论文部分内容阅读
摘要:传统网络体系结构中由于IP地址的双重属性导致了很多无法解决的问题,如路由的扩展性、移动性以及安全性。身份与位置分离网络明确地分离了主机身份与位置信息,将互联网体系划分为接入网与核心网两大类,很好地解决了互联网的扩展性和移动性等问题。目前对身份与位置分离网络的研究主要集中在网络体系结构、映射解析机制、移动性等方面,针对通信认证协议的研究工作还需要深入开展。事实上,通信认证协议是其它各种安全业务的基础,通过使用通信认证协议可以实现实体身份的认证,保证传输的消息内容的完整性,以及密钥的安全分配。相比传统网络,身份与位置分离网络在网络架构和通信流程上存在差异,使得传统网络中很多安全通信认证方法不再适用于身份与位置分离网络。尽管在身份与位置分离网络中已经有一些接入认证和快速认证的研究成果,但是这些方法在安全性、灵活性和效率上都有待进一步提高。此外,目前仍没有开展身份与位置分离网络中针对安全路由优化的研究。本文立足于身份与位置分离网络,对终端的接入认证以及认证密钥交换、终端域内快速认证、终端域间快速认证、以及由终端移动导致的域内和域间安全路由优化问题进行了研究。主要工作和创新点如下:(1)提出了可证明安全的可信接入认证方法,实现了终端和认证中心之间以及接入路由器和认证中心之间的相互认证,保证了终端平台和接入路由器的可信性。与其它同类方法相比,本方法具有更低的认证时延、认证开销,更好的安全性和灵活性。为了在认证的同时实现会话密钥的分配,在可信接入认证方法的基础上,提出了可证明安全的认证密钥交换方法,并分析了协议的性能和安全性。(2)提出了一种终端域内切换时的可信快速认证方案,设计了用于域内快速切换的Token。终端首先获得一个由家乡域的认证中心分配的Token。当终端进行‘域内切换认证时不需要本域的认证中心再次参与,接入路由器通过Token就可以对移动终端进行认证。从认证开销、认证时延、切换时延以及安全性方面对所提出的方案进行分析,并与其它方案进行比较,分析结果表明该方案是安全高效的。认证过程可以实现对终端平台的认证,保持了用户身份和平台信息的匿名性,减轻了认证中心的负担,与现有协议相比在性能上具有一定优势。(3)针对目前域间快速认证方法存在的问题,提出了基于Ticket的可信域间快速认证协议。该方案对用户身份进行认证的同时,也实现了终端平台的身份认证和终端平台的完整性校验。在本方案中,通过设计的Ticket,当移动终端移动到。个新的管理域时,访问域的认证中心通过终端携带的家乡域颁发的Ticket就可以对移动节点进行认证,不再需要由家乡域进行认证。分析表明该方案是安全有效的,综合性能与现有方案相比具有一定优势。(4)移动终端在进行移动切换之后,为了避免三角路由,需要进行路由优化。在路由优化的过程中面临着黑洞攻击、DoS攻击、重放攻击等。为了更好地抵抗这些攻击,提出了域内安全路由优化方法和域间安全路由优化方法。分析表明:这两种方法具有很高的执行效率,同时可以保证通信的机密性、不可抵赖性,抵抗重放攻击、假冒攻击、黑洞攻击、DoS攻击,保证了接入路由器和映射服务器的可信性和安全性。综上所述,本文以解决身份与位置分离网络中的安全认证为目标,分析研究了身份与位置分离网络和传统网络中终端通信流程中的相关认证协议。从提高认证协议的效率、安全性和灵活性出发,提出了满足身份与位置分离网络需求且具有更高安全性和更好性能的认证协议。研究结果对身份与位置分离网络的最终实现具有一定的理论价值和实际意义。