（通信与信息系统专业论文）一体化网络接入认证方案的设计与实现.pdf

中文摘要 摘要：研究一种新的网络体系结构，满足用户对网络及服务日益增长的多样性需 求，已成为信息网络最重要和最迫切的核心研究内容。对此，我们提出了一体化 可信网络与普适服务的概念，力图在一种网络上支持多种服务，并解决可信、移 动，传感网络接入等问题。本文的研究也是在这种背景下开展的。 一体化网络采用分离映射机制，以解决现有网络移动性和安全性等方面的问 题。本文在分析现有的认证方法和理解一体化网络原理及分离映射机制的基础上， 提出了一种新的方案来进行身份认证和消息认证，实现移动与固定节点的安全接 入。本方案主要设计接入交换路由器和认证中心以及终端三个功能实体之间的通 信协议，通过认证消息的查询和处理等过程，来实现一种基于标识的一体化网络终 端接入控制方法，并保护用户的隐私权。 本文介绍了认证的概念和现有的接入认证技术，阐述一体化网络的体系结构 和分离映射机制的工作原理，详细阐述接入认证方案与接入认证相关的三个功能 实体与模块划分，并在l i n u x 操作系统下使用标准c 语言编程实现。本文所述的 认证方案，已经通过在实验网络上的功能测试及结果分析，满足了一体化网络平 台接入控制的基本要求，为下一步的研究工作奠定了基础。 关键词：一体化网络；分离映射；认证；接入控制 分类号：n 妇1 5 0 4 a b s t r a c t ：1 1 璩r e s e a r c ho fn e wn e t w o r ka f c h i t e c t u r ei sb e i n gr a i s e df o rd e m a n d s f z o mu s e r s g r o w i n gd i v e r s ed e 魁m d s0 1 1t h en e t w o r ka n ds e r v i c e s , a l 鼬h a sb e e nt h e m o s th n p o r t a n tr e s e a r c hi t e mi nt h es t u d yo f i n f o n n a f i o nn e t w o r k f o rt h i s ，w ep l d p o s o t h ec o n c e p to fu n i v e r s a ln e t w o r ka n dp c v a s i v es c l - v i c 宅t os u p p o r tm u l t i - n e t w o r k $ e l - v i c c s i n c l u d i n gt h ep r o b l e m so f c r e d i t a b i l i t y , m o b i l i t y , s a l s o rn e t w o r k 孤灯图易a n ds o o n t h i st h e s i sr e s e a r c h i n gi su n d e rt h i sb a c k g r o u n d n eu n i v e r s a ln e t w o r ku s e st h em e c h a n i s mo f s e p a r a t i o na n dm a p p i n gt os o l v et h e p r o b l e m so fm o b i l i t ya n ds e c u r i t yi nt h ee x i s t i n gn e t w o r k o nt h eb a s i so fa i l a l 咖 e x i s t i n ga u t h e n t i c a t i o nm e t h o d sa n dm a s t e r yo ft h em e c h a n i s mo fs e p a r a t i o n a n d m a p p i n g , t h i st h e s i sp r o p o s e san e wm e t h o d t of i n i s hi d e n t i t ya u t h e n t i c a t i o na n d m e s s a g ea u t h e n t i c a t i o n ，f i x e d n o d e sa n dm o b i l en o d e sc a r ls a f e l ya o o e s $ i nu n i v e r s a l n v t w o r ku n d e rt h i sm e c h a n i s m t h i st h e s i sm a i n l yd e s i g n sa n di m p l e m e n t sas p e c i f i c c o m m u n i c a t i o np r o t o c o la m o n gt h et h r e ef u n c t i o n a le n t i t i e s ，a u t h e n t i c a t i o ne 七 l l t c r , a c c e 鹊s w i t c hr o u t e ra n dt e r m i n a l ，t or e a l i z ea t a i e s sc o n t r o lm e t h o di nu n i v e r s a ln e t w o r k t op r o t e c tt h ep r i v a c yo fs u b s c x i b e m 仙t h e s i si n t r o d u c e st h e c o n c e p t i o n o fa u t h e n t i c a t i o na n df i v e m a i n l y a u t h e n t i c a t i o nm e t h o d s d e s c r i b e st h e 锄口k 抚：a 【i 玎eo fu n i v e r s a ln e t w o r ka n dw o r k i n g p r i n v i p l eo fs e p a r a t i o na n dm a p p i n g , d i s c u s s e s a u t h e n t i c a t i o ns c h e m ea n di 叫e m e a s t h et h r e ef u n c t i o n a le n t i t i e su s i n gs t a n d a r dcl a n g u a g ei nl i n u xo p e r a t i o n $ y s t t m a 。而e s c h e m em e n t i o n e di nt h i st h e s i sh a sb e e nt e s t e di ne x p e r i m e n t a le n v i r o n m e n t , t h r o u g h a n a l y s i so ft h ee x p e r i m e n tr e s u l t , t h e m e t h o dd e s c r i b e di nt h i sp a p e rs a t i s f i e sb a s i c a l l y r e q u i r e m e n to fa c c 鹤c o n 打o li nt h eu n i v e r s a ln e t w o r k , e s t a b l i s h e dab a s i sf o ro u rs t u d y t od ot h en e x tr e s e a r c h k e y w o r d s ：u n i v e r s a ln e t w o r k ：s e p a r a t i o na n dm a p p i n g ：a u t h e n f i c a t i o n ；a c c e s s c o n t r o l c l a s s n o - t n 9 1 5 舛 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：豫彳l 旦日月 2 导师签名：二 ， 签字日期：1 口1 年i 月1 同签字日期：工。7 年1 2 月z 譬f i 北京交通大学硕士学位论文 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意 学位论文作者签名：t 氖 曼e r签字日期； 嘲年1 1 月1 6 日 舯 致谢 作为研究生学习和科研工作的总结，这篇论文凝结着我多年求学的思索和努 力，同样也蕴涵着我的老师、亲人、同学和朋友的支持与帮助。 本论文的工作是在我的导师张思东教授的悉心指导下完成的，张思东教授严 谨的治学态度和科学的工作方法给了我极大的帮助和影响。在此衷心感谢三年来 张思东老师对我的关心和指导。 感谢实验室的张宏科老师。作为国内通信领域的知名专家，张老师准确地预 测和把握通信领域的发展方向，保证了实验室国内领先的科研水平，为我们提供 了很好的实验环境。 秦雅娟教授悉心指导我们完成了实验室的科研工作，在学习上和生活上都给 予了我很大的关心和帮助，在此向秦老师表示衷心的谢意。 周华春老师对于我的科研工作提出了许多的宝贵意见，在此表示衷心的感谢。 罗洪斌老师，刘颖老师对我的科研工作也提出了许多的宝贵意见，在此向他 们表示我衷心的感谢。 在实验室工作及撰写论文期间，董平博士、杨水根博士、王洪超博士、郭华 明博士、盛守鹏硕士、王上硕士、王义硕士、谢建方硕士、周放硕士、孙照辉硕 士、刘晓波硕士，李晓林硕士、刘庆峰硕士，张洪远硕士等同学对我论文中的研 究工作给予了热情帮助，在此向他们表达我的感激之情。 另外也感谢我的家人，他们的理解和支持使我能够在学校专心完成我的学业。 引言 l 引言 本章首先介绍课题的研究背景和意义，在此基础上讨论国内外现有的研究状 态和选题意义，最后给出了本论文的主要工作和结构 1 1 研究背景和意义 随着信息技术的发展，人们已经习惯于从因特网获取各种信息。因特网已经 成为人们生活中不可缺少的一部分。但是，网络信息的获取，特别是用户要求多 种服务方式，现有网络体系结构在设计之初没有预计当今应用的需求。要求有全 新的信息网络体系结构与基础理论的研究水平的支撑 现有的信息网络基本上是一种网络支撑一种主要服务，多种网络完成多种服 务的模式，无法满足网络及服务的多样性例如电信网能够提供良好的话音质量， 但是其以电路交换为基础的通信机制决定了其效率低下，难以适应宽带化和流媒 体业务；互联网当初是面向数据业务传输设计的，缺乏可信性，不能保证实时业务 服务质量，不适应移动性、传感性需求正是由于目前现有网络存在着上述的多 种问题，未来的信息网络体系结构必须实现一种网络支持多种业务。为此现有 网络体系与原创理论迫切需要基础性的原创性的突破，研究创建新一代网络体系 结构迫在眉睫 传统信息网络的分层结构，如互联网的四层体系结构，o $ i 的七层体系结构， 是面向数据业务来传输设计的，在信息网络的发展过程中曾经发挥过重要的作用， 但也日益暴露出越来越多的缺陷和原始设计模式的不足： 1 o s l 七层体系结构过于复杂； 2 现有网络难以适应新型移动互联网络、传感网络以及普适服务的需求等； 3 传统口地址被重复的用作主机的标识，口地址不但被用来进行路由选择， 同时也应用在主机的鉴别方面； 4 互联网在设计之初主要用于军用的信任节点上，缺乏可信性； 5 互联网设计之初是为固定终端服务的，它不能很好的支持终端的移动性、 传感性需求； 6 互联网提供的尽力而为的机制，不能很好的满足可靠性需求，而传输层的 t c p 重传机制对于视频等时延要求很高的服务，不能保证实时业务服务质 量： 北京交通大学硕士学位论文 为了克服现有技术的不足，近年来世界各国纷纷展开了新信息网络体系相关 的基础研究，如2 0 0 3 年美国自然科学基金委启动“1 0 0 x1 0 0 ”下一代网络研究项 目，计划建成一个全国范围内的通讯网络，让网络像电话一样普及，在这个网络 上试验新的设计原理、网络技术、管理技术和应用程序：2 0 0 4 年英国电信提出 。2 1 c n ”下一代网络计划，其主要目标是建设下一代网络，替代现有的电话交换 网及互联网，形成多业务融合的网络；2 0 0 5 年8 月，美国自然科学基金委提出著 名的g e n l ( o l o b a le n v i r o n m e n tf o rn e t w o r k i n gi n v a t i o n 曲计划1 4 l ，该项目投资3 亿 美元，拟从根本上重新设计互联网以解决现有的各种问题，打造一个更适合未 来计算机环境的下一代互联网。2 0 0 5 年1 2 月又针对互联网提出f i n d ( f u t u r e i n t o m o tn e t w o r kd e s i g n ) 计翅 引，设计一个未来1 5 年之内的网络结构。该项目主要 研究网络体系结构、原理和设计。主要包括支持传感网络、嵌入式系统等的网络 结构；在该新网络结构下的信息接入、位置管理、身份管理；设计核心网的体系 结构，以及光通信技术等。该项目为新一代信息网络的发展提出建议和指导方向。 就国内发展而言，国家也非常重视对新一代信息网络体系结构和关键理论及 技术的研究2 0 0 1 年，国家自然科学基金“网络与信息安全”, 2 0 0 3 年以来，启动 了一系列与新一代信息网络基础理论或技术相关的科研工作，如中国下一代互联网 示范工程o n g i 6 ，国家9 7 3 计划项目。新一代互联网体系结构理论研究”等。在 “十一五”期间，国家将继续加强对新一代信息网络基础理论研究的重点支持。 近几年国内学术界也纷纷撰写论文论述发展新一代网络的重要性。这些项目的支 撑和论文的发表为新一代信息网络的基础研究提供了大量的科学依据，为全面系 统的研究新一代信息网络的发展理论奠定了坚实的基础 “一体化可信网络与普适服务体系基础研究”是由北京交通大学主持的国家 9 7 3 重大科研项目，就是在体系结构模型上对现有网络做出了创新。一体化网络是 一种不同于o s i 七层网络体系和互联网四层网络体系的新型网络体系结构，一体 化网络与普适服务体系将用户、业务和网络资源三者有机统一为一个整体，很好 的实现了网络一体化并为用户提供普适服务。 该科研项目提出了一体化可信网络与普适服务的概念f i j ，力图在一种网络上支 持多种服务，并解决可信、移动、传感网络接入等问题。通过对传统信息网络分 层体系结构理论的长期研究，并对互联网和电信网等机理、原理进行深入剖析， 对于各种网络体系结构都可以划分为两个基本层面：一个是网络层面，一个是 服务层面。提出一种全新的两层体系结构模型，即“网通层”和。服务层”。在新 网络体系的模型中，。网通层”完成网络一体化圆，“服务层”实现服务普适化嘲， 这两层模型结合在一起，构成了一体化网络与普适服务体系的基础理论框架。其 中“网通层”采用基于接入标识与交换路由标识分离映射机制的通信方案，为语 2 引言 音、数据、图像等服务提供一个一体化的通信平台。图1 1 所示为一体化网络与普 逶服务新体系结构模型，其中网通层涵盖了物理层、数据链路层和网络层的网络 协议，服务层涵盖了传输层和应用层的网络协议： 曩务 层面 ： 6 s 1 七星体系结构模型 舅一一占濞i 第栩至 互联罔四屡体舂结构攥受 图1 - 1 一体亿同络与普适服务新体系结构模型 f 酿1 - 1n e w m o d e lo f n e x tg e n e r a t i o ni n f m m a t i o n n e t w o r ka n dp e r v a s i v es e f 、d c c s 1 2 国内外研究现状 履务 屡冒 罔辱 层重 认证( a u t h e n t i c a t i o n ) 、授权( a u t h o r i z a t i o n ) 、记费( a c c o u n t i n g ) 简称a a a l 啪， 也就是对用户使用网络服务和访问资源时的身份、权限进行辨别，主要作用在于 控制用户接入，并根据使用情况进行计费的过程。三个功能分别为： 1 ) 认证( a u t h e n t i c a t i o n ) ：验证用户的身份与可使用的网络服务，这一过程通 过与用户的交互获得身份信息( 口令、i c 卡、生物特征等) ，提交给认证服务器， 认证服务器通过存储在其数据库中用户信息进行比较，根据比较的结果来确定身 份的正确与否； 2 ) 授权( a u t h o r i z a t i o n ) ：指定了被认证用户在接入网络后能使用的网络服务和 拥有的权限； 3 ) 计费( a c c o u n t i n g ) ；网络系统收集、记录用户对各种网络服务的用量，以此 向用户收取资源费用，对网络的使用也起到一定程度的监视作用，起到审计的目 的 一般情况下，a a a 认证的顺序是先对用户的身份信息进行认证，在确定用户 的身份是合法身份以后，判断该用户是否具有使用网络服务的权限，最后是对用 户使用网络服务的情况进行记录和计费。目前国内外主流的认证方式有如下几种， 分别是p p p o e 认证、w e b 认证、8 0 2 i x 认证、g s m 系统、3 g 网络中的认证。下 3 北京交通人学硕士学位论文 面分互联网和移动通信网对这几种方式进行介绍 1 2 1 互联网的接入认证技术 lp p p o e 认证 p p p o e 认证i 】是出现最早也是较为成熟的认证方式。现有的宽带接入技术， 包括a d s l ，v d s l ，l a n 都可使用该认证方式p p p o e 的建立需要两个阶段即地 址发现( d i s c o v e r y ) 阶段和p p p 会话( s e s s i o n ) 阶段。当某个主机希望发起一个 p p p o e 会话时，它必须首先执行d i s c o v e r y 来确定对方的以太网m a c 地址并建 立起一个p p p o e 会话标识符( s e s s i o nd ) 。在d i s c o v e r y 过程中，主机( 作 为客户端) 发现某个访问集中器( a c , e s sc o n c e n t r a t o r ，作为服务器) ，根据网络的 拓扑结构，可能主机能够发现多个访问集中器。d i s c o v e r y 阶段允许主机发现所 有的访问集中器并从中选择一个。当d i s c o v e r y 阶段成功完成之后，主机和所选 择的访问集中器两者都具备了用于在以太网上建立点到点连接所需的所有信息 此后就是p p p 会话阶段。主要是l c p 、认证、n c p3 个协议的协商过程，建立起p p p 连接，即可传送p p p 数据( p p p 封装i p 、e t h e r n e t 封装p p p ) p p p o e 认证实现方便，但是由于它是基于用户名d 令的认证方式，并只能 实现网络对用户的认证。安全性有限；在发现阶段会产生大量的广播流量。产生 大量的口数据包，在业务繁忙时，很可能成为网络性能的瓶颈。并且客户端需要安 装、配置客户端软件，由于p p p o e 对每一个口封包都要封装在以太网帧内，因 此网络流量越大，牦用客户端的c p u 效能就越多因此对需要高带宽的多媒体应 用不利 2 w 曲认证 w e b 认证【i 1 相比于p p p o e 认证，一个非常重要的特点就是客户端除了m 浏览器 外不需要安装认证客户端软件，给用户免去了安装、配置与管理客户端软件的烦 恼，也给运营维护人员减少了很多相关的维护压力。w e b 认证配合p o r t a l 服务器， 在w 曲认证过程中，用户首先通过d h c p 服务器获得口地址，此时用户访问权限仅 限于允许未认证用户访问的地址，比如可以与p o r t a l 服务器通信也可访问一些内 部服务器，但不能访问外部的因特网。在认证过程中用户的认证请求被重定向 到p o r t a l 服务器，由p o r t a l 服务器向用户推送认证界面用户在服务器提供的认证界 面上输入用户名和密码后提交给w e b 认证服务器，服务器对用户进行认证，认证通 过后，给用户开放相应的权限，并通过w e b 认证服务器给用户发送认证成功页面 用户可以访问外部因特网或特定的网络服务，服务器开始计费 4 引言 3 8 0 2 1 x 认证 i e e e8 0 2 1 x l ”1 ( i e e es t d8 0 2 i x - 2 0 0 1 ) 定义了针对点到点或者无线接入、专线 等独享端口的认证协议e a p 最早是无线以太网遵循的一种应用协议，但在有线 以太网络的引入有效解决了传统网络认证问题。这种基于端口的网络接入控制采 用交换式局域网基础设施的物理特性来认证连接到局域网某个端口的设备 8 0 2 i x 的实质是对以太网端口进行鉴权，如果认证过程失败，端口接入将被阻止 应用该协议，可以将a d s l 、v d s l 、l a n 等多种宽带接入方式的认证计费融为一 体简化了网络结构。8 0 2 i x 认证的主要过程描述如下【6 1 ： ( 1 ) 用户开机后，通过8 0 2 i x 客户端软件发起请求，查询网络上能处理 e a p o l ( 劭”o v e rl a n ) 数据包的设备，如果某台验证设备能处理e a p o l 数据 包，就会向客户端发送响应包，并要求用户提供合法的身份标识，如用户名、密 码； ( 2 ) 客户端收到验证设备的响应后，会提供身份标识给验证设备，由于此时 客户端还未经过验证，因此认证流只能从验证设备的未受控的逻辑端口经过。验 证设备通过e a p 协议将认证流转发到认服务器，进行认证； ( 3 ) 如果认证通过，则认证系统的受控逻辑端口打开； ( 4 ) 客户端软件发起d h c p 请求，经认证设备转发到d h c ps e r v e a ； ( 5 ) d h c ps c r v t 为用户分配i p 地址； ( 6 ) d h c ps e r v e r 分配的地址信息返回给认证系统，认证系统记录用户的相 关信息，如m a c ，i p 地址等信息，并建立动态的a c l 访问列表，以限制用庄的 权限； ( 7 ) 当认证设备检测到用户的上网流量，就会向认证服务器发送计费信息， 开始对用户计费； ( 8 ) 如果用户要下网，可以通过客户端软件发起l o g o f r 过程，认证设备检 测到该数据包后，会通知a a a 服务器停止计费，并删除用户的相关信息( m a c i p ) ， 受控逻辑端口关闭，用户进入再认证状态； ( 9 ) 验证设备会通过定期的检测来保证链路的激活，如果用户异常死机，则 验证设备在发起多次检测后，自动认为用户已经下线。于是向认证服务器发送终止 计费的信息 5 北京交通大学硕士学位论文 1 2 2 移动通信网络的接入认证技术 1 g s m 系统认证 全球移动通信g s m ( 6 1 0 b a ls y s t e mf o rm o b i l ec o n u n u n i c a t i o n ) 是目前世界上盔 用最为广泛的网络【1 1 1 g s m 与安全相关的功能有三个目标： ( 1 ) 保护网络以防止未授权的接入： ( 2 ) 保护用户的隐私权： ( 3 ) 保护所传输信息的安全。 g s m 系统中的三个主要安全措施是：身份认证、临时用户识别码和无线路径 的加密。防止未授权的接入是通过鉴权实现的；对传输加密可以防止在无线信道 上窃听通信；利用临时用户识别码使第三方无法在无线信道上跟踪g s m 用户，以 保护用户的隐私。下面主要介绍下g s m 的鉴权过程。 鉴权的计算如图2 1 所示。其中r a n d 是网络侧对用户的提问，只有合法的 用户才能够给出正确的网答$ r e s 。r a n d 是由网络侧a u c 的随机数发生器产生 的，长度为1 2 8 比特，它的值随机地在o 2 一l 范围内抽取。s r e s 称为符号响 应，通过用户唯一的密码参数( 鼬) 的计算获取，长度为3 2 比特。以相当保密 的方式存储于s i m 卡和a u c 中，用户也不了解自己的瞄，l ( i 可以是任意格式和 长度的a 3 算法为鉴权算法，由运营者决定，该算法是保密的a 3 算法的唯一 限制是输入参数的长度( r a n d 是1 2 8 比特) 和输出参数尺寸( s r e $ 必须是3 2 比特) 。 移动终端网络 k i r a n d l 随机数发生器i 。 l i 算法a 3l y 二 ll s r e s ， 图1 - 2 g s m 鉴权漉程 f i g 1 - 2m e c h a n i mo f a u t h e m i c a f i o ui ng s m 6 引言 g s m 认证存在一定的缺陷： ( 1 ) 单向身份认证，难以防止中间人攻击和假基站攻击； ( 2 ) 算法设计过程由于g s m 系统只在接入阶段提供安全措施，固定网络中 的数据和信令传输并未得到充分的保护在a u c 中存着几乎一个g s m 网络入侵 者想要得到的全部信息在归属位置寄存器( h l r ) 和访问位置寄存器( 且) 中也存者在鉴别和加密过程中所使用的信息如果一个入侵者能得到这些信息， 它就可以控制网络的全部工作； ( 3 ) s i m 卡易受一种称为s i m 克隆的攻击这是一种对用户和系统都很严重 的威胁如果入侵者可以得到用户的s i m 卡并获得它所存储的关键信息。如飚， 它就可以再做一个s i m 卡来盗用这部电话。 2 第三代移动通信中的认证 w c d m a 、c d m a 2 0 0 0 、t d - s c d m a 将是第三代移动逶信的主流技术 w c d m a 、t d - s c d m a 的安全规范由以欧洲为主体的3 g p p ( 3 g p a r m e r s h i p p r o j e c t ) 勖订h 玛，c d m a 2 0 0 0 的安全规范由以北美为主体的3 g p p 2 制订3 g 标准主要指 祓m 仃2 0 0 0 接纳的新一代移动通信系统，其中最有代表性的是3 g p p 的u m t s 标 准3 g 系统的安全体制是建立在2 g 的基础上，在g s m 系统中己经被证明是必需 的和稳定有效的安全要素将被继续采用同时，在3 g 系统中将改进g s m 系统审 的安全弱点，增加新的安全机制和服务，从而形成新的安全体系 ，3 g 的认证瓤密钥协商a x ) 协议采用和2 g 的挑战- 应答身份认证方式类似的 双向认证机制，主要的认证参数有：用户和归属位置寄存器共享的秘密密钥k 认证矢量a v ，认证令牌a u t n ，序列号s e q ，消息认证码m a c ，完整性密钥， 加密密钥c k ，认证管理域a m f 等。协议中使用的算法有五个，并有两个变体 分别为n ，n ，心，o ，f 4 ，巧，6 。其中n 为生成消息认证码( m a c ) 的 认证函数，n 用于计算同步消息认证码，亿用于计算认证应答r e s 和t e s ，8 用于生成加密密钥c k ，饵用于计算完整性密钥，f s 用于生成匿名密钥a k ，同 步时生成匿名密钥的算法为6 密钥协商和认证分成两个步骤：请求认证矢量以及认证和密钥协商 ( 1 ) 用户用自己的永久身份标识号( i m s i ) 在访问网络注册访问网络给用户分 配一个临时标识号f f m s i ) ，访问网络利用t m s i 识别用户； ( 2 ) 访问位置寄存器根据用户的i m s i 向归属位置寄存器请求获取认证矢量 ( a ； ( 3 ) 归属位置寄存器产生s q n 和r a n d ，利用共享会话密钥计算1 1 个a v ，并 发送给访问位置寄存器v l r ； ( 4 ) 访问位置寄存器取出一个认证矢量，把随机数r a n d 和认证令牌a u t n 7 北京交通人学硕士学位论文 作为挑战值发送给用户： ( 5 ) 用户验证s o n 是否在合法的范围内，如果合法，则利用收到的r a n d 和 认证令牌a l r 计算m a c 和r e s ，比较m a c 码是否合法，如果合法，则对网络 的认证通过，用户把r e s 发回网络进行认证； ( 6 ) 认证完成后，移动设备拥有从u s i m 卡中获得的c k 和i k , 而网络端会把 c k 和( 放在l c ( 无线网络控制器) 中 u m 盯s 的安全优点： ( 1 ) 采用双向认证机制，伪基站攻击将变得困难； ( 2 ) 加密算法得到改进，加密密钥的长度增加到了1 2 8 b i t ； ( 3 ) 加密是强制的； ( 4 ) 增加对信令消息的完整性检查机制，同时增加了新鲜因子，可以有效防止 重传攻击； ( 5 ) 认证向量的序号也可以防止认证向量的重传攻击。 l m 盯s 的安全缺点： ( 1 ) 仍然没有提供完整的用户身份保护措施。虽然v l r 采用t m s i 来保护用户 的i m s i ，但当用户第一次在访问网络中注册时，用户仍然要以明文方式把i m s i 发送给网络端 ( 2 ) 在u m t $ 中，直接用主密钥进行认证和会话密钥协商，这使主密钥比较容 易被破译在u m t s 中可以增加会话密钥或采用主密钥更新机制，就可以避免因 为主密钥被破译而形成的u s i m 卡克隆攻击 ( 3 ) 缺少对基于m 网络控制信息的保护协议。 1 3 论文的主要工作和结构 在系统研究这些现有认证技术的基础上，本文所研究的认证采用广义上的概 念，分为身份认证和消息认证。身份认证是对网络实体( 用户) 的身份是否属实 进行判别，用于网络接入和使用网络服务等场合，主要采用口令，密码算法，证 书等认证协议消息认证则是对接收到的消息来源和真实性进行认证，在各种安 全协议中都要涉及，主要采用数字签名，消息、摘要等密码学方法。本文对这两 种认证都进行了研究，并综合各种认证技术与r f c 挑战应答机制【”j ，在采用标识 分离映射机制的一体化网络上设计、实现了完整的接入认证方案，经过方案设计、 软件编码，以及对软件的部署测试，可以满足一体化网络“网通层”中的终端及 路由器接入认证的基本需要。 1 深入了解现有各种认证技术的原理与流程，并分析其过程与具体实施方法； 引言 2 根据前期的终端及路由器接入认证方案与相关的r f c ，在l i n u x 操作系 统平台下负责三个实体的实现：终端和接入交换路由器认证部分的代码，以及认 证中心部分的代码实现； 3 进行三个实体的功能和性能测试主要包括列举测试点，编写测试用例， 搭建测试环境并进行测试，给出测试结果并分析 4 总结所做工作，指出下一步要继续加强和完善的地方 本论文的内容按照以下方式来组织： 第一章是引言，介绍了研究背景、意义、国内外研究现状和论文主要工作与 结构安排： 第二章主要介绍了一体化网络体系结构及标识的定义、分离映射机制并简 单描述了一次通信流程； 第三章针对一体化网络的需求，在分析和借鉴现有技术的基础上，提出满足 一体化网络要求的接入认证方案，详细阐述终端及路由器接入认证的各个功能模 块的设计； 第四章主要是一体化网络具体模块实现以及主要的数据结构描述； 第五章对三个功能实体分别进行了整体功能测试，介绍具体测试环境、测试 方法，并给出几个具体测试例和测试结果； 第六章总结与展望，总结论文工作并跟踪相关技术发展方向。 9 北京交通大学硕士学位论文 2 一体化网络体系结构 如前所述，“一体化可信网络与普适服务体系基础研究”提出了一种全新的网 络体系：一体化网络两层模型，指“网通层”和“服务层”。“网通层”完成网络 一体化，“服务层”实现服务普适化。这两层模型结合在一起，构成了一体化网络 与普适服务体系的基础理论框架。本章主要介绍一体化网络的相关概念，网络体 系结构，标识的概念，分离映射机制，网络中的各功能实体，以及一次完成网络 通信的具体流程 2 1 一体化网络概述 一体化网络与普适服务新体系结构模型，包含了“网通层”和“服务层”。 “网通层”包括接入层和核心层，为数据、语音等业务提供一体化的网络通 信平台。如图2 1 所示。“网通层”采用“间接通信”模式：接入层采用接入标识 ( a c o 嚣si d e n t i f i e r , a i d ) 转发数据，而在核心层采用内部的交换路由标识 ( s w i t c h i n g - r o u t i n gi d e n t i f i e r , r i d ) 替代接入标识转发，到达通信对端的接入交换 路由器后，数据包的交换路由标识被置换回原来的接入标识；接入层负责通信终 端的接入，核心层解决位置管理和交换路由理论，用户的隐私性、网络的安全性、 可控可管性和移动性在。网通层”得以很好的实现。 图2 1 接入与略由分离的一体化网络结构 f i g 2 - lu n i v e n n ln e t w o r ka r c h i t e c t u r e “服务层”负责各种业务的会话、控制和管理，这些业务包括由运营商或第 l o 一体亿两络体系结构 三方增值服务商提供的各种网络业务，主要是语音、数据、流媒体等，不同的业 务用同一个“服务层”承载。各种业务、网络资源和用户都采用唯一标识符识别， 各个应用都要绑定于服务标识符，并且进行从服务标识符到连接标识符的解析、 从连接标识符到交换路由标识符的解析，从而建立支持普适服务的服务标识和连 接标识解析映射理论 2 1 1 标识的概念 在当前互联弼体系结构中，在设计之初，传统i p 地址就承担了过多的语义，被 重复的用作主机的标识，m 地址不但被用来进行路由选择，同时也应用在主机的 身份标识和位置标识。随着新业务的不断出现，人们对移动性的要求越来越高， 而i p 地址的双重身份导致一些问题难以解决，如移动、多归属、i p 地址重分配等。 虽然随着移动i p v 4 汹1 和移动i p v 6 “1 的出现，使口网络有了一些改进。但是口地 址双重身份的阃题一直制约其性能的改进。于是出现了将身份与位置分离的思想， 如i e t f 主机标识符协议( h o s t i d e n t i t y p r o t o c o l ，h i p ) 工作组目前正在进行传统i p 地址的用户标识和位置分开的技术研究一；日本的i p 2 是日本n t t 公司提出的一 种基于口的第三代移动通信3 g 解决方案，利用网络支持终端的移动等技术哪卜嘲 我们提出的一体化网络体系模型，创造性的提出一体化网络按入标识与交换 路由标识，以及两种标识之间分离聚合映射机制( 简称接入标识解析映射机制) 接入标识代表终端的身份信息。用于实现多元化接入，交换路由标识代表终端的 位置信息，用于核心网络上的广义交换路由，符合身份与位置分离的设计思想。 一体化网络将管理层面功能与交换路由层面功能相互分离。接入认证、位置管理 和切换管理等功能由管理层面完成，交换路由功能由交换路由层面完成：它是一 种可信架构。能够从体系结构上防止终端对网络的攻击，能够保证终端的位置隐 私性，能够更好的阻止各种针对终端的被动攻击。 表示身份信息的接入标识是一个新的概念，需要针对一体化网络的需求来重 新定义终端在接入网络时，管理部门为其分配一个唯一的接入标识，代表该用 户在本网中的身份如表l 所示，接入标识的定义： 表1 接入标识的定义 t a b 1t h ed e f i n i t i o no f a c c e s si d l i 标识类型归属映射服务器终端，子网类型 对应终端子网类 l 型的特定表示 标识类型指区分接入标识和交换路由标识归属映射服务器指出了该接入标 北京交通大学硕士学位论文 识的归属域，即终端接入一体化网络时所属的域，主要满足网络进行位置管理的 需要。无论终端怎样移动，该接入标识不发生变化。终端子网类型指示该终端的 类型，是固定终端，还是移动终端、传感器节点等。最后一个字段可以理解为一 个序列号，即给满足前面三个限制条件终端的分配一个序列号，目的是保证接入 标识的唯一性。这样接入标识既保证了身份标识的唯一性，也满足了网络进行 位置管理的需要。 2 1 2 标识分离映射机制 一体化网络采用了接入标识与交换路由标识分离映射机制，其基本思想是： 接入层采用接入标识转发数据报文，接入标识不能像口地址一样用于核心网 的选路、转发，因为它代表的是用户身份，而非位置信息。核心层采用内部的交 换路由标识替代接入标识进行数据报文的选路、转发，这样就必须在数据包进入 核心网时为其分配一个交换路由标识，作为其在核心网传输的源地址，同时源端 也要获取对端的交换路由标识作为目的。在一体化网络中，接入交换路由器是完 成分离映射的主要实体，它为接入的终端分配一个合法的交换路由地址，在通信 连接建立时，接入交换路由器首先通过位置管理系统，即映射服务器来查询通信 对端的交换路由标识，在数据包到达时，接入路由器还要将交换路由标识替换成 为终端的接入标识，之后才能交付目的主机，这一替换转发的过程就在一体化网 络中实现了分离映射的机制。当用户位置发生移动时，保持原来的接入标识不变， 只需改变交换路由标识，即改变二者之间的映射关系，实现分离映射机制。 这种身份与位置分离的设计思想能使得用户的隐私性、网络的安全性、可控 可管性和移动性在一体化网络中得以很好的实现。具体表现在如下几个方面： 1 、实现了多元化接入网络与终端( 如互联网中的固定网络、移动网络和传感 网络等，电信网中的各种接入网络和终端等) 的统一接入，克服了传统互联网和 电信网的接入网络单一的问题，拓展了网络服务的范围。 2 、保证用户的隐私性和安全性。各种接入网络的接入标识代表它们的身份， 而交换路由标识仅仅用于核心网络进行交换路由接入标识和交换路由标识分离 后，代表用户身份的接入标识不会在核心网络上传播，使得其他用户不可能通过 截获核心网络的信息分析用户的身份，保证了用户的隐私性；也不可能通过用户 的身份来截获他们的信息，保证了用户信息的安全性。 3 、保证了网络的可控可管性。各种接入网络在申请接入标识时，网络管理者 根据用户的签约信息，对各种接入网络进行接入控制和鉴权，鉴权的结果决定是 否接受用户连接请求，同时决定为用户提供的服务质量水平 一体化网络体系结构 4 、保证了各种接入网络及用户的移动性。各种接入网络在移动到其它位置之 后，仅其交换路由标识需要发生变化，代表用户身份的接入标识不需要发生变化， 只需要改变交换路由标识和接入标识的映射关系。这样，用户的连接不需要中断 就可以保证用户继续接受各种服务 通过将终端用户所在的接入层和运营者所在的核心层进行分离，可以保证各 种接入技术和核心区域的架构进行分别独立的技术演进，而不互相影响在接入 层，这些技术可以包括各种新兴的技术如移动网络、传感网络、智能家电等，各 种技术甚至可以使用不同的协议栈和不同的身份表达方式：在核心层，这些技术 可以包括核心网络的基本架构、路由方式、安全机制、q o s 机制等 2 1 3 一体化网络中功能实体 “网通层”的作用为：在一个一体化的网络平台上提供多元化的网络接入， 为数据、语音、视频等业务提供一个一体化的网络通信平台，从而达到有效支持 普适服务( 即多种服务) 的目的 “服务层”的作用为：首先，各种不同的业务映射成服务标识符，然后根据 服务标识解析映射将服务标识符映射为连接标识，最后连接标识根据连接标识解。 析映射理论映射到“网通层”，实现广义交换选路 核心层又分为交换路由层面和管理层面呦交换路由层面包括接入交换路由器 和广义交换路由器等交换路由设备；管理层面包括映射服务器和认证中心等管理 组件下面分别给予介绍： 1 接入交换路由器( a c c e s ss w i t c h r o u t e r , a s r ) 接入交换路由器是一体化网络中最重要的实体，负责各种固定终墙、移动终 端，以及固定网络、移动子网以及a d - h o c 自组网等移动网络的接入，并负责这些 接入网络的设备的接入认证。为接入并且认证通过的用户分配交换路由标识，并 将用户的数据包进行标识替换后在核心网中传输。接入交换路由器需要维护两种 映射表：本地用户映射表和对端用户映射表本地用户映射表存储本接入路由器 接入的用户的标识映射关系；对端用户映射表存储本地用户通信对端的标识映射 关系 2 广义交换路由器( g e n e r a ls w i t c hr o u t e r , g s r ) 广义交换路由器的主要功能是根据数据报文中的交换路由标识，进行选路和 转发数据报文。 3 标识映射服务器( i d e n t i f i e rm a p p i n gs e r v e r ) 标识映射服务器主要负责维护网络中接入标识和交换路由标识的映射关系， 北京交通大学硬士学位论文 并向接入交换路由器和其他域的映射服务器提供查询服务。标识映射服务嚣上保 存的映射关系都是已经通过认证并且可以被合法终端所使用的 4 终端( t e r m i n a l ) 泛指各种可以接入网络的电子