0 引言

物理层加密技术利用无线链路特性生成密钥．其中，无线信道因其时变性^[1]、互易性^[2]可作为双方密钥的随机性来源，保证在短时间内生成一致密钥而无需额外的计算开销，或分发管理的基础设施．此外，在多径散射环境中，如果窃听者与合法用户之间的距离大于半个波长，则可近似认为两者接收同一信号所经历的信道完全不相关^[3]，从而保证其安全性．

然而，在准静态环境，如空旷地区或一些室内场景，信道变化缓慢、相干时间较长，使得连续生成密钥之间以及单次生成密钥内部存在一定的相关性，导致密钥生成不满足“一次一密”保密条件^[4-5]，密钥生成速率降低，窃听端也更易获取与合法端相关的信道信息，系统的安全性也有所下降．

针对准静态环境存在的问题，目前的研究已经取得了一些进展．密钥的生成速率大多借助时域、频域、相位等多维信道信息来提高．例如:文献^[6]不仅使用信道系数的幅度、相位生成密钥，还从对应最高增益的子信道的索引生成随机密钥比特以提高生成速率; 文献^[7]使用时频空维度的多入多出（Multiple-In Multiple-Out，MIMO）信道以生成长度更长的密钥．此外，通过增加中继或智能反射面（Reconfigurable Intelligent Surface，RIS）辅助生成密钥也是提高密钥生成速率的重要方法．文献^[8]研究了双向中继生成密钥，提出4种基于放大转发的密钥生成方案，通过中继增加信道探测数量进而提高密钥生成速率; 文献^[9]使用缓冲器和中继存储每次生成密钥中未使用的比特位，以避免出现某次信道探测生成的密钥位长度不足的问题; 文献^[10]借助多个中继生成密钥，并研究了中继不可信时的密钥生成方案，可在较大范围内实现较高的密钥生成速率; 文献^[11-12]通过在两端添加RIS，利用RIS的捷变特性构造快速变化的信道，从而使密钥生成不受制于自然信道变化速度．然而，通过多维信息或增加准静态环境下的信道仍无法有效避免静态问题，且MIMO信道的增加将导致计算复杂度和时间消耗的增加．而添加中继或是RIS又要考虑部署及能耗问题，如果RIS或中继被窃听者操控，系统的安全性将得不到保证．针对密钥的随机性，引入人工随机源提高密钥随机性是目前的有效手段．文献^[13-14]提出在直接型和中继型2种密钥生成场景下，在信道探测阶段发射人工随机源扰动信道，双方以4次交互后的信道系数生成密钥; 文献^[15]提出一种高效的人工随机性及预编码辅助密钥生成方法，并验证了迫零及最大传输比率2种预编码技术下的有效性; 文献^[16]设计预编码矩阵，通过广播随机控制设备的接收天线并量化密钥，提高密钥的随机性; 文献^[17]则将信道探测系数的相位量化为扰码初始值，生成扰码序列对密钥进行加扰; 文献^[18]基于随机滤波和随机天线调度改善信道参数的动态特性，同时使用自适应量化和霍特林变换提取更多的随机比特生成密钥．但这些添加人工随机源的方法，都将造成双方互易性的降低，使得双方密钥不一致率增加，这势必会给信息调和带来压力并增加双方交互，准静态环境下交互的增加将导致可能的风险显著增加，系统的安全性降低．同时，采用多天线及预编码技术的密钥性能需在MIMO场景下才能充分展现，这又使得设备的硬件开销显著增加．

基于前人的研究分析，本文提出一种回溯加扰密钥生成算法（Backtracking Scrambled Key Generation，BSKG），做出的主要工作如下:

1）密钥调和后，双方利用上次通信的密钥与当前密钥，计算不一致索引总和，生成扰码序列，将其与当前密钥异或．一方面，加扰有效地提高了随机性，另一方面，双方仅需保存上一次密钥获得一致扰码初始值而无需交互，且扰码初始值不断变化，窃听端要窃取密钥，不仅需要窃取本次探测的信道系数，还需要窃取扰码初始值，而要窃取初始值又需以完全窃取上次通信密钥为保证，窃取上一次密钥则与此同理，因而有效地提高了系统安全性．

2）考虑窃听端可获得与合法端较为相关信道信息的情况，通过语义安全和信息论不等式推导了所提算法窃听端成功窃听的概率上限．给定某些参数，结果表明，即使窃听端能够获得与合法端极为相关的信道信息，随着密钥生成次数的增加，窃听成功的概率也将快速下降．

3）通过仿真验证，算法的密钥泄露率和重复率始终接近理想情况，且因拆分信道系数的实部虚部生成密钥，相较现有算法，本文算法还具有较高的密钥生成速率和较低的密钥不一致率，并通过了NIST（National Institute of Standards and Technology）随机性测试．

1 系统模型及算法

1.1 系统模型

针对准静态环境，建立模型如图1所示．合法通信双方为Alice、Bob，存在一个窃听者Eve，且物理位置更靠近Bob．信道模型为准静态瑞利衰落信道，通信系统模型为时分双工模式下的SISO（Single-Input Single-Output，单入单出）-OFDM（Orthogonal Frequency-Division Multiplexing，正交频分复用）系统．假设合法双方需发N次信息，根据“一次一密”条件则需至少生成N次密钥．

1.2 密钥生成算法

算法使用信道系数的实部虚部量化密钥，并在双方信息调和后，进行回溯加扰，提高密钥的随机性和安全性．密钥生成具体步骤如下:

1.2.1 信道探测与估计

为获得信道状态信息，在相干时间内，Alice和Bob分别发送导频信号x_a（t₁）和x_b（t₂），双方接收到的信号分别为

分别做信道估计得到信道系数:

其中，*表示卷积，信道系数是均值为0方差为σ²_n的高斯分布，噪声为独立同分布的加性高斯白噪声．

1.2.2 特征量化

量化即将信道特征转换为密钥比特，算法将每个子载波的实部和虚部分别量化，以提高密钥的生成速率，量化步骤如下:

1）假设双方获得的频域信道系数为H∈C^1×M，即H=[h₁，h₂，···，h_i，···，h_M]，其中，M为子载波数，R（h_i）和I（h_i）分别表示第i个子载波系数的实部和虚部，则有R（H）=[R（h₁），R（h₂），···，R（h_i），···，R（h_M）]，I（H）=[I（h₁），I（h₂），···，I（h_i），···，I（h_M）]．

2）计算子载波系数的范围并设置ξ=2^φ个均匀量化区间，量化得到初始密钥K_Q∈C^1×2M．

例如:φ=1，使用信道系数幅度的均值meanR、meanI为门限，量化密钥:

1.2.3 信息调和

本文采用文献^[19]所述的基于纠错编码的信息调和方案，简而言之，即为Alice将量化后的密钥分组并基于纠错编码生成协商信息，Bob收到后利用纠错编码的纠错能力进行纠错，最终实现双方密钥一致．

1.2.4 回溯加扰算法

设调和后的一致密钥为K₁=[K_1，1，K_1，2，···，$K_{{1，M}_1}$]，N为双方密钥生成次数，双方回溯用于第N-1次通信加密的一致密钥为$K_{L_1}$=[$K_{L_1，1}$，$K_{L_1，2}$···，$K_{L_1，M_2}$]，生成扰码加扰以提高密钥随机性及安全性，算法具体步骤如下:

1) N=1

双方首次发起密钥生成请求，此时无法回溯，安全性仅依赖于信道的不相关性，因而不用来对信息进行加密.双方进行隐私放大并确认首次密钥一致后更新$K_{L_1}$，然后重新开始密钥生成．

2) N＞1

① 因信息调和及隐私放大将舍弃部分比特导致连续生成密钥的长度不同，即M₁≠M₂，取M₃=min（M₁，M₂）得:

② 获取不一致索引总和α:

③ 将α转成二进制比特:

得到31位扰码初始值C₂:

引入Gold序列^[20]，序列由2个m序列生成，具有良好的随机性．第1个m序列p初始化为p（1）=1，p（n）=0，n=2，3，···，31; 第2个m序列q初始化为q（n）=C₂（n），n=1，2，···，31.当m序列长度大于31时有:

生成长度为M₁的Gold序列C₃:

其中，N_c=1 600，n∈[1，M₁]．

④ 将调和后的密钥$K_1\in {\mathbf{C}}^{1\times M_1}$与C₃异或得到回溯加扰算法的输出密钥$K_4\in {\mathbf{C}}^{1\times M_1}$．

1.2.5 隐私放大及一致性检验

为进一步提高密钥安全性及确认最终密钥是否一致，协议使用文献^[14]描述的隐私放大及一致性检验方法．此外，双方每次可根据α从全域哈希函数集中选择一致哈希函数而无须预先沟通或是交互．

双方在确认密钥一致后将$K_{L_1}$更新为本次密钥，以便下次回溯加扰．若不一致则密钥生成失败，丢弃本次密钥重新生成．

2 安全分析

这部分将给出一般以及恶劣两种信道条件下（两者的区别在于窃听端与合法端信道系数的相关程度），窃听者成功窃取到第N次合法密钥的概率上限及其变化规律．

信道探测阶段，Eve已经通过监听公共信道获得了部分有关密钥生成的信息：

一般来说，窃听者与合法信道相距大于半波长λ/2时，他们将经历完全不相关的衰落信道．然而，在准静态环境信道变化缓慢，Eve通过监听信道获得的信道系数与合法端仍可能有一定的相关性，系统的安全性也将有所下降．

Eve与合法端所得共享随机性的互信息量是一种信息论的安全性度量方法．假设量化的影响可以忽略不计，考虑到Eve更加靠近Bob，则只需考虑${\tilde{h}}_{\mathrm{A}\mathrm{E}}$与${\tilde{h}}_{\mathrm{A}\mathrm{B}}$，那么合法方与Eve的互信息计算如下:

定义Bob端以及Eve端任意子载波k上的衰落系数分别为h_b，k=h_b，k，R+jh_b，k，I和h_e，k=h_e，k，R+jh_e，k，I，其中，h_b，k，R和h_b，k，I独立且满足正态分布$\mathcal{N}（0，\left.{\sigma }_{\mathrm{b}}^2/2\right)$，h_e，k，R和h_e，k，I独立且满足正态分布$\mathcal{N}（0，\left.{\sigma }_{\mathrm{e}}^2/2\right)$，则有互信息

H_d（·）表示微分熵，式（19）即为互信息的微分熵展开式．引入合法端与窃听端信道的相关系数:

其中，cov（·）表示变量的协方差，得到以下协方差矩阵:

对于多元高斯随机变量$\tilde{X}=\left(X_1，X_2，\cdots ，X_n\right)$，其协方差矩阵为Σ，得到随机变量微分熵为$H_{\mathrm{d}}（X）=\frac{1}{2}\mathrm{l}\mathrm{o}\mathrm{g}（\mathrm{d}\mathrm{e}\mathrm{t}（2\pi e\mathrm{\Sigma }））$，式（19）可进一步化作:

接下来，利用文献^[21]中提供的互信息与语义安全度量之间的联系，计算在一般情况下，相关系数ρ较小时，窃听端窃听成功的概率上限．

设N为双方密钥生成次数，n为子载波数，φ为量化分辨率，窃听成功的概率为P_N．在Eve未能监听到有效信息的情况下，成功猜测单个子载波比特的概率为2^-2φ．根据文献^[21]中的结论，在Eve窃听的信息与合法端信息相关时，对于单个子载波而言，窃听成功的概率最多增加$\sqrt{2I\left(h_{\mathrm{b}};h_{\mathrm{e}}\right)}$，其中，h_b和h_e分别为Bob端以及Eve端子载波的信道系数．窃听端从首次生成密钥开始窃听，N=1时，Eve能够恢复出所有子载波的概率为${\left(2^{-2\phi }+\sqrt{2I\left(h_{\mathrm{b}};h_{\mathrm{e}}\right)}\right)}^n$，需要注意的是I（h_b; h_e）对于所有子载波都是相同的，如果Eve不能恢复所有的共享随机性，则根据协议隐私放大及一致性检验部分的哈希函数性质，正确猜测出所有密钥的概率为2^-φn，那么本次密钥生成Eve能成功窃听的概率最多为${\left(2^{-2\phi }+\sqrt{2I\left(h_{\mathrm{b}};h_{\mathrm{e}}\right)}\right)}^n+2^{-\phi n}.$．

N＞1时，Eve不仅需窃取本次信道系数，还需在此之前成功窃取第N-1次的一致密钥来获取本次加密的扰码初始值.设成功窃听第N-1次密钥的概率为P_N-1，则成功窃听第N次密钥的概率最大为$P_{N-1}\cdot \left({\left(2^{-2\phi }+\sqrt{2I\left(h_{\mathrm{b}};h_{\mathrm{e}}\right)}\right)}^n+2^{-\phi n}\right)$.以此类推，得到Eve成功窃听第N次密钥的概率P_N的上界为

基于式（24），通过实际数据进一步说明Eve窃听成功的概率上界及其随合法双方密钥生成次数的变化规律．假设使用64个子载波生成密钥，量化分辨率φ=2，在一般条件下，窃听端所能得到的最大相关系数假设为0.25，由式（23）得互信量为0.093 1，则一般条件下Eve成功窃听第N次密钥的概率上界为2^-77N，变化规律如图2所示．

式（24）已经给出在一般信道条件下，Eve的窃听概率上界及其随密钥生成次数N的变化情况，但对于一些恶劣情况，如某一时刻环境过于静态、Eve过于靠近合法用户等，其有可能获得与合法端非常相关的信道系数．显然，当相关系数大于0.54，即互信量大于0.5时，对于式（24），将无法得到一个窃听概率的非平凡上界，因此，使用法诺不等式^[22]将窃听者成功窃听的概率与子载波量化比特的信息熵联系起来，给出成功窃听的概率上界．

设N为密钥生成次数，n为子载波数，S_k为第k个子载波的量化比特序列，φ为量化分辨率．将窃听端窃听合法端密钥的过程看作是一个通信过程，合法端可看作编码发送端而窃听端接收（窃听信道系数）经过信道噪声的信息，并进行译码，这样就很容易将译码成功的概率与法诺不等式联系起来，得到一个译码（窃听）成功的概率上界．

N=1时，基于文献^[23]中的不等式及其推论，有:

则窃听者窃听成功的概率P[S_e，k=S_k]上界为

其中:a表示法诺不等式; b表示信息论条件熵展开式; c中，S_k是h_b，k的确定性函数，因此由S_k，h_b，k，h_e，k构成马尔可夫链得出; d可带入式（23）得出．

式（26）对于所有的子载波都是成立且独立的，如果窃听者不能基于监听的信道系数猜测出所有密钥，那么根据协议隐私放大及一致性检验部分的哈希函数性质，其恢复出所有密钥的概率最多为2^-φn．因此，本次密钥生成Eve能成功窃听的概率最多为${\left(1-\frac{H\left(S_k\right)+\mathrm{l}\mathrm{o}\mathrm{g}\left(1-{\rho }^2\right)-1}{\mathrm{l}\mathrm{o}\mathrm{g}（n）}\right)}^n+2^{-\phi n}$．

N＞1时，Eve不仅需窃取本次信道系数，还需在此之前成功窃取第N-1次的一致密钥来获取本次加密的扰码初始值.设成功窃听第N-1次密钥的概率为P_N-1，则成功窃听第N次密钥的概率最多为$P_{N-1}\cdot \left({\left(1-\frac{H\left(S_k\right)+\mathrm{l}\mathrm{o}\mathrm{g}\left(1-{\rho }^2\right)-1}{\mathrm{l}\mathrm{o}\mathrm{g}（n）}\right)}^n+2^{-\phi n}\right)$.以此类推，成功窃听第N次密钥的概率P_N的上界为:

基于式（27），通过实际数据进一步说明Eve窃听成功的概率上界及其随合法双方密钥生成次数的变化规律．假设使用64个子载波生成密钥，量化分辨率φ=2，在恶劣条件下，窃听端会得到与合法端非常相关的信道系数，假设ρ=0.8，每个子载波的信息熵可通过NIST中的近似熵检测进行估计^[24].假设H（S_k）≈3.81 bit，则恶劣条件下Eve成功窃听第N次密钥的概率上界为2^-23N，变化规律如图3所示．

综上，加扰让Eve必须基于监听的信道系数生成与合法端完全一致的密钥，同时，回溯又使得Eve还要以窃取之前所有密钥为前提．即使Eve获取了与合法端高相关的信道系数，也难以成功窃取密钥，且其概率上界也随着双方密钥生成次数增加而快速降低．

3 仿真分析

将BSKG与传统密钥生成（Conventional Key Generation，CKG）^[25]、多维信息密钥生成（Joint Key Generation，JKG）^[6]以及加入随机源密钥生成（Induced Randomness Key Generation，IRKG）^[14]进行比较，通过仿真结果来分析算法性能．假设任意2个通信节点之间的准静态瑞利衰落信道有9条有效路径，其中考虑了指数衰减功率延迟分布^[26]．在信号探测阶段，所有算法都使用64个子载波数．

在窃听端，随着环境信噪比的提高，Eve将窃听到与合法信道越来越相关的信道系数，进一步分析算法的安全性能．

3.1 性能指标

密钥生成速率（Key Generation Rate，KGR）描述了每次探测生成的密钥比特与信道特征数量的比值，KGR越高，则密钥生成效率越高，密钥生成越快，通信系统越安全．给出密钥生成速率的公式如下:

其中:L表示单次探测生成的有效密钥比特数目（bits）; M表示单次探测的信道特征数目（sample）．

密钥不一致率（Key Disagreement Ratio，KDR）用于衡量合法通信双方生成密钥的不匹配程度，KDR越低，则调和阶段的交互次数越少，泄露的概率越低，同时密钥生成的成功率越高．给出密钥不一致率公式如下:

其中:K_A，K_B分别为Alice端、Bob端生成的密钥．

密钥泄露率（Key Leakage Rate，KLR）指的是窃听端与合法端密钥一致的比率，是密钥生成算法安全性的重要度量，公式如下:

其中:K_E为窃听端生成的密钥．根据信息论可知，窃听端密钥与合法端密钥完全不相关时，KLR为0.5．

在准静态环境，信道变化缓慢，连续信道探测生成的密钥可能存在较多相同比特，这对于“一次一密”是不被允许的．密钥重复率（Key Repetition Rate，KRR）可用来衡量连续生成密钥之间的重复比率，公式如下:

其中:K_N，K_N-1分别为第N次、第N-1次生成的密钥.连续生成的密钥重复率越低，则KRR越接近0.5．

密钥随机性通常使用NIST统计测试套件^[24]进行测试，该套件测试共有15项，检测序列的相关性、游程、近似熵等特性，以发现可能存在的各种类型的非随机性．对于每个测试而言，如果输出的概率值P大于0.01，则认为该序列是随机的且具有99%的置信度．

3.2 仿真性能

图4、5分别给出了加密算法的KGR、KDR随信噪比的变化曲线．因为BSKG、IRKG拆分信道系数的实部和虚部分别生成密钥，在相同信噪比的情况下，单次信道探测生成的一致比特要高于JKG、CKG算法．IRKG引入随机源，改善随机性的同时也因增加交互引入了更多噪声，导致不一致比特增多，而BSKG在调和后再回溯加扰，保证随机性的同时也不会降低一致率．但随BSKG量化分辨率的提高，KDR较CKG略有增大．

图6为加密算法的KLR随信噪比的变化曲线．由于CKG与JKG算法都仅依赖信道的保密性，随着信噪比及Eve窃听的信道系数与合法端相关性的提高，最终导致较高的密钥泄露率．而IRKG虽引入随机源但仍需交互以保证双方获得一致随机信号，在Eve获得逐渐相关信道信息时，泄露率也逐渐增加．对于BSKG而言，通过回溯加扰，一方面，放大了合法端与Eve信道系数差异对密钥生成的影响，即使是1 bit的不同也能使合法端与Eve的密钥完全不同，另一方面，因双方通信次数的增加而不断生成密钥，窃听者的窃听难度也随之不断加大．随着信噪比以及Eve窃听信道系数的相关性不断提高，算法的泄露率始终保持在理想值0.5，展现了较好的算法安全性能．

图7为KRR随信噪比的变化曲线．随着信噪比的提高，信道变化逐渐减小，CKG、JKG算法连续生成密钥之间的重复比特逐渐增多，密钥安全性降低，IRKG引入随机源提高了密钥随机性，而BSKG使用不断变化的扰码加扰，使连续生成密钥之间重复比特率接近0.5，性能更加稳定．

表1为BSKG算法使用NIST统计测试套件检验随机性的结果．设置静态信道系数运行算法，信噪比为25 dB，将生成的密钥进行测试．从表1中结果可见，序列通过了所有测试，因此，BSKG算法生成的密钥被认为是随机的且具有99%的置信度．

4 结论

回溯加扰算法在不增加双方交互次数以及降低密钥其他性能的基础上，利用上一次密钥与本次密钥的不一致索引总和生成扰码并加扰．一方面，扩大了信道变化对密钥产生的影响，即使信道变化非常缓慢，也不影响密钥生成，使其满足“一次一密”保密条件；另一方面，即使Eve能够获得与合法端较为相关的信道系数，回溯加扰也能极大地保证密钥的安全性．仿真结果表明，在准静态环境下，算法具有良好的随机性与安全性．

参考文献