基于工業(yè)物聯(lián)網(wǎng)信道屬性的動態(tài)認證和多級授權(quán)技術(shù)研究

摘" 要：隨著工業(yè)聯(lián)網(wǎng)4.0的推行與落地，用戶對通信網(wǎng)絡(luò)高安全性的需求也日益增加。由于物聯(lián)網(wǎng)終端傳感器資源受限，傳統(tǒng)網(wǎng)絡(luò)協(xié)議難以實現(xiàn)海量入網(wǎng)設(shè)備的安全認證?；谟嬎銖?fù)雜度的傳統(tǒng)身份認證技術(shù)已經(jīng)不再適用于新型工業(yè)物聯(lián)網(wǎng)場景?；谖锢韺訉傩缘陌踩夹g(shù)因具有復(fù)雜性低和輕量級的優(yōu)勢，而成為上層安全機制的重要補充。在工業(yè)4.0通信場景中，已有身份驗證方案研究重點放在了識別分類合法和非法設(shè)備，沒有針對不同安全級別的資源設(shè)置不同訪問權(quán)限。文章基于工業(yè)物聯(lián)網(wǎng)中物理層信道的特異性，提出了一種基于動態(tài)認證和多級授權(quán)技術(shù)的安全認證方案。具體而言首先構(gòu)建了一種信道估計矩陣的分布函數(shù)與卷積映射一一對應(yīng)的關(guān)系網(wǎng)絡(luò)，其次提出使用支持向量機作為分類器，然后根據(jù)惡意設(shè)別信道屬性的不同來區(qū)分身份，最終引入了一個基于多級授權(quán)分類的異常檢測框架，同時通過仿真分析驗證了多級授權(quán)技術(shù)優(yōu)越性。

" 關(guān)鍵詞：工業(yè)物聯(lián)網(wǎng)；動態(tài)認證；多級別授權(quán)；信道屬性；物理層

" 中圖分類號：F253.9" " 文獻標(biāo)志碼：A" " DOI：10.13714/j.cnki.1002-3100.2025.05.016

Abstract： With the advancement and implementation of Industrial Internet of Things（IIoT）4.0， the demand for high security in communication networks is increasing. Due to the limited resources of terminal sensors， traditional network protocols face challenges in achieving secure authentication for a large number of connected devices. Traditional identity authentication technologies based on computational complexity are no longer suitable for new scenarios. Security technologies based on physical layer attributes have become an important supplement to upper-layer security mechanisms due to their advantages of low complexity and lightweight. In the communication scenarios of Industry 4.0， existing authentication scheme research has focused on identifying and classifying legitimate and illegitimate devices， without setting different access permissions for different security levels. In this paper， based on the specificity of the physical layer channel in IIoT， we propose a security authentication scheme based on dynamic authentication and multi-level authorization technologies. Specifically， we first establish a network that correlates the distribution function of the channel estimation matrix with convolution mapping， then suggest using support vector machine as a classifier， and differentiate identities based on different malicious channel attributes. Finally， we introduce an anomaly detection framework based on multi-level authorization classification and validate the superiority of multi-level authorization technology through simulation analysis.

Key words： industrial internet of things; dynamic authentication; multi-level authorization; channel attributes; physical layer

0" 引" 言

物聯(lián)網(wǎng)（IoT）被認為是現(xiàn)代技術(shù)中最為重要的進步之一，緊隨計算機和互聯(lián)網(wǎng)之后，常被譽為信息技術(shù)的第三次革命。工業(yè)無線網(wǎng)絡(luò)為工業(yè)4.0的發(fā)展提供了前所未有的機遇，旨在提升物理設(shè)備的智能性并在全球價值鏈和生產(chǎn)方式中帶來根本性變革[1]。由于智能物聯(lián)網(wǎng)設(shè)備的日益普及，物聯(lián)網(wǎng)在工業(yè)領(lǐng)域得到廣泛應(yīng)用，如交通、電網(wǎng)管理、物流、供應(yīng)鏈以及石油和礦業(yè)等領(lǐng)域[2]。智能制造的基礎(chǔ)是工業(yè)物聯(lián)網(wǎng)，工業(yè)物聯(lián)網(wǎng)通過工業(yè)信息在智能設(shè)備上的運行實現(xiàn)擁有各種功能的物聯(lián)網(wǎng)[3]。工業(yè)物聯(lián)網(wǎng)作為IoT的一個重要分支，是支撐智能生產(chǎn)和制造的一套關(guān)鍵智能技術(shù)體系[4]。如圖1所示，物聯(lián)網(wǎng)已經(jīng)成為“工業(yè)4.0”和“智能制造”的代名詞。物聯(lián)網(wǎng)與傳統(tǒng)無線網(wǎng)絡(luò)存在差異。首先，物聯(lián)網(wǎng)中傳感器的資源有限，無線節(jié)點的電池存儲容量相對較小且結(jié)構(gòu)簡單、功耗低并且計算能力有限[5]。其次，傳統(tǒng)的加密技術(shù)并不完全適用于物聯(lián)網(wǎng)通信場景。在缺乏統(tǒng)一的安全認證標(biāo)準(zhǔn)的情況下，難以實現(xiàn)實時準(zhǔn)確的安全認證。再次，物聯(lián)網(wǎng)具有廣泛的應(yīng)用范圍，特定行業(yè)（如金融業(yè)）對安全有更高的要求。

工業(yè)物聯(lián)網(wǎng)（IIoT）把萬物互聯(lián)，但同時也危及了傳統(tǒng)工業(yè)生產(chǎn)系統(tǒng)依賴于物理隔離和技術(shù)專業(yè)化的“封閉安全性”。因此，工業(yè)生產(chǎn)系統(tǒng)現(xiàn)在既面臨內(nèi)部安全威脅，也受到外部惡意攻擊的威脅。一些常見的針對工業(yè)物聯(lián)網(wǎng)的攻擊類型包括：

（1）勒索軟件。勒索軟件是一種使用惡意軟件加密工業(yè)物聯(lián)網(wǎng)設(shè)備上數(shù)據(jù)的攻擊類型。這種加密阻止對數(shù)據(jù)的訪問，直到支付贖金為止；

" （2）分布式拒絕服務(wù)（DDoS）。分布式拒絕服務(wù)攻擊通過超量的流量淹沒工業(yè)物聯(lián)網(wǎng)系統(tǒng)，這使其無法運作。這種攻擊會導(dǎo)致在線服務(wù)、網(wǎng)絡(luò)資源或機器無法提供給其預(yù)定用戶使用[6-7]；

" （3）中間人攻擊（MITM）。中間人攻擊是一種“間接”的入侵攻擊，指將受入侵者控制的計算機虛擬放置在兩通信者之間，通過攔截工業(yè)物聯(lián)網(wǎng)設(shè)備之間的通信并更改，以訪問敏感數(shù)據(jù)或控制系統(tǒng)；

" （4）惡意軟件。工業(yè)物聯(lián)網(wǎng)應(yīng)用通常涉及部署在開放環(huán)境中的節(jié)點[8]。惡意軟件可以感染工業(yè)物聯(lián)網(wǎng)設(shè)備，使網(wǎng)絡(luò)攻擊者能夠竊取數(shù)據(jù)、控制系統(tǒng)或造成損害；

" （5）物理攻擊。對物聯(lián)網(wǎng)設(shè)備進行破壞或篡改，比如拆除傳感器、破壞控制器等。攻擊者有能力訪問工業(yè)物聯(lián)網(wǎng)設(shè)備和系統(tǒng)，能夠竊取、修改或破壞這些設(shè)備。

" 任何工業(yè)物聯(lián)網(wǎng)入侵都可以分為3個層面：應(yīng)用層、通信層和物理層。工業(yè)物聯(lián)網(wǎng)應(yīng)用的每個層面使用不同的技術(shù)，這會存在安全威脅并引發(fā)各種問題。圖2展示了源自這三個層面的攻擊類型。針對這些挑戰(zhàn)，傳統(tǒng)的安全措施涉及在上層使用加密算法。然而，這些既定的方法不斷受到計算能力增強的威脅不再適用于設(shè)備有限的無線網(wǎng)絡(luò)——工業(yè)物聯(lián)網(wǎng)[9]。

近年來，物理層安全傳輸技術(shù)引起了廣泛關(guān)注。無線信道具有不可預(yù)測性和時變性，從實時信道特性中提取關(guān)鍵信息。該技術(shù)使合法接收方無需進行上層處理，快速區(qū)分合法和非法發(fā)送方。此外，物理層安全傳輸技術(shù)具有高度兼容性。它可以通過補償上層密碼協(xié)議來提高通信系統(tǒng)的安全級別。因其固有屬性，物理層可以作為上層安全機制的補充。

" 為滿足工業(yè)物聯(lián)網(wǎng)的要求，提出了動態(tài)認證和多級授權(quán)技術(shù)。該技術(shù)通過對物理層信道觀測進行多步驗證，實現(xiàn)連續(xù)識別并增強安全性。傳統(tǒng)的身份認證在滿足工業(yè)物聯(lián)網(wǎng)的安全需求方面存在不足，因為它只能確定合法和非法信號，而不能滿足進一步的需求。例如，它無法為不同安全級別的資源分配不同的訪問權(quán)限。為解決這一限制，本文引入了多級授權(quán)概念，具有較高安全級別的合法用戶可以訪問相應(yīng)安全級別的資源。此外，考慮到工業(yè)物聯(lián)網(wǎng)環(huán)境的不斷變化，本文利用卷積神經(jīng)網(wǎng)絡(luò)（CNN）建立了信道估計矩陣分布函數(shù)和卷積圖。通過利用不同的支持向量機（SVM）根據(jù)惡意數(shù)據(jù)頻率識別和檢測各種數(shù)據(jù)類別，提出了一種用于異常測試的多支持向量機框架。該解決方案允許適應(yīng)時間變化，從而增強安全性。

本文分為幾個部分。第二節(jié)介紹了系統(tǒng)模型。第三節(jié)討論了基于C_S算法的動態(tài)認證和多級授權(quán)技術(shù)。第四節(jié)展示了模型的可行性。最后，第五節(jié)對整篇論文進行了總結(jié)。

1" 系統(tǒng)模型

" 在無線靜態(tài)物聯(lián)網(wǎng)通信場景中，如圖3所示，合法物聯(lián)網(wǎng)設(shè)備（Alice）與被攻擊的基站（Bob）之間進行無線通信。攻擊者（Eve）旨在模仿合法物聯(lián)網(wǎng)設(shè)備，并試圖未經(jīng)授權(quán)地訪問系統(tǒng)以獲取非法利益或引入虛假數(shù)據(jù)。這可能導(dǎo)致未經(jīng)授權(quán)的訪問、隱私泄露、物聯(lián)網(wǎng)應(yīng)用程序中的錯誤決策等問題。值得注意的是，該場景中的信道具有特定的特性，環(huán)境和信道屬性各不相同[10]。

2" 基于動態(tài)認證和多級授權(quán)的安全認證技術(shù)

" 卷積神經(jīng)網(wǎng)絡(luò)是一種深度學(xué)習(xí)技術(shù)，用于從圖像中提取特征進行圖像分類。支持向量機是一種用于分類和回歸的機器學(xué)習(xí)技術(shù)。將這兩種技術(shù)結(jié)合起來可以提高圖像分類的準(zhǔn)確性，并將其定義為C_S算法。本節(jié)提出了一種使用兩層支持向量機方法的入侵檢測方法，如圖4所示。第一層涉及數(shù)據(jù)預(yù)處理和特征選擇，而第二層則訓(xùn)練模型并根據(jù)三種數(shù)據(jù)的信噪比應(yīng)用不同的檢測方法。關(guān)于該方法的進一步細節(jié)將在下文中提供。

本段描述了一個過程涉及的詳細步驟：第一，進行數(shù)據(jù)預(yù)處理以確保圖像的質(zhì)量和可用性；第二，使用CNN從圖像中提取特征；第三，將提取的特征轉(zhuǎn)換為SVM進行進一步處理；第四，使用轉(zhuǎn)換后的特征來訓(xùn)練一個使用SVM的分類模型；第五，使用測試數(shù)據(jù)評估模型以確定其準(zhǔn)確性。

" CNN模型通常利用多層卷積和池化操作來提取特征。然后使用全連接層將這些特征映射到最終的分類結(jié)果。該模型包括以下層次：

卷積層1（self.conv1）包括一個卷積層，一個ReLU激活函數(shù)和一個最大池化層。它接收單通道的輸入，如灰度圖像，并應(yīng)用32個大小為5x5的卷積核。卷積操作使用文件大小為2和步長為1進行。然后，應(yīng)用ReLU激活函數(shù)，并通過2x2的最大池化層進行降采樣。

" 卷積層2（self.conv2）是一個順序模塊，它以32個通道的特征圖作為輸入，這些特征圖是來自卷積層1的輸出。它使用16個大小為5×5的卷積核，卷積操作使用文件大小為2和步長為1進行。然后應(yīng)用ReLU激活函數(shù)，通過2×2的最大池化層進行降采樣。

" 全連接層（self.out）是一個線性層，將卷積層的輸出連接到最終的分類輸出。它接收卷積層2的展平輸出（通過使用input_x.view（input_x.size（0），-1）函數(shù)獲得），并應(yīng)用線性變換產(chǎn)生兩個輸出單元。這些輸出單元表示兩個類別的預(yù)測分數(shù)。

核函數(shù)是SVM的關(guān)鍵組成部分，解決了將數(shù)據(jù)映射到高維空間時計算效率降低的問題。本文使用三種類型的核函數(shù)：徑向基函數(shù)（RBF）、多項式核函數(shù)和Sigmoid核函數(shù)。

" 在給定的代碼中，選擇了三種核函數(shù)：RBF核函數(shù)、多項式核函數(shù)和Sigmoid核函數(shù)。這是為了展示在SVM模型中使用各種核函數(shù)的多功能性和有效性。每種核函數(shù)都具有獨特的數(shù)學(xué)特性和應(yīng)用場景，可以根據(jù)數(shù)據(jù)特征和問題要求選擇合適的核函數(shù)。

3" 仿真結(jié)果分析

對于每種核函數(shù)，使用標(biāo)準(zhǔn)的支持向量機訓(xùn)練模型。模型對異常數(shù)據(jù)的檢測率選擇在異常數(shù)據(jù)上具有最佳檢測效果的核函數(shù)，并與不同的SVM組合進行比較，以進一步完成入侵數(shù)據(jù)的檢測和識別。實驗使用NSL數(shù)據(jù)集的“NSL-Tran_20%”作為訓(xùn)練集，以及“Test+”作為測試集。將異常數(shù)據(jù)的集合在中性化測試集中進行訓(xùn)練，將其劃分為一類不同的攻擊。此時，訓(xùn)練集和測試集的數(shù)據(jù)可表示為“Attack”、“Normal”和“Normal”。

然后，使用不同核函數(shù)的支持向量機進行線性模型測試，實驗結(jié)果顯示徑向基核函數(shù)在訓(xùn)練集和測試集上的準(zhǔn)確性優(yōu)于其他核函數(shù)，因此在后續(xù)實驗中使用徑向基核函數(shù)RBF作為不同SVM模型的核函數(shù)。

" 在入侵檢測中，數(shù)據(jù)的預(yù)測包括以下幾個率：真正率TP、假負率FN、真負率TN和假正率FP。TP指的是在訓(xùn)練模型檢測到的數(shù)據(jù)實際類別標(biāo)簽和預(yù)測標(biāo)簽都為正時。FN發(fā)生在數(shù)據(jù)的實際類別標(biāo)簽為正，但訓(xùn)練模型檢測到的數(shù)據(jù)的預(yù)測標(biāo)簽為負時。TN是指數(shù)據(jù)的實際類別標(biāo)簽和訓(xùn)練模型檢測到的數(shù)據(jù)預(yù)測標(biāo)簽都為負的情況。最后，F(xiàn)P發(fā)生在數(shù)據(jù)的實際類別標(biāo)簽為負，但訓(xùn)練模型檢測到的數(shù)據(jù)預(yù)測標(biāo)簽為正時。

基于給定的TP、FN、TN和FP的定義，將這些指標(biāo)結(jié)合起來使用準(zhǔn)確率這一新評估指標(biāo)。準(zhǔn)確率定義為真正例和真負例的總和與真正例、真負例、假正例和假負例總和的比率。該指標(biāo)允許分析模型在分類樣本中的整體準(zhǔn)確率。更高的準(zhǔn)確率表明模型正確分類樣本的能力更強。如公式（8）所示：

4" 結(jié)" 論

本文研究了工業(yè)物聯(lián)網(wǎng)中的安全認證，并提出了基于C_S算法的動態(tài)多級別授權(quán)模型。在工業(yè)物聯(lián)網(wǎng)中，傳統(tǒng)的身份認證只能確定合法和非法的信號，不能滿足在不同安全級別的資源上設(shè)置不同訪問權(quán)限等進一步需求。因此，本文提出了多級別授權(quán)，其中具有更高級別的合法用戶可以訪問更高級別的安全資源。此外，考慮到工業(yè)物聯(lián)網(wǎng)處于不斷變化的環(huán)境，建立了通道估計矩陣分布函數(shù)和卷積圖。然后，利用不同的支持向量機根據(jù)惡意數(shù)據(jù)的頻率識別和檢測不同類別的數(shù)據(jù)，呈現(xiàn)了一個用于異常測試的多支持向量機框架。該方案能夠適應(yīng)時間改變并增強安全性。最后，使用在工業(yè)環(huán)境中采樣的NSL數(shù)據(jù)集驗證了基于C_S算法的動態(tài)多層模型的有效性。

參考文獻：

[1] B CHATTERJEE， D DAS， S MAITY， et al. RF-PUF： Enhancing IoT security through authentication of wireless nodes using in-situ machine learning[J]. IEEE Internet of Things Journal， 2019，6（1）：388-398.

[2]" KOEN TANGE， MICHELE DE DONNO， XENOFON FAFOUTIS， et al. A systematic survey of industrial internet of things security： Requirements and fog computing opportunities[J]. IEEE Communications Surveys Tutorials， 2020，22（4）：2489-2520.

[3] 邵澤華，劉彬，權(quán)亞強，等. 智能制造工業(yè)物聯(lián)網(wǎng)體系研究與分析[J]. 物聯(lián)網(wǎng)技術(shù)，2023，13（4）：140-143.

[4] 王婷婷，甘臣權(quán)，張祖凡. 面向工業(yè)物聯(lián)網(wǎng)的移動邊緣計算研究綜述[J]. 計算機應(yīng)用與軟件，2023，40（1）：1-10，65.

[5] 許航. 工業(yè)物聯(lián)網(wǎng)中基于生物模糊提取技術(shù)的三因素匿名認證與密鑰協(xié)商方案研究[D]. 武漢：華中師范大學(xué)，2023.

[6]" KASHIF NAVEED， HUI WU. Poster： A semi-supervised framework to detect botnets in IoT devices[C] // IFIP Networking Conference （Networking）， 2020.

[7]" SYED MUHAMMAD SAJJAD， MUHAMMAD YOUSAF， HUMAIRA AFZAL， et al. eMUD： Enhanced manufacturer usage description for IoT botnets prevention on home wifi routers[J]. IEEE Access， 2020，8：164200-164213.

[8]" HIROKI KUZUNO， SHINTARO OTSUKA. Early detection of network incident using open security information[C] // In： 2018 32nd International Conference on Advanced Information Networking and Applications Workshops （WAINA）， 2018.

[9]" CHAO LIN， DEBIAO HE， NEERAJ KUMAR， et al. Security and privacy for the internet of drones： Challenges and solutions[J]. IEEE Communications Magazine， 2018，56（1）：64-69.

[10]" H FANG， X WANG， L HANZO. Learning-aided physical layer authentication as an intelligent process[J]. IEEE Trans Commun， 2019，67（3）：2260-2273.