基于海上無線網(wǎng)絡(luò)的安全身份認證技術(shù)研究*

趙　彥

(中國船舶工業(yè)綜合技術(shù)經(jīng)濟研究院　北京　100081)

?

基于海上無線網(wǎng)絡(luò)的安全身份認證技術(shù)研究*

趙彥

(中國船舶工業(yè)綜合技術(shù)經(jīng)濟研究院北京100081)

以海上復(fù)雜網(wǎng)絡(luò)的信息安全為背景，提出了一種基于海上無線網(wǎng)絡(luò)的安全身份認證方法。針對海戰(zhàn)場通信網(wǎng)絡(luò)對身份認證的需求問題，分析了不同信任域條件下的集成身份認證機制，設(shè)計了一套安全身份認證流程。在此基礎(chǔ)上提出了一種基于無線異構(gòu)移動安全環(huán)境的集成身份認證模型，為保障復(fù)雜海上戰(zhàn)場的網(wǎng)絡(luò)環(huán)境安全提供技術(shù)支撐。

身份認證;海上無線網(wǎng)絡(luò)

Class NumberTP393

1　引言

海上通信網(wǎng)絡(luò)是復(fù)雜的無線異構(gòu)網(wǎng)絡(luò)，是以艦船為信息處理節(jié)點終端，艦船之間、艦隊與艦隊之間、艦隊與協(xié)同指揮中心之間構(gòu)成了一個業(yè)務(wù)邏輯上分層多級的通信網(wǎng)絡(luò)[1～2]，物理鏈路上按照地理分布，以Ad-hoc提供網(wǎng)絡(luò)接入，組成集成各種分布式資源節(jié)點的網(wǎng)格。在海上無線環(huán)境中，必須杜絕非法用戶的侵入和信息破壞?；诤Ｉ蠠o線異構(gòu)移動環(huán)境的安全身份認證技術(shù)研究，是保障復(fù)雜海上戰(zhàn)場網(wǎng)絡(luò)環(huán)境下信息安全的基礎(chǔ)性研究。

2　海戰(zhàn)場通信網(wǎng)絡(luò)對身份認證的需求

海上無線網(wǎng)絡(luò)在安全方面的要求包括：

1)應(yīng)對物理威脅，無線路由器可能被獲得并使用，這容易造成攻擊者對無線路由器的攻擊，如修改路由器中的信息，竊取路由器中用于認證的對稱密鑰或公私鑰對，或者用非法的無線路由器替換合法的。所以必須設(shè)計安全的路由協(xié)議以對抗針對路由協(xié)議的攻擊。

2)信任機制，必須研究信任與信任域，使得作戰(zhàn)信息網(wǎng)格中的主體能夠安全地使用資源、行使任務(wù)執(zhí)行職權(quán)，并支持范圍約束內(nèi)的擴展服務(wù)。

3)通信安全，作戰(zhàn)業(yè)務(wù)資源本身需要提供通信保護，以保障業(yè)務(wù)信息的完整性，防止和主體假冒和數(shù)據(jù)泄密。

4)認證與委托，由于海戰(zhàn)場業(yè)務(wù)的分布性，需要系統(tǒng)支持多種認證方式和委托方式，并提供層次化、區(qū)域化的資源使用權(quán)限。該權(quán)限直接關(guān)系到任務(wù)層面的信任，更是信任機制的基礎(chǔ)。

海戰(zhàn)場通信網(wǎng)絡(luò)安全模型核心是建立信任機制，信任機制的核心之一是身份認證。其中身份認證整個系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1　身份認證系統(tǒng)結(jié)構(gòu)

其中各單平臺內(nèi)需有內(nèi)部認證服務(wù)器作為認證統(tǒng)一處理設(shè)備，經(jīng)過信息加密后實現(xiàn)與無線網(wǎng)絡(luò)的接入。而作為信任域內(nèi)認證服務(wù)器可以是物理存在的平臺節(jié)點(通常為編隊指揮節(jié)點)，也可以是作為各協(xié)同節(jié)點內(nèi)的外部認證模型載體，即當為平臺對等協(xié)同狀態(tài)下，身份認證將以各獨立節(jié)點為中心，自己完成信任域內(nèi)的實體信任和行為信任的建立工作。而編隊與編隊間的身份認證(跨信任域)將類似信任域互聯(lián)和組織的結(jié)構(gòu)，編隊內(nèi)有內(nèi)部認證服務(wù)器，對外有虛擬的服務(wù)中心(其建立在特定的實體平臺上，也可由某個認證服務(wù)器兼任)，完成認證申請與來自外部認證申請審查工作，并進行身份分配和行為分配，從而確保樹狀層次化的身份認證結(jié)構(gòu)。

海戰(zhàn)場通信網(wǎng)絡(luò)體系結(jié)構(gòu)特點以及網(wǎng)絡(luò)安全要求決定了對身份認證有如下的要求：

1)身份認證必須符合海戰(zhàn)場網(wǎng)絡(luò)體系結(jié)構(gòu)的特點，提供分層、分級的身份認證，實現(xiàn)實體信任機制。

2)身份認證必須提供身份識別，以及任務(wù)執(zhí)行合法性、資源請求合法性的判別，實現(xiàn)行為信任機制。

3)身份認證需要提供與身份相符的授權(quán)，以便于授信節(jié)點提供符合權(quán)限的服務(wù)。

4)身份認證需要提供多種方式，以便于作戰(zhàn)人員的使用。

5)身份認證必須簡潔、快速、安全，減少不必要的網(wǎng)絡(luò)通信。

6)身份認證必須能夠提供信息加密方式，以保證身份認證信息在網(wǎng)絡(luò)或本地計算機上不被竊取。

3　海上無線異構(gòu)移動安全網(wǎng)絡(luò)的集成身份認證機制

根據(jù)海上無線異構(gòu)安全網(wǎng)絡(luò)環(huán)境下身份認證的需求與其特殊性，結(jié)合網(wǎng)絡(luò)安全模型和體系結(jié)構(gòu)，需構(gòu)建多樣性多層次的身份認證機制。

3.1集成身份認證機制

海上身份認證的核心是為了解決艦船實體之間相互信任的問題。海上通信網(wǎng)絡(luò)按照地域分布和海上任務(wù)，可劃分成為不同的信任域，通常這種信任域是以海上編隊為單位。集成身份認證模型包含了信任域內(nèi)身份認證和跨信任域的身份認證[3～7]。

3.1.1信任域內(nèi)身份認證機制

信任域內(nèi)的身份認證通常以交換可識別的信息作為基礎(chǔ)，并與各自預(yù)先可獲知的信息進行比對，以完成應(yīng)用層面的身份識別。身份識別后將建立實體信任關(guān)聯(lián)并將該關(guān)聯(lián)以特殊標識進行定義，同時，給該實體信任關(guān)聯(lián)給予特定存活時限，保證安全性。在時限內(nèi)的實體信任將可維持正常的信息交互，并降低交互成本。

在實體信任的基礎(chǔ)上，還需要進行面向作戰(zhàn)資源與任務(wù)的行為信任建立工作。包括對任務(wù)和資源信息的集中定義和分配，并與獲得的實體信息進行匹配，形成行為映射表，最終按映射表定義關(guān)系進行行為驗證，保證具體作戰(zhàn)過程的身份認證?；玖鞒倘鐖D2所示。

圖2　信任域內(nèi)的身份認證基本流程

首先，通過對請求身份認證的節(jié)點進行軟硬件標識識別，避免非法的軟硬件資源連接到網(wǎng)絡(luò)路由，從而建立一定程度可信的通信鏈路，然后，與身份驗證服務(wù)器連接，進行識別和認定身份，完成實體信任。在節(jié)點執(zhí)行任務(wù)時，還要經(jīng)過認證服務(wù)，將任務(wù)與資源鏈接，通過與之匹配的權(quán)限，進行行為驗證和認定，從而，完成行為信任過程。

首先，在單艦上需要部署認證服務(wù)器(AS)，以實現(xiàn)認證任務(wù)處理。其次，認證服務(wù)器上應(yīng)建立并保留作戰(zhàn)實體身份信息列表、作戰(zhàn)任務(wù)列表、作戰(zhàn)實體與作戰(zhàn)任務(wù)關(guān)系表、作戰(zhàn)資源實體表、作戰(zhàn)任務(wù)與作戰(zhàn)資源關(guān)系表。最后，在認證過程中將調(diào)取相應(yīng)的表，執(zhí)行嚴格的流程并實現(xiàn)動態(tài)身份認證。具體的內(nèi)部信息以及可共享/預(yù)知的身份信息設(shè)計如圖3所示。

圖3　身份信息設(shè)計圖

實體身份信息存儲了作戰(zhàn)實體的唯一標識、作戰(zhàn)實體的類型、作戰(zhàn)實體的授權(quán)信息。作戰(zhàn)任務(wù)列表包含了該艦?zāi)軌驁?zhí)行的任務(wù)信息。作戰(zhàn)資源實體表描述了本艦的作戰(zhàn)資源實力。實體與作戰(zhàn)任務(wù)關(guān)系表描述了在當前實體授信范圍內(nèi)可執(zhí)行的任務(wù)。作戰(zhàn)任務(wù)與作戰(zhàn)資源關(guān)系表描述了各個類型和各級別的任務(wù)能夠使用的資源范圍。

3.1.2跨信任域內(nèi)身份認證機制

跨信任域內(nèi)身份認證與信任域內(nèi)身份認證不一樣的地方在于其身份識別采用的技術(shù)與信任域內(nèi)身份識別不同，包括建立各自的虛擬認證服務(wù)中心，統(tǒng)一調(diào)配以本信任域內(nèi)的行為信任驗證過程，完成交叉認證過程。

圖4　跨信任域內(nèi)身份認證示意圖

另外，信任域內(nèi)身份認證通過身份識別后建立的通信鏈接是常態(tài)存在的，跨信任域內(nèi)身份認證通過身份識別建立的通信鏈接是按照請求建立的臨時通信，只具有一定時限的可信資格。在時限內(nèi)實體間信任可支持信息的互通，而時限通常是以完成特定任務(wù)為目標，具體設(shè)定值由雙方約定。而跨信任域內(nèi)的身份認證將圍繞特定任務(wù)和資源調(diào)用，其行為信任驗證實現(xiàn)過程合并實體信任驗證過程一起進行。

跨信任域內(nèi)身份認證的流程除了上述差異外，其流程基本相同。

3.2安全身份認證流程

3.2.1信任域內(nèi)身份認證流程

具體的身份認證流程如圖5所示。

圖5　信任域內(nèi)身份認證的具體流程

1)作戰(zhàn)實體發(fā)出身份識別請求，認證服務(wù)器完成身份識別。

2)認證服務(wù)器將根據(jù)作戰(zhàn)實體身份信息保留在實體身份信息表中。為該作戰(zhàn)實體建立可信鏈接，根據(jù)作戰(zhàn)實體的授信，分配符合授信的通信鏈路。這樣在整個信任域內(nèi)建立實體信任。

3)當作戰(zhàn)實體提出作戰(zhàn)任務(wù)請求時，認證服務(wù)器根據(jù)作戰(zhàn)實體類型及授信，通過作戰(zhàn)實體與任務(wù)關(guān)系表對該作戰(zhàn)實體進行任務(wù)合法性判別。當任務(wù)合法性判別通過，再根據(jù)作戰(zhàn)任務(wù)級別等信息，通過作戰(zhàn)任務(wù)與作戰(zhàn)資源關(guān)系表為作戰(zhàn)實體分配資源使用權(quán)限，并建立資源使用的時限以及安全閾值。

4)當作戰(zhàn)實體執(zhí)行任務(wù)時，認證服務(wù)器根據(jù)上一步分配的資源使用權(quán)限進行資源使用合法性判別。當超過資源使用的時限，需要重新提交任務(wù)請求。而當超過閾值，認證服務(wù)器將自動關(guān)閉對該作戰(zhàn)實體的授信服務(wù)，并提交安全警報。

3.2.2跨信任域內(nèi)身份認證流程

具體的身份認證流程如圖6所示。

圖6　跨信任域內(nèi)身份認證的具體流程

在跨艦艇信任域內(nèi)進行身份認證時，首先應(yīng)該進行平臺的身份識別。其識別過程與第一步相同。在作戰(zhàn)實體進行跨艦艇任務(wù)請求時，重復(fù)上述流程，只是其認證服務(wù)器應(yīng)該是目標艦艇的認證服務(wù)器。同時，作戰(zhàn)實體的授信等級應(yīng)該不高于艦艇平臺的授信等級。

需要注意的是，在信任域內(nèi)經(jīng)過身份認證后的作戰(zhàn)實體，在整個信任域內(nèi)均是可信作戰(zhàn)實體。實際上，信任域內(nèi)各艦之間的認證服務(wù)器共同構(gòu)成了一個分布式的認證體系。而跨信任域身份認證與信任域身份認證過程有兩個活動相對特殊，其一是信任時限的生成與確定；其二是分立式認證ID與任務(wù)時限的關(guān)聯(lián)，并建立任務(wù)、資源與信任身份的映射。

4　無線異構(gòu)移動安全環(huán)境的集成身份認證模型

4.1集成身份認證技術(shù)分析

從海上無線網(wǎng)絡(luò)集成身份認證的實現(xiàn)來看，需要一系列的身份認證協(xié)議棧來支持和滿足不同環(huán)境、不同狀態(tài)、不同業(yè)務(wù)的需要。其協(xié)議棧如下圖所示。

圖7中，物理層接入點(PHY SAP)是協(xié)議棧與物理層的接口；數(shù)據(jù)流加密認證過程負責數(shù)據(jù)消息的加密解密和完整性認證處理；控制消息處理和消息認證過程負責處理控制消息的認證和控制；PKM控制管理用于控制和管理所有的安全單元；授權(quán)控制負責控制授權(quán)密鑰狀態(tài)機；安全關(guān)聯(lián)控制負責控制多個流加密密鑰狀態(tài)機； EAP封裝解封裝，作為PKM與EAP層的接口，負責PKM基于EAP的認證；RSA認證負責PKM基于RSA的認證。

圖7　集成身份認證的協(xié)議棧

4.2信任域內(nèi)身份認證技術(shù)

信任域內(nèi)身份認證采用集中認證方式，該方式下認證過程包括實體信任實施過程和行為信任實施過程。該集中實體信任實施過程主要采用是IEEE 關(guān)于局域網(wǎng)絡(luò)訪問控制的標準802.1x。行為信任過程則采用應(yīng)用層的設(shè)定和任務(wù)、資源動態(tài)分配映射技術(shù)[8～9]。

1)實體信任實施過程

802.1x 是一個標準，它使用的主要協(xié)議則是基于一個 IETF定義的叫 EAP(可擴展認證協(xié)議)的協(xié)議。EAP是一個可擴展的協(xié)議框架，具體的 EAP 協(xié)議則可以有很多種，例如 EAP-TLS,EAP-TTLS,PEAP等。當進行 802.1x/EAP 認證時，在客戶端和 AP 間運行的就是 EAPOL 協(xié)議，而在 AP 和認證服務(wù)器之間運行的是RADIUS協(xié)議。

具體流程如圖8所示。圖中，AS為認證服務(wù)器；AP為無線接入點設(shè)備；STA為站點；EAPOL為局域網(wǎng)可擴展認證協(xié)議。

(1)客戶端(即申請者)發(fā)出EAPOL開始消息發(fā)起認證過程；

(2)AP發(fā)出請求幀，要求客戶輸入用戶名；

(3)客戶機響應(yīng)請求，將自己的用戶名信息通過數(shù)據(jù)幀發(fā)送給AP；

圖8　實體信任實施具體流程

(4)AP將客戶的用戶名信息重新封裝成RADIUS.AccessRequest包發(fā)送給服務(wù)器；

(5)RADIUS服務(wù)器驗證用戶名合法后客戶機發(fā)送自己的數(shù)字證書；

(6)客戶機通過證書驗證服務(wù)器的身份；

(7)客戶機給服務(wù)器發(fā)送自己的數(shù)字證書；

(8)服務(wù)器通過證書驗證客戶身份，完成相互認證；

(9)在相互認證的過程中，客戶機和服務(wù)器通過四次握手也獲得了主會話密鑰Master—Session—Key；

(10)認證成功，RADIUS服務(wù)器向AP發(fā)送RADIUS.ACCEPT消息，其中包括密鑰信息；

(11)AP向客戶機轉(zhuǎn)發(fā)EAPOL Success消息，認證成功。

在上述過程中，四次握手協(xié)議是密鑰管理系統(tǒng)中最主要的步驟，主要目的是確定申請者和認證者得到的PMK(主密鑰)是相同的，并且是最新的，以保證可以獲得最新的PTK，其中PMK是在認證結(jié)束時，由STA和AP協(xié)商生成的。PTK可以由AP定時更新，也可以在不改變PMK的情況下由STA發(fā)出初始化四次握手的請求。申請者和認證者之間的密鑰協(xié)商所傳遞的信息，都是采用EAPOL-Key進行封裝的。四次握手過程如圖9。

圖9　四次握手過程示意圖

(1)消息1：認證者發(fā)送EAPOL-Key消息，其中包括ANonce。

(2)消息2：申請者由ANonce和SNonce產(chǎn)生PTK，發(fā)送EAPOL-Key消息，包含SNonce和MIC。

(3)消息3：認證者由ANonce和SNonce產(chǎn)生PTK，并且對MIC做校驗，發(fā)送EAPOL-Key消息，其中包括ANonce、MIC以及是否安裝加密/整體性密鑰。

(4)消息4：申請者發(fā)送EAPOL-Key消息，確認密鑰已經(jīng)安裝。

通過上述過程，實現(xiàn)STA與信任域的雙向認證，確?？尚诺腟TA鏈接到正確的信任域。

2)行為信任實施過程

在實體信任完成后，將實施行為信任過程，具體實現(xiàn)如圖10所示。

具體包含如下消息：

(1)消息1：申請者發(fā)送身份認證開始消息，其中包括已確定的初步身份ID。

(2)消息2：申請者由本身的ID產(chǎn)生任務(wù)和資源信息，發(fā)送行為級消息，包含任務(wù)ID和資源ID。

(3)消息3：認證者由行為級消息以及收到的任務(wù)ID和資源ID產(chǎn)生最終的身份ID，并且對其進行整體性密鑰包裝。

(4)消息4：申請者發(fā)送確認消息，確認身份驗證完成，密鑰通過。

4.3跨信任域內(nèi)身份認證技術(shù)

跨信任域身份認證，需要使用分布式認證模型，采用分布式 IEEE 802.1x認證機制時，MP將如圖11所示建立握手。

圖10　行為信任實施示意圖

圖11　跨信任域內(nèi)身份認證握手過程示意圖

MP Mesh節(jié)點說明：

1)從對等體的信標和探測回復(fù)幀，鑒別出一個對等的 MP作為能夠建立握手。

2)可能引入開放式系統(tǒng)認證。

3)每一格 MP都使用 IEEE 802.1x 來與AS進行認證，這些 AS是與其它 MP的認證方相聯(lián)系的。

4)每個 MP 的 SME 通過執(zhí)行一個密鑰管理算法建立臨時的密鑰，使用在 802.11 中定義的協(xié)議。因此兩個這樣的密鑰管理算法都獨立發(fā)生在任何兩個申請者 MP 和認證方 MP中。

5)MP雙方都是用從一次交換中得來的成對瞬時密鑰(Pairwise Transient Key,PTK)的臨時決定密鑰部分和成對密碼對來保護連接的。每個MP使用由它發(fā)起的交換中所建立的GTK來保護它自己傳輸?shù)亩嗖ズ蛷V播幀。

6)任一個Mesh AP，它都能為STA認證。

在集中式認證中，由于CA的強勢存在，使得信任問題相對簡化。節(jié)點只需判斷出自身是否信任這唯一 CA簽發(fā)的證書即可。而在分布式系統(tǒng)中，信任關(guān)系就會變得復(fù)雜得多，別是在全局 CA 缺失的情況中。需要結(jié)合海戰(zhàn)場作戰(zhàn)網(wǎng)絡(luò)的特點，實施可行的分布式信任模型。

4.4分布式信任技術(shù)

按照集成身份認證業(yè)務(wù)模型來看，其跨信任域的認證結(jié)構(gòu)形成了一種分布式的網(wǎng)絡(luò)結(jié)構(gòu)[10～11]。而這種結(jié)構(gòu)，由于海戰(zhàn)場作戰(zhàn)網(wǎng)絡(luò)的特殊環(huán)境，其信任實現(xiàn)與傳統(tǒng)信任存在較大差異。具體來說：

1)基礎(chǔ)設(shè)施：傳統(tǒng)信任依賴固定的可信基礎(chǔ)設(shè)施如 CA 中心、目錄服務(wù)器等，這些服務(wù)必須在線提供，任何實體在需要的時候總能連通到服務(wù)器。相反的，在海上網(wǎng)絡(luò)中，或者根本沒有 CA中心和目錄服務(wù)器，或者即使存在，但由于無線網(wǎng)不能保證網(wǎng)絡(luò)的連通性，它們并不總是可達的，相互通信的節(jié)點隨時都可能與存儲證書的目錄服務(wù)器斷開。因此，海戰(zhàn)場網(wǎng)絡(luò)不能過分依賴存儲在目錄服務(wù)器中的證書來建立信任關(guān)系。

2)關(guān)系期限：在傳統(tǒng)信任中建立起來的信任關(guān)系是長期和穩(wěn)定的。相反的，在海上網(wǎng)絡(luò)中，很少存在穩(wěn)定而長期的信任證據(jù)。無線節(jié)點的安全性取決于它的位置，不能預(yù)先確定。因此，海上網(wǎng)絡(luò)中的信任關(guān)系是短期的、變化的，經(jīng)常需要重新搜集和評估信任證據(jù)來建立新的信任關(guān)系。在無線 mesh 網(wǎng)中，兩個移動的節(jié)點可能只有很短的時間交換信息，搜集和評估信任證據(jù)的過程必須足夠快。對時間的要求決定了無線自組網(wǎng)中只能依據(jù)在線證據(jù)來建立信任關(guān)系。

3)證據(jù)完整性：傳統(tǒng)信任中不會由于連接失敗而導(dǎo)致某些信任關(guān)系長時間不可用。通信鏈路、路由器、服務(wù)器的冗余性保證了網(wǎng)絡(luò)的連通性。因此，可以假設(shè)任何用于建立信任的證據(jù)在需要的時候都是可用的。而在無線 mesh 網(wǎng)中，節(jié)點之間的連通性不能得到保證，不能假設(shè)信任證據(jù)在需要的時候總是可用的，有時只能依據(jù)不完整的和非確定的證據(jù)來建立信任關(guān)系。

因此，可采用橋式模型來進行分布式認證，解決上述問題。具體如圖12所示。

在該結(jié)構(gòu)中，每一套獨立的CA體系部與一個處于中心地位的橋CA進行交叉認證，橋CA只是一個中介，它不是一個樹狀結(jié)構(gòu)的根CA，而是作為

交叉認證的中介，它與不同的信任域之間建立對等的信任關(guān)系，允許用戶保留他們自己的原始信任點，具有更高的可擴展性，信任域的擴展非常容易，且不受數(shù)量限制等優(yōu)點。其主要特點為

1)安全風(fēng)險被分散到各個認證機構(gòu)中。

2)連接的各個獨立CA體系可以是任何傳統(tǒng)類型的信任模型。

3)橋CA需要利用證書信息來限制不同信任域PKI的信任關(guān)系，會導(dǎo)致證書處理的復(fù)雜度增加。

圖12　分布式認證的橋式模型

5　結(jié)語

本文針對海戰(zhàn)場通信網(wǎng)絡(luò)對身份認證的需求問題，提出了一種基于海上無線網(wǎng)絡(luò)的安全身份認證方法。圍繞信任域內(nèi)與跨信任域兩個角度，重點分析了集成身份認證機制，設(shè)計了安全身份認證流程。根據(jù)不同信任域的認證結(jié)構(gòu)，提出了相應(yīng)身份認證模型，為提高海上無線異構(gòu)網(wǎng)絡(luò)的整體安全性提供技術(shù)支撐。

[1]N.B.Salem and J-P Hubaux.Securing Wireless Mesh Network[J].IEEE.Wireless Communication,2006,13(2):51-55.

[2]Dae-Hee Seo,Im-Yeong Lee.Single Sign-on Authentication Model Using MAS(Multi agent System)[J].Communications,Computers and Signal Processing,2003(2):692-695.

[3]張昌宏,麻旻,朱婷婷,等.基于IBE的無線網(wǎng)絡(luò)身份認證模型研究[J].計算機與數(shù)字工程,2010,38(8):165-167.

[4]Caimu T,Oliver W.Mobile privacy in wireless network revisited[J].IEEE Transactions on Wireless Communication,2008,7(3):1035-1041.

[5]李金庫,張德運,張勇.身份認證機制研究及其安全性分析[J].計算機應(yīng)用研究,2001(1):126-128.

[6]H.Xie,J.Zhao.A lightweight identity authentication method by exploiting network covert channel[J].Networking and Applications,2014,8(6):1-10

[7]L.Xiao,L.Greenstein and N.Mandayam,et al.Using the physical layer for wireless authentication in time-variant channels[J].IEEE Trans.Wireless Communication,2008,7(7):2571-2579.

[8]周賢偉,劉寧,覃伯平.IEEE802.1x協(xié)議認證機制及其改進[J].計算機應(yīng)用,2007,26(12):2894-2896.

[9]C.Wang,Z.Huang,E.Peng.On the unified authentication technology of network token[J].Energy Procedia,2012,17:1476-1481.

[10]T.Miyake,S.Suzuki,et al.Efficiency of authentication network construction on organization LAN[J].Leice technical report office information systems,2009,108:19-24.

[11]Boneh D,Franklin M.Identity-Based encryption from the Weil pairing[C]//Lecture Notes in Computer Science 2139.Berlin:Springer-Verlag,2001:213-229.

Technology of Security Authentication Based on Marine Wireless Networks

ZHAO Yan

(China Institute of Marine Technology &Economy,Beijing100081)

This paper puts forward a method of security authentication based on marine wireless networks under the background of information security in marine complex network.A consolidated authentication mechanism is analyzed under the conditions of different trusted domains.A set of security authentication is also designed.On the basis,a model of integration authentication is put forward based on wireless heterogeneous mobile security environment.The technical support is provided for ensuring the network environment security of complex sea battlefield.

authentication,marine wireless networks

2016年3月8日,

2016年9月17日

趙彥，女，高級工程師，研究方向：信息安全、網(wǎng)絡(luò)系統(tǒng)測評。

TP393DOI：10.3969/j.issn.1672-9730.2016.09.021