基于PUF模型的物聯(lián)網(wǎng)設(shè)備密鑰保護(hù)機(jī)制研究

摘" 要： 在各類型設(shè)備大量接入實(shí)驗(yàn)室以及物聯(lián)網(wǎng)技術(shù)普及的背景下，數(shù)據(jù)出力、傳輸、分析以及存儲過程中會出現(xiàn)數(shù)據(jù)安全問題，為此設(shè)計(jì)一種基于物理不可克隆函數(shù)和分布式云計(jì)算相配合的密鑰安全保護(hù)機(jī)制。利用物理不可克隆函數(shù)的不被復(fù)制性和不被克隆性，對局域設(shè)備物聯(lián)網(wǎng)環(huán)境下的設(shè)備接入數(shù)據(jù)、安全訪問數(shù)據(jù)以及計(jì)算數(shù)據(jù)進(jìn)行統(tǒng)一出力。與此同時，通過引入分布式云計(jì)算技術(shù)對物聯(lián)網(wǎng)設(shè)備數(shù)據(jù)進(jìn)行分級管理、分級傳輸以及加密存儲，既保證了物聯(lián)網(wǎng)自身的安全，也為數(shù)據(jù)安全問題提供了解決方案。以傳輸過程中的數(shù)據(jù)集為樣本進(jìn)行對比實(shí)驗(yàn)測試，結(jié)果表明，相比于其他安全機(jī)制，文中所提機(jī)制的安全性可達(dá)87%以上，能夠?yàn)楦咝?shí)驗(yàn)室中的物聯(lián)網(wǎng)設(shè)備提供數(shù)據(jù)處理與傳輸?shù)陌踩Ｕ稀?/p>

關(guān)鍵詞： 高校實(shí)驗(yàn)室； 物聯(lián)網(wǎng)技術(shù)； 物理不可克隆函數(shù)； 分布式云計(jì)算技術(shù)； 安全密鑰； 保護(hù)機(jī)制； 數(shù)據(jù)傳輸

中圖分類號： TN915.08?34； TP309" " " " " " " "文獻(xiàn)標(biāo)識碼： A" " " " " " " " " " "文章編號： 1004?373X（2024）24?0055?05

Research on IoT devices key protection mechanism based on PUF model

ZENG Zhiqu

（Guangzhou Huashang College， Guangzhou 511300， China）

Abstract： In the context of a large number of different types of devices accessing laboratories and the popularization of Internet of Things （IoT） technology， data security problems will occur in the process of data output， transmission， analysis and storage. Therefore， a key security protection mechanism based on the combination of physical unclonable function （PUF） and distributed cloud computing is designed. By utilizing the non replicability and non cloning properties of PUF， unified output is realized for the device access data， secure access data， and computation data in the local device IoT environment. At the same time， by introducing distributed cloud computing technology， hierarchical management， hierarchical transmission， and encrypted storage of IoT device data are carried out， which not only ensures the security of the IoT itself， but also provides a solution for data security issues. The comparative experimental tests are conducted by using data sets in the transmission process as samples. The results show that， in comparison with other security mechanisms， the security of the proposed mechanism can reach more than 87%， which can provide security protection for data processing and transmission of IoT devices in university laboratories.

Keywords： university laboratory; Internet of Things technology; physical unclonable function; distributed cloud computing technology; security key; protection mechanism; data transmission

0" 引" 言

隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展和應(yīng)用，物聯(lián)網(wǎng)設(shè)備在各類環(huán)境中的接入與使用日益普及。在高校實(shí)驗(yàn)室管理和信息化建設(shè)的場景中，實(shí)驗(yàn)室通常涉及大量的實(shí)驗(yàn)設(shè)備、傳感器和監(jiān)控系統(tǒng)，這些設(shè)備不僅需要與網(wǎng)絡(luò)進(jìn)行緊密的連接，還需要處理和傳輸大量的敏感數(shù)據(jù)[1?3]。隨著設(shè)備的多樣化和數(shù)量的增加，物聯(lián)網(wǎng)系統(tǒng)的安全性問題愈發(fā)突出，因此如何保護(hù)數(shù)據(jù)的安全成為一個亟待解決的重要問題。

針對數(shù)據(jù)傳輸以及物聯(lián)網(wǎng)安全問題，文獻(xiàn)[4]設(shè)計(jì)了一種基于對稱加密技術(shù)的安全機(jī)制，但該技術(shù)并不適合大規(guī)模分布環(huán)境中的密鑰管理。文獻(xiàn)[5]設(shè)計(jì)了一種基于哈希函數(shù)的數(shù)據(jù)保護(hù)技術(shù)，但其只能保證數(shù)據(jù)的完整性，無法確保數(shù)據(jù)的保密性。文獻(xiàn)[6]設(shè)計(jì)了一種基于云平臺和訪問控制技術(shù)的安全保護(hù)機(jī)制，但該方法無法處理復(fù)雜的權(quán)限要求和動態(tài)變化的安全問題。文獻(xiàn)[7]設(shè)計(jì)了一種基于數(shù)字簽名的安全密鑰技術(shù)，但該技術(shù)的安全性依賴于密鑰自身的安全和簽名算法的強(qiáng)度，因此計(jì)算量較大。文獻(xiàn)[8]則設(shè)計(jì)了一種入侵防御系統(tǒng)，但需要不斷更新特征庫和規(guī)則集，復(fù)雜性較高。

針對上述數(shù)據(jù)安全保護(hù)技術(shù)存在的不足，本文利用物理不可克隆函數(shù)（Physical Unclonable Function， PUF）的防偽造和防篡改能力，提升了數(shù)據(jù)傳輸?shù)陌踩?。同時結(jié)合分布式云計(jì)算技術(shù)對數(shù)據(jù)進(jìn)行優(yōu)化，提升了系統(tǒng)的整體安全性能。與其他的數(shù)據(jù)保護(hù)技術(shù)相比，本文所提出的技術(shù)方案具有更高的安全性，不僅能夠?yàn)楦咝?shí)驗(yàn)室物聯(lián)網(wǎng)環(huán)境的安全保護(hù)提供一種新的解決方案，也為相關(guān)領(lǐng)域的研究提供了新思路。

1" 密鑰安全保護(hù)機(jī)制設(shè)計(jì)

高校實(shí)驗(yàn)室通常涉及多種類型的實(shí)驗(yàn)設(shè)備和傳感器，這些設(shè)備不僅需要實(shí)時監(jiān)控及數(shù)據(jù)采集，還需要進(jìn)行管理和保護(hù)[9]。隨著設(shè)備數(shù)量的激增和數(shù)據(jù)處理需求的提高，傳統(tǒng)的安全機(jī)制面臨著嚴(yán)峻的挑戰(zhàn)。因此，為提高安全性，本文設(shè)計(jì)引入了PUF模型。

PUF模型是一種利用設(shè)備的物理特性生成唯一且難以復(fù)制的安全密鑰技術(shù)[10?11]。通過PUF模型獨(dú)特的物理特性可以生成隨機(jī)、安全的密鑰，從而提高系統(tǒng)的安全性。PUF模型的架構(gòu)圖如圖1所示。

在不同的環(huán)境條件下，PUF模型需要在設(shè)備的生命周期內(nèi)保持穩(wěn)定性。因此，在設(shè)計(jì)時需要考慮溫度波動、老化等因素，以確保生成的密鑰在設(shè)備的整個生命周期內(nèi)能夠保持一致。PUF模型的密鑰生成過程可以劃分為3個步驟，分別為響應(yīng)生成、密鑰提取和密鑰儲存。響應(yīng)生成過程的結(jié)構(gòu)圖如圖2所示。

由圖2可知，PUF模型接收到挑戰(zhàn)信號后，會根據(jù)其內(nèi)部的物理特性生成相應(yīng)的響應(yīng)信號。PUF模塊內(nèi)的電路對信號進(jìn)行激活，激發(fā)設(shè)備的物理特性。

密鑰提取結(jié)構(gòu)圖如圖3所示。

由圖3可知，首先需要對生成的響應(yīng)信號進(jìn)行校準(zhǔn)，以確保其在不同環(huán)境條件下的穩(wěn)定性；接著，通過算法去除響應(yīng)信號中的噪聲，提取可靠的密鑰信息；最后，根據(jù)處理后的響應(yīng)信號生成最終的密鑰。

密鑰儲存結(jié)構(gòu)圖如圖4所示。

將產(chǎn)生的密鑰用于物聯(lián)網(wǎng)技術(shù)中，以此來保證網(wǎng)內(nèi)設(shè)備和數(shù)據(jù)的安全。物聯(lián)網(wǎng)結(jié)構(gòu)[12?13]包括應(yīng)用層、網(wǎng)絡(luò)層和感知層，將密鑰應(yīng)用于網(wǎng)絡(luò)層和感知層中，可以保證數(shù)據(jù)傳輸、分析以及輸出處理的安全性。密鑰應(yīng)用于物聯(lián)網(wǎng)的技術(shù)架構(gòu)圖如圖5所示。

對形成的PUF模型進(jìn)行分組處理，將其分為4組，然后對4組PUF中的數(shù)據(jù)變量分別進(jìn)行運(yùn)算，表達(dá)式為：

[fx1，x2，x3，x4=x1⊕x2?x3⊕x4fy1，y2，y3，y4=y1⊕y2?y3⊕y4fz1，z2，z3，z4=z1⊕z2?z3⊕z4fr1，r2，r3，r4=r1⊕r2?r3⊕r4]" （1）

式中：x1～x4為第1組的PUF變量；y1～y4為第2組的PUF變量；z1～z4為第3組的PUF變量；r1～r4為第4組的PUF變量；f（·）為PUF函數(shù)。

為加快這4組PUF變量的迭代速度，本次設(shè)計(jì)引入了迭代梯度矩陣，該矩陣的表達(dá)式為：

[Q=-α0ααβ0ββλλλ00γγγ]" " " " "（2）

式中：Q為梯度矩陣；α為第1組PUF的梯度參量；β為第2組PUF的梯度參量；λ為第3組PUF的梯度參量；γ為第4組PUF的梯度參量。

其次，構(gòu)造4組PUF變量的迭代過程，如圖6所示。

由設(shè)計(jì)原理可知，PUF模型的應(yīng)用能夠有效提升系統(tǒng)的安全性和抗攻擊能力，其通過將物理層的不可克隆特性與加密算法結(jié)合，使得每個設(shè)備在生成認(rèn)證信息時都具有唯一性與不可預(yù)測的特征。這不僅提高了設(shè)備在網(wǎng)絡(luò)中的安全性，還降低了攻擊者通過復(fù)制或偽造設(shè)備進(jìn)行惡意操作的風(fēng)險。此外，PUF技術(shù)的應(yīng)用還能減少傳統(tǒng)密鑰管理和存儲的復(fù)雜性，使得密鑰的生成和管理更加安全高效。為進(jìn)一步加強(qiáng)密鑰安全性能，本文還在PUF模型的基礎(chǔ)上引入分布式云計(jì)算技術(shù)[14?15]。分布式云計(jì)算技術(shù)是一種通過將計(jì)算資源分散到多個物理位置的服務(wù)器上來提供服務(wù)的模式，其典型架構(gòu)如圖7所示。

將分布式云計(jì)算技術(shù)與PUF模型相結(jié)合，能夠顯著提升數(shù)據(jù)安全性和系統(tǒng)的抗攻擊能力。分布式云計(jì)算通過將計(jì)算任務(wù)和數(shù)據(jù)存儲分布在多個節(jié)點(diǎn)上，實(shí)現(xiàn)了系統(tǒng)的高可用性和靈活性。而PUF模型則利用設(shè)備的物理特性生成唯一的認(rèn)證信息，提供了強(qiáng)大的身份認(rèn)證和密鑰保護(hù)能力。本文所設(shè)計(jì)的分布式云計(jì)算技術(shù)和PUF模型相結(jié)合的架構(gòu)圖如圖8所示。

2" 實(shí)驗(yàn)對比

為了驗(yàn)證基于PUF和分布式云計(jì)算相配合的密鑰安全保護(hù)機(jī)制的安全性能高于其他技術(shù)，實(shí)驗(yàn)選取了某高校實(shí)驗(yàn)室中的聯(lián)網(wǎng)設(shè)備數(shù)據(jù)作為樣本數(shù)據(jù)集進(jìn)行驗(yàn)證。設(shè)備數(shù)據(jù)主要包括設(shè)備運(yùn)行數(shù)據(jù)以及在物聯(lián)網(wǎng)應(yīng)用下的數(shù)據(jù)等，實(shí)驗(yàn)參數(shù)如表1所示。

設(shè)備數(shù)據(jù)樣本通過分布式云計(jì)算技術(shù)轉(zhuǎn)為二進(jìn)制表示，當(dāng)設(shè)備數(shù)據(jù)的位數(shù)發(fā)生錯誤時，各種技術(shù)機(jī)制的安全可靠性會受到影響。因此，利用錯誤位數(shù)對不同技術(shù)的安全可靠性進(jìn)行對比驗(yàn)證。不同技術(shù)在不同錯誤位數(shù)下的安全可靠性測試結(jié)果如表2所示。

根據(jù)表2的數(shù)據(jù)顯示，在不同錯誤位數(shù)條件下，本文方法的安全可靠性結(jié)果較優(yōu)，均高于89%，其中最高可達(dá)96.36%。相比之下，其他技術(shù)方案的安全可靠性在不同錯誤位數(shù)下的最大值均未超過90%。此外，本文的安全機(jī)制在處理不同錯誤位數(shù)時，始終保持較高的安全可靠性，在所有測試條件下均展現(xiàn)出了最優(yōu)的結(jié)果，驗(yàn)證了其在實(shí)際應(yīng)用中具有較為理想的性能和優(yōu)勢。由此證明，文中所提出的安全機(jī)制在應(yīng)對各種錯誤情況下，能夠提供更為可靠和穩(wěn)定的保護(hù)。

由于數(shù)據(jù)在分析、傳輸以及處理過程中會受到多種網(wǎng)絡(luò)攻擊的影響，而網(wǎng)絡(luò)攻擊會導(dǎo)致整個系統(tǒng)的安全性降低。因此，實(shí)驗(yàn)選用不同類型網(wǎng)絡(luò)攻擊手段對各種安全機(jī)制進(jìn)行了對比驗(yàn)證，結(jié)果如表3所示。

由表3的安全性測試對比結(jié)果可知，面對不同的網(wǎng)絡(luò)攻擊，本文所提出的保護(hù)機(jī)制在安全性方面表現(xiàn)突出，始終保持在87%以上，峰值更是高達(dá)94.26%，超過了90%的安全標(biāo)準(zhǔn)。相較之下，其他保護(hù)技術(shù)的安全性均未觸及90%。該對比結(jié)果清晰地表明，文中所設(shè)計(jì)的保護(hù)機(jī)制在網(wǎng)絡(luò)安全領(lǐng)域中具有顯著優(yōu)勢，能夠有效抵御多種網(wǎng)絡(luò)攻擊，為數(shù)據(jù)安全提供了更為有效的保障。

安全態(tài)勢值作為衡量安全機(jī)制效果的關(guān)鍵指標(biāo)，能夠全面反映系統(tǒng)在面對各種威脅時的防御能力和安全狀態(tài)。通過對比不同技術(shù)機(jī)制的安全態(tài)勢值，可以更加客觀地綜合評估其優(yōu)劣，從而為實(shí)際應(yīng)用中選擇最合適的安全機(jī)制提供有力依據(jù)。不同時長下不同安全機(jī)制的安全態(tài)勢值如表4所示。

根據(jù)表4的數(shù)據(jù)可知：在時長逐漸增加的情況下，4類安全機(jī)制的安全態(tài)勢值均呈現(xiàn)出逐步下降的趨勢；但在所有技術(shù)方案中，本文所提方法的表現(xiàn)最佳，其安全態(tài)勢值在所有時長中均保持最高，最小值僅為0.84。尤其是時長在2 min和4 min，本文方法的安全態(tài)勢值等于或高于0.9，而其他技術(shù)機(jī)制在任意時長下的安全態(tài)勢值均低于0.9。該結(jié)果表明，本文所提方案在長期運(yùn)行中的安全性表現(xiàn)優(yōu)于其他對比方案，能夠有效地維持較高的安全狀態(tài)。

3" 結(jié)" 語

在高校實(shí)驗(yàn)室及物聯(lián)網(wǎng)技術(shù)普及背景下，網(wǎng)絡(luò)及其數(shù)據(jù)的安全問題日益突出。為應(yīng)對這些挑戰(zhàn)，本文設(shè)計(jì)了一種結(jié)合物理不可克隆函數(shù)與分布式云計(jì)算的密鑰安全保護(hù)機(jī)制。將物理不可克隆函數(shù)的獨(dú)特性用于統(tǒng)一處理設(shè)備接入數(shù)據(jù)、安全訪問數(shù)據(jù)及計(jì)算數(shù)據(jù)，而分布式云計(jì)算技術(shù)則負(fù)責(zé)對數(shù)據(jù)進(jìn)行分級管理、傳輸和加密存儲。與其他安全技術(shù)相比，本文所提安全機(jī)制在公開數(shù)據(jù)傳輸過程中安全性最高，且顯著提升了數(shù)據(jù)處理與傳輸?shù)陌踩Ｕ?，不僅能夠?yàn)楦咝?shí)驗(yàn)室的數(shù)據(jù)安全問題提供重要途徑，還可為物聯(lián)網(wǎng)環(huán)境中的設(shè)備接入和數(shù)據(jù)處理提供可靠的安全保障。

參考文獻(xiàn)

[1] 張子揚(yáng)，趙軍輝，馬小婷.面向5G蜂窩物聯(lián)網(wǎng)的大規(guī)模設(shè)備接入算法[J].應(yīng)用科學(xué)學(xué)報(bào)，2023，41（4）：626?635.

[2] 樓順天，龐斯琪，李明昱.基于物聯(lián)網(wǎng)的單片機(jī)創(chuàng)新實(shí)驗(yàn)系統(tǒng)設(shè)計(jì)[J].電子科技，2020，33（11）：1?6.

[3] 苑毅，黃珍.基于MEC?UAV的海域物聯(lián)網(wǎng)設(shè)備的覆蓋優(yōu)化算法[J].吉林大學(xué)學(xué)報(bào)（信息科學(xué)版），2024，42（3）：387?392.

[4] 張繼飛.基于對稱加密算法的嵌入式物聯(lián)網(wǎng)終端訪問認(rèn)證方法[J].九江學(xué)院學(xué)報(bào)（自然科學(xué)版），2024，39（2）：71?75.

[5] 滕飛.基于復(fù)合結(jié)構(gòu)的哈希函數(shù)設(shè)計(jì)與實(shí)現(xiàn)[D].延吉：延邊大學(xué)，2022.

[6] 徐浩，張侃，劉亞天.云計(jì)算平臺下屬性基數(shù)據(jù)加密與安全訪問控制技術(shù)研究[J].軟件，2023，44（11）：91?93.

[7] 黃佩達(dá)，林超，伍瑋，等.基于SM2數(shù)字簽名的區(qū)塊鏈匿名密鑰交換協(xié)議[J].信息安全學(xué)報(bào)，2024，9（3）：19?28.

[8] 孔丹丹.面向網(wǎng)絡(luò)安全的基于SDN的入侵檢測與防御系統(tǒng)[J].信息系統(tǒng)工程，2023（5）：85?87.

[9] 田培培，彭濤，李云峰，等.高校實(shí)驗(yàn)室安全檢查信息化系統(tǒng)的構(gòu)建與應(yīng)用[J].實(shí)驗(yàn)室研究與探索，2024，43（8）：220?224.

[10] 謝峰，孟坤，張旺，等.基于多PUF模組的身份標(biāo)識與身份認(rèn)證機(jī)制研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2024，34（8）：73?77.

[11] 劉國，焦玉雷，陳弈，等.基于PUF的TEE可信根生成方法研究[J].哈爾濱師范大學(xué)自然科學(xué)學(xué)報(bào)，2024，40（1）：61?67.

[12] 陳彬，徐歡，鄒文景.多模態(tài)馬爾科夫決策泛在電力物聯(lián)網(wǎng)大數(shù)據(jù)智能挖掘[J].沈陽工業(yè)大學(xué)學(xué)報(bào)，2024，46（2）：144?149.

[13] 李來存.基于物聯(lián)網(wǎng)技術(shù)的信息系統(tǒng)數(shù)據(jù)存儲系統(tǒng)[J].信息技術(shù)，2024（5）：120?126.

[14] 張照明.基于云計(jì)算的分布式數(shù)據(jù)安全存儲方法[J].信息記錄材料，2023，24（3）：227?229.

[15] 王琦.基于動態(tài)隨機(jī)需求的分布式云計(jì)算資源調(diào)度研究[D].鄭州：河南工業(yè)大學(xué)，2023.

作者簡介：曾志區(qū)（1980—），男，廣東陽江人，碩士研究生，高級實(shí)驗(yàn)師，研究方向?yàn)樾畔⒒ㄔO(shè)及管理。