戴嶠，金梁，黃開枝

(國家數(shù)字交換系統(tǒng)工程技術研究中心，河南 鄭州 450002)

1 引言

與有線通信相比，無線通信在一定范圍內不受地理環(huán)境的限制，覆蓋范圍更大，使用更加靈活自由，因此無線通信的應用日益普及。伴隨著無線通信應用領域的拓展，對其安全性的要求也越來越高。與有線信道不同，無線信道具有開放性和廣播性，如果使用與有線通信相同的加密方法，密鑰的分發(fā)十分困難，所以需要尋找一種適合無線信道的加密方法。

Ahlswede和Csiszar[1]，以及Maurer[2]首先提出了合法用戶利用共享隨機信息生成密鑰的思想。之后，Hershey[3]等提出在時分雙工的通信系統(tǒng)中，利用無線信道的互易性實現(xiàn)合法用戶對物理層信道特征的共享，并從中提取密鑰，達到密鑰分發(fā)的目的；同時利用信道特征的隨機性和獨有性，保證密鑰的安全性。在之后的十幾年中，針對不同信道特征的特點，眾多實際的密鑰生成方案被提出[4~10]，這些方法至少包含2個步驟：信道特征量化與信息協(xié)商，分別用于生成保密序列及糾正其中的不一致位。

研究表明量化與協(xié)商算法對密鑰強度與系統(tǒng)有效性的影響顯著[11,12]。量化算法中過高的量化精度或不適合的量化區(qū)間會增大噪聲對量化結果的影響，導致生成的保密序列不一致率過高，不僅無法用于加密，還需要耗費大量資源進行信息協(xié)商，降低系統(tǒng)的有效性；若為了保證保密序列的一致率，對信道特征采用較低的量化精度，又會導致生成密鑰熵率低，易被破解，降低通信的安全性。同時，由于不同協(xié)商方法對不一致位的處理方法不同，導致協(xié)商之后的密鑰性能不同。但是由于密鑰速率與量化及協(xié)商算法之間不存在簡單的函數(shù)關系，所以現(xiàn)有方法均選擇了固定的量化及協(xié)商算法，導致系統(tǒng)不能自適應信道信噪比的變化，無法同時滿足密鑰強度及系統(tǒng)有效性的需要。

針對這一問題，本文通過優(yōu)化信道特征的量化算法及協(xié)商方案，提出了一種基于信道特征量化的自適應密鑰生成方案。由于實際的密鑰速率曲線復雜，本文首先提出了密鑰速率的上界函數(shù)曲線，該曲線假設在量化精度小于密鑰速率上限時不存在量化不一致的情況，是實際密鑰速率的上界函數(shù)，并據(jù)此提出了自適應量化算法；然后通過消除量化噪聲，在減小量化不一致率的同時提高密鑰速率，使實際曲線與上界函數(shù)曲線更加接近；接著利用該上界函數(shù)曲線代替實際曲線對量化精度進行分析，指出當量化精度大于密鑰速率上限時，不一致率將迅速上升導致密鑰速率不再提高，所以選用密鑰速率上限作為量化精度，以同時保證較低的不一致率與較高的密鑰速率。在該算法的基礎上，通過分析不同協(xié)商方案生成密鑰的熵率，得到了依據(jù)信道噪聲閾值進行協(xié)商方案選擇的方法。最后，利用上述關鍵算法得到自適應的密鑰生成方案。仿真結果表明，與現(xiàn)有方法相比，在量化精度較低時，利用量化噪聲消除算法可以將密鑰熵率提高1 bit/時隙。在任意信道噪聲條件下，利用本文方案可實現(xiàn)不低于理論上限0.3 bit/時隙的密鑰熵率以及95%以上的一致率，同時保證密鑰強度及系統(tǒng)有效性。

2 系統(tǒng)模型及問題描述

2.1 基于信道特征量化的密鑰生成模型

基于信道特征提取的密鑰生成模型如圖1所示。Alice為發(fā)送者，Bob為合法接收者，Eve為被動竊聽者，三者均為單天線。其中，Alice與Bob之間的信道稱為主信道，選取主信道的相位響應0u作為生成密鑰的隨機變量。假設信道為塊衰落信道，則0u在一個時隙內不變，在不同時隙取值獨立。

Alice與Bob通過在同一時隙內測量對方發(fā)送的導頻信號對0u進行估計，得到Au和Bu

其中，uA與uB為零均值復高斯噪聲。令ΔB=uA- uB為Alice與Bob對 u0的測量誤差，結合式(1)可得 ΔB= uA- uB。實驗表明，信道具有短時互易性[4~8]， uA與 uB的相關性非常大，且 uA與 uB方差相等，假設為σ2，則ΔB~ N(0,2σ2) 。同時由于無線信道的獨有性，當Eve與Bob相距超過通信波長的一半時，信道相位響應的相關性就會降到 0.2以下[9]，所以認為 uA與 uB是安全的。

如圖1所示，Alice與Bob通過量化 uA和 uB得到保密序列 vA與 vB。其中， QL(?)為量化函數(shù)，量化級數(shù)為L。 Pe為 vA與 vB不一致的概率，當 Pe≠0時，為了保證最終密鑰的一致性，合法用戶需要通過公共信道發(fā)送協(xié)商信息協(xié)商C，使保密序列達成一致。假定公共信道是無噪的，且C可被Eve得到。

圖1 基于無線信道特征的密鑰生成模型

協(xié)商方案有糾錯[12]與檢錯[4,6]2種。糾錯方案是指Alice將可實現(xiàn)糾錯的協(xié)商信息發(fā)送給Bob，Bob利用此信息糾正保密序列中的不一致位；密鑰檢錯方案是指Alice將可實現(xiàn)檢錯的信息發(fā)送給Bob，后者根據(jù)收到的信息判斷自己的保密序列是否與Alice一致，若一致則利用其生成密鑰K，否則就丟棄。

2.2 問題描述

密鑰生成的關鍵是如何利用Au和Bu生成一致的密鑰K，下面從生成密鑰的強度以及系統(tǒng)的有效性2個方面對密鑰生成方案進行分析。

在保密通信中使用密鑰熵率對密鑰的強度進行衡量。密鑰熵率定義為在K安全的條件下合法用戶每時隙生成K的平均熵值。熵的物理概念為不確定性，當量化精度較低時，量化結果取值單一、不確定性較小，導致利用其生成的密鑰空間小、強度差。所以需要通過提高量化精度來擴大密鑰空間，達到提高密鑰強度的目的。

雖然通過提高信道特征的量化精度可以提高生成密鑰的強度，但是過高的量化精度會導致噪聲的影響增大，使不同用戶量化結果的不一致率增加。而較高的不一致率導致需要多輪協(xié)商才能完全去除不一致比特，消耗資源過多。同時由于協(xié)商會暴露保密序列的信息，所以當保密序列的不一致率大于11%時，利用現(xiàn)有信息協(xié)商方法將無法獲得一致的密鑰。所以應該在保證雙方量化一致率較高的前提下提高量化精度，從而保證系統(tǒng)的有效性。

現(xiàn)有文獻也發(fā)現(xiàn)了存在于密鑰強度及系統(tǒng)有效性之間的權衡問題[11]，但是由于密鑰速率、不一致率與量化及協(xié)商算法的關系復雜，所以并未出現(xiàn)有效的解決方法。針對這一問題，本文提出了密鑰速率上界函數(shù)的概念，并在此基礎上提出了自適應量化算法。該上界函數(shù)由不同量化精度下密鑰速率的上界構成，物理意義為當量化精度小于密鑰速率上限時不存在量化結果不一致的情況。所以量化結果的不一致率越小，密鑰速率就越接近該上界函數(shù)。自適應量化算法通過消除量化噪聲來提高密鑰速率，使上界函數(shù)更加接近實際的密鑰速率。在此基礎上通過分析上界函數(shù)曲線，發(fā)現(xiàn)當量化精度超過密鑰速率上限時，保密序列的不一致率迅速上升而密鑰速率基本不變，所以提出將密鑰速率上限作為量化精度。接著通過比較不同信噪比條件下2種協(xié)商方案在該算法基礎上生成密鑰的熵率，給出了信息協(xié)商方案的選擇方法。

最后，本文在上述算法的基礎上給出了基于信道特征量化的自適應密鑰生成方案，達到同時保證系統(tǒng)強度與有效性的目的。

3 關鍵算法設計與分析

本節(jié)給出了基于信道特征量化的自適應密鑰生成方案中的2個關鍵算法：自適應量化算法以及協(xié)商方案選擇方法。其中，自適應量化算法在密鑰速率上界函數(shù)的基礎上得到，包含量化噪聲消除以及量化精度優(yōu)化2個子算法。

3.1 密鑰速率上界函數(shù)曲線

無線通信信道的相位響應與電磁波的傳播路程有關，因此通信雙方只要是處在移動中，0u就在不停地變化，且服從[0,2π)上的均勻分布。而當信道中障礙物較多時，即使通信雙方不移動，信道的相位響應也為均勻分布。同時因為An、Bn與0u獨立，所以Au 與Bu服從[0,2π)上的均勻分布，采用均勻量化器對Au與Bu進行量化。

糾錯方案下的密鑰熵率cR等于密鑰速率[1,2,13]

當量化精度趨于無窮大時，得到密鑰速率的上確界R為[14]

而當量化精度較小時有

其中，L為量化精度。據(jù)此給出密鑰速率的上界函數(shù)為

對任意L，都有 Rc'（L）≥ Rc（L）。該曲線的物理意義為當 lb L ＜ I（ uA; uB）時，不存在量化不一致的情況。實際上，當L接近 I（ uA; uB）時，Pe逐漸增大，I（ vA; vB）≤lbL，導致式（5）與實際曲線出現(xiàn)誤差。通過采用3.2節(jié)中的量化噪聲消除算法可使 Pe大大減小，進而減小該誤差，具體的誤差大小將在 3.3節(jié)中說明。

檢錯方案的密鑰熵率為

其中，1 - Pe為Alice與Bob對信道特征量化結果一致的概率，即密鑰可用的概率。 Rd滿足

證明見附錄 A。從式（6）可以看出：當量化精度較低時，由于 Pe較小，所以 Rd十分接近H（ vA） ；又因為 Pe≥ 0 ，所以有 Rd≤H（ vA） 。同時根據(jù)式（7）可知， Rd的上限也受到R的限制。所以利用式（5）得到的自適應量化算法同樣適用于檢錯策略。不同之處在于 Pe較大時 Rd接近0，采用檢錯方案將會造成密鑰生成的中斷，依據(jù)自適應量化算法可以避免這種情況出現(xiàn)。

Rd定義為信息論安全條件下密鑰熵率的最大值，之所以會出現(xiàn) Rd大于R的情況，是因為檢錯方案的安全性還來源于計算安全。實際中常采用散列函數(shù)值作為檢錯信息，假定當竊聽者的計算能力有限時，無法通過散列函數(shù)值 VA= h ash(vA)得到vA，所以廣播 VA不會影響 vA的安全性。由于 vA的安全性不僅來源于信息論安全，還包含計算安全，所以利用檢錯方案得到的密鑰熵率可能大于密鑰速率。

3.2 自適應量化算法

Alice對Au量化得到Av，產生量化噪聲Qn，則有關系

從式（8）中可以看出 nQ會導致 uB與 vA的誤差增大，使 Pe上升。所以有必要通過消除 nQ來減小Pe。容易證明，均勻分布的量化結果與量化噪聲相互獨立，所以公開 nQ不會影響 vA的安全性。

所以，當Alice量化完成之后，可以將 nQ公開地發(fā)送給Bob。Bob對 uB平移 nQ得到 uB'，再進行量化則可消除量化噪聲的影響。

Bob對 uB'量化得到 vB，則量化結果的不一致率為

同時可知

根據(jù)高斯分布，當均值與量化區(qū)間的中點重合時，落在其他量化區(qū)間的概率最小。所以經(jīng)過量化噪聲消除之后， Pe與 H ( vA|vB)均取到最小值，系統(tǒng)有效性最高。同時，根據(jù)

可知，此時密鑰速率接近上界，所以可以保證生成密鑰的強度。

經(jīng)過量化噪聲消除之后， Rc（L）與 Rc'（L）已十分接近。依據(jù)式（5）給出的 Rc'（L）可知，當lbL＞I（ uA; uB）時， Rc'（L）不再隨L增大；且當lbL＞I（ uA; uB）時，一定有 Pe＞ 0 。這是因為

所以當 l b L ＞I( uA; uB)時，有H( vA|vB) ＞ 0 ，依據(jù)Fano不等式可知 Pe＞ 0 。為了使 Pe較小，應滿足lb L ≤ I ( uA; uB)。據(jù)此得到量化精度的優(yōu)化算法

其中，[]?表示取整。

3.3 協(xié)商方案選擇方法

實際中為了保證生成密鑰的強度，需要接收導頻信號的信噪比足夠大。所以本文對上述算法在大信噪比條件下的性能進行分析，并在此基礎上給出協(xié)商方案的選擇方法。

將lb L = I ( uA; uB)代入式（14）得到量化間隔根據(jù)自適應量化函數(shù)可知噪聲均值位于量化區(qū)間中點，正態(tài)分布的隨機變量落在均值附近4.13倍標準差區(qū)間內的概率為0.960 6，所以有 Pe=0.039 4。 Pe較小說明上界函數(shù)曲線可以較好地近似實際曲線。同時得到 H ( vA|vB)=0.278 9，代入式（2）與式（6）得到

比較以上兩式，得到當 I （ uA; uB）≤ 7 .07時，Rc＜Rd，否則Rd較大。將這一結果代入式（14），得到協(xié)商方案選擇方法如表1所示。其中， S NR0=- 2 0lg，為接收導頻信號的信噪比。表1說明在主信道信道條件較好時，應利用密鑰糾錯方案減少協(xié)商暴露的信息，從而提高生成密鑰的強度；否則應采用檢錯方案保證生成密鑰的一致性。所以協(xié)商時應根據(jù) S NR0的取值自適應地選擇合適的協(xié)商方案。

表1 協(xié)商方案選擇方法

之所以能夠得到表1的結論，是因為采用量化精度自適應選擇與自適應量化函數(shù)生成密鑰的不一致率不變，但是當信噪比較小時，量化精度較低，檢錯方案丟棄不一致密鑰對性能影響較小，同時由于協(xié)商時泄露信息較少，所以與糾錯方案相比性能更好；而信噪比較大時可采用較高的量化精度，丟棄不一致密鑰的同時將大量一致的密鑰比特丟棄，導致檢錯方案性能下降。

4 基于信道特征測量的自適應密鑰生成方案

下面結合自適應量化算法與協(xié)商方案選擇方法，給出基于信道特征測量的自適應密鑰生成方案的具體步驟。

1) Alice與Bob在一個時隙內交替發(fā)送導頻信號，并對接收信號進行多次測量，Alice計算接收導頻信號的信噪比 S NR0。

2) Alice將 S NR0代入式（3）對生成密鑰的速率進行估計，并判斷該速率能否滿足系統(tǒng)安全性的要求。

3) 若通過步驟2）判斷得出生成的密鑰速率較低，則通知Bob增加導頻信號的發(fā)送功率，并回到步驟1）。否則根據(jù)表1確定采用的協(xié)商方案，并利用式（13）計算量化精度L，同時通過無噪公共信道將選定的協(xié)商方案以及L告知 Bob。由于 Alice與Bob接收到的噪聲功率相同，所以Bob可以直接對 uB進行L級量化。

4) Alice對 uA進行L級量化得到 vA，計算nQ= uA- vA，并通過無噪公共信道發(fā)送給Bob，Bob將 uB平移 nQ得到 uB'，量化 uB'得到 vB。

5) Alice根據(jù)所選的協(xié)商方案進行信息協(xié)商。若使用檢錯方案，Alice利用散列函數(shù)生成校驗信息VA，并將 VA發(fā)送給 Bob，Bob用相同的方式生成校驗信息 VB，并與 VA進行比較。若 VA= VB說明兩端對信道相位響應量化得到的保密序列相同，可用于生成密鑰；否則，說明保密序列不同，通知Alice將其丟棄，并開始新一輪的量化；糾錯方案協(xié)商方法與分布式信源編碼類似，具體步驟可參考文獻[2,3,15,16]。

需要說明的是，雖然散列函數(shù)具有較好的單向性，Eve很難根據(jù)AV推算出Av，但是AV還是會造成Av的泄露，所以應盡可能地降低量化結果的不一致率，減少協(xié)商信息的傳遞。

6) Alice與Bob將量化結果轉換為二進制保密序列，并進行存儲。

7) 當保密序列的累積長度達到密鑰長度的要求（如128 bit、256 bit等）時，將保密序列組裝成新的密鑰，更新原有密鑰。

整個過程由于竊聽信道的相位響應Eu與0u獨立，所以Eve無法得到量化結果，保證了密鑰的安全。

5 仿真分析與比較

本節(jié)首先將密鑰速率的上界函數(shù)曲線與實際曲線進行了比較，接著對比了直接量化與經(jīng)過量化噪聲消除之后生成密鑰的性能，并對不同協(xié)商方案生成密鑰的熵率進行了比較，最后對自適應量化精度選擇方法的效果進行了仿真。仿真結果通過 10×104次蒙特卡洛實驗得到，仿真條件如下：

1) u0在[0,2π)上均勻分布；

2) 導頻信號為正弦信號， S NR0的取值范圍為20 dB~60 dB；

3) 采用均勻量化函數(shù)，量化點坐標為{0,Δ,2Δ,…,(L-1)Δ}。

圖2為不同信噪比條件下的密鑰速率。從圖中可以看出，由蒙特卡洛實驗得到的實際密鑰速率曲線經(jīng)過量化噪聲消除之后，能夠較好地由上界函數(shù)曲線近似得到。

圖2 密鑰速率與量化級數(shù)的關系

從圖2可以看出，在量化級數(shù)較低時，通過消除量化噪聲可以有效降低不一致率，從而提高密鑰速率。這是由于Au在量化區(qū)間上均勻分布，當Au接近區(qū)間邊界時，Bu與Au落在不同量化區(qū)間的概率接近0.5，若Bob端直接對Bu量化，結果不一致的概率接近0.5；而消除量化噪聲之后，Au等效為始終位于量化點上，Bu與Au落在不同量化區(qū)間的概率大大降低。

圖3對檢錯方案與糾錯方案生成的密鑰熵率進行了比較。從圖3中看出，量化精度較低時，由于密鑰的不一致率較低，所以檢錯方案的平均密鑰熵率要稍高于糾錯方案；同時，檢錯方案的密鑰速率與糾錯方案之差又不超過1 bit/時隙，可以部分驗證式（7）的結論。而當量化級數(shù)較大時，生成的保密序列不一致率較大，使用糾錯方案可以對不一致位進行糾正，而使用檢錯方案會因較多不一致保密序列被丟棄，導致密鑰熵率迅速下降。

圖3 糾錯方案與檢錯方案密鑰熵率比較

圖 4為對信道特征采用不同量化方案在相同信道條件下的密鑰性能比較圖，從圖 4中可以看出，使用自適應量化算法可以較好地適應信道，生成密鑰的熵率接近采用 16 bit量化生成的密鑰速率，同時量化結果的不一致率在 0.05之內，可以同時保證系統(tǒng)的安全性與有效性。而其他2種固定精度的量化方案則無法適應信道條件的變化：采用16 bit量化生成的密鑰速率較高，但是不一致率也非常高，可能導致無法生成一致的密鑰；而 1 bit量化的密鑰速率受限于量化精度，每個時隙生成的密鑰熵率不大于 1 bit，若信道變化較慢，則無法滿足通信需求。

從圖4（a）中可以看出，在SNR0小于40 dB時，檢錯方案的平均密鑰速率大于糾錯方案的密鑰速率；而當SNR0大于40 dB時，檢錯方案的平均密鑰速率逐漸低于糾錯方案的密鑰速率。所以應根據(jù)表1選擇合適的協(xié)商方案。

6 結束語

通過量化信道特征得到密鑰，利用信道的時變性及獨有性保障通信的安全，是一種有效的物理層安全方法。如何選擇信道特征的量化參數(shù)，同時保證系統(tǒng)的安全性與有效性是該方法的主要問題。本文首先提出了自適應量化算法：選擇密鑰速率上界函數(shù)曲線代替實際復雜的曲線對量化精度及一致率進行分析，同時通過消除量化噪聲的影響，在保證一致率的條件下提高信道特征的量化精度。然后在該算法的基礎上，通過分析不同協(xié)商方案生成密鑰的熵率，得到了依據(jù)信道噪聲閾值進行協(xié)商方案選擇的方法。最后，利用這2種算法得到基于信道特征量化的自適應密鑰生成方案，并通過仿真驗證了該方案的有效性。

本文研究了如何利用相位響應生成密鑰，下一步將考慮利用信道的幅度及相位響應構建的二維隨機變量生成密鑰，進一步提高生成密鑰的強度。

圖4 不同量化方案密鑰性能比較

附錄A 式(7)的證明

證明 引入錯誤指示變量E。

則有

利用熵計算法則展開得到

聯(lián)立式（8）、式（9）可得

證畢。

[1] AHLSWEDE R, CSISZAR I. Common randomness in information theory and cryptography secret sharing[J]. IEEE Trans on Information Theory, 1993, 39(4):1121-1132.

[2] MAURER U M. Secret key agreement by public discussion from common information[J]. IEEE Trans on Information Theory, 1993,39(3):733-742.

[3] HERSHEY J E, HASSAN A A, YARLAGADDA R. Unconventional cryptographic keying variable management[J]. IEEE Trans on Communication, 1995, 43(1):3-6.

[4] MATHUR S, TRAPPER W, MANDAYAM N, et al. Radio-telepathy:extracting a secret key from an unauthenticated wireless channel[A].Proc of the 14th ACM International Conf on Mobile Computing and Networking[C]. San Francisco, USA, 2008. 128-139.

[5] AONO T, HIGUCHI K, OHIRA T, et al. Wireless secret key generation exploiting reactance domain scalar response of multipath fading channels[J]. IEEE Trans on Antennas and Propagation, 2005,53(11): 3776-3784.

[6] JANA S, PREMNATH N S, CLARK M, et al. On the effectiveness of secret key extraction from wireless signal strength in real environments[A]. Proc of the 15th ACM Conf on Mobile Computing and Networking[C]. Beijing, China, 2009. 321-332.

[7] WILSON R, TSE D, SCHOLTZ R A. Channel identification: secret sharing using reciprocity in UWB channels[J]. IEEE Trans on Information Forensics and Security, 2007, 9(3):17-30.

[8] YE C, MATHUR S, REZNIK A, et al. Information-theoretically secret key generation for fading wireless channels[J]. IEEE Trans on Information Forensics and Security, 2010, 5(2):240-254.

[9] SASAOKA H, IWAI H. Securing Wireless Communications at the Physical Layer[M]. Springer Publishing Company, 2010. 261-280.

[10] HAMIDA S, PIERROT J, CASTELLUCCIA C. An adaptive quantization algorithm for secret key generation using radio channel measurement[A]. The 3rd International Conf on New Technologies,Mobility and Security (NTMS)IEEE[C]. Cairo, Egypt, 2009. 1-5.

[11] YE C, REZNIK A, SHAH Y. Extracting secrecy from jointly gaussian random variables[A]. ISIT2006[C]. Seattle, 2006. 2593-2597.

[12] WANG S H, REN K. Fast and scalable secret key generation exploiting channel phase randomness in wireless networks[A].INFOCOM, 2011 Proceedings IEEE[C]. Shanghai, China, 2011.

[13] 1M4A22U-1R4E3R0 .U M, WOLF S. Information-theoretic key agreement: from weak to strong secrecy for free[A]. Advances in Cryptology-EUROCRYPT 2000[C]. Bruges, 2000.351-368.

[14] GAMAL A E, KIM Y. Network Information Theory[M]. Cambridge:Cambridge University Press, 2011.

[15] BRASSARD G, SALVAIL L. Secret-key reconciliation by public discussion[A]. Advances in Cryptology-EUROCRYPT’93[C]. Lofthus,1994. 765:410-423.

[16] YE C, NARAYAN P. Secret key and private key constructions for simple multiterminal source models[J]. IEEE Trans on Information Theory, 2012, 58(2):639-651.