专利名称:一种无线网络安全认证方法及其系统的制作方法
技术领域:
本发明属于通信信号处理和无线网络安全技术领域,特别涉及基于稳态信号指 纹的无线网络安全认证技术领域。
背景技术:
近年来,以WLAN为代表的各类无线通信网因其高效快捷、组网灵活的优势正以超 出想象的速度迅猛发展。在迅速普及的同时,相应的无线网络安全性问题日益凸现。开放 式信道以及某些自组织组网形式导致了形形色色的安全威胁,而无线网络设备由于软件体 系和硬件限制无法提供较好的安全保护,尤其在一些高危敏感行业(如军事、金融、医疗和 工业控制等)中,无线网络面临着严峻的安全威胁。为了有效抵御各种网络攻击,增强网络 安全性,无线网络系统在制定标准时提供了多种基于密钥管理和安全认证的安全措施。例 如,IEEE802. 11系列标准制定了包括服务集标示符(SSID)访问控制、MAC地址过滤、无线局 域网加密和认证技术等一系列安全机制。但是,这类安全措施并不能起到有效的安全屏障 作用,其主要原因在于当前抵御网络攻击的主要手段是基于密钥对网络接入设备进行安 全认证,一旦发生密钥泄漏,将会形成极大的安全隐患;同时,绝大多数安全认证体系的研 究局限在链路层及以上高层安全协议中,复杂的加密系统和脆弱的软件认证协议难以抵御 网络攻击带来的威胁。为了在无线通信网络中建立更为有效的安全认证机制、提升网络安全效能,可以 将安全认证措施引入到无线通信设备的物理层,应用现代通信信号处理方法建立基于硬件 设备特性的安全密钥,使得非法用户难以复制和伪造,从而显著提升网络的安全保障性能。建立反映通信设备硬件属性的信号特征,首先可以利用通信发射机在开关机或者 进行通信切换的瞬间所发射暂态信号中隐含的各元器件产生的冲激响应作为通信发射机 的个体特征。但是,暂态通信特征的实际应用存在较大困难,其主要原因有三个一是暂态 信号持续时间比较短(若干ms),在非协作通信中信号定位捕捉困难;二是暂态信号与噪声 的相似性使得在干扰或畸变较强的场合进行特征提取十分困难;三是暂态信号的短持续性 要求通信信号监测接收机必须以极高的采样率工作(GHz以上),这将给硬件监测设备的设 计带来极大的困难。为了克服暂态特征分析的局限性,还可以将发射信号的频谱特征或通 信信号载频偏差等定义通信设备的个体特性以进行安全认证。但是,当前在直接数字频率 合成器(DDS)大量用于通信设备的制造,使得同型号无线设备载频稳度越来越高的情况下, 上述特性很难以标识多个相同型号的通信设备进行安全认证。因此,应用现有的暂态信号特征或频谱特征建立硬件层面的网络安全认证体系并 不适用,需要可以应用通信设备在正常工作期间所发射的稳态通信信号,采用现代通信信 号特征分析方法建立一套能够反映通信发射机硬件属性、具有更广泛实用价值的稳态信号 指纹提取方法,并以此建立基于稳态信号指纹密钥的无线网络安全认证体系。
发明内容
本发明的目的是针对WLAN等无线通信网络,提供一种无线网络安全认证方法及 其系统,具有隐蔽性高、稳定性好和管理安全的特点。为解决上述技术问题,本发明提供的一种无线通信网络安全认证方法,包括以下 步骤
步骤1、接入点对监测到的未知无线接入设备的通信信号提取蕴含无线接入设备硬件 属性的常规信号特征,常规信号特征包括载频、码速率;
步骤2、接入点的信号指纹处理设备进一步提取未知无线接入设备的稳态通信信号的 杂散信号特征,主要包括伪包络寄生调制特征、杂散频率分量和不规则信号成分,并对高维 杂散频率分量和不规则信号成分进行筛选优化;
步骤3、接入点对所述常规信号特征和优化后的杂散信号特征进行融合,并将得到的多 维信号特征定义为表征个体通信设备的稳态信号指纹;
步骤4、接入点依据已建立的稳态信号指纹数据库对步骤3所得到的未知无线接入设 备的稳态信号指纹进行匹配,并给出匹配识别结果;
步骤5、接入点利用网络认证协议,针对步骤4得到的匹配识别结果,对未知无线通信 设备进行安全认证。作为本发明的改进,其步骤1主要用于提取标识无线通信设备个体的常规信号特 征参数,包括步骤
步骤1.1、在接入点对截获无线通信信号个体提取蕴含了发射机晶体振荡器或频率合 成器硬件属性的载频参数。在稳态数据采集长度可以保证的前提下,本发明优选采用相 位拟合方法对稳态通信信号个体进行高精度测频,对于标识为i的设备,该载频参数记为
步骤1. 2、在接入点对稳态通信信号个体提取蕴含了通信发射机调制参数偏差特性的 码片速率。本发明优选采用适用于非协作通信条件的基于STFT时频能量分布和小波分析
联合法进行码片速率估计,对于标识为i的设备,将此参数标记为马(0。步骤2提取因通信发射机硬件结构各环节物理器件的非线性特性差异导致有用 通信信号个体中隐含的信号杂散特征。本发明采用的信号杂散特征提取步骤为
步骤2. 1、采用调制特征分析方法提取通信设备的寄生调制特征,并计算由寄生调制特 性引起的通信信号个体伪包络结构的盒维数和信息维数,对于标识为i的设备,这一类特
征标记为兵(O,坏⑴
步骤2. 2、采用HHT时频分析方法提取发射的稳态通信信号在频域产生的大量杂散频 率分量,对于标识为i的设备,这一类特征标记为(SU)Kj = I,…工);
步骤2. 3、采用高阶谱分析方法提取通信信号个体细微特征中不规则的非高斯性和非 平稳性成分,对于标识为i的设备,这一类特征标记为(Λ (J))C/ = l·· ·,ii)。步骤2中从原始信号特征中筛选优化稳态通信信号指纹的步骤为
步骤2. 4、对提取的时频杂散频率特征,采用核Fisher判决分析(K-FDA)抽取方法筛选 杂散分量中的实用频率参量;步骤2. 5、对非线性和高维的高阶谱特征,采用基于LLE (Local Linear Embedding)的 流形约简等算法从信号样本的高维双谱特征中恢复低维信号特征。步骤3对从不同角度提取的常规信号特征,包括载频和码速率,和优化的杂散信 号特征,包括分形维、杂散频率成分和双谱,进行融合,即将两类特征矢量拉直合并为单一 特征矢量,然后对其进行归一化处理,并定义为无线通信设备的稳态信号指纹,对于标识为
i的设备标记为m {J)KJ=\,--.,N)。 步骤4中对信号指纹的识别匹配步骤为
步骤4. 1对待匹配的每一类通信设备个体提取如上所述的稳态信号指纹,然后用来训 练一对一的支撑矢量机(OAO-SVM)识别器;
步骤4. 2对未知通信设备的信号样本,按照步骤1至步骤3的方法提取个体稳态信号 指纹,由步骤4. 1已完成训练的特征识别器对未知设备的个体信号指纹特征进行匹配,并 给出匹配识别结果。步骤5无线网络安全认证协议根据未知通信设备的个体信号指纹的匹配识别结 果,对相应的通信设备进行安全策略服务,即容许接入或拒绝服务。一种实现无线网络安全认证方法的系统,包括连接接入点的稳态信号检测系统, 其特征在于还包括用于稳态信号指纹特征提取的信号指纹处理系统和用于无线网络安全 增强的稳态信号指纹匹配及网络安全认证系统;
所述稳态信号检测系统包括无线信号下变频和数字采样模块,用于对未知无线接入设 备的稳态信号的检测采样,输出到所述接入点;
所述稳态信号指纹特征提取系统包括分别部署在接入点上的常规信号特征提取模 块、杂散信号特征提取模块、筛选优化模块,所述常规信号特征提取模块用于提取稳态信号 的常规信号特征;杂散信号特征提取模块用于提取稳态信号的杂散信号特征;筛选优化模 块用于对高维杂散特征进行优化约简;
所述稳态信号指纹匹配及网络安全认证系统包括分别部署在接入点上的信号特征匹 配模块、稳态信号指纹数据库、安全认证协议处理模块,所述信号特征匹配模块用于对所述 稳态信号指纹处理系统提供的常规信号特征和优化的杂散特征进行融合合并,然后结合所 述稳态信号指纹数据库对未知通信设备的稳态信号特征进行匹配识别,所述安全认证协议 处理模块依据信号指纹匹配模块的匹配识别结果提供安全策略服务。本发明打破常规无线网络安全措施中基于软件密钥在链路层及以上高层协议中 进行安全认证的思维定势,将通信网络安全措施深入到物理层,提出利用实用性更强的稳 态信号指纹作为密钥对无线通信设备进行鉴权,有效地对接入节点和服务器进行安全认 证,从而防止非法入侵对正常网络通信带来的安全危害。本发明与现有的无线网络安全认 证技术相比,主要有如下三个特点
1.隐蔽性高。传统的无线网络安全认证技术通常基于密码,通过数据分析可以轻易的 发现认证体系的存在。但稳态信号指纹技术主要取决于通信设备的物理层,非专用硬件不 可能发现存在信号指纹属性。即使采用特殊硬件对信号进行分析,如果不了解信号指纹的 构造方式,也不可能发现特定信号指纹的存在,更不可能对其进行伪造。2.稳定性好。传统的无线网络认证技术采用软件实现,通常存在各种各样的软件 协议漏洞,使得攻击者可以绕过密码体系对系统进行入侵。但是信号指纹技术主要提取设备的硬件属性,一般网络攻击者不可能达到这个层面,也不可能绕过认证机制直接接入网络。3.管理安全。基于稳态信号指纹的无线网络认证体系是一个基于硬件属性的安 全认证系统,每个无线通信设备和密钥是绑定的,即只有当攻击者获得设备的硬件属性才 能获得密钥。因而,只要加强对硬件的管理就可以保证密钥的安全。即使攻击者获得硬件 设备的特定属性,系统可以将其指纹特征从数据库中删除,而不影响到其它用户的正常网 络通信。本发明一方面可以用于增强和维护无线网络安全,防止不法人员利用窃取的密码 或系统漏洞非法入侵无线通信网络;另一方面也可以用于无线通信设备的个体标识,加强 对通信设备的监控与管理。
图1是本发明的流程示意图。图2为本发明系统的结构框图,图中标记为
稳态信号指纹提取系统02,无线信号下变频和数字采样模块04,常规信号特征提取模 块05,杂散信号特征提取模块06,杂散特征筛选优化模块07,稳态指纹匹配及安全认证系 统03,稳态信号指纹数据库09,安全认证协议处理模块10,信号特征匹配模块08。
具体实施例方式下面结合附图和实例对本发明作进一步详细的说明。如图1所示,本发明方法的处理步骤为
(1)网络接入点的信号指纹设备监测通信设备个体发射的稳态通信信号,并首先提取 其常规特征,包括载频、码速率等蕴含了无线设备属性的个体特征。常规信号特征是本发明的技术基础,即稳态信号指纹的一部分,后者是指在正常 通信过程中同一通信设备所发射信号中反复表现出来的一种有规律的变化趋势,这种重复 出现的变化规律信息具有反映通信信号个体特点的技术特征,可以用于标识发送该信号的 通信设备个体,具有如下几个特征
①稳态信号指纹能够从截获信号中通过有限次观测检测出来;
②稳态信号指纹不因时间推移或环境变化而发生显著变化;
③稳态信号指纹能够充分体现通信设备的个体特征,而且具有唯一性,即使两部通信 设备同型号,且以同样模式发射同样的信息。从广义上说,满足以上条件的特定通信信号特征可以称为稳态信号指纹。因此,稳 态信号指纹可以有多种不同的生成方式,对本步骤提取的常规信号特征可以列举如下
1)从通信发射机的结构来看,无论通信信号本身是否抑制载频,产生该信号的无 线通信设备中总是有载频存在的。受晶体振荡器、频率合成器等不稳定性影响,任何 通信发射机的载频都不是绝对稳定的,实际载频不会完全精确地等于其标称频率值,总 是存在或大或小的偏差。以802. Ilb无线网卡为例,假定工作频率在2. 4GHz左右,用
同一个晶体振荡器通过频率合成技术产生所需载频,载频的相对稳定度一般在4f// =
10^-10^。若电台在/ = 2.4Gife的标称频率上工作,那么,可能的最大频率偏差为Δ/= 2.4χ109Χ(10^ ~ !Cl’ = (2.4 ~ 24)抢。如果高精度载频估计算法对其进行精确测量,根 据参数测量理论,只要稳态信号监测时间足够长,就可以测出该载频的实际频率偏差。
2)当通信设备在不同工作频率上工作时,载频的相对频率偏差Δ///是不变的,而 绝对频率偏差随着工作频率而改变。对于不同的通信电台,即使是同型号同批次的个体,由 于采用的不是同一个晶体振荡器,其相对频率偏差和绝对频率偏差都是不同的。对于标识
为i的设备,该相对频率偏差标记为,这里的频点变化规律也蕴含了无线设备 的硬件属性。3)在无线网络接入点,信号指纹处理设备对下变频和数字采样后的通信信号进行 频率测定。由于稳态信号的数据采集长度可以保证,本发明采用相位拟合方法进行高精度
测频,并计算相对频率偏差,对于标识为i的设备,得到载频相关参数义(O。4)在接入点对监测的稳态通信信号进一步提取发射机个体的码速率。由于不同 通信发射机采用器件和电路参数的差异,发射信号的码元速率等调制参数随个体的不同而 存在偏差。以802. Ilb无线网卡为例,发射机输出的基带信号一般是由晶振输出信号经分 频和整形得到。假设晶振的相对频稳度为ΙΟ』,无线信号在传播时允许的最高传输速率为 IlxlO6 bps,则产生的最大比特误差为IlxlO6 XlO4 = 0.11 bit,这相当于在约1/0. 11=9秒 内产生一个比特的误差。因而,通过分析不同通信设备的码速率偏差,同样能够标识不同发 射机个体。本发明采用适用于非协作通信条件的STFT时频能量分布和小波分析联合法进
行码速率估计方法,将此参数标记为在⑴。(2)在网络接入点,信号指纹处理设备进一步提取稳态通信信号的杂散分量特征。 不同通信发射机,由于硬件结构各环节物理器件,如A/D,射频放大器等的差别,不同发射系 统的非线性特性不同,因此,对通信信号所产生的失真也因发射机的不同而不同。在发射的 有用信号中,会伴随着由于失真的不同而产生不需要的不同杂散成分,包括互调频率、谐波 频率及一些交叉调制、寄生调制,其提取步骤如下
1)发射通信信号中杂散成分以被动调制方式附加在有用的主动调制信号上,使得通信 信号的调制特征发生变化。对这类寄生调制特征的提取,本发明采用如下方法首先提取所 接收稳态通信信号个体的伪包络,然后应用分形维理论的盒维数和信息维数来计算伪包络 的结构自相似性特征,这一类特征标记为Db,Di ;
2)通信发射机的一部分非线性噪声使得发射信号在频域产生微小变化,产生大量的杂 散频率分量。本发明应用HHT (Hilbert Huang Transform)时频分析方法提取各种杂散频 率成分。步骤如下
a)根据经验模态分解(EMD)算法,将监测到的发射信号χ 表示为本征模态函数 和 余量函数r之和,即_ = Z^i ;
b)对每一个本征模态函数^进行Hilbert变换,通过构造解析信号,得到其瞬时频率
权利要求
一种无线网络安全认证方法,其特征在于,包括以下步骤步骤1、接入点对监测到的未知无线接入设备的通信信号提取蕴含无线接入设备硬件属性的常规信号特征,常规信号特征包括载频、码速率;步骤2、接入点的信号指纹处理设备进一步提取未知无线接入设备的稳态通信信号的杂散信号特征,主要包括伪包络寄生调制特征、杂散频率分量和不规则信号成分,并对高维杂散频率分量和不规则信号成分进行筛选优化;步骤3、接入点对所述常规信号特征和优化后的杂散信号特征进行融合,并将得到的多维信号特征定义为表征个体通信设备的稳态信号指纹;步骤4、接入点依据已建立的稳态信号指纹数据库对步骤3所得到的未知无线接入设备的稳态信号指纹进行匹配,并给出匹配识别结果;步骤5、接入点利用网络认证协议,针对步骤4得到的匹配识别结果,对未知无线通信设备进行安全认证。
2.根据权利要求1所述的无线网络安全认证方法,其特征在于所述步骤1提取信号常 规特征包括步骤1. 1、在无线网络接入点,首先对监测到的无线设备稳态通信信号进行下变频和数 字采样,然后采用相位拟合方法精确测定载频,并计算载频方差,对于标识为i的设备,得 到载频相关参数;步骤1. 2、对步骤1. 1预处理后的稳态通信信号,采用短时傅里叶变换(STFT)时频能量 分布和小波分析联合法测定码速率,并将其和步骤1. 1得到的载频特征合并,定义为稳态 通信信号的常规特征。
3.根据权利要求2所述的无线网络安全认证方法,其特征在于所述步骤2中在接入点 提取稳态通信信号杂散特征的步骤包括步骤2. 1、提取所接收通信信号个体的伪包络,然后应用分形维理论的盒维数和信息维 数来计算个体信号伪包络的结构自相似性特征;步骤2. 2、应用HHT (Hilbert Huang Transform)时频分析方法计算通信信号个体的时 频分布,得到可以表征杂散频率分量的Hilbert边缘谱;步骤2. 3、计算通信信号个体的双谱,然后进一步计算其矩形积分双谱特征,用来标识 通信信号个体中的非规则成分。
4.根据权利要求3所述的无线网络安全认证方法,其特征在于所述步骤2中对提取的 高维杂散特征进行筛选优化的步骤包括步骤2. 4、对提取的通信信号个体的Hilbert边缘谱,采用核Fisher判决分析(K-FDA) 方法筛选出实用杂散频率参量;步骤2. 5、对提取的通信信号个体矩形积分双谱特征,采用基本LLE (Local Linear Embedding)算法进行降维约简。
5.根据权利要求4所述的无线网络安全认证方法,其特征在于所述步骤3将步骤1和 步骤2提取的常规信号特征和筛选优化后的杂散信号特征进行融合,融合方法是将两类 特征矢量拉直合并为单一特征矢量,然后对其进行归一化处理,并将其定义为无线通信设 备的稳态信号指纹。
6.根据权利要求5所述的无线网络安全认证方法,其特征在于所述步骤4中,接入点的分类识别器依据已建立的稳态信号指纹合法数据库对未知通信设备的稳态信号指纹进行 匹配,并给出匹配结果。
7.根据权利要求6所述的无线网络安全认证方法,其特征在于所述步骤5中对未知无 线通信设备进行安全认证的安全策略为若为已在信号指纹数据库注册的合法无线通信设 备,则容许接入无线网络;否则拒绝提供无线网络接入服务。
8.一种实现无线网络安全认证方法的系统,包括连接接入点的稳态信号检测系统,其 特征在于还包括用于稳态信号指纹特征提取的信号指纹处理系统和用于无线网络安全增 强的稳态信号指纹匹配及网络安全认证系统;所述稳态信号检测系统包括无线信号下变频和数字采样模块,用于对未知无线接入设 备的稳态信号的检测采样,输出到所述接入点;所述稳态信号指纹特征提取系统包括分别部署在接入点上的常规信号特征提取模 块、杂散信号特征提取模块、筛选优化模块,所述常规信号特征提取模块用于提取稳态信号 的常规信号特征;杂散信号特征提取模块用于提取稳态信号的杂散信号特征;筛选优化模 块用于对高维杂散特征进行优化约简;所述稳态信号指纹匹配及网络安全认证系统包括分别部署在接入点上的信号特征匹 配模块、稳态信号指纹数据库、安全认证协议处理模块,所述信号特征匹配模块用于对所述 稳态信号指纹处理系统提供的常规信号特征和优化的杂散特征进行融合合并,然后结合所 述稳态信号指纹数据库对未知通信设备的稳态信号特征进行匹配识别,所述安全认证协议 处理模块依据信号指纹匹配模块的识别结果提供安全策略服务。
全文摘要
本发明公开了一种无线网络安全认证方法及其系统,该系统包括接入点的信号指纹监测处理模块和无线网络接入认证模块。在网络接入点,信号指纹监测处理模块对侦测到的稳态通信信号进行下变频、数字化采样,然后采用通信信号处理方法提取稳态信号的常规信号特征和杂散信号特征;在对高维杂散信号特征进行约简优化后,将常规信号特征和杂散特征融合为稳态信号指纹;接着,信号指纹匹配和安全认证模块对监测到的未知通信设备的稳态指纹进行匹配,并由网络认证协议根据识别结果提供相应的安全策略服务。本发明用于对无线通信设备进行安全认证,结合软件认证体制增强无线通信网络安全,具有隐蔽性高、稳定性好和管理安全的特点。
文档编号H04W12/06GK101959191SQ20101028980
公开日2011年1月26日 申请日期2010年9月25日 优先权日2010年9月25日
发明者徐书华, 徐争光, 莫益军, 邹宁, 黄本雄 申请人:华中科技大学