一种基于矢量量化的高效随机物理层密钥产生方法

摘要

本发明公开了一种基于矢量量化的高效随机物理层密钥产生方法。根据本发明，无线网络通信甲乙双方分别同时探测无线信道的RSS信息并传输给对方，无线网络通信甲乙双方同时采取不一致性去除、矢量量化和模糊提取步骤进行操作，最终得到相同的比特流作为加密密钥使用。本发明的比特生成率可以达到284%，可以为无线网络环境下通信双方的认证加密算法快速提供随机的比特流作为加密密钥；通信双方可以达到零误码率，可以保证通信双方可靠地生成完全一致的比特流作为加密密钥，保证了本发明在运用过程中的稳定性；本发明产生的比特流可以通过NIST随机性测试，可以产生随机的比特流作为密钥，保证了通信双方的安全通信。

说明书

技术领域

该发明属于无线网络安全领域，涉及一种从物理层高效随机地生成用于 密码算法的安全密钥的方法以及相关装置。一般来说，该发明可以满足无线网络 安全领域对安全密钥的产生速度和安全强度的要求。

背景技术

各种各样的无线设备已经成为我们日常生活中不可或缺的一部分，通过 这些设备我们可以进行信息共享和数据交换。例如，一组游客需要通过点对点的 连接来共享图片、视频等资源，同时又要防止别人来访问这些资源。为了能安全 地部署和采用这些应用，确保数据传输的保密性、完整性以及认证性就显得尤为 重要。

无线网络的广播特性使其面临比有线网络更大的安全问题，攻击者可以 更容易的窃听或截取合法节点的通信内容，无线设备可以被修改或被假冒以进行 一些恶意行为。

现有的无线加密体系在某些场景存在着许多不足之处，具体如下：

（1）现有的802.11安全技术为数据帧提供了认证和保密机制，但管理 帧和控制帧不受保护。

（2）现有安全系统的理论基础是数学上的困难问题（如大整数分解问题 和离散对数计算问题）。随着计算技术的发展，特别是量子计算机的出现，攻击 者的计算能力大幅提升，这些基于计算复杂性的密码技术的安全性就会降低。

（3）大多数的密码技术，特别是公钥密码有较高的复杂性和计算要求， 所以不适合应用于低配的分布式无线网络中。

（4）传统的基于共享密钥的安全机制需要密钥管理、分发、更新和维护， 随着节点个数的增加，所需密钥个数呈指数级增加，密钥分发和更新的工作量会 非常大。而在Ad hoc网络中，节点频繁加入和离开网络，这使得密钥管理更加 困难。

基于以上原因，引入物理层安全来增强无线网络安全的方案受到了越来 越多的关注。物理层密钥是基于信息论安全的，它能够降低密钥分配和更新的难 度，实现跨层安全，提高现有的密钥体系的安全性。

从物理层产生密钥的方案需要以物理层信道信息为基础。这些信息包括 到达角度、相位、接收信号强度（RSS）、信道脉冲响应(CIR)、信号包络和电平 交叉点等。其中，接收信号强度(RSS)是生成密钥的常用方法，这是因为RSS可 以由现有的网卡直接获取。

一般来说，衡量物理层密钥产生方法优劣的标准包括以下三种：

（1）比特生成率：单个RSS最终生成的密钥比特数；

（2）密钥误码率：通信双方生成密钥中不匹配密钥的位数与密钥总长度 的比值；

（3）密钥随机性：生成密钥的二进制流中0和1分布的均匀程度。

当前，无线网络安全领域存在的物理层密钥产生方法都存在相同的问题， 即这些方法都不能同时满足高比特生成率、低误码率、高随机性的要求。它们大 都牺牲比特生成率以降低误码率，而低效率的密钥生成方法导致节点需要消耗大 量能量来反复探测信道以产生足够长度的密钥。

发明内容

鉴于现有技术的不足，本发明旨在提供一种基于矢量量化的高效随机物 理层密钥产生方法，快速地产生随机的比特流为无线环境下通信双方加密和认证 提供可靠的密钥。

为了实现上述目的，本发明采用的技术方案如下：

一种基于矢量量化的高效随机物理层密钥产生方法，无线网络通信甲乙 双方分别同时探测无线信道的RSS信息并传输给对方，无线网络通信甲乙双方 同时采取不一致性去除、矢量量化和模糊提取步骤进行操作，最终得到相同的比 特流作为加密密钥使用。

所述方法包括如下步骤：

步骤1、不一致性去除：去除由于传输信道半双工或周围噪声引起的不 一致信道信息；

步骤2、矢量量化：将RSS根据平均线划分成两个区间，最终把不连续 的RSS值转化为0、1比特流；

步骤3、模糊提取：无线网络通信双方利用模糊提取器对生成比特流中 不一致的位进行纠错并输出相同的比特流作为加密密钥。

进一步，不一致性去除阶段（步骤1）包括如下步骤：

步骤1.1、输入：收集到的RSS数组X＝{x₁,x₂,…,x_k}，x_i∈Z；

步骤1.2、分块：对RSS值进行分块，将块称为block，k个RSS值将分 属于不同的block中，令每个block的长度为b，假设共有t个block；

步骤1.3、用标签函数R(x_i)对RSS值进行量化，将没有被量化的RSS值 抛弃；

步骤1.4、定义m为矫正因子，无线网络通信甲方根据标签函数生成0、 1序列，遇到连续m位相同的0或1，则将中间位的序号记录在L_{a_to_b}数组中， 生成L_{a_to_b}＝{l₁,l₂,…,l_a}，并发送给无线网络通信乙方；

步骤1.5、无线网络通信乙方根据标签函数生成0、1序列，遇到连续m 位相同的0或1，则将中间位的序号记录在L_{b_to_a}数组中，并与L_{a_to_b}数组进行 对比，剔除不一致的序号，生成新的L_{b_to_a}数组并发送给无线网络通信甲方。

需要说明的是，所述标签函数R(x_i)为：

其中，参考界限数组为$Q+=\{q_1^{+},q_2^{+},...,q_t^{+}\}$和$Q-=\{q_1^{-},q_2^{-},...,q_t^{-}\},$$q_i^{+}={\mathrm{mean}}_i+\alpha *\mathrm{std}\_{\mathrm{derivation}}_i,q_i^{-}={\mathrm{mean}}_i-\alpha *\mathrm{std}\_{\mathrm{derivation}}_i,$mean_i为第i 个block的RSS平均值，α是波动因子且α∈(0,1)，std_derivation_i是第i个block 的RSS标准差。

进一步，矢量量化阶段（步骤2）包括如下步骤：

步骤2.1、输入经过不一致性去除后的有效RSS数组Y和矢量量化的维 数N；

步骤2.2、对于数组Y中的每个y_i都建立N维矢量；

步骤2.3、对每个y_i都应用N维矢量量化器Q_N(y_i)，将量化后产生的0、 1比特流作为输出。

需要说明的是，所述步骤2.1中的RSS数组Y为：Y＝{y₁,y₂,…,y_d}，y_i∈Z， Y数组中的RSS值为L_{b_to_a}数组中每个序号所对应的RSS值。

需要说明的是，所述步骤2.2中为y_i建立的N维矢量为： $<y_i,y_{(i+{\Delta }_1)\mathrm{mod}d},y_{(i+{\Delta }_1+{\Delta }_2)\mathrm{mod}d},...,y_{(i+{\Delta }_1+...+{\Delta }_{N-1})\mathrm{mod}d}>$其中，Δ＝{Δ₁,Δ₂,…,Δ_N-1}是N 维矢量中N个分量的分量间隔，Δ_j是第j个分量和第j+1个分量之间的序号间隔。

需要进一步说明的是，所述步骤2.3中的N维矢量量化器Q_N(y_i)为： $Q_N\left(y_i\right)=R\left(y_i\right)R\left(y_{(i+{\Delta }_1)\mathrm{mod}d}\right)...R\left(y_{(i+{\Delta }_1+...+{\Delta }_{N-1})\mathrm{mod}d}\right),$其中，y_i为N维矢量量化器输 入的RSS值。

模糊提取过程（步骤3）中，模糊提取器可以定义为：<Gen,Rep>，参 数为(M,l,t)，其中，过程Gen为概率生成过程，过程Rep为确定性恢复过程， M为输入比特流集合，l为输入比特流长度，t为无线网络通信甲方和无线网络 通信乙方输入的消息之间的最大距离限制。

所述过程Gen首先由无线网络通信甲方进行操作，然后将输出的参数P 传递给无线网络通信乙方，无线网络通信乙方再按照过程Rep操作，无线网络通 信甲方和无线网络通信乙方产生完全一致的随机秘密信息R作为加密密钥。

过程Gen为：(R,P)←Gen(w₀)，其中，输入参数w₀为长度为l的比特流， 输出参数R为长度为l的随机秘密信息，输出参数P为公开信息。

过程Rep为：R←Rep(w',P)，其中，输入参数w'为长度为l且与w₀的距 离不大于t的比特流，输入参数P为过程Gen生成的用于纠错的公开信息，输出 参数R为长度为l的与Gen过程相同的随机秘密信息。

需要说明的是，过程Gen可以优先采用如下方法实现但不局限于如下方 法：利用BCH纠错码对w₀就行纠错，产生的纠错码作为P，利用SHA-1算法对 w₀进行哈希处理，哈希的输入与输出长度比为1:1，生成随机性强的密钥作为R。

需要说明的是，过程Rep可以优先采用如下方法实现但不局限于如下方 法：利用BCH纠错码和Gen过程中产生的纠错序列P对w'进行纠错，恢复出w₀序列，利用SHA-1算法对w₀进行哈希处理，哈希的输入与输出长度比为1:1，生 成随机性强的密钥作为R。

本发明有益效果在于：

（1）本发明的比特生成率可以达到284%，即平均每个RSS值可以产生 2.84个比特，可以为无线网络环境下通信双方的认证加密算法快速提供随机的比 特流作为加密密钥；

（2）本发明在应用中，通信双方可以达到零误码率，可以保证通信双方 可靠地生成完全一致的比特流作为加密密钥，保证了本发明在运用过程中的稳定 性；

（3）本发明产生的比特流通过了NIST随机性测试，可以为认证加密算 法提供随机的比特流作为加密密钥，保证了通信双方的安全通信。

附图说明

图1为本发明的流程示意图；

图2为二维矢量量化示意图；

图3为模糊提取器的构造示意图。

具体实施方式

下面将结合附图和实施例对本发明作进一步的描述。

如图1所示，本发明是移动环境下一种基于矢量量化的高效随机物理层 密钥产生方法，无线网络通信双方Alice和Bob分别同时探测无线信道的RSS 信息并传输给对方，双方同时采取本方法进行操作，最终得到相同的比特流作为 加密密钥使用。

所述方法包括如下步骤：

步骤1、不一致性去除：去除由于传输信道半双工或周围噪声引起的不 一致信道信息；

步骤2、矢量量化：将RSS根据平均线划分成两个区间，最终把不连续 的RSS值转化为0、1比特流；

步骤3、模糊提取：双方利用模糊提取器对生成比特流中不一致的位进 行纠错并输出相同的比特流作为加密密钥。

进一步，不一致性去除阶段（步骤1）包括如下步骤：

步骤1.1、输入：收集到的RSS数组X＝{x₁,x₂,…,x_k}，x_i∈Z；

步骤1.2、分块：对RSS值进行分块，将块称为block，k个RSS值将分 属于不同的block中，令每个block的长度为b，假设共有t个block；

步骤1.3、用标签函数R(x_i)对RSS值进行量化，将没有被量化的RSS值 抛弃；

步骤1.4、定义m为矫正因子，Alice根据标签函数生成0、1序列，遇 到连续m位相同的0或1，则将中间位的序号记录在L_{a_to_b}数组中，生成 L_{a_to_b}＝{l₁,l₂,…,l_a}，并发送给Bob；

步骤1.5、Bob根据标签函数生成0、1序列，遇到连续m位相同的0或 1，则将中间位的序号记录在L_{b_to_a}数组中，并与L_{a_to_b}数组进行对比，剔除不 一致的序号，生成新的L_{b_to_a}数组并发送给Alice。

需要说明的是，所述标签函数R(x_i)为：

其中，参考界限数组为$Q+=\{q_1^{+},q_2^{+},...,q_t^{+}\}$和$Q-=\{q_1^{-},q_2^{-},...,q_t^{-}\},$$q_i^{+}={\mathrm{mean}}_i+\alpha *\mathrm{std}\_{\mathrm{derivation}}_i,q_i^{-}={\mathrm{mean}}_i-\alpha *\mathrm{std}\_{\mathrm{derivation}}_i,$mean_i为第i 个block的RSS平均值，α是波动因子且α∈(0,1)，std_derivation_i是第i个block 的RSS标准差。

进一步，矢量量化阶段（步骤2）包括如下步骤：

步骤2.1、输入经过不一致性去除后的有效RSS数组Y和矢量量化的维 数N；

步骤2.2、对于数组Y中的每个y_i都建立N维矢量；

步骤2.3、对每个y_i都应用N维矢量量化器Q_N(y_i)，将量化后产生的0、 1比特流作为输出。

需要说明的是，所述步骤2.1中的RSS数组Y为：Y＝{y₁,y₂,…,y_d}，y_i∈Z， Y数组中的RSS值为L_{b_to_a}数组中每个序号所对应的RSS值。

需要说明的是，所述步骤2.2中为每个y_i建立的N维矢量为： $<y_i,y_{(i+{\Delta }_1)\mathrm{mod}d},y_{(i+{\Delta }_1+{\Delta }_2)\mathrm{mod}d},...,y_{(i+{\Delta }_1+...+{\Delta }_{N-1})\mathrm{mod}d}>$其中，Δ＝{Δ₁,Δ₂,…,Δ_N-1}是N 维矢量中N个分量的分量间隔，Δ_j是第j个分量和第j+1个分量之间的序号间隔。

需要进一步说明的是，所述步骤2.3中的N维矢量量化器Q_N(y_i)为： $Q_N\left(y_i\right)=R\left(y_i\right)R\left(y_{(i+{\Delta }_1)\mathrm{mod}d}\right)...R\left(y_{(i+{\Delta }_1+...+{\Delta }_{N-1})\mathrm{mod}d}\right),$其中，y_i为N维矢量量化器输 入的RSS值。

二维矢量量化如图2所示，当输入为y_i时，以Δ_i为间隔向后找到第二个 分量组成二维矢量并根据这两个分量计算出标签函数 输出值R(y_i)和这两位的标签输出值为01，01 即为y_i的二维矢量量化的输出。

如图3所示，模糊提取过程（步骤3）中，模糊提取器可以定义为： <Gen,Rep>，参数为(M,l,t)，其中，过程Gen为概率生成过程，过程Rep为确 定性恢复过程，M为输入比特流集合，l为输入比特流长度，t为Alice和Bob 输入的消息之间的最大距离限制。

所述过程Gen首先由Alice进行操作，然后将输出的参数传递给Bob， Bob再按照过程Rep操作，Alice和Bob产生完全一致的随机秘密信息R作为加 密密钥。

过程Gen为：(R,P)←Gen(w₀)，其中，输入参数w₀为长度为l的比特流， 输出参数R为长度为l的随机秘密信息，输出参数P为公开信息。

过程Rep为：R←Rep(w',P)，其中，输入参数w'为长度为l且与w₀的距 离不大于t的比特流，输入参数P为Gen过程生成的用于纠错的公开信息，输出 参数R为长度为l的与Gen过程相同的随机秘密信息。

实施例

在本实施例中，通信双方Alice和Bob分别运行在两台PC上，搭载的操 作系统均为ubuntu12.04，都使用相同型号的网卡Atheros TL-WN650G，由 Madwifi驱动，工作在802.11g模式下收发包。在本实施过程中，我们对Madwifi 进行了修改，添加了对beacon帧的回复，beacon_ack帧携带与beacon帧相同的 序列号，通过序列号的匹配，通信双方可以完成RSS的配对，beacon_ack的长 度为49字节。Bob在Alice周围来回移动并以100ms为间隔向Alice发送beacon 帧，Alice收到beacon帧后会记录下序列号和对应的RSS值，并立刻给Bob发 送一个beacon_ack的确认帧。Bob收到确认帧后，同样记录下序列号和对应的 RSS值。在本实施例中，共收集到了120000个RSS。

步骤一，不一致性去除。

由于Alice和Bob在测量RSS值时会出现一些误差，双方的波动幅度不 总是一样的，所以将RSS分块处理，针对每一块计算量化上下限，可以使每个 块内Alice和Bob的RSS相似度更高，从而降低误码率。在本实施例中，RSS 序列分块的大小block取值为80。

波动因子α是降低误码率的重要影响因素，α越大（小），参考界限Q⁺和 Q^-距离平均线的距离越远（近），存在微小偏差的点被剔除的概率就越高（低）， 误码率会下降（上升），但同时两个参考界限之间的被舍弃的点也就越多（少）， 会造成比特生成率下降（上升）。在本实施例中，α取值为0.2。

矫正因子m越大，满足连续m位都大于Q⁺或小于Q^-的点越少，协商生 成的有效RSS值就越少，所以随着m增加比特生成率会大幅减小，而m增加意 味着连续m位RSS大幅跳变的情况减少，所以误码率会相应下降；反之，m减 小则有效的RSS数目会大大增加，比特生成率增加，而连续m位大幅跳变的情 况增加，误码率减小，在本实施例中，m取值为2。

步骤二，矢量量化。

N维矢量量化代表了一位有效RSS的输入对应生成N个比特的输出，所 以N越大比特输出越长，可供生成密钥的比特流越大，最终使得比特生成率增 大。但是N越大意味着比特重用的数目增多，比特之间的独立性减小，随机性 减弱。在本实施例中，选取Δ₁＝Δ₂＝…＝Δ_N-1＝60，此时每个RSS对应的矢量 映射到N维空间坐标轴上的分布比较均匀，此外Δ的选取对比特生成率和误码率 均没有影响。

步骤三，模糊提取。

在本实施例中，进行模糊提取的过程如下：

（1）Alice通过矢量量化生成比特流w₀，作为Gen的输入，通过 BCH(23,12)纠错编码生成纠错序列P，并对w₀进行SHA-1哈希生成随机性强的 密钥，哈希的输入与输出长度比为1:1。

（2）Alice将纠错序列P发送给Bob，Bob使用P对自己量化生成的比 特流w'进行纠错，恢复出w₀序列，然后同样进行SHA-1哈希生成相同的随机密 钥。

在该过程中选取的BCH(23,12)原码长度为12，纠错码长度为11，它的 最小码距为7，可以纠正3个错误。我们将比特流分成每12位一组，生成对应 的11位纠错码发送给通信的对方，这11位纠错码可最多纠正12位原码中的3 位错误。经过BCH码纠错后，Alice和Bob生成的密钥完全一致，不存在任何 错误比特，达到零误码率。

对于本领域的技术人员来说，可根据以上描述的技术方案以及构思，做出 其它各种相应的改变以及变形，而所有的这些改变以及变形都应该在本发明权利 要求的保护范围之内。