徐明，陳芳

（1. 上海海事大學(xué)信息工程學(xué)院，上海 201306；2. 同濟大學(xué)電子與信息工程學(xué)院，上海 201804）

1 引言

隨著信息技術(shù)的發(fā)展和海洋環(huán)境的開發(fā)利用，海洋信息通信變得越來越重要。目前，海洋信息在水下主要利用聲波進行通信[1]。由于水聲信道的開放性和海洋環(huán)境的多變性，導(dǎo)致海洋信息通信面臨各種安全和攻擊問題[1-2]，并且，在復(fù)雜多變的海洋環(huán)境下，各種噪聲的干擾會對信息傳輸產(chǎn)生很大的影響[3]。按照發(fā)聲機理可以將海洋環(huán)境噪聲的聲源分為以下4類：海洋動力噪聲、海洋生物噪聲、人為噪聲和海洋熱噪聲[4]。噪聲的不確定性給海洋信息的傳輸帶來了嚴(yán)重干擾。如何在水下噪聲不確定的情況下對傳輸?shù)男畔⑦M行保密通信，保證信息的完整性、保密性與頑健性已經(jīng)成為海洋信息安全技術(shù)面臨的重大挑戰(zhàn)。

針對海洋信息的保密通信問題，本文在保證安全性的前提下，基于二元對稱通信信道中水下噪聲的不可預(yù)測性，引入哥德爾編碼[5]，提出了基于哥德爾編碼的交互式密鑰提取協(xié)議來進行密鑰協(xié)商和認(rèn)證提取。同時，為了提高保密增強[6-7]的存儲效率，將r-循環(huán)Toeplitz矩陣[8-9]應(yīng)用于保密增強中，提出了一個基于r-循環(huán)Toeplitz矩陣的保密增強協(xié)議，使矩陣存儲空間比傳統(tǒng)的Toeplitz矩陣存儲空間大大減小，由此形成了一個基于水下噪聲信道不確定性的保密通信方案，使敵手無法獲得足夠的信息來計算密鑰，保證了方案的安全性和可靠性。

2 相關(guān)知識

2.1 哥德爾編碼

哥德爾編碼是哥德爾在證明哥德爾不完備定理[5]中引入的，基于質(zhì)數(shù)分解原理，將序列與自然數(shù)之間建立起一一對應(yīng)的關(guān)系。給定一個有窮序列則把這種編碼方式稱為哥德爾編碼，y稱為序列所對應(yīng)的哥德爾數(shù)，其中，pi表示從小到大排列的第i個不同的質(zhì)數(shù)。

2.2 保密增強

保密增強最初由Bennett[6]提出，并在文獻(xiàn)[10]中得到進一步推廣。保密增強是指合法的通信雙方A和B共享一個部分保密串S，并且敵手Eve知道關(guān)于S部分信息的情況下，通過全域散列函數(shù)[11-13]，使A和B得到一個幾乎完全保密的密鑰串S'，而敵手Eve所知道的關(guān)于S'的信息量呈指數(shù)級減少。

定義1[14]假設(shè)A和B共享一個Nbit密鑰串S，隨機變量V表示包含Eve所知道的關(guān)于S的所有信息。對于任意的α=2或α=∞，都有子集集合。設(shè)l是任意一個正整數(shù)，ε、δ＞0，則在非認(rèn)證信道上存在一個保密增強協(xié)議滿足以下性質(zhì)。

1) 正確性和保密性。令敵手Eve在被動攻擊只能進行竊聽的情況下，接受特定值V=v滿足A和B在協(xié)議的最后得到一個lbit密鑰串S'使并且有l(wèi)-ε成立，其中，C表示信道上的交換信息。在這種情況下，認(rèn)為保密增強是成功的。

2.3 全域散列函數(shù)

全域散列函數(shù)是實現(xiàn)保密增強的一個重要工具，定義如下[13]。設(shè)函數(shù)其中，g是從服從均勻分布的G中隨機選取的函數(shù)，分別表示集合X和集合Y所含元素的數(shù)量，對的概率不超過即

用于實現(xiàn)保密增強的全域散列函數(shù)有3種，分別是模算術(shù)[15]、有限域乘法[10]和Toeplitz矩陣[15-16]。Toeplitz矩陣由于具有良好的存儲性能，使用最為廣泛。

2.4 Toeplitz矩陣

一般的s×n階的 Toeplitz矩陣，滿足其中，即矩陣上每條自左上至右下的斜線上的元素相同。Toeplitz矩陣的具體表示形式為

r-循環(huán)Toeplitz矩陣可表示為

當(dāng)r= 1時，為循環(huán)Toeplitz矩陣；當(dāng)r= -1時，為斜循環(huán)Toeplitz矩陣；當(dāng)r= 0時，為上三角Toeplitz矩陣[8]。

3 基于哥德爾編碼的交互式密鑰提取協(xié)議

3.1 協(xié)議設(shè)計

基于哥德爾編碼的交互式密鑰提取協(xié)議包含密鑰協(xié)商和認(rèn)證提取兩部分。在有限域 GF(q)中選取q個元素，其中q為素數(shù)。節(jié)點A和節(jié)點B分別提前選取Q1、Q2作為標(biāo)志。其中，Q1、Q2∈GF(q)，，并且Q作為節(jié)點A和節(jié)點B的秘密數(shù)?；诟绲聽柧幋a的交互式密鑰協(xié)商如圖1所示。

下面，詳細(xì)描述圖1中基于哥德爾編碼的交互式密鑰協(xié)商協(xié)議。

首先，節(jié)點A和節(jié)點B在二元對稱信道上分別同時獲得nbit密鑰串并將各自獲得密鑰串中的相鄰兩位進行異或操作，而且后面的相鄰兩位不能與前面相鄰的任一位重疊。將異或后的所有結(jié)果分別組成密鑰序列然后分別計算哥德爾數(shù) GeA和GeB，節(jié)點B將計算好的GeB發(fā)送給節(jié)點A。為了驗證傳過來的GeB是否正確，通過只有節(jié)點A和節(jié)點B所知道的秘密數(shù)Q來計算GA=Q×GeB，GB=Q×GeB，將GA發(fā)送給節(jié)點B，若GA=GB，則向節(jié)點A發(fā)送一個反饋信息“Yes”，如果GeA≠GeB，則發(fā)送密鑰序列ZA，否則停止。節(jié)點B比較zi與若zi≠zi'，則記錄對應(yīng)的下標(biāo)組成一個集合I，并將I發(fā)送給節(jié)點A，這樣節(jié)點A就知道異或結(jié)果不同的位，并且節(jié)點A和節(jié)點B都將異或結(jié)果不同的位置為1，使雙方的比特串盡可能相同。

圖1 基于哥德爾編碼的交互式密鑰協(xié)商

重復(fù)上述密鑰協(xié)商協(xié)議t次，分別獲得ntbit的密鑰串SA和SB。此時，SA和SB仍然會小概率不同，因此需要對密鑰協(xié)商后的公共串進行認(rèn)證并提取出完全一致的安全密鑰。

3.2 協(xié)議分析與證明

3.2.1 敵手模型與攻擊方式

本文討論中的敵手模型滿足以下條件：

1) 敵手擁有無限的計算能力；

2) 敵手的竊聽信道不限制為衰落信道；

3) 信道為二進制對稱信道，合法通信雙方的誤比特率為λ，敵手竊聽信道的誤比特率為θ，敵手預(yù)估信息的錯誤比特率為θ′。

本文主要討論以下2種攻擊方式。

圖2 基于哥德爾編碼的交互式密鑰認(rèn)證提取

1) 替換攻擊。敵手從自己擁有的校驗塊集合中隨機選取一個校驗塊，不經(jīng)過任何糾錯直接發(fā)送給節(jié)點B。

2) 模仿攻擊。敵手從校驗塊集合中隨機選取一個校驗塊，然后根據(jù)自己預(yù)估信息的錯誤比特率θ′對所選取的校驗塊隨機糾錯。由于敵手不知道錯誤比特的具體位置，所以糾錯具有隨機性和概率性。執(zhí)行基于哥德爾編碼的交互式密鑰協(xié)商協(xié)議t次，共有t個校驗塊。在基于哥德爾編碼的交互式密鑰提取協(xié)議中，敵手每次竊聽到節(jié)點A發(fā)送給節(jié)點B的校驗塊Z，與自己所掌握的校驗塊Z′相比。設(shè)每次找到的錯誤比特個數(shù)為ei，經(jīng)過多次竊聽，總共竊聽了 num個校驗塊，則

3.2.2 安全性分析與證明

所以，有

證畢。

當(dāng)敵手有自己的密鑰串zi′時，與節(jié)點 A 傳輸?shù)拿荑€串相比相對應(yīng)的兩位的不確定性可由定理2估計。

證明 設(shè)隨機變量有以下3種情況：1) 當(dāng)A和B發(fā)送的校驗位不等時，即zi≠zi′，此時敵手知道當(dāng)A和B發(fā)送的校驗位相等時，即zi=zi′ ，若敵手所竊聽到的校驗位當(dāng)節(jié)點A和節(jié)點B發(fā)送的校驗位相等時，即zi=zi′，若敵手所竊聽到的校驗位

敵手接收到x2i-1x2i= 1 0的概率為

敵手接收到x2i-1x2i= 0 1的概率為

對于情況3)，敵手接受的只有00或11，此時敵手接收到的x2i-1x2i只有一位是正確的，所以

敵手接收到x2i-1x2i= 0 0的概率為

敵手接收到x2i-1x2i= 1 1的概率為

用 Rényi熵[17]表示信息的不確定性，如式(9)～式(11)所示。

綜上所述，可得

由此可得，敵手對ntbit密鑰串的不確定度為

證畢。

3.3 協(xié)議特點

3.3.1 認(rèn)證性

基于哥德爾編碼的交互式密鑰認(rèn)證提取協(xié)議通過標(biāo)識符是否相等來認(rèn)證信道是否安全，通過散列函數(shù)來認(rèn)證節(jié)點A和節(jié)點B進行t次密鑰協(xié)商后所獲得的公共串是否一致，并提取出完全一致的高度保密密鑰串K。

3.3.2 高效性

基于哥德爾編碼的交互式密鑰協(xié)商協(xié)議通過哥德爾數(shù)是否一致來判斷是否需要發(fā)送密鑰序列ZA。由哥德爾編碼的性質(zhì)可知，如果通信雙方的計算結(jié)果GeA=GeB，則說明不需要發(fā)送密鑰序列的情況下才需要發(fā)送密鑰序列ZA進行比較，因此可以減少密鑰序列的比較次數(shù)，降低通信開銷，提高通信效率。此外，由模運算的運算規(guī)則[18-19]可知

在計算GeA、GeB時，通過提前使用模運算，可以降低指數(shù)運算帶來的數(shù)據(jù)存儲空間問題。在密鑰認(rèn)證提取過程中，通過引入Q的模運算，可以提高指數(shù)的運算效率。另外，本文所有的計算都基于二元對稱信道。因此，所有非二進制結(jié)果都要進行取模運算。

本文在密鑰協(xié)商協(xié)議中沒有檢查密鑰串SA和SB是否相同，而是在密鑰認(rèn)證提取協(xié)議中，通過收集t個這樣的密鑰串后再進行認(rèn)證，并利用散列函數(shù)完成密鑰串是否相同的檢查，減少了認(rèn)證次數(shù)，進一步提高了通信效率。

設(shè)N是執(zhí)行圖2中的完整協(xié)議直到建立密鑰串K為止的次數(shù)。定理3給出了N'的期望值，進一步證明了該協(xié)議的高效性。

定理3 設(shè)N'是執(zhí)行次數(shù)的隨機變量，直到節(jié)點A和節(jié)點B建立長度為ntbit的公共密鑰串，則N'的期望值是

證明 設(shè)合法通信雙方的誤比特率為λ，敵手竊聽信道的誤比特率為θ。1Ω表示節(jié)點B能正確接收到節(jié)點 A發(fā)送密鑰序列的事件，2Ω表示節(jié)點A和節(jié)點B得到的ntbit密鑰串相同的事件。

在圖1中的密鑰協(xié)商協(xié)議中有

第t次密鑰協(xié)商協(xié)議中節(jié)點A和節(jié)點B的校驗位相同的個數(shù)為其節(jié)點A和節(jié)點B的nbit密鑰串相同的概率為

所以，t次基于哥德爾編碼的交互式密鑰協(xié)商協(xié)議執(zhí)行完成后，節(jié)點A和節(jié)點B得到的ntbit密鑰串相同的概率為

令

則

證畢。

由 3.2.1節(jié)可知，合法通信雙方的誤比特率為λ，敵手竊聽信道的誤比特率為θ，正確竊聽到密鑰序列的概率為當(dāng)執(zhí)行完協(xié)議N′次后，被敵手可能竊聽到的概率為當(dāng)執(zhí)行完協(xié)議N′次建立密鑰串K時，節(jié)點A和節(jié)點B的通信信道相當(dāng)于無噪聲信道，因為執(zhí)行完協(xié)議N'次后合法通信雙方已建立了相同一致的密鑰串，而敵手的竊聽信道可等價于一個新的二元對稱信道，其新的誤比特率滿足整理可得其中，N′即為定理3中的期望值。

由以上分析可得，原來的(λ＞ 0 ,θ＞ 0 )信道可等價于信道，即無噪聲的合法通信信道和一個較低誤比特率的竊聽信道，即使竊聽信道的誤比特率比合法通信雙方的誤比特率更低，敵手也始終無法避免由噪聲產(chǎn)生的極小誤比特率。

3.3.3 抗主動攻擊

結(jié)合3.2.1節(jié)中的分析，可以得到定理4。

定理4 節(jié)點A和節(jié)點B共享ntbit的公共串，敵手預(yù)估信息的錯誤比特率為'θ，每個校驗塊中敵手與節(jié)點A和節(jié)點B不一致的位數(shù)為?，則敵手采取第一種方式主動攻擊成功的最大概率為敵手采取第二種方式主動攻擊成功的最大概率為

證明 若敵手采取替換攻擊方式進行主動攻擊，由于在二元對稱信道中敵手預(yù)估信息的錯誤比特率為'θ，且每個校驗塊的長度為則敵手所選取的校驗塊與節(jié)點 A和節(jié)點 B相同的概率為即敵手采取第一種方式主動攻擊成功的最大概率為

若敵手采取模仿攻擊方式進行主動攻擊，其不知道每個校驗塊中有多少個不一致位，只能隨機猜測，而正確猜出不一致位個數(shù)的概率為故正確猜出并修正?個不一致位的概率為

整理得

4 基于r-循環(huán)Toeplitz矩陣的保密增強協(xié)議

保密增強的核心是構(gòu)造全域散列函數(shù)。目前，廣泛用于保密增強的是基于一般的Toeplitz矩陣的全域散列函數(shù)。一般的s×n階Toeplitz矩陣需要(s+n-1) bit的存儲空間，為了提高存儲效率，本文將n階r-循環(huán)Toeplitz矩陣用于保密增強中僅需nbit的存儲空間和參數(shù)r的信息。同時在保密增強協(xié)議中考慮到了噪聲的不確定性，使其協(xié)議具有更高的實用價值，并得出了提取密鑰的最大長度和敵手關(guān)于密鑰信息量的上界。

4.1 r-循環(huán)Toeplitz矩陣

任何一個Toeplitz矩陣都可以嵌入在一個循環(huán)矩陣中[20]，同樣也可以嵌入在一個r-循環(huán)Toeplitz矩陣中。為了提高保密增強的存儲效率，故將一個一般的s×nt階 Toeplitz矩陣擴展成(nt+s)×(nt+s)階r-循環(huán)Toeplitz矩陣(s＜nt)。具體表示形式為

其中R1、R2、R3、R4分別為

將nt×1階的公共串?dāng)U展為則提取出的密鑰計算式如下

其中，⊕表示異或操作，cirij表示矩陣 cir中第i行第j列元素，表示向量中第j行第一列元素，由快速傅里葉變換[20]可得

其中，D是一個(nt+s)維向量，由式(20)和式(21)可得

本文采用r-循環(huán)Toeplitz矩陣用于保密增強的全域散列函數(shù)中，是因為r-循環(huán)Toeplitz矩陣取決于矩陣元素的第一行和參數(shù)r。對于傳統(tǒng)的(nt+s)×(nt+s)階 Toeplitz 矩陣需要 2(nt+s)-1 bit才能完整描述整個矩陣，而本文的(nt+s)×(nt+s)階r-循環(huán)Toeplitz矩陣只需要(nt+s) bit和參數(shù)r就可以完整描述整個矩陣，從而減少了矩陣的存儲空間。

4.2 基于傳播距離的噪聲不確定性

水下環(huán)境通信比陸地環(huán)境通信要復(fù)雜得多。為了對水下噪聲的不確定性進行定量分析，本文采用馬爾可夫鏈蒙特卡羅（MCMC, Markov chain Monte Carlo）方法[21]來捕捉噪聲的不確定性。MCMC方法適用于非標(biāo)準(zhǔn)的多變量形式，可實現(xiàn)動態(tài)模擬，通常用于水聲參數(shù)概率分布的獲取。通過產(chǎn)生若干條獨立并行的馬爾可夫鏈來探索模型參數(shù)空間，并不斷更新樣本信息使馬爾可夫鏈?zhǔn)諗坑诟吒怕拭芏葏^(qū)，也就是貝葉斯方法中的最大后驗估計[4]。設(shè)水下通信的應(yīng)用域u∈U，距離域d∈D'，環(huán)境域m∈M，三者之間的關(guān)系如圖3所示。

圖3 距離域、環(huán)境域和應(yīng)用域三者之間的關(guān)系

噪聲本身就是一種隨機過程，本文把噪聲看成屬于應(yīng)用域U的隨機變量u。由貝葉斯理論可得

其中，p(d)為歸一化因子，的似然函數(shù)。若距離域中的數(shù)據(jù)矢量表示為其中，為服從正態(tài)分布的誤差項，為協(xié)方差。則似然函數(shù)為

其中，表示數(shù)據(jù)點的數(shù)量，上標(biāo)⊙為共軛轉(zhuǎn)置，由水聲傳播模型[4]可獲得轉(zhuǎn)換函數(shù)d(m)，是水下噪聲源，對于數(shù)據(jù)的不確定性可用服從獨立同分布的誤差來描述。當(dāng)時，

將式(25)代入式(24)中，似然函數(shù)變?yōu)?/p>

其中，目標(biāo)函數(shù)為

故通過式(26)求積，將協(xié)方差看作多余參量求積消掉v，可得

由上述推導(dǎo)和貝葉斯模型平均法可得式(30)。

如果d中包含所有的不確定性，而且d中所有信息都映射到m，則有

傳統(tǒng)描述噪聲的統(tǒng)計量有概率密度函數(shù)、數(shù)學(xué)期望、方差或功率譜等統(tǒng)計量，其中功率譜是均勻噪聲，即白噪聲，不適用于復(fù)雜動態(tài)的水下環(huán)境噪聲。目前水下數(shù)值模擬不確定性研究中，一般都將變量的方差定義為不確定性大小的度量[21]，但方差不是一種通用的不確定性度量函數(shù)，具有局限性。故本文將引入信息論中的信息熵來定量分析噪聲的不確定性。對于連續(xù)變量x，信息熵H定義為[22]

由式(30)和式(31)可得應(yīng)用域噪聲變量u的信息熵為

4.3 保密增強后的密鑰長度下界

推論1[10]設(shè)PVS是一個任意的概率分布，設(shè)v是敵手觀測到V的一個特定值，若敵手關(guān)于S的Rényi熵R(S|V=v))至少為c，且節(jié)點A和節(jié)點B選擇K=g(S)作為其密鑰，其中g(shù)是從S到{0,1}l的全域散列函數(shù)類中隨機選取的，g∈G，則

由文獻(xiàn)[10]可知，R(S|G)＞R(S)。由定理2可得，根據(jù)推論1可得

而敵手所知道的信息與最終密鑰的互信息量為

即敵手所知道的關(guān)于密鑰K的信息量至多為并以為指數(shù)遞減。

定理5 對于任意的整數(shù)nt，存在正數(shù)τ'＜1和使為正整數(shù)的Γ，其中，是4.2節(jié)中計算的噪聲的不確定性，?為安全系數(shù)，在一個不安全的信道上可以執(zhí)行一個保密增強協(xié)議，具體參數(shù)如下

證明 設(shè)V是敵手所竊聽到的關(guān)于原串S信息的隨機變量，某個特定的v∈V，由定義 1可知，由式(32)可知Hb(p)的值，令

由推論1知：

即定義1中的ε由定理4可知，敵手主動攻擊成功的最大概率為

綜上，可得定義1中的對應(yīng)參數(shù)值，從而得到定理5中的保密增強協(xié)議。證畢。

5 實驗結(jié)果與分析

該實驗使用的硬件環(huán)境是 Intel? CoreTMi5-3337U CPU@1.80 GHz，4 GB RAM，編程環(huán)境是 Matlab R2014a。令每一次密鑰協(xié)商過程中傳輸?shù)奈粩?shù)n=300，密鑰協(xié)商次數(shù)t分別取t1=20，t2=30，t3=40，敵手獲取信息的不確定度的實驗結(jié)果如圖4所示。

圖4 敵手關(guān)于nt bit密鑰串信息的不確定度

圖4中3條曲線均為n=300條件下，分別對應(yīng)不同密鑰協(xié)商次數(shù)時敵手關(guān)于ntbit密鑰串信息的不確定度。其中，橫軸表示敵手在水下噪聲信道中產(chǎn)生的誤比特率，縱軸表示敵手關(guān)于ntbit密鑰串信息的Rényi熵，即信息的不確定度。從圖4可以看出3條曲線的擬合程度均近似為一次函數(shù)，并且敵手關(guān)于信息的 Rényi熵均隨著誤比特率和密鑰協(xié)商次數(shù)的增加而增加，說明進行多次密鑰協(xié)商可以增加敵手對密鑰串的不確定性，使密鑰的安全性更高。

當(dāng)節(jié)點A和節(jié)點B的誤比特率λ及密鑰協(xié)商次數(shù)t取不同值時，建立密鑰執(zhí)行協(xié)議次數(shù)N'的期望值如表1所示。

表1 密鑰執(zhí)行協(xié)議次數(shù)N'的期望值

從表1可以得出，N'的期望值與誤碼率λ、次數(shù)t及密鑰串的長度n均有關(guān)系。當(dāng)λ=0.001時，協(xié)議的執(zhí)行效率最高。在水聲通信中，數(shù)據(jù)傳輸速率最大可達(dá)10 kbit/s[23]。當(dāng)n=300，t=20，N'=19.99時，密鑰協(xié)商傳輸?shù)目偽粩?shù)為119 940 bit，保密增強后生成的密鑰串總長度的下界為117 331 bit，敵手關(guān)于密鑰串信息量的上界為2 609 bit，所需時間為11.99 s。表明在現(xiàn)有技術(shù)條件下，該協(xié)議是切實可行的。

6 結(jié)束語

本文設(shè)計了海洋噪聲不確定性環(huán)境下基于哥德爾編碼的交互式密鑰提取協(xié)議和基于r-循環(huán)Toeplitz矩陣的保密增強協(xié)議，從而構(gòu)成了基于水下噪聲信道不確定性的保密通信方案。理論分析和實驗結(jié)果表明，該方案不僅安全可靠，而且通信效率較高，通信開銷較小，同時降低了矩陣的存儲空間，提高了保密增強的存儲效率，并且得出了保密增強后密鑰串長度的下界和敵手關(guān)于密鑰串信息量的上界。