賀章擎，項(xiàng) 鏈，汪 晨，吳鐵洲

湖北工業(yè)大學(xué)太陽(yáng)能高效利用湖北省協(xié)同創(chuàng)新中心，武漢 430068

隨著物聯(lián)網(wǎng)（IoT）的發(fā)展，物理不可克隆技術(shù)（physical unclonable function，PUF）[1-2]有望成為數(shù)十億IoT設(shè)備的關(guān)鍵安全原語(yǔ)。PUF利用集成電路在制造過(guò)程中不可避免的物料隨機(jī)變化特性，生成不可克隆的激勵(lì)響應(yīng)對(duì)（CPRs）。PUF 的理想功能是輕量化、不可預(yù)測(cè)性、不可克隆性和唯一性（針對(duì)每個(gè)實(shí)例）。每個(gè)PUF都不可克隆，所以PUF可用于提供身份“指紋”或生成和存儲(chǔ)加密密鑰，防止對(duì)物聯(lián)網(wǎng)設(shè)備的篡改攻擊。

PUF減輕了密碼算法的計(jì)算費(fèi)用，同時(shí)具有相對(duì)較低的硬件開(kāi)銷，因此是解決物聯(lián)網(wǎng)環(huán)境中安全通信問(wèn)題非常有效的選擇。但生成PUF響應(yīng)需要進(jìn)行物理測(cè)量，因此它很容易受到噪聲的影響[3]。PUF 對(duì)電壓和溫度（voltage and temperature，V＆T）變化的敏感性，致使PUF 輸出不夠可靠，無(wú)法直接用于加密認(rèn)證，需要進(jìn)行糾錯(cuò)處理[4]。與此同時(shí)，PUF 設(shè)備將數(shù)據(jù)傳輸?shù)狡渌O(shè)備前須共享其秘密密鑰，需要認(rèn)證與密鑰交換協(xié)議。對(duì)此，Aysu 等人[5]提出了一種PUF 匿名認(rèn)證協(xié)議，Rostami等人[6]提出了輕量級(jí)認(rèn)證與密鑰交換協(xié)議，Gope 等人[7]提出基于PUF的RFID認(rèn)證協(xié)議。上述協(xié)議實(shí)現(xiàn)了安全的認(rèn)證與密鑰交換功能，但均采用了基于BCH 等糾錯(cuò)碼的模糊提取器技術(shù)來(lái)消除PUF中噪聲的影響，但采用模糊提取器會(huì)帶來(lái)極大的執(zhí)行開(kāi)銷，因此無(wú)法應(yīng)用于資源受限的物聯(lián)網(wǎng)設(shè)備。為了降低糾錯(cuò)開(kāi)銷，Yu等人[8]提出一種名為“基于索引綜合癥（index-based syndrome，IBS）”機(jī)制，該機(jī)制將糾錯(cuò)碼復(fù)雜度降低16～64 倍。但此技術(shù)僅應(yīng)用于輸出實(shí)數(shù)值的PUF電路和軟判決編碼/解碼比較復(fù)雜的機(jī)制，目前已提出的PUF認(rèn)證與密鑰交換協(xié)議中開(kāi)銷大的問(wèn)題尚未得到有效解決。

針對(duì)PUF協(xié)議開(kāi)銷大問(wèn)題，本文提出一種位自檢策略的輕量級(jí)高可靠PUF模型，并根據(jù)該模型設(shè)計(jì)了一種新輕量級(jí)兩方認(rèn)證與會(huì)話密鑰交換協(xié)議。此協(xié)議在保證安全性同時(shí)無(wú)需模糊提取器或其他任何的糾錯(cuò)機(jī)制，且能有效減少開(kāi)銷，更適合資源受限的IoT設(shè)備。

1 BST-PUF模型及密鑰提取輔助算法

1.1 自檢PUF模型

PUF 電路主要利用內(nèi)部的偏差檢測(cè)電路來(lái)將制造工藝偏差轉(zhuǎn)換成信號(hào)偏差，再經(jīng)過(guò)仲裁電路的判決之后產(chǎn)生數(shù)字響應(yīng)。新的研究發(fā)現(xiàn)，PUF輸出響應(yīng)的可靠性與偏差信號(hào)強(qiáng)度等參數(shù)有著直接的關(guān)系，由較大的偏差信號(hào)所產(chǎn)生的響應(yīng)在各種環(huán)境下顯示了良好的魯棒性[9]。因此，文獻(xiàn)[10-11]提出一種輕量級(jí)可靠性增強(qiáng)機(jī)制，它在PUF 內(nèi)部嵌入了一個(gè)可靠性自檢電路，自動(dòng)檢測(cè)出生成每個(gè)PUF響應(yīng)的信號(hào)偏差，并為該響應(yīng)位產(chǎn)生一個(gè)可靠性標(biāo)志位。該P(yáng)UF 電路可用圖1 所示模型表示，稱之為比特自檢PUF（BST-PUF）電路。

圖1 BST-PUFs模型Fig.1 BST-PUFs model

在BST-PUF中，輸入激勵(lì)Ci時(shí)，除了生成相應(yīng)的響應(yīng)Ri外，還可以生成標(biāo)識(shí)該響應(yīng)可靠性的標(biāo)志值Fi。當(dāng)Fi為1 時(shí)，表明響應(yīng)Ri具有環(huán)境魯棒性，穩(wěn)定性很高。后續(xù)電路可以據(jù)此挑選魯棒響應(yīng)來(lái)構(gòu)建數(shù)字密鑰（如圖1（b）所示）從而大幅減少糾錯(cuò)開(kāi)銷。文獻(xiàn)[12]中的測(cè)試和分析結(jié)果表明，所挑選出的魯棒響應(yīng)具有良好的唯一性、均勻性和隨機(jī)特性，也具有很好的安全性，因此可以用于密鑰產(chǎn)生、認(rèn)證等各種安全應(yīng)用中。

1.2 BST-PUF密鑰提取輔助算法

利用可靠性自檢PUF 電路可以構(gòu)建輕量級(jí)密鑰提取輔助算法（HDA），從而取代模糊提取器。輔助算法的執(zhí)行包括密鑰產(chǎn)生和密鑰恢復(fù)兩個(gè)過(guò)程。密鑰產(chǎn)生過(guò)程如圖2（a）所示，首先由BST-PUF產(chǎn)生一定數(shù)量的響應(yīng)R和可靠性標(biāo)識(shí)值F，并輸入到魯棒響應(yīng)提取器中提取具有極高可靠性的魯棒響應(yīng)RB，然后經(jīng)過(guò)熵提取器生成高熵的密鑰K?？煽啃詷?biāo)志F作為輔助數(shù)據(jù)helper data存儲(chǔ)并公開(kāi)。密鑰恢復(fù)過(guò)程如圖2（b）所示。當(dāng)HDA從BST-PUF獲取帶噪聲的響應(yīng)R′之后，將R′和輔助數(shù)據(jù)F再次輸入魯棒響應(yīng)提取器中，可以得到相同的魯棒響應(yīng)RB，經(jīng)過(guò)熵提取器之后可以恢復(fù)出密鑰K。

圖2 新型HDA執(zhí)行流程Fig.2 New HAD execution flow

該輔助算法采用BST-PUF 電路和魯棒響應(yīng)提取器生成可靠的響應(yīng)，取代傳統(tǒng)PUF 和糾錯(cuò)碼組合，將可靠性標(biāo)志F作為輔助數(shù)據(jù)用來(lái)恢復(fù)密鑰。由于BST-PUF電路和魯棒響應(yīng)提取器的復(fù)雜性遠(yuǎn)低于傳統(tǒng)密鑰提取方式，且可靠性標(biāo)志長(zhǎng)度也遠(yuǎn)小于糾錯(cuò)碼所需的輔助數(shù)據(jù)長(zhǎng)度，因此該方式可大幅降低糾錯(cuò)復(fù)雜性、減少輔助數(shù)據(jù)長(zhǎng)度并提升PUF利用率。

2 基于BST-PUF 模型的輕量級(jí)認(rèn)證和會(huì)話密鑰交換協(xié)議

為了確保PUF 產(chǎn)生的密鑰能與其他通信實(shí)體進(jìn)行安全交換，本文采用比特自檢PUF模型與密鑰提取輔助算法設(shè)計(jì)一個(gè)輕量級(jí)兩方認(rèn)證及會(huì)話密鑰交換協(xié)議[13]，在一個(gè)擁有PUF 實(shí)體的密碼設(shè)備（device）與服務(wù)器（server）之間進(jìn)行安全認(rèn)證并建立共享會(huì)話密鑰。確保安全性的同時(shí)有效降低了糾錯(cuò)開(kāi)銷，大幅減少了輔助數(shù)據(jù)長(zhǎng)度。

2.1 基本概念

為描述提出的輕量級(jí)PUF 認(rèn)證與會(huì)話密鑰交換協(xié)議，表1給出相關(guān)概念。

表1 相關(guān)概念Table 1 Related concept

2.2 協(xié)議描述

協(xié)議在PUF device 與server 間進(jìn)行，server 擁有KEY.Ext 函數(shù)、TRNG 函數(shù)、PRF 和PRF'函數(shù)。device 擁有BST-PUF 函數(shù)、KEY.Ext 函數(shù)、TRNG 函數(shù)、PRF 和PRF'函數(shù)。

協(xié)議執(zhí)行分為兩個(gè)階段：注冊(cè)階段（enrollment phase）和密鑰交換階段（key-exchange phase）。

注冊(cè)階段：安全環(huán)境下，server對(duì)身份標(biāo)識(shí)為IDi的device 中的BST-PUF 進(jìn)行注冊(cè)，提取一定數(shù)量激勵(lì)-響應(yīng)-可靠標(biāo)識(shí)信息。首先，server 隨機(jī)產(chǎn)生一個(gè)激勵(lì)ci，利用BST-PUF 中的BST-PUF（）函數(shù)獲取響應(yīng)和可靠性標(biāo)識(shí)：r1,f1BST-PUF(ci)PUF。重復(fù)上述過(guò)程提取若干(c,f,r)集合并存儲(chǔ)在server數(shù)據(jù)庫(kù)。然后，隨機(jī)挑選集合(c1,f1,r1)，設(shè)定初始共享密鑰k=k1和k=kold。Server 存儲(chǔ)該P(yáng)UF 的ID 值、密鑰以及(C,F,R) 集合：{IDi:k1,kold,(c,f,r)} ，device 存儲(chǔ){IDi,c1,f1} 。雙方建立了初始共享密鑰k1。

密鑰交換階段：當(dāng)server和device要發(fā)起會(huì)話時(shí)，執(zhí)行兩方認(rèn)證和密鑰交換步驟如圖3所示。

圖3 提出的兩方認(rèn)證與會(huì)話密鑰交換協(xié)議Fig.3 Proposed two-party authentication and session key exchange protocol

首先，server 產(chǎn)生并發(fā)送隨機(jī)數(shù)m1給device，device 收到m1后，產(chǎn)生隨機(jī)數(shù)m2。然后，將保存的激勵(lì)c1輸入到PUF中，獲取帶有噪聲的響應(yīng)r′1，并用密鑰提取函數(shù)KEY.Ext和保存的輔助數(shù)據(jù)f1從r′1中提取出密鑰k1。然后，以k1為密鑰、m1||m2為輸入，利用偽隨機(jī)函數(shù)PRF 產(chǎn)生5 個(gè)偽隨機(jī)數(shù)s1,s2,…,s5用于后續(xù)認(rèn)證加密。最后將IDi、s1、m2發(fā)給server。

Server 對(duì)device 認(rèn)證通過(guò)后，server 隨機(jī)挑選集合(c2,f2,r2) ，設(shè)置k2=KEY.Ext(r2,f2) ，將密鑰k1、kold更新為k2和k1，把(c2,f2,r2)從數(shù)據(jù)庫(kù)刪除。然后用異或加密將s′2與c2加密得u，s′3與f2加密得v，計(jì)算u、v的MAC 值w:=PRF′(s′4,m1||u||v)，最后將(s′5,u,v,w)發(fā)給device。

Device接收信息后，首先認(rèn)證s5是否等于s′5，若相等，則對(duì)server認(rèn)證成功。device再對(duì)接收的信息w進(jìn)行MAC認(rèn)證，確保w未被篡改。若MAC認(rèn)證正確，就將u與s2異或得到c2，v與s3異或得到f2，并將c1、f1更新為c2和f2。至此，密鑰交換過(guò)程完成，server 和device建立了新會(huì)話密鑰k1。

3 協(xié)議形式化分析與安全特性

3.1 BAN邏輯形式化分析

本文采用BAN邏輯化分析對(duì)提出協(xié)議進(jìn)行安全性證明。server（S）或device（D）用相同的偽隨機(jī)函數(shù)PRF 分別生成5 個(gè)偽隨機(jī)數(shù)s′1,s′2,…,s′5與s1,s2,…,s5用于后續(xù)認(rèn)證與加密。以雙方的共享密鑰k1和實(shí)時(shí)產(chǎn)生的隨機(jī)數(shù)m1和m2為輸入PRF，因此s′1,s′2,…,s′5與s1,s2,…,s5相同。設(shè)定server或device事先共享了3個(gè)密鑰分別為kab1、kab2、kab3。同時(shí)，協(xié)議采用BST-PUF及其魯棒響應(yīng)提取器實(shí)時(shí)生成最后的密鑰k，實(shí)際上協(xié)議雙方交換的共享秘密信息為c2和f2。因此，將c2和f2作為雙方最終交換的密鑰信息來(lái)進(jìn)行安全分析。BSTPUF函數(shù)及其魯棒響應(yīng)提取器可信情況下，若c2和f2滿足安全性需求，最終產(chǎn)生的密鑰k也將滿足安全性需求。

本文涉及的BAN邏輯規(guī)則如下：

根據(jù)式（8）和（9），可以得到協(xié)議能保證server 與PUF device 共享的秘密信息c2和f2的安全性，即安全目標(biāo)①和②得證，那么最后生成的密鑰k也能滿足安全需求。

3.2 協(xié)議安全特性分析

3.2.1 密鑰安全性

已知會(huì)話密鑰安全：即使協(xié)議第i輪完成后會(huì)話密鑰泄露了，但第i+1 輪認(rèn)證與會(huì)話密鑰交換過(guò)程不包含第i輪任何信息，且每輪認(rèn)證與密鑰交換完成后，server 會(huì)刪除該輪的密鑰信息，即協(xié)議每次執(zhí)行過(guò)程都會(huì)生成唯一的會(huì)話密鑰，第i+1 輪及以后會(huì)認(rèn)證與密鑰交換不會(huì)受到影響。

未知密鑰共享安全：協(xié)議中server 與device 建立會(huì)話密鑰k2后，敵手嘗試與device或server進(jìn)行通信來(lái)獲取另一方的密鑰。未知密鑰需要ID、偽隨機(jī)數(shù)s1和真隨機(jī)數(shù)m2等信息通過(guò)認(rèn)證獲取，偽隨機(jī)數(shù)s1需密鑰k1與隨機(jī)數(shù)m1、m2經(jīng)偽隨機(jī)函數(shù)得到，密鑰k1作為密鑰安全參數(shù)是根據(jù)響應(yīng)r1生成。r1未知?jiǎng)t無(wú)法獲取密鑰k1。只有合法設(shè)備才能通過(guò)認(rèn)證與密鑰交換，未知密鑰共享安全能得到有效保證。

前向與后向安全性：協(xié)議每輪產(chǎn)生的新密鑰ri由server 從數(shù)據(jù)庫(kù)隨機(jī)挑選，確保協(xié)議每次更新的密鑰值的獨(dú)立性。每個(gè)密鑰使用后數(shù)據(jù)庫(kù)會(huì)刪除，保證密鑰不會(huì)重復(fù)使用，因此即使攻擊者知道某次會(huì)話密鑰值，甚至獲取了一部分密鑰信息對(duì)由于PUF的不可克隆性，也無(wú)法破解PUF推算出前一次和后一次的會(huì)話密鑰。

抗密鑰泄露偽裝攻擊安全：server 中的新密鑰信息對(duì)都是server從數(shù)據(jù)庫(kù)隨機(jī)挑選，確保了協(xié)議每次更新的密鑰值的獨(dú)立性。密鑰信息使用后數(shù)據(jù)庫(kù)會(huì)刪除，保證密鑰不會(huì)重復(fù)使用。密鑰信息的前項(xiàng)與后項(xiàng)安全性是可以保證的，即使一部分密鑰信息對(duì)泄漏，由PUF 的不可克隆性，密鑰信息也無(wú)法推斷出來(lái)，所以敵手無(wú)法冒充其他實(shí)體與server或device進(jìn)行會(huì)話。

抗密鑰控制安全：server 與device 在協(xié)議會(huì)話中，server 確定s′1=s1后，server 會(huì)從數(shù)據(jù)庫(kù)(C,F,R)中隨機(jī)選取一組密鑰信息響應(yīng)對(duì)來(lái)作為一個(gè)會(huì)話的密鑰，server 數(shù)據(jù)庫(kù)中儲(chǔ)存了大量的數(shù)據(jù)，抽取滿足數(shù)學(xué)檢驗(yàn)良好隨機(jī)性即可以抗密鑰控制。

抗臨時(shí)私鑰泄露：協(xié)議執(zhí)行過(guò)程中的會(huì)話密鑰為私鑰，長(zhǎng)期密鑰為server儲(chǔ)存于數(shù)據(jù)庫(kù)中的密鑰。即使某輪或某幾輪的會(huì)話密鑰泄漏，協(xié)議也能保證抗臨時(shí)私鑰泄露。因?yàn)槊枯喌拿荑€信息對(duì)都是server 在數(shù)據(jù)庫(kù)隨機(jī)選取的，滿足隨機(jī)獨(dú)立性；密鑰信息對(duì)完成對(duì)應(yīng)輪次認(rèn)證與會(huì)話密鑰交換后，密鑰信息會(huì)從數(shù)據(jù)庫(kù)中刪除且會(huì)話密鑰每輪都會(huì)更新。所以臨時(shí)私鑰泄漏不會(huì)對(duì)協(xié)議安全造成影響。

3.2.2 其他安全性

抗DoS攻擊：協(xié)議中server完成對(duì)device的認(rèn)證后，先更新共享密鑰k1。此時(shí)若攻擊者發(fā)動(dòng)DoS 攻擊，使device在后面無(wú)法正確接收到server發(fā)送的數(shù)據(jù)，則device 不會(huì)更新密鑰k1，引發(fā)了密鑰失配。為應(yīng)對(duì)該威脅，協(xié)議server 中保存了舊密鑰kold，一旦發(fā)生DoS 攻擊，雙方會(huì)使用舊密鑰kold來(lái)進(jìn)行接下來(lái)的認(rèn)證和密鑰更新過(guò)程。

抗物理探測(cè)攻擊：傳統(tǒng)密鑰交換協(xié)議，密鑰直接保存在非易失性存儲(chǔ)器中，易受到侵入式探測(cè)攻擊和非侵入式圖像攻擊的破解。協(xié)議device 只存儲(chǔ)了激勵(lì)c1和可靠標(biāo)志f1，即使攻擊者破解了c1和f1，知道PUF 的結(jié)構(gòu)，由PUF 不可克隆性[14]，攻擊者仍無(wú)法獲取密鑰k1值。后續(xù)新密鑰k2由server 隨機(jī)挑選，因此c1和f1泄露不會(huì)對(duì)后續(xù)密鑰交換產(chǎn)生影響。

抗建模攻擊：PUF 結(jié)構(gòu)尺寸有限，當(dāng)攻擊者獲取PUF 足夠多CPRs 時(shí)，可通過(guò)建模以極大概率預(yù)測(cè)PUF的CPR行為。建模攻擊前提是獲取足夠多的CPRs。其他協(xié)議[15]攻擊者可通過(guò)監(jiān)聽(tīng)通信信道或進(jìn)行物理攻擊獲取CPRs。但本協(xié)議，激勵(lì)信息c和輔助數(shù)據(jù)f經(jīng)過(guò)異或加密后傳輸，響應(yīng)值r未在信道上進(jìn)行傳輸，因此攻擊者無(wú)法從信道上獲取CRPs。但攻擊者可通過(guò)物理攻擊探測(cè)device 中的非易失存儲(chǔ)器（NVM）獲取c和f。但物理攻擊具有破壞性，只能獲取device當(dāng)前存儲(chǔ)的(c1,f1)。因此，攻擊者通過(guò)各種攻擊均無(wú)法獲取足夠CPRs來(lái)進(jìn)行建模攻擊。

4 協(xié)議實(shí)現(xiàn)及性能分析

4.1 協(xié)議實(shí)現(xiàn)

為了評(píng)估協(xié)議device端的執(zhí)行開(kāi)銷與性能，測(cè)試將device 端協(xié)議以硬件方式在旁路攻擊評(píng)估板SASEBOGII 上的Cryptographic FPGA 上實(shí)現(xiàn)，server 端協(xié)議在PC 上實(shí)現(xiàn)。測(cè)試時(shí)device 使用UART 接口與server通信，頂層電路結(jié)構(gòu)如圖4 所示。device 主要包括BST-PUF 電路、控制器（controller）、密鑰提取器（KEY extractor）、偽隨機(jī)函數(shù)PRF、真隨機(jī)數(shù)產(chǎn)生器TRNG、SPI ROM。BST-PUF 電路采用文獻(xiàn)[10]Arbiter-PUF 實(shí)現(xiàn)。密鑰提取器也采用文獻(xiàn)[10]電路架構(gòu)實(shí)現(xiàn)。偽隨機(jī)數(shù)產(chǎn)生器PRF 采用了文獻(xiàn)[5]中基于SIMON 的實(shí)現(xiàn)方式。而TRNG則采用文獻(xiàn)[16]提出的基于電路亞穩(wěn)態(tài)的FPGA實(shí)現(xiàn)結(jié)構(gòu)。

圖4 模塊組成圖Fig.4 Module composition diagram

4.2 協(xié)議性能分析

Device端協(xié)議采用Verilog實(shí)現(xiàn)后，使用Xilinx ISE 11.1綜合工具將協(xié)議寫(xiě)入SASEBO-GII 的Cryptographic FPGA 中。協(xié)議執(zhí)行1 000 次后，平均每次各模塊以及總平均執(zhí)行開(kāi)銷如表2所示。

表2 Device端協(xié)議執(zhí)行開(kāi)銷Table 2 Device side execution overhead

從表3 看出本文提出協(xié)議實(shí)現(xiàn)了雙向認(rèn)證與可靠的密鑰交換，能夠抵抗物理探測(cè)攻擊、DoS攻擊，具有前后向安全性。由于加入了消息認(rèn)證碼，可有效抵抗篡改攻擊和中間人攻擊。PUF密鑰信息經(jīng)過(guò)加密傳輸，可防建模攻擊。

表3 協(xié)議安全性與執(zhí)行開(kāi)銷比較Table 3 Comparison of protocol security and execution overhead

執(zhí)行開(kāi)銷上，本協(xié)議device 端資源消耗為798 個(gè)LUT，436個(gè)register。相比現(xiàn)有PUF輕量型認(rèn)證與密鑰交換協(xié)議，執(zhí)行開(kāi)銷大幅度減小，更適用于資源受限的物聯(lián)網(wǎng)設(shè)備。

表4 對(duì)比了各協(xié)議在實(shí)驗(yàn)中的運(yùn)行一次認(rèn)證所用時(shí)間、用到的輔助數(shù)據(jù)總長(zhǎng)度，可以看出本文提出的協(xié)議的輔助數(shù)據(jù)字節(jié)長(zhǎng)度大幅減少，且運(yùn)行時(shí)間較短。

表4 協(xié)議運(yùn)行時(shí)間與輔助數(shù)據(jù)長(zhǎng)度比較Table 4 Comparison of protocol uptime and help data length

5 結(jié)束語(yǔ)

本文提出一種輕量型認(rèn)證與會(huì)話密鑰交換協(xié)議。協(xié)議用BST-PUF 電路實(shí)現(xiàn)密鑰產(chǎn)生與交換，用偽隨機(jī)函數(shù)和異或運(yùn)算來(lái)進(jìn)行雙向認(rèn)證和異或加密。協(xié)議中device只需有BST-PUF電路、真隨機(jī)數(shù)產(chǎn)生器和偽隨機(jī)函數(shù)，無(wú)需采用任何糾錯(cuò)機(jī)制，保證安全性同時(shí)有效降低執(zhí)行開(kāi)銷低至237 slices。安全性分析表明該協(xié)議實(shí)現(xiàn)了雙向認(rèn)證和可靠的密鑰交換，能夠抵抗竊聽(tīng)攻擊、篡改攻擊、中間人攻擊、DOS攻擊、建模攻擊、物理探測(cè)等攻擊。