專利名稱:一種通信設(shè)備身份識別方法及其系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于通信技術(shù)領(lǐng)域���,特別涉及通信網(wǎng)絡(luò)中接入設(shè)備身份識別問題����,即一種通信設(shè)備身份識別方法及其系統(tǒng)。
背景技術(shù):
當(dāng)今世界信息技術(shù)迅猛發(fā)展���,人類社會正進入一個信息社會����,社會經(jīng)濟的發(fā)展對信息資源��、信息技術(shù)和信息產(chǎn)業(yè)的依賴程度越來越大����。通信網(wǎng)絡(luò)中的信息安全問題日益引起人們的重視。在危害通信安全的各種攻擊手段中�����,入侵系統(tǒng)攻擊的危害最大����,這類攻擊不僅竊取機密材料,而且隨時都可能令受害系統(tǒng)陷入崩潰�����。抵御入侵攻擊的傳統(tǒng)安全措施都是在數(shù)據(jù)鏈路層以及其上層實現(xiàn)的,其核心是利用密碼系統(tǒng)對接入者的身份進行驗證���。針對這種安全措施的攻擊方式主要可分為密碼攻擊和漏洞攻擊����。密碼攻擊是攻擊最常用的方法��,入侵者通過系統(tǒng)常用服務(wù)或?qū)W(wǎng)絡(luò)通信進行監(jiān)聽來搜集賬號��,找到主機上的有效賬號后�����,就采用字典窮舉法進行攻擊����,或者通過各種方法獲取password文件,然后用口令猜測程序破譯用戶賬號和密碼����。漏洞攻擊是利用系統(tǒng)管理策略或者認(rèn)證系統(tǒng)的設(shè)計漏洞���,獲得比合法權(quán)限更高的操作權(quán)�����。雖然使用復(fù)雜密碼和系統(tǒng)升級可在一定程度上抵御入侵攻擊����,但是這些措施并不能從根本上解決入侵攻擊的威脅。
從通信網(wǎng)絡(luò)的連接方式來看���,通信網(wǎng)絡(luò)又可以分為無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)兩類�����。無線網(wǎng)絡(luò)的安全措施基本上是從有線網(wǎng)絡(luò)上移植過來的��,并沒有考慮無線網(wǎng)絡(luò)自身的某些特點����。無線網(wǎng)絡(luò)由于其接入設(shè)備的開放性����,使得無線網(wǎng)絡(luò)的入侵攻擊比有線網(wǎng)絡(luò)更加隱蔽和危險,但是���,目前還沒有有效的安全措施能夠完善的解決這個問題�����。究其原因���,目前大多數(shù)認(rèn)證體系研究仍然局限在數(shù)據(jù)鏈路層及其上層�,如果將安全措施引入到接入設(shè)備的物理層�����,就可以在從根本上抵御目前通信網(wǎng)絡(luò)接入部分的各種攻擊手段����。
由于物理層完全由硬件實現(xiàn),一方面避免了密碼被破譯的隱患��,另一方面從而消除了軟件系統(tǒng)的漏洞�����,同時具有極高的隱蔽性�����,不易被攻擊方發(fā)現(xiàn)�。但是,網(wǎng)絡(luò)物理層不存在數(shù)據(jù)流���,因此現(xiàn)有的數(shù)字化認(rèn)證體系都是不適用的��,需要一套適用于物理層的安全措施系統(tǒng)�����。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種通信設(shè)備身份識別方法及其系統(tǒng)����,以彌補傳統(tǒng)身份認(rèn)證技術(shù)容易受到密碼攻擊和漏洞攻擊的缺陷�����,本發(fā)明具有隱蔽性高���、穩(wěn)定性好和管理安全的特點���。
本發(fā)明提供的一種通信設(shè)備身份識別方法,包括以下步驟(1)發(fā)送端產(chǎn)生信號水印,用于標(biāo)識通信設(shè)備身份����;(2)發(fā)送端將上述信號水印嵌入到正常通信信號中,并發(fā)送含有信號水印的通信信號給接收端��;(3)接收端接收上述含有信號水印的通信信號后�,從上述通信信號中分離出信號水印�;(4)接收端將信號水印解釋并翻譯為發(fā)送端的身份信息;(5)接收端將信號水印承載的身份信息轉(zhuǎn)換為發(fā)送端的通信設(shè)備標(biāo)識�����。作為本發(fā)明的改進����,其步驟為(1.1)發(fā)送端利用一種頻率可控的正弦信號發(fā)生器,根據(jù)發(fā)送端的身份標(biāo)識確定正弦信號的頻率���,其計算公式如下fi=f+Δf=f+h(i)其中�����,f為基準(zhǔn)頻率��,i為設(shè)備標(biāo)識���,h(i)為從設(shè)備標(biāo)識i到頻率偏移Δf的映射函數(shù)���,且fmin>0Hz�,fmax≤300Hz,fmin為fi的最小值�����,fmax為fi的最大值�;(1.2)正弦信號發(fā)生器根據(jù)指定的頻率產(chǎn)生正弦信號作為信號水印,并根據(jù)該正弦信號的幅度選擇能量門限G���,作為信號水印是否存在的檢測依據(jù)���;步驟(2)利用信號合成器將正常通信信號與信號水印直接疊加;
步驟(3)中水印提取步驟為(3.1)對接收到的模擬信號進行采樣���,將其轉(zhuǎn)化為數(shù)字信號���;(3.2)將采樣數(shù)據(jù)按時間分段;(3.3)對每一段數(shù)據(jù)進行快速傅立葉變換處理,提取fmin-fmax區(qū)域內(nèi)的功率譜����;(4.1)檢測fmin-fmax頻段中的功率譜最大值;(4.2)判斷該譜值是否大于預(yù)先設(shè)定的能量門限G若該譜值小于能量門限��,則可以斷定信號水印不存在����;若該譜值大于能量門限G,則選擇該譜值所對應(yīng)的頻率值fi�����;(4.3)利用公式h(i)=fi-f�,計算發(fā)送端通信設(shè)備的身份信息h(i);步驟(5)通過身份信息數(shù)據(jù)庫中存儲的h(i)與i之間的對應(yīng)關(guān)系��,查詢出發(fā)送端通信設(shè)備的身份標(biāo)識����。
實現(xiàn)上述方法的系統(tǒng),其特征在于該系統(tǒng)包括用于生成的信號水印的發(fā)送端和識別設(shè)備身份的接收端�;在發(fā)送端,信號水印生成模塊用于生成信號水印�����,并將生成的信號水印發(fā)送給信號水印嵌入模塊;信號水印嵌入模塊用于將信號水印嵌入到正常通信信號中����,通信信號通過調(diào)制模塊進行調(diào)制處理后發(fā)送到信道中;在接收端����,解調(diào)模塊用于還原出原始通信信號�����,并利用信號水印提取模塊分離出信號水印���,信號水印解譯模塊判斷信號水印是否存在����,并輸出信號水印上承載的身份信息�。
本發(fā)明打破傳統(tǒng)通信網(wǎng)絡(luò)安全措施的思維定勢,將通信網(wǎng)絡(luò)安全措施深入到物理層��,提出利用信號水印進行通信設(shè)備身份識別的方法�����,有效地對接入節(jié)點和服務(wù)器進行身份驗證,從而防止不法分子的非法入侵�����,保證正常數(shù)據(jù)通信的安全����。本發(fā)明與現(xiàn)有的身份認(rèn)證技術(shù)相比,主要有如下三個特點1.隱蔽性高���。傳統(tǒng)的身份認(rèn)證技術(shù)通?�;诿艽a機制�,通過數(shù)據(jù)分析可以輕易的發(fā)現(xiàn)認(rèn)證體系的存在�����。但信號水印技術(shù)主要通過硬件實現(xiàn)��,非專用硬件不可能發(fā)現(xiàn)存在信號水印���。即使采用特殊硬件對信號進行分析�����,如果不了解水印加入方式�,也不可能發(fā)現(xiàn)信號水印的存在,更不可能對其進行偽造���。
2.穩(wěn)定性好���。傳統(tǒng)的身份認(rèn)證技術(shù)采用軟件實現(xiàn),通常存在各種各樣的軟件漏洞�,使得攻擊者可以繞過密碼體系對系統(tǒng)進行入侵。但是信號水印技術(shù)采用硬件實現(xiàn)�����,一般的攻擊者不可能達到這個層面���,更不可能繞過這個身份認(rèn)證體系。
3.管理安全��。信號水印認(rèn)證體系是一個硬件密鑰系統(tǒng)���,即每個通信設(shè)備(用戶)和密鑰是綁定的�,即只有攻擊者獲得設(shè)備硬件才能獲得密鑰,只要加強對硬件的管理就可以保證密鑰的安全���。即使攻擊者獲得硬件設(shè)備����,系統(tǒng)可以將其特征水印從數(shù)據(jù)庫中刪除��,而不影響到其它用戶的正常通信���。
本發(fā)明一方面可以用于維護通信網(wǎng)絡(luò)安全�����,防止不法人員利用竊取的密碼或系統(tǒng)漏洞非法入侵通信網(wǎng)絡(luò)��;另一方面也可以用于無線電臺的身份標(biāo)識���,加強對無線通信設(shè)備的監(jiān)控與管理。
圖1是本發(fā)明方法的流程示意圖�����。
圖2為本發(fā)明系統(tǒng)的結(jié)構(gòu)示意圖�。
具體實施例方式
下面結(jié)合附圖和實例對本發(fā)明作進一步詳細的說明�����。
如圖1所示���,本發(fā)明方法的處理步驟為(1)發(fā)送端產(chǎn)生信號水印,用于標(biāo)識通信設(shè)備身份�����;信號水印是指在通信信號中人為加入的用于通信設(shè)備身份的標(biāo)識�,具有如下幾個特征1)信號水印的載體是通信信號;2)信號水印是人為加入的���;3)信號水印能夠?qū)νㄐ旁O(shè)備個體進行標(biāo)識����;4)信號水印不會對正常通信信號構(gòu)成明顯的干擾����。
從廣義上說�����,滿足以上條件的特定信號都可以稱為信號水印。因此�����,信號水印可以有多種不同的生成方式����,下面列舉一種簡單的信號水印生成步驟1)發(fā)送端利用一種頻率可控的正弦信號發(fā)生器,根據(jù)發(fā)送端的身份標(biāo)識確定正弦信號的頻率�,其計算公式如下fi=f+Δf=f+h(i)其中,f為基準(zhǔn)頻率����,i為設(shè)備標(biāo)識,這里以10部設(shè)備為例��,因此設(shè)i=0��,1����,…9,但是在實際應(yīng)用中設(shè)備標(biāo)識也可以是其它形式的設(shè)備編號���。h(i)是從設(shè)備標(biāo)識i到頻率偏移Δf的映射函數(shù)�,即對于不同的設(shè)備標(biāo)識可以指定相應(yīng)的頻率偏移,這里令h(i)=i����,是一種最簡單的實現(xiàn)方法?�;鶞?zhǔn)頻率f可以根據(jù)需要進行設(shè)定����,但是必須保證信號水印的最大頻率fmax小于語音頻率的下限300Hz,最小頻率fmin大于0Hz���。這里設(shè)f=100Hz���,因此fi的范圍是100Hz-109Hz。
2)正弦信號發(fā)生器根據(jù)指定的頻率產(chǎn)生正弦信號作為信號水印���,并根據(jù)該信號幅度選擇適當(dāng)能量門限G�,作為信號水印是否存在的檢測依據(jù)�����。例如設(shè)信號幅度為A�����,則該信號一個周期內(nèi)的能量為A2/2���,于是可以定義G=(A2/4)×α作為水印檢測門限���,其中α表示通信鏈路中的能量增益系數(shù);(2)發(fā)送端將上述信號水印嵌入到正常通信信號中���,并發(fā)送含有信號水印的通信信號給接收端��。
對于不同的傳輸內(nèi)容和調(diào)制方式���,可以采用不同的水印嵌入方法。以傳輸語音的調(diào)頻方式為例����,可以直接利用信號合成器將語音信號與信號水印直接疊加。由于語音信號的頻域范圍是300Hz-3400Hz���,而信號水印是頻率fi(本實例為100Hz-109Hz)的正弦信號�����,二者在頻域上是分離的�����,因此信號水印不會影響語音信號的正常傳輸�����。
(3)接收端接收上述含有信號水印的通信信號后����,分離信號水印和通信信號。
不同的水印嵌入方式�,采用不同的水印提取方式。對于步驟(2)中提出的頻域嵌入方式�����,其水印提取步驟如下1)對接收到的模擬信號進行8KHz采樣�,將其轉(zhuǎn)化為數(shù)字信號;2)將采樣數(shù)據(jù)按時間分段���,即將每秒鐘的8000個采樣數(shù)據(jù)作為一段�;
3)對每一段數(shù)據(jù)進行快速傅立葉變換(FFT)處理,提取指定頻域(即fmin-fmax區(qū)域��,本實例為100Hz-109Hz)處的功率譜����。
通過上述步驟即可在頻域上分離出信號水印成分����。
(4)接收端將信號水印解釋并翻譯為發(fā)送端的身份信息。
步驟(4)中的信號水印的解釋并翻譯過程與步驟(1)信號水印生成過程相對應(yīng)���,對于步驟(1)中舉例的水印生成方式��,其解譯步驟如下1)檢測指定頻域(本實例為100Hz-109Hz)中的功率譜最大值��;2)判斷該譜值是否大于預(yù)先設(shè)定的能量門限G若該譜值小于門限值�����,則可以斷定信號水印不存在���;若該譜值大于或等于門限值,則選擇該譜值所對應(yīng)的頻率值fi���;3)根據(jù)公式h(i)=fi-f計算發(fā)送端的通信設(shè)備身份信息h(i)�����。
(5)接收端將信號水印承載的身份信息映射轉(zhuǎn)換為發(fā)送端的通信設(shè)備標(biāo)識�。在前面所列舉的實現(xiàn)方式中,采用的映射函數(shù)如下h(i)=i因此可以直接得到發(fā)送端的通信設(shè)備標(biāo)識�。但是,如果映射函數(shù)h(i)的形式比較復(fù)雜����,就必須通過身份信息數(shù)據(jù)庫查詢到發(fā)送端的身份標(biāo)識。
本發(fā)明的核心思想是在正常通信信號中添加信號水印����,從而對發(fā)送信號的通信設(shè)備進行標(biāo)識。其中�,具體的信號水印可以采用多種形式,即可以是某種固定形式的信號����,也可以是某種偽隨機信號,或者是其它任何形式的信號�,只要能夠滿足步驟(1)中所定義的四個特點,就屬于信號水印的范疇�����。對于每一種信號水印,都有相應(yīng)的信號水印生成��、嵌入��、提取和解譯方法���,從而使得信號水印的具體應(yīng)用方式具有極大的靈活性。因此�,根據(jù)本發(fā)明所提供的方法,采用適當(dāng)?shù)男盘査⌒问?��,能夠滿足各種具體通信環(huán)境的要求����。
如圖2所示���,實現(xiàn)上述方法的系統(tǒng)包括發(fā)送端1和接收端2兩個子系統(tǒng)�����,其中發(fā)送端1包括信號水印生成模塊3�����、信號水印嵌入模塊4和調(diào)制模塊5����;接收端2包括解調(diào)模塊6、信號水印提取模塊7���、信號水印解譯模塊8��、身份信息數(shù)據(jù)庫9����。通過發(fā)送端添加的信號水印����,接收端可以識別發(fā)送端的具體身份,從而達到身份認(rèn)證的目的��。
在發(fā)送端���,信號水印生成模塊3用于生成信號水印�,并將生成的信號水印發(fā)送給信號水印嵌入模塊4。信號水印嵌入模塊4用于將信號水印嵌入到正常通信信號中�����,從而產(chǎn)生攜帶信號水印的通信信號����。通信信號通過調(diào)制模塊5進行調(diào)制處理后發(fā)送到信道中。在接收端��,通過解調(diào)模塊6還原出原始通信信號�����,并利用信號水印提取模塊7分離出信號水印����。信號水印解譯模塊8判斷信號水印是否存在�,若信號水印不存在,則輸出一個預(yù)先定義的“空”信號����;若信號水印存在,則輸出信號水印上承載的身份信息��。身份信息數(shù)據(jù)庫根據(jù)信號水印解譯模塊8的輸出結(jié)果,查詢數(shù)據(jù)庫獲得發(fā)送端通信設(shè)備標(biāo)識�����。
上述發(fā)送端的調(diào)制模塊5和接收端的解調(diào)模塊6構(gòu)成傳輸系統(tǒng)�����。由于通信網(wǎng)絡(luò)可能存在多種傳播媒質(zhì)和調(diào)制方式�����,因此傳輸系統(tǒng)必須根據(jù)實際應(yīng)用情況而定�����。對于熟悉通信領(lǐng)域的技術(shù)人員而言�����,完全可以根據(jù)具體通信環(huán)境確定傳輸系統(tǒng)的構(gòu)成方式�。由于傳輸系統(tǒng)只是作為中介環(huán)節(jié),而且不同的傳輸系統(tǒng)不會影響整體系統(tǒng)的工作性能�,因此無須限定傳輸系統(tǒng)的構(gòu)成方式。
以上給出的是本發(fā)明在傳輸語音的調(diào)頻方式下的一種實現(xiàn)方式���,本領(lǐng)域的技術(shù)人員可以根據(jù)上述原理采用其它多種方式實現(xiàn)本發(fā)明�����。實例中描述了信號水印的一種產(chǎn)生算法����,針對不同的通信條件,具體采用信號水印算法會有所差別��,但是本發(fā)明的流程仍然是一致的�����。
綜上所述����,本發(fā)明是一種基于信號水印技術(shù)的通信設(shè)備身份識別方法�����,運用該方法構(gòu)成的系統(tǒng)獨立于具體的通信環(huán)境����,可以根據(jù)各種通信領(lǐng)域的具體要求,采用不同的信號水印算法,從而擴大了系統(tǒng)的應(yīng)用范圍���。根據(jù)本發(fā)明提出的方法�,本領(lǐng)域的技術(shù)人員可以根據(jù)具體的通信環(huán)境�,構(gòu)造適當(dāng)?shù)男盘査∷惴ǎ瑥亩鴮⒈景l(fā)明中的通信設(shè)備身份識別系統(tǒng)推廣到各種通信領(lǐng)域���,因此本發(fā)明不限于任何具體的通信領(lǐng)域�����,而是符合這里所揭示的原理和特征的最寬范圍���。
權(quán)利要求
1.一種通信設(shè)備身份識別方法,包括以下步驟(1)發(fā)送端產(chǎn)生信號水印���,用于標(biāo)識通信設(shè)備身份�;(2)發(fā)送端將上述信號水印嵌入到正常通信信號中��,并發(fā)送含有信號水印的通信信號給接收端���;(3)接收端接收上述含有信號水印的通信信號后�,從上述通信信號中分離出信號水印�����;(4)接收端將信號水印解釋并翻譯為發(fā)送端的身份信息��;(5)接收端將信號水印承載的身份信息轉(zhuǎn)換為發(fā)送端的通信設(shè)備標(biāo)識�。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于步驟(1)為(1.1)發(fā)送端利用一種頻率可控的正弦信號發(fā)生器�,根據(jù)發(fā)送端的身份標(biāo)識確定正弦信號的頻率,其計算公式如下fi=f+Δf=f+h(i)其中�,f為基準(zhǔn)頻率,i為設(shè)備標(biāo)識���,h(i)為從設(shè)備標(biāo)識i到頻率偏移Δf的映射函數(shù)��,且fmin>0Hz����,fmax≤300Hz�����,fmin為fi的最小值�,fmax為fi的最大值;(1.2)正弦信號發(fā)生器根據(jù)指定的頻率產(chǎn)生正弦信號作為信號水印����,并根據(jù)該正弦信號的幅度選擇能量門限G,作為信號水印是否存在的檢測依據(jù)��;步驟(2)利用信號合成器將正常通信信號與信號水印直接疊加�;步驟(3)為(3.1)對接收到的模擬信號進行采樣,將其轉(zhuǎn)化為數(shù)字信號���;(3.2)將采樣數(shù)據(jù)按時間分段�����;(3.3)對每一段數(shù)據(jù)進行快速傅立葉變換處理�,提取fmin-fmax區(qū)域內(nèi)的功率譜��;步驟(4)為(4.1)檢測fmin-fmax頻段中的功率譜最大值�;(4.2)判斷該譜值是否大于預(yù)先設(shè)定的能量門限G若該譜值小于能量門限,則可以斷定信號水印不存在�����;若該譜值大于能量門限G��,則選擇該譜值所對應(yīng)的頻率值fi;(4.3)利用公式h(i)=fi-f���,計算發(fā)送端通信設(shè)備的身份信息h(i)��;步驟(5)通過身份信息數(shù)據(jù)庫中存儲的h(i)與i之間的對應(yīng)關(guān)系�,查詢出發(fā)送端通信設(shè)備的身份標(biāo)識��。
3.一種實現(xiàn)權(quán)利要求1或2所述方法的系統(tǒng)�,其特征在于該系統(tǒng)包括用于生成的信號水印的發(fā)送端(1)和識別設(shè)備身份的接收端(2);在發(fā)送端(1)�����,信號水印生成模塊(3)用于生成信號水印��,并將生成的信號水印發(fā)送給信號水印嵌入模塊(4)�;信號水印嵌入模塊(4)用于將信號水印嵌入到正常通信信號中,通信信號通過調(diào)制模塊(5)進行調(diào)制處理后發(fā)送到信道中��;在接收端(2)���,解調(diào)模塊(6)用于還原出原始通信信號����,并利用信號水印提取模塊(7)分離出信號水印�����,信號水印解譯模塊(8)判斷信號水印是否存在�����,并輸出信號水印上承載的身份信息�。
全文摘要
本發(fā)明公開了一種通信設(shè)備身份識別方法及其系統(tǒng)。其步驟為①發(fā)送端產(chǎn)生信號水印��,用于標(biāo)識通信設(shè)備身份���;②發(fā)送端將信號水印嵌入到正常通信信號中�,并發(fā)送給接收端����;③接收端接收信號后,從上述通信信號中分離出信號水?。虎芙邮斩藢⑿盘査〗忉尣⒎g為發(fā)送端的身份信息�;⑤接收端將信號水印承載的身份信息轉(zhuǎn)換為發(fā)送端的通信設(shè)備標(biāo)識。該系統(tǒng)包括用于生成的信號水印的發(fā)送端和識別設(shè)備身份的接收端����;發(fā)送端包括信號水印生成模塊���、信號水印嵌入模塊和調(diào)制模塊;接收端包括解調(diào)模塊�����、信號水印提取模塊和信號水印解譯模塊���。本發(fā)明可以對網(wǎng)絡(luò)接入設(shè)備以及其它無線通信設(shè)備進行管理���,從而防止網(wǎng)絡(luò)的非法接入,保證網(wǎng)絡(luò)安全���。
文檔編號H04L9/32GK1761187SQ20051001977
公開日2006年4月19日 申請日期2005年11月9日 優(yōu)先權(quán)日2005年11月9日
發(fā)明者徐爭光, 黃本雄, 王芙蓉, 徐書華, 傅道俊 申請人:華中科技大學(xué)