基于對(duì)抗學(xué)習(xí)的強(qiáng)PUF安全結(jié)構(gòu)研究

李艷，劉威，孫遠(yuǎn)路

基于對(duì)抗學(xué)習(xí)的強(qiáng)PUF安全結(jié)構(gòu)研究

李艷，劉威，孫遠(yuǎn)路

（信息工程大學(xué)，河南 鄭州 450001）

針對(duì)強(qiáng)物理不可復(fù)制函數(shù)（PUF，physical unclonable function）面臨的機(jī)器學(xué)習(xí)建模威脅，基于對(duì)抗學(xué)習(xí)理論建立了強(qiáng)PUF的對(duì)抗機(jī)器學(xué)習(xí)模型，在模型框架下，通過(guò)對(duì)梯度下降算法訓(xùn)練過(guò)程的分析，明確了延遲向量權(quán)重與模型預(yù)測(cè)準(zhǔn)確率之間的潛在聯(lián)系，設(shè)計(jì)了一種基于延遲向量權(quán)重的對(duì)抗樣本生成策略。該策略與傳統(tǒng)的組合策略相比，將邏輯回歸等算法的預(yù)測(cè)準(zhǔn)確率降低了5.4%~9.5%，低至51.4%。結(jié)合資源占用量要求，設(shè)計(jì)了新策略對(duì)應(yīng)的電路結(jié)構(gòu)，并利用對(duì)稱(chēng)設(shè)計(jì)和復(fù)雜策略等方法對(duì)其進(jìn)行安全加固，形成了ALPUF（adversarial learning PUF）安全結(jié)構(gòu)。ALPUF不僅將機(jī)器學(xué)習(xí)建模的預(yù)測(cè)準(zhǔn)確率降低至隨機(jī)預(yù)測(cè)水平，而且能夠抵御混合攻擊和暴力破解。與其他PUF結(jié)構(gòu)的對(duì)比表明，ALPUF在資源占用量和安全性上均具有明顯優(yōu)勢(shì)。

物理不可復(fù)制函數(shù)；對(duì)抗樣本；延遲向量；對(duì)抗學(xué)習(xí)PUF

1 引言

物理不可復(fù)制函數(shù)（PUF，physical unclonable function）作為一類(lèi)獨(dú)特的輕量級(jí)硬件安全機(jī)制，以其防篡改、低資源占用等特點(diǎn)，在密鑰生成、身份識(shí)別和輕量級(jí)認(rèn)證等領(lǐng)域擁有廣闊的應(yīng)用前景。

盡管PUF被定位為無(wú)法復(fù)制，但研究表明PUF能夠通過(guò)機(jī)器學(xué)習(xí)的方法建模。邏輯回歸（LR，logistic regression）、支持向量機(jī)（SVM，support vector machine）、進(jìn)化策略（ES，evolution strategy）、深度學(xué)習(xí)（DL，deep learning）和集成學(xué)習(xí)（EL，ensemble learning）均能攻擊一種或數(shù)種PUF[1-3]。為了應(yīng)對(duì)機(jī)器學(xué)習(xí)建模帶來(lái)的安全威脅，研究者設(shè)計(jì)了多種PUF結(jié)構(gòu)，如異或仲裁器PUF、混淆類(lèi)PUF等，但其中絕大多數(shù)被證明無(wú)法抵御機(jī)器學(xué)習(xí)攻擊[4-5]。機(jī)器學(xué)習(xí)已成為強(qiáng)PUF最大的安全威脅之一。

自2005 年Lowd 等首次提出對(duì)抗學(xué)習(xí)（adversarial learning）的概念以來(lái)，機(jī)器學(xué)習(xí)算法自身的安全性就引起研究者的關(guān)注，對(duì)抗機(jī)器學(xué)習(xí)逐漸成為人工智能領(lǐng)域的研究熱點(diǎn)之一。目前，針對(duì)深度神經(jīng)網(wǎng)絡(luò)的對(duì)抗攻擊已經(jīng)對(duì)人工智能在圖像識(shí)別、自動(dòng)駕駛等領(lǐng)域的應(yīng)用構(gòu)成了嚴(yán)重威脅[6]。

為了抵御PUF的機(jī)器學(xué)習(xí)建模攻擊，本文基于對(duì)抗機(jī)器學(xué)習(xí)理論定義了強(qiáng)PUF的對(duì)抗機(jī)器學(xué)習(xí)模型，在模型框架下設(shè)計(jì)了一種基于延遲向量權(quán)重的對(duì)抗策略。根據(jù)新策略設(shè)計(jì)了對(duì)抗學(xué)習(xí)PUF（ALPUF，adversarial learning PUF）電路結(jié)構(gòu)，并通過(guò)實(shí)驗(yàn)驗(yàn)證了新策略和ALPUF在抵御機(jī)器學(xué)習(xí)攻擊時(shí)的優(yōu)勢(shì)。

2 PUF建模與對(duì)抗機(jī)器學(xué)習(xí)

2.1 PUF建模

仲裁器PUF是廣泛使用的強(qiáng)PUF之一，異或仲裁器PUF、受控PUF和混淆類(lèi)PUF等安全結(jié)構(gòu)使用仲裁器PUF作為基本組件。

仲裁器PUF采用多路選擇器級(jí)聯(lián)結(jié)構(gòu)，如圖1所示，激勵(lì)向量的每一位對(duì)應(yīng)控制一級(jí)多路器，用于選擇平行路徑或者交叉路徑，輸入信號(hào)沿兩條不同路徑傳輸，最終由仲裁器比較傳輸時(shí)延，形成響應(yīng)。激勵(lì)和響應(yīng)作為PUF的輸入輸出，被合稱(chēng)為激勵(lì)響應(yīng)對(duì)（CRP，challenge response pair）。

圖1 仲裁器PUF電路結(jié)構(gòu)

Figure 1 PUF circuit structure of arbitrator

2.2 對(duì)抗機(jī)器學(xué)習(xí)

2006年，機(jī)器學(xué)習(xí)系統(tǒng)的攻擊分類(lèi)和對(duì)抗建模的概念首次明確被提出，Biggio等[7]在2014年進(jìn)一步完善了機(jī)器學(xué)習(xí)的對(duì)抗模型，提出從對(duì)抗目標(biāo)、對(duì)抗知識(shí)、對(duì)抗能力、對(duì)抗策略4方面來(lái)建立模型。早期的對(duì)抗方法主要針對(duì)SVM、樸素貝葉斯、聚類(lèi)和特征選擇等機(jī)器學(xué)習(xí)方法[8]，而目前研究熱點(diǎn)主要針對(duì)人工神經(jīng)網(wǎng)絡(luò)。

按照對(duì)機(jī)器學(xué)習(xí)模型造成的安全損害可以將對(duì)抗機(jī)器學(xué)習(xí)方法分為完整性攻擊、可用性攻擊和隱私竊取攻擊；按照攻擊目標(biāo)階段可分為針對(duì)訓(xùn)練過(guò)程的攻擊和針對(duì)測(cè)試/推理過(guò)程的攻擊。投毒攻擊屬于針對(duì)訓(xùn)練過(guò)程的攻擊，攻擊者通過(guò)注入一些精心偽造的對(duì)抗樣本（adversarial sample），破壞原有的訓(xùn)練數(shù)據(jù)的概率分布，從而使訓(xùn)練出的模型的分類(lèi)或者聚類(lèi)精度降低，達(dá)到破壞訓(xùn)練模型的目的。

對(duì)抗樣本指的是一類(lèi)人為構(gòu)造的樣本，通過(guò)對(duì)原始樣本添加特定的擾動(dòng)，使分類(lèi)模型對(duì)新構(gòu)造的樣本產(chǎn)生錯(cuò)誤的判斷。對(duì)抗樣本生成算法主要有快速梯度（fast gradient sign method）攻擊和雅克比映射攻擊（Jacobian-based saliency map attack）和深度欺騙（deep fool）攻擊[9]?？焖偬荻裙舻闹饕枷胧菍ふ覚C(jī)器學(xué)習(xí)模型的梯度變化最大的方向，按照此方向添加擾動(dòng)，導(dǎo)致模型進(jìn)行錯(cuò)誤的分類(lèi)。

2.3 抗機(jī)器學(xué)習(xí)的PUF研究現(xiàn)狀

從早期的異或PUF、受控PUF到目前廣泛研究的混淆類(lèi)PUF，研究人員為對(duì)抗機(jī)器學(xué)習(xí)建模設(shè)計(jì)了多種PUF結(jié)構(gòu)。但是，異或PUF和受控PUF被證明易受到機(jī)器學(xué)習(xí)和側(cè)信道混合攻擊[10]。2019年，Delvaux[5]對(duì)新提出的PUF安全結(jié)構(gòu)進(jìn)行了分析，針對(duì)性地設(shè)計(jì)了攻擊方法，指出混淆類(lèi)PUF難以抵御機(jī)器學(xué)習(xí)建模攻擊。

對(duì)抗機(jī)器學(xué)習(xí)在PUF安全領(lǐng)域的應(yīng)用研究相對(duì)較少，2019年，Wang等[11]提出了針對(duì)PUF建模的對(duì)抗攻擊方法，設(shè)計(jì)了PUF投毒攻擊的機(jī)制，實(shí)驗(yàn)結(jié)果表明，基于投毒的對(duì)抗攻擊將LR的預(yù)測(cè)準(zhǔn)確率由99.89%降至56.7%，將CMA-ES的預(yù)測(cè)準(zhǔn)確率由99.97%降至65.68%，但對(duì)抗樣本生成策略主要基于設(shè)計(jì)者的經(jīng)驗(yàn)，缺乏相關(guān)的理論分析，且實(shí)驗(yàn)測(cè)試對(duì)象規(guī)模相對(duì)較小，只涵蓋了64 bit的PUF。

2018年，Prado等[12]將PUF的所有CRP按漢明重量分類(lèi)后按類(lèi)別對(duì)外提供，通過(guò)CRP的對(duì)抗性選擇將AdaBoost算法的預(yù)測(cè)準(zhǔn)確率由89%降至74%，但并未提及該策略的物理實(shí)現(xiàn)方法。

利用對(duì)抗學(xué)習(xí)提高PUF的建模難度，降低機(jī)器學(xué)習(xí)模型的預(yù)測(cè)準(zhǔn)確率，是保護(hù)PUF應(yīng)用安全的有效途徑。但目前的研究尚存在對(duì)抗樣本生成策略缺乏理論支持、對(duì)抗效果未達(dá)到最優(yōu)性能、物理實(shí)現(xiàn)方式考慮不足等問(wèn)題。

3 基于延遲向量權(quán)重的對(duì)抗樣本生成

3.1 強(qiáng)PUF的對(duì)抗機(jī)器學(xué)習(xí)模型

在對(duì)抗學(xué)習(xí)領(lǐng)域，針對(duì)分類(lèi)問(wèn)題的對(duì)抗樣本生成策略通?；谔荻壬仙惴?，通過(guò)運(yùn)算不斷調(diào)整樣本中的輸入值，最終生成最優(yōu)的有毒樣本。但是，目前的對(duì)抗模型和樣本生成算法無(wú)法適用于生成PUF對(duì)抗樣本，主要原因有：PUF的激勵(lì)是布爾向量，無(wú)法在其原有值上再疊加較小的數(shù)值，只能做翻轉(zhuǎn)操作；攻擊模型中通常設(shè)定攻擊者可以物理接觸PUF，激勵(lì)由攻擊者選定，樣本中的激勵(lì)無(wú)法修改。因此，需要重新建立適用于PUF安全領(lǐng)域的對(duì)抗模型，在模型框架下設(shè)計(jì)新樣本生成策略。

基于Biggio的對(duì)抗機(jī)器學(xué)習(xí)理論，結(jié)合強(qiáng)PUF的特性、應(yīng)用場(chǎng)景和攻擊模型設(shè)定，給出強(qiáng)PUF對(duì)抗機(jī)器學(xué)習(xí)模型。

模型1 強(qiáng)PUF對(duì)抗機(jī)器學(xué)習(xí)模型

對(duì)抗目標(biāo)：以破壞機(jī)器學(xué)習(xí)算法的可用性為主要目的，通過(guò)向PUF的CRP集中加入偽造的CRP，即有毒數(shù)據(jù)，在訓(xùn)練階段阻礙機(jī)器學(xué)習(xí)算法生成正確訓(xùn)練模型。

具備知識(shí)：對(duì)抗者作為PUF安全防護(hù)方，知悉PUF相關(guān)的所有知識(shí)，包括PUF模型、訓(xùn)練數(shù)據(jù)、PUF延遲向量等。

擁有能力：對(duì)抗者可以對(duì)PUF結(jié)構(gòu)、物理實(shí)現(xiàn)等進(jìn)行改進(jìn)，具備在機(jī)器學(xué)習(xí)算法運(yùn)行前修改訓(xùn)練集、投放有毒數(shù)據(jù)的能力，且不受傳統(tǒng)對(duì)抗方法對(duì)訓(xùn)練集中有毒數(shù)據(jù)所占比例的限制（傳統(tǒng)方法為了達(dá)到最優(yōu)性能，有毒數(shù)據(jù)在訓(xùn)練數(shù)據(jù)集中比例通常小于20%）。

對(duì)抗策略：以大幅降低機(jī)器學(xué)習(xí)建模方法的預(yù)測(cè)準(zhǔn)確率為目的，兼顧實(shí)現(xiàn)時(shí)的資源占用量設(shè)計(jì)最優(yōu)策略，根據(jù)激勵(lì)各位的組合運(yùn)算結(jié)果調(diào)整響應(yīng)值，生成有毒CRP。PUF的有毒數(shù)據(jù)生成與傳統(tǒng)對(duì)抗方式不同，在攻擊場(chǎng)景中，機(jī)器學(xué)習(xí)建模攻擊者被認(rèn)為能物理接觸PUF并擁有控制權(quán)，激勵(lì)由攻擊者選定，對(duì)抗者無(wú)法對(duì)激勵(lì)進(jìn)行調(diào)整，因此只能通過(guò)修改響應(yīng)的方式篡改真實(shí)CRP，達(dá)到降低模型預(yù)測(cè)準(zhǔn)確率的目的。

強(qiáng)PUF對(duì)抗機(jī)器學(xué)習(xí)模型要求使用者掌握目標(biāo)PUF的結(jié)構(gòu)、參數(shù)信息和訓(xùn)練數(shù)據(jù)，通過(guò)這些信息構(gòu)造對(duì)抗樣本，屬于白盒模型。該模型通過(guò)產(chǎn)生有毒CRP的方式，增加機(jī)器學(xué)習(xí)算法預(yù)測(cè)PUF參數(shù)的難度，降低算法預(yù)測(cè)準(zhǔn)確率，具有一定的普適性。

3.2 對(duì)抗樣本生成

生成合適的對(duì)抗樣本是決定對(duì)抗效果的關(guān)鍵。PUF建模屬于機(jī)器學(xué)習(xí)中的分類(lèi)問(wèn)題，邏輯回歸、支持向量機(jī)和深度學(xué)習(xí)等方法被廣泛應(yīng)用于仲裁器類(lèi)PUF的建模。其中，LR是眾多PUF攻擊方法中研究最多、使用最廣泛的方法之一。邏輯回歸攻擊仲裁器PUF，按照式(6)對(duì)訓(xùn)練集中的CRP使用梯度下降法，學(xué)習(xí)出延遲向量即完成建模。

響應(yīng)的翻轉(zhuǎn)條件是策略設(shè)計(jì)的主要內(nèi)容，翻轉(zhuǎn)條件可以與激勵(lì)無(wú)關(guān)，也可以是中一位或多位的運(yùn)算結(jié)果，設(shè)計(jì)時(shí)主要遵循以下原則。

原則1 選擇權(quán)重小的延遲分量所對(duì)應(yīng)激勵(lì)位作為基本元素，可以獲得更好的對(duì)抗效果。原因是盡管中各延遲分量同步更新的數(shù)值完全相同，但對(duì)中絕對(duì)值較小的分量來(lái)說(shuō)，該數(shù)值產(chǎn)生的影響更大，而對(duì)絕對(duì)值較大的分量，錯(cuò)誤更新的影響則相對(duì)較小。

原則2 策略中同一激勵(lì)位觸發(fā)翻轉(zhuǎn)的條件需保持一致。即如設(shè)定某激勵(lì)位c為1時(shí)觸發(fā)響應(yīng)翻轉(zhuǎn)，則不能同時(shí)將該位為0作為觸發(fā)翻轉(zhuǎn)條件。原因是同時(shí)作為翻轉(zhuǎn)條件意味著所有CRP均翻轉(zhuǎn)，這將導(dǎo)致機(jī)器學(xué)習(xí)算法訓(xùn)練得到只是參數(shù)符號(hào)相反的正確模型。

表1 延遲向量權(quán)重與策略對(duì)抗效果的關(guān)系

使用對(duì)抗樣本后，LR的預(yù)測(cè)準(zhǔn)確率由未使用時(shí)的99.8%下降至62.3%以下，SVM的預(yù)測(cè)準(zhǔn)確率由未使用時(shí)的99%下降至62.5%以下。其中，選擇中權(quán)重小的分量所對(duì)應(yīng)激勵(lì)位作為翻轉(zhuǎn)條件，可以進(jìn)一步將預(yù)測(cè)準(zhǔn)確率降至51.4%和51.7%。

圖2 W權(quán)重與預(yù)測(cè)準(zhǔn)確率對(duì)比

Figure 2 Comparison ofweight and prediction accuracy

算法1 基于延遲向量權(quán)重的對(duì)抗樣本生成算法

3.3 生成策略性能對(duì)比

文獻(xiàn)[11]中提出了隨機(jī)翻轉(zhuǎn)、組合翻轉(zhuǎn)等對(duì)抗樣本生成策略，這些策略與本文策略的最大區(qū)別是沒(méi)有參考延遲向量的權(quán)重。

隨機(jī)翻轉(zhuǎn)策略是將響應(yīng)按照一定比例隨機(jī)翻轉(zhuǎn)，翻轉(zhuǎn)行為和PUF的激勵(lì)無(wú)關(guān)，由設(shè)置的隨機(jī)數(shù)發(fā)生器決定。

組合翻轉(zhuǎn)策略是將激勵(lì)的不同位進(jìn)行邏輯運(yùn)算，由運(yùn)算得到的最終結(jié)果決定是否翻轉(zhuǎn)響應(yīng)。

在相同條件下對(duì)4種策略進(jìn)行測(cè)試，結(jié)果如表2所示，可以看出，隨機(jī)翻轉(zhuǎn)性能最好，其次是基于延遲向量權(quán)重的生成策略性能，基本可以使LR和SVM的預(yù)測(cè)準(zhǔn)確率降低至隨機(jī)預(yù)測(cè)的水平，組合翻轉(zhuǎn)策略的性能隨著參與邏輯運(yùn)算位所對(duì)應(yīng)的延遲向量權(quán)值變化。

表2 不同對(duì)抗樣本生成策略的效果對(duì)比

隨機(jī)策略盡管性能最好，但其抵御機(jī)器學(xué)習(xí)的能力來(lái)自隨機(jī)數(shù)發(fā)生器，對(duì)手無(wú)法攻破的同時(shí)，使用者也難以判定，因此難以實(shí)用。組合策略中選取了不同權(quán)重延遲參數(shù)對(duì)應(yīng)的激勵(lì)位，根據(jù)原則1判斷，其性能介于最大權(quán)重和最小權(quán)重對(duì)應(yīng)預(yù)測(cè)準(zhǔn)確率之間。

根據(jù)對(duì)抗樣本的可轉(zhuǎn)移性理論，被一種機(jī)器學(xué)習(xí)算法錯(cuò)分類(lèi)的對(duì)抗樣本對(duì)其他算法也適用，使用本策略生成對(duì)抗樣本，也能夠降低其他機(jī)器學(xué)習(xí)算法的預(yù)測(cè)準(zhǔn)確率。表2的數(shù)據(jù)結(jié)果顯示，4種策略對(duì)SVM和LR兩種算法都顯示出了性能近似的對(duì)抗效果。

3.4 投毒比例影響分析

按照強(qiáng)PUF對(duì)抗學(xué)習(xí)模型，對(duì)抗者可向訓(xùn)練集中投放任意比例的有毒數(shù)據(jù)，根據(jù)PAC理論，有毒數(shù)據(jù)比例對(duì)機(jī)器學(xué)習(xí)算法的預(yù)測(cè)準(zhǔn)確率具有決定性的影響。

根據(jù)實(shí)驗(yàn)結(jié)果可以看出，預(yù)測(cè)準(zhǔn)確率受到投毒比例和對(duì)抗數(shù)據(jù)生成策略兩方面的影響，投毒比例很大程度上決定了分類(lèi)算法的預(yù)測(cè)準(zhǔn)確率。但在相同比例的情況下，不同策略的對(duì)抗效果存在較大差距。例如，分別采用組合翻轉(zhuǎn)和本文策略生成有毒數(shù)據(jù)占25%的訓(xùn)練集對(duì)LR算法進(jìn)行訓(xùn)練，得到模型的預(yù)測(cè)準(zhǔn)確率分別是78.2%和73%。文獻(xiàn)[11]中所論述的不同組合策略對(duì)預(yù)測(cè)準(zhǔn)確率的影響，其實(shí)主要由投毒比例不同所導(dǎo)致。

表3 訓(xùn)練集成分和對(duì)抗策略對(duì)預(yù)測(cè)準(zhǔn)確率的影響

4 對(duì)抗學(xué)習(xí)PUF

4.1 基于對(duì)抗策略的PUF結(jié)構(gòu)

對(duì)抗樣本生成策略必須能在滿足低資源占用量的前提下形成物理電路結(jié)構(gòu)，才能夠保證策略能夠推廣應(yīng)用。

圖3 基于對(duì)抗策略的PUF電路結(jié)構(gòu)

Figure 3 PUF circuit structure based on countermeasure strategy

圖4 按C測(cè)試W權(quán)重與預(yù)測(cè)準(zhǔn)確率對(duì)比

Figure 4 Testweight and prediction accuracy according to

4.2 抗復(fù)雜攻擊的對(duì)抗學(xué)習(xí)PUF

機(jī)器學(xué)習(xí)并非強(qiáng)PUF的唯一威脅，一些復(fù)雜的攻擊方法仍可能威脅到基于對(duì)抗策略的PUF。例如，多數(shù)抗機(jī)器學(xué)習(xí)建模的PUF結(jié)構(gòu)被證明難以抵御的機(jī)器學(xué)習(xí)/側(cè)信道混合攻擊[13]。以異或PUF為例，因?yàn)闃?gòu)成異或PUF的仲裁器PUF用觸發(fā)器實(shí)現(xiàn)仲裁，響應(yīng)為“1”時(shí)觸發(fā)器發(fā)生翻轉(zhuǎn)，其功耗遠(yuǎn)高于響應(yīng)為“0”不發(fā)生翻轉(zhuǎn)時(shí)。測(cè)量供電引腳上的電壓/電流值，就能夠確定響應(yīng)值。測(cè)量得到響應(yīng)為“1”的仲裁器總數(shù)后，可以使用機(jī)器學(xué)習(xí)對(duì)異或PUF建模。

混合攻擊也能成功攻擊對(duì)抗PUF。在功耗分析面前，基于對(duì)抗策略的PUF的真實(shí)響應(yīng)值無(wú)法隱藏，攻擊者可以輕易剔除或者轉(zhuǎn)化有毒數(shù)據(jù)。為了防止混合攻擊，可以通過(guò)增加電路的對(duì)稱(chēng)性以防止側(cè)信道信息泄露。在實(shí)現(xiàn)時(shí)對(duì)應(yīng)設(shè)置兩個(gè)觸發(fā)器，兩條路徑的信號(hào)分別進(jìn)入兩個(gè)觸發(fā)器，形成兩個(gè)相反的值，無(wú)論響應(yīng)為何值，功耗都一樣，以此防御混合攻擊。

圖5 ALPUF電路結(jié)構(gòu)

Figure 5 ALPUF circuit structure

與近年來(lái)提出的PUF安全結(jié)構(gòu)對(duì)比，ALPUF在對(duì)抗性能和資源占用量等方面均具有優(yōu)勢(shì)。表4中列出了PUF安全性和硬件資源占用上的對(duì)比。資源占用以基本的仲裁器PUF為標(biāo)準(zhǔn)，列出實(shí)現(xiàn)對(duì)應(yīng)結(jié)構(gòu)額外所需的組件，從表4中可以看出，ALPUF在仲裁器PUF的基礎(chǔ)上只增加了3個(gè)異或邏輯，資源占用量最低。安全性評(píng)估中使用邏輯回歸算法攻擊所列出的PUF，對(duì)比預(yù)測(cè)準(zhǔn)確率。其中，對(duì)ALPUF的預(yù)測(cè)準(zhǔn)確率僅為51.4%，接近隨機(jī)預(yù)測(cè)，遠(yuǎn)低于其他PUF結(jié)構(gòu)，而且ALPUF的對(duì)稱(chēng)結(jié)構(gòu)能夠抵御功率混合攻擊，由此可以看出ALPUF 具備更強(qiáng)的對(duì)抗機(jī)器學(xué)習(xí)攻擊的能力。

ALPUF不僅能單獨(dú)使用，而且可以作為基本組件，替代仲裁器PUF參與組成復(fù)雜的PUF安全結(jié)構(gòu)。例如，將異或PUF中的仲裁器PUF換成ALPUF，可進(jìn)一步提高其抗機(jī)器學(xué)習(xí)的能力。以2-XOR PUF為例，相同條件下使用LR建模的預(yù)測(cè)準(zhǔn)確率為99.2%，將組件替換為ALPUF后，LR建模的預(yù)測(cè)準(zhǔn)確率下降至隨機(jī)預(yù)測(cè)水平。

5 結(jié)束語(yǔ)

為了提高強(qiáng)PUF抵御機(jī)器學(xué)習(xí)攻擊的能力，本文基于對(duì)抗學(xué)習(xí)理論定義了強(qiáng)PUF對(duì)抗學(xué)習(xí)模型。在模型框架下，本文設(shè)計(jì)了基于延遲向量權(quán)重的對(duì)抗樣本生成策略，按照新策略設(shè)計(jì)了ALPUF電路結(jié)構(gòu)。實(shí)驗(yàn)結(jié)果表明，與現(xiàn)有策略相比，使用新策略生成的對(duì)抗樣本能將LR、SVM等分類(lèi)算法的預(yù)測(cè)準(zhǔn)確率降至隨機(jī)預(yù)測(cè)水平；ALPUF在低資源占用的前提下，能夠抵御復(fù)雜的機(jī)器學(xué)習(xí)建模攻擊。

表4 PUF安全性及硬件資源占用上的對(duì)比

[1]SAHOO D P, NGUYEN P H, MUKHOPADHYAY D, et al. A case of lightweight PUF constructions: cryptanalysis and machine learning attacks[J]. IEEE Transactions on Computer-Aided Design of Integrated Circuits and Systems, 2015, 34(8): 1334-1343.

[2]LIU Y, XIE Y, BAO C, et al. A combined optimization-theoretic and side-channel approach for attacking strong physical unclonable functions[J]. IEEE Transactions on Very Large Scale Integration Systems, 2017, 26(1): 73-81.

[3]RüHRMAIR U, S?LTER J, SEHNKE F, et al. PUF modeling attacks on simulated and silicon data[J]. IEEE Transactions on Information Forensics & Security, 2013, 8(11): 1876-1891.

[4]YE J, GUO Q, HU Y, et al. Modeling attacks on strong physical unclonable functions strengthened by random number and weak PUF[C]//2018 IEEE 36th VLSI Test Symposium. 2018: 1-6.

[5]DELVAUX J. Machine-learning attacks on PolyPUFs, OB-PUFs, RPUFs, LHS-PUFs, and PUF–FSMs[J]. IEEE Transactions on Information Forensics and Security, 2019,14(8): 2043-2058.

[6]宋蕾, 馬春光, 段廣晗. 機(jī)器學(xué)習(xí)安全及隱私保護(hù)研究進(jìn)展[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2018, 4(8): 1-11.

SONG L, MA C G, DUAN G H. Machine learning security and privacy: a survey[J]. Chinese Journal of Network and Information Security, 2018, 4(8): 1-11.

[7]BIGGIO B, NELSON B, LASKOV P. Poisoning attacks against support vector machines[C]//ICML'12.2012. 1467 -1474.

[8]JAGIELSKI M, OPREA A, BIGGIO B, et al. Manipulating machine learning: poisoning attacks and countermeasures for regression learning[C]//2018 IEEE Symposium on Security and Privacy. 2018. 19-35.

[9]BIGGIO B, ROLI F. Wild patterns: ten years after the rise of adversarial machine learning[J]. Pattern Recognition, 2018, 84:317-331.

[10]BECKER G T. The gap between promise and reality: on the insecurity of XOR arbiter PUFs[C]//Cryptographic Hardware and Embedded Systems. 2015: 535-555.

[11]WANG S J, CHEN Y S, KATHERINE L, et al. Adversarial attack against modeling attack on PUFs[C]//DAC2019. 2019:1-6.

[12]PRADO H, PATIL C. Defeating strong PUF modeling attack via adverse selection of challenge-response pairs[C]//AsianHOST2018. 2018: 25-30.

[13]XU X, MAHMOUD A, MAJZOOBI M, et al. Efficient power and timing side channels for physical unclonable functions[C]//International Workshop on Cryptographic Hardware and Embedded Systems. 2014: 476-492.

[14]GAO Y, LI G, MA H, et al. Obfuscated challenge-response: a secure lightweight authentication mechanism for PUF-based pervasive devices[C]//Workshop in Conjunction with IEEE International Conference on Pervasive Computing and Communications. 2016: 1-6.

[15]JING Y, YU H, LI X. RPUF: physical unclonable function with randomized challenge to resist modeling attack[C]//Hardware-oriented Security & Trust. 2016: 1-6.

[16]徐金甫, 吳縉, 李軍偉. 基于敏感度混淆機(jī)制的控制型物理不可復(fù)制函數(shù)研究[J]. 電子與信息學(xué)報(bào), 2019, 41(7): 1601-1609.

XU J F, WU J, LI J W. Research on the control physical non-clonable function based on sensitivity cofounding mechanism[J]. Journal of Electronics and Information Technology, 2019, 41(7): 1601-1609.

Research on security architecture of strong PUF by adversarial learning

LI Yan, LIU Wei, SUN Yuanlu

Information Engineering University, Zhengzhou 450001, China

To overcome the vulnerability of strong physical unclonable function, the adversarial learning model of strong PUF was presented based on the adversarial learning theory, then the training process of gradient descent algorithm was analyzed under the framework of the model, the potential relationship between the delay vector weight and the prediction accuracy was clarified, and an adversarial sample generation strategy was designed based on the delay vector weight. Compared with traditional strategies, the prediction accuracy of logistic regression under new strategy was reduced by 5.4% ~ 9.5%, down to 51.4%. The physical structure with low overhead was designed corresponding to the new strategy, which then strengthened by symmetrical design and complex strategy to form a new PUF architecture called ALPUF. ALPUF not only decrease the prediction accuracy of machine learning to the level of random prediction, but also resist hybrid attack and brute force attack. Compared with other PUF security structures, ALPUF has advantages in overhead and security.

strong physical unclonable function, adversarial sample, delay vector, adversarial learning PUF

TP393

A

10.11959/j.issn.2096?109x.2021026

2020?02?04；

2020?07?02

劉威，shivaree@163.com

國(guó)家自然科學(xué)基金（61871405, 61802431）

The National Natural Science Foundation of China (61871405, 61802431)

李艷, 劉威, 孫遠(yuǎn)路. 基于對(duì)抗學(xué)習(xí)的強(qiáng)PUF安全結(jié)構(gòu)研究[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2021, 7(3): 115-122.

LI Y, LIU W, SUN Y L. Research on security architecture of strong PUF by adversarial learning [J]. Chinese Journal of Network and Information Security, 2021, 7(3): 115-122.

李艷（1988? ）女，河南鄭州人，信息工程大學(xué)講師，主要研究方向?yàn)榫W(wǎng)絡(luò)空間安全。

劉威（1982? ）男，湖北隨州人，信息工程大學(xué)講師，主要研究方向?yàn)橛布踩?/p>

孫遠(yuǎn)路（1974? ）男，河南商丘人，信息工程大學(xué)副教授，主要研究方向?yàn)楣芾砜茖W(xué)與工程。