IBE的移動自組網安全防護范文

本站小編為你精心準備了IBE的移動自組網安全防護參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

《通信技術雜志》2014年第六期

1認證機制分析比較

本節介紹目前主要的認證機制，通過對比分析各種認證機制的優缺點以及適用的環境，表明基于ibe的認證機制能更好地解決移動自組網拓撲動態變化、高時效等條件下的快速接入認證問題。

1．1基于對稱密碼算法認證機制基于對稱密碼算法認證機制是目前無線環境下常用的安全接入方案，這種方案要求通信的雙方持有相同的密鑰才能進行認證和通信［6］。這種機制通常為每個移動節點分配密鑰，保證每兩個設備之間共享唯一的密鑰，或是采用群組密鑰的方案，在一個群組內部共享一個密鑰，通過密鑰分發中心來分發認證密鑰?；趯ΨQ密碼算法認證機制具有速度快、效率高的優點，但不具有密鑰實時更新、撤銷，以及數字簽名和抗抵賴等功能。

1．2基于PKI/CA認證機制基于PKI/CA認證機制中兩個移動節點經過同一個CA審核并獲得該CA簽發的數字證書。在實際的大規模網絡環境中存在多個CA，每個CA所管理的范圍稱為信任域。信任域內CA作為獨立的第三方權威機構，為建鏈的雙方節點提供信任憑證?；赑KI/CA認證機制的缺點是證書狀態查詢會造成繁重的計算負擔和時間延遲;認證過程交換雙方證書會產生較大的報文開銷。對于信道資源非常有限、機動性和抗毀性要求高的無線環境而言，上述情況都有可能成為系統的瓶頸。

1．3基于WPKI認證機制為了滿足基于PKI/CA認證機制在無線環境下的應用，在PKI的基礎上發展出了無線公鑰基礎設施(WPKI，WirelessPublicKeyInfrastructure)技術［7］。用戶首先向CA申請數字證書，CA通過審核用戶身份后簽發數字證書給用戶，用戶在無線網絡上進行操作時使用數字證書保證端對端的安全。WPKI技術的實現與應用仍存在兩個問題有待解決:①考慮使用優化算法有效壓縮密鑰長度和證書長度，降低無線終端處理復雜度;②無線信道資源短缺，帶寬成本高，時延長，連接可靠性較低，因而技術實現上需要保證各項安全操作的靈敏度。

1．4基于門限認證機制基于門限的認證機制是指將一個秘鑰S拆分為n個份額(S1，S2，…，Sn)分配給n個用戶(U1，U2，…，Un)分別掌管。U1，U2，…，Un的某些指定用戶組合可以合作恢復秘鑰S。Si(1≤i≤n)稱作秘鑰份額，Ui(1≤i≤n)稱為份額持有者。特別地，若在一個具有n個份額的秘鑰共享方案中，利用任何t個或更多個份額可以恢復秘密S，而用任何t－1或更少的份額不能得到關于秘鑰S的任何有用信息，這個秘密共享方案就稱作(t，n)門限方案［3，8］?；陂T限的認證機制不依賴于任何固定設施，具有很高的機動性和自組性。但是網絡擴展性較差，難以支持跨域下的認證。

1．5基于IBE認證機制基于IBE的認證機制的優點在于節點的公鑰和身份合二為一，因而不存在公鑰管理的問題。IBE的私鑰管理機構是私鑰生成器(PKG，PrivateKeyGener-ator)，PKG與傳統PKI中的認證中心CA類似，負責離線分發用戶標識和公鑰計算參數，并使用私鑰矩陣計算出用戶的私鑰，認證過程不需要第三方參與，有效節省帶寬和計算資源，適應無線環境的要求，但由于PKG參數對外公開，系統安全性僅依賴于私鑰矩陣，為了防止共謀攻擊，系統規模不能過大。目前主要認證機制性能比較如表1所示。

2移動自組網無線安全接入機制

典型的移動自組網分為骨干網和接入子網兩個部分，移動節點既可以與接入子網內其它節點互聯互通，又可以接入上層的骨干網，具有很強的移動性和抗毀性。移動自組網采用分級認證方式，在接入子網采用自組織無中心的認證，骨干網采用有中心的認證體系結構。移動自組網通過綜合統一鑒權認證技術和高效的跨域鑒權認證技術，以實現高效、可靠的鑒權認證。移動自組網系統認證結構如圖1所示，由認證基礎設施、骨干網信任域、接入子網信任域組成。認證基礎設施部署在接入網關，為每個節點接入提供安全參數的分發管理。移動節點通信時進行骨干網對等雙向認證或接入子網動態組網認證，接入子網接入骨干網時涉及到接入認證，不同子網的節點協同通信時涉及到跨域認證。

2．1接入認證接入子網節點與骨干網節點建立連接時，接入子網節點作為通信發起者，用戶通過簽名認證碼和自身標識表明自己的身份。如圖2所示，認證報文由無線用戶身份模塊產生，包含報頭與認證數據載荷，通過無線鏈路通道傳輸到作為接收者骨干網節點。接入子網節點與骨干網節點進行節點間建鏈，必須進行雙向認證，只有認證成功后，接入子網才被允許接入骨干網，同時接入子網也才被允許通過該骨干網收發數據。整個接入過程由雙向認證和密鑰協商兩部分組成，接入認證流程如下:1)通信發起者(移動節點A)內部的通信模塊向無線用戶身份模塊發起一個認證請求信息。2)節點A的無線用戶身份模塊將認證請求和標識一起使用自身私鑰進行簽名，并將認證請求包發送到對端的無線用戶身份模塊。3)接收者(移動節點B)的無線用戶身份模塊收到請求后，解析出節點A的認證請求包，驗證節點A標識與簽名值，通過節點A標識計算出節點A的真正公鑰，并利用公鑰驗證簽名值是否正確。4)節點B驗證簽名完成后，根據安全策略按照本地存儲的“黑名單”檢查發起者是否已經被撤銷，并將認證結果通告給節點B的通信模塊。

2．2動態組網認證各接入子網信任域內移動節點通過動態組網認證啟動節點互聯模式的鑒權流程。節點之間采用分布式組網，并在無中心環境下進行認證，任何節點兩兩間都可以直接進行認證鑒權與初始化組網。骨干網信任域的對等雙向認證與動態組網認證流程類似。基于IBE認證機制實現信任域內節點間雙向鑒權流程如圖3所示，移動節點利用其上的無線用戶身份模塊進行基于IBE算法的雙向認證。假設節點B開機入網，首先與已入網節點A完成同步，執行路由尋找與更新過程，值得注意的是路由尋找在技術難度與實現方式等層面和傳統的路由更新有所區別，這是由于無線信道開放且不穩定(誤碼率高、易受干擾等)、通信無邊界等無線通信的特性造成;此外，MANETs存在缺乏基礎設施、網絡拓撲動態變化、變化強度強弱差異等網絡特性;最后，層出不窮的各種應用對MANETs的期望和挑戰越來越高，因此MANETs的安全性極富挑戰性，路由尋找也是目前MANET的一個重要而活躍的研究領域。圖3動態組網認證流程在節點A與B完成同步、路由尋找及更新過程后，節點B將包含設備ID、隨機數、簽名值的入網鑒權請求提交給節點A;節點A驗證鑒權請求，并將包含設備ID、隨機數、簽名值、安全參數K的入網鑒權應答和反向鑒權請求返回給節點B;節點B驗證鑒權請求，并獲得安全參數K，完成對節點A的認證，返回ACK應答;節點A與節點B之間通過安全參數K建立傳輸通道。

2．3跨域認證跨域認證機制以用戶的身份信息作為公鑰的認證機制，解決不同信任域的用戶訪問提供信息共享的信任傳遞。在認證基礎設施補充域聯盟系統，域聯盟系統定義為具備信任域的注冊與撤銷服務、信任域關系查詢服務的管理設施［9］。不同信任域的移動節點通過域聯盟系統充當各信任域之間的“信任網關”。不同信任域節點間只有必要通信參數，沒有規劃認證參數，通過預注入無線用戶身份模塊私鑰計算鑒權參數，與域聯盟系統進行鑒權，通過共同信任的第三方建立間接的信任關系，鑒權傳輸計算和傳輸開銷有所增加?？缬蛘J證流程如圖4所示，認證基礎設施首先對不同信任域的移動節點進行鑒權，無線用戶身份管理模塊通過廣播鑒權請求，節點完成鑒權響應，域聯盟系統驗證簽名值，完成對認證基礎設施對節點的鑒權。然后，節點對認證基礎設施的鑒權，無線用戶身份管理系統通過簽名節點鑒權響應中包含的隨機數，并返回鑒權響應，域聯盟系統對鑒權響應含有的簽名值進行驗證，完成端機對主控站的鑒權，并利用認證基礎設施返回的安全參數K建立安全通道。

3結語

文中研究基于IBE的移動自組網安全接入機制，采用通信協議與認證協議一體化設計思路，減少傳輸開銷，降低交互認證次數，解決移動自組網拓撲動態變化、高時效性、快速切換等環境下的輕量高效認證問題。針對接入子網接入骨干網時涉及到接入認證，骨干網對等雙向認證或動態組網認證，不同信任域節點協同通信時涉及到跨域認證，分別提出相關的認證流程和安全接入技術實現途徑，保證骨干網、接入子網互聯互通時的安全可控，為建設移動自組網安全防護體系提供理論依據和技術支撐。

作者：楊春順趙越楊棟李明桂單位：海軍駐上海地區通信軍事代表室中國電子科技集團公司第三十研究所