一种5G安全密钥管理的方法

技术领域

本发明涉及5G安全技术领域，尤其涉及一种5G安全密钥管理的方法。

背景技术

在5G异构网络中包含了多种网络，还包括了某种网络本身包含的多种接入方式，如物联网就存在设备直接连到网络，通过网关连接网络，设备与设备之间D2D(Device toDevice)通信以及Relay等方式。不同的网络架构带来差异性的安全需求。

当网络中一个或多个节点被攻击之后，攻击方就能获得被捕获节点中所保存的相关安全信息，攻击方能伪造网络密钥与网络中剩下的节点进行通信，因此密钥管理的安全性能指网络的抗捕获能力。网络需要设计一套合理的密钥管理机制，避免单个节点携带过多的机密信息，减少攻击者从单个节点获得安全信息，增加破解网络安全机制的难度，从而保证网络即使在部分节点被捕获的情况下是安全的，提供网络的抗捕获能力。

发明内容

本发明的目的在于克服现有技术的不足，提供一种5G安全密钥管理的方法。

本发明的目的是通过以下技术方案来实现的：

一种5G安全密钥管理的方法，包括以下步骤：

密钥初始化：在拥有n个网络节点的网络中，由服务器构造一个公开非对称矩阵G和一个保密对称矩阵D，根据这两个矩阵建立基础矩阵A，并将基础矩阵A发送给网络中的各个节点；

密钥建立：网络中的节点在收到矩阵A后，将网络中的通信节点保存到矩阵K的行列中；并从中得到通信密钥Kij和Kji；

密钥分配：以eNB为中转建立加密渠道，完成密钥的分配；

密钥协商：以eNB为中转进行密钥协商。

进一步的，所述密钥初始化中的矩阵G为(δ+1)行n列，矩阵D为(δ+1)行(δ+1)列，矩阵A的计算过程为：

A＝(G·D)

其中(G·D)T是(G·D)的转置矩阵。

进一步的，所述密钥建立中的矩阵K由矩阵A和矩阵G计算得到：

K＝A·G

通过推导可以得出矩阵K是对称矩阵，因此Kij＝Kji。

进一步的，所述密钥建立包括以下步骤：

S101，将网络中的通信节点i与节点j分别保存在矩阵K的第i行与第j行信息中；

S102，节点i和节点j分别交换各自的行列信息；

S103，节点i得到节点j的信息后，从自身保存的第i行信息中提取第j列信息作为通信密钥Kij；同理，节点j从自身保存的第j行信息中提取第i列的信息作为通信密钥Kji。

进一步的，所述密钥分配包括以下步骤：

S201，在MME节点产生一组随机数列和一个随机数，将该数列作为系数对应生成一个三元对称多项式，用于生成网络节点之间的通信密钥；该随机数用于保证网络不通区域间的安全通信；

S202，eNB节点进入网络得到MME分发的多项式信息以及随机数，根据该多项式信息建立自己网络范围内的UE节点所使用的网络多项式信息，并把该多项式作为自己范围内的基础多项式；

S203，eNB节点生成四组随机数列，每个数列对应生成一个三元对称多项式，从而形成一个多项式密钥环；并按照一定顺序将多项式信息分发给自己网络范围内的UE节点，该多项式用于生成网络通信节点之间的通信密钥；

S204，UE节点进入网络获得eNB节点所分发的一组基础多项式以及两组私有多项式信息。

进一步的，所述密钥分配在初始阶段，需要确保网络已经正确生成密钥协商所需要的基本信息且网络中的各个节点都得到各自所需要维护的信息。

进一步的，所述私有多项式信息的优先级将高于基础多项式。

进一步的，所述密钥协商包括以下子步骤：

S301，eNB进入网络后，生成eNB-eNB之间的多项式和一个eNB-UE之间的多项式；

S302，eNB收到UE的附着请求后，将UE的信息发送给MME进行鉴权；鉴权成功后，eNB根据自身的多项式计算得到UE-eNB之间的通信密钥，同时将自身ID信息和多项式返回给UE；

S303，UE在收到eNB返回信息后，从中提取多项式信息以及eNB的信息ID，计算得到自己的多项式以及UE-eNB之间的通信密钥。

进一步的，所述密钥协商中只有通信双方不能通过私有多项式信息进行密钥协商，节点才会使用基础多项式进行密钥协商。

本发明的有益效果：本发明能够兼容移动通信网络及D2D等网络，满足5G多网融合的特性；在密钥分配节点中，利用了通信网络原本的认证过程，减少了多余的认证过程所带来的网络开销；在密钥协商过程中，每个节点仅需与通信节点建立密钥，有效减少了密钥建立的次数以及不必要的存储及通信开销，降低了因密钥协商而带来的网络延迟。

附图说明

图1是本发明的方法流程图。

图2是本发明的原理示意图。

图3是本发明的密钥协商流程示意图。

具体实施方式

为了对本发明的技术特征、目的和效果有更加清楚的理解，现对照附图说明本发明的具体实施方式。

本实施例中，如图1-3所示，一种5G安全密钥管理的方法，包括以下步骤：

S1，密钥初始化；

S2，密钥建立；

S3，密钥分配；

S4，密钥协商。

所述步骤S1包括以下子步骤：

S101，在一个拥有n个节点的网络密钥初始化阶段，服务器生成一个(δ+1)行N列的矩阵G作为公开矩阵，并告知网络中的所有节点；

S102，服务器生成一个(δ+1)行(δ+1)列保密对称矩阵D，计算矩阵A＝(G·D)

S103，服务器将矩阵A发送给网络中的各个节点。

所述步骤S2包括以下子步骤：

S201，通过计算得到矩阵K＝A·G，根据对称矩阵的定义可知，对称矩阵的转置等于对称矩阵本身，因此可以得出推导公式K＝A·G＝(G·D)

S202，在网络中的通信节点i与节点j分别保存矩阵K的第i行与第j行信息；

S203，在通信建立的初始，节点i和节点j分别交换各自的行列信息；

S204，节点i得到节点j的信息后，从自身保存的第i行信息中提取第j列信息作为通信密钥K

所述步骤S3包括以下子步骤：

S301，在密钥分配的初始阶段，首先需要保证网络已经正确生成了密钥协商所需要的基本信息且网络中的各个节点都得到了各自所需要维护的信息；

S302，在MME节点产生一组随机数列，该数列将作为系数对应生成一个三元对称多项式，用于生成网络节点之间的通信密钥；在MME节点产生一个随机数，用于保证网络不通区域间的安全通行；

S303，eNB节点在进入网络之后将会得到MME分发的多项式信息以及随机数；

S304，eNB节点根据该多项式信息建立自己网络范围内的UE节点所使用的网络多项式信息，并把该多项式作为自己范围内的基础多项式；

S305，eNB节点还将生成四组随机数列，每个数列对应生成一个三元对称多项式，从而形成一个多项式密钥环；并按照一定顺序将多项式信息分发给自己网络范围内的UE节点，该多项式用于生成网络通信节点之间的通信密钥；

S306，UE节点在进入网络后，将会获得eNB节点所分发的一组基础多项式以及两组私有多项式信息，私有多项式信息的优先级将高于基础多项式，当且仅当通信双方不能通过私有多项式信息进行密钥协商时，节点才会使用基础多项式进行密钥协商。

所述步骤S4包括以下子步骤：

S401，当eNB进入网络后，他不仅生成eNB-eNB之间的多项式，同时还会生成一个UE-eNB之间的多项式；

S402，当eNB收到UE的附着请求后，将会UE的信息发送给MME进行鉴权。鉴权成功后，eNB根据自身的多项式，计算得到UE-eNB之间的通信密钥，eNB会将自身ID信息和多项式返回给UE；

S403，UE在收到eNB返回信息后，从中提取多项式信息，以及eNB的信息ID，计算得到自己的多项式，以及UE-eNB之间的通信密钥。

本实施例中，设计了一种无证书认证的密钥协商的协议，用于D2D通信前的密钥协商，包括以下步骤：

1)，用户A将数据进行加密后发送给用户B，用户B将数据进行解密，再次用自己的密钥将数据进行加密；

2)，将加密后的数据发送给用户A，用户A将数据解密，解密之后的数据与初始的数据一致，则用户A、B的身份验证成功；

3)，否则身份认证失败，A、B间的通信终止。

本实施例中，引入用户活跃度与系统信任度的模型，根据系统信任度将D2D通信用户进行等级的划分，基站在传输文件时优先将文件传输给信任度较高的用户，再由信任度高的用户依次传递给信任度低的用户。

本发明通过采用一种新型的密钥管理安全机制为5g环境下设备与网络之间网络的安全提供一种思路。在分布式协商组密钥管理方式中，网络没有中心节点，组内的网络节点地位平等，网络的建立过程包括密钥的生成、分配以及跟进等由全体成员共同完成。分布式协商组密钥管理方式解决了集中式密钥管理方式的单点失效问题，避免了因单个节点的问题造成整个网络不可用的情况，本发明采用一种分布式协商组密钥管理方式，即使通信双方的节点通信量大、存储要求高，也不会造成网络时延过大，同时也是一种轻量级低开销的的密钥管理。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护的范围由所附的权利要求书及其等效物界定。