(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111544293.6 (22)申请日 2021.12.16 (71)申请人 郑州大学 地址 450001 河南省郑州市高新区科 学大 道100号 (72)发明人 王耀　石闪闪　 (74)专利代理 机构 郑州慧广知识产权代理事务 所(特殊普通 合伙) 41160 专利代理师 黄永真 (51)Int.Cl. H04L 9/00(2022.01) H04L 9/06(2006.01) H04L 9/08(2006.01) H04L 9/18(2006.01) H04L 9/32(2006.01)H04L 9/40(2022.01) (54)发明名称 LFSR-APUF和私有Cover函数的轻量级身份 认证协议 (57)摘要 本发明公开了一种LFSR ‑APUF和私有Cover 函数的轻量级身份认证协议， 在LFSR ‑APUF结构 的基础上提出的一种轻量级身份认证协议， 实现 动态的混淆方案， 该协议模型包括多个设备、 一 台服务器和一个数据库。 协议共有注册阶段和认 证阶段两部分， LFSR单元的切换策略随着外部激 励的变化而变化， 通过与认证协议的深度结合， 实现了动态的时变模糊， 同时使设备到服务器、 服务器到设备能够实现双向认证 。 权利要求书2页 说明书7页 附图1页 CN 114448596 A 2022.05.06 CN 114448596 A 1.一种LFSR ‑APUF和私有Cover函数的轻量级 身份认证协议， 其特 征在于， 包括注册部分和认证部分； 注册部分包括以下步骤： 步骤1:服 务器中的两个弱PUF(WPUF1和WPUF2)上电后生成两个服 务器密钥Ks1和Ks2； 步骤2:服务器为认证网络中的每个设备k分配唯一的身份标识(IDk)、 唯一的本原多项 式(pk)以及唯一的超轻量级Cover函数(Coverk)； 步骤3:服务器使用加密密钥Ks1对设备k的pk和Coverk的拼接进行加密， 加密后内容用 EncKs1(pk||Coverk)表示， 缩写为Enck， 其中符号||用于表示两个向量的连接； 之后用IDk作 为索引将加密后的信息存 储进数据库； 步骤4:服务器中的真随机数生成器(TRNG)生成y组随机数(nc,Base)； 对于设备k认证的 第i轮， (nc,Base)定义为(nci,Basei)； nci有n位， 相当于APUF电路级数， y决定用于与相应设 备进行身份认证的CRP数据集的大小； 步骤5:对于设备k的第i轮认证， 将从服务器接收到的(nci,Basei)输入到LFS Rk中， 确定 LFSRk第i轮认证的种子值和移位计数值， 生成相应的模糊激励， 用nLci表示； 步骤6:设备k中的LFSRk将步骤5中 的nLci作为种子值进行激励扩展， 扩展后激励用<ci>n 表示； 步骤7:设备k中的APUFk使用扩展后的< ci>n生成多位响应ri， 该响应被发送到服 务器； 步骤8:服务器使用加密密钥Ks2(定义为 )对设备k中L FSRk的相关数 据和APUFk的响应数据进行加密， 并将其存 储在数据库对应索引下的预留空间中。 认证部分包括以下步骤： 步骤1： 设备k向服务器发送身份标识以进行初始认证通信； 从设备k接收身份标识后， 服务器只需检查 其有效性并将其发送到数据库， 以请求与设备k相关的加密消息； 步骤2： 服务器 从数据库中收到关于设备k的相关加密信息， 使用WPUF1生成的密钥Ks1对 其进行解密， 并配置设备k； 步骤3： 服务器完成步骤2配置时， 设备k使用TRNG生成(nd,indi1)， 其中nd是Coverk的随 机l位， indi1用于请求数据库中的第i轮加密消息； 步骤4： 从设备k接收(nd,indi1)后， 服务器使用(IDk,indi1)从数据库请求设备k的相关 加密信息 Encki； 然后， 数据库向服 务器发送关于设备k的第i轮加密消息； 步骤5： 服务器 从数据库接收到加密消息后， 使用WPUF2生成的密钥Ks2对其进行解密， 生 成(nci||Basei||ri)； 在服务器使用Covers(nci||Basei||ri,nd)， 生成ndc； 最后， ndc发送到设 备k； 步骤6： 设备k使用Uncovers函数解密以获取相关信息即(nci||Basei||ri)； 然后， 设备k 用接收到的(nci||Basei)配置LFSRk用于模糊激励nLci， 之后使用nLci作为种子对激励进行扩 展， 并发送至APUFk产生多位响应r ’i； 将r’i与ri做对比， 若相同， 则设备对服 务器认证成功； 步骤7： 认证服务器后， 服务器使用自己的TRNG生成(ns， indi2)， 类似于步骤3； 然后， 服 务器将ns发送到设备k， 并发送i ndi2到数据库请求相关的加密信息； 步骤8： 服务器从数据库 接收到Enckj后， 使用密钥Ks2对其进行解密， 生成(ncj||Basej|| rj)； 然后， 服 务器对(ncj||Basej)与ns使用Covers函数以生成nsc， 并发送给设备k；权　利　要　求　书 1/2 页 2 CN 114448596 A 2步骤9： 设备k从服务器依次接收到ns和nsc后， 使用ns及Uncovers函数对nsc进行解密获 得(ncj||Basej)； 后将(ncj||Basej)输入LFSR ‑APUF生成多位响应r ’j， 并发送到服 务器； 步骤10： 在收到设备k发送的r ’j后， 服务器将其与从数据库中提取的rj进行比较； 如果 相同， 则服 务器将对设备k认证成功； 服 务器和设备完成相互身份认证。 2.根据权利要求1所述的LFSR ‑APUF和私有Cover函数的轻量级身份认证协议， 其特征 在于， LFSR ‑APUF包括四部分： 激励生成器、 传统APUF 单元、 LFSR单 元和控制单 元； 具体工作流程总结如下： 激励生成器生成激励C， 其中C分为C1和C2两部分， 分别作为 LFSR单元和控制单元的输入； LFSR单元接收到激励生成器生成的C1， 并将其作为初值； 然 后， 等待由控制单元发送移位信号SL； 控制单元接收到激励生成器生成的C2， 并根据C2的值 确定移位信号SL应该发送的次数； L FSR单元根据SL移位相应次数后， 输出可作为模糊激励的 CO； 最后， 当控制单元发送移位信号SL指定的次数后， 它会向APUF单元发送脉冲信号SA； APUF 接收LFSR产生的模糊激励CO和脉冲信号SA； 当脉冲信号通过APUF两个延迟链从开始传输到 最后的D触发器时， APUF产生 一次一位响应R。 3.根据权利要求2所述的LFSR ‑APUF和私有Cover函数的轻量级身份认证协议， 其特征 在于， 所述 LFSR‑APUF中外 部激励C为(n+m)位， C1为n位， C2为m位。 4.根据权利要求2所述的LFSR ‑APUF和私有Cover函数的轻量级身份认证协议， 其特征 在于， 所述 LFSR‑APUF中LFSR和APUF都为 n级。 5.根据权利要求2所述的LFSR ‑APUF和私有Cover函数的轻量级身份认证协议， 其特征 在于， 所述LFSR ‑APUF， 其中， 预定义一个移位计数对应的整数Base， 进一步提高LFSR混淆方 案的建模攻击 抵抗力， 最终的移位计数 可以表示 为： 移位计数＝| |C2||*Base； 其中， ||C2||表示m比特C2的值， Base是一个预定义的整数值,移位计数是移位信号SL控 制的LFSR移位的最终次数。权　利　要　求　书 2/2 页 3 CN 114448596 A 3