異構(gòu)無線網(wǎng)絡(luò)安全協(xié)議研究.pdf

1、近幾年，隨著無線通訊技術(shù)的飛速發(fā)展，異構(gòu)無線網(wǎng)絡(luò)已經(jīng)成為一種發(fā)展趨勢(shì)。與此同時(shí)異構(gòu)無線網(wǎng)絡(luò)的安全性和性能也成為人們關(guān)注的焦點(diǎn)。接入認(rèn)證協(xié)議是保證無線網(wǎng)絡(luò)安全的基礎(chǔ)，安全信息交換協(xié)議是影響無線網(wǎng)絡(luò)的性能的關(guān)鍵因素。因此，對(duì)異構(gòu)無線網(wǎng)絡(luò)中認(rèn)證協(xié)議和安全信息交換協(xié)議的研究具有非常重要的意義。本文主要成果如下： 1．針對(duì)以3G網(wǎng)絡(luò)為核心網(wǎng)絡(luò)，采用藍(lán)牙、WiMAX和無線局域網(wǎng)為接入網(wǎng)絡(luò)，所構(gòu)成的異構(gòu)融合網(wǎng)絡(luò)中認(rèn)證協(xié)議的安全和效率問題，提出

2、了一種高效的漫游認(rèn)證協(xié)議。該協(xié)議通過對(duì)無線接入網(wǎng)絡(luò)身份進(jìn)行驗(yàn)證，抵御了重定向攻擊的行為，實(shí)現(xiàn)了漫游認(rèn)證的密鑰分發(fā)；采用局部化認(rèn)證過程，減少了認(rèn)證消息的傳輸延時(shí)，提高了認(rèn)證協(xié)議的效率，并給出了在NS2環(huán)境下的性能仿真結(jié)果。通過Canetti-Krawczyk（CK）安全模型對(duì)新協(xié)議進(jìn)行了安全性證明，證明該協(xié)議具有SK-secure安全屬性。 2．根據(jù)異構(gòu)無線傳感器網(wǎng)絡(luò)資源有限和分散式分布的特點(diǎn)，為了提供更加高效的性能和安全保護(hù)，主

3、要研究由不同物理類型的傳感器構(gòu)成的異構(gòu)無線傳感器網(wǎng)絡(luò)模型。采用高性能的傳感器節(jié)點(diǎn)，構(gòu)建了一種用于異構(gòu)無線傳感器網(wǎng)絡(luò)可配置安全的安全消息分發(fā)機(jī)制。其中的傳感器節(jié)點(diǎn)只需要對(duì)發(fā)送給所有用戶的消息產(chǎn)生一個(gè)簽名，就可以極大地節(jié)省傳感器節(jié)點(diǎn)的通信和計(jì)算代價(jià)。對(duì)于接收消息的用戶，只能根據(jù)預(yù)先配置的安全策略獲取有權(quán)限的消息。根據(jù)性能分析，可以看出該機(jī)制具有低帶寬消耗，并能有效抵抗惡意節(jié)點(diǎn)的攻擊。 3．現(xiàn)有的無線Mesh網(wǎng)絡(luò)對(duì)于Mesh路由節(jié)點(diǎn)間

4、的安全信息交換采用逐跳安全保護(hù)，需要掌握全網(wǎng)絡(luò)的整體狀態(tài)，不能滿足Mesh網(wǎng)絡(luò)的靈活安全的需求。針對(duì)無線Mesh網(wǎng)絡(luò)的信息交換問題，提出了一種高效的安全信息交換協(xié)議。該協(xié)議采用基于身份加密的廣播機(jī)制，為可信域內(nèi)的Mesh節(jié)點(diǎn)建立安全傳輸密鑰，并為傳輸密鑰提供不可否認(rèn)性、機(jī)密性和不可偽造性等安全屬性。可信域內(nèi)的Mesh節(jié)點(diǎn)利用安全傳輸密鑰，對(duì)數(shù)據(jù)包采用多跳安全信息交換方式，有效地減少了數(shù)據(jù)傳輸時(shí)延，提高網(wǎng)絡(luò)的吞吐率。 4．當(dāng)前無線

5、城域網(wǎng)標(biāo)準(zhǔn)802．16e能夠提供數(shù)據(jù)機(jī)密性、完整性和雙向認(rèn)證等安全保護(hù)機(jī)制。然而，這些安全通信機(jī)制只能在成功完成認(rèn)證并建立安全關(guān)聯(lián)之后才能提供保護(hù)。通常WiMAX無線鏈路層不提供保護(hù)，尤其是在網(wǎng)絡(luò)連接建立的階段，從而導(dǎo)致了許多可能的攻擊行為。我們認(rèn)為不管何種網(wǎng)絡(luò)類型，鏈路層的保護(hù)和數(shù)據(jù)機(jī)密性都是無線應(yīng)用最為重要的安全因素。我們對(duì)802．16e標(biāo)準(zhǔn)提出了改進(jìn)方案，利用一種新的簡(jiǎn)單認(rèn)證密鑰交換協(xié)議來抵抗目前存在的各種安全威脅，并為移動(dòng)用戶提

6、供隱私保護(hù)功能。在新的認(rèn)證協(xié)議中，我們采用了基于公鑰的密碼技術(shù)來實(shí)現(xiàn)802．16 MAC協(xié)議的密鑰交換和隱私保護(hù)。我們的解決方案可以在網(wǎng)絡(luò)連接建立初始階段提供數(shù)據(jù)加密保護(hù)，為不同的用戶建立會(huì)話密鑰來提供隱私保護(hù)，為管理幀和EAP消息提供安全保護(hù)。 5．無線局域網(wǎng)作為異構(gòu)無線網(wǎng)絡(luò)的主要的寬帶接入網(wǎng)絡(luò)，已經(jīng)普遍應(yīng)用在人們的日常生活中。針對(duì)基于無線局域網(wǎng)的異構(gòu)無線網(wǎng)絡(luò)構(gòu)造了一種攻擊場(chǎng)景，提出了一種具有定向轉(zhuǎn)發(fā)、遠(yuǎn)程控制功能的假冒AP和

7、一個(gè)能夠進(jìn)行安全協(xié)議分析、主動(dòng)攻擊的控制平臺(tái)的設(shè)計(jì)方案。攻擊者利用無線環(huán)境的開放特性，針對(duì)無線局域網(wǎng)的開放式認(rèn)證和WEP認(rèn)證方式進(jìn)行攻擊，進(jìn)一步對(duì)移動(dòng)用戶的接入認(rèn)證協(xié)議進(jìn)行了分析和攻擊。攻擊者采用竊聽、假冒AP、篡改和注入偽造數(shù)據(jù)等行為，對(duì)使用無線網(wǎng)絡(luò)的用戶進(jìn)行各種被動(dòng)和主動(dòng)攻擊。攻擊者采用攔截和篡改等方式，可以對(duì)用戶的安全協(xié)議和應(yīng)用服務(wù)進(jìn)行攻擊。最后，我們建議無線用戶盡量采用更加安全的無線網(wǎng)絡(luò)保護(hù)模式，例如WPA，TKIP、802．1