随着移动通信技术的不断发展以及三网融合的进行,移动互联网成为了 一个异构融合的网络,异构移动互联网中的安全问题更加复杂。随着移动通信的发展,任何用户可以随时随地的向任何人接收发送信息,移动互联网中面临的安全威胁、安全需求以及相应的安全策略都发生了变化,因此有必要对移动互联网的安全机制进行研究。一方面,对计算性能不同、接入手段不同的网络需要根据不同的安全要求,结合其本身的安全机制提出相应的安全方案;另一方面,网络的融合诞生了新的安全需求,需要对新的需求进行研究,设计合适的安全方案。本文对移动互联网中的认证协议进行了研究。首先,从终端、网络和应用三个角度对移动互联网中的安全威胁进行分析,总结了移动互联网的安全需求,并对其中安全接入的关键技术——认证和密钥协商进行了深入的分析;其次,结合移动互联网的网络环境和安全需求,提出了适合移动互联网的认证及密钥协商协议,包括轻量级设备之间的认证、基于口令的用户认证、基于身份的快速认证、基于属性的匿名认证以及基于Kerberos的多用户接入认证;最后实现了移动互联网安全通信系统,包括短信、彩信、语音(VOIP)以及分组数据的安全传输,该系统在移动终端和安全网关之间实现了短信、彩信和语音的端到端加密以及VPN接入。该系统使用了本文所提的基于身份的认证和密钥协商协议,并且其中VPN已经在联想乐phone手机上得到了应用,短信、彩信和语音的端到端加密在太极联合实验室的中国移动MAS业务系统上得到了应用。本文的创新性工作如下:1.考虑到移动互联网中计算能力较弱的设备接入网络的认证要求,提出了一种适用于设备接入的的轻量级认证协议。该协议基于基于哈希链技术,在少量增加网络端的计算消耗的同时,最大限度的减少了终端的计算消耗,可以快速的在终端和网络服务器之间建立信任关系。同时,该协议还具有可扩展性,可以抵抗各种攻击,适合于RFID、传感器网络等终端计算性较弱的网络结构。2.针对移动互联网中用户接入的现状,提出了一种智能卡+ 口令的用户接入认证协议,并使用BAN逻辑进行了形式化安全证明。协议在保持用户和服务器双向认证的同时,提供用户对应用服务器匿名,防止应用服务器通过用户的活动来分析用户的行为特征和用户所在的位置。协议引入了可信第三方,应用服务器可以借助于可信第三方的帮助,实现对恶意用户的追踪。该协议仅使用哈希算法实现,计算消耗和通信消耗都很小。3.对现有基于身份的认证和密钥协商协议做了研究,发现现有的大部分协议不能抵抗中间结果泄露攻击,基于此提出了一种高效的基于身份的认证和密钥协商协议,并分析了基于身份的认证和密钥协商协议的安全模型,在seCK模型下证明了所提协议的安全性。经过安全性分析和与现有协议的对比,该协议可抵抗已知的各种攻击,并支持多种安全特性,计算消耗和通讯消耗也相对较少,适合移动环境的使用。这个协议是首个seCK模型安全的基于身份的认证和密钥协商协议。4.提出了一种可以支持密钥撤销的基于属性加密的方案,该方案中的密钥撤销信息保存在密文中,解密时判断解密密钥的密钥信息是否属于撤销集合,如果属于,就无法解密,在应用时可以根据需要临时调整撤销集合,非常灵活。根据所提方案提出了可证明安全的基于属性的认证和密钥协商协议,该协议可以实现通讯双方的匿名认证,同时可以实现精细的权限控制,适合安全性要求较高的情况下使用。论文对seCK模型进行了改造,结合基于属性的认证和密钥协商协议的特点,提出了基于属性的认证和密钥协商协议的安全模型,并基于该模型对所提协议进行了安全性证明。把所提基于属性的加密方案引入Kerberos认证,结合移动互联网的push应用提出了多用户接入和密钥分发协议,在此协议中,某一用户可以邀请其它多个用户加入通讯,服务器只用一条组播消息就能实现多用户认证和组密钥分发。