通用可組合認證密鑰交換協議

張紫楠,郭淵博,楊奎武,黃惠新,楊占海

(1.中國人民解放軍66029部隊,內蒙古蘇尼特右旗 011200;2.解放軍信息工程大學密碼工程學院,河南鄭州 450000;3.中國人民解放軍92762部隊,福建廈門 361000)

通用可組合認證密鑰交換協議

張紫楠1,郭淵博2,楊奎武2,黃惠新3,楊占海1

(1.中國人民解放軍66029部隊,內蒙古蘇尼特右旗 011200;2.解放軍信息工程大學密碼工程學院,河南鄭州 450000;3.中國人民解放軍92762部隊,福建廈門 361000)

物理不可克隆函數是指對一個物理實體輸入一個激勵,利用其不可避免的內在物理構造的隨機差異輸出一個不可預測的響應.針對傳感器節點的計算、存儲和通信能力有限等問題,基于物理不可克隆函數提出物理不可克隆函數系統的概念,并在此基礎上提出一個新的用于無線傳感器網絡的認證密鑰交換協議,最后在通用可組合框架內給出新協議抵抗靜態敵手的安全性證明.相比于傳統基于公鑰加密的認證密鑰交換協議,新協議不使用任何可計算的假設,而是基于物理不可克隆函數系統的安全屬性實現,因此在很大程度上減少了計算和通信開銷.該協議涉及較少的交互次數,認證協議計算僅僅需要散列函數、對稱加密和物理不可克隆函數系統.

認證密鑰交換;物理不可克隆函數;物理不可克隆函數系統;通用可組合框架

無線傳感器網絡通常需要部署在開放甚至不友好的環境中(如野外和戰場),并且它所監測的信息往往具有隱私性和敏感性.因此,必要的安全機制對于無線傳感器網絡來說至關重要.由于傳感器節點的計算、存儲和通信能力有限,在這種網絡中提供安全保障要比傳統網絡困難得多,故所采用的安全機制應盡可能少地占用計算、存儲和通信資源.目前已有的大部分基于公鑰密碼體制的安全機制,由于復雜度和成本過高,不能直接應用在無線傳感器網絡之中.

目前提出的大部分無線傳感器網絡密鑰交換方案在各種安全性、易用性和成本等方面表現不同.例如, SPINS、LEAP、Transitory Master Key和Random Key Pre-Distributions等方案都假設初始密鑰是基于一個未指定的安全機制被預置在傳感器節點上,它的缺點是存儲開銷比較大,并不適合資源有限的傳感器節點.而MIB[1],Resurrecting Ducking、Talking to Strangers、Seeing-is-Believing、On-off Keying、Key Infection和Shake Them Up等方案的缺點是需要額外的硬件設備或需要相對高成本的公鑰加密技術,甚至一些方案都沒能實現密鑰的保密性和真實性.

基于物理不可克隆函數(Physical Unclonable Function,PUF),筆者提出一個新的適用于無線傳感器網絡的認證密鑰交換協議(PUFS based AKE,簡稱AKEPUFS協議).物理不可克隆函數主要利用硬件內不可避免的構造差異實現不可克隆的激勵相應行為,它最主要的優勢是這種不能被克隆的激勵響應行為可以實現一些與傳統公鑰加密一樣的功能,但是卻大大減少了計算、存儲和通信開銷.

新的AKEPUFS協議同以往方案相比具有如下功能和特點:AKEPUFS協議不在傳感器節點上預置一個初始密鑰,有效地節省了傳感器節點的存儲開銷.AKEPUFS協議不使用任何可計算的假設,而是基于物理不可克隆函數系統的安全屬性實現.相比于傳統的公鑰加密方案,這大大減少了計算和通信開銷.AKEPUFS協議通過物理不可克隆函數系統防止協議發送者和接收者之間的惡意行為,如物理不可克隆函數的防篡改屬性可以保證敵手惡意篡改傳感器節點之后不能實現認證密鑰交換.協議的交互簡單,具有良好的計算效率.協議滿足通用可組合特性.

基于物理不可克隆函數提出一個物理不可克隆函數系統(PUFS),使得其具有傳播域廣、提取獨立和魯棒等屬性.基于物理不可克隆函數系統,提出一個新的認證密鑰交換協議.為了使得協議能夠更好地實現通用可組合(UC)安全性,討論了AKEPUFS協議在通用可組合框架[2-3]內的安全性,并給出協議抵抗靜態敵手的一個安全性證明.

1 物理不可克隆函數系統

自從Pappu[4]提出物理不可克隆函數以來,憑借其具有不可克隆等良好的性質而受到廣泛的關注,并逐漸成為硬件安全領域研究中的一個熱門話題.但是在實際中,物理不可克隆函數的激勵響應行為會受到噪音的影響,即給定相同的激勵,物理不可克隆函數可能產生出“略有不同”的響應.這些“略有不同”的響應是相似的,可以通過在提取算法中設置閾值來消除噪音的影響[5-6].所以,筆者在物理不可克隆函數中加入一個提取算法來實現一個物理不可克隆函數系統(PUFS),如圖1所示,使得其具有傳播域廣、提取獨立、魯棒和防篡改等屬性.

1.1 物理不可克隆函數(PUF)

圖1 物理不可克隆函數系統框架

物理不可克隆函數是物理不可克隆函數系統最主要的組件,它是指對一個物理實體輸入一個激勵,利用其不可避免的內在物理構造的隨機差異輸出一個不可預測的響應[7-11].也就是說,在理想情況下,對于一個確定的物理不可克隆函數輸入相同的激勵,它會輸出相同的響應,并且這個響應是物理不可克隆的.

物理不可克隆函數主要包括一個物理組件p(·)和一個評估過程Eval(·).物理組件p是純硬件實現的一部分,給定一個激勵信號,它會利用生產制造變化的不同,輸出一個響應信號.而評估過程Eval(·)的作用是將物理信號轉換成數字信號.所以,物理不可克隆函數的激勵 響應行為主要依賴于物理組件p的屬性、不可控的隨機噪聲(例如熱噪聲)和物理不可克隆函數制造商選擇的一個評估參數αPF(例如量化因子).也就是說,如果3個因素中有一個發生變化,物理不可克隆函數的激勵 響應行為會表現出完全不同的結果.例如,如果對于不同的物理組件p,即使給定相同的激勵,物理不可克隆函數也會產生出不同的響應.

定義1一個物理不可克隆函數是一個概率過程,即PUFp,αPF:x→y,其中,x表示激勵集合,y表示響應集合.

定義2在內部,一個物理不可克隆函數是一個物理組件p和評估過程Eval的結合,即

1.2 物理不可克隆函數系統框架

物理不可克隆函數系統[12]主要包括一個物理不可克隆函數和一個提取算法(例如Dodis等[5]提出的模糊提取算法).這里引入提取算法的目的有兩個:一是通過提取算法設置閾值,消除噪音的影響;二是通過提取算法使得響應具有高不相關性并使響應均勻分布.它利用輔助數據h在兩個不同模式中執行,即設置模式和重建模式.

定義3一個物理不可克隆函數系統是一個概率過程,即

其中,x表示激勵集合,h表示輔助數據集合,ε表示空字符串,z表示輸出集合.當h=ε時,表示提取算法Extract在設置模式下生成一個新的輔助數據h;當h≠ε時,表示提取算法Extract在重建模式下利用激勵x和輔助數據h來重建輸出z.

定義4在內部,一個物理不可克隆函數系統是一個物理不可克隆函數和一個提取算法Extract的結合,即

結論1根據對應于物理不可克隆函數的提取算法的性質,一個物理不可克隆函數系統具有如下屬性:

(1)廣傳播域屬性.廣傳播域屬性是在多項式時間內對于有限數量的激勵x1,…,xn,與xk的距離小于dmin的一個隨機選擇的激勵xk是可以忽略不計的.其中dmin是最小的漢明距離.

(2)提取獨立屬性.對于所有的激勵x1,…,xn,用一個d(xk,x)＞dmin的激勵x來評估物理不可克隆函數系統,那么提取算法會得出一個幾乎平均的值z.

(3)魯棒屬性.提取算法設置閾值消除噪音的影響,即如果用激勵x評估物理不可克隆函數兩次得到y和y′,那么提取算法返回相同的輸出z,即(z,h)←和(z,h)←

(4)防篡改屬性.任何篡改物理不可克隆函數硬件的行為將使得篡改后的PUF′在本質上和PUF的行為完全不同.這是由物理不可克隆函數的物理構造決定的.

2 AKEPUFS協議

基于物理不可克隆函數系統,筆者提出一個新的認證密鑰部署協議.物理不可克隆函數系統不可克隆的激勵響應行為以及它的廣傳播、提取獨立和魯棒等屬性,使得協議可以完整地實現認證密鑰交換協議的基本功能.

2.1 安全性需求

一個客戶裝載一個新的傳感器節點,并使用無線通信信道在未初始化的節點和無線基站之間設置一個共享秘密.在文獻[1]中,Kuo等提供了解決這個問題的一系列屬性:

(1)密鑰保密性.攻擊者可以以忽略不計的概率妥協節點和基站之間的共享秘密.

(2)密鑰真實性.一個未初始化的節點接收到的密鑰是基站初始發送的密鑰,而不是來自一個敵手的密鑰.

(3)前向保密性.妥協一個節點并不妥協之前部署在節點上的密鑰.

(4)密鑰不可克隆和防篡改屬性.敵手可以以忽略不計的概率克隆和篡改節點與基站之間的共享秘密.

(5)示范性識別.用戶物理地處理設備使得他們確定哪個設備正在進行通信.

(6)魯棒性.系統應該圍繞用戶進行設計并用于普通用戶(不是專業加密者或安全工程師).此外,一個用戶錯誤不應該導致密鑰的妥協.

(7)成本.提出的解決方案不應該增加傳感器節點和/或網絡的成本.

(8)沒有公鑰加密.一般情況下,公共密鑰(PK)加密實現相對于程序空間來說更加昂貴并且相對于硬件水平上實現更加慢速.此外,公共密鑰加密使節點容易受到能量拒絕服務(DOS)攻擊.

假設可以信任安裝人員并且可以按照指示完成簡單的操作.同樣,假設一旦已成功共享一個密鑰,節點將使用安全的通信協議.在筆者設計的方案中,假設物理不可克隆函數在傳感器節點中具有其相應的安全屬性(如1.2節).由于物理不可克隆函數典型的物理不可克隆函數電路是在硅器件上實現的,如文獻[13-14],所以并不需要增加節點的成本.

2.2 AKEPUFS協議

新協議有3個不同的參與方:

(ⅰ)基站(S).控制整個網絡并有一個常規PC的能力.它具有一定的數據存儲能力.

(ⅱ)傳感器節點(M).它與基站共享一個秘密.一旦節點被供電或重置時,它就進入一個未初始化的狀態,然后當節點接收到正確的密鑰時,它就變化到一個初始化狀態.最后,如果密鑰交換失敗,則節點進入拒絕狀態而沒有與基站共享一個有效的密鑰.

(ⅲ)用戶(U).它要執行密鑰交換.

對于每一個新的節點M,遵循以下步驟.

步驟1 設置階段.

(1)給定基站S一個具有物理不可克隆函數系統的傳感器節點M,則物理不可克隆函數系統相應的評估參數和提取參數是確定的值.基站S從{0,1}λ中隨機選擇λ長度的激勵xk,其中1≤k≤N.然后對傳感器節點M中的物理不可克隆函數計算yk←Evalp(αPF,xk).接下來,利用相應的提取算法在設置階段計算得到(zk,hk)←(yk,ε).最后基站S把這N對(xk,yk,zk,hk)存儲到一個數據表L中.

(2)基站S把這個具有物理不可克隆函數系統的傳感器節點投放到具體的用戶環境中.此時,可以假定傳感器節點M仍然具有這個固定提取參數的提取算法.

步驟2 密鑰建立階段.

(1)一旦用戶打開傳感器節點,那么節點就進入一個未初始化的狀態,然后通過無線通道向基站發送h (ID)請求密鑰部署.

(2)基站S查找到對應于ID的數據表L,然后從L中隨機選擇一個元組(xk,yk,zk,hk).這個元組在本次協議執行結束后刪除.其中1≤k≤N.

(3)基站計算zk的一個哈希函數h(zk),并對隨機數r用協商好的加密算法加密Enzk(r).然后將這個元組(xk,hk,h(zk),Enzk(r))通過無線通道發送給傳感器節點M.

(4)傳感器節點M首先利用激勵xk和hk查詢物理不可克隆函數系統,得到y′k←Evalp(αPF,xk)和z′k←(y′k,hk),然后計算哈希函數h(z′k),驗證h(z′k)與h(zk)是否相等.若相等,則驗證了基站S;若不等,則終止.

(5)傳感器節點M首先利用z′k解密Enzk(r)得到r′,然后傳感器節點M發送r′到基站S.

(6)基站S驗證r′和r是否相等.若相等,則驗證傳感器節點M,并且兩方建立了共同的密鑰zk;若不等,則終止.

3 通用可組合框架下的AKEPUFS協議

筆者的目標是設計一個認證密鑰交換協議[15].該協議將作為應用中使用的子協議,或者和其他應用復合使用的協議.同時,設計一個只需要分析一次就可以廣泛應用的協議.為了實現這個目標,引入一個特殊的方法——通用可組合(UniversallyComposable,UC)框架[2-3].

3.1 通用可組合框架

粗略地說,通用可組合框架定義了兩種協議運行模型:現實世界模型和理想世界模型.模型中的參與方都被抽象化為概率多項式時間交互式圖靈機.

現實世界模型主要涉及3類抽象的參與方:被分析的協議π;協議運行環境Z,主要用于模型化系統中除被分析的協議之外的其他協議;現實攻擊者A,用來攻擊協議消息和腐化協議參與方.理想世界模型中主要涉及的參與方包括環境Z、理想攻擊者ˉA控制的仿真器Sim以及理想功能F.其中,理想功能F模型化了密碼學任務所應該實現的功能和可以允許的信息泄露,它可以通過虛擬用戶與環境進行交互;理想攻擊者ˉA控制的仿真器Sim模型化了針對理想功能的特殊攻擊者,它只能與理想功能進行交互,而不能與虛擬用戶進行交互,這從形式上保證了理想世界模型中協議的安全性.最后,通過協議仿真保證現實世界模型中的協議具有和理想世界模型中的協議相同的功能,給出現實協議安全性的定義.

給定協議π以及理想功能F,如果對任意的攻擊者A,都存在仿真器Sim,使得對擁有任意輸入的任何環境Z,在和攻擊者A以及協議π交互后的概率分布與在和攻擊者ˉA控制的仿真器Sim以及理想功能F交互后的概率分布是計算不可區分的,則稱協議π通用可組合實現了理想功能F.

3.2 密鑰交換理想功能

認證密鑰交換理想功能FAKE的主要想法如下:如果雙方是誠實的,功能提供它們一個共同的隨機值,而這個隨機值對于敵手是不可見的.如果其中的一個是腐化的,敵手完全掌握了會話密鑰,所以建模一個腐化的參與方.密鑰交換理想功能FAKE如下所示.

(1)每當從Pi接收到消息(establish,ID,ssid,Pi,Pj),則Fke存儲消息(establish,ID,ssid,Pi,Pj)(并且拒絕建立如果已經有一個消息(establish,ID,ssid,Pj,Pi)或者(establish,ID,ssid,Pi,Pj)),并且Fke發送(establish,ID,ssid,Pi,Pj)到仿真器Sim.如果兩個用戶都是誠實的,則從{0,1}λ中選擇一個隨機值k并存儲消息(send,ID,ssid,k,Pi)和(send,ID,ssid,k,Pj).

(2)每當從S接收到消息(choice,ID,ssid,Pi,Pj,k),則Fke檢查是否有一個消息(establish,ID,ssid, Pi,Pj)或者一個消息(establish,ID,ssid,Pj,Pi)并且是否至少有一個用戶Pi和Pj是腐化的.如果是,則存儲消息(send,ID,ssid,k,Pi)和(send,ID,ssid,k,Pj).

(3)每當從S接收到消息(send,ID,ssid,Pi),則Fke檢查是否有一個元組(send,ID,ssid,k,Pi)已經存儲.如果是,發送(send,ID,ssid,k,Pi)到Pi并且刪除消息(send,ID,ssid,k,Pi);否則,什么也不做.

3.3 安全性證明

筆者提出的密鑰交換協議如下:在一個注冊階段,一個基站S得到一個物理不可克隆函數,對于一個集合隨機選擇的激勵測量物理不可克隆函數得到相應的響應,并通過模糊提取算法得到秘密zk.然后基站發送具有物理不可克隆函數的傳感器節點到用戶.完成注冊階段后,用戶發送密鑰交換請求,然后基站廣播一個隨機選擇的激勵xk以及它的輔助數據hk和相應的認證數據到用戶.用戶和基站在通過相互認證之后,得到共享的密鑰zk.

定理1假設物理不可克隆函數系統是一個物理不可克隆函數系統,那么物理不可克隆函數系統認證密鑰交換協議在靜態敵方存在的情況下,通用可組合安全地實現了理想功能FAKE.證明 由于只考慮靜態的腐化,所以可以利用腐化的一方來區分仿真. (1)仿真Pi和Pj都誠實的情況.

每當功能Fke第1次發送消息(establish,ID,ssid,Pi,Pj)時,S初始化一個物理不可克隆函數,并用N隨機激勵x1,…,xN查詢它來獲得響應y1,…,yN.然后計算(zk,hk)←(yk,ε),并存儲所有的元組(xk,yk,zk,hk)在一個列表L中.仿真器Sim然后模擬一個handoverPUF并讓敵手查詢物理不可克隆函數,直到敵手終止過渡階段.S繼續第1會話的模擬.設置階段模擬結束.

每當接收一個消息(establish,ID,ssid,Pi,Pj),仿真器Sim發送(send,ID,ssid,Pi)到FAKE.

(2)用戶Pj被腐化的情況.

在設置階段的模擬和誠實的情況一樣.當收到一個消息(establish,ID,ssid,Pi,Pj),仿真器Sim輸入(choice,ID,ssid,Pi,Pj,zk)到FAKE.然后S被再次激活并輸入(send,ID,ssid,Pi)到FAKE.

(3)發送者Pi被腐化的情況.

S允許惡意用戶Pi來實例化一個任意數量的物理不可克隆函數.接收者只能接受一個單一的handoverPUF.當一個敵手通過認證發送(ID,ssid,(xk,hk))到Pj,然后S評估物理不可克隆函數對于xk來獲得響應yk,并且計算zk←(yk,hk).S讓腐化虛擬用戶Pi輸入消息(establish,ID,ssid,Pi, Pj)到FAKE的輸入帶上并且隨后傳送消息(choice,ID,ssid,Pi,Pj,zk)和(send,ID,ssid,Pj)到FAKE.

模擬分析:由于系統的廣傳播域屬性,是以壓倒性的概率,敵手對于激勵xk沒有比dmin更近的距離查詢物理不可克隆函數.又由于響應獨立性,消息(xk,hk)是對zk靜態獨立的.因此,模擬是完美的.

4 相關工作比較

目前提出的一些方案在各種安全性、易用性和成本等方面表現不同,如表1所示.

表1 AKEPUFS協議與其他協議的比較

Resurrecting Duckling是使用一個不同頻道信號傳輸通道物理接觸的方法來安全地共享一個密鑰.如果認為直接接觸通道安全,則這種方法可以安全地在設備之間共享一個密鑰.它也給出了示范性識別和魯棒性.然而,它的主要缺點是需要每個節點額外的硬件通過一個物理接觸實現信息交換.另一個不同頻道信號傳輸方法是Talking to Strangers,它利用一個位置有限的通道(如紅外線或音頻)來設置一個公鑰.這種方法同樣不符合成本屬性,因為需要每個傳感器節點有額外的專用硬件用于通信和使用公鑰加密.

Seeing-is-Believing方法是使用一個公鑰編碼作為二維條碼建立密鑰.不像Talking to Strangers,Seeing-is-Believing是只需要配備一個相機或條形碼閱讀器的單一專門設置硬件.但是,它在傳感器節點上確實需要執行昂貴的公鑰加密.Shake Them Up方案是通過在每個手中握住一個節點并搖晃他們來在節點中設立密鑰.節點交換相同的數據包,因此,攻擊者無法區分消息發送是來自設備還是來自相同的無線通道的傳輸.為了避免攻擊者空間區分基于能量的來源,設備在通信過程中一起動搖.然而,由于固定無線電指紋,這種做法不是充分安全的.雖然它提供物理識別設備,但是,如果用戶不充分搖動,則密鑰也可能受到妥協.

On-off Keying技術利用射頻信號的存在或不存在來分別編碼1或0.假設攻擊者只能修改一個0(射頻信號不存在),到射頻信號后為1,那么該消息仍然可以通過適當編碼被認證.真實性不能完全保證,因為該方案的作者沒有指定設備怎樣知道1和0的真實級別.該方案還要求使用公鑰加密技術,并缺乏設備的一個物理示范性識別哪個密鑰是共享的.Key Infection是一個簡單和具有有效成本的方案,因為其假設在密鑰共享的時刻,攻擊者是不存在的.因此,傳輸密鑰打破了安全性和真實性,因為密鑰交換也可以由一個敵手執行.顯然,這樣的方案和安全模型相矛盾,因為它假設攻擊者在攻擊之前存在,而在密鑰設置期間和之后不存在.

在筆者的方案中,除了具有一些共同的屬性之外,物理不可克隆函數系統提供了另一種類型的安全保證,即不可克隆性和防篡改性.這些屬性是只適用于基于物理不可克隆函數系統的解決方案.通過比較筆者提出的協議與其他協議的通信輪數可以看出,筆者提出的協議還提供了協議的簡化.同時,由于物理不可克隆函數也沒有利用任何專門設置的硬件,所以肯定會降低成本.

5 總 結

首先討論了物理不可克隆函數系統的一般框架、定義及其屬性,然后基于這個框架,提出了一個新的認證密鑰交換協議.與以往方案不同的是,筆者提出的協議不使用任何可計算的假設,而是基于物理不可克隆函數系統的安全屬性實現,這大大減少了協議的計算和通信開銷.最后在通用可組合框架內詳細討論了這個協議,并給出相應的安全性證明.

[1]Kuo C,Luk M,Negi R,et al.Message-in-a-bottle:User-friendly and Security Key Deployment for Sensor Nodes[C]// International Conference on Embedded Networked Sensor Systems-Sensys.New York:ACM,2007:233-246.

[2]Canetti R.Universally Composable Security:a New Paradigm for Cryptographic Protocols[C]//Proceedings of the 42nd IEEE Symposium on the FOCS.New York:IEEE Computer Society Press,2001:136-145.

[3]Canetti R,Herzog J.Universally Composable Symbolic Security Analysis[J].Journal of Cryptology,2011,24(1):83-147.

[4]Pappu R S.Physical One-Way Functions[D].Massachusetts:Massachusetts Institute of Technology,2001.

[5]Dodis Y,Ostrovsky R,Reyzin L,et al.Fuzzy Extractors:How to Generate Strong Keys from Biometrics and Other Noisy Data[J].SIAM Journal of Computing,2008,38(1):97-139.

[6]Duan Xiaoyi,Li Xiuying.Security of a New Password Authentication Scheme Using Fuzzy Extractor with Smart Card [C]//IEEE 3rd International Conference on Communication Software and Networks.Piscataway:IEEE,2011:282-284.

[7]Ju J,Plusquellic J,Chakraborty R,et al.Bit String Analysis of Physical Unclonable Functions Based on Resistance Variations in Metals and Transistors[C]//IEEE International Symposium on Hardware-Oriented Security and Trust. Piscataway:IEEE,2012:13-20.

[8]Stanzione S,Puntin D,Iannaccone G.CMOS Silicon Physical Unclonable Functions Based on Intrinsic Process Variability[J].IEEE Journal of Solid-State Circuits,2011,46(6):1456-1463.

[9]Lahiri D K,Maloney B,Rogers J T,et al.PuF,An Antimetastatic and Developmental Signaling Protein,Interacts with the Alzheimer’s Amyloid-βPrecursor Protein via a Tissue-specific Proximal Regulatory Element(PRE)[J].BMC Genomics,2013,14(1):68.

[10]Friend K,Campbell Z T,Cooke A,et al.A Conserved PUF-Ago-eEF1A Complex Attenuates Translation Elongation [J].Nature Structural&Molecular Biology,2012,19(2):176-183.

[11]Qiu C,Kershner A,Wang Y,et al.Divergence of Pumilio/fem-3 m RNA Binding Factor(PUF)Protein Specificity through Variations in an RNA-binding Pocket[J].Journal of Biological Chemistry,2012,287(9):6949-6957.

[12]Katzenbeisser S,Kocabas,V,et al.PUFs:Myth,Fact or Busted?A Security Evaluation of Physically Unclonable Functions(PUFs)Cast in Silicon(Extended Version)[C]//Lecture Notes in Computer Science.Heidelberg: Springer Verlag,2012:283-301.

[13]Hori Y,Kang H,Katashita T.Pseudo-LFSR PUF:A Compact,Efficient and Reliable Physical Unclonable Function [C]//International Conference on Reconfigurable Computing and FPGAs.Piscataway:IEEE,2011:223-228.

[14]Maiti A,McDougall L,Schaumont P.The Impact of Aging on an FPGA-based Physical Unclonable Function[C]// International Conference on Field Programmable Logic and Applications.Piscataway:IEEE,2011:151-156.

[15]彭清泉,裴慶祺,楊超,等.通用可組合安全的Internet密鑰交換協議[J].西安電子科技大學學報,2009,36(4):714-720.

Peng Qingquan,Pei Qingqi,Yang Chao,et al.Universally Composable Secure Internet Key Exchange Protocol[J]. Journal of Xidian University,2009,36(4):714-720.

(編輯:郭 華)

Universally composable security authenticated key exchange protocol

ZH ANG Zinan1,GUO Yuanbo2,YANG Kuiwu2, HUANG Huixin3,YANG Zhanhai1
(1.PLA Unit 66029,Sunite 011200,China;2.Inst.of Cryptography Eng.,PLA Information Engineering University,Zhengzhou 450000,China;3.PLA Unit 92762,Xiamen 361000,China)

The Physical Unclonable Function(PUF)is a physical unclonable process function which refers to inputing a challenge to a physical entity,which uses its inevitable changes in the physical details to output a random unpredictable response.To solve the issue of the limited computing,storage and communication capabilities of sensor nodes,according to the analysis of the PUF,a physical unclonable function system (PUFS)framework is defined,and based on this framework,a new Key Exchange protocol is proposed. Finally,a security analysis of our PKE protocol in the universally composable(UC)framework is given in detail.Compared to the traditional public key encryption KE scheme,the PKE protocol does not use any computational assumptions but rather the secure property of the PUFS,and thus our scheme needs less computation and communication cost.

authenticated key exchange;physical unclonable function;physical unclonable function system;universally composable framework

TP393

A

1001-2400(2014)05-0185-07

2013-07-01< class="emphasis_bold">網絡出版時間:

時間:2014-01-12

國家部委基金資助項目(9140C130103120C13062)

張紫楠(1987-),男,碩士,E-mail:zzn20063063@126.com.

http://www.cnki.net/kcms/doi/10.3969/j.issn.1001-2400.2014.05.031.html

10.3969/j.issn.1001-2400.2014.05.031