基于AAA認證的倉儲移動網絡安全關聯(lián)轉移方案

張永暉，林漳希，劉建華，梁泉

(1.福建工程學院 福建省汽車電子與電驅動技術重點實驗室，福建 福州 350108;2.中南大學 信息科學與工程學院，湖南 長沙 410083; 3.德克薩斯理工大學 商學院，Lubbock, TX 79409-2101 美國)

1 引言

在倉儲物聯(lián)網絡中，為滿足出入庫?盤點數據等實時性需求[1]，以及海量數據傳輸和苛刻的時限要求，必須使用資源預留協(xié)議。而目前移動IPv6方案有較大時延[2]，切換過程的AAA服務器尤其繁復，導致雪上加霜。同時MRSVP?MIPRSVP等RSVP技術，沒有考慮傳輸過程中的數據加密[3]，如Dynamic RSVP緩沖數據分組通過隧道轉發(fā)，更加劇安全認證階段的延遲[4]。

黃松華等[5]設計的最優(yōu)路徑選擇和接入失效快速恢復算法，可降低安全關聯(lián)轉移的延時，但是算法基于固定AAA基礎設施，也并非常見的默認信任機制，無法兼容。利用網關為中心控制RSVP服務[6]，會形成較多的IP-in-IP隧道，不利于安全驗證。利用緩沖數據分組可平滑RSVP切換[7]，卻也引入了更多的延遲，還加劇了隧道中保證QoS的困難。

解決之道有：一是升級網絡[8]，直接支持大數據資源預留的實時要求，但是成本較高。二是改進現有互聯(lián)網安全協(xié)議，如以集群?安全智能體和同步技術[9]可加快延時，或學習節(jié)點移動模式[10]，以輔助路由和緩沖資源分配。以上兩者對現有協(xié)議所作修改較大，而且沒有考慮安全方面的影響。本文在第2種方式的基礎上借助于無線傳感器網絡提供精確預測，將未來位置通知地址薄中所有可能的對端通信中心，稱地址本通告方案(ABI, address-book inform），從而提前傳輸安全機制的上下文關聯(lián)。將安全機制分成切換前后，將部分AAA認證過程提前到切換前進行，并盡可能實現并行，從而縮短延遲。為保持與現有體系兼容，詳細步驟以π演算語言進行描述，以保證方案內在的一致性及與MIPv6的兼容性。并將修改范圍縮小到物聯(lián)網支持網絡內部。

2 基于地址簿通告的AAA切換時序優(yōu)化

現有授權過程中，如增強802.16e安全機制[11]建立AAA需要16步；Diameter移動IPv6[12]需要18步，難以在移動環(huán)境下實施。借助ABI上下文信息，可以簡化AAA過程，如圖1所示。切換前過程僅有3步，切換后僅有4步，大大縮短了AAA步驟。

假定AAA服務器之間總是存在安全關聯(lián)，MR與家鄉(xiāng)AAA服務器(AAAH)之間存在必要的授權密鑰和外地授權所需的Diffie-Hellman密鑰分配參數(KDP， key distribution parameters)。定義C=E(K，M)表示明文M使用密鑰K加密為密文C。為簡化起見，E(KA-B，M)表示為E(M)，當且僅當KA-B是A和B之間隨機產生的對稱式加密密鑰。

模型構成有:移動路由器(MR, mobile router)、家鄉(xiāng)代理(HA, home agent)、接入路由器(PAR, previous access router)、下一接入路由器(NAR, new access router)、家鄉(xiāng)認證機構(AAAH, authentication authorization accounting server of home)和外地認證機構(AAAF, authentication authorization accounting server of foreign)。方案采用802.1x，客戶端到認證端采用EAP over LAN協(xié)議，認證端到認證服務器采用EAP over RADIUS協(xié)議。NAR為中轉AAA認證端，PAR作用為Kerberos分發(fā)中心。MR用作client客戶端，PAR、NAR作為AAA服務器的認證端。具體過程描述如下(a與b表示同時進行)。

圖1 基于ABI的AAA切換優(yōu)化時序

1) MR向PAR傳遞消息E(MR, AskForABI)。PAR內部進程τ_kR生成隨機密鑰kR。

2) a.PAR→NAR:PAR作為中間轉發(fā)服務器轉發(fā)MR的外地認證的密鑰分配參數KDP，作為MR和NAR未來通信的密鑰，使用先前通過數字證書建立的和NAR共有的session密鑰kPAR_NAR加密轉發(fā)請求，將E(MR, AskForABI, KDP, kR)轉發(fā)到NAR。b.PAR→MR: 同時以kMR_NAR加密E(NAR，kR)并返回給MR。NAR內部進程τ_CoA分配新的轉交地址CoA。

3) NAR→MR: E(CoA, QoSID)通知MR新的CoA，使用 kR作為缺省的kMR→NAR。QoSID是可選參數。NAR內部進程τ_RSVP在局部地區(qū)建立新的QoS保證，本方案采用移動資源預留協(xié)議(MRSVP, mobile resource reservation protocol)的資源預留方式。當MRSVP路徑建立請求接觸到原有RSVP節(jié)點時，新的QoS保證路徑建立成功。如果新的QoS保證路徑建立不成功，則降低QoS等級之后再試圖進行MRSVP路徑建立。如果路徑建立成功，返回新的QoS等級ID。通知原有路徑降低QoS等級，更新QoSID。這一步也可以推遲到AAA驗證成功之后由AAA發(fā)起。好處是不會為欠費的MR分配資源，壞處是切換延時增加。

預處理過程完畢，之后進行切換過程。

4) a. MR→NAR: E(join，M). MR使用 kR作為缺省的kMR→NAR請求加入NAR。b. NAR→AAAF:綁定更新過程BU，也就是E(MR，CoA，AAAH)這一步也可能與5)同時進行。NAR將CoA與KDP一起通過其當地AAAF服務器向AAAH轉交，如果在本地，則直接向AAAH提交。其目的不是驗證AAA的KDP驗證信息(這點之前的PAR已經做過了)，而是檢驗計費條件是否滿足，保證未欠費。這一步的優(yōu)先級別很低，可以推遲到切換各階段完成之后進行。從而優(yōu)先保障MR的切換實時性和QoS。

5) a. NAR→MR: 發(fā)送E(welocome，M). NAR批準MR加入。b. AAAF向AAAH轉交綁定更新信息E(MR，CoA，AAAH)。

6) MR通知PAR斷開。AAAH內部進程τ_verify檢驗計費情況，只有MR的權限沒到期或欠費，才進行下一步。

7) a與b是由AAAH通知家鄉(xiāng)代理HA和NAR允許接入(access-accept)。

8) a .MR→NAR：通信開始。

至于b.HA→ARn:BU_ABI。發(fā)送ABI綁定更新信息實際上可以與2)～8)步同時進行，只要PAR或NAR有空閑。ABI中規(guī)定，凡是與MR中節(jié)點通信的對端節(jié)點CN會記入地址簿，根據最新最多的原則進行篩選。一旦生成，這些CN的接入路由器AR就會轉發(fā)給MR的HA。HA將之加入MR的ABI多播地址中，接到BU，HA就向ABI多播地址中各個ARn，以多播的形式通告MR新的CoA，也就是BU信息。

由于切換預過程中進行了大部分步驟，這樣同一時刻對于任意一點就減少了接入等待時間，從而縮短傳輸延遲。上下文信息不斷發(fā)向所有，提請準備。接到相關信息，不管當前是否能維持通信或者是處于容遲網絡所許可的中斷，相關的AAA認證服務器都可以向下一組外地路由器提前發(fā)起托管傳送，并開始重建QoS路徑，不當避免大多數基于IP-in-IP隧道的資源預留，加速初始化進程，同時由于節(jié)點到達之前已經預先傳輸了QoS路徑建立的指令，就部分解決切換過程中的QoS問題。

AAA認證服務器在中心服務器上保存自己的地址簿，此后在更改地址簿名單時，自動通知家鄉(xiāng)通信中心服務器更新地址簿，而最近聯(lián)系的AAA認證服務器名單則定期更新。作為渡輪，當移動到外地網絡時，必須向AAA認證服務器通知自己的關照地址，新的關照地址由家鄉(xiāng)通信中心服務器通知地址簿上所有其他的對應家鄉(xiāng)通信中心。每個AAA認證服務器 也會定時和家鄉(xiāng)通信中心地址服務器聯(lián)系，以獲得最新的地址簿上關照地址信息。這類信息傳遞不需要實時傳送，可以安排在網絡比較空閑的時候傳輸，因此不會較多地影響網絡的性能。

3 切換時序優(yōu)化方案的π演算模型

新的安全方案最重要的是與現有NEMO方案兼容，否則就沒有現實意義。

π演算能形式化描述結構不斷變化地并發(fā)系統(tǒng)和交互系統(tǒng)，1991年Robin Milner以此獲得ACM圖靈獎?，F廣泛用于各種通信協(xié)議?移動代理系統(tǒng)的建模與驗證。π演算基本概念如下。P::= 0：空進程；P|Q：并發(fā)(并行)；P+Q：選擇；[x=y]P：匹配；τ.P：內部前綴；x＜y＞.P：輸出前綴；X(y).P：輸入前綴；ν.P：限制；A(x1, x2,…, xn)：代理。

定義m1為MR的公有通道，m2’為NAR的公有通道，m2為MR與NAR之間的私有通道，m3為PAR與NAR的公有通道，m4為NAR與AAAF的公有通道，m5為AAAF與AAAH的公有通道，m6為AAAH與HA公有通道。

MR模型：MR(m, m1, m2, m2’)= ([Trigger=true]m1＜E(MR, AskForABI)＞.m1＜E(NAR, kR)＞.

如滿足觸發(fā)條件，MR通過信道m(xù)1發(fā)送自己的消息和ABI請求，等候從信道m(xù)1收到PAR發(fā)來的NAR消息和與NAR會話的隨機密鑰。從與NAR的公有信道m(xù)2’收到NAR發(fā)來的轉交地址及服務質量ID后，通過與NAR的私有通道發(fā)送加入請求，并附帶刪自己的信息，接著收到NAR批準MR加入的消息。于是MR發(fā)送中斷消息給PAR，否則返回失敗消息。

PAR模型：PAR(m1, m3)=m1(E(MR，Ask ForABI)). τ_kR.(m1＜E(NAR, kR)＞|

m3＜E(MR, AskForABI, KDP, kR)＞). m1(E(bye))+PAR＜fail＞

當PAR通過信道m(xù)1收到MR的消息及ABI請求后，便生成隨機密鑰kR，于是通過信道m(xù)1發(fā)送NAR的相關信息，及其與NAR會話的隨機密鑰。接著PAR作為中間轉發(fā)服務器轉發(fā)MR的外地認證的密鑰分配參數KDP，作為MR和NAR未來通信的密鑰，使用先前通過數字證書建立的和NAR共有的session密鑰kPAR_NAR加密轉發(fā)請求，將E(MR，AskForABI, KDP, kR)傳發(fā)到NAR。否則返回失敗消息。

NAR模型：NAR(m2, m2’m3)=m3(E(MR，Ask ForABI, KDP, kR)).τ_CoA.(m2(E(join, M))|

m4＜ E(MR, CoA, AAAH)＞).(m2＜ E(welcome，M)＞|m4＜ E(MR, CoA, AAAH)＞)+NAR＜fail＞

NAR收到信道m(xù)3發(fā)送過來的消息后，于是內部分配新的轉交地址。從信道m(xù)2收到請求加入消息的同時也向外部的AAA服務器發(fā)送MR?CoA?及AAAH的綁定請求的相關信息。通過信道m(xù)2發(fā)送批準加入消息的同時也收到了AAAF發(fā)回來的綁定確認消息，否則失敗。

AAAF模型：AAAF(m4)=m4(E(MR, CoA,AAAH)) .m4＜ E(MR, CoA, AAAH)＞+AAAF＜fail＞

收到NAR通過信道m(xù)4發(fā)來的綁定更新消息及返回的確認的消息。

對于一個既定的索賠事件，往往沒有一個預訂的、惟一確定的解決方法，它受限于雙方簽定的合同文件、各自的工程管理水平和索賠能力以及處理問題的公正性、合理性等因素。因此，索賠成功不僅需要令人信服的法律依據、充足的理由和正確的計算方法，而且索賠的策略、技巧和藝術也相當重要。

AAAH模型：AAAH(m5, m6)=m5(E(MR, CoA,AAAH)). τ_verify.m6＜access-accept＞+AAAH＜fail＞

從信道m(xù)5收到綁定更新時，通過信道m(xù)6通知MR的家鄉(xiāng)代理準入，否則返回失敗消息。

HA模型：HA(m6, m7)=m6(access-accept). m7＜BU_ABI＞+HA＜fail＞

當通過信道m(xù)6收到MR有權訪問的消息時，通過信道m(xù)7發(fā)送ABI綁定更新消息。

ARn模型：ARn(m7)=m7(BU_ABI)+AR＜fail＞

其通過信道m(xù)7收到ABI綁定更新消息。使用系統(tǒng)模型：System2≡MR(m, m1, m2, m2’)|PAR(m1,m3)|NAR(m2, m2', m3)|AAA(m4)|

綜合以上各組成部分，得到整個系統(tǒng)模型System2。

一致性證明是輸入系統(tǒng)模型，觀察其在各種常見模式下的約簡是否存在矛盾。使用UppSala大學開發(fā)的機器自動化驗證工具MWB (www.it.uu.Se/reSearch/group/mobility/mwb)，最終實現了system2的一致性證明。

弱模擬證明是觀測系統(tǒng)外在表現，從而討論不同協(xié)議之間交流的可能性。本文只討論觀察弱模擬，即對不可觀察的活動序列進行抽象，只考慮通道處定義的接收或發(fā)送活動，僅在外部跟蹤，其他活動都被視作內部活動。此時2個系統(tǒng)可以具有不同的內部結構和不同的內部行為，因此可以討論2個系統(tǒng)的接口兼容。

取相應的NEMO方案，將其π演算模型表示為System1[13]，設系統(tǒng)A和B的行為被形式化為進程Pa，如果可以表示為，則system2對于進程Pa可以弱模擬system1的功能。使用MWB可以驗證各進程下弱模擬system1成立。因此，在單純的NEMO環(huán)境中，ABI模型也可以工作。

4 開銷分析

4.1 路由開銷分析

本節(jié)先比較ABI方案與NEMO基本支持方案（BSP）的效率。BSP在通信初始化時，對于對端通信中心CN來說發(fā)起呼叫的開銷為

CCN_launch為對端通信中心發(fā)起ABI所經路徑的開銷。式(2)描述了對端通信中心向HA獲得關照地址后再向MS呼叫的過程。如果采用HA直接將呼叫請求轉交給MS的方案，則有

ABI方案顯著縮短了中轉時間。有如下定理。

定理1 發(fā)起呼叫的平均時間恒有

證明 設任意兩點A，B來回時間相等，即

CA→B=CA→B。對于式(2)的情況，CCN_launch=2CCN→HA+CCN→MS為方便比較，ABI采用CN→HA往返的形式。根據ABI策略，有

對于式(3)的情況，ABI采用CN→HA→MS的方式。在(1-γ)的概率下，先走直線距離，如果沒有獲取到ABI信息，則回轉家鄉(xiāng)通信中心獲得信息，此時實際上全部三邊都經過了。于是有

綜合2種情況，有CCN_launch_ABI-CCN_launch＜0即證畢。

如ABI方案維持對端通信中心的命中率為95%，此時對端通信中心的開銷是CCN→MS，僅有5%的概率是式(2)所描述的CCN_launch。于是發(fā)起呼叫的平均時間為

即一般會少走1.9倍對端通信中心→FR路徑(CCN→FR)。對于MS或者MR在切換過程的分析與之類似。三角路由其任意兩邊υ與第三邊γ之比的相對值在文獻[14]已經計算出E(υ/γ) =0.532 481 683 54，如γ=0.9左右，即大約節(jié)省一半的開銷。

4.2 ABI方案的信令開銷分析

渡輪中心的位置信息只需要在對端通信中心之間傳遞，無需擴散到整個骨干路由域上，ABI信息并不進入路由表，而是根據家鄉(xiāng)代理中節(jié)點數據庫傳送。設移動站MS到家鄉(xiāng)通信中心的信令包含自身轉交地址關照地址長度為bCoA和家鄉(xiāng)地址bHA，節(jié)點可能的最高速為Vmax，覆蓋范圍做最保守估計，不基于分層切換，每cell切換一次，cell取最小覆蓋范圍Dmin，則必須發(fā)送ABI位置信息時間間隔tABI＞Dmin/Vmax，于是ABI信息所占通信量為

ABI的額外信令(bCoA+bHA+bOther)一般不大于40B(320bit)， 倉儲物聯(lián)網節(jié)點可能的最高速為動車(394km/h)，取Vmax=394km/h≈109.4m/s；Wi-Fi的覆蓋范圍在3～5km，WiMAX最大在30～50km；取Dmin=3km；則所占用的帶寬為B＜11.68bit/s。選播發(fā)送數據分組(bCoA+bHA+bOther)n，n為對端數據中心個數，開銷不大于3.2kbit，只相當于一次傳輸。

對比常見的帶寬，語音通信為56kbit/s，壓縮語音通信為8～8.5kbit/s，為一般壓縮語音通信的0.001 374，即千分之一。GPRS平均網速為：移動57.6kbit/s，CDMA為156kbit/s，則為萬分之零點七到萬分之零點二。Wi-Fi網絡網速最低的802.11b的帶寬是11Mbit/s，為其百萬分之一。由此可知，ABI的信令開銷較小，傳送時還可以進行捎帶處理，不必專門傳輸?？梢院雎?。

5 仿真結果及分析

取DTNrg在dtnrg.org提供的DTN2和LTP代碼，植入NS2，得到本次試驗的平臺。傳感器共64個點，分8組，用星形連接到8個sink上，8個sink以環(huán)形聯(lián)入虛擬網絡，虛擬8個渡輪為根據調度靈活運動，虛擬圓環(huán)直徑100km，沿途用Wi-Fi小區(qū)不完全覆蓋，直徑為1km，站點數k=20，40，80，160，320(完全覆蓋)。渡輪速度50km/h，逆時針運動。設Wi-Fi網絡帶寬54Mbit/s，蜂窩網絡帶寬3.84Mbit/s，各類業(yè)務的到達時間服從泊松分布，用戶的到達相互獨立，sink的業(yè)務tp精確到0.1s。業(yè)務組合如下：從0到4類分別為50%，15%，15%，18%，2%；時長服從負指數分布，均值1/μ分別為3 000s，100s，200s，100s，200s；業(yè)務量為1kbit/s，22kbit/s，24kbit/s，26kbit/s，28kbit/s。每次實驗延續(xù)時間2 000s。資源預取，設命中率為0.85。在無線傳感器網絡部署NEMO方案，采用diameter安全驗證[12]進行對比實驗。均重復30次，取平均值。其結果如表1和圖2所示。

按文件的平均延遲tA，本方案整體優(yōu)于NEMO方案，中間站點數k=40、80、160(對應于覆蓋率約在0.125、0.25、0.5)時，本方案尤為突出。而在k=320(對應站點全面普遍覆蓋的情況下)，因為傳輸速度較快而負載沒飽和，2種方案相差無幾。在k=20時(對應覆蓋率為0.062，站點極少)，由于預先準備贏得時間相對總體傳輸時間的相對值較小，因此2種方案也相差不大。此外本方案標準偏差普遍偏高，這應該是由于本方案上下文如果預取成功則比info方案延遲小，如果預取不成功，則比NEMO方案要大，因此總體波動比較大。

表1 與NEMO對比實驗結果

實驗還探討了方案的最小延時與資源預留集數MSPEC的關系。當最小延時td增加，MSPEC的平均數也增加，如圖2所示。當td＜0.3s時，MSPEC劇增，這是因為方案采用提前量進行ABI信息移交，增加了MSPEC的不確定性所致。在td=1.1s之后，該不確定性達到飽和，MSPEC變化不大。由于最小延時td與平均延時tA存在正線性相關關系，因此本方案有效地節(jié)省了資源預留所占用的資源。

圖2 最小延時td對平均MSPEC數的影響

6 結束語

本文提出支持實時大數據量傳輸的移動網絡安全預接入方案。通過將AAA安全認證和安全關聯(lián)消息分段轉移；從而明顯降低了網絡延遲，信令增加極小，也可用于實時大數據量傳輸的其他移動網絡場景。方案使用π演算建模，能夠保證與MIPv6的接入安全機制兼容。下一步工作是當眾多節(jié)點競爭預接入方案的上下文轉移服務時，設計效用函數，由其決定安全關聯(lián)轉移的先后順序。

[1] LIU X, SUN Y. Information flow management of vendor-managed inventory system in automobile parts inbound logistics based on internet of things[J]. Journal of Software, 2011, 6(7): 1374-1380.

[2] MIRAZ G M, RUIZ I L, GóMEZ-NIETO M. University of things:applications of near field communication technology in university environments[J]. Journal of E-working, 2009, 3(1): 52-64.

[3] MALEKIAN R, ABDULLAH A H, SAEED R A. A cross-layer scheme for resource reservation based on multi-protocol label switching over mobile IP version6[J]. International Journal of the Physical Sciences, 2011, 6(11): 2710-2717.

[4] XIE D L, WANG F H. A self-adjustment QoS architecture for wireless sensor networks[J]. The Journal of China Universities of Posts and Telecommunications. 2010, 17(32): 79-83.

[5] AYUB Q, RASHID S, ZAHID M S M. Optimization of epidemic router by new forwarding queue mode TSMF[J]. International Journal of Computer Applications IJCA, 2010, 7(11): 5-8.

[6] CHEN J L. A survey of trust management in WSNS, internet of things and future internet[J]. KSII Transactions on Internet and Information Systems (TIIS), 2012, 6(1): 5-23.

[7] ASGHAR J, HOOD I, LE Faucheur F. Preserving video quality in IPTV networks[J]. IEEE Transactions on Broadcasting. 2009, 22(12):15-27.

[8] 周靈, 王建新. 無線多媒體傳感器網絡路由協(xié)議研究[J]. 電子學報.2011,39 (1): 149-156 ZHOU L,WANG J X. Research on routing protocol in wireless multimedia sensor network[J] Acta Electronica Sinica, 2011, 39 (1):149-156.

[9] López T S, BRINTRUP A, ISENBERG M A. etal. Resource management in the internet of things: clustering, synchronisation and software agents[A]. In: Architecting the Internet of Things [M]. Verlag New York Inc: Springer: 2011.

[10] MATRON M, CANTINAS M. Car: context-aware adaptive routing for delay tolerant mobile networks[J]. IEEE Trans. on Mobile Computing,2009, 8(2): 246-260.

[11] JANG H J, HAN Y H, JEE J, etal. Mobile IPv6 Fast Handovers over IEEE 802.16 e Networks[S]. IEEE RFC5270. 2008.

[12] BOURNELLE J, GIARETTA G, NAKHJIRI M, etal. Diameter Mobile IPv6: Support for Home Agent to Diameter Server Interaction[S].IETF RFC 5778: 2010.1

[13] ROSA-VELARDO F, MARROQUIN-ALONSO O, DE FRUTOSESCRIG D. Mobile synchronizing petri nets: a choreographic approach for coordination in ubiquitous systems[J]. Electronic Notes in Theoretical Computer Science, 2006, 150(1): 103-126.

[14] 張永暉. 基于用戶行為的下一代移動互聯(lián)網絡若干關鍵問題的研究[D].長沙: 中南大學, 2010.ZHANG Y H. Key Technologies Research of Next Generation Mobile Internet Based on User Behavior[D]. Changsha: Central- South U., 2010.