基于密码和频偏的双重认证方法与流程

1.本发明涉及安全技术领域，特别涉及一种基于密码和频偏的双重认证方法。


背景技术：

2.现在无线局域网无处不在，已经成为大家生活必须的一部分。通过无线网络大家可以进行网络交流、工作沟通等一系列重要活动。但是，无线局域网的普及也使得其安全问题成为了人们关注的焦点。无线网络的无边界化、信号开放在给用户带来极大便利的同时，也使无线局域网面临更多的安全威胁。因此对于无线局域网的安全接入和管理，需要有效的无线安全解决方案提供保障。无线局域网接入的身份认证机制主要有基于密钥身份认证，以及根据接入设备mac地址、ip地址等信息识别，但这些信息很容易被非法入侵者嗅探、伪装和篡改，从而对无线网络进行窃听。此外无线网络安全协议一般存在一些缺陷，非法入侵者可以通过一定的手段窃取到密钥，从而可以入侵无线网络进行信息劫持。2017年10月，mathyvanhoef公布了针对wap2协议的密钥重装攻击，攻击者可以读取目标无线网络连接上的所有流量。因此，开发一种能够防止网络攻击，增强无线网络安全的认证系统，是至关重要和迫切的。
3.由于电子元器件的制造容差，以及元器件的退化老化效应等，即使是同一型号同一批次的无线设备的实际硬件参数也存在差异，这种硬件上的差异会反映在通信信号上。在科学技术日益发展的今天，国内外越来越多的研究人员对无线通信设备的射频指纹提取和识别方法进行研究。正如每个人都有属于自己独一无二的指纹一样，每个无线设备也都有自己独一无二的指纹“射频指纹”。在物理层对无线智能设备的指纹特征提取和识别，然后利用硬件个体身份验证方式实现无线设备接入控制，可以辅助和增强传统的无线网络识别机制,从而为无线网络的安全提供了一个更大的保障。


技术实现要素：

4.本发明提供了一种基于密码和频偏的双重认证方法，其目的是为了解决接入设备的信息容易被非法入侵者嗅探、伪装和篡改，无线网络容易被窃听和被非法入侵者进行信息劫持的问题。
5.为了达到上述目的，本发明的实施例提供了一种基于密码和频偏的双重认证方法，包括：
6.步骤1，待认证设备将带特定ssid的probe request帧信号发送给通用软件无线电外设，通用软件无线电外设与主机相连；
7.步骤2，根据通用软件无线电外设接收到的信号运行gnu radio对接收到的信号进行信号处理，得到待认证设备的载波频偏特征；
8.步骤3，通过最近邻的模式匹配算法将待认证设备的载波频偏特征与已存储的所有授权用户的载波频偏特征进行相似度计算；
9.步骤4，根据计算出的待认证设备的载波频偏特征与已存储的所有授权用户的载
波频偏特征的相似度和待认证设备密码验证的正确性判断是否准许待认证设备接入无线网络。
10.其中，所述步骤2具体包括：
11.步骤21，对接收到的信号中的每一个probe request帧信号进行共轭相关，得到每一个probe request帧信号对应的自相关系数，判断每一个probe request帧信号对应的自相关系数是否高于第一设定阈值，当当前probe request帧信号对应的自相关系数高于第一设定阈值时，执行步骤22，当当前probe request帧信号对应的自相关系数低于第一设定阈值时，将当前probe request帧信号进行筛除。
12.其中，所述步骤21具体包括：
13.计算自相关系数，如下所示：
[0014][0015][0016][0017]
其中，a[n]表示自相关函数值，k表示在可调窗口的取值，s[n]表示帧信号序列，n表示帧序列符号的编号，表示s的复共轭，p[n]表示平均功率，n
win
表示可调窗口，c[n]表示自相关系数。
[0018]
其中，所述步骤2还包括：
[0019]
对步骤21筛选出的每个probe request帧信号执行以下步骤：
[0020]
步骤22，对probe request帧信号通过短训练序列的时域延时相关算法进行帧同步，并进行粗载波频偏估计，步骤如下：
[0021]
通过短训练序列的前5个符号段进行延时相关，进行粗载波频偏估计，如下所示：
[0022][0023]
其中，表示估计的粗载波频偏，sm表示短训练序列前5个符号段的符号，m表示短训练序列前5个符号段的符号的编号，m＝0,1,...,79；arg()表示取相位运算符，表示sm后第16个符号的共轭；
[0024]
通过估计的粗载波频偏补偿长训练序列符号，如下所示：
[0025][0026]
其中，sn表示长训练序列符号，n表示长训练序列符号的编号，n＝0,1,...,127，s'n表示经过估计的粗载波频偏补偿后的长训练序列符号。
[0027]
其中，所述步骤2还包括：
[0028]
步骤23，基于估计的粗载波频偏补偿后的长训练序列符号进行精载波频偏估计，如下所示：
[0029][0030]
其中，表示估计的精载波频偏，表示sn'后第64个符号的共轭。
[0031]
其中，所述步骤2还包括：
[0032]
步骤24，将估计的粗载波频偏和估计的精载波频偏相加，得到估计的总载波频偏的粗载波频偏和估计的精载波频偏相加，得到估计的总载波频偏
[0033]
步骤25，基于估计的总载波频偏得到载波频偏特征如下所示：
[0034][0035]
其中，bw为信道带宽。
[0036]
其中，所述步骤2还包括：
[0037]
步骤26，基于频域估计信道对信号做均衡，包括以下步骤；
[0038]
步骤261，将probe request帧信号根据对应的载波频偏特征进行补偿；
[0039]
步骤262，将频偏补偿后的probe request帧信号进行fft变换，将probe request帧信号从时域转换到频域；
[0040]
步骤263，将转换后的probe request帧信号通过wifi帧均衡器根据传输导频符号检查导频载波上的值，通过减去剩余频偏估计载波符号的星座图；
[0041]
步骤27，根据估计出的载波符号的星座图对probe request帧信号进行导频移除和循环前缀，对循环前缀后的probe request帧信号进行解交织、维特比译码和解扰，得到probe request帧信号的载荷信息，根据载荷信息提取出probe request帧信号的ssid标识符，以载波频偏作为probe request帧信号的指纹。
[0042]
其中，所述步骤3具体包括：
[0043]
将已授权设备样本集的密度表示为：
[0044][0045]
其中，d
k1
表示已授权设备样本集，k＝a,b,c,d,e,f，d
ij
表示样本i和样本j之间的距离，nk表示已授权设备样本集中的样本个数，k＝a,b,c,d,e,f。
[0046]
其中，所述步骤3还包括：
[0047]
将待认证设备样本集分别添加到各个已授权设备样本集中，多个新样本集的密度为：
[0048][0049]
其中，nh表示待认证设备样本集中的样本个数，nh 1表示待认证设备样本的索引，
当d
k1
＞＝d
k2
th，该样本集被认为是未经授权的，th表示第二设定阈值。
[0050]
其中，所述步骤4具体包括：
[0051]
步骤41，找出原样本集与新样本集密度差的最小值：
[0052]
chk＝d
k1-d
k2
，k＝a,b,c,d,e,f
ꢀꢀꢀ
(10)
[0053]
ch＝min(chk)
ꢀꢀꢀꢀ
(11)
[0054]
其中，ch表示载波频偏最高相似度；
[0055]
步骤42，判断待认证设备的载波频偏最高相似度ch是否高于第二设定阈值th；
[0056]
步骤43，当待认证设备的载波频偏最高相似度ch高于第二设定阈值th时，执行步骤43；当待认证设备的载波频偏最高相似度ch不高于阈值第二设定阈值th时，该待认证设备为非授权设备，不准许待认证设备接入无线网络，结束；
[0057]
步骤44，判断待认证设备的密码是否正确；
[0058]
步骤45，当待认证设备的密码正确时，执行步骤45；当待认证设备的密码不正确时，该待认证设备为非授权设备，不准许该设备接入无线网络，结束；
[0059]
步骤46，该待认证设备为授权设备，准许接入无线网络。
[0060]
本发明的上述方案有如下的有益效果：
[0061]
本发明的上述实施例所述的基于密码和频偏的双重认证方法，通过低成本定制的通用软件无线电外设，提取出无线智能设备的频偏指纹特征，并利用频偏对智能设备进行识别，在认证的时候只有同时通过密码认证和频偏认证这两个认证过程，认证才会判定为通过，通过这种双重认证模式，增强了无线网络识别机制，提高了网络的安全性。
附图说明
[0062]
图1为本发明的密码和频偏双重认证流程图；
[0063]
图2为本发明的待认证设备载波频偏特征提取流程图；
[0064]
图3为本发明的不同待认证设备频偏分布直方图；
[0065]
图4为本发明的各待认证设备的认证正确率。
具体实施方式
[0066]
为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。
[0067]
本发明针对现有的接入设备的信息容易被非法入侵者嗅探、伪装和篡改，无线网络容易被窃听和被非法入侵者进行信息劫持的问题，提供了一种基于密码和频偏的双重认证方法。
[0068]
如图1至图4所示，本发明的实施例提供了一种基于密码和频偏的双重认证方法，包括：步骤1，待认证设备将带特定ssid的probe request帧信号发送给通用软件无线电外设，通用软件无线电外设与主机相连；步骤2，根据通用软件无线电外设接收到的信号运行gnu radio对接收到的信号进行信号处理，得到待认证设备的载波频偏特征；步骤3，通过最近邻的模式匹配算法将待认证设备的载波频偏特征与已存储的所有授权用户的载波频偏特征进行相似度计算；步骤4，根据计算出的待认证设备的载波频偏特征与已存储的所有授权用户的载波频偏特征的相似度和待认证设备密码验证的正确性判断是否准许待认证设
备接入无线网络。
[0069]
本发明的上述实施例所述的基于密码和频偏的双重认证方法，包括密码认证和频偏认证，通过密码和频偏双重认证模式，能够避免非法设备的接入，提高无线网络安全性。具体为打开智能设备wifi开关，添加其他网络，分别在网络名称和密码处输入相应信息，使待认证设备发射带有特定ssid的probe request帧信号，以通用软件无线电外设b210作为信号接收设备与主机相连，运行gun radio对信号进行处理，然后提取特定ssid的probe request帧信号的载波频偏，判断待认证设备载波频偏与已储存的授权设备载波频偏的最高相似度是否高于第二设定阈值，若最高相似度高于第二设定阈值，判断密码是否正确，当密码判断正确时，待认证设备为授权设备，允许接入无线网络，否则为非授权设备，拒绝接入无线网络。若最高相似度低于第二设定阈值，则直接判定待认证设备为非授权设备，拒绝接入无线网络，在这双重验证模式上，可以进一步提高无线网络的安全性。
[0070]
本发明的上述实施例所述的基于密码和频偏的双重认证方法，充分利用普遍使用的智能手机，打开cots智能手机wifi开关并使其发射带特定ssid的probe request帧信号，经在空中传输，通用软件无线电外设接收到probe request帧信号，但通用软件无线电外设除了接收到实验的智能手机发出的probe request帧外，还会收到其他设备发出的其他信号。因此为了减少其他信号的影响，将实验平台中心频率设置为5.17ghz，采样率为20msa/s，信道带宽bw为20mhz，此信道存在较少其他设备的信号。
[0071]
其中，所述步骤2具体包括：步骤21，对接收到的信号中的每一个probe request帧信号进行共轭相关，得到每一个probe request帧信号对应的自相关系数，判断每一个probe request帧信号对应的自相关系数是否高于第一设定阈值，当当前probe request帧信号对应的自相关系数高于第一设定阈值时，执行步骤22，当当前probe request帧信号对应的自相关系数低于第一设定阈值时，将当前probe request帧信号进行筛除。
[0072]
其中，所述步骤21具体包括：计算自相关系数，如下所示：
[0073][0074][0075][0076]
其中，a[n]表示自相关函数值，k表示在可调窗口的取值，s[n]表示帧信号序列，n表示帧序列符号的编号，表示s的复共轭，p[n]表示平均功率，n
win
表示可调窗口，c[n]表示自相关系数。
[0077]
其中，所述步骤2还包括：对步骤21筛选出的每个probe request帧信号执行以下步骤：
[0078]
步骤22，对probe request帧信号通过短训练序列的时域延时相关算法进行帧同步，并进行粗载波频偏估计，步骤如下：
[0079]
通过短训练序列的前5个符号段进行延时相关，进行粗载波频偏估计，如下所示：
[0080][0081]
其中，表示估计的粗载波频偏，sm表示短训练序列前5个符号段的符号，m表示短训练序列前5个符号段的符号的编号，m＝0,1,...,79；arg()表示取相位运算符，表示sm后第16个符号的共轭；
[0082]
通过估计的粗载波频偏补偿长训练序列符号，如下所示：
[0083][0084]
其中，sn表示长训练序列符号，n表示长训练序列符号的编号，n＝0,1,...,127，s'n表示经过估计的粗载波频偏补偿后的长训练序列符号。
[0085]
其中，所述步骤2还包括：步骤23，基于估计的粗载波频偏补偿后的长训练序列符号进行精载波频偏估计，如下所示：
[0086][0087]
其中，表示估计的精载波频偏，表示sn'后第64个符号的共轭。
[0088]
其中，所述步骤2还包括：步骤24，将估计的粗载波频偏和估计的精载波频偏相加，得到估计的总载波频偏得到估计的总载波频偏
[0089]
步骤25，基于估计的总载波频偏得到载波频偏特征如下所示：
[0090][0091]
其中，bw为信道带宽。
[0092]
本发明的上述实施例所述的基于密码和频偏的双重认证方法，待认证设备载波频偏特征提取步骤如下：1.对接收信号共轭相关，得到相关峰时，认为接收到了智能设备发射的ieee802.11a/g信号，进行后续处理；2.利用短训练序列的时域延时相关算法使帧同步，同时粗估计载波频偏3.利用长训练序列与接收信号进行互相关使符号同步，同时精估计载波频偏通过第二步和第三步获得最终的载波频偏估计进而得到载波频偏4.在频域估计信道并做均衡；5.移除导频和循环前缀，解交织，维特比译码，解扰，获取该帧信号载荷信息，由载荷信息提取出probe request帧信号的ssid标识符，以载波频偏作为probe request帧信号的指纹。
[0093]
本发明的上述实施例所述的基于密码和频偏的双重认证方法，当c[n]高于第一设定阈值时，表示接收到了ieee 802.11a/g信号，进行后续处理；ieee802.11a/g是典型的突发分组式的无线局域网，根据其前导训练序列时域相关的特点，利用数据辅助型频偏估计算法，接收信号的同步和频偏估计可以在单个训练符号内完成，然后再对有效信息进行补
偿。为了使得到的频偏估计更加精确，正常先将载波频率偏差估计到一个较小的范围，然后再对剩余频偏进一步估计。即利用短训练序列进行粗频偏估计和补偿，再利用长训练序列进行精频偏估计，总的频偏估计等于粗频偏估计加上精频偏估计，根据公式(7)最终可获得接收信号的频偏。
[0094]
其中，所述步骤2还包括：步骤26，基于频域估计信道对信号做均衡，包括以下步骤；步骤261，将probe request帧信号根据对应的载波频偏特征进行补偿；步骤262，将频偏补偿后的probe request帧信号进行fft变换，将probe request帧信号从时域转换到频域；步骤263，将转换后的probe request帧信号通过wifi帧均衡器根据传输导频符号检查导频载波上的值，通过减去剩余频偏估计载波符号的星座图；步骤27，根据估计出的载波符号的星座图对probe request帧信号进行导频移除和循环前缀，对循环前缀后的probe request帧信号进行解交织、维特比译码和解扰，得到probe request帧信号的载荷信息，根据载荷信息提取出probe request帧信号的ssid标识符，以载波频偏作为probe request帧信号的指纹。
[0095]
本发明的上述实施例所述的基于密码和频偏的双重认证方法，移除4个导频和循环前缀，剩下48个携带实际信息的数据载波，并对48个载波符号进行解交织，维特比译码，解扰，最终获取该帧信号载荷信息，由载荷信息提取出该帧信号的ssid标识符，以载波频偏作为该帧信号的指纹，使用频偏指纹特征对每个智能设备进行分类。
[0096]
其中，所述步骤3具体包括：将已授权设备样本集的密度表示为：
[0097][0098]
其中，d
k1
表示已授权设备样本集，k＝a,b,c,d,e,f，d
ij
表示样本i和样本j之间的距离，nk表示已授权设备样本集中的样本个数，k＝a,b,c,d,e,f。
[0099]
其中，所述步骤3还包括：将待认证设备样本集分别添加到各个已授权设备样本集中，多个新样本集的密度为：
[0100][0101]
其中，nh表示待认证设备样本集中的样本个数，nh 1表示待认证设备样本的索引，当d
k1
＞＝d
k2
th，该样本集被认为是未经授权的，th表示第二设定阈值。
[0102]
本发明的上述实施例所述的基于密码和频偏的双重认证方法，预设储存的授权设备有6台，它们的载波频偏指纹特征集分别为a，b，c，d，e，f。它们的载波频偏指纹特征集的密度分别为d
a1
，d
b1
，d
c1
，d
d1
，d
e1
，d
f1
。将待认证设备的载波频偏指纹特征样本分别加入到已有的6台授权设备的载波频偏指纹特征集，新样本集的密度分别为d
a2
，d
b2
，d
c2
，d
d2
，d
e2
，d
f2
。
[0103]
其中，所述步骤4具体包括：步骤41，找出原样本集与新样本集密度差的最小值：
[0104]
chk＝d
k1-d
k2
，k＝a,b,c,d,e,f
ꢀꢀꢀꢀ
(10)
[0105]
ch＝min(chk)
ꢀꢀꢀꢀꢀ
(11)
[0106]
其中，ch表示载波频偏最高相似度；
[0107]
步骤42，判断待认证设备的载波频偏最高相似度ch是否高于第二设定阈值th；
[0108]
步骤43，当待认证设备的载波频偏最高相似度ch高于第二设定阈值th时，执行步
骤43；当待认证设备的载波频偏最高相似度ch不高于阈值第二设定阈值th时，该待认证设备为非授权设备，不准许待认证设备接入无线网络，结束；
[0109]
步骤44，判断待认证设备的密码是否正确；
[0110]
步骤45，当待认证设备的密码正确时，执行步骤45；当待认证设备的密码不正确时，该待认证设备为非授权设备，不准许该设备接入无线网络，结束；
[0111]
步骤46，该待认证设备为授权设备，准许接入无线网络。
[0112]
本发明的上述实施例所述的基于密码和频偏的双重认证方法，将待认证设备的载波频偏特征与所有已存储的授权设备的载波频偏特征进行相似度计算，若得到的最高相似度大于第二设定阈值，则判定该最高相似度对应的待认证设备为录入载波频偏特征的认证者；否则判定失败；判定出认证者后，判断密码是否是正确的密码，密码正确则认证成功，否则判定失败。
[0113]
本发明的上述实施例所述的基于密码和频偏的双重认证方法，利用普通商用智能手机验证所述基于密码和频偏的双重认证方法的可行性和稳定性，智能手机发射probe request帧信号，通用软件无线电外设b210作为信号接收设备，通用软件无线电外设通过usb 3.0与主机连接，主机运行gnu radio进行信号处理，将实验平台中心频率设置为5.17ghz，采样率为20msa/s，信道带宽bw为20mhz，此信道存在较少干扰信号，首先采集6台不同型号或者不同厂商的智能手机在不同场景环境下的载波频偏指纹特征，在系统中存储设置为授权设备，然后分别用这6台设备来认证接入无线网络，多次进行输入正确密码和错误密码两种情况，记录实验准确率，用另外2台未登记储存载波频偏指纹特征的智能手机设备，多次输入正确密码尝试接入无线网络，记录此实验情况。
[0114]
验证结果：如图3展示了6台不同设备载波频偏的分布直方图，从不同设备的载波频偏直方图可以看出，大多数不同品牌设备的载波频偏的范围不一样，并且都固定在该范围内，对于同一品牌智能设备的载波频偏的范围为是一样的，但6台不同设备的载波频偏分布直方图是不一样的，因此可以使用载波频偏对智能设备进行识别进而判断是否准许其接入无线网络。如图4展示了所述基于密码和频偏的双重认证方法的验证结果，可以看出，对于每一个设备，所述基于密码和频偏的双重认证方法都能达到91％以上的正确率，对于合法设备能够百分百允许其接入，对于非法设备，能够智能检测出来并拒绝它的接入。
[0115]
本发明的上述实施例所述的基于密码和频偏的双重认证方法，通过低成本定制的通用软件无线电外设，提取出无线智能设备的频偏指纹特征，并利用频偏对智能设备进行识别，在认证的时候只有同时通过密码认证和频偏认证这两个认证过程，认证才会判定为通过，通过这种双重认证模式，增强了无线网络识别机制，提高了网络的安全性，使接入设备的信息不容易被非法入侵者嗅探、伪装和篡改。
[0116]
以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。