[发明专利]一种基于PUF技术的离线设备安全认证系统及实现方法

权利要求书

1.一种基于PUF技术的离线设备安全认证系统，其特征在于，包括：

主设备和从设备，所述主设备包括：主控制器模块、认证协处理器模块、第一非易失性存储器、第一PUF模块和主设备通信接口模块；所述认证协处理器分别与所述主控制器、主设备通信接口模块、第一非易失性储存器电连接；

所述从设备包括：从设备通信接口模块、第二PUF模块、第二非易失性存储器以及认证处理模块；所述认证处理模块分别与所述从设备通信接口模块和第二非易失性存储器电连接，所述第二PUF模块与所述第二非易失性存储器电连接；

所述主设备和从设备通过主设备通信接口模块和从设备通信接口模块以相同的通信数据协议连接。

2.根据权利要求1所述的基于PUF技术的离线设备安全认证系统，其特征在于：

主控制器是主设备的控制单元，认证协处理器是进行安全认证流程的处理模块；从设备中的认证处理模块是与主设备中的认证协处理器模块对应进行安全认证流程的处理模块；主非易失性存储器和从非易失性存储器，是在掉电情况下数据仍可存储的带有电擦除功能的存储器，该存储器内存储主设备和从设备的ID码、密钥以及计数器数值数据；第一PUF模块和第二PUF模块是产生认证过程中所需的密钥和随机数模块。

3.一种采用权利要求2所述的基于PUF技术的离线设备安全认证系统的实现方法，其特征在于：

S1、主设备和从设备首次连接子流程，从设备首次接入主设备通信接口模块时开启的认证流程；

S10、所述主设备通过主设备通信接口模块监测到从设备接入；主控制器向所述认证协处理器发送安全认证启动指令；认证协处理器通过主设备通信接口模块向从设备发送寻找设备指令；

S11、从设备接收到寻找设备指令，对第二PUF模块产生的密钥进行填充形成第一填充密钥，与第二PUF模块产生的第一随机数异或计算获得第一组输入分组数据，计算哈希函数的输出数据；

S12、计算第一外部哈希值，将从设备ID码以及第一验证哈希值Q发送至主设备；

S13、验证第一验证哈希值是否通过验证；否，执行S20；是，执行S14；

S14、从设备应用第二PUF模块产生的第三随机数、第四随机数加密初始密钥，形成第一拼接数据并发送至主设备；

S15、主设备对第一拼接数据进行解密并进行验证；

S16、是否通过验证；否，执行S20；是，执行S17；

S17、从设备将ID码与计数器的计数值加密，形成第二拼接数据发送至主设备；

S18、主设备对第二拼接数据进行解密并进行验证；

S19、是否通过验证；否，执行S20；是，执行S21；

S20、终止认证；

S21、通过从设备的首次认证。

S2、从设备每次启动子流程，从设备每次进行工作时，主设备和从设备之间再次进行认证流程。

4.根据权利要求3所述的基于PUF技术的离线设备安全认证系统的实现方法，其特征在于，所述S2包括：

S200、所述主设备通过主设备通信接口模块监测到从设备接入；主控制器向所述认证协处理器发送安全认证启动指令；认证协处理器通过主设备通信接口模块向从设备发送寻找设备指令；

S201、从设备接收到寻找设备指令，对第二PUF模块产生的密钥进行填充形成第一填充密钥，与第二PUF模块产生的第一随机数异或计算获得第一组输入分组数据，计算哈希函数的输出数据；

S202、计算第一外部哈希值，将从设备ID码以及第一验证哈希值Q发送至主设备；

S203、验证第一验证哈希值是否通过验证；否，执行S20；是，执行S14；

S204、从设备应用第二PUF模块产生的第三随机数、第四随机数加密初始密钥，形成第一拼接数据并发送至主设备；

S205、主设备对第一拼接数据进行解密并进行验证；

S206、是否通过验证；否，执行S20；是，执行S17；

S207、从设备将ID码与计数器的计数值加密，形成第二拼接数据发送至主设备；

S208、主设备对第二拼接数据进行解密并进行验证；

S209、是否通过验证；否，执行S20；是，执行S21；

S210、终止认证；

S211、通过从设备的认证。