徐志江 王晓敏 卢为党 陈芳妮 华惊宇 贡 毅③

(*浙江工业大学信息工程学院 杭州 310023)(**浙江科技学院信息与电子工程学院 杭州 310023)(***浙江工商大学信息与电子工程学院 杭州 310018)(****南方科技大学电子与电气工程系广东省普通高校先进无线通信技术重点实验室 深圳 518055)

0 引 言

传统上，数据是通过经典加密方案[1,2]来保证信息的安全传输。这些密码算法比较复杂，窃听者破解密码系统所要花费的时间成本很大，因此可以保证信息的安全性。然而，随着计算机软硬件技术的发展，这种基于计算的安全性可能会不成立。利用物理层的随机性来生成无线设备间的密钥，近年来引起了极大的关注。与传统的密码学不同，通过无线信道物理层产生的密钥可以保证通信双方之间的信道与其他信道不相关[3,4]。

Maurer[5]提出根据无线信道互易性的特性建立信道模型，大量研究工作致力于开发各种物理层安全技术。为了提高信息传输过程中的安全性，采用复杂的信号处理技术来提高保密能力是非常重要的，例如人工噪声[6]的辅助技术、面向安全的波束成形技术[7-9]、协作中继的安全方法[10]等。在物理层密钥生成过程中，合法通信双方提取合适的信道参数，如信道响应幅度[11]、相位差异[12]以及信道增益和延迟[13]等，再对测量的信道参数进行量化，以此获得通信双方共享密钥的初始比特串。无线信道的互易性定理保证了信道测量值在上下行信道上是一致的。然而，加性噪声、无线信道的半双工性质以及器件的差异性导致实际信道的非互易性，密钥生成过程中存在失配率问题。秦艳琳等人[14]通过对密钥协商协议的改进，且没有使用双线性对运算，因此在确保安全性的同时具有较高的运算效率。Ali等人[15]通过链路端点的识别，得出信道测量不一致的主要原因是非同时测量，提出了一种实用的过滤方案以提高通信双方的信号相关性。Ambekar等人[16]提出一种无线自组织网络的密钥管理系统，通过在量化之前对接收信号强度的预处理以改善信道的互易性。同时，采用多比特量化方案用来提高密钥生成率。多数研究已经通过使用信道模型分析来解决问题，瑞利、莱斯和高斯等统计信道衰落模型已经被应用。Tope等人[3]提出高斯统计信道模型。Patwari等人[11]提出一种多比特自适应的量化方法对信道测量值进行编码，并且在进行理论分析时把收发双方的接收信号强度(received signal strength,RSS)建模为零均值的联合高斯分布，其方案使得密钥失配率大大下降。

Liu等人[17]使用了均匀量化的方法量化密钥。通过Mathematica的数值计算分析，发现均匀量化是密钥失配率最高的情况。本文提出了一种非均匀多比特量化方案，着重于测量信道信息幅度数据的量化，然后得出密钥序列。仿真及实验结果表明，非均匀多比特量化方法密钥失配率低于均匀多比特量化密钥失配率。

论文的结构安排如下。第1节介绍了系统模型及密钥的经典生成过程。第2节通过RSS累积分布函数具体阐述量化分割阈值得出的过程，然后用Mathematica数值计算，得出在给定RSS模型条件下，均匀量化是密钥失配率较高的一种量化方案。提出了一种非均匀的量化方法，给出了其失配率的理论公式。第3节通过实测验证了RSS模型的假设是合理的，通过实验和Matlab仿真，表明了所提出的非均匀量化方案失配率小于均匀量化的方案。第4节是结论。

1 RSS模型及密钥生成过程

无线信道具有互易性、时变性和空变性等特点，这些特点保证了合法通信双方可以利用无线信道作为相关随机信源，提取并共享密钥。假设合法通信双方工作在时分双工(time division duplex，TDD)通信模式下，通信双方首先在相干时间内完成对无线信道特性的双向探测(如通过发送导频信号)，然后利用接收信号对信道进行估计，随后通过量化、信息协商以及私密放大等步骤，生成用于加密通信的共享密钥比特串。

1.1 上下行信号强度

在 TDD通信模式下Alice、Bob、Eve分别表示为合法发送方、合法接收方和窃听者。无线通信因为其固有的广播特性，在其信号覆盖范围内的任何用户都能接收，所以其安全问题显得尤为重要。利用无线信道的不可预测性和随机性为物理层加密方案提供了条件。在相干时间内，可以合理地假设无线信道的信息状态是不变的。根据信道互易性定理，只要通信双方在该时间段内完成测量，可以认为双方的信道信息状态是一致的。若通信双方相距为电磁波波长以上的距离，一般可以认为双方所对应的信道特征是完全独立不相干的。若窃听者Eve与合法通信双方Alice或Bob之间的距离大于波长的一半，就可以保证Alice和Bob之间的信道信息不会被窃取。

(1)

其中，用于度量上下行信道关联程度的相关系数ρ定义为

(2)

1.2 密钥生成过程

获取共享密钥的典型流程，主要包括以下4个步骤。

(1) 信道测量：合法通信方Alice和Bob通过接收信号交替测量公共信道，进而获取两者之间的无线信道随着时间的变化值。

(2) 量化：将测量值用不同的量化方法，转换成为一串二进制密钥比特。这是本文讨论的对象。

(3) 信息调和：尽管可以采用信号预处理算法来改善信道测量的互相关性，但量化后Alice和Bob之间仍然存在不一致的密钥比特。可以使用信息调和技术来纠正两端生成的密钥比特的差异。

(4) 隐私放大：由于一些信息在信息调和部分公开传输，导致窃听者也可以得到，可能会危及到密钥序列的安全性，所以要通过隐私放大加强密钥的安全性。

2 密钥失配率的理论分析

在1.1节给定的RSS模型条件下，推导出了2电平量化的理论失配率；以4电平量化为例，给出了以量化电平为变量的失配率函数，分析得到均匀量化是一种失配率最高的量化方法这一结论，然后提出了一种非均匀量化方法来降低密钥失配率。

2.1 均匀量化方法

(3)

2电平量化的失配率推导如下。Alice和Bob都以自己接收到的RSS的均值μ为量化分界线，也即量化区间为S0,i=(-∞,μi],S1,i=(μi, +∞),i={A,B}。以Alice和Bob的RSS构成的2维笛卡尔坐标系中，量化在(S0,A,S1,B)和(S1,A,S0,B)区间时，量化比特是失配的。失配的概率为

Pr(S0,A,S1,B)

=Pr(S1,A,S0,B)=Pr(RA<μA,RB>μB)

=Pr(RA-μA<0,RB-μB>0)

(4)

其中RNA、RNB是RA、RB经过标准正态分布处理后得到的，即：

(5)

因此2电平量化的密钥失配率为

(6)

对于多比特量化的情况，以4电平量化为例，推导量化分割阈值与失配率之间的关系。假设量化编码为格雷编码，即相邻区间相差1比特。相应的量化区间编码为00、01、11和10。4电平量化区间如图1所示，图中的RNA和RNB经过式(5)标准化处理，类比式(4)的计算过程可以得出，此时的量化区间的范围和均值μ是不相关的。本文的计算过程也验证了Patwari等人[11]将通信双方建模为零均值的联合高斯分布的原因。因此4量化电平的简洁示意图如图1所示。

图1 4电平任意量化示意图

如果RNA∈(-∞, -cx)区间，则Alice编码为00。此时，假设RNB∈(-cy, 0)，Bob编码为01。Alice和Bob只有一个量化比特不同，并且它们的对应概率是Alice 和Bob的联合概率密度函数在该区间上的积分的一半。从图1中，可以比较直观地得出4电平量化的密钥失配率为

2Pr(QRA≠QRB)

(7)

对任意相关系数ρ，根据正态分布的“3σ”原则令量化阈值c取值范围为[0,3]，再代入式(7)，通过Mathematica软件进行数值积分，得到如图2所示的一簇不同相关系数下的量化阈值与失配率之间的关系曲线。从图2中可以看出，随着量化阈值c的增加，密钥失配率增加。当c是某个值时，密钥失配率最大，然后随之减小。

图2 4电平量化阈值系数与密钥失配率关系图

下面通过推导使得失配率最高的量化阈值c，来说明均匀量化是一种失配率最高的量化方案。对于式(7)，密钥失配率对变量cx、cy分别求偏导，并令其为0。经过整理后，得到：

(8)

和

(9)

根据对称性，如果式(8)和式(9)同时成立，则cx=cy=c，因此得到

(10)

对式(10)进行数值计算并进行拟合，其拟合方程为

c=-2.3ρ4+3.4ρ3-1.9ρ2+0.3ρ+0.66

(11)

进一步，当c趋于无穷大时，4电平量化失配率退化为2电平量化。由于格雷编码用于相邻的量化间隔，因此在4电平量化相邻间隔中一个比特总是相同的。失配率是2电平量化的一半，密钥失配率Pr(QRA≠QRB)为

(12)

这就是图2中各条曲线的极限值。

2.2 非均匀量化方法

图3 提出的非均匀量化示意图

本文所用的非均匀量化算法过程如算法1所示。

算法1非均匀量化算法1. FX(x)=Pr(X

根据图3，密钥失配率为

2Pr(QRA≠QRB)

(13)

通过Mathematica计算了4电平量化密钥失配率的数值积分结果，如图4所示。从图4中可以看出，在相同相关系数的情况下，所提出的非均匀量化方法的密钥失配率低于均匀量化方法。

图4 不同量化方法与相关系数ρ之间的关系

综上所述，本文提出的非均匀量化的方法计算密钥失配率的实现过程如下。

(1)首先建立一个通信双方的高斯通信模型。

(2)然后确定需要量化的电平数。

(3)画出非均匀量化的量化示意图。

(4)根据联合概率密度函数，计算出密钥失配的量化区间比特失配率的积分和。

(5)将比特失配率的积分和进行数值计算。

3 仿真结果与分析

通过Intel 5300网卡测量真实通信环境中收发节点链路之间的RSS 数据，验证假设模型是合理的。进一步，将所提出的非均匀的量化方法与均匀量化方法在Matlab中进行仿真验证。

3.1 实际环境中通信情况

本文用802.11无线网卡测量RSS。通过在Linux Ubuntu (10.04-14.04版本)系统上运行csitools工具[18]。利用它可以获取Intel 5300网卡测量真实通信环境中收发节点链路之间的RSS数据，来验证假设模型的合理性。

在测试数据收集过程中用到了2台台式电脑，分别命名为Alice和Bob，测试环境如图5所示。用ping指令控制Alice向Bob发送ICMP报文，设定每0.2 s发送一个ICMP报文； Bob每收到一条ICMP报文都会记录数据，并且返回一个ACK 给Alice；Alice收到ACK信号后，也会记录数据。在实验中，ICMP报文传输的往返延时在0～20 ms之间，收集到的某个子载波RSS数据如图6所示。从图6可以看出，报文传输的往返延时小于信道的相干时间时，信道RSS是满足互易性的。图7为收集到的部分测量数据(图中符号“+”表示)，用Matlab的normplot()函数来检验数据的正态性。从图中可看出，数据基本服从正态分布，因此第3节中的RSS假设模型是合理的。

图5 实测示意图

图6 发射机和接收机的 RSS 随时间变化的测量结果比较图

图7 测量数据的正态性检验图

由于真实环境中不可预测的因素，Alice和Bob两者之间的互易性并不总是很好。这也说明了需要考虑发送和接收双方之间相关系数的必要性。从测量数据中随机选择几组数据，计算相关系数，采用均匀量化和所提出的非均匀量化方案，得到如表1所示的密钥失配率。

表1 4电平量化的实测失配率

3.2 仿真数据结果

本文以4电平量化为例，选取不同的相关系数，对均匀量化和非均匀量化利用Matlab仿真得到相应的失配率，结果如表2所示。结合图4和表2，可以看出表2中的仿真结果与图4所示的数值积分数据是一致的。

表2 4电平量化仿真失配率

表3 不同量化方法仿真失配率比较

使用格雷编码可以很好地降低密钥不匹配率。“0”，“1”等概率是确保实际应用中随机性的重要特征。所提出的非均匀量化方法不能保证“0”，“1”的等概率。在密钥生成的下一个信息调和步骤中，可以使用散列函数[20, 21]来解决此问题。

4 结 论

本文针对无线物理层无线通信密钥提取过程中由于加性噪声、无线信道的半双工性质及器件的差异性导致实际信道的非互易性，密钥生成过程中存在密钥失配率的问题，在指定的无线信号强度高斯分布模型下，通过对以往量化方法的分析，提出一种非均匀的密钥比特量化方法。该量化方法考虑到RSS幅度较小时，容易受到信道的不一致性等影响，量化后的比特是不可靠的，量化区间应当大一些；与此相反，当RSS幅度较大时，抗干扰能力强，量化后比特的匹配率较高，量化区间小一些，从而降低密钥失配率。该量化方法首先将合法通信双方即Alice和Bob的RSS建模为具有相关系数的2维高斯分布模型。然后，使用RSS的累积分布函数来获得量化的分隔阈值。最后，量化阈值被映射到随机变量上，并且通过使用格雷编码获得一系列密钥比特。通过数值计算结果的拟合分析，得出均匀量化的密钥失配率是最高的情况之一。仿真以及实验数据结果都验证了所提出的非均匀量化的方法降低了密钥失配率。但是在RSS指定分布模型下的分析在实际中有一定的局限性，验证其他场景下的密钥失配率情况将是下一步重点研究方向。