CN114125826A - 一种基于信号强度的物理层密钥提取方法、系统、设备和介质 - Google Patents

Abstract

本发明提出一种基于信号强度的物理层密钥提取方法、系统、设备和介质，本发明适用于保密通信领域。本发明是为了解决现有密钥生成方法可能存在的密钥随机性差、生成速率低、密钥不一致率高的技术问题。该方法引入DFT优化的LS信道估计算法，降低了带外噪声给信道估计结果带来的影响；将Level‑Crossing密钥提取算法与M维矢量量化方案相结合，在保证密钥不一致率的前提下达到提升密钥生成速率的目的；引入SHA‑1算法，提升了密钥随机性。

Description

一种基于信号强度的物理层密钥提取方法、系统、设备和介质

技术领域

本发明属于保密通信技术领域，特别是涉及一种基于信号强度的物理层密钥提取方法、系统、设备和介质。

背景技术

随着移动通信重要性的日益增长以及计算机技术的发展，传统的通信体制安全手段存在的漏洞越来越不可忽视，物理层安全作为传统安全手段的重要补充得到研究者们的广泛关注。无线物理层特有的空间、时间和频率特性为在物理层上应用新的安全技术方法提供了强大的基础支撑，其中物理层密钥生成是物理层安全的主要研究方向之一。

物理层密钥提取常用的信道特征参数有信道冲激响应(Channel ImpulseResponse,CIR)和接收信号强度(Received Signal Strength,RSS)。CIR能够提供大量的信号幅值和相位信息，因此能够作为密钥提取良好的随机源，但相位信息在实际通信系统中极易受到外界干扰。

现有的无线基础设施几乎都能直接测量RSS值，并且实验表明移动环境下的RSS值变化剧烈，能够从中提取到随机性良好的密钥，因此该参数成为现代密钥提取最常用的无线信道特征，本发明采用接收信号强度RSS作为密钥提取的来源。

发明内容

本发明为了解决现有密钥生成方法可能存在的密钥随机性差、生成速率低、密钥不一致率高的技术问题，提出了一种基于信号强度的物理层密钥提取方法、系统、设备和介质。

本发明是通过以下技术方案实现的，本发明提出一种基于信号强度的物理层密钥提取方法，Alice为发射端，Bob为合法接收端，Eve为窃听端，Eve处于被动窃听状态，即被动地窃听Alice和Bob之间的信息，而不对主信道产生干扰，所述方法具体包括以下步骤：

步骤1、Alice与Bob互相发送训练序列，进行双向的信道估计，应用离散傅里叶变换DFT优化的最小二乘LS信道估计算法提取RSS，得到信道衰落系数估计序列

和

步骤2、Alice和Bob应用Level-Crossing密钥提取算法，将信道衰落系数估计序列

和

处理成为一致的比特流形式的原始密钥序列K_A和K_B；

步骤3、Alice和Bob根据分量间隔数组d＝{d₁,d₂,…,d_M}，M为维数，将原始密钥序列K_A和K_B进一步处理成为M维矢量量化后的密钥序列K′_A和K′_B；

步骤4、基于模糊提取器，并应用安全散列算法1，Alice和Bob将量化后的密钥序列K′_A和K′_B进行纠错和Hash处理，最终得到一致且均匀分布的随机密钥比特流K_H。

进一步地，所述步骤1具体为：

令

表示由LS信道估计方法得到的第K个子载波的信道衰落系数，对N个信道衰落系数进行N点IDFT，从频域变换到时域：

n＝0,1,2,...,N-1

其中，{·}表示取值范围的集合，

表示时域中N个信道衰落系数；

接下来进行时域降噪处理，设置阈值门限α，选取L条能量大的路径，然后进行补0操作：

其中，

表示补0后的N个信道衰落系数，

最后将补0后的N个信道衰落系数进行N点DFT，从时域再变换到频域：

K＝0,1,2,...,N-1

其中，

表示经N点DFT后的N个信道衰落系数；

最终Alice和Bob可以得到信道衰落系数估计序列

和

进一步地，所述步骤2具体为：

首先应用Level-Crossing密钥提取算法，使用信道衰落系数估计序列

和

作为生成密钥的随机源，在Level-Crossing协商算法中首先通过去除介于动态调整的参考界限Bound_Up和Bound_Down之间的信道衰落系数估计值，来消除信道估计结果微小波动带来的误差，参考界限定义如下：

其中Mean表示均值，λ∈(0，1)是权重系数，StdDev是估计结果的标准差；定义一个标签函数R(x)，对其输入信道衰落系数估计序列

和

时，将所有高于参考界限Bound_Up的信道衰落系数标记为1，低于参考界限Bound_Down的值标记为0：

Alice通过分析其信道衰落系数估计结果的标签序列

从中找出所有标记结果连续相同长度不小于m的游程，用一个位置索引序列L_A来记录所有符合要求的游程的中心位置，并将这个索引序列通过公共信道发送给Bob；Bob使用相同的游程长度m，在自身信道衰落系数估计结果的标签序列

中进行查找，从中找出所有标记结果连续相同长度不小于(m-1)的游程，同样生成一个位置索引序列L_B，并将L_B通过公共信道发送给Alice；Alice和Bob利用位置索引序列L_B依次生成一串比特序列，即一致的比特流形式的原始密钥序列K_A和K_B。

进一步地，所述步骤3具体为：

合法通信双方Alice和Bob经过Level-Crossing密钥提取环节后，在本地保留了一致的比特流形式的原始密钥序列K_A和K_B，设该原始密钥序列的长度均为l，设置一个分量间隔数组d＝{d₁,d₂,…,d_M},d_k∈Z(k＝1,2,...,M)，Z表示正整数，接下来构造M维矢量，当Alice输入一个密钥比特K_A,i(i＝1,2,...,l)时，在密钥序列K_A中向后查找出序号为(i+d₁)modl，(i+d₁+d₂)modl，…，(i+d₁+…+d_M)modl的密钥比特，将这M个密钥比特输出，通过M维矢量量化能够将1位密钥比特转化成M位0、1比特流输出；对原始密钥序列K_A和K_B的每一个密钥比特都做矢量处理，得到M维量化后的密钥序列K′_A和K′_B，K′_A和K′_B的长度是K_A和K_B的M倍。

进一步地，所述步骤4具体为：

在Alice端，输入K′_A，生成在公共信道中传输的辅助信息A，以及可用作密钥的均匀分布的随机密钥Key，Alice通过公共信道将辅助信息A发送给Bob；在Bob端，对给定的辅助信息A，当输入与K′_A相似的信息K′_B时，能够重构出精确的均匀分布的随机密钥Key；最后，Alice和Bob通过SHA-1算法进行Hash处理，生成最终的密钥K_H。

本发明还提出一种基于信号强度的物理层密钥提取系统，Alice为发射端，Bob为合法接收端，Eve为窃听端，Eve处于被动窃听状态，即被动地窃听Alice和Bob之间的信息，而不对主信道产生干扰，所述系统具体包括：

信道衰落系数估计模块：用于Alice与Bob互相发送训练序列，进行双向的信道估计，应用离散傅里叶变换DFT优化的最小二乘LS信道估计算法提取RSS，得到信道衰落系数估计序列

和

原始密钥生成模块：用于Alice和Bob应用Level-Crossing密钥提取算法，将信道衰落系数估计序列

和

处理成为一致的比特流形式的原始密钥序列K_A和K_B；

矢量量化模块：用于Alice和Bob根据分量间隔数组d＝{d₁,d₂,…,d_M}，M为维数，将原始密钥序列K_A和K_B进一步处理成为M维矢量量化后的密钥序列K′_A和K′_B；

随机密钥生成模块：用于基于模糊提取器，并应用安全散列算法1，Alice和Bob将量化后的密钥序列K′_A和K′_B进行纠错和Hash处理，最终得到一致且均匀分布的随机密钥比特流K_H。

本发明还提出一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现所述基于信号强度的物理层密钥提取方法的步骤。

本发明还提出一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现所述基于信号强度的物理层密钥提取方法的步骤。

本发明引入DFT优化的LS信道估计算法，降低了带外噪声给信道估计结果带来的影响；将Level-Crossing密钥提取算法与M维矢量量化方案相结合，在保证密钥不一致率的前提下达到提升密钥生成速率的目的；引入M维矢量量化方案，在保证密钥不一致率的前提下达到提升密钥生成速率的目的；引入SHA-1算法，提升了密钥随机性。

附图说明

图1是本发明的窃听信道模型示意图；

图2是本发明的物理层密钥生成模型流程图；

图3是本发明的DFT优化的LS信道估计算法流程图；

图4是本发明的步行和车辆场景的密钥生成速率测试图；

图5是本发明的步行和车辆场景的密钥随机性测试图；

图6是本发明的DFT优化的LS信道估计算法与其他算法的对比图。

具体实施方式

下面将结合本发明实施例中的附图对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

结合图1-6，本发明提出一种基于信号强度的物理层密钥提取方法，Alice为发射端，Bob为合法接收端，Eve为窃听端，Eve处于被动窃听状态，即被动地窃听Alice和Bob之间的信息，而不对主信道产生干扰，所述方法具体包括以下步骤：

步骤1、Alice与Bob互相发送训练序列，进行双向的信道估计，应用离散傅里叶变换(Discrete Fourier Transform,DFT)优化的最小二乘(Least Square,LS)信道估计算法提取RSS，得到信道衰落系数估计序列

和

Eve处于被动窃听状态，即被动地进行信道估计，而不对主信道产生干扰，可以得到信道衰落系数估计序列

和

步骤2、Alice和Bob应用Level-Crossing密钥提取算法，将信道衰落系数估计序列

和

处理成为一致的比特流形式的原始密钥序列K_A和K_B；

步骤3、Alice和Bob根据分量间隔数组d＝{d₁,d₂,…,d_M}，M为维数，将原始密钥序列K_A和K_B进一步处理成为M维矢量量化后的密钥序列K′_A和K′_B；

步骤4、基于模糊提取器，并应用安全散列算法1(Secure Hash Algorithm-1,SHA-1)，Alice和Bob将量化后的密钥序列K′_A和K′_B进行纠错和Hash处理，最终得到一致且均匀分布的随机密钥比特流K_H。

信道特征提取阶段，采用基于导频的OFDM信道估计，应用DFT优化的LS信道估计算法。所述步骤1具体为：

令

表示由LS信道估计方法得到的第K个子载波的信道衰落系数，对N个信道衰落系数进行N点IDFT，从频域变换到时域：

n＝0,1,2,...,N-1

其中，{·}表示取值范围的集合，

表示时域中N个信道衰落系数；

接下来进行时域降噪处理，时域降噪利用了信号能量在时域比频域更为集中的特性，在OFDM系统中，信道频率响应进行IDFT变换到时域时，信道的能量会集中在前几个采样点，而噪声会在整个时域均匀分布。因此，设置阈值门限α，选取L条能量大的路径，然后进行补0操作：

其中，

表示补0后的N个信道衰落系数，

最后将补0后的N个信道衰落系数进行N点DFT，从时域再变换到频域：

K＝0,1,2,...,N-1

其中，

表示经N点DFT后的N个信道衰落系数；

最终Alice和Bob可以得到信道衰落系数估计序列

和

通过DFT处理对LS估计算法进行优化，可以降低带外噪声给信道估计结果带来的影响，使信道估计更加准确。并且实际应用中DFT和IDFT均有快速算法，实现起来比较简单。

信息调和阶段，所述步骤2具体为：

首先应用Level-Crossing密钥提取算法，使用信道衰落系数估计序列

和

作为生成密钥的随机源，在Level-Crossing协商算法中首先通过去除介于动态调整的参考界限Bound_Up和Bound_Down之间的信道衰落系数估计值，来消除信道估计结果微小波动带来的误差，参考界限定义如下：

其中Mean表示均值，λ∈(0，1)是权重系数，StdDev是估计结果的标准差；定义一个标签函数R(x)，对其输入信道衰落系数估计序列

和

时，将所有高于参考界限Bound_Up的信道衰落系数标记为1，低于参考界限Bound_Down的值标记为0：

Alice通过分析其信道衰落系数估计结果的标签序列

从中找出所有标记结果连续相同长度不小于m的游程，用一个位置索引序列L_A来记录所有符合要求的游程的中心位置，并将这个索引序列通过公共信道发送给Bob；Bob使用相同的游程长度m，在自身信道衰落系数估计结果的标签序列

中进行查找，从中找出所有标记结果连续相同长度不小于(m-1)的游程，同样生成一个位置索引序列L_B，并将L_B通过公共信道发送给Alice；Alice和Bob利用位置索引序列L_B依次生成一串比特序列，即一致的比特流形式的原始密钥序列K_A和K_B。

所述步骤3具体为：

合法通信双方Alice和Bob经过Level-Crossing密钥提取环节后，在本地保留了一致的比特流形式的原始密钥序列K_A和K_B，设该原始密钥序列的长度均为l，设置一个分量间隔数组d＝{d₁,d₂,…,d_M},d_k∈Z(k＝1,2,...,M)，Z表示正整数，接下来构造M维矢量，当Alice输入一个密钥比特K_A,i(i＝1,2,...,l)时，在密钥序列K_A中向后查找出序号为(i+d₁)modl，(i+d₁+d₂)modl，…，(i+d₁+…+d_M)modl的密钥比特，将这M个密钥比特输出，通过M维矢量量化能够将1位密钥比特转化成M位0、1比特流输出；对原始密钥序列K_A和K_B的每一个密钥比特都做矢量处理，得到M维量化后的密钥序列K′_A和K′_B，K′_A和K′_B的长度是K_A和K_B的M倍。

保密增强阶段，所述步骤4具体为：

Generate过程：在Alice端，输入K′_A，生成在公共信道中传输的辅助信息A，以及可用作密钥的均匀分布的随机密钥Key，Alice通过公共信道将辅助信息A发送给Bob；Repair过程：在Bob端，对给定的辅助信息A，当输入与K′_A相似的信息K′_B时，能够重构出精确的均匀分布的随机密钥Key；最后，Alice和Bob通过SHA-1算法进行Hash处理，生成最终的密钥K_H。

本发明还提出一种基于信号强度的物理层密钥提取系统，Alice为发射端，Bob为合法接收端，Eve为窃听端，Eve处于被动窃听状态，即被动地窃听Alice和Bob之间的信息，而不对主信道产生干扰，所述系统具体包括：

信道衰落系数估计模块：用于Alice与Bob互相发送训练序列，进行双向的信道估计，应用离散傅里叶变换DFT优化的最小二乘LS信道估计算法提取RSS，得到信道衰落系数估计序列

和

原始密钥生成模块：用于Alice和Bob应用Level-Crossing密钥提取算法，将信道衰落系数估计序列

和

处理成为一致的比特流形式的原始密钥序列K_A和K_B；

矢量量化模块：用于Alice和Bob根据分量间隔数组d＝{d₁,d₂,…,d_M}，M为维数，将原始密钥序列K_A和K_B进一步处理成为M维矢量量化后的密钥序列K′_A和K′_B；

随机密钥生成模块：用于基于模糊提取器，并应用安全散列算法1，Alice和Bob将量化后的密钥序列K′_A和K′_B进行纠错和Hash处理，最终得到一致且均匀分布的随机密钥比特流K_H。

本发明还提出一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现所述基于信号强度的物理层密钥提取方法的步骤。

本发明还提出一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现所述基于信号强度的物理层密钥提取方法的步骤。

下面对本发明的保密通信方法的安全性能进行验证。

仿真场景分为两种，步行场景和车辆场景，上行链路和下行链路采用时分双工(Time Division Duplexing,TDD)的方式。其中步行场景的多普勒频移为4Hz，车辆场景的多普勒频移为178Hz。

图4为密钥生成速率测试结果图。可以看到车辆信道模型的密钥生成速率远远大于步行信道模型的密钥生成速率，这是因为在密钥熵的限制下，密钥生成速率是与信道的多普勒频移成正相关的。随着信噪比(Signal to Noise Ratio,SNR)的增加，两个场景下的密钥生成速率显著提高，这是由于随着SNR的提高，在密钥协商过程中，密钥位置信息出现差错的可能性会下降，使得原始密钥更多的保留，从而提高了密钥协商成功的概率。

图5为密钥随机性测试结果图。在国际科学标准研究机构(National Instituteof Standards and Technology,NIST)测试中，给出了PI值作为衡量输入序列随机性的指标，当PI值大于0.01，序列具有很好的随机性。可以看到，不论是在车辆场景还是在步行场景中，物理层在信道不相干的时间内提取的密钥具有随机性，从而验证了信道的变化具有随机性，可以作为物理层密钥提取的天然随机源。车辆场景的随机性要大于步行场景的随机性，这是因为，信道的多普勒频移越大，相同时间内两次信道估计结果的相关性越低，从而生成密钥的信息熵越大。

图6为DFT优化的LS信道估计算法测试结果图。在SNR＝10dB条件下，采用DFT优化的LS信道估计算法对802.11a的5抽头模型进行仿真，并与其他算法相对比。可以看出，通过DFT的优化，可以降低带外噪声针对信道估计结果的影响，弥补了噪声干扰对于算法本身带来的影响。

以上对本发明所提出的一种基于信号强度的物理层密钥提取方法、系统、设备和介质进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (8)

1.一种基于信号强度的物理层密钥提取方法，Alice为发射端，Bob为合法接收端，Eve为窃听端，Eve处于被动窃听状态，即被动地窃听Alice和Bob之间的信息，而不对主信道产生干扰，其特征在于：所述方法具体包括以下步骤：

步骤1、Alice与Bob互相发送训练序列，进行双向的信道估计，应用离散傅里叶变换DFT优化的最小二乘LS信道估计算法提取RSS，得到信道衰落系数估计序列

和

步骤2、Alice和Bob应用Level-Crossing密钥提取算法，将信道衰落系数估计序列

和

处理成为一致的比特流形式的原始密钥序列K_A和K_B；

步骤3、Alice和Bob根据分量间隔数组d＝{d₁,d₂,…,d_M}，M为维数，将原始密钥序列K_A和K_B进一步处理成为M维矢量量化后的密钥序列K′_A和K′_B；

步骤4、基于模糊提取器，并应用安全散列算法1，Alice和Bob将量化后的密钥序列K′_A和K′_B进行纠错和Hash处理，最终得到一致且均匀分布的随机密钥比特流K_H。

2.根据权利要求1所述的方法，其特征在于：所述步骤1具体为：

令

表示由LS信道估计方法得到的第K个子载波的信道衰落系数，对N个信道衰落系数进行N点IDFT，从频域变换到时域：

其中，{·}表示取值范围的集合，

表示时域中N个信道衰落系数；

接下来进行时域降噪处理，设置阈值门限α，选取L条能量大的路径，然后进行补0操作：

其中，

表示补0后的N个信道衰落系数，

最后将补0后的N个信道衰落系数进行N点DFT，从时域再变换到频域：

其中，

表示经N点DFT后的N个信道衰落系数；

最终Alice和Bob可以得到信道衰落系数估计序列

和

3.根据权利要求2所述的方法，其特征在于：所述步骤2具体为：

首先应用Level-Crossing密钥提取算法，使用信道衰落系数估计序列

和

作为生成密钥的随机源，在Level-Crossing协商算法中首先通过去除介于动态调整的参考界限Bound_Up和Bound_Down之间的信道衰落系数估计值，来消除信道估计结果微小波动带来的误差，参考界限定义如下：

其中Mean表示均值，λ∈(0，1)是权重系数，StdDev是估计结果的标准差；定义一个标签函数R(x)，对其输入信道衰落系数估计序列

和

时，将所有高于参考界限Bound_Up的信道衰落系数标记为1，低于参考界限Bound_Down的值标记为0：

Alice通过分析其信道衰落系数估计结果的标签序列

从中找出所有标记结果连续相同长度不小于m的游程，用一个位置索引序列L_A来记录所有符合要求的游程的中心位置，并将这个索引序列通过公共信道发送给Bob；Bob使用相同的游程长度m，在自身信道衰落系数估计结果的标签序列

中进行查找，从中找出所有标记结果连续相同长度不小于(m-1)的游程，同样生成一个位置索引序列L_B，并将L_B通过公共信道发送给Alice；Alice和Bob利用位置索引序列L_B依次生成一串比特序列，即一致的比特流形式的原始密钥序列K_A和K_B。

4.根据权利要求3所述的方法，其特征在于：所述步骤3具体为：

合法通信双方Alice和Bob经过Level-Crossing密钥提取环节后，在本地保留了一致的比特流形式的原始密钥序列K_A和K_B，设该原始密钥序列的长度均为l，设置一个分量间隔数组d＝{d₁,d₂,…,d_M},d_k∈Z(k＝1,2,...,M)，Z表示正整数，接下来构造M维矢量，当Alice输入一个密钥比特K_A,i(i＝1,2,...,l)时，在密钥序列K_A中向后查找出序号为(i+d₁)mod l，(i+d₁+d₂)mod l，…，(i+d₁+…+d_M)mod l的密钥比特，将这M个密钥比特输出，通过M维矢量量化能够将1位密钥比特转化成M位0、1比特流输出；对原始密钥序列K_A和K_B的每一个密钥比特都做矢量处理，得到M维量化后的密钥序列K′_A和K′_B，K′_A和K′_B的长度是K_A和K_B的M倍。

5.根据权利要求4所述的方法，其特征在于：所述步骤4具体为：

在Alice端，输入K′_A，生成在公共信道中传输的辅助信息A，以及可用作密钥的均匀分布的随机密钥Key，Alice通过公共信道将辅助信息A发送给Bob；在Bob端，对给定的辅助信息A，当输入与K′_A相似的信息K′_B时，能够重构出精确的均匀分布的随机密钥Key；最后，Alice和Bob通过SHA-1算法进行Hash处理，生成最终的密钥K_H。

6.一种基于信号强度的物理层密钥提取系统，Alice为发射端，Bob为合法接收端，Eve为窃听端，Eve处于被动窃听状态，即被动地窃听Alice和Bob之间的信息，而不对主信道产生干扰，其特征在于：所述系统具体包括：

信道衰落系数估计模块：用于Alice与Bob互相发送训练序列，进行双向的信道估计，应用离散傅里叶变换DFT优化的最小二乘LS信道估计算法提取RSS，得到信道衰落系数估计序列

和

原始密钥生成模块：用于Alice和Bob应用Level-Crossing密钥提取算法，将信道衰落系数估计序列

和

处理成为一致的比特流形式的原始密钥序列K_A和K_B；

矢量量化模块：用于Alice和Bob根据分量间隔数组d＝{d₁,d₂,…,d_M}，M为维数，将原始密钥序列K_A和K_B进一步处理成为M维矢量量化后的密钥序列K′_A和K′_B；

随机密钥生成模块：用于基于模糊提取器，并应用安全散列算法1，Alice和Bob将量化后的密钥序列K′_A和K′_B进行纠错和Hash处理，最终得到一致且均匀分布的随机密钥比特流K_H。

7.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至5中任一项所述方法的步骤。

8.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至5中任一项所述的方法的步骤。

Images