陳大江，秦 臻，秦志光，王瑞錦

?

基于虛擬信道的快速密鑰生成協(xié)議的安全性分析

陳大江1，秦 臻2，秦志光1，王瑞錦1

(1. 電子科技大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院 成都 611731；2. 電子科技大學(xué)通信與信息工程學(xué)院 成都 611731)

在無(wú)線安全通信中，產(chǎn)生密鑰并且保持其安全性是至關(guān)重要的。然而，由于無(wú)線信道的廣播特性，在密鑰分發(fā)階段很容易受到各種攻擊。利用多徑信道的隨機(jī)性是解決這一問(wèn)題的可行方案。為了解決現(xiàn)有的基于物理層的密鑰分配協(xié)議效率低并且依賴節(jié)點(diǎn)或者環(huán)境移動(dòng)性的缺點(diǎn)，文獻(xiàn)[12]提出了基于虛擬信道的快速密鑰生成協(xié)議。該文通過(guò)理論證明：在多天線敵手的前提下，該協(xié)議不能在實(shí)現(xiàn)信息論安全的同時(shí)提高密鑰生成率的理論上界。因此，該協(xié)議不是信息論安全的。

信息論安全; 密鑰分配; 物理層; 虛擬信道; 無(wú)線通信

隨著無(wú)線網(wǎng)絡(luò)的飛速發(fā)展以及無(wú)線設(shè)備的大量使用，無(wú)線通信中的安全問(wèn)題引起了人們的廣泛關(guān)注。由于無(wú)線通信的廣播特性，很容易受到竊聽(tīng)、消息篡改、節(jié)點(diǎn)冒充等攻擊。為了實(shí)現(xiàn)信息的可靠性、完整性和認(rèn)證性，必須在通信之前實(shí)現(xiàn)密鑰的安全分配。一方面，由于無(wú)線設(shè)備往往是電池供能，且計(jì)算能力較弱，這使得現(xiàn)有的基于傳統(tǒng)密碼學(xué)方法的密鑰分配協(xié)議(現(xiàn)有的密鑰分配協(xié)議通常采用可信第三方體系或者公鑰體系，如常用的Diffie- Hellman協(xié)議[1]，其特點(diǎn)是計(jì)算量大、能耗高)面臨著巨大的挑戰(zhàn)。另一方面，隨著計(jì)算機(jī)的高速發(fā)展以及云計(jì)算[2]等新領(lǐng)域的興起，敵手可獲取的計(jì)算能力不斷提高，這也使得基于計(jì)算安全的密鑰分配算法不再滿足人們對(duì)安全的需求。因此，尋求一種計(jì)算量小、能耗低且安全性高的密鑰分配協(xié)議已顯得尤為重要。

1 基于物理層的密鑰分配協(xié)議概述

目前，基于物理層的密鑰分配協(xié)議[3-10]是解決無(wú)線安全中上述難題的可行方法之一。該方法利用通信雙方的無(wú)線信道特征[3]，通過(guò)測(cè)量刻畫(huà)信道多徑效應(yīng)的物理量(如信道增益、相位平移、接收信號(hào)強(qiáng)度等)產(chǎn)生密鑰。這些信道特征包括：1) 無(wú)線信道的時(shí)變性：由于多徑效應(yīng)使得信道衰落隨著時(shí)間而隨機(jī)變化，且具有較強(qiáng)的隨機(jī)性；2) 無(wú)線信道的空變性：在不同空間位置兩個(gè)鏈接的終端的無(wú)線信道是獨(dú)立的；3) 無(wú)線信道的自反性：無(wú)線信道的多徑特征(如信道增益、相位平移、時(shí)延等)在鏈路的兩個(gè)方向都是相關(guān)的、一致的?；谏鲜鲇^察，發(fā)現(xiàn)在無(wú)線通信中存在自然的“隨機(jī)源”(無(wú)線信道的物理特征：信道增益、相位平移、時(shí)延等)用于密鑰提取，且利用這種隨機(jī)源能夠幫實(shí)現(xiàn)信息論安全。

圖1 系統(tǒng)模型

現(xiàn)存的基于物理層的密鑰提取方案存在著諸多限制，如密鑰率低、密鑰熵值低、依賴節(jié)點(diǎn)或者環(huán)境的移動(dòng)性。目前最高的密鑰生成效率只有40 bits/s[7]，達(dá)到這一效率要求節(jié)點(diǎn)的移動(dòng)性，且在協(xié)議雙方還造成了4%的比特錯(cuò)誤。造成這一現(xiàn)象的原因是現(xiàn)存的協(xié)議依賴信道變化，即如果信道不發(fā)生變化就不能產(chǎn)生新的密鑰。在靜止的環(huán)境中信道變化是非常緩慢的，這就使得這些協(xié)議不能應(yīng)用在靜止的環(huán)境中。根據(jù)分析[5]，在靜止的環(huán)境中竊聽(tīng)者可以判斷出密鑰信息，這使得密鑰的安全性得不到保障。文獻(xiàn)[11]引入了一種信道獨(dú)立的物理層方法來(lái)提高信道的變化率。該協(xié)議的安全性是基于OFDM系統(tǒng)的數(shù)據(jù)傳輸?shù)慕y(tǒng)計(jì)特性實(shí)現(xiàn)的，所以該協(xié)議并不適用于其他通信系統(tǒng)。

為了解決這一問(wèn)題，文獻(xiàn)[12]提出了通過(guò)兩根天線改變信道的隨機(jī)性來(lái)提高密鑰速率。該協(xié)議同時(shí)假設(shè)敵手也是多天線的，且對(duì)敵手天線的數(shù)量沒(méi)有限制。本文中通過(guò)實(shí)驗(yàn)數(shù)據(jù)分析指出，對(duì)于多天線的敵手，該協(xié)議是安全的。但作者并沒(méi)有證明該協(xié)議是信息論安全的。那么該協(xié)議是否能在信息論安全的前提下提高密鑰生成效率呢？

本文從信息論的角度出發(fā)，通過(guò)理論證明：文獻(xiàn)[12]所提出協(xié)議在多天線敵手的前提下，協(xié)議中通過(guò)改變信道的隨機(jī)性并不能增加密鑰的信息熵。因此，該協(xié)議不能實(shí)現(xiàn)信息論安全的同時(shí)提高密鑰生成效率的理論上界。故該協(xié)議不是信息論安全的。

2 基于虛擬信道的密鑰生成協(xié)議

2.1 系統(tǒng)模型

無(wú)線通信中，合法用戶Alice和Bob在敵手Eve竊聽(tīng)信道的情況下，要實(shí)現(xiàn)安全對(duì)稱密鑰的分發(fā)來(lái)達(dá)到安全通信。本文假設(shè)Eve知道合法用戶間的通信協(xié)議，且可以對(duì)接收到的信號(hào)所在的信道進(jìn)行信道測(cè)量[13]；同時(shí)假設(shè)Alice具有兩根天線，Bob有一根天線，而Eve具有多根天線，如圖1[12]所示，將天線按順序1,2,…,編號(hào)。假設(shè)通信方式為窄帶通信，其結(jié)果可以自然地推廣到寬帶通信。還假設(shè)通信信道是相互關(guān)聯(lián)的，即前向信道(從Alice到Bob)和反向信道(從Bob到Alice)的信道增益在相干時(shí)間內(nèi)是相等的。記和分別是從Alice的天線1和天線2到Bob的天線3的信道增益，和表示從Alice到Eve的天線的信道增益。

信道探測(cè)方式：當(dāng)發(fā)送方Alice發(fā)送已知探測(cè)包[]，Alice用乘以[]在天線1上發(fā)射，同時(shí)用[]在天線2上發(fā)射，其中，。此時(shí)，接收方Bob接收的信號(hào)可以表示為：

為了簡(jiǎn)化模型，本文只考慮小尺度衰落，沒(méi)有考慮路徑長(zhǎng)度對(duì)協(xié)議的影響，但結(jié)論同樣適用于大尺度衰落。

同時(shí)，敵手Eve的第根天線所接收到的信號(hào)可表示為：

從式(1)可以得出，Alice的兩根天線到Bob合成的信道增益可以表示為：

2.2 密鑰生成協(xié)議

關(guān)于基于虛擬信道的密鑰生成協(xié)議的詳細(xì)闡述，請(qǐng)參考文獻(xiàn)[12]。該協(xié)議主要包括虛擬信道測(cè)量和測(cè)量值的量化兩個(gè)階段。

虛擬信道測(cè)量階段：首先，Alice確定組三維向量，從而利用這些向量構(gòu)成虛擬信道增益：

(5)

圖2 量化區(qū)域的劃分

3 信息論安全基礎(chǔ)

3.1 信息熵與互信息

3.2 信息論安全

傳統(tǒng)的密碼學(xué)的安全性都是基于某一個(gè)計(jì)算假設(shè)，稱之為計(jì)算安全，如常用公鑰密碼體系RSA，其安全性是基于“大整數(shù)的因式分解是NP問(wèn)題”。計(jì)算安全的弱點(diǎn)包括：1) 假設(shè)敵手的計(jì)算能力是有限的。當(dāng)敵手的計(jì)算能力在假設(shè)的范圍內(nèi)，系統(tǒng)是安全的；當(dāng)敵手的計(jì)算能力高于假設(shè)，則系統(tǒng)將不再安全。2) 計(jì)算安全的安全性驗(yàn)證是基于復(fù)雜性理論，而一個(gè)問(wèn)題的復(fù)雜度是由最極端的情況決定的，即存在這樣的情況：雖然問(wèn)題的復(fù)雜度很高，但對(duì)于該問(wèn)題的某些情況甚至很大一部分情況的復(fù)雜度卻是比較低的。3) 隨著“云計(jì)算”的不斷發(fā)展，人們所擁有計(jì)算能力也在不斷提高，這對(duì)計(jì)算安全的系統(tǒng)是一個(gè)巨大的挑戰(zhàn)。4) 量子計(jì)算的飛速發(fā)展，使得基于量子計(jì)算模型的量子計(jì)算機(jī)逐步成為可能。大量研究證明在圖靈機(jī)模型下許多NP問(wèn)題在量子計(jì)算模型下具有快速算法。

如果一個(gè)密碼體系從信息論的角度是安全的，稱之為信息論安全[14]。信息論安全的密碼體系假設(shè)敵手具有無(wú)限計(jì)算能力，也稱之為無(wú)條件安全。顯然，信息論安全是比計(jì)算安全更強(qiáng)的安全定義。

4 基于信息論的攻擊分析

文獻(xiàn)[15]給出了基于物理層安全的密鑰分配協(xié)議的生成密鑰率的理論上界。這里的密鑰率指的是單位時(shí)間內(nèi)生成密鑰的比特?cái)?shù)。該上界可表示為：在給定敵手Eve已知信息的條件下，Alice和Bob在單位時(shí)間內(nèi)的所得到的信息的條件互信息。

如果將傳統(tǒng)的基于多天線的物理層的密鑰分配協(xié)議[16]應(yīng)用到本文中的通信模型(即Alice兩根天線，Bob一根天線)，容易證明其理論上界為：

下面的定理是本文的主要結(jié)論。

式中，View(Eve)表示Eve所能得到的所有信息。

故式(7)可改寫成：

同樣的，Eve可以利用監(jiān)聽(tīng)到的信號(hào)集(如等式(3)所示)采用相同的信道評(píng)估方法計(jì)算出如下結(jié)果：

(9)

解線性方程組(9)可得到：

故可將等式(8)改寫為：

證畢。

上述定理說(shuō)明在多天線敵手的場(chǎng)景下，利用虛擬信道來(lái)實(shí)現(xiàn)信息論安全的密鑰分配在理論上不能增加密鑰的生成效率。進(jìn)一步，基于虛擬信道的密鑰分配協(xié)議所產(chǎn)生的密鑰只用到了Alice和Bob間的兩個(gè)信道的信道增益的熵(不確定性)，而隨機(jī)向量組并不能增加密鑰的熵。這是因?yàn)閿呈挚梢岳脙筛炀€所得到的信息來(lái)估算出和。

5 結(jié) 論

在基于物理層的密鑰分配的研究領(lǐng)域中，如何針對(duì)多天線的敵手(特別是天線大于密鑰協(xié)商方的時(shí)候)實(shí)現(xiàn)信息論安全的高效密鑰分配一直是該領(lǐng)域的一個(gè)研究難點(diǎn)。本文從信息論的角度出發(fā)，發(fā)現(xiàn)文獻(xiàn)[12]所提出的密鑰分配協(xié)議并不是信息論安全的。今后，將對(duì)多天線敵手下的信息論安全的快速密鑰分配協(xié)議的設(shè)計(jì)進(jìn)行研究。

[1] DIFFIE W, HELLMAN M. New directions in cryptography [J]. IEEE Transactions on Information Theory, 1976, 22(6): 644-654.

[2] ARMBRUST M, FOX A, GRIFFITH R, et al. A view of cloud computing[J]. Communications of the ACM, 2010, 53(4): 50-58.

[3] AZIMI-SADIADI B, KIAYIAS A, MERCADO A, et al. Robust key generation from signal envelopes in wireless networks[C]//Proceedings of ACM CCS. [S.l]: ACM, 2007: 401-410.

[4] MATHUR S, TRAPPE W, MANDAYAM N, et al. Radio-telepathy: Extracting a secret key from an unauthenticated wireless channel[C]//Proceedings of ACM Mobicom. [S.l]: ACM, 2008:128-139.

[5] JANA S, PREMNATH S N, CLARK M, et al. On the effectiveness of secret key extraction from wireless signal strength in real environments[C]//Proceedings of ACM Mobicom. [S.l.]: ACM, 2009: 321-332.

[6] PATWARI N, CROFT J, JANA S, et al. High-rate uncorrelated bit extraction for shared secret key generation from channel measurements[J]. IEEE Transactions on Wireless Communication, 2010, 9(1): 17-30.

[7] CROFT J, PATWARI N, KASERA S K. Robust uncorrelated bit extraction methodologies for wireless sensors[C]// Proceedings of ACM/IEEE ICNP. [S.l.]: [s.n.], 2010: 70-81.

[8] CHEN D J, QIN Z, MAO X F, et al. SmokeGrenade: an efficient key generation protocol with artificial interference [J]. IEEE Transactions on Information Forensics & Security, 2013, 8(11): 1731-1745.

[9] WANG Q, SU H, REN K, et al. Fast and scalable secret key generation exploiting channel phase randomness in wireless networks[C]//Proceedings of IEEE INFOCOM. [S.l.]: IEEE, 2011: 1422-1430.

[10] CHEN D J, MAO X F, QIN Z, et al. SmokeGrenade: a key generation protocol with artificial interference in wireless networks[C]//Proceedings of IEEE MASS. [S.l.]: IEEE, 2013: 200-208.

[11] GOLLAKOTA S, KATABI D. Physical layer wireless security made fast and channel independent[C]// Proceedings of IEEE INFOCOM. [S.l.]: IEEE, 2011: 1125-1133.

[12] HUANG P, WANG X. Fast secret key generation in static wireless networks: A virtual channel approach[C]// Proceedings of IEEE INFOCOM. [S.l]: IEEE, 2013: 2292-2300.

[13] TUGNAIT J K, TONG L, DING Z. Single-user channel estimation and equalization[J]. IEEE journal of Signal Processing Magazine, 2000, 17(3): 16-28.

[14] LIANG Y, POOR H V. Information theoretic security[J]. Foundations and Trends in Communications and Information Theory, 2009,5(4-5):355-580.

[15] AHLSWEDE R, CSISZAR I. Common randomness in information theory and cryptography, part I: Secret sharing[J]. IEEE Transactions on Information Theory, 1993, 39(4): 1121-1132.

[16] ZENG K, WU D, CHAN A, et al. Exploiting multiple antenna diversity for shared secret key generation in wireless networks[C]//Proceedings of IEEE INFOCOM. [S.l.]: IEEE, 2010: 1-9.

編 輯 稅 紅

On the Security of Fast Secret Key Generation Protocol with Virtual Channel Approach

CHEN Da-jiang1, QIN Zhen2, QIN Zhi-guang1, and WANG Rui-jing1

(1. School of Computer Science & Engineering, University of Electronic Science and Technology of China Chengdu 611731;2. School of Communication and Information Engineering, University of Electronic Science and Technology of China Chengdu 611731)

It is vitally important to generate keys and keep them secret in secure wireless communications. Due to the broadcast nature of wireless channels, secret key distribution is more vulnerable to attacks in wireless communication. An ingenious solution is to generate secret keys by using the multipath channel as a source of common randomness. To address the problems that the existing physical-based protocols have low key generation rate and high reliance on mobile nodes or environments, a fast secret key generation protocol with virtual channel approachwas proposed by HUANG and WANG for static wireless networks. In this paper, we show that, in the presence of an eavesdropper with multiple antennas, the scheme does not improve the theoretical upper bound of the key generation rate with information-theory security. Thus, the protocol is not information-theory security.

information-theory security; key distribution; physical layer; virtual channel; wireless communication

TP309

A

10.3969/j.issn.1001-0548.2015.01.019

2013-09-12；

2014-02-17

國(guó)家科技重大專項(xiàng)(20112X03002-002-03)；國(guó)家自然科學(xué)基金重點(diǎn)項(xiàng)目(61190110)

陳大江(1982-)，男，博士生，主要從事信息論安全、物理層安全、無(wú)線安全等方面的研究.