基于虛擬信道的快速密鑰生成協(xié)議的安全性分析

陳大江，秦 臻，秦志光，王瑞錦

?

基于虛擬信道的快速密鑰生成協(xié)議的安全性分析

陳大江1，秦 臻2，秦志光1，王瑞錦1

(1. 電子科技大學計算機科學與工程學院 成都 611731；2. 電子科技大學通信與信息工程學院 成都 611731)

在無線安全通信中，產(chǎn)生密鑰并且保持其安全性是至關重要的。然而，由于無線信道的廣播特性，在密鑰分發(fā)階段很容易受到各種攻擊。利用多徑信道的隨機性是解決這一問題的可行方案。為了解決現(xiàn)有的基于物理層的密鑰分配協(xié)議效率低并且依賴節(jié)點或者環(huán)境移動性的缺點，文獻[12]提出了基于虛擬信道的快速密鑰生成協(xié)議。該文通過理論證明：在多天線敵手的前提下，該協(xié)議不能在實現(xiàn)信息論安全的同時提高密鑰生成率的理論上界。因此，該協(xié)議不是信息論安全的。

信息論安全; 密鑰分配; 物理層; 虛擬信道; 無線通信

隨著無線網(wǎng)絡的飛速發(fā)展以及無線設備的大量使用，無線通信中的安全問題引起了人們的廣泛關注。由于無線通信的廣播特性，很容易受到竊聽、消息篡改、節(jié)點冒充等攻擊。為了實現(xiàn)信息的可靠性、完整性和認證性，必須在通信之前實現(xiàn)密鑰的安全分配。一方面，由于無線設備往往是電池供能，且計算能力較弱，這使得現(xiàn)有的基于傳統(tǒng)密碼學方法的密鑰分配協(xié)議(現(xiàn)有的密鑰分配協(xié)議通常采用可信第三方體系或者公鑰體系，如常用的Diffie- Hellman協(xié)議[1]，其特點是計算量大、能耗高)面臨著巨大的挑戰(zhàn)。另一方面，隨著計算機的高速發(fā)展以及云計算[2]等新領域的興起，敵手可獲取的計算能力不斷提高，這也使得基于計算安全的密鑰分配算法不再滿足人們對安全的需求。因此，尋求一種計算量小、能耗低且安全性高的密鑰分配協(xié)議已顯得尤為重要。

1 基于物理層的密鑰分配協(xié)議概述

目前，基于物理層的密鑰分配協(xié)議[3-10]是解決無線安全中上述難題的可行方法之一。該方法利用通信雙方的無線信道特征[3]，通過測量刻畫信道多徑效應的物理量(如信道增益、相位平移、接收信號強度等)產(chǎn)生密鑰。這些信道特征包括：1) 無線信道的時變性：由于多徑效應使得信道衰落隨著時間而隨機變化，且具有較強的隨機性；2) 無線信道的空變性：在不同空間位置兩個鏈接的終端的無線信道是獨立的；3) 無線信道的自反性：無線信道的多徑特征(如信道增益、相位平移、時延等)在鏈路的兩個方向都是相關的、一致的?；谏鲜鲇^察，發(fā)現(xiàn)在無線通信中存在自然的“隨機源”(無線信道的物理特征：信道增益、相位平移、時延等)用于密鑰提取，且利用這種隨機源能夠幫實現(xiàn)信息論安全。

圖1 系統(tǒng)模型

現(xiàn)存的基于物理層的密鑰提取方案存在著諸多限制，如密鑰率低、密鑰熵值低、依賴節(jié)點或者環(huán)境的移動性。目前最高的密鑰生成效率只有40 bits/s[7]，達到這一效率要求節(jié)點的移動性，且在協(xié)議雙方還造成了4%的比特錯誤。造成這一現(xiàn)象的原因是現(xiàn)存的協(xié)議依賴信道變化，即如果信道不發(fā)生變化就不能產(chǎn)生新的密鑰。在靜止的環(huán)境中信道變化是非常緩慢的，這就使得這些協(xié)議不能應用在靜止的環(huán)境中。根據(jù)分析[5]，在靜止的環(huán)境中竊聽者可以判斷出密鑰信息，這使得密鑰的安全性得不到保障。文獻[11]引入了一種信道獨立的物理層方法來提高信道的變化率。該協(xié)議的安全性是基于OFDM系統(tǒng)的數(shù)據(jù)傳輸?shù)慕y(tǒng)計特性實現(xiàn)的，所以該協(xié)議并不適用于其他通信系統(tǒng)。

為了解決這一問題，文獻[12]提出了通過兩根天線改變信道的隨機性來提高密鑰速率。該協(xié)議同時假設敵手也是多天線的，且對敵手天線的數(shù)量沒有限制。本文中通過實驗數(shù)據(jù)分析指出，對于多天線的敵手，該協(xié)議是安全的。但作者并沒有證明該協(xié)議是信息論安全的。那么該協(xié)議是否能在信息論安全的前提下提高密鑰生成效率呢？

本文從信息論的角度出發(fā)，通過理論證明：文獻[12]所提出協(xié)議在多天線敵手的前提下，協(xié)議中通過改變信道的隨機性并不能增加密鑰的信息熵。因此，該協(xié)議不能實現(xiàn)信息論安全的同時提高密鑰生成效率的理論上界。故該協(xié)議不是信息論安全的。

2 基于虛擬信道的密鑰生成協(xié)議

2.1 系統(tǒng)模型

無線通信中，合法用戶Alice和Bob在敵手Eve竊聽信道的情況下，要實現(xiàn)安全對稱密鑰的分發(fā)來達到安全通信。本文假設Eve知道合法用戶間的通信協(xié)議，且可以對接收到的信號所在的信道進行信道測量[13]；同時假設Alice具有兩根天線，Bob有一根天線，而Eve具有多根天線，如圖1[12]所示，將天線按順序1,2,…,編號。假設通信方式為窄帶通信，其結(jié)果可以自然地推廣到寬帶通信。還假設通信信道是相互關聯(lián)的，即前向信道(從Alice到Bob)和反向信道(從Bob到Alice)的信道增益在相干時間內(nèi)是相等的。記和分別是從Alice的天線1和天線2到Bob的天線3的信道增益，和表示從Alice到Eve的天線的信道增益。

信道探測方式：當發(fā)送方Alice發(fā)送已知探測包[]，Alice用乘以[]在天線1上發(fā)射，同時用[]在天線2上發(fā)射，其中，。此時，接收方Bob接收的信號可以表示為：

為了簡化模型，本文只考慮小尺度衰落，沒有考慮路徑長度對協(xié)議的影響，但結(jié)論同樣適用于大尺度衰落。

同時，敵手Eve的第根天線所接收到的信號可表示為：

從式(1)可以得出，Alice的兩根天線到Bob合成的信道增益可以表示為：

2.2 密鑰生成協(xié)議

關于基于虛擬信道的密鑰生成協(xié)議的詳細闡述，請參考文獻[12]。該協(xié)議主要包括虛擬信道測量和測量值的量化兩個階段。

虛擬信道測量階段：首先，Alice確定組三維向量，從而利用這些向量構(gòu)成虛擬信道增益：

(5)

圖2 量化區(qū)域的劃分

3 信息論安全基礎

3.1 信息熵與互信息

3.2 信息論安全

傳統(tǒng)的密碼學的安全性都是基于某一個計算假設，稱之為計算安全，如常用公鑰密碼體系RSA，其安全性是基于“大整數(shù)的因式分解是NP問題”。計算安全的弱點包括：1) 假設敵手的計算能力是有限的。當敵手的計算能力在假設的范圍內(nèi)，系統(tǒng)是安全的；當敵手的計算能力高于假設，則系統(tǒng)將不再安全。2) 計算安全的安全性驗證是基于復雜性理論，而一個問題的復雜度是由最極端的情況決定的，即存在這樣的情況：雖然問題的復雜度很高，但對于該問題的某些情況甚至很大一部分情況的復雜度卻是比較低的。3) 隨著“云計算”的不斷發(fā)展，人們所擁有計算能力也在不斷提高，這對計算安全的系統(tǒng)是一個巨大的挑戰(zhàn)。4) 量子計算的飛速發(fā)展，使得基于量子計算模型的量子計算機逐步成為可能。大量研究證明在圖靈機模型下許多NP問題在量子計算模型下具有快速算法。

如果一個密碼體系從信息論的角度是安全的，稱之為信息論安全[14]。信息論安全的密碼體系假設敵手具有無限計算能力，也稱之為無條件安全。顯然，信息論安全是比計算安全更強的安全定義。

4 基于信息論的攻擊分析

文獻[15]給出了基于物理層安全的密鑰分配協(xié)議的生成密鑰率的理論上界。這里的密鑰率指的是單位時間內(nèi)生成密鑰的比特數(shù)。該上界可表示為：在給定敵手Eve已知信息的條件下，Alice和Bob在單位時間內(nèi)的所得到的信息的條件互信息。

如果將傳統(tǒng)的基于多天線的物理層的密鑰分配協(xié)議[16]應用到本文中的通信模型(即Alice兩根天線，Bob一根天線)，容易證明其理論上界為：

下面的定理是本文的主要結(jié)論。

式中，View(Eve)表示Eve所能得到的所有信息。

故式(7)可改寫成：

同樣的，Eve可以利用監(jiān)聽到的信號集(如等式(3)所示)采用相同的信道評估方法計算出如下結(jié)果：

(9)

解線性方程組(9)可得到：

故可將等式(8)改寫為：

證畢。

上述定理說明在多天線敵手的場景下，利用虛擬信道來實現(xiàn)信息論安全的密鑰分配在理論上不能增加密鑰的生成效率。進一步，基于虛擬信道的密鑰分配協(xié)議所產(chǎn)生的密鑰只用到了Alice和Bob間的兩個信道的信道增益的熵(不確定性)，而隨機向量組并不能增加密鑰的熵。這是因為敵手可以利用兩根天線所得到的信息來估算出和。

5 結(jié) 論

在基于物理層的密鑰分配的研究領域中，如何針對多天線的敵手(特別是天線大于密鑰協(xié)商方的時候)實現(xiàn)信息論安全的高效密鑰分配一直是該領域的一個研究難點。本文從信息論的角度出發(fā)，發(fā)現(xiàn)文獻[12]所提出的密鑰分配協(xié)議并不是信息論安全的。今后，將對多天線敵手下的信息論安全的快速密鑰分配協(xié)議的設計進行研究。

[1] DIFFIE W, HELLMAN M. New directions in cryptography [J]. IEEE Transactions on Information Theory, 1976, 22(6): 644-654.

[2] ARMBRUST M, FOX A, GRIFFITH R, et al. A view of cloud computing[J]. Communications of the ACM, 2010, 53(4): 50-58.

[3] AZIMI-SADIADI B, KIAYIAS A, MERCADO A, et al. Robust key generation from signal envelopes in wireless networks[C]//Proceedings of ACM CCS. [S.l]: ACM, 2007: 401-410.

[4] MATHUR S, TRAPPE W, MANDAYAM N, et al. Radio-telepathy: Extracting a secret key from an unauthenticated wireless channel[C]//Proceedings of ACM Mobicom. [S.l]: ACM, 2008:128-139.

[5] JANA S, PREMNATH S N, CLARK M, et al. On the effectiveness of secret key extraction from wireless signal strength in real environments[C]//Proceedings of ACM Mobicom. [S.l.]: ACM, 2009: 321-332.

[6] PATWARI N, CROFT J, JANA S, et al. High-rate uncorrelated bit extraction for shared secret key generation from channel measurements[J]. IEEE Transactions on Wireless Communication, 2010, 9(1): 17-30.

[7] CROFT J, PATWARI N, KASERA S K. Robust uncorrelated bit extraction methodologies for wireless sensors[C]// Proceedings of ACM/IEEE ICNP. [S.l.]: [s.n.], 2010: 70-81.

[8] CHEN D J, QIN Z, MAO X F, et al. SmokeGrenade: an efficient key generation protocol with artificial interference [J]. IEEE Transactions on Information Forensics & Security, 2013, 8(11): 1731-1745.

[9] WANG Q, SU H, REN K, et al. Fast and scalable secret key generation exploiting channel phase randomness in wireless networks[C]//Proceedings of IEEE INFOCOM. [S.l.]: IEEE, 2011: 1422-1430.

[10] CHEN D J, MAO X F, QIN Z, et al. SmokeGrenade: a key generation protocol with artificial interference in wireless networks[C]//Proceedings of IEEE MASS. [S.l.]: IEEE, 2013: 200-208.

[11] GOLLAKOTA S, KATABI D. Physical layer wireless security made fast and channel independent[C]// Proceedings of IEEE INFOCOM. [S.l.]: IEEE, 2011: 1125-1133.

[12] HUANG P, WANG X. Fast secret key generation in static wireless networks: A virtual channel approach[C]// Proceedings of IEEE INFOCOM. [S.l]: IEEE, 2013: 2292-2300.

[13] TUGNAIT J K, TONG L, DING Z. Single-user channel estimation and equalization[J]. IEEE journal of Signal Processing Magazine, 2000, 17(3): 16-28.

[14] LIANG Y, POOR H V. Information theoretic security[J]. Foundations and Trends in Communications and Information Theory, 2009,5(4-5):355-580.

[15] AHLSWEDE R, CSISZAR I. Common randomness in information theory and cryptography, part I: Secret sharing[J]. IEEE Transactions on Information Theory, 1993, 39(4): 1121-1132.

[16] ZENG K, WU D, CHAN A, et al. Exploiting multiple antenna diversity for shared secret key generation in wireless networks[C]//Proceedings of IEEE INFOCOM. [S.l.]: IEEE, 2010: 1-9.

編 輯 稅 紅

On the Security of Fast Secret Key Generation Protocol with Virtual Channel Approach

CHEN Da-jiang1, QIN Zhen2, QIN Zhi-guang1, and WANG Rui-jing1

(1. School of Computer Science & Engineering, University of Electronic Science and Technology of China Chengdu 611731;2. School of Communication and Information Engineering, University of Electronic Science and Technology of China Chengdu 611731)

It is vitally important to generate keys and keep them secret in secure wireless communications. Due to the broadcast nature of wireless channels, secret key distribution is more vulnerable to attacks in wireless communication. An ingenious solution is to generate secret keys by using the multipath channel as a source of common randomness. To address the problems that the existing physical-based protocols have low key generation rate and high reliance on mobile nodes or environments, a fast secret key generation protocol with virtual channel approachwas proposed by HUANG and WANG for static wireless networks. In this paper, we show that, in the presence of an eavesdropper with multiple antennas, the scheme does not improve the theoretical upper bound of the key generation rate with information-theory security. Thus, the protocol is not information-theory security.

information-theory security; key distribution; physical layer; virtual channel; wireless communication

TP309

A

10.3969/j.issn.1001-0548.2015.01.019

2013-09-12；

2014-02-17

國家科技重大專項(20112X03002-002-03)；國家自然科學基金重點項目(61190110)

陳大江(1982-)，男，博士生，主要從事信息論安全、物理層安全、無線安全等方面的研究.