一種無線信道密鑰容量求解方法

蔡文炳,付紅雙,張水蓮,孫有銘,于大鵬

(1.北京跟蹤與通信技術研究所,100094,北京; 2.信息工程大學信息系統工程學院,450002,鄭州)

一種無線信道密鑰容量求解方法

蔡文炳1,2,付紅雙2,張水蓮2,孫有銘2,于大鵬2

(1.北京跟蹤與通信技術研究所,100094,北京; 2.信息工程大學信息系統工程學院,450002,鄭州)

為了準確求解合法通信雙方利用無線信道生成共享密鑰的容量,借助于瑞利衰落統計模型和互易性對無線信道進行建模,得到合法雙方接收信號的統計分布;通過對統計分布進行雅克比變換分別推導出雙方包絡的聯合分布和相位的聯合分布,進而通過互信息公式求解出相應的兩個密鑰容量表達式。利用窄帶信道的互易性,提出了一種發送信號為非相干載波的密鑰生成協議,合法雙方在相干時間內以時分雙工(TDD)方式對無線信道進行多載波探測,雙方分別利用接收信號包絡、相位信息生成密鑰,將兩密鑰去除相關性后拼接起來作為最終的密鑰以用于安全通信。該協議能夠同時利用接收信號的包絡和相位信息,且密鑰容量與非相干載波的個數成正比。仿真結果表明:分別基于信號包絡、相位信息生成的密鑰存在相關性;僅由包絡和相位信息生成密鑰并未充分利用信道特性信息,當信噪比為10dB時,利用接收信號包絡、相位的密鑰容量的數值求和比利用接收信號的密鑰容量低0.3 b/s。

無線信道;密鑰生成;密鑰容量;相干載波

無線信道的廣播特性使得信息的安全傳輸成為一個非常重要的問題。密碼學是保障信息安全的重要工具之一。目前,廣泛應用的密碼體制大多依賴于沒有嚴格證明的數學難題和計算復雜性,只能夠實現計算安全,而基于無線信道特性的生成密鑰并結合“一次一密”加密體制能夠實現無條件安全。因此,基于無線信道特性的密鑰生成方法由于其較強的理論性和良好的應用前景,近年來引起了人們的廣泛關注,并成為了當前的一個研究熱點。

Hershey和Maurer等學者先后指出,無線信道可以作為一個公共隨機源,并且這個公共隨機源對竊聽方來說是保密的[1-2]。當合法雙方以時分雙工(TDD)方式對無線信道進行探測時,信道的時變性使得合法雙方能夠生成具有噪聲性質的真隨機的密鑰,互易性使得雙方在生成密鑰的同時實現了密鑰分發[3],而無線信道的空變性能夠實現密鑰分發過程的物理安全性。因此,合法雙方可以利用無線信道的這些特性生成共享密鑰,從而實現安全通信的目標。

當合法通信雙方以TDD方式對無線信道進行探測時,雙方可以利用接收信號中包含的豐富信道特性信息來生成共享密鑰。文獻[4-6]利用接收信號包絡來生成密鑰;文獻[7-8]指出可以通過觀察接收信號相位來得到共享密鑰;文獻[9-10]給出了從相關復高斯信號中生成共享密鑰的簡便方法?？梢钥闯?由于接收信號的包絡、相位信息較易提取,使得目前的密鑰生成實驗常利用包絡和相位信息來進行,因此研究給定模型下合法雙方基于接收信號包絡、相位信息的密鑰容量將對實際的密鑰生成過程具有重要的指導意義。本文首先對竊聽信道進行建模,在此基礎上,利用隨機信號分析及信息論的相關理論,推導得到了基于接收信號包絡、相位信息的最大密鑰生成速率,即密鑰容量的數學表達式,并對結果進行了仿真分析。最后,利用無線信道的互易性,提出了一種基于多載波的密鑰生成協議,合法雙方能夠同時提取接收信號中的包絡和相位信息以生成共享密鑰,且密鑰容量與探測信號中非相干載波的個數成正比。

1 基本的源模型

假定兩個合法終端Alice和Bob分別對各自的信道輸出X、Y進行n次獨立觀察,得到的序列分別記作X=(X1,…,Xn)、Y=(Y1,…,Yn)。Alice和Bob能夠通過一個無錯(Error-Free)的公開討論信道相互通信,記V為公開討論信道上的所有通信內容。在任意給定的時刻,合法雙方的觀察(Xi,Yi)是強相關的。基于雙方各自的相關觀察,Alice能夠生成密鑰序列K1,并且K1是(X,V)的函數;Bob能夠生成密鑰序列K2,K2為(Y,V)的函數。

對于任意的ε>0和足夠大的n,如果K1和K2滿足

P(K=K1=K2)≥1-ε

(1)

I(K;V)≤ε

(2)

H(K)≥lb|K|-ε

(3)

式中:P(·)表示概率;I(·)表示互信息;H(·)表示信息熵。則,K1、K2稱為ε密鑰,|K|是K的所有可能取值構成的集合的勢。

式(1)保證了Alice和Bob能夠以很高的概率生成相同的密鑰;式(2)保證了所生成的密鑰對能夠觀察到合法雙方在公開討論信道上進行信息交互的竊聽方來說是保密的;式(3)保證了合法雙方所生成的密鑰接近均勻分布。

對于任意小的ε>0和足夠大的n,如果ε-(K1,K2)密鑰是可達的,并且

(4)

成立,則稱Rkey為可達的密鑰生成速率,所有可達的密鑰生成速率的上界稱為密鑰容量,記作CSK。對于以上模型,由文獻[2,11]可知

CSK=I(X;Y)

(5)

在上面定義的模型中,假定竊聽方Eve可以觀察到公開討論信道上傳輸的信息,但是不能對其進行篡改,并且不能獲得任何其他有用的邊信息(邊信息指竊聽方通過竊聽合法雙方的信道探測過程而獲得的信息)。雖然竊聽方能夠獲得邊信息的情形引起了學者們的廣泛關注(如文獻[2,12]),但是這種情況下的容量求解依然是一個亟待解決的問題。

2 信道建模及密鑰容量的求解

2.1 信道建模

對于窄帶平坦衰落信道,合法雙方Alice和Bob以TDD方式互發探測序列,并且雙方的探測時間間隔小于信道的相干時間。發送信號s和接收信號r之間的關系可表示為r=Fs+n(其中F為信道增益),當信道為瑞利信道時,F為復高斯隨機過程,n為獨立的加性噪聲。由于收發雙方通常都已知探測信號s,所以在任意給定時刻,Alice和Bob的信道輸出X、Y可分別設為

(6)

將上述分布代入式(6)中,得到

(7)

式中:BXY為信道輸出X、Y的協方差矩陣,表達式為

(8)

由于接收信號X、Y均為復高斯隨機變量,故可表示成如下形式

(9)

(10)

式中:E(·)表示隨機變量的期望。

2.2 密鑰容量的求解

基于以上假設條件,得到包絡和相位的四維聯合概率密度p4(A)為

(11)

(12)

(13)

因為

(14)

所以有

p4(A1,φ1,A2,φ2)=|J|p4(Ac1,As1,Ac2,As2)=

|J|p4(A1cosφ1,A1sinφ1,A2cosφ2,A2sinφ2)

(15)

式中:J為雅克比系數,對應的值為

(16)

將式(13)、(14)和式(16)代入式(15)中,得到包絡和相位的四維聯合概率密度p4(A1,φ1,A2,φ2)為p4(A1,φ1,A2,φ2)=

(17)

對式(17)中的φ1和φ2進行積分,得到接收信號包絡的二維聯合概率密度p2(A1,A2)為

(18)

對式(17)中的A1和A2進行積分,得到接收信號相位的二維聯合概率密度p2(φ1,φ2)為

(19)

式(18)、(19)分別給出了合法雙方接收信號包絡的聯合分布和接收信號相位的聯合分布。由式(5)可知,求解密鑰容量可轉化為相應的互信息的計算,其計算公式為[13]

(19)

式中:X和Y為任意兩個隨機變量;p(x)、p(y)分別為X、Y的概率密度;p(x,y)為隨機變量X、Y的聯合概率密度。

將合法雙方接收信號包絡的聯合概率密度p2(A1,A2)代入式(20)中,得到基于接收信號包絡的密鑰容量CE為

(21)

將合法雙方接收信號相位的聯合概率密度p2(φ1,φ2)代入式(20)中,得到基于接收信號相位的密鑰容量CP為

(22)

由p4(A1,φ1,A2,φ2)、p2(A1,A2)和p2(φ1,φ2)的表達式可得

p4(A1,φ1,A2,φ2)≠p2(A1,A2)p2(φ1,φ2)

(23)

式(23)表明接收信號的包絡和相位不是統計獨立的隨機過程,因此,從接收信號包絡中生成的密鑰和從接收信號相位中生成的密鑰也存在一定相關性。此時,合法雙方不能簡單地將從包絡、相位信息中生成的密鑰直接拼接起來用于安全通信,而必須先去除密鑰比特之間的相關性。合法雙方可以通過通用Hash函數(Universal Hash Function)等密鑰增強工具來去除兩密鑰比特串之間的相關性[14],然后用于安全通信。

3 仿真與分析

圖1給出了合法雙方基于接收信號包絡、相位得到的密鑰容量CE和CP隨信噪比γ的變化曲線?？梢钥闯?CE和CP均隨γ的增大而增大。這主要是因為信噪比增大時,合法雙方接收信號的相關性也隨之增大,因而接收信號之間的互信息也隨之增大。因此,在實際的密鑰生成過程中,合法雙方應當盡量降低接收端的本地噪聲,從而提高接收信噪比γ,以增大密鑰容量。

(a)基于包絡 (b)基于相位

對于所建立的模型,合法雙方基于接收信號的密鑰容量[2]CR為

CR=I(X;Y)=H(X)+H(Y)-H(X,Y)=

(24)

從式(24)可以看出,密鑰容量CR的取值也與信噪比γ有關。

圖2為合法雙方基于接收信號的密鑰容量和基于接收信號包絡、相位的密鑰容量的對比曲線?？梢钥闯?基于接收信號的密鑰容量也隨信噪比的增加而逐漸增大。此外,不僅基于接收信號包絡、相位信息的密鑰容量均小于基于接收信號的密鑰容量,其數值求和也小于基于接收信號的密鑰容量,從圖2中可以看出,當信噪比為10dB時,基于接收信號包絡、相位的密鑰容量的數值求和比基于接收信號的密鑰容量低0.3 b/s。這意味著分別基于信道響應的包絡和相位生成密鑰再合成處理成最終密鑰的密鑰生成方式并不能夠充分挖掘信道中所包含的全部信道特性信息。因此,合法雙方還可以同時利用接收信號中包含的頻率、時延等信息來生成共享密鑰[15]。

圖2 密鑰容量的對比

4 密鑰生成協議

密鑰生成協議的基礎為合法雙方之間前向和后向發送的載波在相干時間內經歷相同的信道變化[1,3]。

4.1 信道探測過程

每一輪的密鑰生成過程都有2個時段,首先,Alice向Bob發送L個持續時間為T1的單位幅度且相互正交的正弦基信號

(25)

式中:t∈[t1,t1+T1);fi為載波頻率,1≤i≤L;正弦信號的初始相位為0。各載波之間的頻率間隔大于信道的相干帶寬,此時,接收端能夠通過各個載波觀察到相互獨立的信道響應。為了敘述方便,假定t1=0,即協議開始時刻為0。Bob此時處于接收狀態,記最短路徑延時為tc,Alice到Bob的信道響應h12(t)最終的時延擴展為td?？紤]信道多徑豐富的情況,此時,可以認為h12(t)為復高斯隨機過程,則在任意給定的時刻,h12(t)的包絡服從瑞利分布,相位服從均勻分布。為了使Bob能夠很好地觀察h12(t)以便于后續的包絡、相位信息提取,需要滿足T1>td。Bob的接收信號可以表示為

(26)

Alice經過發收轉換時間tTR后處于接收時段,Bob經過收發轉換時間tRT后,在時刻t2=tc+td+T1+tRT發送同樣的多載波正弦基信號x2(t),且表達式為

(27)

式中:t∈[t2,t2+T2];載波頻率為fi,1≤i≤L;正弦信號的初始相位為0?；谛诺阑ヒ仔?仍然假定最短路徑延時為tc,Alice觀察到的信道響應h21(t)最終的時延擴展為td,為了便于Alice進行后續的包絡、相位信息提取,同樣需要滿足T2>td。Alice的接收信號y21(t)可以表示為

(28)

Bob發送完畢后進入發收轉換過程,轉換時間同為tTR;Alice接收完畢后進入收發轉換過程,轉換時間同為tRT,至此完成一個完整的收發探測周期。

4.2 密鑰生成方法

5 結 論

鑒于現有的實驗通常是利用接收信號中包含的信道響應包絡信息和相位信息生成密鑰,因此在竊聽方無法獲得合法雙方邊信息的情況下,對合法雙方基于接收信號包絡、相位信息的密鑰容量進行了推導,并進行了仿真分析,得到如下2個結論:一是合法雙方基于信道響應包絡信息生成的密鑰和基于信道響應相位信息生成的密鑰存在一定的相關性;二是信道響應中包含的包絡和相位信息并不能完整地表征信道的變化情況。值得注意的是,本文是在假定合法雙方信道完全互易的情況下探討密鑰容量的,信道不完全互易的情況可以通過在式(6)的信道響應h中引入相關系數來描述。實際可行的密鑰生成方案的設計將是今后的一個研究方向;此外,所提密鑰生成方案的性能及如何縮小密鑰生成速率與密鑰容量之間的差距值得進一步深入研究。

[1] HERSHEY J E,HASSAN A A,YARLAGADDA R.Unconventional cryptographic keying variable management [J].IEEE Transactions on Communications,1995,43(1): 3-6.

[2] MAURER U.Secret key agreement by public discussion from common information [J].IEEE Transactions on Information Theory,1993,39(3): 733-742.

[3] SMITH G S.A direct derivation of a single-antenna reciprocity relation for the time domain [J].IEEE Transactions on Antenna and Propagation,2004,52(4): 1568-1577.

[4] 尚昭輝.無線物理層密鑰生成方法的研究 [D].西安: 西安電子科技大學,2013.

[5] LIU Y,DRAPER S C,SAYEED A M.Exploiting channel diversity in secret key generation from multipath fading randomness [J].IEEE Transactions on Information Forensics and Security,2012,7(5): 1484-1497.

[6] CHEN Chan,JENSEN M A.Secret key establishment using temporally and spatially correlated wireless channel coefficients [J].IEEE Transactions on Mobile Computing,2011,10(2): 205-215.

[7] YE Chunxuan,MATHUR S,REZNIK A,et al.Information-theoretically secret key generation for fading wireless channels [J].IEEE Transactions on Information Forensics and Security,2010,5(2): 240-254.

[8] WANG Qian,XU Kaihe,REN Kui.Cooperative secret key generation from phase estimation in narrowband fading channels [J].IEEE Journal on Selected Areas in Communications,2012,30(9): 1666-1674.

[9] KHISTI A,DIGGAVI S N,WORNELL G W.Secret-key generation using correlated sources and channels [J].IEEE Transactions on Information Theory,2012,58(6): 652-670.

[10]NITINAWARAT S,NARAYAN P.Secret key generation for correlated Gaussian sources [J].IEEE Transactions on Information Theory,2012,58(6): 3373-3391.

[11]CSISZAR I,NARAYAN P.Secrecy generation for multiaccess channel models [J].IEEE Transactions on Information Theory,2013,59(1): 17-31.

[12]ZAFER M,AGRAWAL D,SRIVATSA M.Limitations of generating a secret key using wireless fading under active adversary [J].IEEE/ACM Transactions on Information Theory,2012,20(5): 1440-1451.

[13]鄒永魁,宋立新.信息論基礎 [M].北京: 科學出版社,2010: 73-97.

[14]MAURER U,WOLF S.Secret key agreement over unauthenticated public channels: part III privacy amplification [J].IEEE Transactions on Information Theory,2003,49(4): 839-851.

[15]周百鵬,黃開支,金粱,等.一種基于多徑相對時延的密鑰生成方法 [J].計算機應用研究,2011,28(6): 2196-2198.

ZHOU Baipeng,HUANG Kaizhi,JIN Liang,et al.Scheme of key generation based on multipath relative-delay [J].Application Research of Computers,2011,28(6): 2196-2198.

[16]孫牛牛,張水蓮,辛剛,等.基于LDPC碼和二分法的聯合信息協商算法 [J].信息工程大學學報,2013,14(2): 207-212.

SUN Niuniu,ZHANG Shuilian,XIN Gang,et al.Joint information reconciliation algorithm based on LDPC codes and BINARY [J].Journal of Information Engineering University,2013,14(2): 207-212.

(編輯 劉楊)

ASolutionoftheSecretKeyCapacityforWirelessChannel

CAI Wenbing1,2,FU Hongshuang2,ZHANG Shuilian2,SUN Youming2,YU Dapeng2

(1.Beijing Institute of Tracking and Telecommunication Technology,Beijing 100094,China;2.Institute of Information System Engineering,Information Engineering University,Zhengzhou 450002,China)

A model for wireless channel is established to evaluate accurately the capacity of the shared secret key generated by legitimate users in the channel.The building of the model is based on statistical models of Rayleigh fading and reciprocity from the statistical distribution of the

signals.The joint probability density functions of both the envelope and the phase at the legitimate users are respectively derived by using a Jacobi transform.The corresponding expressions of the two secret key capacities are then deduced by using the formula of mutual information.Then a protocol of secret key generation in which the transmitted signals are multi-carriers is presented by utilizing the reciprocity of the narrowband channel.The legitimate users implement the multi-carrier channel sounding in TDD mode within the coherence time,and exploit the information of envelope and phase in the received signals to generate secret keys.The keys are spliced together to realize secure communication by removing the correlation between them.The proposed protocol can use information of the envelope and the phase simultaneously,and the capacity of the secret key is proportional to the number of carriers.Simulation results show that correlation exists between the secret keys generated based on information of the envelope and the phase,and that the numerical sum of key capacity that exploits information of the envelope and the phase is lower than that of received signals by 0.3 bit/s when the SNR is 10dB.It can be concluded that legitimate users can utilize more information in the received signals to generate shared secret key.

wireless channel; secret key generation; secret key capacity; coherent carriers

2013-10-16。

蔡文炳(1988—),男,碩士,工程師;張水蓮(通信作者),女,教授。

國家“863計劃”資助項目(2009AA011205,2013AA013603);國家自然科學基金資助項目(61271253)。

時間:2014-03-19

10.7652/xjtuxb201406006

TN911.2

:A

:0253-987X(2014)06-0031-06

網絡出版地址:http:∥www.cnki.net/kcms/detail/61.1069.T.20140319.1749.001.html