现了更高级别安全和更高效率的二进制数据流的加/解密,解决了数据安全保护中密钥存储和分发的关键难点问题。
需要说明的是,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。此外,本领域的技术人员可以将本说明书中描述的不同实施例或示例进行接合和组合。
在说明书中,“包括”一词不排除其他组成部分或步骤,“一”或“一个”不排除多个的情况。相互不同的实施例中记载了某些措施,但这并不表示这些措施不能组合起来产生良好的效果。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。

Claims (10)

1.一种便携式PUF的数字加密方法,其特征在于,应用于加密设备,包括:
生成原始数据;
根据所述原始数据生成第一激励信息;所述第一激励信息包括:第一激励数据;
将所述第一激励信息发送至便携式SRAM PUF设备,并接收所述便携式SRAM PUF设备针对所述第一激励信息返回的第一响应信息;所述第一响应信息包括:针对所述第一激励数据的第一响应数据;所述加密设备通过电子接口与所述便携式SRAM PUF设备通信连接;
根据预设加密算法和所述第一响应信息,生成第一密钥;
获取待加密数据,并生成所述待加密数据的校验码;
根据所述第一密钥、所述待加密数据、所述待加密数据的校验码、所述预设加密算法和所述原始数据,生成加密信息;
将所述加密信息发送至解密设备,以使所述解密设备利用所述便携式SRAM PUF设备对所述加密信息进行解密。
2.根据权利要求1所述的便携式PUF的数字加密方法,其特征在于,所述根据所述原始数据生成第一激励信息,包括:
根据所述原始数据,生成所述便携式SRAM PUF设备的第一激励数据;
计算所述第一激励数据的校验码;
将所述第一激励数据和所述第一激励数据的校验码,作为所述第一激励信息;所述第一激励数据的校验码用于使所述便携式SRAM PUF设备对接收到的所述第一激励数据进行校验。
3.根据权利要求1所述的便携式PUF的数字加密方法,其特征在于,所述第一响应信息包括:所述第一响应数据和所述第一响应数据的校验码;所述根据预设加密算法和所述第一响应信息,生成第一密钥,包括:
从所述第一响应信息中解析出所述第一响应数据以及所述第一响应数据的校验码;
计算所述第一响应数据的校验码;
当计算得到的所述第一响应数据的校验码,与解析出的所述第一响应数据的校验码相同时,采用所述预设加密算法对所述第一响应数据进行后处理,得到所述第一密钥。
4.根据权利要求1所述的便携式PUF的数字加密方法,其特征在于,所述根据所述第一密钥、所述待加密数据、所述待加密数据的校验码、所述预设加密算法和所述原始数据,生成加密信息,包括:
采用所述第一密钥对所述待加密数据进行加密,得到密文数据;
将所述密文数据、所述待加密数据的校验码、所述预设加密算法和所述原始数据进行编码整合,得到加密数据;
计算所述加密数据的校验码;其中,所述加密数据和所述加密数据的校验码构成所述加密信息。
5.根据权利要求1所述的便携式PUF的数字加密方法,其特征在于,所述便携式SRAMPUF设备包括:外壳、电路板,以及与所述电路板连接的电子接口;所述电路板以及部分所述电子接口置于所述外壳内;当所述便携式SRAM PUF设备的电子接口与所述加密设备的电子接口插接时,所述便携式SRAM PUF设备与所述加密设备实现通信连接。
6.一种便携式PUF的数字解密方法,其特征在于,应用于解密设备,包括:
接收加密设备发送的加密信息;
根据所述加密信息,分别确定所述原始数据、所述预设加密算法、所述待加密数据的校验码和所述待加密数据的密文数据;
根据所述原始数据生成第二激励信息;所述第二激励信息包括:第二激励数据;
将所述第二激励信息发送至所述加密设备生成所述加密信息时所使用的便携式SRAMPUF设备,并接收所述便携式SRAM PUF设备针对所述第二激励信息返回的第二响应信息;所述第二响应信息包括:针对所述第二激励数据的第二响应数据;所述解密设备通过电子接口与所述便携式SRAM PUF设备通信连接;
根据所述预设加密算法和所述第二响应信息,生成第二密钥;
根据所述第二密钥、所述密文数据和所述待加密数据的校验码,进行所述密文数据的解密。
7.根据权利要求6所述的便携式PUF的数字解密方法,其特征在于,所述加密信息包括:加密数据和所述加密数据的校验码;所述根据所述加密信息,分别确定所述原始数据、所述预设加密算法、所述待加密数据的校验码和所述待加密数据的密文数据,包括:
计算所述加密数据的校验码;
当计算出的所述加密数据的校验码,与接收到的所述加密数据的校验码相同时,从所述加密数据中分别解析出所述原始数据、所述预设加密算法、所述待加密数据的校验码和所述待加密数据的密文数据。
8.根据权利要求6所述的便携式PUF的数字解密方法,其特征在于,所述根据所述第二密钥、所述密文数据和所述待加密数据的校验码,进行所述密文数据的解密,包括:
采用所述第二密钥对所述密文数据进行解密,得到解密数据;
计算所述解密数据的校验码;
当所述解密数据的校验码与所述待加密数据的校验码一致时,表明所述解密数据为所述待加密数据,解密成功;
当所述解密数据的校验码与所述待加密数据的校验码不一致时,表明解密失败。
9.一种便携式PUF的数字加解密***,其特征在于,包括:
加密设备,用于生成原始数据,根据所述原始数据生成第一激励信息,所述第一激励信息包括第一激励数据,将所述第一激励信息发送至便携式SRAM PUF设备,并接收所述便携式SRAM PUF设备针对所述第一激励信息返回的第一响应信息,所述第一响应信息包括针对所述第一激励数据的第一响应数据,根据预设加密算法和所述第一响应信息,生成第一密钥,获取待加密数据,并生成所述待加密数据的校验码,根据所述第一密钥、所述待加密数据、所述待加密数据的校验码、所述预设加密算法和所述原始数据,生成加密信息,将所述加密信息发送至解密设备;
所述解密设备,用于接收所述加密信息,根据所述加密信息,分别确定所述原始数据、所述预设加密算法、所述待加密数据的校验码和所述待加密数据的密文数据,根据所述原始数据生成第二激励信息,所述第二激励信息包括第二激励数据,将所述第二激励信息发送至所述便携式SRAM PUF设备,并接收所述便携式SRAM PUF设备针对所述第二激励信息返回的第二响应信息,所述第二响应信息包括针对所述第二激励数据的第二响应数据,根据所述预设加密算法和所述第二响应信息,生成第二密钥,根据所述第二密钥、所述密文数据和所述待加密数据的校验码,进行所述密文数据的解密;
所述便携式SRAM PUF设备,用于当与所述加密设备通过电子接口通信连接时,根据所述第一激励信息生成所述第一响应信息,并发送至所述加密设备;当与所述解密设备通过电子接口通信连接时,根据所述第二激励信息生成所述第二响应信息,并发送至所述解密设备。
10.根据权利要求9所述的便携式PUF的数字加解密***,其特征在于,所述便携式SRAMPUF设备,具体用于当与所述加密设备通过电子接口通信连接时,从所述加密设备发送的所述第一激励信息中解析出所述第一激励数据和所述第一激励数据的校验码,并重新计算所述第一激励数据的校验码,当计算出的所述第一激励数据的校验码与解析出的所述第一激励数据的校验码相同时,根据所述第一激励数据生成所述第一响应数据,并生成所述第一响应数据的校验码,将所述第一响应数据和所述第一响应数据的校验码作为所述第一响应信息发送至所述加密设备;当与所述解密设备通过电子接口通信连接时,从所述解密设备发送的所述第二激励信息中解析出所述第二激励数据和所述第二激励数据的校验码,并重新计算所述第二激励数据的校验码,当计算出的所述第二激励数据的校验码与解析出的所述第二激励数据的校验码相同时,根据所述第二激励数据生成所述第二响应数据,并生成所述第二响应数据的校验码,将所述第二响应数据和所述第二响应数据的校验码作为所述第二响应信息发送至所述解密设备。
CN202410309485.6A 2024-03-19 2024-03-19 一种便携式sram puf的数字加解密方法及*** Active CN117914491B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410309485.6A CN117914491B (zh) 2024-03-19 2024-03-19 一种便携式sram puf的数字加解密方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410309485.6A CN117914491B (zh) 2024-03-19 2024-03-19 一种便携式sram puf的数字加解密方法及***

Publications (2)

Publication Number Publication Date
CN117914491A true CN117914491A (zh) 2024-04-19
CN117914491B CN117914491B (zh) 2024-07-09

Family

ID=90686184

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410309485.6A Active CN117914491B (zh) 2024-03-19 2024-03-19 一种便携式sram puf的数字加解密方法及***

Country Status (1)

Country Link
CN (1) CN117914491B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120204023A1 (en) * 2009-10-21 2012-08-09 Christiaan Kuipers Distribution system and method for distributing digital information
CN109726598A (zh) * 2018-12-10 2019-05-07 佛山芯珠微电子有限公司 基于云服务器的嵌入式安全加密芯片
CN111082925A (zh) * 2019-10-23 2020-04-28 中山大学 基于aes算法和puf技术的嵌入式***加密保护装置和方法
US20200295954A1 (en) * 2019-03-13 2020-09-17 Arizona Board Of Regents On Behalf Of Northern Arizona University Puf-based key generation for cryptographic schemes
CN112825095A (zh) * 2019-11-20 2021-05-21 北京京东尚科信息技术有限公司 用于保护应用中敏感信息的方法、装置、电子设备和介质
WO2022224024A1 (en) * 2021-04-23 2022-10-27 Telefonaktiebolaget Lm Ericsson (Publ) Secure removable hardware with puf
CN115442112A (zh) * 2022-08-31 2022-12-06 北京航空航天大学杭州创新研究院 基于puf的认证与密钥协商方法和设备
WO2022259012A1 (en) * 2021-06-07 2022-12-15 Telefonaktiebolaget Lm Ericsson (Publ) Storage device authenticating host credential and utilizing physically unclonable function (puf) for data encryption/decryption
CN116866062A (zh) * 2023-08-02 2023-10-10 中国工商银行股份有限公司 加密报文传输方法、装置、设备及介质

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120204023A1 (en) * 2009-10-21 2012-08-09 Christiaan Kuipers Distribution system and method for distributing digital information
CN109726598A (zh) * 2018-12-10 2019-05-07 佛山芯珠微电子有限公司 基于云服务器的嵌入式安全加密芯片
US20200295954A1 (en) * 2019-03-13 2020-09-17 Arizona Board Of Regents On Behalf Of Northern Arizona University Puf-based key generation for cryptographic schemes
CN111082925A (zh) * 2019-10-23 2020-04-28 中山大学 基于aes算法和puf技术的嵌入式***加密保护装置和方法
CN112825095A (zh) * 2019-11-20 2021-05-21 北京京东尚科信息技术有限公司 用于保护应用中敏感信息的方法、装置、电子设备和介质
WO2022224024A1 (en) * 2021-04-23 2022-10-27 Telefonaktiebolaget Lm Ericsson (Publ) Secure removable hardware with puf
WO2022259012A1 (en) * 2021-06-07 2022-12-15 Telefonaktiebolaget Lm Ericsson (Publ) Storage device authenticating host credential and utilizing physically unclonable function (puf) for data encryption/decryption
CN115442112A (zh) * 2022-08-31 2022-12-06 北京航空航天大学杭州创新研究院 基于puf的认证与密钥协商方法和设备
CN116866062A (zh) * 2023-08-02 2023-10-10 中国工商银行股份有限公司 加密报文传输方法、装置、设备及介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
刘丹;郭丽敏;俞军;王立辉;单伟君;: ""一种基于SRAM PUF的安全双向认证协议"", 《密码学报》, no. 04, 15 August 2017 (2017-08-15), pages 360 - 371 *
喻潇;田里;刘喆;王捷;: ""智能电网PDA终端的密钥管理和认证研究"", 《网络与信息安全学报》, no. 03, 15 March 2018 (2018-03-15), pages 68 - 75 *
陈靖航;: ""物理不可克隆函数的片上可靠性增强技术研究"", 《中国优秀硕士学位论文全文数据库 (信息科技辑)》, no. 03, 15 March 2024 (2024-03-15), pages 138 - 96 *

Also Published As

Publication number Publication date
CN117914491B (zh) 2024-07-09

Similar Documents

Publication Publication Date Title
JP4240297B2 (ja) 端末機器、認証端末プログラム、機器認証サーバ、機器認証プログラム
US6266413B1 (en) System and method for synchronizing one time pad encryption keys for secure communication and access control
US7100048B1 (en) Encrypted internet and intranet communication device
EP1866873B1 (en) Method, system, personal security device and computer program product for cryptographically secured biometric authentication
US8995653B2 (en) Generating a secret key from an asymmetric private key
JP2010098769A (ja) データ通信方法及びシステム
CN101291224A (zh) 在通信***中处理数据的方法和***
CN101483654A (zh) 实现认证及数据安全传输的方法及***
CN213426286U (zh) 一种基于量子随机数芯片的加密摄像头及视频处理***
CN105337733A (zh) 一种基于同步异步密钥核验相结合的二维码锁控方法
CN111600948B (zh) 基于标识密码的云平台应用和数据安全处理方法、***、存储介质、程序
Zhou et al. Implementation of cryptographic algorithm in dynamic QR code payment system and its performance
CN112115523A (zh) 一种数据自毁加密存储装置
CN111163108A (zh) 一种电力物联网安全终端芯片复合加密***和方法
CN114357418A (zh) 加密认证方法、***、终端设备、服务器及存储介质
CN110113153B (zh) 一种nfc密钥更新方法、终端及***
CN117914491B (zh) 一种便携式sram puf的数字加解密方法及***
CN116049792A (zh) 人脸注册、识别方法以及人脸数据保护***
JPH0231290A (ja) Icカード装置
CN115033925A (zh) 一种数据库安全检索方法
CN111523127B (zh) 一种用于密码设备的权限认证方法及***
CN114244509A (zh) 使用移动终端进行sm2一次一密双向认证开锁的方法
CN111343421B (zh) 一种基于白盒加密的视频共享方法和***
CN114244529A (zh) 使用电子钥匙进行sm2一次一密双向认证开锁的方法
EP1166491A2 (en) System, device and method for secure communication and access control

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant