不同环境下无线信道密钥生成性能研究*

袁 瑞,彭林宁,2,李古月,2,付 华,2

1.东南大学网络空间安全学院,南京210096

2.网络通信与安全紫金山实验室,南京211111

1 引言

传统的密钥算法面临着几个问题.以公钥加密为例,其安全性取决于一些数学问题的计算难度,比如大整数分解.随着硬件技术的发展,算法的安全性可能无法得到足够的保证.此外,传统的公钥基础设施(PKI)依赖于安全可信的第三方机构来分发密钥.计算复杂度较高的传统算法也无法适用于计算能力有限的传感器网络[1].近年来,无线通信中的密钥协商方案由于其计算复杂度低、安全性受到广泛关注.不同于传统的公钥基础设施分发密钥,无线信道密钥协商无须依赖第三方密钥分发可信机构,相对于 RSA等加密算法具有较低复杂度,适用于物联网设备.

基于无线信道的随机性和短时互易性,有许多无线密钥协商方案被提出[2,3].综合来说,无线密钥协商技术主要分为信道探测和特征利用两大部分:

•信道探测是测量无线信道并提取无线信道特征的过程.通信双方互相发送导频信号帧,并从接收到的导频信号帧中提取信道特征.

•特征利用是利用无线信道特征作为随机的密钥源并结合合理可靠的交互协议生成会话密钥的过程.通信双方在探测信道之后,量化信道特征得到密钥,通过公共信道的交互协议去除密钥中的不一致比特,得到完全一致的会话密钥.

在时分双工(TDD)通信系统,相干时间内的无线信道具有短时互易性,通信双方互相发送的导频信号经历了相同的信道衰落,所以测量得到的信道特征极为相似,从信道特征中提取信道状态信息(CSI),进而生成会话密钥具有较高可行性.第三方窃听者监听到的导频信号由于经历了不同的信道衰减,所以无法提取与合法接收者相同的信道特征[4].

但是,由于收发机的硬件指纹等原因,导致通信双方利用CSI生成的密钥并非完全一致[5,6].除此之外,周遭环境的不断变化,导致无线信道即使在相干时间内也会发生变化,本文在不同场景下采集数据并观察信道变化的剧烈程度.

现代无线通信通常采用正交频分复用技术(OFDM),较高的频谱利用率和抗多径性能使得OFDM广泛应用于移动通信、卫星通信、无线局域网等场景中.在OFDM系统中,信道估计主要分为两大类:

•基于导频符号的信道估计通信双方已知训练导频序列,通过收到的信号结合已知训练信号,估计传输信道,通常用于正式发送数据前获取信道信息,以此调整传输数据[7].

•盲信道估计通信双方不用规约导频序列,利用调制信号的固有特征进行信道估计或者利用信号的统计特性,但是估计精度低、收敛速度慢、计算复杂度较高[8].

Hassan首次提出基于无线信道特征协商密钥[9,10].之后,基于物理层无线信道的密钥协商方法大量涌现.常见的无线信道特征包括两类:

•RSS(Received Signal Strength)RSS表示一段时间内的平均信号能量.在某个时刻,对于一条通信链路的上行和下行信道来说,无线信道的多径属性 (增益、相位偏移和延迟)是相同的,因此可以利用测量对称的RSS生成密钥[11,12].RSS容易计算,但是只表征了信道特征的粗略信息,且在静止环境下变化不大,密钥生成速率较小.

•CSI(Channel State Infomation)表征信道估计值,描述信号从发射机到接收机的散射(scattering)、衰落(fading)等.因此更适合用于描述信道特征.CSI分为瞬态CSI和稳态CSI.将多载波技术与CSI结合可以提高密钥生成速率[13].

GNU Radio是一种能够使用户设计、仿真以及部署高性能无线电的软件无线电系统,并被广泛应用于无线电领域,包括音频处理、移动通信、跟踪卫星、GSM网络等等计算机软件[14].为了能够进一步验证无线密钥生成技术在实际环境中的安全性和可靠性,本文基于GNU Radio软件无线电开发平台和USRP N210硬件,设计无线密钥生成系统,用于探测真实环境下不同场景下环境对信道互易性的影响,观察信道互易性的变化.

本文使用CSI生成密钥来满足密钥生成速率.在现有研究中,无线密钥研究的理论和仿真居多,但是在实际实验中使用CSI协商密钥的研究较少,且没有经过不同场景下的实际测量.本文使用软件无线电平台设计无线密钥生成系统并在不同场景下采集数据.为了测试无线信道密钥生成技术在不同场景下的适用性,考虑了室外、走廊、室外三个实验环境,在每个实验环境下分别测量三种状况下的信道.同时,本文提出一种评估无线密钥生成系统安全性和可靠性机制,分析了CSI的相关性、信道随机性、密钥随机性和信息泄露率等五种指标,充分研究了无线密钥生成技术在实际环境中使用的安全性和可靠性.

本文剩下部分主要为:第2节阐述本文设计的系统.第3节通过设计实验场景,测量和评估不同场景下的密钥生成系统的安全性和可靠性.第4节为本文结论.

2 无线信道密钥生成流程

2.1 整体架构

本文设计的无线信道密钥生成系统主要分为,信道测量、信道估计、量化编码、信息调和,整体架构如图1所示.

图1 整体架构Figure 1 Whole architecture

2.2 信道测量

在TDD通信系统中,考虑一对合法用户Alice和Bob在多径衰落信道工作,通信双方互相发送已知导频信号帧.在相干时间τ内,通信双方发送的信号经过相同的信道衰落到达对方.接收方由接收到的导频信号帧与已知导频信号帧估计τ这段时间内的信道.

2.2.1 导频信号设计

Alice和Bob互相发送导频序列估计信道,导频信号设计如图2.

图2 导频信号结构Figure 2 Structure of pilot symbol signal

考虑到Alice和Bob使用无线信道进行通信,通信信号包括导频信号和数据载荷.本文基于m序列优秀的循环自相关特性,设计了m序列进行无线信道估计,设计不同频率的正弦波信号用于TDD收发信号的分离.

导频信号由正弦信号、循环前缀、m序列、OFDM数据符号以及正弦信号组成.首尾两端正弦波是为了在接收端通过傅里叶变换或者其他手段检测出这段导频信号帧.检测出这段导频信号帧之后,进一步通过循环前缀进一步精确定位m序列的起始位置,并截取m序列作为实际接收到的训练序列.根据实际接收的训练序列与已知m序列结合公式估计信道.

2.2.2 基于导频信号TDD收发系统设计

本节阐述该系统的导频收发机部分.导频收发机基于GNU Radio平台构建,是本系统最核心的部分.具体来说,由四个GNU Radio的模块构成:导频序列输出模块、数据发射模块、数据接收模块、导频信号检测模块.导频收发机的结构如图3.

图3 TDD收发系统设计Figure 3 TDD tranceiver structure

•导频序列输出模块该模块读取或者生成需要发射的导频信号帧,其输入有一控制信号,该信号用于是否发射导频信号.

•数据发射模块该模块将基带信号变为调制信号,输入到USRP外设,然后发射.

•数据接收模块通用计算机从网口或者usb读入数据流,该模块将调制信号变为基带信号.

•导频信号检测模块该模块不断读入基带数据,通过 ff t检测某段信号是否为正弦波.如果检测到某段信号首尾两端均是正弦波,且长度符合导频信号,则将其存储,供之后估计信道使用.

当Alice的发射机发送导频信号给Bob时,Bob的接收机会检测出导频信号,并触发发射机的 Bob发射事件,Alice的接收机检测出导频信号,然后通知Bob开始后续的估计信道、信息调和等过程.

2.3 信道估计

将无线信道建模为一个时变有限脉冲响应(FIR)滤波器[15].则信道频率响应可以表示为:

其中,hl是第l条径的幅度响应,t−τl是第l条路径的时延.

如图4所示,Alice和Bob互相发送m序列m(t)作为导频信号,m序列的循环周期为N,移位脉冲周期为∆t.设Alice到Bob的频率响应为hab,设Bob到Alice到Bob的信道脉冲响应为hba.

图4 无线信道模型Figure 4 Wireless channel model

Alice接收的时域信号为:

Bob接收的时域信号为:

维纳霍夫方程的离散形式为,

M序列的自相关函数为,

根据维纳霍夫方程和M序列的自相关函数,推导信道脉冲响应的估计如下

其中,

工程上,

因此Bob通过式(8)估计信道,

同理,Alice通过式(8)估计信道,

其中,a为常数.

2.4 量化

在一次交互过程中,Alice和Bob分别估计信道,并得到CSI.先对CSI降采样,以降低密钥的泄露率[5].同时,量化可以降低噪声的影响[16].设量化时最大值为mmax,量化阶数为R,量化前的值为m,量化后的值q,将 CSI归一化之后按照式(13)均匀量化,得到离散的采样值,采样值对应的比特数即量化阶数,本文量化阶数为3.密钥的生成速率与量化阶数成正比,通信双方的密钥一致率与量化阶数成反比.因此可以根据信噪比去调整量化阶数以得到较为均衡的密钥生成速率与一致率.量化之后的采样值需要进一步格雷编码降低密钥的不一致率.然后进行8B/10B编码,过程如图5所示.

图5 量化Figure 5 Quantization

2.5 信息调和

信息调和是在公共信道对不完全一致的密钥信息协商.由于短时信道互易性,所以通信双方分别通过上述步骤提取出的密钥是近似的,但是由于信道在探测的时隙内发生变化、环境中的干扰以及硬件指纹等各种因素,双方提取出的密钥又是不完全一致的.因此需要进一步调和.

信息调和通常基于 Caseade协议[17]或者纠错码,比如 Turbo码,BCD码,LDPC码等[18].本文使用CRC校验码去除不一致比特.假设通信双方Alice和Bob,量化之后提取的比特字符串为key1和key2.Alice分组计算key1的CRC校验码,并将校验冗余部分的码字发送给Bob.Bob进行同样的分组,并根据Alice发送过来的冗余码字去除不一致的组.Bob再将校验结果回发给Alice,Alice根据校验结果去除不一致的组.最终双方可以得到一致的会话密钥.信息调和的流程如图6.

3 场景架构与分析

根据第 2节中提到的搭建方法搭建实验环境,硬件环境为三台 USRP N210,三台主机,软件为基于GNU Radio开发的TDD机制的导频收发机和密钥协商系统.为了避开ISM频带信号对实验的影响,载波频率设置为2535 MHz,发射增益和接收增益为25 dB,采样率12.5 Ms,带宽12.5 MHz.

图6 信息调和Figure 6 Infomation reconciliation

本实验分为三个场合:室内、走廊和室外,每个场景下又设置三种影响信道的方式.

•方式 1不干扰信道

•方式 2行人在周围环境随机移动

•方式 3收发机小范围内移动

室内、走廊和室外的示意图如图7,

图7 室内、走廊和室外的示意图Figure 7 Indoor,corridor and outdoor schematic

九个场景下在连续时间段各采集600组数据,用于实验结果分析.三个场景下三种信道环境的信道估计结果如图8,图中只展示 Alice的结果.从图中可以明显看出,室内静态环境下的 CSI几乎不变,室内场景下的三种方式相对于其他场景来说也较为平坦.在室内走廊和室外环境中,终端移动和人员移动时的CSI变化相对于终端静止时更为剧烈.

3.1 CSI相关性

本文对每一组数据使用式 (14)计算 Alice和Bob以及 Alice和 Eve之间的皮尔逊相关系数,其中˜Hab和˜Hba分别为上下行估计所得信道响应,Alice、Bob和Eve之间的平均互相关系数值如图9.分析结果表明,在九种场景下,Alice与Bob之间相关性均远高于Alice与Eve.无论哪种情况,Alice与Bob之间的相关系数均高于0.9711.而Alice与 Eve之间的相关系数最高也只有0.8192,并且出现在室内终端固定的情况下.无论是室内、走廊还是室外,当有人员在周围环境走动时,Alice与Eve的信道相关性最低,其中室内场景终端移动时低至0.4004.

图8 不同场景与环境下CSI结果展示Figure 8 CSI results in different scenarios and environments

图9 不同场景下三者之间的互相关系数柱状图Figure 9 Histogram of cross correlation coefficient among the three in different scenes

3.2 信息泄露率

虽然本文所述系统可以生成对称密钥且不会使得第三方协商得到相同密钥,但是所有过程对于第三方窃听者来说是透明的[19].本文通过信息论中未泄露的信息量来评估系统的安全性.设Alice,Bob和Eve对信道的探测分别为HA,HB和HE.那么A和B之间信道的互信息为,

其中,|Rxy|=E{HxHHy}表示协方差系数.

存在Eve时,Alice和Bob之间的互信息量为

通过Isk与Ik的比例来评估信息未泄露的比率,

通过公式计算不同场景下平均安全信息率,如图10所示.

实验结果表明,无论是室内、走廊和室外,均是方式二的未泄露率最高,其中在室外,信息安全比率高达91.01%.即使是室内,信息的安全比率也能高于67.05%.

3.3 随机性评估

3.3.1 CSI随机性

CSI的随机性既有时域的变化,也有频域的变化.为了衡量CSI的随机性,本文采集了不同场景下的多组CSI,计算多组CSI的图像熵,用来衡量CSI的随机性.

使用二维快速傅里叶变换(2D-FFT)的图像熵来表征信道的随机性.设计算得到的多组CSI归一化之后为矩阵CMxN,M为CSI长度,N为采集的CSI组数.C(x,y)表示第i行第j列的值,那么对其做2D-FFT计算,其2D-FFT的矩阵为

为了缩小差距,将F取In函数得到L,

再归一化到[0,1]范围内得到,

将[0,1]区间分割成256等份,统计I(u,v)在各个区间的概率,计算I(u,v)的熵,

本文首先展示了用图像熵进行随机性评估的评价依据,然后本文针对九种不同场景下采集多组CSI,并计算熵,结果如表1所示.

表1 不同场景的图像熵值Table 1 Image entropy of different scenes

此外,本文计算了信道无多径且不随时间变化、信道有多径且不随时间变化、信道随时间不同完全随机变化三种特殊情况下的CSI作为对比,其CSI结果如图11,得到的熵值如表2所示.

图11 特殊情况下CSI结果展示Figure 11 CSI in special cases

表2 特殊情况的图像熵值Table 2 Image entropy in special cases

由计算结果可知,室外和走廊信道随机性相对于室内较高,当有人走动时以及终端移动时的信道随机性相对于室内无干扰时较高.

3.3.2 密钥随机性

本文使用NIST随机性测试来评估密钥的随机性[20],选择8种随机性测试方法计算不同场景下生成密钥的通过率,其中降采样率为8.结果如表3.NIST测试结果表明,方式2和方式 3均有较高随机性,而方式1由于是静态环境,所以生成密钥随机性较低.此外,综合几种测试方式来看,走廊和室外的随机性均比室内随机性要高.

表3 NIST测试结果降采样数为8Table 3 NIST test results when downsampling rate is equal to 8

本文同样计算了降采样率为1和4的结果,如表4和表5.从结果可以看出,降采样率越大,密钥的随机性越好.

表4 NIST测试结果降采样数为1Table 4 NIST test results when downsampling rate is equal to 1

表5 NIST测试结果降采样数为4Table 5 NIST test results when downsampling rate is equal to 4

3.4 密钥生成速率

调整降采样率可以影响密钥生成速率,但是降采样率过高,密钥生成速率降低.本文计算了不同降采样率下的密钥生成速率.结果如图12所示,观察可知,密钥生成速率随着降采样率升高而降低.在采样率为4时,密钥生成速率高达92.2231 bits/s,在采样率为20时,密钥生成速率降低到15.9688 bits/s.

图12 不同降采样率的密钥生成速率Figure 12 Key generation rates with different desampling rates

4 结论

本文基于 GNU Radio和 USRP设计了无线密钥生成系统,研究了在不同场景下无线密钥生成技术的安全性和可靠性.通过大量实验表明,走廊和室外场景的信道和密钥随机性较高,并且周围环境的扰动对随机性有重要贡献.此外,当有近距离窃听者存在时,第三方窃听者无法获得相似的无线信道.通过分析其安全信息泄露率,我们发现,无论在哪种环境下窃听者获得的秘密信息比率都很低,不高于 32.95%,充分验证了无线密钥生成技术的安全性.此外,通过评估CSI和密钥的随机性,我们发现,通过合理设计系统参数,设置合适的降采样率,可以生成满足 NIST随机性需求的密钥.通过分析图像熵,我们可以得出无论在什么场景下,无线信道密钥技术都能保证其 CSI满足足够的随机性.因此该技术在实际环境中可以满足可靠性的要求.最后系统可以在满足安全性和可靠性的基础上,在降采样率为8时,达到较高的密钥生成速率42.2188 bits/s.