蔡文炳,刘 湜,付红双,张水莲

(1.北京跟踪与通信技术研究所,北京100094;2.中国人民解放军61599部队,北京100034;

3.信息工程大学信息系统工程学院,河南郑州450002)

基于无线信道特性的密钥提取技术研究*

蔡文炳1,刘 湜2,付红双3,张水莲3

(1.北京跟踪与通信技术研究所,北京100094;2.中国人民解放军61599部队,北京100034;

3.信息工程大学信息系统工程学院,河南郑州450002)

无线信道具有互易性(Reciprocity)、时变(Temporal Variations)特性和空变(Spatial Variations)特性,这些特性为通信双方从无线信道中提取安全的共享密钥提供了可能,有效的密钥提取机制能够显著地提高密钥提取速率。在过去的30多年中,无线信道密钥提取经历了从仅限于理论到实际信道密钥提取的发展过程。文中从信道参数选取、量化技术、信息协商技术、秘密增强技术等角度对基于无线信道特性的密钥提取体制的研究现状、分类比较、发展趋势进行了全面概述。

密钥提取 综述 信道参数选择 量化技术 信息协商技术 秘密增强技术

0 引 言

信息安全是一个具有重要意义的研究课题。密码学是保障信息安全的重要工具之一,目前广泛应用的数学密码依赖于没有严格证明的数学难题[1-2]。然而,随着经典计算机计算能力的提高和量子计算机研究的重大突破,依赖于数学密码的信息安全体制将面临着严峻的挑战。从理论上说,拥有无限计算能力的敌手都可通过对密钥空间的穷尽搜索而破译现有的密码体制。

以经典密码学和量子物理学为基础的量子密码作为新型的密码体制,其安全性受到量子力学基本规律的保证。量子不可克隆定理[3]和测不准原理

保证了量子密码的无条件安全性(Unconditional Security)和对窃听的可检测性,使得量子密码具有良好的性能和前景[4]。作为量子密码研究重点的量子密钥分发是最具有应用前景的量子信息技术,但是由于产生和检测单光子比较困难,基于离散变量的量子密钥分发和量子直接安全通信难以获得高通信速率;另一方面,目前连续变量量子密钥分发方案只能产生随机密钥,无法安全传输需要保密的明文信息。这些原因都在一定程度上限制了量子密钥在实际中的应用。

一种实现上更为简单、灵活的密钥共享方案是利用无线信道的固有随机性(Inherent Randomness)来进行密钥提取。当信息使用同一频率进行双向传输(如时分双工系统)时,电磁波传播的互易性[5]使得通信双方能够观察到相同的信道,这为通信双方提取对等的信道参数(增益、时延、相位等)提供了可能;另一方面,由于无线信道存在多径衰落,导致无线信道的特性是随时间变化的,因此,无线信道本身就是一个公共随机源,这从理论上保证了所提取密钥的真随机性;此外,在多径丰富的无线环境中,由于传输信道的空变特性,当窃听方位于合法用户几个波长之外时,其信道输出和合法通信双方的信道输出几乎是统计独立的[6],基于以上三点,我们就能够从无线信道中提取安全的共享密钥。

1 基于无线信道特性的密钥提取的理论基础

香农在其奠基性著作中[7],提出了信息理论安全的概念,引入了经典的加密系统模型,并定义了完美的加密系统,这些被认为是有关安全的最严格的表述,为后来的研究提供了理论依据。到了1975年,Wyner建立了搭线窃听(Wiretap)信道模型[8],并且指出,在主信道的信道条件优于窃听信道的信道条件下,合法通信双方能够得到正的安全容量,这一成果奠定了保密通信的基础。随后,Csiszar、Korner等人又将Wyner的搭线窃听信道推广到了广播信道(Broadcast Channel)情形[9],并证明了存在一种信道编码方式,在保证一定的数据传输速率的情况下还能实现数据的保密性。值得注意的是,以上两种模型都是基于窃听信道的信道条件比主信道差这个假设,在这个条件下才能得到正的安全容量。然而这通常是不符合实际情况的,比如,在地理位置上,窃听方可能比合法接收方更靠近发送方,或者窃听方可以采用更大口径的接收天线从而获得更好的接收信号。

在上世纪七八十年代,上面的一些研究成果并未受到应有的关注,部分原因是信道编码技术的发展;但是更大程度上是由于经典窃听信道要求合法信道优于非法的窃听信道,这在理论上限制了信息理论安全的进一步发展。

随后,Maurer指出,如果合法双方能够在公共信道上进行信息交互,则上述假设就不是必须的。而且,需要公共信道并不会降低密钥提取的实用性,因为这个公共信道不必是保密信道[2]。上面的理论成果进一步放宽了密钥提取的条件,为实际的密钥提取技术提供了坚实的理论基础,从此,信息理论安全的研究再一次引起了人们的浓厚兴趣,出现了一大批的理论研究成果。并推动了实际的密钥提取技术的发展。

Bennett等人以二阶Renyi熵为工具对保密放大(Privacy Amplification)进行了一般性的讨论[10]。Jon W Wallace从理论上研究了互易MIMO(Multiple InputMultiple Output)信道下的密钥生成[11]。Imre Csiszar和Prakash Narayan讨论了多个合法终端协同进行密钥生成的情况[12]。Lun Dong等通过引入协同中继来提高物理层安全[13]。Steven W McLaughlin等人从理论上讨论了无线信道的物理层安全,并加入了优化的LDPC(Optimized Low-Density Parity-Check)码来进行信息协商,从而使得密钥提取速率接近理论极限[14]。

2 密钥提取的相关技术

2.1 信道参数选取

目前有很多文献介绍从无线信道提取共享密钥。在早期的文献中,作者提出通信双方分别向对端以TDD方式发送相同的周期波形脉冲,双方分别通过量化收到的相邻脉冲的相位差(如图1所示)来生成共享密钥[15]。文献[16]则是基于TDD模式下信道对传输信号的附加相位相同这一事实来获取共享密钥,并提出了建立密钥分发网络的构想。

图1 发送和接收信号的相对相位Fig.1 Relative phase of transm itted signals and received signals

时延也是互易的无线信道特征,如,直达波和延迟波之间的到达时间差也能够用于密钥提取(如图2所示)[17-18]。文献[17]从相对窄带的信号中估计相对延迟,文献[18]使用超宽带的脉冲信号来进行信道多径时延的测量。

图2 UWB信号中的谱峰检测(门限检测方法)Fig.2 Peak detection of spectrum in UWB signals (threshold detection)

接收信号幅度是密钥生成中最常用的互易信道参数[19-20]。图3显示的是利用信号幅度从多径衰落信号中提取随机比特的情形。文献[19]利用深衰落来提取相关的随机比特串,文献[20]则基于ESPAR(Electronically Steerable Parasitic Array Radiator)天线的“电抗域”波束成型,通过控制天线的电抗值来增大接收信号的变化,从而在短时内获得起伏的信号强度用以生成共享密钥。

图3 基于多径衰落信号的信号强度提取随机比特Fig.3 Distill random bits based on amplitude ofmultipath signals

无线信道的误比特率(BER,Bit Error Rate)波动也可以用来提取共享密钥[21]。实际上,由于BER包含了引起比特错误的所有因素,如幅度和相位的波动、迟达波的影响等,因此它也是刻画无线信道的一个合适的参数。

此外,一些学者还研究了从相关随机源(Correlated Random Sources)中提取共享密钥这个更一般的问题[22]。受Maurer编码体制的启发,人们还发现,通过加入反馈信道能够极大地提高密钥生成速率[23]。

2.2 量化技术

在密钥体制的研究中,对天线收到的模拟信号的特定参数进行合适的量化也是非常重要的一步,其中两电平量化是一类比较简单的量化方式。它又可分为单门限量化和双门限量化,前一种将待量化参数的均值作为量化门限;后一种则设置一个上限γ和一个下限-γ,然后将大于上限的值量化为1(或0),低于下限的值量化为0(或1),并将上下限之间的数据舍弃,这种方式考虑到了0附近的值(位于上下限之内)在收发双方会有相反的极性,因此这种所谓的“单比特审查”(One Bitand Sensor)体制降低了比特之间的相关性并有较高的可靠性,但是这种方法需要确定合适的门限γ。

多电平量化也是常用的量化方式,它同样可分为不同的类型,一类方式是简单地将待量化参数依据最大值进行归一化,然后进行等间隔量化;另一类是根据待量化参数的统计特性来选择门限电平,使得信号落入每个量化区间的概率相等,这种量化方式能够得到0、1等概的比特串,但是需要预先知道待量化参数的统计特性。

最近,Chan Chen等人提出了一种“信道量化交互”(CQA,Channel Quantization Alternating)算法,这种改进的量化算法通过在公开信道上交互量化误差,可以极大地降低双方量化结果的初始不一致率,且在高信噪比时效果明显[24]。但是由于这种算法需要进行信息交互,因此实际中需要占用额外的信道资源。

2.3 信息协商技术

在实际的密钥提取中,通信双方常采用TDD工作模式,收发设备硬件存在差别,测量数据中包含热噪声、量化噪声、周围环境噪声等的不良影响,从而不可避免地会使通信双方量化后的比特串存在不一致。因此,信息协商(Information Reconciliation)是系统设计必不可少的一部分,但带来的问题是会泄露一部分信息。目前大多数的密钥协商体制是基于纠错编码理论,通过在公共信道上交换伴随式来实现密钥一致[18,20,25],文献[18]中采用了Reed-Muller码;文献[20]中在公共信道上交换BCH码的伴随式;由于LDPC码优良的性能,目前LDPC码用的较多,文献[25]在公开的反馈信道上加入自动请

求重传(ARQ,Automatic Repeat-Request)机制,并且在信道编码过程中将LDPC码、打孔、交织级联使用,从而极大地提高了合法通信双方所得密钥的安全性。

此外,还可采用BBBSC算法进行密钥协商[26],这种算法的核心是利用二分法来查找错误比特的位置,它也是一种比较经典的算法,复杂度较低,且效率较高。王保仓等人还基于数论知识提出了一种新的信息协商协议[27],但是这种方法的实用性还有待进一步验证。最近,西南大学的包小敏等人基于(24,12)扩展Golay码提出了一种新的信息协调协议[28]。

2.4 秘密增强技术

在密钥生成的过程中,由于需要在公开信道上进行密钥协商,所以窃听方不可避免地会获得密钥的部分信息。为了从双方已经一致的序列中提取出最终的密钥,需要进行秘密增强(Privacy Amplification)[10,29],通常的方法是基于线性映射或通用哈希(Universal Hash)函数[29-30]。通过秘密增强,可以使窃听方获取的密钥信息任意小,但是付出的代价是生成了更短的密钥。

3 有意义的研究方向

一方面,从信道角度看,有些无线信道是缓慢变化的,这会导致最终生成的比特串随机性较差,如何增大接收信号起伏,使得所提取的密钥能够接近均匀分布,从而大幅度地提高密钥提取速率是一个值得探讨的问题。

另一方面,从系统硬件看,由于收发双方所采用的硬件设备不可能完全相同,因此会降低生成密钥的一致性,如何补偿收发双方硬件之间的差别从而提高所生成比特的一致概率也是系统设计中需要考虑的问题。

此外,从实用角度看,目前基于无线信道特性的密钥提取实验大多数是在UWB(Ultra Wide Band)信道上或传感网络中进行的,探测双方距离大多在几米之内,如何将密钥提取机制推广到其它信道从而实现远距离的保密通信,使得基于无线信道特性的密钥提取技术具有更大的实用价值也是一个值得努力的方向。

4 结 语

结合近40年的科研文献,本文首先介绍了密钥提取方面的理论基础,然后对密钥提取中涉及的各种关键技术进行了概述并做出比较,最后从信息理论的角度给出了密钥提取的一般过程,同时对有意义的未来的发展方向做出展望。相信文中的分析会为密钥提取技术的选取提供有益的参考,同时,随着学者们的不懈努力,无线信道的密钥提取技术必定得到进一步发展和完善,并最终走向实用化。

[1] [1]DiffieW,Hellman M.New Directions in Cryptography[J].IEEE Transactions on Information Theory, 1976,22(6):644-654.

[2] Maurer U.Secret Key Agreement by Public Discussion from Common Information[J].IEEE Transactions on Information Theory,1993,39(3):733-742.

[3] Wiesner S.Conjugate Coding[J].Sigact News,1983, 15(1):78-88.

[4] 徐兵杰,刘文林,毛钧庆,等.量子通信技术发展现状及面临的问题研究[J].通信技术,2014,47(05): 463-468.

Research on Development Status and Existing Problems of Quantum Communication Technology[J].Communications Technology,2014,47(05):463-468.

[5] Balanis C A.Antenna Theory:Analysis and Design [M].2nd ed,New York:Wiley,1997.

[6] Goldsmith A.Wireless Communications[M].Cambridge University Press,2005.

[7] Shannon C E.Communication Theory of Secrecy Systems [J].Bell System Technical Journal,1949,28(4):656-715.

[8] Wyner A D.The Wire-tap Channel[J].Bell System Technical Journal,1975,54(8):1355-1367.

[9] Csiszar I,Korner J.Broadcast Channelswith Confidential Messages[J].IEEE Transactions on Information Theory,1978,24(3):339-348.

[10] Bennett C H,Brassard G,Crepeau C.GeneralizedPrivacy Amplification[J].IEEE Transactions on Information Theory,1995,41(6):1915-1923.

[11] Wallace JW,Sharma R K.Automatic Secret Keys from Reciprocal MIMOWireless Channels:Measurement and Analysis[J].IEEE Transactions on Information Forensics Security,2010,5(3):381-392.

[12] Csiszar I,Narayan P.Secrecy Generation for Multiple Input Multiple Output Channel Models[C]//Proceedings of IEEE International Symposium on Information Theory.Seoul:IEEE,2009:2447-2451.

[13] Dong L,Han Z,Athina P,et al.Improving Wireless Physical Layer Security via Cooperating Relays[J]. IEEE Transactions on Signal Process,1989,37(4): 461-466.

[14] Bloch M,Barros J,Miguel R D,et al.W ireless Information-Theoretic Security[J].IEEE Transactions on Information Theory,2008,54(6):2515-2534.

[15] Hershey JE,Hassan A A,Yarlagadda R.Unconventional Cryptographic Keying Variable Management[J].IEEE Transactions on Communications,1995,43(1):3-6.

[16] Wang Q,Su H,Ren K,etal.Fastand Scalable Secret Key Generation Exploiting Channel Phase Randomness in Wireless Networks[C]//Proceedings of 30th IEEE International Conference on Computer Communications. Shanghai:IEEE,2011:1422-1430.

[17] Ye C,Reznik A,Sternberg G,et al.On the Secrecy Capabilities of ITU Channels[C]//IEEE Vehicular Technology Conference.Baltimore:IEEE,2007:2030-2034.

[18] Wilson R,Tse D,Scholtz R A.Channel Identification: Secret Sharing Using Reciprocity in UWB Channels [J].IEEE Transactions on Information Forensics and Security,2007,2(3):364-375.

[19] Sadjadi A B,Kiayias A,Mercado A,et al.Robust Key Generation from Signal Envelopes in Wireless Networks [C]//Proceedings of the 14th ACM Conference on Computer and Communications Security.Virginia: ACM,2007:401-410.

[20] Aono T,Higuchi K,Ohira T,et al.Wireless Secret Key Generation Exp loiting Reactance-domain Scalar Response ofMultipath Fading Channels[J].IEEE Transactions on Antennas and Propagation,2005,53(11): 3776-3784.

[21] Kitano T,Kitaura A,Iwai H,et al.A Private key A-greement Scheme Based on Fluctuations of BER inW ireless Communications[C]//Proceedings of 9thInternational Conference on Advanced Communications Technology.Gangwon-Do:IEEE,2007:1495-1499.

[22] NitinawaratS.Secret Key Generation for Correlated Gaussian Sources[C]//Forty-Fifth Annual Allerton Conference Allerton House.Illinois:IEEE,2007:1054-1058.

[23] WatanabeS,Oohama Y.Secret Key Agreement from Vector Gaussian Sources by Rate Limited Public Communication[J].Journal of Latex Class Files,2007,6 (1):1-10.

[24] Wallace JW,Chen C,Jensen M A.Key Generation Exploiting MIMOChannel Evolution:Algorithmsand Theoretical Limits[C]//3rd European Conference on Antennas and Propagation.Berlin:IEEE,2009:1499-1503.

[25] Harrison W K,Almeida J,McLaughlin S W,et al. Coding for Cryptographic Security Enhancement Using Stopping Sets[J].IEEE Transactions on Information Forensics and Security,2011,6(3):575-584.

[26] Brassard G,Salvail L.Secret-Key Reconciliation by Public Discussion[J].Advances in Cryptology-Eurocrypt,1994(756):3-28.

[27] 王保仓,杨波,胡予濮.一种新的信息协调协议[J].西安电子科技大学学报:自然科学版,2006, 33(03):484-490. WANF Bao-cang,YANG Bo,HU Yu-pu.A New Information Reconciliation Protocol[J].Journal ofXidian University(Natural Sciences),2006,33(3):484-490.

[28] 郑严.公开信道密钥协商中的信息协调[D].成都:西南大学,2009. ZHENG Yan,Information Coordination in Open Channel Key Agreement[D].Chengdu:Southwest University,2009.

[29] Bennett C H,Brassard G,Robert JM.Privacy Amplification by Public Discussion[J].SIAM J Computing, 1988,17(2):210-229.

[30] Maurer U,Wolf S.Secret-Key Agreement over Unauthenticated Public Channels—Part III:Privacy Amplification[J].IEEE Transactions on Information Theory, 2003,49(4):839-851.

蔡文炳(1988—),男,硕士,工程师,主要研究方向为安全通信方面的研究;

CAIWen-bing(1988-),male,M.Sci., engineer,mainly engaged in secure communication;

刘 湜(1982—),女,博士,工程师,主要研究方向为信号处理方面的研究;

LIU Shi(1982-),female,Ph.D.,engineer,mainly engaged in signal processing;

付红双(1989—),女,硕士,工程师,主要研究方向为信号处理方面的研究;

FU Hong-shuang(1989-),female,M.Sci.,engineer, mainly engaged in signal processing;

张水莲(1954—),女,博士,教授,主要研究方向为编码理论、无线安全通信方面的研究。

ZHANG Shui-lian(1954-),female,Ph.D.,professor, majoring in coding theory and wireless secure communication.

Secret-Key Extraction Technology based on W ireless Channel Characters

CAIWen-bing1,LIU Shi2,FU Hong-shuang3,ZHANG Shui-lian3
(1.Beijing Institute of Tracking and Telecommunication Technology,Beijing 100094,China;
2.Unit61599 of PLA,Beijing,100034,China;
3.Institute of Information System Engineering,Information Engineering University,Zhengzhou Henan 450002,China)

Wireless channel enjoys the properties of reciprocity,temporal variations and spatial variations. These properties enable the legitimate partners to share secretkey from thewireless channel.And effective secret-key extraction system could remarkably improve the key extraction rates.In the past three decades, the secret-key extraction technique has experienced the development process from theory study to practical experiments in real channel.From the aspects of channel-parameter choice,quantization,information negotiation and privacy enhancement techniques,this paper provides a comprehensive overview on current status,classified comparison and development trend of secret-key extraction techniques based on wireless channel characteristics.

secret-key extraction;summary;channel-parameter choice;quantization technique;information negotiation technique;privacy enhancement technique

TN911.2

A

1002-0802(2014)12-1434-05

10.3969/j.issn.1002-0802.2014.12.018

2014-05-11;

2014-09-18 Received date：2014-05-11;Revised date：2014-09-18

国家863计划(No.2009AA011205);国家863计划(No.2013AA013603)

Foundation Item:National High-Tech Project(2009AA011205);National High-Tech Project(2013AA013603)