【基於信號水印的無線網路物理層認證技術研究】

本文刊登在《通信技術》第8期

轉自：通信技術編輯部

摘要：基於身份的網路攻擊是攻擊端常用的攻擊手段，同時也會極大地降低無線網路的性能。如何在物理層解決該安全認證問題，已經成為研究熱點。借鑒圖像中數字水印思路，無線網物理層信號水印或指紋是將秘密的安全認證編碼或標籤與主傳輸消息一起傳輸的一種機制，具有不需要消耗額外帶寬，安全性強的特點。首先介紹基於信號水印的無線網路物理層認證的框架，包含了信號模型、通道估計、消息恢復和消息認證等基本知識，其次闡述基於信號水印的無線網路物理層框架在幾種典型無線網路中的發展現狀，最後綜述無線網路物理層認證方案的性能評估方法。

0引言

隨著無線通信技術的快速發展和移動應用的日益增加，保證無線通信的安全性變得越來越重要，也越來越困難。與有線網路相比，確保無線網路的安全性面臨著更大挑戰，這主要是由於無線媒介的廣播特性導致的。因此，攻擊端能夠較容易地從無線通信的通道中竊聽或插入信息。在眾多的無線網路攻擊形式中，基於身份的攻擊是攻擊端常用的攻擊手段，同時也會極大降低網路的性能。因此，在無線網路中能否準確地認證參與通信用戶的身份至關重要。另外，最近學術界也越來越關注在物理層解決該安全認證問題[1-2]。

在目前的無線通信網路中，現有的物理層認證機制可分為三類：①基於無線通道的身份認證機制（通道機制）[3-4]；②基於收發機硬體差異的機制（硬體機制），如射頻（Radio Frequency，RF）指紋[5-6]；③物理層信號水印機制（水印機制）。本文主要研究是物理層信號水印機制。它借鑒圖像中數字水印思路，將秘密的安全認證編碼或標籤與主傳輸消息一起傳輸，具有不消耗額外帶寬、安全性強的特點[7]。它的研究工作主要可以分為兩類：①物理層信號水印機制的框架[8]：P.Yu首先提出了物理層信號水印機制的框架，並應用於時不變通道和時變通道；②物理層信號水印機制框架在不同具體無線網路的應用。最早水印機制思想用於電話網、OFDM[9]、擴頻技術[10]，後來P.Yu將該水印機制進行系統化形成框架，而後該認證框架擴展到MIMO[11]、多載波[12]、軟體無線電[13]等網路。

論文結構如下：第1節先介紹基於信號水印的無線網路物理層認證框架，包含信號模型、通道估計、消息恢復和消息認證等基本知識；第2節闡述基於信號水印的無線網路物理層框架在幾種典型無線網路中的發展現狀，第3節綜述無線網路物理層認證方案的性能評估方法。

1框架

1.1安全場景

考慮如圖1所示的存在竊聽節點的無線通信網路場景，其中網路中4個節點共享無線介質。當Carol和Eve偵聽通道時，Alice使用參考信號向Bob發送消息。無線網路使用共享介質，所以另外節點Carol和Eve也可以了解Alice發送給Bob的內容。現假設Alice和Bob提前商定好了一個密鑰認證方案，該方案允許Bob驗證他收到來自Alice的消息。為了認證消息，Alice需要向Bob發送認證證明，稱為標籤。標籤與每個消息一起共同用於Bob的驗證。在該認證方案中，將所發送的信號稱為已標記信號，標籤反映了Alice和Bob之間共享的密鑰信息。

在圖1的安全場景中，設定Carol事先不可知該方案，也無法驗證Alice的消息，雖然她仍然可以接受和恢復得到消息。設定Eve事先知道有該認證方案，但是沒有掌握密鑰，仍然不能認證Alice的消息。所以，認為Bob和Eve知道認證方案的接收節點，而Carol不知道認證方案的接收節點。一個認證方案是否具有隱蔽性，需要滿足以下調價：①認證方案不能顯著影響像Carol這樣無關的接收節點；②不容易被檢測。值得注意，不能在傳輸過程添加任何隱私許可權，因為允許無關或者未知的接收節點能夠順利進行消息解碼。

既然認證是一種安全機制，因此必須需要考慮所有可能的攻擊。假設Eve知道該方案但不知道秘密密鑰的攻擊者。Eve希望通過攻擊使得Bob拒絕真實消息或接受不真實的消息，以中斷其身份驗證過程。假設Eve可以達到目標，其成功概率高於某概率門限時，則認為該認證方案被擊敗。Eve還可以發揮更積極作用，可以將自己的惡意信息主動注入共享無線介質中。由於標籤通常取決於消息，所以任何對消息或標籤的未經授權修改都很容易被檢測出來。認證方案有效工作需要能夠有效檢測出以下三種情況：①Eve能夠為其消息創建有效的標籤（假冒攻擊）；②在不知道Bob信息情況下，能夠修改Alice的消息（篡改攻擊）；③Eve直接破壞標籤，以至Bob無法驗證信息的真實性（刪除）。只有能夠檢測出以上三種典型的攻擊，使得攻擊者Eve很難擊敗這個認證方案時，才可以認為該認證方案是安全的。

本文研究的是無線網路物理層安全認證的問題，其無線網路是在隨機衰落環境中進行信息的傳輸，所以要求該方案能夠抵抗通道多徑衰落和雜訊等影響，能夠在干擾環境中很好地工作，即要求該方案具有魯棒性。

1.2信號模型

在無消息認證場景中，發送者正常地向接收者發送消息，使其可以被恢復和理解。在無線通信中，消息必須通過隨機通道，那麼發送者通過編碼和調製消息方式以防止發生差錯。消息可以表示為符號為基本單位的符號塊b={b1,…,bk} 。假設消息符號{bk} 是統計獨立同一分佈（i.i.d.）隨機變數。編碼功能函數fe() 可以使用任何編碼方式、調製制式或脈衝波形。最後，產生得到的消息信號是s=fe(b) 。

在消息認證場景中，發送者希望將認證標t 與消息s 一起發送，使得接收者可以方便驗證他或她的身份，故標籤將是消息si 和秘密密鑰k 的函數：

由於標籤長度一般要小於消息長度，所以需要將其填充到消息長度，以便同時發送到通道上。標記信號構造如圖2所示，其定義可以表示如下：

1.3通道模型

無線網路通道模型各種各樣，不同通道模型具體的安全認證方案細節也不一樣。為了綜述無線網路安全認證的框架，這裡使用比較抽象的瑞利塊衰落通道進行方案描述。

1.4通道估計

假設通道在一塊持續時間範圍內多徑衰落是恆定的。雖然嚴格來講，這樣的假設並不符合真實無線網路情況，但是為了簡化模型，這也是慢多徑衰落通道的一個合理假設。導頻符號通常用於輔助進行通道估計，就如同在全球移動通信系統（GSM）中，將它們插入到塊的中間來幫助通道估計。必須強調，這裡是抽象的一般情況，實際上該認證框架很容易推廣到其他通道模型。假設已經插入了導頻符號p 並得到了其觀測值yp ，那麼MMSE通道估計可簡化為：

無論是無關節點還是相關節點對接收信號都需要進行通道估計和解調的過程，如圖3所示。兩者不同之處就是，相關接收節點在完成通道估計和解調后，還需根據標籤進行消息恢復。

1.5消息恢復

相關節點接收機功能是無關節點的接收機功能增強版本。消息恢復的具體工作原理，如圖4所示。同時，還需要做出一些附加假設，相關節點才可以更好工作。接收到的消息無論包含標籤與否，相關接收機都以相同的方式進行處理，導致處理方式很可能並不是最優化的。假如相關節點已經知道標籤存在，那麼它可以在消息恢復之前去除標籤，從而可以減少錯誤。但是，這裡的前提條件是①完全知道標籤；②知道標籤存在。

當消息恢復沒有錯誤時，接收者Bob使用已知的秘密密鑰可以正確生成標記。但是，實際某些情況中，消息總不能完全正確地生成，那麼標籤生成函數g() 對錯誤消息的魯棒性就顯得非常重要。可見，得到差錯消息情況，標記也能正確地生成。在極端情況中，標籤與消息完全不相關，在這個意義上需要最大化標籤生成函數g() 的魯棒性。然而，這對於安全是不夠的，通過使標籤取決於消息 可以達到合理的平衡。由於消息i 是已知的，所以接收機總能夠使用該方案生成有效標籤。

具體如何檢測標籤可見文獻[14]。如果標籤已經被成功檢測和估計，那麼相關節點可以從接收的信號中有效去除它：

1.6消息認證

除了恢復消息外，相關接收節點還需要確定認證信號的真實性。如果接收方確定觀測結果驗證了密鑰的信息，則認證其發送方；否則，信號不被認證。

然後，執行假設閾值檢驗，即：

H0 ：在rt 中沒有預設置；

H1 ：在ri 中已經預設置。

通過使用估計得到標籤來匹配過濾殘差，從而獲得檢驗統計量 。

2不同通道模型認證方法

2.1MIMO身份認證方法

2.1.1通道模型

假設數據在長度L 幀中傳輸，用M x L 複數矩陣表示幀，用X 表示一個特定的發送幀，那麼接收的幀可以表示為：

其中H 為N x M 的MIMO通道矩陣，Y 是N x L 的接收信號，並且W 元素為N x L 的高斯白雜訊。

2.1.2信號模型

幀是標籤T 和數據S 的加權疊加和，定義為：

這裡FT 為M x M 單位矩陣，PT 為FT 列向量之間分配功率的M x M 對角矩陣，且T 是已經調製和可能已經編碼的M x L 標籤矩陣。

預編碼矩陣FT 和PT 根據需要將數據和標籤分配到通道模式中。假設認證是沿著與數據相同的模式發出信號的，因此FT=FS 。該選擇將認證以水印信號方式嵌入到傳輸信號中，允許將所發送的信號在每個通道模式的功率維持到接收機期望的水平，使接收機處理簡單且不會在可能存在干擾的網路中的其他接收機模式中引入額外干擾。鑒於此，仍然要指定跨越通道模式的功率分配方案。考慮兩種認證預編碼策略，僅使用最強模式和使用與數據功率分配成比例的所有模式。

因此，給定每個模式的初始數據功率分配，將認證功率分配到相同的模式，使得每個模式的總功率保持不變，且認證水印信號對應於調製信號小的擾動。

2.1.3消息認證

完成消息恢復后，接收機可以繼續完成認證過程。為此，將在接收到的消息數據未被破壞的假設下估計所接收的標籤，並與期望的標籤進行比較。最後比較給出如下定義：

H0 ：未授權（Y 不包含正確標籤）

H1：授權（ Y包含正確標籤）

2.2軟體無線電認證

信號模型如圖1所示，Alice想要將信息S 發送給Bob，且他們之間共享安全密鑰k 。S 是從信號星座繪製的數據符的復向量，生成復標籤向量T=g(S,k) ，其中g() 是加密散列函數。在複雜基帶中，Alice傳輸信號模型如下：

其中標尺ps 、pt 分別確定信息和標籤之間的相對功率配置。

2.2.1通道模型

假設在加性高斯白雜訊（AWGN）中塊固定平坦衰落通道。則Bob觀察塊（或分組）為：

2.2.1通道模型

假設在加性高斯白雜訊（AWGN）中塊固定平坦衰落通道。則Bob觀察塊（或分組）為：

2.2.2消息認證

2.3多載波傳輸身份認證

2.3.1信號模型

其中fe() 封裝了消息符號的任意編碼和調製函數，g() 是標籤生成函數，從相應的消息和秘密密鑰中生成認證標籤。

頻域信號通過將標籤疊加到消息上形成，其信號模型表示如下：

2.3.2通道模型

假設Bob與Alice完美同步，Bob能夠得觀測到的信號：

其中H 是與載波衰減相關的對角矩陣，W 是AWGN雜訊。假設通道為慢衰落，使得通道在整個符號幀上保持恆定。

2.3.3消息認證

可以分為兩種情況考慮多載波傳輸身份認證。

然後執行假設檢驗確定標籤真實性。

（2）情況2——Bob生成一個不正確的標籤：當Bob產生不正確的標籤 時，將使用錯誤警報概率a 將其錯誤標識為正確。假設Bob具有正確密鑰，從式（20）可清楚知道恢復的消息包含錯誤的情況也會發生。因此，認證的性能直接與消息的性能相關。前提只有正確接收到消息才會進行認證。因為失真的消息不應該被認證。

3性能評估方法

3.1隱蔽性

考慮未知的接收機如何判定觀察到的信號是否異常。根據定義，異常信號具有與參考信號不同的特性。比如，信號通常限制到某個頻帶。如果信號泄漏出其分配的頻帶，則接收機將會將其識別為異常。因此，標記信號應該和參考信號遵循相同的帶寬約束。在所提出的設置中，標籤疊加在消息上，且假設標籤和消息不相關。注意，並不強制要求每個消息、標籤對正交，因為正交信號的帶寬效率低。在給定速率情況下，與非正交信號相比，正交信號所需帶寬相對較高。由於標籤的比特率非常低，所以擴展將很小。

不僅依賴於功率分配來約束帶寬，還可以使用一些基本分解方法如小波來控制標籤的帶寬。小波變換能給出關於時間-頻率的恆Q平面，如圖5所示，每個格子具有與其他格子成恆定比例的帶寬。將小波係數級別稱為尺度，且注意大尺度對應於低頻。對於具有小帶寬的信號，大多數能量將駐留在大尺度係數中。然而，對於具有大帶寬的信號，能量也將散布在較小尺度上。因此，對於隱蔽性，根據信號的能量分佈，將標籤能量放置在適當的尺度上。將標籤能量僅放置在消息具有能量的係數中，減少消息能量和疊加標籤能量，帶寬泄露可能性將大大降低。

3.2穩健性

魯棒安全認證方案能夠抵抗通道和雜訊影響，並且可以在干擾中繼續認證過程。在實際使用的通道中，每個塊隨機衰落都要受SNR的影響，檢測概率隨SNR變化。同時，加性雜訊和干擾信號也降低了SNR。因此，衰減通道與雜訊和其他干擾相結合，給認證帶來了困難。

這裡有兩種方法提高魯棒性：①增加傳輸信號的功率，以提高平均SNR，但並不總是可行；②可以擴展認證過程從單個塊擴展到多個塊。實際中，

主要通過方法②來提高認證的穩健性。

3.3安全性

安全方案需要抵抗無線網路攻擊者的攻擊。文獻[1]和文獻[17]首先定義攻擊者模型，然後定義各種類型的攻擊，用來驗證各類無線網路身份驗證方案的安全性。

攻擊者模型。攻擊者Eve是一個相關的接收者，且知道Alice和Bob之間正在使用的認證方案，但不知道他們之間使用的秘密密鑰。她是一個活躍攻擊者，可以自己傳輸信號，Bob能夠觀察到它的信號。然而，在假設下，Eve不可能破壞Alice的信號。原因是Alice、Bob和Eve之間存在傳播延遲估計、多徑衰落以及移動性的任何誤差將導致相干干擾中斷。因此，雖然Eve可能試圖通過她的惡意信號來強制Alice的某些信號符號，但是她不可能連續破壞Alice的信號。因此，Eve可以傳輸她自己的塊或者非相干地干擾Alice的塊，但是不能以受控的方式在路由中任意修改Alice的信號。這是移動無線系統物理層的基本限制。

為了擊敗安全認證方案，Eve必須使Bob接收以下行為：①拒絕真實消息；②接受具有非零概率的不真實消息。為了成功實現目標①，Eve需要刪除或損壞身份認證標籤；為了成功實現目標②，Eve需要使Bob接收它的惡意塊，因為她無法智能地改變來自Alice的消息。

干擾攻擊。Eve通過損壞方式來嘗試刪除身份認證標籤。當Alice正在向Bob發送信息時，Eve可以通過發送干擾信號掩蔽該標籤信號，從而完成操作，也可看作該信號的SNR降低。

重放攻擊。Eve喜歡Bob接受沒有經過認證的消息，如從不是Alice那裡發過來的消息。Eve可以簡單發送Alice過去已經傳輸過的消息，即所謂的重放攻擊。然而，假如標籤是時變的，Bob不會再接受它的信息，重放攻擊就不能形成。

模仿攻擊。Eve可能會嘗試創建自己的消息和標籤，希望這些消息和標籤被Bob接受。通過這樣的方式，Eve能夠模仿Alice。Eve的消息將被認證的概率取決於Bob執行的認證方案。當認證考慮多個塊且需要驗證一定數量的標籤時，Eve可能能夠接受她的塊，即使它不包含有效標籤。

實際上，其他層還會有額外的保護措施，以防止惡意消息在真實消息中被接受。例如，僅當單個塊不足以提供準確的決定時，認證才需要認證多個塊。這種情況是指有雜訊的通道，因此消息也將跨越多個塊進行編碼，如使用糾錯碼。這種情況下，惡意塊將被檢測或丟棄，但不會對解碼的消息產生影響。

原來框架中，每個消息都需要有一個對應的有效標籤。由於攻擊者Eve沒有密鑰，所以她必須根據她的觀察結果生成有效的標籤。換句話說，她必須預測未來的標籤。通過密鑰k 和合適的標籤生成函數g() 進行標籤預測。例如，g() 可以是種子k 的偽隨機數生成器。g() 的輸出是隨機的，難以通過人為設計進行預測。

Eve可能採取更直接的方法，並嘗試獲取有關密鑰的信息。在最壞的情況下，Eve可以完全恢復 和冒充Alice。如果在沒有雜訊的情況下觀察標籤並觀察長度足夠大，則可以無錯誤地恢復密鑰。

然而，觀測到的標籤總是有雜訊的，可將密鑰恢復變為概率問題。直觀地，當雜訊最小時，密鑰可以以高概率恢復；但當雜訊強大時，密鑰恢復具有較低概率。可見，可利用雜訊來隱藏認證標籤並保護密鑰免於發現。

4結語

本文主要對基於信號水印的無線網路物理層認證方案進行綜述。該方案借鑒了圖像中數字水印的思路，將秘密的安全認證編碼或標籤與主傳輸消息一起傳輸，具有不消耗額外帶寬、安全性強的特點。本文首先介紹基於信號水印的無線網路物理層認證的框架，包含信號模型、通道估計、消息恢復和消息認證等基本知識，然後闡述基於信號水印的無線網路物理層框架在幾種典型無線網路中的發展現狀，最後綜述無線網路物理層認證方案的性能評估方法。

參考文獻：

[1] Simmons G J.A Survey of Information Authentication[J].Proc. IEEE,1988,76(05):603-620.

[2] Menezes A J,van Oorschot P C,Vanstone S A.Handbook of Applied Cryptography[C].Boca Raton,FL:CRC,2001.

[3] Patwari N,Kasera S K.Robust Location Distinction Using Temporal Link Signatures[C].In Proceedings of the 13th annual ACM international conference on Mobile Computing and Networking,2007:111-122.

[4] Zhang J,Firooz M H,Patwari N,et al.Advancing Wireless Link Signatures for Location Distinction[C].In Proceedings of the 14th ACM International Conference on Mobile Computing and Networking,2008:26-37.

[5]Hippenstiel R,Payal Y.Wavelet based Transmitter Identification[J].Fourth International Symposium on Signal Processing and Its Applications,1996(02):740-742.

[6]Danev B,Capkun S.Transient-based Identification of Wireless Sensor Nodes[C].IEEE/ACM Information Processing in Sensor Networks,2009:25-36.

[7] Paul L Y,Verma G,Sadler B M.Wireless Physical Layer Authentication via Fingerprint Embedding[J].IEEE Communications Magazine,2015,53(06):48-53.

[8] Paul L Y,Baras J S,Sadler B M.Physical-layer Authentication[J].IEEE Transactions on Information Forensics and Security,2008,3(01):38-51.

[9] Kleider J E,Gifford S,Chuprun S,et al.Radio Frequency Watermarking for OFDM Wireless Networks[C].Proc. ICASSP,2004:397-400.

[10] Wang X,Wu Y,Caron B.Transmitter Identification Using Embedded Pseudo Random Sequences[J].IEEE Trans. Broadcast.,2004,50(03):244-252.

[11] Paul L Y,Sadler B M.MIMO Authentication via Deliberate Fingerprinting at the Physical Layer[J].IEEE Transactions on Information Forensics and Security,2011,6(03):606-615.

[12] Paul L Y,Baras J S,Sadler B M.Multicarrier authentication at the physical layer[C].World of Wireless,Mobile and Multimedia Networks,2008:1-6.

[13] Verma G,Yu P,Sadler B M.Physical Layer Authentication via Fingerprint Embedding Using Software-defined Radios[J].IEEE Access,2015(03):81-88.

[14] Supangkat S H,Eric T,Pamuji A S.A Public Key Signature for Authentication in Telephone[C].Proc. APCCAS,2002:495-498.

[15]Fridrich J,Goljan M.Robush Hash Functions for Digital Watermarking[C].in Proc. Int. Conf. Information Technology:Coding and Computing,2000:178-183.

[16]Swaminathan A,Mao Y,Wu M.Robust and Secure Image Hashing[J].IEEE Trans. Inf. Forensics Security,2006,1(02):215-230.

[17] Fei C,Kundur D,Kwong R H.Analysis and Design of Secure Watermark-based Authentication Systems[J].IEEE Trans. Inf. Forensics Security,2006,1(01):43-55.

田永春，男，博士，研究員，主要研究方向為無線通信網路、戰術通信網路。