专利名称:一种通信设备身份识别方法及其系统的制作方法
技术领域:
本发明属于通信技术领域,特别涉及通信网络中接入设备身份识别问题,即一种通信设备身份识别方法及其系统。
背景技术:
当今世界信息技术迅猛发展,人类社会正进入一个信息社会,社会经济的发展对信息资源、信息技术和信息产业的依赖程度越来越大。通信网络中的信息安全问题日益引起人们的重视。在危害通信安全的各种攻击手段中,入侵系统攻击的危害最大,这类攻击不仅窃取机密材料,而且随时都可能令受害系统陷入崩溃。抵御入侵攻击的传统安全措施都是在数据链路层以及其上层实现的,其核心是利用密码系统对接入者的身份进行验证。针对这种安全措施的攻击方式主要可分为密码攻击和漏洞攻击。密码攻击是攻击最常用的方法,入侵者通过系统常用服务或对网络通信进行监听来搜集账号,找到主机上的有效账号后,就采用字典穷举法进行攻击,或者通过各种方法获取password文件,然后用口令猜测程序破译用户账号和密码。漏洞攻击是利用系统管理策略或者认证系统的设计漏洞,获得比合法权限更高的操作权。虽然使用复杂密码和系统升级可在一定程度上抵御入侵攻击,但是这些措施并不能从根本上解决入侵攻击的威胁。
从通信网络的连接方式来看,通信网络又可以分为无线网络和有线网络两类。无线网络的安全措施基本上是从有线网络上移植过来的,并没有考虑无线网络自身的某些特点。无线网络由于其接入设备的开放性,使得无线网络的入侵攻击比有线网络更加隐蔽和危险,但是,目前还没有有效的安全措施能够完善的解决这个问题。究其原因,目前大多数认证体系研究仍然局限在数据链路层及其上层,如果将安全措施引入到接入设备的物理层,就可以在从根本上抵御目前通信网络接入部分的各种攻击手段。
由于物理层完全由硬件实现,一方面避免了密码被破译的隐患,另一方面从而消除了软件系统的漏洞,同时具有极高的隐蔽性,不易被攻击方发现。但是,网络物理层不存在数据流,因此现有的数字化认证体系都是不适用的,需要一套适用于物理层的安全措施系统。
发明内容
本发明的目的是提供一种通信设备身份识别方法及其系统,以弥补传统身份认证技术容易受到密码攻击和漏洞攻击的缺陷,本发明具有隐蔽性高、稳定性好和管理安全的特点。
本发明提供的一种通信设备身份识别方法,包括以下步骤(1)发送端产生信号水印,用于标识通信设备身份;(2)发送端将上述信号水印嵌入到正常通信信号中,并发送含有信号水印的通信信号给接收端;(3)接收端接收上述含有信号水印的通信信号后,从上述通信信号中分离出信号水印;(4)接收端将信号水印解释并翻译为发送端的身份信息;(5)接收端将信号水印承载的身份信息转换为发送端的通信设备标识。作为本发明的改进,其步骤为(1.1)发送端利用一种频率可控的正弦信号发生器,根据发送端的身份标识确定正弦信号的频率,其计算公式如下fi=f+Δf=f+h(i)其中,f为基准频率,i为设备标识,h(i)为从设备标识i到频率偏移Δf的映射函数,且fmin>0Hz,fmax≤300Hz,fmin为fi的最小值,fmax为fi的最大值;(1.2)正弦信号发生器根据指定的频率产生正弦信号作为信号水印,并根据该正弦信号的幅度选择能量门限G,作为信号水印是否存在的检测依据;步骤(2)利用信号合成器将正常通信信号与信号水印直接叠加;
步骤(3)中水印提取步骤为(3.1)对接收到的模拟信号进行采样,将其转化为数字信号;(3.2)将采样数据按时间分段;(3.3)对每一段数据进行快速傅立叶变换处理,提取fmin-fmax区域内的功率谱;(4.1)检测fmin-fmax频段中的功率谱最大值;(4.2)判断该谱值是否大于预先设定的能量门限G若该谱值小于能量门限,则可以断定信号水印不存在;若该谱值大于能量门限G,则选择该谱值所对应的频率值fi;(4.3)利用公式h(i)=fi-f,计算发送端通信设备的身份信息h(i);步骤(5)通过身份信息数据库中存储的h(i)与i之间的对应关系,查询出发送端通信设备的身份标识。
实现上述方法的系统,其特征在于该系统包括用于生成的信号水印的发送端和识别设备身份的接收端;在发送端,信号水印生成模块用于生成信号水印,并将生成的信号水印发送给信号水印嵌入模块;信号水印嵌入模块用于将信号水印嵌入到正常通信信号中,通信信号通过调制模块进行调制处理后发送到信道中;在接收端,解调模块用于还原出原始通信信号,并利用信号水印提取模块分离出信号水印,信号水印解译模块判断信号水印是否存在,并输出信号水印上承载的身份信息。
本发明打破传统通信网络安全措施的思维定势,将通信网络安全措施深入到物理层,提出利用信号水印进行通信设备身份识别的方法,有效地对接入节点和服务器进行身份验证,从而防止不法分子的非法入侵,保证正常数据通信的安全。本发明与现有的身份认证技术相比,主要有如下三个特点1.隐蔽性高。传统的身份认证技术通常基于密码机制,通过数据分析可以轻易的发现认证体系的存在。但信号水印技术主要通过硬件实现,非专用硬件不可能发现存在信号水印。即使采用特殊硬件对信号进行分析,如果不了解水印加入方式,也不可能发现信号水印的存在,更不可能对其进行伪造。
2.稳定性好。传统的身份认证技术采用软件实现,通常存在各种各样的软件漏洞,使得攻击者可以绕过密码体系对系统进行入侵。但是信号水印技术采用硬件实现,一般的攻击者不可能达到这个层面,更不可能绕过这个身份认证体系。
3.管理安全。信号水印认证体系是一个硬件密钥系统,即每个通信设备(用户)和密钥是绑定的,即只有攻击者获得设备硬件才能获得密钥,只要加强对硬件的管理就可以保证密钥的安全。即使攻击者获得硬件设备,系统可以将其特征水印从数据库中删除,而不影响到其它用户的正常通信。
本发明一方面可以用于维护通信网络安全,防止不法人员利用窃取的密码或系统漏洞非法入侵通信网络;另一方面也可以用于无线电台的身份标识,加强对无线通信设备的监控与管理。
图1是本发明方法的流程示意图。
图2为本发明系统的结构示意图。
具体实施例方式
下面结合附图和实例对本发明作进一步详细的说明。
如图1所示,本发明方法的处理步骤为(1)发送端产生信号水印,用于标识通信设备身份;信号水印是指在通信信号中人为加入的用于通信设备身份的标识,具有如下几个特征1)信号水印的载体是通信信号;2)信号水印是人为加入的;3)信号水印能够对通信设备个体进行标识;4)信号水印不会对正常通信信号构成明显的干扰。
从广义上说,满足以上条件的特定信号都可以称为信号水印。因此,信号水印可以有多种不同的生成方式,下面列举一种简单的信号水印生成步骤1)发送端利用一种频率可控的正弦信号发生器,根据发送端的身份标识确定正弦信号的频率,其计算公式如下fi=f+Δf=f+h(i)其中,f为基准频率,i为设备标识,这里以10部设备为例,因此设i=0,1,…9,但是在实际应用中设备标识也可以是其它形式的设备编号。h(i)是从设备标识i到频率偏移Δf的映射函数,即对于不同的设备标识可以指定相应的频率偏移,这里令h(i)=i,是一种最简单的实现方法。基准频率f可以根据需要进行设定,但是必须保证信号水印的最大频率fmax小于语音频率的下限300Hz,最小频率fmin大于0Hz。这里设f=100Hz,因此fi的范围是100Hz-109Hz。
2)正弦信号发生器根据指定的频率产生正弦信号作为信号水印,并根据该信号幅度选择适当能量门限G,作为信号水印是否存在的检测依据。例如设信号幅度为A,则该信号一个周期内的能量为A2/2,于是可以定义G=(A2/4)×α作为水印检测门限,其中α表示通信链路中的能量增益系数;(2)发送端将上述信号水印嵌入到正常通信信号中,并发送含有信号水印的通信信号给接收端。
对于不同的传输内容和调制方式,可以采用不同的水印嵌入方法。以传输语音的调频方式为例,可以直接利用信号合成器将语音信号与信号水印直接叠加。由于语音信号的频域范围是300Hz-3400Hz,而信号水印是频率fi(本实例为100Hz-109Hz)的正弦信号,二者在频域上是分离的,因此信号水印不会影响语音信号的正常传输。
(3)接收端接收上述含有信号水印的通信信号后,分离信号水印和通信信号。
不同的水印嵌入方式,采用不同的水印提取方式。对于步骤(2)中提出的频域嵌入方式,其水印提取步骤如下1)对接收到的模拟信号进行8KHz采样,将其转化为数字信号;2)将采样数据按时间分段,即将每秒钟的8000个采样数据作为一段;
3)对每一段数据进行快速傅立叶变换(FFT)处理,提取指定频域(即fmin-fmax区域,本实例为100Hz-109Hz)处的功率谱。
通过上述步骤即可在频域上分离出信号水印成分。
(4)接收端将信号水印解释并翻译为发送端的身份信息。
步骤(4)中的信号水印的解释并翻译过程与步骤(1)信号水印生成过程相对应,对于步骤(1)中举例的水印生成方式,其解译步骤如下1)检测指定频域(本实例为100Hz-109Hz)中的功率谱最大值;2)判断该谱值是否大于预先设定的能量门限G若该谱值小于门限值,则可以断定信号水印不存在;若该谱值大于或等于门限值,则选择该谱值所对应的频率值fi;3)根据公式h(i)=fi-f计算发送端的通信设备身份信息h(i)。
(5)接收端将信号水印承载的身份信息映射转换为发送端的通信设备标识。在前面所列举的实现方式中,采用的映射函数如下h(i)=i因此可以直接得到发送端的通信设备标识。但是,如果映射函数h(i)的形式比较复杂,就必须通过身份信息数据库查询到发送端的身份标识。
本发明的核心思想是在正常通信信号中添加信号水印,从而对发送信号的通信设备进行标识。其中,具体的信号水印可以采用多种形式,即可以是某种固定形式的信号,也可以是某种伪随机信号,或者是其它任何形式的信号,只要能够满足步骤(1)中所定义的四个特点,就属于信号水印的范畴。对于每一种信号水印,都有相应的信号水印生成、嵌入、提取和解译方法,从而使得信号水印的具体应用方式具有极大的灵活性。因此,根据本发明所提供的方法,采用适当的信号水印形式,能够满足各种具体通信环境的要求。
如图2所示,实现上述方法的系统包括发送端1和接收端2两个子系统,其中发送端1包括信号水印生成模块3、信号水印嵌入模块4和调制模块5;接收端2包括解调模块6、信号水印提取模块7、信号水印解译模块8、身份信息数据库9。通过发送端添加的信号水印,接收端可以识别发送端的具体身份,从而达到身份认证的目的。
在发送端,信号水印生成模块3用于生成信号水印,并将生成的信号水印发送给信号水印嵌入模块4。信号水印嵌入模块4用于将信号水印嵌入到正常通信信号中,从而产生携带信号水印的通信信号。通信信号通过调制模块5进行调制处理后发送到信道中。在接收端,通过解调模块6还原出原始通信信号,并利用信号水印提取模块7分离出信号水印。信号水印解译模块8判断信号水印是否存在,若信号水印不存在,则输出一个预先定义的“空”信号;若信号水印存在,则输出信号水印上承载的身份信息。身份信息数据库根据信号水印解译模块8的输出结果,查询数据库获得发送端通信设备标识。
上述发送端的调制模块5和接收端的解调模块6构成传输系统。由于通信网络可能存在多种传播媒质和调制方式,因此传输系统必须根据实际应用情况而定。对于熟悉通信领域的技术人员而言,完全可以根据具体通信环境确定传输系统的构成方式。由于传输系统只是作为中介环节,而且不同的传输系统不会影响整体系统的工作性能,因此无须限定传输系统的构成方式。
以上给出的是本发明在传输语音的调频方式下的一种实现方式,本领域的技术人员可以根据上述原理采用其它多种方式实现本发明。实例中描述了信号水印的一种产生算法,针对不同的通信条件,具体采用信号水印算法会有所差别,但是本发明的流程仍然是一致的。
综上所述,本发明是一种基于信号水印技术的通信设备身份识别方法,运用该方法构成的系统独立于具体的通信环境,可以根据各种通信领域的具体要求,采用不同的信号水印算法,从而扩大了系统的应用范围。根据本发明提出的方法,本领域的技术人员可以根据具体的通信环境,构造适当的信号水印算法,从而将本发明中的通信设备身份识别系统推广到各种通信领域,因此本发明不限于任何具体的通信领域,而是符合这里所揭示的原理和特征的最宽范围。
权利要求
1.一种通信设备身份识别方法,包括以下步骤(1)发送端产生信号水印,用于标识通信设备身份;(2)发送端将上述信号水印嵌入到正常通信信号中,并发送含有信号水印的通信信号给接收端;(3)接收端接收上述含有信号水印的通信信号后,从上述通信信号中分离出信号水印;(4)接收端将信号水印解释并翻译为发送端的身份信息;(5)接收端将信号水印承载的身份信息转换为发送端的通信设备标识。
2.根据权利要求1所述的方法,其特征在于步骤(1)为(1.1)发送端利用一种频率可控的正弦信号发生器,根据发送端的身份标识确定正弦信号的频率,其计算公式如下fi=f+Δf=f+h(i)其中,f为基准频率,i为设备标识,h(i)为从设备标识i到频率偏移Δf的映射函数,且fmin>0Hz,fmax≤300Hz,fmin为fi的最小值,fmax为fi的最大值;(1.2)正弦信号发生器根据指定的频率产生正弦信号作为信号水印,并根据该正弦信号的幅度选择能量门限G,作为信号水印是否存在的检测依据;步骤(2)利用信号合成器将正常通信信号与信号水印直接叠加;步骤(3)为(3.1)对接收到的模拟信号进行采样,将其转化为数字信号;(3.2)将采样数据按时间分段;(3.3)对每一段数据进行快速傅立叶变换处理,提取fmin-fmax区域内的功率谱;步骤(4)为(4.1)检测fmin-fmax频段中的功率谱最大值;(4.2)判断该谱值是否大于预先设定的能量门限G若该谱值小于能量门限,则可以断定信号水印不存在;若该谱值大于能量门限G,则选择该谱值所对应的频率值fi;(4.3)利用公式h(i)=fi-f,计算发送端通信设备的身份信息h(i);步骤(5)通过身份信息数据库中存储的h(i)与i之间的对应关系,查询出发送端通信设备的身份标识。
3.一种实现权利要求1或2所述方法的系统,其特征在于该系统包括用于生成的信号水印的发送端(1)和识别设备身份的接收端(2);在发送端(1),信号水印生成模块(3)用于生成信号水印,并将生成的信号水印发送给信号水印嵌入模块(4);信号水印嵌入模块(4)用于将信号水印嵌入到正常通信信号中,通信信号通过调制模块(5)进行调制处理后发送到信道中;在接收端(2),解调模块(6)用于还原出原始通信信号,并利用信号水印提取模块(7)分离出信号水印,信号水印解译模块(8)判断信号水印是否存在,并输出信号水印上承载的身份信息。
全文摘要
本发明公开了一种通信设备身份识别方法及其系统。其步骤为①发送端产生信号水印,用于标识通信设备身份;②发送端将信号水印嵌入到正常通信信号中,并发送给接收端;③接收端接收信号后,从上述通信信号中分离出信号水印;④接收端将信号水印解释并翻译为发送端的身份信息;⑤接收端将信号水印承载的身份信息转换为发送端的通信设备标识。该系统包括用于生成的信号水印的发送端和识别设备身份的接收端;发送端包括信号水印生成模块、信号水印嵌入模块和调制模块;接收端包括解调模块、信号水印提取模块和信号水印解译模块。本发明可以对网络接入设备以及其它无线通信设备进行管理,从而防止网络的非法接入,保证网络安全。
文档编号H04L9/32GK1761187SQ20051001977
公开日2006年4月19日 申请日期2005年11月9日 优先权日2005年11月9日
发明者徐争光, 黄本雄, 王芙蓉, 徐书华, 傅道俊 申请人:华中科技大学