劉偉強(qiáng)，崔益軍，王成華

(南京航空航天大學(xué)電子信息工程學(xué)院雷達(dá)成像與微波光子技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室，江蘇南京 210016)

一種低成本物理不可克隆函數(shù)結(jié)構(gòu)的設(shè)計(jì)實(shí)現(xiàn)及其RFID應(yīng)用

劉偉強(qiáng)，崔益軍，王成華

(南京航空航天大學(xué)電子信息工程學(xué)院雷達(dá)成像與微波光子技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室，江蘇南京 210016)

物理不可克隆函數(shù)(PUF：Physical Unclonable Function)是一種新型的加密組件，具有防偽、不可克隆及不可預(yù)測(cè)等特性.本文提出了一種新型的低成本PUF，與傳統(tǒng)PUF相比更適用于無(wú)線射頻識(shí)別(Radio Frequency Identification，RFID)系統(tǒng).該P(yáng)UF結(jié)構(gòu)主要由上電密鑰生成器和混合函數(shù)兩部分構(gòu)成.上電密鑰生成器由比特生成器陣列構(gòu)成，混合函數(shù)則由低成本流加密算法構(gòu)成，其作用是隱藏密鑰生成器，以提高安全性.此外，本文還提出了擇多模塊和多尋認(rèn)證協(xié)議來(lái)改善PUF響應(yīng)及其在RFID系統(tǒng)中的穩(wěn)定性.實(shí)驗(yàn)表明，該P(yáng)UF的硬件成本低并且具有很好的穩(wěn)定性，非常適用于RFID系統(tǒng)等資源受限的應(yīng)用場(chǎng)合.

物理不可克隆函數(shù)；RFID系統(tǒng)；擇多模塊；多尋認(rèn)證協(xié)議

1　引言

隨著社會(huì)信息化發(fā)展的進(jìn)一步深入，信息安全問(wèn)題越來(lái)越受到人們的關(guān)注.物理不可克隆函數(shù)(Physical Unclonable Function，PUF)作為一種新型的加密組件日漸受到研究者的關(guān)注.PUF的原理是通過(guò)提取集成電路在制造過(guò)程中由于工藝限制而引入的隨機(jī)差異來(lái)生成加密信息(通常稱為響應(yīng))[1].當(dāng)設(shè)備上電的時(shí)候PUF的響應(yīng)信號(hào)就自動(dòng)生成，當(dāng)設(shè)備斷電時(shí)響應(yīng)信號(hào)自動(dòng)湮滅.PUF具有原理結(jié)構(gòu)簡(jiǎn)單、功耗低、物理不可克隆和不可預(yù)測(cè)等特點(diǎn).利用PUF可以有效提高RFID(Radio Frequency Identification)抵御惡意攻擊的能力，例如，傳統(tǒng)的存儲(chǔ)密鑰存儲(chǔ)手段是將密鑰信息存儲(chǔ)在非易失性存儲(chǔ)器中，這樣的存儲(chǔ)方式容易被篡改或破壞.而PUF的加密信息是存儲(chǔ)在電路結(jié)構(gòu)中，且PUF只有在上電后才生成加密信息，掉電后自動(dòng)湮滅.因此，PUF難以通過(guò)傳統(tǒng)的克隆和物理篡改等手段進(jìn)行攻擊.如果將PUF的響應(yīng)信號(hào)作為密鑰，則無(wú)須使用存儲(chǔ)器存儲(chǔ)，從而改善了密鑰存儲(chǔ)的安全性.PUF在設(shè)備授權(quán)與認(rèn)證、IP核保護(hù)、密鑰生成等信息安全領(lǐng)域具有廣闊的應(yīng)用前景[2].

PUF的概念可以追溯到Pappu等人提出的物理單向函數(shù)(Physical One-Way Function)[3]，他們利用隨機(jī)摻雜光散射粒子的透明晶體作為單向函數(shù)實(shí)現(xiàn)了光PUF，也是第一種PUF結(jié)構(gòu).在此之后Gassend等人提出了基于硅的PUF[4]，通過(guò)提取電路內(nèi)部晶體管或連線間因工藝原因引入的隨機(jī)差異而產(chǎn)生的偏差(例如：不同門電路或連接線間在信號(hào)傳輸延時(shí)、電壓或電流等電氣特性上的偏差)來(lái)生成二進(jìn)制加密信息.即使完全相同的電路結(jié)構(gòu)，在不同集成電路實(shí)體上生成的響應(yīng)值也是不同的.硅PUF的優(yōu)勢(shì)是它可以直接與標(biāo)準(zhǔn)數(shù)字電路相連接，易于集成.目前已經(jīng)提出的基于硅的PUF中比較經(jīng)典的結(jié)構(gòu)有仲裁器PUF、環(huán)形振蕩器(Ring Oscillator，RO)PUF、SRAM PUF、蝶形PUF等[2,5].但是傳統(tǒng)的PUF由于需要較多的硬件資源，因此在低成本的約束下很難實(shí)現(xiàn)一個(gè)具有足夠安全性的加密應(yīng)用，如RFID系統(tǒng)等[6].為了解決這個(gè)問(wèn)題，本文提出了上電密鑰產(chǎn)生器同流加密算法相結(jié)合的方式，實(shí)現(xiàn)了一種新型的低成本PUF結(jié)構(gòu)，并且非常適合RFID系統(tǒng)的應(yīng)用.該P(yáng)UF在改善RFID安全性的同時(shí)，也兼顧了RFID設(shè)備對(duì)資源消耗方面的嚴(yán)苛限制.

2　新型低成本PUF結(jié)構(gòu)

2.1上電密鑰生成器

本文提出了一種基于與非門交叉耦合構(gòu)成的比特生成器，它是由一對(duì)與非門構(gòu)成的雙穩(wěn)態(tài)環(huán)，如圖 1所示.當(dāng)CTL信號(hào)設(shè)置為“0”時(shí)，兩個(gè)與非門的輸出都為“1”，當(dāng)CTL信號(hào)設(shè)置為“1”時(shí)，由于兩個(gè)與非門是配置成交叉耦合的形式，輸出信號(hào)可能是“0”也可能是“1”.由于加工工藝的限制，兩個(gè)與非門在晶體管的閾值電壓上有細(xì)微的差別，導(dǎo)致兩個(gè)與非門的輸出最后穩(wěn)定在某一個(gè)狀態(tài)，而且這個(gè)差別是隨機(jī)出現(xiàn)的，因而最終輸出值0或者1也是隨機(jī)的.相比于其它的上電ID結(jié)構(gòu)，本文提出的比特生成器具有結(jié)構(gòu)簡(jiǎn)單，硬件資源消耗少，易于FPGA實(shí)現(xiàn)等優(yōu)勢(shì).多位比特產(chǎn)生器組成了本研究中的上電密鑰生成器.

2.2本文提出的PUF結(jié)構(gòu)

實(shí)現(xiàn)一個(gè)有實(shí)用價(jià)值的PUF需要產(chǎn)生大規(guī)模的隨機(jī)序列，假如完全用上電密鑰生成器來(lái)生成這些隨機(jī)序列，理論上需要大規(guī)模的比特生成器陣列[1]，實(shí)際實(shí)施的硬件成本將會(huì)非常高.根據(jù)PUF的特點(diǎn)，可以將上電密鑰生成器同傳統(tǒng)的輕量級(jí)流加密算法相結(jié)合，構(gòu)成一種新型的低成本PUF結(jié)構(gòu).這樣既能保持PUF結(jié)構(gòu)的物理不可克隆和防篡改等特性，又能使該結(jié)構(gòu)具有較高的安全性和實(shí)際的應(yīng)用價(jià)值.新的PUF結(jié)構(gòu)如圖2所示，這種PUF的基本結(jié)構(gòu)主要包括上電密鑰生成器和混合函數(shù)兩個(gè)主要模塊.

密鑰生成器主要由PUF比特生成器陣列構(gòu)成，生成的密鑰也可以作為一個(gè)集成電路實(shí)體基于各自內(nèi)部結(jié)構(gòu)差異而生成的ID號(hào)，這樣的ID號(hào)同傳統(tǒng)存儲(chǔ)在SRAM中的ID相比具有更高的安全性，降低了物理克隆或惡意篡改的可能性[1].然而直接使用密鑰進(jìn)行RFID設(shè)備的認(rèn)證時(shí)，因?yàn)槊荑€的長(zhǎng)度(比特?cái)?shù))相對(duì)較小，容易被入侵者攻擊.因而引入混合函數(shù)來(lái)對(duì)密鑰生成器進(jìn)行保護(hù).

如圖2所示，PUF將密鑰生成器生成的信號(hào)作為混合函數(shù)的輸入密鑰.若混合函數(shù)需要的輸入密鑰為m bit，則密鑰生成器由m個(gè)比特生成器組成.1-bit的比特生成器采用圖1中的結(jié)構(gòu).混合函數(shù)在密鑰的作用下，對(duì)輸入的ncbit的激勵(lì)信號(hào)進(jìn)行加密運(yùn)算，生成隨機(jī)的nrbit輸出響應(yīng)信號(hào).本文提出的PUF結(jié)構(gòu)，其輸出的加密信號(hào)(響應(yīng)信號(hào))是通過(guò)混合函數(shù)生成的，這與其他文獻(xiàn)中的PUF直接通過(guò)PUF本身來(lái)生成響應(yīng)信號(hào)不同，因此它是一種新的PUF結(jié)構(gòu)，可以有效解決傳統(tǒng)PUF結(jié)構(gòu)資源消耗大的問(wèn)題.

本文采用的混合函數(shù)為歐洲eSTREAM工程中提出的適用于硬件的低成本流密碼算法：Grain[7].Grain算法是由Hell等人提出的一種輕量級(jí)加密算法，由非線性反饋移位寄存器、線性反饋移位寄存器和輸出函數(shù)構(gòu)成.該算法的工作流程可分為初始化和密鑰流生產(chǎn)兩個(gè)步驟，且每個(gè)時(shí)鐘周期產(chǎn)生1比特隨機(jī)數(shù).

2.3擇多模塊

由于環(huán)境、工藝和材料等原因的限制，PUF比特生成器并不能保證百分之百的穩(wěn)定輸出.如何讓PUF產(chǎn)生穩(wěn)定的輸出，目前是PUF研究的一個(gè)熱門方向，比較常見(jiàn)的解決方案就是通過(guò)編碼的方式，對(duì)PUF輸出進(jìn)行檢錯(cuò)糾錯(cuò)，例如在文獻(xiàn)[8]中，Meng-Day Yu等人探討了利用IBS-ECC編碼的方式來(lái)提高PUF的輸出穩(wěn)定性.在文獻(xiàn)[9]中，Merli使用了BCH編碼來(lái)降低PUF輸出的出錯(cuò)概率.

如果采用上述糾錯(cuò)方式，所需要的硬件資源較多，不適合于資源受限的RFID系統(tǒng).為了減少硬件資源的消耗，本文提出了一種新型的糾錯(cuò)方法，采用少數(shù)服從多數(shù)的原則.如某一個(gè)PUF比特生成器重復(fù)生成輸出信號(hào)，在一定次數(shù)內(nèi)，統(tǒng)計(jì)生成“0”的次數(shù)，如果多于生成“1”的次數(shù)，則確定該比特生成器的最終輸出有效值為“0”.這種糾錯(cuò)方法通過(guò)圖2中的擇多決策模塊來(lái)實(shí)現(xiàn).

擇多模塊的實(shí)現(xiàn)流程如圖3所示，cnt為采樣計(jì)數(shù)器，即規(guī)定了每次決策時(shí)對(duì)比特生成器采樣的次數(shù)；cand為采樣得到的比特生成器輸出信號(hào)；maj表示根據(jù)統(tǒng)計(jì)結(jié)果確定的多數(shù)信號(hào)為“0”或“1”；mark多數(shù)標(biāo)記，用于統(tǒng)計(jì)多數(shù)信號(hào)出現(xiàn)的次數(shù).其工作流程為：開(kāi)始時(shí)，將cnt、mark初始化為‘0’；在第一次采樣時(shí)，將獲得的cand作為maj,同時(shí)mark加一；接下來(lái)的過(guò)程中，如果生成的信號(hào)同maj相同，mark加一，反之mark減一；假如mark減到0時(shí)，若cand與maj不同，則maj更新為此時(shí)獲得的cand；當(dāng)采樣結(jié)束時(shí)，即cnt溢出時(shí)，maj就是擇多模塊決定的有效輸出信號(hào).

3　RFID應(yīng)用及多尋認(rèn)證協(xié)議

隨著物聯(lián)網(wǎng)的迅速發(fā)展，RFID系統(tǒng)在人們生活工作中的應(yīng)用越來(lái)越廣泛，它對(duì)自身的資源和體積有非常嚴(yán)格的限制，在保證RFID應(yīng)用的穩(wěn)定性和有效性的同時(shí)需要盡可能地降低RFID設(shè)備的資源消耗.但現(xiàn)有的RFID設(shè)備存在安全性不高，容易受到入侵者攻擊的問(wèn)題[10,11].本文提出的PUF為解決RFID系統(tǒng)的安全性問(wèn)題，提供了一種合理可行的解決方案.

根據(jù)RFID系統(tǒng)的特點(diǎn)，本文提出了一種新型的基于低成本PUF的認(rèn)證協(xié)議，即多尋認(rèn)證協(xié)議，如圖4所示.該協(xié)議定義了PUF設(shè)備(待認(rèn)證的RFID設(shè)備)、RFID閱讀器以及后臺(tái)數(shù)據(jù)存儲(chǔ)設(shè)備(數(shù)據(jù)庫(kù))三個(gè)設(shè)備間的信息交換方式.

在基于PUF應(yīng)用的認(rèn)證協(xié)議中，主要使用激勵(lì)/響應(yīng)對(duì)(Challenge/Response Pairs，CRPs)來(lái)進(jìn)行設(shè)備的認(rèn)證，這種認(rèn)證方式需要密鑰生成器能產(chǎn)生穩(wěn)定的輸出.每一臺(tái)待認(rèn)證設(shè)備根據(jù)輸入的激勵(lì)信號(hào)都會(huì)生成一個(gè)與之唯一對(duì)應(yīng)的響應(yīng)信號(hào).如果待認(rèn)證設(shè)備生成的CRP與后臺(tái)數(shù)據(jù)中存儲(chǔ)的CRP一致，則認(rèn)證通過(guò)，反之認(rèn)證失敗.密鑰生成器中如果存在某一位位比特生成器的輸出不穩(wěn)定都將導(dǎo)致認(rèn)證失敗.雖然通過(guò)一系列的糾錯(cuò)模塊如本文提出的擇多模塊等后期處理方式能大幅的改善密鑰生成的穩(wěn)定性，但還是不能保證密鑰生成是完全穩(wěn)定的.為了進(jìn)一步降低系統(tǒng)認(rèn)證過(guò)程中出現(xiàn)錯(cuò)誤接受和錯(cuò)誤拒絕的概率，本文提出了多尋認(rèn)證協(xié)議，如圖4所示.圖4中帶有PUF組件的RFID設(shè)備能通過(guò)閱讀器同整個(gè)認(rèn)證系統(tǒng)進(jìn)行信息交換.數(shù)據(jù)庫(kù)中存儲(chǔ)有每個(gè)PUF實(shí)體的大量CRP，這需要在PUF出廠前進(jìn)行初始化.

多尋認(rèn)證協(xié)議的操作流程為：①首先由閱讀器發(fā)出一個(gè)握手信號(hào)；②待認(rèn)證設(shè)備接收到信號(hào)后反饋?zhàn)陨淼纳矸輼?biāo)識(shí)號(hào)；③閱讀器收到身份標(biāo)識(shí)號(hào)后將其發(fā)送給數(shù)據(jù)庫(kù)；④數(shù)據(jù)通過(guò)身份標(biāo)識(shí)號(hào)核對(duì)該設(shè)備是否存在數(shù)據(jù)庫(kù)中，并且將查詢結(jié)果返回給閱讀器；⑤假如該設(shè)備存在與數(shù)據(jù)庫(kù)中，則由數(shù)據(jù)庫(kù)發(fā)送一個(gè)激勵(lì)信號(hào)給閱讀器；⑥閱讀器將收到的這個(gè)激勵(lì)信號(hào)，按一定次數(shù)重復(fù)發(fā)給待認(rèn)證設(shè)備；⑦待認(rèn)證設(shè)備每接收一次激勵(lì)信號(hào)，就計(jì)算激勵(lì)信號(hào)加密一次，并將加密后的信號(hào)反饋給閱讀器；⑧閱讀器根據(jù)接收到的信號(hào)中選取一種出現(xiàn)次數(shù)最高的信號(hào)作為響應(yīng)信號(hào)，并將此激勵(lì)響應(yīng)對(duì)一同發(fā)送給數(shù)據(jù)庫(kù)；⑨通過(guò)檢查該對(duì)此激勵(lì)響應(yīng)對(duì)是否存在于數(shù)據(jù)庫(kù)中來(lái)決定此時(shí)認(rèn)證是否通過(guò)，并將結(jié)果反饋給RFID閱讀器；⑩若認(rèn)證通過(guò)后，RFID閱讀器通知數(shù)據(jù)庫(kù)將此次使用的激勵(lì)響應(yīng)對(duì)刪除.

該協(xié)議的主要特點(diǎn)是整個(gè)認(rèn)證過(guò)程不是依賴于一次CRP的校驗(yàn)來(lái)完成一次認(rèn)證，而是在每一次認(rèn)證的過(guò)程中多次地對(duì)待認(rèn)證設(shè)備返回的響應(yīng)值進(jìn)行校驗(yàn)，最后根據(jù)比對(duì)的結(jié)果來(lái)決定是否通過(guò)認(rèn)證，例如：在校驗(yàn)通過(guò)的次數(shù)遠(yuǎn)大于校驗(yàn)失敗的情況下，表示認(rèn)證通過(guò)，反之認(rèn)證失敗.當(dāng)認(rèn)證結(jié)束后，使用過(guò)的CRP將在數(shù)據(jù)庫(kù)中刪除，防止重復(fù)使用，以保證系統(tǒng)的安全性.

4　實(shí)驗(yàn)結(jié)果分析

在本研究中，密鑰生成器由圖1中的比特生成器構(gòu)成，混合函數(shù)模塊由低成本的流加密Grain算法構(gòu)成.Grain算法需要的密鑰長(zhǎng)度為80 bits，因而密鑰生成器中比特生成器的數(shù)量為80個(gè).此外Grain的輸入激勵(lì)信號(hào)為64 bits，輸出響應(yīng)長(zhǎng)度也是64 bits，即每生成64 bits后輸出一次響應(yīng).密鑰生成器、混合函數(shù)、擇多模塊和通訊(RS-232)等四個(gè)模塊在130nm的Xilinx Virtex II-Pro FPGA上進(jìn)行了實(shí)現(xiàn)驗(yàn)證，多尋認(rèn)證協(xié)議在上位機(jī)通過(guò)應(yīng)用程序模擬實(shí)現(xiàn).

4.1資源消耗

為了合理地評(píng)估不同PUF結(jié)構(gòu)的資源消耗，本文提出的低成本PUF結(jié)構(gòu)與其他PUF結(jié)構(gòu)在實(shí)現(xiàn)時(shí)需要的硬件資源進(jìn)行了對(duì)比，結(jié)果如表1所示.其中PUF核為上電密鑰生成器部分的資源消耗；“其它”為除了PUF核以外其它模塊的資源消耗，包括糾錯(cuò)電路、通訊電路、控制和混合函數(shù)等模塊；總體為整個(gè)電路消耗總的資源.由于之前的文獻(xiàn)大都只提供PUF核這部分的數(shù)據(jù)，因此表中列出的主要是PUF核的資源消耗數(shù)據(jù).然而，要實(shí)現(xiàn)一個(gè)真正的能用的PUF結(jié)構(gòu)，其他輔助的電路(“其他”)也是必不可少的，因此在表1中做了相應(yīng)的說(shuō)明.

表1　PUF加密組件資源消耗對(duì)比

表1的結(jié)果顯示，本文提出的PUF結(jié)構(gòu)總資源消耗最少，因此非常適合在資源受限的RFID系統(tǒng)中使用.

對(duì)于本文提出的糾錯(cuò)方法—擇多模塊的資源消耗同傳統(tǒng)的糾錯(cuò)編碼進(jìn)行了對(duì)比，如表2所示.本文提出的擇多模塊的寄存器使用數(shù)量最少，和現(xiàn)有最低成本的糾錯(cuò)模塊[15]相比，需要的寄存器數(shù)減少了69%，進(jìn)一步證明了本文提出的PUF結(jié)構(gòu)具有低成本的特性.

表2　糾錯(cuò)模塊的資源消耗對(duì)比

4.2穩(wěn)定性測(cè)試

為了測(cè)試PUF比特生成器的穩(wěn)定性，在Xilinx公司的 Virtex II-Pro FPGA開(kāi)發(fā)板上實(shí)現(xiàn)了1023個(gè)比特生成器，且對(duì)每個(gè)比特生成器生成的信號(hào)重復(fù)采樣100次.在表3中統(tǒng)計(jì)了各個(gè)比特生成器在100次采樣中生成“0”的次數(shù).表2中i表示每個(gè)比特生成器生成“0”的次數(shù),i≤100；n表示比特生成器的個(gè)數(shù)，n≤1023.

表3　比特生成器生成“0”的次數(shù)統(tǒng)計(jì)

從表3中統(tǒng)計(jì)的結(jié)果可知，在總共1023個(gè)比特生成器中，有481個(gè)比特生成器的輸出信號(hào)穩(wěn)定在“1”，有518個(gè)比特生成器的輸出信號(hào)穩(wěn)定在“0”，因而，97.6%的比特生成器能產(chǎn)生穩(wěn)定的輸出信號(hào).剩下的比特生成器雖然不能保持穩(wěn)定的輸出，但是輸出的值都有各自的偏向性(傾向于生成“0”或“1”)，可以通過(guò)統(tǒng)計(jì)手段來(lái)確定比特生成器的輸出值，同時(shí)也進(jìn)一步說(shuō)明了采用擇多模塊進(jìn)行糾錯(cuò)的合理性.

根據(jù)在三塊不同的FPGA(FPGA型號(hào)完全相同)開(kāi)發(fā)板上測(cè)試時(shí)發(fā)現(xiàn)，在沒(méi)有添加擇多模塊時(shí)，最差的情況下密鑰生成器生成的信號(hào)中有28%是不穩(wěn)定的.然而，通過(guò)添加擇多模塊后，對(duì)比特生成器產(chǎn)生的信號(hào)進(jìn)行后期處理后，不穩(wěn)定的輸出下降到2%以內(nèi)，擇多模塊對(duì)密鑰生成器的穩(wěn)定性具有非常大的提升.根據(jù)擇多模塊仿真的結(jié)果顯示，添加擇多模塊比不添加擇多模塊多約5+cnt個(gè)時(shí)鐘開(kāi)銷，cnt為2.3節(jié)中定義的采用計(jì)數(shù)器.當(dāng)cnt值較小時(shí)，對(duì)密鑰生產(chǎn)的實(shí)時(shí)性影響較小，例如本實(shí)驗(yàn)中采用cnt值為7.

在不同溫度下的穩(wěn)定性測(cè)試也是PUF性能評(píng)估的一個(gè)重要方面，在本研究中測(cè)試了FPGA實(shí)現(xiàn)的PUF結(jié)構(gòu)在25℃～85℃之間的穩(wěn)定性.如圖5所示，該P(yáng)UF結(jié)構(gòu)總體上產(chǎn)生不穩(wěn)定輸出的比例低于2%，具有較高的可靠性.實(shí)驗(yàn)表明，使用本文中提出的多尋認(rèn)證協(xié)議，幾乎可以消除所有的不穩(wěn)定輸出.

5　結(jié)束語(yǔ)

本文提出了一種新型的低成本PUF結(jié)構(gòu)，可適于RFID系統(tǒng).在該P(yáng)UF中使用了一種基于與非門對(duì)交叉耦合的結(jié)構(gòu)作為上電比特生成器，它能提取兩個(gè)與非門之間的加工偏差來(lái)生成一個(gè)隨機(jī)的響應(yīng)輸出.通過(guò)使用多個(gè)相同的比特生成器構(gòu)成密鑰生成器，用于密鑰的生成.為了進(jìn)一步保護(hù)密鑰，通過(guò)混合函數(shù)來(lái)對(duì)密鑰進(jìn)行隱藏.此外本文提出了擇多模塊及多尋認(rèn)證協(xié)議兩種方式來(lái)提高系統(tǒng)的穩(wěn)定性.該P(yáng)UF結(jié)構(gòu)的資源消耗和穩(wěn)定性兩個(gè)方面的實(shí)驗(yàn)結(jié)果表明該P(yáng)UF具有低成本和高穩(wěn)定性的優(yōu)點(diǎn)，非常適合應(yīng)用于RFID系統(tǒng)等資源受限的應(yīng)用.

[1]Rührmair U,Holcomb D.PUFs at a glance[A].Proceedings of Design,Automation and Test in Europe[C].Dresden,Germany:IEEE,2014.1-6.

[2]Maes R.Physically Unclonable Functions:Constructions,Properties and Applications[M].Berlin Heidelberg:Springer,2013.

[3]Pappu R,Recht B,Taylor J,et al.Physical one-way functions[J].Science,2002,297(5589):2026-2030.

[4]Gassend B.Physical Random Functions[D].USA:Massachusetts Institute of Technology,2003.

[5]Herder C,Yu M,Koushanfar F,et al.Physical unclonable functions and applications:A tutorial[J].Proceedings of the IEEE,2014,102(8):1126-1141.

[6]王晨旭,韓良,等.一種適用于RFID標(biāo)簽的安全化密碼算法實(shí)現(xiàn)[J].電子學(xué)報(bào),2014,42(8):1465-1473.Wang Chen-xu,Han Liang,et al.A secure cipher implementation suitable for RFID-tags[J].Acta Electronica Sinica,2014,42(8):1465-1473.(in Chinese)

[7]Hell M,Johansson T,Maximov A,et al.A stream cipher proposal:Grain-128[A].Proceedings of IEEE International Symposium on Information Theory[C].Seattle,WA,USA:IEEE,2006.1614-1618.

[8]Yu M,Devadas S.Secure and robust error correction for physical unclonable functions[J].IEEE Design & Test of Computers,2010,27(1):48-65.

[9]Merli D,Stumpf F,Eckert C.Improving the quality of ring oscillator PUFs on FPGAs[A].Proceedings of the 5th ACM Workshop on Embedded Systems Security[C].Scottsdale,AZ,USA:ACM,2010.1873548-1873557.

[10]郭奕旻,李順東,等.一種輕量級(jí)隱私保護(hù)的RFID群組證明協(xié)議[J].電子學(xué)報(bào),2015,43(2):289-292.

Guo Yi-min,Li Shun-dong,et al.A lightweight privacy-preserving grouping proof protocol for RFID systems[J].Acta Electronica Sinica,2015,43(2):289-292.(in Chinese)

[11]李輝,侯義斌,黃樟欽,劉宏珍,何堅(jiān),陳銳.一種智能攻擊模型在RFID防偽協(xié)議中的研究[J].電子學(xué)報(bào),2009,37(11):2565-2573.

Li Hui,Hou Yi-bin,Huang Zhang-qin,Liu Hong-zhen,He Jian,Chen Rui.Research on the attack model for RFID anti-counterfeit protocol[J].Acta Electronica Sinica,2009,37(11):2565-2573.(in Chinese)

[12]Lee J,Lim D,Gassed B,et al.A technique to build a secret key in integrated circuits for identification and authentication application[A].Proceedings of the Symposium on VLSI Circuits[C].Honolulu,HI,USA:IEEE,2004.176-159.

[13]Suh G,O’Donnell C,Sachdev I,et al.Design and implementation of the AEGIS single-chip secure processor using physical random functions[A].Proceedings of the 32nd International Symposium on Computer Architecture[C].Madison,WI,USA:IEEE,2005.25-36.

[14]Su Y,Holleman J,Otis B.A digital 1.6pJ/bit chip identification circuit using process variations[J].IEEE Journal of Solid-State Circuits,2008,43(1):69-77.

[15]Yu M,M’Raihi D,Sowell R,et al.Lightweight and secure PUF key storage using limits of machine learning[A].Proceedings of Workshop on Cryptographic Hardware and Embedded Systems (CHES)[C].Nara,Japan:ACM,2011.358-373.

[16]Suh G,O'Donnell C,Devadas S.AEGIS:A single-chip secure processor[J].Information Security Technical Report,2005,10(2):63-73.

[17]Devadas S,Yu M.Secure and robust error correction for physical unclonable functions[J].IEEE Design & Test of Computers,2010,27(1):48-65.

劉偉強(qiáng)男，1983年3月出生，山東東營(yíng)人.副教授、碩士生導(dǎo)師、IEEE高級(jí)會(huì)員、中國(guó)電子學(xué)會(huì)高級(jí)會(huì)員.2006年和2012年分別在南京航空航天大學(xué)和英國(guó)貝爾法斯特女王大學(xué)獲得工學(xué)學(xué)士和博士學(xué)位.現(xiàn)擔(dān)任IEEE計(jì)算機(jī)會(huì)刊副主編，主要從事數(shù)字信號(hào)處理及加密算法的VLSI實(shí)現(xiàn)、高性能算術(shù)運(yùn)算單元以及新興計(jì)算硬件等方面的研究工作.

E-mail:liuweiqiang@nuaa.edu.cn

崔益軍男，1988年8月出生，江蘇海安人.2010年畢業(yè)于南京航空航天大學(xué)信息工程專業(yè)獲工學(xué)學(xué)士學(xué)位，同年保送進(jìn)入南京航空航天大學(xué)攻讀通信與信息系統(tǒng)方向研究生，現(xiàn)為碩博連讀生，從事硬件加密系統(tǒng)和RFID系統(tǒng)等方面的研究.

Design and Implementation of a Low-Cost Physical Unclonable Function and Its Application in RFID

LIU Wei-qiang,CUI Yi-jun,WANG Cheng-hua

(Key Laboratory of Radar Imaging and Microwave Photonics(Ministry of Education),College of Electronic and Information Engineering,Nanjing University of Aeronautics and Astronautics,Nanjing,Jiangsu 210016,China)

Physical unclonable function (PUF) is a kind of new encryption primitive,which has the properties of anti-counterfeiting,unclonability and unpredictability.In this paper,a low-cost PUF design is presented along with its application into RFID systems.The PUF structure includes two parts:a key generator and a low-cost stream cipher that is used to hide the key.A novel post-processing module i.e.,majority voting,and a new multi-query protocol are introduced to improve the stability and reliability.The proposed reliable and low-cost PUF solution is well suitable for RFID applications.

physical unclonable function;RFID;majority voting;multi-query protocol

2014-12-30；

2015-04-30；責(zé)任編輯：孫瑤

國(guó)家自然科學(xué)基金(No.61401197)；江蘇省自然科學(xué)基金(No.BK20151477);南京航空航天大學(xué)人才引進(jìn)啟動(dòng)基金

TN492

A

0372-2112 (2016)07-1772-05

??學(xué)報(bào)URL:http://www.ejournal.org.cn

10.3969/j.issn.0372-2112.2016.07.036