(一)、技術領域：本發明涉及一種通信過程中的認證方法，特別是涉及一種基于物理層密鑰的終端和核心網的雙向認證增強方法。

(二)、背景技術：偽基站和偽終端的存在嚴重干擾和威脅著正常的蜂窩通信系統，對合法用戶的信息安全帶來了嚴峻挑戰。目前的蜂窩通信體制普遍采用高層加密技術來防止合法用戶信息的泄密。但是偽基站能夠將合法終端納入其管控之下，并利用偽終端的透明轉發建立合法終端與合法基站之間的通道：在上行鏈路，偽基站接收合法用戶的通信數據，并通過偽終端將接收數據“透明轉發”給合法基站；在下行鏈路，偽終端接收合法基站的通信數據，并通過偽基站將接收數據“透明轉發”給合法終端。合法基站和合法終端對這種類似“中繼”的偽基站和偽終端工作方式是完全無感的。這種竊密方式利用了蜂窩通信體制的以下特點：

1)終端身份信息、接入過程的開放性；

2)終端僅對核心網進行認證，缺乏對接入網的認證；

3)高層加密過程與傳輸鏈路無關。

基于現有技術中存在的上述問題，迫切需要一種有效的認證技術解決方案，能夠使得類似“透明轉發”的攻擊方式在蜂窩系統中無法實行。

(三)、發明內容：

本發明要解決的技術問題是：提供一種基于物理層密鑰的終端和核心網的雙向認證增強方法，該方法能夠識別并抑制偽基站和偽終端的“透明轉發”攻擊。

本發明的技術方案：

一種基于物理層密鑰的終端和核心網的雙向認證增強方法，含有下列步驟：

步驟A：核心網利用終端注冊過程獲取終端身份信息；

步驟B：終端和基站通過物理層密鑰協商機制產生物理層密鑰；

步驟C：基站將此物理層密鑰上報給核心網；

步驟D：核心網利用與終端身份信息相關的根密鑰和物理層密鑰產生核心網的認證數據，并將核心網的認證數據發送給終端；

步驟E：終端利用根密鑰、物理層密鑰和核心網的認證數據對網絡側進行認證；

步驟F：核心網利用根密鑰、物理層密鑰和核心網的認證數據對終端進行認證；

步驟G：終端和基站根據無線信道變化的快慢約定物理層密鑰的更新周期；如果更新周期到了，執行步驟B，實現持續認證；否則，執行步驟G。

步驟A的具體步驟如下：

步驟A1：終端發起注冊請求；

步驟A2：核心網利用注冊請求獲取終端身份信息。

步驟B的具體步驟如下：

步驟B1：終端和基站測量無線信道獲得信道特征參數；

步驟B2：終端和基站利用信道特征參數，通過協商機制產生一致性的物理層密鑰。

步驟C的具體步驟如下：

步驟C1：基站將步驟B中獲得的終端的物理層密鑰上報給核心網；

步驟C2：核心網存儲終端的物理層密鑰。

步驟D的具體步驟如下：

步驟D1：核心網利用步驟A中獲得的終端身份信息獲得對應的根密鑰；

步驟D2：核心網聯合根密鑰和步驟B產生的物理層密鑰生成核心網的認證數據；

步驟D3：核心網將生成的核心網的認證數據發送給終端。

步驟E的具體步驟如下：

步驟E1：終端利用根密鑰和步驟B中獲得的該終端的物理層密鑰產生本地認證數據；

步驟E2：終端通過比較本地認證數據和步驟D中獲得的核心網的認證數據，對網絡側進行認證；

步驟E3：如果認證通過，則終端生成認證數據發送給核心網；如果認證失敗，則終端執行拆鏈操作，切換至備選基站，并將當前基站認定為偽基站，結束全部認證過程；

步驟F的具體步驟如下：

步驟F1：核心網通過比較步驟D中獲得的核心網的認證數據和步驟E3中獲得的認證數據，對終端進行認證；

步驟F2：如果認證成功，執行步驟G；如果認證失敗，則核心網執行拆鏈操作，將當前終端認定為偽終端，結束全部認證過程。

本發明的有益效果：

1、本發明利用物理層密鑰與無線鏈路的強耦合和相關性以及終端身份的唯一性，通過結合物理層密鑰和終端身份相關的根密鑰，實現了終端身份和無線鏈路的強綁定，能夠識別并抑制偽基站和偽終端的“透明轉發”攻擊。本發明引入了與無線鏈路相關的物理層密鑰，使得加密認證與無線鏈路、節點產生強相關性，并通過其與終端身份相關的密鑰相結合，實現了用戶身份與節點、無線鏈路的統一，在源頭抑制了類似“透明轉發”的攻擊方式。

(四)、附圖說明：

圖1為存在偽基站/偽終端的蜂窩通信場景示意圖；

圖2為物理層密鑰提取量化示意圖；