一种提高空口安全的方法及模块与流程

本发明涉及无线通信领域，尤其涉及一种提高空口安全的方法及模块。

背景技术

在蜂窝无线通信过程中，从2G往5G的演进过程中，为了保证用户数据再空口的保密性，协议层面在多个地方增加了加密机制。比如有PDCP加密，NAS加密。并且从信令层面，也通过比如TMSI，RNTI等手段，进一步让用户的信息在空口具有保密性。但是，尽管如此，即使到了5G阶段，还是有一些方法来绕开这些手段，从某种程度上破解用户的空口保密性，比如可以利用长时间诱导用户接收一些特殊传输，特别是在传输块大小上会有特殊性的传输，然后再利用统计特性，尝试捕获用户的RNTI甚至是TMSI。

进一步的，比如可以利用短信这种特殊传输，短时间多次给指定用户发送固定长度的短信，造成指定用户在空口体现出特殊的传输块大小，有统计上的特性指标，从而得到用户的保密信息（比如CRNTI）。

当捕获了用户的RNTI、TMSI等信息后，那么目标用户在空口这一级，就一定程度的失去了保密性。随之而来的就会被其他的方法来获取用户的位置信息等等。

在标准的3G/4G/5G 通信中，MAC会将来自PDCP/RLC层的SDU进行缓存，然后根据用户的优先级来对用户进行调度。调度的时候，会根据基站侧剩余的资源，用户的能力、以及用户的空口质量等等因素来决定一次空口传输可以给用户发多大的传输块（TB）。而选择TB的时候，如果缓存的用户SDU特别多，则尽量选择可以满足空口传输质量的最大TB，从而可以发送尽量多的SDU。如果当前用户缓存的SDU并不多，则从效率角度出发，则会尽量选择一个刚好装完所有SDU的TB块大小给这个用户。没有用掉的资源就可以给其他用户用。

但也是因为这个出发点，如果一个用户，在特定QoS下的SDU始终不多，而那个QoS下的数据又需要单独发送，并且每次的大小比较恒定（比如说短信），则就可能在空口出现每次都是固定的TB大小。这样的特殊性，再加上多次诱发引起的统计特性，就容易让用户被非法的“捕获”。

每次空口传输的TB块大小，会携带在PDCCH的信息中。虽然PDCCH本身是CRNTI加绕的，但是现在已经有技术可以反向的破解PDCCH中的CRNTI，从而就可以盲解所有的PDCCH，从而得到所有空口传输的，每一个RNTI的TB块大小、调制阶数等等信息。

然后对一段观测时间内，所有用户（RNTI）的TB块大小进行概率分布的统计，则很容易看到一些“异常”用户。比如特定的TB块大小占比特别多，则该用户是目标的概率就非常高。比如该目标用户，在一个观察窗口内，有20次出现了TB块大小为1456比特的包，而其他用户最多也就出现了5次，等等。

在专利申请CN200910087097.3中公开了一种空口密钥的生成方法，通过密钥来提高空口传输的安全性。但是密钥是保密通信的关键，如何才能把密钥安全送到收信方是对称加密体制的突出问题，随着通信的增多，密钥的分发会越发的复杂，并且加密算法复杂，加密和解密的速度将会影响严重通信速度。

在专利申请CN201910465554.1中公开了一种基于NI USRP-RIO的空口加密安全传输方法，具体包括以下步骤：1)中继节点R、用户终端A和用户终端B进行时间同步；2)用户终端A和用户终端B首先交替向中继节点R发送信道估计帧，中继节点R收到来自用户终端A和用户终端B的信道估计帧之后首先估计出信道hAR和信道hBR，再对信道hAR及hBR的幅度和角度分别进行量化及编码，然后在编码结果之前插入导频并广播给用户终端A和用户终端B，用户终端A和用户终端B收到中继节点R发送的信号后分别估计出信道hRA及信道hRB，然后通过相干检测获得信道信息hAR和hBR；3)用户终端A及用户终端B在中继节点R的辅助下完成双向信息交互。该方案是通过通用软件无线电外设实现对空口加密，以实现信息的安全传输；但是该方案是对于传输信道进行优化，完成空口的加密传输，对空口本身并没有进行优化。

技术实现要素：

本发明的目的在于克服现有技术的不足，提供一种提高空口安全的方法及模块。

本发明的目的是通过以下技术方案来实现的：

一种提高空口安全的方法，包括以下步骤：在每次进行空口传输时，以传输块原来的尺寸为基础，通过可配置的随机化参数，随机增加该传输块的尺寸大小，将新的传输块尺寸发送至5G-NR接入网的物理层进行编码和填充，再发送至空口。

进一步的，所述传输块被随机增加尺寸后，相对原来的传输块中多余的部分是用无效比特进行填充的。

进一步的，所述可配置随机化参数包括传输块随机化增大的范围和随机化的算法。

进一步的，一种提高空口安全的模块，包括MAC调度单元、传输块尺寸计算单元和传输块封装单元；所述传输块尺寸计算单元分别连接MAC调度单元和传输块封装单元，所述MAC调度单元与传输块封装单元连接。

进一步的，所述MAC调度单元对用户传输的5G-NR接入网的物理层空口时频资源进行调度，判断本次传输所承载的业务是否需要使用随机化传输块大小的功能，并将判断结果发送至传输块尺寸计算单元和传输块封装单元。

进一步的，所述传输块尺寸计算单元可读取随机化参数，根据随机化参数计算增大后传输块的尺寸的大小，并将计算结果发送至传输块封装单元。

进一步的，所述传输块封装单元根据MAC调度单元的判断结果，确定SDU的封装方式；若判断结果为不需要使用随机化传输块大小的功能，则将SDU直接以MAC调度单元初始计算的传输块尺寸进行填装，然后发送至5G-NR接入网的物理层；若判断结果为需要使用随机化传输块大小的功能，则将SDU装进根据传输块尺寸计算单元计算的增大尺寸后的传输块，多余的部分填充无效比特，并发送至5G-NR接入网的物理层。

本发明的有益效果：本发明利用在接入网协议栈的MAC层，对空口的传输块大小做选择的时候，随机增加一定比例的传输大小，从而使得用户的各种业务的数据，在5G-NR接入网的无线空口上，具有更强的随机性，没有统计特性，进而使得空口传输的保密性更好。

附图说明

图1是本发明的模块框图。

图2是本发明传输块随机化流程图。

具体实施方式

应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了对本发明的技术特征、目的和效果有更加清楚的理解，现对照附图说明本发明的具体实施方式。

实施例1，一种提高空口安全的方法，包括以下步骤：在每次进行空口传输时，以传输块原来的尺寸为基础，通过可配置的随机化参数，随机增加该传输块的尺寸大小，将新的传输块尺寸发送至5G-NR接入网的物理层进行编码和填充，再发送至空口。

在本实施例中，所述传输块被随机增加尺寸后，相对原来的传输块中多余的部分是用无效比特进行填充的。

在本实施例中，所述可配置随机化参数包括传输块随机化增大的范围和随机化的算法；在本实施例中具体可设置为：随机化增大的范围：从100到2000比特进行尺寸增加；随机化的算法：采用线性同余算法从100到2000比特内抽取随机数。

在本实施例中，如图1所示，在5G-NR 接入网协议栈的MAC层（层2）增加一个随机化增大传输块大小的功能模块，一种提高空口安全的模块，包括MAC调度单元、传输块尺寸计算单元和传输块封装单元；所述传输块尺寸计算单元分别连接MAC调度单元和传输块封装单元，所述MAC调度单元与传输块封装单元连接。

在本实施例中，所述MAC调度单元对用户传输的物理层空口时频资源进行调度，判断本次传输所承载的业务是否需要使用随机化传输块大小的功能，并将判断结果发送至传输块尺寸计算单元和传输块封装单元。

在本实施例中，所述传输块尺寸计算单元可读取随机化参数，根据随机化参数计算增大后传输块的尺寸的大小，并将计算结果发送至传输块封装单元。

在本实施例中，所述传输块封装单元根据MAC调度单元的判断结果，确定SDU的封装方式；若判断结果为不需要使用随机化传输块大小的功能，则将SDU直接以MAC调度单元初始计算的传输块尺寸进行填装，然后发送至物理层；若判断结果为需要使用随机化传输块大小的功能，则将SDU装进根据传输块尺寸计算单元计算的增大尺寸后的传输块，多余的部分填充无效比特，并发送至物理层。

本发明增加基站侧的随机化MAC层传输块大小的机制。主要是对于比较小的传输块，缓存的SDU并不多，只需要一个小的TB块就能装下的时候，可以随机的增加TB的大小，调制阶数（MCS）等等。

传输块尺寸计算单元可以基于不同的QoS业务进行开关，比如短信等典型业务，可以打开来增加安全性，并且由于短信的频率和传输大小都很少，带来的系统开销也可以忽略不计。而对于普通的大数据业务，由于本身没有太强的统计特性，同时开启此功能后的开销也比较大，则可以关掉此功能。

在采用本方案之前，监听者，可以通过短时间内，频繁地，周期性的，给目标用户发短信等固定大小、具有高QoS的“小包”，就可以使得该用户在空口频繁的出现某种大小的TB块，而TB块大小信息会在PDCCH中携带。这样，这样一个用户就会在该区域众多小区的用户中，比较突出的显示出一些统计特性，比如这种比较“小”的包数量占比特别多，并且相当固定。该用户就很容易和其他用户“区分”开来。

当用了该方案后，对于这种特定QoS的业务，基站侧在MAC调度的时候，就随机的增加传输块大小（多余的传输部分，根据协议，会自动补上无效数据，但是在物理层（空口）看不到这个信息，物理层会认为传输的TB块变大了，并不知道里面传的东西有多少是有用信息，有多少是无效数据）。这样该用户在空口的TB块大小的统计特性就被很大程度的减轻或者消失了，并不能非常明显的和其他用户区分开来，从而达到了增强保密性和安全性的效果。以第四节的例子为例，则该用户出现TB块大小为1456比特的包的次数就降了3次以下甚至更少，无法和其他用户明显的区分开来。

如图2所示传输块随机化流程，在MAC层的软件中，通过一个模块来进行随机化TB块大小的功能。对于想保护的业务类型，比如短信业务，使能该随机化TB块大小的功能，从而增强保密性。而对于相对安全的业务类型，比如视频业务，可以不使能该功能，从而最大化传输效率。

使能了随机化TB块大小功能以后，每一次传输，以之前的必要TB块大小为基础，以一定的参数设置，随机增加TB块大小，多余的部分用无效比特去填充，然后发送到物理层进行编码再发送到空口。

比如当前的短信包业务，需要1456比特进行封装，当前的参数设置是随机从100到2000比特进行尺寸增加，那么可能当前传输是1456 200 比特，下一次则可能是1456 1300比特。

实施例2，一种提高空口安全的方法，包括以下步骤：在每次进行空口传输时，以传输块原来的尺寸为基础，通过可配置的随机化参数，随机增加该传输块的尺寸大小，将新的传输块尺寸发送至5G-NR接入网的物理层进行编码和填充，再发送至空口。

在本实施例中，所述传输块被随机增加尺寸后，相对原来的传输块中多余的部分是用无效比特进行填充的。

在本实施例中，所述随机化参数包括传输块增大的范围和随机化的算法，范围设置为500到3000，随机算法采用蒙特卡洛算法。

在本实施例中，所述随机化传输块大小功能模块包括MAC调度单元、传输块尺寸计算单元和传输块封装单元；所述传输块尺寸计算单元分别连接MAC调度单元和传输块封装单元，所述MAC调度单元与传输块封装单元连接。

在本实施例中，所述MAC调度单元对资源进行调度，并判断当前业务是否打开随机化传输块大小功能，若不打开该功能，则将SDU装进传输块并发送至物理层；若打开该功能，则将随机化参数发送至传输块尺寸计算单元，传输块尺寸计算单元计算出新的传输块大小，并将SDU封装进传输块，多余的部分补上填充数据。

在本实施例中，所述传输块尺寸计算单元读取随机化参数，根据随机化参数增加传输块的大小。

在本实施例中，所述传输块封装单元用于将SDU装进传输块并发送至物理层。

本发明增加基站侧的随机化MAC层传输块大小的机制。主要是对于比较小的传输块，缓存的SDU并不多，只需要一个小的TB块就能装下的时候，可以随机的增加TB的大小，调制阶数（MCS）等等。

传输块尺寸计算单元可以基于不同的QoS业务进行开关，比如短信等典型业务，可以打开来增加安全性，并且由于短信的频率和传输大小都很少，带来的系统开销也可以忽略不计。而对于普通的大数据业务，由于本身没有太强的统计特性，同时开启此功能后的开销也比较大，则可以关掉此功能。

在采用本方案之前，监听者，可以通过短时间内，频繁地，周期性的，给目标用户发短信等固定大小、具有高QoS的“小包”，就可以使得该用户在空口频繁的出现某种大小的TB块，而TB块大小信息会在PDCCH中携带。这样，这样一个用户就会在该区域众多小区的用户中，比较突出的显示出一些统计特性，比如这种比较“小”的包数量占比特别多，并且相当固定。该用户就很容易和其他用户“区分”开来。

当用了该方案后，对于这种特定QoS的业务，基站侧在MAC调度的时候，就随机的增加传输块大小（多余的传输部分，根据协议，会自动补上无效数据，但是在物理层（空口）看不到这个信息，物理层会认为传输的TB块变大了，并不知道里面传的东西有多少是有用信息，有多少是无效数据）。这样该用户在空口的TB块大小的统计特性就被很大程度的减轻或者消失了，并不能非常明显的和其他用户区分开来，从而达到了增强保密性和安全性的效果。以第四节的例子为例，则该用户出现TB块大小为1456比特的包的次数就降了3次以下甚至更少，无法和其他用户明显的区分开来。

在MAC层的软件中，增加一个模块来进行随机化TB块大小的功能。对于想保护的业务类型，比如短信业务，使能该随机化TB块大小的功能，从而增强保密性。而对于相对安全的业务类型，比如视频业务，可以不使能该功能，从而最大化传输效率。

使能了随机化TB块大小功能以后，每一次传输，以之前的必要TB块大小为基础，以一定的参数设置，随机增加TB块大小，多余的部分用无效比特去填充，然后发送到物理层进行编码再发送到空口。

比如当前的短信包业务，需要1456比特进行封装，当前的参数设置是随机从500到2500比特进行尺寸增加，那么可能当前传输是1456 876 比特，下一次则可能是1456 2300比特。

本发明利用在MAC层，对空口的传输块大小做选择的时候，随机增加一定比例的传输大小，从而使得空口上更随机，没有统计特性，使得空口传输的保密性更好。

上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品可以包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线（例如同轴电缆、光纤、数字用户（DSL））或无线（例如红外、无线、微波等）方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁盘)、光介质（例如，DVD）、或者半导体介质（例如固态硬盘（solid state disk，SSD））等。

需要说明的是，对于前述的各个方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某一些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和单元并不一定是本申请所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详细描述的部分，可以参见其他实施例的相关描述。

以上所揭露的仅为本发明较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。