[go: up one dir, main page]

CN110971415B - 一种天地一体化空间信息网络匿名接入认证方法及系统 - Google Patents

一种天地一体化空间信息网络匿名接入认证方法及系统 Download PDF

Info

Publication number
CN110971415B
CN110971415B CN201911283127.8A CN201911283127A CN110971415B CN 110971415 B CN110971415 B CN 110971415B CN 201911283127 A CN201911283127 A CN 201911283127A CN 110971415 B CN110971415 B CN 110971415B
Authority
CN
China
Prior art keywords
message
key
satellite
access authentication
terminal equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911283127.8A
Other languages
English (en)
Other versions
CN110971415A (zh
Inventor
徐川
刘子琦
赵国锋
孙南彬
韩珍珍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chongqing University of Post and Telecommunications
Original Assignee
Chongqing University of Post and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chongqing University of Post and Telecommunications filed Critical Chongqing University of Post and Telecommunications
Priority to CN201911283127.8A priority Critical patent/CN110971415B/zh
Publication of CN110971415A publication Critical patent/CN110971415A/zh
Application granted granted Critical
Publication of CN110971415B publication Critical patent/CN110971415B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0847Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种天地一体化空间信息网络匿名接入认证方法及系统,该方法由终端设备和卫星分别向地面管理中心进行注册,终端设备向卫星发送首次接入认证请求,卫星转发终端设备的接入认证请求以及身份认证消息,地面管理中心回复卫星首次接入认证第一响应,终端设备接收并验证卫星发送的首次接入认证第二响应,完成首次接入认证过程,终端设备向卫星发送再次接入认证请求,接收卫星的再次接入认证响应,完成再次接入认证过程,本方法可以有效地对终端设备的合法性进行判断,保护了终端设备的隐私,大大降低了接入认证的复杂度。

Description

一种天地一体化空间信息网络匿名接入认证方法及系统
技术领域
本发明涉及信息网络安全领域,具体而言,尤其涉及一种天地一体化空间信息网络匿名接入认证的方法。
背景技术
随着天地一体化空间信息网络技术迅速发展。同时,随着国家安全、航空航天、灾害预警等需求的不断增强,以及各种战略信息任务在陆、海、空、天等不同维度空间不断开展,使原先相互独立的网络根据需要进行信息共享,实现跨地域、跨空域通信和网络各节点协同工作,这促使空间信息网络进一步发展,接入认证作为网络安全防护的第一道防线,其能够用于自身网络中各个节点之间的身份识别,防止恶意非法终端设备占用网络资源,因此安全接入认证方案对于天地一体化空间信息网络来说至关重要。
由于在天地一体化空间信息网络中,存在资源有限、时延大、网络拓扑动态变化、信道高度暴露易受攻击以及接入终端设备种类较多的特点,不同安全等级需求的终端接入卫星时候会面临着频繁接入认证的问题。但是,传统的天地一体化空间信息网络匿名接入认证的方法基于公钥密码体制,其计算开销大,密钥更新开销大,只能实现卫星对终端设备的单向认证,不能防止重放攻击,无法针对不同安全需求的终端设备选择合适的接入认证方式。这使得在资源有限的天地一体化空间信息网络中想对终端设备提供服务变得更加困难,终端设备的服务体验也极大的受到影响。
因此,本发明提供一种天地一体化空间信息网络匿名接入认证方法及系统,减少接入认证交互次数,降低接入认证时延和计算开销的同时保证终端设备接入认证过程的安全性。
发明内容
本发明旨在解决以上现有技术的问题,提供一种天地一体化空间信息网络匿名接入认证的方法及系统,减少接入认证交互次数,降低接入认证时延和计算开销的同时保证终端设备接入认证过程的安全性。
根据本发明的一个方面,提供一种天地一体化空间信息网络匿名接入认证的方法,所述方法包括:
步骤1,终端设备和卫星分别向地面管理中心发送携带有固有身份的信息来进行注册,地面管理中心向所述终端设备发送包含有终端设备真实身份IDu、第一密钥K和第一随机数r的注册响应,地面管理中心向卫星发送包含有卫星设备真实身份IDs、第二密钥K’、第二随机数r’以及地面管理中心的公钥PNCC的注册响应;
步骤2,终端设备向卫星发送首次接入认证请求消息,所述首次接入认证请求消息包括:使用异或运算和哈希函数计算得到的第三随机数
Figure BDA0002317301940000021
利用第三随机数H计算得到的终端设备伪身份
Figure BDA0002317301940000022
第一消息验证码MACu=h(IDu||Ru||T)以及第四随机数
Figure BDA0002317301940000023
其中Ru为终端发送认证请求的时候生成的第五随机数,T为第一时间戳,
Figure BDA0002317301940000024
运算符号表示异或运算,||运算符号表示拼接运算,h()函数为哈希函数;
步骤3,卫星接收首次接入认证请求消息,通过在卫星上维护的合法接入用户验证表判断当前终端设备是否首次接入认证,若为首次接入认证,转发终端设备的接入认证请求消息以及卫星的身份认证消息给地面管理中心,其中卫星的身份认证消息包括:卫星使用异或运算和哈希函数计算得到第六随机数
Figure BDA0002317301940000031
Figure BDA0002317301940000032
利用第六随机数H’计算得到的卫星伪身份
Figure BDA0002317301940000033
第二消息验证码MACs=h(IDs||Rs||T’)以及第七随机数
Figure BDA0002317301940000034
其中T’为第二时间戳,Rs为卫星发送身份认证消息时生成的第八随机数;
步骤4,地面管理中心接收并验证终端设备的首次接入认证请求消息以及卫星的身份认证消息,若验证失败,则回复认证失败消息;若验证成功,则回复卫星首次接入认证第一响应消息,所述首次接入认证第一响应消息包括:消息S、协商密钥生成算法、使用卫星和地面协商的第一会话密钥sk对终端设备真实身份IDu和第一密钥K加密得到的消息、使用第一消息验证码密钥MAC_key对消息S进行签名得到的第三消息验证码MAC以及第三时间戳TNCC信息;
步骤5,卫星接收首次接入认证第一响应消息,使用地面管理中心的公钥PNCC验证消息S,若验证成功,则根据与地面管理中心协商的密钥生成算法,计算出用于密钥更新的第一会话密钥sk=h(h(K||r’||Rs)||K’),以及第一消息验证码密钥MAC_key=h(K’||h(K||r’||Rs)||rs),验证第三消息验证码MAC,并判断时间戳信息是否在允许的时间范围内,解得认证成功的终端设备真实身份IDu和对应的第一密钥K,建立对应关系表,计算用于生成卫星和终端之间数据安全传输的第二会话密钥SK的元素Hsat=h(K’||r’||r||Ts’)、卫星消息验证码密钥MACSAT_key=h(IDu||K||ru)和唯一指定终端设备的标识消息session_id=h(IDu||Ts’),其中Ts’为第四时间戳;
步骤6,卫星发送首次接入认证第二响应消息给终端设备,所述首次接入认证第二响应消息包括:使用第一密钥K对第二会话密钥SK的元素Hsat以及唯一指定终端设备的第一标识消息session_id加密得到的消息,使用卫星消息验证码密钥MACSAT_key对所述第二响应消息的签名消息以及第四时间戳Ts’;
步骤7,终端设备接收并验证首次接入认证第二响应消息,计算卫星消息验证码密钥MACSAT_key=h(IDu||K||ru),验证签名消息,若验证成功,使用自己的第一密钥K解密得到第二会话密钥SK的元素Hsat和第一标识消息session_id,将第一标识消息session_id存储起来,计算用于第二会话密钥SK=h(h(K’||r’||r)||K),以及终端消息验证码密钥MACUS_key=h(IDu||Hsat),完成终端设备的首次接入认证过程;
步骤8,当终端设备需要再次进行接入认证时,计算第二消息验证码密钥MAC_key=h(K||IDu||Ru’),向卫星发送再次接入认证请求消息,所述再次接入认证请求消息包括:首次接入认证过程中保存的第一标识消息session_id、使用第一密钥K对终端设备真实身份IDu、第二会话密钥SK以及第二消息验证码密钥MAC_Key加密的消息、第九随机数Ru’和第五时间戳Tu’、使用第二消息验证码密钥MAC_key对所述再次接入认证请求消息的签名消息;
步骤9,卫星接收并验证再次接入认证请求消息,若验证成功,与终端设备协商第三会话密钥SK’和第三消息验证码密钥MAC_key’,计算出第二标识消息session_id,删除之前保存的会话密钥信息,回复终端设备再次接入认证响应消息,所述再次接入认证响应消息包括:第二标识消息session_id、使用终端第一密钥K进行签名的签名消息、第十随机数Rs’和第六时间戳Ts”;
步骤10,终端设备接收再次接入认证响应消息,计算出用于数据安全传输的第三会话密钥SK’以及第三消息验证码密钥MAC_key’,完成再次接入认证过程。
根据本发明的另一方面,提供一种天地一体化空间信息网络匿名接入认证的系统,所述系统包括至少1颗卫星、多个终端设备和1个可信的地面管理中心,所述系统具体包括:
终端设备,用于:
向地面管理中心发送携带有固有身份的信息来进行注册,接收地面管理中心发送的包含有终端设备真实身份IDu、第一密钥K和第一随机数r的注册响应;
向卫星发送首次接入认证请求消息,所述首次接入认证请求消息包括:使用异或运算和哈希函数计算得到的第三随机数
Figure BDA0002317301940000051
利用第三随机数H计算得到的终端伪身份
Figure BDA0002317301940000052
第一消息验证码MACu=h(IDu||Ru||T)以及第四随机数
Figure BDA0002317301940000053
其中Ru为终端发送认证请求的时候生成的第五随机数,T为第一时间戳,
Figure BDA0002317301940000054
运算符号表示异或运算,||运算符号表示拼接运算,h()函数为哈希函数;
接收并验证卫星发送的首次接入认证第二响应消息,计算卫星消息验证码密钥MACSAT_key=h(IDu||K||ru),验证签名消息,若验证成功,使用自己的第一密钥K解密得到第二会话密钥SK的元素Hsat和第一标识消息session_id,将第一标识消息session_id存储起来,计算用于第二会话密钥SK=h(h(K’||r’||r)||K),以及终端消息验证码密钥MACUS_key=h(IDu||Hsat),完成终端设备的首次接入认证过程;
当需要再次进行接入认证时,计算第二消息验证码密钥MAC_key=h(K||IDu||Ru’),向卫星发送再次接入认证请求消息,所述再次接入认证请求消息包括:首次接入认证过程中保存的第一标识消息session_id、使用第一密钥K对终端设备真实身份IDu、第二会话密钥SK以及第二消息验证码密钥MAC_Key加密的消息、第九随机数Ru’和第五时间戳Tu’、使用第二消息验证码密钥MAC_key对所述再次接入认证请求消息的签名消息;
接收卫星发送的再次接入认证响应消息,计算出用于数据安全传输的第三会话密钥SK’以及第三消息验证码密钥MAC_key’,完成再次接入认证过程;
卫星,用于:
向地面管理中心发送携带有固有身份的信息来进行注册,接收地面管理中心发送的包含有卫星设备真实身份IDs、第二密钥K’、第二随机数r’以及地面管理中心的公钥PNCC的注册响应;
接收终端发送的首次接入认证请求消息,通过在卫星上维护的合法接入用户验证表判断当前终端设备是否首次接入认证,若为首次接入认证,转发终端设备的接入认证请求消息以及卫星的身份认证消息给地面管理中心,其中卫星的身份认证消息包括:卫星使用异或运算和哈希函数计算得到第六随机数
Figure BDA0002317301940000061
Figure BDA0002317301940000062
利用第六随机数H’计算得到的卫星伪身份
Figure BDA0002317301940000063
第二消息验证码MACs=h(IDs||Rs||T’)以及第七随机数
Figure BDA0002317301940000064
其中T’为第二时间戳,Rs为卫星发送身份认证消息时生成的第八随机数;
接收地面控制中心发送的首次接入认证第一响应消息,使用地面管理中心的公钥PNCC验证消息S,若验证成功,则根据与地面管理中心协商的密钥生成算法,计算出用于密钥更新的第一会话密钥sk=h(h(K||r’||Rs)||K’),以及第一消息验证码密钥MAC_key=h(K’||h(K||r’||Rs)||rs),验证第三消息验证码MAC,并判断时间戳信息是否在允许的时间范围内,解得认证成功的终端设备真实身份IDu和对应的第一密钥K,建立对应关系表,计算用于生成卫星和终端之间数据安全传输的第二会话密钥SK的元素Hsat=h(K’||r’||r||Ts’)、卫星消息验证码密钥MACSAT_key=h(IDu||K||ru)和唯一指定终端设备的第一标识消息session_id=h(IDu||Ts’),其中Ts’为第四时间戳;
发送首次接入认证第二响应消息给终端设备,所述首次接入认证第二响应消息包括:使用第一密钥K对第二会话密钥SK的元素Hsat以及唯一指定终端设备的第一标识消息session_id加密得到的消息,使用卫星消息验证码密钥MACSAT_key对所述第二响应消息的签名消息以及第四时间戳Ts’;
接收并验证终端设备发送的再次接入认证请求消息,若验证成功,与终端设备协商第三会话密钥SK’和第三消息验证码密钥MAC_key’,计算出第二标识消息session_id,删除之前保存的会话密钥信息,回复终端设备再次接入认证响应消息,所述再次接入认证响应消息包括:第二标识消息session_id、使用终端的第一密钥K进行签名的签名消息、第十随机数Rs’和第六时间戳Ts”;
地面管理中心,用于:
接收终端设备和卫星分别发送的携带有固有身份的注册信息,向所述终端设备发送包含有终端设备真实身份IDu、第一密钥K和第一随机数r的注册响应,向卫星发送包含有卫星设备真实身份IDs、第二密钥K’、第二随机数r’以及地面管理中心的公钥PNCC的注册响应;
接收并验证终端设备的首次接入认证请求消息以及卫星的身份认证消息,若验证失败,则回复认证失败消息;若验证成功,则回复卫星首次接入认证第一响应消息,所述首次接入认证第一响应消息包括:消息S、协商密钥生成算法、使用卫星和地面协商的第一会话密钥sk对终端设备真实身份IDu和密钥K加密得到的消息、使用第一消息验证码密钥MAC_key对消息S进行签名得到的第三消息验证码MAC以及第三时间戳TNCC信息。
本发明的有益效果在于,提出了一种天地一体化空间信息网络匿名接入认证方法及系统,可以有效地对终端设备的合法性进行判断,避免非法恶意用户对网络资源的非法访问。当终端设备首次向卫星发送接入认证请求时,卫星将认证请求并携带卫星的身份信息转发到地面管理中心进行验证,若验证成功,则地面管理中心将接入认证响应消息及加密后终端设备的真实身份信息发送给卫星,同时卫星上存储当前认证通过的终端设备的真实身份信息,便于终端设备再次接入认证时直接对终端设备的接入认证请求进行验证,同时通过使用伪终端设备身份,实现了终端设备的匿名认证,保护了终端设备的隐私,能够通过伪身份追踪到恶意用户的真实身份并向其追究责任。在终端设备请求再次接入认证时,本发明将认证功能转移到卫星,使用对称加密方式对终端设备进行认证,大大降低了接入认证的复杂度,减小了接入认证时延和计算开销,并提供给不同安全需求的用户多种接入认证安全等级选项,同时有效地保证系统的安全性。
附图说明
图1是本发明提供的一种天地一体化空间信息网络匿名接入认证方法整体运行流程图;
图2是本发明提供的另一种天地一体化空间信息网络匿名接入认证方法的流程示意图;
图3是本发明提供的终端设备首次接入卫星认证流程图;
图4是本发明提供的终端设备再次接入卫星认证流程图;
图5是本发明提供的一种天地一体化空间信息网络匿名接入认证系统的总体架构图。
具体实施方式
下面对本发明具体的实施方式进行阐述,来进一步说明本发明的出发点以及相应的技术方案。
如图1所示为天地一体化空间信息网络匿名接入认证方法流程图,其主要包括如下三个阶段:系统初始化阶段、注册阶段与认证阶段。下面针对这三个阶段做详细的介绍。
一、系统初始化阶段:建立系统参数,所建立的系统参数主要包括:两个质数p和q,欧拉公式φ(n)模运算;地面管理中心NCC的公私钥对;卫星的公私钥对;单向哈希函数h。
二、注册阶段:终端设备通过向地面管理中心登记注册以获取相关的终端设备信息,同时,终端设备完整注册时,卫星还要向地面管理中心进行登记注册以获取相关的卫星信息以及地面管理中心的公钥信息。
三、认证阶段:终端设备利用终端设备信息生成认证相关参数信息并发送给接入卫星,卫星首先判断终端设备是否首次接入认证,若不是,则转发终端设备接入认证请求信息以及卫星的身份认证信息到地面管理中心,由地面管理中心进行验证,同时将验证通过的终端设备真实身份信息以及对应密钥信息发送给卫星,卫星将认证响应消息回复给终端设备,同时双方协商出会话密钥以及消息验证码用于之后的密钥更新,完成首次接入认证。若终端设备再次发起认证请求,由接入卫星对认证请求消息进行判断,若验证通过,则利用终端设备首次接入认证协商的会话密钥生成新的会话密钥信息以及消息验证码,完成再次接入认证。
图2是本发明提供的另一种天地一体化空间信息网络匿名接入认证方法的流程示意图,所述方法包括以下步骤:
步骤201,终端设备携带固有身份信息向地面管理中心进行注册,卫星终端携带卫星固有设备信息向地面管理中心进行注册,地面管理中心向所述终端设备以及卫星发送注册响应,保存终端设备以及卫星的注册信息。完成所述终端设备以及卫星的注册,具体为:固有身份信息包括18位的身份证号或设备生产编号,若不足18位则用随机数填充,地面管理中心获取终端设备的的固有身份信息后计算终端设备真实身份IDu=SHA1(身份证号或设备生产编号||18字节的随机数),以对称加密的方式生成256bit对应的密钥K,同时生成256bit的随机数r发送给注册的终端设备,终端设备将IDu、K以及r存储起来;其中函数SHA1()为安全散列算法1的哈希函数,SHA1(身份证号或设备生产编号||18字节的随机数)运算表示,对身份证号或者设备生产编号与18字节的随机数拼接后进行单向哈希计算。
卫星固有设备信息包括18位卫星生产编号,若不足18位则用随机数填充,地面管理中心获取卫星设备的固有身份信息后计算卫星真实身份IDs=SHA1(卫星生产编号||18字节的随机数),以对称加密的方式生成256bit对应的密钥K’,同时生成256bit的随机数r’,地面管理中心以非对称加密算法方式生成公私钥对,发送给注册的卫星,卫星将IDs、K’、r’以及NCC的公钥PNCC存储起来;
步骤202,终端设备向卫星发送接入认证请求消息,包括使用异或运算和哈希函数计算得到的随机数
Figure BDA0002317301940000111
进一步计算得到的伪身份
Figure BDA0002317301940000112
H,消息验证码MACu=h(IDu||Ru||T)以及随机数
Figure BDA0002317301940000113
其中T为时间戳,Ru为终端发送认证请求的时候自己生成的随机数,都是为了保证消息的新鲜性;ru是终端通过生成的随机数Ru和之前注册获得的随机数r共同计算得到的;
Figure BDA0002317301940000114
运算符号表示异或运算,
Figure BDA0002317301940000115
表示K与Ru拼接后进行哈希计算,然后与r进行异或运算得到H。
优选的,终端设备向卫星发送接入认证请求消息还包括终端设备选择的安全等级的接入认证方式,所述安全等级的接入认证方式经过卫星转发到地面管理中心,地面管理中心再选择对应的计算方式进行认证。所述终端设备可以选择不同安全等级的接入认证方式包括哈希hash算法选项、随机数长度选项以及对称加密算法选项,其中,哈希hash算法选项包括安全散列算法SHA1、安全散列算法SHA128以及安全散列算法SHA256,随机数长度选项包括32bit、64bit以及128bit,对称加密算法选项包括AES(高级加密标准,AdvancedEncryption Standard),DES(数据加密标准,Data Encryption Standard)以及3DES(三重数据加密标准,Triple Data Encryption Algorithm)。
步骤203,卫星接收到终端设备的接入认证请求消息,通过在卫星上维护的合法接入用户验证表判断当前终端设备是否首次接入认证,比如可以通过终端设备是否携带有session_id信息,或携带的session_id信息是否在合法接入用户验证表中来判断是否首次接入认证。若为首次接入认证,转发终端设备的接入认证请求消息以及卫星的身份认证消息给地面管理中心,以此来向地面询问终端设备的合法性。
卫星的身份认证消息具体包括:卫星使用异或运算和哈希函数计算得到随机数
Figure BDA0002317301940000121
进一步计算得到伪身份
Figure BDA0002317301940000122
消息验证码MACs=h(IDs||Rs||T’)以及随机数
Figure BDA0002317301940000123
其中T’为时间戳,Rs为卫星发送认证请求时自己生成的随机数。
步骤204,地面管理中心接收终端设备的接入认证请求消息以及卫星的身份认证消息并进行验证,使用反异或运算解出终端设备和卫星的真实身份IDu和IDs,地面管理中心通过查注册表找到终端设备和卫星的密钥K和K’,进一步使用反异或运算计算出随机数r和r’,并使用随机数r和r’通过哈希函数计算h(K’||r’),进一步使用反异或运算计算出用于生成消息验证码MAC的随机数Ru和Rs,计算出MACu和MACs,与终端设备和卫星发送的MACu和MACs比对,并判断时间戳是否在允许的时间范围内,若验证失败,则回复认证失败消息,若验证成功,则计算出用于密钥更新的主密钥h(K||r’||Rs),使用NCC的私钥对其签名得到消息S,同时回复卫星接入认证响应消息,包括消息S、协商密钥生成算法、使用会话密钥sk对IDu和K加密的消息、使用消息验证码密钥MAC_key对消息S进行签名得到消息验证码MAC以及时间戳TNCC信息;
步骤205,卫星接收到接入认证响应消息,使用NCC的公钥验证消息S,若验证成功,则根据与地面管理中心协商的密钥生成算法,计算出用于密钥更新的会话密钥sk=h(h(K||r’||Rs)||K’),sk是卫星和地面协商的会话密钥,以及MAC_key=h(K’||h(K||r’||Rs)||rs),验证消息验证码MAC,并判断时间戳信息是否在允许的时间范围内,解得认证成功的终端设备真实身份IDu和对应的密钥K,建立对应关系表存储在卫星上,计算用于生成数据安全传输的密钥SK的元素Hsat=h(K’||r’||r||Ts’)、消息验证码MACSAT_key=h(IDu||K||ru)和唯一指定终端设备的标识消息session_id=h(IDu||Ts’),其中Ts’为时间戳。
步骤206,卫星发送接入认证响应消息给终端设备,包括使用终端设备注册密钥K对Hsat以及session_id加密的消息,使用MACSAT_key对消息签名得到消息验证码以及时间戳Ts’;
步骤207,当终端设备接收到接入认证响应消息后,对消息进行验证,具体为:终端设备计算MACSAT_key=h(IDu||K||ru),验证签名,若验证成功,使用自己的密钥K解密得到Hsat和session_id,将session_id存储起来,进一步计算出用于数据安全传输的密钥SK=h(h(K’||r’||r)||K),SK是终端和卫星之间协商生成的会话密钥,以及消息验证码MACUS_key=h(IDu||Hsat),完成终端设备的首次接入认证过程。
步骤208,当终端设备需要再次进行接入认证时(比如终端设备断开连接后,要重新接入网络时),计算消息验证码密钥MAC_key=h(K||IDu||Ru’),发送再次接入认证请求消息,包括首次接入认证的session_id、使用密钥K对终端设备真实身份IDu、会话密钥SK以及消息验证码密钥MAC_Key加密的消息、随机数Ru’和时间戳Tu’,并使用MAC_key对该消息进行签名;
步骤209,卫星接收到再次接入认证请求消息,验证接入认证请求消息,具体为:根据接收到的session_id查找到其唯一指定的终端设备的密钥K,进一步使用密钥K解密得到IDu’、SK和MACUS_key,同时通过对应关系表查找密钥K对应的终端设备真实身份IDu,比对IDu和IDu’,若一致,并验证签名消息,验证成功,否则回复认证失败消息。验证成功后,与终端设备协商新的会话密钥SK’和消息验证码MAC_key’,计算出新的session_id,同时删除之前保存的会话密钥信息,回复再次接入认证响应消息;
步骤210、终端设备接收到再次接入认证响应消息,包括新的session_id、使用终端密钥K进行签名、随机数Rs’和时间戳Ts”,计算出用于数据安全传输的新的会话密钥SK以及消息验证码MAC_key,完成再次接入认证过程。
为了详细说明本发明,终端设备首次进行接入认证过程如图3所示,其具体步骤如下:
步骤301:终端设备生成随机数Ru和时间戳T,终端设备向卫星发送接入认证请求消息,包括使用异或运算和哈希函数计算得到的随机数
Figure BDA0002317301940000141
进一步计算得到的伪身份
Figure BDA0002317301940000142
消息验证码MACu=h(IDu||Ru||T)以及随机数
Figure BDA0002317301940000143
步骤302:卫星接收到终端设备的接入认证请求消息,通过在卫星上维护的合法接入用户验证表判断当前终端设备是否首次接入认证,若为首次接入认证,卫星转发终端设备的接入认证请求消息以及卫星的身份认证消息给地面管理中心,具体为:卫星生成随机数Rs和时间戳T’,卫星使用异或运算和哈希函数计算得到随机数
Figure BDA0002317301940000144
进一步计算得到伪身份
Figure BDA0002317301940000145
消息验证码MACs=h(IDs||Rs||T’)以及随机数
Figure BDA0002317301940000146
步骤303:地面管理中心接收到终端设备的接入认证请求消息以及卫星的身份认证消息并进行验证,使用反异或运算解出终端设备和卫星的真实身份IDu和IDs,地面管理中心通过查注册表找到终端设备和卫星的密钥K和K’,进一步使用反异或运算计算出随机数r和r’,并使用随机数r和r’通过哈希函数计算h(K’||r’),进一步使用反异或运算计算出用于生成消息验证码MAC的随机数Ru和Rs,计算出MACu和MACs,与终端设备和卫星发送的MACu和MACs比对,并判断时间戳是否在允许的时间范围内,若验证失败,则断开连接,若验证成功,则生成时间戳TNCC,计算出用于密钥更新的主密钥h(K||r’||Rs),使用NCC的私钥对其签名得到消息S,同时回复卫星接入认证响应消息,包括消息S、协商密钥生成算法、使用会话密钥sk对IDu和K加密的消息Esk{IDu,K}、使用MAC_key对消息的签名MAC以及时间戳TNCC信息。
步骤304:卫星接收到接入认证响应消息,使用NCC的公钥验证消息S,若验证成功,则根据与地面管理中心协商的密钥生成算法,计算出用于密钥更新的会话密钥sk=h(h(K||r’||Rs)||K’)以及MAC_key=h(K’||h(K||r’||Rs)||rs),验证签名MAC,并判断时间戳信息是否在允许的时间范围内,解得认证成功的终端设备真实身份IDu和对应的密钥K,建立对应关系表存储在卫星上,计算用于生成数据安全传输的密钥SK的元素Hsat=h(K’||r’||r||Ts’)、消息验证码MACSAT_key=h(IDu||K||ru)和唯一指定终端设备的标识消息session_id=h(IDu||Ts’)。
步骤305:当终端设备接收到接入认证响应消息后,对消息进行验证,具体为:终端设备计算MACSAT_key=h(IDu||K||ru),验证签名,若验证成功,使用自己的密钥K解密得到Hsat和session_id,将session_id存储起来,进一步计算出用于数据安全传输的密钥SK=h(h(K’||r’||r)||K)以及消息验证码MACUS_key=h(IDu||Hsat),完成终端设备的首次接入认证过程。
当终端设备断开连接时,需要再次进行接入认证,再次接入认证如图4所示,其具体步骤如下:
步骤401:生成随机数Ru’和时间戳Tu’,计算MAC_key=h(K||IDu||Ru’),发送再次接入认证请求消息,包括首次接入认证的session_id、使用密钥K对IDu、sessionKey(即SK)以及MAC_Key加密的消息EK{IDu,sessionKey,MAC_Key}、随机数Ru’和时间戳Tu’,并使用MAC_key对该消息进行签名。
步骤402:卫星接收到再次接入认证请求消息,验证接入认证请求消息,具体为:根据接收到的session_id查找到其唯一指定的终端设备的密钥K,进一步使用密钥K解密得到IDu’、SK和MACUS_key,同时通过对应关系表查找密钥K对应的终端设备真实身份IDu,比对IDu和IDu’,若一致,并验证签名消息,验证成功,否则断开连接。验证成功后,生成随机数Rs’和时间戳Ts’,与终端设备协商新的会话密钥SK’和消息验证码MAC_key’,计算出新的session_id,同时删除之前保存的会话密钥信息,回复再次接入认证响应消息。
步骤403:终端设备接收到再次接入认证响应消息,包括新的session_id、使用终端密钥K进行签名、随机数Rs’和时间戳Ts”,计算出用于数据安全传输的新的会话密钥SK以及消息验证码MAC_key,完成再次接入认证过程。
图5是本发明提供的一种天地一体化空间信息网络匿名接入认证系统的总体架构图,所述系统包括多个终端设备501、至少1颗卫星502和1个可信的地面管理中心503,所述系统具体包括:
终端设备501,用于:
向地面管理中心503发送携带有固有身份的信息来进行注册,接收地面管理中心503发送的包含有终端设备真实身份IDu、密钥K和随机数r的注册响应;
向卫星502发送首次接入认证请求消息,所述首次接入认证请求消息包括:使用异或运算和哈希函数计算得到的随机数
Figure BDA0002317301940000161
利用随机数H计算得到的伪身份
Figure BDA0002317301940000162
消息验证码MACu=h(IDu||Ru||T)以及随机数
Figure BDA0002317301940000163
Figure BDA0002317301940000164
其中Ru为终端发送认证请求的时候生成的随机数,T为时间戳,
Figure BDA0002317301940000165
运算符号表示异或运算,||运算符号表示拼接运算,h()函数为哈希函数;
接收并验证卫星502发送的首次接入认证第二响应消息,计算卫星消息验证码密钥MACSAT_key=h(IDu||K||ru),验证签名消息,若验证成功,使用自己的密钥K解密得到第二会话密钥SK的元素Hsat和第一标识消息session_id,将第一标识消息session_id存储起来,计算用于第二会话密钥SK=h(h(K’||r’||r)||K),以及终端消息验证码密钥MACUS_key=h(IDu||Hsat),完成终端设备501的首次接入认证过程;
当需要再次进行接入认证时,计算第二消息验证码密钥MAC_key=h(K||IDu||Ru’),向卫星502发送再次接入认证请求消息,所述再次接入认证请求消息包括:首次接入认证过程中保存的第一标识消息session_id、使用密钥K对终端设备真实身份IDu、第二会话密钥SK以及第二消息验证码密钥MAC_Key加密的消息、随机数Ru’和时间戳Tu’、使用第二消息验证码密钥MAC_key对所述再次接入认证请求消息的签名消息;
接收卫星502发送的再次接入认证响应消息,计算出用于数据安全传输的第三会话密钥SK’以及第三消息验证码密钥MAC_key’,完成再次接入认证过程;
卫星502,用于:
向地面管理中心503发送携带有固有身份的信息来进行注册,接收地面管理中心503发送的包含有卫星设备真实身份IDs、密钥K’、随机数r以及地面管理中心的公钥PNCC的注册响应;
接收终端设备501发送的首次接入认证请求消息,通过在卫星502上维护的合法接入用户验证表判断当前终端设备501是否首次接入认证,若为首次接入认证,转发终端设备501的接入认证请求消息以及卫星502的身份认证消息给地面管理中心503,其中卫星502的身份认证消息包括:卫星502使用异或运算和哈希函数计算得到随机数
Figure BDA0002317301940000171
利用随机数H’计算得到的伪身份
Figure BDA0002317301940000181
消息验证码MACs=h(IDs||Rs||T’)以及随机数
Figure BDA0002317301940000182
Figure BDA0002317301940000183
其中T’为时间戳,Rs为卫星502发送身份认证消息时生成的随机数;
接收地面控制中心503发送的首次接入认证第一响应消息,使用地面管理中心503的公钥PNCC验证消息S,若验证成功,则根据与地面管理中心503协商的密钥生成算法,计算出用于密钥更新的第一会话密钥sk=h(h(K||r’||Rs)||K’),以及第一消息验证码密钥MAC_key=h(K’||h(K||r’||Rs)||rs),验证消息验证码MAC,并判断时间戳信息是否在允许的时间范围内,解得认证成功的终端设备真实身份IDu和对应的密钥K,建立对应关系表,计算用于生成卫星502和终端501之间数据安全传输的第二会话密钥SK的元素Hsat=h(K’||r’||r||Ts’)、卫星消息验证码密钥MACSAT_key=h(IDu||K||ru)和唯一指定终端设备的标识消息session_id=h(IDu||Ts’),其中Ts’为时间戳;
发送首次接入认证第二响应消息给终端设备501,所述首次接入认证第二响应消息包括:使用终端设备501注册密钥K对第二会话密钥SK的元素Hsat以及唯一指定终端设备的第一标识消息session_id加密得到的消息,使用卫星消息验证码密钥MACSAT_key对所述第二响应消息的签名消息以及时间戳Ts’;
接收并验证终端设备501发送的再次接入认证请求消息,若验证成功,与终端设备协商第三会话密钥SK’和第三消息验证码密钥MAC_key’,计算出第二标识消息session_id,删除之前保存的会话密钥信息,回复终端设备再次接入认证响应消息,所述再次接入认证响应消息包括:第二标识消息session_id、使用终端密钥K进行签名的签名消息、随机数Rs’和时间戳Ts”;
地面管理中心503,用于:
接收终端设备501和卫星502分别发送的携带有固有身份的注册信息,向所述终端设备501发送包含有终端设备真实身份IDu、密钥K和随机数r的注册响应,向卫星502发送包含有卫星设备真实身份IDs、密钥K’、随机数r’以及地面管理中心的公钥PNCC的注册响应;
接收并验证终端设备501的首次接入认证请求消息以及卫星502的身份认证消息,若验证失败,则回复认证失败消息;若验证成功,则回复卫星502首次接入认证第一响应消息,所述首次接入认证第一响应消息包括:消息S、协商密钥生成算法、使用卫星502和地面管理中心503协商的第一会话密钥sk对终端设备真实身份IDu和密钥K加密得到的消息、使用第一消息验证码密钥MAC_key对消息S进行签名得到的消息验证码MAC以及第三时间戳TNCC信息。
优选的,所述终端设备501向卫星502发送的所述首次接入认证请求消息还包括:终端设备501选择的安全等级的接入认证方式;
所述安全等级的接入认证方式经过卫星502转发到达地面管理中心503,地面管理中心503根据所述安全等级的接入认证方式选择对应的认证方式进行认证;
所述安全等级的接入认证方式包括哈希hash算法选项、随机数长度选项以及对称加密算法选项,其中哈希hash算法选项至少包括安全散列算法SHA1、安全散列算法SHA128以及安全散列算法SHA256,随机数长度选项至少包括32bit、64bit以及128bit,对称加密算法选项至少包括高级加密标准AES,数据加密标准DES以及三重数据加密标准3DES。
优选的,所述地面管理中心503验证终端设备501的接入认证请求消息以及卫星502的身份认证消息,包括:
地面管理中心503使用反异或运算解出终端设备501和卫星502的真实身份IDu和IDs,通过查注册表找到终端设备501和卫星502的密钥K和K’;进一步使用反异或运算计算出随机数r和r’,并使用随机数r和r’通过哈希函数计算h(K’||r’);进一步使用反异或运算计算出用于生成消息验证码MAC的随机数Ru和Rs,计算出消息验证码MACu和MACs,与终端设备501和卫星502发送的消息验证码MACu和MACs比对;若一致,且时间戳在允许的时间范围内,则验证成功,计算出用于密钥更新的主密钥h(K||r’||Rs),使用地面管理503中心的私钥对其签名得到消息S;否则验证失败,回复认证失败消息。
优选的,所述卫星502接收并验证再次接入认证请求消息,包括:
卫星502根据接收到的第一标识消息session_id查找到唯一指定的终端设备501的密钥K;进一步使用密钥K解密得到用于验证的终端设备真实身份IDu’、第二会话密钥SK和终端消息验证码密钥MACUS_key,同时通过对应关系表查找密钥K对应的终端设备真实身份IDu,比对IDu和IDu’;若一致,且验证签名消息成功,则验证成功;否则验证失败,回复认证失败消息。
以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后,技术人员可以对本发明作各种改动或修改,这些等效变化和修饰同样落入本发明权利要求所限定的范围。

Claims (8)

1.一种天地一体化空间信息网络匿名接入认证的方法,其特征在于,包括:
步骤1,终端设备和卫星分别向地面管理中心发送携带有固有身份的信息来进行注册,地面管理中心向所述终端设备发送包含有终端设备真实身份IDu、第一密钥K和第一随机数r的注册响应,地面管理中心向卫星发送包含有卫星设备真实身份IDs、第二密钥K’、第二随机数r’以及地面管理中心的公钥PNCC的注册响应;
步骤2,终端设备向卫星发送首次接入认证请求消息,所述首次接入认证请求消息包括:使用异或运算和哈希函数计算得到的第三随机数H=r⊕h(K||Ru)、利用第三随机数H计算得到的终端设备伪身份PIDu=IDu⊕H、第一消息验证码MACu=h(IDu||Ru||T)以及第四随机数ru=Ru⊕h(K||r),其中Ru为终端设备发送首次接入认证请求消息的时候生成的第五随机数,T为第一时间戳,⊕运算符号表示异或运算,||运算符号表示拼接运算,h()函数为哈希函数;
步骤3,卫星接收首次接入认证请求消息,通过在卫星上维护的合法接入用户验证表判断当前终端设备是否首次接入认证,若为首次接入认证,转发终端设备的首次接入认证请求消息以及卫星的身份认证消息给地面管理中心,其中卫星的身份认证消息包括:卫星使用异或运算和哈希函数计算得到第六随机数H’=r’⊕h(K’||Rs)、利用第六随机数H’计算得到的卫星伪身份PIDs=IDs⊕H’、第二消息验证码MACs=h(IDs||Rs||T’)以及第七随机数rs=Rs⊕h(K’||r’),其中T’为第二时间戳,Rs为卫星发送身份认证消息时生成的第八随机数;
步骤4,地面管理中心接收并验证终端设备的首次接入认证请求消息以及卫星的身份认证消息,若验证失败,则回复认证失败消息;若验证成功,则回复卫星首次接入认证第一响应消息,所述首次接入认证第一响应消息包括:消息S、协商密钥生成算法、使用卫星和地面协商的第一会话密钥sk对终端设备真实身份IDu和第一密钥K加密得到的消息、使用第一消息验证码密钥MAC_key对消息S进行签名得到的第三消息验证码MAC以及第三时间戳TNCC信息;
步骤5,卫星接收首次接入认证第一响应消息,使用地面管理中心的公钥PNCC验证消息S,若验证成功,则根据与地面管理中心协商的密钥生成算法,计算出用于密钥更新的第一会话密钥sk=h(h(K||r’||Rs)||K’),以及第一消息验证码密钥MAC_key=h(K’||h(K||r’||Rs)||rs),验证第三消息验证码MAC,并判断时间戳信息是否在允许的时间范围内,解得认证成功的终端设备真实身份IDu和对应的第一密钥K,建立对应关系表,计算用于生成卫星和终端设备之间数据安全传输的第二会话密钥SK的元素Hsat=h(K’||r’||r||Ts’)、卫星消息验证码密钥MACSAT_key=h(IDu||K||ru)和唯一指定终端设备的第一标识消息session_id=h(IDu||Ts’),其中Ts’为第四时间戳;
步骤6,卫星发送首次接入认证第二响应消息给终端设备,所述首次接入认证第二响应消息包括:使用第一密钥K对第二会话密钥SK的元素Hsat以及唯一指定终端设备的第一标识消息session_id加密得到的消息,使用卫星消息验证码密钥MACSAT_key对所述第二响应消息的签名消息以及第四时间戳Ts’;
步骤7,终端设备接收并验证首次接入认证第二响应消息,计算卫星消息验证码密钥MACSAT_key=h(IDu||K||ru),验证签名消息,若验证成功,使用自己的第一密钥K解密得到第二会话密钥SK的元素Hsat和第一标识消息session_id,将第一标识消息session_id存储起来,计算用于第二会话密钥SK=h(h(K’||r’||r)||K),以及终端设备消息验证码密钥MACUS_key=h(IDu||Hsat),完成终端设备的首次接入认证过程;
步骤8,当终端设备需要再次进行接入认证时,计算第二消息验证码密钥MAC_key2=h(K||IDu||Ru’),向卫星发送再次接入认证请求消息,所述再次接入认证请求消息包括:首次接入认证过程中保存的第一标识消息session_id、使用第一密钥K对终端设备真实身份IDu、第二会话密钥SK以及第二消息验证码密钥MAC_Key2加密的消息、第九随机数Ru’和第五时间戳Tu’、使用第二消息验证码密钥MAC_key2对所述再次接入认证请求消息的签名消息;
步骤9,卫星接收并验证再次接入认证请求消息,若验证成功,与终端设备协商第三会话密钥SK’和第三消息验证码密钥MAC_key’,计算出第二标识消息session_id2,删除之前保存的会话密钥信息,回复终端设备再次接入认证响应消息,所述再次接入认证响应消息包括:第二标识消息session_id2、使用第一密钥K进行签名的签名消息、第十随机数Rs’和第六时间戳Ts”;
步骤10,终端设备接收再次接入认证响应消息,计算出用于数据安全传输的第三会话密钥SK’以及第三消息验证码密钥MAC_key’,完成再次接入认证过程。
2.根据权利要求1所述的方法,其特征在于,步骤2终端设备向卫星发送的所述首次接入认证请求消息还包括:终端设备选择的安全等级的接入认证方式;
所述安全等级的接入认证方式经过卫星转发到达地面管理中心,地面管理中心根据所述安全等级的接入认证方式选择对应的认证方式进行认证;
所述安全等级的接入认证方式包括哈希hash算法选项、随机数长度选项以及对称加密算法选项,其中哈希hash算法选项包括安全散列算法SHA1、安全散列算法SHA128以及安全散列算法SHA256,随机数长度选项包括32bit、64bit以及128bit,对称加密算法选项包括高级加密标准AES,数据加密标准DES以及三重数据加密标准3DES。
3.根据权利要求1所述的方法,其特征在于,步骤4所述的地面管理中心验证终端设备的首次接入认证请求消息以及卫星的身份认证消息,包括:
地面管理中心使用反异或运算解出终端设备真实身份IDu和卫星的真实身份IDs,通过查注册表找到终端设备和卫星的第一密钥K和第二密钥K’;进一步使用反异或运算计算出第一随机数r和第二随机数r’,并使用第一随机数r和第二随机数r’通过哈希函数计算h(K’||r’);进一步使用反异或运算计算出用于生成第三消息验证码MAC的第五随机数Ru和第八随机数Rs,计算出第一消息验证码MACu和第二消息验证码MACs,与终端设备和卫星发送的第一消息验证码MACu和第二消息验证码MACs比对;若一致,且时间戳在允许的时间范围内,则验证成功,计算出用于密钥更新的主密钥h(K||r’||Rs),使用地面管理中心的私钥对其签名得到消息S;否则验证失败,回复认证失败消息。
4.根据权利要求1所述的方法,其特征在于,步骤9所述卫星接收并验证再次接入认证请求消息,包括:
卫星根据接收到的第一标识消息session_id查找到唯一指定的终端设备的第一密钥K;进一步使用第一密钥K解密得到用于验证的终端设备真实身份IDu’、第二会话密钥SK和终端设备消息验证码密钥MACUS_key,同时通过对应关系表查找第一密钥K对应的终端设备真实身份IDu,比对IDu和IDu’;若一致,且验证签名消息成功,则验证成功;否则验证失败,回复认证失败消息。
5.一种天地一体化空间信息网络匿名接入认证的系统,包括至少1颗卫星、多个终端设备和1个可信的地面管理中心,其特征在于,所述系统具体包括:
终端设备,用于:
向地面管理中心发送携带有固有身份的信息来进行注册,接收地面管理中心发送的包含有终端设备真实身份IDu、第一密钥K和第一随机数r的注册响应;
向卫星发送首次接入认证请求消息,所述首次接入认证请求消息包括:使用异或运算和哈希函数计算得到的第三随机数H=r⊕h(K||Ru)、利用第三随机数H计算得到的终端设备伪身份PIDu=IDu⊕H、第一消息验证码MACu=h(IDu||Ru||T)以及第四随机数ru=Ru⊕h(K||r),其中Ru为终端设备发送首次接入认证请求消息的时候生成的第五随机数,T为第一时间戳,⊕运算符号表示异或运算,||运算符号表示拼接运算,h()函数为哈希函数;
接收并验证卫星发送的首次接入认证第二响应消息,计算卫星消息验证码密钥MACSAT_key=h(IDu||K||ru),验证签名消息,若验证成功,使用自己的第一密钥K解密得到第二会话密钥SK的元素Hsat和第一标识消息session_id,将第一标识消息session_id存储起来,计算用于第二会话密钥SK=h(h(K’||r’||r)||K),以及终端设备消息验证码密钥MACUS_key=h(IDu||Hsat),完成终端设备的首次接入认证过程;
当需要再次进行接入认证时,计算第二消息验证码密钥MAC_key2=h(K||IDu||Ru’),向卫星发送再次接入认证请求消息,所述再次接入认证请求消息包括:首次接入认证过程中保存的第一标识消息session_id、使用密钥K对终端设备真实身份IDu、第二会话密钥SK以及第二消息验证码密钥MAC_Key2加密的消息、第九随机数Ru’和第五时间戳Tu’、使用第二消息验证码密钥MAC_key2对所述再次接入认证请求消息的签名消息;
接收卫星发送的再次接入认证响应消息,计算出用于数据安全传输的第三会话密钥SK’以及第三消息验证码密钥MAC_key’,完成再次接入认证过程;
卫星,用于:
向地面管理中心发送携带有固有身份的信息来进行注册,接收地面管理中心发送的包含有卫星设备真实身份IDs、第二密钥K’、第二随机数r’以及地面管理中心的公钥PNCC的注册响应;
接收终端设备发送的首次接入认证请求消息,通过在卫星上维护的合法接入用户验证表判断当前终端设备是否首次接入认证,若为首次接入认证,转发终端设备的首次接入认证请求消息以及卫星的身份认证消息给地面管理中心,其中卫星的身份认证消息包括:卫星使用异或运算和哈希函数计算得到第六随机数H’=r’⊕h(K’||Rs)、利用第六随机数H’计算得到的卫星伪身份PIDs=IDs⊕H’、第二消息验证码MACs=h(IDs||Rs||T’)以及第七随机数rs=Rs⊕h(K’||r’),其中T’为第二时间戳,Rs为卫星发送身份认证消息时生成的第八随机数;
接收地面控制中心发送的首次接入认证第一响应消息,使用地面管理中心的公钥PNCC验证消息S,若验证成功,则根据与地面管理中心协商的密钥生成算法,计算出用于密钥更新的第一会话密钥sk=h(h(K||r’||Rs)||K’),以及第一消息验证码密钥MAC_key=h(K’||h(K||r’||Rs)||rs),验证第三消息验证码MAC,并判断时间戳信息是否在允许的时间范围内,解得认证成功的终端设备真实身份IDu和对应的第一密钥K,建立对应关系表,计算用于生成卫星和终端设备之间数据安全传输的第二会话密钥SK的元素Hsat=h(K’||r’||r||Ts’)、卫星消息验证码密钥MACSAT_key=h(IDu||K||ru)和唯一指定终端设备的第一标识消息session_id=h(IDu||Ts’),其中Ts’为第四时间戳;
发送首次接入认证第二响应消息给终端设备,所述首次接入认证第二响应消息包括:使用第一密钥K对第二会话密钥SK的元素Hsat以及唯一指定终端设备的第一标识消息session_id加密得到的消息,使用卫星消息验证码密钥MACSAT_key对所述第二响应消息的签名消息以及第四时间戳Ts’;
接收并验证终端设备发送的再次接入认证请求消息,若验证成功,与终端设备协商第三会话密钥SK’和第三消息验证码密钥MAC_key’,计算出第二标识消息session_id2,删除之前保存的会话密钥信息,回复终端设备再次接入认证响应消息,所述再次接入认证响应消息包括:第二标识消息session_id2、使用终端设备的第一密钥K进行签名的签名消息、第十随机数Rs’和第六时间戳Ts”;
地面管理中心,用于:
接收终端设备和卫星分别发送的携带有固有身份的注册信息,向所述终端设备发送包含有终端设备真实身份IDu、第一密钥K和第一随机数r的注册响应,向卫星发送包含有卫星设备真实身份IDs、第二密钥K’、第二随机数r’以及地面管理中心的公钥PNCC的注册响应;
接收并验证终端设备的首次接入认证请求消息以及卫星的身份认证消息,若验证失败,则回复认证失败消息;若验证成功,则回复卫星首次接入认证第一响应消息,所述首次接入认证第一响应消息包括:消息S、协商密钥生成算法、使用卫星和地面协商的第一会话密钥sk对终端设备真实身份IDu和第一密钥K加密得到的消息、使用第一消息验证码密钥MAC_key对消息S进行签名得到的第三消息验证码MAC以及第三时间戳TNCC信息。
6.根据权利要求5所述的系统,其特征在于,所述终端设备向卫星发送的所述首次接入认证请求消息还包括:终端设备选择的安全等级的接入认证方式;
所述安全等级的接入认证方式经过卫星转发到达地面管理中心,地面管理中心根据所述安全等级的接入认证方式选择对应的认证方式进行认证;
所述安全等级的接入认证方式包括哈希hash算法选项、随机数长度选项以及对称加密算法选项,其中哈希hash算法选项包括安全散列算法SHA1、安全散列算法SHA128以及安全散列算法SHA256,随机数长度选项包括32bit、64bit以及128bit,对称加密算法选项包括高级加密标准AES,数据加密标准DES以及三重数据加密标准3DES。
7.根据权利要求5所述的系统,其特征在于,所述地面管理中心验证终端设备的首次接入认证请求消息以及卫星的身份认证消息,包括:
地面管理中心使用反异或运算解出终端设备和卫星的真实身份IDu和IDs,通过查注册表找到终端设备的第一密钥K和卫星的第二密钥K’;进一步使用反异或运算计算出第一随机数r和第二随机数r’,并使用第一随机数r和第二随机数r’通过哈希函数计算h(K’||r’);进一步使用反异或运算计算出用于生成第三消息验证码MAC的第五随机数Ru和第八随机数Rs,计算出第一消息验证码MACu和第二消息验证码MACs,与终端设备和卫星发送的第一消息验证码MACu和第二消息验证码MACs比对;若一致,且时间戳在允许的时间范围内,则验证成功,计算出用于密钥更新的主密钥h(K||r’||Rs),使用地面管理中心的私钥对其签名得到消息S;否则验证失败,回复认证失败消息。
8.根据权利要求5所述的系统,其特征在于,所述卫星接收并验证再次接入认证请求消息,包括:
卫星根据接收到的第一标识消息session_id查找到唯一指定的终端设备的第一密钥K;进一步使用第一密钥K解密得到用于验证的终端设备真实身份IDu’、第二会话密钥SK和终端设备消息验证码密钥MACUS_key,同时通过对应关系表查找第一密钥K对应的终端设备真实身份IDu,比对IDu和IDu’;若一致,且验证签名消息成功,则验证成功;否则验证失败,回复认证失败消息。
CN201911283127.8A 2019-12-13 2019-12-13 一种天地一体化空间信息网络匿名接入认证方法及系统 Active CN110971415B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911283127.8A CN110971415B (zh) 2019-12-13 2019-12-13 一种天地一体化空间信息网络匿名接入认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911283127.8A CN110971415B (zh) 2019-12-13 2019-12-13 一种天地一体化空间信息网络匿名接入认证方法及系统

Publications (2)

Publication Number Publication Date
CN110971415A CN110971415A (zh) 2020-04-07
CN110971415B true CN110971415B (zh) 2022-05-10

Family

ID=70034341

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911283127.8A Active CN110971415B (zh) 2019-12-13 2019-12-13 一种天地一体化空间信息网络匿名接入认证方法及系统

Country Status (1)

Country Link
CN (1) CN110971415B (zh)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111711955B (zh) * 2020-06-15 2022-04-29 华中师范大学 一种可穿戴计算自治安全认证系统和安全认证方法
CN111885604B (zh) * 2020-06-28 2021-08-27 北京交通大学 一种基于天地一体化网络的认证鉴权方法、装置及系统
CN113965925B (zh) * 2020-07-01 2023-08-25 大唐移动通信设备有限公司 一种动态认证方法、装置、设备及可读存储介质
CN112087750B (zh) * 2020-08-05 2021-12-03 西安电子科技大学 卫星网络断续连通场景下的接入和切换认证方法及系统
CN112235792B (zh) * 2020-09-15 2022-03-11 西安电子科技大学 一种多类型终端接入与切换认证方法、系统、设备及应用
CN112332900B (zh) * 2020-09-27 2023-03-10 贵州航天计量测试技术研究所 一种低轨卫星通信网络快速切换认证方法
CN112615721B (zh) * 2020-12-18 2022-12-06 江苏省未来网络创新研究院 一种基于区块链的空间信息网络的访问接入认证以及权限管理控制流程方法
CN112564775B (zh) * 2020-12-18 2023-04-07 江苏省未来网络创新研究院 一种基于区块链的空间信息网络访问控制系统与认证方法
CN112867004B (zh) * 2020-12-31 2022-10-14 北京芯安微电子技术有限公司 一种远程配置系统及用户数据更换方法
CN113068187B (zh) * 2021-02-20 2022-03-11 西安电子科技大学 一种无人机辅助的终端接入认证方法、系统、设备及应用
CN112953726B (zh) * 2021-03-01 2022-09-06 西安电子科技大学 融合双层卫星网络星地和星间组网认证方法、系统及应用
CN113079016B (zh) * 2021-03-23 2022-01-21 中国人民解放军国防科技大学 一种面向天基网络的身份基认证方法
CN113660026B (zh) * 2021-07-26 2022-08-16 长光卫星技术股份有限公司 基于多用户自主访问控制的卫星安全管理方法
CN114339735B (zh) * 2021-12-10 2023-09-08 重庆邮电大学 一种基于ntru的天地一体化网络匿名接入认证方法
CN114363034B (zh) * 2021-12-29 2024-02-02 上海众源网络有限公司 验证码生成及校验方法、装置、电子设备及存储介质
CN114051241B (zh) * 2022-01-13 2022-05-03 中移(上海)信息通信科技有限公司 一种通信处理方法及装置
CN114172669B (zh) * 2022-02-15 2022-05-03 之江实验室 一种星地通信中融合时空特性双阶段安全接入认证方法
CN114584975B (zh) * 2022-02-23 2023-09-15 重庆邮电大学 一种基于sdn的抗量子卫星网络接入认证方法
CN114827998B (zh) * 2022-03-17 2023-11-17 北京航天科工世纪卫星科技有限公司 一种基于加密芯片的卫星终端入网鉴权装置
CN115022879B (zh) * 2022-05-11 2023-11-21 西安电子科技大学 基于位置密钥的增强型北斗用户终端接入认证方法和系统
CN116938321B (zh) * 2023-09-14 2023-11-24 成都本原星通科技有限公司 基于位置密钥低轨卫星抗量子接入认证的卫星通信方法
CN117376917B (zh) * 2023-12-05 2024-03-26 成都本原星通科技有限公司 一种基于格代理签密算法的卫星终端认证的卫星通信方法
CN119325087B (zh) * 2024-12-19 2025-03-11 西安电子科技大学 卫星网络中超高速终端接入与协同认证方法和程序产品

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105491076A (zh) * 2016-01-28 2016-04-13 西安电子科技大学 一种面向空天信息网的异构网络端到端认证密钥交换方法
CN108282779A (zh) * 2018-01-24 2018-07-13 中国科学技术大学 天地一体化空间信息网络低时延匿名接入认证方法
CN108282778A (zh) * 2018-01-23 2018-07-13 中国科学技术大学 一种空间网中匿名快速的漫游接入认证方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070105600A1 (en) * 2005-11-08 2007-05-10 Shantidev Mohanty Techniques to communicate information between foreign agents and paging controllers

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105491076A (zh) * 2016-01-28 2016-04-13 西安电子科技大学 一种面向空天信息网的异构网络端到端认证密钥交换方法
CN108282778A (zh) * 2018-01-23 2018-07-13 中国科学技术大学 一种空间网中匿名快速的漫游接入认证方法
CN108282779A (zh) * 2018-01-24 2018-07-13 中国科学技术大学 天地一体化空间信息网络低时延匿名接入认证方法

Also Published As

Publication number Publication date
CN110971415A (zh) 2020-04-07

Similar Documents

Publication Publication Date Title
CN110971415B (zh) 一种天地一体化空间信息网络匿名接入认证方法及系统
CN111314056B (zh) 基于身份加密体制的天地一体化网络匿名接入认证方法
US10638321B2 (en) Wireless network connection method and apparatus, and storage medium
CN111092717B (zh) 智能家居环境下基于组认证安全可靠的通信方法
KR101490214B1 (ko) 공유된 일시적 키 데이터의 세트를 갖는 교환들을 인코딩하기 위한 시스템들 및 방법들
CN105554747B (zh) 无线网络连接方法、装置及系统
CN101969638B (zh) 一种移动通信中对imsi进行保护的方法
Saxena et al. Authentication protocol for an IoT-enabled LTE network
EP2416524A2 (en) System and method for secure transaction of data between wireless communication device and server
CN102857911B (zh) 一种定位的方法、终端及服务器
CN110035033A (zh) 密钥分发方法、装置及系统
CN108809637A (zh) 基于混合密码的lte-r车-地通信非接入层认证密钥协商方法
CN108964897B (zh) 基于群组通信的身份认证系统和方法
CN112165386B (zh) 一种基于ecdsa的数据加密方法及系统
CN101116284A (zh) 无线电通信网络中的防克隆相互鉴权
CN108964896B (zh) 一种基于群组密钥池的Kerberos身份认证系统和方法
CN112020038A (zh) 一种适用于轨道交通移动应用的国产加密终端
CN117278330B (zh) 一种电力物联网设备网络的轻量级组网与安全通信方法
CN100450305C (zh) 一种基于通用鉴权框架的安全业务通信方法
CN116056080B (zh) 一种面向低轨卫星网络的卫星切换认证方法
US11570008B2 (en) Pseudonym credential configuration method and apparatus
CN115865520B (zh) 移动云服务环境中具有隐私保护的认证和访问控制方法
CN108965266B (zh) 一种基于群组密钥池和Kerberos的User-to-User身份认证系统和方法
CN116233843A (zh) 面向工业互联网的b5g/6g网络切片认证方法
KR20010064766A (ko) 무선통신시스템에서의 인증 및 키 설정 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20200407

Assignee: Aerospace Xintong Technology Co.,Ltd.

Assignor: CHONGQING University OF POSTS AND TELECOMMUNICATIONS

Contract record no.: X2024980036349

Denomination of invention: A method and system for anonymous access authentication in the integrated space information network of heaven and earth

Granted publication date: 20220510

License type: Common License

Record date: 20241213