基于時(shí)鐘抖動(dòng)流水線結(jié)構(gòu)的高效率真隨機(jī)數(shù)發(fā)生器

摘" 要：現(xiàn)代加密系統(tǒng)對(duì)密鑰隨機(jī)性的需求不斷增加。使用時(shí)序抖動(dòng)、熱噪聲、亞穩(wěn)態(tài)等作為熵源的真隨機(jī)數(shù)發(fā)生器，因其可以提供高質(zhì)量的隨機(jī)性成為該領(lǐng)域的研究熱點(diǎn)。因此，提出一種可配置、輕量級(jí)、高效率的真隨機(jī)數(shù)發(fā)生器。該發(fā)生器使用基于隨機(jī)數(shù)學(xué)模型的設(shè)計(jì)方法，由差分構(gòu)架的兩級(jí)時(shí)鐘抖動(dòng)流水線組成。第一級(jí)流水線中兩個(gè)環(huán)形振蕩器在規(guī)定時(shí)間內(nèi)累積抖動(dòng)，第二級(jí)流水線利用近似相同的兩個(gè)環(huán)形振蕩器的微小周期差構(gòu)建時(shí)間數(shù)字轉(zhuǎn)換器，對(duì)第一級(jí)輸出的高斯抖動(dòng)進(jìn)行量化，通過(guò)數(shù)字化模塊輸出隨機(jī)比特。在時(shí)間數(shù)字轉(zhuǎn)換器運(yùn)行過(guò)程中，第一級(jí)流水線已經(jīng)重新啟動(dòng)累積下一個(gè)階段的抖動(dòng)，減少了空閑時(shí)間，提高了真隨機(jī)數(shù)的質(zhì)量和效率。在Xilinx Atrix?7平臺(tái)進(jìn)行了驗(yàn)證，該結(jié)構(gòu)的硬件資源僅消耗了25個(gè)LUTs和13個(gè)DFFs，獲得高達(dá)32.55 Mb/s的吞吐量。

關(guān)鍵詞： 真隨機(jī)數(shù)發(fā)生器； 時(shí)鐘抖動(dòng)； 流水線結(jié)構(gòu)； 隨機(jī)性； 環(huán)形振蕩器； 時(shí)間數(shù)字轉(zhuǎn)換器

中圖分類(lèi)號(hào)： TN47?34" " " " " " " " " " " " " " " " 文獻(xiàn)標(biāo)識(shí)碼： A" " " " " " " " " " "文章編號(hào)： 1004?373X（2024）14?0070?07

An efficient true random number generator based on jitter pipeline

DONG Liang1， LING Feng1， ZHU Lei2， 3

（1. College of" Communication and Electronics Engineering， Qiqihar University， Qiqihar 161006， China;

2. Heilongjiang Key Laboratory of Big Data Network Security Detection and Analysis， Qiqihar University， Qiqihar 161006， China;

3. School of Computer and Control Engineering， Qiqihar University， Qiqihar 161006， China）

Abstract： In modern encryption systems， the demand for key randomness is constantly increasing. Therefore， the use of clock jitter， thermal noise and uncertain physical processes as entropy sources in a true random number generator has received widespread attention due to its ability to provide high?quality randomness. A configurable， lightweight， and efficient true random number generator is proposed. In this generator composed of a two?stage clock jitter pipelining with differential architecture， a design method based on stochastic mathematical models is applied. In the first stage of the pipelining， two ring oscillators accumulate jitter within a specified time， while in the second stage of the pipelining， a time to digital converter is constructed to quantify the Gaussian jitter output from the first stage using the small period difference between two ring oscillators that are approximately the same. Random bits are output by means of digital module. This structure was verified on Xilinx Atrix?7 platform. 25 LUTs and 13 DFFs are consumed by the hardware resources， achieving a throughput of up to 32.55 Mb/s.

Keywords： true random number generator; clock jitter; pipelining structure; randomness; ring oscillator; time?to?digital converter

0" 引" 言

隨著后量子安全密碼算法的出現(xiàn)，現(xiàn)代加密系統(tǒng)對(duì)密鑰隨機(jī)性的需求不斷增加。使用不確定的物理過(guò)程（時(shí)序抖動(dòng)、熱噪聲、亞穩(wěn)態(tài)）作為熵源的真隨機(jī)數(shù)發(fā)生器（True Random Number Generator， TRNG）[1?2]，因其可以提供高質(zhì)量的隨機(jī)性，可以實(shí)現(xiàn)更高級(jí)別的算法和協(xié)議而受到了廣泛的關(guān)注。

FPGA因具有低成本、高靈活性的特點(diǎn)，成為T(mén)RNG設(shè)計(jì)者的首選。基于FPGA的TRNG根據(jù)熵源的不同，主要包括使用鎖相環(huán)[3?4]、數(shù)字時(shí)鐘管理器[5]的TRNG，它們的結(jié)構(gòu)簡(jiǎn)單，易于實(shí)現(xiàn)，但需要通過(guò)繁瑣的參數(shù)調(diào)整才能保證輸出的吞吐率和安全性，具有較差的可移植性。H. Martin等提出的基于自定時(shí)環(huán)TRNG能夠?qū)崿F(xiàn)自動(dòng)化布局布線，具有較高移植性，但該設(shè)計(jì)在FPGA 中實(shí)現(xiàn)較為復(fù)雜，且硬件開(kāi)銷(xiāo)大、吞吐率低[6]。相對(duì)于前兩類(lèi)TRNG，利用環(huán)形振蕩器（Ring Oscillator， RO）時(shí)鐘抖動(dòng)作為熵源的TRNG易于在FPGA上實(shí)現(xiàn)，備受研究者的青睞。但是RO時(shí)鐘抖動(dòng)的范圍非常小，容易采集到確定的值，使輸出值不具備隨機(jī)性。為解決這個(gè)問(wèn)題，B. Sunar等提出將多個(gè)環(huán)形振蕩器并行來(lái)增加抖動(dòng)范圍[7]，然而，該方法消耗了太多的硬件資源，且吞吐量也不高。文獻(xiàn)[8]中采用可配置延遲線的方式來(lái)產(chǎn)生較大的振蕩變化，該設(shè)計(jì)雖然較文獻(xiàn)[7]在資源開(kāi)銷(xiāo)上有所降低，但是其吞吐量局限于14.3 Mb/s。為了進(jìn)一步提高采樣精度，文獻(xiàn)[9]利用FPGA內(nèi)部高速進(jìn)位鏈原語(yǔ)構(gòu)建高精度時(shí)間數(shù)字轉(zhuǎn)換器，獲得了高吞吐量，但該設(shè)計(jì)仍占用了大量的硬件資源。

為了解決TRNG的低硬件資源開(kāi)銷(xiāo)和高吞吐量之間不能兼容的問(wèn)題，本文使用基于隨機(jī)性數(shù)學(xué)模型的設(shè)計(jì)流程，提出一種基于時(shí)鐘抖動(dòng)流水線結(jié)構(gòu)差分構(gòu)架的真隨機(jī)數(shù)發(fā)生器（Differential Two?stage Jitter Pipelining， DTJP）的TRNG。其結(jié)構(gòu)簡(jiǎn)單，硬件開(kāi)銷(xiāo)小，差分的輸出方式能夠有效減少確定性噪聲對(duì)TRNG安全性的影響[10]。DTJP結(jié)構(gòu)的TRNG以流水線方式運(yùn)行，定時(shí)抖動(dòng)在兩級(jí)流水線間分階段累積，最大限度地減少空閑時(shí)間。第二級(jí)流水線利用兩環(huán)形振蕩器（Ring Oscillator， RO）的微小周期差構(gòu)建時(shí)間數(shù)字轉(zhuǎn)換器（Time?to?Digital Converter， TDC），對(duì)高斯抖動(dòng)進(jìn)行皮秒級(jí)高精度量化。本文對(duì)提出的TRNG建立隨機(jī)性數(shù)學(xué)模型，估計(jì)輸出熵的下限，并在Xilinx Atrix?7平臺(tái)進(jìn)行了多次測(cè)試驗(yàn)證。實(shí)驗(yàn)結(jié)果表明，本文設(shè)計(jì)兼顧低硬件資源開(kāi)銷(xiāo)和高吞吐量。

1" 基于隨機(jī)性模型的DTJP的TRNG設(shè)計(jì)

1.1" 真隨機(jī)數(shù)發(fā)生器的設(shè)計(jì)方法

傳統(tǒng)TRNG[3?5]的設(shè)計(jì)遵循迭代方法，令需要驗(yàn)證的TRNG生成一定數(shù)量的隨機(jī)數(shù)據(jù)，將該數(shù)據(jù)應(yīng)用于一系列統(tǒng)計(jì)測(cè)試（SP800?22、SP800?90B）[11]，通過(guò)測(cè)試表明數(shù)據(jù)具有定義上的“隨機(jī)性”。如果數(shù)據(jù)未通過(guò)測(cè)試，則對(duì)TRNG電路的設(shè)計(jì)參數(shù)進(jìn)行調(diào)整，再次運(yùn)行測(cè)試，直到其輸出通過(guò)為止。己有研究[11]表明，這種方法會(huì)導(dǎo)致TRNG容易受到機(jī)器學(xué)習(xí)帶來(lái)的預(yù)測(cè)攻擊。統(tǒng)計(jì)學(xué)測(cè)試集僅能評(píng)估靜態(tài)數(shù)據(jù)的隨機(jī)性，無(wú)法區(qū)分確定性算法、TRNG或兩者組合生成的序列，不能完全作為真隨機(jī)數(shù)設(shè)計(jì)的標(biāo)準(zhǔn)。

為了解決這一問(wèn)題，如圖1所示的基于隨機(jī)模型的TRNG設(shè)計(jì)方法[11]被提出。新的設(shè)計(jì)流程要求設(shè)計(jì)者對(duì)提出的TRNG的工作過(guò)程建立隨機(jī)性數(shù)學(xué)模型，因?yàn)樵撃Ｐ驮从谖锢碓肼曉?，?duì)物理熵源的存在做出驗(yàn)證是必要的。隨機(jī)性模型的輸入包括由TRNG的目標(biāo)應(yīng)用和測(cè)試標(biāo)準(zhǔn)所提出的熵的需求，以及需要通過(guò)實(shí)驗(yàn)測(cè)量的硬件物理平臺(tái)參數(shù)；其輸出為T(mén)RNG的設(shè)計(jì)參數(shù)（環(huán)形振蕩器數(shù)目、噪聲累積時(shí)間等），通過(guò)對(duì)設(shè)計(jì)參數(shù)的優(yōu)化來(lái)實(shí)現(xiàn)TRNG。此外，該模型可以估計(jì)所輸出的原始隨機(jī)序列的熵，然后使用統(tǒng)計(jì)測(cè)試集來(lái)驗(yàn)證這一估計(jì)，將其作為T(mén)RNG原型的健全性依據(jù)。

1.2" 基于DTJP結(jié)構(gòu)的TRNG電路

本文提出的TRNG電路如圖2所示。該結(jié)構(gòu)主要包括三個(gè)子模塊：固定相位（Fixed Phase， FP）模塊、時(shí)間數(shù)字轉(zhuǎn)換器（TDC）模塊和數(shù)字化模塊。FP和TDC都由兩個(gè)周期近似相同的RO組成。

第一級(jí)流水線FP中行波計(jì)數(shù)器（減少RO輸出負(fù)載對(duì)噪聲的影響）通過(guò)對(duì)RO1TP、RO2TP的邊沿計(jì)數(shù)，當(dāng)振蕩器達(dá)到固定相位后，利用兩個(gè)或門(mén)（消除寄存器穩(wěn)態(tài)過(guò)程對(duì)噪聲的影響）相繼向第二級(jí)流水線輸出累積的高斯抖動(dòng)，這種差分的輸出方式（減少電壓、溫度等引起的確定性噪聲對(duì)隨機(jī)性的影響）[10]讓信號(hào)FP1、FP2在時(shí)域上具有時(shí)差[ΔtFP]。

第二級(jí)流水線TDC中的RO1TDC、RO2TDC在FP模塊輸出抖動(dòng)后相繼開(kāi)始工作（高斯抖動(dòng)在TDC中開(kāi)始累積），它們之間具有由[ΔtFP]引起的初始相位差[Δφo]。TDC模塊中的RO1TDC、RO2TDC被配置為具有略微不同的振蕩周期TTDC1與TTDC2，因此RO1TDC、RO2TDC的相位差[φt]在[Δφo]基礎(chǔ)上會(huì)隨著時(shí)間的增加而緩慢增加或減少。在經(jīng)過(guò)m個(gè)RO2TDC的完整周期后，它們的上升/下降沿會(huì)首次出現(xiàn)對(duì)齊（本文將這個(gè)狀態(tài)稱(chēng)為同步完成），此時(shí)相位差[φt]為[kπ]（[k]為整數(shù)）。達(dá)到同步完成的過(guò)程是由TTDC1與TTDC2的差值量化的，因此它們的差值定義為T(mén)DC的量化分辨率：[res=TTDC2-TTDC1]。

數(shù)字化模塊由高速進(jìn)位鏈原語(yǔ)Carry4[9]構(gòu)建的皮秒級(jí)延遲線、觸發(fā)器、XOR門(mén)構(gòu)成。其中RO1TDC觸發(fā)兩個(gè)寄存器對(duì)延遲線兩端采樣，此時(shí)XOR門(mén)的輸出信號(hào)Valid為高電平，代表RO2TDC輸出的上升/下降沿正在延遲線中傳播。Valid為高電平表示檢測(cè)到RO1TDC、RO2TDC的邊沿首次達(dá)到對(duì)齊，即同步完成。通過(guò)RO2TDC觸發(fā)的二分頻觸發(fā)器檢測(cè)同步完成時(shí)的量化結(jié)果，若m等于奇數(shù)則輸出隨機(jī)比特1，反之輸出隨機(jī)比特0。在圖3中1*、0*表示輸出的比特。

1.3" 基于DTJP結(jié)構(gòu)TRNG的時(shí)序描述

為了最大限度地減少空閑時(shí)間，在TDC模塊對(duì)FP的上一次輸出進(jìn)行量化時(shí)，第一級(jí)流水線FP已經(jīng)重新啟動(dòng)以積累下一個(gè)階段的抖動(dòng)。基于DTJP結(jié)構(gòu)的TRNG的時(shí)序描述如圖3所示。系統(tǒng)使能信號(hào)ENA為高電平時(shí)TRNG進(jìn)入工作模式。固定相位振蕩器模塊FP中的RO1TP、RO2TP在第N-1個(gè)周期內(nèi)的低電平狀態(tài)，對(duì)TDC模塊和數(shù)字化模塊（同步成功信號(hào)Valid）復(fù)位。在第N個(gè)振蕩周期的上升沿將帶有抖動(dòng)的信號(hào)FP1、FP2以高電平形式輸出到TDC模塊，這個(gè)過(guò)程中它們的抖動(dòng)累積時(shí)間分別為[TNFP1]、[TNFP2]。此后，RO1TDC、RO2TDC相繼間隔[ΔtFP]開(kāi)始振蕩，對(duì)生成的高斯抖動(dòng)進(jìn)行量化，并分別在各自的第一個(gè)上升沿對(duì)行波計(jì)數(shù)器CNT1、CNT2和振蕩器RO1TP、RO2TP復(fù)位。CNT1、CNT2均達(dá)到復(fù)位狀態(tài)后重啟FP模塊，開(kāi)始下一階段的抖動(dòng)累積。

1.4" 基于DTJP結(jié)構(gòu)的TRNG的隨機(jī)性數(shù)學(xué)模型

噪聲一般難以建模，故研究人員普遍的做法是對(duì)熵的下界做出估計(jì)[12]?；贒TJP結(jié)構(gòu)的TRNG由于TDC模塊中的RO具有隨機(jī)的抖動(dòng)累積時(shí)間（0，[max（TNFP1，TNFP2）]），致使系統(tǒng)的熵是動(dòng)態(tài)變化的，因此為了估計(jì)提出的TRNG熵的下限，模型中取TDC模塊熵的最小值0，即TRNG的熵完全由FP模塊貢獻(xiàn)。該模型僅對(duì)獨(dú)立于其他噪聲的高斯噪聲做出分析。

不受噪聲影響的環(huán)形振蕩器的相位是關(guān)于時(shí)間t的連續(xù)線性函數(shù)：

[φ（t）=ωt+φo] （1）

式中：[ω]為角速度；[φo]是初始相位。

P. Adriian等人的研究[12]表明，受高斯熱噪聲影響的振蕩器的相位表現(xiàn)為具有正漂移的維納過(guò)程：

[φ（t）=ωt+φo+σW（t）] （2）

式中：[ωt+φo]是正漂移量；[W（t）（t≥0）]表示標(biāo)準(zhǔn)維納過(guò)程；[σ]是標(biāo)準(zhǔn)差，[σ=σ2jitter?t]，[σ2jitter]為RO高斯抖動(dòng)強(qiáng)度[10]，是最重要的平臺(tái)參數(shù)。因此當(dāng)RO振蕩時(shí)間為[ta]時(shí)，其相位服從高斯分布：

[φ（ta）～N（ωta+ωo，σ2ta）] （3）

具有正漂移的維納過(guò)程首次達(dá)到一定水平[a]所需的時(shí)間（首達(dá)時(shí)[TX]），是服從逆高斯分布的[IG]：

[TX～I(xiàn)G（u，λ）] （4）

式中：[u=aω]，[λ=aσ2]。[TX]的概率密度函數(shù)為：

[f（t，a）=a-φoσ2πt3exp-[（a-φo）-ωt]22σ2t] （5）

FP中兩個(gè)受高斯熱噪聲影響的自由運(yùn)行RO1FP、RO2FP的隨機(jī)過(guò)程為：

[φFP1（t）=ωFP1t+σFP1WFP1（t），" " t≥0]

[φFP2（t）=ωFP2t+σFP2WFP2（t），" " t≥0] （6）

RO1FP、RO2FP在時(shí)間零點(diǎn)開(kāi)始，初始相位等于0。兩個(gè)RO都運(yùn)行規(guī)定數(shù)量的周期N，并分別在時(shí)間[TNFP1]和[TNFP2]使TDC激活，即：

[φ（TNFP1）=N2π， φ（TNFP2）=N2π] （7）

如前所述，具有正漂移的維納過(guò)程首次達(dá)到[N2π]處時(shí)，[TNFP#]由逆高斯分布描述：

[TNFP1～I(xiàn)GN2πωFP1，N2πσFP12]

[TNFP2～I(xiàn)GN2πωFP2，N2πσFP22] （8）

新的隨機(jī)變量[ΔtFP=TNFP2-TNFP1]由兩個(gè)獨(dú)立的隨機(jī)變量[TNFP#]的差來(lái)定義。它的累積分布函數(shù)可以通過(guò)對(duì)[TNFP1]和[TNFP2]的密度函數(shù)積分來(lái)計(jì)算。[FΔtFP（t）=P（ΔTFP≤t）=P（TNFP1≤t+TNFP2）" " " " "=0∞fTNFP2（t2）0t+t2fTNFP1（t1）dt1dt2，" "t≥00∞fTNFP1（t1）t1-t∞fTNFP2（t2）dt2dt1，" "tlt;0] （9）

隨機(jī)變量[ΔtFP]的密度函數(shù)為：

[fΔTFP（t）=?FΔTFP（t）?t] （10）

設(shè)TDC中的RO1TDC在第n個(gè)半周期，RO2TDC在第m個(gè)完整周期首次完成同步，它們的振蕩時(shí)間分別為[tTDC1]、[tTDC2]，公式如下：

[tTDC1=nπωTDC1，" " tTDC2=mπωTDC2] （11）

設(shè)由高速進(jìn)位鏈原語(yǔ)Carry4構(gòu)建的延遲線，圖4中陰影部分表示延遲線的延遲時(shí)間[δ]，那么RO2TDC檢測(cè)到RO1TDC邊沿時(shí)刻，RO1TDC的電平轉(zhuǎn)換信號(hào)已經(jīng)在延遲線中傳播了時(shí)間[tS]。

當(dāng)[ΔtFP≥0]，[TNFP1≤TNFP2]時(shí)，有如圖4a）所示的時(shí)間關(guān)系：

[ΔtFP=tTDC1-tTDC2+tS，" "tS∈（0，δ）] （12）

可以得出由m和n決定的[ΔtFP≥0]時(shí)的取值范圍：

[max（tTDC2-tTDC1，0）≤ΔtFP≤tTDC2-tTDC1+δ] （13）

當(dāng)[ΔtFPlt;0]，[TNFP1gt;TNFP2]時(shí)，有如圖4b）所示的時(shí)間關(guān)系，可以得出由m和n決定的[ΔtFP≥0]時(shí)的取值范圍：

[tTDC1-tTDC2≤ΔtFP≤min（tTDC1-tTDC2+δ，0）] （14）

本文用集合[Dm，n]表示這個(gè)范圍。由于FP到達(dá)固定相位后對(duì)TDC復(fù)位，所以m為小于等于[mmax=ωTDC2TNFP22π]的正整數(shù)，n為小于等于[nmax=ωTDC1TNFP1π]的正整數(shù)。

因?yàn)镽O2TDC一旦檢測(cè)到同步就會(huì)停止工作，因此m從1～[mmax]具有下降的優(yōu)先級(jí)。

設(shè)[m=0]為理論上的最高優(yōu)先級(jí)，定義[S0=?]表示概率[m=0]時(shí)密度函數(shù)[fΔtFP（t）]積分區(qū)間的集合。當(dāng)[m=1]時(shí)，令n從1依次加至[nmax]，計(jì)算出[nmax]個(gè)集合[D1，n]。因?yàn)閙=1是僅能發(fā)生一次隨機(jī)實(shí)驗(yàn)，故通過(guò)將這些集合取并集，得到不分優(yōu)先級(jí)的[m=1]時(shí)密度函數(shù)積分區(qū)間的集合：

[Siid1=n=1nmaxD1，n] （15）

定義這個(gè)過(guò)程為m=j時(shí)n的遍歷，記為T(mén)raversal（m=j）。

則區(qū)分優(yōu)先級(jí)的[m=1]時(shí)[ΔtFP]的密度函數(shù)積分區(qū)間的集合為：

[S1=Siid1??RS0] （16）

式中：[S0]在R上的補(bǔ)集[?RS0]表示[m=0]未發(fā)生時(shí)[ΔtFP]所在的域。

當(dāng)m=2時(shí)，執(zhí)行Traversal（m=2），得到不分優(yōu)先級(jí)時(shí)密度函數(shù)積分區(qū)間的集合[Siid2]。

則區(qū)分優(yōu)先級(jí)的[m=2]時(shí)，[ΔtFP]的密度函數(shù)積分區(qū)間的集合為：

[S2=S2??R（S0?S1）] （17）

式中[S0]在R上的補(bǔ)集[?R（S0?S1）]表示[m=0]，1未發(fā)生時(shí)[ΔtFP]所在的域。

不難得出區(qū)分優(yōu)先級(jí)的[m=j]時(shí)[ΔtFP]的密度函數(shù)積分區(qū)間的集合為：

[S2=Sj??Rx=1j-1Sx] （18）

式中[Sj]由[i]個(gè)不相交的子區(qū)間[D'j，x=（ax，bx）]構(gòu)成，則概率[P（m=j）]為[fΔtFP（t）]在域[Sj]上的積分，公式如下：

[P（m=j）=x=1iaxbxfΔtFP（t）dt] （19）

由此，通過(guò)將m為奇數(shù)的概率累加得到輸出比特1的概率，將m為偶數(shù)的概率累加得到輸出比特0的概率：

[P（b）=P（mmod2=0），" "b=0P（mmod2≠0），" "b=1] （20）

本文設(shè)計(jì)的TRNG每比特的熵為：

[Hmin=-p（1）log2p（1）-p（0）log2p（0）] （21）

2" 實(shí)驗(yàn)結(jié)果與分析

本文在Xilinx Artix?7 FPGA上實(shí)現(xiàn)了如圖2所示的結(jié)構(gòu)。一方面利用文獻(xiàn)[10]的方法，在電壓為1.0 V、環(huán)境溫度為20 ℃條件下對(duì)硬件平臺(tái)參數(shù)進(jìn)行測(cè)量，結(jié)果如表1所示；并以硬件平臺(tái)參數(shù)作為隨機(jī)數(shù)學(xué)模型的輸入，對(duì)TRNG的熵的下限做出了估計(jì)。另一方面，將暫存在FIFO中的原始隨機(jī)數(shù)通過(guò)串口發(fā)送到PC端，使用統(tǒng)計(jì)測(cè)試集來(lái)驗(yàn)證這一估計(jì)，將其作為T(mén)RNG原型的健全性依據(jù)。

2.1" 熵的驗(yàn)證

將硬件平臺(tái)參數(shù)作為隨機(jī)模型的輸入，對(duì)所提出的TRNG在FP模塊不同的抖動(dòng)累積時(shí)間下的熵的下限做出了估計(jì)，并在相對(duì)應(yīng)的抖動(dòng)時(shí)間下，每次采集1 Mb序列，使用統(tǒng)計(jì)測(cè)試集NIST SP800?90B得到靜態(tài)序列的最小熵，結(jié)果如圖5所示。

圖5中“*”標(biāo)記表示在不同累積時(shí)間下TRNG的吞吐率。根據(jù)NIST SP800?90B的要求，當(dāng)輸出的最小熵達(dá)到0.99/bit，即視為T(mén)RNG合格。所設(shè)計(jì)的TRNG在TP模塊抖動(dòng)累積時(shí)間為21.94 ns，達(dá)到標(biāo)準(zhǔn)，獲得32.55 Mb/s的吞吐率。

2.2" NIST隨機(jī)測(cè)試標(biāo)準(zhǔn)

NIST制定的隨機(jī)數(shù)測(cè)試標(biāo)準(zhǔn)SP800?22與SP800?90B是目前檢驗(yàn)靜態(tài)隨機(jī)序列的主流方式。

SP800?22測(cè)試結(jié)果見(jiàn)表2，其中 P?value值大于0.01時(shí)表明熵源具有良好的隨機(jī)性，Prop.為序列按100 000位分組測(cè)試的通過(guò)率。所有測(cè)試項(xiàng)均以較大的P?value值通過(guò)，表明生成的隨機(jī)序列具有較好的隨機(jī)性。

SP800?90B測(cè)試中，TRNG生成的隨機(jī)序列通過(guò)了 IID測(cè)試中的排列測(cè)試、卡方測(cè)試、最長(zhǎng)重復(fù)子串長(zhǎng)度測(cè)試，結(jié)果如表3所示。在排列測(cè)試中，若[C0i+C1igt;5]且[C0ilt;9 995]，認(rèn)為隨機(jī)序列獨(dú)立同分布。

2.3" 與其他TRNG比較

表4所示的TRNG設(shè)計(jì)均是在FPGA中實(shí)現(xiàn)。經(jīng)對(duì)比，文獻(xiàn)[7]、文獻(xiàn)[8]硬件資源開(kāi)銷(xiāo)較大，且吞吐量也不高；在文獻(xiàn)[9]中，雖然吞吐量有了質(zhì)的提高，但仍然犧牲了較高的硬件資源；文獻(xiàn)[10]、文獻(xiàn)[13]中的隨機(jī)模型，也存在同樣的問(wèn)題，不能同時(shí)達(dá)到資源開(kāi)銷(xiāo)小且吞吐量高的要求。本文提出的TRNG包括控制電路，在硬件資源僅消耗25個(gè)LUTs和13個(gè)D觸發(fā)器的條件下，吞吐量高達(dá)32.55 Mb/s，能夠較好地平衡低資源開(kāi)銷(xiāo)與高吞吐量之間的矛盾。

3" 結(jié)" 語(yǔ)

本文所提出的抖動(dòng)流水線概念并不局限于該項(xiàng)研究，使用FP和TDC結(jié)構(gòu)的累積抖動(dòng)和的解決方案應(yīng)被視為一個(gè)更廣泛的概念，可在其他TRNG架構(gòu)中使用。

注：本文通訊作者為董亮。

參考文獻(xiàn)

[1] GONG L， ZHANG J， LIU H， et al. True random number generators using electrical noise [J]. IEEE access， 2019（99）： 1.

[2] 劉清源，劉瑞佳，王健，等.基于邊緣計(jì)算的泛在電力物聯(lián)網(wǎng)群組密鑰管理算法研究[J].電測(cè)與儀表，2022，59（7）：48?56.

[3] PETURA O， MUREDDU U， BACARD N， et al. Optimization of the PLL based TRNG design using the genetic algorithm [C]// 2017 IEEE International Symposium on Circuits and Systems. Baltimore， USA： IEEE， 2017： 1?4.

[4] ALLINI E N， PETURA O， FISCHER V， et al. Optimization of the PLL configuration in a PLL?based TRNG design [C]// 2018 Design， Automation amp; Test in Europe Conference amp; Exhibition. Dresden， Germany： IEEE， 2018： 1265?1270.

[5] JOHNSON A P， CHAKRABORTY R S. An improved DCM?based tunable true random number generator for Xilinx FPGA [J]. IEEE transactions on circuits and systems II： express briefs， 2017， 64（4）： 452?456.

[6] MARTIN H， PERIS P， TAPIADOR J E， et al. A new TRNG Based on coherent sampling with self?timed rings [J]. IEEE transactions on industrial in formatics， 2016， 12（1）： 91?100.

[7] SUNAR B， MARTIN W J， STINSON D R. A provablysecure true random number generator with built?intolerance to active attack [J]. IEEE transactions on computers， 2007， 56（1）： 109?119.

[8] ANANDAKUMAR N， SANADHYA S K， HASHMI M S. FPGA?based true random number generation using programmable delays in oscillator?rings [J]. IEEE transactions on circuits and systems II： express briefs， 2020， 67（3）： 570?574.

[9] 魯迎春，梁華國(guó)，王鑫宇，等.一種基于環(huán)形振蕩器的輕量級(jí)高效率的真隨機(jī)數(shù)發(fā)生器[J].電子測(cè)量與儀器學(xué)報(bào)，2021，35（3）：115?122.

[10] YANG B， ROZIC V， GRUJIC M， et al. On?chip jitter measurement for true random number generators [C]// 2017 Asian Hardware Oriented Security and Trust Symposium. Beijing： IEEE， 2017： 91?96.

[11] YANG B，ROZIC V，GRUJIC M， et al. ES?TRNG： a high?throughput low?area true random number generator based on edge sampling [J]. IACR transactions on cryptographic hardware and embedded systems， 2018， 3： 267?292.

[12] ADRIIAN P， INGRID V. An energy and area efficient， all digital entropy source compatible with modern standards based on jitter pipelining [J]. IACR transactions on cryptographic hardware and embedded systems， 2022， 4： 88?209.

[13] ROZIC V， YANG B， DEHAENE W， et al. Highly efficient entropy extraction for true random numbergenerators on FPGAs [C]// 2015 52nd ACM/EDAC/IEEE Design Automation Conference （DAC）. San Francisco， CA， USA： IEEE， 2015： 1?6.