抗建模攻击的强物理不可克隆函数装置及其实现方法

摘要

本发明适用于信息安全及集成电路技术领域，提供了一种抗建模攻击的强物理不可克隆函数装置，包括：布尔混淆模块，用于将输入激励经多个弱物理不可克隆函数及布尔逻辑元件再处理后输出响应，实现布尔逻辑关系不可预测；激励划分模块，用于将输入激励划分为有效激励与无效激励；攻击检测模块，用于检测所述无效激励识别出建模攻击，处理所述无效激励和所述建模攻击；响应计算模块，用于通过强物理不可克隆函数装置对所述有效激励进行响应计算。还提供一种基于抗建模攻击的强物理不可克隆函数装置的实现方法。借此，本发明保证强物理不可克隆函数装置随机性与稳定性的同时，能够主动检测并被动防御严重威胁强物理不可克隆函数装置安全的建模攻击。

说明书

技术领域

本发明涉及信息安全领域及集成电路领域，尤其涉及一种硬件安全设计，特别是涉及一种抗建模攻击的强物理不可克隆函数装置及其实现方法。

背景技术

随着电子设备的广泛使用，安全和隐私成为重要问题。被认为能永久存储和不被攻击者所知的密钥是传统密码学的核心，然而，很多攻击方法已经能破解密钥，这就使得密钥不足以保证安全。为有效地解决安全问题，物理不可克隆函数(Physical Unclonable Function，PUF)应运而生，它是一种硬件部件，能更有效地应对安全问题。

PUF利用芯片制造时不可避免的工艺偏差产生特定的输入输出对，又称激励响应对(Challenge-Response Pair，CRP)。即使是同样的电路设计，在制造过程中的工艺偏差使得不同芯片的PUF，面对相同的输入激励，可能会产生不同的输出响应，即CRP不同。由于工艺偏差本身难以控制和预测，因此，这些CRP既不能在PUF制造前被预测，也难以在PUF制造后被复制。这相比于传统密钥，具有更大的优势。PUF的这种特性使其在安全领域得到了广泛应用，如知识产权保护、鉴定、认证、识别等。

广义上讲PUF可以被分为两类：弱PUF和强PUF。这里的强和弱并非指它们的安全性高低，而是CRP的数量多少，他们的特征分别如下。

弱PUF只有很少量的CRP，多数情况下一个弱PUF只有一个CRP。例如，介电粒子层PUF是一种弱PUF，在制造时，随机的撒上一层介电粒子，由于它们的分布难以预测，因此介电粒子层PUF依据随机覆盖的介电粒子层所决定的电容大小产生响应。又如，静态随机存取存储(Static Random Access Memory，SRAM)PUF是另一种弱PUF，受工艺偏差的影响，每个SRAM单元都具有不同的电气特性，在芯片上电的瞬间，不同的SRAM单元之间会随机并且独立地存储0或1，而自然形成了一个CRP。其它一些存储单元如闪存、动态随机存取存储器、忆阻器等同样也具有类似的特性，因而可以用来构造弱PUF。由于基 于存储单元的弱PUF只在上电的时候会产生响应，因此相比于存储在非易失性存储器中的密钥更加安全。由于弱PUF仅有少量CRP，因此它们的CRP一般会有专用的一次性安全通道用于厂商在芯片制造后获取，而之后，攻击者则很难再次通过该通道窃取CRP。

与弱PUF相比，强PUF则拥有大量CRP。仲裁PUF是一种典型的强PUF，它通过比较两条路径传播跳变的时延来确定响应，每条路径由多个子路径构成，而子路径的选择则是由激励所决定，不同的激励构造的两条路径不相同，而它们的时延大小也不尽相同，从而产生了随机的响应。为了提高仲裁PUF的安全性，仲裁PUF还有许多其它扩展，如前馈仲裁PUF、异或仲裁PUF、轻量仲裁PUF、电流镜PUF等。前馈仲裁PUF通过比较部分路径的时延大小来指导剩余路径中子路径的选择；异或仲裁PUF将多个仲裁PUF的响应进行异或作为最终的响应；轻量仲裁PUF仍然使用异或门对多个仲裁PUF的响应进行异或计算，但一次性得到多个响应比特；电流镜PUF则引入电流代替时延进行比较。环形振荡PUF是另一种强PUF，它的响应通过比较不同环形振荡器的频率大小来确定，而被比较的环形振荡器则由激励决定，但环形振荡PUF硬件开销较大、CRP的数量也比不上仲裁PUF。由于强PUF有大量的CRP，如10³⁸个CRP，而攻击者不可能在合理时间内，如100年时间内读取所有的CRP，又不知道在实际应用时哪些CRP会被使用，因此对强PUF的CRP访问一般没有限制，厂商在芯片制造后会通过CRP的访问端口选择特定的CRP用于后续的应用。

随着PUF的研究和应用日益增多，PUF的安全性也受到严重威胁，基于机器学习的建模攻击方法就严重威胁着诸如仲裁PUF等强PUF的安全性。由于强PUF有大量CRP，若为每个CRP设计独立的电路，显然硬件开销十分巨大，因此，强PUF的不同CRP之间都有一定的关联，建模攻击正是通过机器学习来推测这种关联，从而破解强PUF的CRP。建模攻击首先根据强PUF的电路结构，建立以相关物理特性为未知数的CRP模型，然后通过机器学习从获取的部分CRP数据推测这些相关物理特性，然后，对于未知响应的激励，则可以根据所推测的相关物理特性，预测其响应，实现对强PUF的破解。常用的机器学习方法有支持向量机、逻辑回归、进化策略等。使用建模攻击破解仲裁型PUF和环形振荡PUF，CRP预测精度可达到99％以上。即使前馈仲裁PUF、异或仲裁PUF、轻量仲裁PUF和电流镜PUF使强PUF的结构更加复杂，然而使用建模攻击得 到的CRP预测精度平均仍然可以达到90％以上，可见强PUF的安全性受到严重威胁。

综上可知，现有技术在实际使用上显然存在不便与缺陷，所以有必要加以改进。

发明内容

针对上述的缺陷，本发明的目的在于提供一种抗建模攻击的强物理不可克隆函数装置及其实现方法，目的是保证强物理不可克隆函数装置随机性与稳定性的同时，能够主动检测并被动防御严重威胁强物理不可克隆函数装置安全的建模攻击，从而有效抵抗建模攻击。

为了实现上述目的，本发明提供一种抗建模攻击的强物理不可克隆函数装置，包括：

布尔混淆模块，用于将输入激励经多个弱物理不可克隆函数装置及布尔逻辑元件再处理后输出响应，实现布尔逻辑关系不可预测；

激励划分模块，用于将输入激励划分为有效激励与无效激励；

攻击检测模块，用于检测所述无效激励识别出建模攻击，处理所述无效激励和所述建模攻击；

响应计算模块，用于通过强物理不可克隆函数装置对所述有效激励进行响应计算。

根据本发明所述强物理不可克隆函数装置，所述布尔混淆模块包括：

弱PUF子模块，用于所述弱物理不可克隆函数装置对所述输入激励处理得到布尔逻辑配置比特；

布尔确定子模块，用于输入所述弱物理不可克隆函数装置的响应，并通过确定的输入输出的布尔逻辑关系对所述响应再处理得到输出响应；和/或

厂商通过一次性安全通道获取所述弱物理不可克隆函数装置响应得到所述布尔混淆模块实际布尔逻辑。

根据本发明所述强物理不可克隆函数装置，所述激励划分模块包括：

划分规则子模块，用于定义所述有效激励和无效激励的划分规则；

划分执行子模块，用于将所述输入激励与所述划分规则做比较，得出所述输入激励的类别；

所述划分规则包括：所述输入激励划分为有效激励集合与无效激励集合；有效激励集合为所述强物理不可克隆函数装置在正常应用中合法使用的输入集合，无效激励集合为所述强物理不可克隆函数装置在正常应用中非法使用的输入集合。

根据本发明所述强物理不可克隆函数装置，所述激励划分模块由所述布尔混淆模块的硬件电路资源实现，所述划分规则根据所述布尔混淆模块的类型决定；

当所述输入激励划分模块为开关型布尔混淆模块或开关常开型布尔混淆模块时，所述布尔混淆模块以串联的形式连接，所述划分规则包括：

对所述输入激励C₁～C_4m进行划分，所述弱PUF子模块的响应与输入值共同决定了输出的值为有效值或HiZ；若所述输入激励使得从T₀出发的跳变能够经过所述开关型布尔混淆模块S_B1,S_B2,...,S_Bm最终到达T₁，则所述输入激励为有效激励；若所述输入激励使得从T₀出发的跳变无法经过开关型布尔混淆模块S_B1,S_B2,...,S_Bm最终到达T₁，则为无效激励；

当所述布尔混淆模块为开关型布尔逻辑混淆模块时，通过所述弱PUF子模块的输出控制字节控制所述布尔混淆模块的开关。

根据本发明所述强物理不可克隆函数装置，所述攻击检测模块包括：

激励计数子模块，用于根据对所述输入激励的判断结果，对所述无效激励计数；

攻击处理子模块，用于根据所述无效激励计数数目达到攻击阈值时，触发应对攻击的处理。

根据本发明所述强物理不可克隆函数装置，所述响应计算模块对所述输入激励的响应计算通过比较两条路径传播跳变的时延产生，每条所述路径的子路径由所述输入激励决定；

所述响应计算模块处理所述跳变经所述路径的传播过程还可以合并和复用所述布尔混淆模块的硬件电路资源。

本发明提供一种基于抗建模攻击的强物理不可克隆函数装置的实现方法，包括：

布尔混淆步骤，将输入激励经多个弱物理不可克隆函数装置及布尔逻辑元 件再处理后输出响应，实现布尔逻辑关系不可预测；

划分激励步骤，将输入激励划分为有效激励与无效激励；

检测攻击步骤，检测所述无效激励识别出建模攻击，处理所述无效激励和所述建模攻击；

响应计算步骤，通过强物理不可克隆函数装置对所述有效激励进行响应计算。

根据本发明所述实现方法，所述布尔混淆步骤还包括：

所述弱物理不可克隆函数装置对所述输入激励处理得到布尔逻辑配置比特；

输入所述弱物理不可克隆函数装置的响应，并通过确定的输入输出的布尔逻辑关系对所述响应再处理得到输出响应；和/或

厂商通过一次性安全通道获取所述弱物理不可克隆函数装置响应得到实际布尔逻辑。

根据本发明所述实现方法，所述响应计算步骤还包括：

所述输入激励的响应计算通过比较两条路径传播跳变的时延产生，每条所述路径的子路径由所述输入激励决定，并且处理所述跳变经所述路径的传播过程还可以复用所述布尔混淆步骤的硬件电路资源。

根据本发明所述实现方法，所述输入激励划分步骤包括：

定义所述有效激励和无效激励的划分规则；

将所述输入激励与所述划分规则做比较，得出所述输入激励的类别；

所述划分规则包括：所述输入激励划分为有效激励集合与无效激励集合；有效激励集合为所述强物理不可克隆函数装置在正常应用中合法使用的输入集合，无效激励集合为所述强物理不可克隆函数装置在正常应用中非法使用的输入集合；

所述攻击检测步骤包括：

根据对所述输入激励的判断结果，对所述无效激励计数；

根据所述无效激励计数数目达到攻击阈值时，触发应对攻击的处理。

本发明通过抗建模攻击的强物理不可克隆函数装置结构及设计，在保证强物理不可克隆函数装置随机性与稳定性的同时，能够主动检测并被动防御严重威胁强物理不可克隆函数装置安全的建模攻击，从而有效抵抗建模攻击。

附图说明

图1是本发明抗建模攻击的强物理不可克隆函数装置的系统结构图；

图2是本发明抗建模攻击的强物理不可克隆函数装置的优选实施例；

图3是本发明基于抗建模攻击的强物理不可克隆函数装置的实现方法示意图；

图4是本发明基于抗建模攻击的强物理不可克隆函数装置的实现方法具体流程示意图；

图5A是本发明抗建模攻击的强物理不可克隆函数装置中布尔混淆模块实例之一；

图5B是本发明抗建模攻击的强物理不可克隆函数装置中布尔混淆模块实例之二；

图5C是本发明抗建模攻击的强物理不可克隆函数装置中布尔混淆模块实例之三；

图6是本发明抗建模攻击的强物理不可克隆函数装置中输入激励划分模块由开关型布尔混淆模块实现的实施例示意图；

图7是本发明中抗建模攻击的强物理不可克隆函数装置复用布尔混淆模块的响应计算模块的实施例示意图；

图8是本发明抗建模攻击的强物理不可克隆函数装置实例的有效激励数示意图；

图9是本发明抗建模攻击的强物理不可克隆函数装置实例的随机性评估示意图；

图10是本发明抗建模攻击的强物理不可克隆函数装置实例的稳定性评估示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

图1示出了本发明提供一种抗建模攻击的强物理不可克隆函数装置100，包 括：

布尔混淆模块10，用于将输入激励经多个弱物理不可克隆函数装置及布尔逻辑元件再处理后输出响应，实现布尔逻辑关系不可预测；

激励划分模块20，用于将输入激励划分为有效激励与无效激励；

攻击检测模块30，用于检测所述无效激励识别出建模攻击，处理所述无效激励和所述建模攻击；

响应计算模块40，用于通过强物理不可克隆函数装置对所述有效激励进行响应计算。

本发明抗建模攻击的强物理不可克隆函数装置100的一个优选的实施例中，如图2所示，所述布尔混淆模块10包括：

弱PUF子模块11，用于所述弱物理不可克隆函数装置对所述输入激励处理得到布尔逻辑配置比特；

布尔确定子模块12，用于输入所述弱物理不可克隆函数装置的响应，并通过确定的输入输出的布尔逻辑关系对所述响应再处理得到输出响应；和/或

厂商通过一次性安全通道获取所述弱物理不可克隆函数装置响应得到所述布尔混淆模块10实际布尔逻辑。弱PUF子模块11其响应即为布尔混淆模块10的布尔逻辑配置比特，对于不同的芯片，布尔逻辑配置比特也不相同，使布尔混淆模块10的布尔逻辑关系也不尽相同，在芯片制造后，厂商利用专用的一次性安全通道获取弱PUF中的响应；由于弱PUF子模块11的响应具有随机性，因此布尔确定子模块12的响应也具有随机性，且在制造前不可预测，使得布尔混淆模块10通过引入天然抗建模攻击的弱PUF提高安全性，弱PUF、原有的强物理不可克隆函数装置及相应的器件构成了抗建模攻击的强物理不可克隆函数装置100。

在本实施例中，所述输入激励划分模块20包括：

划分规则子模块21，用于定义所述有效激励和无效激励的划分规则；

划分执行子模块22，用于将所述输入激励与所述划分规则做比较，得出所述输入激励的类别；

所述划分规则包括：所述输入激励划分为有效激励集合与无效激励集合；有效激励集合为所述强物理不可克隆函数装置在正常应用中合法使用的输入集合，无效激励集合为所述强物理不可克隆函数装置在正常应用中非法使用的输 入集合。

优选的是，如图6所示，所述激励划分模块20由布尔混淆模块10的硬件电路资源实现，所述划分规则根据布尔混淆模块10的类型决定；

当输入激励划分模块10为开关型布尔混淆模块或开关常开型布尔混淆模块时，所述布尔混淆模块10以串联的形式连接，所述划分规则包括：

对所述输入激励C₁～C_4m进行划分，所述弱PUF子模块11的响应与输入值共同决定了输出的值为有效值或HiZ；若所述输入激励使得从T₀出发的跳变能够经过所述开关型布尔混淆模块S_B1,S_B2,...,S_Bm最终到达T₁，则所述输入激励为有效激励；若所述输入激励使得从T₀出发的跳变无法经过开关型布尔混淆模块S_B1,S_B2,...,S_Bm最终到达T₁，则为无效激励；

当所述布尔混淆模块10为开关型布尔逻辑混淆模块时，通过所述弱PUF子模块11的输出控制字节控制布尔混淆模块10的开关。

进一步地，为便于理解，激励划分模块20由开关型布尔混淆模块对输入激励C₁～C_4m进行划分，弱PUF的响应与A,B,C,D的值共同决定了Y的值为P，还是为HiZ，输出值是否为P,参见图5A～图5C。此时所述划分规则为，若输入激励使得从T0出发的跳变能够经过开关型布尔混淆模块S_B1,S_B2,...,S_Bm最终到达T₁，则该激励为有效激励，否则为无效激励。

更进一步地，所述攻击检测模块30包括：

激励计数子模块31，用于根据对所述输入激励的判断结果，对所述无效激励计数；

攻击处理子模块32，用于根据所述无效激励计数数目达到攻击阈值时，触发应对攻击的处理。

优选的是，下面以图7的响应计算模块40实例为例进行说明。图6所示响应计算模块40复用了图5A～图6所示布尔混淆模块10以节约硬件开销。如图6所示，响应计算模块40对所述输入激励的响应计算通过比较两条路径传播跳变的时延产生，每条所述路径的子路径由所述输入激励决定；响应计算模块40处理所述跳变经所述路径的传播过程还可以合并和复用所述布尔混淆模块10的硬件电路资源。响应计算模块40其为有效的激励计算响应，响应通过比较两条路径传播跳变的时延产生，每条路径的子路径由激励决定。为了节约硬件开销， 可以将响应计算模块40与布尔混淆模块10进行合并和复用，如图6所示。当有效激励准备好后，一个跳变从T出发，经过多个开关型布尔混淆模块S_U1,S_U2,...S_Um和S_B1,S_B2,...S_Bm这两条路径到达仲裁器，对于不同的激励，跳变在开关型布尔混淆模块中经过的电路路径也不相同，因此时延各不相同，最终仲裁器比较跳变到达的先后顺序得出最终响应R。

图3是本发明基于抗建模攻击的强物理不可克隆函数装置的实现方法的第一实施例的流程图，其可通过如图1～2所示的抗建模攻击的强物理不可克隆函数装置100实现，包括步骤如下：

步骤S301，布尔混淆步骤，将输入激励经多个弱物理不可克隆函数装置及布尔逻辑元件再处理后输出响应，实现布尔逻辑关系不可预测；

步骤S302，划分激励步骤，将输入激励划分为有效激励与无效激励；

步骤S303，检测攻击步骤，检测所述无效激励识别出建模攻击，处理所述无效激励和所述建模攻击；

步骤S304，响应计算步骤，通过强物理不可克隆函数装置对所述有效激励进行响应计算。

更好的是，所述步骤S301中，所述布尔混淆步骤还包括：

所述弱物理不可克隆函数装置对所述输入激励处理得到布尔逻辑配置比特；

输入所述弱物理不可克隆函数装置的响应，并通过确定的输入输出的布尔逻辑关系对所述响应再处理得到输出响应；和/或

厂商通过一次性安全通道获取所述弱物理不可克隆函数装置响应得到实际布尔逻辑。

图4是本发明基于抗建模攻击的强物理不可克隆函数装置的实现方法的一个具体实施例的流程图，其可通过如图1～2所示的抗建模攻击的物理不可克隆函数装置100实现，为了对建模攻击有更好的防御和进行主动检测，在具体实施过程中，还包括：

步骤S401，定义所述有效激励和无效激励的划分规则；

步骤S402，将所述输入激励与所述划分规则做比较，得出所述输入激励的类别；

所述划分规则包括：所述输入激励划分为有效激励集合与无效激励集合； 有效激励集合为所述强物理不可克隆函数装置在正常应用中合法使用的输入集合，无效激励集合为所述强物理不可克隆函数装置在正常应用中非法使用的输入集合；

步骤S403，根据对所述输入激励的判断结果，对所述无效激励计数；

步骤S404，根据所述无效激励计数数目达到攻击阈值时，触发应对攻击的处理；

通过在芯片中内建的攻击检测模块30，其用于主动检测抗建模攻击的强物理不可克隆函数装置100是否受到建模攻击。由于建模攻击基于机器学习方法，而机器学习需要获取训练集，攻击者在无法获知哪些激励是有效的、哪些激励是无效的情况下，在随机获取训练集的过程中，势必会向抗建模攻击的强物理不可克隆函数装置100中输入无效激励。攻击检测模块30通过对无效激励进行计数，当无效激励的个数达到攻击阈值时，可以认为抗建模攻击的强物理不可克隆函数装置100遭受建模攻击，从而针对攻击执行一系列处理方式。这里的攻击阈值和相应的处理方式由厂商根据实际应用的安全等级进行设置，例如当无效激励的个数较小时，可以触发自动断电的处理方式，当无效激励的个数较大时，对于安全等级十分高的应用场景，可以执行芯片自毁的处理方式。

进一步地，对有效激励的存在概率进行理论计算。设N_CB为输入激励的比特位数，则抗建模攻击的强物理不可克隆函数装置100的激励总数为设N_SI为单个开关型布尔混淆模块的输入数，N_S为输入激励划分模块20的开关型布尔混淆模块个数，则N_S＝N_CB/(N_SI-1)。由于开关型布尔混淆模块以串联的形式连接，来自T₀的跳变要到达T₁必须顺利通过每一个开关型布尔混淆模块。对于一个开关型布尔混淆模块而言，开关总数为设对于一个开关型布尔混淆模块而言，弱PUF响应的一个比特所控制的开关关闭的概率是P_OFF，则一个开关型布尔混淆模块中至少有一个开关开启的概率为所以T₀的跳变能通过N_S个开关型布尔混淆模块到达T₁的概率为由于弱PUF的响应随机性一般可达到50％，即为0开关关闭和为1开关开启的概率相近，因此P_OFF≈50％。当N_SI＝5，且N_CB＝128时，存在有效激励的概率为 99.95％，可见能够为实际应用提供有效的激励。若需进一步提高此概率，还可以使用开关常开型布尔混淆模块进行输入激励的划分。

进一步地，对有效激励的数量进行理论计算。对于一个开关型布尔混淆模块而言，根据弱PUF的响应，有多少个开关被开启，则该开关型布尔混淆模块就能够在多少种输入组合下将P值传播给Y。存在i个开关被开启、N_SS-i个开关被关闭的组合共有种，因此一个开关型布尔混淆模块能够将P传播至Y的输入组合数量的数学期望值为：

${\mathrm{EN}}_{ON}=\underset{i=1}{\overset{N_{SS}}{\Sigma }}[i\times \left(\begin{array}{c}{N}_{SS}\\ i\end{array}\right)\times {(1-P_{OFF})}^i\times P_{OFF}^{N_{SS}-i}]$

其中，i从1计算至N_SS，表示考虑单个开关型布尔混淆模块有1种输入组合能够将P值传递给Y，有2种输入组合，……直至N_SS种输入组合；

表示i个开关开启且N_SS-i个开关关闭的概率。

整个输入激励划分模块共有N_S个开关型布尔混淆模块，若第j个开关型布尔混淆模块有i_j个开关被打开，那么有效激励的总数为M，则有效激励总数的数学期望为：

${\mathrm{EN}}_{VCRP}=\underset{i_1=1}{\overset{N_{SS}}{\Sigma }}\underset{i_2=1}{\overset{N_{SS}}{\Sigma }}\underset{i_3=1}{\overset{N_{SS}}{\Sigma }}...\underset{i_{N_S}=1}{\overset{N_{SS}}{\Sigma }}\underset{j=1}{\overset{N_S}{\Sigma }}[i_j\times \left(\begin{array}{c}{N}_{SS}\\ i_j\end{array}\right)\times {(1-P_{OFF})}^{i_j}\times P_{OFF}^{N_{SS}-i_j}];M=\underset{j=1}{\overset{N_S}{\Pi }}{i}_j;$

其中，多个求和符号表示分别考虑：所有开关型布尔混淆模块都只有1个开关开启的情况、N_S-1个开关型布尔混淆模块都只有1个开关开启且1个开关型布尔混淆模块有2个开关开启的情况、N_S-1个开关型布尔混淆模块都只有1个开关开启且1个开关型布尔混淆模块有3个开关开启的情况、……直至所有开关型布尔混淆模块所有开关都开启的情况。当N_SI＝5，且N_CB＝128时，有效激励总数的数学期望为7.9×10²⁸，可以持续使用10¹⁴年。进一步地，对攻击者收集训练集时获得有效激励的概率进行理论计算。若攻击者随机选择激励，则选择一个有效激励的数学期望为：

当N_SI＝5，且N_CB＝128时，该值仅为2.33×10^-8％。

进一步地，对攻击者收集特定数量的有效激励所需收集的总激励数量进行理论计算。设训练集需要N_TS个有效激励，若随机选择第i个激励后恰好使训练集包含N_TS个有效激励，则说明在前i-1次激励选择中有N_TS-1个有效激励，并且第i次选择的激励是有效的。因此获得N_TS个有效激励所需激励总数的数学期望为：

${\mathrm{EN}}_{RCRP}=\underset{i=N_{TS}}{\overset{m-n+N_{TS}}{\Sigma }}[i\times \left(\begin{array}{c}i-1\\ i-N_{TS}\end{array}\right)\times \frac{\frac{(m-n)!}{(m-n-i+N_{TS})!}}{\frac{m!}{(m-i+N_{TS})!}}\times \frac{\frac{n!}{(n-N_{TS}!)}}{\frac{(m-i+N_{TS})!}{(m-i)!}}]$

$m=2^{N_{CB}}$

${[N_{\mathrm{SS}}\times (1-P_{\mathrm{OFF}})]}^{N_S}$

当N_SI＝5，且N_CB＝128时，若N_TS＝2×10⁶，该值约为8.6×10¹⁵，这意味着需要超过10年的时间才能收集到有效训练集。

具体地，采用集成电路仿真软件(Simulation program with integrated circuit emphasis，SPICE)，基于中芯国际(Semiconductor Manufacturing International Corporation，SMIC)180nm工艺对所述强PUF实例进行了模拟，共生成了10个实例。首先对所述强PUF的有效CRP进行评估，如图8～图10所示，平均而言，所述强PUF拥有1.74×10¹⁴个有效激励，足够实际应用使用。根据这些有效激励，攻击者随机选取训练集时，仅有0.0009％的概率能够选到有效激励。然后对所述强PUF的随机性进行评估，如图9所示，平均而言，所述强PUF的随机性为49.99％，十分接近理想值50％。最后对所述强PUF的稳定性进行评估，如图10所示，平均而言，所述强PUF的稳定性为95.40％。

本发明与现有强PUF在性能和安全性上的比较，本发明的随机性和稳定性与现有强PUF十分接近，但在抗建模攻击的安全性上从以下几点明显优于现有技术：(1)本发明在强PUF中包含弱PUF以被动抵抗CRP建模；(2)攻击者仅有0.0009％的可能性能够随机选到有效CRP；(3)本发明能够主动检测建 模攻击。

综上所述，本发明使用弱物理不可克隆函数装置构建布尔混淆模块，所述布尔混淆模块的输入与输出之间的布尔逻辑关系在制造前不可预测；使用布尔混淆模块构建输入激励划分模块，所述激励划分模块将强物理不可克隆函数装置的输入激励集合划分为有效激励集合与无效激励集合；使用布尔混淆模块构建的攻击检测模块，所述攻击检测模块能够检测输入激励是否有效；使用布尔混淆模块构建响应计算模块，所述响应计算模块为输入激励计算输出响应。借此，本发明在保证强物理不可克隆函数装置随机性与稳定性的同时，能够主动检测并被动防御严重威胁强物理不可克隆函数装置安全的建模攻击，从而有效抵抗建模攻击。

当然，本发明还可有其它多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。