[0053] 下面结合附图对本发明作进一步说明,但本发明的保护范围不局限于以下所述。
[0054] 如图1所示,本发明适用于所有无线网络通信环境,终端之间通过无线信道进行通信。在本发明中,终端A、终端B和终端E可以是任意无线终端设备、无线访问点AP或基站。终端A和终端B是要进行安全通信的合法终端,可以是静止终端也可以是移动终端。终端E为非法终端,试图假冒合法终端A或终端B。为了避免非法终端E假冒合法终端A与终端B进行通信,终端B可以基于本发明所述的一种适用于移动无线网络环境的物理层认证方法对终端A进行身份认证。同理,为了避免非法终端E假冒合法终端B与终端A进行通信,终端A可以基于本发明所述的一种适用于移动无线网络环境的物理层认证方法对终端B进行身份认证。
[0055] 图2为本发明的一个具体实施例,显然,所述实施例只是本申请的一部分实施例,而不是全部实施例,基于本发明的实施例,本领域技术人员所获得的所有其他实施例都属于本申请的保护范围。
[0056] 如图2所示,移动通信系统中包括合法移动终端A和终端B(图2中为基站)以及一个非法终端E。终端A为被认证端,终端B为认证端,非法终端E试图假冒终端A,并发送伪造的数据包给终端B。因此,为避免非法终端E假冒合法终端A(伪用户攻击),终端B要对终端A发送的数据包进行逐包认证。终端B采用本发明提出的适用于移动无线网络环境的物理层认证方法及系统对发送者发送的数据包进行逐包认证,从而实现对发送者身份的认证。
[0057] 假设终端B已经验证了来自合法终端A的第k个数据包DATAk,并记录了它的信道特征HAB(k)={HAB,1(k),HAB,2(k),...,HAB,n(k)},终端A也已收到了来自合法终端B的对第k个数据包的确认包ACKk,并记录了它的信道特征HBA(k)={HBA,1(k),HBA,2(k),...,HBA,n(k)}。
[0058] 如图3所示,终端B认证终端A的具体过程包括以下步骤:
[0059] 步骤(1.1).终端A随机选择参数ρA(k)∈(0,1)和一个随机序列HBA(k)',并根据记录的HBA(k),计算一个新序列作为认证响应序列YBA(k),HBA(k)'是一个与HBA(k)不相关的随机序列,cov(HBA(k),HBA(k)′)=0;序列HBA(k)和序列HBA(k)'的相关系数为ρA(k)′,即
[0060] 步骤(1.2).终端A向终端B发送第k+1个数据包DATAk+1、认证响应序列YBA(k)和参数ρA(k)′,即DATAk+1||YBA(k)||ρA(k)′;
[0061] 步骤(1.3).终端B根据接收到数据包DATAk+1,提取并记录信道特征序列HAB(k+1)={HAB,1(k+1),HAB,2(k+1),...,HAB,n(k+1)};n表示序列里面的数值个数;
[0062] 步骤(1.4).终端B计算序列HAB(k)和YBA(k)的相关系数为ρA(k)″:
[0063] ρHABYBA=ρ(HAB(k),YBA(k))=ρA(k)″;根据信道相关理论,ρA(k)和ρA(k)'应高度相似性;
[0064] 步骤(1.5).终端B根据ρA(k)′和ρA(k)″的相似度对终端A进行合法性认证,方法如下:
[0065] a.若所述相似度大于或等于设定的阈值ε,则认证成功,认为发送者为合法终端A,并发送对第k+1个数据包DATAk+1的确认数据包ACKk+1给终端A;
[0066] b.若所述相似度小于设定的阈值ε,则认证失败,认为发送者为非法终端,终端B丢弃该数据包,并要求终端A重新发送第k+1个数据包DATAk+1;
[0067] 步骤(1.6).终端A根据接收到的确认数据包ACKk+1,提取并记录信道特征序列HBA(k+1)={HBA,1(k+1),HBA,2(k+1),...,HBA,n(k+1)};
[0068] 步骤(1.7).重复步骤(1.1)至(1.6),进行下一个数据包的认证。
[0069] 非法终端E也会试图假冒终端B与终端A进行通信(伪基站攻击),因此,为避免非法终端E假冒合法终端B,终端A也要对终端B的身份进行认证。终端A采用本发明提出的适用于移动无线网络环境的物理层认证方法及系统对发送者的身份进行认证。
[0070] 如图4所示,终端A认证终端B的具体过程包括以下步骤:
[0071] 假设终端A也已验证了来自合法终端B的对第k个数据包的确认包ACKk,并记录了它的信道特征HBA(k)={HBA,1(k),HBA,2(k),...,HBA,n(k)}。终端B已经按照上述步骤验证了来自合法终端A的第k+1个数据包DATAk+1,记录了它的信道特征:
[0072] HAB(k+1)={HAB,1(k+1),HAB,2(k+1),...,HAB,n(k+1)},并要给终端A发送对第(k+1)个数据包DATAk+1的确认数据包ACKk+1。
[0073] 步骤(2.1).终端B随机选择参数ρB(k+1)∈(0,1)和一个随机序列HAB(k+1)',并根据记录的HAB(k+1) ,计算一个新序列作为认证响应序列YBA(k+1) ,HAB(k+1)'是一个与HAB(k+1)不相关的随机
序列,cov(HAB(k+1),HAB(k+1)′)=0;序列HBA(k+1)和序列HBA(k+1)'的相关系数为ρB(k+1)′,即ρHABYAB=ρ(HAB(k+1),YAB(k+1))=ρB(k+1)′;
[0074] 步骤(2.2).终端B向终端A发送第k+1个数据包DATAk+1的确认包ACKk+1、认证响应序列YAB(k+1)和参数ρB(k+1)′,即ACKk+1||YAB(k+1)||ρB(k+1)′;
[0075] 步骤(2.3).终端A根据接收到确认包ACKk+1,提取并记录信道特征序列HBA(k+1)={HBA,1(k+1),HBA,2(k+1),...,HBA,n(k+1)};
[0076] 步骤(2.4).通信终端A计算序列HBA(k+1)和YAB(k+1)的相关系数为ρB(k+1)″:
[0077] ρHBAYAB=ρ(HBA(k+1),YAB(k+1))=ρB(k+1)″;根据信道相关理论,ρB(k+1)′和ρB(k+1)″应高度相似性;
[0078] 步骤(2.5).终端A根据ρB(k+1)′和ρB(k+1)″的相似度对终端B进行合法性认证,如下:
[0079] a.若所述相似度大于或等于设定的阈值ε,则认证成功,认为发送者为合法终端B,并跳转到步骤(1.1)开始下一个数据包DATAk+2的认证过程;;
[0080] b.若所述相似度小于设定的阈值ε,则认证失败,认为发送者为非法终端,终端A丢弃该确认包,并向终端B重新发送第k+1个数据包DATAk+1;
[0081] 步骤(2.6).对数据包DATAk+2进行认证后,重复步骤(2.1)至(2.6),进行数据包DATAk+2的确认包ACKk+2的认证。
[0082] 终端A和终端B进行双向认证时的数据包传递过程示意图如图5所示。认证过程并没有增加通信双方的通信次数。
[0083] 图6为本发明所提供一种适用于移动无线网络环境的物理层认证系统结构示意图,具体包括信道特征提取模块,数据处理模块和判定模块。
[0084] 信道特征提取模块:用于控制接收端根据发送端发送的数据包获得信道特征序列;
[0085] 数据处理模块:用于完成终端设备对用于进行认证的数据的处理,包括生成认证响应序列以及计算序列相关系数;例如,在本实例中,终端B认证终端A的过程中,在被认证终端A,数据处理模块对数据的处理功能包括:随机选择参数ρA(k)∈(0,1)和一个随机序列HBA(k) ',并根据记录的HBA(k),计算一个新序列作为认证响应序列YBA(k),序列HBA(k)和序列HBA(k) '的相关系数为
在认证终端B,数据处理模块对数据的处理功能为:计算序列
HAB(k)和序列YBA(k)的相关系数
[0086] 判定模块:用于认证终端将计算得到的相关系数和从被认证终端收到的相关系数进行比较,如果相似度大于或等于设定的阈值ε,则认证成功,认为发送者为合法终端;如果相似度小于设定的阈值ε,则认证失败,认为发送者为非法终端。
[0087] 本发明的重点是解决了现有物理层认证方案不适用于高速移动无线网络环境的缺陷,能够实现在移动无线网络环境和静止无线网络环境中的单向认证和双向认证。