行動網路中有效率的跨領域身份驗證協定

Abstract

現有的許多跨領域身份驗證協定在進行跨領域身份驗證時，使用者都需 要直接與每個相關的金鑰分送中心一一通訊。然而，當使用者使用的是行 動通訊設備時，由於行動設備是由電池供電而且無線通訊的頻寬非常小， 這種一一通訊的方式就變得相當沒有效率且花費很大。在這篇論文中，我 們提出了一個適用於行動網路中有效率的跨領域身份驗證協定，這個協定 把身份驗證所需的訊息數儘量減少而且提供更佳的安全性。在進行跨領域 身份驗證時，我們的協定不需要一一與相關的金鑰分送中心通訊就能完成 身份驗證，而且只需要七個訊息即可完成；於後續的身份驗證時，如果漫 遊使用者在拜訪的領域中要求了其他的服務時，第一次只要四個訊息即可 完成身份驗證，而再次要求相同服務時只要兩個訊息即可。每次的身份驗 證時，使用者只需發出一個簡短的訊息即可完成。在這篇論文中，我們也 改良了BAN Logic在證明兩個通訊者與所用的通訊密鑰之間關連性的證明 。利用這個改良的邏輯，我們可以證明我們的身份驗證協定可以達成比原 來BAN Logic所要求的更多身份驗證目的。 Many existing inter-domain authentication protocols require their clients to communicate with every involved key distribution center (KDC) directly. This is inefficient and costly when the client side is a wireless mobile unit, for wireless transmission has relatively lower bandwidth and the mobile unit!is battery powered. In this thesis, we present an efficient inter-domain authentication protocol which minimizes the numbers of authentication messages and providing better security. Our protocol needsseven messages for inter-domain initial authentication regardless of the number of KDCs transited between the visited and home domains; four messages for subsequent authentication when the mobile user requests a different service provided by the visited domain; two messages while requesting the same service again. In this thesis, an enhanced version of BAN Logic is also proposed to prove the association of the shared key between the two communication parties. With the enhanced version of BAN Logic, it is proved that our protocol can achieve more goals of authentication than those required by original BAN Logic.