基于模型的LoRa密钥生成方案

一种基于模型的LoRa密钥生成安全方案

摘要

物理层密钥生成在过去十年中受到了广泛关注，因为它利用信道互易性为无线网络中的密钥建立提供了一种替代方案。本文探讨了在新兴的低功耗广域网（LPWAN）如LoRa（长距离）中实现物理层密钥生成的可能性。然而，由于LPWAN的传输速率低于Wi‐Fi和Zigbee，其信道互易性相对较低，这使得及时生成密钥具有挑战性。为解决这一问题，我们提出了一种新颖的信息论密钥生成方案，该方案可在所有数据速率设置下运行，并采用基于模型的密钥生成方法。此外，我们推导出用于计算信道模型参数的最优窗口大小，该参数基于随机利用航点模型来平衡信道互易性和熵。在校园测试平台上的大量评估表明，我们的方法可实现高达13.8比特/秒的密钥生成速率。与最先进的方法相比，所提出的方法将密钥生成速率提高了3×到5×。我们还分析了该方法的安全性，并证明其能够抵御窃听攻击。

CCS概念

•网络→移动和无线安全性; •计算机系统结构→传感器网络.

关键词

物联网；LoRa；LoRaWAN；无线密钥生成

1 引言

过去十年见证了物联网（IoT）系统及其应用的激增——即由能够通过互联网无缝通信的互联“智能”设备组成的网络。根据Statista[33],，到2025年将有超过750亿台物联网设备连接到互联网。

由于无线通信的广播特性以及密码学密钥管理相关的挑战，物联网系统安全仍然是一个主要问题。传统的公钥基础设施（PKI）由于计算复杂度较高且依赖可信第三方，可能不适用于资源受限的物联网设备。虽然预共享密钥（PSK）已被考虑使用，但在大规模部署中缺乏密钥撤销能力和可扩展性[19]。韩等人提出利用多模态传感器根据感知事件的时间来配对物联网设备，但这需要额外的传感组件[15]。

近年来，利用无线衰落信道的互易性和随机性进行物理层密钥生成的概念引起了广泛关注。物理层密钥生成基于三个原理：信道互易性、时变性和空间变化[17]。信道互易性是指两个通信节点之间的信道特性几乎相同。例如，在信道相干时间内通过交换一对探测数据包所测量得到的两个设备之间的接收信号强度指示（RSSI）将相匹配。时变性是指由于环境中人或物体的移动，无线信道会发生变化。空间变化是指位于不同位置（即间距超过半波长）的设备会因多径效应而具有不同的无线电信道。

尽管近年来基于传统通信技术（如Wi‐Fi、Zigbee和蓝牙）的物理层密钥生成已有大量研究工作[38, 46, 50, 52],，但我们发现这些研究大多集中在时变性或空间变化上。信道互易性未受到足够关注的主要原因是，这些标准的传输速率在几十kbps或Mbps量级。在这种高带宽通信技术中，即使在快衰落信道下，信道互易条件也容易满足，因为两端设备可以在信道相干时间内轻松交换探测数据包。然而，对于新兴的低功耗广域网（LPWAN）技术而言，情况并非如此，因为其传输速率可能低至几十bps。这种极低的带宽导致数据包空中传输时间较长（达数百毫秒，而高带宽技术仅为几毫秒）。此外，传统通信协议与LPWAN在通信/干扰/穿透范围方面存在显著差异。例如，在Wi‐Fi中，典型的通信范围小于100米，而远距离（LoRa）作为一种广泛使用的LPWAN技术，可支持高达10公里的通信范围。各种技术的进一步比较如图1所示。这带来了新的挑战

物理层密钥生成面临的挑战：由于极低的数据速率（例如980 bps），通信双方可能无法在信道相干时间内交换探测数据包。Xue等人开展了开创性工作，探索了LoRa物理层密钥生成的可行性[47, 48]。他们指出了低信道互易性的问题，但未提出解决该挑战的方法。目前还有其他几项关于低功耗广域网密钥生成的研究[14, 31, 54],，但低信道互易性问题仍未得到解决。

为解决上述识别出的独特挑战，我们提出了一种针对LoRa的新型基于模型的密钥生成方法。所提出的基于模型的密钥生成方案的主要优势在于，能够显著提高两个通信设备之间RSSI值的相关性。我们还提出了一种利用模型参数的新型密钥生成方法。同时采用基于压缩感知（CS）的纠错机制来提高匹配率。本文的主要贡献总结如下。

所提出的基于模型的密钥生成方案利用实时RSSI而非传统分组RSSI来生成密钥。我们的方案基于信道参数，这些参数比依赖于包接收信号强度指示的参数更稳定，并显著提高了LoRa中的信道互易性。因此，即使在低数据速率场景下，该方案也能为两个通信设备生成具有高匹配率的密钥。

•我们使用随机路点模型分析无线信道，以表示感兴趣区域内物体的移动，并推导出用于计算前述信道参数的最优窗口大小，以平衡信道互易性和熵。我们通过实验验证了该分析。

•我们基于理论分析，在真实测试平台中进行了大量实验来评估所提出的方案。评估结果表明，我们的方案在实现更高匹配率的同时，可将密钥生成速率提高3到5倍。我们还使用NIST测试套件验证密钥的随机性，并分析所提出方案的安全性。

2 背景与初步研究

本节简要介绍了LoRa及相关挑战，并展示了我们的初步发现。

2.1 LoRa通信技术

LoRa物理层基于源自啁啾扩频（CSS）技术的扩频调制技术。数据速率取决于三个关键的物理层参数，即带宽（BW）、扩频因子（SF）和编码率（CR）。以比特/秒为单位的数据速率由以下公式确定：
$$
\text{Data rate} = \frac{\text{SF} \times \text{BW}}{2^{\text{SF}} \times \text{CR}}. \quad (1)
$$
尽管不同国家对这些参数的配置有自己的规定，但全球LoRa数据速率的范围在几十比特/秒到几十千比特/秒之间。

2.2 LoRa网络中无线密钥生成的相关挑战

先前的研究已经证明了在LoRa中进行无线密钥生成的可行性。然而，这些方案存在若干不足之处。以下是两个最紧迫的挑战。

1) 低数据速率影响：如前所述，物理层密钥生成基于信道互易性。在LoRa‐Key[47, 48],中，作者首次开展了针对LoRa网络的密钥生成研究。他们发现，在高传输场景下可以实现高互易性，这一点也在[53]中被观察到。然而，低传输速率将导致低信道互易性。如果两个通信设备处的信道测量结果不相似，则难以基于这些测量生成相同密钥。

2) 密钥生成速率低：近年来，与Wi‐Fi相关的研究使用信道状态信息（CSI）进行信道测量，以提高密钥生成速率（即密钥比特的生成速度），因为CSI可以提供细粒度的信道信息[27, 44]。这包括多个通信子载波上的信号幅度/功率和相位信息。

遗憾的是，当前一代的LoRa设备只能提供RSSI值，这是一种粗粒度信道测量。在大多数无线设备中，RSSI是通过对接收数据包期间的接收信号功率测量值进行平均得到的。这通常导致每个数据包产生一个RSSI值。此外，由于传输速率较低，LoRa设备每秒只能传输有限数量的数据包。因此，可用的信道信息变得相当有限，从而导致密钥生成速率较低。根据我们在第5.6节中的实验评估，使用[48],中的方法，密钥生成速率可能低至0.23bps（DR0，非高峰时段，详见第5.6节）。这意味着生成一个128位密钥需要超过9分钟（556秒），并对电池供电的物联网设备消耗大量能量。

特征名称	相似性	熵
Mean	Yes	Yes
标准差	No	-
Max	Yes	No
Min	No	-
范围（最大值‐最小值）	No	-
四分位距	Yes	No
绝对均值	Yes	No
变异系数	No	-
偏度	No	-
峰度	No	-
绝对面积	No	-
均方根	Yes	Yes
平均绝对偏差	No	-
四分位数：第一四分位数	第二四分位数	第三四分位数
频域最大值	No	-
频域均值	No	-
频域主频	No	-
主频比	No	-
频域能量	No	-
频域熵	No	-

2.3 我们的发现

我们进行了一些初步实验，以研究上一节中提到的挑战。这些初步实验遵循第3节中的模型。我们使用一台连接了LoRa收发器的笔记本电脑作为通信节点。两个通信方之间的距离在10到100米之间。

如前所述，两个合法方（即爱丽丝和鲍勃）测量的信道特性可能会不同，因为他们无法在信道相干时间内交换探测数据包。为解决此问题，我们研究并观察到LoRa收发器还提供RegRssiValue，即原始瞬时信号强度估计。根据SX127x LoRa收发器的数据手册[32],，RegRssi‐Value的采样频率可高达信道带宽。为了区分反映每个数据包接收信号强度平均值的包接收信号强度指示与RegRssiValue，我们使用RSSIp表示包接收信号强度指示，使用RSSIr表示RegRssi-Value。我们使用少量样本测量来说明我们的基本思想。如图2(a)所示，与RSSIp相比，RSSIr可能提供更好的信道估计。因此，一个关键问题是：如何利用这些含噪信道测量在两端点（爱丽丝和鲍勃）可靠且独立地估计信道，从而保持信道互易性，并实现匹配密钥的成功生成。

一种直接的方法是像之前的研究那样，直接将RSSIr用作RSSIp。然而，由于无线电收发器的半双工特性以及LoRa的长分组空中传输时间，爱丽丝和鲍勃各自测得的RSSIr并未同步。这一点可以从图2(b)中观察到。尽管我们可以看到爱丽丝和鲍勃的RSSIr之间存在相干性，但它们之间并没有精确匹配。此外，我们还发现RSSIr的测量包含大量信道和测量噪声。

另一种方法是对原始RSSIr测量值进行特征工程，以生成诸如均值、标准差和四分位数等信道特征。需要注意的是，常用的包接收信号强度指示（packet RSSI）就是这些特征之一（例如，均值）。如表1所示，我们分析了22种不同的特征，发现只有少数时域特征能够从爱丽丝和鲍勃的测量值中产生相似的数值。然而，许多时域特征（例如，最大值、四分位距）并非随机，且会产生熵不足的问题。一个数据包中RSSIr的均值即为在先前研究中广泛使用的包接收信号强度指示（RSSIp），但它存在测量不同步（以及低信道互易性）的问题，如上所述。尽管一个数据包的RSSIr的均方根可以同时提供相似性和熵，但无论是使用均值还是均方根，其性能相比RSSIp都不会有显著提升。

相反，我们研究了探索RSSIr分布以生成密钥材料的可行性。图2(c)显示，合法设备（即爱丽丝和鲍勃）产生的RSSIr分布非常相似，而与攻击者（即伊芙）的分布则大不相同。我们将在下一节通过无线通信理论进一步阐述RSSIr分布的物理意义。

2.4 无线电传播模型

在无线通信中，障碍物（如房屋、建筑物和树木）会导致发射信号的反射、衍射、散射和阴影效应以及多径传播。由于多径效应，以不同相位角和时间间隔到达的发射信号将具有不同的幅度。换句话说，在不同距离和不同时刻测得的RSSI是变化的。该衰落过程遵循瑞利或莱斯概率分布，并取决于传输过程中散射分量的强度。如图3所示，对于散射分量强度，我们考虑莱斯分布，即存在强主导信号的情况，例如视距（Line of Sight，或LOS）；而对于散射强度较弱的情况（例如非视距，或NLOS），我们采用瑞利分布[2, 4, 34]。

莱斯衰落是一种随机模型，用于描述由于无线电信号自身相互抵消而引起的无线电传播异常。该信号通过不同路径到达接收器，且模型内物体的移动导致部分路径持续变化。当存在一个主导的反射信号（通常是视距信号）且该信号远强于其他分量时，会发生莱斯衰落。在莱斯衰落中，幅度增益由莱斯分布表征。

瑞利衰落是一种在没有主导信号情况下的随机衰落专用模型，可视为莱斯衰落的一个特例。在瑞利衰落中，幅度增益由瑞利分布表征。

因此，我们可以通过考虑正弦调制载波来建模窄带传播信道。
$$
s(t) = \cos\omega_ct \quad (2)
$$
该信号在莱斯多径信道V(t)中接收到的总信号可表示为
$$
V(t) = C\cos\omega_ct + \sum_{n=1}^{N} \rho_n\cos(\omega_ct + \varphi_n) \quad (3)
$$
其中C是主导分量幅度，ρn是ntℎ反射波幅度，φn是ntℎ反射波相位，n= 1..N表示反射和散射波。当C= 0时，表示瑞利衰落。

从上述分析可以推断，在Ts时间段内，对于静态发送器和静态接收器之间的通信，主导部分Ccosωct保持不变，而多径变化是模型参数变化的主要原因。因此，通信双方之间移动的物体会决定V(t)的变化。

由于发送器和接收器分别在两个不同的时间测量同一信道，公式(3)中的第一项对于静态发送器和接收器始终相同，而公式(3)中的第二项是需要解决的挑战。第二项的关键变量是t，图4给出了简要分析，其中我们展示了RSSI在不同时间持续（t）下的时间动态，即tooshort、proper、toolong。可以看出，在适当的时间持续内，爱丽丝和鲍勃异步测量的RSSI相似且具有高熵。

因此，我们的思路是，利用RSSI测量值建立通信信道模型，并将模型参数用作爱丽丝和鲍勃之间的共享密钥是可行的。在下一节中，我们将使用一种广泛使用的移动性模型来分析t的proper值。

2.5 随机路点模型

为了确定前一节中讨论的合适t，我们在无线网络中随时间对物体或节点的移动使用随机路点模型。该模型被广泛用于评估移动性对自组织网络的影响。

在随机路点模型中，节点将交替进行静止和移动，并且每次移动时都会随机选择方向。不失一般性，我们假设所有节点的速度相同，因为移动量是速度与下文定义的可变移动周期的乘积。这是使用随机路点模型时的常见假设[7, 28]。我们进一步定义，一个移动周期和一个暂停周期的组合为一轮次，注意节点可能在整个轮次中并未发生移动。在图5中，t_moven表示ntℎ移动的持续时间，其中n表示已进行的轮次数。在先前相关研究[7, 28],中，渐近空间密度是显示模型内变化的关键因素。图6(a)展示了给定n下的渐近空间密度。节点在[0, 1]2中移动的渐近空间密度函数可能具有不同的形式；此处我们采用来自[28]的如下函数：
$$
f(x,y) = p_{\text{stat}} + (1 - p_{\text{stat}}) p(n) + (1 - p_{\text{stat}})(1 - p(n))(x -1)(y -1), \quad (4)
$$
其中x,y表示模型内的坐标，p(n)表示节点在时间t保持静止的概率，p_stat表示节点在整个运行时间内保持静止的概率。为了简化分析，我们设定p_stat = 0。因此，确定f(x,y)的关键变量是p(n)，可表示为
$$
p(n) = \frac{\sum_{j=1}^{n} \frac{t_{\text{pause}}}{t_{\text{pause}} + t_{\text{move} j}}}{n} = \frac{t {\text{pause}} \sum_{j=1}^{n} \frac{1}{t_{\text{pause}} + t_{\text{move}_j}}}{n}. \quad (5)
$$

一组随机生成的数T={t1, t2,…tn} 0 ≤ti ≤ 40被用作n移动的持续时间；然后我们在若干轮次中计算不同T和tpause（即tpause= 1、2、3）下的p(n)值。由于p(n)表示模型内密度变化的概率，我们应确保Ts能覆盖p(n)的峰值，以使概率保持稳定。因此，爱丽丝和鲍勃可以记录相似的动态信道模型参数。图6(b)显示，p(n)的变化主要发生在前100次移动内。由于tn是从0到40 ms随机生成的，在本示例中tn的均值为20。注意tn可设置为任意正值，这将相应地改变达到稳定信道模型所需的移动次数。因此，达到稳定信道模型条件的总时间将大致相似。故在本示例中，下界应大于20 × 100= 2,000ms或2秒。图6(c)显示了当0 ≤ n ≤ 15,000时p(n)的取值。我们可以看到，在前5,000次移动中，不同轮次的p(n)存在波动，之后变得越来越稳定。如果概率保持稳定，意味着静态发送器与接收器之间的莱斯衰落模型参数将不再记录显著变化，从而导致熵的损失。因此，合适的t的上界不应超过20 × 5,000= 100,000ms或100秒。上述分析与我们在第5.4.1节中的实验结果非常吻合。

3 系统模型

如图7所示，我们考虑以下系统模型。假设有两个配备LoRa收发器的合法无线设备，即爱丽丝和鲍勃，它们希望基于无线信道特性生成一个共享密钥。同时，存在一个攻击者，即伊芙，她试图窃听以生成相同的密钥。该模型在文献中被广泛使用[17, 22, 47, 48]。由于信道在空间上不相关，只要攻击者与爱丽丝和鲍勃之间的距离均大于λ/2，其中λ为无线电信号的波长，则合法节点与对手之间的爱丽丝‐伊芙信道和鲍勃‐伊芙信道在统计上不相关。

我们还假设对手可以窃听两个合法节点之间的消息，这与之前的研究[17, 22, 48]类似。此外，对手可随意对消息进行篡改、注入和/或伪造。该对手知晓合法方所使用的所有密钥生成过程和参数。然而，伊芙不能非常接近爱丽丝或鲍勃（例如，对于900MHz LoRa无线信号而言，距离需超过17厘米）。在本文中，我们假设伊芙的目的是利用其能够窃听到的信息，生成与爱丽丝和鲍勃相同的密钥。因此，我们仅考虑被动窃听攻击。其他类型的攻击，例如冒充攻击，可以通过如[10, 22, 24, 43]中的认证方法来应对，因此不在本文的讨论范围之内。

4 协议设计

4.1 概述

图8显示了我们协议的工作流程。假设爱丽丝是发起者，希望与另一个合法方鲍勃生成或更新密钥。首先，他们通过交换一些探测和响应数据包来测量信道特性。然后，他们按照图8所示的步骤生成密钥。最后，该密钥用于加密/解密数据，以确保合法方之间的安全通信。该过程包括三个主要阶段：

（1）建模：在收集足够的RSSIr数据后，我们对数据应用曲线拟合，将其拟合到莱斯衰落模型。根据第2节中的分析，爱丽丝和鲍勃的测量值遵循相同的莱斯分布，而伊芙的数据则遵循不同的莱斯分布。

(2) 随机字符串生成：曲线拟合后，爱丽丝生成一组随机数并发送给鲍勃。这将作为密钥生成的另一个输入源[46]。

（3）密钥生成：密钥生成组件包含三个必要步骤：量化、纠错和隐私增强。在量化阶段，爱丽丝和鲍勃将采用多级量化方法独立生成初始密钥。在纠错阶段，合法方通过公共信道交换纠错消息，该过程使他们能够纠正错配比特。然而，纠错会向伊芙泄露部分比特串的信息。隐私增强用于解决信息泄露问题。

在本节的其余部分，我们将描述每个组件的设计细节。
1

4.2 建模

由于瑞利衰落可以被视为莱斯衰落的一个特例，例如当式(3)中的C等于0时，我们将基于更为通用的莱斯分布建立模型，该分布通常用参数K（莱斯因子）和Ω来描述：
$$
K = \frac{\nu^2}{2\sigma^2}, \quad (6)
$$
and
$$
\Omega = \nu^2 + 2\sigma^2, \quad (7)
$$
其中ν和σ可通过以下方式计算：
$$
f(x |\nu, \sigma) = \frac{x}{\sigma^2} \exp\left(-\frac{(x^2 + \nu^2)}{2\sigma^2}\right) I_0\left(\frac{x\nu}{\sigma^2}\right). \quad (8)
$$
K被定义为主导路径接收到的功率与被遮挡路径的功率贡献之比。参数K也可以表示为K= A²/2b²，或以分贝（dB）表示：
$$
K = 10\log\left( \frac{A^2}{2b^2} \right) \quad (9)
$$
其中A²是主导路径（公式(3)中的第一项）的能量，2b²是接收信号[1]中扩散部分的能量（公式(3)中的第二项）。根据莱斯K‐因子的定义，较低的K‐因子表示无线传播环境中存在较大的移动（即较大的b），这会随时间扰动接收功率剖面；而较大的K‐因子则表明环境中的移动较小。

为了估计K‐因子，我们根据第2.4节中讨论的RSSI构建经验累积分布函数（CDF），并使用最小二乘曲线拟合技术将其与中位数为零的莱斯分布进行比较。图9(a)分别展示了爱丽丝、鲍勃和伊芙的CDF示例，可以看出爱丽丝和鲍勃的CDF彼此接近，而伊芙的CDF则与它们都不相似。我们采用PDF以类似方式估计Ω。为简洁起见，我们省略了PDF结果，其趋势与图9(a)相似。

4.3 曲线拟合

在获得特定时间段内RSSI的分布后（参见第2.5节关于如何选择Ts的合适值），结果显示爱丽丝（红色）和鲍勃（绿色）的K和Ω比窃听者伊芙（蓝色）更接近，如图9(b)所示。如果我们单独取出一组K和Ω对，如图9(c)所示，显然爱丽丝和鲍勃的变化趋势相似，而伊芙则完全不同。这一现象在大多数K和Ω序列中均可观察到。因此，对K和Ω进行归一化处理，得到图9(d)的结果。归一化后，爱丽丝和鲍勃的趋势几乎完全一致。

我们将归一化后的集合记为K′和Ω′。接下来，对集合K′和Ω′应用多项式曲线拟合。这可以确保在量化后将相似的趋势转换为相似的密钥。
$$
\omega’_i = c_i \times k’_i + d_i \quad (10)
$$
最终的系数集C={c₁, c₂,…, cₙ}和D={d₁, d₂,…, dₙ}将在经过下文所述的变换后，用作密钥生成过程的共享密钥。我们发现，在C和D中大约有10%的系数接近于0或1，如图10(a)所示。为了解决这一问题，我们执行了一个变换过程。即，一旦我们发现系数过于接近0或1，则该系数将被自动替换为一个数值SC，该数值由以下方程计算得出。
$$
SC = \frac{n}{0.2 \times l} \quad (11)
$$
其中n表示我们需要改变的n系数，l是集合C和D的长度。结果如图10(b)所示，表明修改后的分布几乎均匀。由于替换位置是随机出现的，伊芙无法执行相同的替换操作。

通过采用上述所有方法，我们成功地使爱丽丝和鲍勃的共享密钥比伊芙的更接近。需要注意的是，曲线拟合步骤也可以被视为一个特征提取过程。

4.4 量化

曲线拟合后，爱丽丝将生成一组随机索引R={r₁, r₂,…rₙ}，其中−50 ≤ rᵢ ≤ 50并将该组索引发送给鲍勃。随后，爱丽丝和鲍勃根据前一步的结果，按照公式(12)独立生成结果Z={z₁, z₂,…zₙ}。
$$
z_i = c_i \times r_i + d_i \quad (12)
$$
最后，我们实现了一种多级量化方案，其输入为来自公式(12)的zᵢ，并将其转换为0‐1密钥字符串。在此，我们使用移动方式对结果进行分割窗口，然后检查结果的上下界，并利用边界计算量化级别。在量化过程中，每个级别被分配一个n位代码（即n= log₂m，其中m为级别数量），当数值落入某一特定级别时。随后根据量化中的级别从结果中提取密钥比特。下式显示了当n= 2时的二进制密钥。
$$
bk_i =
\begin{cases}
00 & z_i \geq \text{upperbound}/2 \
01 & \text{mean} \leq z_i < \text{upperbound}/2 \
10 & \text{lowerbound}/2 \leq z_i < \text{mean} \
11 & z_i < \text{lowerbound}/2
\end{cases}
\quad (13)
$$

4.5 纠错和隐私增强

实际上，由于噪声的影响可能会出现一些比特错配，我们可能得到KAlice ≈ KBob。我们采用一种基于压缩感知(CS)的纠错方法[20, 48]来降低密钥不匹配率。压缩感知（CS）是一种信息论方法，能够使用户从少量（M，其中M< N）即低维测量[6, 40]中恢复高维（N）稀疏信号。

基于压缩感知（CS）的纠错思想是利用共享矩阵来恢复错配密钥。基于CS的方法具有多个优势：首先，它传输的是压缩样本而非初始密钥，从而降低了传输开销；其次，密集计算仅在爱丽丝（例如LoRa网关）端进行，而爱丽丝通常具备强大CPU和电源，因此减轻了资源受限的终端设备的负担；最后，交换的是压缩样本而非共享密钥，即使伊芙截获了传输的消息，也无法恢复初始密钥。先前的研究发现，基于CS的方法优于基于纠错码的纠错方法[20, 48]。此外，这些研究也探讨了基于CS的纠错的安全性。

纠错有助于提高可靠性，但也会导致秘密信息泄露，因为部分信息会被传输对公众公开，并可能被伊芙窃听。因此，采用哈希（例如SHA‐256）函数来实现隐私增强[48]。

5 评估

在本节中，我们在校园测试平台上评估了所提出的系统。目标有三个：1）评估不同参数的影响；2）评估所提出系统在真实环境中的性能；3）将其与最先进的方法进行比较。

5.1 LoRa测试平台

为了在真实环境中评估所提出系统的性能，我们在校园内部署了一个包含11个节点的测试平台。每个节点由一个Raspberry Pi 3b+和一个mDot组成。Multitech mDot平台包含LoRa无线芯片SX1272、ARM处理器以及LoRaWAN协议栈。mDot通过开发套件板使用USB端口连接到Pi。Raspberry Pi用于分发可执行包、从mDot收集数据并将数据上传至本地服务器。

Raspberry Pi通过校园WiFi连接网络。mDot也是一种现成产品，成本最小。通过这种组合，我们可以在任何有电源和无线网络覆盖的地方部署我们的节点。

一个云虚拟机作为测试平台中的服务器。它负责分发可执行文件并收集结果。服务器上托管了一个网络服务器，作为测试平台的前端界面。该网页界面允许用户配置实验、上传文件和收集结果，从而实现实验的远程协调。我们的测试平台对公众开放2。LoRa的典型通信范围约为10公里。然而，最近的研究[18, 49]表明，当LoRa部署在城市建筑场景中（例如连接智能电表[36, 48],）时，由于城市地区的复杂通信条件，很难在建筑物内实现普遍覆盖。这些研究发现，通信范围通常在2公里以内。因此，我们的测试平台非常适合模拟此类智能建筑场景。事实上，许多公共测试平台都部署在建筑物中，例如Indriya[12]和LinkLab[13]。

5.2 实验设置

测试平台中的三个节点被设置为爱丽丝、鲍勃和伊芙。鲍勃和伊芙被配置为终端设备，而爱丽丝是LoRa网关。在实验中，爱丽丝向鲍勃发送探测请求消息，每条消息包含一个计数器（n）。收到响应后，爱丽丝将增加计数器（n）并发送（n+1）tℎ请求。在真实环境中，数据包可能由于干扰或严重的信道衰落而丢失。如果爱丽丝在短暂的超时周期内未收到来自鲍勃的回复探测包，它将重新发送该数据包。伊芙被放置在靠近鲍勃的位置，但两者相距超过半波长，因此伊芙可以窃听爱丽丝和鲍勃之间的所有数据包。

实验在各种情况下进行。初始测试在同一楼层的不同时间段执行（例如，使用三个不同的节点分别作为爱丽丝、鲍勃和伊芙），随后进行一系列测试，在一天中的多个时间段，结合不同的节点组合、数据速率和距离。我们使用不同的数据速率（即高数据速率DR12、中等数据速率DR10和低数据速率DR0）来覆盖不同场景。数据速率（即DR12、DR10和DR0）的定义见表2。我们还收集了两组远距离数据。一个由移动电源供电的节点被放置在距离整个测试平台800米远的位置，而测试平台中的两个节点分别被选为合法方和攻击者。远距离实验（例如，最远达800米）在低数据速率下进行，因为高数据速率（例如DR12和DR10）无法实现成功的通信。

实验持续至少10分钟，并分别安排在白天（上午10点至下午4点，即高峰时段）和夜晚（晚上7点后，非高峰时段）。上述配置确保结果能够覆盖多种应用场景。

我们在基于CS的协商方法中设置M= 45（详见第6.2节）。

带宽	扩频因子	数据速率	比特/秒	频率
500	8	DR12	12500	915兆赫
500	10	DR10	3900	915兆赫
125	10	DR0	980	915兆赫

5.3 性能指标

我们使用文献中广泛采用的以下五个性能指标。

随机性：随机性是密钥生成的一个重要特征。所提出的系统应具有足够的随机性，以避免低熵，因为熵值低的密钥容易受到暴力破解攻击。采用美国国家标准与技术研究院（NIST）的常用测试套件来测试随机性[29]。

密钥匹配率（KMR）：KMR是指两个通信方独立生成的密钥之间匹配比特的百分比。

密钥生成率（KGR）：KGR衡量密钥比特的生成速度。它主要取决于KMR（较低的KMR会丢弃更多的RSSI测量值）以及可用于提取的随机性数量（通常是无线通信场景中的环境条件）。由于加密方案需要一定长度的密钥（例如，高级加密标准需要128位），因此密钥生成率应较高。否则，对于嵌入式设备（即鲍勃）来说，生成一个密钥将耗费大量时间和能量。由于我们的目的是为爱丽丝和鲍勃生成匹配密钥，因此密钥生成率仅基于具有100%匹配率的密钥进行计算。那些无法达到100%匹配的密钥将被丢弃。

相关性（CORR）：CORR是爱丽丝‐鲍勃的相关性（详见第4.3节）。它是用于在建模步骤中估算密钥匹配率的一种方法。由于在密钥生成之前需要选择多个参数的值，因此我们在早期阶段的参数分析中使用CORR而不是KMR。

爱丽丝‐鲍勃与爱丽丝‐伊芙之间的相关性差异（CORR‐DIFF）：它反映了爱丽丝‐鲍勃和爱丽丝‐伊芙之间密钥的差异。回顾一下，我们的目标之一是防止伊芙估计出与爱丽丝和鲍勃相同的密钥。因此，CORR‐DIFF也是评估我们方法的一个关键指标。CORR‐DIFF越高，生成安全密钥的可能性就越大。

5.4 参数的影响

由于不同的配置可能对建模结果产生不同的影响，我们将在以下章节中讨论建模过程的影响。

5.4.1 分段

如第2.4节所述，窗口（分段）长度Ts既不应太短也不应太长。Ts决定了我们用于计算K和Ω的数据包数量。过小的值将导致互易性较低，而较大的值将导致较小的熵。在本节中，我们将通过实验验证第2.4节中关于Ts的分析理论。

基于第2.4节的分析结果，我们进行了不同分段大小的实验。我们分别选择每段包含10、20、⋯、100、150和200个数据包，覆盖了从500毫秒到100000毫秒的窗口长度。由于我们处于密钥生成的初期阶段，因此将使用爱丽丝‐鲍勃与爱丽丝‐伊芙之间坐标距离的比值来评估结果。

图11(a)显示了实验结果，我们选择80作为窗口的分段长度，原因如下：首先，所有数据速率下的比值均高于75%，这表明爱丽丝与鲍勃之间具有较高的相关性；其次，分段长度为90和100时虽然比值更高，但提升不显著，同时会显著降低密钥生成速率；此外，根据我们在第2.4节中的先前分析，较长的分段有更高的熵损失风险。传输80个数据包在DR12、DR10和DR0下分别需要4000毫秒、16000毫秒和40000毫秒，这与第2.5节中的分析（即2,000ms ≤ t ≤ 100,000ms）相符。

5.4.2 曲线拟合配置

建模中的一个关键步骤是曲线拟合。在我们的情境中，曲线拟合的目标是确保爱丽丝和鲍勃双方推导出相似的通信信道模型系数。为此，我们需要考虑两个对拟合过程精度有影响的重要参数：曲线拟合窗口，它决定用于生成系数的K′和Ω′对的数量；以及曲线的系数数量。

为了评估曲线拟合窗口大小的影响，我们研究了从3到30的不同窗口大小。在所提出的系统中，使用的K′和Ω′对越少，密钥生成率（KGR）就越高。因此，目标是尽可能使用较少的K′和Ω′对，以实现：1）爱丽丝和鲍勃之间的高相关性（CORR）；2）高的相关性差（CORR‐DIFF）。图11(b)和图11(c)分别显示了窗口大小对CORR和CORR‐DIFF的影响。我们可以看到，当窗口大小为10时，对于不同的数据速率均实现了较高的CORR和CORR‐DIFF值。因此，我们将曲线拟合窗口大小设置为10。

我们发现系数数量对密钥生成率没有显著影响。因此，我们仅评估其对相关性和相关性差的影响，并选择性能最佳的系数数量。从图11(d)和图11(e)的结果可以看出，当系数数量为2时，性能最佳。

5.4.3 量化步骤中RandomIndex的范围

在我们的实验中，我们发现随机源的范围（即第4.4节中的rᵢ）对性能有显著影响。图11(f)显示，密钥匹配率随着rᵢ的增加而上升，直到达到[‐50, 50]。

5.4.4 编码配置

在第4.4节中，我们讨论了采用四级量化方案时生成密钥比特的一个示例。然而，量化级别和编码方法会对密钥匹配率（KMR）产生影响，即更高的量化级别会提高密钥生成率（KGR），但会降低爱丽丝‐鲍勃与爱丽丝‐伊芙之间的密钥匹配率以及匹配率差（即KMR‐DIFF）。我们还比较了将第4.4节中的计算结果zᵢ转换为比特时，二进制编码方案与格雷编码方案的性能。格雷编码方案会提高KMR，但降低KMR‐DIFF。图11(g)和11(h)展示了不同量化级别与编码方法组合下的性能表现。它们表明，二进制编码方案与四级量化（即图中的2位二进制）的组合取得了最佳的平衡效果。

5.5 真实环境中的性能

在评估了不同参数的影响后，我们现在评估所提出系统在真实环境中的性能。结果如表3所示。前四个实验在白天（即高峰时段）进行，此时有人走动。接下来的四个实验在夜晚（即非高峰时段）进行，此时建筑物内人员较少，信道相对静态。

5.5.1 数据速率的影响

数据速率是一个重要因素，因为我们的方法旨在不同的数据速率下工作。LoRa的优势之一是能够在低数据速率下进行通信，但这带来了如前所述的低信道互易性挑战。表3显示，所提出的方案通过利用相对稳定的信道模型参数解决了此类挑战。因此，不同数据速率下的密钥匹配率（KMR）相当接近，但由于数据速率的限制，密钥生成率（KGR）会有所变化，因为我们是基于固定数量的数据包来构建模型的。在指定时间段内，更高的数据速率将允许更多的数据包传输，从而产生更高的密钥生成率（KGR）。

5.5.2 时间的影响

时间的变化是大多数密钥生成方法中的另一个关注点，因为人员和物体的移动主要发生在白天，而信道在夜晚则保持静态。因此，我们分析了白天和夜晚的性能。如表3所示，由于所提出的方法基于信道模型，而非对信道中移动物体更敏感的数据包RSSI[17]，因此时间段差异（即高峰时段与非高峰时段）对密钥匹配率的影响微乎其微。尽管在稳定环境中密钥生成率会下降，这意味着随机性不足。

No.	1	2	3	4	5	6	7	8
Time	白天	夜晚	范围	100米以内	800m	100米以内	800m
数据速率	DR12 DR10 DR0	DR0 DR12 DR10 DR0	DR0
KMR A-B	78.59% 84.64% 85.36%	73.63% 76.45% 69.54% 68.20%	77.22%
密钥匹配率之后纠错	80.87% 91.99% 90.25%	85.39% 79.11% 75.85% 74.15%	80.91%
密钥生成速率（比特/秒）	13.89	4.52	1.58	1.33	6.81	1.77	0.74	0.68

5.6 与最先进的方法比较

我们将基于模型的方案与LoRa‐Key[48]进行比较，后者是基于数据包RSSI的最先进的密钥生成方法。我们使用在同一时间收集的相同RSSI数据运行两种算法：RSSIp用于LoRa‐Key，RSSIr用于所提出的方案。LoRa‐Key采用4倍插值法来提高密钥生成率。然而，当将LoRa‐Key应用于本文收集的数据集时，即使采用4倍插值，密钥匹配率（KMR）也无法达到100%（因此生成的密钥无用）；因此，我们转而与采用2倍插值的LoRa‐Key结果进行比较，并设置α= 1（在此配置下会丢弃大量RSSIp样本，从而降低密钥生成率（KGR）），此时可实现100%匹配率。我们注意到，不同的数据采集条件（以及不同的数据集）会对结果产生影响。在图12(b)中，所提出方法在所有数据速率下的密钥生成率（KGR）均高于LoRa‐Key。白天和夜晚高数据速率（即DR12）下的KGR分别为12.78 bps和4.77 bps，而LoRa‐Key仅分别达到2.5 bps和1.14 bps，约比我们的方法低5倍。对于低数据速率（即DR0），我们分别实现了1.58 bps和0.74 bps，约为LoRa‐Key的3倍。同时，在图12(a)中，所提出方法在所有数据速率下的密钥匹配率（KMR）始终高于75%，均优于LoRa‐Key。

测试名称	DR12	DR10	DR0
频率	0.743736	0.519474	0.326989
分组频率	0.948203	0.208905	0.793002
累积和（反向）	0.982324	0.750883	0.553389
累积和（正向）	0.756145	0.491511	0.647429
FFT	0.187561	0.574414	0.072022
非重叠模板	0.686001	0.641086	0.750115
线性复杂度	0.985606	0.985610	0.808840

5.7 密钥熵与随机性

我们使用NIST套件分析所提出的方案生成的所有密钥，以验证其随机性。NIST套件给出的p‐值表示生成的密钥序列具有足够随机性的概率。通常情况下，如果p‐值大于0.01，则接受随机性假设，这意味着密钥是随机的。

从表4可以看出，对于所有不同的数据速率，p‐值均大于0.01。因此，所提出的方案生成的密钥通过了NIST测试。

6 安全分析

我们分析了三种不同的漏洞，并发起了三次攻击以验证该方案的安全性（详细信息见下文各小节）。表5展示了这些攻击的密钥匹配率。需要注意的是，表中的百分比为平均值。爱丽丝和鲍勃之间的最大密钥匹配率为100%，而所有攻击的最大密钥匹配率均低于71%。

6.1 防御被动攻击者的安全性

如第3节所述，在密钥生成过程中，对手（伊芙）可能会窃听爱丽丝和鲍勃之间的无线通信。我们假设该对手具备以下能力：1）在爱丽丝和鲍勃相互发送数据包时，监控他们之间的无线信道；2）获取用于密钥生成的密钥量化方案及相应参数，因为这些信息位于公共领域；3）与爱丽丝和鲍勃的距离至少为半个波长（对于900MHz LoRa无线信号而言即17cm）。需要注意的是，如果伊芙距离更近，则爱丽丝或鲍勃将很容易检测到其存在。

伊芙可以利用自己的测量结果来生成密钥。我们将这种攻击定义为攻击1，并研究伊芙是否能够获得相同的密钥。正如我们在第4.2节中所描述的，伊芙的信道分布模型与爱丽丝和鲍勃的信道分布模型有很大差异，这表明所提出的方案能够抵御被动窃听攻击。我们计算了鲍勃‐爱丽丝与爱丽丝‐鲍勃之间系数的相关性，以及鲍勃‐爱丽丝与爱丽丝‐伊芙之间的相关性。不出所料，图13显示，由于在所提出的方案中两个合法用户之间具有较高的信道互易性，爱丽丝‐鲍勃与鲍勃‐爱丽丝之间的相关性明显高于爱丽丝‐伊芙。此外，我们将相同的方法应用于伊芙测得的RSSIr以及随机数索引，以判断他们能否生成爱丽丝和鲍勃所使用的相同密钥。表5中的攻击1表明，即使伊芙掌握了整个密钥生成方案的知识，也无法建立相同的密钥，因为爱丽丝‐伊芙的密钥匹配率（KMR）明显低于爱丽丝‐鲍勃。

No.	数据速率	KMR 攻击1	KMR 攻击2	KMR 攻击3
1	DR12	59.76%	53.43%	61.41%
2	DR10	62.59%	54.92%	66.10%
3	DR0	66.49%	57.57%	71.02%
4	DR12	59.71%	52.30%	61.68%
5	DR10	53.30%	51.67%	59.80%
6	DR0	56.27%	52.95%	61.98%

6.2 纠错方法的安全性

由于压缩密钥材料通过公共信道传输，伊芙可能会窃听，因此主要的漏洞之一是伊芙可能从压缩样本中重构密钥，这被称为攻击2。对于第4.5节中讨论的基于压缩感知的纠错方法，先前的研究表明对手无法恢复直接从低维压缩密钥材料中恢复密钥，如果密钥本身不是稀疏的[20]。图14(a)显示，量化后的密钥大约包含50%的1和50%的0，这意味着密钥不是稀疏的。因此，攻击者无法直接恢复密钥。即使存在信息泄露，此类纠错码方法也已被证明是安全的[8, 9, 51]。表5还表明，攻击2不可能成功。

然而，伊芙可以在密钥生成期间欺骗鲍勃，并将其自身的测量结果与窃听获得的信息相结合，以恢复爱丽丝和鲍勃之间的密钥，本文称之为攻击3。该漏洞可通过选择合适的M来解决，其中M表示共享矩阵的行数（详见第4.5节）。下界和上界分别为爱丽丝‐鲍勃与爱丽丝‐伊芙之间的密钥不匹配数量。根据压缩感知理论，M可设置在一个范围内，使得伊芙不再满足压缩感知的必要条件，而鲍勃仍能满足该条件[48]。安全M边界的示意图见图14(b)，其中显示M= 45满足上述讨论的要求。在此条件下（即M= 45），我们尝试从通过公共信道传输的压缩密钥材料中恢复上述两种攻击类型下爱丽丝与鲍勃之间的所有密钥。与基于压缩感知协调的先前研究类似[20, 48],，我们的所有尝试均未成功，即无法正确恢复密钥中的所有比特。

6.3 可预测信道攻击

可预测信道攻击是无线密钥生成安全性中的一个常见问题。然而，攻击者通常需要足够靠近爱丽丝或鲍勃（距离小于3米[17]），才能控制信道测量的模式。如前所述，如果伊芙离爱丽丝或鲍勃太近，则他们很容易检测到其存在。此外，如果伊芙位于离爱丽丝和鲍勃较远的位置，则几乎很难甚至不可能发动此类攻击。

7 相关工作

为了保障无线通信的安全，预共享密钥方案是无线传感器网络中最广泛使用的方法。尽管该方法简单易用，但由于可扩展性和密钥撤销问题，可能并不适用于大规模部署。

为了解决上述问题，Manurer等人和Ahlswede等人在其开创性工作[3, 23]中分别首次提出了基于无线信道随机性生成共享密钥的思想。随后，Hershey等人在[16]中实现了这一概念。利用无线信道特性生成密钥的一个关键特征是其具有信息论安全性，而非计算安全性[3, 23]。其优点包括轻量级且无需其他用户进行额外操作，这使其特别适用于大规模资源受限的嵌入式物联网设备。

物理层密钥生成主要包括四个阶段：1）探测信道以获取不同的信道物理层特性，例如RSSI、CSI[21, 22]；2）采用各种量化方法将信道测量转换为二进制密钥[17, 25]；3）通过信息协调交换一些纠错码来修正合法方之间的不匹配[11]；4）利用隐私放大补偿在纠错阶段的信息泄露[7]。

最近，许多研究工作致力于通过优化上述一个或多个阶段的过程来提高物理层密钥生成方案的性能[35, 37–39, 41, 45]。然而，大多数先前的物理层密钥生成工作都基于IEEE 802.11[17, 21, 26, 52]或IEEE 802.15.4系统[5, 21, 25, 42]。对于LoRa等新兴的低功耗广域网通信标准，关注较少。

为克服将物理层密钥生成应用于LoRa所带来的上述挑战，已有一些努力。徐等人[47]首次验证了使用LoRa物理层生成密钥的可行性。后续研究进一步提高了密钥生成方案的性能。徐等人在[48]中利用了多级量化，而张等人[53]利用数据包之间的RSSI差异。其他工作试图增加密钥的随机性。Ruotsalainen等人在[30, 31]中利用一种特殊天线来提高密钥的随机性。

然而，所有先前的方法都使用数据包RSSI来生成密钥[31, 48],，只有Ruotsalainen等人建议利用RSSIr的平均值（即成为数据包RSSI）作为量化LoRa物理层效应的工具[31]。在[30]中也对平均RSSIr（即数据包RSSI）进行了一些评估工作。然而，这两者都利用特殊天线来增加随机性，使其不适用于更一般的场景。

8 结论

我们研究了新兴LoRa网络中的密钥生成问题。针对由于LoRa低数据速率导致长分组空中传输时间以及两设备间信道/RSSI测量时间差所引起的低信道互易性挑战，我们提出了一种基于模型的新型密钥生成系统。该方法的关键特征是基于RSSIr的信道（分布）模型生成密钥。此外，我们采用随机路点移动模型来产生合适的信道测量时间窗口，以平衡信道互易性和熵。在校园LoRa测试平台上的大量评估表明，与最先进的方法相比，所提出的系统可将密钥生成速率提高3×至5×。我们还分析了该方法的安全属性，发现其对常见攻击具有较强的抵御能力。