一種鄰近移動終端用戶間的認證方法
【專利摘要】一種鄰近移動終端用戶間的認證方法,屬于無線通信網(wǎng)絡安全領(lǐng)域。基于鄰近的用戶安全認證,無需預共享密鑰、信任設施或公鑰體制。同時引入非參數(shù)貝葉斯模型來分類無線數(shù)據(jù)包的物理特征,獲得共享的周圍環(huán)境數(shù)據(jù)包,從而提高該鄰近認證的精確度,提供更靈活的鄰近范圍控制。由于中小型公共場所的環(huán)境引起的信號路徑損耗等影響,公共場所內(nèi)多個WiFi接入點造成各個客戶端很難獲得相同的周圍環(huán)境數(shù)據(jù)包序列,因此鄰近范圍之外的攻擊者很難獲得定位服務器和移動終端用戶之間的所有共享的周圍環(huán)境數(shù)據(jù)包。該方法可抵御鄰近范圍之外的攻擊者,同時保護了移動終端用戶的位置等隱私信息,提高基于位置的移動終端服務的安全性。
【專利說明】一種鄰近移動終端用戶間的認證方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于無線通信網(wǎng)絡安全領(lǐng)域,尤其是涉及一種鄰近移動終端用戶間的認證 方法。
【背景技術(shù)】
[0002] 隨著周邊商業(yè)和基于位置的移動廣告地興起,人們對導航和定位的需求不斷增 大,特別是在一些中小型公共場所,如機場大廳、火車站候車廳、動車組列車、超市、圖書館、 展廳、百貨商場等。同時隨著智能手機普及到"人手一部",公共場所的服務器無線接入點對 經(jīng)過該位置的移動終端用戶推送各種信息,如廣告、優(yōu)惠、促銷、安全提示、溫馨提醒等。這 就要求服務器無線接入點能夠判斷其鄰近范圍內(nèi)是否有移動終端用戶經(jīng)過,所以需要對移 動終端用戶進行定位。
[0003] 現(xiàn)在大部分定位系統(tǒng)都是基于全球定位系統(tǒng)(GPS),這并不滿足各類中小型公共 場所定位的需求。中小型公共場所覆蓋面積較小,環(huán)境復雜各異,因此可以利用無線局域 網(wǎng),發(fā)展無線定位技術(shù)?,F(xiàn)有的中小型公共場所的定位技術(shù)主要有紅外、超聲波、藍牙、超 寬帶、射頻定位和WiFi技術(shù)等。每個定位技術(shù)都有適合應用的場景,具有相應的優(yōu)點和劣 勢。但是大多數(shù)是沒有考慮定位信息在傳播過程中遭到各種不同的攻擊,如修改、偽造、竊 取等。
[0004] 經(jīng)檢索發(fā)現(xiàn),以往基于RSSI (接收信號強度指示)的無線定位技術(shù)如下:申請?zhí)枮?201410065139. 4的中國專利公開了一種基于RSSI的室內(nèi)定位技術(shù),通過設置多個參考節(jié) 點來監(jiān)聽被定位節(jié)點的信號強度值來計算被定位節(jié)點的位置。該方法基于射頻識別技術(shù), 帶寬和硬件資源消耗少,定位速度快且精度高。然而信號強度很容易受到環(huán)境因素的影響, 并且該方法并未考慮基站傳輸未知節(jié)點位置信息時的安全性。
[0005] 申請?zhí)枮?01310155441. 4的中國專利公開了一種基于分類閾值及信號強度權(quán)重 的無線定位技術(shù)。首先建立參考點的RSSI指紋數(shù)據(jù)庫,然后對參考點采集的平均RSS (接 收信號強度)進行分類,并按照實時的RSSI值進行匹配,找出優(yōu)選參考點,最后將優(yōu)選參考 點的RSS作為權(quán)重,進行鄰近加權(quán)定位移動節(jié)點。該方法能夠減輕多徑等各種環(huán)境因素的 干擾,提高定位精度,但是計算較為復雜。
[0006] 與此同時,對移動終端用戶的定位服務中的用戶信息的安全性提出了要求。移動 終端用戶的定位服務依然會因無線網(wǎng)絡的廣播特性而使其容易遭受到攻擊,比如中間人攻 擊以及鄰近距離之外的客戶端的偽造或估計。對于移動終端用戶而言,其位置信息是相當 私密的,保證其私密信息不被第三方截取或偽造,并同時能夠安全地交給服務器無線接入 點。因此,在小范圍無線應用場景中,移動終端用戶定位服務的隱私保護尤為重要。
[0007] 安全定位在無線傳感網(wǎng)中應用較多,經(jīng)檢索發(fā)現(xiàn):申請?zhí)枮?01010145480. 2的中 國專利公開了一種抗多數(shù)合謀攻擊的無線傳感網(wǎng)安全定位方法。即待定位節(jié)點向其通信范 圍內(nèi)的已定位非信標鄰居節(jié)點(信標節(jié)點為已知自身位置的節(jié)點)發(fā)送驗證請求,接收返 回的驗證信息,對所計算的多個定位信息進行驗證,得到安全結(jié)果。該方法能夠移除被合謀 攻擊的彳目標節(jié)點發(fā)送的惡意彳目息,提1?定位精度。
[0008] 申請?zhí)枮?01110163182. 0的中國專利公開了一種基于信標節(jié)點信譽的無線傳感 網(wǎng)絡安全定位方法。該方法能夠判定信標節(jié)點提供的信息的可靠性,提出了一種對信標節(jié) 點進行信譽評估定位方法,分別從信標節(jié)點的身份和行為兩方面對其進行評價,篩選出值 得信任的信標節(jié)點,利用他們提供的可靠信息進行定位。
[0009] 在無線傳感網(wǎng)中,考慮更多的是如何獲得可靠的傳感節(jié)點的位置信息,然而很少 考慮這些可靠的位置信息也有被泄漏的危險。本發(fā)明考慮一種更加廣泛的應用場景,即中 小型公共場所的無線網(wǎng)絡。許多如智能手機等非專門無線電設備,能夠很容易提取周圍環(huán) 境信號諸如RSSI、數(shù)據(jù)包到達時間等的物理層特征。現(xiàn)場測試表明,在同一地理區(qū)域的客 戶端(服務器無線接入點以及經(jīng)過該鄰近區(qū)域的移動終端用戶)可以觀察到一個特定共享 的,帶有大約相同的歸一化數(shù)據(jù)包到達時間和相似RSSIs的環(huán)境信號。這些物理層特征沒 有直接披露客戶端的位置,也很難被在鄰近距離范圍外的客戶端估計和偽造。因此,用戶能 夠利用環(huán)境無線電信號來建立空間上暫時的位置標記,并使用這種位置標記來增強定位服 務的安全性。
[0010] [A. Varshavsky, A. Scannell, A. LaMarca, E. De Lara. Amigo: Proximity-based authentication of mobile devices[M]· Springer Berlin Heidelberg, 2007.]提出基于 RSSI鄰近認證,計算共享環(huán)境中WiFi信號的RSSIs之間的歐幾里德距離,并應用了一個叫 做多促進(multiBoost)的分類器用于該數(shù)據(jù)分類,該方法利用Diffie-Hellman密鑰交換來 認證設備位置,并能鑒別一定范圍內(nèi)的惡意攻擊者。
[0011] 為了實現(xiàn)靈活的范圍控制,[Y. Zheng, M. Li, W. Lou, and Υ· T. Hou, "Sharp:Private proximity test and secure handshake with cheat-proof location tags. ^Computer Security - ES0RICS2012. Springer Berlin Heidelberg, 2012. 361-378]等人提出了一種 基于定位標簽(由周圍環(huán)境信號參數(shù)構(gòu)造的一種特殊信息段)的鄰近測試和安全的加密協(xié) 議,利用布隆過濾器中組織定位標簽,在匹配定位標簽時利用模糊提取器提取共享密鑰。這 種測試利用環(huán)境無線電信號的內(nèi)容來提高認證準確性,提供靈活的范圍控制。然而,在鄰近 測試中的數(shù)據(jù)包內(nèi)容的提取不僅會產(chǎn)生隱私泄漏,而且會增加總系統(tǒng)開銷。
【發(fā)明內(nèi)容】
[0012] 本發(fā)明的目的在于提供基于公共場所內(nèi)相鄰智能手機等移動終端用戶的一種鄰 近移動終端用戶間的認證方法。
[0013] 本發(fā)明包括以下步驟:
[0014] 1)公共場所的定位服務器根據(jù)需要控制的鄰近范圍,初始化鄰近測試策略的參 數(shù),公共場所的定位服務器和進入公共場所鄰近范圍的移動終端用戶識別周圍環(huán)境中的 WiFi熱點,確定周圍環(huán)境中存在不同WiFi熱點的數(shù)目,然后公共場所的定位服務器向周圍 環(huán)境無線廣播帶有鄰近測試參數(shù)的請求數(shù)據(jù)包;
[0015] 2)經(jīng)過該公共場所的移動終端用戶的無線接收器接收到該公共場所的定位服務 器廣播的鄰近測試的請求數(shù)據(jù)包,并且提取出請求數(shù)據(jù)包中的各個具體參數(shù)值,移動終端 用戶根據(jù)請求參數(shù)開始監(jiān)聽周圍環(huán)境的無線信號,并在請求的持續(xù)時間內(nèi)測量每個接收到 的周圍環(huán)境數(shù)據(jù)包中定位服務器指定的特征;
[0016] 3)在請求的持續(xù)時間過后,移動終端用戶獲得了一系列周圍環(huán)境數(shù)據(jù)包,并且提 取和存儲每個數(shù)據(jù)包的4種物理特征,所述4種物理特征包括周圍環(huán)境數(shù)據(jù)包的RSSIs、數(shù) 據(jù)包的到達時間、數(shù)據(jù)包的MAC地址、接收到的數(shù)據(jù)包的序列號,移動終端用戶利用獲得的 所述物理特征形成的一組數(shù)據(jù)構(gòu)造一個定位標簽,所述定位標簽由兩種標簽組成:一種私 密定位標簽,由4種物理特征中的數(shù)據(jù)包的到達時間構(gòu)成并由移動終端用戶持有;另一種 為公共定位標簽,由剩下的3種物理特征數(shù)據(jù)構(gòu)成,并將公共定位標簽發(fā)送給所在公共場 所的定位服務器,其中周圍環(huán)境數(shù)據(jù)包的RSSIs用于移動終端用戶的認證、數(shù)據(jù)包的MAC地 址和接收到的數(shù)據(jù)包的序列號用于識別周圍環(huán)境數(shù)據(jù)包;
[0017] 4)定位服務器認證移動終端用戶;
[0018] 5)定位服務器獲得移動終端用戶發(fā)送來的公共定位標簽,并與定位服務器的蹤跡 進行比較,來識別定位服務器和移動終端用戶共享的數(shù)據(jù)包,所述定位服務器的蹤跡,即在 定位服務器規(guī)定的持續(xù)時間內(nèi),定位服務器所獲得的周圍環(huán)境數(shù)據(jù)包的指定特征構(gòu)成的一 組數(shù)據(jù),兩組數(shù)據(jù)的比較就可以確定定位服務器和移動終端用戶在公共場所內(nèi)所共享的數(shù) 據(jù)包,隨后,定位服務器遵循一個密鑰產(chǎn)生算法,建立一個會話密鑰;
[0019] 6)移動終端用戶根據(jù)移動終端用戶自己的秘密位置標簽和獲得的共享數(shù)據(jù)包的 索引,產(chǎn)生自己的會話密鑰。
[0020] 在步驟1)中,所述鄰近測試策略的參數(shù),包括傳輸數(shù)據(jù)需要的信道、鄰近測試的 持續(xù)時間、指定需要監(jiān)測的周圍信號的物理特征;所述物理特征包括周圍環(huán)境數(shù)據(jù)包的 RSSIs、數(shù)據(jù)包的到達時間、數(shù)據(jù)包的MAC地址、接收到的數(shù)據(jù)包的序列號,所述MAC地址是 指物理地址,即發(fā)送該數(shù)據(jù)包的無線設備的唯一身份標識。
[0021] 在步驟2)中,所述指定的特征為移動終端用戶提取并存儲的周圍數(shù)據(jù)包的 RSSIs、到達時間、MAC地址、序列號。
[0022] 在步驟4)中,所述定位服務器認證移動終端用戶的具體方法可為:
[0023] 公共場所中的定位服務器對移動終端用戶的定位,即判斷移動終端是否在服 務器的鄰近范圍之內(nèi),不僅需要移動終端發(fā)送來的公共定位標簽的RSSIs的數(shù)據(jù),而 且需要定位服務器自身在同個持續(xù)時間內(nèi)從周圍環(huán)境獲取的數(shù)據(jù)包的RSSIs,即記錄
【權(quán)利要求】
1. 一種鄰近移動終端用戶間的認證方法,其特征在于包括以下步驟: 1) 公共場所的定位服務器根據(jù)需要控制的鄰近范圍,初始化鄰近測試策略的參數(shù),公 共場所的定位服務器和進入公共場所鄰近范圍的移動終端用戶識別周圍環(huán)境中的WiFi熱 點,確定周圍環(huán)境中存在不同WiFi熱點的數(shù)目,然后公共場所的定位服務器向周圍環(huán)境無 線廣播帶有鄰近測試參數(shù)的請求數(shù)據(jù)包; 2) 經(jīng)過該公共場所的移動終端用戶的無線接收器接收到該公共場所的定位服務器廣 播的鄰近測試的請求數(shù)據(jù)包,并且提取出請求數(shù)據(jù)包中的各個具體參數(shù)值,移動終端用戶 根據(jù)請求參數(shù)開始監(jiān)聽周圍環(huán)境的無線信號,并在請求的持續(xù)時間內(nèi)測量每個接收到的周 圍環(huán)境數(shù)據(jù)包中定位服務器指定的特征; 3) 在請求的持續(xù)時間過后,移動終端用戶獲得了一系列周圍環(huán)境數(shù)據(jù)包,并且提取和 存儲每個數(shù)據(jù)包的4種物理特征,所述4種物理特征包括周圍環(huán)境數(shù)據(jù)包的RSSIs、數(shù)據(jù)包 的到達時間、數(shù)據(jù)包的MAC地址、接收到的數(shù)據(jù)包的序列號,移動終端用戶利用獲得的所述 物理特征形成的一組數(shù)據(jù)構(gòu)造一個定位標簽,所述定位標簽由兩種標簽組成:一種私密定 位標簽,由4種物理特征中的數(shù)據(jù)包的到達時間構(gòu)成并由移動終端用戶持有;另一種為公 共定位標簽,由剩下的3種物理特征數(shù)據(jù)構(gòu)成,并將公共定位標簽發(fā)送給所在公共場所的 定位服務器,其中周圍環(huán)境數(shù)據(jù)包的RSSIs用于移動終端用戶的認證、數(shù)據(jù)包的MAC地址和 接收到的數(shù)據(jù)包的序列號用于識別周圍環(huán)境數(shù)據(jù)包; 4) 定位服務器認證移動終端用戶; 5) 定位服務器獲得移動終端用戶發(fā)送來的公共定位標簽,并與定位服務器的蹤跡進行 比較,來識別定位服務器和移動終端用戶共享的數(shù)據(jù)包,所述定位服務器的蹤跡,即在定位 服務器規(guī)定的持續(xù)時間內(nèi),定位服務器所獲得的周圍環(huán)境數(shù)據(jù)包的指定特征構(gòu)成的一組數(shù) 據(jù),兩組數(shù)據(jù)的比較確定定位服務器和移動終端用戶在公共場所內(nèi)所共享的數(shù)據(jù)包,隨后, 定位服務器遵循一個密鑰產(chǎn)生算法,建立一個會話密鑰; 6) 移動終端用戶根據(jù)移動終端用戶自己的秘密位置標簽和獲得的共享數(shù)據(jù)包的索引, 產(chǎn)生自己的會話密鑰。
2. 如權(quán)利要求1所述一種鄰近移動終端用戶間的認證方法,其特征在于在步驟1)中, 所述鄰近測試策略的參數(shù),包括傳輸數(shù)據(jù)需要的信道、鄰近測試的持續(xù)時間、指定需要監(jiān)測 的周圍信號的物理特征。
3. 如權(quán)利要求2所述一種鄰近移動終端用戶間的認證方法,其特征在于所述物理特征 包括周圍環(huán)境數(shù)據(jù)包的RSSIs、數(shù)據(jù)包的到達時間、數(shù)據(jù)包的MAC地址、接收到的數(shù)據(jù)包的 序列號,所述MAC地址是指物理地址,即發(fā)送該數(shù)據(jù)包的無線設備的唯一身份標識。
4. 如權(quán)利要求1所述一種鄰近移動終端用戶間的認證方法,其特征在于在步驟2)中, 所述指定的特征為移動終端用戶提取并存儲的周圍數(shù)據(jù)包的RSSIs、到達時間、MAC地址、 序列號。
5. 如權(quán)利要求1所述一種鄰近移動終端用戶間的認證方法,其特征在于在步驟4)中, 所述定位服務器認證移動終端用戶的具體方法為: 公共場所中的定位服務器對移動終端用戶的定位,即判斷移動終端是否在服務 器的鄰近范圍之內(nèi),不僅需要移動終端發(fā)送來的公共定位標簽的RSSIs的數(shù)據(jù),而且 需要定位服務器自身在同個持續(xù)時間內(nèi)從周圍環(huán)境獲取的數(shù)據(jù)包的RSSIs,即記錄
?其中s、C分別為公共場所的定位服務器和移動 終端用戶,N為持續(xù)時間內(nèi)收到的周圍數(shù)據(jù)包個數(shù),前N項為定位服務器的蹤跡,即定位服 務器在持續(xù)時間內(nèi)收到的周圍數(shù)據(jù)包的信號強度指示值,η為記錄的特征數(shù),這里n = 2N ; 同理,后Ν項為客戶端發(fā)送來的公共定位標簽的RSSIs ; 記錄中的每一項都記為Xi,且1彡i彡η = 2N,由于固定時間收到的數(shù)據(jù)包是有限的, 因此Ν不能為無窮大,Ν為正整數(shù),為了進行比較RSSIs獲得共享的周圍數(shù)據(jù)包,要對記錄 分類,過程如下: (1) 對記錄的每一項建立非參數(shù)貝葉斯模型,得出概率分布函數(shù)為:
其中k表示信號強度指示Xi由k個高斯分布和構(gòu)成,π i為高斯分布的權(quán)重
N( ·)為高斯分布,μ i,(分別為第1個高斯分布的均值和方差,上式對記錄的每一個RSSI 進行建模,則具有η個概率分布函數(shù); (2) 根據(jù)步驟(1)中建模的結(jié)果對每個RSSI進行分類,記錄Xi = rssii屬于某一類Ci =i的備件概率為:
其中n_u表示在Xi這一項之前屬于類j的數(shù)據(jù)個數(shù),q在Xi這一項之前的c值表示, α為集中參數(shù),α >〇 ; (3) 若在Xi這一項之前屬于類j的數(shù)據(jù)個數(shù)為0,即n_i,」=0,則記錄Xi = rssii屬于 某一類q = j的條件概率為:
(4) 最后得到分類指示器c的條件后驗概率為: p (Ci = j I C-" α,μ j,Sj)?p (Ci = j I C-" a ) p (Xi | C-" μ j,Sj) 然后定位服務器根據(jù)上式,對觀察獲得的記錄x進行計算分類指示器c的值,計算得到 的Ci不同值的個數(shù)說明了周圍環(huán)境信號的接收者是不是在定位服務器鄰近范圍之內(nèi),理想 情況下,若所有的 Ci的值相同,則說明移動終端用戶在定位服務器鄰近范圍內(nèi),否則就不在 范圍之內(nèi)。
【文檔編號】H04W12/04GK104093145SQ201410383938
【公開日】2014年10月8日 申請日期:2014年8月7日 優(yōu)先權(quán)日:2014年8月7日
【發(fā)明者】肖亮, 劉金亮, 陳天花, 唐余亮, 黃聯(lián)芬 申請人:廈門大學