[发明专利]基于PUF和零知识证明的安全芯片及应用方法、系统及介质

说明书

本发明公开了一种基于PUF和零知识证明的安全芯片及应用方法、系统及介质，本发明基于PUF和零知识证明的安全芯片包括PUF电路模块、ChipID产生电路模块、零知识证明电路模块以及主控模块，零知识证明电路模块包括用于生成可公开的零知识鉴别标识号PID的第一执行电路及产生证明码P的第二执行电路；身份认证应用方法包括基于前述安全芯片实现基于轻量级安全芯片的身份认证方法，该身份认证方法无需复杂的交互式协议，请求端和服务端只需要执行零知识证明计算，相比基于公钥密码算法的数字签名与认证方法更为简洁，具有通用性好、安全性高、认证开销小、认证过程简单等优点。

技术领域

本发明涉及集成电路设计和信息安全技术领域，具体涉及一种基于PUF（物理不可复制功能）和零知识证明的安全芯片及应用方法、系统及介质。

背景技术

随着信息技术的飞速发展和数字化、智能化信息系统的普及应用，信息系统的安全问题日益突出。服务器系统对访问客户端进行安全可信的身份认证已经成为所有信息系统安全的基础，用户和终端只有在确认身份合法性后才能从服务端获取相应的服务。目前，所述身份认证主要是对用户以及用户所操作的信息设备的身份认证，随着物联网和人工智能技术的快速发展，物联网设备越来越智能，每个联网的物理设备之间需要经常进行自主的信息交换和互操作。为确保安全，每个物理设备也都将被赋予一个唯一的不可篡改和复制的身份标识，这些信息交换和互操作也必须建立在物理设备之间安全可信的身份合法性认证的基础上。

而在万物互联的智能化时代，信息设备的数量规模成爆炸性增长，远远超出信息设备用户的数量，这对庞大的身份认证带来了极大的挑战；一般来说，物联网信息设备的核心CPU功能有限，甚至几乎没有配置完整的操作系统，无法确保安全可信地运行传统复杂的安全认证协议；特别是物联网设备通常功耗受限，实现传统认证过程中所涉及的复杂密码运算需要耗费许多能量，这是绝大多数的物联网设备无法承受的；同时计算性能上也无法满足传统的安全认证需要。因此，迫切需要构建新的身份认证技术和体系，解决物联网和智能化信息设备的安全可信身份认证的迫切需求和各项挑战。

目前，身份认证主要采取如下方法：1）基于用户名与口令的认证方式，这是最为常用和普遍的身份认证方式，服务端需要存储用户的口令，用户在发起认证请求时需要提供口令或者口令的哈希摘要值；2）基于PKI（Public Key Infrastructure：公钥基础设施）数字证书的认证方式，也就是每个用户具有一个由认证中心颁发的数字证书，用户的数字证书包含其私钥，在认证时使用私钥进行数字签名，服务端使用用户的公钥对数字签名进行鉴别和认证。特别地，在许多应用系统中，使用了诸如USBKey这类专门的硬件设备安全存储用户的数字证书和执行数字签名操作，这种基于这类专门硬件的认证方式可以提供更高的安全性，减小用户私钥泄露的风险；3）基于用户生物特征的认证方式，比如人脸、指纹、虹膜等；4）基于短信服务（SMS）的动态口令认证，也就是服务端通过短信服务的方式在需要认证的时候，发送动态产生的认证码至用户的移动通讯终端，用户通过向服务端提供收到的动态认证码实现身份认证；5）基于动态口令产生器的认证方式，常见于银行分发给用户的口令卡，在需要身份认证时，服务端指定一串数字，用户在口令产生器中输入指定数字序列，之后口令产生器通过内置运算逻辑产生动态口令，用户将此动态口令发送至服务端来完成身份认证；6）多因素认证方式（MFA），也就是结合上述多种认证方式实现身份认证，比如结合生物特征和SMS动态口令的双因素认证，多因素认证方式能够实现更高的安全级别。

如上所述，现有的认证方式往往都是认证请求端和认证服务端经过多轮交互完成认证，不仅不能很好满足物联网环境的安全认证需求，而且往返多轮交互也会加大安全风险，同时认证需要的时间更长，完成认证需要的功耗更多，而且用户体验也不好。

发明内容