专利名称:基于分层结构的认知无线电网络的实体认证系统及其方法
技术领域:
本发明涉及信息安全技术中认知无线电网络安全相关应用领域,尤其涉及一种基于分层结构的认知无线电网络的实体认证系统及其方法。
背景技术:
认知无线电用户在通信过程中,要不断地进行接入和退出认知无线电网络,因此 网络的拓扑结构是动态变化的。在认知无线电网络中,次用户和主用户的服务质量应该是 基本一致的,但它们的服务权限却又优先级的区别。这样使得认知无线电网络更加复杂, 更加的难以有效地控制整个网络的运行,给了敌手留下更多的机会。网络面临以下安全问 题(1)网络拓扑和成员的动态变化由于节点的随机地接入、退出网络,认知无线电 网络的拓扑一直处在一种动态变化之中,这要求解决网络的动态拓扑问题。(2)脆弱的无线链路被动和主动攻击均为无线链路的安全隐患,尤其像拒绝服 务(DoS)、伪造、假冒、入侵攻击、自私攻击等问题显得尤为重要。(3)频谱被频繁地接入退出认知用户频繁地接入、退出频谱,使得主动敌手更容 易伪造其身份接入频谱,进而攻击网络。当用户在准备接入认知无线电网络时,为了让具有合法身份的用户加入网络并能 有效的阻止非法用户的接入,从而确保认知无线电网络的安全性,那么认知无线电网络必 须采用实体认证机制来确定用户身份的合法性。认知无线电网络主要是解决用有限的频谱资源来满足不断增加的用户群体而且 用户的服务质量并不降低。用户频繁的接入退出认知无线电网络使得网络更加的开放,网 络的安全性更加的脆弱,因此对准备接入认知无线电网络的用户执行它的身份认证是非常 有必要的。而现在传统的实体认证方案包括基于公钥加密认证方案和对称密钥加密方案都 不适合频谱频繁切换的这一特征。目前认知无线电网络的认证机制主要基于扩展的认证方 案。基于可扩展的实体认证机制具体可参考文献[1-2]基于轮型结构的实体认 证方案(M. Kuroda, R. Nomura and W. Trppe,“A radio-independent authentication protocol (EAP-CRP) for networks of cognitive radios,,,in Proceedings 4th Annual IEEE Society Conference onSensor, Mesh and Ad Hoc Communications and Networks, pp. 70-79,June 2007.禾口 R.Nomura,M. Kuroda, T. Mizuno, "Evaluation of EAP based re-authentication protocol forhigh-speed vehicular handover in cognitive radio networks,” in Proceedings 2nd InternationalConference on Cognitive Radio Oriented Wireless Networks and Communications, pp. 549-553,2007.)、文献 [3-4]基于认知代理的认证方案(B. B. Sathish and P. Venkataram,"Transactionbased authentication scheme for mobile communication :a cognitive agent based approach, ”inProceedings 7th IEEE International Conference on Paralleland Distributed ProcessingSymposium, pp. 1-8, March 2007.禾口 B. B. Sathish and P. Venkataram,"An authenticationscheme for personalized mobile multimedia services :A cognitive agents based approach,,,Future Generation Communication and Networking, vol. 1,pp. 167—172,December 2007.)等公开文献。由于并没有考虑认知无线电网络中频繁的频谱切换的问题,该类实体认证方案的 认证时延必将对该方案的效率产生很大影响。针对这样的问题,我们提出了认知无线电网 络新型的认证方案(HSAS-CRN)。
发明内容
本发明的主要目的在于提供一种认知无线电网络中的实体认证系统,以对认知无 线电网络中的用户身份进行认证,保证用户之间通信的安全,从而有效防止假冒攻击。本发明的技术方案是基于分层结构的认知无线电网络的实体认证系统,该系统 主要包括以下四个功能模块,分别是登记授权模块、信任分析模块、行为决策模块和证书授 权模块;所述登记授权模块是用于存储可验证次用户身份的证书。在任何次用户想要接入 认知无线电网络之前,某一子基站先登记所述次用户的身份信息;然后局部的网络管理中 心产生一非对称密钥;最后公钥存储在这个子基站中,而对应的私钥分发给这个次用户;所述信任分析模块用于区别次用户是否为合法的;通过分析次用户的信息,计算 这个次用户的信任值。如果该信任值大于某个门限值那么认定该用户为合法的;所述行为决策模块用于决定次用户是否可以接入认知无线电网络;通过执行该模 块获得信任值并将该值返回给登记该用户的子基站;所述证书授权模块用于分发数字证书;通过执行该模块,主基站将通知接入子基 站是否允许该次用户通过认证。基于分层结构的认知无线电网络的实体认证系统的方法,该方法包括以下步骤假设认知无线电网络中有η个次用户。局部的网络管理中心产生η对非对称密 钥,PUi和PRi分别表示次用户SUi的公钥和私钥,PUi分配给的子基站SBSi和PRi分配给了 次用户SUitl用AP来表示接入点;身份识别码IDi表示SUi的唯一的身份特征,数据率drCi 表示SUi在正常情况下传输数据的速率且是一个常数。信任值bVi用来度量SUi的信任程 度;Request表示请求包和Ack表示回复包;Ek (Hi1 | · · · |mn)用密钥K来加密消息Hi1. · · mn, 消息之间用级联I I连接; 是二元符号,即方程A B表示A = B+δ,其中0彡δ <10。(1)授权登记当SUi在接入网络之前需要对所述SUi的相关特性进行登记,并在 以后的接入网络时,通过与存储的所述SUi的特性对比来决定SUi是否能够接入网络中。所 述SUi首先发送认证请求包IDi, ClrCi, Request, Timei给距离最近的SBSi ;随后所述SBSi也 给所述SUi返回一认证回复包IDi, Ack, Timei ;最后所述SBSi把产生的PUi存储,把对应的 PRi被分配给所述SUi,置bv, = 0 ;(2)认证请求所述SUi向最近的AP发送数据请求包;随后AP向所述SUi和所述 SBSi发送返回数据包;所述SBSi通过唯一的路由返回消息给所述SUi ;当所述SUi收到该消 息之后,并向 主基站发生消息;(3)信息传输该模块主要是为选择有效的次用户信息并传输给主基站。对每个j (1彡j乒i彡η)都计算=thr, X {drCl Idrcj),如果bVi彡-C且办c, 那么所 述SBSi发送参数tin!」和伪^给主基站,以及发送参数PUi, IDi, Δ Coni, timi; thri bVi给主 基站;否则若bVi < -C那么所述SUi是不可信任的同时拒绝传输任何消息;(4)信任分析所述主基站收到上述步骤中所述SBSi的信息。首先获得信任信息
DRCi =(^thij)/C^timj),如果 Aconi < Q 那么置 bVi = bVi+l 否则置 bVi = bv「l ;如果
DRCi thiVtinii那么置bVi = bVi+l,否则置bVi = bv-1 ;如果bVi > C那么重新赋值否则 如果bVi < -C那么重新赋值bVi = "(C+1);所述主基站传输信任值bVi给登记SUi的子基 站;(5)行为决策根据上述步骤(4)得到的信任值判断是否允许所述SUi接入认知 无线电网络;如果信任分析的结果是不信任的,那么主基站发送不信任的消息给登记所述 SUi的SBSi,并且发送拒绝消息给所述SUi ;否则所述主基站发送成功消息给接入所述SUi的 SBSi,并发送允许消息给所述SUi ;(6)信息收集主要由登记子基站收集次用户的拥塞率和数据传输率。当登记子基 站SBSi接收到本次传输数据完成的数据包时,则Iiumi = nunii+1, Umi = tim^t" ^ri =
Coni +1 con.
thri+Ci,其中、是传输时间和Ci是吞吐量;如果拥塞发生,那么——丨一,
Tiumi + / Huml
Coni = corii+1,否则赋值 Aconi = _1 ;最后所述 SBSi 存储参数 Mimi, Coni, Aconi, timi thriD本发明的有益效果是由于采用上述技术方案,本发明是针对认知无线电网络 中频繁地进行频谱切换的特点,以及次用户、主用户与认知无线电网络之间要不断地进行 数据传输,那么身份认证将成为防止假冒攻击的重要手段之一,提出一种认知无线电网 络的实体认证方案(Hierarchical-based Structure Entity Authentication Scheme, HSAS-CRN)。该方案的安全性是依据大数因式分解的困难性,并且引入了分层架构的思想同 时增加的信任机制能够有效地防止拒绝服务攻击和拥塞同时显著降低了认证时延。
图1是本发明基于分层结构的认知无线电网络的实体认证系统及其方法基于分 层架构的认证体系图。图2是本发明方法HSAS-CRN的一个认证过程图。图3是本发明本方法HSAS-CRN的流程图。
具体实施例方式下面结合实例对本发明作进一步说明。如图1为本发明基于分层结构的认知无线电网络的实体认证系统及其方法认证 体系基于分层架构的认证体系图,计算机和移动电话代表次用户,除了主基站外每个子基 站都直接相连一个数据库用于存储数字证书。该数字证书包括公钥、用户身份识别码和加 密信息。主基站的主要任务是连接所有的子基站并接入主网,例如英特网或其它认知无线 电网络。每个子基站与主基站之间都有唯一的无线链路进行交互数据同时主基站又接入其它的认知无线电网络中,因此我们构造的认证方案是一个分层的开放的体系。如图2所示,本方法HSAS-CRN的一个认证过程,具体过程如下(1)次用户一登记子基站(IDi, (Irci, Request, Timei);(2)登记子基站一次用户(IDi, Ack, Timei);(3)登记子基站一次用户·βκ, m Il PR1);(4)次用户一接入点(IDi, Request, Timei);(5)接入点一次用户(IDi, Ack, Timei),接入点一登记子基站(IDi, Ack, Timei);(6)登记子基站—接入点(Message,Timei)mc ;(7)接入点—次用户(Message,Timei)mc(8)次用户—主基站ERUi (ID, 11 Request \ | Time丨);(9)主基站一登记子基站(IDi, Information, Timei);(10)登记子基站一主基站·βΚι {ID, Il PU1 Il Parameter);
(11)主基站一登记子基站·βΚι (IDi Il Belie^alue);(12)主基站一登记子基站一次用户(IDi, Reject, Timei)mc ;(12*)主基站一接入子基站一次用户(IDi, Permit, Timei)mc ;(13)次用户一登记子基站(IDi, Request, Gather, Timei);(14)登记子基站一次用户(IDi, Respond, Gather, Timei)(15)次用户一登记子基站:EKi (ID1 Il Information)。如图3所示为本方法HSAS-CRN的流程图。假设某个次用户准备接入某一认知无线电网络,那么这个用户唯一的身份标识分 别为ID4。在执行认证之前,次用户先要向附近的子基站登记它的身份信息以后获得它的 私钥,而公钥保存在登记信息的子基站中。设在此子基站中登记的用户除了上述的这个用 户外,还有三个认知无线电用户。它们某一状态时的信任值、接入次数、拥塞次数、传输时间 和吞吐量可以表示为 下面介绍次用户ID4具体的认证过程假设这个次用户从来没有接入到认知无线电网络,即它们是新用户。先对用户ID4 进行接入认知无线电网络的认证过程。
(1)次用户ID4执行授权登记算法,并获得私钥且设信任值bv4 = 0。(2)当该用户需要接入认知无线电网络时,执行认证请求算法。(3)由于该用户从未接入认知无线电网络,则num4 = 0,con4 = -1,Acon4 = 0,tim4 = Os和thr4 = Okb,且该用户固有的数据传输率为drc4 = 45kb/s。(4)执行信息传输算法。对该次基站的所有次用户计算得 thr* = thry χ (drc^ Zdrc1) =4500kb,iftr; = 4500kb,i^; = 1125kb。根据信息传输算法中对信任值和
数据传输率的限制,将次用户ID1和ID2的接入时间t—和吞吐量以及次用户ID4的相
关参数从登记子基站发送给主基站。(5)当主基站接收到登记子基站发来的信息时,主基站执行信任分析算法。先计算 DRC^ = (Σ^)^!^)=卯0/19。由于t = ο和Δ⑶=4,从而得到的信任值bv4 =
1。最后将新得的信任值传输给登记次用户ID4的子基站,并返回信任值。(6)执行行为决策算法,通过验证公钥证书的真实性和有效性。设该证书是真实、 有效的,那么次用户ID4将被允许接入认知无线电网络进行通信。随后执行证书授权算法, 来保证次用户能在该认知无线电网络共享频谱资源。(7)当次用户ID4数据传输完成或者主用户出现时,该次用户的本次信息通信结 束。执行信息收集算法,通过接入点登记子基站将获得它的相关参数num4 = Ltim4 = 4s, thr4 = 200kb,Acon4 = -1,con4 = 0。通过上述认证流程的执行过程目前在这个登记子基站内,次用户的信息被更新 为 尽管在某个时候次用户ID3想接入该认知无线电网络,但它的信任值已经低于接 入认知无线电网络的信任值要求,因此这样的用户就再也无法接入认知无线网络。此时次 用户ID1想接入认知无线电网络,同样再次执行认证流程。(1)首先发起认证请求,并执行认证请求算法。(2)执行信息传输算法。对该子基站的所有次用户计算得:thr; =thr2x(drCl Zdrc2)-5000kb; thr3*= 1250kb,thr4*=180kb。根据信息传输算法中对信任值和数据传输率的要求, 将次用户ID2、IDjn ID4的接入时间Umj和吞吐量从r;以及次用户ID1的相关参数从登记子
基站发送给主基站。(5)当主基站接收到由登记子基站发来的信息时,主基站执行信任分析算法。先 计算Z^C1 =3215/62且 DRC1 - thiVtirv 因此信任值 bVl = 2。又由于
Acon1 = -2. 5 < 0,此时的信任值为bVl = 3。但由于bVl > 1,从而得到的信任值bv4 = 1。 最后将新得的信任值传输给登记次用户ID4的子基站,并返回信任值。(6)执行行为决策算法,通过验证公钥证书的真实性和有效性。设该证书是真实、 有效的,那么次用户ID1将被允许接入认知无线电网络进行通信。随后执行证书授权算法, 来保证次用户能在认知无线电网络共享频谱资源。(7)由于次用户ID1数据传输完成或者主用户出现,次用户的本次数据传输结束。 执行信息收集算法,通过接入点登记子基站将获得它的相关参数num4 = ILtim4 = 110s,
2 1
thr4 = 5200kb,Actw4 =^y-JY,COn4 = 2。设1=6,那么 Acon4 = 0.03。通过上述认证流程的执行过程目前在这个登记子基站内,次用户的信息被更新
为
权利要求
一种基于分层结构的认知无线电网络的实体认证系统,其特征在于,该系统主要包括以下四个功能模块,分别是登记授权模块、信任分析模块、行为决策模块和证书授权模块;所述登记授权模块是用于存储可验证次用户身份的证书。在任何次用户想要接入认知无线电网络之前,某一子基站先登记所述次用户的身份信息;然后局部的网络管理中心产生一非对称密钥;最后公钥存储在这个子基站中,而对应的私钥分发给这个次用户;所述信任分析模块用于区别次用户是否为合法的;通过分析次用户的信息,计算这个所述次用户的信任值。如果该信任值大于某个门限值那么认定该用户为合法的;所述行为决策模块用于决定次用户是否可以接入认知无线电网络;通过执行该模块获得信任值并将该值返回给登记该用户的子基站;所述证书授权模块用于分发数字证书;通过执行该模块,主基站将通知接入子基站是否允许该次用户通过认证。
2.根据权利要求1所述的基于分层结构的认知无线电网络的实体认证系统的方法,其 特征在于,该方法包括以下步骤假设认知无线电网络中有n个次用户。局部的网络管理中心产生n对非对称密钥,PUi 和PRi分别表示次用户SUi的公钥和私钥,PUi分配给的子基站SBSi和PRi分配给了次用户 SUi0用AP来表示接入点;身份识别码IDi表示SUi的唯一的身份特征,数据率(11^表示SUi 在正常情况下传输数据的速率且是一个常数。信任值13\用来度量SUi的信任程度;Request 表示请求包和Ack表示回复包;EK(mi | |... | |mn)用密钥K来加密消息m” . . mn,消息之间用 级联I |连接; 是二元符号,即方程A B表示A = B+5,其中0彡6 < 10。(1)授权登记当SUi在接入网络之前需要对所述SUi的相关特性进行登记,并在以后 接入网络时,通过与存储的所述SUi的特性对比来决定SUi是否能够接入网络中。所述SUi 首先发送认证请求包IDydrq,Request,Timei给距离最近的SBSi ;随后所述SBSi也给所述 SUi返回一认证回复包IDpAd^Timei ;最后所述SBSi把产生的PR存储,把对应的被分 配给所述S、置bVi = 0;(2)认证请求所述SUi向最近的AP发送数据请求包;随后AP向所述SUi和所述SBSi 发送返回数据包;所述SBSi通过唯一的路由返回消息给所述SUi ;当所述SUi收到该消息之 后,并向主基站发生消息;(3)信息传输该模块主要是为选择有效的次用户信息并传输给主基站。将可信的SUi 对应的接入时间tinij和吞吐量以及SUi的相关参数从所述SBSi发送给主基站;(4)信任分析所述主基站收到上述步骤中所述SBSi的信息,并执行信任分析算法,获 得信任信息= (ZjhrXYjim) ’并根据信任信息得到所述SUi的信任值,最后所述主j劫j初基站将信任值发送给所述SBSi ;(5)行为决策根据上述步骤(4)得到的信任值判断是否允许所述SUi接入认知无线 电网络;如果信任分析的结果是不信任的,那么主基站发送不信任的消息给登记所述SUi的 SBSp并且发送拒绝消息给所述SUi ;否则所述主基站发送成功消息给接入所述SUi的SBSp 并发送允许消息给所述SUi ;(6)信息收集主要由登记子基站收集次用户的拥塞率和数据传输率。当登记子基站SBSi接收到本次传输数据完成的数据包时,则nunii = num^l, tim! = _+、,机=,con. +1 con,thri+Ci,其中、是传输时间和Ci是吞吐量;如果拥塞发生,那么=--‘一’numi + / numjcorii = corii+1,否则赋值 A coni = -1 ;最后所述 SBS!存储参数 nuiv con^ Acon^ tim^ thri0
全文摘要
本发明提供了一种认知无线点网络中的实体认证系统及方法,涉及信息安全技术中的相关应用领域。本发明基于分层结构的认知无线电网络的实体认证系统及其方法以对认知无线电网络中的次用户身份进行认证,保证次用户之间安全通信。次用户在发起认证请求过程中,需要对它的信任程度进行判断,只有符合条件的才能允许进一步执行公钥验证,这种信任机制能够有效防止恶意用户在网络中发起多次攻击。该方案的安全性是基于RSA算法的,同时将对称密钥和公钥体系相结合。在保证认证安全性不降低的前提下,认证的效率有了很大的提高,从而有效地降低了认证时延。另外,该方案在一定程度上对防止重放攻击和控制网络拥塞等安全问题有显著效果。
文档编号H04W48/08GK101860861SQ20101017382
公开日2010年10月13日 申请日期2010年5月10日 优先权日2010年5月10日
发明者吴华怡, 周贤伟, 王超, 郭继文 申请人:北京科技大学