基于移动模型的快速重认证的问题和策略分析

1 引言
　　切换性能和接入安全是影响无线网络服务质量的两大关键问题.终端在无线网络移动时的切换性能直接影响到无线网络漫游业务的质量；无线网络的接入比固定网络容易，其遭受安全威胁的可能性更大，因此在无线网络中部署接入认证技术尤为重要。然而，接入认证技术的部署会严重影响切换性能，解决这一矛盾，出现了快速重认证技术。
　　快速重认证技术是IETF正在标准化的课题，它在完整的EAP认证之后，由家乡认证服务器（归属认证服务器）向终端所在外地网络认证服务器分配重认证根密钥（DSRK），在之后的重认证过程中，外地网络不再与家乡网络交互，从而减小了重认证中跨域通讯的时延，提高了切换性能，如图1所示。
　　现有方案在实际部署的过程中还存在几个问题。
　　（1）　没有考虑无线网络接入认证的特点.无线网络接入设备通常分为接入控制设备和无线接入点两部分[3]，移动终端在接入控制设备和无线接入点之间移动时使用不同的认证策略。
　　（2）　重认证过程仍然需要与外地域认证服务器（Local　Server）交互，存在时延。
　　（3）　重认证过程中，外地域的Local　Server需要具有解析终端标识（Identity）的能力，这与RFC4282[4]的要求不符，会导致终端标识泄漏给外地域。
　　（4）　重认证过程中，移动终端需要把标识提交给网络，这使其它节点可以根据该标识跟踪移动终端的位置，导致位置私密性问题。
　　上述问题可以归结为两个方面：外地域的切换性能优化和位置私密性。本文针对这两个方面提出一种新的基于移动模型和动态网络接入标识的方案，对快速重认证技术作改进。
　　其一，针对快速重认证中的拓扑结构因子和时间因子，建立移动模型；根据移动模型预测终端的位置，在终端切换到新接入设备之前完成密钥分发过程；终端切换到新无线接入点之后根据生成的密钥完成认证过程。
　　其二，动态生成网络接入标识，每次重认证过程使用不同的动态网络接入标识，防止恶意节点跟踪终端。
　　2 方案
　　方案共分为三步：
　　（1）　预测机制.定期使用移动模型预测终端的移动特性，给出终端状态变迁的概率；
　　（2）　密钥分发过程.对于状态变迁概率超过阈值的移动，根据状态值判断其是否跨接入控制设备，并制定认证密钥分发流程；
　　（3）　快速重认证.终端移动到新无线接入点后，根据分配的认证密钥完成认证过程。
　　其中步骤1和步骤2在终端移动到新无线接入点之前进行，不占用重认证时间；步骤3的重认证过程不再需要与外地域认证服务器交互，也降低了重认证时延。
　　2.1 预测机制
　　位置服务器存储终端当前位置和网络拓扑结构图，并根据重认证移动模型计算终端在t时间内发生状态变迁的概率.建立快速重认证移动模型是预测机制的关键.目前，移动建模技术主要集中在PCS网络的寻呼过程中：无线接入点周期性的广播位置和标识信息，移动终端根据广播信息上报自身位置信息，位置服务器则根据终端上报的位置信息，制定搜索策略，实现对移动终端的定位，并进而完成寻呼过程。然而，用于寻呼的移动模型，不能满足重认证的需要。主要表现在两个方面。
　　（1）　拓扑因子。无线网络中的认证者（Authenticator）通常并不是无线接入点，而是一个认证者管理多个无线接入点，例如WLAN中，认证者通常是AC，而无线接入点则是AP；Wimax和3GPP也有类似结构.这种拓扑结构下，移动终端可能在同一个AC的多个AP之间移动，也可能在多个AC之间移动，这一特点导致网络拓扑结构的分层，而现有的模型无需关心认证者的位置，只关心无线接入点的位置，不能满足快速重认证的需要。
　　（2）　时间因子。用户寻呼的移动模型在终端有电话呼入时进行寻呼过程，而重认证中的移动模型要求预测未来一段时间内，移动终端的位置，预测结果中需包含时间因子。
　　本文结合重认证过程中的时间因子和拓扑结构因子建立移动模型如下。
　　2.3 快速重认证
　　认证过程如图5所示，无线接入点检测到移动终端后，向移动终端发送EAP请求，其中包含无线接入点标识APID，移动终端收到EAP请求后，根据上面的公式可以计算出相应的DNAI，rMSK和TSK。
　　生成密钥后，移动终端利用TSK生成消息鉴别码，并把DNAI发送给无线接入点。
　　无线接入点比较DNAI的合法性，并验证认证请求消息，如认证通过，则向移动终端发送认证应答消息，并利用TSK对消息签名。
　　3 性能分析
　　3.1 方案开销
　　5 结束语
　　随着带宽的提高，无线网络中部署的漫游业务也越来越多，切换性能和接入安全是在无线网络中部署高质量漫游业务的关键，为解决切换性能和接入安全之间的矛盾，IETF提出了快速重认证技术，然而现有快速重认证技术没有考虑移动终端位置私密性问题和外地域切换性能问题。
　　本文针对这些问题提出了基于移动模型的快速重认证技术，提高了外地域切换性能，解决了位置私密性问题.有助于推动我国移动通信产业的健康有序发展，并创造可观的经济效益。
　　参考文献
　　[1]　V.　Narayanan，　L.　Dondeti，　“EAP　Re-authentication　Extensions”，　draft-ietf-hokey-erx-03，　IETF，　July　2007.
　[2]　B.　Aboba　Et　al，　“Extensible　Authentication　Protocol（EAP）”，　RFC3748，　IETF，　June　2004.
　　[3]　“Draft　Standard　for　Information　Technology　-　Telecommunications　and　information　exchange　between　systems　-　Local　and　metropolitan　area　networks　-　Specific　requirements”，　IEEE　P802.11r/D5.0，　March　2007.
　　[4]　B.　Aboba，　Et　Al，　“The　Network　Access　Identifier”，RFC4282，　IETF，　December　2005.
　　[5]　I.E　Akyildiz，　J.　S.　M.　Ho　and　Y.　B.　Lin，　"Movement-Based　Location　Update　and　SelectivePaging　Schemes，"　IEEE/ACM　Transactions　on　Networking，　vol.　4，　no.　4，　1996.
　　[6]　Ken　Murray　&　Dirk　Pesch，　"Mobility　Modelling　using　Attraction　Points　for　Cellular　Network　Environments"，Christian　Bettstetter，　"Mobilit y　Modeling　in　Wireless　Networks：　Categorization，　Smooth　Movement，　and　Border　Effects"，　Mobile　Computing　and　Communications　Review，　Volume　5，　Number　3.
　　[7]　Chiu-Ching　Tuan，　Chen-Chau　Yang，　"A　New　Normal　Walk　Model　for　Mesh　PCS　Networks"，　Proceedings　of　the　18th　International　Conference　on　Advanced　Information　Networking　and　Application　（AINA’04）　2004.
　　[8]　“IEEE　Standard　for　Information　technology—Telecommunications　and　information　exchange　between　systems—Local　and　metropolitan　area　networks—Specific　requirements”，　IEEE　802.11i，　2004.
　　[9]　“WiMAX　End-to-End　Network　Systems　Architecture”，　draft　wimax　forum　NWG　Stage-3，　April　2006.
　　[10]　“3rd　Generation　Partnership　Project；Technical　Specification　Group　Services　and　System　Aspects；　3G　Security；　Security　architecture”，　3GPP　TS　33.102，　December　2007.
　　[11]　Karuh，　J.：　On　the　Chapman-Kolmogorov　equation，　.　statist，　voi.32，1961
　　[12]　Burrows　M，　Abadi　M，　Needham　R，　“A　logic　of　authentication.　ACM　Trans　on　Computer　Systems”，　Vol.　8，　No.　1，　Feb.　1990.
　　基金项目：
　　发改委重大专项“无线智能终端安全检测服务”。
　　作者简介：
　　许国军（1972-），男，博士；主要研究方向为移动通讯、增强现实技术、模式识别技术等。
　　刘芳（1973-），女，工程硕士；主要研究领域为软件总体设计、数字信号及数据处理。
　　万长胜（1976-），男，博士，副教授；主要研究方向为移动通讯、网络安全。