CN116325847A - 用于认证主站的方法和设备 - Google Patents

用于认证主站的方法和设备 Download PDF

Info

Publication number
CN116325847A
CN116325847A CN202180067950.4A CN202180067950A CN116325847A CN 116325847 A CN116325847 A CN 116325847A CN 202180067950 A CN202180067950 A CN 202180067950A CN 116325847 A CN116325847 A CN 116325847A
Authority
CN
China
Prior art keywords
signature
station
time
primary
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202180067950.4A
Other languages
English (en)
Inventor
O·加西亚莫尔琼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from EP20189373.2A external-priority patent/EP3952239A1/en
Application filed by Koninklijke Philips NV filed Critical Koninklijke Philips NV
Publication of CN116325847A publication Critical patent/CN116325847A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/108Source integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及一种用于使次站在蜂窝网络中获得时间参考以便验证接收到的消息的新鲜度的方法。所述方法包括以下步骤:从多个主站接收多个系统信息SI消息,所述SI消息均包括与对应主站有关的相应时间参考信息,针对所述主站中的每个主站检查接收到的签名的有效性,针对所述主站中具有有效签名的每个主站检查小区标识符,并且忽略来自具有与另一主站相同的小区标识符并且具有比来自其他主站的值更早的值的主站的时间参考信息,并且根据源自于具有有效签名的主站的所述时间参考信息中的一个或多个来推导本地时间参考。

Description

用于认证主站的方法和设备
技术领域
本发明涉及无线通信领域,并且具体地涉及主站(例如基站)与次站(例如形成网络的终端或移动站)之间的通信的安全方面。其他实体可以存在于这样的网络中,诸如安全实体。
背景技术
在无线网络中,终端连接到网络以便交换数据。安全性是至关重要的,特别是对于不需要物理交互来访问网络的无线设备。因此,无线网络必须实施一些措施以能够排除未在网络中被授权的设备。
常规攻击包括攻击者冒充无线网络的实体,并且特别是主站或基站。因此,许多对策旨在认证网络的各种实体的身份。
3GPP是负责移动电信系统的全球解决方案的标准化的组织。3GPP合伙关系中开发的电信系统也不例外。特别地,在5G中,正在讨论安全措施来加强网络的安全性。
在图1所图示的这些电信系统中,次站100充当终端或终端设备(在5G中也称为用户装备UE)。次站可以通过充当部署在现场的基站(在5G中也称为gNB)的主站110来访问不同类型的服务,包括语音和数据服务。每个主站110服务于存在于一区域(也称为小区111)中的次站100并与其通信。主站连接到核心网络(CN)120-由网络运营商管理-其控制电信系统和协调服务递送。
如上所述,攻击者可以通过使用“假”基站(FBS)以多种方式攻击次站来冒充诸如主站的网络实体。FBS表现为由网络运营商管理的适当主站,并且旨在吸引具有不同目标的UE,诸如:
-执行DoS攻击,
-获得私有用户数据,
-执行中间人(MitM)攻击和后续攻击(例如,aLTEr、imp4gt、网络错误配置…),
-执行认证中继攻击;
-执行自组织网络中毒攻击,
-发送虚假的公共警告信息。
在3GPP TS 33.501的附录E中,已经描述了网络如何可以使用在RRC_CONNECTED模式下的测量报告中发送的信息来执行“UE辅助的基于网络的假基站检测”。
3GPP当前讨论的解决方案之一在于将签名生成器121实施为数字签名网络功能(DSnF)的一部分,该数字签名网络功能将是核心网络120的一部分,并且将允许保护广播消息。它特别地旨在确保源认证。因此,如图2所示,当主站110必须广播系统信息时,它向核心网络120发送请求201,核心网络120向签名生成器121传输对应请求202。然后,签名生成器121在203中计算对应签名,并通过核心网络120向主站110提供签名消息204,该签名消息204将在稍后的时间点205被广播。
3GPP当前正在研究FBS问题并讨论不同的解决方案。正在受到更多关注和支持的解决方案之一在于实施数字签名网络功能(DSnF),该数字签名网络功能(DSnF)将是CN的一部分,并且将允许保护广播消息(源认证)。当gNB必须广播系统信息时,它向DSnF发送请求,该DSnF向gNB提供将在稍后时间点被广播的签名消息。
因此,在如5G中的网络中,针对UE提出的整体过程如下:
i)扫描频率,
ii)移除或忽略配置消息,诸如具有重复PCI(物理小区标识符)(即呈现相同的小区标识符)的系统信息(SI)消息,这意味着它们中的至少一个是假基站;
iii)获取配置消息(例如MIB/SIB),
iv)检查与配置消息相关联的签名,
v)检查时间标记是否示出消息确实是最近发送的,以确定消息的新鲜度。这对于由真主站发起但由假基站重复或中继(通常一旦被篡改)的消息的情况是有用的,并且
vi)如果UE不具有时间概念或如果新鲜度检查失败,则使用来自多个小区的信息来检查时间一致性。
然而,该协议呈现攻击者可以使用的一些弱点。特别地,利用针对系统的对策之一是可能的。例如,如果攻击者使用具有与真基站相同的标识符(例如,PCI)的多个假基站,则真基站和FBS两者都将被排除。然后,攻击者添加具有不同标识符的另一FBS就足够了,并且这将是小区中UE的唯一可用选项。然后,这样的UE将使用由FBS提供的错误信息,诸如一旦在操作中就将致使新鲜度检查无用的不正确时间。
发明内容
本发明的一个目的是缓解上述问题。
本发明的另一目的是提供一种允许增加攻击者访问或冒充网络实体的难度的方法。
本发明的又一目的是提供一种能够检测假基站以忽略其消息的次站。
因此,根据本发明的第一方面,提出了一种根据权利要求1所述的用于使次站在蜂窝网络中获得时间参考的方法。根据该第一方面,所述方法包括以下步骤:
从多个主站接收多个系统信息SI消息,所述SI消息均包括与对应主站有关的相应时间参考信息,
针对所述主站中的每个主站检查接收到的签名的有效性,
针对所述主站中具有有效签名的每个主站检查小区标识符,并且忽略来自具有与另一主站相同的小区标识符并且具有比来自其他主站的值更早的值的主站的时间参考信息,并且
根据源自于具有有效签名的主站的所述时间参考信息中的一个或多个来推导本地时间参考。
因此,通过在签名验证之前不移除源自于具有相同标识符的主站的配置消息,允许首先排除将使用已经存在的标识符的任何假基站。因此,攻击者不再可能通过该检查使次站排除真主站。因此,这使得次站一旦在网络中操作就能够获得新鲜度检查所需的正确定时信息。
在第一方面的第一变型中,所述时间参考信息是以下各项中的至少一项:表示所述主站处的时钟值与所述网络的签名生成器处的时钟值之间的差的时间偏移、所述主站处的时钟值、所述签名生成器处的时钟值。
这允许时间的通信在开销方面是有效的,因为它可以被编码为与主站已经可用的时间的偏差(或偏移)。
在第一方面的另一变型中,所述推导本地时间参考的步骤包括根据源自于具有有效签名并且没有具有更早时间的重复小区标识符的主站的多个时间参考信息来计算平均值。
因此,这允许减轻时间的一些误差或偏差。这也使得攻击更加困难,因为所计算的时间将仅部分地基于假基站,因此需要更大的数量是真正有害的。
在本发明的第一方面的又一变型中,推导本地时间参考的步骤包括选择源自于具有有效签名的主站的具有最新值的所述时间参考信息。
因此,该变型使用由各种验证的主站显示的最新时间。因此,这有助于防止假基站使用旧时间值以便重放过去的消息并且一旦在操作中就通过新鲜度准则。
此外,根据本发明的可以独立于第一方面及其变型使用或与第一方面及其变型组合使用的另一方面,提出了一种用于次站的方法,包括:
所述次站在初始连接到所述网络时发送对时间参考的请求,所述请求被寻址到签名生成器,
其中,对时间参考的所述请求包括被用作随机数的随机生成的数字,
接收所述时间参考和所述随机数,其中,利用随机数签名对所述时间参考和所述随机数进行签名,
使用所述随机数和所述随机数签名来检查接收到的消息的真实性,
使用接收到的时间参考来配置所述次站处的时钟。
在本发明的该方面的变型中,所述请求是初始无线电资源通信RRC设置请求消息的部分。替代地,所述请求可以是响应于网络访问层NAS身份请求而发送的NAS身份响应消息的部分。
可以与本发明的第一方面结合使用以便使得该系统抵抗攻击甚至更可靠的本发明的该方面呈现了早期集成的优点。因此,该解决方案不会泄漏任何次站信息,尽管在主站处向无线电资源控制RRC设置流程和状态机添加了一些步骤。
在可以与本发明的所有先前方面及其变型结合使用的变型中,使用以下算法中的至少一种来检查接收到的签名:公钥基础设施(PKI)算法、Boneh-Lynn-Shacham(BLS)签名算法、Boneh-Gentry-Lynn-Shacham(BGLS)签名算法、椭圆曲线数字签名算法(ECDSA)、Falcon签名算法、Rainbow签名算法、Great Multivariate Short Signature(GEMSS)算法。
根据本发明的第二方面,提出了一种如权利要求9所述的次站。该次站适于在网络中进行通信,并且包括:接收器,其适于从多个主站接收多个系统信息SI消息,所述SI消息均包括与对应主站有关的相应时间参考信息,
控制器,其被配置为针对所述主站中的每个主站检查接收到的签名的有效性,并且至少针对所述主站中具有有效签名的每个主站检查小区标识符,并且忽略来自具有与另一主站相同的小区标识符并且具有比来自其他主站的值更早的值的主站的时间参考信息,并且
所述控制器适于根据源自于具有有效签名的主站的所述时间参考信息中的一个或多个来推导本地时间参考。
因此,通过在签名验证之前不移除源自于具有相同标识符的主站的配置消息,允许首先排除将使用已经存在的标识符的任何假基站。因此,攻击者不再可能通过该检查使次站排除真主站。因此,这使得次站一旦在网络中操作就能够获得新鲜度检查所需的正确定时信息。
注意,上述装置可以基于具有分立硬件部件的分立硬件电路、集成芯片或芯片模块的布置来实施,或基于由存储在存储器中、写在计算机可读介质上或从网络(诸如因特网)下载的软件例程或程序控制的信号处理设备或芯片来实施。
应当理解,根据权利要求1所述的方法和根据权利要求9所述的次站可以具有相似和/或相同的优选实施例,特别地如从属权利要求中所限定的。
应当理解,本发明的优选实施例也能够是独立权利要求或以上实施例与相应从属权利要求的任何组合。
参考下文所述的实施例,本发明的这些和其他方面将是显而易见的并且得到阐明。
附图说明
已经描述的图1是表示其中可以实施本发明的蜂窝网络的框图;
已经描述的图2是表示根据协议提议的消息交换的逻辑时间图;
图3是表示根据本发明的第一实施例的方法的流程图;
图4是表示根据本发明的第二实施例的方法的流程图;
图5是表示根据本发明的第一实施例的次站的框图;
图6是表示根据本发明的第三实施例的方法的流程图;
图7是表示根据本发明的第三实施例的另一方面的方法的流程图;
图8是表示根据本发明第三实施例的次站和签名生成器的框图;
图9是表示根据本发明的第四实施例的另一方面的方法的流程图;
图10是示出根据本发明第四实施例的连续消息和对应签名的传送协议的时间图;
图11是示出根据本发明的第四实施例的变型的连续消息和对应签名的替代协议的时间图;
图12是表示根据第五实施例的第一示例的网络的框图;
图13是表示根据第五实施例的第二示例的网络的框图;并且
图14是表示根据本发明第六实施例的网络的框图;
图15是示出根据本发明的另一实施例的连续消息和对应签名的替代协议的时间图;
图16是示出根据本发明的该另一实施例的变型的连续消息和对应签名的替代协议的时间图;
图17是表示根据本发明的又一实施例的用于系统信息保护的协议的流程图;
图18是表示根据本发明的又一实施例的用于系统信息保护的协议的流程图;
图19是表示根据本发明的又一实施例的用于系统信息保护的协议的流程图;
图20是表示根据本发明的又一实施例的用于系统信息保护的协议的流程图;
图21是表示根据本发明的又一实施例的用于系统信息保护的协议的流程图;
图22是表示根据本发明的又一实施例的用于系统信息保护的协议的流程图;并且
图23是描绘三种类型的MitM设备和使用MitM设备的特定攻击场景的框图。
具体实施方式
如上所见,本发明可以在蜂窝网络(例如5G网络)中实施。如关于图1所见,这样的蜂窝网络包括多个终端或次站100,其是可以从网络小区行进到另一网络小区111的移动设备(或UE)。每个小区111由主站110(或gNodeB)服务,主站110(或gNodeB)形成次站100和核心网络120之间的接口。
因此,次站100与主站110在各种无线电信道(上行链路(从次站到主站)和下行链路(从主站到次站))上通信。存在其他无线电信道,例如在次站之间(例如,侧链路信道)和在主站之间(例如,X2接口),但是为了图1的简单起见,未进行表示。本发明的实施例也可以应用于这些接口,但是在描述的以下部分中将集中于次站和主站之间的链路。
为了允许次站连接到网络,主站110可以在小区111上广播一些配置信息。该配置信息包括主信息块(MIB)和系统信息块。首先,MIB是周期性地(例如,每80ms)广播并且包括允许对后续SIB进行解码的所有所需信息的消息。
Figure BDA0004159029050000041
一旦次站获得MIB,它就可以对也可以周期性地(例如,每80ms、160ms)或根据次站的请求而传送的若干系统信息块进行解码。这些SIB描述网络的操作和参数。为了改善整个网络的安全性,建议向这些SIB添加数字签名,防止任何人冒充主站。数字签名是将实体绑定到数字数据的技术。该绑定可以由接收者以及任何第三方独立验证。因此,数字签名是根据数据和仅签名者知道的秘密密钥计算的密码值。在当前情况下,数据对应于SIB本身中携带的有效载荷。签名允许次站保证消息属于主站。
在5G的示例中,可用选项之一是核心网络120的数字签名生成器在来自主站110的针对每个消息的请求时生成签名并向这些主站提供签名。另一选项是在每个主站中包括数字签名生成器。这个解决方案可以用于至少一些消息,这将减少核心网络的数字签名生成器上的负荷。
这些签名的一个方面是确保签名不是由第三方添加的,例如,正在重放消息以冒充真主站的攻击者。为了避免这种情况,可以将新鲜度值添加到签名以确保签名是最近生成的。因此,验证信息新鲜度的一个选项是通过同步时钟并检查信息不太旧。时间基于签名生成器(DSnF)所拥有的时间,并且次站(UE)必须知道该时间。该时间可能与次站可用的其他时间或主站可用的时间不同。然而,这要求次站和生成签名的实体以某种方式同步。
从整个网络的角度来看,签名生成器(DSnF)、主站(gNB)和次站处理时间差的操作可以如下:
-当主站向签名生成器发送对其参数中的至少一些参数(例如其静态参数,即在长间隔时间段期间保持不变的静态参数)的签名请求时,主站可以包括其自己的时间。当这样做时,主站和签名生成器可以运行时间协议(诸如简单网络时间协议,SNTP)以校正由于消息传送的延迟或不同的本地时间引起的定时误差。签名生成器可以对与主站时钟值和签名生成器时钟值之间的时间差相关的字段(例如gNB_DSnF_time_difference字段)进行签名。由于该值不应当随时间偏离太多,因此只要时钟之间的差不偏离超过阈值,这就是静态字段。
通常,时间应当在长间隔时间段期间保持同步。如果该假设不成立,则主站再次要求签名生成器对时间差进行签名。然后,签名生成器可以在每个签名消息中包括与主站的最新静态时间差及其当前时间。通常,时间应当在长间隔时间段期间保持同步。如果该假设不成立,则主站再次要求签名生成器对时间差进行签名。然后,签名生成器可以在每个签名消息中包括与主站的最新静态时间差及其当前时间。
在操作中,主站可以定期广播包括主站和签名生成器之间的时间差的签名消息。主站的时间在系统信息块9SIB9中广播,或可以在其他系统信息消息中广播。为了减少通信开销,该时间也可以被包括在SIB1中。SIB9中的时间可以包括UTC时间以及GPS时间,并且它可以被计算为GPS时间(以秒为单位)=timeInfoUTC(以秒为单位)-2,524,953,600(秒)+如SIB9中所定义的跳跃秒。替代地,也可能包括签名生成器(DSnF)所拥有的签名时间。
在接收到SIB1和SIB9中的定时信息时,次站获得签名生成器时间并检查接收到的消息是否太旧,例如,不比签名有效性持续时间更旧,例如,比系统帧编号/超帧编号(SFN/HFN)持续时间(2h54’45”)更短。换句话说,签名消息仅在大约3小时内有效。
在没有其他时间源的情况下,一旦次站加入主站并建立与核心网络的安全连接,该时间可以用于同步次站时钟。由主站分配的时间提供大约10ms的同步误差,这对于系统信息的安全广播的目的是足够的。实际上,MIB和SIB1以至少80ms的周期分配。一旦设备已经加入可信的主站并访问可信的签名生成器时间:
a)该设备应当通过使用标准技术进一步改善其时间同步。
b)此后,该设备不应当更新其时间,除非它检测到它由于其他原因已经失去同步。
此外,由于上述时间准确度可能不够,或攻击者可能重放来自有效主站的旧签名消息,因此次站需要一些外部数据源来进一步验证其时间。以下选项是可行的:
-如果签名生成器具有与GPS相关的时间,并且该关系是已知的,则次站可以获得该时间。然而,并非所有设备都具有GPS单元,或GPS信号的接收可能在一些位置中是不可能的。
-在没有任何时间参考的情况下并且在加入任何主站之前,次站可以获知来自多个主站的广播SI,并且检查它们的相似性,并且取得最新的时间。这具有攻击者可能放置多个伪基站使得次站获得错误时间的问题。如果次站在任何签名验证之前拒绝具有重复小区标识符(PCI)的主站,则会出现另一个问题。除了这可以增加小区选择过程的持续时间(因为直到扫描所有频率该过程才能结束)的事实之外,这涉及附加的问题。如果这样做,攻击者可以仅仅通告真基站的重复的假基站,即,具有相同的PCI-不需要签名,使得次站将不考虑来自那些主站的良好时间测量。在这种情况下,次站应当首先检查签名并拒绝未正确签名的系统信息。如果在该步骤之后存在从具有相同PCI的两个不同主站广播的系统信息,则次站应当采用具有最近系统信息的值。如果存在广播系统信息的多个主站被正确地签名并且其时间接近(例如,在80ms内),则一种方法是将最高时间作为正确时间。然而,这也可能是因为主站稍微不同步。另一种方法是次站将其时间计算为接收时间的平均值。
因此,根据本发明的第一实施例,提出了次站基于仅从有效签名的主站获得的信号来获得用于保持同步的时间参考,如图3所示。为此,在步骤S301处,次站100首先从例如服务于所有相邻小区的多个主站110接收多个系统信息SI消息。这些SI消息均包括与对应主站有关的相应时间参考信息。该时间参考通常是在消息签名时在签名生成器处的时钟值、或是在SI消息传送时主站的时钟值。时间参考还可以基于系统帧号和/或其中发送SI消息的子帧号与定时映射参考的组合,该定时映射参考使得次站能够计算绝对时间。
在步骤S302处,次站针对所述主站中的每个主站检查接收到的签名的有效性。未发现签名有效的任何主站然后针对定时信息的计算被忽略。在步骤S303处,次站然后针对所述主站中具有有效签名的每个主站检查小区标识符,并忽略来自具有与另一主站相同的小区标识符的主站的时间参考信息。例如,具有比共享相同小区标识符的主站更早的值的主站被排除。这意味着在步骤S303处,次站比较所有主站的小区标识符。如果存在任何重复的小区标识符,则次站假定示出更早的时间值和重复的小区标识符的主站是重放过去消息的假基站。
在步骤S304处,次站根据源自于具有有效签名的主站的所述时间参考信息中的一个或多个来推导本地时间参考。因此,次站在步骤S302和S303处排除假基站之后可以信任剩余的主站,并且为了至少检查接收到的消息的新鲜度的目的而获得次站基于推断的时间来同步其时钟的时间参考。
如先前所述,时间参考信息可以是主站处的时钟值、或签名生成器处的时钟值。替代地,时间参考可以是表示主站处的时钟值与网络的签名生成器处的时钟值之间的差的时间偏移。因此,次站此后可以从主站的时钟值或从消息的系统帧号推断出签名生成器的时钟值。
步骤S304处的本地时间参考的计算可以通过计算平均一些或全部时间参考信息来执行,所述时间参考信息源自于具有有效签名并且没有具有更早时间的重复小区标识符的主站。例如,在某种优先级或信任信用(例如,基于硬件或固件版本)上首选一些检测到的主站可能是有利的。替代地,步骤S304包括选择源自于具有有效签名并且没有具有更早时间的重复项的主站的具有最新值的时间参考信息。
图5是表示根据本发明第一实施例的次站500的框图。该次站包括通信单元501,该通信单元501包括适于在网络中(例如在5G蜂窝网络中)进行通信的接收器502和发射器503。
接收器502包括至少一个天线或具有多个天线的天线阵列。该接收器可以适于接收从多个主站发送的消息。这样的消息可以是用于通信网络中的次站通信单元501的配置的系统信息SI消息。这些SI消息均包括与其相应的主站有关的相应时间参考信息。次站500还包括控制器504以控制次站的操作。该控制器可以是计算机编程单元或硬件和软件的其他组合。控制器504被配置为针对所述主站中的每个主站检查接收到的签名的有效性,并且至少针对所述主站中具有有效签名的每个主站检查小区标识符,然后,控制器504忽略来自具有与另一主站相同的小区标识符并且具有比来自另一主站的值更早的值的主站的时间参考信息。最后,控制器504根据源自于具有有效签名的主站的所述时间参考信息中的一个或多个来推导本地时间参考。
在可以独立于第一实施例实施但也可以与第一实施例组合的第二实施例中,提出了次站直接访问签名生成器时间。次站第一次连接到网络(例如5G系统)时和/或在没有可信时间的情况下和/或在长时间段离线之后,即使时间验证检查是错误的,次站也可以加入主站。在这种情况下,由次站执行的第一动作是直接访问签名生成器时间。在这种情况发生之前,不必执行其他动作。为此,次站可以开始与核心网络的安全时间请求连接。在时间请求连接的第一消息中,次站将包括随机数(例如,128位或更长的随机生成值)以确保握手的新鲜度。次站也将启动本地定时器。从次站的角度来看,该消息不需要是安全的。该消息将被转发到签名生成器(DSnF),签名生成器(DSnF)将对其当前时间和接收到的随机数进行签名。然后通过主站将消息发送到次站。在接收到消息时,次站检查签名的有效性和随机数的存在,使得次站知道该消息没有重放并且它是新的。如果定时器没有超过给定值,例如20ms,则次站可以检查是否接受消息。然后,次站可以通过添加定时器/2来校正接收到的签名生成器时间。在给定该时间的情况下,次站可以继续检查签名的系统信息和时间的有效性。如果接收到的系统信息是最近的,则它可以加入主站。如果其不是最近的,则次站将与主站断开。上述握手的替代方案是执行与签名生成器的任何其他安全时间同步协议以获得其时间。我们注意到,该协议的风险是被攻击者误用来向签名生成器发送许多时间请求以使其泛洪,但是如果给定阈值(每秒的请求量)超过阈值,则那些时间请求可能在系统的不同部分(例如,主站)处被阻止。
该协议可以集成在初始RRC设置流程中。一种方法是在RRCSetupRequest中包括随机数。来自签名生成器的签名应答由主站包括在RRCSetup消息中。这种早期集成的优点在于,这不会泄漏任何与次站相关的信息。然而,这使得主站处的RRC设置流程和状态机更加复杂。替代地,随机数可以包括在由次站发送的NAS身份响应消息中,作为对NAS身份请求的应答。当核心访问和移动性管理功能(AMF)接收到具有随机数的该消息时,AMF将其转发到签名生成器以进行时间签名。应当在AMF向次站发送NAS认证请求之前或同时提供应答。以这种方式,次站可以在参与任何进一步的通信之前验证时间和主站证书。
因此,如先前所见,在现在参考图4描述并且可以与第一实施例组合或独立实施的第二实施例中,在步骤S401处,次站也可以在到网络的初始连接时发送对时间参考的请求,所述请求被寻址到签名生成器。如果这个签名生成器在与主站不同的实体中,则这个请求可以可选地由主站转发到签名生成器站。对时间参考的请求包括由次站准备的用作随机数的随机生成的数字。
在步骤S402处,次站接收包括时间参考和随机数的响应消息。利用由签名生成器准备的随机数签名对时间参考和随机数进行签名。然后,在步骤S403处,次站通过使用随机数和随机数检查接收到的消息的真实性。最后,次站使用接收到的时间参考来配置次站处的时钟。
在该实施例中,该请求可以是初始无线电资源通信RRC设置请求消息的部分,或是响应于NAS身份请求而发送的网络访问层NAS身份响应消息的部分。
在任何前述实施例中,应当注意,接收到的签名由签名生成器使用以下算法中的至少一种来准备:公钥基础设施(PKI)算法、Boneh-Lynn-Shacham(BLS)签名算法、Boneh-Gentry-Lynn-Shacham(BGLS)签名算法、椭圆曲线数字签名算法(ECDSA)、Falcon签名算法、Rainbow签名算法、Great Multivariate Short Signature(GEMSS)算法。类似地,次站使用对应算法来验证签名的有效性。
另外,作为上述解决方案的补充,如果签名生成器依赖于来自可信外部源的时间(例如,当前NIST信标或来自已知参考源的时间),则如果次站具有不同类型的连接,例如,WiFi,则次站可以直接获得当前时间。签名生成器本身也可以具有能够是次站已知的/对次站预先配置的已知API,使得次站一旦访问因特网就可以在任何时间访问时间源。
根据可以与第一和/或第二实施例中的任何一个组合使用或独立使用的第三实施例,提出了根据包括在系统信息块中的参数的类型使用不同的签名。实际上,已经认识到,配置消息中包括的一些参数是静态的,并且不太可能需要频繁更新。因此,可以对静态参数签名一次,并在随后的消息中重新使用所获得的签名。
实际上,当前解决方案没有利用系统信息块SIB的一些字段保持静态而其他字段保持变化的事实。当前使用的选项是始终对所有内容进行签名。然而,这可能是低效的。
因此,根据第三实施例的第一示例,提出了将签名计算为:
DSA(HASH(HASH(fixed_field)|changing_field))
其中DSA是数字签名算法,例如ECDSA,并且HASH是散列函数,例如散列、散列链或Merkle树。fixed_field是可以包括其值本质上是静态的一个或多个参数值的字段。静态意味着例如不太可能发生该静态参数配置的改变,例如因为这些参数配置与小区的接地配置相关联。相反,changing_field通常包括可能例如基于小区的当前负荷或干扰状态来定期调整的更多动态参数值。
该方法还减少了通信开销,因为固定字段不需要在每个单个消息中提交给签名生成器。相反,可以传递哪些字段保持恒定并且持续多长时间、以及变化字段的值。类似地,当与签名生成器通信时,主站只能发送HASH(fixed_field)。显然,这具有签名生成器没有机会验证系统信息的风险。该验证可以在签名生成器之后完成;并且在稍后的迭代中,签名生成器只能检查固定字段的散列不改变。
类似地,可以按MIB和SIB计算签名。然而,它也可以在包括例如MIB、SIB1、SIB2的SI的多个块上计算。次站可以例如获得用于形成MSI的MIB和SIB1两者的单个签名。签名本身可以在SIB1中,并且将需要获得MIB和SIB1两者以验证签名。事实上,这可以是有利的,因为MIB非常小,并且长签名不太可能适合于它。然而,重要的是验证在MIB中传送的信息。类似地,可以验证诸如PCI的其他信息。在该实施例的示例中,检测到的PCI、MIB和SIB1可以被级联以将它们一起签名。所得到的签名可以被包括在SIB1中。
类似地,签名可以位于可以根据次站的请求获得的新SIB中。这可以帮助解决向后兼容性并减少通信开销,因为它仅按需交换。在这种情况下,次站可以发送包括随机数的请求,该随机数将由主站转发给签名生成器以用于签名。这种方法确保了签名信息的新鲜度。
类似地,可以在其叶是不同SIB的Merkle树的根上计算签名。以这种方式,可以单独验证不同的SIB,同时最小化开销。SIB1包括被签名的Merkle树的根。当设备请求不同的SIB时,用该Merkle树根进行验证。
因此,根据图6所示的第三实施例,提出了一种用于检查一组信息的真实性的方法,该方法包括:
在步骤S601处,在次站处接收来自主站的至少一个配置消息,其中,所述配置消息包括与相应参数相关的多个字段,
在步骤S602处,在次站处接收用于认证来自主站的配置消息的接收到的签名。步骤S601和S602可以在单个步骤中执行,例如如果签名附加到在步骤S601接收的消息。然而,也可以使用单个签名来对多个消息进行签名。在这种情况下,签名可以在这些消息中的最后一个之后或与这些消息中的最后一个一起发送。实际上,接收至少一个配置消息的步骤可以包括接收多个配置消息,并且接收到的签名可以认证多个配置消息。
第三实施例的方法还包括在步骤S603处,基于字段的第一子集获得第一散列值,字段的第一子集由与具有静态值的参数相关的一个或多个第一字段组成,
在步骤S604处,对第一散列值和字段的第二子集的组合应用第二散列操作以获得第二散列值,字段的第二子集由与具有可变值的参数相关的一个或多个第二字段组成,
在步骤S605处,基于第二散列值验证接收到的签名以认证接收到的配置消息。
在第三实施例的示例中,可以通过将接收到的签名与从第二散列值导出的签名进行比较以认证接收到的配置消息来执行步骤S605。
因此,该实施例允许减少签名生成器必须签名的消息的量。此外,可以使用更强的签名算法来对配置消息的静态参数进行签名,从而在保持至少相同级别的保护的同时也减少了次站上的计算负荷。
可以注意到,在获得第一散列值的步骤S603处,这还可以包括检索存储在次站的存储器中的先前计算的第一散列值。实际上,可能已经针对初始消息计算了第一散列值,并且针对以下配置消息中的每一个重新使用第一散列值。这避免了多次重新计算该第一散列值。
实际上,对于携带(新)静态参数的初始消息,获得第一散列值的步骤S603包括将第一散列操作应用于字段的第一子集以获得第一散列值,并存储第一散列值以供后续使用。
在该第三实施例的变型中,可以在步骤S603处确定有效的存储的第一散列值是否存在于次站的存储器中,并且在确定存在有效的第一散列值时从存储器中检索这样的第一散列值。否则,次站可以将第一散列操作应用于第一字段子集以获得第一散列值,并且在确定不存在有效的第一散列值时将第一散列值存储在存储器中以供后续使用。在这种变型中,如果满足以下条件中的一个或多个,则认为第一散列值有效:自其生成以来经过的时间低于有效阈值,主站的身份被认证,主站是当前服务的主站。
这样的有效性阈值可以从主站发信号通知,或等于一些系统信息消息的周期。
在步骤S604处,第三实施例的方法可以包括通过将数字签名算法应用于第二散列值来导出所导出的签名。
与在先前实施例中一样,其中,数字签名算法是ECDSA(椭圆曲线数字签名算法)。
在图7所示的第三实施例的另一方面中,提出了一种用于生成用于认证一组信息的签名的方法,该方法包括:
在步骤S701处,在签名生成器处从主站接收用于配置次站的至少一个配置消息,其中,所述配置消息包括与相应参数相关的多个字段。然后在步骤S702处,签名生成器基于字段的第一子集获得第一散列值,字段的第一子集由与具有静态值的参数相关的一个或多个第一字段组成。在S703处,签名生成器然后可以对第一散列值和字段的第二子集的组合应用第二散列操作以获得第二散列值,字段的第二子集由与具有可变值的参数相关的一个或多个第二字段组成,生成从第二散列值导出的签名以认证配置消息。在替代方案中,该步骤可以在接收到第一HAS值之后在主站处执行。
在步骤S704,签名生成器向主站传送签名。
在这种情况下,获得第一散列值的步骤可以包括以下步骤之一:
从主站接收第一散列值,
检索存储在次站的存储器中的先前计算的第一散列值,或
将第一散列操作应用于第一字段子集上以获得第一散列值。
在图8中示出了这种次站和数字签名实体的结构。在图8上,次站801包括通信单元802,该通信单元802包括接收器803。该接收器803适于从主站接收至少一个配置消息,其中,所述配置消息包括与相应参数相关的多个字段。接收器还被配置为从主站接收用于认证配置消息的接收到的签名。
次站还包括控制器804,其被配置为基于字段的第一子集获得第一散列值,字段的第一子集包括与具有静态值的参数相关的一个或多个第一字段。该控制器可以是计算机编程单元或硬件和软件的其他组合。控制器可以对第一散列值和字段的第二子集的组合执行第二散列操作以获得第二散列值,字段的第二子集由与具有可变值的参数相关的一个或多个第二字段组成,并且然后基于第二散列值验证接收到的签名以认证接收到的配置消息。
图8的签名生成器811适于生成用于认证一组信息的签名。特别地,签名生成器811包括接收器812,该接收器812适于从主站接收用于配置次站的至少一个配置消息,其中,所述配置消息包括与相应参数相关的多个字段。该接收器812通常包括无线连接到主站的天线或天线阵列。然而,因为签名生成器可以是核心网络的部分,所以该通信单元可以是有线的,因此例如基于将它链接到主站的以太网连接或光纤连接。另外,在本实施例的一个变型中,签名生成器可以存在于主站本身中。在这种情况下,接收器是从更高层接收分组并由签名生成器811处理的逻辑接收器。
签名生成器包括控制器813,以基于字段的第一子集获得第一散列值,字段的第一子集由与具有静态值的参数相关的一个或多个第一字段组成。签名生成器控制器813可以对第一散列值和字段的第二子集的组合应用第二散列操作以获得第二散列值,字段的第二子集由与具有可变值的参数相关的一个或多个第二字段组成。控制器被配置为生成从第二散列值导出的签名以认证配置消息。
最后,签名生成器包括发射器814,以向主站传送签名。如前所见,在本实施例的一个变型中,签名生成器可以存在于主站本身中。在这种情况下,发射器是向主站的更低层传送分组的逻辑发射器。
根据可以独立地或与先前讨论的实施例组合地实施的本发明的第四实施例,提出了一种用于检查一组信息的真实性的方法,其中,根据时间选择不同的签名验证算法。
实际上,当考虑例如量子抗性的有效签名算法时,重要的是认识到当前已知的量子抗性(QR)签名算法在它们的公钥或它们的签名或两者方面都是庞大的。作为比较,必须考虑主信息块(MIB)具有如前所述的23比特的总尺寸,并且SIB1(SI消息)在物理层被限制为最大2976比特。该最大物理尺寸限制了大多数可用QR算法的适用性。事实上,GeMSS和Rainbow是唯一可行的quantum-resistant选项--具有34与64字节长之间的签名尺寸--假设其非常庞大的公钥可以在终端设备上预先配置。还可能发生的是,在进一步审查的情况下,这些解决方案变得效率更低或甚至被破坏。
该第四实施例详述了更有效并且可以是量子抗性的解决方案。所提出的签名解决方案可以基于强(QR)数字签名算法(DSA)和轻量级DSA的组合。强(QR)DSA可以是使用长密钥的ECDSA,例如,等同于AES128或更高。轻量级DSA可以是使用小密钥的ECDSA,其强度刚好足以在短时间段期间对信息进行签名。替代地,轻量级DSA可以基于基于散列链的轻量级签名算法。该示例是在说明书的其余部分中使用的方法,但是它可以由具有快捷键或DSA的其他组合的ECDSA代替。
根据第四实施例,提出了一种用于检查消息的真实性的方法,如图9所示。这种方法包括在次站接收来自主站的配置消息序列的步骤S901。在步骤S902处,次站可以为每个配置消息接收至少一个对应签名。替代地,单个签名可以用于一组配置消息(例如,MIB+SIB1)。在步骤S903处,次站根据时间参考而从一组数字签名算法中选择至少一个数字签名算法。这意味着,根据时刻,选择并使用一个或另一个DSA算法来验证接收到的消息。
然后,在步骤S904处,次站基于所选择的数字签名算法验证接收到的签名。可选地,还可以使用公钥来验证接收到的签名。
在第四实施例的第一变型中,比第二数字签名算法更频繁地选择第一数字签名算法。例如,可以更频繁地使用更短的签名,因为它导致较少的开销。然后,利用更长的周期,可以使用更长的签名。作为另一示例,第一签名算法不如第二数字算法复杂。这意味着第一算法比第二算法需要更少的计算能力来生成和/或验证签名。在示例中,使用第二算法的周期等于配置时段的k倍。该配置时段是例如可变参数的周期。第二时段可以例如是SFN持续时间。第二算法可以是ECDSA。只有当不使用第二签名算法时,第一签名算法才可以基于在更短间隔中使用的散列,例如散列链。替代地,总是包括第一签名算法,这意味着在使用第二算法的情况下,配置消息包括两个签名。
此外,应当注意,第四实施例的优选变型是,其中,第二时段中的消息可以包括在第二时段期间保持静态的字段的签名,那些字段中的一个是用于以与第三实施例中类似的方式验证以配置时段发送的配置消息的公钥。
因此,如前所见,可以以配置时段周期性地发送配置消息,并且每隔一个时段周期性地选择第二数字签名算法一次,其中,第二时段是配置时段的倍数,所述倍数至少为2。以其他方式或为每个消息选择第一数字签名算法。
第一算法可以基于散列链算法、Boneh-Lynn-Shacham(BLS)签名算法、Boneh-Gentry-Lynn-Shacham(BGLS)签名算法中的至少一种,并且其中,第二算法可以是椭圆曲线数字签名算法(ECDSA)、Falcon签名算法、Rainbow签名算法、Great Multivariate ShortSignature(GEMSS)算法中的至少一种。在特定示例性实施方式中,第一算法是椭圆曲线数字签名算法(ECDSA),并且第二算法也是ECDSA,然而,第一算法使用比第二算法更短的密钥。
如前所述,第三实施例可以以以下方式与该实施例组合。因此,配置消息可以包括与相应参数相关的多个字段。在该示例中,数字签名算法中的第一数字算法包括基于字段的第一子集获得第一散列值的步骤,字段的第一子集由与具有静态值的参数相关的一个或多个第一字段组成。
然后,对第一散列值和字段的第二子集的组合应用第二散列操作以获得第二散列值,字段的第二子集由与具有可变值的参数相关的一个或多个第二字段组成。此外,数字签名算法的第二数字算法可以包括应用第一散列运算以基于字段的第一子集获得值的步骤,字段的第一子集由与具有静态值的参数相关的一个或多个第一字段组成。
关于各种数字签名算法,自然的选择是选择FIPS 186-4规范中规定的ECDSA作为签名算法。允许更短签名、批量验证和签名过程的预计算的一些其他解决方案基于双线性映射。然而,由于量子计算机的出现,ECDSA和依赖于双线性映射的解决方案将在有限的时间量内使用是非常可能的。此外,即使使用ECDSA并且尽管其相对良好的性能,公钥密码仍然比简单的对称密钥操作更昂贵。在一些文献中,报告了具有10000个链路的散列链的计算花费14毫秒,并且ECDSA 224签名的验证花费6.81毫秒。
因此,第四实施例中提出的签名解决方案可以基于TESLA(其是基于散列链的)和(QR)DSA。TESLA描述了一种实现源认证的安全广播方法,其由散列链HC给出:
h_{n}<-h_{n-1}<-h_{n-2}<-…<-h_{0},在时间i处,其中,h_{n-i}可以用于将消息m的消息认证码(MAC)计算为MAC(m,h_{n-i})。
这里h_{i+1}=hash(h_{i})。在时间i+1处公开了值h_{n-i},从而允许接收方通过检查以下各项来验证先前接收的MAC:
(1)先前接收的MAC,以及
(2)接收到的h_{n-i}是否等于hash(h_{n-i-1})。
h_{0}是从其中导出所有值的HC的种子。h_{n}是需要以安全且可信的方式分配到所有设备的信任锚点。
该第四实施例将散列链方法集成在5G DSnF系统中如下:
签名生成器可以具有散列链的种子和合适DSA(例如,ECDSA或QR DSA)的一对公钥/私钥两者。主站gNB和签名生成器DSnF运行协议以同步其时钟,使得DSnF知道主站的当前时间并且可以校正任何通信延迟。主站gNB可以根据需要向签名生成器询问针对时间i的消息的MAC。签名生成器可以使用散列链链路来有效地计算递送到基站的对应MAC。应当注意,这些通信流可以预先完成。签名生成器利用时间同步协议来了解包括在签名消息中的时钟之间的任何潜在时间差。
主站可以在此后的正确时刻向次站广播签名的系统信息,该签名的系统信息已经由签名生成器提供。
签名生成器可以在时间i向所有订阅的主站分配所使用的散列链元素h_{n-i},所使用的散列链元素h_{n-i}然后由主站进一步广播到次站。第一数据流可以按需完成,即,当源认证信息需要被签名时,使得它可以在稍后的时间点被广播。其中公开散列链元素的第二通信流需要紧密同步。
在5G的背景下,已知MIB和SIB1以80/160ms的间隔广播。因此,签名生成器必须以相同的频率分配下一个散列链元素,并且该元素作为SI的一部分被广播到所有UE。例如,可以认为以这种方式保护最小系统信息(MSI=MIB+SIB1),如图10中所描绘的。注意,在这种情况下,时间i可以表示例如160ms时隙。在时间i+1处,公开了用于计算先前MAC的散列链链路。这意味着例如160ms间隔内的所有消息使用相同的散列链链路。这种散列链方法例如在图10上示出,表示配置消息的序列及其对应签名。
在次站跟踪系统信息块并且它已经用散列链锚点初始化的情况下,然后验证非常快,因为需要单个散列计算来验证先前接收的散列值。当次站对于系统是新的时,它需要首先接收和验证HC锚点。在初始NAS握手之后分配它不是选项,因为这可能意味着UE加入FBS。因此,围绕实际的数字签名算法(DSA)似乎是不可行的。非常合适的选项在于具有传统签名算法和散列链的组合。
每长间隔秒(例如,它可以是作为系统帧号的持续时间的每10.24秒)一次,签名生成器用数字签名算法(DSA)对下一个散列链锚点进行签名,并将它分配给主站,主站将它广播给所有次站。
周期性MIB/SIB1可以通过遵循散列链方法的MAC以短间隔时间段签名。这在图11中示出,其中,DSA签名的锚点在时间1处分配。该方法结合了Hash链和数字签名算法。利用这种方法,当次站加入服务于小区的主站时,它需要获取散列链锚点并验证签名。这可能导致小的延迟,但是此后CPU性能增加了很多,因为验证基于简单的散列。如果签名生成器拥有散列链的私钥和种子两者,则次站可以获取可以对多个主站有效的散列链锚点。因此,当次站扫描多个主站时,这减少了资源需求。
应当注意,不同的方法是在签名生成器位于顶部并且主站由签名生成器签名的一种公钥基础设施中在签名生成器和主站之间划分签名能力。签名生成器负责利用第二签名算法对在长间隔期间使用的散列链的锚点进行签名。当执行该签名时,DSA还可以检查锚点对应于仅主站已知的已知种子(这需要签名生成器和主站之间的交换中的机密性)。签名生成器将对在长间隔时间段内保持静态的所有参数进行单次签名。签名生成器向主站提供签名的锚点和签名的固定参数。主站在长间隔期间保持广播这些固定参数,如图11中所指示的。主站基于散列链方法来完成按需请求的任何动态参数或SIB的签名。这种方法非常适合于次站可以根据需要请求某些SIB(SIB2-SIB5)并且需要严格的时间同步的情况。
当使用数字签名算法和散列链方法两者时,多个SIB(例如,PCI、MIB、SIB1、SIB2、...)的静态字段的签名可以位于SIB1或新SIB中。如果它包括在新的SIB中,则可以根据需要将该SIB发送到次站,从而减少能量消耗。其余的SI(例如,SIB1、SIB2、...)包含利用允许动态字段的快速验证的基于散列链的方法计算的MAC。
要补充的是,在14ms内,可以生成具有10000个链路的散列链。如果长间隔是SFN和HFN,则需要2^20个链路。这花费1.46秒。如果长间隔是SFN,则这将是大约1.4ms。由于每80ms仅公开散列链链路,因此生成散列链的时间变为18ms和0.175ms。因此,可以得出结论,散列链方法是可行的。可以比SFN间隔更频繁地包括DSA签名,以允许散列链锚点的更快获取和静态参数的更频繁验证。主站可以向签名生成器发送请求,以在每个长间隔时间对静态参数进行签名,并且在该长间隔期间,主站可以保持广播固定参数的该签名,并且使用基于散列链的方法对动态参数本身进行签名。
应当注意,如果只有具有庞大签名的DSA可用,或如果需要涉及庞大证书的PKI来验证公钥,则DSA签名可以在多个消息上分段,目的是对单个锚点进行签名。例如,如果在每个SIB1中我们可以包括64字节的片段,并且对32字节锚点进行签名的签名+证书是1600字节长,则我们可以将签名+证书拆分成25个连续消息。它也可以是单个新SIB,但是具有指示片段号的分段字段。如果每160ms广播新消息,则长间隔至少为4秒长。而且,这种方法确保了当次站已经获取锚点(更快的验证)时,每个单个消息可以被签名和验证,并且验证是更快的。
在上述示例中,如果次站还没有锚点,则它需要等待4秒直到它可以开始验证所有消息。替代地,系统广播新锚点和旧锚点的签名。这允许次站开始接收分组,例如,从h_(n-i)开始,用基于散列的方法预验证它们,并且一旦接收到旧锚点h_0,次站就可以计算n-i个散列以完成验证。
为了避免潜在的攻击,其中,次站与签名生成器没有良好的时间同步,并且攻击者试图通过记录消息并在误用所公开的HC链路的同时回复它们来利用这种情况,该系统可以通过包括用HC方法保护的消息的散列作为用DSA算法签名的消息的输入来增强。这意味着攻击者不能随意使用误用那些值。
因此,广播的锚点可以是不同散列链的一部分,即,具有两个不同的种子,或在由n个散列操作分开的相同散列链中的中间链路。为了确定情况,散列锚点使用以下格式进行编码:
0XYZ…XYZ(新散列链的新锚点)
1XYZ…XYZ(对应于先前散列链中的中间链路的新锚点)
这里,XYZ…XYZ对应于实际散列值,即h_(n-i)。这种区别是重要的,使得如果次站已经监听主站一段时间,则可以用单个散列操作更快地执行为先前散列链中的中间链路的新锚点的验证。
根据可以与先前的实施例组合或单独实施的第五实施例,提出了确定次站已经联系的主站的位置,并验证该位置是否与该主站的参考位置一致。
更具体地,在一些提出的解决方案中,签名生成器通过进行以下操作来执行主站的验证:
1.获取公钥信任锚点
2.小区扫描:扫描频率;排除PCI重复项
3.验证数字签名,不包括任何签名错误的数字签名
4.验证时间计数器:排除具有旧计时器的时间计数器。
然而,这种方法具有一些缺点。首先,它需要设置信任锚点。此外,它直接排除了物理小区标识符(PCI)重复项,并且这意味着,如果攻击者通告具有与该区域中的PCI相同的PCI的假基站或更差的连接性,则这可能导致服务攻击的拒绝。次站可能不扫描所有内容,或可能由于扫描期间的干扰而错过一些信息。发明人还认识到,当前未检查物理位置。该位置是必须由次站验证和检查的参数,以确保攻击者不会在不同的位置重播信息。类似地,即使使用数字签名,私钥也可能以与认证机构的私钥已经被泄露相同的方式被泄露。如果这种情况发生,攻击者仍然可以放置发布用泄露的私钥签名的系统信息的假基站。
因此,在该第五实施例中提出了解决这些问题。为了避免排除具有重复标识符的基站的问题,作为第一实施例的解决方案的补充或替代,可以利用从在物理层广播的数据导出的位置信息。该实施例的优点之一是,这甚至可以在MIB和SIB被处理(并且数字签名被验证)之前发生。例如,如果具有相同小区标识符的两个信号来自不同的位置,并且次站知道主站位于其中的一个中,但是他不知道另一个位置中的任何主站,则次站可以过滤掉其位置与已知位置不匹配的主站。
特别地,次站也可以访问主站的位置信息。因此,根据第五实施例,提出了一种用于验证主站身份的方法,该方法包括在次站处接收至少一个信号。然后,次站根据所述接收到的信号确定位置参数。然后,将所确定的位置参数与链接到主站的身份的参考位置参数进行比较,以确定主站是否可信。
因此,次站可以确定接收到的信号是否可能源自真主站的站点。这使得攻击更加困难,因为物理位置可以排除这种攻击者的部分(如果不是全部)假主站。
在第五实施例的第一变型中,位置参数的确定包括估计主站的辐射图案,并且其中,将所确定的位置参数与参考位置参数进行比较包括将所估计的辐射图案与主站的参考辐射图案进行比较。在这种情况下,次站可以考虑它自己的位置来确定参考辐射图案。
在第五实施例的第一变型的一个示例中,次站对辐射图案的估计可以包括对主站的检测到的辐射波束的数量进行计数。然后,次站将该辐射波束数量与参考列表形式的参考辐射图案进行比较。这样的参考列表可以包括每个参考主站的主站正在使用的辐射波束的数量或主站能够使用的波束的最大数量。所列出的参考列表可以包括主站的身份(例如,PCI)。它还可以包括参考主站的位置(例如GPS坐标)。
应当注意,该上述方法具有以下优点:它也可以用于非常差的部署场景中的UE,并且不需要来自基站的与预期辐射图案(例如,基站周围的空间中的每个点的辐射图案(1mm、cm、m))有关的非常密集的信息,以能够执行相似性检查。它也不需要关于基站和UE的确切位置的知识,因为辐射图案的相似性检查包括仅对基站的广播信号中存在的SSB波束的数量进行计数。该信息量非常有限,它仅仅是与物理小区标识符(PCI)相关联的SSB的数量。PCI也作为同步块的部分被广播。基于UE第一次连接到网络时UE可以带外或以安全方式接收的该信息,UE可以进行以下操作:
a)UE扫描读取SSB和PCI的小区,
b)UE基于部署到UE的辐射信息检查该PCI的预期SSB波束的数量,
c)UE检查所测量的SSB数量与该PCI的预期SSB数量匹配。
在该变型中,可以从主站的数据库获得参考辐射图案。例如,应用程序mastdata提供该数据。另一种可能性是彼此信任的网络运营商交换主站的位置,从而创建主站的组合列表。位于次站所在的跟踪区域中的主站存储在次站上。当接收MIB和SIB1时,如果次站确定具有重复小区标识符的主站之一的位置与其预期位置不匹配,则次站只能排除该主站。
替代地,次站可以收集辐射图案并将其报告给已知的主站,该主站可选地与网络协作检查接收到的辐射图案。这可以逐个单个辐射图案来完成,或它可以包括次站在一段时间内收集多个辐射图案并将它们(作为整体或迭代地)报告给已知主站的预备步骤。可以包括与每个测量的辐射图案对应的次站的位置。
在可以增加检查的准确性和鲁棒性的该变型的另一示例中,除了辐射波束的数量之外(或代替辐射波束的数量),通过考虑主站使用在不同方向上辐射的不同波束并使用不同的标识符广播同步信号,可以估计主站的位置,如图12所示。特别地,5G支持计算为3NSSS+NPSS的多达1008个PCI,其中,NSSS={0,1,…,335}并且NPSS={0,1,2}。这里,SSS是指辅同步信号标识符,并且PSS是指主同步信号标识符。PSS和SSS作为同步信号块(SS块)的部分被传送。通过形成SS突发(每个波束一个SSB)来批量传送SSB,该SS突发通过改变每个SSB传送的波束方向而在波束扫描期间使用。SS突发中的SSB的最大数量是频率相关的,并且它可以是4(低于3GHz)、8(3至6GHz)或64(6至52.6GHz)。SSB的周期由网络配置,而默认传送周期用于初始小区选择,SS突发集合周期对于所有频率范围(即2个NR帧)默认为20ms。主站为无线电帧内的SSB定义多个候选位置。在不同方向上辐射的每个SSB可以通过称为SSB索引的唯一号码来识别,并且检测到哪个SSB的标识取决于次站所在的位置。次站可以测量其在特定时段(一个SSB集合的时段)内检测到的每个SSB的解调参考信号(PBCH DMRS)的信号强度。次站可以从测量结果识别具有最强信号强度的SSB索引。具有最强信号强度的这个SSB是次站的最佳波束。
如果次站知道主站的正常辐射图案(SB#的数量和/或方向)及其自己的位置(例如通过GPS),并且已经测量了主站,则具有关于PCI的信息,并且最佳SBS和相对接收功率可以具有主站是真还是假的指示。
在图12中,攻击者放置以UE1为目标的FBS。由于UE1利用在本发明的该部分中使用的技术,因此FBS必须重定向其波束,使得UE1接收相同的传送签名。这就是波束1201指向它的原因。FBS将成功地以UE1为目标,但是其他UE(例如,UE2)仍然可以在真BS和FBS之间进行区分,因为辐射图案改变。
假设次站可以知道其位置和辐射图案(当广播具有不同标识符的SSB时基站的不同波束指向哪个方向),次站可以导出预期的接收辐射图案应当是什么。通常,次站1200具有全向天线。例如,如果次站知道其位置并且波束1201指向它,波束1203在相反方向上行进,并且波束1202和1204在垂直方向上行进,则次站1100可以预期波束1201的最大信号强度、波束1203的最低信号强度、以及波束1202和1204的中间值。在给定次站1200的特定位置的情况下,从不同波束的天线增益分配导出预期的相对信号强度,因为它可以计算其相对位置,并且利用它,它可以计算针对不同波束的朝向次站1200的天线的增益。它现在可以通过计算互相关来将该预期信号与接收信号进行比较。如果信号被对准,则最大值应在零附近。如果互相关输出比0远得多的最大值,则主站可以被分类为潜在的伪基站。
该方法可能并不总是保证或防止攻击者攻击特定目标次站,但是它可以将FBS可以寻址的设备的数量减少到它们中的小得多的部分,从而降低整体风险。
当UE处于空闲模式并且UE正在获取基站的SI时,描述了使用辐射图案的上述方法。该方法也可以在TR 33.809中拟合KI#3的操作阶段(连接模式)期间应用如下。在操作期间,UE还可以跟踪它用于其通信的gNB波束。例如,在1分钟的间隔内,以10秒的步长,当UE正在移动时,UE可能已经看到以下波束:
[B_1,B_32,B_32,B_19,B_45,B_45]
UE可以收集这些波束统计和定时(例如,UTC时间),并以受保护的方式将它们发送到gNB。然后,gNB可以比较用于与UE通信的波束是否是gNB实际使用的相同波束。如果MitM就位,则情况不太可能如此,并且因此gNB将检测到MitM存在。
在该实施例的扩展中,次站(例如UE)向核心网络发送所收集的物理信息的报告。该报告可以被视为TS 33.501的附录E的扩展以用于UE辅助的基于网络的假基站检测。网络可以组合多个次站(UE)的信息(包括UE位置和所接收的辐射图案信号),以估计基站和伪基站在何处。
UE可以在给定的时间和位置处报告测量的波束。例如,以下数据可以包括在给网络的UE报告中:对于每个时间t_i,UE的位置l_i和测量的波束集。给定波束B可以包括PCI标识符、波束索引号和测量功率。这样的报告被图示如下:
{{{t_0}{l_0}{B_0_0,…,B_0_n0}},
{{t_1}{l_1}{B_1_0,…B_1_n1}},
{{t_k}{l_k}{B_k_0,…,B_k_nk}}}
我们注意到,上述内容可以是指在小区获取期间使用的波束索引(SSB索引)。上述内容还可以是指在操作期间使用的波束索引。
由于核心网络具有来自多个UE的信息,因此核心网络可以使用该信息来确定伪基站的存在,即使伪基站正以非常特定的区域为目标。为此,核心网将重新创建与给定基站相关联的波束的测量图,例如,小区获取期间的SSB索引。如果伪基站试图欺骗在附近位置处的另一基站的身份,则伪基站将创建不期望的辐射图案。可以通过找到所测量的波束的几何中心来粗略地确定伪基站的位置。
我们注意到,如果UE移动并希望改变gNB,则UE可以执行切换。在切换过程期间,UE可以向其连接到的当前gNB通知其优选的目标gNB,包括由UE接收的不同波束/gNB的信号强度的报告。当前gNB可以检查不同波束/gNB的该测量的辐射图案是否如预期的那样。当前gNB还可以在知道UE的位置的这个阶段通知预期的辐射图案是什么,使得UE可以利用其测量的辐射图案来交叉检查预期是什么。如果检测到异常,则UE可以通知gNB(在检测在UE侧的情况下),或gNB可以向UE通知这种异常并指示不同的目标gNB/波束是优选的。
我们注意到,在位置L_FBS处运行伪基站并在位置L_RBS处欺骗真基站的身份的攻击者可能试图通过将具有给定SSB索引的波束放置在真基站正在使用该非常相同的波束索引的完全相同的位置处来防止UE检测到它。在这种攻击下的这种UE可能无法检测到攻击者,因为它测量其应当测量的波束索引。然而,如果UE和CN一起工作,甚至这样的攻击者也不能隐藏,例如:
·如果伪基站想要防止如在最后一段中所描述的那样被从所有UE报告的测量发现,则伪基站应当仅使用该特定波束。如果伪基站使用更多波束,则在其他位置处的其他UE可能如上所述的那样揭露其存在。
·但是如果假基站在SSB中使用单个波束,则UE也将变得可疑,因为UE知道基站在小区获取期间使用多少波束。
特别地,网络对信号进行三角测量以估计基站的位置。UE还可以报告来自基站的其他定位信息,诸如定位参考信号(PRS),诸如TR 33.809-v0.10.0中的解决方案22中描述的信号强度或到达角度。如果网络检测到伪基站的存在,则网络可以向UE通知其存在,使得该伪基站被排除。网络还可以采取进一步的动作。
因此,该过程可以概括为:
Figure BDA0004159029050000151
然而,我们注意到,如果网络通知UE并且UE对关于FBS的该信息采取动作,例如,排除基站,则UE容易受到某些类型的攻击。特别地,攻击者可能误用这种行为来攻击系统。特别地:
·假数据攻击:如果真基站不广播其定位信息(例如,PRS),那么攻击者可以安装重新广播包含该PRS的其信号的FBS。这将导致UE向网络传递错误的定位信息。这种错误的信息可能使网络认为真基站处于错误的位置,从而导致将真基站错误分类为假基站。
·重放数据攻击:如果假基站仅重播真基站的信号,则UE也将拾取也可能导致网络将真BS错误分类为虚假BS的矛盾定位信号。
在这些情况下,网络的操作以及TR 33.809-v0.10.0中的解决方案22的操作可以以以下方式适配:
·虚假数据的解决方案:网络必须知道基站实际广播的信息(例如,PRS、是或否),并且在确定基站是否是虚假时将其考虑在内。如果网络确定基站不广播一些信息,则应当通过在上述步骤a)和b)之间添加新步骤来移除来自UE的该测量报告,其中,网络检查基站是否广播接收到的信息的类型,并且如果不广播,则移除数据。在该阶段,网络可以推断出UE受到攻击或恶意节点正在从基站广播虚假信息。如果同一区域中的多个UE报告相同的信息,则可以丢弃恶意UE的情况。
·重放数据的解决方案:如果报告包含关于相同基站的矛盾信息,例如,链接到相同基站但映射到至少两个不同位置的辐射图案,则网络应当将网络分成怀疑可能涉及运行一个或多个FBS的攻击者的多个不同基站。该拆分在上述步骤b1)中完成。
因此,更一般地,可以使前面讨论的实施例适应于包括估计主站的辐射图案并将估计的辐射图案与主站的参考辐射图案进行比较的步骤。此外,在确定辐射图案与参考图案不匹配时,它可以包括基于该确定来确定潜在的伪主站的位置的步骤。可选地,确定潜在伪主站的位置包括将包括在辐射图案中的波束的索引与参考进行比较。尽管基于来自UE的测量报告在网络侧(或在特定专用实体中)执行这些步骤是有利的,但是这些步骤中的一些或全部也可以由UE执行。
在另一变型中,实体(可能放置在网络或主站中)接收包括估计辐射图案的一些指示的测量报告,并且该实体分析包括辐射图案的一些指示的接收到的测量报告,以确定网络中是否存在伪主站。该确定可以通过与参考辐射图案进行比较或通过监测随时间的变化或通过交叉检查来自多个不同UE的测量报告来完成。
另外,一个选项是当估计辐射图案时次站监测PBCH参数。作为示例,监测可以包括测量每个SSB的PBCH DMRS的强度。
一种替代或补充解决方案是将主站的日志保存在公知的数据库中,该数据库可以表示为基站日志(BSLog)或由多方操作的多个数据库。一个选项是基于由知道基站的位置和配置的网络运营商拥有的信息来构建该基站日志。然后,次站可以请求位于附近的主站的BSLog信息。
另一选项是建立公共BSLog,其中,用户可以提交他们的测量或扫描的基站,并且网络运营商也可以发布可用的基站。这样的数据库存在,即使它们似乎没有被广泛扩展。它们的示例是mastdata。如果存在这样的BSLog,则UE可以验证主站的估计位置是否与BSLog中包括的该主站的位置匹配,从而提供附加的保证。由于次站的决定取决于BSLog的内容,因此信任BSLog是基本的。如果有多个可以被外部审计的BSLog,则可以实现增加的信任。为了避免BSLog操纵其条目,可以借助于其中树根被公开的Merkle树验证树来组合条目。这确保BSLog不能在稍后的时间点修改某些条目。该技术用于rfc6962中规定的证书透明。另一选项是使用一种类型的区块链技术。因此,通过考虑提交的信号强度和SBS测量,提交给BSLog的信息可以用于验证和估计主站的位置。例如,如果:
o UE1 131在位置(x=0,y=0)处,测量给定的辐射图案1311(图13)。这给出了哪些波束指向UE1 131的指示。
o UE2 132在位置(x=2X,y=0)处,测量给定的辐射图案1321(图13)。这给出了哪些波束指向UE2 132的指示。利用该信息,UE1 131和UE2 132一起可以确定BS是在x<0中还是在x>2X中位于它们之间。
然后,BSLog可以确定由UE1和UE2以及任何其他UE报告的测量匹配,因为给定了匹配的BS1的位置的估计,还考虑了测量的信号强度和方向。
UE不需要立即或始终传送它们的测量结果,但是它们可以以一定的延迟来传送它们的测量结果以保护它们的隐私。它们还可以将一些噪声添加到测量的辐射图案以保护它们的隐私。
上述内容也可以通过使用数字签名来扩展。在这种情况下,BSLog仅接受来自BS的包括有效数字签名的测量结果。以类似的方式,当UE从BS接收SI时,UE检查接收到的SI(包括所使用的公钥)是否与公共BSLog中可用的信息匹配。
到目前为止的描述是关于被定义为由攻击者运行的基站的伪基站。伪基站的不同概念在自2021年2月10日以来在https://arxiv.org/abs/2102.05606在线可获得的“SteaLTE:Private 5G Cellular Connectivity as a Service with Full-stackWireless Steganography”中给出。在这种攻击中,UE和基站可能具有一些特定的硬件。
可以例如借助于MitM设备重放由基站广播的系统信息。存在不同类型的MitM攻击者:
A.RF中继器是由攻击者放置在UE和gNB之间的设备。RF中继器在不处理消息的情况下在UE和gNB之间重播RF信号。假设该RF重播是在不引起显著的通信延迟的情况下完成的,该通信延迟例如影响UE和gNB之间的时间同步和分配的通信资源。RF中继器被认为是主动攻击者,因为它可能用于在UE和gNB之间创建通信链路,该通信链路可以在稍后的时间点释放,从而导致拒绝服务攻击。
B.MitM是由被攻击者放置在UE与gNB之间的伪基站(FBS)和伪UE(FUE)组成的设备。MitM设备不仅重播消息,而且它转发消息。这意味着FUE和FBS必须处理上行链路和下行链路通信接收、处理和重新传送消息。MitM还可以注入和修改消息。假设消息转发和处理引起影响例如UE和gNB之间的时间同步的通信延迟。标准MitM设备是主动攻击者,因为它可以注入、修改和丢弃消息。
C.隐形MitM是由伪波束和由攻击者放置在UE和gNB之间的FUE组成的设备。伪波束是在该gNB波束具有低覆盖或没有覆盖的位置处冒充gNB的波束之一的基站波束。通过这样做,UE连接到隐秘MitM并隐藏自己。从这个角度来看,该攻击可以被认为是LTE上的物理信号遮蔽攻击的更简单版本。该主动攻击者被称为隐秘的,因为它可以比标准MitM更好地隐藏自己:即使UE或CN检查到预期的gNB PCI或相关联的波束号,攻击者也可以在靠近实际gNB的位置处传送非常特定的伪波束而不被UE或CN注意到。
在图23中描绘了这三种类型的MitM设备。图23还示出了使用隐形MitM的特定攻击场景。
图23-MitM设备和使用隐形MitM的攻击场景:攻击者将具有SSB=3的假波束放置在由SSB=1的gNB波束覆盖的区域中。由于SSB=3也是有效波束,但是在不同的区域中,仅通过检查PCI来检测攻击是不可行的。
在隐形MitM攻击者的情况下,如果gNB对SSB进行签名并且UE对其进行验证,则可以减轻上述攻击。验证步骤可以包括检查应当接收SSB的位置。
在攻击者使用RF中继器的情况下,UE可以监测gNB的强信号是否在UE保持静态的同时保持出现和消失。如果这种情况发生,则这可能指示攻击者正在使用RF中继器来中断一个或多个UE的操作(DoS),例如,通过打开RF中继器,等待UE通过它加入,并且然后关闭它。因此,根据另一实施例,当确定所述主站可能不可靠时,次站可以考虑降低主站的优先级。所述确定可以包括确定基站在一段时间内正在打开和关闭。因此,在该实施例的变型中,UE应当遵循这样的模式监测gNB的同步信号,并且如果检测到这样的模式,则UE应当降低gNB的优先级,换句话说,即使其传送功率突然再次好得多,也降低加入这样的gNB的偏好。该检测算法可能受益于考虑:
oUE是否正在移动。如果UE知道它正在移动,则这可能是改变接收信号功率的原因。在这种情况下,检测算法可能会发生异常,并且仍然保持这种gNB的高优先级。
o接收到的gNB同步信号是否属于移动基站。如果它属于移动基站,则这可以是变化的接收信号功率的源。在这种情况下,检测算法可能会发生异常,并且仍然保持这种gNB的高优先级。
因此,更一般地,可以提出一种用于使次站检测其附近的可疑设备的方法,其中,该方法包括次站检测在一段时间内来自目标设备的链路特性的变化,如果在所述时间段内链路特性的变化与次站的位置不一致,则次站将目标设备确定为可疑的。
类似地,提出了一种包括耦合到控制器的接收器的次站,该控制器适于检测在一段时间内来自目标设备的链路特性的变化,如果在所述时间段内链路特性的变化与次站的位置不一致,则次站的控制器将目标设备确定为可疑的。
在示例中,链路特性是与目标设备的链路的强度。
在另一示例中,次站向已知的主站报告可疑设备的存在。报告可以包括可疑设备的位置估计。
在第五实施例的另一变型中,通过检查主站使用的加密密钥是否对应于允许在本地使用的加密密钥来确定位置参数。在另一变型中,该信号是来自次站处的主站的配置消息,并且该配置消息至少包括用于认证该配置消息的签名。在这种情况下,次站通过以下来认证配置消息:
-检查与验证所述消息所需的公钥相关联的私钥是否被授权对所述次站的当前位置或当前PLMN中的配置消息进行签名,
-如果被授权,则验证签名。
在该变型中,签名生成器的公钥还可以与私钥的某些权限相关联,例如,仅在某些位置对基站的系统信息进行签名的权限。因此,在检查签名和定时的有效性之后,次站还必须检查用于创建签名的私钥是否具有在其当前位置使用的权限。例如,如果UE具有中国网络运营商的公钥,并且当UE在美国时,它检测到基站需要该密钥来验证基站的SI,则UE应当阻挡该基站。这确保攻击者不能例如泄露运营商的私钥并使用它来在其他某处创建伪基站。类似地,网络运营商可以使用多对公钥-私钥,每对公钥-私钥与不同的位置相关联。这限制了广泛攻击的可能性。
为了解决这个问题,可以扩展小区扫描流程以检查私钥的位置相关签名权限(在以下伪代码中):
Figure BDA0004159029050000181
类似地,提出了签名生成器针对不同位置使用多个密钥对,以在安全漏洞的情况下减少影响。次站可以检查在其当前位置是否使用正确的密钥对。
关于与公钥(例如,是被授权验证给定位置处的信息的公钥,是被授权验证来自给定PLMN的SI的公钥等)相关联的访问权限的验证可以在签名验证之前或之后完成。类似于新鲜度验证,在签名验证之前进行它具有更快和更节能的优点。
结合前面讨论的各种实施例,关键问题涉及在次站中提供信任锚点。这是指用于验证签名信息的公钥。第一选项是在次站第一次加入核心网时安装该信息。这意味着第一连接可能容易出现假基站,但是这种危险随后消失。如果运营商使用单对公钥-私钥,则这是合适的解决方案。但是如果操作者想要使用多个密钥对(例如,取决于位置),则它变得更难以使用。当公钥仅在给定时间段内有效时,这也成为问题。
在这种改进中,认为签名生成器处的公钥/私钥对未被签名,并且未嵌入证书中,例如由CA签名。如果希望次站可以通过由多个网络运营商管理的主站连接,则这是自然的扩展。
第二选项在于使用基于身份的签名,其中,公钥取决于包括运营商和位置的若干已知参数。第一参数可以从SIB1中可用的信息导出:
Figure BDA0004159029050000191
这些参数包括PLMN标识符,因为它识别私钥的所有者;位置信息,诸如trackingAreaCode。然而,该信息也可以用位置信息(GPS坐标)来增强,以更好地确定主站的位置和主站的移动性方面:它是静态的还是其位置改变(例如,如果放置在公共汽车中)。定时信息不包括在公钥的生成中,因为它之后被验证。
在已经讨论的实施例中,到目前为止已经描述了聚焦于避免假基站的解决方案。然而,网络可能受害的另一种类型的攻击是中间人(MitM)攻击。这些涉及中继节点,该中继节点可以仅转发真主站的信息,并且可能不会被一些先前的实施例检测到。已经提出了包括并签名Time_Difference字段,使得如果当前时间比Transmission_Time+Time_Difference更早,则接收消息的次站拒绝它。然而,这可能并不总是足够好,因为难以估计Time_Difference的值。
避免MitM攻击的可能选项是使用签名小区标识符(PCI)。因此,具有复制PCI的主站被移除。然而,这种方法也有一些问题。首先,次站可能无法检测或接收真基站的信号。例如,如图14所示,攻击者可能使用具有非常敏感/强大的天线的假UE,该天线允许其获得在次站的范围之外的主站的信号。这是所谓的范围扩展攻击。其次,攻击者可能只是在次站干扰真基站的信号。第三,如上所述,在没有进一步检查的情况下删除重复的主站开辟了攻击多小区时间同步方法的新途径。
因此,第六实施例提出了一种鲁棒得多的解决方案。根据该第六实施例,签名生成器对主站的SFN和签名生成器时间之间的映射进行签名。此外,次站的时钟与签名生成器的时钟紧密同步。如果满足这些先决条件,则次站从主站接收签名的系统信息,验证其签名,验证时间,验证SFN值,并检查广播的数据是否已经在验证的SFN值中广播。
因此,根据第六实施例,提出了一种用于检查配置消息的真实性的方法,该方法包括在次站处接收来自主站的配置消息,其中,该配置消息包括
-签名生成器处的时钟值与主站使用的系统帧编号之间的定时对应性指示,
-识别在其期间发送所述第二配置消息的帧的帧号指示,以及
-用于认证配置消息的签名。
此外,根据第六实施例的方法,还包括通过以下来认证配置消息:
-检查帧号指示对应于接收到配置消息的帧号,
-基于定时对应关系指示将配置消息的接收时间与估计的传送时间进行比较,并且
-基于配置参数值来验证签名。
替代地,该方法可以包括:
在次站处接收来自主站的第一配置消息,其中,第一配置消息包括
-签名生成器处的时钟值与主站使用的系统帧编号之间的定时对应指示,以及
-用于认证所述第一配置消息的第一签名,
接收第二配置消息,所述第二配置消息包括至少一个配置参数值、识别在其期间发送第二配置消息的帧的帧号指示、以及接收到的第二签名,
通过以下来认证第二配置消息:
-检查帧号指示对应于接收到第二配置消息的帧号,
-基于帧号指示和定时对应性指示将第二配置消息的接收时间与估计的传送时间进行比较,并且
-基于配置参数值来验证接收到的第二签名。
在这些实施例中,第一配置消息可以包括用于认证接收到的第二签名的密码密钥。此外,类似于先前实施例中的一些,第一配置消息包括静态配置参数值,并且第二配置消息包括可变配置参数值。
为了维持高水平的安全性,第一配置消息可以具有第一有限时间有效性,其等于以下之一:子帧编号跨越其整个值范围所需的时间,超帧编号跨越其整个值范围所需的时间。
在第六实施例的示例中,第二配置消息可以具有第二有限时间有效性,其等于以下之一:子帧号的预定数量的最高有效位改变所需的时间,或子帧号的六个最高有效位改变所需的时间,或160ms,或80ms。
与已经讨论的实施例类似,第二签名可以借助于ECDSA、散列链中的一个来生成或验证。
第六实施例的一般思想的一些方面可能导致签名生成器上的高开销,因为它需要签名所有主站的动态系统帧号字段。这意味着签名生成器需要对许多消息进行签名。这可以被优化例如如下:
a)用提供长期安全性的数字签名参数对gNB的静态字段进行签名,包括:
a.当基于DSnF时间时,gNB SFN等于0。这被表示为reference_SFN_gNB。
b.用于验证动态字段的公钥:current_dynamic_fields_public_key。
b)签名静态字段的签名有效性等于10”240ms,即系统帧编号卷绕所花费的时间。
c)主站的动态字段用私钥current_dynamic_fields_private_key进行签名。该签名密钥可以是主站专用的。
d)签名的动态字段的签名有效性等于帧倍数,例如,广播新MIB所花费的时间或包括在MIB中的SFN的6个最高有效位所花费的时间改变(160毫秒)。
e)次站时钟与签名生成器的时钟同步。
如果满足这些前提条件,则次站从主站接收:
a)由签名生成器签名的主站的静态系统信息。次站验证其签名,验证时间,并获得reference_SFN_gNB和current_dynamic_fields_public_key.
b)用current_dynamic_fields_private_key签名的动态字段。然后,UE可以例如:
1.验证签名,
2.检查动态字段SFN,
3.检查是否已经在当前验证的SFN中接收到所接收的系统信息,
4.检查是否
reference_SFN_gNB+10*SFN=current_UE_time(等式1)
该协议解决了MitM攻击,因为:
a)如果FBS保持与主站相同的参考SFN参考时间,则它将必须改变广播的系统信息中的SFN值,因为它不能无延迟地处理它们。
b)如果FBS引入其自己的SFN参考时间,则等式1中的检查将失败。
这种设计是鲁棒的,因为它将静态场的签名的有效性限制在大约10”。这避免了撤销列表的需要。此外,它限制了current_dynamic_fields_public_key的有效性。因此,可以使用轻量方案。
此外,它将动态场的有效性限制在几十毫秒。这提供了避免MitM中继节点的解决方案,因为当MitM重放消息时,MitM将处理它并再次发送它,并且这花费一些时间。
如果MitM具有与真BS相同的SFN参考系统,则这需要改变MIB中的SFN字段,因为它稍后被传送,并且因此验证失败。然而,如果MitM不改变SFN使得可以验证签名,则FBS将需要在SFN参考时间上使用其,使得SFN计数器适合。但是这将与签名的SFN_Reference_time不匹配。因此等式1中的检查将失败。MitM节点可以等待10.24秒以使用相同的SFN参考时间重播信息,但是如果签名的静态字段仅在10.24s的该时段内有效,则这可能不起作用。
基于诸如UTC时间或SFN的时间计数器的签名的解决方案需要时间同步。如果这种时间同步不够好或难以实现,则该解决方案(以及TR 33.809-v0.10.0中的解决方案#7和#11)仍然可能容易受到重放攻击。在这种情况下,可以实现以下实施例,其中,我们假设DSnF对在短时间段(例如,10.24s)内使用的基站的短期公钥/私钥对进行签名。基站将其短期公钥与系统信息一起广播。
a)基站广播包括其短期公钥的SI;
b)如果UE决定加入基站,则UE生成秘密K和随机数,并用基站的短期公钥对它们进行加密。UE还可以生成单个秘密值,例如利用密钥导出函数从该单个秘密值导出K和随机数。UE在连接关联中尽快发送该信息。例如,在随机访问流程期间。步骤b中的目标是使用基站的公钥在UE和基站之间共享密钥。UE可以为此目的而使用其他算法,例如,Diffie-Hellman密钥交换或KEM。
c)基站在接收到加密消息时对消息进行解密,获得随机数,并用其短期私钥对其进行签名。基站将该消息发送到UE。基站将密钥K设置为与密码CRC技术结合使用的密钥。在步骤c中,基站通过对随机数进行签名来向UE提供接收到加密密钥的证明。替代地,基站可以计算其他认证令牌,例如,它可以使用接收到的随机数计算具有接收到的密钥的消息认证码(MAC),并将此发送回到UE以便进行验证。MAC(k,随机数)。UE还可以发送该MAC的最低有效位,例如,最低32个有效位。UE还可以发送接收到的密钥的散列。
d)在接收到最后的消息时,UE验证签名(真实性)以及随机数是否对应于UE已经发送到基站的随机数。如果这两个检查成立,则UE将密钥K设置为与密码CRC技术或与在我们的共同未决申请引用的EP21150019.4的优先权下的2020P00937EP中描述的“用于检测伪基站攻击的增强机制”结合使用的密钥K。
此时,UE和gNB两者都已经验证了它们具有共同秘密。然而,MitM可能仍然处于刚刚转发分组的中间。在UE与基站之间的以下通信中,MAC层中的CRC由CRC’=MessageAuthenticationCode(CRC|BlockID,K)代替,其中,BlockID是唯一地识别通信中使用的资源(时间/频率)的标识符。该技术遵循下面更详细描述的密码CRC的思想。如果以非常精细的粒度实现时间/频率资源的识别,则所实现的保护将更好。例如,应当在与微时隙一样短的时间处识别时间,以确保攻击者不能在分配的时隙内重放微时隙。如果MitM就位,则基站将注意到来自UE的传入消息的密码CRC验证在MAC层失败。这向基站给出了可以通知UE、通知网络并且可能关闭通信的问题的指示。
我们注意到,在上面的最后步骤d)中,基站可以使用可能刚刚被替换的新的短期私钥进行签名。因此,UE可能需要执行两次检查,一次检查具有其具有的基站的当前短期公钥,并且如果该检查失败,则UE将需要等待直到接收到新的签名的短期公钥,并且然后重新进行检查。
我们注意到,如果密码CRC是独立应用的,则该独立流程也可以是有益的,因为它允许UE和基站在不需要建立AS安全性的情况下就公共密钥达成一致。该解决方案也适用于不运行访问层(AS)安全性的设备,例如CIoT设备。我们还注意到,上述流程可以适用于TR33.809-v0.10.0中的解决方案#7和#11以实现重放保护。
关于密码CRC,通信协议可以定义基站和用户设备之间的链路上的数据块,而数据块包括用户数据和校验和字段、以及用于数据块中的用户数据中的错误检测的校验和。用户设备可以包括收发器、处理器和用于提供数据块的数据完整性的完整性单元。处理器可以被布置为使用关于链路上的数据块的序列的基站的链路数据来管理到基站的链路上的数据传输,链路数据对于序列中的每个数据块是不同的。在某个时间段之后,链路数据可以重复,例如,由于帧号使用有限数量的比特。这样的重复时段中的数据块被认为是关于完整性保护的数据块序列。处理器还可以被布置为获得与基站共享的秘密完整性密钥。
对于相应的数据块,完整性单元可以被配置为在使用秘密完整性密钥的同时密码地处理用于校验和字段中的预定校验和字段的校验和与链路数据的预定部分的组合。然后,如果需要,可以将密码地处理的组合截断为由通信协议定义的校验和的长度,并且将截断的密码地处理的组合(以下简称为截断的组合)用于错误检测和完整性保护。此外,在发送数据块之前,将截断的组合插入到校验和字段中的预定校验和字段中,并且在接收到数据块之后,将截断的组合与校验和字段中的预定校验和字段中的值进行比较。
上述特征具有以下效果。截断的组合使得能够通过在发送器和接收器侧执行相同的密码处理,并且随后在接收侧比较结果来检测传送错误和完整性错误。有利地,由于截断的组合被插入到最初包含校验和的校验和字段中,因此当与不具有这种完整性保护的传统通信系统相比时,链路上的数据传输不需要附加比特,而传送错误被同等地检测,因为在传送侧使用相同的校验和并且在接收侧重新计算相同的校验和。
更详细地,在通信系统中,通信协议定义基站和用户设备之间的链路上的数据块。数据块具有用户数据和校验和字段,而校验和用于数据块中的用户数据中的错误检测。蜂窝网络为跨至少一个区域的移动设备提供无线通信。
用户设备具有被布置用于根据通信协议进行收发的收发器、以及被布置为使用链路数据来管理链路上到基站的数据传输的处理器。链路数据涉及经由链路传输的数据块的序列。链路数据对于序列中的每个数据块是不同的,而一些部分对于后续序列可以重复。上面已经针对示例性3GPP系统呈现了这种链路数据的各种示例。
处理器还被布置为获得与基站共享的秘密完整性密钥。用于在两个设备之间建立秘密密钥的各种机制是已知的,并且可以用于安全地交换这样的密钥数据。
Diffie-Hellman是用于在两方之间建立秘密密钥的众所周知的技术,其中,用于建立秘密密钥的各方之间的通信不向第三方揭示关于所建立的秘密密钥的任何信息。双方均使用其自己的公钥/私钥对并彼此交换公钥。每一方能够使用其自己的私钥和另一方的公钥以及可能的一些其他信息(例如,来自每一方的随机数)来计算秘密密钥。每一方可以在它每次执行Diffie-Hellman时重新生成密钥对,或重新使用更旧的密钥对。
用户设备还可以具有用于提供数据块的数据完整性的完整性单元,完整性单元被布置为对相应的数据块执行以下过程。首先,完整性单元在使用秘密完整性密钥的同时,密码地处理校验和字段中的预定校验和字段的校验和与链路数据的预定部分的组合。密码处理可以例如是加密或基于散列的消息认证码(HMAC)的应用。下面了描述各种示例。校验和可以如通信协议中所定义的那样计算,并且可以与块号或块地址以及可选地另外的链路数据(即,在块与块之间变化的链路数据的预定选择)级联。此外,这种组合可以包括填充数据或盐。盐是随机数据,其被用作对诸如密码或密码短语的数据进行“散列”的密码函数的附加输入。盐与随机数的概念密切相关。盐的主要功能是防御字典攻击或其散列等同物,即预先计算的彩虹表攻击。如果使用填充数据或盐,则必须在基站和用户设备之间共享该值。可以在规范(例如,3GPP规范)中定义要使用的值。替代地,基站还可以在例如系统信息块中向用户设备发送要使用的值。要使用的值对于所有用户设备可以是相同的,或对于每个用户设备可以是不同的。下面描述了合适的变化链路数据的各种示例。因此,形成所需长度的位的组合串以被密码地处理。
其次,完整性单元将密码地处理的组合截断为校验和的长度,该长度由通信协议定义。通过所述截断,截断的密码地处理的组合现在适合于原始预期的校验和的校验和字段。例如,对于n个比特的校验和字段,截断可以使用密码地处理的组合的前n个比特、后n个比特或n个比特的任何预定选择或置换。
最后,完整性单元通过在传送之前将截断的组合插入校验和字段中的预定校验和字段中来使用截断的组合进行错误检测和完整性保护。类似地,在接收数据的同时,完整性单元通过将校验和字段中的预定校验和字段中的接收值与在接收数据和相应的对应预定链路数据上计算的截断的组合进行比较来使用截断的组合。当接收到的值等于新计算的值时,校验和覆盖的数据的完整性被验证,同时还确保数据没有错误。否则,即使在单个比特错误或单个修改的用户数据字节的情况下,校验和也将是不同的。此后,密码地处理的组合将非常不同。因此,传送错误和用户数据的有意修改都将导致不同的截断的密码地处理组合。因此,使用来自校验和字段的相同数量的比特来检测在传送期间对用户数据的操纵,即所谓的中间人攻击(man-in-the-middle attack)。此外,由于中间人难以猜测正确的截断的密码地处理的组合,中间人插入附加数据变得更加困难。
在上述实施例的另一示例中,提出了一种使用公共密钥密码术而不需要紧密时间同步的机制。
通常,该示例的方法是一种用于使次站在蜂窝网络中获得时间参考的方法,该方法包括:
从多个主站接收多个系统信息SI消息,所述SI消息均包括与对应主站有关的相应时间参考信息,
检查所述主站中的每个主站的接收到的签名和时间参考的有效性,
与被确定为有效的主站之一交换密钥,并且
使用不受松散同步影响的MitM检测过程来确定所选择的主站是否是真的。
该示例还包括次站,该次站包括发射器和接收器以及处理器,该处理器适于:
从多个主站接收多个系统信息SI消息,所述SI消息均包括与对应主站有关的相应时间参考信息,
检查所述主站中的每个主站的接收到的签名和时间参考的有效性,
与被确定为有效的主站之一交换密钥,并且
使用不受松散同步影响的MitM检测过程来确定所选择的主站是否是真的。
不受松散同步影响的MitM检测过程可以涉及例如对交换的消息使用密码CRC。
该解决方案可能需要与DSnF解决方案中相同的设置,包括以下事实:
1.基站广播由DSnF签名的签名SI。
2.UE具有对应信任锚点以验证由基站广播的签名SI。
3.DSnF对与基站相关联的公钥进行签名,并且基站使用对应私钥来对SI中的动态字段进行签名。
该解决方案还需要上述密码CRC(C-CRC)解决方案。C-CRC解决方案允许UE和gNB丢弃任何重放的消息。
协议流程在图15上进行描绘,并且如下:
1.gNB广播签名的系统信息。
2.UE验证数字签名的有效性,从而验证SI。
3.UE以安全的方式生成对称密钥K。
4.UE通过用gNB的公钥加密K来以安全的方式将K发送到gNB。
5.a.UE在发送消息4之后启动定时器Ta。
b.gNB在接收到消息4之后启动定时器Tb。
6.a.UE在发送消息4之后使用密钥K激活C-CRC方法。
b.gNB在接收到消息4之后使用密钥K激活C-CRC方法。
7.标准协议流,但受C-CRC保护。
8.a.如果Ta>Tmax并且尚未发送消息8,则UE确定MitM的存在,并且继续搜索另一基站。
b.如果Tb>Tmax并且尚未接收到消息8,则gNB确定MitM的存在并丢弃通信。
9.UE发送的最终消息确认没有检测到MitM。
10.a.UE在发送消息9之后停用C-CRC方法。
b.gNB在接收到消息9之后停用C-CRC方法。
11.标准通信。
应当注意,消息4可以是RRCSetupRequest。消息9可以是NAS Securityy ModeComplete。消息7包括RRCSetupComplete和NAS handshake。可以在规范阶段期间指定细节。
此外,C-CRC解决方案取代了MAC层处的标准CRC。这意味着,如果存在MitM转发、修改或注入消息(步骤7),则那些消息将被UE和gNB丢弃。MitM不能访问K,并且因此,它不能正确地计算C-CRC。
先前示例的变型允许降低降级攻击的风险,即简单地基于设备与最新版本的协议不兼容的错误假装的攻击。这种攻击使其放弃高质量的操作模式(例如,加密连接),而倾向于更旧的、更低质量的操作模式(例如,明文),该更旧的、更低质量的操作模式通常被提供用于与更旧的系统的向后兼容性。
该解决方案采用相同的设置,包括:
1.基站广播签名的SI,
2.UE具有对应信任锚点以验证签名的SI,
3.用于对SI进行签名的K-SIGPrivate特定于跟踪区域。
该解决方案还需要用如先前所述的密码CRC(C-CRC)替代MAC层处的CRC:
C-CRC=MessageAuthenticationCodeComputation(K,CRC|blockID)
其中,MessageAuthenticationCodeComputation()是返回24位消息认证码的函数,|指示级联,并且blockID是指识别用于在MAC层处传送数据的物理资源块(RB)(即,时间和频率物理资源)的唯一标识符。协议流程在图16中进行描绘,并且如下:
1.gNB广播签名的系统信息。
2.UE验证数字签名的有效性,从而验证SI。注意,这包括验证证书是否尚未过期。我们假设这不需要严格的时间同步。
3.UE以安全的方式生成对称密钥K。参见注释2。
4.UE通过用gNB的公钥加密K来以安全的方式将K发送到gNB。UE还包括随机数N_UE。
5.gNB通过发送E(K,N_gNB|N_UE)(即,从UE接收的随机数和来自基站的用K加密的新随机数)来确认K的接收。UE检查该消息是否包含N_UE。如果不是,则UE确定MitM的存在。
6.UE通过发送E(K,N_UE|N_gNB).来发送最终确认消息。gNB检查消息包含N_gNB。如果gNB没有接收到该消息或检查失败,则gNB确定MitM的存在。
7.a.UE在发送消息6之后启动定时器Ta。
b.gNB在接收到消息6之后启动定时器Tb。
8.a.UE在发送消息6之后使用密钥K激活C-CRC方法。
b.gNB在接收到消息6之后使用密钥K激活C-CRC方法。
9.标准协议流,但受C-CRC保护。参见注释1。
10.a.如果Ta>Tmax并且UE尚未发送消息11,则它决定存在MitM并继续搜索另一个基站。见注释3和注释4。
b.如果Tb>T_max并且gNB尚未接收到消息11,则它决定存在MitM并丢弃通信。见注释3和注释4。
11.UE发送的最终消息用作未检测到MitM的隐式确认。
12.a.UE在发送消息11之后停用C-CRC方法。
b.gNB在接收到消息11之后停用C-CRC方法。
13.标准通信。
应当注意,消息4、5、6、7和9的特定实例可以如下:消息4可以是RRCSetupRequest;消息5可以是RRCSetup;消息6可以是RRCSetupComplete;;消息9可以包括NAS handshake;消息11可以是NAS Security Mode Complete。重要的是观察到正常通信流照常继续进行,唯一的区别是C-CRC是激活的。另外,MitM不能访问K,并且因此它不能正确地计算C-CRC。消息4、5、6确保MitM不会干扰C-CRC的激活。
此外,C-CRC解决方案取代了MAC层处的标准CRC。这意味着如果存在MitM转发、修改或注入消息(步骤7),则那些消息将被UE和/或gNB丢弃。在步骤7中不接收消息意味着也将不发送/接收消息9,因为先前的消息丢失,并且因此定时器Ta和Tb将超时,并且UE加入过程将被丢弃。因此,该解决方案在所有情况下都实现了重放保护,而不需要严格的时间同步,例如,以可靠的方式避免重放攻击所需的大约1或2毫秒。
此外,blockID是唯一的以提供新鲜度是有利的。为此,它可以被构造如下:
blockID=Frame|Subframe|Slot|Allocated_Resources_TIME|Allocated_Resources_Frequency
其中,|意指级联,并且Allocated_Resources_Time和Allocated_Resources_Frequency确定用于在给定帧/子帧/时隙中传送的资源。
由于SFN具有10.24秒的周期,那么该blockID构造设置Tmax的最大值。如果要求Tmax更长,则可以在规范阶段期间定义不同的blockID构造。
关于向后兼容性,在上述设计中,新UE在有限的时间量内运行C-CRC。在步骤11之后,UE运行标准CRC。在步骤4和5中协商C-CRC的激活,并且后向兼容性表如下:
Figure BDA0004159029050000251
Figure BDA0004159029050000261
必须考虑MitM可能尝试使用情况IUE、NBS和情况NUE、IBS来干扰和组装降级攻击。注意,该降级攻击是关于UE和gNB都支持该解决方案的情况。在下文中,检查:
·使用情况nUE、IBS的降级攻击:MitM可以转发gNB的SIB,就好像它没有签名一样。如果这种情况发生,则UE将不激活C-CRC并且将不添加E(K,PK)。C-CRC将不被UE或BS激活。该降级攻击可以被认为是可接受的,因为UE和gNB知道存在风险(因为C-CRC未被激活)。UE和gNB可以具有不接受FBS有弹性的连接的策略。
·使用情况2的降级攻击:MitM移除E(K,PK),并且因此,gNB不激活C-CRC。由于gNB不激活它,因此它也不会发送Hash(K),使得UE将不激活C-CRC。如在前一种情况下,该降级攻击可以被认为是可接受的,因为至少UE和gNB知道存在风险(因为C-CRC未被激活)。
应当注意,这种降级攻击也适用于当前解决方案,并且在当前解决方案中,新UE可能认为它正在以安全的方式(源发起验证和重放攻击)与适当的gNB通信并且处于重放攻击之下。
上述示例性实施例通过接收签名SI(特别是在5G中以周期性方式广播的MIB/SIB1)来触发。然而,SIB1具有小尺寸(小于3000比特),限制了可以添加的信息量,特别是数字签名或数字证书的尺寸。对此的解决方案是一种新的变型,其中,UE在接收到MIB/SIB1之后主动请求包含签名的SIB(要指定的SIB_S)。一旦UE已经接收到SIB_S,UE就可以通过使用已经安装的信任锚点来验证SI源自给定基站。UE还可以验证基站的公钥(PK)。然后,UE在步骤4中使用该PK,如上图所示,触发协议的其余部分。在这种情况下,步骤9可以包括一些预定义的上行链路和下行链路消息。
最终,所有先前实施例中的要求可能是该公钥PK可以用于签名验证(如步骤2中所要求的SI的)和公钥加密(如步骤4中所要求的)。如果用于步骤2的签名验证的公钥不能用于PKE,则在SIB中发送的证书应当包含步骤4中用于PKE的附加gNB公钥。
在第六实施例的另外的变型中,代替于在2^10帧的持续时间(即10.24s)内或直到SFN回绕为止对静态参数进行签名,静态参数也可以在2h54’45.76”的持续时间内(即直到SFN和HFN回绕为止)进行签名。这进一步减少了签名生成器上的开销。此外,用于对动态参数进行签名的数字签名算法可以基于诸如ECDSA的标准算法,但是由于对应公钥的短有效性而具有更低的安全级别。替代地,它可以是轻量级方法,例如,基于散列链、Tesla。
所提出的签名组合还为量子抗性签名提供了良好的解决方案。数字签名无论是公钥还是签名都很庞大尺寸。第六实施例的解决方案允许使用具有相对低频率的繁重数字签名。动态字段需要更频繁地被签名,并且为此,基于散列的解决方案(也是量子抗性的)是良好的候选。此外,动态字段的签名可以在符合当前DSnF架构的签名生成器(DSnF)中完成。但是它也可以外包给主站,因为DSnF正在签名所有关键字段,包括SFN的开始时间。如果gNB对动态字段进行签名,则存在明显的优点:DSnF上的开销更低,签名的信息可用于按时广播。
如果仅使用DSA,则该解决方案也起作用。因此,DSA可以用于在长间隔时间期间对静态信息进行签名。这也签名主站用来签名动态字段的散列链锚点。当这样做时,DSA还应当用于对SFN_HFN_Reference_time进行签名。一个好的权衡是让DSA对新的HC锚点、SFN_HFN_Reference_time、...HFN/SFN(2h54’45”)进行签名。替代方案是每个SFN时段(10.24秒)具有DSnF必须处理多得多的数据请求的缺点。利用由每个主站管理的基于HC的方法来保护其余的SIB/MIB。
最后,在本发明的该第六实施例中,多次提到UE最初可能略微不同步或可能没有正确的时间。如果这种情况发生并且UE具有略微不同的时间(例如,10ms的差异),则只有在比预期晚的11、...、max_delay HFN/SFN中接收到该消息,UE才可以接受该消息。当这种情况发生时,UE应当启动具有DSnF的安全时间同步协议,并再次检查延迟是否持续发生。如果是这种情况,则UE可以在MitM中继节点下,并且应当寻找不同的主站。
在该实施例中,通过检查消息的新鲜度来实现针对重放攻击的保护。这种新鲜度与集中管理的DSnF时间和基站特定的SFN相关联。然而,在某些情况下,可能MitM攻击者可以非常快速地行动,或某个系统必须放宽时间同步要求。如果这种情况发生,则UE可以接收具有相同PCI和相同时间的两组系统信息。在这种情况下,选项是拒绝两组SI并连接到不同的基站。这是具有以下缺点的已知选项:它可能导致DoS攻击(例如,如果UE可以观察到单个基站)或可能降低系统的性能(例如,如果UE决定连接到提供更差连接性的基站)。UE还可以选择替代机制,即,在UE已经接收到具有相同PCI和时间的SI的两个或更多个集合的情况下,则UE将选择首先接收的集合,因为这是不太可能(如果可行的话)已经被重放的集合。
因此,更一般地,在从多个主站接收到多个系统信息消息时,进一步的步骤可以包括拒绝所有重复的SI消息。替代地,另一步骤包括选择更不最近的SI消息并拒绝其余的SI消息。
所有前面提到的实施例可以用在第七实施例中详述的单个解决方案中并链接到5G。根据第七实施例,描述了小区扫描过程以避免FBS和MitM节点适配在DSnF框架中。其主要特征包括:
使用在所述同步信号中分配的所述物理层中的信息以及UE位置和基站的已知辐射图案用于FBS的早期检测,
使用PKI和散列链的性能优化组合来保护系统信息,即MIB和SIB1,并且其中在关键实施例之一中,DSnF对散列链的锚点进行签名,并且基站使用散列链方法来保护系统信息,并且UE验证签名的信息以避免FBS。
提供优化以支持固定和可变字段的有效验证,从而改善DSnF和系统的性能,
验证允许私钥在UE的当前位置中对消息进行签名以避免损害位置A中的私钥的攻击并使用其对位置B中的信息进行签名,
验证签名信息的新鲜度,其中,定时信息从多个基站学习或通过UE和DSnF之间的初始握手获得,以避免简单的重放攻击。
验证签名的SFN/HFN符合当前时间,以这种方式避免MitM中继攻击。
处理FBS的小区扫描过程可以包括如下所述的多个可选步骤。
οUE调谐到特定频率
οUE尝试检测PSS、SSS,如果UE未能检测到这一点,则它调谐到下一频率
ο一旦UE成功检测到PSS/SSS,
UE存储所选择的SSB索引和对应信号强度解调参考信号(PBCH DMRS)
ο[基于物理信号的BS位置和PCI检查]基于UE的当前位置和SSB索引以及PBCHDMRS的强度,UE检查BS的估计位置是否与第四实施例中的可信BSLog中陈述的位置匹配。
如果存在具有唯一PCI的BS并且其估计位置与已知BSLog中的位置匹配,则设备接受该BS。
如果存在具有唯一PCI但与BSLog中的位置不同的估计位置的BS,则设备将该BS放置在偏好列表的末尾。
如果存在具有相同PCI但不同估计位置的两个BS,并且其中一个位置与BSLog不匹配,则设备丢弃该BS。
如果存在具有相同PCI和相同估计位置的两个BS(例如,如果UE不使用解决方案3的一部分,或攻击者以UE为目标),则设备将它们标记为重复的,并在过程中向前移动以检查它们的签名和时间。
UE尝试解码PBCH,从而获得MIB。一旦UE成功解码PBCH,它就尝试解码用于RMSI和OSL的PDCCH和PDSCH。
[对经过数字签名的SI的验证]在该时间点处,如果信任锚点被配置,则它可以验证在SIB1中广播的MSI的数字签名。如果它们未被配置,则跳过签名验证。
这如上述第二实施例中那样进行,其中许多字段是静态的。那些字段仅被验证一次。对于稍后的时间,唯一的操作是检查它们的值是否保持不变。如果这成立,则固定字段的散列用作输入并与变化字段连接以验证当前签名。
如果验证失败,则UE丢弃BS。
此外,如果在UE所在的区域中不允许对消息进行签名的私钥,则UE丢弃BS。UE可以获得也在SIB中广播的BS的签名位置,并且如果该位置与UE被放置的位置不匹配,则BS被拒绝。
ο[新鲜度检查]小区扫描过程中的该步骤涉及根据第五实施例的新鲜度验证。
ο[中继消息检查]根据第六实施例完成小区扫描过程中的该步骤。
在上述实施例中,签名生成器具有两个公钥对来对静态字段和动态字段进行签名。在另一实施例中,主站是拥有这两个密钥对的实体。
在上述实施例中,突出方面之一是需要在各个实体之间同步,并且特别地,主站和签名生成器需要同步,或它们必须知道时间差。实际上,主站必须广播信息。但是主站需要知道“何时”这样做,以确保在多个基站的签名SI中广播的签名生成器时间是同步的。如果不是,则这可能导致主站具有更快滴答的时钟(因此,其时间更长)的情况。在描述中的同步方法之后,次站将使用该时间作为参考。这可能导致次站拒绝有效主站的情况,由于这个原因,可能具有更好的传送功率,从而导致更好的连接性。
此外,它有助于防止重放攻击。如果使用时间避免重放攻击,则基站广播准确的时间是重要的。否则,如果基站的时钟滴答更快(然后它更新),则它将稍早地广播数据,使得攻击者可以重放信息。
另外,检查时间一致性是重要的:在3gpp TR33.809第6.20.2.5.4节中,规定了“当来自每个小区的数字签名有效但最近从多个小区接收的时间计数器验证失败时,UE检查来自那些小区的时间计数器的一致性。如果它们彼此接近,则指示UE时间与网络不同步。如果定时器计数器不一致,则指示攻击者的存在(例如,通过重放旧信息)。在任一种情况下,UE可以选择具有最高时间计数器的小区,因为中继的时间计数器很可能不是最新的。如果我们选择检查从多个小区接收的时间计数器的一致性,则我们可能不需要对照UE本地时间检查时间计数器。这可以允许消除所有UE和网络之间的时间同步的需要。在第6.20.2.5.5节中,描述了小区选择过程。在扫描和移除具有重复PCI的SI之后,继续获取MIB、SIB并验证签名和新鲜度。从这里,我们可以推断出当前DSnF在移除具有重复PCI的SI之后执行时间一致性检查。
此外,如上所述,MitM中继节点可能在目标UE的范围内,但是目标UE可能离真基站太远。然而,该区域中的一些UE可能监听MitM中继节点和真基站两者。那些UE可以将排除的SI(由于重复的PCI)报告给核心网络,或一旦连接就报告给基站,使得核心网络评估伪基站的存在。如果核心网络评估是肯定的,则核心网络可能决定通知受影响的基站并采取进一步的动作,例如,将其关闭有限的时间段。
在3GPP TR33.809第6.20.2.6.1节中,描述了如何处理重放攻击。对于本地重放攻击预防,使用PCI信息的移除。对于远程重放攻击预防,本文提到了位置。如上所述,由于所描述的范围扩展攻击,其中MitM和基站彼此相对靠近,因此移除具有重复信息的SI可能是不够的。然而,可以在广播消息中添加和签名的内容是基站的范围。距离信息与基站的位置一起也可以帮助避免或至少减轻上述攻击,因为它确定了预期从给定基站接收SI的区域。在极端情况下,基站甚至可以广播预期接收的区域。
最终,6.20中的当前文本说明MIB、SIB被签名。重要的是强调一些字段也被签名,但是在MIB和SIB之外。例如,SFN的4LSB本身不包括在MIB中。
除了已经建议由UE签名和验证的小区特定参数PCI和下行链路频率之外,也必须对在PBCH中传送的以下参数进行签名:
a)还必须对SSB索引进行签名和检查。SSB索引特定于波束,并且因此,它不是MIB的一部分。如果该信息未被签名,则攻击者可能创建具有广播附加SSB的“附加波束”的FBS。同样可行的攻击类型是这样的,其中攻击者在不能接收到实际波束XYZ的区域中创建具有索引(例如XYZ)的假波束。如果该信息未被签名/验证,则攻击者可以从波束(稍早广播)获得数据,并且可以将其放置在稍晚广播的假波束(伪造真实波束)中。替代地,可以增强SI以对基站使用的波束的数量进行签名,并且UE可以检查基站使用的波束的数量。
*所有SSB子载波偏移比特,因为它们中的1个可能被携带在PBCH中。如果这未被签名,则攻击者可能能够修改频率偏移。
*半帧比特(1比特)必须带符号。如果半帧比特被修改,则攻击者可能具有错误的帧同步(5ms错误),例如,MIB可能位于帧的后半部分中,而不是帧的前半部分中。
MIB不是单次传送,而是多次传送,每SSB一次。考虑到半帧比特,SFN和MIB的参考时间应当是所接收的第一SSB块的时间。
例如,如果UE知道其位置和gNB的位置,则用于接受消息的时间窗口可以取决于UE和基站之间的距离。在这种情况下,当UE在给定位置处接收到MIB时,UE可以查找具有该PCI的gNB的位置,计算距离,并且通过考虑无线电波以光速传播来设置用于接受取决于该距离的消息的时间窗口。
更一般地,因此使用次站检查来自主站的系统信息消息的有效性的方法是有利的,该方法包括检查SI消息的接收时间的有效性,所述步骤考虑了次站和主站之间的距离的估计。在实施例中,这种距离估计需要基于次站的位置和主站的位置计算距离的初步步骤。主站的位置可以从详细说明主站的位置和标识符的集中参考服务器获得。
在另一方面中,提出了一种次站检查来自主站的系统信息消息的有效性的方法,该方法包括基于时间参考检查SI消息的接收时间的有效性,其中时间参考根据辐射波束(或SSB)索引来适配。
SFN用作直接链接到基站的调度的时间计数器,并且因此,它具有在检查时间戳的新鲜度时对其进行签名和/或考虑其的优点。这涉及S3-210541中的第3.4.1节,并且特别地,当前文本说明如果签名/时间戳在多个SIB1中重复多次,则允许的时间窗口(t_w)更大,即网络延迟t_d(其包括签名时间、传送时间、传播时间、接收时间和签名验证时间)、考虑UE和基站之间的同步水平的差异的参数tau、以及考虑由于在多个SIB1中重复相同签名/时间戳而调度的延迟的参数t_s,例如,如果在N SIB1中使用相同的时间戳/签名,则t_s=(N-1)20。该方法使处理的延迟最小化,但是它使得重放攻击非常容易。
为了处理这种情况,如果相同的时间戳/签名用于多个SIB1并且UE不想出错,则UE应当:
-第一步)查看接收SIB1的帧号SFN_received、以及与首次使用相同时间戳/签名的相对位置(参考帧号)。这可以被导出为k=SFN_received%N,其中“%”是模运算。利用该信息,UE可以将时间戳校正为(时间戳+k*20)并将该值与当前时间进行比较。
-第二步)由于FBS可能修改SFN(如果SFN未被签名),则UE必须保持监测所接收的SIB1,直到其中分配新的时间戳/签名的下一帧。以这种方式,UE可以保证攻击者不重放长于t_d+tau的帧。注意,在任何情况下,如果重复签名/时间戳,则UE仍然将必须平均等待t_s/2直到UE获得t_w=t_d+tau的确定性。
t_d的定时可能约为1ms或更多。例如:在具有SCS=15或30kHz的4个OFDM符号中传送MIB。如果是15kHz,则MIB传送花费266微秒。如果存在四个波束,则第一和第四波束之间的时间差几乎为1ms。在接收处相同。这没有考虑SIB1传送和接收,并且因此,MIB+SIB1的总传送/接收时间将大于266微秒。这对于传送延迟是类似的。如果我们查看到达时间,则最大值(在LTE中)对应于~0.6ms。
因此,更一般地,可以提出使用一种用于对连续消息进行签名的方法,该方法包括对多个连续消息重复使用单个签名,其中每个消息还包括时间戳,该方法还包括在检查消息的有效性之前从所接收的时间戳计算实际传送时间戳。
信任锚点应链接到地理区域。当UE使用信任锚点时,UE必须检查它正在使用的信任锚点是否在UE的位置中被允许。
如果锚点是从中央实体分配的,并且gNBs使用散列链实例来保护由gNBs广播的数据,则散列链可以是良好的解决方案。考虑到5G的同步性质和MIB/SIB1消息的递送,这是非常合适的解决方案。特别地,SIB1将包含利用散列链的未公开链路和使UE验证先前接收的SIB1/MAC的散列链链路计算的MAC。SIB2/SIB5消息可以按需分配。当将TESLA应用于那些消息时,这些消息包括利用将在下一SIB1消息中公开的下一未公开的散列链元素计算的MAC。散列链非常适合SFN调度,参见上面的注释(4)。
代替必须对整个10比特SFN进行签名,其中在MIB中传送6个MSB并且在PBCH中传送4个LSB,可能仅需要对最高有效位进行签名。例如,通过对8、7、6MBS进行签名,我们得到40、80、160ms的时间周期。
关于时间同步问题:一般方法是UE使用来自多个gNB的时间戳来获知它们的时间并找出它是否不同步。对于这种时间一致性方法,需要gNB紧密同步。此外,仅必须考虑其签名已被验证的时间戳。
第二种方法是使用最近的时间或验证的时间戳的平均值。
用于这起作用的第三种方法是UE可以请求当前(DSnF/gNB)时间。这与UE的时间可能不同步和/或其周围的gNB太少的场景相关。UE向DSnF发送请求并返回当前时间。
使用哪种方法(时间一致性或直接从DSnF/gNB检索当前时间)以及在哪种情况下通过策略来确定。例如,如果攻击者控制足够的伪基站并且UE尝试从k个时间戳确定所有那些值是否一致,则仍然可以操纵时间一致性检查。如果信息被广播和签名,则如果存在小于1/2的受损节点,即,如果存在k=2n+1个基站(时间戳),如果存在多达n个伪基站(时间戳),则UE可能是相同的。在其他拜占庭模型中,界限是k=3n+1,并且然后系统承受高达1/3的折衷值。对于第二种方法,策略可以包含需要使用最高时间戳作为当前时间的最小数量的时间戳。例如,如果UE仅可以访问时间戳,则策略可以指示UE应当使用第三种方法并从基站检索时间。策略还可以包括应当多频繁地交叉检查时间准确性。这可以是例如每小时至少一次。该策略还可以允许使用在不同时刻(例如,在例如10分钟的时间窗口内)收集的时间戳。
一些现有解决方案旨在确保系统信息的真实性并处理FBS/MitM。这些解决方案基于用于检查系统信息消息的有效性的有效性方法,该有效性方法包括
次站接收连续系统信息消息,
次站至少基于所接收的系统信息消息(或其相应内容的一部分)生成验证消息以用于验证。
在示例中,验证消息是所接收的系统信息消息的至少子集的散列。
在一种解决方案中,验证消息由次站发送到主站,以便在安全信道上进行验证。替代地或另外地,验证消息可以由主站发送到次站用于验证。主站可以是gNB或核心网络中的网络功能。
更详细地,这些解决方案因此在于gNB在UE已经建立AS安全背景之后向UE提供MIB/SIB/PCI的散列。UE可以将gNB提供的信息与先前接收的MIB/SIB/PCI进行比较,并检查它们是否匹配。如果它们不是,则它向gNB发送指示。这例如描述于TR 33.809-0c1解决方案19中。图17图示了TR 33.809-0c1中的解决方案19中的系统信息保护的协议流程。
在TR 33.809-0c1中,描述了类似的解决方案,即解决方案14,其中UE是将所接收的MIB/SIB的散列发送到gNB的实体。gNB是检查信息是否匹配的一方(等同于上图17中的步骤6)。以其他方式,解决方案14类似于解决方案19,但是交换了UE和gNB的角色。
这样的解决方案具有某些限制:
a)PBCH中紧挨着MIB广播的一些字段不包括在验证过程中。这些字段包括SSB索引、SSB子载波偏移比特或半帧比特。这为什么是限制的原因是攻击者可能很容易干扰通信。例如,在5G中,基站可以使用多个波束在多个SSB中广播PCI/MIB。如果基站被配置为使用例如仅2个波束,则攻击者可以设置具有不同SSB索引的附加伪波束。攻击者仅需要使用非常高的功率通过其伪波束重新广播真基站的实际MIB/SIB/PCI。以这种方式,UE将认为它连接到真基站,因为图17中的步骤6中的MIB/SIB/PCI的检查将是成功的,但是仍然连接到伪波束。如果不交换和验证SSB子载波偏移比特或半帧比特的散列,则类似的攻击可能是可行的。注意,在真实波束旁边设置附加的伪波束可能是具有挑战性的,因为它需要配置FBS的传送,使得接收在接收时同步,然而,这根本不是不可行的,如相关学术工作中所示。
b)这些解决方案声称对MIB/SIB/PCL进行签名。然而,MIB包括SFN的6个最高有效位。这意味着存在64个可能的散列要比较。如果还需要验证SSB索引,则这种情况变得甚至更糟。
c)这些解决方案不能防止MitM。
为了克服解决方案19(和/或14)中的这些限制,提出了一种用于检查系统信息消息的有效性的改善的有效性方法,该有效性方法包括
次站接收由主站或链接到主站的安全实体发送的连续系统信息消息,
次站至少基于所接收的系统信息消息(或其相应内容的一部分)生成验证消息以用于验证,
其中满足以下替代方案中的至少一个:系统帧号不包括在验证消息生成中,或仅系统帧号的一部分被包括在验证消息生成中,或系统帧号与验证消息一起被发送。SFN的一部分是SFN的一些最高有效位。它可以是例如SFN的6个MSB。在下文中的这些变体的详细描述中列出了另外的替代方案。
因此,更具体地,图1中描述的通信流程可以被改善如下:
1)处理限制a)的第一实施例在于以交换和验证PBCH字段的散列的这种方式扩展图1中描绘的通信流程。这包括SSB索引、SSB子载波偏移位或半帧比特。注意,也可以包括SFN的4个最低有效位(LSB)。然而,这不总是需要的,例如,如果在帧编号0、4、8、...中每40ms传送MIB。在这种配置中,那4个LSB总是0000。
2)处理限制a)的第二实施例在于检查SSB索引在所接收的SIB1中是否是激活的。这里,我们记得(参见https://www.concepts-of-5g.com/2019/10/cell-synchronization.html)SIB1包括:
Figure BDA0004159029050000311
其中ssb_PositionsinBurst指示激活的波束。UE可以检查它已经接收的SSB_index是否实际上被设置在该字段中,以及由基站提供的SIB1的散列是否与基于所接收的SIB1本地计算的散列匹配。
3)处理限制b)的第三实施例在于gNB/UE跟踪UE在加入过程中使用的SSB(表示为SSB_UE)并发送使用(i)在消息5之前广播的最后MIB(SFN)和(ii)SSB_UE计算的MIB/PBCH的散列。UE将使用最后接收的MIB(和最后接收的SFN)和在加入过程中使用的SSB。
4)处理限制b)的第四实施例包括发送多个散列,每个可能的MIB值一个散列,并且UE检查所有散列。散列可以链接到在其计算中使用的SFN/SSB索引的特定值,以便使搜索在UE处更有效。
5)处理限制c)的第五实施例是在交换MIB/SIB的散列时使用密码CRC解决方案(或诸如随机调度的解决方案)用于MitM检测。
例如,如果上述实施例1)和2)应用于图17,则所得到的协议可以成功地击败上述限制a)中描述的攻击,其中攻击者设置具有附加SSB索引的伪波束并通过其转发真基站的SIB/MIB/PCI。这是因为基站将向UE通知其用于通信的波束(SSB索引)(通过散列值)。如果攻击者使用不同的波束,则SSB索引将不同,并且散列将不匹配。此外,该协议是有效的,因为仅需要发送在发送消息5之前发送的最后一个MIB的散列。这减少了通信和计算开销。
我们还注意到,作为TS 33.501附录E的扩展的一部分,TR 33.809中的一些解决方案建议报告MIB和SIB1以及其他SIB的散列,以增强来自UE的测量报告。这种解决方案的示例是TR 33.809中的解决方案#4。那里提到的方法具有两个缺点,其也存在于TR 33.809中的解决方案14和19中。第一个缺点是解决方案#4需要计算MIB/SIB1上的散列。但是MIB包括SFN的(10个中的)6个比特,即6个SFN最高有效位。这将导致64个不同的“有效”散列值。更好的替代方案可以包括在计算MIB的散列之前从MIB中移除这6个SFN比特。
在一些情况下,希望报告MIB的散列和SIB1的散列和SIB2的散列等。例如,解决方案#4指示可以交换多个散列。如果MIB的散列被发送,则应当在没有6个SFMMSB的情况下完成,如上所述。然而,即使这样也会导致一些问题。原因是MIB仅为几十比特,而散列函数SHA-256的输出为256比特长。因此,传送MIB的散列不是有效的,并且在替代实施例中,优选的是在具有或没有SFN的情况下直接交换MIB的内容,使得接收方可以直接验证内容。如果单独计算MIB和SIB1的散列,则这也适用于其他解决方案,例如TR 33.809中的解决方案14或18。
如果包括SFN,则UE可以报告MIB/SIB1的散列和测量MIB的时间。注意,MIB仅包含SFN的6个MSB,并且每个MIB被广播多次,这可能导致时间不确定性。为了提高时间准确性并允许接收方辨别UE已经接收到哪个MIB,UE应当报告接收到新MIB的时间,即,其中SFN的6个MSB与先前接收的MIB中的SFN的6个MSB不同的MIB。替代地,在接收到MIB的时间之后,应当包括SFN的4个LSB。然后,网络应当跟踪由真基站在特定时间点使用的MIB/SIB1值。这是可行的,因为SFN每10.24秒重复这些值。因此,如果基站在时间t0向核心网络通知SFN值,并且可选地传送MIB/SIB1的64个有效散列值或为核心网络提供信息以通过计算64个散列值来推断,则核心网络将知道基站在任何时间t处使用哪个SFN值,以及应当报告MIB/SIB1的哪个散列值。通过这样做,网络可以更好地识别在验证中应当使用哪个散列值,并检测通过重放其系统信息来欺骗有效基站的身份但未完全同步的攻击者。类似地,并且如本说明书中所解释的,5G基站可以通过指向不同的相应位置的多个波束来广播MIB/SIB1。每个波束的SSB索引被包括在PBCH中并且识别波束。当UE报告MIB/SIB1的散列时,UE还可以在散列的计算中包括所测量的信号具有最高接收功率的定向波束的标识符(例如,SSB索引、或表示方向的角度的指示),换句话说,UE已经在与小区的通信链路中使用的定向波束。如果UE这样做,则在到基站的包括所接收的MIB/SIB1的散列的报告中,UE可以包括其测量MIB/SIB的位置和时间。基站(以及核心网络,一旦基站通知核心网络)知道可能作为时间的函数的辐射图案(即,波束的方向),例如在波束不是完全静态的情况下,基站知道在时间t处,波束瞄准特定方向。利用该知识,基站(和核心网络)知道UE应当在给定位置和时间拾取哪个定向波束。然后,核心网络可以检查UE针对给定时间/位置报告的MIB/SIB1的散列是否符合UE应当测量的散列。我们注意到,核心网络可以包括定义时间窗口wt和位置窗口wl的策略,使得如果核心网络知道在时间t0和位置l0处基站正在使用SFN_i和波束索引Bi,则核心网络可以接受用于(SFN_i-wt,…,SFN_i+wt)和(B_i-wl,…,B_i+wl)的MIB/SIB1的散列作为有效的。
应当注意,在解决方案#4的背景下描述的与定时和位置有关的该附加信息也可以并入解决方案#14和#19,以增加这些解决方案对重放攻击的抵抗力。特别地,在解决方案#19中,gNB向UE提供MIB/SIB的散列。当gNB这样做时,gNB可以例如通过安全RRC消息向UE提供关于UE应当在给定时间或位置接收的MIB/SIB的散列的信息。例如:
·如果gNB向UE提供MIB/SIB1的64个散列(对于MIB的64个可能值,考虑到MIB包括SFN的6个比特)和参考时间(例如,首次广播MIB/SIB1的散列(其中那6个比特被设置为0)的时间)。UE可以检查所接收的MIB/SIB1是否遵循/遵循与在安全RRC消息中接收的相同的真基站的定时。如果伪基站的定时不与真基站的定时紧密同步,则该检查可以帮助UE识别重放攻击。这可以通过具有时间窗口(例如,1ms)来完成。如果定时在该时间窗口之外,则UE可以将基站分类为FBS。
·替代地,基站可以在散列MIB/SIB1的计算中包括PBCH的一些字段,特别是SSB索引和/或SFN的最低有效位。基站可以通过安全RRC消息向UE通知使用来自PBCH的该信息计算的MIB/SIB1的散列,UE应当在其位置处已经使用/测量该散列。基站可以在MIB/SIB1的散列旁边包括该信息。注意,这可能需要UE以安全的方式向gNB报告其位置,使得MitM不能修改它。替代地,这可能要求gNB可以以可信的方式获知UE的位置而不受MitM的影响。这在图18中示出。
·替代地,基站计算MIB/SIB1的散列,而不在PBCH中包括SFN或任何字段。然后,基站在安全RRC消息中提供该散列以及预期的SFN和PBCH字段(例如,SSB索引)。在接收时,UE需要检查所有值都是正确的。这在图19中示出。
解决方案#14与解决方案#19相同,但是在这种情况下,UE向gNB报告MIB/SIB1的散列。在上面针对#19的描述之后,UE可以以安全的方式向gNB报告:
·MIB/SIB1的散列包括当获得MIB并触发其加入小区的请求时的时间。然后,gNB可以检查由UE接收的MIB/SIB1是否符合其定时调度,如上面针对解决方案#19所做的。这可以通过验证由UE测量的SFN时间与gNB的SFN时间相同来检查。注意,这也可以根据绝对时间参考(例如,假设gNB和UE同步的UTC时间)来完成。为此,UE和gNB两者都跟踪当在UE发送其第一消息以加入小区之前接收/传送MIB时的UTC时间。在给定这两个时间t_rx和t_tx,可以从MIB/SIB1的传送时间t_tx(由gNB测量)中减去接收时间t_rx(由UE测量),并验证它是否大于阈值,例如TH1=1毫秒。如果t_rx-t_tx>TH1,则可能存在MitM。这在图20中示出。
注意,gNB将从许多UE接收信息,并且因此,基站可以使用来自多个UE的定时信息来更好地确定MIB/SIB1是否以更高的准确度比预期更晚地被接收。gNB可以通过从MIB/SIB的接收时间(如由UE测量和递送的)中减去MIB/SIB1的传送时间(如由gNB测量的)并对这些值求平均来这样做。如果噪声具有合适的属性,例如,它被均匀分配并且具有平均值0,则求平均操作去除噪声。该噪声可能是例如由于未完全同步的UE时钟而引起的。如果该平均值超过给定阈值,例如,TH2=0.5毫秒,则基站可以触发关于MitM的存在的警报。TH1和TH2的值可以是可配置的。我们注意到,通常,TH2应当小于TH1。注意,如果基站的时钟不同步,则这将导致可能触发MitM警报的恒定误差。因此,如果检测到MitM,则基站应当检查其时间是否同步以避免该误差源,并且然后做出最终的MitM检测决定。
·所计算的MIB/SIB1的散列包括存在于所选波束(即,具有最高接收功率的波束)的PBCH中的SSB索引。然后,gNB可以检查SSB索引是否对应于当UE加入小区时使用的相同波束。这在图21中示出。
·替代地,所计算的MIB/SIB1的散列包括SSB索引并且包括当UE测量到该MIB/SIB1时UE的位置。然后,gNB可以检查所接收的SSB索引/MIB/SIB1的散列是否对应于UE应当已经在该特定位置处测量到的MIB/SIB1并且对应于基站的辐射图案。例如,在知道UE位置的情况下,基站可以知道UE应当将哪个SSB索引测量为最强大的SSB索引,并且然后可以使用该SSB索引来比较所接收的散列。这在图22中示出。由于gNB接收多个UE报告,因此gNB不仅检查测量是否与其自己的预期辐射图案一致,而且检查那些测量是否彼此一致。我们注意到,基站可以从物理模型或从在初始网络规划和部署期间执行的测量获得预期的辐射图案。由于辐射图案可能受到辐射图案的影响。在建造新建筑物、植被(树木)等时,基站可以基于UE在时间窗口(例如,最近2周)内报告的测量来更新其预期的辐射图案。在时间t处的辐射图案RP(t)可以根据在时间t-1处的辐射图案RP(t-1)和在时间t处接收的平均测量AM(t)来计算。例如,RP可以被更新为RP(t)=a*RP(t-1)+(1-a)M(t),其中a是记忆因子。如果a=0,则系统没有存储器,并且RP不依赖于先前的值。如果a=1,则辐射图案不改变。我们注意到,辐射图案可能受到其他因素(例如,雨)的影响。基站可以具有如上面针对不同环境情况的多个辐射图案。
在图18-22的背景下描述的上述实施例允许gNB验证UE用于连接的SSB。以这种方式,gNB或网络可以检查没有FBS/MitM攻击者正在使用具有其系统信息的伪波束来吸引UE。在图23的背景下,该伪波束攻击已被表示为“隐形MitM”攻击者。如果攻击者试图发起攻击并且UE仅以安全的方式报告它们感知为最强/优选波束的波束,则gNB/网络可以通过以下来检测攻击者的存在:
1)跟踪通过每个gNB的波束连接的UE的数量(绝对或相对),以及
2)与正常情况相比,监测每个波束的UE的这种分配的变化。
当跟踪正常情况时,即每单位时间加入的UE的预期数量(绝对或相对数量),gNB/网络可以在时间t处更新该正常/预期值,表示为“historical_n(t)”,这取决于在最后单位时间加入的UE(表示为“current_n”)和先前的历史n值。例如,historical_n(t)=(1-a)current_n+a*historical_n(t-1),其中a在0和1之间。这可以每个波束完成。如果通过至少一个波束在最后单位时间内加入的UE与预期值的差异大于给定阈值(绝对或相对),则gNB可以触发警报。
例如,假设gNB具有4个波束,如图23所示。假设UE以已知的(例如,基于过去的数据)方式通过4个波束连接到gNB,例如,~1/4的UE通过每个波束。例如,这可以指代在时间单位(例如,1分钟、5分钟、1小时)内通过波束加入的UE的数量。注意,这可以取决于一天中的时间、一周中的日期、特殊事件(例如,音乐会或国家假期)。假设在给定时间点处,隐形MitM攻击者放置具有SSB3的伪波束,如图中所示,其中隐形MitM攻击者的FUE部分通过gNB的SSB3波束连接到gNB。当这种情况发生时,如果gNB检查用于连接的SSB,则gNB将注意到1/4的UE通过SSB2加入,1/4的UE通过SSB4加入,~1/2的UE通过SSB3加入。由于该分配偏离预期分配,因此gNB/网络触发警报。注意,在图23中的场景中,攻击者必须通过SSB3加入,因为否则SSB检查失败。这给出了伪波束存在的指示。
参考图23中的攻击场景,隐蔽MitM攻击者可能遮蔽给定区域中的最弱波束,因为(i)由于信号更弱而更容易,(ii)更有效地将UE吸引到FBS/MitM,(iii)不太可能被gNB注意到。如果攻击者遮蔽波束SSB3,如图23所示,则UE将使用连接到伪波束SSB3的RACH时机。RACH时机是指UE可以用于执行随机访问的时间和频率资源,例如,如TdocR1-1611905中所描述的或由M.Giordani等人在https://arxiv.org/pdf/1804.01908.pdf可获得的“ATutorial on Beam Management for 3GPP NR at mmWave Frequencies”中所描述的。UE将在连接到具有SSB3的波束的时隙/频隙中发送其RACH前导码消息。gNB监测与所有波束相关联的RACH前导码时隙,但是由于gNB的波束SSB3没有覆盖该区域,因此gNB很可能错过UE的RACH前导码消息。
我们注意到,在图23中的场景中--特别地,如果用于连接的SSB被验证--则攻击者可以通过遮蔽区域处的最强波束来尝试应用图23中的SSB攻击。在图23的情况下,这对应于波束SSB1。如果这种情况发生,则gNB/网络和UE不能通过检查SSB索引来检测攻击。然而,gNB/网络/UE可以监测某些方面以检测攻击。
ο如果攻击者遮蔽波束SSB1,则攻击者必须遮蔽更强的信号。这不是不可行的,但是当gNB/网络/UE监测以与预期值相比太高的信号强度接收的SSB波束时,它可能会触发警报更多。
ο假设攻击者以成功的方式遮蔽SSB1,即,由于其高传送功率而没有被检测到,UE也将必须使用连接到SSB1的RACH时机。然而,这可能不是攻击者的最佳选项。原因是真gNB正在监测与波束SSB1相关联的RACH时间/频率时机,并且因此,gNB可能接收UE的RACH前导码消息。如果这种情况发生,则真gNB也可以向UE发送随机访问响应。因此,UE可以监测它是否接收多个(例如,两个)随机访问响应。如果这种情况发生,则UE也将注意到有问题。
ο类似地,假设真gNB没有接收到UE的PRACH消息,则真gNB也可能能够自己检测到来自FBS/MitM的随机访问响应。真gNB对意外随机访问响应的检测也触发警报。
如果交换数据,则可以在UE或gNB/网络处监测上述内容。例如,UE可以向gNB/网络发送所接收的随机访问响应的量。
执行图23中描述的攻击的攻击者可能专注于给定区域。原因是攻击者必须将其伪波束SSB与其希望遮蔽的gNB的SSB信号同步。如果攻击区域太宽,则伪波束SSB可能不与受攻击区域的一些部分中的实际gNBB波束完美同步。如果这种情况发生,则一些UE可能无法完美地解码伪波束SSB或可能能够检测到原始SSB帧的一部分的存在。如果UE这种情况发生,则UE可能拒绝这样的SSB。UE还可以将该信息报告给gNB或网络,使得该信息用于确定FBS/MitM的存在。这可以例如在网络从不能正确解码SSB和/或检测到原始SSB帧的一部分的存在的多个UE接收到多个测量的情况下完成。
先前的实施例是在连接到gNB的UE的背景下描述的,并且旨在防止UE连接到伪基站。诸如3GPP邻近服务的无线标准中的类似场景涉及充当中继的UE。在这种情况下,远程UE可以经由中继UE连接到gNB。一些实施例适用于防止远程UE连接到假中继UE或放置在远程UE与实际中继UE之间的MitM设备。
因此,如先前实施例中所见,提出了一种整个系统来减少基于假基站或中间人的攻击的可能性。该系统的部件包括实现一个或多个所述实施例的次站、签名生成器和主站。该装置可以分别由计算机程序的程序代码器件实现和/或实现为相关设备的专用硬件。计算机程序可以被存储和/或分布在合适的介质上,诸如与其他硬件一起或作为其他硬件的部分供应的光学存储介质或固态介质,但是也可以以其他形式被分布,诸如经由因特网或其他有线或无线的通信系统。

Claims (9)

1.一种用于使次站在蜂窝网络中获得时间参考的方法,所述方法包括:
从多个主站接收多个系统信息SI消息,所述SI消息均包括与对应主站有关的相应时间参考信息,
针对所述主站中的每个主站检查接收到的签名的有效性,
针对所述主站中具有有效签名的每个主站检查小区标识符,并且忽略来自具有与另一主站相同的小区标识符并且具有比来自其他主站的值更早的值的主站的时间参考信息,并且
根据源自于具有有效签名的主站的所述时间参考信息中的一个或多个来推导本地时间参考。
2.根据权利要求1所述的方法,其中,所述时间参考信息是以下各项中的至少一项:表示所述主站处的时钟值与所述网络的签名生成器处的时钟值之间的差的时间偏移、所述主站处的时钟值、所述签名生成器处的时钟值。
3.根据权利要求1或2所述的方法,其中,推导本地时间参考的步骤包括根据源自于具有有效签名并且没有具有更早时间的重复小区标识符的主站的多个所述时间参考信息来计算平均值。
4.根据权利要求1或2所述的方法,其中,推导本地时间参考的步骤包括选择源自于具有有效签名的主站的具有最新值的所述时间参考信息。
5.根据前述权利要求中的任一项所述的方法,还包括:
所述次站在初始连接到所述网络时发送对时间参考的请求,所述请求被寻址到签名生成器,
其中,对时间参考的所述请求包括被用作随机数的随机生成的数字,
接收所述时间参考和所述随机数,其中,利用随机数签名对所述时间参考和所述随机数进行签名,
使用所述随机数和所述随机数签名来检查接收到的消息的真实性,
使用接收到的时间参考来配置所述次站处的时钟。
6.根据权利要求5所述的方法,其中,所述请求是初始无线电资源通信RRC设置请求消息的部分。
7.根据权利要求5所述的方法,其中,所述请求是响应于网络访问层NAS身份请求而发送的NAS身份响应消息的部分。
8.根据前述权利要求中的任一项所述的方法,其中,使用以下算法中的至少一种来检查接收到的签名:公钥基础设施PKI算法、Boneh-Lynn-Shacham BLS签名算法、Boneh-Gentry-Lynn-Shacham BGLS签名算法、椭圆曲线数字签名算法ECDSA、Falcon签名算法、Rainbow签名算法、Great Multivariate Short Signature GEMSS算法。
9.一种适于在网络中进行通信的次站,所述次站包括:接收器,其适于从多个主站接收多个系统信息SI消息,所述SI消息均包括与对应主站有关的相应时间参考信息,
控制器,其被配置为:针对所述主站中的每个主站检查接收到的签名的有效性,并且至少针对所述主站中具有有效签名的每个主站检查小区标识符,并且忽略来自具有与另一主站相同的小区标识符并且具有比来自其他主站的值更早的值的主站的时间参考信息,并且
所述控制器适于根据源自于具有有效签名的主站的所述时间参考信息中的一个或多个来推导本地时间参考。
CN202180067950.4A 2020-08-04 2021-08-04 用于认证主站的方法和设备 Pending CN116325847A (zh)

Applications Claiming Priority (25)

Application Number Priority Date Filing Date Title
EP20189373.2A EP3952239A1 (en) 2020-08-04 2020-08-04 Method and device for authenticating a base station
EP20189373.2 2020-08-04
EP20199594.1 2020-10-01
EP20199594 2020-10-01
EP20201320 2020-10-12
EP20201320.7 2020-10-12
EP20201744 2020-10-14
EP20201744.8 2020-10-14
EP21150371 2021-01-06
EP21150371.9 2021-01-06
EP21150643 2021-01-08
EP21150643.1 2021-01-08
EP21150840.3 2021-01-11
EP21150840 2021-01-11
EP21151731 2021-01-15
EP21151731.3 2021-01-15
EP21162091.9 2021-03-11
EP21162091 2021-03-11
EP21172331.7 2021-05-05
EP21172331 2021-05-05
EP21176514 2021-05-28
EP21176514.4 2021-05-28
EP21178146 2021-06-08
EP21178146.3 2021-06-08
PCT/EP2021/071708 WO2022029149A1 (en) 2020-08-04 2021-08-04 Method and device for authenticating a primary station

Publications (1)

Publication Number Publication Date
CN116325847A true CN116325847A (zh) 2023-06-23

Family

ID=77338670

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202180067950.4A Pending CN116325847A (zh) 2020-08-04 2021-08-04 用于认证主站的方法和设备

Country Status (6)

Country Link
US (1) US20230308877A1 (zh)
EP (1) EP4193570B1 (zh)
JP (1) JP7550960B2 (zh)
CN (1) CN116325847A (zh)
PL (1) PL4193570T3 (zh)
WO (1) WO2022029149A1 (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114270902A (zh) * 2019-06-17 2022-04-01 苹果公司 在切换期间通过ue检测假基站的方法
US11973755B1 (en) * 2021-07-30 2024-04-30 Wells Fargo Bank, N.A. Apparatuses, methods, and computer program products for offline authentication
US12082135B2 (en) * 2021-10-25 2024-09-03 Lenovo (Singapore) Pte. Ltd. Repeater configuration for initial access
US20230353383A1 (en) * 2022-04-29 2023-11-02 Nxp B.V. Partial key storage of binary-tree based cryptography
CN115086955B (zh) * 2022-05-17 2024-07-30 中国科学院沈阳自动化研究所 面向工控系统的无线半双工通信的时间同步系统及方法
CN117675213A (zh) * 2022-08-26 2024-03-08 维沃移动通信有限公司 系统信息传输方法、装置、终端、网络侧设备及介质
WO2024079155A1 (en) * 2022-10-14 2024-04-18 Koninklijke Philips N.V. Method and device for authenticating a primary station
WO2024086995A1 (zh) * 2022-10-24 2024-05-02 华为技术有限公司 广播消息保护方法及相关装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103117846B (zh) * 2012-12-31 2016-01-13 华为技术有限公司 传输数据的方法、设备和系统
US9853949B1 (en) * 2013-04-19 2017-12-26 Amazon Technologies, Inc. Secure time service
US10306470B2 (en) * 2016-04-06 2019-05-28 Samsung Electronics Co., Ltd. System and method for validating authenticity of base station and/or information received from base station
JP2018046349A (ja) 2016-09-13 2018-03-22 沖電気工業株式会社 通信システム、時刻同期方法、通信装置、及び通信プログラム
US20190349765A1 (en) * 2017-01-30 2019-11-14 Intel IP Corporation Fake gnb/enb detection using identity-based authentication and encryption
CN118175598A (zh) * 2019-07-30 2024-06-11 株式会社Ntt都科摩 通信节点、终端、无线通信系统以及无线通信方法
WO2021028145A1 (en) * 2019-08-14 2021-02-18 Nokia Solutions And Networks Oy System information delivery enhancements

Also Published As

Publication number Publication date
EP4193570A1 (en) 2023-06-14
WO2022029149A1 (en) 2022-02-10
EP4193570B1 (en) 2024-05-29
EP4193570C0 (en) 2024-05-29
JP7550960B2 (ja) 2024-09-13
PL4193570T3 (pl) 2024-08-05
US20230308877A1 (en) 2023-09-28
JP2023536926A (ja) 2023-08-30

Similar Documents

Publication Publication Date Title
JP7550960B2 (ja) 一次局を認証する方法及びデバイス
US10200862B2 (en) Verification of cell authenticity in a wireless network through traffic monitoring
EP2850862B1 (en) Secure paging
US20180278625A1 (en) Exchanging message authentication codes for additional security in a communication system
Zhang et al. EDDK: Energy-efficient distributed deterministic key management for wireless sensor networks
US9462005B2 (en) Systems and methods for broadcast WLAN messages with message authentication
EP1957824A2 (en) Insider attack defense for network client validation of network management frames
US20240114337A1 (en) Method and user equipment for determining whether base station is genuine or rouge in wireless network
CN101405987A (zh) 无线系统的非对称加密
US20140351598A1 (en) Systems and methods for broadcast wlan messages with message authentication
CN115038084A (zh) 一种面向蜂窝基站的去中心化可信接入方法
US11882449B1 (en) Systems and methods for protecting cellular network messages
WO2019227869A1 (en) System and method for obtaining time synchronization
EP3952239A1 (en) Method and device for authenticating a base station
US20240298183A1 (en) Enhanced mechanism for detecting fake base station attacks
Garg Review of Secured Routing for Wireless Ad hoc Network
Yan et al. An efficient anonymous group handover authentication protocol for MTC devices for 5G networks
Li et al. Precheck sequence based false base station detection during handover: a physical layer security scheme
KR101222619B1 (ko) 무선 메쉬 네트워크의 데이터 인증 방법 및 장치
Zia et al. Security Issues and Countermeasures in Wireless Sensor Networks.
US20220086644A1 (en) Methods, network node and wireless device for verification of broadcast messages
Li et al. Precheck Sequence Based False Base Station Detection During Handover: A Physical Layer Based Security Scheme
WO2024079155A1 (en) Method and device for authenticating a primary station
CN116709332A (zh) 小区切换的方法和装置
Nguyen et al. Key management for lightweight ad-hoc routing authentication

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination