一种适用于动态连接场景的联合认证方法和服务器技术

本发明专利技术公开了一种适用于动态连接场景的联合认证方法和服务器，该方法包括步骤：接收当前待接入用户发送的接入请求信号并转发至上层进行第一上层认证，接收第一认证结果，非法用户则拒绝接入，合法用户准许接入；继续接收当前准许接入用户发送的待认证数据信号，通过物理层认证模型进行物理层认证，不合法则进行第二上层认证，接收第二认证结果并结合待认证数据信号与合法信号的相似度综合判决其合法性；根据认证结果，对物理层认证模型进行动态调整。该装置包括接入请求认证单元、联合认证单元和更新单元。本发明专利技术提供的联合物理层认证和上层AKA认证的跨层认证机制，极大的降低了认证时延，复杂度降低、认证准确度更高。

A joint authentication method and server for dynamic connection scenarios

【技术实现步骤摘要】
一种适用于动态连接场景的联合认证方法和服务器
本专利技术涉及无线通信
，特别涉及一种适用于动态连接场景的联合认证方法和服务器。
技术介绍
无线信道的广播特性导致无线用户的数据信息、身份信息等存在一定的泄露风险，需要有效的认证手段加以保护。随着无线通信技术的发展，物联网、车联网等迅速普及，无线终端设备的数量急剧增加，并且呈现出明显的动态性，例如，物联网终端与服务器的通信方式具有突发性，车联网终端移动性强等。传统认证方法应用于这些动态接入场景将面临计算和时延开销大的挑战。因此，有必要研究适用于动态连接场景的轻量级快速认证方案。目前应用最广泛的身份认证机制是基于密钥加密的上层认证机制，相关研究主要集中在密钥管理的安全性和有效性。随着移动终端数量急剧增长，密钥管理变得越来越复杂，这可能不适用于资源受限的物联网终端设备；由于物联网终端设备计算资源的差异性，所适用的密钥长度各不相同，尤其是在异构网络中，认证服务器需要满足较低认证时延需求下同时识别不同模式的密钥，极大的增加了计算开销，带来严峻的挑战。同时，随着基于身份的攻击方式的出现，如欺骗攻击、拒绝服务攻击等，基于密钥的认证机制暴露出诸多缺陷，攻击者很容易伪造他们的MAC地址和其他身份信息，伪装成另一个发送方，在很多领域都造成了巨大的损失。同时，传统基于假设检验的物理层认证方案对参考阈值具有较高的依赖性，如果阈值选择不合理，对认证性能将会产生较大影响。尤其是在动态通信场景中，如待认证设备位置不断变化、有新的用户接入或已有用户的移出。因此传统的基于假设检验的认证方案不再适用。因此，如何提供一种适用于动态连接场景，且计算、时延开销相对降低的有效认证方法，成为本领域技术人员亟待解决的技术问题。
技术实现思路
本专利技术的目的是提出一种适用于动态连接场景的联合认证方法和服务器，以解决上述技术问题。为实现上述目的，本专利技术提供了如下方案：本专利技术实施例的第一个方面，提供了一种适用于动态连接场景的联合认证方法，包括如下步骤：接收当前待接入用户发送的接入请求信号并转发至上层进行第一上层认证，接收上层反馈的第一认证结果，所述第一认证结果为非法用户，则拒绝接入，所述第一认证结果为合法用户，则准许接入；继续接收当前准许接入用户发送的待认证数据信号，对待认证数据信号通过物理层认证模型进行物理层认证，判决待认证数据信号的合法性，合法则接收；不合法则进行第二上层认证，根据上层反馈的第二认证结果并结合所述待认证数据信号与合法信号的相似度综合判决待认证数据信号的合法性，得到联合认证结果；根据认证结果，对物理层认证模型进行动态调整，等待接收下一接入请求信号。可选的，在接收当前准许接入用户发送的待认证数据信号之前还包括步骤：接收当前准许接入用户发送的信道样本信息；对信道样本信息进行采样并提取多维物理层属性，建立特征向量，以特征向量作为输入对预先构建的物理层认证模型进行训练；对待认证数据信号通过物理层认证模型进行物理层认证包括：通过训练后得到的物理层认证模型对待认证数据信号的合法性进行分类，并输出待认证数据信号与合法信号的相似度；可选的，不合法则进行第二上层认证，根据上层反馈的第二认证结果并结合待认证数据信号与合法信号的相似度综合判决待认证数据信号的合法性，包括：当物理层认证模型的判决结果为非法信号时，则将待认证数据信号与合法信号之间的相似度以及所述待认证数据信号一起转发至上层进行第二AKA认证；接收上层反馈的第二认证结果，当第二认证结果为合法且待认证数据信号与合法信号的相似度大于或者等于第一预设阈值时，则联合认证结果为合法；当第二认证结果为合法且待认证数据信号与合法信号的相似度低于第一预设阈值时，则联合认证结果为非法，此时判决为收到了上层认证无法识别的冒充合法用户身份的攻击；当第二认证结果为非法信号时，则联合认证结果为非法。相似度取值范围为[0,1],优选地，第一预设阈值通常取接近于1的值，如[0.9,1)。可选的，通过物理层认证模型进行物理层认证，具体包括：a)预先构建物理层认证模型的基础的神经网络结构，对物理认证模型的神经网络结构进行初始化：设置输入层节点数为选取的多维物理层属性的维度，设置输出层的节点数为通信场景中已有用户数(当前通信范围内建立连接的用户数)，随机选取对应类别中的样本点对输出层的各权值向量进行赋值；初始化学习率和学习率减小值；b)根据提取的多维物理层属性构建样本训练集，从样本训练集中选取一个样本进行归一化处理，将归一化处理后的样本值作为特征向量，通过输入层输入所述物理层认证模型；c)将特征向量分别和输出层的各权值向量做点积运算，从中选取点积最大值对应的输出节点记为获胜节点；并根据学习率减小值更新学习率；d)对获胜节点的权值向量进行更新；e)重复步骤b)-d)，直到权值向量更新量持续减小到第二预设阈值。可选的，计算特征向量和输出层各样本点所对应权值向量的相似度，包括：将特征向量分别和输出层的各权值向量做点积运算，从中选取点积最大值对应的输出节点记为获胜节点；计算特征向量与输出层的获胜节点对应的权值向量的欧式距离的倒数，将该倒数作为特征向量与输出层的权值向量的相似度；对权值向量的更新包括对获胜节点的权值向量进行更新。可选的，对待认证数据信号通过物理层认证模型进行物理层认证，判决待认证数据信号的合法性，包括：物理层认证模型的识别层有新节点生成，则物理层认证的判决结果为不合法；可选的，根据认证结果，对物理层认证模型进行动态调整，包括步骤：当物理层认证的结果为不合法，且联合认证结果也为不合法时，则在物理认证模型的识别层生成该非法类的节点；当物理层认证的结果为不合法，而联合认证结果为合法时，则重新调整物理层认证模型的参数设置和/或减小物理层认证模型的第四预设阈值；有的情况下仅需调整模型参数，有的情况下仅需减小第四预设阈值，有的情况则两者均需要调整，本领域技术人员能够根据实际需要具体调整，本专利技术不再一一列举赘述。对于第一认证结果为合法或者联合认证结果为合法的任何一个合法信号，为保证物理层认证模型对动态场景的适用性，接收该合法信号之后，根据合法信号的特征向量与对应权值的差异，按照下述规则更新分类器的权值向量，更新规则为：Δωk＝η(Pi-ωk)Yk其中，Pi表示第i个特征向量，即代表第i个待认证数据，k表示输出层第k个神经元获胜，即获胜节点，Yk为特征向量与输出层获胜节点权值的点积，η为学习率，ωk为权值向量，Δωk为权值向量更新量，为更新后的权值向量，为更新前的权值向量。可选的，对物理层认证模型进行动态调整之后还包括步骤：判断是否有用户未进行通信或因移动而不在信号覆盖范围之内的时长超过第四预设阈值，时，则将所述物理层认证模型的识别层或中对应的神经节点设置为休眠态，当有下一用户接入时，首先遍历休眠态中是否有与之对应的神经节点，若有，则将其激活，否，则继续保持休眠态。本专利技术实施例的第二个方面，还提供一种适用于动态连接场景的联合认证服务器，包括接入请求认证单元、联合认证单元和更新单元；接入请求认证单元，用于接收当前待接入用户发送的接入请求信号并转发至上层进行第一上层认证，接收上层反馈的第一认证结果，第一认证结果为非法用户，则拒绝接入，第一认证结果为合法用户，则准许接入；联合认证单元，用于继本文档来自技高网...

【技术保护点】
1.一种适用于动态连接场景的联合认证方法，其特征在于，包括如下步骤：接收当前待接入用户发送的接入请求信号并转发至上层进行第一上层认证，接收所述上层反馈的第一认证结果，所述第一认证结果为非法用户，则拒绝接入，所述第一认证结果为合法用户，则准许接入；接收当前准许接入用户发送的待认证数据信号，对所述待认证数据信号通过物理层认证模型进行物理层认证，判决所述待认证数据信号的合法性，合法则接收；不合法则进行第二上层认证，根据上层反馈的第二认证结果并结合所述待认证数据信号与合法信号的相似度综合判决所述待认证数据信号的合法性，得到联合认证结果；根据认证结果，对所述物理层认证模型进行动态调整，等待接收下一接入请求信号。

【技术特征摘要】
1.一种适用于动态连接场景的联合认证方法，其特征在于，包括如下步骤：接收当前待接入用户发送的接入请求信号并转发至上层进行第一上层认证，接收所述上层反馈的第一认证结果，所述第一认证结果为非法用户，则拒绝接入，所述第一认证结果为合法用户，则准许接入；接收当前准许接入用户发送的待认证数据信号，对所述待认证数据信号通过物理层认证模型进行物理层认证，判决所述待认证数据信号的合法性，合法则接收；不合法则进行第二上层认证，根据上层反馈的第二认证结果并结合所述待认证数据信号与合法信号的相似度综合判决所述待认证数据信号的合法性，得到联合认证结果；根据认证结果，对所述物理层认证模型进行动态调整，等待接收下一接入请求信号。2.根据权利要求1所述的一种适用于动态连接场景的联合认证方法，其特征在于：所述步骤在接收当前准许接入用户发送的待认证数据信号之前还包括步骤：接收当前准许接入用户发送的信道样本信息；对所述信道样本信息进行采样并提取多维物理层属性，建立特征向量，以所述特征向量作为输入对预先构建的物理层认证模型进行训练；所述步骤对所述待认证数据信号通过物理层认证模型进行物理层认证包括：通过训练后得到的所述物理层认证模型对所述待认证数据信号的合法性进行分类，计算所述待认证数据信号与合法信号的相似度；和/或，所述步骤不合法则进行第二上层认证，根据上层反馈的第二认证结果并结合所述待认证数据信号与合法信号的相似度综合判决所述待认证数据信号的合法性，包括：当所述物理层认证模型的判决结果为非法信号时，则将所述待认证数据信号与合法信号之间的相似度以及所述待认证数据信号一起转发至上层进行第二上层认证；接收上层反馈的第二认证结果，当所述第二认证结果为合法且所述待认证数据信号与合法信号的相似度大于或者等于第一预设阈值时，则联合认证结果为合法；当所述第二认证结果为合法且所述待认证数据信号与合法信号的相似度低于所述第一预设阈值时，则联合认证结果为非法，此时判决为收到了上层认证无法识别的冒充合法用户身份的攻击；当所述第二认证结果为非法信号时，则联合认证结果为非法。3.根据权利要求1所述的一种适用于动态连接场景的联合认证方法，其特征在于，所述步骤通过物理层认证模型进行物理层认证，具体包括：a)对所述物理层认证模型的神经网络结构进行初始化：设置输入层节点数为选取的多维物理层属性的维度，设置输出层节点数为通信场景中已有用户数，随机选取对应类别中的样本点对输出层的各权值向量进行赋值；初始化学习率和学习率减小值；b)根据提取的所述多维物理层属性构建样本空间，从所述样本空间中选取一个样本并进行归一化处理，将归一化处理后的样本值作为特征向量，通过输入层输入所述物理层认证模型；c)将所述特征向量分别和输出层的各权值向量做点积运算，从中选取点积最大值对应的输出节点记为获胜节点；并根据所述学习率减小值更新所述学习率；d)对所述获胜节点的权值向量进行更新；e)重复步骤b)-d)，直到所述权值向量的更新量持续减小到第二预设阈值。4.根据权利要求3所述的一种适用于动态连接场景的联合认证方法，其特征在于：所述步骤对所述待认证数据信号通过物理层认证模型进行物理层认证，判决所述待认证数据信号的合法性，还包括计算所述特征向量和输出层的权值向量的相似度，具体包括：计算所述特征向量与输出层的所述获胜节点对应的权值向量的欧式距离的倒数，将该倒数作为所述特征向量与输出层的权值向量的相似度。5.根据权利要求2所述的一种适用于动态连接场景的联合认证方法，其特征在于：所述步骤对所述待认证数据信号通过物理层认证模型进行物理层认证，判决所述待认证数据信号的合法性，包括：所述物理层认证模型的识别层有新节点生成，则物理层认证的判决结果为不合法；和/或，所述步骤根据认证结果，对所述物理层认证模型进行动态调整，包括步骤：当物理层认证的结果为不合法，且所述联合认证结果也为不合法时，则在所述物理认证模型的识别层生成表示该非法类的节点；当物理层认证的结果为不合法，而所述联合认证结果为合法时，则重新调整所述物理层认证模型的参数设置和/或减小所述物理层认证模型的第四预设阈值；对于所述第一认证结果为合法或者所述联合认证结果为合法的任何一个合法信号，为保证所述物理层认证模型对动态场景的适用性，接收该合法信号之后，根据所述合法信号的特征向量与对应权值的差异，按照下述规则更新所述...

【专利技术属性】
技术研发人员：李娜，张志远，夏仕达，许晓东，陶小峰，
申请(专利权)人：北京邮电大学深圳研究院，北京邮电大学，
类型：发明
国别省市：广东,44