[发明专利]一种基于硬件指纹的身份认证和加密传输系统

说明书

本发明公开了一种基于硬件指纹的身份认证和加密传输系统，包括基于硬件指纹的器件和管理中心；基于硬件指纹的器件内设有依次连接的物理不可克隆函数、熵值提取模块、复式指纹提取模块、协议管理和传输控制模块；管理中心用于完成新器件的注册和显式指纹的分发。本发明只需要存储合法的显式指纹，解决了证书存储量大和管理复杂的问题；采用复式指纹(显式指纹和隐式指纹)解决了硬件指纹泄露引起的安全问题。

技术领域

本发明属于计算机和集成电路领域，特别涉及一种基于硬件指纹的身份认证和加密传输系统。

背景技术

物理不可克隆函数(Physical Unclonable Functions,PUF)是指在给定的输入下产生由电路物理特性决定的特定响应，也称“硬件指纹”。物理不可克隆函数来源于芯片制造过程中由于工艺偏差等因素引入的特定的物理信息，由于这些因素是无法预测且难以控制的，因此理论上响应输出是不可克隆的。PUF的特性主要包括不可克隆性、唯一性、不可预测性、轻量级和防篡改等，因此其非常适合用于芯片的身份识别。PUF系统在实质上是微型电路的组合，它能够将芯片内由于制造过程造成的无法避免的差别提取出来，进而生成不可计数的、唯一的、无法预测的“密钥”事实上，不管芯片设计方法如何，即便设计、工艺、封装都一致，两块芯片之间在制造过程中也还会有微小的差异，无论如何不能制造两块一样的IC。

现有的身份认证协议主要包括公钥基础结构的认证协议和基于身份的加密和签名协议。

公钥基础结构(PKI)是通过证书颁发机构(CA中心)将公钥与相应的用户、设备或者芯片绑定。CA中心验证了本地注册机构上请求者的身份。本地注册机构验证用户的身份或向CA请求公钥证书的设备。拥有CA的公钥的任何人可以验证公钥证书上的签名。PKI公钥基础设施是互联网上最先进的身份认证管理解决方案。但是现代PKI是为非受限环境设计的，无法直接用于物联网等受限设备。而且现有的PKI协议主要支持设备向本地注册授权中心的认证，不能满足物联网的场景需求。

基于身份的加密(identity-based encryption，IBE)和签名方案。首先假设存在一个可信的密钥生成中心(trusted key generation center，KGG)；用户选择他的名字(或者是，网络地址、所在街道地址门牌号、电话号码)作为公钥，相应的私钥由KGG计算出来分配给每个加入网络中的用户。IBE需要密钥生成中心来生成相应私钥，并分配给加入网络用户，需要存在可信的安全通道，IBE存在密钥分发问题。

发明内容

本发明的目的在于克服现有技术的不足，提供一种只需要存储合法的显式指纹，解决了证书存储量大和管理复杂的问题，通过双重加密提升了安全性的基于硬件指纹的身份认证和加密传输系统。

本发明的目的是通过以下技术方案来实现的：一种基于硬件指纹的身份认证和加密传输系统，包括基于硬件指纹的器件和管理中心；

基于硬件指纹的器件内设有物理不可克隆函数、熵值提取模块、复式指纹提取模块、协议管理和传输控制模块；

所述熵值提取模块用于从物理不可克隆函数中提取出满足要求的随机数；

复式指纹提取模块用于利用非对称算法对从物理不可克隆函数中提取的随机数进行处理，产生包括显式指纹和隐式指纹的复式硬件指纹；其中隐式指纹是指经熵提取处理后的硬件随机信息，显式指纹指隐式指纹经非对称算法生成的显式信息；显式指纹是器件的显性标识，合法通信器件的显式指纹存储在所有合法通信器件中；隐式指纹仅存在于芯片内部，不存储，对于其他器件不可见，是器件的唯一标识；

协议管理和传输控制模块用于完成基于硬件指纹的身份认证管理、加密传输协议管理、控制器件与管理中心之间，以及器件之间的数据传输；

管理中心用于完成新器件的注册，为新器件分发合法通信的显式指纹和加密算法，分发的显示指纹和对应的加密算法以存储表的形式存在新器件以及其他合法通信的器件中。