無線網絡物理層安全認證方法

宋華偉, 金梁, 王旭

(國家數字交換系統工程技術研究中心, 450002, 鄭州)

在無線通信系統中,認證的目的是確保所接收到的消息確實來自于所期望的發射機,換言之,在一個好的認證系統中,接收者應能夠以較高的概率把真正的來自源的數據包和假的數據包、被篡改的數據包區別開[1]。傳統的認證模型是Simmons提出的基于無噪信道模型[2],發送者Alice與接收者Bob共享密鑰,Eve作為第三方可能主動發動攻擊,在最好的防御策略下攻擊成功率下界比猜測密鑰要高。但是,這種認證模型必須事先共享密鑰或者通過一個私密信道實現密鑰分發,這并不適應一些通信場景,如M2M、D2D等網絡,且由于認證對密鑰的依賴性,萬一密鑰泄露或者攻擊者擁有很強的計算能力破解密鑰,則認證系統完全失效。

近年來興起的物理層安全技術研究基于Wyner提出的竊聽信道模型[3],如果竊聽信道的信道質量劣于主信道,不依賴于分享密鑰即可實現所謂的“絕對安全通信”。LAI等人研究了在噪聲信道下的認證模型[4],指出在竊聽信道模型的有噪條件下可以利用安全編碼方式來保護密鑰,證明了一個有意思的結論:當主信道的信道容量大于竊聽信道的信道容量時,提出的認證方法可以利用同一密鑰多次認證消息而不會明顯增加敵手攻擊成功的概率,而上述結論在無噪聲信道下是不可能的。最近,在物理層進行安全認證引起了一些研究者的興趣[5],作為一種新型的認證方法,可以作為高層認證技術的有益補充。Xiao等人提出了跨層認證的思路[6],初次認證在高層實現,對后續數據包可采用基于無線信道特征指紋的物理層認證的方法,即通過比較前后兩次數據包的信道特征是否一致判斷通信鏈路是否受到攻擊。Shan等人提出一種物理層挑戰-響應認證機制[7],并將該物理層認證機制嵌入高層認證機制中。最近,還出現了利用信道特征信息進行物理層認證的方法[8-11]和引入了機器學習的物理層安全認證方法[12-14]。

本文提出利用通信雙方的信道的互易性和唯一性進行認證的思路。在時分復用(TDD)系統中,Alice和Bob之間的信道具有短時互易性,通過估計信道量化出序列SAlice和SBob,這兩個序列具有高度相關性但并不完全一致,而這兩個序列對Eve則天然具有私密性。利用信息論中典型集的方法把信道編碼與認證編碼相結合,提出基于相關序列和消息序列相結合編解碼的認證框架。對于Eve可能采用的攻擊行為進行了分類,并分析其攻擊能力的上下界。通過理論分析發現,在編碼的碼字長度趨向于無窮大時,認證攻擊成功率的上下界趨于一致。

1　系統模型

系統模型如圖1所示。Alice與Bob通過信道估計并量化,用同樣的方法分別提取出序列SAlice和SBob,Eve在此過程中得到不相關的序列SEve。Alice要將消息序列M傳送給Bob,經過編碼后Alice發送序列SX,經過有噪信道后Bob接收到序列SY,Eve接收到序列SZ。Eve試圖使Bob接收所發送的消息M′,可以偽造生成新消息,也可以根據接收到的信息篡改部分內容后進行仿冒。

圖1　基于信道互易性的認證模型

為了表述方便,本文定義隨機變量X、Y、Z,其樣本為x、y、z,樣本空間為RX、RY、RZ,集合Rx的元素的個數稱為集合的勢,簡記為|Rx|。SX表示根據獨立同分布的隨機變量X生成長度為K的序列x1,x2,…,xK。

2　信道特征相關優勢條件下的安全認證

Alice和Bob從具有互易性的信道特征中可以提取出高相關性的序列,但由于Eve和Alice、Bob所處位置不同則信道不同,因此,所得到的序列相關性大大降低。從信息論的觀點來看,Alice和Bob之間互易的信道特征可以看成是一個天然的隨機源且不為Eve所知,其中蘊含了一定的共享私密信息量。利用這個優勢,可以實現基于信道的認證。本文描述的認證方法是在初始身份認證完成的基礎上的,可以作為消息認證的一種安全加強或者替代。由于Alice和Bob之間具有對稱性,僅討論Bob認證Alice的情形,互換Alice和Bob角色可以實現雙向認證。

2.1　相關序列及其性質

圖2　信道估計示意圖

假設信道慢變的情形,則通過信道估計的可以根據導頻信號中多個符號得到同一信道特征的不同估計值。鑒于SAlice和SBob具有很高的相關性,可以看作是根據一組獨立同分布隨機變量產生的序列,不一致位看作是引起的擾動,設隨機變量為V,序列集合為RV。根據典型集理論,有以下引理[17]。

引理1隨著序列長度L的增大,提取序列為典型序列的概率趨近于1。

證明序列的型是字符集中每個字符出現次數的比例,典型集理論相當于集合中的大數定理,當序列中的隨機變量服從相同的分布,隨著序列長度增大,序列中出現次數比例與隨機變量分布越來越接近,所提取序列越接近典型序列。

2.2　安全認證理論基礎

安全認證是指攻擊方Eve在進行有限次嘗試情況下,仍然不能偽造或者篡改出能通過認證的消息。傳統的認證安全基于密碼算法的破譯難度,近年來興起的物理層安全技術則是基于信息論的安全。下面首先介紹保密容量理論,隨后介紹安全認證理論和認證框架。

2.2.1完美安全的存在性首先回顧與搭線竊聽信道[3]相關的結論。在搭線竊聽信道模型中定義了兩個離散無記憶信道X→(Y,Z),其中X為發送者的輸入字符,Y是合法接收者的輸出字符,Z是竊聽者的輸出字符。搭線竊聽信道中的竊聽者采用被動方式偵聽,消息傳輸的目標是將消息發送給目的節點,同時使泄露給竊聽者的信息最小。更具體地,為了發送消息M,發送者發送SX=f(M),其中f為一個隨機編碼器。目的節點接收到SY后,獲得消息的估計值M′=g(SY)。攻擊者完全知道系統的設計,因此知道源節點所用的碼本。如果存在f和g使得對于任意ε>0均存在一個正整數n0(?N>n0)時有

|M|≥2nRS

(1)

P{M′≠M}≤εP

(2)

(3)

式中:RS為完善保密速率;n為消息長度;εP為在P概率下的無窮小量;I為互信息。

滿足式(1)～(3),則稱完美保密速率RS是可達的。完美保密容量CS定義為RS的上確界,其數值滿足上式條件。文獻中已證明完美保密容量為

(4)

式中:函數[x]+=max(x,0);U為一個輔助變量,滿足馬爾可夫鏈U→X→YZ。

如果對于所有滿足上述馬爾可夫鏈的U,有I(U;Z)>I(U;Y),那么就稱搭線竊聽信道噪聲低于主信道噪聲,或者說具有優勢信道。搭線竊聽信道模型使得源節點和目的節點之間無需預先分配密鑰,只需利用碼率高于安全信息速率RS的碼字進行編碼(即將消息映射到多個不同的碼字中),就能實現通信的完美安全。通常,將碼字速率設定為可被源-目的信道所支持的速率,使得合法接收者在該速率下能正確恢復出碼字,而該速率對于攻擊者過高,使其無法譯碼。

2.2.2安全編碼與認證搭線竊聽模型中的安全編碼方法利用優勢信道能夠實現信息論的完美安全,如果搭線竊聽信道噪聲大于主信道噪聲,則存在一個輸入分布滿足I(X;Y)-I(X;Z)>0。因此,對于給定的N(這里N與安全容量有關),存在一個正整數n1,使得在?n>n1的條件下,滿足

2n(I(X;Y)-I(X;Z))>N

(5)

同樣,對于給定的消息長度|M|及N,存在一個正整數n2,使得在?n>n2的條件下,滿足

2nI(X;Y)>|M|N

(6)

由香農編碼定理可知,只要碼長N足夠長,Alice和Bob之間存在一個信道編碼的碼本C,C有2nI(X;Y)個碼字,使譯碼的最大錯誤概率任意小。

滿足式(5)和式(6)的編碼方案為安全傳輸編碼。類似地,如果能夠在認證應用中設計的編碼利用Alice和Bob之間的某種優勢,使得Eve不知道消息M所對應的碼字,而且通過Eve的竊聽過程仍然不能提高攻擊成功率,那么這種編碼就成為安全認證編碼。

這里需要為安全認證編碼生成一個碼本,本文參考離散無記憶(DMC)信道編碼方案[18]。具體而言,源節點為任意一個ε強典型序列賦予一個獨特的編號,并給非典型序列統一編號為0,記信道估計值hAB(t)、hAB(t+τ)、hAE(t)、hBE(t+τ)分別為S1、S2、V1、V2,I(S1;S2)表示Alice與Bob之間互易信道特征的互信息,由于Eve得到了V1、V2,所以這部分信息量是不安全的,則I(S1;S2|V1,V2)代表Alice與Bob之間安全的互信息。取N=2I(S1;S2|V1,V2),將碼本分割為N個子集,每一個子集與一個典型集相關聯。因為消息和典型集長度滿足方程(6),所以每個子集中的碼字數量都大于|M|。然后,源節點將每個子集進一步分為|M|個二進制碼字,每個二進制碼代表一條消息。圖3給出安全認證編碼方案中的碼本結構。

圖3　安全認證編碼方案中采用的碼本結構

2.3　安全認證框架

Alice和Bob先互發導頻信號,并據此進行信道估計,從而獲取高度相關的信道信息序列SAlice和SBob,Eve在此過程中實施被動竊聽,得到SEve。

Alice要將消息M傳送給Bob,經過編碼后Alice得到序列SX,編碼函數f:M,SAlice→SX。

經過有噪信道后Bob接收到SY,經過譯碼后還原出消息M或者拒絕消息,解碼函數g:SY,SBob→M∪{⊥}構成,⊥表示解碼失敗,則認為該消息不是Alice所發。

編解碼的碼本由N|M|個碼字組成,信道信息序列對應N個典型集,每個消息對應|M|個子集中的一個。

Eve試圖使Bob接收所發送的消息M′,為簡便起見,假設編解碼函數和所用的碼本是公開的,Eve知道除了相關序列以外的所有細節。

3　安全性分析

下面討論認證的安全性。所謂的安全認證就是要在Eve有限次的攻擊下,攻擊成功的概率是可忽略的,希望在敵手Eve通過信道竊聽并且動態的修改接收到消息的前提下,Eve還是不能偽造一個可通過認證的消息。

Eve可以竊聽信道的輸出,并可發起主動攻擊,主要采用以下兩種攻擊方式:偽造攻擊和替代攻擊。

(1)偽造攻擊。Eve可以在Alice-Bob認證過程中切斷正常通信,偽裝成Alice發送消息給Bob,期望通過Bob的認證。

(2)替代攻擊。Eve竊聽信道的輸出,然后將消息M替換為M′發送給Bob。

記Eve攻擊的成功率為PD,偽造攻擊成功率為PI,替代攻擊成功率為PS。因為替代攻擊是Eve先接收Alice發出的消息,然后進行修改或者偽造,由于通過接收消息獲取一定的信息量,所以比直接偽造攻擊的成功率要高,則有PI

PI≤PD≤PS

(7)

下面分析Eve認證攻擊成功率的性能,也就是PD的上下界。

3.1　認證攻擊成功率下界

首先討論認證性能的下界,也就是PD的最小值。根據前面的假設,Eve知道信道編碼的碼本,也知道碼本分成N個組,只是不知道使用碼本的哪個子集。由于典型集出現的概率幾乎相等,因此考慮Eve偽造攻擊進行猜測的情況,Eve隨機選取一個分組,成功的概率為1/N,不加證明的給出下面的定理1。

定理1偽造攻擊的成功率下界為1/N。

3.2　認證攻擊成功率上界

Eve在初始時替代攻擊和偽造攻擊的成功率相同,只能猜測密鑰,當竊聽方接收到通信內容后,其中就蘊含了與密鑰相關的信息量,所以替代攻擊的成功率會逐漸提高。如果一種編碼能夠使竊聽方接收信息后對密鑰的信息量獲取沒有任何幫助,那么就把攻擊者的攻擊能力限定在猜測密鑰水平,替代攻擊也就與偽造攻擊效能相同。

在模型的假設中,SAlice和SBob之間的相關度高于SEve,這3個序列之間具有互信息的優勢,也就是要滿足

I(SAlice;SBob)>I(SAlice;SEve)

(8)

I(SAlice;SBob)>I(SBob;SEve)

(9)

令{C1,…,CN}為C的一個分割,將此分割表示為一個映射,f:C→{C1,C2,…,Ck,…,CN},1≤k≤N。Qk(Z)表示Z在碼本子集Ck下的概率分布函數,也就是

(10)

定義

(11)

式中

(12)

這里d(Qk,Q)為分布Qk與Q間的距離。當d(Qk,Q)為0時,竊聽者通過信道的輸出Z進行觀察,無法區分C上的任何子集Ck。直觀上看,如果適當地選擇C和f可使dav(f)任意小,在給定輸出的情況下,所發送的碼字來自于子集Ck,接收者不能獲得關于子集Ck的任何信息。下面引入一個重要的引理。

引理2的證明過程參見文獻[19]。

由引理2中dav(f)為指數小,假設

dav(f)=ε1=e-nα

(13)

U

(14)

基于引理2,選擇滿足下面兩個式子的正整數n1和n2

2n1(I(X;Y)-δ)>|M|N

(15)

2n2(I(X;Y)-I(X;Z)-2δ)>N

(16)

然后,選擇N,使得N滿足N>max{n1,n2}。分析替代攻擊的成功率PS,可以得到以下定理。

定理2替代攻擊的成功率上界為1/N+ε,當碼字長度N趨近無窮大時,ε趨近于0。

證明首先重寫一下引理2中的dav(f),如下式

(17)

式中

(18)

式(18)成立是由于信道輸入均勻分布,從而有P(Ck)=1/N。

(19)

把式(13)帶入式(19),重點考慮Z∈U部分,有以下不等式成立

(20)

整理可得

(21)

(22)

整理可得

(23)

則有

(24)

令ε=2e-nα/2,當N趨近于無窮大時,ε趨近于0。證畢。

4　仿真分析

認證安全性的主要指標是Eve仿冒攻擊的成功率。由于密碼算法進行認證的成功率下界是2-H(K)/2,而物理層安全認證的主要因素是Alice與Bob的安全互信息。圖4為物理層認證方法與傳統認證方法的性能比較。由圖4所示的數值結果可以看出,隨著安全互信息量的增加,攻擊成功率逐漸下降。與傳統認證方法相比較,假設傳統方法密鑰長度為128 bit,當安全互信息量超過64 bit后,物理層認證方法即可優于傳統方法。

圖4　物理層認證與傳統認證方法的性能比較

在實際環境中,由于Alice和Bob的互易性偏差或者存在干擾等因素,安全互信息量難以滿足條件,此時該方法性能有所下降,但是仍然有效,也可以把物理層安全認證方法與傳統認證方法結合以保證安全性。

5　結　論

認證安全要求的條件是信道相關性優勢,這比安全傳輸的要求低。從信息論的觀點來看,Alice和Bob共享的私密信道特征形成了優勢,而且由于信道特征的測量可以在通信過程中持續進行,天然保障了提取序列的新鮮性。本文描述的認證框架不需要設計和實現復雜的密碼算法,因而這種認證方法有更強的適應性。本文從理論上證明了通過互易的信道特征提取序列進行認證的可行性,存在一種把認證碼和信道編碼結合的編碼方法能夠實現認證的安全性,但是,這種編碼要求碼長趨近于無窮大,如何設計出計算可行的編碼還需要繼續研究。

參考文獻:

[1]李中獻, 詹榜華, 楊義先. 認證理論與技術的發展 [J]. 電子學報, 1999, 27(1): 98-102.

LI Zhongxian, ZHAN Banghua, YANG Yixian. A survey of identification and authentication [J]. Acta Electronica Sinica, 1999, 27(1): 98-102.

[2]SIMMONS G J. Authentication theory/coding theory [M]∥Lecture Notes in Computer Science, Vol 196. Berlin, Germany: Springer Verlag, 1985: 411-431.

[3]WYNER A D. The wire-tap channel [J]. Bell Labs Technical Journal, 1975, 54(8): 1355-1387.

[4]LAI L F, GAMAL H E, POOR H V. Authentication over noisy channels [J]. IEEE Transactions on Information Theory, 2009, 55(2): 906-916.

[5]WANG X B, HAO P, HANZO L. Physical-layer authentication for wireless security enhancement: current challenges and future developments [J]. IEEE Communications Magazine, 2016, 54(6): 152-158.

[6]XIAO L, GREENSTEIN L, MANDAYAM N, et al. Fingerprints in the ether: using the physical layer for wireless authentication [C]∥ IEEE International Conference on Communications. Piscataway, NJ, USA: IEEE, 2007: 4646-4651.

[7]SHAN D, ZENG K, XIANG W D, et al. PHY-CRAM: physical layer challenge-response authentication mechanism for wireless networks [J]. IEEE Journal on Selected Areas in Communications, 2013, 31(9): 1817-1827.

[8]LIU J Z, WANG X B. Physical layer authentication enhancement using two-dimensional channel quantization [J]. IEEE Transactions on Wireless Communications, 2016, 15(6): 4171-4182.

[9]RAHMAN M M U, ABBASI Q H, CHOPRA N, et al. Physical layer authentication in nano networks at terahertz frequencies for biomedical applications [J]. IEEE Access, 2017, 5(99): 7808-7815.

[10] 季新生, 楊靜, 黃開枝, 等. 基于哈希方法的物理層認證機制 [J]. 電子與信息學報, 2016, 38(11): 2900-2907.

JI Xinsheng, YANG Jing, HUANG Kaizhi, et al. Physical layer authentication scheme based on hash method [J]. Journal of Electronics & Information Technology, 2016, 38(11): 2900-2907.

[11] 周雪倩, 吳曉富, 余訓健. 融入LDPC糾錯機制的認知無線電物理層認證分析 [J]. 計算機科學, 2017, 44(7): 89-93.

ZHOU Xueqian, WU Xiaofu, YU Xunjian. LDPC coded primary transmitter authentication schemes in cognitive radio networks [J]. Computer Science, 2017, 44(7): 89-93.

[12] DAI C P, YANG J X, QIN Y N, et al. Physical layer authentication algorithm based on SVM [C]∥ Proceedings of 2016 2nd IEEE International Conference on Computer and Communications. Piscataway, NJ, USA: IEEE, 2016: 1597-1601.

[13] WANG N, JIANG T, LV S C, et al. Physical-layer authentication based on extreme learning machine [J]. IEEE Communications Letters, 2017, 21(7): 1557-1560.

[14] 楊建喜, 戴楚屏, 姜停停, 等. 基于支持向量機的4G室內物理層認證算法 [J]. 計算機應用, 2016, 36(11): 3103-3107.

YANG Jianxi, DAI Chuping, JIANG Tingting, et al.

4G indoor physical layer authentication algorithm based on support vector machine [J]. Journal of Computer Applications, 2016, 36(11): 3103-3107.

[15] LIU R H, WADE T. Securing wireless communications at the physical layer [M]. Berlin, Germany: Springer, 2010: 23-38.

[16] JAKES W C. Microwave mobile communications [M]. Piscataway, NJ, SUA: IEEE Press, 1994: 11-50.

[17] COVER T M, THOMAS J A. Elements of information theory [M]. Beijing: Tsinghua University Press, 1991: 155-183.

[19] CHISAR I. Almost independence and secrecy Channel [J]. Problemy Peredachi Informatsii, 1996, 32(1): 48-57.