移動(dòng)無線場(chǎng)景下的遠(yuǎn)程訪問認(rèn)證安全及其相關(guān)問題研究.pdf

1、本文主要研究移動(dòng)無線場(chǎng)景下的遠(yuǎn)程訪問認(rèn)證和密鑰交換問題及其相關(guān)問題.主要工作內(nèi)容和創(chuàng)新成果如下:1)提出了一種非對(duì)稱式的認(rèn)證和密鑰交換方案—AEAS(Asymmetric ECMQV-based Authentication Scheme)方案,它實(shí)現(xiàn)了對(duì)客戶端的傳統(tǒng)口令認(rèn)證和對(duì)服務(wù)端的公鑰認(rèn)證方式.AEAS方案中的用戶口令認(rèn)證方式具有零知識(shí)安全屬性,它允許用戶使用弱口令,并能抵御各種字典攻擊、重放攻擊和服務(wù)端口令驗(yàn)證庫泄密后的直接假冒

2、攻擊.與其它同類認(rèn)證和密鑰交換方案相比,AEAS方案具有最少的公鑰計(jì)算開銷,非常適合于移動(dòng)無線場(chǎng)景下的輕量級(jí)無線終端.本文在隨機(jī)神喻模型(Random Oracle Model)下證明了AEAS認(rèn)證協(xié)議的安全性.此外,還提出了一種高效的雙因子認(rèn)證協(xié)議—ATAP(AEAS-based Two Factor Authentication Scheme)協(xié)議.2)分析了IPSec協(xié)議與其它中間網(wǎng)絡(luò)設(shè)備(包括現(xiàn)有的NAT網(wǎng)關(guān)和未來IPv4/IP

3、v6網(wǎng)絡(luò)共存期間的NAT-PT網(wǎng)關(guān))的互操作問題,對(duì)現(xiàn)有的IPSec與NAT網(wǎng)關(guān)互操作方案進(jìn)行了改進(jìn),實(shí)現(xiàn)了IPSec在IPv4/IPv6網(wǎng)絡(luò)共存期間對(duì)NATv4、NATv6以及NAT-PT網(wǎng)關(guān)的自動(dòng)探測(cè)和基于UDP隧道的透明穿越.提出了一種新的UDP隧道封裝機(jī)制—NATPT-T隧道模式,可實(shí)現(xiàn)IPv6子網(wǎng)/主機(jī)與IPv4子網(wǎng)之間基于IPSec的應(yīng)用互通.3)提出了一種會(huì)話層遠(yuǎn)程訪問移動(dòng)解決方案—LRAM-VPN(Lightweight

4、 Remote Access Mobile VPN).LRAM-VPN采用專為無線網(wǎng)絡(luò)設(shè)計(jì)的WTLS協(xié)議來建立從移動(dòng)終端到企業(yè)網(wǎng)絡(luò)的端到端安全隧道,支持移動(dòng)節(jié)點(diǎn)在不同無線網(wǎng)絡(luò)之間的漫游,并保證上層應(yīng)用的不間斷性.此外,LRAM-VPN方案采用了不同措施來提高TCP和UDP應(yīng)用的性能,同時(shí)也提高了無線鏈路帶寬有效利用率;該方案還考慮了未來IPv4/IPv6過渡期間的應(yīng)用互通問題,支持不同IP版本應(yīng)用之間的互通.LRAM-VPN方案適合各種

5、無線終端,支持所有基于IP的網(wǎng)絡(luò)應(yīng)用,允許移動(dòng)企業(yè)員工在任何時(shí)間、任何地點(diǎn)使用最佳的接入網(wǎng)絡(luò)安全的連接到企業(yè)網(wǎng)并訪問企業(yè)內(nèi)網(wǎng)資源.4)提出了一種雙認(rèn)證服務(wù)器模式的強(qiáng)口令認(rèn)證方案—TSPA(Two-Server Strong Password Authentication Scheme).與其它強(qiáng)口令認(rèn)證方案不同,TSPA強(qiáng)口令認(rèn)證方案采用兩臺(tái)認(rèn)證服務(wù)器(它們可以放置在不同網(wǎng)絡(luò)管理域中),用戶口令驗(yàn)證因子被分散存儲(chǔ)在兩臺(tái)認(rèn)證服務(wù)器上,用戶