一種身份和位置分離網(wǎng)絡(luò)的接入認證方法.pdf

1、移動網(wǎng)絡(luò)的快速發(fā)展，暴露出越來越多傳統(tǒng)網(wǎng)絡(luò)體系的問題。固網(wǎng)中路由表項急劇膨脹導(dǎo)致的路由性能下降問題、網(wǎng)絡(luò)不能很好地支持多宿主問題、終端發(fā)生網(wǎng)絡(luò)切換時會話中斷問題等，主要緣于傳統(tǒng)網(wǎng)絡(luò)中IP地址的語義重載，即IP地址既作為主機的身份標(biāo)識，又作為主機在網(wǎng)絡(luò)中的位置標(biāo)識。IP地址語義重載使得網(wǎng)絡(luò)不能有效追蹤肇事者，給網(wǎng)絡(luò)安全帶來隱患。
　　為解決上述問題，本文提出了一種新的身份和位置分離網(wǎng)絡(luò)方案。該方案不僅實現(xiàn)了IP地址語義的解耦，同時由

2、于引入了用戶標(biāo)識的ID模型，使得網(wǎng)絡(luò)能夠提供面向用戶的服務(wù)。更重要的，借助統(tǒng)一的用戶標(biāo)識以及由此衍生出的支撐平臺，網(wǎng)絡(luò)運營商可以找回移動互聯(lián)網(wǎng)時代的話語權(quán)。針對該身份和位置分離網(wǎng)絡(luò)，本文提出了一種安全的用戶設(shè)備接入認證和協(xié)商密鑰的方法，并對此方法開展了深入的研究。
　　目前，傳統(tǒng)的接入認證方法已不再適用于身份和位置分離網(wǎng)絡(luò)。身份和位置分離網(wǎng)絡(luò)安全認證相關(guān)的研究主要采用智能卡、數(shù)字證書、可信計算等認證方法。由于上述認證手段對傳統(tǒng)網(wǎng)絡(luò)

3、兼容性較差，部署難度較高，而且上述認證方式并沒有實現(xiàn)對用戶身份的認證，從而不適用于本文提出的身份和位置分離網(wǎng)絡(luò)。因此，根據(jù)本文描述的網(wǎng)絡(luò)體系，本文提出了一種新的用戶設(shè)備初始接入認證方法
　　本文的主要工作包括：
　　1.運用新網(wǎng)絡(luò)系統(tǒng)對使用者認證的思想，采用基于用戶名、口令的認證方式，實現(xiàn)對用戶身份的鑒別，進而實現(xiàn)了用戶與設(shè)備的解耦。采用將口令信息與密鑰協(xié)商消息結(jié)合傳輸?shù)姆椒?，保證了協(xié)議的安全性。
　　2.鑒于新網(wǎng)絡(luò)系

4、統(tǒng)的安全需求，設(shè)計了分層級的密鑰體系，為系統(tǒng)提供了完美的前向保密性和后向保密性，同時為后續(xù)的快速切換認證奠定了基礎(chǔ)。
　　3.設(shè)計實現(xiàn)兩輪半完成的認證交互協(xié)議，實現(xiàn)用戶設(shè)備與域路由器、用戶設(shè)備與認證服務(wù)器之間的相互認證、密鑰協(xié)商、密鑰分發(fā)、關(guān)聯(lián)、以及注冊信息更新過程。該方法使用較少的空口消息交互，實現(xiàn)終端快速認證入網(wǎng)過程。
　　4.分析了所述認證協(xié)議的安全性，并完成基礎(chǔ)實驗環(huán)境的搭建工作，并測試協(xié)議可行性和認證時延。通過將實