吴 聪，杨炜伟

(中国人民解放军陆军工程大学通信工程学院，江苏 南京 210007)

0 引言

无线通信的通信信号是在开放空间中传输的，这给通信安全带来巨大威胁[1]。身份认证的目的是在接收端验明发射机的身份，从而提升通信安全性。传统对发射机的身份认证是在上层协议中实现的，大多数认证机制（例如，数字签名和证书）存在于物理层之上。上层协议的认证大部分是基于密码学原理，但是，密码学的保密能力已被证实存在不可避免的缺陷[2]。首先，随着计算能力和密码分析算法的进步，攻击端计算局限性的假设已经逐渐被削弱。其次，在上层处理身份认证需要许多额外的网络资源。另外，目前需要接入无线网络的设备多种多样，不同设备采用的协议各不相同，它们之间的认证方式也互不兼容[3]。

相比之下，物理层认证方案优势显著。根据物理层安全传输理论，物理层认证具有完美安全性。其次，物理层认证不占用额外的频带资源。最后，物理层认证不影响原有设备对正常信号的接收，对上层信号处理没有额外的影响，因此兼容性良好，而且可以减轻上层为了身份认证对信号进行处理的计算负担。

根据身份信息产生的方式，可将物理层身份认证方式分为三种：基于射频指纹的方案、基于信道指纹的方案和基于嵌入水印的方案。基于射频指纹和信道指纹的方案分别利用发射机自身和信道的辐射特性进行身份认证，它们的共同点是都不需要额外嵌入身份信息，只需在接收端对接收信号的辐射特性进行提取，就可以实现发射机的身份识别[2]。但是，基于射频指纹和信道指纹唯一性的物理层身份认证，依赖于发射机和信道本身的固有随机性，系统设计者对指纹的控制非常有限，容易受到干扰，且指纹的特征有限，不利于实现大规模、大容量用户的认证。

嵌入水印式物理层认证由于其水印特征灵活可控、可检测性强且特征丰富，受到学术界的重视和广泛研究。目前存在的嵌入水印认证方案主要分为两类：编码水印和调制水印。编码水印是指将水印信息嵌入到信道编码中，调制水印是结合具体的调制方式将水印嵌入到基带信号中，本文的方案为嵌入调制水印。关于嵌入水印的研究最早在2004 年美国空军研究室“射频水印签名系统的设计与开发”项目中开展[4]，该项目在偏移四相相移键控信号中嵌入水印，并在接收端对通信信号和水印进行解调。结果表明，嵌入水印不会影响无线通信的正常信号解调，水印可以用于验证消息。之后，Paul 等人提出一种广义的水印认证方法[5]，把嵌入水印的方法用于身份认证。发送端在传输的数据信息中加入认证信息标签，接收端通过对认证标签进行验证实现身份认证，随后还将这种认证方法推广到了MIMO场景[6][7]。谢宁在Paul 等人研究的基础上，详细分析了这种方法的鲁棒性、隐蔽性和安全性[8]，之后推广到NOMA[9]、无线充能等场景。基于Paul 等人的研究，2015 年，G VERMA 等人通过两台USRP设备实现了QPSK 和16QAM 上的射频水印嵌入和提取[10]，并实现了基于该水印信息的身份认证体制。实验结果表明，在实验室环境下方案可行，高信噪比时具有较好鲁棒性。但Paul 等人的研究中，优先保证接收端的虚警率维持在较低水平，导致低信噪比时对标签的检测概率较低，漏检概率高。

本文首先介绍了嵌入水印物理层认证方案的基本原理，针对文献[8]中存在的问题，即低信噪比下认证标签漏检概率过高的问题，联合考虑系统的鲁棒性和安全性，对原方案进行了优化。本文综合考虑接收端对认证标签的虚警率、检测概率和错检概率，研究错检概率和判决阈值的关系，通过优化判决阈值的选择，最小化接收端对认证标签的错检概率，提升低信噪比时对认证标签的检测能力。最后，仿真了采用最佳判决阈值的方案，将得到的虚警率、检测概率和错检概率与原始文献[8]中的方案作比较。研究发现，采用最佳判决阈值的改进方案在低信噪比时对认证标签的检测能力有明显提升，在合法接收端，可以获得更高的成功认证概率。另外，窃听端也可以通过优化判决阈值，提升检测准确率，获得更好的窃听性能，这说明在之前的研究中，窃听者的窃听能力被低估了。综合来看，采用最佳阈值后，合法接收端性能提升更显著。

1 嵌入水印式物理层认证模型和原理

1.1 系统模型

类似文献[5]，考虑一种物理层认证典型模型，其中存在以下四种类型的节点：信号发射机Alice、需要对发射机发射的信号进行认证的合法接收机Bob、不需要对接收到的信号进行认证的普通接收机Carol 和攻击者Eve，如图1 所示。Carol 表示对安全性需求不高或有其他方案保证通信安全的终端，这些用户只接收信号，不进行认证。此时叠加在消息信号上的认证标签对于Carol来说是干扰，降低了Carol 接收信息信号信噪比。在本文中，先考虑Eve 处于窃听状态，讨论本物理层认证方案的安全性。需要说明的是，由于不进行身份认证的合法接收机Carol 功能与Bob 端解调信息部分相同，所以本文不再赘述对Carol 用户的分析。

图1 一种物理层认证典型模型

假设认证过程中，整个通信系统处于平坦块衰落信道中，在每一个信号块传输时间内，信道状态不发生改变；不同块的信道衰落服从独立同分布的瑞利衰落，即发送的第i个信号块经历的信道hi，是均值为0、方差为的复高斯随机变量。另外，接收机在接收信号时还会受到加性高斯白噪声的干扰，噪声方差为。

1.2 嵌入水印式物理层认证原理

下面介绍嵌入水印式物理层认证的工作机制。

（1）发射机叠加认证标签

首先是发射机对发射信号的处理，一般情况下，发射机直接发送由传输消息调制生成的信号s，此时整个系统只传输信息，并未实现认证功能。当需要认证发射机时，发射机将包含身份密钥信息的标签t与信息信号s通过一定的功率分配，叠加在一起进行发射，如图2 所示。

图2 发射机生成发射信号示意图

假设发射机Alice 待发送的第i个信号块的原始信息是bi={bi,1,…,bi,M}，由M个二进制比特组成，经过编码以及调制处理后的调制信号为si={si,1,…,si,L}，包含L个信号复变量。认证标签向量ti是由信号向量si和Alice、Bob 之间共享的身份密钥，通过标签生成函数生成的：

其中g(·)为Hash函数，这里采用Hash MD5算法[5]。

根据文献[5]，采用MD5 算法可以保证每个消息信号和认证标签信号的信号复变量不相关，均值和方差满足以下约束：

其中，(·)H表示矩阵的共轭转置矩阵，E[·]表示求数学期望，siHti表示矢量si和ti的内积。

当然，并不是每个信号块的传输都叠加认证标签，根据发射信号是否叠加认证标签，分以下两种情况讨论：

H0：Alice 发送的是不加认证标签的普通信号；

H1：Alice 发送的是叠加认证标签的复合信号。

在这两种情况下，第i个信号块传输时，Alice发射信号xi分别为

其中，ρs和ρt为信息信号和认证标签在功率分配下不同的幅度参数，且满足ρs2+ρt2=1，即不管是否添加认证标签，发射信号的总功率不变。

（2）窃听端检测认证标签

窃听端首先进行信道均衡，然后解调消息信号，从均衡信道后的接收信号中消除正常功率的信息信号后，剩余信号与信息信号进行相关性检测，对检测结果进行判决，完成检测过程。窃听端检测认证标签的流程如图3 所示。

图3 窃听端检测认证标签的流程框图

对于第i个信号块，窃听端Eve 接收到的信号经过随机信道hi,Eve，接收到的信号为

在采用包括编码增益在内的控制差错方法，无差错解调出消息比特bi后，接收端可以重构出信息信号，这里严格满足。窃听端Eve 由于没有认证所需的共享密钥信息，不能恢复出可能存在于接收信号中的认证标签ti，因此在检测认证标签时，设计了以下检测变量来检测：

针对H0和H1两种情况，可以计算得到对应的τi,Eve为

τi,Eve也是复高斯随机变量，取τi,Eve的实部，命名为δi,Eve，它的分布满足

仿真实验中，通过提前设定判决阈值对检测变量进行判定，判决结果用φi表示，假设φi=0 表示接收机对发射机本次的判决未通过，不存在标签；而φi=1 则表示本次的判决通过，存在标签。Eve 端的判定结果可以表示为：

φi,Eve是Eve 端每次标签检测判决的结果。文献[8]中采用的阈值是在满足虚警率约束的条件下获得的，Eve 端的虚警率，即H0情况下经过检测判决结果φi,Eve=1 的概率。文献中设Eve 端虚警率的极大值εPFA,Eve，计算出对应的判定阈值

文献[8]中，Eve 端判决阈值的选择只考虑了虚警率的约束，对存在认证标签时的检测概率不作要求，这会导致低信噪比时，认证标签的漏检率很大，错误检测概率也会很高。

需要说明的是，Eve 端的检测方案可以有不同的方式，因为Eve 端属于非法节点，不一定执行设定好的方案。但这种方案是假设Eve 端已经拥有完美信道状态信息，且对认证标签生成和叠加传输的方案有了解，Eve 端已经被假设具有较强的能力，因此作为参考来对方案安全性的分析很有意义。

（3）合法接收端检测认证标签

发射信号经过信道衰落，以及环境中白噪声的影响，被合法接收机所接收。合法接收机先进行信道均衡，然后解调消息信号，再根据解调的消息和合法收发机共享的身份密钥重构标签信号。另外，接收机重新生成消息的调制信号，从均衡信道后的接收信号中消除信息信号后，与重构的标签信号进行相关性检测，对检测结果进行判决，完成认证。合法接收机对完成认证的过程如图4 所示。

图4 合法接收机完成物理层认证的处理流程框图

与Eve 端相同，在H0和H1两种情况下，Bob利用估计信道进行信道均衡后，恢复的发射信号可以分别表示为

这里同样假设合法接收机Bob 端拥有完美信道状态信息，且可以无差错解调出消息比特bi，并进一步重构出信息信号si。根据图4 的流程框图，首先求相加器的计算结果，这里同时对信号作归一化处理，得到剩余信号ri,Bob为

针对H0和H1两种情况，分别计算得到对应的ri,Bob为

与Eve 不同的是，根据共享密钥k和认证标签生成方案，Bob 可以重新生成可能嵌入发射信号的认证标签ti。使用ti和ri,Bob生成Bob 端用于认证的检测变量τi,Bob

其中，φi,Bob是Bob 端每次身份认证判决的结果。

文献[8]中采用的阈值是在满足虚警率约束的条件下获得的，设Bob 端虚警率的极大值εPFA,Bob，计算出对应的判定阈值

文献[8]中，Bob 端判决阈值的选择和Eve 端存在同样问题，只考虑虚警率的约束，对存在认证标签时的检测概率不作要求，这会导致低信噪比时，认证标签的漏检率很大，系统进行认证的效率很低。

2 改进的嵌入水印式物理层认证方案及性能分析

本节的改进是针对判决阈值的改进，对合法端的判决阈值进行优化，折衷考虑合法接收端的虚警率和漏检概率，提高低信噪比条件下的成功认证概率。同时，窃听端的判决阈值也可以进行优化，最小化窃听端的错误判决概率，说明文献[8]中的窃听性能被低估了。下面分别从鲁棒性和安全性两个方面，分析改进的嵌入水印式物理层认证方案的性能，并提出了判决阈值的改进方法。

然而在北极使用重油不仅增加了灾难性溢油事故的风险，而且还增加了黑碳排放量，这加速了海冰和冰川冰的融化。鉴于此，国际海事组织海洋环境保护委员会今年4月指示其污染预防和应对分委员会（PPR6）制定一项禁令，禁止使用在北极使用或运输重油。今年早些时候，清洁北极联盟曾分别要求马士基和中远所属的“Venta Maersk”轮和“天恩”轮在穿越北极水域时披露所使用和装载的燃料类型。

2.1 鲁棒性

嵌入水印式物理层认证的鲁棒性在于抵抗信道衰落和环境噪声对认证结果的影响，在干扰场景下稳定准确地完成对发射机的身份认证。嵌入水印式物理层认证方案的鲁棒性包括两个内容，一是认证有效标签的准确性，二是拒绝错误标签的准确性，可以使用成功认证概率和虚警率分别度量这两个方面的检测能力。以下分别计算和分析合法接收机Bob 端的成功认证概率和虚警率。

根据前文的介绍，Bob 端的检测变量为δi,Bob，根据式（16），δi,Bob在两种情况下存在不同的分布。首先求解Bob 端的虚警率，根据式（16）中δi,Bob服从的分布，以及设定的判决阈值，利用标准正态分布的Q 函数，可以求出Bob 端的虚警率为

同理，Bob 端的成功认证概率，即在H1情况下，判决结果φi,Bob=1 的概率可以表示为

为了降低合法接收端的虚警率，避免普通信号被认证为合法发射机的信号，判决阈值应该越大越好。但的增大，除了使虚警率降低之外，也会导致在H1情况下，即发射机Alice 嵌入了认证标签时，合法接收端检测认证标签的成功认证概率过低，影响整个信息通信系统的认证效率。为实现更好的鲁棒性，合法端的虚警率和漏检概率应该取一个折衷，具体措施为优化检测的判决阈值

这里假设H0和H1两种情况概率均等。根据式（21）可以表示出错误检测概率PE,Bob与判决阈值的关系为

PE,Bob对θ1求二阶导，可以证明，当θ1在(0,L)范围内，二阶导始终大于0，所以PE,Bob为凸函数，找出一阶导数值为0 的点对应的θ1即为最优判决阈值。采用二分法求解，找出不同信噪比条件下的最佳判决阈值，应用最佳判决阈值可求出合法接收端相应的虚警率、成功认证率和错误检测概率。

2.2 安全性

从上一节得知，Eve 端的检测变量为δi,Eve，根据式（8），δi,Eve在H0和H1两种情况下存在不同的分布。首先求解Eve 端的虚警率，根据式（8）中δi,Eve服从的分布，以及设定的判决阈值，可以求出Eve 端的虚警率PFA,Eve为

同理，Eve 端的成功检测概率，即在H1情况下，判决结果φi,Eve=1 的概率可以表示为

与Bob 端类似，Eve 端也可以采用优化判决阈值的方法对检测方案进行改进。与Bob 端不同的是，Eve 端的优化不存在性能的折衷。由于Eve 端进行窃听和判决，是为了区分嵌入标签的信号和普通信号，为下一步分析信号进而获得合法用户共享身份密钥信息做准备，因此，尽量减小它的错误检测概率就是优化其窃听性能的唯一目标。可以发现，文献[8]采用的阈值并不能使Eve 端错误检测概率最小，窃听性能被低估了。Eve 端获取最佳判决阈值的方法与Bob 端一样，同样假设H0和H1两种情况概率均等，可以给出Eve 端错误检测概率PE,Eve与判决阈值的关系为

PE,Eve对θ2求二阶导，可以证明，当θ2在(0,(1-ρs)L)范围内，二阶导始终大于0，所以PE,Eve为凸函数，找出一阶导数值为0 的点对应的θ2即为最优判决阈值。同样使用二分法求解，找出不同信噪比条件下的最佳判决阈值，应用最佳判决阈值可求出窃听端相应的虚警率、成功检测率和错误检测概率。

3 改进方案仿真结果与对比

仿真具体设置如下：分别采用上一节得到的最佳判决阈值和文献[8]中的阈值进行仿真对比，其他参数相同，认证标签功率占比=0.1，每个信息块信号长度L=128，采用BPSK 调制。

3.1 合法端性能仿真结果与对比

合法端的性能主要反映物理层认证方案的鲁棒性，不同信噪比Bob 端的虚警率、成功认证概率以及错检概率仿真结果如图5。

图5 Bob 端采用不同判决阈值仿真结果对比

从仿真结果看出，拥有共享身份密钥、可以恢复出认证标签的合法接收端Bob，在较低信噪比条件下就可以实现很高的成功认证概率。采用本文所提的最优判决阈值时，成功认证率始终保持很高的水平，在低信噪比条件下，明显好于原有研究的结果。采用文献中的阈值时在信噪比12dB 时成功认证概率接近为1，但与此同时，Bob 端的虚警率一直维持在一个很低的水平，好于采用最佳判决阈值的虚警率。综合考虑可以发现，使用最佳判决阈值，可以使错误判决概率明显降低，尤其是在低信噪比的条件下。即使是在信噪比较高的情况下，采用最佳判决阈值的改进方案，也比原来的方案错误检测概率更低，只是因为信噪比较高时，两种方案的PE,Bob都已经足够低，使得效果不明显。

综上，改进的物理层认证方案，合法接收端牺牲了原方案在低信噪比时的虚警率，大大降低了错误判决概率，提升了认证准确性。

3.2 窃听端性能仿真结果与对比

窃听端的性能主要反映物理层认证方案的安全性，不同信噪比Eve 端的虚警率、成功检测概率以及错检概率仿真结果如图6。

图6 Eve 端采用不同判决阈值仿真结果对比

从仿真结果看出，采用最优判决阈值时，Eve端成功检测率始终不够高，但相比原方案已经有了较大改进。采用文献中的阈值时，高信噪比条件下成功检测概率有明显提升，但始终无法达到1，一直存在一个固定差错极限。分析可知，信噪比逐渐增大时，式（8）δi,Eve|H1的方差中，L/(2γi,Eve)的取值逐渐减小，这一项逐渐不可忽略，这将导致δi,Eve|H1的方差比δi,Eve|H0的方差大得多，即使在虚警率很小的情况下，也会出现漏检。当信噪比较大时，可以忽略δi,Eve|H1方差中的L/(2γi,Eve)项得到近似的理论结果。从图中可以发现，采用最佳判决阈值对Eve 端的判决准确率有明显改善，在信噪比为10dB左右时错误检测概率约从0.5 减小到0.2，减小了约60%，直到信噪比达到30dB 时，原方案的错误检测概率才约等于采用最佳判决阈值的方案。说明文献[8]的方案大大低估了窃听的检测能力。

综上，在采用最佳判决阈值优化后的方案中，Eve 端的检测准确性得到改善，获得了更强的窃听能力，有利于之后窃听端分析密钥信息。

Eve 端和Bob 端的检测结果的差异，是安全完成物理层认证的直接原因。低信噪比条件下，Bob端的成功认证性能明显好于Eve 端，通过选择合适的发射机发射功率，可以更好地实现物理层认证。

4 结语

嵌入水印式物理层认证与其他物理层认证方法相比由于其认证信号可控、多样且容易被检测，在对发射机进行认证时具有很大优势，有广阔的研究前景。本文在介绍嵌入水印式物理层认证原理的基础上，提出了一种改进的方案，并分析了改进后的性能。研究发现，采用本文的最优判决阈值，可以有效增强接收端的成功认证性能，Eve 端也可以获得更强的窃听能力。另外，在本文中，由于假设了存在编码增益，进而假设了完美的信息信号解调，考虑在这种简单条件下的认证性能。在之后的研究中，可以对非完美信息解调进行考虑，相应的标签生成方案要加以改动，以满足嵌入水印式物理层认证方案的鲁棒性要求，保证系统的稳定工作。