裝備保障信息網(wǎng)絡(luò)身份認(rèn)證體系研究

盧昱 晏杰 陳立云 陳興凱 連云峰

1.軍械工程學(xué)院裝備指揮與管理系河北石家莊050003 2.軍械工程學(xué)院信息工程系河北石家莊050003

裝備保障信息網(wǎng)絡(luò)是實(shí)現(xiàn)裝備保障信息化建設(shè)的基礎(chǔ)，是信息時(shí)代裝備保障信息資源成為重要的戰(zhàn)略資源后發(fā)展起來(lái)的新型網(wǎng)絡(luò)，是對(duì)裝備保障活動(dòng)主體及相關(guān)客體的信息實(shí)現(xiàn)實(shí)時(shí)反應(yīng)的網(wǎng)絡(luò)[1].隨著我軍裝備保障信息網(wǎng)絡(luò)的建設(shè)和發(fā)展，它已成為承載裝備保障業(yè)務(wù)的重要基礎(chǔ)設(shè)施.但是，裝備保障信息網(wǎng)絡(luò)提供的能力必須建立在網(wǎng)絡(luò)安全的基礎(chǔ)之上.身份認(rèn)證可以對(duì)抗假冒攻擊，是重要的網(wǎng)絡(luò)安全服務(wù)之一[2?3].身份認(rèn)證是證實(shí)對(duì)象身份的過(guò)程，即驗(yàn)證者檢驗(yàn)一個(gè)實(shí)體是否為符合某種條件的實(shí)體.在裝備保障信息網(wǎng)絡(luò)中，身份認(rèn)證主要指對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)、人員(用戶)、物資或射頻識(shí)別(Radio Frequency Identificatio，RFID)標(biāo)簽的身份認(rèn)證.目前，對(duì)裝備保障信息網(wǎng)絡(luò)身份認(rèn)證的研究還較少，本文將從裝備保障信息網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)及特點(diǎn)入手，構(gòu)建裝備保障信息網(wǎng)絡(luò)的身份認(rèn)證體系，為裝備保障信息網(wǎng)絡(luò)身份認(rèn)證的研究構(gòu)建總體框架.

1 裝備保障信息網(wǎng)絡(luò)概述

裝備保障信息網(wǎng)絡(luò)是指能夠執(zhí)行全部裝備保障信息功能的網(wǎng)絡(luò)，其功能具體包括裝備保障的信息獲取、信息傳輸、信息處理和信息執(zhí)行等.在信息化戰(zhàn)爭(zhēng)中，裝備保障信息網(wǎng)絡(luò)的一個(gè)重要作用就是將戰(zhàn)場(chǎng)中的裝備保障信息采集系統(tǒng)、裝備保障指揮控制系統(tǒng)以及各保障裝備系統(tǒng)連接起來(lái)，形成一個(gè)以裝備保障信息環(huán)境為依托，以信息化保障裝備和裝備保障指揮控制系統(tǒng)為支撐，能夠?qū)崿F(xiàn)各類裝備保障信息資源的實(shí)時(shí)共享，以支持裝備保障指揮人員和作業(yè)人員信息活動(dòng)的信息網(wǎng)絡(luò)[1].

裝備保障信息網(wǎng)絡(luò)承載的裝備保障總體業(yè)務(wù)流程為：各作戰(zhàn)分隊(duì)向裝備指揮所上報(bào)戰(zhàn)損情況，裝備指揮所根據(jù)接收到的戰(zhàn)損情況向維修分隊(duì)、器材倉(cāng)庫(kù)和彈藥倉(cāng)庫(kù)下達(dá)對(duì)作戰(zhàn)分隊(duì)實(shí)施保障的命令，維修分隊(duì)、器材倉(cāng)庫(kù)和彈藥倉(cāng)庫(kù)根據(jù)接收到的命令派遣保障單元對(duì)作戰(zhàn)分隊(duì)實(shí)施保障.根據(jù)裝備保障的業(yè)務(wù)流程和裝備保障信息網(wǎng)絡(luò)的組網(wǎng)方式，得到裝備保障信息網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示.

根據(jù)裝備保障信息網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)和組網(wǎng)方式，裝備保障信息網(wǎng)絡(luò)是基于電臺(tái)的無(wú)線移動(dòng)自組網(wǎng)、基于衛(wèi)星的移動(dòng)通信網(wǎng)、RFID系統(tǒng)等在戰(zhàn)場(chǎng)裝備保障業(yè)務(wù)中的一種組合應(yīng)用.因此，它既具有無(wú)線移動(dòng)自組網(wǎng)、衛(wèi)星移動(dòng)通信網(wǎng)、射頻識(shí)別系統(tǒng)的一般特點(diǎn)，又具有由戰(zhàn)場(chǎng)裝備保障業(yè)務(wù)所決定的獨(dú)有特點(diǎn).根據(jù)上述分析，裝備保障信息網(wǎng)絡(luò)具有如下一些一般特點(diǎn).

1)獨(dú)立自組的組網(wǎng)方式.裝備保障信息網(wǎng)絡(luò)中的許多子網(wǎng)具有獨(dú)立組網(wǎng)能力，即網(wǎng)絡(luò)的布設(shè)不需要依賴于預(yù)先建設(shè)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，而是采用無(wú)中心、自組織路由策略，具有一定的獨(dú)立性.

2)動(dòng)態(tài)變化的拓?fù)浣Y(jié)構(gòu).在裝備保障信息網(wǎng)絡(luò)中，許多網(wǎng)絡(luò)節(jié)點(diǎn)經(jīng)常移動(dòng)，節(jié)點(diǎn)經(jīng)常在開(kāi)機(jī)狀態(tài)和關(guān)機(jī)狀態(tài)間切換，網(wǎng)絡(luò)中的無(wú)線信道可能會(huì)相互干擾，地形地物可能對(duì)節(jié)點(diǎn)之間的無(wú)線通信產(chǎn)生影響，這些都可能使得網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)隨時(shí)發(fā)生變化.

3)較小的傳輸帶寬.在裝備保障信息網(wǎng)絡(luò)中，大部分節(jié)點(diǎn)之間的通信通過(guò)無(wú)線信道完成，而無(wú)線信道自身的物理特性使其提供的帶寬小于有線信道提供的帶寬.

4)節(jié)點(diǎn)資源(CPU、存儲(chǔ)器等)受限.在裝備保障信息網(wǎng)絡(luò)中，大部分節(jié)點(diǎn)是移動(dòng)節(jié)點(diǎn)，由于體積等因素的限制，節(jié)點(diǎn)的硬件資源有限，其CPU的計(jì)算能力較低、存儲(chǔ)空間較小.

5)存在RFID系統(tǒng).在裝備保障信息網(wǎng)絡(luò)中，彈藥、器材等物資的信息非常重要，因此，物資內(nèi)可以放置有存儲(chǔ)其詳細(xì)信息的RFID標(biāo)簽，RFID系統(tǒng)通過(guò)識(shí)別RFID標(biāo)簽獲得物資的詳細(xì)信息，并將該信息傳輸給需要的節(jié)點(diǎn).

此外，由于戰(zhàn)場(chǎng)裝備保障業(yè)務(wù)的特殊性，裝備保障信息網(wǎng)絡(luò)還具有如下獨(dú)有特點(diǎn).

1)節(jié)點(diǎn)脆弱性.由于戰(zhàn)場(chǎng)環(huán)境的特殊性，裝備保障信息網(wǎng)絡(luò)的節(jié)點(diǎn)更容易遭到敵人的攻擊或被敵人俘獲而落入敵人的控制之中.

2)信道脆弱性.在激烈的戰(zhàn)場(chǎng)環(huán)境下，裝備保障信息網(wǎng)絡(luò)中的信道是敵人的首要干擾、壓制的目標(biāo)，信道中傳輸?shù)男畔⒏菀自獾綌橙说母`聽(tīng)和攻擊.根據(jù)上述特點(diǎn)，與其他的一般網(wǎng)絡(luò)相比，裝備保障信息網(wǎng)絡(luò)中的認(rèn)證需求主要具有兩個(gè)不同點(diǎn)：1)認(rèn)證的對(duì)象更加多樣化，由于裝備保障信息網(wǎng)絡(luò)是多種網(wǎng)絡(luò)的一種組合應(yīng)用，因此，認(rèn)證的對(duì)象包含了用戶、RFID標(biāo)簽和網(wǎng)絡(luò)節(jié)點(diǎn)；2)認(rèn)證的安全性要求更高，由于裝備保障信息網(wǎng)絡(luò)更容易遭受敵人攻擊，因此,對(duì)認(rèn)證的安全性提出了更高的要求.為了滿足以上需求，現(xiàn)有的一般網(wǎng)絡(luò)中的認(rèn)證方法還需要進(jìn)行適當(dāng)?shù)母倪M(jìn)，再將它們進(jìn)行組合才能應(yīng)用到裝備保障信息網(wǎng)絡(luò)中.

圖1 裝備保障信息網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)

從目前裝備保障信息網(wǎng)絡(luò)的特點(diǎn)來(lái)看，安全認(rèn)證存在以下威脅：1)在部分無(wú)線子網(wǎng)中，網(wǎng)絡(luò)節(jié)點(diǎn)一般采用戰(zhàn)術(shù)無(wú)線電臺(tái)組網(wǎng)，網(wǎng)絡(luò)采用無(wú)中心、自組織路由策略，也沒(méi)有統(tǒng)一的認(rèn)證機(jī)構(gòu)，這使得節(jié)點(diǎn)之間難以建立起安全可靠的信任關(guān)系[4]；2)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、節(jié)點(diǎn)之間的信任關(guān)系一直處于動(dòng)態(tài)變化之中，這使得節(jié)點(diǎn)之間身份認(rèn)證的難度增大，攻擊者有機(jī)會(huì)冒充我軍裝備和人員從而加入我軍網(wǎng)絡(luò)中[5?6]；3)有關(guān)身份認(rèn)證的信息大部分通過(guò)無(wú)線信道進(jìn)行傳輸，這使得攻擊者更容易竊聽(tīng)、修改在無(wú)線信道中傳輸?shù)臄?shù)據(jù)[7].因此，對(duì)裝備保障信息網(wǎng)絡(luò)身份認(rèn)證體系及相關(guān)技術(shù)進(jìn)行研究，對(duì)于提高我軍裝備保障信息網(wǎng)絡(luò)的信息安全保障能力具有十分重要的現(xiàn)實(shí)意義.

2 裝備保障信息網(wǎng)絡(luò)身份認(rèn)證體系構(gòu)建

2.1 裝備保障信息網(wǎng)絡(luò)身份認(rèn)證體系總體結(jié)構(gòu)

根據(jù)文獻(xiàn)[8]中對(duì)戰(zhàn)術(shù)互聯(lián)網(wǎng)網(wǎng)絡(luò)層次的劃分方法，將裝備保障信息網(wǎng)絡(luò)指揮權(quán)限中位于同一層級(jí)的節(jié)點(diǎn)劃分到同一網(wǎng)絡(luò)層次.采用這樣的劃分方法得到的每一個(gè)網(wǎng)絡(luò)層次中，各個(gè)子網(wǎng)采用相同的組網(wǎng)方式，這樣便于將每一個(gè)網(wǎng)絡(luò)層次中的身份認(rèn)證進(jìn)行統(tǒng)一研究.在裝備保障信息網(wǎng)絡(luò)的每一層子網(wǎng)中，都需要利用適當(dāng)?shù)恼J(rèn)證方式提供所需的認(rèn)證服務(wù).因此，本文在裝備保障信息網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上，從網(wǎng)絡(luò)層次、認(rèn)證服務(wù)和認(rèn)證方式3個(gè)維度，設(shè)計(jì)裝備保障信息網(wǎng)絡(luò)身份認(rèn)證體系的總體結(jié)構(gòu)如圖2所示.在圖2中，針對(duì)裝備保障信息網(wǎng)絡(luò)中具體的某一層，根據(jù)所需提供的認(rèn)證服務(wù)，選擇適當(dāng)?shù)恼J(rèn)證方式.例如，點(diǎn)A表示針對(duì)裝備保障信息網(wǎng)絡(luò)中的第1層(骨干通信網(wǎng))，選擇基于示證者所擁有信物的認(rèn)證方式提供節(jié)點(diǎn)對(duì)用戶的身份認(rèn)證服務(wù).下面對(duì)網(wǎng)絡(luò)層次、認(rèn)證服務(wù)和認(rèn)證方式分別進(jìn)行詳細(xì)介紹.

圖2 裝備保障信息網(wǎng)絡(luò)身份認(rèn)證體系的總體結(jié)構(gòu)

2.2 裝備保障信息網(wǎng)絡(luò)的網(wǎng)絡(luò)層次

如圖1所示，裝備保障信息網(wǎng)絡(luò)采用分層網(wǎng)絡(luò)結(jié)構(gòu)，具體可以分為4層.

1)第1層為骨干通信網(wǎng)，骨干通信網(wǎng)是根據(jù)作戰(zhàn)編成編組、通信保障需求，使用無(wú)線電接入節(jié)點(diǎn)車和用戶節(jié)點(diǎn)車上的衛(wèi)星設(shè)備，快速組建的大覆蓋范圍、動(dòng)中通的骨干網(wǎng)絡(luò).骨干通信網(wǎng)上開(kāi)設(shè)了若干干線節(jié)點(diǎn)，主要通過(guò)野戰(zhàn)大容量微波傳輸設(shè)備、高速無(wú)線電臺(tái)將干線節(jié)點(diǎn)、用戶節(jié)點(diǎn)、無(wú)線電接入節(jié)點(diǎn)互連，構(gòu)成了柵格狀、分布式、機(jī)動(dòng)、寬帶骨干網(wǎng)，滿足用戶各種業(yè)務(wù)通信需求.各級(jí)指揮所和武器平臺(tái)通過(guò)短波、超短波、通用高速數(shù)據(jù)電臺(tái)、微波可以接入骨干網(wǎng).

2)第2層為裝備指揮所與作戰(zhàn)分隊(duì)中的上級(jí)指揮車、維修分隊(duì)的指揮部、器材倉(cāng)庫(kù)的指揮部和彈藥倉(cāng)庫(kù)的指揮部組成的子網(wǎng)，主要采用高速無(wú)線電臺(tái)、超短波電臺(tái)和短波電臺(tái)組網(wǎng).

3)第3層為作戰(zhàn)分隊(duì)中的上級(jí)指揮車與下級(jí)指揮車之間、維修分隊(duì)指揮部與搶修單元和搶救單元的指揮車之間、器材倉(cāng)庫(kù)指揮部與器材供應(yīng)單元指揮車之間、彈藥倉(cāng)庫(kù)指揮部與彈藥供應(yīng)單元指揮車之間分別組成的子網(wǎng)，一般采用超短波電臺(tái)組網(wǎng)，網(wǎng)絡(luò)采用無(wú)中心、自組織組網(wǎng)策略.

4)第4層為作戰(zhàn)分隊(duì)指揮車與單裝之間、搶修單元指揮車與搶修裝備之間、搶救單元指揮車與搶救裝備之間、器材供應(yīng)單元指揮車與器材供應(yīng)車輛之間、彈藥供應(yīng)單元指揮車與彈藥供應(yīng)車輛之間分別組成的子網(wǎng)，一般采用與第3層子網(wǎng)相同的超短波電臺(tái)組網(wǎng)，網(wǎng)絡(luò)采用無(wú)中心、自組織組網(wǎng)策略.

2.3 裝備保障信息網(wǎng)絡(luò)中的認(rèn)證服務(wù)

從裝備保障信息網(wǎng)絡(luò)的網(wǎng)絡(luò)層次、網(wǎng)絡(luò)特點(diǎn)及安全性需求來(lái)看，裝備保障信息網(wǎng)絡(luò)中需要提供的身份認(rèn)證服務(wù)可以概括為如下3大類.

1)節(jié)點(diǎn)之間的身份認(rèn)證服務(wù).節(jié)點(diǎn)之間的身份認(rèn)證服務(wù)用于確保在通信過(guò)程中一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)所聲稱的身份是真實(shí)而非假冒的，包括對(duì)信源和信宿的認(rèn)證.在裝備保障信息網(wǎng)絡(luò)中，節(jié)點(diǎn)之間的身份認(rèn)證服務(wù)既可以用于同一個(gè)子網(wǎng)中兩臺(tái)裝備之間的雙向身份認(rèn)證，也可以用于一臺(tái)裝備進(jìn)入到一個(gè)新的子網(wǎng)時(shí)與新子網(wǎng)中的另一臺(tái)裝備之間的雙向身份認(rèn)證，從而防止敵人的裝備冒充我方裝備加入我方網(wǎng)絡(luò)中.

2)射頻系統(tǒng)中的身份認(rèn)證服務(wù).射頻系統(tǒng)中的身份認(rèn)證服務(wù)用于實(shí)現(xiàn)RFID讀寫(xiě)器和RFID標(biāo)簽之間的身份識(shí)別，確保只有合法的RFID讀寫(xiě)器才能訪問(wèn)RFID標(biāo)簽內(nèi)存儲(chǔ)的數(shù)據(jù)，同時(shí)防止虛假RFID標(biāo)簽冒充合法標(biāo)簽.在裝備保障信息網(wǎng)絡(luò)中，射頻系統(tǒng)中的身份認(rèn)證服務(wù)可以應(yīng)用于對(duì)軍用物資存儲(chǔ)、運(yùn)輸、分發(fā)等過(guò)程的監(jiān)控中，一方面可以防止敵人用假冒的RFID讀寫(xiě)器在一定距離內(nèi)讀取我方軍用物資的相關(guān)信息，另一方面也可以防止敵人用假冒的RFID標(biāo)簽向我方RFID讀寫(xiě)器發(fā)送虛假的信息，從而干擾我方后端的物資數(shù)據(jù)庫(kù)、影響我方的裝備保障決策.

3)節(jié)點(diǎn)對(duì)用戶的身份認(rèn)證服務(wù).節(jié)點(diǎn)對(duì)用戶的身份認(rèn)證服務(wù)用于當(dāng)用戶在進(jìn)入節(jié)點(diǎn)中的操作系統(tǒng)或訪問(wèn)不同保護(hù)級(jí)別的系統(tǒng)資源時(shí)，系統(tǒng)驗(yàn)證該用戶的身份是否真實(shí)、合法.在裝備保障信息網(wǎng)絡(luò)中，節(jié)點(diǎn)對(duì)用戶的身份認(rèn)證服務(wù)一方面可以應(yīng)用于當(dāng)用戶登錄節(jié)點(diǎn)中的操作系統(tǒng)或訪問(wèn)網(wǎng)絡(luò)中的信息資源時(shí)系統(tǒng)對(duì)用戶身份的驗(yàn)證，另一方面也可以應(yīng)用于當(dāng)裝備保障指揮人員下達(dá)保障命令時(shí)裝備保障指揮控制系統(tǒng)對(duì)指揮人員身份和權(quán)限的驗(yàn)證.

2.4 裝備保障信息網(wǎng)絡(luò)中的認(rèn)證方式

認(rèn)證方式是提供認(rèn)證服務(wù)的基礎(chǔ).針對(duì)上面總結(jié)的裝備保障信息網(wǎng)絡(luò)中需要提供的3大類身份認(rèn)證服務(wù)，可以將裝備保障信息網(wǎng)絡(luò)中的認(rèn)證方式總結(jié)為圖2中的11種，由于篇幅限制，下面僅對(duì)部分認(rèn)證方式進(jìn)行介紹和分析.

1)基于對(duì)稱密碼體制的認(rèn)證方式[9].在基于對(duì)稱密碼體制的認(rèn)證方式中，節(jié)點(diǎn)擁有相同的密鑰，并依靠該相同的密鑰實(shí)現(xiàn)雙向認(rèn)證.該認(rèn)證方式實(shí)現(xiàn)簡(jiǎn)單、效率高，但安全性相對(duì)基于非對(duì)稱密碼體制的認(rèn)證方式較低，并且當(dāng)節(jié)點(diǎn)數(shù)量較大時(shí)，密鑰管理相對(duì)比較困難.由于裝備保障信息網(wǎng)絡(luò)的第3層子網(wǎng)中節(jié)點(diǎn)數(shù)目較少，且子網(wǎng)采用無(wú)中心、自組織路由策略，因此，可以將基于對(duì)稱密碼體制的認(rèn)證方式應(yīng)用于該層子網(wǎng)中以提供節(jié)點(diǎn)之間的身份認(rèn)證服務(wù).

2)基于集中式認(rèn)證中心(Certificat Authority,CA)的認(rèn)證方式[10?11].基于集中式CA的認(rèn)證方式是指由第三方權(quán)威的CA為示證者提供證明其身份的信息，然后該示證者將CA提供的信息發(fā)送給驗(yàn)證者以證明其身份.該方式的優(yōu)點(diǎn)是利用CA可以方便地建立和維護(hù)一個(gè)可信的網(wǎng)絡(luò)環(huán)境，可以減小各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的計(jì)算量和通信量，但需要建立專門(mén)的CA，且存在單點(diǎn)失效的問(wèn)題，即一旦CA出現(xiàn)故障，整個(gè)網(wǎng)絡(luò)中的身份認(rèn)證將無(wú)法實(shí)現(xiàn).對(duì)于裝備保障信息網(wǎng)絡(luò)的第1層子網(wǎng)(即骨干通信網(wǎng))，由于其網(wǎng)絡(luò)帶寬較大，網(wǎng)絡(luò)中節(jié)點(diǎn)的計(jì)算、存儲(chǔ)能力較強(qiáng)，且網(wǎng)絡(luò)對(duì)安全性的要求較高，因此，可以將基于集中式CA的認(rèn)證方式應(yīng)用于該層子網(wǎng)中以提供節(jié)點(diǎn)之間的身份認(rèn)證服務(wù).

3)基于分布式CA的認(rèn)證方式[12?13].基于分布式CA的認(rèn)證方式將CA的功能由網(wǎng)絡(luò)中的多個(gè)節(jié)點(diǎn)共同實(shí)現(xiàn)，因此，避免了基于集中式CA認(rèn)證方式中的單點(diǎn)失效問(wèn)題，但增加了網(wǎng)絡(luò)節(jié)點(diǎn)的計(jì)算量和通信量.根據(jù)網(wǎng)絡(luò)中所有節(jié)點(diǎn)是否均為服務(wù)節(jié)點(diǎn)，基于分布式CA的認(rèn)證方式又可分為基于完全分布式CA的認(rèn)證方式和基于部分分布式CA的認(rèn)證方式[14].在基于完全分布式CA的認(rèn)證方式中，網(wǎng)絡(luò)中所有節(jié)點(diǎn)均為服務(wù)節(jié)點(diǎn)，因此，該認(rèn)證方式的服務(wù)可用性較強(qiáng)，但安全性相對(duì)較差；在基于部分分布式CA的認(rèn)證方式中，網(wǎng)絡(luò)中只有一部分節(jié)點(diǎn)為服務(wù)節(jié)點(diǎn)，因此，該認(rèn)證方式安全性較高，但服務(wù)可用性較差.由于裝備保障信息網(wǎng)絡(luò)的第4層子網(wǎng)中節(jié)點(diǎn)數(shù)目較多，且子網(wǎng)采用無(wú)中心、自組織路由策略，因此，可以將基于分布式CA的認(rèn)證方式應(yīng)用于該層子網(wǎng)中以提供節(jié)點(diǎn)之間的身份認(rèn)證服務(wù).

4)輕量級(jí)認(rèn)證方式[15].輕量級(jí)認(rèn)證方式主要使用偽隨機(jī)數(shù)發(fā)生器和循環(huán)冗余校驗(yàn)(Cyclic Redundancy Check，CRC)碼設(shè)計(jì)射頻系統(tǒng)的身份認(rèn)證協(xié)議，計(jì)算相對(duì)簡(jiǎn)單，對(duì)內(nèi)存要求也不高，因此，該方式應(yīng)用非常廣泛.由于裝備保障相關(guān)的物資經(jīng)常需要運(yùn)輸，物資中RFID標(biāo)簽的硬件條件受到很大限制，因此，可以將輕量級(jí)認(rèn)證方式應(yīng)用于裝備保障信息網(wǎng)絡(luò)中以提供射頻系統(tǒng)中的身份認(rèn)證服務(wù).

5)基于示證者所知道秘密的認(rèn)證方式，如基于密碼、口令的用戶身份認(rèn)證方式，該認(rèn)證方式屬于弱因子認(rèn)證方式，成本很低、易于實(shí)現(xiàn)，但由于密碼、口令長(zhǎng)度一般較短，該認(rèn)證方式容易遭到竊聽(tīng)攻擊、字典攻擊、重放攻擊和窮搜索攻擊.基于上述特點(diǎn)，在裝備保障信息網(wǎng)絡(luò)中，可以將基于示證者所知道秘密的認(rèn)證方式與其他認(rèn)證方式組合起來(lái)使用以提供節(jié)點(diǎn)對(duì)用戶的身份認(rèn)證服務(wù).

6)基于示證者所擁有信物的認(rèn)證方式，如基于智能卡、USB KEY等的用戶身份認(rèn)證方式.該認(rèn)證方式具有標(biāo)準(zhǔn)化和智能化等特點(diǎn)，且由于信物中存儲(chǔ)著長(zhǎng)度較長(zhǎng)的秘密信息、安全性較高，目前已被廣泛應(yīng)用于各個(gè)領(lǐng)域，但該認(rèn)證方式的不便之處是用戶必須隨身攜帶信物，如果信物丟失，則任何撿到信物的人員都可以容易地冒充真正的用戶.基于上述特點(diǎn)，在裝備保障信息網(wǎng)絡(luò)中，可以將基于示證者所擁有信物的認(rèn)證方式與其他認(rèn)證方式組合起來(lái)使用以提供節(jié)點(diǎn)對(duì)高權(quán)限用戶的身份認(rèn)證服務(wù).

在裝備保障信息網(wǎng)絡(luò)中，根據(jù)具體的網(wǎng)絡(luò)層次、網(wǎng)絡(luò)特點(diǎn)及安全性需求，可以單獨(dú)使用一種認(rèn)證方式，也可以將幾種認(rèn)證方式組合起來(lái)綜合運(yùn)用.在認(rèn)證方式的具體運(yùn)用時(shí)，要根據(jù)裝備保障信息網(wǎng)絡(luò)的特點(diǎn)，對(duì)認(rèn)證方式做一些必要的改進(jìn)，從而提供安全的認(rèn)證服務(wù).例如，將基于對(duì)稱密碼體制的認(rèn)證方式應(yīng)用于裝備保障信息網(wǎng)絡(luò)的第3層子網(wǎng)中以提供節(jié)點(diǎn)之間的身份認(rèn)證服務(wù)時(shí)，要設(shè)計(jì)好密鑰的更新機(jī)制，從而確保認(rèn)證方式的安全性；將基于集中式CA的認(rèn)證方式應(yīng)用于裝備保障信息網(wǎng)絡(luò)的第1層子網(wǎng)(即骨干通信網(wǎng))中以提供節(jié)點(diǎn)之間的身份認(rèn)證服務(wù)時(shí)，要對(duì)集中式CA提供強(qiáng)有力的保護(hù)措施，從而確保認(rèn)證方式的安全性；將基于分布式CA的認(rèn)證方式應(yīng)用于裝備保障信息網(wǎng)絡(luò)的第4層子網(wǎng)中以提供節(jié)點(diǎn)之間的身份認(rèn)證服務(wù)時(shí)，要設(shè)計(jì)好分布式CA的門(mén)限值，從而同時(shí)確保認(rèn)證方式的安全性和可用性；將輕量級(jí)認(rèn)證方式應(yīng)用于裝備保障信息網(wǎng)絡(luò)中以提供射頻系統(tǒng)中的身份認(rèn)證服務(wù)時(shí)，要設(shè)計(jì)能夠?qū)崿F(xiàn)RFID閱讀器和RFID標(biāo)簽之間雙向認(rèn)證的協(xié)議，從而確保認(rèn)證方式的安全性；此外，可將基于口令的認(rèn)證方式與基于USB KEY的認(rèn)證方式組合起來(lái)使用,以提供節(jié)點(diǎn)對(duì)用戶的身份認(rèn)證服務(wù)，將兩種認(rèn)證方式的優(yōu)勢(shì)互補(bǔ)，從而確保認(rèn)證方式的安全性.

3 結(jié)論

本文在分析裝備保障信息網(wǎng)絡(luò)網(wǎng)絡(luò)結(jié)構(gòu)及特點(diǎn)的基礎(chǔ)上，從網(wǎng)絡(luò)層次、認(rèn)證服務(wù)和認(rèn)證方式3個(gè)維度，構(gòu)建了裝備保障信息網(wǎng)絡(luò)的身份認(rèn)證體系.根據(jù)裝備保障的業(yè)務(wù)流程和裝備保障信息網(wǎng)絡(luò)的組網(wǎng)方式，將裝備保障信息網(wǎng)絡(luò)分為4層.根據(jù)裝備保障信息網(wǎng)絡(luò)的網(wǎng)絡(luò)層次、網(wǎng)絡(luò)特點(diǎn)及安全性需求，將裝備保障信息網(wǎng)絡(luò)中需要提供的身份認(rèn)證服務(wù)概括為3大類：1)節(jié)點(diǎn)之間的身份認(rèn)證服務(wù)；2)射頻系統(tǒng)中的身份認(rèn)證服務(wù)；3)節(jié)點(diǎn)對(duì)用戶的身份認(rèn)證服務(wù).并對(duì)這3大類身份認(rèn)證服務(wù)在裝備保障信息網(wǎng)絡(luò)中的具體作用進(jìn)行了分析.總結(jié)了11種能夠提供這些認(rèn)證服務(wù)的認(rèn)證方式，對(duì)其中部分認(rèn)證方式進(jìn)行了介紹與分析，并對(duì)如何綜合運(yùn)用這些認(rèn)證方式進(jìn)行了論證和闡述.所構(gòu)建的裝備保障信息網(wǎng)絡(luò)身份認(rèn)證體系為裝備保障信息網(wǎng)絡(luò)身份認(rèn)證的研究構(gòu)建了總體框架.下一步，根據(jù)裝備保障信息網(wǎng)絡(luò)的特點(diǎn)和需求，設(shè)計(jì)具體的安全高效的身份認(rèn)證方案將是研究的重點(diǎn).