天地一体化网络认证机制性能定量分析方法

在天地一体化网络中,为保证节点身份的合法性,需要对节点进行接入认证及切换认证。但是,认证机制的实施将会影响网络性能,因此该文对各种认证组合方案的整体性能进行量化分析。建立天地一体化网络认证与节点通信模型,定义了6种认证协议,给出了4种典型的认证组合方案。定义了平均认证时延与平均认证开销两种性能评价指标。给出了单次认证时延、单次认证开销、认证与切换概率的计算方法。在不同接入持续时间及接入到达率条件下,对各种认证组合方案的性能进行了量化分析。     

基于模糊身份密码学的机会网络身份认证方案

针对机会网络的自组织性、开放性、连通性差等特点以及现有的基于上下文的路由协议中可能存在的隐私泄露等安全问题,提出了一种基于模糊身份密码学的身份认证方案F-ONIAS(Identity Authentication Scheme in Opportunistic Network Based on Fuzzy-IBE)。该方案通过一个无需实时在线的PKG为用户颁发私钥来解决机会网络中因节点无法实时连通而导致的传统非对称密码学方案不适用的问题。同时,将节点的生物信息作为身份标识,避免了传统身份密码学中身份信息可能被伪造而带来的安全隐患。仿真实验表明,在存在恶意节点的网络环境下,本方案比现有的经典路由协议方案拥有更高的报文投递率和更低的路由开销率,并且未对报文平均时延造成明显影响。     

基于标识的无线Mesh网络接入认证协议

为解决无线Mesh网络节点高效、安全入网认证的问题,提出了一种新的基于标识认证的无线Mesh网络接入认证协议.该协议针对无线Mesh网络的特点,将标识认证体制引入到无线Mesh节点接入认证当中,并在标识认证的基础上一次性完成了入网节点的双向身份认证、网络认证和空口密钥的建立3个步骤.简化了认证的流程,减少了认证的时延,达到了分布式认证的效果,为大规模的节点接入提供了一种新的认证方案.通过BAN逻辑形式化方法证明了协议的安全性,通过效率分析说明了协议的高效性.     

无线网络下可信移动节点接入认证方案

将基于属性且无可信第三方的平台验证协议以及基于身份的加密协议应用到无线网络环境下节点接入认证模型中,提出一个无线网络环境下的可信移动节点接入认证方案。与现有的认证方案相比,基于可信平台的移动节点接入认证方案主要有以下特点：1)在验证移动节点用户身份的同时也验证了移动节点的平台身份;2)不仅提供了移动节点和网络代理间的双向认证,还提供了移动节点间的双向认证。分析表明,改进后的方案满足接入节点身份的匿名性。     

一种时延保证的QoS路由协议

针对无线传感器网络中多跳视频传输实时性难以保证以及节点失效造成的传输中断问题,本文在比较分析了考虑时延的路由协议基础上,提出并设计了一种保证时延QoS要求可自我修复的路由协议(Self Repaired and Delay Guarantee Routing Protocol)。该协议选择时延最短的节点作为路由节点,缩短了多跳传输时间;在路由表中增加备选路由节点,当某个路由节点失效时,自动启用备选节点修复路由,节省了路由重新建立的时间,保证了视频传输持续性。仿真结果表明该路由协议能够较好地满足无线传感器网络中多跳视频传输的时延要求。     

一种车载mesh网络漫游匿名接入认证协议

无线mesh网络的特性使它面临着比传统无线网络更大的安全挑战。其安全解决方案必须兼顾安全性和应用环境等因素。用户节点的接入认证与密钥协商是节点漫游时最基本的安全协议,是安全路由等协议的实现基础。在多跳车载mesh网络用户节点接入认证中,用户身份信息的保护非常重要,然而有关车载mesh网络用户节点漫游时的匿名认证的研究较少,为此,在充分考虑无线mesh网络自身特点的基础上,结合基于Hash和Diffie-Hellman算法,提出一种高效的用户节点匿名接入认证与密钥协商协议。分析发现,该协议不仅可以满足安全性需求,在现实应用中也是可行的。     

Internet无线接入网络中应用智能天线的多址协议及性能分析

该文研究将智能天线应用于Internet无线接入网络的中心接入点(CAP)。提出了基于轮询的自适应波束形成多址接入协议(PB-ABFMA)．该协议中,CAP接收或发送数据分组前,由CAP引导用户节点发送训练序列,CAP的智能天线据此计算出与用户节点对应的权矢量．CAP以轮询及动态TDMA方式为各节点安排发送时隙。采用微时隙为处于空闲状态的节点保持连接以降低时延．设计了一种简单有效的竞争接入算法,保证新用户能快速接入信道．针对Internet中主要的“请求一回应”(request-reply)式业务,分析了协议的信道利用率与平均“请求一回应”时延．结果表明,PB-ABFMA协议能有效支持智能天线应用并具有较高的信道利用率与良好的时延性能。     

基于分簇的移动协助无线传感器网络路由协议

提出了一种基于分簇的移动协助（ CMA）无线传感器网络路由协议。在圆形网络中,Sink以恒定速率做圆周运动,网络初始阶段根据应用时延要求和能量消耗确定移动 Sink的运动半径,按照确定的Sink运动轨迹,将网络进行分簇。然后在Sink通信范围内确定一批普通节点作为汇聚点（ RP）,最后Sink对汇聚节点的缓存数据以及其单跳范围内的簇头进行采集。仿真实验结果表明：与现有的几种路由协议相比,CMA在满足时延要求条件下有效地延长了网络生命周期。     

信息中心网络中协作的内容缓存和请求路由算法

信息中心网络与传统IP网络区别的重要特点是在路由器节点配备缓存设施,将热门内容推送到更靠近用户的网络边缘,从而降低用户获取内容的时延。为了提高缓存空间的利用率,避免内容在相邻节点的冗余放置,本文提出了一种分层协作的内容放置和请求路由算法,在层次结构的接入网络中,依据内容的访问热度仅在层次结构的其中一层放置内容副本以减少内容的冗余备份;此外,通过建立二元标签组记录内容的放置信息,用于动态引导请求的转发;仿真结果表明,与现有的缓存放置算法相比,分层协作的内容缓存和请求路由机制,提高了网络存储内容的多样性,并降低了用户访问内容的时延。     

移动Ad Hoc网络可认证安全匿名通信研究

传统的移动Ad Hoc网络匿名路由协议无法鉴别伪造的路由控制分组,并且公钥运算过多导致路由建立时间延长.提出一种基于邻居认证的安全匿名路由协议以解决上述问题,通过基于临时身份公钥的邻居匿名认证机制鉴定邻居节点合法性并动态协商密钥,路由发现过程中利用邻居协商密钥对路由控制消息进行逐跳的验证与处理.上述机制使得伪造路由分组可被有效鉴别,并且中间节点基于对称密钥运算处理分组降低了路由发现时延.理论分析和仿真结果表明,该协议可对抗基于伪造分组的DoS攻击,并且较传统协议具有更低的路由建立时间.     

基于身份加密的匿名漫游无线认证协议

针对移动漫游认证问题,采用基于身份加密技术和双线性对的相关特性,提出一种基于身份加密的匿名漫游无线认证协议,分析协议的安全性和匿名性,给出在非认证链路模型下安全的形式化证明。分析表明,该协议在保证用户身份不被泄漏的前提下,实现了用户与接入点之间的双向验证,满足无线网络环境的安全需求,并提供不同运营商之间的不可否认服务。与现有协议相比,该协议为匿名漫游认证提供了一种更实用的解决方案。     

物联网移动节点直接匿名漫游认证协议

无线网络下传统匿名漫游协议中远程域认证服务器无法直接完成对移动节点的身份合法性验证,必须在家乡域认证服务器的协助下才能完成,导致漫游通信时延较大,无法满足物联网感知子网的快速漫游需求.针对上述不足,提出可证安全的物联网移动节点直接匿名漫游认证协议,远程域认证服务器通过与移动节点间的1轮消息交互,可直接完成对移动节点的身份合法性验证.该协议在实现移动节点身份合法性验证的同时,具有更小的通信时延、良好的抗攻击能力和较高的执行效率.相较于传统匿名漫游协议而言,该协议快速漫游的特点更适用于物联网环境.安全性证明表明,该协议在CK安全模型下是可证安全的.     

物联网中移动Sensor节点漫游的组合安全认证协议

物联网包含感知子网和传输骨干网,其感知子网中节点能力受限,往往利用移动的传感器节点跨区域访问来获取信息;而其传输骨干网络需要依托现有Internet的基础设施,并利用其提供的强大服务.在这种情况下,移动节点的漫游带来了新的安全问题,一方面移动节点在感知子网间跨区域漫游,虽和MANET中一样需要保证移动节点漫游时高效安全地加入新的拜访域,但因传感节点资源极端受限而对轻量级有更高数量级的要求;另一方面资源受限的感知子网间移动节点漫游仅能提供轻量级安全,但是在接入骨干传输网时,不可因此降低骨干网络已有的安全性,即轻量级的安全协议和传统骨干网协议综合运用时,需具有组合安全性.本文针对这种基于骨干传输网的移动节点漫游问题,提出了一个新的随机漫游认证协议(RMRAP),兼顾安全性和实际应用的可行性,实现了漫游的轻量级身份认证,保护了漫游节点的隐私,同时实现了具有前向安全性,会话密钥对;并针对衔接骨干网和感知子网的基站进行了组合安全性的认证测试,验证了RMRAP的安全性;最后,从理论分析和实验仿真两个方面,分析了RMRAP协议的性能,并和相近工作进行了对比,对比表明,具有组合安全性的RMRAP在计算、通信开销方面,依然具有和同类协议可比较的相近性能.     

安全高效的异构无线网络可控匿名漫游认证协议

分析传统的匿名漫游认证协议,指出其匿名不可控和通信时延较大的不足.针对上述不足,提出异构无线网络可控匿名漫游认证协议,远程网络认证服务器通过1轮消息交互即可完成对移动终端的身份合法性验证,当移动终端发生恶意操作时,家乡网络认证服务器可协助远程网络认证服务器撤销移动终端的身份匿名性.该协议在实现匿名认证的同时,还具有恶意匿名的可控性,有效防止了恶意行为的发生,且其通信时延较小.安全性证明表明,该协议在CK安全模型中是可证安全的.相对于传统漫游机制而言,该协议更适合于异构无线网络.     

3G用户在WLANs间的快速认证方法

EAP-AKA协议可以实现用户和3G网络的双向认证,但缺乏对无线局域网(WLAN)接入网络的认证和用户主密钥的更新机制,并且3G用户在WLAN间漫游时代价较高。针对上述问题,利用身份加密技术和门票技术改进EAP-AKA协议,设计无需3G网络参与的WLAN间快速漫游协议,实现对WLAN接入网络的认证和主密钥更新。     

A secure and privacy-preserving lightweight authentication protocol for wireless communications

In wireless networks, seamless roaming allows a mobile user (MU) to utilize its services through a foreign server (FS) when outside his home server (HS). However, security and efficiency of the authentication protocol as well as privacy of MUs are of great concern to achieve an efficient authentication protocol. Conventionally, authentication involves the participation of three entities (MU, HS, and FS); however, involving an HS in the authentication process incurs heavy computational burden on it due to huge amount of roaming requests. Moreover, wireless networks are often susceptible to various forms of passive and active attacks. Similarly, mobile devices have low processing, communication, and power capabilities.

In this paper, we propose an efficient, secure, and privacy-preserving lightweight authentication protocol for roaming MUs in wireless networks without engaging an HS. The proposed authentication protocol uses unlinkable pseudo-IDs and lightweight time-bound group signature to provide strong user anonymity, and a cost-effective cryptographic scheme to achieve security of the authentication protocol. Similarly, we implement a better billing system for MUs and a computationally efficient revocation scheme. Our analysis shows that the protocol has better performance than other related authentication protocols in wireless communications in terms of security, privacy, and efficiency.     

基于 eduroam 的跨域无线接入解决方案

eduroam (education roaming,教育漫游) 满足了授权用户在成员高校和科研机构之间自由、安全的使用无线网络,提高了网络接入效率。eduroam 在无线网络的接入认证时,应用 IEEE 802.1x 协议,采用 RADIUS 协议进行认证。本文分析了 eduroam 架构和认证过程,在高能所网络环境中部署实践了 eduroam 认证环境,验证了账号认证和签发证书认证的可行性,并提出在认证过程中对 LDAP 明文密码的 NT hash 加密存储方法。分析证明,该方法简化了 eduroam 部署,提高了认证效率和安全性。     

移动网络可信匿名认证协议

针对终端接入移动网络缺乏可信性验证问题,提出一种移动网络可信匿名认证协议,移动终端在接入网络时进行身份验证和平台完整性认证。在可信网络连接架构下,给出了可信漫游认证和可信切换认证的具体步骤,在认证时利用移动终端中预存的假名和对应公私钥对实现了用户匿名隐私的保护。安全性分析表明,协议满足双向认证、强用户匿名性、不可追踪性和有条件隐私保护。协议中首次漫游认证需要2轮交互,切换认证需1轮即可完成,消息交换轮数和终端计算代价优于同类可信认证协议。     

数字化校园中统一身份认证系统研究

给出了一种基于IEEE 802.1X协议和Diameter协议的校园网统一身份认证系统。通过对EAP-PEAP协议进行扩展,并且采用Diameter的消息路由机制,该系统能够支持域间身份认证和统一认证令牌的发放,从而解决了校园网身份认证中用户漫游和单点登录的问题。对于此身份认证系统易遭受的攻击类型作了分析,并提出了相应的解决方案。     

Provably secure and efficient authentication techniques for the global mobility network

Recently, several authentication techniques have been developed for the global mobility network (GLOMONET), which provides mobile users with global roaming services. Due to the hardware limitations, the mobile user cannot support the heavy encryption and decryption. This investigation adjusts the entity in the roaming scenario that selects the session key to be used to different types of authentication schemes in GLOMONET and presents two provably secure and efficient authentication protocols for roaming services. One protocol is based on synchronized clocks, while the other uses random numbers. Compared to related approaches, the proposed authentication protocols not only reduce the number of transmissions, but also diminish the computational cost involved in encryption and decryption. Thus, they are more suitable for GLOMONET.