專利名稱:無線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)雙向身份認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種基于公鑰簽名和物理不可復(fù)制功能(PUF)的抗復(fù)制攻擊的無線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)雙向身份認(rèn)證方法���。
背景技術(shù):
無線傳感器網(wǎng)絡(luò)中�����,包括公鑰簽名技術(shù)在內(nèi)的很多身份認(rèn)證方法常常被用作抵抗網(wǎng)絡(luò)攻擊的重要手段�����。然而由于節(jié)點(diǎn)間身份認(rèn)證中所需的信息往往都存儲在節(jié)點(diǎn)內(nèi)部����,因此當(dāng)某一節(jié)點(diǎn)被攻擊者捕獲后,攻擊者很容易便可實(shí)現(xiàn)復(fù)制攻擊���,也就是說當(dāng)節(jié)點(diǎn)被攻擊者捕獲并復(fù)制后��,其他節(jié)點(diǎn)基本無法對其身份進(jìn)行有效識別����。尤其是在移動(dòng)傳感器網(wǎng)絡(luò)��、延遲容忍傳感器網(wǎng)絡(luò)以及RFID等系統(tǒng)當(dāng)中��,由于節(jié)點(diǎn)或標(biāo)簽常常疏于維護(hù)�����,因此能否抵抗復(fù)制攻擊成為網(wǎng)絡(luò)的一項(xiàng)重要需求�。物理不可復(fù)制功能(PUF)是近些年出現(xiàn)的一種集成電路(IC)新技術(shù)�����,是一個(gè)被具體化在IC內(nèi)部的物理結(jié)構(gòu),它利用芯片制造過程中不可避免產(chǎn)生的差異來實(shí)現(xiàn)芯片唯一性的辨別��。當(dāng)向PUF提供挑戰(zhàn)時(shí)�,它生成被稱為響應(yīng)的隨機(jī)輸出。由于芯片制造過程中產(chǎn)生的差異本身具有不可模仿和復(fù)制的特性����,因此認(rèn)為PUF是“不可復(fù)制的”,即難以實(shí)施物理復(fù)制和/或計(jì)算建模�。通常將PUF以及能夠提高PUF性能的輔助電路和算法包含在芯片之內(nèi),以此來實(shí)現(xiàn)芯片的抗復(fù)制攻擊的功能���。理想的PUF���,具有以下特性1.不可預(yù)測性向PUF輸入挑戰(zhàn),產(chǎn)生的響應(yīng)難以預(yù)測���。2.差異性相同的挑戰(zhàn)輸入到不同的PUF當(dāng)中�,產(chǎn)生的響應(yīng)有較大差別且容易區(qū)分�����;不同的挑戰(zhàn)輸入到同一個(gè)PUF當(dāng)中���,產(chǎn)生的響應(yīng)同樣有較大差別且容易區(qū)分���。3.噪聲容許在某種程度上�,所有PUF度量都是有噪聲的�。如果向PUF輸入同一挑戰(zhàn),其響應(yīng)并不一定完全相同����,但差異會很小,這是噪聲產(chǎn)生的影響��?����?梢酝ㄟ^萃取和糾錯(cuò)碼等方法來壓制噪聲�。4.變異性PUF包括在芯片內(nèi)部且與芯片融為一體。任何企圖破壞芯片的行為都將導(dǎo)致PUF的損害和特性的更改��。PUF的一個(gè)簡單例子就是包含有處于隨機(jī)位置的光散射器的3D光學(xué)介質(zhì)����。以激光束入射角作為輸入(即挑戰(zhàn))照射PUF,其相應(yīng)的輸出(即響應(yīng))則是由光散射器所產(chǎn)生的散斑圖案��。利用專用節(jié)點(diǎn)可將該輸出量化成密鑰�����。PUF設(shè)計(jì)實(shí)現(xiàn)的另一方式是利用有介電粒子散布其中的涂層來覆蓋集成電路 (IC)�。由于集成電路生產(chǎn)工藝的不同,這些介電粒子通常具有不同介電常數(shù)�、不同的隨機(jī)形狀、以及不同的大小和位置��?���?梢岳梦挥贗C頂部金屬層處的傳感器元件來對不同涂層位置處的電容值進(jìn)行局部測量。在該實(shí)現(xiàn)方法中�����,涂層本身具有不可復(fù)制的功能�。作為介電粒子的隨機(jī)性結(jié)果,所測量的電容值可以形成很好的密鑰材料�,比如對具有涂層形式PUF 的IC對電容進(jìn)行測量,并且將該電容值轉(zhuǎn)換成可從其導(dǎo)出的密鑰數(shù)據(jù)��。文獻(xiàn)“Physical Unclonable Functions for Device Authentication andSecret Key Generation. Proc. of Design Automation Conference. San Diego, California, USA,2007�,9_14”給出了一種基于PUF的認(rèn)證方法。該方法需要將設(shè)備的“激勵(lì)-響應(yīng)”對存儲在數(shù)據(jù)庫中�����,認(rèn)證過程中通過查詢數(shù)據(jù)庫來確定設(shè)備的合法性�。這種方法不能使設(shè)備擺脫對數(shù)據(jù)庫的依賴,不適用于無線傳感器網(wǎng)絡(luò)等分布式系統(tǒng)��。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種不需要通過查找數(shù)據(jù)庫就能夠進(jìn)行節(jié)點(diǎn)身份認(rèn)證的適用于無線傳感器網(wǎng)絡(luò)���、延遲容忍網(wǎng)絡(luò)等無線通信環(huán)境下的抗復(fù)制攻擊節(jié)點(diǎn)雙向身份認(rèn)證方法�。該無線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)雙向身份認(rèn)證方法�,包括以下步驟“第一步初始化節(jié)點(diǎn)假設(shè)需要相互認(rèn)證的兩個(gè)節(jié)點(diǎn)分別為i和j��,則初始化階段中可信第三方向節(jié)點(diǎn)i內(nèi)部下載有關(guān)節(jié)點(diǎn)j的認(rèn)證信息三元組ODjApH(Pj(Ci))X向節(jié)點(diǎn) j內(nèi)部下載有關(guān)節(jié)點(diǎn)i的認(rèn)證信息三元組<IDi�����,Qi, H(Pi(Cj)))��;同時(shí)將公鑰簽名算法S�、單向哈希函數(shù)H����、節(jié)點(diǎn)的身份標(biāo)識及其挑戰(zhàn)下載到節(jié)點(diǎn)當(dāng)中;第二步節(jié)點(diǎn)i首先在網(wǎng)絡(luò)中廣播如下認(rèn)證請求分組報(bào)文來完成鄰居發(fā)現(xiàn)��;
權(quán)利要求
1.無線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)雙向身份認(rèn)證方法����,其特征在于�����,包括以下步驟第一步初始化節(jié)點(diǎn)假設(shè)需要相互認(rèn)證的兩個(gè)節(jié)點(diǎn)分別為i和j�����,則初始化階段中可信第三方向節(jié)點(diǎn)i內(nèi)部下載有關(guān)節(jié)點(diǎn)j的認(rèn)證信息三元組ODjApH(Pj(Ci))X向節(jié)點(diǎn)j內(nèi)部下載有關(guān)節(jié)點(diǎn)i的認(rèn)證信息三元組<IDi��,Qi, H(Pi(Cj)))��;同時(shí)將公鑰簽名算法S�����、單向哈希函數(shù)H�、節(jié)點(diǎn)的身份標(biāo)識及其挑戰(zhàn)下載到節(jié)點(diǎn)當(dāng)中;第二步節(jié)點(diǎn)i首先在網(wǎng)絡(luò)中播如下認(rèn)證請求分組報(bào)文來完成鄰居發(fā)現(xiàn)����;
2.如權(quán)利要求1所述的無線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)雙向身份認(rèn)證方法,其特征在于��,其中初始化階段具體步驟如下1)可信第三方為網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)隨機(jī)生成一個(gè)挑戰(zhàn)���;2)可信第三方選擇一個(gè)單向哈希函數(shù)H和一種公鑰簽名算法S��,并為網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)選擇基于該公鑰算法的一個(gè)公私鑰對(Q�����,k)�����,其中公鑰仏公開�,私鑰1^只有節(jié)點(diǎn)i自己知道����;3)可信第三方將每個(gè)節(jié)點(diǎn)的挑戰(zhàn)輸入到所有其他節(jié)點(diǎn)當(dāng)中�,并利用哈希函數(shù)H對獲得的其他節(jié)點(diǎn)的PUF響應(yīng)進(jìn)行哈希操作���;4)可信第三方將以下數(shù)據(jù)下載到每個(gè)節(jié)點(diǎn)當(dāng)中該節(jié)點(diǎn)的身份標(biāo)識�����,該節(jié)點(diǎn)的挑戰(zhàn), 該節(jié)點(diǎn)的公私鑰對���,哈希函數(shù)H及公鑰簽名算法的相關(guān)實(shí)現(xiàn)程序��,同時(shí)可信第三方為每個(gè)節(jié)點(diǎn)下載存儲有其他節(jié)點(diǎn)相關(guān)信息的三元組表����。
全文摘要
本發(fā)明為一種無線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)雙向身份認(rèn)證方法���,由于身份認(rèn)證過程中認(rèn)證雙方需要根據(jù)對方提供的挑戰(zhàn)來生成相應(yīng)的PUF應(yīng)答��,而PUF又是與節(jié)點(diǎn)中的芯片不可分割且不可復(fù)制����,所以保證了節(jié)點(diǎn)不能被復(fù)制攻擊;由于節(jié)點(diǎn)每次在申請認(rèn)證時(shí)發(fā)送的分組中都設(shè)有一次性的隨機(jī)數(shù)�,且簽名消息也與隨機(jī)數(shù)有關(guān),所以避免了攻擊者進(jìn)行重放攻擊�;同時(shí)節(jié)點(diǎn)內(nèi)部與認(rèn)證相關(guān)的三元組信息和PUF同在一個(gè)芯片內(nèi)部,因此即使攻擊者獲取了這些信息���,但由于破壞了PUF特性�,也不能對網(wǎng)絡(luò)中其他節(jié)點(diǎn)構(gòu)成威脅�����。
文檔編號H04L29/06GK102325131SQ20111020307
公開日2012年1月18日 申請日期2011年7月20日 優(yōu)先權(quán)日2011年7月20日
發(fā)明者周亞建, 張冬梅, 楊奎武, 武斌, 王秀娟, 鄭康鋒 申請人:北京郵電大學(xué)