基于物理不可克隆技术与生理特征的身份认证系统及方法与流程

本发明涉及智能身份认证技术领域，具体涉及一种基于物理不可克隆技术与生理特征的身份认证系统及方法。

背景技术：

byod(自带设备)的发展给企业的发展带来了方便和提高雇员的工作效率的同时也存在着一些安全隐患。例如：一个公司的雇员丢失了自己的手机，并且这部手机是曾经用来接入过公司的网络的，假如他的手机落入到了一些不法分子手中，那么这些不法分子就能使用这部手机轻松地接入这家公司网络并且窃取公司的数据库中的重要数据。因此，对企业这样的商业对象，确保一个合法的工作设备由一个合法的使用者来操作是十分必要的，这就需要一个认证算法来确保设备使用者的合法性。

传统的认证方法包括智能卡识别，一次性密码(otp)或者可携带电子认证书。他们主要有如下的问题：1、他们用来启动加密引擎的密钥都是存储在非易失性存储器(eeprom)上的，这样的设备对物理上的侵入性攻击是非常脆弱的，攻击者可以使用电子显微镜从物理层面上探测到存储的密钥；2、在需要频繁使用设备的场景下使用otp的认证设备是非常繁琐的。

为了克服上述困难，本发明提出了一种低开销，高性能的基于物理不可克隆技术与生理特征的智能身份认证方法。

技术实现要素：

发明目的：为解决现有的身份识别认证方法中容易受到物理层面的攻击以及认证设备使用繁琐的缺点，本发明公开一种基于物理不可克隆技术与生理特征的智能身份认证系统及方法。

技术方案：为实现上述目的，本发明采用的技术方案为：

基于物理不可克隆技术与生理特征的智能身份认证系统，其特征是，包括puf电子电路和需要身份认证的电子设备，电子设备包括生理特征采集模块、加密引擎模块、身份认证模块和密钥存储模块；puf电子电路装配到加密引擎模块中，

生理特征采集模块，用于采集所有者或使用者的生理特征；

加密引擎模块，用于根据获取的生理特征获取对应的电信号，作为激励输入puf电子电路中获取相应的密钥；

密钥存储模块，用于存储密钥；

身份认证模块，用于根据使用者的密钥与所有者的密钥，对使用者进行身份认证；

所有者密钥初始化时，生理特征采集模块采集所有者的生理特征，加密引擎模块根据所有者的生理特征获取对应的电信号作为激励输入puf电子电路获取所有者的初始密钥，传入密钥存储模块存储此所有者的密钥；

当使用者预使用此电子设备时，生理特征采集模块采集使用者的生理特征，加密引擎模块根据使用者的生理特征获取对应的电信号作为激励输入puf电子电路获取使用者的初始密钥，身份认证模块将使用者的密钥与所有者的密钥进行对比，对使用者进行身份认证。

优选的，puf电子电路包括依次相连的输入激励单元、puf实现单元和检测输出单元，输入激励单元为顺次串联的线性反馈移位寄存器，puf实现单元包括环形振荡器电路和双向计数器，环形振荡器电路为基于成对的基本反相级模块和电流饥饿反相级模块组成的环形电路，环形振荡器连接双向计数器实现激励响应，检测输出单元包括三态检测器，根据激励响应输出数字序列。

优选的，生理特征为指纹。

相应的，本发明还提供了一种基于物理不可克隆技术与生理特征的智能身份认证方法，其特征是，具体包括以下步骤：

s1、获取puf电子电路，将puf电子电路装配到需要身份认证的电子设备中；

s2，所有者密钥初始化时，采集所有者的生理特征，根据所有者的生理特征获取对应的电信号作为激励输入puf电子电路，获取所有者的初始密钥并存储此所有者的密钥；

s3，当使用者预使用此电子设备时，采集使用者的生理特征，根据使用者的生理特征获取对应的电信号作为激励输入puf电子电路，获取使用者的初始密钥，将使用者的密钥与所有者的密钥进行对比，对使用者进行身份认证。

优选的，生理特征为指纹。

优选的，利用密钥对电子设备中的资料进行加密，当使用者预获取文件或资料时，利用使用者对应的密钥来解密此加密后的资料。

本发明的有益效果包括：本发明利用了puf电子电路来产生随机并且稳定的密钥，将密钥存储在芯片的结构之中，任何有侵入性的攻击都将不可避免地改变芯片的结构并且使得密钥失去效用，安全性高。

附图说明

图1为本发明方法的流程图；

图2为实施例中cmos的细节图；

图3为实施例中cmos中puf电子电路的微观结构图。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

本发明的主要思路是：首先要制造具有不可克隆性质的密钥，密钥就是puf电子电路本身的结构，也就是说，每一个puf电子电路的制造细节都是不同的，不存在两个相同的密钥。在得到具有不可克隆性质的密钥以后，将此密钥装配到加密引擎之中。本发明的加密引擎可以接收来自人体独一无二的生理特征(例如指纹、虹膜等等)，将其转化成电信号，该信号经过puf电子电路加密后得到相应的密码，因为密钥具有不可克隆性，所以加密过程具有不可克隆性，因此产生的个人密码具有不可克隆性。

基于物理不可克隆技术与生理特征的智能身份认证系统，参见图1所示，包括puf电子电路和需要身份认证的电子设备，电子设备包括生理特征采集模块、加密引擎模块、身份认证模块和密钥存储模块；puf电子电路装配到加密引擎模块中，

生理特征采集模块，用于采集所有者或使用者的生理特征；

加密引擎模块，用于根据获取的生理特征获取对应的电信号，作为激励输入puf电子电路中获取相应的密钥；

密钥存储模块，用于存储密钥；

身份认证模块，用于根据使用者的密钥与所有者的密钥，对使用者进行身份认证；

所有者密钥初始化时，生理特征采集模块采集所有者的生理特征，加密引擎模块根据所有者的生理特征获取对应的电信号作为激励输入puf电子电路获取所有者的初始密钥，传入密钥存储模块存储此所有者的密钥；

当使用者预使用此电子设备时，生理特征采集模块采集使用者的生理特征，加密引擎模块根据使用者的生理特征获取对应的电信号作为激励输入puf电子电路获取使用者的初始密钥，身份认证模块将使用者的密钥与所有者的密钥进行对比，对使用者进行身份认证。

本发明利用了puf电子电路来产生随机并且稳定的密钥，将密钥存储在芯片的结构之中，任何有侵入性的攻击都将不可避免地改变芯片的结构并且使得密钥失去效用。

实施例

puf电子电路的内部结构在制造时每一个电路都具有独特的电路结构，即输入同一个激励却得到有着微小区别的输出响应，并且在收到外部的具有入侵性的攻击时电子电路的会遭到一定程度的破坏，当电子电路的内在结构改变时，即使给予相同的口令输入，那么电子电路在对于激励的响应即电子电路的输出也是不可能相同的。也就是说，puf电子电路得到密钥就是puf电子电路本身的出厂时候固定的独一无二的电路结构。

本发明的基于物理不可克隆技术与生理特征的身份认证方法，具体包括以下步骤：

s1，根据时间序列，制造具有不可克隆性的密钥电子电路；

puf电子电路包括依次相连的输入激励单元、puf实现单元和检测输出单元，输入激励单元为顺次串联的线性反馈移位寄存器，puf实现单元包括环形振荡器电路和双向计数器，环形振荡器电路为基于成对的基本反相级模块和电流饥饿反相级模块组成的环形电路，环形振荡器连接双向计数器实现激励响应，检测输出单元包括三态检测器，根据激励响应输出数字序列。

puf电子电路具体的集成电路工艺主要有前道和后道工艺，前道工艺又包括硅和硅片的制造、氧化、离子注入、淀积、金属化、光刻和刻蚀、化学机械平坦化等，后道工艺包括封装和测试。

puf电子电路内部结构是一个时间序列的映射，同一个时间点在工厂制造的时候不可能同时生产两个或两个以上的密钥，即电路结构完全程度上相同，面对唯一的激励输入有着不同的响应输出，所以无法在物理上克隆密钥。

密钥的的生成公式可以描述如下：

key＝manufacture(time)

其中time表示密钥在制造时的时间的唯一标识，manufacture表示密钥的制造方法。因为制造时的时间是不可重复的，所以可以生成唯一一个物理不可克隆的密钥。

本发明使用的加密密钥具有物理不可克隆性质，即无法通过相同的方法得到完全相同的密钥。

将具有不可克隆性的puf电子电路装配到需要身份认证的电子设备中。加密引擎之中，电子设备包括生理特征采集模块、加密引擎模块、身份认证模块和密钥存储模块；即将puf电子电路装配到加密引擎模块中。

如图3所示，本发明中密钥芯片的cmos元件的细节，可以看到，在黑框中框出来的就是采用65nmcmos工艺制造的物理不可克隆技术的内核(ip核)。

内核的微观结构如图2所示，内核内部结构的排列方式即是密钥本身。

s2，首先需要录入设备所有者的生理特征(指纹)，进行密钥认证信息初始化。

采集所有者的生理特征，根据所有者的生理特征获取对应的电信号作为激励输入puf电子电路，获取所有者的初始密钥并存储此所有者的密钥，存储模块可采用数据库实现。

生理特征采集模块采集所有者或使用者的生理特征；此生理特征采集模块可采用现有技术中指纹采集器来实现。

由于具有不可克隆性的密钥电子电路的唯一映射性，可以生成对应于录入者的唯一信息对应的密钥，密码的生成公式表示：

password＝puf(key,fingerprint)

其中puf代表密码生成过程，key代表物理不可克隆的密钥，fingerprint代表使用者输入的生理特征信号。

在初次生成密钥以后，不可克隆性的密钥电子电路进入加密工作状态，只有再次接收到所有者的生理特征(如指纹)之后，不可克隆性的密钥电子电路才会解锁响应。

s3、身份认证，接收设备使用者输入的生理特征(指纹)，生成对应的密钥，然后与初始密钥相比，如果相同，则对电子设备解锁，允许使用者使用。

加密引擎生成加密的密钥，也可以用来对电子设备中的文件或者资料进行加密。加密的文件资料必须经过解密才能被使用，只有当正确身份的使用者输入正确的生理特征信号(指纹、虹膜等)通过加密引擎，才能得到正确的密码。

当使用者预获取文件或资料时，利用使用者对应的密钥来解密此加密后的文件时，如果是非法使用者，则无法进行正确解密，进而无法读取文件，实现电子设备内资源的保护。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变型，这些改进和变型也应视为本发明的保护范围。