李　鑫，李興華，楊　丹，馬建峰

(西安電子科技大學(xué)計算機學(xué)院，陜西西安710071)

?

基于矢量量化的高效隨機物理層密鑰提取方案

李鑫，李興華，楊丹，馬建峰

(西安電子科技大學(xué)計算機學(xué)院，陜西西安710071)

摘要:針對現(xiàn)有的物理層密鑰生成方法中存在的生成速率偏低、誤碼率高等問題，借助無線信號接收信號強度RSS，提出了基于矢量量化的高效隨機物理層密鑰提取方案(HRVQ)．該方案通過不一致性去除減少通信雙方不一致的信道特征值，利用矢量量化將信道信息轉(zhuǎn)化為0、1比特流，并通過模糊提取器進行糾錯和隨機性增強處理．實驗表明:該方案在密鑰生成速率方面達到了284％的比特生成率，并且在實現(xiàn)了零誤碼率的同時保證了生成密鑰的隨機性．

關(guān)鍵詞:物理層安全;信息論安全;密鑰提取;矢量量化;模糊提取

1　引言

無線網(wǎng)絡(luò)已經(jīng)融入了人們的生活之中．然而，無線網(wǎng)絡(luò)的廣播特性使其面臨比有線網(wǎng)絡(luò)更大的安全問題，而且現(xiàn)有的無線加密體系也存在許多不足之處: (1)現(xiàn)有的802.11協(xié)議存在諸多問題［1］，例如沒有為管理幀和控制幀提供保護; (2)現(xiàn)有安全系統(tǒng)的理論基礎(chǔ)是數(shù)學(xué)上的困難問題，隨著計算技術(shù)的發(fā)展，攻擊者的計算能力大幅提升，這些基于計算復(fù)雜性的密碼技術(shù)的安全性就會降低; (3)傳統(tǒng)的安全機制需要密鑰管理、分發(fā)、更新和維護，隨著節(jié)點個數(shù)的增加，所需密鑰個數(shù)呈指數(shù)級增加，密鑰分發(fā)和更新的工作量會非常大．因此，引入物理層安全［2］來補充或增強無線網(wǎng)絡(luò)安全的方案受到了越來越多的關(guān)注．

物理層密鑰是基于信息論安全［3］的，它能夠降低密鑰分配和更新的難度，實現(xiàn)跨層安全，為上層密鑰生成提供素材，提高現(xiàn)有的密鑰體系的安全性．例如，可以使用物理層密鑰增強現(xiàn)有的802.11i的安全性［4］．物理層信道信息包括到達角度［5］、相位［6］、接收信號強度(RSS)［7～10］、信道脈沖響應(yīng)(CIR)［11］、信號包絡(luò)［12，13］和電平交叉點等．RSS是提取密鑰最常用的無線信道特征，因為它在現(xiàn)有的無線基礎(chǔ)設(shè)施中是已經(jīng)存在的，很容易測量得到．

Shannon［3］在1949年提出了信息理論安全并且證明了完全保密密鑰是存在的，典型的例子就是“一次一密”．Hershey［6］等人提出在無線通信中通信雙方的無線信道特征具有隨機性、時空唯一性和互易性，可以作為隨機信號源．

Suman Jana［8］等提出了自適應(yīng)的密鑰生成方案ASBG，該方案使用自適應(yīng)的量化方法，將RSS劃分到多個區(qū)間．Neal Patwari［9，10］等先后提出了HRUBE方案和ARUBE方案，采用了KLT變換、多區(qū)間量化、格雷碼糾錯、rank排序等方法．Hongbo Liu［14］等在所提出的方案中，以多區(qū)間量化和格雷碼糾錯為基礎(chǔ)，將信號衰減趨勢納入了量化范圍．為了解決移動設(shè)備不在各自的通信范圍之內(nèi)的問題，Hongbo Liu［15］等采用接力節(jié)點提出解決方案．Lihua Dou［16］等從多用戶角度提出了解決方案．

上述方案中的量化方法大致可分為單比特量化和多比特量化兩種，單比特量化［7，12］誤碼率低，密鑰生成速率也較低;多比特量化［8，9］可以提高密鑰生成速率，同時也提高了誤碼率．因此，密鑰生成速率和密鑰誤碼率之間存在矛盾．

本文提出了一種高效的物理層密鑰提取方法，包括不一致性去除、矢量量化、模糊提取等步驟．為了能夠充分利用現(xiàn)有的硬件，使得所設(shè)計的方案具有普適性，本文借助RSS來提取密鑰．

2　攻擊者模型

在攻擊者模型中，我們假定Eve可以竊聽Alice和Bob之間的所有通信信息．我們假設(shè)Eve知道密鑰提取算法以及算法中相應(yīng)的參數(shù)值，并且可以在測量過程中到處移動，也可以移動Alice和Bob之間的物體來改變信號的衰減，這種移動既不能增大相關(guān)時間也不能影響Alice和Bob之間的信號相關(guān)性．但是，Eve不能處在過于接近Alice或Bob的位置，須至少在λ/2距離之外(例如:在2.4GHz的頻率下，λ/2 = 6.25cm)，才能使Eve測量到的信號衰落獨立于Alice及Bob的信號衰落．在本文中，我們假定攻擊者與合法節(jié)點的距離在幾個波長之外，在移動的環(huán)境中與攻擊者保持20cm左右的距離并不難實現(xiàn)．同時，我們假設(shè)在測量過程中Eve不能發(fā)出干擾信號，不能發(fā)起中間人攻擊．因此，本文提出的方案同已有方案一樣，只能夠抵擋被動攻擊．

3　方案概述

物理層密鑰有以下三點要求: (1)相同的序列:加密雙方生成的密鑰須完全一致; (2)合適的長度:滿足對稱加密算法中常用的密鑰長度(一般為128bit至 512bit) ; (3)統(tǒng)計學(xué)隨機:比特之間相互獨立．這就要求密鑰生成方案滿足誤碼率低、生成速率高、密鑰隨機等要求．

針對這些要求本文提出一種新的無線物理層密鑰生成方法．假定雙方已經(jīng)獲得了相關(guān)性很高的RSS，我們的方案框架如圖1所示，共分為三個步驟: (1)不一致性去除，去除由信道半雙工或周圍噪聲引起的不一致信道信息; (2)矢量量化，將RSS根據(jù)平均線劃分成兩個區(qū)間，最終把不連續(xù)的RSS值轉(zhuǎn)化為0、1比特流; (3)模糊提取，對生成比特流中不一致的位進行糾錯并提取出隨機的比特串．

3.1不一致性去除

由于物理層信道的半雙工特性，Alice和Bob測量的微小時延會導(dǎo)致他們所處的相對位置發(fā)生改變，引起通信雙方信道信息的不一致．同時在Alice和Bob周圍存在著一些噪聲，也會在所測量的信道特征值中引入誤差．RSS的不一致性會導(dǎo)致生成密鑰存在不一致的比特位．為了降低誤碼率我們引入了不一致性去除這一步驟，旨在去除通信雙方的不一致RSS值．

下面我們具體分析可能會在量化過程中產(chǎn)生錯誤RSS值的特點．首先，我們以平均線(mean)將RSS劃分為兩個區(qū)間，在mean的上下兩側(cè)分別選取q+和q－，并以q+和q－為參考界限，去掉q+和q－之間的RSS．Alice 和Bob進行通信留下雙方共同保留的RSS值以去除這些存在微小偏移的點，減少誤碼率．其次，A、B兩方的RSS可能存在大幅跳變，如Alice處的RSS值處于q+之上而Bob處對應(yīng)的RSS值卻跳變到q－之下．一般情況下僅有單個RSS會發(fā)生這種跳變，而連續(xù)幾位大幅跳變的概率是很小的．因此我們引入m矯正因子，使得只有在連續(xù)m位發(fā)生大幅度跳變的情況下，才有可能產(chǎn)生誤碼率．

由于在信息收集階段Alice和Bob會收集大量的RSS信息，為了更準(zhǔn)確地對RSS進行處理，我們首先以b長度對RSS進行分塊(block)．其次，為了去掉微小偏移且使得Alice和Bob在不泄露信息的情況下進行協(xié)商，我們定義標(biāo)簽函數(shù)R(x)，假設(shè)標(biāo)簽函數(shù)的輸入為收集到的RSS數(shù)組X = { x1，x2，…，xk}，xi∈Z，這k個RSS值分屬于t個塊中，每個塊的長度為b，則標(biāo)簽函數(shù)R (x)為:

具體的不一致性去除步驟描述如下:

(1) Alice根據(jù)標(biāo)簽函數(shù)生成0、1序列，遇到連續(xù)m位相同的0或1，則將中間位的序號記錄在La－to－b數(shù)組中，生成La－to－b= { l1，l2，…，la}并發(fā)送給Bob;

(2) Bob根據(jù)標(biāo)簽函數(shù)，記下所有滿足連續(xù)m位相同的中間位序號，與Lb－to－a數(shù)組進行對比，并剔除不一致的值，生成數(shù)組并發(fā)送給Alice;

(3) Lb－to－a數(shù)組中所有序號所對應(yīng)的RSS值，即為有效的、Alice和Bob共同保留的RSS值，是下一步矢量量化的輸入．

3.2N維矢量量化

為了提高密鑰生成速率，大多方案都采用增加量化區(qū)間的做法，這種做法勢必會引起誤碼率的大幅升高．本文提出的N維矢量量化方法，在不增加量化區(qū)間的基礎(chǔ)上，可以有效地利用信道信息，提高了密鑰生成速率，同時不會引起誤碼率的升高．

假設(shè)N維矢量量化的輸入是經(jīng)過不一致性去除后的有效RSS數(shù)組Y = { y1，y2，…，yd}，yi∈Z，Y數(shù)組中的RSS值為Lb－to－a數(shù)組中每個序號所對應(yīng)的RSS值，則Y數(shù)組經(jīng)過標(biāo)簽函數(shù)處理，對應(yīng)的標(biāo)簽數(shù)組為:

R = { R(y1)，R(y2)，…，R(yd) }，R(yi)∈(0，1)．

對于N維矢量量化，建立N維矢量:

其中，Δ= {Δ1，Δ2，…，ΔN－1}，是N維矢量中N個分量的分量間隔，Δj是第j個分量和第j + 1個分量之間的序號間隔．則對于每一個輸入yi，N維矢量量化的輸出為:

N維矢量量化器QN(Y)的作用是將不連續(xù)的RSS值轉(zhuǎn)化為0、1比特流，當(dāng)yi作為矢量量化的輸入時，量化器以參數(shù)數(shù)組Δ為依據(jù)，向后查找第2到N個分量，組成N維矢量，并根據(jù)這N個分量的序號，得出相應(yīng)的標(biāo)簽值，最后將這N個分量的標(biāo)簽值縫合在一起得到N位的比特流輸出，算法1詳細(xì)描述了這一矢量量化的過程．

算法1矢量量化

對于N維矢量量化，每一位的RSS輸入，都會有N位的比特輸出，RSS數(shù)量與生成比特的數(shù)量比例為1: N．且N維矢量量化可以看成是在N維空間內(nèi)建立起N維坐標(biāo)系，空間被坐標(biāo)軸分割成2N個空間，這些空間可以分別用2N個不重復(fù)的長度為N的格雷碼［17］來表示．

N個RSS分量組成的矢量可能落在2N個空間中的任何一個，這樣就可以把這個分量映射到對應(yīng)的長度為N的格雷碼上，從而完成一位RSS到N位比特流的量化．

我們以二維矢量量化為例說明矢量量化的過程．如圖2所示，當(dāng)輸入為yi時，以Δ1為間隔向后找到第二個分量y(i +Δ1) modd組成二維矢量＜yi，y(i +Δ1) modd＞，并根據(jù)這兩個分量的序號找到不一致性去除時得到的標(biāo)簽輸出值R(yi)和R(y(i +Δ1) modd)，這兩位的標(biāo)簽輸出值R(yi) R(yi +Δ1)即為yi的二維矢量量化輸出，所以二維矢量量化器為:

如圖2所示，以Q +和Q－為參考界限，將參考界限之間的點都去除，二維量化中以Δ為間隔，取兩個RSS組成二維矢量＜x1，x2＞，若第一個分量x1大于Q +且第二個分量x2小于Q－則矢量＜x1，x2＞映射到第四象限，x1的二維矢量量化結(jié)果為01.

3.3基于模糊提取器的隨機性增強處理

矢量量化的過程中進行了比特的重用，這使得生成的各比特串之間存在相互聯(lián)系，密鑰的隨機性比較差．我們在N維矢量量化之后引入了模糊提取器，在對密鑰比特串進行糾錯的同時也提高了其隨機性．模糊提取由一對過程＜Gen，Rep＞定義，它從輸入w0中以容錯的方式可靠地提取出均勻分布的隨機密鑰R．為了從另一個與w0充分接近的輸入w'中恢復(fù)出R，模糊提取還同時輸出公開信息P，恢復(fù)過程必須有P的參與．

定義1一個參數(shù)為(M，l，t)的模糊提取由Gen、Rep兩個過程組成:

(1) Gen是一個概率生成過程，對于輸入w0∈M，輸出公開信息P和長度為l的隨機秘密信息R，即(R，P) ←Gen(w0)．

(2) Rep是一個確定性恢復(fù)過程，對于輸入公開信息P和與w0充分接近的任意輸入信息w'，輸出對應(yīng)的R，即對所有的w0，w'∈M，且滿足d(w0，w')≤t的w'，如果(R，P)←Gen(w0)，就有R←Rep(w'，P)．其中d(w0，w')≤t表示w0和w'的距離不超過t．

圖3給出了標(biāo)準(zhǔn)模糊提取器的構(gòu)造．我們選取BCH碼［18］來進行糾錯，使用SHA-1函數(shù)對生成的比特流進行隨機性增強，在4.3節(jié)中有詳細(xì)描述．

我們從兩個方面來考慮模糊提取器的安全問題: (1)輸出值R是隨機的，而且只在本地保存，可以保證其安全性; (2)攻擊者不能根據(jù)P獲得w0值和R值，詳細(xì)的安全分析可見文獻［19］．

4　實驗及分析

在我們的實驗中，Alice、Bob和Eve三臺主機的操作系統(tǒng)均為ubuntu12.04，都使用相同型號的網(wǎng)卡Atheros TL-WN650G，由MadWifi驅(qū)動，工作在802.11g模式下收發(fā)包．我們對MadWifi進行了修改，添加了對beacon幀的回復(fù)，beacon－ack攜帶與beacon相同的序列號，通過序列號的匹配，通信雙方可以完成RSS的配對，beacon－ack的長度為49字節(jié)．實驗在約有20臺PC的實驗室內(nèi)進行，Bob在Alice周圍來回移動并以100ms為間隔向Alice發(fā)送beacon幀，Alice收到beacon幀后會記錄下序列號和對應(yīng)的RSS值，并立刻給Bob發(fā)送一個beacon－ack的確認(rèn)幀．Bob收到確認(rèn)幀后，做同樣的操作．整個測量過程中我們共收集到了120000 個RSS．

下面我們對方案的性能進行詳細(xì)地分析，圖4為最優(yōu)情況下比特生成率隨維數(shù)N變化的關(guān)系圖，其中參數(shù)為b =80，α= 0.2，m = 2，Δ1=Δ2=…=ΔN－1= 60，矢量量化方案在在7維時可以達到284％的比特生成率，即收集到一個RSS信息可以生成2.84bit密鑰．由于RSS損失僅發(fā)生在不一致性去除步驟且矢量量化和模糊提取皆不會引起密鑰長度損失，而量化步驟輸入的每個有效RSS會對應(yīng)N個比特的輸出，所以當(dāng)b，α和m固定時比特生成率與維數(shù)N為線性關(guān)系，如圖4所示．

圖5為比特誤碼率隨維數(shù)N的變化關(guān)系圖，可以看出，即使不經(jīng)過糾錯步驟，經(jīng)過矢量量化這一步輸出的比特流的誤碼率也僅為0.116％，優(yōu)于以往的所有方案．由于矢量量化這一步產(chǎn)生的比特流誤碼率極低，所以才能在模糊提取這一步進行糾錯，最終生成相同的密鑰．需要說明的是，經(jīng)過不一致去除后，Alice和Bob不一致的RSS數(shù)目固定，隨著維數(shù)N的增大，比特流誤碼率保持不變．

4.1不一致性去除分析

方案定義了標(biāo)簽函數(shù)，并通過Alice和Bob的通信來去掉可能引起不一致的RSS信息，在這個過程中主要引入了b、α和m三個參數(shù)．

首先，在實驗中我們發(fā)現(xiàn)分塊處理時引入的參數(shù)b并不是越小越好，分塊過小或過大都會引起平均值計算不準(zhǔn)確，從而使得誤碼率升高．實驗結(jié)果如圖6所示，區(qū)間約為(15，100)時誤碼率都保持在較低水平．

其次，波動因子α越大，則參考界限Q +和Q－距離平均線的距離越遠(yuǎn)，存在微小偏差的點被剔除的概率就越高，誤碼率會下降，但同時兩個參考界限之間的被舍棄的點也就越多，會造成比特生成率下降．反之，α越小意味著誤碼率增加和比特生成率升高，如圖7和圖8分別描述了α對比特生成率和誤碼率的影響．

最后，我們考慮矯正因子m的影響，m越大則滿足連續(xù)m位都大于Q +或小于Q－的點越少，協(xié)商生成的有效RSS值就越少，所以隨著m增加比特生成率會大幅減小，而m增加意味著連續(xù)m位RSS大幅跳變的情況減少，所以誤碼率會相應(yīng)下降;反之，m減小意味著比特生成率增加和誤碼率減?。甿對比特生成率和誤碼率的影響情況如圖9和圖10所示．

4.2N維矢量量化分析

N維矢量量化意味著一位有效RSS的輸入對應(yīng)生成N個比特的輸出，所以N越大方案的比特生成率就越高．但為了確保所生成比特流的隨機性，同已有方法一樣，我們利用NIST的9項測試對不同維度下生成密鑰的隨機性進行了評估，對于每項，P-value值大于0.01即表示通過測試．結(jié)果如表1所示，當(dāng)N≤7的時候，所生成的比特流能夠通過所有的檢測項．然而，當(dāng)N≥8的時候，每個比特被重用的次數(shù)太多，比特之間的獨立性降低，隨機性減弱，使得NIST測試項FFT值始終為0，生成的比特流不能通過NIST隨機性測試．因此，從上述分析及測試結(jié)果可以看出，在我們的方案中7維是確保生成密鑰隨機性的一個上限．

N維矢量中各個分量之間的間隔數(shù)組Δ= {Δ1，Δ2，…，ΔN－1}對于生成的比特流也有影響，Δi不能小于相干時間，否則兩個分量之間會存在關(guān)聯(lián)，攻擊者可能推測出其規(guī)律性，我們選取Δ1=Δ2=…=ΔN－1= 60，此時任意兩個RSS分量都處于相干時間之外，且每個RSS對應(yīng)的矢量映射到N維空間坐標(biāo)軸上的分布比較均勻，此外Δ的選取對比特生成率和誤碼率均沒有影響．

表1　不同維度生成密鑰的NIST測試結(jié)果

4.3模糊提取器性能分析

本文的模糊提取器可描述為，Alice通過矢量量化生成比特流w0，作為Gen的輸入，通過BCH(23，12)糾錯編碼生成糾錯序列P，并對w0進行SHA-1哈希生成隨機性強的密鑰，哈希的輸入與輸出長度比為1∶1.然后Alice將糾錯序列P發(fā)送給Bob．Bob使用P對自己的量化生成比特流w'進行糾錯，恢復(fù)出w0序列，然后同樣進行SHA-1哈希生成相同的隨機密鑰．在該過程中選取的BCH(23，12)原碼長度為12，糾錯碼長度為11，它的最小碼距為7，可以糾正3個錯誤．我們將比特流分成每12位一組，生成對應(yīng)的11位糾錯碼發(fā)送給通信的對方，這11位糾錯碼可以糾正誤碼率為25％的比特流，而本方案的誤碼率為0.0116％，所以經(jīng)過BCH碼糾錯后，Alice和Bob生成的密鑰完全一致，達到零誤碼率．

4.4方案比較

為了能更好地體現(xiàn)本文方案的優(yōu)勢，我們選取了Mathur［7］的方案、Jana［8］的方案ASBG、Patwari的方案HRUBE［9］和ARUBE［10］以及Liu［14］的方案等當(dāng)前最典型的五個方案與我們的方案作對比研究．

我們從比特生成率、密鑰誤碼率、密鑰隨機性三個方面來衡量方案的優(yōu)劣，對比結(jié)果呈現(xiàn)在圖11中．經(jīng)過對比，可以得出以下結(jié)論:

(1) Mathur的方案誤碼率極低且生成的密鑰隨機，但是比特生成率僅有15％．

(2) ASBG的單比特提取方案性能與Mathur的方案相近，其多比特提取方案密鑰速率雖然上升了，但誤碼率也大幅提高，當(dāng)比特生成率達到40％時，誤碼率升高至8％．

(3) Patwari的HRUBE方案和ARUBE方案在誤碼率方面比前兩個方案有了明顯的提高，但這兩個方案引入了額外的硬件TelosB，且在KLT變換時奇異值分解的時間復(fù)雜度很高，可以達到O(n3)．

(4) Liu的方案有著很高的比特生成率，接近200％．他的方案中指出75％的RSS值都處于上升或下降趨勢中，但是在我們的實驗中，處于上升或下降趨勢的RSS比率隨時間和周圍環(huán)境的改變而不同，所以該方案的穩(wěn)定性較差．

可以看出，我們的方案是唯一一個實現(xiàn)零誤碼率的方案，同時，將誤碼率限制在1％以內(nèi)時，我們的方案達到了目前為止最高的比特生成率284％，大大超出了已知的所有方案．

方案的可行性方面，從算法1可以看出，N維矢量量化總的循環(huán)次數(shù)為d×N，其中d為經(jīng)過不一致性去除后有效RSS數(shù)組的維數(shù)，而原始采集到RSS的個數(shù)Num = T×fb(T為RSS數(shù)據(jù)收集的時間，fb為WiFi中beacon幀發(fā)送的頻率)，因此d＜T×fb．而N為矢量量化的維數(shù)，從上面分析可知，該值的上限為7，即: N≤7.因此N維矢量量化總的循環(huán)次數(shù)d×N＜7×T×fb，故N維矢量量化的時間復(fù)雜度O(d×N)＜O(7×T×fb)為線性時間．并且由于數(shù)組R共有d個成員，且d＜T× fb，所以該算法所需的空間復(fù)雜度為存儲數(shù)組R所需的空間，即S(R)＜S(T×fb)．因此該算法的空間復(fù)雜度也是線性的．綜上所述，矢量量化方法在現(xiàn)實中是可行的．

在實際應(yīng)用場景中，單從密鑰生成時間來看，本方案效率不如EAP-TLS［20］等傳統(tǒng)協(xié)議方法．但是，本方案可以很好地解決引言中所述的傳統(tǒng)方案在應(yīng)用中的問題，同時也能實現(xiàn)傳統(tǒng)方案所不具備的匿名認(rèn)證［21］．

5　總結(jié)

針對物理層密鑰生成方法中密鑰生成速率與誤碼率之間的矛盾，本文提出了基于矢量量化的物理層密鑰提取方案，通過不一致性去除減少通信雙方不一致的信道特征值，利用矢量量化將信道信息轉(zhuǎn)化為0、1比特流，并通過模糊提取器進行糾錯及隨機性增強處理．實驗表明相對于目前已知的最好方案，本方案將密鑰生成速率提高了6倍，達到了284％的比特生成率，同時實現(xiàn)了零誤碼率，而且生成的密鑰通過了NIST的9個隨機性測試．

參考文獻

［1］孫宏，楊義先．無線局域網(wǎng)協(xié)議802．11安全性分析［J］．電子學(xué)報，2003，31(7) : 1098－1100．Sun Hong，Yang Yixian．On the security of wireless network protocol 802．11［J］．Acta Electronica Sinica，2003，31(7) : 1098－1100．(in Chinese)

［2］Sayeed A，Perrig A．Secure wireless communications: Secret keys through multipath［A］．IEEE ICASSP［C］．Piscataway，NJ，USA: IEEE Press，2008．3013－3016．

［3］Shannon C E．Communication theory of secrecy systems ［J］．J Bell Syst Tech，1949，28(4) : 656－715．

［4］Xiao L，Greenstein L，Mandayam N，et al．A physical-layertechnique to enhance authentication for mobile terminals ［A］．IEEE International Conference on Communications ［C］．Piscataway，NJ，USA: IEEE，2008．1520－1524．

［5］Aono T，Higuchi K，Ohira T，et al．Wireless secret key generation exploiting reactance-domain scalar response of multipath fading channels［J］．IEEE Transactions on Antennas and Propagation，2005，53(11) : 3776－3784．

［6］Hershey J，Hassan A，Yarlagadda R．Unconventional cryptographic keying variable management［J］．IEEE Transactions on Communications，1995，43(1) : 3－6．

［7］Mathur S，Trappe W，Mandayam N，et al．Radio-telepathy: Extracting a secret key from an unauthenticated wireless channel［A］．ACM MobiCom［C］．New York，NY，USA: ACM Press，2008．128－139．

［8］Jana S，Pre S，Clark M，et al．On the effectiveness of secret key extraction from wireless signal strength in real environments［A］．ACM Mobi Com［C］．New York，NY，USA: ACM，2009．321－332．

［9］Patwari N，Croft J，Jana S，et al．High-rate uncorrelated bit extraction for shared secret key generation from channel measurements［J］．IEEE Transactions on Mobile Computing，2010，9(1) : 17－30．

［10］Croft J，Patwari N，Kasera S．Robust uncorrelated bit extraction methodologies for wireless sensors［A］．ACM / IEEE ICNP［C］．New York，NY，USA: ACM Press，2010．70－81．

［11］Zhang J，F(xiàn)irooz M H，Patwari N，et al．Advancing wireless link signatures for location distinction［A］．ACM Mobi-Com［C］．New York，NY，USA: ACM，2008．26－37．

［12］Azimi-Sadjadi B，Kiayias A，Mercado A，et al．Robust key generation from signal envelopes in wireless networks ［A］．ACM CCS［C］．New York，NY，USA: ACM，2007．401－410．

［13］Tope M，Mceachen J．Unconditionally secure communications over fading channels［A］．IEEE MILCOM［C］．Piscataway，NJ，USA: IEEE，2001．54－58．

［14］Liu H，Yang J，Wang Y，et al．Collaborative secret key extraction leveraging received signal strength in mobile wireless networks［A］．IEEE INFOCOM［C］．Piscataway，NJ，USA: IEEE，2012．927－935．

［15］Liu H，Yang J，Wang Y，et al．Group secret key generation via received signal strength: Protocols，achievable rates，and implementation［J］．IEEE Transactions on Mobile Computing，2014，13(12) : 2820－2835．

［16］Dou L，Wei Y，Ni J．Multi-user wireless channel probing for shared key generation with a fuzzy controller［J］．Computer Networks，2014，58: 112－126．

［17］Ye C，Reznik A，Shah Y．Extracting secrecy from jointly Gaussian random variables［A］．IEEE ISIT［C］．Piscataway，NJ，USA: IEEE，2006．2593－2597．

［18］Dodis Y，Ostrovsky R，Reyzin L，et al．Fuzzy extractors: How to generate strong keys from biometrics and other noisy data［J］．SIAM Journal on Computing，2008，38 (1) : 97－139．

［19］Dodis Y，Reyzin L，Smith A．Fuzzy extractors: How to generate strong keys from biometrics and other noisy data ［A］．International Conference on the Theory and Applications of Cryptographic Techniques［C］．Heidelberg，GER: Springer，2004．523－540．

［20］Li X，Bao F，Li S，Ma J．FLAP: An efficient WLAN initial access authentication protocol［J］．IEEE Transactions on Parallel and Distributed Systems，2014，25(2) : 488－497．

［21］李興華，尚昭輝，楊丹，馬建峰．利用無線物理層密鑰增強802．11i的安全性［J］．江蘇大學(xué)學(xué)報(自然科學(xué)版)，2013，34(4) : 416－421．Li Xinghua，Shang Zhaohui，Yang Dan，Ma Jianfeng．Security enhancement of 802．11i by wireless physical layer key［J］．Journal of Jiangsu University(Natural Science E-dition)，2013，34(4) : 416－421．(in Chinese)

李鑫男，1989年生于山東省濰坊市，在讀碩士研究生，研究方向為無線物理層安全、安卓安全．

E-mail: xdulixin@163．com

李興華男，1978年生于河南省南陽市，博士，教授，博士生導(dǎo)師．研究方向包括網(wǎng)絡(luò)與信息安全、隱私保護、云計算等．

E-mail: xhli1@ mail．xidian．edu．cn

楊丹女，1989年生于陜西省咸陽市，碩士．研究方向為無線物理層安全．

E-mail: danyang1989@ gmail．com

馬建峰男，l963年生于陜西省西安市，博士，教授，博士生導(dǎo)師．研究方向包括信息安全、編碼理論、密碼學(xué)等．

E-mail: jfma@ mail．xidian．edu．cn

HRVQ: A High-Speed Random Key Extraction Scheme Based on Vector Quantization

LI Xin，LI Xing-hua，YANG Dan，MA Jian-feng
(School of Computer Science and Technology，Xidian University，Xi'an，Shaanxi 710071，China)

Abstract:To solve the dilemma that a high bit generation rate and a low probability of bit disagreement can't be achieved simultaneously in current physical layer key extraction schemes，a high-speed random key extraction scheme based on vector quantization (HRVQ) which just employs the RSS of Wi-Fi signal is proposed．First，the inconsistent RSS measurements between the two communication parties were reduced by inconsistency removal to achieve low bit disagreement rate．Then，the vector quantization was introduced to accelerate the extraction of bit streams from channel information and achieve high bit generation rate．Last，fuzzy extractor was employed to achieve adequate randomness and zero bit disagreement rate．The result of experiments indicates that our scheme outperforming the best scheme of the state-of-the-art can reach a 284％ bit generation rate with a zero bit disagreement rate and a guaranteed randomness．

Key words:physical layer security; information theory security; key extraction; vector quantization; fuzzy extractor

作者簡介

基金項目:國家自然科學(xué)基金(No．U1135002，No．61372075，No．61202389，No．61100230，No．61309016 ) ;國家密碼發(fā)展基金(No．MMJJ201201004) ;地理信息國家重點實驗室開放課題(No．SKLGIE2013-M-4-1)

收稿日期:2014-07-09;修回日期: 2015-02-28;責(zé)任編輯:藍紅杰

DOI:電子學(xué)報URL: http: / /www．ejournal．org．cn10．3969/j．issn．0372-2112．2016．02．005

中圖分類號:TP393.08

文獻標(biāo)識碼:A

文章編號:0372-2112 (2015) 02-0275-07