基于SCMA的端信息扩展多用户安全通信系统研究

在通信网络的建设中，提高信息传输的可靠性和安全性是研究领域的研究重点[1].近年来，传统的网络防御技术包括防火墙技术、入侵检测技术、数据灾备技术等，虽然在一定程度上提供了安全保障，但由于其静态、被动的特点，无法更好地应对自动化和多样化的网络攻击，在安全防护方面显得越来越“心余力绌”[2].

面对互联网通信中的安全问题，课题团队在2008年提出了端信息跳变[3](end hopping)概念，通过动态地、伪随机地改变通信过程中的端口、IP地址、跳变算法、时隙来迷惑攻击者，实现主动网络防御.随后提出了端信息扩展[4](end spreading)的概念，将数据通过端信息扩展算法进行转换，用多项端信息(IP地址、端口、协议等)组成序列的方式来表示一条数据，各项端信息与所表示的数据本身没有关系，达到隐藏真实信息的目的.进而在此基础上提出端信息跳扩(end hopping and spreading)混合技术[5].利用端信息扩展序列进行同步认证，实现高隐蔽性要求下的高速跳变同步.

目前，针对端信息扩展技术的研究大多关注于利用端信息扩展技术提高系统的隐蔽性和在复杂网络环境中的抗攻击性能，而忽略了各类端信息的资源利用率低、自相关性弱，无法实现多用户并发通信等问题.因此，在万物互联的时代，除了关注如何提高信息的隐蔽性还需要关注隐蔽信息传输的效率问题.本文结合稀疏码多址接入(sparse code multiple access, SCMA)技术来保证用户利用端信息扩展序列进行高隐蔽通信的同时，实现多用户并发通信，降低系统误码率，提高系统传输效率和资源利用率.

1 相关工作

安全性和高效性是通信领域关注的2个重要指标，也是研究领域的研究重点.

在保障信息传输安全性方面，主动网络防御技术成为研究领域的热点.相关研究工作包括移动目标防御(moving target defense, MTD)[6]技术、拟态安全防御(mimic security defense, MSD)[7]技术及端信息跳变技术.其中，端信息跳变技术灵感来源于军事跳频通信对抗技术.文献[8]从攻击面动态转移角度剖析了移动目标防御技术，并将端信息跳变技术归类为移动目标防御网络中的动态转移技术.近年来，端信息跳变技术在研究领域受到广泛的关注，分别与P2P(peer to peer)，SDN(software defined network)，IPv6等相结合得到了应用[9-10].

端信息跳变系统抗攻击性能的优劣与跳变速率密切相关，而跳变速率与所采用的同步方案密切相关[11-12].然而，传统的严格时间同步方案[11]和时间戳同步方案[12]受分组网络异步、乱序和网络时延的影响较大，无法支持高速率跳变.因此，文献[5]创新性地提出利用端信息扩展技术进行同步认证，实现跳变与同步分离，保证信息传输完整性的同时兼顾了高速率的跳变，实验证明，结合端信息扩展技术系统具有更好的网络防御效果.端信息扩展技术的应用提高了信息传输的安全性，保护了用户隐私.但存在着资源利用率低、传输效率低、误码率高等问题.

在提高信息传输效率、突破系统容量方面，作为未来5G多址接入候选方案的非正交多址接入技术(non-orthogonal multiple access, NOMA)成为当下的研究热点.相关研究工作主要包括功率域非正交多址接入技术[13]以及码域非正交多址接入技术[14].其中，码域非正交多址接入技术以稀疏码多址接入为代表，信息在发送端经过编码后，编码比特被映射为复数域的多维码字，不同用户的发送码字在相同时频资源上非正交叠加，服务器端利用码字的稀疏性实现用户身份的识别.

对稀疏码多址技术的研究，Wu等人[15]结合Turbo信道编码设计出采用迭代结构的SCMA接收机；Xiao等人[16]将LDPC信道译码与SCMA译码相结合设计出采用LDPC信道编码的SCMA迭代接收机结构，仿真结果表明采用该结构的迭代译码算法的接收机相比于原始SCMA接收机可以在保证计算复杂度不变的条件下获得较高的迭代增益；Xiao等人[17]提出了2种基于边缘概率的译码简化算法，来降低接收机的复杂度，仿真结果表明简化算法可以在一定程度上以牺牲系统性能来换取译码复杂度.

本文兼顾信息传输的安全性和高效性，将稀疏码多址接入技术的思想与端信息扩展技术相结合，研究了基于SCMA的端信息扩展多用户安全通信系统，保证用户通信内容安全传输的同时，降低系统误码率，提高信息传输效率.对于将端信息扩展序列应用于未来海量接入场景中具有重要意义.

2 基于SCMA的端信息扩展多用户安全通信系统研究

2.1 系统模型

基于SCMA的端信息扩展多用户安全通信系统通过结合稀疏码多址接入技术使并发通信的各用户具有彼此唯一的身份标识，接收端通过标识区分用户信息.从系统的安全性和效率出发，设计基于SCMA的端信息扩展多用户安全通信系统模型，如图1所示.

对于某一用户来说，系统可分为客户端和服务器端，客户端主要负责机密信息的编码与端信息扩展流的生成，包括码本设计模块、码字加载发送模块.码本设计模块确保各用户之间不会产生干扰，服务器端能够通过码本中码字的稀疏性区分用户；码字加载发送模块是指将代表用户信息的码字通过一定的规则加载到端信息上，扩展为多条端信息的组合序列，保证信息传输的机密性.服务器端负责合法端信息扩展序列的识别和机密信息的解码，包括合法端信息扩展序列识别模块和端信息扩展序列解析模块.

用户采用公私钥数字签名验证口令的方式进行身份认证，认证成功后与服务器建立连接并随机选择一个码本进行机密信息调制.本文使用端口号、IP地址等数据包中必备的端信息来加载调制后的信息，实现端信息的复用.由于将用户信息扩展为多条端信息组合序列，相当于利用端信息稀释了原始数据的信息量，并且传输过程中各项端信息是分散的，所以，攻击者难以通过截获的部分数据包分析出原始信息，增加了攻击者的难度.

2.2 关键策略

基于SCMA的端信息扩展多用户安全通信系统关键策略主要包括身份认证策略、码本设计分配策略、码字加载发送策略以及端信息解析策略.身份认证策略是保证系统安全的第一道防线，对接入用户进行身份核验，保证接入用户真实可信；码本设计分配策略关系到系统承载的最大并发用户数，以及资源块最大利用情况；码字加载发送策略保证用户信息传输的安全性，服务器端信息解析策略保证用户信息的正确解析，完成机密信息的完整传输.

2.2.1 身份认证策略

为阻止恶意用户接入系统，本文采用公私钥数字签名验证口令的方式进行接入用户的身份认证.每位用户在接入系统之前将用户公钥Kei提交给服务器端，同时服务器为用户建立时间标志Ti(访问次数计数器).

用户每次访问服务器时首先用私钥进行签名，然后提交给服务器IDi‖D((IDi，Ni)，Kdi).其中，Kdi为用户保密的私钥，Ni表示用户访问第Ni次，IDi是明文形式的标识符.

服务器根据明文标识符IDi找到存储的用户公钥Kei，接着计算提交的签名，E(D((IDi，Ni)，Kdi)，Kei)= width=8,height=11,dpi=110

IDi′，Ni′

当且仅当IDi=IDi′，Ni′=Ti+1时，用户身份才能得到确认.

2.2.2 码本设计分配策略

采用子集分割法进行码本的设计[18]，过程包括：1)构造映射矩阵；2)设计每个资源块星座图，并采用子集分割法为每位用户生成对应的星座图；3)将星座图与映射矩阵联合分析，生成用户星座矩阵；4)为每个用户生成对应码本.

1) 构造映射矩阵

映射矩阵F是反映系统对资源块的利用情况以及每个资源块上所要承载用户情况的.规则的映射矩阵每一行、每一列非0元素的数目是相同的.假设系统的资源块个数为N，非0元素个数为R，那么该系统最大用户承载数为

每个资源块实际承载用户数为

码本中非0元素项越少，服务器端解码越容易，由于映射矩阵F的构建过程与低密度奇偶校验码(low density parity check code, LDPC)中的校验矩阵类似，所以，当确定系统资源块个数、用户数以及各个资源块承载的用户数时，就可以参照LDPC校验矩阵设计一个具有良好特性的映射矩阵.例如，一个6用户、4资源块(J=6，N=4，R=2)的映射矩阵F可以设计为

2) 设计资源块总的星座图

为保证同一资源块上各个用户之间能够获得彼此唯一的标识，就需要使承载在同一资源块上的各个用户拥有彼此不重合的星座点数.设用户每次传输比特数为b，则该用户需要占用的星座点数为

联合式(2)可计算得到每个资源块上用户总的星座点数为

P点星座对应的星座图可以采用现有数字调制技术中的星座图表示，如正交振幅调制(quadrature amplitude modulation, QAM)星座图、相移键控调制(phase-shift keying, PSK)星座图.最后，采用子集分割法为资源块上的每个用户分配不同的星座图.

子集分割方案如图2所示，这里以16QAM星座图分割过程为例.

如图2所示，设16QAM最大振幅为Amax，则相邻星座点的欧氏距离为

进行第1次子集分割后，每个子集由8个信号点组成，一次子集分割后，星座点间的欧氏距离

再次进行子集分割后，形成2个二次子集C1，C2和C3，C4，每个二次子集由4个信号点组成，进行二次分割后，子集星座点之间的欧氏距离d3=2d1=0.942Amax.由此可见，采用子集分割法，每次分割后子集内星座点间的欧氏距离会不断增加.

若以子集星座点间的欧氏距离来表示用户之间的干扰程度，则采用子集分割法可以增大用户星座点间的欧氏距离，即用户之间的干扰会越来越小.

3) 设计星座矩阵

星座矩阵(constellation matrix, CM)是通过每个资源块上承载的用户星座结合映射矩阵F产生的.星座矩阵可以表示为

其中，n代表资源块，对应星座矩阵的行；k代表用户，对应星座矩阵的列.星座矩阵由0和用户星座图Cn,rand(r)组成，其中，用户星座图Cn,rand(r)表示分割子集进行不重复排列的所有可能取值的集合.

将星座矩阵CMn,k中每一列展开成N×M矩阵，构成三维矩阵，n表示资源块，m表示码字，k表示用户.由此得到用户的码本为

其中，CBn,k(mk)表示用户k使用码字mk时，该码字的第n个值.

至此，系统中每个用户获得彼此相互独立的码本，即获得了唯一的用户标识.接下来给出6用户4资源块(J=6，N=4，R=2)系统的用户码本.构造的映射矩阵F如式(4)所示.采用基于12PSK星座图进行子集分割，分割子集如图3所示:

结合式(8)得到系统资源块星座矩阵如图4所示:

最后得到系统中每个用户的码本如附录A所示.

2.2.3 码字加载发送策略

码字加载发送策略，是在用户根据所传信息选择对应码字后，再以扩展的方式将码字加载于端信息上传输到服务器端.类比于SCMA系统并发传输J个用户信息所需的资源块个数，本文通过划分端口号范围来区分各个资源块，为防止端口号与其他通信连接所使用的端口号发生冲突，这里排除常用端口号，即规定本系统所使用的端口号范围是[1 024，65 535].其中，源端口表示码字的实数部分，目的端口表示码字的虚数部分；源IP、目的IP组成的象限阵表示用户码字实部与虚部的正负情况；IDE(IP报头标识符)前k(k=length(bin(N))，N为资源块个数)位表示非0码字所处的行标，后(16-k)位由源端口号与密钥key(密钥为收发双方共享的秘密)进行异或得到，用于服务器端对数据包的过滤，各端信息的使用情况如表1所示:

具体码字加载发送策略步骤为：

1) 将用户输入的明文信息以字符为单位进行分割，通过ASCII编码将明文序列转换为8位二进制序列，不足位最高位补0；

2) 从最低位开始每2 b为一组在对应码本中选择用户码字；

3) 将用户码字按行展开，为了提高系统的通信效率，只需要将码字中的非0元素加载到端信息上发送即可.按照非0元素实数域和负数域的正负情况，从通信双方共享的IP地址象限阵IParray中通过地址选择算法(见式(10))选取L个源/目的IP对

组成长度为L的IP地址序列

其中，L为端信息扩展序列的长度.

4) 根据码字非0元素所处的行标确定信息所要加载的资源块，即确定对应资源块端口号的范围.码字的实数域和虚数域分别用key-real和key-imag表示，并计算对应的端口号：

SrcPort=[key-real×103]%portr+portl,

DstPort=[key-imag×103]%portr+portl,

其中，portl和portr分别代表所处资源块的左右边界，其目的是使生成的源端口号和目的端口号能够落在对应的资源块上，消除系统中各用户之间干扰.步骤3)中IP地址对作离散卷积处理生成L个对应端口号，最后L个端口号与计算得到的端口号进行异或处理得到长度为L的端口号序列:

5) 计算生成IDE报头标识符，前k(k=length(bin(N))，N为资源块个数)位表示非0元素所处的行标，后(16-k)位由源端口号和收发双方共享密钥key异或产生，用于服务器端对数据包的识别；

6) 用户将五元组(SrcIP1，DstIP1，SrcPort1，DstPort1，IDE1),(SrcIP2，DstIP2，SrcPort2，DstPort2，IDE2),…,(SrcIPL，DstIPL，SrcPortL，DstPortL，IDEL)依次封装为数据包；

7) 以用户字符为单位，每封装完成一个字符的数据包，用户将所有的数据包发送至网络，否则重复步骤1)～6).码字加载发送策略算法如算法1所示.

算法1. 码字加载发送策略算法.

输入：用户明文Msg、用户码本codebook、共享密钥Key；

输出：端信息扩展序列；

① CodewordConversion(Msg,codebook,Key)；

② m_bin←f_1(Msg)； /*将明文信息转换为8位二进制*/

④ SrcIP,DstIP←f_2(m_i)； /*根据码字非0元素实数域和复数域的正负情况生成源IP、目的IP地址序列*/

⑤ SrcPort,DstPort←f_3(m_i)； /*根据码字的值生成源端口、目的端口序列*/

⑥ m_enc←f_4(length(bin(N)) concat SrcIP⨁key)； /*生成IDE报头标识符*/

⑦ msg=f_5(SrcIP，DstIP，SrcPort，DstPort，IDE)； /*封装数据包，形成端信息扩展序列*/

2.2.4 端信息解析策略

客户端以端信息扩展的方式将携带不同信息的大量数据包通过socket套接字发送至服务器端，服务器端不断监听捕获网络中的数据包.捕获数据包后，首先用共享密钥与源端口异或，对照IDE后(16-k)位进行无效数据包的过滤，接收有用的数据包，单个数据包判断合法后，判断通过判断的合法数据包是否能够组成端信扩展序列以及判断扩展序列所属用户，具体验证算法：

其中，L为端信息扩展序列的长度，τ为序列的容错率，允许端信息扩展序列中一定数量的端信息未通过验证，即满足数量为L(1-τ)端信息认证通过即为端信息扩展序列认证成功.

接着解析五元组信息，按照端信息加载逆过程解析出用户码字，与所存储的码本进行比对，得到用户所传输的比特信息，最后对应ASCII编码还原用户的明文.具体的端信息扩展序列解析策略步骤为：

1) 服务器端持续监听信道中的数据包，提取数据包源端口并与收发双方共享秘钥Key进行异或，结果记为xor；

2) 判断收到的数据包是否为合法端信息扩展序列，具体的方法是xor与该数据包报头标识符IDE的后(16-k)位进行一致性比较；

3) 取合法端信息扩展序列报头标识符IDE的前k位，确定非0元素的行标，确定该信息所承载的资源块；

4) 取合法端信息扩展序列的源IP、目的IP，确定非0元素实部和虚部的正负情况，与存储的各用户码本对应，完成对用户身份的确认；

5) 取合法端信息扩展序列源端口、目的端口，结合各资源块端口号范围，确定用户发送的具体比特信息；

6) 将每组比特信息按顺序拼接，以字符为单位还原用户明文.端信息解析策略算法如算法2所示.

算法2. 端信息解析策略算法.

输入：端信息扩展流数据包DP，用户码本codebook，共享密钥Key；

输出：用户身份ID及用户明文Msg；

① CodewordResolution(DP,codebook,Key)；

② xor=DP.SrcPort⨁Key；

③ if xor==bin(DP.IDE)[k:16] /*判断数据包是否为合法扩展序列*/

④ for IP，IDE in DP

⑤ ID←f_6(SrcIP,DstIP) & f_7

(IDE[0:k])； /*合法数据包中的源IP、目的IP确定码字实部虚部的正负情况；数据包标识符确定码字行标，二者结合确定用户ID*/

⑥ Msg←f_8(SrcPort,DstPort)； /*合法数据包中的源端口、目的端口确定用户明文*/

3 系统性能分析

基于SCMA的端信息扩展多用户安全通信系统主要关注其能否在保证通信内容的安全传输的前提下提高系统资源的利用率、降低系统误码率、实现多用户并发通信.所以系统的性能分析主要涉及安全性分析和通信服务质量分析.

3.1 安全性分析

1) 抗重放攻击.由于本文采用公私钥数字签名验证口令进行接入用户的身份认证，这种方式中，系统为每个用户设置了时间标志Ti，当且仅当客户端时间属性满足一定条件，即Ni′=Ti+1时，客户端身份才可验证通过并与服务器进行数据传输.这种验证方式避免了直接重放攻击带来的威胁.除了直接重放攻击，攻击者还可能利用客户端发起反向的重放攻击[19]，也就是本来发送给服务器的数据包被截获后反向发送给客户端的情况.面对此类反向重放攻击，规定客户端只在发送信息时开放相应的端口，其他时间关闭端口，所以面对攻击者反向发来的数据包，客户端也不会识别.

2) 抗丢失分析.抗丢失性是指客户端生成的端信息扩展序列即使在传输过程中发生丢失，服务器端仍能利用剩余的端信息扩展序列正确恢复原始消息的能力.假设当前网络环境中有e个分组，丢失其中的k个数据分组，端信息认证的数据分组为m，序列的容错度为τ，则抗丢失能力β为

其中，e,k由当前网络复杂度决定，在e与k一定的情况下，分析β与m和τ有关.

当m一定时，β随着τ的增大而减小.当τ=0时，

因此，β随着m的增大而增大.

因此，当网络环境一定时，增加扩展序列的长度或者减小序列验证的容错率均可增加系统的抗丢失能力.

3.2 通信服务质量分析

本文设计实现的基于SCMA的端信息扩展多用户安全通信系统服务器端能够识别多个用户特征，满足多用户并发通信的需求.其中，码本的设计保证了并发用户具有唯一的身份特征，互相之间不产生干扰；端信息扩展技术保证了用户信息实现高可靠、高安全传输.为进一步提升系统传输效率，采用无连接的UDP协议，由此会带来2个问题：

1) 采用不可靠的UPD协议会导致数据包不是按序到达服务器端；

2) 由于UDP协议是尽最大可能交付，会导致出现数据包丢失的情况.

针对数据包乱序问题，客户端以字符为单位进行数据包的封装，待每个字符的数据包封装发送完毕后等待一定的时间阈值，在进行下一个字符数据包的封装发送，这样避免了字符间数据包乱序的影响.在字符数据包内部，设定端信息扩展序列的长度为L，即L个数据包均表示一组数据信息，所以扩展序列的长度越大，数据包乱序对解码正确性的影响越小；针对数据包丢失问题，由3.1节分析，增加序列的长度或减小序列的容错率可增加系统的抗丢失能力，所以合适的参数设置能够弥补一定程度UDP协议带来的不可靠现象.

4 系统性能测试

本节对基于SCMA的端信息扩展多用户安全通信系统进行实验测试.实验设置最大用户数J=6，资源块个数N=4.分别从系统的抗攻击性能和系统传输性能2方面进行实验.具体测试的系统配置如表2所示.主机A作为端信息扩展的多用户安全通信系统的服务器，主机B作为攻击者，主机C1～C6作为6个请求客户端.

4.1 系统安全性测试

4.1.1 抗攻击测试

对基于SCMA的端信息扩展多用户安全通信系统进行拒绝服务攻击实验.通过对比普通服务器在UDP Flood攻击下信息传输完成所需的时间，验证系统的抗攻击性能.

在本次针对服务器的攻击实验中，假设攻击者已知端信息扩展地址池的范围，因此攻击者所选的IP地址和端口号是在端信息地址池中随机选取.设拒绝服务攻击强度范围是0～50 Mb/s，传输的数据是大小为15 KB的电子文档.如图5所示为不同拒绝服务攻击速率下信息传输完成所需的时间.

由图5可以看出，传统网络中，随着攻击速率增大，信息传输完成所需的时间明显增加；采用端信息扩展模式，随着攻击速率的增加，信息传输完成所需的时间没有明显变化.这是因为本系统的服务器通过监听扫描数据包来解析用户信息，其端口始终处于关闭状态，所以，基于SCMA的端信息扩展多用户安全通信系统可以有效抵御一定程度的拒绝服务攻击.

本文还对拒绝服务攻击的不同攻击类型做了分析比较.测试了基于TCP协议拒绝服务攻击下的系统性能.表3给出了端信息扩展多用户安全通信系统在不同攻击(攻击速率为50 Mb/s，每位用户传输数据大小为20 KB)下完成信息传输所需的时间.

基于SCMA的端信息扩展多用户安全通信系统在不同类型的拒绝服务攻击下均可实现信息的完整传输，系统受拒绝服务攻击的影响不明显.

4.1.2 隐蔽性测试

对于隐蔽性的测试是对通信过程中的数据包进行抓包分析，通过地址选取的随机性证明端信息扩展多用户通信系统具有良好的隐蔽性.

用SnifferV4.7.5抓包工具对系统进行连续1 000次抓包统计，对服务器端配置的10个IP地址(包括源IP和目的IP)使用情况进行统计如图6所示:

从图6可以看出，10个IP地址使用情况基本平均，证明本文设计的模型系统在端信息选取上具有随机性，不易被攻击者扫描分析.因此，基于SCMA的端信息扩展多用户安全通信系统能够实现信息的隐蔽传输，保证信息传输的可靠性.

4.2 系统传输性能测试

为验证基于SCMA的端信息扩展多用户安全通信系统的传输性能，探究了数据包数量、过载率以及不同接入用户数量对系统传输性能的影响.定义比特率为单位时间服务器端成功接收数据包占客户端发送数据包的百分比，用δ表示.设客户端发送的端信息扩展数据包总数为n，服务器端接收数据包数为m.那么，δ=m/n，δ′=1-δ表示信息的损失率.

1) 数据包数量对系统传输性能的影响.设置数据包数量依次为28，29，210，211，212.统计用户1，3，5的平均信息损失率如图7所示.

由于采用了不可靠的UDP协议，且不同时间段内，受网络信道的干扰强度不同，不可避免的出现了丢包现象.从图7可以得出，各用户发送不同数量数据包的信息损失率范围是[0.78%，15.87%].但仍无法确认一定信息的损失对服务器端解码准确率的影响.因此，接下来通过Linux系统中的网络模拟功能模块Netem来模拟网络丢包现象.在上述实验的基础上，设置网络丢包范围是[0%，40%]，记录不同方案对应的解码准确率如图8所示.

图8中，方案1是Gimbi等人[20]提出的将用户信息加载到源端口进行传输，服务器端利用源端口的差值进行解码.由于没有鲁棒性保障机制，数据包丢失在解码时会产生连锁反应.因此，其解码准确率随着丢包率的增加而急剧下降.方案2是将原始信息加载于源IP进行传输，各IP之间相互独立，虽然丢包对服务器端解调不会产生连锁反应，但数据包的丢失会直接导致原始信息丢失，所以方案2解码准确率较方案1略好一些.本方案中，某一原始信息扩展为由不同的数据包表示，各数据包之间相互独立，所以一定范围内数据包的丢失不会对解码产生太大的影响.

2) 过载率对系统传输性能的影响.根据式(3)过载率的计算，实验选取实际用户数为3,4,6三种情况，则对应的过载率为75%,100%,150%.图9是系统用户传输1 000 b信息时，在不同过载条件下测得的系统误比特率对比图，其中横坐标代表端信息扩展序列的长度.

由图9得到，当过载率一定时，系统误比特率随着端信息扩展序列长度的增加而逐渐减小；当端信息扩展序列的长度一定时，系统未达到过载，即λ=75%或者λ=100%，系统的误比特率较低；达到过载后，随着过载率的增加，系统的误比特率有明显的增加.端信息扩展序列长度越大，过载率对系统误比特率的影响越明显.因此，合理选择过载率对提高系统的误比特率，提升系统传输性能有至关重要的作用.

3) 不同接入用户数对系统性能的影响.本文选取了2类码本，一种是文献[21]中为解决相同场景下不同用户的不同业务需求基于度分布理论而设计的非规则码本，另一种是基于本文码本设计方法设计的规则码本.统计在相同的网络环境下(丢包率为5%，端信息扩展序列长度L=8)不同接入用户数的情况下系统的解码准确率，结果如图10所示:

由图10得到，系统的解码准确率会随着接入用户数量的增加而降低，因为接入用户数越多，单位资源块所承受的用户数就越大，彼此之间的竞争越大，解码也因此变得越困难.其中，比较规则码本和非规则码本，由于非规则码本考虑了用户传输信息的急切程度，对应于码本中每一列的非0码字是不一样多的，因此，随着接入用户数的增加，对于优先级比较低的用户来说，其对应非0元素就越少，客户端形成的端信息扩展流就越少，系统丢包率对其影响就越大，表现为非规则码本的解码准确率较规则码本来说就越低.但从图10中可以看到，即使用户数量对服务器端解码准确率存在一定的影响，但在一个可接受的范围内.

5 总结

本文将稀疏编码引入端信息扩展序列的生成过程中，设计实现基于SCMA的端信息扩展多用户安全通信系统，对系统中的关键策略进行分析研究.提出用户码本设计分配策略，保证各用户具有唯一的用户特征，服务器端能够正确区分用户；提出码字加载发送策略，以端信息扩展的方式实现信息安全传输.

最后对系统进行理论分析和实验验证，结果表明：基于SCMA的端信息扩展多用户安全通信系统具有良好的抗攻击性能和较好的传输性能，保证用户信息传输完整性和可靠性的同时，提高了系统资源利用率，降低了系统误比特率.这对于将端信息扩展技术应用于未来大规模接入场景具有重要意义.

[1]Xin Ai, Chen Honglong, Lin Kai, et al. Nowhere to hide: Efficiently identifying probabilistic cloning attacks in large-scale RFID systems[J]. IEEE Transactions on Information Forensics and Security, 2020, 7(4): 714-727.

[2]Fan Linna, Ma Yufeng, Huang He, et al. The research summary of moving target defense technology[J]. Journal of China Academy of Electronics and Information Technology, 2017, 12(2): 209-214 (in Chinese)(樊琳娜, 马宇峰, 黄河, 等. 移动目标防御技术研究综述[J]. 中国电子科学研究院学报, 2017, 12(2): 209-214).

[3]Shi Leyi, Jia Chunfu, Lv Shuwang. Research on hopping for active network confrontation[J]. Journal on Communications, 2008, 29(2): 106-110 (in Chinese)(石乐义, 贾春福, 吕述望. 基于端信息跳变的主动网络防护研究[J]. 通信学报, 2008, 29(2): 106-110).

[4]Wen Xiao. Research on hybrid of hopping and spreading for active cyber defense[D]. Qingdao: China University of Petroleum, 2018 (in Chinese)(温晓. 基于端信息跳扩混合的主动网络防御研究[D]. 青岛: 中国石油大学(华东), 2018).

[5]Hou Bowen, Shi Leyi, Guo Hongbin. et al. File covert transfer strategy based on end hopping and spreading[J]. Journal of Computer Research and Development, 2020, 57(11): 2283-2293 (in Chinese)(侯博文, 石乐义, 郭宏彬, 等. 基于端信息跳扩混合的文件隐蔽传输策略[J]. 计算机研究与发展, 2020, 57(11): 2283-2293).

[6]Jajodia S, Ghost A K, Swarup V, et al. Moving Target Defense: Creating Asymmetric Uncertainty for Cyber Threats[M]. Berlin: Springer, 2011.

[7]Hu Hongchao, Wu Jiangxing, Wang Zhenpeng, et al. Mimic defense: A designed-in cyber security defense framework[J]. IET Information Security, 2017, 12(3): 226-237.

[8]Zhou Yuyang, Cheng Guang, Guo Chunsheng. et al. Survey on attack surface dynamic transfer technology based on moving target defense[J]. Journal of Software, 2018, 29(9): 2799-2820 (in Chinese)(周余阳, 程光, 郭春生, 等. 移动目标防御的攻击面动态转移技术研究综述[J]. 软件学报, 2018, 29(9): 2799-2820).

[9]Wang Yuhang. Research and implementation of an active address jump defense technology based on SDN[D]. Hangzhou: Zhejiang University, 2017 (in Chinese)(王宇航. 一种基于SDN的地址跳变主动防御技术的研究与实现[D]. 杭州: 浙江大学, 2017).

[10]Mei Zhifeng, Wang Zhenxing, Wang Yu, et al. An IPv6 MTD model based on subnet hopping[J]. Computer Applications and Software, 2016, 67(12): 301-304 (in Chinese)(梅志锋, 王振兴, 王禹,等. 一种基于子网跳变的IPv6 MTD模型[J]. 计算机应用与软件, 2016, 67(12): 301-304).

[11]Fan Xiaoshi, Li Chenghai, Wang Hao. Research on port jump technology based on variable time slot and dynamic synchronization[J]. Computer Engineering and Design, 2013, 44(10): 113-117 (in Chinese)(范晓诗, 李成海, 王昊. 基于可变时隙与动态同步的端口跳变技术研究[J]. 计算机工程与设计, 2013, 44(10): 113-117).

[12]Liu Jiang, Zhang Hongqi, Dai Xiangdong, et al. A proactive network defense model based on self adaptive end hopping[J]. Journal of Electronics & Information Technology, 2015, 37(11): 2642-2649 (in Chinese)(刘江, 张红旗, 代向东, 等. 基于端信息自适应跳变的主动网络防御模型[J]. 电子与信息学报, 2015, 37(11): 2642-2649).

[13]Wang Jiangtao, Zhou Mengyuan, Chen Dong. et al. Power allocation algorithm in NOMA-based cognitive radio networks[J]. Journal of Chongqing University of Posts and Telecommunications: Natural Science Edition, 2020, 32(6): 945-953 (in Chinese)(王江涛, 周梦园, 陈东, 等. 非正交多址认知无线电网功率分配算法[J]. 重庆邮电大学学报: 自然科学版, 2020, 32(6): 945-953).

[14]Yang Yifu, Wu Gang, Li Xinran. et al. A survey of non-orthogonal multiple access technology for Beyond-5G[J]. Radio Communication Technology, 2020, 46(1): 26-34 (in Chinese)(杨一夫, 武刚, 李欣然, 等. 面向后5G的非正交多址技术综述[J]. 无线电通信技术, 2020, 46(1): 26-34).

[15]Wu Yiqun, Zhang Shunqing, Chen Yan. Iterative receiver in sparse code multiple access systems[C] //Proc of IEEE Int Conf on Communications(ICC). Piscataway, NJ: IEEE, 2015: 2918-2923.

[16]Xiao Baichen, Xiao Kexin, Zhang Shutian, et al. Iterative detection and decoding for SCMA systems with LDPC codes[C] //Proc of Int Conf on Wireless Communications & Signal Processing(WCSP). Piscataway, NJ: IEEE, 2015: 1-5.

[17]Xiao Baichen, Xiao Kexin, Zhang Shutian, et al. Simplified multiuser detection for SCMA with sum-product algorithm[C] //Proc of Int Conf on Wireless Communications & Signal Processing(WCSP), Piscataway, NJ: IEEE, 2015: 11-15.

[18]Liang Yan, Yu Bei, Tong Kaimeng. Simple codebook design of SCMA in Gaussian channel[J]. Computer Application Research, 2017, 32(9): 190-193 (in Chinese)(梁燕, 余贝, 童开蒙. 高斯信道下SCMA简易码本设计[J]. 计算机应用研究, 2017, 32(9): 190-193).

[19]Liu Meng, Wang Longbai, Dang Jiawu, et al. Replay attack detection using variable-frequency resolution phase and magnitude features[J]. Computer Speech & Language, 2020, 7(6): 66-78.

[20]Gimbi J, Johnson D, Lutz P, et al. A covert channel over transport layer source ports[C] //Proc of Int Conf on Security & Management. New York: ACM, 2012: 56-76

[21]Zhang Shutian, Xiao Baicen, Xiao Kexin, et al. Design and analysis of irregular sparse code multiple access[C] //Proc of Int Conf on Wireless Communications & Signal Processing(WCSP). Piscataway, NJ: IEEE, 2015: 67-70