物理不可克隆函數的機器學習防御與攻擊綜述

摘 要：隨著衛星導航技術的發展，芯片、模塊和板卡等導航產品被廣泛應用到各種導航終端設備上，但這些設備在開放環境中的通信安全問題日益凸顯。物理不可克隆函數（Ｐｈｙｓｉｃａｌ Ｕｎｃｌｏｎａｂｌｅ Ｆｕｎｃｔｉｏｎ，ＰＵＦ） 是一種新型“硬件指紋”技術，基于ＰＵＦ 的身份認證方式可以對設備進行硬件層面的認證，滿足其輕量級和高安全性的認證需求。針對多數ＰＵＦ 易受到機器學習（Ｍａｃｈｉｎｅ Ｌｅａｒｎｉｎｇ，ＭＬ） 建模攻擊的問題，對不同的結構改進方法進行介紹，分析了幾種常用ＭＬ 攻擊算法的特點，提出了防御和攻擊兩方面的性能評價方法，從安全性方面討論了ＰＵＦ 的未來發展趨勢。

關鍵詞：物理不可克隆函數；導航設備；抗攻擊結構；機器學習；可靠性

中圖分類號：ＴＰ３０９ 文獻標志碼：Ａ 開放科學（資源服務）標識碼（ＯＳＩＤ）：

文章編號：１００３－３１０６（２０２４）０４－１００９－１０

０ 引言

全球導航衛星系統（Ｇｌｏｂａｌ Ｎａｖｉｇａｔｉｏｎ ＳａｔｅｌｌｉｔｅＳｙｓｔｅｍ，ＧＮＳＳ）為全球用戶提供高精度定位、導航和授時（Ｐｏｓｉｔｉｏｎｉｎｇ Ｎａｖｉｇａｔｉｏｎ Ｔｉｍｉｎｇ，ＰＮＴ）服務。隨著導航技術的發展，導航產品被廣泛應用到手機、汽車和無人機等具有導航功能的終端設備上［１－２］，在電力、交通、金融和通信等領域發揮重要作用。然而，這些設備在開放環境中的通信安全問題日益凸顯。目前，電子設備的認證和信息保護通過傳統密碼學的方法實現，但加密算法的密鑰存儲難度高且硬件開銷大，無法滿足其高安全性、低復雜性的認證需求。

物理不可克隆函數（Ｐｈｙｓｉｃａｌ ＵｎｃｌｏｎａｂｌｅＦｕｎｃｔｉｏｎ，ＰＵＦ）是在物聯網發展過程中提出的一種新型硬件安全原語［３］，具有輕量級、無需密鑰存儲和不可克隆的特性。它可以利用集成電路在制造過程中的工藝偏差產生獨特的激勵－ 響應對（ＣｈａｌｌｅｎｇｅＲｅｓｐｏｎｓｅ Ｐａｉｒ，ＣＲＰ）。激勵和響應均為指定長度的二進制序列，對應ＰＵＦ 的輸入和輸出。例如，仲裁器ＰＵＦ （Ａｒｂｉｔｅｒ ＰＵＦ，ＡＰＵＦ）由上下２ 路ｎ 級并行的多路選擇器（Ｍｕｌｔｉｐｌｅｘｅｒ，ＭＵＸ）鏈和尾端的Ａｒｂｉｔｅｒ 構成。同一信號進入２ 條鏈路后，ｎ 位激勵控制其在ＭＵＸ 中的傳輸路徑。由于工藝偏差，上下鏈路之間存在延遲差，Ａｒｂｉｔｅｒ 通過比較２ 條鏈路的快慢得到１ 位響應０ 或１。假如芯片Ａ和Ｂ 為２ 個不同的芯片，分別嵌入了結構相同的ＰＵＦ 電路Ｐ 和Ｑ。ＰＵＦ 具有不可克隆性，即每個ＰＵＦ 都有自己的“硬件指紋”，對電路Ｐ 和Ｑ 施加相同的激勵，會產生不同的響應。因此，嵌入ＰＵＦ 的設備或系統能夠被唯一地認證。基于ＰＵＦ 的身份認證方式適用于眾多的導航終端應用設備，能有效解決其通信安全和負載受限問題。

近年來隨著機器學習（Ｍａｃｈｉｎｅ Ｌｅａｒｎｉｎｇ，ＭＬ）技術的發展，多數ＰＵＦ 已被證明不夠安全。ＭＬ 攻擊是指在身份認證過程中攻擊者收集認證雙方傳輸的大量ＣＲＰ，然后通過ＭＬ 算法對ＰＵＦ 結構進行建模，從而能夠預測其他未被使用過的ＣＲＰ。一旦建模完成，關于ＰＵＦ 不可克隆與不可預測的假設將不再成立，所有基于ＰＵＦ 所實現的應用和協議也隨之被破壞。因此，本文將從防御與攻擊方面進行分析，包括抗ＭＬ 攻擊的ＰＵＦ 結構設計、針對ＰＵＦ 的ＭＬ攻擊算法、性能評價方法，并從安全性方面討論ＰＵＦ的發展趨勢。

１ 抗ＭＬ 攻擊的ＰＵＦ 結構設計

ＡＰＵＦ 及其各種變體、雙穩態（Ｂｉｓｔａｂｌｅ Ｒｉｎｇ，ＢＲ）ＰＵＦ［４］和插值ＰＵＦ（Ｉｎｔｅｒｐｏｓｅ ＰＵＦ，ＩＰＵＦ）［５］等延時類ＰＵＦ 受到基于ＭＬ 的建模攻擊的嚴重威脅。針對這一問題，許多抗ＭＬ 攻擊的ＰＵＦ 結構被提出，主要可分為３ 類：結構非線性化、激勵響應混淆和混合法。

１． １ 結構非線性化

結構非線性化是從ＰＵＦ 結構本身出發，在原有的ＰＵＦ 結構上增加非線性因素，包括增加反饋回路或多路徑選擇等，使得整體ＰＵＦ 結構變為非線性模型。

前饋（ＦｅｅｄＦｏｒｗａｒｄ，ＦＦ）ＡＰＵＦ 通過增加反饋回路引入非線性，其原理如圖１ 所示。在ＡＰＵＦ 的基礎上，增加一個ＦＦ Ａｒｂｉｔｅｒ，輸入連接到ＭＵＸ 鏈的第ｉ 級，ＦＦ 級為第ｊ 級（ｉ＜ｊ），（ｃ１ ，…，ｃｉ，…，ｃｊ，…，ｃｎ）為輸入電路的激勵［６］。ＦＦ ＡＰＵＦ 結構引入的非線性已被證明不足以抵抗ＭＬ 攻擊［７］。之后，可重構ＦＦ ＡＰＵＦ 被提出，通過增加ＦＦ 組件，在重疊、級聯和分離３ 種結構中配置，使得攻擊者不能以單一的模型進行攻擊［８］。文獻［９］提出了一種基于功耗的ＭＬ 攻擊方法，并通過現場可編程門陣列（ＦｉｌｅｄＰｒｏｇｒａｍｍａｂｌｅ Ｇａｔｅ Ａｒｒａｙ，ＦＰＧＡ）實驗證明了該方法對ＦＦ ＡＰＵＦ 攻擊的有效性。在ＦＦ ＡＰＵＦ 和異或（ＸＯＲ） ＡＰＵＦ 的基礎上，文獻［１０ ］提出了同質ＦＦＸＯＲ ＰＵＦ 和異構ＦＦＸＯＲ ＰＵＦ。同質ＦＦＸＯＲＰＵＦ 是對相同結構的ＦＦ ＡＰＵＦ 響應進行異或，即ＦＦ 環路位于ＰＵＦ 組件的同一位置。異構ＦＦＸＯＲＰＵＦ 是對不同結構的ＦＦ ＡＰＵＦ 進行ＸＯＲ，即ＦＦ 環路位于ＰＵＦ 組件的不同位置。通過改變中間Ａｒｂｉｔｅｒ 的位置以及異或ＰＵＦ 組件的數量，證明了該ＰＵＦ 可以抵御邏輯回歸（Ｌｏｇｉｓｔｉｃ Ｒｅｇｒｅｓｓｉｏｎ，ＬＲ）和人工神經網絡（Ａｒｔｉｆｉｃｉａｌ Ｎｅｕｒａｌ Ｎｅｔｗｏｒｋ，ＡＮＮ）的ＭＬ 攻擊。

多路選擇器ＰＵＦ（Ｍｕｌｔｉｐｌｅｘｅｒ ＰＵＦ，ＭＰＵＦ）通過多路徑選擇增加非線性。用ｋ 級ＭＵＸ 從（２ｋ －１）個ＡＰＵＦ 中選擇一個作為響應的最終來源，其中ＭＵＸ的選擇端來自ｋ 個ＡＰＵＦ 的輸出［１１］。該結構可以在解決ＸＯＲ ＰＵＦ 可靠性降低問題的同時提高安全性。ｒＭＰＵＦ 和ｃＭＰＵＦ 是ＭＰＵＦ 的２ 種變體，ｒＭＰＵＦ為每一個子ＭＵＸ 配備一個單獨的ＡＰＵＦ，提高了抗ＭＬ 攻擊能力但硬件消耗很大；ｃＭＰＵＦ 引入非門節省了硬件開銷但不能抵抗基于可靠性信息的建模攻擊。由此可見，在電路中引入非線性雖然可以增加抵抗ＭＬ 攻擊的可能性，但通常以降低ＰＵＦ 可靠性為代價，需要增加其他電路以改善其可靠性。

混合型強ＰＵＦ（Ｈｙｂｒｉｄ Ｓｔｒｏｎｇ ＰＵＦ，ＨＳ-ＰＵＦ）在２－１ 雙仲裁器ＰＵＦ （Ｄｏｕｂｌｅ ＡＰＵＦ，ＤＡＰＵＦ）的基礎上進行了２ 處改進：一是用ＦＦ ＡＰＵＦ 替換ＡＰＵＦ；二是將對稱開關單元輸出的下延時路徑與上延時路徑交叉，從而對輸入激勵進行倒置。因此，信號可以在上下ＦＦ ＡＰＵＦ 鏈路間傳輸，增加了非線性因素，并通過異或混淆了響應。用ＬＲ、ＡＮＮ 和支持向量機（Ｓｕｐｐｏｒｔ Ｖｅｃｔｏｒ Ｍａｃｈｉｎｅ，ＳＶＭ）對其進行建模，結果顯示，預測率從８５％ 降到了５０％ ，比２－１ ＤＡＰＵＦ的抗攻擊性能高出很多［１２］。

文獻［１３］提出的混淆互連ＰＵＦ（ＯｂｆｕｓｃａｔｅｄＩｎｔｅｒｃｏｎｎｅｃｔｉｏｎ ＰＵＦ，ＯＩＰＵＦ）利用延遲級的隨機互連引入了非線性運算。ＯＩＰＵＦ 由２ 個相同的混淆互連（Ｏｂｆｕｓｃａｔｅｄ Ｉｎｔｅｒｃｏｎｎｅｃｔｉｏｎ，ＯＩ）塊組成。每個ＯＩ 塊為ｎ 級ｌ 路的延遲鏈，上下塊中各級相同索引路徑的延遲差作為熵源。將隨機分級互連得到的ｌ 個響應進行ＸＯＲ 得到最終響應。ＯＩＰＵＦ 級互連是隨機和未知的，因而攻擊者無法繞過非線性從輸入激勵中提取特征矩陣來建立模型。用ＡＮＮ、ＬＲ 和協方差矩陣自適應進化策略（Ｃｏｖａｒｉａｎｃｅ Ｍａｔｒｉｘ ＡｄａｐｔａｔｉｏｎＥｖｏｌｕｔｉｏｎ Ｓｔｒａｔｅｇｙ，ＣＭＡＥＳ）對（６４，８）ＯＩＰＵＦ 進行建模，預測率均為５０％ 左右，且隨著ｎ 和ｌ 的增大，抗攻擊性能進一步提高。

１． ２ 激勵響應混淆

激勵響應混淆是通過增加混淆電路隱匿原始的ＣＲＰ，使得攻擊者無法獲得二者之間的相關性而提高抗ＭＬ 攻擊性能。混淆方法包括組合法、隨機比特混淆法、加密法和ＸＯＲ 門法等。

組合法是將２ 種或多種ＰＵＦ 組合起來，用一種ＰＵＦ 的輸出作為另一種ＰＵＦ 的輸入，從而混淆激勵的方法。環形振蕩器（Ｒｉｎｇ Ｏｓｃｉｌｌａｔｏｒ，ＲＯ）ＰＵＦ 與ＡＰＵＦ 組合而成的復合（Ｃｏｍｐｏｓｉｔｅ）ＰＵＦ［１４］，ＰｉｃｏＰＵＦ 與ＡＰＵＦ 組合而成的基于數據選擇器的混合ＰＵＦ （Ｍｕｌｔｉｐｌｅｘｅｒ ｂａｓｅｄ ＭｕｌｔｉＰＵＦ，ＭＭＰＵＦ）［１５］都是將原始激勵輸入前者，得到的響應作為ＡＰＵＦ 的輸入。該方法設計簡單，但引入了弱ＰＵＦ 的可靠性問題。文獻［１６］提出了一種可配置三態（ＣｏｎｆｉｇｕｒａｂｌｅＴｒｉｓｔａｔｅ，ＣＴ）ＰＵＦ，可以根據偶數位激勵和奇數位激勵中“１”的個數，配置為ＡＰＵＦ、ＢＲ ＰＵＦ 和ＲＯ ＰＵＦ三種模式，增加了電路結構的靈活性，但攻擊者可以通過訓練３ 種模型進行建模攻擊。為此，提出了一種混淆機制，將ＡＰＵＦ 生成的穩定響應與ＲＯ ＰＵＦ或ＢＲ ＰＵＦ 模式下的激勵和響應ＸＯＲ。同時，ＡＰＵＦ只用于混淆，沒有外部訪問接口，使得攻擊者無法獲取真實的激勵和響應。實驗結果表明，該ＰＵＦ 能有效抵抗ＬＲ 和ＡＮＮ 攻擊。

控制法是指對同一模式下生成的ＣＲＰ 數量進行限制，當達到閾值時，更新控制密鑰的方法。基于序列密碼的ＡＰＵＦ（Ｓｅｑｕｅｎｃｅ Ｃｉｐｈｅｒ ｂａｓｅ ｏｎ ＡＰＵＦ，ＳＣＡＰＵＦ）在查找表（Ｌｏｏｋ Ｕｐ Ｔａｂｌｅ，ＬＵＴ）輸入端存放密鑰作為預置混淆電路的初始值，當ＣＲＰ 數量達到設定閾值時密鑰將進行更新，從而使多組激勵的混淆結果不同［１７］。基于隨機集的混淆（Ｒａｎｄｏｍ Ｓｅｔｂａｓｅｄ Ｏｂｆｕｓｃａｔｉｏｎ，ＲＳＯ）ＰＵＦ 在準備階段將多個激勵存入非易失性存儲器（ＮｏｎＶｏｌａｔｉｌｅ Ｍｅｍｏｒｙ，ＮＶＭ），然后將其逐個輸入到ＰＵＦ 電路，生成的響應作為混淆集臨時存儲在寄存器中。每次認證時，使用真隨機數生成器（Ｔｒｕｅ Ｒａｎｄｏｍ Ｎｕｍｂｅｒ Ｇｅｎｅｒａｔｏｒ，ＴＲＮＧ）選擇２ 個響應，對輸入激勵和響應分別進行ＸＯＲ。當攻擊者收集的ＣＲＰ 數量達到預設閾值時，更新機制將更新用于混淆激勵和響應的密鑰集［１８］。ＲＳＯ 不僅可以有效地抵抗ＭＬ 攻擊，還可以解決結構非線性方法和激勵響應混淆法中ＰＵＦ 可靠性下降的問題，但攻擊者可能會用相同的激勵替換ＮＶＭ內容，以繞過混淆過程。

隨機比特混淆法是通過引入隨機數使ＰＵＦ 的激勵或響應隨機化的方法。隨機激勵ＰＵＦ （ＰＵＦｗｉｔｈ Ｒａｎｄｏｍｉｚｅｄ ｃｈａｌｌｅｎｇｅ，ＲＰＵＦ）通過增加一個激勵隨機化模塊，根據隨機數生成器（Ｒａｎｄｏｍ ＮｕｍｂｅｒＧｅｎｅｒａｔｏｒ，ＲＮＧ）的輸出對激勵位進行選擇性翻轉，使得每個激勵可以有多個響應以阻止攻擊者獲取有效的訓練數據集。模擬仿真和ＦＰＧＡ 中實現的實驗數據表明，ＲＰＵＦ 的平均預測率為７３． ６４％ 和６４． ４５％ ，證明了該方法在抵抗ＭＬ 建模攻擊方面的有效性［１９］。細長（Ｓｌｅｎｄｅｒ）ＰＵＦ 采用４ＸＯＲ ＰＵＦ，約定設備端和服務器端使用各自的ＴＲＮＧ 來生成隨機數，然后設備端將２ 個隨機數拼接作為偽隨機數生成器（Ｐｓｅｕｄｏ Ｒａｎｄｏｍ Ｎｕｍｂｅｒ Ｇｅｎｅｒａｔｏｒ，ＰＲＮＧ）的種子，生成ＰＵＦ 的激勵，最后隨機截取固定長度的響應段發送給服務器端以驗證設備的合法性［２０］。盡管ＲＰＵＦ 和Ｓｌｅｎｄｅｒ ＰＵＦ 看似隱藏了激勵和響應的真實對應關系，但文獻［２１－２２］的實驗表明，它們依然能被ＣＭＥＥＳ 攻破。文獻［２３］提出了一種強ＰＵＦ 的動態響應機制。該機制由底層ＰＵＦ、動態激勵轉換（Ｄｙｎａｍｉｃ Ｃｈａｌｌｅｎｇｅ Ｔｒａｎｓｆｏｒｍａｔｉｏｎ，ＤＣＴ）模塊和響應后處理模塊組成。底層ＰＵＦ 和ＤＣＴ 模塊結合生成動態響應。具體原理是：使用內部線性反饋移位寄存器（ＬｉｎｅａｒＦｅｅｄｂａｃｋ Ｓｈｉｆｔ Ｒｅｇｉｓｔｅｒ，ＬＦＳＲ）產生混淆子串，與底層ＰＵＦ 的激勵子串異或，生成多個子激勵，子激勵輸入底層ＰＵＦ 中生成多個子響應。假設ＬＦＳＲ 為ｍ 位，則一個激勵對應的完全響應長度為２ｍ －１。采用ＡＮＮ 和ＣＭＡＥＳ 對ＤＣＴ 機制進行攻擊，由于攻擊過程中攻擊者需要嘗試多種ＬＦＳＲ 子串與激勵子串的組合，所需的訓練時間和ＣＲＰ 數量大大增加，因此無法在有效時間內攻破。

加密法是將傳統加密算法和ＰＵＦ 結合以提高安全性的方法。用于ＰＵＦ 的加密算法有哈希（ｈａｓｈ）函數、高級加密標準（Ａｄｖａｎｃｅｄ ＥｎｃｒｙｐｔｉｏｎＳｔａｎｄａｒｄ，ＡＥＳ）、矩陣加密和洗牌算法等，其中應用最多的是ｈａｓｈ 函數。如圖２ 所示，受控ＰＵＦ（Ｃｏｎｔｒｏｌｌｅｄ ＰＵＦ，ＣＰＵＦ）利用ｈａｓｈ 散列電路對激勵Ｃ 和響應Ｒ 進行混淆以防止對激勵的選擇性攻擊和減少響應的相關性［２４］。然而，ｈａｓｈ 散列對噪聲敏感，一位比特錯誤會導致整個序列改變，因此需要增加糾錯碼（Ｅｒｒｏｒ Ｃｏｒｒｅｃｔｉｎｇ Ｃｏｄｅ，ＥＣＣ），從而引入了顯著的面積和功率開銷。為了減少開銷，文獻［２５］提出了有限狀態機ＰＵＦ （ＰＵＦＦｉｎｉｔｅ Ｓｔａｔｅ Ｍａｃｈｉｎｅ，ＰＵＦＦＳＭ）。該ＰＵＦ 刪除了ＣＰＵＦ 激勵端的ｈａｓｈ 電路，并用ＦＳＭ 替換ＥＣＣ 校驗單元，消除了對糾錯邏輯、相關計算、輔助數據存儲與加載的需要，能夠抵御基于可靠性的攻擊，但由于ｈａｓｈ 電路的存在仍會產生很大的開銷，并且ＰＵＦＦＳＭ 也已被ＣＭＡＥＳ 變體攻破［２２］。此外，文獻［１５］提出的基于置換盒的ＡＰＵＦ（ＳｕｂｓｔｉｔｕｔｉｏｎＢｏｘ ｂａｓｅｄ ＡＰＵＦ，ＳＡＰＵＦ）使用ＡＥＳ 算法中的非線性替換函數ＳＢｏｘ（ＳｕｂｓｔｉｔｕｔｉｏｎＢｏｘ）混淆激勵，文獻［２６］提出的基于矩陣加密的ＰＵＦ（Ｍａｔｒｉｘ Ｅｎｃｒｙｐｔｉｏｎ ＰＵＦ，ＭＥＰＵＦ）對響應進行矩陣乘法加密。２ 種方法均改進了抗攻擊性能。

ＸＯＲ 門法是將多位激勵或響應進行ＸＯＲ 的方法，是使用較多的方法之一，通常和其他混淆方法結合使用。例如，ＸＯＲ ＡＰＵＦ［２７］、同質ＦＦＸＯＲ ＰＵＦ、異構ＦＦＸＯＲ ＰＵＦ［１０］和ＩＰＵＦ［５］是對多個ＰＵＦ 組件的響應進行異或；輕量安全（Ｌｉｇｈｔｗｅｉｇｈｔ Ｓｅｃｕｒｅ，ＬＳ）ＰＵＦ 在輸入和輸出端添加了異或門網絡，對并行激勵和響應分別進行循環移位互連混淆［２８］；ＨＳＰＵＦ［１２］、ＯＩＰＵＦ［１３］是對２ 個延遲鏈路互連的多個響應進行ＸＯＲ；ＣＴ ＰＵＦ［１６］、雙模反饋（Ｄｕａｌ Ｆｅｅｄ，ＤＦ）ＰＵＦ［２９］等多態ＰＵＦ 采用按位ＸＯＲ 混淆機制同時混淆激勵和響應；ＲＳＯ ＰＵＦ［１８］與多態ＰＵＦ 混淆原理類似，但使用底層ＰＵＦ 產生的穩定響應。ＸＯＲ 運算將耗費攻擊者更多的計算資源和處理時間，攻擊難度加大，但對于一些結構簡單的ＰＵＦ，ＸＯＲ 門法增加的抗攻擊性能有限，仍然存在被攻破的風險［７，３０－３２］。

１． ３ 混合法

混合法是將非線性和激勵響應混淆同時引入到ＰＵＦ 結構中的方法。文獻［２９］提出了一種狀態可配置的ＤＦ ＰＵＦ，具有２ 種模式：ＦＦ ＡＰＵＦ 和混合ＰＵＦ。ＦＦ ＡＰＵＦ 通過增加一個ＦＦ Ａｒｂｉｔｅｒ 引入了非線性，用尾端的Ａｒｂｉｔｅｒ 生成響應；混合ＰＵＦ 通過將ＲＯ ＰＵＦ 與ＡＰＵＦ 結合，構成了部分激勵位可配置的振蕩環路，用計數器和比較器生成響應。為了進一步提高安全性和可靠性，該結構還采用了文獻［１６］中的按位ＸＯＲ 混淆機制以復雜化激勵和響應之間的映射關系，增加了建模攻擊的難度。文獻［３３］提出的動態重構混沌ＰＵＦ（Ｄｙｎａｍｉｃ Ｒｅｃｏｎｓｔｒｕｃｔｉｏｎ ｏｆ Ｃｈａｏｔｉｃ ＰＵＦ，ＣＬＣ-ＰＵＦ）增加了可重構ＬＦＳＲ 和混沌模塊，同時對激勵和響應進行混淆。輕量級流式加密ＰＵＦ（Ｌｉｇｈｔｗｅｉｇｈｔ Ｓｔｒｅａｍ Ｃｉｐｈｅｒ ＰＵＦ，ＬＳＣＰＵＦ）通過在激勵端加入由混沌系統和移位寄存器組成的輕量級流式加密邏輯，在激勵和響應之間引入了較強的非線性。該結構對多種ＭＬ 算法表現出良好的抗攻擊性。

２ 針對ＰＵＦ 的ＭＬ 攻擊算法

針對ＰＵＦ 的常用ＭＬ 攻擊算法有ＬＲ、ＳＶＭ、進化策略（Ｅｖｏｌｕｔｉｏｎ Ｓｔｒａｔｅｇｙ，ＥＳ）、ＡＮＮ 和樸素貝葉斯（Ｎａ ｖｅ Ｂａｙｅｓ，ＮＢ）等。

２． １ ＬＲ

ＬＲ 可以用于解決二分類問題，是最早用于攻擊ＰＵＦ 的ＭＬ 算法［７］，其原理如圖３ 所示。通過構造預測函數、損失函數和最小化損失函數來求解預測函數的最優系數。其中Ｘ ＝ ［１，ｘ１ ，…，ｘｎ］ Ｔ 為輸入向量，Ｗ ＝ ［ｗ０ ，ｗ１ ，…，ｗｎ］ Ｔ 為權值向量，ｚ 為２ 個向量的內積，ｇ 為Ｓｉｇｍｏｉｄ 函數，ｆ 為預測函數。例如，ＡＰＵＦ 可以被建模為線性遞增延遲模型。首先，將激勵通過數學表達式轉換為特征向量，使得總延遲差與各級延遲差之間呈線性關系；然后，將特征向量和響應作為ＬＲ 算法的輸入和輸出，估計出各級延遲參數。對于新的激勵，通過計算特征向量與延遲參數的內積得到總延遲，并將其輸入Ｓｉｇｍｏｉｄ 函數以預測新的響應［３４］。

ＬＲ 本身是線性分類模型，對線性結構的ＰＵＦ攻擊效果顯著，如對ＲＯ ＰＵＦ［１６］、ＸＯＲ ＡＰＵＦ 和ＬＳＰＵＦ 的預測準確率均達到９９％ 以上［３５］。然而，當數據特征缺失或激勵響應線性關系不強時預測會變差，如ＦＦ ＡＰＵＦ［７］。

２． ２ ＳＶＭ。

ＳＶＭ 是通過尋找特征空間中特征向量的分隔最大寬度（超平面）來解決二分類或多分類問題［３６－３７］，對數據波動的魯棒性強。與ＬＲ 相比，ＳＶＭ可以調用不同的核函數將樣本空間從低維映射到高維從而實現非線性分類，但核函數的選擇和參數設置復雜，需要更多的時間和樣本來調整參數。如圖４ 所示，一個二維平面上有２ 類點，“＋”代表正樣本，“－”代表負樣本，直線ａ 和ｂ 之間的間隔為２ 類點分隔最大寬度，ａ 和ｂ 經過的點為支持向量，ａ、ｂ的中線ｃ 為２ 類點的最佳分隔面，訓練目的是求解該平面。與ＬＲ 攻擊的原理類似，ＳＶＭ 將響應｛０，１｝映射到｛－１，１｝。由于超平面只與支持向量有關，因此適用于小樣本分類。ＳＶＭ 在許多研究中已被用于攻擊ＡＰＵＦ［３８］及其部分復雜度有限的變體［７，３９－４１］。

２． ３ ＥＳ。

ＥＳ 是一種仿照生物進化原理的啟發式參數優化算法［４２］，算法過程如圖５ 所示。先構造一個ＰＵＦ的數學模型和適應度函數，給模型的每個參數賦隨機值作為父代；多個父代經過重組變異后衍生出一系列新的模型作為子代，篩選出子代中適應度較強的模型作為新的父代；循環迭代優化直至達到預期適應度或最大迭代次數，所得到的模型就是最優解。其中，ＣＭＡＥＳ 在復雜優化問題上表現良好［４３］，是對ＰＵＦ 進行建模攻擊時最常采用的方法。該方法使用協方差矩陣來調整正態分布中變量之間的相關性，其子代的隨機突變通過對每個參數添加一個隨機高斯變量Ｎ（０，σ）實現。標準差σ 可自適應地調整，準確率越接近ＰＵＦ 實例，σ 越小。

文獻［１３］提出了一種遺傳算法（Ｇｅｎｅｔｉｃ Ａｌｇｏｒｉｔｈｍ，ＧＡ）與ＣＭＡＥＳ 混合攻擊的方法，用于攻擊ＯＩＰＵＦ。該方法使用ＧＡ 生成特定ＯＩＰＵＦ 實例的混淆互連表（Ｏｂｆｕｓｃａｔｅｄ Ｉｎｔｅｒｃｏｎｎｅｃｔｉｏｎ Ｔａｂｌｅｓ，ＯＩＴｓ），并用其構建ＣＭＡＥＳ 模型，以優化延遲參數表（Ｄｅｌａｙ Ｐａｒａｍｅｔｅｒ Ｔａｂｌｅ，ＤＰＴ）。具體步驟如下：首先，用ＧＡ 生成Ｓ 個ＯＩＰＵＦ 的ＯＩＴ 作為初始種群，Ｓ為子代數量；其次，將每個ＯＩＴ 及激勵轉換為特征矩陣，輸入到Ｓ 個具有自定義適應度函數的ＣＭＡＥＳ模型中，并計算每個模型的預測誤差；然后，根據預測誤差，用ＣＭＡＥＳ 優化ＤＰＴ，用ＧＡ 優化ＯＩＴ；最后，重復以上步驟，直到達到預設迭代次數或滿足閾值條件。攻擊結果顯示，當ｌ＜４ 時預測率在９０％ 以上。然而，由于ＸＯＲ 運算的引入，算法有效性逐漸降低，當ｌ≥５ 時，攻擊失敗。

與ＬＲ 和ＳＶＭ 相比，ＣＭＡＥＳ 不要求建模對象線性可分或損失函數可微，對Ｓｌｅｎｄｅｒ ＰＵＦ［２１］和ＲＰＵＦ ［２２］等非線性復雜ＰＵＦ 結構的攻擊效果更好，但由于算法搜索過程具有隨機性，且最終結果依賴于模型初始值，因此需要重復運行多次才能找到最優解，求解過程十分耗時。

適應度函數的選擇對ＥＳ 攻擊的影響至關重要。適應度函數表示為：

Ａ ＝ ｆ（Ｍ，Ｍ′）， （１）

式中：Ｍ 和Ｍ′分別為虛擬模型和真實模型，ｆ 為對二者的評估函數。比如Ａ ＝ ＨＤ（Ｒ，Ｒ′）／ ｌ，ＨＤ（Ｒ，Ｒ′）為模型集Ｒ 和測試集Ｒ′的漢明距離，ｌ 為ＰＵＦ 響應的序列長度。準確率越高，表明子代越合適。

２． ４ ＡＮＮ

ＡＮＮ 是由眾多神經元作為計算節點互連而成的一個自適應系統，每個神經元對應一個非線性激活函數，其算法核心為普遍逼近定理［４４］。如圖６ 所示的神經網絡由輸入層、隱藏層和輸出層構成。其中Ｘ ＝ ［ｘ１ ，ｘ２ ］為輸入向量，Ｗ１ ＝ ［ｗ１１ ，ｗ１２ ，ｗ１３ ，ｗ２１ ，ｗ２２ ，ｗ２３ ］和Ｗ２ ＝ ［ｗ１ ，ｗ２ ，ｗ３ ］為２ 層之間的權值向量，ｙ 為輸出值。計算過程是輸入向量經過加權、求和、偏置和激活，生成第一層神經元的輸出。該輸出再根據其網絡關系采取類似的算法產生下一層輸出，層層遞進，直至產生最終輸出。常用的激活函數有Ｓｉｇｍｏｉｄ、Ｔａｎｈ 和ＲｅＬＵ 等，訓練算法有梯度下降法［４５］、列文伯格－ 馬夸爾特（ＬｅｖｅｎｂｅｒｇＭａｒｑｕａｒｄｔ，ＬＭ）算法、彈性反相傳播（Ｒｅｓｉｌｉｅｎｔ ｂａｃｋ Ｐｒｏｐａｇａｔｉｏｎ，ＲＰＲＯＰ）算法［４６］等。與ＬＲ 或ＳＶＭ 等傳統算法相比，ＡＮＮ 的結構更具可配置性，可以對各種ＰＵＦ 類型進行建模。

文獻［４７］提出了一種與目標ＰＵＦ 工作原理和電路結構相匹配的ＡＮＮ 模型。以ＦＦ ＡＰＵＦ 為例，其結構如圖１ 所示。圖７ 展示的網絡模型中，以ＦＦ路徑的輸入和輸出為界，將ＦＦ ＡＰＵＦ 的ＭＵＸ 鏈分成３ 段。第一段為ＭＵＸ 鏈的第１ ～ ｉ 級，第二段為ＭＵＸ 鏈的第（ｉ＋１）～ ｊ 級，第三段為其余級。對應的３ 段延遲差為Ｄ［１：ｉ］、Ｄ［ｉ＋１：ｊ］和Ｄ［ｊ＋１：ｎ］，ｎ 為級數。當ＦＦ Ａｒｂｉｔｅｒ 的輸出為０ 時，第１ 段和第２ 段延遲差修正為（－Ｄ［１：ｉ］）、（－Ｄ［ｉ＋１：ｊ］）。將３ 個延遲差作為隱藏層節點，構造了一個３ 層ＡＮＮ 網絡。網絡的輸入為由激勵轉換的熵源（１ ，２ ，…，ｎ），輸出為響應Ｒ。由于專用ＡＮＮ 的復雜度更接近目標ＰＵＦ，與傳統３ 層ＡＮＮ 相比，預測成功率更高。

前饋神經網絡（Ｆｅｅｄｆｏｒｗａｒｄ Ｎｅｕｒａｌ Ｎｅｔｗｏｒｋ，ＦＮＮ）作為一種典型的沒有反饋回路的多層神經網絡，目前已經對ＡＰＵＦ［６］、ＸＯＲ ＡＰＵＦ［２７］、ＬＳ ＰＵＦ［２８］、ＩＰＵＦ［５］和ＭＰＵＦ［１１］等多種ＰＵＦ 成功建模［３０］。

２． ５ ＮＢ

ＮＢ 是以條件獨立性假設為前提的分類方法［４８］。假設輸入是一個特征向量，每個特征是相互獨立的，求各類別在特征向量下的后驗概率，取滿足概率最大值的分類作為最終輸出。在攻擊ＰＵＦ 時，激勵和響應作為ＮＢ 算法的輸入和輸出。通過觀察大量的ＣＲＰ，ＮＢ 可以學習到ＰＵＦ 的結構，并用于預測未知激勵的響應［４９］。與其他算法相比，ＮＢ 在小樣本情況下預測率更高，但輸入特征之間往往存在相關性，進而導致分類效果變差［１５，５０］。

貝葉斯定理表達式為：

式中：Ｘ ＝ ［ｘ１ ，ｘ２ ，…，ｘｎ ］為ｎ 維特征向量，ｙ 為對應的標簽，Ｐ（ｙ）為某一標簽的先驗概率，Ｐ（ｘ１ ，ｘ２ ，…，ｘｎ）為多個特征的聯合概率。

由于各個特征滿足條件獨立性，因此條件概率Ｐ（ｙ ｘ１ ，ｘ２ ，…，ｘｎ）可表示為：

選擇正確程度最高的類別作為分類的結果，判別式為：

針對不同的ＰＵＦ 結構，上述幾種ＭＬ 算法各有優缺點。同一種ＰＵＦ 結構可能被幾種算法都攻破，但性能上存在較大差異。比如，對于ＡＰＵＦ 而言，ＬＲ 速度最快，但對于５-ＸＯＲ ＡＰＵＦ 而言，ＬＲ 用時約１６ ｈ，深度神經網絡（Ｄｅｅｐ Ｎｅｕｒａｌ Ｎｅｔｗｏｒｋ，ＤＮＮ）用時僅３０ ｍｉｎ 左右［３０］，說明ＬＲ 對非線性結構的攻擊難度大。這為算法選取的優先級提供了一定的依據。

幾種ＭＬ 算法對本文ＰＵＦ 的攻擊現狀如表１ 所示。由表１ 可知，雖然隨著ＭＬ 技術的發展，部分改進結構逐漸被攻破，但ＰＵＦ 整體抗ＭＬ 攻擊性能有了明顯提升。

３ 性能評價方法

３． １ 比特預測準確率

比特預測準確率是當前用以評估ＰＵＦ 抗ＭＬ攻擊魯棒性的最常用指標。該指標是指攻擊者預測正確的響應比特數與總響應比特數的百分比。因為每位響應只有０、１ 兩種可能，因此理論值介于５０％ ～ １００％ 。為了直觀地比較不同ＰＵＦ 的抗攻擊性能，可定義Ｆａｂｉｌｉｔｙ 來衡量ＰＵＦ 的抗攻擊能力：

Ｆａｂｉｌｉｔｙ（ｐｎ ） ＝ １／ｔａｎ（π ｐｎ － ０． ５ ）， （６）

式中：ｐｎ 為訓練集數量為ｎ 時的比特預測準確率。當預測準確率為５０％ 時，預測的成功率并不比隨機猜測更高，此時Ｆａｂｉｌｉｔｙ 近似為無窮大，表明ＰＵＦ 的抗攻擊能力很強。

３． ２ 模型熵界和熵密度

Ｍａｅｓ［５１］采用信息論中的定義提出了模型熵界Ｈ（Ｙｎ），即模型中響應序列熵值總和的上限，用來衡量模型的強度。熵界越小，模型的預測能力越強，Ｈ（Ｙｎ）的表達式為：

Ｈ（Ｙｎ ）≤ Σｎｉ ＝ １ｈ（ｐｍｏｄｅｌ（ｉ））， （７）

式中：ｈ（·）為每比特響應的熵，ｐｍｏｄｅｌ（ｉ）為用（ｉ－１）個先前觀測到的響應比特預測第ｉ 比特的平均預測率，預測率越大，熵值越小；Ｙｎ ＝ ［Ｙ１ ，Ｙ２ ，…，Ｙｎ ］為長度為ｎ 的隨機比特向量，Ｙｉ ∈｛０，１｝為隨機變量，ｎ為響應的序列長度。

為了比較模型對不同ＰＵＦ 的預測能力，所有熵界用熵密度ρ（Ｙｎ）表示：

該界限的嚴格性取決于假設模型的強度，界限越嚴格，即熵密度越接近真實響應的熵，模型的預測能力越強。通常，訓練的響應越多，預測率越高，即ｐｍｏｄｅｌ（ｉ）隨ｉ 的增加而增加。因此，ρｍｏｄｅｌ（Ｙｎ ）不是常數，而是取決于ｎ。如果一個模型在用大量觀測到的響應訓練后產生了近乎完美的預測，后續響應將只貢獻噪聲熵。隨著響應數量的增加，熵密度將進一步降低，趨于真實響應的熵。

４ 結束語

ＰＵＦ 的攻擊與防御是相互促進的，新的或優化的ＭＬ 攻擊算法會指導結構的改進。在設計ＰＵＦ時要充分考慮能被ＭＬ 攻破的結構漏洞，同時平衡可靠性、面積、功耗和操作成本等因素，以滿足實際應用需求。未來關于ＰＵＦ 攻擊與防御的研究可能將聚焦于以下幾個方向：

① 提高可靠性。ＰＵＦ 受電壓、溫度和老化等因素影響導致的可靠性下降是制約ＰＵＦ 應用的主要問題。近年來，很多提高ＰＵＦ 可靠性的方法被提出，如可靠性自檢［５２］、博斯－ 查德胡里－ 霍昆格姆（ＢｏｓｅＣｈａｕｄｈｕｒｉＨｏｃｑｕｅｎｇｈｅｍ，ＢＣＨ）糾錯［５３］等。

② 減少硬件開銷。ＰＵＦ 主要應用于輕量級設備，因此對于硬件資源有限的ＰＵＦ 實現載體應盡可能考慮成本效益。可以通過避免引入ｈａｓｈ 散列、ＥＣＣ 糾錯等復雜電路，或者在服務器端糾錯來節省額外開銷。理想的ＰＵＦ 結構是ＰＵＦ 本身占用主體硬件資源，而其他輔助電路小到可以忽略。

③ 建立計算機輔助設計（ＣｏｍｐｕｔｅｒＡｉｄｅｄＤｅｓｉｇｎ，ＣＡＤ）評估框架。對ＰＵＦ 設計者和制造商而言，很難全面準確地評估新的結構設計或對策能否抵抗ＭＬ 和其他類型的攻擊，如文獻［５４］僅支持對ＭＬ 攻擊的魯棒性評估。因此，需要開發ＣＡＤ 框架來評估ＰＵＦ 對所有類型攻擊的魯棒性。

④ 將ＰＵＦ 的概念與加密算法相融合。傳統加密算法的安全性已經過多輪驗證，用ＰＵＦ 響應替代加密算法的密鑰或充當輕量級消息認證碼（ＭｅｓｓａｇｅＡｕｔｈｅｎｔｉｃａｔｉｏｎ Ｃｏｄｅ，ＭＡＣ）［５５］，可以解決密鑰的安全存儲問題。

⑤ 開發新的ＭＬ 攻擊算法。傳統ＭＬ 學習算法對ＰＵＦ 的攻擊已較為成熟。近幾年，一些新的ＭＬ算法如主成分分析（Ｐｒｉｎｃｉｐａｌ Ｃｏｍｐｏｎｅｎｔ Ａｎａｌｙｓｉｓ，ＰＣＡ ）、生成對抗網絡（Ｇｅｎｅｒａｔｉｖｅ ＡｄｖｅｒｓａｒｉａｌＮｅｔｗｏｒｋ，ＧＡＮ）等開始用于ＰＵＦ 建模，未來可以用更多的ＭＬ 算法或結合智能算法對ＰＵＦ 進行攻擊。

參考文獻

［１］ 黃浩，蔡戩，盧列文，等． 促進北斗衛星導航產品認證服務，提升北斗衛星導航產品質量［Ｊ］． 科學技術創新，２０１９（３）：３８－３９．

［２］ 竇志斌，白鶴峰，李文屏，等． 一種衛星網絡中的星地輕量化認證鑒權架構［Ｊ］． 無線電工程，２０２０，５０（４）：２６２－２６８．

［３］ ＰＡＰＰＵ Ｒ，ＲＥＣＨＴ Ｂ，ＴＡＹＬＯＲ Ｊ，ｅｔ ａｌ． Ｐｈｙｓｉｃａｌ ＯｎｅｗａｙＦｕｎｃｔｉｏｎｓ［Ｊ］． Ｓｃｉｅｎｃｅ，２００２，２９７（５５８９）：２０２６－２０３０．

［４］ ＣＨＥＮ Ｑ Ｑ，ＣＳＡＢＡ Ｇ，ＬＵＧＬＩ Ｐ，ｅｔ ａｌ． Ｔｈｅ Ｂｉｓｔａｂｌｅ ＲｉｎｇＰＵＦ：Ａ Ｎｅｗ Ａｒｃｈｉｔｅｃｔｕｒｅ ｆｏｒ Ｓｔｒｏｎｇ Ｐｈｙｓｉｃａｌ ＵｎｃｌｏｎａｂｌｅＦｕｎｃｔｉｏｎｓ［Ｃ］∥２０１１ ＩＥＥＥ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｓｙｍｐｏｓｉｕｍ ｏｎＨａｒｄｗａｒｅＯｒｉｅｎｔｅｄ Ｓｅｃｕｒｉｔｙ ａｎｄ Ｔｒｕｓｔ （ＨＯＳＴ ）． ＳａｎＤｉｅｇｏ：ＩＥＥＥ，２０１１：１３４－１４１．

［５］ ＮＧＵＹＥＮ Ｐ Ｈ，ＳＡＨＯＯ Ｄ Ｐ，ＪＩＮ Ｃ Ｌ，ｅｔ ａｌ． Ｔｈｅ ＩｎｔｅｒｐｏｓｅＰＵＦ：Ｓｅｃｕｒｅ ＰＵＦ Ｄｅｓｉｇｎ Ａｇａｉｎｓｔ Ｓｔａｔｅｏｆｔｈｅａｒｔ ＭａｃｈｉｎｅＬｅａｒｎｉｎｇ Ａｔｔａｃｋｓ ［Ｊ ］． Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ ＣｒｙｐｔｏｇｒａｐｈｉｃＨａｒｄｗａｒｅ ａｎｄ Ｅｍｂｅｄｄｅｄ Ｓｙｓｔｅｍｓ，２０１９（４）：２４３－２９０．

［６］ ＬＥＥ Ｊ Ｗ，ＬＩＭ Ｄ，ＧＡＳＳＥＮＤ Ｂ，ｅｔ ａｌ． Ａ Ｔｅｃｈｎｉｑｕｅ ｔｏＢｕｉｌｄ ａ Ｓｅｃｒｅｔ Ｋｅｙ ｉｎ Ｉｎｔｅｇｒａｔｅｄ Ｃｉｒｃｕｉｔｓ ｆｏｒ Ｉｄｅｎｔｉｆｉｃａｔｉｏｎａｎｄ Ａｕｔｈｅｎｔｉｃａｔｉｏｎ Ａｐｐｌｉｃａｔｉｏｎｓ ［Ｃ］∥ ２００４ Ｓｙｍｐｏｓｉｕｍｏｎ ＶＬＳＩ Ｃｉｒｃｕｉｔｓ． Ｄｉｇｅｓｔ ｏｆ Ｔｅｃｈｎｉｃａｌ Ｐａｐｅｒｓ． Ｈｏｎｏｌｕｌｕ：ＩＥＥＥ，２００４：１７６－１７９．

［７］ ＲＨＲＭＡＩＲ Ｕ，ＳＥＨＮＫＥ Ｆ，Ｓ？ＬＴＥＲ Ｊ，ｅｔ ａｌ． ＭｏｄｅｌｉｎｇＡｔｔａｃｋｓ ｏｎ Ｐｈｙｓｉｃａｌ Ｕｎｃｌｏｎａｂｌｅ Ｆｕｎｃｔｉｏｎｓ［Ｃ］∥Ｐｒｏｃｅｅｄｉｎｇｓ ｏｆ ｔｈｅ １７ｔｈ ＡＣＭ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｃｏｍｐｕｔｅｒ ａｎｄ Ｃｏｍｍｕｎｉｃａｔｉｏｎｓ Ｓｅｃｕｒｉｔｙ． Ｎｅｗ Ｙｏｒｋ：ＡＣＭ，２０１０：２３７－２４９．

［８］ ＬＡＯ Ｙ Ｊ，ＰＡＲＨＩ Ｋ Ｋ． Ｒｅｃｏｎｆｉｇｕｒａｂｌｅ Ａｒｃｈｉｔｅｃｔｕｒｅｓ ｆｏｒＳｉｌｉｃｏｎ Ｐｈｙｓｉｃａｌ Ｕｎｃｌｏｎａｂｌｅ Ｆｕｎｃｔｉｏｎｓ［Ｃ］∥２０１１ ＩＥＥＥＩｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｅｌｅｃｔｒｏ ／ Ｉｎｆｏｒｍａｔｉｏｎ Ｔｅｃｈｎｏｌｏｇｙ． Ｍａｎｋａｔｏ：ＩＥＥＥ，２０１１：１－７．

［９］ ＮＯＺＡＫＩ Ｙ，ＹＯＳＨＩＫＡＷＡ Ｍ． Ｐｏｗｅｒ Ｃｏｎｓｕｍｐｔｉｏｎ ＡｗａｒｅＭａｃｈｉｎｅ Ｌｅａｒｎｉｎｇ Ａｔｔａｃｋ ｆｏｒ Ｆｅｅｄｆｏｒｗａｒｄ Ａｒｂｉｔｅｒ ＰＵＦ［Ｃ］∥Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｃｏｍｐｕｔｅｒ ａｎｄ Ｉｎｆｏｒｍａｔｉｏｎ Ｓｃｉｅｎｃｅ （ＩＣＩＳ ２０１８ ）． Ｓｉｎｇａｐｏｒｅ：Ｓｐｒｉｎｇｅｒ，２０１８：４９－６２．

［１０］ ＡＶＶＡＲＵ Ｓ Ｖ Ｓ，ＺＥＮＧ Ｚ Ｑ，ＰＡＲＨＩ Ｋ Ｋ． Ｈｏｍｏｇｅｎｅｏｕｓａｎｄ Ｈｅｔｅｒｏｇｅｎｅｏｕｓ Ｆｅｅｄｆｏｒｗａｒｄ ＸＯＲ Ｐｈｙｓｉｃａｌ ＵｎｃｌｏｎａｂｌｅＦｕｎｃｔｉｏｎｓ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｉｎｆｏｒｍａｔｉｏｎ Ｆｏｒｅｎｓｉｃｓａｎｄ Ｓｅｃｕｒｉｔｙ，２０２０，１５：２４８５－２４９８．

［１１］ ＳＡＨＯＯ Ｄ Ｐ，ＭＵＫＨＯＰＡＤＨＹＡＹ Ｄ，ＣＨＡＫＲＡＢＯＲＴＹ ＲＳ，ｅｔ ａｌ． Ａ Ｍｕｌｔｉｐｌｅｘｅｒｂａｓｅｄ Ａｒｂｉｔｅｒ ＰＵＦ Ｃｏｍｐｏｓｉｔｉｏｎｗｉｔｈ Ｅｎｈａｎｃｅｄ Ｒｅｌｉａｂｉｌｉｔｙ ａｎｄ Ｓｅｃｕｒｉｔｙ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｃｏｍｐｕｔｅｒｓ，２０１７，６７（３）：４０３－４１７．

［１２］ 翟官寶，汪鵬君，李剛，等． 混合型抗機器學習攻擊的強ＰＵＦ 電路設計［Ｊ］． 華東理工大學學報（自然科學版），２０２２，４９（６）：８５４－８６１．

［１３］ ＸＵ Ｃ Ｙ，ＺＨＡＮＧ Ｌ Ｔ，ＬＡＷ Ｍ Ｋ，ｅｔ ａｌ． Ｍｏｄｅｌｉｎｇ ＡｔｔａｃｋＲｅｓｉｓｔａｎｔ Ｓｔｒｏｎｇ ＰＵＦ Ｅｘｐｌｏｉｔｉｎｇ Ｓｔａｇｅｗｉｓｅ Ｏｂｆｕｓｃａｔｅｄ Ｉｎｔｅｒｃｏｎｎｅｃｔｉｏｎｓ ｗｉｔｈ Ｉｍｐｒｏｖｅｄ Ｒｅｌｉａｂｉｌｉｔｙ［Ｊ］． ＩＥＥＥ Ｉｎｔｅｒｎｅｔｏｆ Ｔｈｉｎｇｓ Ｊｏｕｒｎａｌ，２０２３，１０（１８）：１６３００－１６３１５．

［１４］ ＳＡＨＯＯ Ｄ Ｐ，ＳＡＨＡ Ｓ，ＭＵＫＨＯＰＡＤＨＹＡＹ Ｄ，ｅｔ ａｌ．Ｃｏｍｐｏｓｉｔｅ ＰＵＦ：Ａ Ｎｅｗ Ｄｅｓｉｇｎ Ｐａｒａｄｉｇｍ ｆｏｒ ＰｈｙｓｉｃａｌｌｙＵｎｃｌｏｎａｂｌｅ Ｆｕｎｃｔｉｏｎｓ ｏｎ ＦＰＧＡ［Ｃ］∥２０１４ ＩＥＥＥ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｓｙｍｐｏｓｉｕｍ ｏｎ ＨａｒｄｗａｒｅＯｒｉｅｎｔｅｄ Ｓｅｃｕｒｉｔｙ ａｎｄＴｒｕｓｔ （ＨＯＳＴ）． Ａｒｌｉｎｇｔｏｎ：ＩＥＥＥ，２０１４：５０－５５．

［１５］ 方越． 強ＰＵＦ 安全性分析及抗模型攻擊策略［Ｄ］． 南京：南京航空航天大學，２０２０．

［１６］ ＷＵ Ｑ，ＺＨＡＮＧ Ｊ Ｌ． ＣＴ ＰＵＦ：Ｃｏｎｆｉｇｕｒａｂｌｅ Ｔｒｉｓｔａｔｅ ＰＵＦＡｇａｉｎｓｔ Ｍａｃｈｉｎｅ Ｌｅａｒｎｉｎｇ Ａｔｔａｃｋｓ［Ｃ］∥２０２０ ＩＥＥＥ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｓｙｍｐｏｓｉｕｍ ｏｎ Ｃｉｒｃｕｉｔｓ ａｎｄ Ｓｙｓｔｅｍｓ （ＩＳＣＡＳ）．Ｓｅｖｉｌｌｅ：ＩＥＥＥ，２０２０：１－５．

［１７］ 汪鵬君，連佳娜，陳博． 基于序列密碼的強ＰＵＦ 抗機器學習攻擊方法［Ｊ］． 電子與信息學報，２０２１，４３ （９）：２４７４－２４８１．

［１８］ ＺＨＡＮＧ Ｊ Ｌ，ＳＨＥＮ Ｃ Ｑ． Ｓｅｔｂａｓｅｄ Ｏｂｆｕｓｃａｔｉｏｎ ｆｏｒ ＳｔｒｏｎｇＰＵＦｓ Ａｇａｉｎｓｔ Ｍａｃｈｉｎｅ Ｌｅａｒｎｉｎｇ Ａｔｔａｃｋｓ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｃｉｒｃｕｉｔｓ ａｎｄ Ｓｙｓｔｅｍｓ Ｉ：Ｒｅｇｕｌａｒ Ｐａｐｅｒｓ，２０２０，６８（１）：２８８－３００．

［１９］ ＹＥ Ｊ，ＨＵ Ｙ，ＬＩ Ｘ Ｗ． ＲＰＵＦ：Ｐｈｙｉｃａｌ Ｕｎｃｌｏｎａｂｌｅ Ｆｕｎｃｔｉｏｎｗｉｔｈ Ｒａｎｄｏｍｉｚｅｄ Ｃｈａｌｌｅｎｇｅ ｔｏ Ｒｅｓｉｓｔ Ｍｏｄｅｌｉｎｇ Ａｔｔａｃｋ［Ｃ］∥２０１６ ＩＥＥＥ Ａｓｉａｎ ＨａｒｄｗａｒｅＯｒｉｅｎｔｅｄ Ｓｅｃｕｒｉｔｙ ａｎｄ Ｔｒｕｓｔ（ＡｓｉａｎＨＯＳＴ）． Ｙｉｌａｎ：ＩＥＥＥ，２０１６：１－６．

［２０］ ＭＡＪＺＯＯＢＩ Ｍ，ＲＯＳＴＡＭＩ Ｍ，ＫＯＵＳＨＡＮＦＡＲ Ｆ，ｅｔ ａｌ．Ｓｌｅｎｄｅｒ ＰＵＦ Ｐｒｏｔｏｃｏｌ：Ａ Ｌｉｇｈｔｗｅｉｇｈｔ，Ｒｏｂｕｓｔ，ａｎｄ ＳｅｃｕｒｅＡｕｔｈｅｎｔｉｃａｔｉｏｎ ｂｙ Ｓｕｂｓｔｒｉｎｇ Ｍａｔｃｈｉｎｇ ［Ｃ］∥ ２０１２ ＩＥＥＥＳｙｍｐｏｓｉｕｍ ｏｎ Ｓｅｃｕｒｉｔｙ ａｎｄ Ｐｒｉｖａｃｙ Ｗｏｒｋｓｈｏｐｓ． Ｓａｎ Ｆｒａｎｃｉｓｃｏ：ＩＥＥＥ，２０１２：３３－４４．

［２１］ ＢＥＫＥＲ Ｇ Ｔ． Ｏｎ ｔｈｅ Ｐｉｔｆａｌｌｓ ｏｆ Ｕｓｉｎｇ ＡｒｂｉｔｅｒＰＵＦｓ ａｓＢｕｉｌｄｉｎｇ Ｂｌｏｃｋｓ ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｃｏｍｐｕｔｅｒａｉｄｅｄ Ｄｅｓｉｇｎ ｏｆ Ｉｎｔｅｇｒａｔｅｄ Ｃｉｒｃｕｉｔｓ ａｎｄ Ｓｙｓｔｅｍｓ，２０１５，３４（８）：１２９５－１３０７．

［２２］ ＤＥＬＶＡＵＸ Ｊ． Ｍａｃｈｉｎｅｌｅａｒｎｉｎｇ Ａｔｔａｃｋｓ ｏｎ ＰｏｌｙＰＵＦｓ，ＯＢＰＵＦｓ，ＲＰＵＦｓ，ＬＨＳＰＵＦｓ，ａｎｄ ＰＵＦＦＳＭｓ［Ｊ］． ＩＥＥＥＴｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｉｎｆｏｒｍａｔｉｏｎ Ｆｏｒｅｎｓｉｃｓ ａｎｄ Ｓｅｃｕｒｉｔｙ，２０１９，１４（８）：２０４３－２０５８．

［２３］ ＷＡＮＧ Ｙ Ｌ，ＷＡＮＧ Ｃ Ｈ，ＧＵ Ｃ Ｙ，ｅｔ ａｌ． Ａ Ｇｅｎｅｒｉｃ Ｄｙｎａｍｉｃ Ｒｅｓｐｏｎｄｉｎｇ Ｍｅｃｈａｎｉｓｍ ａｎｄ Ｓｅｃｕｒｅ ＡｕｔｈｅｎｔｉｃａｔｉｏｎＰｒｏｔｏｃｏｌ ｆｏｒ Ｓｔｒｏｎｇ ＰＵＦｓ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ ＶｅｒｙＬａｒｇｅ Ｓｃａｌｅ Ｉｎｔｅｇｒａｔｉｏｎ （ＶＬＳＩ）Ｓｙｓｔｅｍｓ，２０２２，３０ （９）：１２５６－１２６８．

［２４］ ＧＡＳＳＥＮＤ Ｂ，ＣＬＡＲＫＥ Ｄ，ＤＩＪＫ Ｍ Ｖ，ｅｔ ａｌ． ＣｏｎｔｒｏｌｌｅｄＰｈｙｓｉｃａｌ Ｒａｎｄｏｍ Ｆｕｎｃｔｉｏｎｓ［Ｃ］∥１８ｔｈ Ａｎｎｕａｌ ＣｏｍｐｕｔｅｒＳｅｃｕｒｉｔｙ Ａｐｐｌｉｃａｔｉｏｎｓ Ｃｏｎｆｅｒｅｎｃｅ． Ｌａｓ Ｖｅｇａｓ：ＩＥＥＥ，２００２：１４９－１６０．

［２５］ ＧＡＯ Ｙ Ｓ，ＭＡ Ｈ，ＡＬＳＡＲＡＷＩ Ｓ Ｆ，ｅｔ ａｌ． ＰＵＦＦＳＭ：ＡＣｏｎｔｒｏｌｌｅｄ Ｓｔｒｏｎｇ ＰＵＦ ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ ＣｏｍｐｕｔｅｒＡｉｄｅｄ Ｄｅｓｉｇｎ ｏｆ Ｉｎｔｅｇｒａｔｅｄ Ｃｉｒｃｕｉｔｓ ａｎｄ Ｓｙｓｔｅｍｓ，２０１７，３７（５）：１１０４－１１０８．

［２６］ ＺＨＯＵ Ｚ Ｙ，ＬＩ Ｇ，ＷＡＮＧ Ｐ Ｊ，ｅｔ ａｌ． Ｍａｔｒｉｘ Ｅｎｃｒｙｐｔｉｏｎｂａｓｅｄ Ａｎｔｉｍａｃｈｉｎｅ Ｌｅａｒｎｉｎｇ Ａｔｔａｃｋ Ａｌｇｏｒｉｔｈｍ ｆｏｒ ＳｔｒｏｎｇＰＵＦ［Ｃ］∥２０２１ ＩＥＥＥ １４ｔｈ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎＡＳＩＣ （ＡＳＩＣＯＮ）． Ｋｕｎｍｉｎｇ：ＩＥＥＥ，２０２１：１－４．

［２７］ ＳＵＨ Ｇ Ｅ，ＤＥＶＡＤＡＳ Ｓ． Ｐｈｙｓｉｃａｌ Ｕｎｃｌｏｎａｂｌｅ Ｆｕｎｃｔｉｏｎｓｆｏｒ Ｄｅｖｉｃｅ Ａｕｔｈｅｎｔｉｃａｔｉｏｎ ａｎｄ Ｓｅｃｒｅｔ Ｋｅｙ Ｇｅｎｅｒａｔｉｏｎ［Ｃ］∥２００７ ４４ｔｈ ＡＣＭ ／ ＩＥＥＥ Ｄｅｓｉｇｎ Ａｕｔｏｍａｔｉｏｎ Ｃｏｎｆｅｒｅｎｃｅ．Ｓａｎ Ｄｉｅｇｏ：ＩＥＥＥ，２００７：９－１４．

［２８］ ＭＡＪＺＯＯＢＩ Ｍ，ＫＯＵＳＨＡＮＦＡＲ Ｆ，ＰＯＴＫＯＮＪＡＫ Ｍ．Ｌｉｇｈｔｗｅｉｇｈｔ Ｓｅｃｕｒｅ ＰＵＦｓ［Ｃ］∥２００８ ＩＥＥＥ ／ ＡＣＭ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ ＣｏｍｐｕｔｅｒＡｉｄｅｄ Ｄｅｓｉｇｎ． Ｓａｎ Ｊｏｓｅ：ＩＥＥＥ，２００８：６７０－６７３．

［２９］ 沈娟娟． 基于ＦＰＧＡ 的ＰＵＦ 結構設計及ＲＮＧ 應用分析［Ｄ］． 哈爾濱：黑龍江大學，２０２２．

［３０］ ＳＡＮＴＩＫＥＬＬＵＲ Ｐ，ＢＨＡＴＴＡＣＨＡＲＹＡＹ Ａ，ＣＨＡＫＲＡＢＯＲＴＹＲ Ｓ． Ｄｅｅｐ Ｌｅａｒｎｉｎｇ Ｂａｓｅｄ Ｍｏｄｅｌ Ｂｕｉｌｄｉｎｇ Ａｔｔａｃｋｓ ｏｎ Ａｒｂｉｔｅｒ ＰＵＦ Ｃｏｍｐｏｓｉｔｉｏｎｓ ［ＥＢ ／ ＯＬ］． ［２０２３ － ０６ － ２０ ］．ｈｔｔｐｓ：∥ｅｐｒｉｎｔ． ｉａｃｒ． ｏｒｇ ／ ２０１９ ／ ５６６． ｐｄｆ．

［３１］ ＳＡＮＴＩＫＥＬＬＵＲ Ｐ，ＣＨＡＫＲＡＢＯＲＴＹ Ｒ Ｓ． Ａ Ｃｏｍｐｕｔａｔｉｏｎａｌｌｙ Ｅｆｆｉｃｉｅｎｔ Ｔｅｎｓｏｒ Ｒｅｇｒｅｓｓｉｏｎ Ｎｅｔｗｏｒｋｂａｓｅｄ Ｍｏｄｅｌｉｎｇ Ａｔｔａｃｋ ｏｎ ＸＯＲ Ａｒｂｉｔｅｒ ＰＵＦ ａｎｄ Ｉｔｓ Ｖａｒｉａｎｔｓ［Ｊ］．ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ ＣｏｍｐｕｔｅｒＡｉｄｅｄ Ｄｅｓｉｇｎ ｏｆ ＩｎｔｅｇｒａｔｅｄＣｉｒｃｕｉｔｓ ａｎｄ Ｓｙｓｔｅｍｓ，２０２０，４０（６）：１１９７－１２０６．

［３２］ ＷＩＳＩＯＬ Ｎ，ＰＩＲＮＡＹ Ｎ． Ｓｈｏｒｔ Ｐａｐｅｒ：ＸＯＲ Ａｒｂｉｔｅｒ ＰＵＦｓＨａｖｅ Ｓｙｓｔｅｍａｔｉｃ Ｒｅｓｐｏｎｓｅ Ｂｉａｓ［Ｃ］∥ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｆｉｎａｎｃｉａｌ Ｃｒｙｐｔｏｇｒａｐｈｙ ａｎｄ Ｄａｔａ Ｓｅｃｕｒｉｔｙ． ＫｏｔａＫｉｎａｂａｌｕ：Ｓｐｒｉｎｇｅｒ，２０２０：５０－５７．

［３３］ 黃蕓． 抵抗機器學習攻擊的強ＰＵＦ 防御技術研究［Ｄ］． 長沙：湖南大學，２０２１．

［３４］ ＥＢＲＡＨＩＭＡＢＡＤＩ Ｍ，ＹＯＵＮＩＳ Ｍ，ＬＡＬＯＵＡＮＩ Ｗ，ｅｔ ａｌ． ＡＮｏｖｅｌ Ｍｏｄｅｌｉｎｇａｔｔａｃｋ Ｒｅｓｉｌｉｅｎｔ ＡｒｂｉｔｅｒＰＵＦ Ｄｅｓｉｇｎ［Ｃ］∥２０２１ ３４ｔｈ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ ＶＬＳＩ Ｄｅｓｉｇｎ ａｎｄ２０２１ ２０ｔｈ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｅｍｂｅｄｄｅｄ Ｓｙｓｔｅｍｓ（ＶＬＳＩＤ）． Ｇｕｗａｈａｔｉ：ＩＥＥＥ，２０２１：１２３－１２８．

［３５］ ＲＨＲＭＡＩＲ Ｕ，Ｓ？ＬＴＥＲ Ｊ，ＳＥＨＮＫＥ Ｆ，ｅｔ ａｌ． ＰＵＦ Ｍｏｄｅｌｉｎｇ Ａｔｔａｃｋｓ ｏｎ Ｓｉｍｕｌａｔｅｄ ａｎｄ Ｓｉｌｉｃｏｎ Ｄａｔａ ［Ｊ］． ＩＥＥＥＴｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｉｎｆｏｒｍａｔｉｏｎ Ｆｏｒｅｎｓｉｃｓ ａｎｄ Ｓｅｃｕｒｉｔｙ，２０１３，８（１１）：１８７６－１８９１．

［３６］ 張學工． 關于統計學習理論與支持向量機［Ｊ］． 自動化學報，２０００，２６（１）：３２－４２．

［３７］ 王國勝，鐘義信． 支持向量機的理論基礎———統計學習理論［Ｊ］． 計算機工程與應用，２００１（１９）：１９－２０．

［３８］ ＬＩＭ Ｄ，ＬＥＥ Ｊ Ｗ，ＧＡＳＳＥＮＤ Ｂ，ｅｔ ａｌ． Ｅｘｔｒａｃｔｉｎｇ ＳｅｃｒｅｔＫｅｙｓ ｆｒｏｍ Ｉｎｔｅｇｒａｔｅｄ Ｃｉｒｃｕｉｔｓ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎｖｅｒｙ Ｌａｒｇｅ Ｓｃａｌｅ Ｉｎｔｅｇｒａｔｉｏｎ （ＶＬＳＩ） Ｓｙｓｔｅｍｓ，２００５，１３（１０）：１２００－１２０５．

［３９］ ＫＨＡＬＡＦＡＬＬＡ Ｍ，ＧＥＢＯＴＹＳ Ｃ． ＰＵＦｓ Ｄｅｅｐ Ａｔｔａｃｋｓ：Ｅｎｈａｎｃｅｄ Ｍｏｄｅｌｉｎｇ Ａｔｔａｃｋｓ Ｕｓｉｎｇ Ｄｅｅｐ Ｌｅａｒｎｉｎｇ Ｔｅｃｈｎｉｑｕｅｓｔｏ Ｂｒｅａｋ ｔｈｅ Ｓｅｃｕｒｉｔｙ ｏｆ Ｄｏｕｂｌｅ Ａｒｂｉｔｅｒ ＰＵＦｓ［Ｃ］∥２０１９Ｄｅｓｉｇｎ，Ａｕｔｏｍａｔｉｏｎ ＆ Ｔｅｓｔ ｉｎ Ｅｕｒｏｐｅ Ｃｏｎｆｅｒｅｎｃｅ ＆ Ｅｘｈｉｂｉｔｉｏｎ （ＤＡＴＥ）． Ｆｌｏｒｅｎｃｅ：ＩＥＥＥ，２０１９：２０４－２０９．

［４０］ Ｓ？ＬＴＥＲ Ｊ． Ｃｒｙｐｔａｎａｌｙｓｉｓ ｏｆ Ｅｌｅｃｔｒｉｃａｌ ＰＵＦｓ Ｖｉａ ＭａｃｈｉｎｅＬｅａｒｎｉｎｇ Ａｌｇｏｒｉｔｈｍｓ ［Ｄ ］． Ｍｕｎｉｃｈ：Ｍｕｎｉｃｈ ＴｅｃｈｎｉｑｕｅＵｎｉｖｅｒｓｉｔｙ，２００９．

［４１］ ＳＡＨＯＯ Ｓ Ｒ，ＫＵＭＡＲ Ｋ Ｓ，ＭＡＨＡＰＡＴＲＡ Ｋ． Ａ ＮｏｖｅｌＣｕｒｒｅｎｔ Ｃｏｎｔｒｏｌｌｅｄ Ｃｏｎｆｉｇｕｒａｂｌｅ ＲＯ ＰＵＦ ｗｉｔｈ ＩｍｐｒｏｖｅｄＳｅｃｕｒｉｔｙ Ｍｅｔｒｉｃｓ［Ｊ］． Ｉｎｔｅｇｒａｔｉｏｎ，２０１７，５８：４０１－４１０．

［４２］ ＨＡＮＳＥＮ Ｎ． Ｔｈｅ ＣＭＡ Ｅｖｏｌｕｔｉｏｎ Ｓｔｒａｔｅｇｙ：Ａ ＣｏｍｐａｒｉｎｇＲｅｖｉｅｗ ［Ｊ］． Ｓｔｕｄｉｅｓ ｉｎ Ｆｕｚｚｉｎｅｓｓ ａｎｄ Ｓｏｆｔ Ｃｏｍｐｕｔｉｎｇ，２００６，１９２：７５－１０２．

［４３］ ＳＣＨＷＥＦＥＬ Ｈ Ｐ Ｐ． Ｅｖｏｌｕｔｉｏｎ ａｎｄ Ｏｐｔｉｍｕｍ Ｓｅｅｋｉｎｇ：ＴｈｅＳｉｘｔｈ Ｇｅｎｅｒａｔｉｏｎ ［Ｍ］． Ｎｅｗ Ｙｏｒｋ：Ｊｏｈｎ Ｗｉｌｅｙ ＆ Ｓｏｎｓ，Ｉｎｃ． ，１９９３．

［４４］ ＨＯＲＮＩＫ Ｋ． Ａｐｐｒｏｘｉｍａｔｉｏｎ Ｃａｐａｂｉｌｉｔｉｅｓ ｏｆ ＭｕｌｔｉｌａｙｅｒＦｅｅｄｆｏｒｗａｒｄ Ｎｅｔｗｏｒｋｓ［Ｊ］． Ｎｅｕｒａｌ Ｎｅｔｗｏｒｋｓ，１９９１，４（２）：２５１－２５７．

［４５］ ＲＵＤＥＲ Ｓ． Ａｎ Ｏｖｅｒｖｉｅｗ ｏｆ Ｇｒａｄｉｅｎｔ Ｄｅｓｃｅｎｔ ＯｐｔｉｍｉｚａｔｉｏｎＡｌｇｏｒｉｔｈｍｓ［ＥＢ ／ ＯＬ］． （２０１６－０９－１５）［２０２３－０６－２８］．ｈｔｔｐｓ：∥ａｒｘｉｖ． ｏｒｇ ／ ａｂｓ ／ １６０９． ０４７４７．

［４６］ ＲＩＥＤＭＩＬＬＥＲ Ｍ，ＢＲＡＵＮ Ｈ． Ａ Ｄｉｒｅｃｔ Ａｄａｐｔｉｖｅ Ｍｅｔｈｏｄｆｏｒ Ｆａｓｔｅｒ Ｂａｃｋｐｒｏｐａｇａｔｉｏｎ Ｌｅａｒｎｉｎｇ：Ｔｈｅ ＲＰＲＯＰ Ａｌｇｏｒｉｔｈｍ［Ｃ］∥ＩＥＥＥ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｎｅｕｒａｌ Ｎｅｔｗｏｒｋｓ．Ｓａｎ Ｆｒａｎｃｉｓｃｏ：ＩＥＥＥ，１９９３：５８６－５９１．

［４７］ ＣＨＥＮ Ｙ Ｌ，ＣＵＩ Ｘ Ｌ，ＬＩＵ Ｙ，ｅｔ ａｌ． Ａｎ Ｅｖａｌｕａｔｉｏｎ Ｍｅｔｈｏｄｏｆ ｔｈｅ Ａｎｔｉｍｏｄｅｌｉｎｇａｔｔａｃｋ Ｃａｐａｂｉｌｉｔｙ ｏｆ ＰＵＦｓ［Ｊ］． ＩＥＥＥＴｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｉｎｆｏｒｍａｔｉｏｎ Ｆｏｒｅｎｓｉｃｓ ａｎｄ Ｓｅｃｕｒｉｔｙ，２０２３，１８：１７７３－１７８８．

［４８］ ＮＡＲＡＹＡＮＡＮ Ｖ，ＡＲＯＲＡ Ｉ，ＢＨＡＴＩＡ Ａ． Ｆａｓｔ ａｎｄＡｃｃｕｒａｔｅ Ｓｅｎｔｉｍｅｎｔ Ｃｌａｓｓｉｆｉｃａｔｉｏｎ Ｕｓｉｎｇ ａｎ ＥｎｈａｎｃｅｄＮａｉｖｅ Ｂａｙｅｓ Ｍｏｄｅｌ ［ＥＢ ／ ＯＬ］． （２０１３ － ０５ － ２７）［２０２３ －０６－２８］． ｈｔｔｐｓ：∥ａｒｘｉｖ． ｏｒｇ ／ ａｂｓ ／ １３０５． ６１４３．

［４９］ ＦＡＮＧ Ｙ，ＷＡＮＧ Ｃ Ｈ，ＭＡ Ｑ Ｑ，ｅｔ ａｌ． Ａｔｔａｃｋｉｎｇ ＡｒｂｉｔｅｒＰＵＦｓ Ｕｓｉｎｇ Ｖａｒｉｏｕｓ Ｍｏｄｅｌｉｎｇ Ａｔｔａｃｋ Ａｌｇｏｒｉｔｈｍｓ：Ａ Ｃｏｍｐａｒａｔｉｖｅ Ｓｔｕｄｙ［Ｃ］∥２０１８ ＩＥＥＥ Ａｓｉａ Ｐａｃｉｆｉｃ Ｃｏｎｆｅｒｅｎｃｅｏｎ Ｃｉｒｃｕｉｔｓ ａｎｄ Ｓｙｓｔｅｍｓ （ＡＰＣＣＡＳ ）． Ｃｈｅｎｇｄｕ：ＩＥＥＥ，２０１８：３９４－３９７．

［５０］ 馬雪嬌，李剛． 基于人工神經網絡特征向量提取的ＦＦＡＰＵＦ 攻擊方法［Ｊ］． 電子與信息學報，２０２１，４３ （９）：２４９８－２５０７．

［５１］ ＭＡＥＳ Ｒ． Ｐｈｙｓｉｃａｌｌｙ Ｕｎｃｌｏｎａｂｌｅ Ｆｕｎｃｔｉｏｎｓ：Ｃｏｎｓｔｒｕｃｔｉｏｎｓ，Ｐｒｏｐｅｒｔｉｅｓ ａｎｄ Ａｐｐｌｉｃａｔｉｏｎｓ［Ｍ］． Ｌｏｕｖｅｎ：Ｓｐｒｉｎｇｅｒ Ｓｃｉｅｎｃｅ＆ Ｂｕｓｉｎｅｓｓ Ｍｅｄｉａ，２０１３．

［５２］ 賀章擎，馬丹，魯\"，等． 一種基于ＳＲ ＰＵＦ 的可靠性自檢和可靠響應去偏方法：ＣＮ２０２２１０１６３１４１． Ｘ ［Ｐ ］．２０２２－０６－２８．

［５３］ 張家梁，宋賀倫． 一種基于ＢＣＨ 算法的ＳＲＡＭ ＰＵＦ 芯片的設計、測試與分析［Ｊ］． 電子測量技術，２０２１，４４（６）：２８－３５．

［５４］ ＣＨＡＴＴＥＲＪＥＥ Ｄ，ＭＵＫＨＯＰＡＤＨＹＡＹ Ｄ，ＨＡＺＲＡ Ａ．ＰＵＦＧ：Ａ ＣＡＤ Ｆｒａｍｅｗｏｒｋ ｆｏｒ Ａｕｔｏｍａｔｅｄ Ａｓｓｅｓｓｍｅｎｔ ｏｆＰｒｏｖａｂｌｅ Ｌｅａｒｎａｂｉｌｉｔｙ ｆｒｏｍ Ｆｏｒｍａｌ ＰＵＦ Ｒｅｐｒｅｓｅｎｔａｔｉｏｎｓ［Ｃ］∥２０２０ ＩＥＥＥ／ ＡＣＭ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｃｏｍｐｕｔｅｒ Ａｉｄｅｄ Ｄｅｓｉｇｎ （ＩＣＣＡＤ）． Ｓａｎ Ｄｉｅｇｏ：ＩＥＥＥ，２０２０：１－９．

［５５］ ＱＵＲＥＳＨＩ Ｍ Ａ，ＭＵＮＩＲ Ａ． ＰＵＦＲＡＫＥ：Ａ ＰＵＦｂａｓｅｄＲｏｂｕｓｔ ａｎｄ Ｌｉｇｈｔｗｅｉｇｈｔ Ａｕｔｈｅｎｔｉｃａｔｉｏｎ ａｎｄ Ｋｅｙ Ｅｓｔａｂｌｉｓｈｍｅｎｔ Ｐｒｏｔｏｃｏｌ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｄｅｐｅｎｄａｂｌｅ ａｎｄＳｅｃｕｒｅ Ｃｏｍｐｕｔｉｎｇ，２０２２，１９（４）：２４５７－２４７５．

作者簡介

寇瑜萍 女，（１９９６—），碩士研究生。主要研究方向：硬件安全。

鄧 丁 男，（１９９３—），博士，講師。主要研究方向：硬件安全。

歐 鋼 男，（１９６９—），博士，教授，博士生導師。主要研究方向：星基導航與定位技術。

黃仰博 男，（１９８０—），博士，副研究員。主要研究方向：星基導航與定位技術。

（*通信作者）牟衛華 男，（１９７９—），博士，優聘研究員，碩士生導師。主要研究方向：導航與時空技術。

基金項目：湖南省自然科學基金（２０２２ＪＪ３０６６９）