丁宁 管新荣 杨炜伟

摘 要：为了对比分析实测数据下单门限量化算法与双门限量化算法的性能差异，并通过优化量化参数改善物理密钥性能，采用通用软件无线电外设（USRP）搭建了正交频分复用（OFDM）系统，通过信道估计提取信道幅度特征作为密钥源（实测数据），从密钥一致性、密钥随机性和密钥剩余长度三个方面分析了两种量化算法的性能。基于实测数据得到了单门限量化和双门限量化下密钥一致性、密钥随机性和密钥剩余长度仿真结果。仿真结果表明：在单门限量化算法中，在给定密钥随机性约束下存在最优量化门限使得密钥不一致率最低;在双门限量化算法中，存在最优量化因子使得有效密钥长度最大化;结合Cascade密钥协商算法进行协商时，不同量化算法的密钥一致性与密钥生成速率存在折中关系。

关键词：物理层密钥;量化;通用软件无线电外设;正交频分复用系统

中图分类号： TP393.09

文献标志码：A

Abstract： In order to compare and analyze the performance of single threshold quantization algorithm and double thresholds quantization algorithm on measured data and improve the performance of physical secret key by optimizing the quantization parameters， an Orthogonal Frequency Division Multiplexing （OFDM） system was built by Universal Software Radio Peripheral （USRP）. The channel amplitude feature was extracted as the key source through channel estimation and the performance of the two quantization algorithms was analyzed in terms of consistency， randomness and residual length of secret key. The simulation results of consistency， randomness and residual length of secret key under single threshold quantization and double thresholds quantization were obtained based on measured data. The results show that single threshold quantization algorithm has the optimal quantization threshold to minimize the key inconsistency rate under the given key randomness constraint， double thresholds quantization algorithm has the optimal quantization factor to maximize the effective secret key length， and when Cascade key negotiation algorithm is used for negotiation， there is a trade-off relation between secret key consistency and secret key generation rate in different quantization algorithms.

Key words： physical layer secret key; quantification; Universal Software Radio Peripheral （USRP）; Orthogonal Frequency Division Multiplexing （OFDM） system

0 引言

隨着无线通信技术的发展，无线通信安全问题备受关注。由于无线信道的开放性使其易受到第三方的窃听和攻击。传统的安全加密方案面临诸多挑战，例如：在动态无线网络中对称加密面临密钥分发问题;在 物联网（Internet of Things， IoT）设备中资源有限导致无法负担加密算法高计算成本的开销;此外，随着计算机计算能力的增强，使得应用于无线通信网络的诸如A5/1和A5/3算法可以在短时间内破解[1-2]。另一方面，近年来物理层密钥技术受到广泛关注，相较于传统安全加密方案具有以下优势：1）由于信道的短时互易性，合法通信双方独立在线地生成物理密钥，不需预先分发密钥，避免了传统密钥方案中的密钥预分发和管理问题。2）由于信道的空时唯一性，使得不同时间、不同空间位置的无线信道特征唯一不可复制，从而保证密钥的机密性。3）因物理密钥基于无线信道的动态随机性，而不依赖于计算问题的复杂性，可实现“一次一密”，确保通信的绝对安全。4）因物理密钥可直接从信道特征中提取生成，而不需复杂的加密算法，适用于资源受限的设备。

物理层密钥生成技术的理论研究可以追溯到20世纪90年代初期。1993年，文献[3]提出了当合法用户的信道条件不如窃听者信道条件时，合法用户仍可以利用相关的随机源提取密钥实现安全通信。通常，物理层密钥生成技术主要包括信道探测、量化、密钥协商和隐私放大四个步骤。考虑信道特征测量值的非互易性和冗余性等问题，还可以增加预处理和熵估计两个步骤。

1）信道探测，即采集Alice和Bob通信双方之间的信道特征信息，常用于物理层密钥生成的信道特征包括：信道状态信息（Channel State Information， CSI）[4]、接收信号强度 [5]、相位[6]以及多径时延[7]等。

2）量化是通信双方将采集到的信道特征信息量化成比特序列。因此，量化的目的是在尽可能降低通信双方量化后比特序列不一致率的同时保证密钥生成速率。现有的文献研究主要通过设计不同的量化算法来增强密钥的一致性。文献[8]分析对比经典量化算法的性能包括均匀量化、等概量化及最小均方误差量化，并指出等概量化最终能生成更长的密钥长度，且量化输出的0、1比特等概分布，因而是一种简单而实用的方法。文献[9]采用单门限的量化方法且使用了LCA（Level Crossing Algorithm），使得每个信道测量值可以产生1bit密钥。单门限量化方法在门限值附近量化出错概率较高，且在信道变化缓慢时密钥随机性较差。为此，文献[4]采用双门限量化方法，将介于高阈值和低阈值之间的测量值舍弃。该方法以牺牲一定密钥生成速率为代价，换取了量化比特序列的高一致性。同时，文献[3]提出的多比特量化算法可提升密钥生成速率，但量化比特序列的一致性也相应下降。因此，文献[10]提出了带奇偶校验的多比特量化算法，其在校验位错误时，将舍弃量化后的比特序列，从而提高密钥的一致性。文献[11]研究了自适应量化方法，将一方的量化噪声在共有信道上共享从而另一方用在适应地调整量化门限。文献[12]研究了多维信息的矢量量化，该方法适用于多输入多输出及多用户通信系统的密钥生成过程。文献[13]针对矢量量化存在的量化边界问题进行研究。一般而言，量化过程中密钥不一致率和密钥生成速率之间不可调和的矛盾总是存在的。

3）经过量化后，密钥协商是进一步产生可用密钥的关键步骤。密钥协商的目的是纠正通信双方初始密钥中不一致的比特，使得Alice和Bob通信双方具有相同的密钥比特序列。文献[14]提出Cascade协议，合法双方通过交换密钥分组后的奇偶校验值并使用二分法进行查找纠错。由于二分法纠错过程需要合法双方多次进行信息交换，因而对网络延时等信道参数较为敏感[15]。文献[16]提出Winnow协商算法，利用汉明码伴随式矩阵进行前向纠错，虽然降低协商信息交互次数，但纠错效率也相对降低。

4）隐私放大的目的是防止窃听者利用信息协商中泄露的部分信息推断出任何密钥信息。文献[17]最早提出了隐私放大的概念，并在窃听模型的基础上设计出了隐私放大的机制。该机制依赖于一个隐私放大函数的构建，即g：（0，1）n→（0，1）r（n>r）。隐私放大函数通过将物理密钥长度由n压缩为r以消除在公开信道上泄露的信息。文献[17]基于通用Hash函数构造了隐私放大函数g，将n比特输入映射为r比特输出。文献[18]给出了隐私放大可行性的理论分析，并探讨了通用Hash函数在实际中的应用。

然而，从现有的文献观察，都是对各种量化算法进行仿真分析，缺乏对这些量化算法在实测数据下的性能进行分析和比较。文献[19]通过通用软件无线电外设（Universal Software Radio Peripheral， USRP）平台实测数据提取密钥生成。文献[20]提出一种新的回环传输方案，并通过USRP平台驗证此方案可以有效地消除用于密钥生成的CSI非互易性。本文采用USRP软件无线电设备，在LabVIEW平台下搭建正交频分复用（Orthogonal Frequency Division Multiplexing， OFDM）系统并编程实现125个子载波的信道状态信息提取[21]，对实际测量的OFDM幅度进行单门限量化包括等概量化和均匀量化与双门限量化，并根据密钥的一致性、密钥随机性和初始密剩余钥长度三个评价指标来综合评价量化算法的实际性能。仿真结果表明：单门限量化方法中，等概量化的密钥随机性优于均匀量化，但均匀量化相较于等概量化获得更低的密钥不一致率（Key Disagreement Rate， KDR），在给定密钥随机性约束条件下，根据密钥一致性最大化找出最优的量化门限;双门限量化方法比单门限量化方法获得更低的密钥不一致率，但生成密钥长度减小且受门限量化因子α影响较大。为了综合考虑密钥的一致性和密钥生成速率，文中定义了有效密钥长度L全面评价双门限量化因子α的影响，并根据有效密钥长度最大化找到最优的量化因子，进而结合密钥协商步骤中的Cascade算法综合考虑各量化算法的在整个密钥生成过程中的实际性能。

1 量化算法

量化实质上就是一个模数转换的过程，目的是合法双方同时对估计的信道状态信息进行量化处理，从而使得合法双方得到一致比特序列。以下分别具体介绍了单门限量化算法中的均匀量化算法、等概量化算法和双门限量化算法。

1.1 均匀量化算法

均匀量化是把取值空间等间隔地分为多个区间，然后对相应的区间进行量化。假设量化器的输入信号为x的取值范围是x∈[aL，aM]，其概率密度函数为p（x），于是：

1.2 等概量化算法

等概量化是根据待量化参数的统计特性来选择量化电平，使得采样值落在每个量化区间的概率相等，这种量化方式可以得到0、1等概的密钥比特序列。量化门限{dk;k=0，1，…，J}根据：

2 基于USRP的OFDM系统搭建

USRP是一款灵活的无线电设备，它由一块主板和最多四块子板构成。USRP包含母板和前端子板。母板主要完成信号从模拟到数字转换、基带信号的生成、与PC的通信功能，它处理数字基带和中频信号。子板主要负责处理不同频带的射频信号，并进行射频、中频信号之间的转换。

本文采用两台单天线USRP设备搭建OFDM通信系统，不仅需要USRP驱动函数对USRP进行相关参数配置以设备与主机之间的通信，还需要调用LabVIEW工具包构建数字通信的发射模块和接收模块。系统的配置参数如表1所示。其中载波频率参数选择是根据USRP-2920所支持的工作频段（50MHz～2.2GHz）来设定的，载波频率选择2GHz可用于室内环境实验测量，且最大的输出功率范围在30mW～70mW，在室内环境下发送功率较小，不影响其他设备的正常通信。受USRP设备自身处理信号能力的影响， I/Q符号速率设置为500KS/s，如果设置采样速率过快，则影响开发板的处理速度，所以选择较为适中的I/Q采样速率。按照一帧OFDM符号的设计要求分别设置各项参数长度。发送天线和接收天线分别具有两个通道，分别是TX_1、TX_2和RX_1、RX_2。其中通道1既可以作为发送天线也可以作为接收天线使用，而通道2只能作为接收天线使用。发送天线及通道号设置为TX_1，接收天线及通道号设置为RX_1。

2.1 程序流程

发送端和接收端流程如图3所示。配置USRP参数包括激活的USRP设备编号，激活的天线和通道号等。在发送端，信源经过正交振幅调制（Quadrature Amplitude Modulation， QAM）和串/并转换处理后，进入OFDM调制阶段，需要加入导频、虚拟子载波、快速傅里叶逆变换（Inverse Fast Fourier Transform， IFFT）、加入循环前缀、加入同步序列，调制后的并行数据流再经过并/串转换后送入USRP，同时驱动USRP发送信号。发射信号经过无线信道衰落后到达接收端，在接收端驱动USRP接收信号，对接收到的信号进行同步处理，数据进入OFDM解调阶段，即需要去除循环前缀、FFT、去除虚拟子载波、信道估計、信道均衡、QAM解调，接收端接收信号完毕并关闭USRP。

2.2 编程实现与数据采集

本系统基于LabVIEW软件，搭建了通信发射链路和接收链路模块。图4程序是对发送数据进行组包，随机序列发生器产生1000比特随机序列，经过4QAM调制后输出500符号映射，然后将500符号分20组，每组25个符号数据。

3 性能比较

利用上述USRP平台下采集的OFDM系统的信道信息进行量化，单门限量化和双门限量化方法均采用1比特量化。采用初始密钥不一致率（记为PD）、初始密钥随机性（以0、1占比衡量，记为R）和初始密钥剩余长度（记为η）三个评价指标，综合评价各种量化算法优劣性。

3.1 量化性能对比

图9给出了在天线增益为15dB情况下单门限量化的初始密钥不一致率和1比特所占比例曲线，图中分别标出了均匀量化门限值和等概量化门限值，等概量化门限值为0.3613，均匀量化门限值为0.5。可以看出：1）等概量化门限值小于均匀量化且等概量化得到的初始密钥不一致率比均匀量化高。从初始密钥不一致率PD上看，均匀量化的一致性优于等概量化。2）等概量化输出的比特序列中0、1等概分布，而均匀量化得到比特序列中1比特占比较少，即等概量化的随机性比均匀量化要好。

在选择最优门限的时候，既要考虑量化输出密钥比特序列的不一致率，也要考虑输出比特序列的随机性。可以将这个问题建模为：

3.2 采用Cascade协商算法的性能对比

采用Cascade密钥协商算法[14] 可以进一步降低初始密钥不一致率PD，通过多轮反复的纠正错误比特实现。主要步骤包括：第一轮通过二分法进行纠错，把所有含有奇数个错误比特的分组都纠正一个错误，确保每个分组都不含有错误比特或者含有偶数个错误比特;在之后的第i>1轮中，Alice和Bob 对密钥按随机序列打乱分组，再次比较每组的奇偶校验值并用二分法进行纠错，此时若发现了一个新错误比特，则在之前一轮中对应的分组内必会含有奇数个错误比特，对该分组再次进行二分法纠错，使得纠正的比特数倍增，提高密钥协商效率。

图12给出了协商后的密钥不一致率随着协商次数的变化情况。如图12所示，采用Cascade协商算法，分别给出量化因子α为0.05、0.10和0.15下对应的协商次数与不一致率。随着α的增加，协商次数不断减少。如：α取值为0.15时，Alice和Bob双方只需要3次协商就能达到生成的密钥完全一致;而α取值为0.10时双方需要4次协商;当α为0.05时，则需要多于4次的协商次数，虽然此时初始密钥有效长度L较大，但是双方不一致率PD较高而导致协商阶段交互次数增加，从而导致双方在交互同时泄露更多的信息量，并且安全性和时间开销的增加。

综上所述，在评价双门限量化方法时，不仅需要从量化整体性能去考虑量化因子α的取值，还需要结合协商步骤综合考虑对最终密钥生成效率的影响，根据不同的场景选择相应的量化因子α。例如：在IoT应用场景中，低能耗的特点要求生成密钥不一致率PD较低，而低速率的特点则对应低的密钥生成速率。此时，可以选择较大的双门限量化因子α，使得生成密钥具有较低的不一致率PD，不仅减少了后续协商次数，还节省了发射功率。

4 结语

本文利用USRP设备搭建了OFDM系统并进行信道估计，将采集的信道幅度测量值用于量化算法分析;分析对比单门限量化方法中均匀量化和等概量化方法的性能，针对双门限量化提出有效密钥长度L指标并结合协商步骤，全面评价量化因子对密钥生成的影响。本文仅选择较为常用的量化算法对比分析OFDM信道幅度特征，后续可以用OFDM信道相位特征对比分析，还可以考虑其他量化算法的应用性能。

参考文献 （References）

[1] 李古月.无线通信物理层安全理论与方法研究[D].南京：东南大学，2017：18-22.（LI G Y. Research on physical layer security theory and method in wireless communication [D]. Nanjing： Southeast University， 2017： 18-22. ）

[2] BIRYUKOV A， SHAMIR A， WAGNER D. Real time cryptanalysis of A5/1 on a PC [C]// FSE 2000： Proceedings of the 7th International Workshop on Fast Software Encryption， LNCS 1978. Berlin： Springer， 2000： 1-18.

[3] MAURER U M. Secret key agreement by public discussion from common information [J]. IEEE Transactions on Information Theory， 1993， 39（3）： 733-742.