一种基于RFID信号的IoT设备安全接入方法及系统与流程

一种基于rfid信号的iot设备安全接入方法及系统
技术领域
1.本发明涉及物联网技术领域，更具体地，涉及一种基于rfid信号的iot设备安全接入方法及系统。


背景技术：

2.随着物联网（iot）技术的不断发展，越来越多的iot设备出现在人们的生活中。这些设备大多数位于用户的家庭，比如智能空调、智能门锁、智能音箱等等。这些物联网设备共同组成了用户的智能家居环境，为用户的家庭生活提供了前所未有的体验。但这些iot设备运行的过程中产生的大量敏感数据，会使用户隐私更加容易泄露。因此，确保这些iot设备的安全运行是每个设备所必须被部署的重要能力。其中最重要的一点在于，新部署的iot设备必须能够通过安全的加密手段与现有的iot设备建立连接，通过局域网共同组成安全域，以便在保证可操作性的同时防止恶意攻击。
3.现有的接入方案大多需要用户参与协议（如输入密码），这些方案在现有的智能环境下大规模使用，但在很多情况下是不可行的。原因在于，在未来几年内，家庭内的iot设备的规模将从几个增长为成百上千个，单独为所有的iot设备输入密码将为房主带来巨大的负担。同时，大多数新型iot设备没有用户界面，这使得房主输入密码变得十分困难。人们需要一种不需要用户直接参与的iot设备接入解决方案。
4.现有的解决方案可大致分为两类：预分配配对方法和基于上下文的配对方法。
5.预分配配对方法即在出厂时提前为待接入iot设备预分配一个初始密钥，并在待接入iot设备需要接入时进行验证。然而，在iot场景中，由于部署的iot设备数量巨大，并且存在成百上千个不同的设备供应商，这些供应商之间难以共享这些密钥信息，导致难以通过一个安全中心为所有iot设备建立统一的安全关联，因此这种预分配的接入方案依然是临时性的方案，难以应对未来的挑战。
6.另一方面，基于上下文的配对方法使用已有的安全设备来识别待接入的设备。这些方案利用了一个基本事实，即处于相同安全域的iot设备将通过其传感器感知大致相同的环境，因此每个iot设备可以利用不同的传感器对环境进行感知，并使用生成的“环境指纹”来验证密钥一致性，从而保证处于安全域内的iot设备可以安全接入。但这些方法要求待接入iot设备与已有iot设备具有相同的传感器，包括类型、芯片组和校准方法都要相同，才能有效提取出对称密钥。而现有设备的传感器具备强大的异构性，因此这种接入方法不具备普适性。
7.利用电磁波信号来感知环境是一种新的趋势，目前有研究人员将wi-fi信号用于iot设备的安全接入。具体来说，现有方法将房间内部认为是安全域，安全域内的动作事件将给wi-fi信号造成随机干扰，这为对称密钥的生成提供熵。通过检测待接入iot设备和安全设备产生的wi-fi信号信息波动的特征，在一定时间后生成足够长度的对称密钥并完成设备的安全接入。该方法认为房间内部为安全域，而wi-fi信号难以穿透墙壁，房间外的恶意人员难以捕获到完整的wi-fi信号波动，由此波动生成的特征是不完整的，所以难以得到
完整密钥，以此构成方法的安全性。但该方法实际使用存在三个问题。第一个问题在于，基于wi-fi信号的方法存在大量难以消除的噪声，现有技术采集到的wi-fi信号的原始csi信息将存在大量噪声，如循环移位分集、采样时间偏移、采样频率偏移和波束成形等引起的噪声，这些噪声难以去除，会使得难以提取出置信度足够大的信号波动特征。第二个问题在于，wi-fi本身容易被攻击，接入wi-fi保持长连接违背了安全域的安全原则，现有方法需要待接入iot设备先接入安全域内的wi-fi局域网，建立wi-fi连接才能获取wi-fi信号波动，这使未验证设备能够随意接入安全域的局域网，并与安全域进行信息交换，严重违背了安全域的安全原则。第三个问题在于，现有的基于提取特征串的方法花费的接入时间很长，且不可控，现有方法持续检测房间内运动导致的射频信号变化，提取信号特征来生成足够长度的对称密钥。但由于多径效应，处于不同位置的iot设备发射的射频信号经过的多径相差很大；尽管位于同一房间内，采用提取特征串的方式来生成对称密钥十分困难。若要求特征串完全相同才能生成对称密钥，只有碰巧经过类似多径的射频信号被某一特定位置的动作影响产生的波动才能达到对称密钥的生成要求，这将花费很长的时间，且花费的时间长度不可控。


技术实现要素：

8.本发明的第一发明目的在于提供一种基于rfid信号的iot设备安全接入方法，该方法利用rfid信号的定向性和稳定性，能得到更加纯净的原始信号信息，更容易提取出信号波动的特征，数据处理上实现轻量化；并且，本发明提供的方法利用rfid信号有限的信息传递能力，仅允许待接入iot设备与rfid阅读器建立rfid连接来完成接入过程，防止恶意设备随意接入安全域，保护了iot系统的安全性；另外，本发明提供的方法通过记录用户日常的行为习惯，训练机器学习模型来预测动作类别，允许检测到动作类别与发生时间都符合用户行为模式的待接入iot设备接入，将大大缩小设备安全接入的时间，且可以通过自定义接入动作实现可控的设备接入。
9.本发明的第二发明目的在于提供一种应用上述基于rfid信号的iot设备安全接入方法的系统。
10.为实现第一发明目的，采用的技术方案是：一种基于rfid信号的iot设备安全接入方法，包括：记录用户做出的动作及做出该动作对应的时间段，将做出的动作与做出该动作对应的时间段关联后存储在行为模式数据库中；采集用户在做出所述模式数据库中的动作后引起的rfid信号的变化；提取相应的rfid特征构建动作识别训练集；构建cnn-lightgbm模型，应用所述动作识别训练集训练cnn-lightgbm模型；接收到待接入iot设备发送的rfid信号后，提取相应的rfid特征；将所述提取的rfid特征输入至cnn-lightgbm模型中；cnn-lightgbm模型输出动作类别及预测概率；判断所述输出的动作类别及接收待接入iot设备发送rfid信号的时间是否与行为模式数据库中的动作及对应时间段匹配，若是则同意待接入iot设备的接入请求；否则拒绝待接入iot设备的接入请求。
11.优选地，当所述cnn-lightgbm模型输出的预测概率大于或等于设定的第一阈值时，判断所述输出的动作类别及接收待接入iot设备发送rfid信号的时间是否与行为模式数据库中的动作及对应时间段匹配。
12.优选地，所述采集在做出所述模式数据库中的动作后引起的rfid信号的变化后，采用降噪滤波的方法对采集的数据进行处理，再提取相应的rfid特征；所述接收到所述待接入iot设备发送的rfid信号后，采用降噪滤波的方法对接收的rfid信号进行处理，再提取相应的rfid特征。
13.优选地，所述采用到的降噪滤波方法为快速傅里叶变换、短时傅里叶变换或卡尔曼滤波器中任一种。
14.优选地，所述提取的rfid特征为信号强度特征和到达角特征。
15.优选地，还包括：定义接入动作；采集用户在做出所述接入动作后引起的rfid信号的变化；提取相应的rfid特征训练所述cnn-lightgbm模型；接收到所述待接入iot设备发送的rfid信号后，提取相应的rfid特征；将所述提取的rfid特征输入至cnn-lightgbm模型中；若cnn-lightgbm模型输出的动作类别为接入动作，则同意待接入iot设备的接入请求。
16.为实现第二发明目的，采用的技术方案是：一种基于rfid信号的iot设备安全接入系统，包括待接入iot设备、安全设备组、rfid阅读器和安全终端；待接入iot设备用于向rfid阅读器发送rfid信号；安全设备组用于向rfid阅读器发送rfid信号，供rfid阅读器采集用户在做出模式数据库中的动作后引起的rfid信号的变化；rfid阅读器用于接收待接入iot设备发送的rfid信号、安全设备组发送的rfid信号后，将待接入iot设备发送的rfid信号、安全设备组发送的rfid信号进行处理后传输至安全终端；安全终端用于记录用户做出的动作及做出该动作对应的时间段，将做出的动作与做出该动作对应的时间段关联后存储在行为模式数据库中；以及用于提取安全设备组发送的rfid信号中相应的rfid特征构建动作识别训练集；构建cnn-lightgbm模型，应用所述动作识别训练集训练cnn-lightgbm模型；以及用于提取待接入iot设备发送的rfid信号中相应的rfid特征输入至cnn-lightgbm模型中；cnn-lightgbm模型输出动作类别及预测概率；判断所述输出的动作类别及接收待接入iot设备发送rfid信号的时间是否与行为模式数据库中的动作及对应时间段匹配，若是则同意待接入iot设备的接入请求；否则拒绝待接入iot设备的接入请求。
17.优选地，所述待接入iot设备包括rfid标签和wi-fi模块；其中rfid标签用于向所述rfid阅读器发送rfid信号；所述wi-fi模块用于在所述cnn-lightgbm模型输出的动作类别及接收待接入iot设备发送rfid信号的时间与行为模式数据库中的动作及对应时间段匹配时，与安全终端保持长连接。
18.优选地，所述安全设备组包括安全设备、rfid标签组及wi-fi模块；其中rfid标签
组用于在安全设备的指令下向rfid阅读器发送rfid信号，供rfid阅读器采集用户在做出所述模式数据库中的动作后引起的rfid信号的变化；wi-fi模块用于与安全终端的wi-fi模块保持长连接。
19.优选地，所述安全终端包括信号解析模块、降噪模块、行为记录模块、模型训练模块、模型预测模块、行为匹配模块和wi-fi模块；其中信号解析模块用于对待接入iot设备发送的rfid信号、安全设备组发送的rfid信号进行解析，获得rfid信道信息；降噪模块用于对获得的rfid信道信息进行降噪滤波处理；行为记录模块用于记录用户做出的动作及做出该动作对应的时间段，将做出的动作与做出该动作对应的时间段关联后存储在行为模式数据库中；模型训练模块用于提取安全设备组发送的rfid信号中相应的rfid特征构建动作识别训练集，构建cnn-lightgbm模型，应用所述动作识别训练集训练cnn-lightgbm模型；模型预测模块用于提取待接入iot设备发送的rfid信号中相应的rfid特征输入至cnn-lightgbm模型中；cnn-lightgbm模型输出动作类别及预测概率；行为匹配模块用于判断所述输出的动作类别及接收待接入iot设备发送rfid信号的时间是否与行为模式数据库中的动作及对应时间段匹配，若是则同意待接入iot设备的接入请求；否则拒绝待接入iot设备的接入请求；wi-fi模块用于与安全设备组保持长连接，以及用于在同意待接入iot设备的接入请求时，验证待接入iot设备的身份标识，并与待接入iot设备保持长连接。
20.与现有技术相比，本发明的有益效果是：1）本发明利用rfid信号的定向性和稳定性，能得到更加纯净的信号信息，仅需使用简单的降噪算法即可完成信号噪声的去除，使数据处理更加轻量化。
21.2）本发明利用rfid信号有限的信息传递能力，仅允许待接入iot设备与rfid阅读器建立rfid连接来完成接入过程，防止恶意设备随意接入安全域，保护了iot系统的安全性。
22.3）本发明通过记录用户日常的行为习惯和用户自定义的接入动作，训练机器学习模型来预测动作类别，允许检测到动作类别与发生时间都符合用户行为模式的待接入iot设备接入，在保证接入安全性的同时大大缩小设备安全接入的时间。用户自定义的接入动作使用户可以随时通过做出接入动作完成新设备的接入，使接入过程更加可控。
附图说明
23.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。
24.图1为本发明提供的基于rfid信号的iot设备安全接入方法的应用架构示意图。
25.图2为本发明提供的基于rfid信号的iot设备安全接入方法的流程示意图。
26.图3为本发明提供的基于rfid信号的iot设备安全接入方法的应用实例示意图。
具体实施方式
27.为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。实施例1图1为本发明提供的基于rfid信号的iot设备安全接入方法的应用架构示意图。如图1所示，本发明提供的iot设备安全接入方法主要涉及到安全设备组、待接入设备、安全终端和rfid阅读器。
28.本发明提供的基于rfid信号的iot设备安全接入方法的基本思想为，通过记录用户的活动习惯和用户自定义的接入动作，训练能通过射频信号变化识别动作的cnn-lightgbm模型。当待接入设备的rfid信号在正确的时间产生了足够高预测概率的相应动作的信号波动时，认为待接入设备在房间内，允许待接入设备接入。由于rfid信号穿透房间外墙时会有巨大衰减，所以rfid信号的变化主要由房间内的运动引起，且房间外的设备难以得到完整的rfid信号变化，因此可以做到iot设备的安全配对。各部分具体说明如下：1）待接入设备1.1）rfid标签：负责带有待接入设备身份信息的rfid信号的发射。该标签包括但不限于有源、无源、定向、非定向等一切形式的rfid标签；1.2）wi-fi模块：负责未接入时向安全终端的wi-fi模块发送接入请求和身份标识，以及在同意接入后与安全终端的wi-fi模块保持长连接；1.3）操作系统：负责管理待接入设备的功能实现；2）安全设备组2.1）安全设备：已通过接入认证的设备，具有rfid标签和wi-fi模块。当房间内产生运动时，安全设备向rfid阅读器发射rfid信号，由安全终端捕捉到相应信号波动后作为相应运动的训练数据，用于训练cnn-lightgbm模型；2.2）rfid标签组：负责带有安全设备身份信息的rfid信号的发射。该标签包括但不限于有源、无源、定向、非定向等一切形式的rfid标签；2.3）wi-fi模块：负责与安全终端的wi-fi模块保持长连接；2.4）操作系统：负责管理安全设备的功能实现；3）rfid阅读器3.1）阅读器：负责接收来自多个rfid标签的rfid信号，并进行初步解析后，将其信息封装为数据包，转发给安全终端的信号解析模块。
29.4）安全终端4.1）终端定义：安全终端即房间内已被认为是安全可信的，同时拥有足够计算能力的设备，最常见的安全终端即为控制所有iot设备的网关。与rfid阅读器通过有线或无线方式进行连接；4.2）信号解析模块：负责将rfid阅读器转发的规定格式的数据包解析成身份标识和rfid信道信息。其中，待接入设备的身份标识被转发给安全终端的wi-fi模块用于待接入
设备的身份验证，rfid信道信息被转发给降噪模块用于信号处理；4.3）降噪模块：负责将rfid信道信息中的基本噪声消除，此处根据特征值提取要求的不同，可使用多种降噪方法和滤波方法，如快速傅里叶变换（fft）、短时傅里叶变换（stft）、卡尔曼滤波器等，并将降噪后的结果转发给行为记录模块和模型训练模块。本实施例仅使用卡尔曼滤波对信号进行降噪，即可满足模型训练要求；4.4）行为记录模块：负责记录用户正常活动导致的射频信号波动以及相应的活动时间，维护行为模式数据库。例如，安全设备组每天晚上19:00到19:10都会采集到一段频率为1次/s，rss和aoa都由小变大再变小的射频信号（代表用户下班回家走过走廊），则每当安全设备组在这一时段检测到运动，开始采集持续时间固定的射频信号信息，该信息经过降噪后以二维矩阵[采样点
×
特征]存储在安全终端的行为记录模块。例如，设置持续采样时间为60s，采样点数量为600个，特征为rfid信号的rss和aoa变化，则安全终端可以得到一个[600
×
2]的二维矩阵，将矩阵存储在行为记录模块中，并标注标签为[001,19:00-19:10]，其中001代表动作标签，19:00-19:10代表发生时段。
[0030]
4.5）模型训练模块：负责cnn-lightgbm模型的训练。根据行为记录模块记录的用户运动习惯，使用安全终端和安全设备组捕获相应的运动信息，得到一系列二维矩阵及动作标签，组成训练集。使用cnn-lightgbm模型训练出一个可根据以上信息预测出动作分类概率p的预测模型。
[0031]
例如，经过长时间的数据收集，已得到一系列形式为[600
×
2]的二维rfid信息矩阵以及对应的运动标签。将二维信息矩阵[600
×
2]输入cnn。在本发明中，所使用的cnn网络结构为输入层 2*卷积层 2*激活函数为elu的采样层 1*平均池化层 2*全连接层 输出层，其中卷积核可根据学习效果自由选择，全连接层激活函数为softmax，loss为binary cross entropy，使用梯度反向传播算法更新cnn网络每层的参数。训练后得到的特征矩阵输入lightgbm算法，输出该动作属于动作a的预测概率p，组成cnn-lightgbm模型。该模型的输入为二维信息矩阵[600
×
2]，可以输出该动作属于动作a的预测概率p。
[0032]
4.6）模型预测模块：负责使用上述cnn-lightgbm模型预测待接入设备发送的rfid信号中的动作类型以及其分类概率p。当分类概率p大于设置的阈值，比如0.95时，将动作类型与动作发生的时间发送给行为匹配模块；4.7）行为匹配模块：负责认证待接入设备检测到的动作与行为模式数据库中的用户行为模式是否匹配，并得到最终的认证结果。若匹配则认证成果，若不匹配则认证失败；4.8）wi-fi模块：具备发射和接收wi-fi信号能力的模块，负责与安全设备组建立wi-fi长连接。当接收到的认证结果为成功时，验证待接入设备的身份标识，并同意待接入设备的接入请求；4.9）主动接入模式：需要用户在有主动接入需求时开启，平时不开启。只检查待接入设备的rfid信号中是否存在用户预设的接入动作。若存在，且待接入设备身份验证通过，则允许待接入设备接入。
[0033]
本发明提供的一种基于rfid信号的iot设备安全接入方法的流程如图2所示，具体步骤如下：s201：安全设备组和安全终端长时间记录用户正常活动和用户自定义的接入动作导致的射频信号波动以及相应的活动时间，降噪后生成动作识别训练集；
s202：模型训练模块使用动作识别训练集训练cnn-lightgbm模型；s203：待接入设备上的rfid标签向rfid阅读器持续发送信号，并向安全终端的wi-fi模块持续进行请求，出示自己的身份标识并请求接入；s204：rfid阅读器接收到待接入设备的信号，将信号中的待接入设备标签信息和待接入设备信号信息打包成数据包，发送给安全终端的信号解析模块。此处发送可以为无线发送或有线发送；s205：安全终端的信号解析模块解析来自rfid阅读器的数据包，并提取出待接入设备的身份标识和信道信息。其中，身份标识被转发给安全终端的wi-fi模块用于待接入设备的身份验证，信道信息被转发给降噪模块用于信号处理；s206：降噪模块对信道信息进行降噪和预处理后，将处理后的信息送到模型预测模块进行动作分类预测；s207：模型预测模块使用训练好的cnn-lightgbm模型预测待接入设备检测到的动作类别以及预测概率，预测概率大于等于设定的阈值时，将预测结果传递给行为匹配模块；s208：行为匹配模块检查运动类别与发生时间是否与行为模式数据库中记录的用户行为模式匹配，若匹配则认证成功；s209：将判断结果转发给安全终端的wi-fi模块和安全设备组。若成功则wi-fi模块根据身份标识接受待接入设备的接入请求，并将待接入设备纳入信任链；若不安全则拒绝待接入设备接入。
[0034]
实施例2图3为本发明提供的基于rfid信号的iot设备安全接入方法的应用实例示意图。本实施例中，安全终端为一台控制房间全部iot设备的智能网关，安全设备包括房间内的智能电视、智能音箱和智能台灯，普通设备包括打印机，待接入设备为一台智能扫地机器人，rfid阅读器为普通rfid阅读器。其中智能网关提供wi-fi热点作为ap端，房间内原有的智能电视、智能音箱和智能台灯与智能网关通过wi-fi相连接，同时智能扫地机器人作为待接入设备，被用户带入房间。智能电视、智能音箱、智能台灯和智能扫地机器人均包括有rfid标签。用户的行为模式数据库已建立。可识别动作的cnn-lightgbm模型已被预先训练好。用户自定义的动作为上下摆手三次。应用的具体流程如下：1）智能扫地机器人电源开启，向rfid阅读器发射rfid信号，并向智能网关持续发出接入请求；2）rfid阅读器接收到rfid信号后，将其封装成数据包，转发给智能网关；3）智能网关对信号进行解析、降噪后，使用cnn-lightgbm模型预测出该动作为动作003（实际为走过走廊），概率为97%，将此预测结果转发给行为匹配模块；4）行为匹配模块检索行为模式数据库，发现用户在18:00-18:30会做出动作003，认为该设备确实在房间内，认证成功，同意智能扫地机器人的wi-fi接入请求；5）智能扫地机器人的请求通过身份认证，成功接入wi-fi。智能网关通过wi-fi模块将此信息传递给房间内的所有安全设备以及待接入的智能扫地机器人，智能扫地机器人即被加入安全设备组，同时接入成功；6）若结果不匹配且请求接入的持续时间超过系统阈值，则拒绝智能扫地机器人的接入，同时向用户发出恶意接入告警；
7）若长时间接入不成功，用户可以设置安全终端为主动接入模式，在待接入设备前做出预设的接入动作，上下摆手三次。此时安全终端检测到待接入设备传递的rfid信号波动，95%的概率为上下摆手三次，认为用户正在进行主动接入，则在验证待接入设备身份后允许接入。
[0035]
8）此时房间外的窃听者正在用智能设备尝试接入，但因rfid信号穿透墙壁后的大幅衰减，持续不匹配，触发了恶意接入告警而被用户发现。
[0036]
在本技术所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0037]
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0038]
另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
[0039]
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器（rom，read-onlymemory）、随机存取存储器（ram，randomaccessmemory）、磁碟或者光盘等各种可以存储程序代码的介质。
[0040]
以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。