移動無線場景下的遠程訪問認證安全及其相關問題研究.pdf

1、本文主要研究移動無線場景下的遠程訪問認證和密鑰交換問題及其相關問題.主要工作內(nèi)容和創(chuàng)新成果如下:1)提出了一種非對稱式的認證和密鑰交換方案—AEAS(Asymmetric ECMQV-based Authentication Scheme)方案,它實現(xiàn)了對客戶端的傳統(tǒng)口令認證和對服務端的公鑰認證方式.AEAS方案中的用戶口令認證方式具有零知識安全屬性,它允許用戶使用弱口令,并能抵御各種字典攻擊、重放攻擊和服務端口令驗證庫泄密后的直接假冒

2、攻擊.與其它同類認證和密鑰交換方案相比,AEAS方案具有最少的公鑰計算開銷,非常適合于移動無線場景下的輕量級無線終端.本文在隨機神喻模型(Random Oracle Model)下證明了AEAS認證協(xié)議的安全性.此外,還提出了一種高效的雙因子認證協(xié)議—ATAP(AEAS-based Two Factor Authentication Scheme)協(xié)議.2)分析了IPSec協(xié)議與其它中間網(wǎng)絡設備(包括現(xiàn)有的NAT網(wǎng)關和未來IPv4/IP

3、v6網(wǎng)絡共存期間的NAT-PT網(wǎng)關)的互操作問題,對現(xiàn)有的IPSec與NAT網(wǎng)關互操作方案進行了改進,實現(xiàn)了IPSec在IPv4/IPv6網(wǎng)絡共存期間對NATv4、NATv6以及NAT-PT網(wǎng)關的自動探測和基于UDP隧道的透明穿越.提出了一種新的UDP隧道封裝機制—NATPT-T隧道模式,可實現(xiàn)IPv6子網(wǎng)/主機與IPv4子網(wǎng)之間基于IPSec的應用互通.3)提出了一種會話層遠程訪問移動解決方案—LRAM-VPN(Lightweight

4、 Remote Access Mobile VPN).LRAM-VPN采用專為無線網(wǎng)絡設計的WTLS協(xié)議來建立從移動終端到企業(yè)網(wǎng)絡的端到端安全隧道,支持移動節(jié)點在不同無線網(wǎng)絡之間的漫游,并保證上層應用的不間斷性.此外,LRAM-VPN方案采用了不同措施來提高TCP和UDP應用的性能,同時也提高了無線鏈路帶寬有效利用率;該方案還考慮了未來IPv4/IPv6過渡期間的應用互通問題,支持不同IP版本應用之間的互通.LRAM-VPN方案適合各種

5、無線終端,支持所有基于IP的網(wǎng)絡應用,允許移動企業(yè)員工在任何時間、任何地點使用最佳的接入網(wǎng)絡安全的連接到企業(yè)網(wǎng)并訪問企業(yè)內(nèi)網(wǎng)資源.4)提出了一種雙認證服務器模式的強口令認證方案—TSPA(Two-Server Strong Password Authentication Scheme).與其它強口令認證方案不同,TSPA強口令認證方案采用兩臺認證服務器(它們可以放置在不同網(wǎng)絡管理域中),用戶口令驗證因子被分散存儲在兩臺認證服務器上,用戶