本发明属于无线移动通信安全,涉及群组密钥协商和6g接入场景的多基站安全协作和用户终端安全接入,具体涉及一种6g全解耦网络的安全接入方法与系统。
背景技术:
1、随着万物互联时代的到来,未来网络将面临数十亿人口和数千亿个连接设备的通信连接需求,这对网络架构提出了更高的要求。当前通信网络存在:上行覆盖不足,服务质量难以保障、传输资源调度性能差、传输模式单一等的问题。为解决这些问题,已有工作在研究第六代移动网络(6g)接入网架构,其中于全院士等人在《a fully-decoupled ranarchitecture for 6g inspired by neurotransmission》中提出的全解耦无线接入网(fd-ran)是一套新颖有效的方案。fd-ran在现有第五代移动网络(5g)接入架构的基础上,将控制面与数据面完全解耦,同时将基站(bs)彻底物理解耦为上行数据基站(ubs)、下行数据基站(dbs)、以及控制基站(cbs),由此通过多基站协作提升上行覆盖率、进行频谱和信道等资源调度,从而保障服务质量和用户体验。
2、然而,作为一种新型接入架构,尽管fd-ran带来了许多优势,但也带来了新的安全挑战。首先,fd-ran框架导致了更多基站同时为同一用户终端提供服务,需要多个基站之间密切协作。然而,这些基站位于外部,且传统基站完全解耦,它们的通信功能变得分散并且远离核心网络(cn)。外部攻击者可能会针对或者破坏这些解耦的基站,这对用户数据传输的安全构成了重大威胁,并且会浪费通信网络资源。为了解决这个问题,确保fd-ran多基站协作的安全性,建立ubs、dbs、cbs和cn之间高效的识别信任机制至关重要,这个机制需要维护fd-ran架构的安全性和完整性。此外,由于其不可信性、单工通信和受限的计算能力,当用户终端访问数据基站时,需要来自cbs和控制平面的协助。这种固有挑战使得现有的由第三代合作伙伴计划(3gpp)提出的5g移动通信技术认证和密钥协商(aka)方法并不适用于fd-ran。尝试使用5g aka建立多方信任关系将导致不可持续的认证成本,如果被攻击者利用,可能会导致分布式拒绝服务(ddos)攻击。因此,fd-ran需要更适合的aka来确保接入安全,该机制不仅可以保证多个基站与cn之间的安全高效合作,还必须有效确保用户对fd-ran的安全访问。k.xue等人在2020年《ieee transactions on wireless communications》发表的题为“a lightweight and secure group key based handover authenticationprotocol for the software-defined space information network”的文章中,提出了一种轻量级的基于密值共享技术的群组密钥协商机制,有效解决了用户终端在不同卫星节点之间进行认证的安全保障问题,但其工作重点是实现更好的切换认证,并未对卫星群组内,ue与卫星群组间的交互进行深入研究。
3、综上所述,现有技术存在的问题是:(1)传统基站物理解耦后,fd-ran多基站协作的安全性及效率保障不足,现有安全方案在该架构下的开销过大。(2)用户终端接入fd-ran架构时,同时接入多个协作基站的安全性及效率保障不足,使用现有安全方案保障该过程的开销过大。
技术实现思路
1、发明目的:本发明的目的在于提供一种6g全解耦网络的安全接入机制,使用轻量级基于秘密共享的群组密钥协商策略,在用户侧和基站侧分别进行高效、低开销的安全密钥协商,由此建立适合多方接入、多基站协作的全解耦网络接入方案。
2、技术方案,为实现上述发明目的,本发明采用的技术方案是:一种6g全解耦网络的安全接入方法,包括以下步骤:
3、通过轻量级基于秘密共享的群组密钥协商机制,构建插值多项式传递共享密钥生成信息,建立数据基站群组内部成员间的信任关系,并为群组选出组长基站;
4、通过秘密共享技术构建二项式,为用户终端协商与多基站接入及会话服务的密钥信息,协商过程中密钥由用户终端和数据基站通过密钥派生函数独立产生;
5、通过5g aka协议,建立并传递用户终端与控制基站、数据基站之间的信任关系,完成6g全解耦无线网络的接入工作。
6、进一步地,通过轻量级基于秘密共享的群组密钥协商机制,构建插值多项式传递共享密钥生成信息,包括:组内n个成员首先向与其连接的控制基站发送一个带有随机选择点的一组值;然后,每个控制基站以安全的方式将其收集的信息转发给群组管理器;收到这些n个点之后,群组管理器首先验证它们的合法身份,假设验证通过的点数为n,之后选择一个组密钥uk,并让f(0)=uk;然后,群组管理器构造一个阶数为n的插值多项式f(x),在多项式f(x)上重新生成n个点,并将它们返回给每个组成员;随后,这些组成员通过恢复多项式来获取组密钥uk,用密钥uk进行组内通信,从而建立起组内成员基站间信任关系。
7、进一步地,在系统初始阶段,每个数据基站dbsi由设有群组管理器的网络管理中心授权,与网络管理中心共享一个密值(xi,yi)。
8、进一步地,在组密钥协商阶段,首先,组内的每个数据基站dbsi首先生成随机数ri和时间戳tsi,然后计算其中h()是哈希函数,是数据基站编号;最后,数据基站dbsi通过控制基站作为前向中继节点,向群组管理器发送组密钥协商请求信息:
9、在收到组密钥协商请求信息后,群组管理器首先对收到的数据进行数据源认证和数据完整性认证;之后群组管理器为验证通过的数据基站dbsi计算点(xi,yi+ri);设通过鉴定的数据基站数量为n,因而包含n个点(xi,yi+ri)(1≤i≤n);之后群组管理器随机选择一个组密钥uk,并通过(n+1)个点构造n项的插值多项式f(x),n+1个点分别为(0,uk)以及(xi,yi+ri)(1≤i≤n);接下来,群组管理器在f(x)上为n个数据基站选择n个点并计算最后,群组管理器广播密钥协商响应信息给所有组成员;其中为群组管理器指定的群组组长基站身份信息;收到响应信息后,每个组成员dbsi首先计算点(xi,yi+ri);随后dbsi通过点(xi,yi+ri)以及其他n个接收到的点恢复多项式f(x),从而检索组密钥uk=f(0);然后,dbsi计算并检查与收到的哈希值authi是否相同;如果两值相同,则dbsi相信组密钥有效并且接受它,否则,dbsi停止组密钥协商协议;完成组密钥协议程序后,数据基站组内成员基站将使用密钥uk作为共享组密钥。
10、进一步地,根据群组管理器部署,为群组选出组长基站,在协作过程中,将必要的信息发送至组长基站,进而更加高效的打包传输;此外,数据基站群组与控制基站/群组管理器之间,也通过协商的组密钥uk完成安全交互,由此建立控制基站/群组管理器与数据基站以及数据基站群组内部的信任关系。
11、进一步地,用户终端与控制基站间通过aka机制建立信任关系,同时用户终端向群组管理器发送初始会话密钥协商请求,协商用户终端与数据基站接入及会话的安全密钥,在初始阶段每个合法用户终端uei由设有群组管理器的网络管理中心授权,与网络管理中心共享一个密值(mi,ni)。
12、进一步地,通过秘密共享技术构建二项式,为用户终端协商与多基站接入及会话服务的密钥信息,包括:每个有接入需求的用户终端uei首先生成随机数和时间戳然后计算其中h()是哈希函数,是编号;最后,用户终端uei通过控制基站作为前向中继节点,向群组管理器发送初始会话密钥协商请求信息:
13、在收到初始会话密钥协商请求信息之后,群组管理器首先对收到的数据进行数据源认证和数据完整性认证;之后群组管理器为验证通过的用户终端uei计算点生成时间戳tsnew,为用户终端uei分配数据基站群组并派生数据基站群组密钥uk,获取kdf表示密钥派生函数,并通过2个点构造二项式u(x),2个点分别为(0,tuki)以及接下来,群组管理器在u(x)上为用户uei选择点并计算最后,群组管理器发送密钥协商响应信息给用户终端uei,同时将发送给相应的数据基站群组,encuk表示使用密钥uk加密组内数据基站解密后即可获取密钥收到响应信息后,用户终端uei首先计算点(mi,ni+rui);随后uei通过点以及接收到的点恢复二项式u(x),从而检索初始会话密钥tuki=u(0);然后,uei计算并检查与收到的哈希值是否相同;如果两值相同,则uei相信初始会话密钥有效并且接受它,否则,uei停止密钥协商;至此,用户终端uei与控制基站完成接入认证、确认信任关系,并在用户端生成与控制基站交互的密钥kgnb;同时,用户终端uei与dbsi端分别独立生成初始会话密钥tuki。
14、进一步地,dbsi通过tuki确认接入用户终端uei的身份,包括:
15、uei通过进一步派生密钥tuki得到其中分别为uei生成的新的随机数和时间戳;
16、uei向数据基站发送接入认证请求及会话信息:
17、数据基站首次接收到acreq之后,使用密钥tuki解密获得然后结合和tuki进行密钥派生,获取密钥通过计算对比h*与是否相同进行数据源认证和数据完整性认证,认证通过后使用密钥解密获取会话信息messageu,从而完成用户uei对ubsi的接入认证和安全会话,且接入与会话同时进行;数据基站首次接收到用户uei的acreq信息后,进行密钥派生,获取密钥之后即使用该密钥与uei进行安全会话。
18、进一步地,数据基站dbsi与网络管理中心共享一个密值(xi,yi),存储在数据基站中配置的受信任硬件中,用户终端uei与网络管理中心共享一个密值(mi,ni),存储在用户终端中配置的受信任硬件中。
19、本发明还提供一种6g全解耦网络的安全接入系统,所述6g全解耦网络中包括上行数据基站、下行数据基站、控制基站、网络管理中心和用户终端,所述网络管理中心设有群组管理器;所述群组管理器与上行/下行数据基站之间,通过轻量级基于秘密共享的群组密钥协商机制,构建插值多项式传递共享密钥生成信息,建立数据基站群组内部成员间的信任关系,并为群组选出组长基站;所述群组管理器与用户终端之间,通过秘密共享技术构建二项式,为用户终端协商与多基站接入及会话服务的密钥信息,协商过程中密钥由用户终端和数据基站通过密钥派生函数独立产生;通过5g aka协议,建立并传递用户终端与控制基站、上行/下行数据基站之间的信任关系。
20、有益效果:与现有技术相比,本发明具有如下优点:1、本发明提供了一种fd-ran架构下的多方接入、多基站协作的接入方案,避免了多基站协作下多方间相互认证资源开销的问题。2、本发明实现了基于轻量化组秘密共享技术的6g全解耦网络多基站协作安全机制,在保障安全的同时,节省了多基站和核心网多方间的认证开销。3、本发明使用密值共享技术和密钥派生函数,在用户侧和基站侧分别进行高效、低开销的安全密钥协商,在抵抗各类攻击的同时实现了用户对数据基站的0-rtt接入认证。
1.一种6g全解耦网络的安全接入方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种6g全解耦网络的安全接入方法,其特征在于:通过轻量级基于秘密共享的群组密钥协商机制,构建插值多项式传递共享密钥生成信息,包括:组内n个成员首先向与其连接的控制基站发送一个带有随机选择点的一组值;然后,每个控制基站以安全的方式将其收集的信息转发给群组管理器;收到这些n个点之后,群组管理器首先验证它们的合法身份,假设验证通过的点数为n,之后选择一个组密钥uk,并让f(0)=uk;然后,群组管理器构造一个阶数为n的插值多项式f(x),在多项式f(x)上重新生成n个点,并将它们返回给每个组成员;随后,这些组成员通过恢复多项式来获取组密钥uk,用密钥uk进行组内通信,从而建立起组内成员基站间信任关系。
3.根据权利要求2所述的一种6g全解耦网络的安全接入方法,其特征在于:在系统初始阶段,每个数据基站dbsi由设有群组管理器的网络管理中心授权,与网络管理中心共享一个密值(xi,yi)。
4.根据权利要求3所述的一种6g全解耦网络的安全接入方法,其特征在于:在组密钥协商阶段,首先,组内的每个数据基站dbsi首先生成随机数ri和时间戳tsi,然后计算其中h()是哈希函数,是数据基站编号;最后,数据基站dbsi通过控制基站作为前向中继节点,向群组管理器发送组密钥协商请求信息:
5.根据权利要求1所述的一种6g全解耦网络的安全接入方法,其特征在于:根据群组管理器部署,为群组选出组长基站,在协作过程中,将必要的信息发送至组长基站,进而更加高效的打包传输;此外,数据基站群组与控制基站/群组管理器之间,也通过协商的组密钥uk完成安全交互,由此建立控制基站/群组管理器与数据基站以及数据基站群组内部的信任关系。
6.根据权利要求1所述的一种6g全解耦网络的安全接入方法,其特征在于:用户终端与控制基站间通过aka机制建立信任关系,同时用户终端向群组管理器发送初始会话密钥协商请求,协商用户终端与数据基站接入及会话的安全密钥,在初始阶段每个合法用户终端uei由设有群组管理器的网络管理中心授权,与网络管理中心共享一个密值(mi,ni)。
7.根据权利要求6所述的一种6g全解耦网络的安全接入方法,其特征在于:通过秘密共享技术构建二项式,为用户终端协商与多基站接入及会话服务的密钥信息,包括:每个有接入需求的用户终端uei首先生成随机数和时间戳然后计算其中h()是哈希函数,是编号;最后,用户终端uei通过控制基站作为前向中继节点,向群组管理器发送初始会话密钥协商请求信息:
8.根据权利要求7所述的一种6g全解耦网络的安全接入方法,其特征在于:dbsi通过yuki确认接入用户终端uei的身份,包括:
9.根据权利要求1所述的一种6g全解耦网络的安全接入方法,其特征在于,数据基站dbsi与网络管理中心共享一个密值(xi,yi),存储在数据基站中配置的受信任硬件中,用户终端uei与网络管理中心共享一个密值(mi,ni),存储在用户终端中配置的受信任硬件中。
10.一种6g全解耦网络的安全接入系统,所述6g全解耦网络中包括上行数据基站、下行数据基站、控制基站、网络管理中心和用户终端,其特征在于,所述网络管理中心设有群组管理器;所述群组管理器与上行/下行数据基站之间,通过轻量级基于秘密共享的群组密钥协商机制,构建插值多项式传递共享密钥生成信息,建立数据基站群组内部成员间的信任关系,并为群组选出组长基站;所述群组管理器与用户终端之间,通过秘密共享技术构建二项式,为用户终端协商与多基站接入及会话服务的密钥信息,协商过程中密钥由用户终端和数据基站通过密钥派生函数独立产生;通过5g aka协议,建立并传递用户终端与控制基站、上行/下行数据基站之间的信任关系。
