逼近香农一次一密的6G内生安全机制白皮书

2023/3/92023/3/9逼近香农一次一密的6G内生安全机制白皮书TowardsOne-TimePadfor6GWhitepaper本白皮书主要探讨如何通过构筑逼近一次一密的内生安全机制为6G网络提供链路级的可信能力。白皮书首先分析了未来6G网络可能面临的安全风险，阐述了单纯依赖高层密码的现有安全体系的局限性，在此基础上提出：融合物理层安全技术和密码学理论的链路级内生安全机制是6G网络内生安全的有机组成部分。链路级内生安全机制的研究需要回答两个问题，一是“逼近一次一密的科学内涵及实现途径”；二是“链路级内生安全技术的落地场景与工程价值”。针对问题一，白皮书定义了逼近度和同步逼近度两个指标测度，来阐述逼近一次一密的科学含义，并给出了基于显式加密和隐式加密逼近一次一密的两条技术路径；针对问题二，白皮书总结了四类典型的应用场景，并通过实例说明了在这些典型场景下，融合物理层安全技术和密码学理论的内生安全机制如何成为无线网络系统性安全解决方案的有机部分。最后，白皮书指出了链路级内生安全机制研究中存在的开放问题，展望了未来的研究方向。本白皮书为国家重点研发计划重点专项“宽带通信和新型网络”项目“6G无线网络安全架构关键技术”（项目编号：逼近香农一次一密的6G内生安全机制白皮书v摘要 iii一、引言 1二、逼近一次一密的科学内涵 32.1逼近一次一密的研究动机 32.2逼近一次一密的内涵 32.3逼近一次一密的应用模式和工程价值 5三、逼近一次一密的实现途径 63.1基于显式加密的实现途径 63.2基于隐式加密的实现途径 10四、链路级安全机制在下一代无线网络中的应用 154.1应用场景1：安全上下文激活前的安全防护机制 154.2应用场景2：安全上下文激活后的安全增强机制 174.3应用场景3：安全测距 174.4应用场景4：无线感知 19五、结论与展望 22参考文献 23缩略语列表 261未来6G网络面临三大安全威胁：1）计算技术的不断进步对基于计算复杂性的密码学安全体系提出挑战：现代密码学基于经典计算复杂性理论构建，随着计算技术的发展，特别是量子计算的日益成熟，经典密码技术的安全性受到挑战。例如：利用电子计算机破解RSA密码系统的复杂度为亚指数级，而利用量子计算机实现上述目标的复杂度仅为多项式级（如：Shor算法）。为了应对量子攻击，学术界和产业界都在加紧研究后量子密码算法，然而，后量子密码算法的安全性从根本上讲也源于求解某一数学难题的困难性，随着数学理论的进步和先进算法的提出，其安全性也存在隐患。例如：2022年8月，鲁汶大学两名学者使用单核CPU，仅用1小时就破解了后量子密码算法SIDH，而该算法在此前十二年无人破解[1]。因此，面向量子威胁，迫切需要研发能够对抗量子攻击、提供持久安全的全新技术。2）无线信道的开放性导致信号传输易遭受攻击，蜂窝网络的空口防御机制需进一步完善：在安全上下文激活前，由于尚未建立安全保障机制，网络存在被攻击的风险[2]，例如，全球移动通信系统协会（GSMA）去年曾披露，初始随机接入可能被恶意攻击者利用来构造隐蔽通信信道，从而导致空口资源被滥用，并造成私密信息的泄露[2]。在安全上下文激活之后，加密和完整性保的安全防护能力有待增强，从而更好地抵御空口攻击，如伪基站、DoS、信令仿冒和中间人攻击等。文献[3]总结了蜂窝网络中21项安全威胁，其中14项与接入网有关，空口是网络攻击的主要突破口。如何强化无线网络的底层防御屏障，是6G网络安全需要解决的重要问题。3）定位、感知等新应用对信号层面的安全性提出新要求，而高层密码技术难以满足这一要求：除了要在5G的基础之上提供增强的用户体验之外，6G还将为诸多新应用赋能。由于缺乏信号层面的完整性保护机制，如果用于实现测距、定位的信号易被篡改，将在某些应用（如智能车钥匙、无接触支付）中导致严重后果，而高层加密难以解决上述问题。IEEE802.11、802.15等标准中对此类问题已进行了深入探讨[4]-[7]，充分说明了其重要的现实意义。另一方面，无线系统中特殊的测量信号可以用来实现感知，但公开的信号结构可能带来隐私和安全问题。例如，非逼近香农一次一密的6G内生安全机制白皮书2法推断用户行动轨迹，甚至对环境进行画像和重构，这会导致隐私的泄露。2022年8月，爱立信在3GPP提交了提案[8]，建议考虑感知安全问题，说明该问题已经受到业界关注。综上：单纯依赖于高层密码学的“外挂式”安全机制在6G时代将面临严峻挑战，亟待研究链路级的内生安全机制。链路级的安全内生体现在三个方面：1）安全资源内生：实现安全性的资源来自于通信系统内部（无线信道、随机噪声、终端硬件而不是通过外部派发。资源内生主要有两点优势，一是保障了随机性的丰富和持续供给，为实现强安全性提供了前提；二是最大限度规避了外部派发带来的安全隐患和额外开销。2）安全机制内生：安全和通信一体化设计。以往的安全机制都是贴膏药、打补丁的外挂式机制，安全协议附着于底层通信协议之上，而内生安全机制则是要实现通信和安全的一体化设计，通过融合物理层安全技术和密码学方法实现逼近一次一密的安全。机制内生主要有两点优势，一是简化协议流程，二是更容易从理论上对系统的安全性和通信性能做出统一而非割裂的评估。3）评估体系内生：经典的安全通信体系基于密码学构建，在密码学中，通常用安全强度刻画安全性，而安全强度由密钥长度和密码算法的计算复杂性共同决定。从本质上讲，安全强度是对求解一个数学问题复杂程度的度量，而并非是对通信系统本身提供安全通信能力强弱的度量。因此，我们需要建立新的评估方法学，从逼近一次一密的能力和效率等角度对通信系统固有的安全能力加以评估。逼近香农一次一密的6G内生安全机制白皮书32.1逼近一次一密的研究动机角度给出了完美安全（PerfectSecrecy）的定义，并指出：完美安全性可通过一次一密实现[9]。香农一次一密和经典密码学基于不同的思想实现通信安全。对香农一次一密来说，消息比特序列与密钥比特序列通过逐比特异或运算实现加密，加密算法非常简单，其完美安全性依赖于密钥的不断更新。与之相对，在经典密码学方案中，密钥长期不变，但加密算法非常复杂，攻击者在有限时间内无法破解，因此经典密码学技术是通过算法的高度复杂实现强安全，只要攻击者算力足够强大，仍然能够破解。香农一次一密能够抵御量子攻击，实现持久安全，但实现代价极高；密码学安全已广泛应用于实际系统，其工程可实现性毋庸置疑，但不足以应对量子攻击以及未来可能出现的新型攻击形式。面向6G量子威胁，并综合考虑安全性能和实现代价方面的因素，我们呼吁研究逼近一次一密完美安全的全新技术，为此需要首先科学定义什么是逼近一次一密。为了阐述逼近一次一密的内涵，本白皮书引入逼近度和同步逼近度两个指标测度，详述如下。1）逼近度的定义及内涵：逼近度(D)=(1)逼近度的倒数表示每比特密钥熵所能保护的信息比特数量。该定义具有较高的通用性。公式(1)中的“密钥”可以是由网络高层派发的，也可以是从信道或硬件设备中提取出的，还可以是利用物理层安全技术在窃听端引入的BER而生成的“等效密钥”。加密算法可以是目前已有的对称加密算法（如：AES也可以是物理层一次一密的方式，还可以是通过物理层安全方案结合随机性提取算法而形成的隐式加密方式。逼近度越高，安全强度越高：一方面，在分母不变的情况下，逼近度越高，意味着密钥熵越大，从而破解密码越困难；另一方面，对于给定的分子，逼近度越高，则意味着这些密钥比特保逼近香农一次一密的6G内生安全机制白皮书4护的信息比特越少，从而由于密钥被窃取所造成的信息泄露量也越少。当然，逼近度越高，实现代价也越大。对于高层加密算法，由于密钥长期不变，因此逼近度接近于0，其安全性完全依赖于加密算法的复杂性（计算安全对于一次一密，由于密钥量和信息量相同，因此逼近度为1（完美安全其安全性完全依赖于密钥的新鲜度。逼近度指标的局限性：逼近度能够刻画安全强度，但无法体现逼近效率。例如：待传输的信息量为1兆比特，需要1秒完成传输；为了达到逼近度1，需要产生1兆比特的密钥，但这些密钥的生成可能需要1个小时，因此，高逼近度的实现往往是以极大的通信效率损失为代价的。只不考虑代价，任何系统都可以达到逼近度1。这就意味着：系统所达到的逼近度其实是由设计方案决定的，逼近度的高低并不是系统内生安全能力的体现。在实际中，只有与信息速率匹配的逼近才是有意义的。为此，需要定义不同于逼近度的指标，用来刻画不同系统逼近一次一密能力的差异。2）同步逼近度的定义及内涵：同步逼近度(d)=单位时间提取的密钥熵（RK）单位时间传输的信息熵（RM）同步逼近度从本质上讲是对通信系统逼近一次一密能力（即内生安全能力）的度量。在信息传输速率给定的前提下（即：单位时间传输的信息熵给定），同步逼近度越高，意味着系统生成密钥的速率越高，即：系统越有能力实现与信息速率相匹配的高安全性。另一方面，同步逼近度也可以用于刻画系统逼近一次一密的效率。对于给定的目标逼近度（相应于安全强度要求），同步逼近度越高，意味着信息传输时间与密钥生成时间之比越高，这表明实现上述安全强度所引入的额外开销（overhead）越少。对于一个给定的通信系统，其信息传输速率（单位时间内传输的信息熵）是给定的。因此，为了提升同步逼近度，其关键在于如何基于环境和设备特征提取出足够多的随机密钥比特，形成物理共享熵，从而增大单位时间内提取的密钥熵。逼近香农一次一密的6G内生安全机制白皮书52.3逼近一次一密的应用模式和工程价值逼近一次一密潜在的应用模式和工程价值如下：a.沿用现有对称加密算法，同时结合频繁更新的密钥，实现强安全（例如：可实现“一包一密”一次一密逼近度介于0和1之间，如图1所示。需要强调的是，这并不是一种堆叠式的安全解决方案，即：并不是在现有高层加密的基础上在物理层再引入额外的加密操作，而是将物理层密钥提取和高层密码算法相结合的安全增强技术。b.通过实现安全资源的内生，可以在空口完成密钥更新，无须经过核心网，从而减少密钥更新的开销和时延。c.在物理层生成密钥，同时利用一次一密在物理层加密，可用于对短包的加密，与经典密码学方法相比，在实现和处理流程上更为简洁。密。e.逼近一次一密可以支持更细粒度的安全等级。可以根据内容定义更细致的安全等级，例如，对于安全等级极高且需要长久安全的数据采用一次一密的方式加密。逼近香农一次一密的6G内生安全机制白皮书6顾名思义，显式加密是指：首先利用无线环境和/或硬件设备特征生成密钥，然后再通过一次一密或高层密码学的方法完成加密。通过显式加密逼近一次一密的关键是如何实现与信息速率匹配的高速密钥生成。1）物理层密钥生成架构a.基于信道互易性的架构物理层密钥生成的主流架构是基于信道互易性的[10]，其基本思想是：通信双方基于各自的信道测量结果生成密钥。在假设信道满足互易性的前提下，通信双方在理论上可以生成一致的密钥。基于信道互易性的密钥生成架构如图2(a)所示，共包含信道测量、量化、信息调和、隐私放大四个主要步骤。首先通信双方进行信道测量获得CSI，接下来通过量化算法将CSI量化为二进制比特序列。由于实际中信道互易性不理想以及不可避免的信道估计误差的影响，双方生成的比特序列会存在一定程度的差异，因此需要经过信息调和来纠正双方比特序列中存在的不一致部分，这一步需要通过通信双方之间的交互来实现，存在信息泄露风险。隐私放大的作用是通过熵压缩去除泄露的信息量，确保最终生成的密钥比特满足私密性要求。基于信道互易性的经典架构的核心缺陷是：由于无线信道时频空域的高度相关性，基于信道特征生成密钥的方法难以在短时间内提取出数量足够多的随机密钥比特，即：经典架构的密钥生成速率远远低于信息传输速率[11]，与逼近一次一密的目标相去甚远。为此，受Diffie-Hellman密钥交换协议的思想启发，提出不依赖于信道特性的空口Diffie-Hellman密钥生成架构。空口Diffie-Hellman架构的核心思想是：使用器件噪声替代信道信息作为密钥生成的原材料，即：利用噪声熵（或者说终端熵）替代信道熵生成本地密钥，然后通过双向交互在通信双方之间实现本地密钥的共享，并生成全局密钥；在双向交互过程中，使用物理层安全传输技术保障本地密钥交互的安全性[12]。基于上述思想，空口Diffie-Hellman密钥生成协议包含四步：本地噪声提取、量化、双向安全交互和隐私放大，量化和隐私放大的作用与经典架构中对应的模块相同。逼近香农一次一密的6G内生安全机制白皮书7图2两种物理层密钥生成架构需要指出的是：基于显式加密的技术途径并非是完美安全的，无论采用上述何种密钥生成架构，密钥生成的过程都存在被窃听的风险。通过利用物理层安全传输技术及相应的后处理操作（例如：隐私放大能够最大限度地减少泄露的密钥比特数量，但仍然难以完全避免密钥比特的泄露。从这个意义上讲，显式加密方案所能达到的同步逼近度与一次一密所能达到的同步逼近度之间通常会存在差距，即：同步逼近度难以达到1。如何实现真正意义上的一次一密，仍然是一个值得深入研究的挑战难题。c.两种物理层密钥生成架构的对比基于信道互易性的密钥生成经典架构与空口Diffie-Hellman密钥生成架构的对比如表1所示。表1两种物理层密钥生成架构的对比密钥生成关键指标基于信道互易性的架构随机性低（信道在时频空域的强相关性导致）高（采用噪声作为密钥来源，随机性易保障）密钥生成速率低（每秒几比特至数百比特[11]，与逼近一次一密的要求相去甚远）高（由信息传输速率和噪声熵提取速率的最小值决定）密钥不一致率无保障（信息调和前很难一致，即使经过信息调和也无法确保生成一致的密钥）有保障（约等于误码率）密钥生成过程的安全性（抗窃听能力）弱（位于合法用户附近的窃听者可以生成高度相似的密钥）强（通过物理层安全技术交互本地熵源，难于被窃听）逼近香农一次一密的6G内生安全机制白皮书82）关键使能技术a.本地熵源提取（终端熵提取提取接收机热噪声（例如带外噪声或者利用硬件随机数发生器提取硬件内部的热噪声作为随机源。b.本地熵源双向安全交互：采用物理层安全传输技术实现本地随机熵源的双向安全交互，其实质是构造一个具有物理优势的窃听信道（wiretapchannel并利用物理层安全传输技术实现实现上述思想的具体技术方案有很多，例如，对于采用全双工通信的系统，可以设计如下基于星座旋转和人工干扰的安全传输方案：通信双方首先将待传输的本地密钥比特进行编码调制，形成复数调制符号；然后对待传输的复值符号进行星座旋转操作，将复值符号旋转某一适当的角度后再向实轴投影，只要该角度选取合适，投影后所得到的实信号就能够完全表征原始复星座的信息（如图3所示），因此可以仅传输实轴投影分量，这实质上是在信号空间内部构造出额外的自由度；这样，最终传输的复信号由两部分构成，实部承载上述投影值，虚部注入人工干扰信号。在合法接收端，在完成自干扰消除之后，对方发送的人工干扰与承载本地密钥的信息信号位于正交维度，解码性能不受影响；而在窃听节点处，得益于全双工传输所带来的信号叠加效果，人工干扰扩散至整个复平面，解码出现很高的误码平台，从而保障了传输的安全性。从如图4所示的信号星座图中可以直观看出该方案的效果。(a)合法用户接收星座图(b)窃听者接收星座图图4基于星座旋转的安全传输效果逼近香农一次一密的6G内生安全机制白皮书9c.两点说明：第一，双向交互过程中可能出现传输错误，可以通过传输错误指示字段来解决，接收者根据收到的错误指示字段删除错误分组即可；第二，在实际中，窃听节点处的误码率可能无法达到0.5，这仍然会导致少量密钥比特的泄露，隐私放大或其他熵压缩方案可解决这一问题。3）性能评估a.一次一密同步逼近度的理论分析结果采用传统的基于信道互易性的物理层密钥生成架构，一次一密同步逼近度通常低于10-3，而采用空口Diffie-Hellman密钥生成架构能够将一次一密同步逼近度提升几个数量级。例如，对于如前一小节所给出的具体方案，根据理论分析，一次一密同步逼近度大约为2：d=≈1−(3)在高信噪比条件下，同步逼近度趋近于1，表明了新架构能够满足高速率数据安全传输的需求。图5显式逼近一次一密技术方案实验验证效果为了评估物理层密钥生成新架构的性能，搭建了原型验证系统，并在实验室环境下进行了测试，合法用户和窃听节点处的界面如图5所示。实测结果表明：生成的密钥能够通过NIST随机2这里假设全双工系统能够执行理想的自干扰消除，且合法通信节点间的信道系数为1。逼近香农一次一密的6G内生安全机制白皮书性测试，且生成速率远高于基于信道互易性的传统架构，可满足逼近一次一密的要求。从直观效果来看，合法终端无误码，能够高质量恢复图像；窃听者星座图完全混淆，无法恢复图像。3.2基于隐式加密的实现途径隐式加密指无需专门的密钥生成、密钥交互和加密解密模块，而是直接利用无线信道的特性在窃听节点处引入高误码率，产生随机熵，使窃听者无法恢复信息，从而等效地起到加密的效果。从功能上讲，经典的物理层安全传输技术方案都可以被视作隐式加密技术，其局限性在于，一直以来缺乏科学且实用的测度对其安全性进行严谨的评估。在现有研究中，评价物理层安全技术安全性的指标测度有两类，一类是信息论测度，主要包括私密容量、私密中断概率等，这类测度主要是从信息论的角度分析安全传输的性能限，很难直接用于实际系统；另一类是误码率测度，即通过分析窃听节点处误码平台的有无和高低，来体现可达的安全等级，但这一测度从安全的角度来讲是不严谨的，例如，误码平台为0.2对应着多少比特的信息泄露？目前尚无理论工具解释说明这一问题。因此，在构建基于隐式加密的安全传输体系时要解决两个核心问题：一是给出不依赖于显式密钥生成和加密解密操作的物理层安全传输新架构，二是从逼近一次一密的角度对这一传输架构的安全性能进行科学且定量的评估。1）无密钥物理层安全传输架构图6无密钥物理层安全传输架构框图无密钥物理层安全传输架构如图6所示，由通信模块和安全模块组成，通信模块为图中蓝色部分，利用物理层安全传输技术（例如：安全波束成型+人工噪声方案[13]）实现信息传输并提供基础的安全能力；安全模块为黄色部分，由密码学方法构建，使系统达到可理论证明的安全强度。逼近香农一次一密的6G内生安全机制白皮书该架构融合了密码学方法（但与经典的加密解密不同）与物理层安全技术，目标是实现一种无密钥的内生安全机制。在该架构中，首先利用物理层安全技术在窃听节点处制造很高的误码平台（例如：大于0.1即：在窃听信道引入随机熵；在此基础上，在合法发射机引入预处理模块，该模块是一个随机性提取器，它能够提取并扩散物理层安全技术在窃听信道上引入的随机熵，得到近似均匀分布的等效密钥，用于使消息分组中的各个比特均获得可证明的安全强度。预处理模块的一个输入参数是窃听节点处的误码平台pe，该输入参数的作用是：根据物理层安全技术能够 在窃听端引入的误码水平来确定系统参数，如分组长度等（具体确定方法后面详述）。在实际系统中，窃听者的位置往往是未知的，但对于给定的物理层安全算法和窃听接收机模型，可以估算出对处于任意可能位置的窃听者所能造成的误码平台，所有这些可能窃听位置的误码平台下界即为前述pe。2）关键使能技术：随机性提取器在所提出的无密钥安全传输新架构中，核心模块是随机性提取器，对应于图6中的预处理部信道编码模块，可以采用通信系统中广泛使用的各类编码，如LDPC，Polar，等等。ECC模块不是随机性提取器的组成部分，这里只是为了构图的完整性，故将纠错模块绘制于此。随机性提取向熵提取器、双向熵提取器、压缩熵提取器，t0为一初始的随机向量。图7随机性提取器示例逼近香农一次一密的6G内生安全机制白皮书随机性提取器的工作原理如下所述：在一个分组内，通过双向熵提取器BRE提取和扩散在窃听信道上引入的随机熵，实现对分组内所有比特的保护，即：使物理层安全技术引入的随机误码得以在一个分组内扩散；在多个分组之间，通过压缩熵提取器CRE和单向熵提取器ORE累积前序分组的信道噪声熵，避免部分分组由于信道引入的随机熵不足而无法达到所须安全强度的问题。也就是说，即使窃听信道在某个分组内的信道条件很好从而使得当前分组内物理层安全技术无法引入足够的随机熵，但通过CRE和ORE仍然能够收集前序分组中的信道噪声熵，并将其引入的随机误码聚合扩散至当前分组。对图7给出的特定的随机性提取器而言，假设物理层安全算法在窃听节点处引入的误码平台为pe，计算复杂性意义下的安全等级为λ（即：破解一个分组所需的计算复杂度为2λ),则分组长度L应满足：由公式(4)可知，发射端分组长度的选取与物理层安全技术所能引入的误码平台以及目标安全等级有关。3）性能评估a.一次一密同步逼近度的理论分析结果对于隐式逼近一次一密的无密钥安全传输架构，容易知道，其同步逼近度等于逼近度。设分组长度为Lbits，每传输一比特信息由物理层误码在窃听节点处引入的最小熵为Hஶ(x|z)，则每个分组在窃听节点处引入的最小熵为：Hஶ(x|z)×Lbits，此即为一个分组内的等效密钥长 度。根据同步逼近度的定义可知，同步逼近度应为：根据信息论，可以推导出最小熵和误码率之间满足如下关系：其中，pୣ表示物理层安全算法在窃听节点处引入的误码平台。逼近香农一次一密的6G内生安全机制白皮书公式(6)给出了无密钥安全传输架构下系统一次一密同步逼近度的上界，即系统内生安全能力的上界。根据这一公式，还可以将安全强度与窃听节点处的误码平台关联起来。具体来讲，公式p≥1−2ିௗ因此，若系统对于安全性的要求为：d≥d,则物理层安全技术在窃听节点处所引入的误码平台应不低于为：1−2ିௗబ,根据这一条件，可以进一步设计相应的物理层安全传输算法。对于图7给出的随机性提取器而言，可以计算出，其同步逼近度为：λ/L。假设λ=256（即：攻击者破解每个分组的复杂度为2256），则：>若pୣ>若pୣ>若pୣ=0.5，则L至少为256，同步逼近度可达1（即：一次一密）。根据上述分析可知，基于所提出的无密钥安全传输架构，我们建立了窃听节点处误码平台和一次一密同步逼近度之间的映射关系，从而将通信性能指标BER和安全强度建立了联系，这就解决了如何科学评价物理层安全技术安全性的基本问题。在典型的三节点窃听信道仿真环境下，对无密钥安全传输架构的性能进行了数值仿真，合法接收机Bob和窃听者Eve处BER及PER的数值结果如表2所示。表2无密钥安全传输架构性能仿真结果BER_EVE_BEFORE_BEFORE_AFTERPER_EVE_AFTERBER_EVE_AFTER分组长度1.00E-030.20.90280.902810.53981.00E-030.30.77610.776110.52491.00E-030.40.64160.641610.51.00E-030.50.54210.542110.51.00E-040.20.21310.213110.53981.00E-040.30.1390.13910.52491.00E-040.40.10150.101510.51.00E-040.50.07460.074610.51.00E-050.20.02470.024710.53981.00E-050.30.01570.015710.52491.00E-050.40.01060.010610.51.00E-050.50.00780.007810.5表2中，XX_BEFORE表示没有采用随机性提取器时系统的性能，XX_AFTER表示引入随机性提取器之后系统的性能。由表2可知，结合物理层安全传输与随机性提取器的方案可以使Eve的BER达到0.5；合法接收端Bob的PER在增加预处理/后处理模块后没有变化，这表明随机性提取器的引入在提供安全性的同时不会影响合法链路的传输性能。逼近香农一次一密的6G内生安全机制白皮书面向以6G为代表的下一代无线网络，将物理层安全技术和密码学方法相融合，研发链路级内生安全机制具有非常重要的实际意义。一方面，针对通信的私密性（Confidentiality）需求，通过设计逼近一次一密的物理层安全通信新架构（如第三章所述），以有效应对量子威胁，为数据传输提供牢固、持久的安全屏障，并且简化协议架构和处理流程。另一方面，针对未来多样化场景对信号完整性（Integrity）和用户隐私（Privacy）提出的差异化需求，引入链路级安全技术，在某些高层密码学机制无法发挥作用的场景，为系统提供不可或缺的安全解决方案。本节将通过几个具体的示例，说明链路级安全机制的若干潜在应用场景，以及链路级安全技术在解决相关问题中的作用。4.1应用场景1：安全上下文激活前的安全防护机制对于蜂窝通信系统而言，在安全上下文激活前，由于尚未建立安全保障机制，网络存在被攻击的风险。例如：基站广播的控制信令易遭受窃听、仿冒和篡改等攻击，导致网络无法正常提供服务；初始随机接入可能被恶意攻击者利用来构造隐蔽通信信道，导致空口资源被滥用，并造成私密信息的泄露。链路级的物理层安全技术能够有效弥补上述安全短板，显著提升安全上下文激活前系统的安全性。下面将通过两个具体实例加以说明。4.1.1系统消息的安全防护在初始入网阶段，终端必须首先接收来自于基站空口广播的系统消息，才能与基站建立通信连接，而广播的系统消息是没有安全保护机制的，因此非常容易被伪基站获取并且仿冒。例如，一种典型的攻击形式称作子帧覆盖攻击，在这一攻击形式中，伪基站与目标基站同步后，仿冒特定的广播子帧消息，欺骗受害终端，由此导致的安全风险可能包括：终端主叫能力被禁、终端无法被叫、TAU信令风暴、虚假公共安全告警等。为了解决这一问题，可引入基于波束的签名方法，并且在不同波束扫描下对广播消息的签名周期进行自适应调整，从而在增强广播消息安全性的同时节省空口开销。4.1.2安全的初始随机接入逼近香农一次一密的6G内生安全机制白皮书初始随机接入用于为空闲态或去激活态的UE接入网络提供建立连接的机制，随机接入的基本流程如图8(a)所示。SPARROW攻击[14]是针对随机接入过程的一种攻击形式。在该攻击中，一对恶意用户（串谋用户1和串谋用户2）可利用Msg3和Msg4构造隐蔽通信通道，具体方法如图8(b)所示：由于Msg3的内容为UE随机生成的且传输恶意发射机（串谋用户1）可以通过Msg3给基站发送任何他想要传输的信息。如果在基站端无碰撞发生，或者有碰撞的情况下串谋用户1在竞争中胜出，那么Msg4的广播机制就会导致恶意接收机（串谋用户2）接收到串谋用户1发送的Msg3，从而实现串谋用户1和串谋用户2之间的隐蔽通信。这种隐蔽通信将会消耗空口资源，导致合法用户的接入成功率下降。上述安全问题为了解决上述问题，可以引入物理层自加密技术，设计一种安全内生的随机接入协议。其基本思想是，在基站解码出Msg3后，并不直接广播Msg3，而是首先利用Msg3生成控制比特，并利用控制比特决定待广播的Msg3中各个比特的调制星座图格式（即：各比特或比特组合到调制星座点的映射规则然后将格式受控的Msg3作为Msg4广播，各合法UE根据解码成功与否判断自身是否在RACH的竞争中胜出。对于串谋用户2来说，由于其未知Msg3，因此他不知道基站发送的Msg4中各个比特的映射规则，从而无法解码，只能进行随机猜测，这将导致极高的误码率，使得串谋用户之间的隐蔽通信无法成功。上述方案的实质是隐式传输Msg3，即消息本身作为密钥实现物理层自加密。图9以BPSK调制为例，说明了上述方案的基本思想。采用该方案，可以在合法用户接入成功率不受影响的前提下有效避免恶意用户滥用空口资源实现隐蔽通信，同时不引入额外的空口开销。图9控制比特生成方式及根据控制比特决定星座映射规则的方法4.2应用场景2：安全上下文激活后的安全增强机制在安全上下文激活后，现有通信系统虽然已经具有较为完备的安全防护机制，例如加密和完整性保护等，但这些安全保护策略通常部署于PDCP层（位于MAC层和PHY层之上底层（包括MAC、PHY）的安全防护能力有待增强，尤其是对于L1/L2空口控制信令的防护，物理层安全机制的引入显得尤为重要。安全上下文激活后的安全攻击也存在多种可能的场景，例如：攻击者可以监听合法基站的下行信号获取关键参数，在此基础上盲检基站下发的下行控制信息（DownlinkCont失效，从而导致短时延用户被转为普通用户，时延指标达不到特性要求。该问题正是由于L1信令缺乏完整性保护机制所造成的，为了解决这一问题，可以利用物理信道特性、物理层相关参数、用户级参数等生成完整性保护信息，以有效对抗信令的仿冒、篡改等恶意攻击。又如，根据3GPPTR33.809的分析[15]采用大功率重放合法目标基站的同步信号，会导致UE上报的测量报告中伪基站的信号功率大于服务小区信号功率，从而引起源站做出错误的切换决策，造成切换失败率上升。为此，可以通过设计基于信道特征的安全切换机制加以解决。4.3应用场景3：安全测距下一代无线网络是一个多制式共存的异构系统，蜂窝通信和短距无线技术将有机融合和高度互补，共同为用户提供优质服务。得益于其宽带特性，超宽带（Ultra-wideband，UWB）能够实现高精度的测距和定位，在汽车无钥匙门禁、无接触支付等领域具有广阔的应用前景。UWB系统利用飞行时间（Time-of-Flight,ToF）测量距离，从而天然具有对抗中继攻击的能力（ToF测逼近香农一次一密的6G内生安全机制白皮书进一步增强了UWB测距过程的安全性[17]。然而，随着各种新型攻击的出现，现有测距方案的安全性受到挑战。例如，文献[18]-[20]指出，攻击者通过发送虚假的伪随机测距脉冲序列，可以导致接收机对首径到达时间（Time-of-Arrival,ToA）的估计值提前，从而造成测距结果缩短。该问题已受到业界的关注和讨论。造成上述测距安全问题的核心原因在于：目前已有的测距方案缺乏完整性保护机制。值得注意的是，该问题无法通过高层密码学方法解决，因为攻击者无须解密合法发射机产生的测距序列，只需要在空口注入随机的测距脉冲串即可造成ToA估计值提前。为此，提出一种基于时间反转的内生测距方案，如图11所示。其核心思想是：引入物理层完整性保护机制，通过时间反转，构造具有时间聚焦特性的等效端到端信道，利用信道固有特性实现在波形层面签名，使攻击信号“无处遁形”，解决传统测距方案难于在复杂多径环境下识别攻击信号的难题；在此基础上，设计基于“量化-相关-判决”的接收机算法，实现测距信号的完整性校验，对测距过程是否遭受攻击做出判断，该算法复杂度低，易于工程实现。逼近香农一次一密的6G内生安全机制白皮书图11基于时间反转的安全测距方案4.4应用场景4：无线感知感知是未来6G的重要应用场景之一。感知中存在的安全和隐私问题主要来源于两个方面。第一，感知结果（如CSI测量报告）在传输过程中可能被窃听或篡改。第二，用来感知的测量信号（例如：导频）具有公开的信号结构，攻击者窃听测量信号，能够对物理环境进行感知（例如：推断用户运动轨迹、推断环境中物体的分布从而进行环境画像，等等存在泄露用户隐私的风险。其中，第一类问题可利用现有的加密和完整性保护方案加以解决，相对容易处理；第二类问题是感知服务引入的新问题，目前业界尚无系统性的解决方案。本报告中将围绕第二类问题提出几种可能的解决思路。图12基于仿射傅里叶变换的通信-感知-安全一体化波形思路之一是设计通信-感知-安全一体化波形[21]。如图12所示，该波形为基于仿射傅里叶变换（AffineFFT）的参数化波形，波形参数作为“密钥”，仅在合法通信双方之间共享，而对任何第三方来说均为未知。仿真结果表明，非法接收机观测到的是“杂散”的信号星座图，从而无逼近香农一次一密的6G内生安全机制白皮书法完成信道估计或解调合法链路的信号，因此，该波形在传递信息的同时能够提供安全机制。另一方面，图13的仿真结果表明，该波形的旁瓣特性相比于OFDM有较大优势，有助于提升感知效果。(a)Eve观测到的杂散星座图(b)不同波形图13通信-感知-安全一体化波形仿真结果解决无线感知中隐私保护问题的另一技术途径是，设计多站协同的联合感知方案，其核心思想如图14所示[22]。两个站点以协作的方式参与感知过程。整个感知过程由多轮组成，每轮包含两个时隙。在每个时隙内，站点1和（TX1）站点2（TX2）发送感知信号，具体做法如下：假设d}构成本轮内使用的码本，该码本的可选集合为：共8种可能，每一种可能对应的码本索引分别记作1~8。整个测距过程中每一轮使用的码本索引由接收机（RX）随机选取，并且RX将整个测距过程中各轮使用的码本索引加密发送给TX1和逼近香农一次一密的6G内生安全机制白皮书图14基于多站联合感知的隐私保护方案合法接收机RX对两个时隙的接收信号进行联合处理，完成信道冲激响应（ChannelImpulseResponse，CIR）估计。根据上述联合感知协议和所设计的码本特性可知：与单站感知相比，合法接收机执行CIR估计时可获得3dB的信噪比增益，从而能够提升感知精度；此外，可同时估计出信道响应函数h[n]和g[n]，从而获得对感知对象（物理环境）更为全面和完整的信息。窃听者Eve由于未知本轮使用的码本{a,b,c,d}，因此，根据其接收到的信号，将只能获得两个信道响应函数he[n]和ge[n]的线性组合，而无法推断出he[n]和ge[n]。在感知过程中的每一轮，采用的码本都不相同，Eve每一轮估计出的都会是he[n]和ge[n]的不同线性组合，这样，他无法通过对多轮获取的CIR估计值进行联立来推断CIR的变化规律，从而有效地保护了用户隐私。逼近香农一次一密的6G内生安全机制白皮书本白皮书从逼近一次一密的科学内涵入手，定义了逼近度与同步逼近度两个指标测度，分别用于刻画系统的安全强度和逼近一次一密的能力。在此基础上，提出了逼近一次一密的两条技术路线：显式加密和隐式加密。基于显式加密逼近一次一密的核心问题是，如何实现与信息速率相匹配的高速率密钥生成；为了