◆尹魏昕 賈詠哲 高艷松 徐 雷

物理不可克隆函數(shù)（PUF）研究綜述

◆尹魏昕1賈詠哲2高艷松2徐 雷2

（1.國家計算機網(wǎng)絡與信息安全管理中心江蘇分中心 江蘇 210003；2.南京理工大學計算機科學與工程學院 江蘇 210094）

物理不可克隆函數(shù)（PUF）利用制造過程引入的不可控差異作為芯片的指紋信息。PUF的典型應用由認證、驗證及密鑰生成。本文調查研究了物理不可克隆函數(shù)的原理，分析了當前研究現(xiàn)狀，結合目前硬件安全中一些比較常見的安全問題，對多種 PUF 進行了深入分析。

PUF；硬件安全；密鑰

0 引言

沒有兩個物體是完全一樣的，即使采用相同的工藝來制造它們。雖然我們通常不希望制造過程中產生差異，但是為了安全目的，可以利用和這些差異的相關作用來唯一地識別物理對象。為了便于實現(xiàn)這種作用，可以在集成電路（IC）上實現(xiàn)所謂的物理不可克隆函數(shù)（PUF）[1]。

如今能訪問我們個人數(shù)據(jù)和代表我們身份的電子設備越來越多，PUF可以增加這些設備的安全性，例如智能手機、信用卡、通行證、自動化家庭的傳感器以及醫(yī)療植入物等等。 PUF通常需要與其他構件塊（例如，真隨機數(shù)發(fā)生器（TRNG），加密算法，糾錯碼，非易失性存儲器（NVM）等）組合。盡管PUF在實際應用中依然存在許多缺陷和易受攻擊面，但這些經(jīng)驗教訓也可以幫助提高未來基于PUF的系統(tǒng)的質量。

1 PUF的原理及特點

物理媒體的具有微觀的、隨機的、不可克隆的無序性在安全任務中的應用近來受到越來越多的關注。利用無序性可以產生一些優(yōu)勢[1]：首先，它可以避免數(shù)字密鑰永久存儲在易受攻擊的硬件中，使得所得到的系統(tǒng)更具有抵御侵入和惡意軟件攻擊的能力。其次，隨機性物理差異具有難以克隆或偽造的天然特征，因為完全控制物理介質中的微米和納米級制造差異是非常困難的，并且即使可能實現(xiàn)，也是非常昂貴的。第三，利用物理系統(tǒng)中的固有差異和熵，有時可以實現(xiàn)密碼協(xié)議，這為密碼學創(chuàng)造了一個替代基礎，并且它的安全性不依賴于未經(jīng)證實的數(shù)論假設。PUF可以作為這種新類型的“無序”密碼原語最好的代表。

2 弱PUF類型

以下介紹幾種常見的弱PUF：

2.1 ICID PUF

ICID是第一個根據(jù)工藝差異生成弱PUF的電路結構。ICID PUF中設計了一系列可尋址的MOSFET，共同的柵極和源極以及連續(xù)選擇的漏極驅動著一個電阻負載。由于器件閾值電壓失配（由工藝變化引起），使得漏極電流具有隨機差異。ICID利用這些唯一的隨機差異來構建唯一的識別。在0.35μm的技術中，文獻[2]的作者提出，他們的測試電路上重復隨機比特有10％的假陽性和假陰性結果，識別能力可以通過增加位長來改進。

2.2基于SRAM的PUF

使用SRAM的半導體集成電路進行識別的想法最初是在2002年的專利[4]中提出的，但沒有包括實驗數(shù)據(jù)。文獻[5]中的工作構建了一個類似SRAM的單元的定制陣列，在0.13μm技術中基于閾值失配生成隨機值。另外，SRAM的初始化可以為每個芯片產生一個物理指紋，這些指紋可以通過標準的NIST隨機性測試來運行。

2.3涂層PUF

涂層PUF是由一種能實現(xiàn)防讀硬件的弱PUF構造。防讀硬件設備一旦構建，外部實體就不能讀?。ㄌ崛。┐鎯υ谠O備中的數(shù)據(jù)的信息。文獻[5]提出，將PUF以保護涂層的形式，噴涂在IC上并覆蓋其表面。

涂層PUF的一個中心特性是它們的篡改敏感性：假定對涂層的任何篡改（例如侵入性滲透或從被覆蓋的IC上去除）會嚴重且不可恢復地改變其性質。

3 弱PUF的應用和安全性

3.1密鑰生成和存儲

弱PUF提供了基于隨機無序物理介質波動的私鑰生成和存儲的方法[6]。因此，任何利用密鑰存儲的安全協(xié)議都可以在其流程中使用弱PUF。

3.2 IP保護

圖1 PUF在IP保護中的應用

3.3安全處理器

Suh在文獻[7]中描述了如何將弱PUF嵌入到安全處理器中，然后將其用于諸如認證執(zhí)行和軟件許可之類的應用。弱PUF用于為公鑰或私鑰對生成種子。種子和私鑰從不公開，公鑰由認證機構公布和認證。種子被用作對稱密鑰來加密處理器的用戶已知的次級對稱密鑰。此外，種子仍然是私密的，并且僅用于加密給定的次級密鑰，并且解密次級密鑰以供安全任務的內部使用。

3.4安全分析

弱PUF通常被歸結為三個優(yōu)點：

（1）由于密鑰僅在芯片上電時存在，所以比永久存儲在NVM中的標準數(shù)字密鑰更難讀出；

（2）它們具有一些自然的篡改敏感性，這意味著任何對設備或對嵌入PUF的硬件系統(tǒng)的篡改都會改變其物理特征和衍生的密鑰；

（3）節(jié)省成本。它們避免了硬件系統(tǒng)中NVM所必需的處理步驟。

4 強PUF類型

（2）實用性和可操作性：CRP應該足夠穩(wěn)定，對環(huán)境條件和多個讀數(shù)有效。

（3）訪問模式：任何能夠訪問強PUF的實體都可以應用多種激勵，并可以讀出相應的響應。不存在受保護、控制或限制訪問的PUF的激勵和響應。

（4）安全：若不具備物理上實際存在的強PUF，攻擊者和PUF的制造商都不能正確地預測隨機選擇的激勵的響應。即使上述兩方能夠訪問強PUF達到相當長的時間，甚至進行正當?shù)奈锢頊y量，上述結論也依然成立。

以下介紹兩種典型的強PUF類型。

4.1光學PUF

光學PUF包含一個透明的塑料標記，其中包含大量隨機分布的玻璃球[9]。一個獨特的，不可克隆的令牌在不同的角度和發(fā)生點（可以認為是系統(tǒng)的激勵）下被照亮，并產生作為系統(tǒng)響應的干擾模式。這里假定光學PUF具有大量的激勵，并且CRP被私有集存儲在中央數(shù)據(jù)庫中。因此，光學PUF可以被遠程驗證。

理論上這種結構是安全的（到目前為止還沒有發(fā)現(xiàn)攻擊），但是測量裝置是外部的，并且相對較大，當令牌由不同位置測量時，存在一些實用性問題和穩(wěn)定性問題。

4.2仲裁器PUF

幾乎在提出光學PUF的同時，文獻[1]提出了第一個集成電子強PUF，包括“Arbiter PUF”。與光學PUF不同，硅PUF不需要外部測量設備，它基于電路中的運行時間延遲差異。

這種結構很容易被模擬攻擊[1]。在例如機器學習算法進行攻擊時，攻擊者收集許多CRP，并使用它們來推導在電路子組件中發(fā)生的運行時間延遲，從而模擬和預測PUF模型，破壞其安全性。

5 強PUF的應用和安全性

5.1協(xié)議和應用

另一個應用是基于強PUF的密鑰交換或密鑰建立[10]。然而，文獻[11]已經(jīng)表明，這樣的密鑰交換可能會遇到前向保密性以及重復用于會話密鑰交換的問題。該文獻也提出了一種可以解決這個問題的新型PUF，稱為可擦寫PUF。這種新型的可擦除PUF不同于早期的FPGA PUF，可以在每個認證會話中配置和擦除。

5.2安全和攻擊

對強PUF的攻擊可以是構建物理克隆，即與原始PUF完全相同的第二物理系統(tǒng)；也可以是數(shù)字克隆，即模仿PUF的激勵-響應行為的計算機算法。

攻擊者通常僅需要收集強PUF的所有CRP的子集，以獲得（或至少間接獲得）關于PUF中包含的所有CRP相關信息或熵的信息。當攻擊者收集了這樣一個子集，他可以從CRP子集中建立等式或不等式系統(tǒng)，其變量描述PUF內部結構，如果他可以有效地解決等式或不等式的系統(tǒng)，他就可以攻破PUF。然而他不能這樣做的假設只是另一種未經(jīng)證實的計算假設。

另一個與強PUF安全相關的中心問題在于，強PUF可避免在硬件中使用明確的數(shù)字密鑰，但其未必能完全避免所有的秘密信息存在于一般硬件中。一旦強PUF的內部配置被攻擊者知道，那么攻擊者幾乎總是能夠預測并因此破壞PUF。因此，像傳統(tǒng)的密碼系統(tǒng)一樣，強PUF通常假設一些內部信息是保密的。從PUF的角度來看，這些信息比以數(shù)字密鑰的方式存儲更安全。

6 總結與展望

由于傳統(tǒng)技術在物理上存在安全問題，所以可以考慮采用PUF，它能在物理層面提供安全保護。然而，從2010年起發(fā)表的眾多關于PUF的物理攻擊的文章中可以清楚地看出，這種原語也不完全安全。無論關于噪聲和環(huán)境擾動的實驗工作如何，這些攻擊的巨大規(guī)模都對PUF技術提出了質疑。因此，需要進一步研究這些技術的策略和有效性。

[1]B.Gassend, D. Clarke, M. van Dijk, and S. Devadas, “Silicon physical randomfunctions,” in Computer and Communication Security Conference，2002.

[2]K.Lofstrom, W. R. Daasch, and D. Taylor, “Ic identification circuit using devicemismatch,” in ISSCC， 2000.

[3]P.Layman, S. Chaudhry, J. Norman, and J. Thomson, “Electronic fingerprintingof semiconductor integrated circuits,” US Patent 6,738,294, September，2002.

[4]Y.Su,J.Holleman,and B. Otis,“A 1.6pJ/bit 96 (percent) stable chip ID generating circuit using process variations，”in IEEE International Solid-State CircuitsConference (ISSCC)，2007.

[5]P.Tuyls, G.-J. Schrijen, B. Skoric, J. van Geloven, N. Verhaegh, and R. Wolters,“Read-proof hardware from protective coatings,” in Cryptographic Hardware andEmbedded Systems (CHES)，2006.

[6]B.Gassend,“Physical Random Functions,” Master’s thesis, Massachusetts Institute of Technology, Jan2003.

[7]G.E.Suh,“AEGIS：A Single-Chip Secure Processor,” Ph.D. dissertation, Massachusetts Institute of Technology, Aug 2005.

[8]Y.Alkabani and F. Koushanfar, “Active hardware metering for intellectual property protection and security,” in USENIX Security Symposium，2007.

[9]R. Pappu, “Physical one-way functions,” Ph.D. dissertation, Massachusetts Institute of Technology，2001.

[10]R.Pappu,B.Recht,J.Taylor,and N. Gershenfeld, “Physical one-way functions,”Science, vol. 297，2002.

[11]U.Rührmair, C. Jaeger, and M. Algasinger,“An Attack on PUF-based SessionKey Exchange and a Hardware-based Countermeasure,”Financial Cryptographyand Data Security (FC)， 2011.

[12]U. Rührmair, F. Sehnke, J. S¨ olter, G. Dror, S. Devadas, and J. Schmidhuber,“Modeling attacks on physical unclonable functions,” in ACM Conference onComputer and Communications Security (CCS)，2010.

本文得到國家自然科學基金(No.61671244)和中央高?；究蒲袠I(yè)務費專項資金資助(No. 30918011204)的支持。