胡愛群 李古月

（東南大學信息科學與工程學院，南京，210096）

引 言

隨著科技的發(fā)展，無線通信設備急劇增加，各種新型的無線通信網(wǎng)絡也正在逐步走向成熟。隨著無線網(wǎng)絡用戶的急劇增加以及無線網(wǎng)絡應用范圍的不斷增大，人們對無線通信的安全性深感憂慮。而無線通信系統(tǒng)中傳輸媒介的開放性、無線終端的移動性和網(wǎng)絡結構的不穩(wěn)定性也使得傳輸?shù)目煽啃院桶踩悦媾R著嚴峻的考驗。傳統(tǒng)安全方案是在網(wǎng)絡層通過公私密鑰對數(shù)據(jù)進行加密，往往以犧牲復雜度換取安全性［1－2］。然而在目前正在推廣使用的LTE／4G甚至在正在完善的5G標準中，高的數(shù)據(jù)傳輸速率對加解密實時性、復雜度和延時等提出了更加嚴格的要求。另外，無線傳感器網(wǎng)絡（Wireless sensor network，WSN）及無線自組織網(wǎng)絡（Mobile Ad hoc networks，MANET）等新型網(wǎng)絡目前在軍事和民用中都得到了廣泛的使用。然而這些新型網(wǎng)絡中的各個節(jié)點通常以電池供電，無法負擔傳統(tǒng)的加解密算法的功率與成本的開銷。此外，傳統(tǒng)的加密算法大多基于現(xiàn)有的計算機無法在短時間內對其進行破解。隨著擁有迅速執(zhí)行巨量復雜的因數(shù)分解能力的量子計算機的出現(xiàn)，很多傳統(tǒng)的加密方法將不再可靠。

與此同時，如何利用無線信道的本質傳輸特性將原本不利的因素轉化成用于維護傳輸?shù)陌踩缘姆椒ǖ玫搅藝鴥韧獾膹V泛關注。作為上層加密方法的一種補充或代替，物理層安全利用信道的多徑、互易性、空間唯一性等特征在底層提高無線通信系統(tǒng)的安全性。物理層安全的本質就在于利用信道的噪聲和多徑特性的不確定性來加密發(fā)送信息，使得竊聽者獲得發(fā)送信號的信息量趨向于零。物理層安全的理論基礎是Shannon建立的物理層安全模型［3］。該模型下的安全是從信息論角度下嚴格意義上的絕對安全，要求密文數(shù)據(jù)和明文數(shù)據(jù)相互獨立。然而該結論是一種悲觀的結果，因為加密密鑰至少達到“一次一密”時才能夠達到絕對安全。Wyner引入了竊聽信道的模型［4］，表明當竊聽者的信道是合法接收者的退化信道時，存在某種方法在保證不泄露給竊聽者任何信息的條件下，最大化發(fā)送者到合法接收者的傳輸速率。在Wyner模型的啟發(fā)下，很多文獻提出在先驗的信道狀態(tài)信息（Channel state information，CSI）的幫助下設計預編碼矩陣的無密鑰安全方案。其出發(fā)點是利用無線信道以及噪聲內在的隨機性使得合法接收者的信道優(yōu)于竊聽者來限制非法接收者獲得的信息量。然而在文獻［5］中，Maurer認為 Wyner的退化竊聽信道假設未必合理，并最先提出了一種當竊聽者的信道優(yōu)于合法接收者時仍可以進行安全通信的方法。該方法的核心在于讓合法通信雙方通過公共信道和無差錯的反饋信道通信共同產(chǎn)生一組安全密鑰。此后，基于信息論安全的物理層安全的研究發(fā)展為兩條主線［6］：由 Wyner引導的無密鑰安全和由Shannon和Maurer引導的無線密鑰安全機制。

1 安全容量

在以上兩個領域的研究中，無線信道安全容量的分析是物理層安全的研究基礎。物理層安全的安全容量決定了合法接收端可以正確接收而竊聽者卻無法獲取的信息的最大可達通信速率，以及通信網(wǎng)絡能提供的服務質量的高低。圖1描述了物理層安全的基本模型，其中Alice代表發(fā)送端，Bob代表接收端，而Eve代表竊聽端。

圖1 物理層安全基本模型Fig.1 Basic model of physical layer security

1.1 無密鑰安全系統(tǒng)下的容量

無密鑰安全方案的出發(fā)點是合法接收者的信道條件優(yōu)于竊聽者的信道。該模型下的安全容量可以描述為

式中，CM和CE分別為合法接收者和竊聽者的信道容量。在衰落信道中，合法接收者和竊聽者的信道容量分別為

式中：γM和γE分別為合法接收信道和竊聽信道的信噪比。因此，如果發(fā)送端可以獲取合法接收者和竊聽者完整的信道狀態(tài)信息，就存在某種方法達到上述的安全容量。在頻分雙工（Frequency division duplex，F(xiàn)DD）系統(tǒng)中，發(fā)送端可以通過接收端的反饋而獲得信道狀態(tài)信息，而在時分雙工（Time division duplex，TDD）系統(tǒng)中發(fā)送端利用上下行信道的短時互易性獲取CSI。盡管CSI的估計非常容易受到天線等硬件設備的影響，獲得完美的CSI是不現(xiàn)實的，但該假設下的研究指出了系統(tǒng)性能的上界。

Carleial和Hellman［7］研究了二進制對稱竊聽信道的安全容量，Barros等［8］分析了慢衰落竊聽信道的終端安全速率，并指出在竊聽信道的信道狀況優(yōu)于合法接收信道的信道狀況下，仍可實現(xiàn)保密通信，而Li等［9］分析了合法信道為加性高斯白噪聲信道（Additive white Guassian noise，AWGN），竊聽信道為瑞利衰落信道的安全速率。對于平穩(wěn)衰落的多輸入多輸出（Multiple input multiple output，MIMO）信道，如果任意天線間的衰落都相互獨立，那么MIMO系統(tǒng)的安全容量隨著天線數(shù)的增多而增大［10］。文獻［11－12］分別分析了平坦Rayleigh衰落信道和Rice平坦衰落信道存在空域相關時的系統(tǒng)容量，其結果表明，系統(tǒng)的信道容量在很大程度上會受到多徑的相關性的影響。Hero在文獻［13］中設計了多種不同的空時編碼在已知各個信道的CSI的情形下來實現(xiàn)保密通信。文獻［14－18］對不同中繼方式下竊聽信道的安全容量進行了研究。

除了安全容量，控制竊聽端的SNR的方法一定程度上可以限制竊聽者的行為，但是無法實現(xiàn)完美的安全傳輸。

1.2 無線密鑰共享方案下的容量

令X為Alice的發(fā)送信號，Y為Bob的接收信號，而Z是Eve的接收信號，PX，Y，Z為X，Y和Z的聯(lián)合分布函數(shù)。d為系統(tǒng)中的相干距離，超出相干距離之外的竊聽者獲得的信道觀測值可以看作和合法雙方的信道觀測值之間是統(tǒng)計獨立的。

在該模型下Alice和Bob可以從無噪公共信道中獲得的最大安全容量可以描述為C（X；Y｜｜Z），該速率的上界和下界可以表述為［4］

Ahlswede［19］對該方法進行了理論研究，表明在有一個幫助者可以提供額外的相關信息時，該方法的安全容量可以增大。Maurer和Wolf隨后擴展了安全共享密鑰的分析，在文獻［20］中考慮了存在主動竊聽者的情況，并表明在該情況下，如果可以獲得一致的安全密鑰，那么該系統(tǒng)可以產(chǎn)生和被動竊聽情況中相同速率的密鑰。

基于密鑰共享的物理層方法的另一突破在于利用了無線通信信道內在的互易性和隨機性生成信道密鑰。鑒于合法接收雙方和竊聽者的信道之間是相互獨立的，文獻［21］將接收信號相位差轉化成為密鑰［21］。在文獻［22］中，Renna和 Bloch給出了MIMO系統(tǒng)模型，在輸入高斯信號情況下，系統(tǒng)生成的安全密鑰容量為

式中：Hb和He分別表示合法接收者和竊聽者與發(fā)送者之間的信道，QX則表示發(fā)送信號的發(fā)送信號X的協(xié)方差。

2 無密鑰的安全方案

無密鑰的安全方案主要集中在多天線系統(tǒng)中對空域冗余的利用，通過對波束成形、人工噪聲（Artificial noise，AN）以及中繼節(jié)點的設計與功率的分配優(yōu)化系統(tǒng)的安全容量。

2.1 波束成形

波束成形可視為一種預編碼技術，其中迫零波束成形技術在MIMO通信系統(tǒng)和協(xié)作中繼網(wǎng)絡中應用非常廣泛［23］，其核心思想是通過使發(fā)射信號位于非法接收者的零空間，避免信息被非目標節(jié)點接收。令波束成形向量為w，則其應當滿足w位于hae的零空間內，即

然而，實際上竊聽端的CSI很難精確獲得，并且CSI的偏差對w的設計影響較大。文獻［24］研究了多用戶MIMO有限反饋系統(tǒng)中的一種收發(fā)聯(lián)合波束成形的方法，該方法采用每個用戶酉速率控制的方法，降低了對CSI的敏感性和系統(tǒng)的復雜度。文獻［25］則研究了在僅知道部分CSI情況下的系統(tǒng)設計。文獻［15］在放大轉發(fā)（Amplify－andforward，AF）、譯碼轉發(fā)（Decode－forward，DF）、合作干擾（Cooperative jamming，CJ）3種中繼方式下，對存在一個或多個竊聽者的協(xié)作通信系統(tǒng)的波束成形矢量進行了設計與討論。

2.2 人工噪聲

人工噪聲是一種有效的增強系統(tǒng)安全的手段，通過對發(fā)射信號中加入適當?shù)娜斯ぴ肼?，可以保證在合法接收者不受很大影響的同時對竊聽者實現(xiàn)強干擾，從而提高用戶的安全通信速率。該方法以一部分發(fā)送功率作為犧牲，人為地增大合法接收者和竊聽者之間的信道條件差距，因此，即便合法接收者信道噪聲大于竊聽者信道，在該方法下還是可以進行安全傳輸。

Goel和Negi［26］在確知Bob的CSI的情況下，在Alice端產(chǎn)生AN。因為該AN映射在Bob的零空間，Bob端的接收信號不會收到AN的影響，而Eve端的信號受到了強干擾。文獻［27－30］分別討論了衰落信道、離散無記憶信道和高斯對稱干擾信道下的AN設計。文獻［31］從服務質量（Quality of service，QoS）的角度將該方法擴展到多竊聽者的情況，在安全傳輸速率和信噪比的約束下對人工噪聲方差矩陣和波束成形矩陣進行聯(lián)合優(yōu)化。除了可以在發(fā)送端發(fā)送AN，Lai等［32］研究了模加信道下的在接收端發(fā)送AN的方案，表明如果Bob在接收的同時發(fā)送均勻分布的AN，該信道的容量可以達到?jīng)]有竊聽者時的容量。在接收端發(fā)送AN的方案無需Alice與Bob之間的CSI，而接收端可以將AN的影響減去［33］。

然而上述方案并沒有考慮具體的攻擊方式，考慮如圖2所示一個單輸入單輸出（Single input single output，SISO）系統(tǒng)，Bob端通過發(fā)送AN增強系統(tǒng)的安全速率，而Eve擁有兩根天線。Bob和Eve端的接收信號分別可以表示為

式中：s1（t）和s2（t）分別為 Alice端的發(fā)送信號和Bob端發(fā)送的 AN，hab，hbb，hae，hbe分別表示 Alice與Bob之間，Bob的發(fā)送天線和接收天線間以及Alice，Bob與Eve之間的信道響應。當信道的SNR足夠高，式（8）恰好可以看作基本的盲分離的瞬時線性混合模型

式中：H是未知混合矩陣，根據(jù)盲分離算法可以找到一個分離矩陣W，重構出發(fā)送信號

為了抵抗該攻擊可以設計人工噪聲，可以在AN中適當?shù)囊牒桶l(fā)送信號的相關，在接收信號和重構信號與發(fā)送信號的相關性中作折衷，或使得盲分離的等效混合矩陣隨著時間隨機變化。

2.3 協(xié)作通信

在長距離的無線通信系統(tǒng)中，發(fā)送端發(fā)射功率有限，因此協(xié)作中繼必不可少。盡管中繼可以有效地抵御無線信道的衰落，中繼節(jié)點也可能同時竊取轉發(fā)的信息。中繼節(jié)點對接收信號的處理方式主要有放大轉發(fā)（Amplify forward）和譯碼轉發(fā)（Decode forward）兩種。AF方式下，中繼節(jié)點在收到源節(jié)點信息后，適當放大后轉發(fā)目的節(jié)點；而DF中繼方式下，中繼節(jié)點對接收到的信息先進行解碼，再對信號重新進行編碼、調制轉發(fā)目的節(jié)點。文獻［14］首次對以上各種中繼竊聽信道模型進行了研究。文獻［15］指出即便中繼節(jié)點不可信，它仍然可以提高系統(tǒng)的安全速率。另外，在不同的中繼方式下，系統(tǒng)的安全容量都不同。由于AF中繼方式無需解碼，竊聽成功率低，相對DF方式可以更加有效地提高系統(tǒng)的安全速率。

如圖2所示，除了傳統(tǒng)的轉發(fā)（Relay）功能，中繼節(jié)點還可以作為協(xié)作干擾者（Jammer），或者在轉發(fā)的同時對竊聽信號發(fā)送干擾信息（Helper）。文獻［16］以最大化安全容量為目標，推導出各種不同協(xié)作機制下的最佳中繼信息加權向量。文獻［17－18］分別討論了多天線和雙向中繼協(xié)作中的物理層安全問題，結合上述的波束成形和人工噪聲的方法，有效地提高無線通信系統(tǒng)的安全容量。

圖2 中繼協(xié)作Fig.2 Relay cooperation

3 無線密鑰共享方案

與上文的無密鑰安全方案相比，無線密鑰共享方案除了理論分析與仿真，眾多基于實際應用的密鑰生成方案也已經(jīng)陸續(xù)被提出。文獻［34］在移動和靜止情況下實驗證實了基于接收信號強度（Receive signal strength，RSS）生成的密鑰生成方案的有效性。MIMO系統(tǒng)可以滿足高數(shù)據(jù)速率的需求，因而得到了廣泛的使用。而在MIMO系統(tǒng)下無線密鑰共享方案中的密鑰的隨機性和生成速率都有所提高，部分文獻［35］試圖探索MIMO系統(tǒng)下的信道密鑰提取方案。然而出于空間、費用、內耗等方面的考慮，目前文獻中的MIMO系統(tǒng)只是用多個網(wǎng)卡等分布式節(jié)點構成的虛擬MIMO網(wǎng)絡，至今還沒有文獻在真正的MIMO系統(tǒng)上對無線共享密鑰安全方案進行驗證。

無線密鑰共享方案的典型流程包括信道測量、量化、信息調和與隱私放大4個步驟［36］。而衡量一種密鑰生成方法的優(yōu)劣通常有3個標準：

（1）密鑰熵：安全方案中密鑰熵的大小表明了密鑰的隨機性。由于信息調和與隱私放大的方法是公開的，當密鑰的隨機性不夠時，竊聽者將更容易破解該安全方案。而NIST測試是國際上認可的熵測試方法。

（2）比特錯誤率：該方案下的比特錯誤率不是傳統(tǒng)的通信系統(tǒng)下的誤碼率，而是Alice和Bob端各自生成密鑰的比特不一致。

（3）密鑰生成速率：密鑰生成速率指的是在經(jīng)過了隱私放大階段丟棄了部分比特后的密鑰速率，該方法與信號特征選取、測量值量化以及隱私放大的方法都息息相關。

3.1 互易性驗證

移動通信TDD系統(tǒng)中，上下行采用相同頻率，在無線信道中經(jīng)歷了相似的環(huán)境，具有短時互易性。此外，不同空間的無線信道特征是唯一的，當竊聽者離合法接收者的距離超過波長的數(shù)量級時，無線信道特征將不再相關。在移動通信中，終端的移動或信道環(huán)境的變化都將引起信道的特征快速的變化，而這種無線信道的特征的變化是隨機的、不可預測的。

盡管無線信道具有短時互易性，在互易性的實驗中，測量值是高度相關的，但是并不完全相同。影響互易性的因素可以分為通信系統(tǒng)的半雙工性、非對稱的硬件指紋以及噪聲這3類。文獻［34］提出通過插值濾波的方法試圖將測量值平移到同一個時間點，解決時間差的影響。非對稱的硬件指紋是影響測量值一致性最大的因素，尤其在MIMO系統(tǒng)中，引入多天線后，天線間的差異、發(fā)送接收濾波器的不同將導致測量值相差甚遠。文獻［37］在頻域將硬件指紋建模成為加性分量，并提出一種信道增益補償（Channel gain compensation，CGC）的方法，統(tǒng)計信道先驗信息，對測量值進行補償。然而實際上硬件指紋可以表述為發(fā)送接收濾波器，簡單的建模為頻域加性分量未必合理。而互易性是無線密鑰生成方案的基礎，如何對測量值的補償和修正至關重要。

3.2 特征提取

在信道測量環(huán)節(jié)中RSS、時頻域信道沖激響應（Channel impulse response，CIR）以及接收信號的相位、時延、包絡都是典型的測量變量。這些信道特征有各自的優(yōu)點和限制，RSS和信號深衰落的方法的硬件復雜度低但獲取的信息模糊［38］；CIR方法的復雜度高，但可以獲取高密鑰生成速率［39－42］；相位、時延可以產(chǎn)生更高的密鑰熵，可是無法確保密鑰的一致性。

文獻［34］利用網(wǎng)卡中已有的RSSI測試信道的RSS值，雖然基于RSS的密鑰提取方法易于實現(xiàn)，但是該類方法只提供了無線信道的粗略信息，往往提取密鑰比特速率較低。實驗表明移動環(huán)境中RSS的值變化較大，可以產(chǎn)生充分的隨機分布的密鑰而當通信雙方的環(huán)境不發(fā)生變化時，信號強度的測量值變化很小，產(chǎn)生的密鑰信息量嚴重不足。文獻［43－46］利用電子可控式寄生陣列散熱（Electronically steerable parasitic array radiator，ESPAR）天線來動態(tài)調整發(fā)送天線的方向增益來加快接收端信號強度的測量值的變化。相比RSS方法，電子可控式寄生陣列散熱的多載波可以提供更多信道信息，文獻［47－56］在正交頻分復用（Orthogonal frequency division multiplexing，OFDM）系統(tǒng)中通過估計CIR，獲得精細的信道信息來提高密鑰比特速率。文獻［56］從理論上分析比較了RSS和CIR兩種信道特征，并指出由于RSS比CIR的自由度低，基于CIR的方法產(chǎn)生的共享密鑰要遠遠高于RSS方案。文獻［51］提出了在多徑窄帶信道下利用均勻分布的相位信息來生成密鑰。盡管時延和相位信息的隨機性更高，相位和時延在通信系統(tǒng)中很容易受到硬件設備的影響，難以實際應用。

在上述基于無線信道的衰落特性獲取信道特征的測量值中，往往存在很大的相關性，導致生成的密鑰熵值過低。在生成密鑰比特前對采集到的信道測量值進行時域、頻域以或空間域去相關可以增強生成密鑰的隨機性。文獻［34］使用了離散卡洛變換（Karhunen－Loeve Transform，KLT）的方法，去除了測得的相鄰的RSS值之間的時間相關性。文獻［39］對測得的導頻序列進行白化，而文獻［44］則采用了跳頻的方法降低相鄰時間的測量數(shù)據(jù)之間的相關性。文獻［48］系統(tǒng)中通過DCT變換去除時頻響應中的冗余。文獻［54］研究了MIMO下信道相關系數(shù)的時間與空間相關性，對信道向量的協(xié)方差矩陣作特征值分解消除測量值在時間和空間的相關性。

3.3 量化

在無線密鑰共享方案中，測量值的量化方案既要盡可能降低密鑰比特錯誤率，又要產(chǎn)生足夠高速率的密鑰比特。單門限的量化方法［45］是最簡單的方案，量化函數(shù)為每個測量值可以產(chǎn)生1比特的密鑰，適用于文獻［35］中采用深衰落作為信道特征的方案，并且Alice和Bob間生成的密鑰一致性高。但是該方法在測量值接近門限時候量化容易出錯，而且在信道變化緩慢時，生成的密鑰中會出現(xiàn)長串的0和1，隨機性差。文獻［57］將量化函數(shù)改為并將介于兩門限之間的測量值丟棄。該方法下的密鑰生成速率有所下降。Jana在文獻［34］中提出的ASBG（分塊使用量化器）的方法得到了廣泛的認可，該方法采用自適應量化門限，文獻［58］在此基礎上提出了自適應量化門限的方法，通過協(xié)商反復劃分量化門限。文獻［40］提出了多比特量化的方法，量化的比特數(shù)由RSS的取值范圍決定N≤將該范圍內的值等間隔分為2N個區(qū)間，并和Gray碼一一對應。由于發(fā)生錯誤時Gray碼間只有1比特不同，采用Gray碼可以提高收發(fā)雙方的密鑰一致性。該方法生成密鑰的速率高，但是量化的比特數(shù)越多，產(chǎn)生錯誤的概率就越大。文獻［53］提出了帶奇偶校驗的多比特量化，在初始量化比特后添加一位奇偶校驗位，丟棄校驗錯誤的密鑰組，并根據(jù)錯誤概率表來調整量化階數(shù)。針對OFDM信號，文獻［37］為各個子載波提出了頻域量化方法。各子載波的量化比特數(shù)取決于測得的信道信息的累積分布函數(shù)F（qk）。文獻［36］從密鑰長度和一致性方面比較了等概率量化、均勻量化和最小均方誤差量化3種量化方法，并指出在實際的密鑰生成過程中，等概量化是一種簡單又常用的量化方案。

根據(jù)上文所述，每種量化方法都有各自的優(yōu)缺點，而如何在密鑰的一致性和密鑰的生成速率中做出折衷仍將是下一階段要解決的問題。

3.4 信息調和與隱私放大

信息調和環(huán)節(jié)的目的是糾正通信雙方的比特串中不一致的比特的過程，使通信雙方有一個共同的高度保密的比特串。然而由于Alice和Bob在公共信道進行密鑰協(xié)商，協(xié)商過程中部分信息將泄露給竊聽者，因而好的信息調和算法應使泄露的信息量盡可能的少。文獻［39］提出一種不需要信息調和過程的前向無線密鑰生成機制。該方案面向可穿戴式無線生命監(jiān)護傳感器網(wǎng)絡。由于該應用背景下的無線設備資源有限，難以負擔信息調和環(huán)節(jié)的高功率要求，只能舍棄信息調和環(huán)節(jié)。通過將信號用設計好的Savitzky－Golay濾波器濾波，該方法最終可以以99.8%的正確率在半個小時內產(chǎn)生128個密鑰比特。然而該方案下的緩慢的密鑰生成速率難以滿足大部分應用場景對安全的要求，因而目前信息調和的環(huán)節(jié)還是必不可少的。由Brassard于1994年提出的Caseade協(xié)議［59］是目前最普遍使用的信息調和方法之一。該方法要求收發(fā)雙方對其量化后的比特分別分成固定長度的組，并檢驗每一組的校驗位。當發(fā)現(xiàn)比特不一致時，繼續(xù)分組查找，直到確定出錯的比特的位置。Caseade協(xié)議的有效性取決于劃分的組的大小，如果分組太小，那么泄露到竊聽者的信息量就太大，相反的如果分組太大，糾錯也將更加困難。該協(xié)議在誤比特率較小時，該協(xié)議能獲得較大的信息率；相反誤比特率高時，效率較低。Sugimoto和 Yamazaki［60］通過在第二輪糾錯后用BICONF基礎協(xié)議來糾正剩余的錯誤，優(yōu)化了Caseade協(xié)議。BICONF基礎協(xié)議的核心思想是讓收發(fā)雙方從量化后的比特中選擇相同位置上的子比特串各自檢驗奇偶校驗位，若不相同則通過折半查找來找尋錯誤比特。由于信息調和本質上也是進行糾錯的過程，所以很多信息調和方法是基于糾錯編碼理論實現(xiàn)的，例如，文獻［45］采用了BCH 碼，文獻［61－62］采用了低密度奇偶校驗碼（Low density parity check code，LDPC）編碼校正初始量化序列中的不匹配比特，文獻［63］則采用了Reed－Muller碼來實現(xiàn)信息調和。

由于在信息調和的過程中，Alice和Bob泄露了部分信息給Eve，Eve可以根據(jù)這些信息預測出密鑰的部分信息。隱私放大環(huán)節(jié)將通過舍棄一些信息調和環(huán)節(jié)已經(jīng)協(xié)商好的密鑰，或通過某種映射對密鑰進行壓縮，使得Eve根據(jù)已有的消息不能推斷出隱私放大后的密鑰的任何信息。隱私放大環(huán)節(jié)往往是以犧牲密鑰的生成速率為代價的。Bennett在文獻［64］給出利用Hash函數(shù)，以二階Rayleigh熵作為隨機性的衡量標準，給出了隱私放大的完整證明。Maurer提出了兩種隱私放大的協(xié)議：基于通用Hash函數(shù)和提取器的隱私放大的方法。盡管隱私放大環(huán)節(jié)并不能增加原有的密鑰的隨機性，但是卻避免了弱密鑰導致加密算法出現(xiàn)漏洞的幾率。

4 機遇與挑戰(zhàn)

隨著無線用戶對移動通信帶寬的需求的增加，第五代移動通信（The fifth generation mobile communication，5G）的研究已在全球開啟。目前，歐盟的METIS項目已經(jīng)開始構建5G的基礎框架，讓用戶享受極限的網(wǎng)絡體驗。其具體的技術目標為將移動數(shù)據(jù)流量增長1 000倍，典型用戶速率提升100倍，數(shù)據(jù)速率達到10Gb／s，聯(lián)網(wǎng)設備數(shù)量增加100倍，端到端時延縮短5倍。而盡管目前已經(jīng)有眾多組織和企業(yè)開始了5G的研發(fā)，但還沒有全球統(tǒng)一的5G技術標準。同樣在該技術目標下，5G系統(tǒng)的安全問題也更加突出。近年來，移動支付與社交網(wǎng)絡等應用可以在移動終端上為用戶提供更加隱私和機密的任務。而5G將帶來的更多也更加容易的通信和連接，更多的終端將連接在一起，信息泄露的風險和后果都更嚴重。而針對上述的5G的數(shù)據(jù)速率，即通信數(shù)據(jù)的一個比特需要在0.1ns內完成數(shù)據(jù)的編解碼和加解密和調制解調等工作。此外，車載通信等業(yè)務需要非常短的延時，否則容易造成事故。傳統(tǒng)的分組密碼算法或公私鑰加密技術往往具有很高的計算復雜性和延時，加解密難以在短時間內完成，很難滿足上述速率的要求。

因此，5G的系統(tǒng)下需要一種在保證安全的同時，可以降低算法的復雜度、時延和功耗的輕量級加解密機制。加解密算法可分為流密碼和分組密碼兩類。對于分組加密算法來說有數(shù)種方法可以降低硬件實現(xiàn)的門數(shù)：使用更小的分組長度以節(jié)省內部觸發(fā)器所使用的門數(shù)。而流密碼，又稱序列密碼，是以一個比特而非一個數(shù)據(jù)組作為基本處理單元進行處理，具有轉換速度快、錯誤傳播低的優(yōu)點，硬件實現(xiàn)電路更簡單。上文所述的基于無線信道互易性特征的密鑰生成技術的密鑰更新快可以滿足安全性的要求。將該密鑰與流加密結合，將更加適用于5G系統(tǒng)。

然而，物理層安全的技術在實際應用中還存在很多挑戰(zhàn)。例如，在無密鑰的安全方案中，當空域冗余不足時，基于人工噪聲的方法將引入大量噪聲，影響正常接收。而在CSI無法獲取或估計有偏差時，該安全方案將很容易失效。同樣地，在無線密鑰共享方案中，若無法對信道測量值進行有效的補償，將無法生成收發(fā)雙方一致的密鑰。而面對主動竊聽者，物理層安全的方案往往很脆弱。這兩種方案都很難抵抗在物理位置上靠近合法終端的竊聽者以及對通信過程持續(xù)發(fā)送干擾的竊聽者的攻擊。此外，文獻［65］對基于信道互異性的物理層信道特征提取密鑰算法進行了脆弱性分析，并實驗證明了當竊聽者在已知它和合法接收者們之間的信道信息，又知道合法接收者發(fā)送的訓練序列的情況下，可以重構出周圍的物理環(huán)境，仿真出信道信息從而竊取密鑰信息。因此，如何應對這些主動攻擊者將是物理層安全方案要解決的難題。

5 結束語

本文詳細綜述了無線通信物理層安全方法，回顧了二十余年來由Wyner引導的無密鑰安全以及由Shannon和Maurer引導的基于密鑰的物理層安全機制的發(fā)展。無密鑰安全方案主要通過對波束成形、人工噪聲以及協(xié)作中繼的優(yōu)化設計，增大合法接收者和非法接收者信道條件的差異，從而最大化信道的安全容量。隨后，本文從信道測量、測量值量化、信息調和與隱私放大4個方面分別討論了無線密鑰生成算法的理論依據(jù)并對比了基于各種不同信道特征的密鑰的生成算法的優(yōu)劣。盡管物理層安全的理論分析已經(jīng)趨向成熟，然而在CSI的精確估計上的偏差和信道互異性的不一致導致該方法短時間內還無法得到商用。若需抵御主動竊聽者的攻擊，物理層安全需要和上層的安全機制適當結合，才可以更大程度上保障無線通信的安全。

［1］Okamoto T，Yamamoto H.Modern cryptography［M］.Japan：Sangyo－Tosho，1997.

［2］Kasahara M，Sakai R.Cryptography［M］.Kyoritsu，2002.

［3］Shannon C E.Communication theory of secrecy systems［J］.Bell Sys Tech Journ，1949，28：656－715.

［4］Wyner A D.The wire－tap channel［J］.Bell Sys Tech Journ，1975，54：1355－1387.

［5］Maurer U.Secret key agreement by public discussion from common information［J］.IEEE Trans Inf Theory，1993，39（3）：733－742.

［6］Mukherjee A，F(xiàn)akoorian S A A，Huang J，et al.Principles of physical layer security in multiuser wireless networks：A survey［J］.ArXiv Preprint ArXiv：2010，1011：3754.

［7］Carleial A B，Hellman M.A note on Wyner′s wiretap channel［J］.IEEE Trans Inf Theory，1977，23（5）：625－627.

［8］Barros J，Rodrigues M R D.Secrecy capacity of wireless channels［J］.IEEE Trans Inf Theory，2006，24（3）：339－348.

［9］Li Z，Yates R，Trappe W.Secret communication with a fading eavesdropper channel［C］∥IEEE Inter－national Symposium on Information Theory.Nice，F(xiàn)rance：IEEE，2007：1296－1300.

［10］Xiao C，Wu J，Leong S Y，et al.A discrete－time model for triply selective MIMO Rayleigh fading channels［J］.IEEE Trans Wireless Commun，2004，3（5）：1678－1688.

［11］Kermoal J P，Schumacher L，Pedersen K I.A stochastic MIMO radio channel model with experimental validation［J］.IEEE Journal on Select Areas Commun，2002（6）：1211－1226.

［12］Ozcelik H，Herdin M，Weichselberger W，et al.Deficiencies of″Kronecker″MIMO radio channel model［J］.IEEE Electron Letter，2003，39（16）：1209－1210.

［13］Hero A.Secure space－time communication ［J］.IEEE Trans Inf Theory，2003，49（12）：3235－3249.

［14］Oohama Y.Capacity theorems for relay channels with confidential messages［C］∥IEEE International Symposium on Information Theory.Nice，F(xiàn)rance：IEEE，2007：926－930.

［15］He X，Yener A.Cooperation with an untrusted relay：A secrecy perspective［J］.IEEE Transactions on Information Theory，2010，56（8）：3807－3827.

［16］Dong L，Han Z，Petropulu A P，et al.Improving wireless physical layer security via cooperating relays［J］.IEEE Trans Signal Processing，2010，58（3）：1875－1888.

［17］Huang J，Swindlehurst A L.Secure communications via cooperative jamming in two－h(huán)op relay systems［C］∥IEEE Global Communications Conference.Miami：IEEE，2010：1－5.

［18］Jeong C，Kim I M，Kim D I.Joint secure beamforming design at the source and the relay for an amplifyand－forward MIMO untrusted relay system［J］.IEEE Trans Signal Processing，2012，60（1）：310－325.

［19］Ahlswede R，Csisz′ar I.Common randomness in information theory and cryptography－part I：Secret sharing［J］.IEEE Trans Inf Theory，1993，39（4）：1121－1132.

［20］Maurer U M，Wolf S.Secret key agreement over unauthenticated channel—Part I： Definitions and bounds［J］.IEEE Trans Inf Theory，2003，49（4）：822－831.

［21］Koorapaty H，Hassan A A，Chennakeshu S.Secure information transmission for mobile radio［J］.IEEE Commun Letter，2000，4：52－55.

［22］Renna F，Bloch M，RandLaurenti N.Semi blind key agreement over MIMO fading channels ［J］.IEEE Trans Commun，2013，61（2）：620－627.

［23］Dong L，Han A Z，Poor H V.Improving wireless physical layer security via cooperating relays ［J］IEEE Trans Signal Process，2010，58（3）：1875－1888.

［24］盧敏，酆廣增.多用戶 MIMO系統(tǒng)低復雜度收發(fā)聯(lián)合波束成形方法［J］.數(shù)據(jù)采集與處理，2012，27（4）：417－421.Lu Min， Feng Guangzeng.Joint beamforming scheme with low complexity for multiuser MIMO system ［J］.Journal of Data Acquisition and Processing，2012，27（4）：417－421.

［25］Pei Y，Liang Y C，The K C，et al.Secure communication in multiantenna cognitive radio networks with imperfect channel state information［J］.IEEE Trans Signal Processing，2011，59（4）：1683－1693.

［26］Goel S，Negi R.Guaranteeing secrecy using artificial noise［J］.IEEE Trans Wireless Communications，2008，7：2180－2189.

［27］Zhou X，McKay M R.Secure transmission with artificial noise over fading channels：Achievable rate and optimal power allocation［J］.IEEE Trans Vehicular Technology，2010，59：3831－3842.

［28］Tekin E，Yener A.The general Gaussian multipleaccess and two－way wiretap channels：achievable rates and cooperative jamming［J］.IEEE Trans Inf Theory，2008，54：2735－2751.

［29］Tang X，Liu R，Spasojevic P，et al.Interference assisted secret communication［J］.IEEE Trans Inf Theory，2011，57：3153－3167.

［30］Zhu J，Mo J，Tao M.Cooperative secret communication with artificial noise in symmetric interference channel［J］.IEEE Communications Letters，2010，14：885－887.

［31］Liao W C，Chang T H，Ma W K，et al.Joint transmit beamforming and artificial noise design for QoS discrimination inwireless downlink［C］∥IEEE International Conference on Acoustics Speech and Signal Processing.Dallas，Texas， USA：IEEE，2010：2562－2565.

［32］Lai L E，Gamal H，Poor H V.The wiretap channel with feedback：Encryption over the channel［J］.IEEE Trans Inf Theory，2008，54：5059－5067.

［33］Li W，Ghogho M，Chen B，et al.Secure communication via sending artificial noise by the receiver：outage secrecy capacityregion analysis［J］.IEEE Communications Letters，2012，16：1628－1631.

［34］Patwari N J，Croft S J，Jana S，et al.High－rate uncorrelated bit extraction for shared secret key generation from channel measurements ［J］.IEEE Trans Mobile Comput，2010，9（1）：17－30.

［35］Pawar S，Rouayheb E S，Ramchandran K.Securing dynamic distributed storage systems against eavesdropping and adversarial attacks［J］.IEEE Tran Inf Theory，2011，57（10）：6734－6753.

［36］蔡文炳.基于無線信道特性生成密鑰的理論限及量化方法研究［D］.鄭州：解放軍信息工程大學，2013.Cai Wenbin.Research on theoretical limit and quantization methods in secret key generation based on characteristics of wireless channel［D］.Zhengzhou：PLA Information Engineering University，2013.

［37］Liu H，Wang Y，Yang J，et al.Fast and practical secret key extraction by exploiting channel response［C］∥IEEE INFOCOM.Turin：IEEE，2013：3048－3056.

［38］Babak A，Aggelos K，Alejandra M，et al.Robust key generation from signal envelopes in wireless networks［C］∥Proc of ACM CCS.Alexandria：［s.n.］，2007：401－41.

［39］Ali S T，Sivaraman V，Ostry D.Zero reconciliation secret key generation for body－worn health monitoring devices［C］∥Proceedings of the fifth ACM conference on Security and Privacy in Wireless and Mobile Networks.New York，NY，USA：ACM，2012：39－50.

［40］Yasukawa S，Iwai H，Sasaoka H.A secret key agreement scheme with multi－level quantization and parity check using fluctuation of radio channel property［C］∥ Proc of IEEE ISIT.Toronto，Canada：IEEE，2008：732－736.

［41］Liu H，Yang J，Wang Y，et al.Collaborative secret key extraction leveraging received signal strength in mobile wireless networks［C］∥Proc of IEEE INFOCOM.Orlando，F(xiàn)L：IEEE，2012：927－935.

［42］Croft J，Patwari N，Sneha，et al.Robust uncorrelated bit extraction methodologies for wireless sensors［C］∥Proc of ACM／IEEE IPSN.New York：IEEE，2010：978－988.

［43］Li Z，Xu W，Miller R，et al.Securing wireless systems via lower layer enforcements［C］∥Proceedings of the 5th ACM Workshop on Wireless Security.New York，NY，USA：ACM，2006：33－42.

［44］Yao L，Ali S T，Sivaraman V，et al.Decor relating secret bit extraction via channel hopping in body area networks［C］∥2012IEEE 23rd International Symposium on Personal Indoor and Mobile Radio Communications.［S.l.］：IEEE，2012：1454－1459.

［45］Aono T，Higuchi K，Ohira T，et al.Wireless secret key generation exploiting reactance－domain scalar response of multipath fading channels［J］.IEEE Trans Antennas and Propagation，2005，53（11）：3776－3784.

［46］Ohira T.Secret key generation exploiting antenna beam steering and wave propagation reciprocity［C］∥Proc of EUMC.London，UK：［s.n.］，2005：23－27.

［47］Chou T H，Draper S，Sayeed A.Impact of channel sparsity and correlated eavesdropping on secret key generation from multipath channel randomness［C］∥IEEE ISIT.Austin，Texas，USA：IEEE，2010.

［48］Kitaura A，Sasaoka.H.A scheme of private key agreement based on the channel characteristics in OFDM land mobile radio［J］.Electronics and Communications in Japan（Part III Fundamental Electronic Science），2005，88（9）：1－10.

［49］Hajj E.Shehadeh Y，Hogrefe D.An optimal guardintervals based mechanism for key generation from multipath wireless channels［C］∥NTMS′11.Paris，F(xiàn)rance：［s.n.］，2011：1－5.

［50］Hajj E.Shehadeh Y，Alfandi O，et al.Intelligent mechanisms for key generation from multipath wireless channels［C］∥ Wireless Telecommunications Symposium.New York，NY：［s.n.］，2011.

［51］Wallace J W，Sharma R K.Automatic secret keys from reciprocal MIMO wireless channels：Measurement and analysis［J］.IEEE Trans Inf Forensics and Security，2010，5（3）：381－392.

［52］Yasukawa S，Iwai H，Sasaoka H.Adaptive key generation in secret key agreement scheme based on the channel characteristics in OFDM［C］∥International Symposium on Information Theory and Its Applications，ISITA.Auckland：［s.n.］，2008.

［53］Ali S，Sivaraman V，Ostry D.Eliminating reconciliation cost in secret key generation for body－worn health monitoring devices［J］.IEEE Trans Mobile Computing，2013（99）：1.

［54］Chen C，Jensen M A.Secret key establishment using temporally and spatially correlated wireless channel coefficients［J］.IEEE Trans Mobile Computing，2011，10（2）：205－215.

［55］Wallace J.Secure physical layer key generation schemes：Performance and information theoretic limits［C］∥Proc of IEEE ICC.Bremen，Germany：IEEE，2009：1－5.

［56］Kitano T，Kitaura A，Iwai H，et al.A private key agreement scheme based on fluctuations of BER in wireless communications［C］∥The 9th International Conference on Advanced Communication Technology.Guangwon Do，Korea：［s.n.］，2007：1495－1499.

［57］Mathur S，Trappe W，Mandayam N，et al.Radio－te－lepathy：Extracting a secret key from an unauthenticated wireless channel［C］∥Proceedings of the 14th ACM International Conference on Mobile Computing and Networking.San Francisco，California，USA：ACM，2008：128－139.

［58］Kitaura A，Sumi T，Tachibana K，et al.A private key sharing scheme based on multipath time delay in UWB systems［C］∥International Conference on Communication Technology.Guilin：［s.n.］，2006：1－4.

［59］Brassard G，Salvail L.Secret－key reconciliation by public discussion［C］∥Advancesin Cryptology EUROCRYPT′93.Berlin，Heidelberg：Springer，1994：410－423.

［60］Sugimoto T，Yamazaki K.A study on secret key reconciliation protocol［J］.IEICE Trans Fundamentals of Electronics，Communications and Computer Sciences，2000，83（10）：1987－1991.

［61］Madiseh M G，McGuire M L，Neville S S，et al.Secret key generation and agreement in UWB communication channels［C］∥IEEE Global Telecommunications Conference.［S.l.］：IEEE，2008：1－5.

［62］Liu Y，Draper S C，Sayeed A M.Exploiting channel diversity in secret key generation from multipath fading randomness［J］.IEEE Trans Inf Forensics and Security，2012，7（5）：1484－1497.

［63］Wilson R，Tse D，Scholtz R A.Channel identification：secret sharing using reciprocity in ultra wideband channels［J］.IEEE Trans Inf Forensics and Security，2007，2（3）：364－375.

［64］Bennett C H，Brassard G，Crepeau C.Generalized privacy amplification ［J］.IEEE Trans Inf Theory，1995，41（6）：1915－1923.

［65］Dottling N，Lazich D，Muller－Quade J，et al.Vulnerabilities of wireless key exchange based on channel reciprocity［C］∥Information Security Applications，ser.Lecture Notes in Computer Science.Jeju Island，Korea：［s.n.］，2011：24－26.

［66］Edman M，Kiayias A，Yener B.On passive inference attacks against physical－layer key extraction［C］∥Proc ACM European Workshop on System Security，EUROSEC′11.New York，USA：ACM，2011：1－8.