王華華，鄭明杰，陳 峰，梁志勇

(重慶郵電大學(xué) 通信與信息工程學(xué)院，重慶 400065)

隨著經(jīng)濟(jì)的騰飛和移動(dòng)通信技術(shù)的發(fā)展，無(wú)線通信終端的數(shù)目呈爆發(fā)式增長(zhǎng)。 5G 方興未艾，6G嶄露鋒芒，根據(jù)3GPP 于2019 年發(fā)布的時(shí)間表可知，將于2023 年開啟6G 的研究工作，在2025 年開始對(duì)6G 技術(shù)標(biāo)準(zhǔn)化，預(yù)計(jì)于2028 年下半年上市6G的相關(guān)設(shè)備。 第六代移動(dòng)網(wǎng)絡(luò)將從宏觀設(shè)備到納米設(shè)備為人們提供了一個(gè)完整的通信系統(tǒng)，這些異構(gòu)節(jié)點(diǎn)構(gòu)成一個(gè)超密集網(wǎng)絡(luò)并管理著大量敏感信息［1］，如此龐大的網(wǎng)絡(luò)節(jié)點(diǎn)給通信網(wǎng)絡(luò)安全帶來(lái)了極大的挑戰(zhàn)。 移動(dòng)通信技術(shù)的迭代促進(jìn)物聯(lián)網(wǎng)領(lǐng)域的發(fā)展，屆時(shí)，將對(duì)無(wú)線通信技術(shù)和無(wú)線信道的安全提出更高的要求。 無(wú)線信道固有的廣播和開放性質(zhì)允許任何用戶接收其傳輸?shù)男畔?，這將導(dǎo)致攻擊者有能力發(fā)起各種被動(dòng)攻擊，如竊聽、流量分析和監(jiān)控等，或執(zhí)行主動(dòng)攻擊，如干擾、欺騙、修改和拒絕服務(wù)等［2］。 作為現(xiàn)有加密方式的補(bǔ)充，物理層密鑰生成技術(shù)越來(lái)越受到關(guān)注，通信終端間無(wú)線信道的互易性和空間去相關(guān)性使通過無(wú)線信道的特征提取密鑰成為現(xiàn)實(shí)［3］。 物理層密鑰生成技術(shù)有4 個(gè)步驟：信道探測(cè)與估計(jì)、量化、密鑰協(xié)商和隱私增強(qiáng)，其中密鑰協(xié)商占有舉足輕重的地位。

近年來(lái)，密鑰協(xié)商的研究工作如火如荼。 1993年，Brassard 等［4］首次提出了Cascade 協(xié)商算法，該算法以二分法為基礎(chǔ)，通過不斷地奇偶校驗(yàn)和回溯糾錯(cuò)盡可能地使合法終端獲得一致的密鑰。 但是該方法交互次數(shù)較多，泄露的信息較多。 文獻(xiàn)［5］提出了一種名為Winnow 的協(xié)商算法，該算法通過漢明碼糾錯(cuò)大大降低了合法終端之間的交互次數(shù)，但為了減少信息泄露，該算法會(huì)刪除部分信息，沒有充分利用初始密鑰。 除了以上兩個(gè)經(jīng)典算法，基于糾錯(cuò)編碼的協(xié)商算法也是近幾年的研究熱點(diǎn)。 文獻(xiàn)［6］提出在光纖信道中使用多位自適應(yīng)量化器和LDPC 組合的協(xié)商方案，該文獻(xiàn)所提的LDPC 協(xié)商只是進(jìn)行一次LDPC 糾錯(cuò)，如果一次LDPC 糾錯(cuò)后無(wú)法保證兩個(gè)合法終端的密鑰一致即拋棄。 這種糾錯(cuò)方法成功率低，浪費(fèi)資源且成效甚微。 文獻(xiàn)［7］也是只使用一次LDPC 進(jìn)行糾錯(cuò)，該文獻(xiàn)對(duì)比了不同碼率對(duì)信息泄露的影響，但并未論證使用LDPC對(duì)密鑰不一致率的影響。 文獻(xiàn)［8］簡(jiǎn)單提出使用LDPC 進(jìn)行糾錯(cuò)以達(dá)到協(xié)商的目的，但具體方案只字未提。 除了使用漢明碼和LDPC 以外，還有部分學(xué)者使用極化碼［9］和錯(cuò)誤校正碼等信道編碼進(jìn)行密鑰協(xié)商。 這些文獻(xiàn)均未詳細(xì)敘述合法通信雙方的交互過程和協(xié)商過程，且交互次數(shù)多。

近幾年，橢圓曲線加密算法逐漸應(yīng)用到無(wú)線通信領(lǐng)域，與目前使用的RSA 算法相比，它可以使用相對(duì)較少的密鑰提供同等強(qiáng)度的安全級(jí)別，如果提供與RSA 和DH 相同的安全強(qiáng)度，橢圓曲線加密算法需要更小的密鑰尺寸，從而大大降低功耗［10］。 目前，已有學(xué)者提出橢圓曲線加密算法在智能電表和電網(wǎng)控制中心間通信的應(yīng)用方案［11］，這足以說(shuō)明橢圓曲線加密算法在低功耗器件中使用的可能。

為了解決上述文獻(xiàn)在密鑰協(xié)商中無(wú)法高效使用LDPC 等問題，本方案提出了一種使LDPC 和橢圓曲線加密算法有機(jī)結(jié)合的密鑰協(xié)商方案。 該方案分為4 個(gè)步驟：LDPC 糾錯(cuò)、交織編碼、分塊與奇偶校驗(yàn)和橢圓曲線加密算法糾錯(cuò)。 仿真結(jié)果表明：同等信噪比下該方案比單一地使用LDPC 協(xié)商擁有更低的密鑰不一致率且性能優(yōu)于文獻(xiàn)［12］的協(xié)商方案；本方案的交互次數(shù)遠(yuǎn)低于Cascade 協(xié)商方案。

1 系統(tǒng)模型

1.1 竊聽模型

本方案研究的系統(tǒng)模型如圖1 所示，Alice 和Bob 是TDD?OFDM 系統(tǒng)中的兩個(gè)合法終端，Eve 是潛伏在其中的被動(dòng)竊聽者。 由于Alice 和Bob 之間具有信道互易性，同一鏈路的兩端具有相同的多徑效應(yīng)和路徑損耗，只要它們?cè)谙喔蓵r(shí)間內(nèi)完成一次信道探測(cè)，就認(rèn)為它們可獲得相同的信道沖激響應(yīng)。有研究表明，竊聽者Eve 必須在二分之一波長(zhǎng)內(nèi)才能獲得和合法終端一致的信道沖激響應(yīng)［2，13］，以中國(guó)移動(dòng)的最低5G 頻率（2 515 MHz）為例，Eve 必須在0.6 mm 內(nèi)才能獲得有價(jià)值的信道沖激響應(yīng)，故認(rèn)為Eve 與Alice（Bob）的信道沖激響應(yīng)和Alice 與Bob 間的信道沖激響應(yīng)不同。

圖1 竊聽模型

1.2 密鑰生成步驟

典型的物理層密鑰生成技術(shù)分為4 個(gè)步驟：信道探測(cè)與估計(jì)、量化、密鑰協(xié)商和隱私增強(qiáng)。 本文采用瑞利衰落信道和時(shí)分雙工正交頻分復(fù)用通信系統(tǒng)，通信雙方在該系統(tǒng)中互發(fā)導(dǎo)頻信號(hào)并信道估計(jì)。然后從信道估計(jì)中提取特征值，將其轉(zhuǎn)化為二進(jìn)制的數(shù)字量，稱其為量化。 由于信道中含有各種噪聲和接收機(jī)存在差異等原因?qū)е峦ㄐ烹p方接收的信號(hào)并不完全一致，那么信道估計(jì)和量化的結(jié)果總會(huì)存在差異，故需要密鑰協(xié)商使雙方密鑰完全一致［14］。本文在隱私增強(qiáng)部分采用哈希函數(shù)消除量化過程中密鑰泄露的影響并提高密鑰隨機(jī)性。

（1） 信道探測(cè)與估計(jì)

為方便描述，定義Alice 和Bob 之間的信道沖激響應(yīng)為hAB（t），hBA（t）； Alice、Bob 和Eve 之間的信道 沖 激 響 應(yīng) 為hAE（t），hBE（t）。 由 上 述 可 知：hAB（t）＝hBA（t），hAB（t） ≠hAE（t） 和hAB（t） ≠hBE（t）。 Alice 向Bob 發(fā)送的信號(hào)為sA（t）， Bob 向Alice 發(fā)送的信號(hào)為sB（t）。 假設(shè)所有終端間的無(wú)線信道都符合瑞利衰落，且信道內(nèi)噪聲為加性高斯白噪聲，Alice 和Bob 端的噪聲為nA（t）、nB（t）。

Alice 向Bob 發(fā)送信號(hào)sA（t），Bob 收到信號(hào)為

當(dāng)τ ＜Tc時(shí)，即認(rèn)為hAlice（t＋τ）＝hBob（t），Tc為相干時(shí)間。

（2） 量化

量化是將信道估計(jì)的結(jié)果映射成數(shù)字量。 雖然兩個(gè)合法終端的信道特征高度相似，但并不是完全一致，將導(dǎo)致量化后的結(jié)果并不完全一致，這也是密鑰協(xié)商的必要性。 本文在信道頻率響應(yīng)星座圖中劃分16 個(gè)量化區(qū)域，并依據(jù)四變量卡諾圖為每個(gè)區(qū)域確定編碼方案，該方法具備格雷碼的優(yōu)點(diǎn)，即使有特征值誤判到其他區(qū)域也只會(huì)相差一個(gè)比特［15］。 量化區(qū)域與編碼方案如圖2 所示。

圖2 量化區(qū)域與編碼方案

在圖2 中，Q是信道頻率響應(yīng)的實(shí)部與虛部均值的交點(diǎn)，Qlr和Qrr是實(shí)部的1／4 分位點(diǎn)和3／4 分位點(diǎn)，Qli和Qri是虛部的1／4 分位點(diǎn)和3／4 分位點(diǎn)。

（3） 密鑰協(xié)商

Alice 和Bob 經(jīng)過量化的二進(jìn)制序列高度相似，但又不完全一致，通過密鑰協(xié)商將兩者變成完全一樣的密鑰，具體方案將在第2 節(jié)詳細(xì)介紹。

（4） 隱私增強(qiáng)

在密鑰協(xié)商階段，難免會(huì)通過公共信道傳遞部分信息，這些信息很可能被Eve 監(jiān)聽，造成信息泄露。 目前最常用的隱私增強(qiáng)的方法是運(yùn)用哈希函數(shù)，即通過壓縮函數(shù)將有限長(zhǎng)度的消息映射為固定長(zhǎng)度的哈希值［16］，而該過程是不可逆的，且對(duì)原信息做細(xì)微改變后映射的哈希值就會(huì)有巨大改變，這使得哈希函數(shù)可以運(yùn)用于隱私增強(qiáng)。 由于哈希函數(shù)的自變量與因變量差異很大，故其也可提高密鑰隨機(jī)性。

2 密鑰協(xié)商

2.1 密鑰協(xié)商流程

基于LDPC 和橢圓曲線加密算法的密鑰協(xié)商方案流程如圖3 所示。 首先，將Alice 經(jīng)過信道估計(jì)和量化后的密鑰做LPDC，并將校驗(yàn)序列傳輸給Bob。然后，Bob 將該校驗(yàn)序列附于其量化后的密鑰后面并利用相同的校驗(yàn)矩陣譯碼。 其后，兩個(gè)合法終端對(duì)密鑰交織。 最后，合法終端將各自的密鑰以同樣的標(biāo)準(zhǔn)分塊和奇偶校驗(yàn)，Bob 將奇偶校驗(yàn)不一致的密鑰塊和索引通過橢圓曲線加密算法傳輸給Alice。

圖3 密鑰協(xié)商流程圖

2.2 LDPC 協(xié)商過程

LDPC 在1962 年被Gallager 提出，由于技術(shù)限制缺乏有效的譯碼方案而被埋沒，直到1995 年又被MacKay 等人發(fā)現(xiàn)并重啟研究。 由于其編碼效率接近于香農(nóng)極限、編解碼簡(jiǎn)單和時(shí)延小等優(yōu)點(diǎn)，在2016 年底，LDPC 被確定為第五代移動(dòng)通信技術(shù)的下行共享信道編碼方式。 由于LDPC 較高的糾錯(cuò)能力，故本文將其運(yùn)用在協(xié)商中。

假設(shè)線性分組碼的碼長(zhǎng)為n， 其中信息位長(zhǎng)為k，校驗(yàn)位長(zhǎng)度為m（m＝n－k）。 其可用生成矩陣Gk?n表示，也可以用一致校驗(yàn)矩陣Hm?n表示，所有信息序列S1?k都滿足：S1?k?G?HT＝0。 校驗(yàn)矩陣H決定糾錯(cuò)效果，低密度奇偶校驗(yàn)編碼的名字源自其校驗(yàn)矩陣的稀疏性，即校驗(yàn)矩陣中“1”很少，“0”很多。 優(yōu)良的正則LDPC 的校驗(yàn)矩陣H應(yīng)當(dāng)滿足：（1）H的每行有ρ個(gè)“1”；（2）H的每列有λ個(gè)“1”，λ≥3；（3） 與碼長(zhǎng)n和H的行數(shù)相比，ρ和λ都很小。 根據(jù)校驗(yàn)矩陣H的譯碼方案主要有：比特翻轉(zhuǎn)算法和置信傳播算法等。

針對(duì)眾多學(xué)者沒有詳細(xì)描述LDPC 用于密鑰協(xié)商的交互過程和糾錯(cuò)方法，本文從編碼矩陣的角度詳細(xì)描述該過程。 與多數(shù)文獻(xiàn)直接傳遞LDPC 編碼后的結(jié)果，多次異或比較和多次使用LDPC 相比［17］，本文所提出只傳遞一次校驗(yàn)序列的方案有著諸多優(yōu)勢(shì)，如：交互次數(shù)少，密鑰泄露率低；只傳遞校驗(yàn)序列不會(huì)泄露任何密鑰信息；成功率高等。 LDPC碼的協(xié)商部分如圖3 所示。 在Alice 端，經(jīng)過量化后得到初始密鑰kA＝［kA1，…，kAk］ ∈?1?k， 并選取合適的校驗(yàn)矩陣H＝［H1，H2］∈?m?n，其中H1∈?m?k、H2∈?m?m， 將編碼后的碼字表示為cA＝［kA，h］ ∈?1?n，其中h∈?1?m為校驗(yàn)序列，其結(jié)果如式（5）所示。

將h通過公共信道發(fā)送給Bob，在Bob 端，經(jīng)過量化后得到初始密鑰kB＝［kB1，…，kBk］ ∈?1?k。認(rèn)為kB是kA通過公共信道傳輸后被噪聲污染后的信號(hào)，用h對(duì)其糾錯(cuò)，構(gòu)造向量cB＝［kB，h］∈?1?n并使用校驗(yàn)矩陣H對(duì)其譯碼得到Bob 端的密鑰kB1∈?1?k。

2.3 交織、分塊與奇偶校驗(yàn)

式中：Q1＝｛1，2，…，q｝，Q2＝｛q＋1，q＋2，…，2q｝，q＝N／2。

本方案為了降低利用橢圓曲線加密算法傳遞簡(jiǎn)短密鑰塊的計(jì)算復(fù)雜度，盡量減少碼塊尺寸并兼顧奇偶校驗(yàn)的性能，將分塊數(shù)目選定為m＝N。Alice 和Bob 對(duì)各自的密鑰塊奇偶校驗(yàn)并將校驗(yàn)結(jié)果傳送給Bob，由Bob 選取奇偶校驗(yàn)不一致的密鑰塊。

2.4 橢圓曲線加密算法

假設(shè)p是一個(gè)大于3 的素?cái)?shù)，F(xiàn)p表示p元有限域，在該域上的函數(shù)為［10］

當(dāng)a，b∈Fq且4a3＋27b2≠0 時(shí)稱之為橢圓曲線。 將滿足式（7）的所有非負(fù)整數(shù)對(duì)和無(wú)窮遠(yuǎn)點(diǎn)ο記為集合Ep（a，b）， 這是一個(gè)有限的離散點(diǎn)集。Alice 和Bob 通過橢圓曲線加密算法傳遞簡(jiǎn)短的密鑰塊和索引的具體算法如下所示：

算法1 運(yùn)用橢圓曲線加密算法傳遞簡(jiǎn)短密鑰塊

經(jīng)過算法1 的處理，Bob 將奇偶校驗(yàn)不一致的密鑰塊傳遞給Alice，并被替換到Alice 對(duì)應(yīng)密鑰位置上。 該算法極大地降低了合法通信雙方的密鑰不一致率，其效果如圖4 所示。

圖4 不同譯碼算法的密鑰不一致率和信噪比的關(guān)系

由于在本密鑰協(xié)商方案中，要傳遞的密鑰塊很少且每個(gè)密鑰塊很小，所以橢圓曲線加密算法可以使用在物理層密鑰生成技術(shù)的密鑰協(xié)商階段。

3 仿真結(jié)果與分析

本節(jié)通過MATLAB 對(duì)所提出的基于LDPC 和橢圓曲線加密算法的密鑰協(xié)商方案進(jìn)行仿真和結(jié)果分析，仿真采用TDD－OFDM 系統(tǒng)，具體仿真參數(shù)如表1 所示。

表1 仿真參數(shù)

密鑰不一致率（Key Disagreement Rate，KDR）指Alice 和Bob 所生成密鑰的對(duì)應(yīng)位置不一致的數(shù)目占總密鑰長(zhǎng)度的比值，如式（8）所示。

式中，N為密鑰總長(zhǎng)度，KA和KB為Alice 和Bob 經(jīng)過協(xié)商后的密鑰。

將LDPC 用于物理層密鑰協(xié)商主要是利用其優(yōu)異的譯碼性能，不同的譯碼算法有著不同的效果。為了給該協(xié)商方案選取合適的譯碼算法，本文比對(duì)了APP?BP 譯碼算法、LLR?BP 譯碼算法和最小和BP 譯碼算法在不同信噪比下的密鑰不一致率，如圖4 所示。

由圖4 可知，隨著信噪比的增大，經(jīng)過上述譯碼算法處理后的密鑰，其不一致率都有不同程度的降低；APP?BP 譯碼算法和LLR?BP 譯碼算法只有在較大信噪比時(shí)才有明顯效果，最小和BP 譯碼算法在信噪比為7 dB 后便可以大幅降低密鑰不一致率。本文選取最小和BP 譯碼算法做為L(zhǎng)DPC 的譯碼方案。

選取譯碼方案后，本文將LDPC 和橢圓加密曲線相結(jié)合，比較了不同信噪比時(shí)量化、LDPC 糾錯(cuò)和使用橢圓曲線加密算法后的密鑰不一致率，并和文獻(xiàn)［12］中協(xié)商后的密鑰不一致率進(jìn)行比較，如圖5所示。

由圖5 可知，經(jīng)過橢圓曲線加密算法進(jìn)行簡(jiǎn)短密鑰塊交換后，密鑰不一致率較LDPC 糾錯(cuò)后有大幅降低，本文所提出的密鑰協(xié)商方案性能優(yōu)于文獻(xiàn)［12］使用改進(jìn)型Cascade 協(xié)商方案，也優(yōu)于單一使用LDPC 的協(xié)商方案。 當(dāng)信噪比太低時(shí)，量化后密鑰不一致率過高導(dǎo)致LDPC 無(wú)法準(zhǔn)確譯碼甚至引入錯(cuò)誤比特，所以信噪比小于5 dB 時(shí)，LDPC 糾錯(cuò)后的密鑰不一致率比量化后略高；而隨著信噪比的增大，LDPC 的譯碼性能大幅提升，該協(xié)商方案高度依賴量化后的密鑰不一致率。

圖5 量化、LDPC 糾錯(cuò)、橢圓曲線加密算法和文獻(xiàn)［12］的密鑰不一致率對(duì)比

交互次數(shù)關(guān)乎于協(xié)商方案的復(fù)雜度，移動(dòng)通信和物聯(lián)網(wǎng)等低功耗通信方式對(duì)于交互次數(shù)的要求非常嚴(yán)苛；交互次數(shù)的增加也意味著密鑰泄露率的增加。 本文所提密鑰協(xié)商方案與Cascade［4］協(xié)商方案和文獻(xiàn)［12］提出的改進(jìn)型Cascade 協(xié)商方案的交互次數(shù)對(duì)比如圖6 所示。

圖6 本文方案、Cascade 和文獻(xiàn)［12］的交互次數(shù)對(duì)比

由圖6 可見，與Cascade 協(xié)商方案、文獻(xiàn)［12］提出的改進(jìn)型Cascade 協(xié)商方案相比，本文所提的協(xié)商方案的交互次數(shù)明顯更少。

4 結(jié)束語(yǔ)

本文針對(duì)無(wú)線通信物理層密鑰生成技術(shù)中量化后密鑰不一致的問題，把LDPC 和橢圓曲線加密算法運(yùn)用到密鑰協(xié)商中，提出了一種基于LDPC 和橢圓曲線加密算法的密鑰協(xié)商方案。 經(jīng)過仿真表明：同等信噪比下，該方案比單一地使用LDPC 協(xié)商擁有更低的密鑰不一致率；該方案擁有較少的交互次數(shù)。