技術領域：

本發明涉及基于物理不可克隆函數的加密認證領域，具體涉及一種低成本、高安全性物理不可克隆函數。

背景技術：

物理不可克隆函數是一種集成在芯片中的，可以在比較門電路間制造加工過程中引入的隨機差異。通過給物理不可克隆函數輸入一個激勵，它可以返回一個隨機的響應信號，其中響應信號由電路間差異比較結果決定。物理不可克隆函數的響應具有唯一性，即相同的電路結構在不同的芯片中實現后，每個芯片生成的響應都是兩兩不同的，或者說每個芯片生成的響應都是唯一的。正是由于物理不可克隆函數的這一特性，它在信息安全領域具有重要的應用前景，例如，密鑰生成，設備的認證和識別。

目前已經提出的物理不可克隆函數已經有十多種，例如基于仲裁器的物理不可克隆函數，基于SRAM的物理不可克隆函數和基于環形振蕩器的物理不可克隆函數。基于仲裁器的物理不可克隆函數使用一定數量的2選1選擇器構建兩條完全對稱并且可重新配置的信號傳輸路徑，通過比較兩條傳輸路徑中信號傳輸的延時差異來實現響應的輸出。基于環形振蕩器的物理不可克隆函數則是通過比較環形振蕩器間的振蕩頻率的差異來實現響應的輸出，其中每個環形振蕩器的結構是完全一樣的。基于仲裁器和環形振蕩器的物理不可克隆函數提取的是電路間信號傳輸延時的差異，而且這種差異完全是制造加工過程中的差異造成的，因而這兩種物理不可克隆函數都是屬于延時類的物理不可克隆函數。基于SRAM的物理不可克隆函數是利用在上電時的電路發生的雙穩態現象而實現對門電路間加工差異的比較，因此屬于雙穩態類的物理不可克隆函數。目前提出的物理不可克隆函數中大多都是延時類或雙穩態類的物理不可克隆函數。

目前的物理不可克隆函數在安全性，可靠性和硬件資源消耗等方面都存在不少的問題。例如：基于仲裁器的物理不可克隆函數在硬件實施成本較低，但是其響應安全性低，建模攻擊和側信道攻擊都能對其造成威脅。基于環形振蕩器的物理不可克隆函數的安全性高于基于仲裁器的物理不可克隆函數，但是其硬件實施的成本，電路功耗都比較高。基于SRAM的物理不可克隆函數實現的物理不可克隆函數穩定性較差，不能形成較為穩定的響應輸出。

發明內容：

為了克服現有技術的不足，本發明提供了一種低成本、高安全性物理不可克隆函數。該物理不可克隆函數利用異或門環密鑰發生器和帶密鑰的散列函數生成了低成本、高安全性物理不可克隆函數，可以在保持低成本、低功耗等特性的同時，還能大幅提高安全系統抵抗側信道攻擊的性能，進而提高系統的安全性。

本發明采用如下技術方案：一種低成本、高安全性物理不可克隆函數,其特征在于：包括異或門環密鑰生成器和帶密鑰的散列函數，在所述異或門環密鑰生成器中加入有用于增強響應信號穩定性和可靠性的決策模塊。

進一步地，所述異或門環密鑰生成器由一系列異或門環構成，所述每個異或門環由一對相互耦合的兩輸入異或門構成，其中每個異或門的輸出是另外一個異或門的輸入。

進一步地，所述帶密鑰的散列函數為SHA-2或者SHA-3中的低成本候選算法，如Keccak散列函數、CubeHash散列函數、或者JH散列函數等，將輸入的激勵信號及密鑰拼接后利用帶密鑰的散列函數運算生成相應的響應信號：

R＝H(K⊕opad,，H(Kipad，C))

其中，H為散列函數，K為異或門環產生的密鑰，opad＝0x5c，ipad＝0x36，⊕為異或運算，C為激勵信號，R為響應信號。

進一步地，所述決策模塊開始時，將采樣計數器、多數標記初始化為‘0’；在第一次采樣時，將生成的采樣信號作為多數信號，同時多數信號加一；接著如果采樣信號等于多數信號，多數標記加一，反之，多數標記減一；假如多數標記減到0時，若采樣信號與多數信號不同，則多數信號更新為此時的采樣信號，當采樣結束時，即采樣計數器計數值溢出，多數信號值就是決策模塊最終選擇的有效信號。

本發明具有如下有益效果：

(1)本發明提出的物理不可克隆函數與之前的物理不可克隆函數相比，需要極少的硬件資源，使得在硬件資源受限的認證系統上面實現物理不可克隆函數變為現實；

(2)該物理不可克隆函數利用了散列函數，極大地提高了抗側信道攻擊等物理攻擊的性能，能夠極大地改善認證系統的安全性，與傳統的認證系統相比，具有之前所不具有的防篡改、防復制特性；

(3)本發明采用了決策模塊，保證了系統的穩定性和可靠性，降低了認證過程中的錯誤拒絕和錯誤接受的概率。

附圖說明：