一種通信設備身份識別方法及其系統的製作方法
2023-05-29 03:10:11
專利名稱:一種通信設備身份識別方法及其系統的製作方法
技術領域:
本發明屬於通信技術領域,特別涉及通信網絡中接入設備身份識別問題,即一種通信設備身份識別方法及其系統。
背景技術:
當今世界信息技術迅猛發展,人類社會正進入一個信息社會,社會經濟的發展對信息資源、信息技術和信息產業的依賴程度越來越大。通信網絡中的信息安全問題日益引起人們的重視。在危害通信安全的各種攻擊手段中,入侵系統攻擊的危害最大,這類攻擊不僅竊取機密材料,而且隨時都可能令受害系統陷入崩潰。抵禦入侵攻擊的傳統安全措施都是在數據鏈路層以及其上層實現的,其核心是利用密碼系統對接入者的身份進行驗證。針對這種安全措施的攻擊方式主要可分為密碼攻擊和漏洞攻擊。密碼攻擊是攻擊最常用的方法,入侵者通過系統常用服務或對網絡通信進行監聽來搜集帳號,找到主機上的有效帳號後,就採用字典窮舉法進行攻擊,或者通過各種方法獲取password文件,然後用口令猜測程序破譯用戶帳號和密碼。漏洞攻擊是利用系統管理策略或者認證系統的設計漏洞,獲得比合法權限更高的操作權。雖然使用複雜密碼和系統升級可在一定程度上抵禦入侵攻擊,但是這些措施並不能從根本上解決入侵攻擊的威脅。
從通信網絡的連接方式來看,通信網絡又可以分為無線網絡和有線網絡兩類。無線網絡的安全措施基本上是從有線網絡上移植過來的,並沒有考慮無線網絡自身的某些特點。無線網絡由於其接入設備的開放性,使得無線網絡的入侵攻擊比有線網絡更加隱蔽和危險,但是,目前還沒有有效的安全措施能夠完善的解決這個問題。究其原因,目前大多數認證體系研究仍然局限在數據鏈路層及其上層,如果將安全措施引入到接入設備的物理層,就可以在從根本上抵禦目前通信網絡接入部分的各種攻擊手段。
由於物理層完全由硬體實現,一方面避免了密碼被破譯的隱患,另一方面從而消除了軟體系統的漏洞,同時具有極高的隱蔽性,不易被攻擊方發現。但是,網絡物理層不存在數據流,因此現有的數位化認證體系都是不適用的,需要一套適用於物理層的安全措施系統。
發明內容
本發明的目的是提供一種通信設備身份識別方法及其系統,以彌補傳統身份認證技術容易受到密碼攻擊和漏洞攻擊的缺陷,本發明具有隱蔽性高、穩定性好和管理安全的特點。
本發明提供的一種通信設備身份識別方法,包括以下步驟(1)發送端產生信號水印,用於標識通信設備身份;(2)發送端將上述信號水印嵌入到正常通信信號中,並發送含有信號水印的通信信號給接收端;(3)接收端接收上述含有信號水印的通信信號後,從上述通信信號中分離出信號水印;(4)接收端將信號水印解釋並翻譯為發送端的身份信息;(5)接收端將信號水印承載的身份信息轉換為發送端的通信設備標識。作為本發明的改進,其步驟為(1.1)發送端利用一種頻率可控的正弦信號發生器,根據發送端的身份標識確定正弦信號的頻率,其計算公式如下fi=f+Δf=f+h(i)其中,f為基準頻率,i為設備標識,h(i)為從設備標識i到頻率偏移Δf的映射函數,且fmin>0Hz,fmax≤300Hz,fmin為fi的最小值,fmax為fi的最大值;(1.2)正弦信號發生器根據指定的頻率產生正弦信號作為信號水印,並根據該正弦信號的幅度選擇能量門限G,作為信號水印是否存在的檢測依據;步驟(2)利用信號合成器將正常通信信號與信號水印直接疊加;
步驟(3)中水印提取步驟為(3.1)對接收到的模擬信號進行採樣,將其轉化為數位訊號;(3.2)將採樣數據按時間分段;(3.3)對每一段數據進行快速傅立葉變換處理,提取fmin-fmax區域內的功率譜;(4.1)檢測fmin-fmax頻段中的功率譜最大值;(4.2)判斷該譜值是否大於預先設定的能量門限G若該譜值小於能量門限,則可以斷定信號水印不存在;若該譜值大於能量門限G,則選擇該譜值所對應的頻率值fi;(4.3)利用公式h(i)=fi-f,計算發送端通信設備的身份信息h(i);步驟(5)通過身份信息資料庫中存儲的h(i)與i之間的對應關係,查詢出發送端通信設備的身份標識。
實現上述方法的系統,其特徵在於該系統包括用於生成的信號水印的發送端和識別設備身份的接收端;在發送端,信號水印生成模塊用於生成信號水印,並將生成的信號水印發送給信號水印嵌入模塊;信號水印嵌入模塊用於將信號水印嵌入到正常通信信號中,通信信號通過調製模塊進行調製處理後發送到信道中;在接收端,解調模塊用於還原出原始通信信號,並利用信號水印提取模塊分離出信號水印,信號水印解譯模塊判斷信號水印是否存在,並輸出信號水印上承載的身份信息。
本發明打破傳統通信網絡安全措施的思維定勢,將通信網絡安全措施深入到物理層,提出利用信號水印進行通信設備身份識別的方法,有效地對接入節點和伺服器進行身份驗證,從而防止不法分子的非法入侵,保證正常數據通信的安全。本發明與現有的身份認證技術相比,主要有如下三個特點1.隱蔽性高。傳統的身份認證技術通常基於密碼機制,通過數據分析可以輕易的發現認證體系的存在。但信號水印技術主要通過硬體實現,非專用硬體不可能發現存在信號水印。即使採用特殊硬體對信號進行分析,如果不了解水印加入方式,也不可能發現信號水印的存在,更不可能對其進行偽造。
2.穩定性好。傳統的身份認證技術採用軟體實現,通常存在各種各樣的軟體漏洞,使得攻擊者可以繞過密碼體系對系統進行入侵。但是信號水印技術採用硬體實現,一般的攻擊者不可能達到這個層面,更不可能繞過這個身份認證體系。
3.管理安全。信號水印認證體系是一個硬體密鑰系統,即每個通信設備(用戶)和密鑰是綁定的,即只有攻擊者獲得設備硬體才能獲得密鑰,只要加強對硬體的管理就可以保證密鑰的安全。即使攻擊者獲得硬體設備,系統可以將其特徵水印從資料庫中刪除,而不影響到其它用戶的正常通信。
本發明一方面可以用於維護通信網絡安全,防止不法人員利用竊取的密碼或系統漏洞非法入侵通信網絡;另一方面也可以用於無線電臺的身份標識,加強對無線通信設備的監控與管理。
圖1是本發明方法的流程示意圖。
圖2為本發明系統的結構示意圖。
具體實施例方式
下面結合附圖和實例對本發明作進一步詳細的說明。
如圖1所示,本發明方法的處理步驟為(1)發送端產生信號水印,用於標識通信設備身份;信號水印是指在通信信號中人為加入的用於通信設備身份的標識,具有如下幾個特徵1)信號水印的載體是通信信號;2)信號水印是人為加入的;3)信號水印能夠對通信設備個體進行標識;4)信號水印不會對正常通信信號構成明顯的幹擾。
從廣義上說,滿足以上條件的特定信號都可以稱為信號水印。因此,信號水印可以有多種不同的生成方式,下面列舉一種簡單的信號水印生成步驟1)發送端利用一種頻率可控的正弦信號發生器,根據發送端的身份標識確定正弦信號的頻率,其計算公式如下fi=f+Δf=f+h(i)其中,f為基準頻率,i為設備標識,這裡以10部設備為例,因此設i=0,1,…9,但是在實際應用中設備標識也可以是其它形式的設備編號。h(i)是從設備標識i到頻率偏移Δf的映射函數,即對於不同的設備標識可以指定相應的頻率偏移,這裡令h(i)=i,是一種最簡單的實現方法。基準頻率f可以根據需要進行設定,但是必須保證信號水印的最大頻率fmax小於語音頻率的下限300Hz,最小頻率fmin大於0Hz。這裡設f=100Hz,因此fi的範圍是100Hz-109Hz。
2)正弦信號發生器根據指定的頻率產生正弦信號作為信號水印,並根據該信號幅度選擇適當能量門限G,作為信號水印是否存在的檢測依據。例如設信號幅度為A,則該信號一個周期內的能量為A2/2,於是可以定義G=(A2/4)×α作為水印檢測門限,其中α表示通信鏈路中的能量增益係數;(2)發送端將上述信號水印嵌入到正常通信信號中,並發送含有信號水印的通信信號給接收端。
對於不同的傳輸內容和調製方式,可以採用不同的水印嵌入方法。以傳輸語音的調頻方式為例,可以直接利用信號合成器將語音信號與信號水印直接疊加。由於語音信號的頻域範圍是300Hz-3400Hz,而信號水印是頻率fi(本實例為100Hz-109Hz)的正弦信號,二者在頻域上是分離的,因此信號水印不會影響語音信號的正常傳輸。
(3)接收端接收上述含有信號水印的通信信號後,分離信號水印和通信信號。
不同的水印嵌入方式,採用不同的水印提取方式。對於步驟(2)中提出的頻域嵌入方式,其水印提取步驟如下1)對接收到的模擬信號進行8KHz採樣,將其轉化為數位訊號;2)將採樣數據按時間分段,即將每秒鐘的8000個採樣數據作為一段;
3)對每一段數據進行快速傅立葉變換(FFT)處理,提取指定頻域(即fmin-fmax區域,本實例為100Hz-109Hz)處的功率譜。
通過上述步驟即可在頻域上分離出信號水印成分。
(4)接收端將信號水印解釋並翻譯為發送端的身份信息。
步驟(4)中的信號水印的解釋並翻譯過程與步驟(1)信號水印生成過程相對應,對於步驟(1)中舉例的水印生成方式,其解譯步驟如下1)檢測指定頻域(本實例為100Hz-109Hz)中的功率譜最大值;2)判斷該譜值是否大於預先設定的能量門限G若該譜值小於門限值,則可以斷定信號水印不存在;若該譜值大於或等於門限值,則選擇該譜值所對應的頻率值fi;3)根據公式h(i)=fi-f計算發送端的通信設備身份信息h(i)。
(5)接收端將信號水印承載的身份信息映射轉換為發送端的通信設備標識。在前面所列舉的實現方式中,採用的映射函數如下h(i)=i因此可以直接得到發送端的通信設備標識。但是,如果映射函數h(i)的形式比較複雜,就必須通過身份信息資料庫查詢到發送端的身份標識。
本發明的核心思想是在正常通信信號中添加信號水印,從而對發送信號的通信設備進行標識。其中,具體的信號水印可以採用多種形式,即可以是某種固定形式的信號,也可以是某種偽隨機信號,或者是其它任何形式的信號,只要能夠滿足步驟(1)中所定義的四個特點,就屬於信號水印的範疇。對於每一種信號水印,都有相應的信號水印生成、嵌入、提取和解譯方法,從而使得信號水印的具體應用方式具有極大的靈活性。因此,根據本發明所提供的方法,採用適當的信號水印形式,能夠滿足各種具體通信環境的要求。
如圖2所示,實現上述方法的系統包括發送端1和接收端2兩個子系統,其中發送端1包括信號水印生成模塊3、信號水印嵌入模塊4和調製模塊5;接收端2包括解調模塊6、信號水印提取模塊7、信號水印解譯模塊8、身份信息資料庫9。通過發送端添加的信號水印,接收端可以識別發送端的具體身份,從而達到身份認證的目的。
在發送端,信號水印生成模塊3用於生成信號水印,並將生成的信號水印發送給信號水印嵌入模塊4。信號水印嵌入模塊4用於將信號水印嵌入到正常通信信號中,從而產生攜帶信號水印的通信信號。通信信號通過調製模塊5進行調製處理後發送到信道中。在接收端,通過解調模塊6還原出原始通信信號,並利用信號水印提取模塊7分離出信號水印。信號水印解譯模塊8判斷信號水印是否存在,若信號水印不存在,則輸出一個預先定義的「空」信號;若信號水印存在,則輸出信號水印上承載的身份信息。身份信息資料庫根據信號水印解譯模塊8的輸出結果,查詢資料庫獲得發送端通信設備標識。
上述發送端的調製模塊5和接收端的解調模塊6構成傳輸系統。由於通信網絡可能存在多種傳播媒質和調製方式,因此傳輸系統必須根據實際應用情況而定。對於熟悉通信領域的技術人員而言,完全可以根據具體通信環境確定傳輸系統的構成方式。由於傳輸系統只是作為中介環節,而且不同的傳輸系統不會影響整體系統的工作性能,因此無須限定傳輸系統的構成方式。
以上給出的是本發明在傳輸語音的調頻方式下的一種實現方式,本領域的技術人員可以根據上述原理採用其它多種方式實現本發明。實例中描述了信號水印的一種產生算法,針對不同的通信條件,具體採用信號水印算法會有所差別,但是本發明的流程仍然是一致的。
綜上所述,本發明是一種基於信號水印技術的通信設備身份識別方法,運用該方法構成的系統獨立於具體的通信環境,可以根據各種通信領域的具體要求,採用不同的信號水印算法,從而擴大了系統的應用範圍。根據本發明提出的方法,本領域的技術人員可以根據具體的通信環境,構造適當的信號水印算法,從而將本發明中的通信設備身份識別系統推廣到各種通信領域,因此本發明不限於任何具體的通信領域,而是符合這裡所揭示的原理和特徵的最寬範圍。
權利要求
1.一種通信設備身份識別方法,包括以下步驟(1)發送端產生信號水印,用於標識通信設備身份;(2)發送端將上述信號水印嵌入到正常通信信號中,並發送含有信號水印的通信信號給接收端;(3)接收端接收上述含有信號水印的通信信號後,從上述通信信號中分離出信號水印;(4)接收端將信號水印解釋並翻譯為發送端的身份信息;(5)接收端將信號水印承載的身份信息轉換為發送端的通信設備標識。
2.根據權利要求1所述的方法,其特徵在於步驟(1)為(1.1)發送端利用一種頻率可控的正弦信號發生器,根據發送端的身份標識確定正弦信號的頻率,其計算公式如下fi=f+Δf=f+h(i)其中,f為基準頻率,i為設備標識,h(i)為從設備標識i到頻率偏移Δf的映射函數,且fmin>0Hz,fmax≤300Hz,fmin為fi的最小值,fmax為fi的最大值;(1.2)正弦信號發生器根據指定的頻率產生正弦信號作為信號水印,並根據該正弦信號的幅度選擇能量門限G,作為信號水印是否存在的檢測依據;步驟(2)利用信號合成器將正常通信信號與信號水印直接疊加;步驟(3)為(3.1)對接收到的模擬信號進行採樣,將其轉化為數位訊號;(3.2)將採樣數據按時間分段;(3.3)對每一段數據進行快速傅立葉變換處理,提取fmin-fmax區域內的功率譜;步驟(4)為(4.1)檢測fmin-fmax頻段中的功率譜最大值;(4.2)判斷該譜值是否大於預先設定的能量門限G若該譜值小於能量門限,則可以斷定信號水印不存在;若該譜值大於能量門限G,則選擇該譜值所對應的頻率值fi;(4.3)利用公式h(i)=fi-f,計算發送端通信設備的身份信息h(i);步驟(5)通過身份信息資料庫中存儲的h(i)與i之間的對應關係,查詢出發送端通信設備的身份標識。
3.一種實現權利要求1或2所述方法的系統,其特徵在於該系統包括用於生成的信號水印的發送端(1)和識別設備身份的接收端(2);在發送端(1),信號水印生成模塊(3)用於生成信號水印,並將生成的信號水印發送給信號水印嵌入模塊(4);信號水印嵌入模塊(4)用於將信號水印嵌入到正常通信信號中,通信信號通過調製模塊(5)進行調製處理後發送到信道中;在接收端(2),解調模塊(6)用於還原出原始通信信號,並利用信號水印提取模塊(7)分離出信號水印,信號水印解譯模塊(8)判斷信號水印是否存在,並輸出信號水印上承載的身份信息。
全文摘要
本發明公開了一種通信設備身份識別方法及其系統。其步驟為①發送端產生信號水印,用於標識通信設備身份;②發送端將信號水印嵌入到正常通信信號中,並發送給接收端;③接收端接收信號後,從上述通信信號中分離出信號水印;④接收端將信號水印解釋並翻譯為發送端的身份信息;⑤接收端將信號水印承載的身份信息轉換為發送端的通信設備標識。該系統包括用於生成的信號水印的發送端和識別設備身份的接收端;發送端包括信號水印生成模塊、信號水印嵌入模塊和調製模塊;接收端包括解調模塊、信號水印提取模塊和信號水印解譯模塊。本發明可以對網絡接入設備以及其它無線通信設備進行管理,從而防止網絡的非法接入,保證網絡安全。
文檔編號H04L9/32GK1761187SQ20051001977
公開日2006年4月19日 申請日期2005年11月9日 優先權日2005年11月9日
發明者徐爭光, 黃本雄, 王芙蓉, 徐書華, 傅道俊 申請人:華中科技大學