一种基于硬件本征差异的电网NFC设备指纹认证方法转让专利
申请号 : CN201911295532.1
文献号 : CN111144522B
文献日 : 2021-01-08
发明人 : 冀晓宇 , 徐文渊 , 颜秉晶 , 吕志宁 , 刘威 , 汪伟
申请人 : 浙江大学 , 深圳供电局有限公司
摘要 :
本发明公开了一种基于硬件本征差异的电网NFC设备指纹认证方法,包括NFC交换信息时模拟信号采集、数据预处理、特征提取、安全NFC模型建立、攻击者设备检测。通过对电网NFC设备交换信息时的模拟信号进行分类,选择硬件本征差异作为设备接入的判断依据,并通过模型训练获取NFC设备数据库,与NFC设备进行一对一的认证,从而判断接入设备是否异常。本发明是模拟态安全机制在物联网辨识领域的应用,模拟态内在的复杂机理使得硬件本征信息难以仿造,具有较高的安全性,有效解决了物联网NFC设备的设备身份辨识问题。
权利要求 :
1.一种基于硬件本征差异的电网NFC设备指纹认证方法,其特征在于包括如下步骤:(1)将未受攻击的NFC设备接入系统,获取NFC设备的扇区内编号;
(2)设计硬件本征信息的激励信号,采集未受攻击的NFC设备的模拟信号,得到未受攻击的NFC设备硬件本征信息;
(3)对步骤(2)得到的硬件本征信息去除异常值,然后进行平滑滤波和归一化处理,提取归一化后的硬件本征信息的初始特征并进行特征筛选,获得特征集;
所述去除异常值,具体为剔除不稳定的硬件的模拟信号,计算公式如下:
1≤i
其中, 表示硬件本征信息自身稳定性指标, 表示硬件本征信息差异性指标, 表示t时刻的第i个硬件的第h个特征向量, 表示第i个硬件的第k个特征向量,表示第i个硬件的第h个特征向量,USB为硬件本征差异可用性,USB∈[0,1];TH为区分不同硬件设备的阈值,当USB值>TH值时,保留该硬件的模拟信号,否则剔除;num(·)表示集合的元素数量,T表示时间,n表示设备的硬件数目;
(4)采用步骤(3)得到的特征集对N种分类器进行训练,并通过分类器的F分数对分类器进行排序,选取F分数最高的分类器作为训练分类器,得到训练分类器的输出结果;
(5)重复步骤(1)-(4),将步骤(1)得到的未受攻击的NFC设备的扇区内编号和步骤(4)得到的未受攻击的NFC设备对应的训练分类器及其输出结果存入数据库;
(6)采集待检测的NFC设备的扇区内编号,判断扇区内编号是否被数据库收入,若是,则执行步骤(7),若否,则待检测的NFC设备为未经数据库录入的设备,在确认其未受攻击的情况下重复步骤(1)-(5),对数据库进行更新;
(7)采集待检测的NFC设备的硬件本征信息,通过步骤(3)-(4)得到训练分类器及其输出结果,与数据库进行对比,若待检测的NFC设备的训练分类器及其输出结果与扇区内编号匹配,则待检测的NFC设备认证成功,允许接入;若否,则待检测的NFC设备认证失败,拒绝接入并发出警告。
2.如权利要求1所述一种基于硬件本征差异的电网NFC设备指纹认证方法,其特征在于所述步骤(2)具体为:NFC设备接入系统后与系统进行数据交换,使用通用软件无线电外围或者NFC卡片及读写器采集数据交换时的NFC设备的模拟信号,Si=fi(d)
其中Si表示第i个硬件的模拟信号,i∈{1,2,...,n},n表示设备的硬件数目,d为硬件本征信息的激励信号,fi(d)为从输入激励信号到硬件输出模拟信号的计算,与硬件的本征信息有关;
根据采集得到的NFC设备的模拟信号,进一步得到未受攻击的NFC设备硬件本征信息。
3.如权利要求1所述一种基于硬件本征差异的电网NFC设备指纹认证方法,其特征在于步骤(3)所述的初始特征包括时域特征、频域特征、小波域特征和概率密度分布特征。
4.如权利要求1所述一种基于硬件本征差异的电网NFC设备指纹认证方法,其特征在于所述步骤(4)具体如下:步骤4.1:设置一个线性分类器:f=WTx+b,其中f是NFC设备的扇区编号,W是分类器中每一维特征相应的系数,b是偏置常数;
步骤4.2:选取损失函数: 其中M表示特征集中的特
征向量数目,yi表示模型的输出;
步骤4.3:特征筛选过程中,没有被选中的冗余特征系数为零,优化目标公式表示为:其中||W||0表示xi的权重;
步骤4.4:利用最小二乘法对优化目标公式进行求解;
步骤4.5:重复步骤4.1-4.4,完成对N种分类器的训练,并通过分类器的F分数对分类器进行排序,选取F分数最高的分类器作为训练分类器,并得到训练分类器的输出结果。
说明书 :
一种基于硬件本征差异的电网NFC设备指纹认证方法
技术领域
[0001] 本发明属于智能电网安全领域,涉及一种基于硬件本征差异的电网NFC设备指纹认证方法。
背景技术
[0002] 电力系统与我们的生活密切相关,作为电能生产、传输的平台,其需要满足可靠性、灵活性和经济性的要求。随着电力系统信息化程度的快速提升,电网朝着更智能化的方向不断发展。然而电力物联网在海量异构物联终端的系统安全、软件可信、安全接入、数据采集、智能管控等方面均面临严重的网络安全问题。目前在智能电网中,电气一、二次设备名牌、标签等逐渐向着电子化方向发展,在现场设备中应用电子式标签,对电气设备名牌、参数和具体运行的实际情况等进行记录,同时,为用户提供相应的数据库引索信息。在智能化电网中的备品备件管理中,仓库需要对全部备品备件均贴上利用NFC技术的电子标签,在备品进行具体的出库过程中,可以借助非接触形式的终端自动记录进出库情况,同时,还可以构建相应的库存数据。且NFC设备容易受到攻击者的攻击,例如:修改位于0扇区的初始编号以混淆正确和错误的设备、采集正确通过验证时的信号进行重放攻击以通过验证等。在这种情况下,仅仅通过NFC本身携带的数据进行辨认已经不足以保证电网的安全。因此,对NFC设备进行硬件指纹认证检测判断并确认其安全性成为了一个亟待解决的问题。
[0003] 目前针对智能电网场景下设备的安全研究主要集中在访问控制以及安全评估模型方面,对NFC设备的指纹认证问题研究不多。本发明中提出的基于硬件本征差异的方法是指利用NFC设备硬件本征差异作为辨识依据,使用机器学习对其进行分类识别。硬件本征差异即硬件本身固有的差异,是由于设备生产工艺的不完美而留存在硬件中的微小差异,携带有设备硬件的本征信息。在NFC设备进行资料交换时,可以提取到含有硬件本征差异的数据,对该数据进行处理后,利用机器学习模型进行分析辨认,即使攻击者复制了其扇区内的数据,电网系统也可以对正确NFC设备进行一对一的认证,保证系统安全。
发明内容
[0004] 本发明提供的基于硬件本征差异的一种电网NFC设备指纹认证方法采集硬件本征信息所需的激励信号,通过对数据预处理和特征提取,参照模拟态安全机理分析与建模的方法构造硬件本征映射,通过机器学习的方式可以近似构造出硬件本征映射,从而用于设备身份辨识。本发明公开了一种基于硬件本征差异的一种电网NFC设备指纹认证方法,采用的技术方案具体如下:
[0005] 1.将未受攻击的NFC设备接入系统,获取NFC设备的扇区内编号;
[0006] 2.设计硬件本征信息的激励信号,采集未受攻击的NFC设备的模拟信号,得到未受攻击的NFC设备硬件本征信息;
[0007] 3.对步骤2得到的硬件本征信息去除异常值,然后进行平滑滤波和归一化处理,提取归一化后的硬件本征信息的初始特征并进行特征筛选,获得特征集;
[0008] 4.采用步骤3得到的特征集对N种分类器进行训练,并通过分类器的F分数对分类器进行排序,选取F分数最高的分类器作为训练分类器,得到训练分类器的输出结果;
[0009] 5.重复步骤1-4,将步骤1得到的未受攻击的NFC设备的扇区内编号和步骤4得到的未受攻击的NFC设备对应的训练分类器及其输出结果存入数据库;
[0010] 6.采集待检测的NFC设备的扇区内编号,判断扇区内编号是否被数据库收入,若是,则执行步骤7,若否,则待检测的NFC设备为未经数据库录入的设备,在确认其未受攻击的情况下重复步骤1-5,对数据库进行更新;
[0011] 7.采集待检测的NFC设备的硬件本征信息,通过步骤3-4得到训练分类器及其输出结果,与数据库进行对比,若待检测的NFC设备的训练分类器及其输出结果与扇区内编号匹配,则待检测的NFC设备认证成功,允许接入;若否,则待检测的NFC设备认证失败,拒绝接入并发出警告。
[0012] 进一步的,所述步骤2具体为:
[0013] NFC设备接入系统后与系统进行数据交换,使用通用软件无线电外围或者NFC卡片及读写器采集数据交换时的NFC设备的模拟信号,
[0014] Si=fi(d)
[0015] 其中Si表示第i个硬件的模拟信号,i∈{1,2,…,n},n表示设备的硬件数目,d为硬件本征信息的激励信号,fi(d)为从输入激励信号到硬件输出模拟信号的计算,与硬件的本征信息有关;
[0016] 根据采集得到的NFC设备的模拟信号,进一步得到未受攻击的NFC设备硬件本征信息。
[0017] 进一步的,步骤3所述去除异常值,具体为剔除不稳定的硬件的模拟信号,计算公式如下:
[0018]
[0019] 1≤i
[0020]
[0021]
[0022] 其中, 表示硬件本征信息自身稳定性指标, 表示硬件本征信息差异性指标, 表示t时刻的第i个硬件的第h个特征向量, 表示第i个硬件的第k个特征向量, 表示第i个硬件的第h个特征向量,USB为硬件本征差异可用性(F∈[0,1]),TH为区分不同硬件设备的阈值,当USB值>TH值时,保留该硬件的模拟信号,否则剔除;num(·)表示集合的元素数量,T表示时间。
[0023] 其中,步骤3所述的初始特征包括时域特征、频域特征、小波域特征和概率密度分布特征。
[0024] 进一步的,所述步骤4具体如下:
[0025] 步骤4.1:设置一个线性分类器:f=WTSi+b,其中f是NFC设备的扇区编号,W是分类器中每一维特征相应的系数,b是偏置常数;
[0026] 步骤4.2:选取损失函数: 其中M表示特征集中的特征向量数目,yi表示模型的输出;
[0027] 步骤4.3:特征筛选过程中,没有被选中的冗余特征系数为零,优化目标公式表示为: 其中||W||0表示Si的权重;
[0028] 步骤4.4:利用最小二乘法对优化目标公式进行求解;
[0029] 步骤4.5:重复步骤4.1-4.4,完成对N种分类器的训练,并通过分类器的F分数对分类器进行排序,选取F分数最高的分类器作为训练分类器,并得到训练分类器的输出结果。
[0030] 本发明的有益效果:
[0031] (1)本发明中NFC设备指纹认证的流程包括NFC交换信息时模拟信号采集、数据预处理、特征提取、安全NFC模型建立、攻击者设备检测。通过对电网NFC设备交换信息时的模拟信号进行分类,选择硬件本征差异作为设备接入的判断依据,并通过模型训练获取NFC设备数据库,与NFC设备进行一对一的认证,从而判断接入设备是否异常,具有较高的安全性,有效解决了物联网NFC设备的设备身份辨识问题。
[0032] (2)本发明是模拟态安全机制在物联网辨识领域的应用,模拟态内在的复杂机理使得硬件本征信息难以仿造。
附图说明
[0033] 图1是本发明方法的总体框图;
[0034] 图2是模块框图;
[0035] 图3是方法流程图。
具体实施方式
[0036] 本发明提供的基于硬件本征差异的一种电网NFC设备指纹认证方法,采集硬件本征信息所需的激励信号,通过对数据预处理和特征提取,参照模拟态安全机理分析与建模的方法构造硬件本征映射,通过机器学习的方式可以近似构造出硬件本征映射,从而用于设备身份辨识。本发明提供的一种基于硬件本征差异的一种电网NFC设备指纹认证方法,其结构框图如图1所示,本发明的研究基于硬件本征差异的设备辨识技术,首先研究硬件本征差异的可用性,结合硬件的物理特性及生产工艺,分析硬件本征差异的分辨度,验证硬件本征差异满足设备辨识需求;然后研究基于硬件本征差异的设备辨识系统的设计与应用,描绘硬件本征信息特征,利用机器学习方法分类识别,设计物联网设备的设备接入认证机制及在线辨识方法。。本发明中的方法涉及的主要模块如图2所示,分为设备硬件本征差异信号采集模块、信号预处理模块、信号特征提取模块和设备指纹认证模块。
[0037] 研究基于硬件本征差异的设备辨识技术,需要分析评估硬件本征差异的可用性。首先分析NFC设备的组成、结构,测试其采样频率、分辨率等信息,结合设备的计算性能、现有接口及设备的硬件物理特性和生产工艺,按照模拟态安全机理分析与建模的方法构造硬件本征映射Si=fi(d),i∈{1,2,…,n};其中其中Si表示第i个硬件的模拟信号,i∈{1,
2,…,n},n表示设备的硬件数目,d为硬件本征信息的激励信号,fi(d)为从输入激励信号到硬件输出模拟信号的计算,与硬件的本征信息有关;
2,…,n},n表示设备的硬件数目,d为硬件本征信息的激励信号,fi(d)为从输入激励信号到硬件输出模拟信号的计算,与硬件的本征信息有关;
[0038] 通过机器学习的方式可以近似构造出硬件本征映射 从而用于设备身份辨识。
[0039] 为定量分析硬件本征差异对于NFC设备身份辨识的可用性,需要同时考虑对于硬件本征信息的自身稳定性,构造硬件本征信息自身稳定性指标及硬件本征信息差异性指标 其中 表示硬件本征
信息自身稳定性指标, 表示硬件本征信息差异性指标, 表示t时刻的第i个硬件的第h个特征向量, 表示第i个硬件的第k个特征向量, 表示第i个硬件的第h个特征向量。则硬件本征差异可用性USB可以用下式表示:
信息自身稳定性指标, 表示硬件本征信息差异性指标, 表示t时刻的第i个硬件的第h个特征向量, 表示第i个硬件的第k个特征向量, 表示第i个硬件的第h个特征向量。则硬件本征差异可用性USB可以用下式表示:
[0040]
[0041] 1≤i
[0042] 其中USB为硬件本征差异可用性(F∈[0,1]),TH为区分不同硬件设备的阈值,当USB值>TH值时,保留该硬件的模拟信号,否则剔除;num(·)表示集合的元素数量,T表示时间。该公式说明硬件本征差异可用性USB既取决于硬件本征信息的自身稳定性,也取决于硬件本征信息的差异性。搭建硬件本征差异可用性分析实验平台,在给定激励d的条件下采集设备的模拟信号S,计算设备的硬件本征差异可用性以验证基于硬件本征差异的设备辨识技术的可行性。
[0043] 在设备硬件本征差异信号采集模块中,设计硬件本征信息的激励信号d。激励信号d的形式主要分为主动激励法和被动检测法两类。其中主动激励法利用物联网设备程序现有的接口,命令物联网设备执行一个指定的操作,采集设备内置传感器的数据或通过外置传感器采集模拟信号作为硬件本征信息,被动检测法利用物联网设备在运行状态时的内置传感器信息或通过外置传感器采集得到的模拟信号作为硬件本征信息。本发明主要利用主动激励法,在NFC设备交换数据时使用通用软件无线电外围设备(USRP)采集信号。USRP是一种能够接收无线信号并以复杂格式输出信号的设备。
[0044] NFC(Near Field CommunicaTIon)近场通信技术,又称近距离无线通信,是一种短距离的高频无线通信技术,允许电子设备之间进行非接触式点对点数据传输(在十厘米内)交换数据。这个技术由免接触式射频识别(RFID)演变而来,并向下兼容RFID。与RFID一样,NFC信息也是通过频谱中无线频率部分的电磁感应耦合方式传递。NFC通过设备之间进行非接触式点对点数据传输(在十厘米内)交换数据。该模式和红外线差不多,可用于数据交换,只是传输距离较短,传输创建速度较快,传输速度也快些,并且功耗低。NFC工作频率为13.56MHz、ASK调变,传输速率可分为106kbps/212kbps/424kbps三种,通信模式可分为主动模式与被动模式。本发明采用被动模式,使用NFC卡片及读写器,采集它们数据交换时的信号,获取设备的硬件本征信息。
[0045] 在信号预处理模块中,对采集到的硬件本征信息进行预处理,首先通过离群点检测算法去除异常值,再选择合适的滤波器进行平滑滤波,最后将数据通过零均值规范化将数据映射到均值为0,方差为1的数据集上。
[0046] 在信号特征提取模块中,提取硬件本征信息的初始特征,包括时域、频域及小波域特征,如最大值、最小值、平均值、频谱均值等,以及能够较好表达信号特点的概率密度分布特征,对特征进行排序并降至合适的维数。为了降低计算复杂度,需要对提取的初始特征进行筛选。本发明中采用了筛选最优特征的算法具体实施步骤如下:
[0047] 步骤1:设置一个线性分类器:f=WTx+b,其中f是NFC设备的扇区编号,x是一个N维特征向量,W是分类器中每一维特征相应的系数,b是偏置常数。
[0048] 步骤2:选取损失函数: 其中M表示输入样本个数。
[0049] 步骤3:由于在筛选特征的过程中,没有被选中的冗余特征系数应该为零,因此优化目标表示为:
[0050] 步骤4:利用最小二乘法对上式进行求解。最终通过求解上式选取了12个最优特征。
[0051] 利用测试样本对模型进行性能评估验证,根据评估结果对模型参数进行调整,提高设备辨识的稳定性和准确性。
[0052] 在设备指纹认证模块中,设计设备接入认证机制及在线辨识方法。当设备请求入网时,应用软件调用系统API(Application Programming Interface,应用程序编程接口)获取NFC扇区内信息并上传至设备认证中心,采集设备模拟信息并输入训练好的分类器中,辨识设备身份。
[0053] 如图3所述为本发明的流程图,具体如下:
[0054] 1.将未受攻击的NFC设备接入系统,获取NFC设备的扇区内编号;
[0055] 2.设计硬件本征信息的激励信号,采集未受攻击的NFC设备的模拟信号,得到未受攻击的NFC设备硬件本征信息;
[0056] 3.对步骤2得到的硬件本征信息去除异常值,然后进行平滑滤波和归一化处理,提取归一化后的硬件本征信息的初始特征并进行特征筛选,获得特征集;
[0057] 4.采用步骤3得到的特征集对N种分类器进行训练,并通过分类器的F分数对分类器进行排序,选取F分数最高的分类器作为训练分类器,得到训练分类器的输出结果;
[0058] 5.重复步骤1-4,将步骤1得到的未受攻击的NFC设备的扇区内编号和步骤4得到的未受攻击的NFC设备对应的训练分类器及其输出结果存入数据库;
[0059] 6.采集待检测的NFC设备的扇区内编号,判断扇区内编号是否被数据库收入,若是,则执行步骤7,若否,则待检测的NFC设备为未经数据库录入的设备,在确认其未受攻击的情况下重复步骤1-5,对数据库进行更新;
[0060] 7.采集待检测的NFC设备的硬件本征信息,通过步骤3-4得到训练分类器及其输出结果,与数据库进行对比,若待检测的NFC设备的训练分类器及其输出结果与扇区内编号匹配,则待检测的NFC设备认证成功,允许接入;若否,则待检测的NFC设备认证失败,拒绝接入并发出警告。