Shannon^[1]提出了信息理论安全的概念，并指出当一次一密的密钥的熵不小于保密消息的熵的时候，可以实现完全安全。因此如何获取密钥以及确保密钥的安全性成为物理层安全研究的内容之一。Maurer^[2]提出通过无噪声、公开信道可以生成只有合法通信端之间共享的密钥。

因此，在无线通信中，利用无线信道的随机特性，通过量化对物理信道的观测信息，生成只有合法收发两端共享的密钥用于加密，能够解决当前无线通信系统中传统加密方案的密钥管理和分发难题。例如，文[3]利用合法信道与窃听信道之间的独立性，将衰落系数的相位作为密钥；文[4]通过提取多径分量的系数作为密钥；文[5]研究了在多频通信系统中，量化多个相互独立的信道相位作为密钥；文[6]直接量化复信道系数以获取密钥；文[7]首先使信道快速波动，然后利用这个波动，通过发射矩阵最优化提取密钥；文[8-9]利用多入多出系统中暂时、空间上相关的信道系数，提出了一种密钥生成协议。

同时，由于无线信道具有以下特性，可以为生成的密钥提供有效的安全保障^[10-11]：

1) 信道的互易性使收发双方观测的信道是相同的，降低了密钥生成中误码协调的复杂度；

2) 信道基于用户位置的唯一性使合法用户之间的信道相对窃听者-合法用户的信道独立，密钥的抗窃听性增强，密钥的保护要求降低；

3) 信道作为随机源，无需建立专门的密钥分发信道；

4) 观测的信道信息可以用于离线状态生成密钥，无需对现有加密协议进行大量修改。

信道信息的随机特征受不确定的用户位置和不确定的散射环境两方面影响。现有的密钥安全性研究常基于环境的不确定性，常假定环境为富散射环境。例如，2009年Wallace等^[12-13]和2011年Wang等^[14]分别研究了富散射环境中，通过提取、量化窄带信道信息复幅度和相位来生成密钥的方法和评价体系。利用信道信息生成密钥的基本步骤是^[15]：首先，相互通信的两端先后互发导频，依次获得对信道信息的估计；其次，根据约定的量化方法，将信道信息量化生成密钥序列；再次，进行简单的密钥协同^[16]，通过一次或者二次握手，保证两端生成相同的序列；最后，对生成的序列进行保密放大^[17]，从中提取出最终的密钥序列。由于富散射环境下窄带信道信息在空时方面的不相关性，因此密钥生成方法能够获得很好的安全性能。

随着宽带通信技术的发展，利用宽带通信系统生成密钥时，一方面增多的频点信息可作为随机信源，能够产生更多的密钥；另一方面，实际环境中多径的数量有限，使得带宽内不同频点之间具有相关性，富散射环境的假设不再有效，因此对密钥的最大安全性能需要重新评估。

目前文献对于宽带信道信息生成密钥的研究却很少。文[18]研究了在稀疏信道模型下宽带通信系统的密钥生成，其基于合法用户之间信道的各时延抽头和窃听者观测的各时延抽头的相关性假设，给出了密钥生成速率表达式。但是在给定功率等限制条件下，这种计算方法无法得到系统安全性能的最优，其计算的密钥生成速率缺乏实际测量数据验证。另外，文[11, 19]建立了空间信道模型(spatial channel model, SCM)研究散射簇内子径数目、簇角度扩展、信噪比对密钥安全性能的影响。发现对于宽带信道中的散射簇，在同一角度扩展下，不同的观测信噪对应的密钥安全性能不同；在同一信噪比下，不同的角度扩展对应的密钥安全性能也不同。这说明当信道信息中存在多个不确定随机源用于密钥生成时，在限定总的发送功率情况下，若能够对各个随机源进行功率分配，就存在获得很好密钥安全性能的功率分配方法。对于宽带系统，如何根据频率相关性在各频点上进行功率分配获得最优的密钥安全性能，尚没有开展研究。

针对这个问题，本文基于密钥生成速率评价密钥安全性能，建立了功率分配的优化模型并进而求解。同时考虑到最优解的求解过程复杂度，设计了一种次优算法，经过仿真并与当前解决最优问题的序列二次规划(sequential quadratic programming, SQP)算法进行比较，验证了该次优算法可以实现较好的安全性能。

1 功率分配模型

密钥生成速率是评价密钥安全性能的重要指标，定义为单位时间内生成的密钥总比特(bit)数，Wallace^[13]给出了密钥生成速率的表达式。图 1为系统模型，设宽带信道信息的矢量为h_a，有M个频点，总带宽为B。${\boldsymbol{\hat h}_a} $和${\boldsymbol{\hat h}_{a'}} $分别为基站(base station，BS)与移动用户(mobile subscriber，MS)对信道信息的观测，服从联合Gauss分布；n_a和n_a′中的元素为独立零均值复Gauss的观测噪声，其方差分别为σ₁²和σ₂²，则：

$ {\boldsymbol{\hat h}_a} = {\boldsymbol{h}_a} + {\boldsymbol{n}_a}, $

(1)

$ {\boldsymbol{\hat h}_{a'}} = {\boldsymbol{h}_a} + {\boldsymbol{n}_{a'}}. $

(2)

此时样本的密钥生成速率可以表示为^[12]

$ I = I\left( {{{\boldsymbol{\hat h}}_a}, {{\boldsymbol{\hat h}}_{a'}}} \right) + {\log _2}\left| {{\boldsymbol{R}_{aa}}\boldsymbol{R}_\sigma ^{-1} + \boldsymbol{P}} \right|. $

(3)

其中：R_aa为h_a的全相关矩阵，是一个Hermit矩阵；R_σ=(σ₁²+σ₂²)P+σ₁²σ₂²R_aa^-1；P是单位矩阵。

对R_aa进行特征值分解，R_aa=UΛU^-1。设有K个特征值，Λ=Diag{λ₁, λ₂, … λ_K, O_1×(M-K)}，K≤M。生成密钥的过程，实质上就是提取信道特征向量将其量化成密钥的过程。当频点间相关性越强，特征向量的数目就越少，生成的密钥数量就越少。另外，设各个频点的增益为1，噪声功率在各频点上均相等，BS和MS在各频点上的噪声功率分别是σ_a²和σ_a′²，且σ_a²=σ_a′²=P_n，P_n为常数。对于BS，可分配的功率是P_a；对于MS，可分配的功率是P_a′。若P_a、P_a′受限，那么功率优化问题建模为

$ {I_{{\text{Key}}}} = {\max _{\left( {{K_0}, {p_k}, {{p'}_k}} \right)}}\sum\limits_{k = 1}^{{K_0}} {{{\log }_2}} \left\{ {1 + \frac{{\frac{{{p_k}}}{{\sigma _a^2}}\frac{{{{p'}_k}}}{{\sigma _{a'}^2}}\lambda _k^2}}{{1 + \left( {\frac{{{p_k}}}{{\sigma _a^2}} + \frac{{{{p'}_k}}}{{\sigma _{a'}^2}}} \right){\lambda ^k}}}} \right\}, $

(4)

$ \left\{ \begin{gathered} \sum\limits_{k = 1}^{{K_0}} {{p_k}} = {P_a}, \hfill \\ \sum\limits_{k = 1}^{{K_0}} {{{p'}_k}} = {P_{a'}}. \hfill \\ \end{gathered} \right. $

(5)

其中：p_k、p′_k分别是BS、MS发送导频过程中对每个特征向量分配的功率；K₀是用于选择生成密钥的特征向量个数，K₀≤K。本优化问题在固定带宽和频点的情况下，通过优化K₀和各个特征空间的功率分配p_k、p′_k实现密钥速率I_Key最大化。

2 问题求解和次优算法

若宽带系统带宽内各频点存在一定的相关性，此时各特征值一般互不相等，即K≤M。需要通过优化各频点的功率p_k、p′_k，获得最大的I_Key。最优的功率分配策略为功率注水法，由Lagrange乘数法可得到目标函数为

$ \begin{gathered} L = {\max _{\left( {{p_k}, {{p'}_k}} \right)}}\left\{ {\sum\limits_{k = 1}^{{K_0}} {{{\log }_2}} \left[{1 + \frac{{\frac{{{p_k}}}{{\sigma _a^2}}\frac{{{{p'}_k}}}{{\sigma _{a'}^2}}\lambda _k^2}}{{1 + \left( {\frac{{{p_k}}}{{\sigma _a^2}} + \frac{{{{p'}_k}}}{{\sigma _{a'}^2}}} \right){\lambda _k}}}} \right]} \right. -\hfill \\ \left. {x\left( {\sum\limits_{k = 1}^{{K_0}} {{p_k} -{P_a}} } \right) -y\left( {\sum\limits_{k = 1}^{{K_0}} {{{p'}_k}} - {P_{a'}}} \right)} \right\}. \hfill \\ \end{gathered} $

(6)

在目标函数中，将K个特征向量都用于密钥生成，即K₀=K。目标函数对p_k、p′_k的偏导数为0：

$ \left\{ \begin{gathered} \frac{{\partial L}}{{\partial {p_k}}} = 0, \hfill \\ \frac{{\partial L}}{{\partial {{p'}_k}}} = 0. \hfill \\ \end{gathered} \right. $

(7)

求解式(7)，可以得到p_k、p′_k关于x、y的方程。而它们的功率和分别受限于P_a、P_a′，可以求得x、y。这种最优的方法在实际求解过程中，由于进行了双端功率灌水，得到的公式数量多，一共会有2K个方程，含有2K个未知数，并且存在p_k和p′_k的交叉项，增加了计算复杂度。

本文提出了一种次优的迭代功率分配算法，该算法使MS在选定的特征向量集合上平均分配功率，而对BS的功率分配进行优化，然后对集合中的特征向量进行选择，去掉不合适的特征向量，直至能够实现较好的密钥安全性能。

在MS进行功率平均分配时，Lagrange乘数法的式(6) 成为

$ \begin{gathered} {L_1} = {\max _{\left( {{p_k}} \right)}}\left\{ {\sum\limits_{k = 1}^{{K_0}} {{{\log }_2}} \left[{1 + \frac{{\frac{{{p_k}}}{{\sigma _a^2}}\frac{{{{p'}_k}}}{{{K_0}\sigma _{a'}^2}}\lambda _k^2}}{{1 + \left( {\frac{{{p_k}}}{{\sigma _a^2}} + \frac{{{{p'}_k}}}{{{K_0}\sigma _{a'}^2}}} \right){\lambda _k}}}} \right]} \right. -\hfill \\ \left. {x\left( {\sum\limits_{k = 1}^{{K_0}} {{p_k} -{P_a}} } \right)} \right\}. \hfill \\ \end{gathered} $

(8)

初始时，K₀=K；对L₁求p_k的偏导，令T=P_a′/(K₀σ_a′²)，求得：

$ {p_k} = \frac{{-\left( {T{\lambda _k} + 2} \right) + {\lambda _k}\sqrt {{T^2} + 4T\lambda _k^2{{\log }_2}e/\left( {x\sigma _a^2} \right)} }}{{2\lambda /\sigma _a^2}}. $

(9)

解得：

$ x = \frac{{4T{{\log }_2}\left( {e/\sigma _a^2} \right)}}{{{{\left( {2{P_a}/\left( {{K_0}\sigma _a^2} \right) + T + \frac{{\sum\limits_{k = 1}^{{K_0}} {\left( {2/{\lambda _k}} \right)} }}{{{K_0}}}} \right)}^2}-{T^2}}}. $

(10)

经过一次优化算法后，有一些特征向量分配到了负功率，说明在这些特征向量上噪声功率过大，不适合于密钥生成。这些特征向量需要删除，然后重新使用Lagrange乘数法优化，直至所有特征向量都能分配到正功率。基于这种思想，算法的具体步骤为：

1) 将特征值λ_k从小到大排列，MS对所有非零特征值对应的特征向量进行均匀的功率分配，BS按照式(9)、(10) 进行功率分配，得到p_1.1, p_2.1, …, p_K.1为功率分配序列；

2) 将序列p_1.1, p_2.1, …, p_K.1中小于0的功率对应的特征向量删去，这些向量空间上噪声功率过大，已不适合生成密钥，MS在剩余的特征向量上重新进行均匀的功率分配，BS重新按照式(9)、(10) 进行功率分配；

3) 重复步骤2，直至最小特征值对应的功率大于0，即当前进行功率分配的特征向量都是有效的，功率分配结果作为最终的次优算法输出结果。

算法流程图如图 2所示，这种次优的功率分配算法是一种“迭代-删除”的算法，通过硬判决将低信噪比(signal-to-noise ratio, SNR)的特征向量剔除掉，达到了选优的效果。

3 数值结果

通过Monte-Carlo仿真对算法的有效性进行验证，仿真中设置：信道时延抽头数为20，时延扩展方差为200 ns，带宽为20 MHz，采样点为100，多径增益均相等。BS和MS的信噪比相等，均从-20 dB到20 dB变化。对于每个信噪比，仿真1 000次得到密钥生成速率I_Key平均值。对2种信道进行了仿真：

1) 信道时延抽头呈均匀分布，各抽头增益相等；

2) 信道时延抽头呈指数分布，各抽头增益相等。

为了与最优算法进行比较，利用MATLAB优化工具箱的最优化函数fmincon求解，在fmincon设置中选用SQP算法进行求解。SQP^[20-21]算法与其他优化算法相比，收敛性好、计算效率高、边界搜索能力强，受到广泛重视及应用。但每一步迭代都要求解一个或多个二次规划问题，因而随着问题规模的扩大，计算工作量和所需存储量巨大。

从仿真结果可以看出：次优算法性能近似于SQP得到的结果，且次优算法复杂度低，适合算法实现。

从图 3和4可以看出，对于SQP算法和本文提出的次优算法，当在低SNR时，由于只有一部分频点上分配到功率，密钥生成速率随着SNR增大而缓慢提高。这说明在低信噪比条件下，收发双方为了提高密钥生成的一致性，只能把有限的功率分配到最好的几个独立的频点上。当在高SNR时，由于越来越多的频点上分配到功率，密钥生成速率随着SNR增大而快速提高，直至所有频点均可用于密钥生成。并且在低SNR(-20~-15 dB)的情况下，本文提出的次优算法的密钥生成速率要大于SQP算法的结果，具备更好的性能。说明本文算法在低信噪比条件下，通过对频点的选择与舍弃得到的密钥安全性能要优于SQP算法计算得到的。而在SNR为-10 dB左右时，本文算法的密钥安全性能要劣于SQP算法计算得到的，此时对频点的选择与舍弃并不是最优的方案。

对比图 3和4的仿真结果，可以区分时延均匀分布和指数分布对密钥生成速率的影响，在相同时延扩展下，时延均匀分布情况比指数分布情况可以获得更大的密钥生成速率。因为环境中的散射径在时延上分布得越均匀，各频点相关性越小，特征向量数目越多，为密钥生成提供了更多的独立随机源。

4 结论

本文研究了在双端功率限定的情况下，宽带系统利用频域响应生成密钥的安全性能，给出了密钥生成速率的定义，并基于功率优化模型设计了次优的功率分配策略。研究发现次优算法和基于SQP算法的最优算法都随着信噪比的提高而得到极大的性能改善。另外, 即使在同一时延扩展参数影响下，不同的时延分布也会对密钥安全性能产生影响。时延均匀分布的场景比时延指数分布的场景可以获得更多的安全密钥。以上结果说明次优算法与基于SQP的最优求解结果非常接近，并且次优算法复杂度更低。本文结果表明次优的功率分配策略能够提供很好的密钥安全性能。