物理層密鑰的生成與應(yīng)用前景

在過去的20年間，無線通信技術(shù)快速發(fā)展，已經(jīng)逐漸成為人類日常生活的重要組成部分。越來越多的數(shù)據(jù)通過無線通信技術(shù)進行傳遞和交換，其中包含了大量的敏感數(shù)據(jù)。并且，由于無線通信是采用射頻方法進行網(wǎng)絡(luò)連接及傳輸?shù)拈_放式物理系統(tǒng)，在信號強度足夠的范圍內(nèi)的任意一點都可以接入，這就意味著無線通信網(wǎng)絡(luò)特別容易受到其他用戶和攻擊者的竊聽。為了保證相關(guān)數(shù)據(jù)的安全性，圍繞無線通信，人們采取了一系列安全措施，其中最為常見的是通過對數(shù)據(jù)進行加密來確保數(shù)據(jù)的機密性。數(shù)據(jù)加密通常需要結(jié)合密碼方案來實現(xiàn)，其中涉及密鑰的生成、分發(fā)、加解密、更新和撤銷等一系列與密鑰有關(guān)的操作。這些操作需要公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure，PKI）和相應(yīng)的密碼方案來實現(xiàn)。然而，由于成本的限制，PKI無法實現(xiàn)大規(guī)模終端布置，而且不同類型的終端在計算能力上也存在較大的差異。隨著終端連接數(shù)的快速增加和不同類型異構(gòu)網(wǎng)絡(luò)的日益復(fù)雜，基于傳統(tǒng)密碼方案的安全通信機制已經(jīng)難以滿足日益復(fù)雜的安全需求。此外，量子攻擊算法的出現(xiàn)也為部分基于數(shù)學(xué)難題的密碼算法帶來了潛在的威脅。為了解決上述問題，人們迫切需要一種脫離PKI的新型密鑰生成算法，此外，新算法最好還可以抵抗量子攻擊算法。物理層密鑰生成（PhysicalLayerKeyGeneration，PLKG）方案是一種基于無線信道特征實現(xiàn)密鑰生成的新型密碼方案。由于相干時間內(nèi)信道的互易性，通信雙方可以提取具有高度相關(guān)性的信道特征，通過量化、調(diào)和糾錯和隱私放大等算法處理后，通信雙方便可以獲得一致的隨機序列，即物理層密鑰。由于通信環(huán)境會隨著時間和空間的變化而變化，而且這種變化還具有一定的隨機性和不可預(yù)測性，因此，通信雙方提取到的信道特征也會隨著時間和空間的變化而變化，從而為物理層密鑰帶來一定的隨機性。同時，信道特征還具有空間快速去相關(guān)的特性，由于竊聽攻擊者和被竊聽用戶的空間位置差異，雙方提取的信道特征差異也會隨著空間差異的增加而增大，從而保證了物理層密鑰的防竊聽安全性。上述特性保證了PLKG可以在不利用PKI的基礎(chǔ)上，通過對信道特征的探測和處理來生成足夠隨機且防竊聽攻擊的密鑰，從而實現(xiàn)數(shù)據(jù)的安全傳輸。此外，由于物理層密鑰的生成過程不依賴傳統(tǒng)的數(shù)學(xué)難題，已有的量子攻擊算法無法對其造成有效攻擊，如Shor算法等。在軟硬件需求方面，與傳統(tǒng)的加密方案相比，PLKG具有低計算復(fù)雜度的優(yōu)勢，對通信資源和硬件設(shè)施需求較少，可應(yīng)用于大規(guī)模、輕量級的通信場景，有效地彌補了傳統(tǒng)安全通信方案的缺陷。目前，物理層密鑰的生成方案主要為基于接收信號強度（ReceivedSignalStrength，RSS）的物理層密鑰生成方案和基于信道狀態(tài)信息（ChannelStateInformation，CSI）的物理層密鑰生成方案。其中，RSS方案具有更高的易用性，可以廣泛地應(yīng)用于IEEE802.11系統(tǒng)和IEEE802.15.4協(xié)議，藍牙、Wi-Fi、ZigBee、LoRa等都有基于RSS的物理層密鑰方案；CSI方案具有更快的密鑰生成速率，可以應(yīng)用于對密鑰生成速率、應(yīng)用速率需求較高的領(lǐng)域，5G、Wi-Fi將是其重要應(yīng)用領(lǐng)域。本文介紹了物理層密鑰的生成原理和生成方案的主要流程，以及物理層密鑰的安全性和應(yīng)用場景。1物理層密鑰生成原理物理層密鑰生成是指通過無線信道固有的信道特征來實現(xiàn)密鑰生成的過程。對處于同一通信鏈路的通信雙方來說，雙方擁有相同或相近的載波頻率，信號在上下行鏈路中也會經(jīng)歷類似的傳播特性，這種特性被稱為信道的互易性。通過互易性，通信雙方可以獲得一致的信道特征，如CSI和RSS等，并基于此生成一致的物理層密鑰，如圖1所示。圖1物理層密鑰的生成原理為了獲取信道特征，通信雙方需要互相發(fā)送信道探測信號來測量信道，接收方通過接收到的信號估計信道特征。假設(shè)通信雙方為Alice和Bob，那么接收信號可以表示為：式中：h(t)為通信雙方交互通信時的信道響應(yīng)；n(t)為零均值的復(fù)高斯白噪聲；為通信雙方提取的信道響應(yīng)的帶噪估計。簡單來說，接收信號可以被建模為發(fā)射的信道探測信號的時（頻）域信道響應(yīng)與加性白噪聲之和。根據(jù)互易性，在相干時間內(nèi)，上下行信道的信道響應(yīng)h(t)是高度一致的。然而，由于噪聲、硬件指紋干擾、測量誤差、同步誤差等影響，通信雙方測量得到的信道特征通常是帶噪的，式（1）用n(t)表示上述噪聲。為了更準確地分析噪聲對互易性的影響，文獻[8]采用了將不同類型噪聲獨立建模分析的方法。此外，半雙工的通信機制也會給上下行信道的一致性帶來影響。為了生成一致的物理層密鑰，通信雙方需要減少噪聲對測量到的信道特征數(shù)據(jù)的影響，如通過調(diào)和糾錯算法來去除或糾正雙方測量數(shù)據(jù)的不一致部分。進一步地，假設(shè)Alice和Bob獲取的

分別為其中N為序列的長度。為了增加兩者的一致性，雙方在公開信道交互了信息s，并且分別獲得了密鑰其中，分別為Alice和Bob采用的信道特征處理方法。那么，有效的物理層密鑰生成需要滿足以下要求：式中：分別為密鑰序列的第i(1≤i≤N)個元素；ε為任意小的正數(shù)；為密鑰的熵；R為密鑰生成速率（KeyGenerationRate，KGR）。式（2）表明Alice和Bob以接近于1的概率獲得一致的物理層密鑰，式（3）定義了密鑰的最大生成速率。由于加密方案對于密鑰的敏感性，為了保證通信雙方獲取的物理層密鑰能夠正常使用，需要確保雙方密鑰的一致性。與傳統(tǒng)的密鑰生成方案不同，通信雙方生成的物理層密鑰存在一定的不一致。結(jié)合式（2），研究人員通常通過密鑰不一致率（KeyDisagreementRate，KDR）來衡量通信雙方密鑰的不一致情況。KDR是Alice和Bob生成的密鑰之間不同位的百分比，定義為：為確保雙方密鑰的一致性，通信雙方需要借助調(diào)和糾錯算法對生成的初始密鑰序列進行調(diào)和糾錯。顯然，對于任一確定的調(diào)和糾錯算法，通信雙方的KDR應(yīng)小于算法對應(yīng)糾錯率的上限，否則通信雙方將無法生成一致的密鑰序列。此外，為了評估物理層密鑰生成方案的性能，需要對密鑰的生成速率進行評估，KGR描述了這一特性。目前，業(yè)內(nèi)普遍認為KGR的大小主要取決于通信環(huán)境的變化速率，并且正相關(guān)于信道環(huán)境的時間變化速率。這是因為單位時間內(nèi)的環(huán)境條件決定了信道特征中可供提取的總熵值。由于特征提取手段的差異，生成的物理層密鑰通常難以達到熵值上限。如何評估具體密鑰生成過程中的熵值上界，以及如何基于可獲取的信道特征信息實現(xiàn)更高的KGR是目前物理層密鑰在應(yīng)用過程中需要解決的兩個主要問題。2物理層密鑰生成方案物理層密鑰的生成流程分為兩個階段：特征提取階段和特征利用階段。其中，特征提取階段是指通信雙方通過接收探測信號提取信道特征的過程；特征利用階段是指提取信道特征后，通信雙方通過提取的信道特征生成一致的物理層密鑰的過程。具體的物理層密鑰生成流程如圖2所示。圖2物理層密鑰的生成流程2.1特征提取階段特征提取階段包括信道探測、信號預(yù)處理等步驟，主要目標是通過互易性獲得具有高度一致性的信道特征數(shù)據(jù)。信道探測是指通信雙方通過互相發(fā)送信號探測信道信息，并獲取所需的信道特征的過程。信道特征決定了物理層密鑰的隨機源，因此，信道特征的提取是整個信道探測階段的重點，通常采用信道估計的方式來實現(xiàn)。常用的信道估計方法可分為盲信道估計和基于導(dǎo)頻信號的信道估計。其中，盲信道估計利用調(diào)制信號的固有特征或統(tǒng)計特征進行信道估計，這種方法估計精度低，收斂速度慢，計算復(fù)雜度高，并不適合用在信道特征實時變化的系統(tǒng)中。基于導(dǎo)頻信號的信道估計利用通信雙方互相發(fā)送的已知導(dǎo)頻訓(xùn)練序列估計傳輸信道，能夠提取出更精確的信道特征。受上下行信道存在的差異和噪聲的影響，通信雙方獲取到的信道特征通常并不是完全一致的。僅僅依靠調(diào)和糾錯算法來處理不一致性會帶來巨大的信道開銷和信息泄露問題。為了解決上述問題，需要通過一系列預(yù)處理算法來提高通信雙方獲取信道特征的一致性。常用的預(yù)處理算法包括幀同步、濾波、曲線擬合和增益補償?shù)取?.2特征利用階段特征利用階段包括量化、信息調(diào)和、隱私和一致性驗證等步驟，主要目標是將特征提取階段獲得的信道特征實數(shù)化和二進制化，并清除或糾正通信雙方獲得的二進制序列中的不一致比特，從而為通信雙方生成一致的物理層密鑰。量化是指通過特定的量化算法和階數(shù)將信道特征轉(zhuǎn)化為二進制比特序列的過程，此二進制比特序列被稱為初始密鑰；在此之前，如果信道特征序列是復(fù)數(shù)域的，需要將其轉(zhuǎn)化到實數(shù)域。在實際的系統(tǒng)中，尤其在通信雙方發(fā)生相對移動的場景下，即使經(jīng)過了預(yù)處理，Alice和Bob獲取的信道特征也會有很大的不同。因此，在將信道特征測量值送入量化器之前，還需要通過能量歸一化和平滑濾波等方法對信道特征進行處理。常用的量化方案包括均勻量化、等概率量化和自適應(yīng)量化等。雖然采用了一系列預(yù)處理算法來提高信道特征的一致性，但是在量化后，通信雙方獲取的初始密鑰還是存在一定的不一致率。信息調(diào)和是指通過調(diào)和算法將初始密鑰中不一致的比特清除或糾正的過程，主要通過公開信道交換調(diào)和糾錯信息，將不同的密鑰變?yōu)橄嗤拿荑€。在此步驟中，通信雙方需要將額外的調(diào)和糾錯信息通過公開信道發(fā)送給對方，這會導(dǎo)致一定的信息泄露。常見的信息調(diào)和算法包括Cascade協(xié)議、BCH碼、RS碼、Turbo碼、LDPC碼、Polar碼等。經(jīng)過信息調(diào)和，通信雙方獲得了完全一致的二進制序列。然而，在信息調(diào)和及之前的各個步驟中，由于無線信道的開放性，通信雙方不可避免地會泄露與此二進制序列有關(guān)的信息。通過這些信息，竊聽者有可能得到物理層密鑰的部分或全部信息。同時，信息調(diào)和后的結(jié)果通常并不是真隨機序列，為了增強密鑰在應(yīng)用階段的安全性，需要保證密鑰具備足夠的隨機性，并且單個比特具備足夠的熵。為了解決上述問題，通常采取隱私放大算法對數(shù)據(jù)進行處理。隱私放大是指通過特定的數(shù)據(jù)壓縮方式，將原有信息轉(zhuǎn)化為長度小于原有信息的新序列。在此過程中，隱私放大會降低竊聽獲得的知識對信息的影響，增加竊聽條件熵，直至其與整體信息熵相等，同時，增加信息單個比特所包含的熵值。在特征利用的最后階段，通信雙方通常需要執(zhí)行一次一致性驗證，確保物理層密鑰的一致性。通過一致性驗證后，即可以認為通信雙方完成了此次的物理層密鑰生成。綜上所述，對于物理層密鑰生成方案來說，需要解決以下關(guān)鍵問題：（1）選擇并提取合理的信道特征；（2）制訂有效的預(yù)處理方案，增加通信雙方信道特征的一致性；（3）選擇合理的量化算法；（4）選擇有效的信息調(diào)和算法。3物理層密鑰的安全性物理層密鑰的安全性研究可以追溯到香農(nóng)的信息論保密分析，它定義了數(shù)據(jù)的安全級別取決于竊聽者所知的信息量。當竊聽攻擊者完全無法從信道中獲取任何與物理層密鑰有關(guān)的信息時，物理層密鑰是完全保密的。沿用第一節(jié)的假設(shè)，本節(jié)假設(shè)竊聽攻擊者Eve位于與Alice相距為d的地方進行竊聽，監(jiān)聽所有的信號傳輸，獲取的為為了保證密鑰的安全，需要確保下式成立：式中：n≤N為任意正整數(shù)；κ為密鑰序列的字母表。式（5）的成立意味著密鑰在密鑰字母表的各個取值上是均勻分布的，式（6）的成立意味著Eve無法通過竊聽獲取到與物理層密鑰有關(guān)的任何信息。為了保證物理層密鑰的安全性，需要考慮密鑰的隨機性，或者密鑰的單比特最小熵。最小熵代表攻擊者對密鑰序列進行攻擊時，攻擊成功所需的平均時間和空間復(fù)雜度。當最小熵比較小時，對應(yīng)的密鑰通常更容易被攻擊者破解。由最小熵的定義可知，只有在密鑰滿足隨機均勻分布的情況下，序列的單比特最小熵等價于平均熵。因此，為了獲取最大的單比特最小熵，需要確保最終的物理層密鑰是隨機均勻分布的。由于無法直接通過數(shù)學(xué)方法證明物理層密鑰序列是真隨機的，通常需要借助統(tǒng)計檢驗方法來檢測。假設(shè)檢驗是隨機性檢測技術(shù)的基本理論。檢測二元序列的隨機性，本質(zhì)上就是檢測此序列是否為真隨機或與真隨機的差距。隨機性檢測的結(jié)果是一個概率結(jié)果，即如果某個序列通過了隨機性檢測，則意味著此序列以不低于某個約定值的概率通過此項隨機性檢測，或者說此序列以不低于某個約定值的概率具備隨機序列的某種特性。目前，常用的隨機性檢測軟件主要基于兩個標準：美國國家標準與技術(shù)研究院（NationalInstituteofStandardsandTechnology，NIST）隨機性檢測標準（AStatisticalTestSuite

forRandomandPseudorandomNumberGeneratorsforCryptographicApplications）和我國國家標準GB/T32915—2016《信息安全技術(shù)二元序列隨機性檢測方法》，后者對應(yīng)的行業(yè)標準已于2021年更新為GM/T0005—2021《隨機性檢測規(guī)范》。通常來說，隨機數(shù)具有隨機性、不可預(yù)測性和不可重現(xiàn)性3種主要性質(zhì)。這意味著即使某個序列通過了隨機性檢測，但如果它不具備不可預(yù)測性和不可重現(xiàn)性，那么此序列也不是一個真隨機數(shù)。由于無線信道的開放性，物理層密鑰的生成容易遭受竊聽攻擊，從而導(dǎo)致信息的泄露，影響信道特征的不可預(yù)測性和不可重現(xiàn)性，如圖3所示。因此，與傳統(tǒng)的密鑰生成方案相比，物理層密鑰的安全性除了考慮密鑰本身的隨機性，還需要考慮存在竊聽攻擊時，密鑰信息的泄露問題。圖3存在竊聽攻擊情況下物理層密鑰的生成為了保證密鑰的安全性，需要保證在密鑰應(yīng)用階段，攻擊者無法獲得任何與密鑰有關(guān)的信息。這意味著在密鑰應(yīng)用之前，需要確定密鑰的泄露情況，并消除泄露對密鑰安全性的影響。目前，評估密鑰泄露情況的主要途徑是通過信道特征空間去相關(guān)這一安全性假設(shè)來保證，即假定攻擊者與被竊聽者的距離超過一定范圍時，雙方獲取的信道特征是不相關(guān)的。此時的主要問題是如何確定上述范圍。在現(xiàn)有的物理層密鑰生成方案中，通常假設(shè)當竊聽者距離用戶超過半個波長距離時，竊聽者和被竊聽者獲得的信道特征去相關(guān)。然而，這一假設(shè)條件并不嚴謹。信道變化是由大規(guī)模衰落（即路徑損失和陰影）和小規(guī)模衰落造成的，當大規(guī)模衰落占主導(dǎo)地位時，即使竊聽者距離被竊聽者大于半個波長，雙方獲取的信道特征仍具有較高的相關(guān)性。在實際應(yīng)用中，為了保證物理層密鑰的安全性，需要根據(jù)具體的信道場景和信道特征提取方案，準確評估信道特征的信息泄露情況。另外，也可以通過理論建模，利用信號傳播過程中的共性特征分析信道特征的空間去相關(guān)情況，在允許損失部分有效熵的情況下，獲取較為通用的空間去相關(guān)（或近似去相關(guān)）假設(shè)，如數(shù)個或數(shù)十個波長外，攻擊者和被竊聽者之間的信道特征相關(guān)性低于某個已知值。由于預(yù)處理方案并不涉及通信雙方的數(shù)據(jù)交互，因此在實際應(yīng)用中，通信雙方需要提前確定好相關(guān)參數(shù)。這意味著攻擊者有能力獲取通信雙方所選取的預(yù)處理方案和相關(guān)參數(shù)。但是，上述信息并不會增加竊聽攻擊者獲取的信息熵。因此，通常假定預(yù)處理方案和相關(guān)參數(shù)的信息泄露并不會影響信道特征的熵和存在竊聽攻擊時的條件熵。特征利用階段，由于相關(guān)方案和參數(shù)需要通過公開信道提前傳輸或即時交互，攻擊者可以在通信信號足夠強的任意位置竊聽，通過已有的信道特征生成對應(yīng)的物理層密鑰。與預(yù)處理方案相同，通信雙方通常會提前商議好量化、調(diào)和糾錯、隱私放大方案及參數(shù)的選取。因此，從安全分析的角度來看，通常假定攻擊者已知特征利用階段所選取的方案和對應(yīng)的參數(shù)。綜上所述，在實際的物理層密鑰生成過程中，密鑰的安全性主要由特征提取和特征利用兩個階段的信息泄露情況決定。如何根據(jù)密鑰的生成環(huán)境和流程，準確評估密鑰的信息泄露情況，實現(xiàn)接近信息上界的密鑰流生成仍是物理層密鑰在應(yīng)用階段亟須解決的主要問題。４物理層密鑰的應(yīng)用與傳統(tǒng)的密鑰生成方案相比，物理層密鑰擁有無需密鑰分發(fā)、無需PKI和抗量子攻擊等優(yōu)勢，在5G/6G安全通信、自組織網(wǎng)絡(luò)安全通信和抗量子安全通信等方面有著極佳的應(yīng)用前景，如圖4所示。圖4無線安全通信4.15G/6G安全通信5G移動通信具有高速率、低時延和廣連接的特性。其中，高速率和廣連接在為使用者帶來便利的同時，也帶來了更為嚴苛的安全需求——高速率的安全通信需求和海量接入設(shè)備的安全需求。為滿足上述需求，基于PKI的傳統(tǒng)密鑰生成方案需要耗費巨額的帶寬和資源用于密鑰的生成、分發(fā)和更新管理，客觀上制約了移動網(wǎng)絡(luò)安全通信的發(fā)展。與5G相比，6G移動通信將支持更高的帶寬和連接數(shù)，這會進一步暴露移動安全通信存在的不足?；谖锢韺用荑€的安全通信機制無需借助現(xiàn)有的PKI設(shè)施，就可以實現(xiàn)端到端的密鑰生成和更新。同時，物理層密鑰的生成同步于通信雙方的通信過程，無需額外的信道帶寬。因此，物理層密鑰可以有效彌補傳統(tǒng)密鑰生成方案的不足。4.2自組織網(wǎng)絡(luò)安全通信隨著無線通信技術(shù)的發(fā)展，物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等具有自組織特