(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210279619.5 (22)申请日 2022.03.21 (71)申请人 北京普安信科技有限公司 地址 100102 北京市朝阳区望京西路甲5 0 号1号楼7层 （新企航孵化器1725号） (72)发明人 张迎飞　 (74)专利代理 机构 北京卓岚智财知识产权代理 事务所 (特殊普通合伙) 11624 专利代理师 郭智 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/08(2006.01) H04L 9/40(2022.01) (54)发明名称 一种基于PUF器件的数据信息加密部署方法 (57)摘要 本发明实施例提供一种基于PUF器件的数据 信息加密部署方法， 通过使用PUF器件做信任锚 部署需要加密传输的信息数据， 不需要借助额外 的服务中心进行大量数据计算， 也不需专线进行 数据传输， 因此这种方案在 使用物理随机数保证 安全性的同时， 具有成本低廉效果。 权利要求书3页 说明书13页 附图3页 CN 114584321 A 2022.06.03 CN 114584321 A 1.一种基于PUF器件的数据信息加密部署方法， 其特 征在于， 包括： 发送端指定第一PUF器件； 所述第一PUF器件用于发送给接收端； 所述发送端根据所述第一PUF器件的信息确定第一挑战信号和第一响应信号； 所述第 一挑战信号输入给 所述第一PUF器件唯一得到所述第一响应信号； 所述发送端使用所述第一响应信号加密待部署给所述接收端的第一数据信息得到第 一密文； 当所述接收端收到所述第一PUF器件时， 向所述发送端返回第一确认信息； 如果所述发送端收到来自所述接收端的所述第 一确认信 息， 则将所述第 一密文和所述 第一挑战信号发送给所述接收端； 所述第一确认信息表示所述接收端已经接收到所述第一 PUF器件； 当所述接收端收到所述第 一密文和所述第 一挑战信号， 所述接收端将所述第 一挑战信 号输入给所述第一PUF器件得到第一响应信号； 并进一步使用第一响应信号作为密钥解密 所述第一密文得到第一数据信息 。 2.如权利要求1所述的基于PUF器件的数据信息加密部署方法， 其特征在于， 所述如果 所述发送端收到来自所述接收端的所述第一确认信息， 则将所述第一密 文和所述第一挑战 信号发送给 所述接收端， 具体为： 如果所述发送端在指定的第 一确认时间内收到所述第 一确认信 息， 则所述发送端将所 述第一密 文和所述第一挑战信号 发送给所述接收端； 所述第一确认时间是从发出所述第一 PUF器件时开始计时的指定 长度的时间。 3.如权利要求2所述的基于PUF器件的数据信息加密部署方法， 其特 征在于， 还 包括： 如果所述发送端在所述第 一确认时间内一直没有收到所述第 一确认信 息， 则通过以下 步骤重新部署所述第一数据信息： 所述发送端指定第二PUF器件； 所述第二PUF器件用于发送给 所述接收端； 所述发送端根据所述第二PUF器件的信息确定第二挑战信号和第二响应信号； 所述第 二挑战信号输入给 所述第二PUF器件唯一得到所述第二响应信号； 所述发送端使用所述第二响应信号加密待部署给所述接收端的第一数据信息得到第 二密文； 当所述接收端收到所述第二PUF器件时， 向所述发送端返回第二确认信息； 如果所述发送端收到来自所述接收端的第 二确认信息， 则将所述第 二密文和所述第 二 挑战信号发送给所述接收端； 所述第二确认信息表示所述接收端已经接收到所述第二PUF 器件； 当所述接收端收到所述第 二密文和所述第 二挑战信号， 所述接收端将所述第 二挑战信 号输入给所述第二PUF器件得到第二响应信号； 并进一步使用第二响应信号作为密钥解密 所述第二密文得到第一数据信息 。 4.如权利要求1所述的基于PUF器件的数据信息加密部署方法， 其特征在于， 所述发送 端根据所述第一PUF器件的信息确定第一挑战信号和第一响应信号， 包括： 发送端从预先存储的挑战响应记录 中选择与所述第 一PUF器件的信 息对应的第 一挑战 响应对， 并以所述第一挑战响应对中的挑战信号作为所述第一挑战信号， 以所述第一挑战 响应对中的响应信号作为所述第一响应信号；权　利　要　求　书 1/3 页 2 CN 114584321 A 2其中， 所述挑战响应记录包括所有PUF器件各自对应的至少一组挑战响应对。 5.如权利要求 4所述的基于PUF器件的数据信息加密部署方法， 其特 征在于， 还 包括： 按以下步骤完成再次部署新数据信息： 所述接收端向所述发送端发送再次部署新数据信 息请求； 所述再次部署新数据信 息请 求中包括所述接收端已经成功接收的PUF器件的信息； 当所述发送端收到来自所述接收端的所述再次部署新数据信 息请求时， 从所述再次部 署新数据信息请求中获得 所述已经成功接收的PUF器件的信息； 所述发送端从所述挑战响应记录 中选择与所述已经成功接收的PUF器件的信 息对应的 第三挑战响应对， 并以所述第三挑战响应对中的挑战信号作为第三挑战信号， 以所述第三 挑战响应对中的响应信号作为第三响应信号； 所述发送端 使用所述第三响应信号加密所述 新数据信息得到第三密文； 所述发送端将所述第三密文和所述第三挑战信号发送给 所述接收端； 当所述接收端收到所述第 三密文和所述第 三挑战信号 时， 所述接收端将所述第 三挑战 信号输入给所述已经成功接 收的PUF器件得到所述第三响应信号； 并进一步使用所述第三 响应信号作为密钥解密所述第三密文得到所述 新数据信息 。 6.如权利要求1所述的基于PUF器件的数据信息加密部署方法， 其特征在于， 所述发送 端指定第一PUF器件， 具体为： 所述发送端从待选的PUF器件中选取第一PUF器件。 7.如权利要求1所述的基于PUF器件的数据信息加密部署方法， 其特征在于， 所述发送 端使用所述第一响应信号加密待部署给所述接收端的第一数据信息得到第一密文， 具体 为： 所述发送端所述第 一响应信号与 所述第一数据信 息执行异或操作 得到所述第 一密文， 或者， 所述 发送端使用所述第一响应信号作为对称加密的密钥使用对称加密算法加密所述 第一数据信息得到所述第一密文。 8.如权利要求1所述的基于PUF器件的数据信息加密部署方法， 其特征在于， 所述发送 端为密钥生成中心； 所述第一数据信息包括第一签名私钥和第一加密私钥； 在所述发送端指定第一PUF器件之前， 还 包括： 所述接收端使用所述密钥生成中心公开的系统参数加密所述接收端的唯一标识信息 得到密钥申请请求； 所述系统参数用于生成密钥以及所述接收端与所述密钥生成中心之间 进行加密通信； 所述接收端将所述密钥申请 请求发送给 所述密钥生成中心； 所述密钥生成中心收到所述密钥申请请求， 并从所述密钥申请请求中获取所述接收端 的唯一标识信息； 所述密钥生成中心根据指定的密钥生成算法 以及所述接收端的唯一标识信息生成所 述第一签名私钥和所述第一加密私钥。 9.如权利要求1所述的基于PUF器件的数据信息加密部署方法， 其特征在于， 所述发送 端为本地注 册机构； 所述第一数据信息包括： 第一口令； 在所述发送端指定第一PUF器件之前， 还 包括： 所述接收端向所述本地注 册机构发送 注册申请；权　利　要　求　书 2/3 页 3 CN 114584321 A 3