本发明专利技术涉及一种接入层和非接入层密钥安全隔离装置及其方法,该方法包含内容如下:终端和接入点基于双方无线通信信道特征,产生接入层密钥;终端和控制中心基于终端身份信息,产生非接入层密钥;接入层密钥的更新过程与非接入层密钥的更新过程完全独立,接入层密钥根据无线通信信道特征的变化随时更新。本发明专利技术利用无线信道的唯一性、互易性和时变性,在接入点和终端产生并更新管理用于接入层加密和完整性保护的物理层密钥,而在安全控制中心和终端产生并更新管理基于终端身份的非接入层加密和完整性保护密钥,不仅实现了接入层和非接入层密钥的安全隔离,提高了无线通信的安全性,而且避免了接入层密钥的分发,提高了系统传输效率。
【技术实现步骤摘要】
本专利技术属于通信
,特别涉及一种接入层和非接入层密钥安全隔离装置及其方法。
技术介绍
目前,移动通信网络的IP化使得核心网变得更具开放性,应用开发商以及互动性业务会对核心网和数据库进行更多的接入,而且IP技术的应用使窃密者能通过对网络设备的软硬件改造,模仿、伪装、篡改核心网网络节点,达到非法监听或窃取数据的目的。其次,目前的移动通信系统中接入层密钥或其生成参数是由核心网节点通过终端身份信息产生并分发到接入点的,因此核心网节点存储有接入层密钥或其生成参数。所以攻击者通过核心网攻击,不仅可以获取非接入层的密钥,还可以获取接入层的密钥。基于现有技术中存在的上述问题,迫切需要一种接入层与非接入层的密钥安全隔离方案,能够使得类似由核心网窃取接入网密钥的攻击方式在无线通信网络系统中无法实行。
技术实现思路
为克服现有技术中的不足,本专利技术提供一种接入层和非接入层密钥安全隔离装置及其方法,通过与无线链路相关的、不需要分发的物理层密钥,使得终端和接入点能够不依赖核心网,独立产生与无线链路、节点强相关性的加密和完整性保护密钥作为接入层密钥;而终端和核心网协商使用与身份信息强相关的加密和完整性保护密钥作为非接入层密钥,实现了接入层密钥和非接入层密钥的物理隔离,在源头抑制了由核心网窃取接入网密钥的攻击方式,有效保证网络通信安全。按照本专利技术所提供的设计方案,一种接入层和非接入层密钥安全隔离装置,包含密钥生成模块、密钥更新模块,所述密钥生成模块包含相互之间独立生成密钥的接入层密钥生成单元、非接入层密钥生成单元,其中,接入层密钥生成单元,终端和接入点基于双方无线通信信道特征产生用于在终端和接入点之间空中通信链路使用的接入层密钥;非接入层密钥生成单元,终端和控制中心基于终端身份信息产生用于在终端与控制中心之间通信链路使用的非接入层密钥;密钥更新模块包含相互之间独立完成密钥更新的接入层密钥更新单元、非接入层密钥更新单元,其中,接入层密钥更新单元,根据无线通信信道特征变化随时更新接入层密钥;非接入层密钥更新单元,基于终端身份信息并通过非接入层密钥生成单元重新产生非接入层密钥完成非接入层密钥的更新。上述的,所述接入层密钥为不需要第三方参与且不需要分发的物理层密钥。一种接入层和非接入层密钥安全隔离方法,包含如下步骤:步骤A、密钥生成,终端和接入点基于双方无线通信信道特征产生接入层密钥;终端和控制中心基于终端身份信息产生非接入层密钥;接入层密钥的产生和非接入层密钥的产生两者相互独立完成;步骤B、密钥使用,接入层密钥在终端与接入点之间的空中通信链路中完成信息加密和完整性保护;非接入层密钥在终端与控制中心之间的通信链路中进行信息的加密和完整性保护;步骤C、密钥更新,接入层密钥根据无线通信信道特征变化随时重新生成接入层密钥进行密钥更新;非接入层密钥基于终端身份信息通过重新生成非接入层密钥进行密钥更新;接入层密钥的更新和非接入层密钥的更新两者相互独立进行。上述的,步骤A中终端和接入点基于双方无线通信信道特征产生接入层密钥,具体包含如下内容:步骤A1、终端和接入点在同一时隙分别互相发送预先约定好的发送信号;步骤A2:终端和接入点根据接收到的信号和步骤A1中预先约定好的发送信号,分别得到第一信道冲击响应和第二信道冲击响应;步骤A3:终端和接入点分别对信道冲击响应的某个特征进行特征测量,并对特征测量的测量值按照预先设定规则进行量化处理,分别得到对应的信道特征信息;步骤A4:终端和接入点分别根据各自得到的信道特征信息生成预定长度的物理层密钥序列,并通过保密协商使得双方的密钥序列达到一致;步骤A5:终端和接入点对协商后的密钥序列进行隐私放大处理,处理后的密钥序列作为接入层密钥。上述的,步骤A中的终端和控制中心基于终端身份信息产生非接入层密钥,具体包含如下内容:步骤a1:终端利用生成的接入层密钥向接入点加密传输终端身份信息;步骤a2:接入点将终端身份信息上报给控制中心;步骤a3:控制中心根据终端身份信息,查找该用户的根密钥;步骤a4:控制中心利用该用户根密钥,根据预先约定算法生成非接入层密钥。本专利技术的有益效果:1、本专利技术通过与无线链路相关的、不需要分发的物理层密钥,使得终端和接入点能够不依赖核心网,独立产生与无线链路、节点强相关性的加密和完整性保护密钥作为接入层密钥;而终端和核心网协商使用与身份信息强相关的加密和完整性保护密钥作为非接入层密钥,实现了接入层密钥和非接入层密钥的物理隔离,在源头抑制了由核心网窃取接入网密钥的攻击方式,有效保证网络通信的安全。2、本专利技术利用无线信道的唯一性、互易性和时变性,在接入点和终端产生并更新管理用于接入层加密和完整性保护的物理层密钥,而在安全控制中心和终端产生并更新管理基于终端身份的非接入层加密和完整性保护密钥,不仅实现了接入层和非接入层密钥的安全隔离,提高了无线通信的安全性,而且避免了接入层密钥的分发,提高了系统传输效率。附图说明:图1为本专利技术的装置示意图;图2为本专利技术的方法流程示意图;图3为实施例三中具体的实例流程示意图;图4为实施例三中存在窃听者和攻击者的通信场景示意图;图5为实施例三中无线信道特征量化示意图;图6为实施例三中密钥序列协商示意图;图7为实施例三中隔离过程示意图。具体实施方式:下面结合附图和技术方案对本专利技术作进一步详细的说明,并通过优选的实施例详细说明本专利技术的实施方式,但本专利技术的实施方式并不限于此。实施例一,参见图1所示,一种接入层和非接入层密钥安全隔离装置,包含密钥生成模块、密钥更新模块,所述密钥生成模块包含相互之间独立生成密钥的接入层密钥生成单元、非接入层密钥生成单元,其中,接入层密钥生成单元,终端和接入点基于双方无线通信信道特征产生用于在终端和接入点之间空中通信链路使用的接入层密钥;非接入层密钥生成单元,终端和控制中心基于终端身份信息产生用于在终端与控制中心之间通信链路使用的非接入层密钥;密钥更新模块包含相互之间独立完成密钥更新的接入层密钥更新单元、非接入层密钥更新单元,其中,接入层密钥更新单元,根据无线通信信道特征变化随时更新接入层密钥;非接入层密钥更新单元,基于终端身份信息并通过非接入层密钥生成单元重新产生非接入层密钥完成非接入层密钥的更新。上述的,所述接入层密钥为不需要第三方参与且不需要分发的物理层密钥。本专利技术通过接入层密钥和非接入层密钥之间相互独立产生与更新,在源头抑制了由核心网窃取接入网密钥的攻击方式,有效保证网络通信的安全。实施例二,参见图1~2所示,一种接入层和非接入层密钥安全隔离方法,包含如下步骤:步骤A、密钥生成,终端和接入点基于双方无线通信信道特征产生接入层密钥;终端和控制中心基于终端身份信息产生非接入层密钥;接入层密钥的产生和非接入层密钥的产生两者相互独立完成;步骤B、密钥使用,接入层密钥在终端与接入点之间的空中通信链路中完成信息加密和完整性保护;非接入层密钥在终端与控制中心之间的通信链路中进行信息的加密和完整性保护;步骤C、密钥更新,接入层密钥根据无线通信信道特征变化随时重新生成接入层密钥进行密钥更新;非接入层密钥基于终端身份信息通过重新生成非接入层密钥进行密钥更新;接入层密钥的更新和非接入层密钥的更新两者相互独立进行。本专利技术通过与无线链路相关的、不需要分发的物理本文档来自技高网...
【技术保护点】
一种接入层和非接入层密钥安全隔离装置,包含密钥生成模块、密钥更新模块,其特征在于:所述密钥生成模块包含相互之间独立生成密钥的接入层密钥生成单元、非接入层密钥生成单元,其中,接入层密钥生成单元,终端和接入点基于双方无线通信信道特征产生用于在终端和接入点之间空中通信链路使用的接入层密钥;非接入层密钥生成单元,终端和控制中心基于终端身份信息产生用于在终端与控制中心之间通信链路使用的非接入层密钥;密钥更新模块包含相互之间独立完成密钥更新的接入层密钥更新单元、非接入层密钥更新单元,其中,接入层密钥更新单元,根据无线通信信道特征变化随时更新接入层密钥;非接入层密钥更新单元,基于终端身份信息重新产生非接入层密钥并完成非接入层密钥的更新。
【技术特征摘要】
1.一种接入层和非接入层密钥安全隔离装置,包含密钥生成模块、密钥更新模块,其特征在于:所述密钥生成模块包含相互之间独立生成密钥的接入层密钥生成单元、非接入层密钥生成单元,其中,接入层密钥生成单元,终端和接入点基于双方无线通信信道特征产生用于在终端和接入点之间空中通信链路使用的接入层密钥;非接入层密钥生成单元,终端和控制中心基于终端身份信息产生用于在终端与控制中心之间通信链路使用的非接入层密钥;密钥更新模块包含相互之间独立完成密钥更新的接入层密钥更新单元、非接入层密钥更新单元,其中,接入层密钥更新单元,根据无线通信信道特征变化随时更新接入层密钥;非接入层密钥更新单元,基于终端身份信息重新产生非接入层密钥并完成非接入层密钥的更新。2.根据权利要求1所述的接入层和非接入层密钥安全隔离装置,其特征在于:所述接入层密钥为不需要第三方参与且不需要分发的物理层密钥。3.一种接入层和非接入层密钥安全隔离方法,包含如下步骤:步骤A、密钥生成,终端和接入点基于双方无线通信信道特征产生接入层密钥;终端和控制中心基于终端身份信息产生非接入层密钥;接入层密钥的产生和非接入层密钥的产生两者相互独立完成;步骤B、密钥使用,接入层密钥在终端与接入点之间的空中通信链路中完成信息的加密和完整性保护;非接入层密钥在终端与控制中心之间的通信链路中进行信息的加密和完整性保护;步骤C、密钥更新,接入层密钥根据无线通信信道特征变化随时重新生...
【专利技术属性】
技术研发人员:赵华,金梁,黄开枝,汤红波,朱可云,周游,王晓雷,钟州,游伟,杨梅樾,赵宇,陈丹,
申请(专利权)人:中国人民解放军信息工程大学,
类型:发明
国别省市:河南;41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。