(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210769204.6 (22)申请日 2022.06.30 (71)申请人 苏州大学 地址 215104 江苏省苏州市相城区济学路8 号 (72)发明人 方禾　朱文润　袁骥德　 (74)专利代理 机构 苏州智品专利代理事务所 (普通合伙) 32345 专利代理师 唐学青 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) (54)发明名称 一种基于态势感知的智能跨层认证系统及 方法 (57)摘要 本申请公开一种超高密度网络中基于态势 感知的智能跨层认证系统及方法。 该系统的于态 势感知的智能切换模块， 对物理层方法的性能评 估进行实时评估， 在物理层方法可以保证给定安 全服务质量要求时， 采用物理层认证方案， 提高 认证效率并降低时延， 实现超高密度网络中保证 安全服务的高效通信。 在物理层方法无法保证给 定安全服务质量要求时， 采用5G ‑AKA方法， 从而 保证通信的安全性能。 该智能跨层 认证系统可以 广泛应用于超高密度网络中。 权利要求书2页 说明书6页 附图3页 CN 115314246 A 2022.11.08 CN 115314246 A 1.一种基于态 势感知的智能跨层认证系统， 其特 征在于， 包括： 智能切换模块、 物理层认证模块及5G ‑AKA模块， 所述物理层认证模块用于获得与其连接的用户设备及接入点的物理层特征， 并反馈至 所述智能切换模块， 所述智能切换模块基于反馈的物理层特征进行评估， 并判断运行于第 一模式或第 二模 式， 其中， 第一模式时基于物理层认证模块进行认证， 第二模式时基于5G ‑AKA模块进行认 证。 2.如权利要求1所述的基于态势感知的智能跨层认证系统， 其特征在于， 所述物理层特 征包括： 信道冲激响应(CIR)、 接收信号强度指示(RSSI)、 载波 频偏(CFO)和同相 ‑正交‑相位 不平衡(I QI)中的至少一种。 3.如权利要求2所述的基于态势感知的智能跨层认证系统， 其特征在于， 所述用于获得 与其连接的用户设备及接入点的物理层特 征包括： 宏基站基于态势感知进行物 理层特征选择， 所述宏基站在线下定期地采集多个设备的 不同物理层特征， 包括N个设备的信道冲激 响应(CIR)、 接收信号 强度指示(RSSI)、 载波 频偏 (CFO)和同相 ‑正交‑相位不平衡(I QI)。 4.一种基于态 势感知的智能跨层认证方法， 其特 征在于， 所述方法包括如下步骤： 基于智能切换模块采集所选择的物理层特 征， 智能切换模块对选择的物理层特 征进行性能评估， 若评估结果满足预设的要求， 则采用物理层认证模块进行认证； 若评估结果 不满足预设的要求， 则采用5G ‑AKA模块进行认证。 5.如权利要求 4所述的智能跨层认证方法， 其特 征在于， 宏基站基于在线下定期地采集多个设备的不同物 理层特征， 并评估基于不同特征的物 理层方法的性能， 选择最优的物理层特 征发送给 所有的AP和UE， 用于它 们之间的双向认证。 6.如权利要求5所述的智能跨层认证方法， 其特 征在于， 宏基站通过 和 分别计算物理层方法使用特 征 时的漏检率和误警率， 其中， 和 分别是认证设备的特征估计和合法设备的特征估计， ε是物理层身份 验证的阈值， Φ1和Φ0分别表示 攻击者和合法设备。 7.如权利要求6所述的智能跨层认证方法， 其特 征在于， 宏基站通过使用不同特征值时的漏检率和误警率的组合来选择使得安全服务质量 (SoS)最高的物理层特 征， 其中， a1和a2分别为漏检率和误警率的SoS组合 参数。 8.如权利要求 4所述的智能跨层认证方法， 其特 征在于，权　利　要　求　书 1/2 页 2 CN 115314246 A 2物理层认证模块认证包括： 一对接入点和用户设备对彼此的物理层特 征进行测量、 估计和验证， 若正在认证设备的物理层特征测量值与合法设备的物理层特征测量值之差小于一个 阈值， 记为 则验证为 合法设备， 否则验证为 攻击者。 9.如权利要求 4所述的智能跨层认证方法， 其特 征在于， 5G‑AKA模块进行认证时包括： 认证向量 生成阶段和双向认证阶段， 所述认证向量 生成阶段包括: 基于给定的哈希函数来 生成认证向量， 生成的认证向量使用预设的密钥派生 函数来导出密钥。 10.如权利要求9所述的智能跨层认证方法， 其特 征在于， 所述双向认证阶段包括: 接入点向用户设备发送带有来自认证向量中的RAND和AUTN的NAS鉴权请求， 用户设备 使用MILENAGE函数来 导出XMAC、 RES、 CK及IK； 用户设备对AU TN中收到的MAC进行验证， 对接入点进行鉴权， 并检查AU TN的新鲜度， 如果比较失败， 则将发送身份验证失败； 如果比较成功， 用户设备使用预设的密钥派生函数来导出参数RES*， 然后向接入点发 送该RES*； 接入点将RES*与存储的XRES*进行比较， 如果值相同， 则接入点认为该用户设备的身份 验证成功,否则认为身份验证失败。权　利　要　求　书 2/2 页 3 CN 115314246 A 3