一种轻量级的5G接入认证方法技术

本发明专利技术公开了一种轻量级的5G接入认证方法：基站根据是否存有前一时刻用户链路的无线信道响应信息，明确终端用户是否为初次接入网络：如果终端用户是初次接入过程，则进行上层认证；如果终端用户不是初次接入认证，则从物理层导频中提取信道响应信息，进行比较，确定是否合法；当用户接入身份认证成功，允许用户接入；用户接入身份认证失败，用户将无法接入网络进行后续的数据传输与通信，认证过程结束。本发明专利技术在解决未来5G网络中兼顾高容量、高速率以及低成本的同时，海量的5G用户随时随地接入网络对网络安全接入身份认证机制带来的巨大挑战，通过以密钥为核心的上层认证与快捷、低复杂度的物理层认证机制共存，适应不同需求的选择。

【技术实现步骤摘要】

本专利技术属于无线通信安全
，涉及一种认证方法，尤其是一种轻量级的5G接入认证方法。
技术介绍
移动通信技术飞速发展，几乎每过10年就达到一个全新的技术时代。移动互联网从上个世纪80年代至今，已经历经了1G、2G、3G三个时代，实现了移动通信的爆发式增长，并成为连接人类社会与基础信息的网络。目前全球已经进入移动互联网时代，移动网民数量大规模增长，移动应用业务呈现“井喷式”的涌现，移动互联网规模增势迅猛，涉及人类生活的方方面面。移动互联网自产生至今，在世界范围内仍保持高速增长的态势，不论是移动终端用户规模还是各种日新月异的移动终端应用，增长势头都异常迅猛，尤其是移动端应用，正在向着多元化、规模化、智能化飞速发展。截止到2013年，全球手机上网用户已经超过20亿人，这说明移动互联网的普及率在全球范围内已经达到30％以上。随着4G网络的规模化商用，面向2020年及未来的第五代移动通信技术(5G)已经成为全球研发的热点。5G以更快的速度、更大的容量、更低的成本给用户提供更好的用户体验，同时也带来了更多的安全挑战，面临的安全威胁更加广泛。海量用户访问接入以及多层次异构融合网络给5G网络的接入带来了更高的安全要求。无线网络自身固有的开放特性与广播特性，决定了它要比传统的计
算机网络更容易遭受窃听、截取、干扰等各种攻击手段的威胁，而无线网络中的设备也更加容易被篡改。无线网络这些固有的问题极大地破坏了通信的完整性、机密性、可靠性与可用性。因此，需要通过附加的认证策略保证无线通信过程中的安全性与可靠性。传统的上层身份认证方法是基于密钥的加解密方案实现的，涉及到密集复杂计算，依赖于物理层以上的各层辅助，而且具体的加密与安全效果取决于密钥长度与加密的复杂程度，是资源消耗性的，对系统的性能有着比较高的要求。而在5G中要求对海量物联网设备的支撑，使得其不论从系统性能或者能耗上，均无法保证采用传统的上层接入身份认证方式进行5G中用户或者设备的接入身份认证。近年来，利用无线媒介和物理层一些独特性质的物理层认证(Physical Layer Authentication，PLA)机制被提出，这些性质包括无线衰落信道的唯一性、随机性和位置互异性等。利用物理层信道响应的时空唯一性，通过比较相干时间内的无线信道响应的相关性来实现连续的消息认证。由于上述操作仅仅涉及到简单的硬件操作，因此物理层认证具有计算复杂度低、能耗低、时延小等优点，但是物理层认证机制无法进行初始认证。物理层认证技术虽然在一定程度上避免了上层认证中沉重的复杂计算，通过对物理层提取唯一信道响应信息进行信息包的认证，但是只能对当前信息包与上次信息包是否为同一发送者进行鉴别，第一次的接入认证中仍然需要上层认证来提供接入者的身份信息。传统的上层接入认证方式虽然能够极大地保证用户接入的安全性，但是对用户以及网络具
有较高的性能需求。随着5G时代的到来，海量的用户接入网络，因此，未来移动网络需要一种快速、“轻重量”的身份认证安全机制。
技术实现思路
本专利技术的目的在于克服上述现有技术的缺点，提供一种轻量级的5G接入认证方法，其在解决未来5G网络中兼顾高容量、高速率以及低成本的同时，海量的5G用户随时随地接入网络对网络安全接入身份认证机制带来的巨大挑战，通过以密钥为核心的上层认证与快捷、低复杂度的物理层认证机制共存，适应不同需求的选择。本专利技术的目的是通过以下技术方案来实现的：这种轻量级的5G接入认证方法包括：(1)终端用户与网络进行通信时，基站根据是否存有前一时刻用户链路的无线信道响应信息，明确终端用户是否为初次接入网络，并告知终端用户：1)如果终端用户是初次接入过程，基站会对接入的终端用户进行上层认证，验证所接收到的数字证书、密钥等信息是否正确合法，如果正确，则用户身份认证成功；否则，用户身份认证失败；2)如果终端用户不是初次接入认证，基站会对接入的终端用户进行物理层认证：从物理层导频中提取信道响应信息，基站存有上一时刻从物理层中获取的信道响应信息，本次提取信道响应信息与上一时刻的信道响应信息进行比较；若当前传输信息的信道响应与已经认证的上一时刻合法路径的信道响应检验统计量差值小于门限值，则认为两个时刻发送的数据包来自于同一发送源，当前消息来自于合法发送者；否则认为
两个时刻发送的数据包来自不同的信息源，即当前信息来自于非法攻击者；(2)用户接入身份认证成功，允许用户接入；用户接入身份认证失败，用户将无法接入网络进行后续的数据传输与通信，认证过程结束。进一步，以上1)中，基站对接入的终端用户采用的传统上层认证方式为PKI认证；并且使用LDAP维护用户证书，使用OCSP进行在线证书状态查询。或者，当是初次接入时，在1)中，基站对接入的终端用户采用的传统上层认证方式为CBC-MAC认证。或者，当是初次接入时，在1)中，基站对接入的终端用户采用的传统上层认证方式为CHAP认证。或者，当是初次接入时，在1)中，基站对接入的终端用户采用的传统上层认证方式为PAP认证。本专利技术具有以下有益效果：本专利技术主要是将传统的上层认证与物理层认证相结合，取长补短，发挥出两种认证方式各自所特用的优势，有益效果主要有以下几个方面：1.在一定程度上缓解了由于复杂的密钥加解密对网络侧与用户侧造成的巨大压力，降低了对系统性能巨大的依赖性，同时也在一定程度上降低了用户设备的能耗。2.满足5G网络中对网络接入安全的要求，大大降低了接入身份认证的复杂度，加快了用户接入身份认证流程，在一定程度上提升了用户接入网络的安全性与可靠性。3.该跨层认证方案基于当前现有的两种方案整合而成，简单而且容易实现，对现有网络侧以及用户侧的改动较小，具有广泛的应用价值。4.本专利技术是基于现有认证机制的跨层认证机制，因此能够实现对现有认证方案的兼容与支持。附图说明图1未来5G场景图；图2本专利技术跨层认证的工作流程示意图。具体实施方式本专利技术的轻量级的5G接入认证方法包括：(1)终端用户与网络进行通信时，基站根据是否存有前一时刻用户链路的无线信道响应信息，明确终端用户是否为初次接入网络，并告知终端用户：1)如果终端用户是初次接入过程，基站会对接入的终端用户进行上层认证：验证所接收到的数字证书、密钥信息是否正确合法，如果正确，则用户身份认证成功；否则，用户身份认证失败；2)如果终端用户不是初次接入认证，基站会对接入的终端用户进行物理层认证：从物理层导频中提取信道响应信息，基站存有上一时刻从物理层中获取的信道响应信息，本次提取信道响应信息与上一时刻的信道响应信息进行比较；若当前传输信息的信道响应与已经认证的上一时刻合法路径的信道响应检验统计量差值小于门限值，则认为两个时刻发送的数据包来自于同一发送源，当前消息来自于合法发送者；否则认为两个时刻发送的数据包来自不同的信息源，即当前信息来自于非法攻击
者；(2)用户接入身份认证成功，允许用户接入；用户接入身份认证失败，用户将无法接入网络进行后续的数据传输与通信，认证过程结束。本专利技术的最佳实施例中：在终端用户初次接入过程中，基站对接入的终端用户采用的上层认证方式为PKI(Public Key Infrastructure，公钥基础设施)认证；并且使用LDAP(Lig本文档来自技高网...

【技术保护点】
一种轻量级的5G接入认证方法，其特征在于，(1)终端用户与网络进行通信时，基站根据是否存有前一时刻用户链路的无线信道响应信息，明确终端用户是否为初次接入网络，并告知终端用户：1)如果终端用户是初次接入过程，基站会对接入的终端用户进行上层认证：验证所接收到的数字证书、密钥信息是否正确合法，如果正确，则用户身份认证成功；否则，用户身份认证失败；2)如果终端用户不是初次接入认证，基站会对接入的终端用户进行物理层认证：从物理层导频中提取信道响应信息，基站存有上一时刻从物理层中获取的信道响应信息，本次提取信道响应信息与上一时刻的信道响应信息进行比较；若当前传输信息的信道响应与已经认证的上一时刻合法路径的信道响应检验统计量差值小于门限值，则认为两个时刻发送的数据包来自于同一发送源，当前消息来自于合法发送者；否则认为两个时刻发送的数据包来自不同的信息源，即当前信息来自于非法攻击者；(2)用户接入身份认证成功，允许用户接入；用户接入身份认证失败，用户将无法接入网络进行后续的数据传输与通信，认证过程结束。

【技术特征摘要】
1.一种轻量级的5G接入认证方法，其特征在于，(1)终端用户与网络进行通信时，基站根据是否存有前一时刻用户链路的无线信道响应信息，明确终端用户是否为初次接入网络，并告知终端用户：1)如果终端用户是初次接入过程，基站会对接入的终端用户进行上层认证：验证所接收到的数字证书、密钥信息是否正确合法，如果正确，则用户身份认证成功；否则，用户身份认证失败；2)如果终端用户不是初次接入认证，基站会对接入的终端用户进行物理层认证：从物理层导频中提取信道响应信息，基站存有上一时刻从物理层中获取的信道响应信息，本次提取信道响应信息与上一时刻的信道响应信息进行比较；若当前传输信息的信道响应与已经认证的上一时刻合法路径的信道响应检验统计量差值小于门限值，则认为两个时刻发送的数据包来自于同一发送源，当前消息来自于合法发送者；否则认为两个时刻发送的数据包来自不同的信息源，即当前信息来自于非法攻...

【专利技术属性】
技术研发人员：马敏，赵峰，李越，李然，马振明，程杨，
申请(专利权)人：西安大唐电信有限公司，
类型：发明
国别省市：陕西;61