CN105978692A

CN105978692A - 一种3gpp认证与密钥协商协议的实现方法

Info

Publication number: CN105978692A
Application number: CN201610238235.3A
Authority: CN
Inventors: 吴晓富; 周雪倩; 余训健; 褚楚
Original assignee: Nanjing Post and Telecommunication University
Current assignee: Nanjing Post and Telecommunication University; Nanjing University of Posts and Telecommunications
Priority date: 2016-04-18
Filing date: 2016-04-18
Publication date: 2016-09-28

Abstract

本发明公开了一种3GPP认证与密钥协商协议的实现方法，该方法物理层认证采用质询‑回应鉴权机制，基于多载波传输，把信道看作是一组M个并行的衰落子信道，利用子信道的相位响应的互易性和随机性对通信双方进行身份验证。本发明将物理层质询‑回应鉴权机制与经典的演进分组系统认证与密钥协商协议结合，实现3GPP双向鉴权。该方法要求用户设备与移动台分别提供一对密钥(AKL，AKR)，用户设备与基站(eNB)通过对比该对密钥来加强3GPP鉴权可靠性。该对密钥由两串随机数(RANDL，RANDR)和一长串加密密钥(K)通过哈希函数产生，K存储在全球用户识别卡(USIM)和鉴权中心(AuC)中。

Description

一种3GPP认证与密钥协商协议的实现方法

技术领域

本发明涉及一种3GPP认证与密钥协商协议的实现方法，属于无线通信技术领域。

背景技术

随着无线通信的飞速发展和基于移动终端业务的增长，无线网络的安全问题备受关注。由于无线通信链路的开放性为非法用户攻击提供了一些新的途径，使通信系统存在很大的安全隐患，很容易被非法用户窃取到有用信息。传统的信息安全通信主要是以密码学为基础的相关加密技术，由于密钥的长度是有限的，并且随着计算机技术的快速发展，计算机的运算能力飞速提升，对于这种加密方法是可以通过猜测、试验进行大量运算进行解密的。并且从开放系统互连(即OSI)模型的角度看，传统无线通信系统中的信息安全技术主要集中于网络层及其以上各层，没有充分利用无线信道物理层的特性，因此只靠传统的密码安全机制和安全协议来保证通信系统的安全是无法令人满意的。

认证是无线通信系统的信息安全基础，它保证通信双方是其所声称的身份，防止非法用户的接入与访问。基于物理层之上的认证一般采用密码安全机制与安全协议实现，而密码安全机制存在密钥泄露的风险，安全协议通常存在安全缺陷，所以没有物理层认证这层保护网，无线通信系统的安全性存在着一定的隐患。而本发明能够很好地加强3GPP(即第三代合作伙伴计划)的鉴权可靠性。

发明内容

本发明目的在于针对上述现有技术的不足，提供了一种3GPP认证与密钥协商协议的实现方法，该方法物理层认证采用相位质询和回应鉴权机制，基于多载波传输，把信道看作是一组M个并行的衰落子信道，利用子信道的相位响应的互易性和随机性对通信双方进行身份验证，从而加强3GPP鉴权的可靠性。移动台向用户设备在不同的子载波频率上发送等相位调制的正弦波作为激励信号，由于信道具有相位延迟，用户设备接收到的信号包含有每个子信道的相位信息，用户设备测量出子载波之间的相位差；用户设备根据接收到的激励信号和子载波间的相位差，反馈给移动台一个封装有密钥的响应信号对用户设备进行认证。反之再进行用户设备对移动台的认证。信道相位特性对接收端和发送端之间的距离很敏感，具有随机性，非法用户不能对信道相位有效估计。本发明将物理层相位质询和回应鉴权机制与经典的演进分组系统认证与密钥协商协议结合，实现3GPP双向鉴权。该方法要求用户设备与移动台分别提供一对密钥(AKL，AKR)，用户设备与基站(即eNB)通过对比该对密钥来加强3GPP鉴权可靠性。该对密钥由两串随机数(RANDL，RANDR)和一长串加密密钥(即K)通过哈希函数产生，K存储在全球用户识别卡(即USIM)和鉴权中心(即AuC)中。

方法流程：

步骤1：基站-网络节点(即eNB-MME)向用户设备(即UE)发送用户身份请求信号，UE回复用户识别码(即IMSI)给eNB-MME。

步骤2：网络节点(即MME)将鉴权数据请求信息传送给归属地用户服务器/鉴权中心(即HSS/AuC)，HSS/AuC生成认证矢量(即AV)传送给eNB-MME。AV新引入了一对随机变量(RANDL，RANDR)，和相应通过哈希函数生成的一对鉴权密钥(AKL，AKR)。

步骤3：MME选择下一批没有使用过的AV完成保密功能。eNB传送用户物理层鉴权请求信息给UE，该信息参数为RANDL和RANDR。

步骤4：UE接收到RANDL和RANDR，通过哈希函数计算出相应的物理层鉴权密钥AKL和AKR。

步骤5：UE发起物理层质询信息L，eNB回复从AuC共享得到的AKL。UE根据比对AKL的结果对eNB进行鉴权。

步骤6：eNB发起物理层质询信息R，UE回复计算得到的AKR。eNB根据比对AKR的结果对UE进行鉴权。

步骤7：完成物理层双向鉴权之后，进行传统的鉴权过程。

有益效果：

1、本发明能够充分利用信道的物理特性和资源，并且加强了通信系统的安全性。

2、本发明能够有效抵抗无线通信系统中易出现的干扰攻击、重播攻击和伪装等攻击。加强了通信双方身份确认的可靠性，保证了信息传输的安全性。

3、本发明是将物理层相位质询和回应机制与3GPP传统的认证与密钥协商协议(即AKA)鉴权机制相结合，加强了通信双方身份确认的可靠性，保证了信息传输的安全性。

附图说明

图1为本发明的方法流程图。

具体实施方式

下面结合附图对本发明的技术方案做进一步的详细说明。

本发明所有英文简称注解包括：

3GPP：第三代合作伙伴计划；

AKA：认证与密钥协商协议；

UE：用户设备；

eNB-MME：演进基站-网络节点；

HSS/AuC：归属用户服务器/鉴权中心；

USIM：用户识别卡；

IMSI：国际用户识别码；

AV：认证矢量；

RANDL：左随机数；

RANDR：右随机数；

AKL：左密钥；

AKR：右密钥。

如图1所示，本发明提供了一种3GPP认证与密钥协商协议的实现方法，该方法将物理层质询和回应鉴权机制融入3GPP认证与密钥协商协议中，从而加强3GPP鉴权的可靠性。该方法物理层认证采用相位质询和回应鉴权机制，基于多载波传输，把信道看作是一组M个并行的衰落子信道，利用子信道的相位响应的互易性和随机性对通信双方进行身份验证。移动台向用户设备在不同的子载波频率上发送等相位调制的正弦波作为激励信号，由于信道具有相位延迟，用户设备接收到的信号包含有每个子信道的相位信息，用户设备测量出子载波之间的相位差；用户设备根据接收到的激励信号和子载波间的相位差，反馈给移动台一个封装有密钥的响应信号对用户设备进行认证。反之再进行用户设备对移动台的认证。信道相位特性对接收端和发送端之间的距离很敏感，具有随机性，非法用户不能对信道相位有效估计。本发明将物理层相位质询和回应鉴权机制与经典的演进分组系统认证与密钥协商协议结合，实现3GPP双向鉴权。该方法要求用户设备与移动台分别提供一对密钥(AKL，AKR)，用户设备与基站(即eNB)通过对比该对密钥来加强3GPP鉴权可靠性。该对密钥由两串随机数(RANDL，RANDR)和一长串加密密钥(即K)通过哈希函数产生，K存储在全球用户识别卡(即USIM)和鉴权中心(即AuC)中。如图1所示，具体步骤如下：

步骤2：网络节点(MME)将鉴权数据请求信息传送给归属地用户服务器/鉴权中心(即HSS/AuC)，HSS/AuC生成认证矢量(即AV)传送给eNB-MME。AV新引入了一对随机变量(即RANDL，RANDR)，和相应通过哈希函数生成的一对鉴权密钥(AKL，AKR)。

步骤5：UE向eNB在不同的子载波频率f₁,f₂,...,f_M上发送等相位调制的正弦波激励信号发起物理层质询信息L；由于信道具有相位延迟，eNB接收到的信号包含有每个子信道的相位信息θ_i，eNB测量出子载波f_i和f₁间的相位差Δθ_i1；eNB根据接收到的激励信号和子载波间的相位差Δθ_i1，反馈给UE一个封装有密钥AKL＝[k₁,...,k_M]的响应信号UE接收到响应信号中同样具有每个子信道对应的相位延迟。UE根据比对AKL的结果对eNB进行鉴权。

步骤6：eNB向UE在不同的子载波频率f₁,f₂,...,f_M上发送等相位调制的正弦波激励信号发起物理层质询信息R；由于信道具有相位延迟，UE接收到的信号包含有每个子信道的相位信息θ_i，UE测量出子载波f_i和f₁间的相位差Δθ_i1；UE根据接收到的激励信号和子载波间的相位差Δθ_i1，反馈给eNB一个封装有密钥AKR＝[k₁,...,k_M]的响应信号接收到响应信号，中同样具有每个子信道对应的相位延迟。eNB根据比对AKR的结果对UE进行鉴权。

步骤7：完成物理层双向鉴权之后，进行传统的鉴权过程。

eNB-MME向UE发送用户身份请求信号，UE回复IMSI给eNB-MME。MME将鉴权数据请求信息传送给HSS/AuC，HSS/AuC生成认证矢量AV传送给eNB-MME。AV新引入了一对随机变量(即RANDL，RANDR)，和相应通过哈希函数生成的一对鉴权密钥(AKL，AKR)，AKL和AKR是完成物理层鉴权的关键密钥。eNB传送用户物理层鉴权请求信息给UE，该信息参数为RANDL和RANDR。UE接收到RANDL和RANDR，通过哈希函数计算出相应的物理层鉴权密钥AKL和AKR。

UE向eNB在不同的子载波频率f₁,f₂,...,f_M上发送等相位调制的正弦波激励信号发起物理层质询信息L；由于信道具有相位延迟，eNB接收到的信号包含有每个子信道的相位信息θ_i，eNB测量出子载波f_i和f₁间的相位差Δθ_i1；eNB根据接收到的激励信号和子载波间的相位差Δθ_i1，反馈给UE一个封装有密钥AKL＝[k₁,...,k_M]的响应信号UE接收到响应信号中同样具有每个子信道对应的相位延迟。UE根据比对AKL的结果对eNB进行鉴权。

eNB向UE在不同的子载波频率f₁,f₂,...,f_M上发送等相位调制的正弦波激励信号发起物理层质询信息R；由于信道具有相位延迟，UE接收到的信号包含有每个子信道的相位信息θ_i，UE测量出子载波f_i和f₁间的相位差Δθ_i1；UE根据接收到的激励信号和子载波间的相位差Δθ_i1，反馈给eNB一个封装有密钥AKR＝[k₁,...,k_M]的响应信号接收到响应信号，中同样具有每个子信道对应的相位延迟。eNB根据比对AKR的结果对UE进行鉴权。到此完成物理层双向鉴权，如果物理层鉴权成功再进行传统的鉴权过程。

本发明是将物理层相位质询和回应机制与3GPP传统的认证与密钥协商协议(即AKA)鉴权机制相结合，加强了通信双方身份确认的可靠性，保证了信息传输的安全性。

Claims

1.一种3GPP认证与密钥协商协议的实现方法，其特征在于：所述方法的物理层认证采用相位质询和回应鉴权机制，基于多载波传输，把信道看作是一组并行的衰落子信道，利用子信道的相位响应的互易性和随机性对通信双方进行身份验证；所述方法将物理层相位质询和回应鉴权机制与经典的演进分组系统认证与密钥协商协议结合，要求用户设备与移动台分别提供一对密钥(AKL，AKR)，用户设备与基站eNB通过对比该对密钥来加强3GPP鉴权可靠性，该对密钥由两串随机数(RANDL，RANDR)和一长串加密密钥K通过哈希函数产生，加密密钥K存储在全球用户识别卡USIM和鉴权中心AuC中。

2.根据权利要求1所述的一种3GPP认证与密钥协商协议的实现方法，其特征在于：所述方法包括如下步骤：

步骤1：基站-网络节点eNB-MME向用户设备UE发送用户身份请求信号，UE回复用户识别码IMSI给eNB-MME；

步骤2：网络节点MME将鉴权数据请求信息传送给归属地用户服务器/鉴权中心HSS/AuC，所述HSS/AuC生成认证矢量AV传送给eNB-MME，AV新引入了一对随机变量(RANDL，RANDR)，和相应通过哈希函数生成的一对鉴权密钥(AKL，AKR)；

步骤3：MME选择下一批没有使用过的AV完成保密功能，eNB传送用户物理层鉴权请求信息给UE，该信息参数为RANDL和RANDR；

步骤4：UE接收到RANDL和RANDR，通过哈希函数计算出相应的物理层鉴权密钥AKL和AKR；

步骤5：UE发起物理层质询信息L，eNB回复从AuC共享得到的AKL，UE根据比对AKL的结果对eNB进行鉴权；

步骤6：eNB发起物理层质询信息R，UE回复计算得到的AKR，eNB根据比对AKR的结果对UE进行鉴权；

步骤7：完成物理层双向鉴权之后，进行传统的鉴权过程。

3.根据权利要求2所述的一种3GPP认证与密钥协商协议的实现方法，其特征在于：所述步骤5包括：UE向eNB在不同的子载波频率f₁,f₂,...,f_M上发送等相位调制的正弦波激励信号发起物理层质询信息L；由于信道具有相位延迟，eNB接收到的信号包含有每个子信道的相位信息θ_i，eNB测量出子载波f_i和f₁间的相位差Δθ_i1；eNB根据接收到的激励信号和子载波间的相位差Δθ_i1，反馈给UE一个封装有密钥AKL＝[k₁,...,k_M]的响应信号 k_i∈{-1,1}，UE接收到响应信号中同样具有每个子信道对应的相位延迟，UE根据比对AKL的结果对eNB进行鉴权。

4.根据权利要求2所述的一种3GPP认证与密钥协商协议的实现方法，其特征在于：所述步骤6包括：eNB向UE在不同的子载波频率f₁,f₂,...,f_M上发送等相位调制的正弦波激励信号发起物理层质询信息R；由于信道具有相位延迟，UE接收到的信号包含有每个子信道的相位信息θ_i，UE测量出子载波f_i和f₁间的相位差Δθ_i1；UE根据接收到的激励信号和子载波间的相位差Δθ_i1，反馈给eNB一个封装有密钥AKR＝[k₁,...,k_M]的响应信号 k_i∈{-1,1}，接收到响应信号，中同样具有每个子信道对应的相位延迟，eNB根据比对AKR的结果对UE进行鉴权。

5.根据权利要求2所述的一种3GPP认证与密钥协商协议的实现方法，其特征在于：所述步骤7包括：eNB-MME向UE发送用户身份请求信号，UE回复IMSI给eNB-MME，MME将鉴权数据请求信息传送给HSS/AuC，HSS/AuC生成认证矢量AV传送给eNB-MME，AV新引入了一对随机变量(RANDL，RANDR)，和相应通过哈希函数生成的一对鉴权密钥(AKL，AKR)，AKL和AKR是完成物理层鉴权的关键密钥，eNB传送用户物理层鉴权请求信息给UE，该信息参数为RANDL和RANDR，UE接收到RANDL和RANDR，通过哈希函数计算出相应的物理层鉴权密钥AKL和AKR；

UE向eNB在不同的子载波频率f₁,f₂,...,f_M上发送等相位调制的正弦波激励信号发起物理层质询信息L；由于信道具有相位延迟，eNB接收到的信号包含有每个子信道的相位信息θ_i，eNB测量出子载波f_i和f₁间的相位差Δθ_i1；eNB根据接收到的激励信号和子载波间的相位差Δθ_i1，反馈给UE一个封装有密钥AKL＝[k₁,...,k_M]的响应信号 k_i∈{-1,1}，UE接收到响应信号中同样具有每个子信道对应的相位延迟，UE根据比对AKL的结果对eNB进行鉴权；

eNB向UE在不同的子载波频率f₁,f₂,...,f_M上发送等相位调制的正弦波激励信号发起物理层质询信息R；由于信道具有相位延迟，UE接收到的信号包含有每个子信道的相位信息θ_i，UE测量出子载波f_i和f₁间的相位差Δθ_i1；UE根据接收到的激励信号和子载波间的相位差Δθ_i1，反馈给eNB一个封装有密钥AKR＝[k₁,...,k_M]的响应信号 k_i∈{-1,1}，接收到响应信号，中同样具有每个子信道对应的相位延迟，eNB根据比对AKR的结果对UE进行鉴权，到此完成物理层双向鉴权，如果物理层鉴权成功再进行传统的鉴权过程。