第三方驗(yàn)證下的基于無線信道特征的密鑰提取

丁佳蓉，朱淑文

（上海工程技術(shù)大學(xué)電子電氣工程學(xué)院，上海201620）

0 引 言

隨著無線設(shè)備的普及，安全無線通信日漸受到人們的關(guān)注，無線體域網(wǎng)技術(shù)是目前實(shí)現(xiàn)個(gè)性化衛(wèi)生保健的新興技術(shù)。典型的體域網(wǎng)通常由小型傳感器組成，安裝在身體上記錄生命體征并與基站（固定接入點(diǎn)或便攜式設(shè)備）進(jìn)行無線通信，以便提供遠(yuǎn)程監(jiān)控、實(shí)時(shí)分析和遠(yuǎn)程診斷等，從而減輕醫(yī)療行業(yè)中醫(yī)護(hù)人員的負(fù)擔(dān)。

考慮到體域網(wǎng)中設(shè)備資源有限，要保障安全通信，顯然無法直接應(yīng)用傳統(tǒng)的加密技術(shù)，而是需要采用輕量級(jí)的密碼技術(shù)。經(jīng)過研究可知，對(duì)稱密碼體制時(shí)間復(fù)雜度與空間復(fù)雜度不高，但存在密鑰分發(fā)問題。使用Diffie-Hellman生成共享密鑰交換［1］，部署和執(zhí)行成本很高，不適合資源受限的傳感器設(shè)備?；谏硖卣鞯拿荑€提取伴有高度的噪音和可變性。最近的研究已經(jīng)將注意力轉(zhuǎn)移到僅基于物理層特征的無線通信安全［2-4］，可以消除復(fù)雜的密鑰分發(fā)過程和計(jì)算開銷，利用信道特征來進(jìn)行密鑰提取，這種特征是獨(dú)一無二的，攻擊者很難偽造。支持這種方法的理論可描述為［5］：2個(gè)通信節(jié)點(diǎn)Alice和Bob之間的無線信道在本質(zhì)上是對(duì)稱的，也就是如果Alice和Bob使用相同的收發(fā)器和天線，并且傳輸相同的信號(hào)，那么這兩者也會(huì)收到相同的信號(hào)。當(dāng)傳感器和基站進(jìn)行通信時(shí)，通過傳輸數(shù)據(jù)消息可以對(duì)各自的無線鏈路信道特征進(jìn)行采樣，每一方產(chǎn)生一個(gè)獨(dú)特的密鑰，在理想條件下，除了干擾和噪音外，得到的測(cè)量結(jié)果也是一致的，因此雙方獲得相同的密鑰，可以作為會(huì)話密鑰。

但是實(shí)際情況下，雙方提取的信道特征并不是完全對(duì)稱的，所以通常會(huì)引入信息協(xié)調(diào)來改善不匹配率，這會(huì)增加可穿戴設(shè)備的能源開銷，基于此本文擬引入Victor來對(duì)密鑰進(jìn)行校驗(yàn)和分發(fā)，而且Victor將同時(shí)監(jiān)控 Alice到 Bob、Bob到 Victor、Victor到Alice三條信道，Victor的引入就可以有效阻止合謀攻擊；此外，在現(xiàn)有的研究工作中，沒有對(duì)量化后的數(shù)據(jù)進(jìn)行保護(hù)，這就使得核心研究數(shù)據(jù)更容易受到中間人的攻擊，故而本文的方案也便于對(duì)量化后的數(shù)據(jù)進(jìn)行處理，即使密鑰在傳輸過程中被Eve意外監(jiān)聽，也無法直接對(duì)生理數(shù)據(jù)進(jìn)行加解密，可有效減少中間人的攻擊。

1 系統(tǒng)模型

目前，保險(xiǎn)公司承保風(fēng)險(xiǎn)和保費(fèi)精算工作，依賴人的健康信息和對(duì)健康行為的遵守。假設(shè)Alice的大病初愈，保險(xiǎn)人為了保證Alice能夠主動(dòng)配合康復(fù)治療，長期保持正常的生活作息，便決定在Alice身上植入可穿戴傳感器，以達(dá)到約束和檢測(cè)Alice的目的。假設(shè)Alice和Victor都是符合研究的規(guī)定而存在的，Alice是前期預(yù)先設(shè)置好的，無法對(duì)其內(nèi)部結(jié)構(gòu)進(jìn)行修改，當(dāng)Alice想篡改數(shù)據(jù)時(shí)，就必須引入Eve參與到信息傳輸?shù)倪M(jìn)程中［6］，通過假冒Alice的方法向Bob傳遞信息。無線信道迅速解耦距離大約在半個(gè)波長內(nèi)（在2.4 GHz的頻率下，λ／2＝6.25 cm），對(duì)于距離比一個(gè)波長更遠(yuǎn)，信道可以被假定為獨(dú)立的［7］。為此，研究中即引入了可信第三方Victor如圖1所示，來監(jiān)視Alice和Bob的信道特征，當(dāng)Alice引入Eve在半波長內(nèi)，介入Alice和Bob間會(huì)話時(shí)，Victor會(huì)發(fā)現(xiàn)信道特征的波動(dòng)，由此可以實(shí)現(xiàn)Alice的身份信息的認(rèn)證；并且Victor的存在可以避免Alice和Bob在眾目睽睽下傳播后，攻擊者可以復(fù)制密鑰指紋并聲稱與自己有聯(lián)系，引起關(guān)于實(shí)際的數(shù)據(jù)卸載點(diǎn)的混淆。

圖1 密鑰提取方案Fig.1 Key extraction scheme

當(dāng)Bob到達(dá)指定現(xiàn)場(chǎng)時(shí)，Alice廣播一個(gè)A_Hello數(shù)據(jù)包給Bob；Bob收到信息后，同時(shí)發(fā)送B_Hello數(shù)據(jù)包給Alice，如此反復(fù)，當(dāng)信息量達(dá)到足夠的比特量，Alice和Bob就會(huì)對(duì)信道的特征獲取足夠的采樣，再對(duì)采樣數(shù)據(jù)進(jìn)行抽樣、量化，即可形成密鑰。

可信任的第三方Victor使用特定的傳輸功率P向Alice和Bob廣播Hello信息H（t），要求二者在ts后響應(yīng)，Alice和 Bob將自己的密鑰分享給Victor，在這里則需要保證Alice和Bob不知道互相的密鑰指紋。Victor對(duì)雙方的密鑰進(jìn)行比對(duì)，把修正后的密鑰發(fā)送給Alice和Bob。當(dāng)不匹配率超過15%時(shí)，Victor依據(jù)對(duì)3條信道監(jiān)控獲取的信息，即如圖2所示。當(dāng)出現(xiàn)連續(xù)的兩端不匹配率超過15%時(shí)，通過Victor對(duì)3條信道的同步監(jiān)控，假如發(fā)現(xiàn)某條信道檢測(cè)出數(shù)據(jù)包的來源不只一個(gè)時(shí)，便會(huì)傳送報(bào)警提示，告知網(wǎng)絡(luò)中有Eve入侵。

圖2 密鑰的獲取Fig.2 Key acquisition

理想情況下，Alice和Bob接受的RSS應(yīng)該是完全對(duì)稱的［8］，但實(shí)際情況下，Alice和 Bob提取的密鑰無法完美匹配［9-10］，究其原因可闡釋如下。

（1）典型的商用無線收發(fā)器是半雙工，不能同時(shí)發(fā)送和接收信號(hào)，因此，Alice和Bob必須一次測(cè)量一個(gè)方向的無線電頻道。

（2）存在噪音和干擾、硬件限制、制造變化的差異。在設(shè)備靜止和較為緩慢移動(dòng)的環(huán)境中，相干時(shí)間較長，信道變化也會(huì)趨于緩慢，信道探測(cè)比特量的熵?zé)o法滿足密鑰的生成所需的熵?cái)?shù)。以往的解決方案是在體域網(wǎng)設(shè)備中加入信息協(xié)調(diào)和隱私增強(qiáng)，這會(huì)引起很大的內(nèi)存消耗和傳輸開銷［11］。在本文中，研究把所有高開銷、高能耗的任務(wù)交給Victor，可以嘗試只在特定的情況下增加運(yùn)算的開銷，大部分時(shí)間Alice和Bob都始終處于低能耗狀態(tài)，Victor則會(huì)根據(jù)動(dòng)態(tài)、靜態(tài)來調(diào)整能耗與開銷，達(dá)到節(jié)約資源、提升設(shè)備續(xù)航力的目的。

2 密鑰提取

2.1 過濾

研究中使用Savitzky-Golay濾波器，這種濾波器為低通濾波，最大的特點(diǎn)就在于當(dāng)濾除噪聲的同時(shí)，還可以確保信號(hào)的形狀、寬度不變，適用于不連續(xù)的RSS變化［11］。在Alice和Bob之間的共享信道指紋中，研究也能提供信道輪廓過濾的結(jié)果。過濾減少了不對(duì)稱雙方之間的差異（如隨機(jī)噪聲、端點(diǎn)采樣延遲等），雖然已經(jīng)依靠Victor幫助完成密鑰的不匹配問題，但是過濾的作用依然不可忽視，即能夠有效減小雙方RSS不匹配率大于15%的可能性。

2.2 量化

量化的目的是為了將原始的RSS數(shù)據(jù)轉(zhuǎn)化為比特串，進(jìn)一步隔離Alice和Bob之間的非對(duì)稱噪聲，提高密鑰匹配率，減少Victor的冗余工作。在量化方法上，研究本著經(jīng)濟(jì)優(yōu)先的原則（盡可能地減小傳輸成本），將對(duì)量化方法做出相應(yīng)的綜合評(píng)價(jià)［11］。

最終，研究選擇等級(jí)交叉量化，Alice和Bob互發(fā)探測(cè)數(shù)據(jù)包時(shí)，如果數(shù)據(jù)包的發(fā)送是連續(xù)的，數(shù)據(jù)包會(huì)組成一組時(shí)間序列作為RSS序列，然后，將插入多個(gè)節(jié)點(diǎn)量化時(shí)間序列以生成密鑰比特序列。綜上量化過程的設(shè)計(jì)展示參見圖3。

圖3 量化過程Fig.3 Quantification process

以圖3為基礎(chǔ)，可將這一量化過程解析為如下數(shù)學(xué)公式：

研究中，可以在Victor中計(jì)算出量化的閾值，下限和上限之間的值被刪除，大于上限的閾值被編碼為1，小于下限閾值編碼為0。

Victor保持對(duì)密鑰位進(jìn)行校驗(yàn)和修正，當(dāng)達(dá)到了128位長度時(shí)，便可以向Alice和Bob分發(fā)密鑰，而在Alice和Bob獲取可用的密鑰后，就可以進(jìn)行加密和解密，即可以開始通信了。本文的實(shí)驗(yàn)結(jié)果表明，在動(dòng)態(tài)的條件下，這個(gè)方案每小時(shí)可以產(chǎn)生2～4個(gè)可用密鑰。

現(xiàn)有的研究工作中，Alice和Bob的密鑰信息，都是在開放的環(huán)境中產(chǎn)生的，但是采樣量化后的數(shù)據(jù)不受保護(hù)，這里即有針對(duì)性地引入AES算法中的ShiftRows和ColumnMix算法來有效調(diào)整此時(shí)得到的密鑰信息，為了便于工程實(shí)現(xiàn)，則利用矩形幀結(jié)構(gòu)來表示量化后的數(shù)據(jù)，使得ShiftRows和ColumnMix運(yùn)算過程對(duì)設(shè)計(jì)人員將更加直觀。

到目前為止，密鑰信息仍然可能被隱藏在Alice和Bob之間的Eve獲取，如果Alice或Bob有意接受Eve的存在，密鑰信息也依舊無法保證數(shù)據(jù)的安全。因此，本文就給Alice和Bob定下規(guī)則，要求Alice和Bob在獲得密鑰后，要把密鑰按照矩形幀結(jié)構(gòu)的形式，排列成矩陣，對(duì)于128位密鑰，排成8行16列的矩形幀結(jié)構(gòu)，Alice和Bob將依據(jù)同樣的規(guī)則，對(duì)密鑰運(yùn)行ShiftRows和ColumnMix運(yùn)算，此后即便密鑰信息被監(jiān)聽，也不會(huì)被Eve竊取，從而有效阻止了中間人的有效攻擊。

3 實(shí)驗(yàn)和評(píng)測(cè)

3.1 密鑰生成

研究中使用了3臺(tái)筆記本電腦，用IEEE 802.11網(wǎng)卡互聯(lián)，在60 m2的住房?jī)?nèi)，無規(guī)律地走動(dòng)。實(shí)驗(yàn)時(shí)間為10 h。研究發(fā)現(xiàn)，在完全靜止的狀態(tài)下，無法在一個(gè)信道上產(chǎn)生足夠的高熵比特流，為此，推出如下規(guī)定：當(dāng)Alice和Bob無法從RSS特征中獲取能夠產(chǎn)生128位的密鑰信息，Victor會(huì)同時(shí)對(duì)Alice到Victor、Bob 到 Victor、Bob 到 Alice 的信道進(jìn)行 RSS特征的捕捉，在完全靜止的狀態(tài)下，當(dāng)啟動(dòng)如此處理后就會(huì)發(fā)現(xiàn)，只要對(duì)3個(gè)信道都進(jìn)行比特流提取，每小時(shí)就可以捕捉大約2～4個(gè)128位密鑰信息，基本可以滿足本文的研發(fā)要求，由于Victor的通信成本不受體域網(wǎng)的限制，本文對(duì)此將不再贅述。

文中的構(gòu)想設(shè)計(jì)是每小時(shí)產(chǎn)生一個(gè)密鑰，本次實(shí)驗(yàn)中在10 h內(nèi)總共獲取了9個(gè)密鑰，這10次中，發(fā)生一次Bob和Alice密鑰不匹配度超過15%，而在這一次即是由Victor下發(fā)重新生成密鑰信息的指令；再次生成密鑰的過程中，試圖略微移動(dòng)實(shí)驗(yàn)中的筆記本電腦，在下一小時(shí)中，密鑰成功生成。所以，本文設(shè)計(jì)的實(shí)驗(yàn)證明，在相對(duì)穩(wěn)定的電磁環(huán)境中，Alice和Bob在Victor的校正下可以完成密鑰的生成。

3.2 中間人攻擊

研究假設(shè)，Eve已經(jīng)可以在Alice和Bob間的信道插入數(shù)據(jù)，但是，插入數(shù)據(jù)就會(huì)引起信道的變化，這將勢(shì)必導(dǎo)致密鑰不匹配率的提高。本文在實(shí)驗(yàn)運(yùn)行中發(fā)現(xiàn)，當(dāng)Eve冒充Alice給Bob發(fā)送數(shù)據(jù)的過程導(dǎo)致了Victor從兩端所接收到的密鑰不匹配率提高到了15%以上，嚴(yán)重時(shí)可達(dá)19%，導(dǎo)致Victor多次自行修正。

當(dāng)出現(xiàn)連續(xù)的兩端不匹配時(shí)，Victor會(huì)同時(shí)監(jiān)控所有的3條信道，當(dāng)某一條信道檢測(cè)出來自2個(gè)設(shè)備發(fā)送的數(shù)據(jù)包時(shí)，便發(fā)出告警指示，告知網(wǎng)絡(luò)中有Eve入侵。在為Victor設(shè)定了上述功能后，研究進(jìn)行了10次測(cè)試，讓Eve代替Alice向Bob發(fā)送數(shù)據(jù)。而在每一次測(cè)試中，Victor都能在Eve向Bob發(fā)送第2個(gè)數(shù)據(jù)包之前，即檢測(cè)出Eve的存在。

3.3 合謀攻擊

實(shí)驗(yàn)中，又將3臺(tái)筆記本電腦分別設(shè)定為Victor、Eve、Bob。 在這里，也可以稱為冒充攻擊，因?yàn)槲闹屑僭O(shè)Eve不僅掌握了hello信息的準(zhǔn)確值，并且掌握了發(fā)送數(shù)據(jù)包的結(jié)構(gòu)且獲取了Alice故意泄露的密鑰，相當(dāng)于Eve在Alice的協(xié)助下已經(jīng)成功冒充了Alice。但是因?yàn)閂ictor的存在，當(dāng)Eve試圖向Bob發(fā)送數(shù)據(jù)包時(shí)，Alice到Bob的信道RSS特征便發(fā)生了變化，Victor在檢測(cè)時(shí)，很快就可以發(fā)現(xiàn)Alice到Bob信道兩端的不匹配問題。

實(shí)驗(yàn)中在1 h內(nèi)，Eve嘗試了與Bob發(fā)送10次數(shù)據(jù)包，每一次對(duì)Alice的數(shù)據(jù)包進(jìn)行覆蓋，都在Bob端發(fā)生明顯的信號(hào)增益，Victor始終能正確響應(yīng)、發(fā)出告警。

3.4 干擾因素

在城市內(nèi)的電磁環(huán)境中，無線電信號(hào)的變化波動(dòng)無論是動(dòng)態(tài)還是靜態(tài)，基本都能滿足研究時(shí)對(duì)高熵比特的需求，但是此次實(shí)驗(yàn)中卻意外發(fā)現(xiàn)，在特別環(huán)境中，比如說，長時(shí)間完全靜止的狀態(tài)（人睡覺時(shí)）、空氣中靜電含量較高、濕度極大的天氣等，會(huì)對(duì)本文的實(shí)驗(yàn)結(jié)果產(chǎn)生影響，這是由于空氣中靜電含量與信道中的噪聲系數(shù)成正比。在極為干燥的環(huán)境中，過多的靜電造成信號(hào)波形的變化除了影響此次的量化研究工作，也會(huì)導(dǎo)致設(shè)備間通信丟包率的上升，傳感器和基站則會(huì)長時(shí)間滿負(fù)荷工作，數(shù)據(jù)的傳輸終端將會(huì)增多，耗電量也會(huì)增加。根據(jù)文中給出的大量實(shí)驗(yàn)數(shù)據(jù)表明，建議工作在溫度17℃～26℃，濕度不足15%的環(huán)境中，如果裝修材料沒有靜電吸附能力，則需要在環(huán)境中加裝靜電過濾器，靜電的產(chǎn)生與濕度成反比關(guān)系，濕度越大，靜電越少。由于條件有限，研究中即采取了溫度和濕度的測(cè)量來間接反映出靜電對(duì)數(shù)據(jù)傳輸?shù)挠绊?。通過實(shí)驗(yàn)測(cè)得最佳的工作環(huán)境是溫度在22℃～26℃之間，濕度為35%RH～65%RH之間，一旦超出這個(gè)范圍，設(shè)備的傳輸就有可能發(fā)生丟包的情況。

4 結(jié)束語

在本文中，研究針對(duì)體域網(wǎng)中基于信道特征的密鑰提取問題引入了Victor來實(shí)現(xiàn)對(duì)Alice和Bob的監(jiān)控，有效防止了合謀攻擊。通過測(cè)試，研究驗(yàn)證了這種方案的可行性，只有在Eve完全復(fù)制了Alice所有的功能、算法、信號(hào)發(fā)送規(guī)律且關(guān)閉Alice的情況下，才可能瞞過Victor，向遠(yuǎn)端傳送虛假信息。同時(shí)，也可以用Victor來處理Alice和Bob所產(chǎn)生的RSS的誤配率的問題，減少可穿戴設(shè)備的能源消耗。另外，之前的工作中沒有任何措施保證量化后的密鑰安全性，本次研究則對(duì)量化后的數(shù)據(jù)進(jìn)行了處理，從而達(dá)到了密鑰的安全性要求。此后的實(shí)驗(yàn)也出色驗(yàn)證了本文方案的可行性。