本發明公開了一種5G網絡環境下的無線物聯網設備通信密鑰交換方法，包括IoT網絡中準備建立保密通信的終端設備UE_A和終端設備UE_B，以及位于5G服務網絡中的簽名驗證模塊S_A和簽名驗證模塊S_B，終端設備UE_A和終端設備UE_B分別通過無線接入點AP_A和無線接入點AP_B接入各自對應的服務網絡中;通信密鑰交換方法包括：終端設備UE_A和終端設備UE_B協商通信密鑰；根據終端設備UE_A或UE_B與各自對應的無線接入點AP_A或AP_B之間的無線信道物理特征進行身份簽名驗證，雙方通過各自所屬5G服務網絡中的簽名驗證模塊S_A和簽名驗證模塊S_B向無線接入點AP_A和無線接入點AP_B驗證簽名的有效性；本發明實現了對中間人攻擊的防御以及避免對第三方CA/PKI的依賴。

技術領域

本發明涉及網絡安全技術領域，特別是一種5G網絡環境下的無線物聯網設備通信密鑰交換方法。

背景技術

5G的出現為智慧城市、智慧醫療以及智能電網的發展提供了更加完善的解決方案。在5G網絡環境下，物聯網技術IoT得到了極大的促進，網絡實現了人與物之間，以及物與物之間的通信。因此在5G網絡內當成千上萬的IoT設備無線接入網絡進行通信時，為確保通信數據的機密性和完整性，設計高效且安全的無線網絡通信密鑰交換方法，以支持在任意一對IoT節點之間建立可靠的無線加密傳輸通道十分重要。

傳統的密鑰交換方法存在以下問題：

問題（1）：對第三方權威密鑰分發系統CA/PKI的依賴：

傳統的RSA密鑰協商算法采用數字信封原理，通信發起方Alice利用接收方Bob的公鑰PKBob和RSA算法對通信密鑰Key進行加密Enc=RSA(Key, PkBob)并發給Bob，Bob用私鑰解開Enc，獲取到通信密鑰Key。為了避免中間人攻擊，上述過程中Alice需要向可信的第三方CA/PKI查詢Bob的公鑰。然而，在實際應用中，由于物聯網設備規模巨大，且設備資源有限，很多入網的IoT設備并沒有在CA/PKI中注冊公鑰，且對CA/PKI的海量公鑰查詢可能導致網絡性能瓶頸。

問題（2）：不依賴CA/PKI，但易被中間人攻擊：

另一類廣泛使用的密鑰交換算法DHKE(Differ-Hellman Key Exchange), 不提供直接的加密或者解密，而是利用離散對數問題”的復雜性進行密鑰的協商。DHKE避免了對CA/PKI的依賴，然而密鑰交換協議不驗證公鑰發送者的身份，無法阻止中間人攻擊。為了實現DHKE對中間人攻擊的防御，現有改進方法提出利用通信雙方的私鑰對密鑰協商過程進行簽名，然而該過程又引入了利用第三方CA/PKI進行可信的公鑰分發過程，回到了問題（1），重新依賴于CA/PKI。

發明內容

為解決現有技術中存在的問題，本發明針對1)傳統的無線物聯網節點進行密鑰交換易受中間人攻擊；2)對抗中間人攻擊需要依賴CA/PKI傳遞私鑰；3)大量物聯網設備未在CA/PKI注冊私鑰的問題提供一種5G網絡環境下的無線物聯網設備通信密鑰交換方法，本發明在5G無線物聯網環境下進行密鑰交換時，基于無線信道的獨立性，IoT設備與5G服務網絡接入點之間的無線物理信道特征只為IoT終端與接入點所感知這一特點，提出基于IoT設備與接入點之間的物理信道特征對通信雙方協商的通信密鑰進行簽名認證，以實現對中間人攻擊的防御，以及避免對第三方CA/PKI的依賴。