异构无线网络认证技术研究
下一代无线网络并不是建立一个全新的网络,而是可以融合多种接入技术的异构无线网络。移动用户可以在使用不同接入技术的各个异构无线网络间漫游,使用多个网络资源。异构无线网络为人们提供通信便利的同时也带来了一些不安全因素,如窃听、假冒攻击、消息篡改、重放攻击、拒绝服务攻击等,而且不同接入技术的无线网络有着不同的安全规范和安全机制,这使得异构无线网络环境下安全问题更为复杂。因此需要在异构无线网络中实现可靠、高效的认证。本文在异构无线网络环境下研究了以下几个方面的内容:跨域签密和认证密钥协商;无线Mesh网络认证切换;以及跨域漫游切换认证。 本研究主要内容包括:⑴跨信任域认证问题在异构无线网络认证中非常普遍,各个信任域大多是独立的自治域,使用不同的系统参数,为此分别设计了跨自治域的签密方案及跨自治域的认证密钥协商方案,方案中对各个私钥生成器PKG(Private Key Generator)系统参数不作限制,并且给出了形式化安全分析。①基于身份密码体制提出了一种跨自治域的签密方案,对PKG系统参数不作限制,可以使用不同的系统公开参数、不同的主密钥和公钥。利用随机预言模型,基于BDH问题困难假设证明了协议的安全性,该协议满足机密性、不可伪造性、不可否认性和公开验证性。②提出了一种基于身份的跨自治域认证密钥协商协议,可使处于不同PKG管理域中的实体完成认证密钥协商。该协议假设所有信任域的各PKG使用完全不同的公开参数、不同的系统主密钥和公钥。该协议在eCK模型下是可证明安全的,还具有弱的完美前向安全性、PKG前向安全性、抗密钥泄露伪装攻击以及抗临时密钥泄露攻击等属性。⑵无线Mesh网络是异构无线网络的一种重要组网方式,它通过多跳转发为用户提供高带宽的接入服务。Mesh网络具有无线信道开放、动态拓扑、分布式协作以及资源受限等性质,使其很容易遭受到各种攻击,安全形势也比一般无线网络严峻。①Mesh客户端发生移动时,可能会失去当前所有可用链路,需要切换到其他接入点实现重新接入网络。考虑到Mesh客户端资源受限的实际以及实时性要求,设计了一种基于票据的双向认证方案,包括初始认证协议和快速切换协议。利用票据将认证过程中的4步握手协议减少至2步。切换认证过程无需认证服务器AS(Authentication Sever)参与,适用于多次切换,即便是多次切换仍无需AS参与。②无线Mesh网络通常由一些相互协作的子网组成,这些子网往往属于不同的信任域,在漫游场景下有必要建立起各信任域之间的安全关系。为此提出了无线Mesh网络多信任域模型,并利用签密算法构造了一种安全切换协议,仅需一轮消息交换即可实现Mesh骨干节点(Mesh Point)间跨信任域的本地化双向认证及会话密钥协商,无需AS参与。该协议在CK模型下是可证明安全的。⑶异构无线网络环境下,用户跨域漫游的现象非常突出。不同信任域的认证服务器之间通信时延和开销较大,尤其在用户拜访网络和家乡网络相距较远时,网络间通信时延和开销更大。为实现网络切换时漫游用户的快速接入,设计了三种完全本地化的跨自治域漫游认证协议,无需本地接入网络与用户家乡网络通信,而且这些协议在CK模型下是可证明安全的。①利用基于身份的跨域签密方案结合票据的思想构造了漫游用户的认证票据,设计了一种基于签密票据的跨域漫游认证方案,可实现漫游用户完全本地化接入认证,并且对PKG参数不作限制。既实现了用户的快速安全接入又避免了大量的计算开销。②针对异构无线网络漫游,构造了漫游用户的身份票据,利用该票据设计了一种跨自治域漫游认证方案。该方案可实现完全本地化跨自治域双向认证,并且对PKG系统参数不作限制。该方案不但能够实现跨域安全漫游,而且避免了大量的对运算开销,计算及通信开销非常小。③设计了一种异构无线网络匿名漫游认证方案,包括接入认证方案、切换方案及会话密钥协商方案,不仅实现了本地化跨信任域漫游认证,并且实现了匿名性,保护了用户的隐私。
无线通信;异构网络;网络安全;身份认证
解放军信息工程大学;中国人民解放军信息工程大学
博士
密码学
韩文报
2015
中文
TN925.93;TN915.08
123
2016-09-14(万方平台首次上网日期,不代表论文的发表时间)