波动误差量化辅助的改进Cascade协议

周壮; 骆俊杉; 谢顺钦; 陈宇豪; 王世练; ZHOU Zhuang; LUO Junshan; XIE Shunqin; CHEN Yuhao; WANG Shilian

doi: 10.11887/j.cn.202501015

周壮¹ ，骆俊杉¹ ，谢顺钦² ，陈宇豪¹ ，王世练¹

1. 国防科技大学电子科学学院, 湖南长沙 410073

2. 中国工程物理研究院电子工程研究所, 四川绵阳 621999

基金项目: 国家自然科学基金资助项目（62171445, 62201590）

详细信息

作者简介

周壮（1995—），男，河南驻马店人，博士研究生，E-mail: zz0703@outlook.com

通讯作者

王世练（1976—），男，江苏徐州人，教授，博士，博士生导师，E-mail: wangsl@nudt.edu.cn

中图分类号: TN92

文献标识码: A

文章编号: 1001-2486(2025)01-158-10

Fluctuation error quantization aided improved Cascade protocol

ZHOU Zhuang¹ ， LUO Junshan¹ ， XIE Shunqin² ， CHEN Yuhao¹ ， WANG Shilian¹

1. College of Electronic Science and Technology, National University of Defense Technology, Changsha 410073 , China

2. Institute of Electronic Engineering, China Academy of Engineering Physics, Mianyang 621999 , China

摘要

针对经典的Cascade协议协商效率低、容易造成密钥泄露的问题，提出波动误差量化辅助的改进Cascade协议。在信息协商之前，分析合法节点的信道幅度特征波动差异的统计特征，利用统计特性提出了一种波动误差量化方法。基于所提量化方法，采用奇偶分组和分块协商的方式设计了一种改进的Cascade协议。仿真结果表明，所提改进Cascade协议以牺牲部分的协商成功率为代价有效提升了协商协议的协商效率，降低了信息协商所需的计算复杂度和密钥信息泄露的可能性。此外，与现有密钥生成方案相比，基于所提改进的Cascade协议的密钥生成方案具有较低的密钥不一致率和较高的密钥生成速率。

关键词

物理层安全 / 密钥生成 / 信息协商 / 协商效率

Abstract

Aiming at the problems of low reconciliation efficiency and key leakage of the classical Cascade protocol, an improved Cascade protocol aided by fluctuation error quantization was proposed. Before reconciliation, the statistical characteristics of the fluctuation difference of channel magnitude feature of legitimate nodes were studied and a fluctuation error quantization method was proposed by using it. Based on the proposed quantization method, an improved Cascade protocol was designed by parity grouping and partitioning reconciliation. Numerical results demonstrate that the proposed improved Cascade protocol effectively improve the reconciliation efficiency, reduces the computational complexity required for information reconciliation and the possibility of key information leakage at the cost of partial reconciliation success rate. In addition, compared with the existing key generation schemes, the key generation scheme based on the proposed improved Cascade protocol has a lower key inconsistency rate and a higher key generation rate.

Keywords

physical layer security / key generation / information reconciliation / reconciliation efficiency

1 系统模型 2 信息协商协议设计 2.1 波动误差量化方法 2.2 改进的Cascade协议设计 3 性能分析 3.1 性能评估指标 3.1.1 信息协商性能评估指标 3.1.2 密钥生成方案性能评估指标 3.2 安全性能分析 3.3 计算复杂度分析 4 数值仿真 4.1 协商性能仿真 4.2 密钥生成方案性能仿真 5 结论

第五代移动通信技术及其他网络使物联网支持数十亿智能设备连接到网络^[1-2]。然而，无线信道的开放广播特性和大规模物联网环境会导致许多安全威胁和漏洞^[3-4]。随着计算机技术的发展，传统加密方法的安全性正受到威胁，直到Wyner提出了一种窃听通道^[5]，为不依赖私钥的安全通信奠定了基础。作为对传统加密方法的补充，物理层加密技术利用无线信道特性提取、管理和分发密钥，实现信息的安全传输^[6-7]。Maurer 和Ahlswede等^[8-9]最早对无线信道特征进行研究，为密钥生成技术奠定了理论基础。通常，物理层密钥生成方案包括四个阶段：信道探测、特征量化、信息协商和隐私放大^[10-12]。

特征量化是将信道测量值映射到二进制序列中的操作，其困难在于密钥不一致率（key inconsistency rate，KIR）和密钥生成速率（key generation rate，KGR）之间的权衡^[13]。为了提高KIR，文献^[12]提出了水平交叉量化（level-crossing quantization，LCQ）方法，将超过门限值的连续几个测量值映射为1 bit，缺点是量化效率过低。文献^[14-15]使用基于保护带的量化方法，可以有效降低KIR，这是因为其舍弃了位于门限阈值附近的测量值。为了提高KGR，文献^[16]提出基于随机系数和滑窗乘积的无线密钥生成（random coefficient-moving product based wireless key generation，RCMP-WKG）方法，并通过交换合法节点间的量化信息来减少不一致比特，缺点是需要大量信息交互，增加了通信开销，且阈值附近测量值容易受噪声影响而量化错误。为了减少信息交互开销，文献^[17]提出了基于滑窗平均滤波的双向差分量化（moving average filtering based bidirectional difference quantization，MAF-BDQ）方案，但其对噪声很敏感，在低信噪比环境下，会出现大量不一致的比特。为了提高合法信道的互易性，有些方案在量化前使用了预处理技术，例如插值^[15]、滑窗^[17]、卡尔曼滤波器^[18]等。此外，还可以用线性变换来削弱测量值间的相关性，提高生成密钥的随机性，如离散Karhunen-Loève变换^[19]和离散余弦变换^[20]。

信息协商是物理层密钥生成方案中重要的步骤，对于生成共享密钥至关重要，因为信息协商不仅会影响共享密钥的建立，而且还会影响系统的KGR^[21-23]。常用的信息协商方法主要有纠错编码和Cascade协议^[11]。纠错编码的思想是将不一致比特视为信息传输中的错误信息，利用纠错码来校正，具有较高的纠错效率，比如低密度奇偶校验（low density parity check，LDPC）码、BCH（Bose-Chaudhuri-Hocquenghem）码等^[24-27]，缺点是计算较复杂，安全性能较差。Cascade协议^[28]最早由Brassard等提出来，与纠错编码相比，因其具有较低的计算复杂度和信息泄漏量而被广泛应用^[29-31]。文献^[29]研究了具有中心节点的动态无线密钥生成模型，采用Cascade协议完成信息协商。文献^[30]提出了广义信道探测和预处理技术，并利用Cascade协议来消除不一致密钥。文献^[31]分析Cascade协议的性能，讨论其优缺点和优化的可能性，并提出其应用的次优参数。然而，由于Cascade协议需要频繁地交换奇偶校验码来搜索错误比特，特别是当搜索范围小于等于3 bit时，奇偶校验码的相互作用会泄露这3 bit信息。为此，文献^[32]提出用截止二分搜索方案，当错误比特所在分组长度小于等于3 bit时，停止搜索并直接删除，缺点是未考虑信息交互开销，协商效率（reconciliation efficiency，RE）低。文献^[17]提出了轻量级Cascade协议，即在第一轮协商中对初始密钥进行3 bit相邻分组，然后合法节点删除奇偶校验码不同的分组；第二轮协商用交织技术对剩余密钥进行分组，删除奇偶校验码不同的分组。但在第一轮协商过程中，奇偶校验码会泄露部分密钥信息，对密钥安全性造成严重影响，且需要多轮协商，RE较低。

目前很少有研究考虑信息交互开销，而信息交互开销极大地影响了信息协商的效率。此外，现有工作大多是对量化方法和协商协议单独进行设计，而量化方法将极大地影响协商性能。基于此，提出基于波动误差量化的改进Cascade协议，联合设计量化方法和协商协议，即首先在量化之前利用预处理技术来提高合法节点间信道特征的相关性，并研究合法节点信道幅度特征的统计特征，利用统计特性提出波动误差量化方法；然后基于所提波动误差量化方法，将初始密钥进行奇偶分组，利用相邻分割方法进行3 bit分块，提出改进的Cascade协议；最后系统开展了所提改进Cascade协议和基于Cascade协议的高效密钥生成（efficient Cascade protocol based key generation scheme，ECKG）方案的理论分析和数值研究，探究其优越性。

1 系统模型

本文所考虑系统模型如图1所示，其中Alice和Bob是合法节点，采用时分双工（time division duplex，TDD）通信模式和半双工工作模式^[16，33]。假设被动窃听者Eve距离Alice和Bob足够远，满足合法信道和窃听信道的信道特性互相独立的条件。

图1系统模型

Fig.1System model

假设Alice将信号x_a传输给Bob，则Bob接收到的信号表示为

y_{Bob} = h_{a b} \cdot x_{a} + n_{b}

(1)

其中：

h_{a b} \in C

表示从Alice到Bob的信道系数；n_b为加性高斯白噪声，服从均值为0、方差为 σ²_b的复高斯分布，即n_b~

（0，σ²_b）。当Bob将信号x_b发送给Alice时，他收到的信号为

y_{Alice} = h_{b a} \cdot x_{b} + n_{a}

(2)

其中，

h_{b a} \in C

表示从Bob到Alice的信道系数，n_a~

（0，σ²_a）。TDD系统中的无线信道是互易的，即Alice观察到的Bob信道状态信息与Bob观察到的Alice信道状态信息是一样的。信道的互易性是利用无线信道实现密钥生成的关键，即h_ab≈h_ba=h。

为了不失一般性，Alice和Bob定期或交替地互相发送信道探测信号，以第υ轮信道探测为例来说明信号处理，其中1≤υ≤N，N表示信道探测总数。对于单载波系统而言，接收到的Alice和Bob的探测信号^[16]可以分别表示为

y_{B o b, v} = h_{v} \cdot s + n_{b, v}

(3)

y_{Alice, v} = h_{v} \cdot s + n_{a, v}

(4)

其中：s代表信道探测信号；h_υ表示第υ轮信道探测期间的合法信道系数； n_b，_υ和n_a，_υ是独立的加性高斯白噪声，即n_b，_υ~

（0，σ²_b，_υ），n_a_，_υ~

（0，σ²_a，_υ）。根据最小二乘算法，由Alice和Bob估计的等效信道可以表示为

{\hat{h}}_{a, v} = h_{v} + z_{a, v}

(5)

{\hat{h}}_{b, v} = h_{v} + z_{b, v}

(6)

其中，z_a，_υ和z_b，_υ表示估计误差。

2 信息协商协议设计

2.1 波动误差量化方法

合法信道的幅度特征可用于生成共享密钥，令

{\hat{h}}_{i ， v} = |{\hat{h}}_{i ， v}| （ i \in {a ， b} ）

表示信道探测的幅度特性。假设经过N轮信道探测后，Alice和Bob可获得足够多的信道探测幅度值，表示为

{\hat{h}}_{i} = [{\hat{h}}_{i, 1}, {\hat{h}}_{i, 2}, \dots, {\hat{h}}_{i, N}], i \in {a, b}

(7)

利用滑窗技术对信道幅度特征进行预处理来提高合法节点间信道幅度特征的相关性，则预处理后的样本数据序列^[17]表示为

{\tilde{h}}_{i} = [{\tilde{h}}_{i, 1}, {\tilde{h}}_{i, 2}, \dots, {\tilde{h}}_{i, u}, \dots, {\tilde{h}}_{i, M}], i \in {a, b}

(8)

其中，

{\tilde{h}}_{i ， u} = \sum_{w}^{W} {\hat{h}}_{i ， （ u - 1 ） p + w} / W

，p和W分别表示滑窗的步长和窗口大小，

M = ⌊ （ N - W ） / p ⌋ + 1

表示待量化样本数据序列长度，

⌊ \cdot ⌋

表示向下取整。

虽然理论上无线空间中上下链路在相干时间内的信道响应是相同的，但是由于加性噪声、时间延迟的不同等因素的影响，一个密钥生成方案必须考虑合法信道的信道状态信息（channel state information，CSI）存在波动差异。波动差异会影响系统KIR，这对于密钥生成至关重要，因为高KIR不仅会导致合法节点之间交换探测数据的次数增加甚至无法建立共享密钥，而且会影响系统的KGR。因此必须弥补波动差异来降低KIR。定义预处理后合法节点间样本序列的均值

\bar{μ}

和标准差σ为

\bar{μ} = \frac{1}{M} \sum_{m = 1}^{M} ({\tilde{h}}_{a, m} - {\tilde{h}}_{b, m})

(9)

σ = \sqrt{\frac{1}{M - 1} \sum_{m = 1}^{M} {({\tilde{h}}_{a, m} - {\tilde{h}}_{b, m} - \bar{μ})}^{2}}

(10)

为了减少合法节点间信息交互带来的系统开销，对于每个合法节点，单独考虑预处理后样本序列的波动统计特征。则每个合法节点独自计算各自的样本序列均值

{\bar{μ}}_{i}

和标准差σ_i（i∈{a，b}），表示为

{\bar{μ}}_{i} = \frac{1}{M} \sum_{m = 1}^{M} {\tilde{h}}_{i, m}, i \in {a, b}

(11)

σ_{i} = \sqrt{\frac{1}{M - 1} \sum_{m = 1}^{M} {({\tilde{h}}_{i, m} - {\bar{μ}}_{i})}^{2}}, i \in {a, b}

(12)

为了弥补合法节点间信道探测响应的差异，降低初始密钥的KIR，提出一种波动误差量化方法，即在量化过程中允许测量值之间存在一定波动误差σ_i。对每个样本数据点

{\tilde{h}}_{i ， m} （ 2 ⩽ m ⩽ M - 1 ）

进行量化，得到2 bit密钥[K_i_，1（m），K_i_，2（m）]，表示为

\begin{matrix} K_{i} (m) = [K_{i, 1} (m), K_{i, 2} (m)] = \\ \{\begin{matrix} [0,0], & {\tilde{h}}_{i, m} + σ_{i} < {\tilde{h}}_{i, m - 1} 且 {\tilde{h}}_{i, m} - σ_{i} < {\tilde{h}}_{i, m + 1} \\ [0,1], & {\tilde{h}}_{i, m} + σ_{i} < {\tilde{h}}_{i, m - 1} 且 {\tilde{h}}_{i, m} - σ_{i} ⩾ {\tilde{h}}_{i, m + 1} \\ [1,0], & {\tilde{h}}_{i, m} + σ_{i} ⩾ {\tilde{h}}_{i, m - 1} 且 {\tilde{h}}_{i, m} - σ_{i} < {\tilde{h}}_{i, m + 1} \\ [1,1], & {\tilde{h}}_{i, m} + σ_{i} ⩾ {\tilde{h}}_{i, m - 1} 且 {\tilde{h}}_{i, m} - σ_{i} ⩾ {\tilde{h}}_{i, m + 1} \end{matrix} \end{matrix}

(13)

其中，K_i=[K_i_，1（2），K_i_，2（2），···，K_i_，1（m），K_i_，2（m），···，K_i_，1（M-1），K_i_，2（M-1）]（i∈{a，b}）表示节点Alice和Bob的初始密钥，K_i_，1（m），K_i_，2（m）∈{0，1}。

根据式（13）可知，与量化方法LCQ^[12]、RCMP-WKG^[16]相比，所提量化方法在量化过程中不需要设置门限阈值和进行信息交互，在不舍弃任何测量值的情况下，其可以有效地消除由位于门限阈值附近的测量值引起的量化分歧，提高了系统的KGR，还可以避免在量化阶段引入通信开销和信息交互可能带来的密钥信息泄露，增强了系统安全性；与MAF-BDQ ^[17]相比，在所提量化方法中，合法节点研究各自的信道幅度特征的统计特征，然后利用统计特性允许存在一定波动误差来减小信道探测响应的差异，即在量化过程中允许相邻测量值之间存在一定的波动误差，其可以有效地弥补加性噪声、时间延迟的不同等因素对合法信道的CSI造成的差异性，从而降低系统的KIR，为后续信息协商提供了可靠保障。

2.2 改进的Cascade协议设计

根据2.1节所提波动误差量化方法，可知初始密钥服从以下规律。

定义合法节点Alice和Bob的初始密钥为K_i=[K_i_，1（2），K_i_，2（2），K_i_，1（3），K_i_，2（3），···，K_i_，1（m），K_i_，2（m），···，K_i_，1（M-1），K_i_，2（M-1）]（i∈{a，b}），则可得

K_{i, 2} (m - 1) \oplus K_{i, 1} (m) = K_{i, 2} (m) \oplus K_{i, 1} (m + 1) = 1

(14)

当K_a，1（m）≠K_b，1（m）时，

K_{a, 2} (m - 1) \neq K_{b, 2} (m - 1)

(15)

当K_a，2（m）≠K_b，2（m）时，

K_{a, 1} (m + 1) \neq K_{b, 1} (m + 1)

(16)

其中，

\oplus

表示异或运算。

根据式（14）可知，如果继续采用现有Cascade协议进行信息协商，比如传统Cascade协议^[28]和轻量级Cascade协议^[17]，不仅会轻易将密钥信息泄露给Eve，而且还需要在公共信道上进行多轮信息交互，具有较低的RE。为了解决现有Cascade协议存在的问题，利用奇偶分组和分块协商，来提高系统的RE性能和降低密钥信息泄露的可能性，提出一种波动误差量化辅助的改进Cascade协议，其协商过程伪代码在算法1中描述。具体执行步骤如下所示：

步骤1：Alice和Bob将各自初始密钥K_a和K_b进行奇偶分组，分别得到

{\bar{K}}_{a}

和

{\bar{K}}_{b}

，即表达式为

{\bar{K}}_{i} = [{\bar{K}}_{i}^{1}; {\bar{K}}_{i}^{2}] = R (K_{i}, 2, L / 2), i \in {a, b}

(17)

其中，

R

（·）表示奇偶分组操作，L表示初始密钥的长度，

{\bar{K}}_{i}^{1}

和

{\bar{K}}_{i}^{2}

分别表示奇数组和偶数组。此外，由式（14）可知，如果初始密钥奇数组中某一分块中存在不一致比特，则对应的偶数组中那一分块也必定存在不一致比特，因此可以只计算奇数组中每一分块奇偶校验码，并根据奇数组中奇偶校验码不同的分块来搜索对应偶数组中存在不一致比特的分块。

步骤2：Alice和Bob将各自奇数组和偶数组中密钥按照相邻分割方法进行分块，每块包含3 bit密钥，计算奇数组中每一分块的奇偶校验码

U_{i} （ j ） （ 1 ⩽ j ⩽ ⌊ L / 6 ⌋ ）

，U_i（j）的表达式为

U_{i} (j) = {\bar{K}}_{i}^{1} (3 j - 2) \oplus {\bar{K}}_{i}^{1} (3 j - 1) \oplus {\bar{K}}_{i}^{1} (3 j)

(18)

然后合法节点把各自的奇偶校验码发给对方。

步骤3：将接收到的奇偶校验码与本土生成的进行比较，并将奇偶校验码不同的分块中密钥在K_i中的位置存入向量Π₁中，则向量Π₁表示为

Π_{1} = [Π_{1}, 6 j - 5,6 j - 3,6 j - 1], U_{a} (j) \neq U_{b} (j)

(19)

步骤4：根据Π₁，从密钥K_i中得到剩余密钥

{\tilde{K}}_{i}^{'} （ i \in {a ， b} ）

，则剩余密钥

{\tilde{K}}_{i}^{'}

表示为

{\tilde{K}}_{i}^{'} = [{\tilde{K}}_{i}^{'}, K_{i} (l), K_{i} (l + 1)], l \notin Π_{1}

(20)

然后计算剩余密钥的循环冗余校验（cyclic redundancy check，CRC）码，并发送给对方。若双方CRC值相同，说明信息协商成功，则

{\tilde{K}}_{i} = {\tilde{K}}_{i}^{'}

，结束协商，输出

{\tilde{K}}_{i}

；否则，信息协商失败，合法节点将接着继续进行下一轮协商，即继续执行步骤5~7。

步骤5：将上轮协商后剩余密钥

{\tilde{K}}_{i}^{'} （ i \in {a ， b} ）

进行奇偶分组得到

{\hat{K}}_{i} = [{\hat{K}}_{i}^{1}; {\hat{K}}_{i}^{2}]

，将偶数组按照相邻分割方法进行分块，每块包含3 bit，并计算每一分块的奇偶校验码

U_{i}^{'} （ r ）

，

{\hat{K}}_{i}

和

U_{i}^{'} （ r ）

分别表示为

{\hat{K}}_{i} = [{\hat{K}}_{i}^{1}; {\hat{K}}_{i}^{2}] = R ({\tilde{K}}_{i}^{'}, 2, L ({\tilde{K}}^{'}) / 2)

(21)

\begin{matrix} U_{i}^{'} (r) = {\hat{K}}_{i}^{2} (3 r - 2) \oplus {\hat{K}}_{i}^{2} (3 r - 1) \oplus \\ {\hat{K}}_{i}^{2} (3 r), 1 ⩽ r ⩽ ⌊L ({\hat{K}}_{i}^{2}) / 3⌋ \end{matrix}

(22)

其中，

L

（q）表示求序列q的长度。

步骤6：将接收到的第二轮奇偶校验码与本土生成的进行比较，并将奇偶校验码不同的分块中密钥在

{\tilde{K}}_{i}^{'}

中的位置存入向量Π₂，则向量Π₂可以表示为

Π_{2} = [Π_{2}, 6 r - 4,6 r - 2,6 r], U_{a}^{'} (r) \neq U_{b}^{'} (r)

(23)

步骤7：根据Π₂，删除

{\hat{K}}_{i}

中偶数组所在奇偶校验码不同的分块中对应的密钥元素，得到

{\tilde{K}}_{i}

；判断循环冗余校验码CRC（

{\tilde{K}}_{a}

）和CRC（

{\tilde{K}}_{b}

）是否相等，若相等，则协商成功，输出

{\tilde{K}}_{i}

；反之，信息协商失败，双方重新进行密钥生成，直到合法节点生成CRC值相同的共享密钥。

算法1 所提改进的Cascade协议算法

Alg.1 Proposed improved Cascade protocol algorithm

与传统Cascade协议^[28]相比，所提改进的Cascade 协议利用分块协商方法避免了奇偶校验码的互相作用导致直接泄露密钥信息给Eve；与轻量级Cascade协议^[17]相比，所提改进的Cascade 协议首先进行奇偶分组然后再分块计算奇偶校验码，从而避免了Eve可以根据式（14）直接计算出部分密钥比特信息，降低了密钥泄露的可能性。此外，与它们相比，所提改进的Cascade协议显著地减少了信息交互次数，提高了系统的协商效率。

3 性能分析

3.1 性能评估指标

3.1.1 信息协商性能评估指标

为了评估所提改进的Cascade协议的性能，采用如下指标：RE、平均成功率（average success rate，ASR）及计算复杂度。 RE是指初始密钥总数和公共信道上交换的比特数的差与初始密钥总数的比值，RE越大代表该协议的效率越高，反之越低。ASR是指利用统计概率来描述合法节点利用该协议生成CRC值相同的密钥序列的概率，即协商成功的次数与总协商次数的比值，用来评估信息协商协议的纠错能力，ASR值越大代表该方法的成功率越高，反之越低。通过蒙特卡罗仿真实验定量分析发现，三种信息协商协议的ASR性能与信噪比（signal to noise ratio，SNR）成正相关；轻量级和改进的Cascade协议的ASR性能与初始密钥长度L呈负相关，而传统Cascade协议的ASR性能与L呈正相关。此外，计算复杂度用协商过程中需要的异或运算次数来衡量。RE、计算复杂度和ASR作为评估信息协商协议的三个重要的过程性指标，应根据实际场景来选择合适的协议。

3.1.2 密钥生成方案性能评估指标

与现有密钥生成方案一样^[16-17]，所提ECKG方案包括四个阶段：①信道测量：采用第1节的系统模型；②量化：采用2.1节所提波动误差量化方法；③信息协商：采用2.2节所提改进Cascade协议；④隐私放大：采用了哈希算法1^[12]来处理ECKG方案中的密钥。

为了评估所提ECKG方案性能，在第4节中采用以下指标进行仿真分析：

1）密钥不一致率：KIR是指量化后合法节点之间不一致的密钥比特数与总密钥比特数的比值。这项工作是在量化之后和信息协商之前，则初始密钥的KIR计算表达式为

K I R = \frac{\sum_{l = 1}^{L} K_{a} (l) \oplus K_{b} (l)}{L}

(24)

2）密钥生成速率：KGR用于描述每轮信道探测提取的密钥位数。KGR反映了一个系统密钥生成的速率，同时也体现了系统密钥更新的速率，是评价性能的重要指标，表示为

K G R = \frac{L_{K}}{N}

(25)

其中，L_K表示最终生成的有用密钥数，KGR的单位为bit/轮。

3）密钥熵（key entropy，KE）：密钥在隐私放大阶段前的熵值反映了生成密钥的安全级别。一般来说，具有高熵的密钥具有较高的安全强度。

4）随机性测试：由于密钥需要尽可能随机，因此统计生成密钥序列的随机性是必要的。为了比较所提ECKG方案生成的密钥序列与理想随机序列之间的偏差，在第4节采用了美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）随机性测试工具进行分析^[16-17]。

3.2 安全性能分析

不同于现有特征量化方法^[12，16]，所提量化方法中Alice和Bob各自独立地完成对信道幅度特征的预处理和量化，不需要进行任何的信息交互，因此在特征量化阶段不会发生信息泄露。

在信息协商阶段，传统Cascade协议^[28]需要频繁地交换奇偶校验码来搜索错误比特的位置，当搜索范围缩小至 3 bit及以下时，奇偶校验码的相互作用会将3 bit的信息全部泄露。对于轻量级Cascade协议^[17]，在第一轮协商中当对密钥序列按照3 bit一组进行相邻分组时，会出现两种分组：

\{\begin{matrix} 第 一 种 : [K_{i, 1} (m - 1), K_{i, 2} (m - 1), K_{i, 1} (m)] \\ 第 二 种 : [K_{i, 2} (m), K_{i, 1} (m + 1), K_{i, 2} (m + 1)] \end{matrix}

(26)

其中，i∈{a，b}，2≤m≤M-1。对于式（26）中的第一种情况，假设该分组的奇偶校验码为S_i_，1，由式（14）可得

\begin{matrix} S_{i, 1} = K_{i, 1} (m - 1) \oplus K_{i, 2} (m - 1) \oplus K_{i, 1} (m) \\ = K_{i, 1} (m - 1) \oplus 1 \end{matrix}

(27)

对于窃听者Eve，量化方法和奇偶校验码S_i_，1是可知的，因此Eve可以根据第一轮交换的奇偶校验码直接得知1 bit密钥，即

K_{i, 1} (m - 1) = S_{i, 1} \oplus 1

(28)

同理，对于式（26）中的第二种情况，Eve同样可以根据第一轮交换的奇偶校验码直接得知1 bit密钥，即

K_{i, 2} (m + 1) = S_{i, 2} \oplus 1

(29)

其中，S_i_，2为第二种分组的奇偶校验码。因此，在第一轮协商过程中，轻量级Cascade协议至少泄露2（M-2）/3 bit密钥。

而对于所提改进的Cascade协议，首先根据式（17）将初始密钥分为奇偶两组，即

{\bar{K}}_{i}^{1} = [K_{i, 1} (2), K_{i, 1} (3), \dots, K_{i, 1} (M - 1)]

(30)

{\bar{K}}_{i}^{2} = [K_{i, 2} (2), K_{i, 2} (3), \dots, K_{i, 2} (M - 1)]

(31)

然后再根据式（18）、式（22）分别将

{\bar{K}}_{i}^{1}

和

{\bar{K}}_{i}^{2}

进行分块，每块3 bit，会出现两种分组，如下所示：

\{\begin{matrix} 第 一 种 : [K_{i, 1} (m - 1), K_{i, 1} (m), K_{i, 1} (m + 1)] \\ 第 二 种 : [K_{i, 2} (m - 1), K_{i, 2} (m), K_{i, 2} (m + 1)] \end{matrix}

(32)

由式（14）、式（32）可知，即使知道了初始密钥的规律性和每一块的奇偶校验码，Eve也不能利用式（28）或式（29）直接计算出任意密钥比特值，从而避免了发生Eve通过简单的异或计算就可以获取密钥信息的问题，降低了Eve窃取密钥的可能性，增强了密钥的安全性。此外，利用所提量化方法的可靠性有效地减少了信息交互的次数，从而提高了系统的RE性能。

3.3 计算复杂度分析

表1给出了三种Cascade协议的计算复杂度表达式，其中：

D = \sum_{x = 1}^{N_{E_{ω}}} [{l o g}_{2} ⌈k_{ω}⌉ + \sum_{j = 1}^{ω} (S_{ω x j} {l o g}_{2} ⌈k_{j}⌉)]

，

⌈ \cdot ⌉

表示向上取整，Q表示传统Cascade协议^[28]协商轮数，k_ω（1≤ω≤Q）表示第ω轮中分组长度，

N_{E_{ω}}

表示在第ω轮中发现错误比特的分块数，S_ωxj表示在第ω轮中发现错误比特的第x块在第j轮协商中回溯次数；ρ（0≤ρ≤1）表示在所提改进协议中需要进行第二轮协商的概率。特别声明，假设在协商过程中密钥长度的变化忽略不计。对于传统Cascade协议^[28]，每进行一次二分法纠错需要

{l o g}_{2} ⌈ k ⌉

次异或运算，则其所需的计算量为

\sum_{ω}^{Q} \{\frac{L (k_{ω} - 1)}{k_{ω}} + \sum_{x = 1}^{N_{E_{ω}}} [{l o g}_{2} ⌈k_{ω}⌉ + \sum_{j = 1}^{ω} (S_{ω x j} {l o g}_{2} ⌈k_{j}⌉)]\}

。对于轻量级Cascade协议^[17]，在两轮协商过程中，每一轮需要划分L/3组，每组需要2次异或运算，因此所需异或运算总数为4L/3。对于所提改进的Cascade协议，需要划分（1+ρ）L/6块，则所需异或运算总数为2×（1+ρ）L/6=（1+ρ）L/3。

表1三种Cascade协议的计算复杂度表达式

Tab.1 Expressions for computational complexity of the three Cascade protocols

由上述分析可知，所提改进的Cascade协议所需的计算量远小于现有Cascade协议。因此，所提改进的Cascade协议具有较低的计算复杂度，有效地降低了系统的复杂性。

4 数值仿真

在本节中，首先验证所提改进的Cascade协议的性能，然后将所提ECKG方案的KIR、KGR和KE与现有密钥生成方案LCQ^[12]、RCMP-WKG^[16]、MAF-BDQ^[17]进行比较，对所提ECKG方案生成的密钥序列进行NIST测试，其中假设合法节点间无线信道服从莱斯衰落模型并设置莱斯因子为-10 dB，设置滑窗的步长p=2，滑窗的窗口大小W=12，Q=4，k₁=4，k_ω₊₁=2k_ω，信道探测总轮数N=128，蒙特卡罗次数为1 000。为了公平对比，对于RCMP-WKG方案，采用其中基于幅度特性的密钥生成方案；对于LCQ方案，设置量化阈值在均值处偏移的标准偏差数为0.2，连续测量值个数为2。

4.1 协商性能仿真

图2给出了三种Cascade协议的RE性能。由图2可以看出，与现有Cascade协议相比，所提改进的Cascade协议具有较高的RE，大大地减少了协商过程中合法节点在公共信道上的交互次数，降低了系统开销。例如，当SNR为5 dB时，传统Cascade协议^[28]和轻量级Cascade协议^[17]的RE分别为20%、37%，而所提改进的Cascade协议的RE为70.99%，与现有Cascade协议相比，RE分别提升了50.99%及33.99%。此外，图3给出了现有Cascade协议与所提改进的Cascade协议所需的计算复杂度性能。从图3可以看出，与传统Cascade协议和轻量级Cascade协议相比，所提改进的Cascade协议具有更低的计算复杂度。

图2三种信息协商协议随SNR变化的RE曲线

Fig.2RE curves versus the SNR of the three information reconciliation protocols

图3三种信息协商协议的计算复杂度性能曲线

Fig.3Computational complexity performance curves of three information reconciliation protocols

为了评估所提改进的Cascade协议的纠错能力大小，研究了在不同信噪比条件下所提信息协商协议的ASR如图4所示。从仿真结果可以看出，在高信噪比区域（SNR不小于15 dB），本文所提改进的Cascade协议的ASR均超过90%，表明所提协议能够有效地纠正量化引入的不一致密钥。虽然在低信噪比区域（SNR小于15 dB），所提改进的Cascade协议的ASR低于现有Cascade协议，但是从图2和图3中可以看出，所提改进的Cascade协议以牺牲部分ASR为代价获得更好的RE性能和更低的计算复杂度，在RE性能、计算复杂度和ASR性能之间实现了很好的折中。因此其可以在资源受限的物联网网络中实现较低的加密延迟。

图4三种信息协商协议随SNR变化的ASR曲线

Fig.4ASR curves versus the SNR of three information reconciliation protocols

4.2 密钥生成方案性能仿真

图5显示了现有密钥生成方案和所提ECKG方案的KIR性能。从图5中可以看出，与现有密钥生成方案相比，所提ECKG方案具有优异的KIR性能，这主要得益于两个原因：①采用滑窗预处理技术提高了合法节点Bob和Alice之间信道测量的相关性；②允许合法节点间信道测量存在一定的误差，即所提量化方法引入的波动误差，从而改善初始密钥的不一致性能。例如，当SNR为10 dB时，LCQ方案、RCMP-WKG方案和MAF-BDQ方案的KIR值分别为0.129 4、0.185 7和0.202 4，而所提ECKG方案的KIR值为0.053 7。低KIR对于密钥生成方案至关重要，因为高KIR会导致Alice和Bob之间信道探测轮数增加，甚至无法建立共享密钥。

图5不同密钥生成方案随SNR变化的KIR曲线

Fig.5KIR curves versus the SNR of different key generation schemes

图6给出了现有密钥生成方案和所提ECKG方案的KGR性能图。从图6中可以得出与LCQ方案、RCMP-WKG方案和MAF-BDQ方案相比，所提ECKG方案具有更高的密钥生成速率，这是得益于在量化阶段所提出的优异的量化方法使合法节点之间有较低的KIR及在信息协商阶段有较高ASR。综上可知，虽然ASR是评估信息协商协议性能的一个重要的过程性指标，但是对于ECKG来说，其对通信行为的影响是足够小的。

图6不同密钥生成方案随SNR变化的KGR曲线

Fig.6KGR curves versus the SNR of different key generation schemes

隐私放大阶段之前的KE值反映了生成的密钥的安全级别。一般情况下，高熵密钥具有较高的安全强度。本文比较了在不同信噪比环境下，四种密钥生成方案生成的密钥序列的熵如图7所示。从图7可以看出，LCQ方案生成的密钥序列的KE值相对较低，其他三种方案的KE值都非常接近于1，表明所提ECKG方案生成的密钥能够获得较高的安全强度。

在物理层安全传输系统中，必须严格保证共享密钥的随机性。为比较ECKG方案生成的密钥序列与理想随机序列之间的偏差，采用了NIST检验中的8个典型指标进行随机性分析，具体测试结果见表2。

图7不同密钥生成方案随SNR变化的KE性能

Fig.7KE performances versus SNR of different key generation schemes

表2所提ECKG方案生成密钥序列的NIST检验结果

Tab.2 NIST test results of key sequence generated by the proposed ECKG scheme

对于NIST检验，如果每个指标的随机性检验结果p_value值（p_value∈[0，1]，表示概率）满足p_value＞0.01，则表示待测序列已通过随机性检验。此外，p_value值越大，序列的随机特征越好。从表2中可以看出，所提ECKG方案生成的共享密钥可以通过随机性测试，这意味着生成的共享密钥序列和理想随机序列难以被区分。

5 结论

本文提出一种波动误差量化辅助的改进Cascade协议。首先，提出了波动误差量化方法，该方法允许每一个量化点存在一定波动误差，以减少非互易分量，从而实现较低的KIR，为后续信息协商提供可靠保障。然后，提出了改进的Cascade协议，该协议利用分组和分块协商的方式，不仅显著地提高了信息协商的RE，而且大大地降低了复杂度和降低了Eve窃取密钥信息的可能性。数值仿真结果表明，与现有Cascade协议相比，所提改进Cascade协议具有更优异的性能。此外，与一些密钥生成方案相比，基于所提改进Cascade协议的密钥生成方案具有更低的KIR和更高的KGR。

图1系统模型

Fig.1System model

下载: 全尺寸图片

图2三种信息协商协议随SNR变化的RE曲线

Fig.2RE curves versus the SNR of the three information reconciliation protocols

下载: 全尺寸图片

图3三种信息协商协议的计算复杂度性能曲线

Fig.3Computational complexity performance curves of three information reconciliation protocols

下载: 全尺寸图片

图4三种信息协商协议随SNR变化的ASR曲线

Fig.4ASR curves versus the SNR of three information reconciliation protocols

下载: 全尺寸图片

图5不同密钥生成方案随SNR变化的KIR曲线

Fig.5KIR curves versus the SNR of different key generation schemes

下载: 全尺寸图片

图6不同密钥生成方案随SNR变化的KGR曲线

Fig.6KGR curves versus the SNR of different key generation schemes

下载: 全尺寸图片

图7不同密钥生成方案随SNR变化的KE性能

Fig.7KE performances versus SNR of different key generation schemes

下载: 全尺寸图片

表1三种Cascade协议的计算复杂度表达式

下载: 全尺寸图片

表2所提ECKG方案生成密钥序列的NIST检验结果

下载: 全尺寸图片

图1系统模型

Fig.1System model

图2三种信息协商协议随SNR变化的RE曲线

Fig.2RE curves versus the SNR of the three information reconciliation protocols

图3三种信息协商协议的计算复杂度性能曲线

Fig.3Computational complexity performance curves of three information reconciliation protocols

图4三种信息协商协议随SNR变化的ASR曲线

Fig.4ASR curves versus the SNR of three information reconciliation protocols

图5不同密钥生成方案随SNR变化的KIR曲线

Fig.5KIR curves versus the SNR of different key generation schemes

图6不同密钥生成方案随SNR变化的KGR曲线

Fig.6KGR curves versus the SNR of different key generation schemes

图7不同密钥生成方案随SNR变化的KE性能

Fig.7KE performances versus SNR of different key generation schemes

表1三种Cascade协议的计算复杂度表达式

表2所提ECKG方案生成密钥序列的NIST检验结果

引用提醒

图(7) / 表(2)

引用本文

周壮，骆俊杉，谢顺钦, 等. 波动误差量化辅助的改进Cascade协议[J]. 国防科技大学学报, 2025, 47(1): 158-167.

复制

ZHOU Z, LUO J S, XIE S Q, et al. Fluctuation error quantization aided improved Cascade protocol[J]. Journal of National University of Defense Technology, 2025, 47(1): 158-167.

Copy

计量

图1系统模型

Fig.1System model

图2三种信息协商协议随SNR变化的RE曲线

Fig.2RE curves versus the SNR of the three information reconciliation protocols

图3三种信息协商协议的计算复杂度性能曲线

Fig.3Computational complexity performance curves of three information reconciliation protocols

图4三种信息协商协议随SNR变化的ASR曲线

Fig.4ASR curves versus the SNR of three information reconciliation protocols

图5不同密钥生成方案随SNR变化的KIR曲线

Fig.5KIR curves versus the SNR of different key generation schemes

图6不同密钥生成方案随SNR变化的KGR曲线

Fig.6KGR curves versus the SNR of different key generation schemes

图7不同密钥生成方案随SNR变化的KE性能

Fig.7KE performances versus SNR of different key generation schemes

表1三种Cascade协议的计算复杂度表达式

表2所提ECKG方案生成密钥序列的NIST检验结果

IQBAL W, ABBAS H, DANESHMAND M,et al. An in-depth analysis of IoT security requirements,challenges,and their countermeasures via software-defined security[J]. IEEE Internet of Things Journal,2020,7(10):10250-10276.

NOSOUHI M R, SOOD K, GROBLER M,et al. Towards spoofing resistant next generation IoT networks[J]. IEEE Transactions on Information Forensics and Security,2022,17:1669-1683.

TANG J, WEN H, SONG H H,et al. Secure MIMO-SVD communications against eavesdroppers with any number of antennas[J]. IEEE Transactions on Vehicular Technology,2020,69(10):11077-11089.

BLOCH M, GUNLU O, YENER A,et al. An overview of information-theoretic security and privacy:metrics,limits and applications[J]. IEEE Journal on Selected Areas in Information Theory,2021,2(1):5-22.

WYNER A D. The wire-tap channel[J]. Bell System Technical Journal,1975,54(8):1355-1387.

GONG S X, TAO X F, LI N,et al. Secret key generation over a Nakagami-m fading channel with correlated eavesdropping channel[J]. Science China Information Sciences,2022,65:192304.

ZHANG M Y, JI Z J, ZHANG Y,et al. Physical layer key generation for secure OAM communication systems[J]. IEEE Transactions on Vehicular Technology,2022,71(11):12397-12401.

MAURER U M. Secret key agreement by public discussion from common information[J]. IEEE Transactions on Information Theory,1993,39(3):733-742.

AHLSWEDE R, CSISZAR I. Common randomness in information theory and cryptography. I.secret sharing[J]. IEEE Transactions on Information Theory,1993,39(4):1121-1132.

LI J J, WANG P, JIAO L,et al. Security analysis of triangle channel-based physical layer key generation in wireless backscatter communications[J]. IEEE Transactions on Information Forensics and Security,2023,18:948-964.

黄开枝, 金梁, 陈亚军, 等. 无线物理层密钥生成技术发展及新的挑战[J]. 电子与信息学报,2020,42(10):2330-2341. HUANG K Z, JIN L, CHEN Y J,et al. Development of wireless physical layer key generation technology and new challenges[J]. Journal of Electronics & Information Technology,2020,42(10):2330-2341.(in Chinese)

MATHUR S, TRAPPE W, MANDAYAM N,et al. Radio-telepathy:extracting a secret key from an unauthenticated wireless channel[C]//Proceedings of the 14th ACM International Conference on Mobile Computing and Networking,2008.

JI Z J, ZHANG Y, HE Z W,et al. Wireless secret key generation for distributed antenna systems:a joint space-time-frequency perspective[J]. IEEE Internet of Things Journal,2022,9(1):633-647.

EL HAJJ SHEHADEH Y, ALFANDI O, HOGREFE D. Towards robust key extraction from multipath wireless channels[J]. Journal of Communications and Networks,2012,14(4):385-395.

XU W T, JHA S, HU W. LoRa-key:secure key generation system for LoRa-based network[J]. IEEE Internet of Things Journal,2019,6(4):6404-6416.

LU X J, LEI J, LI W. Random coefficient-moving product based wireless key generation[J/OL]. China Communications,2022[2023-06-21].http://www.cic-chinacommunications.cn/EN/10.23919/JCC.ja.2022-0414.

GUO D K, CAO K, XIONG J,et al. A lightweight key generation scheme for the internet of things[J]. IEEE Internet of Things Journal,2021,8(15):12137-12149.

YULIANA M, WIRAWAN, SUWADI. A simple secret key generation by using a combination of pre-processing method with a multilevel quantization[J]. Entropy,2019,21(2):192.

WALLACE J W, SHARMA R K. Automatic secret keys from reciprocal MIMO wireless channels:measurement and analysis[J]. IEEE Transactions on Information Forensics and Security,2010,5(3):381-392.

MARGELIS G, FAFOUTIS X, OIKONOMOU G,et al. Efficient DCT-based secret key generation for the Internet of Things[J]. Ad Hoc Networks,2019,92:101744.

LI G Y, SUN C, XU W,et al. On maximizing the sum secret key rate for reconfigurable intelligent surface-assisted multiuser systems[J]. IEEE Transactions on Information Forensics and Security,2022,17:211-225.

WEI Z K, LI B, GUO W S. Adversarial reconfigurable intelligent surface against physical layer key generation[J]. IEEE Transactions on Information Forensics and Security,2023,18:2368-2381.

LUZZI L, LING C, BLOCH M R. Optimal rate-limited secret key generation from Gaussian sources using lattices[J]. IEEE Transactions on Information Theory,2023,69(8):4944-4960.

PATWARI N, CROFT J, JANA S,et al. High-rate uncorrelated bit extraction for shared secret key generation from channel measurements[J]. IEEE Transactions on Mobile Computing,2010,9(1):17-30.

YE C X, MATHUR S, REZNIK A,et al. Information-theoretically secret key generation for fading wireless channels[J]. IEEE Transactions on Information Forensics and Security,2010,5(2):240-254.

CHEN D J, QIN Z, MAO X F,et al. SmokeGrenade:an efficient key generation protocol with artificial interference[J]. IEEE Transactions on Information Forensics and Security,2013,8(11):1731-1745.

TU R C, MAO X L, MA B,et al. Deep cross-modal hashing with hashing functions and unified hash codes jointly learning[J]. IEEE Transactions on Knowledge and Data Engineering,2022,34(2):560-572.

BRASSARD G, SALVAIL L. Secret-key reconciliation by public discussion[C]//Proceedings of Workshop on the Theory and Application of Cryptographic Techniques,1993.

JIN R, DU X R, ZENG K,et al. Delay analysis of physical-layer key generation in dynamic roadside-to-vehicle networks[J]. IEEE Transactions on Vehicular Technology,2017,66(3):2526-2535.

HUA Y B. Generalized channel probing and generalized pre-processing for secret key generation[J]. IEEE Transactions on Signal Processing,2023,71:1067-1082.

MARTINEZ-MATEO J, PACHER C, PEEV M,et al. Demystifying the information reconciliation protocol Cascade[J]. Quantum Information and Computation,2015,15(5/6):453-477.

贾仁庆, 吴晓富, 朱卫平. Cascade密钥协商的改进方案[J]. 计算机技术与发展,2016,26(11):97-100. JIA R Q, WU X F, ZHU W P. An improved scheme of Cascade protocol[J]. Computer Technology and Development,2016,26(11):97-100.(in Chinese)

LU T Y, CHEN L Q, ZHANG J Q,et al. Joint precoding and phase shift design in reconfigurable intelligent surfaces-assisted secret key generation[J]. IEEE Transactions on Information Forensics and Security,2023,18:3251-3266.

首页

期刊介绍

投稿指南

编委会

出版声明

开放获取声明

联系我们

Email订阅

Rss

English

1 系统模型

2 信息协商协议设计

3 性能分析

4 数值仿真

5 结论