【技术实现步骤摘要】
一种基于信道秘钥的加密方法及装置
[0001]本申请涉及通信
,尤其涉及一种基于信道秘钥的加密方法及装置。
技术介绍
[0002]目前,威胁无线通信安全的一种常见手段是伪基站攻击,伪基站是一种不合法的基站,通常可由简易的无线设备和专用开源软件组成,通过模拟基站向目标终端发送信令,获取目标终端的相关信息,还可能截获基站和目标终端之间的通信内容,从而对用户的隐私数据进行监听。
[0003]为保证基站与终端之间的通信安全,基站可以在终端初始接入之后,启动安全模式,向终端发送加密秘钥以及实现完整性保护的完整性保护密钥KEY等参数,从而后续基站和终端之间的信令交互可以基于加密秘钥对传输数据进行加密,以实现数据加密和空口完整性保护。其中,空口完整性保护是指,发送端可以基于规律变化的参数与传输数据结合一定运算,得到完整性消息鉴权码(message authentication code for integrity,MAC
‑
I)。相对应的,接收端可以采用同样的参数,使用相同规则计算得到完整性消息认证码(expected MAC
‑
I,XMAC
‑
I),通过对MAC
‑
I和XMAC
‑
I进行校验,以确定接收的数据是否完整,从而达到对数据完整性进行保护的目的。
[0004]但是,目前在基站向终端发送加密密钥和完整性保护密钥KEY之前,基站与终端之间交互的信令是没有进行数据加密和完整性保护的,从而伪基站可以窃听信令,例如获取网 ...
【技术保护点】
【技术特征摘要】
1.一种基于信道秘钥的加密方法,其特征在于,应用于网络设备,所述方法包括:广播系统信息块,用于指示支持信道密钥生成,所述系统信息块包括前导码和物理随机接入信道的资源配置;在所述物理随机接入信道接收来自用户设备的第一消息,所述第一消息包括所述前导码;向所述用户设备发送第二消息,所述第二消息包括第一时频资源的配置信息;在所述第一时频资源接收来自所述用户设备的第三消息;根据所述第三消息进行信道测量得到信道密钥,所述信道秘钥用于所述网络设备与所述用户设备之间在安全模式启动之前进行数据加密和完整性保护。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:根据所述第一消息确定所述用户设备具备信道秘钥生成能力。3.根据权利要求1或2所述的方法,其特征在于,所述根据所述第三消息进行信道测量得到信道密钥,具体包括:根据所述第二消息中的解调参考信号进行信道测量,得到所述信道密钥。4.一种基于信道秘钥的加密方法,其特征在于,应用于用户设备,所述方法包括:接收系统信息块,所述系统信息块用于指示所述网络设备支持信道密钥生成,所述系统信息块包括前导码和物理随机接入信道的资源配置;通过所述物理随机接入信道向网络设备发送第一消息,所述第一消息包括所述前导码;接收来自所述网络设备的第二消息,所述第二消息包括第一时频资源的配置信息;根据所述第二消息进行信道测量得到信道密钥,所述信道秘钥用于所述网络设备与所述用户设备之间在安全模式启动之前进行数据加密和完整性保护;在所述第一时频资源上向所述网络设备发送第三消息。5.根据权利要求4所述的方法,其特征在于,根据所述第二消息进行信道测量得到信道密钥,具体包括:根据所述第二消息中的解调参考信号进行信道测量,得到所述信道密钥。6.一种基于信道秘钥的加密方法,其特征在于,应用于用户设备,所述方法包括:向网络设备发送第一通知信息,所述第一通知信息用于指示所述用户设备具备信道秘钥生成能力;接收来自网络设备的信道密钥配置信息,所述信道密钥配置信息包括参考信号配置信息,以及密钥量化和校准方法;根据所述参考信号进行信道测量,得到第一信道密钥;根据所述第一信道秘钥以及所述网络设备配置的加密秘钥得到第一目标密钥,所述第一目标密钥用于所述网络设备与所述用户设备之间进行数据加密和完整性保护;或者,根据所述网络设备配置的加密秘钥对所述第一信道密钥进行加密,并向所述网络设备发送所述加密秘钥加密后的所述第一信道密钥;或者,接收来自所述网络设备的第二信道秘钥,用于所述用户设备进行信道秘钥的验证,其中,所述第二信道秘钥通过所述加密秘钥进行加密。7.根据权利要求6所述的方法,其特征在于,向网络设备发送第一通知信息之前,所述
方法包括:接收来自网络设备的第一请求信息,所述第一请求信息用于请求所述用户设备上报是否支持信道密钥生成能力。8.根据权利要求6或7所述的方法,其特征在于,向网络设备发送第一通知信息之前,所述方法包括:与所述网络设备成功建立RRC连接,接收到来自所述网络设备的加密秘钥和完整性保护密钥。9.根据权利要求6
‑
8任一项所述的方法,其特征在于,所述方法还包括:根据所述第一目标密钥对接收的消息进行解密,如果解密失败,则将所述消息丢包。10.根据权利要求9所述的方法,其特征在于,所述信道密钥配置信息还包括预设时长或预设阈值中的至少一个,其中,所述预设时长用于判断是否存在安全攻击的丢包时长的门限,所述预设阈值用于判断是否存在安全攻击的丢包个数的门限。11.根据权利要求9或10所述的方法,其特征在于,所述方法还包括:若预设时长内丢包的数量达到或者超过预设阈值,则向所述网络设备发送告警信息,用于指示存在安全攻击。12.根据权利要求6
‑
8任一项所述的方法,其...
【专利技术属性】
技术研发人员:项弘禹,陈磊,崔洋,吴义壮,雷骜,李锐杰,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。