基于边缘计算和比例因子的数据传输安全认证方法及系统与流程

本发明涉及数据传输的安全认证保护，特别是涉及基于边缘计算和比例因子的数据传输安全认证方法及系统。

背景技术：

随着物联网技术的快速发展，广泛应用的各种终端设备将产生海量的数据。传统的云计算系统在匹配海量的边缘数据、实时控制、网络流量负荷、云端数据隐私安全等方面已经不能满足实用需求，而在网络边缘侧执行计算的新兴边缘计算技术刚好能为物联网设备提供边缘智能服务。边缘计算服务器靠近终端节点，接入节点众多，容易遭受各种攻击。通信终端节点与边缘计算服务器之间传输数据的安全与隐私保护是应用的关键，如果数据的安全得不到保障，系统将无实用意义，因此，有必要设计一个适用于边缘计算场景的数据传输安全保护认证方案。

传统的基于密码学的数据安全与隐私保护其高强度就面临大的计算复杂度，这使得能量和计算能力有限的终端节点难于采用，而边缘计算服务器其计算资源等也远不如云计算系统，面对众多节点和海量的数据，传统的基于密码学的数据安全与隐私保护已经不能满足实用需求。物理层信道特征认证是利用信道信息的空时唯一性，从接收的数据包中直接提取信道特征信息，通过比较信道特征的相似性来实现认证；无需复杂的上层加解密运算，具有快速、高效的优势，非常适合边缘计算系统下的轻量级数据包的合法性认证。与云计算系统相比较，边缘计算服务器靠近终端节点，终端节点以短距离向边缘计算服务器传送数据包，这使得数据包所携带的信道信息在数据包到达边缘服务器时畸变小、易于提取。信道特征包含幅度特征和相位特征两个主要参数，目前关于物理层信道特征认证的方法中主要采用门限值法进行判别认证，然而检测门限值在实际应用中难以确定。因此自适应法比人工设置的门限值法更有实用意义。

技术实现要素：

本发明的目的在于克服现有技术的不足，提供一种基于边缘计算和比例因子的数据传输安全认证方法及系统，具有适用场景广，计算复杂度低，数据认证准确率高的优势。

本发明的目的是通过以下技术方案来实现的：基于边缘计算和比例因子的数据传输安全认证方法，包括以下步骤：

s1.物理层信道建模：终端节点与边缘计算服务器进行数据传输时，边缘计算服务器对初始数据包进行上层认证，并提取相应的信道信息作为数据包认证的物理层建模参考信道信息，同时确定物理层认证模型的门限阈值；

s2.计算信道信息的相位差异：边缘计算服务器收到新的连续数据帧时，提取当前数据帧的信道信息并计算与前一帧合法数据包对应信道信息的相位差异；

s3.判断连续数据帧的合法性：通过二元假设检验连续数据帧的合法性：

若当前数据帧对应的信道相位差异小于门限阈值，当前数据帧合法，边缘计算服务器接收该数据帧，然后用当前数据帧的信道信息替换旧的参考信道信息，再返回步骤s2对下一帧数据包进行信道相位差异计算；

若当前数据帧对应的信道相位差异大于门限阈值，当前数据帧不合法，边缘计算服务器丢弃该数据帧，然后返回步骤s1，重新进行初始认证物理层信道建模。

其中，所述步骤s1包括以下子步骤：

s101.终端节点与边缘计算服务器进行数据传输时，边缘计算服务器首先逐帧对数据包进行上层认证：

如果认证失败，直接丢弃数据包，接着认证下一帧数据包；如果认证成功，则服务器接收数据包并由计数器进行合法数据帧计数，直到j帧数据包上层认证成功，其中j>2；

对于上层认证成功的每帧数据，边缘计算服务器则根据接收到的信号波形提取相应的信道信息然后提取信道信息的实部并令向量k＝1,2,…,j，其中，表示终端节点到边缘计算服务器的信道信息，是一个m行1列的复数矩阵，real表示取实部，k表示合法数据帧标号；

s102.计算信道信息的相位差异：边缘计算服务器根据收到的j帧数据包，提取相应的信道信息以及信道信息的实部向量然后与第一帧数据包对应的向量计算相位差异其中，表示两个向量的数量积，和表示取向量的模，arccos()表示反三角余弦函数，θk表示两个向量之间的相位差异也代表信道信息的相位差异，k表示合法数据帧标号，此处k＝1,2,…,j；

s103.确定物理层认证模型的门限阈值：首先根据步骤s102得到的相位差异θk计算相位差异的比例因子然后将相位差异θk按从小到大进行排序得到θq，q＝1,2,…,j，将比例因子αk按从大到小进行排序得到αq，q＝1,2,…,j，最后计算数据帧物理层认证模型的门限判决阈值

优选地，所述上层认证采用的方法包括但不限于对称密码算法和非对称密码算法，信道信息提取采用的方法包括但不限于最小二乘信道估计算法和最小均方误差信道估计算法。

其中，所述步骤s2包括以下子步骤：

s201.边缘计算服务器收到第k+1帧数据时，k为不小于j的整数，提取相应的信道信息和信道信息向量

s202.计算与的相位差异其中，表示从第k帧合法数据包提取的信道信息向量，表示两个向量的数量积，和表示取向量的模，arccos()表示反三角余弦函数，θ表示两个向量之间的相位差异也代表信道信息的相位差异。

其中，所述步骤s3包括：

边缘计算服务器通过二元假设检验连续数据帧的合法性，其中，η代表步骤s1中物理层认证建模得到的门限判决阈值：

零假设当θ＜η时，表示两个数据帧对应的相位差小于门限阈值，数据帧合法，边缘计算服务器接收该数据帧，然后用新的信道信息向量替换旧的信道信息向量再返回步骤s2进行下一帧数据包的合法性验证；

备择假设当θ＞η时，表示两个数据帧对应的相位差大于门限值阈值，数据帧不合法，边缘计算服务器丢弃该数据帧，然后返回步骤s1，重新进行初始认证物理层信道建模。

基于边缘计算和比例因子的数据传输安全认证系统，包括边缘计算服务器和通过网络与边缘计算服务器连接的终端设备；

所述终端设备，用于与边缘计算服务器交互，实现向边缘计算服务器的数据传输；

边缘计算服务器，用于与终端设备交互，基于上层认证与终端设备完成初始数据包认证，确定物理层认证的门限判决阈值，并实现基于比例因子的物理层信道认证来验证连续数据包的合法性。

其中，所述边缘计算服务器包括：物理层认证建模模块，用于在接收到来自终端设备的数据时，对初始j帧数据包进行上层认证，并提取相应的信道信息作为数据包认证的物理层建模参考信道信息，同时确定物理层认证模型的门限阈值；信道相位差计算模块，用于在收到新的连续数据帧时，提取当前数据帧的信道信息并计算与前一帧合法数据包对应信道信息的信道相位差；数据帧合法性判断模块，用于通过二元假设检验连续数据帧的合法性：当前数据帧的信道相位差小于物理层认证模型的门限判决阈值时，判断当前数据帧合法，接收该数据帧，然后用当前数据帧的信道信息替换旧的参考信道信息，继续进行下一帧数据的认证；当前数据帧的信道相位差大于物理层认证模型的门限判决阈值时，判断数据帧不合法，丢弃该数据帧，并重新进行初始认证和物理层信道建模。

本发明的有益效果是：本发明解决了检测门限值在实际应用中难以确定的问题，边缘计算服务器在接收信号时提取信道信息，基于信道信息的相位差异来验证数据帧的合法性，具有适用场景广，计算复杂度低，数据认证准确率高的优势，提高了系统认证数据的安全性；在接入节点众多、计算资源不丰富的边缘计算系统中，实现边缘计算服务器与终端节点之间传输的数据包进行快速准确的认证，非常适合大规模终端海量数据在边缘计算场景下的实时应用。

附图说明

图1为本发明的方法流程图；

图2为本发明的信道信息相位差异原理图；

图3为本发明的物理层认证建模流程图；

图4为实施例中基于比例因子的数据认证成功率示意图；

图5为本发明的系统原理框图。

具体实施方式

下面结合附图进一步详细描述本发明的技术方案，但本发明的保护范围不局限于以下所述。

如图1～3所示，基于边缘计算和比例因子的数据传输安全认证方法，包括以下步骤：

s1.物理层信道建模：终端节点与边缘计算服务器进行数据传输时，边缘计算服务器对初始数据包进行上层认证，并提取相应的信道信息作为数据包认证的物理层建模参考信道信息，同时确定物理层认证模型的门限阈值：

其中，所述步骤s1包括以下子步骤：

s101.终端节点与边缘计算服务器进行数据传输时，边缘计算服务器首先逐帧对数据包进行上层认证：

如果认证失败，直接丢弃数据包，接着认证下一帧数据包；如果认证成功，则服务器接收数据包并由计数器进行合法数据帧计数，直到j(j>2)帧数据包上层认证成功；

对于上层认证成功的每帧数据，边缘计算服务器则根据接收到的信号波形提取相应的信道信息然后提取信道信息的实部并令向量(k＝1,2,…,j)，其中，表示终端节点到边缘计算服务器的信道信息，是一个m行1列的复数矩阵，real表示取实部，k表示合法数据帧标号；

s102.计算信道信息的相位差异：边缘计算服务器根据收到的j帧数据包，提取相应的信道信息以及信道信息的实部向量然后根据步骤s1得到的向量计算相位差异其中，表示两个向量的数量积，和表示取向量的模，arccos()表示反三角余弦函数，θk表示两个向量之间的相位差异也代表信道信息的相位差异，k表示合法数据帧标号，此处k＝1,2,…,j；

s103.确定物理层认证模型的门限阈值：首先根据步骤s102得到的相位差异θk计算相位差异的比例因子然后将相位差异θk按从小到大进行排序得到θq(q＝1,2,…,j)，将比例因子αk按从大到小进行排序得到αq(q＝1,2,…,j)，最后计算数据帧物理层认证模型的门限判决阈值

在本申请的实施例中，上层认证可以是采用密码的认证算法，包括但不限于对称密码算法和非对称密码算法：rc4，aes，ecc，等等；信道信息提取方法包括但不限于最小二乘信道估计算法和最小均方误差信道估计算法及其改进优化的算法等。

s2.计算信道信息的相位差异：边缘计算服务器收到新的连续数据帧时，提取当前数据帧的信道信息并计算与前一帧合法数据包对应信道信息的相位差异；

其中，所述步骤s2包括以下子步骤：

s201.边缘计算服务器收到第k+1帧数据时，k为不小于j的整数，提取相应的信道信息和信道信息向量

s202.计算与的相位差异其中，表示从第k帧合法数据包提取的信道信息向量，表示两个向量的数量积，和表示取向量的模，arccos()表示反三角余弦函数，θ表示两个向量之间的相位差异也代表信道信息的相位差异；

s3.判断连续数据帧的合法性：通过二元假设检验连续数据帧的合法性：

若当前数据帧对应的信道相位差异小于门限阈值，当前数据帧合法，边缘计算服务器接收该数据帧，然后用当前数据帧的信道信息替换旧的参考信道信息，再返回步骤s2对下一帧数据包进行信道相位差异计算；

若当前数据帧对应的信道相位差异大于门限阈值，当前数据帧不合法，边缘计算服务器丢弃该数据帧，然后返回步骤s1，重新进行初始认证物理层信道建模。

所述步骤s3包括以下子步骤：

边缘计算服务器通过二元假设检验连续数据帧的合法性，其中，η代表步骤s1中物理层认证建模得到的门限判决阈值，零假设当θ＜η时，表示两个数据帧对应的相位差小于门限阈值，数据帧合法，边缘计算服务器接收该数据帧，然后用新的信道信息向量替换旧的信道信息向量再返回步骤s2进行下一帧数据包的合法性验证；备择假设当θ＞η时，表示两个数据帧对应的相位差大于门限值阈值，数据帧不合法，边缘计算服务器丢弃该数据帧，然后返回步骤s1，重新进行初始认证物理层信道建模。

如图4所示，在不同工业场景下，本发明的基于边缘计算和比例因子的数据传输安全认证方法中，随着物理层建模数据帧数量的增加，数据认证成功率逐渐稳定，而且具有较高的物理层信道数据认证成功率。终端设备发送数据具有间歇性、短时间内连续性等特点；在相干时间内，数据帧携带的信道信息近似相同；当终端设备移动更换位置后，信道信息也随着变化；不同设备即使在相同位置，信道信息也不一样。基于信道信息的相位比例因子来验证数据帧的合法性，不仅解决了检测门限值在实际应用中难以确定的问题，还具有计算复杂度低，数据认证准确率高的优势，适合于大规模终端海量数据的实时边缘计算应用场景，不仅可以快速验证数据包的合法性，又可提高系统认证数据的安全性。

如图5所示，基于边缘计算和比例因子的数据传输安全认证系统，包括边缘计算服务器和通过网络与边缘计算服务器连接的终端设备；

所述终端设备，用于与边缘计算服务器交互，实现向边缘计算服务器的数据传输；

边缘计算服务器，用于与终端设备交互，基于上层认证与终端设备完成初始数据包认证，确定物理层认证的门限判决阈值，并实现基于比例因子的物理层信道认证来验证连续数据包的合法性。

其中，所述边缘计算服务器包括：

物理层认证建模模块，用于在接收到来自终端设备的数据时，对初始j帧数据包进行上层认证，并提取相应的信道信息作为数据包认证的物理层建模参考信道信息，同时确定物理层认证模型的门限阈值；

信道相位差计算模块，用于在收到新的连续数据帧时，提取当前数据帧的信道信息并计算与前一帧合法数据包对应信道信息的信道相位差；

数据帧合法性判断模块，用于通过二元假设检验连续数据帧的合法性：当前数据帧的信道相位差小于物理层认证模型的门限判决阈值时，判断当前数据帧合法，接收该数据帧，然后用当前数据帧的信道信息替换旧的参考信道信息，继续进行下一帧数据的认证；当前数据帧的信道相位差大于物理层认证模型的门限判决阈值时，判断数据帧不合法，丢弃该数据帧，并重新进行初始认证和物理层信道建模。

综上，本发明能够在物理层信道建模过程中，根据上层认证得到的合法数据帧进行自适应的计算得到检测门限值，解决了检测门限值在实际应用中难以确定的问题，边缘计算服务器在接收信号时提取信道信息，基于信道信息的相位比例因子来验证数据帧的合法性，具有适用场景广，计算复杂度低，数据认证准确率高的优势，提高了系统认证数据的安全性；同时解决了大规模终端海量数据的边缘计算场景下的实时应用问题。

最后需要说明的是，以上所述是本发明的优选实施方式，应当理解本发明并非局限于本文所披露的形式，不应该看作是对其他实施例的排除，而可用于其他组合、修改和环境，并能够在本文所述构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。