物理不可克隆函數(shù)（PUF）研究綜述

◆尹魏昕 賈詠哲 高艷松 徐 雷

物理不可克隆函數(shù)（PUF）研究綜述

◆尹魏昕1賈詠哲2高艷松2徐 雷2

（1.國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心江蘇分中心 江蘇 210003；2.南京理工大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院 江蘇 210094）

物理不可克隆函數(shù)（PUF）利用制造過(guò)程引入的不可控差異作為芯片的指紋信息。PUF的典型應(yīng)用由認(rèn)證、驗(yàn)證及密鑰生成。本文調(diào)查研究了物理不可克隆函數(shù)的原理，分析了當(dāng)前研究現(xiàn)狀，結(jié)合目前硬件安全中一些比較常見(jiàn)的安全問(wèn)題，對(duì)多種 PUF 進(jìn)行了深入分析。

PUF；硬件安全；密鑰

0 引言

沒(méi)有兩個(gè)物體是完全一樣的，即使采用相同的工藝來(lái)制造它們。雖然我們通常不希望制造過(guò)程中產(chǎn)生差異，但是為了安全目的，可以利用和這些差異的相關(guān)作用來(lái)唯一地識(shí)別物理對(duì)象。為了便于實(shí)現(xiàn)這種作用，可以在集成電路（IC）上實(shí)現(xiàn)所謂的物理不可克隆函數(shù)（PUF）[1]。

如今能訪問(wèn)我們個(gè)人數(shù)據(jù)和代表我們身份的電子設(shè)備越來(lái)越多，PUF可以增加這些設(shè)備的安全性，例如智能手機(jī)、信用卡、通行證、自動(dòng)化家庭的傳感器以及醫(yī)療植入物等等。 PUF通常需要與其他構(gòu)件塊（例如，真隨機(jī)數(shù)發(fā)生器（TRNG），加密算法，糾錯(cuò)碼，非易失性存儲(chǔ)器（NVM）等）組合。盡管PUF在實(shí)際應(yīng)用中依然存在許多缺陷和易受攻擊面，但這些經(jīng)驗(yàn)教訓(xùn)也可以幫助提高未來(lái)基于PUF的系統(tǒng)的質(zhì)量。

1 PUF的原理及特點(diǎn)

物理媒體的具有微觀的、隨機(jī)的、不可克隆的無(wú)序性在安全任務(wù)中的應(yīng)用近來(lái)受到越來(lái)越多的關(guān)注。利用無(wú)序性可以產(chǎn)生一些優(yōu)勢(shì)[1]：首先，它可以避免數(shù)字密鑰永久存儲(chǔ)在易受攻擊的硬件中，使得所得到的系統(tǒng)更具有抵御侵入和惡意軟件攻擊的能力。其次，隨機(jī)性物理差異具有難以克隆或偽造的天然特征，因?yàn)橥耆刂莆锢斫橘|(zhì)中的微米和納米級(jí)制造差異是非常困難的，并且即使可能實(shí)現(xiàn)，也是非常昂貴的。第三，利用物理系統(tǒng)中的固有差異和熵，有時(shí)可以實(shí)現(xiàn)密碼協(xié)議，這為密碼學(xué)創(chuàng)造了一個(gè)替代基礎(chǔ)，并且它的安全性不依賴于未經(jīng)證實(shí)的數(shù)論假設(shè)。PUF可以作為這種新類(lèi)型的“無(wú)序”密碼原語(yǔ)最好的代表。

2 弱PUF類(lèi)型

以下介紹幾種常見(jiàn)的弱PUF：

2.1 ICID PUF

ICID是第一個(gè)根據(jù)工藝差異生成弱PUF的電路結(jié)構(gòu)。ICID PUF中設(shè)計(jì)了一系列可尋址的MOSFET，共同的柵極和源極以及連續(xù)選擇的漏極驅(qū)動(dòng)著一個(gè)電阻負(fù)載。由于器件閾值電壓失配（由工藝變化引起），使得漏極電流具有隨機(jī)差異。ICID利用這些唯一的隨機(jī)差異來(lái)構(gòu)建唯一的識(shí)別。在0.35μm的技術(shù)中，文獻(xiàn)[2]的作者提出，他們的測(cè)試電路上重復(fù)隨機(jī)比特有10％的假陽(yáng)性和假陰性結(jié)果，識(shí)別能力可以通過(guò)增加位長(zhǎng)來(lái)改進(jìn)。

2.2基于SRAM的PUF

使用SRAM的半導(dǎo)體集成電路進(jìn)行識(shí)別的想法最初是在2002年的專(zhuān)利[4]中提出的，但沒(méi)有包括實(shí)驗(yàn)數(shù)據(jù)。文獻(xiàn)[5]中的工作構(gòu)建了一個(gè)類(lèi)似SRAM的單元的定制陣列，在0.13μm技術(shù)中基于閾值失配生成隨機(jī)值。另外，SRAM的初始化可以為每個(gè)芯片產(chǎn)生一個(gè)物理指紋，這些指紋可以通過(guò)標(biāo)準(zhǔn)的NIST隨機(jī)性測(cè)試來(lái)運(yùn)行。

2.3涂層PUF

涂層PUF是由一種能實(shí)現(xiàn)防讀硬件的弱PUF構(gòu)造。防讀硬件設(shè)備一旦構(gòu)建，外部實(shí)體就不能讀?。ㄌ崛。┐鎯?chǔ)在設(shè)備中的數(shù)據(jù)的信息。文獻(xiàn)[5]提出，將PUF以保護(hù)涂層的形式，噴涂在IC上并覆蓋其表面。

涂層PUF的一個(gè)中心特性是它們的篡改敏感性：假定對(duì)涂層的任何篡改（例如侵入性滲透或從被覆蓋的IC上去除）會(huì)嚴(yán)重且不可恢復(fù)地改變其性質(zhì)。

3 弱PUF的應(yīng)用和安全性

3.1密鑰生成和存儲(chǔ)

弱PUF提供了基于隨機(jī)無(wú)序物理介質(zhì)波動(dòng)的私鑰生成和存儲(chǔ)的方法[6]。因此，任何利用密鑰存儲(chǔ)的安全協(xié)議都可以在其流程中使用弱PUF。

3.2 IP保護(hù)

圖1 PUF在IP保護(hù)中的應(yīng)用

3.3安全處理器

Suh在文獻(xiàn)[7]中描述了如何將弱PUF嵌入到安全處理器中，然后將其用于諸如認(rèn)證執(zhí)行和軟件許可之類(lèi)的應(yīng)用。弱PUF用于為公鑰或私鑰對(duì)生成種子。種子和私鑰從不公開(kāi)，公鑰由認(rèn)證機(jī)構(gòu)公布和認(rèn)證。種子被用作對(duì)稱密鑰來(lái)加密處理器的用戶已知的次級(jí)對(duì)稱密鑰。此外，種子仍然是私密的，并且僅用于加密給定的次級(jí)密鑰，并且解密次級(jí)密鑰以供安全任務(wù)的內(nèi)部使用。

3.4安全分析

弱PUF通常被歸結(jié)為三個(gè)優(yōu)點(diǎn)：

（1）由于密鑰僅在芯片上電時(shí)存在，所以比永久存儲(chǔ)在NVM中的標(biāo)準(zhǔn)數(shù)字密鑰更難讀出；

（2）它們具有一些自然的篡改敏感性，這意味著任何對(duì)設(shè)備或?qū)η度隤UF的硬件系統(tǒng)的篡改都會(huì)改變其物理特征和衍生的密鑰；

（3）節(jié)省成本。它們避免了硬件系統(tǒng)中NVM所必需的處理步驟。

4 強(qiáng)PUF類(lèi)型

（2）實(shí)用性和可操作性：CRP應(yīng)該足夠穩(wěn)定，對(duì)環(huán)境條件和多個(gè)讀數(shù)有效。

（3）訪問(wèn)模式：任何能夠訪問(wèn)強(qiáng)PUF的實(shí)體都可以應(yīng)用多種激勵(lì)，并可以讀出相應(yīng)的響應(yīng)。不存在受保護(hù)、控制或限制訪問(wèn)的PUF的激勵(lì)和響應(yīng)。

（4）安全：若不具備物理上實(shí)際存在的強(qiáng)PUF，攻擊者和PUF的制造商都不能正確地預(yù)測(cè)隨機(jī)選擇的激勵(lì)的響應(yīng)。即使上述兩方能夠訪問(wèn)強(qiáng)PUF達(dá)到相當(dāng)長(zhǎng)的時(shí)間，甚至進(jìn)行正當(dāng)?shù)奈锢頊y(cè)量，上述結(jié)論也依然成立。

以下介紹兩種典型的強(qiáng)PUF類(lèi)型。

4.1光學(xué)PUF

光學(xué)PUF包含一個(gè)透明的塑料標(biāo)記，其中包含大量隨機(jī)分布的玻璃球[9]。一個(gè)獨(dú)特的，不可克隆的令牌在不同的角度和發(fā)生點(diǎn)（可以認(rèn)為是系統(tǒng)的激勵(lì)）下被照亮，并產(chǎn)生作為系統(tǒng)響應(yīng)的干擾模式。這里假定光學(xué)PUF具有大量的激勵(lì)，并且CRP被私有集存儲(chǔ)在中央數(shù)據(jù)庫(kù)中。因此，光學(xué)PUF可以被遠(yuǎn)程驗(yàn)證。

理論上這種結(jié)構(gòu)是安全的（到目前為止還沒(méi)有發(fā)現(xiàn)攻擊），但是測(cè)量裝置是外部的，并且相對(duì)較大，當(dāng)令牌由不同位置測(cè)量時(shí)，存在一些實(shí)用性問(wèn)題和穩(wěn)定性問(wèn)題。

4.2仲裁器PUF

幾乎在提出光學(xué)PUF的同時(shí)，文獻(xiàn)[1]提出了第一個(gè)集成電子強(qiáng)PUF，包括“Arbiter PUF”。與光學(xué)PUF不同，硅PUF不需要外部測(cè)量設(shè)備，它基于電路中的運(yùn)行時(shí)間延遲差異。

這種結(jié)構(gòu)很容易被模擬攻擊[1]。在例如機(jī)器學(xué)習(xí)算法進(jìn)行攻擊時(shí)，攻擊者收集許多CRP，并使用它們來(lái)推導(dǎo)在電路子組件中發(fā)生的運(yùn)行時(shí)間延遲，從而模擬和預(yù)測(cè)PUF模型，破壞其安全性。

5 強(qiáng)PUF的應(yīng)用和安全性

5.1協(xié)議和應(yīng)用

另一個(gè)應(yīng)用是基于強(qiáng)PUF的密鑰交換或密鑰建立[10]。然而，文獻(xiàn)[11]已經(jīng)表明，這樣的密鑰交換可能會(huì)遇到前向保密性以及重復(fù)用于會(huì)話密鑰交換的問(wèn)題。該文獻(xiàn)也提出了一種可以解決這個(gè)問(wèn)題的新型PUF，稱為可擦寫(xiě)PUF。這種新型的可擦除PUF不同于早期的FPGA PUF，可以在每個(gè)認(rèn)證會(huì)話中配置和擦除。

5.2安全和攻擊

對(duì)強(qiáng)PUF的攻擊可以是構(gòu)建物理克隆，即與原始PUF完全相同的第二物理系統(tǒng)；也可以是數(shù)字克隆，即模仿PUF的激勵(lì)-響應(yīng)行為的計(jì)算機(jī)算法。

攻擊者通常僅需要收集強(qiáng)PUF的所有CRP的子集，以獲得（或至少間接獲得）關(guān)于PUF中包含的所有CRP相關(guān)信息或熵的信息。當(dāng)攻擊者收集了這樣一個(gè)子集，他可以從CRP子集中建立等式或不等式系統(tǒng)，其變量描述PUF內(nèi)部結(jié)構(gòu)，如果他可以有效地解決等式或不等式的系統(tǒng)，他就可以攻破PUF。然而他不能這樣做的假設(shè)只是另一種未經(jīng)證實(shí)的計(jì)算假設(shè)。

另一個(gè)與強(qiáng)PUF安全相關(guān)的中心問(wèn)題在于，強(qiáng)PUF可避免在硬件中使用明確的數(shù)字密鑰，但其未必能完全避免所有的秘密信息存在于一般硬件中。一旦強(qiáng)PUF的內(nèi)部配置被攻擊者知道，那么攻擊者幾乎總是能夠預(yù)測(cè)并因此破壞PUF。因此，像傳統(tǒng)的密碼系統(tǒng)一樣，強(qiáng)PUF通常假設(shè)一些內(nèi)部信息是保密的。從PUF的角度來(lái)看，這些信息比以數(shù)字密鑰的方式存儲(chǔ)更安全。

6 總結(jié)與展望

由于傳統(tǒng)技術(shù)在物理上存在安全問(wèn)題，所以可以考慮采用PUF，它能在物理層面提供安全保護(hù)。然而，從2010年起發(fā)表的眾多關(guān)于PUF的物理攻擊的文章中可以清楚地看出，這種原語(yǔ)也不完全安全。無(wú)論關(guān)于噪聲和環(huán)境擾動(dòng)的實(shí)驗(yàn)工作如何，這些攻擊的巨大規(guī)模都對(duì)PUF技術(shù)提出了質(zhì)疑。因此，需要進(jìn)一步研究這些技術(shù)的策略和有效性。

[1]B.Gassend, D. Clarke, M. van Dijk, and S. Devadas, “Silicon physical randomfunctions,” in Computer and Communication Security Conference，2002.

[2]K.Lofstrom, W. R. Daasch, and D. Taylor, “Ic identification circuit using devicemismatch,” in ISSCC， 2000.

[3]P.Layman, S. Chaudhry, J. Norman, and J. Thomson, “Electronic fingerprintingof semiconductor integrated circuits,” US Patent 6,738,294, September，2002.

[4]Y.Su,J.Holleman,and B. Otis,“A 1.6pJ/bit 96 (percent) stable chip ID generating circuit using process variations，”in IEEE International Solid-State CircuitsConference (ISSCC)，2007.

[5]P.Tuyls, G.-J. Schrijen, B. Skoric, J. van Geloven, N. Verhaegh, and R. Wolters,“Read-proof hardware from protective coatings,” in Cryptographic Hardware andEmbedded Systems (CHES)，2006.

[6]B.Gassend,“Physical Random Functions,” Master’s thesis, Massachusetts Institute of Technology, Jan2003.

[7]G.E.Suh,“AEGIS：A Single-Chip Secure Processor,” Ph.D. dissertation, Massachusetts Institute of Technology, Aug 2005.

[8]Y.Alkabani and F. Koushanfar, “Active hardware metering for intellectual property protection and security,” in USENIX Security Symposium，2007.

[9]R. Pappu, “Physical one-way functions,” Ph.D. dissertation, Massachusetts Institute of Technology，2001.

[10]R.Pappu,B.Recht,J.Taylor,and N. Gershenfeld, “Physical one-way functions,”Science, vol. 297，2002.

[11]U.Rührmair, C. Jaeger, and M. Algasinger,“An Attack on PUF-based SessionKey Exchange and a Hardware-based Countermeasure,”Financial Cryptographyand Data Security (FC)， 2011.

[12]U. Rührmair, F. Sehnke, J. S¨ olter, G. Dror, S. Devadas, and J. Schmidhuber,“Modeling attacks on physical unclonable functions,” in ACM Conference onComputer and Communications Security (CCS)，2010.

本文得到國(guó)家自然科學(xué)基金(No.61671244)和中央高?；究蒲袠I(yè)務(wù)費(fèi)專(zhuān)項(xiàng)資金資助(No. 30918011204)的支持。