基于位置信号特征共识的Wi-Fi接入认证方法与流程

本发明属于身份认证
技术领域：
：，涉及wi-fi接入认证方法，尤其涉及一种基于位置信号特征共识的wi-fi接入认证方法。
背景技术：
：：物联网环境下设备的安全性问题越来越突出。根据不同物联网设备的具体情况，所有的物联网设备都可能受到某些类型的攻击(terzi，d.s.，terzi，r.，&sagiroglu，s，asurveyonsecurityandprivacyissuesinbigdata，10thinternationalconferenceforinternettechnologyandsecuredtransactions(icitst)，2015)。一些工作正试图调整传统的互联网认证系统以适应物联网的环境。例如，(o.salman，s.abdallah，i.h.elhajj，a.chehab，anda.kayssi，identity-basedauthenticationschemefortheinternetofthings，ieeesymposiumoncomputersandcommunication(iscc)，2016)通过引入软件定义网络(sdn)的一些概念，提出了基于身份的物联网认证方案。(baird，m.，ng，b.，&seah，w，wi-finetworkaccesscontrolforiotconnectivitywithsoftwaredefinednetworking.proceedingsofthe8thacmonmultimediasystemsconference，2017)通过在广泛使用的openflowv1.3协议中使用多个flowtables，使用sdn进行wi-finetworkaccesscontrol(nac)。h.pranataet.all提出了一种基于令牌、pki和加密的物联网环境的认证、授权和访问控制框架。(m.turkanovi′c，b.brumen，andm.h¨olbl，anoveluserauthenticationandkeyagreementschemeforheterogeneousadhocwirelesssensornetworks，basedontheinternetofthingsnotion，adhocnetworks，vol.20，pp.96-112，2014.)提出了一种新的异构自组织无线传感器网络用户认证和密钥协商方案。对于这些基于密码学的方法，密钥分发和管理是很重要的问题，但是大多数上述工作或者忽略了这个问题，或者依赖于第三方管理密钥。为了解决基于密码学的解决方案的问题，一些研究人员正在研究利用感知层的信息进行安全认证的方法(l.zhouandh.chao，multimediatrafficsecurityarchitecturefortheintemetofthings，ieeenetwork，v0l.25，no.3，2011.)。(fu，c.，kezmane，t.，du，x.，fu，y.，&morrisseau，c，anlocation-awareauthenticationschemeforcross-domaininternetofthingsystems.internationalconferenceoncomputing，networkingandcommunications(icnc)，2018)提出了一种基于物联网的跨域通信认证机制，利用物联网设备拍摄的图片进行认证，它假设需要进行认证的物联网设备是必须具备摄像头的并能自主拍摄图片的。区块链因其独特的属性，如分布式，安全性，匿名性，隐私性和防篡改性，吸引了学术界和从业者的极大关注，一些研究人员也提出了基于区块链的身份认证方法。(sanda，t.，&inaba，h，proposalofnewauthenticationmethodinwi-fiaccessusingbitcoin2.0.2016ieee5thglobalconferenceonconsumerelectronics(gcce)，2016)提出了一种利用区块链技术进行wi-fi接入认证的方法，将用户的访问日志保存在区块链中，管理员可以识别非法的接入人员并收集用户的信息。(zhu，x.，badr，y.，pacheco，j.，&hariri，s，autonomicidentityframeworkfortheinternetofthings，ieeeinternationalconferenceoncloudandautonomiccomputing(iccac)，2017)提出了一种基于区块链的物联网身份框架(bifit)，并将bifit应用于物联网智能家居中，以用户为中心管理物联网设备身份并进行监控，使用区块链来维护所有者的所有身份，而事物的身份通过所有者私钥签名的签名与其所有者相关联。(andersen，m.p.，kolb，j.，chen，k.，fierro，g.，culler，d.e.，popa，r.a.，&fierro，g，wave：adecentralizedauthorizationsystemforiotviablockchainsmartcontracts，2017)设计了一个完全非集中式授权系统wave，提供细粒度权限、非交互委托和可以有效验证的权限证明，同时也支持撤销。然而现有技术中的方法大多注重于设备与云端之间的上层交互，设备与用户之间的交互过程，将区块链作为一种可靠的存储形式，但是其安全性方面仍然会存在问题。本文的方法是将区块链技术应用到设备与设备之间，辅以基于位置的信息，利用challenge-response体系，使物联网设备的wi-fi入网身份认证过程更加安全可靠。技术实现要素：本发明的目的在于提供一种基于位置信号特征共识的wi-fi接入认证方法，解决现有技术中注重设备与云端之间的上层交互，设备与用户之间的交互过程，将区块链作为一种存储形式而带来的安全性低的问题，实现了将区块链技术应用到设备与设备之间，辅以基于位置的信息，并利用challenge-response体系，使物联网设备的wi-fi入网身份认证过程更加安全可靠。本发明所采用的技术方案是，提供一种基于位置信号特征共识的wi-fi接入认证方法，包括以下步骤：s1.事先收集合法位置的信道状态信息csi，将经过处理的csi信息生成csi指纹库fcsi＝{fdata_change，famplitude}并存储在所有已通过认证的受保护安全域的设备内，该csi指纹库作为接入认证过程中的匹配阶段所使用的信息集合；其中，fdata_change为数据变化特征集合，是使用pca算法对收集到的csi数据进行降维得到的矩阵mi，fdata_change＝{m1，m2，m3，...，mi}，i∈[1，n]，n为指纹库中所有位置的数量；famplitude为幅度特征集合，是取信道频率响应信息cfr的最大幅度amax和最小幅度amin，以及取信道冲击响应信息cir所有数据包最大幅度的平均值aavg组合而成的特征集合，即famplitude＝{amax，amin，aavg}；需要接入wi-fi的未受保护安全域中的设备h向受保护安全域中的设备发送请求接入信息，即设备id信息和设备所在域信息；s2.受保护安全域内的设备均接收到设备h的wi-fi接入请求信息，选择受保护安全域中的设备f产生一个由设备id、随机参数和持续时间组成的随机指令，将该随机指令广播至受保护安全域中的每个设备，并将该随机指令发往需要接入wi-fi的设备h；设备h遵循该随机指令将响应信息，即设备id信息、设备所在域信息和响应的csi数据信息发送给受保护安全域中的设备；s3.受保护安全域中的设备将接收到的来自设备h的响应信息从随机指令匹配和csi指纹库fcsi匹配两个方面进行合法性判断；受保护安全域中的设备先在各自安全域内达成局部共识，再选出各自安全域的代表节点，即簇首ch节点，进而达成全局共识；s4.随机取受保护安全域b中的一个ch设备e查询全局路由表，请求存储上一个区块的受保护安全域a发送上一个区块的内容到ch设备e，该ch设备e根据上一个块的内容及所达成的共识将认证结果写入新区块，并下发一个与设备h的id相关的token，设备h使用这个token进行接入认证，将这个token放入token池，ch设备e同域的其他设备备份这个新区块内容；经广播后，所有设备更新全局路由表；s5.ap使用智能合约查询新区块的内容，受保护安全域b的ch设备将新区块内容中身份证明默克尔树结构相关的信息发送至ap，经过查询后ap同意或拒绝该设备h的接入请求；s6.若ap同意该设备h的接入请求，从token池中删除有关设备h的token信息，使其他非法设备无法再使用这个token进行接入认证；使用针对已认证通过的安全域中设备的智能合约定期检查已接入设备的合法性；若ap拒绝该设备h的接入请求，根据设备h发送的csi信息判断设备h的位置以实现追溯。进一步地，所述步骤s2中随机指令中指定了接入设备响应需要遵循的具体参数，接入设备必须遵循这些参数发送自己的csi信息，具体参数内容包括所发送数据包应有的收集速度m以及数据包的时间n，即要求设备以每秒m个包的速度收集n秒csi数据并将该数据发送给受保护安全域中的设备。进一步地，所述步骤s3中，随机指令匹配指响应数据包数量上的匹配；csi指纹库fcsi匹配包括数据变化特征矩阵相似度度量及幅度特征变化范围匹配；数据变化特征矩阵相似度度量使用相关距离计算；矩阵mi的矩阵相关系数表示为：其中，mi为数据变化特征集合fdata_change中位置i处的矩阵，m′为使用pca算法对收集到的csi数据进行降维得到的矩阵，d(·)和e(·)分别为矩阵的方差和期望；相关距离dmim′表示为：dmim′＝1-ρmim′；(2)当存在矩阵mi，使相关距离dmim′小于或等于相似度度量的阈值tdata_change时，即满足dmim′≤tdata_change，mi∈fdata_change，该响应信息的是合法的；幅度特征变化范围匹配根据以下公式计算：acfr′∈[amax，amin]∧|acir′-aavg|tampitude；(3)其中，amax和amin是从cfr数据中提取出来的幅度的最大和最小值，aavg是从cir数据中提取出来的幅度的平均值，acfr′及acir′分别为从响应信息的cfr和cir数据中提取出的幅度特征；所述相似度度量的阈值tdata_change为0.25，所述幅度特征差异的阈值tampitude为9。进一步地，所述步骤s3中局部共识是指一个受保护安全域内的所有设备的合法性判断结果使用pbft算法得到最终单个域内验证结果的过程；所述各自安全域的ch节点为该域中具有高连接度的节点；所述全局共识指各个安全域选出的ch，重新对各自安全域内的合法性判断结果进行广播，再利用pbft算法得到最终的验证结果。进一步地，所述步骤s4中全局路由表指为了缓解存储压力，每个设备维护的一个全局的路由信息而无须存储所有的区块数据；token池指为了避免二次认证而发放的有被认证设备身份的token的集合，即与请求接入设备的id相关接入凭证的集合，每个token用完即失效，下次需要重新进行认证。进一步地，所述步骤s5中针对ap的智能合约包括两个，完成的功能分别为查询最新区块的内容并执行允许或拒接接入的策略和定期要求已认证过的设备重新进行认证，曾经认证过的设备重新进行认证与新入网设备认证过程相同。进一步地，所述步骤s5中查询过程存储新区块的安全域b的ch设备将新区块内容中身份证明默克尔树结构相关的信息发送至ap，从而使其他设备无需下载整个区块就可以对是否存在某一身份证明进行判断。进一步地，所述步骤s6中针对已认证通过的安全域中的设备的智能合约定期对同域内所有设备重新认证，检查已认证设备的合法性，具体过程是定期进行csi聚类分析，每个安全域的ch对域中所有设备进行相关性计算，发现异常值立即通知ap，申请对异常设备的重新认证；所述追溯过程使用概率匹配算法，根据以下公式计算：其中，mi为数据变化特征集合fdata_change中位置i处的矩阵；m′为使用pca算法对收集到的csi数据进行降维得到的矩阵；p(m′)为m′出现的概率；p(m′|mi)为mi出现的情况下m′出现的概率；则，其中，其中ρmim′为矩阵的相关系数，σ和e(mi)分别为矩阵mi的期望和方差.将概率p(m′|mi)最大的位置i作为该非法设备的位置。本发明的有益效果是：1、本发明是第一个针对物联网环境下设备无线入网安全问题使用底层csi信息结合区块链技术的身份认证方案。2、本发明设计了一种基于challenge-response体系的认证方案，将物理层的csi信息作为out-of-band特征作为身份认证的凭据，从而不需要进行交换密钥等复杂性很高且不安全的操作。3、本发明设计了针对ap接入认证的区块链结构，用默克尔树的形式将身份信息存储，方便查询，针对物联网设备处理能力和存储容量受限的问题，设计了一种仅存储全局路由信息，区块分布式存储的方法。4、针对认证过程中的一致性问题，设计了一种先局部共识，后全局共识的pbft共识机制，此外，我们还分别设计了ap端和设备端的智能合约保证身份认证合理合法的进行。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为wi-fi接入认证方法框架图；图2为方法应用场景示意图；图3为局部共识和全局共识机制中使用的pbft共识达成流程；图4为区块结构示意图。具体实施方式下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。本实施例提供一种基于位置信号特征共识的wi-fi接入认证的方法。该方法分为三个阶段，准备阶段，认证过程阶段，认证结果阶段，认证方法框架如图1所示。以将智能家居中物联网设备根据处于不同的位置划分为四个安全域为例，如图2所示，得到四个安全域a、b、c、d，受保护域a、b中的设备是已经经过认证的，未保护域c、d中的设备需要通过受保护域a、b中的设备进行身份认证，未保护域c中的设备h需要进行wi-fi接入认证。1.准备阶段：1)事先收集合法位置的信道状态信息csi，将经过处理的csi信息生成csi指纹库fcsi＝{fdata_change，famplitude}并存储在所有已通过认证的受保护安全域a和b的设备内。csi指纹库fcsi包含两个方面的内容：数据变化特征集合fdata_change及幅度特征集合famplitude。数据变化特征为使用pca算法对收集到的3根天线30个子载波的所有数据包数据进行降维，得到一个3×30的矩阵，每个位置对应一个3×30的矩阵mi，fdata_change＝{m1，m2，m3，…，mi}，i∈[1，n]，n为指纹库中所有位置的数量。幅度特征集合famplitude为取信道频率响应信息cfr的最大幅度amax和最小幅度amin，以及取信道冲击响应信息cir所有数据包最大幅度的平均值aavg，组合成特征famplitude＝{amax，amin，aavg}。此处安全域指根据物联网设备所处的不同位置将设备分成多个安全域，假设不同域中的设备都具有无线联网功能，请求接入的设备必须先由受保护的安全域中的设备进行身份验证，才能通过ap接入互联网。2)未受保护安全域c中的设备h向安全域a和安全域b中的设备发送wi-fi接入请求(设备id，设备所在域)。2.认证过程阶段：接入认证过程首先根据物联网设备所处的不同地理位置将设备分成多个安全域，不同域中的设备均具有无线联网功能，请求接入的设备h先由受保护的安全域中的设备进行身份验证，即设备h通过发送接入请求并根据安全域中的设备返回的随机指令进行响应，当且仅当安全域内的设备合法性判断结果在局部和全局达成一致时，才会将设备h的合法身份记录在区块链上并下发设备h的接入token，设备h才能通过ap接入互联网。具体过程如下：1)受保护安全域内的设备都接收到设备h的请求，选择受保护安全域中的某个设备f产生一个随机的指令(设备id，随机参数，持续时间)，随机指令中指定了接入设备响应需要遵循的具体参数，接入设备必须遵循这些参数发送自己的csi信息，该随机指令有3个参数，设备id即请求接入设备的发出的wi-fi接入请求(设备id，设备所在域)中标识自身的设备id，随机参数指定收集csi信息的速度及持续时间，比如要求以100包/秒的速度进行收集，持续时间指定收集csi信息的持续时间，将该随机指令广播至受保护安全域中的每个设备，并将该随机指令发往设备h。随机指令指以某种随机参数发送设备的csi信息，比如随机指令指定的随机参数为速度100数据包/秒，时间10秒，即要求设备h以100数据包/秒的速度收集10秒csi数据，并将该数据发往受保护域中的设备。2)设备h遵循该随机指令将响应信息(设备id，设备所在域，响应的csi数据)发送给受保护安全域中的设备。3)受保护安全域的设备将接收到的来自设备h的响应信息从随机指令匹配和csi指纹库fcsi匹配两个方面进行合法性判断，随机指令匹配指响应数据包数量上的匹配，csi指纹库fcsi匹配包括数据变化特征矩阵相似度度量及幅度特征变化范围匹配。将收集到的csi信息使用pca算法对收集到的3根天线30个子载波的所有数据包数据进行降维得到的一个3×30的矩阵m′，数据变化特征矩阵相似度度量根据以下公式计算：矩阵相关系数其中，mi为数据变化特征集合fdata_change中位置i处的矩阵，m′为使用pca算法对收集到的csi数据进行降维得到的矩阵，d(·)和e(·)分别为矩阵的方差和期望。相关距离dmim′＝1-ρmim′；(2)当存在矩阵mi，使相关距离dmim′小于阈值tdata_change即满足以下不等式时，认为该响应信息是合法的：dmim′≤tdata_change，mi∈fdata_change幅度特征变化范围匹配根据以下公式计算：acfr′∈[amax，amin]∧|acir′-aavg|tampitude；(3)其中，amax和amin是从信道冲击响应信息cfr数据中提取出来的幅度的最大和最小值，aavg是从信道冲击响应信息cir数据中提取出来的幅度的平均值，acfr′及acir′分别为从响应信息的cfr和cir数据中提取出的幅度特征。相似度度量的阈值tdata_change和幅度特征差异的阈值tampitude分别取为0.25和9。4)受保护域中的设备先在各自安全域内达成局部共识，再选出各自域的ch节点达成全局共识。局部共识是指一个受保护安全域内的所有设备的匹配结果使用pbft算法得到最终单个域内验证结果的过程。各自域的ch节点指该域中具有最高连接度的节点。全局共识指各个安全域选出的ch，重新对各自域内的验证结果进行广播，最终再利用pbft算法得到最终的验证结果。局部共识和全局共识机制中使用的pbft共识达成流程如图3所示。假设有四个设备需要达成共识，每个设备将自身的验证结果进行广播，发送到进行该轮验证的其他设备上，所有设备都分别接收到了来自其他的设备的验证结果，将这些验证结果与自身的验证结果一起进行统计，最终选择出现频次最高的结果作为最终的验证结果发往clusterhead。3.认证结果阶段：1)随机取受保护域中的一个ch设备(假设为设备e，其为受保护域b中的设备)查询全局路由表，找到存储上一个区块存储的域(假设为安全域a)，请求安全域a发送上一个区块(假设为图4中的块2)到设备e。全局路由表指为了缓解存储压力，每个设备无须存储所有的区块数据，而是维护一个全局的路由信息，路由表格式为(块序号，所在域)，用于记录这个区块链的每个区块分布在哪个域中。2)域a的ch设备发送块2的内容到设备e，设备e根据块2的内容及所达成的共识，将认证结果写入块3中，并下发一个与设备h的id相关的token，设备h使用这个token进行接入认证，将这个token(设备id)放入token池，与设备e在同一个域内即域b内的其他设备d，f备份块3的内容，图4中给出了两个区块块2和块3及其连接方式的示例，以块3为例，一个区块结构的主要内容有：块2的哈希值pre_hash、已通过认证的设备数目device_hum、时间戳timestamp、块3所在域名称domain_num、全局路由表routing_directory(block_num，domain)、token池tokenpool、认证信息的默克尔树identity_info_root、认证信息identity_info(设备id，设备mac，设备ip，所属域，认证时间，当前是否可入网0/1)。token池指为了避免二次认证而发放的一个有被认证设备身份的token(设备id)的集合，即与请求接入设备的id相关接入凭证的的集合，ap利用token将设备id对应设备入网，用完即失效，下次需要重新进行认证。3)广播，所有设备更新全局路由表(块序号，所在域)。4)ap使用智能合约查询最新区块的内容，受保护域b的ch设备将最新区块内容中身份证明默克尔树结构相关的信息发送至ap，经过查询后ap同意/拒绝设备h的接入请求。针对ap的智能合约包括两个，完成的功能分别为查询最新区块的内容并执行策略(允许/拒绝接入)及定期要求已认证过的设备重新进行认证，曾经认证过的设备重新进行认证与新入网设备相同。默克尔树结构指将身份认证信息用默克尔树的形式存储，从而使其他设备无需下载整个区块就可以对是否存在某一身份证明进行判断。5)如果ap同意设备h的接入请求，从token池中删除有关设备h的token信息，使其他非法设备无法再使用这个token进行接入认证，并使用针对已认证通过的域中的设备的智能合约定期检查已接入设备的合法性；如果ap拒绝设备h的接入请求，根据设备h发送的csi信息判断设备h的位置以实现追溯。针对已认证通过的域中的设备的智能合约定期对同域内所有设备重新认证，检查已认证设备的合法性，具体过程是定期进行csi聚类分析，每个域的ch对域中所有设备进行相关性计算，一旦发现异常值立即通知ap，申请对异常设备的重新认证。追溯过程使用概率匹配算法，找到概率最大的位置作为该非法设备的位置，根据以下公式进行计算：于是，其中，其中ρmim′为矩阵的相关系数，σ和e(mi)分别为矩阵mi的期望和方差。以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。当前第1页12当前第1页12