一種基于射頻指紋的Wi-Fi 6 用戶身份認(rèn)證方法*

薛 林

（上海物騏微電子有限公司，上海 201203）

0 引言

Wi-Fi 網(wǎng)絡(luò)作為開(kāi)放共享無(wú)線網(wǎng)絡(luò)，成為無(wú)線互聯(lián)的主流網(wǎng)絡(luò)。但目前Wi-Fi 網(wǎng)絡(luò)[1]的安全性是基于IEEE 802.11x 協(xié)議定義的身份認(rèn)證和加密算法，該方法屬于數(shù)據(jù)鏈路層的認(rèn)證方法，存在安全漏洞，容易被攻擊，非法用戶通過(guò)偵聽(tīng)和大量重復(fù)的嘗試獲得Wi-Fi 密鑰并不困難。此外，通常情況下，Wi-Fi 網(wǎng)絡(luò)接入密碼為多人所知，容易被有意或無(wú)意泄露；還有黑客盜取合法用戶設(shè)備媒體接入控制（Media Access Control，MAC）地址，采用假冒的MAC 地址進(jìn)入網(wǎng)絡(luò)的白名單。上述問(wèn)題對(duì)于安全級(jí)別較高的場(chǎng)所，如國(guó)家機(jī)關(guān)和企事業(yè)單位，將構(gòu)成嚴(yán)重的安全隱患。目前只能通過(guò)頻繁更換Wi-Fi 密碼來(lái)應(yīng)對(duì)，但是這樣又會(huì)帶來(lái)用戶使用不方便的問(wèn)題。

已有的解決方案是采用射頻指紋識(shí)別技術(shù)對(duì)用戶設(shè)備認(rèn)證，其工作原理是：在Wi-Fi 網(wǎng)絡(luò)中安裝偵聽(tīng)設(shè)備，接收網(wǎng)絡(luò)中所有客戶端設(shè)備發(fā)送的無(wú)線幀，并進(jìn)行解調(diào)獲得星座圖；由于不同設(shè)備的發(fā)射機(jī)特性不同，解調(diào)得到的星座圖會(huì)有差別，將該星座圖和已知合法用戶設(shè)備的星座圖進(jìn)行比對(duì)，確認(rèn)該設(shè)備是否有合法身份。Wi-Fi 6 物理層采用正交頻分多址（Orthogonal Frequency Division Multiple Access，OFDMA）[2-4]，各設(shè)備數(shù)據(jù)傳輸在時(shí)間上是重疊的，上述方法無(wú)法從時(shí)間上區(qū)分不同設(shè)備發(fā)送的無(wú)線幀，從而不能獲得某個(gè)設(shè)備的射頻指紋。而且星座圖和調(diào)制方式有關(guān)，同一個(gè)設(shè)備不同調(diào)制速率下的星座圖也各不相同，因此該識(shí)別方法局限性很大。

針對(duì)上述問(wèn)題，本文提出了一種適用于Wi-Fi 6 協(xié)議的射頻指紋技術(shù)，用于對(duì)用戶進(jìn)行身份驗(yàn)證。將該方法應(yīng)用在Wi-Fi AP 接收機(jī)上，對(duì)上行各用戶在OFDMA 的資源單元（Resource Unit，RU）[5-7]進(jìn)行提取，然后使用信道估計(jì)獲得各上行用戶設(shè)備的發(fā)射機(jī)射頻特征，再計(jì)算該射頻特征與已有合法接入設(shè)備射頻特征的相似度，確定用戶設(shè)備是否合法。使用該方法可有效彌補(bǔ)原有認(rèn)證方法的不足，實(shí)現(xiàn)更高等級(jí)的網(wǎng)絡(luò)安全。

1 認(rèn)證系統(tǒng)說(shuō)明

如圖1 所示，整個(gè)用戶身份認(rèn)證系統(tǒng)包括Wi-Fi 接入點(diǎn)（Access Point，AP）和認(rèn)證服務(wù)器（Authority Server，AS）。其中Wi-Fi AP 完成對(duì)接入用戶設(shè)備（Station，STA）的射頻指紋提取，認(rèn)證服務(wù)器AS 負(fù)責(zé)用戶身份認(rèn)證工作，兩者可以是物理上分離的兩臺(tái)設(shè)備，它們通過(guò)網(wǎng)絡(luò)連接（包括有線或無(wú)線連接），也可以在AP 中集成AS 功能，使其成為單一物理實(shí)體。

圖1 Wi-Fi 網(wǎng)絡(luò)認(rèn)證結(jié)構(gòu)

接下來(lái)的章節(jié)分別介紹射頻指紋技術(shù)[8-9]、合法設(shè)備的射頻指紋錄入過(guò)程、對(duì)接入設(shè)備的射頻指紋認(rèn)證過(guò)程[10]。

1.1 射頻指紋技術(shù)

Wi-Fi 6 中上行物理層多用戶數(shù)據(jù)采用OFDMA方式復(fù)用，也就是將不同用戶數(shù)據(jù)分配到OFDMA波形的不同RU。例如，使用HT20 模式即20 Mbit/s傳輸帶寬內(nèi)一共有256 個(gè)子載波，除去特殊用途占用的子載波外，其余子載波分配給不同用戶使用。如圖2 所示，4 個(gè)用戶的數(shù)據(jù)同時(shí)在頻域和時(shí)域上復(fù)用，在同一個(gè)時(shí)隙內(nèi)不同用戶占用頻域內(nèi)的不同頻帶，一個(gè)用戶在不同時(shí)隙可能占用的頻帶不同。協(xié)議規(guī)定20 Mbit/s 傳輸帶寬內(nèi)子載波可以靈活配置分給9 個(gè)、4 個(gè)、2 個(gè)或1 個(gè)用戶，1 個(gè)用戶占用1 個(gè)RU，也就是說(shuō)，1 個(gè)RU 在不同配置下可以有26 個(gè)、52 個(gè)、106 個(gè)或242 個(gè)子載波。

圖2 Wi-Fi 6 OFDMA 多用戶數(shù)據(jù)RU 分配

接入點(diǎn)AP 接收多用戶設(shè)備發(fā)送的OFDMA 方式復(fù)用的上行無(wú)線信號(hào)。AP 通過(guò)頻域信號(hào)處理，解調(diào)出全部子載波，然后根據(jù)RU 分配規(guī)則分離出不同用戶的RU。針對(duì)某個(gè)用戶的RU 進(jìn)行信道估計(jì)，得到理想信號(hào)和實(shí)際信號(hào)的轉(zhuǎn)換關(guān)系式：

式中：din為實(shí)際接收到的解調(diào)符號(hào)矢量，dout為理想接收符號(hào)，為信道估計(jì)矩陣。由可以得到該用戶射頻發(fā)射機(jī)的以下特征：

（1）頻偏（Frequency Offset，F(xiàn)O），將ppm 轉(zhuǎn)化為dB 表示。

（2）載波泄露（Carrier Leakage，CL），單位為dB。

（3）相位噪聲（Phase Noise，PN），單位為dB。

（4）IQ 幅度失配（Amplitude Mismatch，AM），單位為dB。

根據(jù)這些特征參數(shù)，生成該用戶設(shè)備在其占用RU 上的射頻指紋矢量：

任意兩個(gè)射頻指紋的差異用射頻指紋間距（RF finger Distance，RFD）表示。假設(shè)兩個(gè)用戶STAi和STAj在第k個(gè)RU，即RUk上的射頻指紋分別表示為Fpi(k)和Fpj(k)，則它們?cè)赗Uk上的射頻指紋間距計(jì)算公式為：

式中：FODij(k)=|FOi(k)-FOj(k)|，表示STAi和STAj在RUk的頻偏距離；CLDij(k)=|CLi(k)-CLj(k)|，表示STAi和STAj在RUk的載波泄露距離；PNDij(k)=|PNi(k)-PNj(k)|，表 示STAi和STAj在RUk的 相 噪 距 離；AMDij(k)=|AMi(k)-AMj(k)|，表 示STAi和STAj在RUk的IQ 幅度失配距離。則STAi和STAj在全部共M個(gè)RU 上的射頻指紋距離集合表示為{RFDij(0),RFDij(1),…,RFDij(M-1)}。

定義STAi和STAj的射頻指紋總偏差為：

確認(rèn)用戶身份的方法是：AP 獲得某個(gè)用戶STAX在所有RU 上的射頻指紋后，計(jì)算該指紋和合法用戶STAi的射頻指紋總偏差sum(RFDxi)，若小于閾值RFDth（根據(jù)實(shí)際AP 型號(hào)確定），則該用戶設(shè)備可能是用戶STAi，否則不可能是用戶STAi。

基于上述射頻指紋識(shí)別方法，接下來(lái)分別說(shuō)明合法設(shè)備的射頻指紋錄入過(guò)程和對(duì)接入設(shè)備的射頻指紋識(shí)別過(guò)程。

1.2 合法設(shè)備的射頻指紋錄入

要使用Wi-Fi 網(wǎng)絡(luò)的設(shè)備，STA 首先需要取得合法身份，該合法身份是通過(guò)人工確認(rèn)獲得的。STA 被確認(rèn)為合法設(shè)備后，才能進(jìn)行射頻指紋錄入。合法設(shè)備射頻指紋錄入的流程如圖3 所示，具體說(shuō)明如下文所述。

圖3 合法設(shè)備射頻指紋錄入流程

（1）由認(rèn)證服務(wù)器AS 發(fā)送“請(qǐng)求錄入指紋消息”給AP，要求錄入設(shè)備STA 的指紋，消息中包含該設(shè)備的MAC 地址信息。AP 返回“確認(rèn)消息”（ACK）給AS，然后等待STA 接入。

（2）設(shè)備STA 發(fā)起“關(guān)聯(lián)請(qǐng)求”（Association Request），AP 檢查設(shè)備MAC 地址為STA 的MAC地址，然后同意接入，并返回“關(guān)聯(lián)響應(yīng)”（Association Response）給STA。

（3）AP 發(fā)送“在指定RU 進(jìn)行數(shù)據(jù)上報(bào)”消息，要求STA 在上行指定的某RU 上進(jìn)行數(shù)據(jù)傳輸，這里假設(shè)為RU0。STA 在RU0上發(fā)送無(wú)線數(shù)據(jù)幀后，AP 提取RU0上的射頻指紋矢量，表示為Fp(0)。然后，AP 繼續(xù)發(fā)送“在指定RU 進(jìn)行數(shù)據(jù)上報(bào)”消息，要求STA 在其他RU 上發(fā)送上行數(shù)據(jù)，這里假設(shè)為RU1。STA 在RU1上發(fā)送無(wú)線數(shù)據(jù)幀后，AP 提取RU1上的射頻指紋矢量，表示為Fp(1)。接下來(lái)，AP 繼續(xù)發(fā)送多條“在指定RU 進(jìn)行數(shù)據(jù)上報(bào)”消息，要求STA 在其他RU 上發(fā)送上行數(shù)據(jù)，經(jīng)過(guò)多次交互后完成全部RU 上的射頻指紋矢量提取。

（4）AP 發(fā)送“存儲(chǔ)設(shè)備射頻指紋”消息，假設(shè)總共有M個(gè)RU，則將射頻指紋集合FPG={Fp(0),Fp(1),…,Fp(M-1)}上報(bào)給AS，AS 將該射頻指紋集合和STA 的MAC 地址綁定，保存到數(shù)據(jù)庫(kù)中。

1.3 接入設(shè)備的射頻指紋認(rèn)證

某個(gè)設(shè)備STAX請(qǐng)求接入Wi-Fi 網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)采用射頻指紋和數(shù)據(jù)鏈路雙重認(rèn)證的方式。射頻指紋認(rèn)證和數(shù)據(jù)鏈路認(rèn)證可以采用不同的先后順序，實(shí)施例中會(huì)加以說(shuō)明。這里只說(shuō)明射頻指紋認(rèn)證過(guò)程，如圖4 所示。

圖4 接入設(shè)備射頻指紋認(rèn)證流程

（1）AP 發(fā)送“在指定RU 進(jìn)行數(shù)據(jù)上報(bào)”消息給STAX，要求STAX在上行指定的某RU 上進(jìn)行數(shù)據(jù)傳輸，這里假設(shè)為RU0。STAX在RU0 上發(fā)送無(wú)線數(shù)據(jù)幀后，AP 提取RU0上的射頻指紋矢量，表示為FpX(0)。然后，AP 繼續(xù)發(fā)送“在指定RU 進(jìn)行數(shù)據(jù)上報(bào)”消息，要求STAX在其他RU 上發(fā)送上行數(shù)據(jù)，這里假設(shè)為RU1。STAX在RU1上發(fā)送無(wú)線數(shù)據(jù)幀后，AP 提取RU1上的射頻指紋矢量，表示為FpX(1)。接下來(lái)，AP 繼續(xù)發(fā)送多條“在指定RU進(jìn)行數(shù)據(jù)上報(bào)”消息，要求STAX在其他RU 上發(fā)送上行數(shù)據(jù)，經(jīng)過(guò)多次交互后完成全部RU 上的射頻指紋矢量提取，得到被認(rèn)證設(shè)備STAX在全部RU上的指紋信息集合，表示為FPGX={FpX(0),FpX(1),…,FpX(M-1)}。

（2）AP 發(fā)送“認(rèn)證設(shè)備射頻指紋”消息給AS，消息包含設(shè)備STAX的MAC 地址和指紋信息集合FPGX。AS 首先通過(guò)設(shè)備MAC 地址檢索已有用戶數(shù)據(jù)庫(kù)，確認(rèn)該MAC 地址屬于已知用戶設(shè)備：若MAC 地址不是已知合法用戶的，則向AP 返回認(rèn)證失敗消息；若MAC 地址正確，從數(shù)據(jù)庫(kù)中提取該MAC 地址對(duì)應(yīng)的射頻指紋集合，假設(shè)為數(shù)據(jù)庫(kù)中第i個(gè)用戶，則指紋集合表示為FPGi。計(jì)算其和STAX射頻指紋集合FPGX的射頻指紋總偏差sum(RFDxi)，若小于閾值RFDth，則該用戶設(shè)備可能是用戶STAi，返回認(rèn)證成功消息；否則不可能是用戶STAi，返回認(rèn)證失敗消息。

2 應(yīng)用實(shí)施過(guò)程

對(duì)接入設(shè)備的身份認(rèn)證采用射頻指紋和數(shù)據(jù)鏈路的雙重認(rèn)證方法，二者可以采取不同的先后順序，下面分別討論。

2.1 方法1：先射頻指紋認(rèn)證，再數(shù)據(jù)鏈路認(rèn)證

如圖5 所示，使用先射頻指紋認(rèn)證，再數(shù)據(jù)鏈路認(rèn)證的方法時(shí)，先執(zhí)行AP 采集STAX射頻指紋，AS 完成射頻指紋檢索比對(duì)，確認(rèn)射頻指紋是否為合法用戶的射頻指紋：若不是，則直接拒絕該設(shè)備接入網(wǎng)絡(luò)；若是，再繼續(xù)數(shù)據(jù)鏈路認(rèn)證。也就是執(zhí)行802.11x 協(xié)議規(guī)定的過(guò)程，包括：用戶設(shè)備提供Wi-Fi 網(wǎng)絡(luò)密碼，AP 進(jìn)行確認(rèn)；雙方進(jìn)行加密方式和密鑰的協(xié)商過(guò)程，最終獲準(zhǔn)用戶使用Wi-Fi 網(wǎng)絡(luò)。

圖5 接入設(shè)備射頻指紋認(rèn)證方法1

該方法的優(yōu)點(diǎn)是，在射頻指紋識(shí)別階段就可以攔截非法用戶的入侵，不讓其利用網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸。缺點(diǎn)是，認(rèn)證時(shí)間較長(zhǎng)，因?yàn)閷?duì)其進(jìn)行射頻指紋識(shí)別需要經(jīng)過(guò)持續(xù)數(shù)十秒的數(shù)據(jù)統(tǒng)計(jì)處理，造成用戶等待接入時(shí)間較長(zhǎng)，體驗(yàn)感差。

2.2 方法2：先數(shù)據(jù)鏈路認(rèn)證，再射頻指紋認(rèn)證

如圖6 所示，使用先數(shù)據(jù)鏈路認(rèn)證，再射頻指紋認(rèn)證時(shí)，先執(zhí)行傳統(tǒng)802.11x 協(xié)議規(guī)定的數(shù)據(jù)鏈路層認(rèn)證過(guò)程，完成Wi-Fi 網(wǎng)絡(luò)密碼檢查，加密方式和密鑰協(xié)商，允許用戶接入網(wǎng)絡(luò)。然后在后續(xù)用戶設(shè)備數(shù)據(jù)傳輸階段，AP 對(duì)其射頻指紋進(jìn)行提取，AS 完成射頻指紋檢索比對(duì)，確認(rèn)射頻指紋是否為合法用戶的射頻指紋：若不是，則發(fā)送“終止網(wǎng)絡(luò)連接”消息給該用戶，停止其繼續(xù)接入網(wǎng)絡(luò)；若是，繼續(xù)允許該用戶設(shè)備使用網(wǎng)絡(luò)傳輸數(shù)據(jù)。

圖6 接入設(shè)備射頻指紋認(rèn)證方法2

該方法的優(yōu)點(diǎn)是，不會(huì)額外增加用戶等待接入網(wǎng)絡(luò)時(shí)間，體驗(yàn)感較好。缺點(diǎn)是，需要容忍非法用戶持續(xù)數(shù)十秒的網(wǎng)絡(luò)入侵，有一定的安全隱患。

3 結(jié)語(yǔ)

本文介紹了一種適用于Wi-Fi 6 協(xié)議的射頻指紋技術(shù)，使用該技術(shù)實(shí)現(xiàn)對(duì)Wi-Fi 用戶的身份驗(yàn)證。通過(guò)先對(duì)OFDMA 的各資源單元提取，再經(jīng)過(guò)信道估計(jì)獲得接入設(shè)備的發(fā)射機(jī)的射頻特征，然后計(jì)算出該射頻特征與已有合法接入設(shè)備射頻特征的相似度，最終判斷設(shè)備是否為合法接入設(shè)備。該方法還可以結(jié)合現(xiàn)有協(xié)議中數(shù)據(jù)鏈路層的身份認(rèn)證，實(shí)現(xiàn)雙重認(rèn)證。本方法可以應(yīng)用在對(duì)網(wǎng)絡(luò)安全要求較高的場(chǎng)所，實(shí)現(xiàn)更高等級(jí)的網(wǎng)絡(luò)安全。