基于Kerberos变体的安全认证模式
PKI是一个非常安全的系统,但它基于非对称的密码体制,因此需要额外的处理和通讯资源,该特点让基于PKI 的系统更加容易受到拒绝服务攻击(DoS)。相比较而言,Kerberos是一个基于对称密码体制的间接认证机制,它的安全性和效率在过去已得到实践的证明,它具有一些其它认证机制所不具备的特点:⑴ 预防客户端和服务器端的身份伪造;⑵ 能检测重放攻击;⑶ 在通讯终端建立安全通道;⑷ 进行相互认证。
(3)被俘获的节点的识别方法
由于MANET网络具有分布式的特点,网络中的节点很容易被俘获,而可能被用作中间人进行攻击。那么需要建立一种机制,对网络中的节点及时进行检测。本课题拟通过建立“保信机制”(Keep Trusted),对可信节点系统的周期性评估来实现。
(4)智能卡密钥生成技术的研究
智能卡密钥是基于身份加密的网络安全模式的一种特殊应用。用户可以选择他们的名字和网络地址,或者是名字、社会保障号、地址、办公室号以及电话号码的一个组合作为他们的ID,这样就可使用户具有一个独一无二的身份标识。网络初始化由离线状态下密钥生成中心来完成,它唯一的任务就是在新节点申请加入时,发给它们各自所需的智能卡。这个
智能卡中包含一个微处理器、I/O端口、RAM、存有私钥的ROM以及运行协议所需要的一些程序。通过这个方法的研究,解决密钥存放的难题。
拟解决的技术难点
(1)固网和固定服务移动网络中安全接入技术,向MANET的移植
需要比较分析各种相关的安全接入技术,分析各种认证技术的优缺点。并结合自组织网络的特点,进行技术方案向MANET网络的迁移。
(2)多跳节点信任认证机制的建立
MANET具有多跳的特点,有时候待验证的节点与提供验证服务的节点需要经过多跳节点进行连接。因此研究的认证机制,需要考虑单跳、多跳等不同情况。
(3)多种传统认证机制的比较和分析
在固网中优越的认证技术在MANET中未必最优。我们需要在比较分析各种认证机制的基础上,结合MANET的特点,以及不同应用场景
(4)检测被俘节点
加密和鉴权不能解决被俘节点发动的袭击。被俘节点检测,具有如下的不利因素: 传统IDS能通过交换机或者网关收到所有数据进行判断(集中式)而MANET中的IDS只能收集局部不完整信息综合判断(分布式)。导致数据不充分,容易漏报。
由于经常需要全局联合分析,对性能影响大。
无法区分DOS服务还是节点移动到服务区外
无法解决假报情况
需要研究被俘节点检测的改进方法,提高识别率。
(5)智能卡密钥生成技术
本课题的主要创新之处:
自组织网络的安全接入模型
自组织网络的安全接入认证方法
多跳节点的信任机制的建立
被俘获节点的识别方法
不安全节点剔除和报警机制
智能卡密钥生成技术
现有研究基础
中国科学院计算技术研究所下一代互联网中心与诺基亚中国研究中心建立了下一代通信网络技术研究联合实验室,开展移动IPv6通信技术研究;与澳大利亚Motorola研究开发中心(现澳大利亚卧龙刚(Wollongong)大学无线技术实验室)紧密合作,共同进行无线网络技术的研究,在MANET的研究上已经有了四年的合作关系。
多年来计算所下一代互联网中心承担着国家的计算机网络方面的重大研发项目。近几年内,中心已发表各类文章300余篇,其中许多发表在国内外知名期刊和会议上。在技术成果转化上取得了很好的成绩,其中带宽管理技术被SAFENET采用。NetEx系统集成于Honeywell的适应性资源管理系统中;研制的移动IPv6性能分析系统被中兴通信用于3G网关设备中;IPv6协议测试系统被国际最大的测试公司Agilent公司购买;研制的IEEE802.16宽带无线MAC软件系统被英国picoChip公司集成到其HDP宽带无线基站开发平台上,韩国电信、新加坡电信研究院等采购了该软件。同时中科院计算所作为中国通信标准化协会及国家信标委宽带无线多媒体组的全权会员,牵头组织和参与制定三项上以宽带无线通信技术标准,可以说在课题研发与成果转化、技术的标准化等方面已经积累了非常多的经验。
计算所下一代互联网中心移动自组网研发小组致力于移动环境中的路由、无线接入、移动IPv6、MAC层的功耗控制及公平性、自动配置技术与服务质量等方面的研究。该小组拥有一批年轻的研发人员,他们通过五年来不懈的努力取得了多项阶段性成果:组建了Ad Hoc试验床,实现了AODV(RFC3561)路由协议;可以利用地址自动配置机制为每个试验节点配置IPv6地址,并通过域名访问这些节点;通过扩展移动IPv6,可以实现移动节点在两个Ad Hoc子网间漫游;可以通过无线接入点与Internet上的节点通信。这些实现机制在小规模自组网环境中工作正常,通过对http、ftp、telnet及VoIP等应用的测试表明该网络性能较好。目前已取得的主要研究成果如下:
与Motorola 澳大利亚研究开发中心在中科院计算所建成MANET实验床,基于此
展开了MANET的路由算法、自动配置协议、服务质量保证、MAC层协议等研究,实现了自组织网络与现有因特网的互联互通;
在北京市科委的支持下,建成了无线移动IPv6示范网络;
在MANET中实现了VoIP语音传输系统,解决了话音传输的质量保障问题,成果已
转让给京东方科技集团股份有限公司,并协助移植到了京东方第四代移动多媒体终端上。
中科院计算所创新课题“ad hoc 网络计算机仿真模型的建立以及自组织路由算法
研究”,实现了基于OPNET的网络仿真模型,对MANET的路由算法模拟,进行性能分析。
中科院计算所领域前沿青年基金课题“无线传感器网络分布式空间复用MAC地址
分配算法研究” 完成MAC地址编码机制研究 。
中科院计算所创新课题“移动自组织网络按需带宽路由研究”,对移动自组网路由机
制研究提出了基于邻居变化率的稳定路径选择方法和基于节点距离信息的稳定路径选择方法。
发表论文情况
Jingping Bi, Qi Wu, Zhongcheng Li, On Estimating Clock Skew for One-way
Measurements, Computer Communications, accepted for publication, Aug. 2005. Kai Wang, Jing Huang, Zhongcheng Li, Feng Yang, Xiaohong Wang, Jingping Bi,
Scaling Behavior of Internet Packet Delay Dynamics Based on Small-interval Measurements, Proceedings of the 30th Annual IEEE Conference on Local Computer Networks (LCN2005), accepted for publication, Jul. 2005.