CN111294353A - 一种无需信道估计的imsi/supi物理层密钥保护方法 - Google Patents

Abstract

本发明公开了一种无需信道估计的IMSI/SUPI物理层密钥保护方法，基站在物理层解析自己的接收信号，并乘以随机接入响应对应的发送信号，得到基站处理后的接收信号；移动终端在物理层解析自己的接收信号，并乘以随机接入请求对应的发送信号，得到移动终端处理后的接收信号；基站对基站处理后的接收信号进行采样，获取采样值，并提取采样值的幅度和相位量化生成初始密钥比特；移动终端对移动终端处理后的接收信号进行采样，获取采样值，并提取采样值的幅度和相位量化生成初始密钥比特。本发明能够防止4G系统的IMSI和5G系统的SUPI通过明文传输方式泄露给攻击者，抵御针对物理层密钥生成的信号注入和信道操纵攻击并降低计算复杂度。

Description

一种无需信道估计的IMSI/SUPI物理层密钥保护方法

技术领域

本发明属于移动通信系统安全性保护技术领域，具体涉及一种无需信道估计的IMSI/SUPI物理层密钥保护方法。

背景技术

随着5G时代的到来，5G移动通信系统对安全提出了更高的要求。针对4G时代IMSI明文发送导致的隐私泄露问题，5G将移动用户身份标识命名为SUPI，并且5G安全标准文件3GPP TS 33.501首次确定采用基于椭圆曲线算法的公钥加密方案(ECIES)作为初始注册过程的SUPI保护机制：移动终端和基站使用椭圆曲线算法分别计算一个公钥和一个私钥，移动终端利用公钥将SUPI加密为SUCI进行传输，基站接收到SUCI后利用私钥将其解密还原为SUPI，再转发给核心网。但是该方案的计算复杂度非常大，给系统带来的开销和时延也非常大，并且现有的4G移动通信系统并没有配置公钥。所以到目前为止ECIES方案只在5G增强移动宽带(eMBB)场景下解决了SUPI隐私泄露问题，在5G低时延高可靠(URLLC)和大规模机器通信(mMTC)场景下并不适用，也无法与4G及其之前的移动通信系统兼容。

近年来，利用无线信道特征提取密钥的物理层密钥生成研究发展非常迅速，在2015年IEEE Communications Magazine中发表的论文Physical Layer Key Generationin Wireless Networks:Challenges and Opportunities[J]综述了物理层密钥生成的原理和步骤：合法通信双方分别对上下行无线信道进行估计得到无线信道特征，然后通过量化、密钥协商和保密增强步骤提取出物理层密钥，并且在此之后针对物理层密钥生成详细步骤的改进研究以及应用研究也逐渐增加。但是基于合法双方互发公共导频的信道估计算法涉及到大量的矩阵运算，使得传统物理层密钥生成在实际应用中也需要较大的开销；并且在2019年IEEE Transactions on Dependable and Secure Computing中发表的Manipulative Attack against Physical Layer Key Agreement and Countermeasure[J]一文指出导频的公开性特点使得基于信道估计的物理层密钥生成方案容易遭受信号注入和信道操纵攻击，使得攻击者能够窃取到合法通信双方生成的物理层密钥。

所以需要进一步提出一种物理层密钥生成新方法，运用于移动用户隐私信息保护之中，并且要求能够解决以下问题：第一是4G和5G系统的兼容，即无论是IMSI还是SUPI新方法都能够有效保护；第二是开销，即新方法的计算开销要明显低于现有的ECIES方案和基于信道特征提取的物理层密钥生成方案；第三是抗密钥窃取攻击，即新方法能够抵抗上述基于信号注入和信道操纵的密钥窃取攻击。

发明内容

针对现有技术中的技术问题，本发明提供了一种无需信道估计的IMSI/SUPI物理层密钥保护方法，能够防止4G系统的IMSI和5G系统的SUPI通过明文传输方式泄露给攻击者，抵御针对物理层密钥生成的信号注入和信道操纵攻击并进一步降低计算复杂度，从而更好地保护移动用户隐私和移动通信系统的安全性。

为解决上述技术问题，本发明通过以下技术方案予以实现：

一种无需信道估计的IMSI/SUPI物理层密钥保护方法，包括以下步骤：

步骤1：移动终端在完成网络选择和小区选择之后，向基站发送随机接入请求；

步骤2：基站向移动终端发送随机接入响应；

步骤3：基站在物理层解析自己的接收信号，并乘以步骤2中随机接入响应对应的发送信号，得到基站处理后的接收信号；

移动终端在物理层解析自己的接收信号，并乘以步骤1中随机接入请求对应的发送信号，得到移动终端处理后的接收信号；

步骤4：基站对步骤3中得到的基站处理后的接收信号进行采样，获取采样值，并提取采样值的幅度和相位量化生成初始密钥比特；

移动终端对步骤3中得到的移动终端处理后的接收信号进行采样，获取采样值，并提取采样值的幅度和相位量化生成初始密钥比特；

其中，基站和移动终端的采样频率相同；

步骤5：移动终端读取步骤4生成的初始密钥比特并进行信道编码，获得编码码字，所述编码码字由信息位和校验位串联组成；

步骤6：移动终端向基站发送连接建立请求和作为协商信息的校验位；基站同时读取步骤4生成的初始密钥比特并将其与接收到的校验位组合成新的码字；

步骤7：基站将步骤6得到的新的码字进行信道译码，得到译码后的码字，并提取译码后的码字信息位作为协商后的物理层密钥；

步骤8：基站将步骤7得到的译码后的码字通过单向Hash函数运算得到协商回复，然后向移动终端发送RRC连接建立和协商回复；

移动终端同时计算步骤5获得的编码码字的单向Hash函数值，并比较其与接收到的协商回复是否相等；

若相等，移动终端提取步骤5获得的编码码字的信息位作为协商后的物理层密钥；

若不相等，则物理层密钥生成出现错误，移动终端将启用其他已有技术方案安全传输IMSI/SUPI隐私信息；

步骤9：移动终端读取步骤8中与IMSI/SUPI等长的物理层密钥，移动终端发送附着请求并使用物理层密钥加密IMSI/SUPI隐私信息；

基站读取步骤7中与IMSI/SUPI等长的物理层密钥，基站接收到附着请求，并使用物理层密钥解密还原IMSI/SUPI隐私信息。

进一步地，在步骤9之前，移动终端对步骤8中自己的协商后的物理层密钥进行保密增强处理，得到最终的物理层密钥；基站对步骤7中自己的协商后的物理层密钥进行保密增强处理，得到最终的物理层密钥。

进一步地，步骤1中，所述随机接入请求的形式是前导帧，由循环前缀、前导和保护时间戳组成；

步骤2中，所述随机接入响应由前导标识、跟踪区域调整、上行授权指令以及小区无线网络临时标识组成。

进一步地，步骤3中，假设时间变量为t，定义移动终端一次发送随机接入请求所经过的时间为信号周期T，在时域上，随机接入请求对应的发送信号为s_A(t)，随机接入响应对应的发送信号为s_B(t+T)，移动终端到基站的信道增益为h_AB(t)，基站到移动终端的信道增益为h_BA(t+T)，不考虑信道噪声带来的影响，则：

基站的接收信号为：

y_B(t)＝s_A(t)h_AB(t)

基站的接收信号乘以随机接入响应对应的发送信号s_B(t+T)，得到基站处理后的接收信号为：

c_B(t)＝s_B(t+T)y_B(t)＝s_B(t+T)s_A(t)h_AB(t)

移动终端的接收信号为：

y_A(t+T)＝s_B(t+T)h_BA(t+T)

移动终端的接收信号乘以随机接入请求对应的发送信号s_A(t)，得到移动终端处理后的接收信号为：

c_A(t+T)＝s_A(t)y_A(t+T)＝s_A(t)s_B(t+T)h_BA(t+T)。

进一步地，步骤4中，假设f代表采样频率，随机接入请求对应的上行帧起始时刻为t₀，则在时间区间t∈[t₀,t₀+T]内，基站处理后的接收信号c_B(t)采样为c_B(n)，其中n＝1,2,...,N，并且N＝T·f；定义基站提取采样值的幅度和相位分别为|c_B(n)|和θ_B(n)，提取方法表示为：

θ_B(n)＝arctan(imag(c_B(n))/real(c_B(n)))

假设μ代表幅度的均值，σ代表幅度的标准差，基站根据获取的幅度量化比特：

基站根据获取的相位量化比特：

然后将幅度特征信息量化比特和相位特征信息量化比特串联，得到基站的初始密钥比特：

Q_B(n)＝Q_B1(n)||Q_B2(n)

移动终端处理后的接收信号c_A(t+T)的采样和量化同理进行。

进一步地，步骤5中，信道编码采用BCH码、Turbo码、LDPC码或极化码。

进一步地，步骤8中，单向Hash函数采用MD5、SHA-1、SHA-2或SHA-3算法实现。

与现有技术相比，本发明至少具有以下有益效果：本发明一种无需信道估计的IMSI/SUPI物理层密钥保护方法，能够防止4G系统的IMSI和5G系统的SUPI通过明文传输方式泄露给攻击者，抵御针对物理层密钥生成的信号注入和信道操纵攻击并进一步降低计算复杂度，从而更好地保护移动用户隐私和移动通信系统的安全性。具体的如下：

第一：本发明采用的物理层密钥生成过程在随机接入过程中穿插进行，只需要在移动终端和基站中写入量化初始密钥比特、密钥协商信息生成等密钥生成相关的软件算法模块，不需要修改3GPP标准协议规定的信令流程，所以本发明无论是对于4G及其之前系统的IMSI，还是5G系统的SUPI都是适用的；

第二：本发明用于生成物理层密钥的基站和移动终端处理后的接收信号，只需要通过简单乘法运算即可实现，无需进行信道估计，避免了复杂的矩阵运算，进一步降低计算复杂度，具备适用于URLLC和mMTC场景的潜力；

第三：本发明用于生成物理层密钥的基站和移动终端处理后的接收信号，都包含随机接入请求信号、随机接入响应信号和信道增益三个因式，在信道短时互易性这一前提的加持下，基站和移动终端处理后的接收信号依然满足互易性，生成的物理层密钥三个因式都相关；但是在经过攻击者的信号注入和信道操纵攻击之后，此时基站和移动终端处理后的接收信号和攻击者注入的信号或操纵的信道改变量无关；所以只要攻击者无法在极短时间内复刻随机接入请求和随机接入响应信号，本发明采用的物理层密钥生成过程就能够抵御基于信号注入和信道操纵的密钥窃取攻击。

第四：本发明在信号层面解决了IMSI/SUPI隐私信息的安全传输问题，并且由于发送信号具有一定的随机性，本发明还能够弥补传统方案在准静态信道环境下生成密钥的随机性不足的问题；其次本发明采用的初始密钥比特量化算法理论上可以达到一个采样值量化4比特初始密钥的速率；并且本发明所使用的物理层密钥长度与IMSI/SUPI等长，符合香农“一次一密”完美安全的定义，所以本发明采用的物理层密钥生成过程还具备密钥生成速率快和加解密安全可靠的优势。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式中的技术方案，下面将对具体实施方式描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为4G中认证协商之前移动终端接入网络的信令交互流程图；

图2为本发明的无需信道估计的IMSI/SUPI物理层密钥保护方法流程图；

图3为本发明的量化初始密钥比特方法示意图；

图4(a)为本发明的随机接入请求对应的发送信号时域波形示意图；

图4(b)为本发明的随机接入响应对应的发送信号时域波形示意图；

图4(c)为本发明的基站处理后的接收信号和移动终端处理后的接收信号时域波形示意图；

图4(d)为本发明的基站采样值和移动终端采样值幅度直方图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

作为本发明的某一具体实施方式，如图2所示，一种无需信道估计的IMSI/SUPI物理层密钥保护方法，包括以下步骤：

第一步，移动终端(图2中UE)在完成网络选择和小区选择之后，向基站(图2中gNB)发送随机接入请求，开启随机接入过程，其中，随机接入请求的形式是前导帧，由循环前缀、前导(preamble)和保护时间戳组成，其对应的发送信号的时域波形如图4(a)所示。

本实施例中，通信系统的制式为时分双工(TDD)模式，在此制式下，移动终端发送随机接入请求时，其物理信号在物理随机接入信道(PRACH)中传输。

第二步，基站向移动终端发送随机接入响应，表示随机接入的结果，其中，随机接入响应由前导标识、跟踪区域(TA)调整、上行授权指令以及小区无线网络临时标识(C-RNTI)组成，其对应的发送信号的时域波形如图4(b)所示。

本实施例中，基站发送随机接入响应时，其物理信号在物理下行共享信道(PDSCH)中传输。

第三步，基站和移动终端分别在物理层解析自己的接收信号，并且分别乘以随机接入响应和随机接入请求各自对应的发送信号，获取基站处理后的接收信号和移动终端处理后的接收信号；

也就是说，基站在物理层解析自己的接收信号，并乘以随机接入响应对应的发送信号，得到基站处理后的接收信号；

移动终端在物理层解析自己的接收信号，并乘以步骤1中随机接入请求对应的发送信号，得到移动终端处理后的接收信号。

在第三步中，假设时间变量为t，定义移动终端一次发送随机接入请求所经过的时间为信号周期T，通常为1-10ms，并且假设信道相干时间大于两个信号周期，即在一次交互的时间内无线信道满足短时互易性；在时域上，随机接入请求对应的发送信号为s_A(t)，随机接入响应对应的发送信号为s_B(t+T)，移动终端到基站的信道增益为h_AB(t)，基站到移动终端的信道增益为h_BA(t+T)，不考虑信道噪声带来的影响，则基站的接收信号为：

y_B(t)＝s_A(t)h_AB(t)

基站的接收信号乘以随机接入响应对应的发送信号s_B(t+T)，得到基站处理后的接收信号为：

c_B(t)＝s_B(t+T)y_B(t)＝s_B(t+T)s_A(t)h_AB(t)

移动终端的接收信号为：

y_A(t+T)＝s_B(t+T)h_BA(t+T)

移动终端的接收信号乘以随机接入请求对应的发送信号s_A(t)，得到移动终端处理后的接收信号为：

c_A(t+T)＝s_A(t)y_A(t+T)＝s_A(t)s_B(t+T)h_BA(t+T)

由无线信道的短时互易性h_AB(t)≈h_BA(t+T)可知，双方所得到的处理后的接收信号近似相等。图4(c)显示了基站处理后的接收信号和移动终端处理后的接收信号的波形图，假设基站和移动终端之间的信道为AWGN信道，信噪比为30dB，可知基站处理后的接收信号和移动终端处理后的接收信号只是在信道噪声的影响下有细微差异，满足近似相等的条件。

在第三步中，基站和移动终端的接收信号乘以各自对应的发送信号，这样的处理使得各自对应的处理后的接收信号能够有效抵御信号注入攻击。具体的，假设攻击者注入的干扰信号为W，则此时基站处理后的接收信号变为：

c_B(t)＝s_B(t+T)y_B(t)＝s_B(t+T)·(s_A(t)h_AB(t)+W)

＝s_B(t+T)s_A(t)h_AB(t)+s_B(t+T)·W

移动终端处理后的接收信号变为：

c_A(t+T)＝s_A(t)y_A(t+T)＝s_A(t)·(s_B(t+T)h_BA(t+T)+W)

＝s_A(t)s_B(t+T)h_BA(t+T)+s_A(t)·W

上述表达式中，由信道的短时互易性能够可知s_B(t+T)s_A(t)h_AB(t)与s_A(t)s_B(t+T)h_BA(t+T)是强相关的，而s_B(t+T)·W与s_A(t)·W通常是不相关的。所以在干扰信号的作用下，基站处理后的接收信号c_B(t)和移动终端处理后的接收信号c_A(t+T)是不相关的，同时与注入的干扰信号W无关。此时信号注入退化为破坏性干扰，即虽然因为干扰系统无法生成物理层密钥，但是攻击者也无法窃取物理层密钥，这样攻击者能够很容易被移动终端和基站检测出来，相对于密钥窃取造成的后果要小很多，可以视为能够抵御信号注入攻击。

在第三步中，基站和移动终端的接收信号乘以各自对应的发送信号，这样的处理使得各自对应的处理后的接收信号能够有效抵御信道操纵攻击。具体的，假设通过信道操纵信道增益的改变量为H，则此时基站处理后的接收信号变为：

c_B(t)＝s_B(t+T)y_B(t)＝s_B(t+T)s_A(t)·(h_AB(t)+H)

＝s_B(t+T)s_A(t)h_AB(t)+s_B(t+T)s_A(t)·H

移动终端处理后的接收信号变为：

c_A(t+T)＝s_A(t)y_A(t+T)＝s_A(t)s_B(t+T)·(h_BA(t+T)+H)

＝s_A(t)s_B(t+T)h_BA(t+T)+s_A(t)s_B(t+T)·H

当H＞＞h_AB(t)时，c_B(t)≈s_B(t+T)s_A(t)·H且c_A(t+T)≈s_A(t)s_B(t+T)·H。

上述表达式中，基站处理后的接收信号c_B(t)和移动终端处理后的接收信号c_A(t+T)仍然强相关，表明信道操纵攻击不影响正常密钥生成过程。但是，为了达到攻击效果，信道操纵强度通常很大，即H＞＞h_AB(t)，容易得到此时c_B(t)和c_A(t+T)与H通常是不相关的。所以除非攻击者能够窃取到基站和移动终端原本对应的发送信号s_B(t+T)和s_A(t)，否则无法仅凭H窃取物理层密钥。

第四步，基站和移动终端分别对第三步中获取的基站处理后的接收信号和移动终端处理后的接收信号采用相同的采样频率进行采样，获取采样值，并提取采样值的幅度和相位量化生成初始密钥比特；

也就是说，基站对第三步中得到的基站处理后的接收信号进行采样，获取采样值，并提取采样值的幅度和相位量化生成初始密钥比特；

移动终端对第三步中得到的移动终端处理后的接收信号进行采样，获取采样值，并提取采样值的幅度和相位量化生成初始密钥比特。

在第四步中，假设f代表采样频率，随机接入请求对应的上行帧起始时刻为t₀，则在时间区间t∈[t₀,t₀+T]内，基站处理后的接收信号c_B(t)采样为c_B(n)，其中n＝1,2,...,N并且N＝T·f；定义基站提取采样值的幅度和相位分别为|c_B(n)|和θ_B(n)，提取方法表示为：

θ_B(n)＝arctan(imag(c_B(n))/real(c_B(n)))

优选的，采用如图3所示的量化初始密钥比特算法，具体方法如下：

假设μ代表幅度的均值，σ代表幅度的标准差，基站根据获取的幅度量化比特：

基站根据获取的相位量化比特：

然后将幅度特征信息量化比特和相位特征信息量化比特串联，得到基站的初始密钥比特：

Q_B(n)＝Q_B1(n)||Q_B2(n)

移动终端处理后的接收信号c_A(t+T)的采样和量化同理进行，最终提取采样值的幅度|c_A(n)|、相位θ_A(n)和初始密钥比特Q_A(n)。

图4(d)显示了基站采样值的幅度|c_B(n)|和移动终端采样值的幅度|c_A(n)|，假设基站和移动终端之间的信道为AWGN信道，信噪比为30dB，采样频率为100Hz，可知基站采样值和移动终端采样值只是在信道噪声的影响下有细微差异，满足近似相等的条件，量化生成的初始密钥比特一定具备非常高的一致率。

第五步，移动终端读取生成的初始密钥比特K_A并进行信道编码，获得编码码字c_A，编码码字由信息位K_A和校验位S串联组成，其中，信道编码可以采用BCH码、Turbo码、LDPC码和极化码等。

第六步，移动终端向基站发送连接建立请求和作为协商信息的校验位S；基站读取初始密钥比特K_B并将其与接收到的校验位S组合成新的码字c_B。

第七步，基站将新的码字c_B译码得到译码后的码字c_A′，译码后校验位S不变，提取译码后的码字信息位K_A′作为协商后的密钥。

第八步，基站将译码后的码字c_A′通过单向Hash函数运算得到协商回复H(c_A′)，然后向移动终端发送RRC连接建立和协商回复H(c_A′)；同时，移动终端计算编码码字c_A的单向Hash函数值H(c_A)，并比较H(c_A′)和H(c_A)是否相等；

若相等，移动终端将编码码字的信息位K_A提取出来作为协商后的密钥；

若不相等，则物理层密钥生成出现错误(图2中的NULL)，移动终端将启用其他已有技术方案安全传输IMSI等隐私信息。

在第八步中，单向Hash函数指的是将任意输入通过散列算法变换为固定输出的函数，满足单向性(无反函数运算)和抗碰撞性(不同输入没有相同输出)性质。单向Hash函数可以采用MD5、SHA-1、SHA-2、SHA-3等算法实现。

第九步，移动终端和基站分别对提取出的信息位K_A和K_A′进行保密增强处理，得到最终的物理层密钥。

在第九步中，保密增强仍然采用单向Hash函数实现，需要注意的是用以保密增强的Hash函数算法不能和第八步中用以密钥协商和一致性验证的Hash函数算法相同。

第十步，移动终端读取自己的与IMSI/SUPI等长的物理层密钥，移动终端发送附着请求并使用物理层密钥加密IMSI/SUPI等隐私信息；基站读取自己的与IMSI/SUPI等长的物理层密钥，基站接收到附着请求，并使用物理层密钥解密还原IMSI/SUPI隐私信息。也就是说，基站和移动终端读取与IMSI/SUPI等长的物理层密钥，然后移动终端发送附着请求并使用物理层密钥加密IMSI/SUPI等隐私信息；基站接收到附着请求，使用物理层密钥解密还原IMSI/SUPI等隐私信息。

本发明所述实施例能够充分保护IMSI/SUPI等移动终端隐私信息，具备密钥生成速率快、密钥生成算法计算复杂度低、和现有系统兼容、加解密安全可靠等优势。并且在密钥生成阶段，只要攻击者无法在极短时间内复刻随机接入请求和随机接入响应信号，就无法通过信号注入和信道操纵实施密钥窃取攻击。本发明不仅可以作为5G及其新应用场景下SUPI隐私保护的一个备选方案，也可以用以弥补4G及之前的移动通信系统中“初始注册过程中IMSI的明文传输”的安全漏洞。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims (7)

1.一种无需信道估计的IMSI/SUPI物理层密钥保护方法，其特征在于，包括以下步骤：

步骤1：移动终端在完成网络选择和小区选择之后，向基站发送随机接入请求；

步骤2：基站向移动终端发送随机接入响应；

步骤3：基站在物理层解析自己的接收信号，并乘以步骤2中随机接入响应对应的发送信号，得到基站处理后的接收信号；

移动终端在物理层解析自己的接收信号，并乘以步骤1中随机接入请求对应的发送信号，得到移动终端处理后的接收信号；

步骤4：基站对步骤3中得到的基站处理后的接收信号进行采样，获取采样值，并提取采样值的幅度和相位量化生成初始密钥比特；

移动终端对步骤3中得到的移动终端处理后的接收信号进行采样，获取采样值，并提取采样值的幅度和相位量化生成初始密钥比特；

其中，基站和移动终端的采样频率相同；

步骤5：移动终端读取步骤4生成的初始密钥比特并进行信道编码，获得编码码字，所述编码码字由信息位和校验位串联组成；

步骤6：移动终端向基站发送连接建立请求和作为协商信息的校验位；基站同时读取步骤4生成的初始密钥比特并将其与接收到的校验位组合成新的码字；

步骤7：基站将步骤6得到的新的码字进行信道译码，得到译码后的码字，并提取译码后的码字信息位作为协商后的物理层密钥；

步骤8：基站将步骤7得到的译码后的码字通过单向Hash函数运算得到协商回复，然后向移动终端发送RRC连接建立和协商回复；

移动终端同时计算步骤5获得的编码码字的单向Hash函数值，并比较其与接收到的协商回复是否相等；

若相等，移动终端提取步骤5获得的编码码字的信息位作为协商后的物理层密钥；

若不相等，则物理层密钥生成出现错误，移动终端将启用其他已有技术方案安全传输IMSI/SUPI隐私信息；

步骤9：移动终端读取步骤8中与IMSI/SUPI等长的物理层密钥，移动终端发送附着请求并使用物理层密钥加密IMSI/SUPI隐私信息；

基站读取步骤7中与IMSI/SUPI等长的物理层密钥，基站接收到附着请求，并使用物理层密钥解密还原IMSI/SUPI隐私信息。

2.根据权利要求1所述的一种无需信道估计的IMSI/SUPI物理层密钥保护方法，其特征在于，在步骤9之前，移动终端对步骤8中自己的协商后的物理层密钥进行保密增强处理，得到最终的物理层密钥；基站对步骤7中自己的协商后的物理层密钥进行保密增强处理，得到最终的物理层密钥。

3.根据权利要求1所述的一种无需信道估计的IMSI/SUPI物理层密钥保护方法，其特征在于，步骤1中，所述随机接入请求的形式是前导帧，由循环前缀、前导和保护时间戳组成；

步骤2中，所述随机接入响应由前导标识、跟踪区域调整、上行授权指令以及小区无线网络临时标识组成。

4.根据权利要求1所述的一种无需信道估计的IMSI/SUPI物理层密钥保护方法，其特征在于，步骤3中，假设时间变量为t，定义移动终端一次发送随机接入请求所经过的时间为信号周期T，在时域上，随机接入请求对应的发送信号为s_A(t)，随机接入响应对应的发送信号为s_B(t+T)，移动终端到基站的信道增益为h_AB(t)，基站到移动终端的信道增益为h_BA(t+T)，不考虑信道噪声带来的影响，则：

基站的接收信号为：

y_B(t)＝s_A(t)h_AB(t)

基站的接收信号乘以随机接入响应对应的发送信号s_B(t+T)，得到基站处理后的接收信号为：

c_B(t)＝s_B(t+T)y_B(t)＝s_B(t+T)s_A(t)h_AB(t)

移动终端的接收信号为：

y_A(t+T)＝s_B(t+T)h_BA(t+T)

移动终端的接收信号乘以随机接入请求对应的发送信号s_A(t)，得到移动终端处理后的接收信号为：

c_A(t+T)＝s_A(t)y_A(t+T)＝s_A(t)s_B(t+T)h_BA(t+T)。

5.根据权利要求4所述的一种无需信道估计的IMSI/SUPI物理层密钥保护方法，其特征在于，步骤4中，假设f代表采样频率，随机接入请求对应的上行帧起始时刻为t₀，则在时间区间t∈[t₀,t₀+T]内，基站处理后的接收信号c_B(t)采样为c_B(n)，其中n＝1,2,...,N，并且N＝T·f；定义基站提取采样值的幅度和相位分别为|c_B(n)|和θ_B(n)，提取方法表示为：

θ_B(n)＝arctan(imag(c_B(n))/real(c_B(n)))

假设μ代表幅度的均值，σ代表幅度的标准差，基站根据获取的幅度量化比特：

基站根据获取的相位量化比特：

然后将幅度特征信息量化比特和相位特征信息量化比特串联，得到基站的初始密钥比特：

Q_B(n)＝Q_B1(n)||Q_B2(n)

移动终端处理后的接收信号c_A(t+T)的采样和量化同理进行。

6.根据权利要求1所述的一种无需信道估计的IMSI/SUPI物理层密钥保护方法，其特征在于，步骤5中，信道编码采用BCH码、Turbo码、LDPC码或极化码。

7.根据权利要求1所述的一种无需信道估计的IMSI/SUPI物理层密钥保护方法，其特征在于，步骤8中，单向Hash函数采用MD5、SHA-1、SHA-2或SHA-3算法实现。

Images