面向接入云架构的物理层安全保密装置及其方法与流程

本发明属于无线通信技术领域，特别涉及一种面向接入云架构的物理层安全保密装置及其方法，使物理层安全技术嵌入接入云架构中，进一步增强通信安全可靠性。

背景技术：

下一代移动通信系统致力于应对2020后多样化、差异化业务的巨大挑战，满足超高速率、超低时延、高速移动、高能效和超高流量与链接密度等多维能力指标，实现人与人之间极致的通信体验和人与物之间的信息交互。因此，移动通信中的安全问题受到人们的广泛关注。从根本上讲，无线通信的安全威胁来自于电磁波传播的开放性，而传统安全手段通过上层协议及密码学手段确保通信安全，对物理层的防护存在安全短板，因此高性能计算机的迅速发展给传统安全带来巨大压力。另外5g新场景、新业务的出现也对传统信息安全技术提出了巨大挑战，海量的通信终端和节点，既要满足低时延、高安全可靠通信要求，又要面对自身体积小、资源受限的尴尬，直接采用传统的加密方式往往需要复杂的计算过程，消耗大量的计算资源。物理层安全技术利用无线信道特征，构建基于用户位置的通信安全体制，弥补无线安全的物理层短板，是对传统安全体系的有利补充。同时，物理层安全技术利用信道的天然随机性，有效降低密码算法的压力，使轻量级、高安全的加密成为可能。在众多的下一代移动通信系统候选技术中，无线云接入网c-ran架构能够对整个网络的性能产生很好的增益，并且能够减少运营成本，极可能在未来5g网络中广泛应用。因此，将物理层安全技术结合进接入云架构中是5g物理层安全的可靠实现方案。

技术实现要素：

针对现有技术中的不足，本发明提供一种面向接入云架构的物理层安全保密装置及其方法，在现有c-ran架构基带处理池bbu中增加物理层安全模块，实现物理层密钥生成与安全传输，使物理层安全技术嵌入接入云架构之中，易于结合与实现，提高无线通信网络的安全性。

按照本发明所提供的设计方案，一种面向接入云架构的物理层安全保密装置，包含串接在c-ran无线接入网架构的基带处理池bbu与收发数据之间的物理层安全模块，所述的物理层安全模块接入c-ran无线接入网架构中的接收信号缓冲区和发送信号缓冲区，并生成物理层密钥，进行收发信号的安全传输。

上述的，所述的物理层安全模块包含：信道估计模块、密钥生成模块、密钥存储模块、密文生成模块和解密模块，其中，

信道估计模块，用于从接收信号缓冲区获取终端发送的导频信号，估计当前信道的信道特征；

密钥生成模块，用于根据当前信道的信道特征及待发送信号生成私密序列，并通过密钥协商器对私密序列进行修正，生成密钥；

密钥存储模块，用于存储生成的密钥；

密文生成模块，用于发送数据时将待加密数据利用密钥生成密文；

解密模块，用于接收数据时将待解密数据利用密钥解密为明文。

上述的，所述的密钥生成模块包含：密钥序列生成单元、密钥协商单元和保密增强单元，其中，

密钥序列生成单元，用于根据当前信道的信道特征及待发送信号生成私密序列；

密钥协商单元，用于通过基站密钥协商器和终端密钥协商器纠正双方私密序列不一致位完成私密序列修正；

保密增强单元，用于对修正后的私密序列通过保密增强算法生成密钥。

上述的，所述的密钥序列生成单元，包含：终端信号估计器和多门限量化器，其中，

终端信号估计器，用于对信号进行基带处理，并根据当前信道估计结果及待发送数据估计接收端输出；

多门限量化器，用于根据终端信号估计器获取的输出估计结果进行量化，生成私密序列。

上述的，还包含安全传输参数生成模块，用于根据估计的当前信道特征生成安全传输参数，并传输至发送信号缓冲区辅助密钥生成。

一种面向接入云架构的物理层安全保密方法，在c-ran无线接入网架构的基带处理池bbu与收发数据之间串接上述的面向接入云架构的物理层安全保密装置，该方法实现过程如下：

从接收信号缓冲区得到导频信号并估计当前信道的信道特征；

利用当前信道的信道特征及待发送信号生成私密序列，并通过密钥协商器对私密序列进行修正，生成密钥，其中，生成的密钥存储于密钥存储模块中；

发送数据时将待加密数据通过密钥生成密文；接收数据时将待解密数据通过密钥解密为明文。

上述的方法中，采用mmse最小均方误差信道估计算法估计当前信道的信道特征。

上述的方法中，利用当前信道的信道特征及待发送信号生成私密序列，包含：终端信号估计器对信号进行基带处理，并根据当前信道估计结果及待发送数据估计接收端输出；多门限量化器根据终端信号估计器获取的输出估计结果进行量化，生成私密序列。

上述的方法中，通过密钥协商器对私密序列进行修正，包含：通过基站密钥协商器和终端密钥协商器纠正双方私密序列不一致位完成私密序列修正，并对修正后的私密序列通过保密增强算法生成密钥。

上述的方法中，通过保密增强算法生成密钥，是指：针对私密序列通过采用但不限于hash加密算法进行保密增强生成密钥。

本发明的有益效果：

本发明中接收信号缓冲区接收到的导频信号送入信道估计模块完成信道估计，密钥发生器采用估计所得信道参数与密文生成私密序列，经密钥协商后得到与终端一致的序列，送入保密增强模块进行处理，得到用于信号加解密的密钥，其中，安全传输参数生成模块作为可选模块，利用信道估计所得参数生成安全传输辅助信号，用于提高生成密钥的安全性；与现有通信系统耦合程度较低，无需对现有通信架构进行较大更改，仅增加独立的物理层安全模块即能提升整个系统的安全性；将物理层密钥生成技术与物理层安全传输技术进行有机结合，相比于现有物理层安全方案更加灵活可靠，对无线通信网络的安全具有重要的指导意义。

附图说明：

图1为实施例中面向接入云架构的物理层安全保密装置示意图；

图2为实施例中物理层安全模块示意图；

图3为实施例中密钥生成模块示意图；

图4为实施例中密钥序列生成单元示意图；

图5为实施例中物理层安全模块在c-ran基站侧的原理图；

图6为实施例中面向接入云架构的物理层安全保密方法；

图7为实施例中利用终端接收信号提取密钥的一种实施方案。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。

无线通信的安全威胁来自于电磁波传播的开放性，而在下一代移动通信系统中传统安全手段通过上层协议及密码学手段确保通信安全，对物理层的防护存在安全短板，因此高性能计算机的迅速发展给传统安全带来巨大压力。radioaccessnetwork无线接入网ran是由业务节点接口和相关用户网络接口之间的系列传送实体所组成，为传送电信业务提供所需传送承载能力的无线实施系统，通过无线接入网可以向用户提供7x24小时不间断、高质量的数据服务。传统的无线接入网具有以下特点：第一，每个基站连接若干固定数量的扇区天线，并覆盖小片区域，每个基站只能处理本小区收发信号；第二，系统的容量是干扰受限，各个基站独立工作已经很难增加频谱效率；第三，基站通常都是基于专有平台开发的“垂直解决方案”。而c-ran是基于集中化处理(centralizedprocessing)，协作式无线电(collaborativeradio)和实时云计算构架(real-timecloudinfrastructure)的绿色无线接入网构架(cleansystem)。c-ran的基本思想是将所有、或部分的基带处理资源进行集中，形成一个基带资源池并对其进行统一管理与动态分配，从而减少基站机房数量，减少能耗，采用协作化、虚拟化技术，实现资源共享和动态调度，提高频谱效率，以达到低成本，高带宽和灵活度的运营。针对下一代移动通信系统，无线云接入网c-ran架构能够对整个网络的性能产生很好的增益，并且能够减少运营成本，极可能在未来5g网络中广泛应用。为此，本发明实施例一，参见图1所示，提供一种面向接入云架构的物理层安全保密装置，包含串接在c-ran无线接入网架构的基带处理池bbu与收发数据之间的物理层安全模块，所述的物理层安全模块接入c-ran无线接入网架构中的接收信号缓冲区和发送信号缓冲区，并生成物理层密钥，进行收发信号的安全传输。

保密通信是通信对象之间为防止机密信息被截取，按约定方法改变信息的表现形式，以隐蔽其真实内容的通信方式。一般分为加密、接收、解密三个过程，发送方将需要发送的内容通过加密规则即密钥转化为密文；接收到密文后，接收者采用与加密密钥匹配的解密密钥对密文进行解密，得到传输内容。物理层安全是通信安全的第一道天然屏障，能够为保密通信系统提供不可替代的保障。为此，基于实施例一，本发明的另一个实施例中，参见图2所示，物理层安全模块包含：信道估计模块001、密钥生成模块002、密钥存储模块003、密文生成模块004和解密模块005，其中，

信道估计模块001，用于从接收信号缓冲区获取终端发送的导频信号，估计当前信道的信道特征；

密钥生成模块002，用于根据当前信道的信道特征生成私密序列，并通过密钥协商器对私密序列进行修正，生成密钥；

密钥存储模块003，用于存储生成的密钥；

密文生成模块004，用于发送数据时将待加密数据利用密钥生成密文；

解密模块005，用于接收数据时将待解密数据利用密钥解密为明文。

无线信道天然的开放性，使得信息的安全传输尤其重要。无线信道固有的互易性、唯一性、时变性，使其可以作为通信双方共享的随机信源提取密钥。密钥增强是密钥提取的重要步骤。基于上述实施例，针对当前信道的信道特征估计结果，参见图3所示，本发明的另一个实施例中，密钥生成模块002包含：密钥序列生成单元201、密钥协商单元202和保密增强单元203，其中，

密钥序列生成单元201，用于根据当前信道的信道特征生成私密序列；

密钥协商单元202，用于通过基站密钥协商器和终端密钥协商器纠正双方私密序列不一致位完成私密序列修正；

保密增强单元203，用于对修正后的私密序列通过保密增强算法生成密钥。保密增强算法可以采用hash加密算法或其他例如基于提取器的加密算法，来进行密钥增强。

无线信道固有的时变性，信道参数是时变的，基于信道特征参数提取出来的密钥序列存在随机性，为此，本发明的另一个实施例，参见图4所示，密钥序列生成单元201，包含：终端信号估计器2101和多门限量化器2102，其中，

终端信号估计器2101，用于对信号进行基带处理，并根据当前信道估计结果及待发送数据估计接收端输出；

多门限量化器2102，用于根据终端信号估计器获取的输出估计结果进行量化，生成私密序列。

根据实际需要，参见图5所示，本发明的物理安全保密装置还包含安全传输参数生成模块，用于根据估计的当前信道特征生成安全传输参数，并传输至发送信号缓冲区辅助密钥生成。在收发数据与bbu之间串接plsu，同时plsu接入接收信号缓冲区与发送信号缓冲区。模块a：信道估计模块利用从接收信号缓冲区中获取终端发送的导频信号，估计当前信道，并将信道估计结果送入模块b与模块g。模块b：密钥发生器利用模块a估计出的信道特征及模块f生成的加密后数据生成私密序列，将结果送入模块c。模块c：密钥协商器根据密钥发生器生成的私密序列生成协商序列，与终端的密钥协商器通信，完成密钥协商，将结果送入模块d。模块d：保密增强模块利用保密增强算法处理模块c产生的密钥协商结果，生成密钥，送入模块e。模块e：密钥池存储生成的密钥，用于发送和接收数据的加密和解密。模块f：发送数据时，待加密数据及密钥送入模块f，生成密文。将密文送入bbu中完成后续处理，同时送入模块b中完成下一次密钥生成。模块g：根据模块a的信道估计结果生成安全传输辅助信号送入发送信号缓冲区。模块h：接收数据时，待解密数据及密钥送入模块h解密生成明文。模块b中，根据模块f生成的加密后数据以及bbu的基带处理方式预测发送信号；结合预测的发送信号与模块a的信道估计结果生成私密序列；若bbu采用公开的基带处理算法，模块b可直接自行实现，若bbu未采用公开算法，则需要bbu将相关参数传递至模块b，从而预测发送信号。

基于上述装置的实施例，本发明还提供一种面向接入云架构的物理层安全保密方法，在c-ran无线接入网架构的基带处理池bbu与收发数据之间串接上述的面向接入云架构的物理层安全保密装置，参见图6所示，该方法实现过程如下：

a01从接收信号缓冲区得到导频信号并估计当前信道的信道特征；

a02利用当前信道的信道特征生成私密序列，并通过密钥协商器对私密序列进行修正，生成密钥，其中，生成的密钥存储于密钥存储模块中；

a03发送数据时将待加密数据通过密钥生成密文；接收数据时将待解密数据通过密钥解密为明文。

上述的方法中，采用mmse最小均方误差信道估计算法估计当前信道的信道特征，通过对误差的平方和取均值再进行开方来降低噪声对信道特征估计的影响。根据通信系统需求也可采用其他信道估计算法来实现。

上述的方法中，利用当前信道的信道特征生成私密序列，包含：终端信号估计器对信号进行基带处理，并根据当前信道估计结果及待发送数据估计接收端输出；多门限量化器根据终端信号估计器获取的输出估计结果进行量化，生成私密序列。

上述的方法中，通过密钥协商器对私密序列进行修正，包含：通过基站密钥协商器和终端密钥协商器纠正双方私密序列不一致位完成私密序列修正，并对修正后的私密序列通过保密增强算法生成密钥。

上述的方法中，通过保密增强算法生成密钥，是指：针对私密序列通过采用hash加密算法进行散列化处理，进行保密增强生成密钥，根据系统需要，也可采用其他保密增强算法，例如基于提取器的保密增强来完成密钥增强。

参见图7所示，本发明中，利用终端接收信号提取密钥的一种实施方案，具体内容如下：

步骤s101，信道估计模块根据从接收信号缓冲区得到的导频信号估计当前的信道状态，信道估计算法可采用mmse算法，也可采用其它信道估计算法。信道估计结果送入密钥发生器及安全传输参数生成器。

步骤s102，密钥发生器包含终端信号估计器与多门限量化器，其中：

步骤s102a，终端信号估计器完成与bbu相同的基带处理功能，并根据信道估计结果及待发送的加密数据估计接收端的ad输出，将估计结果送入多门限量化器；

步骤s102b，采用多门限量化器对终端信号估计结果进行量化，生成私密序列，送入密钥协商器进行进一步处理。

步骤s103，基站密钥协商器与终端密钥协商器交换协商信息，纠正双方生成密钥中的不一致位。以基于前向纠错编码的密钥协商器为例，以基站私密序列为基准进行不一致位纠正时，由基站密钥协商器计算当前私密序列的校验位，并将校验位发送给终端，终端密钥协商器利用校验位纠正自身私密序列与基站私密序列间的不一致位。以终端私密序列为基准时，步骤同上，由终端计算校验位，基站纠正不一致位。该密钥协商步骤也可采用其它密钥协商算法，如winnow算法或cascade算法。

步骤s104，纠正不一致位后的私密序列送入保密增强模块进行处理，生成密钥，该步骤可以采用hash保密增强算法，也可采用其它保密增强算法，如基于提取器的保密增强。

步骤s105，将已生成密钥存入密钥池中，需要时取用。

步骤s106，采用密钥池中的密钥加密待发送数据，可以采用常用的密码学加密算法，如aes-256等，也可以将密钥池中的密钥与数据进行简单的模2加。生成密文送入bbu，同时送入密钥发生器进行下一次密钥生成。

步骤s107，安全传输模块用于辅助密钥生成过程，根据信道估计结果生成安全传输参数，保证发送数据安全。该模块可以用于生成人工噪声参数，也可以直接生成天线加权参数。

相对于传统的密钥生成方案，本发明至少具有以下优点：(1)该实现方案与现有通信架构耦合程度较低，便于结合；(2)该实现方案同时包含物理层安全传输与密钥生成，可根据实际需要选择其中一种技术或两种技术结合使用，更加灵活。

以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施方式仅限于此，对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单的推演或替换，都应当视为属于本发明由所提交的权利要求书确定专利保护范围。对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。