首页> 正文

基于门限机制的移动自组网证书服务技术研究

2019-07-05阅读(626)

基于门限机制的移动自组网证书服务技术研究

陈炯[1]2006年在《移动自组网中的门限证书研究与实现》文中研究指明随着移动自组网在民用和军事领域的应用日益广泛,移动自组网的安全技术研究日益受到人们的重视。由于移动自组网没有固定的基础设施,拓扑结构动态变化,使网络安全面临许多新问题。认证服务是实现安全移动自组网的基础,移动用户可以通过证书服务进行安全数据通信。但自组网缺乏集中控制,有线网所采用的集中或层次的认证方法不适合移动自组网。鉴于移动自组网的分布式特性,集中式的认证方法会让CA节点承受较大压力,并且随着网络规模的扩大,认证的可用性也会受到很大影响。同时把整个网络的安全放在一个节点之上,一旦此节点不可达或者被攻击将使整个网络不可用,为此给出了两种基于门限机制的证书服务框架。一种是以仿真CA为基础的门限认证,在这个框架之中利用安全的多方计算在多个节点之中形成了一个共享的秘密,以此共享的秘密为密钥,构建了一个基于离散对数的ElGamal门限签名方案。这就不需要在网络形成之前用一个离线的初始化服务器来生成网络的系统密钥。另一种类似于PGP的自组织证书框架。在很多对安全性要求不高的民用领域中并不需要严格的安全保障,并且其网络形成是真正的自组织,因此无法事先确定哪些节点是CA节点。本文采用先来先信任的原则,让最先组网的几个节点之间首先形成一个基于RSA的门限认证中心,系统私钥由非经意传输协议产生。随着网络规模的扩大,借鉴于PGP的思想,证书在节点之间传递形成一条证书链以保障整个网络的安全。基于Chaum的零知识证明,给出了一种适用于移动自组网的可验证的门限签名方案,不仅可识别非法用户的恶意行为,而且对合法授权用户的恶意行为也是可识别的,并进行了性能上的分析与比较。在上述工作的基础上进行了可以实现的门限证书的概要设计,并以此为框架开发出了相应的系统。

张利银[2]2002年在《基于门限机制的移动自组网证书服务技术研究》文中指出随着移动自组网在民用和军事领域的应用增加,移动自组网安全技术研究日益受到人们重视。由于自组网没有固定的基础实施,拓扑结构动态变化,使网络安全面临许多新问题。 认证服务是实现安全移动自组网的基础,移动用户可以通过证书服务进行安全数据通信。由于自组网缺乏集中控制,有线网所采用的集中或层次的认证方法不适合移动自组网。 本文研究了移动自组网证书服务的关键技术。根据移动自组网特点,提出了基于门限机制的移动自组网可鉴别证书服务框架,描述了该框架的组成和各部分功能。深入研究了证书签发、更新、鉴别、合成及废除等技术。提出了基于零知识证明的部分证书鉴别方法。 在上述工作的基础上,本文设计了移动自组网络可鉴别的证书服务原型系统。在不同硬件平台,对原型系统中的核心算法的运算代价进行了测试,分析了移动自组网证书服务的运算开销,结果验证了可鉴别的证书服务框架的有效性。

杨天骄[3]2008年在《基于门限体制的自组网密钥管理与认证技术研究》文中研究表明移动自组网是由一组无线移动节点组成的集合,一般称为移动Ad hoc网络,可以在没有任何网络基础设施和集中化管理的情况下互相通信。移动Ad hoc网络是一个有实际应用价值的研究领域。但是,由于其自身的开放媒质、动态拓扑、分布式协作和受限能力等特点,网络本身极其容易受到攻击。所以保障移动Ad hoc网络安全显得尤为重要,而其中的中心问题是密钥的管理方式与用户身份的认证。本文首先讨论了移动Ad hoc网络的基本概念、特点、安全需求及安全威胁,在分析了当前移动Ad hoc网络安全方面的研究现状之后,针对Ad hoc网络的特点,设计了基于门限体制的移动自组网密钥管理和认证服务框架,对移动Ad hoc网络的密钥管理和安全认证做了具体的研究。本论文所做的主要工作如下:1、设计了一种有效的分布式密钥管理与认证系统设计方案,描述了该方案的组成和各部分功能,包括主密钥分发,主密钥份额刷新以及证书的签发、合成及废除技术。本方案在一定程度上解决了移动Ad hoc网络中密钥管理和认证所存在的问题。2、设计并实现了移动Ad hoc网络分布式密钥管理和认证服务系统,详细介绍了系统的功能组成模块和设计流程。系统的成功运行验证了分布式密钥管理与认证技术方案的有效性。

张利银[4]2002年在《移动自组网证书服务技术研究与实现》文中研究指明文中阐述了传统网络单个CA和层次CA证书服务技术的特点与不足。根据移动自组网的特点及安全需要,提出了基于门限加密机制的移动自组网证书服务技术和相关算法,并给出了系统的体系结构。运用面向对象的方法,对共享密钥生成和证书签发进行了实现。

杨铭熙[5]2007年在《移动自组网安全路由技术的研究》文中研究指明移动自组网是一种无基站设施的多跳移动无线网,由若干个移动节点组成的自组织无线网络,网络拓扑动态变化,没有专门的固定基站或路由器作为网络的管理中心,每个节点兼有终端主机和路由器两个功能,节点间以对等的方式进行通信,其用户终端可以是笔记本电脑、PDA和车载台等具有无线收发装置的便携式设备,便于快速临时自行组网,可应用于移动远程会议、救灾抢险、战地救护、军事行动和传感器网络等,在军事及民用各个领域有着广泛重要的应用前景。相对于有线网络而言,移动自组网有着信道带宽窄、电源容量小、处理速度低等特点。因而,在移动自组网中,采用多播路由来节省多点传输时的网络资源、采用QoS路由来保证信息的有效可靠传输是十分必要的。在移动自组网给我们带来极大的灵活和便利性的同时,移动自组网的安全性也给我们带来了严峻的挑战。移动自组网由于其节点间的无线连接、网络拓扑的快速多变和无管理中心等特点,相对于有基站设施网络更易受到窃听、假冒和DoS等各种安全威胁和攻击。而且由于节点的移动性,移动自组网中各节点间的距离以及节点的邻居都在不断变化之中,而且能源容量十分有限,这就给攻击者带来更多可乘之机。移动自组网除了可能遭受与有线网络相同的各种攻击之外,还另外更可能遭受的攻击有:ⅰ)路由旁路攻击ⅱ)资源耗尽攻击。在路由旁路攻击中,攻击者采用发送虚假路由信息、塞入虚拟节点和隧道包装等各种手法将所攻击节点发送的合法数据包引往邪路或陷入死循环或被丢弃。在资源耗尽攻击中,攻击者大量频频发出数据包,使得带宽较窄的移动自组网络信道阻塞,致使正常的数据包无法传递,这种攻击亦即是拒绝服务攻击。因此,为了为移动移动自组节点能快速、有效、安全地传输信息,研究适用于移动自组网的安全路由机制显然是十分重要的。本文就以下几个方面进行了创新性的研究工作。1)对认证算法HORSE先后作了两次改进,有效的降低了签名验证的计算复杂性现有的移动自组网安全路由协议的源认证算法可分为四大类:基于公开密钥密码学的算法、基于对称密钥密码学的算法、基于hash链的算法和基于hash树的算法。它们分别具有处理开销大、容易伪造源签名、需要时间同步和不能用于动态信息包等不可忽视或容忍的缺点。我们在已有认证算法HORSE的基础上,经过两次改进而相继生成了新的认证算法HORSEI和HORSEI2,在不降低安全强度的情况下,将接收或转发节点进行签名认证的计算复杂性从O(kd)降低为O(d~(1/2),并且将HORSE的签名尺寸减小了k倍,同时克服了以上所列四大缺点。2)提出了多种新的安全协议,分别为:移动自组网安全按需距离向量路由协议、安全多播路由协议;安全QoS按需路由协议;安全QoS多播路由协议。这些安全协议采用HORSEI/HORSEI2作为认证机制,其签名验证的计算速度比现有常用的公钥算法快很多,其安全性基于单向hash算法,且不需收发者之间的时间同步。这些安全协议的主要功能是为移动自组网的按需距离向量路由、多播路由、QoS路由、QoS多播路由信息提供源认证手段,为其中的多播路由构造具备认证约束条件的多播树。本文采用网络仿真软件NS2对这些安全协议进行了性能测试。其结果表明,与以公钥为基础的安全路由机制相比,这些安全协议产生较少的端到端延迟,因而效率较高,分别是在移动自组网中进行多种安全路由的可行方案。理论分析和基于NS2的网络仿真结果表明,这些安全协议具有较好的网络性能和实用性。3)提出了一种新的基于新型公钥签名算法NTRUSign的安全QoS多播路由协议我们提出了一个以基于NTRU的签名算法NTRUSign为认证机制的移动自组网安全QoS多播路由协议NSQMRAN,并从理论分析和NS2网络仿真的角度与基于HORSEI2的安全QoS多播路由的网络性能进行了比较。4)提出一种新的基于门限机制的移动自组网密钥分发协议我们针对移动自组网的移动自组对等通信等特点,分析了传统证书服务基于单个可信机构进行密钥管理对于自组网的不适应性。提出了基于门限机制Asmuth-Bloom算法的适用于移动自组网的密钥分发协议MANETKDP,并进行了复杂性和性能分析比较以及安全性讨论。分析和讨论表明,相对于其他门限机制的密钥分发方案,MANETKDP计算复杂性低,通信性能好,提供了可靠的安全性保证。本文得到国家自然科学基金项目(60172035,60672137,90304018)和教育部博士点基金项目(20060497015)的资助。

王浩[6]2007年在《无线移动自组网的分布式密钥管理和认证研究》文中研究说明无线移动自组网一种节点可任意移动、拓扑结构高度动态变化、没有预设网络基础设施的多跳无线网络。这种无线网络具有可临时组网、快速展开、无控制中心、抗毁灭性等特点,在军事通信和民用系统中有着广泛的应用。然而,由于自组网的无线链路、动态拓扑、缺乏集中管理和资源受限等特点,其本身就是很脆弱的,容易遭受多种攻击,而且传统的安全机制不再适合于它,这极大地阻碍了自组网的应用。于是本论文重点研究了适合于自组网安全机制的分布式密钥管理和认证,具体包括以下四个方面的内容:1.深入研究适用于自组网的门限椭圆曲线数字签名方案,提出了基于安全多方计算的门限椭圆曲线数字签名方案。由于椭圆曲线密码体制具有安全性高、计算量小、占用空间少等优点,适合于自组网的需要。现有的门限椭圆曲线数字签名方案几乎都是在Takaragi–Miyazaki门限方案上的改进,因此我们深入研究Takaragi–Miyazaki门限方案,Tzong-Sun Wu证明了Takaragi–Miyazaki门限方案不能抵御内部伪造攻击,于是我们采用标准的椭圆曲线数字签名算法构建了基于安全多方计算的门限方案,通过和Takaragi–Miyazaki门限方案作比较,说明了我们所提方案是安全的。门限椭圆曲线数字签名方案可以作为证书服务的签名算法应用到自组网的密钥管理和认证中。2.深入研究了基于门限机制的部分分布式密钥管理和认证方案,分析了该方案的密钥管理服务和密钥更新服务,指出了部分分布式密钥管理和认证方案存在的问题。同时,对基于门限机制的完全分布式密钥管理和认证方案,以及方案中的信任模型、证书服务(证书签发、证书签名分量验证、证书撤销和CRL)、密钥分量的分布式自初始化和验证,与密钥分量的更新服务进行了深入的研究,最后也指出了完全分布式密钥管理和认证方案存在的问题。3.深入研究了Hubaux等人提出的分布式自组织密钥管理方案,在统计分析PGP公钥的基础上,提出了构建本地证书库的改进最大自由度算法,对PGP证书图的仿真结果表明:由改进最大自由度算法构建的本地证书库鉴别成功率大于改进前的算法;在相等鉴别成功率的条件下,改进后的算法减少了对节点证书存储空间的需要。同时,还提出了受限长度可达路径、受限长度多路径、受限长度k连接多路径、受限长度独立多路径四种由低到高的鉴别强度来研究虚假证书的鉴别,对PGP证书图的仿真结果表明:对于存在虚假证书或错误证书情况下,改进后的鉴别成功率明显大于改进前,说明算法改进后的方案更能适应于实际的自组网环境。4.在分析总结门限机制方案和证书链方案的优势和存在问题的基础上,提出了混合式密钥管理和认证方案。方案集成门限机制和证书链,通过分散CA获得高安全性的同时,利用证书链信任值的方法提高了认证服务的成功率,仿真结果表明:在增加少量通信量的情况下,方案较好地平衡了自组网的安全性和认证成功率。而且,在基于证书链的认证过程中,由于中间节点是分布CA中心或者CA认证的节点,大大提高了证书链认证的安全性。因此,混合式方案满足自组网的安全要求。

郭萍[7]2012年在《无线网络认证体系结构及相关技术研究》文中进行了进一步梳理无线技术、计算机技术及通信技术在过去十几年的进步使无线网络的发展日新月异,突飞猛进。无线设备层出不穷,无线接入渐成主流,人们开始享用移动终端带来的丰富、便捷、及时、智能的Internet服务,而计算技术和无线技术在通信领域的不断深入应用催生了云计算和物联网的发展。以云计算为核心,打造传统有线网、无线网、和物联网“叁网融合”的应用,使人们可以获得“无处不在、无所不能”的Internet服务与体验。因此,无线网络已成为国内外最为活跃的研究领域之一。由于无线网络的开放性和资源受限性,安全问题日益突出,且难以采用传统有线网络中业已成熟的安全技术解决,安全已逐渐成为无线网络进一步应用与发展的瓶颈。认证作为广泛使用的一种安全机制,用于鉴别移动节点,阻止未授权访问,协商会话密钥等,是保障网络安全的第一道防线。本文主要针对无线网络的认证体系结构及相关技术展开深入研究。研究对象主要是无线传感器网络(Wireless Sensor Networks, WSN)、移动自组织网络(Mobile Ad Hoc Networks, MANET)、和无线网格网络(Wireless Mesh Networks,WMN)、它们都是多跳的,特殊形态的AD HOC网络,然而组网方式、特点及应用场景完全不同,对安全的需求也不尽相同。多年的实践证明,不可能存在一种统一的普遍适用的安全技术,必需综合考虑不同网络的特点、应用、性能、成本、服务,对于无线网络还应着重考虑生存环境、生存周期、节点资源、多跳传输、无基础设施等多方因素的制约。而安全也不是采用的技术越复杂越全面就越安全越保险,安全应该是一个动态的、可控的、综合考虑性能与成本的平衡过程。在这种背景下,本文对WSN、MANET及WMN的认证体系结构展开全面细致深入的研究,目的在于针对不同类型的无线网络,根据它们的应用环境、特点、资源、所提供服务、及安全需求,提出适合它们的认证体系结构,建立安全的认证架构平台,在此基础上开展认证协议及与认证相关问题的研究,如:密钥管理、入侵容忍、节点撤销等,这对无线网络的应用与发展具有重要意义与价值。本文主要研究内容和成果如下:1、提出一种轻量级无线传感器网络(WSN)认证体系结构(LCA)及在此基础上的双向认证协议对无线传感器网络的认证机制进行研究,针对WSN节点资源受限,一旦部署,传感器节点相对静态,拓扑结构相对稳定的特征,结合轻量级密码思想及基于身份密码体制,去双线性对,改进ECC(Ellipse Curve Cryptograph)密码体制产生主密钥的方式,提出轻量级WSN认证架构(Lite Certificate Authority, LCA)及认证方案。LCA具有产生公钥轻量化、公钥验证轻量化、无需证书,既有基于身份产生公钥的灵活性又不用复杂的双线性对,且在不采用门限机制的情况下使系统主密钥具有一定容侵能力;既克服基于身份公钥机制中第叁方私钥强制托管问题,又避免传统基于证书CA证书管理的复杂性,仿真实验显示计算、存储及通信代价较高效。2、提出一种轻量级移交CA角色的移动自组网(MANET)认证体系结构(LSCA)对移动自组网的认证机制进行研究,针对MANET高度动态拓扑结构多变的问题,节点资源相对于传感器节点较丰富,节点移动性更强的特性,提出一个适用于高度动态变化的MANET网络、可移交CA角色、且具有一定容侵性的轻量级认证架构(Lite and Shifted CA, LSCA)。LSCA适用于生存周期短、拓扑结构高度动态变化的MANET网络,具有自适应性;LSCA是通过整体移交CA权限,在多个空闲CA节点间轮转,既避免集中式CA单点失效问题,又克服分布式CA控制多节点协同工作的复杂性。仿真实验表明计算、存储及通信代价均优于集中式及分布式CA结构。3、提出一种轻量容侵的无线Mesh网(WMN)认证体系结构(LTCA)对无线Mesh网络的认证机制进行研究,针对WMN有部分基础设施支持,在多种无线网络的接入中起着“最后一公里”的重要作用,既要提供比WSN、MANET更高的安全性,也要适度满足其拓扑结构的变化。结合(t,n)门限机制,提出门限值可变的具有容侵能力的轻量级认证架构(Lite and Tolerate CA, LTCA)。LTCA的容侵能力一方面体现在当认证服务器组中节点离开,通过设计一系列节点激活机制而保证系统签名私钥的门限值t和n保持不变;另一方面体现在签名私钥的门限值t和n可以随着认证服务器组中节点的离开或加入而适度改变,克服了以往方案中t,n值不能改变而无法很好适应WMN拓扑结构的变化。仿真实验表明,门限机制没有显着增加计算通信代价,却提高了LTCA密钥安全性。4、提出一种基于信任度评估的叁阈值控制的AD HOC网络节点撤销机制AD HOC网络节点撤销机制的研究。对以上叁种特殊AD HOC网络的认证机制的研究中,对恶意或被捕获节点的撤销问题均没有涉及。节点撤销问题在以上叁种无线网络中具有共性,本文统称为AD HOC网络节点撤销问题。为解决如何在资源受限且拓扑结构多变的AD HOC网络中对节点状态的控制,改进以往文献对恶意节点投诉评估机制,提出一种分簇组织节点、精确计算节点信任度值、叁阈值控制节点状态的撤销方案。基于投诉机制的阈值(δA)用于快速将可疑节点挂起;基于信任度计算的阈值(δT)用于最终将恶意节点撤销;基于预警的阈值(δW)用于防止恶意节点短期内连续向某合法节点故意错误投诉。分析及仿真表明:所提节点撤销方案避免仅根据投诉数量而撤销的武断性:叁阈值的采用既保证了对恶意节点的快速反应,又保证恶意节点撤销的准确性、可量化,且能防止非法节点对合法节点合谋投诉而造成的误撤销。

姜凡[8]2007年在《移动自组网中基于门限的密钥管理》文中研究说明移动自组网是一种特殊的无中心自组织的多跳无线网络。因其特有的无需架设网络基础设施、可快速展开、抗毁性强等特点,移动自组网在军事、救灾抢险等通信基础设施无法覆盖或者遭到破坏的环境中有很好的应用前景。在这种特殊的网络环境中提供安全通信是一个很大的挑战。密码技术能够满足移动自组网的机密性、完整性、不可否认性和可用性等安全需求,而有效的密钥管理机制正是其中的关键因素。在分析了移动自组网的结构和特征的基础上,研究了移动自组网中存在的问题和面临的安全威胁,以及移动自组网中进行密钥管理的难点。针对实际应用,给出了门限机制相关的关键技术的切实可行的实现方法。公钥算法、RSA算法、数字签名、数字证书和CA等作为安全基础技术被分析研究。需要利用门限密码方案解决信任分散时的数字签名问题。针对门限RSA数字签名在实际应用中遇到的困难给出了可以实现的门限RSA数字签名;为了在分量更新时对收到的私钥分量的正确性进行验证,研究了前摄门限密码算法和可验证的秘密分享方案等。在门限密码方案的基础上,设计了一个能够快速响应的密钥管理方案。这个方案通过应用可验证的秘密共享方案来建立分布式认证中心。在方案内引入服务器组的概念并构造了一个快速响应的服务器组。这种情况下一个结点更容易从被维护的组中请求服务,而不是从可能扩散到整个区域的多个独立的服务器结点。在秘密分量更新阶段,服务器结点更容易在组中协调而不是在整个网络中。因此可以对组内结点的私钥分量更新和所有结点的证书更新提供快速响应。然后给出了实现这个方案的模块和工作流程,并论证了方案的安全性。为了验证方案的性能,通过仿真给出了试验结果。

王浩, 谢颖, 郑武[9]2007年在《无线移动自组网混合式密钥管理方案研究》文中提出基于门限机制的密钥管理方案能提供高的安全性,但认证成功率较低,可扩展性差;基于证书链的密钥管理方案适合自组网的特点,但其安全性仅取决于证书链中节点的信任度,不能满足高安全要求的应用环境。该文提出了门限机制和证书链信任值方法相结合的混合式密钥管理和认证方案,在增加少量通信量的情况下,方案提高了自组网的认证成功率和系统的安全性,较好地平衡了自组网的安全性和认证成功率,满足自组网应用的安全要求。

舒军[10]2007年在《移动自组网基于CA的部分分布式认证研究》文中提出Ad hoc网络是由移动节点构成的,不依赖任何固定基础设施(例如基站)的无线网络。这种网络结构在军事、灾难救助、探险等通信基础设施无法覆盖或者遭到破坏的环境中有很好的应用前景。而在商业应用中,Ad hoc网络同样可以为无基础设施的环境提供强壮的通信服务,例如移动会议、传感器网络等。Ad hoc网络与传统网络不同,它不依靠预先构建的基础设施,因此传统网络采用CA实现集中式认证的方法并不适合这种网络。本文引入信任分散的安全策略,提出运用分群思想和概率签名的部分分布式认证方案,将Ad hoc网络的证书服务功能分布到网络中,并对分群部分签名概率算法进行了仿真试验分析。相比传统的部分分布式认证方案,本方案针对群首和普通级别的服务节点设置了不同的部分签名概率,既克服了传统认证需要可信第叁方的限制,又提高了系统的安全性和认证效率。

参考文献:

[1]. 移动自组网中的门限证书研究与实现[D]. 陈炯. 华中科技大学. 2006

[2]. 基于门限机制的移动自组网证书服务技术研究[D]. 张利银. 中国人民解放军国防科学技术大学. 2002

[3]. 基于门限体制的自组网密钥管理与认证技术研究[D]. 杨天骄. 西安电子科技大学. 2008

[4]. 移动自组网证书服务技术研究与实现[J]. 张利银. 计算机应用. 2002

[5]. 移动自组网安全路由技术的研究[D]. 杨铭熙. 武汉理工大学. 2007

[6]. 无线移动自组网的分布式密钥管理和认证研究[D]. 王浩. 重庆大学. 2007

[7]. 无线网络认证体系结构及相关技术研究[D]. 郭萍. 南京理工大学. 2012

[8]. 移动自组网中基于门限的密钥管理[D]. 姜凡. 华中科技大学. 2007

[9]. 无线移动自组网混合式密钥管理方案研究[J]. 王浩, 谢颖, 郑武. 电子科技大学学报. 2007

[10]. 移动自组网基于CA的部分分布式认证研究[D]. 舒军. 北京交通大学. 2007

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

基于门限机制的移动自组网证书服务技术研究
下载Doc文档

猜你喜欢

© 2024 秒降论 版权所有 鄂ICP备12018319号-5