本發明屬于網絡安全領域的身份認證技術，涉及一種基于物理不可克隆函數的輕量級身份認證方法，利用物理不可克隆函數、哈希運算、異或運算等輕量級操作，實現認證服務器與物聯網資源受限設備間的雙向認證，尤其利用資源受限設備中物理不可克隆函數在制造過程中所創建IC物理微結構的獨特性，通過優化物理不可克隆函數輸入挑戰和輸出響應的交互方式，設計可工程實現的認證雙方信息失同步恢復機制，有效解決了同類型輕量級身份認證方案無法有效保證前向安全性與抵抗去同步攻擊的問題，同時降低資源受限設備用于身份認證過程的資源開銷，有效提升了資源受限物聯網系統身份認證的安全性和運行效率。

技術領域

本發明屬于網絡安全領域的身份認證技術，涉及一種基于物理不可克隆函數的輕量級身份認證方法。

背景技術

隨著物聯網技術的不斷發展，全球主要發達國家已掀起了新一輪以物聯網技術為主的工業革命。美國于2012年最先提出“工業物聯網(Industrial Internet Of Things,IIoT)”的概念，將物聯網技術應用于高端制造業，達到振新美國制造業的目的。德國于2013年提出“工業4.0”戰略，通過構建信息物聯系統實現傳統制造工廠向智能化工廠的更新換代。我國也于2015年發布了《中國制造2025》戰略規劃，指出“推動物聯網、大數據等新一代信息技術與傳統制造業深度融合，促進傳統制造業向智能制造轉型升級”。由此可見，IIoT是未來工業發展的趨勢和關鍵，其將通過泛在的互聯互通、互操作，實現傳統工業向智能化演進。

IIoT系統應用要實現深層次的數據共享，就必須通過開放網絡實現不同系統間的數據交互，而高度的信息開放勢必會給網絡的安全帶來隱患，其中主要涉及信息保密、數據傳輸等安全問題。身份認證是確認通信過程中雙方真實身份的過程，其可有效防止偽造、假冒等情況的發生。目前，業界主流的方式是利用密碼學技術實現身份認證，其中包括對稱加密算法、非對稱加密算法等。然而，在IIoT的機器對機器（Machine to Machine，M2M）通信系統中，存在海量無線傳感器、射頻識別標簽等資源受限終端設備，它們通常具有處理能力差、計算能力低、存儲空間小、能源供應有限等特點，因此傳統復雜的加密算法無法應用于上述資源受限終端設備中。為了充分發揮IIoT智能、互聯等潛力，需要設計適用于資源受限系統的輕量級身份認證技術與方法。

物理不可克隆函數（Physical Unclonable Function, PUF）由設備中固有的集成電路（Integrated Circuit，IC）產生，其利用制造過程中所創建IC物理微結構的獨特性，確保不存在兩個擁有相同PUF的設備，并且具備運行開銷低、易于實現等優點。PUF用于身份認證時，利用對應的挑戰-響應對（Challenge-Response Pair，CRP）實現對目標設備的身份鑒別。其中，挑戰消息C以字符串形式輸入目標設備的PUF，隨后PUF產生與輸入字符串唯一對應的響應輸出R，即，通過判斷響應R的正確與否來對目標設備的身份進行認證。由于基于PUF的身份認證，在數字通信中挑戰和響應需要以比特串的形式在認證設備與被認證設備間進行交互，因此如何獲取和更新挑戰-響應對，以及保證挑戰-響應消息在獲取和認證過程時的機密性是實現設備身份安全認證的關鍵。現存同類型輕量級身份認證方法效率低、安全性不足、工程可實現性差等問題。

發明內容

為了解決現有技術中存在的上述技術問題，本發明提出了一種基于物理不可克隆函數的輕量級身份認證方法，其具體技術方案如下：

一種基于物理不可克隆函數的輕量級身份認證方法，包括設備注冊和基于設備注冊基礎的身份認證兩個過程，所述設備注冊過程包括如下步驟：步驟A1：認證服務器將其生成的隨機挑戰字符串和臨時身份標識發送至目標資源受限設備；步驟A2：所述目標資源受限設備生成對應的響應字符串并發送給認證服務器；步驟A3：認證服務器根據所述的隨機挑戰字符串、臨時身份標識和響應字符串，為所述目標資源受限設備保存相應的安全認證條目；