CN109829477A - 基于启发式聚类的多属性物理层认证方法、装置和服务器 - Google Patents

Abstract

本发明公开了基于启发式聚类的多属性物理层认证方法、装置和服务器。该方法包括步骤：对接收到的信号进行采样，提取多重PHY特征，构建原始特征空间；通过二重主成分分析将原始特征空间映射到正交子空间；在正交子空间上执行非参数的局部启发式聚类，返回最优的聚类结果；以最优的聚类结果为基础，通过欧氏距离判决当前接收到的信号是否合法。该装置包括采样模块、去相关性模块、聚类模块和认证模块。该认证服务器部署有该认证装置。本发明通过主成分分析将特征空间映射到正交低维子空间，提高了物理层特征认证的稳定性；提出基于分裂能量和合并能量的非参数聚类算法，可以自动确定聚类个数，以极低的复杂度实现极高的认证性能。

Description

基于启发式聚类的多属性物理层认证方法、装置和服务器

技术领域

本发明涉及无线通信技术领域，特别涉及基于启发式聚类的多属性物理层认证方法、装置和服务器。

背景技术

在无线通信中，信号经无线信道的传播导致身份信息存在泄露的风险。目前较为广泛使用的身份认证方法是采用密钥作为身份标识的密码认证，相关研究主要集中在密钥管理的安全性和有效性上。然而，随着无线网络框架的发展，密钥管理变得越来越复杂，使其可能不适用于资源受限的情况。同时，随着基于身份的攻击方式的出现，如欺骗攻击、拒绝服务攻击等，攻击者很容易伪造他们的MAC地址和其他身份信息，伪装成另一个发送方，在很多领域都造成了巨大的损失，身份安全问题近年来得到了越来越多的关注。相比较而言，物理层(PHY，Physical Layer)认证方式的计算复杂度低，安全性高，因此被作为身份认证的另一种可行的解决方案。

PHY认证机制的一般原理是身份验证服务器采集接收信号，提取PHY特征值，然后将这些特征值与参考值进行比较。如果PHY特征与参考值之间的差异小于认证之前训练阶段可以得到的阈值，则认证过程返回来自合法终端的接收信号。换句话说，PHY认证利用了合法接收信号和欺骗信号之间物理层特征的差异来区分它们。与密钥认证相比，PHY特性直接与通信设备和相应环境相关，具有极高的伪造难度。但是，由于无线信道的存在，无线电波的传播路径复杂，信号经无线信道到达接收端会受到各种衰落的影响，因此物理层特征存在很强的不稳定性，对认证性能影响很大。因此，有必要设计合理的物理层特征和校验手段，以保障认证性能。即为了提高PHY认证的可靠性，有效的特征处理过程是必不可少的。

聚类分析是将海量数据划分为不同聚类集的过程，同一个聚类集内的数据彼此相似，不同聚类集间的数据差异较大。由于数据量的快速增长，聚类算法在数据处理领域得到了广泛的应用。传统的聚类算法是迭代下降聚类算法，例如PAM(Partitioning AroundMedoid)，目的是在已知聚类数时确定聚类集。但对于PHY认证问题，根据采样对象的特点，需要自动确定聚类集的数量。并且，传统的聚类算法会带来极高的计算复杂度。

随着无线网络的发展，延迟成为重要的性能指标。传统的身份验证延迟包含密钥传输延迟和计算延迟。但是对于MEC(Mobile Edge Computing)场景中的PHY认证来说，传输延迟是可以忽略的。因此，身份验证算法的延迟与算法复杂度呈正相关，计算复杂度被用来表示身份验证延迟。在基于PAM的系统演进算法中，搜索最优的集群中心会带来很大的计算复杂度，这在延迟敏感场景中是不可接受的。

因此，如何在提升PHY认证的可靠性的同时，降低认证过程的计算复杂度进而减少身份验证延迟，成为了本领域技术人员有待解决的技术问题。

发明内容

本发明的目的是提出一种基于启发式聚类的多属性物理层认证方法、装置和服务器，以解决上述技术问题。

为实现上述目的，本发明提供了如下方案：

本发明实施例的第一个方面，提供了一种基于启发式聚类的多属性物理层认证方法，包括如下步骤：

对接收到的信号进行采样，提取多重PHY特征，构建原始特征空间；

通过二重主成分分析将所述原始特征空间映射到正交子空间；

在所述正交子空间上执行非参数的局部启发式聚类，返回最优的聚类结果；

以所述聚类结果为基础，通过欧氏距离判决当前接收到的信号是否合法。

可选的，提取多重PHY特征，构建原始特征空间，包括：

从样本中提取出多重PHY特征，形成样本空间；所述多种PHY特征包括但不限于基于接收信号的PHY特征、基于信道特性的PHY特征和基于发射机制造偏差的PHY特征；

对所述样本空间的各重PHY特征作归一化处理并附以权重系数，得到第一特征向量，由所述第一特征向量组成特征空间。

可选的，通过二重主成分分析将所述原始特征空间映射到正交子空间，包括：

将所述原始特征空间分解为合法信号子空间和攻击信号子空间；

求解所述合法信号子空间的第一转移矩阵；

正交化所述合法信号子空间，得到正交化的第一对角矩阵；

单位化所述第一对角矩阵；

求解所述攻击信号子空间的第二转移矩阵；

正交化所述攻击信号子空间，得到正交化的第二对角矩阵。

可选的，求解所述合法信号子空间的第一转移矩阵，包括：获取已知的合法信号子空间的原始的第一协方差矩阵Σ_L；对所述第一协方差矩阵进行特征值分解；特征值λ_i由大到小排序，每一特征值对应的第二特征向量归一化为列向量，构成合法信号子空间的第一转移矩阵P_L；

(Σ_L-λ_iI)p_i＝0

其中，这里，λ_i表示特征值，p_i表示第二特征向量，I表示单位矩阵；

所述步骤正交化所述合法信号子空间、得到正交化的第一对角矩阵，包括：将所述原始特征空间通过所述第一转移矩阵P_L投影，得到第一中间态合法信号子空间Ω'_L和第一中间态攻击信号子空间Ω'_S，此时第一中间态合法信号子空间Ω'_L对应的第一中间态协方差矩阵Σ'_L正交化为第一对角矩阵Λ_L，第一

中间态攻击信号子空间对应的第二中间态协方差矩阵Σ′_S为非对角阵；

S'＝P_L·S＝Ω'_L+Ω'_S

其中，S'表示第一中间态空间，为第一中间态合法信号子空间Ω′_L和第一中间态攻击信号子空间Ω′_S的合集；

所述步骤单位化所述第一对角矩阵，包括：计算得到所述第一对角矩阵Λ_L开平方之后的逆矩阵将所述第一中间态协方差矩阵Σ′_L分别左乘所述逆矩阵、右乘所述逆矩阵的转置，得到被单位化的第二中间态合法信号子空间Ω″_L对应的第三中间态协方差矩阵Σ″_L，以及第二中间态攻击信号子空间Ω″_S的第四中间态协方差矩阵Σ″_S；

其中，S″表示第二中间态空间，为第二中间态合法信号子空间Ω″_L和第二中间态攻击信号子空间Ω″_S的合集；

所述步骤求解所述攻击信号子空间的第二转移矩阵，包括：将所述第四中间态协方差矩阵Σ″_S的特征值由大到小排序，每一特征值对应的第三特征向量归一化为列向量，构成所述攻击信号子空间的第二转移矩阵P_S；

所述步骤正交化所述攻击信号子空间，得到正交化的第二对角矩阵Λ_S，包括：将所述第二中间态空间S″通过所述第二转移矩阵P_S投影，得到到正交合法信号子空间Sp_L和正交攻击信号子空间Sp_S，并按照下式得到所述攻击信号子空间对应的、正交化的第二对角矩阵Λ_S：

Sp＝P_S·S″＝Sp_L+Sp_S

可选的，在所述正交子空间上执行非参数的局部启发式聚类，返回最优的聚类结果，包括：

步骤S51，通过启发式聚类算法得到初始化后的K个第一聚类中心和第一聚类集，定义每一聚类集为一簇；

步骤S52，遍历所有所述第一聚类中心，返回欧式距离最小的两个所述第一聚类集，定义为兄弟簇；

步骤S53，计算所述兄弟簇的分裂能量和合并能量；

步骤S54，判断所述合并能量是否大于所述分裂能量，所述合并能量大于所述分裂能量，则将所述兄弟簇合并为一个聚类集，返回簇数为K-1的分类结果；所述分裂能量大于或等于所述合并能量，则将K个所述聚类集分裂为K+1个聚类集，返回簇数为K+1的分类结果；

其中，E_p(K)为分裂能量，E_m(K)为合并能量。

步骤S55，重复步骤S52-S54，直到找到一个兄弟簇，其分裂能量大于合并能量，但将其分裂后所得的兄弟簇的合并能量大于分裂能量，则聚类结束，得到第二聚类集和第二聚类中心，作为最优的聚类结果返回。

可选的，计算所述兄弟簇的分裂能量和合并能量，包括：

假设兄弟簇x和y分别包含n_x和n_y个样本点，将兄弟簇分别分割为和部分；边界区域的样本点个数分别为和分裂能量E_p(K)和合并能量E_m(K)为：

其中，x_i和y_j分别表示兄弟簇x和y中的样本点，D(x_i,y_i)表示样本点x_i和y_i之间的欧式距离；C_x为簇x的边界区域样本所组成的集合；C_y为簇y的边界区域样本所组成的集合；

定义C_s＝C_x∪C_y，s_i,s_j均为C_s中的样本。

可选的，通过启发式聚类算法得到初始化后的K个第一聚类中心和第一聚类集，包括：

步骤S61，在所述特征空间上的所有样本点所组成的数据集中，选择K个样本点作为各个聚类集的聚类中心；首先计算所述数据集中任意两个样本点之间的距离：

d_ij表示任意两个样本之间的欧式距离，所有的成对样本点之间的距离共同组成了矩阵D，v_j表示第j个样本点处于样本中心的测度系数，v_j越小表示第j个样本点是聚类中心的概率越大，选取v_j最小的K个样本点作为原始聚类中心；

步骤S62，计算其余所有点到K个所述原始聚类中心的欧氏距离，并将所有非原始聚类中心点分配给距离最近的原始聚类中心，得到原始聚类集；

步骤S63，在每个所述原始聚类集中按照顺序依次选取样本点，计算该点到当前所属的原始聚类集中所有点的距离之和，选取距离之和最小的点，作为更新的聚类中心；

步骤S64，重复步骤S62和S63，直到各个聚类集的中心点不再改变，得到第一聚类中心和第一聚类集。

可选的，以最优的聚类结果为基础，通过欧氏距离判决当前接收到的信号是否合法，包括：

判断所述每一第二聚类集中是否包含多个身份，是，则判定为女巫攻击，否，则根据下述检验模型进一步判决：

H₀:Δ_i＜τ

H₁:Δ_i≥τ

其中，Δ_i表示第i个聚类集的中心到参考矢量的欧式距离，τ为预设的判决阈值，H₀表示该样本来自合法用户，H₁表示该样本来自攻击者；欧式距离小于所述判决阈值，则接受H₀，表示该样本来自合法用户；否则，接受H₁，表示该样本来自于攻击者。

本发明实施例的第二个方面，还提供一种基于启发式聚类的多属性物理层认证装置，包括：

采样模块，用于对接收到的信号进行采样，提取多重PHY特征，构建原始特征空间；

去相关性模块，用于通过二重主成分分析将所述原始特征空间映射到正交子空间；

聚类模块，用于在所述正交子空间上执行非参数的局部启发式聚类，返回最优的聚类结果；

认证模块，用于以所述最优的聚类结果为基础，通过欧氏距离判决当前接收到的信号是否合法。

本发明实施例的第三个方面，还提供一种基于启发式聚类的多属性物理层认证服务器，部署有上述基于启发式聚类的多属性物理层认证装置。

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明公开了基于启发式聚类的多属性物理层认证方法、装置和服务器。该方法基于物理层提取的多重PHY特征，构建特征空间，通过二重主成分分析将特征空间映射到正交子空间，在所述正交子空间上执行非参数的局部启发式聚类算法，返回最优聚类结果通过欧式距离进行判别。其中本发明提出的通过主成分分析将原始数据特征空间映射到正交低维子空间，一定程度地消除了无线信道环境噪声和干扰对于物理层特征认证准确度的影响，提高了用于认证的联合物理层特征的稳定性，也降低了分析的复杂度；并且本发明提出的非参数局部启发式聚类算法，相比于传统的聚类算法(例如PAM)，降低了身份认证的计算复杂度，减少认证延迟；同时，本发明提出的改进的非参数的局部启发式聚类可以自动确定聚类个数，以极低的复杂度实现了极高的认证性能。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明基于启发式聚类的多属性物理层认证方法的一个实施例的流程示意图；

图2为本发明基于启发式聚类的多属性物理层认证方法的另一个实施例的主要流程示意图；

图3为本发明认证模型的简要示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例的附图，对本发明实施例的技术方案进行清楚、完整地描述。显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于所描述的本发明的实施例，本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1

本发明实施例1提供了一种基于启发式聚类的多属性物理层认证方法，如图1所示，该方法包括如下步骤：

步骤S101，对接收到的信号进行采样，提取多重PHY特征，构建原始特征空间。

原始特征空间是由采集的多维PHY特征组成，即在原始特征空间中，每个维度都是一种接收信号的PHY特征，所有PHY特征维度共同构成了原始特征空间。

步骤S102，通过二重主成分分析将所述特征空间映射到正交子空间。

步骤S103，在正交子空间上执行非参数的局部启发式聚类，返回最优的的聚类结果。聚类结果包括聚类集和聚类中心。

步骤104，以步骤S103得出的聚类结果为基础，通过欧氏距离计算判决当前接收到的信号是否合法。

优选地，计算聚类中心到参考矢量的欧氏距离作为相似性度量的标准，判决信号合法性。

聚类算法可以有效地处理PHY特性以提高认证性能，本发明实施例提出的基于聚类算法的多属性物理层认证方案，可以实现原始数据特征空间的降维和去相关性，进而提高认证的可靠性；基于实现局部启发式的非参数聚类算法，可以降低计算复杂度。

实施例2

本发明实施例2提供一种基于启发式聚类的多属性物理层认证方法的一个优选实施例。

该实施例2所提供的认证方法的主要的流程步骤参见图2所示。

具体地，包括步骤：

S201，设置信道样本信息，对待认证信号进行采样，得到第一特征向量。

首先要设置信道样本信息作为接下来认证过程的参考，身份认证服务器对新接收到的信号进行多次采样，从样本中提取出多重PHY特征。

PHY特征的提取可根据实际需要而具体调整，主要取决于通信系统的提取能力，理论上特征越多，认证越精确。

在本实施例中，作为一种可实施方式，PHY特征主要分为三类：1.基于接收信号的PHY特征，例如接收信号强度，接收信号入射角度，接收信号到达时间差；2基于信道特性的PHY特征，例如信道冲击响应、信道衰落系数；3.基于发射机制造偏差的PHY特征，例如载波频率偏移，同相或正交信号产生偏差。

由于不同的物理层属性之间在数值和量纲上都没有可比性，而且在不同的认证场景中各属性对认证性能的贡献有较大差异，首先要对样本空间的各维属性作归一化处理并附以权重系数，得到第一特征向量第一特征向量组成原始特征空间S。

其中，归一化处理需要基于不同通信场景来分别进行，在已知接收信号分布特征的通信场景下，可以采用Z-score标准归一化方法；当接收信号的分布特征无法获取时，采用Min-max线性归一化方法。本领域技术人员可根据实际应用的通信场景具体选择。

权重系数则是衡量不同PHY特征在认证中的重要程度，在该实施例中，在不同的通信场景下，该权重系数通过训练获取。

由于原始特征空间中各个维度之间存在相关性，原始数据集可能包含冗余信息，这将在认证过程中造成较大的计算延迟。此外，维数的非正交性也不利于认证性能的分析。需要将原始特征空间转化到正交子空间，然后在正交子空间上执行非参数的局部启发式聚类算法，得到聚类个数和聚类集，执行判决准则，判断待认证节点的合法性。原始数据集，即由特征空间上的所有样本点组成的数据集。

步骤S202，原始特征空间去相关性。

本发明实施例采用二重主成分分析实现原始特征空间的去相关性。具体步骤如下：

S2021，原始特征空间分解。在身份认证问题中，接收信号的可能来源只有两个，一个是合法的终端用户，另一个是欺骗攻击者。因此，特征空间可以被视为合法信号子空间和攻击信号子空间的组合。即S＝Ω_L+Ω_S，其中Ω_S为合法信号子空间，Ω_L为攻击信号子空间。合法信号子空间和攻击信号子空间是通过样本点的均值和协方差等统计特征进行区分的。合法样本点的均值和协方差信息对于认证系统来说是默认已知的，在本发明中作为先验信息。所有满足该特征的样本点构成合法信号子空间，不满足该特征的样本点构成攻击信号子空间。

S2022，求解合法信号子空间的第一转移矩阵。合法信号子空间的第一协方差矩阵已知，将其第一协方差矩阵的特征值由大到小排序，对应的第二特征向量归一化为列向量，构成合法信号子空间的第一转移矩阵。

本发明实施例中，使用矩阵的特征值分解理论求解第一转移矩阵。

具体地，作为一种可实施方式，求解合法信号子空间的第一转移矩阵包括：获取已知的合法信号子空间的原始的第一协方差矩阵Σ_L；对第一协方差矩阵进行特征值分解；特征值λ_i(i＝1,...,K)由大到小排序，每一特征值对应的第二特征向量归一化为列向量，构成合法信号子空间的第一转移矩阵P_L；

(Σ_L-λ_iI)p_i＝0

这里，λ_i表示特征值，p_i表示特征向量，将p_i归一化后，组成了第一转移矩阵P_L，即表示归一化的特征向量；I表示单位矩阵，即主对角元素为1，其他位置全为0的矩阵。

需要说明的是，本发明中“第一”“第二”“第三”“第四”仅为限定清楚对不同描述对象加以区分，并不表示具有不同编号的同一类别技术特征。例如本发明中第一特征向量与第二特征向量从本质上不是一类向量，第一特征向量是PHY特征矢量所组成的一组向量，本身不具备正交性；第二特征向量是由第一协方差矩阵特征值分解所得到的一组相互正交的特征向量，其本身不具备明确的物理意义。

S2023：正交化合法信号分量。

具体地，作为一种可实施方式，将原始特征空间通过第一转移矩阵P_L投影，得到第一中间态合法信号子空间Ω'_L和第一中间态攻击信号子空间Ω'_S，此时第一中间态合法信号子空间Ω′_L对应的第一中间态协方差矩阵Σ'_L正交化为第一对角矩阵Λ_L，第一中间态攻击信号子空间对应的第二中间态协方差矩阵Σ′_S为非对角阵；

S'＝P_L·S＝Ω'_L+Ω'_S

其中，S'表示第一中间态空间，为第一中间态合法信号子空间Ω'_L和第一中间态攻击信号子空间Ω′_S的合集。Λ_L表示第一对角矩阵，其对角元素为从大到小排列的特征值，如前所述的λ_i。

投影后的合法信号分量对应的矩阵为可对角化的对角矩阵，但攻击信号分量的不同特征之间仍存在相关性。至此，第一重主成分分析结束。

S2024：单位化特征空间的协方差矩阵。为了保证已正交化的合法信号分量在后续变换中正交性不被破坏，将特征空间的对角矩阵单位化，单位化的合法信号分量能够在后续变化中保持其正交性。

具体地，计算得到所述第一对角矩阵Λ_L开平方之后的逆矩阵将第一中间态协方差矩阵Σ'_L分别左乘逆矩阵、右乘逆矩阵的转置，得到被单位化的第二中间态合法信号子空间Ω″_L对应的第三中间态协方差矩阵Σ″_L，以及第二中间态攻击信号子空间Ω″_S的第四中间态协方差矩阵Σ″_S；

其中，S″表示第二中间态空间，为第二中间态合法信号子空间Ω″_L和第二中间态攻击信号子空间Ω″_S的合集。同上，I为单位矩阵，即主对角元素为1，其他位置全为0的矩阵。

S2025：求解攻击信号子空间的第二转移矩阵。将攻击信号第三协方差矩阵的特征值由大到小排序，对应的第三特征向量归一化为列向量，构成攻击信号子空间的第二转移矩阵。

具体地，作为一种可实施方式，将第四中间态协方差矩阵Σ″_S的特征值由大到小排序，每一特征值对应的第三特征向量归一化为列向量，构成攻击信号子空间的第二转移矩阵P_S。

S2026：正交化攻击信号分量。

具体地，作为一种可实施方式，将第二中间态空间S″通过第二转移矩阵P_S投影，得到到正交合法信号子空间Sp_L和正交攻击信号子空间Sp_S，并按照下式得到攻击信号子空间对应的、正交化的第二对角矩阵Λ_S：

Sp＝P_S·S″＝Sp_L+Sp_S

其中，Sp为正交合法信号子空间Sp_L与正交攻击信号子空间Sp_S的合集，为正交合法信号子空间Sp_L对应的第五协方差矩阵，为正交攻击信号子空间Sp_S对应的第六协方差矩阵。

攻击信号分量的协方差矩阵通过投影转换为可对角化的第二对角矩阵，得到的而攻击信号分量的正交化保持不变，第二重主成分分析结束，特征空间的完全正交化完成。至此，原始特征空间经过第一转移矩阵和第二转移矩阵的映射，合法信号子空间与攻击信号子空间都实现了正交化。

从抽样点之间的相关性来看，马氏距离是最常见的相似性度量方式。然而，正交子空间实现了可对角化的协方差矩阵，其中采样点之间的相关性已经被去除。因此，在本发明中，采用欧氏距离作为判别模型中的计算要素。

步骤S203，执行非参数的启发式聚类算法，返回聚类个数和聚类集。

本发明采用非参数的局部启发式聚类算法，基于分裂能量和合并能量的概念以自动找到最优聚类结果，而不是人为指定聚类个数，该算法与传统聚类算法的性能接近，复杂度极低。

具体包括以下步骤：

S2031：初始化聚类中心和聚类集。随机选择K个样本作为最初的第一聚类中心(初始化时K一般取为2)，此时聚类个数为K，通过启发式聚类算法获得第一聚类中心和第一聚类集。

S2032：寻找兄弟簇，返回簇序数。为描述方便，一聚类集定义为一簇。遍历所有第一聚类中心，返回欧氏距离最小的两个第一聚类集，并将其定义为兄弟簇。若兄弟簇可以被分离，那么认为其他簇也可被分离；若兄弟簇需要被合并，那么认为其他簇无法被分离。

S2033：计算兄弟簇的分裂能量和合并能量。定义分裂能量和合并能量来表征兄弟簇边界区域内的元素与兄弟簇的关联程度，若分裂能量较大，表示边界区域中的元素与兄弟簇相似性较低，应该单独另成一簇，若合并能量较大，表示边界区域内的元素与兄弟簇相似度较高，应该将兄弟簇合并为一簇。

假设兄弟簇x和y分别包含n_x和n_y个样本点，将兄弟簇分别分割为和部分。边界区域的样本点个数分别为和分裂能量E_p(K)和合并能量E_m(K)为：

其中，D(x_i,y_i)表示样本点x_i(x_i∈C_x)和y_i(y_i∈C_y)之间的欧式距离。

S2034：根据分裂能量和合并能量对兄弟簇作进一步处理。在得到分裂能量和合并能量之后，通过比较其大小改变聚类个数。如果合并能量大于或者等于分裂能量，则返回簇数为K-1的分类结果；1如果分裂能量大于合并能量，将整体样本集用聚类分析算法分为K+1簇。

E_p(K)为分裂能量，E_m(K)为合并能量。

S2035：继续寻找并处理下一个兄弟簇，直到求得最优聚类结果。重复步骤S2032、S2033、S2034，直到找到一个兄弟簇，其分裂能量大于合并能量，但将其分裂后所得兄弟簇的合并能量大于分裂能量，此时认为该次分裂为过度分裂，聚类结束，得到最优解，返回第二聚类集和第二聚类中心，即返回最优的聚类集C_i(i＝1…K)和聚类中心M_i(i＝1…K)。

优选地，作为一种可实施方式，步骤S2031中启发式聚类算法包括以下步骤：

步骤1)：在所有数据集中选择K个样本点作为各个聚类集的聚类中心。首先计算样本集中任意两个样本点之间的距离为d_ij，所有的距离共同构成了距离矩阵定义表示该样本点到其余各点的距离之和，v_j越小，表示该样本点越适合作为聚类中心，选取最小的K个样本点作为聚类中心。

步骤2)：计算其余所有点到K个聚类中心的欧氏距离，并将所有非聚类中心点分配给距离最近的聚类中心，得到聚类集。

步骤3)：在每个簇中按照顺序依次选取样本点，计算该点到当前簇中所有点距离之和，选取距离最小的点，即视为新的聚类中心点。

步骤4)：重复步骤2)、步骤3)，直到各个聚簇的中心点不再改变。

步骤S204，合法性判决。

经过上述步骤，原始数据集中的样本根据其多重PHY属性被划分为簇(即第二聚类集)，当某一簇中包含多个身份时，判定为女巫攻击，否则，将根据以下假设检验模型做进一步判决。

H₀:Δ_i＜τ

H₁:Δ_i≥τ

其中，Δ_i表示第i个聚类集的中心到参考矢量的欧式距离，τ为认证的判决阈值。阈值τ(τ＞0)的选取可以根据安全需求来设定。

在通信系统中，为用户在于服务器进行通信之前，要先向服务器发送一个请求接入信号，服务器接收到该请求接入信号后，可以提取请求接入信号的多重PHY特性，作为参考矢量，即用于计算欧式距离中的参考矢量是从请求接入信号中提取的多重PHY特征矢量，该矢量作为用户的身份参考信息；而第一特征向量是用户当前接收到的、还没有经过认证的信号的多重PHY特征矢量，二者不可等同或者混淆。

当系统对攻击信号认证性能要求较高时，阈值应该选择较小的量，此时错判概率也会提高。当系统对合法者信号的认证性能要求较高，且容忍一定的漏检，阈值应该选择较大的值，实际的阈值选取可在训练阶段通过训练获得。

如果平均欧式距离小于判决阈值H₀，接受，表示该样本来自合法用户；否则，接受H₁，表示该样本来自于攻击者。

基于本发明认证方法的认证模型的简要示意图参见图3所示。

本发明实施例提出了利用物理层联合属性进行认证的通用模型，针对在不同的认证场景中各属性对认证性能的贡献有较大差异的问题，提出了对样本空间的各维属性作归一化处理并附以权重系数的机制。

本发明实施例还提出了基于二重主成分分析的噪声和干扰消除方法，解决了物理层特征固有的不可靠性问题，提高了物理层认证的性能；将原始数据集投影到正交子空间，去除了原始数据集中的冗余信息，特征集正交化之后在后续认证分析过程可以采用欧氏距离代替极为复杂的马氏距离来分析样本之间的相似性，降低了计算复杂度和分析复杂度。

并且，本发明实施例提出的非参数的启发式聚类算法，通过分裂能量和合并能量的比较自动确定聚类个数从而实现非参数，解决了传统聚类算法具有极高的复杂度的问题，实现了以极低的复杂度获得几乎接近于最优解的认证性能。

实施例3

本发明实施例还提供一种基于启发式聚类的多属性物理层认证装置，包括采样模块、去相关性模块、聚类模块和认证模块。

采样模块，用于对接收到的信号进行采样，提取多重PHY特征，构建原始特征空间；

去相关性模块，用于通过二重主成分分析将原始特征空间映射到正交子空间；

聚类模块，用于在正交子空间上执行非参数的局部启发式聚类，返回最优的聚类结果；

认证模块，用于以最优的聚类结果为基础，通过欧氏距离判决当前接收到的信号是否合法。

优选地，去相关性模块，具体用于：将原始特征空间分解为合法信号子空间和攻击信号子空间；求解合法信号子空间的第一转移矩阵；正交化合法信号子空间，得到正交化的第一对角矩阵；单位化第一对角矩阵；求解攻击信号子空间的第二转移矩阵；正交化攻击信号子空间，得到正交化的第二对角矩阵。

优选地，聚类模块具体用于：通过启发式聚类算法得到初始化后的K个第一聚类中心和第一聚类集，定义每一聚类集为一簇；遍历所有第一聚类中心，返回欧式距离最小的两个第一聚类集，定义为兄弟簇；计算兄弟簇的分裂能量和合并能量；判断合并能量是否大于分裂能量，合并能量大于或者等于分裂能量，则将兄弟簇合并为一个聚类集，返回簇数为K-1的分类结果；分裂能量大于合并能量，则将K个聚类集分裂为K+1个聚类集，返回簇数为K+1的分类结果；继续遍历，直到找到一个兄弟簇，其分裂能量大于合并能量，但将其分裂后所得的兄弟簇的合并能量大于分裂能量，则聚类结束，得到第二聚类集和第二聚类中心，作为最优的聚类结果返回。

实施例4

本发明实施例还提供一种基于启发式聚类的多属性物理层认证服务器。该服务器部署有实施例3所述的基于启发式聚类的多属性物理层认证装置，用于实现实施例1或者2所述的认证方法。

本发明相比于现有技术具有如下的技术效果：

在现有技术早期的研究中，为了消除接收信号在时域的离群值，采用残差算法对PHY特征进行分离或归一化，可一定程度地降低物理层特征的波动，在此基础上，进一步提出了基于聚类的信号处理方法，利用多采样信号集的典型样本来消除离群值。但主要使用了单个特征信息，并且使用了多个感知节点收集信息，认证效果和使用范围受限。后来进一步提出了基于多维属性的联合认证，但是假设属性之间是相互独立，但这与很多实际场景不符合。

并且，现有技术中用于身份验证的最通用的PHY特性是基于信道的特征，例如接收信号强度(RSSI)、信号入射角度(AoA)、信号到达时间(ToA)、信号到达时间差(TDoA)等等。这些基于信道的特性在动态传播环境中是不可靠和波动的，用于身份认证时可能会被噪声和干扰破坏。

由此，为进一步提高认证性能，本发明提出一种增强的基于聚类算法的多属性物理层认证方案，不要求原始物理属性之间的独立关系，极大地降低了认证时延。而且，本发明提出的基于聚类算法的多属性物理层认证方案，可以实现原始数据特征空间的降维和去相关性，进而提高认证的可靠性；可以实现局部启发式的非参数聚类算法，进而降低计算复杂度。

并且，本发明提出的物理层认证通用模型，针对实际应用中对认证性能精度的不同要求，可以调节模型参数，达到认证性能和计算复杂度之间的平衡。针对安全性要求较高的场景，缩小假设检验的判决阈值(即实施例2中的τ)，通过较高的计算复杂度保证高安全性；针对安全性要求较低的场景，可以适当增大假设检验的判决阈值，计算复杂度降低，如此实现安全性可调。

综上，本发明为实现感知网络、自组织网络、无线局域网络等低复杂度、计算能力较小的网络中的轻量级的安全认证提供了可行性保障。本发明采用包含Rss和AoA的多重PHY特性作为认证参考，针对物理层特征固有的不可靠性，提出基于二重主成分分析来消除噪声和干扰的影响，将原始数据特征空间映射到正交低维子空间，提高了用于认证的联合物理层特征的稳定性，降低了分析的复杂度；同时本发明针对传统聚类算法无法自动确定聚类个数的问题，提出了基于分裂能量和合并能量的非参数聚类算法，可以自动确定聚类个数，以极低的复杂度实现极高的认证性能。并且本发明提出的基于启发式聚类的多属性物理层认证方法，是一种通用的可变精度的多属性物理层联合认证方案，具有可扩展性。

需要说明的是，本发明所描述的方法或算法的步骤可以直接包含在硬件中、由处理器执行的软件模块中或这两者的组合中。软件模块可以驻留在RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域已知的任何其它形式的存储介质中。示例性的存储介质被耦合到处理器，使得处理器能够从该存储介质中读取信息或向该存储介质写入信息。在一个替换方案中，所述存储介质可以与处理器集成在一起。处理器和存储介质可以驻留在ASIC中。ASIC可以驻留在用户终端中。在一个替换方案中，处理器和存储介质可以作为分立组件驻留在用户终端中。

在一个或多个示例性设计中，所述功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现，则可以将所述功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质，该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的，该计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储设备、磁盘存储设备或其它磁性存储设备，或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外，任何连接都可以适当地称为计算机可读介质。例如，如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(DSL)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件，则上述同轴线缆、光纤线缆、双绞线、DSL或诸如红外先、无线电和微波的无线技术均包括在介质的定义。如这里所使用的，磁盘和光盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘、蓝光盘，其中磁盘通常磁性地再现数据，而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

本文中应用了具体个例对发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

Claims (10)

1.基于启发式聚类的多属性物理层认证方法，其特征在于，包括如下步骤：

对接收到的信号进行采样，提取多重PHY特征，构建原始特征空间；

通过二重主成分分析将所述原始特征空间映射到正交子空间；

在所述正交子空间上执行非参数的局部启发式聚类，返回最优的聚类结果；

以所述聚类结果为基础，通过欧氏距离判决当前接收到的信号是否合法。

2.根据权利要求1所述的基于启发式聚类的多属性物理层认证方法，其特征在于，所述步骤提取多重PHY特征，构建原始特征空间，包括：

从样本中提取出多重PHY特征，形成样本空间；所述多种PHY特征包括但不限于基于接收信号的PHY特征、基于信道特性的PHY特征和基于发射机制造偏差的PHY特征；

对所述样本空间的各重PHY特征作归一化处理并附以权重系数，得到第一特征向量，由所述第一特征向量组成原始特征空间。

3.根据权利要求1所述的基于启发式聚类的多属性物理层认证方法，其特征在于，所述步骤通过二重主成分分析将所述原始特征空间映射到正交子空间，包括：

将所述原始特征空间分解为合法信号子空间和攻击信号子空间；

求解所述合法信号子空间的第一转移矩阵；

正交化所述合法信号子空间，得到正交化的第一对角矩阵；

单位化所述第一对角矩阵；

求解所述攻击信号子空间的第二转移矩阵；

正交化所述攻击信号子空间，得到正交化的第二对角矩阵。

4.根据权利要求3所述的基于启发式聚类的多属性物理层认证方法，其特征在于：

所述步骤求解所述合法信号子空间的第一转移矩阵，包括：获取已知的合法信号子空间的原始的第一协方差矩阵Σ_L；对所述第一协方差矩阵进行特征值分解；特征值λ_i由大到小排序，每一特征值对应的第二特征向量归一化为列向量，构成合法信号子空间的第一转移矩阵P_L；

(Σ_L-λ_iI)p_i＝0

其中，这里，λ_i表示特征值，p_i表示第二特征向量，I表示单位矩阵；

所述步骤正交化所述合法信号子空间、得到正交化的第一对角矩阵，包括：将所述原始特征空间通过所述第一转移矩阵P_L投影，得到第一中间态合法信号子空间Ω'_L和第一中间态攻击信号子空间Ω'_S，此时第一中间态合法信号子空间Ω'_L对应的第一中间态协方差矩阵Σ'_L正交化为第一对角矩阵Λ_L，第一中间态攻击信号子空间对应的第二中间态协方差矩阵Σ′_S为非对角阵；

S′＝P_L·S＝Ω′_L+Ω′_S

其中，S'表示第一中间态空间，为第一中间态合法信号子空间Ω′_L和第一中间态攻击信号子空间Ω′_S的合集；

所述步骤单位化所述第一对角矩阵，包括：计算得到所述第一对角矩阵Λ_L开平方之后的逆矩阵将所述第一中间态协方差矩阵Σ′_L分别左乘所述逆矩阵、右乘所述逆矩阵的转置，得到被单位化的第二中间态合法信号子空间Ω”_L对应的第三中间态协方差矩阵Σ”_L，以及第二中间态攻击信号子空间Ω”_S的第四中间态协方差矩阵Σ”_S；

其中，S”表示第二中间态空间，为第二中间态合法信号子空间Ω”_L和第二中间态攻击信号子空间Ω”_S的合集；

所述步骤求解所述攻击信号子空间的第二转移矩阵，包括：将所述第四中间态协方差矩阵Σ”_S的特征值由大到小排序，每一特征值对应的第三特征向量归一化为列向量，构成所述攻击信号子空间的第二转移矩阵P_S；

所述步骤正交化所述攻击信号子空间，得到正交化的第二对角矩阵Λ_S，包括：将所述第二中间态空间S”通过所述第二转移矩阵P_S投影，得到正交合法信号子空间Sp_L和正交攻击信号子空间Sp_S，并按照下式得到所述攻击信号子空间对应的、正交化的第二对角矩阵Λ_S：

Sp＝P_S·S″＝Sp_L+Sp_S

5.根据权利要求1所述的基于启发式聚类的多属性物理层认证方法，其特征在于，所述步骤在所述正交子空间上执行非参数的局部启发式聚类，返回最优的聚类结果，包括：

步骤S51，通过启发式聚类算法得到初始化后的K个第一聚类中心和第一聚类集，定义每一聚类集为一簇；

步骤S52，遍历所有所述第一聚类中心，返回欧式距离最小的两个所述第一聚类集，定义为兄弟簇；

步骤S53，计算所述兄弟簇的分裂能量和合并能量；

步骤S54，判断所述合并能量是否大于所述分裂能量，所述合并能量大于所述分裂能量，则将所述兄弟簇合并为一个聚类集，返回簇数为K-1的分类结果；所述分裂能量大于或等于所述合并能量，则将K个所述聚类集分裂为K+1个聚类集，返回簇数为K+1的分类结果；

其中，E_p(K)为分裂能量，E_m(K)为合并能量。

步骤S55，重复步骤S52-S54，直到找到一个兄弟簇，其分裂能量大于合并能量，但将其分裂后所得的兄弟簇的合并能量大于分裂能量，则聚类结束，得到第二聚类集和第二聚类中心，作为最优的聚类结果返回。

6.根据权利要求5所述的基于启发式聚类的多属性物理层认证方法，其特征在于，所述步骤计算所述兄弟簇的分裂能量和合并能量，包括：

假设兄弟簇x和y分别包含n_x和n_y个样本点，将兄弟簇分别分割为和部分；边界区域的样本点个数分别为和分裂能量E_p(K)和合并能量E_m(K)为：

其中，x_i和y_j分别表示兄弟簇x和y中的样本点，D(x_i,y_i)表示样本点x_i和y_i之间的欧式距离；C_x为簇x的边界区域样本所组成的集合；C_y为簇y的边界区域样本所组成的集合；

定义C_s＝C_x∪C_y，s_i,s_j均为C_s中的样本。

7.根据权利要求5所述的基于启发式聚类的多属性物理层认证方法，其特征在于，所述通过启发式聚类算法得到初始化后的K个第一聚类中心和第一聚类集，包括：

步骤S61，在所述特征空间上的所有样本点所组成的数据集中，选择K个样本点作为各个聚类集的聚类中心；首先计算所述数据集中任意两个样本点之间的距离：

d_ij表示任意两个样本之间的欧式距离，所有的成对样本点之间的距离共同组成了矩阵D，v_j表示第j个样本点处于样本中心的测度系数，v_j越小表示第j个样本点是聚类中心的概率越大，选取v_j最小的K个样本点作为原始聚类中心；

步骤S62，计算其余所有点到K个所述原始聚类中心的欧氏距离，并将所有非原始聚类中心点分配给距离最近的原始聚类中心，得到原始聚类集；

步骤S63，在每个所述原始聚类集中按照顺序依次选取样本点，计算该样本点到当前所属的原始聚类集中所有点的距离之和，选取距离之和最小的点，作为更新的聚类中心；

步骤S64，重复步骤S62和S63，直到各个聚类集的中心点不再改变，得到第一聚类中心和第一聚类集。

8.根据权利要求5所述的基于启发式聚类的多属性物理层认证方法，其特征在于，以所述最优的聚类结果为基础，通过欧氏距离判决当前接收到的信号是否合法，包括：

判断所述每一第二聚类集中是否包含多个身份，是，则判定为女巫攻击，否，则根据下述检验模型进一步判决：

H₀:Δ_i＜τ

H₁:Δ_i≥τ

其中，Δ_i表示第i个聚类集的中心到参考矢量的欧式距离，τ为预设的判决阈值，H₀表示该样本来自合法用户，H₁表示该样本来自攻击者；欧式距离小于所述判决阈值，则接受H₀，表示该样本来自合法用户；否则，接受H₁，表示该样本来自于攻击者。

9.基于启发式聚类的多属性物理层认证装置，其特征在于，包括：

采样模块，用于对接收到的信号进行采样，提取多重PHY特征，构建原始特征空间；

去相关性模块，用于通过二重主成分分析将所述原始特征空间映射到正交子空间；

聚类模块，用于在所述正交子空间上执行非参数的局部启发式聚类，返回最优的聚类结果；

认证模块，用于以所述最优的聚类结果为基础，通过欧氏距离判决当前接收到的信号是否合法。

10.基于启发式聚类的多属性物理层认证服务器，其特征在于，部署有如权利要求8所述的基于启发式聚类的多属性物理层认证装置。