基于设备与信道特征的物理层安全方法*

李古月,俞佳宝,胡爱群,3

1.东南大学网络空间安全学院,南京210096

2.东南大学信息科学与工程学院,南京210096

3.网络通信与安全紫金山实验室,南京211111

1 引言

如今,移动通信由目前广泛使用的第四代移动通信 (4G LTE),正大踏步地迈向第五代移动通信 5G时代[1,2].5G通信将为用户提供超高速的数据传输、超宽的无线覆盖、超多数量的设备互联以及超低的数据时延[3].与此同时,伴随着连接数急剧增多、接入速率飞速提升,未来海量的敏感机密数据将在无线信道上传输.因此,未来移动通信系统应当具备很强的安全性和保密性.然而,无线通信是采用射频方法进行网络连接及传输的开放式物理系统,在具有足够信号强度的范围内的任意一点都可以接入,与有线网络的固定接入点相比,更容易受到窃听、欺诈等攻击[4,5].

1.1 传统安全机制

无线网络的安全性和保密性包含了两个最重要的因素:“接入安全”与“数据保密”.接入安全确保机密资料只能由被授权的用户读取;而数据保密侧重于通过无线网络传递的资料只能被特定用户解读.传统安全机制是由开放式系统互联(Open System Interconnection,OSI)安全模型中数据链路层、网络层、传输层、会话层以及应用层的一系列安全协议来保障.这些上层的安全协议通过对称加密或非对称加密算法实现用户的身份鉴别、访问控制、机密性与完整性保护.其中,接入安全主要是依靠存储在设备里的身份认证信息 (如黑白名单、安全证书等)或输入的身份验证指令(如密码等).黑白名单很容易被假冒,安全防护程度不高.安全证书的方案需要改造现有的无线终端设备,需要外挂包含数字证书的物理设备(即安全代理模块),该设备尺寸较大,且需要独立供电线缆和通信线缆.由于终端类型多样化,外挂上述安全代理模块这种方法,往往在实际工程上存在困难.其次,外挂的安全代理模块还会配合网关一侧的安全接入平台装置,对无线终端现有的业务数据进行3层、4层的拆解并进行代理,部分业务功能在该种嵌入式解决方式下无法使用,影响了现有生产业务的正常开展.另一方面,身份验证指令存在着弱指令、指令泄漏的风险.

数据保密通过对空中数据进行加密实现.数据的安全性取决于密码算法的强度和密钥分发更新机制.密码算法的强度是通过正确设计密码算法获得的,其应用上的安全隐患常常发生在密钥的分发和更新阶段.现有的经典加密方法面临着密钥分发困难、不适用于资源受限的大规模网络等问题.此外,为了节省密钥分发和管理的开销,密钥的更新往往非常缓慢.然而,长时间固定不变的预共享密钥可能引发严重的安全威胁.例如,目前无线蜂窝通信通过人工分发客户识别模块(Subscriber Identification Module,SIM)卡,获取卡中的预共享密钥的密钥识别符(Key Identifier,KI),继而实现用户鉴别与对称加密.近期有研究表明攻击者可以利用SS7协议和国际漫游的漏洞获取KI.此外,文献显示通过攻击SIM卡供应商可以获得大量KI.一旦 KI遭到泄漏,攻击者可以伪造出大量相同的 SIM 卡,用户的信息将不再安全[6].另一方面,量子计算机的发展和它指数级运算的能力使得现有基于计算安全的的一些密码方案存在着被破解的危险[7].基于上述问题,基于计算安全的传统身份认证及保密通信方法在未来信息化系统中面临巨大挑战.因此,人们亟需寻找一种可以从理论上证明的牢不可破的安全机制.

1.2 物理层安全

近些年的研究表明可以在物理层巧妙地利用无线通信设备、信道及噪声的特性,实现设备身份的识别、认证以及密钥的分发、更新[8–10].此外,这些物理层安全方法仅仅在接收机采集到的接收信号基础上额外添加了设备指纹特征与无线信道特征的提取工作.该方法可以通过软件实现,无需改变原有通信系统的硬件结构,适用于当前及未来的无线移动通信系统.

1.2.1 设备指纹识别

如同每个人都有不同的指纹一样,每个射频设备的硬件也会有差异,这种硬件差异被称为“设备指纹”.这种差异会反映在电磁波信号中,通过分析接收到的射频信号可以提取出设备的特征.发射机本振的偏差、同相/正交(Inphase/Quadrature,I/Q)不平衡、滤波器独特的频率响应特征、功放的非线性、天线的耦合差别等都会对发射的信号产生独特的影响.从无线设备发射的信号可以提取特征作为其设备身份的唯一标识,从而准确识别不同发射源个体[11].

1.2.2 信道密钥生成

与基于计算安全的经典加密方法不同,信道密钥生成方法源于香农的信息论.香农在 1949年提出的经典密码系统模型中,定义了信息论角度下严格意义上的绝对安全[12].在这种模型下,密文数据和明文数据必须相互独立且等长,即加密密钥至少达到 “一次一密”(One Time Pad,OTP)时才能够达到绝对安全.最近的研究发现,移动通信信道不仅具有很好的随机性,而且具有很好的互易性,即通信双方在同一个时间同一个频率工作时,上下行信道具有相同的信道特性,且随着发射机或接收机的位置而改变.窃听者只有在非常接近合法接收者的位置 (相干距离以内)才能获得相近的信道特性,这在实际上不可行.如果把移动信道的这种随机性转化为加密密钥,那么,这种密钥就具有了近似“一次一密”的特性.另外,由于上下行通信信道的互易性,通信双方由信道特性转化出的密钥就具有对称性,也就无需给通信双方分发对称密钥[13].因此,利用无线收发信机之间的多径信道特性的密钥生成方法可以构造安全的无线保密通信系统,保护空中接口的安全.

1.2.3 其他物理层安全方法

物理不可克隆函数:物理不可克隆函数(Physical Unclonable Functions,PUF)在发射机中预置机密物理芯片,将该芯片的所有激励与响应对存储在服务器上作为认证依据.当发射设备需要接入网络中时,服务器随机发送一个激励,如果该发射设备的响应与服务器中的相匹配则认证成功,否则认证失败[14].

链路指纹:链路指纹利用无线信道变化的时间连续性,检测是否有伪冒用户加入攻击.在已经开始合法通信后,该方法可以辅助检测是否有异常接入.但是该方法无法在初始接入阶段判断用户的身份是否合法[15].

无条件安全:无条件安全指的是利用无线传输过程中的噪声特性,增大合法信道与非法信道条件间的差距,通过编码的方式使得窃听者无法正确解出秘密信息.常用的方法包括波束成形与人工噪声等[3].

本文的研究内容是基于设备与信道特征的物理层安全方法,其他物理层安全相关方法可以参阅相关文献.

2 设备指纹

2.1 设备指纹建模及工作流程

2.1.1 设备指纹建模

图1 数字通信系统中设备指纹来源的建模Figure 1 Block diagram of radio frequency fingerprint sources in overall digital communication system

通过从发射机的模拟信号提取其特有特征来识别发射机的物理层安全被称为设备指纹识别 (也叫物理层设备指纹识别)[16].设备指纹源自发射机硬件电路的容差或者缺陷,主要归因于射频前端中的模拟器件.尽管电路设计和制造技术不断进步,但是发射机器件基材的制备和制造过程中仍会引入误差 (例如沟道宽度、沟道掺杂、浓度和氧化物厚度的变化以及不同生产线的工艺误差等),导致不同生产批次甚至同一生产批次之间的器件参数有着细微差别[17–19].此外,由于其元件类型、元件布局以及走线等存在差异,不同厂家设计的发射机之间的指纹差异性更加显著.虽然可以通过质量控制或预失真等措施来消除/补偿这些硬件缺陷,然而,这将极大地增加设备制造成本.事实上,IEEE802.11、802.15.4等大多数标准明确要求无线设备能够容忍接收信号一定范围内的波动.因此,这些存在的细微的硬件电路缺陷能够满足正常通信标准的规范,可以利用这些特定的发射机缺陷对设备进行独特的表征来构建设备指纹作为发射机的身份.

图1是一种典型的数字通信系统框架,包括发射机、信道和接收机,其中,发射机的模拟电路部分(灰色)是设备指纹的主要来源.数字发射机中的硬件电路误差主要包括 I/Q两路数模转换器 (Digital-to-Analog Converter,DAC)的谐波失真和直流偏置、射频信号对应的振荡器的相位噪声、中频滤波器的失真、混频器的正交偏移误差和本振泄露、I/Q增益不平衡、以及功率放大器的非线性等[20].所有这些硬件缺陷会反映在发射信号中,这使得它们是可测量的,可以通过发射信号创建发射机的设备指纹身份.然而,实际接收机接收的通过无线信道的传输信号与发射机发射的原始信号相比可能已经有了一定差异,接收信号包含了信道的特征和接收机的设备指纹.如图1所示,接收机几乎是发射机的反向实现,正常的低端接收机本身的设备指纹比较明显,加上信道的影响,从接收信号中提取发射机的设备指纹存在很大的难度,我们在2.2.2节和2.2.6节中分别对信道和接收机的影响进行了详细阐述.

2.1.2 识别与认证

设备指纹识别/认证的工作流程如图2所示,整体可以分为信号采集、预处理和指纹识别三个步骤,具体步骤描述如下:

(1)信号采集.通过图1所示的接收机下变频采样得到基带信号.

(2)预处理.对于采集到的基带信号预处理主要包括以下四个步骤:

(a)滤波:采集到的基带数字信号通常需要通过数字滤波器去除可能污染指纹的噪声、干扰、泄露的本振等.

(b)功率归一化:大多数情况下,需要进行归一化来消除接收功率等与采集环境相关的差异,例如发射机和接收机之间距离的变化会导致接收功率的变化.

(c)定时同步:通常需要定时同步来检测信号的起始,当设备指纹不具备时间平移不变性时,定时同步的精度直接影响最终的识别性能[11].早期设备指纹技术的研究主要围绕这一内容展开[21–23],近期仍有文献[24]研究符号同步精度对于识别性能的影响.

(d)目标信号截取:根据设备指纹的目标信号区间,主要可以分成瞬态信号段、稳态信号段,其中稳态信号段又可以分成前导段和数据段,前导段中还包含了半稳态信号部分[25].根据不同信号目标区间提取设备指纹的方法有着显著的区别,受到环境的影响也略有不同.

(3)指纹识别.最后也是关键的一步是开发指纹识别算法来识别无线设备并检测非法设备.指纹识别根据是否存在关于合法设备的指纹先验信息(称为白名单或者指纹库)可以分成有监督的和无监督的两大类.

图2 设备指纹识别/认证的通用方法Figure 2 Generic methodology for identification and authentication

(a)在有监督的指纹识别系统中,通常包括注册登记和身份识别/认证两个模块.在注册期间,对每个设备或者每类设备进行信号采集和指纹提取,获得的指纹存储在数据库(白名单)中.在识别阶段,将新获得的物理层设备指纹与数据库中的指纹进行比较,进行设备识别或认证.其中,设备识别(Identification/Classification)是一对多比较,从所有登记的设备或类别中识别/分类出该设备或其所属类别.设备认证(Authentication/Verification)则是一对一的比较,确认其声称的设备身份或者所属类别是否匹配.根据指纹的特点,有监督的指纹识别又可以分成基于实例的方法和基于特征的方法.

• 基于实例的方法直接比较预处理后目标信号段的相似度.来自同一设备或同一型号设备的目标信号段之间的相似度理论上比不同设备和不同型号的目标信号段之间的相似度更高.可以使用不同的相似性度量的方法来进行识别和认证,包括欧式距离、马氏距离、余弦相似性、皮尔逊相关系数等方法.然而,基于实例的方法容易受到环境的影响,性能随噪声波动较大.

• 基于特征的方法从目标信号段进一步选择和提取特征作为指纹,然后用相似度度量或者机器学习的方法进行识别.其中根据选取特征的方式,又可以分为传统的基于人工选取特征的方法和基于深度学习的自动选取特征的方法.人工选取的特征主要包括图1中设备指纹来源的诸多具有实际物理意义的参数以及目标信号段或者进行傅里叶变换、希尔伯特变换等变换后的信号的统计特征.基于深度学习的方法主要通过神经网络进行自动特征选取和分类识别,将在2.2.1节进行详细阐述.

(b)虽然有监督指纹识别已在大量文献中证明了其有效性,但在实际环境中,提前进行注册登记并不总是可行的,例如远程硬件升级、购买新设备等,其扩展性较差.和有监督方法相比,无监督指纹识别不需要训练集进行提前注册,必须从先前未标记的目标信号段中找到隐藏的结构,将相似的指纹分组在一起并映射到相同的物理设备.由于缺少合法设备信息,无监督方法通常无法区分合法设备和非法设备.但是,当具有不同指纹的多个设备采用相同身份标识(称为伪装攻击)或单个设备采用多个身份标识(称为Sybil攻击)时,无监督的方法可以有效检测这些攻击的存在,减轻身份欺骗攻击的威胁[26].无监督学习的方法在已有文献中应用不多.Nguyen等人利用多元高斯分布对设备的特征空间进行建模,基于频偏和相偏两个特征采用非参数贝叶斯方法和无限高斯混合模型来检测设备数量和进行设备分类[27].文献[28]基于无限隐马尔可夫随机场模型提出了一种同时对与位置无关的特征和与位置相关的特征进行联合处理的无监督指纹识别算法.其他的聚类方法和基于神经网络的无监督方法的应用还有待进一步的研究.

2.2 设备指纹的特点及最新进展

设备指纹的唯一性、鲁棒性、长时不变性、独立性、统一性和可移植性是决定方法实用性的关键因素.然而,当前的设备指纹技术只能够同时满足其中部分条件,本节分别整理了在这几个方面的最新进展.

2.2.1 唯一性

由于发射机硬件电路的缺陷,每个发射机理论上都有唯一的设备指纹[16,29],因此,不同设备发送的射频信号也是不同的.然而,由于信道和接收机的影响,不同设备通过不同的信道到达一个或多个接收机.信道估计的不准确一定程度上会破环提取的设备指纹的区分度.我们这里先考虑单个接收机情形,此时接收机引入的指纹对于不同设备来说是相同的,然而,接收机中模数转换器引入的量化和接收机的噪声会一定程度上模糊信号间的差异,从而降低设备指纹的区分度.在多个接收机时,为了增强设备指纹的可移植性(详见2.2.6节),又一定程度上会降低指纹的唯一性.总的来说,设备指纹其他几个特性的提升,会破坏指纹的唯一性,降低设备间的区分度,减少设备指纹识别系统的容量.在实际使用中,如何权衡提取的设备指纹的唯一性和其他几个特点是一个至关重要的问题.

传统的设备指纹技术通常通过人工选取一些特征来进行指纹提取,例如自动增益控制响应[30],放大器非线性[31–33],I/Q 不平衡[19,34–36],频偏[27,37–40],时频统计特性[41–44]等.这些特征在单独使用或者同时使用少数几个时,能够有效区分有限数量的设备.然而,由于设备指纹是无意引入的,且通信标准的容差有上限,因此,特征空间的大小有限,即该方法对应的模型容量(即能区分的最大设备数)有限.在识别大量同一型号设备时,分类器间距会变小,导致误识别概率上升,性能急剧下降.文献[45]提出了一种结合更多特征的多模态方法来提升设备指纹的区分度,其实验结果表明,通过结合多个特征,包括首次提出的下降瞬态特征,该方法的设备指纹准确率显著提高.此外,由于被动引入的硬件缺陷相对偏差较小,距离通信标准所容许的容差上限还有距离,文献[46]提出了一种人为放大I/Q偏置的方法来增加设备间的区别,而不影响正常通信,从而确保设备的唯一性.该方法的思路与PUF有类似之处,但是软件可调的设备指纹会带来额外的安全问题.然而,现有的人为设计的特征数量有限,开发新的特征耗时耗力,基于深度学习的设备指纹提取技术能够通过神经网络自动提取指纹特征进行设备识别.深度学习设备指纹方法通过增大网络的规模,可以提高指纹模型的容量,提升设备指纹的区分度,在近几年得到了广泛的关注[38,47–49].根据神经网络的输入类型,可以进一步将这些深度学习设备指纹技术分为基于时间序列的方法和基于图像的方法[50].

• 基于时间序列的深度学习指纹技术通常采用基带I/Q数据作为神经网络输入.文献[38]采用支持向量机、多层感知器和卷积神经网络来识别信号帧的每个射频符号,从而识别三种类型的22个 LoRa设备,实验结果显示卷积神经网络的性能最好.Merchant等人将时域复基带误差信号输入卷积神经网络来识别七个 ZigBee设备,以解决在认知无线电中的仿冒主用户攻击[51].文献[48]和文献[52]使用长短时记忆网络来自动学习信号样点之间的高阶相关性以识别LoRa设备和USRP设备.此外,在文献[25]中,作者通过设计多采样通道的卷积神经网络进行多尺度特征的提取来识别54个设备的前导码,多采样的方法进一步增加了模型的容量,提高了设备指纹间的区分度.文献[53]认为对通信信号来说,复值形式的时间序列比拆分成I/Q两路实值形式的时间序列更加符合通信系统的本质,提出利用复值卷积神经网络来识别WiFi设备和ADS-B设备.

• 基于图像的深度学习设备指纹技术将时间序列进一步通过各种变换转化成图像输入神经网络进行特征提取和识别.例如,文献[47]和文献[54]通过递归图、连续小波变换、短时傅里叶变换等方法将时间序列进行变换后输入卷积神经网络来分别识别11个IoT设备和12部手机.Youssef等人则将连续小波变换处理后的信号分别输入支持向量机、卷积神经网络、深层神经网络和多阶段训练网络(Multi-Stage Training,MST)识别12个发射机.他们还利用增量学习来识别新部署的设备,解决了传统有监督学习的设备扩展问题[55].文献[56]则利用深度残差网络来处理希尔伯特变换得到的频谱图像来分别识别单跳和多跳场景中的五个模拟生成的射频发射机.

2.2.2 鲁棒性

设备指纹在实际使用时,通常要考虑到不同的实际环境的影响,包括直接影响信号传输的外部环境因素,例如距离、周围物体(导致信号反射、吸收)、干扰、设备的移动、天线方向等[29,46],以及直接影响信号生成的设备相关环境,例如温度、电压、功率、湿度、振动等因素[16,29].这些因素的变化会阻碍设备指纹识别的准确性和可靠性,如何确保设备指纹对于环境的鲁棒性是一个大家长期关注的问题[57].

Danev等人指出,瞬态指纹中不仅包含设备指纹,还包含位置变化导致的信道特征[29,58].文献 [59]研究了瞬态特征、频偏、I/Q偏置、星座轨迹图等特征对于不同信道的鲁棒性,结果表明瞬态特征最容易受到信道的影响.由于瞬态特征鲁棒性较弱,且对于信号采集设备的要求较高,其实际应用价值较低,因此,大家对瞬态指纹的研究和关注也越来越少.此外,波形域的特征也容易受到距离和方向等环境因素的影响[29,60].相比于瞬态指纹和波形域指纹,调制域指纹对于位置的鲁棒性要高得多[19,59].振荡器相关的频偏等指纹则基本不受信道影响[59,61–63].

一般来说,可以选择频偏等鲁棒特征来构建更可靠的识别系统.Brik等人通过提取WiFi网卡稳态信号的一些时间平均特征来进行识别,其识别性能主要取决于发射机和接收机之间的频偏[19].然而,在设备数较多时,由于特征空间维度较低,不同设备的频偏等特征可能相同,不符合设备指纹的唯一性特点,导致指纹识别系统的识别率较低[63].通过合理选择多个鲁棒特征,可以在一定程度上增加识别系统的鲁棒性.彭林宁等人提出了一种混合设备指纹提取和识别方案,成功识别54个ZigBee设备,该方法对于设备位置的变化有着较高的稳定性[63].文献[32]通过实施信道估计和反卷积来减轻信道效应,但还是仅使用了反卷积信号的载波频偏和非线性这两个与环境相关度较低的特征来进行设备识别.文献[64]提出了一种基于信息论的特征选择方法,降低特征向量维度并去除不相关的噪声特征,大大提高了波形域频谱方法的识别精度.文献 [65]在发射器的非线性参数集是唯一的这一假设下,首先通过使用一定程度的与符号幅度相关的非线性进行初始估计,然后迭代地估计信道参数和符号失真以克服符号间干扰来提供鲁棒的识别效果.文献 [66]基于相干积分提出了一种提高信噪比的方案,而不增加所需信号的数量.文献 [67]针对扩频信号或者具有重复序列的信号提出了一种叠加的方法来提高信噪比,这两种方法都能显著提高设备指纹在低信噪比的识别性能.文献[50]通过自编码器从低信噪比的接收信号中恢复出更高信噪比的信号,结合重复序列叠加的方法,大幅提高了设备指纹对于高斯信道的鲁棒性.Sankhe等人通过人为放大I/Q特征,增加了这些特征对于信道的鲁棒性,然而带来了新的安全问题(攻击者可以通过引入相同的I/Q偏置来进行攻击)[46].

目前,对于直接影响信号生成的设备相关环境等因素仍研究较少,仅有少量文献提到了这些因素对提取的设备指纹会产生影响,但也没有展开详细的研究[16,29].近来,Lassiter在他的硕士论文中对汽车电子控制单元的控制器局域网总线信号进行了不同的温度循环研究.实验结果显示,即使设备所处的温度相同,但在从室温降到低温再升回室温、从室温升到不同的高温再降到室温以及一开始就处于室温条件这几种情况下的总线信号存在明显差异,不同的温度循环对于设备的指纹会产生很大的影响[68].其余和信号生成相关的环境因素是否会对设备指纹产生影响也值得进一步展开研究.

2.2.3 长时不变性

设备指纹的长时不变性,即其在设备的工作生命周期内能够保持指纹不变,是一个关键问题.虽然发射机的射频部分通常要求非常稳定,以便在设备的生命周期内支持有效的无线通信服务.然而,由于通信协议允许一定容差的存在,若设备在生命周期内发生了容差范围内的偏差,其对通信服务不会造成太大的影响,但该设备的设备指纹却可能发生了很大的改变,从而导致其无法被原有的设备指纹识别系统正确识别.因此,是否具备长时不变性直接影响设备指纹的应用和部署.

目前,已有一些论文研究了特定器件的时间稳定性.例如文献 [69]和文献 [17]分别研究了加速计和射频振荡器在几个月内的稳定性.根据分类精度没有显著变化,他们认为几个月内,器件的老化影响有限.文献[63]和文献[70]研究了ZigBee设备长达两年的数据,实验发现54个ZigBee设备在两年内的指纹识别精度基本不变,说明选择的设备指纹对于老化效果有着很好的鲁棒性.然而,上述实验虽然时间跨度较大,但这些设备实际使用时长较短,并不能很好地模拟实际应用场景中由于长时间使用而导致的老化效应.因此,在实际应用中,由于长时使用造成的老化效应可能会对不同器件和不同指纹特征造成不同的影响.由于不同特征的时间鲁棒性不同,可以根据已有的不同电子元器件老化效应研究的文献[71–73]来选择抗老化能力较强的特征构成设备指纹,从而使得设备指纹具有一定的长时不变性.

2.2.4 独立性

现有的设备指纹根据是否与数据独立可以分为数据独立性设备指纹和数据依赖性设备指纹.

• 数据独立性指纹主要来源于被动识别方法,包括瞬态信号段提取的指纹[29]和从随机数据段提取的指纹[51].被动识别方法主要是指当发射机处于正常操作模式时,接收机被动捕获发射信号进行指纹提取,不会向被监视系统发送信息,因此即不会引入额外的信道占用或网络拥塞,也不会让攻击者产生警惕,和下面介绍的主动识别方法相比,隐蔽性更强,更容易实现.

• 数据依赖性指纹分别来源于被动识别方法中的特定数据段 (例如前导)[25]或者主动识别方法中的应答信号[74].文献 [53]研究发现数据依赖性指纹既与设备相关,又与这些设备传输的数据相关联.因此,数据依赖性设备指纹容易受到重放攻击,尤其是被动数据依赖性指纹.例如,攻击者通过将攻击设备的特定数据段替换成截获的特定信号段,有很大概率通过设备指纹识别系统的检测[58].主动识别方法通过各种手段刺激目标设备以触发应答信号,例如,文献[75]通过特定设计的帧来触发802.11 WiFi设备非标准或畸形帧的响应,增大了设备指纹间的区分性,从而提高整体识别或认证的准确性.与被动方法相比,主动识别方法隐蔽性较差,但它可以允许提取一些正常情况下无法获得的信号或者是获得为了提高指纹鲁棒性而设计的特定信号[70].此外,主动识别方式通过挑战应答机制,要求设备发送特定的变化信息,可以一定程度上抵抗重放攻击.例如,Ellch通过利用802.11关联重定向机制要求发射机发送不同源地址的关联响应[74].

2.2.5 统一性

设备指纹的统一性是指对于同一发射机的不同参数设置,例如不同频点、不同带宽、不同发射功率、不同调制方式、不同符号速率等,能够提取出相同的设备指纹.文献[57]认为同一个发射机,在使用不同调制方式、带宽和功率谱密度的特定无线协议以不同的方式产生射频信号,由于产生的信号不同,从而他们认为产生的设备指纹不同.然而,如我们在2.1.1节所述,设备指纹实质上是由发射机的硬件电路缺陷决定的,同一个发射机在不同参数设置时使用的部分电路参数可能有调整,但归根结底还是同一电路,在不同参数设置时仍然存在共性.因此,可以在不同参数设置时提取出统一的设备指纹.例如,设备的频偏是由振荡器的相噪决定的,发射机的载波信号由振荡器倍频产生,因此,虽然在不同发射频率时,导致的设备频偏不一致,但归一化的频偏(即频偏除以对应的载波频率)与振荡器的偏差正相关,导致发射机在不同频点时的归一化频偏仍是相同的.此外,在文献[76]中提出了一种迁移学习的方法,用于识别带宽变化的设备.几个设备之间的关系在不同带宽下保持一致,这从侧面印证了在不同带宽时存在统一性的特征,只是该文没有提取该指纹特征.

2.2.6 可移植性

可移植性对于设备指纹来说是一个普遍存在的问题.由于信号采集会引入接收机指纹,不同接收机的指纹也存在差异,因此,这会影响设备指纹从一个接收机到另一个接收机的可移植性.设备指纹早期的研究一般采用高端接收机 (例如高采样率示波器、频谱分析仪和矢量信号分析仪等)[41]进行指纹提取.由于这些高端接收机采用高质量、昂贵的模拟元件来构建,它们引入的设备指纹相对发射机来说可以忽略不计,高端设备之间几乎不存在可移植性问题.然而,在实际使用中,由于成本问题,不可能部署高端接收机信号采集,近年来,大家开始逐渐研究利用相对低成本的接收机进行指纹识别的可行性[77].虽然采用通用软件无线电外设 (Universal Software Radio Peripheral,USRP)会造成一定的性能下降,考虑到接收机成本大幅下降,这是可接受的[78].虽然在早期的研究中,使用中低端接收器的识别性能较差[79,80],然而,通过选择对接收机更加鲁棒的特征,即使采用USRP这样的中档接收器进行信号采集,也具有很高的识别率[32,46],对于不同的 USRP接收机也有着良好的可移植性[63].因此,针对接收机指纹不是特别明显的中档接收机,可以通过更详细地评估哪些特征是接收机鲁棒的,通过选取这些特征作为接收机指纹来一定程度上增强设备指纹可移植性[26].然而,针对自身指纹也十分明显的低端接收机来说,即使采用鲁棒的特征作为指纹,其可移植性还是会很差.文献[57]提出通过适当表征接收机特征,在后续阶段中进行滤除的方法来减轻接收机影响.文献[81]通过使用一个黄金参考物来消除接收器引入的偏差.

2.3 进一步研究的问题

基于设备指纹的方法还有很多重要问题有待进一步的探索.

• 设备指纹对于信号传输环境的鲁棒性.现阶段设备指纹技术对于距离和多径信道对射频指纹的影响有了初步的研究,但还不是很完善,这些方法在信道比较恶劣或者信道变化比较严重的情况下,性能恶化比较严重.此外,当多个设备的信号同时进行发送时,信号之间会产生干扰,如何分离出多个信号进行指纹提取或者直接从混杂在一起相互干扰的信号内直接提取出多个设备指纹还是一个有待研究的问题,这也是该技术进行实际应用的一大难点.研究的设备大多是静态设备,实际的设备大多数是移动设备,发射机的运动对于射频指纹的提取会产生何种影响也需要定量的进行实验研究.此外,也可以通过信道均衡、用多个接受机获取信号、对信号进行多次采集、利用多输入多输出 (Multiple Input Multiple Output,MIMO)或者单输入多输出 (Signle Input Multiple Output,SIMO)系统中同一个设备中的多个天线接收信号、多模态指纹等方法产生对信号传输的外部环境因素更加健壮的设备指纹,这些方法都有待进一步的研究.总的来说,解决设备指纹对于传输环境的鲁棒性是未来的研究重点.

• 信号生成环境对于设备指纹的影响.由于信号训练和信号实际使用时的信号生成环境可能不同,且实际工作时的环境也会不停变化,例如温度、电压、湿度、振动等因素单独变化和多元素联合变化时,会对设备指纹产生何种影响十分值得研究.尤其是在设备允许的工作环境变化范围内,不同的变化范式是否均如文献[68]研究的那样会产生不同的指纹也有很大的研究价值,甚至对于指纹的唯一性可能会产生颠覆性的结论.

• 设备指纹的时间老化问题.在设备的工作生命周期内,提取的设备指纹的变化是实际应用中影响指纹库是否需要进行更新以及更新频率的一个关键问题.需要构建更长时间的设备数据库来来具体调查老化对于信号的影响[82].此外,是否可以通过PUF这样的方法增强设备指纹对于老化的鲁棒性也可以进一步进行探究[83].

• 设备指纹的统一性问题.现阶段设备指纹的研究大多针对同一频率、同一带宽、同一调制方式的信号.随着未来多带宽多协议设备的不断涌现,针对同一设备如何在不同参数下提取统一的指纹表达方式非常值得研究.总的来说,对于设备指纹统一性的研究才刚刚起步,设备指纹的统一性问题将会变的越来越重要.

• 设备指纹的可移植性问题.由于设备指纹注册登记和实际使用时可能采用不同的接收机,或者考虑到接收机由于损坏需要更换的场景,考虑到信号采集时引入的接收机的不同指纹,如何消除接收机指纹,增强不同接收机之间的可移植性,是实际应用中无法忽略的一个问题.可以借鉴放大器预失真补偿的理念,通过高精度设备 (例如矢量信号发生器)产生信号,用低端接收机进行接收,从而对接收机进行指纹补偿.总的来说,针对低端接收机,设备指纹的可移植性还是一个有待解决的问题.

图3 基于信道密钥的保密通信模型Figure 3 Secret communiation system based on channel keys

3 信道密钥方法

信道密钥方法的理论基础可以追溯到1993年Maurer等学者提出的利用相关随机源及公共授权信道提取密钥的模型[84].进一步地,电磁波三大独特的传播特性使该理论的实现成为可能.首先,依据无线信道的传输互易性,合法通信的一对用户所观测到的信道特征具备高度相关性,通过在公共信道进行一些讨论,合法用户最终可以从信道中生成无差错的对称密钥.此外,无线信道的时间变化性保证了合法通信双方可以周期性地产生动态变化的密钥.而无线信道的空间变化性阻止任何一个安全距离以外的用户获得相同的信道特征,从而杜绝了密钥的泄露[85,86].图3描述了基于信道密钥的保密通信模型.合法接收者Alice与Bob将无线信道的特性通过密钥生成方法转化为对称密钥,来加密信道上传输的数据.这种方法提供一种新型的适用于在点对点的用户对间产生可更新的对称密钥方法[87].因为信道密钥方法无需进行额外的密钥分发,所以得到了越来越多的重视.如今,信道密钥方法已在多种物联网实验平台上进行了实测研究[88].其中,物联网协议包括蓝牙[89]、WiFi[90]、ZigBee[91]、LoRa[92–94]、UWB[95]等,详细的实验平台综述请参阅文献[91,96].

图4 密钥生成流程图Figure 4 Protocol flow of secret key generation

3.1 密钥产生流程

无线信道密钥的产生过程主要分为四个步骤,即信道探测、量化、信息调和和隐私放大[97].图4描述了无线信道密钥的产生流程.首先,Alice和Bob对无线信道分别探测获得信道特征测量值XA与XB.信道探测关系到所获得的信道特性是否足够丰富、随机,是信道密钥生成算法的首要步骤.随后,量化步骤中,XA与XB被转化为0-1的二进制比特流QA与QB.通常,QA与QB被称为初始密钥.量化阶数表示每个信道特征测量值可以量化得到的初始密钥的比特数.为了纠正或去除初始密钥中不一致的比特,在信息调和步骤中,Alice和Bob在公共信道上进行了密钥协商,得到协商后的调和密钥IA与IB.信息调和中的公共信道密钥协商泄漏了部分密钥信息.此外,初始密钥中可能存在冗余信息.因此,隐私放大步骤根据初始密钥熵估计的结果以及信息调和步骤中密钥协商的信息,对IA与IB进行置换混淆和随机抽取得到128比特或256比特一组的候选密钥KA与KB.隐私放大通常通过哈希(Hash)函数实现.由于哈希函数的不可逆推性,窃听者无法获取关于KA与KB的任何消息.最后,通过密钥验证步骤,Alice和Bob确认是否生成了完全一致的对称密钥.作为通信双方的对称密钥,KA和KB必须完全一致,否则无法正确解出私密信息.这就要求协商后的调和密钥IA与IB完全相同.如果IA和IB存在差异,隐私放大步骤将放大这部分的差异,使得KA与KB完全不同.如果验证成功,则K=KA=KB成为最终的安全密钥;否则,Alice和Bob需要进行重新开始密钥的生成过程.

由于信息调和步骤中往往存在大量的双向交互,带来严重的传输开销和延时,文献[98]提出一种无需信息调和的基于信道密钥的安全传输方法.如图5所示,私密信息M首先进行信道编码,再将编码后的信息与Alice的初始密钥QA做异或后通过天线发到空中,接着Bob用他的初始密钥QB与接收信号做异或,再进行信道解码恢复私密信息M.该方案将初始密钥的差异等价成更加恶劣的信道误码,通过增大信道编码的纠错性能,来纠正不完全对称的加解密密钥引入的错误.由于M被加密传输,窃听者无法窃取传输信息,实现了前向的保密通信.

图5 前向的保密通信模型Figure 5 Secret communication system based on channel keys

3.2 信道密钥的特点及最新进展

信道密钥的一致性、随机性、防窃听性是决定方法是否有效及能否走向实用的关键要素.因此,本文分别整理了近年来在这三个关键要素方面密钥生成方法的研究进展.

3.2.1 一致性

一致性是成功产生对称密钥的基本要求,而无线信道的互易性是产生一致的信道密钥的先决条件.尽管同一时间同一频率的电磁波在上下行链路中具备相同的传播特性,但是受到实际因素影响,系统采集到的上下行信道特征却并不完全相同.针对这一问题,现有文献提出多种解决方法,根据处理环节可以归为四类.

(1)预处理是最常用的一类密钥一致性提高方法,在处理流程中位于信道探测与量化中间.定义f(·)为一般的预处理变换方法,则处理后的数据为:

通常,半双工的通信方式、非对称的设备指纹及噪声是影响信道互易性的主要因素.因为预处理的对象是原始信道测量数据,可以针对引起不互易性的因素,寻求合适的预处理变换方法.

• 首先,在时分双工 (Time Division Duplex,TDD)系统和频分双工 (Frequency Division Duplex,FDD)系统中,上下行信道分别存在时间差与频率差.在 TDD模式下,信道半双工性的影响是由于上下行切换速度不够快导致,文献[99–101]分别通过插值滤波、曲线拟合以及Savitzky Golay滤波的方法将测量值平移到同一个时间点,解决测量时间差的影响.而FDD模式下信道的半双工的影响,是由于上下行载波频率间隔较大导致.上下行载波在传播过程中的幅度衰减和相位变化均会产生较为明显的偏差.经过多径叠加后,瞬时信道特征如接收信号强度(Received Signal Strength,RSS)、信道频率响应、包络深衰落、相位等特征的一致性非常低,难以用于生成密钥.文献[102]通过理论推导及实验测量发现 FDD模式下的上下行信道的信道状态信息的偏差随着频率差的变化在一个固定值附近摆动,并在此基础上提出一种补偿该固定值的校准方法.然而该方案只适用于固定场景,并不适用于移动场景.由于 FDD系统中上下行统计信道信息具备相似性,文献 [103]从二阶统计量的角度提出一种基于协方差矩阵的密钥提取方案.文献[104]假设FDD系统的上下行信道的到达角和多径时延是互易的,提出基于角度与时延的 FDD密钥生成方案.然而实际系统中,角度和时延的时变性不高而且很难准确估计.基于FDD系统中上下行信道传播路径相同的假设[105],文献[106]首先利用多载波将多径分开,继而提出一种基于路径相位差分的FDD系统互易瞬时信道参数构建方法.

• 其次,由于非对称的设备指纹,包括天线间的差异、发送接收滤波器的不同、以及系统频偏、相偏的不同,将导致测量值相差甚远.文献 [107]将设备指纹的差异建模成信道频率响应中的加性分量,并假设该分量对于每个子载波统计平稳.在该假设下,提出一种信道增益补偿(Channel Gain Compensation,CGC)算法对信道状态响应曲线进行修正.然而实际上,设备指纹是由发送和接收通信链路的硬件特性引起,在时域可以视作与无线信道相级联的一个滤波器,在频率更多地体现为乘性分量.此外,设备指纹具备稳定性,其特性在短时间内保持不变.据此,文献 [108]提出一种对数域差分变换 (Log-Domian Differential Transform,LDDT)的方法,首先将设备指纹由乘性转换为加性,继而通过差分的方法去除它,有效地提高了信道特征测量值的互易性.文献[109]利用阵列信号处理ESPRIT算法对接收到的信号进行信号子空间和噪声子空间的分离,重新构造信号子空间,从而得到发射端的设备指纹.然而该文献并未给出从信道测量值中去除非对称的设备指纹影响的方法.

• 针对噪声的影响,文献 [99,110–113]分别利用 K-L变换、离散余弦变换 (Discrete Cosine Transform,DCT)和小波变换(Wavelet Transform,WT)等预处理方法增强信道测量值的互易性.

(2)除了通过预处理算法来提高单次信道探测中信道参数的互易性,还有一些文献采取多轮传输获得复合的信道信息,并在此基础上构建出互易的复合信道参数.文献[114]首先提出了一种在FDD通信体制里,使用两轮传输的方式获得互易复合信道参数的JRNSO方法.第一轮传输中,通信双方分别发送只有自己知道的导频;第二轮传输中对方将上一轮的接收信号在相干时间内转发至对方,双方获得一个由上下行信道状态信息复合而成的信道信息.由于转发在信道相干时间内完成,故双方获得的信道信息具有高相关性,因而可将之用于密钥产生.此后,文献[115]针对JRNSO方法不适于高速移动环境的缺点,提出了改进版的多轮传输机制.该方法中的两轮传输无需在相干时间内完成,收发双方在两轮传输过程中分别交换使用不同的频段.然而,文献[116]详细分析了JRNSO等方案存在的安全风险,并提出一种被动攻击策略可以窃取文献[114]方法中的密钥信息.此外,该文献首次提出一种包含设备指纹的多频段物理层传输模型,并提出一种新型基于四轮传输的复合信道密钥生成方法,有效便捷地改善由器件差异以及同步偏差引起的信道状态信息(Channel State Information,CSI)互易性低的问题.

(3)量化中同样存在初始密钥的一致性提高方法[117].在量化中,量化阶数往往需要根据信道的信噪比进行调整.一般来说,量化阶数越高,密钥的生成速率越高,但是密钥的错误概率也就越大;相反地,量化阶数越低,密钥生成速率越低,但是密钥的一致性越高.同时,一个好的量化方法还应当可以适应场景的切换,根据静止和运动场景调整量化的方法,达到最优的量化效果.此外,在多比特量化中,通常使用格雷码降低密钥的不一致性[118].文献[99]在量化方法中设置了保护间隔,抛弃保护间隔内那些容易出错的比特,提高了密钥对噪声的鲁棒性.

(4)尽管预处理和量化可以提高密钥的一致性,但是无法保证密钥完全一致.信息调和是保证密钥完全一致的关键步骤,其方法主要分为协议类和纠错码类.其中协议类的方法,例如 BBBSS通过多轮往返交互奇偶校验值,检验出错比特的位置[119].BBBSS一轮只能检测出一个错误比特,Caseade协议[120]和 WINNOW 协议[121]在 BBBSS协议的基础上提高了检测效率.在基于纠错码的信息调和方法中,Alice与Bob首先对初始密钥分组.利用线性分组码,Alice计算出QA的校验子,并发送给Bob.Bob根据QB和接收到的校验子进行解码[122].Huth等学者在文献[123]中为信息调和建立了一种普遍的层次化模型,并将现有的信息调和方法映射到该模型中.文献[124]研究了不同的初始密钥不一致率下,各种信息调和方案间的调和成功率、调和信息泄露率、计算复杂度以及交互次数,并综合考虑以上因素,建立一种信息调和方案性能的综合评价指标.以最大化该信息调和综合评级指标,提出不同初始密钥不一致率条件下自适应的调和方法,有效提高密钥协商的效率.

3.2.2 随机性

信道密钥的随机性指的是能够在单位时间内产生足够数量随机分布的密钥.无线通信过程中终端或者周围环境中人和物体的移动都可能引起无线信道反射、折射和散射路径的变化,导致信道将随着时间变化.而这些人、物体和终端的移动具备不可预测性,因此信道的变化具备随机性.

(1)目前检测信道密钥的随机性主要依靠美国国家标准与技术研究院 (National Institute of Standards and Technology,NIST)的随机性测试[125].NIST随机性测试共包括16种测试手段,主要致力于判定可能存在于序列中的多种多样的非随机性.文献[126]总结了这16种测试的目的、被测序列长度及子块大小需要满足的条件.此外,自相关系数和熵估计可以协助评估信道特征和初始密钥的随机性.定义随机变量X的自相关系数为

其中,E{·}表示期望符号,而µX和σX则分别表示随机变量X的均值与方差.自相关系数越高,随机变量X的自相关性越强,冗余性越高,随机性也就越差,反之亦然.自相关系数通常用于评估信道特征测量值XA、XB或预处理后的信号YA、YB之间的自相关性或者冗余性.根据初始密钥的累积概率分布函数(Cumulative Distribution Function,CDF),可以计算出最小熵估计值.而实际上,由于初始密钥的CDF随时间变化,且大部分情况下是未知的,仅仅对密钥材料做离线熵估计是不够的.文献[127]提出一种在线熵估计的方法,保证初始密钥概率分布的不足不会导致窃听者窃取最终的密钥信息.

(2)无线信道的快速变化主要依赖于小尺度衰落.在一个多径丰富的移动环境中,无线信道将随着无线终端以及周围散射体的移动而剧烈变化.然而,当信道随着时间变化地很缓慢甚至不随着时间变化时,很长一段时间上测得的信道特征都将是高度相关,甚至完全相同的.因此,如何在准静态衰落信道中,提高密钥的随机性是非常实际而有挑战性的问题.现有文献利用人工随机源(Artificial Randomness,AR)[85,128–132]及中继[129,133]的方法来提高密钥的生成速率.

• 文献[85]利用模拟域发射天线波束的可控性,人为地加快信道波动,以加快密钥的更新速度.陈大江在文献 [129]中提出基于协助节点策略性的产生人工干扰的 SmokeGrenade密钥分配算法实现高密钥熵、高效率、适用于静态环境的安全密钥分配.针对SmokeGrenade算法干扰利用率低、比特量化效率低的问题,进一步提出基于干扰复用和自适应多比特量化的密钥分配协议SKEAN.文献[131]提出基于虚拟信道的快速密钥生成协议,通过两根天线改变信道的随机性来提高密钥速率.但是在多天线攻击者的前提下,该方法中通过改变信道的随机性并不能增加密钥的信息熵,因此并不是信息论安全的[134].在文献 [135]中,Gollakota等引入 iJam方法,利用一种信道独立的物理层方法来提高信道的变化率.然而,该协议的安全性是基于 OFDM系统的数据传输的统计特性实现的,并不适用于其他的通信系统.文献[132]在 MIMO系统下提出了两种在非互易的信道上生成密钥的方案.这两种方法不依赖信道的互易性,而是通过回传的方式协商密钥,可以很好地解决近端窃听的问题.文献[9]将结合AR与信道随机源来产生密钥的方法类比于Diffie-Hellman密钥交换协议,其中AR类似于 Diffie-Hellman协议中的随机数.用户将接收信号与本地产生的随机数相乘获得共享密钥的方法类似于Diffie-Hellman协议中用户将接收信号作本地随机数的指数次方获得共享密钥.文献 [130]从信息论角度推导了在单天线系统中,引入人工随机源增加的密钥生成速率.研究结果表明当窃听者无法准确估计自己的信道信息时,引入AR有可能增加无线信道密钥的生成速率,但是增长的密钥速率受到信道条件的制约.此外,在相干时间内增加随机源的变化频率并不能增加密钥生成速率.此外,为了避免窃听者轻易获取随机源的信息,文献 [136]提出了一种新的基于私密导频的方法,利用交叉项有效地增加了相干时间内的密钥生成速率.

• 在实际系统中,尽管AR协助的密钥生成方案泄露了部分密钥信息,但是攻击者想要推测出生成密钥的信息仍然非常困难.此外,AR协助的密钥生成方案仍可以有效地抵御信道操纵攻击.文献[88]显示,攻击者可以在准静态环境中,通过预先计划的移动引起Alice与Bob间信道可预测的变化.如果Alice与Bob间存在直达径,当攻击者挡在直达径中间时,Alice与Bob的RSS将产生巨大衰落,而当攻击者离开后,RSS将上升.通过这种方法,攻击者可以控制信道的变化,产生可预测的密钥.而在 AR协助的密钥生成方案中,尽管攻击者可以通过周期性的活动控制物理信道,但是攻击者并不能获得可预测的密钥信息.

(3)另一种方法是将信道密钥作为一个种子密钥,和时间戳一起输入随机数生成器[96].这样,即使信道密钥没有变化,每一次会话的时间戳不同,仍然可以产生不同的会话密钥.新的信道密钥产生后,再将种子密钥更新.这种方法结合了物理层的信道密钥生成方法和传统的密钥生成方法,在绝对安全和计算安全中做出折衷.这种方法理论简单,改造难度小,适合现有的工程应用.

3.2.3 防窃听性

防窃听性指的是攻击者能否根据信道观测值和公共信道传输的信息推断出信道密钥.

(1)首先,若窃听者Eve存在于Bob附近,当 Alice向Bob传送信号时,Eve同样也会获得信道状态信息.Eve能否窃听成功主要取决于她所观测的信道信息与Bob所观测的信道信息是否类似.Eve与Bob距离越近,窃听到的信道信息越多,窃听的可能性越大.因此,无线信道的空间变化性对信道密钥生成方法的安全性至关重要.Jake’s模型认为在一个均匀散射的非视距瑞利环境中,如果散射体的数目趋于无穷大,半波长以外的信号可以视作不相关[137].倘若窃听者想要有效地窃取该信道信息,就必须极其靠近合法通信的任意一方.而此时,窃听者在物理上暴露的风险也非常高.然而,半波长去相关假设并不普遍——在某些情况下,两个无线信道可以在更大的空间范围内高度相关[138].

(2)除了观测到的信道信息,窃听者还可以通过公共信道传输的信息推断信道密钥.为了提高密钥一致性,在预处理、量化及隐私放大步骤中,Alice与Bob都可能需要在公共信道上交互协商信息.例如,在 K-L预处理变换中,交互了协方差矩阵[139];在基于保护间隔的量化方案中,交互了需要抛弃的比特[99];在BBBSS调和协议中,交互了奇偶校验码[119].这些协商信息可能会引起密钥信息的泄漏,需要在隐私放大步骤去除泄露的信息.剩余哈希引理指出一个长度为n的均匀分布的随机密钥序列X,若合法接受者得知攻击者有能力得知其中t

(3)值得注意的是,剩余哈希引理中X是一个均匀分布的随机序列.如果X不是均匀分布的随机序列,那么安全密钥的长度将小于n−t比特.为了取得更丰富的密钥,通常采用多维度的信道信息.在多天线、多载波以及过采样系统中,信道特征测量值在空间域、频域和时域往往存在一定的自相关性.当自相关性过高时,如果对信道特征测量值不作处理,量化后的初始密钥中将存在严重的冗余,出现大量的长0和长 1.尽管在隐私放大环节,可以通过 Hash函数使输出散列的分布看上去更加随机,但是倘若Hash函数的输入信号分布不够随机,最终生成的密钥实质上是一个弱密钥.由于隐私放大环节中使用的 Hash函数是公开的,窃听者很有可能通过字典攻击等方法成功破解该密钥.尽管通过熵估计可以避免生成低熵的密钥,但是需要花费大量的资源在冗余信息的量化和信息调和上,密钥的生成效率非常低.针对这一问题,Patwari利用K-L变换将RSS变换为时域上互不相关的分量[99].Chen利用K-L变换去除了MIMO系统CSI的时域与空间域的相关性[112].文献[113]将信道特征测量值映射到小波域,此外,为了降低密钥的不一致率,仅选取部分低频分量用于密钥生成.Yasukawa提出利用DCT降低数据冗余,将功率谱集中到变换域一小部分低频分量上,再通过逆离散余弦变换 (Inverse Discrete Cosine Transform,IDCT)换得到压缩后的时频域信号[110].Gopinath在文献[111]中列举了现有的几种常见的预处理方法,并通过仿真和实验比较了这几种预处理方法在互易性增强和冗余性降低方面的性能.文献[139]分析了线性变换预处理对信道密钥生成方法的安全容量的影响,并证实了主成分分析(Principle Component Analysis,PCA)为最优的线性预处理方法.

3.3 进一步研究的问题

基于无线信道密钥生成方法还有很多重要问题有待进一步的探索.

• 信道密钥的安全性评估.现阶段信道密钥技术的安全性评估还很不完善.相较于传统的计算安全方法的评估机制,信道密钥技术缺乏一套完整的安全性评估体系.这也是阻碍该技术在实际中应用的主要问题之一.如何结合对信道环境建立模型,并在此基础上从理论与实测结果中评估生成密钥的安全等级是未来的研究重点.

• FDD模式下密钥生成方法的实验验证.现阶段已经出现了许多TDD模式下的利用无线信道特征产生密钥的方法,并在中低速率的移动场景下验证了其可行性.然而,由于上下行信道响应的互易性不理想,FDD模式下的该研究还基本处于空白阶段.尽管少量文献做出了理论探索,但是其有效性还未在实际环境中得到验证.

• 大规模天线阵列下的多用户密钥生成方法.现阶段的研究主要集中在单天线或者小规模天线单用户的场景中.随着天线数及用户数的增加,导频开销的增大,信道探测可能非常困难.此外,一些预处理方法的复杂度也会随之增高,如何将现有方法迁移到大规模天线下多用户的场景中是值得研究的问题.

• 静态环境中的信道密钥生成方法的研究.在无线信道密钥生成领域,静态环境下如何增加密钥的生成速率一直是一个研究难点.其原因是,无线信道密钥生成方法依赖于环境的变化性增加生成密钥的熵.目前结合人工随机源与信道随机源的密钥生成方法的安全性,尚未在信息论方面得到严密的数学证明.如何结合人工的方法,增加密钥的产生速率是值得进一步研究的内容.

• 组播信道下信道密钥生成方法的研究.目前的信道密钥生成方法大部分针对两两用户之间的通信.组播信道下,同组的多个用户如何利用信道密钥生成方法协商出统一的密钥是一个非常有价值的研究问题.

4 未来新应用

在过去的研究中,物理层安全技术已被建议用于异构网络接入检测,自组织网络中的 “一次一密”密钥生成,具有抗伪造、篡改、欺骗等攻击能力的主干网通信系统,无线目标监测,目标识别及定位等方面[60,62,141,142].根据物理层安全技术的特点,本文列举了未来该研究领域具备发展潜力的几个新应用方向.

4.1 假冒伪劣产品鉴别

如文献 [143]所述,随着电子元件供应链的全球化,零件来自各种供应商,其可靠性和安全性问题变得越来越复杂,如何检测假冒集成电路已成为电子元件供应链中的主要关注点.当关键系统由于使用假冒伪劣组件而开始出现故障时,对医疗、汽车、航天、银行、电网等诸多领域来说,可能会造成巨大的损失和悲剧性的结果,后果十分严重.目前,虽然已经有一些标准和程序可用于解决此类假冒零件的测试问题,然而,随着造假者不断升级造假工具和技术,假冒伪劣产品的复杂度越来越高,越来越难以发现,已经对全球电子元件供应链构成重大威胁[144].文献[144]对不同类型的假冒集成电路进行了分类,主要包括回收、重新标注、不符合规格/有缺陷、过度生产等.本文中的设备指纹方法对于识别和认证假冒伪劣产品具有很大的应用前景,主要用来识别类间差异.利用设备指纹打击假冒产品已经有了初步的研究和应用[145],其主要通过识别粘贴在物体上RFID标签来对抗造假行为.

针对回收的元件,由于它们是使用过的旧器件,由于磨损或老化,与全新组件相比,它们可能会具有不同的设备指纹.重新标记主要是通过去除低规格芯片的标记,使用伪造信息进行高规格芯片标注,例如从商业级芯片到工业级芯片的重新标注,从而获得假冒的更高规格的器件.高规格和低规格器件之间存在质量差异,例如低端放大器和高端放大器相比,其放大器非线性更加明显[146],不同质量的振荡器的时钟稳定性截然不同[17],因此,可以通过设备指纹技术来进行识别这些不同质量的器件.此外,不符合规格或者有缺陷的产品可能由于使用超出规格或者有缺陷的元件进行构建,其射频特性与合格产品有着明显差异,也可以通过设备指纹的方法进行检测.

4.2 可见光通信的设备认证

可见光通信技术(Visible Light Communication,VLC)利用荧光灯或发光二极管等发光响应速度快的特性,发出肉眼感受不到的高速明暗变化光信号来传输信息,最后利用光电转换器件接收该光信号并恢复出所传输的信息[147].可见光通信又被称为LiFi(Light Fidelity),无需光纤等有线信道的传输介质,在空气中直接传输光信号,因此不少人将其视为WiFi的替代者.相比WiFi,LiFi在传输速率、部署、成本、频谱资源、零电磁辐射、干扰等方面优势巨大,但在实际应用环境中,其安全性和易于阻隔的软肋也相当明显.可见光通信在室内无线接入、智能交通系统等方面的应用前景巨大.

目前,对于设备指纹在WiFi设备中的应用已经有了大量的研究[32,148],对于光纤以太网设备也开展了初步的研究[149].和已经研究的信号发射机相似,荧光灯和发光二极管等 LiFi信号发射机也存在一定的硬件误差,可以通过接收到的可见光信号来提取设备指纹作为LiFi设备的身份信息,从而提高LiFi的安全性.和其他比特层身份认证方案相比,物理层设备指纹不需要对现有的可见光通信设备进行额外的改造,成本更低,还可以节省通信资源.此外,和WiFi信号相比,LiFi信号的信道条件更好,一般具有直达径,而且不存在电磁干扰的问题.因此,在未来的实际应用中,LiFi的设备指纹鲁棒性更强,在 5G乃至6G中具有相当大的应用前景.

4.3 B5G/6G通信中的密钥生成

在B5G/6G通信中,通信速率和服务的用户数都显著增加.但与此同时,通信的环境也更加复杂,随之而来的信息安全问题层出不穷,包括空中窃听、隐私信息泄漏、远程控制用户终端等,严重阻碍了网络经济的发展.如何分配海量的终端接入设备的密钥并保障其存储密钥的安全性将是一个非常具有挑战性的任务.此外,由于预分配密钥一般存储在核心网内,基于传统安全机制的接入认证将需要通过核心网的交互以保障其安全性.这也进一步限制了超可靠、低时延通信的时效性能.另一方面,对海量的用户终端进行密钥的更新和管理也非常困难.

在未来的无线通信环境下,传统的 6 GHz以下频谱资源已经非常紧张.通信系统为了能够实现高速率通信,必然会使用高于6 GHz的频段,如毫米波频段进行通信.在毫米波频段,天线尺寸可以做的非常小,因此基站和用户通常配备大规模的天线阵列.此外,一个基站可以同时服务多个用户.现有无线信道密钥生成方法仅用于单用户小规模无线通信场景.如何突破现有的无线信道密钥生成技术,将研究拓展至多用户场景将是一个极其具有挑战性的工作[91].未来研究的重点在于提高多天线多用户系统中信道密钥的生成速率,并避免不同用户间密钥的重叠.

图6 移动终端的量子密钥分发模型Figure 6 Quantum key distribution for mobile terminals

4.4 “量子+ 无线”移动保密通信

近年来,随着千公里光纤量子通信骨干网工程“京沪干线”的建成及量子科学实验卫星“墨子号”的发射,量子保密通信得到了国内外的广泛关注.单个光量子不可分割和不可克隆等量子世界的奇特性质,保证了量子保密通信的安全性.然而,量子保密通信尽管可以保障固定的骨干网络中通信的绝对安全,却无法适用于地理位置分散、灵活多变的移动信息系统中.随着网络和技术朝着越来越宽带化的方向的发展,移动通信产业将走向真正的移动信息时代,伴随着5G时代车联网的普及,从量子加密网络中将量子密钥通过无线网络安全地分发到移动终端上成为了亟待解决的问题.如本文第3节所述,基于信道特性的无线物理层安全方法日趋成熟,可解决量子密钥分发的 “最后1公里”问题.图6示意了移动终端的量子密钥分发方案.该模型由量子加密网络与无线加密网络两部分组成,在量子加密网络部分,核心网与量子保密通信终端 (如基站等)通过量子信道产生初始密钥,并通过交互信道生成安全的量子密钥对.量子保密通信终端和量子加密终端利用无线信道的互易性进行信道特征提取,生成加解密密钥对,通过对量子密钥的加密传输,实现量子密钥分发过程中的保密通信.由于无线加密网络中的密钥对可以做到实时生成,一次一密,且无需通过交互信道进行密钥协商,因此最大程度上避免了信息的泄露,实现了保密通信.未来,通过构建“量子+无线”密钥安全分发体系,“一次一密”移动保密通信的实现将成为可能.

5 总结

本文详细综述了基于设备与信道特征的物理层安全方法.归纳了设备指纹的模型与识别/认证的经典流程,分析了设备指纹技术特色,从唯一性、鲁棒性、长时不变性、独立性、统一性和可移植性六个方面总结了近年来的研究进展,并指出对于传输环境和生成环境的鲁棒性、构建长期数据库研究老化效果、多带宽多协议设备的指纹统一性表达以及如何消除接收机指纹是将来研究的关注点.随后,阐述了基于信道特征的密钥产生流程,分析了信道密钥走向实用的关键要素,从密钥的一致性、随机性、防窃听性三个角度总结了该领域的研究进展,并指出未来需要在安全性评估、FDD实验、大规模多用户场景、静态环境、组播信道几个方面进一步研究.最后,根据设备指纹和信道密钥技术特点,本文还指出了在未来该领域的四个新应用方向.