随着无线网络的飞速发展以及无线设备的大量使用，无线通信中的安全问题引起了人们的广泛关注。由于无线通信的广播特性，很容易受到窃听、消息篡改、节点冒充等攻击。为了实现信息的可靠性、完整性和认证性，必须在通信之前实现密钥的安全分配。一方面，由于无线设备往往是电池供能，且计算能力较弱，这使得现有的基于传统密码学方法的密钥分配协议(现有的密钥分配协议通常采用可信第三方体系或者公钥体系，如常用的Diffie- Hellman协议^[1]，其特点是计算量大、能耗高)面临着巨大的挑战。另一方面，随着计算机的高速发展以及云计算^[2]等新领域的兴起，敌手可获取的计算能力不断提高，这也使得基于计算安全的密钥分配算法不再满足人们对安全的需求。因此，寻求一种计算量小、能耗低且安全性高的密钥分配协议已显得尤为重要。

1 基于物理层的密钥分配协议概述

目前，基于物理层的密钥分配协议^[3-10]是解决无线安全中上述难题的可行方法之一。该方法利用通信双方的无线信道特征^[3]，通过测量刻画信道多径效应的物理量(如信道增益、相位平移、接收信号强度等)产生密钥。这些信道特征包括：1)无线信道的时变性：由于多径效应使得信道衰落随着时间而随机变化，且具有较强的随机性；2)无线信道的空变性：在不同空间位置两个链接的终端的无线信道是独立的；3)无线信道的自反性：无线信道的多径特征(如信道增益、相位平移、时延等)在链路的两个方向都是相关的、一致的。基于上述观察，发现在无线通信中存在自然的“随机源”(无线信道的物理特征：信道增益、相位平移、时延等)用于密钥提取，且利用这种随机源能够帮实现信息论安全。

现存的基于物理层的密钥提取方案存在着诸多限制，如密钥率低、密钥熵值低、依赖节点或者环境的移动性。目前最高的密钥生成效率只有40 bits/s^[7]，达到这一效率要求节点的移动性，且在协议双方还造成了4%的比特错误。造成这一现象的原因是现存的协议依赖信道变化，即如果信道不发生变化就不能产生新的密钥。在静止的环境中信道变化是非常缓慢的，这就使得这些协议不能应用在静止的环境中。根据分析^[5]，在静止的环境中窃听者可以判断出密钥信息，这使得密钥的安全性得不到保障。文献[11]引入了一种信道独立的物理层方法来提高信道的变化率。该协议的安全性是基于OFDM系统的数据传输的统计特性实现的，所以该协议并不适用于其他通信系统。

为了解决这一问题，文献[12]提出了通过两根天线改变信道的随机性来提高密钥速率。该协议同时假设敌手也是多天线的，且对敌手天线的数量没有限制。本文中通过实验数据分析指出，对于多天线的敌手，该协议是安全的。但作者并没有证明该协议是信息论安全的。那么该协议是否能在信息论安全的前提下提高密钥生成效率呢？

本文从信息论的角度出发，通过理论证明：文献[12]所提出协议在多天线敌手的前提下，协议中通过改变信道的随机性并不能增加密钥的信息熵。因此，该协议不能实现信息论安全的同时提高密钥生成效率的理论上界。故该协议不是信息论安全的。

2 基于虚拟信道的密钥生成协议 2.1 系统模型

无线通信中，合法用户Alice和Bob在敌手Eve窃听信道的情况下，要实现安全对称密钥的分发来达到安全通信。本文假设Eve知道合法用户间的通信协议，且可以对接收到的信号所在的信道进行信道测量^[13]；同时假设Alice具有两根天线，Bob有一根天线，而Eve具有多根天线，如图 1^[12]所示，将天线按顺序1, 2, …, k编号。假设通信方式为窄带通信，其结果可以自然地推广到宽带通信。还假设通信信道是相互关联的，即前向信道(从Alice到Bob)和反向信道(从Bob到Alice)的信道增益在相干时间内是相等的。记${h_{13}}$和${h_{23}}$分别是从Alice的天线1和天线2到Bob的天线3的信道增益，${h_{1k}}$和${h_{2k}}$表示从Alice到Eve的天线k的信道增益。

信道探测方式：当发送方Alice发送已知探测包x[m]，Alice用$\sqrt \alpha {{\rm{e}}^{{\rm{j}}{\theta _1}}}$乘以x[m]在天线1上发射，同时用$\sqrt {1 - \alpha } {{\rm{e}}^{{\rm{j}}{\theta _2}}}$x[m]在天线2上发射，其中$\alpha \in [0,1]$，${\theta _1},{\theta _2} \in [0,2{\rm{ \mathsf{ π} }}]$。此时，接收方Bob接收的信号可以表示为：

${y_{{\rm{AB}}}}[m] = (\sqrt \alpha {{\rm{e}}^{{\rm{j}}\theta {{\kern 1pt} _1}}}{h_{{\kern 1pt} 13}} + \sqrt {1 - \alpha } {{\rm{e}}^{{\rm{j}}{\theta _{{\kern 1pt} 2}}}}{h_{{\kern 1pt} 23}})x[m] + {\omega _{{\rm{AB}}}}$

(1)

式中，${\omega _{{\rm{AB}}}}$表示在Alice和Bob之间的两个信道的高斯白噪声之和，其分布服从期望为0方差为$\sigma _\omega ^{\rm{2}}$的高斯分布$N{\rm{(0,}}\sigma _\omega ^{\rm{2}}{\rm{)}}$。

为了简化模型，本文只考虑小尺度衰落，没有考虑路径长度对协议的影响，但结论同样适用于大尺度衰落。

同时，敌手Eve的第k根天线所接收到的信号可表示为：

$ {y_{{\rm{A}}{{\rm{E}}^{{\kern 1pt} k}}}}[m] = (\sqrt \alpha {{\rm{e}}^{{\rm{j}}\theta {{\kern 1pt} _1}}}h{{\kern 1pt} _{1k}} + \sqrt {1 - \alpha } {{\rm{e}}^{{\rm{j}}\theta {{\kern 1pt} _2}}}{h_{{\kern 1pt} 2k}})x[m] + {\omega _{{\rm{A}}{{\rm{E}}^{{\kern 1pt} k}}}} $

(2)

式中，${\omega _{{\rm{A}}{{\rm{E}}^{{\kern 1pt} k}}}}$表示在Alice和Eve的第k根天线之间的两个信道的高斯白噪声之和，其分布服从高斯分布$N{\rm{(0,}}\sigma _\omega ^{\rm{2}}{\rm{)}}$。

从式(1)可以得出，Alice的两根天线到Bob合成的信道增益可以表示为：

$ {\mathit{\boldsymbol{h}}_{{\rm{AB}}}} = \sqrt \alpha {{\rm{e}}^{{\rm{j}}{\theta _1}}}{h_{13}}{\rm{ + }}\sqrt {1 - \alpha } {{\rm{e}}^{{\rm{j}}{\theta _2}}}{h_{23}} $

(3)

称${\mathit{\boldsymbol{h}}_{{\rm{AB}}}}$为虚拟信道增益。

2.2 密钥生成协议

关于基于虚拟信道的密钥生成协议的详细阐述，请参考文献[12]。该协议主要包括虚拟信道测量和测量值的量化两个阶段。

虚拟信道测量阶段：首先，Alice确定L组三维向量$(\alpha ,{\theta _1},{\theta _2})$，从而利用这些向量构成虚拟信道增益：

${\mathit{\boldsymbol{h}}_{{\rm{AB}}}} = [{h_{{\rm{AB}}}}(1),{h_{{\rm{AB}}}}(2), \cdots \;,{h_{{\rm{AB}}}}(L)]$

(4)

其次，对每一组$(\alpha ,{\theta _1},{\theta _2})$，Alice利用上节所述的信道探测方式向Bob发送长度为M的复探测信号X；最后，对于每一组$(\alpha ,{\theta _1},{\theta _2})$，Bob接收到分量如式(1)所示的M长信号序列，并利用基于训练的信道评估方法^[13]测量出虚拟信道增益。Bob得到的虚拟信道增益记为：

$ \mathit{\boldsymbol{h}}_{{\rm{AB}}}^* = [h_{{\rm{AB}}}^*(1),h_{{\rm{AB}}}^*(2), \cdots \;,h_{{\rm{AB}}}^*(L)] $

(5)

测量值的量化阶段：记$r$为向量[h₁₃，h₂₃]的模长。将以原点为中心$r$为半径的复圆面分割成如图 2^[12]所示的16个区域。其中，第6、7、10区域是边长为0.25的正方形。Alice首先在16个区域中随机(均匀的)选择一个区域，然后在该区域中随机(均匀的)选择一个点作为虚拟信道增益，最后，确定一组三维向量$(\alpha ,{\theta _1},{\theta _2})$来合成这个点。Bob通过信道测量把每个测量值对应到相应的区域。Alice和Bob利用Gary编码把区域编号映射成比特流。

3 信息论安全基础 3.1 信息熵与互信息

在信息论中，信息熵刻画了一个随机变量的不确定程度。记$X$是一个连续型随机变量，则$X$的信息熵$H(X)$如下所示：

$ H(X) = \int_S {f(X)} \log f(x){\rm{d}}x $

式中，$f(X)$表示变量的概率密度函数；$S$表示变量的支撑集。给定随机变量$Y$的条件下，变量$X$的条件熵记为$H(X|Y) = H(X,Y) - H(Y)$。随机变量$X$和$Y$的互信息$I(X,Y) = H(X) - H(X|Y)$。在给定随机变量$Z$的条件下，随机变量$X$和$Y$的互信息记为$I(X,Y|Z) = H(X|Z) - H(X|Y,Z)$。

3.2 信息论安全

传统的密码学的安全性都是基于某一个计算假设，称之为计算安全，如常用公钥密码体系RSA，其安全性是基于“大整数的因式分解是NP问题”。计算安全的弱点包括：1)假设敌手的计算能力是有限的。当敌手的计算能力在假设的范围内，系统是安全的；当敌手的计算能力高于假设，则系统将不再安全。2)计算安全的安全性验证是基于复杂性理论，而一个问题的复杂度是由最极端的情况决定的，即存在这样的情况：虽然问题的复杂度很高，但对于该问题的某些情况甚至很大一部分情况的复杂度却是比较低的。3)随着“云计算”的不断发展，人们所拥有计算能力也在不断提高，这对计算安全的系统是一个巨大的挑战。4)量子计算的飞速发展，使得基于量子计算模型的量子计算机逐步成为可能。大量研究证明在图灵机模型下许多NP问题在量子计算模型下具有快速算法。

如果一个密码体系从信息论的角度是安全的，称之为信息论安全^[14]。信息论安全的密码体系假设敌手具有无限计算能力，也称之为无条件安全。显然，信息论安全是比计算安全更强的安全定义。

定义1  称随机变量$M$在一个通信系统中是信息论安全的，当且仅当$I(M;X) = 0$。其中，$X$表示敌手的观察到的随机变量。

4 基于信息论的攻击分析

文献[15]给出了基于物理层安全的密钥分配协议的生成密钥率的理论上界。这里的密钥率指的是单位时间内生成密钥的比特数。该上界可表示为：在给定敌手Eve已知信息的条件下，Alice和Bob在单位时间内的所得到的信息的条件互信息。

如果将传统的基于多天线的物理层的密钥分配协议^[16]应用到本文中的通信模型(即Alice两根天线，Bob一根天线)，容易证明其理论上界为：

$ \frac{1}{{{T_{\rm{C}}}}}[H({h_{13}}) + H({h_{23}})] $

式中，${T_{\rm{C}}}$为相干时间。

当敌手Eve的天线数目大于等于$2$时，Eve可以通过信道监听来获取得有用的信息，从而降低密钥的生成效率。因此，基于虚拟信道的协议不能增加密钥生成效率。

下面的定理是本文的主要结论。

定理1  当敌手的天线数大于$2$(即$k \geqslant 4$)时，基于虚拟信道的密钥生成协议的密钥率${{\rm{R}}_{\rm{M}}}$不大于传统的基于多天线的物理层密钥生成协议的密钥率，即：

${R_M} \leqslant \frac{1}{{{T_{\rm{C}}}}}[H({h_{13}}) + H({h_{23}})]$

(6)

式中，${h_{13}}$和${h_{23}}$分别是从Alice的天线1和天线2到Bob的天线3的信道增益；${{\rm{T}}_{\rm{C}}}$为相干时间。如果${h_{13}}$(${h_{23}}$)服从期望为0方差为$\sigma _{13}^{\rm{2}}$($\sigma _{23}^{\rm{2}}$)的高斯分布，则：

$ {R_M} \leqslant \frac{1}{{{T_{\rm{C}}}}}\ln 2{\rm{ \mathsf{ π} e}}\sigma _{13}^{}\sigma _{23} $

证明：不妨假设Eve有两根天线，即$k = 4$。由文献[5]可知，基于虚拟信道的密钥分配协议的理论上界为：

$ {R_M} = \frac{1}{{{T_{\rm{C}}}}}{\rm{I}}(\mathit{\boldsymbol{h}}_{{\rm{AB}}}^{}{\rm{,}}{\kern 1pt} \mathit{\boldsymbol{h}}_{{\rm{AB}}}^*{\rm{|View(Eve)}}) $

(7)

式中，View(Eve)表示Eve所能得到的所有信息。

对于每一个对于$l$($1 \leqslant l \leqslant L$)，若探测信号序列X足够长，则Bob能精确的评估出虚拟信道增益，即有：

$ h_{{\rm{AB}}}^*(l) = {h_{{\rm{AB}}}}(l) = {h_{13}}a(l) + {h_{23}}b(l) $

令：$ \sqrt \alpha {{\rm{e}}^{{\rm{j}}{\theta _1}}} = a(l),\quad \sqrt {1 - \alpha } {{\rm{e}}^{{\rm{j}}{\theta _2}}} = b(l)$，

故式(7)可改写成：

$\begin{gathered} \;{\kern 1pt} {\kern 1pt} {\kern 1pt} {\kern 1pt} \frac{1}{{{T_{\rm{C}}}}}H{\rm{(}}\mathit{\boldsymbol{h}}_{{\rm{AB}}}^{}{\rm{|View(Eve)) - }}H{\rm{(}}\mathit{\boldsymbol{h}}_{{\rm{AB}}}^{}|\mathit{\boldsymbol{h}}_{{\rm{AB}}}^{\rm{*}}{\rm{View(Eve))}} = \\ \frac{1}{{{T_{\rm{C}}}}}H{\rm{(}}\mathit{\boldsymbol{h}}_{{\rm{AB}}}^{}{\rm{|View(Eve))}} \\ \end{gathered} $

(8)

同样的，Eve可以利用监听到的信号集(如等式(3)所示)采用相同的信道评估方法计算出如下结果：

$\left\{ \begin{gathered} h_{{\rm{A}}{{\rm{E}}^4}}^{}(l) = {h_{14}}a(l) + {h_{24}}b(l) \hfill \\ h_{{\rm{A}}{{\rm{E}}^5}}^{}(l) = {h_{15}}a(l) + {h_{25}}b(l) \hfill \\ \end{gathered} \right.{\kern 1pt} $

(9)

在静态的环境下(此时，相干时间${T_{\rm{C}}}$相对较长)，Eve能准确地测量出信道增益$ h_{14}、h_{24}$和$ h_{15}、h_{25}$。

解线性方程组(9)可得到：

$\left\{ \begin{gathered} a(l) = \frac{{{h_{25}}h_{{\rm{A}}{{\rm{E}}^4}}^{}(l) - {h_{24}}h_{{\rm{A}}{{\rm{E}}^5}}^{}(l)}}{{{h_{14}}{h_{25}} - {h_{15}}{h_{24}}}} \hfill \\ b(l) = \frac{{{h_{15}}h_{{\rm{A}}{{\rm{E}}^4}}^{}(l) - {h_{14}}h_{{\rm{A}}{{\rm{E}}^5}}^{}(l)}}{{{h_{15}}{h_{24}} - {h_{14}}{h_{25}}}} \hfill \\ \end{gathered} \right.{\kern 1pt} $

(10)

故可将等式(8)改写为：

$ \begin{gathered} \;\frac{1}{{{T_{\rm{C}}}}}H{\rm{(}}\mathit{\boldsymbol{h}}_{{\rm{AB}}}^{}{\rm{|View(Eve))}} = \\ \frac{1}{{{T_{\rm{C}}}}}H{\rm{(}}\mathit{\boldsymbol{h}}_{{\rm{AB}}}^{}{\rm{|View(Eve),\{ }}a(l){\rm{\} }}_{l{\rm{ = 1}}}^L{\rm{,\{ }}b{\rm{(}}l{\rm{)\} }}_{l{\rm{ = 1}}}^L{\rm{)}} \leqslant \\ \frac{1}{{{T_{\rm{C}}}}}H{\rm{(}}\mathit{\boldsymbol{h}}_{{\rm{AB}}}^{}{\rm{|\{ }}a(l){\rm{\} }}_{l{\rm{ = 1}}}^L{\rm{,\{ }}b{\rm{(}}l{\rm{)\} }}_{l{\rm{ = 1}}}^L{\rm{)}} = \\ \frac{1}{{{T_{\rm{C}}}}}H{\rm{(}}\{ {h_{13}}a(l) + {h_{23}}b(l)\} _{l{\rm{ = 1}}}^L{\rm{|\{ }}a(l){\rm{\} }}_{l{\rm{ = 1}}}^L{\rm{,\{ }}b{\rm{(}}l{\rm{)\} }}_{l{\rm{ = 1}}}^L{\rm{)}} \leqslant \\ \frac{1}{{{T_{\rm{C}}}}}H{\rm{(}}\{ {h_{13}},{h_{23}}{\rm{|\{ }}a(l){\rm{\} }}_{l{\rm{ = 1}}}^L{\rm{,\{ }}b{\rm{(}}l{\rm{)\} }}_{l{\rm{ = 1}}}^L{\rm{) = }} \\ \frac{1}{{{T_{\rm{C}}}}}{\rm{[}}H{\rm{(}}{h_{13}}) + H({h_{23}}{\rm{)]}} \\ \end{gathered} $

其中，最后一个等式成立的原因是序列${\rm{\{ }}a(l){\rm{\} }}_{l{\rm{ = 1}}}^L$和${\rm{\{ }}b{\rm{(}}l{\rm{)\} }}_{l{\rm{ = 1}}}^L$的选取与${h_{13}},{h_{23}}$是独立的。

如果${h_{13}}$(${h_{23}}$)服从期望为0方差为$\sigma _{13}^{\rm{2}}$($\sigma _{23}^{\rm{2}}$)的高斯分布，则：

$\begin{gathered} \ \ \ {R_M} \leqslant \frac{1}{{{T_{\rm{C}}}}}{\rm{[}}H{\rm{(}}{h_{13}}) + H({h_{23}}{\rm{)] = }} \\ \frac{1}{{{T_{\rm{C}}}}}\left[ {\frac{1}{2}\ln 2{\rm{ \mathsf{ π} e}}\sigma _{13}^2 + \frac{1}{2}\ln 2{\rm{ \mathsf{ π} e}}\sigma _{23}^2} \right]{\rm{ = }} \\ \frac{1}{{{T_{\rm{C}}}}}\ln 2{\rm{ \mathsf{ π} e}}\sigma _{13}^{}\sigma _{23}^{}\quad \quad \quad \quad \quad \\ \end{gathered} $

证毕。

上述定理说明在多天线敌手的场景下，利用虚拟信道来实现信息论安全的密钥分配在理论上不能增加密钥的生成效率。进一步，基于虚拟信道的密钥分配协议所产生的密钥只用到了Alice和Bob间的两个信道的信道增益的熵(不确定性)，而随机向量组$(\alpha ,{\theta _1},\theta )$并不能增加密钥的熵。这是因为敌手可以利用两根天线所得到的信息来估算出$\sqrt \alpha {{\rm{e}}^{{\rm{j}}{\theta _1}}}$和$\sqrt {1 - \alpha } {{\rm{e}}^{{\rm{j}}{\theta _2}}}$。

5 结论

在基于物理层的密钥分配的研究领域中，如何针对多天线的敌手(特别是天线大于密钥协商方的时候)实现信息论安全的高效密钥分配一直是该领域的一个研究难点。本文从信息论的角度出发，发现文献[12]所提出的密钥分配协议并不是信息论安全的。今后，将对多天线敌手下的信息论安全的快速密钥分配协议的设计进行研究。