本发明专利技术涉及一种基于物理层密钥的终端和接入网的双向认证增强方法,该方法含有下列步骤:A:核心网利用终端注册过程获取终端身份信息;B:终端和基站通过物理层密钥协商机制产生物理层密钥;C:核心网利用与终端身份信息相关的根密钥产生终端子密钥,并将其发送给基站;D:基站利用终端子密钥和物理层密钥产生基站认证数据,并将其发送给终端;E:终端利用根密钥、物理层密钥和基站认证数据对基站进行认证,并生成终端认证数据,将其发送给基站;F:基站利用终端认证数据对终端进行认证;G:终端和基站约定物理层密钥的更新周期;如更新周期到了,执行B;否则,执行G;本发明专利技术能够识别并抑制伪基站和伪终端的“透明转发”攻击。
【技术实现步骤摘要】
(一 )、
:本专利技术涉及一种通信过程中的认证方法,特别是涉及一种。( 二)、
技术介绍
:伪基站和伪终端的存在严重干扰和威胁着正常的蜂窝通信系统,对合法用户的信息安全带来了严峻挑战。目前的蜂窝通信体制普遍采用高层加密技术来防止合法用户信息的泄密。但是伪基站能够将合法终端纳入其管控之下,并利用伪终端的透明转发建立合法终端与合法基站之间的通道:在上行链路,伪基站接收合法用户的通信数据,并通过伪终端将接收数据“透明转发”给合法基站;在下行链路,伪终端接收合法基站的通信数据,并通过伪基站将接收数据“透明转发”给合法终端。合法基站和合法终端对这种类似“中继”的伪基站和伪终端工作方式是完全无感的。这种窃密方式利用了蜂窝通信体制的以下特点:I)终端身份信息,接入过程的开放性;2)终端仅对核心网进行认证,缺乏对接入网的认证;3)高层加密过程与传输链路无关。基于现有技术中存在的上述问题,迫切需要一种有效的认证技术解决方案,能够使得类似“透明转发”的攻击方式在蜂窝系统中无法实行。(三)、
技术实现思路
:本专利技术要解决的技术问题是:提供一种,该方法能够识别并抑制伪基站和伪终端的“透明转发”攻击。本专利技术的技术方案:一种,含有下列步骤:步骤A:核心网利用终端注册过程获取终端身份信息;步骤B:终端和基站通过物理层密钥协商机制产生物理层密钥;步骤C:核心网利用与终端身份信息相关的根密钥产生终端子密钥,并将终端子密钥发送给基站;步骤D:基站利用终端子密钥和物理层密钥产生基站认证数据,并将基站认证数据发送给终端;步骤E:终端利用根密钥、物理层密钥和基站认证数据对基站进行认证,并生成终端认证数据,将终端认证数据发送给基站;步骤F:基站利用终端认证数据对终端进行认证;步骤G:终端和基站根据无线信道变化的快慢约定物理层密钥的更新周期;如果更新周期到了,执行步骤B,实现持续认证;否则,执行步骤G。步骤A的具体步骤如下:步骤Al:终端发起注册请求;步骤A2:核心网利用注册请求获取终端身份信息。步骤B的具体步骤如下:步骤B1:终端和基站测量无线信道获得信道特征参数;步骤B2:终端和基站利用信道特征参数,通过协商机制产生一致性的物理层密钥。步骤C的具体步骤如下:步骤Cl:核心网利用步骤A中获得的终端身份信息获得对应的终端的根密钥;步骤C2:核心网生成终端子密钥,并将终端子密钥发送给基站。步骤D的具体步骤如下:步骤Dl:基站联合终端子密钥和步骤B产生的物理层密钥生成基站认证数据;步骤D2:基站将生成的基站认证数据发送给终端。步骤E的具体步骤如下:步骤El:终端利用根密钥和步骤B中获得的物理层密钥产生本地认证数据;步骤E2:终端通过比较本地认证数据和步骤D中获得的基站认证数据,对基站进行认证;步骤E3:如果认证通过,则终端生成认证数据发送给基站;如果认证失败,则终端执行拆链操作,切换至备选基站,并将当前基站认定为伪基站,结束全部认证过程;步骤F的具体步骤如下:步骤Fl:基站通过比较步骤D生成的基站认证数据和步骤E3中获得的终端认证数据,对终端进行认证;步骤F2:如果认证成功,执行步骤G ;如果认证失败,则基站执行拆链操作,将当前终端认定为伪终端,结束全部认证过程。本专利技术的有益效果:1、本专利技术利用物理层密钥与无线链路的强耦合和相关性,实现了认证数据和无线链路的强绑定,能够识别并抑制伪基站和伪终端的“透明转发”攻击。本专利技术引入了与无线链路相关的物理层密钥,使得加密认证与无线链路、节点产生强相关性,并通过与终端身份相关密钥的结合,实现了用户身份与节点、无线链路的统一,在源头抑制了类似“透明转发”的攻击方式。(四)、【附图说明】:图1为存在伪基站/伪终端的蜂窝通信场景示意图;图2为物理层密钥提取量化示意图;图3为物理层密钥协商示意图;图4为基站认证数据生成示意图;图5为认证过程示意图;图6为终端认证数据生成示意图。(五)、【具体实施方式】:含有下列步骤:步骤A:核心网利用终端注册过程获取终端身份信息;步骤B:终端和基站通过物理层密钥协商机制产生物理层密钥;步骤C:核心网利用与终端身份信息相关的根密钥产生终端子密钥,并将终端子密钥发送给基站;步骤D:基站利用终端子密钥和物理层密钥产生基站认证数据,并将基站认证数据发送给终端;步骤E:终端利用根密钥、物理层密钥和基站认证数据对基站进行认证,并生成终端认证数据,将终端认证数据发送给基站;步骤F:基站利用终端认证数据对终端进行认证;步骤G:终端和基站根据无线信道变化的快慢约定物理层密钥的更新周期;如果更新周期到了,执行步骤B,实现持续认证;否则,执行步骤G。步骤A的具体步骤如下:步骤Al:终端发起注册请求;步骤A2:核心网利用注册请求获取终端身份信息。步骤B的具体步骤如下:步骤B1:终端和基站测量无线信道获得信道特征参数;步骤B2:终端和基站利用信道特征参数,通过协商机制产生一致性的物理层密钥。步骤C的具体步骤如下:步骤Cl:核心网利用步骤A中获得的终端身份信息获得对应的终端的根密钥;步骤C2:核心网生成终端子密钥,并将终端子密钥发送给基站。步骤D的具体步骤如下:步骤Dl:基站联合终端子密钥和步骤B产生的物理层密钥生成基站认证数据;步骤D2:基站将生成的基站认证数据发送给终端。步骤E的具体步骤如下:步骤El:终端利用根密钥和步骤B中获得的物理层密钥产生本地认证数据;步骤E2:终端通过比较本地认证数据和步骤D中获得的基站认证数据,对基站进行认证;步骤E3:如果认证通过,则终端生成认证数据发送给基站;如果认证失败,则终端执行拆链操作,切换至备选基站,并将当前基站认定为伪基站,结束全部认证过程;步骤F的具体步骤如下:步骤Fl:基站通过比较步骤D生成的基站认证数据和步骤E3中获得的终端认证数据,对终端进行认证;步骤F2:如果认证成功,执行步骤G ;如果认证失败,则基站执行拆链操作,将当前终端认定为伪终端,结束全部认证过程。在步骤A中,终端向核心网发起注册过程,核心网单元MME提取终端的永久身份标识MSI,并将终端的MS1、服务网络标识SNID和网络类型通过认证数据请求消息发送给HSS。在步骤B中,在TDD工作模式下,终端通过对下行信道导频的测量获得信道参数(幅度),并按照本小区的系统配置发送上行导频信号,基站通过对导频的测量获得信道参数(幅度)。终端与基站通过测量信道,得到两个相关性较强的信道幅度随机变量Va和\。如图2所示,将Vb的取值区间等概地分成J个区间,并确定各区间的边界,如果Va和Vb的取值逼近边界,那么由于信道估计误差的存在,双方量化的初始不一致率将会增大,因此基站需要将量化区间再进行等分成子区间,将逼近边界的子区间索引值发送给终端,终端根据索引值修正己端的量化边界。虽然这个子区间的索引值能够被第三方获得,但由于所在的量化区间不会被泄露,因此,这种交互并不会降低合法双方量化结果的安全性。终端与基站将各自的量化序列每N1比特分为一组,双方都得到大小为N1XN2的二进制矩阵,然后终端通过公共信道向基站发送每组的奇偶校验比特,长度为N2。基站以同样的方式计算奇偶校验序列,并将其和终端发来的奇偶校验序列进行比较,如果校验比特一致,则双方暂时不做任何处理;如果不一致,则双方同时删除校验比特不一致的分组。本文档来自技高网...
【技术保护点】
一种基于物理层密钥的终端和接入网的双向认证增强方法,其特征是:含有下列步骤:步骤A:核心网利用终端注册过程获取终端身份信息;步骤B:终端和基站通过物理层密钥协商机制产生物理层密钥;步骤C:核心网利用与终端身份信息相关的根密钥产生终端子密钥,并将终端子密钥发送给基站;步骤D:基站利用终端子密钥和物理层密钥产生基站认证数据,并将基站认证数据发送给终端;步骤E:终端利用根密钥、物理层密钥和基站认证数据对基站进行认证,并生成终端认证数据,将终端认证数据发送给基站;步骤F:基站利用终端认证数据对终端进行认证;步骤G:终端和基站根据无线信道变化的快慢约定物理层密钥的更新周期;如果更新周期到了,执行步骤B;否则,执行步骤G。
【技术特征摘要】
1.一种基于物理层密钥的终端和接入网的双向认证增强方法,其特征是:含有下列步骤: 步骤A:核心网利用终端注册过程获取终端身份信息; 步骤B:终端和基站通过物理层密钥协商机制产生物理层密钥; 步骤C:核心网利用与终端身份信息相关的根密钥产生终端子密钥,并将终端子密钥发送给基站; 步骤D:基站利用终端子密钥和物理层密钥产生基站认证数据,并将基站认证数据发送给终端; 步骤E:终端利用根密钥、物理层密钥和基站认证数据对基站进行认证,并生成终端认证数据,将终端认证数据发送给基站; 步骤F:基站利用终端认证数据对终端进行认证; 步骤G:终端和基站根据无线信道变化的快慢约定物理层密钥的更新周期;如果更新周期到了,执行步骤B ;否则,执行步骤G。2.根据权利要求1所述的基于物理层密钥的终端和接入网的双向认证增强方法,其特征是:所述步骤A的具 体步骤如下: 步骤Al:终端发起注册请求; 步骤A2:核心网利用注册请求获取终端身份信息。3.根据权利要求1所述的基于物理层密钥的终端和接入网的双向认证增强方法,其特征是:所述步骤B的具体步骤如下: 步骤B1:终端和基站测量无线信道获得信道特征参数; 步骤B2:终端和基站利用信道特征参数,通过协商机制产生一致性的物理层密钥。4.根据权利要求1所述的...
【专利技术属性】
技术研发人员:彭建华,金梁,汤红波,黄开枝,刘彩霞,俞定玖,李明亮,赵华,郭淑明,罗文宇,钟州,郭素霞,宋华伟,
申请(专利权)人:中国人民解放军信息工程大学,
类型:发明
国别省市:河南;41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。