CN116916309A - 一种通信安全认证方法、设备及存储介质 - Google Patents

Abstract

本申请公开了一种通信安全认证方法、设备及存储介质，涉及通信技术领域。该方法包括：在接收到目标终端当前发送的第一SRS时，根据该第一SRS确定出目标终端的目标射频指纹，并根据该目标射频指纹进行首次的射频指纹认证，得到目标终端的射频指纹认证结果，当该射频指纹认证结果为成功时，再接收目标终端发送的第二SRS，并根据该第一SRS和该第二SRS进行第二次的无线信道认证，确定目标终端的无线信道认证结果是否为成功，若是，则向目标终端发送确定字符ACK消息；若否，则关闭与该目标终端建立的数据通道，用以提高终端入网的安全性和效率性。

Description

一种通信安全认证方法、设备及存储介质

技术领域

本申请涉及通信技术领域，尤其涉及一种通信安全认证方法、设备及存储介质。

背景技术

随着第五代移动通信技术(5th Generation Mobile CommunicationTechnology，5G)的快速发展，定义了5G的三大类应用场景，即增强移动宽带(EnhancedMobile Broadband，eMBB)、超高可靠低时延通信(ultra-reliable low-latencycommunication，URLLC)和海量机器类通信(Massive Machine Type Communication，mMTC)。其中，增强移动宽带主要面向移动互联网流量爆炸式增长，为移动互联网用户提供更加极致的应用体验；超高可靠低时延通信主要面向工业控制、远程医疗、自动驾驶等对时延和可靠性具有极高要求的垂直行业应用需求；海量机器类通信主要面向智慧城市、智能家居、环境监测等以传感和数据采集为目标的应用需求。由于5G网络一网赋能万业的开放性特点，以及多终端、多行业的接入趋势，为网络攻击提供了温床，因此在终端入网时，保障通信安全已成为了关注的焦点。

在传统的安全认证过程中，终端入网时，需与核心网中的接入移动管理功能(Access and Mobility Management Function，AMF)、鉴权服务功能(AuthenticationServer Function，AUSF)、统一数据管理功能(Unified Data Management，UMD)等共同完成终端与5G网络之间的双向鉴权认证。

采用上述密码机制的认证是对抗可能出现的大多数攻击的一种有效方案，然而密码机制存在密钥泄露的风险，更重要的是密码机制涉及了密集计算，资源消耗严重，这为资源非常有限的终端带来了严重的负担，同时，上述认证流程繁琐，涉及AMF、AUSF、UDM多网元交互，也增加了安全认证的交互时延。

发明内容

本申请提供了一种通信安全认证方法，用以提高终端入网的安全性和效率性。

第一方面，提供一种通信安全认证方法，包括：

网络设备接收目标终端当前发送的第一SRS；所述网络设备根据所述第一SRS，确定所述目标终端的目标射频指纹，并根据所述目标射频指纹进行射频指纹认证，得到所述目标终端的射频指纹认证结果；当所述射频指纹认证结果为成功时，所述网络设备接收所述目标终端发送的第二SRS；所述网络设备根据所述第一SRS和所述第二SRS进行无线信道认证，并确定所述目标终端的无线信道认证结果是否为成功；若是，则向所述目标终端发送ACK消息；若否，则关闭与所述目标终端建立的数据通道。

可选的，所述网络设备根据所述第一SRS，确定所述目标终端的目标射频指纹，包括：

对所述第一SRS进行降噪处理，得到处理后的第一SRS；在所述处理后的第一SRS中截取可识别的目标SRS；对所述目标SRS进行特征提取，得到所述目标SRS中的射频特征；根据所述射频特征生成所述目标终端的目标射频指纹。

可选的，所述根据所述目标射频指纹进行射频指纹认证，得到所述目标终端的射频指纹认证结果，包括：

根据所述目标射频指纹与射频指纹库中各射频指纹的相似度，从所述各射频指纹中确定候选射频指纹；若所述目标射频指纹与所述候选射频指纹的相似度满足相似度要求，则确定所述射频指纹认证结果为成功；否则，确定所述射频指纹认证结果为失败。

可选的，所述网络设备根据所述第一SRS和所述第二SRS进行无线信道认证，并确定所述目标终端的无线信道认证结果是否为成功，包括：

根据所述第一SRS，确定所述第一SRS的第一信道状态信息，以及根据所述第二SRS，确定所述第二SRS的第二信道状态信息；计算所述第一信道状态信息与所述第二信道状态信息之间的信道估计差值；若所述信道估计差值小于设定的门限值，则确定所述目标终端的无线信道认证结果为成功；否则，确定所述目标终端的无线信道认证结果为失败。

第二方面，提供一种网络设备，包括：接收模块、射频指纹认证模块、无线信道认证模块；

所述接收模块，用于网络设备接收目标终端当前发送的第一SRS；以及，用于当所述射频认证模块确定出的射频指纹认证结果为成功时，接收所述目标终端发送的第二SRS；

所述射频指纹认证模块，用于基于所述第一SRS，确定所述目标终端的目标射频指纹，并根据所述目标射频指纹进行射频指纹认证，得到所述目标终端的射频指纹认证结果；

所述无线信道认证模块，用于根据所述第一SRS和所述第二SRS进行无线信道认证，并确定所述目标终端的无线信道认证结果是否为成功；若是，则向所述目标终端发送ACK消息；若否，则关闭与所述目标终端建立的数据通道。

可选的，所述射频指纹认证模块，具体用于：

对所述第一SRS进行降噪处理，得到处理后的第一SRS；在所述处理后的第一SRS中截取可识别的目标SRS；对所述目标SRS进行特征提取，得到所述目标SRS中的射频特征；根据所述射频特征生成所述目标终端的目标射频指纹。

可选的，所述射频指纹认证模块，具体用于：

根据所述目标射频指纹与射频指纹库中各射频指纹的相似度，从所述各射频指纹中确定候选射频指纹；若所述目标射频指纹与所述候选射频指纹的相似度满足相似度要求，则确定所述射频指纹认证结果为成功；否则，确定所述射频指纹认证结果为失败。

可选的，所述无线信道认证模块，具体用于：

根据所述第一SRS，确定所述第一SRS的第一信道状态信息，以及根据所述第二SRS，确定所述第二SRS的第二信道状态信息；计算所述第一信道状态信息与所述第二信道状态信息之间的信道估计差值；若所述信道估计差值小于设定的门限值，则确定所述目标终端的无线信道认证结果为成功；否则，确定所述目标终端的无线信道认证结果为失败。

可选的，所述设备还包括随机接入模块；所述接收模块，还用于接收所述目标终端发送的导频以及Msg3；所述随机接入模块，用于根据所述导频和所述Msg3向所述目标终端发送Msg4；其中，所述Msg4用于通知所述目标终端随机接入是否成功。

第三方面，提供一种电子设备，包括：

存储器，用于存放计算机程序；处理器，用于执行所述存储器上所存放的计算机程序时，实现第一方面中任一项所述的方法步骤。

第四方面，提供一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现第一方面中任一项所述的方法步骤。

本申请实施例中，有益效果如下：

在接收到目标终端当前发送的第一SRS时，根据该第一SRS确定出目标终端的目标射频指纹，并根据该目标射频指纹进行首次的射频指纹认证，得到目标终端的射频指纹认证结果，当该射频指纹认证结果为成功时，再接收目标终端发送的第二SRS，并根据该第一SRS和该第二SRS进行第二次的无线信道认证，确定目标终端的无线信道认证结果是否为成功，若是，则向目标终端发送确定字符ACK消息；若否，则关闭与该目标终端建立的数据通道。

采用上述这种方法，在安全认证过程中是基于物理层属性实现终端(如上述目标终端)的安全认证，相较于密码机制的认证，无需涉及复杂的密码计算，减少了资源消耗，具有轻量级优势，更契合物联网设备、资源受限的终端等入网时轻量级认证需求；进一步的，借助接收到的SRS完成物理层中基于射频指纹的首次认证，以及基于无线信道的连续认证，相较于传统的安全认证，未涉及多网元交互，仅基于物理层完成，很大程度降低认证交互时延，满足时延敏感终端的安全入网需求；再进一步的，采用基于射频指纹与基于无线信道相结合的物理层认证，突破无线信道无法完成首次认证的局限性，也解决射频指纹无法完成数据包认证的安全漏洞，整体提高了终端入网的安全性。

此外，本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者，通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

上述第二方面至第四方面中的各个方面以及各个方面可能达到的技术效果请参照上述针对第一方面或第一方面中的各种可能方案可以达到的技术效果说明，这里不再重复赘述。

附图说明

图1为本申请实施例提供的一种应用场景示意图；

图2为本申请实施例提供的一种通信安全认证方法的流程图；

图3为本申请实施例提供的一种通信安全认证的信息交互示意图；

图4为本申请实施例提供的一种网络设备的结构示意图；

图5为本申请实施例提供的一种电子设备的结构示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。需要说明的是，在本申请的描述中“多个”理解为“至少两个”。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。A与B连接，可以表示：A与B直接连接和A与B通过C连接这两种情况。另外，在本申请的描述中，“第一”、“第二”等词汇，仅用于区分描述的目的，而不能理解为指示或暗示相对重要性，也不能理解为指示或暗示顺序。

为了便于本领域技术人员理解，首先对本申请实施例中涉及的名词和技术术语进行解释。

(1)AMF：负责终端身份验证、鉴权、注册、移动性管理和连接管理等功能。

(2)UDM：负责用户标识、签约数据、鉴权数据的管理、用户的服务网元注册管理，例如，为终端提供业务的AMF、SMF等，再例如，当用户切换了访问的AMF时，UDM还会向旧的AMF发起注销消息，要求旧的AMF删除用户相关信息。

(3)AUSF：用于接收AMF对UE进行身份验证的请求，通过向UDM请求密钥，再将UDM下发的密钥转发给AMF进行鉴权处理。

(4)信道探测参考信号(Sounding Reference Signal，SRS):在无线通信中，可用于估计上行信道频域信息，做频率选择性调度；以及可用于估计下行信道，做下行波束赋形。

(5)确认字符(Acknowledge character，ACK)，在数据通信中，接收站(如基站)发给发送站(如终端)的一种传输类控制字符，表示发来的数据已确认接收无误。

(6)信道状态信息(Channel State Information，CSI)就是通信链路的信道属性。它描述了信号在每条传输路径上的衰弱因子，即信道增益矩阵中每个元素的值，如信号散射、环境衰弱、距离衰减等信息。CSI可以使通信系统适应当前的信道条件，在多天线系统中为高可靠性高速率的通信提供了保障。

(7)无线信道相干时间内的平稳性是指无线信号在传播过程中的大尺度衰落的平稳性，例如接收信号强度(Received Signal Strength，RSS)的粗粒度认证，以及利用更为精细的物理信道信息，例如CSI、信道频率响应(Channel Frequency Response,，CFR)和信道脉冲响应(Channel Impulse Response,，CIR)的细粒度平稳性。

下面对本申请实施例的技术方案能够适用的应用场景做一些简单介绍，需要说明的是，以下介绍的应用场景仅用于说明本申请实施例而非限定。在具体实施时，可以根据实际需要灵活地应用本申请实施例提供的技术方案。

图1为本申请实施例适用的一种应用场景示意图。如图1所示，该场景主要包括：网络设备101、终端(102a，102b，102c)。网络设备101与终端(102a，102b，102c)之间通过无线通信网络进行交互。终端的数量可以更多，图1仅以三个终端为例描述。

网络设备101是一种为终端提供无线通信功能的设备，包括但不限于：5G中的基站(the next Generation Node，gNB)、无线网络控制器(radio network controller，RNC)、节点B(node B，NB)、基站控制器(base station controller，BSC)、基站收发台(basetransceiver station，BTS)、家庭基站(例如，home evolved nodeB，或home node B，HNB)、基带单元(BaseBand Unit，BBU)、传输点(transmitting and receiving point，TRP)、发射点(transmitting point，TP)、移动交换中心等。

终端(102a，102b，102c)是一种可以向用户提供语音和/或数据连通性的设备。例如，终端设备包括具有无线连接功能的手持式设备、车载设备等。目前，终端设备可以是：手机(mobile phone)、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobile internetdevice，MID)、可穿戴设备，虚拟现实(virtual reality，VR)设备、增强现实(augmentedreality，AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(self-driving)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportationsafety)中的无线终端、智慧城市(smart city)中的无线终端，或智慧家庭(smart home)中的无线终端等。需要说明的是，上述终端102a、102b、102c分别可以是不同类型的终端，例如终端102a可以是低速移动的终端，终端102b可以是固定的终端等。

终端(102a，102b，102c)可分别向网络设备101发送入网信息，若上述终端存在仿冒终端(例如，终端102c)，则该终端102c可以仿冒合法的终端向网络设备101发送入网信息，或者在信道上拦截合法的入网信息并篡改后再次发送给网络设备101，便可实施攻击行为。

鉴于此，网络设备101在接收到终端(102a，102b，102c)各自发送的入网信息时，需对各终端实时进行安全认证，若上述终端(例如，终端102c)有认证不成功的，则表明该终端102c是伪冒终端(或非合法终端)，关闭与该终端102c的数据通道，防止伪冒终端入网。

本申请实施例中，利用射频指纹的唯一性以及无线信道相干时间内的平稳性、差异性、随机性，实现了各种类型终端的安全入网认证需求，网络设备基于首次采集到的SRS提取终端的射频指纹，并根据提取到的射频指纹完成终端入网的首次认证；其次，考虑后续发送的数据包存在篡改安全漏洞，基于无线信道相干时间内的上述特性，结合首次采集到的SRS和后续采集到的SRS完成终端入网的无线信道认证，提高了终端入网的安全性，且无需涉及复杂的密码计算，也提高终端入网的效率。

为进一步说明本申请实施例提供的技术方案，下面结合附图以及具体实施方式对此进行详细的说明。虽然本申请实施例提供了如下述实施例或附图所示的方法操作步骤，但基于常规或者无需创造性的劳动在所述方法中可以包括更多或者更少的操作步骤。在逻辑上不存在必要因果关系的步骤中，这些步骤的执行顺序不限于本申请实施例提供的执行顺序。所述方法在实际的处理过程中或者装置执行时，可按照实施例或者附图所示的方法顺序执行或者并执行。

图2为本申请实施例提供的一种通信安全认证方法的流程图。该流程可由网络设备(如图1所示的网络设备101)所执行，用以提高终端入网的安全性和效率性。如图2所示，该流程包括如下步骤：

S201：网络设备接收目标终端当前发送的第一SRS。

该目标终端可以是图1所示的终端(102a，102b，102c)中的某一个。

可选的，在执行该S201之前，还需完成随机接入过程：网络设备接收目标终端发送的导频以及Msg3；该网络设备根据导频和Msg3向目标终端发送Msg4；该Msg4用于通知该目标终端随机接入是否成功。

举例来讲，以4步随机接入过程为例，首先网络设备通过广播发送4步随机接入的配置信息给目标终端；目标终端根据该配置信息在物理随机接入信道(Physical RandomAccess Channel，PRACH)发送导频(也即Msg1)给网络设备；网络设备根据接收到的Msg1向目标终端发送Msg2，Msg2可携带有随机接入响应(Random Access Response，RAR)；目标终端根据接收到的Msg2向网络设备发送Msg3，Msg3可携带有无线资源控制(Radio ResourceControl，RRC)请求，网络设备根据Msg3向目标终端发送Msg4以通知目标终端随机接入是否成功，若成功，则执行该S201，若否，则调整随机接入过程的配置参数，直至随机接入成功。

S202：网络设备根据上述第一SRS，确定目标终端的目标射频指纹，并根据目标射频指纹进行射频指纹认证，得到目标终端的射频指纹认证结果。

可选的，目标射频指纹是基于目标终端的硬件电路误差所产生的，例如：数模转换器(Digital-to Analog Converter，DAC)的谐波失真和直流偏置、振荡器的相位噪声、中频滤波器的失真、混频器的正交偏移误差和本振(Local Oscillator，LO)泄露、I/Q增益不平衡、以及功率放大器(Power Amplifier，PA)的非线性、差分星座图、载波频偏等，且均会反映在发送的第一SRS中。

可选的，确定该目标终端的目标射频指纹，具体可以是：

对接收到的第一SRS进行降噪处理，得到处理后的第一SRS；在处理后的第一SRS中截取可识别的目标SRS；对该目标SRS进行特征提取，得到目标SRS中的射频特征；再根据该射频特征生成该目标终端的目标射频指纹。

举例来讲，当图1中的网络设备101首次接收到目标终端102a的第一SRS后，对该第一SRS进行简单归一化、相位补偿等处理，从而降低噪声干扰，得到处理后的第一SRS；然后在该处理后的第一SRS中截取出可识别的目标SRS，并根据小波变换，或者其他类似的变换对该目标SRS进行特征提取，得到目标SRS中的射频特征，便可基于该射频特征，构建以特征向量表示的目标射频指纹。

可选的，根据上述方式得到的目标射频指纹，在进射频指纹认证时，具体可包括如下过程：根据目标射频指纹与射频指纹库中各射频指纹的相似度，从各射频指纹中确定候选射频指纹；若该目标射频指纹与候选射频指纹的相似度满足相似度要求，则确定该射频指纹认证结果为成功；否则，确定射频指纹认证结果为失败；其中，该射频指纹库中可包括各种合法终端的射频指纹。

在一些实施例中，在该射频指纹认证结果为成功后，网络设备可向目标终端发送的物理控制指令(例如，ULgrant消息)，该ULgrant消息中可插入射频指纹认证成功标识、ACK消息等，用于表征合法的数据通道已建立。

举例来讲，将图1中终端102a的目标射频指纹与射频指纹库中的各射频指纹分别进行相似度比较，若在各射频指纹中匹配出与该目标射频指纹相似的候选射频指纹，则表明该终端102a是合法的，便可向该终端102a发送的ULgrant消息中插入射频指纹认证成功标识；否则，表明该终端102a是伪冒或非合法终端，便可关闭与该终端102a的数据通道。

由于目标射频指纹是基于目标终端的硬件电路所产生，且可真实的反映在第一SRS中，具有可测量性，因此该射频指纹可作为认证目标终端身份的唯一标识，且难以复制，在安全认证过程中，使该认证结果更具可靠性。

在另一些实施例中，上述的识别和认证过程，可通过基于神经网络分类器实现，例如基于卷积神经网络的二分类算法、支持向量机、K近邻分类器等，本申请实施例在此不做限制。

S203：当上述射频指纹认证结果为成功时，网络设备接收该目标终端发送的第二SRS。

该第二SRS可以是目标终端按照设定周期向网络设备发送的SRS。

S204：网络设备接收到该第二SRS后，根据上述第一SRS和该第二SRS进行无线信道认证，并确定该目标终端的无线信道认证结果是否成功，若是，则转入S205，若否，则转入S206。

在无线信道认证过程中，由于无线信道的去相关性，当目标终端位置大于1/2波长时，不同位置的通信双方可能具有完全不同的信道状态信息，但考虑到无线信道的时变性可保证相干时间内收发双发(即网络设备和目标终端)信道多次测量的结果具有相似性，因此可基于该特性实现对伪冒终端的鉴别。

可选的，确定该目标终端的无线信道认证结果是否成功，具体可包括如下过程：

根据第一SRS，确定第一SRS的第一信道状态信息，以及根据第二SRS，确定第二SRS的第二信道状态信息；计算第一信道状态信息与第二信道状态信息之间的信道估计差值；若信道估计差值小于设定的门限值，则确定目标终端的无线信道认证结果为成功，转入S205；否则，确定目标终端的无线信道认证结果为失败，转入S206。

举例来讲，图1中的网络设备101，可根据终端102a发送的第一SRS，确定出该时刻的第一信道状态信息以及根据该终端102a周期发送的第二SRS，确定出周期性的第二信道状态信息/>再计算该第一信道状态信息和该第二信道状态信息之间的信道估计差值，具体可以是，是相邻两次信道状态信息之间的信道估计差值，表达式为：/>当K＝1，若计算出的信道估计差值小于设定的门限值，则表明该第二SRS是目标终端发送的，确定目标终端的无线信道认证结果为成功，转入S205；否则，表明该时刻的第二SRS可能是伪冒终端篡改后发送的，确定目标终端的无线信道认证结果为失败，便可丢弃该信道状态信息，转入S206。

可选的，当根据各SRS确定出各自的信道状态信息时，可先将其进行存储以及标记，在后续计算相邻信道状态信息之间的信道估计差值时方便获取。

可选的，可采用二进制假设校验方式去认证，也可通过基于神经网络分类器去认证，例如基于卷积神经网络的二分类算法、支持向量机、K近邻分类器等，本申请实施例在此不做限制。

可选的，在基于相邻两次信道状态信息，确定出目标终端的无线信道认证结果为成功，将ACK消息发送给目标终端后，在接收到目标终端下一周期发送的SRS信号时，也可按照该方式重新计算相邻两次信道状态信息(例如，与/>)之间的信道估计差值，进行实时的无线信道认证，可防止伪冒终端中途篡改信息，实现连续性安全认证，从而提高了整体终端入网的安全性。

S205：向该目标终端发送ACK消息。

该ACK消息用于表征目标终端发来的数据(SRS)已确认接收无误。

S206：关闭与该目标终端建立的数据通道。

采用上述这种方法，在安全认证过程中是基于物理层属性实现终端(如上述目标终端)的安全认证，相较于密码机制的认证，无需涉及复杂的密码计算，减少了资源消耗，具有轻量级优势，更契合物联网设备、资源受限的终端等入网时轻量级认证需求；进一步的，借助接收到的SRS完成物理层中基于射频指纹的首次认证，以及基于无线信道的连续认证，相较于传统的安全认证，未涉及多网元交互，仅基于物理层完成，很大程度降低认证交互时延，满足时延敏感终端的安全入网需求；再进一步的，采用基于射频指纹与基于无线信道相结合的物理层认证，突破无线信道无法完成首次认证的局限性，也解决射频指纹无法完成数据包认证的安全漏洞，整体提高了终端入网的安全性。

需要说明的是，上述图2所示的通信安全认证方法，包括但不仅限于应用在以下所举例的场景：

针对5G独享基站合法用户终端管理场景中，可提供非合法终端识别、数据包监测，全流程保障独享基站合法终端的安全性，提升用户满意度。

针对量子通信终端安全性管理场景中，可基于信道状态信息实现无条件的高安全性保障。

针对海量物联网多节点入网场景，提供轻量化，低计算的安全认证算法，增强资源限制下物联网终端的安全性。

针对时延敏感类的业务场景，例如车辆网、远程医疗等，仅需在物理层完成安全认证，不涉及高层及网元间交互，减少时延，保障该类终端敏捷且安全入网。

基于上述图2所示的方法，图3为本申请实施例提供的一种通信安全认证的信息交互示意图。如图3所示，该信息交互示意图包括如下步骤：

S301：目标终端在与网络设备完成RRC连接后，向网络设备发送当前的第一SRS。

该S301与图2中的S201相似，在此不再重复描述。

S302：网络设备接收到该第一SRS后，根据该第一SRS确定目标终端的目标射频指纹，并根据该目标射频指纹确定该目标终端的射频指纹认证结果是否为成功。

该S302与图2中的S202相似，在此不再重复描述。

S303：当射频指纹认证结果为成功时，网络设备向该目标终端发送ULgrant消息。

该ULgrant消息中可包括ACK消息、射频指纹认证成功标识等。

S304：目标终端接收到该ULgrant消息后，向网络设备发送第二SRS。

S305：网络设备接收到该第二SRS后，根据该第二SRS和上述第一SRS进行无线信道认证，并确定该目标终端的无线信道认证结果是否为成功。

该S305与图2中的S204相似，在此不再重复描述。

S306：当无线信道认证成功后，网络设备向目标终端发送ACK消息。

基于相同的技术构思，本申请实施例中还提供了一种网络设备，该设备可实现本申请实施例中上述通信安全认证方法流程。

图4为本申请实施例提供的一种网络设备的结构示意图。该结构包括：接收模块401、射频指纹认证模块402、无线信道认证模块403；进一步的，还可包括随机接入模块404。

接收模块401，用于网络设备接收目标终端当前发送的第一SRS；以及，用于当所述射频认证模块确定出的射频指纹认证结果为成功时，接收所述目标终端发送的第二SRS；

射频指纹认证模块402，用于基于所述第一SRS，确定所述目标终端的目标射频指纹，并根据所述目标射频指纹进行射频指纹认证，得到所述目标终端的射频指纹认证结果；

无线信道认证模块403，用于根据所述第一SRS和所述第二SRS进行无线信道认证，并确定所述目标终端的无线信道认证结果是否为成功；若是，则向所述目标终端发送ACK消息；若否，则关闭与所述目标终端建立的数据通道。

可选的，射频指纹认证模块402，具体用于：

对所述第一SRS进行降噪处理，得到处理后的第一SRS；在所述处理后的第一SRS中截取可识别的目标SRS；对所述目标SRS进行特征提取，得到所述目标SRS中的射频特征；根据所述射频特征生成所述目标终端的目标射频指纹。

可选的，射频指纹认证模块402，具体用于：

根据所述目标射频指纹与射频指纹库中各射频指纹的相似度，从所述各射频指纹中确定候选射频指纹；若所述目标射频指纹与所述候选射频指纹的相似度满足相似度要求，则确定所述射频指纹认证结果为成功；否则，确定所述射频指纹认证结果为失败。

可选的，无线信道认证模块403，具体用于：

根据所述第一SRS，确定所述第一SRS的第一信道状态信息，以及根据所述第二SRS，确定所述第二SRS的第二信道状态信息；计算所述第一信道状态信息与所述第二信道状态信息之间的信道估计差值；若所述信道估计差值小于设定的门限值，则确定所述目标终端的无线信道认证结果为成功；否则，确定所述目标终端的无线信道认证结果为失败。

可选的，接收模块401，还用于接收所述目标终端发送的导频以及Msg3；随机接入模块404，用于根据所述导频和所述Msg3向所述目标终端发送Msg4；其中，所述Msg4用于通知所述目标终端随机接入是否成功。

在此需要说明的是，本申请实施例提供的上述设备，能够实现上述方法实施例中的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。

基于相同的技术构思，本申请实施例中还提供了一种电子设备，所述电子设备可以实现前述一种网络设备的功能。

图5为本申请实施例提供的电子设备的结构示意图。

至少一个处理器501，以及与至少一个处理器501连接的存储器502，本申请实施例中不限定处理器501与存储器502之间的具体连接介质，图5中是以处理器501和存储器502之间通过总线500连接为例。总线500在图5中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。总线500可以分为地址总线、数据总线、控制总线等，为便于表示，图5中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。或者，处理器501也可以称为控制器，对于名称不做限制。

在本申请实施例中，存储器502存储有可被至少一个处理器501执行的指令，至少一个处理器501通过执行存储器502存储的指令，可以执行前文论述的一种通信安全认证方法。处理器501可以实现图4所示的设备中各个模块的功能。

其中，处理器501是该装置的控制中心，可以利用各种接口和线路连接整个该控制设备的各个部分，通过运行或执行存储在存储器502内的指令以及调用存储在存储器502内的数据，该装置的各种功能和处理数据，从而对该装置进行整体监控。

在一种可能的设计中，处理器501可包括一个或多个处理单元，处理器501可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器501中。在一些实施例中，处理器501和存储器502可以在同一芯片上实现，在一些实施例中，它们也可以在独立的芯片上分别实现。

处理器501可以是通用处理器，例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的一种通信安全认证方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

存储器502作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器502可以包括至少一种类型的存储介质，例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory，RAM)、静态随机访问存储器(Static Random Access Memory，SRAM)、可编程只读存储器(Programmable Read Only Memory，PROM)、只读存储器(Read Only Memory，ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，EEPROM)、磁性存储器、磁盘、光盘等等。存储器502是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本申请实施例中的存储器502还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

通过对处理器501进行设计编程，可以将前述实施例中介绍的一种通信安全认证方法所对应的代码固化到芯片内，从而使芯片在运行时能够执行图2所示的实施例的一种通信安全认证方法。如何对处理器501进行设计编程为本领域技术人员所公知的技术，这里不再赘述。

在此需要说明的是，本申请实施例提供的上述通电子设备，能够实现上述方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。

本申请实施例还提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机可执行指令，计算机可执行指令用于使计算机执行上述实施例中的一种通信安全认证方法。

本申请实施例还提供了一种计算机程序产品，所述计算机程序产品在被计算机调用时，使得所述计算机执行上述实施例中的一种通信安全认证方法。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

Claims (12)

1.一种通信安全认证方法，其特征在于，包括：

网络设备接收目标终端当前发送的第一信道探测参考信号SRS；

所述网络设备根据所述第一SRS，确定所述目标终端的目标射频指纹，并根据所述目标射频指纹进行射频指纹认证，得到所述目标终端的射频指纹认证结果；

当所述射频指纹认证结果为成功时，所述网络设备接收所述目标终端发送的第二SRS；

所述网络设备根据所述第一SRS和所述第二SRS进行无线信道认证，并确定所述目标终端的无线信道认证结果是否为成功；

若是，则向所述目标终端发送确定字符ACK消息；

若否，则关闭与所述目标终端建立的数据通道。

2.如权利要求1所述的方法，其特征在于，所述网络设备根据所述第一SRS，确定所述目标终端的目标射频指纹，包括：

对所述第一SRS进行降噪处理，得到处理后的第一SRS；

在所述处理后的第一SRS中截取可识别的目标SRS；

对所述目标SRS进行特征提取，得到所述目标SRS中的射频特征；

根据所述射频特征生成所述目标终端的目标射频指纹。

3.如权利要求1所述的方法，其特征在于，所述根据所述目标射频指纹进行射频指纹认证，得到所述目标终端的射频指纹认证结果，包括：

根据所述目标射频指纹与射频指纹库中各射频指纹的相似度，从所述各射频指纹中确定候选射频指纹；

若所述目标射频指纹与所述候选射频指纹的相似度满足相似度要求，则确定所述射频指纹认证结果为成功；否则，确定所述射频指纹认证结果为失败。

4.如权利要求1所述的方法，其特征在于，所述网络设备根据所述第一SRS和所述第二SRS进行无线信道认证，并确定所述目标终端的无线信道认证结果是否为成功，包括：

根据所述第一SRS，确定所述第一SRS的第一信道状态信息，以及根据所述第二SRS，确定所述第二SRS的第二信道状态信息；

计算所述第一信道状态信息与所述第二信道状态信息之间的信道估计差值；

若所述信道估计差值小于设定的门限值，则确定所述目标终端的无线信道认证结果为成功；否则，确定所述目标终端的无线信道认证结果为失败。

5.如权利要求1-4任一项所述的方法，其特征在于，所述网络设备接收所述目标终端当前发送的第一信道探测参考信号SRS之前，还包括：

所述网络设备接收所述目标终端发送的导频以及Msg3；

所述网络设备根据所述导频和所述Msg3向所述目标终端发送Msg4；其中，所述Msg4用于通知所述目标终端随机接入是否成功。

6.一种网络设备，其特征在于，包括：接收模块、射频指纹认证模块、无线信道认证模块；

所述接收模块，用于网络设备接收目标终端当前发送的第一信道探测参考信号SRS；以及，用于当所述射频认证模块确定出的射频指纹认证结果为成功时，接收所述目标终端发送的第二SRS；

所述射频指纹认证模块，用于基于所述第一SRS，确定所述目标终端的目标射频指纹，并根据所述目标射频指纹进行射频指纹认证，得到所述目标终端的射频指纹认证结果；

所述无线信道认证模块，用于根据所述第一SRS和所述第二SRS进行无线信道认证，并确定所述目标终端的无线信道认证结果是否为成功；若是，则向所述目标终端发送确定字符ACK消息；若否，则关闭与所述目标终端建立的数据通道。

7.如权利要求6所述的设备，其特征在于，所述射频指纹认证模块，具体用于：

对所述第一SRS进行降噪处理，得到处理后的第一SRS；

在所述处理后的第一SRS中截取可识别的目标SRS；

对所述目标SRS进行特征提取，得到所述目标SRS中的射频特征；

根据所述射频特征生成所述目标终端的目标射频指纹。

8.如权利要求6所述的设备，其特征在于，所述射频指纹认证模块，具体用于：

根据所述目标射频指纹与射频指纹库中各射频指纹的相似度，从所述各射频指纹中确定候选射频指纹；

若所述目标射频指纹与所述候选射频指纹的相似度满足相似度要求，则确定所述射频指纹认证结果为成功；否则，确定所述射频指纹认证结果为失败。

9.如权利要求6所述的设备，其特征在于，所述无线信道认证模块，具体用于：

根据所述第一SRS，确定所述第一SRS的第一信道状态信息，以及根据所述第二SRS，确定所述第二SRS的第二信道状态信息；

计算所述第一信道状态信息与所述第二信道状态信息之间的信道估计差值；

若所述信道估计差值小于设定的门限值，则确定所述目标终端的无线信道认证结果为成功；否则，确定所述目标终端的无线信道认证结果为失败。

10.如权利要求6-9任一项所述的设备，其特征在于，所述设备还包括随机接入模块；

所述接收模块，还用于接收所述目标终端发送的导频以及Msg3；所述随机接入模块，用于根据所述导频和所述Msg3向所述目标终端发送Msg4；其中，所述Msg4用于通知所述目标终端随机接入是否成功。

11.一种电子设备，其特征在于，包括：

存储器，用于存放计算机程序；

处理器，用于执行所述存储器上所存放的计算机程序时，实现权利要求1-5中任一项所述的方法步骤。

12.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1-5中任一项中所述的方法步骤。