CN102223230A - 无线通信网络中产生完美秘钥 - Google Patents

Abstract

一种用以在一无线通信网络中的二或多个收发器之间产生完美随机秘钥的方法与装置。在一点对点系统中，两收发器根据接收的无线电信号而产生该通道脉冲响应(CIR)的估计。该通道脉冲响应估计是被同步，并可以包含错误修正与检测。一位元长秘钥是从该通道脉冲响应估计的数字形式产生，并利用隐私增强而导出一完美加密秘钥。

Description

无线通信网络中产生完美秘钥

本申请是2007年7月23日提交的题为“无线通信网络中产生完美秘钥”的第200680002889.0号中国专利申请的分案申请。

技术领域

本发明与无线通信安全的领域有关。具体来说，本发明与根据无线通道对等性的秘钥产生有关。

背景技术

虽然许多传统密码技术，都可以适用于无线通信之中，这些技术具有的问题，为该合法方所依赖的是，一窃听者所面对因为计算困难度，而在数学上无法获得一秘钥。当窃听者可利用的计算能力增加时，这些方法的效果便减少。此外，这些方法具有的问题，在于其通常以一种简单的方法验证一特定猜测是否正确。因此，建造一种提供绝对(无条件的)保密，而非根据计算假设的密码技术是较有利的。执行此技术之一种方法，已经在先前技术中，由Maurer、Csiszar与Ahlswede及其他人的文献中所知。以下叙述此方法的简要描述。

假设有两方人，Alice与Bob，已经存取两个随机来源X及Y，其在预定时间产生由下标i所标注的独立样本X_i与Y_i。假设Alice与Bob是利用对于窃听者Eve已经存取的公开通道通信，并希望产生一“完美秘钥”。此外，Eve也可以存取另一随机来源Z，其产生独立样本Z_i。该随机来源Z可能是与随机来源有关，但不像X与Y彼此之间具有强烈相关性。因此，直观地，Alice与Bob利用该随机来源较强的相互信赖关系，共享某些高于Eve的优势。的确，其已经显示Alice与Bob可以利用此信赖关系，产生一“完美随机秘钥”。

在不失去一般性下，秘钥可以定义为位元序列。具有长度N位元的完美随机秘钥，则称为一N位元的序列S，其由Alice与Bob共享，因此任一其他人(在此情况中，只有Eve)对于此秘钥序列的估计，可以是对于所有可能N位元序列的大体等机率分布，在此有2^N个。

使V表示所有在该公开通道中所执行的通信；n为该三方每一个累积其已经存取随机来源的时间场合数目；|S|为该形成秘钥的长度。则对于所有的ε＞0，吾人寻找一种协定，其对于所有足够大的n，具有以下的关系：

$\frac{1}{n}H\left(S\right|V,Z)>\frac{\left|S\right|}{n}-\mathrm{\ϵ}$ 方程式1

其中H为随机变数的熵，可根据资讯理论由先前技术已知。注意方程式1是被正规化为该随机来源的单一采样，其为用于秘钥产生的基本资源。

在方程式1可以等价考量为在[|S|/n]下，该的量，也称为秘钥率。此后，该秘钥的长度标注以及该秘钥率，在文章的适用下是可交换的。也就是说，无论何时提到一特定秘钥长度，应该了解的是，这是根据某些基本随机变数的具体量(n)观测所导出。反之，当提到一秘钥率时，此标注为每个随机变数观测的平均秘钥数量之一。

值得注意的是在该上述秘密定义，与最新包含所有相关公开秘钥系统的密码系统之间存在差异。具体来说，新的密码系统，为依赖在猜测该密码秘钥时，由一计算复杂观点所衍生的极度困难性。然而，在多数这些系统之中，一旦产生了正确的猜测，便非常容易验证其的确为正确的猜测。实际上，Maurer与Wolfe的研究，意味着其便不再是任何的公开秘钥系统，换言之，公开产生加密秘钥，但解密秘钥则保持秘密。为了描述该观点，考虑以下公开秘钥密码系统可以根据的简单范例，然而记住最实用的系统常常是更加复杂的。

使p与q为两个大的基本数量，并使s＝pq。其已知对于两个大基本数量的乘积分解因子问题是难以计算的。因此，一种可能的想法是，利用具有该通信目标所建构的公开秘钥密码系统，秘密地选择p与q，并使其乘积s可公开取得，其接着作为某些加密系统的加密秘钥，并除非在已知p与q的情况下，否则是无法轻易解密的。想要拦截一加密信息的窃听者，可能从攻击该因子s开始，其已知是难以计算的。据推测该窃听者可以放弃，或在经过长时间后，该信息的秘密已不再是问题。然而要注意的是，万一该窃听者猜测p，便可十分容易地验证，其是否为正确解答。得知该最后猜测正确解答的能力，便使该计算秘密脱离“完美保密”。完美保密指的是，即使该窃听者正确地猜测出秘钥，其也没有能力确认其是否为真以及是否完成。因此，“完美保密”是指，在一种非常特有的见识中，比起在最新密码系统中普遍使用的概念而言，为更强健的密码概念。

在我们的方案中，不明显的是，这样的协定产生完美秘密性应该存在。不过，其存在性或是许多其不同协定的存在，已经在Ahlswede与Csiszar、Csiszar与Narayan以及Maurer与Wolfe的研究中建立。这些先前研究在一广泛范围的假设下，也对于每个随机来源采样，所可以产生的随机位元数目，给定其上限与下限。

产生一完美秘钥的过程，接着可以如以下所描述。Alice与Bob首先利用其联合随机性，开始建立一位元字串S’，其内在熵从Eve的观点来说则为|S|，且|S|≤|S’|。这可以利用某些在Alice与Bob之间的公开交换量所完成。在许多情况中，信号的单方交换便是足够的。该交换的精确本质，与该联合随机来源(X，Y，Z)的本质有关。此步骤通常称为资讯调解。

接着Alice与Bob可能使用另一组公开交换，一般单一交换也是足够的，以公开地同意将序列S’转换为完美秘密字串S的功能。这一般称为隐私增强。替代地，此功能可以在系统设计期间预先同意。

在以上描述的第一步骤之前，可以另外使用称为优势净化(advantage distillation)的额外步骤，然而其在此并不相关，也不会对其进行进一步叙述。

当具体应用于一无线通信系统时，该过程必须进一步具体指明。当相关随机来源于没有事先通信下，而难以成为所产生的事前资讯时，该无线通道便只提供该通道脉冲响应形式的资源。具体来说，在某些通信系统中，两个通信方(Alice与Bob)在从Alice通信至Bob及从Bob通信至Alice时，将测量非常相似的通道脉冲响应(例如，宽频分工多重撷取系统(WCDMA)分时双工(TDD)系统便具有此性质)。另一方面，实体上不和Alice与Bob相关的任一方，可能观测到的通道脉冲响应，与Alice与Bob所观测的之间，具有非常小的相关性。此差异便可以利用来产生完美秘钥。同样的，对每个通道脉冲响应测量，产生一些完美秘钥也是重要的。注意该通道脉冲响应测量必须在时间中公平广泛地分散，以便具有较多或较少的独立性。

因此，便需要设计一种系统，当面对处于密码学所应用的最坏情况下，一窃听者可以拦截介于两无线终端之间任何位元的挑战时，其能够从一对等无线通道，明确地取的该秘密位元字串，并知道由该两终端所使用的演算法，以导出一秘钥。

然而另一问题是某人可能想将从两收发器终端的完美秘钥产生，延伸至多数收发器，因此完整的收发器网络便共享一共有的完美秘钥，而只有每对之间共享其内在的独特通道性质。也就是说，每对收发器产生一共有随机秘钥，但这些秘钥在各对之间是不相同的。当相同的资讯必须被散布至多于一个接收器时，其造成在这样的网络中共享资讯变得没有效率。其理由是，该信息以对于每一个接收器而言为不同的秘钥所加密，且之后以一种不同的信息出现，其因此必须分别与每个接收器进行通信。相比之下，以一共享秘钥加密的信息可以被多重散布一次，而所有的合法接收器，便能够将该单一传输解密。

发明内容

本发明为在无线通信网络中的多数终端之间，产生完美随机秘钥的方法与系统，因此其对于依窃听者而言，在数学上是不可能导出或猜测所使用秘钥的确实量。本发明利用在点对点无线通道中所固有的独特随机性。窃听者可能会猜出正确的秘钥，但其无法从错误的秘钥中分辨。

在一对收发器之间，一引导收发器导出共享通道的通道脉冲响应估计，其接着被离散处理以产生长秘钥。接着产生一错误修正码，并传输该同位位元至该第二收发器。同时产生一选择性的同步位元字串，并传输至该第二收发器，以确保在该第二收发器处的同步通道脉冲响应估计。该第二收发器独立地导出其本身的共享通道脉冲响应估计，并以该接收的同位位元以及由该引导收发器所传送的同步码，处理其本身的通道脉冲响应估计。其结果是如同在该引导收发器处所导出的相同长秘钥，并除了该同位位元以外，不需要公开地共享该秘钥。为了去除该交换同位位元所丧失的相关性与秘密性，每个收发器进一步利用一隐私增强处理，处理其长秘钥。

这种建立完美秘钥的技术，也延伸至一般网络设定，用于共享一单一完美秘钥的三或多个收发器。

附图说明

本发明的详细了解，可以从后续对于一较佳实施例的描述，通过范例的方式所获得，并结合伴随图示所了解，其中：

图1显示在收发器A处，该引导收发器中的秘密性处理块状图示；

图2显示在收发器B的秘密性处理块状图示；

图3显示对于该时间延迟域中同步问题的描述；

图4显示使用一回旋码所进行的差异向量编码；以及

图5显示一种三节点网络图示，以及四节点网络图示。

具体实施方式

虽然本发明的特征与元件，是以特定结合方式在该较佳实施例中叙述，每个特征或元件也可以单独使用(不与本发明的其他特征及元件一起使用)，或是与本发明的其他特征及元件，一起或独立进行不同结合。

此后，一收发器包含但不局限为一无线传输/接收单元(WTRU)、网络节点、使用者配备、移动站、固定式或移动式的用户单元、呼叫器、或是具有在无线环境中操作能力的其他形式装置。当此后谈到一基站时，其包含但不局限为一节点B、位置控制器、存取点，或是在一无线环境中的任何其他形式介面装置。

图1与图2分别显示收发器100与200的块状图示，其代表两个在一点对点系统中通信的合法方。本发明在两收发器100与200之间建立完美秘钥，其中该收发器100，被选择为该引导收发器(换言的，收发器100在该秘钥建立过程中具有引导地位)。注意该收发器100与200较佳的是一较大通信系统及/或特殊用途超大型集成电路(ASICs)的子成分。在图1与图2中显示的某些或所有的处理元件，在进行非秘密相关工作时可以彼此共享。

一般上，收发器100与200对于加密通信而言，遵循后续产生完美秘钥的初始处理步骤：

1)每个收发器互相传输一特别设计的信号或一导引序列，其可以为了其他目的所使用。

2)该无线实体通道根据该实体环境、产生信号雕零与扭曲，自然地或多或少修改该序列，但由于通道对等性，这些修改是高度相似的。据此，收发器100与200利用在其共享通道中的内在联合随机性，建立秘钥。

3)每个收发器接着转换其接收信号，成为在某些形式中的二进位制序列(或某些离散形式)。

如在图1中所显示，该引导收发器100包括一通道估计器101、通道脉冲响应(CIR)后处理器102、隐私增强(PA)处理器103、块码编码器104、选择性的同步码单元105、同位位元与同步码多工器(MUX)106以及一选择性的弱秘钥分析处理器112。

在收发器100)处，该通道估计器101利用从收发器200所接收的无线电信号，估计一通道脉冲响应，其接着由该通道脉冲响应后处理器102处理。该通道脉冲响应后处理器的主要工作，是将该估计的通道脉冲响应，转换为位元字串，此后则称为长秘钥110。假设在该收发器100处，完成资讯调解处理，收发器200也将拥有该相同的位元字串，也称为长秘钥210。此长秘钥110、210由于以下两个理由，而并非是完美秘钥：1)因为该通道脉冲响应样本为潜在相关(对于高采样比率而言为高度相关)，该位元则非独立分布；2)因为该协定的某些部分需要公开通信，该资讯的某些部分便已经泄漏至一潜在窃听者。隐私增强处理器103便是用来补偿这些问题。

作为该资讯调解处理部分，该块码编码器104为了在收发器200处的错误修正，利用同位位元导出块码。在至少一较佳实施例中，该同步码编码器105产生用于将该收发器100与200之间通道脉冲响应估计进行同步的码。该同位位元与同步码位元便由该多工器106所多工处理，以传输至该收发器200。

该选择性的弱秘钥分析处理器112则在长秘钥110确认为弱长秘钥时，用来检测并拒绝该长秘钥110。

如在图2中所显示，收发器200包括一通道估计器201、通道脉冲响应后处理器202、隐私增强处理器203、同位位元解码器204、同步位元解码器205、向上同步(synch-up)通道脉冲响应单元207、以及一弱秘钥分析处理器212。

在收发器200处，通道估计器201从该收发器100接收该无线电信号，并估计该通道脉冲响应。该通道脉冲响应后处理器202，则用以过滤该通道脉冲响应估计。这两个单元利用与收发器100中对应装置101、102的相同方式操作。该通道脉冲响应后处理器202的输出，是一种“随机秘钥”位元字串。理想上，此字串根据存在于两收发器之间的通道对等性，而与在收发器100上的长秘钥相同。然而，该实际的通道脉冲响应估计由于通道脉冲响应扭曲、通道噪音、以及通道估计开始点的原因而并非相同；该两字串实际上是或多或少不同的。

如果该通道脉冲响应后处理器202的实际输出，与该通道脉冲响应后处理器102相同，则由隐私增强处理器203所进行的隐私增强以及选择性的弱秘钥分析，便可应用来产生与在收发器100处相同的完美秘钥。该隐私增强处理器203的本质，与该隐私增强处理器103相同，而该弱秘钥分析处理器212也与该弱秘钥分析处理器112相同。隐私增强处理与弱秘钥分析处理不能直接地对其应用。更确切地说，收发器200使用由该收发器100所传输的同位与同步码，修正这些差异。

在实作该同步码编码器105的实施例中，该同步位元解码器205与该同位位元解码器204，将来自该接收信号的同步位元与同位位元解码。该向上同步通道脉冲响应单元207处理该解码位元，并利用收发器100的通道脉冲响应估计，将该通道脉冲响应估计同步。该同位位元解码器204处理该解码同位位元，并实作该同步通道脉冲响应估计的错误修正。该长秘钥210现在已经复原为在收发器100处所存在的样子，便可应用该隐私增强与弱秘钥分析处理。来自收发器100埋入至该接收无线电信号之中的长秘钥210，便利用隐私增强处理器203处理，以提供该完美秘钥。该选择性的弱秘钥分析处理器212，检测并拒绝该弱长秘钥。

现在叙述来自该通道估计所产生的完美秘钥。收发器100与200两者，都根据在该通道估计单元101与201处的接收无线电信号，估计该通道脉冲响应。两收发器在某些无线电信号种类的传输期间，都必须支援此操作。典型地，这是一种为了不同于秘钥产生的目的，由通道估计所使用的特别设计导引信号。目前的多数系统由于数据估计的目的都有埋入。有许多方法可以用来实作此步骤，包含但不局限为，为了协助在该另外的收发器处所进行的处理目的，由两收发器传输的特别发信。这种发信实作可以包含使用一种像是在分时双工中使用之中置码、像是在IS-95中的连续导引，以及像是在许多正交分频多工系统中，于某些频率处埋入导引的分频双工系统。

该通道估计单元101与201的输出，是该通道脉冲响应的一种数字化表现。该通道脉冲响应估计，可以利用多种不同方式产生并储存，包含时间域、频率域，以及使用一种抽象向量空间，只要在收发器100与200两者中所使用的表现技术相同即可。在该较佳实施例中，在该通道脉冲响应估计器101、201输出处的通道脉冲响应估计，提供一种产生秘钥的振幅/曲线输出，同时忽略该通道脉冲响应相位资讯。替代地，该通道估计的通道脉冲响应相位资讯，也可以在该处理中使用。根据该实作，只有部分有关于该通道脉冲响应的资讯具有对等性，并因此适用于产生共有秘密性。

从一数字信号产生通道脉冲响应之一般问题，为在该数字模数(A/D)转换器采样相位中的差异，其可能造成通道脉冲响应估计大大的不同。如果将该通道脉冲响应储存于时间域中，这便特别是个问题。如果，该通道脉冲响应储存于频率域中，便不是个显著的问题。对于其他替代储存方法而言，对此问题的认同也会不同。一个简单处理此问题的方法，是在该天线处，于一明显大于该给定传输带宽最小率(换言之，奈奎斯特(Nyquist)率)的速率下，进行类比信号采样。考虑奈奎斯特率的4至10倍，便可算是明显的高。

CIR后处理器102及202利用低通滤波器及可能的内差滤波器对所产生的CIR估计执行后处理。在收发器是配备MIMO的情况中，由于天线数目以及天线场型的不同可能引起CIR估计的不同，可能需要额外之后处理器。在这样的情况下，收发器100及200可能必须对与其天线配置有关的资讯进行交换，这可允许它们从其观测中得出对称的CIR估计。

因为在收发器100与200之间的通道对等性，在收发器处所产生之后处理通道脉冲响应估计应该非常相似。然而，介于该通道脉冲响应估计之间的差异，可以因为后续三种错误来源任一所述，而引入至该收发器100与200。

第一种错误来源，来自于假设在该收发器100与200两者处，同时产生通道估计的通道对等性。在此同时性中的差异，将造成在通道估计中的某些差异。

第二种错误来源，为该数字化通道脉冲响应估计，可能需要针对开始点进行同步。举例而言，如果该估计是在时间延迟域中进行数字化，该通道脉冲响应有意义部分的开始处，可能出现在该两收发器100与200中，对于参考时间原点的不同位置。如在图3中所显示的，收发器100具有从参考时间原点起算的τ₁时间延迟，而收发器200则具有从参考时间原点起算的τ₂时间延迟，其中τ₁≠τ₂。作为另一范例，如果该通道脉冲响应是以频率域表现所储存，便需要假设开始频率/参考相位的差异，以用来决定该储存参数。

第三种错误来源，是由于任何无线通道中的内在干扰所引起的通道脉冲响应估计差异。此干扰可能是来自于在相同频率中所操作的其他装置及/或接收器噪音，及/或像是热噪音的环境噪音。

确保在收发器100与200处通道估计的同时性，可以使用目前存在于通信系统中的许多方式所完成。一种这样的方式，是具有与一特定系统时间联系的通道估计时序，像是一种无线电帧或是时隙边界，以及在全球行动通讯系统(UMTS)的超级帧计数器。另一种方式，则是在收发器发射至支援通道估计的导引信号中，埋入同步化信号。替代地，可以从这样的导引信号导出一同步事件，而不需要埋入一特别信号。第三种确保同时性的方法，是利用具有与该收发器两者所存取全球位置定位系统(GPS)卫星的绝对参考时间，或是由无线通信系统所使用的共有系统时间，所联系的通道估计事件。第四种可能确保同时性的方式，是使用预定技术测量来回延迟，并接着根据此延迟进行同步。

当使用这些方法以后，仍存在小量的同步差异时，其很可能对于该系统效能而言，是小到不具有任何显著影响。任何小量的残余差异，可以利用处理由于无线通道中所产生差异的相同机制处理，像是块码及循环冗余检查码，其将在之后叙述。

为了该储存通道脉冲响应的开始点同步化，可以利用记录在收发器100处的开始点处理，并使用一种高度可靠码的方式，传输至收发器200，以确保无错误传输。替代地，可以使用一种来自多种此类编码(例如，无逗点码)族的特别同步码。因为该同步问题典型上是受到少量样本的限制，只需要来自如此特别同步码的受限效能。同步码编码器105结合同步位元解码器205与向上同步通道脉冲响应单元207，以实作用于该储存通道脉冲响应的开始点同步解决方式。当同步位元使用一种分离码传送时，解码器205将该同步位元解码，而向上同步通道脉冲响应单元207调整与该同步位元一致局部参考位置有关的通道脉冲响应考位置。替代地，使用于修正干扰错误的块码，可以结合上述两种方法所利用，或是另外的如以下所叙述的方法。另外的一种替代方法，是使用一种对于此开始点同步问题为不敏感的通道脉冲响应后处理方式。

该开始点同步也可以不需储存该时序资讯码而进行处理。一种这样的方法，包含使该收发器100与200产生与一共有时序来源(例如，全球位置定位系统)有关的同步信号，而该通道脉冲响应估计，也可以根据这样的信号产生。替代地，该开始点同步可以利用与域无关的通道脉冲响应处理方式达成。然而，这样的解决方式需要牺牲某些秘密比例。举例而言，根据该较佳实施例，假设该通道脉冲响应相位资讯是被忽略的，该同步问题便不存在于频率域之中。根据该通道的干扰程度，该保密比例损失可能变大或变小。作为另一范例，在一非常嘈杂的通道中，该相位资讯可能是高度不可信赖的，因此将其忽略会造成较小的保密比例损失。

块码编码器104以同位位元的形式，提供系统性的错误修正码，其在收发器200处，由同位位元解码器204进行解码，其中在传输字串与接收字串之间的差异，是因为通道干扰所产生。系统性的错误修正码，是一种在解码器204输出的字码之中，所包含该编码器104的原始信息。在此，该系统性错误修正码，是利用存在于该引导收发器100传输器中的编码器104，以及位于该收发器200接收器中的同位位元解码器204所实作。典型的，块码是由系统设计者所预先选择。替代地，其可以根据某些即时门槛，也就是在收发器100与200之间通信的公开选择所动态选择。因为使用隐私增强，该块码实际上是公开所知，其不减少系统产生秘密性的能力。

该块码编码器104取得该输入位元，并产生一组同位检查位元，其接着被传输而无须该输入位元。该同位位元解码器204接着结合从该通道所接收的同位位元，以及该通道脉冲响应后处理器的输出，以产生完整的“讹误字码”，并将该长秘钥210进行解码。该同位位元的处理，完成该解码操作，修正该通道脉冲响应后处理器202的输出，因此，其现在便与存在于收发器100中的长秘钥110相同。

根据本发明，该块码是以一种非传统方式所利用。在收发器100处的通道脉冲响应估计，是使用作为该块码的输入，然而，只有由该编码器104所产生的同位位元被传输。收发器200，接收此可能带有某些错误的传输，接着以其本身的通道脉冲响应估计处理，作为该字码的信息部分，其也可能包含错误，并使用该接收的同位检查位元，以修正这些错误。假设该块码是被良好选择的，该同位位元解码器204的输出，便有很高的可能性会与该收发器100的通道脉冲响应估计相同。因此，收发器100与200已经成功获得相同的字串，而只有某些部分被公开地泄漏，换言的，该同位检查位元的传输。

在选择块码时，假设一潜在窃听者已经具有找出所使用块码的能力，因此不需要保持其秘密性。该块码的本质，只有在其错误修正能力的范围是重要的，而编码/解码复杂度必须作为设计的考量。任何的系统性块状错误修正码都可以使用，包含里德所罗门(Reed-Solomon)与涡轮码。该块码的尺寸较佳的是被预先定义的，因为在多数系统中，可以设定该通道脉冲响应长度的合理上边界。然而，如果无法达成，可以在公开的讨论下，选择来自预先同意编码族的特定码。替代地，可以选择一块码族，例如一种具有可改变错误修正能力的族。接着该收发器100、200根据通道状况(干扰程度、都普勒扩展等等)，从该块码族选择将使用的码。对于块码的同意，是通过公开通信所建立。因此所选择的块码并不需要保持秘密及确保其秘密性，这并不会危及该系统。

在该产生字串中的剩余秘密性，大致上是与该通道脉冲响应估计的初始熵相等，使用愈少的同位位元数量，一潜在窃听者可能取得该通道脉冲响应估计的资讯便愈少。假设一窃听者对于该通道脉冲响应估计的知识是微少的，为了最大的秘密性，尽可能使用愈少的同位位元是较佳的。另一方面，其需要足够的同位位元量，以确保收发器200有很高的可能性，以几乎与在收发器100处所相同的数字化序列所结束，其中该可接受的可能性门槛是被预定的。因此，便可以实行从一编码族选择一块码，以符合一特定通道状况的能力，并在此协调之中维持适当的平衡。此决策产生机制为该块码编码器104的选择性增加部分。

如同之前所介绍的，块码也可以用来支援该数字化通道脉冲响应的开始点同步。如果收发器200并不确定该精确的开始点，或是因为没有使用向上同步机制，或因为其无法完全地降低不确定性，便会使其缩小为有限、典型小的可能性集合。接着其可以使用该接收的同位位元，以尝试利用每一个的可能开始点进行解码。在进行此所述工作时，需要计算在其本身通道脉冲响应估计中，由该通道脉冲响应错误修正器206所修正的“错误”数目。有很高的可能性，除了正确位置以外的所有位置，将造成非常高数量的修正；然而该正确的位置，则造成非常小数量的修正。在此形式中，该块码解码处理便可以促进或支援该开始点同步处理。

虽然利用一良好的错误修正码，有很高的可能性会在两终端处形成相同的秘钥，该处理却并非必定成功。如果该步骤失败，该终端便以两个不同的秘密字串做结束。即使只由一个单一位元造成差异，也无法再进行通信。此问题可以在多种方式之一所减缓。如果该终端具有检测一解密信息是否正确的方式，则该同意秘钥的错误，便可由此方法所检测。然而，这样的检测处理常常是不弹性的，或是在耗费通信资源的观念中为太过昂贵。在此情况中，可以应用一种错误检测码的替代方法。

错误修正码的一般形式为循环冗余检查(CRC)码，其将在后续的范例中所叙述，为错误修正码的较佳选择。该循环冗余检查处理器108，根据一些预先选择的循环冗余检查码，计算用于长秘钥的循环冗余检查检查位元。该形成字串带有循环冗余检查位元，并接着发送到该收发器200。

收发器200接着如以上所述的方法，精确地继续进行块状解码。在解码之后，该循环冗余检查处理器208使用相同的循环冗余检查码，计算其本身的循环冗余检查位元，并与从收发器100所接收的位元进行比较。如果该形成的错误修正字串通过该循环冗余检查检查，便宣告成功。否则收发器200将宣告秘钥产生失败，并继续重复秘钥产生处理。

最后，当该通道状况是够好的时候，该通道脉冲响应便有很高的可能会完全相同，并简单地由确认在收发器200处的同位位元中，没有任何检测错误，替代地使用块码进行错误修正。

作为一替代实施例，当利用一种非对称错误码时，该后续的范例描述一种综合实作。假设Alice与Bob分别知道两个相关的二进位独立变数，以及相同的分布序列Xⁿ＝(X₁，…，X_n)及Yⁿ＝(Y₁，…，Y_n)。Alice通过传输Xⁿ的资讯给Bob，希望Bob复原Xⁿ。注意，当Bob已经通过该相关序列Yⁿ的方式而知道某些Xⁿ的资讯时，Alice便不需要传输所有的Xⁿ给Bob。一种已知的解决方法，是已知为史勒宾-沃夫界限(Slepian-Wolfbound)，其提出从Alice传输给Bob，并使得Bob能够重建Xⁿ的最小传输位元量为nH(X|Y)，其中H(X|Y)则是标注为给定条件的熵。使用根据本发明的综合方式，该传输位元nH(X|Y)可以根据Yⁿ与该传输的位元决定并重建Xⁿ。以综合方式为基础的解决方法，对于使用低密度同位检查(LDPC)码进行错误修正的实施例而言是重要的，而一般上低密度同位检查码为非对称的。

考虑以下简单但用以说明的范例。令X³＝(X₁，X₂，X₃)与Y³＝(Y₁，Y₂，Y₃)，其为两个(具有长度为3的)二进位制序列，其汉明(Hamming)距离不大于1。Alice与Bob分别观测X³及Y³。Alice通过传输X³的部分资讯，协助Bob重建X³。注意，如果Bob已知X³属于{000，111}的集合，其可以简单地将X³解码，因为介于X³与Y³之间的汉明距离不大于1，而介于“000”及“111”之间的汉明距离为3。因此，如果Bob的解码器知道不是X＝000就是X＝111，便可利用检查何者在汉明距离中较为接近而解决其不确定性。同样地，已知X³属于{001，110}、{010，101}与{100，011}集合之一的知识，有助于Bob复原X³，这些集合的汉明距离都为3。因此，Alice只需要通知Bob，X³属于(上述四个集合的)哪个集合。

该上述的四个集合，对其各别的子集合而言，具有3的汉明距离，则称为线性码{000，111}的陪集，其具有同位检查矩阵

该序列X³的综合现象，验证该有效字码的同位检查，并将其定义为P(X³)^t，其中t标示为转置。已知的是，所有在相同陪集中的序列，都具有相同的综合现象，而在不同陪集中的任两个序列，具有不同的综合现象。因此，Alice可以只传输其观测X³的综合现象，其象征包含X³的陪集。

现在回到在图1与图2中所显示的隐私增强处理器103、203，其负责减少字串，因此该字串的位元长度大致上是与该秘钥所提供的秘密性总量相等。其利用通用杂凑函数所实作，其中所使用的特定函数，可以是根据公开通信所预先同意或是根据公开通信所同意。该函数就像所使用的块码，并不需要维持秘密性，并可以因此根据使用公开无线通道而同意。

杂凑函数为一种转换函数，其将维度的输入字串，转换成较小维度N；其中M＞N：

f：{0，1}^M＝＞{0，1}^N                        方程式5

杂凑函数一般适用在电脑科学中，以解决字典问题。该字典问题是定意为建立一种储存给定所述目(字、名称、物件、秘钥…等等)集合与其相关特性的机制，因此之后可以有效率地查询各个所述目。杂凑函数则具有像是一给定集合查询操作时间成本以及储存与查询机制简易实作的特性。

获得查询操作成本时间是一所述非常困难的工作，因为输入字串一般上并不是来自于相同分布，以及因为从一较大维度M映射至一较小维度N的复杂操作。为了这些理由，在杂凑函数输出中的冲突并非相同，其中冲突是来自于有多于一个的不同输入字串会形成相同的输出数值。不同的结构，像是双重杂凑、探根(线性与二次)、链锁等等，被用来达成尽可能地接近这些杂凑函数的查询操作成本时间。

本发明的杂凑函数，具有后续的性质，其有助于获得该完美秘钥。首先，该杂凑函数为单向不可反转的，其在前向方向中的计算，是明显易于反向方向之中。典型地，前向方向中需要几秒的计算时间，而其无法计算获得该反向结果。也就是说，对于一给定杂凑函数y＝h(x)而言，对于给定x时能够简单获得y的数值，而在给定y数值时，无法计算获得x数值。

接着，根据本发明的杂凑函数，具有一种弱冲突阻抗与一种强冲突阻抗。弱冲突阻抗的定义如下。给定一信息x，以及其杂凑数值(同样也称为信息摘要)y，其无法计算找到另一个杂凑函数为相等的信息z，换言之h(x)＝h(z)。注意，该使用者不具有选择该信息与其杂凑数值的选择性，却必须决定具有相同杂凑数值的不同信息。

一强冲突阻抗存在于无法计算获得两个不同的信息，其中x≠z，而其杂凑函数相同，换言之h(x)＝h(z)。因此该使用者在此情况中可以选择该信息，此性质便称为强冲突阻抗。

这些性质是由多数的标准化杂凑函数所参照。有两种主要的标准：安全杂凑演算法(SHA)族与浓缩讯息(MA)演算法族。此外，该安全杂凑演算法族与该浓缩讯息族在该加密系统的潜在攻击者不具有计算资源以破坏时，为计算安全的。该通用杂凑函数对于破坏这种加密系统的功用，是使其难以解决任何一般硬性问题(例如，大数目的分解因子、以复数模式之下，计算整数域的根、根据有限群集计算离散对数…等等)时，可证明为安全的。

根据本发明，一通用杂凑函数g_(a，b)(x)，将每个具有尺寸为M位元的通用秘钥{x}，映射至具有尺寸为N位元的固定杂凑数值，其中N＜M，因此对于每一对秘钥x_i，x_j，其中x_i≠x_j而言，该冲突数目是小的。也就是说，对于g(x_i)＝g(x_j)的冲突数目而言，为1/2^N。

该杂凑数值则利用通用杂凑函数所导出，像是以下的方程式：

g_(a，b)(x)＝((ax+b)mod p)mod 2N            方程式6

其中

p为质数，因此p≥(2^M-1)；

a＝{1，2，…，p-1}：

b＝{0，1，…，p-1}。

考虑a与b的选择范围，其共有p(p-l)的通用杂凑数值。这些函数的集合G＝{g_(a，b)(x)}，共同地参考为该杂凑函数的通用类，且对于G(x_i)＝G(x_j)的冲突数目而言，最多为|G|/2^N。

该杂凑数值处理的结果，是假设已经被一窃听者所拦截的公开交换位元，已经被“混淆(hashed out)”，其中该最终完美秘钥并不包含被公开交换的位元。

注意当该长秘钥110、210并不相关时，可以结合一种熵编码器，或是一种像是柏洛-菲勒(Burrows-Wheeler)转换的良好压缩演算法，与该隐私增强处理一起使用。在某些情况中，使用这样的编码器，也可以去除一种以杂凑函数为基础的隐私增强处理必要性，而成为一种可能利用的简单解决方式(例如，只选择某些输出位元)。

最后，注意在某些情况中，以杂凑函数为基础的隐私增强处理，在使用一种非对称码基础的解决方法中是非必须的，如以上所谈到利用低密度同位检查码所进行的的错误修正。

在该隐私增强之前或之后，可以引入一弱秘钥分析(WKA)步骤，以进一步改善系统效能。如在第1与图2中所显示，该弱秘钥分析处理器112、212保护该系统对抗随机产生完美秘钥的可能性(尽管不太可能发生)，其根据某些外来的上下文资讯，而具有拦截的高度可能性。这种秘钥的范例，包含所有都是1或0的串流，或是在一预定周期中的序列。该具体门槛则是由系统设计所选择。

如果弱秘钥分析检测到一弱秘钥，该适当的处理便拒绝该秘钥，并重复该步骤。如果该块码处理或该隐私增强处理，牵涉到使用码/杂凑函数的即时通信，便可以选择一种新的码/杂凑函数，并利用相同的通道脉冲响应重复该步骤。这将减少该秘钥率；否则该终端必须等到可获得的新通道脉冲响应为止。该秘钥率的降低应该被报告。

上述描述解决方法的主要特征，是在一大块码中产生随机序列的情况。这些块码无法常常被更新，因为其必须等到该通道脉冲响应几乎完全与之前的通道脉冲响应无关为止。然而，在某些情况中，吾人希望更常地更新小量的秘密位元。举例而言，吾人可能想要具有一种“黑盒”，其在频率基础上每次都共享一个该输出秘密位元。一种达成此目的的方法，是取得该产生的秘密位元块，并每次输出一个。另一种方法是修正该上述的处理，以连续地产生小量的秘密位元。其可利用以下方式完成。在图1与图2中的高层次块状图仍旧持续应用。然而，该通道估计单元101、201现在则产生该通道的频率估计，而该通道脉冲响应后处理器102、202则产生介于目前与先前估计之间的差异向量。

该差异向量可以利用多种方式产生。最简单的方法是简单的取得介于该通道脉冲响应两个连续表示之间的差异。然而，这通常不是完成此工作最有效率的方式。较佳的替代方式，包含利用像是卡门(Kalman)预测滤波器等等的良好预测滤波器，连续地过滤该通道脉冲响应，并取得该预测与实际观测数值之间的差异。也可以使用这些解决方式的其他变化。

注意在此当通道脉冲响应与测量之间相关时，取得该差异是有实用价值的，因为取得该差异将移除冗位。另一种解决方法是取得该通道在某些频率处的独立样本，其确保欠缺相关，并接着对该估计执行一种先进先出(FIFO)的解决方式，并接着在某些间隔处与新的数值通信，以允许连续地更新并改变该秘钥。此处的秘钥目的，是在一给定时间中传输最少的资讯，以在一想要的频率处产生一新的独立秘钥。

该差异向量很可能是小的，而因此对其块状编码应该并不是非常有效。然而，吾人可以检视差异现象序列的资讯串流。以回旋码对该资讯串流进行有效的编码，并因此提出一种系统性的回旋码，作为以上叙述系统性块码的置换。

图4显示这种编码器的块状图，其位于该引导收发器100之中，取代在图1中所显示的块码编码器104。差异向量串流401则被提供至一标准回旋编码器402(典型地是利用XOR逻辑闸所进行的移动标示)之中，其产生一个或数个的平行同位串流403(为了简化仅显示一个)。这样的串流典型上包含多于应该要传输的位元量，以维持想要的保密程度。然而，如同该回旋码的比率，是有效率地由穿刺所控制，该同位串流403也根据一想要的传输率404，在传输之前由一穿刺处理器405所穿刺。此外，通过应用改变该穿刺量，收发器100可以有效的协调该码对于所产生随机性总量的错误修正能力。如同使用块码的第一实施例，根据像是通道干扰程度的通道状况而改变该回旋编码比率，可提供最佳化的处理。

继续回到使用回旋错误码的实施例，在收发器200中，一标准回旋码解码器(例如，维特比解码器)是用来取代该同位位元解码器204(图2)，其中该系统性的输入为局部产生的差异向量。如同具有块码一样，该码的本质是假设为公开已知，并因此可使用其码族。然而，因为可利用穿刺或重复，以非常有效率地进行错误修正效能与残余秘密性之间的衡量，也不太需要利用此解码器。

在建立根据在两方之间的该通道脉冲响应估计，而产生秘钥的必须技术后，便可将其延伸至接着所考虑，较宽的网络之中。如之前在背景知识中所叙述的，该问题基本上如以下所述。对于所有合法方而言，其较佳的是共享该相同的秘钥。然而，当每对收发器都共享同样的通道脉冲响应时，此性质精确地支援根据该通道脉冲响应，产生该完美秘钥。如果每对收发器仅利用其本身的相同通道脉冲响应，则每对收发器很可能以其本身秘钥作为结束。此造成在这样网络中进行共有资讯传输是不实际的，因为以不同秘钥所解密的相同信息，造成该密文的统计独立情况。通过无线通道进行独立资讯传输，并接着在这样的通道中散布相同资讯，是明显地缺乏效率。吾人现在提出在多于两个终端的网络中，产生相同秘钥之一些方法。

以下叙述在一般网络中，一种根据延伸树的简单处理方法。该网络节点(收发器)形成一种树状结构，而不在该树中的连接链结(通道脉冲响应)则被忽略。任何弹性秘钥长度可以通过一些先前的通信方法所建立，其中弹性意味着每个在该树中所使用的链结，可以用来产生至少此尺寸的秘钥。

每对连接节点根据其本身的通道脉冲响应，利用以上对于收发器100及200所叙述的方式，建立一暂时秘钥。一旦完成此所述工作，在该树状结构根部的节点，选择许多可能的秘钥之一，并作为该固定秘钥。其接着使用为了所有其他链结所建立的暂时秘钥，并将此秘钥与其子代节点通信。该子代节点接着使用已经建立的暂时秘钥，进一步往该树状结构下的固定秘钥通信，并继续下去。一旦该固定秘钥达到所有的叶部节点，该网络便共享一共有秘钥，并建立起共有秘密通信。这样的通信根据为了秘钥分布所定义的树状结构，并不一定必须进行。

注意在一单一终端作为秘钥分布伺服器的散布方案，是一种上述情形的特别情况，其中该树状结构在该根部(该伺服器终端)以下只具有一层。在该方案之中，该最短的暂时秘钥可以作为一固定秘钥，而建立此特定秘钥的根部与叶部节点便不再需要通信。该秘钥是利用其暂时秘钥，散布至其他的节点。随然这是最简单的树状配置，其可以高度应用于集中式网络中，像是在蜂巢式网络中，将该基站自然选择为该根部节点，或是在无线区域网络中，将该存取点自然选择为根部节点。

接着叙述根据本发明，用于网络产生的更复杂解决方式。考虑一网络，其每对节点产生与所有其他产生秘钥独立的秘钥。与该产生对所不同的其他节点，也不具有该秘钥的知识。此模型实际上是应用于某些情况之中。一个范例是在一无线网络中，该节点使用其点对点通道的相同特性，以产生秘钥。这种通道性质的结果是，忽略和其他节点(无论是合法方或是敌人)可能具有对一特定对通道的知识，因此此范例的模型在此具有直接的应用性。其较佳的是在此网络周围分布一单一秘钥。

图5显示三节点网络501与四节点网络502。另S_kl表示由节点k与l所共享的秘钥，而|S_kl|为此秘钥长度，从该三节点网络501开始，假设|S₁₂|＞|S₁₃|，并考虑后续对策。首先，节点1作为该伺服器，以节点2与3，利用以上叙述的散布解决方式，建立一联合秘钥。选择该两秘钥的最小尺寸秘钥，假设其为|S₁₃|。然而，节点1与2仍然共享长度为|S₁₂-|S₁₃|的剩余秘密字串，其是未使用的。根据比较|S₂₃|与|S₁₂|-|S₁₃|，节点2可以使用这些剩余位元，以传输某些或全部的字串S₂₃，其假设与S₁₂及S₁₃独立。因此，使用此对策，该网络可以产生长度为|S|的共享秘钥：

|S|＝min[|S₁₂|，|S₁₃|+|S₂₃|]                    方程式7

接着，考虑该四节点网络502，其中|S₁₂|＞|S₁₃|＞|S₁₄|。使用上述的三节点网络对策，节点2、3及4共享一共有秘钥S_{2，3，4}，其与S₁₂、S₁₃、S₁₄独立。接着节点1利用该散布网络解决方式，分布字串S₁₄至节点2与3，选择S₁₄是因为其为最短的字串。接着，节点2使用长度为|S₁₂|-|S₁₄|的未使用秘钥部分，以尽可能地提供S_{2，3，4}至节点1。因此，该网络现在共享长度为|S|的秘钥；

|S|＝min[|S₁₂|，|S₁₄+S_{2，3，4}|]        方程式8

为了将此解决方法一般化，引入后续标注。考虑具有标注为1至K的k节点网络，并令∏代表这些标注的排列集合。给定一组点对点秘钥率{S_1k}，且1≠k，则整体看来，由该网络可达成的秘钥率具有下限为：

$\underset{\mathrm{\π}\∈\mathrm{\Π}}{\max }{L}_k\left(\mathrm{\π}\right)$ 方程式9a

其中

方程式9b

而

L₂(π)＝|S_π(1)π(2)|          方程式9c

本发明可以根据期望而在任何类型的无线通信系统中实施，举例而言，本发明可以在任何类型的802型式系统中实施。本发明也可以在集成电路上实施，例如特定功能集成电路(ASIC)、多重集成电路、逻辑可编程闸阵列(LPGA)、多重LPGA、离散元件、或是集成电路、逻辑可编程闸阵列以及离散元件的组合。本发明也可以实施为诸如软件、硬件或是数字信号处理器、或是实施为WTRU、基地台、存取点、WLAN终端、节点或是感测器之一部分或是整个系统或是网络。本发明可应用在实体层(无线电或是数字基频)或是在无线通信系统或装置的实体层处的安全层。

Claims (34)

1.一种用于无线通信中产生一完美加密秘钥的方法，该方法包括：

根据一接收无线电信号，在一第一无线传送/接收单元估计一通道脉冲响应，以产生一通道脉冲响应估计；

从该通道脉冲响应估计产生一秘钥；以及

从该秘钥产生一完美加密秘钥。

2.根据权利要求1所述的方法，其特征在于，产生一完美加密秘钥包含：

根据一通用杂凑函数映射该秘钥，该通用杂凑函数从该通道脉冲响应估计取得熵，并去除公开的位元。

3.根据权利要求1所述的方法，其特征在于，产生一完美加密秘钥包含：

使用一柏洛-菲勒(Burrows-Wheeler)转换进行熵编码。

4.根据权利要求1所述的方法，其特征在于，产生一完美加密秘钥包含：

产生一非对称码，以用于该秘钥。

5.根据权利要求1所述的方法，其特征在于，进一步包括：

在该第一无线传送/接收单元处，导出综合位元；以及

将该综合位元传输到该第二无线传送/接收单元。

6.根据权利要求1所述的方法，其特征在于，进一步包括：

在该第一无线传送/接收单元导出一具有同位位元的块误修正码；以及

将该同位位元传输到该第二无线传送/接收单元。

7.根据权利要求1所述的方法，其特征在于，进一步包括：

根据一通道状况从一码族中选择一错误修正码。

8.根据权利要求7所述的方法，其特征在于，该错误修正码是通过一穿刺图形或一重复图形而有差异。

9.根据权利要求7所述的方法，其特征在于，该通道状况包含一干扰程度。

10.根据权利要求7所述的方法，其特征在于，该通道状况包含一都普勒扩展。

11.根据权利要求7所述的方法，其特征在于，该通道状况包含一都普勒扩展或一移动方向或一都普勒扩展与一移动方向的组合。

12.根据权利要求7所述的方法，其特征在于，该通道状况是根据一位元错误率或一块误率所测量。

13.根据权利要求1所述的方法，其特征在于，进一步包括：

导出错误检测位元；

将该错误检测位元附加至该通道脉冲响应估计；以及

对包含该错误检测位元的一错误修正码进行编码。

14.根据权利要求13所述的方法，其特征在于，该错误修正码包括多个循环冗余检查位元。

15.根据权利要求1所述的方法，其特征在于，该接收的无线电信号包含一帧。

16.根据权利要求1所述的方法，其特征在于，进一步包括：

执行一弱秘钥分析，使得根据预定门槛，基於影响保密的外在特性拒绝该秘钥。

17.根据权利要求16所述的方法，其特征在于，该预定门槛包含在一预定期间中的一反复字串。

18.根据权利要求1所述的方法，其特征在于，估计包含产生多个通道脉冲响应估计，以及产生一秘钥包含持续地更新该秘钥：

过滤该多个通道脉冲响应估计，以产生一预测数值集合；

产生在一目前估计集合与该预测数值间之一差异向量；以及

使用产生的差异向量以更新该秘钥。

19.根据权利要求18所述的方法，其特征在于，进一步包括：

从该差异向量产生至少一同位串流；以及

以根据一目标传输率的比率，对该同位串流执行穿刺或重复。

20.根据权利要求19所述的方法，其特征在于，进一步包括：

根据一通道状态，调整该穿刺率或重复率。

21.根据权利要求20所述的方法，其特征在于，该通道状况包含一干扰程度。

22.根据权利要求20所述的方法，其特征在于，该通道状况包含一都普勒扩展。

23.根据权利要求20所述的方法，其特征在于，该通道状况包含一都普勒扩展、一移动方向、或一都普勒扩展与一移动方向的组合。

24.根据权利要求20所述的方法，其特征在于，该通道状况是利用该位元错误率或块误率所测量。

25.根据权利要求1所述的方法，其特征在于，产生一完美加密秘钥包括使用该秘钥的一错误修正块。

26.根据权利要求1所述的方法，其特征在于，估计包含：

通过估计从多个其他无线传输/接收单元所接收到的多个无线信号的每一个，以产生多个通道脉冲响应估计；以及产生一秘钥包含基於每一该通道脉冲响应估计产生一秘钥，更包括：

利用该秘钥产生多个暂时秘钥，以使每一个暂时秘钥是根据该多个秘钥中的一秘钥，以及与该多个其他无线传送/接收单元中的一无线传送/接收单元有关连；

从该多个暂时秘钥中选择一固定秘钥；以及

使用相应的暂时秘钥，将该固定秘钥通信至该多个无线传送/接收单元中的每一个无线传送/接收单元。

27.根据权利要求26所述的方法，其特征在于，该通信包括产生该多个无线传送/接收单元的一树状图。

28.一种用以产生一完美加密秘钥以在无线通信中使用的无线传送/接收单元，包括：

一通道估计器，配置来根据从一不同的无线传送/接收单元所接收的一无线电信号来产生一通道脉冲响应估计；

一后处理器，配置来根据该第一通道脉冲响应估计产生一秘钥；以及

一隐私增强处理器，配置来从该秘钥产生一完美加密秘钥。

29.根据权利要求28所述的无线传送/接收单元，其特征在于，该隐私增强处理器配置来根据一通用杂凑函数以映射该秘钥，该通用杂凑函数从该通道脉冲响应估计取得熵，并去除公开位元。

30.根据权利要求28所述的无线传送/接收单元，其特征在于，该隐私增强处理器包括配置来执行一柏洛-菲勒转换的一熵编码器。

31.根据权利要求28所述的无线传送/接收单元，其特征在于，进一步包括：

一错误检测编码器，配置以根据一错误检测码计算多个循环冗余检查位元，并由该解码器将该循环冗余检查位元附加至该第一通道脉冲响应估计。

32.根据权利要求28所述的无线传送/接收单元，其特征在于，该隐私增强处理器配置来产生该秘钥的一非对称码。

33.根据权利要求28所述的无线传送/接收单元，其特征在于，进一步包括：

一弱秘钥分析器，配置以根据预定门槛，基於影响秘密的外在特性拒绝该秘钥。

34.根据权利要求28所述的无线传送/接收单元，其特征在于，进一步包括：

一解码器，配置以解码从该不同的无线传送/接收单元所接收的同位位元，以用于错误修正。

Images