基于LDPC 和椭圆曲线加密算法的密钥协商方案

2022-07-26 07:05王华华郑明杰梁志勇
关键词:加密算法校验密钥

王华华,郑明杰,陈 峰,梁志勇

(重庆邮电大学 通信与信息工程学院,重庆 400065)

随着经济的腾飞和移动通信技术的发展,无线通信终端的数目呈爆发式增长。 5G 方兴未艾,6G崭露锋芒,根据3GPP 于2019 年发布的时间表可知,将于2023 年开启6G 的研究工作,在2025 年开始对6G 技术标准化,预计于2028 年下半年上市6G的相关设备。 第六代移动网络将从宏观设备到纳米设备为人们提供了一个完整的通信系统,这些异构节点构成一个超密集网络并管理着大量敏感信息[1],如此庞大的网络节点给通信网络安全带来了极大的挑战。 移动通信技术的迭代促进物联网领域的发展,届时,将对无线通信技术和无线信道的安全提出更高的要求。 无线信道固有的广播和开放性质允许任何用户接收其传输的信息,这将导致攻击者有能力发起各种被动攻击,如窃听、流量分析和监控等,或执行主动攻击,如干扰、欺骗、修改和拒绝服务等[2]。 作为现有加密方式的补充,物理层密钥生成技术越来越受到关注,通信终端间无线信道的互易性和空间去相关性使通过无线信道的特征提取密钥成为现实[3]。 物理层密钥生成技术有4 个步骤:信道探测与估计、量化、密钥协商和隐私增强,其中密钥协商占有举足轻重的地位。

近年来,密钥协商的研究工作如火如荼。 1993年,Brassard 等[4]首次提出了Cascade 协商算法,该算法以二分法为基础,通过不断地奇偶校验和回溯纠错尽可能地使合法终端获得一致的密钥。 但是该方法交互次数较多,泄露的信息较多。 文献[5]提出了一种名为Winnow 的协商算法,该算法通过汉明码纠错大大降低了合法终端之间的交互次数,但为了减少信息泄露,该算法会删除部分信息,没有充分利用初始密钥。 除了以上两个经典算法,基于纠错编码的协商算法也是近几年的研究热点。 文献[6]提出在光纤信道中使用多位自适应量化器和LDPC 组合的协商方案,该文献所提的LDPC 协商只是进行一次LDPC 纠错,如果一次LDPC 纠错后无法保证两个合法终端的密钥一致即抛弃。 这种纠错方法成功率低,浪费资源且成效甚微。 文献[7]也是只使用一次LDPC 进行纠错,该文献对比了不同码率对信息泄露的影响,但并未论证使用LDPC对密钥不一致率的影响。 文献[8]简单提出使用LDPC 进行纠错以达到协商的目的,但具体方案只字未提。 除了使用汉明码和LDPC 以外,还有部分学者使用极化码[9]和错误校正码等信道编码进行密钥协商。 这些文献均未详细叙述合法通信双方的交互过程和协商过程,且交互次数多。

近几年,椭圆曲线加密算法逐渐应用到无线通信领域,与目前使用的RSA 算法相比,它可以使用相对较少的密钥提供同等强度的安全级别,如果提供与RSA 和DH 相同的安全强度,椭圆曲线加密算法需要更小的密钥尺寸,从而大大降低功耗[10]。 目前,已有学者提出椭圆曲线加密算法在智能电表和电网控制中心间通信的应用方案[11],这足以说明椭圆曲线加密算法在低功耗器件中使用的可能。

为了解决上述文献在密钥协商中无法高效使用LDPC 等问题,本方案提出了一种使LDPC 和椭圆曲线加密算法有机结合的密钥协商方案。 该方案分为4 个步骤:LDPC 纠错、交织编码、分块与奇偶校验和椭圆曲线加密算法纠错。 仿真结果表明:同等信噪比下该方案比单一地使用LDPC 协商拥有更低的密钥不一致率且性能优于文献[12]的协商方案;本方案的交互次数远低于Cascade 协商方案。

1 系统模型

1.1 窃听模型

本方案研究的系统模型如图1 所示,Alice 和Bob 是TDD⁃OFDM 系统中的两个合法终端,Eve 是潜伏在其中的被动窃听者。 由于Alice 和Bob 之间具有信道互易性,同一链路的两端具有相同的多径效应和路径损耗,只要它们在相干时间内完成一次信道探测,就认为它们可获得相同的信道冲激响应。有研究表明,窃听者Eve 必须在二分之一波长内才能获得和合法终端一致的信道冲激响应[2,13],以中国移动的最低5G 频率(2 515 MHz)为例,Eve 必须在0.6 mm 内才能获得有价值的信道冲激响应,故认为Eve 与Alice(Bob)的信道冲激响应和Alice 与Bob 间的信道冲激响应不同。

图1 窃听模型

1.2 密钥生成步骤

典型的物理层密钥生成技术分为4 个步骤:信道探测与估计、量化、密钥协商和隐私增强。 本文采用瑞利衰落信道和时分双工正交频分复用通信系统,通信双方在该系统中互发导频信号并信道估计。然后从信道估计中提取特征值,将其转化为二进制的数字量,称其为量化。 由于信道中含有各种噪声和接收机存在差异等原因导致通信双方接收的信号并不完全一致,那么信道估计和量化的结果总会存在差异,故需要密钥协商使双方密钥完全一致[14]。本文在隐私增强部分采用哈希函数消除量化过程中密钥泄露的影响并提高密钥随机性。

(1) 信道探测与估计

为方便描述,定义Alice 和Bob 之间的信道冲激响应为hAB(t),hBA(t); Alice、Bob 和Eve 之间的信道 冲 激 响 应 为hAE(t),hBE(t)。 由 上 述 可 知:hAB(t)=hBA(t),hAB(t) ≠hAE(t) 和hAB(t) ≠hBE(t)。 Alice 向Bob 发送的信号为sA(t), Bob 向Alice 发送的信号为sB(t)。 假设所有终端间的无线信道都符合瑞利衰落,且信道内噪声为加性高斯白噪声,Alice 和Bob 端的噪声为nA(t)、nB(t)。

Alice 向Bob 发送信号sA(t),Bob 收到信号为

当τ <Tc时,即认为hAlice(t+τ)=hBob(t),Tc为相干时间。

(2) 量化

量化是将信道估计的结果映射成数字量。 虽然两个合法终端的信道特征高度相似,但并不是完全一致,将导致量化后的结果并不完全一致,这也是密钥协商的必要性。 本文在信道频率响应星座图中划分16 个量化区域,并依据四变量卡诺图为每个区域确定编码方案,该方法具备格雷码的优点,即使有特征值误判到其他区域也只会相差一个比特[15]。 量化区域与编码方案如图2 所示。

图2 量化区域与编码方案

在图2 中,Q是信道频率响应的实部与虚部均值的交点,Qlr和Qrr是实部的1/4 分位点和3/4 分位点,Qli和Qri是虚部的1/4 分位点和3/4 分位点。

(3) 密钥协商

Alice 和Bob 经过量化的二进制序列高度相似,但又不完全一致,通过密钥协商将两者变成完全一样的密钥,具体方案将在第2 节详细介绍。

(4) 隐私增强

在密钥协商阶段,难免会通过公共信道传递部分信息,这些信息很可能被Eve 监听,造成信息泄露。 目前最常用的隐私增强的方法是运用哈希函数,即通过压缩函数将有限长度的消息映射为固定长度的哈希值[16],而该过程是不可逆的,且对原信息做细微改变后映射的哈希值就会有巨大改变,这使得哈希函数可以运用于隐私增强。 由于哈希函数的自变量与因变量差异很大,故其也可提高密钥随机性。

2 密钥协商

2.1 密钥协商流程

基于LDPC 和椭圆曲线加密算法的密钥协商方案流程如图3 所示。 首先,将Alice 经过信道估计和量化后的密钥做LPDC,并将校验序列传输给Bob。然后,Bob 将该校验序列附于其量化后的密钥后面并利用相同的校验矩阵译码。 其后,两个合法终端对密钥交织。 最后,合法终端将各自的密钥以同样的标准分块和奇偶校验,Bob 将奇偶校验不一致的密钥块和索引通过椭圆曲线加密算法传输给Alice。

图3 密钥协商流程图

2.2 LDPC 协商过程

LDPC 在1962 年被Gallager 提出,由于技术限制缺乏有效的译码方案而被埋没,直到1995 年又被MacKay 等人发现并重启研究。 由于其编码效率接近于香农极限、编解码简单和时延小等优点,在2016 年底,LDPC 被确定为第五代移动通信技术的下行共享信道编码方式。 由于LDPC 较高的纠错能力,故本文将其运用在协商中。

假设线性分组码的码长为n, 其中信息位长为k,校验位长度为m(m=n-k)。 其可用生成矩阵Gk∗n表示,也可以用一致校验矩阵Hm∗n表示,所有信息序列S1∗k都满足:S1∗k∗G∗HT=0。 校验矩阵H决定纠错效果,低密度奇偶校验编码的名字源自其校验矩阵的稀疏性,即校验矩阵中“1”很少,“0”很多。 优良的正则LDPC 的校验矩阵H应当满足:(1)H的每行有ρ个“1”;(2)H的每列有λ个“1”,λ≥3;(3) 与码长n和H的行数相比,ρ和λ都很小。 根据校验矩阵H的译码方案主要有:比特翻转算法和置信传播算法等。

针对众多学者没有详细描述LDPC 用于密钥协商的交互过程和纠错方法,本文从编码矩阵的角度详细描述该过程。 与多数文献直接传递LDPC 编码后的结果,多次异或比较和多次使用LDPC 相比[17],本文所提出只传递一次校验序列的方案有着诸多优势,如:交互次数少,密钥泄露率低;只传递校验序列不会泄露任何密钥信息;成功率高等。 LDPC码的协商部分如图3 所示。 在Alice 端,经过量化后得到初始密钥kA=[kA1,…,kAk] ∈ℤ1∗k, 并选取合适的校验矩阵H=[H1,H2]∈ℤm∗n,其中H1∈ℤm∗k、H2∈ℤm∗m, 将编码后的码字表示为cA=[kA,h] ∈ℤ1∗n,其中h∈ℤ1∗m为校验序列,其结果如式(5)所示。

将h通过公共信道发送给Bob,在Bob 端,经过量化后得到初始密钥kB=[kB1,…,kBk] ∈ℤ1∗k。认为kB是kA通过公共信道传输后被噪声污染后的信号,用h对其纠错,构造向量cB=[kB,h]∈ℤ1∗n并使用校验矩阵H对其译码得到Bob 端的密钥kB1∈ℤ1∗k。

2.3 交织、分块与奇偶校验

式中:Q1={1,2,…,q},Q2={q+1,q+2,…,2q},q=N/2。

本方案为了降低利用椭圆曲线加密算法传递简短密钥块的计算复杂度,尽量减少码块尺寸并兼顾奇偶校验的性能,将分块数目选定为m=N。Alice 和Bob 对各自的密钥块奇偶校验并将校验结果传送给Bob,由Bob 选取奇偶校验不一致的密钥块。

2.4 椭圆曲线加密算法

假设p是一个大于3 的素数,Fp表示p元有限域,在该域上的函数为[10]

当a,b∈Fq且4a3+27b2≠0 时称之为椭圆曲线。 将满足式(7)的所有非负整数对和无穷远点ο记为集合Ep(a,b), 这是一个有限的离散点集。Alice 和Bob 通过椭圆曲线加密算法传递简短的密钥块和索引的具体算法如下所示:

算法1 运用椭圆曲线加密算法传递简短密钥块

经过算法1 的处理,Bob 将奇偶校验不一致的密钥块传递给Alice,并被替换到Alice 对应密钥位置上。 该算法极大地降低了合法通信双方的密钥不一致率,其效果如图4 所示。

图4 不同译码算法的密钥不一致率和信噪比的关系

由于在本密钥协商方案中,要传递的密钥块很少且每个密钥块很小,所以椭圆曲线加密算法可以使用在物理层密钥生成技术的密钥协商阶段。

3 仿真结果与分析

本节通过MATLAB 对所提出的基于LDPC 和椭圆曲线加密算法的密钥协商方案进行仿真和结果分析,仿真采用TDD-OFDM 系统,具体仿真参数如表1 所示。

表1 仿真参数

密钥不一致率(Key Disagreement Rate,KDR)指Alice 和Bob 所生成密钥的对应位置不一致的数目占总密钥长度的比值,如式(8)所示。

式中,N为密钥总长度,KA和KB为Alice 和Bob 经过协商后的密钥。

将LDPC 用于物理层密钥协商主要是利用其优异的译码性能,不同的译码算法有着不同的效果。为了给该协商方案选取合适的译码算法,本文比对了APP⁃BP 译码算法、LLR⁃BP 译码算法和最小和BP 译码算法在不同信噪比下的密钥不一致率,如图4 所示。

由图4 可知,随着信噪比的增大,经过上述译码算法处理后的密钥,其不一致率都有不同程度的降低;APP⁃BP 译码算法和LLR⁃BP 译码算法只有在较大信噪比时才有明显效果,最小和BP 译码算法在信噪比为7 dB 后便可以大幅降低密钥不一致率。本文选取最小和BP 译码算法做为LDPC 的译码方案。

选取译码方案后,本文将LDPC 和椭圆加密曲线相结合,比较了不同信噪比时量化、LDPC 纠错和使用椭圆曲线加密算法后的密钥不一致率,并和文献[12]中协商后的密钥不一致率进行比较,如图5所示。

由图5 可知,经过椭圆曲线加密算法进行简短密钥块交换后,密钥不一致率较LDPC 纠错后有大幅降低,本文所提出的密钥协商方案性能优于文献[12]使用改进型Cascade 协商方案,也优于单一使用LDPC 的协商方案。 当信噪比太低时,量化后密钥不一致率过高导致LDPC 无法准确译码甚至引入错误比特,所以信噪比小于5 dB 时,LDPC 纠错后的密钥不一致率比量化后略高;而随着信噪比的增大,LDPC 的译码性能大幅提升,该协商方案高度依赖量化后的密钥不一致率。

图5 量化、LDPC 纠错、椭圆曲线加密算法和文献[12]的密钥不一致率对比

交互次数关乎于协商方案的复杂度,移动通信和物联网等低功耗通信方式对于交互次数的要求非常严苛;交互次数的增加也意味着密钥泄露率的增加。 本文所提密钥协商方案与Cascade[4]协商方案和文献[12]提出的改进型Cascade 协商方案的交互次数对比如图6 所示。

图6 本文方案、Cascade 和文献[12]的交互次数对比

由图6 可见,与Cascade 协商方案、文献[12]提出的改进型Cascade 协商方案相比,本文所提的协商方案的交互次数明显更少。

4 结束语

本文针对无线通信物理层密钥生成技术中量化后密钥不一致的问题,把LDPC 和椭圆曲线加密算法运用到密钥协商中,提出了一种基于LDPC 和椭圆曲线加密算法的密钥协商方案。 经过仿真表明:同等信噪比下,该方案比单一地使用LDPC 协商拥有更低的密钥不一致率;该方案拥有较少的交互次数。

猜你喜欢
加密算法校验密钥
复杂多耦合仿真模型校验工具研究
使用Excel朗读功能校验工作表中的数据
加密文档排序中保序加密算法的最优化选取
幻中邂逅之金色密钥
幻中邂逅之金色密钥
电能表在线不停电校验技术
Android密钥库简析
精通文件校验的“门道”
教育云平台的敏感信息保护技术研究
一种改进的加密算法在空调群控系统中的研究与实现