本文提出了一种名为DyWCP的轻量级加密方案,旨在解决物联网设备间通信的安全问题。DyWCP受到一次性Pad加密的启发,但通过利用无线信道的动态特性,消除了密钥协商的需求,提供了一种安全且计算效率高的加密方法。该方案适用于资源受限的物联网设备,且与传统加密方案兼容,可在不降低安全性的前提下提高能效。实验表明,DyWCP在实际无线环境中有效,并能抵抗窃听攻击。
论文链接:点击下载
作者主页:Wang Tao
2022 WiSec 物联网安全 物理层安全解决方案
摘要
随着物联网(IoT)越来越普遍,并被部署在关键应用程序中,保护互联网变得越来越重要物联网设备相互通信时敏感数据的一致性。然而,传统的密码学通常是耗费时间和精力的。它可能不适用于计算能力有限或功率有限的物联网设备。在本文中,我们提出了一种受一次性Pad加密启发的轻量级加密方案,称为动态无线信道Pad(DyWCP)。一次性填充加密实现了完美的保密性,但由于密钥协商的不便,在实践中很少使用。我们的研究发现,在无线环境中,可以在没有密钥协商的情况下设计一次性pad加密方案。为了实现DyWCP,我们创建了利用无线信道的附加特性对消息进行加密、在无线物理层集成模块化操作以及防御多个窃听器的技术。我们使用通用软件De实现了所提出方案的原型无线电外围设备(USRP),并进行了一系列实验来评估所提出方案的性能。
背景
随着复杂低成本芯片的发展和无线网络的普及,物联网(IoT)已被广泛部署在各个领域,包括智能家居、可穿戴、医疗保健和制造业。然而,它也会引起一系列安全问题。由于物联网设备可以收集地理信息,监控用户的隐私活动,并记录客户的生物特征[5],因此关键问题之一是如何保存此类敏感数据的一致性。由于无线信号的广播性质,物联网设备之间的对话通常容易受到窃听攻击。确保物联网设备之间的通信安全至关重要。
问题
直观地说,密码学加密方法可以用于加密物联网设备之间的所有对话。然而,由于物联网设备通常具有有限的计算能力和有限的功率,因此它们可能不是通过AES或RSA等传统加密方法进行昂贵的密码运算。典型案例:植入式医疗设备、能量收集设备
当前解决:轻量级的方案,但是大多数就能量效率上与安全性上存在折衷,使用小的密钥大小,简化架构,初级操作;另一些方案,使用定制化的赢家、专用软件,实施IoT应用的加密,但是限制了可能的部署场景
工作:提出新型加密方案,动态无线信道流加密;,利用无线环境环境的动态变化实现敏感数据的保密性
特点:1.轻量化,只消耗很少的计算资源,基带处理,解密无需任何计算消耗,hassle-free;2.安全,一次一密,简单但高保密性;3.兼容性,方案与应用层独立工作,它是对传统密码方案的补充,可以协同工作,进一步提高安全性;4.通用性,可应用于大多数IoT应用
原理
DyWCP的灵感来源于一次性pad加密。在现有的加密方案中,一次性pad加密是一种典型的轻量级方法,因为它只使用基本的模块化、异或或加法运算。尽管轻量级且简单,但一次性pad加密已被证明具有完美的保密性[15]。尽管如此,自几十年前发明以来,一次性pad加密在实践中很少使用。人们认为,使用一次性pad加密是没有意义的,因为加密要求密钥的长度与原始消息的长度相同。如果可以的话以及一种以秘密方式传递密钥的方法,那么也应该能够在不加密的情况下以相同的秘密方式直接发送消息[16]。
密钥协商造成了应用一次性pad加密的基本障碍,这要求密钥只能使用一次不同的消息应该通过di加密不同的键。
完全消除密钥协商的步骤,解决这一障碍,使得一次一密实用化
无线信道是加性信道,
比如:Alice用两根天线传输d+k和d-k
Bob提取信号dt和密钥通过加减
但是窃听者同样具备能力来解密消息,只要能接收到Alice的信号,且实际上Bob也无法接收原始信号。原因是:无线信道传播带来的distortion,可以认为是乘性的。接收信号为dtht。接收机可以进行信道估计,消除信道影响,但即使完全估计,也无法进行解密,因为h1和h2不同。
解决:设计动态信道密码本,基于Alice和Bob之间的信道定制,在Bob处而不是在Eve处抵消。
实用化的挑战
1.前述方案护理了模二加的步骤。实际上模加操作对于一次一密是至关重要的。但是实际的无线通信系统中,发送的单元式符号而不是比特,因此无法在符号层面使用模二。导致密钥可能不会被抵消。
2.攻击者实施已知明文攻击,来获取Alice和Bob的信道信息,可以猜出密钥信号k。已知明文:无线信道训练序列,前导序列,同步码等。因此需要找到方法,使得窃听者不能从预定义的信息中估计信道。思路:破坏窃听者的无线信道,比如总是得到虚假和欺骗性的信道
本文工作
1.提出轻量级加密方法,只需简单的模加运算和信道估计;
2.提出动态信道密码本的设计;
3.符号级的模加方法;
4.信道毒害方法,避免窃听者获取信道;
5.USRP进行验证
模型
假设:1.发射机由多天线组成,接收机天线可以同时收到同步的信息,采用广泛使用的参考广播同步方法;2.假设天线相隔足够距离,接收机与每个天线不相关;3.数据包在相干时间内传输。
威胁模型:
1.传统的窃听者,单天线。可以在任意位置,除过接收机或发射机。
2.协作式多天线窃听。多个窃听者在不同位置。
系统模型:
4个模块:
1.调制。转化输入比特序列到连续的无线符号,产生随机数用于加密;
2.符号模加。
3.动态信道加密器。校准加密符号以适应信道变化,从而确保密钥总是在接收器处取消,但仍保留在窃听者处。
4.信道毒化。消除窃听者从预定义信息来估计信道的能力。
第n个天线发射的信号
d
n
′
(
t
)
+
k
n
′
(
t
)
d'_n(t)+k'_n(t)
dn′(t)+kn′(t)
这里的d是符号、坐标还是比特?
信息部分:
d
n
′
(
t
)
=
d
n
(
t
)
f
n
(
t
)
d'_n(t)=d_n(t)f_n(t)
dn′(t)=dn(t)fn(t)
密钥部分:
k
n
′
(
t
)
=
k
n
(
t
)
f
n
(
t
)
k'_n(t)=k_n(t)f_n(t)
kn′(t)=kn(t)fn(t)
Bob接收信号
∑
1
N
h
n
(
t
)
[
d
n
′
(
t
)
+
k
n
′
(
t
)
]
\sum_1^Nh_n(t)[d'_n(t)+k'_n(t)]
∑1Nhn(t)[dn′(t)+kn′(t)]
通过信道估计来测量无线信道。常见的信道估计算法包括最小二乘和MMSE估计[33,34]。信道估计过程通常需要周期性地执行,使得通信设备能够应对信道变化。
也就是说,在一定的时间范围内,认为hnt是不变的,而dnt是变化的
约束:信息向量与密钥向量应该正交
首先,信道信息h_n(t)可以由估计得到:这里假设产生随机的hn
而h’_n(t)由上述的约束条件可以确定
相应的,除过找到H’同时满足上述的正交和同方向条件,我们可以放松对H’的要求,通过首先满足信息符号D和密钥K的关系,然而找到H’来满足要么与K的正交性,要么与D的同方向性。不失一般性,这里来满足与D的同方向性。
确保D和K是正交的:随机生成一对正交矢量,可以通过Gram-Schmidt算法得到,然后构造D和K,就能确保D和K正交
由dt,和H,构造H’
保证H’和D通方向性:通过除模运算得到同方向矢量
构造H’过程:
1.随机生成一组正交向量(Gram-Schmidt正交算法),u和v,维度是1*N,N是天线数量,是正数
2.令D = u dt,K = v kt,则有DK = 0
3.令H’ = u/|U|
4.计算第n根天线上的加密function fn = hn’/hn
5.则第n根天线发送的信息为dn’ = dn fn, 密钥是kn’ = kn fn 发送信号为 dn’ + kn’
t时刻发送的信息d,密钥是k,信道是H不变,
这里先不考虑加密的影响,只考虑符号级模加
对于两天线,很自然的有这个正交关系,不用再构造复杂的矢量
符号级模加
只考虑两个天线的场景:
天线1发射:m+k,天线2发射m-k
假设发送信号为天线1:h1(m+k) ; 天线2:h2(m-k)
接受信号为:h1h1’(m+k) + h2h2’(m-k)
由于h1h1’ = 1,h2h2’ = 1,所以由接受信号为m+k + m - k = 2m
调制符号:s_i
密钥序列: k_i
简单方案:
si+ki mod m= (ai,bi) + (ci,di) mod m
=(ai+ci mod m, bi+di mod m)
si-ki mod m = (ai,bi) - (ci,di) mod m
=(ai-ci mod m, bi-di mod m)
但是,这种对坐标点直接模加的方法,是不封闭的
一个连续的整数集Z = {0,1,2,3,…}在与模|z|模加后仍然封闭
因此,考虑将星座点集合X映射到连续整数集Z上,在Z上进行模加,之后再逆变换回X
对于Bob,将接收内容除以2,得到解调的原始信息
正确案例举例:
Alice发射1101,查表发现坐标为(0.5,-0.5),相应索引是(2,1)
随机选择符号(1.5,-0.5)作为key,相应索引是(3,1)
Alice计算与key的和、差,分别得到
((2,1)+(3,1))mod4 = (1,2)
((2,1)-(3,1))mod4 = (3,0)
逆映射到符号坐标,得到2根天线上发送的符号为(-0.5,1)(1.5,-1.5)
Bob接收的是和信号,得到(-0.5,1)+(1.5,-1.5)=(1,-1)
除以2,得到结果(0.5,-0.5),逆映射回比特得到1101
可能在一些情况下,索引方法会失效,比如逆映射恢复错误
比如,符号(2,1)用KEY(3,2)来加密,得到(1,3)和(3,3),发送的星座坐标为(-0.5,1.5)和(1.5,1.5)
接收符号是(0.5,1.5)
接收信号是(0.5,1.5),与原始的符号不相符,因此必须要加以改进,加强约束
根据模的不同分类,得到错误的结果,这时予以纠正,但是条件只有发送方是清楚的,接收机并不知道
Bob接收到的符号是什么?是两个符号坐标相加的结果,再除以2——这里会有问题,如果星座点上任意两个符号直接相加,再除以2,会出现一些星座点上没有的点!比如坐标等于0
那么也即要保证m(In(d)+In(K),4)与 m(In(d)-In(K) ,4)相加后,不会出现这样星座点的情况
错误来源分析:
符号的坐标可以用符号的索引减去一个固定的坐标,比如(0.5,-0.5) = In(0.5,-0.5) - (1.5,1.5)
则有Alice发射信号的坐标:
s1 = In(s1) - (d,d)
s2 = In(s2) - (d,d)
Bob接收信号的坐标:
s1 + s2 = In(s1) + In(s2) - 2(d,d)
除以2,得到
(s1 + s2) /2 = 1/2(In(s1) + In(s2)) - (d,d)
对应的索引是
1/2(In(s1) + In(s2))
处理解码shift
将符号d\in [0,1,2,3]的索引\in[0,1,2,3],表示为两个索引的和的模m的结果
In(d) = (q1+q2) mod m
天线1 发送[ q1 + In(k) ]mod m对应的符号
天线2 发送[ q2 - In(k) ]mod m对应的符号
接收信号的索引为
[ q1 + In(k) ]mod m + [ q2 - In(k) ]mod m
对于x坐标,满足条件1、2:
(q1x + Ink x )mod m + (q2x - Ink x )mod m = q1x+q2x = Ind x
满足条件3、4:
(q1x + Ink x )mod m + (q2x - Ink x )mod m =( q1x+q2x+pm) mod m= Ind x,p\in N
对于16QAM,d = 0~15,In(d) = {0,1,2,3},q1和q2表示为
0 = 0 + 0 mod 4
1 = 0 + 1 mod 4
2 = 1 + 1 mod 4
3 = 1 + 2 mod 4
发射符号的索引表示为
天线1:((q1x + Ink x )mod m,(q1y + Ink y)mod m )
逆变换为坐标,得到发射符号
天线2:((q2x - Ink x )mod m,(q2y - Ink y)mod m )
5.6 基带处理
1.正交调制,多天线
2.对每一个基带信号引入随机振幅,目的:更加隐匿原始的符号
为消除随机振幅影响,在x2,y2添加相反的相位
单个窃听者的安全性分析
信息安全一般可以用两个概率之间的比较来衡量
先验概率P(D)——明文D的概率
后验概率P(D|S)——密文S相应明文D的概率
对于未知D的人,D认为是随机变量,熵为H(D)
H(D|S) 条件熵,在密文S处的明文D的熵
定义信息安全量化为互信息,也即相对熵I(D;S) = H(D) - H(D|S)
实现完美的安全,I等于0:意味着不确定度最大,也即窃听者从已知的密文S中无法获得明文D的信息
合作式窃听者的安全性分析
根据预定义的信息,Eves可能应用存在的LMS算法来推导A和B的信道
根据已知的信道,可以餐厨每个天线对应的加密函数f和密钥kc,最终解调di
实验和评估
8.1 系统设计
基于GNURadio和USRP
1收1发,8个窃听者
8.2有效性评估
发射机用两个同步的USRP进行发射,发射相同的符号给接收机,没有采用动态信道加密,接收信号会distort(由于信道不同),采用动态信道加密,接收信号是一样的
训练阶段:接收机广播一个beacon信号给发射机,发射机估计信道
估计1000次信道,记录估计结果
NIST随机性测试
对接收比特的随机性进行测试,比较由接收机和窃听者接收的比特序列的随机性
问题:
1.信道相干时间的典型值为多少?是否意味着需要间隔时间周期性地进行信道估计?
2.将调制推广到任意的QAM调制中,看是否仍然有效?
3.方案考虑的是Alice双天线,Bob单天线,但是实际中物联网设备不一定是双天线,很可能只有一个天线(成本问题),这种情况下方案失效;此外还要考虑双工的问题,如何实现双工?目前来看,就是时分双工
4.代价是否是误码率的下降?
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
