蔡文炳,付紅雙,張水蓮,孫有銘,于大鵬

(1.北京跟蹤與通信技術(shù)研究所,100094,北京; 2.信息工程大學(xué)信息系統(tǒng)工程學(xué)院,450002,鄭州)

一種無線信道密鑰容量求解方法

蔡文炳1,2,付紅雙2,張水蓮2,孫有銘2,于大鵬2

(1.北京跟蹤與通信技術(shù)研究所,100094,北京; 2.信息工程大學(xué)信息系統(tǒng)工程學(xué)院,450002,鄭州)

為了準(zhǔn)確求解合法通信雙方利用無線信道生成共享密鑰的容量,借助于瑞利衰落統(tǒng)計(jì)模型和互易性對無線信道進(jìn)行建模,得到合法雙方接收信號的統(tǒng)計(jì)分布;通過對統(tǒng)計(jì)分布進(jìn)行雅克比變換分別推導(dǎo)出雙方包絡(luò)的聯(lián)合分布和相位的聯(lián)合分布,進(jìn)而通過互信息公式求解出相應(yīng)的兩個密鑰容量表達(dá)式。利用窄帶信道的互易性,提出了一種發(fā)送信號為非相干載波的密鑰生成協(xié)議,合法雙方在相干時間內(nèi)以時分雙工(TDD)方式對無線信道進(jìn)行多載波探測,雙方分別利用接收信號包絡(luò)、相位信息生成密鑰,將兩密鑰去除相關(guān)性后拼接起來作為最終的密鑰以用于安全通信。該協(xié)議能夠同時利用接收信號的包絡(luò)和相位信息,且密鑰容量與非相干載波的個數(shù)成正比。仿真結(jié)果表明:分別基于信號包絡(luò)、相位信息生成的密鑰存在相關(guān)性;僅由包絡(luò)和相位信息生成密鑰并未充分利用信道特性信息,當(dāng)信噪比為10dB時,利用接收信號包絡(luò)、相位的密鑰容量的數(shù)值求和比利用接收信號的密鑰容量低0.3 b/s。

無線信道;密鑰生成;密鑰容量;相干載波

無線信道的廣播特性使得信息的安全傳輸成為一個非常重要的問題。密碼學(xué)是保障信息安全的重要工具之一。目前,廣泛應(yīng)用的密碼體制大多依賴于沒有嚴(yán)格證明的數(shù)學(xué)難題和計(jì)算復(fù)雜性,只能夠?qū)崿F(xiàn)計(jì)算安全,而基于無線信道特性的生成密鑰并結(jié)合“一次一密”加密體制能夠?qū)崿F(xiàn)無條件安全。因此,基于無線信道特性的密鑰生成方法由于其較強(qiáng)的理論性和良好的應(yīng)用前景,近年來引起了人們的廣泛關(guān)注,并成為了當(dāng)前的一個研究熱點(diǎn)。

Hershey和Maurer等學(xué)者先后指出,無線信道可以作為一個公共隨機(jī)源,并且這個公共隨機(jī)源對竊聽方來說是保密的[1-2]。當(dāng)合法雙方以時分雙工(TDD)方式對無線信道進(jìn)行探測時,信道的時變性使得合法雙方能夠生成具有噪聲性質(zhì)的真隨機(jī)的密鑰,互易性使得雙方在生成密鑰的同時實(shí)現(xiàn)了密鑰分發(fā)[3],而無線信道的空變性能夠?qū)崿F(xiàn)密鑰分發(fā)過程的物理安全性。因此,合法雙方可以利用無線信道的這些特性生成共享密鑰,從而實(shí)現(xiàn)安全通信的目標(biāo)。

當(dāng)合法通信雙方以TDD方式對無線信道進(jìn)行探測時,雙方可以利用接收信號中包含的豐富信道特性信息來生成共享密鑰。文獻(xiàn)[4-6]利用接收信號包絡(luò)來生成密鑰;文獻(xiàn)[7-8]指出可以通過觀察接收信號相位來得到共享密鑰;文獻(xiàn)[9-10]給出了從相關(guān)復(fù)高斯信號中生成共享密鑰的簡便方法?？梢钥闯?由于接收信號的包絡(luò)、相位信息較易提取,使得目前的密鑰生成實(shí)驗(yàn)常利用包絡(luò)和相位信息來進(jìn)行,因此研究給定模型下合法雙方基于接收信號包絡(luò)、相位信息的密鑰容量將對實(shí)際的密鑰生成過程具有重要的指導(dǎo)意義。本文首先對竊聽信道進(jìn)行建模,在此基礎(chǔ)上,利用隨機(jī)信號分析及信息論的相關(guān)理論,推導(dǎo)得到了基于接收信號包絡(luò)、相位信息的最大密鑰生成速率,即密鑰容量的數(shù)學(xué)表達(dá)式,并對結(jié)果進(jìn)行了仿真分析。最后,利用無線信道的互易性,提出了一種基于多載波的密鑰生成協(xié)議,合法雙方能夠同時提取接收信號中的包絡(luò)和相位信息以生成共享密鑰,且密鑰容量與探測信號中非相干載波的個數(shù)成正比。

1 基本的源模型

假定兩個合法終端Alice和Bob分別對各自的信道輸出X、Y進(jìn)行n次獨(dú)立觀察,得到的序列分別記作X=(X1,…,Xn)、Y=(Y1,…,Yn)。Alice和Bob能夠通過一個無錯(Error-Free)的公開討論信道相互通信,記V為公開討論信道上的所有通信內(nèi)容。在任意給定的時刻,合法雙方的觀察(Xi,Yi)是強(qiáng)相關(guān)的?；陔p方各自的相關(guān)觀察,Alice能夠生成密鑰序列K1,并且K1是(X,V)的函數(shù);Bob能夠生成密鑰序列K2,K2為(Y,V)的函數(shù)。

對于任意的ε>0和足夠大的n,如果K1和K2滿足

P(K=K1=K2)≥1-ε

(1)

I(K;V)≤ε

(2)

H(K)≥lb|K|-ε

(3)

式中:P(·)表示概率;I(·)表示互信息;H(·)表示信息熵。則,K1、K2稱為ε密鑰,|K|是K的所有可能取值構(gòu)成的集合的勢。

式(1)保證了Alice和Bob能夠以很高的概率生成相同的密鑰;式(2)保證了所生成的密鑰對能夠觀察到合法雙方在公開討論信道上進(jìn)行信息交互的竊聽方來說是保密的;式(3)保證了合法雙方所生成的密鑰接近均勻分布。

對于任意小的ε>0和足夠大的n,如果ε-(K1,K2)密鑰是可達(dá)的,并且

(4)

成立,則稱Rkey為可達(dá)的密鑰生成速率,所有可達(dá)的密鑰生成速率的上界稱為密鑰容量,記作CSK。對于以上模型,由文獻(xiàn)[2,11]可知

CSK=I(X;Y)

(5)

在上面定義的模型中,假定竊聽方Eve可以觀察到公開討論信道上傳輸?shù)男畔?但是不能對其進(jìn)行篡改,并且不能獲得任何其他有用的邊信息(邊信息指竊聽方通過竊聽合法雙方的信道探測過程而獲得的信息)。雖然竊聽方能夠獲得邊信息的情形引起了學(xué)者們的廣泛關(guān)注(如文獻(xiàn)[2,12]),但是這種情況下的容量求解依然是一個亟待解決的問題。

2 信道建模及密鑰容量的求解

2.1 信道建模

對于窄帶平坦衰落信道,合法雙方Alice和Bob以TDD方式互發(fā)探測序列,并且雙方的探測時間間隔小于信道的相干時間。發(fā)送信號s和接收信號r之間的關(guān)系可表示為r=Fs+n(其中F為信道增益),當(dāng)信道為瑞利信道時,F為復(fù)高斯隨機(jī)過程,n為獨(dú)立的加性噪聲。由于收發(fā)雙方通常都已知探測信號s,所以在任意給定時刻,Alice和Bob的信道輸出X、Y可分別設(shè)為

(6)

將上述分布代入式(6)中,得到

(7)

式中:BXY為信道輸出X、Y的協(xié)方差矩陣,表達(dá)式為

(8)

由于接收信號X、Y均為復(fù)高斯隨機(jī)變量,故可表示成如下形式

(9)

(10)

式中:E(·)表示隨機(jī)變量的期望。

2.2 密鑰容量的求解

基于以上假設(shè)條件,得到包絡(luò)和相位的四維聯(lián)合概率密度p4(A)為

(11)

(12)

(13)

因?yàn)?/p>

(14)

所以有

p4(A1,φ1,A2,φ2)=|J|p4(Ac1,As1,Ac2,As2)=

|J|p4(A1cosφ1,A1sinφ1,A2cosφ2,A2sinφ2)

(15)

式中:J為雅克比系數(shù),對應(yīng)的值為

(16)

將式(13)、(14)和式(16)代入式(15)中,得到包絡(luò)和相位的四維聯(lián)合概率密度p4(A1,φ1,A2,φ2)為p4(A1,φ1,A2,φ2)=

(17)

對式(17)中的φ1和φ2進(jìn)行積分,得到接收信號包絡(luò)的二維聯(lián)合概率密度p2(A1,A2)為

(18)

對式(17)中的A1和A2進(jìn)行積分,得到接收信號相位的二維聯(lián)合概率密度p2(φ1,φ2)為

(19)

式(18)、(19)分別給出了合法雙方接收信號包絡(luò)的聯(lián)合分布和接收信號相位的聯(lián)合分布。由式(5)可知,求解密鑰容量可轉(zhuǎn)化為相應(yīng)的互信息的計(jì)算,其計(jì)算公式為[13]

(19)

式中:X和Y為任意兩個隨機(jī)變量;p(x)、p(y)分別為X、Y的概率密度;p(x,y)為隨機(jī)變量X、Y的聯(lián)合概率密度。

將合法雙方接收信號包絡(luò)的聯(lián)合概率密度p2(A1,A2)代入式(20)中,得到基于接收信號包絡(luò)的密鑰容量CE為

(21)

將合法雙方接收信號相位的聯(lián)合概率密度p2(φ1,φ2)代入式(20)中,得到基于接收信號相位的密鑰容量CP為

(22)

由p4(A1,φ1,A2,φ2)、p2(A1,A2)和p2(φ1,φ2)的表達(dá)式可得

p4(A1,φ1,A2,φ2)≠p2(A1,A2)p2(φ1,φ2)

(23)

式(23)表明接收信號的包絡(luò)和相位不是統(tǒng)計(jì)獨(dú)立的隨機(jī)過程,因此,從接收信號包絡(luò)中生成的密鑰和從接收信號相位中生成的密鑰也存在一定相關(guān)性。此時,合法雙方不能簡單地將從包絡(luò)、相位信息中生成的密鑰直接拼接起來用于安全通信,而必須先去除密鑰比特之間的相關(guān)性。合法雙方可以通過通用Hash函數(shù)(Universal Hash Function)等密鑰增強(qiáng)工具來去除兩密鑰比特串之間的相關(guān)性[14],然后用于安全通信。

3 仿真與分析

圖1給出了合法雙方基于接收信號包絡(luò)、相位得到的密鑰容量CE和CP隨信噪比γ的變化曲線?？梢钥闯?CE和CP均隨γ的增大而增大。這主要是因?yàn)樾旁氡仍龃髸r,合法雙方接收信號的相關(guān)性也隨之增大,因而接收信號之間的互信息也隨之增大。因此,在實(shí)際的密鑰生成過程中,合法雙方應(yīng)當(dāng)盡量降低接收端的本地噪聲,從而提高接收信噪比γ,以增大密鑰容量。

(a)基于包絡(luò) (b)基于相位

對于所建立的模型,合法雙方基于接收信號的密鑰容量[2]CR為

CR=I(X;Y)=H(X)+H(Y)-H(X,Y)=

(24)

從式(24)可以看出,密鑰容量CR的取值也與信噪比γ有關(guān)。

圖2為合法雙方基于接收信號的密鑰容量和基于接收信號包絡(luò)、相位的密鑰容量的對比曲線。可以看出,基于接收信號的密鑰容量也隨信噪比的增加而逐漸增大。此外,不僅基于接收信號包絡(luò)、相位信息的密鑰容量均小于基于接收信號的密鑰容量,其數(shù)值求和也小于基于接收信號的密鑰容量,從圖2中可以看出,當(dāng)信噪比為10dB時,基于接收信號包絡(luò)、相位的密鑰容量的數(shù)值求和比基于接收信號的密鑰容量低0.3 b/s。這意味著分別基于信道響應(yīng)的包絡(luò)和相位生成密鑰再合成處理成最終密鑰的密鑰生成方式并不能夠充分挖掘信道中所包含的全部信道特性信息。因此,合法雙方還可以同時利用接收信號中包含的頻率、時延等信息來生成共享密鑰[15]。

圖2 密鑰容量的對比

4 密鑰生成協(xié)議

密鑰生成協(xié)議的基礎(chǔ)為合法雙方之間前向和后向發(fā)送的載波在相干時間內(nèi)經(jīng)歷相同的信道變化[1,3]。

4.1 信道探測過程

每一輪的密鑰生成過程都有2個時段,首先,Alice向Bob發(fā)送L個持續(xù)時間為T1的單位幅度且相互正交的正弦基信號

(25)

式中:t∈[t1,t1+T1);fi為載波頻率,1≤i≤L;正弦信號的初始相位為0。各載波之間的頻率間隔大于信道的相干帶寬,此時,接收端能夠通過各個載波觀察到相互獨(dú)立的信道響應(yīng)。為了敘述方便,假定t1=0,即協(xié)議開始時刻為0。Bob此時處于接收狀態(tài),記最短路徑延時為tc,Alice到Bob的信道響應(yīng)h12(t)最終的時延擴(kuò)展為td?？紤]信道多徑豐富的情況,此時,可以認(rèn)為h12(t)為復(fù)高斯隨機(jī)過程,則在任意給定的時刻,h12(t)的包絡(luò)服從瑞利分布,相位服從均勻分布。為了使Bob能夠很好地觀察h12(t)以便于后續(xù)的包絡(luò)、相位信息提取,需要滿足T1>td。Bob的接收信號可以表示為

(26)

Alice經(jīng)過發(fā)收轉(zhuǎn)換時間tTR后處于接收時段,Bob經(jīng)過收發(fā)轉(zhuǎn)換時間tRT后,在時刻t2=tc+td+T1+tRT發(fā)送同樣的多載波正弦基信號x2(t),且表達(dá)式為

(27)

式中:t∈[t2,t2+T2];載波頻率為fi,1≤i≤L;正弦信號的初始相位為0。基于信道互易性,仍然假定最短路徑延時為tc,Alice觀察到的信道響應(yīng)h21(t)最終的時延擴(kuò)展為td,為了便于Alice進(jìn)行后續(xù)的包絡(luò)、相位信息提取,同樣需要滿足T2>td。Alice的接收信號y21(t)可以表示為

(28)

Bob發(fā)送完畢后進(jìn)入發(fā)收轉(zhuǎn)換過程,轉(zhuǎn)換時間同為tTR;Alice接收完畢后進(jìn)入收發(fā)轉(zhuǎn)換過程,轉(zhuǎn)換時間同為tRT,至此完成一個完整的收發(fā)探測周期。

4.2 密鑰生成方法

5 結(jié) 論

鑒于現(xiàn)有的實(shí)驗(yàn)通常是利用接收信號中包含的信道響應(yīng)包絡(luò)信息和相位信息生成密鑰,因此在竊聽方無法獲得合法雙方邊信息的情況下,對合法雙方基于接收信號包絡(luò)、相位信息的密鑰容量進(jìn)行了推導(dǎo),并進(jìn)行了仿真分析,得到如下2個結(jié)論:一是合法雙方基于信道響應(yīng)包絡(luò)信息生成的密鑰和基于信道響應(yīng)相位信息生成的密鑰存在一定的相關(guān)性;二是信道響應(yīng)中包含的包絡(luò)和相位信息并不能完整地表征信道的變化情況。值得注意的是,本文是在假定合法雙方信道完全互易的情況下探討密鑰容量的,信道不完全互易的情況可以通過在式(6)的信道響應(yīng)h中引入相關(guān)系數(shù)來描述。實(shí)際可行的密鑰生成方案的設(shè)計(jì)將是今后的一個研究方向;此外,所提密鑰生成方案的性能及如何縮小密鑰生成速率與密鑰容量之間的差距值得進(jìn)一步深入研究。

[1] HERSHEY J E,HASSAN A A,YARLAGADDA R.Unconventional cryptographic keying variable management [J].IEEE Transactions on Communications,1995,43(1): 3-6.

[2] MAURER U.Secret key agreement by public discussion from common information [J].IEEE Transactions on Information Theory,1993,39(3): 733-742.

[3] SMITH G S.A direct derivation of a single-antenna reciprocity relation for the time domain [J].IEEE Transactions on Antenna and Propagation,2004,52(4): 1568-1577.

[4] 尚昭輝.無線物理層密鑰生成方法的研究 [D].西安: 西安電子科技大學(xué),2013.

[5] LIU Y,DRAPER S C,SAYEED A M.Exploiting channel diversity in secret key generation from multipath fading randomness [J].IEEE Transactions on Information Forensics and Security,2012,7(5): 1484-1497.

[6] CHEN Chan,JENSEN M A.Secret key establishment using temporally and spatially correlated wireless channel coefficients [J].IEEE Transactions on Mobile Computing,2011,10(2): 205-215.

[7] YE Chunxuan,MATHUR S,REZNIK A,et al.Information-theoretically secret key generation for fading wireless channels [J].IEEE Transactions on Information Forensics and Security,2010,5(2): 240-254.

[8] WANG Qian,XU Kaihe,REN Kui.Cooperative secret key generation from phase estimation in narrowband fading channels [J].IEEE Journal on Selected Areas in Communications,2012,30(9): 1666-1674.

[9] KHISTI A,DIGGAVI S N,WORNELL G W.Secret-key generation using correlated sources and channels [J].IEEE Transactions on Information Theory,2012,58(6): 652-670.

[10]NITINAWARAT S,NARAYAN P.Secret key generation for correlated Gaussian sources [J].IEEE Transactions on Information Theory,2012,58(6): 3373-3391.

[11]CSISZAR I,NARAYAN P.Secrecy generation for multiaccess channel models [J].IEEE Transactions on Information Theory,2013,59(1): 17-31.

[12]ZAFER M,AGRAWAL D,SRIVATSA M.Limitations of generating a secret key using wireless fading under active adversary [J].IEEE/ACM Transactions on Information Theory,2012,20(5): 1440-1451.

[13]鄒永魁,宋立新.信息論基礎(chǔ) [M].北京: 科學(xué)出版社,2010: 73-97.

[14]MAURER U,WOLF S.Secret key agreement over unauthenticated public channels: part III privacy amplification [J].IEEE Transactions on Information Theory,2003,49(4): 839-851.

[15]周百鵬,黃開支,金粱,等.一種基于多徑相對時延的密鑰生成方法 [J].計(jì)算機(jī)應(yīng)用研究,2011,28(6): 2196-2198.

ZHOU Baipeng,HUANG Kaizhi,JIN Liang,et al.Scheme of key generation based on multipath relative-delay [J].Application Research of Computers,2011,28(6): 2196-2198.

[16]孫牛牛,張水蓮,辛剛,等.基于LDPC碼和二分法的聯(lián)合信息協(xié)商算法 [J].信息工程大學(xué)學(xué)報(bào),2013,14(2): 207-212.

SUN Niuniu,ZHANG Shuilian,XIN Gang,et al.Joint information reconciliation algorithm based on LDPC codes and BINARY [J].Journal of Information Engineering University,2013,14(2): 207-212.

(編輯 劉楊)

ASolutionoftheSecretKeyCapacityforWirelessChannel

CAI Wenbing1,2,FU Hongshuang2,ZHANG Shuilian2,SUN Youming2,YU Dapeng2

(1.Beijing Institute of Tracking and Telecommunication Technology,Beijing 100094,China;2.Institute of Information System Engineering,Information Engineering University,Zhengzhou 450002,China)

A model for wireless channel is established to evaluate accurately the capacity of the shared secret key generated by legitimate users in the channel.The building of the model is based on statistical models of Rayleigh fading and reciprocity from the statistical distribution of the

signals.The joint probability density functions of both the envelope and the phase at the legitimate users are respectively derived by using a Jacobi transform.The corresponding expressions of the two secret key capacities are then deduced by using the formula of mutual information.Then a protocol of secret key generation in which the transmitted signals are multi-carriers is presented by utilizing the reciprocity of the narrowband channel.The legitimate users implement the multi-carrier channel sounding in TDD mode within the coherence time,and exploit the information of envelope and phase in the received signals to generate secret keys.The keys are spliced together to realize secure communication by removing the correlation between them.The proposed protocol can use information of the envelope and the phase simultaneously,and the capacity of the secret key is proportional to the number of carriers.Simulation results show that correlation exists between the secret keys generated based on information of the envelope and the phase,and that the numerical sum of key capacity that exploits information of the envelope and the phase is lower than that of received signals by 0.3 bit/s when the SNR is 10dB.It can be concluded that legitimate users can utilize more information in the received signals to generate shared secret key.

wireless channel; secret key generation; secret key capacity; coherent carriers

2013-10-16。

蔡文炳(1988—),男,碩士,工程師;張水蓮(通信作者),女,教授。

國家“863計(jì)劃”資助項(xiàng)目(2009AA011205,2013AA013603);國家自然科學(xué)基金資助項(xiàng)目(61271253)。

時間:2014-03-19

10.7652/xjtuxb201406006

TN911.2

:A

:0253-987X(2014)06-0031-06

網(wǎng)絡(luò)出版地址:http:∥www.cnki.net/kcms/detail/61.1069.T.20140319.1749.001.html