（通信与信息系统专业论文）无线网络中基于格的跨域认证及路径选择方案研究.pdf

厂 t h es t u d yo nc r o s s d o m a i na u t h e n t i c a t i o na n dr o u t i n gs c h e m e b a s e do nl a t t i c ei nw i r e l e s sn e t w o r k b y j i a n gw b n t a o b e ( h e b e iu n i v e r s i t yo fs c i e n c ea n dt e c h n o l o g y ) 2 0 0 5 at h e s i ss u b m i t t e di np a r t i a ls a t i s f a c t i o no ft h e r e q u i r e m e n t sf o rt h ed e g r e eo f m a s t e ro fe n g i n e e r i n g 1 n c o m m u n i c a t i o na n di n f o r m a t i o ns y s t e m s i nt h e g r a d u a t es c h o o l o f l a n z h o uu n i v e r s i t yo f t e c h n o l o g y s u p e r v i s o r r e s e a r c h e rz h a n gq i u y u m a y , 2 0 1 1 兰州理工大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取 得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何 其他个人或集体已经发表或撰写的成果作品。对论文的研究做出重要贡献 的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法 律后果由本人承担。 作者签名：害刍亏 日期：工。j f 年6 月，。日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学 校有权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论 文被查阅和借阅。本人授权兰州理工大学可以将本学位论文的全部或部分 内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保 存和汇编本学位论文。同时授权中国科学技术信息研究所将本学位论文收 录到中国学位论文全文数据库，并通过网络向社会公众提供信息服务。 e l 期：2d 厍 日期：沙，厂年 占月o 日 月，p 日 ，；。-j l p u l p l 硕十学位论文 目录 摘要i a b s t r a c t i i 插图索引i v 附表索引v 第l 章绪论1 1 1 课题的研究背景及意义l 1 2 跨域认证的国内外研究现状2 1 2 1 跨信任域认证的提出2 1 2 2 跨域认证的国外研究现状2 1 2 3 跨域认证的国内研究现状4 1 3 问题的提出4 1 4 论文的主要研究内容与贡献6 1 4 1 论文主要研究内容6 1 4 2 论文的主要贡献6 1 5 论文的组织结构与安排7 第2 章跨域认证相关技术概述一8 2 1 认证相关技术8 2 1 1 密码学理论8 2 1 2 认证概述8 2 2 基于格的跨域认证1 l 2 2 1 格的定义11 2 2 2 基于格的跨域认证原理1 1 2 3 无线中跨域认证新要求1 2 2 4 本章小结15 第3 章认证路径算法研究1 6 3 1 路径搜索算法相关理论1 6 3 2 成熟的路径搜索算法1 7 3 2 1dij k s t r a 算法1 7 3 2 2a 算法1 7 3 2 3 遗传算法19 3 3 改进d ij k s t r a 算法1 9 3 4 算法分析与仿真2 0 3 4 1 算法分析2 0 卅_ 越 t 舯一 无线网络巾基于格的跨域认证及路径选择方案研究 3 4 2 仿真对比一2 1 3 5 本章小结2 3 第4 章无线网络中格联盟认证及路径选择方案研究2 4 4 1 引言2 4 4 2 基于格的认证2 4 4 2 1 网络节点形式化2 4 4 2 2 双牵引认证机制实现过程2 5 4 3 认证路径选取方案2 6 4 3 1 认证中心排序2 6 4 3 2 算法实现过程2 7 4 4 性能分析2 8 4 5 安全性分析2 9 4 6 本章小结3 0 第5 章实验结果与分析3 1 5 1 仿真平台3 1 5 2 仿真建模过程3 l 5 2 1 网络模型建立3 1 5 2 2 认证模块扩展配置3 3 5 2 3 加入认证框架的操作步骤3 5 5 3 实验数据与结论分析3 7 5 4 本章小结3 8 总结与展望一3 9 参考文献4 1 致 谢4 5 附录a 攻读硕士学位期间所发表的学术论文4 6 硕十学何论文 摘要 近年来，第三代移动通信技术和互联网技术的不断发展，使得终端能够随时随 地通过任意运营商接入网络，这就产生了跨域认证的问题，然而在无线网络下跨域 访问时，如何实现可信任的连接? 当移动用户从外地域接入网络进行访问时，接入 域和注册域如何协作来实现对用户的认证? 此外现有认证方式在无线网络中实现 跨域认证时，如何解决单点崩溃问题? 这些问题日益成为影响移动互联网安全与成 败的关键因素。论文正是基于此进行研究，以期实现无线环境下开放、安全、高效 的认证访问。 论文针对无线环境下由于网络接入点分布不均和认证路径的不确定性而造成 认证效率低下甚至认证失败的问题，对认证路径搜索算法展开研究。通过对目前最 成熟、采用最多的d i j k s t r a 算法、a 算法和遗传算法在构造认证路径时的特点进行 分析，仿真结果显示d i j k s t r a 算法能够找出最短路径和次优路径，而且理论较为完 备。在运行一次后能够将源点到各个节点的最短路径集合和求的最短路径节点集合 保存下来，极大地方便了日后认证路径的建立。但是该算法存在重复运算、效率低 下的问题，因此对d i j k s t r a 算法进行改进，将权值预测排序法应用于其中，提高了 d i j k s t r a 算法的运算效率，满足了无线网络对实时性的要求。 在改进d i j k s t r a 算法基础上，结合基于格的跨域认证模型，构建了一种双牵引 认证机制及认证路径选择方案。通过理论分析表明：采用基于格的双牵引认证能够 充分考虑无线网络域间信任关系，避免了当前跨域认证方案中网络瓶颈和单点崩溃 的问题。采用改进d i j k s t r a 路径搜索算法对有向加权图中路径权值进行计算，能够 找出认证路径最短的利益保护节点，提高了认证效率。 最后，论文利用o p n e t 仿真工具组建w l a n 跨域认证模型，分别在进程层、 节点层和网络层进行由上到下的场景配置建立具有认证功能的节点模型，增加认 证框架包括访问者的e a p 认证模块和认证者的e a p 认证模块，选取网络负荷率和 延时为指标验证跨域认证访问对远程认证中心的影响。 实验结论表明：增加认证模块后，认证服务器的负荷和延时都有所增加。在 认证开始阶段，服务器的负荷率增加约一倍左右，认证完成后下降为开始时的一 半，并逐渐趋于平衡，而认证延时略有增加。 关键词：路径搜索算法；格；双牵引认证机制；跨域认证；无线网络 a b s t r a c t i nr e c e n ty e a r s w i t ht h ed e v e l o p m e n to f3 ga n di n t e r n e tt e c h n o l o g y ，t h et e r m i n a l c a na c c e s st h ei n t e r n e ta ta n yt i m e ，a n yp l a c e ，t h r o u g ha n yo p e r a t o r ，w h i c hh a s p r o d u c e dac r o s s d o m a i na u t h e n t i c a t i o np r o b l e m h o w e v e r ，u n d e rc r o s s 。d o m a i n a c c e s st ot h ew i r e l e s sn e t w o r k ，h o wt oa c h i e v eat r u s t e dc o n n e c t i o nb yt h ew i r e l e s s t e 姗i n a l ? w h e nt h em o b i l eu s e ra c c e s sn e t w o r kf r o mt h er e g i o n a l ，h o wt h e h o m e d o m a i na n dt h ea c c e s sd o m a i nt oc o l l a b o r a t et o a c h i e v eu s e ra u t h e n t i c a t i o n ? i n a d d i t i o nt h ee x i s t i n gw a yt oa c h i e v ec r o s s d o m a i na u t h e n t i c a t i o ni nw i r e l e s sn e t w o r k e n v i r o n m e n t ，h o wt os o l v et h ep r o b l e mo fs i n g l ep o i n tc o l l a p s e ? t h e s ei s s u e s h a v e b e c o m et h ek e yf a c t o r sw h i c h a f f e c tt h em o b i l ei n t e r n e ts a f e t y a n ds u c c e s s i n c r e a s i n g l y t h ep a p e rs t u d yt or e a l i z ea no p e n ，s e c u r ea n de f f i c i e n ta u t h e n t i c a t i o n a c c e s si nw i r e l e s se n v i r o n m e n t f o rt h ep r o b l e mt h a tt h eu n e v e nd i s t r i b u t i o no fa c c e s sp o i n t si nw i r e l e s sn e t w o r k a n da u t h e n t i c a t i o nc e r t i f i c a t i o np a t hu n c e r t a i n t y c a nc a u s e di n e f f i c i e n ta n de v e n a u t h e n t i c a t i o nf a i l u r e ，t h e s i ss t u d ys e a r c ha l g o r i t h mo fc e r t i f i c a t i o np a t h a n a l y s i st h e c h a r a c t e r i s t i c si ns t r u c t u r i n ga u t h e n t i c a t i o np a t h w a yb yt h ed i j k s t r aa l g o r i t h m ，t h e p r e d a t o r - p r e ys e a r c ha l g o r i t h ma n df l o y da l g o r i t h mi nt e c t o n i c i nt h ea b o v ea l g o r i t h m s d i j k s t r aa l g o r i t h m c a nf i n dt h es h o r t e s tp a t ha n ds u b p r i m ep a t h ，a n dh a v eam o r e c o m p l e t et h e o r y i t c a np r e s e r v e dt h er e s u l t s ，t h a tg r e a t l y c o n v e n i e n tt h el a t e r e s t a b l i s h m e n to fa u t h e n t i c a t i o np a t h b u td i j k s t r aa l g o r i t h me x i s tr e p e a to p e r a t i o n ，l o w e f f i c i e n c y ，s ot h ed i j k s t r aa l g o r i t h mi si m p r o v e d ，t h ew e i g h t sp r e 。o r d e r i n g m e t h o di s 卵p l i e d t oi m p r o v et h ec o m p u t i n ge f f i c i e n c yo fd i j k s t r aa l g o r i t h m t om e e tt h e r e q u i r e m e n t so f r e a l - t i m e b a s e do nt h ei m p r o v e dd i j k s t r aa l g o r i t h m ，c o m b i n i n g w i t ht h el a t t i c e c r o s s d o m a i na u t h e n t i c a t i o nm o d e l ，t h ep a p e rp r o p o s e sad u a l t r a c t i o n a u t h e n t i c a t i o n m e c h a n i s ma n da u t h e n t i c a t i o np a t hs e l e c t i o ns c h e m e t h e o r e t i c a la n a l y s i ss h o w st h a t d u a l t r a c t i o nc e r t i f i c a t i o nm e c h a n i s mg r e a t l yi n c r e a s e ss y s t e ms e c u r i t y ，a l s oa v o i d st h e s i n g l ep o i n tc o l l a p s e a c c o r d i n gt oc a l c u l a t i n gt h ep a t hw e i g h tb yd i j k s t r aa l g o r i t h m t o f i n dt h es h o r t e s tp a t hi nt h ew e i g h t e dg r a p h ，t h es c h e m ec a nl m p r o v et h e c e r t i f i c a t i o n e f f i c i e n c y f i n a l l y , t h ep a p e ru s e st h eo p n e t s i m u l a t i o nt o o l se s t a b l i s h e dc r o s s d o m a i n a u t h e n t i c a t i o nm o d e li nw l a nn e t w o r k ，t h r o u g ht h ec o n f i g u r a t i o no fn o d e si n t h e p r o c e s s1 a y e r , t h en o d el a y e ra n dt h en e t w o r kl a y e r o i lt h es c e n et oe s t a b l i s ham o d e l i l 硕十学位论文 t or e a l i z ea u t h e n t i c a t i o nf u n c t i o n t h ea d d i n ga u t h e n t i c a t i o nf r a m e w o r ki n c l u d e st h e a u t h e n t i c a t i o nc a pm o d u l ea n dt h ec e r t i f i c a t i o nc a pm o d u l e t h ea u t h e n t i c a t i o n f u n c t i o ns e l e c t e dt h en e t w o r kl a t e n c ya n dd e l a ya st h ei n d e xt oe x a m i n et h ei m p a c to f t h er e m o t ea u t h e n t i c a t i o nc e n t e rs t e m f r o mc r o s s d o m a i na u t h e n t i c a t i o n e x p e r i m e n ts h o w st h a tt h eb u r d e na n dd e l a yi n c r e a s e da f t e ra d d e da u t h e n t i c a t i o n m o d u l ei na u t h e n t i c a t i o ns e r v e r w h i l et h es e r v e rl o a di n c r e a s e da b o u td o u b l et h a n f o r m e ra tt h ei n i t i a ls t a g e ，t h el o a dr e d u c e dt oh a l fa f t e ra u t h e n t i c a t i o n ，a n db e c o m i n g m o r eb a l a n c e d m e a n w h i l en e t w o r kl a t e n c ys l i g h t l yi n c r e a s e da sa d d i n go 5 m s k e yw o r d s ：t h es e a r c ha l g o r i t h m so fp a t h ；l a t t i c e ；a l l i a n c ec e r t i f i c a t i o ns c h e m e ； c r o s s d o m a i na u t h e n t i c a t i o n ；w i r e l e s sn e t w o r k 1 1 1 无线网络中基于格的跨域认证及路径选择方案研究 插图索引 图2 1 数字签名原理图9 图2 2 单点登录原理图1 0 图2 3 无线网络抽象模型1 4 图3 1 算法执行时间均值2 2 图3 2 求得最优解概率2 2 图4 1 由v i ，v j ，邯，咱，1 ，m ，v n 构成的网络g 2 6 图4 2 带有权值的网络g 2 9 图5 1 网络模型3 2 图5 2 模型组件选取3 2 图5 3 常规网络模型3 3 图5 4 无线节点w ir ele s s ia n a d v 模型中的数据包流向图3 4 图5 5o p n e t 中增加e a p 的n o d e 配置模型3 4 图5 6s c e n a ri0 1 与s c e n a ri0 2 负荷对比图3 7 图5 7s c e n a rl0 1 与s c e n a rj0 2 延时对比图3 8 i v 硕 ：学位论文 附表索引 表3 1 算法执行时间均值2 1 表3 2 求得最优解概率2 l v 硕+ 学位论文 第1 章绪论 1 1 课题的研究背景及意义 随着移动通信技术和互联网的技术的不断发展，人们的生活越来越离不开网 络，网络给我们的生活带来了极大的便利。网络的发展方向是有线网络和无线网 络、固定网络和移动网络融合下的移动互联网，能够提供语音、数据、视频等融 合的高品质、多样化的服务。移动互联网的出现使得人们能够随时随地通过任何 网络接入互联网，这就可能发生跨域访问的情况f l 五】。当移动用户从外地域接入网 络时，家乡域和接入域需要协作实现对移动用户的身份认证，首先要解决的也是 跨域认证的问题。 跨域认证的目的是允许用户访问不同域中多个服务器的资源，而只需认证一 次。现在很多应用系统( 相当于一个独立的管理域) 都使用认证控制来管理用户资 源，对用户的访问权限进行严格的限制。传统用户登录模式中身份认证机制是基 于用户名密码的【3 训，即用户身份的保密性通过帐号密码映射成为网络中的用户 标识，而网络中的每个应用系统都通过保存该用户的标识来识别用户身份。出于 保密考虑系统间不能相互传递该标识，这就要求用户要每个系统中都建立一组相 互独立的用户名和密码，在登录不同系统时都要分别提交自己的身份标识来通过 系统的认证。为了解决上述问题，我们迫切需要找到一种方法能够以统一、集中 的方式来访问网络资源，并实现单点登录( s i n g l es i g no n ，简称s s o ) 1 5 - 7 1 。 跨域认证研究早在计算机网络普及时期就开始了，但是传统的跨域认证协议 并不能很好的适用于无线通信网络中。因为无线网络对安全性、实时性的要求更 高，无线网络靠无线电信号在空中传输数据，在信号覆盖范围内的所有的终端都 可能接收到数据【8 。1 0 】。要将无线网络环境中传递的数据传送给指定接收者是不可 能的。此外移动终端在存储能力、计算性能和电源储备方面的不足，也使得原来 传统网络环境下的许多认证方案和安全技术不能直接应用于无线网络环境，例如， 防火墙技术对无线网络通讯起不了作用；加密和解密计算过于复杂的算法不能应 用于性能较低的移动终端等】。因此，需要研究新的能够适合于无线网络环境的 安全理论、安全方法和安全技术。 在移动互联网真正普及之前，这些问题迫切需要解决，跨域认证就是其中最 重要的一个。跨域认证在无线通信中应用非常广泛，因为在固网中不能实现跨域 认证仅是访问某些资源受限，而在无线通信中终端经常漫游于异地网络，跨域认 证的失败也就意味着无法使用网络的任何资源。 无线网络中基丁格的跨域认证及路径选择方案研究 如何对现有的计算机网络中跨域认证技术进行改进，使之更高效、更安全的 适用于无线网络跨域认证的需求，本课题便是基于此目的下选取的。 1 2 跨域认证的国内外研究现状 1 2 1 跨信任域认证的提出 域是一种管理边界，用于一组计算机共享共用的安全数据库，域实际上就是一 组服务器和工作站的集合。域是最基本的网络管理单元，每个域通过属于自己的认 证机构来实施不同的安全策略和认证机制【1 2 】。在比较理想的情况下，组建单一信任 域，建立一个认证机构，由它颁发所有的证书来实现全部用户的认证。然而，现实 中复杂和不安全的因素很多，这就造成了出现很多信任域和相应认证机构。移动互 联网地兴起使得用户能过在任何时间、任何地点通过任何网络都能够连入互联网， 这就体现出了对跨域认证的需求。 i i 2 2 跨域认证的国外研究现状 目前跨域认证的研究成果主要集中在计算机网络上，随着移动互联网的兴起 无线网络环境下跨域认证的研究正逐渐变得热门。计算机技术和3 g 网络应用的 快速发展，用户通过无线网络访问登录的资源越来越多，出错地可能性也越来越 大，系统的安全性相应地也就越低。因此，如何为用户提供快捷安全的认证与授 权己经成为无线网络应用必须着重考虑得问题，跨域认证就是为了解决这个问题。 目前在该领域中认证协议和成功的解决方案在下文进行阐述。 首先分析目前多域认证协议【1 3 1 7 1 ： 1 m i c r o s o f t n e tp a s s p o r t p a s s p o r t 认证技术是m i c r o s o f t n e t 解决方案的一个重要组成部分。p a s s p o r t 技术 对用户进行身份鉴定，通过内容授权程序来确定是否允许用户访问某个w 曲服务。 n e tp a s s p o r t 也有明显的不足：首先是n e tp a s s p o r t 对用户信息的绝对控制，限 制了n e tp a s s p o r t 的应用。其次是n e tp a s s p o r t 认证方式单一，仅支持用户名1 ：3 令方 式认证，难以满足不同类型用户的需要。最后n e t p a s s p o r t 认证过程没有加密处理， 存在安全隐患。 2 l i b e r t ya u t h e n t i c a t i o n l i b e r t ya u t h e n t i c a t i o n 跨域认证系统是有自由联盟计划( l i b e r t ya i l i h a n c ep r o j e c t ) 组织设计和管理的。该组织成立于2 0 0 1 年9 月，成员包括s u n 、h p 、r s a 和a o l 等。 l i b e r t y 规范1 1 版本由w e br e d i r e c t i o n 、w e bs e r v i c e 、m e t a d a t a 和s c h e m a s 三部分组 成。 在自由联盟系统不需要设置中心认证服务器，也不需要像n e tp a s s p o r t j j l j 样将 用户信息存储到指定位置。加入联盟系统的站点可以建立一对一或多对多的认证关 2 硕f j 学何论文 系，联盟系统通过账号映射关系来实现认证共享，实现对用户的全局认证。自由联 盟规范相对完备，自由度较高，但同样在兼容性上存在问题，不能对用户认证方式 进行自定义定制。 在跨域认证比较流行的解决方案是单点登录系统( s i n g l es i g no n ) ，简称为 s s o 。s s o 的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互 信任的应用系统。单点登录协议是集成各种认证方案以实现单点登录目的协议规 范。目前成熟的单点登陆模型有以下几种【1 8 - 2 5 ： 1 基于c o o k i e s 实现s s o 方案：通过两个域名之间传递重定向地方法来实现单 点登录，但是该方案在安全性方面有很多缺陷，此外该方案目前仅限于w i n d o s 系统中应用。 2 基于经纪人s s o 方案：通过一个服务器实现集中认证和用户账号管理。典型 应用有k e r b e r o s 方案，用户通过在密钥分发中心认证身份，获得一个k e r b e r o s 票据， 以后则通过该票据来认证用户身份并实现单点登录。 3 基于代理s s o 方案：代理程序被设置成自动地为不同的应用用户进行身份 认证。改程序设计能够使用口令表或加密密钥来来代替用户进行认证。代理置于 服务器上层，在服务器的认证系统和客户端认证方法之间充当一个中介。 4 基于口令认证s s o 方案：口令认证是使用最广泛的一种认证方式，已经应 用于f t p ，邮件服务器的登录认证。但是用户一生中可能使用多种服务，需要记 住大量的口令，增加了客户的记忆负担，也对其安全性存下了巨大隐患，此外大 量口令存储对于认证中心管理人员来说也是个很重的负担。 5 基于安全断言标记语言s s o 方案：被o a s i s 批准为s s o 的执行标准，一种基于 x m l 语言用于传输认证及授权信息的框架。其核心思想是身份联合，借助w e b 服 务交换信息来实现跨域身份认证的目的。 6 基于经纪人和代理的联合s s o 解决方案：当a g e n t b a s e 的解决方案和 b r o k e b a s e 的解决方案被相结合时，就结合前者的灵活性和后者中央式管理两方面 的优势。a g e n t b a s e j 础有效减少改变网络应用程序的代价。 在商业领域，电子商务的全球领导厂商c a 已经推出了e t r u s ts i n g l es i g n - o n ( s s o ) 安全解决方案【2 6 1 。该方案能在简化企业访问的同时，又确保系统安全性。同 样，i b m 也推出了新版的t i v o l ig l o b a ls i g n o n ，它支持a i x ，s o l a r i s ，n t ，x p 在内 的主流操作系统。通过把所有系统的登录信息集中到中心服务器上，在用户通过服 务器认证后返回给用户一个其授权访问的应用程序列表来使用户可以方便快捷地 访问处于不同系统内资源。基于j a 、，a 技术构建的大型s s o 应用和服务中，a c e g i s e c u r i t y 为s p r i n gf r a m e w o r k 提供一个兼容的安全认证服务( s e c u r i t ys e r v i c e s ) ；还有 耶鲁大学开发的单点登录系统c a s c e n t r a la u t h e n t i c a t i o ns e r v e r ，外界关注率也很 高。 3 无线网络中基于格的跨域认证及路径选抒方案研究 1 2 3 跨域认证的国内研究现状 国内对于跨域访问安全的研究虽然起步相对较晚，但在商业领域也丌发出一 些针对认证和授权实施跨管理域访问安全保障的研究成果。成熟的产品有金蝶软 件公司b o s 系统，其已经实现了多个应用系统的统一认证管理【2 7 】。中国联通公 司在c n g i 环境中跨域a a a 系统地构建的跨域跨机构的认证和授权【2 副更加安全、 易用和灵活，并计划将c n g i 示范平台产业化和商用化，使之能够获得更大规模 地应用，实现更大的应用价值。在无线局域网中的安全标准领域，2 0 0 3 年中国推 出了自己的无线局域网国家标准c b l 5 6 2 9 1 1 ，其安全机制由w a i 和w p i 两个模 块组成，它们分别实现对用户身份认证和对传输数据加密功能【2 9 铷】。针对于中小 型企业或是大型企业小范围使用情况而开发设计的u t r u s tc a 单点登录系统，是 p k i 体系的浓缩，集成了p k i 平台所需要得重要功能，建设简便，使用灵活，是 一个简洁而完整的专业化企业级电子认证中心系统，作为自主开发的数字证书管 理系统，具有完全自主知识产权。 在高校科研领域，清华大学在国家重大项目“八六三计划主动网络安全体系 结构 中，利用已有i k e 来实现认证，设计并实现了网络模型中地访问控制子系 统。复旦大学提出了安全模型e x a n t s ，能够更好、更安全地实现主动网下跨域 认证。 在无线通信领域，针对g s m 系统认证机制存在的一些问题，国产3 g 标准 t d s c d m a 系统采用了新认证机制。其增强措施包括有：增加用户对网络地认证， 从而实现了双向实体认证；增加用于信息认证算法和密钥k ；认证向量组增加为 五元组；认证参数中加入了序列号s q n ，保证了认证参数地新鲜度，可以有效防 止重放攻击；增加了匿名密钥a k ，用来隐藏序列号s q n ，这些改进显著提高认 证的安全性和系统的互操作性。 文献 3 1 】在格理论的基础上构建出一种跨联合域认证机制，以格特有的双牵 引属性来实现不同信任域间身份认证及复杂网络下联合跨域认证，避免了传统认 证方法中单一认证机构所带来的安全隐患，包括网络瓶颈效应和单点崩溃问题。 该方案提高了跨管理域认证的灵活性，能够更好地适应在无线网络环境特性。 国内现状是现阶段国内使用大部分统一身份认证产品是国外开发，国内从事 统一认证和网络资源统一管理方面研究地工作单位很少，而且国内企业很少有成 熟商业产品，对统一身份认证系统地研究和开发都处在研究设计阶段，而且出于 自己商业利益并未公开各种技术细节。 1 3 问题的提出 移动互联网是一个开放地网络环境，允许各种类型用户和设备接入网络，这 4 硕十学何论文 使得移动互联网经常暴露于各种安全风险中，从而对接入认证有更高的安全需求。 无线网络中用户可能在任意位置接入网络，这些接入网络可能属于不同的运 营商。从保障网络安全可靠运营的角度看，每一个服务商都必须通过对自己管理 域接入网络地无线节点实施接入认证。无线用户跨联合域接入和随机位置是无线 网络的基本特性，无线网络为用户提供随时随地接入的可能性，也给用户的接入 认证和管理提出了新挑战。 当前的跨管理域认证技术在无线网络下实现接入认证时存在如下问题：1 实 现移动切换和接入认证分别有各自基础设施，增加了硬件成本和管理的成本；2 无线技术要求较低接入延时，但是认证过程推迟了切换过程，增加了移动过程中 通信终端的时间；3 终端在不同信任域间进行大规模跨域认证时，由单一认证中 心所带来网络瓶颈和单点崩溃等安全隐患；4 基于代理跨管理域认证的庞大通信 规模和因缺乏灵活、高效的认证路径而造成认证延时过长甚至认证失败的问题。 在固定网络中，用户只能从固定位置接入网络，接入网关根据用户属性、用 户需求、安全策略等因素对用户接入进行决策，并对其授予相应服务和资源访问 权限。在无线网络中，用户可以从外地域接入网络，需要在各个管理域中间建立 信任关系，通过管理域认证中心间协作实现对用户跨域认证。从用户角度看，用 户希望得到的是一个普遍存在的网络服务，只需通过一个统一地接口获取网络服 务，而不关心采取何种接入技术及认证方式、通过那种链路、从那个服务商接入 网络。 传统认证技术主要基于请求方的身份进行授权，然而在开放的无线网络中， 用户位置不确定、用户位置难以预测，各管理域分别隶属于不同的管理机构，由 于参与主体数量的规模庞大，运行环境的异构性，而现有跨域认证技术不具有良 好的可扩展性和灵活的认证模型，不适用于无线网络特性。这就使得我们需要一 种有效的跨域用户信任关系管理办法从实现基于身份的计入认证到综合高效跨管 理域认证转化，从而避免因忽略域间信任关系会导致认证延时过长甚至认证失败 的现象。 此外无线网络下用户对认证接入延时有极强地敏感度，过长的认证延时会降 低用户对网络满意度，甚至不可忍受。这就要求我们必须对认证路径进行有效管 理，来提高效率、降低认证延时。管理域间常用网状信任模型进行交叉认证，如 果每次都直接颁发证书，效率必然很低。如何将路径搜索算法应用于跨域认证模 型中来提高认证效率? 如何在充分考虑了认证路径长度问题下，利用已建立的认 证最短路径来提高验证地效率，缩短认证时间? 这些都是论文研究的重点。 5 无线网络中摹丁格的跨域认证及路径选择方案研究 1 4 论文的主要研究内容与贡献 1 4 1 论文主要研究内容 论文以实现无线网络中单点登录为目标，围绕无线网络环境下跨域认证需求 展开较系统研究工作。 1 首先在充分研究无线网安全体系和实现方式基础上，分析了现有认证方案 在实施跨域认证时的优缺点以及无线网络环境下对跨域认证的新要求。 2 分析成熟的路径搜索算法包括d i j k s t r a 算法、a 木算法和遗传算法基本思想 和实现过程。由于d i j k s t r a 算法在运行一次后，计算出路径权值和节点可以保存 在认证中心存储器中，对后续认证具有极大的意义，但也存在重复运算、效率低 下问题。文中对d i j k s t r a 算法进行改进，通过在运算过程中加入权值存储排序来 提高运行的效率。 3 在异构无线网络中，采用基于格的双牵引认证机制结合d i j k s t r a 路径搜索 算法，构建出一种基于格联盟认证的路径选择方案。理论分析表明：双牵引认证 机制能够避免传统认证中单点崩溃问题，提高认证可靠性；通过d i j k s t r a 算法对 认证路径进行优化，提高了认证效率，满足了无线网络对低时延的要求。 4 最后利用o p n e t 构建仿真模型，对w l a n 模型体系进行性能与安全性分 析，选取服务器负荷、认证延时为指标评价验证远程跨域访问对通信网络性能的 影响。 1 4 2 论文的主要贡献 1 对d i j k s t r a 算法进行改进，通过在运算过程中加入权值存储排序来提高运 行效率。通过仿真展示了几种算法在管理域认证中心规模变化时效率，实验表明 改进后的d i j k s t r a 算法在不降低求得最优解概率的情况下，性能得到了极大地提 升。 2 现有跨域认证技术不具有良好的可扩展性和灵活的认证模型，难以适应无 线网络开放性、低时延的特性。论文在异构无线网络结构基础上，针对现有认证 方式因忽略域间信任关系会导致认证失败这个现象，在充分考虑无线网络中各域 间信任关系地情况下，采用基于格的双牵引认证机制，结合改进d i j k s t r a 路径搜 索算法，构建出一种基于格的联盟认证及路径选择方案。该方案避免了传统认证 中网络瓶颈和单点崩溃问题，提高认证可靠性。采用改进d i j k s t r a 算法通过对有 向加权图中路径权值进行计算，找出认证路径最短的利益保护节点，提高了认证 效率的同时能够更合理地分配认证资源。 3 通过o p n e t 网络仿真实验，通过对模块的修改增加认证功能，来检验远 程跨管理域认证对认证服务器的影响。实验的结论对于日后配置无线网络下单点 6 硕十学位论文 登录的网络模型具有参考价值和指导意义。 1 5 论文的组织结构与安排 论文章节安排如下： 第1 章绪论，介绍了本课题研究相关背景及意义，跨域认证的国内外发展现 状，以及论文的主要内容、贡献和组织结构与安排。 第2 章介绍跨域认证相关