基于幅度和相位聯合分區的無線物理層密鑰生成方法

李楠楠，韓瑜，高寧，金石

（1. 東南大學移動通信國家重點實驗室，江蘇 南京 210096；2. 新加坡科技設計大學，新加坡 487372）

1 引言

無線信道的廣播特性使得合法用戶很容易受非法用戶的攻擊，如竊聽、流量分析、干擾、重放、拒絕服務等[1]。目前，無線傳輸安全已引起學術界和工業界的廣泛關注[2]。傳統的加密算法一般是基于計算的復雜度，如基于大數分解的復雜性的RSA公鑰加密算法需要假定攻擊者的計算能力有限，從而保證非法用戶無法在有效時間內獲取密鑰，但對于資源受限的設備，算法并不適用[3-4]。同時，傳統的公鑰基礎設施需要依賴可靠的第三方機構來分發密鑰，但是在復雜動態的移動無線環境中，依靠證書頒發機構或密鑰分發中心的密鑰分發方式具有較多的局限性[5]。近年來，無線物理層密鑰生成技術受到了廣泛關注，相比于傳統加密算法，物理層密鑰生成算法利用無線信道的特性生成密鑰，進而保證無線傳輸的完整性和保密性[6]。物理層密鑰生成算法基于時分雙工通信系統的信道短時互易性在信道相干時間內通信雙方可以通過發送導頻信號，獲取高度相似的物理層信道特征，并利用該特征進行物理層密鑰生成。物理層密鑰生成具有以下優勢：一是基于物理層信道特征的密鑰生成技術可以作為上層加密技術的必要補充，輔助增強無線通信的安全性；二是物理層密鑰生成基于信道短時互易性生成雙方一致的密鑰，不需要額外的密鑰分發和密鑰管理機制；三是物理層密鑰的安全性基于無線信道的時變性和隨機性，不依賴于計算復雜度，非常適用于資源受限的設備。研究表明，基于物理層特征的密鑰生成方法理論上可實現“一次一密”通信[7]，能保證通信的絕對安全。

無線信道的互易性是物理層密鑰生成的基礎，由于接收信號強度（received signal strength，RSS）具有很強的互易性且容易被獲取，被廣泛應用于窄帶和寬帶通信系統的物理層密鑰生成[8]。參考文獻[5]提出使用level-crossing算法用于密鑰生成，但是由于每個數據包只能獲得一個RSS值，密鑰生成速率受到了限制。為了達到更好的密鑰生成率，需要考慮信道的細粒度信息。信道狀態信息（channel state information，CSI）描述了信道增益矩陣中每個元素的值，參考文獻[9]利用信道沖激響應（channel impulse response，CIR）生成密鑰，提出一種增加密鑰熵的算法。參考文獻[6]利用信道頻率響應（channel frequency response，CFR）的相位與幅度信息進行密鑰生成，并通過實驗證明了可以獲得比基于RSS信息更長的隨機密鑰比特。

為了提高物理層密鑰的長度，同時降低密鑰的協商開銷，本文考慮多徑衰落信道下時分雙工（time division duplex，TDD）正交頻分復用（orthogonal frequency division multiplexing，OFDM）通信系統，利用CSI來做物理層密鑰生成，通過聯合使用CFR的相位與幅度信息，提出了兩種用于密鑰生成的算法。通過信息泄露情況、密鑰長度和隨機性3項指標對生成密鑰的性能進行了分析。通過仿真實驗與參考文獻[5-6]所提出的密鑰生成算法進行了對比，與已有的串聯相位與幅度信息的算法[6]相比，本文提出的算法在量化后生成的初始密鑰一致性更高，從而信息協同階段所需要的開銷更小。此外，與單獨使用相位信息或者幅度信息的算法相比，所提算法可以達到增加密鑰長度以及增強隨機性的目的，并且可以防御非法用戶的竊聽以及主動攻擊。

2 系統模型

2.1 信道模型

系統模型如圖1所示，考慮TDD條件下多徑衰落信道的OFDM通信系統系統中Alice和Bob為合法通信用戶，Eve為非法用戶，Alice和Bob通過合法鏈路進行物理層密鑰生成，Eve對于物理層密鑰生成存在潛在的安全威脅。

在通信過程中，Alice和Bob交替傳輸信息：Alice在時隙1發送信道探測信號，Bob接收信號并存儲在本地。Bob在時隙2發送信道探測信號，Alice收到信號并存儲。同時Eve在兩個時隙中竊聽來自Alice和Bob的信號，并試圖對消息進行解密。Alice和Bob的接收信號可以表示為：

圖1 系統模型

其中，X表示信道探測信號，H表示信道頻率響應，N表示服從均值為0、方差為的獨立同分布的復高斯噪聲，Y表示接收信號，角標A、B分別代表Alice和Bob。

在多徑環境中，Alice和Bob之間的無線信道會在發送和接收的信號上產生隨時間變化的隨機映射，該映射是互易的且位置相關的，即HBA與HAB相同。通過對接收信號做離散傅里葉變換（discrete Fourier transform，DFT），Alice和Bob的離散接收信號可以表示為：

其中，H(ni,k),i=1,2是第ni個OFDM符號上第k個子載波的CFR（k∈{0,1,…,K-1}）。A(1,)Xnk和XB(n2,k)是歸一化的導頻信號。ηA(n2,k)和ηB(n1,k)是服從均值為0、方差為σn2的獨立同分布的復高斯噪聲。

2.2 攻擊模型

無線信道的廣播特性使其容易遭受竊聽、偽造等攻擊，當攻擊者Eve與合法通信方之間的距離大于λ/2時，攻擊者監聽到的信道信息與合法用戶之間的信道信息不相關[10]。本文考慮在與合法通信用戶距離均大于λ/2的位置處設立竊聽攻擊者與偽造攻擊者。攻擊模型如圖2所示，竊聽攻擊者Eve的接收信號表示為：

Bob可接收Alice和偽造攻擊者Eve發來的消息，來自Eve的接收信號可表示為：

式（5）～式（7）中，X表示信道探測信號，H表示信道頻率響應，N表示服從均值為0、方差為的獨立同分布的復高斯噪聲，Y表示接收信號。

圖2 攻擊模型

3 密鑰生成流程

物理層密鑰生成技術主要包括信道估計、比特量化、信息協同、一致性校驗和隱私放大5個步驟。

（1）信道估計：Alice和Bob雙方相互發送導頻探測信號用于獲取信道測量值，基于信道的互易性，通信雙方可得到高度相關的信道測量值。

（2）比特量化：采用相位和幅度聯合分區的方法，將信道測量值量化為0，1 byte生成初始密鑰KA和KB。其中，算法一首先利用相位信息選擇信道估計值，再結合幅度信息生成密鑰；算法二首先利用幅度信息選擇信道估計值，再結合相位信息生成密鑰。算法的具體流程在第3.2.1節和第3.2.2節中介紹。

（3）信息協同：由于信道的非同時探測以及信道噪聲等因素的影響，通信雙方量化后得到的初始密鑰KA和KB通常不完全相同，必須通過信息協同來檢測并糾正初始密鑰中的不一致問題，最終得到相同的密鑰KA′和KB′。信息協同通常使用Cascade算法[11]、Winnow算法[12]或糾錯碼[13-14]。本文使用BCH糾錯碼對初始密鑰進行糾錯，具體操作將在第3.2.3節中介紹。

（4）一致性校驗：Alice和Bob使用相同的哈希函數來生成密鑰的哈希值和，然后交換哈希值來驗證密鑰的一致性。如果雙方哈希值相同，則表示密鑰生成成功；否則密鑰生成失敗，重用先前的密鑰，待下一幀重新開始密鑰生成過程。

（5）隱私放大：通過上述步驟Alice和Bob可得到一致的密鑰，最后通過隱私放大消除密鑰比特之間的相關性。

圖3 物理層密鑰生成流程

3.1 信道探測及估計

在無線通信中，信道測量值的獲取通常要進行信道估計，信道估計分為基于參考信號的估計[15]、盲估計[16]以及半盲估計，本文采用基于參考信號的估計方式。

Alice和Bob相互發送導頻探測信號，如圖4所示，Alice在某一時刻向Bob發送探測信號1，經過時間1t，Bob接收探測信號1，接著Bob經歷Δt的收發轉換，同時Alice經歷Δt的發收轉換；然后，Bob向Alice發送探測信號2，經過時間t2，Alice接收探測信號，至此完成一次信道的雙向探測。假設信道相干時間為cT，為了保證雙方得到高度相關的探測值，一個探測周期必須滿足

圖4 信道探測時序

在信道探測過程中，假定Alice和Bob在相干時間內互發探測信號，并利用最小二乘（least-square，LS）估計算法估計得到信道頻率響應（CFR），則Alice和Bob端的CFR估計值分別表示為：

其中，EB(n1,k)和EA(n2,k)為估計誤差，可將其視為均值為0、方差為的獨立同分布的復高斯噪聲。

3.2 量化

圖5 算法一流程

圖6 算法二流程

3.2.1 算法一：相位—幅度聯合

（1）基于相位的密鑰提取

Alice和Bob利用CFR估計值和的相位信息，選擇用于生成密鑰的估計值。首先將相位分為M塊，如圖7所示，以M=8為例，將整個區域分為8份，設置幅度保護閾值GA和相位保護閾值Gφ。其中，iA涵蓋相位保護區域（帶狀區域）和決策域Zi（三角形區域）。信道估計值只有落入決策域Zi內，才能被用于生成密鑰，落入相位保護區域的信道估計值將會被舍去。相位分區的優點在于：提高密鑰生成長度；降低初始量化密鑰的不一致率。隨后，按照以下4個步驟選擇用于密鑰生成的估計值。

步驟1Bob從中找到連續1m個位于相同的決策域Zi的值，將該段中間值的位置信息記為ρρB(k)，并且任意兩個中間值的位置距離要大于或等于cB，cB是相干帶寬，即是符合條件的總段數。

圖7 相位分區

步驟2Bob從ppB中隨機選擇一個子集p′pB將位置索引向量發送給Alice。

步驟3根據接收到的，Alice檢查的相應位置處是否存在連續1m個位于相同的決策域Zi的值，若存在則將該位置信息記錄在ppA中，若不存在則舍棄該位置信息。，LpA是符合條件的總段數。

步驟4依據參考文獻[5]計算，若比值小于0.5+error(0＜error＜0.5)，則判定存在主動攻擊，來自主動攻擊者。若比值大于0.5+error則判定來自Bob。Alice將ppA發送給Bob。

值得注意的是，在步驟2中，非法用戶Eve可以冒充Bob將虛假索引向量發送給Alice，但由于Eve無法獲取p′pB的真實信息，只能隨機猜測得到。此時Alice根據得到

（2）相位量化

Alice和Bob根據位置索引向量ppA，對CFR估計值(k)和的相位進行量化并生成基于相位的初始密鑰KPA(k)和KPB(k)(k=1,2,…,LpA)，相位信息記為φA(k)和φB(k)。根據相位量化階數M的不同，可以將每一位CFR估計值量化為lbMbit的密鑰，例如當M=4時，落入Z1區域的估計值被量化為00，落入Z2區域的估計值被量化為01，落入Z3區域的估計值被量化為11，落入Z4區域的估計值被量化為10。經歷以上步驟的生成的初始密鑰KPA(k)和KPB(k)可達到高度一致性，其中可能僅存在少許的比特不一致位，可在后續的信息協同階段糾正。

（3）幅度量化

Alice和Bob根據位置索引向量pA，計算相應CFR估計值(k)和(k) (k=1,2,…,LpA)的頻率幅度響應，設Alice和Bob幅度響應分別為MA(k)和MB(k)(k=1,2,…,LpA)。本文考慮兩種幅度量化方法：基于均值的量化方法和基于中位數的量化方法，將幅度響應值量化為二進制比特，生成基于幅度的初始密鑰KMA(k)和KMB(k),(k=1,2,…,LpA)。基于均值的幅度分區如圖8所示，基于中位數的幅度分區如圖9所示。

圖8 基于均值的幅度分區

圖9 基于中位數的幅度分區

① 基于均值的量化：

其中，GA是幅度閾值，mean是幅度響應MA(k)或MB(k)的均值。當M(k)＞mean時，M(k)被量化為1；當GA＜M(k)≤mean時，M(k)被量化為0；當M(k)≤AG時，x該值被舍棄。

②基于中位數的量化：將幅度響應MA(k)和MB(k)從小到大排序，記前一半為MFA和MFB，后一半為MBA和MBB。MF的中位數記為median0，M(k)的中位數記為median1，MB的中位數記為median2。

（4）密鑰合并

交叉合并基于相位生成的密鑰和基于幅度生成的密鑰，最終生成的密鑰為：K(k)=假設M=8，CFR估計值的相位落入Z3決策域（量化為011），幅度落入圖9所示區域②被量化為01，即此CFR估計值被量化為01101。

3.2.2 算法二：幅度—相位聯合

（1）基于幅度的密鑰提取

CFR估計值和的幅度信息記為。首先使用兩種量化方法進行幅度分區量化。

① 雙閾值量化

q+=mean+a*σ，q-=mean-a*σ，其中mean是MA(k)或MB(k)的均值，a是閾值參數，σ是MA(k)或MB(k)的標準差。雙閾值量化幅度如圖10所示。當M(k)＞q+時，M(k)被量化為1，當M(k)＜q-時，M(k)被量化為0，當q-≤M(k)≤q+時該值被舍棄。

圖10 雙閾值量化幅度

② 中位數量化

同樣地，幅度分區的優點在于：提高密鑰生成長度；降低初始量化密鑰的不一致率。中位數量化幅度如圖11所示。隨后，基于量化值使用level-crossing算法[5]選出待使用的信道估計值。level-crossing算法的具體步驟如圖12所示。

圖11 中位數量化幅度

（2）相位量化

根據pmA對CFR估計值的相位信息φA(k)和φB(k)進行量化并生成基于相位的初始密鑰KPA(k)和KPB(k)(k=1,2,…,LmA)。根據相位量化階數M的不同，可以將每一位CFR估計值量化為lbMbit的密鑰。

（3）密鑰合并

交叉合并相位生成的密鑰和基于幅度生成的密鑰。最終生成的密鑰為：

圖12 level-crossing算法

根據上述分析，算法一與算法二選擇信道估計值的時間復雜度是O(K)，在相位量化階段或幅度量化階段的時間復雜度分別為O(L′pB)或，由于且，故算法一與算法二的時間復雜度均為O(K)。由分析可知，所提算法的復雜度隨K值呈線性增加，算法復雜度較低。

3.3 信息協同

盡管采用信號預處理算法可提高信道測量的互相關性，但量化后Alice和Bob之間仍然存在潛在的密鑰不一致情況。本文使用BCH糾錯碼對K(k)進行糾錯，BCH(n,k,t)碼具有n位碼字和k位信息，可以糾正t位錯誤。BCH糾錯流程如圖13（a）所示：首先Alice選擇隨機數組r，經過BCH編碼得到碼字c，然后Alice根據異或運算s=XOR(KA,c)計算校驗子，再將校驗子s發送給Bob，假設Bob正確接收s，Bob計算碼字cB=XOR(KB,s)，如果KA和KB的錯誤比特數在糾錯范圍內，則cB解碼后得到的cB′與

碼字c相同。最后經過異或運算Alice得到密鑰Bob得到密鑰。圖13（b）以BCH(7,4,1)碼為例說明了糾錯過程，其中碼字長度為7 bit，信息位為3 bit，可以糾正1 bit錯誤。KA和KB有1 bit的錯誤，導致碼字c和Bc之間存在1 bit的錯誤，錯誤bit數在BCH碼的糾錯范圍之內，所以經過BCH解碼得到與c相同的碼字Bc′。

3.4 一致性校驗及隱私放大

通過上述步驟Alice和Bob可得到一致的密鑰，最后Alice和Bob按照一定的規則從KA′、KB′中選取一部分bit作為最終的密鑰。通過隱私放大消除密鑰比特之間的相關性以及降低信息協調階段發送校驗子可能存在的密鑰泄露的風險。

4 性能分析及實驗仿真

本節通過MATLAB對所提出的基于幅度和相位聯合分區的物理層密鑰生成算法進行性能分析，仿真采用的OFDM系統基于TDD的長期演進（long term evolution，LTE）系統，信道模型采用3GPP Vehicle Type-A信道模型[17]，主要仿真參數見表1。

表1 仿真參數

4.1 安全性分析

（1）竊聽攻擊

由于Eve與Alice和Bob之間的距離均大于λ/2，即竊聽信道與合法通信信道的信道特征不相關，Eve無法通過竊聽獲取有用信息。

圖13 BCH糾錯流程及BCH糾錯碼示例

設Alice、Bob和Eve對信道的探測分別為HA、HB和HE，那么Alice和Bob之間的互信息為；Eve獲取的Alice到Bob信道探測的互信息為IAE=I(HA|HE)；Eve獲取Bob到Alice信道探測的互信息為IBE=I(HB|HE)；且滿足IAB＞0，IAE=IBE=0。

為了進一步驗證上述分析的正確性，以下進行了仿真實驗分析。在仿真實驗中，假設Eve端與合法通信雙方采用相同的信道估計方法，得到的物理層信道特征值如圖14所示。

圖14 Alice、Bob和Eve的CFR幅度信息及局部放大

從圖14中可以看出Alice和Bob得到的信道估計值高度相似，同時Eve端得到的信道估計值與合法通信方的信道估計值相關性較弱。

（2）偽造攻擊

本文提出的算法可以有效地避免偽造攻擊，由上述算法中步驟二可知，Eve可以冒充Bob將隨機猜測獲得的虛假索引向量發送給Alice，Alice接收后根據得到由于沒有反映真實的信道特性，根據步驟4計算得到的一定小于0.5+error(0＜error＜0.5)，故Alice將索引向量判定為偽造攻擊，進而中斷本輪的物理層密鑰生成過程。

4.2 密鑰長度分析

對于給定的相位量化階數M，算法一的平均密鑰長度由式（15）給出：

其中，AL是根據相位信息選擇的信道估計值的總段數，lbM是根據相位信息量化的信息量。N是幅度的量化階數，例如使用均值量化時N=1，使用中位數量化時表示信道估計值和落入相同決策域的概率。表示和落入不同決策域但在信息協同階段被成功糾錯的概率。

算法一的密鑰長度的上界為：

從式（15）～式（16）可以看出密鑰長度與AL、相位和幅度的分區數（M和N）、估計值落入相同決策域的概率、信息協同階段成功糾錯的概率以及幅度保護閾值GA的選取有關。其中相位和幅度的分區數越大，估計值落入相同決策域的概率越低，同時AL會越小。此外，1m和2m的取值也會影響密鑰長度，當1m和2m取值過大時，AL會減小，但雙方估計值落入相同決策域的概率會升高。綜上所述，每個參數的選擇需要考慮各部分的均衡。

圖15 依據算法一的密鑰長度

基于上述理論分析，對所提兩種算法的密鑰長度進行了仿真驗證。根據算法一每次信道探測得到的密鑰長度的仿真結果如圖15所示。其中縱軸為每次信道探測生成的密鑰長度，單位為bit/probe，仿真中設置子載波數為1 024；采樣頻率為19.2 MHz；信道模型的時延為0 ns、310 ns、710 ns、1 090 ns、1 730 ns、2 510 ns；信道增益為0 dB、-1 dB、-9 dB、-10 dB、-15 dB、-20 dB；多普勒頻移fd=10Hz 。m1和m2均設為6。圖15中有3組曲線，每組曲線由一條仿真曲線和一條理論上界曲線組成。理論上界曲線由式（16）給出。3組曲線分別為相位與幅度聯合，并使用中位數量化幅度信息的密鑰長度曲線（雙劃線），相位與幅度聯合并使用均值量化幅度信息的密鑰長度曲線（虛線），以及單獨使用相位信息的密鑰長度曲線（實線）。從圖15中可以看出聯合使用相位與幅度信息能增加密鑰長度。值得注意的是，利用中位數量化幅度的密鑰長度曲線與均值量化幅度的密鑰長度曲線存在交點，如圖15（a）所示，當信噪比低于13 dB時，使用中位數量化幅度生成的密鑰長度曲線低于使用均值量化幅度的密鑰長度曲線，這是由于在信噪比相對較低時雙方估計值的不一致性較高，使用中位數量化幅度時，幅度被劃分得更加精細，信道估計值落入同一量化區域的可能性降低，因此利用均值量化幅度信息得到的密鑰長度高于利用中位數量化幅度信息得到的密鑰長度。利用中位數量化能將每位信道估計值的幅度信息量化為2 bit密鑰，而使用均值量化時每位估計值的幅度信息只能被量化成1 bit的密鑰。當信噪比高于13 dB時，通信雙方的信道估計值高度一致，此時多比特量化的優勢凸顯，利用中位數量化幅度信息得到的密鑰長度要長于利用均值量化幅度信息得到的密鑰長度。為了觀察相位量化階數M對生成密鑰長度的影響，將M分別設置為2、4、8、16，由圖15可知，M取值越小仿真結果與理論上界越緊。隨著M的增大密鑰長度先增大后減小。如圖15（d）所示，當M=16時，與M=2、4、8的密鑰長度相比，M=16時的密鑰長度不增反降，這是因為隨著M增大，相位信息被劃分得更精細，H?A(k)和H?B(k)落入相同決策域的概率變小，由相位信息選擇的信道估計值段數LA就會減小，因此隨著M的增加，密鑰長度呈現先增大后變小的趨勢。

4種密鑰生成算法對比如圖16所示，以參考文獻[5]提出的level-crossing（LC）算法和參考文獻[6]提出的PAGB算法作為基準算法，對本文提出的兩種算法進行了性能比較。仿真所設置的參數與算法一的參數一致。從仿真結果可以看出，本文提出的兩種算法在密鑰長度方面優于PAGB算法以及LC算法[5]。針對本文提出的兩種算法如圖16（a）和圖16（b）所示，當M=2或4且在信噪比較低時，根據算法二得到的密鑰長度高于根據算法一得到的密鑰長度，在信噪比較高時算法一的性能優于算法二。此現象說明相位信息受噪聲的影響更大，相位估計通常會受到時間和頻率偏移的影響而幅度信息更穩定。當M=16時，如圖16（d）所示，由算法二生成的密鑰長度明顯高于使用算法一得到的密鑰長度，原因在于算法二是依據幅度信息選擇信道估計值。幅度的分區數N為2或4相對較小，信道估計值落入相同量化區域的概率相對較高，因此在信噪比相對較低或M較大時，算法二比算法一得到的密鑰長度更長。

4.3 隨機性分析

美國國家標準技術研究院（The National Institute of Standards and Technology，NIST）隨機測試套件被廣泛用于評估隨機數生成器和偽隨機數生成器的隨機性。物理層密鑰生成得到的隨機密鑰也可以使用此套件測量隨機性。該套件包含15個測試，每個測試返回一個P值，若P值大于0.01，則判定通過該項測試。為了驗證所生成物理層密鑰的隨機性，對使用不同算法生成的密鑰進行了NIST隨機性測試，測試結果見表2。表2結果表明，根據算法一和算法二生成的密鑰通過了隨機性測試，聯合使用相位和幅度信息生成的密鑰，其隨機性優于單獨使用相位信息生成密鑰的隨機性，其中使用中位數量化幅度和相位的方法通過的隨機性測試指標最多，隨機性最好。

5 結束語

基于時分雙工信道的短時互易性，本文基于無線信道的頻率響應進行了物理層密鑰生成的研究，通過相位信息與幅度信息相結合的方式提出了兩種量化算法用于物理層密鑰生成。同時，對所生成物理層密鑰的安全性、密鑰長度、隨機性進行了理論和仿真分析。仿真分析結果表明，與已有的串聯相位與幅度信息的算法相比，所提算法在量化后生成的初始密鑰具有更高的一致性，在信息協同階段所需要的開銷更小；與單獨使用CSI的相位信息或幅度信息生成密鑰的算法相比，所提算法能增強密鑰的隨機性和增加密鑰的長度。此外，NIST隨機性測試表明，所提算法生成的物理層密鑰滿足隨機性的要求，可以用于無線通信的信息加密和安全無線傳輸。

圖16 4種密鑰生成算法對比

表2 NIST測試結果

本文所提密鑰生成算法是基于單天線用戶通信場景，在未來B5G/6G大規模MIMO TDD系統中，在相干時間內完成信道探測將變得極具挑戰性[18]，同時基于大規模MIMO的復雜動態通信環境為物理層密鑰生成帶來了新的機遇，因此，未來計劃在大規模MIMO場景下，開展單用戶及多用戶的物理層密鑰生成研究工作。