(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210934275.7 (22)申请日 2022.08.04 (71)申请人 视联动力 信息技术股份有限公司 地址 100000 北京市东城区青龙胡同1号歌 华大厦A1 103-1113 (72)发明人 覃才俊　王训　潘廷勇　韩杰　 (74)专利代理 机构 北京润泽恒知识产权代理有 限公司 1 1319 专利代理师 苏培华 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 一种身份认证方法和装置 (57)摘要 本发明实施例提供了一种身份认证方法和 装置， 所述终端设备包括PUF芯片， 所述方法包 括： 接收服务器侧的认证挑战信息， 认证挑战信 息至少包括第一元素和第一身份验证信息； 确定 与第一元素对应的第一响应信息， 并根据第一响 应信息生 成第二身份验证信息， 第一响应信息为 终端设备的PUF芯片生成的； 当第一身份验证信 息和第二身份验证信息相匹配时， 根据第一响应 信息确定本设备侧的认证挑战信息， 并将本设备 侧的认证挑战信息发送给服务器， 以使服务器对 终端设备进行身份认证。 本发明实施例基于PUF 芯片的物理特性保证终端设备身份的唯一性， 从 而确保基于PUF芯片进行身份认证的安全性， 并 且在不需要部署CA证书的情况下基于PUF芯片 进 行身份认证， 节约项目成本 。 权利要求书3页 说明书19页 附图2页 CN 115459918 A 2022.12.09 CN 115459918 A 1.一种身份认证方法， 其特征在于， 应用于终端设备， 所述终端设备包括PUF芯片， 所述 方法包括： 接收服务器侧的认证挑战信 息， 所述认证挑战信 息至少包括第 一元素和第 一身份验证 信息； 确定与所述第一元素对应的第 一响应信 息， 并根据 所述第一响应信 息生成第 二身份验 证信息， 所述第一响应信息为所述终端设备的PUF芯片生成的； 当所述第一身份验证信 息和所述第 二身份验证信 息相匹配时， 根据所述第 一响应信 息 确定本设备侧的认证挑战信息， 并将所述本设备侧的认证挑战信息发送给所述服务器， 以 使所述服务器对所述终端设备进行身份认证。 2.根据权利要求1所述的方法， 其特征在于， 在接收服务器侧的认证挑战信息之前， 还 包括： 接收所述 服务器发送的第一元 素集合； 通过所述PUF芯片根据所述第一元素集合的元素生成对应的第二响应信息， 并作为第 二元素集合的元素； 向所述服务器发送第 二元素集合， 以使所述服务器基于所述第 一元素集合和所述第 二 元素集合创建指纹数据库； 其中， 所述第一元素为所述服务器从所述指纹数据库的第一元 素集合中选取。 3.根据权利要求1或2所述的方法， 其特征在于， 所述根据所述第一响应信息生成第二 身份验证信息， 包括： 将所述第一响应信 息和所述终端设备侧信 息进行加密处理， 得到所述第 二身份验证信 息。 4.根据权利要求3所述的方法， 其特征在于， 所述终端设备侧信息包括设备ID和/或第 一抗重放随机数。 5.根据权利要求1或2所述的方法， 其特征在于， 所述根据所述第一响应信息确定本设 备侧的认证挑战信息， 包括： 将所述第一响应信 息和所述服务器侧信 息进行加密处理， 得到本设备侧的认证挑战信 息。 6.根据权利要求5所述的方法， 其特征在于， 所述服务器侧信息包括服务器ID和/或第 二抗重放随机数。 7.一种身份认证方法， 其特 征在于， 应用于服 务器， 所述方法包括： 生成服务器侧的认证挑战信息， 并向终端设备发送所述服务器侧的认证挑战信息， 以 使所述终端设备对所述服务器进行身份认证； 其中， 所述服务器侧的认证挑战信息至少包 括第一元 素和第一身份验证信息， 所述第一身份验证信息根据所述第二元 素生成； 接收所述终端设备发送的设备侧的认证挑战信 息， 所述设备侧的认证挑战信 息包括第 三身份验证信息； 根据所述第二元 素生成第四身份验证信息； 当所述第三身份验证信 息和所述第四身份验证信 息相匹配时， 所述终端设备的身份认 证通过。 8.根据权利要求7 所述的方法， 其特 征在于， 所述 生成服务器侧的认证挑战信息， 包括：权　利　要　求　书 1/3 页 2 CN 115459918 A 2从指纹数据库中， 根据终端设备的设备ID确定对应的第 一元素和所述第 一元素对应的 第二元素。 9.根据权利要求8所述的方法， 其特征在于， 所述指纹数据库包括第 一元素集合和第 二 元素集合， 所述根据终端设备的设备ID确定对应的第一元素和所述第一元素对应的第二元 素， 包括： 从与终端设备的设备ID对应的第一元 素集合中选取第一元 素； 从与终端设备的设备ID对应的第二元 素集合中选取与所述第一元 素对应的第二元 素。 10.根据权利要求7所述的方法， 其特征在于， 在生成服务器侧的认证挑战信 息之前， 还 包括： 生成多个随机数作为第一元素集合的元素， 并向所述终端设备发送所述第一元素集 合； 接收所述终端设备发送的第二元 素集合； 根据所述终端设备对应的设备ID、 所述第一元素集合和所述第二元素集合创建指纹数 据库。 11.根据权利要求7 所述的方法， 其特 征在于， 还 包括： 当所述终端设备的身份认证通过时， 删除身份认证过程中使用过的第 一元素以及对应 的第二元 素。 12.根据权利要求10所述的方法， 其特 征在于， 还 包括： 若所述第一元素集合和所述第 二元素集合中元素的数量小于预设数量阈值， 则补充所 述第一元 素集合和所述第二元 素集合中的元 素。 13.根据权利要求7 所述的方法， 其特 征在于， 还 包括： 将所述第二元 素和终端设备侧信息进行加密处 理， 得到所述第一身份验证信息 。 14.根据权利要求13所述的方法， 其特征在于， 所述终端设备侧信息包括设备ID和/或 第一抗重放随机数。 15.根据权利要求7所述的方法， 其特征在于， 所述根据所述第二元素生成第四身份验 证信息， 包括： 将所述第二元 素和服务器侧信息进行加密处 理， 得到第四身份验证信息 。 16.根据权利要求15所述的方法， 其特征在于， 所述服务器侧信息包括服务器ID和/或 第二抗重放随机数。 17.一种身份认证装置， 其特征在于， 应用于终端设备， 所述终端设备包括PUF芯片， 所 述装置包括： 接收模块， 用于接收服务器侧的认证挑战信息， 所述认证挑战信息至少包括第一元素 和第一身份验证信息； 生成模块， 用于确定与所述第一元素对应的第一响应信息， 并根据所述第一响应信息 生成第二身份验证信息， 所述第一响应信息为所述终端设备的PUF芯片生成的； 匹配模块， 用于当所述第一身份验证信息和所述第二身份验证信息相匹配时， 根据所 述第一响应信息确定本 设备侧的认证挑战信息， 并将所述本设备侧的认证挑战信息发送 给 所述服务器， 以使所述 服务器对所述终端设备进行身份认证。 18.一种身份认证装置， 其特 征在于， 应用于服 务器， 所述装置包括：权　利　要　求　书 2/3 页 3 CN 115459918 A 3