超级会员免费看
基于近似误差的硬件认证应用
1. 引言
在设备认证领域,物理不可克隆函数(PUF)虽已广泛用于安全应用,但因其硬件和功耗成本高,在物联网中的广泛应用受限。本文将介绍一种基于电压过缩放(VOS)的设备认证协议,无需额外硬件,适用于低功耗设备。
2. 电压过缩放与工艺变化
数字电路设计追求确定性结果,但为提高能效,引入了电路元件模拟特性的影响。电压过缩放(VOS)是近似计算中常用的功耗降低技术,通过在标称电压以下运行数字电路来节省功耗。然而,这会导致计算中产生误差。
制造工艺、电源电压和温度(PVT)的变化会影响集成电路的性能和可靠性。随着晶体管尺寸减小,工艺变化的影响愈发关键,如阈值电压变化的标准差会增大,其计算公式为:
[
\sigma_{Vt} = \frac{A_{Vt}}{\sqrt{WL}}
]
其中,(A_{Vt}) 是给定工艺的匹配参数。这种阈值电压的变化会直接影响CMOS门的延迟,可近似表示为:
[
d_{gate} \propto \frac{V_{DD}}{\beta(V_{DD} - V_{t})^{\alpha}}
]
其中,(\alpha) 和 (\beta) 是门和给定工艺的拟合参数。
电压过缩放和晶体管尺寸缩小会使工艺变化导致的设备特征在延迟输出中更明显。若不采取适当的校正机制,这种变化会导致输出误差。当 (V_{DD}) 和其他操作条件固定时,计算单元因VOS产生的误差会保留工艺变化的信息,通过分析这些误差可生成设备的唯一特征。
3. 近似电路中的误差
为理解电压过缩放中工艺变化的影响,研究了加法器产生的误差分布。不同加法器在电压过缩放时的表现不同:
-
Han - Carlson加法器(HCA)
:在电压过缩放时产生正确结果的能力最差。
-
Ripple Carry加法器(RCA)
:表现优于HCA,误差概率随加法器长度缓慢增加。
-
Carry Look - ahead加法器(CLA)
:在这三种加法器中表现最佳。
若要提取制造变化相关信息,需谨慎选择电路。本文选择RCA,因其能保留工艺变化相关的特征。
4. 误差建模
当电路的时钟周期小于其最大延迟时,电路输出不仅是工艺变化的函数,也是输入值的函数。对于组合加法器,当前输出 (z_i) 可表示为:
[
z_i = f (x_i, y_i, x_{i - 1}, y_{i - 1})
]
其中,(f()) 定义了与工艺变化相关的加法。这种对先前输入的依赖可能导致输出中的级联误差。为正确预测电压过缩放加法器的输出,可采取以下措施:
1.
保存输入模式的输出数据
:若仅使用包含 (n) 个输入模式的集合 (S_I) 进行处理,则需保存 (S_I) 中所有模式组合的输出,以揭示电路在部分输入数据下的行为。
2.
对所有可能的输入模式进行分析
:正确分析 (n) 位电压过缩放加法器需要考虑所有可能的当前输入值和先前输入值,其输入 - 输出表将有 (2^{4n}) 个条目。可通过仅存储加法器提供不准确结果的情况来减小分析表的大小。
3.
使用基于延迟的图形模型
:通过对加法器进行分析,创建贝叶斯网络的条件概率表。
验证者可使用Probably Approximately Correct(PAC)学习模型在多项式时间内构建加法器的模型。
5. 设计假设
设计基于电压过缩放的VLSI系统认证协议时,计算单元(如加法器)需满足以下要求:
| 要求 | 描述 |
| ---- | ---- |
| M1 | 电压过缩放能在计算单元中产生与工艺变化相关的误差。 |
| M2 | 电压过缩放产生的误差不是随机噪声,而是可重现的信息,反映了电路在较低工作电压下的输出。 |
| M3 | 若能访问电路的输入和输出端口,可对该单元的计算行为进行充分建模。 |
| M4 | 每个计算单元的模型是唯一的,因为制造相关的工艺变化是随机的。 |
为理解电压过缩放对处理数据的影响,进行了简单的图像处理模拟。使用RCA对两幅图像进行叠加处理,比较正常计算和电压过缩放计算的结果。通过计算近似结果与正确结果的像素值差异生成误差模式,分析发现近似结果中的误差主要来自单比特错误,且大多数误差出现在最低有效位(LSBs)。
graph TD;
A[输入图像1和图像2] --> B[准确加法器处理];
A --> C[电压过缩放RCA处理1];
A --> D[电压过缩放RCA处理2];
B --> E[准确结果];
C --> F[近似结果1];
D --> G[近似结果2];
E & F --> H[计算误差模式1];
E & G --> I[计算误差模式2];
H & I --> J[比较误差模式];
6. 认证协议
对于单实体认证,假设存在一个交互式协议VOLtA,涉及一个证明者 (P) 和一个验证者 (V)。双方共享一个通过密钥生成过程 (KeyGen_{VOLtA}(1^{\lambda})) 生成的秘密 (x),其中 (\lambda) 是安全参数。认证协议运行成功后会输出接受或拒绝。
6.1 假设
假设拥有满足M1 - M4要求的硬件。证明者有一个电压过缩放的计算单元(H),可产生与工艺变化相关的误差。验证者了解计算单元的正确模型或分析(M)。
6.2 密钥生成
密钥生成过程 (KeyGen_{VOLtA}(1^{\lambda})) 的算法如下:
1: procedure (x1, x2) ← KeyGenV OLtA(1λ)
2: Sample x1 $← Zℓp
3: Sample x2 $← Zℓp
4: return x1, x2
6.3 注册
证明者和验证者使用 (KeyGen_{VOLtA}) 生成秘密 (x_1) 和 (x_2),(\epsilon) 是认证的预定误差阈值。
6.4 验证
单轮验证的流程如下表所示:
| 证明者 (P(x_1, x_2, H)) | 验证者 (V(M, x_1, x_2, \epsilon)) |
| ---- | ---- |
| (R \xleftarrow{\$} Z_{\ell \times n}^p) | |
| 计算 (L = H(R, x_1) = R + x_1),然后计算 (z = L \oplus x_2 = (R + x_1) \oplus x_2) | |
| | 计算 (z’ = M(R, x_1) \oplus x_2)。若 (distance(z’, z) \leq \epsilon),则接受 |
协议中的距离可使用标准距离测量函数,如汉明距离或欧几里得距离。使用多个密钥时,验证者可使用同一设备认证多个用户,也可在知道设备正确模型的情况下验证不同设备上的证明者。
7. 协议评估
下面分析VOLtA协议可能面临的攻击:
-
随机猜测攻击
:攻击者试图随机猜测认证密钥。由于VOLtA的安全性不仅依赖于密钥 (x_1) 和 (x_2),还依赖于近似加法器的特性,攻击者既无密钥信息也无硬件特性信息,攻击成功率会随安全密钥位数增加和加法器结果不确定性增加而呈指数级下降。
-
窃听攻击
:攻击者窃听证明者和验证者之间的通信并记录响应。但验证者每次发送随机字符串 (R) 可轻松抵御此类攻击,因为证明者的响应会因输入不同而不同。
-
中间人攻击
:攻击者伪装成验证者与证明者通信并收集响应。若证明者对验证者输入有一定了解,此攻击将难以实施,但这会违反使用随机字符串防止其他攻击的要求。我们的认证机制可能会在攻击者正确查询证明者并获取响应后失效。
-
密钥泄露攻击
:若密钥 (x_1)、(x_2) 和模型 (M) 泄露给攻击者,协议将失败,因为这违反了基本的Kerckhoffs原则。
综上所述,基于近似误差的硬件认证协议VOLtA通过利用电压过缩放产生的工艺变化相关误差,为设备认证提供了一种新的解决方案,但也需注意防范各种潜在攻击。
基于近似误差的硬件认证应用
8. 不同攻击的详细分析与应对措施
8.1 随机猜测攻击的深入分析
随机猜测攻击是攻击者最直接的尝试方式。在VOLtA协议中,安全密钥 (x_1) 和 (x_2) 以及近似加法器的特性共同构成了安全防线。随着安全密钥位数的增加,可能的密钥组合数量呈指数级增长。例如,若密钥为 (n) 位,那么可能的密钥组合就有 (2^n) 种。攻击者随机猜测正确密钥的概率为 (\frac{1}{2^n}) ,这使得攻击的难度极大增加。
同时,近似加法器由于工艺变化产生的不确定性,进一步降低了攻击者成功的可能性。攻击者无法准确预测加法器的输出,即使猜对了密钥,也难以得到与证明者相同的结果。
应对这种攻击,增加安全密钥的位数是一种有效的方法。同时,在设计近似加法器时,可以进一步优化工艺,增加输出结果的不确定性。
8.2 窃听攻击的应对策略
窃听攻击中,攻击者试图通过记录通信内容来获取认证信息。验证者每次发送随机字符串 (R) 是关键的防御手段。具体操作流程如下:
1. 验证者在每次认证时,使用随机数生成器生成随机字符串 (R)。
2. 将随机字符串 (R) 发送给证明者。
3. 证明者使用电压过缩放的计算单元 (H) 对 (R) 和 (x_1) 进行计算,得到 (L = H(R, x_1) = R + x_1),再计算 (z = L \oplus x_2 = (R + x_1) \oplus x_2),并将 (z) 发送给验证者。
4. 验证者使用模型 (M) 计算 (z’ = M(R, x_1) \oplus x_2),并比较 (z’) 和 (z) 的距离。
由于每次的 (R) 都是随机的,证明者的响应 (z) 也会不同,攻击者无法通过记录之前的响应来应对新的挑战。
8.3 中间人攻击的风险与防范
中间人攻击是一种较为复杂的攻击方式。攻击者伪装成验证者与证明者通信,试图获取证明者的响应。为了防范这种攻击,可以采用以下措施:
1.
身份验证机制
:在通信开始时,验证者和证明者进行身份验证,确保双方身份的真实性。例如,可以使用数字证书来验证身份。
2.
加密通信
:对通信内容进行加密,防止攻击者窃取和篡改信息。可以使用对称加密或非对称加密算法。
3.
随机挑战的多样性
:验证者发送的随机挑战 (R) 可以采用更复杂的生成方式,增加攻击者猜测的难度。
8.4 密钥泄露攻击的严重性
密钥泄露攻击是最严重的威胁之一。一旦密钥 (x_1)、(x_2) 和模型 (M) 泄露给攻击者,协议将完全失效。为了防止密钥泄露,可以采取以下措施:
1.
安全存储
:将密钥和模型存储在安全的设备中,如硬件安全模块(HSM)。
2.
定期更新
:定期更新密钥,减少密钥泄露的风险。
3.
访问控制
:对密钥和模型的访问进行严格的控制,只有授权人员才能访问。
9. 协议的扩展性与应用前景
9.1 多用户认证
VOLtA协议具有良好的扩展性,可以支持多用户认证。验证者可以使用多个密钥对不同的证明者进行认证。具体操作流程如下:
1. 验证者为每个证明者生成独立的密钥对 ((x_{1i}, x_{2i})),其中 (i) 表示第 (i) 个证明者。
2. 当进行认证时,验证者根据证明者的身份选择相应的密钥对进行验证。
这种方式可以在同一设备上实现多个用户的认证,提高了设备的利用率。
9.2 不同设备的认证
验证者可以在知道不同设备正确模型的情况下,对不同设备上的证明者进行认证。这使得VOLtA协议可以应用于多种不同的硬件环境。具体操作流程如下:
1. 验证者收集不同设备的模型信息 (M_i),其中 (i) 表示第 (i) 个设备。
2. 当对某个设备上的证明者进行认证时,验证者使用该设备对应的模型 (M_i) 进行计算。
9.3 应用前景
VOLtA协议在物联网、移动设备等领域具有广阔的应用前景。在物联网中,大量的设备需要进行身份认证,而VOLtA协议无需额外的硬件,适用于低功耗设备。在移动设备中,也可以利用该协议提高设备的安全性。
10. 总结与展望
10.1 总结
基于近似误差的硬件认证协议VOLtA通过利用电压过缩放产生的工艺变化相关误差,为设备认证提供了一种新的解决方案。该协议具有以下优点:
- 无需额外硬件,适用于低功耗设备。
- 利用工艺变化产生的误差生成设备的唯一特征,增加了认证的安全性。
- 具有良好的扩展性,可以支持多用户认证和不同设备的认证。
同时,该协议也面临着各种潜在攻击的威胁,如随机猜测攻击、窃听攻击、中间人攻击和密钥泄露攻击等。需要采取相应的措施来防范这些攻击。
10.2 展望
未来,可以进一步研究如何优化近似加法器的设计,增加工艺变化的影响,提高协议的安全性。同时,可以探索将VOLtA协议与其他安全技术相结合,如区块链技术,进一步增强认证的可靠性。此外,随着硬件技术的不断发展,也可以研究如何在新的硬件平台上应用该协议。
graph LR;
A[随机猜测攻击] --> B[增加密钥位数];
A --> C[优化加法器工艺];
D[窃听攻击] --> E[发送随机字符串R];
F[中间人攻击] --> G[身份验证];
F --> H[加密通信];
F --> I[多样化随机挑战];
J[密钥泄露攻击] --> K[安全存储];
J --> L[定期更新];
J --> M[访问控制];
| 攻击类型 | 应对措施 |
|---|---|
| 随机猜测攻击 | 增加安全密钥位数,优化近似加法器工艺 |
| 窃听攻击 | 验证者每次发送随机字符串 (R) |
| 中间人攻击 | 身份验证,加密通信,多样化随机挑战 |
| 密钥泄露攻击 | 安全存储,定期更新,访问控制 |
综上所述,VOLtA协议为硬件认证提供了一种创新的方法,但在实际应用中需要不断完善和改进,以应对各种安全挑战。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
