基于信道感知的认证方法与流程

本发明涉及无线通信技术领域，特别涉及无线通信安全、无线物理层安全以及无线通信的认证方法，尤其涉及基于信道感知的认证方法。

背景技术：

无线链路的开放性使无线通信面临严重的安全威胁，认证是保障无线通信安全的重要手段。当前的认证方法主要是针对用户身份，即通过身份密钥来确认用户身份是否合法。例如，在无线移动通信中，用户和运营商事先具有固定且共享的身份密钥，通过认证和密钥协商过程保证通信安全。然而，这种单纯的基于用户身份的安全机制本身具有一定的安全漏洞。首先，无线通信的认证和密钥协商过程本身就容易被侦听；其次，身份密钥的信息也会随着使用次数的增加逐渐泄露甚至破解；最后，身份密钥也可以通过黑客攻击、社会工程学等手段窃取。同时，身份密钥的固定性也使得这种针对用户身份的攻击手段一旦得逞便会一劳永逸，对无线通信安全产生巨大影响。

无线信道具有多样性、唯一性和在相干时间内的互易性，且随着传播环境、相对位置随机变化，这正好为合法通信双方提取密钥提供了天然条件。因此，可以通过设计私密导频感知信道特征来生成天然密钥，该密钥来源于无线信道，继承了无线信道的固有属性，具有与位置绑定、随机变化更新的特点，称为位置密钥。相比于现有的身份密钥，位置密钥拓宽了无线通信的安全维度，由单纯的针对用户身份的安全扩展为针对用户身份和位置的双重安全，显著提高了无线通信的安全性。首先，位置密钥源于纯天然的无线信道，第三方测不准；其次，位置密钥天然的信息量不断注入，弥补了密钥信息逐渐泄露的不足；最后，位置密钥随传播环境、相对位置随机变化，并不能一劳永逸的破解。因此，可以将位置密钥与身份密钥结合，对无线通信的控制链路和数据链路进行认证，提供用户身份和位置的双重安全保护。

技术实现要素：

针对上述问题，本发明提供了一种基于信道感知的认证方法，利用无线信道特征生成位置密钥并应用于无线链路的认证过程，解决了身份密钥易被侦听、泄露、破解、窃取的问题，为无线通信提供了“位置”安全新维度，具有重要的理论意义和实践价值。

为了实现上述目的，本发明采用以下技术方案：

基于信道感知的认证方法，包括：

步骤1：合法通信双方事先共享身份密钥kidentity、私密导频的生成函数gpilot和位置密钥的生成函数gkey；

步骤2：合法通信双方分别根据身份密钥kidentity和私密导频的生成函数gpilot生成私密导频pprivate；

步骤3：合法通信双方相互发送私密导频pprivate进行信道感知，得到信道估计值h；

步骤4：合法通信双方分别根据信道估计值h和位置密钥的生成函数gkey生成位置密钥kposition；

步骤5：合法通信双方利用位置密钥kposition对传输链路进行认证，并分别利用位置密钥kposition和私密导频的生成函数gpilot重新生成私密导频pprivate；

步骤6：重复执行步骤3至步骤5，实现基于信道感知的认证。

进一步地，步骤5中所述传输链路为控制链路或数据链路。

进一步地，步骤5中所述认证包括用户身份鉴权和传输消息的完整性保护。进一步地，所述用户身份鉴权为单向鉴权或双向鉴权。

进一步地，所述传输消息为传输链路中传输的消息，传输消息为信令消息或业务消息。

进一步地，所述步骤5中合法通信双方利用位置密钥kposition实现对传输链路的认证还可为：

合法通信双方利用身份密钥kidentity和位置密钥kposition实现对传输链路的双重认证。

进一步地，所述步骤5中分别利用位置密钥kposition和私密导频的生成函数gpilot重新生成私密导频pprivate还可为：

利用身份密钥kidentity、位置密钥kposition及私密导频的生成函数gpilot共同重新生成私密导频pprivate。

进一步地，所述步骤5还包括：

合法通信双方利用位置密钥kposition对所述传输消息进行加密，或分别利用身份密钥kidentity和位置密钥kposition对所述传输消息进行双重加密。

与现有技术相比，本发明具有的有益效果：

本发明提供了一种基于信道感知的认证方法，首先令合法通信双方事先共享身份密钥、私密导频的生成函数和位置密钥的生成函数，分别根据身份密钥和私密导频的生成函数生成初始私密导频。合法通信双方利用私密导频传输信息并感知信道，分别根据传输的信息和位置密钥的生成函数生成位置密钥，利用位置密钥生成位置标签对传输链路进行认证，由位置密钥和私密导频的生成函数生成新的私密导频。重复上述步骤，实现基于信道感知的认证。

本发明利用无线信道特征生成位置密钥并应用于无线链路的认证过程，解决了身份密钥易被侦听、泄露、破解、窃取的问题，为无线通信提供了“位置”安全新维度，具有重要的理论意义和实践价值。

附图说明

图1为本发明实施例的基于信道感知的认证方法的基本流程图。

图2为本发明实施例的基于信道感知的认证方法的利用私密导频传输信息的帧结构示意图。

图3为本发明实施例的基于信道感知的认证方法的利用私密导频实现用户身份鉴权的流程示意图。

具体实施方式

下面结合附图和具体的实施例对本发明做进一步的解释说明：

如图1所示，本发明的一种基于信道感知的认证方法，包括：

步骤s101：合法通信双方alice和bob事先约定共享身份密钥kidentity、私密导频的生成函数gpilot和位置密钥的生成函数gkey。

步骤s102：alice和bob分别根据身份密钥kidentity和私密导频的生成函数gpilot生成私密导频pprivate。

步骤s103：alice和bob相互发送私密导频pprivate进行信道感知，得到信道估计值h。

步骤s104：alice和bob分别根据信道估计值h和位置密钥的生成函数gkey生成位置密钥kposition。

步骤s105：alice和bob利用位置密钥kposition对传输链路进行认证，并分别利用位置密钥kposition和私密导频的生成函数gpilot重新生成私密导频pprivate。

具体地，本实施例中传输链路为控制链路或数据链路。

具体地，本实施例中认证包括用户身份鉴权和传输消息的完整性保护；其中，用户身份鉴权为单向鉴权或双向鉴权，且对用户身份鉴权的方法不限；传输消息为传输链路中传输的消息，传输消息为信令消息或业务消息，且对传输消息的资源分配、帧结构不限。

具体地，本实施例中alice和bob利用位置密钥kposition实现对传输链路的认证还可为：

合法通信双方利用身份密钥kidentity、位置密钥kposition和私密导频的生成函数gpilot重新生成私密导频pprivate。

具体地，本实施例中分别利用位置密钥kposition和私密导频的生成函数gpilot重新生成私密导频pprivate还可为：

利用身份密钥kidentity、位置密钥kposition及私密导频的生成函数gpilot共同重新生成私密导频pprivate。

具体地，本实施例中步骤s105还包括：

合法通信双方利用位置密钥kposition对传输消息进行加密，或分别利用身份密钥kidentity和位置密钥kposition对传输消息进行双重加密。

步骤s106：重复执行步骤s103至步骤s105，实现基于信道感知的认证。

具体地，本实施例中私密导频的生成函数gpilot为基于身份密钥kidentity和位置密钥kposition的函数，或者为满足合法通信双方生成相同私密导频的任意函数。

具体地，本实施例中位置密钥的生成函数gkey为基于信道估计值h的函数，或者为满足合法通信双方生成相同位置密钥的任意函数。

根据图1所示流程，alice和bob按照步骤s101的约定经过步骤s102后可以生成相同的私密导频pprivate，而第三方无法生成相同的私密导频，即

pprivate＝gpilot(kidentity)(1)

同时，为了增加私密导频的安全性，也可在自变量中添加初始向量(initialvector,iv)，此时可得私密导频为

pprivate＝gpilot(kidentity,iv)(2)

因此，在步骤s103中，alice和bob可以相互发送私密导频pprivate，不妨假设alice和bob对应的接收信号分别为

rap＝hbapprivate+wap(3)

rbp＝habpprivate+wbp(4)

其中，wap和wbp分别为alice和bob的接收信号噪声。

由于alice和bob均由步骤s102生成了相同的私密导频pprivate，因此alice和bob均可以进行信道感知，其最小二乘估计分别为

hba＝rap/pprivate(5)

hab＝rbp/pprivate(6)

而第三方则因为缺失私密导频信息而无法进行信道估计。

由于信道的短时互易性，有

hba＝h^tab(7)

因此，在步骤s104中，alice和bob可以利用信道估计(最小二乘估计)值进一步生成密钥。由于无线信道与时空位置严格绑定，且随传播环境随机变化，因此该密钥也具有位置属性，称为位置密钥，即

kposition＝gkey(hba)＝gkey(h^tab)(8)

由于第三方无法在时空位置上与alice或bob保持相同，因而无法准确感知alice和bob之间的合法信道，很难破解位置密钥。

一旦alice和bob生成了相同的位置密钥，就可以进行用户身份鉴权和传输消息的完整性保护。具体地，传输消息的消息帧结构如图2所示，其私密导频融入了位置密钥，传输消息也可用位置密钥加密，传输消息的完整性保护的标签tag则可由位置密钥和传输消息产生，即

tag＝gtag(m,kposition)(9)

其中，gtag为传输消息的完整性保护的标签tag的生成函数，且为满足传输消息的完整性保护条件的任意函数。此外，传输消息的完整性保护的标签tag也可由身份密钥、位置密钥和传输消息共同产生，即

tag＝gtag(m,kidentity,kposition)(10)

用户身份鉴权的流程如图3所示，由图3可知，alice对bob的身份鉴权流程如下：假设用户身份鉴权期间信道不变，首先alice向bob发送私密导频pprivate，然后bob按照步骤s103感知信道hab，按照步骤s104生成位置密钥kposition，按照步骤s105重新生成私密导频pprivate，最后返回重新生成的私密导频pprivate时将信道预均衡，即bob发送信号为pprivate/h^tab，此时alice接收信号为

rap＝hbapprivate/h^tab+wap＝pprivate+wap(11)

进而alice可以通过比对私密导频pprivate(初始alice向bob发送的私密导频及bob向alice发送的重新生成的私密导频)实现对bob的身份鉴权。同理，bob也可对alice进行挑战-响应，实现bob对alice的身份鉴权，进而实现双向鉴权。同时由于私密导频可以由身份密钥和位置密钥共同生成，因此用户身份鉴权也能够实现对身份和位置的双重认证。

在步骤s105中，利用位置密钥可以重新生成私密导频

pprivate＝gpilot(kposition)(12)

或由身份密钥和位置密钥重新生成私密导频

pprivate＝gpilot(kidentity,kposition)(13)

由于alice和bob的位置密钥相同，因此可以再次得到相同的私密导频，而第三方只有在同时破解身份密钥和位置密钥时才能获得正确的私密导频。

因此，alice和bob可以不断地利用生成的私密导频感知信道，进而生成位置密钥，从而应用于用户身份鉴权和传输消息的完整性保护，并重新生成私密导频。如此循环步骤s103至s105，alice和bob即实现了基于位置密钥的安全闭环。

值得说明的是，本实施例的一种基于信道感知的认证方法适用于siso、simo、miso和mimo系统。

本发明提供了一种基于信道感知的认证方法，首先令合法通信双方事先共享身份密钥、私密导频的生成函数和位置密钥的生成函数，分别根据身份密钥和私密导频的生成函数生成初始私密导频。合法通信双方利用私密导频传输信息并感知信道，分别根据传输的信息和位置密钥的生成函数生成位置密钥，利用位置密钥生成位置标签对传输链路进行认证，由位置密钥和私密导频的生成函数生成新的私密导频。重复上述步骤，实现基于信道感知的认证。

本发明利用无线信道特征生成位置密钥并应用于无线链路的认证过程，解决了身份密钥易被侦听、泄露、破解、窃取的问题，为无线通信提供了“位置”安全新维度，具有重要的理论意义和实践价值。

以上所示仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。