发布时间 : 星期三 文章移动IPv6的绑定更新机制研究及一种新的虚拟骨干网构建方案 - 图文更新完毕开始阅读011522ed102de2bd96058824
工程硕士学位论文 定长度公钥的哈希字串。当需要认证时,发送公钥,用私钥为敏感数据(例如绑定更新)签名。接收者验证密钥的哈希字串是否是已知的EID。
1.2移动自组网络组安全通信及其研究现状
1.1.2 移动自组网络组安全通信
移动自组网络(mobile ad hoc network,简称MANET)是一种不依赖于任何固定基础设施的自组、多跳无线网络。组通信是其重要的通信方式,安全性是移动自组网络组通信的基本要求。组安全可以通过定义安全组及其安全行为来描述,参加安全组通信的成员在共享机密性通信的意义下,构成一个紧耦合的群体。组安全问题本质上包括三个方面内容,即成员、密钥和通信数据。这决定了定义组安全的基本框架。我们将这一框架以图示方式表示出来见图1-2:
图1-2 组安全框架
目前主要有三大类有关组安全的密钥管理框架:集中控制式、分布式和分层分组式。与之对应的组密钥管理协议在有线环境下可以获得较好的性能,但由于移动自组网络拓扑结构的频繁变化、没有任何物理基础设施、连接的短暂性以及带宽有限等特点,有线网络的组密钥管理协议和算法在移动自组网络中难以获得较好的性能[4,5]。所以移动自组网络环境下的组密钥管理还有待研究。
1.2.2 移动自组网络组通信安全的研究现状
我们知道在组通信中,信息机密性和完整性通过组密钥加密实现,而组成员的变化都需要更新组密钥,因此,如何安全、高效地更新组密钥是安全组通信的关键问题.目前有线网络的安全组通信研究取得了许多进展[6,7], 然而正如1.1.2
3
移动IPv6的绑定更新机制研究及一种新虚拟骨干网构建方案 所述,它们并不适合移动自组网络环境;而现已提出移动自组网络中组密钥管理协议和算法总有这样那样的缺陷:S. Griffin和B. DeCleene基于层次密钥管理框架[8],提出了DR,SR,IR以及FEDRP[9]等域间组密钥更新算法,但这些算法依赖于固定的密钥管理节点生成和分发组密钥; Carman[10]通过模拟的方法比较了组密钥管理协议在DSP网络能源消耗的情况,并提出了低功耗的密钥分发算法,但是该算法未考虑网络节点移动的情况;Stefano Basagni[11]针对节点运算能力较弱的移动自组网络提出了基于对称加密体制的组密钥更新算法,但是该算法不考虑退出组成员对组通信安全的威胁,并且不提供点到点通信的鉴别机制;况晓辉、卢锡城等基于分布式组密钥管理框架提出了DGR算法和CDGR算法[12],当节点加入或退出过于频繁时,将导致组密钥过度更新,从而造成网络拥塞,并且该算法不很适合大规模移动自组网络。需要指出的是这些缺陷主要是由于移动自组网拓扑结构的频繁变化、没有任何物理基础设施、连接的短暂性等特点而产生的。如果我们能找出移动自组网中那些稳定性较高的节点并充分利用这些节点,也许我们可以得到一种较满意的解决方案。
1.3本文的主要工作
本文围绕移动IPv6的安全机制和虚拟骨干网,做了以下方面的工作: (1)对移动IPv6的绑定更新机制――返回路径可达过程进行综合分析,指出了其缺陷及面临的安全威胁。然后针对这些缺陷及威胁,提出了基于家乡代理中转公开密钥协议(HACPKP)的绑定更新新安全机制,并较详细说明了基于HACPKP协议的绑定更新安全机制在移动IP中的具体实施过程及两个实施样例(快速进行绑定更新)。
(2)在分析了现有的两类虚拟骨干网构建方案后,提出一个链接时间服从指数分布概率稳定的虚拟可靠骨干网构建方案,该方案保证产生一个较小但要比MCDS大的CDS,从而在虚拟骨干网的控制开销和稳定性方面取得了一种平衡,并且保持了较高的稳定性。最后通过模拟实验比较,验证了该方案。研究给出了一个节点稳定性估计函数,并通过实验同其它方案进行了比较,得到一个较满意的性能。模拟实验表明,我们的方案是较高效而有价值的,同Manki Min[13]的方案相比,我们的构建方案所得的虚拟骨干生存期有一个约200%的增长。
(3)分析了有线网络中的几种组密钥管理协议,指出它们并不适合移动自组网络;而现提出的移动自组网络的密钥管理协议又有这样那样的缺陷,本文基于虚拟骨干的思想,提出DGR算法和CDGR算法基于虚拟骨干集的改进方案:V-DGR算法和V-CDGR算法。
(4)定性分析了V-DGR算法、V-CDGR算法。并同DGR算法、CDGR算法及组密钥管理协议CKD、BD在节点加入、退出时TEK更新的成功率和更新延迟方面进
4
工程硕士学位论文 行了对比,定性说明了原因。
1.4本文的内容结构
本文的内容结构如下:
第一章对节点移动后Mobile IPv6的处理过程及移动自组网组安全通信进行了第二章重点描述了IPSec安全机制和实施以及安全组通信理论,为后面对第三章分析了Mobile IPv6的安全机制,提出了一种基于家乡代理中转公开密分析,指出了它们存在的问题和解决方向。
Mobile IPv6安全机制的改进和移动自组网中的组密钥管理提供背景知识。 钥(HACPKP)的解决方案,并给出了HACPKP协议在移动IP中的实施样例,最后进行了比较分析。
第四章提出一个链接时间服从指数分布的虚拟可靠骨干网构建方案,并通过仿真实验同其它方案进行了比较,可以看出我们的方案使虚拟骨干网的骨干生存期得到了成倍的提高。
5
第五章对基于分布式组密钥管理框架的DGR算法和CDGR算法作了适当修改,最后在结束语中总结了本文的主要工作,并指出了进一步研究方向与需要解决
并使它运行在第四章中产生的我们的虚拟骨干网上, 的问题。
移动IPv6的绑定更新机制研究及一种新虚拟骨干网构建方案 第2章 IPSec安全机制及安全组通信理论
2.1引言
目前流行的TCP/IP(IPv4)协议在设计之初侧重于效率而忽略信息的保密、认证等安全性问题,网上传送的信息可能被偷看(无法保密),可能被篡改(无法保证完整性),人们对接收到的信息无法验证它是否真的来自于可信任的发送者(无身份验证),人们也无法限制非法或未授权用户侵入自己的主机等等。IPv6同IPv4相比,最大改进之处是除了提供更大的地址空间之外还集成了IPSec标准。IPSEC在网络层针对IP包提供数据保密性、数据完整性、数据源认证和抗重播的安全服务[32],任何上层应用协议和传输层协议可以不用修改“无缝”地从网络层获得安全保障,共享IPSec提供的安全服务,实施IPSec可以实现端到端安全、虚拟专用网VPN,满足人们对INTERNET传送信息的安全要求。
随着Internet的迅速发展,基于群组通信的应用不断增加,对于群组通信的可靠性和安全性的要求也越来越高。安全群组通信系统逐渐成为计算机网络安全领域的一个热点。在安全组通信环境下,当组成员发生变化时,为保证通信保密,用于组通信的组秘钥必须及时生成、分发与更新。这也是目前安全组通信的研究执点之一。
本章内容为后面讨论Mobile IPv6的安全机制及组密钥更新算法提供背景知识,并奠定了一些理论基础。
2.2 IPSec安全协议与实施
IPSec 是一个复杂的安全协议体系,它包括各种不同的IPSec 组件、各组件之间的交互过程。
2.2.1 IPSec体系结构
IPSec是由IETF的IP安全性工作组定义的一组规范,用于在IP层上提供数据加密、访问控制、无连接的完整检查、数据源认证、不可抵赖性、拒绝重放包等安全服务。IPSec标准包含了四个核心的基本规范,组成一个完整的体系结构,如上图2-1所示。
2.2.2 IPSec中的关键概念
(1) 认证头(AH)
认证头为IP分组提供无连接的完整性检查、数据源认证、重放攻击,还可以
6