基于哈希方法的物理層認證機制

季新生 楊 靜 黃開枝 易 鳴

?

基于哈希方法的物理層認證機制

季新生 楊 靜*黃開枝 易 鳴

(國家數(shù)字交換系統(tǒng)工程技術研究中心 鄭州 450001)

現(xiàn)有物理層挑戰(zhàn)-響應認證機制使用無線信道信息掩藏密鑰生成認證響應，一旦攻擊方獲得合法信道信息，則可直接破解密鑰。針對上述問題，該文借鑒曲線匹配原理，提出一種基于哈希方法的物理層認證機制。首先，認證雙方提取無線信道特征，并和認證密鑰組合得到初始認證向量，該向量被等效為一條曲線；隨后，采用具有容錯性的單向哈希函數(shù)將該曲線映射為低維的哈希矢量，用作認證響應；最后，認證方根據(jù)需求設置認證門限，并根據(jù)響應的匹配結果進行判決。性能分析表明，所采用的哈希方法實質為欠定方程組，攻擊方無法根據(jù)低維哈希矢量還原曲線信息，從而無法破解密鑰；仿真結果表明，在攻擊方竊取了合法信道信息的條件下，在4 dB時，現(xiàn)有挑戰(zhàn)-響應機制攻擊率約為0.5，該文所提機制可實現(xiàn)攻擊率小于。

物理層；認證；曲線匹配；哈希方法

1 引言

認證是確認通信實體身份合法性的過程，是實現(xiàn)安全通信的第一道保障。現(xiàn)有認證機制在高層采用密碼機制實現(xiàn)，具有較大的時延和計算開銷，給能量受限的終端帶來諸多弊端；其次，高層認證沒有充分考慮到無線信道的脆弱性，使得認證容易遭受來自物理層的攻擊[1]。近年來出現(xiàn)了在物理層實現(xiàn)認證的研究，由于其低開銷、輕量級以及能抵抗來自無線信道的攻擊等優(yōu)點得到了廣泛的關注。

無線信道在空間上具有多樣形、私有性[2]，即任意兩個通信實體間建立的無線鏈路是唯一的、不可復制的；在時間上具有時變性、短時互易性，即無線信道時刻變化，但在信道相干時間內可認為是不變的，通信雙方可提取出相同的信道特征[3]。無線信道的這些特性被用于實現(xiàn)認證[3,4]，文獻[5-7]使用無線信道表征用戶身份，將認證轉化為信道特征的相似性檢驗問題，通過比較前后兩次數(shù)據(jù)包的信道信息如接收信號強度[5]、信道頻率響應[6]或信道沖激響應[7]等參數(shù)是否一致，來判斷通信鏈路是否改變從而檢測無線信道是否遭受攻擊，實現(xiàn)簡單、開銷低，可實現(xiàn)輕量級的認證。但該類方法只能用于檢測通信過程是否遭受攻擊，而無法實現(xiàn)用戶初次接入網絡時的身份認證。

文獻[8-12]借鑒高層挑戰(zhàn)-響應原理實現(xiàn)物理層身份認證，將密鑰“藏”進經過無線信道作用后的認證挑戰(zhàn)中生成認證響應，僅具有相同信道的合法接收方可解出認證數(shù)據(jù)，在身份認證的同時防止無線信道受到攻擊。但上述方法隱藏密鑰的方式比較直接，存在密鑰泄露的安全隱患：攻擊方只要竊取了合法信道信息，即可根據(jù)認證響應直接破解密鑰。

基于上述問題，本文提出一種基于哈希方法的物理層認證機制。認證雙方提取無線信道特征作為認證挑戰(zhàn)，并將該挑戰(zhàn)和密鑰組合得到初始認證向量，該向量可等效為一條人工曲線，由此將認證問題轉化為曲線匹配問題；隨后，雙方利用容錯性的單向哈希方法將該曲線映射為低維哈希矢量，并用作認證響應；最后，認證方根據(jù)認證需求設置認證門限，采用距離參數(shù)評價雙方產生的認證響應的匹配程度，并根據(jù)匹配結果進行判決。產生認證響應的哈希方法實質為欠定方程組，其解空間為無窮，攻擊方無法根據(jù)低維的認證響應還原高維的曲線信息，從而無法破解密鑰。仿真結果表明，在4 dB信噪比條件下，當攻擊方竊取了合法信道信息時，現(xiàn)有物理層挑戰(zhàn)-響應機制攻擊率約為0.5，本文所提機制可實現(xiàn)攻擊率小于。

2 問題描述

認證模型如圖1所示，Alice為請求方，Bob為認證方，雙方存儲有共享密鑰，并期望通過建立信任關系；Eve為攻擊方，致力于竊取Alice-Bob間的共享密鑰或者偽造認證數(shù)據(jù)以期通過Bob的認證。由于信道具有互易性，Alice和Bob觀察到的信道是一致的，即；同時，信道具有快速去相關性，只要Alice, Bob, Eve三者間距離大于(為波長)，則兩兩間的信道各不相關[13]，

其中，X為第個密鑰映射符號。隨后，Alice將發(fā)送給Bob。由于信道具有互易性，經過相同的信道作用后，到達Bob端時信道作用被抵消，使Bob得到每個載波上得信號，則Bob可根據(jù)隨機數(shù)組得到密鑰，并進一步判斷Alice是否合法。該方法利用Alice-Bob信道的私密性和唯一性掩藏密鑰，其安全性基于攻擊方無法獲得合法信道信息的假設基礎上；而一旦Eve掌握了Alice-Bob信道信息[14]，則可根據(jù)認證響應直接破解密鑰。文獻[11,12]也面臨著類似的密鑰泄露隱患。

圖1 認證模型

因此，本文利用容錯性的單向哈希方法生成認證響應，使得攻擊方無法根據(jù)認證響應破解密鑰。借鑒曲線匹配原理[15]，將無線信道特征及高層密鑰進行組合，并等效為一條人工曲線上的采樣點，隨后采用容錯性的哈希函數(shù)將曲線映射為低維的哈希矢量，僅經歷相同信道且具有相同密鑰的雙方才能產生相同的認證響應。該哈希過程具有如下效果(證明見4.1節(jié))：

(1)若雙方的初始認證曲線差別足夠小，則得到的認證響應差別也將足夠小；

(2)具有單向性，攻擊方無法根據(jù)認證響應破解密鑰。

3 基于哈希方法的物理層認證

整個認證過程分為物理層挑戰(zhàn)生成、哈希響應生成、曲線匹配、二進制假設檢驗4個步驟，如圖2所示。本文描述的是單向認證過程，若需雙向認證，只需進行兩次單向認證或配備兩個共享密鑰即可。

圖2 認證流程

3.1物理層挑戰(zhàn)生成

3.2 哈希響應生成

包括以下步驟：

3.3 曲線匹配

Bob采用和Alice相同的方法產生認證響應XRES。假設Bob采樣得到的信道特征為，由于信道的互易性，，其中, Bob利用恢復Alice產生的認證響應RES。

3.4二進制假設檢驗

4 性能分析

4.1哈希證明

本節(jié)將證明文中所采用的哈希方法的兩個性能：

(2)單向性：

產生認證響應的哈希方法經過簡化后可表示為如式(9)所示，式(9)方程組具有個等式，個未知數(shù)，且，為欠定方程組，方程組的解空間為無窮，根據(jù)信道信息和可以唯一的確定認證響應，而無法根據(jù)得到和。因此，該哈希方法具有單向性。

4.2安全性分析

本文主要討論Eve兩種攻擊方式：主動攻擊和被動攻擊。在被動攻擊中，Eve主要對Alice-Bob間的認證數(shù)據(jù)進行竊聽，期望通過竊聽數(shù)據(jù)破解用戶密鑰；在主動攻擊中，Eve采用重放、中間人及偽造等攻擊方式發(fā)起攻擊。

4.2.1被動攻擊 文獻[8-12]的安全性基于攻擊方無法獲得Alice-Bob間的信道特征的假設基礎上，一旦Eve獲取了合法信道信息[14]，Eve可根據(jù)認證響應直接竊取密鑰。

本文利用哈希方法生成認證響應，將無線信道特征和密鑰信息等效為一條曲線，并經過哈希過程后生成認證響應，僅經歷了相同的信道且具有相同密鑰的雙方才可得到相同的認證響應。由于該哈希函數(shù)的實質為欠定方程組，Eve無法根據(jù)低維的認證響應信息得到曲線信息；即使Eve獲取了Alice-Bob信道信息，只要保證Eve依舊無法破解密鑰。

(1)重放攻擊：重放攻擊中，Eve獲取了Alice第次認證響應，并發(fā)送給Bob期望通過其認證。但由于信道具有時變性，只要Eve在大于信道相關時間的時刻發(fā)起攻擊，Bob即會產生不同的認證響應。假設第次、次認證Alice, Bob提取的信道特征分別為,，則次認證Bob得到的測試統(tǒng)計參數(shù)為

圖4，圖5仿真了攻擊率隨著信噪比及虛警率變化的關系曲線。圖4為虛警率為0.005，不同認證響應長度下攻擊率隨信噪比的變化曲線；圖5為攻擊率隨虛警率的變化曲線。虛線為式(14)計算出的理論值，實線為蒙特卡洛法得到的仿真值，可以發(fā)現(xiàn)理論值和仿真值吻合度較高，攻擊率隨著信噪比的增大而減小；同時，認證響應長度越大，攻擊率越小。當認證響應采用40位，時，可實現(xiàn)攻擊率趨近10-5。

圖3 哈希方法的容錯性能???圖4 不同信噪比下的攻擊性能()???圖5 不同虛警率條件下的攻擊率

(2)中間人攻擊：中間人串接在Alice, Bob間，期望通過“透明”轉發(fā)認證數(shù)據(jù)實現(xiàn)攻擊。此時，Alice和Bob提取的信道特征分別為,，且互不相關。此時，Bob得到的測試統(tǒng)計參數(shù)為

當中間人足夠強大時，中間人可建立一條等效信道，使得Alice, Bob雙方提取的信道特征一致。即：。此時Alice, Bob認證成功，中間人可得到認證響應，但由于認證響應由哈希方法產生，中間人不能根據(jù)響應值破解密鑰。

(3)偽造攻擊：在偽造攻擊中，Eve偽造認證數(shù)據(jù)期望通過Bob的認證。

(a)Eve不知道Alice-Bob信道時，Eve可偽造合法信道特征及密鑰，或直接偽造認證響應發(fā)起攻擊。

當Eve偽造信道特征和密鑰時，

圖6為虛警率為0.005時的攻擊率性能：攻擊率隨著信噪比和響應長度的增大而降低，在時，采用40位響應值可實現(xiàn)攻擊率小于。圖7為攻擊率隨虛警率的變化曲線，可以發(fā)現(xiàn)，攻擊率隨著虛警率的增大而減小，時，可實現(xiàn);時，。

(b)當Eve竊取了Alice-Bob信道信息時，Eve可選擇偽造密鑰或偽造認證響應發(fā)起攻擊，偽造認證響應時，性能和式(17)一致。當Eve偽造密鑰時，

圖8為Eve獲取了合法信道信息時，不同認證響應長度條件下，本文所提機制和文獻[8]PHY- CRAM機制的攻擊率對比圖。對于PHY-CRAM機制，認證響應長度即為密鑰長度。可以發(fā)現(xiàn)對于PHY-CRAM機制，密鑰長度對認證性能的影響不是太大，這是因為一旦Eve獲得Alice-Bob信道信息，則可直接獲得密鑰。本文采用哈希方法生成認證響應，攻擊方無法根據(jù)認證響應破解密鑰，而僅能通過猜測偽造密鑰生成認證響應。當時，本文機制可實現(xiàn)攻擊率小于，而對于PHY-CRAM機制，攻擊率約為0.5。

當Eve獲取了某次認證的認證響應及信道信息時，Eve可通過式(20)得到關于密鑰的信息。

圖6 不同信噪比條件下的攻擊率()???圖7 不同虛警率條件下的攻擊率(M=30)???圖8 不同響應長度下的攻擊性能

但是，當攻擊方足夠強大，獲取了多次合法信道信息及相應的認證響應時，其可能會聯(lián)合多次認證數(shù)據(jù)破解密鑰，此時密鑰的條件熵隨著認證數(shù)據(jù)的觀測數(shù)減小，即隨著的增加而減小。當足夠大時，攻擊方能以較高的概率破解密鑰。因此，在實際應用時當密鑰的條件熵降低于特定門限時，可以考慮更換密鑰；或者，該方法可以和高層認證結合，物理層無線信道為高層認證提供信息熵，即使信道信息遭受泄露，由于高層認證每次的認證數(shù)據(jù)不一致，攻擊方也無法破解密鑰。

4.3 開銷分析

本文采用哈希方法防止了文獻[8]中PHY- CRAM機制的密鑰泄露問題，但是開銷有所增加。本文所提機制主要增加了乘法的開銷，產生認證響應需次，而PHY-CRAM僅需次除法。但由于本文所需的乘法均是常數(shù)與復數(shù)的乘法，計算復雜度較低。另外，本文所提機制的有效性僅為PHY-CRAM的，因為長度為的密鑰信息，最終只生成了長為的認證響應；但同時也使得本文機制的帶寬消耗為PHY-CRAM的。因此，本文機制使用計算復雜度和有效性換取了帶寬效率和安全。

4.4實用性分析

上面的理論分析和仿真中，我們均假設多徑數(shù)目趨于無窮大使得信道特性服從的復高斯過程，但在實際通信場景中，路徑數(shù)可能有限，因此下面驗證所提方法在不同路徑數(shù)條件下的認證性能。如圖9所示，采用文獻[20]給出的散射仿真環(huán)境，認證方Bob(一般為基站)位置較高，因此，Alice經歷的散射簇主要集中在其周圍，散射簇數(shù)目隨機，且位置隨機；Eve在離Alice附近足夠近的地方但相距大于，使其經歷的散射簇和Alice一致，但經歷的信道特性和Alice的不相關。Eve也采用相同的方法提取信道特征，并偽造密鑰生成認證響應，發(fā)送給Bob期望通過其認證。

圖9 仿真環(huán)境示意圖????????圖10 不同路徑數(shù)下的認證性能

從實用角度看，未來5G系統(tǒng)將是一個具有各種低功率節(jié)點的異構融合網，其中，物聯(lián)網、車載網等對時延和能耗要求比較高的網絡需要輕量級的認證，高層認證開銷太大，本文機制僅在物理層實現(xiàn)，且只涉及到簡單的乘法運算，認證開銷相對于高層認證減小，可以為這些網絡的認證提供一種思路和參考。

5 結束語

針對現(xiàn)有物理層挑戰(zhàn)-響應認證面臨的密鑰泄露隱患，本文提出了一種基于哈希方法的物理層認證機制。借鑒曲線匹配原理，將無線信道信息和密鑰等效為一條人工曲線，并利用容錯性的單向哈希函數(shù)將曲線映射為低維的認證響應，僅經歷了相同的信道并具有相同密鑰的雙方才能產生相同的認證響應，且攻擊方無法根據(jù)該響應恢復密鑰信息，從而防止密鑰信息泄露。由于認證僅在物理層實現(xiàn)，相比于傳統(tǒng)的高層認證可減小認證時延及計算開銷，且無線信道的私有性和時變性可防止認證遭受重放、中間人及偽造等攻擊。但由于物理層認證的安全基于無線信道的私有性，因此，保證無線信道特征不被攻擊方獲取至關重要。本文所提機制為未來5G輕量級的認證及跨層認證的實現(xiàn)方法提供了一種新的思路。

[1] JIN Cao, MA Maode, LI Hui,. A survey on security aspects for LTE and LTE-A networks[J].&, 2014, 16(1): 283-302. doi:10.1109/SURV.2013.041513.00174.

[2] PATWARI N and KASERA S K. Temporal link signature measurements for location distinction[J]., 2011, 10(3): 449-462. doi: 10.1109/ TMC.2010.189.

[3] JORSWIECK E, TOMASIN S, and SEZGIN A. Broadcasting into the uncertainty: authentication and confidentiality by physical-layer processing[J]., 2015, 103(10): 1702-1724. doi: 10.1109/JPROC. 2015.2469602.

[4] ZENG K, GOVINDAN K, and MOHAPATRA P. Non-cryptographic authentication and identification in wireless networks[J]., 2010, 17(5): 56-62. doi: 10.1109/MWC.2010.5601959.

[5] DEMIRBAS M and SONG Y. An RSSI-based scheme for Sybil attack detection in wireless sensor networks[C]. Proceedings of the 2006 International Symposium on World of Wireless, Mobile and Multimedia Networks, New York, 2006: 564-570. doi: 10.1109/WOWMOM.2006.27.

[6] XIAO Liang, GREENSTEIN L J, MANDAYAM N B,. Using the physical layer for wireless authentication in time- variant channels[J]., 2008, 7(7): 2571-2579. doi: 10.1109/TWC. 2008.070194.

[7] LIU Jiazi and WANG Xianbin. Physical layer authentication enhancement using two-dimensional channel quantization[J]., 2016, 15(6): 4171-4182.doi: 10.1109/TWC.2016.2535442.

[8] SHAN Dan, ZENG Kai, XIANG Weidong,. PHY-CRAM: physical layer challenge-response authentication mechanism for wireless networks[J]., 2013, 31(9): 1817-1827. doi: 10.1109/JSAC. 2013.130914.

[9] 張繼明. 無線網絡中物理層身份認證研究[D]. [碩士論文]. 華中科技大學, 2013.

ZHANG Jiming. Research on physical-layer identity authentication in wireless networks[D]. [Master dissertation], Huazhong University of Science and Technology, 2013.

[10] DU Xianru, SHAN Dan, ZENG Kai,. Physical layer challenge-response authentication in wireless networks with relay[C]. IEEE International Conference on Computer CommunicationsOrlando, 2014: 1276-1284. doi: 10.1109/ INFOCOM. 2014.6848060.

[11] WU Xiaofu and ZHEN Yan. Physical-layer authentication for multi-carrier transmission[J]., 2015, 19(1): 74-77. doi: 10.1109/LCOMM.2014.2375191.

[12] WU Xiaofu, ZHEN Yan, CONG Ling,. A physical-layer authentication assisted scheme for enhancing 3GPP authentication[OL].http://arxiv.org/abs/1502.07565, 2015.

[13] JAKES W C and COX D C. Microwave Mobile Communications[M]. New Jersey, Wiley-IEEE Press, 1994: 13-39.

[14] TRAPPE W. The challenges facing physical layer security[J]., 2015, 53(6): 16-20. doi: 10.1109/MCOM.2015.7120011

[15] 呂科, 耿國華, 周明全. 基于哈希方法的空間曲線匹配[J]. 電子學報, 2003, 31(2): 294-296. doi: 10.3321/j.issn:0372-2112. 2003.02.037.

Lü Ke, GENG Guohua, and ZHOU Mingquan. Matching of 3D curve based on the hash method[J].a, 2003, 31(2): 294-296. doi: 10.3321/j.issn:0372-2112. 2003.02. 037.

[16] PATZOLD M. Mobile Radio Channels[M]. New York, John Wiley & Sons, 2012: 55-147.

[17] SWAMINATHAN A, MAO Yinian, and WU Min. Robust and secure image hashing[J]., 2006, 1(2): 215-230. doi: 10.1109/TIFS.2006.873601.

[18] GOERGEN N, CLANCY T C, and NEWMAN T R. Physical layer authentication watermarks through synthetic channel emulation[C]. 2010 IEEE Symposium on New Frontiers in Dynamic Spectrum,Singapore, 2010: 1-7. doi: 10.1109/ DYSPAN.2010.5457897.

[19] GOERGEN N, LIN W S, LIU K J,. Authenticating MIMO transmissions using channel-like fingerprinting[C].Global Telecommunications Conference, Miami, 2010: 1-6. doi: 10.1109/GLOCOM.2010.5684218.

[20] FONTAN F P and ESPIEIRA P M. Modeling the Wireless Propagation Channel: A Simulation Approach with Matlab[M]. New Jersey, John Wiley & Sons, 2008: 105-111.

Physical Layer Authentication Scheme Based on Hash Method

JI Xinsheng YANG Jing HUANG Kaizhi YI Ming

(&,450001,)

To solve the problem of key leakages in existing physical layer challenge-response authentication schemes, a physical layer authentication scheme based on hash method is proposed. The channel characteristics are extracted and linked with the key which can be regarded as a curve. Then a fault-tolerant hash function is employed to map the curve into a response with lower dimension. The authenticator lastly sets the threshold according to the authentication requirement and further to verify the identity of the requester. The hash function is an underdetermined system and attackers can not recover the curve according to the response. Simulation results prove the effectiveness of the scheme whose attack rate is less thanwhile attack rates for existing schemes are almost 0.5 under the SNR of 4 dB.

Physical-layer; Authentication; Curve matching; Hash method

TN92

A

1009-5896(2016)11-2900-08

10.11999/JEIT160007

2016-01-04；改回日期：2016-05-23；

2016-07-19

楊靜 yangjingFi@163.com

國家863計劃項目(2015AA01A708)，國家自然科學基金(61379006)，國家青年科學基金(61501516)

s: The National 863 Program of China (2015AA01A708), The National Natural Science Foundation of China (61379006), The National Science Fund for Excellent Young Scholars (61501516)

季新生： 男，1968年生，教授，博士生導師，研究方向為移動通信、信息安全.

楊 靜： 女，1991年生，碩士生，研究方向為移動通信、物理層安全.

黃開枝： 女，1973年生，教授，博士生導師，研究方向為移動通信、物理層安全.

易 鳴： 男，1986年生，講師，博士，研究方向為移動通信、信息安全.