CN109768990B - 一种基于非对称密钥的物理层安全传输方法 - Google Patents

Abstract

本发明属于通信保密技术领域，具体涉及一种基于非对称密钥的物理层安全传输方法及系统。所述方法包括以下步骤：发送方将二进制信息S_b映射转换成复矢量信号X，通过安全矩阵U进行加密，将复矢量信号X转换为复矢量信号Y，Y＝UX，复矢量信号Y依次通过IFFT模块、增加循环前缀模块、DAC模块处理，然后由射频模块发送出去；接收方通过射频模块接收到信号，经过ADC模块、移除循环前缀模块、FFT变换模块处理，得到复矢量信号Y’，通过安全矩阵进行解密，得到复矢量信号X’，进一步通过解映射恢复出二进制信息。所述物理层安全传输系统，包括发送端、传输信道和接收端。本发明能够对抗密文攻击、已知明文攻击和选择性明文攻击，达到了更强的安全效果。

Description

一种基于非对称密钥的物理层安全传输方法

技术领域

本发明属于通信保密技术领域，具体涉及一种基于非对称密钥的物理层安全传输方法及系统。

背景技术

随着5G无线通信技术的迅速发展，其通信保密安全成为一个重要的问题。同时各种加密算法在所有安全架构中都变成了最重要的组成部分。但一系列在LTE系统中使用的对称加密算法都在5G场景中遇到了挑战，比如SNOW 3G、ZUC和AES。新的5G无线通信场景包含三个主要的应用场景：增强型移动宽带(eMBB)、机器类型通信(MTC)及超可靠和低延迟通信(URLLC)，这些新的场景都提出了新的安全要求。

传统的安全通信系统和物理层加密通信系统都存在不足之处。图1为传统密码学系统，其中s为明文序列，基于密钥K的加密算法后生成密文Xⁿ (二进制序列)，然后由编码调制模块发送至信道在传统安全系统，假设接收端收到的Xⁿ是没有错误的，纠错和对抗信道的任务交给通信模块完成。该系统中加解密面对的是一个无差错的等效信道。基于这样一个无差错的信道，可以建立现代密码学模型。然而基于上层加密的传统安全模型对于通信的物理层信号并没有加以保护，调制信息仍然暴露出来，容易受到攻击。通信系统的物理层安全面对的是有差错的信道，如何进行安全传输又是一个很难解决的问题。

针对有差错的信道，现有技术中提出了无密钥的物理层安全和需要密钥的物理层加密。物理层安全提供了基于信息论的安全，在物理层安全中没有使用密钥，实际应用中的问题是当信道信息不确定时无法得到真正的安全，其本质上是一种概率意义上的安全。

新的物理层加密技术相对传统的上层加密机制，在物理层提供安全性的动机在于它对网络的影响最小，具有低延迟、低开销等优点，可作为上层加密方案的补充，以增强无线通信的安全性。物理层加密并不依赖于信道条件，能够在窃听者性能优于合法者时仍然提供安全保障。相比于仅仅考虑完美信道的传统密码学，其能利用信道和噪声的影响，有希望能提供更强的安全性。现有的文献已经在OFDM系统(参见文献[1])，Massive MIMO系统(参见文献[2])，IEEE 802.15.4协议(参见文献[3])中采用物理层加密的方法。其中采用的主要的方法有星座旋转、子载波扰乱、符号扰乱，训练符号打乱等等。文献[4]在ASIC和FPGA上对物理层安全算法进行了硬件实现，物理层加密技术引入了大约16微秒的最小延迟，并且对网络的影响最小。

物理层加密是基于密钥的安全，其系统模型如图2所示，和密码学不同之处是其面对是有差错的信道。并且其处理对象复数序列而不是二进制序列。物理层加密需要根据K将二进制序列s变换为复数序列Yⁿ，然后再由后端通信模块处理发送到信道中。实际上物理层加密需要考虑加密问题，还包括传输效率和可靠性。此外物理层加密是密码学在复数域的扩展，由于处理对象完全不同于密码学，也需要提出新的规则。但现有的物理层加密技术在5G多用户场景中遭遇了很多问题。尽管现在已经有了物理层加密PLE(physical layerencryption，缩写PLE)大量的具体应用方案，但当通信系统中用户数量很大时，很难去管理和储存大量的密钥。

参考文献：

[1]J.Zhang,A.Marshall,R.Woods,and T.Q.Duong,“Design of an OFDMPhysical Layer Encryption Scheme,”IEEE Transactions on Vehicular Technology,vol.66,no.3,pp. 2114-2127,2017.

[2]T.R.Dean,and A.J.Goldsmith,“Physical-Layer Cryptography ThroughMassive MIMO,”IEEE Transactions on Information Theory,vol.63,no.8,pp.5419-5436,2017.

[3]B.Chen,C.Zhu,W.Li,J.Wei,V.C.M.Leung,and L.T.Yang,“Original SymbolPhase Rotated Secure Transmission Against Powerful Massive MIMOEavesdropper,”IEEE Access,vol.4,pp.3016-3025,2016.

[4]A.K.Nain,J.Bandaru,M.A.Zubair,and R.Pachamuthu,“A Secure Phase-Encrypted IEEE 802.15.4Transceiver Design,”IEEE Transactions on Computers,vol. 66,no.8,pp.1421-1427,2017.

发明内容

针对以上技术问题，本发明在物理层加密基础上设计了一种基于非对称密钥的物理层加密方法，并且给出了其原始模型和基于椭圆曲线加密算法的非对称物理层加密算法。物理层加密由于利用信道和噪声影响，且采用了椭圆曲线算法的离散数学难题，此外使用的复数向量信号有更大的密文空间和密钥空间，在设计中提供了更多的自由度，能够对抗密文攻击、已知明文攻击和选择性明文攻击。由于非对称密钥加密与解密使用不同的密钥，从而避免了密钥分配和管理，减少了系统复杂度。此外，该物理层加密方法能够对训练符号进行保护，使得窃听者无法进行同步和信道估计，达到了更强的安全效果。详细技术方案如下：

一种基于非对称密钥的物理层安全传输方法，其步骤为：

发送方将二进制信息S_b映射转换成复矢量信号X，

通过安全矩阵U进行加密，将复矢量信号X转换为复矢量信号Y， Y＝UX，

复矢量信号Y依次通过IFFT模块、增加循环前缀模块、DAC模块处理，然后由射频模块发送出去；

接收方通过射频模块接收到信号，经过ADC模块、移除循环前缀模块、 FFT变换模块处理，得到复矢量信号Y’，通过安全矩阵进行解密，得到复矢量信号X’，进一步通过解映射恢复出二进制信息S _b'。

DAC表示数模转换，ADC表示模数转换，IFFT表示快速傅里叶逆变换，FFT表示快速傅里叶变换。

进一步地，所述安全矩阵U的生成过程为：

(11)发送方和接收方分别生成各自的私钥和公钥，

定义有限域GF(p)上的椭圆曲线E，p是奇素数，椭圆曲线的基点为G， n为椭圆曲线中的以G为基的子群的阶数，从{1,2,…,n-1}中随机选择一个整数d，计算Q＝d×G，其中d作为私钥，(E,G,n,Q)作为公钥；

(22)发送方的公钥与接收方的公钥进行对换；

(23)生成安全矩阵U，

记发送方私钥为d_A、公钥为Q_A，接收方私钥为d_B、公钥为Q_B，计算 S＝d_A×Q_B＝d_B×Q_A，S对应椭圆曲线E上的一个点(x_s,y_s)，(x_s,y_s)表示点坐标值，通过S生成安全矩阵U算法如下：

组合x_s,y_s形成二进制数S₀，从i＝1到N²循环，i为正整数，产生 S_i＝S₀+i*q(modp)，其中q为素数且p＜q，

计算S′_i＝hash(S_i)，θ_i＝2π(S′_imodλ)/λ，其中λ是正整数，

构建一个旋转矢量矩阵U′为：

将矩阵U′正交化处理，得到安全矩阵U。

本发明还提供了一种基于非对称密钥的物理层安全传输系统，该系统包括发送端、传输信道和接收端；

所述发送端包括映射模块、第一安全矩阵生成模块、第一块变换模块、增加循环前缀模块、IFFT模块、DAC模块和第一RF模块；

所述映射模块用于将二进制信息映射为复矢量信号；

所述第一安全矩阵生成模块用于采用发送方私钥和接收方公钥产生安全矩阵；

所述第一块变换模块用于对复矢量信号进行加密；

所述增加循环前缀模块用于增加循环前缀；

所述发送端包括ADC模块、第二RF模块、FFT模块、移除循环前缀模块、第二安全矩阵生成模块、第二块变换模块和解映射模块；

所述移除循环前缀模块用于移除循环前缀，

所述第二安全矩阵生成模块用于采用接收方私钥和发送方公钥产生安全矩阵；

所述第二块变换模块用于对复矢量信号进行解密；

所述解映射模块用于将复矢量信号映射为二进制信息。

为了更好理解本发明技术方案内容，下面对有关原理和推导过程作进一步介绍。

1、有关运算符号说明

(1)X^T,X^*,X^H,X^-1分别表示矩阵X的转置、共轭、共轭转置和逆。

(2)I_N表示N维单位矩阵。

(3)|x|表示复数量x的绝对值，||·||表示向量的欧几里德范数。

(4)

表示具有复数元素的n×1向量的空间。

(5)

和

分别表示复数和实数的所有m×n矩阵的空间。

(6)笛卡尔积：

(7)a(被除数)和n(除数)，a mod n表示a被n欧几里德除法的余数。

2、非对称的物理层加密APLE(Asymmetric physical layer encryption) 系统原始模型

如图3所示，非对称物理层加密基本模型(APLE)包括了合法发送方 Alice、合法接收方Bob以及非法窃取者Eve，同时公密钥在收发两端独立使用，加密和调制作为一个整体，送入信道传输。具体APLE相关模型如下：

(1)消息空间

明文消息的全集。所有输入消息

(2)密码信号空间C：所有可能密码的集合。所有密码信号Y∈C。

(3)密文空间

可能的加密密钥(公钥)集

可能的解密密钥(私钥)集为

加密密钥K选自

和解密密钥K′选自

所以

(4)密钥生成算法

是一种输出密钥对的概率算法，通过此算法得到密钥对

“→”表示由...得到。

(5)加密算法

(6)信道转换H_B:

是密码信号Y和接收符号Z_B之间的等效信道函数，Z_B＝H_B(Y)。

是所有可能的Z_B的集合，故

是加密密钥(公钥)集，

是(n×1)复矢量空间。对于PLE(物理层加密)数据流，复矢量序列

(7)解密算法

最终，用以下公式来表示APLE系统加密算法的密码学原语：

虽然这个模型只定义了单个用户场景，但这可以推广到多用户系统，只需要针对每一个用户得到公私钥对。当其他用户想发送信息到此用户，只需要用公钥加密，对应用户用其私钥解密即可。

3、本发明中基于椭圆曲线的APLE系统

从系统原始模型中可以看出，APLE的本质是设计从消息空间(位组) 到密码信号空间(复矢量)的映射

以及逆映射

这些过程涉及标准通信系统中的调制和解调，这意味着可以共同设计加密和调制作为一个整体，以实现安全性、可靠性和传输效率的联合优化。但是，在5G通信标准的设计中，还需要考虑兼容性和连续性。因此，本文保留了现有5G通信系统的物理层结构，并将物理层安全性作为模块插入到现有的物理层结构中。

如图4所示，在发射端，二进制信息S_b由映射模块转换成复矢量信号X。然后，根据安全矩阵U，通过块改变模块将X转换为复矢量信号Y。然后，信号依次通过IFFT模块、添加循环前缀(CP)模块、ADC(模数转换)、然后发送到射频(RF)模块用于后续处理。接收端的处理流程与发射端的处理流程相反。ECCM是椭圆曲线加密操作模块，其功能是生成安全矩阵块U，或称为安全矩阵生成模块。d_A和d_B是Alice和Bob的私钥，Q_A和Q_B是Alice和Bob的公钥。

下面详细介绍ECCM椭圆曲线加密步骤：

为了满足密码学的要求，在有限域GF(p)上定义的椭圆曲线是一组点 P＝(x,y)，其中x和y是满足某个等式的GF(p)的元素：

y²＝x³+ax+b

其中a和b是具有p个元素的有限域的元素，p是奇素数。a和b应满足：

4a³+27b²≠0(modp)

在椭圆曲线上存在加法，减法和标量乘法操作的定义，这与普通数字的运算操作不同，详细内容为现有技术，此处不加赘述。

整个APLE算法分为四个步骤：私钥和公钥对生成，公钥交换，安全矩阵生成，模块变换和安全通信。

(1)私钥和公钥对生成

首先，选择一个在有限域GF(p)上定义的椭圆曲线E，其具有很大的阶数n(通常大于2⁶⁴)和基点G，并且对所有用户公开。然后，每个用户使用以下密钥生成原语来生成各个公钥和私钥对。

1)从{1,…,n-1}中选择一个随机整数d(其中n是椭圆曲线中的以G 为基的子群的阶数)。

2)计算Q＝d×G。

3)私钥为d，公钥为(E,G,n,Q)。

Alice和Bob独立生成自己的密钥对。Alice具有私钥d_A和公钥Q_A＝d_A×G，Bob具有密钥d_B和Q_B＝d_B×G。注意Alice和Bob都使用相同的域参数：在相同的有限域GF(p)上的相同椭圆曲线上的相同基点G。

(2)公钥交换

Alice和Bob通过公共信道交换他们的公钥Q_A和Q_B。虽然Eve会截获Q_A和Q_B，但如果不解决椭圆曲线离散对数问题，将无法截获d_A和d_B。

(3)通过ECCM(椭圆曲线加密操作模块)生成安全矩阵U

Alice计算S＝d_A×Q_B(使用Alice自己的私钥和Bob的公钥)，同时Bob 计算S＝d_B×Q_A(使用Bob自己的私钥和Alice的公钥)。这里，S＝(x_s,y_s) 其实是椭圆曲线E上的一个点。然后Alice和Bob需要从S生成一个酉矩阵。注意，对于Alice和Bob来说，S是相同的，实际上：

S＝d_AQ_B＝d_A(d_BG)＝d_B(d_AG)＝d_BQ_A.

然而，窃听者只知道Q_A和Q_B(与其他域参数一起)却无法找到共享点S。

文中称

为安全矩阵。U矩阵生成需要满足以下条件：它可以使符号模块完全混淆和干扰；确保变换后星座图的性能不会发生变化。现有技术中，已经证明酉矩阵可以很好地满足上述条件。因此，本发明中用酉矩阵作为安全矩阵U。事实上，任何N×N酉矩阵U具有N²个独立的实数相位参数。因此，我们可以从给定的旋转方向矢量

生成一个 N×N的酉矩阵U。所以通过S＝(x_s,y_s)生成安全矩阵U算法如下：

输入：共享点S＝(x_s,y_s)；

输出：安全矩阵U；

第1步：组合x_s,y_s以形成二进制数S₀；

第2步：从i＝1到N²循环执行第3步到第5步；

第3步：S_i＝S₀+i*q(modp)//q是素数并且p＜q；

第4步：S′_i＝hash(S_i)；

第5步：θ_i＝2π(S′_imodλ)/λ；

第6步：结束循环。

第7步：从θ得到U；

第8步：返回U。

S_i，S′_i，θ_i均为中间量，π为圆周率；上述算法中的细节如下：

a)Hash(散列函数)作用：散列函数的目的是对数据打乱混合，使得旋转角度的分布更均匀和随机。如果它将任何长度的消息映射到某个固定长度的字符串，哈希函数hash()被称为无碰撞，但是使用hash(s)＝hash(y)查找s,y是一个难题。所以可以选择一个成熟的哈希函数，如SHA-3，将S_i映射到S′_i。

b)旋转方向矢量生成：考虑到θ_i的范围是[0,2π)，而S′_i的范围是 [0,2^L-1]。其中L是S′_i的位宽。因此，必须构建从θ_i到S′_i的映射。使用映射函数如下：

θ_i＝2π(S′_imodλ)/λ

其中λ是正整数参数，表示相位精度。例如，λ值取值为256，意味着相位精度为2π/256。

c)从θ得到U：首先用旋转矢量构建一个N×N矩阵：

v₁,v₂,...,v_N表示列向量；

然后Gram正交化过程如下：

其中

该运算符将矢量v正交投影到矢量u的线性扩展上。

最终得到U＝[e₁,e₂,...,e_N]。

(4)模块变换和安全通信

在Alice和Bob生成安全矩阵之后，他们将U＝[e₁,e₂,...,e_N]发送到他们的互相独立的变换模块以完成物理层加密和解密。

X＝{X₁,X₂,...,X_N},Y＝{Y₁,Y₂,…Y_N}。Alice的加密过程被认为是：

Y＝UX

Bob的解密过程如下：

X′＝U^HY′

采用本发明获得的有益效果：本发明物理层加密方法由于利用信道和噪声影响，并且采用的椭圆曲线算法的离散数学难题，此外使用复数向量信号有更大的密文空间和密钥空间，在设计中提供了更多的自由度，能够对抗密文攻击、已知明文攻击和选择性明文攻击。由于非对称密钥加密与解密使用不同的密钥，从而避免了通信系统中密钥分配和管理的复杂度。此外该物理层加密方法能够对训练符号进行保护，使得窃听者无法进行同步和信道估计，达到了更强的安全效果。本发明物理层加密方法带来了低时延和低复杂度，能利用信道和噪声的影响，同时不需要在发送方使用多天线和信道信息。

附图说明

图1为传统密码调制系统模型；

图2为物理层加密通信系统模型；

图3为非对称的物理层加密APLE系统原始模型；

图4为本发明基于非对称密钥的物理层安全传输方法流程图；

图5为实施例中不同调制方式的实验数据图，其中(a)为加密前QPSK 的星座图，(b)为加密后QPSK的星座图，(c)为加密前16QAM的星座图， (d)为加密后16QAM的星座图；

图6为采用本发明系统和现有技术未加密的OFDM系统中合法用户的误码率BER。

具体实施方式

下面，结合附图和实施例对本发明作进一步说明。

如图4所示，一种基于非对称密钥的物理层安全传输方法，

发送方将二进制信息S_b映射转换成复矢量信号X，

通过安全矩阵U进行加密，将复矢量信号X转换为复矢量信号Y， Y＝UX，

复矢量信号Y依次通过IFFT模块、增加循环前缀模块、DAC模块处理，然后由射频模块发送出去；

接收方通过射频模块接收到信号，经过ADC、移除循环前缀模块、FFT 变换模块处理，得到复矢量信号Y’，通过安全矩阵进行解密，得到复矢量信号X’，进一步通过解映射恢复出二进制信息。

如图5所示，给出了加密前、后QPSK和16QAM的星座图。从图中可以看到，星座图在加密后是混乱的，没有明显的规律，从整体上看像噪声。

图6对比分析了所提APLE和未加密系统在多径信道环境下的误码率性能。在QPSK和16QAM两种调制情况下，仿真显示所提APLE加密系统和未加密系统具有几乎一样的误码率性能，本发明方法不会恶化误码率性能，符合设计要求。

下面就本发明的安全性方面进行分析和讨论。

针对窃听者方面，主要目的是阻止Eve恢复X、U或私钥d。首先考虑最坏的情况，Eve具有以下能力：

Eve能够正确地进行信道估计，信道均衡，并且将Y的估计恢复为 Y_e＝Y+W，

其中

是加性高斯白噪声(AWGN)向量。可得：

Y_e＝UX+W

Eve知道公钥(E,G,n,Q)。算法就需要防止这些类型的Eve攻击。

从公钥中(E,G,n,Q)恢复d(仅密文攻击)：椭圆曲线密码系统安全性的基础是椭圆曲线离散对数问题(ECDLP)的明显难以处理。椭圆曲线密码系统提供任何已知的公钥系统中每个密钥位的最高强度。具有160位模数的椭圆曲线系统提供与具有1024位模数的DSA或RSA相同级别的加密安全性。

使用已知消息X从Y_e恢复U(已知明文攻击)：Eve的攻击等同于求解 Y_e＝UX+W。因为Eve不知道噪声W，而未知U包含N×N个变量，因而这是一个无法解决的等式。

如果Eve使用蛮力攻击，其搜索空间为

其中λ是相位分辨率。举例来说，如果取N＝8，λ＝256，那么它的搜索空间达到2⁵¹²，计算复杂性肯定是窃听者无法承受的。

从所选明文中恢复d或U：Eve可以获得当前密钥d(选择明文攻击) 的任何指定明文的密码信号。

这种类型的攻击意味着Eve有很多明文密文对(X,Y_e)并且Eve尝试来解决U的一组方程。很明显，噪声W在方程中起着不确定的作用，这将阻止 Eve从获得U。另外还需要使用PLE块链接操作模式。PLE块链接使明文和前一阶段的密文异或，然后发送到PLE加密模块。这相当于为每个加密块更改U。因此即使Eve得到足够的(X,Y_e)对，Eve也无法获得U。

本发明方法复杂度分析，本发明方法主要包括两部分，一部分是安全矩阵的生成，另一部分是模块变换和安全通信。安全矩阵的生成过程是非实时的,不需要每次传输数据时都运行。而块变换模块为实时加密模块，需要每次传输数据时都运行。所以系统的运算复杂度和时延主要由块变换模块产生。块变换算法的复杂度为分别在发送端和接收端增加了1个的 N×N复数矩阵乘法。其已有的较低复杂度的算法为O(N^2.37)。注意这里的 N不是数据长度而是块的大小，在实际系统中N取值并不大，可以取值为4或者8。实际上已经有很多成熟的矩阵乘法的硬件实现方案，具有较低复杂度和延时。所以本算法的复杂度并不高，很容易硬件实现。

本发明提出了基于非对称密钥的物理层安全传输方法及系统，基于椭圆曲线算法的非对称密钥物理层加密设计思路，根据椭圆曲线加密算法，生成相应的公钥，并生成与之对应的不同的私钥储存在不同合法用户中，提出安全矩阵生成算法，进而生成安全矩阵对调制后的信号进行块变换与安全通信。

Claims (1)

1.一种基于非对称密钥的物理层安全传输方法，其特征在于所述方法包括以下步骤：

发送方将二进制信息

映射转换成复矢量信号

，

通过安全矩阵

进行加密，将复矢量信号

转换为复矢量信号

，

，

复矢量信号

依次通过IFFT模块、增加循环前缀模块、DAC模块处理，然后由射频模块发送出去；

接收方通过射频模块接收到信号，经过ADC模块、移除循环前缀模块、FFT变换模块处理，得到复矢量信号Y’，通过安全矩阵进行解密，得到复矢量信号X’，通过解映射恢复出二进制信息；

所述安全矩阵

的生成过程为：

（11）发送方和接收方分别生成私钥和公钥，

定义有限域

上的椭圆曲线

，

是奇素数，椭圆曲线的基点为G，n为椭圆曲线中的以G为基的子群的阶数，从

中随机选择一个整数

，计算

，其中

为私钥，

为公钥；其中，n大于2⁶⁴；

（22）发送方与接收方的公钥进行对换；

（23）生成安全矩阵

，

记发送方私钥为

、公钥为

，接收方私钥为

，公钥为

，计算

，

对应椭圆曲线

上的一个点

，通过

生成安全矩阵

算法如下：

组合

形成二进制数

，从

到

循环，产生

，其中

为素数且

，

为正整数，

计算

，

，其中

为正整数，mod表示取余运算，hash为哈希函数；

构建一个旋转矢量矩阵

为：

将矩阵

正交化处理，得到安全矩阵

。

Images