摘" 要:隨著工業(yè)聯(lián)網(wǎng)4.0的推行與落地,用戶對(duì)通信網(wǎng)絡(luò)高安全性的需求也日益增加。由于物聯(lián)網(wǎng)終端傳感器資源受限,傳統(tǒng)網(wǎng)絡(luò)協(xié)議難以實(shí)現(xiàn)海量入網(wǎng)設(shè)備的安全認(rèn)證。基于計(jì)算復(fù)雜度的傳統(tǒng)身份認(rèn)證技術(shù)已經(jīng)不再適用于新型工業(yè)物聯(lián)網(wǎng)場(chǎng)景?;谖锢韺訉傩缘陌踩夹g(shù)因具有復(fù)雜性低和輕量級(jí)的優(yōu)勢(shì),而成為上層安全機(jī)制的重要補(bǔ)充。在工業(yè)4.0通信場(chǎng)景中,已有身份驗(yàn)證方案研究重點(diǎn)放在了識(shí)別分類合法和非法設(shè)備,沒(méi)有針對(duì)不同安全級(jí)別的資源設(shè)置不同訪問(wèn)權(quán)限。文章基于工業(yè)物聯(lián)網(wǎng)中物理層信道的特異性,提出了一種基于動(dòng)態(tài)認(rèn)證和多級(jí)授權(quán)技術(shù)的安全認(rèn)證方案。具體而言首先構(gòu)建了一種信道估計(jì)矩陣的分布函數(shù)與卷積映射一一對(duì)應(yīng)的關(guān)系網(wǎng)絡(luò),其次提出使用支持向量機(jī)作為分類器,然后根據(jù)惡意設(shè)別信道屬性的不同來(lái)區(qū)分身份,最終引入了一個(gè)基于多級(jí)授權(quán)分類的異常檢測(cè)框架,同時(shí)通過(guò)仿真分析驗(yàn)證了多級(jí)授權(quán)技術(shù)優(yōu)越性。
" 關(guān)鍵詞:工業(yè)物聯(lián)網(wǎng);動(dòng)態(tài)認(rèn)證;多級(jí)別授權(quán);信道屬性;物理層
" 中圖分類號(hào):F253.9" " 文獻(xiàn)標(biāo)志碼:A" " DOI:10.13714/j.cnki.1002-3100.2025.05.016
Abstract: With the advancement and implementation of Industrial Internet of Things(IIoT)4.0, the demand for high security in communication networks is increasing. Due to the limited resources of terminal sensors, traditional network protocols face challenges in achieving secure authentication for a large number of connected devices. Traditional identity authentication technologies based on computational complexity are no longer suitable for new scenarios. Security technologies based on physical layer attributes have become an important supplement to upper-layer security mechanisms due to their advantages of low complexity and lightweight. In the communication scenarios of Industry 4.0, existing authentication scheme research has focused on identifying and classifying legitimate and illegitimate devices, without setting different access permissions for different security levels. In this paper, based on the specificity of the physical layer channel in IIoT, we propose a security authentication scheme based on dynamic authentication and multi-level authorization technologies. Specifically, we first establish a network that correlates the distribution function of the channel estimation matrix with convolution mapping, then suggest using support vector machine as a classifier, and differentiate identities based on different malicious channel attributes. Finally, we introduce an anomaly detection framework based on multi-level authorization classification and validate the superiority of multi-level authorization technology through simulation analysis.
Key words: industrial internet of things; dynamic authentication; multi-level authorization; channel attributes; physical layer
0" 引" 言
物聯(lián)網(wǎng)(IoT)被認(rèn)為是現(xiàn)代技術(shù)中最為重要的進(jìn)步之一,緊隨計(jì)算機(jī)和互聯(lián)網(wǎng)之后,常被譽(yù)為信息技術(shù)的第三次革命。工業(yè)無(wú)線網(wǎng)絡(luò)為工業(yè)4.0的發(fā)展提供了前所未有的機(jī)遇,旨在提升物理設(shè)備的智能性并在全球價(jià)值鏈和生產(chǎn)方式中帶來(lái)根本性變革[1]。由于智能物聯(lián)網(wǎng)設(shè)備的日益普及,物聯(lián)網(wǎng)在工業(yè)領(lǐng)域得到廣泛應(yīng)用,如交通、電網(wǎng)管理、物流、供應(yīng)鏈以及石油和礦業(yè)等領(lǐng)域[2]。智能制造的基礎(chǔ)是工業(yè)物聯(lián)網(wǎng),工業(yè)物聯(lián)網(wǎng)通過(guò)工業(yè)信息在智能設(shè)備上的運(yùn)行實(shí)現(xiàn)擁有各種功能的物聯(lián)網(wǎng)[3]。工業(yè)物聯(lián)網(wǎng)作為IoT的一個(gè)重要分支,是支撐智能生產(chǎn)和制造的一套關(guān)鍵智能技術(shù)體系[4]。如圖1所示,物聯(lián)網(wǎng)已經(jīng)成為“工業(yè)4.0”和“智能制造”的代名詞。物聯(lián)網(wǎng)與傳統(tǒng)無(wú)線網(wǎng)絡(luò)存在差異。首先,物聯(lián)網(wǎng)中傳感器的資源有限,無(wú)線節(jié)點(diǎn)的電池存儲(chǔ)容量相對(duì)較小且結(jié)構(gòu)簡(jiǎn)單、功耗低并且計(jì)算能力有限[5]。其次,傳統(tǒng)的加密技術(shù)并不完全適用于物聯(lián)網(wǎng)通信場(chǎng)景。在缺乏統(tǒng)一的安全認(rèn)證標(biāo)準(zhǔn)的情況下,難以實(shí)現(xiàn)實(shí)時(shí)準(zhǔn)確的安全認(rèn)證。再次,物聯(lián)網(wǎng)具有廣泛的應(yīng)用范圍,特定行業(yè)(如金融業(yè))對(duì)安全有更高的要求。
工業(yè)物聯(lián)網(wǎng)(IIoT)把萬(wàn)物互聯(lián),但同時(shí)也危及了傳統(tǒng)工業(yè)生產(chǎn)系統(tǒng)依賴于物理隔離和技術(shù)專業(yè)化的“封閉安全性”。因此,工業(yè)生產(chǎn)系統(tǒng)現(xiàn)在既面臨內(nèi)部安全威脅,也受到外部惡意攻擊的威脅。一些常見(jiàn)的針對(duì)工業(yè)物聯(lián)網(wǎng)的攻擊類型包括:
(1)勒索軟件。勒索軟件是一種使用惡意軟件加密工業(yè)物聯(lián)網(wǎng)設(shè)備上數(shù)據(jù)的攻擊類型。這種加密阻止對(duì)數(shù)據(jù)的訪問(wèn),直到支付贖金為止;
" (2)分布式拒絕服務(wù)(DDoS)。分布式拒絕服務(wù)攻擊通過(guò)超量的流量淹沒(méi)工業(yè)物聯(lián)網(wǎng)系統(tǒng),這使其無(wú)法運(yùn)作。這種攻擊會(huì)導(dǎo)致在線服務(wù)、網(wǎng)絡(luò)資源或機(jī)器無(wú)法提供給其預(yù)定用戶使用[6-7];
" (3)中間人攻擊(MITM)。中間人攻擊是一種“間接”的入侵攻擊,指將受入侵者控制的計(jì)算機(jī)虛擬放置在兩通信者之間,通過(guò)攔截工業(yè)物聯(lián)網(wǎng)設(shè)備之間的通信并更改,以訪問(wèn)敏感數(shù)據(jù)或控制系統(tǒng);
" (4)惡意軟件。工業(yè)物聯(lián)網(wǎng)應(yīng)用通常涉及部署在開(kāi)放環(huán)境中的節(jié)點(diǎn)[8]。惡意軟件可以感染工業(yè)物聯(lián)網(wǎng)設(shè)備,使網(wǎng)絡(luò)攻擊者能夠竊取數(shù)據(jù)、控制系統(tǒng)或造成損害;
" (5)物理攻擊。對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行破壞或篡改,比如拆除傳感器、破壞控制器等。攻擊者有能力訪問(wèn)工業(yè)物聯(lián)網(wǎng)設(shè)備和系統(tǒng),能夠竊取、修改或破壞這些設(shè)備。
" 任何工業(yè)物聯(lián)網(wǎng)入侵都可以分為3個(gè)層面:應(yīng)用層、通信層和物理層。工業(yè)物聯(lián)網(wǎng)應(yīng)用的每個(gè)層面使用不同的技術(shù),這會(huì)存在安全威脅并引發(fā)各種問(wèn)題。圖2展示了源自這三個(gè)層面的攻擊類型。針對(duì)這些挑戰(zhàn),傳統(tǒng)的安全措施涉及在上層使用加密算法。然而,這些既定的方法不斷受到計(jì)算能力增強(qiáng)的威脅不再適用于設(shè)備有限的無(wú)線網(wǎng)絡(luò)——工業(yè)物聯(lián)網(wǎng)[9]。
近年來(lái),物理層安全傳輸技術(shù)引起了廣泛關(guān)注。無(wú)線信道具有不可預(yù)測(cè)性和時(shí)變性,從實(shí)時(shí)信道特性中提取關(guān)鍵信息。該技術(shù)使合法接收方無(wú)需進(jìn)行上層處理,快速區(qū)分合法和非法發(fā)送方。此外,物理層安全傳輸技術(shù)具有高度兼容性。它可以通過(guò)補(bǔ)償上層密碼協(xié)議來(lái)提高通信系統(tǒng)的安全級(jí)別。因其固有屬性,物理層可以作為上層安全機(jī)制的補(bǔ)充。
" 為滿足工業(yè)物聯(lián)網(wǎng)的要求,提出了動(dòng)態(tài)認(rèn)證和多級(jí)授權(quán)技術(shù)。該技術(shù)通過(guò)對(duì)物理層信道觀測(cè)進(jìn)行多步驗(yàn)證,實(shí)現(xiàn)連續(xù)識(shí)別并增強(qiáng)安全性。傳統(tǒng)的身份認(rèn)證在滿足工業(yè)物聯(lián)網(wǎng)的安全需求方面存在不足,因?yàn)樗荒艽_定合法和非法信號(hào),而不能滿足進(jìn)一步的需求。例如,它無(wú)法為不同安全級(jí)別的資源分配不同的訪問(wèn)權(quán)限。為解決這一限制,本文引入了多級(jí)授權(quán)概念,具有較高安全級(jí)別的合法用戶可以訪問(wèn)相應(yīng)安全級(jí)別的資源。此外,考慮到工業(yè)物聯(lián)網(wǎng)環(huán)境的不斷變化,本文利用卷積神經(jīng)網(wǎng)絡(luò)(CNN)建立了信道估計(jì)矩陣分布函數(shù)和卷積圖。通過(guò)利用不同的支持向量機(jī)(SVM)根據(jù)惡意數(shù)據(jù)頻率識(shí)別和檢測(cè)各種數(shù)據(jù)類別,提出了一種用于異常測(cè)試的多支持向量機(jī)框架。該解決方案允許適應(yīng)時(shí)間變化,從而增強(qiáng)安全性。
本文分為幾個(gè)部分。第二節(jié)介紹了系統(tǒng)模型。第三節(jié)討論了基于C_S算法的動(dòng)態(tài)認(rèn)證和多級(jí)授權(quán)技術(shù)。第四節(jié)展示了模型的可行性。最后,第五節(jié)對(duì)整篇論文進(jìn)行了總結(jié)。
1" 系統(tǒng)模型
" 在無(wú)線靜態(tài)物聯(lián)網(wǎng)通信場(chǎng)景中,如圖3所示,合法物聯(lián)網(wǎng)設(shè)備(Alice)與被攻擊的基站(Bob)之間進(jìn)行無(wú)線通信。攻擊者(Eve)旨在模仿合法物聯(lián)網(wǎng)設(shè)備,并試圖未經(jīng)授權(quán)地訪問(wèn)系統(tǒng)以獲取非法利益或引入虛假數(shù)據(jù)。這可能導(dǎo)致未經(jīng)授權(quán)的訪問(wèn)、隱私泄露、物聯(lián)網(wǎng)應(yīng)用程序中的錯(cuò)誤決策等問(wèn)題。值得注意的是,該場(chǎng)景中的信道具有特定的特性,環(huán)境和信道屬性各不相同[10]。
2" 基于動(dòng)態(tài)認(rèn)證和多級(jí)授權(quán)的安全認(rèn)證技術(shù)
" 卷積神經(jīng)網(wǎng)絡(luò)是一種深度學(xué)習(xí)技術(shù),用于從圖像中提取特征進(jìn)行圖像分類。支持向量機(jī)是一種用于分類和回歸的機(jī)器學(xué)習(xí)技術(shù)。將這兩種技術(shù)結(jié)合起來(lái)可以提高圖像分類的準(zhǔn)確性,并將其定義為C_S算法。本節(jié)提出了一種使用兩層支持向量機(jī)方法的入侵檢測(cè)方法,如圖4所示。第一層涉及數(shù)據(jù)預(yù)處理和特征選擇,而第二層則訓(xùn)練模型并根據(jù)三種數(shù)據(jù)的信噪比應(yīng)用不同的檢測(cè)方法。關(guān)于該方法的進(jìn)一步細(xì)節(jié)將在下文中提供。
本段描述了一個(gè)過(guò)程涉及的詳細(xì)步驟:第一,進(jìn)行數(shù)據(jù)預(yù)處理以確保圖像的質(zhì)量和可用性;第二,使用CNN從圖像中提取特征;第三,將提取的特征轉(zhuǎn)換為SVM進(jìn)行進(jìn)一步處理;第四,使用轉(zhuǎn)換后的特征來(lái)訓(xùn)練一個(gè)使用SVM的分類模型;第五,使用測(cè)試數(shù)據(jù)評(píng)估模型以確定其準(zhǔn)確性。
" CNN模型通常利用多層卷積和池化操作來(lái)提取特征。然后使用全連接層將這些特征映射到最終的分類結(jié)果。該模型包括以下層次:
卷積層1(self.conv1)包括一個(gè)卷積層,一個(gè)ReLU激活函數(shù)和一個(gè)最大池化層。它接收單通道的輸入,如灰度圖像,并應(yīng)用32個(gè)大小為5x5的卷積核。卷積操作使用文件大小為2和步長(zhǎng)為1進(jìn)行。然后,應(yīng)用ReLU激活函數(shù),并通過(guò)2x2的最大池化層進(jìn)行降采樣。
" 卷積層2(self.conv2)是一個(gè)順序模塊,它以32個(gè)通道的特征圖作為輸入,這些特征圖是來(lái)自卷積層1的輸出。它使用16個(gè)大小為5×5的卷積核,卷積操作使用文件大小為2和步長(zhǎng)為1進(jìn)行。然后應(yīng)用ReLU激活函數(shù),通過(guò)2×2的最大池化層進(jìn)行降采樣。
" 全連接層(self.out)是一個(gè)線性層,將卷積層的輸出連接到最終的分類輸出。它接收卷積層2的展平輸出(通過(guò)使用input_x.view(input_x.size(0),-1)函數(shù)獲得),并應(yīng)用線性變換產(chǎn)生兩個(gè)輸出單元。這些輸出單元表示兩個(gè)類別的預(yù)測(cè)分?jǐn)?shù)。
核函數(shù)是SVM的關(guān)鍵組成部分,解決了將數(shù)據(jù)映射到高維空間時(shí)計(jì)算效率降低的問(wèn)題。本文使用三種類型的核函數(shù):徑向基函數(shù)(RBF)、多項(xiàng)式核函數(shù)和Sigmoid核函數(shù)。
" 在給定的代碼中,選擇了三種核函數(shù):RBF核函數(shù)、多項(xiàng)式核函數(shù)和Sigmoid核函數(shù)。這是為了展示在SVM模型中使用各種核函數(shù)的多功能性和有效性。每種核函數(shù)都具有獨(dú)特的數(shù)學(xué)特性和應(yīng)用場(chǎng)景,可以根據(jù)數(shù)據(jù)特征和問(wèn)題要求選擇合適的核函數(shù)。
3" 仿真結(jié)果分析
對(duì)于每種核函數(shù),使用標(biāo)準(zhǔn)的支持向量機(jī)訓(xùn)練模型。模型對(duì)異常數(shù)據(jù)的檢測(cè)率選擇在異常數(shù)據(jù)上具有最佳檢測(cè)效果的核函數(shù),并與不同的SVM組合進(jìn)行比較,以進(jìn)一步完成入侵?jǐn)?shù)據(jù)的檢測(cè)和識(shí)別。實(shí)驗(yàn)使用NSL數(shù)據(jù)集的“NSL-Tran_20%”作為訓(xùn)練集,以及“Test+”作為測(cè)試集。將異常數(shù)據(jù)的集合在中性化測(cè)試集中進(jìn)行訓(xùn)練,將其劃分為一類不同的攻擊。此時(shí),訓(xùn)練集和測(cè)試集的數(shù)據(jù)可表示為“Attack”、“Normal”和“Normal”。
然后,使用不同核函數(shù)的支持向量機(jī)進(jìn)行線性模型測(cè)試,實(shí)驗(yàn)結(jié)果顯示徑向基核函數(shù)在訓(xùn)練集和測(cè)試集上的準(zhǔn)確性優(yōu)于其他核函數(shù),因此在后續(xù)實(shí)驗(yàn)中使用徑向基核函數(shù)RBF作為不同SVM模型的核函數(shù)。
" 在入侵檢測(cè)中,數(shù)據(jù)的預(yù)測(cè)包括以下幾個(gè)率:真正率TP、假負(fù)率FN、真負(fù)率TN和假正率FP。TP指的是在訓(xùn)練模型檢測(cè)到的數(shù)據(jù)實(shí)際類別標(biāo)簽和預(yù)測(cè)標(biāo)簽都為正時(shí)。FN發(fā)生在數(shù)據(jù)的實(shí)際類別標(biāo)簽為正,但訓(xùn)練模型檢測(cè)到的數(shù)據(jù)的預(yù)測(cè)標(biāo)簽為負(fù)時(shí)。TN是指數(shù)據(jù)的實(shí)際類別標(biāo)簽和訓(xùn)練模型檢測(cè)到的數(shù)據(jù)預(yù)測(cè)標(biāo)簽都為負(fù)的情況。最后,F(xiàn)P發(fā)生在數(shù)據(jù)的實(shí)際類別標(biāo)簽為負(fù),但訓(xùn)練模型檢測(cè)到的數(shù)據(jù)預(yù)測(cè)標(biāo)簽為正時(shí)。
基于給定的TP、FN、TN和FP的定義,將這些指標(biāo)結(jié)合起來(lái)使用準(zhǔn)確率這一新評(píng)估指標(biāo)。準(zhǔn)確率定義為真正例和真負(fù)例的總和與真正例、真負(fù)例、假正例和假負(fù)例總和的比率。該指標(biāo)允許分析模型在分類樣本中的整體準(zhǔn)確率。更高的準(zhǔn)確率表明模型正確分類樣本的能力更強(qiáng)。如公式(8)所示:
4" 結(jié)" 論
本文研究了工業(yè)物聯(lián)網(wǎng)中的安全認(rèn)證,并提出了基于C_S算法的動(dòng)態(tài)多級(jí)別授權(quán)模型。在工業(yè)物聯(lián)網(wǎng)中,傳統(tǒng)的身份認(rèn)證只能確定合法和非法的信號(hào),不能滿足在不同安全級(jí)別的資源上設(shè)置不同訪問(wèn)權(quán)限等進(jìn)一步需求。因此,本文提出了多級(jí)別授權(quán),其中具有更高級(jí)別的合法用戶可以訪問(wèn)更高級(jí)別的安全資源。此外,考慮到工業(yè)物聯(lián)網(wǎng)處于不斷變化的環(huán)境,建立了通道估計(jì)矩陣分布函數(shù)和卷積圖。然后,利用不同的支持向量機(jī)根據(jù)惡意數(shù)據(jù)的頻率識(shí)別和檢測(cè)不同類別的數(shù)據(jù),呈現(xiàn)了一個(gè)用于異常測(cè)試的多支持向量機(jī)框架。該方案能夠適應(yīng)時(shí)間改變并增強(qiáng)安全性。最后,使用在工業(yè)環(huán)境中采樣的NSL數(shù)據(jù)集驗(yàn)證了基于C_S算法的動(dòng)態(tài)多層模型的有效性。
參考文獻(xiàn):
[1] B CHATTERJEE, D DAS, S MAITY, et al. RF-PUF: Enhancing IoT security through authentication of wireless nodes using in-situ machine learning[J]. IEEE Internet of Things Journal, 2019,6(1):388-398.
[2]" KOEN TANGE, MICHELE DE DONNO, XENOFON FAFOUTIS, et al. A systematic survey of industrial internet of things security: Requirements and fog computing opportunities[J]. IEEE Communications Surveys Tutorials, 2020,22(4):2489-2520.
[3] 邵澤華,劉彬,權(quán)亞強(qiáng),等. 智能制造工業(yè)物聯(lián)網(wǎng)體系研究與分析[J]. 物聯(lián)網(wǎng)技術(shù),2023,13(4):140-143.
[4] 王婷婷,甘臣權(quán),張祖凡. 面向工業(yè)物聯(lián)網(wǎng)的移動(dòng)邊緣計(jì)算研究綜述[J]. 計(jì)算機(jī)應(yīng)用與軟件,2023,40(1):1-10,65.
[5] 許航. 工業(yè)物聯(lián)網(wǎng)中基于生物模糊提取技術(shù)的三因素匿名認(rèn)證與密鑰協(xié)商方案研究[D]. 武漢:華中師范大學(xué),2023.
[6]" KASHIF NAVEED, HUI WU. Poster: A semi-supervised framework to detect botnets in IoT devices[C] // IFIP Networking Conference (Networking), 2020.
[7]" SYED MUHAMMAD SAJJAD, MUHAMMAD YOUSAF, HUMAIRA AFZAL, et al. eMUD: Enhanced manufacturer usage description for IoT botnets prevention on home wifi routers[J]. IEEE Access, 2020,8:164200-164213.
[8]" HIROKI KUZUNO, SHINTARO OTSUKA. Early detection of network incident using open security information[C] // In: 2018 32nd International Conference on Advanced Information Networking and Applications Workshops (WAINA), 2018.
[9]" CHAO LIN, DEBIAO HE, NEERAJ KUMAR, et al. Security and privacy for the internet of drones: Challenges and solutions[J]. IEEE Communications Magazine, 2018,56(1):64-69.
[10]" H FANG, X WANG, L HANZO. Learning-aided physical layer authentication as an intelligent process[J]. IEEE Trans Commun, 2019,67(3):2260-2273.