CN116264689A - 一种物联网中高效的轻量级认证系统及方法 - Google Patents

Abstract

本发明公开了一种物联网中高效的轻量级认证系统及方法。该方法主要采用动态物理层密钥生成、基于伪随机接入时隙的认证和接入控制的方法使得其在动态的物联网环境中实现轻量级认证和高效接入控制。利用动态的物理层密钥生成更新伪随机接入时隙提高攻击者假冒的难度，伪随机接入时隙可以实现连续身份认证、降低认证时延并进一步提高攻击者假冒的难度，并且通过接入控制来提高通信性能。该基于接入特征的轻量级认证与高效接入控制方法可以应用于物联网和低端通信设备。

Description

一种物联网中高效的轻量级认证系统及方法

技术领域

本发明涉及网络安全领域，具体的涉及一种物联网中新型的多设备轻量级认证系统及方法。

背景技术

随着物联网技术的发展，任何的安全威胁有可能导致智能服务的失败，甚至于整个系统的失败。如果设备被攻击者假冒，可能会导致物联网系统被攻击，从而导致智能应用的失败。因此，任何的设备在接入网络之前都应该被唯一认证。身份认证方法作为一种最基本的安全方法可以用来确认设备的身份来保护物联网系统的安全。然而，物联网中使用了大量的低端设备无法使用复杂的身份认证方法。现有的基于密钥和证书的认证方法往往通过增加计算量来增大被破解的难度，从而保护设备和信息的安全。然而，随着超级计算机和量子计算机的出现和发展，该方法面临着巨大的挑战。并且，基于密钥/证书的认证方法与设备本身的特性之间没有相互关联性，这给攻击者留下了可乘之机。基于物理层特征的身份认证方法通过验证信道或设备的特性来实现设备的唯一认证。但是，大部分现有的设备身份认证方案是针对单一设备的认证并且其性能取决于所选择的物理层特征，往往面临着认证不稳定的挑战。

因此，针对物联网系统中的多设备同时认证问题，高效的轻量级认证方法已成为本领域技术人员亟待解决的技术课题。

发明内容

为克服上述缺陷点，本申请的目的在于：提供一种物联网中新型的轻量级多设备身份认证方法，使得基站可以同时有效地认证多个设备。该方法利用每个设备的唯一接入时序来验证不同的设备，从而提高认证的准确度并减少时延。

为实现上述目的，本申请采用如下的技术方案：

一种物联网中高效的轻量级认证系统，其特征在于，包括：

基站及N个设备，每个所述设备配置成具有唯一身份识别信息，

所述基站具有第一数据处理单元，其用以在所述设备成功连接时响应设备的连接请求而动态的生成物理层密钥即反馈信息，且所述第一数据处理单元配置有标记模块，所述标记模块生成随机的标记信号并传输至连接的设备，所述第一数据处理单元基于所述标记信号生成所述基站侧的密钥，

第二数据处理单元，具有伪随机生成单元，其用于在基站侧的密钥与连接的所述设备侧的密钥相同时分别生成一个相同的伪随机序列，所述伪随机序列包括所述设备侧的序列，及基站侧的序列，且所述设备侧的序列作为接入时隙与基站进行通信，

控制单元，其用以将N个接入设备的设备侧的序列进行规划以接入控制，使得合法设备按照序列与基站进行通信，基站基于设备的接入时隙进行认证，判断所述设备为合法用户或为非法用户。该系统可实现在动态的物联网环境中实现轻量级认证和高效接入控制。

优选的，该控制单元根据设备请求接入的顺序，将后请求的设备时隙中与之前的设备时隙有重叠的部分删除，以降低接入碰撞。

优选的，设备接收并响应时隙有重叠的信息并删除重复部分。

优选的，该物联网中高效的轻量级认证系统，其特征在于，还包括:

第三数据处理单元，其用以动态的伪随机接入时隙更新，并将更新联系传输至第一数据处理单元。

本申请实施例提供一种物联网中高效的轻量级认证方法，其特征在于，所述方法包括：

基于基站的第一数据处理单元，在接收到设备的连接请求时生成响应所述连接请求的动态的物理层密钥即反馈信息，并基于标记模块生成随机的标记信号以生成基站侧的密钥，所述标记信号并传输至连接的设备，以生成基站侧的密钥，

基于基站的第二数据处理单元用于对基站侧的密钥与连接的所述设备侧的密钥相同或至少部分相同时分别生成基站侧的伪随机序列，此时设备侧的生成与基站侧同样的伪随机序列，所述设备侧的伪随机序列作为接入时隙与基站进行通信，且基站侧的伪随机序列与设备侧的伪随机序列相同，

基于基站的控制单元将N个接入的设备的序列进行规划以接入控制，并据此判断接入的设备为合法用户或为非法用户。利用动态的物理层密钥生成更新伪随机接入时隙提高攻击者假冒的难度，伪随机接入时隙可以实现连续身份认证、降低认证时延并进一步提高攻击者假冒的难度，并且通过接入控制来提高通信性能。

优选的，该控制单元根据设备请求接入的顺序，将后请求的设备时隙中与之前的设备时隙有重叠的部分删除，以降低接入碰撞。

优选的，该控制单元将每个设备删除的部分传输给每个设备，设备接收到并在T_n ^*中删除。

优选的，该基于基站的第三数据处理单元动态的动态地采集时变的信道特性并传输至第一数据处理单元以重新生成一对伪随机接入时隙。

优选的，该设备连接时发送一个连接请求的信号给基站，当基站接收到‘连接请求’信号，基站立即返回一个‘反馈’信号，即

基站的第一数据处理单元采集通信信道的冲击响应H_n＝(H_n1，H_n2，...，H_nL)，其中L为所观测量个数，所述设备采集该通信信道的冲击响应H_Bn＝(H_Bn1，H_Bn2，...，H_BnL)，

并基于标记信号，

设备侧生成的密钥，记为S_n＝(S_n1，S_n2，...，S_nL)，

基站端的密钥，记为S_Bn＝(S_Bn1，S_Bn2，...，S_BnL)，

所述标记信号为阈值τ，满足0.5-ε＜Pr(H_nl＞τ)＜0.5+ε，其中，ε为满足0＜ε＜0.5的实数，Pr为概率记号。

进一步的，该方法中，

基于选择函数

对S_n和S_Bn进行处理，以保证S_n与S_Bn是相同或至少部分相同，即设备侧基于所述选择函数计算F(S_n)并发送给基站，在基站端也基于所述选择函数计算F(S_Bn)，

若相同，则S_n＝S_Bn；

反之，S_n≠S_Bn，则将其分别分成

与/>

并对这两个部分再次通过基于选择函数进行验证，直至找到相同的部分，分别记为S_n ^*与S_Bn ^*。

优选的，该基于第二数据处理单元伪随机生成器(如X¹⁵+X¹⁴+1)；分别对S_n ^*与S_Bn ^*生成一个相同的伪随机序列，分别记为T_n ^*与T_Bn ^*；

设备按照T_n ^*作为接入时隙与基站进行通信，基站基于设备的接入时隙进行认证，如果该设备的接入时隙与T_Bn ^*相同，则该设备为合法用户，否则为非法用户。

本申请实施例提供一种处理器可读介质，其上存储有计算机程序，其特征在于，所述计算机存储介质包括计算机程序，所述计算机程序运行上述的方法。

有益效果

与现有技术相比，本申请实施方式的本发明公开的多设备轻量级方法既能实现轻量级的连续身份认证，又降低多设备接入的碰撞。

附图说明

图1为本申请实施例的物联网中高效的轻量级认证方法的流程图；

图2为本申请实施例的物联网中高效的轻量级认证方法性能示意图。

具体实施方式

以下结合具体实施例对上述方案做进一步说明。应理解，这些实施例是用于说明本申请而不限于限制本申请的范围。实施例中采用的实施条件可以如具体厂家的条件做进一步调整，未注明的实施条件通常为常规实验中的条件。

本发明公开了一种物联网中高效的轻量级认证系统及认证方法。该轻量级认证系统包括：

基站及N个设备，每个设备配置成具有唯一身份识别信息，

基站具有第一数据处理单元，其用以在设备成功连接时响应设备的连接请求而动态的生成物理层密钥即反馈信息，且所述第一数据处理单元配置有标记模块，所述标记模块生成随机的标记信号并传输至连接的设备，所述第一数据处理单元基于所述标记信号生成基站侧的密钥，

第二数据处理单元，具有伪随机生成单元，其用于在基站侧的密钥与连接的所述设备侧的密钥相同时分别生成一个相同的伪随机序列，所述伪随机序列包括所述设备侧的序列，及基站侧的序列，且所述设备侧的序列作为接入时隙与基站进行通信，

控制单元，其用以将N个接入设备的设备侧的序列进行规划以接入控制，使得合法设备按照序列与基站进行通信，基站基于设备的接入时隙进行认证，判断所述设备为合法用户或为非法用户。该系统可实现在动态的物联网环境中的轻量级认证和高效接入控制。在一较佳的实施方式中，设备有也有匹配的数据处理模块，可用于处理生成设备端生成的密钥，接入时隙等。但是判断接入为合法用户，否则为非法用户由基站作出。该系统进一步提高攻击者假冒的难度。

接下来结合附图1来描述本申请提出的物联网中高效的轻量级认证系统及方法。

1)初始化：物联网系统的初始化并生成系统参数，该系统包括一个基站和N个(传感器)设备，每个设备分配一个唯一的身份(identity，ID)并完成初始的接入；

2)物理层密钥生成：利用信道的互易性和时变特性，动态地生成物理层密钥，用以生成伪随机的设备接入时隙。

2-1每个设备发送一个‘请求’信号给基站，基站采集该通信信道的冲击响应H_n＝(H_n1，H_n2，...，H_nL)，其中L为所观测量个数。当接收到设备的‘请求’信号，基站立即返回一个‘反馈’信号，该设备采集该通信信道的冲击响应H_Bn＝(H_Bn1，H_Bn2，...，H_BnL)。信道存在互易性，即通信双方在同一时间所测量到的信道特征相同，由于传感器和基站之间存在细微的测量时间差，它们所采集的信道冲击响应高度相似但不完全相同；

2-2在基站端配置一个标记模块即量化器，标记信息并传输给多个合法设备，记为阈值τ，满足0.5-ε＜Pr(H_nl＞τ)＜0.5+ε，其中，ε满足：0＜ε＜0.5，Pr为概率记号。ε决定了量化的性能，并且直接影响了认证的性能。当ε越小，那么所生成的密钥的随机性越大，攻击者越难猜测出在传感器和基站端所生成的密钥。根据应用场景对安全性能的需求，预先设定ε的大小；

2-3当H_nl＞τ时，记S_nl＝1，否则记为S_nl＝0，则设备端生成的密钥为S_n＝(S_n1，S_n2，...，S_nL)。

同样地，可以生成基站端的密钥，记为S_Bn＝(S_Bn1，S_Bn2，...，S_BnL)，由于信道的互异性，密钥S_n与S_Bn也高度相似；

2-4为了保证S_n与S_Bn是相同的，它们需要进行确认。同时为了保证在传输的过程中不被攻击者窃听，选择函数

对S_n和S_Bn进行处理，设备计算F(S_n)并发送给基站。在基站端也计算F(S_Bn)，若两则相同，则说明S_n＝S_Bn；反之，S_n≠S_Bn；

2-5若S_n≠S_Bn，则将它们分成

与/>

并对这两个部分通过步骤2-4进行验证。若仍然不相同，再将这两个部分进行切割，直至找到相同的部分，分别记为S_n ^*与S_Bn ^*。

3)基于伪随机接入时隙的认证：

3-1选择一个伪随机生成器：X¹⁵+X¹⁴+1；

3-2在设备和基站端分别利用步骤2中的密钥S_n ^*与S_Bn ^*生成一个相同的伪随机序列，分别为T_n ^*与T_Bn ^*；

3-3设备按照T_n ^*作为接入时隙与基站进行通信。基站基于设备的接入时隙进行认证，如果该设备的接入时隙与T_Bn ^*相同，则该设备为合法用户，否则为非法用户。

4)高效的接入控制：

4-1针对多个设备的接入和认证，按照步骤3生成T_n ^*，T_Bn ^*，n＝1，2，...，N；

4-2基站将N个T_Bn ^*进行规划，根据设备请求接入的顺序，将后请求的设备时隙中与之前的设备时隙有重叠的部分删除，以降低接入碰撞；

4-3基站将每个设备删除的部分传输给每个设备，设备接收到并在T_n ^*中删除。

5)动态的伪随机接入时隙更新：动态地采集时变的信道特性，根据步骤2)-4)重新生成一对伪随机接入时隙T_n ^*，T_Bn ^*。

6)轻量级的连续认证：

6-1合法设备按照序列T_n ^*与基站通信。在基站方验证设备的接入时隙，若与T_Bn ^*相同，则认证该设备为合法用户，若不相同，则认证该设备为非法用户；

6-2重复步骤5)-6)实现连续认证。

接下来通过计算机实验的方法来比较现有的物理层认证方法和本发明公开的物联网中高效的轻量级认证系统及方法的认证性能。

A.实验条件：

基站位置为[500，500]m，在1km×1km的范围内随机生成10个物联网设备接入该基站。载频为5GHz，信道模型为

其中，I为多径传播的路径个数，iΔτ和A_i分别是第i条路径的时延和幅度。

B.实验步骤：

在多个设备(有时也称传感器)认证的过程中，按下列流程实现轻量级认证和高效接入控制。

1)基站和这些设备采集H_Bn和H_n，并分别生成密钥S_Bn与S_n；

2)基站和设备验证两端生成的密钥，直到得到S_Bn ^*与S_n ^*；

3)基站和设备同时利用S_Bn ^*与S_n ^*作为种子产生伪随机序列T_Bn ^*与T_n ^*；

4)基站将连接的(本实验中采用10个)设备的伪随机序列进行规划，删除重叠部分；

5)设备用T_n ^*作为接入时隙，基站用T_Bn ^*进行认证；

6)重复1-5进行连续认证。

C.实验结果：

采用身份认证的误警率和漏检率作为性能指标。

试验结果如图2所述，从图2中可看出本申请实施方式所公开的物联网中高效的轻量级认证系统及方法与现有的方法如文献[L.Xiao,X.Wan,and Z.Han,“PHY-layerauthentication with multiple landmarks with reduced overhead,”IEEETrans.Wireless Commun.,vol.17,no.3,pp.1676-1687,2018]中三个算法(IAG、FW和dFW)性能的计算复杂度的比较结果。结果表明本申请所公开的方法相对比于现有的方法可以在连续认证的过程中达到更低的计算复杂度，实现轻量级认证的目的。本实施方式中设备为通信设备。

上述实施例只为说明本申请的技术构思及特点，其目的在于让熟悉此项技术的人是能够了解本申请的内容并据以实施，并不能以此限制本申请的保护范围。凡如本申请精神实质所做的等效变换或修饰，都应涵盖在本申请的保护范围之内。

Claims (10)

1.一种物联网中高效的轻量级认证系统，其特征在于，包括：

基站及N个设备，每个所述设备配置成具有唯一身份识别信息，

所述基站具有第一数据处理单元，其用以在所述设备成功连接时响应设备的连接请求而动态地生成物理层密钥即反馈信息，且所述第一数据处理单元配置有标记模块，所述标记模块生成随机的标记信号并传输至连接的设备，所述第一数据处理单元基于所述标记信号生成基站侧的密钥，

第二数据处理单元，具有伪随机生成单元，其用于在基站侧的密钥与连接的所述设备侧的密钥相同时分别生成一个相同的伪随机序列，所述伪随机序列包括所述设备侧的序列，及基站侧的序列，且所述设备侧的序列作为接入时隙与基站进行通信，

控制单元，其用以将N个接入设备的设备侧的序列进行规划以接入控制，使得合法设备按照序列与基站进行通信，基站基于设备的接入时隙进行认证，判断所述设备为合法用户或为非法用户。

2.如权利要求1所述的物联网中高效的轻量级认证系统，其特征在于，

所述控制单元根据设备请求接入的顺序，将后请求的设备时隙中与之前的设备时隙有重叠的部分删除，以降低接入碰撞。

3.如权利要求2所述的物联网中高效的轻量级认证系统，其特征在于，

设备接收并响应时隙有重叠的信息并删除。

4.如权利要求1所述的物联网中高效的轻量级认证系统，其特征在于，还包括:

第三数据处理单元，其用以动态的伪随机接入时隙更新，并将更新联系传输至第一数据处理单元。

5.一种物联网中高效的轻量级认证方法，其特征在于，所述方法包括：

基于基站的第一数据处理单元，在接收到设备的连接请求时生成响应所述连接请求的动态的物理层密钥即反馈信息，并基于标记模块生成随机的标记信号以生成基站侧的密钥，所述标记信号并传输至连接的设备，以生成基站侧的密钥，

基于基站的第二数据处理单元用于对基站侧的密钥与连接的所述设备侧的密钥在相同或至少部分相同时生成基站侧的伪随机序列，此时设备侧生成与基站侧同样的伪随机序列，所述设备侧的伪随机序列作为接入时隙与基站进行通信.

基于基站的控制单元将N个接入的设备的序列进行规划以接入控制，并据此判断接入的设备为合法用户或为非法用户。

6.如权利要求5所述的物联网中高效的轻量级认证方法，其特征在于，

所述控制单元根据设备请求接入的顺序，将后请求的设备时隙中与之前的设备时隙有重叠的部分删除，以降低接入碰撞。

7.如权利要求5所述的物联网中高效的轻量级认证方法，其特征在于，

基于基站的第三数据处理单元动态的动态地采集时变的信道特性并传输至第一数据处理单元以重新生成一对伪随机接入时隙。

8.如权利要求5所述的物联网中高效的轻量级认证方法，其特征在于，

设备连接时发送一连接请求的信号给基站，当基站接收到‘连接请求’信号，基站立即返回一个‘反馈’信号，

即，基站的第一数据处理单元采集通信信道的冲击响应H_n＝(H_n1，H_n2，...，H_nL)，其中，L为所观测量个数，所述设备采集该通信信道的冲击响应H_Bn＝(H_Bn1，H_Bn2，...，H_BnL)，并基于标记信号，设备侧生成的密钥，记为S_n＝(S_n1，S_n2，...，S_nL)，

基站端的密钥，记为S_Bn＝(S_Bn1，S_Bn2，...，S_BnL)，

所述标记信号为阈值τ，满足0.5-ε＜Pr(H_nl＞τ)＜0.5+ε，其中，ε为满足0＜ε＜0.5的实数，Pr为概率记号。

9.如权利要求8所述的物联网中高效的轻量级认证方法，其特征在于，基于选择函数

对S_n和S_Bn进行处理，以保证S_n与S_Bn是相同或至少部分相同，即设备侧基于所述选择函数计算F(S_n)并发送给基站，在基站端基于所述选择函数计算F(S_Bn)，若相同，则S_n＝S_Bn；

反之，S_n≠S_Bn，则将其分别分成

与/>

并对这两个部分再次通过基于选择函数进行验证，直至找到相同的部分，分别记为S_n ^*与S_Bn ^*。

10.如权利要求9所述的物联网中高效的轻量级认证方法，其特征在于，

基于伪随机生成器X¹⁵+X¹⁴+1分别对S_n ^*与S_Bn ^*生成一个相同的伪随机序列，分别记为T_n ^*与T_Bn ^*；

设备按照T_n ^*作为接入时隙与基站进行通信，基站基于设备的接入时隙进行认证，如果该设备的接入时隙与T_Bn ^*相同，则该设备为合法用户，否则为非法用户。

Images