论文题目: 移动无线场景下的远程访问认证安全及其相关问题研究
论文类型: 博士论文
论文专业: 计算机系统结构
作者: 叶润国
导师: 宋成
关键词: 移动互联网,远程访问,网络安全,认证和密钥交换,虚拟专用网
文献来源: 中国科学院研究生院(计算技术研究所)
发表年度: 2005
论文摘要: 随着互联网技术和无线网络技术的迅速发展,传统互联网正逐渐向“终端移动、无线接入”的移动互联网方向发展。同时,远程访问VPN技术作为企业网络平台的一种有效延伸,一直在我们的网络应用中扮演非常重要的角色。移动互联网技术和传统远程访问VPN技术的结合,将使企业用户获得更大的便利和自由,它使得移动的企业员工随时随地的与企业网进行安全数据交换成为可能。但是,这种结合也给传统远程访问技术带来了挑战。这里的远程访问不再是一个静止的访问过程,它伴随着远程节点的移动和无线链路移动切换过程;移动网络场景中的无线终端具有较弱的计算和存储能力;无线接入网络存在高误码率和低带宽等限制。在这种应用场景下除了考虑远端移动节点的远程接入安全和数据交换安全外,还必须考虑移动节点的计算能力和无线链路带宽限制等问题,同时,有必要保障远端节点的移动和网络切换过程对上层应用透明。本文主要研究移动无线场景下的远程访问认证和密钥交换问题及其相关问题。主要工作内容和创新成果如下:1)提出了一种非对称式的认证和密钥交换方案—AEAS (Asymmetric ECMQV-based Authentication Scheme)方案,它实现了对客户端的传统口令认证和对服务端的公钥认证方式。AEAS方案中的用户口令认证方式具有零知识安全属性,它允许用户使用弱口令,并能抵御各种字典攻击、重放攻击和服务端口令验证库泄密后的直接假冒攻击。与其它同类认证和密钥交换方案相比,AEAS方案具有最少的公钥计算开销,非常适合于移动无线场景下的轻量级无线终端。本文在随机神喻模型(Random Oracle Model)下证明了AEAS认证协议的安全性。此外,还提出了一种高效的双因子认证协议-ATAP(AEAS-based Two Factor Authentication Scheme)协议。2)分析了IPSec协议与其它中间网络设备(包括现有的NAT网关和未来IPv4/IPv6网络共存期间的NAT-PT网关)的互操作问题,对现有的IPSec与NAT网关互操作方案进行了改进,实现了IPSec在IPv4/IPv6网络共存期间对NATv4、NATv6以及NAT-PT网关的自动探测和基于UDP隧道的透明穿越。提出了一种新的UDP隧道封装机制-NATPT-T隧道模式,可实现IPv6子网/主机与IPv4子网之间基于IPSec的应用互通。3)提出了一种会话层远程访问移动解决方案—LRAM-VPN(Lightweight Remote Access Mobile VPN)。LRAM-VPN采用专为无线网络设计的WTLS协议来建立从移动终端到企业网络的端到端安全隧道,支持移动节点在不同无线网络之间的漫游,并保证上层应用的不间断性。此外,LRAM-VPN方案采用了不同措施来提高TCP和UDP应用的性能,同时也提高了无线链路带宽有效利用率;
论文目录:
声明
论文版权使用授权书
摘 要
ABSTRACT
第一章 引言
1.1 远程访问和VPN 技术简介
1.2 企业移动VPN 简介
1.3 远程访问和移动VPN 中存在的问题
1.4 本文研究的主要内容和创新工作
1.5 本文组织结构
第二章 远程访问安全和企业移动VPN 相关技术
2.1 密码体制
2.2 认证与密钥交换
2.2.1 SSL 协议
2.2.2 IPSec 协议
2.3 无线局域网络安全技术
2.3.1 802.11 无线局域网基本安全技术
2.3.2 WEP 协议安全缺陷
2.3.3 最新无线局域网安全解决方案—802.11i
2.4 移动通信网络安全技术
2.4.1 GSM 移动通信网络基本安全技术和缺陷
2.4.2 第三代移动通信(UMTS)中的认证和安全
2.5 IPv4/IPv6 网络过渡
2.5.1 IPv4/IPv6 网络过渡背景
2.5.2 网络过渡机制介绍
2.6 可证明安全性
2.6.1 可证明安全性理论
2.6.2 随机神喻模型
2.6.3 密钥分配协议的可证明安全性
2.7 本章小结
第三章 一种非对称式的认证和密钥交换安全协议
3.1 相关工作
3.2 基本ECMQV 协议
3.2.1 基本ECMQV 协议介绍
3.2.2 ECMQV 协议安全性
3.3 一种非对称认证和密钥交换方案—AEAS 协议
3.3.1 AEAS 协议认证过程
3.3.2 AEAS 中的QB 计算问题
3.3.3 服务端公钥有效性验证问题
3.3.4 AEAS 协议安全性
3.4 一种双因子认证协议—ATAP 协议
3.5 各非对称认证方案性能比较
3.6 AEAS 协议安全性证明
3.6.1 通信模型
3.6.2 安全证明
3.7 本章小结
第四章 IPSec 在IPv4/IPv6 互通环境下的互操作问题及解决方案
4.1 NAT 与NAT-PT 原理
4.2 IPSec 与NAT 网关互操作问题以及IETF 的NAT 穿越方案
4.2.1 IPSec 与NAT 网关互操作问题
4.2.2 NAT-T 方案介绍
4.2.3 NAT-T 方案与NAT-PT 网关的互操作问题
4.3 支持NAT-PT 穿越的E-NAT-T 方案
4.3.1 改进的NAT 网关探测算法
4.3.2 一种新的UDP 隧道封装模式:NATPT-T 隧道模式
4.3.3 E-NAT-T 方案在不同IPv4/IPv6 互通场景下的应用
4.3.4 NATPT-T 隧道模式中的IPv4 地址获取问题
4.4 基于下一代IPSec 协议的NAT-PT 网关探测与互操作
4.5 E-NAT-T 方案局限性
4.6 E-NAT-T 原型系统实现
4.7 本章小结
第五章 一种轻量级远程访问移动VPN 方案
5.1 相关工作
5.2 LRAM-VPN 方案介绍
5.2.1 LRMC 介绍
5.2.2 LRMS 介绍
5.2.3 远端移动节点网络漫游
5.3 LRAM-VPN 方案中的认证和密钥交换
5.3.1 三种WTLS 认证方案与WTLS 扩展
5.3.2 使用Cookie 抵制拒绝服务攻击
5.4 基于移动IP 的LRAM-VPN 全权访问模式
5.4.1 远端移动节点的移动IP 位置注册过程
5.4.2 全权访问模式下的IP 数据报处理过程
5.5 LRAM-VPN 方案中的TCP/UDP 性能优化
5.5.1 针对TCP 应用流的性能优化方法
5.5.2 针对实时UDP 应用流的性能优化方法
5.6 LRAM-VPN 方案在IPv4/IPv6 网络共存环境下的互连互通
5.7 LRAM-VPN 中其它问题的考虑
5.7.1 远端移动节点的本地接入认证问题
5.7.2 LRAM-VPN 认证方案中的公钥有效性验证
5.7.3 LRAM-VPN 方案中的WTLS 隧道安全问题
5.8 LRAM-VPN 对WTLS 协议规范的扩展
5.9 本章小节
第六章 一种双服务器模式的强口令认证方案
6.1 相关工作
6.2 TSPA:一种双服务器模式的强口令认证方案
6.2.1 TSPA 方案介绍
6.2.2 本章符号定义
6.2.3 TSPA 用户注册过程
6.2.4 TSPA 口令认证过程
6.2.5 关系TSPA 认证方案安全的几个关键问题
6.3 TSPA 方案安全性分析
6.3.1 抵御拒绝服务攻击
6.3.2 抵御重放攻击(Replay)
6.3.3 抵御n 可预测攻击(PrePlay)
6.3.4 抵御服务端假冒攻击
6.3.5 抵御单一口令认证库泄密情况下的攻击
6.4 TSPA 强口令认证方案应用举例
6.5 本章小节
本章附录A 对SEPA 口令认证方案的字典攻击
A.1 SEPA 口令注册和认证过程
A.2 SEPA 协议的安全问题
第七章 论文总结和进一步工作
7.1 论文工作总结
7.2 进一步工作
参考文献
致谢
作者简历
发布时间: 2006-12-27
相关论文
- [1].无线网络安全方法与技术研究[D]. 朱建明.西安电子科技大学2004
- [2].4G无线网络安全若干关键技术研究[D]. 郑宇.西南交通大学2006
- [3].安全协议的形式化方法及其应用的研究[D]. 华东明.中国科学院研究生院(计算技术研究所)2005
- [4].在线公钥系统及相关安全技术研究[D]. 虞淑瑶.中国科学院研究生院(计算技术研究所)2005
- [5].网格计算中信任模型及其应用研究[D]. 王东安.中国科学院研究生院(计算技术研究所)2006
- [6].针对TCP协议的分布式拒绝服务攻击的防范方法研究[D]. 陈伟.武汉大学2005
- [7].无线网络中认证及密钥协商协议的研究[D]. 李兴华.西安电子科技大学2006
- [8].无线局域网认证安全基础架构研究与设计[D]. 张浩军.解放军信息工程大学2006