無(wú)線多跳網(wǎng)絡(luò)的認(rèn)證、密鑰協(xié)商及信任機(jī)制研究.pdf

1、作為下一代寬帶無(wú)線接入網(wǎng)絡(luò)采用的架構(gòu)，無(wú)線多跳網(wǎng)絡(luò)大多沒(méi)有完善的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，無(wú)線信道完全開(kāi)放，網(wǎng)絡(luò)也缺乏自穩(wěn)定性。數(shù)據(jù)在無(wú)線環(huán)境下進(jìn)行多跳傳輸，失去了有線網(wǎng)絡(luò)的封閉性保護(hù)，對(duì)無(wú)線多跳網(wǎng)絡(luò)環(huán)境下的用戶認(rèn)證、授權(quán)、密鑰管理、數(shù)據(jù)保護(hù)等相關(guān)安全機(jī)制也帶來(lái)了更大的新的挑戰(zhàn)。 無(wú)線Adhoc網(wǎng)絡(luò)是一種典型的不依賴于基礎(chǔ)設(shè)施的由移動(dòng)節(jié)點(diǎn)動(dòng)態(tài)構(gòu)建的無(wú)線多跳網(wǎng)絡(luò)，它采用無(wú)中心的分布式控制方式，具有較強(qiáng)的自組織性和抗毀性；無(wú)線：Mesh網(wǎng)絡(luò)(W

2、irelessMeshNetwork，WMN)是從Adhoc網(wǎng)絡(luò)分離出來(lái)，并承襲了部分WLAN技術(shù)的一種新的網(wǎng)絡(luò)技術(shù)，具備多跳、高容量、高速率及分布式的特點(diǎn)。本文對(duì)無(wú)線多跳Adhoc網(wǎng)絡(luò)和無(wú)線多跳Mesh網(wǎng)絡(luò)的架構(gòu)和安全機(jī)制進(jìn)行了分析研究，重點(diǎn)研究了無(wú)線多跳Mesh網(wǎng)絡(luò)的相關(guān)安全機(jī)制，提出了多個(gè)新的解決方案和觀點(diǎn)。 本文的研究成果及創(chuàng)新點(diǎn)體現(xiàn)在以下幾個(gè)方面： 1.針對(duì)分布式分級(jí)分簇的Adhoc網(wǎng)絡(luò)，定義了一種基于信任值更

3、新的數(shù)學(xué)模型，提出了基于信任值更新模型的簇頭代理和成員監(jiān)督的認(rèn)證機(jī)制，增強(qiáng)了認(rèn)證的安全性，減少了認(rèn)證和密鑰協(xié)商的數(shù)據(jù)通信量，提高了密鑰傳輸?shù)男省?2.描述了一種無(wú)線多跳Mesh網(wǎng)絡(luò)下的認(rèn)證框架與方法，該方案基于Kerberos機(jī)制，采用了身份認(rèn)證與接入授權(quán)分開(kāi)進(jìn)行的設(shè)計(jì)思路，減少了周期性認(rèn)證的交互流程，實(shí)現(xiàn)了分級(jí)授權(quán)。偽隨機(jī)序列在無(wú)線多跳網(wǎng)絡(luò)的用戶認(rèn)證、密鑰協(xié)商、數(shù)據(jù)保護(hù)等方面具有重要的應(yīng)用價(jià)值，基于超混沌模型，闡述了把超混沌

4、序列降維后用來(lái)設(shè)計(jì)偽隨機(jī)序列的思想，提出并設(shè)計(jì)了新型的降維算法，并對(duì)所設(shè)計(jì)的超混沌序列性能進(jìn)行了深入地分析研究。研究表明：產(chǎn)生的新型混沌偽隨機(jī)序列具有很好的復(fù)雜度和擴(kuò)散均勻度，為新型偽隨機(jī)序列的生成提供了另外一條解決思路。 3.無(wú)線多跳Mesh網(wǎng)絡(luò)的鏈路開(kāi)放性，給用戶通信數(shù)據(jù)的無(wú)線安全傳輸帶來(lái)了較大挑戰(zhàn)。為了能使用戶在異地接入無(wú)線多跳Mesh網(wǎng)絡(luò)的通信數(shù)據(jù)得以安全密態(tài)傳輸，提出了一種新的STA通過(guò)非歸屬M(fèi)AP(MeshAcces

5、sPoint)安全接入二層連通的無(wú)線多跳Mesh網(wǎng)絡(luò)時(shí)的認(rèn)證與密鑰協(xié)商協(xié)議SAVAKA(SecureAccessVisitorDomainAuthenticationandKeyAgreementProtocol)，保障了非歸屬M(fèi)AP節(jié)點(diǎn)以及其他多跳MAP節(jié)點(diǎn)不能獲取用戶終端的數(shù)據(jù)通信信息。在Canetti-Krawczyk模型下完成了SAVAKA協(xié)議的設(shè)計(jì)與形式化安全性分析與證明，不依賴上層的安全方案保護(hù)，解決了STA通過(guò)非歸屬域接入

6、Mesh網(wǎng)絡(luò)時(shí)的用戶通信數(shù)據(jù)私密性問(wèn)題，方案還能支持多網(wǎng)關(guān)模式下無(wú)線多跳Mesh網(wǎng)絡(luò)的用戶無(wú)線接入。思路新穎，具有較強(qiáng)的實(shí)際意義和應(yīng)用價(jià)值。 4.為了解決移動(dòng)用戶通過(guò)無(wú)線多跳Mesh網(wǎng)絡(luò)接入時(shí)的安全認(rèn)證問(wèn)題，首先提出了一種預(yù)認(rèn)證的安全切換機(jī)制，該方法采用MN(MobileNode)廣播消息的方式，接入認(rèn)證與安全切換同時(shí)進(jìn)行，實(shí)現(xiàn)了雙向的提前認(rèn)證，減少了MN與歸屬域的交互流程，提高了接入時(shí)的認(rèn)證效率。其次，基于Asmuth-Blo

7、om門限機(jī)制，設(shè)計(jì)了多服務(wù)器的無(wú)線Mesh網(wǎng)絡(luò)門限認(rèn)證系統(tǒng)模型，描述了具體的無(wú)線接入和認(rèn)證流程。在該系統(tǒng)中，采用門限機(jī)制，只有認(rèn)證服務(wù)器組中的成員才可以執(zhí)行有效的認(rèn)證過(guò)程，保證了接入認(rèn)證過(guò)程的安全性，也避免了假冒攻擊和單個(gè)服務(wù)器被攻陷。 5.無(wú)線Mesh網(wǎng)絡(luò)環(huán)境下，信息通過(guò)開(kāi)放環(huán)境下的多跳節(jié)點(diǎn)中繼傳輸，種種不規(guī)范的網(wǎng)絡(luò)行為難以監(jiān)管和控制。為了解決用戶通過(guò)無(wú)線Mesh網(wǎng)絡(luò)進(jìn)行發(fā)帖行為的不可抵賴問(wèn)題，提出了一種基于用戶行為認(rèn)證碼來(lái)實(shí)

8、現(xiàn)用戶通過(guò)Mesh網(wǎng)絡(luò)接入Internet的網(wǎng)上業(yè)務(wù)操作不可抵賴的方法，設(shè)計(jì)了用戶行為認(rèn)證碼，完成了在Mesh網(wǎng)絡(luò)的MAC層對(duì)應(yīng)用層數(shù)據(jù)的多網(wǎng)關(guān)模式的認(rèn)證處理，通過(guò)對(duì)現(xiàn)有網(wǎng)絡(luò)協(xié)議棧進(jìn)行合理改進(jìn)，實(shí)現(xiàn)了無(wú)線Mesh網(wǎng)絡(luò)中用戶的發(fā)帖行為可控，發(fā)帖事件可查的安全目標(biāo)。 6.在無(wú)線多跳網(wǎng)絡(luò)中，由于動(dòng)態(tài)變化的網(wǎng)狀拓?fù)浣Y(jié)構(gòu)和不穩(wěn)定的節(jié)點(diǎn)連通性，要建立任意兩個(gè)通信節(jié)點(diǎn)間直接的信任關(guān)系會(huì)比較困難。提出了群推薦的概念，在基于群推薦的基礎(chǔ)上，提出了