一种基于信道秘钥的加密方法及装置制造方法及图纸

本申请提供一种基于信道秘钥的加密方法及装置，涉及通信技术领域，解决了现有技术中终端在安全模式启动之前无法避免伪基站的攻击，传输数据存在安全隐患的问题。该方法包括：网络设备广播系统信息块，用于指示支持信道密钥生成，系统信息块包括前导码和物理随机接入信道的资源配置；在物理随机接入信道接收来自用户设备的第一消息，第一消息包括所述前导码；向用户设备发送第二消息，第二消息包括第一时频资源的配置信息；在第一时频资源接收来自用户设备的第三消息；根据第三消息进行信道测量得到信道密钥，所述信道秘钥用于网络设备与用户设备之间在安全模式启动之前进行数据加密和完整性保护。加密和完整性保护。加密和完整性保护。

【技术实现步骤摘要】
一种基于信道秘钥的加密方法及装置


[0001]本申请涉及通信
，尤其涉及一种基于信道秘钥的加密方法及装置。

技术介绍

[0002]目前，威胁无线通信安全的一种常见手段是伪基站攻击，伪基站是一种不合法的基站，通常可由简易的无线设备和专用开源软件组成，通过模拟基站向目标终端发送信令，获取目标终端的相关信息，还可能截获基站和目标终端之间的通信内容，从而对用户的隐私数据进行监听。
[0003]为保证基站与终端之间的通信安全，基站可以在终端初始接入之后，启动安全模式，向终端发送加密秘钥以及实现完整性保护的完整性保护密钥KEY等参数，从而后续基站和终端之间的信令交互可以基于加密秘钥对传输数据进行加密，以实现数据加密和空口完整性保护。其中，空口完整性保护是指，发送端可以基于规律变化的参数与传输数据结合一定运算，得到完整性消息鉴权码(message authentication code for integrity，MAC
‑
I)。相对应的，接收端可以采用同样的参数，使用相同规则计算得到完整性消息认证码(expected MAC
‑
I，XMAC
‑
I)，通过对MAC
‑
I和XMAC
‑
I进行校验，以确定接收的数据是否完整，从而达到对数据完整性进行保护的目的。
[0004]但是，目前在基站向终端发送加密密钥和完整性保护密钥KEY之前，基站与终端之间交互的信令是没有进行数据加密和完整性保护的，从而伪基站可以窃听信令，例如获取网络切片种类信息等。另外，安全模式启动之后，伪基站还可以通过中间人攻击方式进行攻击，通过伪基站或伪终端透传上层加密信令，或者采取丢包的方式进行攻击，影响用户的业务体验，此时终端很难识别出攻击的存在。

技术实现思路

[0005]本申请提供一种基于信道秘钥的加密方法及装置，解决了现有技术中终端在安全模式启动之前无法避免伪基站的攻击，传输数据存在安全隐患的问题。
[0006]为达到上述目的，本申请采用如下技术方案：
[0007]第一方面，提供一种基于信道秘钥的加密方法，应用于网络设备，该方法包括：广播系统信息块，用于指示支持信道密钥生成，所述系统信息块包括前导码和物理随机接入信道的资源配置；在所述物理随机接入信道接收来自用户设备的第一消息，所述第一消息包括所述前导码；向所述用户设备发送第二消息，所述第二消息包括第一时频资源的配置信息；在所述第一时频资源接收来自所述用户设备的第三消息；根据所述第三消息进行信道测量得到信道密钥，所述信道秘钥用于所述网络设备与所述用户设备之间在安全模式启动之前进行数据加密和完整性保护。
[0008]基于上述方法，通过在随机接入过程中，用户设备和网络设备之间完成了信道秘钥生成能力对齐，并各自完成了基于信道测量的信道密钥生成，从而可以在安全模式启动之前，用户设备和网络设备可以利用生成的信道密钥进行信息加密和数据完整性保护，保
证通信安全。
[0009]在一种可能的实现方式中，该方法还包括：根据所述第一消息确定所述用户设备具备信道秘钥生成能力。
[0010]基于上述方法，网络设备通过广播的系统信息块中为用户配置专用的PRACH资源和/或专用前导码，从而当用户设备具备信道秘钥生成能力的时候，可以使用网络设备配置的专用PRACH资源发送第一消息，从而网络设备可以根据第一消息确定用户设备的信道秘钥生成能力，提高通信双方依据信道秘钥进行安全保护的灵活性。
[0011]在一种可能的实现方式中，根据所述第三消息进行信道测量得到信道密钥，具体包括：根据所述第二消息中的解调参考信号进行信道测量，得到所述信道密钥。
[0012]第二方面，提供一种基于信道秘钥的加密方法，应用于用户设备，该方法包括：接收系统信息块，所述系统信息块用于指示所述网络设备支持信道密钥生成，所述系统信息块包括前导码和物理随机接入信道的资源配置；通过所述物理随机接入信道向网络设备发送第一消息，所述第一消息包括所述前导码；接收来自所述网络设备的第二消息，所述第二消息包括第一时频资源的配置信息；根据所述第二消息进行信道测量得到信道密钥，所述信道秘钥用于所述网络设备与所述用户设备之间在安全模式启动之前进行数据加密和完整性保护；在所述第一时频资源上向所述网络设备发送第三消息。
[0013]基于上述方法，通过在随机接入过程中，用户设备和网络设备之间完成了信道秘钥生成能力对齐，并各自完成了基于信道测量的信道密钥生成，从而可以在安全模式启动之前，用户设备和网络设备可以利用生成的信道密钥进行信息加密和数据完整性保护，保证通信安全。
[0014]在一种可能的实现方式中，根据所述第二消息进行信道测量得到信道密钥，具体包括：根据所述第二消息中的解调参考信号进行信道测量，得到所述信道密钥。
[0015]第三方面，提供一种基于信道秘钥的加密方法，应用于用户设备，该方法包括：向网络设备发送第一通知信息，所述第一通知信息用于指示所述用户设备具备信道秘钥生成能力；接收来自网络设备的信道密钥配置信息，所述信道密钥配置信息包括参考信号配置信息，以及密钥量化和校准方法；根据所述参考信号进行信道测量，得到第一信道密钥；根据所述第一信道秘钥以及所述网络设备配置的加密秘钥得到第一目标密钥，所述第一目标密钥用于所述网络设备与所述用户设备之间进行数据加密和完整性保护；或者，根据所述网络设备配置的加密秘钥对所述第一信道密钥进行加密，并向所述网络设备发送所述加密秘钥加密后的所述第一信道密钥；或者，接收来自所述网络设备的第二信道秘钥，用于所述网络设备进行信道秘钥的验证，其中，所述第二信道秘钥通过所述加密秘钥进行加密。
[0016]基于上述方法，通过用户设备与网络设备进行用户设备支持能力的交互过程中对齐信道秘钥生成能力，并且通过配置专用的参考信号用于信道秘钥的生成，用户设备与网络设备之间的信息交互可以通过将生成信道秘钥与高层配置的加密秘钥进行结合来加密，完成数据加密传输和完整性保护；或者，用户设备与网络设备之间可以交换各自生成信道秘钥并进行验证，从而可以有效识别中间人探测，避免丢包等信息安全隐患。
[0017]在一种可能的实现方式中，向网络设备发送第一通知信息之前，所述方法包括：接收来自网络设备的第一请求信息，所述第一请求信息用于请求所述用户设备上报是否支持信道密钥生成能力。
[0018]基于上述方法，用户设备可以根据网络设备的请求向网络设备上报自身的信道秘钥生成能力，从而提高用户设备与网络设备之前对齐信道秘钥生成能力的灵活性，基于信道秘钥来提高通信安全，避免中间人攻击。
[0019]在一种可能的实现方式中，向网络设备发送第一通知信息之前，所述方法包括：与所述网络设备成功建立RRC连接，接收到来自所述网络设备的加密秘钥和完整性保护密钥。
[0020]在一种可能的实现方式中，该方法还包括：根据所述第一目标密钥对接收的消息进行解密，如果解密失败，则将所述消息丢包。
[0021]基本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于信道秘钥的加密方法，其特征在于，应用于网络设备，所述方法包括：广播系统信息块，用于指示支持信道密钥生成，所述系统信息块包括前导码和物理随机接入信道的资源配置；在所述物理随机接入信道接收来自用户设备的第一消息，所述第一消息包括所述前导码；向所述用户设备发送第二消息，所述第二消息包括第一时频资源的配置信息；在所述第一时频资源接收来自所述用户设备的第三消息；根据所述第三消息进行信道测量得到信道密钥，所述信道秘钥用于所述网络设备与所述用户设备之间在安全模式启动之前进行数据加密和完整性保护。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：根据所述第一消息确定所述用户设备具备信道秘钥生成能力。3.根据权利要求1或2所述的方法，其特征在于，所述根据所述第三消息进行信道测量得到信道密钥，具体包括：根据所述第二消息中的解调参考信号进行信道测量，得到所述信道密钥。4.一种基于信道秘钥的加密方法，其特征在于，应用于用户设备，所述方法包括：接收系统信息块，所述系统信息块用于指示所述网络设备支持信道密钥生成，所述系统信息块包括前导码和物理随机接入信道的资源配置；通过所述物理随机接入信道向网络设备发送第一消息，所述第一消息包括所述前导码；接收来自所述网络设备的第二消息，所述第二消息包括第一时频资源的配置信息；根据所述第二消息进行信道测量得到信道密钥，所述信道秘钥用于所述网络设备与所述用户设备之间在安全模式启动之前进行数据加密和完整性保护；在所述第一时频资源上向所述网络设备发送第三消息。5.根据权利要求4所述的方法，其特征在于，根据所述第二消息进行信道测量得到信道密钥，具体包括：根据所述第二消息中的解调参考信号进行信道测量，得到所述信道密钥。6.一种基于信道秘钥的加密方法，其特征在于，应用于用户设备，所述方法包括：向网络设备发送第一通知信息，所述第一通知信息用于指示所述用户设备具备信道秘钥生成能力；接收来自网络设备的信道密钥配置信息，所述信道密钥配置信息包括参考信号配置信息，以及密钥量化和校准方法；根据所述参考信号进行信道测量，得到第一信道密钥；根据所述第一信道秘钥以及所述网络设备配置的加密秘钥得到第一目标密钥，所述第一目标密钥用于所述网络设备与所述用户设备之间进行数据加密和完整性保护；或者，根据所述网络设备配置的加密秘钥对所述第一信道密钥进行加密，并向所述网络设备发送所述加密秘钥加密后的所述第一信道密钥；或者，接收来自所述网络设备的第二信道秘钥，用于所述用户设备进行信道秘钥的验证，其中，所述第二信道秘钥通过所述加密秘钥进行加密。7.根据权利要求6所述的方法，其特征在于，向网络设备发送第一通知信息之前，所述
方法包括：接收来自网络设备的第一请求信息，所述第一请求信息用于请求所述用户设备上报是否支持信道密钥生成能力。8.根据权利要求6或7所述的方法，其特征在于，向网络设备发送第一通知信息之前，所述方法包括：与所述网络设备成功建立RRC连接，接收到来自所述网络设备的加密秘钥和完整性保护密钥。9.根据权利要求6
‑
8任一项所述的方法，其特征在于，所述方法还包括：根据所述第一目标密钥对接收的消息进行解密，如果解密失败，则将所述消息丢包。10.根据权利要求9所述的方法，其特征在于，所述信道密钥配置信息还包括预设时长或预设阈值中的至少一个，其中，所述预设时长用于判断是否存在安全攻击的丢包时长的门限，所述预设阈值用于判断是否存在安全攻击的丢包个数的门限。11.根据权利要求9或10所述的方法，其特征在于，所述方法还包括：若预设时长内丢包的数量达到或者超过预设阈值，则向所述网络设备发送告警信息，用于指示存在安全攻击。12.根据权利要求6
‑
8任一项所述的方法，其...

【专利技术属性】
技术研发人员：项弘禹，陈磊，崔洋，吴义壮，雷骜，李锐杰，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：