0 引言

    傳統對稱加密系統中，驗證設備將密鑰信息存儲在如Flash等非易失性存儲器上，然而這種存儲方式容易被讀取或惡意篡改造成安全隱患。物理不可克隆函數(Physical Unclonable Function，PUF)利用電路在制造過程由工藝造成的差異得到的響應生成加密信息^[1]，以其不可預測性、不可克隆性有望生成加密設備的硬件“指紋”，解決上述安全問題。近年來國內外對PUF在信息安全上的應用進行了研究^[2-4]，然而，PUF的響應在復現時由于電壓溫度等原因往往會產生差異，因此不能直接用來作為密鑰使用。

    針對PUF響應的穩定性處理，文獻[5]提出的擇多模塊處理方法雖然實現簡單，但認證過程沒有密鑰生成。文獻[6]、[7]提出了一種模糊提取器(Fuzzy Extractor，FE)來得到穩定輸出，然而這個糾正過程由于輔助數據的公開會產生熵泄露問題帶來安全隱患，文獻[8]、[9]等對此進行了安全分析。因此，文獻[10]提出一種基于IBS(Index-Based Syndrome，IBS)的改進結構，將響應分為長度為L的塊，在注冊階段記錄每比特值為1的概率，輔助數據發送每比特碼字在相應塊中發生概率最高的索引值，重現階段以此決定該塊所表示的取值，該方法被證明是無熵泄露的。文獻[11]提出了一種VN結構，每兩個比特處理PUF響應數據，只使用相鄰兩比特取值不同時的響應值得到無偏置的效果，從而解決熵泄露問題。然而，這些方法都以舍棄一定的PUF位來減小熵泄露問題，增加了所需的PUF大小，當設備資源受限時這個因素會帶來較大負擔。

    本文通過對傳統FE的熵泄露問題進行分析，提出了給PUF響應加入一種人工噪聲通道的改進FE結構，并以SRAM PUF為應用背景與其他方法進行比較，表明在PUF大小使用和密鑰生成成功率上有一定改善。

1 傳統模糊提取器

    模糊提取器FE的思想是將有微小變化的數據通過處理進行糾正得到穩定輸出，通常由兩個階段構成：(1)注冊階段(enrollment)；(2)重現階段(reconstruction)，結構如圖1所示^[6]。

    (1)注冊階段：

    ①隨機數發生器產生隨機數種子，得到比特串S∈{0，1}。

    ②S進行KDF運算后得到分布均勻的密鑰K。

    ③同時利用糾錯碼(例如BCH碼等)對S進行Gen()編碼生成碼字C，將C與PUF響應R進行異或運算得到輔助數據W。

    (2)重現階段：

    ①輔助數據W與帶噪的PUF響應R′進行異或生成C′。

    ②C′經過相應Rep()譯碼恢復出隨機數種子S。

    ③對恢復的隨機數種子S進行與注冊階段一致的KDF函數生成共享密鑰K。

    在這個過程中，只要R′與R的漢明距離足夠小，滿足dis(R，R′)≤t，就可以通過相應糾錯編碼算法得到原始隨機數種子S，最終生成共享密鑰。

2 改進的模糊提取器

    上述FE結構由于服務器和待驗證設備需要利用輔助數據W完成重現，而在通信過程中W對于外界是完全透明的，攻擊者可能通過對輔助數據W的抓取分析得到有關隨機數種子S的信息進而破解密鑰。

    令PUF 響應R∈{0，1}ⁿ，n為響應長度。為簡化分析假設響應R的每比特值服從R_i～(p_b，1-p_b)分布，其中Pr[R_i=1]=p_b，當響應值出現0和1的概率相同(即p_b=0.5)時，認為該響應值是無偏的。S是隨機數種子，因此看作是滿熵的，即H(S)=length(S)=k。采用互信息I(S；W)表示S與W之間的關系強弱，如式(1)所示：

    由此可知，當h(p_b)≠1時暴露輔助數據W會減小密鑰的熵。而通常情況下PUF響應值往往是存在偏置的，因此上述模糊提取器在應用時需要進行改進以解決熵泄露問題。

    從上述分析可知，PUF響應值p_b≠0.5使得輔助數據W的公開帶來熵泄露，因此本文提出在注冊階段通過給響應值R加一個人工噪聲通道使得與碼字C異或的修正數據R″偏置p′_b=0.5。改進后注冊階段的模糊提取器結構如圖2所示。

    圖3為在不同PUF響應的平均錯誤率e下C″的錯誤率ε與偏置p_b的關系。由圖可以看出，當偏置p_b與0.5偏差較小時，人工噪聲帶來的錯誤率增加量也較小。

3 結果分析

    為將本文提出改進的模糊提取器與其他文獻進行對比，采用p_b=0.54、e=0.10的SRAM PUF生成128 bit密鑰作為應用背景。為降低計算復雜度，系統采用重復編碼(Rep)作為內碼以及BCH碼作為外碼。表1為本文所提EF與傳統EF、基于C-IBS和VN EF的性能比較。其中，block數量L表示所需的BCH(n，k，t)塊個數，取值等于128/k，本文改進后EF的密鑰生成失敗率計算如下：

式中，p為重復碼譯碼后的錯誤率，p′為BCH碼譯碼后的錯誤率，p_fail為L個塊后的最終失敗率。

    從表1中可以看出，傳統FE存在較大的熵泄露問題。本文方法與基于C-IBS的模糊提取器相比，在同等SRAM PUF大小條件下所能達到的密鑰失敗率低了兩個量級，與VN FE相比無論從成功率和所需SRAM PUF大小上來說都有一定改善。而且，本文提出的方法只需修改注冊階段的輔助數據生成過程，當服務器等資源計算力受限較小的設備負責完成注冊過程時，不會增加待驗證設備的計算負擔。

4 結論

    本文對傳統模糊提取器結構的熵泄露問題進行了分析，并以此提出通過給PUF響應加入人工噪聲通道以減小偏置，解決因輔助數據公開導致的熵泄露問題，與其他方法相比在PUF大小和密鑰生成成功率上都有一定改善,且不會給工作于重現階段的資源受限設備帶來額外操作。下一步可以研究提高糾錯效率的方法，減小因引入人工噪聲通道帶來的錯誤率增加的影響。

參考文獻

[1] RUHRMAIR U，HOLCOMB D E.PUFs at a glance[C].Design，Automation and Test in Europe Conference and Exhibition(DATE).Dresden，Germany，2014：1-6.

[2] 吳縉，徐金甫.基于PUF的可信根及可信計算平臺架構設計[J].電子技術應用，2018，44(9)：34-38.

[3] SUTAR S，RAHA A，RAGHUNATHAN V.Memory-based combination PUFs for device authentica-tion in embedded systems[J].IEEE Transactions on Multi-Scale Computing Systems，2018，4(4)：793-810.

[4] 周恩輝，劉雅娜.基于物理不可克隆函數的高性能RFID網絡隱私保護算法[J].電子技術應用，2016，42(3)：98-101.

[5] 劉偉強，崔益軍，王成華.一種低成本物理不可克隆函數結構的設計實現及其RFID應用[J].電子學報，2016，44(7)：1772-1776.

[6] DODIS Y，OSTROVSKY R，REYZIN L，et al.Fuzzy extractors：how to generate strong keys from biometrics and other noisy data[J].SIAM Journal on Computing，2008，38(1)：97-139.

[7] MAES R，HERREWEGE A V，VERBAUWHEDE I.PUFKY：a fully functional PUF-based cryptographic key generator[C].International Workshop on Cryptographic Hardware and Embedded Systems.Springer，Berlin，Heidelberg，2012.

[8] ANDRE S，TARAS S，BORIS S，et al.Eliminating leakage in reverse fuzzy extractors[J].IEEE Transactions on Information Forensics and Security，2018，13(4)：954-964.

[9] 萬超.基于PUF的零信息泄露的安全概略的設計與實現[D].成都：電子科技大學，2018.

[10] YU M D，DEVADAS S.Secure and robust error correction for physical unclonable functions[J].IEEE Design & Test of Computers，2010，27(1)：48-65.

[11] MAES R，LEEST V V D，SLUIS E V D，et al.Secure key generation from biased PUFs[M].Cryptographic Hardware and Embedded Systems--CHES 2015.Springer Berlin Heidelberg，2015.

[12] MATTHIAS H，MERLI D，STUMPF F，et al.Complementary IBS：application specific error correction for PUFs[C].IEEE International Symposium on Hardware-oriented Security & Trust.IEEE，2012.

作者信息：

潘畬穌1，2, 張繼軍1，張釗鋒2

(1.上海大學 材料科學與工程學院，上海201900；2.中國科學院上海高等研究院，上海200120)