李楠楠，韓瑜，高寧，金石

（1. 東南大學(xué)移動(dòng)通信國(guó)家重點(diǎn)實(shí)驗(yàn)室，江蘇 南京 210096；2. 新加坡科技設(shè)計(jì)大學(xué)，新加坡 487372）

1 引言

無(wú)線(xiàn)信道的廣播特性使得合法用戶(hù)很容易受非法用戶(hù)的攻擊，如竊聽(tīng)、流量分析、干擾、重放、拒絕服務(wù)等[1]。目前，無(wú)線(xiàn)傳輸安全已引起學(xué)術(shù)界和工業(yè)界的廣泛關(guān)注[2]。傳統(tǒng)的加密算法一般是基于計(jì)算的復(fù)雜度，如基于大數(shù)分解的復(fù)雜性的RSA公鑰加密算法需要假定攻擊者的計(jì)算能力有限，從而保證非法用戶(hù)無(wú)法在有效時(shí)間內(nèi)獲取密鑰，但對(duì)于資源受限的設(shè)備，算法并不適用[3-4]。同時(shí)，傳統(tǒng)的公鑰基礎(chǔ)設(shè)施需要依賴(lài)可靠的第三方機(jī)構(gòu)來(lái)分發(fā)密鑰，但是在復(fù)雜動(dòng)態(tài)的移動(dòng)無(wú)線(xiàn)環(huán)境中，依靠證書(shū)頒發(fā)機(jī)構(gòu)或密鑰分發(fā)中心的密鑰分發(fā)方式具有較多的局限性[5]。近年來(lái)，無(wú)線(xiàn)物理層密鑰生成技術(shù)受到了廣泛關(guān)注，相比于傳統(tǒng)加密算法，物理層密鑰生成算法利用無(wú)線(xiàn)信道的特性生成密鑰，進(jìn)而保證無(wú)線(xiàn)傳輸?shù)耐暾院捅Ｃ苄訹6]。物理層密鑰生成算法基于時(shí)分雙工通信系統(tǒng)的信道短時(shí)互易性在信道相干時(shí)間內(nèi)通信雙方可以通過(guò)發(fā)送導(dǎo)頻信號(hào)，獲取高度相似的物理層信道特征，并利用該特征進(jìn)行物理層密鑰生成。物理層密鑰生成具有以下優(yōu)勢(shì)：一是基于物理層信道特征的密鑰生成技術(shù)可以作為上層加密技術(shù)的必要補(bǔ)充，輔助增強(qiáng)無(wú)線(xiàn)通信的安全性；二是物理層密鑰生成基于信道短時(shí)互易性生成雙方一致的密鑰，不需要額外的密鑰分發(fā)和密鑰管理機(jī)制；三是物理層密鑰的安全性基于無(wú)線(xiàn)信道的時(shí)變性和隨機(jī)性，不依賴(lài)于計(jì)算復(fù)雜度，非常適用于資源受限的設(shè)備。研究表明，基于物理層特征的密鑰生成方法理論上可實(shí)現(xiàn)“一次一密”通信[7]，能保證通信的絕對(duì)安全。

無(wú)線(xiàn)信道的互易性是物理層密鑰生成的基礎(chǔ)，由于接收信號(hào)強(qiáng)度（received signal strength，RSS）具有很強(qiáng)的互易性且容易被獲取，被廣泛應(yīng)用于窄帶和寬帶通信系統(tǒng)的物理層密鑰生成[8]。參考文獻(xiàn)[5]提出使用level-crossing算法用于密鑰生成，但是由于每個(gè)數(shù)據(jù)包只能獲得一個(gè)RSS值，密鑰生成速率受到了限制。為了達(dá)到更好的密鑰生成率，需要考慮信道的細(xì)粒度信息。信道狀態(tài)信息（channel state information，CSI）描述了信道增益矩陣中每個(gè)元素的值，參考文獻(xiàn)[9]利用信道沖激響應(yīng)（channel impulse response，CIR）生成密鑰，提出一種增加密鑰熵的算法。參考文獻(xiàn)[6]利用信道頻率響應(yīng)（channel frequency response，CFR）的相位與幅度信息進(jìn)行密鑰生成，并通過(guò)實(shí)驗(yàn)證明了可以獲得比基于RSS信息更長(zhǎng)的隨機(jī)密鑰比特。

為了提高物理層密鑰的長(zhǎng)度，同時(shí)降低密鑰的協(xié)商開(kāi)銷(xiāo)，本文考慮多徑衰落信道下時(shí)分雙工（time division duplex，TDD）正交頻分復(fù)用（orthogonal frequency division multiplexing，OFDM）通信系統(tǒng)，利用CSI來(lái)做物理層密鑰生成，通過(guò)聯(lián)合使用CFR的相位與幅度信息，提出了兩種用于密鑰生成的算法。通過(guò)信息泄露情況、密鑰長(zhǎng)度和隨機(jī)性3項(xiàng)指標(biāo)對(duì)生成密鑰的性能進(jìn)行了分析。通過(guò)仿真實(shí)驗(yàn)與參考文獻(xiàn)[5-6]所提出的密鑰生成算法進(jìn)行了對(duì)比，與已有的串聯(lián)相位與幅度信息的算法[6]相比，本文提出的算法在量化后生成的初始密鑰一致性更高，從而信息協(xié)同階段所需要的開(kāi)銷(xiāo)更小。此外，與單獨(dú)使用相位信息或者幅度信息的算法相比，所提算法可以達(dá)到增加密鑰長(zhǎng)度以及增強(qiáng)隨機(jī)性的目的，并且可以防御非法用戶(hù)的竊聽(tīng)以及主動(dòng)攻擊。

2 系統(tǒng)模型

2.1 信道模型

系統(tǒng)模型如圖1所示，考慮TDD條件下多徑衰落信道的OFDM通信系統(tǒng)系統(tǒng)中Alice和Bob為合法通信用戶(hù)，Eve為非法用戶(hù)，Alice和Bob通過(guò)合法鏈路進(jìn)行物理層密鑰生成，Eve對(duì)于物理層密鑰生成存在潛在的安全威脅。

在通信過(guò)程中，Alice和Bob交替?zhèn)鬏斝畔ⅲ篈lice在時(shí)隙1發(fā)送信道探測(cè)信號(hào)，Bob接收信號(hào)并存儲(chǔ)在本地。Bob在時(shí)隙2發(fā)送信道探測(cè)信號(hào)，Alice收到信號(hào)并存儲(chǔ)。同時(shí)Eve在兩個(gè)時(shí)隙中竊聽(tīng)來(lái)自Alice和Bob的信號(hào)，并試圖對(duì)消息進(jìn)行解密。Alice和Bob的接收信號(hào)可以表示為：

圖1 系統(tǒng)模型

其中，X表示信道探測(cè)信號(hào)，H表示信道頻率響應(yīng)，N表示服從均值為0、方差為的獨(dú)立同分布的復(fù)高斯噪聲，Y表示接收信號(hào)，角標(biāo)A、B分別代表Alice和Bob。

在多徑環(huán)境中，Alice和Bob之間的無(wú)線(xiàn)信道會(huì)在發(fā)送和接收的信號(hào)上產(chǎn)生隨時(shí)間變化的隨機(jī)映射，該映射是互易的且位置相關(guān)的，即HBA與HAB相同。通過(guò)對(duì)接收信號(hào)做離散傅里葉變換（discrete Fourier transform，DFT），Alice和Bob的離散接收信號(hào)可以表示為：

其中，H(ni,k),i=1,2是第ni個(gè)OFDM符號(hào)上第k個(gè)子載波的CFR（k∈{0,1,…,K-1}）。A(1,)Xnk和XB(n2,k)是歸一化的導(dǎo)頻信號(hào)。ηA(n2,k)和ηB(n1,k)是服從均值為0、方差為σn2的獨(dú)立同分布的復(fù)高斯噪聲。

2.2 攻擊模型

無(wú)線(xiàn)信道的廣播特性使其容易遭受竊聽(tīng)、偽造等攻擊，當(dāng)攻擊者Eve與合法通信方之間的距離大于λ/2時(shí)，攻擊者監(jiān)聽(tīng)到的信道信息與合法用戶(hù)之間的信道信息不相關(guān)[10]。本文考慮在與合法通信用戶(hù)距離均大于λ/2的位置處設(shè)立竊聽(tīng)攻擊者與偽造攻擊者。攻擊模型如圖2所示，竊聽(tīng)攻擊者Eve的接收信號(hào)表示為：

Bob可接收Alice和偽造攻擊者Eve發(fā)來(lái)的消息，來(lái)自Eve的接收信號(hào)可表示為：

式（5）～式（7）中，X表示信道探測(cè)信號(hào)，H表示信道頻率響應(yīng)，N表示服從均值為0、方差為的獨(dú)立同分布的復(fù)高斯噪聲，Y表示接收信號(hào)。

圖2 攻擊模型

3 密鑰生成流程

物理層密鑰生成技術(shù)主要包括信道估計(jì)、比特量化、信息協(xié)同、一致性校驗(yàn)和隱私放大5個(gè)步驟。

（1）信道估計(jì)：Alice和Bob雙方相互發(fā)送導(dǎo)頻探測(cè)信號(hào)用于獲取信道測(cè)量值，基于信道的互易性，通信雙方可得到高度相關(guān)的信道測(cè)量值。

（2）比特量化：采用相位和幅度聯(lián)合分區(qū)的方法，將信道測(cè)量值量化為0，1 byte生成初始密鑰KA和KB。其中，算法一首先利用相位信息選擇信道估計(jì)值，再結(jié)合幅度信息生成密鑰；算法二首先利用幅度信息選擇信道估計(jì)值，再結(jié)合相位信息生成密鑰。算法的具體流程在第3.2.1節(jié)和第3.2.2節(jié)中介紹。

（3）信息協(xié)同：由于信道的非同時(shí)探測(cè)以及信道噪聲等因素的影響，通信雙方量化后得到的初始密鑰KA和KB通常不完全相同，必須通過(guò)信息協(xié)同來(lái)檢測(cè)并糾正初始密鑰中的不一致問(wèn)題，最終得到相同的密鑰KA′和KB′。信息協(xié)同通常使用Cascade算法[11]、Winnow算法[12]或糾錯(cuò)碼[13-14]。本文使用BCH糾錯(cuò)碼對(duì)初始密鑰進(jìn)行糾錯(cuò)，具體操作將在第3.2.3節(jié)中介紹。

（4）一致性校驗(yàn)：Alice和Bob使用相同的哈希函數(shù)來(lái)生成密鑰的哈希值和，然后交換哈希值來(lái)驗(yàn)證密鑰的一致性。如果雙方哈希值相同，則表示密鑰生成成功；否則密鑰生成失敗，重用先前的密鑰，待下一幀重新開(kāi)始密鑰生成過(guò)程。

（5）隱私放大：通過(guò)上述步驟Alice和Bob可得到一致的密鑰，最后通過(guò)隱私放大消除密鑰比特之間的相關(guān)性。

圖3 物理層密鑰生成流程

3.1 信道探測(cè)及估計(jì)

在無(wú)線(xiàn)通信中，信道測(cè)量值的獲取通常要進(jìn)行信道估計(jì)，信道估計(jì)分為基于參考信號(hào)的估計(jì)[15]、盲估計(jì)[16]以及半盲估計(jì)，本文采用基于參考信號(hào)的估計(jì)方式。

Alice和Bob相互發(fā)送導(dǎo)頻探測(cè)信號(hào)，如圖4所示，Alice在某一時(shí)刻向Bob發(fā)送探測(cè)信號(hào)1，經(jīng)過(guò)時(shí)間1t，Bob接收探測(cè)信號(hào)1，接著B(niǎo)ob經(jīng)歷Δt的收發(fā)轉(zhuǎn)換，同時(shí)Alice經(jīng)歷Δt的發(fā)收轉(zhuǎn)換；然后，Bob向Alice發(fā)送探測(cè)信號(hào)2，經(jīng)過(guò)時(shí)間t2，Alice接收探測(cè)信號(hào)，至此完成一次信道的雙向探測(cè)。假設(shè)信道相干時(shí)間為cT，為了保證雙方得到高度相關(guān)的探測(cè)值，一個(gè)探測(cè)周期必須滿(mǎn)足

圖4 信道探測(cè)時(shí)序

在信道探測(cè)過(guò)程中，假定Alice和Bob在相干時(shí)間內(nèi)互發(fā)探測(cè)信號(hào)，并利用最小二乘（least-square，LS）估計(jì)算法估計(jì)得到信道頻率響應(yīng)（CFR），則Alice和Bob端的CFR估計(jì)值分別表示為：

其中，EB(n1,k)和EA(n2,k)為估計(jì)誤差，可將其視為均值為0、方差為的獨(dú)立同分布的復(fù)高斯噪聲。

3.2 量化

圖5 算法一流程

圖6 算法二流程

3.2.1 算法一：相位—幅度聯(lián)合

（1）基于相位的密鑰提取

Alice和Bob利用CFR估計(jì)值和的相位信息，選擇用于生成密鑰的估計(jì)值。首先將相位分為M塊，如圖7所示，以M=8為例，將整個(gè)區(qū)域分為8份，設(shè)置幅度保護(hù)閾值GA和相位保護(hù)閾值Gφ。其中，iA涵蓋相位保護(hù)區(qū)域（帶狀區(qū)域）和決策域Zi（三角形區(qū)域）。信道估計(jì)值只有落入決策域Zi內(nèi)，才能被用于生成密鑰，落入相位保護(hù)區(qū)域的信道估計(jì)值將會(huì)被舍去。相位分區(qū)的優(yōu)點(diǎn)在于：提高密鑰生成長(zhǎng)度；降低初始量化密鑰的不一致率。隨后，按照以下4個(gè)步驟選擇用于密鑰生成的估計(jì)值。

步驟1Bob從中找到連續(xù)1m個(gè)位于相同的決策域Zi的值，將該段中間值的位置信息記為ρρB(k)，并且任意兩個(gè)中間值的位置距離要大于或等于cB，cB是相干帶寬，即是符合條件的總段數(shù)。

圖7 相位分區(qū)

步驟2Bob從ppB中隨機(jī)選擇一個(gè)子集p′pB將位置索引向量發(fā)送給Alice。

步驟3根據(jù)接收到的，Alice檢查的相應(yīng)位置處是否存在連續(xù)1m個(gè)位于相同的決策域Zi的值，若存在則將該位置信息記錄在ppA中，若不存在則舍棄該位置信息。，LpA是符合條件的總段數(shù)。

步驟4依據(jù)參考文獻(xiàn)[5]計(jì)算，若比值小于0.5+error(0＜error＜0.5)，則判定存在主動(dòng)攻擊，來(lái)自主動(dòng)攻擊者。若比值大于0.5+error則判定來(lái)自Bob。Alice將ppA發(fā)送給Bob。

值得注意的是，在步驟2中，非法用戶(hù)Eve可以冒充Bob將虛假索引向量發(fā)送給Alice，但由于Eve無(wú)法獲取p′pB的真實(shí)信息，只能隨機(jī)猜測(cè)得到。此時(shí)Alice根據(jù)得到

（2）相位量化

Alice和Bob根據(jù)位置索引向量ppA，對(duì)CFR估計(jì)值(k)和的相位進(jìn)行量化并生成基于相位的初始密鑰KPA(k)和KPB(k)(k=1,2,…,LpA)，相位信息記為φA(k)和φB(k)。根據(jù)相位量化階數(shù)M的不同，可以將每一位CFR估計(jì)值量化為lbMbit的密鑰，例如當(dāng)M=4時(shí)，落入Z1區(qū)域的估計(jì)值被量化為00，落入Z2區(qū)域的估計(jì)值被量化為01，落入Z3區(qū)域的估計(jì)值被量化為11，落入Z4區(qū)域的估計(jì)值被量化為10。經(jīng)歷以上步驟的生成的初始密鑰KPA(k)和KPB(k)可達(dá)到高度一致性，其中可能僅存在少許的比特不一致位，可在后續(xù)的信息協(xié)同階段糾正。

（3）幅度量化

Alice和Bob根據(jù)位置索引向量pA，計(jì)算相應(yīng)CFR估計(jì)值(k)和(k) (k=1,2,…,LpA)的頻率幅度響應(yīng)，設(shè)Alice和Bob幅度響應(yīng)分別為MA(k)和MB(k)(k=1,2,…,LpA)。本文考慮兩種幅度量化方法：基于均值的量化方法和基于中位數(shù)的量化方法，將幅度響應(yīng)值量化為二進(jìn)制比特，生成基于幅度的初始密鑰KMA(k)和KMB(k),(k=1,2,…,LpA)?；诰档姆确謪^(qū)如圖8所示，基于中位數(shù)的幅度分區(qū)如圖9所示。

圖8 基于均值的幅度分區(qū)

圖9 基于中位數(shù)的幅度分區(qū)

① 基于均值的量化：

其中，GA是幅度閾值，mean是幅度響應(yīng)MA(k)或MB(k)的均值。當(dāng)M(k)＞mean時(shí)，M(k)被量化為1；當(dāng)GA＜M(k)≤mean時(shí)，M(k)被量化為0；當(dāng)M(k)≤AG時(shí)，x該值被舍棄。

②基于中位數(shù)的量化：將幅度響應(yīng)MA(k)和MB(k)從小到大排序，記前一半為MFA和MFB，后一半為MBA和MBB。MF的中位數(shù)記為median0，M(k)的中位數(shù)記為median1，MB的中位數(shù)記為median2。

（4）密鑰合并

交叉合并基于相位生成的密鑰和基于幅度生成的密鑰，最終生成的密鑰為：K(k)=假設(shè)M=8，CFR估計(jì)值的相位落入Z3決策域（量化為011），幅度落入圖9所示區(qū)域②被量化為01，即此CFR估計(jì)值被量化為01101。

3.2.2 算法二：幅度—相位聯(lián)合

（1）基于幅度的密鑰提取

CFR估計(jì)值和的幅度信息記為。首先使用兩種量化方法進(jìn)行幅度分區(qū)量化。

① 雙閾值量化

q+=mean+a*σ，q-=mean-a*σ，其中mean是MA(k)或MB(k)的均值，a是閾值參數(shù)，σ是MA(k)或MB(k)的標(biāo)準(zhǔn)差。雙閾值量化幅度如圖10所示。當(dāng)M(k)＞q+時(shí)，M(k)被量化為1，當(dāng)M(k)＜q-時(shí)，M(k)被量化為0，當(dāng)q-≤M(k)≤q+時(shí)該值被舍棄。

圖10 雙閾值量化幅度

② 中位數(shù)量化

同樣地，幅度分區(qū)的優(yōu)點(diǎn)在于：提高密鑰生成長(zhǎng)度；降低初始量化密鑰的不一致率。中位數(shù)量化幅度如圖11所示。隨后，基于量化值使用level-crossing算法[5]選出待使用的信道估計(jì)值。level-crossing算法的具體步驟如圖12所示。

圖11 中位數(shù)量化幅度

（2）相位量化

根據(jù)pmA對(duì)CFR估計(jì)值的相位信息φA(k)和φB(k)進(jìn)行量化并生成基于相位的初始密鑰KPA(k)和KPB(k)(k=1,2,…,LmA)。根據(jù)相位量化階數(shù)M的不同，可以將每一位CFR估計(jì)值量化為lbMbit的密鑰。

（3）密鑰合并

交叉合并相位生成的密鑰和基于幅度生成的密鑰。最終生成的密鑰為：

圖12 level-crossing算法

根據(jù)上述分析，算法一與算法二選擇信道估計(jì)值的時(shí)間復(fù)雜度是O(K)，在相位量化階段或幅度量化階段的時(shí)間復(fù)雜度分別為O(L′pB)或，由于且，故算法一與算法二的時(shí)間復(fù)雜度均為O(K)。由分析可知，所提算法的復(fù)雜度隨K值呈線(xiàn)性增加，算法復(fù)雜度較低。

3.3 信息協(xié)同

盡管采用信號(hào)預(yù)處理算法可提高信道測(cè)量的互相關(guān)性，但量化后Alice和Bob之間仍然存在潛在的密鑰不一致情況。本文使用BCH糾錯(cuò)碼對(duì)K(k)進(jìn)行糾錯(cuò)，BCH(n,k,t)碼具有n位碼字和k位信息，可以糾正t位錯(cuò)誤。BCH糾錯(cuò)流程如圖13（a）所示：首先Alice選擇隨機(jī)數(shù)組r，經(jīng)過(guò)BCH編碼得到碼字c，然后Alice根據(jù)異或運(yùn)算s=XOR(KA,c)計(jì)算校驗(yàn)子，再將校驗(yàn)子s發(fā)送給Bob，假設(shè)Bob正確接收s，Bob計(jì)算碼字cB=XOR(KB,s)，如果KA和KB的錯(cuò)誤比特?cái)?shù)在糾錯(cuò)范圍內(nèi)，則cB解碼后得到的cB′與

碼字c相同。最后經(jīng)過(guò)異或運(yùn)算Alice得到密鑰Bob得到密鑰。圖13（b）以BCH(7,4,1)碼為例說(shuō)明了糾錯(cuò)過(guò)程，其中碼字長(zhǎng)度為7 bit，信息位為3 bit，可以糾正1 bit錯(cuò)誤。KA和KB有1 bit的錯(cuò)誤，導(dǎo)致碼字c和Bc之間存在1 bit的錯(cuò)誤，錯(cuò)誤bit數(shù)在BCH碼的糾錯(cuò)范圍之內(nèi)，所以經(jīng)過(guò)BCH解碼得到與c相同的碼字Bc′。

3.4 一致性校驗(yàn)及隱私放大

通過(guò)上述步驟Alice和Bob可得到一致的密鑰，最后Alice和Bob按照一定的規(guī)則從KA′、KB′中選取一部分bit作為最終的密鑰。通過(guò)隱私放大消除密鑰比特之間的相關(guān)性以及降低信息協(xié)調(diào)階段發(fā)送校驗(yàn)子可能存在的密鑰泄露的風(fēng)險(xiǎn)。

4 性能分析及實(shí)驗(yàn)仿真

本節(jié)通過(guò)MATLAB對(duì)所提出的基于幅度和相位聯(lián)合分區(qū)的物理層密鑰生成算法進(jìn)行性能分析，仿真采用的OFDM系統(tǒng)基于TDD的長(zhǎng)期演進(jìn)（long term evolution，LTE）系統(tǒng)，信道模型采用3GPP Vehicle Type-A信道模型[17]，主要仿真參數(shù)見(jiàn)表1。

表1 仿真參數(shù)

4.1 安全性分析

（1）竊聽(tīng)攻擊

由于Eve與Alice和Bob之間的距離均大于λ/2，即竊聽(tīng)信道與合法通信信道的信道特征不相關(guān)，Eve無(wú)法通過(guò)竊聽(tīng)獲取有用信息。

圖13 BCH糾錯(cuò)流程及BCH糾錯(cuò)碼示例

設(shè)Alice、Bob和Eve對(duì)信道的探測(cè)分別為HA、HB和HE，那么Alice和Bob之間的互信息為；Eve獲取的Alice到Bob信道探測(cè)的互信息為IAE=I(HA|HE)；Eve獲取Bob到Alice信道探測(cè)的互信息為IBE=I(HB|HE)；且滿(mǎn)足IAB＞0，IAE=IBE=0。

為了進(jìn)一步驗(yàn)證上述分析的正確性，以下進(jìn)行了仿真實(shí)驗(yàn)分析。在仿真實(shí)驗(yàn)中，假設(shè)Eve端與合法通信雙方采用相同的信道估計(jì)方法，得到的物理層信道特征值如圖14所示。

圖14 Alice、Bob和Eve的CFR幅度信息及局部放大

從圖14中可以看出Alice和Bob得到的信道估計(jì)值高度相似，同時(shí)Eve端得到的信道估計(jì)值與合法通信方的信道估計(jì)值相關(guān)性較弱。

（2）偽造攻擊

本文提出的算法可以有效地避免偽造攻擊，由上述算法中步驟二可知，Eve可以冒充Bob將隨機(jī)猜測(cè)獲得的虛假索引向量發(fā)送給Alice，Alice接收后根據(jù)得到由于沒(méi)有反映真實(shí)的信道特性，根據(jù)步驟4計(jì)算得到的一定小于0.5+error(0＜error＜0.5)，故Alice將索引向量判定為偽造攻擊，進(jìn)而中斷本輪的物理層密鑰生成過(guò)程。

4.2 密鑰長(zhǎng)度分析

對(duì)于給定的相位量化階數(shù)M，算法一的平均密鑰長(zhǎng)度由式（15）給出：

其中，AL是根據(jù)相位信息選擇的信道估計(jì)值的總段數(shù)，lbM是根據(jù)相位信息量化的信息量。N是幅度的量化階數(shù)，例如使用均值量化時(shí)N=1，使用中位數(shù)量化時(shí)表示信道估計(jì)值和落入相同決策域的概率。表示和落入不同決策域但在信息協(xié)同階段被成功糾錯(cuò)的概率。

算法一的密鑰長(zhǎng)度的上界為：

從式（15）～式（16）可以看出密鑰長(zhǎng)度與AL、相位和幅度的分區(qū)數(shù)（M和N）、估計(jì)值落入相同決策域的概率、信息協(xié)同階段成功糾錯(cuò)的概率以及幅度保護(hù)閾值GA的選取有關(guān)。其中相位和幅度的分區(qū)數(shù)越大，估計(jì)值落入相同決策域的概率越低，同時(shí)AL會(huì)越小。此外，1m和2m的取值也會(huì)影響密鑰長(zhǎng)度，當(dāng)1m和2m取值過(guò)大時(shí)，AL會(huì)減小，但雙方估計(jì)值落入相同決策域的概率會(huì)升高。綜上所述，每個(gè)參數(shù)的選擇需要考慮各部分的均衡。

圖15 依據(jù)算法一的密鑰長(zhǎng)度

基于上述理論分析，對(duì)所提兩種算法的密鑰長(zhǎng)度進(jìn)行了仿真驗(yàn)證。根據(jù)算法一每次信道探測(cè)得到的密鑰長(zhǎng)度的仿真結(jié)果如圖15所示。其中縱軸為每次信道探測(cè)生成的密鑰長(zhǎng)度，單位為bit/probe，仿真中設(shè)置子載波數(shù)為1 024；采樣頻率為19.2 MHz；信道模型的時(shí)延為0 ns、310 ns、710 ns、1 090 ns、1 730 ns、2 510 ns；信道增益為0 dB、-1 dB、-9 dB、-10 dB、-15 dB、-20 dB；多普勒頻移fd=10Hz 。m1和m2均設(shè)為6。圖15中有3組曲線(xiàn)，每組曲線(xiàn)由一條仿真曲線(xiàn)和一條理論上界曲線(xiàn)組成。理論上界曲線(xiàn)由式（16）給出。3組曲線(xiàn)分別為相位與幅度聯(lián)合，并使用中位數(shù)量化幅度信息的密鑰長(zhǎng)度曲線(xiàn)（雙劃線(xiàn)），相位與幅度聯(lián)合并使用均值量化幅度信息的密鑰長(zhǎng)度曲線(xiàn)（虛線(xiàn)），以及單獨(dú)使用相位信息的密鑰長(zhǎng)度曲線(xiàn)（實(shí)線(xiàn)）。從圖15中可以看出聯(lián)合使用相位與幅度信息能增加密鑰長(zhǎng)度。值得注意的是，利用中位數(shù)量化幅度的密鑰長(zhǎng)度曲線(xiàn)與均值量化幅度的密鑰長(zhǎng)度曲線(xiàn)存在交點(diǎn)，如圖15（a）所示，當(dāng)信噪比低于13 dB時(shí)，使用中位數(shù)量化幅度生成的密鑰長(zhǎng)度曲線(xiàn)低于使用均值量化幅度的密鑰長(zhǎng)度曲線(xiàn)，這是由于在信噪比相對(duì)較低時(shí)雙方估計(jì)值的不一致性較高，使用中位數(shù)量化幅度時(shí)，幅度被劃分得更加精細(xì)，信道估計(jì)值落入同一量化區(qū)域的可能性降低，因此利用均值量化幅度信息得到的密鑰長(zhǎng)度高于利用中位數(shù)量化幅度信息得到的密鑰長(zhǎng)度。利用中位數(shù)量化能將每位信道估計(jì)值的幅度信息量化為2 bit密鑰，而使用均值量化時(shí)每位估計(jì)值的幅度信息只能被量化成1 bit的密鑰。當(dāng)信噪比高于13 dB時(shí)，通信雙方的信道估計(jì)值高度一致，此時(shí)多比特量化的優(yōu)勢(shì)凸顯，利用中位數(shù)量化幅度信息得到的密鑰長(zhǎng)度要長(zhǎng)于利用均值量化幅度信息得到的密鑰長(zhǎng)度。為了觀察相位量化階數(shù)M對(duì)生成密鑰長(zhǎng)度的影響，將M分別設(shè)置為2、4、8、16，由圖15可知，M取值越小仿真結(jié)果與理論上界越緊。隨著M的增大密鑰長(zhǎng)度先增大后減小。如圖15（d）所示，當(dāng)M=16時(shí)，與M=2、4、8的密鑰長(zhǎng)度相比，M=16時(shí)的密鑰長(zhǎng)度不增反降，這是因?yàn)殡S著M增大，相位信息被劃分得更精細(xì)，H?A(k)和H?B(k)落入相同決策域的概率變小，由相位信息選擇的信道估計(jì)值段數(shù)LA就會(huì)減小，因此隨著M的增加，密鑰長(zhǎng)度呈現(xiàn)先增大后變小的趨勢(shì)。

4種密鑰生成算法對(duì)比如圖16所示，以參考文獻(xiàn)[5]提出的level-crossing（LC）算法和參考文獻(xiàn)[6]提出的PAGB算法作為基準(zhǔn)算法，對(duì)本文提出的兩種算法進(jìn)行了性能比較。仿真所設(shè)置的參數(shù)與算法一的參數(shù)一致。從仿真結(jié)果可以看出，本文提出的兩種算法在密鑰長(zhǎng)度方面優(yōu)于PAGB算法以及LC算法[5]。針對(duì)本文提出的兩種算法如圖16（a）和圖16（b）所示，當(dāng)M=2或4且在信噪比較低時(shí)，根據(jù)算法二得到的密鑰長(zhǎng)度高于根據(jù)算法一得到的密鑰長(zhǎng)度，在信噪比較高時(shí)算法一的性能優(yōu)于算法二。此現(xiàn)象說(shuō)明相位信息受噪聲的影響更大，相位估計(jì)通常會(huì)受到時(shí)間和頻率偏移的影響而幅度信息更穩(wěn)定。當(dāng)M=16時(shí)，如圖16（d）所示，由算法二生成的密鑰長(zhǎng)度明顯高于使用算法一得到的密鑰長(zhǎng)度，原因在于算法二是依據(jù)幅度信息選擇信道估計(jì)值。幅度的分區(qū)數(shù)N為2或4相對(duì)較小，信道估計(jì)值落入相同量化區(qū)域的概率相對(duì)較高，因此在信噪比相對(duì)較低或M較大時(shí)，算法二比算法一得到的密鑰長(zhǎng)度更長(zhǎng)。

4.3 隨機(jī)性分析

美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（The National Institute of Standards and Technology，NIST）隨機(jī)測(cè)試套件被廣泛用于評(píng)估隨機(jī)數(shù)生成器和偽隨機(jī)數(shù)生成器的隨機(jī)性。物理層密鑰生成得到的隨機(jī)密鑰也可以使用此套件測(cè)量隨機(jī)性。該套件包含15個(gè)測(cè)試，每個(gè)測(cè)試返回一個(gè)P值，若P值大于0.01，則判定通過(guò)該項(xiàng)測(cè)試。為了驗(yàn)證所生成物理層密鑰的隨機(jī)性，對(duì)使用不同算法生成的密鑰進(jìn)行了NIST隨機(jī)性測(cè)試，測(cè)試結(jié)果見(jiàn)表2。表2結(jié)果表明，根據(jù)算法一和算法二生成的密鑰通過(guò)了隨機(jī)性測(cè)試，聯(lián)合使用相位和幅度信息生成的密鑰，其隨機(jī)性?xún)?yōu)于單獨(dú)使用相位信息生成密鑰的隨機(jī)性，其中使用中位數(shù)量化幅度和相位的方法通過(guò)的隨機(jī)性測(cè)試指標(biāo)最多，隨機(jī)性最好。

5 結(jié)束語(yǔ)

基于時(shí)分雙工信道的短時(shí)互易性，本文基于無(wú)線(xiàn)信道的頻率響應(yīng)進(jìn)行了物理層密鑰生成的研究，通過(guò)相位信息與幅度信息相結(jié)合的方式提出了兩種量化算法用于物理層密鑰生成。同時(shí)，對(duì)所生成物理層密鑰的安全性、密鑰長(zhǎng)度、隨機(jī)性進(jìn)行了理論和仿真分析。仿真分析結(jié)果表明，與已有的串聯(lián)相位與幅度信息的算法相比，所提算法在量化后生成的初始密鑰具有更高的一致性，在信息協(xié)同階段所需要的開(kāi)銷(xiāo)更小；與單獨(dú)使用CSI的相位信息或幅度信息生成密鑰的算法相比，所提算法能增強(qiáng)密鑰的隨機(jī)性和增加密鑰的長(zhǎng)度。此外，NIST隨機(jī)性測(cè)試表明，所提算法生成的物理層密鑰滿(mǎn)足隨機(jī)性的要求，可以用于無(wú)線(xiàn)通信的信息加密和安全無(wú)線(xiàn)傳輸。

圖16 4種密鑰生成算法對(duì)比

表2 NIST測(cè)試結(jié)果

本文所提密鑰生成算法是基于單天線(xiàn)用戶(hù)通信場(chǎng)景，在未來(lái)B5G/6G大規(guī)模MIMO TDD系統(tǒng)中，在相干時(shí)間內(nèi)完成信道探測(cè)將變得極具挑戰(zhàn)性[18]，同時(shí)基于大規(guī)模MIMO的復(fù)雜動(dòng)態(tài)通信環(huán)境為物理層密鑰生成帶來(lái)了新的機(jī)遇，因此，未來(lái)計(jì)劃在大規(guī)模MIMO場(chǎng)景下，開(kāi)展單用戶(hù)及多用戶(hù)的物理層密鑰生成研究工作。