智能电网中基于密钥生成的物理层安全技术研究

李颖杰, 顾蓉 , 温启良, 郑通兴

(1.深圳供电局有限公司,广东 深圳 518048; 2.数据通信科学技术研究所,北京 100083; 3.南方电网深圳数字电网研究院有限公司,广东 深圳 518034; 4.西安交通大学 信息与通信工程学院,西安 710049)

0 引 言

随着电网智能化、数字化、信息化的演进,智能电网的发展受到了业界的广泛关注和重视。智能电网涉及泛在的环境感知、嵌入式计算和网络控制等系统工程,其中无线通信是非常重要的组成部分,网络底层的数据传输、控制信令、导航信号都需要依赖于无线信号作为载体。因此,无线链路和无线网络的安全可靠在智能电网中至关重要[1-4]。然而,无线信道的开放性和电磁信号传播的广播特性给智能电网带来了严峻的安全挑战。传统上的无线通信安全主要依靠密码学在信息层面进行信源加密来避免信息泄露或者直接移植有线通信系统中的高层安全协议[5-6]。此类安全措施无疑会带来较高的计算复杂度和能耗,而且,密钥的分发、存储和管理等过程也会带来巨大的开销。幸运的是,物理层安全提供了一种低复杂度的解决方案,它充分利用了无线信道固有的特征来保障无线通信安全[7-10],可以作为传统高层安全措施在物理层的互补手段,为无线安全提供双重保证[11]。密钥生成是物理层安全领域的一个重要分支：通过提取无线信道本质特征生成密钥,可以有效避免传统密钥技术的密钥分发和管理等复杂环节,以及密钥本身传输的安全问题[12-15]。

上世纪90年代,文献[16]首次提出利用共享随机信息进行密钥生成和协商的方案,推导了密钥生成速率的上下界,从而奠定了物理层密钥生成研究的基础。文献[17]随之提出源型和信道型密钥生成模型,并给出了完美安全密钥的前提条件和密钥容量上下界。在前述研究基础上,利用无线信道作为随机源生成密钥的方法成为物理层密钥生成的主流技术。文献[18]利用接收信号强度(RSS)生成密钥,并在IEEE 802.11协议下完成了工程实现。文献[19]设计了一种基于相干时间的动态信道特征提取方法,可以有效提升信道估计的一致性。对于密钥协商过程,文献[20]提出了基于安全极化码的密钥协商方法,该方法利用遗传算法构造合适的安全极化码实现密钥协商。

考虑到智能电网射频通信环境具有准静态信道和存在突发强干扰的特点,传统的物理层密钥生成方法并不能完美适用。文献[21]考察了时分双工单输入单输出(TDD-SISO)系统中的密钥生成问题,作者提出通信双方发送的信号逐比特相乘作为量化初始密钥的思路。在此基础上,文献[22]提出一种双向发送信号交叉相乘的策略,显著提升了密钥生成速率。文献[23]提出基于用户随机性的物理层密钥认证(PHY-UIR)算法,通过将双方发送的随机信号作为随机源,有效解决了准静态信道下物理层密钥生成速率低的问题,但并未对随机信号做具体设计。另一方面,无线设备间存在天然差异性,无线设备所具有的唯一“设备指纹”可以作为物理标识进行设备的识别与安全设计。文献[24]指出了通过物理层密钥设计和设备指纹提升通信安全性的可行性,遗憾的是目前并没有一个行之有效的具体方案,而这也正激发了文中的研究工作。

文中重点研究了智能电网无线通信系统中如何基于物理层密钥生成技术实现无线终端间的信息安全传输。需要指出的是,物理层密钥生成技术的核心在于利用无线信道的本质特征,包括时变性、唯一性、互易性和私密性,在合法通信双方构建密钥,因此广泛适用于现有的无线通信系统,包括4 G、5 G、以及WiFi通信系统。与传统密钥生成技术不同的是,文中通过联合利用时间戳和无线设备的物理标识设计导频训练信号并进行信道估计,既获得了有效安全的初始密钥,又对双方设备身份进行了鉴权;此外,在安全密钥设计过程中,引入时间戳和通信双方设备的物理标识,既引入了充分的随机性,又额外保证了双方认证,为电网通信安全提供了多重保障。

1 传输模型与物理层密钥生成流程

1.1 智能电网无线安全传输系统模型

智能电网无线安全传输系统模型如图1所示,发射方Alice和接收方Bob为合法通信双方,进行私密信息的传输,窃听方Eve则被动窃听Alice和Bob之间的通信。考虑Eve与合法通信节点距离超过通信电磁半波长,认为Eve不能获得与合法通信节点相似的信道特征。合法节点采用TDD通信方式,认为在信道相干时间内,合法双方间信道互易。无线信道作为一个天然的随机源,具备互易性、时变性、唯一性与私密性的固有特征,通信双方正好可以利用这些特征生成随机密钥,从物理层的角度为无线信息传输提供安全保障。

图1 智能电网中的无线安全传输系统模型

1.2 物理层密钥生成流程

基于图1所示的无线安全传输模型,文中针对智能电网设计了基于无线信道的密钥生成方案,该方案包含四个环节：信道特征提取,信道特征量化,密钥协商和安全密钥设计,具体流程如图2所示。

图2 物理层密钥生成流程

首先,在信道相干时间内,Alice和Bob分别对无线信道进行探测,通过不断改变探测频率和时间,直至获取足够的信道状态信息并确定其测量值XA和XB。随后,双方对测量值XA和XB进行量化,转化为二进制比特流QA和QB作为初始密钥,其中,量化阶数表征每个测量值可以量化得到的初始密钥比特数。为了保证通信双方密钥一致,需对QA和QB进行一致性纠错,通过在公共信道上进行密钥协商,最终确定一致性密钥IA和IB。密钥协商过程可能存在部分密钥泄露,初始密钥中也可能存在冗余信息,因此最后需要进一步完成安全密钥的设计。在传统的物理层密钥生成的设计中,安全密钥设计采用隐私放大的方式,比如利用哈希(Hash)函数的单向性和雪崩效应,计算得到最终的安全密钥KA和KB。显然,密钥IA和IB在任意一个比特上的差异都会使KA和KB完全不同。

相较于传统的无线蜂窝网络,智能电网具备的独特通信特征有可能严重影响物理层密钥的设计,主要表现为以下两点：

(1)智能电网终端位置固定,相干时间较长,无线信道基本处于准静态,随机性较弱,从而导致传统方法的密钥生成速率较低;

(2)电网环境存在突发干扰,严重影响信道特征提取。若突发干扰为强信号,信道特征将被突发干扰掩盖,而窃听者有可能根据干扰信号推断合法密钥相关信息,实现密钥窃取。

针对智能电网无线通信特征和密钥生成难点,文中结合智能电网中无线终端的物理标识、时间戳以及信道随机性,提出了一种适用于智能电网环境的物理层安全密钥生成方案。

2 电网通信中的密钥生成设计

2.1 信道特征提取

在电网系统中,网络中的设备及其位置确定,换言之,网络中所有通信终端拥有其可通信设备的物理标识表(Physical-tag List,PT List),该列表记录了可通信设备的物理标识。值得注意的是,此处是广泛概念上的物理标识,一般而言,可以将通信设备本身的硬件媒体访问控制(MAC)地址作为加密的物理标识;也可以通过采集通信设备本身的硬件特征,利用机器学习的方法获取设备的硬件指纹,并用作物理标识[24]。MAC地址由于在设备出厂时已经确定,有可能被窃听方通过某些手段获取信息;而设备本身硬件差异具有唯一性,将其用于密钥生成具有更优的安全属性。

考虑到智能电网中无线信道可以认为是准静态信道,文中采用了引入外源随机性的信道探测方法[23],将Alice和Bob发送的不同随机序列与信道相结合,并利用所结合的随机信息生成物理层初始密钥。发射方Alice发射的随机序列如图3所示。

图3 发射方Alice发送的时域随机信号

假设在随机信号发射前,Alice与Bob已经完成了时钟的精准同步,比如双方可通过发射同步信号块(SSB)完成同步过程。考虑某一时刻,Alice将时间戳序列TS作为随机数种子送入伪随机数发生器生成随机信号序列X1,随后将X1发送给Bob;此时,Bob接收到Alice发送的信号如式(1)所示：

SX1=hABX1+n1

(1)

式中hAB为Alice和Bob间的无线信道系数;X1={x(1),x(2),...,x(N)};N为随机序列长度;n1为接收机噪声。

接着,Alice计算随机信号根序列Seq：

Seq=TS⊕PT

(2)

式中PT为Alice的设备物理标识;⊕为异或运算。

将根序列Seq送入伪随机数发生器得到输出随机序列X2并发送给Bob;此时,Bob接收Alice发送的信号如式(3)所示：

SX2=hABX2+n2

(3)

SeqList={TS⊕PT|PT∈PTList}

(4)

在Bob完成信号检测和对Alice身份识别后,Alice与Bob任务互换,重复上述过程。随后,Alice与Bob分别构建用于生成密钥的随机序列：

XA=SY2oX2=hBAoY2oX2

(5)

XB=SX2oY2=hABoX2oY2

(6)

式中Y2为Bob第二次向Alice发送的随机信号序列;o代表矩阵向量的Hadmard积。由于TDD信道的互易性,显然hAB=hBA;进而可以确定：

XA=XB

(7)

由于Alice和Bob发送的信号X2和Y2是随机信号,此时XA和XB也具备随机性。

2.2 信道特征量化

由于物理层采用的密钥为二进制序列,所以量化过程是将测量值XA和XB转化为构成密钥的二进制比特序列。RSS是最常用的量化目标,但是1个RSS最多只能生成1比特密钥,生成速率较低。为此,文中采用整合幅度和相位的量化方法,具体为：Alice和Bob获取到XA和XB后,将XA和XB的幅度和相位映射到一个二维空间,通过在二维空间上划分的量化区域来生成密钥,并且保证量化值落在每个量化区域内的概率相同。量化区域的个数称为量化阶数n,通常采用n=4,16,64。文中采用信道量化(CQ)算法[25],当量化阶数n=4时的CQ算法如图4所示。

图4 量化阶数为4时CQ算法示意图

2.3 密钥协商

考虑到通信双方硬件差异及信道噪声的影响,通过量化后的初始密钥序列QA和QB中会出现部分不一致比特。当前,有两种主流的密钥协商方案,一种是基于二分纠错法的密钥协商算法,另一种是纠错编码协商算法。二分纠错法的密钥协商算法存在一个明显的安全风险,即每轮密钥比特对比时均需要进行分组,且每个分组二分纠错时双方需频繁交换协商信息,这会导致大量的比特交换数量和轮次,增大密钥泄露风险。为此,文中采用纠错编码协商算法。具体地,当编码后的码字长度较长,校验位增加时,可以提供极强的纠错能力,甚至可以通过一次协商就可成功实现通信双方的密钥匹配。纠错编码协商算法的主要步骤如下：

(1)Alice从纠错编码集C中选择码字序列c;

(2)Alice计算s=XOR(QA,c),并将s经过信道传给Bob;

(3)Bob接收s,并计算cB=XOR(QB,s);

(4)Bob译码cB获得c;

(5)Bob计算IB=XOR(c,s)=KA=IA。

IB为经过一轮纠错编码协商后所得的密钥;通过多轮协商后,可完成密钥的协商过程。

2.4 安全密钥设计

虽然窃听信道与主信道满足空间去相关性质,但由于密钥提取和协商过程均在无线信道中完成,Eve很有可能获取到部分密钥信息。为了增强密钥的安全性和随机性,需要重点研究安全密钥的设计方法。文中提出了如图5所示的安全密钥设计方法,包括两个步骤：密钥根序列计算和随机密钥生成。

图5 安全密钥设计方法

(1)密根序列计算：以Alice和Bob的物理标识PT-Alice和PT-Bob、经协商后的密钥IA(IB)以及时间戳TS作为输入,设计函数F：

SA=F(TS,IA,PT-Alice,PT-Bob)

(8)

SB=F(TS,IB,PT-Alice,PT-Bob)

(9)

其中,输出SA和SB为计算所得密钥根序列。

函数F可以根据实际需求进行设计。例如,当对时延要求较高时,可采用异或运算;当窃听者对通信系统信息完全了解时(认为窃听者知晓Alice和Bob的物理标识及双方同步时间戳),可率先对协商后的密钥IA(IB)进行Hash函数计算,然后进行异或运算,通过隐私放大的方法,保证密钥根序列的安全性;

(2)随机密钥生成：将密钥根序列SA(SB)送入伪随机数发生器,最终生成随机密钥KA和KB。

3 仿真实验和分析

3.1 仿真实验验证

采用Matlab进行实验仿真,CQ量化过程中的量化阶数n=16,密钥协商采用LDPC码。对于准静态衰落信道,假设生成的信道状态信息在1帧(1 ms)内幅度和相位上的波动相对值不超过0.1。电网终端的物理标识二进制长度设为40比特。仿真过程进行100 000次实验,每次信道随机生成。

首先评估物理层密钥生成的不一致率。密钥不一致率定义为Alice与Bob或Eve的密钥序列之间的不同比特数占密钥比特总数的比例(Alice的密钥作为标准密钥)。图6展示了不同码率下密钥不一致率随信噪比的变换曲线。可以清楚地看到,合法双方的密钥不一致率随信噪比的增加急剧下降,而Eve的密钥不一致率始终维持在0.5。这充分证明了文中所提的密钥生成方案可以有效地保障密钥安全,窃听者无法获取到任何有效的密钥信息。此外,随着环境中干扰噪声增加,即信噪比降低,合法双方的密钥不一致率逐渐升高,甚至在极端情况下趋近0.5。此时,可以通过采用先进的信号处理和编码手段改进性能。比如,在图6中,通过增加纠错码的校验位数,以降低码率为代价,比如码率从1/3降到1/6,密钥一致性可以得到显著改善。

图6 密钥不一致率随信噪比变化曲线

密钥生成速率(KGR)是考察密钥生成方案效率的一个重要指标,它定义为在Eve窃听信息的条件下,Alice与Bob的观测量之间的互信息。一般而言,KGR与信道质量、信道随机性、量化阶数等因素有关。文中合法密钥的平均生成速率计算如下：

(10)

式中L表示密钥长度;Sm表示每生成一个密钥对应的采样值个数;KE表示窃听者生成的密钥。

图 7描绘了合法密钥平均生成速率随信噪比变化的曲线。需要指出的是,文中量化阶数设为16,可知平均每个采样值最多生成4比特密钥,即式(10)中的L/Sm=4,因此KGR的最大值为4。由图7可知,随着信噪比增加,密钥生成速率逐渐增加并趋向其上界4,而窃听者的密钥生成速率始终为0。这一现象在意料之中,因为当信噪比降低时,通信双方生成的初始密钥存在不一致比特增多,从而需要更多轮次密钥协商过程,导致生成速率降低。图7再次验证了文中所提的密钥生成方案具备良好的密钥生成速率且能有效对抗窃听。

图7 密钥生成速率随信噪比变化曲线

最后,对物理层密钥的随机性进行评估。在实际应用中,密钥随机性对安全传输至关重要,所以每一个用于安全通信的密钥必须通过随机性测试。文中采用美国国家标准与技术研究院(NIST)研发的随机性测试套件对所生成密钥的随机性进行评估。实验选取30组每组50 000个比特的密钥进行随机性测试,结果如表1所示。

表1 随机性测试报告

实验采用显著性水平表征密钥随机性。上表中P值代表实际最低显著性水平,参考显著性水平设为α=0.01。若P值大于显著性水平α,则认为生成的密钥具有随机性,而且P值越大代表密钥随机性越强。从上表测试结果可以看出,15个测试项中有12项的P值大于α=0.01,且有4项P值大于0.5。这充分表明,文中所提方法生成的密钥序列具有较强的随机性。

3.2 安全性分析

文中提出了一种结合物理信道特征、设备物理标识和时间戳功能联合设计的物理层密钥生成方法。在原有物理层密钥生成方法的基础上,所提方法对系统安全性能有了进一步的增强,主要体现在以下几个方面：

(1)在信道特征提取阶段,双方发射的随机信号中包含了合法用户的物理标识,可以用于认证通信双方的合法身份,有效对抗窃听者的伪装接入;

(2)在信道特征提取阶段,采用了引入外随机源的设计方法,一方面有效克服了由于信道准静态导致的密钥速率过低和长期重复密钥的问题;另一方面,初始密钥包含双方发射的强信号,可以有效对抗突发干扰和窃听者主动干扰攻击;

(3)在信道特征提取和安全密钥设计阶段都采用了时间戳,为信道特征提取和最终密钥生成提供了充分的随机性,同时也杜绝了窃听者潜在的重放攻击;

(4)在安全密钥设计阶段,F函数的参数包含了收发双方的物理标识,这实质上保证了通信双方的相互认证。

4 结束语

文中针对智能电网中的无线安全通信问题,提出了基于密钥生成的增强型物理层安全方案,即利用通信信道的独特信道特征、通信终端的物理标识以及时间戳功能生成无线密钥,使窃听者难以准确获取合法密钥信息。针对电网通信环境的准静态衰落信道,文中采用了引入外源随机性的方法,结合终端物理标识完成发射鉴权;安全密钥设计过程中,以设备物理标识、时间戳、以及协商后的密钥作为参数,生成最终的合法通信密钥。由仿真结果和分析可以看出,文中提出的方案可以有效确保密钥的可靠性和安全性,从设备识别和物理层加密两个角度增强智能电网的安全性能。