基于信道脈沖響應(yīng)物理密鑰的隨機(jī)性分析*

肖方恒，石 會(huì)，龔 晶

（陸軍工程大學(xué) 通信工程學(xué)院，江蘇 南京 210007）

0 引 言

無線信道的開放性給人們的通信安全帶來巨大的威脅，通信安全是移動(dòng)無線通信中必須要解決的一個(gè)核心問題。隨著計(jì)算機(jī)運(yùn)行速度的不斷提升，傳統(tǒng)加密手段已難以滿足通信安全。近些年來，基于信息論的物理層安全技術(shù)成為解決無線通信安全的新方法。其中，基于信道脈沖響應(yīng)CIR（Channel Impulse Response，CIR）方案生成的物理密鑰具有生成速率較高、一致性好等優(yōu)點(diǎn)[1]。而物理密鑰的隨機(jī)性好是保證信息安全的前提和基礎(chǔ)，隨機(jī)性檢驗(yàn)可以檢測(cè)生成物理密鑰流是否符合隨機(jī)性要求。隨機(jī)性檢驗(yàn)有多種方法，本文采用通用的局部隨機(jī)性檢驗(yàn)方法，即最常用的五種隨機(jī)性檢驗(yàn)方法，分別為：頻數(shù)檢驗(yàn)、序偶檢驗(yàn)、游程檢驗(yàn)、撲克檢驗(yàn)和自相關(guān)檢驗(yàn)。因此，本文主要分析基于CIR生成物理密鑰的隨機(jī)性能。

1 局部隨機(jī)性檢驗(yàn)

基于安全性角度，密鑰流的特性最好是真隨機(jī)的，真隨機(jī)序列具有統(tǒng)計(jì)的隨機(jī)性、不可預(yù)測(cè)性和不可再生性。但實(shí)際密碼系統(tǒng)中使用的密鑰流序列都是偽隨機(jī)序列，即滿足偽隨機(jī)序列應(yīng)該具備的統(tǒng)計(jì)特性：平衡特性、游程特性與自相關(guān)特性，即認(rèn)為密鑰流是隨機(jī)的[2]。從安全性角度考慮，密鑰流的周期通常很長(zhǎng)，而每次通信時(shí)僅使用其中很短的一段密鑰，因此密鑰流中的局部也要求具有很好的隨機(jī)性，即需要對(duì)密鑰流進(jìn)行局部隨機(jī)性檢驗(yàn)。本文選取的是最常用的五種局部隨機(jī)性檢驗(yàn)方法，分別是：頻數(shù)檢驗(yàn)、序列檢驗(yàn)、撲克檢驗(yàn)、自相關(guān)檢驗(yàn)和游程檢驗(yàn)。當(dāng)密鑰流能全部通過這五種隨機(jī)性檢驗(yàn)，即認(rèn)為密鑰流是隨機(jī)的。

1.1 測(cè)試的相關(guān)統(tǒng)計(jì)學(xué)概念

本文中的測(cè)試方法主要涉及到兩類統(tǒng)計(jì)學(xué)中的基本分布，下面對(duì)測(cè)試方法所涉及的相關(guān)統(tǒng)計(jì)學(xué)知識(shí)做簡(jiǎn)單介紹[2]：

1.1.1 正態(tài)分布

若隨機(jī)變量X的概率密度函數(shù)（probability density function，pdf）為：

其中，μ，σ為常數(shù)，且σ＞0，則稱X服從參數(shù)為μ，σ的正態(tài)分布，記為X～(μ,σ2)當(dāng)參數(shù)為 (0,1)的正態(tài)分布則稱為標(biāo)準(zhǔn)正態(tài)分布。

1.1.2 χ2分布

設(shè)隨機(jī)變量X1,X2,…,Xn服從標(biāo)準(zhǔn)正態(tài)分布，且相互獨(dú)立，則稱統(tǒng)計(jì)量服從自由度為n的χ2分布。χ2分布的概率密度函數(shù)pdf為：

其中，x≥0。

1.2 隨機(jī)性分析方法

1.2.1 頻數(shù)檢驗(yàn)

頻數(shù)檢驗(yàn)是為了考察一個(gè)密鑰流序列中0和1的平衡性。設(shè)一個(gè)長(zhǎng)度為n的被檢測(cè)密鑰流序列中有n0個(gè)0和n1個(gè)1，根據(jù)式：

計(jì)算x2的值，與χ2分布表中對(duì)應(yīng)的門限值)（其中α表示χ2分布的顯著性水平，v表示χ2分布的自由度）進(jìn)行比較，這里v=1；當(dāng)x2<χα2(v)時(shí)，表示該密鑰流序列通過頻數(shù)檢驗(yàn)。

1.2.2 序偶檢驗(yàn)

序偶檢驗(yàn)用來考察一個(gè)密鑰流序列是否具有合適的轉(zhuǎn)移概率，即兩個(gè)相鄰元素間的不同組合出現(xiàn)次數(shù)是否大致相同。設(shè)一個(gè)長(zhǎng)度為n的被檢測(cè)密鑰流序列中組合00、01、10和11出現(xiàn)的次數(shù)分別為n00、n01、n10和n11，0和1出現(xiàn)的次數(shù)分別為n0和n1，根據(jù)式：

計(jì)算x2的值，并和χ2分布表中對(duì)應(yīng)的門限值進(jìn)行比較，這里v=2；當(dāng)時(shí)，表示該密鑰流序列通過序偶檢驗(yàn)。

1.2.3 撲克檢驗(yàn)

將一個(gè)n比特密鑰流按m比特為單位分組后，撲克檢驗(yàn)用來考察各種組合出現(xiàn)的頻次是否近似相等。假設(shè)各分組中自然數(shù)i(0≤i≤2m-1)出現(xiàn)的次數(shù)為ni，根據(jù)式（5）：

計(jì)算x2的值，其中將x2和χ2分布表中對(duì)應(yīng)的門限值χα2(v)進(jìn)行比較，這里v=2m-1。當(dāng)x2<χα2(v)時(shí)，表示該密鑰流序列通過撲克檢驗(yàn)。(撲克檢驗(yàn)的自由度為v=2m-1，m是分組長(zhǎng)度)。

1.2.4 自相關(guān)檢驗(yàn)

將一個(gè)長(zhǎng)度為n比特的密鑰流序列經(jīng)移位變換后與原序列之間的相關(guān)性，用自相關(guān)檢驗(yàn)來考察。設(shè)序列s經(jīng)d位移位變換后的序列與原序列對(duì)應(yīng)位置上信號(hào)不同的個(gè)數(shù)為c(d)，根據(jù)式（6）計(jì)算C的值：

雙邊分位數(shù)的計(jì)算方法是：計(jì)算1-α/2的值，在正態(tài)分布表中查找該值，該值所對(duì)應(yīng)的最左側(cè)第一列值與第一行值的和為雙邊分位數(shù)，即在顯著性水平α下的門限值[3]。

1.2.5 游程檢驗(yàn)

游程檢驗(yàn)是用來考察一個(gè)長(zhǎng)度為n比特的密鑰流序列中0和1的分布是否合理。設(shè)長(zhǎng)為i的0游程的個(gè)數(shù)為Bi，長(zhǎng)為i的1游程的個(gè)數(shù)為Gi，Bi和Gi的數(shù)學(xué)期望為ei，根據(jù)公式（7）計(jì)算x2的值：

其中，ei=(n-i+3)/2i+2，k為使ei≥5的最大整數(shù)。將x2與χ2分布表中對(duì)應(yīng)的門限值χα2(v)進(jìn)行比較，這里v=2k-2；當(dāng)x2<χα2(v)時(shí)，表示該密鑰流序列通過游程檢驗(yàn)。（游程檢驗(yàn)的自由度為v=2k-2）。

2 物理密鑰生成與隨機(jī)性分析

本文運(yùn)用MATLAB軟件仿真分析基于信道脈沖響應(yīng)生成物理密鑰的隨機(jī)性，具體仿真流程如圖1所示。

圖1 MATLAB仿真流程

首先，合法的通信雙方Alice和Bob基于信道脈沖響應(yīng)生成初始物理密鑰Key_A和Key_B；其次，采用Cascade協(xié)商算法[4]對(duì)密鑰Key_A和Key_B進(jìn)行一致性協(xié)商，以得到完全一致的物理密鑰；最后，對(duì)物理密鑰進(jìn)行隨機(jī)性分析即頻數(shù)檢測(cè)、序偶檢測(cè)、撲克檢測(cè)、自相關(guān)檢測(cè)和游程檢測(cè)。

2.1 物理密鑰生成

物理密鑰的具體生成過程可分為3個(gè)階段[5]：首先，構(gòu)造瑞利衰落信道的Jakes模型[6]，其中多徑數(shù)目N=50，載波頻率ωc=2*10-9rad/s，采樣頻率fs=20 Hz，最大多普勒相移ωm=2*πrad/s。本文選取瑞利衰落信道的同相分量作為CIR的理論值，將其疊加上信噪比為30 dB高斯白噪聲后作為CIR的估計(jì)值；然后，合法通信雙方分別對(duì)CIR估計(jì)值進(jìn)行多比特自適應(yīng)量化（Multi-bit Adaptive Quantization，MAQ）、編碼，分別得到初始物理密鑰Key_A、Key_B；最后，采用Cascade密鑰協(xié)商算法以得到完全一致的物理密鑰。經(jīng)過MAQ量化、編碼和Cascade協(xié)商后，每次隨機(jī)仿真產(chǎn)生了2 000比特一致的物理密鑰，經(jīng)過15次隨機(jī)仿真可得到30 000 bit完全一致的物理密鑰。考慮到實(shí)際系統(tǒng)中密鑰加密長(zhǎng)度，本文中選取分組為256比特物理密鑰進(jìn)行隨機(jī)性分析。從30 000 bit物理密鑰中選取前25 600 bit，可得到100組、每組256 bit的一致物理密鑰流，然后分析這100組物理密鑰流的隨機(jī)性。前10組、每組256 bit物理密鑰流如表1所示。

表1 前10組、每組256比特的一致物理密鑰流

2.2 隨機(jī)性分析

在MATLAB仿真程序中，對(duì)100組、每組256 bit的物理密鑰流進(jìn)行五種隨機(jī)性測(cè)試，前10組、每組256 bit物理密鑰流的五種隨機(jī)性檢測(cè)指標(biāo)如表2所示。

表2 前10組物理密鑰流隨機(jī)性檢測(cè)結(jié)果

從表2中可以看出：第7、9組物理密鑰流未通過頻數(shù)檢測(cè)，第7、9、10組物理密鑰流未通過序偶檢測(cè)。

在進(jìn)行的100組物理密鑰的五種隨機(jī)性測(cè)試中，未通過隨機(jī)性測(cè)試的組號(hào)如表3所示。

表3 100組物理密鑰流未通過隨機(jī)性檢測(cè)組號(hào)

由表3可以看出，在100組物理密鑰中，未通過頻數(shù)檢測(cè)共21組，未通過序偶檢測(cè)共19組，4組物理密鑰未通過撲克檢測(cè)，5組物理密鑰未通過自相關(guān)檢測(cè)，1組物理密鑰未通過游程檢測(cè)；頻數(shù)檢測(cè)和序偶檢測(cè)的通過率比較低；共計(jì)71組物理密鑰均通過五種隨機(jī)性檢測(cè)。由此可知，基于CIR的物理密鑰隨機(jī)性能較好。

3 結(jié) 語

本文介紹了常用的五種隨機(jī)性測(cè)試方法，利用MATLAB軟件生成了基于信道脈沖響應(yīng)CIR的物理密鑰，經(jīng)過量化,編碼和協(xié)商后，得到完全一致的物理密鑰，并將一致的物理密鑰分成100組,每組256 bit，對(duì)這100組物理密鑰進(jìn)行五種隨機(jī)性測(cè)試，隨機(jī)性測(cè)試表明，100組物理密鑰中，有71組物理密鑰能全部通過五種隨機(jī)性測(cè)試，即通過率為71%，說明基于CIR信道脈沖響應(yīng)生成物理密鑰的隨機(jī)性較好。