趙　彥

(中國船舶工業(yè)綜合技術(shù)經(jīng)濟(jì)研究院　北京　100081)

?

基于海上無線網(wǎng)絡(luò)的安全身份認(rèn)證技術(shù)研究*

趙彥

(中國船舶工業(yè)綜合技術(shù)經(jīng)濟(jì)研究院北京100081)

以海上復(fù)雜網(wǎng)絡(luò)的信息安全為背景，提出了一種基于海上無線網(wǎng)絡(luò)的安全身份認(rèn)證方法。針對海戰(zhàn)場通信網(wǎng)絡(luò)對身份認(rèn)證的需求問題，分析了不同信任域條件下的集成身份認(rèn)證機(jī)制，設(shè)計(jì)了一套安全身份認(rèn)證流程。在此基礎(chǔ)上提出了一種基于無線異構(gòu)移動(dòng)安全環(huán)境的集成身份認(rèn)證模型，為保障復(fù)雜海上戰(zhàn)場的網(wǎng)絡(luò)環(huán)境安全提供技術(shù)支撐。

身份認(rèn)證;海上無線網(wǎng)絡(luò)

Class NumberTP393

1　引言

海上通信網(wǎng)絡(luò)是復(fù)雜的無線異構(gòu)網(wǎng)絡(luò)，是以艦船為信息處理節(jié)點(diǎn)終端，艦船之間、艦隊(duì)與艦隊(duì)之間、艦隊(duì)與協(xié)同指揮中心之間構(gòu)成了一個(gè)業(yè)務(wù)邏輯上分層多級的通信網(wǎng)絡(luò)[1～2]，物理鏈路上按照地理分布，以Ad-hoc提供網(wǎng)絡(luò)接入，組成集成各種分布式資源節(jié)點(diǎn)的網(wǎng)格。在海上無線環(huán)境中，必須杜絕非法用戶的侵入和信息破壞?；诤Ｉ蠠o線異構(gòu)移動(dòng)環(huán)境的安全身份認(rèn)證技術(shù)研究，是保障復(fù)雜海上戰(zhàn)場網(wǎng)絡(luò)環(huán)境下信息安全的基礎(chǔ)性研究。

2　海戰(zhàn)場通信網(wǎng)絡(luò)對身份認(rèn)證的需求

海上無線網(wǎng)絡(luò)在安全方面的要求包括：

1)應(yīng)對物理威脅，無線路由器可能被獲得并使用，這容易造成攻擊者對無線路由器的攻擊，如修改路由器中的信息，竊取路由器中用于認(rèn)證的對稱密鑰或公私鑰對，或者用非法的無線路由器替換合法的。所以必須設(shè)計(jì)安全的路由協(xié)議以對抗針對路由協(xié)議的攻擊。

2)信任機(jī)制，必須研究信任與信任域，使得作戰(zhàn)信息網(wǎng)格中的主體能夠安全地使用資源、行使任務(wù)執(zhí)行職權(quán)，并支持范圍約束內(nèi)的擴(kuò)展服務(wù)。

3)通信安全，作戰(zhàn)業(yè)務(wù)資源本身需要提供通信保護(hù)，以保障業(yè)務(wù)信息的完整性，防止和主體假冒和數(shù)據(jù)泄密。

4)認(rèn)證與委托，由于海戰(zhàn)場業(yè)務(wù)的分布性，需要系統(tǒng)支持多種認(rèn)證方式和委托方式，并提供層次化、區(qū)域化的資源使用權(quán)限。該權(quán)限直接關(guān)系到任務(wù)層面的信任，更是信任機(jī)制的基礎(chǔ)。

海戰(zhàn)場通信網(wǎng)絡(luò)安全模型核心是建立信任機(jī)制，信任機(jī)制的核心之一是身份認(rèn)證。其中身份認(rèn)證整個(gè)系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1　身份認(rèn)證系統(tǒng)結(jié)構(gòu)

其中各單平臺內(nèi)需有內(nèi)部認(rèn)證服務(wù)器作為認(rèn)證統(tǒng)一處理設(shè)備，經(jīng)過信息加密后實(shí)現(xiàn)與無線網(wǎng)絡(luò)的接入。而作為信任域內(nèi)認(rèn)證服務(wù)器可以是物理存在的平臺節(jié)點(diǎn)(通常為編隊(duì)指揮節(jié)點(diǎn))，也可以是作為各協(xié)同節(jié)點(diǎn)內(nèi)的外部認(rèn)證模型載體，即當(dāng)為平臺對等協(xié)同狀態(tài)下，身份認(rèn)證將以各獨(dú)立節(jié)點(diǎn)為中心，自己完成信任域內(nèi)的實(shí)體信任和行為信任的建立工作。而編隊(duì)與編隊(duì)間的身份認(rèn)證(跨信任域)將類似信任域互聯(lián)和組織的結(jié)構(gòu)，編隊(duì)內(nèi)有內(nèi)部認(rèn)證服務(wù)器，對外有虛擬的服務(wù)中心(其建立在特定的實(shí)體平臺上，也可由某個(gè)認(rèn)證服務(wù)器兼任)，完成認(rèn)證申請與來自外部認(rèn)證申請審查工作，并進(jìn)行身份分配和行為分配，從而確保樹狀層次化的身份認(rèn)證結(jié)構(gòu)。

海戰(zhàn)場通信網(wǎng)絡(luò)體系結(jié)構(gòu)特點(diǎn)以及網(wǎng)絡(luò)安全要求決定了對身份認(rèn)證有如下的要求：

1)身份認(rèn)證必須符合海戰(zhàn)場網(wǎng)絡(luò)體系結(jié)構(gòu)的特點(diǎn)，提供分層、分級的身份認(rèn)證，實(shí)現(xiàn)實(shí)體信任機(jī)制。

2)身份認(rèn)證必須提供身份識別，以及任務(wù)執(zhí)行合法性、資源請求合法性的判別，實(shí)現(xiàn)行為信任機(jī)制。

3)身份認(rèn)證需要提供與身份相符的授權(quán)，以便于授信節(jié)點(diǎn)提供符合權(quán)限的服務(wù)。

4)身份認(rèn)證需要提供多種方式，以便于作戰(zhàn)人員的使用。

5)身份認(rèn)證必須簡潔、快速、安全，減少不必要的網(wǎng)絡(luò)通信。

6)身份認(rèn)證必須能夠提供信息加密方式，以保證身份認(rèn)證信息在網(wǎng)絡(luò)或本地計(jì)算機(jī)上不被竊取。

3　海上無線異構(gòu)移動(dòng)安全網(wǎng)絡(luò)的集成身份認(rèn)證機(jī)制

根據(jù)海上無線異構(gòu)安全網(wǎng)絡(luò)環(huán)境下身份認(rèn)證的需求與其特殊性，結(jié)合網(wǎng)絡(luò)安全模型和體系結(jié)構(gòu)，需構(gòu)建多樣性多層次的身份認(rèn)證機(jī)制。

3.1集成身份認(rèn)證機(jī)制

海上身份認(rèn)證的核心是為了解決艦船實(shí)體之間相互信任的問題。海上通信網(wǎng)絡(luò)按照地域分布和海上任務(wù)，可劃分成為不同的信任域，通常這種信任域是以海上編隊(duì)為單位。集成身份認(rèn)證模型包含了信任域內(nèi)身份認(rèn)證和跨信任域的身份認(rèn)證[3～7]。

3.1.1信任域內(nèi)身份認(rèn)證機(jī)制

信任域內(nèi)的身份認(rèn)證通常以交換可識別的信息作為基礎(chǔ)，并與各自預(yù)先可獲知的信息進(jìn)行比對，以完成應(yīng)用層面的身份識別。身份識別后將建立實(shí)體信任關(guān)聯(lián)并將該關(guān)聯(lián)以特殊標(biāo)識進(jìn)行定義，同時(shí)，給該實(shí)體信任關(guān)聯(lián)給予特定存活時(shí)限，保證安全性。在時(shí)限內(nèi)的實(shí)體信任將可維持正常的信息交互，并降低交互成本。

在實(shí)體信任的基礎(chǔ)上，還需要進(jìn)行面向作戰(zhàn)資源與任務(wù)的行為信任建立工作。包括對任務(wù)和資源信息的集中定義和分配，并與獲得的實(shí)體信息進(jìn)行匹配，形成行為映射表，最終按映射表定義關(guān)系進(jìn)行行為驗(yàn)證，保證具體作戰(zhàn)過程的身份認(rèn)證?；玖鞒倘鐖D2所示。

圖2　信任域內(nèi)的身份認(rèn)證基本流程

首先，通過對請求身份認(rèn)證的節(jié)點(diǎn)進(jìn)行軟硬件標(biāo)識識別，避免非法的軟硬件資源連接到網(wǎng)絡(luò)路由，從而建立一定程度可信的通信鏈路，然后，與身份驗(yàn)證服務(wù)器連接，進(jìn)行識別和認(rèn)定身份，完成實(shí)體信任。在節(jié)點(diǎn)執(zhí)行任務(wù)時(shí)，還要經(jīng)過認(rèn)證服務(wù)，將任務(wù)與資源鏈接，通過與之匹配的權(quán)限，進(jìn)行行為驗(yàn)證和認(rèn)定，從而，完成行為信任過程。

首先，在單艦上需要部署認(rèn)證服務(wù)器(AS)，以實(shí)現(xiàn)認(rèn)證任務(wù)處理。其次，認(rèn)證服務(wù)器上應(yīng)建立并保留作戰(zhàn)實(shí)體身份信息列表、作戰(zhàn)任務(wù)列表、作戰(zhàn)實(shí)體與作戰(zhàn)任務(wù)關(guān)系表、作戰(zhàn)資源實(shí)體表、作戰(zhàn)任務(wù)與作戰(zhàn)資源關(guān)系表。最后，在認(rèn)證過程中將調(diào)取相應(yīng)的表，執(zhí)行嚴(yán)格的流程并實(shí)現(xiàn)動(dòng)態(tài)身份認(rèn)證。具體的內(nèi)部信息以及可共享/預(yù)知的身份信息設(shè)計(jì)如圖3所示。

圖3　身份信息設(shè)計(jì)圖

實(shí)體身份信息存儲了作戰(zhàn)實(shí)體的唯一標(biāo)識、作戰(zhàn)實(shí)體的類型、作戰(zhàn)實(shí)體的授權(quán)信息。作戰(zhàn)任務(wù)列表包含了該艦?zāi)軌驁?zhí)行的任務(wù)信息。作戰(zhàn)資源實(shí)體表描述了本艦的作戰(zhàn)資源實(shí)力。實(shí)體與作戰(zhàn)任務(wù)關(guān)系表描述了在當(dāng)前實(shí)體授信范圍內(nèi)可執(zhí)行的任務(wù)。作戰(zhàn)任務(wù)與作戰(zhàn)資源關(guān)系表描述了各個(gè)類型和各級別的任務(wù)能夠使用的資源范圍。

3.1.2跨信任域內(nèi)身份認(rèn)證機(jī)制

跨信任域內(nèi)身份認(rèn)證與信任域內(nèi)身份認(rèn)證不一樣的地方在于其身份識別采用的技術(shù)與信任域內(nèi)身份識別不同，包括建立各自的虛擬認(rèn)證服務(wù)中心，統(tǒng)一調(diào)配以本信任域內(nèi)的行為信任驗(yàn)證過程，完成交叉認(rèn)證過程。

圖4　跨信任域內(nèi)身份認(rèn)證示意圖

另外，信任域內(nèi)身份認(rèn)證通過身份識別后建立的通信鏈接是常態(tài)存在的，跨信任域內(nèi)身份認(rèn)證通過身份識別建立的通信鏈接是按照請求建立的臨時(shí)通信，只具有一定時(shí)限的可信資格。在時(shí)限內(nèi)實(shí)體間信任可支持信息的互通，而時(shí)限通常是以完成特定任務(wù)為目標(biāo)，具體設(shè)定值由雙方約定。而跨信任域內(nèi)的身份認(rèn)證將圍繞特定任務(wù)和資源調(diào)用，其行為信任驗(yàn)證實(shí)現(xiàn)過程合并實(shí)體信任驗(yàn)證過程一起進(jìn)行。

跨信任域內(nèi)身份認(rèn)證的流程除了上述差異外，其流程基本相同。

3.2安全身份認(rèn)證流程

3.2.1信任域內(nèi)身份認(rèn)證流程

具體的身份認(rèn)證流程如圖5所示。

圖5　信任域內(nèi)身份認(rèn)證的具體流程

1)作戰(zhàn)實(shí)體發(fā)出身份識別請求，認(rèn)證服務(wù)器完成身份識別。

2)認(rèn)證服務(wù)器將根據(jù)作戰(zhàn)實(shí)體身份信息保留在實(shí)體身份信息表中。為該作戰(zhàn)實(shí)體建立可信鏈接，根據(jù)作戰(zhàn)實(shí)體的授信，分配符合授信的通信鏈路。這樣在整個(gè)信任域內(nèi)建立實(shí)體信任。

3)當(dāng)作戰(zhàn)實(shí)體提出作戰(zhàn)任務(wù)請求時(shí)，認(rèn)證服務(wù)器根據(jù)作戰(zhàn)實(shí)體類型及授信，通過作戰(zhàn)實(shí)體與任務(wù)關(guān)系表對該作戰(zhàn)實(shí)體進(jìn)行任務(wù)合法性判別。當(dāng)任務(wù)合法性判別通過，再根據(jù)作戰(zhàn)任務(wù)級別等信息，通過作戰(zhàn)任務(wù)與作戰(zhàn)資源關(guān)系表為作戰(zhàn)實(shí)體分配資源使用權(quán)限，并建立資源使用的時(shí)限以及安全閾值。

4)當(dāng)作戰(zhàn)實(shí)體執(zhí)行任務(wù)時(shí)，認(rèn)證服務(wù)器根據(jù)上一步分配的資源使用權(quán)限進(jìn)行資源使用合法性判別。當(dāng)超過資源使用的時(shí)限，需要重新提交任務(wù)請求。而當(dāng)超過閾值，認(rèn)證服務(wù)器將自動(dòng)關(guān)閉對該作戰(zhàn)實(shí)體的授信服務(wù)，并提交安全警報(bào)。

3.2.2跨信任域內(nèi)身份認(rèn)證流程

具體的身份認(rèn)證流程如圖6所示。

圖6　跨信任域內(nèi)身份認(rèn)證的具體流程

在跨艦艇信任域內(nèi)進(jìn)行身份認(rèn)證時(shí)，首先應(yīng)該進(jìn)行平臺的身份識別。其識別過程與第一步相同。在作戰(zhàn)實(shí)體進(jìn)行跨艦艇任務(wù)請求時(shí)，重復(fù)上述流程，只是其認(rèn)證服務(wù)器應(yīng)該是目標(biāo)艦艇的認(rèn)證服務(wù)器。同時(shí)，作戰(zhàn)實(shí)體的授信等級應(yīng)該不高于艦艇平臺的授信等級。

需要注意的是，在信任域內(nèi)經(jīng)過身份認(rèn)證后的作戰(zhàn)實(shí)體，在整個(gè)信任域內(nèi)均是可信作戰(zhàn)實(shí)體。實(shí)際上，信任域內(nèi)各艦之間的認(rèn)證服務(wù)器共同構(gòu)成了一個(gè)分布式的認(rèn)證體系。而跨信任域身份認(rèn)證與信任域身份認(rèn)證過程有兩個(gè)活動(dòng)相對特殊，其一是信任時(shí)限的生成與確定；其二是分立式認(rèn)證ID與任務(wù)時(shí)限的關(guān)聯(lián)，并建立任務(wù)、資源與信任身份的映射。

4　無線異構(gòu)移動(dòng)安全環(huán)境的集成身份認(rèn)證模型

4.1集成身份認(rèn)證技術(shù)分析

從海上無線網(wǎng)絡(luò)集成身份認(rèn)證的實(shí)現(xiàn)來看，需要一系列的身份認(rèn)證協(xié)議棧來支持和滿足不同環(huán)境、不同狀態(tài)、不同業(yè)務(wù)的需要。其協(xié)議棧如下圖所示。

圖7中，物理層接入點(diǎn)(PHY SAP)是協(xié)議棧與物理層的接口；數(shù)據(jù)流加密認(rèn)證過程負(fù)責(zé)數(shù)據(jù)消息的加密解密和完整性認(rèn)證處理；控制消息處理和消息認(rèn)證過程負(fù)責(zé)處理控制消息的認(rèn)證和控制；PKM控制管理用于控制和管理所有的安全單元；授權(quán)控制負(fù)責(zé)控制授權(quán)密鑰狀態(tài)機(jī)；安全關(guān)聯(lián)控制負(fù)責(zé)控制多個(gè)流加密密鑰狀態(tài)機(jī)； EAP封裝解封裝，作為PKM與EAP層的接口，負(fù)責(zé)PKM基于EAP的認(rèn)證；RSA認(rèn)證負(fù)責(zé)PKM基于RSA的認(rèn)證。

圖7　集成身份認(rèn)證的協(xié)議棧

4.2信任域內(nèi)身份認(rèn)證技術(shù)

信任域內(nèi)身份認(rèn)證采用集中認(rèn)證方式，該方式下認(rèn)證過程包括實(shí)體信任實(shí)施過程和行為信任實(shí)施過程。該集中實(shí)體信任實(shí)施過程主要采用是IEEE 關(guān)于局域網(wǎng)絡(luò)訪問控制的標(biāo)準(zhǔn)802.1x。行為信任過程則采用應(yīng)用層的設(shè)定和任務(wù)、資源動(dòng)態(tài)分配映射技術(shù)[8～9]。

1)實(shí)體信任實(shí)施過程

802.1x 是一個(gè)標(biāo)準(zhǔn)，它使用的主要協(xié)議則是基于一個(gè) IETF定義的叫 EAP(可擴(kuò)展認(rèn)證協(xié)議)的協(xié)議。EAP是一個(gè)可擴(kuò)展的協(xié)議框架，具體的 EAP 協(xié)議則可以有很多種，例如 EAP-TLS,EAP-TTLS,PEAP等。當(dāng)進(jìn)行 802.1x/EAP 認(rèn)證時(shí)，在客戶端和 AP 間運(yùn)行的就是 EAPOL 協(xié)議，而在 AP 和認(rèn)證服務(wù)器之間運(yùn)行的是RADIUS協(xié)議。

具體流程如圖8所示。圖中，AS為認(rèn)證服務(wù)器；AP為無線接入點(diǎn)設(shè)備；STA為站點(diǎn)；EAPOL為局域網(wǎng)可擴(kuò)展認(rèn)證協(xié)議。

(1)客戶端(即申請者)發(fā)出EAPOL開始消息發(fā)起認(rèn)證過程；

(2)AP發(fā)出請求幀，要求客戶輸入用戶名；

(3)客戶機(jī)響應(yīng)請求，將自己的用戶名信息通過數(shù)據(jù)幀發(fā)送給AP；

圖8　實(shí)體信任實(shí)施具體流程

(4)AP將客戶的用戶名信息重新封裝成RADIUS.AccessRequest包發(fā)送給服務(wù)器；

(5)RADIUS服務(wù)器驗(yàn)證用戶名合法后客戶機(jī)發(fā)送自己的數(shù)字證書；

(6)客戶機(jī)通過證書驗(yàn)證服務(wù)器的身份；

(7)客戶機(jī)給服務(wù)器發(fā)送自己的數(shù)字證書；

(8)服務(wù)器通過證書驗(yàn)證客戶身份，完成相互認(rèn)證；

(9)在相互認(rèn)證的過程中，客戶機(jī)和服務(wù)器通過四次握手也獲得了主會話密鑰Master—Session—Key；

(10)認(rèn)證成功，RADIUS服務(wù)器向AP發(fā)送RADIUS.ACCEPT消息，其中包括密鑰信息；

(11)AP向客戶機(jī)轉(zhuǎn)發(fā)EAPOL Success消息，認(rèn)證成功。

在上述過程中，四次握手協(xié)議是密鑰管理系統(tǒng)中最主要的步驟，主要目的是確定申請者和認(rèn)證者得到的PMK(主密鑰)是相同的，并且是最新的，以保證可以獲得最新的PTK，其中PMK是在認(rèn)證結(jié)束時(shí)，由STA和AP協(xié)商生成的。PTK可以由AP定時(shí)更新，也可以在不改變PMK的情況下由STA發(fā)出初始化四次握手的請求。申請者和認(rèn)證者之間的密鑰協(xié)商所傳遞的信息，都是采用EAPOL-Key進(jìn)行封裝的。四次握手過程如圖9。

圖9　四次握手過程示意圖

(1)消息1：認(rèn)證者發(fā)送EAPOL-Key消息，其中包括ANonce。

(2)消息2：申請者由ANonce和SNonce產(chǎn)生PTK，發(fā)送EAPOL-Key消息，包含SNonce和MIC。

(3)消息3：認(rèn)證者由ANonce和SNonce產(chǎn)生PTK，并且對MIC做校驗(yàn)，發(fā)送EAPOL-Key消息，其中包括ANonce、MIC以及是否安裝加密/整體性密鑰。

(4)消息4：申請者發(fā)送EAPOL-Key消息，確認(rèn)密鑰已經(jīng)安裝。

通過上述過程，實(shí)現(xiàn)STA與信任域的雙向認(rèn)證，確?？尚诺腟TA鏈接到正確的信任域。

2)行為信任實(shí)施過程

在實(shí)體信任完成后，將實(shí)施行為信任過程，具體實(shí)現(xiàn)如圖10所示。

具體包含如下消息：

(1)消息1：申請者發(fā)送身份認(rèn)證開始消息，其中包括已確定的初步身份ID。

(2)消息2：申請者由本身的ID產(chǎn)生任務(wù)和資源信息，發(fā)送行為級消息，包含任務(wù)ID和資源ID。

(3)消息3：認(rèn)證者由行為級消息以及收到的任務(wù)ID和資源ID產(chǎn)生最終的身份ID，并且對其進(jìn)行整體性密鑰包裝。

(4)消息4：申請者發(fā)送確認(rèn)消息，確認(rèn)身份驗(yàn)證完成，密鑰通過。

4.3跨信任域內(nèi)身份認(rèn)證技術(shù)

跨信任域身份認(rèn)證，需要使用分布式認(rèn)證模型，采用分布式 IEEE 802.1x認(rèn)證機(jī)制時(shí)，MP將如圖11所示建立握手。

圖10　行為信任實(shí)施示意圖

圖11　跨信任域內(nèi)身份認(rèn)證握手過程示意圖

MP Mesh節(jié)點(diǎn)說明：

1)從對等體的信標(biāo)和探測回復(fù)幀，鑒別出一個(gè)對等的 MP作為能夠建立握手。

2)可能引入開放式系統(tǒng)認(rèn)證。

3)每一格 MP都使用 IEEE 802.1x 來與AS進(jìn)行認(rèn)證，這些 AS是與其它 MP的認(rèn)證方相聯(lián)系的。

4)每個(gè) MP 的 SME 通過執(zhí)行一個(gè)密鑰管理算法建立臨時(shí)的密鑰，使用在 802.11 中定義的協(xié)議。因此兩個(gè)這樣的密鑰管理算法都獨(dú)立發(fā)生在任何兩個(gè)申請者 MP 和認(rèn)證方 MP中。

5)MP雙方都是用從一次交換中得來的成對瞬時(shí)密鑰(Pairwise Transient Key,PTK)的臨時(shí)決定密鑰部分和成對密碼對來保護(hù)連接的。每個(gè)MP使用由它發(fā)起的交換中所建立的GTK來保護(hù)它自己傳輸?shù)亩嗖ズ蛷V播幀。

6)任一個(gè)Mesh AP，它都能為STA認(rèn)證。

在集中式認(rèn)證中，由于CA的強(qiáng)勢存在，使得信任問題相對簡化。節(jié)點(diǎn)只需判斷出自身是否信任這唯一 CA簽發(fā)的證書即可。而在分布式系統(tǒng)中，信任關(guān)系就會變得復(fù)雜得多，別是在全局 CA 缺失的情況中。需要結(jié)合海戰(zhàn)場作戰(zhàn)網(wǎng)絡(luò)的特點(diǎn)，實(shí)施可行的分布式信任模型。

4.4分布式信任技術(shù)

按照集成身份認(rèn)證業(yè)務(wù)模型來看，其跨信任域的認(rèn)證結(jié)構(gòu)形成了一種分布式的網(wǎng)絡(luò)結(jié)構(gòu)[10～11]。而這種結(jié)構(gòu)，由于海戰(zhàn)場作戰(zhàn)網(wǎng)絡(luò)的特殊環(huán)境，其信任實(shí)現(xiàn)與傳統(tǒng)信任存在較大差異。具體來說：

1)基礎(chǔ)設(shè)施：傳統(tǒng)信任依賴固定的可信基礎(chǔ)設(shè)施如 CA 中心、目錄服務(wù)器等，這些服務(wù)必須在線提供，任何實(shí)體在需要的時(shí)候總能連通到服務(wù)器。相反的，在海上網(wǎng)絡(luò)中，或者根本沒有 CA中心和目錄服務(wù)器，或者即使存在，但由于無線網(wǎng)不能保證網(wǎng)絡(luò)的連通性，它們并不總是可達(dá)的，相互通信的節(jié)點(diǎn)隨時(shí)都可能與存儲證書的目錄服務(wù)器斷開。因此，海戰(zhàn)場網(wǎng)絡(luò)不能過分依賴存儲在目錄服務(wù)器中的證書來建立信任關(guān)系。

2)關(guān)系期限：在傳統(tǒng)信任中建立起來的信任關(guān)系是長期和穩(wěn)定的。相反的，在海上網(wǎng)絡(luò)中，很少存在穩(wěn)定而長期的信任證據(jù)。無線節(jié)點(diǎn)的安全性取決于它的位置，不能預(yù)先確定。因此，海上網(wǎng)絡(luò)中的信任關(guān)系是短期的、變化的，經(jīng)常需要重新搜集和評估信任證據(jù)來建立新的信任關(guān)系。在無線 mesh 網(wǎng)中，兩個(gè)移動(dòng)的節(jié)點(diǎn)可能只有很短的時(shí)間交換信息，搜集和評估信任證據(jù)的過程必須足夠快。對時(shí)間的要求決定了無線自組網(wǎng)中只能依據(jù)在線證據(jù)來建立信任關(guān)系。

3)證據(jù)完整性：傳統(tǒng)信任中不會由于連接失敗而導(dǎo)致某些信任關(guān)系長時(shí)間不可用。通信鏈路、路由器、服務(wù)器的冗余性保證了網(wǎng)絡(luò)的連通性。因此，可以假設(shè)任何用于建立信任的證據(jù)在需要的時(shí)候都是可用的。而在無線 mesh 網(wǎng)中，節(jié)點(diǎn)之間的連通性不能得到保證，不能假設(shè)信任證據(jù)在需要的時(shí)候總是可用的，有時(shí)只能依據(jù)不完整的和非確定的證據(jù)來建立信任關(guān)系。

因此，可采用橋式模型來進(jìn)行分布式認(rèn)證，解決上述問題。具體如圖12所示。

在該結(jié)構(gòu)中，每一套獨(dú)立的CA體系部與一個(gè)處于中心地位的橋CA進(jìn)行交叉認(rèn)證，橋CA只是一個(gè)中介，它不是一個(gè)樹狀結(jié)構(gòu)的根CA，而是作為

交叉認(rèn)證的中介，它與不同的信任域之間建立對等的信任關(guān)系，允許用戶保留他們自己的原始信任點(diǎn)，具有更高的可擴(kuò)展性，信任域的擴(kuò)展非常容易，且不受數(shù)量限制等優(yōu)點(diǎn)。其主要特點(diǎn)為

1)安全風(fēng)險(xiǎn)被分散到各個(gè)認(rèn)證機(jī)構(gòu)中。

2)連接的各個(gè)獨(dú)立CA體系可以是任何傳統(tǒng)類型的信任模型。

3)橋CA需要利用證書信息來限制不同信任域PKI的信任關(guān)系，會導(dǎo)致證書處理的復(fù)雜度增加。

圖12　分布式認(rèn)證的橋式模型

5　結(jié)語

本文針對海戰(zhàn)場通信網(wǎng)絡(luò)對身份認(rèn)證的需求問題，提出了一種基于海上無線網(wǎng)絡(luò)的安全身份認(rèn)證方法。圍繞信任域內(nèi)與跨信任域兩個(gè)角度，重點(diǎn)分析了集成身份認(rèn)證機(jī)制，設(shè)計(jì)了安全身份認(rèn)證流程。根據(jù)不同信任域的認(rèn)證結(jié)構(gòu)，提出了相應(yīng)身份認(rèn)證模型，為提高海上無線異構(gòu)網(wǎng)絡(luò)的整體安全性提供技術(shù)支撐。

[1]N.B.Salem and J-P Hubaux.Securing Wireless Mesh Network[J].IEEE.Wireless Communication,2006,13(2):51-55.

[2]Dae-Hee Seo,Im-Yeong Lee.Single Sign-on Authentication Model Using MAS(Multi agent System)[J].Communications,Computers and Signal Processing,2003(2):692-695.

[3]張昌宏,麻旻,朱婷婷,等.基于IBE的無線網(wǎng)絡(luò)身份認(rèn)證模型研究[J].計(jì)算機(jī)與數(shù)字工程,2010,38(8):165-167.

[4]Caimu T,Oliver W.Mobile privacy in wireless network revisited[J].IEEE Transactions on Wireless Communication,2008,7(3):1035-1041.

[5]李金庫,張德運(yùn),張勇.身份認(rèn)證機(jī)制研究及其安全性分析[J].計(jì)算機(jī)應(yīng)用研究,2001(1):126-128.

[6]H.Xie,J.Zhao.A lightweight identity authentication method by exploiting network covert channel[J].Networking and Applications,2014,8(6):1-10

[7]L.Xiao,L.Greenstein and N.Mandayam,et al.Using the physical layer for wireless authentication in time-variant channels[J].IEEE Trans.Wireless Communication,2008,7(7):2571-2579.

[8]周賢偉,劉寧,覃伯平.IEEE802.1x協(xié)議認(rèn)證機(jī)制及其改進(jìn)[J].計(jì)算機(jī)應(yīng)用,2007,26(12):2894-2896.

[9]C.Wang,Z.Huang,E.Peng.On the unified authentication technology of network token[J].Energy Procedia,2012,17:1476-1481.

[10]T.Miyake,S.Suzuki,et al.Efficiency of authentication network construction on organization LAN[J].Leice technical report office information systems,2009,108:19-24.

[11]Boneh D,Franklin M.Identity-Based encryption from the Weil pairing[C]//Lecture Notes in Computer Science 2139.Berlin:Springer-Verlag,2001:213-229.

Technology of Security Authentication Based on Marine Wireless Networks

ZHAO Yan

(China Institute of Marine Technology &Economy,Beijing100081)

This paper puts forward a method of security authentication based on marine wireless networks under the background of information security in marine complex network.A consolidated authentication mechanism is analyzed under the conditions of different trusted domains.A set of security authentication is also designed.On the basis,a model of integration authentication is put forward based on wireless heterogeneous mobile security environment.The technical support is provided for ensuring the network environment security of complex sea battlefield.

authentication,marine wireless networks

2016年3月8日,

2016年9月17日

趙彥，女，高級工程師，研究方向：信息安全、網(wǎng)絡(luò)系統(tǒng)測評。

TP393DOI：10.3969/j.issn.1672-9730.2016.09.021