異構網絡光傳感通信跨域口令認證方式優化

張 媛，高 飛，何春燕

(1. 重慶郵電大學移通學院，重慶 合川 401520；2. 山東科技大學泰山科技學院，山東 泰安 271038)

1 引言

針對異構網絡跨域通信關系錯綜復雜、口令認證難度高的問題，如何進一步提高網絡跨域通信性能成為優化通信網絡的具體要求[1]，因此，宋華偉等[2]為了解決無線通信中認證方法計算復雜度高的問題，提出一種無線網絡物理層安全認證方法。利用通信雙方信道具備的互易性和唯一性特點，估計并量化響應信道并提取出高度相關但并不完全一致的信道特征序列；并基于信息論安全和信道編碼理論提出安全認證編碼，依據雙方信道特征序列中蘊含的私密共享信息量優勢，令合法通信方獲得正確編解碼，構建不需要密碼算法的物理安全認證框架，減少計算量。張玉磊等[3]為了將口令認證協議適用于大規模網絡通信，提出了基于理想格的用戶匿名口令認證密鑰協商協議。結合環上學習誤差問題，利用理想格具備密鑰長度短、運行效率高等優勢，表示較大的空間格；通過服務器實現相互認證和共享會話密鑰，避免在身份認證過程中用戶長期密鑰的存儲安全隱患，可適用于大規模網絡通信。史志才等[4]基于哈希函數提出一種可證安全的輕權認證協議，該RFID輕權認證協議具有很好的可擴展性，在認證過程中，使身份信息查找時間為常數，標簽的秘密信息和偽名等均進行更新，確保認證過程中會話信息的保密傳輸和隱私性，適合應用于低成本的RFID系統。

為了提高口令認證效率和增強跨域通信安全性能，實現異構網絡通信良好運行，降低內部網絡干擾頻率，本文提出了異構網絡光傳感通信跨域口令認證方式優化方法，其創新之處在于以C2C-PAKE協議為優化目標，在異構網絡中，優化口令認證遭受的安全攻擊、抗攻擊結果和切換時延，增強異構網絡通信系統管理與維護的自主化和安全性。

2 光傳感跨域通信口令認證系統分析

異構網絡光傳感由兩部分構成，分別為光纖分布式和分立式傳感子層，圖1為異構網絡光傳感通信示意圖。

圖1 光傳感通信系統示意圖

如圖2所示，光傳感通信跨域口令認證系統由多個傳感子層構成的三維拓撲網，每一層子網都是一個單獨的環路結構，網絡結構可呈星形、樹形、或者更加復雜的形狀，子認證系統由多層傳感子系統構成，在分立式子層中利用傳感器進行口令認證，達到系統優化目的。

圖2 光傳感跨域口令認證擴展

為了防止異構網絡出現故障，系統可對通信口令進行自動化認證，即對通信口令進行多層擴展認證，使用光傳感器將通信口令路由到另一備用域中，保證口令認證系統正常運行，圖3為光傳感通信跨域口令認證系統示意圖。

圖3 異構網絡跨域通信口令認證系統

3 口令認證安全性和效率優化

3.1 跨域口令認證方式安全性優化

步驟1：A→SA：MA

步驟1’：B→SB：MB

步驟2：SA→SB：TicketB

步驟2’：SB→SA：TicketA

步驟3：SA→A：MSA

SA通過步驟2’對消息MA進行解密得到NA，得到RSA=H(pwA)⊕H(NA+1)，發送MSA=ERSA(gyrr′⊕H(pwA))的計算結果給A。

步驟3’：SB→B：MSB

SB通過步驟2’對消息MB進行解密得到NB，得到RSB=H(pwB)⊕H(NB+1)，發送MSB=ERSB(gxrr′⊕H(pwB))的計算結果給B。

A用自身口令pwA和隨機數NA得到RSA，然后用它解密SA發送至它的消息MSA，得到gyrr′，結合隨機數x計算ks=(gyrr′)x=gyrr′，同理，使用B計算ks=(gxrr′)y=gxrr′，最終，通信雙方使用ks作為異構網絡光傳感跨域通信口令的密鑰進行安全認證。

因光傳感服務器中都用自身的私鑰進行信息加密，隨后使用對方的公鑰口令，這就保證了在異構網絡中光傳感跨域通信間私有的認證信道。因此，對傳統認證協議進行優化提高了語義安全性。

如果E盜用了wA和wB，由于它沒有SA和SB的密鑰，因此無法進行口令認證得到gx和gy，更不能通過計算獲得認證密鑰ks=gxyrr′，確保了認證協議的安全性。

因認證協議中的x，y，r，r2為臨時隨機變量，所以E不能冒用任意用戶對認證過程發起攻擊。

光傳感跨域通信中已假設服務器為被動形式，不存在冒用自己網絡中用戶進行通信的行為。若SA為惡意攻擊者，由于它無法獲得其它用戶通信密鑰，因此無法對步驟3中的MB進行解密，或者計算步驟2中的Ticket，則不通信口令認證不存在風險。

因無法得到SA的認證口令SSA，也就不能得到SB的口令SSB，因此無法破解MB得到wB。

通信用戶使用光傳感服務器選取加密口令與隨機數，隨機數增加1hash的加密口令[6]，實現異構網絡中口令認證的安全保證，使用私鑰和通信雙方加密密鑰，既確保了認證過程的私密性，又確保了認證安全性。

3.2 跨域口令認證時間優化

目前關于跨域口令快速認證的主要研究重點在于如何減少口令引入后的切換時延，未考慮異構網絡跨域間的安全性關系，不同域間不存在安全性關系而導致的認證失敗在認證完成后才會被發現，導致認證時長增加[7]。

跨域通信口令認證包含預切換和接入認證連個階段，認證過程描述如下：

1)MN為初始通信節點，MN→PAR：RtSolPr

2)PAR→NAR：TrVaReq，PAR發送安全度查詢指令至AR。

3)NAR→PAR：TrVaRsp，利用NAR查詢域間信任列表。

4)PAR→MN：PrRtAdv，PAR選取最佳NAR的算法，假設安全性參數為TV，通信信號強度為SI，最大值為MSI，α和β分別表示TV和SI的權值[8]，其中β∈[0，1]，認證參數為D=α×TV+β×(SI/MSI)。

5)MN→PAR：FBU+AS

6)PAR→NAR：

選擇PAR并確定最大D值所對應的NAR發送RfTrReq，若不存在光傳感通信跨域口令，則選擇安全度最高的NAR發送HI，并執行認證增加算法[9]。

7)NAR→PAR：RfTrReq，口令認證成功后查詢域間信任列表。

8)NAR→AAAv：SPR/SPA，一旦確定NAR就開始通信口令認證流程。

9)PAR→MN/NAR：Fback+A

通信跨域口令認證通過TrVareq/TrVaRsp進行傳輸，結合密鑰查詢和密鑰認證共同實現。PAR緩存通信方獲取到的安全密鑰，定期向NAR發送PTVRsp，提前得到所在網絡的認證密鑰，收到P·TV·Req的NAR返回至PTVRsp，修改認證緩存。

由AR執行認作操作，口令安全認證請求Num包含在預設參數下[10]，口令更新梯度β1β2β3，認證閾值為α1(0<β1，β2，β3，α1<1，β1<β2)，認證退化和過期口令為T1和T2，步驟如下：

第一步：異構網絡中每維護一個認證服務器，每收到一個TrVareq就得到C+1計數，當C>Num將對應認證域安全度加β1，若得到RfTrReq將對應認證域安全度增加β2。

第二步：若在T1時間內某通信口令所在域的安全度小于或等于α1，將該口令的認證安全度減少β3。

第三步：若接收到HI，可將對應的MN歸類為可認證列表，將安全度設為α1，令MN擁有可認證最小權限。

第四步：若口令認證域內的安全值遞減后小于或者等于0，或是其它口令大于或等于T2，則該口令認證不予通過。

第五步：接收TrVaRsp、RfTrRsp、PTVRsp，則從三者中任意選取通信口令和安全值，完成認證列表更新。

4 實驗分析

4.1 實驗背景

為了驗證光傳感通信跨域口令認證方式的優化效果，設計仿真對比實驗。圖4為口令認證背景。

圖4 口令認證背景

如圖4所示，網絡1為跨域通信連接點，網絡2和網絡3為備用連接點，網絡4為通信口令所在異構網絡中的位置。異構網絡中的通信信息存于服務器中，MN最初位于網絡1中與CN進行通信。跨域通信口令認證協議用SIP，網絡配置協議為DHCP，AA為認證代理是PANA的服務器，CA為配置代理是DHCP的中繼代理，R2為接入路由器，可為異構網絡提供隧道功能。MN的SIP用戶與CN的SIP用戶進行通信。當口令認證成功后，通信信息在MN與CN間傳輸。該通信方式由光傳感器承載，使用RAT為其載體，信息包之間間隔為20ms。

4.2 口令認證安全性分析

在同一異構網絡環境下，考慮到認證威脅因素，對不同認證方式增加阻礙，K表示可抵抗的認證威脅，Z表示在遭受的認證威脅，得到的實驗結果如表1所示。

表1 口令認證安全性比較

考慮到異構網絡環境的復雜性，進行10次口令認證運算，通過表1可知，文獻[2]、文獻[3]和文獻[4]在認證過程中雖能發現明顯攻擊，但在內部威脅和外部威脅方面都會遭受攻擊，甚至造成口令泄露的安全隱患，而本文提出的通信跨域口令認證方式明顯優于其它認證方式，說明優化后的統C2C-PAKE認證協議安全指數更高，體現了對認證協議進行安全性優化的必要性。

4.3 效率分析

引入密鑰指數及公開驗證函數，結合加密驗證計算，以確保驗證工作開銷最小化。對其它文獻方法與本文認證方法的計算開銷進行比較，得到的開銷對比結果如表22所示。

表2 不同認證方式計算開銷對比/次

如表2所示，相對于其它文獻方法，本文方法進行相同的認證次數時，計算開銷相差較大，口令認證計算開銷較小。

上述四種口令認證方式及協議的驗證表明本文所提方法可以滿足異構互聯網絡要求，為了實現跨域口令高效認證目標，對比驗證出耗時更短的口令認證方式，驗證結果如圖5所示。

圖5 口令認證時間對比

在異構網絡光傳感跨域口令認證的實驗中，本文對網絡選擇、切換流程進行時間比較分析，由圖5所示，在不同數量口令認證下，所提方法所消耗時間未出現較大波動，一直保持在3s左右，整體運行平穩，但其它文獻方法耗時更久，最好達到6s，說明所提優化方式更利于異構網絡間的無縫傳輸。

5 結論

1)為了解決異構網絡口令認證方式存在安全性差、效率低的問題，對異構網絡跨域通信口令認證方式進行優化，其消耗時間未出現較大波動，一直保持在3s左右。

2)令每個網絡盡可能占用最小內存，盡量提高不同網絡認證的復用性，且減少異構網絡對認證過程帶來的干擾，實驗過程中，口令認證安全性抵抗程度達到100%。

3)對認證協議中參數進行高效控制，改進了傳統認證協議，協調網絡內部關系，建立私有通信信道、排除不安全攻擊，其認證次數最高可達4次，保證認證方式的安全性，降低認證難度。