逼近香農(nóng)一次一密的6G內(nèi)生安全機(jī)制白皮書

2023/3/92023/3/9逼近香農(nóng)一次一密的6G內(nèi)生安全機(jī)制白皮書TowardsOne-TimePadfor6GWhitepaper本白皮書主要探討如何通過構(gòu)筑逼近一次一密的內(nèi)生安全機(jī)制為6G網(wǎng)絡(luò)提供鏈路級的可信能力。白皮書首先分析了未來6G網(wǎng)絡(luò)可能面臨的安全風(fēng)險，闡述了單純依賴高層密碼的現(xiàn)有安全體系的局限性，在此基礎(chǔ)上提出：融合物理層安全技術(shù)和密碼學(xué)理論的鏈路級內(nèi)生安全機(jī)制是6G網(wǎng)絡(luò)內(nèi)生安全的有機(jī)組成部分。鏈路級內(nèi)生安全機(jī)制的研究需要回答兩個問題，一是“逼近一次一密的科學(xué)內(nèi)涵及實現(xiàn)途徑”；二是“鏈路級內(nèi)生安全技術(shù)的落地場景與工程價值”。針對問題一，白皮書定義了逼近度和同步逼近度兩個指標(biāo)測度，來闡述逼近一次一密的科學(xué)含義，并給出了基于顯式加密和隱式加密逼近一次一密的兩條技術(shù)路徑；針對問題二，白皮書總結(jié)了四類典型的應(yīng)用場景，并通過實例說明了在這些典型場景下，融合物理層安全技術(shù)和密碼學(xué)理論的內(nèi)生安全機(jī)制如何成為無線網(wǎng)絡(luò)系統(tǒng)性安全解決方案的有機(jī)部分。最后，白皮書指出了鏈路級內(nèi)生安全機(jī)制研究中存在的開放問題，展望了未來的研究方向。本白皮書為國家重點(diǎn)研發(fā)計劃重點(diǎn)專項“寬帶通信和新型網(wǎng)絡(luò)”項目“6G無線網(wǎng)絡(luò)安全架構(gòu)關(guān)鍵技術(shù)”（項目編號：逼近香農(nóng)一次一密的6G內(nèi)生安全機(jī)制白皮書v摘要 iii一、引言 1二、逼近一次一密的科學(xué)內(nèi)涵 32.1逼近一次一密的研究動機(jī) 32.2逼近一次一密的內(nèi)涵 32.3逼近一次一密的應(yīng)用模式和工程價值 5三、逼近一次一密的實現(xiàn)途徑 63.1基于顯式加密的實現(xiàn)途徑 63.2基于隱式加密的實現(xiàn)途徑 10四、鏈路級安全機(jī)制在下一代無線網(wǎng)絡(luò)中的應(yīng)用 154.1應(yīng)用場景1：安全上下文激活前的安全防護(hù)機(jī)制 154.2應(yīng)用場景2：安全上下文激活后的安全增強(qiáng)機(jī)制 174.3應(yīng)用場景3：安全測距 174.4應(yīng)用場景4：無線感知 19五、結(jié)論與展望 22參考文獻(xiàn) 23縮略語列表 261未來6G網(wǎng)絡(luò)面臨三大安全威脅：1）計算技術(shù)的不斷進(jìn)步對基于計算復(fù)雜性的密碼學(xué)安全體系提出挑戰(zhàn)：現(xiàn)代密碼學(xué)基于經(jīng)典計算復(fù)雜性理論構(gòu)建，隨著計算技術(shù)的發(fā)展，特別是量子計算的日益成熟，經(jīng)典密碼技術(shù)的安全性受到挑戰(zhàn)。例如：利用電子計算機(jī)破解RSA密碼系統(tǒng)的復(fù)雜度為亞指數(shù)級，而利用量子計算機(jī)實現(xiàn)上述目標(biāo)的復(fù)雜度僅為多項式級（如：Shor算法）。為了應(yīng)對量子攻擊，學(xué)術(shù)界和產(chǎn)業(yè)界都在加緊研究后量子密碼算法，然而，后量子密碼算法的安全性從根本上講也源于求解某一數(shù)學(xué)難題的困難性，隨著數(shù)學(xué)理論的進(jìn)步和先進(jìn)算法的提出，其安全性也存在隱患。例如：2022年8月，魯汶大學(xué)兩名學(xué)者使用單核CPU，僅用1小時就破解了后量子密碼算法SIDH，而該算法在此前十二年無人破解[1]。因此，面向量子威脅，迫切需要研發(fā)能夠?qū)沽孔庸?、提供持久安全的全新技術(shù)。2）無線信道的開放性導(dǎo)致信號傳輸易遭受攻擊，蜂窩網(wǎng)絡(luò)的空口防御機(jī)制需進(jìn)一步完善：在安全上下文激活前，由于尚未建立安全保障機(jī)制，網(wǎng)絡(luò)存在被攻擊的風(fēng)險[2]，例如，全球移動通信系統(tǒng)協(xié)會（GSMA）去年曾披露，初始隨機(jī)接入可能被惡意攻擊者利用來構(gòu)造隱蔽通信信道，從而導(dǎo)致空口資源被濫用，并造成私密信息的泄露[2]。在安全上下文激活之后，加密和完整性保的安全防護(hù)能力有待增強(qiáng)，從而更好地抵御空口攻擊，如偽基站、DoS、信令仿冒和中間人攻擊等。文獻(xiàn)[3]總結(jié)了蜂窩網(wǎng)絡(luò)中21項安全威脅，其中14項與接入網(wǎng)有關(guān)，空口是網(wǎng)絡(luò)攻擊的主要突破口。如何強(qiáng)化無線網(wǎng)絡(luò)的底層防御屏障，是6G網(wǎng)絡(luò)安全需要解決的重要問題。3）定位、感知等新應(yīng)用對信號層面的安全性提出新要求，而高層密碼技術(shù)難以滿足這一要求：除了要在5G的基礎(chǔ)之上提供增強(qiáng)的用戶體驗之外，6G還將為諸多新應(yīng)用賦能。由于缺乏信號層面的完整性保護(hù)機(jī)制，如果用于實現(xiàn)測距、定位的信號易被篡改，將在某些應(yīng)用（如智能車鑰匙、無接觸支付）中導(dǎo)致嚴(yán)重后果，而高層加密難以解決上述問題。IEEE802.11、802.15等標(biāo)準(zhǔn)中對此類問題已進(jìn)行了深入探討[4]-[7]，充分說明了其重要的現(xiàn)實意義。另一方面，無線系統(tǒng)中特殊的測量信號可以用來實現(xiàn)感知，但公開的信號結(jié)構(gòu)可能帶來隱私和安全問題。例如，非逼近香農(nóng)一次一密的6G內(nèi)生安全機(jī)制白皮書2法推斷用戶行動軌跡，甚至對環(huán)境進(jìn)行畫像和重構(gòu)，這會導(dǎo)致隱私的泄露。2022年8月，愛立信在3GPP提交了提案[8]，建議考慮感知安全問題，說明該問題已經(jīng)受到業(yè)界關(guān)注。綜上：單純依賴于高層密碼學(xué)的“外掛式”安全機(jī)制在6G時代將面臨嚴(yán)峻挑戰(zhàn)，亟待研究鏈路級的內(nèi)生安全機(jī)制。鏈路級的安全內(nèi)生體現(xiàn)在三個方面：1）安全資源內(nèi)生：實現(xiàn)安全性的資源來自于通信系統(tǒng)內(nèi)部（無線信道、隨機(jī)噪聲、終端硬件而不是通過外部派發(fā)。資源內(nèi)生主要有兩點(diǎn)優(yōu)勢，一是保障了隨機(jī)性的豐富和持續(xù)供給，為實現(xiàn)強(qiáng)安全性提供了前提；二是最大限度規(guī)避了外部派發(fā)帶來的安全隱患和額外開銷。2）安全機(jī)制內(nèi)生：安全和通信一體化設(shè)計。以往的安全機(jī)制都是貼膏藥、打補(bǔ)丁的外掛式機(jī)制，安全協(xié)議附著于底層通信協(xié)議之上，而內(nèi)生安全機(jī)制則是要實現(xiàn)通信和安全的一體化設(shè)計，通過融合物理層安全技術(shù)和密碼學(xué)方法實現(xiàn)逼近一次一密的安全。機(jī)制內(nèi)生主要有兩點(diǎn)優(yōu)勢，一是簡化協(xié)議流程，二是更容易從理論上對系統(tǒng)的安全性和通信性能做出統(tǒng)一而非割裂的評估。3）評估體系內(nèi)生：經(jīng)典的安全通信體系基于密碼學(xué)構(gòu)建，在密碼學(xué)中，通常用安全強(qiáng)度刻畫安全性，而安全強(qiáng)度由密鑰長度和密碼算法的計算復(fù)雜性共同決定。從本質(zhì)上講，安全強(qiáng)度是對求解一個數(shù)學(xué)問題復(fù)雜程度的度量，而并非是對通信系統(tǒng)本身提供安全通信能力強(qiáng)弱的度量。因此，我們需要建立新的評估方法學(xué)，從逼近一次一密的能力和效率等角度對通信系統(tǒng)固有的安全能力加以評估。逼近香農(nóng)一次一密的6G內(nèi)生安全機(jī)制白皮書32.1逼近一次一密的研究動機(jī)角度給出了完美安全（PerfectSecrecy）的定義，并指出：完美安全性可通過一次一密實現(xiàn)[9]。香農(nóng)一次一密和經(jīng)典密碼學(xué)基于不同的思想實現(xiàn)通信安全。對香農(nóng)一次一密來說，消息比特序列與密鑰比特序列通過逐比特異或運(yùn)算實現(xiàn)加密，加密算法非常簡單，其完美安全性依賴于密鑰的不斷更新。與之相對，在經(jīng)典密碼學(xué)方案中，密鑰長期不變，但加密算法非常復(fù)雜，攻擊者在有限時間內(nèi)無法破解，因此經(jīng)典密碼學(xué)技術(shù)是通過算法的高度復(fù)雜實現(xiàn)強(qiáng)安全，只要攻擊者算力足夠強(qiáng)大，仍然能夠破解。香農(nóng)一次一密能夠抵御量子攻擊，實現(xiàn)持久安全，但實現(xiàn)代價極高；密碼學(xué)安全已廣泛應(yīng)用于實際系統(tǒng)，其工程可實現(xiàn)性毋庸置疑，但不足以應(yīng)對量子攻擊以及未來可能出現(xiàn)的新型攻擊形式。面向6G量子威脅，并綜合考慮安全性能和實現(xiàn)代價方面的因素，我們呼吁研究逼近一次一密完美安全的全新技術(shù)，為此需要首先科學(xué)定義什么是逼近一次一密。為了闡述逼近一次一密的內(nèi)涵，本白皮書引入逼近度和同步逼近度兩個指標(biāo)測度，詳述如下。1）逼近度的定義及內(nèi)涵：逼近度(D)=(1)逼近度的倒數(shù)表示每比特密鑰熵所能保護(hù)的信息比特數(shù)量。該定義具有較高的通用性。公式(1)中的“密鑰”可以是由網(wǎng)絡(luò)高層派發(fā)的，也可以是從信道或硬件設(shè)備中提取出的，還可以是利用物理層安全技術(shù)在竊聽端引入的BER而生成的“等效密鑰”。加密算法可以是目前已有的對稱加密算法（如：AES也可以是物理層一次一密的方式，還可以是通過物理層安全方案結(jié)合隨機(jī)性提取算法而形成的隱式加密方式。逼近度越高，安全強(qiáng)度越高：一方面，在分母不變的情況下，逼近度越高，意味著密鑰熵越大，從而破解密碼越困難；另一方面，對于給定的分子，逼近度越高，則意味著這些密鑰比特保逼近香農(nóng)一次一密的6G內(nèi)生安全機(jī)制白皮書4護(hù)的信息比特越少，從而由于密鑰被竊取所造成的信息泄露量也越少。當(dāng)然，逼近度越高，實現(xiàn)代價也越大。對于高層加密算法，由于密鑰長期不變，因此逼近度接近于0，其安全性完全依賴于加密算法的復(fù)雜性（計算安全對于一次一密，由于密鑰量和信息量相同，因此逼近度為1（完美安全其安全性完全依賴于密鑰的新鮮度。逼近度指標(biāo)的局限性：逼近度能夠刻畫安全強(qiáng)度，但無法體現(xiàn)逼近效率。例如：待傳輸?shù)男畔⒘繛?兆比特，需要1秒完成傳輸；為了達(dá)到逼近度1，需要產(chǎn)生1兆比特的密鑰，但這些密鑰的生成可能需要1個小時，因此，高逼近度的實現(xiàn)往往是以極大的通信效率損失為代價的。只不考慮代價，任何系統(tǒng)都可以達(dá)到逼近度1。這就意味著：系統(tǒng)所達(dá)到的逼近度其實是由設(shè)計方案決定的，逼近度的高低并不是系統(tǒng)內(nèi)生安全能力的體現(xiàn)。在實際中，只有與信息速率匹配的逼近才是有意義的。為此，需要定義不同于逼近度的指標(biāo)，用來刻畫不同系統(tǒng)逼近一次一密能力的差異。2）同步逼近度的定義及內(nèi)涵：同步逼近度(d)=單位時間提取的密鑰熵（RK）單位時間傳輸?shù)男畔㈧兀≧M）同步逼近度從本質(zhì)上講是對通信系統(tǒng)逼近一次一密能力（即內(nèi)生安全能力）的度量。在信息傳輸速率給定的前提下（即：單位時間傳輸?shù)男畔㈧亟o定），同步逼近度越高，意味著系統(tǒng)生成密鑰的速率越高，即：系統(tǒng)越有能力實現(xiàn)與信息速率相匹配的高安全性。另一方面，同步逼近度也可以用于刻畫系統(tǒng)逼近一次一密的效率。對于給定的目標(biāo)逼近度（相應(yīng)于安全強(qiáng)度要求），同步逼近度越高，意味著信息傳輸時間與密鑰生成時間之比越高，這表明實現(xiàn)上述安全強(qiáng)度所引入的額外開銷（overhead）越少。對于一個給定的通信系統(tǒng)，其信息傳輸速率（單位時間內(nèi)傳輸?shù)男畔㈧兀┦墙o定的。因此，為了提升同步逼近度，其關(guān)鍵在于如何基于環(huán)境和設(shè)備特征提取出足夠多的隨機(jī)密鑰比特，形成物理共享熵，從而增大單位時間內(nèi)提取的密鑰熵。逼近香農(nóng)一次一密的6G內(nèi)生安全機(jī)制白皮書52.3逼近一次一密的應(yīng)用模式和工程價值逼近一次一密潛在的應(yīng)用模式和工程價值如下：a.沿用現(xiàn)有對稱加密算法，同時結(jié)合頻繁更新的密鑰，實現(xiàn)強(qiáng)安全（例如：可實現(xiàn)“一包一密”一次一密逼近度介于0和1之間，如圖1所示。需要強(qiáng)調(diào)的是，這并不是一種堆疊式的安全解決方案，即：并不是在現(xiàn)有高層加密的基礎(chǔ)上在物理層再引入額外的加密操作，而是將物理層密鑰提取和高層密碼算法相結(jié)合的安全增強(qiáng)技術(shù)。b.通過實現(xiàn)安全資源的內(nèi)生，可以在空口完成密鑰更新，無須經(jīng)過核心網(wǎng)，從而減少密鑰更新的開銷和時延。c.在物理層生成密鑰，同時利用一次一密在物理層加密，可用于對短包的加密，與經(jīng)典密碼學(xué)方法相比，在實現(xiàn)和處理流程上更為簡潔。密。e.逼近一次一密可以支持更細(xì)粒度的安全等級?？梢愿鶕?jù)內(nèi)容定義更細(xì)致的安全等級，例如，對于安全等級極高且需要長久安全的數(shù)據(jù)采用一次一密的方式加密。逼近香農(nóng)一次一密的6G內(nèi)生安全機(jī)制白皮書6顧名思義，顯式加密是指：首先利用無線環(huán)境和/或硬件設(shè)備特征生成密鑰，然后再通過一次一密或高層密碼學(xué)的方法完成加密。通過顯式加密逼近一次一密的關(guān)鍵是如何實現(xiàn)與信息速率匹配的高速密鑰生成。1）物理層密鑰生成架構(gòu)a.基于信道互易性的架構(gòu)物理層密鑰生成的主流架構(gòu)是基于信道互易性的[10]，其基本思想是：通信雙方基于各自的信道測量結(jié)果生成密鑰。在假設(shè)信道滿足互易性的前提下，通信雙方在理論上可以生成一致的密鑰?；谛诺阑ヒ仔缘拿荑€生成架構(gòu)如圖2(a)所示，共包含信道測量、量化、信息調(diào)和、隱私放大四個主要步驟。首先通信雙方進(jìn)行信道測量獲得CSI，接下來通過量化算法將CSI量化為二進(jìn)制比特序列。由于實際中信道互易性不理想以及不可避免的信道估計誤差的影響，雙方生成的比特序列會存在一定程度的差異，因此需要經(jīng)過信息調(diào)和來糾正雙方比特序列中存在的不一致部分，這一步需要通過通信雙方之間的交互來實現(xiàn)，存在信息泄露風(fēng)險。隱私放大的作用是通過熵壓縮去除泄露的信息量，確保最終生成的密鑰比特滿足私密性要求?；谛诺阑ヒ仔缘慕?jīng)典架構(gòu)的核心缺陷是：由于無線信道時頻空域的高度相關(guān)性，基于信道特征生成密鑰的方法難以在短時間內(nèi)提取出數(shù)量足夠多的隨機(jī)密鑰比特，即：經(jīng)典架構(gòu)的密鑰生成速率遠(yuǎn)遠(yuǎn)低于信息傳輸速率[11]，與逼近一次一密的目標(biāo)相去甚遠(yuǎn)。為此，受Diffie-Hellman密鑰交換協(xié)議的思想啟發(fā)，提出不依賴于信道特性的空口Diffie-Hellman密鑰生成架構(gòu)?？湛贒iffie-Hellman架構(gòu)的核心思想是：使用器件噪聲替代信道信息作為密鑰生成的原材料，即：利用噪聲熵（或者說終端熵）替代信道熵生成本地密鑰，然后通過雙向交互在通信雙方之間實現(xiàn)本地密鑰的共享，并生成全局密鑰；在雙向交互過程中，使用物理層安全傳輸技術(shù)保障本地密鑰交互的安全性[12]?；谏鲜鏊枷?，空口Diffie-Hellman密鑰生成協(xié)議包含四步：本地噪聲提取、量化、雙向安全交互和隱私放大，量化和隱私放大的作用與經(jīng)典架構(gòu)中對應(yīng)的模塊相同。逼近香農(nóng)一次一密的6G內(nèi)生安全機(jī)制白皮書7圖2兩種物理層密鑰生成架構(gòu)需要指出的是：基于顯式加密的技術(shù)途徑并非是完美安全的，無論采用上述何種密鑰生成架構(gòu)，密鑰生成的過程都存在被竊聽的風(fēng)險。通過利用物理層安全傳輸技術(shù)及相應(yīng)的后處理操作（例如：隱私放大能夠最大限度地減少泄露的密鑰比特數(shù)量，但仍然難以完全避免密鑰比特的泄露。從這個意義上講，顯式加密方案所能達(dá)到的同步逼近度與一次一密所能達(dá)到的同步逼近度之間通常會存在差距，即：同步逼近度難以達(dá)到1。如何實現(xiàn)真正意義上的一次一密，仍然是一個值得深入研究的挑戰(zhàn)難題。c.兩種物理層密鑰生成架構(gòu)的對比基于信道互易性的密鑰生成經(jīng)典架構(gòu)與空口Diffie-Hellman密鑰生成架構(gòu)的對比如表1所示。表1兩種物理層密鑰生成架構(gòu)的對比密鑰生成關(guān)鍵指標(biāo)基于信道互易性的架構(gòu)隨機(jī)性低（信道在時頻空域的強(qiáng)相關(guān)性導(dǎo)致）高（采用噪聲作為密鑰來源，隨機(jī)性易保障）密鑰生成速率低（每秒幾比特至數(shù)百比特[11]，與逼近一次一密的要求相去甚遠(yuǎn)）高（由信息傳輸速率和噪聲熵提取速率的最小值決定）密鑰不一致率無保障（信息調(diào)和前很難一致，即使經(jīng)過信息調(diào)和也無法確保生成一致的密鑰）有保障（約等于誤碼率）密鑰生成過程的安全性（抗竊聽能力）弱（位于合法用戶附近的竊聽者可以生成高度相似的密鑰）強(qiáng)（通過物理層安全技術(shù)交互本地熵源，難于被竊聽）逼近香農(nóng)一次一密的6G內(nèi)生安全機(jī)制白皮書82）關(guān)鍵使能技術(shù)a.本地熵源提?。ńK端熵提取提取接收機(jī)熱噪聲（例如帶外噪聲或者利用硬件隨機(jī)數(shù)發(fā)生器提取硬件內(nèi)部的熱噪聲作為隨機(jī)源。b.本地熵源雙向安全交互：采用物理層安全傳輸技術(shù)實現(xiàn)本地隨機(jī)熵源的雙向安全交互，其實質(zhì)是構(gòu)造一個具有物理優(yōu)勢的竊聽信道（wiretapchannel并利用物理層安全傳輸技術(shù)實現(xiàn)實現(xiàn)上述思想的具體技術(shù)方案有很多，例如，對于采用全雙工通信的系統(tǒng)，可以設(shè)計如下基于星座旋轉(zhuǎn)和人工干擾的安全傳輸方案：通信雙方首先將待傳輸?shù)谋镜孛荑€比特進(jìn)行編碼調(diào)制，形成復(fù)數(shù)調(diào)制符號；然后對待傳輸?shù)膹?fù)值符號進(jìn)行星座旋轉(zhuǎn)操作，將復(fù)值符號旋轉(zhuǎn)某一適當(dāng)?shù)慕嵌群笤傧驅(qū)嵼S投影，只要該角度選取合適，投影后所得到的實信號就能夠完全表征原始復(fù)星座的信息（如圖3所示），因此可以僅傳輸實軸投影分量，這實質(zhì)上是在信號空間內(nèi)部構(gòu)造出額外的自由度；這樣，最終傳輸?shù)膹?fù)信號由兩部分構(gòu)成，實部承載上述投影值，虛部注入人工干擾信號。在合法接收端，在完成自干擾消除之后，對方發(fā)送的人工干擾與承載本地密鑰的信息信號位于正交維度，解碼性能不受影響；而在竊聽節(jié)點(diǎn)處，得益于全雙工傳輸所帶來的信號疊加效果，人工干擾擴(kuò)散至整個復(fù)平面，解碼出現(xiàn)很高的誤碼平臺，從而保障了傳輸?shù)陌踩?。從如圖4所示的信號星座圖中可以直觀看出該方案的效果。(a)合法用戶接收星座圖(b)竊聽者接收星座圖圖4基于星座旋轉(zhuǎn)的安全傳輸效果逼近香農(nóng)一次一密的6G內(nèi)生安全機(jī)制白皮書9c.兩點(diǎn)說明：第一，雙向交互過程中可能出現(xiàn)傳輸錯誤，可以通過傳輸錯誤指示字段來解決，接收者根據(jù)收到的錯誤指示字段刪除錯誤分組即可；第二，在實際中，竊聽節(jié)點(diǎn)處的誤碼率可能無法達(dá)到0.5，這仍然會導(dǎo)致少量密鑰比特的泄露，隱私放大或其他熵壓縮方案可解決這一問題。3）性能評估a.一次一密同步逼近度的理論分析結(jié)果采用傳統(tǒng)的基于信道互易性的物理層密鑰生成架構(gòu)，一次一密同步逼近度通常低于10-3，而采用空口Diffie-Hellman密鑰生成架構(gòu)能夠?qū)⒁淮我幻芡奖平忍嵘龓讉€數(shù)量級。例如，對于如前一小節(jié)所給出的具體方案，根據(jù)理論分析，一次一密同步逼近度大約為2：d=≈1?(3)在高信噪比條件下，同步逼近度趨近于1，表明了新架構(gòu)能夠滿足高速率數(shù)據(jù)安全傳輸?shù)男枨?。圖5顯式逼近一次一密技術(shù)方案實驗驗證效果為了評估物理層密鑰生成新架構(gòu)的性能，搭建了原型驗證系統(tǒng)，并在實驗室環(huán)境下進(jìn)行了測試，合法用戶和竊聽節(jié)點(diǎn)處的界面如圖5所示。實測結(jié)果表明：生成的密鑰能夠通過NIST隨機(jī)2這里假設(shè)全雙工系統(tǒng)能夠執(zhí)行理想的自干擾消除，且合法通信節(jié)點(diǎn)間的信道系數(shù)為1。逼近香農(nóng)一次一密的6G內(nèi)生安全機(jī)制白皮書性測試，且生成速率遠(yuǎn)高于基于信道互易性的傳統(tǒng)架構(gòu)，可滿足逼近一次一密的要求。從直觀效果來看，合法終端無誤碼，能夠高質(zhì)量恢復(fù)圖像；竊聽者星座圖完全混淆，無法恢復(fù)圖像。3.2基于隱式加密的實現(xiàn)途徑隱式加密指無需專門的密鑰生成、密鑰交互和加密解密模塊，而是直接利用無線信道的特性在竊聽節(jié)點(diǎn)處引入高誤碼率，產(chǎn)生隨機(jī)熵，使竊聽者無法恢復(fù)信息，從而等效地起到加密的效果。從功能上講，經(jīng)典的物理層安全傳輸技術(shù)方案都可以被視作隱式加密技術(shù)，其局限性在于，一直以來缺乏科學(xué)且實用的測度對其安全性進(jìn)行嚴(yán)謹(jǐn)?shù)脑u估。在現(xiàn)有研究中，評價物理層安全技術(shù)安全性的指標(biāo)測度有兩類，一類是信息論測度，主要包括私密容量、私密中斷概率等，這類測度主要是從信息論的角度分析安全傳輸?shù)男阅芟蓿茈y直接用于實際系統(tǒng)；另一類是誤碼率測度，即通過分析竊聽節(jié)點(diǎn)處誤碼平臺的有無和高低，來體現(xiàn)可達(dá)的安全等級，但這一測度從安全的角度來講是不嚴(yán)謹(jǐn)?shù)?，例如，誤碼平臺為0.2對應(yīng)著多少比特的信息泄露？目前尚無理論工具解釋說明這一問題。因此，在構(gòu)建基于隱式加密的安全傳輸體系時要解決兩個核心問題：一是給出不依賴于顯式密鑰生成和加密解密操作的物理層安全傳輸新架構(gòu)，二是從逼近一次一密的角度對這一傳輸架構(gòu)的安全性能進(jìn)行科學(xué)且定量的評估。1）無密鑰物理層安全傳輸架構(gòu)圖6無密鑰物理層安全傳輸架構(gòu)框圖無密鑰物理層安全傳輸架構(gòu)如圖6所示，由通信模塊和安全模塊組成，通信模塊為圖中藍(lán)色部分，利用物理層安全傳輸技術(shù)（例如：安全波束成型+人工噪聲方案[13]）實現(xiàn)信息傳輸并提供基礎(chǔ)的安全能力；安全模塊為黃色部分，由密碼學(xué)方法構(gòu)建，使系統(tǒng)達(dá)到可理論證明的安全強(qiáng)度。逼近香農(nóng)一次一密的6G內(nèi)生安全機(jī)制白皮書該架構(gòu)融合了密碼學(xué)方法（但與經(jīng)典的加密解密不同）與物理層安全技術(shù)，目標(biāo)是實現(xiàn)一種無密鑰的內(nèi)生安全機(jī)制。在該架構(gòu)中，首先利用物理層安全技術(shù)在竊聽節(jié)點(diǎn)處制造很高的誤碼平臺（例如：大于0.1即：在竊聽信道引入隨機(jī)熵；在此基礎(chǔ)上，在合法發(fā)射機(jī)引入預(yù)處理模塊，該模塊是一個隨機(jī)性提取器，它能夠提取并擴(kuò)散物理層安全技術(shù)在竊聽信道上引入的隨機(jī)熵，得到近似均勻分布的等效密鑰，用于使消息分組中的各個比特均獲得可證明的安全強(qiáng)度。預(yù)處理模塊的一個輸入?yún)?shù)是竊聽節(jié)點(diǎn)處的誤碼平臺pe，該輸入?yún)?shù)的作用是：根據(jù)物理層安全技術(shù)能夠 在竊聽端引入的誤碼水平來確定系統(tǒng)參數(shù)，如分組長度等（具體確定方法后面詳述）。在實際系統(tǒng)中，竊聽者的位置往往是未知的，但對于給定的物理層安全算法和竊聽接收機(jī)模型，可以估算出對處于任意可能位置的竊聽者所能造成的誤碼平臺，所有這些可能竊聽位置的誤碼平臺下界即為前述pe。2）關(guān)鍵使能技術(shù)：隨機(jī)性提取器在所提出的無密鑰安全傳輸新架構(gòu)中，核心模塊是隨機(jī)性提取器，對應(yīng)于圖6中的預(yù)處理部信道編碼模塊，可以采用通信系統(tǒng)中廣泛使用的各類編碼，如LDPC，Polar，等等。ECC模塊不是隨機(jī)性提取器的組成部分，這里只是為了構(gòu)圖的完整性，故將糾錯模塊繪制于此。隨機(jī)性提取向熵提取器、雙向熵提取器、壓縮熵提取器，t0為一初始的隨機(jī)向量。圖7隨機(jī)性提取器示例逼近香農(nóng)一次一密的6G內(nèi)生安全機(jī)制白皮書隨機(jī)性提取器的工作原理如下所述：在一個分組內(nèi)，通過雙向熵提取器BRE提取和擴(kuò)散在竊聽信道上引入的隨機(jī)熵，實現(xiàn)對分組內(nèi)所有比特的保護(hù)，即：使物理層安全技術(shù)引入的隨機(jī)誤碼得以在一個分組內(nèi)擴(kuò)散；在多個分組之間，通過壓縮熵提取器CRE和單向熵提取器ORE累積前序分組的信道噪聲熵，避免部分分組由于信道引入的隨機(jī)熵不足而無法達(dá)到所須安全強(qiáng)度的問題。也就是說，即使竊聽信道在某個分組內(nèi)的信道條件很好從而使得當(dāng)前分組內(nèi)物理層安全技術(shù)無法引入足夠的隨機(jī)熵，但通過CRE和ORE仍然能夠收集前序分組中的信道噪聲熵，并將其引入的隨機(jī)誤碼聚合擴(kuò)散至當(dāng)前分組。對圖7給出的特定的隨機(jī)性提取器而言，假設(shè)物理層安全算法在竊聽節(jié)點(diǎn)處引入的誤碼平臺為pe，計算復(fù)雜性意義下的安全等級為λ（即：破解一個分組所需的計算復(fù)雜度為2λ),則分組長度L應(yīng)滿足：由公式(4)可知，發(fā)射端分組長度的選取與物理層安全技術(shù)所能引入的誤碼平臺以及目標(biāo)安全等級有關(guān)。3）性能評估a.一次一密同步逼近度的理論分析結(jié)果對于隱式逼近一次一密的無密鑰安全傳輸架構(gòu)，容易知道，其同步逼近度等于逼近度。設(shè)分組長度為Lbits，每傳輸一比特信息由物理層誤碼在竊聽節(jié)點(diǎn)處引入的最小熵為H?(x|z)，則每個分組在竊聽節(jié)點(diǎn)處引入的最小熵為：H?(x|z)×Lbits，此即為一個分組內(nèi)的等效密鑰長 度。根據(jù)同步逼近度的定義可知，同步逼近度應(yīng)為：根據(jù)信息論，可以推導(dǎo)出最小熵和誤碼率之間滿足如下關(guān)系：其中，p?表示物理層安全算法在竊聽節(jié)點(diǎn)處引入的誤碼平臺。逼近香農(nóng)一次一密的6G內(nèi)生安全機(jī)制白皮書公式(6)給出了無密鑰安全傳輸架構(gòu)下系統(tǒng)一次一密同步逼近度的上界，即系統(tǒng)內(nèi)生安全能力的上界。根據(jù)這一公式，還可以將安全強(qiáng)度與竊聽節(jié)點(diǎn)處的誤碼平臺關(guān)聯(lián)起來。具體來講，公式p≥1?2??因此，若系統(tǒng)對于安全性的要求為：d≥d,則物理層安全技術(shù)在竊聽節(jié)點(diǎn)處所引入的誤碼平臺應(yīng)不低于為：1?2???,根據(jù)這一條件，可以進(jìn)一步設(shè)計相應(yīng)的物理層安全傳輸算法。對于圖7給出的隨機(jī)性提取器而言，可以計算出，其同步逼近度為：λ/L。假設(shè)λ=256（即：攻擊者破解每個分組的復(fù)雜度為2256），則：>若p?>若p?>若p?=0.5，則L至少為256，同步逼近度可達(dá)1（即：一次一密）。根據(jù)上述分析可知，基于所提出的無密鑰安全傳輸架構(gòu)，我們建立了竊聽節(jié)點(diǎn)處誤碼平臺和一次一密同步逼近度之間的映射關(guān)系，從而將通信性能指標(biāo)BER和安全強(qiáng)度建立了聯(lián)系，這就解決了如何科學(xué)評價物理層安全技術(shù)安全性的基本問題。在典型的三節(jié)點(diǎn)竊聽信道仿真環(huán)境下，對無密鑰安全傳輸架構(gòu)的性能進(jìn)行了數(shù)值仿真，合法接收機(jī)Bob和竊聽者Eve處BER及PER的數(shù)值結(jié)果如表2所示。表2無密鑰安全傳輸架構(gòu)性能仿真結(jié)果BER_EVE_BEFORE_BEFORE_AFTERPER_EVE_AFTERBER_EVE_AFTER分組長度1.00E-030.20.90280.902810.53981.00E-030.30.77610.776110.52491.00E-030.40.64160.641610.51.00E-030.50.54210.542110.51.00E-040.20.21310.213110.53981.00E-040.30.1390.13910.52491.00E-040.40.10150.101510.51.00E-040.50.07460.074610.51.00E-050.20.02470.024710.53981.00E-050.30.01570.015710.52491.00E-050.40.01060.010610.51.00E-050.50.00780.007810.5表2中，XX_BEFORE表示沒有采用隨機(jī)性提取器時系統(tǒng)的性能，XX_AFTER表示引入隨機(jī)性提取器之后系統(tǒng)的性能。由表2可知，結(jié)合物理層安全傳輸與隨機(jī)性提取器的方案可以使Eve的BER達(dá)到0.5；合法接收端Bob的PER在增加預(yù)處理/后處理模塊后沒有變化，這表明隨機(jī)性提取器的引入在提供安全性的同時不會影響合法鏈路的傳輸性能。逼近香農(nóng)一次一密的6G內(nèi)生安全機(jī)制白皮書面向以6G為代表的下一代無線網(wǎng)絡(luò)，將物理層安全技術(shù)和密碼學(xué)方法相融合，研發(fā)鏈路級內(nèi)生安全機(jī)制具有非常重要的實際意義。一方面，針對通信的私密性（Confidentiality）需求，通過設(shè)計逼近一次一密的物理層安全通信新架構(gòu)（如第三章所述），以有效應(yīng)對量子威脅，為數(shù)據(jù)傳輸提供牢固、持久的安全屏障，并且簡化協(xié)議架構(gòu)和處理流程。另一方面，針對未來多樣化場景對信號完整性（Integrity）和用戶隱私（Privacy）提出的差異化需求，引入鏈路級安全技術(shù)，在某些高層密碼學(xué)機(jī)制無法發(fā)揮作用的場景，為系統(tǒng)提供不可或缺的安全解決方案。本節(jié)將通過幾個具體的示例，說明鏈路級安全機(jī)制的若干潛在應(yīng)用場景，以及鏈路級安全技術(shù)在解決相關(guān)問題中的作用。4.1應(yīng)用場景1：安全上下文激活前的安全防護(hù)機(jī)制對于蜂窩通信系統(tǒng)而言，在安全上下文激活前，由于尚未建立安全保障機(jī)制，網(wǎng)絡(luò)存在被攻擊的風(fēng)險。例如：基站廣播的控制信令易遭受竊聽、仿冒和篡改等攻擊，導(dǎo)致網(wǎng)絡(luò)無法正常提供服務(wù)；初始隨機(jī)接入可能被惡意攻擊者利用來構(gòu)造隱蔽通信信道，導(dǎo)致空口資源被濫用，并造成私密信息的泄露。鏈路級的物理層安全技術(shù)能夠有效彌補(bǔ)上述安全短板，顯著提升安全上下文激活前系統(tǒng)的安全性。下面將通過兩個具體實例加以說明。4.1.1系統(tǒng)消息的安全防護(hù)在初始入網(wǎng)階段，終端必須首先接收來自于基站空口廣播的系統(tǒng)消息，才能與基站建立通信連接，而廣播的系統(tǒng)消息是沒有安全保護(hù)機(jī)制的，因此非常容易被偽基站獲取并且仿冒。例如，一種典型的攻擊形式稱作子幀覆蓋攻擊，在這一攻擊形式中，偽基站與目標(biāo)基站同步后，仿冒特定的廣播子幀消息，欺騙受害終端，由此導(dǎo)致的安全風(fēng)險可能包括：終端主叫能力被禁、終端無法被叫、TAU信令風(fēng)暴、虛假公共安全告警等。為了解決這一問題，可引入基于波束的簽名方法，并且在不同波束掃描下對廣播消息的簽名周期進(jìn)行自適應(yīng)調(diào)整，從而在增強(qiáng)廣播消息安全性的同時節(jié)省空口開銷。4.1.2安全的初始隨機(jī)接入逼近香農(nóng)一次一密的6G內(nèi)生安全機(jī)制白皮書初始隨機(jī)接入用于為空閑態(tài)或去激活態(tài)的UE接入網(wǎng)絡(luò)提供建立連接的機(jī)制，隨機(jī)接入的基本流程如圖8(a)所示。SPARROW攻擊[14]是針對隨機(jī)接入過程的一種攻擊形式。在該攻擊中，一對惡意用戶（串謀用戶1和串謀用戶2）可利用Msg3和Msg4構(gòu)造隱蔽通信通道，具體方法如圖8(b)所示：由于Msg3的內(nèi)容為UE隨機(jī)生成的且傳輸惡意發(fā)射機(jī)（串謀用戶1）可以通過Msg3給基站發(fā)送任何他想要傳輸?shù)男畔?。如果在基站端無碰撞發(fā)生，或者有碰撞的情況下串謀用戶1在競爭中勝出，那么Msg4的廣播機(jī)制就會導(dǎo)致惡意接收機(jī)（串謀用戶2）接收到串謀用戶1發(fā)送的Msg3，從而實現(xiàn)串謀用戶1和串謀用戶2之間的隱蔽通信。這種隱蔽通信將會消耗空口資源，導(dǎo)致合法用戶的接入成功率下降。上述安全問題為了解決上述問題，可以引入物理層自加密技術(shù)，設(shè)計一種安全內(nèi)生的隨機(jī)接入?yún)f(xié)議。其基本思想是，在基站解碼出Msg3后，并不直接廣播Msg3，而是首先利用Msg3生成控制比特，并利用控制比特決定待廣播的Msg3中各個比特的調(diào)制星座圖格式（即：各比特或比特組合到調(diào)制星座點(diǎn)的映射規(guī)則然后將格式受控的Msg3作為Msg4廣播，各合法UE根據(jù)解碼成功與否判斷自身是否在RACH的競爭中勝出。對于串謀用戶2來說，由于其未知Msg3，因此他不知道基站發(fā)送的Msg4中各個比特的映射規(guī)則，從而無法解碼，只能進(jìn)行隨機(jī)猜測，這將導(dǎo)致極高的誤碼率，使得串謀用戶之間的隱蔽通信無法成功。上述方案的實質(zhì)是隱式傳輸Msg3，即消息本身作為密鑰實現(xiàn)物理層自加密。圖9以BPSK調(diào)制為例，說明了上述方案的基本思想。采用該方案，可以在合法用戶接入成功率不受影響的前提下有效避免惡意用戶濫用空口資源實現(xiàn)隱蔽通信，同時不引入額外的空口開銷。圖9控制比特生成方式及根據(jù)控制比特決定星座映射規(guī)則的方法4.2應(yīng)用場景2：安全上下文激活后的安全增強(qiáng)機(jī)制在安全上下文激活后，現(xiàn)有通信系統(tǒng)雖然已經(jīng)具有較為完備的安全防護(hù)機(jī)制，例如加密和完整性保護(hù)等，但這些安全保護(hù)策略通常部署于PDCP層（位于MAC層和PHY層之上底層（包括MAC、PHY）的安全防護(hù)能力有待增強(qiáng)，尤其是對于L1/L2空口控制信令的防護(hù)，物理層安全機(jī)制的引入顯得尤為重要。安全上下文激活后的安全攻擊也存在多種可能的場景，例如：攻擊者可以監(jiān)聽合法基站的下行信號獲取關(guān)鍵參數(shù)，在此基礎(chǔ)上盲檢基站下發(fā)的下行控制信息（DownlinkCont失效，從而導(dǎo)致短時延用戶被轉(zhuǎn)為普通用戶，時延指標(biāo)達(dá)不到特性要求。該問題正是由于L1信令缺乏完整性保護(hù)機(jī)制所造成的，為了解決這一問題，可以利用物理信道特性、物理層相關(guān)參數(shù)、用戶級參數(shù)等生成完整性保護(hù)信息，以有效對抗信令的仿冒、篡改等惡意攻擊。又如，根據(jù)3GPPTR33.809的分析[15]采用大功率重放合法目標(biāo)基站的同步信號，會導(dǎo)致UE上報的測量報告中偽基站的信號功率大于服務(wù)小區(qū)信號功率，從而引起源站做出錯誤的切換決策，造成切換失敗率上升。為此，可以通過設(shè)計基于信道特征的安全切換機(jī)制加以解決。4.3應(yīng)用場景3：安全測距下一代無線網(wǎng)絡(luò)是一個多制式共存的異構(gòu)系統(tǒng)，蜂窩通信和短距無線技術(shù)將有機(jī)融合和高度互補(bǔ)，共同為用戶提供優(yōu)質(zhì)服務(wù)。得益于其寬帶特性，超寬帶（Ultra-wideband，UWB）能夠?qū)崿F(xiàn)高精度的測距和定位，在汽車無鑰匙門禁、無接觸支付等領(lǐng)域具有廣闊的應(yīng)用前景。UWB系統(tǒng)利用飛行時間（Time-of-Flight,ToF）測量距離，從而天然具有對抗中繼攻擊的能力（ToF測逼近香農(nóng)一次一密的6G內(nèi)生安全機(jī)制白皮書進(jìn)一步增強(qiáng)了UWB測距過程的安全性[17]。然而，隨著各種新型攻擊的出現(xiàn)，現(xiàn)有測距方案的安全性受到挑戰(zhàn)。例如，文獻(xiàn)[18]-[20]指出，攻擊者通過發(fā)送虛假的偽隨機(jī)測距脈沖序列，可以導(dǎo)致接收機(jī)對首徑到達(dá)時間（Time-of-Arrival,ToA）的估計值提前，從而造成測距結(jié)果縮短。該問題已受到業(yè)界的關(guān)注和討論。造成上述測距安全問題的核心原因在于：目前已有的測距方案缺乏完整性保護(hù)機(jī)制。值得注意的是，該問題無法通過高層密碼學(xué)方法解決，因為攻擊者無須解密合法發(fā)射機(jī)產(chǎn)生的測距序列，只需要在空口注入隨機(jī)的測距脈沖串即可造成ToA估計值提前。為此，提出一種基于時間反轉(zhuǎn)的內(nèi)生測距方案，如圖11所示。其核心思想是：引入物理層完整性保護(hù)機(jī)制，通過時間反轉(zhuǎn)，構(gòu)造具有時間聚焦特性的等效端到端信道，利用信道固有特性實現(xiàn)在波形層面簽名，使攻擊信號“無處遁形”，解決傳統(tǒng)測距方案難于在復(fù)雜多徑環(huán)境下識別攻擊信號的難題；在此基礎(chǔ)上，設(shè)計基于“量化-相關(guān)-判決”的接收機(jī)算法，實現(xiàn)測距信號的完整性校驗，對測距過程是否遭受攻擊做出判斷，該算法復(fù)雜度低，易于工程實現(xiàn)。逼近香農(nóng)一次一密的6G內(nèi)生安全機(jī)制白皮書圖11基于時間反轉(zhuǎn)的安全測距方案4.4應(yīng)用場景4：無線感知感知是未來6G的重要應(yīng)用場景之一。感知中存在的安全和隱私問題主要來源于兩個方面。第一，感知結(jié)果（如CSI測量報告）在傳輸過程中可能被竊聽或篡改。第二，用來感知的測量信號（例如：導(dǎo)頻）具有公開的信號結(jié)構(gòu)，攻擊者竊聽測量信號，能夠?qū)ξ锢憝h(huán)境進(jìn)行感知（例如：推斷用戶運(yùn)動軌跡、推斷環(huán)境中物體的分布從而進(jìn)行環(huán)境畫像，等等存在泄露用戶隱私的風(fēng)險。其中，第一類問題可利用現(xiàn)有的加密和完整性保護(hù)方案加以解決，相對容易處理；第二類問題是感知服務(wù)引入的新問題，目前業(yè)界尚無系統(tǒng)性的解決方案。本報告中將圍繞第二類問題提出幾種可能的解決思路。圖12基于仿射傅里葉變換的通信-感知-安全一體化波形思路之一是設(shè)計通信-感知-安全一體化波形[21]。如圖12所示，該波形為基于仿射傅里葉變換（AffineFFT）的參數(shù)化波形，波形參數(shù)作為“密鑰”，僅在合法通信雙方之間共享，而對任何第三方來說均為未知。仿真結(jié)果表明，非法接收機(jī)觀測到的是“雜散”的信號星座圖，從而無逼近香農(nóng)一次一密的6G內(nèi)生安全機(jī)制白皮書法完成信道估計或解調(diào)合法鏈路的信號，因此，該波形在傳遞信息的同時能夠提供安全機(jī)制。另一方面，圖13的仿真結(jié)果表明，該波形的旁瓣特性相比于OFDM有較大優(yōu)勢，有助于提升感知效果。(a)Eve觀測到的雜散星座圖(b)不同波形圖13通信-感知-安全一體化波形仿真結(jié)果解決無線感知中隱私保護(hù)問題的另一技術(shù)途徑是，設(shè)計多站協(xié)同的聯(lián)合感知方案，其核心思想如圖14所示[22]。兩個站點(diǎn)以協(xié)作的方式參與感知過程。整個感知過程由多輪組成，每輪包含兩個時隙。在每個時隙內(nèi)，站點(diǎn)1和（TX1）站點(diǎn)2（TX2）發(fā)送感知信號，具體做法如下：假設(shè)d}構(gòu)成本輪內(nèi)使用的碼本，該碼本的可選集合為：共8種可能，每一種可能對應(yīng)的碼本索引分別記作1~8。整個測距過程中每一輪使用的碼本索引由接收機(jī)（RX）隨機(jī)選取，并且RX將整個測距過程中各輪使用的碼本索引加密發(fā)送給TX1和逼近香農(nóng)一次一密的6G內(nèi)生安全機(jī)制白皮書圖14基于多站聯(lián)合感知的隱私保護(hù)方案合法接收機(jī)RX對兩個時隙的接收信號進(jìn)行聯(lián)合處理，完成信道沖激響應(yīng)（ChannelImpulseResponse，CIR）估計。根據(jù)上述聯(lián)合感知協(xié)議和所設(shè)計的碼本特性可知：與單站感知相比，合法接收機(jī)執(zhí)行CIR估計時可獲得3dB的信噪比增益，從而能夠提升感知精度；此外，可同時估計出信道響應(yīng)函數(shù)h[n]和g[n]，從而獲得對感知對象（物理環(huán)境）更為全面和完整的信息。竊聽者Eve由于未知本輪使用的碼本{a,b,c,d}，因此，根據(jù)其接收到的信號，將只能獲得兩個信道響應(yīng)函數(shù)he[n]和ge[n]的線性組合，而無法推斷出he[n]和ge[n]。在感知過程中的每一輪，采用的碼本都不相同，Eve每一輪估計出的都會是he[n]和ge[n]的不同線性組合，這樣，他無法通過對多輪獲取的CIR估計值進(jìn)行聯(lián)立來推斷CIR的變化規(guī)律，從而有效地保護(hù)了用戶隱私。逼近香農(nóng)一次一密的6G內(nèi)生安全機(jī)制白皮書本白皮書從逼近一次一密的科學(xué)內(nèi)涵入手，定義了逼近度與同步逼近度兩個指標(biāo)測度，分別用于刻畫系統(tǒng)的安全強(qiáng)度和逼近一次一密的能力。在此基礎(chǔ)上，提出了逼近一次一密的兩條技術(shù)路線：顯式加密和隱式加密?；陲@式加密逼近一次一密的核心問題是，如何實現(xiàn)與信息速率相匹配的高速率密鑰生成；為了