专利名称:无线通信系统的密钥生成方法
技术领域:
本发明通常涉及无线通信领域,且更具体地,涉及用密钥加密的无线通信领域。
背景技术:
无线网络中的通信安全性已成为许多研究的主题。第一个已知的安全化技术(securisation technique)包括使用公钥加密技术(例如借助于RSA算法或者借助于椭圆曲线加密算法)来加密通信。然而,该技术需要交换非常长的公钥,以便使该加密能够抵御可能的攻击。此外,所使用的算法很复杂且要使用大量计算资源,因而很少在移动终端上使用。另一个已知的安全化技术包括使用密钥加密技术(例如借助于DES算法)来加密通信。密钥必须在分发方(习惯上称为爱丽丝(Alice))与接收方(习惯上称为鲍勃(Bob))之 间共享,并且必须不能被潜在的窃听者(习惯上称为夏娃(Eve))截获。然而,该技术假定在鲍勃与爱丽丝之间事先有关于密钥的约定,但这在实际中并不总是可以实现的。此外,该密钥必须能够定期更新,而这假定了密钥自身可以安全传送。最近已提出使用在鲍勃与爱丽丝的终端之间的无线传送信道特性,以及利用信道互易性及其高度的空间去相关性两者。更具体地,若忽略噪声,则在鲍勃与爱丽丝之间的传送信道的脉冲响应理论上要与在爱丽丝与鲍勃之间的传送信道的脉冲响应一致。相反,若夏娃的终端位于距离鲍勃的终端超过半个波长的位置处,则在爱丽丝与夏娃之间的传送信道将具有与在爱丽丝和鲍勃之间的传送信道去相关性的特性。因此,夏娃不能简单地通过窃听在爱丽丝与鲍勃之间的信道来获得密钥。最终,在爱丽丝与鲍勃之间的传送信道通常受其特性的时间变化,这在一方或另一方移动时尤为明显。密钥可能因此而经常更新,但没有任何通过传送信道另外交换的必要。对基于传送信道特性的密钥生成方法的描述可在由N. Patwari等人发表在IEEE移动计算汇刊(IEEE Trans, on Mobile Computing) 2010 年第 9 卷第 I 期第 17-30 页中的题为“基于信道测量值的用于共享密钥生成的高速不相关比特位提取(High rateuncorrelated bit extraction for shared secret key generation from channelmeasurements)”的文章中找到。然而,采用该密钥生成方法的一个主要困难就在于可能在鲍勃与爱丽丝之间缺少关于所生成密钥的约定。事实上,首先,由于影响传送信道的噪声,在合法双方之间的传送信道并不严格一致。此外,如果传送是TDD (时分双工)型的,那么传送信道的特性可能在由鲍勃进行信道测量的时刻与由爱丽丝进行信道测量的时刻之间已略微改变,这是有可能的。类似地,如果传送信道是FDD (频分双工)型的,那么在爱丽丝与鲍勃之间的传送信道的频率特性将有可能与反向信道的频率特性不一致。由于因上述噪声和/或时移/频移引入的信道不对称,由鲍勃产生的密钥不一定与由爱丽丝产生的密钥一致。由B. Azimi-Sadjadi等人发表在ACM计算机与通信安全会议论文集(Proceedingsof ACM Conference on Computer and Communications Security)2007年第401-410页中的题为“无线网络中基于信号包络的强健密钥生成(Robust key generation from signalenvelopes in wireless networks)”的文章提出了许多措施来达成在合法方之间关于所生成密钥的約定,尤其是用于将噪声降低到阈值以下的低通滤波器的使用,以及随后的模糊提取器的使用。由S. Takayuki等人发表在2010 IEEE无线通信和网络会议论文集(Proceedingsof 2010 IEEE Wireless Communications and Networking Conference)中的题为“根据衰减信道的密钥约定中的基于可靠性的片错误校正(Reliability based sliced errorcorrection in secret key agreement from fading channe丄ノ,,白^]出 Ji—矛甲イ专ilM道估计错误的平滑校正(smooth correction)方法,其以低比特位开始并移向高比特位,以获得一致性估计,以及在此之后的共用密钥。
然而,获得有关在上述文章中描述的共用密钥的一致性的方法实施复杂,而且在实际达成一致之前,需要频繁地在该信道的每ー侧重复进行信道估计。本发明的目的在于提出ー种基于传送信道特性的密钥生成方法,其不具有现有技术的缺陷,且具体地,它相对噪声来说是很可靠的,并且易于在移动终端中实施。本发明的从属目的在于提出ー种利用通常在WiMax和3G LTE (长期演进)标准中使用的HARQ 11型(混合自动请求)协议的密钥生成方法。
发明内容
本发明被定义为ー种在第一終端与第二終端之间共享的密钥的产生方法,其中,所述第一終端和第二終端由无线通信信道来连接,其中,第一終端对所述信道进行第一估计,以及第二終端对所述信道进行第二估计,其中(a)表征第一估计的第一消息由第一终端发送至第二終端,其中,所述第一消息事先已使用信道编码进行了编码,并采用第一增信删余(puncturing)模式以使得其不能被解码的足够高的增信删余比率(puncturing rate)进行增信删余;(b)表征第二估计的第二消息由第二終端存储,其中,所述第二消息事先已使用所述信道编码进行了编码;(c)将第二消息的至少一部分与第一消息結合,以解码第一消息;以及(d)如果第一消息解码成功,那么第二終端从以此方式解码的第一消息中确定密码。根据本发明的第一实施方式,若第一消息解码成功,贝1J第二终端向第一终端发送应答,且随后第一終端从所述第一消息中确定密钥。有利地,第一終端通过处理第一消息来确定密钥,以及第ニ終端对所述第一解码消息实施同样的计算,以获得该密钥。若第一消息解码不成功,则将对脉冲响应的第二估计至少移位ー个样本,并使用以此方式移位的第二估计来重复以上的步骤(b)、(c)和(d)。可迭代对脉冲响应的第二估计的移位以及步骤(b)、(C)和(d)的序列,直到第一消息被成功解码,或直到该移位达到了预定最大值。若该移位达到了所述最大值而第一消息还未解码成功,则第二终端向第一终端发送一传送冗余增量的请求。该冗余增量可由已通过第一增信删余模式进行增信删余的比特位组成。在该情况下,有利执行以下步骤(c’)第二终端将第二消息的至少一部分与事先由所述冗余增量完善(complete)的第一消息结合,并尝试从该结合中解码第一消息;(d)如果第一消息解码成功,那么第二终端从以此方式解码的第一消息中确定密码。有利地,仅在由该冗余增量完善的第一消息自身仍不可解码时,第一终端将该冗 余增量发送至第二终端。如果该冗余增量自身使第一消息可解码,那么不通过第一终端发送所述冗余增量,且第一终端使第二终端知晓该情况;第一终端和第二终端分别对传送信道的脉冲响应进行新的第一估计和第二估计。根据第二实施方式,事先使用信道编码进行编码的第二消息采用第二增信删余模式以使其不能被解码的足够高的增信删余比率进行增信删余,以及将以此方式增信删余的第二消息发送至第一终端。在该情况下,由第一终端有利地执行以下步骤第一终端将第一消息的至少一部分与第二消息结合,以解码第二消息;以及如果第二消息解码成功,假定第一终端事先未从第二终端接收到应答,那么第一终端从以此方式解码的第二消息中确定密钥,并将应答消息发送至第二终端;如果第一终端已从第二终端接收到应答消息,那么第一终端从所述第一消息中确定密钥。以对称方式,由第二终端有利地执行以下步骤第二终端将第二消息的至少一部分与第一消息结合,以解码第一消息;以及如果第一消息解码成功,假定第二终端事先未从第一终端接收到应答,那么第二终端从以此方式解码的第一消息中确定密钥,并将应答消息发送至第一终端;如果第二终端已从第一终端接收到应答消息,那么第二终端从所述第二消息中确定密钥。可在通过第一终端/第二终端进行信道编码、增信删余和发送之前,计算CRC并将其串接至第一消息/第二消息,以及通过将使用所接收的第一消息/第二消息计算的CRC与所串接的CRC相比较,来确定由第二终端/第一终端对第一消息/第二消息解码的成功。作为替代,在信道编码和增信删余之前,使用第一消息/第二消息来计算CRC,并随后在发送之前将计算出的CRC串接至以此方式增信删余的消息,以及通过将使用第一消息/第二消息计算出的CRC与所串接的CRC相比较,来确定第一消息/第二消息解码的成功。
在参照附图阅读了本发明的优选实施方式的基础上,本发明的其他特性和优势将显而易见,其中图I示意性示出根据本发明第一实施方式的密钥生成方法;图2示意性示出根据本发明第二实施方式的密钥生成方法;图3示意性示出对图I或图2中接收到的消息解码失败的假设;图4示意性示出发送终端中密钥生成方法的ー个实施实例;图5示意性示出接收终端中密钥生成方法的ー个实施实例。
具体实施例方式下文中,我们考虑一个至少包括第一終端和第二终端的无线通信系统。在该情况下,我们用“終端”意指固定或移动通信设备的术语。该无线通信系统可以是蜂窝系统,或者 也可以不是。它显然可以是移动电话网络、自组织网络、传感网络、通信对象网络(networkof communicating objects)等。采用终端意指最广泛意义上的通信设备的术语,例如用户终端、基站、传感器、通信对象(communicating object)等。第一終端与第二終端之间的通信在所有情况下均使用无线传送信道。这一信道通常有根据时间和/或频率的选择性;换言之,其脉冲响应具有时间和/或频率衰减。例如,当信道的一端或另一端是移动终端时,该信道可以是具有瑞利(Rayleigh)型衰弱的信道。第一终端与第二终端之间的通信可以是单向或双向的。在双向情况下,ー个方向上的通信使用与相反方向上的通信所使用的传送资源不同的传送资源(传送时间间隔、频率、子载波间隔、正交码)。例如,在TDD通信中,传送时间间隔(TTI)在两个方向上不同;在FDD通信情况下,则是传送频率不同。由于使用不同传送资源,所以传送信道的特性可能根据传送方向而不同。然而,实际上,这些特性的确差异相对很小,这或者是因为两个传送间隔之间的时间间隔小于信道的相干时间,或者是因为两个传送频率相邻。图I示意性示出了由无线通信系统的第一終端和第二終端共享的密钥的生成方法。在第一步骤110中,第一終端以已知方式测量传送信道的脉冲响应。为实现这ー点,第二终端发送导频符号序列。该导频符号序列可在给定的传送间隔内或经过若干个连续的传送间隔来发送。在该情况下,采用的脉冲响应是指严格意义上的脉冲响应,或简单指由第一終端接收到的序列,即该脉冲响应与由第二终端发送的导频符号序列的卷积。传送信道的脉冲响应采用样本(sample)序列的形式。在第二步骤120中,第一终端处理脉冲响应,以从其中提取表征该响应的消息,以下称为第一消息。该处理尤其可包括用于消除噪声的低通滤波、自动增益控制(AGC)、量化、信息压缩、傅立叶变换等。在步骤130中,第一終端使用错误校验码或ECC来编码以上述方式获得的第一消息。有利地,首先使用错误检测码(例如,使用循环冗余校验或CRC)来编码第一消息。随后,ECC编码可与串接至CRC码的原始消息相关。作为替代,ECC与无CRC的第一消息相关,且将CRC串接至由ECC编码获得的消息。例如,ECC编码可以是里德-所罗门(Reed-Solomon)型、低密度奇偶校验码或LDPC的编码、编码(encoding)或祸轮编码。
在步骤140中,使用具有防止其在接收时被解码的足够高的增信删余比率的增信删余模式对以上述方式编码的第一消息进行增信删余。例如,如果编码是系统型的,那么系统比特位可全部被增信删余。优选地,将仅对这些比特位中的某些增信删余,但它们的数量要足以超过所使用的ECC码的校验能力。因此,任何截获通信的间谍终端(夏娃)将无法重构原始消息。在141中,第一消息被调制,并随后由第一终端发送 。在接收之后,由第二终端对该消息进行解调和解增信删余。解增信删余包括将丢失比特位处理为缺 失部分(deletion),换言之,赋予它们指示数据明显缺失的灵活值(flexible value,实际中为零LLR )。类似地,在115中,第二终端对传送信道的脉冲响应进行估计(使用由第一终端发送的导频符号序列,其中,信道的脉冲响应采用如110中的样本序列的形式),在125中对该响应进行计算,以从其中提取表征该响应的第二消息,在135中进行错误校验编码或ECC(有利地,在ECC编码之前采用CRC编码)。由第二终端执行的步骤115、125和135分别与由第一终端执行的步骤110、120和130 —致。具体地,ECC编码和CRC编码(如果可用)与130中使用的ECC编码和CRC编码一致。此外,当130中CRC编码发生在ECC编码之前时,135中也在ECC编码之前进行相同的CRC编码。相反,当130中将CRC码串接在ECC码之后时,135中无需CRC编码。根据变形例,可包括增信删余步骤145。当它存在时,145中使用的增信删余模式有利地与140中使用的增信删余模式有区别。以上述方式生成的第二消息被存储在第二终端中。在步骤155中,第二终端将第二消息的至少一部分与从第一终端接收到的第一消息结合。第一消息由通常呈对数似然概率(LLR)形式的软比特位组成。第二消息也由软比特位组成,但与第一消息不同,如果可将第二消息视为是确定性的(未经传送信道传输),那么正、负软比特位可以是不变的。在特定情况下,第二消息可采用“概率”值进行编码。例如,如果比特位表示预定阈值的交织,那么软值可表示原始值与阈值之间的比。因此,如果125中的计算包括对脉冲响应的阈值(以定位衰减),那么所讨论的第二消息的软值可作为(之前归一化的)响应振幅与阈值之间的比。相反,如果第二消息(和第一消息)的二进制字表示衰减的时间位置,那么将使用不变的软值。第一消息与第二消息的至少一部分结合如下如果在第一消息和第二消息二者中均增信删余比特位,那么由结合产生的比特位为缺失部分(由零值的LLR表示)。如果在第一消息中增信删余比特位,而在第二消息中未增信删余该比特位,那么第一消息的这一比特位由第二消息的相应比特位替代。以等效方式,将第一消息中增信删余的值(增信删余比特位等同于缺失,因此等于零值的LLR)与第二消息中相应的比特位值相加。最终,如果两个消息中均存在该比特位,那么将第一消息的软值与第二消息的软值相加。当第二消息已与第一消息至少部分结合之后,在165中进行第一次尝试来解码第一消息。此处应注意,第二消息的仅有功能是辅助解码第一消息,而不是相反。换言之,存在于第二消息中的信息仅仅是使第一消息中由于增信删余而丢失的信息变得完整。如果165中解码失败(即,如果ECC码不能校正影响消息的错误),或者另外,如果从已解码消息中计算出的CRC指示有剩余错误(residual error)存在,那么如测试步骤175中所示,在176中继续该算法。相反,如果解码成功,随着由CRC计算获得的可行确认,在185中将应答(acknowledgement)发送至第一终端,并在195中计算密钥。从165中解码的第一消息来获得密钥。该密钥可能简单地与已解码消息一致,或者是该消息的二次采样結果。作为替代,它可以借助于g在消除其冗余的计算,換言之,借助于信息压缩算法由上述方法提取。例如,其可以作为由借助于自适应滤波器对已解码的第一消息滤波而得的剰余部分来获得。同时,如果第一終端接收到解码应答,那么它在190中借助干与在195中用于已解码的第一消息的计算相同的计算从(在120中所获得的)第一原始消息中生成密钥。因此,以此方式生成的密钥为两个终端所共有,并可用于使用诸如像3DES或RC4等的对称加密算法来加密通信。如果需要,可使用同样的生成方法来更新密钥。传送信道的特性通常随时间而变化,这是由于两个终端的相对移动,或由于它们周围环境的改变,而且以此方式获得的新密钥与前一个密钥去相关。 图2示意性示出了根据本发明的密钥生成方法的第二实施方式。与第一实施方式不同,由第二终端将第二消息发送至第一終端,以确定联合密钥I joint secret key)。由第一终端执行的步骤210、220、230和240分别与图I的步骤110、120、130和140 —致,因此这里不再描述。以类似方式,步骤215、225、235、245、255、265、275-276、285和 295 分别与步骤 115、125、135、145、155、165、175-176、185 和 195 一致。步骤295中获得的密钥在第二实施方式中被称为第一密钥。此外,增信删余的步骤245在该情况下是必选的,且用于其的增信删余模式具有使第二已增信删余消息不能被接收器解码的足够高的增信删余比率。截获第二終端与第一終端之间的通信的第三終端将因此无法获得第二原始消息。同样记得,用于增信删余第二消息的增信删余模式优选与用于增信删余第一消息的增信删余模式有区別。在增信删余之后,第二消息被调制并由第二終端通过传送信道发送。如上所述,该消息由第一終端接收、解调和解增信删余。220中获得的第一消息随后在250中至少部分与以上述方式解增信删余的第二消息结合。该结合与在255中完成的结合对称地被完成。具体地,第二消息中丢失的信息由包括在第一消息中的信息来完善。结合之后,在260中进行第一次尝试来解码第二消息。如果由于ECC码丧失校验能力,或者由于借助于CRC在已解码消息中检测到剰余错误,而在270中检测到解码失败,那么(当后一原因存在吋)该生成方法在步骤271中继续。相反,如果解码成功,随着由CRC计算而得的可行确认,在280中将应答发送至第ニ终端,并在290中计算密钥。通过在第一密钥的计算与第二密钥的计算之间竞争来获得共同密钥。更具体地,从另ー終端首先接收到应答的終端中断对所接收消息(如适用,第一消息或第二消息)的解码,井随后在本地从原始消息中生成联合密钥,如步骤190中所述。更具体地,如果第一消息的解码快于第二消息的解码,那么在285中传送的应答将中断第一終端中解码第二消息的过程。第一终端随后将从(在220中所获得的)第一原始消息中生成共同密钥,如由图左侧部分中的虚线箭头所示。以对称方式,如果第二消息的解码快于第一消息的解码,那么在280中传送的应答将中断第二终端中解码第一消息的过程。第二终端随后将从(在225中所获得的)第二原始消息中生成共同密钥,如由图右侧部分中的虚线箭头所示。因此,一旦第一消息或第二消息解码成功,就获得了共同密钥。两个终端之间的通信随后可借助于对称加密算法来加密,如上所述。截获第一消息或第二消息的间谍终端(夏娃)将无法解码它。此外,如果间谍终端尝试根据其自身对传送信道的脉冲响应的测量来完善截获消息中所接收到的信息以解码该消息,那么该解码将注定失败,因为在第一终端/第二终端与间谍终端之间的传送信道将必定具有与将第一终端和第二终端隔开的信道的响应不同的响应。当在175或275中第一消息解码失败时,或者另外,当在270中第二消息解码失败时,该密钥生成方法继续,如图3所示。 图3示意性示出了如果发生图I (参照步骤176)或图2 (参照步骤271或276)中消息解码失败时的密钥生成方法的序列。作为一个示例,以下我们将假设,在第一实施方式中,175中对第一消息的解码已经失败。然而明确的是,在第二实施方式中,如果在275中第一消息解码失败,或者在270中第二消息解码失败,那么将遵循类似的程序。首先,如果错误数量超过ECC码的校验能力,或者如果从已解码消息中计算出的CRC指示有错误存在,那么进行测试以找出这些错误的起因是否是由于脉冲响应的移位,如在115中估计,与在110中估计的结果相比较。事实上,可能在两个连接方向之间的时延(TDD)或频移(FDD)导致了传送信道的脉冲响应的少数样本的移位。如果110和115中在两个所估计的脉冲响应之间能容忍的最大移位被记为S,那么进行验证,看与第一脉冲响应相比,来自第二脉冲响应的s = 1,...,S个样本的平移(translation)是否能使第一消息被校验。为实现这一点,首先在310中将移位初始化为s = I个样本,并在320中平移s个样本的第二脉冲响应。在330中使用以此方式平移的脉冲响应再次执行步骤125至155。在340中尝试新的解码。如350中所示,如果解码成功,那么过程回到步骤185(图O ;换言之,将解码的应答发送至第一终端,并在195中计算密钥。相反,如果解码再次失败,那么在360中进行测试,看是否s = S。如果不是该情况,那么在365中递增移位,且过程回到用于新的平移的步骤320和使用平移后的脉冲响应进行新的解码尝试的步骤330和340。相反,若s = S,但如果解码仍不成功,那么第二终端将移位重置为零(s = 0),并在370中向第一终端发送为其传送新冗余增量的请求。该冗余增量由在增信删余步骤140期间删去的多个比特位组成。本领域技术人员将理解,如果终端能够根据HARQ II型协议来运行,那么连续冗余增量的传送将不需要对该终端进行任何实质性修改。在同意上述请求之前,第一终端检验由所发送的第一消息和所请求的冗余增量组成的集合仍能防止第一原始消息被解码。如果不是该情况,那么第一终端不发送该增量,而且如果可能,将此告知第二终端。该方法通过返回步骤155而继续,在步骤155中,第二消息的至少一部分与通过冗余增量完善的第一消息結合。如果再次解码失败,那么将在115中测量的脉冲响进行连续移位,直到解码成功,或直到再次获得最大移位值s=S。在后者的情况下,第二終端发送传送冗余增量的新请求,且在155中进行的新结合与由连续冗余增量完善的第一消息有夫。从第一終端来看,每当接收到请求时,发送新的冗余増量,但要假设已增信删余的且由连续增量完善的第一消息保持不可解码。因此,应当理解,截获该消息的增信删余形式和连续冗余增量的第三終端将无法生成密钥。如果新增量的传送能使第一消息被解码(理解为将无其他信息,诸如由第二消息提供的信息),那么不发送新増量,且随着在110中由第一終端和在115中由第二終端对传送信道的脉冲响应进行的估计的开始,再次启用该密钥生成方法。图4示意性示出了在起发送终端作用的情况下,第一終端中的密钥生成方法的一个实施实例。所讨论的終端包括用于估计传送信道的脉冲响应的模块410。如之前上文所述,可能脉冲响应未被解卷积,換言之,其可表示信道对导频符号序列的响应。 计算模块420将脉冲响应变换为表征该脉冲响应的消息。该消息可视情况形成具有在430中用于它的错误校验码(CRC),其中,CRC随后以已知方式串接至该消息。该消息及(若可用)其串接的CRC在编码模块440中使用错误校验码(ECC)来编码。以此方式编码的消息由增信删余模块450来增信删余。增信删余后的比特位被存储在存储器455中,并可根据请求以打包(冗余増量)形式发送。最終,增信删余后的消息在通过传送信道传送之前,由Q元符号(symbol Q-area)调制器460进行调制。该终端还包括计算模块470,其从由计算模块420提供的消息中确定密钥。图5示意性示出了在起接收终端作用的情况下,第二终端中的密钥生成方法的一个实施实例。第一終端包括用于估计脉冲响应的模块510、计算模块520、用于计算CRC的可选模块530、ECC编码模块540和增信删余模块550。除了 550中使用的增信删余模式与450中使用的增信删余模式有区别之外,模块510至540分别与模块410至440 —致。此外,平移模块515被置于估计模块510与计算模块520之间。该模块平移所估计的s个样本的脉冲响应。针对各个新估计,将移位值s重置为零。形成第二消息的比特位序列被存储在555中。该第二消息在560中至少部分与由接收器565从第一终端接收到的第一消息结合。例如,该结合模块执行LLR添加,如上所述。最終,由结合产生的消息具有在570中用于该消息的ECC解码和在580中用于该消息的CRC计算。如果该消息可解码,且如果CRC与所串接的CRC —致,那么计算模块590从解码后的消息中确定密钥。相反,如果该消息不能被解码,或者如果所计算的CRC不正确,那么输入进模块515中的移位值递増。该生成方法在520中使用平移后的脉冲响应来继续。如果递增后的移位值超过了最大移位S,那么将传送冗余增量的请求发送至第一终端。该冗余増量在560中与第二消息的所述部分结合。本领域技术人员将理解,根据本发明的密钥生成方法使用通常在执行II型HARQ(IR-HARQ)传输协议的无线终端中实施的模块。因此,本发明可在现有终端中使用,而不会有很大困 难。
权利要求
1.一种在第一终端与第二终端之间共享的密钥的生成方法,其中,所述第一终端和所述第二终端由无线通信信道连接,且其中,所述第一终端对所述信道进行第一估计(110),以及所述第二终端对所述信道进行第二估计,该方法的特征在于 (a)表征(120)所述第一估计的第一消息由所述第一终端发送至所述第二终端,其中,所述第一消息事先已使用信道编码进行了编码(130),并采用第一增信删余模式以使其不能被解码的足够高的增信删余比率进行增信删余(140); (b)表征所述第二估计的第二消息由所述第二终端存储,其中,所述第二消息事先已使用所述信道编码进行了编码; (c)所述第二消息与所述第一消息结合,以解码所述第一消息;以及 (d)如果所述第一消息解码成功,那么所述第二终端从所解码的所述第一消息中确定密码。
2.根据权利要求I所述的密钥生成方法,其特征在于,如果所述第一消息解码成功,那么所述第二终端将应答发送至所述第一终端,且所述第一终端随后从所述第一消息中确定密钥。
3.根据权利要求2所述的密钥生成方法,其特征在于,所述第一终端通过对所述第一消息实施计算来确定密钥,以及特征在于,所述第二终端对所述第一已解码消息实施同样的计算来获得该密钥。
4.根据权利要求I所述的密钥生成方法,其特征在于,对脉冲响应的所述第一估计和所述第二估计采用样本序列形式,以及特征在于,如果所述第一消息解码不成功,那么将对脉冲响应的第二估计相较于所述第一估计至少移位一个样本,以及特征在于,使用这样移位的所述第二估计来重复步骤(b)、步骤(c)和步骤(d)。
5.根据权利要求4所述的密钥生成方法,其特征在于,迭代对所述脉冲响应的所述第二估计的移位和步骤(b)、步骤(c)和步骤(d)的序列,直到所述第一消息被成功解码,或直到所述移位达到预定最大值。
6.根据权利要求5所述的密钥生成方法,其特征在于,如果所述移位达到了所述最大值,而所述第一消息还未被成功解码,那么所述第二终端向所述第一终端发送一传送冗余增量的请求。
7.根据权利要求6所述的密钥生成方法,其特征在于,所述冗余增量由已通过所述第一增信删余模式进行增信删余的比特位组成。
8.根据权利要求7所述的密钥生成方法,其特征在于 (c’)所述第二终端将所述第二消息的至少一部分与事先由所述冗余增量完善的所述第一消息结合,并尝试从该结合中解码所述第一消息; (d)如果所述第一消息解码成功,那么所述第二终端从所解码的所述第一消息中确定密码。
9.根据权利要求8所述的密钥生成方法,其特征在于,仅在由所述冗余增量完善的所述第一消息自身仍不可解码时,所述第一终端将所述冗余增量发送至所述第二终端。
10.根据权利要求9所述的密钥生成方法,其特征在于,如果所述冗余增量使所述第一消息自身可解码,那么 不通过所述第一终端发送所述冗余增量,且所述第一终端使所述第二终端知晓该情况; 所述第一终端和所述第二终端分别对传送信道的脉冲响应进行新的第一估计和第二估计。
11.根据权利要求I所述的密钥生成方法,其特征在于,事先使用所述信道编码进行编码的所述第二消息采用第二增信删余模式以使其不能被解码的足够高的增信删余比率进行增信删余,以及特征在于,将以此方式增信删余的所述第二消息发送至所述第一终端。
12.根据权利要求11所述的密钥生成方法,其特征在于 所述第一终端将所述第一消息的至少一部分与所述第二消息结合,以解码所述第二消息;以及 如果所述第二消息解码成功,假如所述第一终端事先未从所述第二终端接收到应答,那么所述第一终端从所解码的所述第二消息中确定密钥,并向所述第二终端发送应答消息; 如果所述第一终端已从所述第二终端接收到应答消息,那么所述第一终端从所述第一消息中确定所述密钥。
13.根据权利要求11或12所述的密钥生成方法,其特征在于 所述第二终端将所述第二消息的至少一部分与所述第一消息结合,以解码所述第一消息;以及 如果所述第一消息解码成功,假定所述第二终端事先未从所述第一终端接收到应答,那么所述第二终端从以此方式解码的所述第一消息中确定密钥,并向所述第一终端发送应答消息; 如果所述第二终端已从所述第一终端接收到应答消息,那么所述第二终端从所述第二消息中确定密钥。
14.根据权利要求11至13中任一项所述的密钥生成方法,其特征在于,在通过所述第一终端/所述第二终端进行信道编码、增信删余以及发送之前,计算CRC并将其串接至所述第一消息/所述第二消息,以及特征在于,通过将使用接收到的所述第一消息/所述第二消息计算出的CRC与所串接的CRC相比较,来确定由所述第二终端/所述第一终端对所述第一消息/所述第二消息解码的成功。
15.根据权利要求11至13中任一项所述的密钥生成方法,其特征在于,在信道编码和增信删余之前,使用所述第一消息/所述第二消息来计算CRC,并随后在发送之前,将计算出的所述CRC串接至以此方式增信删余的消息,以及特征在于,通过将使用所述第一消息/所述第二消息计算出的CRC与所串接的CRC相比较,来确定所述第一消息/所述第二消息解码的成功。
全文摘要
本发明涉及一种在第一终端与第二终端之间共享的密钥的生成方法。该密钥由将两个终端隔开的传送信道的脉冲响应生成。将表征由第一终端估计的脉冲响应的第一消息发送至第二终端。该消息使用信道编码进行编码,并以在其他信息缺失时防止任何解码的比率进行增信删余。第二终端将第一消息与表征由第二终端估计的脉冲响应的第二消息的至少一部分结合,以尝试解码第一消息。若解码成功,则由第二终端从所解码的第一消息中生成密钥。
文档编号H04W12/04GK102821386SQ201210187680
公开日2012年12月12日 申请日期2012年6月7日 优先权日2011年6月7日
发明者克里斯蒂娜·埃内贝尔 申请人:法国原子能及替代能源委员会