基于工業物聯網信道屬性的動態認證和多級授權技術研究

摘" 要：隨著工業聯網4.0的推行與落地，用戶對通信網絡高安全性的需求也日益增加。由于物聯網終端傳感器資源受限，傳統網絡協議難以實現海量入網設備的安全認證?；谟嬎銖碗s度的傳統身份認證技術已經不再適用于新型工業物聯網場景。基于物理層屬性的安全技術因具有復雜性低和輕量級的優勢，而成為上層安全機制的重要補充。在工業4.0通信場景中，已有身份驗證方案研究重點放在了識別分類合法和非法設備，沒有針對不同安全級別的資源設置不同訪問權限。文章基于工業物聯網中物理層信道的特異性，提出了一種基于動態認證和多級授權技術的安全認證方案。具體而言首先構建了一種信道估計矩陣的分布函數與卷積映射一一對應的關系網絡，其次提出使用支持向量機作為分類器，然后根據惡意設別信道屬性的不同來區分身份，最終引入了一個基于多級授權分類的異常檢測框架，同時通過仿真分析驗證了多級授權技術優越性。

" 關鍵詞：工業物聯網；動態認證；多級別授權；信道屬性；物理層

" 中圖分類號：F253.9" " 文獻標志碼：A" " DOI：10.13714/j.cnki.1002-3100.2025.05.016

Abstract： With the advancement and implementation of Industrial Internet of Things（IIoT）4.0， the demand for high security in communication networks is increasing. Due to the limited resources of terminal sensors， traditional network protocols face challenges in achieving secure authentication for a large number of connected devices. Traditional identity authentication technologies based on computational complexity are no longer suitable for new scenarios. Security technologies based on physical layer attributes have become an important supplement to upper-layer security mechanisms due to their advantages of low complexity and lightweight. In the communication scenarios of Industry 4.0， existing authentication scheme research has focused on identifying and classifying legitimate and illegitimate devices， without setting different access permissions for different security levels. In this paper， based on the specificity of the physical layer channel in IIoT， we propose a security authentication scheme based on dynamic authentication and multi-level authorization technologies. Specifically， we first establish a network that correlates the distribution function of the channel estimation matrix with convolution mapping， then suggest using support vector machine as a classifier， and differentiate identities based on different malicious channel attributes. Finally， we introduce an anomaly detection framework based on multi-level authorization classification and validate the superiority of multi-level authorization technology through simulation analysis.

Key words： industrial internet of things; dynamic authentication; multi-level authorization; channel attributes; physical layer

0" 引" 言

物聯網（IoT）被認為是現代技術中最為重要的進步之一，緊隨計算機和互聯網之后，常被譽為信息技術的第三次革命。工業無線網絡為工業4.0的發展提供了前所未有的機遇，旨在提升物理設備的智能性并在全球價值鏈和生產方式中帶來根本性變革[1]。由于智能物聯網設備的日益普及，物聯網在工業領域得到廣泛應用，如交通、電網管理、物流、供應鏈以及石油和礦業等領域[2]。智能制造的基礎是工業物聯網，工業物聯網通過工業信息在智能設備上的運行實現擁有各種功能的物聯網[3]。工業物聯網作為IoT的一個重要分支，是支撐智能生產和制造的一套關鍵智能技術體系[4]。如圖1所示，物聯網已經成為“工業4.0”和“智能制造”的代名詞。物聯網與傳統無線網絡存在差異。首先，物聯網中傳感器的資源有限，無線節點的電池存儲容量相對較小且結構簡單、功耗低并且計算能力有限[5]。其次，傳統的加密技術并不完全適用于物聯網通信場景。在缺乏統一的安全認證標準的情況下，難以實現實時準確的安全認證。再次，物聯網具有廣泛的應用范圍，特定行業（如金融業）對安全有更高的要求。

工業物聯網（IIoT）把萬物互聯，但同時也危及了傳統工業生產系統依賴于物理隔離和技術專業化的“封閉安全性”。因此，工業生產系統現在既面臨內部安全威脅，也受到外部惡意攻擊的威脅。一些常見的針對工業物聯網的攻擊類型包括：

（1）勒索軟件。勒索軟件是一種使用惡意軟件加密工業物聯網設備上數據的攻擊類型。這種加密阻止對數據的訪問，直到支付贖金為止；

" （2）分布式拒絕服務（DDoS）。分布式拒絕服務攻擊通過超量的流量淹沒工業物聯網系統，這使其無法運作。這種攻擊會導致在線服務、網絡資源或機器無法提供給其預定用戶使用[6-7]；

" （3）中間人攻擊（MITM）。中間人攻擊是一種“間接”的入侵攻擊，指將受入侵者控制的計算機虛擬放置在兩通信者之間，通過攔截工業物聯網設備之間的通信并更改，以訪問敏感數據或控制系統；

" （4）惡意軟件。工業物聯網應用通常涉及部署在開放環境中的節點[8]。惡意軟件可以感染工業物聯網設備，使網絡攻擊者能夠竊取數據、控制系統或造成損害；

" （5）物理攻擊。對物聯網設備進行破壞或篡改，比如拆除傳感器、破壞控制器等。攻擊者有能力訪問工業物聯網設備和系統，能夠竊取、修改或破壞這些設備。

" 任何工業物聯網入侵都可以分為3個層面：應用層、通信層和物理層。工業物聯網應用的每個層面使用不同的技術，這會存在安全威脅并引發各種問題。圖2展示了源自這三個層面的攻擊類型。針對這些挑戰，傳統的安全措施涉及在上層使用加密算法。然而，這些既定的方法不斷受到計算能力增強的威脅不再適用于設備有限的無線網絡——工業物聯網[9]。

近年來，物理層安全傳輸技術引起了廣泛關注。無線信道具有不可預測性和時變性，從實時信道特性中提取關鍵信息。該技術使合法接收方無需進行上層處理，快速區分合法和非法發送方。此外，物理層安全傳輸技術具有高度兼容性。它可以通過補償上層密碼協議來提高通信系統的安全級別。因其固有屬性，物理層可以作為上層安全機制的補充。

" 為滿足工業物聯網的要求，提出了動態認證和多級授權技術。該技術通過對物理層信道觀測進行多步驗證，實現連續識別并增強安全性。傳統的身份認證在滿足工業物聯網的安全需求方面存在不足，因為它只能確定合法和非法信號，而不能滿足進一步的需求。例如，它無法為不同安全級別的資源分配不同的訪問權限。為解決這一限制，本文引入了多級授權概念，具有較高安全級別的合法用戶可以訪問相應安全級別的資源。此外，考慮到工業物聯網環境的不斷變化，本文利用卷積神經網絡（CNN）建立了信道估計矩陣分布函數和卷積圖。通過利用不同的支持向量機（SVM）根據惡意數據頻率識別和檢測各種數據類別，提出了一種用于異常測試的多支持向量機框架。該解決方案允許適應時間變化，從而增強安全性。

本文分為幾個部分。第二節介紹了系統模型。第三節討論了基于C_S算法的動態認證和多級授權技術。第四節展示了模型的可行性。最后，第五節對整篇論文進行了總結。

1" 系統模型

" 在無線靜態物聯網通信場景中，如圖3所示，合法物聯網設備（Alice）與被攻擊的基站（Bob）之間進行無線通信。攻擊者（Eve）旨在模仿合法物聯網設備，并試圖未經授權地訪問系統以獲取非法利益或引入虛假數據。這可能導致未經授權的訪問、隱私泄露、物聯網應用程序中的錯誤決策等問題。值得注意的是，該場景中的信道具有特定的特性，環境和信道屬性各不相同[10]。

2" 基于動態認證和多級授權的安全認證技術

" 卷積神經網絡是一種深度學習技術，用于從圖像中提取特征進行圖像分類。支持向量機是一種用于分類和回歸的機器學習技術。將這兩種技術結合起來可以提高圖像分類的準確性，并將其定義為C_S算法。本節提出了一種使用兩層支持向量機方法的入侵檢測方法，如圖4所示。第一層涉及數據預處理和特征選擇，而第二層則訓練模型并根據三種數據的信噪比應用不同的檢測方法。關于該方法的進一步細節將在下文中提供。

本段描述了一個過程涉及的詳細步驟：第一，進行數據預處理以確保圖像的質量和可用性；第二，使用CNN從圖像中提取特征；第三，將提取的特征轉換為SVM進行進一步處理；第四，使用轉換后的特征來訓練一個使用SVM的分類模型；第五，使用測試數據評估模型以確定其準確性。

" CNN模型通常利用多層卷積和池化操作來提取特征。然后使用全連接層將這些特征映射到最終的分類結果。該模型包括以下層次：

卷積層1（self.conv1）包括一個卷積層，一個ReLU激活函數和一個最大池化層。它接收單通道的輸入，如灰度圖像，并應用32個大小為5x5的卷積核。卷積操作使用文件大小為2和步長為1進行。然后，應用ReLU激活函數，并通過2x2的最大池化層進行降采樣。

" 卷積層2（self.conv2）是一個順序模塊，它以32個通道的特征圖作為輸入，這些特征圖是來自卷積層1的輸出。它使用16個大小為5×5的卷積核，卷積操作使用文件大小為2和步長為1進行。然后應用ReLU激活函數，通過2×2的最大池化層進行降采樣。

" 全連接層（self.out）是一個線性層，將卷積層的輸出連接到最終的分類輸出。它接收卷積層2的展平輸出（通過使用input_x.view（input_x.size（0），-1）函數獲得），并應用線性變換產生兩個輸出單元。這些輸出單元表示兩個類別的預測分數。

核函數是SVM的關鍵組成部分，解決了將數據映射到高維空間時計算效率降低的問題。本文使用三種類型的核函數：徑向基函數（RBF）、多項式核函數和Sigmoid核函數。

" 在給定的代碼中，選擇了三種核函數：RBF核函數、多項式核函數和Sigmoid核函數。這是為了展示在SVM模型中使用各種核函數的多功能性和有效性。每種核函數都具有獨特的數學特性和應用場景，可以根據數據特征和問題要求選擇合適的核函數。

3" 仿真結果分析

對于每種核函數，使用標準的支持向量機訓練模型。模型對異常數據的檢測率選擇在異常數據上具有最佳檢測效果的核函數，并與不同的SVM組合進行比較，以進一步完成入侵數據的檢測和識別。實驗使用NSL數據集的“NSL-Tran_20%”作為訓練集，以及“Test+”作為測試集。將異常數據的集合在中性化測試集中進行訓練，將其劃分為一類不同的攻擊。此時，訓練集和測試集的數據可表示為“Attack”、“Normal”和“Normal”。

然后，使用不同核函數的支持向量機進行線性模型測試，實驗結果顯示徑向基核函數在訓練集和測試集上的準確性優于其他核函數，因此在后續實驗中使用徑向基核函數RBF作為不同SVM模型的核函數。

" 在入侵檢測中，數據的預測包括以下幾個率：真正率TP、假負率FN、真負率TN和假正率FP。TP指的是在訓練模型檢測到的數據實際類別標簽和預測標簽都為正時。FN發生在數據的實際類別標簽為正，但訓練模型檢測到的數據的預測標簽為負時。TN是指數據的實際類別標簽和訓練模型檢測到的數據預測標簽都為負的情況。最后，FP發生在數據的實際類別標簽為負，但訓練模型檢測到的數據預測標簽為正時。

基于給定的TP、FN、TN和FP的定義，將這些指標結合起來使用準確率這一新評估指標。準確率定義為真正例和真負例的總和與真正例、真負例、假正例和假負例總和的比率。該指標允許分析模型在分類樣本中的整體準確率。更高的準確率表明模型正確分類樣本的能力更強。如公式（8）所示：

4" 結" 論

本文研究了工業物聯網中的安全認證，并提出了基于C_S算法的動態多級別授權模型。在工業物聯網中，傳統的身份認證只能確定合法和非法的信號，不能滿足在不同安全級別的資源上設置不同訪問權限等進一步需求。因此，本文提出了多級別授權，其中具有更高級別的合法用戶可以訪問更高級別的安全資源。此外，考慮到工業物聯網處于不斷變化的環境，建立了通道估計矩陣分布函數和卷積圖。然后，利用不同的支持向量機根據惡意數據的頻率識別和檢測不同類別的數據，呈現了一個用于異常測試的多支持向量機框架。該方案能夠適應時間改變并增強安全性。最后，使用在工業環境中采樣的NSL數據集驗證了基于C_S算法的動態多層模型的有效性。

參考文獻：

[1] B CHATTERJEE， D DAS， S MAITY， et al. RF-PUF： Enhancing IoT security through authentication of wireless nodes using in-situ machine learning[J]. IEEE Internet of Things Journal， 2019，6（1）：388-398.

[2]" KOEN TANGE， MICHELE DE DONNO， XENOFON FAFOUTIS， et al. A systematic survey of industrial internet of things security： Requirements and fog computing opportunities[J]. IEEE Communications Surveys Tutorials， 2020，22（4）：2489-2520.

[3] 邵澤華，劉彬，權亞強，等. 智能制造工業物聯網體系研究與分析[J]. 物聯網技術，2023，13（4）：140-143.

[4] 王婷婷，甘臣權，張祖凡. 面向工業物聯網的移動邊緣計算研究綜述[J]. 計算機應用與軟件，2023，40（1）：1-10，65.

[5] 許航. 工業物聯網中基于生物模糊提取技術的三因素匿名認證與密鑰協商方案研究[D]. 武漢：華中師范大學，2023.

[6]" KASHIF NAVEED， HUI WU. Poster： A semi-supervised framework to detect botnets in IoT devices[C] // IFIP Networking Conference （Networking）， 2020.

[7]" SYED MUHAMMAD SAJJAD， MUHAMMAD YOUSAF， HUMAIRA AFZAL， et al. eMUD： Enhanced manufacturer usage description for IoT botnets prevention on home wifi routers[J]. IEEE Access， 2020，8：164200-164213.

[8]" HIROKI KUZUNO， SHINTARO OTSUKA. Early detection of network incident using open security information[C] // In： 2018 32nd International Conference on Advanced Information Networking and Applications Workshops （WAINA）， 2018.

[9]" CHAO LIN， DEBIAO HE， NEERAJ KUMAR， et al. Security and privacy for the internet of drones： Challenges and solutions[J]. IEEE Communications Magazine， 2018，56（1）：64-69.

[10]" H FANG， X WANG， L HANZO. Learning-aided physical layer authentication as an intelligent process[J]. IEEE Trans Commun， 2019，67（3）：2260-2273.