IBE的移動(dòng)自組網(wǎng)安全防護(hù)范文

本站小編為你精心準(zhǔn)備了IBE的移動(dòng)自組網(wǎng)安全防護(hù)參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

《通信技術(shù)雜志》2014年第六期

1認(rèn)證機(jī)制分析比較

本節(jié)介紹目前主要的認(rèn)證機(jī)制，通過對比分析各種認(rèn)證機(jī)制的優(yōu)缺點(diǎn)以及適用的環(huán)境，表明基于ibe的認(rèn)證機(jī)制能更好地解決移動(dòng)自組網(wǎng)拓?fù)鋭?dòng)態(tài)變化、高時(shí)效等條件下的快速接入認(rèn)證問題。

1．1基于對稱密碼算法認(rèn)證機(jī)制基于對稱密碼算法認(rèn)證機(jī)制是目前無線環(huán)境下常用的安全接入方案，這種方案要求通信的雙方持有相同的密鑰才能進(jìn)行認(rèn)證和通信［6］。這種機(jī)制通常為每個(gè)移動(dòng)節(jié)點(diǎn)分配密鑰，保證每兩個(gè)設(shè)備之間共享唯一的密鑰，或是采用群組密鑰的方案，在一個(gè)群組內(nèi)部共享一個(gè)密鑰，通過密鑰分發(fā)中心來分發(fā)認(rèn)證密鑰。基于對稱密碼算法認(rèn)證機(jī)制具有速度快、效率高的優(yōu)點(diǎn)，但不具有密鑰實(shí)時(shí)更新、撤銷，以及數(shù)字簽名和抗抵賴等功能。

1．2基于PKI/CA認(rèn)證機(jī)制基于PKI/CA認(rèn)證機(jī)制中兩個(gè)移動(dòng)節(jié)點(diǎn)經(jīng)過同一個(gè)CA審核并獲得該CA簽發(fā)的數(shù)字證書。在實(shí)際的大規(guī)模網(wǎng)絡(luò)環(huán)境中存在多個(gè)CA，每個(gè)CA所管理的范圍稱為信任域。信任域內(nèi)CA作為獨(dú)立的第三方權(quán)威機(jī)構(gòu)，為建鏈的雙方節(jié)點(diǎn)提供信任憑證。基于PKI/CA認(rèn)證機(jī)制的缺點(diǎn)是證書狀態(tài)查詢會(huì)造成繁重的計(jì)算負(fù)擔(dān)和時(shí)間延遲;認(rèn)證過程交換雙方證書會(huì)產(chǎn)生較大的報(bào)文開銷。對于信道資源非常有限、機(jī)動(dòng)性和抗毀性要求高的無線環(huán)境而言，上述情況都有可能成為系統(tǒng)的瓶頸。

1．3基于WPKI認(rèn)證機(jī)制為了滿足基于PKI/CA認(rèn)證機(jī)制在無線環(huán)境下的應(yīng)用，在PKI的基礎(chǔ)上發(fā)展出了無線公鑰基礎(chǔ)設(shè)施(WPKI，WirelessPublicKeyInfrastructure)技術(shù)［7］。用戶首先向CA申請數(shù)字證書，CA通過審核用戶身份后簽發(fā)數(shù)字證書給用戶，用戶在無線網(wǎng)絡(luò)上進(jìn)行操作時(shí)使用數(shù)字證書保證端對端的安全。WPKI技術(shù)的實(shí)現(xiàn)與應(yīng)用仍存在兩個(gè)問題有待解決:①考慮使用優(yōu)化算法有效壓縮密鑰長度和證書長度，降低無線終端處理復(fù)雜度;②無線信道資源短缺，帶寬成本高，時(shí)延長，連接可靠性較低，因而技術(shù)實(shí)現(xiàn)上需要保證各項(xiàng)安全操作的靈敏度。

1．4基于門限認(rèn)證機(jī)制基于門限的認(rèn)證機(jī)制是指將一個(gè)秘鑰S拆分為n個(gè)份額(S1，S2，…，Sn)分配給n個(gè)用戶(U1，U2，…，Un)分別掌管。U1，U2，…，Un的某些指定用戶組合可以合作恢復(fù)秘鑰S。Si(1≤i≤n)稱作秘鑰份額，Ui(1≤i≤n)稱為份額持有者。特別地，若在一個(gè)具有n個(gè)份額的秘鑰共享方案中，利用任何t個(gè)或更多個(gè)份額可以恢復(fù)秘密S，而用任何t－1或更少的份額不能得到關(guān)于秘鑰S的任何有用信息，這個(gè)秘密共享方案就稱作(t，n)門限方案［3，8］。基于門限的認(rèn)證機(jī)制不依賴于任何固定設(shè)施，具有很高的機(jī)動(dòng)性和自組性。但是網(wǎng)絡(luò)擴(kuò)展性較差，難以支持跨域下的認(rèn)證。

1．5基于IBE認(rèn)證機(jī)制基于IBE的認(rèn)證機(jī)制的優(yōu)點(diǎn)在于節(jié)點(diǎn)的公鑰和身份合二為一，因而不存在公鑰管理的問題。IBE的私鑰管理機(jī)構(gòu)是私鑰生成器(PKG，PrivateKeyGener-ator)，PKG與傳統(tǒng)PKI中的認(rèn)證中心CA類似，負(fù)責(zé)離線分發(fā)用戶標(biāo)識和公鑰計(jì)算參數(shù)，并使用私鑰矩陣計(jì)算出用戶的私鑰，認(rèn)證過程不需要第三方參與，有效節(jié)省帶寬和計(jì)算資源，適應(yīng)無線環(huán)境的要求，但由于PKG參數(shù)對外公開，系統(tǒng)安全性僅依賴于私鑰矩陣，為了防止共謀攻擊，系統(tǒng)規(guī)模不能過大。目前主要認(rèn)證機(jī)制性能比較如表1所示。

2移動(dòng)自組網(wǎng)無線安全接入機(jī)制

典型的移動(dòng)自組網(wǎng)分為骨干網(wǎng)和接入子網(wǎng)兩個(gè)部分，移動(dòng)節(jié)點(diǎn)既可以與接入子網(wǎng)內(nèi)其它節(jié)點(diǎn)互聯(lián)互通，又可以接入上層的骨干網(wǎng)，具有很強(qiáng)的移動(dòng)性和抗毀性。移動(dòng)自組網(wǎng)采用分級認(rèn)證方式，在接入子網(wǎng)采用自組織無中心的認(rèn)證，骨干網(wǎng)采用有中心的認(rèn)證體系結(jié)構(gòu)。移動(dòng)自組網(wǎng)通過綜合統(tǒng)一鑒權(quán)認(rèn)證技術(shù)和高效的跨域鑒權(quán)認(rèn)證技術(shù)，以實(shí)現(xiàn)高效、可靠的鑒權(quán)認(rèn)證。移動(dòng)自組網(wǎng)系統(tǒng)認(rèn)證結(jié)構(gòu)如圖1所示，由認(rèn)證基礎(chǔ)設(shè)施、骨干網(wǎng)信任域、接入子網(wǎng)信任域組成。認(rèn)證基礎(chǔ)設(shè)施部署在接入網(wǎng)關(guān)，為每個(gè)節(jié)點(diǎn)接入提供安全參數(shù)的分發(fā)管理。移動(dòng)節(jié)點(diǎn)通信時(shí)進(jìn)行骨干網(wǎng)對等雙向認(rèn)證或接入子網(wǎng)動(dòng)態(tài)組網(wǎng)認(rèn)證，接入子網(wǎng)接入骨干網(wǎng)時(shí)涉及到接入認(rèn)證，不同子網(wǎng)的節(jié)點(diǎn)協(xié)同通信時(shí)涉及到跨域認(rèn)證。

2．1接入認(rèn)證接入子網(wǎng)節(jié)點(diǎn)與骨干網(wǎng)節(jié)點(diǎn)建立連接時(shí)，接入子網(wǎng)節(jié)點(diǎn)作為通信發(fā)起者，用戶通過簽名認(rèn)證碼和自身標(biāo)識表明自己的身份。如圖2所示，認(rèn)證報(bào)文由無線用戶身份模塊產(chǎn)生，包含報(bào)頭與認(rèn)證數(shù)據(jù)載荷，通過無線鏈路通道傳輸?shù)阶鳛榻邮照吖歉删W(wǎng)節(jié)點(diǎn)。接入子網(wǎng)節(jié)點(diǎn)與骨干網(wǎng)節(jié)點(diǎn)進(jìn)行節(jié)點(diǎn)間建鏈，必須進(jìn)行雙向認(rèn)證，只有認(rèn)證成功后，接入子網(wǎng)才被允許接入骨干網(wǎng)，同時(shí)接入子網(wǎng)也才被允許通過該骨干網(wǎng)收發(fā)數(shù)據(jù)。整個(gè)接入過程由雙向認(rèn)證和密鑰協(xié)商兩部分組成，接入認(rèn)證流程如下:1)通信發(fā)起者(移動(dòng)節(jié)點(diǎn)A)內(nèi)部的通信模塊向無線用戶身份模塊發(fā)起一個(gè)認(rèn)證請求信息。2)節(jié)點(diǎn)A的無線用戶身份模塊將認(rèn)證請求和標(biāo)識一起使用自身私鑰進(jìn)行簽名，并將認(rèn)證請求包發(fā)送到對端的無線用戶身份模塊。3)接收者(移動(dòng)節(jié)點(diǎn)B)的無線用戶身份模塊收到請求后，解析出節(jié)點(diǎn)A的認(rèn)證請求包，驗(yàn)證節(jié)點(diǎn)A標(biāo)識與簽名值，通過節(jié)點(diǎn)A標(biāo)識計(jì)算出節(jié)點(diǎn)A的真正公鑰，并利用公鑰驗(yàn)證簽名值是否正確。4)節(jié)點(diǎn)B驗(yàn)證簽名完成后，根據(jù)安全策略按照本地存儲(chǔ)的“黑名單”檢查發(fā)起者是否已經(jīng)被撤銷，并將認(rèn)證結(jié)果通告給節(jié)點(diǎn)B的通信模塊。

2．2動(dòng)態(tài)組網(wǎng)認(rèn)證各接入子網(wǎng)信任域內(nèi)移動(dòng)節(jié)點(diǎn)通過動(dòng)態(tài)組網(wǎng)認(rèn)證啟動(dòng)節(jié)點(diǎn)互聯(lián)模式的鑒權(quán)流程。節(jié)點(diǎn)之間采用分布式組網(wǎng)，并在無中心環(huán)境下進(jìn)行認(rèn)證，任何節(jié)點(diǎn)兩兩間都可以直接進(jìn)行認(rèn)證鑒權(quán)與初始化組網(wǎng)。骨干網(wǎng)信任域的對等雙向認(rèn)證與動(dòng)態(tài)組網(wǎng)認(rèn)證流程類似。基于IBE認(rèn)證機(jī)制實(shí)現(xiàn)信任域內(nèi)節(jié)點(diǎn)間雙向鑒權(quán)流程如圖3所示，移動(dòng)節(jié)點(diǎn)利用其上的無線用戶身份模塊進(jìn)行基于IBE算法的雙向認(rèn)證。假設(shè)節(jié)點(diǎn)B開機(jī)入網(wǎng)，首先與已入網(wǎng)節(jié)點(diǎn)A完成同步，執(zhí)行路由尋找與更新過程，值得注意的是路由尋找在技術(shù)難度與實(shí)現(xiàn)方式等層面和傳統(tǒng)的路由更新有所區(qū)別，這是由于無線信道開放且不穩(wěn)定(誤碼率高、易受干擾等)、通信無邊界等無線通信的特性造成;此外，MANETs存在缺乏基礎(chǔ)設(shè)施、網(wǎng)絡(luò)拓?fù)鋭?dòng)態(tài)變化、變化強(qiáng)度強(qiáng)弱差異等網(wǎng)絡(luò)特性;最后，層出不窮的各種應(yīng)用對MANETs的期望和挑戰(zhàn)越來越高，因此MANETs的安全性極富挑戰(zhàn)性，路由尋找也是目前MANET的一個(gè)重要而活躍的研究領(lǐng)域。圖3動(dòng)態(tài)組網(wǎng)認(rèn)證流程在節(jié)點(diǎn)A與B完成同步、路由尋找及更新過程后，節(jié)點(diǎn)B將包含設(shè)備ID、隨機(jī)數(shù)、簽名值的入網(wǎng)鑒權(quán)請求提交給節(jié)點(diǎn)A;節(jié)點(diǎn)A驗(yàn)證鑒權(quán)請求，并將包含設(shè)備ID、隨機(jī)數(shù)、簽名值、安全參數(shù)K的入網(wǎng)鑒權(quán)應(yīng)答和反向鑒權(quán)請求返回給節(jié)點(diǎn)B;節(jié)點(diǎn)B驗(yàn)證鑒權(quán)請求，并獲得安全參數(shù)K，完成對節(jié)點(diǎn)A的認(rèn)證，返回ACK應(yīng)答;節(jié)點(diǎn)A與節(jié)點(diǎn)B之間通過安全參數(shù)K建立傳輸通道。

2．3跨域認(rèn)證跨域認(rèn)證機(jī)制以用戶的身份信息作為公鑰的認(rèn)證機(jī)制，解決不同信任域的用戶訪問提供信息共享的信任傳遞。在認(rèn)證基礎(chǔ)設(shè)施補(bǔ)充域聯(lián)盟系統(tǒng)，域聯(lián)盟系統(tǒng)定義為具備信任域的注冊與撤銷服務(wù)、信任域關(guān)系查詢服務(wù)的管理設(shè)施［9］。不同信任域的移動(dòng)節(jié)點(diǎn)通過域聯(lián)盟系統(tǒng)充當(dāng)各信任域之間的“信任網(wǎng)關(guān)”。不同信任域節(jié)點(diǎn)間只有必要通信參數(shù)，沒有規(guī)劃認(rèn)證參數(shù)，通過預(yù)注入無線用戶身份模塊私鑰計(jì)算鑒權(quán)參數(shù)，與域聯(lián)盟系統(tǒng)進(jìn)行鑒權(quán)，通過共同信任的第三方建立間接的信任關(guān)系，鑒權(quán)傳輸計(jì)算和傳輸開銷有所增加。跨域認(rèn)證流程如圖4所示，認(rèn)證基礎(chǔ)設(shè)施首先對不同信任域的移動(dòng)節(jié)點(diǎn)進(jìn)行鑒權(quán)，無線用戶身份管理模塊通過廣播鑒權(quán)請求，節(jié)點(diǎn)完成鑒權(quán)響應(yīng)，域聯(lián)盟系統(tǒng)驗(yàn)證簽名值，完成對認(rèn)證基礎(chǔ)設(shè)施對節(jié)點(diǎn)的鑒權(quán)。然后，節(jié)點(diǎn)對認(rèn)證基礎(chǔ)設(shè)施的鑒權(quán)，無線用戶身份管理系統(tǒng)通過簽名節(jié)點(diǎn)鑒權(quán)響應(yīng)中包含的隨機(jī)數(shù)，并返回鑒權(quán)響應(yīng)，域聯(lián)盟系統(tǒng)對鑒權(quán)響應(yīng)含有的簽名值進(jìn)行驗(yàn)證，完成端機(jī)對主控站的鑒權(quán)，并利用認(rèn)證基礎(chǔ)設(shè)施返回的安全參數(shù)K建立安全通道。

3結(jié)語

文中研究基于IBE的移動(dòng)自組網(wǎng)安全接入機(jī)制，采用通信協(xié)議與認(rèn)證協(xié)議一體化設(shè)計(jì)思路，減少傳輸開銷，降低交互認(rèn)證次數(shù)，解決移動(dòng)自組網(wǎng)拓?fù)鋭?dòng)態(tài)變化、高時(shí)效性、快速切換等環(huán)境下的輕量高效認(rèn)證問題。針對接入子網(wǎng)接入骨干網(wǎng)時(shí)涉及到接入認(rèn)證，骨干網(wǎng)對等雙向認(rèn)證或動(dòng)態(tài)組網(wǎng)認(rèn)證，不同信任域節(jié)點(diǎn)協(xié)同通信時(shí)涉及到跨域認(rèn)證，分別提出相關(guān)的認(rèn)證流程和安全接入技術(shù)實(shí)現(xiàn)途徑，保證骨干網(wǎng)、接入子網(wǎng)互聯(lián)互通時(shí)的安全可控，為建設(shè)移動(dòng)自組網(wǎng)安全防護(hù)體系提供理論依據(jù)和技術(shù)支撐。

作者：楊春順趙越楊棟李明桂單位：海軍駐上海地區(qū)通信軍事代表室中國電子科技集團(tuán)公司第三十研究所