CN116916302A - 基于信道特征的基站切换认证方法和系统 - Google Patents

基于信道特征的基站切换认证方法和系统 Download PDF

Info

Publication number
CN116916302A
CN116916302A CN202310839993.0A CN202310839993A CN116916302A CN 116916302 A CN116916302 A CN 116916302A CN 202310839993 A CN202310839993 A CN 202310839993A CN 116916302 A CN116916302 A CN 116916302A
Authority
CN
China
Prior art keywords
authentication
base station
channel characteristics
message
switching
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310839993.0A
Other languages
English (en)
Inventor
王晨宇
郭经红
徐国胜
贾婧婧
徐国爱
陶小峰
吴慧慈
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Smart Grid Research Institute Co ltd
Beijing University of Posts and Telecommunications
Original Assignee
State Grid Smart Grid Research Institute Co ltd
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Smart Grid Research Institute Co ltd, Beijing University of Posts and Telecommunications filed Critical State Grid Smart Grid Research Institute Co ltd
Priority to CN202310839993.0A priority Critical patent/CN116916302A/zh
Publication of CN116916302A publication Critical patent/CN116916302A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0875Generation of secret information including derivation or calculation of cryptographic keys or passwords based on channel impulse response [CIR]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/08Reselecting an access point

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种基于信道特征的基站切换认证方法和系统,所述方法包括:SDN控制器预测到用户设备UE将从当前接入的基站AP1,切换到下一个基站AP2时,向AP2发送携带信道特征的切换劵;其中,为AP1提取的AP1与UE之间的信道特征;AP2接收到UE发送的切换请求消息后,从中获取其携带的信道特征其中,为UE提取的AP1与UE之间的信道特征;并计算之间的不一致性,根据计算结果对UE进行认证。应用本发明可以针对UE在不同类型的基站和接入点之间切换的情况,可以不用涉及不同的协议和参数,而是采用一个通用的身份认证,从而解决现有技术存在的较大的延迟和复杂性的问题,并降低了切换认证的风险。

Description

基于信道特征的基站切换认证方法和系统
技术领域
本发明涉及5G网络技术领域,特别是指一种基于信道特征的基站切换认证方法和系统。
背景技术
由于毫米波的低穿透性和不同接入技术的可用性,5G网络将是持续高度异构的,并且具有更加密集的基站。然而,5G网络的持续异构和基站的密集部署,将导致更多的安全问题和移动管理问题,其中一个就是用户设备UE在不同类型的基站和接入点之间频繁切换,增加了切换认证和协商会话密钥的风险。目前,有许多现有的切换认证协议通过加密技术在上层实现,不同的切换场景涉及不同的协议和参数,存在较大的延迟和复杂性。同时,5G用户与接入点或者基站之间需要相互认证,来抵御假冒和中间人攻击。此外,切换认证机制应设计的更快更高效,以应对用户在不同小区之间的频繁切换。因此,设计一个通用的身份认证和密钥协商协议至关重要。
总之,现有的5G异构网络切换认证协议普遍存在的问题:这些协议只针对特定的异构切换场景,UE在不同类型的基站和接入点之间频繁切换时,不同的切换场景涉及不同的协议和参数,从而存在较大的延迟和复杂性;而且增加了切换认证和协商会话密钥的风险。
发明内容
有鉴于此,本发明的目的在于提出一种基于信道特征的基站切换认证方法和系统,针对UE在不同类型的基站和接入点之间切换的情况,可以不用涉及不同的协议和参数,而是采用一个通用的身份认证,从而解决现有技术存在的较大的延迟和复杂性的问题,并降低了切换认证的风险。
基于上述目的,本发明提供一种基于信道特征的基站切换认证方法,包括:
SDN控制器预测到用户设备UE将从当前接入的基站AP1,切换到下一个基站AP2时,向AP2发送携带信道特征的切换劵;其中,/>为AP1提取的AP1与UE之间的信道特征;
AP2接收到UE发送的切换请求消息后,从中获取其携带的信道特征其中,/>为UE提取的AP1与UE之间的信道特征;并
计算与/>之间的不一致性,根据计算结果对UE进行认证。
进一步,所述方法还包括:
AP2在对UE的认证通过后,提取AP2与UE之间的信道特征
通过模糊提取器的生成函数得到均匀分布的随机密钥串R和公共信息串P后,基于R计算UE与AP2之间的会话密钥/>
AP2向UE返回携带公共信息串P的切换响应消息;
UE接收到切换响应消息并完成对AP2的认证后,提取AP2与UE之间的信道特征并根据切换响应消息中的公共信息串P,以及/>计算出UE与AP2之间的会话密钥/>
进一步,所述方法还包括:
UE根据计算出的会话密钥生成消息认证代码,并将携带所述消息认证代码的认证确认消息发送给AP2
AP2从认证确认消息中获取消息认证代码,并利用本地计算的会话密钥对获取的消息认证代码进行有效性检查;
在检查有效后,AP2向SDN控制器发送切换完成消息;
UE和AP2在通信过程使用双方各自计算的会话密钥对消息进行加密。
本发明还提供一种基于信道特征的基站切换认证系统,包括:SDN控制器、多个基站,以及用户设备UE;
SDN控制器用于预测到UE将从当前接入的基站AP1,切换到下一个基站AP2时,向AP2发送携带信道特征的切换劵;其中,/>为AP1提取的AP1与UE之间的信道特征;
所述用户设备UE用于向基站AP2发送切换请求消息;
接收到所述UE发送的切换请求消息的基站AP2用于从所述切换请求消息中获取其携带的信道特征其中,/>为UE提取的AP1与UE之间的信道特征;并计算/>与/>之间的不一致性,根据计算结果对UE进行认证。
本发明还提供一种基于信道特征的基站切换认证方法,包括:
接收到用户设备UE发送的切换请求消息后,从中获取其携带的信道特征其中,/>为UE提取的AP1与UE之间的信道特征;
计算与/>之间的不一致性,根据计算结果对UE进行认证;
其中,为AP1提取的AP1与UE之间的信道特征,是从SDN控制器预先发送的切换劵中获取的。
本发明还提供一种计算机设备,所述计算机设备包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时用于实现上述的基于信道特征的基站切换认证方法的步骤。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序可被至少一个处理器所执行,以使所述至少一个处理器执行上述的基于信道特征的基站切换认证方法的步骤。
本发明技术方案中,SDN控制器预测到用户设备UE将从当前接入的基站AP1,切换到下一个基站AP2时,向AP2发送携带信道特征的切换劵;其中,/>为AP1提取的AP1与UE之间的信道特征;AP2接收到UE发送的切换请求消息后,从中获取其携带的信道特征/>其中,/>为UE提取的AP1与UE之间的信道特征;并计算/>与/>之间的不一致性,根据计算结果对UE进行认证。如此,针对UE在不同类型的基站和接入点之间切换的情况,可以不用涉及不同的协议和参数,而是提供了一个通用的身份认证,从而解决现有技术存在的较大的延迟和复杂性的问题,并降低了切换认证的风险。
进一步,本发明技术方案中,AP2在对UE的认证通过后,提取AP2与UE之间的信道特征并将/>通过模糊提取器的生成函数得到均匀分布的随机密钥串R和公共信息串P后,基于R计算UE与AP2之间的会话密钥/>AP2向UE返回携带公共信息串P的切换响应消息;UE接收到切换响应消息并完成对AP2的认证后,提取AP2与UE之间的信道特征/>并根据切换响应消息中的公共信息串P,以及/>计算出UE与AP2之间的会话密钥/>由于通过使用信道特征/>利用模糊提取器生成的随机密钥串R和公共信息串P包含了信道物理层的特征信息;基于无线信道特征的时变性,每次提取的信道特征是随机的,这样生成的会话密钥也具有随机性,因此,相比于现有技术生成的随机密钥串仅包含网络特征信息,本发明技术方案生成的随机密钥串R可以实现前向安全性;针对UE在不同类型的基站和接入点之间切换的情况,可以不用涉及不同的协议和参数,而是提供了一个通用的密钥协商协议,从而解决现有技术存在的较大的延迟和复杂性的问题,并降低了协商会话密钥的风险。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于信道特征的基站切换认证系统的架构图;
图2为本发明实施例提供的一种基于信道特征的基站切换认证方法的流程图;
图3为本发明实施例三提供的一种计算机设备硬件结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
需要说明的是,除非另外定义,本发明实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
本发明的发明人考虑到,对于5G异构网络中存在的频繁切换场景,现有的5G异构网络切换认证协议普遍存在几个问题:(1)这些协议只针对特定的异构切换场景,设计复杂,存在较大的延迟和复杂性;(2)需要第三方的参与,传输开销大;(3)不能实现用户匿名、前向安全性等。
基于此,本发明的技术方案中,在SDN(Software-defined Networking,软件定义网络)控制器中设置AHM(Authentication Handover Model,认证切换模块)模块,对5G的用户设备UE的位置和路径进行监控和预测,在5G用户设备UE到达以前,准备好相关的基站/AP以保证无缝切换。而在切换过程中,使用基于导频的信道估计来提取信道特征作为物理参数传入上层的SDN控制器(用户设备UE和基站互发导频并根据导频信号提取无线信道特征,将其量化为比特流),在一定的容错机制下通过比较物理参数的信道特征是否一致来实现基站对用户设备的认证。由于无线信道是时变的但短期是可逆的,这意味着由UE和基站提取的物理参数在信道相干时间内是高度一致的,由这种一致性可以实现认证。从而,针对用户设备UE在不同类型的基站和接入点之间频繁切换的情况,均可采用上述基于短期内的可逆的无线信道的信道特征进行切换认证,而避免使用不同的协议和参数,设计简单,解决了现有技术存在的较大的延迟和复杂性的问题,并降低了切换认证和协商会话密钥的风险。
本发明技术方案,针对现有协议存在的普遍问题,设计了一个通用的5G跨层切换认证协议,以实现用户在不同类型的网络之间的安全切换,可以满足以下安全需求:
(1)双向认证:通信双方要实现双向认证;
(2)密钥协商:在认证完成后,用户和接入点之间要建立共享的会话密钥;
(3)用户匿名:协议提供用户的身份保护和不可追踪性;
(4)前向安全性:攻击者即使掌握了长期密钥,也无法计算出之前的会话密钥;
(5)抵御协议攻击:抵御窃听、重放攻击、中间人攻击等。
下面结合附图详细说明本发明实施例的技术方案。
本发明实施例提供的一种基于信道特征的基站切换认证系统的架构,如图1所示,包括:核心网的SDN控制器101、接入网的多个基站102,以及用户设备UE103。
其中,SDN控制器101中的AHM模块可以为所有基站102生成公私钥对;接入网与核心网之间有线网络安全可靠,基站102之间的有线网络安全可靠,UE103与基站102之间的无线网络可能受到攻击;在物理层中,不同的网络中信道特征通用且兼容。
UE103通过5G-AKA完成初次入网认证,并与SDN控制器101、初次入网接入的基站建立可信信道。首先,在初次入网认证后,由安全锚点功能(SEcurity Anchor Function,SEAF)从安全锚点密钥KSEAF派生出密钥KAHM用于UE103和SDN控制器101的通信。其次,UE103和SDN控制器101分别根据如下公式1、2生成KAP和TIDUE。其中KAP是UE103与接入的基站之间的会话密钥,由SDN控制器101安全地传送给接入的基站。
KAP=KDF(KAHM,IDUE,IDAP,SEQ) (公式1)
其中,IDUE表示UE的身份标识,IDAP表示接入的基站的身份标识,SEQ表示序列号,TIDUE表示UE的临时身份标识;KDF(·)表示密钥导出函数;H(·)表示哈希函数;
同时,UE103和SDN控制器101的AHM模块根据公式3生成UE与接入的基站之间的完整性密钥IKtemp、UE与接入的基站之间的机密性密钥CKtemp
公式3中,表示UE103与当前接入的基站之间的会话密钥,/>表示UE103的下一个将要接入的基站的身份标识。
当UE103从当前接入的基站AP1的覆盖范围移动到下一个接入的基站AP2的覆盖范围内时,SDN控制器101的AHM模块预测到UE103的最佳接入点是AP2,就预先通知AP1与AP2做好切换准备。在切换过程中:
SDN控制器101用于预测到UE103将从当前接入的基站AP1,切换到下一个基站AP2时,向AP2发送携带信道特征的切换券;其中,/>为AP1提取的AP1与UE之间的信道特征;
UE103用于向基站AP2发送切换请求消息;
接收到所述UE103发送的切换请求消息的基站AP2用于从所述切换请求消息中获取其携带的信道特征其中,/>为UE提取的AP1与UE之间的信道特征;并计算/>之间的不一致性,根据计算结果对UE进行认证。
进一步,所述基站AP2还用于在对UE103的认证通过后,提取AP2与UE103之间的信道特征并将/>通过模糊提取器的生成函数得到均匀分布的随机密钥串R和公共信息串P后,基于R计算UE103与AP2之间的会话密钥/>之后,向UE103返回携带公共信息串P的切换响应消息;以及
所述用户设备UE103还用于接收到切换响应消息并完成对AP2的认证后,提取AP2与UE之间的信道特征并根据切换响应消息中的公共信息串P,以及/>计算出UE与AP2之间的会话密钥/>
进一步,所述用户设备UE103还用于根据计算出的会话密钥生成消息认证代码,并将携带所述消息认证代码的认证确认消息发送给AP2
所述基站AP2还用于从认证确认消息中获取消息认证代码,并利用本地计算的会话密钥对获取的消息认证代码进行有效性检查;在检查有效后,AP2向SDN控制器101发送切换完成消息;
所述用户设备UE103和基站AP2还用于在通信过程使用双方各自计算的会话密钥对消息进行加密。
具体地,基于上述的基于信道特征的基站切换认证系统,本发明实施例的提供的一种基于信道特征的基站切换认证方法,流程如图2所示,包括如下步骤:
步骤S201:SDN控制器101预测到用户设备UE103将从当前接入的基站AP1,切换到下一个基站AP2时,向AP2发送携带信道特征的切换劵;
本步骤中,SDN控制器101预测到用户设备UE103将从当前接入的基站AP1,切换到下一个基站AP2时,从AP1获取信道特征其中,信道特征/>是AP1提取的AP1与UE103之间的信道特征;
进而,SDN控制器101向AP2发送携带信道特征的切换劵:其中,/>根据如下公式4计算:
其中,PKAP2表示AP2的公钥。
其中,是AP1通过对M个子载波构成的导频进行信道测量并进行量化得到的比特流。AP1首先估计导频信号中每个子载波的信道响应:/>再提取相位并进行Q阶量化:/>
其中代表/>的随机相位。将每个子载波的相位进行均匀量化:将每个子载波的H′i(θ)使用二进制表示并拼接在一起得到比特流H,作为信道特征/>它的长度为M·log2Q bit,每个实体均使用相同的方法提取信道特征。
步骤S202:UE103向基站AP2发送切换请求消息;
本步骤中,UE103选取随机数N1,并提取AP1与UE103之间的信道特征并按照公式5计算消息认证代码MAC1
进而,UE103向基站AP2发送切换请求消息:
步骤S203:基站AP2接收到UE103发送的切换请求消息后,从中获取其携带的信道特征
具体地,AP2收到来自UE103的切换请求消息后,解密获取信道特征/>并检测SEQ是否有效;使用IKtemp计算MAC1并检查MAC1是否有效,如果无效则丢弃这条消息;如果有效,继续如下步骤S204比较/>与/>实现对UE103的认证。
步骤S204:基站AP2计算与/>之间的不一致性,根据计算结果对UE103进行认证;
本步骤中,AP2计算接收到的与/>之间的不一致程度,也就是汉明距离,用Ψ表示。对于单个载频,AP2与UE103双方得到相同量化值的概率p为信干噪比和量化阶数Q的函数,p的计算公式如公式6所示:
其中,Δθ=2π/Q为单个量化区间,σ2=1/SINR,SINR为信干噪比。则单个载频量化不一致的概率为:pe=1-p,从而M个载频量化不一致的比特数最大为门限值
通过比较与/>之间的不一致程度Ψ与门限值Λ来判断UE103是否合法;若Ψ<Λ,则通过对UE103的认证,否则UE1 03可能为非法用户或者无线信道遭到攻击,对UE103的认证不通过并丢弃这条消息。
由于无线信道特征的短时互易性,无线链路双方提取的信道特征具有高度的一致性,接入点的基站正是借助这种高度一致性,在一定的容错机制下实现对用户设备的认证。
步骤S205:基站AP2在对UE103的认证通过后,提取AP2与UE103之间的信道特征
步骤S206:基站AP2通过模糊提取器的生成函数得到均匀分布的随机密钥串R和公共信息串P后,基于R计算UE103与AP2之间的会话密钥/>
具体地,通过引入模糊提取器(矢量量化模糊提取器),在对随机比特串进行纠错的同时也提高了其随机性。在这里需要注意,可以使用纠错码来实现对错误的码字的纠错,为了保证由AP2提取的AP2与UE103之间的信道特征与由UE103提取的/>是一致的,选取可以纠正t比特错误的纠错码,其中/>这样既可以保证在/>与/>之间的汉明距离小于等于明时,纠错码可以正确恢复出R,又可以保证/>与/>之间的汉明距离局限在门限值内,证明是信道特征是被合法的提取,没有第三方攻击者的存在。AP2提取AP2与UE103之间的信道特征/>并通过如下公式7利用模糊提取器的生成函数Gen()得到均匀分布的随机密钥串R和公共信息串P;
进而,AP2选取随机数N2,更新序列号的值为SEQ+1。接着按照公式8计算UE103与AP2之间的会话密钥,按照公式9计算消息认证代码MAC2值:
通过使用信道特征利用模糊提取器生成的随机密钥串R和公共信息串P包含了信道物理层的特征信息;由于无线信道特征的时变性,每次提取的信道特征是随机的,这样生成的会话密钥也具有随机性,因此,相比于现有技术生成的随机密钥串仅包含网络特征信息,本发明技术方案生成的随机密钥串R可以实现前向安全性。
步骤S207:基站AP2向UE103返回携带公共信息串P的切换响应消息;
本步骤中,基站AP2向UE103返回携带公共信息串P的切换响应消息:
步骤S208:UE103接收到切换响应消息并完成对AP2的认证后,提取AP2与UE之间的信道特征
本步骤中,UE103接收到切换响应消息后,首先对AP2进行认证:使用CKtemp解密并检查序列号是否为SEQ+1,使用IKtemp计算MAC2,检查MAC2是否有效;如果无效则丢弃这条消息;如果有效,就实现了对AP2的认证;
UE103在完成对AP2的认证后,提取AP2与UE之间的信道特征
步骤S209:UE103根据切换响应消息中的公共信息串P,以及计算出UE与AP2之间的会话密钥/>
具体地,UE103按照公式10利用再生函数恢复出随机密钥串R;再利用公式8以同样的方式计算出UE103与AP2之间的会话密钥
步骤S210:UE103根据计算出的会话密钥生成消息认证代码,并将携带所述消息认证代码的认证确认消息发送给基站AP2
具体地,UE103按照公式11更新其临时身份TIDUE并将序列号值更新为SEQ+2:
UE103按照公式12利用生成消息认证代码MAC3
进而,UE103向AP2发送携带所述消息认证代码MAC3的认证确认消息:HOACK{MAC3}。
由于模糊提取器对t有所限制,因此只要没有第三方攻击者的存在,UE103就可以正确恢复出R,从而生成与AP2一致的MAC3值。如果不一致,说明可能遭到了中间人攻击,需要再次进行切换认证。
步骤S211:基站AP2从认证确认消息中获取消息认证代码,并利用本地计算的会话密钥对获取的消息认证代码进行有效性检查;
本步骤中,AP2收到认证确认消息后,计算MAC3并检查其有效性。
步骤S212:在检查有效后,基站AP2向SDN控制器发送切换完成消息;
本步骤中,基站AP2在检查认证确认消息中的消息认证代码有效后,向SDN控制器的AHM发送切换完成的消息并将会话密钥序列号的值安全地发送给SDN控制器的AHM。AHM保存会话密钥/>和序列号的值并更新TIDUE,以为下次切换过程做准备。
完成上述过程后,UE103和SDN控制器的AHM可以根据公式13对完整性加密密钥IKtemp和机密性加密密钥CKtemp进行更新:
步骤S213:UE103和基站AP2在通信过程使用双方各自计算的会话密钥对消息进行加密。
本发明技术方案中,SDN控制器预测到用户设备UE将从当前接入的基站AP1,切换到下一个基站AP2时,向AP2发送携带信道特征的切换劵;其中,/>为AP1提取的AP1与UE之间的信道特征;AP2接收到UE发送的切换请求消息后,从中获取其携带的信道特征/>其中,/>为UE提取的AP1与UE之间的信道特征;并计算/>与/>之间的不一致性,根据计算结果对UE进行认证。如此,针对UE在不同类型的基站和接入点之间切换的情况,可以不用涉及不同的协议和参数,而是提供了一个通用的身份认证,从而解决现有技术存在的较大的延迟和复杂性的问题,并降低了切换认证的风险。
进一步,本发明技术方案中,AP2在对UE的认证通过后,提取AP2与UE之间的信道特征并将/>通过模糊提取器的生成函数得到均匀分布的随机密钥串R和公共信息串P后,基于R计算UE与AP2之间的会话密钥/>AP2向UE返回携带公共信息串P的切换响应消息;UE接收到切换响应消息并完成对AP2的认证后,提取AP2与UE之间的信道特征/>并根据切换响应消息中的公共信息串P,以及/>计算出UE与AP2之间的会话密钥/>由于通过使用信道特征/>利用模糊提取器生成的随机密钥串R和公共信息串P包含了信道物理层的特征信息;基于无线信道特征的时变性,每次提取的信道特征是随机的,这样生成的会话密钥也具有随机性,因此,相比于现有技术生成的随机密钥串仅包含网络特征信息,本发明技术方案生成的随机密钥串R可以实现前向安全性;针对UE在不同类型的基站和接入点之间切换的情况,可以不用涉及不同的协议和参数,而是提供了一个通用的密钥协商协议,从而解决现有技术存在的较大的延迟和复杂性的问题,并降低了协商会话密钥的风险。
图3示意性示出了根据本申请实施例的基于信道特征的基站切换认证方法的计算机设备1300的硬件架构示意图。本实施例中,计算机设备1300是一种能够按照事先设定或者存储的指令,自动进行数值计算和/或信息处理的设备。例如,可以是智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图3所示,计算机设备1300至少包括但不限于:可通过系统总线相互通信链接存储器1310、处理器1320、网络接口1330。其中:
存储器1310至少包括一种类型的计算机可读存储介质,可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器1310可以是计算机设备1300的内部存储模块,例如该计算机设备1300的硬盘或内存。在另一些实施例中,存储器1310也可以是计算机设备1300的外部存储设备,例如该计算机设备1300上配备的插接式硬盘,智能存储卡(Smart Media Card,简称为SMC),安全数字(Secure Digital,简称为SD)卡,闪存卡(Flash Card)等。当然,存储器1310还可以既包括计算机设备1300的内部存储模块也包括其外部存储设备。本实施例中,存储器1310通常用于存储安装于计算机设备1300的操作系统和各类应用软件,例如基于信道特征的基站切换认证方法的程序代码等。此外,存储器1310还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器1320在一些实施例中可以是中央处理器(Central Processing Unit,简称为CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器1320通常用于控制计算机设备1300的总体操作,例如执行与计算机设备1300进行数据交互或者通信相关的控制和处理等。本实施例中,处理器1320用于运行存储器1310中存储的程序代码或者处理数据。
网络接口1330可包括无线网络接口或有线网络接口,该网络接口1330通常用于在计算机设备1300与其他计算机设备之间建立通信链接。例如,网络接口1330用于通过网络将计算机设备1300与外部终端相连,在计算机设备1300与外部终端之间的建立数据传输通道和通信链接等。网络可以是企业内部网(Intranet)、互联网(Internet)、全球移动通讯系统(Global System ofMobile communication,简称为GSM)、宽带码分多址(Wideband CodeDivision Multiple Access,简称为WCDMA)、4G网络、5G网络、蓝牙(Bluetooth)、Wi-Fi等无线或有线网络。
需要指出的是,图3仅示出了具有部件1310-1330的计算机设备,但是应理解的是,并不要求实施所有示出的部件,可以替代的实施更多或者更少的部件。
在本实施例中,存储于存储器1310中的基于信道特征的基站切换认证方法还可以被分割为一个或者多个程序模块,并由一个或多个处理器(本实施例为处理器1320)所执行,以完成本申请实施例。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本发明难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本发明难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本发明的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本发明的具体实施例对本发明进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本发明的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本发明的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于信道特征的基站切换认证方法,其特征在于,包括:
SDN控制器预测到用户设备UE将从当前接入的基站AP1,切换到下一个基站AP2时,向AP2发送携带信道特征的切换劵;其中,/>为AP1提取的AP1与UE之间的信道特征;
AP2接收到UE发送的切换请求消息后,从中获取其携带的信道特征其中,/>为UE提取的AP1与UE之间的信道特征;并
计算与/>之间的不一致性,根据计算结果对UE进行认证。
2.根据权利要求1所述的方法,其特征在于,还包括:
AP2在对UE的认证通过后,提取AP2与UE之间的信道特征
通过模糊提取器的生成函数得到均匀分布的随机密钥串R和公共信息串P后,基于R计算UE与AP2之间的会话密钥/>
AP2向UE返回携带公共信息串P的切换响应消息;
UE接收到切换响应消息并完成对AP2的认证后,提取AP2与UE之间的信道特征并根据切换响应消息中的公共信息串P,以及/>计算出UE与AP2之间的会话密钥/>
3.根据权利要求2所述的方法,其特征在于,还包括:
UE根据计算出的会话密钥生成消息认证代码,并将携带所述消息认证代码的认证确认消息发送给AP2
AP2从认证确认消息中获取消息认证代码,并利用本地计算的会话密钥对获取的消息认证代码进行有效性检查;
在检查有效后,AP2向SDN控制器发送切换完成消息;
UE和AP2在通信过程使用双方各自计算的会话密钥对消息进行加密。
4.一种基于信道特征的基站切换认证系统,其特征在于,包括:SDN控制器、多个基站,以及用户设备UE;
SDN控制器用于预测到UE将从当前接入的基站AP1,切换到下一个基站AP2时,向AP2发送携带信道特征的切换劵;其中,/>为AP1提取的AP1与UE之间的信道特征;
所述用户设备UE用于向基站AP2发送切换请求消息;
接收到所述UE发送的切换请求消息的基站AP2用于从所述切换请求消息中获取其携带的信道特征其中,/>为UE提取的AP1与UE之间的信道特征;并计算/>与/>之间的不一致性,根据计算结果对UE进行认证。
5.根据权利要求4所述的系统,其特征在于,
所述基站AP2还用于在对UE的认证通过后,提取AP2与UE之间的信道特征并将/>通过模糊提取器的生成函数得到均匀分布的随机密钥串R和公共信息串P后,基于R计算UE与AP2之间的会话密钥/>之后,向UE返回携带公共信息串P的切换响应消息;以及
所述用户设备UE还用于接收到切换响应消息并完成对AP2的认证后,提取AP2与UE之间的信道特征并根据切换响应消息中的公共信息串P,以及/>计算出UE与AP2之间的会话密钥/>
6.根据权利要求5所述的系统,其特征在于,
所述用户设备UE还用于根据计算出的会话密钥生成消息认证代码,并将携带所述消息认证代码的认证确认消息发送给AP2
所述基站AP2还用于从认证确认消息中获取消息认证代码,并利用本地计算的会话密钥对获取的消息认证代码进行有效性检查;在检查有效后,AP2向SDN控制器发送切换完成消息;
所述用户设备UE和基站AP2还用于在通信过程使用双方各自计算的会话密钥对消息进行加密。
7.一种基于信道特征的基站切换认证方法,其特征在于,包括:
接收到用户设备UE发送的切换请求消息后,从中获取其携带的信道特征其中,为UE提取的AP1与UE之间的信道特征;
计算与/>之间的不一致性,根据计算结果对UE进行认证;
其中,为AP1提取的AP1与UE之间的信道特征,是从SDN控制器预先发送的切换劵中获取的。
8.根据权利要求7所述的方法,其特征在于,还包括:
在对UE的认证通过后,提取与UE之间的信道特征
通过模糊提取器的生成函数得到均匀分布的随机密钥串R和公共信息串P后,基于R计算与UE之间的会话密钥/>
向UE返回携带公共信息串P的切换响应消息;其中,所述公共信息串P用于提供给UE计算会话密钥;
在接收到UE发送的认证确认消息后,从中获取消息认证代码;其中,所述消息认证代码是UE根据计算出的会话密钥生成的;
利用本地计算的会话密钥对获取的消息认证代码进行有效性检查;在检查有效后,向SDN控制器发送切换完成消息。
9.一种计算机设备,所述计算机设备包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时用于实现权利要求7~8中任意一项所述的基于信道特征的基站切换认证方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序可被至少一个处理器所执行,以使所述至少一个处理器执行权利要求7~8中任意一项所述的基于信道特征的基站切换认证方法的步骤。
CN202310839993.0A 2023-07-10 2023-07-10 基于信道特征的基站切换认证方法和系统 Pending CN116916302A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310839993.0A CN116916302A (zh) 2023-07-10 2023-07-10 基于信道特征的基站切换认证方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310839993.0A CN116916302A (zh) 2023-07-10 2023-07-10 基于信道特征的基站切换认证方法和系统

Publications (1)

Publication Number Publication Date
CN116916302A true CN116916302A (zh) 2023-10-20

Family

ID=88352378

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310839993.0A Pending CN116916302A (zh) 2023-07-10 2023-07-10 基于信道特征的基站切换认证方法和系统

Country Status (1)

Country Link
CN (1) CN116916302A (zh)

Similar Documents

Publication Publication Date Title
JP6979420B2 (ja) 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成
EP2634956B1 (en) Communicating an identity to a server
JP7192122B2 (ja) ユーザデバイスと車両との接続を認証するためのシステムおよび方法
KR101410764B1 (ko) 중요 정보 원격 삭제 장치 및 방법
EP2634954B1 (en) Identity of a group shared secret
EP3547601B1 (en) Biometric information transmission establishing method , device, system, and storage medium
MX2010012033A (es) Generacion de clave criptografica.
KR20080015934A (ko) 일반 부트스트래핑 아키텍처(gba)의 인증 환경 설정관련 모바일 노드 아이디 제공 장치, 방법 및 컴퓨터프로그램 생성물
CN105227537A (zh) 用户身份认证方法、终端和服务端
JP7237200B2 (ja) パラメータ送信方法及び装置
CN109788480B (zh) 一种通信方法及装置
CN110366175B (zh) 安全协商方法、终端设备和网络设备
CN113890731B (zh) 一种密钥管理方法、装置、电子设备及存储介质
WO2018076798A1 (zh) 一种传输数据的方法和装置
CN109348477B (zh) 基于服务网络的无线物联网物理层认证方法
CN109309648B (zh) 一种信息传输的方法和设备
CN111835691B (zh) 一种认证信息处理方法、终端和网络设备
CN111836260B (zh) 一种认证信息处理方法、终端和网络设备
CN116916302A (zh) 基于信道特征的基站切换认证方法和系统
CN113449286A (zh) 安全校验ue发送的s-nssai的方法及系统、设备
CN109905345B (zh) 通信方法、通信装置和通信设备
CN112400335A (zh) 用于执行数据完整性保护的方法和计算设备
EP4404504A1 (en) Wireless communication terminal device, authentication and key sharing method, program, and authentication and key sharing system
CN116347432A (zh) 网络认证方法、装置、终端及网络侧设备
JP2018117388A (ja) 認証システム、方法及びプログラム、移動機器並びにサーバ

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination