CN114928454A - Crp混淆电路及数据混淆方法 - Google Patents

Abstract

本发明公开了一种CRP混淆电路及数据混淆方法，包括LFSR，LFSR包括n个寄存器；第1个寄存器的输入为第n个寄存器的输出；第j个寄存器的输入为第j‑1个异或门的输出；j＝2,3,……,n；第j‑1个异或门的第一输入为第j‑2个寄存器的输出，至少一个异或门的第二输入为第一与非门的输出，其余异或门的第二输入为第i个与门的输出；2≤i≤n‑1；第j‑1个与门的第一输入为反馈系数g_1,i‑1，第二输入为第n个寄存器的输出；第一与非门的第一输入为第二与非门的输出，第二输入为仲裁器PUF输出的实时响应信号；第二与非门的第一输入为第n个寄存器的输出，第二输入为1；所有寄存器在第t个时钟周期的输出

均输入所述仲裁器PUF。本发明降低了硬件开销。

Description

CRP混淆电路及数据混淆方法

技术领域

本发明涉及CRP混淆技术，特别是一种CRP混淆电路及数据混淆方法。

背景技术

近年来随着物联网技术，人工智能，大数据，云计算等技术的兴起，低成本和资源受限的物联网节点、移动设备和嵌入式设备数量呈爆炸式增长。但对于这些设备的安全措施方案却很少甚至完全不在设计制造者的考虑范围内。最初传统观念认为即使攻击者通过这些端点设备采集到的信息也不会造成危害。物联网有望支持与工业自动化、交通安全、智能交通、智能电网、电子医疗等相关的关键安全服务。低端设备通过物联网访问的大量的信息，这也给攻击者提供了更为广阔的攻击场景。因此随着物联网规模不断扩大，物联网安全事件频出，安全问题成为制约物联网可持续发展的重要因素，这也逐渐引起了学术界和产业界的高度重视。

然而安全领域被广泛应用的基于密码的安全机制往往需要高计算复杂度的加解密算法和高成本的密钥存储技术。大多数物联网节点设备的中央处理器(CPU)、内存和电池电源资源都很有限，这些设备必须将大部分可用资源用于执行核心应用程序功能，而几乎无法承担复杂的密码算法、密钥存储和保护机制所需的高硬件和功耗开销。为物联网提供轻量级的安全可靠的硬件平台，以实现可靠的通信、隐私保护、抵御众多软件或硬件威胁和漏洞迫在眉睫。

作为一种极具前途的硬件安全原语，物理不可克隆函数(PUF)为密钥生成、知识产权(IP)保护、密钥共享和身份认证提供了轻量级解决方案。PUF通过利用制造过程中固有的随机变化，为每个设备生成一个独特的输入-输出映射关系，称为激励-响应对(CRP)。理想情况下，它应该是不可克隆和不可预测的，因为它的无序和复杂的结构。根据CRP的数量，PUF可分为强PUF和弱PUF。强PUF，可以产生指数数量的CRP，并用于设备认证和身份识别。每次使用一对CRP,用过后强PUF将其从可用CRP数据集中丢弃，从而有效防御中间人攻击和重放攻击。

然而，由于建模攻击的出现，PUF遭受了严重的安全问题。一旦收集到足够多的CRP，攻击者可以针对这个强PUF建立一个数学模型，并以较高的准确性预测未使用激励对应的响应。由于缺乏保护机制来限制对CRP的访问，攻击者很容易从外部获取CRP。一旦成功建模，PUF以及以其为基础构建的协议就很容易受到攻击。为了提高强PUF对机器学习攻击的鲁棒性，研究人员提出了大量的解决方案。然而这些结构中的大多数仍然可以通过各种方法成功地建模。即使一些高安全性PUF也面临电路结构复杂和硬件开销过大等问题。开发一种具有低硬件成本同时能抗机器学习攻击的PUF已成为一个研究难题。线性反馈移位寄存器(LFSR)是一种高性能、低硬件开销和可配置的数字序列产生电路，可以产生可重复的伪随机序列。它在传统的信息安全领域有着广泛的应用，如流加密、循环冗余校验等。将LFSR与经典PUF相结合将是一个有价值的研究方向。

目前用于抵抗建模攻击的CRP混淆技术的主要技术挑战是过多的硬件成本。当电路将CRP映射混淆到足够复杂度才能达到增加建模攻击的难度，而这往往需要构造复杂的电路结构从而产生巨大的电路开销。

仲裁器PUF是一款经典的强PUF，其激励-响应空间的大小与开环模块的数量呈指数关系。与其他PUF相比，仲裁器PUF能够以更低的硬件资源生成更多的激励相应对，从而以更低的成本实现密钥生成。然而，仲裁器PUF容易受到建模攻击。为了抵抗建模攻击，基于仲裁器PUF设计了一系列强PUF，如异或仲裁器PUF、前馈仲裁器PUF、轻量级安全PUF、干预PUF等。同样，LFSR可以通过简单的操作高效地生成伪随机序列，在密码学中发挥着重要的作用。可配置的LFSR动态更新输入和输出之间的相关性，具有很强的非线性和随机性。因此，LFSR可以通过添加一些简单的逻辑门(例如与门、非门和与非门)来避免密码分析攻击。通过这种方式，LFSR在轻量级应用程序场景中实现了高安全性和低开销的权衡。

在现有工作中，具有固定反馈系数的LFSR通常用于扩展激励空间或CRP混淆。例如，循环冗余校验PUF。(E.Dubrova,O.

B.Degen,A.Gawell,and Y.Yu,“Crc-puf:amachine learning attack resistant lightweight puf construction,”in 2019 IEEEEuropean symposium on security and privacy workshops(EuroS&PW).IEEE,2019,pp.264)–271.)是第一个通过随机更新LFSR的反馈多项式g(x)来混淆CRP的工作，但没有详细说明如何更新反馈多项式；SRPUF(S.Hou,D.Deng,Z.Wang,J.Shi,S.Li,and Y.Guo,“Adynamically configurable lfsr-based puf design against machine learningattacks,”CCF Transactions on High Performance Computing,vol.3,no.1,pp.31–56,2021.)需要(n+k)个仲裁器PUF来更新反馈系数，导致无法承受的硬件开销。

发明内容

本发明所要解决的技术问题是，针对现有技术不足，提供一种CRP混淆电路及数据混淆方法，无需构造复杂的电路即可增加建模攻击的难度，降低硬件开销。

为解决上述技术问题，本发明所采用的技术方案是：一种CRP混淆电路，其包括：

LFSR，包括n个寄存器，分别由c₀,c₁,...,c_n-1设置；C＝(c₀,c₁,...,c_n-1)为n比特原始激励信号；

第1个寄存器的输入为第n个寄存器的输出；

第j个寄存器的输入为第j-1个异或门的输出；j＝2,3,...,n；

所述第j-1个异或门的第一输入为第j-2个寄存器的输出，至少一个异或门的第二输入为第一与非门的输出，其余异或门的第二输入为第i个与门的输出；2≤i≤n-1；

所述第i-1个与门的第一输入为反馈系数g_1,j-1，第二输入为第n个寄存器的输出；

所述第一与非门的第一输入为第二与非门的输出，第二输入为仲裁器PUF输出的实时响应信号；

所述第二与非门的第一输入为第n个寄存器的输出，第二输入为1；

所有n个寄存器在第t个时钟周期的输出

均输入所述仲裁器PUF。

本发明利用LFSR结构，可以将单一原始激励扩展成一系列直接激励集合，这也意味着扩大了整个CRP空间。仲裁器PUF的响应输出为‘1’还是为‘0’是由组成仲裁器PUF电路器件的工艺偏差决定的。第j个寄存器的输入受仲裁器PUF响应影响，如果‘1/0’出现的概率接近50％，则第j个寄存器输入有两种情况，每种情况出现的概率均为50％，即给第j个寄存器输入引入了50％的不确定性。攻击者如果知道仲裁器PUF响应输出的值，则可以确定寄存器的输出。否则，攻击者猜中仲裁器PUF响应输出的概率仅为50％，这给攻击者增加了攻击难度。

进一步地，本发明的电路还包括：

缓存器，用于收集所述仲裁器PUF输出的响应信号。仲裁器PUF一次仅能生成1比特响应，后续需要n-1比特响应更新LFSR的反馈系数，因此需要缓存器暂存仲裁器PUF的每个周期的响应。

本发明中，当所述缓存器收集到n个响应信号r^* ₀,r^* ₂,...,r^* _n-1时，所有与门的第一输入、第二与非门的第二输入分别为响应信号r^* ₁,r^* ₂,...,r^* _n-1。这样就将LFSR的反馈系数进行了二次更新，每个响应都有1/0两种可能，则二次更新的每个反馈系数也就会有两种可能，等同于在n-1个位置都引入了1/2的不确定性。相比于一次混淆仅能在一个位置引入不确定性，二次更新将不确定性引入到了n-1个位置，即引入了(1/2)ⁿ的不确定性，在一次混淆的基础上进一步增强了混淆效果。

作为一个发明构思，本发明还提供了一种数据混淆方法，包括以下步骤：

S1、LFSR接收并混淆n比特原始激励C；

S2、LFSR产生仲裁器PUF的直接激励C^*；

S3、在接下来的每个时钟周期中，仲裁器PUF生成1比特的直接响应，并将该1比特的直接响应r^*传输至LFSR进行配置更新，同时缓存器存储该1比特的直接响应；

S4、重复步骤S2和S3共n次，产生n个1比特响应{r^* ₀,r^* ₁,r^* ₂,…,r^* _n-1}，缓存器收集后(n-1)比特作为直接响应R^*＝{r^* ₁,r^* ₂,…,r^* _n-1}。

每个时钟周期中，仲裁器PUF生成1比特的直接响应r^*将返回到LFSR的第j个寄存器。攻击者无法知道每次仲裁器PUF生成响应的确切值。每个周期都会给整个系统引入1/2的不确定性，n个周期则会带来(1/2)ⁿ的不确定性。每引入1/2的不确定性，系统就会有两种可能，如果攻击者盲猜，则猜中概率为1/2。(1/2)ⁿ的不确定性，则会产生(1/2)ⁿ可能，攻击者盲猜猜中概率仅为(1/2)ⁿ。

进一步地，本发明的数据混淆方法还包括：

S5、缓存器将所述(n-1)比特直接响应R^*＝{r^* ₁,r^* ₂,…,r^* _n-1}传送至LFSR，更新LFSR的反馈系数；

S6、LFSR基于所述(n-1)比特直接响应R^*生成新的直接激励；

S7、将所述新的直接激励作为仲裁器PUF的直接激励，返回步骤S2；

S8、重复步骤S7共k-n次，在第k个周期获得第k个直接激励C^* _k,C^* _k经过仲裁器PUF产生最终的1比特响应；或者，从第k到第(k+n-1)个周期共计输出n比特直接激励作为最终响应。

之前的1比特反馈仅能在一个位置引入不确定性，经过二次混淆，n-1比特的直接响应将对LFSR的反馈系数进行二次设置，每个响应都有1/0两种可能，则二次更新的每个反馈系数也就会有两种可能，等同于在n-1个位置都引入了1/2的不确定性。相比于一次混淆仅能在一个位置引入不确定性，二次更新将不确定性引入到了n-1个位置，即引入了(1/2)ⁿ的不确定性，在一次混淆的基础上进一步增强了混淆效果。

与现有技术相比，本发明所具有的有益效果为：

1、本发明无需构造复杂的电路即可增加建模攻击的难度，降低了硬件开销；

2、本发明可以显著提高攻击者的预测难度，安全性高。

附图说明

图1为本发明实施例CRP混淆流程示意图；

图2为本发明实施例一次混淆示意图；

图3为本发明实施例二次混淆示意图；

图4为本发明实施例响应反馈工作流程图；

图5(a)～图5(d)分别为四种攻击方法的抵御情况(LR,SVM,CMA-ES以及DNN)；

图6为本发明实施例应用案例示意图；图6(a)初始化过程，图6(b)第一次混淆，图6(c)第二次混淆，图6(d)最终CRP形成。

具体实施方式

在图1显示了本发明实施例基于响应反馈的抗机器学习攻击轻量PUF的结构概况，其中仲裁器PUF与可重构的LFSR结合可以形成一个闭环结构，用于CRP混淆。本发明实施例中，PUF方法关键特性如下：

首先，本发明实施例的PUF(即CRP混淆电路)在每个周期反馈1比特的响应，故意破坏CRP集的训练数据。值得注意的是，比特响应可以随机更新LFSR反馈多项式的一个系数，这样可以将有误导性的相关性植入攻击者所要建立的模型中，从而抵抗基于机器学习的建模攻击。

其次,本发明实施例的PUF利用n位响应反馈控制的可重构伽罗华LFSR来扩大仲裁器PUF的原始挑战空间。通过这种方式，本发明实施例的方法可以将电路混淆和时序混淆结合起来，仅需要一个简单的环路电路为代价，但CRP混淆效果显著。基于LFSR和仲裁器PUF的数据混淆流程包括如下步骤：

步骤(1):LFSR首先接收并混淆n比特原始激励C。

步骤(2):然后LFSR产生仲裁器PUF的直接激励C^*。该步骤将原始激励C扩展为一系列直接激励C^*。但是，攻击者仅能获得原始激励C，而不能获得直接激励C^*。

步骤(3):在接下来的每个时钟周期中，仲裁器PUF将生成1比特的直接响应r^*，并将这1比特的直接响应r^*传输给LFSR进行配置更新同时缓存。由仲裁器PUF输出的1比特直接响应r^*输出可能为0或1。因此，接下来的LFSR混淆产生的直接激励因为受反馈r^*影响也将有两种相同的可能性。

步骤(4):重复步骤(2)和(3)n次,缓存器收集到了n比特响应{r^* ₀,r^* ₂,…,r^* _n-1}并把后n-1比特R^*＝{r^* ₁,r^* ₂,…,r^* _n-1}送回到LFSR更新其反馈系数配置以实现二次混淆。每周期产生的1比特直接响应r^*会给系统带来1/2的不确定性。在这一步骤，之前生成的(n-1)比特的直接响应{r^* ₁,r^* ₂,…,r^* _n-1},将给系统带来(1/2)ⁿ的不确定性。

步骤(5):LFSR基于输入R^*重复步骤(2)，然后生成新的C^*，生成对应直接响应r*。

步骤(6):在步骤(5)的基础上重复步骤(2)和(3)k-n次(n<k<2n),则在第k个周期获得第k个直接激励C^* _k,C^* _k经过仲裁器PUF产生最终1比特响应r。也可以从第k到第(k+n-1)个周期共计输出n比特作为最终响应R。本发明所设计的强PUF结构隐藏仲裁器PUF真正的激励-相应对，大大增加了攻击者建模难度。

本发明一种实现方式中，初始化与第一次混淆过程见图2。C＝(c₀,c₁,...,c_n-1)为n比特原始激励信号，设置了LFSR电路中n个寄存器的初始状态。由图2可见，LFSR电路在混淆中起着关键的作用。每个时钟周期，LFSR为仲裁器PUF产生一个新的激励，并从仲裁器PUF接收一个1比特的响应反馈。本发明实施例的PUF不会在最初的n-1时钟周期内立即生成最终响应r，这个过程称一次混淆，如图2所示。在一次混淆时，反馈系数G₁是固定的。由于只有一个比特的响应被反馈到攻击者的目标模型中，因此每次反馈只能影响一个反馈系数。换言之，从仲裁器PUF反馈回LFSR的响应比特通过随机更新反馈多项式的一个系数来误导用于训练的CRP数据集。

(1)产生仲裁器PUF响应。n比特原始激励C＝(c₀,c₁,...,c_n-1)首先加载到LFSR作为它的初始状态S⁰,C＝S⁰。而第一轮混淆的反馈系数G₁＝{g_1,1,...,g_1,n-1}则由一系列双输入与门控制。因此，该结构仅需要n-1个反馈系数参数。在每个时钟周期，LFSR中的n个寄存器(a₀,a₁,...,a_n-1)将产生n比特输出作为仲裁器PUF的直接响应C^*。例如，第一个直接激励是C^* ₁＝S¹＝T¹(S⁰)＝T¹(C)，其中T¹()是LFSR在第一个周期的转移函数。与之类似：

从公式(1)可得，第i个直接激励C^* _i是通过将原始激励C经LFSR混淆i轮获得的。

(2)1比特响应反馈。对于每一个直接激励C^*,仲裁器PUF产生对应的1比特响应r^*并将其送入缓存器缓存。同时，r^*将被反馈到位于LFSR中第j寄存器a_j之前的异或(XOR)门，并影响其输出s¹ _j。在图2中,用两个双输入与非(NAND)门作为反馈模块，代替双输入与(AND)门。如果r^*＝0,

则r^*直接翻转

的状态；否则,r^*＝1,

相当于g_1,j＝1。

基于仲裁器PUF建模以及Sgn函数,可得：

其中r^* ₀由原始激励C直接产生。

图2中，用两个与非门作为反馈模块，代替双输入与(AND)门。在其余实现方式中，也可以设置多个反馈模块，替代对应位置的双输入与门。反馈模块数量越多混淆效果越强，但也会带来更多的电路成本。

为了进一步增强混淆效果，本发明另一种实现方式中执行了二次混淆,如图3所示。系统执n个周期后，缓存器收集n比特响应{r^* ₀,r^* ₂,...,r^* _n-1}，由于只有n-1个反馈系数，所以只采用后n-1比特响应{r^* ₁,r^* ₂,...,r^* _n-1}用于二次混淆时LFSR反馈系数参数的更新，即G₂＝(r^* ₁,r^* ₂,…,r^* _n-1)。二次混淆LFSR的初始状态为S^n-1,它是第(n-1)个周期的各寄存器的状态集合。本发明实施例的PUF能在任意第k个周期(k≥n)产生一个1比特最终响应r。根据公式(2)和(3)可得：

为了提高认证效率，也可以考虑可以从第k个周期到第(k+n-1)个周期生成一个n比特响应作为最终的响应R。在这种情况下，n比特最终响应即为R＝{r^* _k,r^* _k+1,…,r^* _k+n-1}。显然，混淆运行的次数越多，获得的混淆效果越好，但是以更长的延迟为代价。

以下介绍本发明实施例PUF所处的攻击场景与威胁模型，以及该PUF在这样攻击场景下的安全性。

威胁模型。

(1)假设攻击者可以获得一些关键的初始信息，包括本发明实施例PUF的电路结构、反馈点位置以及第一次混淆的初始状态。

(2)攻击者还能够通过一个不可信的信道被动地窃听部分激励响应对。例如，身份验证协议可能以明文形式传输激励响应对。但是攻击者不能直接访问所发明PUF内部电路的数据，特别是仲裁器PUF的直接CRP，如关键的1比特响应反馈。

(3)且在本发明实施例PUF中，LFSR的寄存器不允许同时全部为0。

以下以伽罗华LFSR为例分析本发明实施例PUF的安全性。

(1)可重构LFSR将原始激励C扩展为一组直接激励。通常，静态LFSR利用固定算法生成序列作为新的激励。但是，如果多项式系数G(x)设置不当，则LFSR生成可重复序列的周期可能会缩短，这将显著削弱混淆效果，使建模攻击更容易成功。相比之下，动态LFSR可以为仲裁器PUF生成多个CRP，即{C^* ₀,r^* ₀},{C^* ₁,r^* ₁},{C^* ₂,r^* ₂},…。如果攻击者能够获得仲裁器PUF的直接CRP，则仲裁器PUF易遭受基于机器学习的建模攻击。然而，在本发明实施例的方案中，攻击者只能访问第一个CRP{C^* ₀,r^* ₀}的原始激励C和最后一个CRP的最终响应r，而不能访问仲裁器PUF的直接激励和响应。因此，由于巨大的输入空间C^*和最终输出r无直接关系，攻击者无法根据无直接映射的CRP相关性准确地建模本发明实施例的PUF。

(2)最终响应r或R是原始激励C的强非线性函数。最终响应可以由时延特征向量

与反馈系数G₁，G₂的互乘来计算。像逻辑回归(LR)这样的算法，它依赖于一个线性函数来拟合原始激励和最终响应之间的映射，由于本发明实施例PUF的强非线性，所以它无法达到预期的预测精度。值得注意的是，本发明实施例将响应反馈到LFSR，构建一个环路电路结构，可以同时实现强大的空间和时序混淆。时间混淆是本发明实施例PUF的关键特性之一，得益于循环过程，最终响应r的预测依赖于所有前面的响应。因此，空间和时序的双重混淆提高了系统的复杂性，从而增强了对建模攻击的抵抗能力。

(3)由1比特响应反馈随机更新的可重构LFSR可以将问题相关性植入攻击者的目标模型中。本发明实施例反馈1比特的直接响应，随机更新一个反馈系数，在每个循环中引入1/2的不确定性。即使电路结构和反馈点的位置是公开的，攻击者只是不知道正确的r^* _i。如图4所示，在下一个循环中有两个可能的CRP，它们将向基于机器学习的建模攻击者的数据集引入一些毒数据。因此，响应反馈至少给系统带来了指数级的不确定性。对于n比特响应，攻击者猜中所有n比特响应的概率应为(1/2)ⁿ。例如，当n＝64和128时，概率分别为5.42e-20和2.93e-39。另一方面，假设攻击者不知道反馈点的位置，则反馈系数会有(n-1)可能。攻击难度大约增加n倍。

同时本发明实施例还提供了实验数据证明本发明实施例方案的优点。本发明实施例评估了四种知名机器学习算法逻辑回归(LR)、支持向量机(SVM)、协方差自适应调整的进化策略(CMA-ES)和深度神经网络(DNN)攻击建模的预测精度，以验证本发明实施例PUF的抵抗能力。本发明实施例的实验模拟了三种规模的PUF，分别为32阶、64阶和128阶，并分别在第(n+1)和第2n周期产生1比特的最终响应r。此外，实验从每个PUF实例中采样10⁶CRP进行测试。

从图5(a)～图5(d)可以看出，在使用10⁶CRP数据集进行建模攻击场景下，本发明实施例PUF的预测精度值在50％左右波动，且均低于55％，并没有明显的上升趋势。这个结果表明所发明PUF在抵御目前先进的建模攻击表现良好。由图5(a)、图5(b)、图5(c)、图5(d)四幅图可以看出，当数据集较小时(≤10⁴)，由于数据分布不均匀，预测精度波动较大。当激励相应对的数目超过10⁵时，预测精度的波动趋向于收敛在50％左右。因此，认为使用高达10⁶激励相应对足够来训练和验证该发明解决方案的安全性。

为了更详细地描述，以下以4阶仲裁器PUF和4阶LFSR为例，说明了本发明实施例PUF的有效性，如图6(a)～图6(d)所示。

(1)初始化。如果原始激励C＝S⁰＝{s⁰ ₀,s⁰ ₁,s⁰ ₂,s⁰ ₃}＝{0110}载入LFSR作为其初始状态,并假定初始反馈系数集合为G₁＝{100},反馈点的位置位于第二与第三寄存器之间(a₁和a₂)。同样我们假定r^* ₀＝0。

(2)一次混淆。LFSR产生第一个直接激励C^* ₁＝S¹＝{s¹ ₀,s¹ ₁,s¹ ₂,s¹ ₃},其中s¹ ₀＝s⁰ ₃＝0,s¹ ₁＝s⁰ ₀⊕s⁰ ₃＝0,

s¹ ₃＝s⁰ ₂＝1。即为,C^* ₁＝{0001},且r^* ₁＝1。类似可得，C^* ₂＝{1110},r^* ₂＝0,且C^* ₃＝{0101},r^* ₃＝1。

(3)二次混淆。LFSR通过直接响应来更新反馈系数G₂＝{r^* ₁,r^* ₂,r^* ₃}＝{101}。因此C^* ₄＝S⁴＝{s⁴ ₀,s⁴ ₁,s⁴ ₂,s⁴ ₃},其中s⁴ ₀＝s³ ₃＝1,s⁴ ₁＝s³ ₀⊕s³ ₃＝0,

s⁴ ₃＝s⁰ ₂＝1。在这种情况下，取{r^* ₄,r^* ₅,r^* ₆,r^* ₇}作为4比特最终响应R。攻击者只能窃听原始激励C＝{0110}与最终的4比特响应R＝{0111}。由于每个周期产生的1比特响应都会污染原始CRP集合,原本存在原始激励C与最终响应R之间的直接相关性被成功阻断，显著提高攻击者的预测难度。

Claims (5)

1.一种CRP混淆电路，其特征在于，包括：

LFSR，包括n个寄存器，n个寄存器的初始状态分别由c₀,c₁,...,c_n-1设置；

c₀,c₁,...,c_n-1为n比特原始激励信号；

第1个寄存器的输入为第n个寄存器的输出；

第j个寄存器的输入为第j-1个异或门的输出；j＝2,3,……,n；

所述第j-1个异或门的第一输入为第j-2个寄存器的输出，至少一个异或门的第二输入为第一与非门的输出，其余异或门的第二输入为第i个与门的输出；2≤i≤n-1；

所述第j-1个与门的第一输入为反馈系数g_1,j-1，第二输入为第n个寄存器的输出；

所述第一与非门的第一输入为第二与非门的输出，第二输入为仲裁器PUF输出的实时响应信号；

所述第二与非门的第一输入为第n个寄存器的输出，第二输入为1；

所有寄存器在第t个时钟周期的输出

均输入所述仲裁器PUF。

2.根据权利要求1所述的CRP混淆电路，其特征在于，还包括：

缓存器，用于收集所述仲裁器PUF输出的响应信号。

3.根据权利要求2所述的CRP混淆电路，其特征在于，当所述缓存器收集到n个响应信号r^* ₁,r^* ₂,...,r^* _n-1时，所有与门的第一输入、第二与非门的第二输入分别为响应信号r^* ₁,r^* ₂,...,r^* _n-1。

4.一种数据混淆方法，其特征在于，包括以下步骤：

S1、LFSR接收并混淆n比特原始激励C；

S2、LFSR产生仲裁器PUF的直接激励C^*；

S3、在接下来的每个时钟周期中，仲裁器PUF生成1比特的直接响应，并将该1比特的直接响应r^*传输至LFSR进行配置更新，同时缓存器存储该1比特的直接响应；

S4、重复步骤S2和S3共n次，产生n个1比特响应{r^* ₀,r^* ₁,r^* ₂,…,r^* _n-1}，缓存器收集后(n-1)比特作为直接响应R^*＝{r^* ₁,r^* ₂,…,r^* _n-1}。

5.根据权利要求4所述的数据混淆方法，其特征在于，还包括：

S5、缓存器将所述(n-1)比特直接响应R^*＝{r^* ₁,r^* ₂,…,r^* _n-1}传送至LFSR，更新LFSR的反馈系数；

S6、LFSR基于所述(n-1)比特直接响应R^*生成新的直接激励；

S7、将所述新的直接激励作为仲裁器PUF的直接激励，返回步骤S2；

S8、重复步骤S7共k-n次，在第k个周期获得第k个直接激励C^* _k,C^* _k经过仲裁器PUF产生最终的1比特响应；或者，从第k到第(k+n-1)个周期共计输出n比特直接激励作为最终响应。

Images