[发明专利]基于物理层密钥的终端和核心网的双向认证增强方法

说明书

(一)、技术领域：本发明涉及一种通信过程中的认证方法，特别是涉及一种基于物理层密钥的终端和核心网的双向认证增强方法。

(二)、背景技术：伪基站和伪终端的存在严重干扰和威胁着正常的蜂窝通信系统，对合法用户的信息安全带来了严峻挑战。目前的蜂窝通信体制普遍采用高层加密技术来防止合法用户信息的泄密。但是伪基站能够将合法终端纳入其管控之下，并利用伪终端的透明转发建立合法终端与合法基站之间的通道：在上行链路，伪基站接收合法用户的通信数据，并通过伪终端将接收数据“透明转发”给合法基站；在下行链路，伪终端接收合法基站的通信数据，并通过伪基站将接收数据“透明转发”给合法终端。合法基站和合法终端对这种类似“中继”的伪基站和伪终端工作方式是完全无感的。这种窃密方式利用了蜂窝通信体制的以下特点：

1)终端身份信息、接入过程的开放性；

2)终端仅对核心网进行认证，缺乏对接入网的认证；

3)高层加密过程与传输链路无关。

基于现有技术中存在的上述问题，迫切需要一种有效的认证技术解决方案，能够使得类似“透明转发”的攻击方式在蜂窝系统中无法实行。

(三)、发明内容：

本发明要解决的技术问题是：提供一种基于物理层密钥的终端和核心网的双向认证增强方法，该方法能够识别并抑制伪基站和伪终端的“透明转发”攻击。

本发明的技术方案：

一种基于物理层密钥的终端和核心网的双向认证增强方法，含有下列步骤：

步骤A：核心网利用终端注册过程获取终端身份信息；

步骤B：终端和基站通过物理层密钥协商机制产生物理层密钥；

步骤C：基站将此物理层密钥上报给核心网；

步骤D：核心网利用与终端身份信息相关的根密钥和物理层密钥产生核心网的认证数据，并将核心网的认证数据发送给终端；

步骤E：终端利用根密钥、物理层密钥和核心网的认证数据对网络侧进行认证；

步骤F：核心网利用根密钥、物理层密钥和核心网的认证数据对终端进行认证；

步骤G：终端和基站根据无线信道变化的快慢约定物理层密钥的更新周期；如果更新周期到了，执行步骤B，实现持续认证；否则，执行步骤G。

步骤A的具体步骤如下：

步骤A1：终端发起注册请求；

步骤A2：核心网利用注册请求获取终端身份信息。

步骤B的具体步骤如下：

步骤B1：终端和基站测量无线信道获得信道特征参数；

步骤B2：终端和基站利用信道特征参数，通过协商机制产生一致性的物理层密钥。

步骤C的具体步骤如下：

步骤C1：基站将步骤B中获得的终端的物理层密钥上报给核心网；

步骤C2：核心网存储终端的物理层密钥。

步骤D的具体步骤如下：

步骤D1：核心网利用步骤A中获得的终端身份信息获得对应的根密钥；

步骤D2：核心网联合根密钥和步骤B产生的物理层密钥生成核心网的认证数据；

步骤D3：核心网将生成的核心网的认证数据发送给终端。

步骤E的具体步骤如下：

步骤E1：终端利用根密钥和步骤B中获得的该终端的物理层密钥产生本地认证数据；

步骤E2：终端通过比较本地认证数据和步骤D中获得的核心网的认证数据，对网络侧进行认证；

步骤E3：如果认证通过，则终端生成认证数据发送给核心网；如果认证失败，则终端执行拆链操作，切换至备选基站，并将当前基站认定为伪基站，结束全部认证过程；

步骤F的具体步骤如下：

步骤F1：核心网通过比较步骤D中获得的核心网的认证数据和步骤E3中获得的认证数据，对终端进行认证；

步骤F2：如果认证成功，执行步骤G；如果认证失败，则核心网执行拆链操作，将当前终端认定为伪终端，结束全部认证过程。

本发明的有益效果：

1、本发明利用物理层密钥与无线链路的强耦合和相关性以及终端身份的唯一性，通过结合物理层密钥和终端身份相关的根密钥，实现了终端身份和无线链路的强绑定，能够识别并抑制伪基站和伪终端的“透明转发”攻击。本发明引入了与无线链路相关的物理层密钥，使得加密认证与无线链路、节点产生强相关性，并通过其与终端身份相关的密钥相结合，实现了用户身份与节点、无线链路的统一，在源头抑制了类似“透明转发”的攻击方式。

(四)、附图说明：

图1为存在伪基站/伪终端的蜂窝通信场景示意图；

图2为物理层密钥提取量化示意图；