基于移动模型快速重认证技术研究.docVIP

基于移动模型快速重认证技术研究 　　【摘要】　针对现有快速重认证过程中的问题，提出了一种基于移动模型和动态网络接入标识的快速重认证方案，并对现有方案和新方案的性能进行了分析和仿真实验。研究表明：本方案可以极大地提高外地域的切换重认证性能，并解决移动终端位置私密性问题。 　　【关键词】　动态网络接入标识；移动建模；快速重认证 　　【中图分类号】　TN918 　　1 引言 　　切换性能和接入安全是影响无线网络服务质量的两大关键问题.终端在无线网络移动时的切换性能直接影响到无线网络漫游业务的质量；无线网络的接入比固定网络容易，其遭受安全威胁的可能性更大，因此在无线网络中部署接入认证技术尤为重要。然而，接入认证技术的部署会严重影响切换性能，解决这一矛盾，出现了快速重认证技术。 　　快速重认证技术是IETF正在标准化的课题，它在完整的EAP认证之后，由家乡认证服务器（归属认证服务器）向终端所在外地网络认证服务器分配重认证根密钥（DSRK），在之后的重认证过程中，外地网络不再与家乡网络交互，从而减小了重认证中跨域通讯的时延，提高了切换性能，如图1所示。 　　现有方案在实际部署的过程中还存在几个问题。 　　（1）　没有考虑无线网络接入认证的特点.无线网络接入设备通常分为接入控制设备和无线接入点两部分[3]，移动终端在接入控制设备和无线接入点之间移动时使用不同的认证策略。 　　（2）　重认证过程仍然需要与外地域认证服务器（Local　Server）交互，存在时延。 　　（3）　重认证过程中，外地域的Local　Server需要具有解析终端标识（Identity）的能力，这与RFC4282[4]的要求不符，会导致终端标识泄漏给外地域。 　　（4）　重认证过程中，移动终端需要把标识提交给网络，这使其它节点可以根据该标识跟踪移动终端的位置，导致位置私密性问题。 　　上述问题可以归结为两个方面：外地域的切换性能优化和位置私密性。本文针对这两个方面提出一种新的基于移动模型和动态网络接入标识的方案，对快速重认证技术作改进。 　　其一，针对快速重认证中的拓扑结构因子和时间因子，建立移动模型；根据移动模型预测终端的位置，在终端切换到新接入设备之前完成密钥分发过程；终端切换到新无线接入点之后根据生成的密钥完成认证过程。 　　其二，动态生成网络接入标识，每次重认证过程使用不同的动态网络接入标识，防止恶意节点跟踪终端。 　　2 方案 　　方案共分为三步： 　　（1）　预测机制.定期使用移动模型预测终端的移动特性，给出终端状态变迁的概率； 　　（2）　密钥分发过程.对于状态变迁概率超过阈值的移动，根据状态值判断其是否跨接入控制设备，并制定认证密钥分发流程； 　　（3）　快速重认证.终端移动到新无线接入点后，根据分配的认证密钥完成认证过程。 　　其中步骤1和步骤2在终端移动到新无线接入点之前进行，不占用重认证时间；步骤3的重认证过程不再需要与外地域认证服务器交互，也降低了重认证时延。 　　2.1 预测机制 　　位置服务器存储终端当前位置和网络拓扑结构图，并根据重认证移动模型计算终端在t时间内发生状态变迁的概率.建立快速重认证移动模型是预测机制的关键.目前，移动建模技术主要集中在PCS网络的寻呼过程中：无线接入点周期性的广播位置和标识信息，移动终端根据广播信息上报自身位置信息，位置服务器则根据终端上报的位置信息，制定搜索策略，实现对移动终端的定位，并进而完成寻呼过程。然而，用于寻呼的移动模型，不能满足重认证的需要。主要表现在两个方面。 　　（1）　拓扑因子。无线网络中的认证者（Authenticator）通常并不是无线接入点，而是一个认证者管理多个无线接入点，例如WLAN中，认证者通常是AC，而无线接入点则是AP；Wimax和3GPP也有类似结构.这种拓扑结构下，移动终端可能在同一个AC的多个AP之间移动，也可能在多个AC之间移动，这一特点导致网络拓扑结构的分层，而现有的模型无需关心认证者的位置，只关心无线接入点的位置，不能满足快速重认证的需要。 　　（2）　时间因子。用户寻呼的移动模型在终端有电话呼入时进行寻呼过程，而重认证中的移动模型要求预测未来一段时间内，移动终端的位置，预测结果中需包含时间因子。 　　本文结合重认证过程中的时间因子和拓扑结构因子建立移动模型如下。 　　2.3 快速重认证 　　认证过程如图5所示，无线接入点检测到移动终端后，向移动终端发送EAP请求，其中包含无线接入点标识APID，移动终端收到EAP请求后，根据上面的公式可以计算出相应的DNAI，rMSK和TSK。 　　生成密钥后，移动终端利用TSK生成消息鉴别码，并把DNAI发送给无线接入点。 　　无线接入点比较DNAI的合法性，并验证认