基于真实IPv6地址的跨域身份认证的研究和实现

摘要

网络的开放性和缺陷使得攻击者很容易利用这些网络自身的弱点发起各种各样的攻击，现有的网络体系结构对IP地址的真实性并没有进行严格认证，大量伪地址和网络地址转换技术(NAT)使得管理者对于攻击者的追踪和定位比较困难。2005年，CNGI-CERNET2首次提出了“基于真实IPv6源地址的网络寻址体系结构”，试图从体系结构上解决下一代互联网的安全隐患。
　　身份认证技术作为网络安全技术的重要组成，起着保证用户的合法接入以及资源的合法使用的作用。引入真实IPv6地址之后，身份认证如何使用它辅助对用户进行认证，是亟需研究解决的问题。身份认证系统在CERNET2中需要为上层应用提供统一的安全服务，上层应用可能来自使用不同认证协议的不同自治域，这又对身份认证系统的兼容性以及统一应用提出了挑战，因此，为身份认证系统设计通用的跨域认证方法是当前另一个亟待解决的问题。本论文的主要工作如下：
　　①根据身份认证过程中要支持真实IPv6地址的需要，在研究典型的一次性口令认证方案S/Key方案以及S/Key方案的改进方案SAS方案基础之上，提出了一种基于对称密码和真实IPv6地址的动态口令认证方案，该方案可以在用户身份认证过程中对真实IP地址进行判断。
　　②针对如何让用户接入CERNET2，本文基于下一代身份认证的协议标准—Diameter协议提出了一个支持真实IPv6地址的网络接入服务器模型，该模型可以辅助网络应用对真实地址的判断要求。
　　③针对Diameter跨域认证不能很好的支持其他认证协议，本文提出了一个基于Diameter的跨域认证框架。该框架采用SAML和Web服务技术，可以完成本域用户、外域用户在本域以及本域用户在外域的认证，可以满足外地域网络应用对真实IPv6地址验证的需要。
　　④基于所提出的动态口令认证方案、网络接入服务器模型和认证框架，结合项目的要求和环境，本文进行了原型系统开发和功能测试。
　　本文的研究来源于国家发改委CNGI示范项目“面向IPv6的互联网安全体系结构和关键技术研究”中重庆大学子项目—“基于真实IPv6地址的身份认证系统”。项目测试结果显示，基于真实 IPv6地址的Diameter身份认证系统以及跨域认证方案达到了预期设计效果，能在CERNET2中基于真实IPv6地址进行跨域认证。

目录

封面

中文摘要

英文摘要

目录

1 绪论

1.1 研究背景

1.2 问题的提出及研究意义

1.3 国内外研究现状

1.4 本文主要工作

1.5 论文的结构

2 身份认证技术概述

2.1 身份认证的定义及其认证途径

2.2 身份认证的密码学基础

2.3 常用身份认证技术

2.4 本章小结

3 基于真实IP地址的动态口令认证方案

3.1 动态口令认证的实现原理

3.2 S/Key口令认证方案分析

3.3 真实IP地址及其对身份认证的影响

3.4 满足真实IP地址需要的动态口令认证方案RDPAS

3.5 本章小结

4 基于真实IP和Diameter的网络接入服务器模型

4.1 Diameter协议概述

4.2 Diameter协议的工作模型

4.3 Diameter的应用协议

4.4 基于真实IP和Diameter的网络接入服务器模型

4.5 本章小结

5 基于Diameter的跨域认证框架

5.1 Diameter的跨域认证

5.2 跨域认证方式概述

5.3 基于Diameter跨域框架

5.4 跨域认证框架的改进

5.5 本章小结

6 基于真实IP地址的跨域身份认证原型系统的设计与实现

6.1 基于真实IP地址的认证方案的设计与实现

6.2 基于真实IP地址的跨域身份认证原型系统的设计

6.3 跨域认证原型系统的测试

6.4 本章小结

7 总结和展望

7.1 研究总结

7.2 研究展望

致谢

参考文献

附录