[发明专利]基于物理不可克隆函数的安全密钥生成系统及方法

说明书

本发明属于硬件安全技术领域，公开了一种基于物理不可克隆函数的安全密钥生成系统及方法，包括生成模块和重建模块，所述生成模块包括：SRAM、激励生成器、寄存器组以及解码器，所述重建模块包括SRAM、激励生成器、寄存器组、解码器以及提取器。本发明利用SRAM作为物理不可克隆函数，并额外增加了纠错模块以保证生成密钥的稳定性。本发明的帮助数据是一串二进制序列，攻击者若获取不到产生这个序列的响应，则无法从序列中推断该序列在响应中的位置，也就无法从帮助数据中获取到任何与密钥有关的信息。而响应只存在于芯片内部的电路中，攻击者无法直接观察到，因此该密钥生成方案几乎不存在密钥泄露问题。

技术领域

本发明属于硬件安全技术领域，尤其涉及一种基于物理不可克隆函数的安全密钥生成系统及方法。

背景技术

当前主流的密钥生成和存储方案一般是先通过真随机数发生器产生多比特的随机数；然后提取部分随机数作为芯片密钥；最后密钥在生成后存放在非易失性存储或持续供电的易失性存储中。但这些密钥存储方案存在以下缺点：

(1)非易失性存储内存放的数据掉电不丢失，易受到物理侵入式攻击，包括剖片，电子显微镜等方式。虽然可以通过增加物理防护层防范物理入侵，但这种方式无疑会增加制造成本，并且还无法从根本上解决物理侵入攻击的问题。

(2)若将密钥存放于易失性存储中，则需要持续为芯片供电。该方案不利于将芯片应用于一些对功耗敏感的应用场景中。而且该方案还面临着因芯片意外掉电而产生的密钥丢失的风险。

为克服上述密钥生成和存储方案的缺点，研究人员尝试使用芯片制造过程中的随机变量来产生密钥。物理不可克隆函数(Physical Unclonable Function,PUF)利用制造产生的偏差可以产生专属于某一特定设备的“指纹”。利用物理不可克隆函数产生的密钥具有掉电丢失，上电重建的特点，因此克服了传统密钥生成和存储方案易受物理入侵的特点。

物理不可克隆函数可以被分为强物理不可克隆函数和弱物理不可克隆函数两个不同的类别。两种不同类型的物理不可克隆函数分别对应了两个不同的应用场景。强物理不可克隆函数可以产生大量的激励响应对，且与物理不可克隆函数的大小规模指数次方关系，因此强物理不可克隆函数通常被用于安全认证。弱物理不可克隆函数产生的激励响应对数量仅与物理不可克隆函数的大小规模成线性关系，通常弱物理不可克隆函数被用于密钥生成。SRAM是一种最为常用的弱物理不可克隆函数，SRAM的输入激励为SRAM的地址，输出响应为SRAM的数据输出。由于SRAM的制造偏差，其内部存储单元晶体管的阈值电压存在着一定的失配，从而导致部分位置的存储单元每次上电都能保持同一个响应值。

由于物理不可克隆的随机性来源于物理偏差，其输出响应易受环境噪声的影响。然而每次生成的密钥需要保持一致，因此需要额外的纠错单元以保证生成密钥的稳定性。纠错过程中产生的中间信息可能会包含密钥的信息，一旦攻击者获取到中间信息，即可较轻易的推断出密钥。目前最为主流的密钥生成结构被称为模糊提取器。模糊提取器将密钥生成分为两个阶段：生成阶段和重建阶段。生成阶段时物理不可克隆函数产生的响应和外部的随机密钥被输入到纠错编码器中，纠错编码器利用响应和密钥进行编码，产生帮助数据。帮助数据被存放于公共的存储空间中。重建阶段时，物理不可克隆的输出响应和帮助数据被输入到纠错解码器，由于响应易受环境噪声影响，此时产生的响应和生成阶段产生的响应存在着一定的偏差。纠错解码器利用帮助数据将响应还原并从中提取出生成阶段的输入密钥。由于帮助数据被存在公共空间中，易被攻击者获取，帮助数据中不能包含任何密钥的信息。然而现有的基于物理不可克隆的密钥生成方案可能存在着密钥泄露的问题。

发明内容

本发明目的在于提供一种基于物理不可克隆函数的安全密钥生成系统及方法，以解决上述的技术问题。

为解决上述技术问题，本发明的基于物理不可克隆函数的安全密钥生成系统及方法的具体技术方案如下：