基于射频指纹的跨层认证方法
【技术领域】
[0001] 本发明涉及信息安全技术领域,特别是涉及一种基于射频指纹的跨层认证方法。【背景技术】
[0002] 无线通信网络的开放性导致在无线传输过程中攻击者很容易注入恶意数据或者 篡改合法消息的内容。广播报文认证是对抗可能出现的大多数攻击的一种有效方案,它可 以让已定接收器确定接收所期望的信息源的数据。采用以公钥基础设施为基础的数据签名 技术(如RSA或DSA),在签名认证中涉及了密集计算,导致资源消耗十分严重,这为资源非 常有限的移动设备增加了严重的负担。随着无线通信的发展,移动电子商务的安全和隐私 风险成为关注的焦点,移动终端、WiFi网络卡和RFID标签等都急需低复杂度和低成本的认 证。对于这种资源受限的情况,提出了给予TESLA技术的轻量级密码机的安全方案。尽管 TESLA是我们已知的最好方案之一,它仍然要求节点间的同步,并且容易受到拒绝服务攻 击,其中攻击者通过连续发送时间同步请求来阻塞合法发信者,轻量级密码机的安全强度 受到危害。现在大多数无线通信方案只能在接入网络时对第一帧进行认证,对后面的数据 包均不予以认证,这可能会导致很多安全问题,如ID跟踪、中间人攻击和恶意节点攻击等。
[0003] 最近,一些研究人员已经转向使用物理层信息来增强无线通信的安全,尝试将现 有的认证与基于信道信息的物理层认证方案相结合,旨在实现轻量级并快速认证。这些研 究利用物理层的信道响应时空唯一性,使得通信节点间的信道响应可以像指纹一样仅能被 合法发送者和接收者识别,并整合了现有的消息认证方案和物理层的认证机制。然而,通信 信道的时空唯一性正处于高速拥堵的环境下;并且这种方法仅适用于两个时隙间的时间间 隔小于相干时间,并且移动速度很低的情况。当通信双方的两个时隙间的间隔时间大于信 道相干时间时,他们需要进行上层认证。
[0004] 射频(RadioFrequency,RF)指纹的唯一,性是用于识别发射机的状态的另一个重 要的资源。这种唯一性与电气元件、印刷电路板的路线、集成电路内部路径和射频中经高精 度和高带宽的示波器显示的无线发射机的滤波器输出结果均有关,并且其差异在瞬时信号 间都可以体现出来。来自不同制造商的设备,其射频指纹有很大的不同。据透露,即使在同 一系列的无线网络卡上的射频指纹也不同;因而射频指纹有很大的不同,可用于识别无线 发射机。
【发明内容】
[0005] 本发明的目的在于克服现有技术的不足,提供一种基于射频指纹的跨层认证方 法,具有复杂度低、延时小和精确度高的特点,十分适用于资源受限的认证环境。
[0006] 本发明的目的是通过以下技术方案来实现的:基于射频指纹的跨层认证方法,包 括以下步骤:
[0007] SI.第一时隙中,合法发送者A向合法接收者B发送第一数据包,对第一数据包进 行上层认证;
[0008] 若上层认证成功,则建立合法发送者A和合法接收者B之间的信任连接,跳转步骤 S2 ;
[0009] 若上层认证失败,则重复步骤Sl;
[0010] S2.合法接收者B提取合法发送者A的射频指纹特征向量,并将该射频指纹特征向 量存储到合法接收者B的存储器中;
[0011] S3.下一时隙中,发送者X向合法接收者B发送第二数据包,合法接收者B提取发 送者X的射频指纹特征向量;
[0012] S4?设置射频指纹特征向量样本;
[0013] S5.合法接收者B根据射频指纹特征向量对步骤S3中发送者X的射频指纹特征向 量进行射频指纹认证,即判断发送者X的射频指纹特征向量与射频指纹特征向量样本的相 似度;
[0014] 若该相似度大于或等于设定的阈值,则射频指纹认证成功,发送者X为合法发送 者A,将该发送者X的射频指纹特征向量存储到合法接收者B的存储器中,跳转步骤S3 ;
[0015] 若该相似度小于设定的阈值,则射频指纹认证失败,发送者X为攻击者E,合法接 收者B丢弃第二数据包,跳转步骤Sl。
[0016] 所述上层认证采用基于公钥基础设施的数字签名认证或基于TESLA的认证。
[0017] 所述上层认证采用基于公钥基础设施的数字签名认证时,步骤Sl包括以下子步 骤:
[0018] SlL第一时隙中,为合法发送者A分配具有一定生命周期的匿名的公钥/私 钥对<pubKA,priKA>,公钥/私钥对<pubKA,priKA>的证书为CertA,公钥/私钥对 <pubKA,priKA> 的虚拟ID为PVIDA;
[0019] 为合法接收者B分配一个具有一定生命周期的匿名的公钥/私钥对<pubKB,priKB >,公钥/私钥对<pubKB,priKB>的证书为CertB,公钥/私钥对<pubKB,priKB>的虚拟 ID为PVIDb;
[0020] S12.合法发送者A利用其私钥priKA对第一数据包的散列消息进行签名,第一数 据包表示为:,然后将第一数据包<发送给合法接收者B,即:
[0022] S13?合法接收者B收到第一数据包X严后,合法接收者B利用公钥pubKA对第一 数据包Ifs的签名进行验证:
[0024] 式中,I-并置运算符,V当前时间戳;
[0025] S14.若签名验证成功,则合法接收者B认为第一数据包X,的发送者是合法发送 者A,建立合法发送者A和合法接收者B之间的信任连接;
[0026] S15.若签名验证失败,则合法接收者B丢弃第一数据包JTf,跳转步骤S12。
[0027] 所述合法接收者B提取合法发送者A的射频指纹特征向量和合法接收者B提取发 送者X的射频指纹特征向量的步骤均包括以下步骤:
[0028] SOl?合法接收者B接收射频信号;
[0029] S02.合法接收者B利用希尔伯特变换对接收到的射频信号进行解析,然后计算射 频信号的瞬时相位,通过相位检测的方法来检测瞬态信号;
[0030] S03.合法接收者B采用小波分析变换的方法获取平滑的瞬时包络曲线;
[0031] S04.采用拟合曲线对瞬时包络曲线进行处理得到拟合系数,即提取射频指纹特征 向量。
[0032] 所述步骤S5中进行射频指纹认证时采用的识别器为SVM识别器和BP神经网络识 别器。
[0033] 所述步骤S5中进行射频指纹认证的检验算法为似然比检验法或序贯概率比检验 法。
[0034] 所述步骤S5之前还包括设置阈值的步骤。
[0035] 所述步骤S4中的射频指纹特征样本包括合法接收者B的存储器中存储的射频指 纹特征向量中的一个或多个。
[0036] 本发明的有益效果是:
[0037] (1)本发明仅在合法发送者A和合法接收者B之间建立信任连接时,对第一数据包 采用基于公钥基础设施的数字签名认证或基于TESLA的认证进行上层身份认证,对后续数 据包的认证则通过射频指纹认证来实现,具有计算复杂度低和延时小的特点;
[0038] (2)由于射频指纹特征向量不随时间变化,因此在射频指纹认证未出现失败且通 信一直连接的情况下,两个时隙之间的时间间隔可以长达数小时甚至数天;
[0039] (3)整个通信过程中,由于射频指纹特征向量的差异在瞬时信号间都可以体现出 来,攻击者E无法获取合法接收者B提取的合法发送者A的射频指纹特征,因而无法对合法 发送者A发送的数据包进行篡改、转发或伪造,保证了通信安全。
【附图说明】
[0040] 图1为本发明基于射频指纹的跨层认证方法的流程图;
[0041] 图2为本发明中提取射频指纹特征向量的流程图;
[0042] 图3为本发明的一个实施例。
【具体实施方式】
[0043] 下面结合附图进一步详细描述本发明的技术方案,但本发明的保护范围不局限于 以下所述。
[0044] 如图1所示,基于射频指纹的跨层认证方法,包括以下步骤:
[0045] SI.第一时隙中,合法发送者A向合法接收者B发送第一数据包,对第一数据包进 行上层认证;
[0046] 若上层认证成功,则建立合法发送者A和合法接收者B之间的信任连接,跳转步骤 S2 ;
[0047] 若上层认证失败,则重复步骤Sl。
[0048] 所述对第一数据包进行身份认证采用基于公钥基础设施的数字签名认证或基于 TESLA的认证。
[0049] 所述对第一数据包进行身份认证采用基于公钥基础设施的数字签名认证时,步骤 Sl包括以下子步骤:
[0050] SlL第一时隙中,为合法发送者A分配具有一定生命周期的匿名的公钥/私 钥对<pubKA,priKA>,公钥/私钥对<pubKA,priKA>的证书为CertA,公钥/私钥对 <pubKA,priKA> 的虚拟ID为PVIDA;
[0051] 为合法接收者B分配一个具有一定生命周期的匿名的公钥/私钥对<pubKB,priKB >,公钥/私钥对<pubKB,priKB>的证书为CertB,公钥/私钥对<pubKB,priKB>的虚拟 ID为PVIDb;所述公钥/私钥对<pubKA,priKA>和公钥/私钥对<pubKB,priKB>的生命 周期一般为几分钟。
[0052] S12.合法发送者A利用其私钥priKA对第一数据包的散列消息进行签名,第一数 据包表示为巧?,然后将第一数据包!T发送给合法接收者B,即:
[0054] S13?合法接收者B收到第一数据包JJf后,合法接收者B利用公钥pubKA对第一 数据包X,的签名进行验证:
[0056] 式中,I-并置运算符,V当前时间戳。
[0057] S14.若签名验证成功,则合法接收者B认为第一数据包不的发送者是合法发送 者A,建立合法发送者A和合法接收者B之间的信任连接。
[0058] S15.若签名验证失败,则合法接收者B丢弃第一数据包,跳转步骤S12。
[0059] S