（计算机应用技术专业论文）异构网络aaa服务中基于通用接入选择算法研究.pdf

独创性( 或创新性) 声明 i i f lr l ir ill i r rl lli ii ii 17 5 9 9 5 6 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： 日期：加f o ，d 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密 论文注释：本学位论文不属于保密范围，适用本授权书。 本人签名： 导师签名： 差捌 日期：如0 佃 日期：叫0 = f d 异构网络丸讼服务中基于通用接入选择算法研究 摘要 随着无线移动技术的广泛应用，未来移动通信网络将逐步演化成 为一个异构互联、多接入技术并存、支持终端移动性的全i p 融合网 络。本文首先阐述了课题研究的背景，分析移动i p 技术、全i p 网络 以及异构网络融合的发展现状，从对接入协议的研究入手逐步深入， 最后对异构网络a a a 服务接入选择展开研究。 随着通信网络的不断发展，网络安全性己成为网络设计的一项重 要内容。然而电信网络中应用的一些原有的数据传送协议已不能满足 日益提高的安全要求。本文介绍s s l 协议、s s h 协议体系结构，详 细分析了s s h 的三层结构、密钥机制，s s l 协议的安全验证体系， 讨论了s s h s s l 连接建立过程的各个阶段。在此基础上，本文提出 了s s h 协议、s s l 协议在电信业务中取代f t p 、t e l n e t 技术的典型应 用，包括建立一种基于s s l 协议、s s h 协议的远程设备连接模型以 及一个s s h 安全通道过程和在安全通道内实现数据安全交互的过程。 为了提高异构网络中移动终端安全接入舭服务器的有效性， 提出了一种基于灰色关联分析和时序多指标判决理论的动态的接入 选择策略。这种选择策略充分考虑了移动终端接入对a a a 服务器多 指标的要求。将接入选择转化为多指标决策问题，从整体上多方面考 虑接入选择参数，为移动终端提供更加合理和有效的接入选择方案， 仿真结果表明，该策略能综合多种接入判决指标，并且保证移动终端 选择最优的最有效安全的网络接入。 最后，对全文的研究内容进行总结，并指出未来的研究方向。 关键词：异构网络接入选择丸姐灰色关联算法时序多指标 判决s s ls s h 安全验证 r e s e a r c ho na c c e s ss e l e c t i o na l g o i u t h mi n h e t e r o g e n e o u sw i r e l e s sn e t w o r ka a a s e r v i c e a b s t r a c t 、i t ht h ed e v e l o p m e n to fw i r e l e s sm o b i l i t yt e c h n o l o g y , t h ef u t u r e m o b i l ec o m m u n i c a t i o nn e t w o r kw i l le v o l v ei n t oa na l l i pi n t e g r a t e d n e t w o r k ，w h i c hc a ni n t e r c o n n e c th e t e r o g e n e o u sw i r e l e s sn e t w o r k sa n d s u p p o r tm u l t i m o d et e r m i n a l i nt h i sp a p e r , f i r s t l y , t h ea u t h o re x p o u n d s t h eb a c k g r o u n do fr e s e a r c hp o i n t s ，a n a l y z e sm o b i l ei pt e c h n o l o g y , a l l i p n e t w o r ka n dt h ed e v e l o p m e n ts t a t u so fh e t e r o g e n e o u sw i r e l e s sn e t w o r k s i n t e g r a t i o n t h e nt h ep a p e rf o c u s e s o nl o c a t i o nm a n a g e m e n ti ns e c u r i t y m a n a g e m e n ta n dt h es t u d yo fh e t e r o g e n e o u sn e t w o r k sa c c e s ss e l e c t i o n w i t ht h ed e v e l o p m e n to fn e t w o r k ，n e t w o r ks e c u r i t yi so n eo ft h e m o s ti m p o r t a n tp a r t si nn e t w o r kd e s i g n a tp r e s e n t ，s o m eo r i g i n a ld a t a t r a n s m i s s i o np r o t o c o l sc a nn o ts a t i s f yt h eg r o w i n gr e q u e s to fn e t w o r k s e c u r i t ya n ym o r e i nt h i sp a p e r , t h es s lp r o t o c o la n dt h es s hp r o t o c o l a r c h i t e c t u r ea r ei n t r o d u c e di nd e t a i l e da t f i r s t s u b s e q u e n t l y , t h et h r e e l a y e ra r c h i t e c t u r ea n dk e ym e c h a n i s mo fs s h ，a n ds e c u r i t yv e r i f i c a t i o n s y s t e m o fss li s a n a l y z e d av a r i e t y o fp h a s ei nc o n n e c t i o n e s t a b l i s h m e n to fs s h s s li sa l s od i s c u s s e d a tl a s t ，b a s e do nt h e f o r e g o i n gb a s i s ，t h ea r t i c l em a i n l yf o c u s e so nt h et y p i c a la p p l i c a t i o no f s s ha n ds s li ns t e a do ff t pa n dt e l n e ti nt e l e c o m m u n i c a t i o ns e r v i c e ， i n c l u d i n gt h ep r o c e d u r eo fs e t t i n gu par e m o t ed e v i c ec o n n e c t i o nm o d e l b a s e do ns s l p r o t o c o la n ds s hp r o t o c o la n dt h ep r o c e d u r eo fs e t t i n gu p as s hs e c u r i t yt u n n e la n dt h ed a t ai n t e r a c t i v i t yi nt h i ss e c u r i t yt u n n e la r e i n c l u d e d b a s e do n 伊a yr e l a t i o n a n a l y s i s a n dm u l t i c r i t e r i ad e c i s i o na d y n a m i ca c c e s ss e l e c t i o ns t r a t e g yw a sp r o p o s e dt oi m p r o v et h ev a l i d i t y f o rm o b i l et e r m i n a ls e c u r i t ya c c e s sn e t w o r k si nh e t e r o g e n e o u sn e t w o r k s t h es e l e c t i o ns t r a t e g yt a k e sf u l li n t oa c c o u n tt h ee f f e c t i v e t yo ft h em o b i l e t e r m i n a la c c e s sn e t w o r ka n dt h ei n t e g r i t yo fs e c u r i t ya s s o c i a t i o nb ya a a s e r v e r s b yt r a n s f o r m i n ga c c e s ss e l e c t i o ni n t om u l t i c r i t e r i ad e c i s i o n ，t h e e f f e c t so fa c c e s ss e l e c t i o np a r a m e t e r sw e r ec o n s i d e r e dc o m p r e h e n s i v e l y a n da na p p r o p r i a t ea c c e s sn e t w o r kw a ss u p p l i e df o rt h et e r m i n a l s t h e s i m u l a t i o nr e s u l t ss h o w e dt h a tt h i s s t r a t e g yc a np r o v i d eo p t i m a la n d e f f e c t i v ea c c e s sn e t w o r k sf o rm u l t i m o d e lt e r m i n a l sa f t e r b a l a n c i n g m u l t i p l ed e c i s i o nc r i t e r i a a tt h ee n do ft h i sp a p e r , t h ea u t h o rc o n c l u d e st h er e s e a r c hc o n t e n t ， a n dg i v e ss o m e s u g g e s t i o n so ff u t u r es t u d y k e yw o r d s ：h e t e r o g e n e o u s a a a g r a yr e l a t i o na l g o r i t h m s e c u r i t ya u t h e n t i c a t i o n w i r e l e s sn e t w o r ka c c e s ss e l e c t i o n m u l t i c r i t e r i ad e c i s i o ns s ls s h 1 1 1 目录 第一章绪论1 1 1 课题研究背景1 1 1 1 移动i p 技术l i 1 2 全i p 异构网络融合5 1 2 论文期间完成的工作6 1 3 论文的组织结构7 第二章网络接入安全的相关研究8 2 1 网络安全基础的综述8 2 1 1 网络安全的需求8 2 i 2 安全攻击9 2 1 3 网络安全机制1 0 2 2 异构无线接入安全1 0 2 2 1 异构环境下的安全问题1 0 2 2 2 无线移动网络中的安全攻击1 2 2 2 3 下一代无线移动网络的安全机制1 2 2 2 4 。无线i p 嘲络的认证技术1 5 2 3 异构网络接入选择研究现状：1 7 第三章基于安全接入协议的登录研究2 0 3 1 协议介绍：2 0 3 1 i s s l 握手协议简介与框架2 0 3 i 2 s s h 协议简介与框架2 l 3 1 3 安全验证2 3 。3 2 s s l 协议和s s h 协议的应用2 9 3 2 1 登录模型研究2 9 3 2 2 s s h 应用以及安全通道的实现3 3 3 3 本章小结3 7 第四章网络融合中a a a 应用的研究3 8 4 i 移动i p 与a a a 机制3 8 4 1 1 移动i p v 6 的安全威胁3 8 4 1 2 移动i p 与a a a 机制3 9 4 2 异构网络环境下的a a a 应用4 1 4 2 1 异构网络融合a a a 场景4 l 4 2 2 简单a a a 场景应用模型4 4 4 2 3 网络融合中a a a 应用方案比较4 5 4 3 本章结论4 8 第五章异构无线网络中a a a 服务器接入的选择研究5 0 5 1 研究现状5 0 5 2 通用接入选择算法描述5 2 5 2 1 建立多接入选择模型5 3 5 2 2 算法描述5 4 5 2 3 基于灰度关联分析的多接入选择策略5 6 5 2 4 仿真结果与分析5 8 5 3 本章结论6 3 第六章结论与展望6 4 参考文献6 6 附录6 9 附录l ：缩略语6 9 致谢7 1 攻读学位期间发表的学术论文和著作目录7 2 v 1 1 课题研究背景 第一章绪论 随着移动通信技术和宽带无线的迅速发展，种类繁多的无线网络日益涌现， 诸如w l a n 、3 g 、w i m a x 等。每种无线接入技术在网络容量、覆盖范围、数据 速率和适宜承载的业务类型等方面都不相同，任何一种单一的网络不可能满足用 户的所有需求，因此，“融合”成为网络发展的大势所趋。另一方面，用户希望通 过移动终端在任何时候、任何地点以各种方式获取信息、享受多样化的网络服务； 而运营商则希望实现接入、交换、业务和运营层面的统一，从而有效地减少运营 成本，促进业务增长。因此，未来的电信网和i n t e m e t 、固定网和移动网等多种 网络必将走向统一，这是异构网络融合的发展趋势。 目前业界普遍认为：全p 是网络融合的基础，无线网络结构从电路交换向 基于i p 协议和技术的分组交换演进【l 】，即所谓的e v e r y t h i n go v e ri p 和i po v e r e v e r y t h i n g 。作为下一代网络( n g n ) 重要组成部分的第三代移动通信( 3 g ) ， 是移动与口相结合的产物。丸蛆( a u t h e n t i c a t i o n 认证、a u t h o r i z a t i o n 授权、 a c c o u n t i n g 计费) 协议是融合的网络运营重要的安全保障机制。a a a 协议的可 靠运行，既保证了网络系统的安全可靠运行，又在一定程度上保障了用户的合法 权益。将a a a 协议应用于移动i p 协议中，可以实现移动口协议关键数据的保 密性、注册认证管理，以及服务的不可抵赖性等安全机制。 1 1 1 移动i p 技术 移动i p 技术作为网络层移动性管理的解决方案，是在原口协议的基础上增 加对移动性的支持，使得移动终端在不同网络间移动的过程中，保证通信的连续 性。移动i p v 6 的研究继承了移动i p v 4 基本协议的大部分思想，并在路由优化， 安全性和丸蚣服务的方面进行改进。一方面，i p v 4 移动性的研究给移动i p v 6 标准提供了大量的可借鉴经验，另一方面，和移动i p v 4 作为i p v 4 协议的补充 不同，移动i p v 6 协议是i p v 6 协议不可分割的一部分， 1 移动i p v 4 和移动i p v 6 - 最初的移动i p 协议是移动i p v 4 ( m i p v 4 ) 协议【2 】【3 1 ，由i e t f 移动i p 工作组 制定，是一种在网络层支持终端移动性的方案。m i p v 4 协议定义了移动节点 ( m n ) 、家乡代理( h a ) 、外地代理( f a ) 和通信对端( c n ) 等网络实体，每 个m n 有一个家乡地址和多个转交地址( c o a ) ，家乡地址在整个通信过程中保 持不变，标识m n 初始注册登记的网络；转交地址会不断变化，标识m n 的当 前位置。当m n 移动到外地网络并获得转交地址后，通过注册过程将家乡地址 与转交地址绑定。由此，m n 可以通过家乡地址连接到任何链路上，同时在链路 发生切换时保持通信的连续性。 当m n 移动到外地网络时，首先通过代理发现机制确认已经离开家乡域。 代理发现机制是通过扩展i c m p 路由器发现机制实现的，由移动代理周期性的发 送代理通告消息，或者移动主机主动发出代理请求消息。此后，m n 执行注册操 作，通过外地代理向家乡代理完成移动绑定，更新m n 当前的位置信息。如图 1 1 所示，m i p v 4 转交地址注册过程。 图1 - 1m i p v 4 转交地址注册过程晡1 注册过程结束后，m n 和c n 通过家乡代理h a 进行通信。h a 截获发往m n 家乡地址的数据分组并进行封装，然后通过隧道把封装的数据分组发送到移动节 点的转交地址。隧道的输出端点( f a 或m n 本身) 对收到的报文进行拆封后， 交给移动节点。此时可以交换m n 和c n 的地址信息，使得后续m n 发出的报 文通过标准i p 路由机制路由到c n ，不再需要经过h a 。由此可见，当m n 离开 家乡网络，移动到外地网络时，通过移动口技术，能够保证i p 分组被正确的终 端接收，保持通信的连续性。 但是m i p v 4 也存在一些缺点，如i p 地址空间不够、路由不够优化、安全机 制不完善等，因此i e t f 移动i p 工作组提出了移动i p v 6 ( m i p v 6 ) 协议【4 】【5 1 ，将 网络地址从3 2 b i t 增大到1 2 8 b i t ，彻底解决i p 地址匮乏的问题。 如图1 2 所示，m i p v 6 转交地址注册过程，网络结构中不再有外地代理f a 。 当m n 收到“邻居发现机制”发送的通告，确认已经连接到外地链路后，通过自动 配置获取转交地址。然后，m n 直接向家乡代理申请注册，为移动节点的家乡地 址和转交地址在家乡代理上建立“绑定”关系，使得家乡代理能够把只知道其家乡 地址的节点发来的分组转发到移动节点当前位置。 2 点 图1 - 2m i p v 6 转交地址注册过程m 1 当c n 发起与m n 的通信时，h a 在家乡链路上截取目的地址是移动节点家 乡地址的分组，通过隧道将这些分组转发到m n 的转交地址上。如果c n 上存在 关于m n 家乡地址和转交地址的绑定，就可以将分组直接发送到m n 的转交地 址上，不需要经过h a 的转发。这就实现了路由优化，避免了“三角路由”问题。 为了实现这样的m n 和c n 之间直接通信，m n 在判断c n 不知道自己的绑定之 后，主动向通信对端发起绑定更新。从而实现m n 和c n 之间分组的选路是优化 的，增强网络可靠性，减轻网络负担。 2 宏移动和微移动 以上分析了m i p v 4 和m i p v 6 的基本内容，两者都属于网络层的解决方案， 适于广域范围内的移动。对于m n 在局部范围内的快速移动，按照协议，m n 的 转交地址每一次改变都需要向家乡代理执行一次注册过程。当m n 发生频繁移 动时，在网络中将引发大量的注册报文的传输，从而严重影响网络性能；特别是 当m n 远离其归属网络时，将造成较大的切换延迟，引起严重的包丢失和通信 吞吐量的下降；另一方面，当采用优化路由时，由于要正确地通过隧道传输口 包，因而必须保存精确的位置信息，并且需要大量的缓存。因此，对于现有的移 动i p 协议应该加以改进或者补充，以适应微移动环境下的应用。 针对这一问题，研究人员提出一系列方案，其基本思想是在接入网引入“服 务域”，把网络划分为不同的域，将平面型移动性管理转变为分级管理，将终端 的移动分成宏观移动和微观移动，对于不同程度的移动性采用不同的管理策略。 用户在同一域内移动时产生的信令在本地域内处理；当用户离开当前域时才需要 通知家乡代理域。由此，域间移动采用m i p v 4 m i p v 6 进行管理，域内移动采用 微移动管理方案，而且，当m n 在域内移动时不必向h a 注册，可以减少m n 与h a 之间的信令开销。 目前的微移动管理方案主要包括h a w a i i 协议【7 】、c e l l u a ri p 协议【8 】、区域注 册移动i p 协议和分层移动i p v 6 ( h m i p v 6 ) 【9 】等。本文中位置管理的相关研究是 在改进的h m i p v 6 的基础上进行的，下一节将对h m i p v 6 做一些分析。 3 分层移动i p v 6 分层移动i p 是一种微移动性管理模型，其目的是减少c n 与h a 之间的信 令数量，改善移动i p 的性能。h m i p v 6 是在m i p v 6 的基础上，引入了一种新的 实体，称为移动锚节点( m a p ) 0 0 】，与h a 、a r ( 接入路由器，相当于基站) 一起构成多层分级结构。在这样的网络结构中，m a p 相当于本地的家乡代理， 将m n 的位置更新过程本地化，由m a p 管理本地切换，完成微移动性管理；而 广域移动性仍由m i p v 6 协议管理。其中，m a p 由一个或一组路由器构成，通常 位于一个网络的边缘，负责维持它与正在该m a p 域中访问的m n 的绑定关系。 一种简单的两层h m i p v 6 网络结构如图1 3 所示。 图1 - 3 i m i p v 6 网络结构 h m i p v 6 的主要原理：每个m n 有两个转交地址，本地链路转交地址( l c o a ) ， 由a r 的广播前缀自动配置生成；区域转交地址( r c o a ) ，由m a p 子网前缀自 动配置生成。首先，m n 在h a 上登记l c o a ，当m n 在一个m a p 域内的不同 a r 之间移动时，只需要在当前m a p 上登记它的新位置，完成新的l c o a 和原 有的r c o a 的绑定，而不需要与h a 或接入网之外的c n 进行相关操作。只有当 m n 跨越m a p 域时，m n 才需要向h a 注册，完成新的r c o a 和m n 家乡地址 绑定的过程。使用这种方法，信令只发生在较小区域，不会扩展到核心网，因而 完成位置更新的时间较短。而且m a p 可以处于网络中的任何一级，m n 收到的 代理广播中可以包括多个m a p 信息，它可以自主选择一个m a p 进行注册。 虽然分层网络结构实现起来相对容易，但是仍然存在一些不足，例如由于在 每个微移动管理区域内，由区域移动管理实体m a p 集中的管理固定数目的基站， 一旦此m a p 出现故障会造成整个区域的灾难性故障。另一方面，系统的性能与 m a p 所管辖的基站数目( 即区域的大小) 有密切关系，基站过少，会增加切换 时延和网络信令冗余；基站过多，会增加m a p 的处理负荷，导致分组传递代价 的增加。而且，增加网络的级数尽管能够减少位置更新的信令开销，但是会加重 网络的单点故障问题，增加网络瓶颈。因此，如何设计一种基于m i p v 6 的改进 4 的网络结构成为一个需要研究的问题。 1 1 2 全i p 异构网络融合 “融合”是未来网络发展的必然趋势，其覆盖范围非常广，涉及用户、运营商、 网络技术、设备与解决方案等各个方面。从用户的角度来看，希望能够通过有线、 无线融合的接入方式和简单易行的通信方式来享受无处不在的个性化服务。对于 运营商来说，希望通过统一的方式向用户提供全业务运营，提高市场份额和利润。 网络融合是采用通用的、开放的技术实现不同网络或网络元素的合并或融 合。融合可以充分利用网络资源，降低运营成本，提供多样化的业务，增强竞争 力；融合可以向用户提供各种形式的业务和一站式的服务，使用户不论在固定、 移动环境中享受到相同的服务。网络的融合已经成为电信发展的趋势。从话音和 数据的融合到有线和无线的融合，从传送网和各种业务网的融合，到最终实现三 网的融合，将成为下一代网络发展的必然趋势。 未来网络是“以i p v 6 技术为核心的下一代数据网络”，这在业界已达成共识。 引入全i p 网络，使移动网络成为可提供因特网服务的、可移动的、私密的、快 捷的平台，同时也为移动运营商提供了降低投资运营成木、丰富服务、扩大商机、 快捷引入新业务等各方面的便利，两者结合是发展的必然趋势。众多的国际标准 化组织，包括3 g p p 、3 g p p 2 、i e t f 等组织，对全m 蜂窝网结构与功能进行了 广泛的研究与标准化工作，取得了相当的成果。3 g p p 制定的r 5 网络结构就是 一种基于全i p 的结构，全i p 网络是异构网络融合的基础【l l j l l 2 1 。 网络融合一般表现在核心网的融合、接入网的融合、业务的融合以及终端的 融合。随着无线技术的发展，无线接入网络成为有线网络的延伸，在多种接入网 络共存的情况下，需要采用一定的策略整合接入网资源，实现接入网的融合。业 务的融合是指一种业务可以通过多种接入技术，同时向多个终端提供服务，需要 建立一种基于i p 的新型业务框架，融合移动通信、i n t e m e t 、固定通信、边缘自 组织网络等多异构系统，为用户提供复杂的智能业务。本文的研究重点是接入网 络的融合。 5 图卜4 基于i p 的下一代接入网络结构 下一代移动通信网( b e y o n d3 g ) 是多种无线接入共存的融合网络。如上图 1 4 所示，在基于口的统一的网络平台上，各种接入网络共存，包括w c d m a 、 c d m a 2 0 0 0 、g s m 、w l a n 、w p a n 等。这些接入网络覆盖不同的区域，具有不 同的技术参数，提供不同的业务能力，执行不同的通信与控制协议，具有不同的 网络结构。各种类型的移动终端将选择合适的网络承载所需要的业务。因此如何 有效地集成异构无线网络，优化使用全网的无线资源是b 3 g 研究领域内关键课 题之一。 基于上述的分析研究，在移动i p 技术、基于全i p 的异构网络融合的研究领 域，很多有价值的研究点有待深入探索。基于i p 的移动性管理就是研究热点之 一，其中位置管理在实际通信过程中发挥着重要的作用。另一方面，由于各种不 同的接入网络类型不断涌现，在异构网络环境下，网络接入选择方案成为亟待研 究的问题。如何有效利用异构互联、多接入技术并存的网络结构，使各种网络协 同工作，更好的支持终端移动性、合理使用全网无线资源，是基于全p 网络融 合领域的一个研究重点。 1 2 论文期间完成的工作 在攻读硕士学位期间，作者作为i c n & c a d 实验室国家8 6 3 项目组成员， 参与了国家8 6 3 自然基金项目a a a 的移动性管理体系架构和a a a 服务中的 基于通用接入选择算法的研究的相关工作。本文是作者在攻读硕士学位期间所完 成的主要工作的总结。 相关项目工作如下： 1 深入研究移动i p 相关技术，深入研究多种异构网络同时存在的情况下 的网络安全接入。 6 2 结合中国移动i p v 6 网管接口测试项目，对s s h 和s s l 协议进行了深入 的研究，行了基于实际网络环境的仿真。 3 研究异构无线网络中接入选择问题，提出一种既考虑网络参数又考虑 a a a 服务器状态指标的接入功能框架图，并在此基础上，综合考虑多种接入网 络、多种网络参数，提出一种通用的接入选择算法。 4 根据算法的特点，使用m a t l a b 软件对算法进行仿真，设置仿真场景 测试算法，并将结果与传统的接入选择判决策略相比较。 此外，在论文工作期间，曾发表论文两篇，( ( s s h 在电信业务中的应用( 发 表在电信快报2 0 0 9 年第四期) ；ad y n a m i ca c c e s ss e l e c t i o ns t r a t e g yb a s e do n g r a yr e l a t i o na l g o r i t h mi nh e t e r o g e n e o u sn e t w o r k sa a as e r v i c e ) ) ( 被录用于i n t l c o n f e r e n c eo nw i r e l e s sc o m m u n i c a t i o n s ，n e t w o r ka n dm o b i l ec o m p u t i n g 无线通 信、网络技术及移动计算国际会议( w i c o m2 0 0 9 ) ) 。 1 3 论文的组织结构 在论文的结构安排上，全文由6 章组成。 。 第l 章绪论部分，论述了课题研究的背景和意义，。分析了移动i p 相关技术 以及基于i p 的全i p 异构网络融合问题，并给出了论文的组织结构。 第2 章主要针对课题的两个研究点网络中的接入安全和异构网络中 a a a 服务器接入选择问题，调研国内外的研究现状，作为论文研究工作的基础。 第3 章首先对s s l 协议和s s h 协议进行了详细的介绍，包括它们的框架和 安全验证体系，然后结合实际网络环境进行这两种协议在实际网络中的仿真。 第4 章首先介绍移动i p 与础姐机制，详细介绍异构网络融合情况下a a a 应用的几种常用场景，结合这几种场景提出了面向w l a n 和3 g p p 的a a a 融合 实际多种应用方案的详细应用方式和优缺点比较。 第5 章是论文的另一个重点，首先提出一种部署在异构终端上的功能框架 图，在此基础上提出一种异构网络环境中的通用接入选择算法。对算法进行详细 描述，并使用m a t l a b 仿真工具对算法进行仿真测试，分析总结仿真结果。 第6 章是对整篇论文的总结和对今后工作的展望。 7 第二章网络接入安全的相关研究 本章对论文的研究课题背景及相关领域研究现状做一定的分析和总结，为后 面展开研究工作奠定基础。 2 1 网络安全基础的综述 网络的飞速发展所带来的一个非常重要的问题就是安全问题，安全性是人们 对移动通信的一个基本要求。随着社会的发展，安全想也越来越重要。简单地说， 安全机制主要包括两个层面的意思：一方面保证合法用户得到合法安全的服务； 另一方面防止非法用户或合法用户越权使用和破坏网络资源。下一代无线异构网 络的发展，最重要的是创建一个让服务使用者放心且安全的环境，使其能够随时、 随地、方便地通过网络来处理任何事情。 然而移动和无线信道特有的开放性导致无线网络面临的安全威胁远远大于 有线网络通信。同时，在未来移动通信系统中，出了传统的语音业务外，它还将 提供多媒体业务、数据业务、以及电子商务、电子贸易、互联网服务等多种信息 服务。因此，如何在下一代移动通信系统中保证业务信息的安全性以及网络资源 使用的安全性已成为移动无线系统中重要而且迫切的问题。 2 1 1 网络安全的需求 网络信息安全的目标是保护网络信息系统减少危险，免受威胁。从技术的角 度来说，网络信息安全的目标表现在系统的可靠性、保密性、完整性、认证、可 用性以及不可抵赖性等。 1 ) 可靠性 可靠性是网络信息系统能够在规定条件下和规定时间内完成规定功能的特 性。可靠性是系统安全的最基本要求之一，是所有网络信息系统建设和运行的目 标。网络信息系统的可靠性测度有抗毁性、生存性、有效性3 种。 2 1 保密性 保密性指网络信息不被泄露给非授权的用户、实体或过程的特性，即防止信 息泄露给非授权用户并且信息职位授权用户使用的特性。 3 1 完整性 完整性指网络信息未经授权不得改变的特性。具体来说，指网络信息在存储 或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破 坏和丢失的特性。完整性事一种面向信息的安全性，它要求保持信息的原样，级 保证信息的正确生成、存储和传输。 4 ) 认证 认证是验证用户身份是否真实可信。分为两种情况： 实体认证：验证参与某次通信连接或会话的发起者的身份。 数据源认证：验证发起某数据项的发送者的身份。 5 ) 不可抵赖性 不可抵赖性指拥有不可否认的证据来证明消息已经发送了，当一个实体否认某次 通信时，可将所存储的事实提交给第三方以解决争端。不可抵赖性有3 种形式： 起源的不可抵赖：为消息接收者提供证据来证明消息的来源，防止发送者恶 意否认发送过消息。 接收的不可抵赖：为消息发送者提供证据来证明数据已被指定的目的接收者 收到，防止接收者恶意否认收到过该消息。 承诺的不可抵赖：确保通信中的任何一方不能在事后否认已经承认过的交换 信息和默许的业务。 6 ) 可用性 可用性指网络信息可被授权实体访问并按需求使用的特性。可用性是网络信 息系统面向用户的安全性能，一般用系统正常使用时间和整个工作时间之比来度 量。 2 1 2 安全攻击 安全威胁时至某个人、物、事件对某一资源的机密性、完整性、可用性等造 成的伤害。安全攻击是安全威胁的具体实施形式，指采用某种方法或技术故障躲 开安全系统并且破坏系统的安全策略的行为。安全威胁可分为故意威胁和意外威 胁。故意威胁是指黑客或犯罪组织采用某种技术或者方法破坏网络的行为。意外 威胁指非人为因素造成的威胁，如系统故障、自然灾害等。 故意威胁有两种表现方式：主动攻击和被动攻击。主动攻击试图改变系统资 源或者操作，被动攻击试图获取或利用系统的消息，但不会影响系统的资源。主 动攻击可以检测出来，因此可以采取检验方法来抵御主动攻击。被动攻击由于不 会对数据进行改动，因而很难被检测出来。 主动攻击采取的主要方式：中断、窃取破译、未授权访问、修改、重放、伪 造假冒、抵赖、拒绝服务、会话窃取、中间人攻击。 被动攻击采取的主要方式：消息泄露、流量分析。 9 2 1 3 网络安全机制 实现网络安全目标通常采用以下机制： 1 ) 标识与验证机制：主要指对用户身份的标识与验证，如用户名、口令、数字 签名技术等。数字签名技术不但可以提供用户身份的验证和鉴别，还可以对信息 的真实可靠性进行鉴别，用以解决冒充、抵赖、伪造和钻该等攻击。 2 ) 网络访问控制机制：主要指对具体的各个用户给予必要的授权，允许或限制 其访问的范围、方式、时间、地点与可用等操作。 3 ) 加密机制：确定对不同的信息类型实施不同的加密措施，包括设备存储的数 据和需要传输的数据。数据加密时认证机制、完整性检查和机密性机制等安全机 制的基础。 4 ) 信息完整性机n - 判断并确认数据和信息在存储和传输过程中是否被篡改或 破坏的机制。 5 ) 审计机制：监视并记录对网络的访问，发现和预防网络安全性方面的漏洞。 2 2 异构无线接入安全 无线信道的开放性在赋予人们通信自由的同时，也带来了一些不安全因素， 如无线窃听、假冒攻击、信息篡改、重放攻击、抵赖等。在目前的2 g 和今后的 3 g 系统，以及无线局域网等同学标准中，都将安全性作为重要的技术之一，其 目的都是为了保证信息的机密性以防止被窃听、保证身份认证以防止身份被假 冒、保证数据完整性以防止被篡改数据等。 未来的泛在、异构、协同的网络环境由各种接入网络共同构成。其安全问题 更为突出。不安全因素主要包括： 1 ) 无线接口带来的不安全因素 异构泛在环境下，移动终端都是多模配置的，而无线信道有事一个开放性信 道，这使得对信息的篡改和用户身份的伪造更易发生。 2 ) 核心网络带来的不安全因素 移动泛在的核心网络采用全i p 的架构，使得原来相对封闭的电信核心网具有 了一定的开放性，核心网络的i p 化和开放性更易遭受非授权访问等攻击。因此， 如何保证异构环境下的安全接入成为异构网络切换技术面临的挑战之一。 2 2 1 异构环境下的安全问题 移动泛在网络中，通信系统通过各异构子网络之间的协同，支持不同程度的 1 0 移动与无缝连接。移动泛在网络具有泛在性、异构性、环境感知性、自组织、自 愈性、开放性、透明性、移动性、宽带性、多媒体、协同性、对称性、融合性等 特点。从移动泛在网络开放、灵活、可管理的网络架构特点可以看出，其安全性 与同构移动网络技术的安全需求相比有比较大的差别，其安全问题将比以往的移 动通信系统更为复杂，这使得对移动泛在网络安全机制的研究有重大的理论价值 和实践意义。 在支持泛在、异构、具有自组织和自适应特性的移动性管理及时中，在安全 机制方面，面临融合和高效的移动接入认证技术，引入a dh o c 技术与其他网络 相结合的新型组网方式中的终端间认证技术、公钥密码技术的合理应用以及防火 墙穿越等挑战。 异构移动网络的安全问题突出表现在以下几个方耐”】。 1 异构网络间的认证问题 异构网络间的认证问题，也就是跨域认证问题。提供可靠、高效、合理的身 份确认应用模式是实现跨网络连接的一个极其关键的问题。当用户在各类网络间 漫游时，有一个简单而可靠的鉴别方法非常重要。2 g ( 第二代) 技术解决了网 络对用户终端的认证，3 g ( 第三代) 技术解决了网络和用户终端之间相互的认 证，他们使用的方法都是基于私钥密码体制，采用共享秘密数据( 私钥) 的安全 协议。移动泛在网络是通过各种异构网络的协同以支持不同的移动无缝连接。在 移动泛在网络中，不同网络间的业务使用非常频繁，这就要求移动泛在网出了网 络与用户之间的相互认证之外，还必须要进行异构网络间的相互认证以及用户与 为其服务的终端之间的相互认证，这样才能保证一个让用户放心且安全的网络环 境。因此，与2 g 、3 g 中的安全问题相比，在研究移动泛在网络的完全问题是， 应增加异构网络之间的安全认证机制。 这种异构网络之间融合的认证技术，包括用户签约数据的融合、接入认证技 术的融合和计费数据的融合等多个方面，以满足用户在异构网络间移动接入和业 务访问的需要。同时，对终端的认证是移动终端实现在不同网络间移动接入、切 换的重要前提条件之一，需要最大限度地降低切换时延，减少认证过程所需时间。 另外，随着移动用户数量的增多，以及a d h o c 等自组织网络与蜂窝网络的有 机结合，用户终端之间多跳互通缓解了基站瓶颈，均衡流量，提高网络容量，有 效地改善了网络性能。这时，需要不同用户终端之间的相互认证机制，包括认证 密钥、加密算法的分发和管理等。 2 建立以用户为中心的信任域 3 g 中的信任域是以核心网为中心的，而移动泛在网络是以人为本的网络，要 求在服务提供者侧构建整合各种网络资源、资源装置、基础平台、应用内容及解 决方案；在服务使用者侧，必须有一个让使用者放心且安全的环境，使其能随时、 随地、方便地建立以自己为中心的信任域来处理任何事情。其节点具有动态性、 智能性，且多种接入方式和多种承载方式融合在一起以实现无缝接入。它要求任 何对象( 人或设备等) 无论何时、何地都能够