物理不可克隆函數(shù)的機(jī)器學(xué)習(xí)防御與攻擊綜述

摘 要：隨著衛(wèi)星導(dǎo)航技術(shù)的發(fā)展，芯片、模塊和板卡等導(dǎo)航產(chǎn)品被廣泛應(yīng)用到各種導(dǎo)航終端設(shè)備上，但這些設(shè)備在開放環(huán)境中的通信安全問題日益凸顯。物理不可克隆函數(shù)（Ｐｈｙｓｉｃａｌ Ｕｎｃｌｏｎａｂｌｅ Ｆｕｎｃｔｉｏｎ，ＰＵＦ） 是一種新型“硬件指紋”技術(shù)，基于ＰＵＦ 的身份認(rèn)證方式可以對(duì)設(shè)備進(jìn)行硬件層面的認(rèn)證，滿足其輕量級(jí)和高安全性的認(rèn)證需求。針對(duì)多數(shù)ＰＵＦ 易受到機(jī)器學(xué)習(xí)（Ｍａｃｈｉｎｅ Ｌｅａｒｎｉｎｇ，ＭＬ） 建模攻擊的問題，對(duì)不同的結(jié)構(gòu)改進(jìn)方法進(jìn)行介紹，分析了幾種常用ＭＬ 攻擊算法的特點(diǎn)，提出了防御和攻擊兩方面的性能評(píng)價(jià)方法，從安全性方面討論了ＰＵＦ 的未來發(fā)展趨勢(shì)。

關(guān)鍵詞：物理不可克隆函數(shù)；導(dǎo)航設(shè)備；抗攻擊結(jié)構(gòu)；機(jī)器學(xué)習(xí)；可靠性

中圖分類號(hào)：ＴＰ３０９ 文獻(xiàn)標(biāo)志碼：Ａ 開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（ＯＳＩＤ）：

文章編號(hào)：１００３－３１０６（２０２４）０４－１００９－１０

０ 引言

全球?qū)Ш叫l(wèi)星系統(tǒng)（Ｇｌｏｂａｌ Ｎａｖｉｇａｔｉｏｎ ＳａｔｅｌｌｉｔｅＳｙｓｔｅｍ，ＧＮＳＳ）為全球用戶提供高精度定位、導(dǎo)航和授時(shí)（Ｐｏｓｉｔｉｏｎｉｎｇ Ｎａｖｉｇａｔｉｏｎ Ｔｉｍｉｎｇ，ＰＮＴ）服務(wù)。隨著導(dǎo)航技術(shù)的發(fā)展，導(dǎo)航產(chǎn)品被廣泛應(yīng)用到手機(jī)、汽車和無人機(jī)等具有導(dǎo)航功能的終端設(shè)備上［１－２］，在電力、交通、金融和通信等領(lǐng)域發(fā)揮重要作用。然而，這些設(shè)備在開放環(huán)境中的通信安全問題日益凸顯。目前，電子設(shè)備的認(rèn)證和信息保護(hù)通過傳統(tǒng)密碼學(xué)的方法實(shí)現(xiàn)，但加密算法的密鑰存儲(chǔ)難度高且硬件開銷大，無法滿足其高安全性、低復(fù)雜性的認(rèn)證需求。

物理不可克隆函數(shù)（Ｐｈｙｓｉｃａｌ ＵｎｃｌｏｎａｂｌｅＦｕｎｃｔｉｏｎ，ＰＵＦ）是在物聯(lián)網(wǎng)發(fā)展過程中提出的一種新型硬件安全原語［３］，具有輕量級(jí)、無需密鑰存儲(chǔ)和不可克隆的特性。它可以利用集成電路在制造過程中的工藝偏差產(chǎn)生獨(dú)特的激勵(lì)－ 響應(yīng)對(duì)（ＣｈａｌｌｅｎｇｅＲｅｓｐｏｎｓｅ Ｐａｉｒ，ＣＲＰ）。激勵(lì)和響應(yīng)均為指定長(zhǎng)度的二進(jìn)制序列，對(duì)應(yīng)ＰＵＦ 的輸入和輸出。例如，仲裁器ＰＵＦ （Ａｒｂｉｔｅｒ ＰＵＦ，ＡＰＵＦ）由上下２ 路ｎ 級(jí)并行的多路選擇器（Ｍｕｌｔｉｐｌｅｘｅｒ，ＭＵＸ）鏈和尾端的Ａｒｂｉｔｅｒ 構(gòu)成。同一信號(hào)進(jìn)入２ 條鏈路后，ｎ 位激勵(lì)控制其在ＭＵＸ 中的傳輸路徑。由于工藝偏差，上下鏈路之間存在延遲差，Ａｒｂｉｔｅｒ 通過比較２ 條鏈路的快慢得到１ 位響應(yīng)０ 或１。假如芯片Ａ和Ｂ 為２ 個(gè)不同的芯片，分別嵌入了結(jié)構(gòu)相同的ＰＵＦ 電路Ｐ 和Ｑ。ＰＵＦ 具有不可克隆性，即每個(gè)ＰＵＦ 都有自己的“硬件指紋”，對(duì)電路Ｐ 和Ｑ 施加相同的激勵(lì)，會(huì)產(chǎn)生不同的響應(yīng)。因此，嵌入ＰＵＦ 的設(shè)備或系統(tǒng)能夠被唯一地認(rèn)證?；冢校眨?的身份認(rèn)證方式適用于眾多的導(dǎo)航終端應(yīng)用設(shè)備，能有效解決其通信安全和負(fù)載受限問題。

近年來隨著機(jī)器學(xué)習(xí)（Ｍａｃｈｉｎｅ Ｌｅａｒｎｉｎｇ，ＭＬ）技術(shù)的發(fā)展，多數(shù)ＰＵＦ 已被證明不夠安全。ＭＬ 攻擊是指在身份認(rèn)證過程中攻擊者收集認(rèn)證雙方傳輸?shù)拇罅浚茫遥?，然后通過ＭＬ 算法對(duì)ＰＵＦ 結(jié)構(gòu)進(jìn)行建模，從而能夠預(yù)測(cè)其他未被使用過的ＣＲＰ。一旦建模完成，關(guān)于ＰＵＦ 不可克隆與不可預(yù)測(cè)的假設(shè)將不再成立，所有基于ＰＵＦ 所實(shí)現(xiàn)的應(yīng)用和協(xié)議也隨之被破壞。因此，本文將從防御與攻擊方面進(jìn)行分析，包括抗ＭＬ 攻擊的ＰＵＦ 結(jié)構(gòu)設(shè)計(jì)、針對(duì)ＰＵＦ 的ＭＬ攻擊算法、性能評(píng)價(jià)方法，并從安全性方面討論ＰＵＦ的發(fā)展趨勢(shì)。

１ 抗ＭＬ 攻擊的ＰＵＦ 結(jié)構(gòu)設(shè)計(jì)

ＡＰＵＦ 及其各種變體、雙穩(wěn)態(tài)（Ｂｉｓｔａｂｌｅ Ｒｉｎｇ，ＢＲ）ＰＵＦ［４］和插值ＰＵＦ（Ｉｎｔｅｒｐｏｓｅ ＰＵＦ，ＩＰＵＦ）［５］等延時(shí)類ＰＵＦ 受到基于ＭＬ 的建模攻擊的嚴(yán)重威脅。針對(duì)這一問題，許多抗ＭＬ 攻擊的ＰＵＦ 結(jié)構(gòu)被提出，主要可分為３ 類：結(jié)構(gòu)非線性化、激勵(lì)響應(yīng)混淆和混合法。

１． １ 結(jié)構(gòu)非線性化

結(jié)構(gòu)非線性化是從ＰＵＦ 結(jié)構(gòu)本身出發(fā)，在原有的ＰＵＦ 結(jié)構(gòu)上增加非線性因素，包括增加反饋回路或多路徑選擇等，使得整體ＰＵＦ 結(jié)構(gòu)變?yōu)榉蔷€性模型。

前饋（ＦｅｅｄＦｏｒｗａｒｄ，ＦＦ）ＡＰＵＦ 通過增加反饋回路引入非線性，其原理如圖１ 所示。在ＡＰＵＦ 的基礎(chǔ)上，增加一個(gè)ＦＦ Ａｒｂｉｔｅｒ，輸入連接到ＭＵＸ 鏈的第ｉ 級(jí)，ＦＦ 級(jí)為第ｊ 級(jí)（ｉ＜ｊ），（ｃ１ ，…，ｃｉ，…，ｃｊ，…，ｃｎ）為輸入電路的激勵(lì)［６］。ＦＦ ＡＰＵＦ 結(jié)構(gòu)引入的非線性已被證明不足以抵抗ＭＬ 攻擊［７］。之后，可重構(gòu)ＦＦ ＡＰＵＦ 被提出，通過增加ＦＦ 組件，在重疊、級(jí)聯(lián)和分離３ 種結(jié)構(gòu)中配置，使得攻擊者不能以單一的模型進(jìn)行攻擊［８］。文獻(xiàn)［９］提出了一種基于功耗的ＭＬ 攻擊方法，并通過現(xiàn)場(chǎng)可編程門陣列（ＦｉｌｅｄＰｒｏｇｒａｍｍａｂｌｅ Ｇａｔｅ Ａｒｒａｙ，ＦＰＧＡ）實(shí)驗(yàn)證明了該方法對(duì)ＦＦ ＡＰＵＦ 攻擊的有效性。在ＦＦ ＡＰＵＦ 和異或（ＸＯＲ） ＡＰＵＦ 的基礎(chǔ)上，文獻(xiàn)［１０ ］提出了同質(zhì)ＦＦＸＯＲ ＰＵＦ 和異構(gòu)ＦＦＸＯＲ ＰＵＦ。同質(zhì)ＦＦＸＯＲＰＵＦ 是對(duì)相同結(jié)構(gòu)的ＦＦ ＡＰＵＦ 響應(yīng)進(jìn)行異或，即ＦＦ 環(huán)路位于ＰＵＦ 組件的同一位置。異構(gòu)ＦＦＸＯＲＰＵＦ 是對(duì)不同結(jié)構(gòu)的ＦＦ ＡＰＵＦ 進(jìn)行ＸＯＲ，即ＦＦ 環(huán)路位于ＰＵＦ 組件的不同位置。通過改變中間Ａｒｂｉｔｅｒ 的位置以及異或ＰＵＦ 組件的數(shù)量，證明了該ＰＵＦ 可以抵御邏輯回歸（Ｌｏｇｉｓｔｉｃ Ｒｅｇｒｅｓｓｉｏｎ，ＬＲ）和人工神經(jīng)網(wǎng)絡(luò)（Ａｒｔｉｆｉｃｉａｌ Ｎｅｕｒａｌ Ｎｅｔｗｏｒｋ，ＡＮＮ）的ＭＬ 攻擊。

多路選擇器ＰＵＦ（Ｍｕｌｔｉｐｌｅｘｅｒ ＰＵＦ，ＭＰＵＦ）通過多路徑選擇增加非線性。用ｋ 級(jí)ＭＵＸ 從（２ｋ －１）個(gè)ＡＰＵＦ 中選擇一個(gè)作為響應(yīng)的最終來源，其中ＭＵＸ的選擇端來自ｋ 個(gè)ＡＰＵＦ 的輸出［１１］。該結(jié)構(gòu)可以在解決ＸＯＲ ＰＵＦ 可靠性降低問題的同時(shí)提高安全性。ｒＭＰＵＦ 和ｃＭＰＵＦ 是ＭＰＵＦ 的２ 種變體，ｒＭＰＵＦ為每一個(gè)子ＭＵＸ 配備一個(gè)單獨(dú)的ＡＰＵＦ，提高了抗ＭＬ 攻擊能力但硬件消耗很大；ｃＭＰＵＦ 引入非門節(jié)省了硬件開銷但不能抵抗基于可靠性信息的建模攻擊。由此可見，在電路中引入非線性雖然可以增加抵抗ＭＬ 攻擊的可能性，但通常以降低ＰＵＦ 可靠性為代價(jià)，需要增加其他電路以改善其可靠性。

混合型強(qiáng)ＰＵＦ（Ｈｙｂｒｉｄ Ｓｔｒｏｎｇ ＰＵＦ，ＨＳ-ＰＵＦ）在２－１ 雙仲裁器ＰＵＦ （Ｄｏｕｂｌｅ ＡＰＵＦ，ＤＡＰＵＦ）的基礎(chǔ)上進(jìn)行了２ 處改進(jìn)：一是用ＦＦ ＡＰＵＦ 替換ＡＰＵＦ；二是將對(duì)稱開關(guān)單元輸出的下延時(shí)路徑與上延時(shí)路徑交叉，從而對(duì)輸入激勵(lì)進(jìn)行倒置。因此，信號(hào)可以在上下ＦＦ ＡＰＵＦ 鏈路間傳輸，增加了非線性因素，并通過異或混淆了響應(yīng)。用ＬＲ、ＡＮＮ 和支持向量機(jī)（Ｓｕｐｐｏｒｔ Ｖｅｃｔｏｒ Ｍａｃｈｉｎｅ，ＳＶＭ）對(duì)其進(jìn)行建模，結(jié)果顯示，預(yù)測(cè)率從８５％ 降到了５０％ ，比２－１ ＤＡＰＵＦ的抗攻擊性能高出很多［１２］。

文獻(xiàn)［１３］提出的混淆互連ＰＵＦ（ＯｂｆｕｓｃａｔｅｄＩｎｔｅｒｃｏｎｎｅｃｔｉｏｎ ＰＵＦ，ＯＩＰＵＦ）利用延遲級(jí)的隨機(jī)互連引入了非線性運(yùn)算。ＯＩＰＵＦ 由２ 個(gè)相同的混淆互連（Ｏｂｆｕｓｃａｔｅｄ Ｉｎｔｅｒｃｏｎｎｅｃｔｉｏｎ，ＯＩ）塊組成。每個(gè)ＯＩ 塊為ｎ 級(jí)ｌ 路的延遲鏈，上下塊中各級(jí)相同索引路徑的延遲差作為熵源。將隨機(jī)分級(jí)互連得到的ｌ 個(gè)響應(yīng)進(jìn)行ＸＯＲ 得到最終響應(yīng)。ＯＩＰＵＦ 級(jí)互連是隨機(jī)和未知的，因而攻擊者無法繞過非線性從輸入激勵(lì)中提取特征矩陣來建立模型。用ＡＮＮ、ＬＲ 和協(xié)方差矩陣自適應(yīng)進(jìn)化策略（Ｃｏｖａｒｉａｎｃｅ Ｍａｔｒｉｘ ＡｄａｐｔａｔｉｏｎＥｖｏｌｕｔｉｏｎ Ｓｔｒａｔｅｇｙ，ＣＭＡＥＳ）對(duì)（６４，８）ＯＩＰＵＦ 進(jìn)行建模，預(yù)測(cè)率均為５０％ 左右，且隨著ｎ 和ｌ 的增大，抗攻擊性能進(jìn)一步提高。

１． ２ 激勵(lì)響應(yīng)混淆

激勵(lì)響應(yīng)混淆是通過增加混淆電路隱匿原始的ＣＲＰ，使得攻擊者無法獲得二者之間的相關(guān)性而提高抗ＭＬ 攻擊性能?；煜椒òńM合法、隨機(jī)比特混淆法、加密法和ＸＯＲ 門法等。

組合法是將２ 種或多種ＰＵＦ 組合起來，用一種ＰＵＦ 的輸出作為另一種ＰＵＦ 的輸入，從而混淆激勵(lì)的方法。環(huán)形振蕩器（Ｒｉｎｇ Ｏｓｃｉｌｌａｔｏｒ，ＲＯ）ＰＵＦ 與ＡＰＵＦ 組合而成的復(fù)合（Ｃｏｍｐｏｓｉｔｅ）ＰＵＦ［１４］，ＰｉｃｏＰＵＦ 與ＡＰＵＦ 組合而成的基于數(shù)據(jù)選擇器的混合ＰＵＦ （Ｍｕｌｔｉｐｌｅｘｅｒ ｂａｓｅｄ ＭｕｌｔｉＰＵＦ，ＭＭＰＵＦ）［１５］都是將原始激勵(lì)輸入前者，得到的響應(yīng)作為ＡＰＵＦ 的輸入。該方法設(shè)計(jì)簡(jiǎn)單，但引入了弱ＰＵＦ 的可靠性問題。文獻(xiàn)［１６］提出了一種可配置三態(tài)（ＣｏｎｆｉｇｕｒａｂｌｅＴｒｉｓｔａｔｅ，ＣＴ）ＰＵＦ，可以根據(jù)偶數(shù)位激勵(lì)和奇數(shù)位激勵(lì)中“１”的個(gè)數(shù)，配置為ＡＰＵＦ、ＢＲ ＰＵＦ 和ＲＯ ＰＵＦ三種模式，增加了電路結(jié)構(gòu)的靈活性，但攻擊者可以通過訓(xùn)練３ 種模型進(jìn)行建模攻擊。為此，提出了一種混淆機(jī)制，將ＡＰＵＦ 生成的穩(wěn)定響應(yīng)與ＲＯ ＰＵＦ或ＢＲ ＰＵＦ 模式下的激勵(lì)和響應(yīng)ＸＯＲ。同時(shí)，ＡＰＵＦ只用于混淆，沒有外部訪問接口，使得攻擊者無法獲取真實(shí)的激勵(lì)和響應(yīng)。實(shí)驗(yàn)結(jié)果表明，該ＰＵＦ 能有效抵抗ＬＲ 和ＡＮＮ 攻擊。

控制法是指對(duì)同一模式下生成的ＣＲＰ 數(shù)量進(jìn)行限制，當(dāng)達(dá)到閾值時(shí)，更新控制密鑰的方法?；谛蛄忻艽a的ＡＰＵＦ（Ｓｅｑｕｅｎｃｅ Ｃｉｐｈｅｒ ｂａｓｅ ｏｎ ＡＰＵＦ，ＳＣＡＰＵＦ）在查找表（Ｌｏｏｋ Ｕｐ Ｔａｂｌｅ，ＬＵＴ）輸入端存放密鑰作為預(yù)置混淆電路的初始值，當(dāng)ＣＲＰ 數(shù)量達(dá)到設(shè)定閾值時(shí)密鑰將進(jìn)行更新，從而使多組激勵(lì)的混淆結(jié)果不同［１７］?；陔S機(jī)集的混淆（Ｒａｎｄｏｍ Ｓｅｔｂａｓｅｄ Ｏｂｆｕｓｃａｔｉｏｎ，ＲＳＯ）ＰＵＦ 在準(zhǔn)備階段將多個(gè)激勵(lì)存入非易失性存儲(chǔ)器（ＮｏｎＶｏｌａｔｉｌｅ Ｍｅｍｏｒｙ，ＮＶＭ），然后將其逐個(gè)輸入到ＰＵＦ 電路，生成的響應(yīng)作為混淆集臨時(shí)存儲(chǔ)在寄存器中。每次認(rèn)證時(shí)，使用真隨機(jī)數(shù)生成器（Ｔｒｕｅ Ｒａｎｄｏｍ Ｎｕｍｂｅｒ Ｇｅｎｅｒａｔｏｒ，ＴＲＮＧ）選擇２ 個(gè)響應(yīng)，對(duì)輸入激勵(lì)和響應(yīng)分別進(jìn)行ＸＯＲ。當(dāng)攻擊者收集的ＣＲＰ 數(shù)量達(dá)到預(yù)設(shè)閾值時(shí)，更新機(jī)制將更新用于混淆激勵(lì)和響應(yīng)的密鑰集［１８］。ＲＳＯ 不僅可以有效地抵抗ＭＬ 攻擊，還可以解決結(jié)構(gòu)非線性方法和激勵(lì)響應(yīng)混淆法中ＰＵＦ 可靠性下降的問題，但攻擊者可能會(huì)用相同的激勵(lì)替換ＮＶＭ內(nèi)容，以繞過混淆過程。

隨機(jī)比特混淆法是通過引入隨機(jī)數(shù)使ＰＵＦ 的激勵(lì)或響應(yīng)隨機(jī)化的方法。隨機(jī)激勵(lì)ＰＵＦ （ＰＵＦｗｉｔｈ Ｒａｎｄｏｍｉｚｅｄ ｃｈａｌｌｅｎｇｅ，ＲＰＵＦ）通過增加一個(gè)激勵(lì)隨機(jī)化模塊，根據(jù)隨機(jī)數(shù)生成器（Ｒａｎｄｏｍ ＮｕｍｂｅｒＧｅｎｅｒａｔｏｒ，ＲＮＧ）的輸出對(duì)激勵(lì)位進(jìn)行選擇性翻轉(zhuǎn)，使得每個(gè)激勵(lì)可以有多個(gè)響應(yīng)以阻止攻擊者獲取有效的訓(xùn)練數(shù)據(jù)集。模擬仿真和ＦＰＧＡ 中實(shí)現(xiàn)的實(shí)驗(yàn)數(shù)據(jù)表明，ＲＰＵＦ 的平均預(yù)測(cè)率為７３． ６４％ 和６４． ４５％ ，證明了該方法在抵抗ＭＬ 建模攻擊方面的有效性［１９］。細(xì)長(zhǎng)（Ｓｌｅｎｄｅｒ）ＰＵＦ 采用４ＸＯＲ ＰＵＦ，約定設(shè)備端和服務(wù)器端使用各自的ＴＲＮＧ 來生成隨機(jī)數(shù)，然后設(shè)備端將２ 個(gè)隨機(jī)數(shù)拼接作為偽隨機(jī)數(shù)生成器（Ｐｓｅｕｄｏ Ｒａｎｄｏｍ Ｎｕｍｂｅｒ Ｇｅｎｅｒａｔｏｒ，ＰＲＮＧ）的種子，生成ＰＵＦ 的激勵(lì)，最后隨機(jī)截取固定長(zhǎng)度的響應(yīng)段發(fā)送給服務(wù)器端以驗(yàn)證設(shè)備的合法性［２０］。盡管ＲＰＵＦ 和Ｓｌｅｎｄｅｒ ＰＵＦ 看似隱藏了激勵(lì)和響應(yīng)的真實(shí)對(duì)應(yīng)關(guān)系，但文獻(xiàn)［２１－２２］的實(shí)驗(yàn)表明，它們依然能被ＣＭＥＥＳ 攻破。文獻(xiàn)［２３］提出了一種強(qiáng)ＰＵＦ 的動(dòng)態(tài)響應(yīng)機(jī)制。該機(jī)制由底層ＰＵＦ、動(dòng)態(tài)激勵(lì)轉(zhuǎn)換（Ｄｙｎａｍｉｃ Ｃｈａｌｌｅｎｇｅ Ｔｒａｎｓｆｏｒｍａｔｉｏｎ，ＤＣＴ）模塊和響應(yīng)后處理模塊組成。底層ＰＵＦ 和ＤＣＴ 模塊結(jié)合生成動(dòng)態(tài)響應(yīng)。具體原理是：使用內(nèi)部線性反饋移位寄存器（ＬｉｎｅａｒＦｅｅｄｂａｃｋ Ｓｈｉｆｔ Ｒｅｇｉｓｔｅｒ，ＬＦＳＲ）產(chǎn)生混淆子串，與底層ＰＵＦ 的激勵(lì)子串異或，生成多個(gè)子激勵(lì)，子激勵(lì)輸入底層ＰＵＦ 中生成多個(gè)子響應(yīng)。假設(shè)ＬＦＳＲ 為ｍ 位，則一個(gè)激勵(lì)對(duì)應(yīng)的完全響應(yīng)長(zhǎng)度為２ｍ －１。采用ＡＮＮ 和ＣＭＡＥＳ 對(duì)ＤＣＴ 機(jī)制進(jìn)行攻擊，由于攻擊過程中攻擊者需要嘗試多種ＬＦＳＲ 子串與激勵(lì)子串的組合，所需的訓(xùn)練時(shí)間和ＣＲＰ 數(shù)量大大增加，因此無法在有效時(shí)間內(nèi)攻破。

加密法是將傳統(tǒng)加密算法和ＰＵＦ 結(jié)合以提高安全性的方法。用于ＰＵＦ 的加密算法有哈希（ｈａｓｈ）函數(shù)、高級(jí)加密標(biāo)準(zhǔn)（Ａｄｖａｎｃｅｄ ＥｎｃｒｙｐｔｉｏｎＳｔａｎｄａｒｄ，ＡＥＳ）、矩陣加密和洗牌算法等，其中應(yīng)用最多的是ｈａｓｈ 函數(shù)。如圖２ 所示，受控ＰＵＦ（Ｃｏｎｔｒｏｌｌｅｄ ＰＵＦ，ＣＰＵＦ）利用ｈａｓｈ 散列電路對(duì)激勵(lì)Ｃ 和響應(yīng)Ｒ 進(jìn)行混淆以防止對(duì)激勵(lì)的選擇性攻擊和減少響應(yīng)的相關(guān)性［２４］。然而，ｈａｓｈ 散列對(duì)噪聲敏感，一位比特錯(cuò)誤會(huì)導(dǎo)致整個(gè)序列改變，因此需要增加糾錯(cuò)碼（Ｅｒｒｏｒ Ｃｏｒｒｅｃｔｉｎｇ Ｃｏｄｅ，ＥＣＣ），從而引入了顯著的面積和功率開銷。為了減少開銷，文獻(xiàn)［２５］提出了有限狀態(tài)機(jī)ＰＵＦ （ＰＵＦＦｉｎｉｔｅ Ｓｔａｔｅ Ｍａｃｈｉｎｅ，ＰＵＦＦＳＭ）。該ＰＵＦ 刪除了ＣＰＵＦ 激勵(lì)端的ｈａｓｈ 電路，并用ＦＳＭ 替換ＥＣＣ 校驗(yàn)單元，消除了對(duì)糾錯(cuò)邏輯、相關(guān)計(jì)算、輔助數(shù)據(jù)存儲(chǔ)與加載的需要，能夠抵御基于可靠性的攻擊，但由于ｈａｓｈ 電路的存在仍會(huì)產(chǎn)生很大的開銷，并且ＰＵＦＦＳＭ 也已被ＣＭＡＥＳ 變體攻破［２２］。此外，文獻(xiàn)［１５］提出的基于置換盒的ＡＰＵＦ（ＳｕｂｓｔｉｔｕｔｉｏｎＢｏｘ ｂａｓｅｄ ＡＰＵＦ，ＳＡＰＵＦ）使用ＡＥＳ 算法中的非線性替換函數(shù)ＳＢｏｘ（ＳｕｂｓｔｉｔｕｔｉｏｎＢｏｘ）混淆激勵(lì)，文獻(xiàn)［２６］提出的基于矩陣加密的ＰＵＦ（Ｍａｔｒｉｘ Ｅｎｃｒｙｐｔｉｏｎ ＰＵＦ，ＭＥＰＵＦ）對(duì)響應(yīng)進(jìn)行矩陣乘法加密。２ 種方法均改進(jìn)了抗攻擊性能。

ＸＯＲ 門法是將多位激勵(lì)或響應(yīng)進(jìn)行ＸＯＲ 的方法，是使用較多的方法之一，通常和其他混淆方法結(jié)合使用。例如，ＸＯＲ ＡＰＵＦ［２７］、同質(zhì)ＦＦＸＯＲ ＰＵＦ、異構(gòu)ＦＦＸＯＲ ＰＵＦ［１０］和ＩＰＵＦ［５］是對(duì)多個(gè)ＰＵＦ 組件的響應(yīng)進(jìn)行異或；輕量安全（Ｌｉｇｈｔｗｅｉｇｈｔ Ｓｅｃｕｒｅ，ＬＳ）ＰＵＦ 在輸入和輸出端添加了異或門網(wǎng)絡(luò)，對(duì)并行激勵(lì)和響應(yīng)分別進(jìn)行循環(huán)移位互連混淆［２８］；ＨＳＰＵＦ［１２］、ＯＩＰＵＦ［１３］是對(duì)２ 個(gè)延遲鏈路互連的多個(gè)響應(yīng)進(jìn)行ＸＯＲ；ＣＴ ＰＵＦ［１６］、雙模反饋（Ｄｕａｌ Ｆｅｅｄ，ＤＦ）ＰＵＦ［２９］等多態(tài)ＰＵＦ 采用按位ＸＯＲ 混淆機(jī)制同時(shí)混淆激勵(lì)和響應(yīng)；ＲＳＯ ＰＵＦ［１８］與多態(tài)ＰＵＦ 混淆原理類似，但使用底層ＰＵＦ 產(chǎn)生的穩(wěn)定響應(yīng)。ＸＯＲ 運(yùn)算將耗費(fèi)攻擊者更多的計(jì)算資源和處理時(shí)間，攻擊難度加大，但對(duì)于一些結(jié)構(gòu)簡(jiǎn)單的ＰＵＦ，ＸＯＲ 門法增加的抗攻擊性能有限，仍然存在被攻破的風(fēng)險(xiǎn)［７，３０－３２］。

１． ３ 混合法

混合法是將非線性和激勵(lì)響應(yīng)混淆同時(shí)引入到ＰＵＦ 結(jié)構(gòu)中的方法。文獻(xiàn)［２９］提出了一種狀態(tài)可配置的ＤＦ ＰＵＦ，具有２ 種模式：ＦＦ ＡＰＵＦ 和混合ＰＵＦ。ＦＦ ＡＰＵＦ 通過增加一個(gè)ＦＦ Ａｒｂｉｔｅｒ 引入了非線性，用尾端的Ａｒｂｉｔｅｒ 生成響應(yīng)；混合ＰＵＦ 通過將ＲＯ ＰＵＦ 與ＡＰＵＦ 結(jié)合，構(gòu)成了部分激勵(lì)位可配置的振蕩環(huán)路，用計(jì)數(shù)器和比較器生成響應(yīng)。為了進(jìn)一步提高安全性和可靠性，該結(jié)構(gòu)還采用了文獻(xiàn)［１６］中的按位ＸＯＲ 混淆機(jī)制以復(fù)雜化激勵(lì)和響應(yīng)之間的映射關(guān)系，增加了建模攻擊的難度。文獻(xiàn)［３３］提出的動(dòng)態(tài)重構(gòu)混沌ＰＵＦ（Ｄｙｎａｍｉｃ Ｒｅｃｏｎｓｔｒｕｃｔｉｏｎ ｏｆ Ｃｈａｏｔｉｃ ＰＵＦ，ＣＬＣ-ＰＵＦ）增加了可重構(gòu)ＬＦＳＲ 和混沌模塊，同時(shí)對(duì)激勵(lì)和響應(yīng)進(jìn)行混淆。輕量級(jí)流式加密ＰＵＦ（Ｌｉｇｈｔｗｅｉｇｈｔ Ｓｔｒｅａｍ Ｃｉｐｈｅｒ ＰＵＦ，ＬＳＣＰＵＦ）通過在激勵(lì)端加入由混沌系統(tǒng)和移位寄存器組成的輕量級(jí)流式加密邏輯，在激勵(lì)和響應(yīng)之間引入了較強(qiáng)的非線性。該結(jié)構(gòu)對(duì)多種ＭＬ 算法表現(xiàn)出良好的抗攻擊性。

２ 針對(duì)ＰＵＦ 的ＭＬ 攻擊算法

針對(duì)ＰＵＦ 的常用ＭＬ 攻擊算法有ＬＲ、ＳＶＭ、進(jìn)化策略（Ｅｖｏｌｕｔｉｏｎ Ｓｔｒａｔｅｇｙ，ＥＳ）、ＡＮＮ 和樸素貝葉斯（Ｎａ ｖｅ Ｂａｙｅｓ，ＮＢ）等。

２． １ ＬＲ

ＬＲ 可以用于解決二分類問題，是最早用于攻擊ＰＵＦ 的ＭＬ 算法［７］，其原理如圖３ 所示。通過構(gòu)造預(yù)測(cè)函數(shù)、損失函數(shù)和最小化損失函數(shù)來求解預(yù)測(cè)函數(shù)的最優(yōu)系數(shù)。其中Ｘ ＝ ［１，ｘ１ ，…，ｘｎ］ Ｔ 為輸入向量，Ｗ ＝ ［ｗ０ ，ｗ１ ，…，ｗｎ］ Ｔ 為權(quán)值向量，ｚ 為２ 個(gè)向量的內(nèi)積，ｇ 為Ｓｉｇｍｏｉｄ 函數(shù)，ｆ 為預(yù)測(cè)函數(shù)。例如，ＡＰＵＦ 可以被建模為線性遞增延遲模型。首先，將激勵(lì)通過數(shù)學(xué)表達(dá)式轉(zhuǎn)換為特征向量，使得總延遲差與各級(jí)延遲差之間呈線性關(guān)系；然后，將特征向量和響應(yīng)作為ＬＲ 算法的輸入和輸出，估計(jì)出各級(jí)延遲參數(shù)。對(duì)于新的激勵(lì)，通過計(jì)算特征向量與延遲參數(shù)的內(nèi)積得到總延遲，并將其輸入Ｓｉｇｍｏｉｄ 函數(shù)以預(yù)測(cè)新的響應(yīng)［３４］。

ＬＲ 本身是線性分類模型，對(duì)線性結(jié)構(gòu)的ＰＵＦ攻擊效果顯著，如對(duì)ＲＯ ＰＵＦ［１６］、ＸＯＲ ＡＰＵＦ 和ＬＳＰＵＦ 的預(yù)測(cè)準(zhǔn)確率均達(dá)到９９％ 以上［３５］。然而，當(dāng)數(shù)據(jù)特征缺失或激勵(lì)響應(yīng)線性關(guān)系不強(qiáng)時(shí)預(yù)測(cè)會(huì)變差，如ＦＦ ＡＰＵＦ［７］。

２． ２ ＳＶＭ。

ＳＶＭ 是通過尋找特征空間中特征向量的分隔最大寬度（超平面）來解決二分類或多分類問題［３６－３７］，對(duì)數(shù)據(jù)波動(dòng)的魯棒性強(qiáng)。與ＬＲ 相比，ＳＶＭ可以調(diào)用不同的核函數(shù)將樣本空間從低維映射到高維從而實(shí)現(xiàn)非線性分類，但核函數(shù)的選擇和參數(shù)設(shè)置復(fù)雜，需要更多的時(shí)間和樣本來調(diào)整參數(shù)。如圖４ 所示，一個(gè)二維平面上有２ 類點(diǎn)，“＋”代表正樣本，“－”代表負(fù)樣本，直線ａ 和ｂ 之間的間隔為２ 類點(diǎn)分隔最大寬度，ａ 和ｂ 經(jīng)過的點(diǎn)為支持向量，ａ、ｂ的中線ｃ 為２ 類點(diǎn)的最佳分隔面，訓(xùn)練目的是求解該平面。與ＬＲ 攻擊的原理類似，ＳＶＭ 將響應(yīng)｛０，１｝映射到｛－１，１｝。由于超平面只與支持向量有關(guān)，因此適用于小樣本分類。ＳＶＭ 在許多研究中已被用于攻擊ＡＰＵＦ［３８］及其部分復(fù)雜度有限的變體［７，３９－４１］。

２． ３ ＥＳ。

ＥＳ 是一種仿照生物進(jìn)化原理的啟發(fā)式參數(shù)優(yōu)化算法［４２］，算法過程如圖５ 所示。先構(gòu)造一個(gè)ＰＵＦ的數(shù)學(xué)模型和適應(yīng)度函數(shù)，給模型的每個(gè)參數(shù)賦隨機(jī)值作為父代；多個(gè)父代經(jīng)過重組變異后衍生出一系列新的模型作為子代，篩選出子代中適應(yīng)度較強(qiáng)的模型作為新的父代；循環(huán)迭代優(yōu)化直至達(dá)到預(yù)期適應(yīng)度或最大迭代次數(shù)，所得到的模型就是最優(yōu)解。其中，ＣＭＡＥＳ 在復(fù)雜優(yōu)化問題上表現(xiàn)良好［４３］，是對(duì)ＰＵＦ 進(jìn)行建模攻擊時(shí)最常采用的方法。該方法使用協(xié)方差矩陣來調(diào)整正態(tài)分布中變量之間的相關(guān)性，其子代的隨機(jī)突變通過對(duì)每個(gè)參數(shù)添加一個(gè)隨機(jī)高斯變量Ｎ（０，σ）實(shí)現(xiàn)。標(biāo)準(zhǔn)差σ 可自適應(yīng)地調(diào)整，準(zhǔn)確率越接近ＰＵＦ 實(shí)例，σ 越小。

文獻(xiàn)［１３］提出了一種遺傳算法（Ｇｅｎｅｔｉｃ Ａｌｇｏｒｉｔｈｍ，ＧＡ）與ＣＭＡＥＳ 混合攻擊的方法，用于攻擊ＯＩＰＵＦ。該方法使用ＧＡ 生成特定ＯＩＰＵＦ 實(shí)例的混淆互連表（Ｏｂｆｕｓｃａｔｅｄ Ｉｎｔｅｒｃｏｎｎｅｃｔｉｏｎ Ｔａｂｌｅｓ，ＯＩＴｓ），并用其構(gòu)建ＣＭＡＥＳ 模型，以優(yōu)化延遲參數(shù)表（Ｄｅｌａｙ Ｐａｒａｍｅｔｅｒ Ｔａｂｌｅ，ＤＰＴ）。具體步驟如下：首先，用ＧＡ 生成Ｓ 個(gè)ＯＩＰＵＦ 的ＯＩＴ 作為初始種群，Ｓ為子代數(shù)量；其次，將每個(gè)ＯＩＴ 及激勵(lì)轉(zhuǎn)換為特征矩陣，輸入到Ｓ 個(gè)具有自定義適應(yīng)度函數(shù)的ＣＭＡＥＳ模型中，并計(jì)算每個(gè)模型的預(yù)測(cè)誤差；然后，根據(jù)預(yù)測(cè)誤差，用ＣＭＡＥＳ 優(yōu)化ＤＰＴ，用ＧＡ 優(yōu)化ＯＩＴ；最后，重復(fù)以上步驟，直到達(dá)到預(yù)設(shè)迭代次數(shù)或滿足閾值條件。攻擊結(jié)果顯示，當(dāng)ｌ＜４ 時(shí)預(yù)測(cè)率在９０％ 以上。然而，由于ＸＯＲ 運(yùn)算的引入，算法有效性逐漸降低，當(dāng)ｌ≥５ 時(shí)，攻擊失敗。

與ＬＲ 和ＳＶＭ 相比，ＣＭＡＥＳ 不要求建模對(duì)象線性可分或損失函數(shù)可微，對(duì)Ｓｌｅｎｄｅｒ ＰＵＦ［２１］和ＲＰＵＦ ［２２］等非線性復(fù)雜ＰＵＦ 結(jié)構(gòu)的攻擊效果更好，但由于算法搜索過程具有隨機(jī)性，且最終結(jié)果依賴于模型初始值，因此需要重復(fù)運(yùn)行多次才能找到最優(yōu)解，求解過程十分耗時(shí)。

適應(yīng)度函數(shù)的選擇對(duì)ＥＳ 攻擊的影響至關(guān)重要。適應(yīng)度函數(shù)表示為：

Ａ ＝ ｆ（Ｍ，Ｍ′）， （１）

式中：Ｍ 和Ｍ′分別為虛擬模型和真實(shí)模型，ｆ 為對(duì)二者的評(píng)估函數(shù)。比如Ａ ＝ ＨＤ（Ｒ，Ｒ′）／ ｌ，ＨＤ（Ｒ，Ｒ′）為模型集Ｒ 和測(cè)試集Ｒ′的漢明距離，ｌ 為ＰＵＦ 響應(yīng)的序列長(zhǎng)度。準(zhǔn)確率越高，表明子代越合適。

２． ４ ＡＮＮ

ＡＮＮ 是由眾多神經(jīng)元作為計(jì)算節(jié)點(diǎn)互連而成的一個(gè)自適應(yīng)系統(tǒng)，每個(gè)神經(jīng)元對(duì)應(yīng)一個(gè)非線性激活函數(shù)，其算法核心為普遍逼近定理［４４］。如圖６ 所示的神經(jīng)網(wǎng)絡(luò)由輸入層、隱藏層和輸出層構(gòu)成。其中Ｘ ＝ ［ｘ１ ，ｘ２ ］為輸入向量，Ｗ１ ＝ ［ｗ１１ ，ｗ１２ ，ｗ１３ ，ｗ２１ ，ｗ２２ ，ｗ２３ ］和Ｗ２ ＝ ［ｗ１ ，ｗ２ ，ｗ３ ］為２ 層之間的權(quán)值向量，ｙ 為輸出值。計(jì)算過程是輸入向量經(jīng)過加權(quán)、求和、偏置和激活，生成第一層神經(jīng)元的輸出。該輸出再根據(jù)其網(wǎng)絡(luò)關(guān)系采取類似的算法產(chǎn)生下一層輸出，層層遞進(jìn)，直至產(chǎn)生最終輸出。常用的激活函數(shù)有Ｓｉｇｍｏｉｄ、Ｔａｎｈ 和ＲｅＬＵ 等，訓(xùn)練算法有梯度下降法［４５］、列文伯格－ 馬夸爾特（ＬｅｖｅｎｂｅｒｇＭａｒｑｕａｒｄｔ，ＬＭ）算法、彈性反相傳播（Ｒｅｓｉｌｉｅｎｔ ｂａｃｋ Ｐｒｏｐａｇａｔｉｏｎ，ＲＰＲＯＰ）算法［４６］等。與ＬＲ 或ＳＶＭ 等傳統(tǒng)算法相比，ＡＮＮ 的結(jié)構(gòu)更具可配置性，可以對(duì)各種ＰＵＦ 類型進(jìn)行建模。

文獻(xiàn)［４７］提出了一種與目標(biāo)ＰＵＦ 工作原理和電路結(jié)構(gòu)相匹配的ＡＮＮ 模型。以ＦＦ ＡＰＵＦ 為例，其結(jié)構(gòu)如圖１ 所示。圖７ 展示的網(wǎng)絡(luò)模型中，以ＦＦ路徑的輸入和輸出為界，將ＦＦ ＡＰＵＦ 的ＭＵＸ 鏈分成３ 段。第一段為ＭＵＸ 鏈的第１ ～ ｉ 級(jí)，第二段為ＭＵＸ 鏈的第（ｉ＋１）～ ｊ 級(jí)，第三段為其余級(jí)。對(duì)應(yīng)的３ 段延遲差為Ｄ［１：ｉ］、Ｄ［ｉ＋１：ｊ］和Ｄ［ｊ＋１：ｎ］，ｎ 為級(jí)數(shù)。當(dāng)ＦＦ Ａｒｂｉｔｅｒ 的輸出為０ 時(shí)，第１ 段和第２ 段延遲差修正為（－Ｄ［１：ｉ］）、（－Ｄ［ｉ＋１：ｊ］）。將３ 個(gè)延遲差作為隱藏層節(jié)點(diǎn)，構(gòu)造了一個(gè)３ 層ＡＮＮ 網(wǎng)絡(luò)。網(wǎng)絡(luò)的輸入為由激勵(lì)轉(zhuǎn)換的熵源（１ ，２ ，…，ｎ），輸出為響應(yīng)Ｒ。由于專用ＡＮＮ 的復(fù)雜度更接近目標(biāo)ＰＵＦ，與傳統(tǒng)３ 層ＡＮＮ 相比，預(yù)測(cè)成功率更高。

前饋神經(jīng)網(wǎng)絡(luò)（Ｆｅｅｄｆｏｒｗａｒｄ Ｎｅｕｒａｌ Ｎｅｔｗｏｒｋ，ＦＮＮ）作為一種典型的沒有反饋回路的多層神經(jīng)網(wǎng)絡(luò)，目前已經(jīng)對(duì)ＡＰＵＦ［６］、ＸＯＲ ＡＰＵＦ［２７］、ＬＳ ＰＵＦ［２８］、ＩＰＵＦ［５］和ＭＰＵＦ［１１］等多種ＰＵＦ 成功建模［３０］。

２． ５ ＮＢ

ＮＢ 是以條件獨(dú)立性假設(shè)為前提的分類方法［４８］。假設(shè)輸入是一個(gè)特征向量，每個(gè)特征是相互獨(dú)立的，求各類別在特征向量下的后驗(yàn)概率，取滿足概率最大值的分類作為最終輸出。在攻擊ＰＵＦ 時(shí)，激勵(lì)和響應(yīng)作為ＮＢ 算法的輸入和輸出。通過觀察大量的ＣＲＰ，ＮＢ 可以學(xué)習(xí)到ＰＵＦ 的結(jié)構(gòu)，并用于預(yù)測(cè)未知激勵(lì)的響應(yīng)［４９］。與其他算法相比，ＮＢ 在小樣本情況下預(yù)測(cè)率更高，但輸入特征之間往往存在相關(guān)性，進(jìn)而導(dǎo)致分類效果變差［１５，５０］。

貝葉斯定理表達(dá)式為：

式中：Ｘ ＝ ［ｘ１ ，ｘ２ ，…，ｘｎ ］為ｎ 維特征向量，ｙ 為對(duì)應(yīng)的標(biāo)簽，Ｐ（ｙ）為某一標(biāo)簽的先驗(yàn)概率，Ｐ（ｘ１ ，ｘ２ ，…，ｘｎ）為多個(gè)特征的聯(lián)合概率。

由于各個(gè)特征滿足條件獨(dú)立性，因此條件概率Ｐ（ｙ ｘ１ ，ｘ２ ，…，ｘｎ）可表示為：

選擇正確程度最高的類別作為分類的結(jié)果，判別式為：

針對(duì)不同的ＰＵＦ 結(jié)構(gòu)，上述幾種ＭＬ 算法各有優(yōu)缺點(diǎn)。同一種ＰＵＦ 結(jié)構(gòu)可能被幾種算法都攻破，但性能上存在較大差異。比如，對(duì)于ＡＰＵＦ 而言，ＬＲ 速度最快，但對(duì)于５-ＸＯＲ ＡＰＵＦ 而言，ＬＲ 用時(shí)約１６ ｈ，深度神經(jīng)網(wǎng)絡(luò)（Ｄｅｅｐ Ｎｅｕｒａｌ Ｎｅｔｗｏｒｋ，ＤＮＮ）用時(shí)僅３０ ｍｉｎ 左右［３０］，說明ＬＲ 對(duì)非線性結(jié)構(gòu)的攻擊難度大。這為算法選取的優(yōu)先級(jí)提供了一定的依據(jù)。

幾種ＭＬ 算法對(duì)本文ＰＵＦ 的攻擊現(xiàn)狀如表１ 所示。由表１ 可知，雖然隨著ＭＬ 技術(shù)的發(fā)展，部分改進(jìn)結(jié)構(gòu)逐漸被攻破，但ＰＵＦ 整體抗ＭＬ 攻擊性能有了明顯提升。

３ 性能評(píng)價(jià)方法

３． １ 比特預(yù)測(cè)準(zhǔn)確率

比特預(yù)測(cè)準(zhǔn)確率是當(dāng)前用以評(píng)估ＰＵＦ 抗ＭＬ攻擊魯棒性的最常用指標(biāo)。該指標(biāo)是指攻擊者預(yù)測(cè)正確的響應(yīng)比特?cái)?shù)與總響應(yīng)比特?cái)?shù)的百分比。因?yàn)槊课豁憫?yīng)只有０、１ 兩種可能，因此理論值介于５０％ ～ １００％ 。為了直觀地比較不同ＰＵＦ 的抗攻擊性能，可定義Ｆａｂｉｌｉｔｙ 來衡量ＰＵＦ 的抗攻擊能力：

Ｆａｂｉｌｉｔｙ（ｐｎ ） ＝ １／ｔａｎ（π ｐｎ － ０． ５ ）， （６）

式中：ｐｎ 為訓(xùn)練集數(shù)量為ｎ 時(shí)的比特預(yù)測(cè)準(zhǔn)確率。當(dāng)預(yù)測(cè)準(zhǔn)確率為５０％ 時(shí)，預(yù)測(cè)的成功率并不比隨機(jī)猜測(cè)更高，此時(shí)Ｆａｂｉｌｉｔｙ 近似為無窮大，表明ＰＵＦ 的抗攻擊能力很強(qiáng)。

３． ２ 模型熵界和熵密度

Ｍａｅｓ［５１］采用信息論中的定義提出了模型熵界Ｈ（Ｙｎ），即模型中響應(yīng)序列熵值總和的上限，用來衡量模型的強(qiáng)度。熵界越小，模型的預(yù)測(cè)能力越強(qiáng)，Ｈ（Ｙｎ）的表達(dá)式為：

Ｈ（Ｙｎ ）≤ Σｎｉ ＝ １ｈ（ｐｍｏｄｅｌ（ｉ））， （７）

式中：ｈ（·）為每比特響應(yīng)的熵，ｐｍｏｄｅｌ（ｉ）為用（ｉ－１）個(gè)先前觀測(cè)到的響應(yīng)比特預(yù)測(cè)第ｉ 比特的平均預(yù)測(cè)率，預(yù)測(cè)率越大，熵值越?。唬伲?＝ ［Ｙ１ ，Ｙ２ ，…，Ｙｎ ］為長(zhǎng)度為ｎ 的隨機(jī)比特向量，Ｙｉ ∈｛０，１｝為隨機(jī)變量，ｎ為響應(yīng)的序列長(zhǎng)度。

為了比較模型對(duì)不同ＰＵＦ 的預(yù)測(cè)能力，所有熵界用熵密度ρ（Ｙｎ）表示：

該界限的嚴(yán)格性取決于假設(shè)模型的強(qiáng)度，界限越嚴(yán)格，即熵密度越接近真實(shí)響應(yīng)的熵，模型的預(yù)測(cè)能力越強(qiáng)。通常，訓(xùn)練的響應(yīng)越多，預(yù)測(cè)率越高，即ｐｍｏｄｅｌ（ｉ）隨ｉ 的增加而增加。因此，ρｍｏｄｅｌ（Ｙｎ ）不是常數(shù)，而是取決于ｎ。如果一個(gè)模型在用大量觀測(cè)到的響應(yīng)訓(xùn)練后產(chǎn)生了近乎完美的預(yù)測(cè)，后續(xù)響應(yīng)將只貢獻(xiàn)噪聲熵。隨著響應(yīng)數(shù)量的增加，熵密度將進(jìn)一步降低，趨于真實(shí)響應(yīng)的熵。

４ 結(jié)束語

ＰＵＦ 的攻擊與防御是相互促進(jìn)的，新的或優(yōu)化的ＭＬ 攻擊算法會(huì)指導(dǎo)結(jié)構(gòu)的改進(jìn)。在設(shè)計(jì)ＰＵＦ時(shí)要充分考慮能被ＭＬ 攻破的結(jié)構(gòu)漏洞，同時(shí)平衡可靠性、面積、功耗和操作成本等因素，以滿足實(shí)際應(yīng)用需求。未來關(guān)于ＰＵＦ 攻擊與防御的研究可能將聚焦于以下幾個(gè)方向：

① 提高可靠性。ＰＵＦ 受電壓、溫度和老化等因素影響導(dǎo)致的可靠性下降是制約ＰＵＦ 應(yīng)用的主要問題。近年來，很多提高ＰＵＦ 可靠性的方法被提出，如可靠性自檢［５２］、博斯－ 查德胡里－ 霍昆格姆（ＢｏｓｅＣｈａｕｄｈｕｒｉＨｏｃｑｕｅｎｇｈｅｍ，ＢＣＨ）糾錯(cuò)［５３］等。

② 減少硬件開銷。ＰＵＦ 主要應(yīng)用于輕量級(jí)設(shè)備，因此對(duì)于硬件資源有限的ＰＵＦ 實(shí)現(xiàn)載體應(yīng)盡可能考慮成本效益?？梢酝ㄟ^避免引入ｈａｓｈ 散列、ＥＣＣ 糾錯(cuò)等復(fù)雜電路，或者在服務(wù)器端糾錯(cuò)來節(jié)省額外開銷。理想的ＰＵＦ 結(jié)構(gòu)是ＰＵＦ 本身占用主體硬件資源，而其他輔助電路小到可以忽略。

③ 建立計(jì)算機(jī)輔助設(shè)計(jì)（ＣｏｍｐｕｔｅｒＡｉｄｅｄＤｅｓｉｇｎ，ＣＡＤ）評(píng)估框架。對(duì)ＰＵＦ 設(shè)計(jì)者和制造商而言，很難全面準(zhǔn)確地評(píng)估新的結(jié)構(gòu)設(shè)計(jì)或?qū)Σ吣芊竦挚梗停?和其他類型的攻擊，如文獻(xiàn)［５４］僅支持對(duì)ＭＬ 攻擊的魯棒性評(píng)估。因此，需要開發(fā)ＣＡＤ 框架來評(píng)估ＰＵＦ 對(duì)所有類型攻擊的魯棒性。

④ 將ＰＵＦ 的概念與加密算法相融合。傳統(tǒng)加密算法的安全性已經(jīng)過多輪驗(yàn)證，用ＰＵＦ 響應(yīng)替代加密算法的密鑰或充當(dāng)輕量級(jí)消息認(rèn)證碼（ＭｅｓｓａｇｅＡｕｔｈｅｎｔｉｃａｔｉｏｎ Ｃｏｄｅ，ＭＡＣ）［５５］，可以解決密鑰的安全存儲(chǔ)問題。

⑤ 開發(fā)新的ＭＬ 攻擊算法。傳統(tǒng)ＭＬ 學(xué)習(xí)算法對(duì)ＰＵＦ 的攻擊已較為成熟。近幾年，一些新的ＭＬ算法如主成分分析（Ｐｒｉｎｃｉｐａｌ Ｃｏｍｐｏｎｅｎｔ Ａｎａｌｙｓｉｓ，ＰＣＡ ）、生成對(duì)抗網(wǎng)絡(luò)（Ｇｅｎｅｒａｔｉｖｅ ＡｄｖｅｒｓａｒｉａｌＮｅｔｗｏｒｋ，ＧＡＮ）等開始用于ＰＵＦ 建模，未來可以用更多的ＭＬ 算法或結(jié)合智能算法對(duì)ＰＵＦ 進(jìn)行攻擊。

參考文獻(xiàn)

［１］ 黃浩，蔡戩，盧列文，等． 促進(jìn)北斗衛(wèi)星導(dǎo)航產(chǎn)品認(rèn)證服務(wù)，提升北斗衛(wèi)星導(dǎo)航產(chǎn)品質(zhì)量［Ｊ］． 科學(xué)技術(shù)創(chuàng)新，２０１９（３）：３８－３９．

［２］ 竇志斌，白鶴峰，李文屏，等． 一種衛(wèi)星網(wǎng)絡(luò)中的星地輕量化認(rèn)證鑒權(quán)架構(gòu)［Ｊ］． 無線電工程，２０２０，５０（４）：２６２－２６８．

［３］ ＰＡＰＰＵ Ｒ，ＲＥＣＨＴ Ｂ，ＴＡＹＬＯＲ Ｊ，ｅｔ ａｌ． Ｐｈｙｓｉｃａｌ ＯｎｅｗａｙＦｕｎｃｔｉｏｎｓ［Ｊ］． Ｓｃｉｅｎｃｅ，２００２，２９７（５５８９）：２０２６－２０３０．

［４］ ＣＨＥＮ Ｑ Ｑ，ＣＳＡＢＡ Ｇ，ＬＵＧＬＩ Ｐ，ｅｔ ａｌ． Ｔｈｅ Ｂｉｓｔａｂｌｅ ＲｉｎｇＰＵＦ：Ａ Ｎｅｗ Ａｒｃｈｉｔｅｃｔｕｒｅ ｆｏｒ Ｓｔｒｏｎｇ Ｐｈｙｓｉｃａｌ ＵｎｃｌｏｎａｂｌｅＦｕｎｃｔｉｏｎｓ［Ｃ］∥２０１１ ＩＥＥＥ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｓｙｍｐｏｓｉｕｍ ｏｎＨａｒｄｗａｒｅＯｒｉｅｎｔｅｄ Ｓｅｃｕｒｉｔｙ ａｎｄ Ｔｒｕｓｔ （ＨＯＳＴ ）． ＳａｎＤｉｅｇｏ：ＩＥＥＥ，２０１１：１３４－１４１．

［５］ ＮＧＵＹＥＮ Ｐ Ｈ，ＳＡＨＯＯ Ｄ Ｐ，ＪＩＮ Ｃ Ｌ，ｅｔ ａｌ． Ｔｈｅ ＩｎｔｅｒｐｏｓｅＰＵＦ：Ｓｅｃｕｒｅ ＰＵＦ Ｄｅｓｉｇｎ Ａｇａｉｎｓｔ Ｓｔａｔｅｏｆｔｈｅａｒｔ ＭａｃｈｉｎｅＬｅａｒｎｉｎｇ Ａｔｔａｃｋｓ ［Ｊ ］． Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ ＣｒｙｐｔｏｇｒａｐｈｉｃＨａｒｄｗａｒｅ ａｎｄ Ｅｍｂｅｄｄｅｄ Ｓｙｓｔｅｍｓ，２０１９（４）：２４３－２９０．

［６］ ＬＥＥ Ｊ Ｗ，ＬＩＭ Ｄ，ＧＡＳＳＥＮＤ Ｂ，ｅｔ ａｌ． Ａ Ｔｅｃｈｎｉｑｕｅ ｔｏＢｕｉｌｄ ａ Ｓｅｃｒｅｔ Ｋｅｙ ｉｎ Ｉｎｔｅｇｒａｔｅｄ Ｃｉｒｃｕｉｔｓ ｆｏｒ Ｉｄｅｎｔｉｆｉｃａｔｉｏｎａｎｄ Ａｕｔｈｅｎｔｉｃａｔｉｏｎ Ａｐｐｌｉｃａｔｉｏｎｓ ［Ｃ］∥ ２００４ Ｓｙｍｐｏｓｉｕｍｏｎ ＶＬＳＩ Ｃｉｒｃｕｉｔｓ． Ｄｉｇｅｓｔ ｏｆ Ｔｅｃｈｎｉｃａｌ Ｐａｐｅｒｓ． Ｈｏｎｏｌｕｌｕ：ＩＥＥＥ，２００４：１７６－１７９．

［７］ ＲＨＲＭＡＩＲ Ｕ，ＳＥＨＮＫＥ Ｆ，Ｓ？ＬＴＥＲ Ｊ，ｅｔ ａｌ． ＭｏｄｅｌｉｎｇＡｔｔａｃｋｓ ｏｎ Ｐｈｙｓｉｃａｌ Ｕｎｃｌｏｎａｂｌｅ Ｆｕｎｃｔｉｏｎｓ［Ｃ］∥Ｐｒｏｃｅｅｄｉｎｇｓ ｏｆ ｔｈｅ １７ｔｈ ＡＣＭ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｃｏｍｐｕｔｅｒ ａｎｄ Ｃｏｍｍｕｎｉｃａｔｉｏｎｓ Ｓｅｃｕｒｉｔｙ． Ｎｅｗ Ｙｏｒｋ：ＡＣＭ，２０１０：２３７－２４９．

［８］ ＬＡＯ Ｙ Ｊ，ＰＡＲＨＩ Ｋ Ｋ． Ｒｅｃｏｎｆｉｇｕｒａｂｌｅ Ａｒｃｈｉｔｅｃｔｕｒｅｓ ｆｏｒＳｉｌｉｃｏｎ Ｐｈｙｓｉｃａｌ Ｕｎｃｌｏｎａｂｌｅ Ｆｕｎｃｔｉｏｎｓ［Ｃ］∥２０１１ ＩＥＥＥＩｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｅｌｅｃｔｒｏ ／ Ｉｎｆｏｒｍａｔｉｏｎ Ｔｅｃｈｎｏｌｏｇｙ． Ｍａｎｋａｔｏ：ＩＥＥＥ，２０１１：１－７．

［９］ ＮＯＺＡＫＩ Ｙ，ＹＯＳＨＩＫＡＷＡ Ｍ． Ｐｏｗｅｒ Ｃｏｎｓｕｍｐｔｉｏｎ ＡｗａｒｅＭａｃｈｉｎｅ Ｌｅａｒｎｉｎｇ Ａｔｔａｃｋ ｆｏｒ Ｆｅｅｄｆｏｒｗａｒｄ Ａｒｂｉｔｅｒ ＰＵＦ［Ｃ］∥Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｃｏｍｐｕｔｅｒ ａｎｄ Ｉｎｆｏｒｍａｔｉｏｎ Ｓｃｉｅｎｃｅ （ＩＣＩＳ ２０１８ ）． Ｓｉｎｇａｐｏｒｅ：Ｓｐｒｉｎｇｅｒ，２０１８：４９－６２．

［１０］ ＡＶＶＡＲＵ Ｓ Ｖ Ｓ，ＺＥＮＧ Ｚ Ｑ，ＰＡＲＨＩ Ｋ Ｋ． Ｈｏｍｏｇｅｎｅｏｕｓａｎｄ Ｈｅｔｅｒｏｇｅｎｅｏｕｓ Ｆｅｅｄｆｏｒｗａｒｄ ＸＯＲ Ｐｈｙｓｉｃａｌ ＵｎｃｌｏｎａｂｌｅＦｕｎｃｔｉｏｎｓ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｉｎｆｏｒｍａｔｉｏｎ Ｆｏｒｅｎｓｉｃｓａｎｄ Ｓｅｃｕｒｉｔｙ，２０２０，１５：２４８５－２４９８．

［１１］ ＳＡＨＯＯ Ｄ Ｐ，ＭＵＫＨＯＰＡＤＨＹＡＹ Ｄ，ＣＨＡＫＲＡＢＯＲＴＹ ＲＳ，ｅｔ ａｌ． Ａ Ｍｕｌｔｉｐｌｅｘｅｒｂａｓｅｄ Ａｒｂｉｔｅｒ ＰＵＦ Ｃｏｍｐｏｓｉｔｉｏｎｗｉｔｈ Ｅｎｈａｎｃｅｄ Ｒｅｌｉａｂｉｌｉｔｙ ａｎｄ Ｓｅｃｕｒｉｔｙ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｃｏｍｐｕｔｅｒｓ，２０１７，６７（３）：４０３－４１７．

［１２］ 翟官寶，汪鵬君，李剛，等． 混合型抗機(jī)器學(xué)習(xí)攻擊的強(qiáng)ＰＵＦ 電路設(shè)計(jì)［Ｊ］． 華東理工大學(xué)學(xué)報(bào)（自然科學(xué)版），２０２２，４９（６）：８５４－８６１．

［１３］ ＸＵ Ｃ Ｙ，ＺＨＡＮＧ Ｌ Ｔ，ＬＡＷ Ｍ Ｋ，ｅｔ ａｌ． Ｍｏｄｅｌｉｎｇ ＡｔｔａｃｋＲｅｓｉｓｔａｎｔ Ｓｔｒｏｎｇ ＰＵＦ Ｅｘｐｌｏｉｔｉｎｇ Ｓｔａｇｅｗｉｓｅ Ｏｂｆｕｓｃａｔｅｄ Ｉｎｔｅｒｃｏｎｎｅｃｔｉｏｎｓ ｗｉｔｈ Ｉｍｐｒｏｖｅｄ Ｒｅｌｉａｂｉｌｉｔｙ［Ｊ］． ＩＥＥＥ Ｉｎｔｅｒｎｅｔｏｆ Ｔｈｉｎｇｓ Ｊｏｕｒｎａｌ，２０２３，１０（１８）：１６３００－１６３１５．

［１４］ ＳＡＨＯＯ Ｄ Ｐ，ＳＡＨＡ Ｓ，ＭＵＫＨＯＰＡＤＨＹＡＹ Ｄ，ｅｔ ａｌ．Ｃｏｍｐｏｓｉｔｅ ＰＵＦ：Ａ Ｎｅｗ Ｄｅｓｉｇｎ Ｐａｒａｄｉｇｍ ｆｏｒ ＰｈｙｓｉｃａｌｌｙＵｎｃｌｏｎａｂｌｅ Ｆｕｎｃｔｉｏｎｓ ｏｎ ＦＰＧＡ［Ｃ］∥２０１４ ＩＥＥＥ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｓｙｍｐｏｓｉｕｍ ｏｎ ＨａｒｄｗａｒｅＯｒｉｅｎｔｅｄ Ｓｅｃｕｒｉｔｙ ａｎｄＴｒｕｓｔ （ＨＯＳＴ）． Ａｒｌｉｎｇｔｏｎ：ＩＥＥＥ，２０１４：５０－５５．

［１５］ 方越． 強(qiáng)ＰＵＦ 安全性分析及抗模型攻擊策略［Ｄ］． 南京：南京航空航天大學(xué)，２０２０．

［１６］ ＷＵ Ｑ，ＺＨＡＮＧ Ｊ Ｌ． ＣＴ ＰＵＦ：Ｃｏｎｆｉｇｕｒａｂｌｅ Ｔｒｉｓｔａｔｅ ＰＵＦＡｇａｉｎｓｔ Ｍａｃｈｉｎｅ Ｌｅａｒｎｉｎｇ Ａｔｔａｃｋｓ［Ｃ］∥２０２０ ＩＥＥＥ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｓｙｍｐｏｓｉｕｍ ｏｎ Ｃｉｒｃｕｉｔｓ ａｎｄ Ｓｙｓｔｅｍｓ （ＩＳＣＡＳ）．Ｓｅｖｉｌｌｅ：ＩＥＥＥ，２０２０：１－５．

［１７］ 汪鵬君，連佳娜，陳博． 基于序列密碼的強(qiáng)ＰＵＦ 抗機(jī)器學(xué)習(xí)攻擊方法［Ｊ］． 電子與信息學(xué)報(bào)，２０２１，４３ （９）：２４７４－２４８１．

［１８］ ＺＨＡＮＧ Ｊ Ｌ，ＳＨＥＮ Ｃ Ｑ． Ｓｅｔｂａｓｅｄ Ｏｂｆｕｓｃａｔｉｏｎ ｆｏｒ ＳｔｒｏｎｇＰＵＦｓ Ａｇａｉｎｓｔ Ｍａｃｈｉｎｅ Ｌｅａｒｎｉｎｇ Ａｔｔａｃｋｓ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｃｉｒｃｕｉｔｓ ａｎｄ Ｓｙｓｔｅｍｓ Ｉ：Ｒｅｇｕｌａｒ Ｐａｐｅｒｓ，２０２０，６８（１）：２８８－３００．

［１９］ ＹＥ Ｊ，ＨＵ Ｙ，ＬＩ Ｘ Ｗ． ＲＰＵＦ：Ｐｈｙｉｃａｌ Ｕｎｃｌｏｎａｂｌｅ Ｆｕｎｃｔｉｏｎｗｉｔｈ Ｒａｎｄｏｍｉｚｅｄ Ｃｈａｌｌｅｎｇｅ ｔｏ Ｒｅｓｉｓｔ Ｍｏｄｅｌｉｎｇ Ａｔｔａｃｋ［Ｃ］∥２０１６ ＩＥＥＥ Ａｓｉａｎ ＨａｒｄｗａｒｅＯｒｉｅｎｔｅｄ Ｓｅｃｕｒｉｔｙ ａｎｄ Ｔｒｕｓｔ（ＡｓｉａｎＨＯＳＴ）． Ｙｉｌａｎ：ＩＥＥＥ，２０１６：１－６．

［２０］ ＭＡＪＺＯＯＢＩ Ｍ，ＲＯＳＴＡＭＩ Ｍ，ＫＯＵＳＨＡＮＦＡＲ Ｆ，ｅｔ ａｌ．Ｓｌｅｎｄｅｒ ＰＵＦ Ｐｒｏｔｏｃｏｌ：Ａ Ｌｉｇｈｔｗｅｉｇｈｔ，Ｒｏｂｕｓｔ，ａｎｄ ＳｅｃｕｒｅＡｕｔｈｅｎｔｉｃａｔｉｏｎ ｂｙ Ｓｕｂｓｔｒｉｎｇ Ｍａｔｃｈｉｎｇ ［Ｃ］∥ ２０１２ ＩＥＥＥＳｙｍｐｏｓｉｕｍ ｏｎ Ｓｅｃｕｒｉｔｙ ａｎｄ Ｐｒｉｖａｃｙ Ｗｏｒｋｓｈｏｐｓ． Ｓａｎ Ｆｒａｎｃｉｓｃｏ：ＩＥＥＥ，２０１２：３３－４４．

［２１］ ＢＥＫＥＲ Ｇ Ｔ． Ｏｎ ｔｈｅ Ｐｉｔｆａｌｌｓ ｏｆ Ｕｓｉｎｇ ＡｒｂｉｔｅｒＰＵＦｓ ａｓＢｕｉｌｄｉｎｇ Ｂｌｏｃｋｓ ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｃｏｍｐｕｔｅｒａｉｄｅｄ Ｄｅｓｉｇｎ ｏｆ Ｉｎｔｅｇｒａｔｅｄ Ｃｉｒｃｕｉｔｓ ａｎｄ Ｓｙｓｔｅｍｓ，２０１５，３４（８）：１２９５－１３０７．

［２２］ ＤＥＬＶＡＵＸ Ｊ． Ｍａｃｈｉｎｅｌｅａｒｎｉｎｇ Ａｔｔａｃｋｓ ｏｎ ＰｏｌｙＰＵＦｓ，ＯＢＰＵＦｓ，ＲＰＵＦｓ，ＬＨＳＰＵＦｓ，ａｎｄ ＰＵＦＦＳＭｓ［Ｊ］． ＩＥＥＥＴｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｉｎｆｏｒｍａｔｉｏｎ Ｆｏｒｅｎｓｉｃｓ ａｎｄ Ｓｅｃｕｒｉｔｙ，２０１９，１４（８）：２０４３－２０５８．

［２３］ ＷＡＮＧ Ｙ Ｌ，ＷＡＮＧ Ｃ Ｈ，ＧＵ Ｃ Ｙ，ｅｔ ａｌ． Ａ Ｇｅｎｅｒｉｃ Ｄｙｎａｍｉｃ Ｒｅｓｐｏｎｄｉｎｇ Ｍｅｃｈａｎｉｓｍ ａｎｄ Ｓｅｃｕｒｅ ＡｕｔｈｅｎｔｉｃａｔｉｏｎＰｒｏｔｏｃｏｌ ｆｏｒ Ｓｔｒｏｎｇ ＰＵＦｓ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ ＶｅｒｙＬａｒｇｅ Ｓｃａｌｅ Ｉｎｔｅｇｒａｔｉｏｎ （ＶＬＳＩ）Ｓｙｓｔｅｍｓ，２０２２，３０ （９）：１２５６－１２６８．

［２４］ ＧＡＳＳＥＮＤ Ｂ，ＣＬＡＲＫＥ Ｄ，ＤＩＪＫ Ｍ Ｖ，ｅｔ ａｌ． ＣｏｎｔｒｏｌｌｅｄＰｈｙｓｉｃａｌ Ｒａｎｄｏｍ Ｆｕｎｃｔｉｏｎｓ［Ｃ］∥１８ｔｈ Ａｎｎｕａｌ ＣｏｍｐｕｔｅｒＳｅｃｕｒｉｔｙ Ａｐｐｌｉｃａｔｉｏｎｓ Ｃｏｎｆｅｒｅｎｃｅ． Ｌａｓ Ｖｅｇａｓ：ＩＥＥＥ，２００２：１４９－１６０．

［２５］ ＧＡＯ Ｙ Ｓ，ＭＡ Ｈ，ＡＬＳＡＲＡＷＩ Ｓ Ｆ，ｅｔ ａｌ． ＰＵＦＦＳＭ：ＡＣｏｎｔｒｏｌｌｅｄ Ｓｔｒｏｎｇ ＰＵＦ ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ ＣｏｍｐｕｔｅｒＡｉｄｅｄ Ｄｅｓｉｇｎ ｏｆ Ｉｎｔｅｇｒａｔｅｄ Ｃｉｒｃｕｉｔｓ ａｎｄ Ｓｙｓｔｅｍｓ，２０１７，３７（５）：１１０４－１１０８．

［２６］ ＺＨＯＵ Ｚ Ｙ，ＬＩ Ｇ，ＷＡＮＧ Ｐ Ｊ，ｅｔ ａｌ． Ｍａｔｒｉｘ Ｅｎｃｒｙｐｔｉｏｎｂａｓｅｄ Ａｎｔｉｍａｃｈｉｎｅ Ｌｅａｒｎｉｎｇ Ａｔｔａｃｋ Ａｌｇｏｒｉｔｈｍ ｆｏｒ ＳｔｒｏｎｇＰＵＦ［Ｃ］∥２０２１ ＩＥＥＥ １４ｔｈ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎＡＳＩＣ （ＡＳＩＣＯＮ）． Ｋｕｎｍｉｎｇ：ＩＥＥＥ，２０２１：１－４．

［２７］ ＳＵＨ Ｇ Ｅ，ＤＥＶＡＤＡＳ Ｓ． Ｐｈｙｓｉｃａｌ Ｕｎｃｌｏｎａｂｌｅ Ｆｕｎｃｔｉｏｎｓｆｏｒ Ｄｅｖｉｃｅ Ａｕｔｈｅｎｔｉｃａｔｉｏｎ ａｎｄ Ｓｅｃｒｅｔ Ｋｅｙ Ｇｅｎｅｒａｔｉｏｎ［Ｃ］∥２００７ ４４ｔｈ ＡＣＭ ／ ＩＥＥＥ Ｄｅｓｉｇｎ Ａｕｔｏｍａｔｉｏｎ Ｃｏｎｆｅｒｅｎｃｅ．Ｓａｎ Ｄｉｅｇｏ：ＩＥＥＥ，２００７：９－１４．

［２８］ ＭＡＪＺＯＯＢＩ Ｍ，ＫＯＵＳＨＡＮＦＡＲ Ｆ，ＰＯＴＫＯＮＪＡＫ Ｍ．Ｌｉｇｈｔｗｅｉｇｈｔ Ｓｅｃｕｒｅ ＰＵＦｓ［Ｃ］∥２００８ ＩＥＥＥ ／ ＡＣＭ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ ＣｏｍｐｕｔｅｒＡｉｄｅｄ Ｄｅｓｉｇｎ． Ｓａｎ Ｊｏｓｅ：ＩＥＥＥ，２００８：６７０－６７３．

［２９］ 沈娟娟． 基于ＦＰＧＡ 的ＰＵＦ 結(jié)構(gòu)設(shè)計(jì)及ＲＮＧ 應(yīng)用分析［Ｄ］． 哈爾濱：黑龍江大學(xué)，２０２２．

［３０］ ＳＡＮＴＩＫＥＬＬＵＲ Ｐ，ＢＨＡＴＴＡＣＨＡＲＹＡＹ Ａ，ＣＨＡＫＲＡＢＯＲＴＹＲ Ｓ． Ｄｅｅｐ Ｌｅａｒｎｉｎｇ Ｂａｓｅｄ Ｍｏｄｅｌ Ｂｕｉｌｄｉｎｇ Ａｔｔａｃｋｓ ｏｎ Ａｒｂｉｔｅｒ ＰＵＦ Ｃｏｍｐｏｓｉｔｉｏｎｓ ［ＥＢ ／ ＯＬ］． ［２０２３ － ０６ － ２０ ］．ｈｔｔｐｓ：∥ｅｐｒｉｎｔ． ｉａｃｒ． ｏｒｇ ／ ２０１９ ／ ５６６． ｐｄｆ．

［３１］ ＳＡＮＴＩＫＥＬＬＵＲ Ｐ，ＣＨＡＫＲＡＢＯＲＴＹ Ｒ Ｓ． Ａ Ｃｏｍｐｕｔａｔｉｏｎａｌｌｙ Ｅｆｆｉｃｉｅｎｔ Ｔｅｎｓｏｒ Ｒｅｇｒｅｓｓｉｏｎ Ｎｅｔｗｏｒｋｂａｓｅｄ Ｍｏｄｅｌｉｎｇ Ａｔｔａｃｋ ｏｎ ＸＯＲ Ａｒｂｉｔｅｒ ＰＵＦ ａｎｄ Ｉｔｓ Ｖａｒｉａｎｔｓ［Ｊ］．ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ ＣｏｍｐｕｔｅｒＡｉｄｅｄ Ｄｅｓｉｇｎ ｏｆ ＩｎｔｅｇｒａｔｅｄＣｉｒｃｕｉｔｓ ａｎｄ Ｓｙｓｔｅｍｓ，２０２０，４０（６）：１１９７－１２０６．

［３２］ ＷＩＳＩＯＬ Ｎ，ＰＩＲＮＡＹ Ｎ． Ｓｈｏｒｔ Ｐａｐｅｒ：ＸＯＲ Ａｒｂｉｔｅｒ ＰＵＦｓＨａｖｅ Ｓｙｓｔｅｍａｔｉｃ Ｒｅｓｐｏｎｓｅ Ｂｉａｓ［Ｃ］∥ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｆｉｎａｎｃｉａｌ Ｃｒｙｐｔｏｇｒａｐｈｙ ａｎｄ Ｄａｔａ Ｓｅｃｕｒｉｔｙ． ＫｏｔａＫｉｎａｂａｌｕ：Ｓｐｒｉｎｇｅｒ，２０２０：５０－５７．

［３３］ 黃蕓． 抵抗機(jī)器學(xué)習(xí)攻擊的強(qiáng)ＰＵＦ 防御技術(shù)研究［Ｄ］． 長(zhǎng)沙：湖南大學(xué)，２０２１．

［３４］ ＥＢＲＡＨＩＭＡＢＡＤＩ Ｍ，ＹＯＵＮＩＳ Ｍ，ＬＡＬＯＵＡＮＩ Ｗ，ｅｔ ａｌ． ＡＮｏｖｅｌ Ｍｏｄｅｌｉｎｇａｔｔａｃｋ Ｒｅｓｉｌｉｅｎｔ ＡｒｂｉｔｅｒＰＵＦ Ｄｅｓｉｇｎ［Ｃ］∥２０２１ ３４ｔｈ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ ＶＬＳＩ Ｄｅｓｉｇｎ ａｎｄ２０２１ ２０ｔｈ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｅｍｂｅｄｄｅｄ Ｓｙｓｔｅｍｓ（ＶＬＳＩＤ）． Ｇｕｗａｈａｔｉ：ＩＥＥＥ，２０２１：１２３－１２８．

［３５］ ＲＨＲＭＡＩＲ Ｕ，Ｓ？ＬＴＥＲ Ｊ，ＳＥＨＮＫＥ Ｆ，ｅｔ ａｌ． ＰＵＦ Ｍｏｄｅｌｉｎｇ Ａｔｔａｃｋｓ ｏｎ Ｓｉｍｕｌａｔｅｄ ａｎｄ Ｓｉｌｉｃｏｎ Ｄａｔａ ［Ｊ］． ＩＥＥＥＴｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｉｎｆｏｒｍａｔｉｏｎ Ｆｏｒｅｎｓｉｃｓ ａｎｄ Ｓｅｃｕｒｉｔｙ，２０１３，８（１１）：１８７６－１８９１．

［３６］ 張學(xué)工． 關(guān)于統(tǒng)計(jì)學(xué)習(xí)理論與支持向量機(jī)［Ｊ］． 自動(dòng)化學(xué)報(bào)，２０００，２６（１）：３２－４２．

［３７］ 王國勝，鐘義信． 支持向量機(jī)的理論基礎(chǔ)———統(tǒng)計(jì)學(xué)習(xí)理論［Ｊ］． 計(jì)算機(jī)工程與應(yīng)用，２００１（１９）：１９－２０．

［３８］ ＬＩＭ Ｄ，ＬＥＥ Ｊ Ｗ，ＧＡＳＳＥＮＤ Ｂ，ｅｔ ａｌ． Ｅｘｔｒａｃｔｉｎｇ ＳｅｃｒｅｔＫｅｙｓ ｆｒｏｍ Ｉｎｔｅｇｒａｔｅｄ Ｃｉｒｃｕｉｔｓ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎｖｅｒｙ Ｌａｒｇｅ Ｓｃａｌｅ Ｉｎｔｅｇｒａｔｉｏｎ （ＶＬＳＩ） Ｓｙｓｔｅｍｓ，２００５，１３（１０）：１２００－１２０５．

［３９］ ＫＨＡＬＡＦＡＬＬＡ Ｍ，ＧＥＢＯＴＹＳ Ｃ． ＰＵＦｓ Ｄｅｅｐ Ａｔｔａｃｋｓ：Ｅｎｈａｎｃｅｄ Ｍｏｄｅｌｉｎｇ Ａｔｔａｃｋｓ Ｕｓｉｎｇ Ｄｅｅｐ Ｌｅａｒｎｉｎｇ Ｔｅｃｈｎｉｑｕｅｓｔｏ Ｂｒｅａｋ ｔｈｅ Ｓｅｃｕｒｉｔｙ ｏｆ Ｄｏｕｂｌｅ Ａｒｂｉｔｅｒ ＰＵＦｓ［Ｃ］∥２０１９Ｄｅｓｉｇｎ，Ａｕｔｏｍａｔｉｏｎ ＆ Ｔｅｓｔ ｉｎ Ｅｕｒｏｐｅ Ｃｏｎｆｅｒｅｎｃｅ ＆ Ｅｘｈｉｂｉｔｉｏｎ （ＤＡＴＥ）． Ｆｌｏｒｅｎｃｅ：ＩＥＥＥ，２０１９：２０４－２０９．

［４０］ Ｓ？ＬＴＥＲ Ｊ． Ｃｒｙｐｔａｎａｌｙｓｉｓ ｏｆ Ｅｌｅｃｔｒｉｃａｌ ＰＵＦｓ Ｖｉａ ＭａｃｈｉｎｅＬｅａｒｎｉｎｇ Ａｌｇｏｒｉｔｈｍｓ ［Ｄ ］． Ｍｕｎｉｃｈ：Ｍｕｎｉｃｈ ＴｅｃｈｎｉｑｕｅＵｎｉｖｅｒｓｉｔｙ，２００９．

［４１］ ＳＡＨＯＯ Ｓ Ｒ，ＫＵＭＡＲ Ｋ Ｓ，ＭＡＨＡＰＡＴＲＡ Ｋ． Ａ ＮｏｖｅｌＣｕｒｒｅｎｔ Ｃｏｎｔｒｏｌｌｅｄ Ｃｏｎｆｉｇｕｒａｂｌｅ ＲＯ ＰＵＦ ｗｉｔｈ ＩｍｐｒｏｖｅｄＳｅｃｕｒｉｔｙ Ｍｅｔｒｉｃｓ［Ｊ］． Ｉｎｔｅｇｒａｔｉｏｎ，２０１７，５８：４０１－４１０．

［４２］ ＨＡＮＳＥＮ Ｎ． Ｔｈｅ ＣＭＡ Ｅｖｏｌｕｔｉｏｎ Ｓｔｒａｔｅｇｙ：Ａ ＣｏｍｐａｒｉｎｇＲｅｖｉｅｗ ［Ｊ］． Ｓｔｕｄｉｅｓ ｉｎ Ｆｕｚｚｉｎｅｓｓ ａｎｄ Ｓｏｆｔ Ｃｏｍｐｕｔｉｎｇ，２００６，１９２：７５－１０２．

［４３］ ＳＣＨＷＥＦＥＬ Ｈ Ｐ Ｐ． Ｅｖｏｌｕｔｉｏｎ ａｎｄ Ｏｐｔｉｍｕｍ Ｓｅｅｋｉｎｇ：ＴｈｅＳｉｘｔｈ Ｇｅｎｅｒａｔｉｏｎ ［Ｍ］． Ｎｅｗ Ｙｏｒｋ：Ｊｏｈｎ Ｗｉｌｅｙ ＆ Ｓｏｎｓ，Ｉｎｃ． ，１９９３．

［４４］ ＨＯＲＮＩＫ Ｋ． Ａｐｐｒｏｘｉｍａｔｉｏｎ Ｃａｐａｂｉｌｉｔｉｅｓ ｏｆ ＭｕｌｔｉｌａｙｅｒＦｅｅｄｆｏｒｗａｒｄ Ｎｅｔｗｏｒｋｓ［Ｊ］． Ｎｅｕｒａｌ Ｎｅｔｗｏｒｋｓ，１９９１，４（２）：２５１－２５７．

［４５］ ＲＵＤＥＲ Ｓ． Ａｎ Ｏｖｅｒｖｉｅｗ ｏｆ Ｇｒａｄｉｅｎｔ Ｄｅｓｃｅｎｔ ＯｐｔｉｍｉｚａｔｉｏｎＡｌｇｏｒｉｔｈｍｓ［ＥＢ ／ ＯＬ］． （２０１６－０９－１５）［２０２３－０６－２８］．ｈｔｔｐｓ：∥ａｒｘｉｖ． ｏｒｇ ／ ａｂｓ ／ １６０９． ０４７４７．

［４６］ ＲＩＥＤＭＩＬＬＥＲ Ｍ，ＢＲＡＵＮ Ｈ． Ａ Ｄｉｒｅｃｔ Ａｄａｐｔｉｖｅ Ｍｅｔｈｏｄｆｏｒ Ｆａｓｔｅｒ Ｂａｃｋｐｒｏｐａｇａｔｉｏｎ Ｌｅａｒｎｉｎｇ：Ｔｈｅ ＲＰＲＯＰ Ａｌｇｏｒｉｔｈｍ［Ｃ］∥ＩＥＥＥ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｎｅｕｒａｌ Ｎｅｔｗｏｒｋｓ．Ｓａｎ Ｆｒａｎｃｉｓｃｏ：ＩＥＥＥ，１９９３：５８６－５９１．

［４７］ ＣＨＥＮ Ｙ Ｌ，ＣＵＩ Ｘ Ｌ，ＬＩＵ Ｙ，ｅｔ ａｌ． Ａｎ Ｅｖａｌｕａｔｉｏｎ Ｍｅｔｈｏｄｏｆ ｔｈｅ Ａｎｔｉｍｏｄｅｌｉｎｇａｔｔａｃｋ Ｃａｐａｂｉｌｉｔｙ ｏｆ ＰＵＦｓ［Ｊ］． ＩＥＥＥＴｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｉｎｆｏｒｍａｔｉｏｎ Ｆｏｒｅｎｓｉｃｓ ａｎｄ Ｓｅｃｕｒｉｔｙ，２０２３，１８：１７７３－１７８８．

［４８］ ＮＡＲＡＹＡＮＡＮ Ｖ，ＡＲＯＲＡ Ｉ，ＢＨＡＴＩＡ Ａ． Ｆａｓｔ ａｎｄＡｃｃｕｒａｔｅ Ｓｅｎｔｉｍｅｎｔ Ｃｌａｓｓｉｆｉｃａｔｉｏｎ Ｕｓｉｎｇ ａｎ ＥｎｈａｎｃｅｄＮａｉｖｅ Ｂａｙｅｓ Ｍｏｄｅｌ ［ＥＢ ／ ＯＬ］． （２０１３ － ０５ － ２７）［２０２３ －０６－２８］． ｈｔｔｐｓ：∥ａｒｘｉｖ． ｏｒｇ ／ ａｂｓ ／ １３０５． ６１４３．

［４９］ ＦＡＮＧ Ｙ，ＷＡＮＧ Ｃ Ｈ，ＭＡ Ｑ Ｑ，ｅｔ ａｌ． Ａｔｔａｃｋｉｎｇ ＡｒｂｉｔｅｒＰＵＦｓ Ｕｓｉｎｇ Ｖａｒｉｏｕｓ Ｍｏｄｅｌｉｎｇ Ａｔｔａｃｋ Ａｌｇｏｒｉｔｈｍｓ：Ａ Ｃｏｍｐａｒａｔｉｖｅ Ｓｔｕｄｙ［Ｃ］∥２０１８ ＩＥＥＥ Ａｓｉａ Ｐａｃｉｆｉｃ Ｃｏｎｆｅｒｅｎｃｅｏｎ Ｃｉｒｃｕｉｔｓ ａｎｄ Ｓｙｓｔｅｍｓ （ＡＰＣＣＡＳ ）． Ｃｈｅｎｇｄｕ：ＩＥＥＥ，２０１８：３９４－３９７．

［５０］ 馬雪嬌，李剛． 基于人工神經(jīng)網(wǎng)絡(luò)特征向量提取的ＦＦＡＰＵＦ 攻擊方法［Ｊ］． 電子與信息學(xué)報(bào)，２０２１，４３ （９）：２４９８－２５０７．

［５１］ ＭＡＥＳ Ｒ． Ｐｈｙｓｉｃａｌｌｙ Ｕｎｃｌｏｎａｂｌｅ Ｆｕｎｃｔｉｏｎｓ：Ｃｏｎｓｔｒｕｃｔｉｏｎｓ，Ｐｒｏｐｅｒｔｉｅｓ ａｎｄ Ａｐｐｌｉｃａｔｉｏｎｓ［Ｍ］． Ｌｏｕｖｅｎ：Ｓｐｒｉｎｇｅｒ Ｓｃｉｅｎｃｅ＆ Ｂｕｓｉｎｅｓｓ Ｍｅｄｉａ，２０１３．

［５２］ 賀章擎，馬丹，魯\"，等． 一種基于ＳＲ ＰＵＦ 的可靠性自檢和可靠響應(yīng)去偏方法：ＣＮ２０２２１０１６３１４１． Ｘ ［Ｐ ］．２０２２－０６－２８．

［５３］ 張家梁，宋賀倫． 一種基于ＢＣＨ 算法的ＳＲＡＭ ＰＵＦ 芯片的設(shè)計(jì)、測(cè)試與分析［Ｊ］． 電子測(cè)量技術(shù)，２０２１，４４（６）：２８－３５．

［５４］ ＣＨＡＴＴＥＲＪＥＥ Ｄ，ＭＵＫＨＯＰＡＤＨＹＡＹ Ｄ，ＨＡＺＲＡ Ａ．ＰＵＦＧ：Ａ ＣＡＤ Ｆｒａｍｅｗｏｒｋ ｆｏｒ Ａｕｔｏｍａｔｅｄ Ａｓｓｅｓｓｍｅｎｔ ｏｆＰｒｏｖａｂｌｅ Ｌｅａｒｎａｂｉｌｉｔｙ ｆｒｏｍ Ｆｏｒｍａｌ ＰＵＦ Ｒｅｐｒｅｓｅｎｔａｔｉｏｎｓ［Ｃ］∥２０２０ ＩＥＥＥ／ ＡＣＭ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｃｏｍｐｕｔｅｒ Ａｉｄｅｄ Ｄｅｓｉｇｎ （ＩＣＣＡＤ）． Ｓａｎ Ｄｉｅｇｏ：ＩＥＥＥ，２０２０：１－９．

［５５］ ＱＵＲＥＳＨＩ Ｍ Ａ，ＭＵＮＩＲ Ａ． ＰＵＦＲＡＫＥ：Ａ ＰＵＦｂａｓｅｄＲｏｂｕｓｔ ａｎｄ Ｌｉｇｈｔｗｅｉｇｈｔ Ａｕｔｈｅｎｔｉｃａｔｉｏｎ ａｎｄ Ｋｅｙ Ｅｓｔａｂｌｉｓｈｍｅｎｔ Ｐｒｏｔｏｃｏｌ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｄｅｐｅｎｄａｂｌｅ ａｎｄＳｅｃｕｒｅ Ｃｏｍｐｕｔｉｎｇ，２０２２，１９（４）：２４５７－２４７５．

作者簡(jiǎn)介

寇瑜萍 女，（１９９６—），碩士研究生。主要研究方向：硬件安全。

鄧 丁 男，（１９９３—），博士，講師。主要研究方向：硬件安全。

歐 鋼 男，（１９６９—），博士，教授，博士生導(dǎo)師。主要研究方向：星基導(dǎo)航與定位技術(shù)。

黃仰博 男，（１９８０—），博士，副研究員。主要研究方向：星基導(dǎo)航與定位技術(shù)。

（*通信作者）牟衛(wèi)華 男，（１９７９—），博士，優(yōu)聘研究員，碩士生導(dǎo)師。主要研究方向：導(dǎo)航與時(shí)空技術(shù)。

基金項(xiàng)目：湖南省自然科學(xué)基金（２０２２ＪＪ３０６６９）