[发明专利]一种基于物理不可克隆函数的轻量级身份认证方法

权利要求书

1.一种基于物理不可克隆函数的轻量级身份认证方法，包括设备注册和基于设备注册基础的身份认证两个过程，其特征在于，所述设备注册过程包括如下步骤：步骤A1：认证服务器将其生成的随机挑战字符串和临时身份标识发送至目标资源受限设备；步骤A2：所述目标资源受限设备生成对应的响应字符串并发送给认证服务器；步骤A3：认证服务器根据所述的随机挑战字符串、临时身份标识和响应字符串，为所述目标资源受限设备保存相应的安全认证条目；所述步骤A1，具体为：认证服务器为第j个资源受限设备生成随机挑战字符串和临时身份标识，然后将他们发送给目标资源受限设备，其中，和上标表示身份认证阶段的轮次，下标标识目标资源受限设备的编号；

所述步骤A2，具体为：目标资源受限设备接收到服务发送的和后，其首先保存，然后利用和自身特有的物理不可克隆函数PUF生成对应的响应字符串，即；最后，资源受限设备保存并将响应字符串发送给认证服务器；

所述步骤A3，具体为：认证服务器收到响应字符串后，为第j个资源受限设备保存相应的安全认证条目；

所述身份认证过程为：首先资源受限设备将其生成的随机数和自身的临时身份标识发送给认证服务器；然后依次根据认证服务器检索安全认证条目、资源受限设备验证认证服务器、认证服务器验证并保存下一轮认证信息来完成一次双向身份认证，具体包括如下步骤：

步骤B1：资源受限设备生成随机数并计算出其对应的临时身份标识，随后将和发送给认证服务器；

步骤B2：认证服务器接收到和后，首先通过在数据库中检索是否存在相应的安全认证条目，若存在则认证服务器生成随机数，并利用相应认证条目中的响应字符串计算认证信息，其中h表示哈希运算，||为字符串连接运算符；

最后将和发送给相应的资源受限设备，若不存在相应的安全认证条目，则认证服务器终止本次认证过程；

步骤B3：资源受限设备接收到认证服务器发送的消息后，资源受限设备利用挑战字符串和物理不可克隆函数生成本轮安全身份认证的响应字符串，随后计算相应的认证信息并对比与接收到认证服务器发送的是否相等，若不相等，则终止本轮认证过程；否则，资源受限设备计算, , , ，随后将和发送给认证服务器；

步骤B4：认证服务器接收到相应消息后，首先计算和，然后对比与接收到的是否相等，若不相等，则终止本轮安全身份认证过程；否则，认证服务器计算和，保存并更新安全认证条目用于下一次认证；

步骤B5：在除第一轮以外的认证轮次中，即i＞1，若资源受限设备第一次通过步骤B1发送的请求认证信息导致步骤B2中认证服务器终止认证过程，即认证服务器没有通过临时标识检索到对应认证条目，则资源受限设备直接选取作为本轮的临时身份标识，并生成新的随机数,随后重复步骤B1至步骤B4完成认证过程；

所述资源受限设备获取临时身份标识的方式包括：（1）当首次进行身份认证过程时，即i=1，可以直接从设备的内存中获得；（2）不是首次身份认证过程时，即i＞1，临时身份标识为，即由上一轮认证时的临时标识与本轮的挑战经哈希运算获得，随后，资源受限设备将和发送给认证服务器。