基于射頻指紋的跨層認證方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及信息安全技術(shù)領(lǐng)域，特別是涉及一種基于射頻指紋的跨層認證方法?！颈尘凹夹g(shù)】
[0002] 無線通信網(wǎng)絡(luò)的開放性導(dǎo)致在無線傳輸過程中攻擊者很容易注入惡意數(shù)據(jù)或者 篡改合法消息的內(nèi)容。廣播報文認證是對抗可能出現(xiàn)的大多數(shù)攻擊的一種有效方案，它可 以讓已定接收器確定接收所期望的信息源的數(shù)據(jù)。采用以公鑰基礎(chǔ)設(shè)施為基礎(chǔ)的數(shù)據(jù)簽名 技術(shù)（如RSA或DSA)，在簽名認證中涉及了密集計算，導(dǎo)致資源消耗十分嚴重，這為資源非 常有限的移動設(shè)備增加了嚴重的負擔(dān)。隨著無線通信的發(fā)展，移動電子商務(wù)的安全和隱私 風(fēng)險成為關(guān)注的焦點，移動終端、WiFi網(wǎng)絡(luò)卡和RFID標簽等都急需低復(fù)雜度和低成本的認 證。對于這種資源受限的情況，提出了給予TESLA技術(shù)的輕量級密碼機的安全方案。盡管 TESLA是我們已知的最好方案之一，它仍然要求節(jié)點間的同步，并且容易受到拒絕服務(wù)攻 擊，其中攻擊者通過連續(xù)發(fā)送時間同步請求來阻塞合法發(fā)信者，輕量級密碼機的安全強度 受到危害?，F(xiàn)在大多數(shù)無線通信方案只能在接入網(wǎng)絡(luò)時對第一幀進行認證，對后面的數(shù)據(jù) 包均不予以認證，這可能會導(dǎo)致很多安全問題，如ID跟蹤、中間人攻擊和惡意節(jié)點攻擊等。
[0003] 最近，一些研究人員已經(jīng)轉(zhuǎn)向使用物理層信息來增強無線通信的安全，嘗試將現(xiàn) 有的認證與基于信道信息的物理層認證方案相結(jié)合，旨在實現(xiàn)輕量級并快速認證。這些研 究利用物理層的信道響應(yīng)時空唯一性，使得通信節(jié)點間的信道響應(yīng)可以像指紋一樣僅能被 合法發(fā)送者和接收者識別，并整合了現(xiàn)有的消息認證方案和物理層的認證機制。然而，通信 信道的時空唯一性正處于高速擁堵的環(huán)境下；并且這種方法僅適用于兩個時隙間的時間間 隔小于相干時間，并且移動速度很低的情況。當(dāng)通信雙方的兩個時隙間的間隔時間大于信 道相干時間時，他們需要進行上層認證。
[0004] 射頻（RadioFrequency，RF)指紋的唯一,性是用于識別發(fā)射機的狀態(tài)的另一個重 要的資源。這種唯一性與電氣元件、印刷電路板的路線、集成電路內(nèi)部路徑和射頻中經(jīng)高精 度和高帶寬的示波器顯示的無線發(fā)射機的濾波器輸出結(jié)果均有關(guān)，并且其差異在瞬時信號 間都可以體現(xiàn)出來。來自不同制造商的設(shè)備，其射頻指紋有很大的不同。據(jù)透露，即使在同 一系列的無線網(wǎng)絡(luò)卡上的射頻指紋也不同；因而射頻指紋有很大的不同，可用于識別無線 發(fā)射機。

【發(fā)明內(nèi)容】

[0005] 本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足，提供一種基于射頻指紋的跨層認證方 法，具有復(fù)雜度低、延時小和精確度高的特點，十分適用于資源受限的認證環(huán)境。
[0006] 本發(fā)明的目的是通過以下技術(shù)方案來實現(xiàn)的：基于射頻指紋的跨層認證方法，包 括以下步驟：
[0007] SI.第一時隙中，合法發(fā)送者A向合法接收者B發(fā)送第一數(shù)據(jù)包，對第一數(shù)據(jù)包進 行上層認證；
[0008] 若上層認證成功，則建立合法發(fā)送者A和合法接收者B之間的信任連接，跳轉(zhuǎn)步驟 S2 ；
[0009] 若上層認證失敗，則重復(fù)步驟Sl;
[0010] S2.合法接收者B提取合法發(fā)送者A的射頻指紋特征向量，并將該射頻指紋特征向 量存儲到合法接收者B的存儲器中；
[0011] S3.下一時隙中，發(fā)送者X向合法接收者B發(fā)送第二數(shù)據(jù)包，合法接收者B提取發(fā) 送者X的射頻指紋特征向量；
[0012] S4?設(shè)置射頻指紋特征向量樣本；
[0013] S5.合法接收者B根據(jù)射頻指紋特征向量對步驟S3中發(fā)送者X的射頻指紋特征向 量進行射頻指紋認證，即判斷發(fā)送者X的射頻指紋特征向量與射頻指紋特征向量樣本的相 似度；
[0014] 若該相似度大于或等于設(shè)定的閾值，則射頻指紋認證成功，發(fā)送者X為合法發(fā)送 者A，將該發(fā)送者X的射頻指紋特征向量存儲到合法接收者B的存儲器中，跳轉(zhuǎn)步驟S3 ;
[0015] 若該相似度小于設(shè)定的閾值，則射頻指紋認證失敗，發(fā)送者X為攻擊者E，合法接 收者B丟棄第二數(shù)據(jù)包，跳轉(zhuǎn)步驟Sl。
[0016] 所述上層認證采用基于公鑰基礎(chǔ)設(shè)施的數(shù)字簽名認證或基于TESLA的認證。
[0017] 所述上層認證采用基于公鑰基礎(chǔ)設(shè)施的數(shù)字簽名認證時，步驟Sl包括以下子步 驟：
[0018] SlL第一時隙中，為合法發(fā)送者A分配具有一定生命周期的匿名的公鑰/私 鑰對<pubKA,priKA>，公鑰/私鑰對<pubKA,priKA>的證書為CertA，公鑰/私鑰對 <pubKA，priKA> 的虛擬ID為PVIDA;
[0019] 為合法接收者B分配一個具有一定生命周期的匿名的公鑰/私鑰對<pubKB，priKB >，公鑰/私鑰對<pubKB,priKB>的證書為CertB，公鑰/私鑰對<pubKB,priKB>的虛擬 ID為PVIDb;
[0020] S12.合法發(fā)送者A利用其私鑰priKA對第一數(shù)據(jù)包的散列消息進行簽名，第一數(shù) 據(jù)包表示為:，然后將第一數(shù)據(jù)包<發(fā)送給合法接收者B，即：
[0022] S13?合法接收者B收到第一數(shù)據(jù)包X嚴后，合法接收者B利用公鑰pubKA對第一 數(shù)據(jù)包Ifs的簽名進行驗證：
[0024] 式中，I-并置運算符，V當(dāng)前時間戳；
[0025] S14.若簽名驗證成功，則合法接收者B認為第一數(shù)據(jù)包X，的發(fā)送者是合法發(fā)送 者A，建立合法發(fā)送者A和合法接收者B之間的信任連接；
[0026] S15.若簽名驗證失敗，則合法接收者B丟棄第一數(shù)據(jù)包JTf，跳轉(zhuǎn)步驟S12。
[0027] 所述合法接收者B提取合法發(fā)送者A的射頻指紋特征向量和合法接收者B提取發(fā) 送者X的射頻指紋特征向量的步驟均包括以下步驟：
[0028] SOl?合法接收者B接收射頻信號；
[0029] S02.合法接收者B利用希爾伯特變換對接收到的射頻信號進行解析，然后計算射 頻信號的瞬時相位，通過相位檢測的方法來檢測瞬態(tài)信號；
[0030] S03.合法接收者B采用小波分析變換的方法獲取平滑的瞬時包絡(luò)曲線；
[0031] S04.采用擬合曲線對瞬時包絡(luò)曲線進行處理得到擬合系數(shù)，即提取射頻指紋特征 向量。
[0032] 所述步驟S5中進行射頻指紋認證時采用的識別器為SVM識別器和BP神經(jīng)網(wǎng)絡(luò)識 別器。
[0033] 所述步驟S5中進行射頻指紋認證的檢驗算法為似然比檢驗法或序貫概率比檢驗 法。
[0034] 所述步驟S5之前還包括設(shè)置閾值的步驟。
[0035] 所述步驟S4中的射頻指紋特征樣本包括合法接收者B的存儲器中存儲的射頻指 紋特征向量中的一個或多個。
[0036] 本發(fā)明的有益效果是：
[0037] (1)本發(fā)明僅在合法發(fā)送者A和合法接收者B之間建立信任連接時，對第一數(shù)據(jù)包 采用基于公鑰基礎(chǔ)設(shè)施的數(shù)字簽名認證或基于TESLA的認證進行上層身份認證，對后續(xù)數(shù) 據(jù)包的認證則通過射頻指紋認證來實現(xiàn)，具有計算復(fù)雜度低和延時小的特點；
[0038] (2)由于射頻指紋特征向量不隨時間變化，因此在射頻指紋認證未出現(xiàn)失敗且通 信一直連接的情況下，兩個時隙之間的時間間隔可以長達數(shù)小時甚至數(shù)天；
[0039] (3)整個通信過程中，由于射頻指紋特征向量的差異在瞬時信號間都可以體現(xiàn)出 來，攻擊者E無法獲取合法接收者B提取的合法發(fā)送者A的射頻指紋特征，因而無法對合法 發(fā)送者A發(fā)送的數(shù)據(jù)包進行篡改、轉(zhuǎn)發(fā)或偽造，保證了通信安全。
【附圖說明】
[0040] 圖1為本發(fā)明基于射頻指紋的跨層認證方法的流程圖；
[0041] 圖2為本發(fā)明中提取射頻指紋特征向量的流程圖；
[0042] 圖3為本發(fā)明的一個實施例。
【具體實施方式】
[0043] 下面結(jié)合附圖進一步詳細描述本發(fā)明的技術(shù)方案，但本發(fā)明的保護范圍不局限于 以下所述。
[0044] 如圖1所示，基于射頻指紋的跨層認證方法，包括以下步驟：
[0045] SI.第一時隙中，合法發(fā)送者A向合法接收者B發(fā)送第一數(shù)據(jù)包，對第一數(shù)據(jù)包進 行上層認證；
[0046] 若上層認證成功，則建立合法發(fā)送者A和合法接收者B之間的信任連接，跳轉(zhuǎn)步驟 S2 ；
[0047] 若上層認證失敗，則重復(fù)步驟Sl。
[0048] 所述對第一數(shù)據(jù)包進行身份認證采用基于公鑰基礎(chǔ)設(shè)施的數(shù)字簽名認證或基于 TESLA的認證。
[0049] 所述對第一數(shù)據(jù)包進行身份認證采用基于公鑰基礎(chǔ)設(shè)施的數(shù)字簽名認證時，步驟 Sl包括以下子步驟：
[0050] SlL第一時隙中，為合法發(fā)送者A分配具有一定生命周期的匿名的公鑰/私 鑰對<pubKA,priKA>，公鑰/私鑰對<pubKA,priKA>的證書為CertA，公鑰/私鑰對 <pubKA，priKA> 的虛擬ID為PVIDA;
[0051] 為合法接收者B分配一個具有一定生命周期的匿名的公鑰/私鑰對<pubKB，priKB >，公鑰/私鑰對<pubKB,priKB>的證書為CertB，公鑰/私鑰對<pubKB,priKB>的虛擬 ID為PVIDb;所述公鑰/私鑰對<pubKA，priKA>和公鑰/私鑰對<pubKB，priKB>的生命 周期一般為幾分鐘。
[0052] S12.合法發(fā)送者A利用其私鑰priKA對第一數(shù)據(jù)包的散列消息進行簽名，第一數(shù) 據(jù)包表示為巧?，然后將第一數(shù)據(jù)包！T發(fā)送給合法接收者B，即：
[0054] S13?合法接收者B收到第一數(shù)據(jù)包JJf后，合法接收者B利用公鑰pubKA對第一 數(shù)據(jù)包X，的簽名進行驗證：
[0056] 式中，I-并置運算符，V當(dāng)前時間戳。
[0057] S14.若簽名驗證成功，則合法接收者B認為第一數(shù)據(jù)包不的發(fā)送者是合法發(fā)送 者A，建立合法發(fā)送者A和合法接收者B之間的信任連接。
[0058] S15.若簽名驗證失敗，則合法接收者B丟棄第一數(shù)據(jù)包，跳轉(zhuǎn)步驟S12。
[0059] S