0 引言

    傳統(tǒng)對稱加密系統(tǒng)中，驗證設(shè)備將密鑰信息存儲在如Flash等非易失性存儲器上，然而這種存儲方式容易被讀取或惡意篡改造成安全隱患。物理不可克隆函數(shù)(Physical Unclonable Function，PUF)利用電路在制造過程由工藝造成的差異得到的響應(yīng)生成加密信息^[1]，以其不可預(yù)測性、不可克隆性有望生成加密設(shè)備的硬件“指紋”，解決上述安全問題。近年來國內(nèi)外對PUF在信息安全上的應(yīng)用進行了研究^[2-4]，然而，PUF的響應(yīng)在復(fù)現(xiàn)時由于電壓溫度等原因往往會產(chǎn)生差異，因此不能直接用來作為密鑰使用。

    針對PUF響應(yīng)的穩(wěn)定性處理，文獻[5]提出的擇多模塊處理方法雖然實現(xiàn)簡單，但認(rèn)證過程沒有密鑰生成。文獻[6]、[7]提出了一種模糊提取器(Fuzzy Extractor，F(xiàn)E)來得到穩(wěn)定輸出，然而這個糾正過程由于輔助數(shù)據(jù)的公開會產(chǎn)生熵泄露問題帶來安全隱患，文獻[8]、[9]等對此進行了安全分析。因此，文獻[10]提出一種基于IBS(Index-Based Syndrome，IBS)的改進結(jié)構(gòu)，將響應(yīng)分為長度為L的塊，在注冊階段記錄每比特值為1的概率，輔助數(shù)據(jù)發(fā)送每比特碼字在相應(yīng)塊中發(fā)生概率最高的索引值，重現(xiàn)階段以此決定該塊所表示的取值，該方法被證明是無熵泄露的。文獻[11]提出了一種VN結(jié)構(gòu)，每兩個比特處理PUF響應(yīng)數(shù)據(jù)，只使用相鄰兩比特取值不同時的響應(yīng)值得到無偏置的效果，從而解決熵泄露問題。然而，這些方法都以舍棄一定的PUF位來減小熵泄露問題，增加了所需的PUF大小，當(dāng)設(shè)備資源受限時這個因素會帶來較大負(fù)擔(dān)。

    本文通過對傳統(tǒng)FE的熵泄露問題進行分析，提出了給PUF響應(yīng)加入一種人工噪聲通道的改進FE結(jié)構(gòu)，并以SRAM PUF為應(yīng)用背景與其他方法進行比較，表明在PUF大小使用和密鑰生成成功率上有一定改善。

1 傳統(tǒng)模糊提取器

    模糊提取器FE的思想是將有微小變化的數(shù)據(jù)通過處理進行糾正得到穩(wěn)定輸出，通常由兩個階段構(gòu)成：(1)注冊階段(enrollment)；(2)重現(xiàn)階段(reconstruction)，結(jié)構(gòu)如圖1所示^[6]。

    (1)注冊階段：

    ①隨機數(shù)發(fā)生器產(chǎn)生隨機數(shù)種子，得到比特串S∈{0，1}。

    ②S進行KDF運算后得到分布均勻的密鑰K。

    ③同時利用糾錯碼(例如BCH碼等)對S進行Gen()編碼生成碼字C，將C與PUF響應(yīng)R進行異或運算得到輔助數(shù)據(jù)W。

    (2)重現(xiàn)階段：

    ①輔助數(shù)據(jù)W與帶噪的PUF響應(yīng)R′進行異或生成C′。

    ②C′經(jīng)過相應(yīng)Rep()譯碼恢復(fù)出隨機數(shù)種子S。

    ③對恢復(fù)的隨機數(shù)種子S進行與注冊階段一致的KDF函數(shù)生成共享密鑰K。

    在這個過程中，只要R′與R的漢明距離足夠小，滿足dis(R，R′)≤t，就可以通過相應(yīng)糾錯編碼算法得到原始隨機數(shù)種子S，最終生成共享密鑰。

2 改進的模糊提取器

    上述FE結(jié)構(gòu)由于服務(wù)器和待驗證設(shè)備需要利用輔助數(shù)據(jù)W完成重現(xiàn)，而在通信過程中W對于外界是完全透明的，攻擊者可能通過對輔助數(shù)據(jù)W的抓取分析得到有關(guān)隨機數(shù)種子S的信息進而破解密鑰。

    令PUF 響應(yīng)R∈{0，1}ⁿ，n為響應(yīng)長度。為簡化分析假設(shè)響應(yīng)R的每比特值服從R_i～(p_b，1-p_b)分布，其中Pr[R_i=1]=p_b，當(dāng)響應(yīng)值出現(xiàn)0和1的概率相同(即p_b=0.5)時，認(rèn)為該響應(yīng)值是無偏的。S是隨機數(shù)種子，因此看作是滿熵的，即H(S)=length(S)=k。采用互信息I(S；W)表示S與W之間的關(guān)系強弱，如式(1)所示：

    由此可知，當(dāng)h(p_b)≠1時暴露輔助數(shù)據(jù)W會減小密鑰的熵。而通常情況下PUF響應(yīng)值往往是存在偏置的，因此上述模糊提取器在應(yīng)用時需要進行改進以解決熵泄露問題。

    從上述分析可知，PUF響應(yīng)值p_b≠0.5使得輔助數(shù)據(jù)W的公開帶來熵泄露，因此本文提出在注冊階段通過給響應(yīng)值R加一個人工噪聲通道使得與碼字C異或的修正數(shù)據(jù)R″偏置p′_b=0.5。改進后注冊階段的模糊提取器結(jié)構(gòu)如圖2所示。

    圖3為在不同PUF響應(yīng)的平均錯誤率e下C″的錯誤率ε與偏置p_b的關(guān)系。由圖可以看出，當(dāng)偏置p_b與0.5偏差較小時，人工噪聲帶來的錯誤率增加量也較小。

3 結(jié)果分析

    為將本文提出改進的模糊提取器與其他文獻進行對比，采用p_b=0.54、e=0.10的SRAM PUF生成128 bit密鑰作為應(yīng)用背景。為降低計算復(fù)雜度，系統(tǒng)采用重復(fù)編碼(Rep)作為內(nèi)碼以及BCH碼作為外碼。表1為本文所提EF與傳統(tǒng)EF、基于C-IBS和VN EF的性能比較。其中，block數(shù)量L表示所需的BCH(n，k，t)塊個數(shù)，取值等于128/k，本文改進后EF的密鑰生成失敗率計算如下：

式中，p為重復(fù)碼譯碼后的錯誤率，p′為BCH碼譯碼后的錯誤率，p_fail為L個塊后的最終失敗率。

    從表1中可以看出，傳統(tǒng)FE存在較大的熵泄露問題。本文方法與基于C-IBS的模糊提取器相比，在同等SRAM PUF大小條件下所能達到的密鑰失敗率低了兩個量級，與VN FE相比無論從成功率和所需SRAM PUF大小上來說都有一定改善。而且，本文提出的方法只需修改注冊階段的輔助數(shù)據(jù)生成過程，當(dāng)服務(wù)器等資源計算力受限較小的設(shè)備負(fù)責(zé)完成注冊過程時，不會增加待驗證設(shè)備的計算負(fù)擔(dān)。

4 結(jié)論

    本文對傳統(tǒng)模糊提取器結(jié)構(gòu)的熵泄露問題進行了分析，并以此提出通過給PUF響應(yīng)加入人工噪聲通道以減小偏置，解決因輔助數(shù)據(jù)公開導(dǎo)致的熵泄露問題，與其他方法相比在PUF大小和密鑰生成成功率上都有一定改善,且不會給工作于重現(xiàn)階段的資源受限設(shè)備帶來額外操作。下一步可以研究提高糾錯效率的方法，減小因引入人工噪聲通道帶來的錯誤率增加的影響。

參考文獻

[1] RUHRMAIR U，HOLCOMB D E.PUFs at a glance[C].Design，Automation and Test in Europe Conference and Exhibition(DATE).Dresden，Germany，2014：1-6.

[2] 吳縉，徐金甫.基于PUF的可信根及可信計算平臺架構(gòu)設(shè)計[J].電子技術(shù)應(yīng)用，2018，44(9)：34-38.

[3] SUTAR S，RAHA A，RAGHUNATHAN V.Memory-based combination PUFs for device authentica-tion in embedded systems[J].IEEE Transactions on Multi-Scale Computing Systems，2018，4(4)：793-810.

[4] 周恩輝，劉雅娜.基于物理不可克隆函數(shù)的高性能RFID網(wǎng)絡(luò)隱私保護算法[J].電子技術(shù)應(yīng)用，2016，42(3)：98-101.

[5] 劉偉強，崔益軍，王成華.一種低成本物理不可克隆函數(shù)結(jié)構(gòu)的設(shè)計實現(xiàn)及其RFID應(yīng)用[J].電子學(xué)報，2016，44(7)：1772-1776.

[6] DODIS Y，OSTROVSKY R，REYZIN L，et al.Fuzzy extractors：how to generate strong keys from biometrics and other noisy data[J].SIAM Journal on Computing，2008，38(1)：97-139.

[7] MAES R，HERREWEGE A V，VERBAUWHEDE I.PUFKY：a fully functional PUF-based cryptographic key generator[C].International Workshop on Cryptographic Hardware and Embedded Systems.Springer，Berlin，Heidelberg，2012.

[8] ANDRE S，TARAS S，BORIS S，et al.Eliminating leakage in reverse fuzzy extractors[J].IEEE Transactions on Information Forensics and Security，2018，13(4)：954-964.

[9] 萬超.基于PUF的零信息泄露的安全概略的設(shè)計與實現(xiàn)[D].成都：電子科技大學(xué)，2018.

[10] YU M D，DEVADAS S.Secure and robust error correction for physical unclonable functions[J].IEEE Design & Test of Computers，2010，27(1)：48-65.

[11] MAES R，LEEST V V D，SLUIS E V D，et al.Secure key generation from biased PUFs[M].Cryptographic Hardware and Embedded Systems--CHES 2015.Springer Berlin Heidelberg，2015.

[12] MATTHIAS H，MERLI D，STUMPF F，et al.Complementary IBS：application specific error correction for PUFs[C].IEEE International Symposium on Hardware-oriented Security & Trust.IEEE，2012.

作者信息：

潘畬穌1，2, 張繼軍1，張釗鋒2

(1.上海大學(xué) 材料科學(xué)與工程學(xué)院，上海201900；2.中國科學(xué)院上海高等研究院，上海200120)