面向加密认证一体化的随机序列生成方法及系统

1.本发明属于无线安全通信技术领域，特别涉及一种面向加密认证一体化的随机序列生成方法及系统。


背景技术：

2.近年来，随着电子技术、计算机技术的发展，无线通信技术因其便携的接入方式和广阔的覆盖范围得到了蓬勃发展，为我们生活方方面面提供高速、便携、丰富服务的同时，也面临着严峻的安全威胁。随着不断曝光的安全事件案例，无线通信的安全问题逐渐得到了行业内的重视，并对其安全机制不断更新完善，但电磁波传播的开放性决定无线通信在提供服务的同时，也导致在信号覆盖范围内任何人都可以在物理层实现窃听或者攻击。而现有安全机制均在协议高层设计，对因物理层无线传输媒介的开放性带来的安全问题无法做到精准施策，无法弥补电磁传播开放性导致的安全短板，“水桶效应”依然存在。随着设备连接密度更大、网络覆盖更广、场景与服务更丰富的发展趋势，无线通信面临的无线环境更加复杂，安全形势更加严峻，无线接入侧的安全短板带来的“水桶效应”更加明显，因此，亟需从安全问题的本性属性着手探寻新质安全元素弥补安全短板。
3.近几年兴起的物理层安全技术是一种利用无线信道的物理特征，实现安全接入和保密通信的技术。无线信道的物理特征来源于电磁波传统过程中直射、反射、衍射、散射、折射等各种效应组合，是自然界中一种天然的随机源，其产生机理决定了无线信道的物理特征具有各点相异性、随机时变性和第三方测不准特性，称之为信道指纹。同一发射机在不同空间位置所表现出的信道指纹不同，且第三方难以测量，因此，信道指纹可以作为新质安全元素，在信号层面为无线通信提供抵御非法接入、伪造、篡改、欺骗和窃听等无线攻击的能力。


技术实现要素：

4.针对无线通信电磁波开放性带来的安全短板等问题，本发明提供一种面向加密认证一体化的随机序列生成方法及系统，将物理密钥与可信认证根进行融合形成环环相扣的铰链结构，安全性更强，提升无线通信抗攻击性能。
5.按照本发明所提供的设计方案，提供一种面向加密认证一体化的随机序列生成方法，用于无线安全通信，包含如下内容：
6.在通信收发双方初始认证的过程中将可信认证根与无线信号波形提取的信道密钥进行绑定迁移；
7.将从收发双方通信的无线信号波形中提取的信道密钥与前一时刻产生的随机序列相互运算生成当前时刻用于加密认证的随机序列。
8.作为本发明面向加密认证一体化的随机序列生成方法，进一步的，初始认证过程中，通信双方事先分发私密序列作为可信认证根，按照双方既定协议建立通信链路，估计无线信道特征并提取信道密钥；利用私密序列进行通信双方初始认证，认证通过，则将信道密
钥作为绑定迁移的初始随机序列，否则，中断双方通信流程。
9.作为本发明面向加密认证一体化的随机序列生成方法，进一步地，利用认证密钥和加密算法生成应答消息，利用应答消息或应答消息与提取的信道密钥相互运算的数据内容进行通信双方的初始认证。
10.作为本发明面向加密认证一体化的随机序列生成方法，进一步地，应答消息与信道密钥相互运算的过程包括但不局限于：异或运算过程。
11.作为本发明面向加密认证一体化的随机序列生成方法，进一步地，可信认证根为通信双方唯一可信且第三方无法获取和仿冒的数据内容，包括但不局限：sim卡中根密钥及设备的射频指纹量化的序列。
12.作为本发明面向加密认证一体化的随机序列生成方法，进一步地，利用提取的信道密钥与前一时刻产生的随机序列相互运算，生成当前时刻的随机序列；其中，相互运算方式包含但不限于：异或、及进位加。
13.作为本发明面向加密认证一体化的随机序列生成方法，进一步地，还包含：通信双方中断时，利用当前时刻产生的随机序列或事先分发的原始私密序列作为可信认证根，按照既定协议依次重新建立通信链路及再次进行初始认证。
14.作为本发明面向加密认证一体化的随机序列生成方法，进一步地，加密认证中，发送方提取明文信息的摘要信息，将摘要信息置于明文信息尾部，并结合随机序列进行加密生成密文；接收方利用随机序列对接收到的密文进行解密，获取明文信息及摘要信息。
15.作为本发明面向加密认证一体化的随机序列生成方法，进一步地，利用hash算法或通信中校验算法来提取摘要信息。
16.进一步地，本发明还提供一种面向加密认证一体化的随机序列生成系统，用于无线安全通信，包含：初始绑定模块和动态更新模块，其中，
17.初始绑定模块，用于在通信收发双方初始认证的过程中将可信认证根与无线信号波形提取的的信道密钥进行绑定迁移；
18.动态更新模块，用于将收发双方通信无线信号波形提取的信道密钥与前一时刻产生的随机序列相互运算生成当前时刻用于加密认证的随机序列。
19.本发明的有益效果：
20.本发明将基于信道指纹的物理密钥与可信认证根进行融合，形成环环相扣的铰链结构，攻击方如果想要破解链条上任意一次密钥必须已知该次以前的全部历史信息，在原来单一密钥强度的基础上实现安全加固；在通信收发双方初始认证的过程中将可信认证根与无线信道进行绑定迁移，且动态更新随机序列的信道密钥从收发双方通信过程中的无线信号波形提取生成，整个生成过程和通信过程是一体化的，即保证了可信认证根的传递，又利用信道密钥独立地动态更新随机序列，生成的随机序列能够同时用于认证和加密，提升无线通信安全性能，具有较好的应用前景。
附图说明：
21.图1为实施例中随机序列生成流程示意；
22.图2为实施例中点对点通信认证过程的应用示意之一；
23.图3为实施例中点对点通信认证过程的应用示意之二；
24.图4为实施例中点对点保密通信的应用示意。
具体实施方式：
25.为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。
26.本发明实施例，参见图1所示，提供一种面向加密认证一体化的随机序列生成方法，用于无线安全通信，包含如下内容：
27.在通信收发双方初始认证的过程中将可信认证根与无线信号波形提取的信道密钥进行绑定迁移；
28.将收发双方通信无线信号波形中提取的信道密钥与前一时刻产生的随机序列相互运算来生成当前时刻用于加密认证的随机序列。
29.既保证了可信认证根的传递，又利用了无线信道密钥独立动态更新的特点，所生成的随机序列能够同时用于认证和加密，在保证通信效率的同时，提升安全性。
30.作为本发明实施例中面向加密认证一体化的随机序列生成方法，进一步地，还包含：通信双方中断时，利用当前时刻产生的随机序列或事先分发的原始私密序列作为可信认证根，按照既定协议依次重新建立通信链路及再次进行初始认证。
31.参见图2所示，面向加密认证一体化的随机序列生成方法在点对点通信认证过程的应用，该方法内容可包括下列步骤：
32.s101：通信双方事先分发私密序列s，按照既定协议建立通信链路，估计无线信道特征并提取信道密钥
33.具体地，步骤s101具体包括：
34.s1011：通信双方建立通信链路，在此过程中估计无线信道特征，从中提取信道密钥并存储；
35.s1012：利用事先分发的私密序列s生成认证密钥a
k
。
36.s102：完成初始认证，通过认证则将作为初始随机序列k0，否则抛弃并中断通信流程拒绝用户接入；
37.具体地，步骤s102具体包括：
38.s1021：利用认证密钥a
k
和加密算法计算生成应答消息res并进行初始认证；
39.s1022：通过认证则将作为初始随机序列k0，否则抛弃并中断通信流程拒绝用户接入。
40.s103：通信双方在时刻t
n
通信过程中提取的信道密钥与前一时刻t
n
‑1产生的随机序列k
n
‑1相互运算生成时刻t
n
的随机序列k
n
；
41.具体地，步骤s103中，随机序列k
n
的生成具体步骤包括：
42.s1031：通信双方在时刻t
n
通信过程中提取的信道密钥
43.s1032：通信双方利用步骤s2031生成的信道密钥与前一时刻t
n
‑1产生的随机序列k
n
‑1进行异或运算生成时刻t
n
的随机序列k
n
，即
44.s104：发送方提取明文信息m的摘要信息m，将摘要信息置于明文信息尾部，将该整体与随机序列k
n
进行异或运算加密，即并发送。摘要信息可以由hash算法生成，也可以是通信中的crc等其余种类校验信息；
45.s105：接收方重复步骤s1031至步骤s1032，产生随机序列k
n
，与接收数据c
e
进行异或运算解密，即采用与发送方相同的摘要提取方法生成摘要信息，与m对比完成认证；
46.具体地，步骤s105中，接收方进行数据解密和摘要信息比对的具体步骤包括：
47.s1051：接收方利用随机序列k
n
对接收的密文c异或运算进行解密，得到明文信息m和摘要信息m；
48.s1052：接收方利用解密获取的明文信息m提取摘要信息，提取算法与发送方相同。对比摘要信息与m，若一致则判定用户合法且数据未被篡改，否则判定用户不合法或数据被篡改；
49.s106：重复步骤s103，依次独立地动态更新随机序列，并按照步骤s104和s105进行数据加解密运算和摘要信息校验比对，完成认证。
50.在上述实施例的基础上，如图3所示，本发明实施例提供面向加密认证一体化的随机序列生成方法在点对点通信认证过程的应用，与上述实施例的区别主要在于步骤s102，具体步骤包括：
51.s2021：利用认证密钥a
k
和加密算法计算生成应答消息res，将无线信道密钥与res进行异或运算，即并进行初始认证；
52.s2022：通过认证则将作为初始随机序列k0，否则抛弃并中断通信流程拒绝用户接入。
53.进一步地，图4为面向加密认证一体化的随机序列生成方法在点对点保密通信的应用，该方法内容可设计为包括以下步骤：
54.s301：通信双方事先分发私密序列s，按照既定协议建立通信链路，估计无线信道特征并提取信道密钥
55.具体地，步骤s301具体包括：
56.s3011：通信双方建立通信链路，在此过程中估计无线信道特征，从中提取信道密钥并存储；
57.s3012：利用事先分发的私密序列s生成认证密钥a
k
。
58.s302：完成初始认证，通过认证则将作为初始随机序列k0，用于数据加密。否则抛弃并中断通信流程拒绝用户接入；
59.s303：接收方重复步骤s302生成随机序列k0，用于数据解密；
60.s304：通信双方利用时刻t
n
通信过程中提取的信道密钥与前一时刻t
n
‑1产生的随机序列k
n
‑1相互运算生成时刻t
n
的随机序列k
n
，并按照步骤s302和步骤s303进行数据加解
密；
61.具体地，步骤s304中，随机序列k
n
生成并进行数据加解密的具体步骤包括：
62.s3031：通信双方在时刻t
n
通信过程中提取的信道密钥
63.s3032：通信双方利用步骤s3031生成的信道密钥与前一时刻t
n
‑1产生的随机序列k
n
‑1进行异或运算生成时刻t
n
的随机序列k
n
，即
64.s3033：通信双方利用步骤s3032产生的随机序列k
n
用于数据加解密。
65.s304：重复步骤s303，依次独立地动态更新随机序列，并进行数据加解密。
66.在通信收发双方初始认证的过程中将可信认证根与无线信道进行绑定迁移，且动态更新密钥环的信道密钥从收发双方通信过程中的无线信号波形提取生成，整个生成过程和通信过程是一体化的，不但保证可信认证根的传递，又使用信道密钥独立地动态更新密钥，因此，生成的密钥能够同时用于认证和加密；且攻击方如果想要破解链条上任意一次密钥必须已知该次以前的全部历史信息，在原来单一密钥强度的基础上实现安全加固。
67.进一步地，基于上述的方法，本发明实施例还提供一种面向加密认证一体化的随机序列生成系统，用于无线安全通信，包含：初始绑定模块和动态更新模块，其中，
68.初始绑定模块，用于在通信收发双方初始认证的过程中将可信认证根与无线信号波形提取的信道密钥进行绑定迁移；
69.动态更新模块，用于将收发双方通信无线信号波形中提取的信道密钥与前一时刻产生的随机序列相互运算生成当前时刻用于加密认证的随机序列。
70.除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。
71.基于上述的方法或系统，本发明实施例还提供一种网络设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现上述的系统或执行上述的方法。
72.基于上述的系统，本发明实施例还提供一种计算机可读介质，其上存储有计算机程序，其中，该程序被处理器执行时实现上述的系统。
73.本发明实施例所提供的装置，其实现原理及产生的技术效果和前述系统实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述系统实施例中相应内容。
74.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和装置的具体工作过程，可以参考前述系统实施例中的对应过程，在此不再赘述。
75.在这里示出和描述的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制，因此，示例性实施例的其他示例可以具有不同的值。
76.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
77.附图中的流程图和框图显示了根据本发明的多个实施例的系统、系统和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基
本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
78.所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述系统的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read
‑
only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
79.最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。