一种基于硬件物理密钥的窄带物联网鉴权认证方法与流程

本发明属于窄带物联网安全和物理不可克隆函数，具体涉及一种基于硬件物理密钥的窄带物联网鉴权认证方法。

背景技术：

1、窄带物联网(narrow band internet of things,nb-iot)主流硬件一般由集成电路构成，通信大多需要经过具有广播特性的无线信道，易受到监听、伪造和篡改等威胁。目前在技术上主要是通过设备的鉴权认证或消息的隐藏来达到信息的保护，其主要方法是通过使用加密算法来实现，安全性主要依赖于密钥的安全性。nb-iot设备结构简单，存储密钥的只读存储器(read only memory,rom)容易受到侵入式和非侵入式的攻击，从而导致密钥的泄露，造成整个安全系统的奔溃。

技术实现思路

1、本发明为克服nb-iot鉴权认证过程中使用的密钥容易受到侵入式和非侵入式的攻击，从而导致密钥的泄露的问题，提出了一种利用环形振荡器物理不可克隆函数(ringoscillator puf,ro puf)的生成硬件密钥进行nb-iot设备鉴权认证的方法，通过比较物联网设备中集成电路不同位置振荡环的振荡频率反映硬件的差异来提取硬件密钥,然后将此密钥作为物联网设备鉴权认证的根密钥与窄带物联网中核心网的用户签约服务器中的认证中心(authentication center,auc)共享。

2、在本发明提出的接入认证方法中，嵌有ro puf的用户终端(user equipment,ue)、移动管理实体(mobility management entity,mme)和本地用户服务器(home subscriberserver,hss)三个主体参与鉴权认证过程。ue以用户的身份和其余两个实体进行身份认证和密钥协商,mme表示被访问的网络，hss负责对ue的身份进行认证。ue由可信的物联网设备生产商提供，每个ue内部都嵌入了ropuf来提供与其设备唯一对应的硬件密钥k，同时物联网设备生产商也将这些密钥在ue安装时提供给hss。在hss中，auc可通ue的国际移动用户识别码(international mobile subscriber identification number,imsi)索引到相应的根密钥k。

3、一种基于硬件物理密钥的窄带物联网鉴权认证方法，具体包括：

4、s1用户终端向移动管理实体发送接入请求及请求信息；

5、s2所述移动管理实体接收到请求，向相应的本地用户服务器发送身份验证请求及身份验证信息；

6、s3所述本地用户服务器接收到身份验证请求后进行验证，如果验证通过，所述本地用户服务器生成认证向量av；反之，否则验证失败，拒绝该接入请求,并发送给所述移动管理实体；

7、s4所述移动管理实体收到认证向量av后将其存储，并提取其中的数据，同时分配一个密钥标识kasme；然后向用户终端发起用户身份认证请求；

8、s5所述用户终端接收到认证请求后，提取认证请求中的rand、mac和sqn；然后计算xmac，比较xmac与mac是否相同，并验证序列号sqn的合法性；如果全部验证通过，说明将要接入的是可信网络；接下来计算res，并将res返回给移动管理实体；否则，拒绝接入；

9、s6所述移动管理实体把接收到的res和从认证向量av中提取的xres作对比，如果相同，则说明用户终端身份是合法的，认证通过；否则是非法用户，拒绝其接入；

10、s7认证通过以后，根据基础密钥生成其他会话密钥，鉴权认证结束。

11、进一步的，所述用户终端安装有硬件密钥生成模块；所述硬件密钥生成模块生成根密钥k。

12、进一步的，所述密钥生成模块由两个环形振荡器、两个多路复用器和计数器以及一个比较器组成。

13、进一步的，所述s1中所述请求信息包括所述用户终端的身份标识imsi和所述本地用户服务器的身份标识idhss。

14、进一步的，所述s2所述身份验证信息包括用户终端的身份标识imsi、服务网的标识snid和网络类型。

15、进一步的，所述s3中进行验证为验证imsi、snid的合法性；

16、所述生成认证向量av的具体过程为，本地服务器通过imsi索引到相应的根密钥k，通过计算生成认证向量。

17、进一步的，所述s4中认证请求中包含认证令牌autn。

18、进一步的，所述用户终端和移动管理实体都以kasme为基础密钥。

19、本发明的技术效果：

20、相对于传统的密钥存储方式，基于ro puf的密钥存储方式具有按需生成、不用保存、难以复制等优点，能够为各种嵌入设备提供低成本、高安全的硬件密钥。

技术特征：

1.一种基于硬件物理密钥的窄带物联网鉴权认证方法，其特征在于，

2.根据权利要求1所述的鉴权认证方法，其特征在于，所述用户终端安装有硬件密钥生成模块；所述硬件密钥生成模块生成根密钥k。

3.根据权利要求2所述的鉴权认证方法，其特征在于，所述密钥生成模块由两个环形振荡器、两个多路复用器和计数器以及一个比较器组成。

4.根据权利要求1所述的鉴权认证方法，其特征在于，

5.根据权利要求1所述的鉴权认证方法，其特征在于，

6.根据权利要求1所述的鉴权认证方法，其特征在于，

7.根据权利要求1所述的鉴权认证方法，其特征在于，

8.根据权利要求1所述的鉴权认证方法，其特征在于，所述用户终端和所述移动管理实体都以kasme为基础密钥。

技术总结
本发明提供一种基于硬件物理密钥的窄带物联网鉴权认证方法，通过比较物联网设备中集成电路不同位置振荡环的振荡频率反映硬件的差异来提取硬件密钥,然后将此密钥作为物联网设备鉴权认证的根密钥与窄带物联网中核心网的用户签约服务器中的认证中心共享。相对于传统的密钥存储方式基于环形振荡器物理不可克隆函数的密钥存储方式具有按需生成、不用保存、难以复制等优点，能够为各种嵌入设备提供低成本、高安全的硬件密钥。

技术研发人员：张琳
受保护的技术使用者：厦门普理信息科技有限公司
技术研发日：
技术公布日：2024/1/13