無冗余標志應用方案及關鍵技術研究

摘 要:針對在異構無線融合網絡中，標志在數量和內容上的冗余帶來了一系列安全問題，提出了無冗余標志應用方案。該方案將網絡抽象為用戶域、接入域、服務域和歸屬域四個域，在每個域為用戶分配不同的身份標志，并制定了標志分離存儲、替換傳輸、加密傳輸及更新機制。最后，分析了方案的安全性和通信性能。

關鍵詞:異構無線融合網絡; 身份認證; 無冗余標志; 標志分離; 標志替換

中圖分類號:TP309文獻標志碼:A

文章編號:1001-3695(2010)06-2219-03

doi:10.3969/j.issn.1001-3695.2010.06.063

Research on nonredundant identifier scheme and its key technologies

YANG Hongjie， HUANG Kaizhi， WANG Yuhong， ZHAO Hua， JI Xinsheng

(National Digital Switching System Engineering Technology Research Center， Zhengzhou 450002， China)

Abstract:This paper presented a new application scheme with nonredundant identifiers， divided communication network into four domains， distributed different identifiers for users in every domain， and proposed some mechanisms for identifiers， such as separating storage， transmission substitute， encryption transmission and update mechanisms. At last， it analyzed security and communication performance under this scheme.

Key words:heterogeneous wireless integrated network; identity authentication; nonredundant identifier; identifier separation; identifier replacement

用戶接入無線網絡時，需要提供相應的標志信息以完成網絡對它的身份認證。在已有的無線網絡架構中，標志用戶的方法主要有兩種:a)用戶的身份標志和地址標志合一，如IP地址在網絡中同時標志用戶的身份和地址;b)用戶的身份標志和地址標志功能分離，如IETF主機標志符協議HIP[1，2](host identity protocol)、思科公司的LISP[3，4](locator/ID separation protocol)協議和北方交通大學的一體化可信網絡與普適服務體系結構[5，6]等方案。在情況a)下，用戶的IP地址通常固定不變，一旦IP地址暴露，用戶將面臨被跟蹤、信息被竊取的安全威脅或者遭受有目的的攻擊和騷擾;在情況b)中，雖然身份標志和地址標志在網絡中實現了功能的去耦合，但在現有網絡的通信機制中，身份標志和地址標志在網絡中通常綁定傳輸和存儲，使得通信一方一旦知道對方的地址標志，就可以容易地獲得其身份標志，安全隱患依然存在。

另外，在異構無線網絡環境下，各網絡的用戶標志不盡相同。3G網絡采用IMSI/TMSI[7]在全局/局部惟一標志一個用戶;在WiMAX的認證體系中，用戶標志主要采用NAI[8](network access identifier，網絡接入標志符)格式;在WLAN認證體系中，主要采用用戶名(username)作為用戶標志。這樣用戶和網絡服務器需要針對不同網絡維護多套標志信息，導致異構網絡的接入效率和安全度降低。隨著異構無線融合網絡的發展，需要一種標志應用方案，從安全機制和應用機制上有效解決標志技術不完善帶來的問題。

本文從標志無冗余的角度出發提出了無冗余標志應用方案，旨在解決異構無線融合網絡中標志冗余及標志的綁定使用、存儲和傳輸帶來的安全威脅。該方案的基本思想是:將通信過程抽象為用戶域、接入域、服務域和歸屬域四個階段，并為各網絡域分配可進行雙向認證的惟一標志，用該標志代表用戶的身份信息，使用IP地址作為用戶的位置信息，符合身份與位置分離的設計思想;同時，將用戶身份認證所需的標志分離存儲在各個域中，通過逐段標志替換策略，確保通信過程的安全可靠。

1 異構無線融合網絡模型

參考現有無線網絡的通信架構，并考慮用戶的漫游場景，在功能上將網絡劃分為四個域(圖1):用戶域包括用戶和移動終端;接入域包括各種異構無線接入網絡;服務域是當前用戶訪問網絡;歸屬域是用戶簽約的運營商網絡。用戶與當地任一運營商簽約并獲得相應的業務權限，運營商為簽約用戶分配與用戶特定身份相匹配的統一身份標志。在用戶域中，用戶獨立于終端，多個用戶可以借助同一移動終端享受不同的網絡服務，網絡也可以根據身份標志識別來自同一移動終端的不同用戶。

2 無冗余標志應用方案

為解決各異構無線網絡標志差異帶來的標志冗余問題，在異構無線融合網絡認證模型的基礎上，為各網絡域設計了可進行雙向認證的惟一標志。用戶真實身份標志(real identity)用RID表示;AID、SID、HID分別表示接入域標志(access identity)、服務域標志(service identity)和歸屬域標志(home identity)，都屬于臨時身份標志，僅在各網域內有效。其中，標志映射服務器負責維護各個域中身份標志的映射關系。各網絡域標志分配情況如表1所示。

對用戶的真實身份標志RID的定義，應達到以下目的:a)以全局的方式來命名;b)保證用戶真實身份標志RID的惟一性和合法性;c)有效防止假冒和中間人攻擊等。用戶的接入域標志AID、服務域標志SID和歸屬域標志HID同屬于臨時標志，僅在各自的作用域內有效，每一個接入域、服務域和歸屬域只需要注意不能把相同的AID、SID和HID同時分配給兩個不同的用戶;一旦初始認證成功，就需要為各個域分配臨時標志。另外，由于服務域和歸屬域服務器功能相同，在本地服務時，歸屬網絡和服務網絡可以是同一個網絡，此時歸屬域和服務域相同，因此服務域標志SID和歸屬域標志HID的格式應該相同。

2.1 標志分離存儲

無冗余標志應用方案采用了標志分離存儲的手段來減小標志綁定使用帶來的安全隱患。根據圖1所示的異構無線融合網絡認證模型，參考用戶身份認證流程[9]，將用戶的身份標志分離存儲在各個網絡域，并通過逐段替換策略盡量減小標志綁定使用帶來的用戶敏感信息的泄露。

標志分離存儲(圖2)主要包括三個部分:

a)初始注冊。用戶首次使用或漫游到一個新的訪問網絡時，需要進行初始注冊。用戶發送認證請求，攜帶經過加密的用戶身份標志RID;接入域和服務域將認證請求轉發給歸屬域;歸屬域與用戶域之間執行AKA認證流程，完成對用戶身份的認證。

b)標志分發與分離存儲。初始注冊完成后，歸屬域分配HID、存儲RID與HID的映射關系，并向服務域發送認證成功消息，該信息攜帶HID;服務域接收到認證成功消息后，存儲HID，并分配SID、建立SID與HID的映射關系，將認證成功消息轉發給接入域，該信息攜帶SID;接入域接收到認證成功消息后，存儲SID、并分配AID、建立SID與AID的映射關系、并將認證成功信息轉發給用戶域，該消息攜帶AID;用戶域接收到認證成功消息后，存儲RID與AID的映射關系。各網絡域的標志存儲情況如表2所示。

表1 用戶身份標志

域名標志名稱定義

用戶域RID用戶真實身份標志，由運營商分配

接入域AID臨時身份標志，在接入域有效

服務域SID臨時身份標志，在服務域有效

歸屬域HID臨時身份標志，在歸屬域有效

表2 各網絡域標志存儲情況表

域名存儲的標志

用戶域RID、AID

接入域AID、SID

服務域SID、HID

歸屬域HID、RID

c)映射表的建立與查詢。用戶接入網絡時，首先需要進行身份認證，認證通過后各網絡域為用戶分配臨時標志，并動態建立各標志的動態映射關系。通信雙方建立連接后，各網絡域需要在各自的映射表中查找源標志和目的標志的映射關系，然后進行標志替換傳輸。標志的動態建立及標志映射關系的查詢、替換會造成一定的時延。另外，標志映射表的存儲方式和查找速度對標志的安全性及通信傳輸的有效性都存在較大影響，因此需要選擇一個合適的算法，能夠有效降低標志動態建立、查詢和替換帶來的時延，并能增強標志的安全性。

哈希(hash)表可以無規則地建立源標志和目的標志之間的關系，可預測的概率比較小，而且hash算法是單向的、不可逆的，有利于確認原文的完整性，而且查表速度較快。因此，無冗余標志應用方案采用hash算法來進行標志映射表的動態建立和查詢。

2.2 標志替換傳輸

方案中用終端和設備的IP地址進行尋址，用各網絡域所分配的用戶身份標志進行替換傳輸;各網絡域中均設有相應的標志映射服務器，用來存儲相關身份標志的映射關系。接入認證信息或通信信息在經過不同的網絡域時，標志映射服務器把其中的標志信息替換為相應的網絡域標志。

如圖3所示，各個域傳遞信息中標志的替換傳輸流程為:a)數據信息攜帶AID發送到接入域服務器;b)接入域將數據信息中AID替換為SID，將信息轉發到服務域;c)服務域將數據信息中SID替換為HID，將信息轉發到歸屬域。

標志在用戶域、接入域、服務域和歸屬域的傳遞過程中，均沒有使用用戶的真實身份信息，并且通過地址標志和身份標志的分離使用，以及逐段替換傳輸機制，防止惡意用戶通過提取消息中的冗余信息獲取用戶的相關信息，有效增強了通信過程的安全性。

2.3 RID加密傳輸

現網中，用戶在初始注冊時，是以明文方式把身份標志發送給網絡側，沒有提供完整的用戶身份保護措施，存在用戶真實身份信息泄露的隱患。因此，初始注冊中需要對身份標志RID進行加密傳輸，以減小身份信息泄露的可能性。密碼體制分為對稱密碼體制(單鑰密碼體制)和非對稱密碼體制(雙鑰密碼體制)[10]。與對稱加密算法相比，非對稱加密算法在密鑰管理及安全服務方面都具有很大的優勢;同時由于攜帶RID的消息數據量較小，對加/解密效率及資源的占用率影響不大，因此，無冗余標志應用方案中采用非對稱加密算法對RID進行加密傳輸。

2.4 標志更新

為保持用戶臨時身份標志的新鮮性，需要對用戶的接入域標志AID、服務域標志SID和歸屬域標志HID進行更新。觸發更新主要有兩種情況:a)AID、SID和HID生存期滿時需要對其進行更新;b)用戶的接入域或服務域改變時需要對相應的身份標志進行更新。標志更新需要考慮以下兩個問題:a)生存期的選擇。臨時身份標志都有一定的生存期，生存期滿時需要對臨時身份標志進行更新。周期越短，標志的更新速度越快，安全系數越高，但更新消息占用的帶寬資源越多;周期越長，帶寬資源占用率小，但是用戶身份暴露的概率也越大。因此，周期的設置需要在安全性和帶寬資源占有率之間作出平衡。b)新的用戶接入域標志的分配由移動終端確認，服務域標志由接入域服務器確認，歸屬域標志由服務域服務器確認;此后各個域刪除舊標志，重新建立新標志的映射存儲關系，因此各個域需要及時維護用戶標志的更新信息。

3 性能評估

本方案中需要增加標志映射服務器來完成身份標志的映射存儲、替換傳輸和更新，這增加了新的基礎設施，會增大運營和維護成本，也會增大網絡負載和傳輸時延。但新的機制通過對用戶標志的分離使用和替換傳輸，大大降低了用戶敏感信息泄露的幾率，增強了認證和通信過程的安全性。隨著網絡技術的發展及設備成本的降低，通過增大網絡開銷來提高網絡安全度的方法是可行的。

3.1 安全性分析

本方案采用標志分離思想對身份標志和地址標志進行了分離，并通過標志的統一定義、分離存儲和使用以及對真實身份標志進行加密傳輸，有效地提高了異構無線融合網絡的安全性。方案主要通過以下四種手段來提高用戶身份信息的安全性:

a)用戶身份標志與地址標志分離。方案中利用設備的IP地址進行尋址，用戶的身份標志用來認證和通信，實現了用戶身份標志與位置標志的分離，有效去除了標志在內容上的冗余，減少了用戶敏感信息泄露的可能性，達到了攻擊者獲得了地址標志卻無法知道用戶是誰、知道用戶是誰卻不知道用戶位置的安全性要求。

b)保證用戶真實身份信息的安全性。首先，用戶在初始注冊時，其真實身份標志RID采用加密傳輸方式，有效地解決了現網中明文傳輸用戶真實身份存在的安全隱患，在一定程度上保證了用戶真實身份信息的安全;其次，用戶域、接入域、服務器和歸屬域的標志映射關系全部都采用了SHA單向散列函數處理，即使其他非法用戶截取了散列值，也不能從該散列值反向推算出用戶的真實身份信息;最后，初始注冊后，用戶在異構無線網絡之間進行垂直切換重新認證的過程中，按照方案中標志替換的原則，用戶不需要傳輸真實身份信息，從而減少了用戶真實身份信息在網絡中傳輸的次數，提高了用戶真實身份信息的安全性。

c)隱藏用戶標志映射關系。接入域、服務域和歸屬域各自維護著一套標志映射表，攻擊者如果獲得映射表，就可以知道各個域標志之間的替換關系，從而達到攻擊的目的。本方案從對標志對應存儲的無規則性和對存儲關系的加殼處理角度出發，加大攻擊者破解映射表的困難度。

d)防重放攻擊。在本方案的設計中，考慮到防重放攻擊的設計，接入域標志AID、服務域標志SID和歸屬域標志HID都有一定的生存時間，過了時間周期以后將全部替換，保證了AID、SID、HID的不可重復性和惟一性，只有在有效的生存時間內發送的信息才能被接收方認可，這在一定程度上保證了防范重放攻擊的可能。

3.2 通信性能分析

無冗余標志應用方案對用戶通信性能的影響主要體現在以下三個方面:

a)對終端移動性的支持。方案中將用戶地址標志和身份標志進行分離，使得用戶移動到其他位置后，僅其位置標志需要變化，用戶身份標志不需要改變。這樣，用戶的連接不需要中斷就可以繼續享受各種服務，有效增強了用戶的移動性。

b)通信時間的建立。當通信雙方開始通信時，各個域需要存儲相關的標志映射表，對映射表的查詢會增大通信時延。對敏感業務而言，數據傳輸時延應低于該業務類型所能容忍的最大延遲時間。

c)網絡負載。本方案提出的臨時身份標志需要定期進行維護更新，更新信息在網絡中傳遞需要占用一定的網絡資源，增大了網絡負載;接入域、服務域和歸屬域增加了標志映射服務器，在一定程度上也增加了網絡負載;同時用戶數量越多，網絡負載也會越大，如何將網絡負載限制在一個合理的范圍內是下一步需要研究的內容。

4 結束語

本文提出了一種基于無冗余的標志應用方案，建立了異構無線融合網絡認證模型，并對方案的關鍵技術進行了研究，包括標志的分離存儲、替換傳輸、更新以及RID加密傳輸。性能分析表明，該方案實現了用戶身份標志與地址標志的分離，能有效地保護用戶的真實身份，提高認證過程的安全性;另一方面，標志的分離存儲、查詢對通信時延有一定的影響，標志的更新也會占用一定的帶寬資源，因此對查詢算法及標志更新時間的選取還需要進一步的研究。

參考文獻:

[1]CAMARILLO G， MAS I， NIKANDER P. A framework to combine the session initiation protocol and the host identity protocol[C]// Proc of IEEE Wireless Communications and Networking Conference. [S.l.]:IEEE Press，2008: 30513056.

[2]KOMU M， LINDQVIST J. Leapoffaith security is enough for IP mobility[C]//Proc of the 6th IEEE Consumer Communications and Networking Conference. 2009: 168172.

[3]ZHANG Hong， CHEN Maoke， ZHU Yuncheng. Evaluating the performance on ID/Loc mapping[C]// Proc of IEEE Global Telecommunications Conference. New Orleans:[s.n.]，2008.

[4]YANNUZZI M， XAVI MB， GRAMPN E， et al. Managing interdomain traffic in Latin America: a new perspective based on LISP [J]. IEEE Communications Magazine， 2009， 47(7): 4048.

[5]董平，楊冬，秦雅娟，等. 新一代互聯網移動管理機制研究[J].電子學報，2008，36(10):19161922.

[6]張宏科，秦雅娟，周華春，等.一種基于身份與位置分離的互聯網接入方法:中國，200610001825.0[P].2008-10-22.

[7]張純. 3G網絡中各種用戶標志的作用及相互聯系[J].電信技術，2006(10):104107.

[8]ABOBA B， BEADLES M， ARKKO J， et al. RFC 2486， The network access identifier (NAI) [S].[S.l.]: IETF， 2005.

[9]李亞暉，李鳳華，楊衛東，等.可證明安全的異構無線網絡認證協議[J].通信學報，2007，28(11):2129.

[10]鄭世慧. 現代密碼算法研究[J]. 中興通信技術，2007，13(5):15.