无线信道密钥生成技术综述

陈 娲，李 为，雷 菁

(国防科技大学 电子科学学院，湖南 长沙 410000)

0 引言

当前，为了应对海量数据的挑战，我们需要足够可靠以及更安全的信息传输机制。不同于传统解决办法是在信息层进行加密处理，物理层安全技术利用物理层的基础特性从安全编码、信号处理以及密钥生成等角度，对调制方式和信道编码信息进行保护，可以作为上层加密方法的一种有效补充。

无线信道密钥生成技术是物理层安全技术研究的重要分支，其主要利用无线信道的互易性、时变性及空间去相关性在合法方之间共享相同的密钥[1-2]，用于后续加密手段中。无线信道密钥生成技术的优点在于不需要一个固定的密钥分发设施，并且安全性不依赖于算法的计算复杂性，因此在物联网中的车联网、移动通信、智能家居等设备资源有限的应用中更加体现优势，已经作为一种轻量级密钥分配工具而愈加受重视。

1 无线信道密钥生成的评价标准

用来评价密钥生成方案性能的标准通常有密钥生成速率、密钥不一致率和随机性。

密钥生成速率是指单位时间内生成的密钥比特数目(单位：bit/s)或者平均每次信道探测获得的密钥比特数目(单位：bit/packet)；

密钥不一致率是指合法通信双方获得的密钥中不一致的密钥比特数目占总密钥比特数的比例；

随机性是衡量密钥提取性能的一个非常重要的指标，目前被广泛采用的为NIST(National Institute of Standards and Technology)随机性测试[3]，其总共包含 16 项指标。该标准按照一定的测试算法，通过对待检测序列与理想随机序列进行偏离程度的比较，得到各项指标的 P-value 值作为随机性测试结果。如果所有检测项的 P-value值大于等于0.01，则待检测序列通过随机性测试。

2 无线信道密钥生成的步骤

通常将无线信道密钥生成过程分为信道测量、量化、信息协商和保密放大4个步骤，如图1所示，其中Alice和Bob为合法通信双方，Eve为窃听者。

图1 无线信道密钥生成步骤Fig.1 Steps of key generation from wireless channels

2.1 信道测量

在信道测量过程中，通信双方在信道的相关时间内互相发送导频,以得到特定参数的相关的观测值作为生成密钥的随机源，这个参数可以是接收信号强度[4-8]、信道响应[9-10]、信道相位响应[11-12]以及信道多径时延[13]等。多频率[9,14-15]和多天线[16-17]提供的频率多样性和空间多样性可以提供更多的随机源，提高密钥生成速率。

2.2 量化

在量化过程中，通信双方将通过信道探测得到的信号强度或信道信息量化为0,1序列。常用的方法有：基于中位数等单阈值的量化方法[18]，将大于阈值的数据量化为1，小于阈值的数据量化为0；基于均值和方差的双阈值量化方法[4]，将大于较高阈值的数据量化为1，小于较低阈值的数据量化为0，阈值间的数据舍弃；基于累积分布函数的量化方法[6,10]，依据数据的大小分布确定量化级别，保证每个量化级内数据所占比例相同，同时可以在此方法的基础上加入保护间隔[17]，舍弃保护间隔中的数据以使生成的比特序列不一致率降低。格雷码可以用来进行多比特量化[19]，不仅增加了密钥的比特数，而且因为相邻码字之间只有一位不同，有效限制量化后序列的不一致率。

2.3 信息协商

通信双方分别量化后的比特流中通常存在不一致的情况。信息协商被用来进行对比特流的纠错，降低不一致率。常用的有Cascade方法[5]和纠错码方法[7,9]。

Cascade方法中，Alice将比特序列随机排列并将其分块，然后将每块的排列和奇偶校验信息发送给Bob。Bob用同样的方式改变序列，将比特序列分成小块，计算并检查块的奇偶性是否相同。对于每个块，如果奇偶校验不匹配，则Bob执行二进制搜索，以确定是否可以更改块中的少量位以使块匹配奇偶信息，并进行迭代，直到成功的概率超过期望的阈值。

纠错码协商中，以BCH码为例，通信双方通过密钥序列与校验矩阵相乘得到伴随式，Alice将伴随式信息发给Bob，Bob通过比较伴随式的差值可以估计出错误图样，对原始密钥序列进行纠错。

2.4 保密放大

由于比特的相关性和信息协商过程泄漏给窃听者的信息，合法通信双方通过隐私放大减小输出比特流的大小来解决。这可以通过Alice和Bob使用通用哈希函数来实现，这些函数是从一组公开的函数中随机选择的，以获得固定大小的较小长度，从较长的随机性较弱的输入流中输出更短的随机性更强的数据[5,20]。

3 特殊条件和场景下的无线信道密钥生成技术

近年来，对无线信道密钥生成技术进行研究的场景设置逐渐拓展，例如从通信双方信道测量值互易性较理想的条件到通信双方信道测量值互易性不理想的条件，从波动充足的动态信道条件到波动较小的静态信道条件，从一对一通信场景到存在中继的通信场景和多用户通信场景。

3.1 通信双方信道测量值互易性不理想条件下的密钥生成技术

除信道估计时的估计误差外，由于受到半双工系统的非同时测量、不对称的信道噪声、硬件差异等因素的影响，通信双方得到的初始测量值之间的一致度可能不理想[21]，而信息协商过程的能力有限，因此当通信双方测量值互易性不理想时，可能导致信息协商后通信双方生成密钥仍不一致。为了解决这个问题，可以在对信道测量值进行量化前进行处理，减轻量化后的信息协商过程的负担，起到辅助降低密钥不一致率的作用。

对于信道测量值不一致的问题，研究者提出了不同的方案。文献[6,22]利用插值的思想解决非同时测量的问题；文献[23]利用多项式曲线拟合信道测量值；文献[24-25]提出利用1范数最小化的方法增强接收信号强度的互易性；文献[26]对通信双方的多次测量数据利用加权系数进行线性组合，使组合后双方的数据相关性最大；文献[10]提出信道增益补偿方案，即先用少量探测包得出信道探测值中的非互易成分，再在探测值中减去非互易成分；文献[27]提出进行小波分析消除非互易性的影响；文献[28]利用低通滤波器将大部分高频噪声过滤。

3.2 静态信道环境下密钥生成技术

最原始的基于无线信道生成密钥的过程十分依赖信道的变化，这些变化可以通过通信双方的移动或环境中物体的移动而引起。在静态的信道环境中，信道波动较小，变化慢，信道相关时间较长。如果继续遵循每个相关时间探测一次的规则，生成密钥的速率十分缓慢；如果保持较高的探测速率，生成的比特序列通常没有足够的随机性。

静态信道环境下的密钥生成方案，通常通过通信双方给基础方案中已知、公开的训练符号增加随机性，得到随机的接收信号或通过信道测量得到具备足够随机性的等效信道。如文献[18,29]利用ESPAR天线，通过人工改变电抗矢量，使信道状态随机变化，从每个测量值中可生成0.4～0.6 bit密钥。文献[7,30-31]利用多天线结合随机系数的思想，其中文献[7]通过幅度和相位系数调节多天线通信节点发射的导频，文献[30-31]在MIMO系统中加入随机波束成形系数，把双方随机波束成形系数与原信道响应的乘积作为等效信道响应。由于利用MIMO系统提供的多个信道信息作为随机源，密钥生成速率可达20 kbit/s。文献[32]对信道探测得到的信道响应矩阵进行奇异值分解后，进行重构并由新的信道响应矩阵生成秘密导频进行信道探测，提高等效信道的随机性，平均可以从每个信道每次探测中生成8～10 bit密钥。文献[20,33-34]中通信双方都发送随机的探测序列，用收到的信号与发送信号的积生成密钥，在利用多载波的情况下密钥生成速率最高可达每个数据探测包生成64 bit密钥。

另外，在环境中存在可用的中继节点时，可以借助中继节点辅助解决信道随机性不足的问题。

3.3 中继节点辅助场景的协作密钥生成技术

在通信双方之间没有直接可用信道时，通过中继节点的辅助建立多跳信道，中继节点转发接收信号或测量的信道信息的函数，为通信双方提供共同的随机源生成密钥；在通信双方之间有直接信道时，利用中继节点提供的额外随机源，可以进一步提高通信双方的密钥生成速率。

对协作密钥生成技术的一些研究中，利用中继节点转发信号或者信道响应，辅助通信双方得到不相邻信道的信息。文献[35]针对中继节点的功能提出了4种转发方式，利用中继节点与通信双方之间信道响应的乘积生成密钥；文献[36]考虑了在中继节点只能与通信双方中的一方连接的场景，利用中继节点相邻信道与通信双方之间信道响应的乘积作为随机源；文献[37]提出中继节点在给通信双方发送信号时加入加权系数，使通信双方收到相同的信号，估计出相同的等效信道响应；文献[38]提出发送方发送随机的探测信号，接收方通过已知信道响应值估计出探测信号，再进行对中继节点相邻信道的估计；文献[39]提出中继节点在给通信双方发送信号时，通过计算使得一个通信节点接收的信号等于中继节点与另一个通信节点间信道响应的值；文献[40]考虑了多天线通信节点和多个多天线中继节点的场景以及3种中继之间的协作模式，进行了通信节点和中继节点工作天线选择的优化；文献[41]提出了中继节点利用反向阵列(RDA)进行转发。但在中继转发的方案中，转发过程往往会放大信道噪声。

另外，还有一些基于网络编码思想的工作，核心是中继节点与通信双方进行信道测量后，向通信双方发送两个信道信息量化值的异或，辅助通信双方得到不相邻信道的信息。在此基础上，文献[42-46]进行了不同的研究；文献[42]提出了一种在多个中继节点存在下对中继节点保密的密钥生成方案；文献[43]考虑在功率限制条件下对中继节点进行功率分配的优化使密钥生成速率最大；文献[44]提出了应用压缩感知信道估计；文献[45]提出了通信双方通过多个中继进行多跳传递信息得到共享的信道信息的方案；文献[46]推导了基于网络编码思想的单中继密钥生成方法的最优可达速率。

文献[47-48]提出了在通信节点之间或通信节点与中继节点间已经建立安全信道条件下的密钥生成，其中文献[47]提出了中继节点通过发送人工干扰可以引入更大波动性，增加密钥生成速率；文献[48]考虑无线体区域网络(Wbans)中的星型拓扑组模型中新节点即将加入组时，组内除中心节点外的其他节点辅助新加入的节点与中心节点建立连接交换信息。

3.4 多用户场景下的组密钥生成技术

在无线网络中，往往需要在多个用户之间进行安全的数据交换，这时多个用户之间要生成共享的组密钥。目前已有一些针对组密钥的研究，模型中的多用户组成环形、星型及网状等拓扑结构。

3.4.1 环形拓扑结构

在环形拓扑结构中，节点形成一个圆环，每个节点与相邻的两个节点之间通过信道连接。

针对环形拓扑结构，文献[12]以某一个节点为起点沿顺时针和逆时针两个方向发送导频信号，将每个节点两次探测到的相位响应之和作为共享密钥；文献[49]提出将任意两节点间成对生成的密钥映射成多个相互独立的部分，节点将本地随机生成的密钥用成对密钥对应部分进行加密依次传递直到所有节点共享。在半双工条件下，依次探测或传递信息导致很长延时。

3.4.2 星型拓扑结构

在星型拓扑结构中，通常通过一定规则选择出一个中心节点，其他节点与中心节点通过信道连接，但其他节点间不能直接通信。

针对星型拓扑结构，文献[50]提出了对单簇、独立多簇和重叠多簇等多种不同星型拓扑的组密钥生成协议；文献[51]提出了将中心节点通过广播发送信号与参考信道信号之间的差值，辅助所有节点生成共同的密钥；文献[52]结合网络编码技术，中心节点把每个节点间信道与参考信道信号的异或值发给节点来共享密钥；文献[53]提出了中心节点直接利用随机产生的密钥通过一次一密系统加密传输给其他节点；文献[54]提出了一种基于OFDMA系统的组密钥生成方案，有效减少了信道探测的时间。

3.4.3 网状拓扑结构

在网状拓扑结构中，每个节点都与其他所有节点之间通过信道连接。

针对网状拓扑结构，文献[55]针对网状拓扑，在信道探测步骤后，每个节点广播其接受信道的加权和；文献[56]将其拓展到节点多天线的情况，并把暴力搜索优化加权系数升级到基于新的度量的次优方案，但仍然要求节点已知相邻所有信道的信息。文献[57]提出由特定节点广播辅助其他节点获得非相邻信道的信息时，直接将信道信息的函数量化到复星座图上以减少延迟。总的来说，在网状结构中需要进行多次探测和广播得到所有的信道信息，要求相关时间有一定的长度。

4 无线信道密钥生成的应用实现

无线信道密钥生成技术已经在蓝牙[58]、WiFi[8,59]、车辆通信[60-61]、无线传感器[6,14,62-63]、BAN[64-66]及LORA[67-68]等场景的实验平台进行了实现。但由于现有硬件条件的限制，这些实现工作中主要是基于从接收信号强度提取随机性生成密钥，密钥生成速率较低。表1总结了不同应用场景下基于不同实验平台实现的密钥提取技术及对应可达到的密钥生成速率。

表1 不同应用场景下基于不同实验平台实现的密钥提取技术Tab.1 Key generation implemented by different platforms in different application situations

5 未来研究方向

5.1 窃听信道相关条件下的无线信道密钥生成技术

现有工作中，通常使用Jakes模型对信道相关性进行建模。该模型中，在均匀散射的非视距瑞利信道中，假设散射体有无穷个，则距离半个波长以上的信道可以视作不相关信道。文献[69]发现，在室内环境中，即使窃听者距离合法通信节点半个波长，信道间仍然有一定的相关性。另外，5G毫米波信道不能直接建模为Jake’s模型，实现窃听信道不相关的条件可能更加严格。在未来的研究中，不仅需要解决窃听者信道相关的问题，还需要对于窃听者的性能和系统的安全性用更加具体的标准进行定量的分析和验证。

5.2 通信节点高速移动场景下的无线信道生成提取技术

在通信节点移动的场景中，信道相关时间会随着移动速度的增加而变短。即使只是在车辆通信的场景中，相关时间就可能短到微秒数量级。在传统无线信道密钥生成技术中通常认为的传输、接收数据包的时间远小于信道相关时间这个设定可能不再成立。在节点移动速度更高的场景中，比如节点位于高铁时，通信双方进行信道探测是否还能保持互易性是值得探索和发现的。如何在节点高速移动的场景中从本质上解决信道探测互易性低的问题以及提出密钥生成速率更理想的方案，有待下一步研究。

5.3 存在更强大窃听者的无线信道密钥生成技术

在现有工作中，大多数考虑的窃听模型为单个被动窃听者，即系统模型中只存在一个窃听者，窃听者只对通信过程进行窃听而不会主动进行干预。对于窃听者具备更强攻击能力的情况，仍需投入更多研究，如窃听者多天线、系统中存在多个协作窃听者的情况对系统安全性能的影响，以及在窃听者进行主动攻击时，能够在消除主动攻击影响的同时，不影响合法通信的密钥生成技术等。

6 结论

无线信道密钥生成技术作为一种轻量级的密钥分发工具，在物联网等资源受限的通信场景中具有广泛应用前景。本文总结了无线信道密钥生成技术的性能标准和步骤，以及几种特殊环境或场景下的密钥生成技术的发展，归纳了密钥生成技术的应用实现，并分析了未来值得进一步研究的方向。