一種輕量級的5g接入認證方法
【專利摘要】本發明公開了一種輕量級的5G接入認證方法:基站根據是否存有前一時刻用戶鏈路的無線信道響應信息,明確終端用戶是否為初次接入網絡:如果終端用戶是初次接入過程,則進行上層認證;如果終端用戶不是初次接入認證,則從物理層導頻中提取信道響應信息,進行比較,確定是否合法;當用戶接入身份認證成功,允許用戶接入;用戶接入身份認證失敗,用戶將無法接入網絡進行后續的數據傳輸與通信,認證過程結束。本發明在解決未來5G網絡中兼顧高容量、高速率以及低成本的同時,海量的5G用戶隨時隨地接入網絡對網絡安全接入身份認證機制帶來的巨大挑戰,通過以密鑰為核心的上層認證與快捷、低復雜度的物理層認證機制共存,適應不同需求的選擇。
【專利說明】
_種輕量級的5G接入認證方法
技術領域
[0001]本發明屬于無線通信安全技術領域,涉及一種認證方法,尤其是一種輕量級的5G接入認證方法。
【背景技術】
[0002]移動通信技術飛速發展,幾乎每過10年就達到一個全新的技術時代。移動互聯網從上個世紀80年代至今,已經歷經了 1G、2G、3G三個時代,實現了移動通信的爆發式增長,并成為連接人類社會與基礎信息的網絡。目前全球已經進入移動互聯網時代,移動網民數量大規模增長,移動應用業務呈現“井噴式”的涌現,移動互聯網規模增勢迅猛,涉及人類生活的方方面面。移動互聯網自產生至今,在世界范圍內仍保持高速增長的態勢,不論是移動終端用戶規模還是各種日新月異的移動終端應用,增長勢頭都異常迅猛,尤其是移動端應用,正在向著多元化、規模化、智能化飛速發展。截止到2013年,全球手機上網用戶已經超過20億人,這說明移動互聯網的普及率在全球范圍內已經達到30 %以上。
[0003]隨著4G網絡的規模化商用,面向2020年及未來的第五代移動通信技術(5G)已經成為全球研發的熱點。5G以更快的速度、更大的容量、更低的成本給用戶提供更好的用戶體驗,同時也帶來了更多的安全挑戰,面臨的安全威脅更加廣泛。海量用戶訪問接入以及多層次異構融合網絡給5G網絡的接入帶來了更高的安全要求。
[0004]無線網絡自身固有的開放特性與廣播特性,決定了它要比傳統的計算機網絡更容易遭受竊聽、截取、干擾等各種攻擊手段的威脅,而無線網絡中的設備也更加容易被篡改。無線網絡這些固有的問題極大地破壞了通信的完整性、機密性、可靠性與可用性。
[0005]因此,需要通過附加的認證策略保證無線通信過程中的安全性與可靠性。傳統的上層身份認證方法是基于密鑰的加解密方案實現的,涉及到密集復雜計算,依賴于物理層以上的各層輔助,而且具體的加密與安全效果取決于密鑰長度與加密的復雜程度,是資源消耗性的,對系統的性能有著比較高的要求。而在5G中要求對海量物聯網設備的支撐,使得其不論從系統性能或者能耗上,均無法保證采用傳統的上層接入身份認證方式進行5G中用戶或者設備的接入身份認證。
[0006]近年來,利用無線媒介和物理層一些獨特性質的物理層認證(Physical LayerAuthenticat1n,PLA)機制被提出,這些性質包括無線衰落信道的唯一"性、隨機性和位置互異性等。利用物理層信道響應的時空唯一性,通過比較相干時間內的無線信道響應的相關性來實現連續的消息認證。由于上述操作僅僅涉及到簡單的硬件操作,因此物理層認證具有計算復雜度低、能耗低、時延小等優點,但是物理層認證機制無法進行初始認證。
[0007]物理層認證技術雖然在一定程度上避免了上層認證中沉重的復雜計算,通過對物理層提取唯一信道響應信息進行信息包的認證,但是只能對當前信息包與上次信息包是否為同一發送者進行鑒別,第一次的接入認證中仍然需要上層認證來提供接入者的身份信息。傳統的上層接入認證方式雖然能夠極大地保證用戶接入的安全性,但是對用戶以及網絡具有較高的性能需求。隨著5G時代的到來,海量的用戶接入網絡,因此,未來移動網絡需要一種快速、“輕重量”的身份認證安全機制。
【發明內容】
[0008]本發明的目的在于克服上述現有技術的缺點,提供一種輕量級的5G接入認證方法,其在解決未來5G網絡中兼顧高容量、高速率以及低成本的同時,海量的5G用戶隨時隨地接入網絡對網絡安全接入身份認證機制帶來的巨大挑戰,通過以密鑰為核心的上層認證與快捷、低復雜度的物理層認證機制共存,適應不同需求的選擇。
[0009]本發明的目的是通過以下技術方案來實現的:
[0010]這種輕量級的5G接入認證方法包括:
[0011](I)終端用戶與網絡進行通信時,基站根據是否存有前一時刻用戶鏈路的無線信道響應信息,明確終端用戶是否為初次接入網絡,并告知終端用戶:
[0012]I)如果終端用戶是初次接入過程,基站會對接入的終端用戶進行上層認證,驗證所接收到的數字證書、密鑰等信息是否正確合法,如果正確,則用戶身份認證成功;否則,用戶身份認證失敗;
[0013]2)如果終端用戶不是初次接入認證,基站會對接入的終端用戶進行物理層認證:從物理層導頻中提取信道響應信息,基站存有上一時刻從物理層中獲取的信道響應信息,本次提取信道響應信息與上一時刻的信道響應信息進行比較;若當前傳輸信息的信道響應與已經認證的上一時刻合法路徑的信道響應檢驗統計量差值小于門限值,則認為兩個時刻發送的數據包來自于同一發送源,當前消息來自于合法發送者;否則認為兩個時刻發送的數據包來自不同的信息源,即當前信息來自于非法攻擊者;
[0014](2)用戶接入身份認證成功,允許用戶接入;用戶接入身份認證失敗,用戶將無法接入網絡進行后續的數據傳輸與通信,認證過程結束。
[0015]進一步,以上I)中,基站對接入的終端用戶采用的傳統上層認證方式為PKI認證;并且使用LDAP維護用戶證書,使用OCSP進行在線證書狀態查詢。
[0016]或者,當是初次接入時,在I)中,基站對接入的終端用戶采用的傳統上層認證方式為CBC-MAC認證。
[0017]或者,當是初次接入時,在I)中,基站對接入的終端用戶采用的傳統上層認證方式為CHAP認證。
[0018]或者,當是初次接入時,在I)中,基站對接入的終端用戶采用的傳統上層認證方式為PAP認證。
[0019]本發明具有以下有益效果:
[0020]本發明主要是將傳統的上層認證與物理層認證相結合,取長補短,發揮出兩種認證方式各自所特用的優勢,有益效果主要有以下幾個方面:
[0021]1.在一定程度上緩解了由于復雜的密鑰加解密對網絡側與用戶側造成的巨大壓力,降低了對系統性能巨大的依賴性,同時也在一定程度上降低了用戶設備的能耗。
[0022]2.滿足5G網絡中對網絡接入安全的要求,大大降低了接入身份認證的復雜度,加快了用戶接入身份認證流程,在一定程度上提升了用戶接入網絡的安全性與可靠性。
[0023]3.該跨層認證方案基于當前現有的兩種方案整合而成,簡單而且容易實現,對現有網絡側以及用戶側的改動較小,具有廣泛的應用價值。
[0024]4.本發明是基于現有認證機制的跨層認證機制,因此能夠實現對現有認證方案的兼容與支持。
【附圖說明】
[0025]圖1未來5G場景圖;
[0026]圖2本發明跨層認證的工作流程示意圖。
【具體實施方式】
[0027]本發明的輕量級的5G接入認證方法包括:
[0028](I)終端用戶與網絡進行通信時,基站根據是否存有前一時刻用戶鏈路的無線信道響應信息,明確終端用戶是否為初次接入網絡,并告知終端用戶:
[0029]I)如果終端用戶是初次接入過程,基站會對接入的終端用戶進行上層認證:驗證所接收到的數字證書、密鑰信息是否正確合法,如果正確,則用戶身份認證成功;否則,用戶身份認證失敗;
[0030]2)如果終端用戶不是初次接入認證,基站會對接入的終端用戶進行物理層認證:從物理層導頻中提取信道響應信息,基站存有上一時刻從物理層中獲取的信道響應信息,本次提取信道響應信息與上一時刻的信道響應信息進行比較;若當前傳輸信息的信道響應與已經認證的上一時刻合法路徑的信道響應檢驗統計量差值小于門限值,則認為兩個時刻發送的數據包來自于同一發送源,當前消息來自于合法發送者;否則認為兩個時刻發送的數據包來自不同的信息源,即當前信息來自于非法攻擊者;
[0031](2)用戶接入身份認證成功,允許用戶接入;用戶接入身份認證失敗,用戶將無法接入網絡進行后續的數據傳輸與通信,認證過程結束。
[0032]本發明的最佳實施例中:在終端用戶初次接入過程中,基站對接入的終端用戶采用的上層認證方式為PKI(Public Key Infrastructure,公鑰基礎設施)認證;并且使用LDAP (Lightweight Directory Access Protocol)維護用戶證書,使用0CSP(0nl ineCertificate Status Protocol)進行在線證書狀態查詢。
[0033]或者,在本發明的另一實施例中,在終端用戶初次接入過程中,基站對接入的終端用戶采用的上層認證方式為CBC-MAC(區塊密碼鎖鏈一信息真實性檢查碼)、CHAP(Challenge Handshake Authenticat1n Protocol,詢問握手協議)或者PAP(PasswordAuthenticat1n Protocol,密碼認證協議)等。
[0034]以下結合本發明實施例中的附圖,對本發明實施例中的技術方案進行詳細描述。顯然,所描述的實施例只是本申請的一部分實施例,而不是全部的實施例。基于本發明中的實施例,本領域普通技術人員所獲得的所有其他實施例,都屬于本申請保護的范圍。
[0035]圖1是未來5G網絡中的主要應用場景,顯然5G雖然帶來了更高的傳輸速度、更大的容量與更低的成本,但復雜的應用場景、海量的接入用戶也給5G網絡提出了更為嚴苛的要求。主要場景如下:
[0036]101:室外場景,包含了Ad hoc網絡、無定形小區、密集網絡、異構網絡融合和網絡虛擬化以及D2D、M2M、近場無線通信等等新技術。
[0037]102:室內場景,主要是涉及到W1-F1、可見光、PLC等近距離通信技術場景。
[0038]103:服務器遠端,主要是實現相關應用的支持與保障。
[0039]104:終端接入用戶,包含各類接入用戶以及海量的物聯網機器通信設備,進行網絡接入身份認證與數據交互。
[0040]圖2是本發明所提出的上層傳統認證方式與物理層認證方式并存的新型輕量級跨層認證方式,具體的工作流程如下:
[0041]201:用戶接入網絡時,基站會根據其之前的物理信道響應信息判斷終端用戶是否為初次接入該網絡,從而明確采用哪種身份認證接入方式。
[0042]202:該接入為用戶初次接入網絡,選擇使用傳統的上層認證機制完成用戶的接入身份認證。這里我們以常見的PKI認證為例進行說明。
[0043]202-a:用戶向注冊認證機構RA提交個人信息。
[0044]202_b:RA核查個人信息并將該信息提交到證書頒發機構CA。若用戶符合CA機構的安全策略,則CA為用戶頒發在該CA機構下的唯一證書作為其身份標識載體。
[0045]202-c:CA向密鑰服務器申請用戶公私鑰信息。
[0046]202-d:公私鑰信息除了返回給CA封裝到證書之外,仍保留一份在密鑰服務器用作恢復,備份。
[0047]202-e:用戶獲得在該CA機構下的證書。
[0048]202-f: CA機構為其信任的網絡發放證書。
[0049]202-g:用戶接入網絡時,服務端會收到客戶端發來的證書信息,并判斷用戶是否屬于同一頒發者體系。
[0050]202-h:若是,服務端會向CA機構查詢該證書是否有效。
[0051]202-1:若在同一頒發者體系下且證書有效,那么用戶身份認證成功;否則用戶認證失敗。
[0052]203:用戶不是初次接入網絡,因此使用基于導頻信息的物理層認證機制實現用戶的接入身份認證。下面敘述該物理層認證的基本原理。
[0053]203-a:從導頻信息中提取信道響應信息,記時刻I從導頻中獲取的信道響應信息為Hi。隨后,將獲取的信道響應Hi存入臨時存儲單元Ha中,作為進行后續比較的參考信道信息。
[0054]203-b:在之后的時刻t(t = l,2,3...)里,每次將從導頻中獲取的信道信息Ht與之前暫存的參考信道信息Ha進行比較。如果|Ht-HA| < ε,其中ε是信道響應比較信息的檢測門限。那么認為兩個時刻發送的數據包來自同一發送源,即發送源屬于合法用戶,用戶接入身份認證成功;否則,接入身份認證失敗。
[0055]204:經過輕量級的跨層認證方式,判斷用戶接入身份認證是否成功。
[0056]205:如果用戶接入身份認證成功,即發送者屬于合法用戶,那么允許用戶接入。
[0057]206:如果用戶接入身份認證失敗,即發送者屬于非法攻擊用戶,那么用戶將無法接入網絡進行后續的數據傳輸與通信。
[0058]207:用戶的接入身份認證過程結束。
【主權項】
1.一種輕量級的5G接入認證方法,其特征在于, (1)終端用戶與網絡進行通信時,基站根據是否存有前一時刻用戶鏈路的無線信道響應信息,明確終端用戶是否為初次接入網絡,并告知終端用戶: 1)如果終端用戶是初次接入過程,基站會對接入的終端用戶進行上層認證:驗證所接收到的數字證書、密鑰信息是否正確合法,如果正確,則用戶身份認證成功;否則,用戶身份認證失敗; 2)如果終端用戶不是初次接入認證,基站會對接入的終端用戶進行物理層認證:從物理層導頻中提取信道響應信息,基站存有上一時刻從物理層中獲取的信道響應信息,本次提取信道響應信息與上一時刻的信道響應信息進行比較;若當前傳輸信息的信道響應與已經認證的上一時刻合法路徑的信道響應檢驗統計量差值小于門限值,則認為兩個時刻發送的數據包來自于同一發送源,當前消息來自于合法發送者;否則認為兩個時刻發送的數據包來自不同的信息源,即當前信息來自于非法攻擊者; (2)用戶接入身份認證成功,允許用戶接入;用戶接入身份認證失敗,用戶將無法接入網絡進行后續的數據傳輸與通信,認證過程結束。2.根據權利要求1所述的輕量級的5G接入認證方法,其特征在于,當是初次接入時,在I)中,基站對接入的終端用戶采用的傳統上層認證方式為PKI認證;并且使用LDAP維護用戶證書,使用OCSP進行在線證書狀態查詢。3.根據權利要求1所述的輕量級的5G接入認證方法,其特征在于,當是初次接入時,在I)中,基站對接入的終端用戶采用的傳統上層認證方式為CBC-MAC認證。4.根據權利要求1所述的輕量級的5G接入認證方法,其特征在于,當是初次接入時,在I)中,基站對接入的終端用戶采用的傳統上層認證方式為CHAP認證。5.根據權利要求1所述的輕量級的5G接入認證方法,其特征在于,當是初次接入時,在I)中,基站對接入的終端用戶采用的傳統上層認證方式為PAP認證。
【文檔編號】H04W12/04GK105873042SQ201610378667
【公開日】2016年8月17日
【申請日】2016年5月31日
【發明人】馬敏, 趙峰, 李越, 李然, 馬振明, 程楊
【申請人】西安大唐電信有限公司