CN106059758A

CN106059758A - 一种确保无线通信安全的密钥生成方法

Info

Publication number: CN106059758A
Application number: CN201610537357.2A
Authority: CN
Inventors: 姚念民; 战福瑞
Original assignee: Dalian University of Technology
Current assignee: Dalian University of Technology
Priority date: 2016-07-08
Filing date: 2016-07-08
Publication date: 2016-10-26
Anticipated expiration: 2036-07-08
Also published as: CN106059758B

Abstract

本发明属于无线通信领域，公开一种确保无线通信安全的密钥生成方法。该密钥生成方法基于无线信道互易性以及曲线拟合方法，通过从共享的无线信道状态中提取无线通信用户的共享密钥以保证通信安全，具体包括信道状态估计、预处理、量化及编码、信息协调和私密放大五步，经过私密放大处理后，生成的比特串可用作收发双方最终的共享密钥，保护之后通信安全。本发明能够解决收发双方收集的信道状态序列之间的差异问题，保证密钥协商以及整体密钥生成的效率，且该方法能够更广泛地应用于各种复杂的实际应用场景，高效地保证通信安全。

Description

一种确保无线通信安全的密钥生成方法

技术领域

本发明属于无线通信领域，涉及一种确保无线通信安全的密钥生成方法。

背景技术

无线信道具有先天固有的开放性，这使得无线通信过程更容易遭受安全威胁。因此，确保无线通信安全至关重要。现有安全体系中，密钥的作用无可替代，是绝大多数安全机制的实现基础。

传统密钥生成方法主要基于公钥密钥系统(Public Key Cryptography)。这类方法利用某些问题的计算困难性确保密钥的破解难度，因此需要耗费大量计算以及其他资源。另外，公钥密钥系统通常需要一个基础设施(Public Key Infrastructure)。综上所述，公钥密钥系统并不适用某些应用场景(诸如移动网络或资源受限网络)。

近些年，学者们发现可以利用无线信道互易性(Reciprocity)生成密钥保护用户之间的通信安全。根据无线信道互易性，若收发双方同时测量彼此之间的信道，那么他们获得的信道状态完全相同。即使不能同时探测信道，若收发双方的探测过程在相干时间内完成也能够保证获得的信道状态近乎相同。除此之外，任何距离这两个用户超过半个波长的第三方都无法获得相关的信道状态。由此，收发双方可以使用这些共享的信道状态作为秘密生成彼此共享的密钥用于保护之后的通信安全。这类密钥生成方案不需要固定基础设施，能够根据网络实时状态按需地执行。

目前，已经有一些相关方案提出。这些方案使用不同的参量统计无线信道的状态，比如信道冲激响应(Channel Impulse Response)，相位(Phase)，信道状态信息(ChannelState Information)，接收信号强度(Received Signal Strength)以及到达角度(Angleof Arrival)等。收发双方通过持续探测信道收集一定数量的信道状态之后，各自对自己的数据进行量化(Quantization)以及编码(Encoding)得到二进制比特串。然后，可能交换一些信息完成比特串匹配(Information Reconciliation)，从而实现密钥协商获得共享比特串。最后，为了确保密钥的随机性，这两个用户对共享比特串进行私密放大(PrivacyAmplification)，生成最终能够用于保护通信安全的密钥。

目前已有的大部分方案都通过真实场景的实验得到验证。验证方案时，为了确保量化编码后彼此之间的比特不匹配率较低，设定的场景通常比较简单。然而，当将这些方案应用于复杂场景时，绝大多数方案可能将失效，这是因为以下因素会造成收发双方收集的信道状态序列之间存在非常多的差异：1)现有很多收发器都是半双工，造成收发双方不能同时探测信道；2)信道的噪声以及经历的干扰不对称；3)硬件设备本身有缺陷。结果，这些信道状态序列之间的差异会在量化以及编码后转化成不同的位，这会造成二进制比特串之间的比特不匹配率太高从而无法高效地完成密钥协商。最坏的情况中，某些方案可能将失效。

综上所述，有必要发明一种密钥生成方法及系统可以利用无线信道互易性为用户生成密钥，且保证该方法以及系统可以广泛地适应各种不同的应用场景。

发明内容

针对现有技术的不足，本发明提供一种确保无线通信安全的密钥生成方法，该方法利用无线信道互易性以及曲线拟合生成确保无线通信安全的密钥，该方法能够更广泛地应用于各种复杂的实际应用场景，高效地保证通信安全。

为了达到上述目的，本发明的技术方案为：

一种确保无线通信安全的密钥生成方法，该方法基于无线信道互易性以及曲线拟合方法，通过从共享的无线信道状态中提取无线通信用户的共享密钥以保证通信安全，包括信道状态估计、预处理、量化及编码、信息协调和私密放大五部分，具体步骤如下：

第一步，信道状态估计

为了利用无线信道的互易性，收发双方需要持续探测信道以收集足够的信道状态来生成密钥。许多现有设备仍是半双工系统，无法实现同时探测信道。然而，根据无线信道互易性，信道状态在相干时间内变化很小。因此，收发双方在相干时间内各自完成一轮信道探测，并获得近乎相同的信道状态；如此持续多轮探测信道后，收发双方会获得相同长度的状态序列，且两个信道状态序列高度相关，两个信道状态序列是用于生成密钥的秘密源。

所述的信道状态由不同的统计量进行表征；所述的统计量为信道冲激响应(Channel Impulse Response，CIR)，相位(Phase)，信道状态信息(Channel StateInformation，CSI)，接收信号强度(Received Signal Strength，RSS)以及到达角度(Angleof Arrival)等。例如，接收信号强度可以方便地被现有设备获得，因此在具有显著信道变化的移动场景，接收信号强度常被用于表示信道状态。然而，对于信道变化较小的应用场景，接收信号强度并不适合。因为收集的信道状态序列自身存在的自相关性使得生成的密钥随机性较差。

第二步，预处理

非同步探测信道会使收发双方收集的状态无法完全一致。另外，由于噪声以及其他干扰不对称，使得最终收发双方收集的信道状态序列中存在大量的差异。这些差异会在量化以及编码后转化成为不匹配的位，影响密钥协商。实际环境中，收发双方收集的信道状态序列应该具有如下特点：信道状态序列的主要变化模式相同，但该模式中会伴随着许多不一致的小规模变化。前者由无线信道互易性保证，后者则由上述干扰因素造成。

收发双方利用曲线拟合方法对第一步得到的各自信道状态序列使用相同的平滑过程进行处理，去除由干扰带来的小规模变化，并保留由互易性保证的重要变化模式；平滑处理后，收发双方各自得到处理后的信道状态序列。相比于未经处理的原始信道状态序列，处理后的信道状态序列之间的相关性更高。

为了确保收发双方使用相同的曲线拟合方法对各自数据进行平滑处理，其中一方首先根据自身数据特点确定曲线拟合方法以及对应参数。然后，该用户将这些信息发送给另一个用户。

所述的曲线拟合方法包括：移动平均法(Moving Average)，样条函数平滑(Smoothing Spline)，卡尔曼滤波(Kalman Filter)以及傅里叶级数拟合(Fourier SeriesFitting)等，具体使用时可以根据自身需求以及输入数据的模式确定具体应用方法。

第三步，量化及编码(Quantization&Encoding)

收发双方分别对第二步得到的信道状态序列，采用相同的量化和编码过程进行操作，得到二进制比特串。所述的量化过程中，两个用户分别根据第二步得到的信道状态序列的特征使用相同的量化水平确定量化区间，每个量化区间被赋予内容不同的码值，从而生成二进制比特串，多级量化能够增加密钥生成的速率。若量化水平为M，需要长度至少为的码值对每个符号进行编码；假设输入数据长度为N，则输出的二进制比特串长度为量化和编码过程中数据的变化形式如下：

其中，P_i(1≤i≤N)为输入数据。

第四步，信息协调(Information Reconciliation)

第三步得到的两个二进制比特串之间存在一定数量的不匹配位，需要进一步处理得到公共的二进制比特串。收发双方对第三步得到的二进制比特串进行信息协调，定位并纠正两个二进制比特串之间的不匹配位，从而使收发双方都能获得彼此共享的比特串。所述的信息协调包括Cascade方案以及Secure Sketch方案。通常，为了实现不匹配位的定位以及纠错，收发双方需要公开交换一些信息(Public Discussion)。因此，这个过程会泄漏部分信息给攻击者。信息协调过程要保证纠错的同时尽量少的泄漏信息。

第五步，私密放大(Privacy Amplification)

信息协调期间泄漏的信息会降低生成的密钥的随机性，为了确保密钥的随机性满足加密要求，收发双方对共享的二进制比特串进行私密放大操作，私密放大操作用于消除信息协调期间泄漏的信息对最终生成密钥的影响，并保证该密钥的随机性满足加密要求。经过私密放大处理后，生成的比特串可用作收发双方最终的共享密钥，保护之后的通信安全。

所述的私密放大方法包括随机数提取器(Randomness Extractor)或全域哈希函数(Universal hash functions)，主要用于从弱随机输入源中生成具有高随机性、与输入独立、分布均匀的输出。

本发明的有益效果为：该方法通过收发双方使用相同的曲线拟合方法对各自状态序列进行预处理，解决收发双方收集的信道状态序列之间的差异问题。通过该方法保证量化、编码后生成的二进制比特串之间的比特不匹配率显著降低，从而保证密钥协商以及整体密钥生成的效率。本发明提供的方法能够更广泛地应用于各种复杂的实际应用场景，高效地保证通信安全。

附图说明

图1为无线通信系统的示意图；

图2为密钥生成方法的流程图；

图3为密钥生成系统实现方式的示意图；

图4(a)为用户A经过多轮探测后收集的信号接收强度示意图；

图4(b)为用户B经过多轮探测后收集的信号接收强度示意图；

图5为用户收集的数据的傅里叶级数拟合结果示意图；

图6为傅里叶级数拟合后数据对应的量化器示意图。

具体实施方式

下面结合附图，具体说明本发明的优选实施方式。本发明提供的发明概念可以实施在多种具体环境中。所论述的具体实施例仅用于说明本发明的实现方式，而不限制本发明的范围。

图1显示了一个典型的无线通信系统。考虑该系统为时分半双工系统，其中存在两个用户A和B。结合具体环境，考虑用户间的信道不对称。因此，用户A与用户B之间是信道S，而用户B与用户A之间是信道T。用户A的通信半径为R_A，用户B的通信半径为R_B。另外，还存在一个通信半径为R_C的用户C。三个用户通信半径可以不同，但须保证所有用户在彼此通信范围内。同时，用户C距离用户A或者用户B不能小于半个波长。

由于上述通信系统为时分半双工系统，因此用户A和B不能同时探测信道。假设信道S和T都是多径衰落信道。那么，为保证无线信道互易性成立，用户A和B每轮探测过程可描述如下：

R_B(t)＝S_A(t)h_AB(t)+n_AB(t)

R_A(t+τ)＝S_B(t+τ)h_BA(t+τ)+n_BA(t+τ)

其中，S_A(t)表示t时刻的用户A发送的探测信号，τ表示时延。S_B(t+τ)表示t+τ时刻的用户B发送的探测信号。R_B(t)以及R_A(t+τ)分别表示对应的接收信号。h_AB(t)以及h_BA(t+τ)表示对应时刻信道的脉冲响应。根据无线信道互易性，若保证τ小于等于相干时间，那么有

h_AB(t)≈h_BA(t+τ)

因此，用户A和B可以将h_AB(t)以及h_BA(t+τ)看作共享秘密生成最终的密钥以保护通信的安全。

实际实施过程中，可以使用不同统计量表征信道状态，比如，信道冲激响应，相位，接收信号强度等。具体选择哪个统计量由应用环境决定。

图2说明了本发明提供的密钥生成方法的流程图。从图中可以看到，整个密钥生成方法包含5个阶段：1)信道状态估计；2)预处理；3)量化及编码；4)信息协调；5)私密放大。通信系统中每个用户都使用相同的流程生成最终的共享密钥。

图3介绍了本发明一个实施例的实现流程。该实施例的实现包括以下5个阶段：1)接收信号强度收集；2)傅里叶级数拟合；3)多级量化及格雷码编码；4)基于Cascade的信息协调；5)基于2阶全域哈希函数的私密放大。

1)接收信号强度收集

两个用户在确保每轮探测信道都满足互易性的前提下，持续执行多轮信道探测。每轮探测过程中，双方分别从接收的探测包的Prim头部中提取该轮的接收信号强度。本阶段结束后，用户A和用户B分别获得长度相同的接收信号强度序列S_A以及S_B，且两个接收信号强度序列具有较强的相关性。

图4(a)和图4(b)描述了通信系统中用户A和用户B通过多轮探测各自收集的接收信号强度序列。两个用户分别使用的是无线网卡Intel wireless-N 2230以及Intelwireless 2200bg。从图4(a)和图4(b)可以看到，两个接收信号强度序列的总体变化模式近乎相同。然而，每个接收信号强度序列中都含有大量的小规模波动。这些时间上对应的波动呈现出不同的变化规律。因此，当对这些数据进行量化以及编码后，这些波动会产生大量的不匹配位。

2)傅里叶级数拟合

预处理阶段，用户A和用户B对各自的S_A以及S_B采用傅里叶级数拟合。

傅里叶级数主要用于将输入函数表示成一系列简单的正弦函数或指数函数的和。对于一个区间[-l，l]上给定的周期函数f(x)，对应的傅里叶级数为

f (x) = \frac{a_{0}}{2} + Σ_{n = 1}^{\infty} a_{n} c o s \frac{n π x}{l} + Σ_{n = 1}^{\infty} b_{n} \sin \frac{n π x}{l}

根据三角函数的正交性，对等是两边积分可以计算每项对应的系数

a_{0} = \frac{1}{l} {&Integral;}_{- l}^{l} f (x) d x

a_{n} = \frac{1}{l} {&Integral;}_{- l}^{l} f (x) c o s \frac{n π x}{l} d x

b_{n} = \frac{1}{l} {&Integral;}_{- l}^{l} f (x) \sin \frac{n π x}{l} d x

根据以上描述，傅里叶级数是正弦函数的无限和。当把傅里叶级数用于曲线拟合时，通常使用的是其部分和。类似地，部分和描述如下

f (x) \approx \frac{a_{0}}{2} + Σ_{n = 1}^{N} a_{n} c o s \frac{n π x}{l} + Σ_{n = 1}^{N} b_{n} \sin \frac{n π x}{l}

其中，N是一个有限值用于表示部分和的项数。当N逐渐增大时，部分和越来越接近所给函数f(x)。

从上述定义可以看出，部分和实际上是输入函数的一个近似。当使用部分和代替输入数据之后，输入数据中存在的许多小规模的变化会被忽略掉。结果，输入数据中的主要变化模式被显著突出。结合本实施例，用户A和用户B对各自的S_A以及S_B傅里叶级数拟合后分别获得P_A以及P_B。

考虑到前面描述的实际环境中无线通信用户基于信道互易性收集的信道状态序列的特点，相比于S_A以及S_B，对应的P_A以及P_B更加平滑，在保留了S_A以及S_B的主要变化模式同时还去除了大量小规模的波动。结果，P_A与P_B的相关性明显高于S_A和S_B。

图5展示了S_A以及S_B经过不同项数的傅里叶级数拟合之后得到的序列P_A以及P_B。从图中可以看出，P_A与P_B对应的曲线更加平滑。傅里叶级数的项数越多，对应的曲线细节越多。P_A与P_B对应的曲线变化模式接近相同。S_A与S_B的Spearman相关系数为0.8293，而经过7项傅里叶级数拟合得到的P_A与P_B的Spearman相关系数为0.9842。因此，经过傅里叶级数拟合后，得到的序列P_A与P_B具有更高的相关性。

3)多级量化及格雷码编码

为了提高密钥生成的效率，用户A和用户B分别对P_A与P_B使用多级量化，从而保证所有数据都被用于生成密钥。以用户A为例，多级量化过程描述如下：

a)计算P_A中的最小值min_A以及最大值max_A；

b)根据预定的量化水平，确定量化阈值如下

{threshold}_{i} = m i n + \frac{\max_{A} - \min_{A}}{l e v e l}, 1 \leq i \leq l e v e l - 1

其中，第一个和最后一个量化区间分别为{min_A，threshold₁}和{threshold_i-1，max_A}。

c)根据所在量化区间，将P_A中所有数据标记为对应的符号

经过以上步骤操作后，用户A会得到一个符号序列Q_A。同理，用户B使用相同的过程获得符号序列Q_B。

图6显示了对用户A的P_A分别使用8级量化时对应的阈值以及量化区间。图中的P_A由S_A经过8项傅里叶级数拟合获得。从图6可以看到，量化区间的宽度相同。在本实施例的多级量化阶段，所有的输入数据都会落入对应的量化区间中并被标记为不同的符号，从而产生符号序列。

用户A和用户B经过量化后得到符号序列Q_A以及Q_B。为了将符号序列转化为二进制比特串，两个用户分别使用格雷码对各自的符号序列进行编码。格雷码为可靠性编码，相邻码组只有1位不同。若输入的符号序列长度为N，则要求对应的格雷码码长至少为结合图2示例，下表1显示了8级量化以及对应的格雷码编码。

表1 8级量化及对应格雷码

量化区间	符号	格雷码
			{min_A，threshold₁}	1	000
{threshold₁，threshold₂}	2	001
			{threshold₂，threshold₃}	3	011
{threshold₃，threshold₄}	4	010
			{threshold₄，threshold₅}	5	110
{threshold₅，threshold₆}	6	111
			{threshold₆，threshold₇}	7	101
{threshold₇，max_A}	8	100

经过多级量化以及格雷码编码后，用户A和用户B分别获得二进制比特串BIT_A以及BIT_B。

4)基于Cascade的信息协调

信息协调阶段，用户A和用户B通过Cascade方案定位就纠正BIT_A以及BIT_B之间的不匹配位。当信道传输错误率低于15％时，Cascade方案能够高效纠正不匹配位。执行Cascade方案期间，用户A和用户B将各自的BIT_A以及BIT_B分块。接着，其中一个用户向另一个用户发送每块的奇偶校验位。通过比对奇偶校验位，两个用户能够定位不匹配位进而实现纠错。经过信息协调后，用户A和用户B能够获得共享比特串T_AB。

5)基于2阶全域哈希函数的私密放大

信息协调会泄漏部分信息给攻击者，从而降低了密钥的随机性。为了消除这一影响并保证密钥的随机性，用户A和用户B对T_AB使用2阶全域哈希函数进行哈希操作。2阶全域哈希函数是用来实现随机数生成器的一个常用方法，它能用来从具有较差随机性的输入串中生成与输入独立、随机性高、分布均匀的二进制串。本实施例中2阶全域哈希函数由所有具备以下形式的方程h：{1…M}→{0，1}^m构成：

g_(a，b)(x)＝(ax+b)mod_pM

h_(a，b)(x)＝g_(a，b)(x)mod m

其中，a∈{1，...，p_M-1}且b∈{0，...，p_M-1}。M的值为2²⁵⁶，而p_M是大于M的素数。m则由输入二进制比特串的熵确定。

私密放大过程中，两个用户先将T_AB划分为多个长度为256位的子块。其中一个用户确定上述2阶全域哈希函数的参数并发送给另一个用户从而保证了两个用户使用相同的私密放大过程。最终，通过私密放大，两个用户能够获得共享的密钥Key_AB。通常可以使用NIST的随机数测试工具Key_AB的随机性。通过测试的Key_AB能够用来作为密钥保证两个用户之后的通信安全。

Claims

1.一种确保无线通信安全的密钥生成方法，其特征在于以下步骤：

第一步，信道状态估计

收发双方在相干时间内各自完成一轮信道探测，并获得各自信道状态；持续多轮探测信道后，收发双方获得相同长度的状态序列，且两个信道状态序列高度相关；所述的信道状态由不同统计量表征；

第二步，预处理

收发双方中的一方根据自身数据特点确定曲线拟合方法和对应参数，并将将曲线拟合方法和对应参数发送给另一方，确保收发双方利用相同的曲线拟合方法对第一步得到的各自信道状态序列使用相同的平滑过程进行处理，平滑处理后，收发双方各自得到处理后的信道状态序列；

第三步，量化及编码

收发双方分别对第二步得到的信道状态序列，采用相同的量化和编码过程，得到二进制比特串；所述的量化过程中，收发双方根据第二步得到的信道状态序列的特征，采用相同的量化水平确定量化区间，每个量化区间被赋予内容不同的码值，从而生成二进制比特串，多级量化能够增加密钥生成的速率；若量化水平为M，需要长度至少为的码值对每个符号进行编码；假设输入数据长度为N，则输出的二进制比特串长度为量化和编码过程中数据的变化形式如下：

其中，p_i(1≤i≤N)为输入数据；

第四步，信息协调

收发双方对第三步得到的二进制比特串进行信息协调，定位并纠正两个二进制比特串之间的不匹配位，保证收发双方都能获得彼此共享的比特串，信息协调过程要保证纠错的同时尽量少的泄漏信息；所述的信息协调方法包括Cascade方案以及纠错码；

第五步，私密放大

收发双方对第四步得到的共享的二进制比特串进行私密放大操作，用于消除信息协调期间泄漏的信息对最终生成密钥的影响，并保证该密钥的随机性满足加密要求；私密放大处理后，生成的比特串用作收发双方最终的共享密钥，保护通信安全；所述的私密放大通过随机提取器或全域哈希函数实现。

2.根据权利要求1所述的一种确保无线通信安全的密钥生成方法，其特征在于，第一步中所述的统计量为信道冲激响应、相位、信道状态信息、接收信号强度、到达角度。

3.根据权利要求1或2所述的一种确保无线通信安全的密钥生成方法，其特征在于，第二步中所述的曲线拟合方法包括：移动平均法、样条函数平滑、卡尔曼滤波、以及傅里叶级数拟合。