物理不可克隆函数(PUF)作为一种很有应用前景的轻量级硬件安全原语,当输入一个激励时,利用芯片制造过程中难以预测的工艺偏差,输出依赖于芯片的不可克隆的响应,常被用于提高系统安全。其中,能够生成大量激励响应对(CRPs)的强PUF非常适合资源受限环境下的轻量级设备认证。然而,攻击者可以通过收集极少量CRPs对其进行建模,因此,强PUF极易遭受基于机器学习的建模攻击。为了抵抗这种攻击,许多抗建模攻击方法被相继提出。然而,这些方法会引起PUF设备开销增大、稳定性下降等问题,并且它们对先进的机器学习攻击方法无效。为了解决这些问题,本文共提出2种抗建模攻击结构——动态多密钥混淆结构和可配置三态PUF结构——来抵抗机器学习攻击。本文提出了动态多密钥混淆结构,其核心思想是利用PUF自身产生的多个稳定的响应作为混淆密钥Keys,并且在注册阶段预先将Keys存储,然后在认证阶段通过真随机数生成器从中随机选择任意2个Keys分别对激励和响应进行异或混淆。当攻击者收集的CRPs数量达到所设定的阈值时,用于混淆的Keys将被立即更新。本文提出的动态多密钥混淆机制可以以极低的硬件开销混淆激励和响应之间映射关系,有效抵抗当前所有机器学习攻击。实验结果表明:对于64×64的仲裁器PUF,当设置32个Keys进行混淆时,即使攻击者收集100万CRPs,使用逻辑回归、支持向量机、人工神经网络、卷积神经网络和协方差矩阵自适应进化策略的建模准确率约为50%,准确率极低。此外,通过合理的设置阈值和密钥的动态更新,任何机器学习攻击都不能在有效时间内对其成功建模。本文提出了三态PUF结构,其核心思想是利用仲裁器PUF工作状态产生的响应来异或混淆其他两种工作状态(环形振荡器PUF和双稳态环PUF)的激励和响应。可配置三态PUF通过对攻击者隐藏其工作模式来抵抗机器学习建模攻击。我们在Xilinx Artix-7 FPGA板上实现了三态PUF结构,实验结果表明,三态PUF结构在满足均匀性、可靠性和唯一性要求的同时,可以有效抵抗线性的机器学习攻击,如逻辑回归和非线性的机器学习攻击,如神经网路,并且机器学习建模准确率略高于50%,近似于随机猜测。