物理层安全技术及其应用

胡爱群 东南大学网络空间安全学院教授、博士生导师/东南大学信息安全研究中心主任

1. 引言

今天给大家分享我现在做的一项科研工作，是关于物理层安全的研究。网络互联需要通信线路，需要传输各种各样的信号，物理层安全讲的是最底层如何利用物理的特性，设备也好，线路也好，利用它的物理特性来构建安全的体系。首先给大家介绍一下什么是物理层安全技术，物理层安全技术涉及到两个关键技术，一个是设备指纹的提取，另一个是无线信道或者有线信道利用信道特征产生密钥，如何基于物理层安全技术构建保密通信系统。

2.什么是物理层安全技术

物理层安全技术是一种利用通信设备和信道的物理特征，建立安全接入和保密通信体制的技术。

物理层是所有网络协议的物理基础，物理层安全技术为传输线路提供基础安全保障；传统的接入安全是依赖密码技术的：身份认证和数据加密。在大规模应用下，密钥的分发和更新很困难。

目前，对传统密码系统的攻击技术手段不断加强，安全威胁日益严重，需要寻找更高安全等级的防护技术（利用自然特性）。

依据网络分层（OSI七层模型），物理层位于七层协议的最底层。物理层跟传输设备和传输线路的特性有关。传统的安全技术，比如最基本的网络接入安全，是否允许一台电脑接入一个网络称作接入控制，接入控制是网络安全最基础的一项工作。传统的接入安全技术依赖密码技术，我们用得比较多的是MAC地址，终端MAC地址对了，就允许接入网络，或者是给终端发放一个数字证书，如果提交的证书是对的，就允许接入网络，这是传统的技术。这样的传统技术，在互联网环境下就面临以下问题，物联网的节点那么多，如何给这些节点分发密钥；节点之间传输需要加密时，那么多节点的密钥如何去管理。在互联网环境下，很多认证和加密需求依靠传统的密钥管理方法会显得非常困难，这是为什么需要物理层安全技术的一个原因。

需要物理层安全技术的第二个原因是对传统密码体制的攻击，大家都听说最近几年出现的量子计算技术，量子计算机出现以后，量子计算机对传统的对称密码体制和非对称密码体制的攻击就非常容易，因为量子计算机通过暴力破解就可以破解密码体制。基于上述两个原因，我们希望寻找一种更高等级的安全体制，它是一种利用自然特性，密钥可以随时间变化、随信道情况变化的安全性更高的体制。现在，国际上物理层安全技术已成为一个热点，有很多人在跟踪去研究，目前物理层安全技术还处于应用的前夜，就是看到曙光了，看到希望了，但是还没有真正落地这么一种状态。

2.1 网络物理层安全担负的任务

网络物理层安全担负的任务，其实就是传输设备和传输线路。有线传输介质包括光纤、双绞线、同轴电缆、电话线等；无线传输介质包括射频无线信号、光（可见、不可见的）。物理层特性是指网络设备和传输信道的自然物理特性。

任何的传输线都存在差异性，例如两根50米的网线，如果分别测量它的传输特性，也存在差异。传输线路也好，设备也好，传输特性都存在差异，如果我们能获得这种差异，就可以用它来做物理层的信息安全。

图2所示是网络分层（OSI七层模型）。从网络分层来看，物理层是最底层，上面是数据链路层、网络层、传输层、会话层、表示层和应用层。

物理层担负的工作就是如何把信号传过去。

图1 网络物理层传输介质

图2 网络分层（OSI七层模型）

2.2 无线信道的物理层

无线信道的物理层，比如我们常见的手机，手机到基站，或者是物联网的节点之间底层的信息。我们可以把物理层问题等价成一个模型，如图3所示，把通信系统高度抽象，左边是一个发射机，数据经过发送电路，通过天线把它发送出去，中间部分是传输信道，例如手机到基站之间这一段的无线通道，在接收端通过天线把它接收下来，经接收电路产生数据输出。

图3 无线信道物理层模型

研究物理层安全有两大工作，一是发送接收设备的设备指纹。指纹是由发送电路本身的特性产生的。什么是设备指纹，一万台手机生产出来了，生产过程中每一个器件都有生产偏差，这是由工艺所决定的。例如大家去做一个电路实验时，每个人都去买一个1K电阻回来，你会发现用电表测量所买的标称1K电阻，其阻值不是1K，可能是1.01K或0.99K。手机里有许多集成电路芯片，每一个集成电路器件中都集成有大量的电阻、电容、电感，三极管、二级管，同样一个批量造出来的手机中每一个器件参数都是有偏差的，导致数据经过电路调制、上变频或滤波以后，就会将这种偏差寄生在信号中。也就是说每一台手机，二进制的数据都一样，不同的发射电路出来以后，在信号中寄生的物理的东西不一样，这是手机硬件本身造成的。这个东西我们把它叫做指纹。

二是无线信道的信道传输特性。这样的信号经过信道传输时，例如手机跟基站之间进行通信，打电话到基站的时候，手机的空中信号经过多种路径（多径）传输到达基站，这样就形成了一个独有的信道特性。在相距很短的距离，例如在距离十几厘米的两个不同地方打电话，手机信号到达基站所历经的通道都不一样，因为两者之间的传输多径不一样。微波理论有一个基本定律，窃听者要获取信道特性，必须处在离通信者1/2波长之内的距离，所以提取的信道特性和人所处的空间位置存在唯一性的关系，我们可以用指纹识别设备身份，获取信道特性为两边数据加密。

指纹是设备独有的，造出来的每个设备都会不一样，信道与物理位置有关系。因此通信双方的物理位置没有第二个人可以获得。因为信道特性是唯一的，只是跟你这个人所在的位置有关系。这样我们通过信道特性建立安全时，安全性就非常高。物理层特性可以归纳为：（1）设备指纹是由收发设备决定的；（2）信道特性是由无线信号的传输环境决定的；（3）物理层特性具有惟一性；（4）物理层特性难以克隆。指纹肯定难以克隆，设备生产出来，你没办法去获得一个设备的指纹，信道也一样，没办法站到我这个地方，除非你站在我这个地方，你才能获得我跟别人通信的信道特性，这是不可能的。所以有这样的特点，这是安全的基础。

2.3 基于物理层特性进行安全防护的优势

（1）设备指纹的长期稳定性和唯一性，可用来识别设备身份。

我们通过实验室的长期实验，发现设备指纹有长期的稳定性，设备器件随着时间的变化会老化，但设备老化是缓慢的，通信设备比如手机几年就更换了，等设备老化的时候，我们已经不用它了。设备指纹的长期稳定性和唯一性，可用来识别设备身份。

（2）通信信道特性具有惟一性、时变性，可用来产生时变的密钥。

通信信道特性也具有惟一性，无线信道还具有一个很好的特点，它具有时变性。什么是时变性，比如说我在打手机，一边打一边走，我和基站之间的信道传输特性是一直变化的。随着我走，无线信道的传输多径一直在变化，这样就可以获得我和基站之间一个对称信道特征。它可以用来产生一个时变的密钥。如果能获得一次一密，是最安全的，如果每发送一个数据包密钥都不一样，但这在实践中很难做到。物理层安全可以提供这样的特征，在移动通信环境下信道一直在变化，就可以做到一次一密，移动越快，密钥变化也越快，通信双方可以共享一样的信道特征。一样的信道特征，且具有时变性，就可以抵御量子计算的攻击。

（3）信道的短时互易性，由信道特性产生对称密钥，双方无需交换，简化了密钥管理。

什么是短时互易性，就是说我在和基站通讯的时候，但这里有个前提条件，就是我们目前的研究假定是TDD的时分双工信道。我发送给基站的信号和基站发送给我的信号叫上下行信号，它采用TDD的方式，就是时分双工方式。LTE方式下有TDD和FDD的两种模式，TDD方式下上行和下行信道具有短时互易性，就是说我上行发给他信号的时候，他瞬时就回给我一个信号，上下行时间非常短，这意味着这两个信道长得一模一样，获得的密钥就一致，就可以用来做对称密钥。

（4）对于有线通信，物理上可检测是否有窃听发生。我们可以通过有线的并线和干扰，获得信道特性的变化，由此检测是否有窃听发生。有线通信中有很多对称的信道。例如广电的同轴电缆，上下行信号如果同在同轴电缆中传输，就具有很好的互易性。电话线也具有互易性，经交换机连接电话机的电话线通过两线传输，上下行是对称的。如果我们能找到上下行对称的信道，就可以通过物理层特性做安全。但有些场景下不具备。

2.4 物理层安全技术的目标

物理层安全的目标是什么？一是利用设备指纹确定通信设备身份，就是做设备的认证，二是利用信道特性对信道上传输数据进行保护，就是数据加密，设备的认证和数据加密，这是我们做安全最基础的工作，任何通讯系统都需要做的工作。

图4 功率放大器的幅频响应和相频响应曲线

滤波器的差异。

其它影响因素包括：上电启动后的信号包络。受电阻/电容和其他干扰等因素的影响，包络起伏不定。

设备指纹影响因素总结：

（1）设备指纹来源于发射机器件的各个环节；

（2）由于发射机是一个综合了各个环节的整体，因此很难分别对其进行分析并提取特征。

这里会涉及以下关键技术：

（1）设备指纹的提取、呈现与识别；

（2）信道互易性增强、特征提取；

（3）对称密钥的生成、密钥一致性的校验；

（4）密钥隐私放大技术；

（5）接入认证系统构成；

（6）保密通信系统构成。

3.关于设备指纹的研究

3.1 设备指纹

在通讯里很多设备，例如手机、有线网卡、无线网卡、电话机、交换机、以及广电使用的机顶盒等设备，任何一台设备都有指纹。我们把设备指纹也叫做设备的DNA，它是由设备中各种器件生成的。设备存在的各种影响因素，有放大器、天线、滤波器、振荡器、电容/电感、射频微带线及其它干扰因素等；由于设备在制造时就已经掺入了上述的各种影响因素，其综合产生的结果在每一个设备上都不同。

比如功率放大器，我们测量一台功率放大器时，会得到图4示例的曲线，如果你换一台功率放大器再去测量，得到的一定是另外一条曲线，肯定不会完全重合，一定有偏差，这种幅度和相位的非线性会导致不一样信道设备的特性。例如天线，天线回波、驻波干扰、带内的非线性响应、带外的互调干扰，会造成天线的差异。

滤波器的滤波响应，影响带内的平坦，会造成

图5 滤波器幅频响应

设备指纹研究思路：

（1）从接收信号上升时刻的瞬态信号中提取设备指纹；（瞬态特征，针对性强）

（2）在接收机上，通过观测基带I/Q信号的星座图、信号轨迹及其分布，提取设备指纹。（稳态特征，通用性好）

3.2 设备指纹产生

I/Q路调制电路的不平衡性、本振频偏、滤波器幅频特性、放大器的非线性等，造成了设备指纹。

图6 设备指纹产生模型

3.2.1 基于星座图的方案

（1）无线通信系统发射端发射一组扩频序列（如WiFi系统里的直接扩频序列DSSS ）、BPSK或QPSK信号；

（2）接收端通过观测信号在接收机上的星座图分布及变化，提取发射机射频指纹的综合特征。

我们发射一个QPSK信号，其标准的星座图如图7左边星座图所示，接收机上的星座图如图7右边星座图所示，星座图每个点不再是原来位置，为什么会这样？是因为发送电路里面加入了指纹特征，使得星座图发生变化。

影响接收机星座图的因素如下：

（1）白噪声干扰

其特征主要受接收信号强度的影响（通信距离）。

（2）相位噪声干扰

系统的振荡器，射频器件的相位噪声都会产生干扰；具有明显的设备指纹特征。

（3）增益压缩的干扰

主要受功率放大器、天线等非线性的影响因素；具有明显的射频指纹特征。

（4）带内干扰主要是受信道综合响应的影响，包括了传输过程的信道响应，发射机和接收机的频响。

（5）载波抑制干扰

载波抑制差造成星座图的整体平移。

（6）I/Q正交不平衡干扰

受发射机的I/Q两路响应不平衡所造成；具有明显的射频指纹特征。

从接收信号的星座图去观察星座图的变化，就可大致判断发射机指纹的模样，实践证明这是一个有效的方法。

3.3 设备指纹测量方法

设备指纹测量方法见图14。

图14中，x(n)为发送的调制信号（如QPSK）。

图7 QPSK信号星座图

图8 白噪声干扰的接收机星座图

图9 相位噪声干扰的接收机星座图

图10 增益压缩干扰的接收机星座图

图11 带内干扰的接收机星座图

图12 I/Q正交不平衡干扰的接收机星座图

图13 载波抑制干扰的接收机星座图

图14 设备指纹测量方法

在频域观察的y(n)星座轨迹图：

式中，HR(z) 是接收机指纹，HT(z)是发射机指纹，HAB(z)是信道，X(z)是标准QPSK调制信号。

我们的工作是找到HT(z)发射机的指纹。我们用一个批次买回来的两台设备，把其中一台作为发射，一台作为接收。实际测量到的两台设备的星座轨迹图如图16、图17所示，两台设备的星座轨迹图完全不一样，这显示它们的指纹不一样，根据基带I/Q信号轨迹的形状就可以确定发射机的身份。

我们对两台设备的星座轨迹图进行了处理，使其指纹特色更加明显。处理后的星座轨迹图见图18。可以看到两台设备指纹通过处理后，会得到两个完全不一样的特征，也就是说我们可以通过这样的特征去识别设备。

我们做过一个批量实验，我们买了54个一模一样的发射模块，用通用软件无线电平台去接收54个发射模块的信号，然后把接收到的信号数据送到电脑里做分析，分析以后形成指纹图，得出的结果是，54个发射模块都是可以区分开来的，识别率与信噪比有关系，在信噪比较高时，就可以完全区分开，正常的识别率约为99%，在25dB信噪比时，识别率约为97.5%。

图16 5.8GHz QPSK基带I/Q信号轨迹

图17 2.4GHz 16QAM 基带I/Q信号轨迹

图18 处理后的星座轨迹图

图19 射频指纹识别

图20 百兆有线网卡4B/5B基带编码信号的指纹

刚才讲的是无线，我们还一直在做有线物理层安全的实验，并取得较好的效果。有线的接入需求比无线要更多一点，现在很多涉密单位，例如广电也会有安全等级要求高的网络。常用的接入安全可以通过MAC地址来检测，MAC地址正确允许接入，MAC地址不正确就不允许接入，还可以用数字证书的方法，但目前数字证书的方法用得比较少。还有一种方法，去判断设备的指纹对不对，在交换机处加一个对终端指纹检测的装置。图20是我们对两张一模一样的百兆有线网卡提取的指纹。一百兆网卡采用的是4B/5B基带编码，通过网卡的4B/5B基带编码，传送到线路驱动器和发送滤波器，线路驱动器和发送滤波器的特征就会叠加在网卡上，我们在接收端发现这两张的网卡特征是不一样的。我们对同一批次同一型号25张网卡做过实验，每张网卡的特征都不一样，都可以严格地区分开来。所以，有线网卡也可以找到它们的差别。

表1是我们对采集相同厂商网卡设备指纹特征的实验结果。实验的每张网卡做50次，正确识别率为98%-100%，国外对于相同厂商网卡的正确识别率为76.73%（2016年），差别就是我们用的方法不一样。同一厂商同一型号和批次网卡是很难区分的，是对算法的很大考验。

表2是我们对采集不同厂商网卡设备指纹特征的实验结果。实验的每张网卡做15次，正确识别率为100%，国外的正确识别率为97.67%（2016年）。

表1 相同厂商网卡设备指纹特征识别效果

表2 不同厂商网卡设备指纹特征识别效果。

基于设备指纹的接入认证及技术可用于计算机终端到网络交换机的接入认证，图21是一个典型场景，用于终端设备到交换机的接入控制。电脑接入交换机上后，会在后台认证服务器中的设备指纹库中验证接入设备的指纹是否合法，设备指纹合法，允许接入；非法的设备指纹，交换机就直接将接入设备封死，不允许接入。目前这种应用在涉密网络中有明显的需求。

4.关于信道特征密钥的研究

我们以上讲的是如何从设备里提取指纹，用它来做接入控制。研究物理层安全技术还有一项工作，如何提取信道特征，用信道特征来建立对称密钥。

图21 设备指纹接入认证典型应用场景

图21 是手机到基站通信的应用场景。手机到基站通信的信道是无线信道，信号会经历多径的传输，就是说手机信号到达基站，或者基站信号到达手机，是一个经过多径的传输过程，包括直射波和多个反射波。因为在瞬间通信时，只有手机端和基站端才会共享信道的特性，窃听者Eve想要获得信道特性就必须进入手机的相干半径之内，相干半径是1/2波长。这是微波理论中的一个基本定律。

因为手机和基站共享一个信道，手机给基站发送信号时，在基站端设备可以分析获得这个信道特性，同样基站给手机发送信号时，在手机端也可以分析获得信道特性。在一次TDD通信时，由于信号上下行时间很短，在手机端和基站端获得的信道特性非常接近（见图21）。因为两者总有不一样的地方，例如互易性的差异，由于基站和手机处于不同点造成噪声的差异，我们可以通过信号处理，把手机端和基站端的信道特性图做得一模一样，然后把它做成同样的密钥，手机发送数据时，就可以用密钥加密数据，在基站端可以把密钥解出来，而空中窃听就没有可能，因为窃听者无法获取密钥。使用这种技术，在移动环境下，可以达到近似“一次一密”的完美前向保密特性，无线通信会十分安全。

4.1 物理层安全模型

物理层安全模型见图23。

图22 手机到基站通信应用场景

图23 物理层安全模型

传递函数HAB(z)和HBA(z)具有很好的互易性，即HAB(z) ≈HBA(z)；Eve难以获得相同的传递函数,除非窃听者非常靠近Alice或Bob（相干距离之内）。

4.2 无线信道特性

接收信号中包含了收发设备以及信道的物理特性。

无线信道的衰落特性见图25和图26。

信道特性提取的方法很多。图27是一个国外文献公布的在一次通信中收发双方获得的信道特性，图中红色和蓝色的两条曲线包络几乎一样，但细节上差异很大。我们要用算法去除细节上的差异，去除差异的方法，学术上叫做信道互易性增强的方法，如何去提高互易性目前是学术界研究的热点。

影响信道互易性因素有（1）射频指纹（设备指纹）；（2）两端接收天线处的噪声；（3）TDD模式下的两端测量时刻的偏差。

4.3 信道互易性增强方法

信道互易性增强方法有（1）去除非互易因素，从接收信号中剥离数据信号和设备指纹；（2）弥补非互易成分，两端交换一定的信道信息，提升信道的互易性信息，但会造成部分信道信息的泄露。

4.3.1 基于主分量分析的互易性增强方法

提高互易性可以用基于主分量分析的方法，这是信号处理常用的一种方法，基于主分量分析的方法对提取出的信道特性做进一步处理，取出其中的主分量；通过主分量重构信号，再产生密钥，这样密钥的一致性可大大增强。

图24 无线信道收发设备及信道的物理特性

图25 移动过程中接收信号的幅度衰落特性

图26 频率选择性衰落反映在各子载波幅度

图27 通信双方获得的信道特性

图28 基于主分量分析的互易性增强

把N个主分量按特征值从大到小重新排列，并分为两部分：前M个分量（CQA2）和后N-M个分量（CQA1）。两端的前M个分量是一致的，而后面的N-M个分量可能是不一致的。

还可以采用信号分解方法提升互易性。基于射频指纹与信道特性之间是卷积关系；信道特性的多径模型呈现稀疏性；用ESPRIT信号分解方法可以把射频指纹与信道特性进行有效分离。

目前我们已解决多个接收天线条件下OFDM信号的射频指纹分离难题。

5.密钥生成流程

下面介绍密钥的生成流程，密钥生成流程见图29。获取信道特征以后，就可以获得一个初始密钥，获取初始密钥以后，目前的密码算法要求两边的加密密钥完全一样，如果有一个比特不一样，就无法解密。即使通过我们的方法获得的初始密钥KA和KB已经高度一致了，但是还会担心万一有一个比特不一样怎么办？所以这时需要把两边获得的初始密钥做一次比较。密钥本身不能直接传过去，如果直接传过去就泄密了，不安全了，通常是把密钥做一个哈希，把这边Alice端的KA做一个哈希，把哈希值的结果发过去，那边Bob端的KB密钥也做一个哈希，直接比较两个哈希值的结果，如果这两结果是一致的，这两个密钥就是一样的，我们知道哈希算法是安全的。通过这样的方法，如果两个哈希值一样，就可以加解密数据了。

密钥的生成流程因为要验证，就会动到上层协议，验证过程要透过IP层或传输层交互数据，构建物理层安全系统就不仅和物理层有关系，与物理层的上层也有关系，这样会给应用带来麻烦。现在有更好的方法，可以把密钥生成做一个修改，密钥本身不去比较，简单说把密钥和数据做异或逻辑运算，异或后的数据在传输时经过信道会产生误码，密钥的不一致可视为误码，在接收端可以通过数据纠错的方法纠正误码。这种方法不需动到上层，在物理层就可以解决问题，现在倾向用这种方法，物理层安全技术用到通信系统中与上层是没有关系的。

基于Hash值的密钥一致性校验，不存在密钥信息泄露，但可用密钥数量将可能很少。

前向纠错密钥一致性校验方法是学术界在研究的一种方法，通过伴随式纠正密钥流中的少部分不一致，但这种方法可能造成密钥流的部分信息泄露。图32是我们实验室做的无线密钥生成实验平台，图中的三台设备，左边电脑和右边电脑是正常通信的双方，Alice和Bob，中间设备是窃听者Eve。正常通信的双方可以获得一样的信道特性，可以得到图32中上部前两个一样的信道特性图；窃听者Eve没有落到相干半径1/2波长之内，窃听者Eve获得的信道特性图与通信双方Alice和Bob获得的信道特性图就存在明显的差异，所以窃听者Eve无法获得正常通信双方的密钥。

6.无线物理层安全技术的应用及需研究的问题

无线物理层安全技术的应用有：

（1）基于设备指纹的无线目标识别与定位；

（2）新一代接入认证交换机；

（3）未来移动通信的无线接入安全；

（4）车载网、物联网、无线传感器网络的无线信道安全防护；

图29 密钥生成流程

图30 基于Hash值的密钥一致性校验

图31 前向纠错密钥一致性校验

图32 无线密钥生成实验平台

图33 研制的演示验证系统

（5）军事无线通信安全；

（6）等等。

物理层安全技术的应用，可以用来做接入控制，还可以用来做无线目标识别。比如在广电系统，可以用来做识别非法电台。当有非法电台干扰广播电视频率时，通过指纹就可以把它识别出来。通过记录合法广播电台的指纹存入指纹库，当出现一个不是我指纹库系统里的指纹，我就知道环境里有非法电台出现了。现在物理层安全已经纳入了5G的可选项，可以用这样的方法去解决终端到基站接入安全的问题。还可应用于车联网、无人驾驶汽车领域，车联网车与车之间的通信，车与路边的节点之间通信都可以通过这样的方式去做，不用再去给它配发密钥了，相当于说车与车之间拉了根线，拉了根光纤的概念。

我前两天还跟密码管理部门的人说，如果使用这种方式做信息安全，你现有的密码管理体制是否会不认可，他确实有这样想法。他说我们现有的密码管理体制，必须能被国家密码管理局所监管，现在信道密钥自动产生的方式不能被监管，会很麻烦。但他表示，这种方式可能目前阶段不太容易接受，希望在应用过程中慢慢来，他还给你密钥，你可以上面再加一层随机数，通过这种方式，先用起来，但还是很鼓励这样的新技术出现。

物理层安全技术可用于车联网还有传感器网络这一类网络，适用于希望网络安全，但不希望给它分发密钥这一类的应用，这种应用需求还是比较多的。传感器网也是很常见的一种应用，传感器网那么多节点要进行通信，如何保证传感器网的安全性。比如家里有很多智能电器都是无线控制的，你不做安全，别人在外面就可以控制你家冰箱、空调的运行状态，像这类安全的应用，都可以将无线信道通过这种加密方式，使别人不可能无线窃听，也就无法非法控制设备的运行状态。

物理层安全技术还有军事无线通信的很多应用，例如无线目标的识别、敌我识别这一类的应用，还有例如一个军事群体在外执行任务，他们之间可以建立一个安全的网络，网络中的主节点与家里通信，采用这样的技术后会变得非常的安全。

目前还有一些问题没解决好，需要进一步研究。（1）频分双工（FDD）条件下的信道互易性研究；（2）静态/准静态信道的密钥安全性及解决办法；（3）点到多点通信系统组密钥的生成方法；（4）直扩或跳频系统的密钥生成方法；（5）抗干扰能力研究；（6）等等。

（本文根据作者在第七届广播电视传媒产业论坛暨第五届中国广播电视紫金论坛上的发言整理。）