[发明专利]一种适用于移动无线网络环境的物理层认证方法及系统

说明书

本发明公开了一种适用于移动无线网络环境的物理层认证方法及系统。本发明中设认证端已认证来自合法被认证端的第k个数据包，并记录了它的信道特征,被认证端也已收到了来自合法认证端的确认包，并记录其信道特征H_BA(k)。被认证端计算认证响应序列Y_BA(k)，将Y_BA(k)和第k+1个数据包发送给认证端，认证端根据Y_BA(k)和H_AB(k)，判断当前的数据包是否仍来自被认证端，从而判断被认证端是否为合法终端。本发明系统包括信道特征提取模块，数据处理模块和判定模块。本发明在物理层实现了基于无线信道特征的逐信息包的实时、动态的身份认证，消除了基于身份的欺骗攻击。

技术领域

本发明属于无线网络安全技术领域，涉及一种适用于移动无线网络环境的物理层认证方法及系统。

背景技术

随着无线通信技术在军事、金融及医疗等各个领域的广泛应用，其安全性和可靠性问题也越来越受人们的重视。由于无线信道的开放性，无线网络很容易遭受基于身份的欺骗攻击，未经授权的用户试图冒充另一个合法用户获得进入网络系统的权限。在无线网络环境中，攻击者很容易发起基于身份的攻击，基于身份的攻击被认为是攻击者发起各种类型攻击的第一步，例如会话劫持，拒绝服务(DOS)和中间人攻击。例如，在802.11网络中，攻击者可以通过ifconfig命令改变设备的MAC地址，从而假冒其他合法设备。身份验证是处理此类基于身份的攻击的有效方法，通过该方法，目标接收者可以验证所涉及的发送端的身份，并确保接收的数据来自预期的用户。

目前，无线网络中的认证机制是通过基于密钥的加密技术在上层来实现的，虽然传统的加密技术在一定程度上可以防止基于身份的攻击，但它们要么效率低下，要么在某些应用场景中受到限制。首先，大规模或动态无线网络中的安全密钥分发和管理是一个巨大的挑战，甚至在高动态网络环境中是不可行的；其次，一旦这些预先分发的密钥被泄露，将破坏认证机制的整体安全性；第三，传统的基于加密的认证机制是通过上层协议栈来实现的，通信开销大，计算复杂度高、时延大。而且，传统的上层认证无法解决来自物理层的攻击。故传统的基于加密的认证机制不适用于资源受限的无线网络，亟需构建一种新的适用于资源受限无线网络的轻量级安全认证机制。

为解决传统认证技术的上述弱点，近几年出现了利用无线信道物理层特征解决无线网络认证问题的新思路。基于信道特征的物理层认证利用物理信道特征，如信道状态信息(CSI)或接收信号强度(RSS)作为信道指纹来区分合法发送者和非法发送者。其基本思想是合法发送者和接收者之间的无线信道特征是互易的和空间唯一的，与合法用户位于不同位置的攻击者将经历独立的衰落，因此无法测量与合法用户相同的信道特征。基于这种空间不相关原理，接收者可以区分合法发送者和进行欺骗的攻击者。具体地，在物理层认证方案中，接收者通过连续地将当前CSI或RSS与先前合法的CSI或RSS进行比较来认证不同位置处的发送者的身份。物理层认证通常通过将信道测量与假设检验相结合来确定新消息是否来自先前经过认证的合法者。与传统的基于加密的认证机制相比，无线信道特性很难模仿，且物理层认证具有计算复杂度低、通信开销小、时延小和功耗低等优点，非常适用于资源受限的无线网络终端进行实时认证。因此，物理层认证可以实现快速有效的消息认证，已被视为对现有上层认证的补充增强方案，例如，当上层认证机制使用的认证密钥被泄露时，物理层认证可以用作补充认证方法以验证发送者的身份。