基于零信任架构的移动自组织网络持续认证系统及方法

本发明属于无线自组织网络的安全，具体地说，是指一种基于零信任架构的移动自组织网络持续认证系统及持续认证方法。

背景技术：

1、无线自组织网络作为下一代互联网技术，能够以一组具有无线收发装置的可移动节点组网形成临时多跳自治系统，在特定环境下为用户提供有限区域的应急通信服务。移动自组织网络(mobile ad-hoc network，manet)作为无线自组织网络中的一种，具有动态变换的网络拓扑结构、无中心网络、所有节点地位平等、多跳组网方式等诸多特点。其中的每个终端不仅可移动，而且兼有路由器和主机两种功能。和具有基础设施中心控制的传统无线网络相比，移动自组织网络更容易受到各种安全威胁和攻击，从而损害数据的机密性、完整性、可用性和不可否认性。因此，需要新的安全架构来克服这些威胁并为移动自组织网络提供可信环境。

2、零信任是一种以资源保护为核心的当代网络安全架构，它提供了一种新的网络安全策略来消除隐性信任。它假设所有用户、设备、应用程序及其内部和外部网络流量都是不可信的，并且在授予网络资源许可之前应在交互的每个阶段进行持续认证和确认。零信任本着“永不信任，持续验证”的理念，可以为移动自组织网络提供一个多层次、全周期的安全架构，可以通过多种方式保障移动自组织网络中的通信、资源和节点安全。

3、零信任架构中防止恶意节点获取网络服务的首要保护措施就是持续身份认证机制，因为它是整个安全模型的引导。传统的认证方案只在设备或用户访问系统的安全边界时对其身份进行认证，而持续认证意味着它在整个过程中保持对实体的身份认证，而不是一次验证。特别是在移动自组织网络中，必须重视和加强认证协议，以确保只有授权用户才能访问网络资源和服务。并且，由于移动自组织网络中网络资源通常受限，为保障网络中业务的正常运行，还必须控制持续认证过程产生的各类开销。

4、2010年kindervag首次提出“零信任网络(zero trust network)”的概念。2019年，美国国家标准与技术研究院将零信任架构(zero trust architecture,zta)确定为一种包含身份(用户和终端)、凭证、访问控制、操作、信息基础设施等所有网络要素的一种端对端安全体系。其实现路径是针对不同身份进行细粒度的访问控制，以应对越来越严峻的针对身份认证和授权访问的攻击行为。近年来，逐渐有研究者将目光投向基于零信任架构的移动自组织网络。2021年，deshpande等人针对车辆自组织网络，提出了各种零信任管理系统和建议，以实现车辆到基础设施(vehicle to infrastructure,v2i)和车辆到车辆(vehicle to vehicle,v2v)之间的安全通信，阻止存在恶意行为的车辆参与通信，并防止自组织网络中的攻击。还总结了实现高性能零信任的参数优化，数据包交付率、端到端延迟和吞吐量，也可以使用带宽利用率、可用路径和控制数据包开销。2022年，fang等人针对车联网中用户设备和身份的篡改攻击，建立了一种多因素认证方案，通过设备指纹认证和pki认证实现双重身份认证。通过零信任安全网络架构，有效提高了系统在数据传输过程中的安全级别，实现了以身份为中心的动态访问控制，实时监控用户行为，筛选并消除了恶意节点，提高了车联网数据传输系统的稳定性和安全性。以身份认证通过率、指纹认证通过率，api认证通过率和spa数据包传输接受率计算车辆的等级水平。该方法与传统的以边界为中心的安全保护相比，可以提供更广泛的应用安全保护，即使存在安全问题，损失也更小。

5、零信任架构建立在三个主要原则之上：风险意识、最低特权访问和持续身份认证。其中，持续身份认证是零信任架构的重要部分。现有的绝大多数持续身份认证协议主要关注“人”的身份验证。这些持续认证的实现通常依赖于个人的生物信息或用户特征，如虹膜、指纹、心电图、人脸、语音、足底压力、手势以及多模态结合等。然而，这类广泛研究的依赖于生物信息或用户行为特征的持续认证方案具有较大的局限性，只适用于人/用户身份认证，无法扩展到自组织网络等领域中的设备对设备(device-to-device，d2d)认证。同时，自组织网络中的设备有资源限制，成本高昂的持续身份认证机制不适合这种使用场景。因此，研究人员设想了其他方式来迎合d2d认证的特点。zhuang等人2018年提出了一种基于电池剩余容量的设备对设备连续认证方案。该方案只使用了轻量级的加密方法，具有较低的计算成本。然而，该方案假设设备的功耗是线性的。实际上，设备的电池容量的变化受到许多因素的影响，并且很难准确估计。同时，该方案在初始化阶段需要一个可信方和一个安全通道。shah等人2021年提出了一种新的轻量级持续设备到设备认证协议，该协议利用csi和可调数学函数来生成用于持续设备认证的动态变化会话密钥，并利用scyther工具来分析方案的安全性。但是文章对初始化阶段没有描述，也没有证明两个实体如何获得相同的随机种子，只对安全性给出了强有力的假设。meng等人2022年提出用于零信任体系结构的无信任机构连续认证协议，将区块链引入零信任持续认证，使用区块链来消除可信节点。将设备分为三类：可信设备、可疑设备和不可信设备，具有不同长度的安全参数和间隔，可以在安全性和效率之间达到更好的平衡。但过程中需要使用基础设施信任评估中心评估设备的行为并输出结果。

6、综上所述，目前针对移动自组织网络的零信任架构研究尚在起步阶段，具有研究价值。并且，当前移动自组织网络中的认证机制多为一次认证，无法解决零信任架构前沿的持续认证问题。现有的持续认证技术大多仅针对用户或人，利用生物特征或用户行为特征进行持续认证，适用性较低，无拓展至自组织网领域。而已经提出的d2d持续认证技术又大多应用于物联网领域，在移动自组织网络中有一定的缺失。因此，针对移动自组织网络的持续认证技术研究，可以有效弥补移动自组织网络中基于零信任架构的持续认证技术研究的缺失，为移动自组织网络提供一个切实可行的安全方案，有助于提供可靠的manet安全保障。

技术实现思路

1、现有零信任架构持续认证方案没有考虑到manet网络的自组织拓扑、资源受限、动态性等特点，本发明针对移动自组织网络的零信任架构的研究问题，提供了一种基于零信任架构的移动自组织网络持续认证系统及方法，实现了持续认证触发方式、持续认证协议和消息处理。

2、本发明提供的一种基于零信任架构的移动自组织网络持续认证系统，在每个移动节点上部署支撑组件和核心组件；其中，支撑组件实现节点自身异常检测、当前网络态势感知和节点身份认证的功能；核心组件由策略决策点和策略执行点组成。

3、当节点x请求访问节点y上的资源时，节点x为被认证方，节点y为认证方；认证方的策略执行点接收被认证方发送来的请求消息，进行初步检查和处理后，发送请求消息和持续认证的触发控制信息给策略决策点；认证方的支撑组件当检测到被认证方的认证计时器到期、行为异常或者网络拓扑变化时，发送持续认证的触发控制信息给策略决策点；认证方的策略决策点接收到策略执行点或者支撑组件发来的持续认证的触发控制信息后，进行持续认证决策，下发决策消息给策略执行点；y的策略执行点在收到持续认证的决策消息后，调用支撑组件的身份认证功能进行持续认证操作，在认证结束后更新x的认证状态。

4、在每个节点中设置本地认证表，本地认证表中记录被认证方的认证状态，认证状态分为正常、待确认或恶意三种。被认证方在初始认证成功后，标记认证状态为正常。当节点y检测或收到节点x的认证计时器到期或网络拓扑变化或行为异常或权限变更请求时，触发持续认证流程，y将节点x的认证状态转换为待确认。若节点x持续认证成功，则x的认证状态转变回正常状态。若节点x持续认证失败，则x的认证状态转换为恶意状态，节点y将“节点x为恶意节点”的信息同步至其他节点。若节点y收到来自其他节点z的通知“节点x为恶意节点”时，节点y将本地认证表中节点x的认证状态由正常状态转变为恶意状态。节点y将本地认证表中认证状态为恶意的节点删除，并反馈至本节点底层模块，设置对恶意节点的屏蔽处理。

5、所述的策略执行点，采用基于哈希hash的挑战/应答方式对被认证方进行身份认证，实现持续认证操作。认证方和被认证方预存储共享密钥，根据被认证方持续认证的触发行为，设置密钥k分为5种：初始认证密钥、权限变更密钥、时间密钥、拓扑密钥、异常密钥。

6、对应的，本发明提供的一种基于零信任架构的移动自组织网络持续认证方法，使用本发明提供的持续认证系统，在每个移动节点上部署支撑组件和核心组件。本发明方法包括：

7、步骤1，节点y接收到节点x发送来的初始认证或权限变更的请求消息时，策略执行点对请求消息进行初步检查，当检查通过后，将该请求消息和持续认证的触发控制信息发送给y的策略决策点，转步骤3执行；节点y在本地认证表中更新节点x的认证状态为待确认；

8、步骤2，节点y的支撑组件检测到节点x的认证计时器到期、行为异常或者网络拓扑变化时，发送持续认证的触发控制信息给节点y的策略决策点，执行步骤3；节点y在本地认证表中更新节点x的认证状态为待确认；

9、步骤3，节点y的策略决策点接收到所述触发控制信息后，进行认证决策，包含是否发起认证以及发生什么类型的认证，将决策结果下发至策略执行点；

10、步骤4，节点y的策略执行点接收所述决策结果，当决策结果为对节点x执行持续认证时，调用支撑组件的身份认证功能，构造和处理持续认证消息；

11、步骤5，节点y在本地认证表中更新节点x的认证状态，包含：当节点x认证成功后，更新x的认证状态为正常；当节点x认证失败，更新x的认证状态为恶意，节点y将“节点x为恶意节点”的信息同步给其他节点；当节点y接收到其他节点同步的“节点x为恶意节点”的信息时，更新x的认证状态为恶意；

12、节点y将本地认证表中认证状态为恶意的节点删除，并反馈至底层模块进行恶意节点屏蔽处理。

13、本发明的移动自组织网络持续认证方法设置移动节点间使用的持续认证协议中设计了8种消息结构，8种消息包含：初始认证请求消息、初始认证确认消息、初始认证回复消息、权限变更请求消息、持续认证确认消息、持续认证回复消息、认证通知消息、以及认证警告消息。

14、本发明的优点与积极效果在于：本发明的移动自组织网络持续认证方法及系统为需要高可信环境的manet网络提供了一种符合zta通用架构的持续认证可行方案，实现了主体请求触发和控制信息触发两类，具有更加完整的持续认证触发方式，更符合manet网络动态性的特点；持续认证协议设计了8种消息和主要认证相关流程，实现了协议的完整性和最简性；本发明实现了持续认证触发方式、持续认证协议和消息处理的完整处理，可以有效弥补移动自组织网络中基于零信任架构的持续认证技术研究的缺失，为移动自组织网络提供一个切实可行的安全方案，有助于提供可靠的manet安全保障。