文獻(xiàn)標(biāo)識(shí)碼: A
DOI:10.16157/j.issn.0258-7998.190531
中文引用格式: 潘畬穌,張繼軍,,張釗鋒. 一種無(wú)熵泄露的模糊提取器改進(jìn)結(jié)構(gòu)[J].電子技術(shù)應(yīng)用,,2019,45(10):96-99.
英文引用格式: Pan Shesu,,Zhang Jijun,,Zhang Zhaofeng. An improved structure of fuzzy extractor without entropy leakage[J]. Application of Electronic Technique,2019,,45(10):96-99.
0 引言
傳統(tǒng)對(duì)稱加密系統(tǒng)中,驗(yàn)證設(shè)備將密鑰信息存儲(chǔ)在如Flash等非易失性存儲(chǔ)器上,,然而這種存儲(chǔ)方式容易被讀取或惡意篡改造成安全隱患,。物理不可克隆函數(shù)(Physical Unclonable Function,PUF)利用電路在制造過(guò)程由工藝造成的差異得到的響應(yīng)生成加密信息[1],,以其不可預(yù)測(cè)性,、不可克隆性有望生成加密設(shè)備的硬件“指紋”,解決上述安全問(wèn)題,。近年來(lái)國(guó)內(nèi)外對(duì)PUF在信息安全上的應(yīng)用進(jìn)行了研究[2-4],,然而,PUF的響應(yīng)在復(fù)現(xiàn)時(shí)由于電壓溫度等原因往往會(huì)產(chǎn)生差異,,因此不能直接用來(lái)作為密鑰使用,。
針對(duì)PUF響應(yīng)的穩(wěn)定性處理,文獻(xiàn)[5]提出的擇多模塊處理方法雖然實(shí)現(xiàn)簡(jiǎn)單,,但認(rèn)證過(guò)程沒(méi)有密鑰生成,。文獻(xiàn)[6],、[7]提出了一種模糊提取器(Fuzzy Extractor,F(xiàn)E)來(lái)得到穩(wěn)定輸出,,然而這個(gè)糾正過(guò)程由于輔助數(shù)據(jù)的公開會(huì)產(chǎn)生熵泄露問(wèn)題帶來(lái)安全隱患,,文獻(xiàn)[8]、[9]等對(duì)此進(jìn)行了安全分析,。因此,,文獻(xiàn)[10]提出一種基于IBS(Index-Based Syndrome,IBS)的改進(jìn)結(jié)構(gòu),,將響應(yīng)分為長(zhǎng)度為L(zhǎng)的塊,,在注冊(cè)階段記錄每比特值為1的概率,,輔助數(shù)據(jù)發(fā)送每比特碼字在相應(yīng)塊中發(fā)生概率最高的索引值,,重現(xiàn)階段以此決定該塊所表示的取值,該方法被證明是無(wú)熵泄露的,。文獻(xiàn)[11]提出了一種VN結(jié)構(gòu),,每?jī)蓚€(gè)比特處理PUF響應(yīng)數(shù)據(jù),只使用相鄰兩比特取值不同時(shí)的響應(yīng)值得到無(wú)偏置的效果,,從而解決熵泄露問(wèn)題,。然而,這些方法都以舍棄一定的PUF位來(lái)減小熵泄露問(wèn)題,,增加了所需的PUF大小,,當(dāng)設(shè)備資源受限時(shí)這個(gè)因素會(huì)帶來(lái)較大負(fù)擔(dān),。
本文通過(guò)對(duì)傳統(tǒng)FE的熵泄露問(wèn)題進(jìn)行分析,,提出了給PUF響應(yīng)加入一種人工噪聲通道的改進(jìn)FE結(jié)構(gòu),,并以SRAM PUF為應(yīng)用背景與其他方法進(jìn)行比較,,表明在PUF大小使用和密鑰生成成功率上有一定改善,。
1 傳統(tǒng)模糊提取器
模糊提取器FE的思想是將有微小變化的數(shù)據(jù)通過(guò)處理進(jìn)行糾正得到穩(wěn)定輸出,,通常由兩個(gè)階段構(gòu)成:(1)注冊(cè)階段(enrollment),;(2)重現(xiàn)階段(reconstruction),,結(jié)構(gòu)如圖1所示[6],。
(1)注冊(cè)階段:
①隨機(jī)數(shù)發(fā)生器產(chǎn)生隨機(jī)數(shù)種子,,得到比特串S∈{0,1},。
②S進(jìn)行KDF運(yùn)算后得到分布均勻的密鑰K,。
③同時(shí)利用糾錯(cuò)碼(例如BCH碼等)對(duì)S進(jìn)行Gen()編碼生成碼字C,將C與PUF響應(yīng)R進(jìn)行異或運(yùn)算得到輔助數(shù)據(jù)W,。
(2)重現(xiàn)階段:
①輔助數(shù)據(jù)W與帶噪的PUF響應(yīng)R′進(jìn)行異或生成C′,。
②C′經(jīng)過(guò)相應(yīng)Rep()譯碼恢復(fù)出隨機(jī)數(shù)種子S。
③對(duì)恢復(fù)的隨機(jī)數(shù)種子S進(jìn)行與注冊(cè)階段一致的KDF函數(shù)生成共享密鑰K,。
在這個(gè)過(guò)程中,,只要R′與R的漢明距離足夠小,,滿足dis(R,R′)≤t,,就可以通過(guò)相應(yīng)糾錯(cuò)編碼算法得到原始隨機(jī)數(shù)種子S,,最終生成共享密鑰。
2 改進(jìn)的模糊提取器
上述FE結(jié)構(gòu)由于服務(wù)器和待驗(yàn)證設(shè)備需要利用輔助數(shù)據(jù)W完成重現(xiàn),,而在通信過(guò)程中W對(duì)于外界是完全透明的,,攻擊者可能通過(guò)對(duì)輔助數(shù)據(jù)W的抓取分析得到有關(guān)隨機(jī)數(shù)種子S的信息進(jìn)而破解密鑰。
令PUF 響應(yīng)R∈{0,,1}n,,n為響應(yīng)長(zhǎng)度。為簡(jiǎn)化分析假設(shè)響應(yīng)R的每比特值服從Ri~(pb,,1-pb)分布,,其中Pr[Ri=1]=pb,當(dāng)響應(yīng)值出現(xiàn)0和1的概率相同(即pb=0.5)時(shí),,認(rèn)為該響應(yīng)值是無(wú)偏的,。S是隨機(jī)數(shù)種子,因此看作是滿熵的,,即H(S)=length(S)=k,。采用互信息I(S;W)表示S與W之間的關(guān)系強(qiáng)弱,,如式(1)所示:
由此可知,,當(dāng)h(pb)≠1時(shí)暴露輔助數(shù)據(jù)W會(huì)減小密鑰的熵。而通常情況下PUF響應(yīng)值往往是存在偏置的,,因此上述模糊提取器在應(yīng)用時(shí)需要進(jìn)行改進(jìn)以解決熵泄露問(wèn)題,。
從上述分析可知,PUF響應(yīng)值pb≠0.5使得輔助數(shù)據(jù)W的公開帶來(lái)熵泄露,,因此本文提出在注冊(cè)階段通過(guò)給響應(yīng)值R加一個(gè)人工噪聲通道使得與碼字C異或的修正數(shù)據(jù)R″偏置p′b=0.5,。改進(jìn)后注冊(cè)階段的模糊提取器結(jié)構(gòu)如圖2所示。
圖3為在不同PUF響應(yīng)的平均錯(cuò)誤率e下C″的錯(cuò)誤率ε與偏置pb的關(guān)系,。由圖可以看出,,當(dāng)偏置pb與0.5偏差較小時(shí),人工噪聲帶來(lái)的錯(cuò)誤率增加量也較小,。
3 結(jié)果分析
為將本文提出改進(jìn)的模糊提取器與其他文獻(xiàn)進(jìn)行對(duì)比,,采用pb=0.54、e=0.10的SRAM PUF生成128 bit密鑰作為應(yīng)用背景,。為降低計(jì)算復(fù)雜度,,系統(tǒng)采用重復(fù)編碼(Rep)作為內(nèi)碼以及BCH碼作為外碼。表1為本文所提EF與傳統(tǒng)EF,、基于C-IBS和VN EF的性能比較,。其中,,block數(shù)量L表示所需的BCH(n,k,,t)塊個(gè)數(shù),,取值等于128/k,本文改進(jìn)后EF的密鑰生成失敗率計(jì)算如下:
式中,,p為重復(fù)碼譯碼后的錯(cuò)誤率,,p′為BCH碼譯碼后的錯(cuò)誤率,pfail為L(zhǎng)個(gè)塊后的最終失敗率,。
從表1中可以看出,,傳統(tǒng)FE存在較大的熵泄露問(wèn)題。本文方法與基于C-IBS的模糊提取器相比,,在同等SRAM PUF大小條件下所能達(dá)到的密鑰失敗率低了兩個(gè)量級(jí),,與VN FE相比無(wú)論從成功率和所需SRAM PUF大小上來(lái)說(shuō)都有一定改善。而且,,本文提出的方法只需修改注冊(cè)階段的輔助數(shù)據(jù)生成過(guò)程,,當(dāng)服務(wù)器等資源計(jì)算力受限較小的設(shè)備負(fù)責(zé)完成注冊(cè)過(guò)程時(shí),不會(huì)增加待驗(yàn)證設(shè)備的計(jì)算負(fù)擔(dān),。
4 結(jié)論
本文對(duì)傳統(tǒng)模糊提取器結(jié)構(gòu)的熵泄露問(wèn)題進(jìn)行了分析,并以此提出通過(guò)給PUF響應(yīng)加入人工噪聲通道以減小偏置,,解決因輔助數(shù)據(jù)公開導(dǎo)致的熵泄露問(wèn)題,,與其他方法相比在PUF大小和密鑰生成成功率上都有一定改善,且不會(huì)給工作于重現(xiàn)階段的資源受限設(shè)備帶來(lái)額外操作。下一步可以研究提高糾錯(cuò)效率的方法,,減小因引入人工噪聲通道帶來(lái)的錯(cuò)誤率增加的影響,。
參考文獻(xiàn)
[1] RUHRMAIR U,HOLCOMB D E.PUFs at a glance[C].Design,,Automation and Test in Europe Conference and Exhibition(DATE).Dresden,,Germany,2014:1-6.
[2] 吳縉,,徐金甫.基于PUF的可信根及可信計(jì)算平臺(tái)架構(gòu)設(shè)計(jì)[J].電子技術(shù)應(yīng)用,,2018,44(9):34-38.
[3] SUTAR S,,RAHA A,,RAGHUNATHAN V.Memory-based combination PUFs for device authentica-tion in embedded systems[J].IEEE Transactions on Multi-Scale Computing Systems,2018,,4(4):793-810.
[4] 周恩輝,,劉雅娜.基于物理不可克隆函數(shù)的高性能RFID網(wǎng)絡(luò)隱私保護(hù)算法[J].電子技術(shù)應(yīng)用,2016,,42(3):98-101.
[5] 劉偉強(qiáng),,崔益軍,,王成華.一種低成本物理不可克隆函數(shù)結(jié)構(gòu)的設(shè)計(jì)實(shí)現(xiàn)及其RFID應(yīng)用[J].電子學(xué)報(bào),2016,,44(7):1772-1776.
[6] DODIS Y,,OSTROVSKY R,REYZIN L,,et al.Fuzzy extractors:how to generate strong keys from biometrics and other noisy data[J].SIAM Journal on Computing,,2008,38(1):97-139.
[7] MAES R,,HERREWEGE A V,,VERBAUWHEDE I.PUFKY:a fully functional PUF-based cryptographic key generator[C].International Workshop on Cryptographic Hardware and Embedded Systems.Springer,Berlin,,Heidelberg,,2012.
[8] ANDRE S,TARAS S,,BORIS S,,et al.Eliminating leakage in reverse fuzzy extractors[J].IEEE Transactions on Information Forensics and Security,2018,,13(4):954-964.
[9] 萬(wàn)超.基于PUF的零信息泄露的安全概略的設(shè)計(jì)與實(shí)現(xiàn)[D].成都:電子科技大學(xué),,2018.
[10] YU M D,DEVADAS S.Secure and robust error correction for physical unclonable functions[J].IEEE Design & Test of Computers,,2010,,27(1):48-65.
[11] MAES R,LEEST V V D,,SLUIS E V D,,et al.Secure key generation from biased PUFs[M].Cryptographic Hardware and Embedded Systems--CHES 2015.Springer Berlin Heidelberg,2015.
[12] MATTHIAS H,,MERLI D,,STUMPF F,et al.Complementary IBS:application specific error correction for PUFs[C].IEEE International Symposium on Hardware-oriented Security & Trust.IEEE,,2012.
作者信息:
潘畬穌1,,2, 張繼軍1,張釗鋒2
(1.上海大學(xué) 材料科學(xué)與工程學(xué)院,,上海201900,;2.中國(guó)科學(xué)院上海高等研究院,上海200120)