一种基于态势感知的智能跨层认证系统及方法

1.本技术涉及网络安全领域，具体的涉及一种超高密度网络中基于态势感知的智能跨层认证系统及方法。


背景技术：

2.本部分的描述仅提供与本技术公开相关的背景信息，而不构成现有技术。
3.超高密度网络已成为满足后5g时代满足超高容量密度要求通信的重要解决方案。它的无线资源密度比当前网络高得多的网络，为无论是在基站的相对密度还是绝对密度方面都要密集得多的网络。由于无线电信号传播的开放广播性质和所使用的标准化传输方案，无线通信极易受到拦截和假冒攻击。超高密度网络中所使用的大量用户设备(ue)和基站(bs)也给攻击者留下了大量的漏洞。更具体地说，攻击者可以通过伪造基站广播具有更强信号强度的不同跟踪区码，以引诱用户设备离开其合法的蜂窝网络，然后注册到伪造的基站。伪造的用户设备可以欺骗基站并接入网络，以获取进一步的非法利益，导致隐私泄露、数据注入，甚至整个系统失败。因此，相互认证在超高密度网络中是强制性的，以验证用于安全通信的所有ue和bs的身份。
4.认证和密钥协商(aka)方法涉及ue和网络之间的相互认证以保护数据和系统，这在蜂窝网络中已经得到了广泛的研究。aka方法基于ue和网络之间共享的密钥来设计挑战-响应认证协议，以确保接入安全。然而，aka复杂的挑战和响应认证过程导致了ue接入的长时间延迟，其在包含大量设备的超高密度网络中的应用受到了极大的限制。此外，现有的使用长期密钥的aka方案面临着许多安全威胁，特别是在量子计算快速发展的时代。
5.物理层认证是通过利用与信道和设备相关的特征(如信道脉冲响应、接收信号强度、载频偏移、同相-正交-相位不平衡等)来实现设备的身份认证，具备轻量级的特点。现有的物理层认证方案的性能仍然受到动态复杂的无线通信环境的影响。此外，使用更多的物理层特征会增加超高密度网络中认证模型的复杂性。
6.上面对技术背景的介绍只是为了方便对本技术的技术方案进行清楚、完整的说明，并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本技术的背景技术部分进行了阐述而认为上述技术方案为本领域技术人员所公知。


技术实现要素：

7.为克服上述缺点，本技术公开一种针对超高密度网络的基于态势感知的智能跨层认证系统及方法。在对不同认证方法进行性能评价的基础上，基于智能切换模块实时地在5g-aka和物理层认证方法中选择最优认证方法。该系统考虑到安全服务质量的要求，选择一种能够获得最佳通信性能的认证方式。
8.为实现上述目的，本技术采用如下的技术方案：
9.一种基于态势感知的智能跨层认证系统，其包括：
10.智能切换模块、物理层认证模块及5g-aka模块，
11.所述物理层认证模块用于获得与其连接的用户设备及接入点的物理层特征，并反馈所述智能切换模块，
12.所述智能切换模块基于反馈的物理层特征进行评估，并判断运行于第一模式或第二模式，
13.其中，第一模式时基于物理层认证模块进行认证，第二模式时基于5g-aka模块进行认证。
14.在一实施方式中，该物理层特征包括：信道冲激响应(cir)、接收信号强度指示(rssi)、载波频偏(cfo)和同相-正交-相位不平衡(iqi)中的至少一种。
15.在一实施方式中，该选择采集的物理层特征包括：
16.宏基站基于态势感知进行物理层特征选择，所述宏基站在线下定期地采集多个设备的不同物理层特征，包括n个设备的信道冲激响应(cir)、接收信号强度指示(rssi)、载波频偏(cfo)和同相-正交-相位不平衡(iqi)。
17.本技术实施例提出一种利用上述系统的认证方法，包括如下步骤：
18.基于智能切换模块采集所选择的物理层特征，
19.智能切换模块对选择的物理层特征进行性能评估，
20.若评估结果满足预设的要求，则采用物理层认证模块进行认证；
21.若评估结果不满足预设的要求，则采用5g-aka模块进行认证。
22.在一实施方式中，该宏基站基于在线下定期地采集多个用户设备的不同物理层特征，并评估基于不同特征的物理层方法的性能，选择最优的物理层特征发送给所有的ap和ue，用于它们之间的双向认证。
23.在一实施方式中，该宏基站通过
[0024][0025]
和
[0026][0027]
分别计算物理层方法使用特征时的漏检率和误警率，
[0028]
其中，和分别是认证设备的特征估计和合法设备的特征估计，ε是物理层身份验证的阈值，φ1和φ0分别表示攻击者和合法设备。
[0029]
在一实施方式中，该宏基站通过使用不同特征值时的漏检率和误警率的组合来选择使得安全服务质量(sos)最高的物理层特征，择使得安全服务质量(sos)最高的物理层特征，其中，a1和a2分别为漏检率和误警率的sos组合参数。
[0030]
在一实施方式中，该物理层认证模块认证包括：
[0031]
一对接入点和用户设备对彼此的物理层特征进行测量、估计和验证，
[0032]
若正在认证设备的物理层特征测量值与合法设备的物理层特征测量值之差小于一个阈值，
[0033]
记为则验证为合法设备，否则验证为攻击者。
[0034]
在一实施方式中，该5g-aka模块进行认证时包括：认证向量生成阶段和双向认证阶段，
[0035]
所述认证向量生成阶段包括:
[0036]
基于给定的哈希函数来生成认证向量，
[0037]
生成的认证向量使用预设的密钥派生函数来导出密钥。
[0038]
在一实施方式中，该双向认证阶段包括:
[0039]
接入点向用户设备发送带有来自认证向量中的rand和autn的nas鉴权请求，用户设备使用milenage函数来导出xmac、res、ck、ik；
[0040]
用户设备对autn中收到的mac进行验证，对接入点进行鉴权，并检查autn的新鲜度，如果比较失败，则将发送身份验证失败；
[0041]
如果比较成功，用户设备使用预设的密钥派生函数来导出参数res*，然后向接入点发送该res*；
[0042]
接入点将res*与存储的xres*进行比较，如果值相同，则ap认为该用户设备的身份验证成功,否则认为身份验证失败。
[0043]
有益效果
[0044]
与现有技术相比，本技术实施方式的用于超高密度网络(udn)中结合物理层认证方法和认证与密钥协商(aka)方法的智能跨层认证方案综合了物理层方法和5g-aka方法的优点，可以实现更高效和安全的通信。
附图说明
[0045]
图1为本技术实施例的结合物理层认证方法和5g-aka方法的智能跨层认证方案的流程图；
[0046]
图2为本技术实施例的基于最优特征的phy层方法与基于特定特征即csi或rssi的phy层方法的sos值；
[0047]
图3为本技术实施例在sos要求为0.989的情况下，不同方法之间的计算代价比较结果。
[0048]
图4为本技术实施例在不同sos要求下，智能选择phy方法和5g-aka方法，从而在保证安全性能的前提下实现更高效的通信。
具体实施方式
[0049]
以下结合具体实施例对上述方案做进一步说明。应理解，这些实施例是用于说明本技术而不限于限制本技术的范围。实施例中采用的实施条件可以如具体厂家的条件做进一步调整，未注明的实施条件通常为常规实验中的条件。
[0050]
本技术公开一种基于态势感知的智能跨层认证系统，该系统通过智能切换模块对物理层方法的性能评估进行实时评估，在物理层方法可以保证给定安全服务要求(sos)时，采用物理层认证，以提高认证效率并降低时延(在物理层方法中，认证不需要密钥)，实现超高密度网络中保证安全服务质量的高效通信；在物理层方法无法保证给定安全服务质量要求时，采用5g-aka方法，从而保证通信的安全性能。该智能跨层认证系统将5g-aka协议和物理层认证技术的结合，通过有效地利用它们的优势实现安全和高效的通信，可以广泛应用于超高密度网络中。
[0051]
本技术公开一种智能跨层认证系统包括：用户设备(ue)、接入点(ap)和宏基站
(mbs)，一对用户设备和接入点之间的相互认证。智能切换模块、物理层认证模块及5g-aka模块配置于接入点侧。
[0052]
接下来结合附图来描述本技术提出的智能跨层认证方法。
[0053]
如图1所示为跨层认证方法的流程示意，认证方法包括如下步骤：
[0054]
1)初始化：无线通信系统的初始化并生成系统参数，包括：
[0055]
1-1进行接入点/用户设备登记、公钥和私钥配置，
[0056]
1-2基于宏基站对每对用户设备和接入点测量彼此的物理层特征。物理层特征包括信道冲激响应(cir)、接收信号强度指示(rssi)、载波频偏(cfo)和同相-正交-相位不平衡(iqi)中的至少一种。
[0057]
2)5g-aka方法：5g-aka方法包括：认证向量生成阶段和双向认证阶段。
[0058]
认证向量生成阶段包括:
[0059]
2-1基于给定的哈希函数来生成认证向量，
[0060]
如：给定哈希函数f1、f2、f3、f4和f5，
[0061]
生成认证向量为：av＝rand‖autn‖xres‖ck‖ik，
[0062]
其中，autn＝sqn
⊕
ak‖amf‖mac，mac＝f1(k,sqn‖rand‖amf)，xres＝f2(k,rand)，ck＝f3(k,rand)，ik＝f4(k,rand)，ak＝f5(k,rand)。
[0063]
2-2使用预设的密钥派生函数来导出密钥。如基于hres*＝sha-256(rand‖xres)得到hres*,其中sha-256(
·
)表示sha-256算法。基于hmac-sha-256(k,s)密钥派生函数来导出xres*。
[0064]
双向认证阶段包括:
[0065]
2-3ap(接入点)向ue(用户设备)发送带有来自认证向量中的rand和autn的nas鉴权请求，ue使用milenage函数来导出xmac、res、ck、ik。
[0066]
2-4ue对autn中收到的mac进行验证，对网络进行鉴权，并检查autn的新鲜度，如果比较失败，则将发送身份验证失败。
[0067]
2-5ue使用预设的密钥派生函数来导出参数，如利用hmac-sha-256(k,s)kdf函数导出res*，然后向ap发送该res*。
[0068]
2-6ap将res*与存储的xres*进行比较，如果值相同，则ap认为该用户设备的身份验证成功,否则认为身份验证失败。
[0069]
3)物理层方法：采用物理层鉴权方法，利用通信链路的信道冲激响应(cir)、接收信号强度指示(rssi)、载波频偏(cfo)和同相-正交-相位不平衡(iqi)等特征。在物理层方法中，认证不需要密钥，因此可以通过将估计的物理层特征与合法设备的物理层特征进行验证来实现有效的通信。认证方法包括：
[0070]
3-1一对ap和ue对彼此的物理层特征进行测量、估计和验证。
[0071]
3-2若正在认证设备的物理层特征测量值与合法设备的物理层特征测量值之差小于一个阈值，
[0072]
记为则验证为合法设备，
[0073]
否则验证为攻击者。
[0074]
4)智能切换模块：该智能切换模块包含物理层特征的选择和不同认证方法的智能切换。
[0075]
物理层特征的选择：在动态的通信环境中，使用不同特征的物理层认证方案具备不同的安全性能。为了获得更好的物理层认证性能，mbs(宏基站)基于态势感知进行物理层特征选择。因为mbs具有更高的功率和更多的资源，并且具有更多关于动态通信环境和物理层特征的信息。
[0076]
4-1mbs(宏基站)在线下定期地采集多个设备的不同物理层特征，包括：n个设备的cir、rssi、cfo和iqi，并且评估基于不同特征的物理层方法的性能，从而选择最优的物理层特征发送给所有的ap和ue，用于它们之间的双向认证。
[0077]
4-2mbs通过
[0078][0079]
和
[0080][0081]
分别计算物理层方法使用特征时的漏检率和误警率，
[0082]
和分别是认证设备的特征估计和合法设备的特征估计，ε是物理层身份验证的阈值，φ1和φ0分别表示攻击者和合法设备；
[0083]
4-3mbs通过计算安全服务质量，mbs通过使用不同特征值时的漏检率和误警率的组合来选择使得sos最高的物理层特征；
[0084]
不同认证方法的智能切换：在动态的通信环境中，物理层认证方法的可靠性取决于其所选择的特征，并受到通信环境的影响。其安全性能可能在快速变化的通信环境中无法满足安全需求。因此，本技术公开一种智能的跨层认证系统，通过不同认证方法的智能切换实现超高密度网络中保证安全服务质量的高效通信。
[0085]
4-4一对ap和ue首先使用5g-aka的方法进行首次的双向认证，并采集对方的物理层特征。
[0086]
4-5它们接着使用物理层认证方法来实现身份认证以降低认证时延并提高认证效率。给定sos(安全服务质量)的阈值，计算率。给定sos(安全服务质量)的阈值，计算若sos的值小于该阈值，则选择5g-aka方式，否则持续使用物理层方法。
[0087]
接下来我们实验仿真和数值研究来评估本技术所提出的方案。
[0088]
a.实验条件：
[0089]
随机定位1mbs、2个ap和20个ue来模拟了动态udn(超高密度网络)。每个ue的速度也是随机设置的。ue接入最近的ap，并且基于从其他发射机(包括cir、rssi、cfo和iqi)接收的信号来估计其物理层特征。
[0090]
b.实验步骤：
[0091]
1)对物理层方法中的态势感知特征选择的性能进行了评估。我们设置了α1＝0.5和α2＝0.5的sos参数，信噪比为0分贝；
[0092]
2)对比了基于最优特征的phy层方法与基于特定特征即csi或rssi的phy层方法的sos值；
[0093]
3)在sos要求为0.989的情况下，比较了不同方法之间的计算代价；
[0094]
4)在一定范围内测试了本技术所提出的方案的安全服务质量。
[0095]
c.实验结果：
[0096]
从图2中我们可以看出，本技术所提出的方案选择最优物理层特征比依赖于动态udn中的特定特征的物理层方法获得更可靠的认证结果。其原因是物理层认证性能受到时变特征估计的影响。提出的物理层方法自主选择最优特征以提高认证可靠性，本技术所提出的智能跨层认证方案能够在给定sos要求的情况下长时间使用物理层方法提高通信性能。
[0097]
从图3可以看出，物理层方案的计算代价最低，而5g-aka方案的计算代价最高。本发明公开的智能跨层认证方案的计算代价略高于物理层方案。所提出的智能跨层认证方案以略高于物理层方案的计算代价实现了动态的无线通信环境中可靠的安全服务质量。
[0098]
从图4可以看出，当sos要求低于0.988时，仅采用物理层方法。其原因是在利用最优属性开发的物理层方案能够满足体系质量要求的情况下，利用物理层方法实现了较低的计算成本。当sos需求大于0.992时，仅采用5g-aka方法，因为物理层方法无法达到sos需求。与物理层方案相比，本技术提出的智能集成跨层方案以较高的计算开销为代价获得了更好的安全性能。因此，本技术综合了物理层方法和5g-aka方法两种方法的优点，在保证安全性能的前提下实现了更高效的相互认证。
[0099]
如上所述，物理层特征可能是时变的和不完美的估计。物理层认证方法的可靠性可能无法保证安全需求，特别是在动态网络中。因此，该方案以可接受的较高计算开销为代价，智能地结合了这两种方案以实现满足安全服务质量的高效通信。
[0100]
上述实施例只为说明本技术的技术构思及特点，其目的在于让熟悉此项技术的人是能够了解本技术的内容并据以实施，并不能以此限制本技术的保护范围。凡如本技术精神实质所做的等效变换或修饰，都应涵盖在本技术的保护范围之内。