一种3gpp认证与密钥协商协议的实现方法
【专利摘要】本发明公开了一种3GPP认证与密钥协商协议的实现方法,该方法物理层认证采用质询?回应鉴权机制,基于多载波传输,把信道看作是一组M个并行的衰落子信道,利用子信道的相位响应的互易性和随机性对通信双方进行身份验证。本发明将物理层质询?回应鉴权机制与经典的演进分组系统认证与密钥协商协议结合,实现3GPP双向鉴权。该方法要求用户设备与移动台分别提供一对密钥(AKL,AKR),用户设备与基站(eNB)通过对比该对密钥来加强3GPP鉴权可靠性。该对密钥由两串随机数(RANDL,RANDR)和一长串加密密钥(K)通过哈希函数产生,K存储在全球用户识别卡(USIM)和鉴权中心(AuC)中。
【专利说明】
-种%PP认证与密钥协商协议的实现方法
技术领域
[0001] 本发明设及一种3GPP认证与密钥协商协议的实现方法,属于无线通信技术领域。
【背景技术】
[0002] 随着无线通信的飞速发展和基于移动终端业务的增长,无线网络的安全问题备受 关注。由于无线通信链路的开放性为非法用户攻击提供了一些新的途径,使通信系统存在 很大的安全隐患,很容易被非法用户窃取到有用信息。传统的信息安全通信主要是W密码 学为基础的相关加密技术,由于密钥的长度是有限的,并且随着计算机技术的快速发展,计 算机的运算能力飞速提升,对于运种加密方法是可W通过猜测、试验进行大量运算进行解 密的。并且从开放系统互连(即0SI)模型的角度看,传统无线通信系统中的信息安全技术主 要集中于网络层及其W上各层,没有充分利用无线信道物理层的特性,因此只靠传统的密 码安全机制和安全协议来保证通信系统的安全是无法令人满意的。
[0003] 认证是无线通信系统的信息安全基础,它保证通信双方是其所声称的身份,防止 非法用户的接入与访问。基于物理层之上的认证一般采用密码安全机制与安全协议实现, 而密码安全机制存在密钥泄露的风险,安全协议通常存在安全缺陷,所W没有物理层认证 运层保护网,无线通信系统的安全性存在着一定的隐患。而本发明能够很好地加强3GPP(即 第=代合作伙伴计划)的鉴权可靠性。
【发明内容】
[0004] 本发明目的在于针对上述现有技术的不足,提供了一种3GPP认证与密钥协商协议 的实现方法,该方法物理层认证采用相位质询和回应鉴权机制,基于多载波传输,把信道看 作是一组M个并行的衰落子信道,利用子信道的相位响应的互易性和随机性对通信双方进 行身份验证,从而加强3GPP鉴权的可靠性。移动台向用户设备在不同的子载波频率上发送 等相位调制的正弦波作为激励信号,由于信道具有相位延迟,用户设备接收到的信号包含 有每个子信道的相位信息,用户设备测量出子载波之间的相位差;用户设备根据接收到的 激励信号和子载波间的相位差,反馈给移动台一个封装有密钥的响应信号对用户设备进行 认证。反之再进行用户设备对移动台的认证。信道相位特性对接收端和发送端之间的距离 很敏感,具有随机性,非法用户不能对信道相位有效估计。本发明将物理层相位质询和回应 鉴权机制与经典的演进分组系统认证与密钥协商协议结合,实现3GPP双向鉴权。该方法要 求用户设备与移动台分别提供一对密钥(AKUAKR),用户设备与基站(即eNB)通过对比该对 密钥来加强3GPP鉴权可靠性。该对密钥由两串随机数(RANDL,RANDR)和一长串加密密钥(即 K)通过哈希函数产生,K存储在全球用户识别卡(即USIM)和鉴权中屯、(即AuC)中。
[0005] 方法流程:
[0006] 步骤1:基站-网络节点(即eNB-MME)向用户设备(即肥)发送用户身份请求信号,肥 回复用户识别码(即IMS I)给eNB-MME。
[0007] 步骤2:网络节点(即MME)将鉴权数据请求信息传送给归属地用户服务器/鉴权中 屯、(即HSS/AuC),HSS/AuC生成认证矢量(即AV)传送给gNB-MMEdAV新引入了一对随机变量 (RANDL,RANDR),和相应通过哈希函数生成的一对鉴权密钥(AKL,AKR)。
[000引步骤3:MME选择下一批没有使用过的AV完成保密功能。eNB传送用户物理层鉴权请 求信息给肥,该信息参数为RANDL和RANDR。
[0009] 步骤4:肥接收到RANDL和RANDR,通过哈希函数计算出相应的物理层鉴权密钥AKL 和 AKR。
[0010] 步骤5:肥发起物理层质询信息UeNB回复从AuC共享得到的AKL。肥根据比对AKL的 结果对eNB进行鉴权。
[00川步骤6:eNB发起物理层质询信息R,肥回复计算得到的AKRdgNB根据比对AKR的结果 对肥进行鉴权。
[0012]步骤7:完成物理层双向鉴权之后,进行传统的鉴权过程。
[OOU] 有益效果:
[0014] 1、本发明能够充分利用信道的物理特性和资源,并且加强了通信系统的安全性。
[0015] 2、本发明能够有效抵抗无线通信系统中易出现的干扰攻击、重播攻击和伪装等攻 击。加强了通信双方身份确认的可靠性,保证了信息传输的安全性。
[0016] 3、本发明是将物理层相位质询和回应机制与3GPP传统的认证与密钥协商协议(即 AKA)鉴权机制相结合,加强了通信双方身份确认的可靠性,保证了信息传输的安全性。
【附图说明】
[0017] 图1为本发明的方法流程图。
【具体实施方式】
[0018] 下面结合附图对本发明的技术方案做进一步的详细说明。
[0019] 本发明所有英文简称注解包括:
[0020] 3GPP:第S代合作伙伴计划;
[0021] AKA:认证与密钥协商协议;
[0022] 肥:用户设备.
[0023] eNB-MME:演进基站-网络节点;
[0024] 服S/AuC:归属用户服务器/鉴权中屯、;
[00巧]USIM:用户识别卡;
[00%] IMSI:国际用户识别码;
[0027] AV:认证矢量;
[002引 RANDL左随机数;
[0029] RANDR:右随机数;
[0030] AKL 左密钥;
[0031] AKR:右密钥。
[0032] 如图1所示,本发明提供了一种3GPP认证与密钥协商协议的实现方法,该方法将物 理层质询和回应鉴权机制融入3GPP认证与密钥协商协议中,从而加强3GPP鉴权的可靠性。 该方法物理层认证采用相位质询和回应鉴权机制,基于多载波传输,把信道看作是一组M个 并行的衰落子信道,利用子信道的相位响应的互易性和随机性对通信双方进行身份验证。 移动台向用户设备在不同的子载波频率上发送等相位调制的正弦波作为激励信号,由于信 道具有相位延迟,用户设备接收到的信号包含有每个子信道的相位信息,用户设备测量出 子载波之间的相位差;用户设备根据接收到的激励信号和子载波间的相位差,反馈给移动 台一个封装有密钥的响应信号对用户设备进行认证。反之再进行用户设备对移动台的认 证。信道相位特性对接收端和发送端之间的距离很敏感,具有随机性,非法用户不能对信道 相位有效估计。本发明将物理层相位质询和回应鉴权机制与经典的演进分组系统认证与密 钥协商协议结合,实现3GPP双向鉴权。该方法要求用户设备与移动台分别提供一对密钥 (AKL,AKR),用户设备与基站(即eNB)通过对比该对密钥来加强3GPP鉴权可靠性。该对密钥 由两串随机数(RANDURANDR)和一长串加密密钥(目化)通过哈希函数产生,K存储在全球用 户识别卡(即USIM)和鉴权中屯、(即AuC)中。如图1所示,具体步骤如下:
[0033] 步骤1:基站-网络节点(即eNB-MME)向用户设备(即肥)发送用户身份请求信号,肥 回复用户识别码(即IMS I)给eNB-MME。
[0034] 步骤2:网络节点(MME)将鉴权数据请求信息传送给归属地用户服务器/鉴权中屯、 (即HSS/AuC),HSS/AuC生成认证矢量(即AV)传送给gNB-MMEdAV新引入了一对随机变量(即 RANDL,RANDR),和相应通过哈希函数生成的一对鉴权密钥(AKL,AKR)。
[0035] 步骤3:MME选择下一批没有使用过的AV完成保密功能。eNB传送用户物理层鉴权请 求信息给肥,该信息参数为RANDL和RANDR。
[0036] 步骤4:肥接收到RANDL和RANDR,通过哈希函数计算出相应的物理层鉴权密钥AKL 和 AKR。
[0037] 步骤5:肥向eNB在不同的子载波频率...,fM上发送等相位调制的正弦波激励
信号 里层质询信息L由于信道具有相位延迟,eNB接收到 的信 i包含有每个子信道的相位信息9i,eNB测量出子载波 fi和円间的相位差A 011; eNB根据接收到的激励信号和子载波间的相位差A 011,反馈给UE-个 封装有密钥AKL=比1,...,kM]的响应信号
:' UE接收到响应信^
中同样具有 每个子信道对应的相位延迟。肥根据比对AKL的结果对eNB进行鉴权。
[003引步骤6:eNB向UE在不同的子载波频率円,f2,...,fM上发送等相位调制的正弦波激励信
里层质询信息R;由于信道具有相位延迟,UE接收到的信 互含有每个子信道的相位信息9i,UE测量出子载波fi和 fi间的相位差A 0ii;UE根据接收到的激励信号和子载波间的相位差A 011,反馈给eNB-个封装 有密钥AKR=化,...,kM]的响应信号
。 接收到响应信号
中同样具有 每个子信道对应的相位延迟。eNB根据比对AKR的结果对肥进行鉴权。
[0039] 步骤7:完成物理层双向鉴权之后,进行传统的鉴权过程。
[0040] eNB-MME向肥发送用户身份请求信号,肥回复IMSI给gNB-MMEdUE将鉴权数据请求 信息传送给HSS/AuC,HSS/AuC生成认证矢量AV传送给GNB-MMEeAV新引入了一对随机变量 (即RANDL,RANDR),和相应通过哈希函数生成的一对鉴权密钥(AKL,AKR),AKL和AKR是完成 物理层鉴权的关键密钥。eNB传送用户物理层鉴权请求信息给UE,该信息参数为RANDL和 RANDR。肥接收到RANDL和RANDR,通过哈希函数计算出相应的物理层鉴权密钥AKL和AKR。
[0041] UE向eNB在不同的子载波频率...,fM上发送等相位调制的正弦波激励信号
里层质询信息以由于信道具有相位延迟,eNB接收到的信 国含有每个子信道的相位信息9i,eNB巧瞳出子载波fi和 円间的相位差A 0ii;eNB根据接收到的激励信号和子载波间的相位差A 011,反馈给UE-个封装有 密钥AKL=比i,...,kM]的响应信1
。 UE接收到响应信^
中同样具 有每个子信道对应的相位延迟。肥根据比对AKL的结果对eNB进行鉴权。
[0042] eNB向肥在不同的子载波频率...,fM上发送等相位调制的正弦波激励信号
臣层质询信息R;由于信道具有相位延迟,UE接收到的信 包含有每个子信道的相位信息9i,UE测量出子载波fi和 村J 円间的相位差A 0ii;UE根据接收到的激励信号和子载波间的相位差A 011,反馈给eNB-个封装有 密钥AKR=比1,...,kM]的响应信号.
, 接收到响应信号司样具有 i - 1
每个子信道对应的相位延迟。eNB根据比对AKR的结果对肥进行鉴权。到此完成物理层双向 鉴权,如果物理层鉴权成功再进行传统的鉴权过程。
[0043] 本发明是将物理层相位质询和回应机制与3GPP传统的认证与密钥协商协议(即 AKA)鉴权机制相结合,加强了通信双方身份确认的可靠性,保证了信息传输的安全性。
【主权项】
1. 一种3GPP认证与密钥协商协议的实现方法,其特征在于:所述方法的物理层认证采 用相位质询和回应鉴权机制,基于多载波传输,把信道看作是一组并行的衰落子信道,利用 子信道的相位响应的互易性和随机性对通信双方进行身份验证;所述方法将物理层相位质 询和回应鉴权机制与经典的演进分组系统认证与密钥协商协议结合,要求用户设备与移动 台分别提供一对密钥(AKUAKR),用户设备与基站eNB通过对比该对密钥来加强3GPP鉴权可 靠性,该对密钥由两串随机数(RANDL,RANDR)和一长串加密密钥K通过哈希函数产生,加密 密钥K存储在全球用户识别卡USIM和鉴权中屯、AuC中。2. 根据权利要求1所述的一种3GPP认证与密钥协商协议的实现方法,其特征在于:所述 方法包括如下步骤: 步骤1:基站-网络节点eNB-MME向用户设备肥发送用户身份请求信号,肥回复用户识别 码IMSI给eNB-MME; 步骤2:网络节点MME将鉴权数据请求信息传送给归属地用户服务器/鉴权中屯、HSS/ AuC,所述HSS/AuC生成认证矢量AV传送给eNB-MME,AV新引入了 一对随机变量(RANDL, RANDR),和相应通过哈希函数生成的一对鉴权密钥(AKUAKR); 步骤3:MME选择下一批没有使用过的AV完成保密功能,eNB传送用户物理层鉴权请求信 息给肥,该信息参数为RANDL和RANDR; 步骤4:UE接收到RANDL和RANDR,通过哈希函数计算出相应的物理层鉴权密钥ML和 AKR; 步骤5:肥发起物理层质询信息L,eNB回复从AuC共享得到的AKL,肥根据比对AKL的结果 对eNB进行鉴权; 步骤6: eNB发起物理层质询信息R,肥回复计算得到的AKR,eNB根据比对AKR的结果对UE 进行鉴权; 步骤7:完成物理层双向鉴权之后,进行传统的鉴权过程。3. 根据权利要求2所述的一种3GPP认证与密钥协商协议的实现方法,其特征在于:所述 步骤5包括:肥向eNB在不同的子载波频率...,fM上发送等相位调制的正弦波激励信 号技起物理层质询信息L由于信道具有相位延迟,eNB接收到 的信号包含有每个子信道的相位信息θι,θΝΒ测量出 子载波fi和fi间的相位差A 0ii;eNB根据接收到的激励信号和子载波间的相位差Δ θι?,反馈 给UE-个封装有密钥ML=[ki,. . .,kM]的响应信号巧=Δ线-δ4中同样具有每个子信道对应的相位延迟,肥根据比对AKL的结果对eNB进行鉴 权。4. 根据权利要求2所述的一种3GPP认证与密钥协商协议的实现方法,其特征在于:所述 步骤6包括:eNB向肥在不同的子载波频率...,fM上发送等相位调制的正弦波激励信 号发起物理层质询信息R;由于信道具有相位延迟,UE接收 到的信号国含有每个子信道的相位信息θι,υΕ测量出 子载波fi和fi间的相位差Αθι?;υΕ根据接收到的激励信号和子载波间的相位差Δθι?,反馈 给eNB-个封装有密钥AKR=比1,. . .,kM]的响应信号《 = Δ0。-Δ4中同样具有每个子信道对应的相位延迟,eNB根据比对AKR的结果对肥进行鉴 权。5.根据权利要求2所述的一种3GPP认证与密钥协商协议的实现方法,其特征在于:所述 步骤7包括:eNB-MME向肥发送用户身份请求信号,肥回复IMSI给eNB-MME,MME将鉴权数据请 求信息传送给HSS/AuC,HSS/AuC生成认证矢量AV传送给eNB-MME,AV新引入了 一对随机变量 (RANDL,RANDR),和相应通过哈希函数生成的一对鉴权密钥(A化,AKR),AKL和AKR是完成物 理层鉴权的关键密钥,eNB传送用户物理层鉴权请求信息给UE,该信息参数为RANDL和 RANDR,肥接收到RANDL和RANDR,通过哈希函数计算出相应的物理层鉴权密钥AKL和AKR; UE向eNB在不同的子载波频率...,fM上发送等相位调制的正弦波激励信号C起物理层质询信息L由于信道具有相位延迟,eNB接收到 的信号包含有每个子信道的相位信息θι,θΝΒ测量出子 载波fi和fi间的相位差A 0ii;eNB根据接收到的激励信号和子载波间的相位差Δ θι?,反馈给 UE-个封装有密钥AKL=[ki,. . .,kM]的响应信号终=Δ&-δ4中同样具有每个子信道对应的相位延迟,肥根据比对AKL的结果对eNB进行鉴 权; eNB向UE在不同的子载波频率...,fM上发送等相位调制的正弦波激励信号L起物理层质询信息R;由于信道具有相位延迟,UE接收到 的信号国含有每个子信道的相位信息Θι,υΕ测量出子 载波fi和fi间的相位差A θι?;肥根据接收到的激励信号和子载波间的相位差Δ θι?,反馈给 eNB-个封装有密钥AKR=[ki,. . .,kM]的响应信号二Δ0,ι -么4中同样具有每个子信道对应的相位延迟,eNB根据比对AKR的结果对肥进行鉴 权,到此完成物理层双向鉴权,如果物理层鉴权成功再进行传统的鉴权过程。
【文档编号】H04L29/06GK105978692SQ201610238235
【公开日】2016年9月28日
【申请日】2016年4月18日
【发明人】吴晓富, 周雪倩, 余训健, 褚楚
【申请人】南京邮电大学