异构无线网络可信远程证明的组合安全理论与协议设计

In this research, we will study the composable security thoery and protocol design of trusted remote attestation in heterogenous wireless networks. Firstly, we will define the ability of attacker under trusted computing enviroment, and design the ideal functionality of trusted computing based on universally composable security thoery, then establish the universally composable security model for trusted computing. Secondly, we will design direct anonymous attestation protocols and unified authentication protocols for users and its platforms, and which achieve universally composable security. Finally, we will design composable security and trusted enhanced roaming authentication protocols and fast handoff protocols under 3G/WLAN heterogenous wireless networks. It will enhance the security properties of the authentication mechanism and ensure the networks accessing by users and its mobile terminals securely. The results of the research will not only be a useful extension to universally composable security theory, but also the security enhancements to the authentication architecture of heterogenous wireless networks. It is expected to provide better support for the healthy development on trusted interconnection of heterogenous wireless networks.

本项目研究异构无线网络可信远程证明的组合安全理论与协议设计。首先，以通用可组合安全理论为基础，给出可信计算环境下攻击者能力的描述与定义，设计可信计算理想函数，构建可信计算的通用可组合安全模型；其次，在新的可组合安全模型指导下,设计直接匿名证明协议、用户及平台统一认证协议等，并达到通用可组合安全性；最后，结合3G/WLAN异构无线融合场景，基于可信增强的理想函数，设计实用的组合安全的可信增强的漫游认证协议与快速切换协议，增强3G/WLAN异构融合网络认证机制的安全性，确保移动用户与终端接入网络时的安全性。项目的研究既是对安全协议设计模型的有益扩展，也是对异构网络认证架构的安全增强，将为实现异构无线网络的可信互联与深入发展提供理论依据与技术支撑。

异构无线融合组网是实现无线网络广泛应用最重要的支撑技术之一，但是由于安全机制不统一、计算环境复杂、媒体开放、终端移动等导致异构无线网络安全问题突出。本项目对异构无线网络可信远程证明协议的组合安全理论进行了研究，并集中研究异构无线网络环境下通用可组合安全的远程证明方法及相应的安全协议设计方法，提高异构无线网络协可信认证协议设计的安全性、实用性与高效性，以异构无线网络互联为场景，设计可信增强的安全漫游与切换协议，满足移动管理安全需求，项目的研究既是对安全协议设计模型的有益扩展，也是对异构网络认证架构的安全增强，并为实现异构无线网络可信互联提供理论与技术支持。主要成果包括：.1.可信计算环境下的安全协议模型。针对TCG的直接匿名证明方案不能实现跨域可信认证的不足，提出跨域的可信认证模型，对可信计算组织的单可信域认证模型进行完善；提出通用可组合安全的密钥交换协议模型，设计了密钥交换理想函数和有界检索模型的理想函数。.2.可证明安全的直接匿名证明协议。设计提出改进的直接匿名证明方案和协议，达到不可为伪造性和匿名性，有效抵抗伪装攻击等；针对移动网络应用环境，基于双线性对运算，提出多可信域可信认证方案，实现对可信平台的多域直接匿名认证，并设计多域DAA认证协议。.3.异构无线网络可信远程认证协议。提出无双线性对无证书的无线局域网络可信接入认证协议，实现站点与接入点之间的双向身份认证和单播会话密钥的协商；提出异构无线网络快速安全切换方法，对链路层和网络层的切换信令进行整体规划，缩短切换前和切换过程所需的时延；提出改进的基于二次剩余假设的隐私保护认证方案，实现了双因子的安全性和用户不可追追踪性；提出基于票据的无连接性的匿名认证方案，提供身份认证匿名性和不可连接性。.4.可信路由协议及服务方法。提出基于信任评估的可信路由关键节点选取算法，进而实现可信的网络路由机制；无线数字社区等开放式可评价系统中，服务消费者难与众多服务提供者都建立可信交互关系，提出两层选择结构使用户获得可信服务和最大服务收益。