每周文章分享-190

网络与安全实验室

随着水声通信的进步以及声学传感器成本的降低，水声网络成为海洋作业的可行工具。而当涉及到与国防相关的通信时，确保通信安全是基本的前提，因此保护信息免遭窃听变得越来越重要。虽然物理层密钥生成在地面通信中得到了很好的研究，但水声信道特性使得将相同的解决方案移植到水声环境中变得困难。本文中重点介绍了一种物理层安全解决方案，基于测量水下声学信道在UWAN的多个跳跃上的传播延迟：这可以利用UWAN拓扑中的随机性，并将水中缓慢的声音传播转化为防止窃听的优势。密钥生成协议包括路由发现握手，中间跳跃的所有UWAN设备都会累积其消息处理延迟。这使Alice和Bob能够计算每条路由上的实际传播延迟，并将此类信息映射到位序列。最后，从这些位序列中获得密钥。

本文提出了一种基于水声信道传播延迟特性的密钥生成程序。一旦在UWAN的多个跳跃中积累起来，延迟测量就会获得UWAN拓扑的随机性，并将缓慢的声速和相应的较长的声学传输时间 (ToF) 转化为防止窃听的优势。在该方法中，Alice和Bob之间的双向数据包交换允许两端在数据包沿不同路径传输时计算和量化这些ToF值。这些信息对Eve来说是部分秘密的：因此，我们可以使用信息论密钥协议解决方案提取Alice和Bob共享的位子集。此外，由于水声功率显著衰减，典型的UWAN拓扑结构稀疏，通常限制Eve只能听到合法节点传输的少部分数据。

该方法的创新和贡献如下：

1）将水下声学信道的传播延迟和网络拓扑视为随机源；

2）提出了一种在整个UWAN节点上运行的密钥协商协议，并利用了UWAN的随机拓扑。

密钥协议主要考虑以下步骤：

a) 序列生成，即Alice和Bob获得两个M比特序列；

b) 信息调和，即Alice和Bob通过编码技术消除比特序列中的差异；

c) 隐私放大，即提取对Eve保密的较短比特序列。 

本文中重点讨论步骤a，它利用UWAN通信的特点生成序列。相反，步骤b和c则是对比特序列进行操作，并不是UWAN所特有的，可以通过现有技术实现，所以b和c不作为本文讨论的内容。 

如下图所示，序列生成的主要过程要求Alice向Bob发送R-Ping数据包， Bob向Alice发送R-Rep数据包。Alice和Bob都要估算每条路径的ToF以及网络拓扑结构。用于提取密钥的比特序列由Alice和Bob分别生成，方法是将N_c条所选路由的ToF连接起来，并在量化区间[0,Tc]上按照预先确定的量化步长ρ进行量化。因此，每条路由的量化比特数为N_r=⌈log2(T_c/ρ)⌉。

图1  算法流程

（1）路由延迟估计

参考图1，泛洪的R-Ping数据包包括Alice的ID、传输时间T_s ，以及用于存储第i条路由上累积的硬件和软件延迟的字段δ_i。接收R-Ping的每个不同于Alice和Bob的节点都会将其本地ID附加到数据包，更新δ_i，并且仅当节点在遍历的中继列表中找不到自己的临时ID时才转发数据包。这可以防止路由中出现循环。在时间T_r收到数据包后，Bob提取形成路由i的节点的ID和相应的累积延迟δ_i。净路由延迟可以表示为：

在收到第一个R-Ping后，Bob会持续监听一个全局已知的时间间隔T_c，以接收更多的R-Ping。要使上述过程成功，R-Ping和R-Rep传输应该是可靠的，并且T_c应该足够大以收集所有的R-Rep。注意到重传策略存在实际限制，例如，过多的R-Ping和R-Rep传输可能会不方便地延长多跳泛洪过程的延迟，并且可能导致R-Rep观察到相对于R-Ping的不同拓扑。因此，Bob（Alice）必须在精心选择的时间间隔T_c内持续监听R-Ping（R-Rep）。事实上，T_c在拓扑一致性和最大路由长度之间取得了平衡：它应该留出充足的时间让R-Ping到达并向Bob揭示网络拓扑。同时，它不应过长，否则R-Ping和R-Rep最终会观察到不同的网络拓扑。

（2）路由选择方法

由于Bob的过程与Alice的过程完全等同，假设Bob收到N_Bob R-Ping。从每个R-Ping中，Bob检索R-Ping遍历的路由，将这组路由表示为集合R，且每条路由都是包含遍历节点的有序元组。

理想情况下，路由选择过程的目标是挑选出具有不同跳数的不相交路由。这满足了以下要求：

a) 减少了中继重用，使Eve难以依靠少数中继节点获得比较完善的信息；

b) 增加了路由延迟多样性，较长路由的延迟必然比较短路由的延迟更长。

为了实现上述目标，Bob生成了一个大小为N_Bob*N_Bob的辅助对称矩阵 A(R)=(a(R)_ij)，其中a(R)_ij传达路由i和j的联合性，定义如下：

其中1(⋅)表示计算参数中的1的数量，该公式计算了路由R_i和R_j中除Alice和Bob之外所有中继子网络的连通性。根据上述信息，Bob选择第一条路由为：

公式可以帮助挑选出与所有其他路由最不相交的路由。现在，选定路由的初始集合为S={R_1^*}，Bob从R中删除路由R_1^*。然后，重复以下两个步骤，直到选择了N_c条路由。

步骤一：对于集合R中剩余的每条路由r，生成临时集合T_r=S∪{r}，并通过Jain公式计算该集合中跳数的公平性，即

步骤二：Bob从步骤一计算的值中选取最多N_F条最低公平性的路由，然后选择与先前选择的路由最不相交的路由，并将此路由添加到集合S中。

（3）节点ID的选择

为了向Eve隐藏拓扑数据，所有中间节点都选择一个临时本地ID。此ID在上游向Bob泛洪R-Ping和下游向Alice泛洪R-Rep之间以及所有后续泛洪过程中都会发生变化。这样，Eve的知识仅来自其邻居转发的R-Ping和R-Rep。注意到，即使Alice和Bob也没有关于此类本地ID的先验信息，他们也不需要这些信息来生成密钥。因此，ID信息不被视为隐藏，因此不存在信息泄露的风险。为了限制 ID 长度和两个节点选择相同临时ID的概率，定期生成不相交的数字池，每个UWAN节点一个池。使用此解决方案，没有两个节点会选择相同的ID，并且一个节点连续两次选择相同ID的概率可以任意小。随机节点ID是避免向Eve泄露以下信息的关键：

i) 部署了哪些节点以及部署了多少节点；

ii) 节点可以位于多远。

后者尤其重要，因为它可以转化为有关预期最大传播延迟的额外信息，从而转化为每轮后获得的密钥的大小。因此，使用临时ID对于密钥生成方案本身并不是必不可少的，只要Eve无法偷听网络中的每个传输即可。也就是说，随机ID的目的是通过使Eve更难计算最大传播延迟以及在R-Ping和R-Rep期间传输的数据包之间的链接来增强我们解决方案的保密性，以便更好地估计跳跃中的传播延迟。

（4）重复密钥生成

秘密比特的数量可能受限于合理的ρ值。为了获得更长的序列，密钥生成过程重复K次，每个生成过程称为一轮。请注意，如果网络拓扑在连续几轮中缓慢变化，则在多轮中获得的序列相互关联。

（5）重复密钥生成

在K轮结束时，通常会进行密钥蒸馏步骤。此过程包括信息协调和隐私放大。信息协调利用纠错码来对齐Alice和Bob在K轮后获得的可能不同的比特序列。协调最好在所有轮结束时进行，多次协调（例如，每轮后一次）不是最优的，因为所采用的纠错码通常对较长的序列效果更好。协调后，隐私放大阶段提取出对 Eve 真正保密的 n<M 位序列。

本文考虑两种模拟设置：1）随机静态网络拓扑，其中节点随机放置在固定位置，忽略链路衰减，并假设ToF测量准确；2）使用众所周知的Bellhop声学传播模型模拟通信网络，包括节点移动性。设置1可以对从我们选择的随机源获得的潜在秘密位数进行统计测试，而后者则在更现实的环境中探索密钥协商率，包括ToF测量误差。在这两个模拟中，所有节点都均匀随机部署在3 km×3 km的区域内，Alice、Bob和Eve在这些节点中随机选择。节点的通信范围设置为1 km。此外，Alice的R-Ping和Bob的R-Rep假设声速为1500 m/s，每个节点的硬件/软件延迟随机分布在0到1秒之间，从而通过网络传播。

A.静态网络拓扑中的联合测量模型

图2  Alice和Bob测量值的联合分布

图3  Alice和Eve的观测值（黑点）和估计值（实线）联合PDF

图2显示了Alice和Bob的测量值的联合分布。可以清楚地看到，这些模拟验证了信道互易性的假设，因此在实践中可以考虑跳过信息协调步骤。

相比之下，图3显示了Alice和Eve的延迟测量的联合PDF，与图2中的Alice-Bob测量值相比，注意到Alice和Eve的测量值之间的关系要弱得多，因为联合分布要稀疏得多。因此，夏娃很难利用她自己的测量数据来推断爱丽丝的数据。

B. Bellhop声学传播模型模拟通信网络中的联合测量模型

图4  Alice和Bob的延迟测量联合PDF，其中v=0.1m /s、Nc=1

图5  Alice和Eve的延迟测量联合 PDF，其中v=0.1m /s、Nc=1

图4和图5总结了在Bellhop模拟数据下的Alice和Bob的延迟测量联合PDF的估计结果，以及Alice和Eve的延迟测量联合分布的估计结果。从中观察到，从随机网络拓扑模拟中得出的所有结论仍然成立。从图4中可以观察到，除了少数异常值外，Alice和Bob的延迟测量之间存在非常强的相关性，因为所有测量值对都接近X¯=Y¯线；而从图5中，我们看到输出的PDF要平滑得多，这表明Alice和Eve收集的测量值仅存在弱相关性。

C. Bellhop声学传播模型模拟通信网络下的延迟向量之间汉明距离

图6  Alice、Bob和Eve获得的延迟向量之间的汉明距离

图中分别展示了路由数R_k和跳数L_k对Alice和Bob的量化（ρ=0.3 s）路由延迟向量之间的汉明距离以及Alice和Eve的汉明距离的影响。观察到Alice和Bob之间的一致性几乎不受网络结构的影响。这是因为，尽管节点在每次模拟运行中都在缓慢漂移，但延迟测量过程中的网络拓扑变化可以忽略不计，因此他们在序列生成方面的性能不受影响。

然而，结果表明，Eve提取密钥的能力受到网络结构的影响。具体而言，Alice和Eve位序列之间的汉明距离会随着路由数量的增加而减小，并随着跳数的增加而略微增加。这是因为更多路由的可用性与更密集的网络相关，其特点是节点之间的连接程度更高。然后，Eve 有更多机会偷听更多通信会话，从而提取更多信息以用来推断密钥。然而，随着跳数的增加，网络变得更稀疏，节点的连接性降低。然后，Eve更难发现网络的真实拓扑结构，其推断密钥的能力也会下降。

D. 海洋试验中测量的汉明距离

图7  汉明距离在7次试验中平均为网络中节点数量的函数

左图展示了Eve不同位置时的最大最小密钥不匹配结果，且Alice和Bob之间位不匹配的数量随ρ的减少而减少。然而，更粗略的量化是以更短的密钥为代价的。与左图一样，Eve的位置在所有不同于Alice和Bob的节点上变换，观察到，Alice和Bob仅有少量位错误，而Eve则有3-6个不匹配的位。

本文提出了一种利用UWAN中传播延迟和预期稀疏拓扑作为秘密随机性来源的方案。该方案建立在通过两个节点Alice和Bob之间的不同多跳路由来回传输时观察到的端到端延迟的基础上，以生成对窃听攻击者Eve保密的密钥。通过累积每条路由上的硬件/软件延迟，Alice和Bob能够测量路由的传播延迟，并通过量化在某些智能选择的路由上累积的估计来自主生成通用密钥。