[发明专利]一种基于PUF技术的离线设备安全认证系统及实现方法

说明书

一种基于PUF技术的离线设备安全认证系统及实现方法，包括：主设备和从设备，所述主设备包括：主控制器模块、认证协处理器模块、第一非易失性存储器、第一PUF模块和主设备通信接口模块；所述认证协处理器分别与所述主控制器、主设备通信接口模块、第一非易失性储存器电连接；所述从设备包括：从设备通信接口模块、第二PUF模块、第二非易失性存储器以及认证处理模块；所述认证处理模块分别与所述从设备通信接口模块和第二非易失性存储器电连接，所述第二PUF模块与所述第二非易失性存储器电连接；所述主设备和从设备通过主设备通信接口模块和从设备通信接口模块以相同的通信数据协议连接。

技术领域

本发明涉及安全认证技术领域，具体为一种基于PUF技术的离线设备安全认证系统及实现方法。

背景技术

近年来，物联网(IOT)技术日益成熟，智能灯、智能音箱、智能摄像头以及可穿戴设备等产品已经走进人们的日常生活，智能终端更是随处可见，虽然物联网有广阔的发展前景，但安全性问题已成为物联网发展的最大障碍，并被列为物联网的头号隐忧，为了解决带来的隐患和降低风险，一些重要场合的电子设备的使用需要进行安全认证，例如，被认证的设备是一个从设备，用于执行安全认证的设备是主设备，当从设备需要进行安全认证时，需要将从设备连接至主设备，主设备读取从设备的数据并对从设备的数据进行校验，以判断从设备是否通过安全认证。

通常，主设备对从设备进行安全认证时，需要从服务器获取从设备ID号等数据或者密钥，因此，主设备需要设置网络通信模块，以实现与服务器之间的通信。然而，基于安全性的考虑，一些主设备不能够与服务器进行通信，这种设备通常被称为离线设备。由于离线设备不会与服务器等网络设备进行网络连接，在安全认证时主设备无法将从设备的ID号等上传服务器进行比对，而主设备本身不可能存储所有从设备的ID号，因此，现有离线设备的认证时，从设备无法做到一物一码。

目前通常的做法是采用单一的对称加密算法或非对称加密算法，即主设备与从设备上运行相同或者相对应的加密、解密算法，当采用对称加密算法时，则主设备和从设备需要存储相同的密钥，若主设备或从设备其中一种的密钥被攻破，则所有主从设备全部被破解；当采用非对称加密算法时，算法计算量大，功耗高，安全认证时间长且主从设备相应物理成本增加。

为此，一些离线设备设置一个计数器，通过计数器来计算使用的次数，通过对计数器的计数值进行安全认证。例如，主设备与从设备通过首次认证后，主设备记录从设备的计数器的计数值，且主设备后续与从设备连接时，从设备将识别码通过哈希算法计算获得一个哈希值，将识别码与哈希值发送至主设备，主设备判断该哈希值是否正确，如正确，则向从设备发送计数值增加1的指令，并读取从设备的从设备计数值；主设备判断所读取的从设备计数值是否大于主设备所记录的计数值加1，如是，则不通过从设备的认证。

然而，一方面，这种方法只能够验证连接至主设备的从设备的真伪，如果不法分子将废弃或者遗失的从设备连接至主设备，仍然能够通过安全认证，对离线设备的使用造成安全隐患。另一方面，现在有的离线设备认证方法对密文的处理基本上只依赖于哈希函数，加密算法单一，安全性不高，也存在安全隐患。

不难看出，现有技术中存在如下的问题和缺点：

由于离线设备没有网络连接，目前市面上在安全认证时主设备无法将从设备的ID码上传服务器进行比对，而主设备本身不可能存储所有从设备的ID码，所以从设备无法做到一物一码。