随着近几年安全漏洞事件频发,系统安全的重要性越来越受到人们的重视,尤其是物理安全。而物理不可克隆函数的提出,可以为物理安全提供一个很好的解决方案,包括身份认证,密钥存储等方面。但是基于判决器的物理不可克隆函数(Arbiter PUF,APUF)本身具有很好的线性模型,很容易被机器学习算法建模出其响应行为,从而使其丧失不可克隆的性质。因此需要为APUF设计防护结构,增强抗建模攻击能力,从而可以保证其应用系统的安全性。本文以APUF为基础,考虑防护结构的资源占用情况及抗建模攻击能力,同时设计出了两种防护结构:树形防护结构和级联弱PUF防护结构。树形防护结构主要对APUF的输出进行分散并重新组合,可以组合出多个APUF模型,从而可以增强原APUF的抗建模攻击能力。级联弱PUF结构主要利用弱PUF特性,对原始激励进行处理,使得原始激励到处理后的激励为多映射关系,打乱原始激励与APUF的线性关系,从而可以增强抗建模攻击能力。本文在Altera FPGA平台,实现了四种APUF结构,包括原始APUF,带有树形防护的APUF,带有级联弱PUF的APUF以及带有两种防护结构的APUF。本文通过Linear Regression、Logic Regression、SVM和Back Propagation Neural Network算法对四种APUF结构进行建模攻击。实验表明,在100000条CRPs建模攻击下,原始APUF结构的建模正确率高达98%左右,而在150000条CRPs建模攻击下,带有树形防护结构的APUF的最高建模正确率在67%左右,带有级联弱PUF的APUF的最高建模正确率在66%左右,带有两种防护结构的APUF的最高建模正确率在61%左右。实验表明两种防护结构具有较强的抗建模攻击能力,同时两种防护结构的资源开销较小,分别为60%和30%。最后本文在GF130nm工艺下完成了带有两种防护结构的版图实现。