CN107196920A - 一种面向无线通信系统的密钥产生分配方法 - Google Patents

一种面向无线通信系统的密钥产生分配方法 Download PDF

Info

Publication number
CN107196920A
CN107196920A CN201710294870.8A CN201710294870A CN107196920A CN 107196920 A CN107196920 A CN 107196920A CN 201710294870 A CN201710294870 A CN 201710294870A CN 107196920 A CN107196920 A CN 107196920A
Authority
CN
China
Prior art keywords
key
terminal
access
access layer
access point
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710294870.8A
Other languages
English (en)
Other versions
CN107196920B (zh
Inventor
赵华
金梁
黄开枝
汤红波
钟州
王晓雷
周游
易鸣
杨梅樾
夏路
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PLA Information Engineering University
Original Assignee
PLA Information Engineering University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PLA Information Engineering University filed Critical PLA Information Engineering University
Priority to CN201710294870.8A priority Critical patent/CN107196920B/zh
Publication of CN107196920A publication Critical patent/CN107196920A/zh
Application granted granted Critical
Publication of CN107196920B publication Critical patent/CN107196920B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明属于通信安全技术领域,具体的涉及一种面向无线通信系统的密钥产生分配方法,包括以下步骤:终端和接入点基于双方无线通信信道特征产生物理层密钥;认证中心通过终端身份相关的根密钥和接入层认证密钥;终端利用根密钥、接入层认证密钥和接收到的认证中心的认证数据,对接入点和认证中心进行认证;认证中心利用根密钥、接入层认证密钥和接收到的终端认证数据对终端进行认证;终端和接入点分别生成二级接入层加密、完整性保护密钥;终端和接入点可随时同步更新一级接入层密钥和接入层认证密钥,实现接入层密钥更新和持续认证。本发明利用无线信道的唯一性、互易性和时变性,在终端和接入点分别产生物理层密钥,并将其引入到接入层密钥和认证密钥之中,实现了身份与路径的双重认证,并可防止从非接入层获取接入层密钥的攻击方式。

Description

一种面向无线通信系统的密钥产生分配方法
技术领域
本发明属于通信安全技术领域,具体的涉及一种面向无线通信系统的密钥产生分配方法。
背景技术
目前,移动通信网络的IP化使得核心网变得更具开放性,应用开发商以及互动性业务会对核心网和数据库进行更多的接入,而且IP技术的应用使窃密者能通过对网络设备的软硬件改造,模仿、伪装、篡改核心网网络节点,达到非法监听或窃取数据的目的。其次,目前的移动通信系统中接入层密钥或其生成参数是由核心网节点通过终端身份信息产生并分发到接入点的,因此核心网节点存储有接入层密钥或其生成参数。所以攻击者通过核心网攻击,不仅可以获取非接入层的密钥,还可以获取接入层的密钥。
另外,伪基站和伪终端的存在严重干扰和威胁着正常的蜂窝通信系统,对合法用户的信息安全带来了严峻挑战。目前的蜂窝通信体制普遍采用高层加密技术来防止合法用户信息的泄密。但是伪基站能够将合法终端纳入本基站的管控之下,并利用伪终端冒用合法终端的身份与合法基站通信。从而形成了合法终端能够驻留在伪基站,伪终端能够驻留在合法基站的不安全局面。在上行链路,伪基站接收合法用户的通信数据,并通过伪终端将接收数据“透明转发”给合法基站,在下行链路,伪终端接收合法基站的通信数据,并通过伪基站将接收数据“透明转发”给合法终端。而合法基站和合法终端对这种类似“中继”的伪基站和伪终端工作方式是完全无感的。
基于现有技术中存在的上述问题,迫切需要一种面向无线通信系统的密钥产生分配方法,能够抵御伪基站和伪终端的“透明转发”,并使得类似由核心网窃取接入网密钥的攻击方式在无线通信网络系统中无法实行。
发明内容
本发明针对现有移动通信网络的IP化使得核心网变得更具开放性,存在应用开发商以及互动性业务会对核心网和数据库进行更多的接入,且IP技术的应用使窃密者能通过对网络设备的软硬件改造、模仿、伪装和篡改核心网网络节点,达到非法监听或窃取数据的目的等问题,提出一种面向无线通信系统的密钥产生分配方法。
本发发明的技术方案是:一种面向无线通信系统的密钥产生分配方法,包括以下步骤:
步骤A:终端和接入点基于双方无线通信信道特征产生物理层密钥作为一级接入层加密、完整性保护密钥和接入层认证密钥;
步骤B:认证中心通过终端身份相关的根密钥和接入层认证密钥,产生认证数据和非接入层密钥;
步骤C:终端利用根密钥、接入层认证密钥和接收到的认证中心的认证数据,对接入点和认证中心进行认证,认证成功后生成非接入层密钥和终端认证数据;
步骤D:认证中心利用根密钥、接入层认证密钥和接收到的终端认证数据对终端进行认证,认证成功后,与终端在相互间的通信链路上协商使用非接入层密钥;
步骤E:终端和接入点分别生成二级接入层加密、完整性保护密钥,将其与一级接入层相应密钥相结合作为接入层密钥,在终端与接入点之间的无线链路上使用;
步骤F:终端和接入点可随时同步更新一级接入层密钥和接入层认证密钥,实现接入层密钥更新和持续认证。
所述的面向无线通信系统的密钥产生分配方法,所述步骤A包括:
步骤A1:终端和接入点测量无线信道获得信道特征参数;
步骤A2:终端和接入点利用信道特征参数,产生一致性的物理层密钥,分别作为一级接入层加密和完整性保护密钥,应用于初始认证成功之前的终端和接入点之间的无线信道上;
步骤A3:终端和接入点利用信道特征参数,产生一致性的物理层密钥,作为接入层认证密钥,在认证过程中与终端的根密钥结合使用。
所述的面向无线通信系统的密钥产生分配方法,所述步骤B包括:
步骤B1:终端利用步骤A2中产生的一级接入层密钥,向接入点加密传输终端身份信息,接入点利用相应的密钥进行解密;
步骤B2:接入点将终端身份信息和接入层认证密钥上报给认证中心;
步骤B3:认证中心根据获得的终端身份信息,查找到该用户的根密钥;
步骤B4:认证中心利用该用户的根密钥和接入层认证密钥,根据预先约定的算法生成认证数据、非接入层的加密和完整性保护密钥;
步骤B5:认证中心将生成的认证数据发送给接入点。
所述的面向无线通信系统的密钥产生分配方法,所述步骤C包括:
步骤C1:接入点利用步骤A2中产生的一级接入层密钥向终端加密传输认证数据,终端利用相应的密钥进行解密;
步骤C2:终端利用根密钥和接入层认证密钥,根据预先约定的算法产生本地认证数据;
步骤C3:终端比较本地认证数据和步骤C1中获得的认证数据,如果相同,则对接入点和认证中心的身份认证成功,否则认证失败;
步骤C4:若认证通过,则终端将本地认证数据利用步骤A2中产生的一级接入层密钥加密传输至接入点,接入点利用相应的密钥解密后转发给认证中心;若认证失败,则终端执行拆链操作,切换至备选接入点,并将当前网络认定为非法网络。
所述的面向无线通信系统的密钥产生分配方法,所述步骤D包括:
步骤D1:认证中心比较步骤B4生成的认证数据和步骤C4中获得的终端认证数据,若相同,则对终端的身份认证成功,否则认证失败;
步骤D2:若认证通过,则与终端协商加密和完整性保护算法,并在相互间的通信链路上使用非接入层密钥,并生成二级接入层根密钥发送给接入点;若认证失败,则认证中心通知接入点执行拆链操作,并将当前终端认定为非法终端。
所述的面向无线通信系统的密钥产生分配方法,所述步骤E包括:
步骤E1:接入点根据步骤D2所接收到的二级接入层根密钥生成二级接入层加密、完整性保护密钥;
步骤E2:同时终端也生成相应的二级接入层根密钥和二级接入层加密、完整性保护密钥;
步骤E3:终端和接入点分别将一级接入层加密、完整性保护密钥与相应的二级接入层加密、完整性保护密钥结合在一起作为接入层密钥,在终端与接入点之间的无线链路上使用。
所述的面向无线通信系统的密钥产生分配方法,所述步骤F包括:
步骤F1:终端和接入点可实际需求和无线信道变化的快慢,随时执行步骤A,更新一级接入层密钥和接入层认证密钥,实现接入层密钥更新和认证密钥更新;
步骤F2:非接入层密钥、二级接入层密钥的更新以及后续认证,可重复步骤C、D、E完成;
所述的面向无线通信系统的密钥产生分配方法,非接入层密钥、二级接入层密钥的更新过程完全独立,分别进行。
本发明的有益效果是:本发明利用无线信道的唯一性、互易性和时变性,在终端和接入点分别产生物理层密钥,并将其引入到接入层密钥和认证密钥之中,实现了身份与路径的双重认证,并可防止从非接入层获取接入层密钥的攻击方式。
附图说明
图1为本发明的面向无线通信系统的密钥产生分配方法流程图;
图2本发明的存在窃听者和攻击者的通信场景示意图;
图3本发明的无线信道测量量化示意图;
图4本发明的量化比特协商示意图;
图5本发明的认证数据生成示意图;
图6本发明的一级接入层密钥与二级接入层密钥结合示意图;
图7本发明的密钥产生分配过程示意图。
具体实施方式
实施例1:结合图1-图7,一种面向无线通信系统的密钥产生分配方法,包括以下步骤:
步骤A:终端和接入点基于双方无线通信信道特征产生物理层密钥作为一级接入层加密、完整性保护密钥和接入层认证密钥,包括:
步骤A1:终端和接入点测量无线信道获得信道特征参数;
步骤A2:终端和接入点利用信道特征参数,产生一致性的物理层密钥,分别作为一级接入层加密和完整性保护密钥,应用于初始认证成功之前的终端和接入点之间的无线信道上;
步骤A3:终端和接入点利用信道特征参数,产生一致性的物理层密钥,作为接入层认证密钥,在认证过程中与终端的根密钥结合使用。
步骤B:认证中心通过终端身份相关的根密钥和接入层认证密钥,产生认证数据和非接入层密钥,包括:
步骤B1:终端利用步骤A2中产生的一级接入层密钥,向接入点加密传输终端身份信息,接入点利用相应的密钥进行解密;
步骤B2:接入点将终端身份信息和接入层认证密钥上报给认证中心;
步骤B3:认证中心根据获得的终端身份信息,查找到该用户的根密钥;
步骤B4:认证中心利用该用户的根密钥和接入层认证密钥,根据预先约定的算法生成认证数据、非接入层的加密和完整性保护密钥;
步骤B5:认证中心将生成的认证数据发送给接入点。
步骤C:终端利用根密钥、接入层认证密钥和接收到的认证中心的认证数据,对接入点和认证中心进行认证,认证成功后生成非接入层密钥和终端认证数据,包括:
步骤C1:接入点利用步骤A2中产生的一级接入层密钥向终端加密传输认证数据,终端利用相应的密钥进行解密;
步骤C2:终端利用根密钥和接入层认证密钥,根据预先约定的算法产生本地认证数据;
步骤C3:终端比较本地认证数据和步骤C1中获得的认证数据,如果相同,则对接入点和认证中心的身份认证成功,否则认证失败;
步骤C4:若认证通过,则终端将本地认证数据利用步骤A2中产生的一级接入层密钥加密传输至接入点,接入点利用相应的密钥解密后转发给认证中心;若认证失败,则终端执行拆链操作,切换至备选接入点,并将当前网络认定为非法网络。
步骤D:认证中心利用根密钥、接入层认证密钥和接收到的终端认证数据对终端进行认证,认证成功后,与终端在相互间的通信链路上协商使用非接入层密钥,包括:
步骤D1:认证中心比较步骤B4生成的认证数据和步骤C4中获得的终端认证数据,若相同,则对终端的身份认证成功,否则认证失败;
步骤D2:若认证通过,则与终端协商加密和完整性保护算法,并在相互间的通信链路上使用非接入层密钥,并生成二级接入层根密钥发送给接入点;若认证失败,则认证中心通知接入点执行拆链操作,并将当前终端认定为非法终端。
步骤E:终端和接入点分别生成二级接入层加密、完整性保护密钥,将其与一级接入层相应密钥相结合作为接入层密钥,在终端与接入点之间的无线链路上使用,E包括:
步骤E1:接入点根据步骤D2所接收到的二级接入层根密钥生成二级接入层加密、完整性保护密钥;
步骤E2:同时终端也生成相应的二级接入层根密钥和二级接入层加密、完整性保护密钥;
步骤E3:终端和接入点分别将一级接入层加密、完整性保护密钥与相应的二级接入层加密、完整性保护密钥结合在一起作为接入层密钥,在终端与接入点之间的无线链路上使用。
步骤F:终端和接入点可随时同步更新一级接入层密钥和接入层认证密钥,实现接入层密钥更新和持续认证,包括:
步骤F1:终端和接入点可实际需求和无线信道变化的快慢,随时执行步骤A,更新一级接入层密钥和接入层认证密钥,实现接入层密钥更新和认证密钥更新;
步骤F2:非接入层密钥、二级接入层密钥的更新以及后续认证,可重复步骤C、D、E完成;
所述的面向无线通信系统的密钥产生分配方法,非接入层密钥、二级接入层密钥的更新过程完全独立,分别进行。非接入层密钥、二级接入层密钥的更新过程完全独立,分别进行。
实施例2,结合图1-图7,本发明的面向无线通信系统的密钥产生分配方法流程图,图7为本发明的面向无线通信系统的密钥产生分配过程示例图。该方法包括下列步骤:
步骤A:终端和接入点基于双方无线通信信道特征产生物理层密钥作为一级接入层加密、完整性保护密钥和接入层认证密钥,在初始认证阶段中使用;
步骤B:认证中心通过终端身份相关的根密钥和接入层认证密钥,产生认证数据和非接入层密钥;
步骤C:终端利用根密钥、接入层认证密钥和接收到的认证中心的认证数据,对接入点和认证中心进行认证,认证成功后生成非接入层密钥和终端认证数据;
步骤D:认证中心利用根密钥、接入层认证密钥和接收到的终端认证数据对终端进行认证,认证成功后,与终端在相互间的通信链路上协商使用非接入层密钥;
步骤E:终端和接入点分别生成二级接入层加密、完整性保护密钥,将其与一级接入层相应密钥相结合作为接入层密钥,在终端与接入点之间的无线链路上使用;
步骤F:终端和接入点可随时同步更新一级接入层密钥和接入层认证密钥,实现接入层密钥更新和持续认证,此更新过程与非接入层密钥、二级接入层密钥的更新过程完全独立。
另外,在步骤A中,在TDD工作模式下,终端通过对下行导频的测量获得预先选定的信道参数,并按照系统配置发送约定好的上行信号,eNodeB通过对上行信号的测量获得同一信道参数。
本发明预设的信道参数包括但不限于信道响应幅度、信道响应相位、接收信号强度、接收信号包络等,本发明实施例中以信道幅度为例。
终端与eNodeB通过测量信道,得到两个相关性较强的信道幅度随机变量VA和VB。如图3所示,将VB的取值区间等概地分成J个区间,并确定各区间的边界,如果VA和VB的取值逼近边界,那么由于信道估计误差的存在,双方量化的初始不一致率将会增大,因此eNodeB需要将量化区间再进行等分成子区间,将逼近边界的子区间索引值发送给终端,终端根据索引值修正己端的量化边界。虽然这个子区间的索引值可能会被第三方获得,但由于所在的量化区间不会被泄露,因此,这种交互并不会降低合法双方量化结果的安全性。
终端与eNodeB将各自的量化序列每N1比特分为一组,双方都得到大小为N1×N2的二进制矩阵,然后终端通过公共信道向eNodeB发送每组的奇偶校验比特,长度为N2。eNodeB以同样的方式计算奇偶校验序列,并将其和终端发来的奇偶校验序列进行比较,如果校验比特一致,则双方暂时不做任何处理;如果不一致,则双方同时删除校验比特不一致的分组。
由于双方在公共信道上交互了校验信息,通常认为第三方能够完全获得这些校验信息。因此,为了补偿泄露给第三方的信息,终端与eNodeB还要同时删除矩阵中的某一行以保证剩余比特的安全性。
在双方获得一致的量化比特序列后,终端与eNodeB需要对其进行确认,具体确认过程如图4所示:终端随机地选择一个实数R,并用自己的量化比特序列KA对其加密,然后通过公共信道向eNodeB发送加密后的值其中表示KA存在条件下的加密算子;然后,eNodeB用自己的量化比特序列KB来解密收到的值,并对其进行Hash操作,然后用KB对其进行加密,最后通过公共信道向终端发送其中为KB存在条件下eNodeB端的解密算子,H为Hash算子;终端用KA解密收到的信息,如果结果是H(R),则向eNodeB发送一个“肯定”(Positive)的确认信号来确认双方生成了相同的量化比特序列;否则发送一个“否定”(Negative)的确认信号,表明收发双方的量化比特序列是不一致的。
在确认一致后,终端和eNodeB将生成的一致性量化比特序列存储,并分割为一级接入层加密密钥KPHYUPenc、KPHYRRCenc、完整性保护密钥KPHYRRCint和接入层认证密钥KPHY使用。
在步骤B中,MME通过eNodeB向终端发起身份信息请求,终端收到后回复自己的IMSI,并利用KPHYRRCenc作为加密密钥,对IMSI进行加密,eNodeB则利用相应的密钥进行解密;而且终端和eNodeB都将利用KPHYRRCint作为完整性保护密钥,对上述两条信令进行完整性保护,接收方则利用相应的密钥进行解密。
eNodeB将终端身份信息IMSI和接入层认证密钥KPHY转发给MME,MME由此向上报给HSS/AuC申请认证数据。HSS/AuC在收到认证数据请求消息后,根据终端的IMSI,找到该终端的根密钥K,并按照图5所示方法,利用根密钥K和接入层认证密钥根据事先约定的认证算法生成认证数据AV(包括非接入层的根密钥KASME);HSS/AuC通过认证数据响应消息将AV发送给MME,MME由收到的KASME生成非接入层的加密密钥KNASenc和完整性保护密钥KNASint,并通过认证请求消息将AUTN、KSIASME等认证参数发送给eNodeB。
在步骤C中,eNodeB利用KPHYRRCenc、KPHYRRCint分别作为加密和完整性保护密钥,向终端发送认证请求消息,终端eNodeB则利用相应的密钥进行解密。
终端按照AKA算法,利用根密钥K、接入层认证密钥KPHY和接收到的认证参数根据预先约定的算法在本地产生认证数据MAC,并与接收到的值进行对比。如果不一致,则认证失败,终端发送认证失败消息,并执行拆链操作,切换至备选eNodeB,并将当前eNodeB认定为非法基站;如果一致,则通过对网络侧的认证,终端利用一级接入层密钥将认证响应消息RES加密传输至eNodeB,eNodeB利用相应的密钥解密后转发给MME。
在步骤D中,MME对比收到的RES与自己存储的认证数据XRES是否一致;如果相同,则鉴权成功,与终端协商加密和完整性保护算法,并在相互间的通信链路上使用非接入层密钥KNASenc、KNASint,并生成二级接入层根密钥KeNodeB发送给eNodeB。否则对终端的鉴权失败,向终端发送认证失败消息,执行拆链操作,将当前终端认定为非法终端。
在步骤D中,eNodeB由接收到的二级接入层根密钥KeNodeB生成二级接入层加密密钥KUPenc、KRRCenc和完整性保护密钥KRRCint。同时,终端也生成相应的二级接入层根密钥KeNodeB和二级接入层加密密钥KUPenc、KRRCenc和完整性保护密钥KRRCint。终端和eNodeB分别将KPHYUPenc和KUPenc、KPHYRRCenc和KRRCenc、KPHYRRCint和KRRCint结合在一起作为接入层密钥K’UPenc、K’RRCenc、K’RRCint,在终端与接入点之间的无线链路上使用。
在步骤F中,终端和eNodeB可根据实际需求和无线信道变化的快慢,随时执行步骤A,更新一级接入层加密密钥KPHYUPenc、KPHYRRCenc、完整性保护密钥KPHYRRCint和接入层认证密钥KPHY,实现接入层密钥更新和认证密钥更新;非接入层密钥KNASenc、KNASint、二级接入层密钥加密密钥KUPenc、KRRCenc和完整性保护密钥KRRCint的更新以及后续认证,可重复步骤C、D、E完成。上述两个密钥更新过程完全独立,可分别进行。
当网络中存在伪终端和伪基站时,如图2中左图所示,由于步骤B中物理层密钥的引入,当合法终端驻留在伪基站小区时,合法终端和伪基站通过物理层密钥协商生成了窃听链路1的物理层密钥1,伪终端和合法基站通过物理层密钥协商生成了窃听链路2的物理层密钥2,但是由于两个无线链路信道环境的差异性,产生的物理层密钥也将不同,而核心网络利用物理层密钥2产生认证数据,当伪终端和伪基站采用“透明转发”的攻击方式时,合法终端将采用物理层密钥1和自身根密钥对接收的认证数据进行验证,显然由于物理层密钥的不同,认证将会失败,从而阻止了“透明转发”的攻击方式。
当接入网中存在窃听者或者核心网存在攻击者时,如图2中右图所示,由于步骤A中引入物理层密钥作为接入层密钥,而步骤D中采用与身份相关的密钥作为非接入层密钥,因此无论恶意用户从核心网还是接入网都无法窃取到接入层的密钥。首先,接入网的窃听者和eNodeB通过物理层无线信道测量生成的是基于窃听链路的接入层密钥,合法终端和eNodeB通过物理层无线信道测量生成的是基于合法链路的接入层密钥,但是由于两个无线链路信道环境的差异性,其产生的接入层密钥也将不同。其次,核心网的攻击者通过搭线伪造信令等方式,只可能窃取到MME中非接入网层密钥而无法获知接入层密钥,因为非接入层与接入层的密钥是分别独立产生的,MME或HSS/AuC等核心网节点中并没有接入层密钥或相关信息。

Claims (8)

1.一种面向无线通信系统的密钥产生分配方法,其特征在于,包括以下步骤:
步骤A:终端和接入点基于双方无线通信信道特征产生物理层密钥作为一级接入层加密、完整性保护密钥和接入层认证密钥;
步骤B:认证中心通过终端身份相关的根密钥和接入层认证密钥,产生认证数据和非接入层密钥;
步骤C:终端利用根密钥、接入层认证密钥和接收到的认证中心的认证数据,对接入点和认证中心进行认证,认证成功后生成非接入层密钥和终端认证数据;
步骤D:认证中心利用根密钥、接入层认证密钥和接收到的终端认证数据对终端进行认证,认证成功后,与终端在相互间的通信链路上协商使用非接入层密钥;
步骤E:终端和接入点分别生成二级接入层加密、完整性保护密钥,将其与一级接入层相应密钥相结合作为接入层密钥,在终端与接入点之间的无线链路上使用;
步骤F:终端和接入点可随时同步更新一级接入层密钥和接入层认证密钥,实现接入层密钥更新和持续认证。
2.根据权利要求1所述的面向无线通信系统的密钥产生分配方法,其特征在于,所述步骤A包括:
步骤A1:终端和接入点测量无线信道获得信道特征参数;
步骤A2:终端和接入点利用信道特征参数,产生一致性的物理层密钥,分别作为一级接入层加密和完整性保护密钥,应用于初始认证成功之前的终端和接入点之间的无线信道上;
步骤A3:终端和接入点利用信道特征参数,产生一致性的物理层密钥,作为接入层认证密钥,在认证过程中与终端的根密钥结合使用。
3.根据权利要求1所述的面向无线通信系统的密钥产生分配方法,其特征在于,所述步骤B包括:
步骤B1:终端利用步骤A2中产生的一级接入层密钥,向接入点加密传输终端身份信息,接入点利用相应的密钥进行解密;
步骤B2:接入点将终端身份信息和接入层认证密钥上报给认证中心;
步骤B3:认证中心根据获得的终端身份信息,查找到该用户的根密钥;
步骤B4:认证中心利用该用户的根密钥和接入层认证密钥,根据预先约定的算法生成认证数据、非接入层的加密和完整性保护密钥;
步骤B5:认证中心将生成的认证数据发送给接入点。
4.根据权利要求1所述的面向无线通信系统的密钥产生分配方法,其特征在于,所述步骤C包括:
步骤C1:接入点利用步骤A2中产生的一级接入层密钥向终端加密传输认证数据,终端利用相应的密钥进行解密;
步骤C2:终端利用根密钥和接入层认证密钥,根据预先约定的算法产生本地认证数据;
步骤C3:终端比较本地认证数据和步骤C1中获得的认证数据,如果相同,则对接入点和认证中心的身份认证成功,否则认证失败;
步骤C4:若认证通过,则终端将本地认证数据利用步骤A2中产生的一级接入层密钥加密传输至接入点,接入点利用相应的密钥解密后转发给认证中心;若认证失败,则终端执行拆链操作,切换至备选接入点,并将当前网络认定为非法网络。
5.根据权利要求1所述的面向无线通信系统的密钥产生分配方法,其特征在于,所述步骤D包括:
步骤D1:认证中心比较步骤B4生成的认证数据和步骤C4中获得的终端认证数据,若相同,则对终端的身份认证成功,否则认证失败;
步骤D2:若认证通过,则与终端协商加密和完整性保护算法,并在相互间的通信链路上使用非接入层密钥,并生成二级接入层根密钥发送给接入点;若认证失败,则认证中心通知接入点执行拆链操作,并将当前终端认定为非法终端。
6.根据权利要求1所述的面向无线通信系统的密钥产生分配方法,其特征在于,所述步骤E包括:
步骤E1:接入点根据步骤D2所接收到的二级接入层根密钥生成二级接入层加密、完整性保护密钥;
步骤E2:同时终端也生成相应的二级接入层根密钥和二级接入层加密、完整性保护密钥;
步骤E3:终端和接入点分别将一级接入层加密、完整性保护密钥与相应的二级接入层加密、完整性保护密钥结合在一起作为接入层密钥,在终端与接入点之间的无线链路上使用。
7.根据权利要求1所述的面向无线通信系统的密钥产生分配方法,其特征在于,所述步骤F包括:
步骤F1:终端和接入点可实际需求和无线信道变化的快慢,随时执行步骤A,更新一级接入层密钥和接入层认证密钥,实现接入层密钥更新和认证密钥更新;
步骤F2:非接入层密钥、二级接入层密钥的更新以及后续认证,可重复步骤C、D、E完成。
8.根据权利要求7所述的面向无线通信系统的密钥产生分配方法,其特征在于:非接入层密钥、二级接入层密钥的更新过程完全独立,分别进行。
CN201710294870.8A 2017-04-28 2017-04-28 一种面向无线通信系统的密钥产生分配方法 Active CN107196920B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710294870.8A CN107196920B (zh) 2017-04-28 2017-04-28 一种面向无线通信系统的密钥产生分配方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710294870.8A CN107196920B (zh) 2017-04-28 2017-04-28 一种面向无线通信系统的密钥产生分配方法

Publications (2)

Publication Number Publication Date
CN107196920A true CN107196920A (zh) 2017-09-22
CN107196920B CN107196920B (zh) 2019-07-30

Family

ID=59872889

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710294870.8A Active CN107196920B (zh) 2017-04-28 2017-04-28 一种面向无线通信系统的密钥产生分配方法

Country Status (1)

Country Link
CN (1) CN107196920B (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108156102A (zh) * 2017-12-13 2018-06-12 深圳大学 基于平滑技术的频率选择性衰落信道的盲认证方法和系统
CN108173791A (zh) * 2017-12-13 2018-06-15 深圳大学 基于平滑技术的时变衰落信道的物理层盲认证方法及系统
CN108199991A (zh) * 2017-12-13 2018-06-22 深圳大学 基于置信传递的时变衰落信道的物理层盲认证方法和系统
CN108419235A (zh) * 2018-02-05 2018-08-17 中国人民解放军战略支援部队信息工程大学 面向接入云架构的物理层安全保密装置及其方法
WO2019113866A1 (zh) * 2017-12-13 2019-06-20 深圳大学 基于平滑技术的时变衰落信道的物理层盲认证方法及系统
WO2019113864A1 (zh) * 2017-12-13 2019-06-20 深圳大学 基于平滑技术的频率选择性衰落信道的盲认证方法和系统
CN111148279A (zh) * 2018-11-02 2020-05-12 华为技术有限公司 一种连接重建立方法及装置
CN112911592A (zh) * 2021-01-29 2021-06-04 中国人民解放军战略支援部队信息工程大学 面向加密认证一体化的随机序列生成方法及系统
US11087012B2 (en) 2018-10-22 2021-08-10 Cibecs International Ltd. Data protection system and method
WO2023179679A1 (zh) * 2022-03-24 2023-09-28 华为技术有限公司 一种基于信道秘钥的加密方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030191739A1 (en) * 2002-04-08 2003-10-09 Oracle Corporation Persistent key-value repository with a pluggable architecture to abstract physical storage
US20120110341A1 (en) * 2010-11-02 2012-05-03 Homayoon Beigi Mobile Device Transaction Using Multi-Factor Authentication
CN104010276A (zh) * 2013-02-27 2014-08-27 中兴通讯股份有限公司 一种宽带集群系统的组密钥分层管理方法、系统和终端
CN105764052A (zh) * 2016-04-19 2016-07-13 国网浙江省电力公司信息通信分公司 Td-lte鉴权认证和保护性加密方法
CN106465109A (zh) * 2014-05-20 2017-02-22 诺基亚技术有限公司 蜂窝网络认证
CN106535178A (zh) * 2016-11-16 2017-03-22 中国人民解放军信息工程大学 接入层和非接入层密钥安全隔离装置及其方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030191739A1 (en) * 2002-04-08 2003-10-09 Oracle Corporation Persistent key-value repository with a pluggable architecture to abstract physical storage
US20120110341A1 (en) * 2010-11-02 2012-05-03 Homayoon Beigi Mobile Device Transaction Using Multi-Factor Authentication
CN104010276A (zh) * 2013-02-27 2014-08-27 中兴通讯股份有限公司 一种宽带集群系统的组密钥分层管理方法、系统和终端
CN106465109A (zh) * 2014-05-20 2017-02-22 诺基亚技术有限公司 蜂窝网络认证
CN105764052A (zh) * 2016-04-19 2016-07-13 国网浙江省电力公司信息通信分公司 Td-lte鉴权认证和保护性加密方法
CN106535178A (zh) * 2016-11-16 2017-03-22 中国人民解放军信息工程大学 接入层和非接入层密钥安全隔离装置及其方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
杨硕等: "无线信道物理层密钥生成方法与密钥协商体系", 《计算机技术与发展》 *
黄开枝等: "5G安全威胁及防护技术研究", 《邮电设计技术》 *

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108173791B (zh) * 2017-12-13 2020-06-26 深圳大学 基于平滑技术的时变衰落信道的物理层盲认证方法及系统
WO2019113866A1 (zh) * 2017-12-13 2019-06-20 深圳大学 基于平滑技术的时变衰落信道的物理层盲认证方法及系统
CN108156102A (zh) * 2017-12-13 2018-06-12 深圳大学 基于平滑技术的频率选择性衰落信道的盲认证方法和系统
US11510055B2 (en) 2017-12-13 2022-11-22 Shenzhen University Smoothing-technology-based physical layer blind authentication method and system for time-varying fading channel
CN108199991B (zh) * 2017-12-13 2020-07-28 深圳大学 基于置信传递的时变衰落信道的物理层盲认证方法和系统
WO2019113864A1 (zh) * 2017-12-13 2019-06-20 深圳大学 基于平滑技术的频率选择性衰落信道的盲认证方法和系统
US11412378B2 (en) 2017-12-13 2022-08-09 Shenzhen University Smoothing technology-based blind authentication method and system for frequency selective fading channel
CN108156102B (zh) * 2017-12-13 2020-06-26 深圳大学 基于平滑技术的频率选择性衰落信道的盲认证方法和系统
CN108199991A (zh) * 2017-12-13 2018-06-22 深圳大学 基于置信传递的时变衰落信道的物理层盲认证方法和系统
CN108173791A (zh) * 2017-12-13 2018-06-15 深圳大学 基于平滑技术的时变衰落信道的物理层盲认证方法及系统
CN108419235A (zh) * 2018-02-05 2018-08-17 中国人民解放军战略支援部队信息工程大学 面向接入云架构的物理层安全保密装置及其方法
US11087012B2 (en) 2018-10-22 2021-08-10 Cibecs International Ltd. Data protection system and method
CN111148279B (zh) * 2018-11-02 2022-02-25 华为技术有限公司 一种连接重建立方法及装置
CN111148279A (zh) * 2018-11-02 2020-05-12 华为技术有限公司 一种连接重建立方法及装置
US11671884B2 (en) 2018-11-02 2023-06-06 Huawei Technologies Co., Ltd. Connection reestablishment method and apparatus
CN112911592A (zh) * 2021-01-29 2021-06-04 中国人民解放军战略支援部队信息工程大学 面向加密认证一体化的随机序列生成方法及系统
WO2023179679A1 (zh) * 2022-03-24 2023-09-28 华为技术有限公司 一种基于信道秘钥的加密方法及装置

Also Published As

Publication number Publication date
CN107196920B (zh) 2019-07-30

Similar Documents

Publication Publication Date Title
CN107196920B (zh) 一种面向无线通信系统的密钥产生分配方法
JP4263384B2 (ja) ユーザ加入識別モジュールの認証についての改善された方法
KR100625503B1 (ko) 무선 통신 시스템에서 비밀 공유 데이터를 갱신하는 방법
RU2480925C2 (ru) Генерация криптографического ключа
JP4002035B2 (ja) 機密を要する情報を最初は機密化されてない通信を用いて伝送するための方法
CN108683510B (zh) 一种加密传输的用户身份更新方法
KR100572498B1 (ko) 공중 전파 통신과 패스워드 프로토콜을 사용하여 키를 확립하는 방법 및 패스워드 프로토콜
CN102823282B (zh) 用于二进制cdma的密钥认证方法
CN104010305B (zh) 基于物理层密钥的终端和接入网的双向认证增强方法
CN105323754B (zh) 一种基于预共享密钥的分布式鉴权方法
WO2001001630A1 (en) Methods and arrangements for secure linking of entity authentication and ciphering key generation
CN107820239A (zh) 信息处理方法及装置
CN104010310B (zh) 基于物理层安全的异构网络统一认证方法
CN106992866A (zh) 一种基于nfc无证书认证的无线网络接入方法
Leu et al. Improving security level of LTE authentication and key agreement procedure
CN110012467A (zh) 窄带物联网的分组认证方法
CN101867930A (zh) 无线Mesh网络骨干节点切换快速认证方法
CN102111268B (zh) 一种gsm网络双向认证的方法
CN115767539A (zh) 基于终端标识符更新的5g认证方法
Habib et al. Performance of wimax security algorithm (the comparative study of rsa encryption algorithm with ecc encryption algorithm)
CN106535178A (zh) 接入层和非接入层密钥安全隔离装置及其方法
CN100396156C (zh) 一种同步sqn的处理方法
Abdrabou Robust pre-authentication protocol for wireless network
Masood Habib et al. Performance of WiMAX security algorithm
Hu et al. Secure authentication on WiMAX with neural cryptography

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant