一种电力无线专网设备接入认证方法及系统与流程

本发明涉及无线通信技术领域，特别是一种基于差分星座轨迹图的电力无线专网设备接入认证方法及系统。

背景技术：

随着无线专网在电力系统中的广泛应用，为配电自动化、源网荷储互动等控制类业务和用电信息采集、移动作业、视频监控等管理类业务提供了便捷的接入手段。电力无线专网继承了无线网络组网灵活、建设便捷、应用成熟的优势，同时其频段、设备、网络的专用避免了无线公网在带宽、时延、业务中断率、安全可靠性方面的限制，能够有效补充有线传输网络并高效解决电力通信“最后一公里”接入问题，打通电力通信网“神经末梢”，具有传统有线通信和无线公网通信不可比拟的优势。然而，随着无线专网接入终端数量的急剧增加，在源网荷储、配变监测、移动应用等各类混合业务统一接入的场景下，当前普遍采用的通过核心网进行集中式处理的方式将无法满足负荷控制类电力业务的实时性要求，同时电力无线专网也继承了无线系统的信道开放、网络共享、终端移动等特性，对于电力业务的安全性也提出了巨大挑战。

无线网络由于其开放的信道环境，攻击者使用简单的设备就可以发起嗅探；无线网络安全协议通常存在漏洞，非法用户窃取到密钥就能够入侵；这些都给无线网络带来诸多安全问题。安全问题是无线网络的一个核心问题，特别是对于政府、金融以及医疗等对信息安全较为敏感的行业。无线网络安全是决定一个无线网络能否实用的首要准则。

传统的保护无线通信系统安全的加密和认证方法是基于osi七层模型中物理层以上层次，通过设计基于密码机制的安全协议来实现对数据完整性和机密性的保护以及提供通信双方身份的认证。然而，实际的无线网络安全协议通常会存在漏洞。现阶段，无线通信系统的身份认证主要依赖于设备固有的身份认证或者通过协议约定认证。例如控制设备可以根据接入设备的mac地址，对接入设备进行认证，或者依靠预先共享的密钥进行认证。然而，基于osi上层协议的设备mac地址容易受到篡改，基于预先共享密钥的认证则需要额外的通信信道支持。

由于辐射源电子元件的制造容差和退化老化效应，以及对元件的人为调试等因素，即使是同一型号同一批次的辐射源也存在差异。辐射源发射信号时，其硬件差异会给信号带来独特的调制。

由于设备的mac地址容易伪造，而加密序列也随着计算能力的不断提高存在被破解的可能，因此需要从根源上提升系统接入的认证级别，即从硬件的射频差异着手。

技术实现要素：

本发明的目的在于提供一种基于差分星座轨迹图的电力无线专网设备接入认证方法及系统，以能够有效识别非法接入设备，极大地提升系统的安全性。

为实现上述目的，本发明采用如下技术方案：

一方面，本发明提供了一种电力无线专网设备接入认证方法，包括以下步骤：

获取无线设备基带i/q信号的差分星座轨迹图；

将所述差分星座轨迹图划分成至少一个子区域；

对至少一个子区域中的每个子区域计算聚类中心，并将计算出的聚类中心按照预定规则进行组合，生成无线设备的射频指纹特征；

将生成的无线设备的射频指纹特征与预先存储在射频指纹库中的对应射频指纹特征进行对比，根据对比文件，对无线设备进行认证。

进一步地，所述获取无线设备基带i/q信号的差分星座轨迹图，包括以下步骤：

接收无线设备基带i/q信号，并对接收到的信号进行过采样；

对过采样后的信号进行能量归一化；

对能量归一化的信号进行延迟、差分运算；

将延迟差分后的信号绘制在以i路和q路为坐标轴的坐标空间中，形成差分星座轨迹图。

进一步地，用于接收无线设备基带i/q信号的设备采用被动侦听的设备。

进一步地，所述对过采样后的信号进行能量归一化，按照下式进行计算：

其中，(ii,qi)表示过采样后i/q信号的坐标，(ii′,qi′)表示能量归一化后i/q信号的坐标，m表示采样点的个数。

进一步地，所述对能量归一化的信号进行延迟、差分运算，按照下式进行计算：

(ii″+qi″j)＝(ii′+qi′j)·(ii+n′+qi+n′)i＝1,2,...,m

ii″＝ii′ii+n′-qi′qi+n′i＝1,2,...,m

qi″＝ii′qi+n′+ii+n′qi′i＝1,2,...,m

其中，n表示差分间隔，j表示复数的虚数单位，ii′、qi′分别表示能量归一化后信号的i路、q路坐标，ii+n′、qi+n′分别表示延迟后信号的i路、q路坐标，ii″、qi″分别表示延迟差分后信号的i路、q路坐标，m表示采样点的个数，ii+n′、qi+n′。

进一步地，所述获取无线设备基带i/q信号的差分星座轨迹图，还包括：

对绘制的差分星座轨迹图中的所有采样点进行数据预处理，去除不符合要求的采样点。进一步地，对绘制的差分星座轨迹图中的所有采样点进行数据预处理，去除不符合要求的采样点，包括以下步骤：

分别计算差分星座轨迹图中所有采样点的幅值；

计算所有采样点幅值的平均值，并删除幅值是平均值3倍以上的采样点。

进一步地，所述将所述差分星座轨迹图划分成至少一个子区域，包括以下步骤：

计算差分星座轨迹图中剩余各采样点的幅值，得到最大幅值；

将得到的最大幅值进行n等分，其中n为大于等于2的整数，计算各个等分点与坐标原点之间的距离；

以坐标原点为圆心，分别以各个等分点与坐标原点之间的距离为半径作圆，得到的同心圆将差分星座轨迹图划分为一个圆形子区域和n-1个环形子区域。

进一步地，所述对至少一个子区域中的每个子区域计算聚类中心，并将计算出的聚类中心按照预定规则进行组合，生成无线设备的射频指纹特征，包括以下步骤：

采用k-means聚类算法，从距离原点最近的子区域开始，由内而外地依次对各个子区域中的采样点进行k聚类，得到nk个聚类中心；

将得到的nk个聚类中心先按照其幅值，再依据它们在区间[-π,π]的相位从小到大依次进行排列，得到排序后的nk个聚类中心k1,k2,...kk,kk+1,kk+2,...,k2k,...,knk；

采用k-means聚类算法，对在圆心为(0,0)、半径为所述最大幅值的圆内的采样点进行k聚类，得到k个聚类中心，按照上述相同的方式进行排序，得到排序后的k个聚类中心k1′,k2′,...,kk′；

按照下式计算排序后的聚类中心的差值：

将计算得到的(δk1,δk2,...δkk,δkk+1,δkk+2,...,δk2k,...,δknk)作为代表无线设备身份的射频指纹特征。

进一步地，所述将生成的无线设备的射频指纹特征与预先存储在射频指纹库中的对应射频指纹特征进行对比，根据对比文件，对无线设备进行认证，包括：

计算生成的无线设备的射频指纹特征与射频指纹库中对应的射频指纹特征的欧氏距离之和，根据该距离值对无线设备进行认证。

另一方面，本发明还提供了一种电力无线专网设备接入认证系统，包括：

获取模块，配置为获取无线设备基带i/q信号的差分星座轨迹图；

区域划分模块，配置为将所述差分星座轨迹图划分成至少一个子区域；

指纹生成模块，配置为对至少一个子区域中的每个子区域计算聚类中心，并将计算出的聚类中心按照预定规则进行组合，生成无线设备的射频指纹特征；

指纹比较模块，配置为将生成的无线设备的射频指纹特征与预先存储在射频指纹库中对应的射频指纹特征进行对比，根据对比文件，对无线设备进行认证。

与现有技术相比，本发明所达到的有益技术效果为：通过将差分星座轨迹图划分为多个子区域，对每个子区域进行k聚类，减小了每个区域聚类中心计算的复杂度，增加了聚类中心点，这些聚类中心点所组成的物理指纹具有更高的精确度，能够增加接入设备的安全认证级别。

附图说明

图1是本发明实施例的一种电力无线专网设备接入认证方法的实施场景；

图2是本发明实施例的一种电力无线专网设备接入认证方法的信号处理流程图。

具体实施方式

下面结合具体实施例对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

实施例1

结合图1～2，本发明实施例提供了一种电力无线专网设备接入认证方法，包括：采集数据发送设备发送的信号，从中提取出能够反映设备硬件特性的射频参数作为物理指纹，与已存储的物理指纹进行对比。具体步骤如下：

步骤1，接收基带i/q信号，并对接收的信号进行过采样。

如图1所示，接收基带信号的设备是第三方独立设备，只具有数据接收功能，独立于正常的数据传输系统中的发送设备和接收设备，即该设备采用被动侦听模式。

步骤2，对过采样后的信号进行能量归一化。

在该步骤中，假设采样后的信号为(ii,qi)，那么能量归一化后的信号(ii′,qi′)可以表示为：

其中，(ii,qi)表示过采样后i/q信号的坐标，(ii′,qi′)表示能量归一化后i/q信号的坐标，m表示采样点的个数。

步骤3，对能量归一化后的信号进行延迟、差分运算。

在该步骤中，对能量归一化后的信号(ii′,qi′)按照式(2)～(4)进行延迟、差分运算，得到信号(ii″,qi″)：

(ii″+qi″j)＝(ii′+qi′j)·(ii+n′+qi+n′)i＝1,2,...,m(2)

ii″＝ii′ii+n′-qi′qi+n′i＝1,2,...,m(3)

qi″＝ii′qi+n′+ii+n′qi′i＝1,2,...,m(4)

其中，n表示差分间隔，j表示复数的虚数单位，ii′、qi′分别表示能量归一化后信号的i路、q路坐标，ii+n′、qi+n′分别表示延迟后信号的i路、q路坐标，ii″、qi″分别表示延迟差分后信号的i路、q路坐标，m表示采样点的个数。

步骤4，将延迟差分后的信号绘制在以i路和q路为坐标轴的坐标空间中，形成差分星座轨迹图。

步骤5，对差分星座轨迹图中的所有采样点进行数据预处理，去除偏差过大的采样点；

按照下式(5)计算差分星座轨迹图中的各采样点(ii″,qi″)与坐标原点(0,0)之间的距离di，即计算差分星座轨迹图中采样点的幅值；

计算所有采样点幅值的平均值，并删除幅值是平均值3倍以上的采样点。

步骤6，将去除偏差采样点的差分星座轨迹图划分成多个子区域。

计算步骤5中剩余m'个采样点中各采样点的幅值：d1′,..,di′,...,dm'′(i＝1,2,...,m')，按照下式(6)，得到最大距离dm：

dm＝max(d1′,..,di′,...,dm'′)i＝1,2,...,m'(6)

即，最大距离dm为m'个采样点幅值中最大的采样点幅值；

将最大距离dm进行n(n≥2)等分，按照下式(7)计算各个等分点与坐标原点之间的距离dt：

其中，t表示各等分点。

以(0,0)为圆心，分别以dt为半径作圆，得到的同心圆将差分星座轨迹图划分为一个圆形子区域和n-1个环形子区域。

步骤7，对每个子区域计算聚类中心，并将计算出的聚类中心按照预定规则进行组合，生成无线设备的射频指纹特征。

首先，采用k-means聚类算法，从距离原点最近的区域开始，由内而外地依次对各个子区域中的点进行k聚类，得到nk个聚类中心，将聚类中心先按照其幅值，再依据它们在区间[-π,π]的相位从小到大依次进行排列，得到排序后的nk个聚类中心k1,k2,...kk,kk+1,kk+2,...,k2k,...,knk。然后，采用k-means聚类算法，对在圆心为(0,0)，半径为最大距离dm的圆内的点进行k聚类，得到k个聚类中心，按照相同的方式进行排序，得到(k1′,k2′,...,kk′)。最后按照下式(8)，计算排序后的聚类中心的差值，将(δk1,δk2,...δkk,δkk+1,δkk+2,...,δk2k,...,δknk)作为代表无线发送方设备身份的射频指纹特征向量。

步骤8，将步骤7生成的无线设备的射频指纹特征与预先存储在射频指纹库中对应的射频指纹特征进行对比，以对无线设备进行识别或认证。

具体步骤为：计算待识别或待认证的无线发送方设备的射频指纹特征与射频指纹库中对应的已注册设备射频指纹特征的欧氏距离之和，根据该距离值对待识别或待认证的无线发送方设备进行识别。按照下式，计算欧式距离和：

式中，si,j表示已注册设备i与待识别设备j的欧式距离和，表示已注册设备i的射频指纹特征向量中第p个元素，表示待识别设备j的射频指纹特征向量中第p个元素，d表示欧氏距离，p表示已注册设备i或待识别设备j的射频指纹特征向量中的元素个数。

其中，射频指纹库是基于设备注册得到的，当进行设备注册时，将待注册无线发送方设备，按照步骤1～7提取设备的射频指纹特征，并将射频指纹特征写入到射频指纹库中。

实施例2

本发明实施例提供了一种电力无线专网设备接入认证系统，包括：

获取模块，配置为获取无线设备基带i/q信号的差分星座轨迹图；

数据预处理模块，配置为对差分星座轨迹图中的所有采样点进行数据预处理，去除偏差过大的采样点；

区域划分模块，配置为将去除偏差采样点的差分星座轨迹图划分成多个子区域；

指纹生成模块，配置为对每个子区域计算聚类中心，并将计算出的聚类中心按照预定规则进行组合，生成无线设备的射频指纹特征；

指纹比较模块，配置为将生成的无线设备的射频指纹特征与预先存储在射频指纹库中对应的射频指纹特征进行对比，以对无线设备进行识别或认证。

其中，电力无线专网设备接入认证系统包括两个阶段：射频指纹训练阶段和射频指纹识别阶段。

当认证系统处于射频指纹训练阶段，面向所有待注册设备，按照实施例1中步骤1～7提取各个设备的射频指纹特征，并将其存储在射频指纹库中。

当认证系统处于射频指纹识别阶段，采集待识别设备的信号，根据实施例1中步骤1～7提取待识别或待认证设备的射频指纹特征，与预先存储在射频指纹库中对应的射频指纹特征进行对比，判断待识别或待认证设备是否身份匹配。

由以上实施例可以看出，本发明的一种电力无线专网设备接入认证方法及系统，通过将差分星座轨迹图划分多个子区域再进行k聚类，减小了每个区域聚类中心计算的复杂度，增加了聚类中心点，这些聚类中心点所组成的物理指纹具有更高的精确度，能够增加接入设备的安全认证级别。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。