密钥协商协议是密码学基本原语之一,允许通信双方在不安全网络环境下协商出公共密钥,为双方的通信安全提供认证性、机密性和完整性保护[1].为了抵抗临时秘密泄露,陈明[2]提出一种基于隐式认证技术的、具有强安全性和匿名性的两方漫游认证密钥协商方案.进一步,为了克服节点通信能力及计算能力所受的限制,张启坤等人[3]提出一种簇间轻量级非对称群组密钥协商协议,为簇间节点建立安全高效的群组通信信道.然而,由于无线网络信息传播的特性及其固有的脆弱性,使得传统的密钥协商协议越来越容易遭受信息泄露、信息篡改、重放攻击、拒绝服务等多种威胁,因此基于物理层的密钥协商成为新的研究方向.与传统的密钥协商方案相比,物理层方案具有能耗低、计算复杂度低和安全性高等特点,被认为是替代传统密钥协商方案最有前途的“接力棒”[4].在终端直接通信(device-to-device,D2D)方面,Waqas等人[5]利用信任机制和博弈论理论设计了一种基于社会关系选择最佳中继对的算法,提高了D2D通信时密钥生成的机密性.Li等人[6]提出了一种基于主成分分析(principal component analysis,PCA)预处理算法的密钥协商协议,可以在宽带噪声信道中存在信道窃听者的情况下建立高度安全的密钥.
近年来,随着各沿海国对开发海洋资源、维护国家海洋权益的日益重视,水声传感器网络技术的理论研究及应用得到越来越多的关注.水声传感网络主要由自主式水下潜器、遥控无人潜水器、潜艇以及各类潜浮标等构成.与陆地与空中无线通信网络相比,由于水声传感器网络以声波为信息载体、以海水为传播介质,因此其信号传播环境要复杂得多[7].水声信道是一个极为复杂的时变信道,通常会出现多径效应和多普勒效应[8],增加了通信双方数据传输的不确定性,降低了密钥协商的成功率.此外,由于水声信道的开放性和数据传输的高延迟、低速率等特性使得密钥协商过程中信息泄露率增加.因此,如何在不安全的信道上直接进行密钥协商就是一个值得研究的问题,而保密增强技术正好可以很好地解决这一问题.
保密增强是指通信双方从部分保密的密钥串中提取出高度保密的密钥串,最早由Bennett等人[9-10]提出.近几年,Khiabani等人[11]提出一种信息泄露率呈指数级衰减的保密增强方案来加快收敛速度;Tsurumaru 等人[12]提出利用改进的Toeplitz矩阵作为提取器来提高密钥生成效率;此外,Hayashi等人[13]构建了一种只需更短随机种子的提取器来降低在实际密码系统中物理随机数发生器的实现成本.但这些方案的成功率和密钥泄露率在很大程度上依赖随机种子的长度及其随机性,并且对物理随机数发生器的要求也很高.
通过上述分析可见,基于时变水声信道的物理层密钥生成方案需要进一步研究,因此本文设计了一种针对时变水声信道中多径多普勒效应的物理层密钥生成方案.方案包含2个部分:密钥协商和保密增强.与以往思路不同,本文方案通过刻画传输信息在多径多普勒效应下的不确定性,提出一种具有强安全性的密钥协商协议,并利用双线性映射设计出一种新的抗主动攻击的保密增强协议,该协议不依赖随机种子的长度与随机性,因此更适用于高延迟、低速率的水声信道环境.本文的主要贡献包括4个方面:
1)传统的α阶Rényi熵无法准确刻画时变水声信道的不确定性,本文针对时变水声信道的特性,给出了多径多普勒效应下α阶Rényi熵定义,并推导出系统模型中合法节点和敌手关于声源序列的信息熵.
2)提出一种具有强安全性的密钥协商协议,该协议利用Hash函数构造一元高阶多项式完成通信双方的身份认证,实现索引序列和预选密钥在公开信道下的安全传输.
3)利用双线性映射设计出一种不依赖随机种子长度与随机性并能抗主动攻击的保密增强协议.
4)通过信息理论分析,得到本方案密钥泄露率的上界和敌手主动攻击成功率的上界,并通过仿真实验,验证了本方案的健壮性、保密性和正确性.
1 预备知识
本节简单介绍一些贯穿全文的重要概念,详细内容可以参考文献[14-16].设X和Y为离散型随机变量,
和
为有限集合,且
和y分别为X和Y的取值.
定义1.设α为随机数,1<α≤2,则X的α阶Rényi熵定义为
(1)
X的2阶Rényi熵定义为
(2)
定义2.在随机变量Y下,X的条件熵定义为
(3)
定义3.随机变量X和Y的互信息定义为
(4)
定义4[17]. 设一个离散无记忆信道的输入为X,输出为Y,此离散无记忆信道的信道容量为
(5)
定义5[14]. 设
和
为有限集合,
为函数集合,如果对任意不同的
的概率至多为
则
是全域Hash函数.其中,函数F从均匀分布的中随机选取.
定义6[18]. 一个包含2个合法节点和1个敌手的密钥协商系统模型包含2个阶段:1)合法节点获取公共信息;2)合法节点通过公共信道进行信息调和(reconciliation)生成公共密钥串.
2 系统模型
本节我们主要介绍系统模型,包括通信模型、敌手模型和水声信道模型.
2.1 通信模型
假设有一个广播声源信号的水面基站(surface station)S,水下有2个合法节点UA,UB和一个敌手Eve.节点UA和UB接收水面基站S信息的误码率比Eve高,并且在双方通信会被Eve窃听的情况下,节点UA和UB要从水面基站S接收到的信息中提取出高度保密的密钥.通信模型如图1所示:
Fig.1 Communication model diagram
图1 通信模型示意图
2.2 敌手模型
对于认证消息的主动攻击,通常存在2种敌手模型:
1)模仿攻击模型.敌手试图构造一个正确的认证消息.
2)替换攻击模型.敌手观察到一个正确的认证消息后试图将其替换为另一个不同的但也是正确的认证消息.
2.3 水声信道模型
由于信号收发端的相对运动以及海洋环境的不稳定性(如海面波浪运动和海中湍流等),因此水声信道是一个复杂的时变信道[19],存在多径效应和多普勒效应,而传统的α阶Rényi熵无法直接描绘出多径多普勒效应下时变水声信道的不确定性.
以水面基站S和节点UA为例,假设S和UA分别为通信的收发方,并且位于海底的平均深度为z(单位为m).在本文中,约定所有速度变量的单位为m/s,所有角度变量的单位为°.
由文献[20]可知,温度、盐度、压力都可以表示为与深度有关的函数.假设海底深度为z处的温度函数为T(z),盐度函数为S(z),压力函数为P(z),则声速函数可表示为
c(z)=c(T(z),S(z),P(z)).
(6)
假设S和UA的主动行进速度分别为vSv和 vAv.运动方向与彼此连线的水平方向的夹角分别为 θSv和 θAv.第
条本征声线(eigenray)的入射角为 θ,那么对于该本征声线,S和UA的相对速度ΔvS可表示为
ΔvS=vSv cos (θ-θSv)-vAv cos (θ-θAv).
(7)
S和UA受海水运动,例如海洋暗流、内波等,会产生不自主的漂移运动(drifting).假设S和UA的漂移速度分别为vSd和 vAd,漂移方向与彼此连线的水平方向的夹角分别为 θSd和 θAd,则对于第条本征声线的相对漂移速度Δvd可表示为
Δvd=vSd cos (θ-θSd)-vAd cos (θ-θAd).
(8)
由于风浪的作用,考虑海面任一点随波浪上下起伏,假设该点起伏的位移在时间上呈现正弦变化的规律,正弦振幅和频率分别记为Aω和fω,其中Aω的单位为m,fω的单位为Hz,ω是该正弦量的角速度,单位为rad/s.把声波沿第条本征声线传播的路径上第 λ-次经海面某点反射的随机相位记为ψ,λ-~u[-π,π],则反射波在垂直方向的速度可表示为vωsin (ψ,λ-+2πfωt),其中vω=2πfωAω.将该速度投影到第条本征声线路径对所有海面反射过程求和,并假设该声线经海面反射的次数为nr,可得到由水面垂直起伏造成的相对速度Δvr为
(9)
假设水面基站S发送的声源信号为s(t),本征声线的数量为
那么UA的接收信号r(t)可表示为
(10)
其中,A为第条路径上综合衰减因子,
为第条路径的多普勒尺度因子,t为当前时刻,单位为ms,τ为第条路径上信号的相位延时,单位为ms.
引理1[21]. 每个离散无记忆信道都有一个非负数C(称为信道容量)与之相联系,其性质为:对于任意给定的ε>0和
<C,总存在码率为的码字和解码算法使得解码误概率小于ε.大于信道容量的码率不可能实现无差错通信.
对于信道容量为C1的主信道和信道容量为C2的窃听信道,如果C1>C2,根据引理1可知,一定存在合适的码率′,C2<′<C1,使得主信道的信息传输没有误差,而窃听信道有误差.如果C1≤C2,根据文献[22]可知,可以通过对窃听信道加入人工噪声的方式,使得C1>C2.因此,本文假定合法节点UA和UB之间的通信传输是没有误差的,但对于敌手Eve的窃听是存在误差的.
3 方案设计
3.1 不确定性建模
假设相对速度Δvd和Δvr可以合成相对速度Δvrd,并且相对速度ΔvS和Δvrd的夹角为θ,根据式(7)~(9)可得式(10)所用到的水面基站S和UA的相对速度Δv为
(11)
相对速度示意图如图2所示:
Fig.2 Relative velocity diagram
图2 相对速度示意图
定义7.假设声源信号为
由于水声环境中的多径效应和多普勒效应,接收信号为r(t),传输时间为T,1<α≤2,则s(t)在多径多普勒效应下的α阶Rényi熵为
(12)
其中,
如果信号为正则取1,如果信号为负则取0.而若想知道接收信号r(t)与发送信号s(t)的误差概率,则需要比较时间[0,T]内,每个时刻的r(t)与s(t)的正负号是否一致的概率,现给出3种可能出现的不同形状的r(t),分别设为r1(t),r2(t),r3(t),取t=t0时刻,当s(t0)>0时,r1(t0)>s(t0),0>r2(t0)>s(t0),r3(t0)<0,函数sr(t)的说明如图3所示:
Fig.3 The explanation of the function sr(t)
图3 函数sr(t)说明图
由图3可知,当r(t)和s(t)同号时,sr(t)=|s(t)|;当r(t)和s(t)异号时,sr(t)=0,则函数sr(t)表示正确的信号波形.
定义8.假设水面基站S和UA分别为信号的发送节点和接收节点,Rd为基站发送的声源信号s(t)相对应的数字信号,且Rd∈GF(2l)(GF(2l)表示阶为2l的有限域,其中l为正整数),数字信号生成1位需要的时间为Δt,1<α≤2,Rd在水面基站S和UA之间多径多普勒效应下的α阶Rényi熵定义为
(13)
其中,
3.2 密钥协商协议
首先,水面基站S通过广播信道发送声源信号.由于时变水声信道特性,合法节点和敌手都会对发送的数据信息产生不同程度的不确定性.合法节点利用Hash函数构造一元高阶多项式进行身份认证和索引序列的协商,并根据索引序列从声源信号中提取出预选密钥.然后,将预选密钥中值为1的位号隐藏在一元高阶多项式中进行传输比对,最终生成具有强安全性的公共密钥串.
假设水面基站S发送的信息为Z,Z∈GF(2N)(GF(2N)表示阶为2N的有限域,其中N为正整数),UA的ID号为IDA,UB的ID号为IDB,且UA和UB知道彼此的ID号,但是Eve不知道.再假设UA和UB接收水面基站S信息的误码率分别为ε1,ε2.Eve接收水面基站S信息的误码率为ε3,且ε1>ε3,ε2>ε3.由定义8可知:
注:所有
均简写为
UA和UB随机生成不同字符串A和B发送给对方,其中:
A=[A1,A2,…,A(1+ε1+ε2)l],
B=[B1,B2,…,B(1+ε1+ε2)l],
并且满足1≤A1<A2<…<A(1+ε1+ε2)l≤N,1≤B1<B2<…<B(1+ε1+ε2)l≤N.令
h1(x)=(x-h(IDA‖A1))(x-h(IDA‖A2))…
(x-h(IDA‖A(1+ε1+ε2)l))(x-h(IDA)),
h2(x)=(x-h(IDB‖B1))(x-h(IDB‖B2))…
(x-h(IDB‖B(1+ε1+ε2)l))(x-h(IDB)),
其中,h1(x)和h2(x)均为一元高阶多项式,x为变量.UA将h1(x)的展开式传送给UB,UB接收到h1(x)后,先进行身份认证,计算h1(IDA)=0是否成立.如果不成立则说明此信息不是UA发送的,因此舍弃;如果成立,则再用自己生成的序列[B1,B2,…,B(1+ε1+ε2)l]和IDA代入h1(x),若h1(h(IDA‖Bj))=0,则保留Bj,否则删除,最终剩下的Bj按照从小到大的顺序排序得到序列WB;同理,UB将h2(x)的展开式传送给UA,UA收到h2(x)后,先计算h2(IDB)=0是否成立,如果不成立则说明此信息不是UB发送的,因此舍弃;如果成立,则再用自己生成的序列[A1,A2,…,A(1+ε1+ε2)l]和IDB代入h2(x),若h2(h(IDB‖Ai))=0,则保留Ai,否则删除,最终剩下的Ai按照从小到大的顺序排序得到序列WA,则WA=WB为协商的索引序列.如果WA的长度小于(1+ε1+ε2)l,则重复上述步骤,并将新生成的相同Ai和Bj分别插入WA和WB中,直到WA的长度≥(1+ε1+ε2)l.
UA和UB根据WA和WB从水面基站S接收的二进制串中分别取得预选密钥MA和MB.假设MA和MB的长度为L位,且L≥(1+ε1+ε2)l.
1)如果UA和UB知道自己丢失的是声源信号的哪些位,则说明他们也知道取到了声源信号的哪些位,那么只要根据生成索引的方法将各自取到位的位置值生成函数传送给对方,让对方代入计算,便可得到相同的密钥串.
2)如果UA和UB不知道自己丢失的是声源信号的哪些位,则说明他们只能够按照自己接收的数据的位来取得MA和MB,那么在这种情况下我们用下面的方法来得到相同的密钥串:
UA将MA中为1的位置值提出,记为MAi,其中MAi∈{1,2,…,L},i=1,2,…,t1.令
将h3(x)传给UB,UB先计算h3(IDA)=0是否成立,如果不成立则说明此信息不是UA发送的,因此舍弃;如果成立则将h(IDA‖MBi)代入,得到UA所取二进制串中所有取值为1的位,其余位则为0.将计算所得出的UA的二进制串与自己的做比对,找出最大相同子集
若
的长度小于l位,则最终
得到的相同子集R为
后加01串,直到补齐l位为止;若的长度≥l位,则
其中LSBl(*)表示取二进制串的前l位.
同理,UA可以得到相同的R作为生成的密钥串.由于索引序列和预选密钥在公开信道下传输过程中,通过Hash函数构造一元高阶多项式使得敌手即使可以得到其值,也无法解出Hash前的身份信息、索引序列和预选密钥,因此该协议具有强安全性.
3.3 保密增强协议
由于本方案假设敌手Eve接收基站信息的误码率低于合法节点,导致密钥协商协议生成的密钥串会有部分信息泄露,因此需要保密增强协议从部分保密的密钥串中提取出高度保密的密钥.
定义9.假设UA和UB都知道一个长度为l位的随机变量R,随机变量V表示Eve知道的关于R的全部信息.设
为l位二进制串所有概率分布集合中的一个子集,m是一个整数,ϑ,σ>0.通过一个不安全、非认证信道的通信进行的
ϑ,σ)协议是一个保密增强协议,具有3个性质:
1)正确性和保密性.假设Eve是一个知道特定值V=v的敌手,其中
如果合法节点UA和UB存在一个二进制串k满足k=kA=kB且
ϑ成立,其中C/是协议中所有的通信内容.在这种情况下我们称保密增强协议是成功的.
2)健壮性.假设
对于任何可能的策略,UA和UB在协议最后都拒绝或者保密增强协议成功的概率至少为1-σ.
协议流程:首先将3.2节的密钥协商协议生成的密钥串分为2个部分,1)用作保密增强;2)作为随机种子.然后,利用随机种子生成一个循环加法群和对应的循环乘法群,并利用双线性映射和全域Hash函数对用于保密增强的串进行点乘、倍乘以及配对操作,最终完成节点的身份认证和密钥串的保密增强.图4描绘了本方案中保密增强协议的流程图.
Fig.4 The flow chart of the privacy amplification protocol
图4 保密增强协议流程图
设ν∈
,l/ν∈将R分为
位的R1和
位的R2,其中R1为保密增强的串,R2为随机种子.G1为由R2生成的循环加法群,阶为素数p,GT为具有同样阶p的循环乘法群,
为一个双线性映射.定义3个安全的全域Hash函数集合
其中m*,m1,m2均为正整数,
表示长度为m2位、阶为p的整数集合.基站公开系统参数
对于节点U来说,首先生成一个随机变量xU∈
,其中m3为正整数,表示长度为m3位、阶为p的整数集合,然后计算其私钥SU=xUF2(R1)QU,其中QU=F1(IDU),公钥PKU=(PU,KU),其中PU=xUR2,KU=xUF2(R1)R2.随后,节点UA和UB执行的操作为:
1)UA随机选取a∈
计算TA=aR2,并将(TA,PA,KA)发送给UB.
2)UB随机选取b∈计算TB=bR2,并将(TB,PB,KB)发送给UA.
3)UA进行UB的身份认证,检查等式
(14)
是否成立.如果不成立,说明此消息不是由UB发送的;否则就计算:
(15)
4)UB进行UA的身份认证,检查等式
(16)
是否成立.如果不成立,说明此消息不是由UA发送的;否则就计算:
(17)
5)UA和UB最终得到保密增强后的密钥是:
(18)
4 分析与实验
4.1 正确性证明
式(14)~(17)正确性证明:
证明.
证毕.
式(18)的正确性证明:
证明.
证毕.
4.2 安全性证明
定理1.在3.2节取密钥串的过程中,设随机变量ξ>0,则UA和UB获得最大相同子集的长度≥l位的概率为
其中Len(*)表示*的长度,
证明.由于UA和UB的误码率分别为ε1和ε2,那么UA和UB可以接收到正确声源信号的概率分别为1-ε1和1-ε2.又由于误码率是均匀分布的,因此UA和UB获得相同位的概率为
其中MA和MB分别表示UA和UB获得的预选密钥,那么
而L≥(1+ε1+ε2)l,因此可得:
(19)
(20)
令
且ξ是一个很小的数,则:
(21)
证毕.
定理2.假设Eve可以正确得到R为事件E1,则:
证明.由于UA和UB所有传输的数据都是用Hash函数加密的,所以在Eve拥有很强计算能力时,最多只能得到Hash映射后的数值,而无法知道其真正的数值,因此Eve所知道的关于R的唯一信息是R的长度,又因为Eve的误码率为ε3,所以Eve能从水面基站S得到的确定信息为(1-ε3)N位.当
时,Eve最好的情况是R所有的信息都包含在Eve所得到的确定信息中,最坏情况是R所有的信息都不包含在Eve所得到的确定信息中,因此Eve得到正确信息R的概率为
(22)
当
时,Eve也存在上述最好和最坏的情况,因此得到正确信息R的概率为
(23)
最后,根据式(21)可得:
(24)
证毕.
定理3.设随机变量R∈GF(2l)表示密钥协商的密钥串,V表示Eve对R所知道的信息,且
可以得出:
证明.由于R和Z同分布,根据定义8可知:
(25)
因此,由式(3)和式(24)可得:
(26)
证毕.
引理2[9]. 设X和Y为离散型随机变量,和为有限集合,且
随机选择一个函数
其中
为函数集合,再设Y=F(X),则:
(27)
定理4. 假设Eve知道关于R的信息为V,v1和v2表示Eve对R1和R2分别所知道的信息量,假设事件E2表示Eve验证成功,则:
其中,
证明.
由于R1和R2相互独立,可得:
根据式(27),可得:
(28)
根据定义8,可得:
证毕.
定理5.假设Eve知道关于R的信息为V,v1和v2表示Eve对R1和R2分别所知道的信息量,则在模仿攻击时,
在替换攻击时,
,
其中,
证明.Eve作为一个主动攻击敌手,试图冒充UA与UB生成密钥.
1)当Eve进行模仿攻击时,首先生成随机变量xz∈和z∈
如果要使攻击成功,则要求Eve在通过UB验证的前提下,还需要知道F2(R1)F1(IDA)和F1(IDB).由式(24)可得:
F1(IDB)|F1,F2,V).
由于F2(R1),F1(IDA),F1(IDB)彼此相互独立,并且
中已包含
因此
由式(2)和式(27)可得:
以及
(30)
根据式(30)可得:
(31)
根据定义8可得:
(32)
再根据式(27)可得:
(33)
因此,
(34)
2)当Eve进行替换攻击时,首先生成随机变量xZ∈和z∈且xZ≠xA,z≠a,则由模仿攻击可得:
(35)
根据定义8和引理2可得:
(36)
证毕.
定理6.设ν∈,l/ν∈,s为正整数,将R分为位的R1和位的R2,则保密增强协议
ϑ,σ)中σ和ϑ分别满足:
ϑ
证明.由定义9可知,假设对于任何可能的策略,UA和UB在协议最后都拒绝或者保密增强成功的概率至少为1-σ.令
并且式(34)和式(36)所求的是Eve攻击成功的概率,因此可得:
(37)
根据式(33)可得:
ϑ
(38)
证毕.
4.3 实 验
实验所采用的工具为MATLAB R2014b,参数的默认值如表1所示:
Table 1 Default Values of Parameters
表1 参数的默认值
ParametersValuesN50000 H(Z)S,UA∕b8000 H(Z)S,UB∕b6000λ0.9m2048
图5给出了当
分别为
的值随R长度l的变化情况.从图5中可以看出,
的值随着R长度的增加呈指数级上升,并且其值的上限与有关.从图5中3条曲线的对比可知,随着的增加,可以更快地达到信息熵的上界.
Fig.5 Eve’s varying information entropy about R
图5 Eve关于R信息熵的变化
图6给出了当α∈(1,2]时l的最优取值情况.由图6可知l与α总体上成分段正比关系,在同一分段内l取相同的值.这是因为
与α成反比关系,而由图5可知
与和l均成正比关系.
Fig.6 The relationship between l and α
图6 l与α的关系图
表2给出了当分别为6 000 b,5 000 b,4 000 b时,最终密钥长度m的取值随l的变化情况.从列数据来看,m与l成正比关系,即l越大m的取值越大;从行数据比较,的值越小m的取值也越小.根据表2中数据和系统的密钥长度要求,实验中取m=2 048.
Table 2 The Relationship Between m and l
表2 m和l的关系
l Hα(Z)∕b60005000400050006654421000026921917115000606493386200001077878687250001684137210743000024251976154635000330126902105400004312351427504500054584447348050000599949993999
图7给出了当
时,敌手主动攻击成功率σ的值随l和v的变化情况.从图7中可以看出σ与l以及σ与v均成反比关系,即σ的值随着l和v的增大而减小,其中l和v的取值范围是根据保密增强协议执行过程中全域Hash函数对映射前后数据长度的要求推算得出.根据图中的数据可以得出敌手主动攻击成功率σ的上界为5.468×10-20.
Fig.7 The relationship of σ,l and v
图7 σ与l和v的关系
图8给出了当l/N=0.8时,密钥泄露率ϑ随α和v的取值变化情况.从图8中可以看出当α∈(1,2]时,ϑ与α成反比关系,即α值越大,ϑ值越小.此外,ϑ与v成正比关系,即v的长度越长,ϑ值越大.在图8中v∈(1,1.2)区间,可以看到一个明显的折痕.形成折痕的主要原因是本文假设合法节点从基站接收信息的误码率比窃听节点的误码率更高,在折痕的右边是满足本文假设的情况,而折痕左边是不满足本文假设的情况.根据最终得到的数据,可以看出在满足本文假设的情况下,密钥泄露率ϑ的上界为3.74×10-6.
Fig.8 The relationship of ϑ,α and ν
图8 ϑ与α和ν的关系
5 总 结
多径效应和多普勒效应是影响信息在时变水声信道传输健壮性和安全性的重要因素.本文针对信息在传输过程中因多径多普勒效应而产生的不确定性和时变水声信道下防主动攻击的密钥生成问题,提出了一种新的物理层密钥生成方案.该方案首先刻画针对时变水声信道特性的α阶Rényi熵,提取出该信道下数据传输的不确定性;再通过一种基于Hash函数构造一元高阶多项式的密钥协商协议,以强安全性在公开信道下传输索引序列和预选密钥;然后通过一种基于双线性映射的抗主动攻击保密增强协议,降低密钥的泄露率;最后对方案的健壮性、保密性和正确性进行了详细分析,并通过仿真实验对最终的密钥泄露率和主动攻击成功率进行了量化.实验表明:当N=50 000时,最终的密钥泄露率上界为3.74×10-6,敌手主动攻击成功率的上界为5.468×10-20.未来的工作包括考虑多节点情况下公共密钥的生成问题.
[1]Yang Yatao,Zhang Yaze,Li Zichen,et al.RAKA:New authenticated key agreement protocol based on Ring -LWE [J].Journal of Computer Research and Development,2017,54(10):2187-2192 (in Chinese)(杨亚涛,张亚泽,李子臣,等.RAKA:一种新的基于Ring-LWE的认证密钥协商协议[J].计算机研究与发展,2017,54(10):2187-2192)
[2]Chen Ming.Strongly secure anonymous implicit authentication and key agreement for roaming service [J].Journal of Computer Research and Development,2017,54(12):2772-2784 (in Chinese)(陈明.强安全的匿名隐式漫游认证与密钥协商方案[J].计算机研究与发展,2017,54(12):2772-2784)
[3]Zhang Qikun,Gan Yong,Wang Ruifang,et al.Inter-cluster asymmetric group key agreement [J].Journal of Computer Research and Development,2018,55(12):2651-2663 (in Chinese)(张启坤,甘勇,王锐芳,等.簇间非对称群组密钥协商协议[J].计算机研究与发展,2018,55(12):2651-2663)
[4]Chen Dajiang.Research on physical layer security protocol in wireless network [D].Chengdu:University of Electronic Science and Technology of China,2014 (in Chinese)(陈大江.无线网络物理层安全协议研究[D].成都:电子科技大学,2014)
[5]Waqas M,Ahmed M,Li Yong.et al.Social-aware secret key generation for secure device-to-device communication via trusted and non-trusted relays [J].IEEE Transactions on Wireless Communications,2018,17(6):3918-3930
[6]Li Guyue,Hu Aiqun,Zhang Junqing,et al.High-agreement uncorrelated secret key generation based on principal component analysis pre-processing [J].IEEE Transactions on Communications,2018,66(7):3022-3034
[7]Sun Dajun,Zheng Cuie,Cui Hongyu,et al.Developing status and some cutting-edge issues of underwater sensor network localization technology [J].Scientia Sinica Informationis,2018,48(9):1121-1136 (in Chinese)(孙大军,郑翠娥,崔宏宇,等.水下传感器网络定位技术发展现状及若干前沿问题[J].中国科学:信息科学,2018,48(9):1121-1136)
[8]Wang Dezhao,Shang Erchang.Underwater Acoustics[M].Beijing:Science Press,2013 (in Chinese)(汪德昭,尚尔昌.水声学[M].北京:科学出版社,2013)
[9]Bennett G H,Brassard G,Crepeau C,et al.Generalized privacy amplification [J].IEEE Transactions on Information Theory,1995,41(6):1915-1923
[10]Khiabani Y S,Wei Shuangqing.A joint Shannon cipher and privacy amplification approach to attaining exponentially decaying information leakage[J].Information Sciences,2016,357(3):6-22
[11]Khiabani Y S,Wei Shuangqing.Exponential secrecy against unbounded adversary using joint encryption and privacy amplification[C]//Proc of the 1st IEEE Conf on Communications and Network Security.Piscataway,NJ:IEEE,2013:198-206
[12]Tsurumaru T,Hayashi M.Dual universality of hash functions and its applications to quantum cryptography [J].IEEE Transactions on Information Theory,2013,59(7):4700-4717
[13]Hayashi M,Tsurumaru T.More efficient privacy amplifi-cation with less random seeds via dual universal hash function [J].IEEE Transactions on Information Theory,2016,62(4):2213-2232
[14]Maurer U,Wolf S.Secret-key agreement over unauthenti-cated public channels part Ⅰ:Definitions and a completeness result [J].IEEE Transactions on Information Theory,2003,49(4):822-831
[15]Maurer U,Wolf S.Secret-key agreement over unauthenti-cated public channels part Ⅱ:The simulatability condition [J].IEEE Transactions on Information Theory,2003,49(4):832-838
[16]Maurer U,Wolf S.Secret-key agreement over unauthenti-cated public channels part Ⅲ:Privacy amplification [J].IEEE Transactions on Information Theory,2003,49(4):839-850
[17]Csiszar I,Narayan P.Secrecy generation for multiaccess channel models[J].IEEE Transactions on Information Theory,2013,59(1):17-31
[18]Vogt H,Awan H.Secret-key generation:Full-duplex versus half-duplex probing[J].IEEE Transactions on Communi-cations,2019,67(1):639-652
[19]Hun Junying,Sheng Xueli.Underwater Acoustics Channel [M].Beijing:National Defense Industry Press,2007 (in Chinese)(惠俊英,生雪莉.水下声信道[M].北京:国防工业出版社,2007)
[20]Jensen F B,Kuperman W A,Porter M B,et al.Computa-tional Ocean Acoustics [M].Berlin:Springer,2011
[21]Wu Zhanji.Modern Channel Coding and Modulation:Theory and Application [M].Beijing:Posts &Telecom Press,2008 (in Chinese)(吴湛击.现代纠错编码与调制理论及应用[M].北京:人民邮电出版社,2008)
[22]Goel S,Negi R.Guaranteeing secrecy using artificial noise [J].IEEE Transactions on Information Theory,2008,6(7):2180-2189
