無線信道密鑰生成技術(shù)綜述

陳 媧，李 為，雷 菁

(國防科技大學(xué) 電子科學(xué)學(xué)院，湖南 長沙 410000)

0 引言

當(dāng)前，為了應(yīng)對海量數(shù)據(jù)的挑戰(zhàn)，我們需要足夠可靠以及更安全的信息傳輸機(jī)制。不同于傳統(tǒng)解決辦法是在信息層進(jìn)行加密處理，物理層安全技術(shù)利用物理層的基礎(chǔ)特性從安全編碼、信號處理以及密鑰生成等角度，對調(diào)制方式和信道編碼信息進(jìn)行保護(hù)，可以作為上層加密方法的一種有效補(bǔ)充。

無線信道密鑰生成技術(shù)是物理層安全技術(shù)研究的重要分支，其主要利用無線信道的互易性、時(shí)變性及空間去相關(guān)性在合法方之間共享相同的密鑰[1-2]，用于后續(xù)加密手段中。無線信道密鑰生成技術(shù)的優(yōu)點(diǎn)在于不需要一個(gè)固定的密鑰分發(fā)設(shè)施，并且安全性不依賴于算法的計(jì)算復(fù)雜性，因此在物聯(lián)網(wǎng)中的車聯(lián)網(wǎng)、移動(dòng)通信、智能家居等設(shè)備資源有限的應(yīng)用中更加體現(xiàn)優(yōu)勢，已經(jīng)作為一種輕量級密鑰分配工具而愈加受重視。

1 無線信道密鑰生成的評價(jià)標(biāo)準(zhǔn)

用來評價(jià)密鑰生成方案性能的標(biāo)準(zhǔn)通常有密鑰生成速率、密鑰不一致率和隨機(jī)性。

密鑰生成速率是指單位時(shí)間內(nèi)生成的密鑰比特?cái)?shù)目(單位：bit/s)或者平均每次信道探測獲得的密鑰比特?cái)?shù)目(單位：bit/packet)；

密鑰不一致率是指合法通信雙方獲得的密鑰中不一致的密鑰比特?cái)?shù)目占總密鑰比特?cái)?shù)的比例；

隨機(jī)性是衡量密鑰提取性能的一個(gè)非常重要的指標(biāo)，目前被廣泛采用的為NIST(National Institute of Standards and Technology)隨機(jī)性測試[3]，其總共包含 16 項(xiàng)指標(biāo)。該標(biāo)準(zhǔn)按照一定的測試算法，通過對待檢測序列與理想隨機(jī)序列進(jìn)行偏離程度的比較，得到各項(xiàng)指標(biāo)的 P-value 值作為隨機(jī)性測試結(jié)果。如果所有檢測項(xiàng)的 P-value值大于等于0.01，則待檢測序列通過隨機(jī)性測試。

2 無線信道密鑰生成的步驟

通常將無線信道密鑰生成過程分為信道測量、量化、信息協(xié)商和保密放大4個(gè)步驟，如圖1所示，其中Alice和Bob為合法通信雙方，Eve為竊聽者。

圖1 無線信道密鑰生成步驟Fig.1 Steps of key generation from wireless channels

2.1 信道測量

在信道測量過程中，通信雙方在信道的相關(guān)時(shí)間內(nèi)互相發(fā)送導(dǎo)頻,以得到特定參數(shù)的相關(guān)的觀測值作為生成密鑰的隨機(jī)源，這個(gè)參數(shù)可以是接收信號強(qiáng)度[4-8]、信道響應(yīng)[9-10]、信道相位響應(yīng)[11-12]以及信道多徑時(shí)延[13]等。多頻率[9,14-15]和多天線[16-17]提供的頻率多樣性和空間多樣性可以提供更多的隨機(jī)源，提高密鑰生成速率。

2.2 量化

在量化過程中，通信雙方將通過信道探測得到的信號強(qiáng)度或信道信息量化為0,1序列。常用的方法有：基于中位數(shù)等單閾值的量化方法[18]，將大于閾值的數(shù)據(jù)量化為1，小于閾值的數(shù)據(jù)量化為0；基于均值和方差的雙閾值量化方法[4]，將大于較高閾值的數(shù)據(jù)量化為1，小于較低閾值的數(shù)據(jù)量化為0，閾值間的數(shù)據(jù)舍棄；基于累積分布函數(shù)的量化方法[6,10]，依據(jù)數(shù)據(jù)的大小分布確定量化級別，保證每個(gè)量化級內(nèi)數(shù)據(jù)所占比例相同，同時(shí)可以在此方法的基礎(chǔ)上加入保護(hù)間隔[17]，舍棄保護(hù)間隔中的數(shù)據(jù)以使生成的比特序列不一致率降低。格雷碼可以用來進(jìn)行多比特量化[19]，不僅增加了密鑰的比特?cái)?shù)，而且因?yàn)橄噜彺a字之間只有一位不同，有效限制量化后序列的不一致率。

2.3 信息協(xié)商

通信雙方分別量化后的比特流中通常存在不一致的情況。信息協(xié)商被用來進(jìn)行對比特流的糾錯(cuò)，降低不一致率。常用的有Cascade方法[5]和糾錯(cuò)碼方法[7,9]。

Cascade方法中，Alice將比特序列隨機(jī)排列并將其分塊，然后將每塊的排列和奇偶校驗(yàn)信息發(fā)送給Bob。Bob用同樣的方式改變序列，將比特序列分成小塊，計(jì)算并檢查塊的奇偶性是否相同。對于每個(gè)塊，如果奇偶校驗(yàn)不匹配，則Bob執(zhí)行二進(jìn)制搜索，以確定是否可以更改塊中的少量位以使塊匹配奇偶信息，并進(jìn)行迭代，直到成功的概率超過期望的閾值。

糾錯(cuò)碼協(xié)商中，以BCH碼為例，通信雙方通過密鑰序列與校驗(yàn)矩陣相乘得到伴隨式，Alice將伴隨式信息發(fā)給Bob，Bob通過比較伴隨式的差值可以估計(jì)出錯(cuò)誤圖樣，對原始密鑰序列進(jìn)行糾錯(cuò)。

2.4 保密放大

由于比特的相關(guān)性和信息協(xié)商過程泄漏給竊聽者的信息，合法通信雙方通過隱私放大減小輸出比特流的大小來解決。這可以通過Alice和Bob使用通用哈希函數(shù)來實(shí)現(xiàn)，這些函數(shù)是從一組公開的函數(shù)中隨機(jī)選擇的，以獲得固定大小的較小長度，從較長的隨機(jī)性較弱的輸入流中輸出更短的隨機(jī)性更強(qiáng)的數(shù)據(jù)[5,20]。

3 特殊條件和場景下的無線信道密鑰生成技術(shù)

近年來，對無線信道密鑰生成技術(shù)進(jìn)行研究的場景設(shè)置逐漸拓展，例如從通信雙方信道測量值互易性較理想的條件到通信雙方信道測量值互易性不理想的條件，從波動(dòng)充足的動(dòng)態(tài)信道條件到波動(dòng)較小的靜態(tài)信道條件，從一對一通信場景到存在中繼的通信場景和多用戶通信場景。

3.1 通信雙方信道測量值互易性不理想條件下的密鑰生成技術(shù)

除信道估計(jì)時(shí)的估計(jì)誤差外，由于受到半雙工系統(tǒng)的非同時(shí)測量、不對稱的信道噪聲、硬件差異等因素的影響，通信雙方得到的初始測量值之間的一致度可能不理想[21]，而信息協(xié)商過程的能力有限，因此當(dāng)通信雙方測量值互易性不理想時(shí)，可能導(dǎo)致信息協(xié)商后通信雙方生成密鑰仍不一致。為了解決這個(gè)問題，可以在對信道測量值進(jìn)行量化前進(jìn)行處理，減輕量化后的信息協(xié)商過程的負(fù)擔(dān)，起到輔助降低密鑰不一致率的作用。

對于信道測量值不一致的問題，研究者提出了不同的方案。文獻(xiàn)[6,22]利用插值的思想解決非同時(shí)測量的問題；文獻(xiàn)[23]利用多項(xiàng)式曲線擬合信道測量值；文獻(xiàn)[24-25]提出利用1范數(shù)最小化的方法增強(qiáng)接收信號強(qiáng)度的互易性；文獻(xiàn)[26]對通信雙方的多次測量數(shù)據(jù)利用加權(quán)系數(shù)進(jìn)行線性組合，使組合后雙方的數(shù)據(jù)相關(guān)性最大；文獻(xiàn)[10]提出信道增益補(bǔ)償方案，即先用少量探測包得出信道探測值中的非互易成分，再在探測值中減去非互易成分；文獻(xiàn)[27]提出進(jìn)行小波分析消除非互易性的影響；文獻(xiàn)[28]利用低通濾波器將大部分高頻噪聲過濾。

3.2 靜態(tài)信道環(huán)境下密鑰生成技術(shù)

最原始的基于無線信道生成密鑰的過程十分依賴信道的變化，這些變化可以通過通信雙方的移動(dòng)或環(huán)境中物體的移動(dòng)而引起。在靜態(tài)的信道環(huán)境中，信道波動(dòng)較小，變化慢，信道相關(guān)時(shí)間較長。如果繼續(xù)遵循每個(gè)相關(guān)時(shí)間探測一次的規(guī)則，生成密鑰的速率十分緩慢；如果保持較高的探測速率，生成的比特序列通常沒有足夠的隨機(jī)性。

靜態(tài)信道環(huán)境下的密鑰生成方案，通常通過通信雙方給基礎(chǔ)方案中已知、公開的訓(xùn)練符號增加隨機(jī)性，得到隨機(jī)的接收信號或通過信道測量得到具備足夠隨機(jī)性的等效信道。如文獻(xiàn)[18,29]利用ESPAR天線，通過人工改變電抗矢量，使信道狀態(tài)隨機(jī)變化，從每個(gè)測量值中可生成0.4～0.6 bit密鑰。文獻(xiàn)[7,30-31]利用多天線結(jié)合隨機(jī)系數(shù)的思想，其中文獻(xiàn)[7]通過幅度和相位系數(shù)調(diào)節(jié)多天線通信節(jié)點(diǎn)發(fā)射的導(dǎo)頻，文獻(xiàn)[30-31]在MIMO系統(tǒng)中加入隨機(jī)波束成形系數(shù)，把雙方隨機(jī)波束成形系數(shù)與原信道響應(yīng)的乘積作為等效信道響應(yīng)。由于利用MIMO系統(tǒng)提供的多個(gè)信道信息作為隨機(jī)源，密鑰生成速率可達(dá)20 kbit/s。文獻(xiàn)[32]對信道探測得到的信道響應(yīng)矩陣進(jìn)行奇異值分解后，進(jìn)行重構(gòu)并由新的信道響應(yīng)矩陣生成秘密導(dǎo)頻進(jìn)行信道探測，提高等效信道的隨機(jī)性，平均可以從每個(gè)信道每次探測中生成8～10 bit密鑰。文獻(xiàn)[20,33-34]中通信雙方都發(fā)送隨機(jī)的探測序列，用收到的信號與發(fā)送信號的積生成密鑰，在利用多載波的情況下密鑰生成速率最高可達(dá)每個(gè)數(shù)據(jù)探測包生成64 bit密鑰。

另外，在環(huán)境中存在可用的中繼節(jié)點(diǎn)時(shí)，可以借助中繼節(jié)點(diǎn)輔助解決信道隨機(jī)性不足的問題。

3.3 中繼節(jié)點(diǎn)輔助場景的協(xié)作密鑰生成技術(shù)

在通信雙方之間沒有直接可用信道時(shí)，通過中繼節(jié)點(diǎn)的輔助建立多跳信道，中繼節(jié)點(diǎn)轉(zhuǎn)發(fā)接收信號或測量的信道信息的函數(shù)，為通信雙方提供共同的隨機(jī)源生成密鑰；在通信雙方之間有直接信道時(shí)，利用中繼節(jié)點(diǎn)提供的額外隨機(jī)源，可以進(jìn)一步提高通信雙方的密鑰生成速率。

對協(xié)作密鑰生成技術(shù)的一些研究中，利用中繼節(jié)點(diǎn)轉(zhuǎn)發(fā)信號或者信道響應(yīng)，輔助通信雙方得到不相鄰信道的信息。文獻(xiàn)[35]針對中繼節(jié)點(diǎn)的功能提出了4種轉(zhuǎn)發(fā)方式，利用中繼節(jié)點(diǎn)與通信雙方之間信道響應(yīng)的乘積生成密鑰；文獻(xiàn)[36]考慮了在中繼節(jié)點(diǎn)只能與通信雙方中的一方連接的場景，利用中繼節(jié)點(diǎn)相鄰信道與通信雙方之間信道響應(yīng)的乘積作為隨機(jī)源；文獻(xiàn)[37]提出中繼節(jié)點(diǎn)在給通信雙方發(fā)送信號時(shí)加入加權(quán)系數(shù)，使通信雙方收到相同的信號，估計(jì)出相同的等效信道響應(yīng)；文獻(xiàn)[38]提出發(fā)送方發(fā)送隨機(jī)的探測信號，接收方通過已知信道響應(yīng)值估計(jì)出探測信號，再進(jìn)行對中繼節(jié)點(diǎn)相鄰信道的估計(jì)；文獻(xiàn)[39]提出中繼節(jié)點(diǎn)在給通信雙方發(fā)送信號時(shí)，通過計(jì)算使得一個(gè)通信節(jié)點(diǎn)接收的信號等于中繼節(jié)點(diǎn)與另一個(gè)通信節(jié)點(diǎn)間信道響應(yīng)的值；文獻(xiàn)[40]考慮了多天線通信節(jié)點(diǎn)和多個(gè)多天線中繼節(jié)點(diǎn)的場景以及3種中繼之間的協(xié)作模式，進(jìn)行了通信節(jié)點(diǎn)和中繼節(jié)點(diǎn)工作天線選擇的優(yōu)化；文獻(xiàn)[41]提出了中繼節(jié)點(diǎn)利用反向陣列(RDA)進(jìn)行轉(zhuǎn)發(fā)。但在中繼轉(zhuǎn)發(fā)的方案中，轉(zhuǎn)發(fā)過程往往會放大信道噪聲。

另外，還有一些基于網(wǎng)絡(luò)編碼思想的工作，核心是中繼節(jié)點(diǎn)與通信雙方進(jìn)行信道測量后，向通信雙方發(fā)送兩個(gè)信道信息量化值的異或，輔助通信雙方得到不相鄰信道的信息。在此基礎(chǔ)上，文獻(xiàn)[42-46]進(jìn)行了不同的研究；文獻(xiàn)[42]提出了一種在多個(gè)中繼節(jié)點(diǎn)存在下對中繼節(jié)點(diǎn)保密的密鑰生成方案；文獻(xiàn)[43]考慮在功率限制條件下對中繼節(jié)點(diǎn)進(jìn)行功率分配的優(yōu)化使密鑰生成速率最大；文獻(xiàn)[44]提出了應(yīng)用壓縮感知信道估計(jì)；文獻(xiàn)[45]提出了通信雙方通過多個(gè)中繼進(jìn)行多跳傳遞信息得到共享的信道信息的方案；文獻(xiàn)[46]推導(dǎo)了基于網(wǎng)絡(luò)編碼思想的單中繼密鑰生成方法的最優(yōu)可達(dá)速率。

文獻(xiàn)[47-48]提出了在通信節(jié)點(diǎn)之間或通信節(jié)點(diǎn)與中繼節(jié)點(diǎn)間已經(jīng)建立安全信道條件下的密鑰生成，其中文獻(xiàn)[47]提出了中繼節(jié)點(diǎn)通過發(fā)送人工干擾可以引入更大波動(dòng)性，增加密鑰生成速率；文獻(xiàn)[48]考慮無線體區(qū)域網(wǎng)絡(luò)(Wbans)中的星型拓?fù)浣M模型中新節(jié)點(diǎn)即將加入組時(shí)，組內(nèi)除中心節(jié)點(diǎn)外的其他節(jié)點(diǎn)輔助新加入的節(jié)點(diǎn)與中心節(jié)點(diǎn)建立連接交換信息。

3.4 多用戶場景下的組密鑰生成技術(shù)

在無線網(wǎng)絡(luò)中，往往需要在多個(gè)用戶之間進(jìn)行安全的數(shù)據(jù)交換，這時(shí)多個(gè)用戶之間要生成共享的組密鑰。目前已有一些針對組密鑰的研究，模型中的多用戶組成環(huán)形、星型及網(wǎng)狀等拓?fù)浣Y(jié)構(gòu)。

3.4.1 環(huán)形拓?fù)浣Y(jié)構(gòu)

在環(huán)形拓?fù)浣Y(jié)構(gòu)中，節(jié)點(diǎn)形成一個(gè)圓環(huán)，每個(gè)節(jié)點(diǎn)與相鄰的兩個(gè)節(jié)點(diǎn)之間通過信道連接。

針對環(huán)形拓?fù)浣Y(jié)構(gòu)，文獻(xiàn)[12]以某一個(gè)節(jié)點(diǎn)為起點(diǎn)沿順時(shí)針和逆時(shí)針兩個(gè)方向發(fā)送導(dǎo)頻信號，將每個(gè)節(jié)點(diǎn)兩次探測到的相位響應(yīng)之和作為共享密鑰；文獻(xiàn)[49]提出將任意兩節(jié)點(diǎn)間成對生成的密鑰映射成多個(gè)相互獨(dú)立的部分，節(jié)點(diǎn)將本地隨機(jī)生成的密鑰用成對密鑰對應(yīng)部分進(jìn)行加密依次傳遞直到所有節(jié)點(diǎn)共享。在半雙工條件下，依次探測或傳遞信息導(dǎo)致很長延時(shí)。

3.4.2 星型拓?fù)浣Y(jié)構(gòu)

在星型拓?fù)浣Y(jié)構(gòu)中，通常通過一定規(guī)則選擇出一個(gè)中心節(jié)點(diǎn)，其他節(jié)點(diǎn)與中心節(jié)點(diǎn)通過信道連接，但其他節(jié)點(diǎn)間不能直接通信。

針對星型拓?fù)浣Y(jié)構(gòu)，文獻(xiàn)[50]提出了對單簇、獨(dú)立多簇和重疊多簇等多種不同星型拓?fù)涞慕M密鑰生成協(xié)議；文獻(xiàn)[51]提出了將中心節(jié)點(diǎn)通過廣播發(fā)送信號與參考信道信號之間的差值，輔助所有節(jié)點(diǎn)生成共同的密鑰；文獻(xiàn)[52]結(jié)合網(wǎng)絡(luò)編碼技術(shù)，中心節(jié)點(diǎn)把每個(gè)節(jié)點(diǎn)間信道與參考信道信號的異或值發(fā)給節(jié)點(diǎn)來共享密鑰；文獻(xiàn)[53]提出了中心節(jié)點(diǎn)直接利用隨機(jī)產(chǎn)生的密鑰通過一次一密系統(tǒng)加密傳輸給其他節(jié)點(diǎn)；文獻(xiàn)[54]提出了一種基于OFDMA系統(tǒng)的組密鑰生成方案，有效減少了信道探測的時(shí)間。

3.4.3 網(wǎng)狀拓?fù)浣Y(jié)構(gòu)

在網(wǎng)狀拓?fù)浣Y(jié)構(gòu)中，每個(gè)節(jié)點(diǎn)都與其他所有節(jié)點(diǎn)之間通過信道連接。

針對網(wǎng)狀拓?fù)浣Y(jié)構(gòu)，文獻(xiàn)[55]針對網(wǎng)狀拓?fù)?，在信道探測步驟后，每個(gè)節(jié)點(diǎn)廣播其接受信道的加權(quán)和；文獻(xiàn)[56]將其拓展到節(jié)點(diǎn)多天線的情況，并把暴力搜索優(yōu)化加權(quán)系數(shù)升級到基于新的度量的次優(yōu)方案，但仍然要求節(jié)點(diǎn)已知相鄰所有信道的信息。文獻(xiàn)[57]提出由特定節(jié)點(diǎn)廣播輔助其他節(jié)點(diǎn)獲得非相鄰信道的信息時(shí)，直接將信道信息的函數(shù)量化到復(fù)星座圖上以減少延遲?？偟膩碚f，在網(wǎng)狀結(jié)構(gòu)中需要進(jìn)行多次探測和廣播得到所有的信道信息，要求相關(guān)時(shí)間有一定的長度。

4 無線信道密鑰生成的應(yīng)用實(shí)現(xiàn)

無線信道密鑰生成技術(shù)已經(jīng)在藍(lán)牙[58]、WiFi[8,59]、車輛通信[60-61]、無線傳感器[6,14,62-63]、BAN[64-66]及LORA[67-68]等場景的實(shí)驗(yàn)平臺進(jìn)行了實(shí)現(xiàn)。但由于現(xiàn)有硬件條件的限制，這些實(shí)現(xiàn)工作中主要是基于從接收信號強(qiáng)度提取隨機(jī)性生成密鑰，密鑰生成速率較低。表1總結(jié)了不同應(yīng)用場景下基于不同實(shí)驗(yàn)平臺實(shí)現(xiàn)的密鑰提取技術(shù)及對應(yīng)可達(dá)到的密鑰生成速率。

表1 不同應(yīng)用場景下基于不同實(shí)驗(yàn)平臺實(shí)現(xiàn)的密鑰提取技術(shù)Tab.1 Key generation implemented by different platforms in different application situations

5 未來研究方向

5.1 竊聽信道相關(guān)條件下的無線信道密鑰生成技術(shù)

現(xiàn)有工作中，通常使用Jakes模型對信道相關(guān)性進(jìn)行建模。該模型中，在均勻散射的非視距瑞利信道中，假設(shè)散射體有無窮個(gè)，則距離半個(gè)波長以上的信道可以視作不相關(guān)信道。文獻(xiàn)[69]發(fā)現(xiàn)，在室內(nèi)環(huán)境中，即使竊聽者距離合法通信節(jié)點(diǎn)半個(gè)波長，信道間仍然有一定的相關(guān)性。另外，5G毫米波信道不能直接建模為Jake’s模型，實(shí)現(xiàn)竊聽信道不相關(guān)的條件可能更加嚴(yán)格。在未來的研究中，不僅需要解決竊聽者信道相關(guān)的問題，還需要對于竊聽者的性能和系統(tǒng)的安全性用更加具體的標(biāo)準(zhǔn)進(jìn)行定量的分析和驗(yàn)證。

5.2 通信節(jié)點(diǎn)高速移動(dòng)場景下的無線信道生成提取技術(shù)

在通信節(jié)點(diǎn)移動(dòng)的場景中，信道相關(guān)時(shí)間會隨著移動(dòng)速度的增加而變短。即使只是在車輛通信的場景中，相關(guān)時(shí)間就可能短到微秒數(shù)量級。在傳統(tǒng)無線信道密鑰生成技術(shù)中通常認(rèn)為的傳輸、接收數(shù)據(jù)包的時(shí)間遠(yuǎn)小于信道相關(guān)時(shí)間這個(gè)設(shè)定可能不再成立。在節(jié)點(diǎn)移動(dòng)速度更高的場景中，比如節(jié)點(diǎn)位于高鐵時(shí)，通信雙方進(jìn)行信道探測是否還能保持互易性是值得探索和發(fā)現(xiàn)的。如何在節(jié)點(diǎn)高速移動(dòng)的場景中從本質(zhì)上解決信道探測互易性低的問題以及提出密鑰生成速率更理想的方案，有待下一步研究。

5.3 存在更強(qiáng)大竊聽者的無線信道密鑰生成技術(shù)

在現(xiàn)有工作中，大多數(shù)考慮的竊聽模型為單個(gè)被動(dòng)竊聽者，即系統(tǒng)模型中只存在一個(gè)竊聽者，竊聽者只對通信過程進(jìn)行竊聽而不會主動(dòng)進(jìn)行干預(yù)。對于竊聽者具備更強(qiáng)攻擊能力的情況，仍需投入更多研究，如竊聽者多天線、系統(tǒng)中存在多個(gè)協(xié)作竊聽者的情況對系統(tǒng)安全性能的影響，以及在竊聽者進(jìn)行主動(dòng)攻擊時(shí)，能夠在消除主動(dòng)攻擊影響的同時(shí)，不影響合法通信的密鑰生成技術(shù)等。

6 結(jié)論

無線信道密鑰生成技術(shù)作為一種輕量級的密鑰分發(fā)工具，在物聯(lián)網(wǎng)等資源受限的通信場景中具有廣泛應(yīng)用前景。本文總結(jié)了無線信道密鑰生成技術(shù)的性能標(biāo)準(zhǔn)和步驟，以及幾種特殊環(huán)境或場景下的密鑰生成技術(shù)的發(fā)展，歸納了密鑰生成技術(shù)的應(yīng)用實(shí)現(xiàn)，并分析了未來值得進(jìn)一步研究的方向。