面向信号调制识别的对抗攻击与防御综述

徐冬月; 田蕴哲; 陈康; 李轶珂; 吴亚伦; 童恩栋; 牛温佳; 刘吉强; 史忠植

doi:10.7544/issn1000-1239.202330826

面向信号调制识别的对抗攻击与防御综述

1.
智能交通数据安全与隐私保护北京市重点实验室（北京交通大学）　北京　100044
2.
中国科学院计算技术研究所智能信息处理重点实验室　北京　100190

详细信息

作者简介:
徐冬月: 1999年生. 硕士研究生. 主要研究方向为对抗机器学习

田蕴哲: 1999年生. 博士研究生. 主要研究方向为人工智能安全

陈康，1999年生. 硕士研究生. 主要研究方向为信号调制识别

李轶珂: 1995年生. 博士研究生. 主要研究方向为人工智能安全

吴亚伦: 1994年生. 博士研究生. 主要研究方向为人工智能安全

童恩栋: 1986年生. 博士，讲师，CCF会员. 主要研究方向为人工智能安全、服务计算和数据挖掘

牛温佳: 1982年生. 博士，教授，博士生导师，CCF高级会员. 主要研究方向为人工智能安全和数据挖掘

刘吉强: 1973年生. 博士，教授，博士生导师，CCF高级会员. 主要研究方向为可信计算、加密协议、隐私保护和网络安全

史忠植: 1941年生. 教授，博士生导师，CCF会士. 主要研究方向为人工智能、机器学习、神经计算与认知科学

中图分类号: TP391
计量
- 文章访问数: 41
- HTML全文浏览量: 1
- PDF下载量: 19
出版历程
- 收稿日期: 2023-10-18
- 录用日期: 2025-01-25
- 网络出版日期: 2025-01-25

Survey on Adversarial Attack and Defense for Signal Modulation Recognition

1.
Beijing Key Laboratory of Security and Privacy in Intelligent Transportation (Beijing Jiaotong University), Beijing 100044
2.
Key Laboratory of Intelligent Information Processing, Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100190

More Information

Author Bio:
Xu Dongyue: born in 1999. Master candidate. Her main research interest is adversarial machine learning

Tian Yunzhe: born in 1999. PhD candidate. His main research interest is AI security

Chen Kang: born in 1999. Master candidate. His main research interest is signal modulation recognition

Li Yike: born in 1995. PhD candidate. Her main research interest is AI security

Wu Yalun: born in 1994. PhD candidate. His main research interest is AI security

Tong Endong: born in 1986. PhD. Lecturer. Member of CCF. His main research interests include AI security, services computing, and data mining. （edtong@bjtu.edu.cn）

Niu Wenjia: born in 1982. PhD. Professor. PhD supervisor. Senior member of CCF. His main research interests include AI security, agent, and data mining.（niuwj@bjtu.edu.cn）

Liu Jiqiang: born in 1973. PhD. Professor. PhD supervisor. Senior member of CCF. His main research interests include trusted computing, cryptographic protocols, privacy preserving, and network security

Shi Zhongzhi: born in 1941. Professor, PhD supervisor. Fellow of CCF. His main research interests include artificial intelligence, machine learning, neural computing and cognitive science

摘要

摘要:
随着深度学习的飞速发展，基于深度神经网络的信号调制识别任务成为无线通信领域研究热门. 然而研究发现，深度神经网络模型极易受到对抗性扰动的影响，使调制识别任务失效. 目前面向无线通信安全性的研究工作仍存在些许瓶颈问题与理论空白，源于无线通信固有的实验环境、数据结构与信号特征等多维度特性，不能将其他领域较为成熟的攻防方法简单迁移到信号对抗攻击中. 作为第1篇面向信号调制识别领域的对抗攻防中文综述，全面总结目前为止该领域对抗攻击与防御技术研究工作，首次提出信号调制识别领域的通用对抗攻击分类框架与威胁模型，将该领域研究工作分类为物理自我防御式攻击和数字直接访问式攻击，并以2维图形式进行系统化整合与可视化展示，详细阐述对抗攻击方法、对抗样本生成技术与理论公式、对抗检测与防御技术最新的研究工作，系统提炼无线通信对抗攻击研究的3个维度特性并归纳相应的处理方法，最后总结面向信号调制识别的攻防安全领域在末来的研究发展方向.
- 深度神经网络 /
- 无线通信 /
- 信号调制识别 /
- 对抗攻击 /
- 防御
Abstract:
With the rapid development of deep learning, signal modulation recognition based on deep neural networks has gained popularity in wireless communications research. However, it has been observed that the deep neural network model is vulnerable to adversarial perturbations, rendering the modulation identification task ineffective. Currently, there are theoretical gaps and bottlenecks in wireless communication security research. Due to the multidimensional nature of wireless communication, including factors such as experimental environments, data structures, and signal characteristics, it is not feasible to transfer the established attack and defense methods from other domains to signal countermeasures. In this paper, we comprehensively summarize the research on adversarial attack and defense technology in the field of signal modulation recognition. As the first Chinese review of its kind, we propose a generic classification framework and threat model for adversarial attacks in this field. Classify the research in this field into two categories: physical self-defense attacks and digital direct access attacks. Then, systematically integrate and visualize the research as two-dimensional diagrams to demonstratively showcase the methods, models, and techniques of adversarial attack. Additionally, provide details on the methods and models of adversarial attack. We present the latest research on adversarial attack methods, adversarial examples generation techniques, theoretical formulas, and adversarial detection and defense techniques. We systematically refine the characteristics of the three dimensions of adversarial attacks on wireless communications and summarize the corresponding processing methods. Finally, we summarize the future research and development direction of the attack and defense security field oriented towards signal modulation recognition.
- deep neural network /
- wireless communication /
- signal modulation recognition /
- adversarial attack /
- defense

HTML全文

传统的公钥密码大多基于RSA算法^[1]以及椭圆曲线密码^[2]. Shor算法的提出证明大数分解难题可用量子计算机在多项式时间内解决. 随着量子计算机的不断发展，传统公钥密码面临被攻破的威胁. 2016年，美国国家标准技术研究院（National Institute of Standards and Technology, NIST）在全球范围内启动了针对后量子密码算法的征集^[3]. 后量子密码的标准化和迁移是下一代密码技术的重要方向. 在众多的后量子密码算法中，基于格的密码算法由于在安全性、公私钥尺寸、计算速度上达到了更好的平衡，成为最有前景的后量子密码算法之一. 到2022年7月，NIST初选了4个后量子标准算法，其中3个是签名算法，1个是加密算法.4个标准算法中3个都是基于格的密码算法，说明目前格基密码是后量子密码主流技术路线. 伴随着美国NIST后量子密码标准的推出，如今学术与工业界都在加快推进网络安全生态向后量子时代迁移，高效安全的后量子密码实现对后量子迁移与应用尤为重要.

基于格的密钥封装机制主要使用：一般格、理想格和模格以及NTRU格. 目前NIST拟标准化的密钥封装算法Kyber^[4]是基于LWE技术路线. 但基于LWE技术路线的后量子密码标准面临较为复杂的专利因素. 相较于LWE技术，NTRU密码体制更为成熟且无专利风险. 传统的基于NTRU格的密钥封装机制通常需要采用相较于基于{R, M}LWE密钥封装机制更大的模数和更小的密钥空间来满足方案正确性^[5-6]. 我国学者基于 ${\mathrm{E}}_{8}$ 格编码^[7]和NTRU格提出了CTRU和CNTR密钥封装算法^[8]，简记为CTRU，其中，CNTR是CTRU的一个简化版本. CTRU和CNTR本质上还是NTRU机制，其密钥生成和解密过程与传统的NTRU机制保持一致. 其优点是采用了尺度化 ${\mathrm{E}}_{8}$ 格编码，提高纠错能力，能够容忍更大的秘密范围和更小的模数，并支持密文压缩，从而在安全性和带宽上相比传统NTRU机制更有优势. 目前，CTRU算法的标准化工作已经在我国密码标准委员会正式立项^[9]，其中每个算法提供了3个方案CTRU-512，CTRU-768，CTRU-1024，分别对应不同的安全级别. 因此，对CTRU算法的高效实现研究具有重要的应用价值. 但是，在之前的CTRU密钥封装方案工作中，只提供了CTRU-768方案的C参考实现和AVX2实现，实现的不完整且有较大的性能优化空间，这为CTRU算法在实际中的应用和实验带来很大的不便，迫切需要解决.

典型的格密码系统的核心运算是矩阵算术运算和多项式环算术运算. 多项式乘法是大部分格密码中较为复杂且耗时的运算，一般采用快速数论变换（number theoretic transform, NTT）进行加速. 当前格密码的软件优化实现一般通过SIMD指令实现运算的并行加速，如Intel处理器的AVX/AVX2/AVX512指令集^[10-12]，ARM处理器上的DSP，NEON指令集^[13]. AVX是x86(-64)处理器上的扩展指令集，增加了256b向量寄存器，以及操作向量寄存器的相应指令（AVX2增加了更多指令）. AVX2指令集包含在向量寄存器上同时操作多个数据的指令，这种一条指令同时操作多个数据的概念被称为单指令多数据（single instruction multiple data, SIMD）. 在众多提交至NIST后量子标准遴选的格密码方案实现中，除了纯C参考实现，AVX2是必要实现之一. 因此对于格密码方案的软件工程实现来说，C参考实现和AVX2向量化并行实现是一个重要的方向.

本文的主要研究目标在于针对CTRU方案提出Intel平台上高效并行的软件实现，不仅对目前已有实现进行较为系统的优化，除此之外还完成了之前没有实现的CTRU-512和CTRU-1024方案的C参考实现和AVX2优化实现，并创造CTRU方案在Intel CPU平台上新的性能记录. 利用AVX2指令的SIMD特性，对CTRU底层较为耗时的多项式乘法、多项式求逆、模约减等运算进行较为系统的优化实现，最大化提升CTRU在Intel平台的性能. 具体而言，本文主要贡献如下：

1）提供了首个CTRU-512和CTRU-1024方案的参考实现. 现有CTRU-768方案的正向NTT实现采用的是6层基-2 NTT结合1层基-3 NTT的混合基NTT.而CTRU-512和CTRU-1024方案不需要进行基3NTT，因此目前CTRU-768方案的代码无法直接扩展到CTRU-512和CTRU-1024方案实现上，而CTRU-512和CTRU-1024方案的正向NTT采用的都是1层分解加6层基-2NTT，因此CTRU-512和CTRU-1024方案的正向NTT参考实现可以使用相同的代码模板. 除此之外，本文在之前延迟约减的基础上进行了进一步优化，利用中心Barrett约减对逆向NTT做出了更精细的针对系数索引的延迟约减.

2）对于CTRU-1024方案的多项式求逆实现，由于多项式矩阵维度大，现有的CTRU-768方案的多项式实现无法直接推广到CTRU-1024方案实现. 本文提出利用Bernstein快速多项式求逆算法实现CTRU-1024方案的 ${\mathbb{Z}}_{q}\left[x\right]/\left({x}^{8}-{\zeta }^{r\left(i\right)}\right)$ 多项式环求逆，使用Karatsuba技术加速小度数多项式乘法.

3）针对CTRU方案的主要性能瓶颈完成AVX2优化实现：针对正向NTT和逆向NTT提出了层融合实现技巧，进一步降低存取指令，提升多项式乘法速度；利用AVX2并行指令优化耗时的多项式求逆运算实现，对多项式矩阵求逆方法采用循环展开技巧实现模幂运算. 对Bernstein快速多项式求逆方法用AVX2进行向量化实现加速，针对多项式序列化和反序列化进行AVX2优化实现. 之前已有的实现没有对性能瓶颈SHA-3哈希函数进行AVX2优化，本文使用AVX2向量化指令对SHA-3哈希函数进行并行汇编实现.

4）本文提出的CTRU 3个方案的AVX2优化实现相较于本文完成的参考实现在密钥生成，密钥封装和密钥解封装上分别可以达到56%～91%，74%～90%， 70%～83%的性能提速，对于CTRU-768方案，相较于目前已有AVX2实现，提升了8%～11%，是目前CTRU方案在Intel CPU平台上实现的最好性能记录. 这为CTRU方案的实际应用和实验打下重要基础，具有重要的应用价值. 相较于已经标准化的Kyber密钥封装方案的AVX2优化实现，本文的CTRU AVX2优化也在性能上有一定优势.

1. 相关工作

目前有很多针对NIST PQC候选算法的优化实现，其中大部分优化实现主要关注FPGA^[14-16]、x86（主要是AVX2指令集优化实现）^[17-19] 以及ARM Cortex-M4的实现^[20-22]，这些是NIST PQC竞赛时推荐的官方实现平台. Chung等人^[23]提出了在NTT非友好环上使用NTT加速多项式乘法，他们采用此技术在NIST主要软件优化目标AVX2和Cortex-M4进行实现，创造了Saber方案和NTRU方案的最新性能记录. Hwang等人^[24]对NTRU Prime的ntrulpr761/sntrup761这2个参数集提出了向量友好型的多项式乘法实现，与最新的AVX2实现相比达到了一定的提速. Alkim等人^[25] 提出了2种针对NTT非友好环的不同NTT技巧，对NTRU Prime方案在ARM Cortex-M4平台上带来了9%～16%的性能提升. Dai等人^[26]给出了定制的乘法算法结构以及对应的英特尔AVX2指令，并提出了依赖于参数的优化. Becker等人^[27]提出了一种存储高效的Toom-Cook/Karatsuba多项式乘法技巧实现，并且带来了性能上的提升，他们在Cortex-M4上的实现能带来3～5倍的性能提速. Bernstein等人^[28]提出在TLS 1.3中对sntrup761实现更高的性能提升，提出了批量密钥生成的AVX2并行优化实现. 在CTRU方案实现中，主要存在的难点是快速数论变换、多项式求逆、和小度数多项式乘法. 对于不同参数，运用的多项式求逆方法不一致. 并且目前CTRU-768方案中采用的多项式矩阵方法的多项式求逆实现由于矩阵维数大，无法在CTRU-1024方案的多项式环上直接实施. 因此本文需要解决如何加速CTRU 3个方案中中均存在的大量的小度数乘法，以及考虑如何实现CTRU-1024环上的多项式求逆，并且进一步优化目前已有的快速数论变换实现.

2. 预备知识

本节给出了本文工作相关的预备知识. 首先定义了变量符号、数学运算与格上困难问题，接着详细描述CTRU方案，并介绍了实现平台与优化方式.

2.1 基本定义及符号说明

令 $n$ 和 $q$ 为正整数. 定义集合 ${\mathbb{Z}}_{q}=\mathbb{Z}/q\mathbb{Z}=\{0,\;1,\;…, q-1\}$ ， ${\mathbb{R}}_{q}=\mathbb{R}/q$ . 定义多项式环 $\mathcal{R}=\mathbb{Z}\left[x\right]/({x}^{n}-{x}^{n/2}+1)$ ， ${\mathcal{R}}_{q}={\mathbb{Z}}_{q}\left[x\right]/({x}^{n}-{x}^{n/2}+1)$ ，其中每个多项式系数均在环 ${\mathbb{Z}}_{q}$ 中. 令 $f$ 为 ${\mathcal{R}}_{q}$ 中的多项式，可表示为 $f={\displaystyle\sum\limits^{n-1}_{i=0}}{f}_{i}{x}^{i}$ . 多项式 $f$ 的向量形式是 $\boldsymbol{f}=({f}_{0},{f}_{1},…,{f}_{n-1})$ ，其中 ${f}_{i}\in {\mathbb{Z}}_{q}, i=\mathrm{0,1},…,n-1$ . 对于多项式模数 $q,{r}'=r{\mathrm{m}\mathrm{o}\mathrm{d}}^{\pm }q$ 表示 $r'$ 是 $r$ 约减到 $[-\dfrac{q}{2},\dfrac{q}{2})$ 的结果. ${r}'=r{\mathrm{m}\mathrm{o}\mathrm{d}}^{+}q$ 表示将 $r$ 约减到 $[0,q)$ . 对于一个元素 $a\in {\mathbb{Z}}_{q}，{\left|\left|a\right|\right|}_{\infty }$ 表示 $\left|a{\mathrm{m}\mathrm{o}\mathrm{d}}^{\pm }q\right|$ . 对于一个向量 $\boldsymbol{b}=({b}_{0},…,{b}_{n-1})，$ 定义 ${\left\|\boldsymbol{b}\right\|}_{\infty }=\underset{i}{\mathrm{m}\mathrm{a}\mathrm{x}}\left\|{b}_{i}\right\|_{\infty }$ . 对于集合 $D，s\leftarrow D$ 表示 $D$ 中随机选取一个元素 $s$ . 中心二项分布 ${B}_{\eta }$ 与正整数 $\eta$ 有关，中心二项分布定义如下：采样 $\left({c}_{1},{c}_{2},… ,{c}_{\eta },{d}_{1},{d}_{2},… ,{d}_{\eta }\right)\leftarrow {\left\{\mathrm{0,1}\right\}}^{2\eta }，$ 输出 ${\displaystyle\sum\limits^{\eta }_{i=1}}({c}_{i}-{d}_{i})$ ，采样多项式 $f\leftarrow {B}_{\eta }$ 表示按照分布 ${B}_{\eta }$ 采样多项式 $f$ 中的每个系数.

2.2 CTRU方案介绍

CTRU是基于NTRU格的密钥封装方案，CTRU方案中包括一个IND-CPA安全的公钥加密和一个IND-CCA安全的密钥封装方案. CTRU公钥加密的密钥生成算法、加密算法和解密算法如算法1，2，3所示.CTRU选择的模数 $q=3457$ . CTRU选取的多项式环 ${\mathcal{R}}_{q}={\mathbb{Z}}_{q}\left[x\right]/({x}^{n}-{x}^{\tfrac{n}{2}}+1)$ . ${\varPsi }_{1}$ 和 ${\varPsi }_{2}$ 都是 $\mathcal{R}$ 上的分布. 密钥生成、加密、解密算法中的多项式采样都是通过中心二项分布采样算法生成的服从 ${\varPsi }_{1}$ 或 ${\varPsi }_{2}$ 分布的多项式. 函数 $PolyEncode$ 和 $PolyDecode$ 是用于对明文进行 ${\mathrm{E}}_{8}$ 格编码和解码的函数，具体细节可见文献[8].

算法1. $CTRU.PKE.KeyGen\left(\right)$ 密钥生成算法.

输出：公钥 $pk:=h$ 、私钥 $sk:=f$ .

① ${f}',g\leftarrow {\varPsi }_{1}$ ；

② $f:={pf}'+1$ ；

③ 如果 $f$ 在 ${\mathcal{R}}_{q}$ 中不可逆，重启密钥生成；

④ $h:=g/f$ ；

⑤ $\mathrm{r}\mathrm{e}\mathrm{t}\mathrm{u}\mathrm{r}\mathrm{n}\left(pk:=h，sk:=f\right).$

算法2. $\boldsymbol{C}\boldsymbol{T}\boldsymbol{R}\boldsymbol{U}. \boldsymbol{P}\boldsymbol{K}\boldsymbol{E}. \boldsymbol{E}\boldsymbol{n}\boldsymbol{c}(\boldsymbol{p}\boldsymbol{k},\boldsymbol{m};\boldsymbol{c}\boldsymbol{o}\boldsymbol{i}\boldsymbol{n})$ 加密算法.

输入：公钥CTRU-512和CTRU-768这2个方案、待加密消息 $\boldsymbol{m}\in \boldsymbol{M}$ 、随机数 $\boldsymbol{c}\boldsymbol{o}\boldsymbol{i}\boldsymbol{n}$ ；

输出：密文 $\boldsymbol{c}.$

① $r,e\leftarrow {\varPsi }_{2}$ ；

② $\sigma :=hr+e$ ；

③ $c:=\left\lfloor \left. \dfrac{{q}_{2}}{q}(\sigma +PolyEncode(m\left)\right)\right\rceil \right. \mathrm{m}\mathrm{o}\mathrm{d}\;{q}_{2}$ ；

④ $\mathrm{r}\mathrm{e}\mathrm{t}\mathrm{u}\mathrm{r}\mathrm{n}c.$

算法3. $\text{CTRU}.PKE.Dec(sk,c)$ 解密算法.

输入: 私钥 $sk:=f$ 、密文 $\boldsymbol{c}$ ；

输出：解密消息 $\boldsymbol{m}.$

① $\text{m}:=PolyDecode\left(cf{\mathrm{m}\mathrm{o}\mathrm{d}}^{\pm }{q}_{2}\right)$ ；

② $\mathrm{r}\mathrm{e}\mathrm{t}\mathrm{u}\mathrm{r}\mathrm{n}\;m$ .

通过前缀哈希FO转换 $\mathrm{FO}_{ID\left(p{k}\right), m}^{/ \perp}$ 将CPA安全的公钥加密CTRU. PKE转换为CCA安全的密钥封装. 前缀哈希FO转换 $\mathrm{F}_{ID\left(p{k}\right), m}^{/ \perp}$ 是FO转换^[29-30]的变体^[31]. CTRU的密钥封装方案包含密钥生成、密钥封装以及密钥解封装，3个算法如算法4，5，6所示. 其中所有的哈希函数都是用SHA-3实例化的. 采样多项式所需要的随机字节流通过SHAKE-256生成. 密钥封装中的哈希函数 $\mathcal{H}$ 用SHA3-512实例化.

算法4. $\boldsymbol{C}\boldsymbol{T}\boldsymbol{R}\boldsymbol{U}. \boldsymbol{K}\boldsymbol{E}\boldsymbol{M}. \boldsymbol{K}\boldsymbol{e}\boldsymbol{y}\boldsymbol{G}\boldsymbol{e}\boldsymbol{n}$ 密钥生成算法.

输出: 公私钥对 $\left(\boldsymbol{p}\boldsymbol{k},\boldsymbol{s}\boldsymbol{k}\right).$

① $\left(\boldsymbol{p}\boldsymbol{k},\boldsymbol{s}\boldsymbol{k}\right)\leftarrow \boldsymbol{C}\boldsymbol{T}\boldsymbol{R}\boldsymbol{U}. \boldsymbol{P}\boldsymbol{K}\boldsymbol{E}. \boldsymbol{K}\boldsymbol{e}\boldsymbol{y}\boldsymbol{G}\boldsymbol{e}\boldsymbol{n}\left(\right)$ ；

② $z\stackrel{\mathrm{\$}}{\leftarrow }{\left\{\mathrm{0,1}\right\}}^{l}$ ；

③ $\mathrm{r}\mathrm{e}\mathrm{t}\mathrm{u}\mathrm{r}\mathrm{n}\left(p{k}':=pk,s{k}':=\left(sk,z\right)\right).$

算法5. $\text{CTRU}.KEM.Encaps$ 密钥封装算法.

输入: 公钥 $pk$ ;

输出: 协商密钥 $K$ 、封装密钥 $c.$

① $m\stackrel{\mathrm{\$}}{\leftarrow }M$ ；

② $\left(K,coin\right):=\mathcal{H}\left(ID\left(pk\right),m\right)$ ；

③ $c:=CTRU.PKE.Enc\left(pk,m;coin\right)$ ；

④ $\text{return}\left(c,K\right).$

CNTR是CTRU方案的变体，算法结构和CTRU基本类似，区别在于CNTR算法在加密过程中去掉了噪音多项式 $\boldsymbol{e}$ . CTRU和CNTR方案的具体参数如和所示，多项式环维度 $\boldsymbol{n}$ 有512，768，1 024这3种选择，分别对应NIST推荐的3个安全级别：安全级别Ⅰ，Ⅲ和安全级别Ⅴ. $\left|\boldsymbol{p}\boldsymbol{k}\right|，\left|\boldsymbol{c}\boldsymbol{t}\right|$ 为公钥和密文的长度（单位为B）.

表 1 CTRU推荐参数集合

Table 1. CTRU Recommended Parameter Sets

方案	$n$	$q$	${q}_{2}$	$({\varPsi }_{1},{\varPsi }_{2})$	$\left\|pk\right\|$	$\left\|ct\right\|$
CTRU-512	512	3 457	${2}^{10}$	$({B}_{3},{B}_{3})$	768	640
CTRU-768	768	3 457	${2}^{10}$	$({B}_{2},{B}_{2})$	1 152	960
CTRU-1024	1 024	3 457	${2}^{11}$	$({B}_{2},{B}_{2})$	1 536	1 408

下载: 导出CSV

| 显示表格

表 2 CNTR推荐参数集合

Table 2. CNTR Recommended Parameter Sets

方案	$n$	$q$	${q}_{2}$	$({\varPsi }_{1},{\varPsi }_{2})$	$\left\|pk\right\|$	$\left\|ct\right\|$
CNTR-512	512	3 457	${2}^{10}$	$({B}_{5},{B}_{5})$	768	640
CNTR-768	768	3 457	${2}^{10}$	$({B}_{3},{B}_{3})$	1 152	960
CNTR-1024	1 024	3 457	${2}^{10}$	$({B}_{2},{B}_{2})$	1 536	1 280

下载: 导出CSV

| 显示表格

算法6. $\boldsymbol{C}\boldsymbol{T}\boldsymbol{R}\boldsymbol{U}. \boldsymbol{K}\boldsymbol{E}\boldsymbol{M}. \boldsymbol{D}\boldsymbol{e}\boldsymbol{c}\boldsymbol{a}\boldsymbol{p}\boldsymbol{s}$ 解封装算法.

输入：私钥 $\boldsymbol{s}{\boldsymbol{k}}':=\left(\boldsymbol{s}\boldsymbol{k},\boldsymbol{z}\right)$ 、封装密钥 $\boldsymbol{c};$

输出：封装密钥 ${\boldsymbol{K}}'$ 或 $\widetilde{\boldsymbol{K}}$ .

① ${\boldsymbol{m}}':=\boldsymbol{C}\boldsymbol{T}\boldsymbol{R}\boldsymbol{U}. \boldsymbol{P}\boldsymbol{K}\boldsymbol{E}. \boldsymbol{D}\boldsymbol{e}\boldsymbol{c}\left(\boldsymbol{s}\boldsymbol{k},\boldsymbol{c}\right)$ ；

② $\left({\boldsymbol{K}}',\boldsymbol{c}\boldsymbol{o}\boldsymbol{i}{\boldsymbol{n}}'\right):=\mathcal{H}\left(\boldsymbol{I}\boldsymbol{D}\left(\boldsymbol{p}\boldsymbol{k}\right),{\boldsymbol{m}}'\right)$ ；

③ $\stackrel{～}{\boldsymbol{K}}:={\mathcal{H}}_{1}\left(\boldsymbol{I}\boldsymbol{D}\left(\boldsymbol{p}\boldsymbol{k}\right),\boldsymbol{z},\boldsymbol{c}\right)$ ；

④ $\mathbf{i}\mathbf{f}$ ${\boldsymbol{m}}' \ne \perp$ and $\boldsymbol{c}=\boldsymbol{C}\boldsymbol{T}\boldsymbol{R}\boldsymbol{U}. \boldsymbol{P}\boldsymbol{K}\boldsymbol{E}. \boldsymbol{E}\boldsymbol{n}\boldsymbol{c}(\boldsymbol{p}\boldsymbol{k},{\boldsymbol{m}}';\boldsymbol{c}\boldsymbol{o}\boldsymbol{i}\boldsymbol{n}')$ $\mathbf{t}\mathbf{h}\mathbf{e}\mathbf{n}$

⑤ $\mathbf{r}\mathbf{e}\mathbf{t}\mathbf{u}\mathbf{r}\mathbf{n}$ ${\boldsymbol{K}}'$ ；

⑥ $\mathbf{e}\mathbf{l}\mathbf{s}\mathbf{e}$

⑦ $\mathbf{r}\mathbf{e}\mathbf{t}\mathbf{u}\mathbf{r}\mathbf{n}$ $\widetilde{\boldsymbol{K}}$ ；

⑧ end if

2.3 NTT与混合基NTT

快速数论变换是用于加速多项式乘法的一个复杂度为 $O\left(n\mathrm{l}\mathrm{o}\mathrm{g}n\right)$ 的算法^[32]. 计算负折叠卷积多项式环乘法 $h=f\times g\in {\mathbb{Z}}_{q}\left[x\right]/({x}^{n}+1)$ ， $n$ 为2的幂次，且 $2n|q-1$ . 可以通过以下NTT变换快速计算：

$h={F}_{\mathrm{I}\mathrm{N}\mathrm{T}\mathrm{T}}\left({F}_{\mathrm{N}\mathrm{T}\mathrm{T}}\left(f\right)\circ {F}_{\mathrm{N}\mathrm{T}\mathrm{T}}\left(g\right)\right) \text{，}$

其中 ${F}_{\mathrm{N}\mathrm{T}\mathrm{T}}$ 为正向NTT变换， ${F}_{\mathrm{I}\mathrm{N}\mathrm{T}\mathrm{T}}$ 为NTT逆向变换. $\circ$ 为多项式系数之间的逐点相乘，时间复杂度为 $O\left(n\right)$ . 因此负折叠卷积的主要时间转换为NTT变换所需的时间复杂度 $O\left(n\mathrm{l}\mathrm{o}\mathrm{g}n\right)$ . Seiler等人^[33]提出了使用FFT trick计算 ${\mathbb{Z}}_{q}\left[x\right]/({x}^{n}+1)$ 环上的NTT变换，正向FFT trick有如下同构：

${\mathbb{Z}}_{q}\left[x\right]/({x}^{n}+1)\cong {\mathbb{Z}}_{q}\left[x\right]/({x}^{\tfrac{n}{2}}-{\zeta }^{\tfrac{n}{2}})\times {\mathbb{Z}}_{q}\left[x\right]/({x}^{\tfrac{n}{2}}+{\zeta }^{\tfrac{n}{2}}) \text{，}$

其中 $\zeta$ 为 $2n$ 阶本原单位根，满足 ${\zeta }^{2n}\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}\;q$ .基2 FFT trick每次输入2个系数，输出2个系数，基2 FFT trick的正向变换和逆向变换分别采用Cooley Tukey蝴蝶变换^[34]和Gentleman Sande蝴蝶变换^[35].Cooley Tukey蝴蝶变换输入 $({f}_{j},{f}_{j+\tfrac{n}{2}})$ ，输出 $({f}_{j}+\zeta {f}_{j+\tfrac{n}{2}}, {f}_{j}-\zeta {f}_{j+\tfrac{n}{2}})$ ，Gentleman Sande蝴蝶变换输入 $({f}_{j},{f}_{j+\tfrac{n}{2}})$ ，输出 $({f}_{j}+{f}_{j+\tfrac{n}{2}},{{\zeta }^{-1}(f}_{j}-{f}_{j+\tfrac{n}{2}}))$ .

如果多项式环维度并不是2的幂次，且含有因子3的情况，我们可以用基3 FFT trick对多项式环进行NTT变换. 基3 FFT trick变换如下，给定同构 ${\mathbb{Z}}_{q}\left[x\right]/({x}^{3m}-{\zeta }^{3})\cong {\mathbb{Z}}_{q}\left[x\right]/({x}^{m}-\zeta )\times {\mathbb{Z}}_{q}\left[x\right]/({x}^{m}-\rho \zeta )\times {\mathbb{Z}}_{q}\left[x\right]/({x}^{m}-{\rho }^{2}\zeta )$ ，其中 $\zeta$ 在 ${\mathbb{Z}}_{q}$ 上不可逆，且 $\rho$ 为3阶本原单位根. 对于多项式维度既含有2的幂次因子，又含有3的幂次因子，我们可以采用混合基2加基3的方式对多项式环进行NTT变换. 对于CTRU采用的多项式环，因为不满足NTT多项式环的结构，需要先将其同构到2个可以进行FFT Trick变换的多项式环上，再进行NTT操作，并且对于CTRU-768方案，由于同构后的环维度含有2的幂次因子和3的幂次因子，需要用到混合基NTT，具体方法会在第3节详细介绍.

2.4 Karatsuba算法

Karatsuba算法可以用来加速多项式乘法，对于2个一次多项式 $A\left(x\right),B\left(x\right)\in {\mathbb{Z}}_{q}\left[x\right]/\left({x}^{2}-{\zeta }^{r\left(i\right)}\right)$ ，设 $A\left(x\right)= {\mathrm{a}}_{1}x+{a}_{0},B\left(x\right)={b}_{1}x+{b}_{0}$ , 令 ${D}_{0}={a}_{0}{b}_{0},{D}_{1}={a}_{1}{b}_{1}$ ， ${D}_{\mathrm{0,1}}= ({a}_{0}+{a}_{1})({b}_{0}+{b}_{1})$ ，则采用Karatsuba技巧计算如下：

$\begin{split} C\left(x\right)=\;&A\left(x\right)\times B\left(x\right)\mathrm{m}\mathrm{o}\mathrm{d}\left({x}^{2}-{\zeta }^{r\left(i\right)}\right)=\\ &{D}_{1}{\zeta }^{r\left(i\right)}+{D}_{0}+\left({D}_{\mathrm{0,1}}-{D}_{0}-{D}_{1}\right)x .\end{split}$

我们可以将Karatsuba算法推广到维度为 $n$ 的多项式乘法上，如算法7所示. 具体的正确性分析可见文献[]. Karatsuba算法的时间复杂度为 ${O(n}^{\mathrm{lb}3})$ ，其中 $n$ 为多项式的维度. Karatsuba算法一般用于加速维度较小或无法进行NTT的多项式环乘法.

算法7. 度为 $n-1$ 多项式环乘法 $basemul\left(a,b\right)$ .

输入： $A\left(x\right)$ 和 $B\left(x\right)$ 为2个度为 $n-1$ 的多项式 $A\left(x\right)={\displaystyle\sum\limits^{n-1}_{i=0}}{a}_{i}{x}^{i},B\left(x\right)={\displaystyle\sum\limits^{n-1}_{i=0}}{b}_{i}{x}^{i}$ ；

输出：多项式 $C\left(x\right)=A\left(x\right)\times B\left(x\right)={\displaystyle\sum\limits^{2n-2}_{i=0}}{c}_{i}{x}^{i}.$

① for i from 0 to n do

② ${D}_{i}:={a}_{i}{b}_{i}$ ；

③ end for

④ for i from 1 to 2n−3 do

⑤ ${D}_{s,t}:=\left({a}_{s}+{a}_{t}\right)\left({b}_{s}+{b}_{t}\right)；$ $/*$ ${s},t$ 为整数， $s+t=i,t > s\ge 0*/$

⑥ end for

⑦ ${c}_{0}={D}_{0}$ ；

⑧ ${c}_{2n-2}={D}_{n-1}$ ；

⑨ ${c}_{i}=$ $\left\{\begin{aligned}&\sum _{s+t=i;t > s\ge 0}{D}_{s,t}-\sum _{s+t=i;t > s\ge 0}\left({D}_{s}+{D}_{t}\right)，奇数i.\\&\sum _{s+t=i;t > s\ge 0}{D}_{s,t}-\sum _{s+t=i;t > s\ge 0}\left({D}_{s}+{D}_{t}\right)+{D}_{\frac{i}{2}}，偶数i.\end{aligned}\right.$

2.5 Bernstein快速求逆算法

Bernstein等人^[37]提出一种高效的常数时间实现求逆算法. 如算法8所示，算法8中需要使用到函数 $reverse$ 和函数 $swap$ . 函数 $reverse$ 为 $reverse\left(f,d\right)= {x}^{d}\times f(1/x)$ . 函数 $swap$ 为 $swap(f,g)$ ，互换多项式 $f$ 和 $g$ 的系数值. 另外，算法8中使用符号 $\Delta$ 表示某些数值，其余符号 $\varPhi ，F，V，S$ 均表示某些多项式. Bernstein快速求逆方法适用于维度较大的多项式环求逆计算.

算法8. 多项式求逆算法.

输入：模多项式 $\phi$ ，待求逆的多项式 $f$ ；

输出： ${f}_{\mathrm{i}\mathrm{n}\mathrm{v}}:={f}^{-1}\mathrm{m}\mathrm{o}\mathrm{d}\; \phi .$

① ${\varPhi }_{0}:=reverse\left(\phi ,n\right)$ ；

② ${F}_{0}:=reverse\left(f,n-1\right)$ ；

③ ${\Delta }_{0}:=1$ ；

④ ${V}_{0}:=0$ ；

⑤ ${S}_{0}:=1$ ；

⑥ $\mathrm{f}\mathrm{o}\mathrm{r}$ $i=\mathrm{0,1},2,… ,2n-2$ $\mathrm{d}\mathrm{o}$

⑦ 　 ${V}_{i}:={V}_{i}\times x$ ；

⑧ 　 $\mathrm{i}\mathrm{f}$ ${\Delta }_{i} > 0$ $\mathrm{a}\mathrm{n}\mathrm{d}$ ${F}_{i}\left(0\right)\ne 0$ $\mathrm{t}\mathrm{h}\mathrm{e}\mathrm{n}$

⑨ 　　 ${\Delta }_{i}:=-{\Delta }_{i}$ ；

⑩ 　 $swap\left({\Phi }_{i},{F}_{i}\right)$ ；

⑪ 　 $swap\left({V}_{i},{S}_{i}\right)$ ；

⑫ 　end if

⑬ 　 ${\Delta }_{i+1}:={\Delta }_{i}+1$ ；

⑭ 　 ${F}_{i+1}:=\dfrac{\left[{\Phi }_{i}\left(0\right)\times {F}_{i}-{F}_{i}\left(0\right)\times {\Phi }_{i}\right]}{x}$ ；

⑮ 　 ${S}_{i+1}:={\varPhi }_{i}\left(0\right)\times {S}_{i}-{F}_{i}\left(0\right)\times {V}_{i}$ ；

⑯ 　 ${\varPhi }_{i+1}:={\varPhi }_{i}$ ；

⑰ 　 ${V}_{i+1}:={V}_{i}$ ；

⑱ $\mathrm{e}\mathrm{n}\mathrm{d}\mathrm{ }\mathrm{f}\mathrm{o}\mathrm{r}$

⑲ ${f}_{\mathrm{i}\mathrm{n}\mathrm{v}}:=reverse\left(\dfrac{{V}_{2n-1}}{{F}_{2n-1}\left(0\right)},n-1\right)$ ；

⑳ $\mathrm{r}\mathrm{e}\mathrm{t}\mathrm{u}\mathrm{r}\mathrm{n}$ ${f}_{\mathrm{i}\mathrm{n}\mathrm{v}}$ .

2.6 实现平台

本文在Intel x86平台上使用AVX2指令集^[38]对CTRU 3个方案进行优化实现. AVX2含有16个256 b向量寄存器（ymm0-ymm15），可以同时对16个16 b数进行并行操作. 特别适用于一些非串行程序的向量化实现，本文使用的主要AVX2指令如表3所示，这些指令对于主要耗时操作多项式乘法实现具有很大帮助.

表 3 CTRU实现主要AVX2指令

Table 3. Main AVX2 Instructions Implemented by CTRU

汇编指令	Intrinsic函数	描述
vpaddw	_mm256_add_epi16	16b并行整数加法
vpsllw	_mm256_slli_epi16	16b并行整数减法
vpsraw	_mm256_srai_epi16	16b并行整数移位
vpsubw	_mm256_sub_epi16	16b并行整数减法
vpmulhw	_mm256_mulhi_epi16	16b并行整数乘法取高32b
vpblendd	_mm_blend_epi32	通过mask对32b数据顺序进行调整
vpunpcklqdq	_mm256_unpacklo_epi64	拆包并交错低64b数
vpunpckhqdq	mm256_unpackhi_epi64	拆包并交错高64b数
vpbroadcastw	_mm256_set1_epi16	广播16b数

下载: 导出CSV

| 显示表格

3. CTRU方案参考实现设计

在CTRU方案中，密钥生成过程中的多项式求逆和密钥生成、密钥封装、密钥解封装都存在的多项式乘法是核心模块. 我们从这2个运算模块进行展开，给出CTRU方案的多项式算术运算的具体实施方法和采用的对应用于加速该模块的算法.

3.1 多项式乘法

对于CTRU方案的多项式环 $f={\mathbb{Z}}_{q}\left[x\right]/({x}^{n}- {x}^{n/2}+1)$ ，可以将其同构到环 ${\mathbb{Z}}_{q}\left[x\right]/({x}^{n/2}-{\zeta }_{1})$ 和环 ${\mathbb{Z}}_{q}\left[x\right]/ ({x}^{n/2}-{\zeta }_{2})$ . 其中 ${\mathrm{\zeta }}_{1}$ 和 ${\mathrm{\zeta }}_{2}$ 满足 ${\zeta }_{1}\times {\zeta }_{2}=1,{\zeta }_{1}+{\zeta }_{2}=1$ . 由 $f\mathrm{m}\mathrm{o}\mathrm{d}\left({x}^{n/2}-{\zeta }_{1}\right)=\left({f}_{0}+{\zeta }_{1}{f}_{n/2}\right)+\dots +\left({f}_{\frac{n}{2}-1}+{\zeta }_{1}{f}_{n-1}\right){x}^{\frac{n}{2}-1}$ ； $f\mathrm{m}\mathrm{o}\mathrm{d}\left({x}^{n/2}-{\zeta }_{2}\right)=\left({f}_{0}+{\zeta }_{2}{f}_{n/2}\right)+\dots +\left({f}_{\frac{n}{2}-1}+{\zeta }_{2}{f}_{n-1}\right){x}^{\frac{n}{2}-1}$ .

我们将多项式环进行分解，分解后的环 ${\mathbb{Z}}_{q}\left[x\right]/({x}^{n/2}-{\zeta }_{1})$ 和 ${\mathbb{Z}}_{q}\left[x\right]/({x}^{n/2}-{\zeta }_{2})$ 可以使用中国剩余定理(Chinese remainder theory， CRT)进行基-2 FFT步骤或基-3 FFT步骤的分解. 每个基-2 FFT trick如下： ${\mathbb{Z}}_{q}\left[x\right]/({x}^{2m}-{r}^{2})\cong {\mathbb{Z}}_{q}\left[x\right]/({x}^{m}-r)\times {\mathbb{Z}}_{q}\left[x\right]/({x}^{m}+r)$ . 因此CTRU方案多项式环上的乘法就转化为正向NTT变换、多项式点乘以及逆向NTT变换3部分.

3.1.1 NTT

本节根据具体参数分析FFT trick的实施流程. 对于 $n=512$ ， $q=3 457$ ，本文选取384阶本原单位根 $\mathrm{\zeta }=55$ ， ${\mathrm{\zeta }}_{1}={\zeta }^{n/8}={\zeta }^{64}\mathrm{m}\mathrm{o}\mathrm{d}\;q，{\zeta }_{2}={\zeta }^{5n/8}{=\zeta }^{320}\mathrm{m}\mathrm{o}\mathrm{d}\;q$ . 本文对 ${\mathbb{Z}}_{q}[x]/({x}^{256}-{\zeta }^{64})$ 和 ${\mathbb{Z}}_{q}[x]/({x}^{256}-{\zeta }^{320})$ 这2个环进行基-2FFT trick分解，这2个环的基-2 FFT trick步骤可以进行6层，直到分解到 $64$ 个模 $4$ 次多项式的项，例如 ${\mathbb{Z}}_{q}[x]/({x}^{4}-{\zeta }^{5})$ . 对于 $n=768，$ 本文选取1152阶本原单位根 $\zeta =5$ ， ${\mathrm{\zeta }}_{1}={\zeta }^{n/4}={\zeta }^{192}\mathrm{m}\mathrm{o}\mathrm{d}\;q，{\zeta }_{2}={\zeta }^{5n/4}{=\zeta }^{960}\mathrm{m}\mathrm{o}\mathrm{d}\;q$ . 对 ${\mathbb{Z}}_{q}[x]/({x}^{384}-{\zeta }^{192})$ 和 ${\mathbb{Z}}_{q}[x]/({x}^{384}-{\zeta }^{960})$ 这2个环同样进行6层基-2 FFT trick分解，分解到环 ${\mathbb{Z}}_{q}[x]/ ({x}^{6}-{\zeta }^{3})$ ，此时还能进一步用基-3 FFT trick进行分解，分解到 ${\mathbb{Z}}_{q}[x]/({x}^{2}-{\zeta }^{r(i)})$ . 具体地说，对于环 ${\mathbb{Z}}_{q}[x]/({x}^{6}-{\zeta }^{3})$ 存在以下同构 ${\mathbb{Z}}_{q}[x]/({x}^{6}-{\zeta }^{3})\cong {\mathbb{Z}}_{q}[x]/ ({x}^{2}-\zeta )\times {\mathbb{Z}}_{q}[x]/({x}^{2}-\rho \zeta )\times {\mathbb{Z}}_{q}[x]/({x}^{2}-{\rho }^{2}\zeta )$ . 其中 $\rho ={\zeta }^{n/3}\mathrm{m}\mathrm{o}\mathrm{d}\;q$ 为3次单位根，满足 ${\rho }^{2}+\rho +1\equiv 0\;\mathrm{m}\mathrm{o}\mathrm{d}\;q$ . 例如 ${\mathbb{Z}}_{q}[x]/({x}^{6}-{\zeta }^{3})$ 中的多项式表示为 $f={f}_{x}+{f}_{y}{x}^{2}+{f}_{z}{x}^{4}，$ 其中 ${f}_{x},{f}_{y},{f}_{z}$ 为一次多项式，令基-3 NTT分解后的多项式为 ${f}_{a},{f}_{b},{f}_{c}$ . 可得分解后的3个一次多项式 ${f}_{a}=f\mathrm{m}\mathrm{o}\mathrm{d}({x}^{2}-\zeta )={f}_{x}+\zeta {f}_{y}+{\zeta }^{2}{f}_{z},{f}_{b}=$ $f\mathrm{m}\mathrm{o}\mathrm{d}({x}^{2}-\rho \zeta )={f}_{x}+\rho \zeta {f}_{y}+{(\rho \zeta )}^{2}{f}_{z}$ , ${f}_{c}={f}''\mathrm{m}\mathrm{o}\mathrm{d}({x}^{2}-{\rho }^{2}\zeta )=$ ${f}_{x}+{\rho }^{2}\zeta {f}_{y}+{({\rho }^{2}\zeta )}^{2}{f}_{z}$ ，对于 $n=1 024$ ，本文同样选取384阶本原单位根， ${\zeta }^{n/16}={\zeta }^{64}\mathrm{m}\mathrm{o}\mathrm{d}\;q，{\zeta }_{2}={\zeta }^{5n/16}{=\zeta }^{320}\mathrm{m}\mathrm{o}\mathrm{d}\;q$ ，对环 ${\mathbb{Z}}_{q}[x]/({x}^{512}-{\zeta }^{64})$ 和环 ${\mathbb{Z}}_{q}[x]/({x}^{512}-{\zeta }^{320})$ 进行6层基-2 FFT分解到 ${\mathbb{Z}}_{q}[x]/({x}^{8}-{\zeta }^{r(i)})$ . 根据以上分析，可以画出3个多项式环对应的正向FFT trick分解图，如图1，2，3所示：

图 1

$n=512$ 多项式同构树形图

Figure 1. The tree map of

$n=512$ polynomial isomorphism

下载: 全尺寸图片幻灯片

图 2

$n=768$ 多项式同构树形图

Figure 2. The tree map of

$n=768$ polynomial isomorphism

下载: 全尺寸图片幻灯片

图 3

$n=1 024$ 多项式同构树形图

Figure 3. The tree map of

$n=1 024$ polynomial isomorphism

下载: 全尺寸图片幻灯片

3.1.2 多项式点乘

在进行正向之后，CTRU-512，CTRU-768，CTRU-1024方案的多项式环分解到 ${\mathbb{Z}}_{q}[x]/({x}^{,4}-{\zeta }^{r(i)})$ 、 ${\mathbb{Z}}_{q}[x]/ ({x}^{2}-{\zeta }^{r(i)})$ 和 ${\mathbb{Z}}_{q}[x]/({x}^{8}-{\zeta }^{r(i)})$ . 因此需要在这3个环上进行多项式乘法操作，这里本文采用Karatsuba算法加速多项式乘法. 与Schoolbook乘法相比，Karatsuba技巧减少了一个乘法操作，增加了加法操作；在Intel CPU上的C参考实现和AVX2实现中，乘法一般是较为耗时的，因此Karatsuba可以有效加速C实现和AVX2实现. ${n}=512$ 多项式环需要进行 $n/4$ 个 ${\mathbb{Z}}_{q}[x]/ ({x}^{4}-{\zeta }^{r(i)})$ 多项式环点乘， $n=768$ 需要进行 $n/2$ 个 ${\mathbb{Z}}_{q}[x]/ ({x}^{2}-{\zeta }^{r(i)})$ 多项式环点乘， $n=1 024$ 需要进行 $n/8$ 个 ${\mathbb{Z}}_{q}[x]/ ({x}^{8}-{\zeta }^{r(i)})$ 多项式环点乘. 而这3个环采用Schoolbook算法进行多项式乘法运算时的时间复杂度分别为 $O(16)$ ， $O(4)$ ， $O(64)$ . （在这里我们分析时间复杂度时只考虑乘法的个数，因为相较于乘法运算，加减法运算在Intel CPU软件实现中运算基本不耗时）. Karatsuba算法进行多项式乘法的时间复杂度为 $O(10)$ ， $O(3)$ ， $O(22)$ . 因此我们可以得出3个方案进行多项式点乘的总时间复杂度如表4所示，可以看出采用Karatsuba算法可以进一步降低多项式点乘的时间复杂度，从而加速多项式点乘运算.

表 4 CTRU 3个方案多项式逐点相乘时间复杂度分析

Table 4. Time Complexity Analysis of Polynomial Pointwise Multiplication in Three Schemes of CTRU

$n$	多项式环	Karatsuba算法	Schoolbook算法
$512$	${\mathbb{Z}}_{q}\left[x\right]/\left({x}^{4}-{\zeta }^{r\left(i\right)}\right)$	$O\left(\dfrac{5}{2}n\right)$	$O\left(4n\right)$
$768$	${\mathbb{Z}}_{q}\left[x\right]/\left({x}^{2}-{\zeta }^{r\left(i\right)}\right)$	$O\left(\dfrac{3}{2}n\right)$	$O\left(2n\right)$
$1 024$	${\mathbb{Z}}_{q}\left[x\right]/\left({x}^{8}-{\zeta }^{r\left(i\right)}\right)$	$O\left(\dfrac{11}{4}n\right)$	$O\left(8n\right)$

下载: 导出CSV

| 显示表格

3.2 多项式乘法时间复杂度分析

根据之前提出的CTRU方案多项式环不同参数下多项式环的NTT变换操作. 我们可以给出CTRU方案不同参数下的多项式乘法时间复杂度，总体来说，采用NTT加速的多项式乘法包含2个正向NTT操作一个多项式点乘操作和一个多项式求逆，由于CTRU-512和CTRU-1024方案都是采用6层基2 NTT方法，每层乘法个数为 $n/2$ ，因此CTRU-512和CTRU-1024方案的NTT时间复杂度为 $O\left(3n\right)$ ，算上正向、逆向NTT，NTT变换的总时间复杂度为 $O\left(9n\right)$ . 而CTRU-768方案采用的是6层基2加1层基3混合基NTT，需要算上一层基-3 NTT的时间复杂度，一层基-3 NTT的乘法个数为 $O(3\times \dfrac{n}{3}=n)$ . 因此CTRU-768方案NTT部分的时间复杂度为 $O(3n+n=4n)$ ，总时间复杂度为 $O(3\times 4n=12n)$ . 再加上3.1.2节分析的多项式点乘的时间复杂度，我们可以得到CTRU 3个方案的多项式乘法时间复杂度，如表5所示，相较于Schoolbook算法，使用NTT算法可以大幅度的降低多项式乘法的时间复杂度.

表 5 CTRU 3个方案多项式乘法时间复杂度分析

Table 5. Time Complexity Analysis of Polynomial Multiplication in three Schemes of CTRU

方案	NTT算法	Schoolbook算法
CTRU-512	$O\left(9n+\dfrac{5}{2}n\right)$	${O(n}^{2})$
CTRU-768	$O\left(12n+\dfrac{3}{2}n\right)$	$O\left({n}^{2}\right)$
CTRU-1024	$O\left(9n+\dfrac{11}{4}n\right)$	$O\left({n}^{2}\right)$

下载: 导出CSV

| 显示表格

3.3 约减算法

考虑到CTRU方案的模数，我们在参考实现中选取16b有符号数存储CTRU方案的系数，在多项式算术运算过程中，存在对系数的加减和乘法操作，使得运算结果可能会超出16b有符号数范围，为了防止系数的溢出，需要对系数进行约减，Barrett约减^[39]和Montgomery约减^[40]是2种高效且常数时间的约减算法.Seiler给出了这2种算法在有符号整数下的优化版本和其参考实现^[33].Barrett约减的输出范围是 $(0,q)$ ，而Montgomery约减的输出范围是 $\left(-q,q\right).$ 由于Montgomery约减算法是对MONT域范围的整数进行约减，因此在约减结束后还需要将结果转换到正常域. 在正向NTT和逆向NTT过程中， $\beta$ 值可以提前预计算在旋转因子表中，不需要额外进行域的转换. 由于CTRU方案的模数在C语言16b有符号数范围内，在本文实现中选取 $\beta ={2}^{16}$ .

为了更好地实施延迟约减，减少约减次数. 本文采用文献[]中提到的输出范围在 $[-\dfrac{q}{2},\dfrac{q}{2})$ 的中心Barrett约减算法对系数进行约减.

在CTRU的解密过程中，需要用到多模数NTT方法优化模数 ${q}_{2}=1 024$ 的非素数模数多项式乘法，根据文献[]，选取 $q=3 457$ 和 ${q}'=7 681.$ 7 681可以用2的幂次项表示： ${q}'=7 681={2}^{13}-{2}^{9}+1.$ 我们根据模数 $q'$ 的2的幂次项之和表示形式给出针对其的特殊约减算法，只需要移位和加减操作就能完成约减计算，减少约减时间.

算法9. 对于模数 $q=7681$ 的特殊约减.

输入： $-{2}^{15}\le a < {2}^{15}$ ；

输出： $r\equiv a\left(\mathrm{m}\mathrm{o}\mathrm{d}\;q\right)，$ 其中 $-{2}^{15}+4q\le r < {2}^{15}-3q.$

① $t\leftarrow \left\lfloor {a/{2}^{13}} \right\rfloor$ ；

② $u\leftarrow a\;\mathrm{m}\mathrm{o}\mathrm{d}\;{2}^{13}$ ；

③ $u\leftarrow u-t$ ；

④ $\mathrm{t}\leftarrow t\times {2}^{9}$ ；

⑤ $r\leftarrow u+t$ .

3.4 系数范围分析与延迟约减

为了最大程度减少约减的次数，我们在NTT过程中对系数进行延迟约减，通过分析系数范围尽可能推迟约减的层数.CTRU的NTT使用16b有符号整数，可存储最大范围为 $-32768\le \boldsymbol{k}\boldsymbol{q}\le 32767$ . 其中模数 $\boldsymbol{q}=3457$ ，因此 $\boldsymbol{k}=9.$ 由于CTRU环的特殊性，进行正向基-2 NTT之前还要进行分解到环 ${\mathbb{Z}}_{\boldsymbol{q}}\left[\boldsymbol{x}\right]/ ({\boldsymbol{x}}^{\boldsymbol{n}/2}-{\boldsymbol{\zeta }}_{1})$ 和环 ${\mathbb{Z}}_{\boldsymbol{q}}\left[\boldsymbol{x}\right]/({\boldsymbol{x}}^{\boldsymbol{n}/2}-{\boldsymbol{\zeta }}_{2})$ 的操作，此次分解后系数增长到 $\left[-2\boldsymbol{q},2\boldsymbol{q}\right]$ . 正向NTT的蝴蝶操作为Cooley-Tukey蝴蝶操作： $(\boldsymbol{a},\boldsymbol{b})\to (\boldsymbol{a}+\boldsymbol{\zeta }\boldsymbol{b},\boldsymbol{a}-\boldsymbol{\zeta }\boldsymbol{b})$ ，6层基-2 NTT操作结束，系数范围为 $[-8\boldsymbol{q},8\boldsymbol{q}]，$ 不会溢出. 如果只进行6层基-2 NTT，则正向NTT不需要进行Barrett约减. CTRU-768的多项式环正向NTT时还需要进行1层基-3 NTT，因此在正向基-2 NTT结束后需要对所有系数进行Barrett约减.

我们在逆向NTT第1层之前对一半系数做中心Barrett约减，因此在进行逆向基-2 NTT第1层之后的系数范围为 $[-q,q)$ . 逆向NTT进行的是Gentleman-Sande蝴蝶操作： $(a,b)\to (a+b,\zeta \left(a-b\right))$ ，后半部分系数每次都会进行Montgomery约减到 $\left(-q,q\right).$ 因此，并不是每一层中所有的系数都需要进行Barrett约减，此时，可以对不同层固定的下标索引进行分析. 在纯基-2 NTT中，需要约减的层数、系数索引和对应Barrett约减个数如，，所示. 在基-2、基-3混合基NTT中，本文采取基-3 NTT后对所有系数做Barrett约减，再按刚才分析的基-2 NTT约减情况进行约减. 在 $n=512$ 时Barrett约总次数为256+128=384次，在 $n=768$ 时Barrett约减次数为384+192=576次，在 $n=1 024$ 时Barrett约减次数为512+640=768次.

表 6

$n=512$ 逆NTT Barrett约减分析

Table 6.

$\boldsymbol{n}=512$ Inverse NTT Barrett Reduction Analysis

层数	索引	约减次数
第 $4$ 层	$64\to 71,192\to 199$ $320\to 327,448\to 455$	$32$
第 $5$ 层	$0\to 7,128\to 135$ $136\to 143$ $256\to 263,384\to 391$ $392\to 399$	$48$
第 $6$ 层	$8\to 15,264\to 271$ $16\to 31,272\to 287$	$48$

下载: 导出CSV

| 显示表格

表 7

$n=768$ 逆NTT Barrett约减分析

Table 7.

$\boldsymbol{n}=768$ Inverse NTT Barrett Reduction Analysis

层数	索引	约减次数
第 $4$ 层	$96\to 107,480\to 491$ $288\to 299,672\to 682$	$48$
第 $5$ 层	$0\to 11,384\to 395$ $204\to 215,588\to 599$ $192\to 203,576\to 587$	$72$
第 $6$ 层	$12\to 23,396\to 407$ $24\to 47,408\to 431$	$72$

下载: 导出CSV

| 显示表格

表 8

$n=1 024$ 逆NTT Barrett约减分析

Table 8.

$\boldsymbol{n}=1024$ Inverse NTT Barrett Reduction Analysis

层数	索引	约减次数
第 $4$ 层	$128\to 143,640\to 655$ $384\to 399,896\to 911$	$64$
第 $5$ 层	$0\to 15,512\to 527$ $272\to 287,784\to 799$ $256\to 271,768\to 783$	$96$
第 $6$ 层	$16\to 31,528\to 543$ $32\to 63,544\to 575$	$96$

下载: 导出CSV

| 显示表格

3.5 多项式求逆

多项式求逆是CTRU方案中的核心多项式算术运算之一，出现在CTRU方案的密钥生成过程中，需要先计算多项式 $f$ 在 ${R}_{q}$ 中的逆 ${f}^{-1}$ . 但由于多项式 $f$ 先进行了NTT变换，我们可以转向对NTT变换后分解的子多项式进行求逆操作，对于 $n=\{512,768,1\mathrm{ }024\}$ ，正向NTT后分别分解到环 ${\mathbb{Z}}_{q}[x]/({x}^{4}-{\zeta }^{r(i)})$ ，环 ${\mathbb{Z}}_{q}[x]/ ({x}^{2}-{\zeta }^{r(i)})$ ，和环 ${\mathbb{Z}}_{q}[x]/({x}^{8}-{\zeta }^{r(i)})$ . 因此多项式环 ${\mathbb{Z}}_{q}[x]/ ({x}^{n}-{x}^{n/2}+1)$ 上的求逆可以转化为 $n/4$ 个 ${\mathbb{Z}}_{q}[x]/ ({x}^{4}-{\zeta }^{r(i)})$ ， $n/2$ 个 ${\mathbb{Z}}_{q}[x]/({x}^{2}-{\zeta }^{r(i)})$ 和 $n/8$ 个 ${\mathbb{Z}}_{q}[x]/({x}^{8}-{\zeta }^{r(i)})$ 多项式环上的求逆. 对于多项式环 ${\mathbb{Z}}_{q}[x]/({x}^{2}-{\zeta }^{r(i)})$ 和 ${\mathbb{Z}}_{q}[x]/({x}^{4}-{\zeta }^{r(i)})$ 的求逆计算可以用Cramer’s 方法^[42]计算. 以 ${\mathbb{Z}}_{q}[x]/({x}^{4}-\zeta )$ 为例. 令 $f\in {\mathbb{Z}}_{q}[x]/({x}^{4}-\zeta )，$ 其多项式的逆定义为 ${f}^{-1}$ ，有 $f\times {f}^{-1}=1\mathrm{m}\mathrm{o}\mathrm{d}({x}^{4}-\zeta )$ . 本文可以将多项式乘法 $f\times {f}^{-1}$ 写成 ${\mathbb{Z}}_{q}$ 上的矩阵向量乘法，其中包含多项式 $f$ 的 $4\times 4$ 阶旋转矩阵：

$\left[\begin{array}{c}1\\ 0\\ 0\\ 0\end{array}\right]=\left[\begin{array}{cccc}{f}_{0}& \zeta {f}_{3}& \zeta {f}_{2}& \zeta {f}_{1}\\ {f}_{1}& {f}_{0}& \zeta {f}_{3}& \zeta {f}_{2}\\ {f}_{2}& {f}_{1}& {f}_{0}& \zeta {f}_{3}\\ {f}_{3}& {f}_{2}& {f}_{1}& {f}_{0}\end{array}\right]\cdot \left[\begin{array}{c}{f}_{0}^{-1}\\ {f}_{1}^{-1}\\ {f}_{2}^{-1}\\ {f}_{3}^{-1}\end{array}\right].$

计算 $f$ 的逆可以转化为计算旋转矩阵的逆. 求旋转矩阵的逆需要求旋转矩阵行列式的逆，若行列式的逆不存在，则逆矩阵也不存在. 令 $d$ 为系数矩阵的行列式，根据Cramer法则，存在唯一的 ${f}^{-1}，$ 其中每个系数可以通过如下公式计算：

${f}_{i}^{-1}=\frac{{d}_{i}}{d},i=0,1,2,3.$

${d}_{i}$ 是替换系数矩阵的第 $i+1$ 列为 ${(\mathrm{1,0},\mathrm{0,0})}^{\mathrm{T}}$ 后得到的矩阵的行列式. ${d}^{-1}$ 可以通过费马小定理计算： ${d}^{-1}\equiv {d}^{q-2}={d}^{3 455}\mathrm{m}\mathrm{o}\mathrm{d}$ 3 457. 同样 ${\mathbb{Z}}_{q}[x]/({x}^{2}-\zeta )$ 的多项式的逆也可以按照如上方法计算. 但是在 ${\mathbb{Z}}_{q}[x]/ ({x}^{8}-\zeta )$ 下，矩阵为 $8\times 8$ 阶矩阵，此时矩阵行列式的项数为 $8!=40\;320$ . 由于项数过多，给实现带来了困难. 因此对于 ${\mathbb{Z}}_{q}[x]/({x}^{8}-\zeta )$ 的多项式求逆，本文采用Bernstein快速求逆方法，Bernstein比传统的扩展欧几里得算法要快，适用于加速 ${\mathbb{Z}}_{q}[x]/({x}^{8}-\zeta )$ 下无法采用多项式矩阵求逆方法的多项式求逆实现. 为了分析Bernstein快速求逆和多项式矩阵求逆在CTRU-512和CTRU-768这2个方案下哪个方法更好. 我们对CTRU-512和CTRU-768这2个方案的多项式求逆分别用Bernstein快速求逆方法和多项式矩阵求逆方法实现了多项式求逆，结果如表9所示.

表 9 多项式求逆方性能比较

Table 9. Performance Comparison of Polynomial Inversion Techniques

方案	Bernstein快速求逆/时钟周期	多项式矩阵求逆/时钟周期
CTRU-512	129 352	91 860
CTRU-768	195 300	72 234

下载: 导出CSV

| 显示表格

从表9中可以看出，对于CTRU-512和CTRU-768这2个方案来说，采用Bernstein快速求逆方法还是要远慢于多项式矩阵求逆方法，因此对于CTRU-512和CTRU-768这2个方案我们采取多项式矩阵求逆方法进行加速.

4. CTRU方案AVX2优化实现设计

4.1 性能分析

密码算法的AVX2优化实现相较于参考实现，主要目的在于提高算法的性能与效率. 其核心思想在于针对参考实现中消耗CPU时钟周期较多的函数，即性能瓶颈部分，进行优化改进. 因此本节给出了perf工具下CTRU-512，CTRU-768，CTRU-1024这3个方案参考实现的软件分析测试结果，该性能分析数据通过运行CTRU-768代码1 000次并计算平均执行时间;结果如表10所示.

表 10 CTRU-512/768/1024方案时间占比分析

Table 10. Analysis of the Time Proportion of CTRU-512/768/1024 Schemes

函数	CTRU-512	CTRU-768	CTRU-1024
Montgomery reduce	31.60	24.31	13.29
Poly Decode	7.30	15.50	10.08
Base Inversion	3.84	13.53	30.08
${F}_{\mathrm{N}\mathrm{T}\mathrm{T}}$	10.55	10.92	7.80
Base multiplication	2.16	2.45	3.42
${F}_{\mathrm{I}\mathrm{N}\mathrm{T}\mathrm{T}}$	5.10	6.34	3.26
KeccakF1600_StatePermutel	6.95	8.09	4.49
Barrett reduce	15.86	4.37	16.91

下载: 导出CSV

| 显示表格

其中Poly Decode是CTRU算法中的解码函数，Base Inversion是多项式求逆函数，KeccakF1600_StatePermute是SHA-3哈希函数的轮函数，正向NTT和逆向NTT分别表示正向数论变换和逆向数论变换，Base multiplication表示多项式点乘. 从表10中可以看出，在3个方案的参考实现中，Montgomery约减，正向NTT和逆向NTT以及多项式点乘、多项式求逆都是较为耗时的操作，特别地，因为CTRU-1024方案只能采取Bernstein快速求逆方法，多项式求逆成为了耗时最多的运算.

根据以上分析，本文对CTRU算法主要耗时模块进行AVX2优化实现，主要优化点如下：

1）给出了CTRU-512，CTRU-768，CTRU-1024 3个方案下多项式环乘法的实现，之前的CTRU-768方案实现并没有针对哈希部分进行AVX2优化实现，并且也没有基于索引的延迟约减，针对已有参数实现，本文进行优化，采用基于索引的延迟约减，并对耗时模块哈希部分进行优化. 对于CTRU-512和CTRU-1024方案，本文给出首个AVX2实现，采用前面提到的基于索引的延迟约减，并采用层融合、系数置乱等方法加速正向NTT和逆向NTT.

2）给出了CTRU-512，CTRU-768，CTRU-1024这3个方案下多项式环求逆的AVX2优化实现，提出了首个Bernstein快速多项式求逆的AVX2向量化实现.

3）给出了多项式采样、多项式算术运算（多项式相加、多项式相减）等函数的AVX2优化实现.

4）给出了多项式序列化和反序列化的AVX2优化实现.

5）哈希函数SHA-3部分进行AVX2优化实现.

4.2 NTT AVX2优化实现

在NTT的AVX2优化实现中，关键技术有NTT变换时的层融合、系数置乱操作，蝴蝶操作的实现. 本节也将从这几个方面展开讨论CTRU NTT AVX2优化实现细节. 由于CTRU-768方案在文献[8]中已经给出AVX2的实现细节. 本节中主要给出其余2组的AVX2优化实现细节.

4.2.1 多项式存储格式

本文将每个含有 $n$ 个系数的多项式表示为长度为 $n$ 的16b有符号数整型数组. 为了降低访存时间，我们将每个系数数组进行32B的对齐. 一个256b ymm向量寄存器可以存储16个16b数，达到16并行效果.

4.2.2 层融合和系数置乱

由于AVX2向量寄存器有限，不能一次性将所有的多项式系数载入向量寄存器，在正向NTT和逆向NTT的AVX2汇编实现中，本文需要采用层融合技术. 层融合技术是指对加载到向量寄存器的系数完成多层计算再存回内存. $n=512$ 和 $n=1 024$ 都是6层基2-NTT，因此这里本文以 $n=512$ 为例讲述在NTT中如何应用层融合技术. 本文使用vmovdqa指令从内存中载入连续的16个系数. 对于基-2 NTT前的分解操作，需要对间隔为256的系数进行蝴蝶操作. 本文需要将间隔为256的系数载入到向量寄存器. 如图4所示.1组向量寄存器对中的系数完成相应运算后写回内存.

图 4 正向NTT载入系数顺序

Figure 4. Load coefficient order of forward NTT

下载: 全尺寸图片幻灯片

按图4顺序载入系数，共需要8个向量寄存器；并且环分解操作和基-2 NTT的第1层到第2层的系数对都在寄存器中，因此可以进行融合操作，以减少访存次数，本文采用调用宏加传入偏移地址的方法实现多项式所有系数的运算.

环分解操作及基-2 NTT 第1层到第2层. 对于正向基-2 NTT的前2层，本文一次性载入128个系数到8个向量寄存器，载入系数顺序如图5所示.

图 5 正向NTT第1层载入系数顺序

Figure 5. Load coefficient order of forward NTT level 1

下载: 全尺寸图片幻灯片

前2层系数对蝴蝶操作间隔分别为128和64，按照图5所示顺序载入系数刚好可以完成前2层系数对间隔的蝴蝶操作. 基-2 NTT第3层到第6层. NTT后4层载入系数顺序如图6所示. 本文使用8个向量寄存器一次性载入128个系数.

图 6 正向NTT第4层载入系数顺序

Figure 6. Load coefficient order of forward NTT level 4

下载: 全尺寸图片幻灯片

对于系数置乱，后4层的间隔分别为32，16，8，4；由于只能载入连续的16个系数到向量寄存器，因此上述存放顺序无法完成相应系数间隔的蝴蝶操作，需要调整向量寄存器中系数顺序，这里本文称调整向量寄存器中系数顺序的操作为Shuffle.对目前已经载入向量寄存器的系数做Shuffle操作，本文需要对每8，4，2，1个系数进行Shuffle，这里本文称为Shuffle8，Shuffle4，Shuffle2，Shuffle1.后三者的shuffle操作流程如图7所示.

图 7 基-2 NTT后3层系数置乱流程图

Figure 7. Flow chart of 3-layer coefficient scrambling after Radix-2NTT

下载: 全尺寸图片幻灯片

Shuffle8的主要操作如图8所示，取0～15的前8个系数和32～47的前8个系数拼起来放到1个向量寄存器中，后8个系数8～15和40～47放到1个寄存器中.Shuffle8后寄存器中存放系数顺序如图9所示，两两寄存器之间的连线和蝴蝶表示这2对寄存器之间完成1对蝴蝶操作，对应第5层需要进行间隔8的蝴蝶操作.

图 8 调整8个系数顺序和调整4个系数顺序

Figure 8. Adjusting the order of 8 coefficients and adjusting the order of 4 coefficients

下载: 全尺寸图片幻灯片

图 9 Shuffle8后向量寄存器存放顺序

Figure 9. Storage order of vector registers after Shuffle8

下载: 全尺寸图片幻灯片

对于第6层，因为需要对间隔为4的系数进行蝴蝶操作，以上寄存器中系数顺序无法满足蝴蝶操作需求，需要进一步对寄存器中系数进行Shuffle4. Shuffle4操作如图8所示.

为了后续多项式点乘方便，本文在正向NTT结束后又对系数进行了Shuffle2和Shuffle1的调整，具体原因在4.3节会讲解，Shuffle2，Shuffle1的操作如和所示. 本文使用vperm2i128指令，通过设置mask值为0x20和0x31达到Shuffle8的效果. 对于Shuffle4操作，AVX2的vpunpcklqdq和vpunpckhqdq指令可以完成取出2个寄存器中每128位中的低64b和高64b. Shuffle2本文使用移位指令vpsllq和vpsrlq指令调整每64b中32b数据顺序，最后通过vpblendd指令设置mask为0xAA，将2个寄存器中的每低32b进行拼接. Shuffle1的实现思路和Shuffle2类似，采用移位指令和vpblendw指令完成. 对于 $n=1 024$ 多项式环NTT， AVX2实现与 $n=512$ 的实现思路类似.

图 10 调整2个系数顺序

Figure 10. Adjusting the order of the two coefficients

下载: 全尺寸图片幻灯片

图 11 调整一个系数顺序

Figure 11. Adjusting the order of a coefficient

下载: 全尺寸图片幻灯片

4.2.3 蝴蝶操作

蝴蝶变换中系数和旋转因子进行乘法运算后做Montgomery约减，为了对多项式系数乘积 $a$ 进行模约减操作，本文首先需要计算 $m={aq}^{-1}\mathrm{m}\mathrm{o}\mathrm{d}\beta$ ，这里 $\beta ={2}^{16}，$ 因为旋转因子是常数，本文可以将Montgomery约减中第2步乘 ${q}^{-1}$ 操作预计算进旋转因子表中，这样可以省去1条乘法指令. 本文使用vpmullw指令和vpmulhw指令计算2个16 b整数乘积的高16 b和低16 b，这样避免了先计算完整32 b乘法再取高低位操作.

4.2.4 延迟约减

本文采取第3节所提到的基于索引的延迟约减策略，但是因为1次只能对一整个向量寄存器进行处理，会存在额外对部分系数进行约减的情况. 但总体上比对延迟约减层所有系数进行约减的次数更少.

4.3 多项式点乘AVX2实现

前面提到 $n=512$ 时多项式点乘是2个一次多项式之间的乘法，具体而言，是在 ${\mathbb{Z}}_{q}\left[x\right]/({x}^{4}-{\zeta }^{t\left(i\right)})$ 中计算2个多项式的模乘. 在AVX2向量化实现中，本文只能对2个向量寄存器进行运算操作，同一向量寄存器中位于不同位置的数据无法进行运算. 具体地说，如果本文按照0，1，2，…的顺序存储并加载到向量寄存器，那么无法对第0个系数和第1个系数直接做运算. 因此需要对系数顺序进行额外的置乱操作. 另一种思路是在做完正向NTT后，保持最后Shuffle4结束的顺序而不调整回自然顺序，则输入多项式点乘是乱序，但只要保证对应位置进行相乘，则多项式乘法结果是正确的. 因此在之前顺序的基础上再做1次Shuffle2和Shuffle1，使得间隔为1的系数不在同一个向量寄存器中.

这样做可以减少逆向NTT变换时候的系数置乱操作，方便了点乘和多项式求逆的运算. 在 $n=1 024$ 进行点乘时也是一样思路.

4.4 多项式求逆AVX2实现

多项式矩阵求逆 AVX2实现在之前的文献中已经给出，本文主要给出Bernstein快速实现的AVX2优化实现思路. 由于Bernstein快速多项式求逆的特性，并不是很适合直接的向量化. 但多项式求逆又是整个算法十分耗时的一个部分，因此本文采取一些技术对Bernstein快速多项式求逆进行了首个AVX2向量化实现，本文提出的Bernstein快速多项式求逆AVX2实现并行处理16个多项式的求逆运算. 由于寄存器数量有限，因此开辟栈空间保存循环中会使用到的变量 $P，F，V，S，Delta，Swap$ ，中间值 $uq,ur$ 和返回值 $r$ . 这些变量对应的作用和在栈中的地址如表11所示.

表 11 多项式求逆实现变量作用及地址

Table 11. Polynomial inversion realizes variable function and address

变量	作用	地址
$P$	保存旋转因子	0～287
$F$	保存原始多项式的系数	288～575
$V$	逆多项式系数的中间值	576～863
$S$	逆多项式系数的中间值	864～1 151
$Delta$	计算返回值 $r$ 的参数	1 152～1 215
$Swap$	交换 $Phi$ 与 $F$ ， $V$ 与 $S$	1 216～1 311
$Ur$	计算乘积之差的中间值	1 312～1 343
$Uq$	计算乘积之差的中间值	1 344～1 407
$r$	返回值	1 408～1 409

下载: 导出CSV

| 显示表格

将堆栈中数据按照进行初始化， ${P}_{i}$ 列表示第 $i$ 个多项式的变量， ${z}_{i}$ 表示第 $i$ 个多项式对应的旋转因子， ${f}_{ij}$ 表示第 $j$ 个多项式第 $i$ 个系数. $D{a}_{i}$ , $S{p}_{i}$ , $U{r}_{i}$ , $U{q}_{i}$ 分别表示 $Delta$ , $Swap$ , $Ur$ , $Uq$ 的第 $i$ 个值， $i=0, 1,…,15$ .

图 12 变量存储格式

Figure 12. Variants storage format

下载: 全尺寸图片幻灯片

多项式求逆函数的执行步骤如下，首先初始化 $Phi,F,V,S$ ，执行15次循环，对应算法15的6～19行. 计算常数项 ${\Phi }_{2n-1}\left(0\right)$ 在 ${\mathbb{Z}}_{\mathrm{q}}$ 中的逆元. 执行8次循环，对应算法15的第20行. 这里本文需要计算32b数乘积，本文采用vpmovzxdq指令将每64b的高32b和低32b扩展成64b分别放置在2个向量寄存器中进行计算. 最后需要返回是否可逆的真值，我们将向量寄存器中每个数据单元中 $Delta$ 的值相加后进行返回.

4.5 多项式序列化与反序列化AVX2实现

本文将多项式系数序列化为字节流和字节流反序列回多项式系数这2个过程进行AVX2向量化实现.CTRU的公钥系数实际占12b，因此2个多项式系数可以生成3个字节（24b）. C实现的思路是将第1个系数的前8b作为第1个字节，再将第1个系数剩下的4位和第1个系数的前4位拼接作为第2个字节，最后将第2个系数剩下的8b作为第3个字节进行拼接. 如所示. 由于私钥 $sk$ 对应的多项式 $f$ 系数存在负数的情况，这里本文先对所有系数通过加上界的处理转换到正数域，再进行拼接，同时反序列化的时候需要从正数域再恢复到原值. 密文序列化与反序列化的思路和公钥序列化的思路类似.

图 13 公钥序列化

Figure 13. Public key serialization

下载: 全尺寸图片幻灯片

在AVX2优化实现中思路有所不同，因为向量寄存器中是按相同数据单元进行对应操作，为了方便向量化操作，本文将系数拼接到对应16b数据单元中. 最后再按8b数据单元读回内存中，因此需要4个系数才能完整拼接3个16b数据单元，如图14所示，本文使用vpsllw，vpsrlw，vpor，vpand这些16b数据单元移位指令对数据进行移位拼接操作.

图 14 公钥序列化AVX2实现

Figure 14. Public key serialization AVX2 implementation

下载: 全尺寸图片幻灯片

4.6 SHA-3哈希函数AVX2优化实现

本文对文献[8]中CTRU AVX2实现的SHA-3模块进行了优化. 根据SHA-3标准文档FIPS202^[43]可知，SHA-3模块是由一个海绵结构组成，海绵结构包含吸收和挤压2个部分，吸收和挤压通过调用Keccak轮函数与输入的字节流进行分组异或得到最终输出结果. Keccak轮函数采用一个1 600b长的状态，在实现中将这个1 600b状态存储为一个64b的长度为25的1维数组. 一个AVX2向量寄存器可以存储4个64b状态，因此7个向量寄存器就能存放完25个64b状态，其中1个向量寄存器通过广播指令vpbroadcastq存放第1个状态. 通过这样的方式，本文可以一次性对4个状态进行置乱和异或操作，相较于C参考实现可以达到4并行.

5. 实验结果与性能比较

5.1 测试环境

本文给出了CTRU密钥封装方案3个方案的AVX2优化实现，本节介绍了3个方案优化实现的实现性能和测试分析. 本文的AVX2测试硬件环境为3.7 GHz的Intel(R) Core(TM) i9-10900X CPU和16GB内存，编译器为gcc-9.4.0，本文使用的编译参数为-Wall -Wextra -Wpedantic -Wmissing-prototypes -Wredundant-decls -Wshadow -Wpointer-arith -mavx2 -mbmi2 -mpopcnt -maes -march=native -mtune=native -O3 -fomit-frame-pointer.本文关闭了处理器的睿频加速技术(turbo boost)和超线程技术(hyper-threading).

本文采用CPU周期数作为衡量算法效率的标准，AVX2代码测试的CPU周期数为对应的函数执行100000次后所得结果的中位数.

5.2 多项式乘法实现性能比较

表12展示了参考实现和AVX2实现的正向NTT、逆向NTT以及多项式点乘的速度对比，从结果可以看出，3个方案下的多项式环正向NTT、逆向NTT以及点乘的AVX2优化实现在性能上有显著提升，3个方案的多项式乘法优化率都达到了95%以上，我们还另外测试了Kyber多项式乘法的性能，从表12中数据可以看出我们AVX2实现的优化率与Kyber接近.NTT实现AVX2优化性能达到显著提升主要原因是NTT比较向量化友好，并且本文通过层融合技术减少了内存和向量寄存器之间的访存次数和合理安排寄存器达到寄存器利用率最大化.

表 12 多项式乘法实现性能比较

Table 12. Performance Comparisons of Polynomial Multiplication Implementation

方案	测试函数	参考实现/ 时钟周期	AVX2实现/ 时钟周期	优化率/%
CTRU-512	正向NTT	11 120	502	95
	逆向NTT	16 736	530	97
	点乘	9 754	462	95
CTRU-768	正向NTT	24 520	882	96
	逆向NTT	31 592	950	97
	点乘	9 998	278	97
CTRU-1024	正向NTT	58 442	1 010	98
	逆向NTT	55 862	1 070	98
	点乘	43 658	1 852	96
Kyber^[44]	正向NTT	7 042	216	97
	逆向NTT	11 002	232	98
	点乘	3 708	84	98

下载: 导出CSV

| 显示表格

5.3 多项式求逆实现性能比较

多项式求逆是CTRU中最为耗时的运算之一，其需要返回是否可以求逆的真值以及存在的一些模幂运算给向量化实现带来了困难. 如表13所示，因为本文并没与对CTRU-768方案进行多项式求逆实现上的优化，因此我们这里只给出CTRU-512和CTRU-1024方案的优化率. 可以看到CTRU-512方案的优化率达到了96.9%. 而CTRU-1024方案的优化率只有46.8%，因为此时采用的Bernstein多项式快速求逆方法在向量化实现中存在一些困难，需要不断申请栈空间和访问内存，因此Bernstein多项式快速求逆AVX2实现的加速比最低.

表 13 多项式求逆实现性能比较

Table 13. Performance Comparisons of Polynomial inversion Implementation

方案	参考实现/时钟周期	AVX2实现/时钟周期	优化率/%
CTRU-512	92 026	2 898	96.9
CTRU-1024	398 542	212 048	46.8

下载: 导出CSV

| 显示表格

5.4 多项式序列化与反序列化实现性能比较

在3个方案下的多项式序列化和反序列化AVX2实现性能比较如表11所示，从表14中可以看出，AVX2实现对多项式序列化与反序列化带来的性能提升较为显著，总体带来了56%～90%以上的性能提升. 性能提升主要来自于我们将比特拼接操作利用AVX2指令进行向量化.

表 14 多项式序列化与反序列化实现性能比较

Table 14. Performance Comparison of Polynomial Serialization and Deserialization Implementation

测试函数	参考实现/时钟周期	AVX2实现/时钟周期	优化率/%
序列化公钥	396	32	91.9
反序列化公钥	506	38	92.5
序列化私钥	82	36	56.1
反序列化私钥	590	38	93.6
序列化密文	796	34	95.7
反序列化密文	934	42	95.5

下载: 导出CSV

| 显示表格

5.5 CTRU方案整体实现性能比较

5.5.1 CTRU-768 AVX2优化比较

本文对已有的CTRU-768方案AVX2实现进行了一系列优化，从表15可以看出，本文的实现相较于目前已有的最新实现有着8%～11%的性能提升，性能提升主要来自于哈希SHA-3模块的AVX2优化实现.

表 15 CTRU方案实现性能比较

Table 15. Performance Comparisons of CTRU Scheme Implementation

测试函数	文献[8]/时钟周期	本文实现/时钟周期	优化率/%
密钥生成	17 376	18 958	8
密钥封装	12 146	13 650	11
密钥解封装	48 292	53 792	10

下载: 导出CSV

| 显示表格

5.5.2 AVX2实现与参考实现比较

为了测试本文的AVX2优化实现技术对CTRU整体方案性能带来的提升，本文测试了3个方案的AVX2实现时钟周期和参考实现时钟周期. 从表16和中可以看出，CTRU-512和CTRU-768方案的密钥生成提速较为显著，均有90%的提速. 但CTRU-1024方案的密钥生成仅有56%的提速，主要原因还是由于CTRU-1024方案无法使用多项式矩阵快速计算多项式求逆，而Bernstein快速求逆算法又不是向量化友好的，因此并不能很好的利用AVX2的并行度加速. 除此之外密钥封装和解封装都有70%～90%以上的提速. 除此之外由于CTRU方案基于RLWE问题，CNTR方案基于RLWR问题，在密钥封装过程中需要多生成1个噪音多项式，因此CTRU方案相较于CNTR方案的封装过程会更加耗时. 但在CNTR-512方案下由于CNTR的多项式噪音向量分布为 $({B}_{5},{B}_{5})$ ，相较于CTRU的噪音多项式分布 $({B}_{3},{B}_{3})$ 需要更多的字节流用于采样生成多项式，哈希的时间也会增加，因此CNTR-512方案的密钥生成、密钥封装、密钥解封装要慢于CTRU-512方案.

表 16 CTRU方案实现性能比较

Table 16. Performance Comparisons of CTRU Scheme Implementation

方案	测试函数	参考实现/ 时钟周期	AVX2实现/ 时钟周期	优化率/%
CTRU-512	密钥生成	143 244	13 860	90
	密钥封装	57 962	12 230	79
	密钥解封装	131 964	37 010	72
CTRU-768	密钥生成	154 156	13 940	91
	密钥封装	91 636	13 340	85
	密钥解封装	218 654	49 182	78
CTRU-1024	密钥生成	589 650	259 782	56
	密钥封装	190 894	20 018	90
	密钥解封装	396 076	70 948	82

下载: 导出CSV

| 显示表格

表 17 CNTR方案实现性能比较

Table 17. Performance Comparisons of CNTR Scheme Implementation

方案	测试函数	参考实现/ 时钟周期	AVX2实现/ 时钟周期	优化率/%
CTRU-512	密钥生成	150 294	18 350	88
	密钥封装	63 210	16 278	74
	密钥解封装	137 492	41 114	70
CTRU-768	密钥生成	157 326	17 376	89
	密钥封装	89 372	12 146	86
	密钥解封装	221 926	48 292	78
CTRU-1024	密钥生成	589 054	263 832	55
	密钥封装	189 334	17 312	91
	密钥解封装	393 648	68 378	83

下载: 导出CSV

| 显示表格

5.5.3 AVX2实现与Kyber方案比较

除了与参考实现进行比较，本文还测试了NIST标准化的Kyber密钥封装方案的AVX2实现，与我们的CTRU/CNTR方案进行比较. 因为文献[31]中没有提供前缀哈希FO转换的Kyber开源代码，因此我们采用的Kyber官方代码^[44]在其上面进行修改. 测试数据如表18所示，在CTRU-512和CTRU-1024方案下，CTRU方案的密钥生成和密钥封装性能都要远优于Kyber的性能. 但在CTRU-1024方案下，CTRU密钥封装方案比Kyber慢很多，主要原因还是在多项式求逆部分AVX2优化提速有限，导致整个密钥生成的提速不明显，而Kyber由于解封装不存在较为耗时且难以向量化的多项式求逆. 总体来说，CTRU方案相较于Kyber方案还是有一定性能优势.

表 18 CTRU/CNTR/Kyber方案AVX2实现性能比较

Table 18. Performance Comparisons of CNTR Scheme Implementation

方案	测试函数	CTRU方案/时钟周期	CNTR方案/时钟周期	Kyber方案/时钟周期
CTRU-512	密钥生成	13 860	18 350	28 936
	密钥封装	12 230	16 278	23 524
	密钥解封装	37 010	41 114	31 688
CTRU-768	密钥生成	13 940	17 376	42 554
	密钥封装	13 340	12 146	35 204
	密钥解封装	49 182	48 292	49 456
CTRU-1024	密钥生成	259 782	263 832	54 150
	密钥封装	20 018	17 312	48 190
	密钥解封装	70 948	68 378	69 918

下载: 导出CSV

| 显示表格

6. 总　　结

伴随着美国NIST后量子密码标准的推出，学术与工业界都在加快推进网络安全生态向后量子时代迁移.CTRU作为我国自主可控的抗量子密码算法，其标准化工作目前已经在我国密码标准委员会正式立项. 自主可控的后量子密码的高效安全实现对我国后量子迁移与应用尤为重要.

本文首次完成了CTRU-512和CTRU-1024方案的完整参考实现和AVX2优化实现，并对已有的CTRU-768方案的AVX2实现进行了优化，较为系统地针对不同实现给出性能加速策略和优化技巧，提出了Bernstein快速求逆AVX2优化实现方案. 实验结果表明，本文给出的高效实现创造了CTRU方案在Intel CPU平台上新的性能记录. 性能提升的主要来源于AVX2向量化实现技巧如NTT向量化实现的层融合和系数置乱，指令调度，多项式求逆耗时模块的优化实现. 这为CTRU方案的实际应用打下重要基础，具有重要的参考和应用价值. 本文提出的基于索引的延迟约减以及对CTRU-1024方案的多项式求逆采用Bernstein快速求逆方法是在算法层面的优化，不依赖于特定指令集，可以应用在ARM处理器等嵌入式平台.

作者贡献声明：郑婕妤负责实现方案设计和论文撰写和代码测试；宋振宇负责多项式求逆代码实现；朱浩亮负责论文检查和文献调研；赵运磊、林璟锵、范晶负责论文检查和修改.

图 1 整体架构图

Figure 1. Overall structural diagram

下载: 全尺寸图片幻灯片

图 2 无线通信系统与基于深度学习的信号调制识别结构图

Figure 2. Structure diagram of wireless communication system and signal modulation recognition based on DL

下载: 全尺寸图片幻灯片

图 3 面向调制识别的代表性深度学习模型

Figure 3. Representative DL models for modulation recognition

下载: 全尺寸图片幻灯片

图 4 基于对抗深度学习的分类框架图

Figure 4. Categorization framework diagram based on adversarial deep learning

下载: 全尺寸图片幻灯片

图 5 物理对抗攻击模型与数字对抗攻击模型对比

Figure 5. Comparison of physical adversarial attack model and digital adversarial attack model

下载: 全尺寸图片幻灯片

图 6 基于信号调制识别的对抗攻击威胁模型

Figure 6. Threat model of adversarial attack based on signal modulation recognition

下载: 全尺寸图片幻灯片

图 7 考虑信道效应的2种对抗攻击场景示意图

Figure 7. Illustration of two adversarial attack scenarios considering channel effect

下载: 全尺寸图片幻灯片

表 1 信号调制识别主要的开源数据集汇总

Table 1 Summary of Main Open-Source Datasets for Signal Modulation Recognition

数据集名称	调制方式	样本大小	样本总数	SNR/dB
RML2016.10A	11类（8PSK, BPSK, CPFSK, GFSK, PAM4, 16QAM, AM-DSB, AM-SSB, 64QAM, QPSK, WBFM）	2 × 128	220 000	−20~18
RML2016.10B	10类（8PSK, BPSK, CPFSK, GFSK, PAM4, AM-DSB, 16QAM, 64QAM, QPSK, WBFM）	2 × 128	1 200 000	−20~18
RML2016.04C	11类（8PSK, BPSK, CPFSK, GFSK, PAM4, AM-DSB, AM-SSB, 16QAM, 64QAM, QPSK, WBFM）	2 × 128	162 060	−20~18
RML2018.01A	24类（OOK, 4ASK, 8ASK, BPSK, QPSK, 8PSK, 16PSK, 32PSK, 16APSK, 32APSK, 64APSK, 128APSK, 16QAM, 32QAM, 64QAM, 128QAM, 256QAM, AM-SSB-WC, AM-SSB-SC, AM-DSB-WC, AM-DSB-SC, FM, GMASK, OQPSK）	2 × 1 024	2 555 904	−20~10
HisarMod2019.1	26类（AM-DSB, AM-SC, AM-USB, AM-LSB, FM, PM, 2FSK, 4FSK, 8FSK, 16FSK, 4PAM, 8PAM, 16PAM, BPSK, QPSK, 8PSK, 16PSK, 32PSK, 64PSK, 4QAM, 8QAM, 16QAM, 32QAM, 64QAM, 128QAM, 256QAM）	2 × 1 024	780 000	−20~18

下载: 导出CSV

表 2 信号调制识别的深度学习模型

Table 2 Signal Modulation Recognition Deep Learning Models

模型类型	模型名称	优点	缺点
无监督学习模型	SCF-DBN^[39,42]、自编码器1^[43]、自编码器2^[44]	·处理未标记数据； ·特征提取表现优异；	·计算复杂性较高，限制大规模问题的应用； ·只用来测试少数调制方式分类，应用受限；
前馈神经网络模型	FFNN1^[40], FFNN2^[45], FFNN3^[46]	·擅长提取高维特征； ·结构简单，优化灵活；	·可能不适合处理如时间序列数据； ·需要大量训练数据，以避免过拟合；
CNN模型	CNN1^[4], CNN2^[50], CNN3^[51], ResNet^[41], DenseNet^[41], CM+CNN^[47], SCNN^[48], AlexNet^[49], GoogLeNet^[49], DrCNN^[52], IC-AMCNet^[56], MCNET^[10]	·强大的空间特征提取能力； ·适用于不同输入数据类型； ·高效架构满足低时延高可靠；	·高计算复杂度，增加训练成本； ·可能忽略通信系统中固有的信号特征； ·原始I/Q信号直接输入模型导致信息损失；
RNN模型	GRU^[6], LSTM^[7], DAE^[57]	·处理时间序列数据的能力； ·适用于低成本计算平台；	·计算复杂度相对较高，训练难度较大； ·可能存在梯度消失或爆炸问题；
混合模型	CLDNN1^[5], CLDNN2^[41], MCLDNN^[9], MLDNN^[58], DBN+SNN^[59]	·结合CNN和RNN的优势； ·提高识别精度和泛化能力；	·模型复杂性更高，计算和维护成本增加； ·计算资源需求更高；

下载: 导出CSV

表 3 对抗攻击方法的函数表示

Table 3 Function Expression of Adversarial Attack Methods

方法	函数表示
对抗攻击方法	$\begin{aligned} &\mathop {{\text{min}}}\limits_{\boldsymbol {\theta} } {\left\\| {\boldsymbol \delta } \right\\|_p}\\[-4pt]&{\text{s}}{\text{.t}}{\text{. }}f({\boldsymbol {\theta} },{\boldsymbol {x}}) \ne f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta })\end{aligned}$	（3）
非针对性对抗攻击	$\begin{aligned}& {\mathop {\max }\limits_{\boldsymbol {\theta} } \mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta }),{{\boldsymbol y}^{{\text{true}}}})} \\[-4pt] &{{\text{s}}{\text{.t}}{\text{. }}\min {{\left\\| {\boldsymbol \delta } \right\\|}_p} \leqslant \varepsilon } \end{aligned}$	（4）
针对性对抗攻击	$\begin{aligned}& {\mathop {\min }\limits_{\boldsymbol {\theta} } \mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta }),{{\boldsymbol y}^{{\text{target}}}})} \\[-4pt] & {{\text{s}}{\text{.t}}{\text{. }}\min {{\left\\| {\boldsymbol \delta } \right\\|}_p} \leqslant \varepsilon } \end{aligned}$	（5）

下载: 导出CSV

表 4 面向调制识别的对抗攻击函数表达汇总

Table 4 Summary of Adversarial Attack Function Experssion for Modulation Recognition

方法	具体技术	对抗样本函数表示	优化目标函数表示
FGM	FGSM ^[26]	${{\boldsymbol {x}}^*} = {\boldsymbol {x}} + \varepsilon \times {\text{sgn}}\left( {{\nabla _{\boldsymbol {x}}}\mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}}),{\boldsymbol y})} \right)$	$\begin{aligned} &{\mathop {\max }\limits_{\boldsymbol {\theta} } \mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta }),{{\boldsymbol y}^{{\text{true}}}})} \\ & {{\text{s}}{\text{.t}}{\text{. }}\min {{\left\\| {\boldsymbol \delta } \right\\|}_p} \leqslant \varepsilon }\end{aligned}$
	FGM ^[16]	${{\boldsymbol {x}}^*} = {\boldsymbol {x}} + \varepsilon \times \dfrac{{{\nabla _{\boldsymbol {x}}}\mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}}),{\boldsymbol y})}}{{{{\left\\| {{\nabla _{\boldsymbol {x}}}\mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}}),{\boldsymbol y})} \right\\|}_2}}}$	$\begin{aligned} &{\mathop {\max }\limits_{\boldsymbol {\theta} } \mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta }),{{\boldsymbol y}^{{\text{true}}}})} \\ & {{\text{s}}{\text{.t}}{\text{. }}\min {{\left\\| {\boldsymbol \delta } \right\\|}_p} \leqslant \varepsilon }\end{aligned}$
	FGM考虑信道效应^[15]	${{r}_{{\text{ar}}}} = {{\boldsymbol H}_{{\text{tr}}}}{\boldsymbol {x}} + {{\boldsymbol H}_{{\text{ar}}}}{\boldsymbol \delta } + {\boldsymbol n}$	${\mathcal{L}(f({\boldsymbol {\theta} },{{r}_{{\text{ar}}}}),{{\boldsymbol y}^{{\text{target}}}}) \approx \mathcal{L}(f({\boldsymbol {\theta} },{{r}_{{\text{tr}}}}),{{\boldsymbol y}^{{\text{target}}}}) + }{{{({{\boldsymbol H}_{{\text{ar}}}}{\boldsymbol \delta })}^{\text{T}}}{\nabla _{\boldsymbol {x}}}\mathcal{L}(f({\boldsymbol {\theta} },{{r}_{{\text{tr}}}}),{{\boldsymbol y}^{{\text{target}}}})}$
MI-FGSM	MI-FGSM ^[80]	$\begin{aligned} &{\boldsymbol {x}}_{t + 1}^* = {\boldsymbol {x}}_t^* + \left( {\dfrac{\varepsilon }{T}} \right) \times {\text{sgn}}({{\boldsymbol g}_{t + 1}})\\&{{\boldsymbol g}_{t + 1}} = \mu \times {{\boldsymbol g}_t} + \dfrac{{{\nabla _{\boldsymbol {x}}}\mathcal{L}(f({\boldsymbol {\theta} },{{\boldsymbol {x}}^}),{\boldsymbol y})}}{{{{\left\\| {{\nabla _{\boldsymbol {x}}}\mathcal{L}(f({\boldsymbol {\theta} },{{\boldsymbol {x}}^}),{\boldsymbol y})} \right\\|}_1}}}\end{aligned}$	$\begin{aligned} &{\mathop {\max }\limits_{\boldsymbol {\theta} } \mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta }),{{\boldsymbol y}^{{\text{true}}}})} \\ & {{\text{s}}{\text{.t}}{\text{. }}\min {{\left\\| {\boldsymbol \delta } \right\\|}_p} \leqslant \varepsilon } \end{aligned}$
PGD	PGD ^[91]	${{\boldsymbol {x}}}_{t+1}^{}={\varPi }_{{\cal{B}}_{\epsilon}({{\boldsymbol {x}}}_{2})}({{\boldsymbol {x}}}_{t}^{}+\beta \times \text{sgn}({\nabla }_{{\boldsymbol {x}}}{\mathcal{L}}(f(\boldsymbol{\theta},{{\boldsymbol {x}}}_{t}^{*}),{\boldsymbol y})))$	$\begin{aligned} &{\mathop {\max }\limits_{\boldsymbol {\theta} } \mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta }),{{\boldsymbol y}^{{\text{true}}}})} \\ & {{\text{s}}{\text{.t}}{\text{. }}\min {{\left\\| {\boldsymbol \delta } \right\\|}_p} \leqslant \varepsilon } \end{aligned}$
C&W	Carlini & Wagner ^[81]	${{\boldsymbol {x}}^*} = {\boldsymbol {x}} + {\boldsymbol \delta }$	$\begin{aligned} &{\mathop {\min }\limits_{\boldsymbol \delta } \left\\| {\boldsymbol \delta } \right\\|_2^2 + c \times {f_t}({\boldsymbol {x}} + {\boldsymbol \delta })} \\ & {{\text{s}}{\text{.t}}{\text{. }}{\boldsymbol {x}} + {\boldsymbol \delta } \in {{\left[ {\left\lceil {\min ({x_i})} \right\rceil ,\left\lceil {\max ({x_i})} \right\rceil } \right]}^k}}\\&{f_t}({\boldsymbol x'}) = \max \left( {\max \{ Z{{({\boldsymbol x'})}_i}:i \ne t\} - Z{{({\boldsymbol x'})}_t},0} \right)\end{aligned}$
ATN	P-ATN考虑通信损失^[29]	${{\boldsymbol {x}}^*} = {\boldsymbol {x}} + g({\boldsymbol {\theta} },{\boldsymbol {x}})$	${\mathcal{L}( \cdot)= (1 - \alpha)\times {\mathcal{L}_{{\text{adv}}}}( \cdot)+ } {\alpha \times \left[ {\beta \times {\mathcal{L}_{{\text{comm}}}}( \cdot)+ (1 - \beta)\times {\mathcal{L}_{{\text{pwr}}}}( \cdot )} \right]}$
ATN	AAE考虑通信损失^[92]	${{\boldsymbol {x}}^*} = g({\boldsymbol {\theta} },{\boldsymbol {x}})$	${\mathcal{L}_{{\text{total}}}} = \alpha \times {\mathcal{L}_{{\text{adv}}}} + \beta \times {\mathcal{L}_{{\text{comm}}}} + \gamma \times {\mathcal{L}_{{\text{pwr}}}}$
BIM	BIM ^[89]	$\begin{aligned} &{{{\boldsymbol {x}}_{t + 1}} = Cli{p_{{x, }\varepsilon }}\{ {{\boldsymbol {x}}_t} + } {\varepsilon \times {\text{sgn}}\left( {{\nabla _{\boldsymbol {x}}}\mathcal{L}(f({\boldsymbol {\theta} },{{\boldsymbol {x}}_t}),{{\boldsymbol y}_t})} \right)\} } \\ &Cli{p_{{x, }\varepsilon }}\{ {\boldsymbol z}\} :{\boldsymbol z} \in [{\boldsymbol {x}} - \varepsilon ,{\boldsymbol {x}} + \varepsilon ] \end{aligned}$	$\begin{aligned} &{\mathop {\max }\limits_{\boldsymbol {\theta} } \mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta }),{{\boldsymbol y}^{{\text{true}}}})} \\ & {{\text{s}}{\text{.t}}{\text{. }}\min {{\left\\| {\boldsymbol \delta } \right\\|}_p} \leqslant \varepsilon } \end{aligned}$

下载: 导出CSV

表 5 针对于不同对抗样本生成方法的数字攻击/物理攻击研究工作汇总

Table 5 Summary of Research Work on Digital/Physical Attacks for Different Adversarial Examples Generation Methods

对抗攻击方法	数字攻击的相关文献	物理攻击的相关文献
快速梯度法FGM	[15−16，20，26，78−79， 82，84，88−89]	[19，95]
动量迭代法MI-FGSM	[20，80，89]
投影梯度下降法PGD	[20，89，96]	[90−91，94]
Carlini & Wagner	[81，85−87]
对抗转化网络ATN		[29，92−93]
通用对抗扰动UAP	[15−16，25，78，96]
基础迭代法BIM	[20，88−89]
雅克比显著图攻击JSMA	[89]
木马攻击	[83]

下载: 导出CSV

表 6 面向调制识别的对抗样本生成方法总览

Table 6 Summary of Adversarial Examples Generation Methods for Modulation Recognition

攻击方法	相关研究工作	关键技术	攻击分类	攻击目标	攻击能力	数据集	攻击后最低准确率/ %(SNR/dB)
快速梯度法FGM	Sadeghi等人^[16]	使用二分法改进FGM	数字	非针对性	白盒	RML2016.10A	0 (10)
	Kim等人^[15,78]	最大接收扰动功率算法MRPP改进FGM	数字	针对性	白盒	RML2016.10A	13 (10)
	Kim等人^[15,78]	最大接收扰动功率算法MRPP改进FGM	数字	非针对性	白盒	RML2016.10A	17 (10)
	Restuccia等人^[79]	在一组连续的输入信号切片上计算扰动	数字	针对性	白盒	RML 2018.01A	-
	Restuccia等人^[79]	在一组连续的输入信号切片上计算扰动	数字	非针对性	白盒	RML 2018.01A	31 (0)
	Kokalj-Filipovic^[26]	通过自编码器对调制识别模型进行预训练，提高模型鲁棒性	数字	非针对性	非适应性黑盒	RML 2018.01A (BPSK, QPSK, 9-PSK)	60 (14)
	Ke等人^[82]	FGSM和L-BFGS对抗攻击	数字	非针对性	白盒	RML2016.04C	21 (8)
	Lin等人^[20]	比较多种方法性能，讨论波形变化	数字	非针对性	白盒	RML2016.10A	17 (10)
	Kim等人^[84]	元素最大信道增益EMCG法来优化天线信号功率分配生成并发对抗性扰动	数字	针对性	白盒	RML2016.10A	10 (10)
	Sahay等人^[88]	基于频域特征分类，削弱非适应性黑盒对抗样本的可迁移性	数字	非针对性	白盒	RML2016.10B	23 (18)
	Sahay等人^[88]	基于频域特征分类，削弱非适应性黑盒对抗样本的可迁移性	数字	非针对性	非适应性黑盒	RML2016.10B	78 (18)
	Lin等人^[89]	比较多种方法攻击性能，讨论调制类型鲁棒性	数字	非针对性	白盒	RML2016.10A	14 (10)
	Flowers等人^[19]	FGSM算法实现对抗攻击，并考虑接收器误码率	物理	非针对性	白盒	RML2016.10A (BPSK)	58 (10)
	Berian等人^[95]	基于滤波器方法实现对抗攻击	物理	非针对性	白盒	RML2016.10A	25 (0)
动量迭代法MI-FGSM	Bair等人^[80]	利用MI-FGSM实现针对性(QPSK误分为8PSK)与非针对性对抗攻击	数字	针对性	白盒	RML2016.10A	0 (18)
	Bair等人^[80]	利用MI-FGSM实现针对性(QPSK误分为8PSK)与非针对性对抗攻击	数字	非针对性	白盒	RML2016.10A	7 (18)
	Lin等人^[20]	比较多种方法性能，讨论波形变化	数字	非针对性	白盒	RML2016.10A	10 (10)
	Lin等人^[89]	比较多种方法攻击性能，讨论调制类型鲁棒性	数字	非针对性	白盒	RML2016.10A	10 (10)
投影梯度下降法PGD	Lin等人^[20]	比较多种方法性能，讨论波形变化	数字	非针对性	白盒	RML2016.10A	13 (10)
	Lin等人^[89]	比较多种方法攻击性能，讨论调制类型鲁棒性	数字	非针对性	白盒	RML2016.10A	13 (10)
	Sandler等人^[96]	利用PGD算法实现对抗攻击	数字	非针对性	白盒	RML 2018.01A, 自建数据集	-
	Hameed等人^[90]	PGD算法实现对抗攻击，考虑接收器误码率的影响，将l₂范数随机噪声作为对照组	物理	非针对性	白盒	自建数据(QAM64)	55 (10)
	Hameed等人^[90]	PGD算法实现对抗攻击，考虑接收器误码率的影响，将l₂范数随机噪声作为对照组	物理	非针对性	非适应性黑盒	自建数据(QAM64)	55 (10)
	Hameed等人^[91]	改进PGD算法，并通过降低传输速率来权衡误码率与分类精度	物理	非针对性	白盒	自建数据(QAM64)	55 (10)
	Hameed等人^[91]	改进PGD算法，并通过降低传输速率来权衡误码率与分类精度	物理	非针对性	非适应性黑盒	自建数据(QAM64)	72 (10)
	Hameed ^[94]	改进PGD算法，考虑误码率的优化	物理	非针对性	白盒	自建数据(QAM64)	55 (10)
	Hameed ^[94]	改进PGD算法，考虑误码率的优化	物理	非针对性	非适应性黑盒	自建数据(QAM64)	72 (10)
Carlini & Wagner	Kokalj-Filipovic等人^[81]	改进Carlini&Wagner-l₂算法以适应调制识别对抗攻击	数字	针对性	非适应性黑盒	RML 2018.01A 自建数据集	-
	Yi等人^[85]	使用数据驱动的子采样策略，对未知子采样策略实现适应性黑盒攻击	数字	非针对性	白盒	RML2016.10B	48 (10)
	Yi等人^[85]	使用数据驱动的子采样策略，对未知子采样策略实现适应性黑盒攻击	数字	非针对性	适应性黑盒	RML2016.10B	70 (10)
	Usama等人^[86]	实现白盒对抗攻击	数字	非针对性	白盒	RML2016.10A	-
	Usama等人^[87]	实现适应性黑盒对抗攻击	数字	非针对性	适应性黑盒	RML2016.10A	33 (10)
对抗转化网络ATN	Flowers等人^[29]	利用扰动-对抗转化网络ARN实现对抗攻击，引入通信合页损失减少减少期望接收器误码率	物理	非针对性	白盒	RML2016.10A (BPSK)	25 (10)
	DelVecchio等人^[92]	利用对抗突变网络AMN实现对抗攻击，引入通信合页损失减少减少期望接收器误码率，并考虑前向纠错编码FEC影响	物理	非针对性	白盒	自建数据(QPSK)	0 (10)
	DelVecchio等人^[93]	改进AMN网络，考虑频谱欺骗损失，同时减少期望接收器的误码率	物理	非针对性	白盒	自建数据(QPSK)	0 (10)
通用对抗扰动UAP	Sadeghi等人^[16]	利用主成分分析方法生成UAP	数字	非针对性	适应性黑盒	RML2016.10A	37 (10)
	Bahramali等人^[25]	构建扰动生成模型 PGM生成大量UAP，基于GAN构建噪声正则器，同时最大化UAP之间的距离	数字	非针对性	适应性黑盒	RML2016.10A	25 (10)
	Kim等人^[15,78]	利用主成分分析和自编码器2种方法生成UAP，并考虑信道信息有限	数字	非针对性	适应性黑盒	RML2016.10A	46 (10)
	Kim等人^[15,78]	利用主成分分析和自编码器2种方法生成UAP，并考虑信道信息有限	数字	非针对性	严格黑盒	RML2016.10A	65 (10)
	Sandler等人^[96]	生成UAP和特定类别的UAP，并添加随机相位偏移模拟真实信道	数字	非针对性	适应性黑盒	RML 2018.01A, 自建数据集	-
	Sandler等人^[96]	生成UAP和特定类别的UAP，并添加随机相位偏移模拟真实信道	数字	针对性	适应性黑盒	RML 2018.01A, 自建数据集	-
基础迭代法BIM	Lin等人^[20]	比较多种方法性能，讨论波形变化	数字	非针对性	白盒	RML2016.10A	12 (10)
	Sahay等人^[88]	基于频域特征分类，削弱非适应性黑盒对抗样本的可迁移性	数字	非针对性	白盒	RML2016.10B	20 (18)
	Sahay等人^[88]	基于频域特征分类，削弱非适应性黑盒对抗样本的可迁移性	数字	非针对性	非适应性黑盒	RML2016.10B	74 (18)
	Lin等人^[89]	比较多种方法攻击性能，讨论调制类型鲁棒性	数字	非针对性	白盒	RML2016.10A	10 (10)
雅克比显著图攻击JSMA	Lin等人^[89]	基于JSMA算法实现严格黑盒攻击	数字	非针对性	严格黑盒	RML2016.10A	25 (10)
木马攻击	Davaslioglu等人^[83]	在一部分训练数据集中嵌入木马，在测试时触发木马以欺骗分类器	数字	针对性	白盒	RML2016.10A	攻击成功率 88 (12)
“-”为当前文献未给出较为明确的攻击后最低准确率.

下载: 导出CSV

表 7 针对于无线通信特性的对抗攻击方法汇总

Table 7 Summary of Adversarial Attack Methods Considering Wireless Communication Characteristics

通信特性		相关研究工作	处理方法
信道效应的复杂性	场景1：不考虑模拟信道模型	Sadeghi等人^[16]	UAP具有移位不变性
	场景1：不考虑模拟信道模型	Bahramali等人^[25]	UAP中添加相位旋转
	场景1：完整信道模型	Kim等人^[15,78,95]	利用信道效应改进对抗算法
		Kim等人^[84]	利用信道效应改进对抗算法，并合理分配多天线信号功率
		Flowers等人^[19]	提出特定信道与动态信道场景实验
	场景1：有限信道模型	Flowers等人^[29]	引入通信合页损失
		Kim等人^[15,78]	PCA算法对信道信息降维，生成UAP
		Restuccia等人^[79]	在一组连续的输入信号切片上计算扰动
		Sandler等人^[96]	真实信道上使用SDR广播对抗性扰动信号
		Flowers等人^[19]	提出特定信道与动态信道场景实验
	场景1：物理对抗攻击中利用信道差异	Flowers等人^[29]	利用对抗转移网络ATN的变体ARN进行对抗攻击
		DelVecchio等人^[92-93]	利用对抗转移网络ATN的变体AMN进行对抗攻击
		Restuccia等人^[90,94]	基于DNN模型以多目标的线性组合为目标函数
		Hameed等人^[91]	多目标优化，并降低传输速率来权衡误码率与分类精度
	场景2：训练数据集不同	Sadeghi等人^{[15-16,25,78,96]}	生成与输人无关的通用对抗扰动UAP
特征表示的异质性		Lin等人^[20]	保证对抗攻击前后信号波形的一致，同时不减弱攻击性能
		DelVecchio等人^[93]	引入频谱欺骗损失，保持对抗性扰动信号的频谱完整性
		Sahay等人^[88]	基于频域特征分类，削弱黑盒对抗样本的可迁移性
信号数据的间接性		Flowers等人^{[15,19,29,78-79,91-93]}	对信道模型、前向纠错编码FEC等影响模拟并讨论分析

下载: 导出CSV

表 8 调制识别的对抗攻击研究工作对3种通信特性涉及项汇总

Table 8 Summary of Related Terms of Three Communication Characteristics on Adversarial Attack Research for Modulation Recognition

相关研究工作	信道效应的复杂性	信号数据的间接性	特征表示的异质性
Kim等人^[15]	✓	✓
Sadeghi等人^[16]	✓
Flowers等人^[19]	✓	✓
Lin等人^[20]			✓
Bahramali等人^[25]	✓
Kokalj-Filipovic等人^[26]
Flowers等人^[29]	✓	✓
Kim等人^[78]	✓	✓
Restuccia等人^[79]	✓	✓
Bair等人^[80]
Kokalj-Filipovic等人^[81]
Ke等人^[82]
Davaslioglu等人^[83]
Kim等人^[84]
Yi等人^[85]
Usama等人^[86]
Usama等人^[87]
Sahay等人^[88]			✓
Lin等人^[89]
Hameed等人^[90]	✓	✓
Hameed等人^[91]	✓	✓
DelVecchio等人^[92]	✓	✓
DelVecchio等人^[93]	✓	✓	✓
Hameed ^[94]	✓	✓
Berian等人^[95]	✓	✓
Sandler等人^[96]	✓	✓

下载: 导出CSV

表 9 面向调制识别的对抗防御与检测方法比较

Table 9 Comparison of Adversarial Defense and Detection Methods for Modulation Recognition

类别	方法	详细技术	主要思想	优点	缺点
防御	对抗训练	UAP对抗训练^[25]	最大化对抗损失、最小化模型参数损失，实现对抗信号防御	提升模型鲁棒性，操作相对容易	对训练数据与攻击方法具有依赖性，容易出现过拟合现象
		自编码器预训练^[26]
		PGD对抗训练^[91]
	随机平滑	基于随机平滑的可验证防御^[15,25]	通过高斯噪声对训练集进行数据增强，以提高分类器模型对多个梯度方向的鲁棒性	提升模型的泛化能力，对C&W攻击比其他防御机制的防御效果好	训练时间较长
	降低噪声	扰动减法^[25]	根据对攻击者的了解程度，对受到扰动的接收信号进行信号处理，以消除扰动信号的影响	降低扰动影响，减小攻击成功率	需要扰动信号先验知识，防御效果较差
	降低噪声	纠错编码 ^[91]	提高编码效率	降低扰动影响，提升信息传输速率	防御效果较差
	通信特性	利用信号特征的异质性 ^[88]	提出基于频域特征的信号调制识别模型，以抵御攻击者通过时域特征训练的代理模型发起的对抗攻击	频域特征训练的模型识别性能优于时域，并且对抗攻击防御效果较为优秀	依赖于信号数据集的特征表示形式
检测	统计学方法	PAPR^[27]	利用接收信号的数字化射频样本数据的峰值平均功率 PAPR进行统计测试	对抗检测精度较高	依赖于收集的输入样本的数量
		Softmax输出^[27]	利用DNNs模型最后一层的统计数据来检测由对抗样本引起的分布变化	对抗检测精度较高	依赖于信号波形和信道模型的影响
		对抗触发器检测^[83]	利用中位数绝对偏差（MAD）算法和聚类算法等统计学方法对触发器进行检测	对抗检测精度较高	依赖于训练数据集被投毒样本的数量

下载: 导出CSV

参考文献(127)

[1]	Bhatti F A, Khan M J, Selim A, et al. Shared spectrum monitoring using deep learning[J]. IEEE Transactions on Cognitive Communications and Networking, 2021, 7(4): 1171−1185 doi: 10.1109/TCCN.2021.3071149
[2]	Dobre O A, Abdi A, Bar-Ness Y, et al. Survey of automatic modulation classification techniques: Classical approaches and new trends[J]. IET Communications, 2007, 1(2): 137−156 doi: 10.1049/iet-com:20050176
[3]	Zhang Wenhan, Feng Mingjie, Krunz M, et al. Signal detection and classification in shared spectrum: A deep learning approach[C/OL]//Proc of the 40th IEEE Conf on Computer Communications. Piscataway, NJ: IEEE, 2021[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/9488834/
[4]	O’Shea T J, Corgan J, Clancy T C. Convolutional radio modulation recognition networks[C]//Proc of the 17th Int Conf on Engineering Applications of Neural Networks. Cham: Springer, 2016: 213−226
[5]	West N E, O’Shea T. Deep architectures for modulation recognition[C/OL]//Proc of the 2017 IEEE Int Symp on Dynamic Spectrum Access Networks. Piscataway, NJ: IEEE, 2017[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/7920754/
[6]	Hong Dehua, Zhang Zilong, Xu Xiaodong. Automatic modulation classification using recurrent neural networks[C]//Proc of the 3rd IEEE Int Conf on Computer and Communications. Piscataway, NJ: IEEE, 2017: 695−700
[7]	Rajendran S, Meert W, Giustiniano D, et al. Deep learning models for wireless signal classification with distributed low-cost spectrum sensors[J]. IEEE Transactions on Cognitive Communications and Networking, 2018, 4(3): 433−445 doi: 10.1109/TCCN.2018.2835460
[8]	Hu Shisheng, Pei Yiyang, Liang P P, et al. Deep neural network for robust modulation classification under uncertain noise conditions[J]. IEEE Transactions on Vehicular Technology, 2020, 69(1): 564−577 doi: 10.1109/TVT.2019.2951594
[9]	Xu Jialang, Luo Chunbo, Parr G, et al. A spatiotemporal multi-channel learning framework for automatic modulation recognition[J]. IEEE Wireless Communications Letters, 2020, 9(10): 1629−1632 doi: 10.1109/LWC.2020.2999453
[10]	Huynh-The T, Hua C H, Pham Q V, et al. MCNet: An efficient CNN architecture for robust automatic modulation classification[J]. IEEE Communications Letters, 2020, 24(4): 811−815 doi: 10.1109/LCOMM.2020.2968030
[11]	Zhang Fuxin, Luo Chunbo, Xu Jialang, et al. An efficient deep learning model for automatic modulation recognition based on parameter estimation and transformation[J]. IEEE Communications Letters, 2021, 25(10): 3287−3290 doi: 10.1109/LCOMM.2021.3102656
[12]	Shi Fengyuan, Hu Zeming, Yue Chunsheng, et al. Combining neural networks for modulation recognition[J/OL]. Digital Signal Processing, 2022[2023-02-02]. https://www.sciencedirect.com/science/article/pii/S105 1200421003031
[13]	Szegedy C, Zaremba W, Sutskever I, et al. Intriguing properties of neural networks[J]. arXiv preprint, arXiv: 1312.6199, 2013
[14]	Goodfellow I J, Shlens J, Szegedy C. Explaining and harnessing adversarial examples[J]. arXiv preprint, arXiv: 1412.6572, 2015
[15]	Kim B, Sagduyu Y E, Davaslioglu K, et al. Channel-aware adversarial attacks against deep learning-based wireless signal classifiers[J]. IEEE Transactions on Wireless Communications, 2022, 21(6): 3868−3880 doi: 10.1109/TWC.2021.3124855
[16]	Sadeghi M, Larsson E G. Adversarial attacks on deep-learning based radio signal classification[J]. IEEE Wireless Communications Letters, 2019, 8(1): 213−216 doi: 10.1109/LWC.2018.2867459
[17]	Tu Ya, Lin Yun, Wang Jin, et al. Semi-supervised learning with generative adversarial networks on digital signal modulation classification[J]. Computers, Materials & Continua, 2018, 55(2): 243−254
[18]	Zhao Haojun, Lin Yun, Gao Song, et al. Evaluating and improving adversarial attacks on DNN-based modulation recognition[C/OL]//Proc of the 63rd IEEE Global Communications Conf. Piscataway, NJ: IEEE, 2020[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/9322088/
[19]	Flowers B, Buehrer R M, Headley W C. Evaluating adversarial evasion attacks in the context of wireless communications[J]. IEEE Transactions on Information Forensics and Security, 2020, 15: 1102−1113 doi: 10.1109/TIFS.2019.2934069
[20]	Lin Yun, Zhao Haojun, Ma Xuefei, et al. Adversarial attacks in modulation recognition with convolutional neural networks[J]. IEEE Transactions on Reliability, 2021, 70(1): 389−401 doi: 10.1109/TR.2020.3032744
[21]	Tu Ya, Lin Yun, Zha Haoran, et al. Large-scale real-world radio signal recognition with deep learning[J]. Chinese Journal of Aeronautics, 2022, 35(9): 35−48 doi: 10.1016/j.cja.2021.08.016
[22]	Bao Zhida, Lin Yun, Zhang Sicheng, et al. Threat of adversarial attacks on DL-based IoT device identification[J]. IEEE Internet of Things Journal, 2022, 9(11): 9012−9024 doi: 10.1109/JIOT.2021.3120197
[23]	Zhang Sicheng, Lin Yun, Bao Zhida, et al. A lightweight modulation classification network resisting white box gradient attacks[J/OL]. Security and Communication Networks, 2021[2023-02-02]. https://onlinelibrar y.wiley.com/doi/abs/10.1155/2021/8921485
[24]	Hou Changbo, Liu Guowei, Tian Qiao, et al. Multisignal modulation classification using sliding window detection and complex convolutional network in frequency domain[J]. IEEE Internet of Things Journal, 2022, 9(19): 19438−19449 doi: 10.1109/JIOT.2022.3167107
[25]	Bahramali A, Nasr M, Houmansadr A, et al. Robust adversarial attacks against DNN-based wireless communication systems[C]//Proc of the 28th ACM SIGSAC Conf on Computer and Communications Security(CCS’21). New York: ACM, 2021: 126−140
[26]	Kokalj-Filipovic S, Miller R, Chang N, et al. Mitigation of adversarial examples in RF deep classifiers utilizing autoencoder pre-training[C/OL]//Proc of the 2019 Int Conf on Military Communications and Information Systems. Piscataway, NJ: IEEE, 2019[2023-02-02]. https://ieee xplore.ieee.org/abstract/document/8842663/
[27]	Kokalj-Filipovic S, Miller R, Vanhoy G. Adversarial examples in RF deep learning: detection and physical robustness[C/OL]//Proc of the 2019 IEEE Global Conf on Signal and Information Processing. Piscataway, NJ: IEEE, 2019[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/8969138/
[28]	Adesina D, Hsieh C C, Sagduyu Y E, et al. Adversarial machine learning in wireless communications using RF data: A review[J]. IEEE Communications Surveys & Tutorials, 2022, 25(1): 77−100
[29]	Flowers B, Buehrer R M, Headley W C. Communications aware adversarial residual networks for over the Air evasion attacks[C]//Proc of the 2019 IEEE Military Communications Conf. Piscataway, NJ: IEEE, 2019: 133−140
[30]	Huynh-The T, Pham Q V, Nguyen T V, et al. Automatic modulation classification: a deep architecture survey[J]. IEEE Access, 2021, 9: 142950−142971 doi: 10.1109/ACCESS.2021.3120419
[31]	O’Shea T, Hoydis J. An introduction to deep learning for the physical layer[J]. IEEE Transactions on Cognitive Communications and Networking, 2017, 3(4): 563−575 doi: 10.1109/TCCN.2017.2758370
[32]	Erpek T, O’Shea T J, Sagduyu Y E, et al. Deep learning for wireless communications[J]. Development and Analysis of Deep Learning Architectures, 2020, 867: 223−266
[33]	Peng Shengliang, Sun Shujun, Yao Y D. A survey of modulation classification using deep learning: signal representation and data preprocessing[J]. IEEE Transactions on Neural Networks and Learning Systems, 2022, 33(12): 7020−7038 doi: 10.1109/TNNLS.2021.3085433
[34]	Zhou Ruolin, Liu Fugang, Gravelle C W. Deep learning for modulation recognition: A survey with a demonstration[J]. IEEE Access, 2020, 8: 67366−67376 doi: 10.1109/ACCESS.2020.2986330
[35]	Kingma D P, Ba J. Adam: A method for stochastic optimization[J]. arXiv preprint, arXiv: 1412.6980, 2014
[36]	O’Shea T J, Roy T, Clancy T C. Over-the-air deep learning based radio signal classification[J]. IEEE Journal of Selected Topics in Signal Processing, 2018, 12(1): 168−179 doi: 10.1109/JSTSP.2018.2797022
[37]	Blossom E. GNU Radio: Tools for exploring the radio frequency spectrum[J/OL]. Linux Journal, 2004[2023-02-02]. https://dl.acm.org/doi/fullHtml/10.5555/993247.993251
[38]	Tekbiyik K, Ekti A R, Gorcin A, et al. Robust and fast automatic modulation classification with CNN under multipath fading channels[C/OL]//Proc of the 91st IEEE Vehicular Technology Conf. Piscataway, NJ: IEEE, 2020[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/9128408/
[39]	Mendis G J, Wei-Kocsis J, Madanayake A. Deep learning based radio-signal identification with hardware design[J]. IEEE Transactions on Aerospace and Electronic Systems, 2019, 55(5): 2516−2531 doi: 10.1109/TAES.2019.2891155
[40]	Lee J, Kim B, Kim J, et al. Deep neural network-based blind modulation classification for fading channels[C]//Proc of the 8th Int Conf on Information and Communication Technology Convergence. Piscataway, NJ: IEEE, 2017: 551−554
[41]	Liu Xiaoyu, Yang Diyu, Gamal A E. Deep neural network architectures for modulation classification[C]//Proc of the 51st Asilomar Conf on Signals, Systems, and Computers. Piscataway, NJ: IEEE, 2017: 915−919
[42]	Mendis G J, Wei Jin, Madanayake A. Deep learning-based automated modulation classification for cognitive radio[C/OL]//Proc of the 2016 IEEE Int Conf on Communication Systems. Piscataway, NJ: IEEE, 2016[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/7833571/
[43]	Ali A, Yangyu F. k-sparse autoencoder-based automatic modulation classification with low complexity[J]. IEEE Communications Letters, 2017, 21(10): 2162−2165 doi: 10.1109/LCOMM.2017.2717821
[44]	Dai Ao, Zhang Haijian, Sun Hong. Automatic modulation classification using stacked sparse auto-encoders[C]//Proc of the 2016 IEEE Int Conf on Signal Processing. Piscataway, NJ: IEEE, 2016: 248−252
[45]	Xie Wenwu, Hu Sheng, Yu Chao, et al. Deep learning in digital modulation recognition using high order cumulants[J]. IEEE Access, 2019, 7: 63760−63766 doi: 10.1109/ACCESS.2019.2916833
[46]	Shi Wenzhe, Liu Dejun, Cheng Xing, et al. Particle swarm optimization-based deep neural network for digital modulation recognition[J]. IEEE Access, 2019, 7: 104591−104600 doi: 10.1109/ACCESS.2019.2932266
[47]	Yashashwi K, Sethi A, Chaporkar P. A learnable distortion correction module for modulation recognition[J]. IEEE Wireless Communications Letters, 2019, 8(1): 77−80 doi: 10.1109/LWC.2018.2855749
[48]	Zeng Yuan, Zhang Meng, Han Fei, et al. Spectrum analysis and convolutional neural network for automatic modulation recognition[J]. IEEE Wireless Communications Letters, 2019, 8(3): 929−932 doi: 10.1109/LWC.2019.2900247
[49]	Peng Shengliang, Jiang Hanyu, Wang Huaxia, et al. Modulation classification based on signal constellation diagrams and deep learning[J]. IEEE Transactions on Neural Networks and Learning Systems, 2019, 30(3): 718−727 doi: 10.1109/TNNLS.2018.2850703
[50]	Zhang Zufan, Wang Chun, Gan Chenquan, et al. Automatic modulation classification using convolutional neural network with features fusion of SPWVD and BJD[J]. IEEE Transactions on Signal and Information Processing over Networks, 2019, 5(3): 469−478 doi: 10.1109/TSIPN.2019.2900201
[51]	Wu Hao, Li Yaxing, Zhou Liang, et al. Convolutional neural network and multi‐feature fusion for automatic modulation classification[J]. Electronics Letters, 2019, 55(16): 895−897 doi: 10.1049/el.2019.1789
[52]	Wang Yu, Liu Miao, Yang Jie, et al. Data-driven deep learning for automatic modulation recognition in cognitive radios[J]. IEEE Transactions on Vehicular Technology, 2019, 68(4): 4074−4077 doi: 10.1109/TVT.2019.2900460
[53]	Wang Danshi, Zhang Min, Li Ze, et al. Modulation format recognition and OSNR estimation using CNN-based deep learning[J]. IEEE Photonics Technology Letters, 2017, 29(19): 1667−1670 doi: 10.1109/LPT.2017.2742553
[54]	Lee J H, Kim K Y, Shin Y. Feature image-based automatic modulation classification method using CNN algorithm[C/OL]//Proc of the 2019 Int Conf on Artificial Intelligence in Information and Communication. Piscataway, NJ: IEEE, 2019[2023-02-02]. https://ieeexplore.iee e.org/abstract/document/8669002/
[55]	Chen Zhuangzhi, Cui Hui, Xiang Jingyang, et al. SigNet: A novel deep learning framework for radio signal classification[J]. IEEE Transactions on Cognitive Communications and Networking, 2021, 8(2): 529−541
[56]	Hermawan A P, Ginanjar R R, Kim D S, et al. CNN-based automatic modulation classification for beyond 5G communications[J]. IEEE Communications Letters, 2020, 24(5): 1038−1041 doi: 10.1109/LCOMM.2020.2970922
[57]	Ke Ziqi, Vikalo H. Real-time radio technology and modulation classification via an LSTM auto-encoder[J]. IEEE Transactions on Wireless Communications, 2022, 21(1): 370−382 doi: 10.1109/TWC.2021.3095855
[58]	Chang Shuo, Huang Sai, Zhang Ruiyun, et al. Multitask-learning-based deep neural network for automatic modulation classification[J]. IEEE Internet of Things Journal, 2022, 9(3): 2192−2206 doi: 10.1109/JIOT.2021.3091523
[59]	Ghasemzadeh P, Banerjee S, Hempel M, et al. A novel deep learning and polar transformation framework for an adaptive automatic modulation classification[J]. IEEE Transactions on Vehicular Technology, 2020, 69(11): 13243−13258 doi: 10.1109/TVT.2020.3022394
[60]	Akhtar N, Mian A. Threat of adversarial attacks on deep learning in computer vision: A survey[J]. IEEE Access, 2018, 6: 14410−14430 doi: 10.1109/ACCESS.2018.2807385
[61]	Cao Yangjie, Jia Lili, Chen Yongxia, et al. Recent advances of generative adversarial networks in computer vision[J]. IEEE Access, 2019, 7: 14985−15006 doi: 10.1109/ACCESS.2018.2886814
[62]	Akhtar N, Mian A, Kardan N, et al. Advances in adversarial attacks and defenses in computer vision: A survey[J]. IEEE Access, 2021, 9: 155161−155196 doi: 10.1109/ACCESS.2021.3127960
[63]	Zou Zhengxia, Lei Sen, Shi Tianyang, et al. Deep adversarial decomposition: A unified framework for separating superimposed images[C]//Proc of the 2020 IEEE/CVF Conf on Computer Vision and Pattern Recognition. Piscataway, NJ: IEEE, 2020: 12803−12813
[64]	Sarafianos N, Xu Xiang, Kakadiaris I. Adversarial representation learning for text-to-image matching[C]//Proc of the 2019 IEEE/CVF Int Conf on Computer Vision. Piscataway, NJ: IEEE, 2019: 5814−5824
[65]	Wang Hao, Gong Dihong, Li Zhifeng, et al. Decorrelated adversarial learning for age-invariant face recognition[C]//Proc of the 2019 IEEE/CVF Conf on Computer Vision and Pattern Recognition. Piscataway, NJ: IEEE, 2019: 3522−3531
[66]	Zhong Yaoyao, Deng Weihong. Adversarial learning with margin-based triplet embedding regularization[C]//Proc of the 2019 IEEE/CVF Int Conf on Computer Vision. Piscataway, NJ: IEEE, 2019: 6548−6557
[67]	Madry A, Makelov A, Schmidt L, et al. Towards deep learning models resistant to adversarial attacks[J]. arXiv preprint, arXiv: 1706.06083, 2017
[68]	Bai Tao, Luo Jinqi, Zhao Jun, et al. Recent advances in adversarial training for adversarial robustness[C]//Proc of the 21st Int Joint Conf on Artificial Intelligence. Piscataway, NJ: IEEE, 2021: 4312−4321
[69]	Tramèr F, Kurakin A, Papernot N, et al. Ensemble adversarial training: attacks and defenses[J]. arXiv preprint, arXiv: 1705.07204, 2017
[70]	Carlini N, Wagner D. Audio adversarial examples: Targeted attacks on speech-to-text[C/OL]//Proc of the 2018 IEEE Security and Privacy Workshops. Piscataway, NJ: IEEE, 2018[2023-02-02]. https://ieeexplor e.ieee.org/abstract/document/8424625/
[71]	Hannun A, Case C, Casper J, et al. Deep speech: Scaling up end-to-end speech recognition[J]. arXiv preprint, arXiv: 1412.5567, 2014
[72]	郑海斌,陈晋音,章燕. 面向自然语言处理的对抗攻防与鲁棒性分析综述[J]. 计算机研究与发展,2021,58(8):1727−1750 doi: 10.7544/issn1000-1239.2021.20210304 Zheng Haibin, Chen Jinyin, Zhang Yan. Survey of adversarial attack, defense and robustness analysis for natural language processing[J]. Journal of Computer Research and Development, 2021, 58(8): 1727−1750(in Chinese) doi: 10.7544/issn1000-1239.2021.20210304
[73]	Zhang W E, Sheng Q Z, Alhazmi A, et al. Adversarial attacks on deep-learning models in natural language processing: A survey[J]. ACM Transactions on Intelligent Systems and Technology, 2020, 11(3): 1−41
[74]	Zhou Yi, Zheng Xiaoqing, Hsieh C J, et al. Defense against adversarial attacks in NLP via dirichlet neighborhood ensemble[J]. arXiv preprint, arXiv: 2006.11627, 2020
[75]	Araujo V, Carvallo A, Aspillaga C, et al. On adversarial examples for biomedical NLP tasks[J]. arXiv preprint, arXiv: 2004.11157, 2020
[76]	Miao Deshui, Zhang Jiaqi, Xie Wenbo, et al. Simple contrastive representation adversarial learning for NLP tasks[J]. arXiv preprint, arXiv: 2111.13301, 2021
[77]	Han Xudong, Baldwin T, Cohn T. Decoupling adversarial training for fair NLP[C/OL]//Proc of the Joint Conf of the 59th Annual Meeting of the Association for Computational Linguistics and the 11th Int Joint Conf on Natural Language Processing(ACL-IJCNLP 2021). 2021: 471−477[2023-02-02]. https://aclanthology.org/2021.findings-acl.41.pdf
[78]	Kim B, Sagduyu Y E, Davaslioglu K, et al. Over-the-air adversarial attacks on deep learning based modulation classifier over wireless channels[C/OL]//Proc of the 54th Annual Conf on Information Sciences and Systems(CISS). Piscataway, NJ: IEEE, 2020[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/9086166/
[79]	Restuccia F, D’Oro S, Al-Shawabka A, et al. Generalized wireless adversarial deep learning[C]//Proc of the 2nd ACM Workshop on Wireless Security and Machine Learning. New York: ACM, 2020: 49−54
[80]	Bair S, DelVecchio M, Flowers B, et al. On the limitations of targeted adversarial evasion attacks against deep learning enabled modulation recognition[C/OL]//Proc of the ACM Workshop on Wireless Security and Machine Learning. New York: ACM, 2019: 25−30
[81]	Kokalj-Filipovic S, Miller R, Morman J. Targeted adversarial examples against RF deep classifiers[C]//Proc of the ACM Workshop on Wireless Security and Machine Learning. New York: ACM, 2019: 6−11
[82]	Ke Da, Huang Zhitao, Wang Xiang, et al. Application of adversarial examples in communication modulation classification[C]//Proc of the 19th Int Conf on Data Mining Workshops. Piscataway, NJ: IEEE, 2019: 877−882
[83]	Davaslioglu K, Sagduyu Y E. Trojan attacks on wireless signal classification with adversarial machine learning[C/OL]//Proc of the 12th IEEE Int Symp on Dynamic Spectrum Access Networks. Piscataway, NJ: IEEE, 2019[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/8935782/
[84]	Kim B, Sagduyu Y E, Erpek T, et al. Adversarial attacks with multiple antennas against deep learning-based modulation classifiers[C/OL]//Proc of the 2020 IEEE Globecom Workshops. Piscataway, NJ: IEEE, 2020[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/9367473/
[85]	Yi Jinho, Gamal A E. Gradient-based adversarial deep modulation classification with data-driven subsampling[J]. arXiv preprint, arXiv: 2104.06375, 2021
[86]	Usama M, Asim M, Qadir J, et al. Adversarial machine learning attack on modulation classification[C/OL]//Proc of the 2019 UK/ China Emerging Technologies. Piscataway, NJ: IEEE, 2019[2023-02-02]. https://ieeexpl ore.ieee.org/abstract/document/8881843
[87]	Usama M, Qadir J, Al-Fuqaha A. Black-box adversarial ML attack on modulation classification[J]. arXiv preprint, arXiv: 1908.00635, 2019
[88]	Sahay R, Brinton C G, Love D J. Frequency-based automated modulation classification in the presence of adversaries[C/OL]//Proc of the 56th IEEE Int Conf on Communications. Piscataway, NJ: IEEE, 2021[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/9500583/
[89]	Lin Yun, Zhao Haojun, Tu Ya, et al. Threats of adversarial attacks in DNN-based modulation recognition[C]//Proc of the 39th IEEE Conf on Computer Communications. Piscataway, NJ: IEEE, 2020: 2469−2478
[90]	Hameed M Z, Gyorgy A, Gunduz D. Communication without interception: Defense against modulation detection[C/OL]//Proc of the 7th IEEE Global Conf on Signal and Information Processing. Piscataway, NJ: IEEE, 2019[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/8969541/
[91]	Hameed M Z, Gyorgy A, Gunduz D. The best defense is a good offense: Adversarial attacks to avoid modulation detection[J]. IEEE Transactions on Information Forensics and Security, 2021, 16: 1074−1087 doi: 10.1109/TIFS.2020.3025441
[92]	DelVecchio M, Flowers B, Headley W C. Effects of forward error correction on communications aware evasion attacks[C/OL]//Proc of the 31st Annual Int Symp on Personal, Indoor and Mobile Radio Communications. Piscataway, NJ: IEEE, 2020[2023-02-02]. https://ieeexplore.ieee.org/abst ract/document/9217343/
[93]	DelVecchio M, Arndorfer V, Headley W C. Investigating a spectral deception loss metric for training machine learning-based evasion attacks[C]//Proc of the 2nd ACM Workshop on Wireless Security and Machine Learning. New York: ACM, 2020: 43−48
[94]	Hameed M Z. New quality measures for adversarial attacks with applications to secure communication[D]. London: Imperial College London, 2020
[95]	Berian A, Staab K, Ditzler G, et al. Adversarial filters for secure modulation classification[C]//Proc of the 55th Asilomar Conf on Signals, Systems, and Computers. Piscataway, NJ: IEEE, 2021: 361−367
[96]	Sandler R A, Relich P K, Cho C, et al. Real-time over-the-air adversarial perturbations for digital communications using deep neural networks[J]. arXiv preprint, arXiv: 2202.11197, 2022
[97]	Chakraborty A, Alam M, Dey V, et al. Adversarial attacks and defences: A survey[J]. arXiv preprint, arXiv: 1810.00069, 2018
[98]	Yi Shi, Sagduyu Y, Grushin A. How to steal a machine learning classifier with deep learning[C/OL]//Proc of the 2017 IEEE Int Symp on Technologies for Homeland Security. Piscataway, NJ: IEEE, 2017[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/7943475/
[99]	Shi Y, Sagduyu Y E, Davaslioglu K, et al. Active deep learning attacks under strict rate limitations for online API calls[C/OL]//Proc of the 2018 IEEE Int Symp on Technologies for Homeland Security. Piscataway, NJ: IEEE, 2018[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/8574124/
[100]	Pi Lei, Lu Zhuo, Sagduyu Y, et al. Defending active learning against adversarial inputs in automated document classification[C]//Proc of the 4th IEEE Global Conf on Signal and Information Processing. Piscataway, NJ: IEEE, 2016: 257−261
[101]	Shi Yi, Sagduyu Y E, Davaslioglu K, et al. Generative adversarial networks for black-box API attacks with limited training data[C]//Proc of the 2018 IEEE Int Symp on Signal Processing and Information Technology. Piscataway, NJ: IEEE, 2018: 453−458
[102]	Biggio B, Nelson B, Laskov P. Poisoning attacks against support vector machines[J]. arXiv preprint, arXiv: 1206.6389, 2012
[103]	Wang Bolun, Yao Yuanshun, Shan S, et al. Neural cleanse: Identifying and mitigating backdoor attacks in neural networks[C]//Proc of the 40th IEEE Symp on Security and Privacy. Piscataway, NJ: IEEE, 2019: 707−723
[104]	Kurakin A, Goodfellow I J, Bengio S. Adversarial examples in the physical world[J]. arXiv preprint, arXiv: 1607.02533
[105]	Kim B, Sagduyu Y E, Erpek T, et al. Channel effects on surrogate models of adversarial attacks against wireless signal classifiers[C/OL]//Proc of the 57th IEEE Int Conf on Communications. Piscataway, NJ: IEEE, 2021[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/9500374/
[106]	Wyner A D. The wire-tap channel[J]. Bell System Technical Journal, 1975, 54(8): 1355−1387 doi: 10.1002/j.1538-7305.1975.tb02040.x
[107]	Gunduz D, Brown D R, Poor H V. Secret communication with feedback[C/OL]//Proc of the Int Symp on Information Theory and Its Applications. Piscataway, NJ: IEEE, 2008[2023-02-02]. https://ieeexplor e.ieee.org/abstract/document/4895417/
[108]	Papernot N, McDaniel P, Jha S, et al. The limitations of deep learning in adversarial settings[C]//Proc of the 1st IEEE European Symp on Security and Privacy. Piscataway, NJ: IEEE, 2016: 372−387
[109]	Kim B, Sagduyu Y E, Davaslioglu K, et al. How to make 5G communications “Invisible”: Adversarial machine learning for wireless privacy[C]//Proc of the 54th Asilomar Conf on Signals, Systems, and Computers. Piscataway, NJ: IEEE, 2020: 763−767
[110]	Baluja S, Fischer I. Learning to attack: Adversarial transformation networks[C/OL]//Proc of the AAAI Conf on Artificial Intelligence. Palo Alto, CA: AAAI, 2018[2023-02-02]. https://ojs.aaai.org/index.php/AAAI/article/view/11672
[111]	张田,杨奎武,魏江宏. 面向图像数据的对抗样本检测与防御技术综述[J]. 计算机研究与发展,2022,59(6):1315−1328 doi: 10.7544/issn1000-1239.20200777 Zhang Tian, Yang Kuiwu, Wei Jianghong. Survey on detecting and defending adversarial examples for image data[J]. Journal of Computer Research and Development, 2022, 59(6): 1315−1328 (in Chinese) doi: 10.7544/issn1000-1239.20200777
[112]	Dong Yinpeng, Liao Fangzhou, Pang Tianyu, et al. Boosting adversarial attacks with momentum[C]//Proc of the 31st IEEE/CVF Conf on Computer Vision and Pattern Recognition. Piscataway, NJ: IEEE, 2018: 9185−9193
[113]	Moosavi-Dezfooli S M, Fawzi A, Fawzi O, et al. Universal adversarial perturbations[C]//Proc of the 30th IEEE Conf on Computer Vision and Pattern Recognition. Piscataway, NJ: IEEE, 2017: 86−94
[114]	Carlini N, Wagner D. Towards evaluating the robustness of neural networks[C]//Proc of the 38th IEEE Symp on Security and Privacy. Piscataway, NJ: IEEE, 2017: 39−57
[115]	Hinton G, Vinyals O, Dean J. Distilling the knowledge in a neural network[J]. arXiv preprint, arXiv: 1503.02531, 2015
[116]	Papernot N, Faghri F, Carlini N, et al. Technical report on the CleverHans v2.1. 0 adversarial examples library[J]. arXiv preprint, arXiv: 1610.00768, 2016
[117]	Ramjee S, Ju Shengtai, Yang Diyu, et al. Ensemble wrapper subsampling for deep modulation classification[J]. IEEE Transactions on Cognitive Communications and Networking, 2021, 7(4): 1156−1170 doi: 10.1109/TCCN.2021.3108809
[118]	Kurakin A, Goodfellow I J, Bengio S. Adversarial machine learning at scale[C/OL]//Proc of Int Conf on Learning Representations.[2024-05-26]. https://openreview.net/forum?id=BJm4T4Kgx
[119]	Sagduyu Y E, Shi Yi, Erpek T. Adversarial deep learning for over-the-air spectrum poisoning attacks[J]. IEEE Transactions on Mobile Computing, 2021, 20(2): 306−319 doi: 10.1109/TMC.2019.2950398
[120]	Shi Yi, Erpek T, Sagduyu Y E, et al. Spectrum data poisoning with adversarial deep learning[C]//Proc of the 37th IEEE Military Communications Conf. Piscataway, NJ: IEEE, 2018: 407−412
[121]	Bengio Y, Louradour J, Collobert R, et al. Curriculum learning[C]//Proc of the 26th Annual Int Conf on Machine Learning. New York: ACM, 2009: 41−48
[122]	Cohen J, Rosenfeld E, Kolter J Z. Certiﬁed adversarial robustness via randomized smoothing[C]//Proc of the 36th Int Conf on Machine Learning. New York: PMLR. 2019: 1310−1320
[123]	Dodge Y. Kolmogorov–smirnov test[J/OL]. The Concise Encyclopedia of Statistics, 2008[2023-03-08]. http://link.springer.com/10.1007/978-0-387-32 833-1_214
[124]	Al-shawabka A, Restuccia F, D’Oro S, et al. Massive-scale I/Q datasets for WiFi radio fingerprinting[J/OL]. Computer Networks, 2020[2023-02-02]. https://www.sciencedirect.com/science/article/pii/S1389128620312123
[125]	Alkhateeb A. DeepMIMO: A generic deep learning dataset for millimeter wave and massive MIMO applications[J]. arXiv preprint, arXiv: 1902.06435, 2019
[126]	Erden, Fatih, Ezuma, Martins, Anjinappa, Chethan K. , et al. Drone remote controller RF signal dataset [DB/OL]. IEEE DataPort, 2020[2023-03-08]. https://ieee-dataport.org/open-access/drone-remote-controller-rf-signal-dataset
[127]	Ilyas A, Santurkar S, Tsipras D, et al. Adversarial examples are not bugs, they are features[J/OL]. Advances in Neural Information Processing Systems, 2019[2023-03-08]. https://proceedings.neurips.cc/paper/2019/has h/e2c420d928d4bf8ce0ff2ec19b371514-Abstract.html

施引文献

资源附件(0)

图(7) / 表(9)

计量

文章访问数: 41
HTML全文浏览量: 1
PDF下载量: 19
被引次数: 0

1. 相关工作
2. 预备知识
2.1 基本定义及符号说明
2.2 CTRU方案介绍
2.3 NTT与混合基NTT
2.4 Karatsuba算法
2.5 Bernstein快速求逆算法
2.6 实现平台
3. CTRU方案参考实现设计
3.1 多项式乘法
3.1.1 NTT
3.1.2 多项式点乘
3.2 多项式乘法时间复杂度分析
3.3 约减算法
3.4 系数范围分析与延迟约减
3.5 多项式求逆
4. CTRU方案AVX2优化实现设计
4.1 性能分析
4.2 NTT AVX2优化实现
4.2.1 多项式存储格式
4.2.2 层融合和系数置乱
4.2.3 蝴蝶操作
4.2.4 延迟约减
4.3 多项式点乘AVX2实现
4.4 多项式求逆AVX2实现
4.5 多项式序列化与反序列化AVX2实现
4.6 SHA-3哈希函数AVX2优化实现
5. 实验结果与性能比较
5.1 测试环境
5.2 多项式乘法实现性能比较
5.3 多项式求逆实现性能比较
5.4 多项式序列化与反序列化实现性能比较
5.5 CTRU方案整体实现性能比较
5.5.1 CTRU-768 AVX2优化比较
5.5.2 AVX2实现与参考实现比较
5.5.3 AVX2实现与Kyber方案比较
6. 总　　结

1. 相关工作
2. 预备知识
2.1 基本定义及符号说明
2.2 CTRU方案介绍
2.3 NTT与混合基NTT
2.4 Karatsuba算法
2.5 Bernstein快速求逆算法
2.6 实现平台
3. CTRU方案参考实现设计
3.1 多项式乘法
3.1.1 NTT
3.1.2 多项式点乘
3.2 多项式乘法时间复杂度分析
3.3 约减算法
3.4 系数范围分析与延迟约减
3.5 多项式求逆
4. CTRU方案AVX2优化实现设计
4.1 性能分析
4.2 NTT AVX2优化实现
4.2.1 多项式存储格式
4.2.2 层融合和系数置乱
4.2.3 蝴蝶操作
4.2.4 延迟约减
4.3 多项式点乘AVX2实现
4.4 多项式求逆AVX2实现
4.5 多项式序列化与反序列化AVX2实现
4.6 SHA-3哈希函数AVX2优化实现
5. 实验结果与性能比较
5.1 测试环境
5.2 多项式乘法实现性能比较
5.3 多项式求逆实现性能比较
5.4 多项式序列化与反序列化实现性能比较
5.5 CTRU方案整体实现性能比较
5.5.1 CTRU-768 AVX2优化比较
5.5.2 AVX2实现与参考实现比较
5.5.3 AVX2实现与Kyber方案比较
6. 总　　结

参考文献(127)

施引文献

资源附件(0)

面向信号调制识别的对抗攻击与防御综述

计量

出版历程

Survey on Adversarial Attack and Defense for Signal Modulation Recognition

1. 相关工作

2. 预备知识

2.1 基本定义及符号说明

2.2 CTRU方案介绍

2.3 NTT与混合基NTT

2.4 Karatsuba算法

2.5 Bernstein快速求逆算法

2.6 实现平台

3. CTRU方案参考实现设计

3.1 多项式乘法

3.1.1 NTT

3.1.2 多项式点乘

3.2 多项式乘法时间复杂度分析

3.3 约减算法

3.4 系数范围分析与延迟约减

3.5 多项式求逆

4. CTRU方案AVX2优化实现设计

4.1 性能分析

4.2 NTT AVX2优化实现

4.2.1 多项式存储格式

4.2.2 层融合和系数置乱

4.2.3 蝴蝶操作

4.2.4 延迟约减

4.3 多项式点乘AVX2实现

4.4 多项式求逆AVX2实现

4.5 多项式序列化与反序列化AVX2实现

4.6 SHA-3哈希函数AVX2优化实现

5. 实验结果与性能比较

5.1 测试环境

5.2 多项式乘法实现性能比较

5.3 多项式求逆实现性能比较

5.4 多项式序列化与反序列化实现性能比较

5.5 CTRU方案整体实现性能比较

5.5.1 CTRU-768 AVX2优化比较

5.5.2 AVX2实现与参考实现比较

5.5.3 AVX2实现与Kyber方案比较

6. 总 结

计量

出版历程

目录

1. 相关工作

2. 预备知识

2.1 基本定义及符号说明

2.2 CTRU方案介绍

2.3 NTT与混合基NTT

2.4 Karatsuba算法

2.5 Bernstein快速求逆算法

2.6 实现平台

3. CTRU方案参考实现设计

3.1 多项式乘法

3.1.1 NTT

3.1.2 多项式点乘

3.2 多项式乘法时间复杂度分析

3.3 约减算法

3.4 系数范围分析与延迟约减

3.5 多项式求逆

4. CTRU方案AVX2优化实现设计

4.1 性能分析

4.2 NTT AVX2优化实现

4.2.1 多项式存储格式

4.2.2 层融合和系数置乱

4.2.3 蝴蝶操作

4.2.4 延迟约减

4.3 多项式点乘AVX2实现

4.4 多项式求逆AVX2实现

4.5 多项式序列化与反序列化AVX2实现

4.6 SHA-3哈希函数AVX2优化实现

5. 实验结果与性能比较

5.1 测试环境

5.2 多项式乘法实现性能比较

5.3 多项式求逆实现性能比较

5.4 多项式序列化与反序列化实现性能比较

5.5 CTRU方案整体实现性能比较

5.5.1 CTRU-768 AVX2优化比较

5.5.2 AVX2实现与参考实现比较

5.5.3 AVX2实现与Kyber方案比较

6. 总　　结

6. 总　　结