(19)中华人民共和国国家知识产权局
(12)发明专利申请
(10)申请公布号 (43)申请公布日 (21)申请号 202011014771.8
(22)申请日 2020.09.24
地址 210000 江苏省南京市江宁区菲尼克
斯路70号总部基地33号楼15层
(72)发明人 裴景秋
(74)专利代理机构 江苏长德知识产权代理有限
公司 32478
代理人 于彬
(51)Int.Cl.
H04L 9/32(2006.01)
H04L 9/06(2006.01)
H04L 9/08(2006.01)
H04L 29/06(2006.01)
(54)发明名称一种物联网安全芯片可信机制(57)摘要本发明公开了一种物联网安全芯片可信机制,涉及物联网安全技术领域,包括以下步骤:获取芯片的物理不可克隆函数,并从物理不可克隆函数中提取若干个激励相应对;提取激励相应对的响应部分作为第一熵值,并加入熵池中;物联网设备提取通信 过程的通信协议信息作为第二熵值,并加入熵池中;将熵池中第一熵值与第二熵值组合得到物理特征信息;将物理特征信息输入模糊提取器,模糊提取器输出辅助数据P和均匀随机值R,并将辅助数据P和均匀随机值R作为注册信息注册身份;本发明通过在芯片生产制作过程中的随机特征“物理指纹”作为身份注册信息,通过区块链作为身份生成注册的平台,安全 性高。权利要求书2页 说明书7页 附图2页CN 112152816 A 2020.12.29
C N 112152816
A
1.一种物联网安全芯片可信机制,其特征在于,包括以下步骤:
S100,获取芯片的物理不可克隆函数,并从物理不可克隆函数中提取若干个激励相应对;
S200,提取激励相应对的响应部分作为第一熵值,并加入熵池中;
S300,物联网设备提取通信过程的通信协议信息作为第二熵值,并加入熵池中;
S300,将熵池中第一熵值与第二熵值组合得到物理特征信息;
S400,将物理特征信息W输入模糊提取器,模糊提取器输出辅助数据P和均匀随机值R,并将辅助数据P和均匀随机值R作为注册信息注册身份;
S500,认证阶段,通过待认证的物联网设备的物理特征信息W’以及输出辅助数据P重新生成均匀随机值R’,验证|R’-R|是否小于预定的阈值,是则认证成功,否则认证失败。 2.根据权利要求1所述的一种物联网安全芯片可信机制,其特征在于,所述通过待认证的物联网设备的物理特征信息W’以及输出辅助数据P重新生成均匀随机值R’是通过模糊提取技术的恢复算法以物理特征信息和输出辅助数据P计算得到的。
3.根据权利要求1所述的一种物联网安全芯片可信机制,其特征在于,所述通信协议信息是LTE标准中的MIB的系统帧号。
4.根据权利要求1所述的一种物联网安全芯片可信机制,其特征在于,所述通信协议信息是将系统帧号的字符串依照预定规则重新排列得到。
5.根据权利要求1所述的一种物联网安全芯片可信机制,其特征在于,所述第一熵值与第二熵值组合得到物理特征信息是第一熵值与第二熵值相加或直接组合,直接组合是第一熵值与第二熵值的二进制字符合并,第二熵值的二进制字符排列在第一熵值的二进制字符之后。
6.根据权利要求1所述的一种物联网安全芯片可信机制,其特征在于,所述将辅助数据P和均匀随机值R作为注册信息注册身份包括:
物联网设备Um生成用户名IDm、口令PWm以及辅助数据Pm和均匀随机值Rm,并发送到区块链的非验证节点NVP; 非验证节点NVP通过注册区块链查询用户名IDm是否已经注册到注册区块链;
是则向物联网设备Um发送已注册信息,否则向物联网设备Um发送未注册信息;
物联网设备Um接收到未注册信息后,物联网设备Um将注册信息发送给非验证节点NVP;
物联网设备Um对口令PWm进行哈希处理得到定长口令Hm;
使用非验证节点NVP的公钥PUBnvp加密均匀随机值Rm得到Envp(Rm),组合得到中间信息(IDm、Envp(Rm)、Pm、Hm),并发送给非验证节点NVP;
在该步骤中,中间信息发送给非验证节点NVP后物联网设备Um不保存辅助数据Pm和均匀随机值Rm;
非验证节点NVP执行区块链智能合约发起本次注册交易,使用自身私钥PRA对中间信息(IDm、Envp(Rm)、Pm、Hm、IDnvp)签名生成SIGNnvp,其中IDnvp是非验证节点NVP的ID信息;
非验证节点NVP将注册交易信息广播到验证节点VP;注册交易信息包括(IDm、Envp (Rm)、Hm、IDnvp、SIGNnvp);
验证节点VP验证非验证节点NVP发起的注册交易,并在一个周期内通过共识机制将若干个注册交易生成区块写入到注册区块链中。
7.根据权利要求6所述的一种物联网安全芯片可信机制,其特征在于,所述认证阶段包括:
物联网设备Um’具有用户名IDm’、口令PWm’,并生成物理特征信息Wm’,向非验证节点NVP发起验证请求;
非验证节点NVP执行区块链智能合约,验证IDm’是否为注册用户;
是则执行下一步骤,否则认证失败;
非验证节点NVP通过IDm’定长口令Hm,对口令PWm’进行哈希处理得到定长口令Hm’,验证Hm’是否与Hm相同;
非验证节点NVP通过IDm’查询辅助数据Pm,基于辅助数据Pm以及物理特征信息Wm’通过模糊提取技术的恢复算法恢复得到均匀随机值Rm’;
非验证节点NVP判断Rm’与Rm的差值α’的绝对值是否超过预定阈值α,如果α’<α,则认证成功,执行下一步骤;
如果α’≥α,则结束认证,认证失败;
非验证节点NVP生成本次认证交易信息并背书,广播至验证节点VP,在一定时间内通过共识机制将若干个认证交易打包成区块写入到认证链中。
8.根据权利要求7所述的一种物联网安全芯片可信机制,其特征在于,所述非验证节点NVP生成本次认证交易信息并背书包括以下步骤:
非验证节点NVP发起本次认证交易,对(IDm’、Rm’、Hm’、IDnvp)签名生成SIGNnvp’;
认证交易信息包括(IDm’、Rm’、Hm’、IDnvp、SIGNnvp’)。
一种物联网安全芯片可信机制
技术领域
[0001]本发明涉及物联网安全技术领域,更具体地说,它涉及一种物联网安全芯片可信机制。
背景技术
[0002]唯一的标识一个物联网设备是一个基本功能,可以拥有很多应用场景,比如软件授权(如何保证你的软件在授权后才能在特定机器上使用)、软件License,设备标识,设备身份识别等。目前常用方式都会存在很多问题:
[0003](1)网卡MAC地址
[0004]MAC地址可能是最常用的标识方法,但是现在这种方法基本不可靠:一个电脑可能存在多个网卡,多个MAC地址,如典型的笔记本可能存在有线、无线、蓝牙等多个MAC地址,随着不同连接方式的改变,每次MAC地址也会改变。而且,当安装有虚拟机时,MAC地址会更多。MAC地址另外一个更加致命的弱点是,MAC地址很容易手动更改。因此,MAC地址基本不推荐用作设备唯一ID。
[0005](2)CPU ID
[0006]在Windows系统中通过命令行运行“wmic cpu get processorid”就可以查看CPU ID。
[0007]目前CPU ID也无法唯一标识设备,Intel现在可能同一批次的CPU ID都一样,不再提供唯一的ID。而且经过实际测试,新购买的同一批次PC的CPU ID很可能一样。这样作为设备的唯一标识就会存在问题。
[0008]物联网设备身份认证是指物联网设备接入物联网系统时,需要对这些设备的身份进行识别鉴定,以确认其合法性。设备认证是整个物联网安全的第一步,对于合法设备,身份认证机制允许其接入物联网中与其他设备进行数据通信与信息交换,而对于非法设备,身份认证机制限制其接入物联网中,从而避免其带来的安全隐患,综上所述,通过传统的标识来作为认证信息容易出现非法接入的问题,安全性较差。
发明内容
[0009]本发明提供一种物联网安全芯片可信机制,解决相关技术中的技术问题。[0010]根据本发明的一个方面,提供了一种物联网安全芯片可信机制,包括以下步骤:[0011]S100,获取芯片的物理不可克隆函数,并从物理不可克隆函数中提取若干个激励相应对;
[0012]S200,提取激励相应对的响应部分作为第一熵值,并加入熵池中;
[0013]S300,物联网设备提取通信过程的通信协议信息作为第二熵值,并加入熵池中;[0014]S300,将熵池中第一熵值与第二熵值组合得到物理特征信息;
[0015]S400,将物理特征信息W输入模糊提取器,模糊提取器输出辅助数据P和均匀随机值R,并将辅助数据P和均匀随机值R作为注册信息注册身份;
[0016]S500,认证阶段,通过待认证的物联网设备的物理特征信息W’以及输出辅助数据P 重新生成均匀随机值R’,验证|R’-R|是否小于预定的阈值,是则认证成功,否则认证失败。[0017]进一步地,所述通过待认证的物联网设备的物理特征信息W’以及输出辅助数据P 重新生成均匀随机值R’是通过模糊提取技术的恢复算法以物理特征信息和输出辅助数据P 计算得到的。
[0018]进一步地,所述通信协议信息是LTE标准中的MIB的系统帧号。
[0019]进一步地,所述通信协议信息是将系统帧号的字符串依照预定规则重新排列得到。
[0020]进一步地,所述第一熵值与第二熵值组合得到物理特征信息是第一熵值与第二熵值相加或直接组合,直接组合是第一熵值与第二熵值的二进制字符合并,第二熵值的二进制字符排列在第一熵值的二进制字符之后。
[0021]进一步地,所述将辅助数据P和均匀随机值R作为注册信息注册身份包括:[0022]物联网设备Um生成用户名IDm、口令PWm以及辅助数据Pm(公开)和均匀随机值Rm (通过物理特征信息Wm利用模糊提取算法得到),并发送到区块链的非验证节点NVP;[0023]非验证节点NVP通过注册区块链查询用户名IDm是否已经注册到注册区块链;[0024]是则向物联网设备Um发送已注册信息,否则向物联网设备Um发送未注册信息;[0025]物联网设备Um接收到未注册信息后,物联网设备Um将注册信息发送给非验证节点NVP;
[0026]物联网设备Um对口令PWm进行哈希处理得到定长口令Hm;
[0027]使用非验证节点NVP的公钥PUBnvp加密均匀随机值Rm得到Envp(Rm),组合得到中间信息(IDm、Envp(Rm)、Pm、Hm),并发送给非验证节点NVP;
[0028]在该步骤中,中间信息发送给非验证节点NVP后物联网设备Um不保存辅助数据Pm 和均匀随机值Rm;
[0029]非验证节点NVP执行区块链智能合约发起本次注册交易,使用自身私钥PRA对中间信息(IDm、Envp(Rm)、Pm、Hm、IDnvp)签名生成SIGNnvp,其中IDnvp是非验证节点NVP的ID信息;
[0030]非验证节点NVP将注册交易信息广播到验证节点VP;注册交易信息包括(IDm、Envp (Rm)、Hm、IDnvp、SIGNnvp);
[0031]验证节点VP验证非验证节点NVP发起的注册交易,并在一个周期内通过共识机制将若干个注册交易生成区块写入到注册区块链中。
[0032]进一步地,所述认证阶段包括:
[0033]物联网设备Um’具有用户名IDm’、口令PWm’,并生成物理特征信息Wm’,向非验证节点NVP发起验证请求;
[0034]非验证节点NVP执行区块链智能合约,验证IDm’是否为注册用户;
[0035]是则执行下一步骤,否则认证失败;
[0036]非验证节点NVP通过IDm’定长口令Hm,对口令PWm’进行哈希处理得到定长口令Hm’,验证Hm’是否与Hm相同;
[0037]非验证节点NVP通过IDm’查询辅助数据Pm,基于辅助数据Pm以及物理特征信息Wm’通过模糊提取技术的恢复算法恢复得到均匀随机值Rm’;
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议