考慮信息安全芯片的PUF電路設計

王晨飛

（國家電網有限公司客戶服務中心 信息運維中心，江蘇 南京 211161）

0 引 言

PUF電路作為一種集成電路，具有魯棒性和防篡改性的功能，無論任何物理形式的方式都不會使其出現可逆現象[1]。經過研究人員和技術人員的長時間研究，可以通過相應的先進工藝手段完善對數字采控電路的設計。但由于目前在PUF電路設計中對于芯片信息安全方面的研究較為匱乏，因此本文在考慮信息安全芯片的基礎上設計PUF電路，有利于提高PUF電路的安全系數，進而提升其安全性能[2]。

1 信息安全芯片

信息安全芯片又稱為可信任平臺模塊，其以獨有的加解密裝置將密鑰存儲在硬件中，從而為信息提供加密服務，并通過安全認證的方式確保信息安全[3]。信息安全芯片通過內含算法能夠實現高速數據流的加密，而且高度整合的單芯片解決方案可以從根本上提高系統硬件的安全性能，因此本文將信息安全芯片應用在PUF電路設計中。

2 考慮信息安全芯片的PUF電路設計

在PUF電路中內置信息安全芯片的線路具體結構及單元如圖1所示。

圖1 PUF電路整體結構

2.1 設計PUF電路阻容濾波器

本文選用一階無源低通濾波器，其具體結構示意如圖2所示。

圖2 一階無源低通濾波器結構示意圖

分析單目標問題時，利用濾波器的頻率響應曲線與理論濾波器響應曲線擬合，得出濾波器的自適應函數為：

式中，e(s)為采樣頻率，其中s為PUF電路阻容濾波器的溫度系數；c(s)為PUF電路阻容濾波器的柵源電壓值；30 000為理想條件下的最大數值。

2.2 信息安全芯片的參數選擇

本文采用信息安全芯片的型號為TF32A09，主控32位CPU，具備多種高速硬件加密算法，配備獨立的加密模塊，數據流加密速度最高達到26 Mb/s，配備兩個USB-OTG接口，支持PUF電路6個端點同時通信，通信速度最高可達400 kb/s[4-6]。存儲模塊為64k Byte ROM，利用存儲模塊中的MPU保護PUF電路中的信息安全，形成保護代碼掩膜。在PUF電路中設置TF32A09信息安全芯片后，還需要進行封閉調試，通過探針分析SPA和DPA的信息安全防護能力。此外，在相同結點數及相同元器件數目的條件下，設定TF32A09信息安全芯片的調試環境為CodeWarrior。

2.3 制定PUF電路信息安全協議說明和加密

通過在PUF電路中設置TF32A09信息安全芯片，制定PUF電路信息安全協議說明和規范[7,8]。加密過程從初始狀態開始，經過字節替換、行移位、列混淆以及輪密鑰變換等過程后進行10輪加密操作，前9輪執行4步，最后1輪少執行一次列混淆操作[9]。設上述運算為k+1函數，可表示為：

式中，x為存儲加密密鑰；y為待加密明文；h為IP核工作狀態；i為IP接口信號；為IP核加密明文負荷。加密的基本操作如下，首先識別不同的IP接口信號，將密鑰和數據相互結合，根據IP接口信號加密密鑰，其次通過復用替換字節，再次進行迭代產生行位移，最后根據列混淆，進入第2輪加密密鑰[10]。重復以上操作，直至10輪迭代徹底完成，通過迭代運算得到長度為128位的密文。本文將Wishbone總線作為PUF電路信息安全協議說明中的IP核規范，以制定PUF電路信息安全協議說明。

2.4 實現PUF電路設計

為滿足PUF電路的安全性要求，在確定PUF電路染色體編碼的基礎上，設定PUF電路低通函數為Fit(s)，高通函數為fit1(s)，帶通函數為fit2(s)，具體表示如下：

式中，γ為常數1；j為不同函數指代參數；U1(s)和U2(s)為高通PUF電路中的兩個不同電壓；U3(s)為低通PUF電路中的電壓。

3 實驗分析

3.1 實驗準備

本次實驗選用ongoing TKSC0.10微米工藝庫，硬件設施采用型號為TYR3583589的上位機。實驗環境設置為NC max，任務最大迭代次數為200次，兩個任務部署器，虛擬主機資源數量為860個，任務資源消耗量為30 GM，物理主機地理距離為20 m，主機更新常量為0.2，網絡權重系數為0.3。將PUF電路的安全系數設置為本次實驗的對比指標，安全系數越高表示安全性能越強。

3.2 實驗結果與分析

通過ongoing TKSC0.10微米工藝庫分別測得考慮信息安全芯片的PUF電路與傳統PUF電路的安全系數，并記錄如表1所示的實驗結果。

表1 PUF電路的安全系數對比結果

由表1可知，考慮信息安全芯片的PUF電路的安全系數明顯高于傳統PUF電路，說明該PUF電路能夠確保信息安全，具有實際應用價值。

4 結 論

考慮信息安全芯片的PUF電路設計能夠解決傳統PUF電路中存在的問題，提高PUF電路中信息的安全性，因此在后期的發展中，應加大信息安全芯片在PUF電路設計中的應用力度。