[发明专利]适用于无线网络的身份认证方法及其设备

说明书

技术领域

本发明涉及信息技术安全领域，如无线通信、移动通信、深空通信等领域的信息安全技术。 

背景技术

目前成熟的身份认证技术首选利用公钥密码理论和对称密钥技术建立起来的PKI(Public Key Infrastructure，公钥基础设施)认证和CBC-MAC(Cipher Block Chaining Message Authentication Code)，基于密文的消息认证)。 

无线广播通信在下一代通信中有作很广泛的应用，如：移动TV、实时video广播系统等。信息在无线信道的传输过程中，消息可能被某些网络拦截工具捕获，并被恶意篡改后转发给消息接收者，消息接收者接收会做出错误的操作或者返回给客户端错误的结果，比如说客户端调用服务进行银行转账，该请求会包含转出和转入银行帐号和转入金额，如果网络黑客截获该消息后改变了相应的账号或者金额数据，并将篡改后的请求进行转发，如果服务端将接收到的消息当成是正常的转账请求，就会造成大的损失。为了保证通信安全，需要验证无线通信的信息来源的合法性与可信度。但基于公钥密码的PKI认证技术由于通信附加信息和计算量都较大，在无线广播通信中需要在短时间内进行相当数量的高效实时认证，只采用PKI认证技术是不行的。CBC-MAC的附加信息和计算量小一些，但由于其仍然具有靠大量的加解密运算得以保证数据安全的上层认证特性，无法满足需要低复杂度以达到快速认证的应用场合的需求。 

在实时性要求较高的无线信道中，如何能够高效地实现身份认证成为一个研究的热点。 

发明内容

本发明所要解决的技术问题是，提供一种在无线网络中，使用物理层进行辅助认证的身份认证方法以及实现该方法的设备。 

本发明为解决上述技术问题所采用的技术方案是，适用于无线网络的身份认证方法，包括步骤： 

初始认证步骤：接收方接收到来自于未认证成功的发送方的信息包时，通过上层认证对接收到的信息包进行身份认证，如认证成功，进入下一步；如认证失败，则返回本步骤；所述上层认证为运行在物理层以上的身份认证方法，如数据链路层认证、网络层认证、传输层认证以及应用层认证； 

物理层认证步骤：接收方从已认证成功的信息包的导频中获取该信息包的信道信息，之 后，提取待认证的信息包的导频中的信道信息，比较已认证成功的信息包对应的信道信息与待认证信息包对应的信道信息是否接近，如是，则判断为认证成功，返回本步骤；如否，则判断为认证失败，返回上一步。 

本发明利用无线通信中两不同发送方的位置距离大于发送信息的波长，则两不同发送方对应的信道信息是不相关的物理信道特性，通过对接收方接收到的信息包所携带的信道信息来确认此次接收信息和上次接收信息是否为同一个物理实体所发送，但基于物理信道特性的认证只能识别本次通信者是否是上次相同的通信者，而不能识别最初接入者是否为合法通信者，因此本发明将基于物理信道特性的认证和已现有的上层认证方式结合实现系统的安全接入和认证。本发明与现有完全依赖上层认证方式比较，物理层认证非常快速，在物理层直接提取信道信息，如果认证失败，对伪信息不做进一步的处理(如，解调、解码)。本发明仅在初次接入时使用运算量大的上层认证，以保证发送方的合法身份，之后使用快速、复杂度低的物理层认证，即保证认证可靠性，避免信息发送中非法实体的篡改和转发，又能满足实时性要求。适合应用在对实时要求高，但能量和计算能力有限的无线通信网络中，特别适合应用于无线传感网络通信过程中的身份认证。 

物理层认证步骤具体包括： 

接收方对在k-1(k为正整数)时刻接收的已认证成功的信息包的导频提取信道信息 在下一时刻(k时刻)接收方对接收的待认证的新一帧信息包的导频提取信道信息 比较这两个时刻的信道信息，若两次信道信息足够接近，则认为这两个时刻发送信息的来自于同一个物理实体，若两次的信道信息不够接近，则认为两个时刻发送信息的来自于不同的物理实体，后一时刻(k时刻)的信息包来源非法。信道信息的提取可采用如下两个方法来实现信道信息的比较： 

(1)似然比统计： 

k-1时刻与k时刻信道信息的比较结果为Λ₁，k为正整数： 

其中， 为接收方从k-1时刻接收的已认证成功信息包的导频中提取的信道信息， 为接收方从k时刻接收的待认证信息包的导频中提取的信道信息；K_col是归一化系数， 是k-1时刻与k时刻接收的两信息包的相位差，‖‖²为二范数运算；