0 引言

    物理不可克隆函數(shù)^[1]電路是利用集成電路制造中存在隨機工藝偏差，通過特殊電路生成隨機序列。由于制造過程中工藝偏差的不可控特性，引起電路結(jié)構(gòu)和工作環(huán)境均相同的PUF電路，在不同芯片中得到響應(yīng)是不同的。由于PUF電路的獨特性質(zhì)，使其在電路安全和防偽等領(lǐng)域應(yīng)用具有潛力，引起研究人員的廣泛關(guān)注，涉及PUF電路的概念模型、實現(xiàn)技術(shù)、性能分析、應(yīng)用領(lǐng)域以及超大規(guī)模集成電路(Very Large Scale Integration，VLSI)設(shè)計等。BECKMANN R等^[2]實現(xiàn)ReRAM器件作為延遲元件，增強延遲型PUF的延遲，取得更好的隨機性和可靠性。YANAMBAKA V P等^[3]依據(jù)無摻雜場效應(yīng)晶體管制造過程變化的不可復(fù)制性，設(shè)計混合振蕩器仲裁器PUF電路，實現(xiàn)功耗和速度優(yōu)化。

    隨著對PUF電路研究的逐漸深入，針對PUF電路的攻擊技術(shù)不斷被提出，PUF電路安全性受到前所未有的挑戰(zhàn)。如何防御潛在的攻擊威脅，設(shè)計高安全性PUF電路變得越來越重要。鑒此，本文通過對存儲型PUF，線性反饋移位寄存器和仲裁器PUF電路進行研究，針對PUF電路的輸出響應(yīng)復(fù)雜程度和安全性問題，提出一種多?；旌?/a>可重構(gòu)PUF電路概念。在TSMC 65 nm CMOS工藝下對所提PUF電路進行仿真驗證，實驗結(jié)果表明電路邏輯功能正確，并對比分析多模混合可重構(gòu)PUF電路性能。

1 存儲型隨機源和仲裁器PUF電路工作原理

1.1 存儲型隨機源

1.2 仲裁器PUF電路

    仲裁器PUF(Arbiter PUF)的結(jié)構(gòu)如圖2(a)所示，仲裁器PUF主要由多個結(jié)構(gòu)完全相同的開關(guān)單元和一個仲裁器構(gòu)成。如圖2(b)所示，當選擇信號bi為“0”時，開關(guān)單元內(nèi)部數(shù)據(jù)通路直接導(dǎo)通，當選擇信號b_i為“1”時，數(shù)據(jù)通路交叉導(dǎo)通。仲裁器由D觸發(fā)器構(gòu)成。數(shù)據(jù)的兩條傳輸路徑完全相同，由于電路制造過程存在不可控的工藝偏差，其信號的傳輸延遲不可能完全相同。當上路徑信號最先到達仲裁器時，則輸出“1”，反之輸出“0”。有n位輸入選擇信號用于配置開關(guān)單元路徑的延遲，PUF產(chǎn)生一位輸出響應(yīng)。

2 多?；旌峡芍貥?gòu)PUF電路設(shè)計

    研究表明，傳統(tǒng)PUF電路存在輸出響應(yīng)復(fù)雜度低和安全性不高等問題。本文綜合存儲型PUF、自選反饋的線性反饋移位寄存器和仲裁器PUF的優(yōu)勢，提出一種多?；旌峡芍貥?gòu)PUF方案，其結(jié)構(gòu)框圖如圖3所示。

    在該模型中，多?；旌峡芍貥?gòu)PUF主要包括存儲型隨機源模塊、自選反饋的線性反饋移位寄存器、串/并轉(zhuǎn)換模塊和仲裁器PUF模塊。存儲型隨機源產(chǎn)生隨機數(shù)據(jù)，并集成到自選反饋的線性反饋寄存器的自選反饋網(wǎng)絡(luò)作為反饋種子的選擇信號。自選反饋的線性反饋寄存器產(chǎn)生隨機數(shù)序列通過串/并轉(zhuǎn)換模塊輸入到仲裁器PUF的n位路徑選擇信號。

2.1 多?；旌峡芍貥?gòu)PUF單元電路設(shè)計

2.1.1 自選反饋的線性反饋移位寄存器

    線性反饋移位寄存器(Linear Feedback Shift Register，LFSR)主要是由D觸發(fā)器構(gòu)成的移位寄存器鏈和異或門構(gòu)成，其輸入數(shù)據(jù)是其先前狀態(tài)的線性函數(shù)，線性函數(shù)取決于反饋路徑。當LFSR的級數(shù)為m時，只能產(chǎn)生一種長度為2^m-1位二進制偽隨機序列。

    自選反饋LFSR由于反饋路徑是隨機選擇的，因此輸出序列是不確定的。自選反饋網(wǎng)絡(luò)的LFSR電路結(jié)構(gòu)如圖4所示，移位寄存器的并行輸出位將每級數(shù)據(jù)輸出到隨機自選反饋網(wǎng)絡(luò)，通過二級隨機選擇電路選擇反饋路徑。每個信號周期內(nèi)，自選反饋網(wǎng)絡(luò)隨機選定反饋路徑。當LFSR的級數(shù)為m時，在時鐘信號CLK的控制下能夠產(chǎn)生種長度為2^m-1的序列。

2.1.2 多?；旌峡芍貥?gòu)PUF單元電路

    多模混合可重構(gòu)PUF單元電路結(jié)構(gòu)如圖5所示，其中存儲隨機源模塊由8個存儲型隨機源組成。當WL和SAE為高電平時，陣列能夠產(chǎn)生8 bit的隨機數(shù)Q，用于自選反饋LFSR電路的反饋選擇信號Q₁~Q₈。自選反饋網(wǎng)絡(luò)通過選擇信號Q₁~Q₈選擇兩條反饋路徑取異或得到信號F，進而生成隨機序列LM。LM需要通過由D觸發(fā)器構(gòu)成的串/并轉(zhuǎn)換得到并行信號SM，輸入到仲裁器PUF傳輸路徑的選擇信號b₁~b₁₂₈。由于工藝偏差的存在IN在兩條路徑的傳輸延遲不同，使最終輸出響應(yīng)不同。自選反饋LFSR電路通過WL和SAE信號控制反饋網(wǎng)絡(luò)的重構(gòu)，提高仲裁器PUF選擇信號的隨機性。在WL和SAE為高電平時，在每個時鐘周期路徑選擇信號更新，產(chǎn)生一位隨機數(shù)。

2.2 N位多模混合可重構(gòu)PUF電路設(shè)計

    多?；旌峡芍貥?gòu)PUF電路的實際應(yīng)用需要多位輸出數(shù)據(jù)。N位多?；旌系腜UF電路由N個多模混合可重構(gòu)PUF單元電路構(gòu)成，如圖6所示。WL和SAE控制系統(tǒng)的開啟和反饋網(wǎng)絡(luò)的重構(gòu)，CLK為整個網(wǎng)絡(luò)提供同步時鐘，使系統(tǒng)實現(xiàn)連續(xù)輸出N位密鑰數(shù)據(jù)。

3 實驗結(jié)果分析

    在TSMC 65 nm CMOS工藝下，設(shè)計并驗證多?；旌峡芍貥?gòu)PUF電路功能。128位多?；旌峡芍貥?gòu)PUF電路全定制版圖如圖7(a)和圖7(b)所示。多?；旌峡芍貥?gòu)PUF單元電路版圖面積為24.00 μm×74.11 μm，128位多?；旌峡芍貥?gòu)PUF電路版圖面積為384.00 μm×590.73 μm。在1.2 V電源電壓、312 MHz工作頻率、27 ℃的環(huán)境下，電路功耗為189.04 mW。多?；旌峡芍貥?gòu)PUF電路的功能驗證如圖7（c）所示。從功能驗證圖得，多?；旌螾UF電路延遲為18.14 ns，仲裁器PUF路徑延遲為8.13 ns。由于工藝偏差的不確定性，因此電路的具體延遲會隨機波動。

3.1 多模混合可重構(gòu)PUF的特性分析

    隨機性指同一芯片PUF電路在相同激勵下，輸出響應(yīng)中0和1的均衡性。隨機性R計算公式為：

式中r為輸出響應(yīng)，P為輸出響應(yīng)中1的概率。在相同激勵下，對設(shè)計的PUF電路進行2 048次蒙特卡羅仿真，得到輸出響應(yīng)中，0的數(shù)量為985，1的數(shù)量為1 063，根據(jù)式(1)計算得電路的隨機性為96.2%。多混合PUF電路產(chǎn)生的16組128 bit密鑰如表1所示。

    唯一性是指不同芯片相同PUF電路在相同激勵下，輸出響應(yīng)間的區(qū)分度。在理想情況下，唯一性U接近50%。唯一性U的計算公式如式(2)所示：

式中，k為PUF電路的數(shù)量，R_i和R_j分別為第i和第j個PUF的輸出響應(yīng)，HD(R_i，R_j)為第i和第j個PUF的漢明距。128位多?；旌峡芍貥?gòu)PUF電路產(chǎn)生的密鑰滿足數(shù)學(xué)期望μ=65.02，標準偏差σ=6.12的正態(tài)分布如圖8所示。利用式(2)計算得多模混合可重構(gòu)PUF電路密鑰的唯一性為50.8%。

    對PUF電路輸出響應(yīng)進行自相關(guān)性分析，結(jié)果如圖9所示，自相關(guān)平均值為0，90％置信區(qū)間(Confidence Interval，CI)為±0.02，PUF電路有良好的空間獨立性。

3.2 多?；旌峡芍貥?gòu)PUF電路的安全特性分析

    針對PUF電路的機器學(xué)習(xí)攻擊，通過收集大量的激勵響應(yīng)對，建立數(shù)學(xué)模型，用于預(yù)測電路的輸出響應(yīng)。在仲裁器PUF中，每個單元的延遲可以通過一個高斯隨機變量被建模為一個獨立的同分布隨機變量。因此，對n階仲裁器PUF總延遲進行建模，攻擊模型^[4]如式(3)所示：

    本文設(shè)計的自選反饋網(wǎng)絡(luò)的線性反饋寄存器，利用SRAM PUF的輸出激勵作為反饋網(wǎng)絡(luò)的選擇信號，提高LFSR生成隨機序列，使其能夠產(chǎn)生相比LFSR多倍的信號，路徑選擇信號有更高選擇性，提高PUF電路的安全性。與相關(guān)文獻比較結(jié)果如表2所示。

4 結(jié)論

    本文通過對存儲型隨機源、自選反饋LFSR和仲裁器PUF的研究，提出一種基于線性反饋的多?；旌峡芍貥?gòu)PUF。激勵信號控制存儲型隨機源產(chǎn)生隨機數(shù)，使得無需更換硬件電路便可實現(xiàn)LFSR反饋網(wǎng)絡(luò)的隨機選擇生成隨機序列，實現(xiàn)密鑰的輸出，并且在時鐘信號的控制下，能夠連續(xù)輸出密鑰數(shù)據(jù)。在TSMC 65 nm CMOS工藝下，設(shè)計輸出128位密鑰的PUF電路版圖面積為384.00 μm×590.73 μm。實驗結(jié)果表明所設(shè)計的多模混合可重構(gòu)PUF電路實現(xiàn)了密鑰的連續(xù)輸出，隨機性達96.2%，唯一性達50.8%。與傳統(tǒng)PUF電路相比，設(shè)計的PUF電路具有良好的安全性、唯一性以及空間獨立性。

參考文獻

[1] POTKONJAK M，GOUDAR V.Public physical unclonable functions[J].Proceedings of the IEEE，2014，102(8)：1142-1156.

[2] BECKMANN K，MANEM H，CADY N C.Performance enhancement of a time-delay PUF design by utilizing integrated nanoscale RERAM devices[J].IEEE Transactions on Emerging Topics in Computing，2017，5(3)：304-316.

[3] YANAMBAKA V P，MOHANTY S P，KOUGIANOS E.Making use of manufacturing process variations：a dopingless transistor based-puf for hardware-assisted security[J].IEEE Transactions on Semiconductor Manufacturing，2018，31(2)：285-294.

[4] RUHRMAIR U，SOLTER J，SEHNKE F，et al.PUF modeling attacks on simulated and silicon data[J].IEEE Transactions on Information Forensics and Security，2013，8(11)：1876-1891.

[5] KUMAR R，BURLESON W.On design of a highly secure PUF based on non-linear current mirrors[C].IEEE International Symposium on Hardware-Oriented Security and Trust，2014：38-43.

[6] SAHOO D P，CHAKRABORTY R S，et al.Towards ideal arbiter PUF design on Xilinx FPGA：a practitioner′s perspective[C].Digital System Design，2015：559-562.

[7] 李剛，汪鵬君，張躍軍，等.基于65 nm工藝的多端口可配置PUF電路設(shè)計[J].電子與信息學(xué)報，2016，38(6)：1541-1546.

[8] KIM J，AHMED T，NILI H，et al.A physical unclonable function with redox-based nanoionic resistive memory[J].IEEE Transactions on Information Forensics and Security，2018，13(2)：437-448.

作者信息:

欒志存，張躍軍，王佳偉，潘  釗

（寧波大學(xué) 信息科學(xué)與工程學(xué)院，浙江 寧波315211）