2. 专利查询
  3. 基于PUF和切比雪夫混沌映射的电力物联网轻量级身份认证方法

基于PUF和切比雪夫混沌映射的电力物联网轻量级身份认证方法

专利查询2天前  0

本发明属于信息安全领域,涉及一种电力物联网轻量级身份认证方法,具体涉及一种基于puf和切比雪夫混沌映射的电力物联网轻量级身份认证方法。


背景技术:

1、随着社会向数字化、智能化的转型,物联网技术在各个领域的广泛应用已成为不可忽视的趋势。电力物联网作为能源领域的重要组成部分,其将电力系统与物联网技术深度融合,旨在实现电力系统智能化、自动化,深刻塑造电力能源领域新格局。电力物联网通过智能感知、实时数据采集等手段,将电力系统各环节转变为高度可管理和可监控的智能节点,为电力系统的高效能源管理提供了强有力的支撑。

2、电力物联网scada(supervisory controland dataacquisition)系统,负责监测、控制和采集电力系统的实时数据,是电力系统智能化管理和高效运行的基础。随着物联网技术的发展,电力物联网scada系统现场控制层中的设备呈指数增长,且这些设备大多数资源受限,部署分散,难以监控,因此易受物理、重放和拒绝服务等攻击。与此同时,随着scada系统中暴露的接口增多,攻击者可能试图于通信信道中捕获敏感数据并进行篡改,进而对电力物联网的数据安全造成威胁。为了应对以上威胁,电力物联网需要引入适用于资源受限终端设备的身份认证方案,确保只有经过授权的用户或者设备才能访问敏感信息。传统身份认证方案都是基于对称或非对称密码算法的,不适用于资源受限的终端设备,还存在密钥和其他秘密信息在设备内明文存储的问题,当设备遭受物理攻击时,攻击者可以访问设备内存获取密钥以及秘密信息,进而对数据隐私性和安全性造成威胁。为了克服现有方案的局限性,轻量级安全原语puf被应用于资源受限设备的身份认证。puf是根据设备制造过程中的工艺偏差生成响应,具有不可克隆性和不可预测性,任何试图篡改puf功能的行为都将导致puf不可用,因此其可以抵御物理攻击、克隆攻击和侧信道攻击。

3、传统基于puf的身份认证方案主要存在以下几方面的问题:

4、(1)无法抵御物理攻击和机器学习建模攻击。攻击者可以获取设备内存中存储的crps等秘密信息,根据已知的crps用机器学习算法模拟原始puf,这破坏了puf的不可克隆性和不可预测性。

5、(2)需要口令或者指纹等信息。电力物联网中的设备大多部署在偏远地区,无法进行口令输入以及录入指纹信息等操作。

6、(3)计算开销大。传统基于puf的身份认证方案使用椭圆曲线密码算法以及对称加密算法,这些算法计算开销大,不适用于资源受限的电力物联网设备。


技术实现思路

1、针对传统基于puf的身份认证方案存在的上述问题,本发明提供了一种基于puf和切比雪夫混沌映射的电力物联网轻量级身份认证方法,该方法实现了网关和终端设备之间双向身份认证和会话密钥协商,适用于资源受限的电力物联网设备。

2、本发明的目的是通过以下技术方案实现的:

3、一种基于puf和切比雪夫混沌映射的电力物联网轻量级身份认证方法,包括如下两部分:

4、(1)注册阶段

5、在注册阶段,设备与网关通过安全信道向rs进行注册以获取所需的认证参数,具体注册步骤如下:

6、step1:设备di选取自己的身份idi与临时身份idtm并将其发送给注册服务器rs;网关gwi选取自己的身份并将其发送给rs;

7、step2:rs生成随机数ci,ctm,r,nu,s,然后计算di的伪身份aidi=h(ci||idi),再同步伪身份aidtm=h(ctm||idtm),gwi的伪身份然后计算di和gwi的共享秘密w=h(aidi||kidi||s)和并将消息{ci,ctm,aidi,aidtm,k}发送给di,消息{w,kidi}发送给gwi,其中:w是设备和网关的共享秘密,k是对共享秘密w的异或保护,k存储于设备内存中,k和w用于安全传递秘密值nu;

8、step3:di获取消息,将{aidi,aidtm,k}存储至设备中,将消息中的ci和ctm作为puf函数的输入,计算出响应ri和rtm,并将消息{ri,rtm}发送给rs;gwi将消息{kidi,w}安全存储至网关内存中;

9、step4:rs计算并将x,p,公开,同时存储并将{(ci,ri,aidi),(ctm,rtm,aidtm)}发送至gwi,其中:kidi是网关的伪身份,是切比雪夫多项式,x和p是切比雪夫多项式里的参数,范围为负无穷到正无穷;

10、step5:gwi将存储信息更新为{kidi,w,(ci,ri,aidi),(ctm,rtm,aidtm)};

11、(2)认证阶段

12、认证阶段终端设备与网关利用注册获取的认证参数进行双向身份认证以及协商出会话密钥以供后续使用,具体步骤如下:

13、step1:di生成随机数nd,计算然后计算生成请求认证消息并发送给gwi,其中:用到了切比雪夫多项式的半群性质,即tr(ts(x))=ts·r(x)=ts(tr(x)),k*为k的异或值;

14、step2.1:gwi在接收到di的身份认证请求后,首先在数据库中查找aidi,若aidi不在网关的数据库中,则gwi拒绝di的认证请求,di利用aidtm再次发起认证请求,同时gwi将利用(ctm,rtm,aidtm)对设备进行认证,否则读取(ci,ri),并生成随机数ns和时间戳ts;

15、step2.2:gwi计算

16、并生成消息并将消息发送给di,其中:nu为用于认证的秘密值,是一个随机数;是切比雪夫多项式,这里的计算式用到了切比雪夫多项式的半群性质;为异或值,目的是保护秘密值ci,ns,ri;v0是认证值,用于设备识别网关;

17、step3.1:di检查传输时延是否小于δt,即|t-ts|<δt,若大于等于δt则结束认证,其中:δt为传输时延的基准值;

18、step3.2:di计算获取然后计算v0',若与v0相等di则对gwi认证成功,否则di对gwi认证失败,其中:v0'为设备计算出来的认证值;

19、step3.3:di生成时间戳tu,随机数n,计算ci+1=h(ci||nu),ri+1=puf(ci),v1=h(ns||sk||tu),nu'=n,并生成消息并将{aidi+1,k'}存储至di,其中:ci+1、ri+1、aidi+1、k′、nu′是对ci、ri、aidi、k、nu的更新;sk为共享密钥,v1用于网关认证设备;

20、step4.1:gwi检查传输时延是否小于δt,即|t-tu|<δt,若大于等于δt则结束认证;

21、step4.2:gwi计算然后计算v1',若与v1相等则gwi对di认证成功,否则gwi对di认证失败,其中:v1'为网关计算出来的认证值;

22、step4.3:gwi计算ci+1=h(ci||nu),aidi+1=h(aidi||ri||ns),并将

23、{(ci+1,ri+1,aidi+1)}存储至网关内存中。

24、相比于现有技术,本发明具有如下优点:

25、(1)本发明提出了一个面向电力物联网的轻量级匿名身份认证方法,该方法能够在不需输入任何口令或生物信息的情况下,实现网关与终端设备之间的双向身份认证及会话密钥协商。

26、(2)本发明可以抵御物理和机器学习建模等攻击。该方法无需在设备内存储任何用于认证的crps等秘密信息,同时利用切比雪夫混沌映射保护非安全信道内传输的crps等秘密信息。

27、(3)本发明适用于资源受限的电力物联网终端设备。puf和切比雪夫混沌映射技术为轻量级安全原语,在保证高安全性的同时可以减少资源消耗。


技术特征:

1.一种基于puf和切比雪夫混沌映射的电力物联网轻量级身份认证方法,其特征在于所述方法包括如下两部分:

2.根据权利要求1所述的基于puf和切比雪夫混沌映射的电力物联网轻量级身份认证方法,其特征在于所述注册服务器位于电力物联网scada系统的区域监控层,负责网关和设备的注册。

3.根据权利要求1所述的基于puf和切比雪夫混沌映射的电力物联网轻量级身份认证方法,其特征在于所述网关位于电力物联网scada系统的区域监控层,负责将终端收集的数据上传给中央调控层的数据服务器或监控中心。

4.根据权利要求1所述的基于puf和切比雪夫混沌映射的电力物联网轻量级身份认证方法,其特征在于所述终端设备位于电力物联网scada系统的现场控制层,负责采集现场设备的数据,将采集到的数据传输至上层的网关。


技术总结
本发明公开了一种基于PUF和切比雪夫混沌映射的电力物联网轻量级身份认证方法,所述方法包括如下两部分:注册阶段:设备与网关通过安全信道向RS进行注册以获取所需的认证参数;认证阶段:终端设备与网关利用注册获取的认证参数进行双向身份认证以及协商出会话密钥以供后续使用。相比传统身份认证方案,本发明采用的PUF和切比雪夫混沌映射具有高安全性且资源开销更小。该方法利用PUF生成挑战响应对来实现双向身份认证和密钥协商,无需在设备内存中存储任何有关认证的秘密信息。同时,采用切比雪夫混沌映射来保护挑战响应对等秘密信息在非安全信道内的传输,从而可以抵御物理、机器学习建模和假冒等攻击,确保了认证过程的安全性。

技术研发人员:金显吉,李中伟,林娜,李青阳,姜文淇,刘诗钰,贾玉格,佟为明
受保护的技术使用者:哈尔滨工业大学
技术研发日:
技术公布日:2024/12/5

专利

最新回复(0)