CN109862563A - 一种适用于移动无线网络环境的物理层认证方法及系统 - Google Patents

Abstract

本发明公开了一种适用于移动无线网络环境的物理层认证方法及系统。本发明中设认证端已认证来自合法被认证端的第k个数据包，并记录了它的信道特征,被认证端也已收到了来自合法认证端的确认包，并记录其信道特征H_BA(k)。被认证端计算认证响应序列Y_BA(k)，将Y_BA(k)和第k+1个数据包发送给认证端，认证端根据Y_BA(k)和H_AB(k)，判断当前的数据包是否仍来自被认证端，从而判断被认证端是否为合法终端。本发明系统包括信道特征提取模块，数据处理模块和判定模块。本发明既能实现单向认证，也能实现双向认证。本发明在物理层实现了基于无线信道特征的逐信息包的实时、动态的身份认证，消除了基于身份的欺骗攻击。本发明属于非加密认证，具有复杂度低，通信开销小、延时小和功耗低等特点。

Description

一种适用于移动无线网络环境的物理层认证方法及系统

技术领域

本发明属于无线网络安全技术领域，涉及一种适用于移动无线网络环境的物理层认证方法及系统。

背景技术

随着无线通信技术在军事、金融及医疗等各个领域的广泛应用，其安全性和可靠性问题也越来越受人们的重视。由于无线信道的开放性，无线网络很容易遭受基于身份的欺骗攻击，未经授权的用户试图冒充另一个合法用户获得进入网络系统的权限。在无线网络环境中，攻击者很容易发起基于身份的攻击，基于身份的攻击被认为是攻击者发起各种类型攻击的第一步，例如会话劫持，拒绝服务(DOS)和中间人攻击。例如，在802.11网络中，攻击者可以通过ifconfig命令改变设备的MAC地址，从而假冒其他合法设备。身份验证是处理此类基于身份的攻击的有效方法，通过该方法，目标接收者可以验证所涉及的发送端的身份，并确保接收的数据来自预期的用户。

目前，无线网络中的认证机制是通过基于密钥的加密技术在上层来实现的，虽然传统的加密技术在一定程度上可以防止基于身份的攻击，但它们要么效率低下，要么在某些应用场景中受到限制。首先，大规模或动态无线网络中的安全密钥分发和管理是一个巨大的挑战，甚至在高动态网络环境中是不可行的；其次，一旦这些预先分发的密钥被泄露，将破坏认证机制的整体安全性；第三，传统的基于加密的认证机制是通过上层协议栈来实现的，通信开销大，计算复杂度高、时延大。而且，传统的上层认证无法解决来自物理层的攻击。故传统的基于加密的认证机制不适用于资源受限的无线网络，亟需构建一种新的适用于资源受限无线网络的轻量级安全认证机制。

为解决传统认证技术的上述弱点，近几年出现了利用无线信道物理层特征解决无线网络认证问题的新思路。基于信道特征的物理层认证利用物理信道特征，如信道状态信息(CSI)或接收信号强度(RSS)作为信道指纹来区分合法发送者和非法发送者。其基本思想是合法发送者和接收者之间的无线信道特征是互易的和空间唯一的，与合法用户位于不同位置的攻击者将经历独立的衰落，因此无法测量与合法用户相同的信道特征。基于这种空间不相关原理，接收者可以区分合法发送者和进行欺骗的攻击者。具体地，在物理层认证方案中，接收者通过连续地将当前CSI或RSS与先前合法的CSI或RSS进行比较来认证不同位置处的发送者的身份。物理层认证通常通过将信道测量与假设检验相结合来确定新消息是否来自先前经过认证的合法者。与传统的基于加密的认证机制相比，无线信道特性很难模仿，且物理层认证具有计算复杂度低、通信开销小、时延小和功耗低等优点，非常适用于资源受限的无线网络终端进行实时认证。因此，物理层认证可以实现快速有效的消息认证，已被视为对现有上层认证的补充增强方案，例如，当上层认证机制使用的认证密钥被泄露时，物理层认证可以用作补充认证方法以验证发送者的身份。

但现有提出的物理层认证方案只适用于静态网络环境，在高速移动的通信环境下并不适用。物理层安全认证对信道相关性要求很高，信道相关性过低时(由于通信终端移动导致信道不相关或者信道测量时间差超过信道相关时间)，物理层认证无法进行。现有提出的物理层认证方案通过比较发送端前后两次数据包的信道特征是否一致来进行认证，它基于以下假设：在信道相干时间内，连续帧的CSI或RSS是高度相关的。例如，在2.4GH载波通信中，当发送端和接收端具有较低的相对速度时，例如，在步行速度为1m/s时，最大多普勒频移为因此信道相干时间可以计算为在这种情况下，现有物理层认证是有效的。然而，随着移动速度的增加，信道相干时间缩短。例如，在行驶速度为10m/s的高速移动环境中，信道相干时间为2.24ms。在这种情况下，帧间隔可能会大于信道相干时间，因此现有物理层认证在高速移动网络环境中不能很好地工作。在高速移动网络环境中，由于通信终端的移动会导致多普勒频移增大，从而导致多径信道发生时变，信道相干时间变小，所以必须保证连续物理层认证所需的时间间隔小于信道的相干时间时，物理层认证方案才能成功。所以，如何在移动网络环境中保证物理层认证的可用性成为物理层认证中的关键问题。

发明内容

本发明的一个目的就是针对上述物理层认证方案不适用于高速移动无线网络环境的缺陷，提供一种适用于移动无线网络环境的物理层认证方法。该方法用于两个无线终端之间进行连续数据包的认证，具有计算复杂度低、通信开销小、时延小和功耗低等优点，非常适用于资源受限的无线网络终端进行实时身份认证。本发明可实现单向认证和双向认证。

为实现本发明的上述目的，本发明方法如下：

假设终端B已经验证了来自合法终端A的第k个数据包DATA_k，并记录了它的信道特征H_AB(k)＝{H_AB,1(k),H_AB,2(k),...,H_AB,n(k)},终端A也已经收到了来自合法终端B的对第k个数据包的确认包ACK_k，并记录了它的信道特征H_BA(k)＝{H_BA,1(k),H_BA,2(k),...,H_BA,n(k)}；在接收到第(k+1)个数据包之后，终端B记录其信道特征并通过物理层认证来确定当前的第(k+1)个数据包是否仍来自终端A，还是来自潜在的攻击者。通信终端A和通信终端B为任意无线终端设备、无线访问点AP或基站。通信终端A和通信终端B互为发送端和接收端，可以是移动的，也可以是静止的。

在单向身份认证中，设通信终端A为被认证的被认证端，通信终端B为进行认证的认证端。

步骤(1.1).被认证端A随机选择参数ρ_A(k)∈(0,1)和一个随机序列H_BA(k)'，并根据记录的H_BA(k)，计算一个新序列作为认证响应序列Y_BA(k)，H_BA(k)'是一个与H_BA(k)不相关的随机序列，cov(H_BA(k),H_BA(k)′)＝0；序列H_BA(k)和序列H_BA(k)'的相关系数为ρ_A(k)：

ρ_HBAYBA＝ρ(H_BA(k),Y_BA(k))＝ρ_A(k)；

步骤(1.2).被认证端A向认证端B发送第(k+1)个数据包DATA_k+1、认证响应序列Y_BA(k)和参数ρ_A(k)，即DATA_k+1||Y_BA(k)||ρ_A(k)；

步骤(1.3).认证端B根据接收到的数据包DATA_k+1，提取并记录信道特征序列H_AB(k+1)＝{H_AB,1(k+1),H_AB,2(k+1),...,H_AB,n(k+1)}；n表示序列里面的数值个数；

步骤(1.4).认证端B计算序列H_AB(k)和Y_BA(k)的相关系数为ρ_A(k)′：

ρ_HABYBA＝ρ(H_AB(k),Y_BA(k))＝ρ_A(k)′；

根据信道相关理论，ρ_A(k)和ρ_A(k)'应该具有高度相似性；

步骤(1.5).认证端B根据ρ_A(k)和ρ_A(k)'的相似度对被认证端A进行合法性认证：

a.若所述相似度大于或等于设定的阈值ε，则认证成功，认为发送者为合法被认证端A，并发送对第(k+1)个数据包DATA_k+1的确认数据包ACK_k+1给被认证端A；

b.若所述相似度小于设定的阈值ε，则认证失败，认为发送者为非法终端，认证端B丢弃该数据包，并要求被认证端A重新发送第(k+1)个数据包DATA_k+1；

步骤(1.6).被认证端A根据接收到的确认数据包ACK_k+1，提取并记录信道特征序列H_BA(k+1)＝{H_BA,1(k+1),H_BA,2(k+1),...,H_BA,n(k+1)}；

步骤(1.7).重复步骤(1.1)至(1.6)，进行下一个数据包的认证。

终端B认证终端A后，若终端A也要同时认证终端B，则双方执行双向认证，在步骤(1.5)之后，双方按以下步骤操作：

步骤(2.1).终端B随机选择参数ρ_B(k+1)∈(0,1)和一个随机序列H_AB(k+1)'，并根据记录的H_AB(k+1)，计算一个新序列作为认证响应序列Y_BA(k+1)：

H_AB(k+1)'是一个与H_AB(k+1)不相关的随机序列，cov(H_AB(k+1),H_AB(k+1)′)＝0；序列H_BA(k+1)和序列H_BA(k+1)'的相关系数为ρ_B(k+1)，即ρ_HABYAB＝ρ(H_AB(k+1),Y_AB(k+1))＝ρ_B(k+1)；

步骤(2.2).终端B向终端A发送第(k+1)个数据包DATA_k+1的确认包ACK_k+1、认证响应序列Y_AB(k+1)和参数ρ_B(k+1)，即ACK_k+1||Y_AB(k+1)||ρ_B(k+1)；

步骤(2.3).终端A根据接收到确认包ACK_k+1，提取并记录信道特征序列：

H_BA(k+1)＝{H_BA,1(k+1),H_BA,2(k+1),...,H_BA,n(k+1)}；

步骤(2.4).终端A计算序列H_BA(k+1)和Y_AB(k+1)的相关系数为ρ_B(k+1)′：

ρ_HBAYAB＝ρ(H_BA(k+1),Y_AB(k+1))＝ρ_B(k+1)'；

根据信道相关理论，ρ_B(k+1)和ρ_B(k+1)'应高度相似性；

步骤(2.5).终端A根据ρ_B(k+1)和ρ_B(k+1)'的相似度对终端B进行合法性认证：

a.若所述相似度大于或等于设定的阈值ε，则认证成功，认为发送者为合法终端B，并跳转到步骤(1.1)开始下一个数据包DATA_k+2的认证过程；

b.若所述相似度小于设定的阈值ε，则认证失败，认为发送者为非法终端，终端A丢弃该确认包，并向终端B重新发送第(k+1)个数据包DATA_k+1；

步骤(2.6).对数据包DATA_k+2进行认证后，重复步骤(2.1)至(2.6)，进行数据包DATA_k+2的确认包ACK_k+2的认证。

本发明另一个目的还提供一种适用于移动无线网络环境的物理层认证系统，用于两个无线通信终端之间的进行连续数据包的认证，包括信道特征提取模块，数据处理模块和判定模块。两个无线通信终端互为发送端和接收端，能够进行单向身份认证和双向身份认证。

信道特征提取模块：用于控制接收端根据发送端发送的数据包获得信道特征序列H_AB；

数据处理模块：用于完成终端设备对用于进行认证的数据的处理，包括生成认证响应序列以及计算序列相关系数；在认证端B认证被认证端A的过程中，数据处理模块对数据的处理功能包括：

在被认证端A：随机选择参数ρ_A(k)∈(0,1)和一个随机序列H_BA(k)'，并根据记录的H_BA(k)，计算一个认证响应序列

在认证端B：计算序列H_AB(k)和序列Y_BA(k)的相关系数ρ_HABYBA＝ρ(H_AB(k),Y_BA(k))＝ρ_A(k)'。

判定模块：用于认证终端将计算得到的相关系数ρ_A(k)'和从被认证终端收到的相关系数ρ_A(k)进行比较，如果相似度大于或等于设定的阈值ε，则认证成功，认为发送者为合法终端；如果相似度小于设定的阈值ε，则认证失败，认为发送者为非法终端。

本发明提供的认证方法及系统解决了现有物理层认证不适用于高速移动无线网络环境的缺陷。不同于现有方案中利用连续两个数据包信道特征的相关性进行认证。本发明方法利用数据包和其确认包信道特征的相关性进行认证，因此两次测量的时间差远小于信道相关时间。例如，在802.11无线网络中，当数据速率为12Mbps，数据包大小为512字节时，利用本方法两次测量之间的时间差约为0.5ms，远小于行驶速度为10m/s的高速移动环境时的信道相干时间2.24ms。因此，本发明所提物理层认证方法在高速移动无线网络环境中也可以很好地工作。

此外，在本发明所提方法中，被认证端A向认证端B发送的认证响应序列是一个随机序列，而不是发送真实的信道特征，因而不会泄露有关合法双方之间的信道特征信息给攻击者。因此，本发明所提方法更安全，不会导致保密性的丢失。

本发明有益效果包括：

(1)本发明利用双向连续数据包的信道特征进行认证，双向连续数据包的时间差远小于信道相干时间，解决了目前物理层认证方案不适用于高速移动无线网络环境的缺陷，能够在移动无线网络环境和静止无线网络环境中实现单向认证和双向认证。

(2)本发明充分利用了通信双方信道的互易性和空间唯一性，在物理层实现了基于无线信道特征的逐信息包的实时、动态的身份认证，消除了基于身份的欺骗攻击。

(3)本发明不发送真实的信道特征，不会泄露有关合法通信终端之间的信道特征信息，因此，在本发明所提方法更安全，不会导致保密性的丢失。

(4)本发明属于非加密认证，不涉及复杂的密码算法，具有计算复杂度低，延时小的特点，实现了轻量级的快速认证。

附图说明

图1为适用于本发明的网络系统环境结构示意图；

图2为本发明的一个具体实施例；

图3为本发明的具体实施例中终端B认证终端A的认证流程图；

图4为本发明的具体实施例中终端A认证终端B的认证流程图；

图5为本发明的数据包传递过程示意图；

图6为本发明认证系统结构示意图。

具体实施方式

下面结合附图对本发明作进一步说明，但本发明的保护范围不局限于以下所述。

如图1所示，本发明适用于所有无线网络通信环境，终端之间通过无线信道进行通信。在本发明中，终端A、终端B和终端E可以是任意无线终端设备、无线访问点AP或基站。终端A和终端B是要进行安全通信的合法终端，可以是静止终端也可以是移动终端。终端E为非法终端，试图假冒合法终端A或终端B。为了避免非法终端E假冒合法终端A与终端B进行通信，终端B可以基于本发明所述的一种适用于移动无线网络环境的物理层认证方法对终端A进行身份认证。同理，为了避免非法终端E假冒合法终端B与终端A进行通信，终端A可以基于本发明所述的一种适用于移动无线网络环境的物理层认证方法对终端B进行身份认证。

图2为本发明的一个具体实施例，显然，所述实施例只是本申请的一部分实施例，而不是全部实施例，基于本发明的实施例，本领域技术人员所获得的所有其他实施例都属于本申请的保护范围。

如图2所示，移动通信系统中包括合法移动终端A和终端B(图2中为基站)以及一个非法终端E。终端A为被认证端，终端B为认证端，非法终端E试图假冒终端A，并发送伪造的数据包给终端B。因此，为避免非法终端E假冒合法终端A(伪用户攻击)，终端B要对终端A发送的数据包进行逐包认证。终端B采用本发明提出的适用于移动无线网络环境的物理层认证方法及系统对发送者发送的数据包进行逐包认证，从而实现对发送者身份的认证。

假设终端B已经验证了来自合法终端A的第k个数据包DATA_k，并记录了它的信道特征H_AB(k)＝{H_AB,1(k),H_AB,2(k),...,H_AB,n(k)},终端A也已收到了来自合法终端B的对第k个数据包的确认包ACK_k，并记录了它的信道特征H_BA(k)＝{H_BA,1(k),H_BA,2(k),...,H_BA,n(k)}。

如图3所示，终端B认证终端A的具体过程包括以下步骤：

步骤(1.1).终端A随机选择参数ρ_A(k)∈(0,1)和一个随机序列H_BA(k)'，并根据记录的H_BA(k)，计算一个新序列作为认证响应序列Y_BA(k)，H_BA(k)'是一个与H_BA(k)不相关的随机序列，cov(H_BA(k),H_BA(k)′)＝0；序列H_BA(k)和序列H_BA(k)'的相关系数为ρ_A(k)，即ρ_HBAYBA＝ρ(H_BA(k),Y_BA(k))＝ρ_A(k)；

步骤(1.2).终端A向终端B发送第k+1个数据包DATA_k+1、认证响应序列Y_BA(k)和参数ρ_A(k)，即DATA_k+1||Y_BA(k)||ρ_A(k)；

步骤(1.3).终端B根据接收到数据包DATA_k+1，提取并记录信道特征序列H_AB(k+1)＝{H_AB,1(k+1),H_AB,2(k+1),...,H_AB,n(k+1)}；n表示序列里面的数值个数；

步骤(1.4).终端B计算序列H_AB(k)和Y_BA(k)的相关系数为ρ_A(k)′：

ρ_HABYBA＝ρ(H_AB(k),Y_BA(k))＝ρ_A(k)′；根据信道相关理论，ρ_A(k)和ρ_A(k)'应高度相似性；

步骤(1.5).终端B根据ρ_A(k)和ρ_A(k)'的相似度对终端A进行合法性认证，方法如下：

a.若所述相似度大于或等于设定的阈值ε，则认证成功，认为发送者为合法终端A，并发送对第k+1个数据包DATA_k+1的确认数据包ACK_k+1给终端A；

b.若所述相似度小于设定的阈值ε，则认证失败，认为发送者为非法终端，终端B丢弃该数据包，并要求终端A重新发送第k+1个数据包DATA_k+1；

步骤(1.6).终端A根据接收到的确认数据包ACK_k+1，提取并记录信道特征序列H_BA(k+1)＝{H_BA,1(k+1),H_BA,2(k+1),...,H_BA,n(k+1)}；

步骤(1.7).重复步骤(1.1)至(1.6)，进行下一个数据包的认证。

非法终端E也会试图假冒终端B与终端A进行通信(伪基站攻击)，因此，为避免非法终端E假冒合法终端B，终端A也要对终端B的身份进行认证。终端A采用本发明提出的适用于移动无线网络环境的物理层认证方法及系统对发送者的身份进行认证。

如图4所示，终端A认证终端B的具体过程包括以下步骤：

假设终端A也已验证了来自合法终端B的对第k个数据包的确认包ACK_k，并记录了它的信道特征H_BA(k)＝{H_BA,1(k),H_BA,2(k),...,H_BA,n(k)}。终端B已经按照上述步骤验证了来自合法终端A的第k+1个数据包DATA_k+1，记录了它的信道特征：

H_AB(k+1)＝{H_AB,1(k+1),H_AB,2(k+1),...,H_AB,n(k+1)},并要给终端A发送对第(k+1)个数据包DATA_k+1的确认数据包ACK_k+1。

步骤(2.1).终端B随机选择参数ρ_B(k+1)∈(0,1)和一个随机序列H_AB(k+1)'，并根据记录的H_AB(k+1)，计算一个新序列作为认证响应序列Y_BA(k+1)，H_AB(k+1)'是一个与H_AB(k+1)不相关的随机序列，cov(H_AB(k+1),H_AB(k+1)′)＝0；序列H_BA(k+1)和序列H_BA(k+1)'的相关系数为ρ_B(k+1)，即ρ_HABYAB＝ρ(H_AB(k+1),Y_AB(k+1))＝ρ_B(k+1)；

步骤(2.2).终端B向终端A发送第k+1个数据包DATA_k+1的确认包ACK_k+1、认证响应序列Y_AB(k+1)和参数ρ_B(k+1)，即ACK_k+1||Y_AB(k+1)||ρ_B(k+1)；

步骤(2.3).终端A根据接收到确认包ACK_k+1，提取并记录信道特征序列H_BA(k+1)＝{H_BA,1(k+1),H_BA,2(k+1),...,H_BA,n(k+1)}；

步骤(2.4).通信终端A计算序列H_BA(k+1)和Y_AB(k+1)的相关系数为ρ_B(k+1)′：

ρ_HBAYAB＝ρ(H_BA(k+1),Y_AB(k+1))＝ρ_B(k+1)'；

根据信道相关理论，ρ_B(k+1)和ρ_B(k+1)'应高度相似性；

步骤(2.5).终端A根据ρ_B(k+1)和ρ_B(k+1)'的相似度对终端B进行合法性认证，如下：

a.若所述相似度大于或等于设定的阈值ε，则认证成功，认为发送者为合法终端B，并跳转到步骤(1.1)开始下一个数据包DATA_k+2的认证过程；；

b.若所述相似度小于设定的阈值ε，则认证失败，认为发送者为非法终端，终端A丢弃该确认包，并向终端B重新发送第k+1个数据包DATA_k+1；

步骤(2.6).对数据包DATA_k+2进行认证后，重复步骤(2.1)至(2.6)，进行数据包DATA_k+2的确认包ACK_k+2的认证。

终端A和终端B进行双向认证时的数据包传递过程示意图如图5所示。认证过程并没有增加通信双方的通信次数。

图6为本发明所提供一种适用于移动无线网络环境的物理层认证系统结构示意图，具体包括信道特征提取模块，数据处理模块和判定模块。

信道特征提取模块：用于控制接收端根据发送端发送的数据包获得信道特征序列；

数据处理模块：用于完成终端设备对用于进行认证的数据的处理，包括生成认证响应序列以及计算序列相关系数；例如，在本实例中，终端B认证终端A的过程中，在被认证终端A，数据处理模块对数据的处理功能包括：随机选择参数ρ_A(k)∈(0,1)和一个随机序列H_BA(k)'，并根据记录的H_BA(k)，计算一个新序列作为认证响应序列Y_BA(k)，在认证终端B，数据处理模块对数据的处理功能为：计算序列H_AB(k)和序列Y_BA(k)的相关系数ρ_HABYBA＝ρ(H_AB(k),Y_BA(k))＝ρ_A(k)'。

判定模块：用于认证终端将计算得到的相关系数和从被认证终端收到的相关系数进行比较，如果相似度大于或等于设定的阈值ε，则认证成功，认为发送者为合法终端；如果相似度小于设定的阈值ε，则认证失败，认为发送者为非法终端。

本发明的重点是解决了现有物理层认证方案不适用于高速移动无线网络环境的缺陷，能够实现在移动无线网络环境和静止无线网络环境中的单向认证和双向认证。

Claims (7)

1.一种适用于移动无线网络环境的物理层认证方法，设

通信终端B已经认证了接收到的第k个数据包DATA_k为来自合法的通信终端A，并记录了它的信道特征H_AB(k)＝{H_AB,1(k),H_AB,2(k),...,H_AB,n(k)}；

通信终端A也已经收到了第k个数据包的确认包ACK_k来自合法的通信终端B，并记录了它的信道特征H_BA(k)＝{H_BA,1(k),H_BA,2(k),...,H_BA,n(k)}；

在接收到第(k+1)个数据包之后，通信终端B记录其信道特征，并通过物理层认证来确定当前的第(k+1)个数据包是否仍来自通信终端A，还是来自潜在的攻击者；

其特征在于具体认证方法如下：

设通信终端A为被认证的被认证端，通信终端B为进行认证的认证端；

步骤(1.1).被认证端A随机选择参数ρ_A(k)∈(0,1)和一个随机序列H_BA(k)'，并根据记录的H_BA(k)，计算一个新序列作为认证响应序列Y_BA(k)，H_BA(k)'是一个与H_BA(k)不相关的随机序列，cov(H_BA(k),H_BA(k)′)＝0；序列H_BA(k)和序列H_BA(k)'的相关系数为ρ_A(k)：

步骤(1.2).被认证端A向认证端B发送第(k+1)个数据包DATA_k+1、认证响应序列Y_BA(k)和参数ρ_A(k)，即DATA_k+1||Y_BA(k)||ρ_A(k)；

步骤(1.3).认证端B根据接收到的数据包DATA_k+1，提取并记录信道特征序列H_AB(k+1)＝{H_AB,1(k+1),H_AB,2(k+1),...,H_AB,n(k+1)}；n表示序列里面的数值个数；

步骤(1.4).认证端B计算序列H_AB(k)和Y_BA(k)的相关系数为ρ_A(k)′：

步骤(1.5).认证端B根据ρ_A(k)和ρ_A(k)'的相似度对被认证端A进行合法性认证：

a.若所述相似度大于或等于设定的阈值ε，则认证成功，认为发送者为合法被认证端A，并发送对第(k+1)个数据包DATA_k+1的确认数据包ACK_k+1给被认证端A；

b.若所述相似度小于设定的阈值ε，则认证失败，认为发送者为非法终端，认证端B丢弃该数据包，并要求被认证端A重新发送第(k+1)个数据包DATA_k+1；

步骤(1.6).被认证端A根据接收到的确认数据包ACK_k+1，提取并记录信道特征序列H_BA(k+1)＝{H_BA,1(k+1),H_BA,2(k+1),...,H_BA,n(k+1)}；

步骤(1.7).重复步骤(1.1)至(1.6)，进行下一个数据包的认证。

2.如权利要求1所述的一种适用于移动无线网络环境的物理层认证方法，其特征在于：通信终端B认证通信终端A后，若通信终端A也要同时认证通信终端B，则双方执行双向认证，在步骤(1.5)之后，双方按以下步骤操作：

步骤(2.1).通信终端B随机选择参数ρ_B(k+1)∈(0,1)和一个随机序列H_AB(k+1)'，并根据记录的H_AB(k+1)，计算一个新序列作为认证响应序列Y_BA(k+1)：

H_AB(k+1)'是一个与H_AB(k+1)不相关的随机序列，cov(H_AB(k+1),H_AB(k+1)′)＝0；序列H_BA(k+1)和序列H_BA(k+1)'的相关系数为ρ_B(k+1)，即

步骤(2.2).通信终端B向通信终端A发送第(k+1)个数据包DATA_k+1的确认包ACK_k+1、认证响应序列Y_AB(k+1)和参数ρ_B(k+1)，即ACK_k+1||Y_AB(k+1)||ρ_B(k+1)；

步骤(2.3).通信终端A根据接收到确认包ACK_k+1，提取并记录信道特征序列：

H_BA(k+1)＝{H_BA,1(k+1),H_BA,2(k+1),...,H_BA,n(k+1)}；

步骤(2.4).通信终端A计算序列H_BA(k+1)和Y_AB(k+1)的相关系数为ρ_B(k+1)′：

ρ_HBAYAB＝ρ(H_BA(k+1),Y_AB(k+1))＝ρ_B(k+1)'；

步骤(2.5).通信终端A根据ρ_B(k+1)和ρ_B(k+1)'的相似度对通信终端B进行合法性认证：

a.若所述相似度大于或等于设定的阈值ε，则认证成功，认为发送者为合法通信终端B，并跳转到步骤(1.1)开始下一个数据包DATA_k+2的认证过程；

b.若所述相似度小于设定的阈值ε，则认证失败，认为发送者为非法终端，通信终端A丢弃该确认包，并向通信终端B重新发送第(k+1)个数据包DATA_k+1；

步骤(2.6).对数据包DATA_k+2进行认证后，重复步骤(2.1)至(2.6)，进行数据包DATA_k+2的确认包ACK_k+2的认证。

3.如权利要求1或2所述的一种适用于移动无线网络环境的物理层认证方法，其特征在于：所述的通信终端A和通信终端B为任意无线终端设备、无线访问点AP或基站。

4.如权利要求1或2所述的一种适用于移动无线网络环境的物理层认证方法，其特征在于：通信终端A和通信终端B互为发送端和接收端，为移动或静止的。

5.一种适用于移动无线网络环境的物理层认证系统，用于两个无线通信终端之间的连续数据包的认证，其特征在于：包括信道特征提取模块，数据处理模块和判定模块；

所述的信道特征提取模块：用于控制接收端根据发送端发送的数据包获得信道特征序列H_AB；

所述的数据处理模块，用于完成终端设备对用于进行认证的数据的处理，包括生成认证响应序列以及计算序列相关系数；

所述的判定模块，用于认证终端将计算得到的相关系数ρ_A(k)'和从被认证终端收到的相关系数ρ_A(k)进行比较，如果相似度大于或等于设定的阈值ε，则认证成功，认为发送者为合法终端；如果相似度小于设定的阈值ε，则认证失败，认为发送者为非法终端。

6.如权利要求5所述的一种适用于移动无线网络环境的物理层认证系统，其特征在于：

在认证端认证被认证端的过程中，数据处理模块对数据的处理功能包括：

在被认证端A：随机选择参数ρ_A(k)∈(0,1)和一个随机序列H_BA(k)'，并根据记录的H_BA(k)，计算一个认证响应序列

在认证端B：计算序列H_AB(k)和序列Y_BA(k)的相关系数

7.如权利要求5所述的一种适用于移动无线网络环境的物理层认证系统，其特征在于：所述的两个无线通信终端互为发送端和接收端，能够进行单向身份认证和双向身份认证。