準靜態環境下的回溯加擾密鑰生成算法

摘要 物理層安全技術利用無線信道環境動態生成密鑰，但在準靜態環境中，信道變換緩慢導致密鑰的隨機性及安全性不足，因而提出一種回溯加擾密鑰生成算法（Backtracking Scrambled Key Generation，BSKG）．首先，拆分信道系數的實部虛部量化以生成更長的密鑰．調和后，再利用本次密鑰與上一次密鑰間的不一致索引總和生成擾碼并與本次密鑰加擾．仿真結果表明，較現有的多維信息、添加人工隨機性的密鑰生成方法，本文算法具有更高的密鑰生成速率和安全性，且隨“一次一密”密鑰生成次數的增加，即使被竊聽到較相關的信道系數，密鑰泄露率仍接近0.5．利用語義安全和信息論不等式分別估計一般及惡劣信道條件成功竊聽的概率上界及其隨密鑰生成次數N的變化情況，給定某些參數，得到這兩種情況下的概率上界分別為2^-77N和2^-23N． 關鍵詞 物理層安全;一次一密;準靜態環境;回溯加擾

中圖分類號 TN918.82

文獻標志碼 A

收稿日期 2023-07-14

資助項目 重慶市自然科學基金（cstc2021jcyj-msxmX0454）

作者簡介

王丹，女，博士，正高級工程師，研究方向為移動通信、物聯網、信號處理等．wangdan@cqupt.edu.cn

方磊（通信作者），男，碩士生，主要研究方向為物理層安全技術．1513109153@qq.com

1 重慶郵電大學 通信與信息工程學院，重慶，400065

0 引言

物理層加密技術利用無線鏈路特性生成密鑰．其中，無線信道因其時變性^［1］、互易性^［2］可作為雙方密鑰的隨機性來源，保證在短時間內生成一致密鑰而無需額外的計算開銷，或分發管理的基礎設施．此外，在多徑散射環境中，如果竊聽者與合法用戶之間的距離大于半個波長，則可近似認為兩者接收同一信號所經歷的信道完全不相關^［3］，從而保證其安全性．

然而，在準靜態環境，如空曠地區或一些室內場景，信道變化緩慢、相干時間較長，使得連續生成密鑰之間以及單次生成密鑰內部存在一定的相關性，導致密鑰生成不滿足“一次一密”保密條件^［4-5］，密鑰生成速率降低，竊聽端也更易獲取與合法端相關的信道信息，系統的安全性也有所下降．

針對準靜態環境存在的問題，目前的研究已經取得了一些進展．密鑰的生成速率大多借助時域、頻域、相位等多維信道信息來提高．例如：文獻［6］不僅使用信道系數的幅度、相位生成密鑰，還從對應最高增益的子信道的索引生成隨機密鑰比特以提高生成速率;文獻［7］使用時頻空維度的多入多出（Multiple-In Multiple-Out，MIMO）信道以生成長度更長的密鑰．此外，通過增加中繼或智能反射面（Reconfigurable Intelligent Surface，RIS）輔助生成密鑰也是提高密鑰生成速率的重要方法．文獻［8］研究了雙向中繼生成密鑰，提出4種基于放大轉發的密鑰生成方案，通過中繼增加信道探測數量進而提高密鑰生成速率;文獻［9］使用緩沖器和中繼存儲每次生成密鑰中未使用的比特位，以避免出現某次信道探測生成的密鑰位長度不足的問題;文獻［10］借助多個中繼生成密鑰，并研究了中繼不可信時的密鑰生成方案，可在較大范圍內實現較高的密鑰生成速率;文獻［11-12］通過在兩端添加RIS，利用RIS的捷變特性構造快速變化的信道，從而使密鑰生成不受制于自然信道變化速度．然而，通過多維信息或增加準靜態環境下的信道仍無法有效避免靜態問題，且MIMO信道的增加將導致計算復雜度和時間消耗的增加．而添加中繼或是RIS又要考慮部署及能耗問題，如果RIS或中繼被竊聽者操控，系統的安全性將得不到保證．針對密鑰的隨機性，引入人工隨機源提高密鑰隨機性是目前的有效手段．文獻［13-14］提出在直接型和中繼型2種密鑰生成場景下，在信道探測階段發射人工隨機源擾動信道，雙方以4次交互后的信道系數生成密鑰;文獻［15］提出一種高效的人工隨機性及預編碼輔助密鑰生成方法，并驗證了迫零及最大傳輸比率2種預編碼技術下的有效性;文獻［16］設計預編碼矩陣，通過廣播隨機控制設備的接收天線并量化密鑰，提高密鑰的隨機性;文獻［17］則將信道探測系數的相位量化為擾碼初始值，生成擾碼序列對密鑰進行加擾;文獻［18］基于隨機濾波和隨機天線調度改善信道參數的動態特性，同時使用自適應量化和霍特林變換提取更多的隨機比特生成密鑰．但這些添加人工隨機源的方法，都將造成雙方互易性的降低，使得雙方密鑰不一致率增加，這勢必會給信息調和帶來壓力并增加雙方交互，準靜態環境下交互的增加將導致可能的風險顯著增加，系統的安全性降低．同時，采用多天線及預編碼技術的密鑰性能需在MIMO場景下才能充分展現，這又使得設備的硬件開銷顯著增加．

基于前人的研究分析，本文提出一種回溯加擾密鑰生成算法（Backtracking Scrambled Key Generation，BSKG），做出的主要工作如下：

1）密鑰調和后，雙方利用上次通信的密鑰與當前密鑰，計算不一致索引總和，生成擾碼序列，將其與當前密鑰異或．一方面，加擾有效地提高了隨機性，另一方面，雙方僅需保存上一次密鑰獲得一致擾碼初始值而無需交互，且擾碼初始值不斷變化，竊聽端要竊取密鑰，不僅需要竊取本次探測的信道系數，還需要竊取擾碼初始值，而要竊取初始值又需以完全竊取上次通信密鑰為保證，竊取上一次密鑰則與此同理，因而有效地提高了系統安全性．

2）考慮竊聽端可獲得與合法端較為相關信道信息的情況，通過語義安全和信息論不等式推導了所提算法竊聽端成功竊聽的概率上限．給定某些參數，結果表明，即使竊聽端能夠獲得與合法端極為相關的信道信息，隨著密鑰生成次數的增加，竊聽成功的概率也將快速下降．

3）通過仿真驗證，算法的密鑰泄露率和重復率始終接近理想情況，且因拆分信道系數的實部虛部生成密鑰，相較現有算法，本文算法還具有較高的密鑰生成速率和較低的密鑰不一致率，并通過了NIST （National Institute of Standards and Technology）隨機性測試．

1 系統模型及算法

1.1 系統模型

針對準靜態環境，建立模型如圖1所示．合法通信雙方為Alice、Bob，存在一個竊聽者Eve，且物理位置更靠近Bob．信道模型為準靜態瑞利衰落信道，通信系統模型為時分雙工模式下的SISO（Single-Input Single-Output，單入單出）-OFDM（Orthogonal Frequency-Division Multiplexing，正交頻分復用）系統．假設合法雙方需發N次信息，根據“一次一密”條件則需至少生成N次密鑰．

1.2 密鑰生成算法

算法使用信道系數的實部虛部量化密鑰，并在雙方信息調和后，進行回溯加擾，提高密鑰的隨機性和安全性．密鑰生成具體步驟如下：

1.2.1 信道探測與估計

為獲得信道狀態信息，在相干時間內，Alice和Bob分別發送導頻信號x（t）和x（t），雙方接收到的信號分別為

y=h（t）*x（t）+n（t）， （1）

y=h（t）*x（t）+n（t）. （2）

分別做信道估計得到信道系數：

=h（t）+n（t）， （3）

=h（t）+n（t）. （4）

其中，*表示卷積，信道系數是均值為0方差為σ²的高斯分布，噪聲為獨立同分布的加性高斯白噪聲．

1.2.2 特征量化

量化即將信道特征轉換為密鑰比特，算法將每個子載波的實部和虛部分別量化，以提高密鑰的生成速率，量化步驟如下：

1）假設雙方獲得的頻域信道系數為H∈C^1×M，即H=［h，h，…，h，…，h］，其中，M為子載波數，R（h）和I（h）分別表示第i個子載波系數的實部和虛部，則有R（H）=［R（h），R（h），…，R（h），…，R（h）］，I（H）=［I（h），I（h），…，I（h），…，I（h）］．

2）計算子載波系數的范圍并設置ξ=2^φ個均勻量化區間，量化得到初始密鑰K∈C^1×2M．

例如：φ=1，使用信道系數幅度的均值meanR、meanI為門限，量化密鑰：

K=0， R（h）≥meanR; 1， R（h）<meanR. （5）

K=0， I（h）≥meanI; 1， I（h）<meanI. （6）

K=［K，K，K，K，…，K，K］. （7）

1.2.3 信息調和

本文采用文獻［19］所述的基于糾錯編碼的信息調和方案，簡而言之，即為Alice將量化后的密鑰分組并基于糾錯編碼生成協商信息，Bob收到后利用糾錯編碼的糾錯能力進行糾錯，最終實現雙方密鑰一致．

1.2.4 回溯加擾算法

設調和后的一致密鑰為K=［K，K，…，K］，N為雙方密鑰生成次數，雙方回溯用于第N-1次通信加密的一致密鑰為K=［K，K…，K］，生成擾碼加擾以提高密鑰隨機性及安全性，算法具體步驟如下：

1）N=1

雙方首次發起密鑰生成請求，此時無法回溯，安全性僅依賴于信道的不相關性，因而不用來對信息進行加密.雙方進行隱私放大并確認首次密鑰一致后更新K，然后重新開始密鑰生成．

2）N>1

① 因信息調和及隱私放大將舍棄部分比特導致連續生成密鑰的長度不同，即M≠M，取M=min（M，M）得：

K=［K，K…，K］， （8）

K=［K，K，…，K］. （9）

② 獲取不一致索引總和α：

K=KK， （10）

α=∑Mi=1iK. （11）

③ 將α轉成二進制比特：

α=［C，…，C，…，C］， （12）

得到31位擾碼初始值C：

C=［C，…，C，…，C］∈C^1×31，s≥31，

［C，…，C，…，C，0，…，0］∈C^1×31，s<31. （13）

引入Gold序列^［20］，序列由2個m序列生成，具有良好的隨機性．第1個m序列p初始化為p（1）=1，p（n）=0，n=2，3，…，31;第2個m序列q初始化為q（n）=C（n），n=1，2，…，31.當m序列長度大于31時有：

p（n+31）=（p（n+3）+p（n））mod2，

q（n+31）=（q（n+3）+q（n+2）+ q（n+1）+q（n））mod2.（14）

生成長度為M的Gold序列C：

C（n）=（p（n+N）+q（n+N））mod2.（15）

其中，N=1 600，n∈［1，M］．

④ 將調和后的密鑰K∈C^1×M與C異或得到回溯加擾算法的輸出密鑰K∈C^1×M．

K=KC. （16）

1.2.5 隱私放大及一致性檢驗

為進一步提高密鑰安全性及確認最終密鑰是否一致，協議使用文獻［14］描述的隱私放大及一致性檢驗方法．此外，雙方每次可根據α從全域哈希函數集中選擇一致哈希函數而無須預先溝通或是交互．

雙方在確認密鑰一致后將K更新為本次密鑰，以便下次回溯加擾．若不一致則密鑰生成失敗，丟棄本次密鑰重新生成．

2 安全分析

這部分將給出一般以及惡劣兩種信道條件下（兩者的區別在于竊聽端與合法端信道系數的相關程度），竊聽者成功竊取到第N次合法密鑰的概率上限及其變化規律．

信道探測階段，Eve已經通過監聽公共信道獲得了部分有關密鑰生成的信息：

y=h（t）*x（t）+n（t）， （17）

=h（t）+n（t）. （18）

一般來說，竊聽者與合法信道相距大于半波長λ/2時，他們將經歷完全不相關的衰落信道．然而，在準靜態環境信道變化緩慢，Eve通過監聽信道獲得的信道系數與合法端仍可能有一定的相關性，系統的安全性也將有所下降．

Eve與合法端所得共享隨機性的互信息量是一種信息論的安全性度量方法．假設量化的影響可以忽略不計，考慮到Eve更加靠近Bob，則只需考慮與，那么合法方與Eve的互信息計算如下：

定義Bob端以及Eve端任意子載波k上的衰落系數分別為h=h+jh和h=h+jh，其中，h和h獨立且滿足正態分布N（0，σ²/2），h和h獨立且滿足正態分布N（0，σ²/2），則有互信息

I（h;h）=I（h+jh;h+jh）=

I（h，h;h，h）=

H（h，h）+H（h，h）-

H（h，h，h，h）. （19）

H（·）表示微分熵，式（19）即為互信息的微分熵展開式．引入合法端與竊聽端信道的相關系數：

ρ=cov（h，h）D（h）D（h）=

E［hh］E［‖h‖²］E［‖h‖²］. （20）

其中，cov（·）表示變量的協方差，得到以下協方差矩陣：

Σ=σ²/20 0σ²/2，Σ=σ²/20 0σ²/2， （21）

Σ=σ²/20ρσσ/20

0σ²/20ρσσ/2

ρσσ/20σ²/20

0ρσσ/20σ²/2. （22）

對于多元高斯隨機變量=（X，X，…，X），其協方差矩陣為Σ，得到隨機變量微分熵為H（X）=12log（det（2πeΣ）），式（19）可進一步化作：

I（h;h）=12log（det（2πeΣ））+

12log（det（2πeΣ））-12log（det（2πeΣ）=

log（πeσ²）+log（πeσ²）-

log（（πeσσ）²（1-ρ²））=-log（1-ρ²）.（23）

接下來，利用文獻［21］中提供的互信息與語義安全度量之間的聯系，計算在一般情況下，相關系數ρ較小時，竊聽端竊聽成功的概率上限．

設N為雙方密鑰生成次數，n為子載波數，為量化分辨率，竊聽成功的概率為P．在Eve未能監聽到有效信息的情況下，成功猜測單個子載波比特的概率為2^-2φ．根據文獻［21］中的結論，在Eve竊聽的信息與合法端信息相關時，對于單個子載波而言，竊聽成功的概率最多增加2I（h;h），其中，h和h分別為Bob端以及Eve端子載波的信道系數．竊聽端從首次生成密鑰開始竊聽，N=1時，Eve能夠恢復出所有子載波的概率為（2^-2φ+2I（h;h））ⁿ，需要注意的是I（h;h）對于所有子載波都是相同的，如果Eve不能恢復所有的共享隨機性，則根據協議隱私放大及一致性檢驗部分的哈希函數性質，正確猜測出所有密鑰的概率為2^-φn，那么本次密鑰生成Eve能成功竊聽的概率最多為（2^-2φ+2I（h;h））ⁿ+2^-φn．

N>1時，Eve不僅需竊取本次信道系數，還需在此之前成功竊取第N-1次的一致密鑰來獲取本次加密的擾碼初始值.設成功竊聽第N-1次密鑰的概率為P，則成功竊聽第N次密鑰的概率最大為P·（（2^-2φ+2I（h;h））ⁿ+2^-φn）.以此類推，得到Eve成功竊聽第N次密鑰的概率P的上界為

P≤P·（（2^-2φ+2I（h;h））ⁿ+2^-φn）≤

P·（（2^-2φ+2I（h;h））ⁿ+2^-φn）²≤

…≤

（（2^-2φ+2I（h;h））ⁿ+2^-φn）^N≤

（（2^-2φ+-2log（1-ρ²））ⁿ+2^-φn）^N. （24）

基于式（24），通過實際數據進一步說明Eve竊聽成功的概率上界及其隨合法雙方密鑰生成次數的變化規律．假設使用64個子載波生成密鑰，量化分辨率φ=2，在一般條件下，竊聽端所能得到的最大相關系數假設為0.25，由式（23）得互信量為0.093 1，則一般條件下Eve成功竊聽第N次密鑰的概率上界為2^-77N，變化規律如圖2所示．

式（24）已經給出在一般信道條件下，Eve的竊聽概率上界及其隨密鑰生成次數N的變化情況，但對于一些惡劣情況，如某一時刻環境過于靜態、Eve過于靠近合法用戶等，其有可能獲得與合法端非常相關的信道系數．顯然，當相關系數大于0.54，即互信量大于0.5時，對于式（24），將無法得到一個竊聽概率的非平凡上界，因此，使用法諾不等式^［22］將竊聽者成功竊聽的概率與子載波量化比特的信息熵聯系起來，給出成功竊聽的概率上界．

設N為密鑰生成次數，n為子載波數，S為第k個子載波的量化比特序列，φ為量化分辨率．將竊聽端竊聽合法端密鑰的過程看作是一個通信過程，合法端可看作編碼發送端而竊聽端接收（竊聽信道系數）經過信道噪聲的信息，并進行譯碼，這樣就很容易將譯碼成功的概率與法諾不等式聯系起來，得到一個譯碼（竊聽）成功的概率上界．

N=1時，基于文獻［23］中的不等式及其推論，有：

P［S≠S］≥H（S|h）-1log（|n|）， （25）

則竊聽者竊聽成功的概率P［S=S］上界為

P［S=S］≤a1-P［S≠S］=

1-H（S|h）-1log（|n|）=b

1-H（S）-I（S;h）-1log（n）≤c

1-H（S）-I（h;h）-1log（n）=d

1-H（S）+log（1-ρ²）-1log（n）. （26）

其中：a表示法諾不等式;b表示信息論條件熵展開式;c中，S是h的確定性函數，因此由S，h，h構成馬爾可夫鏈得出;d可帶入式（23）得出．

式（26）對于所有的子載波都是成立且獨立的，如果竊聽者不能基于監聽的信道系數猜測出所有密鑰，那么根據協議隱私放大及一致性檢驗部分的哈希函數性質，其恢復出所有密鑰的概率最多為2^-φn．因此，本次密鑰生成Eve能成功竊聽的概率最多為1-H（S）+log（1-ρ²）-1log（n）ⁿ+2^-φn．

N>1時，Eve不僅需竊取本次信道系數，還需在此之前成功竊取第N-1次的一致密鑰來獲取本次加密的擾碼初始值.設成功竊聽第N-1次密鑰的概率為P，則成功竊聽第N次密鑰的概率最多為P·1-H（S）+log（1-ρ²）-1log（n）ⁿ+2^-φn.以此類推，成功竊聽第N次密鑰的概率P的上界為：

P≤

P·1-H（S）+log（1-ρ²）-1log（n）ⁿ+2^-φn≤

P·1-H（S）+log（1-ρ²）-1log（n）ⁿ+2^-φn2≤

…≤

1-H（S）+log（1-ρ²）-1log（n）ⁿ+2^-φnN.（27）

基于式（27），通過實際數據進一步說明Eve竊聽成功的概率上界及其隨合法雙方密鑰生成次數的變化規律．假設使用64個子載波生成密鑰，量化分辨率φ=2，在惡劣條件下，竊聽端會得到與合法端非常相關的信道系數，假設ρ=0.8，每個子載波的信息熵可通過NIST中的近似熵檢測進行估計^［24］.假設H（S）≈3.81 bit，則惡劣條件下Eve成功竊聽第N次密鑰的概率上界為2^-23N，變化規律如圖3所示．

綜上，加擾讓Eve必須基于監聽的信道系數生成與合法端完全一致的密鑰，同時，回溯又使得Eve還要以竊取之前所有密鑰為前提．即使Eve獲取了與合法端高相關的信道系數，也難以成功竊取密鑰，且其概率上界也隨著雙方密鑰生成次數增加而快速降低．

3 仿真分析

將BSKG與傳統密鑰生成（Conventional Key Generation，CKG）^［25］、多維信息密鑰生成（Joint Key Generation，JKG）^［6］以及加入隨機源密鑰生成（Induced Randomness Key Generation，IRKG）^［14］進行比較，通過仿真結果來分析算法性能．假設任意2個通信節點之間的準4c28eedf85ecfe9ad4072f9a5f1cf874靜態瑞利衰落信道有9條有效路徑，其中考慮了指數衰減功率延遲分布^［26］．在信號探測階段，所有算法都使用64個子載波數．

在竊聽端，隨著環境信噪比的提高，Eve將竊聽到與合法信道越來越相關的信道系數，進一步分析算法的安全性能．

3.1 性能指標

密鑰生成速率（Key Generation Rate，KGR）描述了每次探測生成的密鑰比特與信道特征數量的比值，KGR越高，則密鑰生成效率越高，密鑰生成越快，通信系統越安全．給出密鑰生成速率的公式如下：

KGR=LM. （28）

其中：L表示單次探測生成的有效密鑰比特數目（bits）;M表示單次探測的信道特征數目（sample）．

密鑰不一致率（Key Disagreement Ratio，KDR）用于衡量合法通信雙方生成密鑰的不匹配程度，KDR越低，則調和階段的交互次數越少，泄露的概率越低，同時密鑰生成的成功率越高．給出密鑰不一致率公式如下：

KDR=∑ni=1|K（i）-K（i）|M. （29）

其中：K，K分別為Alice端、Bob端生成的密鑰．

密鑰泄露率（Key Leakage Rate，KLR）指的是竊聽端與合法端密鑰一致的比率，是密鑰生成算法安全性的重要度量，公式如下：

KLR=1-∑ni=1|K（i）-K（i）|M. （30）

其中：K為竊聽端生成的密鑰．根據信息論可知，竊聽端密鑰與合法端密鑰完全不相關時，KLR為0.5．

在準靜態環境，信道變化緩慢，連續信道探測生成的密鑰可能存在較多相同比特，這對于“一次一密”是不被允許的．密鑰重復率（Key Repetition Rate，KRR）可用來衡量連續生成密鑰之間的重復比率，公式如下：

KRR=1-∑ni=1|K（i）-K（i）|M. （31）

其中：K，K分別為第N次、第N-1次生成的密鑰.連續生成的密鑰重復率越低，則KRR越接近0.5．

密鑰隨機性通常使用NIST統計測試套件^［24］進行測試，該套件測試共有15項，檢測序列的相關性、游程、近似熵等特性，以發現可能存在的各種類型的非隨機性．對于每個測試而言，如果輸出的概率值P大于0.01，則認為該序列是隨機的且具有99%的置信度．

3.2 仿真性能

圖4、5分別給出了加密算法的KGR、KDR隨信噪比的變化曲線．因為BSKG、IRKG拆分信道系數的實部和虛部分別生成密鑰，在相同信噪比的情況下，單次信道探測生成的一致比特要高于JKG、CKG算法．IRKG引入隨機源，改善隨機性的同時也因增加交互引入了更多噪聲，導致不一致比特增多，而BSKG在調和后再回溯加擾，保證隨機性的同時也不會降低一致率．但隨BSKG量化分辨率的提高，KDR較CKG略有增大．

圖6為加密算法的KLR隨信噪比的變化曲線．由于CKG與JKG算法都僅依賴信道的保密性，隨著信噪比及Eve竊聽的信道系數與合法端相關性的提高，最終導致較高的密鑰泄露率．而IRKG雖引入隨機源但仍需交互以保證雙方獲得一致隨機信號，在Eve獲得逐漸相關信道信息時，泄露率也逐漸增加．對于BSKG而言，通過回溯加擾，一方面，放大了合法端與Eve信道系數差異對密鑰生成的影響，即使是1 bit的不同也能使合法端與Eve的密鑰完全不同，另一方面，因雙方通信次數的增加而不斷生成密鑰，竊聽者的竊聽難度也隨之不斷加大．隨著信噪比以及Eve竊聽信道系數的相關性不斷提高，算法的泄露率始終保持在理想值0.5，展現了較好的算法安全性能．

圖7為KRR隨信噪比的變化曲線．隨著信噪比的提高，信道變化逐漸減小，CKG、JKG算法連續生成密鑰之間的重復比特逐漸增多，密鑰安全性降低，IRKG引入隨機源提高了密鑰隨機性，而BSKG使用不斷變化的擾碼加擾，使連續生成密鑰之間重復比特率接近0.5，性能更加穩定．

表1為BSKG算法使用NIST統計測試套件檢驗隨機性的結果．設置靜態信道系數運行算法，信噪比為25 dB，將生成的密鑰進行測試．從表1中結果可見，序列通過了所有測試，因此，BSKG算法生成的密鑰被認為是隨機的且具有99%的置信度．

4 結論

回溯加擾算法在不增加雙方交互次數以及降低密鑰其他性能的基礎上，利用上一次密鑰與本次密鑰的不一致索引總和生成擾碼并加擾．一方面，擴大了信道變化對密鑰產生的影響，即使信道變化非常緩慢，也不影響密鑰生成，使其滿足“一次一密”保密條件；另一方面，即使Eve能夠獲得與合法端較為相關的信道系數，回溯加擾也能極大地保證密鑰的安全性．仿真結果表明，在準靜態環境下，算法具有良好的隨機性與安全性．

參考文獻

References

［1］ Zeng K.Physical layer key generation in wireless networks：challenges and opportunities［J］.IEEE Communications Magazine，2015，53（6）：33-39

［2] Wang T，Liu Y，Vasilakos A V.Survey on channel reciprocity based key establishment techniques for wireless systems［J］.Wireless Networks，2015，21（6）：1835-1846

［3] Goldsmith A.Wireless communications［M］.New York：Cambridge University Press，2005

［4] 李古月，俞佳寶，胡愛群.基于設備與信道特征的物理層安全方法［J］.密碼學報，2020，7（2）：224-248

LI Guyue，YU Jiabao，HU Aiqun.Research on physical-layer security based on device and channel characteristics［J］.Journal of Cryptologic Research，2020，7（2）：224-248

［5] Shannon C E.Communication theory of secrecy systems［J］.The Bell System Technical Journal，1949，28（4）：656-715

［6] Furqan H M，Hamamreh J M，Arslan H.New physical layer key generation dimensions：subcarrier indices/positions-based key generation［J］.IEEE Communications Letters，2021，25（1）：59-63

［7] Yaacoub E.On secret key generation with massive MIMO antennas using time-frequency-space dimensions［C］//2016 IEEE Middle East Conference on Antennas and Propagation （MECAP）.September 20-22，2016，Beirut，Lebanon.IEEE，2016：1-4

［8] Shimizu T，Iwai H，Sasaoka H.Physical-layer secret key agreement in two-way wireless relaying systems［J］.IEEE Transactions on Information Forensics and Security，2011，6（3）：650-660

［9] Mangang R K，Jagadeesh H.Do not forget the past：a buffer-aided framework for relay based key generation［J］.Journal of Communications and Networks，2022，24（1）：1-16

［10] Thai C D T，Lee J，Quek T Q S.Physical-layer secret key generation with colluding untrusted relays［J］.IEEE Transactions on Wireless Communications，2016，15（2）：1517-1530

［11] 郝一諾，金梁，黃開枝，等.準靜態場景下基于智能超表面的密鑰生成方法［J］.網絡與信息安全學報，2021，7（2）：77-85

HAO Yinuo，JIN Liang，HUANG Kaizhi，et al.Key generation method based on reconfigurable intelligent surface in quasi-static scene［J］.Chinese Journal of Network and Information Security，2021，7（2）：77-85

［12] Lu T Y，Chen L Q，Zhang J Q，et al.Reconfigurable intelligent surface assisted secret key generation in quasi-static environments［J］.IEEE Communications Letters，2022，26（2）：244-248

［13] 陳發堂，鄭金貴，陳峰，等.基于PID控制的自適應密鑰生成［J］.南京郵電大學學報（自然科學版），2023，43（3）：11-18

CHEN Fatang，ZHENG Jingui，CHEN Feng，et al.Adaptive key generation based on PID control［J］.Journal of Nanjing University of Posts and Telecommunications （Natural Science Edition），2023，43（3）：11-18

［14] Aldaghri N，Mahdavifar H.Physical layer secret key generation in static environments［J］.IEEE Transactions on Information Forensics and Security，2020，15：2692-2705

［15] Hu L，Chen Y，Li G Y，et al.Exploiting artificial randomness for fast secret key generation in quasi-static environments［C］//2021 IEEE 6th International Conference on Signal and Image Processing （ICSIP）.October 22-24，2021，Nanjing，China.IEEE，2022：985-989

［16] Tang J，Wen H，Song H H，et al.Sharing secrets via wireless broadcasting：a new efficient physical layer group secret key generation for multiple IoT devices［J］.IEEE Internet of Things Journal，2022，9（16）：15228-15239

［17] Wang D，Chen F，Chen Y T，et al.Scramble-based secret key generation algorithm in physical layer security［J］.Mobile Information Systems，2022，2022：1-9

［18] Li G Y，Yang H Y，Zhang J Q，et al.Fast and secure key generation with channel obfuscation in slowly varying environments［C］//IEEE Conference on Computer Communications.May 2-5，2022，London，United Kingdom.IEEE，2022：1-10

［19] Juels A，Wattenberg M.A fuzzy commitment scheme［C］//Proceedings of the 6th ACM Conference on Computer and Communications Security.New York，NY，USA：ACM，1999：28-36

［20］ 3GPP.Evolved universal terrestrial radio access （EUTRA）：physical channel and modulation （release 8）［S］.TS36.211，2008

［21] Bellare M，Tessaro S，Vardy A.Semantic security for the wiretap channel［M］//Safavi-Naini R，Canetti R.Lecture Notes in Computer Science.Berlin，Heidelberg：Springer Berlin Heidelberg，2012：294-311

［22］ Cover T M，Thomas J A.Elements of information theory［M］.Hoboken，NJ，USA：John Wiley ＆ Sons，2012

［23] Scarlett J，Cevher V.An introductory guide to Fano’s inequality with applications in statistical estimation［J］.arXiv e-Print，2019，arXiv：1901.00555

［24］ Rukhin A，Soto J，Nechvatal J，et al.A statistical test suite for random and pseudorandom number generators for cryptographic applications［R］.National Institute of Standards and Technology Special Publication 800-22，2001

［25] Liu H B，Wang Y，Yang J，et al.Fast and practical secret key extraction by exploiting channel response［C］//2013 Proceedings IEEE INFOCOM.April 14-19，2013，Turin，Italy.IEEE，2013：3048-3056

［26] Cho Y S，Kim J，Yang W Y，et al.MIMO-OFDM wireless communications with MATLAB［M］.Hoboken，NJ，USA：John Wiley ＆ Sons，2010

Backtracking scrambled key generation in quasi-static environment

WANG Dan¹ FANG Lei¹ HE Bin¹ CHEN Fatang¹

1 School of Communications and Information Engineering，Chongqing University of

Posts and Telecommunications，Chongqing 400065，China

Abstract Physical layer security techniques utilize the wireless channel environment to dynamically generate keys，however，in quasi-static environment，slow channel transformation leads to insufficient key randomness and security.Here，a Backtracking Scrambled Key Generation （BSKG） algorithm is proposed.First，the real and imaginary parts of the channel coefficients are split and quantized to generate a longer key，which is reconciled，then the sum of the inconsistent indexes between the current key and previous key is used to generate a scrambling code to scramble the current key.Simulation shows that，compared with the existing multi-dimensional information and artificial randomness key generation method，the proposed algorithm has higher key generation rate and security，and the key leakage rate is close to 0.5 with the increase of the one-time pad key generation times，even if more relevant channel coefficients have been eavesdropped.The upper bounds on the probability of successful eavesdropping and their variations with the number of key generation N for general and bad channel conditions are estimated using semantic security and information-theoretic inequalities，respectively，when giving certain parameters，the upper bounds for these two cases turn out to be 2^-77N and 2^-23N.

Key words physical layer security;one-time pad;quasi-static environments;backtracking scrambled