强物理不可克隆函数的侧信道混合攻击 读书报告

作者:刘威, 蒋烈辉, 常瑞.

摘要：物理不可克隆函数( Physical Unclonable Function，PUF) 凭借其固有的防篡改、轻量级等特性，在资源受限的物联网安全领域拥有广阔的应用前景，其自身的安全问题也日益受到关注。 多数强 PUF 可通过机器学习方法建模，抗机器学习的非线性结构 PUF 难以抵御侧信道攻击。 本文在研究强 PUF 建模的基础上，基于统一符号规则分类介绍了现有的强 PUF 侧信道攻击方法如可靠性分析、功耗分析和故障注入等，重点论述了各类侧信道/机器学习混合攻击方法的原理、适用范围和攻击效果，文章最后讨论了 PUF 侧信道攻击面临的困境和宜采取的对策.

关键词：强物理不可克隆函数; 侧信道混合攻击; 机器学习; 可靠性; 功耗分析; 故障注入

（1）研究背景：

尽管在提出之初 PUF 就被定位为无法克隆，但随后的很多实验研究和理论分析均表明 PUF 能够被建模。 攻击者在获取足够的 CRP 后，利用密码分析对组PUF 建模的准确率达到 90% 以上。

侧信道攻击是从密码系统硬件电路中提取信息的有效方法。与传统方法寻找算法理论的脆弱性不同，侧信道攻击主要利用系统物理实现时带入的脆弱性。

（2）研究问题：

侧信道攻击与机器学习方法结合后，侧信道攻击能提供除 CRP 以外的信息，可有效降低PUF建模时的计算量，缩短攻击时间，机器学习与侧信道结合的混合攻击成为目前强 PUF 攻击的主流方法。

1. 研究过程：

1. 机器学习攻击：

1.数学模型：

以标准仲裁器PUF为例。四个通过每个交叉开关的可能传播延迟路径带有两个输入端口和两个输出端口的交换机可以被代表 、 、 、 ，下标t和b分别表示顶部和底部交换机的端口。让 表示第i个开关的双极编码质询位。假设第i个开关以直线模式运行当C[i]=1且当C[i]=-1时交换模式发射脉冲的路径延迟 和 从第一个开关的输入端口到顶部第i个交换机的底部输出端口可以建模如下：

Δt[i]=1+c[i]2(Δt[i-1]+δtt[i])+1-c[i]2(Δb[i-1]+δbt[i])Δb[i]=1+c[i]2(Δb[i-1]+δbb[i])+1-c[i]2(Δt[i-1]+δtb[i]) 

让 。对于n级PUF，在仲裁器输入处的顶部和底部路径之间的延迟差可以导出为：Δ[n-1]=ω→⋅ϕ→T 。

的n+1个线性加性模型系数 延迟向量由下式计算：ω[i]=αi+βi-1,fori=0,1,⋯,n 。当αn=β-1=0 、αi=(1/2){(δtt[i]-δbb[i])+(δtb[i]-δbt[i])} 、βi=(1/2){(δtt[i]-δbb[i])-(δtb[i]-δbt[i])} ；特征向量 的n+1个元素由下式表示：ϕ[i]={1i=nΠj=in-1C[j]i=0,1,2…n 。

因此，n级仲裁器PUF的响应可以直接从 的符号推导出来。据报告，几百个CRP足以达到预测率。使用该模型失去攻击PUF的可靠性。虽然延迟参数无法通过测量直接得到，但是获取足够数量的 CRP后，可用最小二乘法求解出 W，得到数学模型。

2.机器学习攻击方法：

逻辑回归、支持向量机、进化策略、深度学习和集成学习等。

3.机器学习防御方法：

• 防御思路之一是混淆，即隐藏 PUF 的真实激励或响应。
• 另一种安全强化方法是加入非线性元素，如异或PUF。

1. 测信道攻击：

1.侧信道攻击：

密码算法的物理安全( 即实现安全) 并不等价于算法设计时的理论安全，实现过程中产生的时间、功耗、电磁辐射等信息泄露称为侧信道泄露。利用侧信道泄露信息进行密码分析的方法称为旁路攻击或侧信道分析。

虽然 PUF 被认为能抵御克隆、物理侵入等物理攻击，但是一系列研究表明 PUF 并不具备抗侧信道分析的特性。

有之前的介绍可知，可靠性的理想值为 1，但实际环境中，PUF不可避免地会受到温度、电压、老化等诸多因素影响，使得实际测量值小于1。各类PUF的可靠性差别不大，平均为94.5%。对攻击者而言，PUF响应的可靠性也能提供有价值的信息，单纯使用可靠性信息对PUF进行建模，称为可靠性分析。

基于可靠性提出了可重复度(repeatability)的概念，特指PUF在噪声影响下的短期可靠性(不包括器件老化的长期效应)。可重复度利用重复测量中随机噪声的作用对仲裁器PUF建模，实现了Ruhr-mair提出的思路。尽管性能上不及机器学习，但该方法仅使用可靠性信息，开辟了强PUF侧信道攻击的先河。

可重复度Rep是重复使用同一激励n次，得到响应值为1的次数与总次数n的比值。考虑仲裁器引入的延迟后，PUF输出由ΔDPUF－ΔtArb（ΔDPUF:激励产生的PUF延迟差，符合均值为0的高斯分布，标准差为σV；ΔtArb:由仲裁器偏差引入的延迟）决定。结合噪声的概率密度函数，可重复度Rep与PUF参数的关系如式：Rep⁡(ΔDpur)=12erfc⁡(ΔtA+b-ΔDPUF2σN) ，其中erfc⁡(t)=(2/π)t∞e-z2dz,ΔDPUF(Rep)=ΔtArb-2σNerfc-1⁡(2Rep) 。

当ΔDPUF=ΔtArb时，Rep值为1/2，Rep偏离1/2越远，说明该响应的可重复度越高。Rep在［0.1,0.9］取值范围内同激励Ci成线性关系，采集得到线性区域内的n个(Ci,Repi)组合后，用最小二乘法建立延迟模型，建模过程与利用激励响应对联立方程组类似。但通常仲裁器PUF的响应都比较稳定，只有10%左右的取值会在［0.1，0.9］范围内。因此该方法效率比机器学习低，且不能用于异或PUF。

1. 混合攻击：

将侧信道攻击与机器学习方法结合，形成混合攻击，利用侧信道分析得到的额外结构信息，同CRP一起提供给机器学习算法，混合攻击方法能够提高预测准确率、缩短攻击时间。

1.基于可靠性的CMA-ES混合攻击

单纯可靠性分析不但使用范围受限，而且攻击效果也不如机器学习。为了攻击异或PUF等非线性结构的复杂PUF，Becker提出了进化策略协同可靠性分析的侧信道混合攻击方法。攻击使用的可靠度参数h由Rel衍生而来，计算方法如式h=|m2-j=1mrj| 。

其中rj是选定特征向量Φ重复测试对象m次，得到的m个响应中的第j个。

基于可靠性的CMA-ES算法运算过程同传统的CMA-ES算法类似，除了增加了参数ε以外，其他步骤都一样。运行时按照式(11)对模型计算猜测可靠度 。h={1,|WTΦ|≥ε0,|WTΦ|<ε 。计算可靠度向量H=(h1，…，hn)和猜测可靠度向量 =( 1，…， n)的皮尔逊相关系数(Pearson correlation co-efficient)，选出相关系数高的模型作为下一轮的亲本，直至收敛到近似最优解。

2.功耗分析混合攻击

设ri(C)∈{0，1}表示激励为C时异或PUF中第i个仲裁器PUF的输出，则输出为“1”的仲裁器PUF数量 。使用梯度优化算法，让 和实际输出n间的均方误最小。l(M,W)=(c,h)∈M(f(W,C)-n)2 ，相应的梯度为：∇l(M,W)=(c,h)∈M2(f(W,C)-n)∇f(W)∇f(Wj)=σ(WjTΦj)(1-σ(WjTΦj))Φj。 

使用RProp 算法来寻找使l最小的解  。运用侧信道信息的模型复杂度仅取决于方向，与权重向量的长度无关，降低了算法求解的复杂度。Ruhrmair 使用两阶段优化方法，首先，使用侧信道信息基于梯度优化建模，直到能准确预测 95% 以上的异或输出，然后使用标准的逻辑回归算法继续优化模型。

3.故障注入混合攻击

故障攻击(fault attack)属于主动攻击，利用错误信息和故障行为对PUF进行建模的方法称为PUF故障攻击。故障注入是实施故障分析的必要条件，由于PUF自身固有的防篡改特性，侵入式和半侵入式故障注入难以发挥作用，通常使用非侵入式故障注入，通过外界干扰引发PUF产生响应位翻转等故障。原理上，改变电压、磁场、温度等均可能导致PUF响应故障，但考虑到难施的难易程度，最常用的仍然是调整电压和温度。

1. 研究结论：

侧信道分析与机器学习结合的混合攻击对当前几乎所有基于仲裁器的PUF均构成严重威胁。研究者在进行PUF设计或安全性评估时，需充分考虑抗侧信道混合攻击的能力。