適用于保密容量為負情形的基于混沌序列的polar 碼加密方案

張小卉，張順亮，李博文

（1.中國科學院信息工程研究所，北京 100093；2.中國科學院大學網絡空間安全學院，北京 100049）

1 引言

為滿足用戶對移動通信業務低時延、超高傳輸速率等日趨增長的需求，5G 概念應運而生，其相關技術已成為學術界和產業界的重要研究熱點[1]。5G 中的主要應用場景有如下3 種：增強型移動寬帶（eMBB,enhanced mobile broadband）、海量機器類通信（mMTC,massive machine-type communication）和超可靠性低時延通信（URLLC,ultra reliable and low latency communication）[2]。其中，增強型移動寬帶場景對于信道編碼的主要要求為高吞吐量下具有較好的誤碼特性、較高的能量效率和較低的編譯碼時延。在眾多信道編碼中，polar 碼是唯一被理論證明可達香農理論極限的信道編碼[3]，具有較低的編譯碼復雜度，并且沒有錯誤平層。polar 碼憑借上述優越的性能被選為5G 通信標準中增強型移動寬帶場景中的控制信息和廣播信道編碼方案。

然而，由于無線通信信道固有的開放傳播性[4]，無線通信過程中的一些重要參數和數據容易被非法接收者竊聽。竊聽者可通過分析電磁信號以竊取有用信息，也可監聽并分析通信過程中傳輸的信號，以上行為均會威脅到無線通信的安全性。在保障安全可靠通信的基礎上，達到較高的安全傳輸速率一直是安全編碼方案考慮的重要指標，polar 碼是唯一被理論證明可達香農理論極限的信道編碼，故研究polar 安全編碼方案具有極其重要的意義。

隨著計算機破譯能力的增強，傳統的加密機制難以保障通信系統的安全性，且實現復雜度較高，時延較長。數據鏈路層以上的加密方案并沒有充分利用物理層信道的特征，當物理層數據傳輸不安全時，傳統的加密方案難以保障通信的安全性。鑒于5G 中的eMBB 場景的需求以及物理層安全方案的優勢，研究出安全可靠、高傳輸速率、低時延的polar碼物理層加密方案尤其關鍵。現有的polar 碼物理層加密方案大多基于Wyner[5]于1975 年提出的竊聽信道模型，如圖1 所示。

圖1 竊聽信道模型

在圖1 所示的竊聽信道模型中，Alice 和Bob是合法用戶，Eve 是非法用戶。Alice 試圖與Bob通過主信道W1實現安全可靠的通信。與此同時，Eve試圖通過竊聽信道W2截獲有用信息。U為二進制比特序列，表示Alice 試圖與Bob 傳輸的信息，其長度為n；U被信道編碼為X，X通過主信道W1和竊聽信道W2發送出去。Bob通過主信道W1接收到信息Y并將其解碼后得到，同時Eve通過竊聽道W2獲取信息Z。

在竊聽信道模型中，信道編碼通常由可靠性和安全性來衡量。Bob 獲取到的信息可以用I(U;Y)來表示，泄露給Eve 的信息可以用I(U;Z)來表示。

信道編碼的可靠性[6]條件為

信道編碼的強安全性[6]條件為

如果W1和W2為離散無記憶信道，則保密容量Cs[7]定義為

式(3)在U→X→(Y,Z)為馬爾可夫鏈時可取到最大值。

如果W1和W2為對稱離散無記憶信道，且W2為W1的物理降級信道，則保密容量可表示為[31]

Wyner[5]指出保密容量為可達的安全傳輸速率的最大值，在保密容量為正數的前提下，采用安全編碼方案傳輸速率可達到保密容量。

由式(4)可知，只有在滿足主信道優于竊聽信道的條件下，保密容量才為正數。然而，在實際應用中，往往存在保密容量較低或者為負的情形。較低的保密容量會限制安全傳輸速率，在實際應用中，常常以犧牲安全傳輸速率為代價保障安全性。此外，在實際情況中，難免存在竊聽信道優于主信道的情形，即保密容量為負的情形，此時單靠安全編碼方案已無法保證安全可靠的通信傳輸。因此，面向保密容量為負的場景，將加密技術和安全編碼方案相結合可作為保證安全可靠傳輸的有效方案。

1.1 相關工作

基于以上竊聽信道模型，很多學者提出了若干polar 碼安全編碼方案。其中，文獻[8]基于對稱竊聽信道模型提出了一種多塊polar 編碼結構，該方案在確保可靠性和強安全性的前提下，安全傳輸速率可達到保密容量。基于文獻[8]提出的多塊polar編碼結構，文獻[9]將其擴展到非對稱竊聽信道和廣播信道的應用中。相應的理論分析結果表明，文獻[9]采用的polar 碼編碼方案可實現可靠性、強安全性，同時也達到保密容量。基于混沌理論，文獻[10]將二進制混沌偽隨機數發生器（BCPRNG,binary chaos pseudo-random number generator）與多塊polar編碼結構相結合，其主要用于產生二進制混沌序列對原始信息進行加密，且其密鑰和密文一起進入polar 編碼結構中。相關數學理論證明，該方案可實現密鑰傳輸的強安全性，整個系統可實現可靠的傳輸。文獻[11]在OFDM 傳輸模型中，引入混沌序列和polar 碼，實驗結果證明該方案不僅提升了誤碼性能，也在一定程度上降低了峰均功率比（PAPR,peak to average power ratio）。文獻[12]在polar 碼傳輸方案中設計了一種基于二進制混沌序列的加密方案，然而其所提出的加密方案具有較高的時延。文獻[13]在可見光通信中對二進制混沌序列進行旋轉變換以實現對polar 碼的加密，可保證通信的可靠性、安全性。

文獻[8-13]提出的polar 碼安全編碼方案均基于保密容量為正的前提。然而，在保密容量為負的情況下，以上文獻中提出的polar 碼編碼方案不再適用。在實際應用中，竊聽信道與主信道不存在必然聯系，會存在保密容量為負的情形。為更好地應對一般性的通信場景，研究基于保密容量為負情形下的polar 碼加密方案具有極其重要的意義。

文獻[14]在保密容量為負的情形下，將BCPRNG 和polar 碼結合，該方案在確保安全可靠傳輸的前提下，可實現正的安全傳輸速率。然而，該方案將密鑰和密文置于polar 編碼結構中傳輸，較長的密鑰長度限制了安全傳輸速率。在該加密方案中，需要Alice 和Bob 提前獲知第一塊polar 碼的密鑰，且當前塊的密鑰需置于上一塊編碼結構中，由于BCPRNG 的引入，增大了系統的實現復雜度。本文提出了基于加密技術的polar 碼安全傳輸方案，提升安全傳輸速率，并盡可能降低系統實現復雜度。

在眾多加密技術中，RSA（Rivest-Shamir-Adleman）、DES（data encryption standard）等算法具有較高的實現復雜度，需消耗較高的計算資源，且對于被加密的比特長度有限制。基于混沌理論的加密技術具有隨機性、初始值敏感性、遍歷性、實現復雜度低的優點，本文將混沌加密技術和多塊polar 碼編碼結構相結合，在保證通信的安全性和可靠性的基礎上，實現較高的安全傳輸速率和較低的實現復雜度。

1.2 主要貢獻

本文基于保密容量為負的情形，在對稱竊聽信道模型中，充分利用混沌序列的初值敏感性、遍歷性、隨機性，將混沌序列和多塊polar 編碼結構相結合，并充分利用凍結比特的設計，旨在設計可靠、安全、高傳輸速率、低復雜度的polar碼加密方案。為降低系統實現復雜度，本文引入一維Logistic 混沌系統，相比BCPRNG，其實現復雜度較低，且其密鑰為輕量級，可有效節約通信資源。

本文主要貢獻如下。

1) 基于對稱竊聽信道模型，考慮保密容量為負的情形，提出一種可靠、安全、低復雜度、高安全傳輸速率的polar 碼加密方案。

2) 基于數學推導，證明了方案的可靠性、安全性和高安全傳輸速率。

3) 基于不同的攻擊場景，深度分析所提方案的安全性。

2 系統關鍵技術研究

2.1 polar 碼

polar 碼由Erikan 于2008 年提出，作為一種線性分組碼，polar 碼的實現主要基于信道極化原理。在二進制離散無記憶對稱信道中，隨著碼長趨近于無窮大，polar 碼可以達到對稱信道容量[3]。相較于其他常用信道編碼如LDPC（low density parity check）碼、Turbo 碼、RS 碼等，polar 碼具備較強的優勢，主要體現為polar 碼是被理論證明唯一可以達到香農極限的信道編碼；polar 碼不具備“誤碼平臺”；polar 碼編譯碼實現復雜度相對較低。下面，具體闡述信道極化原理和polar 碼編譯碼過程。

對于一個二進制離散無記憶對稱信道W：X→Y，其轉移概率為，其中輸入X取值為0 或者1，且0 和1 取值為等概率，碼長為N。其信道容量[3]可表示為

如果I(W)=1，則信道為無噪信道；如果I(W)=0，則信道為純噪信道。

隨著碼長的增加，會出現信道極化現象，即信道會分裂出可靠信道和不可靠信道。其中常用的可靠性度量方法有巴氏參數法[3]、高斯近似法[15]和DE（density evolution）法[16]。其中巴氏參數法采用遞歸方法，且復雜度較低，故在polar 碼傳輸方案中通常采用巴氏參數法。巴氏參數[3]相應的數學表達式為

隨著信息序列長度的增加，信道出現極化現象。其中信道容量趨于1，且巴氏參數趨于0 的信道稱為可靠信道；信道容量趨于0，且巴氏參數趨于1 的信道稱為不可靠信道。可靠信道用于傳輸信息比特，不可靠信道用于傳輸凍結比特，這樣可保證信息傳輸的可靠性。

在圖2 中，信息比特(μ0,μ1)被編碼為(x0,x1)，其數學表達式為

圖2 一級信道極化

編碼后的x0,x1分別經過信道W進行傳輸，合并后的信道表示為W2，其數學表達式為

以上是一個一級信道極化過程，將此過程進行雙重迭代，即可得到如圖3 所示的二級信道極化過程，其數學表達式為

圖3 二級信道極化

類似地，對上述操作進行多次迭代，可以實現多層級化，如圖4 所示，其合并信道的轉移概率[3]為

圖4 N 級信道極化

polar 碼的構造過程本質是一個信道選擇的過程。如果polar 碼長為N，信息位長度為K，對信道進行巴氏參數計算并按照巴氏參數對其排序，選擇K個巴氏參數較小的信道索引構成信息位集合A，其余的N?K個信道索引構成凍結位集合Ac。集合A中的信道用于傳輸信息比特，集合Ac中的信道用于傳輸凍結比特。由此可見，通過比特索引即可判定信道是可靠信道還是不可靠信道。

在接收端，通常采用連續消除（SC,successive cancellation）[3]譯碼算法進行譯碼。第i位SC 譯碼的硬判決過程[3]可以表示為

宏觀而言，SC 譯碼是對信息比特按順序進行逐比特譯碼，復雜度較低。SC 譯碼算法具備固有的誤差傳播現象，對于前序比特的譯碼錯誤會嚴重影響后續比特的譯碼[17]。

2.2 Logistic 混沌系統

混沌理論自提出以來引起了學者們深入的研究和關注。混沌序列已廣泛應用于保密通信、語音加密、圖像加密中[18-21]。作為非線性系統，混沌系統具有非周期性、初始值敏感性、隨機性和遍歷性的特征。此外，通過概率學理論很難預測和分析混沌系統的輸出，具有不可預測性。

在眾多混沌序列中，一維Logistic 混沌系統以其較低的實現復雜度獲得了廣泛的應用。為降低系統的實現復雜度，本文提出polar 碼加密方案中采用Logistic 混沌系統。Logistic 混沌系統數學表達式[24]為

其中，μ為分岔參數。在μ∈(3.57,4]的條件下，系統處于混沌狀態；在μ趨于4 時，系統表現出良好的混沌特性。

通常用Lyapunov 指數用來判別序列是否為混沌序列[22]，如果Lyapunov 指數大于0，則序列為混沌序列，其數學表示為

圖5 為 Lyapunov 指數與μ的關系曲線，可以看出，在μ∈(3.57,4]條件下，系統處于混沌狀態。

圖5 Lyapunov 指數與μ 關系

圖6 為Logistic 混沌系統的相空間結構，反映了x(n)和x(n+1)的關系。從圖6 中可以看出，Logistic 混沌系統輸出值在(0,1) 。在本文的加密方案中，將Logistic 混沌系統輸出值離散化為0 和1，得到混沌二進制序列。

圖6 Logistic 混沌系統的相空間結構

值得注意的是，Logistic 混沌系統具有初值敏感性。實驗表明，在初值發生10?10數量級變化，進入Logistic 混沌系統經過大約30 次迭代時，其輸出值會發生顯著的改變[23]。

在本文提出的polar 碼加密方案中，充分利用了Logistic 混沌系統的初值敏感性，合法通信雙方基于物理層信道特征通過協商產生Logistic 混沌系統的初始密鑰，由此產生的混沌序列經過離散化轉換為二進制混沌序列，用于信息比特序列的加密和凍結比特的填充。

2.3 基于無線信道特征的密鑰生成

無線信道特有的短時內互易性、時變性和空時唯一性，使其可以作為密鑰生成的可靠來源[25]。由于無線信道的短時內互易性，無線信道在相干時間內會表現出相同的特性，這是通信雙方獲取共同密鑰的基礎。時變性保證了無線信道在不同的時間內具有不同的特征，進而可實現一次一密。由于空時唯一性，竊聽者獲取不到合法接收者所獲取的信道特征，進而保障了安全性。

通信雙方通過無線信道相關特征生成相同密鑰，這樣不需要額外傳輸密鑰，也不需要中繼節點進行密鑰分發，有效地降低了復雜度，也增加了系統的安全性。基于無線信道特征的密鑰生成主要由以下3 個步驟組成。

1) 生成原始密鑰并量化

在相干時間內，合法的通信雙方周期性地發送監測信號，以獲得無線信道特征的相關數值。其中信道狀態信息（CSI,channel state information）是無線信道提取密鑰的重要參數，主要包含信道脈沖響應（相位和振幅）和信道頻率響應，此外，也有一些密鑰提取基于接收信號強度（RSS,received signal strength）和信道相位。

合法的通信雙方使用相同的量化方法，獲得共同的初始密鑰。常用的量化方法主要包括多位量化方案[26]、雙閾值量化方案[27]和基于交互量化誤差的量化方案[28]。

2) 密鑰協商

由于信道噪聲干擾、檢測錯誤等因素，合法的通信雙方可能在初始密鑰生成過程中產生不一致的信息位。因此，需要通過密鑰協商過程獲得初始密鑰的高度一致性。

3) 安全增強

在信道檢測和密鑰協商過程中，非法接收者可能會竊聽一些信息，威脅到密鑰的安全性。因此，合法通信雙方需采取安全增強方法防止非法接收者獲取密鑰的相關信息。當前，Hash 函數和提取器是常用的安全增強方法[29]。

本文在TDD 通信模式下，合法通信雙方基于物理層信道特征在相干時間內提取的原始密鑰，進行密鑰協商、安全增強，最終將得到的比特序列進行一定的數學運算以生成Logistic 混沌系統的初始值和分岔參數。本文將混沌發生器用于基于物理層信道特征的密鑰生成后的密鑰擴展，并將生成的混沌序列離散化用于對于信息序列的加密和凍結比特位的填充，以確保密鑰和傳輸信息的安全性。

3 基于混沌序列的polar 碼加密方案

基于Logistic 混沌系統和多塊polar 編碼結構，本文考慮保密容量為負的情形，基于竊聽信道模型提出了polar 碼加密方案。如圖7 所示，此編碼方案主要由以下幾個部分組成。

圖7 polar 碼多塊編碼結構

polar 編碼。對主信道和竊聽信道索引進行分集，在不同的信道集合放置不同類型的比特序列，進而保證系統的可靠性和安全性。

多塊polar 編碼結構。采用多塊polar 編碼結構將不同塊連接起來。

混沌加密。基于無線信道特征產生Logistic 混沌系統的初始密鑰，其中Logistic 混沌系統中的分岔參數和初始值作為密鑰。生成的二進制混沌序列對原始信息比特進行加密，并對凍結比特進行填充。

定義 2 個信道，分別為W1：X→Y，W2：X→Z，其中W1和W2信道均為二進制輸入對稱無記憶離散信道，W1為Alice 和Bob 之間的合法信道，W2為Alice和Eve之間的竊聽信道。本文假設W1是W2的物理降級信道。定義un為長度為n的待傳輸信息，經過polar 編碼成為vn=unGn。根據信道極化理論，在信道W1中，隨著n的增大，對于β<，信道索引集合為如下2 種分類。

其中，屬于LV|Y索引集合的信道，其對稱容量隨著n的增大趨近于1，巴氏參數趨近于0，稱為可靠信道；屬于HV|Y索引集合的信道，為不可靠信道。

類似地，在信道W2中，隨著n的增大，對于，信道極化為如下2 種分類。

基于W1是W2的物理降級信道的假設，可以得到[9,30]。基于以上分類，本文將信道索引集合分為如下3 種：主信道和竊聽信道均為可靠信道；主信道為不可靠信道，竊聽信道為可靠信道；主信道和竊聽信道均為不可靠信道。基于上述分類，定義如下集合

其中，集合為R的信道對于Bob 而言是不可靠信道，而對于Eve 而言是可靠信道，此類信道用于傳輸自由比特；集合為I的信道對于Bob 而言是可靠信道，用于傳輸信息序列；集合為B的信道對于Bob 和Eve 均是不可靠信道，此信道用于傳輸凍結比特；集合為M的信道用于傳輸加密信息。

在本文提出的polar 碼加密方案中，采用了多塊polar 編碼結構和混沌加密相結合的方式。如圖7所示，凍結比特放置于集合為B的信道中，自由比特放置于集合為R的信道中，信息序列放置于集合為M∪ε的信道中，其中上一個塊的ε取值和當前塊的R取值一致。

通過這樣的多塊編碼結構，k個polar 碼塊連接在一起。通常情況下，凍結比特設置為全0，本文提出的polar 碼加密方案中充分利用凍結比特的設計，將Logistic 混沌系統生成的二進制序列置于凍結比特中，其中Logistic 混沌系統的初始值和分岔參數為合法通信雙方基于物理層信道特征生成，生成的Logistic 混沌序列經過離散化，一部分用于對信息序列的加密，另一部分置于凍結比特中。下面，介紹本文提出的加密polar 碼方案加密編碼和譯碼解密的具體過程。基于混沌理論的polar 加密編碼結構如圖8 所示。

圖8 基于混沌理論的polar 加密編碼結構

如圖8 所示，對于第j塊polar 編碼結構，合法通信雙方基于無線物理信道特征獲取生成的密鑰(λ1,λ2)進入Logistic 混沌系統，生成值為(0,1) 的混沌序列，再經過判決產生二進制混沌序列。其中一部分二進制混沌序列用于加密原始信息，并將加密的信息序列存儲至集合I=M∪ε中；另一部分二進制混沌序列存儲至集合B中。

以上闡述了加密和編碼的具體過程，下文詳述Bob 接收到信息后的譯碼和解密過程。

通過以上步驟，Bob 即可完成譯碼和解密過程。

4 性能分析

4.1 可靠性

在本文提出的polar 碼加密方案中，相應的誤碼率Pe可表示為

由于本文提出的polar 碼加密方案采用SC 譯碼算法，由文獻[3]可知

進而，可得

4.2 傳輸速率

本文提出的polar 碼加密方案的安全傳輸速率Rs1可表示為

由式(26)可以看出，本文提出的基于混沌序列的polar 碼加密方案的傳輸速率趨于主信道的信道容量。而文獻[14]提出的polar 碼加密方案中，其安全傳輸速率可表示為

其中，s用于存儲BCPRNG 的密鑰，其傳輸密鑰長度較長，對于安全傳輸速率的影響不容忽視。

在文獻[8-9]中，polar 碼加密方案的安全傳輸速率趨近于保密容量，具體可表示為

本文提出的基于混沌序列的polar 碼加密方案有效地提升了安全傳輸速率，通過對混沌加密技術與安全polar 碼編碼方案的充分結合，確保了較高的安全傳輸速率，該方案不需要以降低安全性為代價，在負的保密容量條件下依然可達到較高的安全傳輸速率。

4.3 安全性

本文從竊聽者Eve 的角度分析系統的安全性。在polar 碼加密方案中，由于凍結比特由Logistic混沌序列產生，Eve 不能獲取密鑰 (λ1(j),λ2(j))，故只能采用SC 算法進行解密，具體表示為

在SC 譯碼過程中，信息比特按順序進行逐比特譯碼，對后面比特的譯碼會使用前面比特的譯碼信息比特估計值。SC 譯碼算法具有誤差傳播特性，因此如果前面比特譯碼錯誤，會增加后面譯碼的錯誤概率。

在本文提出的polar 碼加密方案中，凍結比特和信息序列混合傳輸，由于Eve 無法獲知密鑰，故無法獲知凍結比特。對于加密后的信息比特，Eve也無法解密，因而Eve 從接收到的信號中不能獲取任何信息量，故，即Eve 截獲到的信號Z和原始信息U互信息趨于0。

為進一步證實本文提出的polar 加密方案的安全性，從攻擊場景角度展開分析。

在窮舉攻擊中，Eve 會采用數學統計的方法嘗試破解Logistic 的密鑰。然而，在本文提出的加密方案中，其密鑰空間為(0.43 ×1010×1010)k，其中k為polar 碼的塊數，假設其為10，則密鑰空間可達(0.43 ×1010×1010)10，約為0.2 ×10197。假設Eve 以每毫秒106次的計算速度破解密鑰，則其需要的時間為0.6 ×10180年。顯然，本文提出的polar 碼加密方案具有足夠大的密鑰空間，足以抵抗窮舉攻擊。文獻[32]指出密鑰空間越大，安全水平越高，其對比了常用的通信物理層加密方法的密鑰空間，并對比了RF（radio frequency） fingerprint、IS-95 CDMA（code division multiple access）、AES（advanced encryption standard）CDMA、Rand-MIMO（random multiple-input multiple-output）的密鑰空間和破解所需要的時間。與常用密碼方法相比，本文提出的polar 碼加密方案具有較大的密碼空間，所需要的破譯時間較長，安全水平較高。

考慮一種極端情況，即Eve 正確猜測到了部分密鑰，并且獲知本文加密方案采用Logistic 混沌序列加密，但是Eve 無法獲知具體的加密機制。該加密方案中采取了循環加密的方法，Eve 無從獲知循環加密p的次數。即使Eve 獲知了p的取值，由于對于信道分集規則不了解，故無法破解加密信息。然而，在文獻[14]提出的polar 碼加密方案中，會產生與信息序列相同長度的混沌序列，通過混沌序列與信息序列的異或運算進行加密。本文提出的polar 碼加密方案充分利用物理層信道特征提取密鑰，并且采用循環加密方法，相對于文獻[14]提出的方案，本文提出的polar 碼加密方案安全性更強。故本文提出的polar 碼加密方案可最大程度地確保系統的安全性。

5 結束語

本文提出了一種可靠、安全、低復雜度、高安全傳輸速率的polar 碼加密方案，適用于保密容量為負的情形。本文在TDD 通信模式下，合法通信雙方在相干時間內生成基于信道特征的密鑰，用于生成Logistic 混沌系統的初始密鑰。由于Logistic 混沌序列的使用，系統實現增加的復雜度和開銷較低，且其相應的密鑰空間可達到(0.43 ×1010×1010)k，其中k為polar 碼的塊數，足以抵抗窮舉攻擊。由于信息傳輸中不包含密鑰，因此polar 碼加密方案可取得較高的安全傳輸速率。此外，通過充分利用凍結比特的設計以及利用混沌序列對信息序列進行加密，大大提升了竊聽者的截獲難度。通過相應的數學理論證明以及攻擊場景分析可以得出，本文提出的polar 碼加密方案具有可靠性、安全性，并且其安全傳輸速率高，能夠很好地滿足5G 通信中的高傳輸效率、低復雜度的要求，尤其適用于資源有限的通信場景。

本文未針對物理層信道特征提取密鑰的具體算法展開深入研究，其中涉及具體的密鑰提取和量化、密鑰協商和安全增強的具體方法，有關密鑰生成的具體算法會在后續工作中加強學習和研究。鑒于混沌序列的優良特性，在后續研究工作中，將對混沌序列在其他常用的新型通信技術中的應用展開深入學習和研究。