0 引言

    傳統(tǒng)對(duì)稱加密系統(tǒng)中，驗(yàn)證設(shè)備將密鑰信息存儲(chǔ)在如Flash等非易失性存儲(chǔ)器上，然而這種存儲(chǔ)方式容易被讀取或惡意篡改造成安全隱患。物理不可克隆函數(shù)(Physical Unclonable Function，PUF)利用電路在制造過程由工藝造成的差異得到的響應(yīng)生成加密信息^[1]，以其不可預(yù)測(cè)性、不可克隆性有望生成加密設(shè)備的硬件“指紋”，解決上述安全問題。近年來國(guó)內(nèi)外對(duì)PUF在信息安全上的應(yīng)用進(jìn)行了研究^[2-4]，然而，PUF的響應(yīng)在復(fù)現(xiàn)時(shí)由于電壓溫度等原因往往會(huì)產(chǎn)生差異，因此不能直接用來作為密鑰使用。

    針對(duì)PUF響應(yīng)的穩(wěn)定性處理，文獻(xiàn)[5]提出的擇多模塊處理方法雖然實(shí)現(xiàn)簡(jiǎn)單，但認(rèn)證過程沒有密鑰生成。文獻(xiàn)[6]、[7]提出了一種模糊提取器(Fuzzy Extractor，F(xiàn)E)來得到穩(wěn)定輸出，然而這個(gè)糾正過程由于輔助數(shù)據(jù)的公開會(huì)產(chǎn)生熵泄露問題帶來安全隱患，文獻(xiàn)[8]、[9]等對(duì)此進(jìn)行了安全分析。因此，文獻(xiàn)[10]提出一種基于IBS(Index-Based Syndrome，IBS)的改進(jìn)結(jié)構(gòu)，將響應(yīng)分為長(zhǎng)度為L(zhǎng)的塊，在注冊(cè)階段記錄每比特值為1的概率，輔助數(shù)據(jù)發(fā)送每比特碼字在相應(yīng)塊中發(fā)生概率最高的索引值，重現(xiàn)階段以此決定該塊所表示的取值，該方法被證明是無熵泄露的。文獻(xiàn)[11]提出了一種VN結(jié)構(gòu)，每?jī)蓚€(gè)比特處理PUF響應(yīng)數(shù)據(jù)，只使用相鄰兩比特取值不同時(shí)的響應(yīng)值得到無偏置的效果，從而解決熵泄露問題。然而，這些方法都以舍棄一定的PUF位來減小熵泄露問題，增加了所需的PUF大小，當(dāng)設(shè)備資源受限時(shí)這個(gè)因素會(huì)帶來較大負(fù)擔(dān)。

    本文通過對(duì)傳統(tǒng)FE的熵泄露問題進(jìn)行分析，提出了給PUF響應(yīng)加入一種人工噪聲通道的改進(jìn)FE結(jié)構(gòu)，并以SRAM PUF為應(yīng)用背景與其他方法進(jìn)行比較，表明在PUF大小使用和密鑰生成成功率上有一定改善。

1 傳統(tǒng)模糊提取器

    模糊提取器FE的思想是將有微小變化的數(shù)據(jù)通過處理進(jìn)行糾正得到穩(wěn)定輸出，通常由兩個(gè)階段構(gòu)成：(1)注冊(cè)階段(enrollment)；(2)重現(xiàn)階段(reconstruction)，結(jié)構(gòu)如圖1所示^[6]。

    (1)注冊(cè)階段：

    ①隨機(jī)數(shù)發(fā)生器產(chǎn)生隨機(jī)數(shù)種子，得到比特串S∈{0，1}。

    ②S進(jìn)行KDF運(yùn)算后得到分布均勻的密鑰K。

    ③同時(shí)利用糾錯(cuò)碼(例如BCH碼等)對(duì)S進(jìn)行Gen()編碼生成碼字C，將C與PUF響應(yīng)R進(jìn)行異或運(yùn)算得到輔助數(shù)據(jù)W。

    (2)重現(xiàn)階段：

    ①輔助數(shù)據(jù)W與帶噪的PUF響應(yīng)R′進(jìn)行異或生成C′。

    ②C′經(jīng)過相應(yīng)Rep()譯碼恢復(fù)出隨機(jī)數(shù)種子S。

    ③對(duì)恢復(fù)的隨機(jī)數(shù)種子S進(jìn)行與注冊(cè)階段一致的KDF函數(shù)生成共享密鑰K。

    在這個(gè)過程中，只要R′與R的漢明距離足夠小，滿足dis(R，R′)≤t，就可以通過相應(yīng)糾錯(cuò)編碼算法得到原始隨機(jī)數(shù)種子S，最終生成共享密鑰。

2 改進(jìn)的模糊提取器

    上述FE結(jié)構(gòu)由于服務(wù)器和待驗(yàn)證設(shè)備需要利用輔助數(shù)據(jù)W完成重現(xiàn)，而在通信過程中W對(duì)于外界是完全透明的，攻擊者可能通過對(duì)輔助數(shù)據(jù)W的抓取分析得到有關(guān)隨機(jī)數(shù)種子S的信息進(jìn)而破解密鑰。

    令PUF 響應(yīng)R∈{0，1}ⁿ，n為響應(yīng)長(zhǎng)度。為簡(jiǎn)化分析假設(shè)響應(yīng)R的每比特值服從R_i～(p_b，1-p_b)分布，其中Pr[R_i=1]=p_b，當(dāng)響應(yīng)值出現(xiàn)0和1的概率相同(即p_b=0.5)時(shí)，認(rèn)為該響應(yīng)值是無偏的。S是隨機(jī)數(shù)種子，因此看作是滿熵的，即H(S)=length(S)=k。采用互信息I(S；W)表示S與W之間的關(guān)系強(qiáng)弱，如式(1)所示：

    由此可知，當(dāng)h(p_b)≠1時(shí)暴露輔助數(shù)據(jù)W會(huì)減小密鑰的熵。而通常情況下PUF響應(yīng)值往往是存在偏置的，因此上述模糊提取器在應(yīng)用時(shí)需要進(jìn)行改進(jìn)以解決熵泄露問題。

    從上述分析可知，PUF響應(yīng)值p_b≠0.5使得輔助數(shù)據(jù)W的公開帶來熵泄露，因此本文提出在注冊(cè)階段通過給響應(yīng)值R加一個(gè)人工噪聲通道使得與碼字C異或的修正數(shù)據(jù)R″偏置p′_b=0.5。改進(jìn)后注冊(cè)階段的模糊提取器結(jié)構(gòu)如圖2所示。

    圖3為在不同PUF響應(yīng)的平均錯(cuò)誤率e下C″的錯(cuò)誤率ε與偏置p_b的關(guān)系。由圖可以看出，當(dāng)偏置p_b與0.5偏差較小時(shí)，人工噪聲帶來的錯(cuò)誤率增加量也較小。

3 結(jié)果分析

    為將本文提出改進(jìn)的模糊提取器與其他文獻(xiàn)進(jìn)行對(duì)比，采用p_b=0.54、e=0.10的SRAM PUF生成128 bit密鑰作為應(yīng)用背景。為降低計(jì)算復(fù)雜度，系統(tǒng)采用重復(fù)編碼(Rep)作為內(nèi)碼以及BCH碼作為外碼。表1為本文所提EF與傳統(tǒng)EF、基于C-IBS和VN EF的性能比較。其中，block數(shù)量L表示所需的BCH(n，k，t)塊個(gè)數(shù)，取值等于128/k，本文改進(jìn)后EF的密鑰生成失敗率計(jì)算如下：

式中，p為重復(fù)碼譯碼后的錯(cuò)誤率，p′為BCH碼譯碼后的錯(cuò)誤率，p_fail為L(zhǎng)個(gè)塊后的最終失敗率。

    從表1中可以看出，傳統(tǒng)FE存在較大的熵泄露問題。本文方法與基于C-IBS的模糊提取器相比，在同等SRAM PUF大小條件下所能達(dá)到的密鑰失敗率低了兩個(gè)量級(jí)，與VN FE相比無論從成功率和所需SRAM PUF大小上來說都有一定改善。而且，本文提出的方法只需修改注冊(cè)階段的輔助數(shù)據(jù)生成過程，當(dāng)服務(wù)器等資源計(jì)算力受限較小的設(shè)備負(fù)責(zé)完成注冊(cè)過程時(shí)，不會(huì)增加待驗(yàn)證設(shè)備的計(jì)算負(fù)擔(dān)。

4 結(jié)論

    本文對(duì)傳統(tǒng)模糊提取器結(jié)構(gòu)的熵泄露問題進(jìn)行了分析，并以此提出通過給PUF響應(yīng)加入人工噪聲通道以減小偏置，解決因輔助數(shù)據(jù)公開導(dǎo)致的熵泄露問題，與其他方法相比在PUF大小和密鑰生成成功率上都有一定改善,且不會(huì)給工作于重現(xiàn)階段的資源受限設(shè)備帶來額外操作。下一步可以研究提高糾錯(cuò)效率的方法，減小因引入人工噪聲通道帶來的錯(cuò)誤率增加的影響。

參考文獻(xiàn)

[1] RUHRMAIR U，HOLCOMB D E.PUFs at a glance[C].Design，Automation and Test in Europe Conference and Exhibition(DATE).Dresden，Germany，2014：1-6.

[2] 吳縉，徐金甫.基于PUF的可信根及可信計(jì)算平臺(tái)架構(gòu)設(shè)計(jì)[J].電子技術(shù)應(yīng)用，2018，44(9)：34-38.

[3] SUTAR S，RAHA A，RAGHUNATHAN V.Memory-based combination PUFs for device authentica-tion in embedded systems[J].IEEE Transactions on Multi-Scale Computing Systems，2018，4(4)：793-810.

[4] 周恩輝，劉雅娜.基于物理不可克隆函數(shù)的高性能RFID網(wǎng)絡(luò)隱私保護(hù)算法[J].電子技術(shù)應(yīng)用，2016，42(3)：98-101.

[5] 劉偉強(qiáng)，崔益軍，王成華.一種低成本物理不可克隆函數(shù)結(jié)構(gòu)的設(shè)計(jì)實(shí)現(xiàn)及其RFID應(yīng)用[J].電子學(xué)報(bào)，2016，44(7)：1772-1776.

[6] DODIS Y，OSTROVSKY R，REYZIN L，et al.Fuzzy extractors：how to generate strong keys from biometrics and other noisy data[J].SIAM Journal on Computing，2008，38(1)：97-139.

[7] MAES R，HERREWEGE A V，VERBAUWHEDE I.PUFKY：a fully functional PUF-based cryptographic key generator[C].International Workshop on Cryptographic Hardware and Embedded Systems.Springer，Berlin，Heidelberg，2012.

[8] ANDRE S，TARAS S，BORIS S，et al.Eliminating leakage in reverse fuzzy extractors[J].IEEE Transactions on Information Forensics and Security，2018，13(4)：954-964.

[9] 萬超.基于PUF的零信息泄露的安全概略的設(shè)計(jì)與實(shí)現(xiàn)[D].成都：電子科技大學(xué)，2018.

[10] YU M D，DEVADAS S.Secure and robust error correction for physical unclonable functions[J].IEEE Design & Test of Computers，2010，27(1)：48-65.

[11] MAES R，LEEST V V D，SLUIS E V D，et al.Secure key generation from biased PUFs[M].Cryptographic Hardware and Embedded Systems--CHES 2015.Springer Berlin Heidelberg，2015.

[12] MATTHIAS H，MERLI D，STUMPF F，et al.Complementary IBS：application specific error correction for PUFs[C].IEEE International Symposium on Hardware-oriented Security & Trust.IEEE，2012.

作者信息：

潘畬穌1，2, 張繼軍1，張釗鋒2

(1.上海大學(xué) 材料科學(xué)與工程學(xué)院，上海201900；2.中國(guó)科學(xué)院上海高等研究院，上海200120)