0 引言

    傳統(tǒng)對稱加密系統(tǒng)中，驗證設(shè)備將密鑰信息存儲在如Flash等非易失性存儲器上,，然而這種存儲方式容易被讀取或惡意篡改造成安全隱患,。物理不可克隆函數(shù)(Physical Unclonable Function，PUF)利用電路在制造過程由工藝造成的差異得到的響應(yīng)生成加密信息^[1],，以其不可預(yù)測性,、不可克隆性有望生成加密設(shè)備的硬件“指紋”，解決上述安全問題,。近年來國內(nèi)外對PUF在信息安全上的應(yīng)用進(jìn)行了研究^[2-4],，然而，PUF的響應(yīng)在復(fù)現(xiàn)時由于電壓溫度等原因往往會產(chǎn)生差異,，因此不能直接用來作為密鑰使用,。

    針對PUF響應(yīng)的穩(wěn)定性處理，文獻(xiàn)[5]提出的擇多模塊處理方法雖然實現(xiàn)簡單,，但認(rèn)證過程沒有密鑰生成,。文獻(xiàn)[6]、[7]提出了一種模糊提取器(Fuzzy Extractor,，F(xiàn)E)來得到穩(wěn)定輸出,，然而這個糾正過程由于輔助數(shù)據(jù)的公開會產(chǎn)生熵泄露問題帶來安全隱患，文獻(xiàn)[8],、[9]等對此進(jìn)行了安全分析,。因此，文獻(xiàn)[10]提出一種基于IBS(Index-Based Syndrome,，IBS)的改進(jìn)結(jié)構(gòu),，將響應(yīng)分為長度為L的塊，在注冊階段記錄每比特值為1的概率,，輔助數(shù)據(jù)發(fā)送每比特碼字在相應(yīng)塊中發(fā)生概率最高的索引值,，重現(xiàn)階段以此決定該塊所表示的取值，該方法被證明是無熵泄露的,。文獻(xiàn)[11]提出了一種VN結(jié)構(gòu),，每兩個比特處理PUF響應(yīng)數(shù)據(jù)，只使用相鄰兩比特取值不同時的響應(yīng)值得到無偏置的效果,，從而解決熵泄露問題,。然而,，這些方法都以舍棄一定的PUF位來減小熵泄露問題，增加了所需的PUF大小,，當(dāng)設(shè)備資源受限時這個因素會帶來較大負(fù)擔(dān),。

    本文通過對傳統(tǒng)FE的熵泄露問題進(jìn)行分析，提出了給PUF響應(yīng)加入一種人工噪聲通道的改進(jìn)FE結(jié)構(gòu),，并以SRAM PUF為應(yīng)用背景與其他方法進(jìn)行比較,，表明在PUF大小使用和密鑰生成成功率上有一定改善。

1 傳統(tǒng)模糊提取器

    模糊提取器FE的思想是將有微小變化的數(shù)據(jù)通過處理進(jìn)行糾正得到穩(wěn)定輸出,，通常由兩個階段構(gòu)成：(1)注冊階段(enrollment),；(2)重現(xiàn)階段(reconstruction)，結(jié)構(gòu)如圖1所示^[6],。

    (1)注冊階段：

    ①隨機數(shù)發(fā)生器產(chǎn)生隨機數(shù)種子,，得到比特串S∈{0，1},。

    ②S進(jìn)行KDF運算后得到分布均勻的密鑰K,。

    ③同時利用糾錯碼(例如BCH碼等)對S進(jìn)行Gen()編碼生成碼字C，將C與PUF響應(yīng)R進(jìn)行異或運算得到輔助數(shù)據(jù)W,。

    (2)重現(xiàn)階段：

    ①輔助數(shù)據(jù)W與帶噪的PUF響應(yīng)R′進(jìn)行異或生成C′,。

    ②C′經(jīng)過相應(yīng)Rep()譯碼恢復(fù)出隨機數(shù)種子S。

    ③對恢復(fù)的隨機數(shù)種子S進(jìn)行與注冊階段一致的KDF函數(shù)生成共享密鑰K,。

    在這個過程中,，只要R′與R的漢明距離足夠小，滿足dis(R,，R′)≤t,，就可以通過相應(yīng)糾錯編碼算法得到原始隨機數(shù)種子S，最終生成共享密鑰,。

2 改進(jìn)的模糊提取器

    上述FE結(jié)構(gòu)由于服務(wù)器和待驗證設(shè)備需要利用輔助數(shù)據(jù)W完成重現(xiàn),，而在通信過程中W對于外界是完全透明的，攻擊者可能通過對輔助數(shù)據(jù)W的抓取分析得到有關(guān)隨機數(shù)種子S的信息進(jìn)而破解密鑰,。

    令PUF 響應(yīng)R∈{0,，1}ⁿ，n為響應(yīng)長度,。為簡化分析假設(shè)響應(yīng)R的每比特值服從R_i～(p_b,，1-p_b)分布，其中Pr[R_i=1]=p_b,，當(dāng)響應(yīng)值出現(xiàn)0和1的概率相同(即p_b=0.5)時,，認(rèn)為該響應(yīng)值是無偏的。S是隨機數(shù)種子,，因此看作是滿熵的,，即H(S)=length(S)=k,。采用互信息I(S；W)表示S與W之間的關(guān)系強弱,，如式(1)所示：

    由此可知,，當(dāng)h(p_b)≠1時暴露輔助數(shù)據(jù)W會減小密鑰的熵。而通常情況下PUF響應(yīng)值往往是存在偏置的,，因此上述模糊提取器在應(yīng)用時需要進(jìn)行改進(jìn)以解決熵泄露問題。

    從上述分析可知,，PUF響應(yīng)值p_b≠0.5使得輔助數(shù)據(jù)W的公開帶來熵泄露,，因此本文提出在注冊階段通過給響應(yīng)值R加一個人工噪聲通道使得與碼字C異或的修正數(shù)據(jù)R″偏置p′_b=0.5。改進(jìn)后注冊階段的模糊提取器結(jié)構(gòu)如圖2所示,。

    圖3為在不同PUF響應(yīng)的平均錯誤率e下C″的錯誤率ε與偏置p_b的關(guān)系,。由圖可以看出，當(dāng)偏置p_b與0.5偏差較小時,，人工噪聲帶來的錯誤率增加量也較小,。

3 結(jié)果分析

    為將本文提出改進(jìn)的模糊提取器與其他文獻(xiàn)進(jìn)行對比，采用p_b=0.54,、e=0.10的SRAM PUF生成128 bit密鑰作為應(yīng)用背景,。為降低計算復(fù)雜度，系統(tǒng)采用重復(fù)編碼(Rep)作為內(nèi)碼以及BCH碼作為外碼,。表1為本文所提EF與傳統(tǒng)EF,、基于C-IBS和VN EF的性能比較。其中,，block數(shù)量L表示所需的BCH(n,，k，t)塊個數(shù),，取值等于128/k,，本文改進(jìn)后EF的密鑰生成失敗率計算如下：

式中，p為重復(fù)碼譯碼后的錯誤率,，p′為BCH碼譯碼后的錯誤率,，p_fail為L個塊后的最終失敗率。

    從表1中可以看出,，傳統(tǒng)FE存在較大的熵泄露問題,。本文方法與基于C-IBS的模糊提取器相比，在同等SRAM PUF大小條件下所能達(dá)到的密鑰失敗率低了兩個量級,，與VN FE相比無論從成功率和所需SRAM PUF大小上來說都有一定改善,。而且，本文提出的方法只需修改注冊階段的輔助數(shù)據(jù)生成過程,，當(dāng)服務(wù)器等資源計算力受限較小的設(shè)備負(fù)責(zé)完成注冊過程時,，不會增加待驗證設(shè)備的計算負(fù)擔(dān),。

4 結(jié)論

    本文對傳統(tǒng)模糊提取器結(jié)構(gòu)的熵泄露問題進(jìn)行了分析，并以此提出通過給PUF響應(yīng)加入人工噪聲通道以減小偏置,，解決因輔助數(shù)據(jù)公開導(dǎo)致的熵泄露問題,，與其他方法相比在PUF大小和密鑰生成成功率上都有一定改善,且不會給工作于重現(xiàn)階段的資源受限設(shè)備帶來額外操作。下一步可以研究提高糾錯效率的方法,，減小因引入人工噪聲通道帶來的錯誤率增加的影響,。

參考文獻(xiàn)

[1] RUHRMAIR U，HOLCOMB D E.PUFs at a glance[C].Design,，Automation and Test in Europe Conference and Exhibition(DATE).Dresden,，Germany，2014：1-6.

[2] 吳縉,，徐金甫.基于PUF的可信根及可信計算平臺架構(gòu)設(shè)計[J].電子技術(shù)應(yīng)用,，2018，44(9)：34-38.

[3] SUTAR S,，RAHA A,，RAGHUNATHAN V.Memory-based combination PUFs for device authentica-tion in embedded systems[J].IEEE Transactions on Multi-Scale Computing Systems，2018,，4(4)：793-810.

[4] 周恩輝,，劉雅娜.基于物理不可克隆函數(shù)的高性能RFID網(wǎng)絡(luò)隱私保護(hù)算法[J].電子技術(shù)應(yīng)用，2016,，42(3)：98-101.

[5] 劉偉強,，崔益軍，王成華.一種低成本物理不可克隆函數(shù)結(jié)構(gòu)的設(shè)計實現(xiàn)及其RFID應(yīng)用[J].電子學(xué)報,，2016,，44(7)：1772-1776.

[6] DODIS Y，OSTROVSKY R,，REYZIN L,，et al.Fuzzy extractors：how to generate strong keys from biometrics and other noisy data[J].SIAM Journal on Computing，2008,，38(1)：97-139.

[7] MAES R,，HERREWEGE A V，VERBAUWHEDE I.PUFKY：a fully functional PUF-based cryptographic key generator[C].International Workshop on Cryptographic Hardware and Embedded Systems.Springer,，Berlin,，Heidelberg，2012.

[8] ANDRE S,，TARAS S,，BORIS S，et al.Eliminating leakage in reverse fuzzy extractors[J].IEEE Transactions on Information Forensics and Security，2018,，13(4)：954-964.

[9] 萬超.基于PUF的零信息泄露的安全概略的設(shè)計與實現(xiàn)[D].成都：電子科技大學(xué),，2018.

[10] YU M D，DEVADAS S.Secure and robust error correction for physical unclonable functions[J].IEEE Design & Test of Computers,，2010,，27(1)：48-65.

[11] MAES R，LEEST V V D,，SLUIS E V D,，et al.Secure key generation from biased PUFs[M].Cryptographic Hardware and Embedded Systems--CHES 2015.Springer Berlin Heidelberg，2015.

[12] MATTHIAS H,，MERLI D,，STUMPF F，et al.Complementary IBS：application specific error correction for PUFs[C].IEEE International Symposium on Hardware-oriented Security & Trust.IEEE,，2012.

作者信息：

潘畬穌1，2, 張繼軍1,，張釗鋒2

(1.上海大學(xué) 材料科學(xué)與工程學(xué)院,，上海201900；2.中國科學(xué)院上海高等研究院,，上海200120)