一种面向工业互联网场景的双PUF身份认证方法

本发明属于通讯安全，涉及身份认证技术，具体是一种面向工业互联网场景的双puf身份认证方法。

背景技术：

1、随着工业互联网的快速发展，越来越多的工业设备和系统被连接到互联网中，形成了复杂而庞大的网络体系。这些设备和系统通过网络进行数据交换和协同工作，从而提高生产效率和产品质量。然而，工业互联网的广泛应用也带来了严重的安全隐患，特别是身份认证方面的问题。在工业互联网场景中，设备之间的通信和数据传输需要确保参与方的身份真实可靠，否则将面临数据泄露、系统破坏甚至生产事故等风险。因此，身份认证成为工业互联网安全体系中至关重要的一环。传统的身份认证方法，如基于密码的认证、数字证书认证等，在资源受限的工业设备上实现起来往往存在性能瓶颈，且难以应对日益复杂的安全威胁。

2、物理不可克隆函数（puf，physically unclonable function）技术由于其硬件独特性和难以复制的特性，成为近年来身份认证领域的研究热点。puf通过利用设备的微观物理结构生成独特的响应，提供一种高安全性、低功耗的身份认证机制。然而，单一puf的应用存在一些局限性，如噪声干扰和机器学习攻击等，这些问题在实际应用中可能导致认证失败或安全漏洞。

技术实现思路

1、为了解决现有技术中存在的上述技术问题，本发明提出了一种面向工业互联网场景的双puf身份认证方法，包括注册阶段和身份证认证阶段：

2、注册阶段，此阶段是在安全信道中进行：

3、s1、智能设备t生成临时身份id和两个随机挑战和，并将临时身份id通过wpuf生成秘密值，将两个随机挑战分别使用wpuf和opuf生成对应的响应和，并将所有的参数通过安全信道发送至云服务器s；

4、s2、服务器s拥有自己的主密钥mk，收到智能设备t发送过来的参数后为其随即生成一个特定密钥，并使用、和mk计算出秘密值，将通过安全信道发送给智能设备t，并将智能设备t相关参数存储进数据库中；

5、s3、智能设备t接收到后，将和存储到内存中，并将从内存中删除；

6、身份认证阶段，此阶段是在公共信道中进行：

7、s4、智能设备t获取当前的时间戳并计算出验证消息，将消息发送至云服务器s；

8、s5、云服务器s首先检查时间戳的有效性，并通过智能设备t的验证其身份，从数据库中检索t的存储参数，计算来验证v1的时效性和完整度，若验证成功，则生成两个随机数n1和n2，使用和计算秘密值，使用、和计算x1、x2和x3，获取当前时间戳，并计算出验证消息，将消息发送至智能设备t；

9、s6、智能设备t检查的时效性，并通过异或运算x1，x2计算得到和n1，将和分别使用wpuf得到秘密值和响应，使用和计算秘密值，并计算，验证v2的时效性和完整度，同时将挑战使用opuf生成，生成随机数n3，使用n3和计算x4和x5，并生成下次会话的id，计算出验证消息，将信息发送至云服务器s；

10、s7、云服务器s接收到信息m3后，通过异或运算x4和x5计算得到n3和，重新计算来验证消息的来源和完整性，并计算下次会话的id，若验证成功，则计算响应和之间的差异值fhd，若小于一定的阈值，则表明设备真实，生成本次的会话密钥，同时为下次的会话生成新的秘密值，然后计算出x6和x7，计算验证消息，将信息发送至智能设备t；

11、s8、智能设备t使用接收到的参数x6和x7通过异或运算得到n2和，计算响应和之间的差异值fhd，若小于一定的阈值，表明服务器真实，则计算下次的会话新的秘密值和本次的会话密钥，然后重新计算来验证消息的来源和完整性，之后设备重新配置下次会话的opuf为，计算新的秘密值和下一次会话的新的挑战响应对crp，计算出x8、x9和x10，计算验证消息，将信息发送至云服务器s，将和存储到内存中，并将其余变量删除；

12、s9、云服务器s通过异或运算和哈希运算计算出下次会话的秘密值和新的挑战响应对，计算验证信息，若验证成功，则将下一次智能设备t会话的相关参数更新存储至数据库中；

13、s10、智能设备t和云服务器s使用会话密钥安全地进行相互通讯。

14、进一步的，在步骤s1中，秘密值和响应、的生成过程分别为：、、，通过安全信道发送至云服务器的参数包括。

15、进一步的，在步骤s5中，x1的计算公式为，x2的计算公式为，x3的计算公式为。

16、优选的，在步骤s5和s6中，云服务器s仅将参数x3发送至智能设备t，但没有获得随机数n2，智能设备t无法通过运算获得的值，可以防止恶意设备通过伪造或猜测来进行攻击，设备t必须通过其自身的计算和响应验证，而不是依赖于服务器直接提供的信息，同时可以在下一次智能设备t收到云服务器s的信息时验证s，服务器无法否认之前提交的的值，因此可以防止假冒攻击。

17、进一步的，在步骤s6中，通过异或运算得到和n1的过程为：和，使用wpuf得到秘密值和响应的过程分别为：和，使用opuf生成的过程为：，x4的计算公式为：，x5的计算公式为：，下次会话的id计算过程为：。

18、进一步的，在步骤s7中，通过异或运算n3和的过程为：和，下次会话的id计算过程为：，本次的会话密钥的计算过程为：，下次的会话生成新的秘密值的计算过程为：，x6的计算公式为：，x7的计算公式为：。

19、优选的，在步骤s7和s8中，fhd用于度量puf在不同测量条件下响应的一致性，由于环境噪声或其他因素的影响，puf在不同时间点对相同挑战可能会产生略有不同的响应，fhd通过计算不同响应之间的汉明距离来量化这种差异，对于两个相同长度的二进制响应和，fhd的计算公式为：，其中为响应和的汉明距离，，n表示响应和的字符串长度。

20、进一步地，在步骤s8中，下次的会话生成新的秘密值的计算过程为：，本次的会话密钥的计算过程为：，下次会话生成新的秘密值的计算过程为：，下次会话的新的挑战生成过程为：和，下次会话的新的响应的生成过程为：和，x8的计算公式为：，x9的计算公式为：，x10的计算公式为：。

21、进一步的，在步骤s9中，云服务器s通过哈希运算得到和，并通过哈希运算和异或运算x8、x9和x10得到、和。

22、进一步的，所述的智能设备t和云服务器s所采用的hash算法均采用sm3密码摘要算法。

23、与现有方案相比，本发明具有以下优点：

24、（1）使用异或运算、连接和哈希运算等轻量级运算方式，具有较少的计算和通信开销；

25、（2）结合使用了弱puf（wpuf）和可重构的强puf（opuf），其中opuf在每次会话后会重置其状态，可以有效防止攻击者通过机器学习攻击推断出puf的响应行为，保证通讯过程的安全性；

26、（3）采用了fhd来度量和处理puf响应的噪声，通过设定合理的fhd阈值，保证了在噪声条件下认证的可靠性和鲁棒性。

技术特征：

1.一种面向工业互联网场景的双puf身份认证方法，其特征在于，包括注册阶段和身份证认证阶段：

2.根据权利要求 1 所述的一种面向工业互联网场景的双puf身份认证方法，其特征还在于，在步骤s1中，秘密值和响应、的生成过程分别为：、、，通过安全信道发送至云服务器的参数包括。

3.根据权利要求 1 所述的一种面向工业互联网场景的双puf身份认证方法，其特征还在于，在步骤s5中，x1的计算公式为，x2的计算公式为，x3的计算公式为。

4.根据权利要求 1 所述的一种面向工业互联网场景的双puf身份认证方法，其特征还在于，在步骤s5和s6中，云服务器s仅将参数x3发送至智能设备t，并未向智能设备t发送随机数n2，智能设备t无法通过运算获得的值，防止恶意设备通过伪造或猜测来进行攻击，智能设备t收到云服务器s的信息时验证s，服务器无法否认之前提交的的值，防止假冒攻击。

5.根据权利要求 1 所述的一种面向工业互联网场景的双puf身份认证方法，其特征还在于，在步骤s6中，通过异或运算得到和n1的过程为：和，使用wpuf得到秘密值和响应的过程分别为：和，使用opuf生成的过程为：，x4的计算公式为：，x5的计算公式为：，下次会话的id计算过程为：。

6.根据权利要求 1 所述的一种面向工业互联网场景的双puf身份认证方法，其特征还在于，在步骤s7中，通过异或运算得到n3和的过程为：和，下次会话的id计算过程为：，本次的会话密钥的计算过程为：，下次的会话生成新的秘密值的计算过程为：，x6的计算公式为：，x7的计算公式为：。

7.根据权利要求 1 所述的一种面向工业互联网场景的双puf身份认证方法，其特征还在于，在步骤s7和s8中，fhd用于度量puf在不同测量条件下响应的一致性，通过计算不同响应之间的汉明距离来量化这种差异，对于两个相同长度的二进制响应和，fhd的计算公式为：，其中为响应和的汉明距离，，n表示响应和的字符串长度。

8.根据权利要求 1 所述的一种面向工业互联网场景的双puf身份认证方法，其特征还在于，在步骤s8中，下次的会话生成新的秘密值的计算过程为：，本次的会话密钥的计算过程为：，下次会话生成新的秘密值的计算过程为：，下次会话的新的挑战生成过程为：和，下次会话的新的响应的生成过程为：和，x8的计算公式为：，x9的计算公式为：，x10的计算公式为：。

9.根据权利要求 1 所述的一种面向工业互联网场景的双puf身份认证方法，其特征还在于，在步骤s9中，云服务器s通过哈希运算得到和，并通过哈希运算和异或运算x8、x9和x10得到、和。

技术总结本发明提供了一种面向工业互联网场景的双PUF身份认证方法，主要应用于工业互联网场景中智能设备和云服务器之间通讯过程中的相互认证，结合使用了弱PUF（WPUF）和可重构的强PUF（OPUF），通过双PUF的协同工作，实现了高效、安全的身份认证，采用轻量级的加密原语，如异或操作和哈希函数，大大降低了计算和通信开销，适用于资源受限的工业物联网设备。本发明可以保证智能设备的不可克隆性以及通讯过程的安全，能够有效防止窃听攻击、假冒攻击、重放攻击及机器学习攻击等，可以极大提高认证的安全性。技术研发人员：李忠涛,赵光龙,张波,苏冠群,许浩,王凯,张玉璘受保护的技术使用者：济南大学技术研发日：技术公布日：2024/8/1