基于身份密碼學(xué)的MIPv6安全切換研究.pdf

1、隨著IP技術(shù)和無線通信技術(shù)的發(fā)展和融合，用戶對隨時隨地使用網(wǎng)絡(luò)的需求日益增強，無線移動網(wǎng)絡(luò)已經(jīng)成為未來網(wǎng)絡(luò)的發(fā)展方向。無線移動環(huán)境具有開放性特點，必須考慮移動環(huán)境的安全防護；移動切換效率是無線移動環(huán)境支持實時應(yīng)用的保障，因此必須考慮融合安全防護機制以后的移動切換效率。無線移動環(huán)境的安全防護和以及由此引發(fā)的切換效率是無線移動互聯(lián)網(wǎng)絡(luò)實用化過程中必須解決的兩大問題。移動IP作為網(wǎng)絡(luò)層的路由協(xié)議，只解決了節(jié)點移動過程中如何保持連接的問題，忽略

2、了其中存在的大量安全隱患，如接入認證安全、數(shù)據(jù)傳輸安全等。同時，移動IP標準本身并沒考慮到移動切換過程中的性能優(yōu)化問題，從而限制了實時業(yè)務(wù)在移動互聯(lián)網(wǎng)絡(luò)中的應(yīng)用。 在移動切換過程中引入安全性保障后，將會進一步降低移動切換性能。本文分析了移動切換過程中影響性能瓶頸的關(guān)鍵因素，從在移動切換中提供接入認證以及數(shù)據(jù)機密性等安全保障的角度，將身份密碼學(xué)進入移動切換過程，研究了如何使用身份密碼學(xué)技術(shù)實現(xiàn)安全的移動切換。利用身份密碼學(xué)技術(shù)的特

3、點，將切換瓶頸從傳輸鏈路轉(zhuǎn)移到了本地處理，提高了引入安全后的切換性能。本文的研究主要集中在這一方向上，并取得了如下創(chuàng)新性研究成果： 1.提出一種基于身份簽名的快速認證方法。本文設(shè)計了一種身份簽名機制，并利用該簽名技術(shù)的特點，提出了一種基于身份簽名的快速認證方法。該方法采用身份簽名技術(shù)實現(xiàn)用戶與接入網(wǎng)絡(luò)的雙向認證，并對移動切換過程中的接入認證和家鄉(xiāng)注冊進行了優(yōu)化。針對移動切換過程中的接入認證，將認證實現(xiàn)移到接入網(wǎng)絡(luò)完成，消除了認證

4、階段移動節(jié)點與家鄉(xiāng)網(wǎng)絡(luò)的交互帶來的傳輸延時；針對移動切換過程中的接入認證和家鄉(xiāng)注冊，采用對家鄉(xiāng)注冊消息進行簽名／驗證的方式完成身份認證，實現(xiàn)了接入認證與家鄉(xiāng)注冊的并發(fā)執(zhí)行，使得融合接入認證的家鄉(xiāng)注冊只需一次交互就可完成，大大降低了接入認證給移動切換過程帶來的延時開銷。通過和結(jié)合接入認證的快速切換方法在“接入認證+家鄉(xiāng)注冊”過程的切換延時方面的性能比較，驗證了快速認證方法要優(yōu)于傳統(tǒng)方法。通過安全性分析，驗證了快速認證方法滿足雙向接入認證安

5、全。 2.提出一種基于身份密碼學(xué)的安全切換方法。基于身份簽名的快速認證方法只考 慮了對移動切換過程中的接入認證和家鄉(xiāng)注冊階段的優(yōu)化，沒有考慮對移動切 換過程中的重復(fù)地址檢測和一般注冊階段的優(yōu)化。在快速認證方法研究的基礎(chǔ) 上，本文基于身份密碼學(xué)的思想，提出了一種安全切換方法，對移動切換過程 的三個階段：地址配置階段、接入認證階段和位置登記階段進行了整體優(yōu)化。該方法以減少切換過程中交互流程為主，再配合開銷不高的身份密碼學(xué)技術(shù)

6、保障安全性需求以達到優(yōu)化目的。設(shè)計了一種可認證的加密生成地址作為轉(zhuǎn)交地址，并利用該地址的唯一性消除重復(fù)地址檢測；利用本文提出的基于身份簽名的快速認證方法實現(xiàn)接入認證與家鄉(xiāng)注冊的并行，減少認證流程；利用可認證的轉(zhuǎn)交地址簡化一般注冊交互流程。同時，采用身份認證密鑰協(xié)商機制協(xié)商對稱密鑰，既滿足了移動切換過程的數(shù)據(jù)機密性等安全性需求，又消除了采用IKE實現(xiàn)密鑰協(xié)商對性能的影響。通過和結(jié)合Diameter的移動切換方法在整個移動切換過程的切換延時

7、方面的性能比較，驗證了安全切換方法要優(yōu)于傳統(tǒng)方法。通過安全性分析，驗證了安全切換方法滿足雙向接入認證安全、數(shù)據(jù)機密性安全等。 3.提出一種基于身份的層次化接入認證方法?；谏矸莺灻目焖僬J證方法和基于身份密碼學(xué)的安全切換方法從切換延時的角度提高了引入安全后的移動切換效率，在區(qū)域運動過程中的信令開銷方面缺少考慮。本文設(shè)計了一種兩層身份簽名機制，并結(jié)合層次化移動IPv6結(jié)構(gòu)，提出了一種基于身份簽名的層次化認證方法。該方法采用兩層身份

8、簽名技術(shù)實現(xiàn)用戶與接入網(wǎng)絡(luò)的雙向認證，對移動切換過程中的接入認證和家鄉(xiāng)注冊進行了優(yōu)化。利用身份簽名技術(shù)的特點和本地存儲公開參數(shù)的方式，減少了與家鄉(xiāng)網(wǎng)絡(luò)的交互次數(shù)；采用簽名/驗證家鄉(xiāng)注冊消息的方式實現(xiàn)了接入認證與家鄉(xiāng)注冊的并發(fā)執(zhí)行，減少了節(jié)點間的交互次數(shù)；采用層次化分級結(jié)構(gòu)，可以很容易擴展支持多層網(wǎng)絡(luò)結(jié)構(gòu)。通過和結(jié)合 接入認證的層次化移動切換方法、結(jié)合Diameter的移動切換方法在“接入認證+家鄉(xiāng)注冊”過程的切換延時方面的性能比較，驗