基于LDPC 和橢圓曲線加密算法的密鑰協(xié)商方案

王華華，鄭明杰，陳 峰，梁志勇

(重慶郵電大學 通信與信息工程學院，重慶 400065)

隨著經(jīng)濟的騰飛和移動通信技術的發(fā)展，無線通信終端的數(shù)目呈爆發(fā)式增長。 5G 方興未艾，6G嶄露鋒芒，根據(jù)3GPP 于2019 年發(fā)布的時間表可知，將于2023 年開啟6G 的研究工作，在2025 年開始對6G 技術標準化，預計于2028 年下半年上市6G的相關設備。 第六代移動網(wǎng)絡將從宏觀設備到納米設備為人們提供了一個完整的通信系統(tǒng)，這些異構節(jié)點構成一個超密集網(wǎng)絡并管理著大量敏感信息［1］，如此龐大的網(wǎng)絡節(jié)點給通信網(wǎng)絡安全帶來了極大的挑戰(zhàn)。 移動通信技術的迭代促進物聯(lián)網(wǎng)領域的發(fā)展，屆時，將對無線通信技術和無線信道的安全提出更高的要求。 無線信道固有的廣播和開放性質允許任何用戶接收其傳輸?shù)男畔?，這將導致攻擊者有能力發(fā)起各種被動攻擊，如竊聽、流量分析和監(jiān)控等，或執(zhí)行主動攻擊，如干擾、欺騙、修改和拒絕服務等［2］。 作為現(xiàn)有加密方式的補充，物理層密鑰生成技術越來越受到關注，通信終端間無線信道的互易性和空間去相關性使通過無線信道的特征提取密鑰成為現(xiàn)實［3］。 物理層密鑰生成技術有4 個步驟：信道探測與估計、量化、密鑰協(xié)商和隱私增強，其中密鑰協(xié)商占有舉足輕重的地位。

近年來，密鑰協(xié)商的研究工作如火如荼。 1993年，Brassard 等［4］首次提出了Cascade 協(xié)商算法，該算法以二分法為基礎，通過不斷地奇偶校驗和回溯糾錯盡可能地使合法終端獲得一致的密鑰。 但是該方法交互次數(shù)較多，泄露的信息較多。 文獻［5］提出了一種名為Winnow 的協(xié)商算法，該算法通過漢明碼糾錯大大降低了合法終端之間的交互次數(shù)，但為了減少信息泄露，該算法會刪除部分信息，沒有充分利用初始密鑰。 除了以上兩個經(jīng)典算法，基于糾錯編碼的協(xié)商算法也是近幾年的研究熱點。 文獻［6］提出在光纖信道中使用多位自適應量化器和LDPC 組合的協(xié)商方案，該文獻所提的LDPC 協(xié)商只是進行一次LDPC 糾錯，如果一次LDPC 糾錯后無法保證兩個合法終端的密鑰一致即拋棄。 這種糾錯方法成功率低，浪費資源且成效甚微。 文獻［7］也是只使用一次LDPC 進行糾錯，該文獻對比了不同碼率對信息泄露的影響，但并未論證使用LDPC對密鑰不一致率的影響。 文獻［8］簡單提出使用LDPC 進行糾錯以達到協(xié)商的目的，但具體方案只字未提。 除了使用漢明碼和LDPC 以外，還有部分學者使用極化碼［9］和錯誤校正碼等信道編碼進行密鑰協(xié)商。 這些文獻均未詳細敘述合法通信雙方的交互過程和協(xié)商過程，且交互次數(shù)多。

近幾年，橢圓曲線加密算法逐漸應用到無線通信領域，與目前使用的RSA 算法相比，它可以使用相對較少的密鑰提供同等強度的安全級別，如果提供與RSA 和DH 相同的安全強度，橢圓曲線加密算法需要更小的密鑰尺寸，從而大大降低功耗［10］。 目前，已有學者提出橢圓曲線加密算法在智能電表和電網(wǎng)控制中心間通信的應用方案［11］，這足以說明橢圓曲線加密算法在低功耗器件中使用的可能。

為了解決上述文獻在密鑰協(xié)商中無法高效使用LDPC 等問題，本方案提出了一種使LDPC 和橢圓曲線加密算法有機結合的密鑰協(xié)商方案。 該方案分為4 個步驟：LDPC 糾錯、交織編碼、分塊與奇偶校驗和橢圓曲線加密算法糾錯。 仿真結果表明：同等信噪比下該方案比單一地使用LDPC 協(xié)商擁有更低的密鑰不一致率且性能優(yōu)于文獻［12］的協(xié)商方案；本方案的交互次數(shù)遠低于Cascade 協(xié)商方案。

1 系統(tǒng)模型

1.1 竊聽模型

本方案研究的系統(tǒng)模型如圖1 所示，Alice 和Bob 是TDD?OFDM 系統(tǒng)中的兩個合法終端，Eve 是潛伏在其中的被動竊聽者。 由于Alice 和Bob 之間具有信道互易性，同一鏈路的兩端具有相同的多徑效應和路徑損耗，只要它們在相干時間內(nèi)完成一次信道探測，就認為它們可獲得相同的信道沖激響應。有研究表明，竊聽者Eve 必須在二分之一波長內(nèi)才能獲得和合法終端一致的信道沖激響應［2，13］，以中國移動的最低5G 頻率（2 515 MHz）為例，Eve 必須在0.6 mm 內(nèi)才能獲得有價值的信道沖激響應，故認為Eve 與Alice（Bob）的信道沖激響應和Alice 與Bob 間的信道沖激響應不同。

圖1 竊聽模型

1.2 密鑰生成步驟

典型的物理層密鑰生成技術分為4 個步驟：信道探測與估計、量化、密鑰協(xié)商和隱私增強。 本文采用瑞利衰落信道和時分雙工正交頻分復用通信系統(tǒng)，通信雙方在該系統(tǒng)中互發(fā)導頻信號并信道估計。然后從信道估計中提取特征值，將其轉化為二進制的數(shù)字量，稱其為量化。 由于信道中含有各種噪聲和接收機存在差異等原因導致通信雙方接收的信號并不完全一致，那么信道估計和量化的結果總會存在差異，故需要密鑰協(xié)商使雙方密鑰完全一致［14］。本文在隱私增強部分采用哈希函數(shù)消除量化過程中密鑰泄露的影響并提高密鑰隨機性。

（1） 信道探測與估計

為方便描述，定義Alice 和Bob 之間的信道沖激響應為hAB（t），hBA（t）； Alice、Bob 和Eve 之間的信道 沖 激 響 應 為hAE（t），hBE（t）。 由 上 述 可 知：hAB（t）＝hBA（t），hAB（t） ≠hAE（t） 和hAB（t） ≠hBE（t）。 Alice 向Bob 發(fā)送的信號為sA（t）， Bob 向Alice 發(fā)送的信號為sB（t）。 假設所有終端間的無線信道都符合瑞利衰落，且信道內(nèi)噪聲為加性高斯白噪聲，Alice 和Bob 端的噪聲為nA（t）、nB（t）。

Alice 向Bob 發(fā)送信號sA（t），Bob 收到信號為

當τ ＜Tc時，即認為hAlice（t＋τ）＝hBob（t），Tc為相干時間。

（2） 量化

量化是將信道估計的結果映射成數(shù)字量。 雖然兩個合法終端的信道特征高度相似，但并不是完全一致，將導致量化后的結果并不完全一致，這也是密鑰協(xié)商的必要性。 本文在信道頻率響應星座圖中劃分16 個量化區(qū)域，并依據(jù)四變量卡諾圖為每個區(qū)域確定編碼方案，該方法具備格雷碼的優(yōu)點，即使有特征值誤判到其他區(qū)域也只會相差一個比特［15］。 量化區(qū)域與編碼方案如圖2 所示。

圖2 量化區(qū)域與編碼方案

在圖2 中，Q是信道頻率響應的實部與虛部均值的交點，Qlr和Qrr是實部的1／4 分位點和3／4 分位點，Qli和Qri是虛部的1／4 分位點和3／4 分位點。

（3） 密鑰協(xié)商

Alice 和Bob 經(jīng)過量化的二進制序列高度相似，但又不完全一致，通過密鑰協(xié)商將兩者變成完全一樣的密鑰，具體方案將在第2 節(jié)詳細介紹。

（4） 隱私增強

在密鑰協(xié)商階段，難免會通過公共信道傳遞部分信息，這些信息很可能被Eve 監(jiān)聽，造成信息泄露。 目前最常用的隱私增強的方法是運用哈希函數(shù)，即通過壓縮函數(shù)將有限長度的消息映射為固定長度的哈希值［16］，而該過程是不可逆的，且對原信息做細微改變后映射的哈希值就會有巨大改變，這使得哈希函數(shù)可以運用于隱私增強。 由于哈希函數(shù)的自變量與因變量差異很大，故其也可提高密鑰隨機性。

2 密鑰協(xié)商

2.1 密鑰協(xié)商流程

基于LDPC 和橢圓曲線加密算法的密鑰協(xié)商方案流程如圖3 所示。 首先，將Alice 經(jīng)過信道估計和量化后的密鑰做LPDC，并將校驗序列傳輸給Bob。然后，Bob 將該校驗序列附于其量化后的密鑰后面并利用相同的校驗矩陣譯碼。 其后，兩個合法終端對密鑰交織。 最后，合法終端將各自的密鑰以同樣的標準分塊和奇偶校驗，Bob 將奇偶校驗不一致的密鑰塊和索引通過橢圓曲線加密算法傳輸給Alice。

圖3 密鑰協(xié)商流程圖

2.2 LDPC 協(xié)商過程

LDPC 在1962 年被Gallager 提出，由于技術限制缺乏有效的譯碼方案而被埋沒，直到1995 年又被MacKay 等人發(fā)現(xiàn)并重啟研究。 由于其編碼效率接近于香農(nóng)極限、編解碼簡單和時延小等優(yōu)點，在2016 年底，LDPC 被確定為第五代移動通信技術的下行共享信道編碼方式。 由于LDPC 較高的糾錯能力，故本文將其運用在協(xié)商中。

假設線性分組碼的碼長為n， 其中信息位長為k，校驗位長度為m（m＝n－k）。 其可用生成矩陣Gk?n表示，也可以用一致校驗矩陣Hm?n表示，所有信息序列S1?k都滿足：S1?k?G?HT＝0。 校驗矩陣H決定糾錯效果，低密度奇偶校驗編碼的名字源自其校驗矩陣的稀疏性，即校驗矩陣中“1”很少，“0”很多。 優(yōu)良的正則LDPC 的校驗矩陣H應當滿足：（1）H的每行有ρ個“1”；（2）H的每列有λ個“1”，λ≥3；（3） 與碼長n和H的行數(shù)相比，ρ和λ都很小。 根據(jù)校驗矩陣H的譯碼方案主要有：比特翻轉算法和置信傳播算法等。

針對眾多學者沒有詳細描述LDPC 用于密鑰協(xié)商的交互過程和糾錯方法，本文從編碼矩陣的角度詳細描述該過程。 與多數(shù)文獻直接傳遞LDPC 編碼后的結果，多次異或比較和多次使用LDPC 相比［17］，本文所提出只傳遞一次校驗序列的方案有著諸多優(yōu)勢，如：交互次數(shù)少，密鑰泄露率低；只傳遞校驗序列不會泄露任何密鑰信息；成功率高等。 LDPC碼的協(xié)商部分如圖3 所示。 在Alice 端，經(jīng)過量化后得到初始密鑰kA＝［kA1，…，kAk］ ∈?1?k， 并選取合適的校驗矩陣H＝［H1，H2］∈?m?n，其中H1∈?m?k、H2∈?m?m， 將編碼后的碼字表示為cA＝［kA，h］ ∈?1?n，其中h∈?1?m為校驗序列，其結果如式（5）所示。

將h通過公共信道發(fā)送給Bob，在Bob 端，經(jīng)過量化后得到初始密鑰kB＝［kB1，…，kBk］ ∈?1?k。認為kB是kA通過公共信道傳輸后被噪聲污染后的信號，用h對其糾錯，構造向量cB＝［kB，h］∈?1?n并使用校驗矩陣H對其譯碼得到Bob 端的密鑰kB1∈?1?k。

2.3 交織、分塊與奇偶校驗

式中：Q1＝｛1，2，…，q｝，Q2＝｛q＋1，q＋2，…，2q｝，q＝N／2。

本方案為了降低利用橢圓曲線加密算法傳遞簡短密鑰塊的計算復雜度，盡量減少碼塊尺寸并兼顧奇偶校驗的性能，將分塊數(shù)目選定為m＝N。Alice 和Bob 對各自的密鑰塊奇偶校驗并將校驗結果傳送給Bob，由Bob 選取奇偶校驗不一致的密鑰塊。

2.4 橢圓曲線加密算法

假設p是一個大于3 的素數(shù)，F(xiàn)p表示p元有限域，在該域上的函數(shù)為［10］

當a，b∈Fq且4a3＋27b2≠0 時稱之為橢圓曲線。 將滿足式（7）的所有非負整數(shù)對和無窮遠點ο記為集合Ep（a，b）， 這是一個有限的離散點集。Alice 和Bob 通過橢圓曲線加密算法傳遞簡短的密鑰塊和索引的具體算法如下所示：

算法1 運用橢圓曲線加密算法傳遞簡短密鑰塊

經(jīng)過算法1 的處理，Bob 將奇偶校驗不一致的密鑰塊傳遞給Alice，并被替換到Alice 對應密鑰位置上。 該算法極大地降低了合法通信雙方的密鑰不一致率，其效果如圖4 所示。

圖4 不同譯碼算法的密鑰不一致率和信噪比的關系

由于在本密鑰協(xié)商方案中，要傳遞的密鑰塊很少且每個密鑰塊很小，所以橢圓曲線加密算法可以使用在物理層密鑰生成技術的密鑰協(xié)商階段。

3 仿真結果與分析

本節(jié)通過MATLAB 對所提出的基于LDPC 和橢圓曲線加密算法的密鑰協(xié)商方案進行仿真和結果分析，仿真采用TDD－OFDM 系統(tǒng)，具體仿真參數(shù)如表1 所示。

表1 仿真參數(shù)

密鑰不一致率（Key Disagreement Rate，KDR）指Alice 和Bob 所生成密鑰的對應位置不一致的數(shù)目占總密鑰長度的比值，如式（8）所示。

式中，N為密鑰總長度，KA和KB為Alice 和Bob 經(jīng)過協(xié)商后的密鑰。

將LDPC 用于物理層密鑰協(xié)商主要是利用其優(yōu)異的譯碼性能，不同的譯碼算法有著不同的效果。為了給該協(xié)商方案選取合適的譯碼算法，本文比對了APP?BP 譯碼算法、LLR?BP 譯碼算法和最小和BP 譯碼算法在不同信噪比下的密鑰不一致率，如圖4 所示。

由圖4 可知，隨著信噪比的增大，經(jīng)過上述譯碼算法處理后的密鑰，其不一致率都有不同程度的降低；APP?BP 譯碼算法和LLR?BP 譯碼算法只有在較大信噪比時才有明顯效果，最小和BP 譯碼算法在信噪比為7 dB 后便可以大幅降低密鑰不一致率。本文選取最小和BP 譯碼算法做為LDPC 的譯碼方案。

選取譯碼方案后，本文將LDPC 和橢圓加密曲線相結合，比較了不同信噪比時量化、LDPC 糾錯和使用橢圓曲線加密算法后的密鑰不一致率，并和文獻［12］中協(xié)商后的密鑰不一致率進行比較，如圖5所示。

由圖5 可知，經(jīng)過橢圓曲線加密算法進行簡短密鑰塊交換后，密鑰不一致率較LDPC 糾錯后有大幅降低，本文所提出的密鑰協(xié)商方案性能優(yōu)于文獻［12］使用改進型Cascade 協(xié)商方案，也優(yōu)于單一使用LDPC 的協(xié)商方案。 當信噪比太低時，量化后密鑰不一致率過高導致LDPC 無法準確譯碼甚至引入錯誤比特，所以信噪比小于5 dB 時，LDPC 糾錯后的密鑰不一致率比量化后略高；而隨著信噪比的增大，LDPC 的譯碼性能大幅提升，該協(xié)商方案高度依賴量化后的密鑰不一致率。

圖5 量化、LDPC 糾錯、橢圓曲線加密算法和文獻［12］的密鑰不一致率對比

交互次數(shù)關乎于協(xié)商方案的復雜度，移動通信和物聯(lián)網(wǎng)等低功耗通信方式對于交互次數(shù)的要求非常嚴苛；交互次數(shù)的增加也意味著密鑰泄露率的增加。 本文所提密鑰協(xié)商方案與Cascade［4］協(xié)商方案和文獻［12］提出的改進型Cascade 協(xié)商方案的交互次數(shù)對比如圖6 所示。

圖6 本文方案、Cascade 和文獻［12］的交互次數(shù)對比

由圖6 可見，與Cascade 協(xié)商方案、文獻［12］提出的改進型Cascade 協(xié)商方案相比，本文所提的協(xié)商方案的交互次數(shù)明顯更少。

4 結束語

本文針對無線通信物理層密鑰生成技術中量化后密鑰不一致的問題，把LDPC 和橢圓曲線加密算法運用到密鑰協(xié)商中，提出了一種基于LDPC 和橢圓曲線加密算法的密鑰協(xié)商方案。 經(jīng)過仿真表明：同等信噪比下，該方案比單一地使用LDPC 協(xié)商擁有更低的密鑰不一致率；該方案擁有較少的交互次數(shù)。