移动自组织网络的安全接入技术研究(5)

对MANET安全接入技术的研究，主要完成指标如下：

在松散无基础设施的网络条件下，已有节点能够实现对新加入节点的接入控制； 基于MANET的安全接入模型；

基于MANET的安全认证研究框架

基于MANET的安全接入认证方案；

MANET中被俘获节点的识别方法；

MANET中恶意节点的隔离方法。

发表论文10篇以上

申请专利3项以上

申请软件登记1项以上

本课题的主要参与人员是博士研究生和硕士研究生。计划通过本课题的实施，申请发明专利3项以上。培养博士5人、硕士10人以上。

3.5、课题拟采取的研究方法，课题技术路线（或实施方案）及其可行性分析（如有协作单位，请说明课题的任务分工）

本部分针对本课题的主要研究内容，分别采取相应的技术路线

（1）MANET的安全接入模型

模型化的方法，使得系统各方面的行为(即性能和可靠性)可以在研发的早期阶段被预知,从而更容易解决问题。因此本课题首先需要对安全接入问题进行抽象，建立理论模型。通过模型化的方法，对各种的安全接入方法进行分析对比，找出更安全、更高效的接入方法。

（2）MANET的安全接入认证方法

要实现一套完整的网络接入认证流程，主要包括如下三个层面：

接入控制层，就是控制接入，即允许哪些用户接入，什么时候允许接入，允许接入到什么地方等。目前主要有三种接入认证控制方式：PPPoE 认证方式、Web 认证方式和802.1X 认证方式。

认证控制层，就是控制认证，即控制认证消息的交互规则，协商需要采用的认证方法及其参数等。目前多采用EAP （extensible autherntication protocol 扩展认证协议）认证框架实现用户与网络间的认证，如802.1X、Diameter 等。

认证实现层，就是实现认证，即在选定的接入控制和认证控制方式的基础上，完成认证功能。常用的有认证方法包括用户名/口令、MD5、CHAP、AKA 等。认证控制和认证实现通常是结合在一起完成接入认证。

从接入控制方法角度来说，PPPoE、Web 和802.1x 三种认证方式各有其特点：PPPoE 在技术上存在一些缺陷，但它是目前最成熟的标准；Web 认证方式，用户端不需要安装任何软件，使用起来很方便，但其认证方式标准不统一，为各厂商私有，对于需要广泛兼容性

的环境不适合，还有待于标准的进一步统一；802.1X 是刚刚完成标准化的一个符合IEEE 802 的局域网接入控制协议，可以和其它加密方法一起为用户解决网络安全问题，实现了认证流与业务流分离，支持高质量的视频点播和组播业务，这些特点使得802.1X 作为新推出的国际标准的安全认证协议，正越来越引起厂商和运营商的重视，随着更多的接入设备对该标准的支持，该认证方式也会得到越来越多的应用。

（3）安全认证框架的研究

对具体认证功能的实现来说，影响认证性能的关键因素不在于接入控制的方法，而是认证实现时采用的认证实现框架以及具体的认证实现方法。就目前而言，移动网络的认证实现主要还是采用基于挑战/应答方式的EAP认证框架。该框架的优势在于它的可扩展性，但由此带来的问题则是牺牲了认证性能，即认证的实现需要认证各方多次交互才能完成，如果进一步考虑具体认证方法，则交互流程会更多，由此产生的大量传输延时对于MANET，尤其是在一些紧急场合中的实时性应用来说是致命的。因此需要针对不同的应用场景和响应速度的要求，设计相应的安全认证框架。

（4）基于信任管理的认证机制

Blaze M等人在1996年首次提出了信任管理，随后出现了与之相关的研究。信任管理是一种以密钥为中心的授权机制。它把公钥作为主体，可直接对公钥进行授权。主要依据节点自己的经验和其它节点的推荐判断并维护对其它节点的信任程度。

信任管理采用对等的授权模型。 每个实体可以是授权者、第三方凭证发布者或访问请求者。 与公钥体系（隐含通信双方有相同的信任根）相比，信任管理没有任何隐含的信任假定，信任模型完全由本地控制，更灵活、更具有扩展性。信任管理必须是通用的、独立于应用，采用的一致性证明算法应避免与特定应用相关的语义。 通用信任管理引擎所作出的授权决策应只依赖于调用该引擎的应用提供的输入，而不是引擎的设计或实现中隐含的策略决策。这样能确保授权决策的可靠性。

在设计和实现信任管理引擎时必须考虑以下问题：

（1）如何定义“一致性证据”？

（2）策略和凭证是完全或部分可编程，应使用何种语言来描述策略和凭证？

（3）如何划分应用和信任管理引擎之间的职责？例如:由谁来进行签名验证？是由应用在调用引擎之前收集所有一致性证明所需的凭证，或由引擎在进行一致性证明时收集？

（4）分布式CA模式

分布式CA 模式采用（t，n）门限秘密共享技术为节点分配CA 私钥份额，这样任意t 个节点都可以实现CA 功能。为防止CA 私钥泄漏造成系统级的严重危害，可以通过Lagrange

插值公式更新节点的CA 私钥份额。考虑到公钥认证的计算量以及节点公钥证书和CA 私钥份额的更新，直接采用上述方案进行认证对于低端设备来说存在困难。对于单跳范围内的N 个邻居节点，需要进行N！次双向认证过程；节点漫游时还需要和更多的新节点进行交互认证，计算量将进一步加大。该方案需要信任组中的节点存储其他网络节点的公钥证书，并且存在有余力的节点提供这项服务，对于各种资源极其有限的MANET网络节点来说，在有些情况下甚至是不可能做到的。需要对现有的分布式CA模式进行改进。例如，简化认证过程，减少私钥存放的节点。例如可以通过选举，选择少量的节点存放私钥，这样既可以防止单点失效，也可以减少双向认证的过程。

（5）基于身份加密的安全模式

基于身份加密的思想是由Shamir最先提出，其目的是为了简化传统的公钥密码体制（PKC，Public Key Cryptography）和使密钥管理更加容易。在这种模式中，用户的身份被用来当作公钥，这样使密钥管理更容易，并且不需要执行密钥撤销的证书。节点通过使用非交互性计算对称密钥，减少通讯开销。这种最小化PKC 开销的模式对移动的、资源受限的MANET来说，非常具有吸引力。对于传统的基于身份的密钥技术遭遇密钥托管问题，提出一种门限密码体制技术。与传统模式不一样，基本模式只需通过可信的认证机构分发一次私钥，并由节点在需要时自由的生成共享对称密钥，而不需要第三方来生成大量的这种密钥。

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说医药卫生移动自组织网络的安全接入技术研究(5)在线全文阅读。