CN111431586B - 一种卫星网络安全通信方法 - Google Patents
一种卫星网络安全通信方法 Download PDFInfo
- Publication number
- CN111431586B CN111431586B CN202010310110.3A CN202010310110A CN111431586B CN 111431586 B CN111431586 B CN 111431586B CN 202010310110 A CN202010310110 A CN 202010310110A CN 111431586 B CN111431586 B CN 111431586B
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- data
- response
- control center
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B7/00—Radio transmission systems, i.e. using radiation field
- H04B7/14—Relay systems
- H04B7/15—Active relay systems
- H04B7/185—Space-based or airborne stations; Stations for satellite systems
- H04B7/1853—Satellite systems for providing telephony service to a mobile station, i.e. mobile satellite service
- H04B7/18565—Arrangements for preventing unauthorised access or for providing user protection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Astronomy & Astrophysics (AREA)
- General Physics & Mathematics (AREA)
- Aviation & Aerospace Engineering (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种卫星网络安全通信方法,包括以下步骤:步骤A:对用户端发出的接入申请分别沿反向链路和前向链路进行两级鉴权,鉴权通过则允许用户入网;步骤B:对入网用户沿反向链路发送的数据进行鉴权,并存储鉴权通过的数据。本发明提供的卫星网络安全通信方法的优点在于:通过双向鉴权验证用户身份,杜绝非法用户在任何阶段劫持鉴权信息的可能;对于验证通过的合法用户,仅对反向链路的发送消息进行鉴权验证,降低了对前向链路的资源占用,确保通讯安全的情况下释放了信道资源。
Description
技术领域
本发明涉及卫星通信技术领域,尤其涉及一种卫星网络安全通信方法。
背景技术
近年来,在卫星通信领域,随着高、中、低轨航天器呈规模的爆发性增长,大量航天器用户的网络接入逐渐成为卫星通信领域亟待解决的技术难题。
在卫星网络中,返向链路为用户到卫星到地面站的链路,前向链路为地面站到卫星到用户的链路。在某些卫星网络中,用户返向业务需求大于前向业务需求,此外还受制于卫星的功率资源,这些因素都导致前返向链路资源不对称,即前向链路波束资源受限。而随着越来越频繁的非法用户入侵,进一步挤压了反向链路的空间,增加了对正常前向链路的资源占用,而且通信内容存在安全隐患。
发明内容
本发明所要解决的技术问题在于提供一种限制非法用户接入,减少对前向链路资源占用的卫星网络安全通信方法。
本发明是通过以下技术方案解决上述技术问题的:一种卫星网络安全通信方法,包括以下步骤:
步骤A:对用户端发出的接入申请分别沿反向链路和前向链路进行两级鉴权,鉴权通过则允许用户入网;
步骤B:对入网用户沿反向链路发送的数据进行鉴权,并存储鉴权通过的数据。
本发明通过双向鉴权验证用户身份,杜绝非法用户在任何阶段劫持鉴权信息的可能;对于验证通过的合法用户,仅对反向链路的发送消息进行鉴权验证,降低了对前向链路的资源占用,确保通讯安全的情况下释放了信道资源。
优选的,用户端存储有用户端私钥和控制中心公钥;控制中心存储有控制中心私钥和用户端公钥;
步骤A所述的两级鉴权包括以下步骤:
步骤i:用户端对身份信息进行处理生成请求码,通过用户端私钥加密用户端身份信息、请求码和请求发出时间,生成鉴权请求消息;
步骤ii:鉴权请求消息沿反向链路经通信卫星中转后发给控制中心,控制中心使用用户端公钥解密鉴权请求消息,对解密后的身份信息进行处理得到验证码,并记录请求接收时间;
步骤iii:若请求码与验证码相等,且请求接收时间与请求发出时间的差值在允许范围内,则控制中心对用户端鉴权成功,控制中心生成一个随机数计算得到期望响应,对期望响应与当前的响应发出时间使用控制中心私钥加密得到响应消息;否则,鉴权失败;
步骤iv:响应消息沿前向链路发送给用户端,用户端使用控制中心公钥解密得到随机数和响应发出时间,对随机数进行运算得到响应向量,如果响应向量与期望响应相同,且响应接收时间与响应发出时间的差值在允许范围内,则鉴权成功,向控制中心反馈入网确认消息;否则鉴权失败。
优选的,步骤i中所述的用户端身份信息包括用户ID、mac地址。
优选的,步骤B所述的对入网用户发送数据行为进行鉴权的方法为:
步骤I:基于当前的随机数使用现有技术中的鉴权算法生成响应,截取响应的前16位与CRC进行异或运算,对异或运算结果和报文数据进行加密后沿反向链路发送到控制中心;发送数据后使用用户的约定时间和mac地址更新当前的随机数;
步骤II:用户端加密后的数据沿反向链路发送给控制中心,控制中心根据接入鉴权时用户发送的请求发出时间推算约定时间,并结合用户mac地址推算出随机数,基于推算出的随机数在本地重新生成期望响应,截取期望响应的前16位与接收数据的后16位进行异或运算,并将异或结果与接收数据进行CRC检验,若检验通过,则判断为合法用户发送的正确数据,使用前一次随机数生成的解密密钥对数据进行解密并将数据包上传至高层,若校验不通过,则数据不正确和/或用户不合法,丢弃接收到的数据。
优选的,控制中心推算约定时间的方法为:根据接入鉴权时的用户请求发出时间和请求接收时间计算出传输时延,根据当前消息的接收时间减去传输时延推算出约定时间。
优选的,所述控制中心推算随机数的方法为:根据推算的约定时间结合用户mac地址对前一次通信时存储的随机数进行更新推算出当前消息对应的随机数。
本发明提供的卫星网络安全通信方法的优点在于:通过双向鉴权验证用户身份,杜绝非法用户在任何阶段劫持鉴权信息的可能;对于验证通过的合法用户,仅对反向链路的发送消息进行鉴权验证,降低了对前向链路的资源占用,确保通讯安全的情况下释放了信道资源。
附图说明
图1为本发明的实施例提供的卫星网络安全通信方法的接入申请鉴权示意图;
图2为本发明的实施例提供的鉴权请求消息示意图;
图3为本发明的实施例提供的鉴权响应消息示意图;
图4为本发明的实施例提供的报文传输鉴权方法流程图;
图5为本发明的实施例提供的报文传输鉴权消息示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明作进一步的详细说明。
本实施例提供了一种卫星网络安全通信方法,用户和控制中心通过通信卫星中转信号进行通讯,图1示出了基于两步握手思想的接入申请鉴权消息流程,具体包括以下步骤:
步骤A:对用户端发出的接入申请分别沿反向链路和前向链路进行两级鉴权,鉴权通过则允许用户入网;
步骤B:对入网用户沿反向链路发送的数据进行鉴权,并存储鉴权通过的数据。
本实施例通过双向鉴权验证用户身份,杜绝非法用户在任何阶段劫持鉴权信息的可能;对于验证通过的合法用户,仅对反向链路的发送消息进行鉴权验证,降低了对前向链路的资源占用,确保通讯安全的情况下释放了信道资源。
步骤A所述的量级鉴权的具体包括以下步骤:
步骤i:用户端基于身份信息进行运算生成请求码,通过用户端私钥加密用户端身份信息、请求发出时间和请求码,生成鉴权请求消息;所述用户端身份信息至少包括用户ID和mac地址;生成的鉴权请求消息的结构如图2所示,其中请求发出时间采用GPS时间。
步骤ii:鉴权请求消息沿反向链路经通信卫星中转后发给控制中心,控制中心使用用户端公钥解密鉴权请求消息,对解密后的身份信息进行运算得到验证码,生成验证码的规则与生成请求码的规则相同,并记录请求接收时间;
步骤iii:若请求码与验证码相等,且请求接收时间与请求发出时间的差值在允许范围内,则控制中心对用户端鉴权成功,控制中心生成一个随机数计算得到期望响应,将期望响应与当前的响应发出时间使用控制中心私钥加密得到如图3所示的响应消息;否则,鉴权失败;
步骤iv:响应消息沿前向链路发送给用户端,用户端使用控制中心公钥解密得到随机数和响应发出时间,对随机数进行运算得到响应向量,计算响应向量的规则与计算期望响应的规则相同,如果响应向量与期望响应相同,且响应接收时间与响应发出时间的差值在允许范围内,则鉴权成功,用户向控制中心反馈入网确认消息;否则鉴权失败。
在成功接入网络之后,用户需要通过发送短报文业务给控制中心,由于此时用户仅发送数据,不需要控制中心进行反馈,所以为了降低对前向链路资源的占用,仅对发送过程进行单向鉴权。
参考图4,步骤B所述的对入网用户发送数据行为进行鉴权的方法为:
步骤I:基于当前的随机数使用现有技术中的鉴权算法生成响应(RES),截取响应的前16位与CRC(Cyclic redundancy check,循环冗余校验)进行异或运算,对异或运算结果和报文数据进行加密后沿反向链路发送到控制中心,发送的数据包结构如图5所示;发送数据后使用用户的约定时间和mac地址更新当前的随机数,所述约定时间为用户发送数据的时间。
对报文消息进行加密的密钥为使用当前的随机数生成的密钥,更新随机数后密钥也随之更新,当前报文使用的密钥为前一次报文后更新的随机数对应的密钥,第一次报文使用的密钥为接入鉴权时控制中心反馈的随机数生成的密钥。
步骤II:用户端加密后的数据沿反向链路发送给控制中心,控制中心根据接入鉴权时用户发送的请求发出时间推算约定时间,具体方法为根据接入鉴权时的用户请求发出时间和请求接收时间计算出传输时延,根据当前消息的接收时间减去传输时延推算出约定时间;根据推算的约定时间结合用户mac地址对前一次通信时存储的随机数进行更新推算出当前消息对应的随机数,并在本地重新生成期望响应,截取期望响应的前16位与接收数据的后16位进行异或运算,并将异或结果与接收数据进行CRC检验,若检验通过,则判断为合法用户发送的正确数据,使用前一次随机数生成的解密密钥对数据进行解密并将数据包上传,若校验不通过,则数据不正确和/或用户不合法,丢弃接收到的数据。
Claims (5)
1.一种卫星网络安全通信方法,其特征在于:包括以下步骤:
步骤A:对用户端发出的接入申请分别沿反向链路和前向链路进行两级鉴权,鉴权通过则允许用户入网;
所述的两级鉴权包括以下步骤:
步骤i:用户端对身份信息进行处理生成请求码,通过用户端私钥加密用户端身份信息、请求发出时间和请求码,生成鉴权请求消息;
步骤ii:鉴权请求消息沿反向链路经通信卫星中转后发给控制中心,控制中心使用用户端公钥解密鉴权请求消息,对解密后的身份信息进行处理得到验证码,并记录请求接收时间;
步骤iii:若请求码与验证码相等,且请求接收时间与请求发出时间的差值在允许范围内,则控制中心对用户端鉴权成功,控制中心生成一个随机数计算得到期望响应,对期望响应与当前的响应发出时间使用控制中心私钥加密得到响应消息;否则,鉴权失败;
步骤iv:响应消息沿前向链路发送给用户端,用户端使用控制中心公钥解密得到随机数和响应发出时间,对随机数进行运算得到响应向量,如果响应向量与期望响应相同,且响应接收时间与响应发出时间的差值在允许范围内,则鉴权成功,向控制中心反馈入网确认消息;否则鉴权失败;
步骤B:对入网用户沿反向链路发送的数据进行鉴权,并存储鉴权通过的数据。
2.根据权利要求1所述的一种卫星网络安全通信方法,其特征在于:步骤i中所述的用户端身份信息至少包括用户ID、mac地址。
3.根据权利要求1所述的一种卫星网络安全通信方法,其特征在于:步骤B所述的对入网用户发送数据行为进行鉴权的方法为:
步骤I:基于当前的随机数使用现有技术中的鉴权算法生成响应,截取响应的前16位与CRC进行异或运算,对异或运算结果和报文数据进行加密后沿反向链路发送到控制中心;发送数据后使用用户的约定时间和mac地址更新当前的随机数;
步骤II:用户端加密后的数据沿反向链路发送给控制中心,控制中心根据接入鉴权时用户发送的请求发出时间推算约定时间,并结合用户mac地址推算出随机数,基于推算出的随机数在本地重新生成期望响应,截取期望响应的前16位与接收数据的后16位进行异或运算,并将异或结果与接收数据进行CRC检验,若检验通过,则判断为合法用户发送的正确数据,使用前一次随机数生成的解密密钥对数据进行解密并将数据包上传至高层,若校验不通过,则数据不正确和/或用户不合法,丢弃接收到的数据。
4.根据权利要求3所述的一种卫星网络安全通信方法,其特征在于:控制中心推算约定时间的方法为:根据接入鉴权时的用户请求发出时间和请求接收时间计算出传输时延,根据当前消息的接收时间减去传输时延推算出约定时间。
5.根据权利要求3所述的一种卫星网络安全通信方法,其特征在于:所述控制中心推算随机数的方法为:根据推算的约定时间结合用户mac地址对前一次通信时存储的随机数进行更新推算出当前消息对应的随机数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010310110.3A CN111431586B (zh) | 2020-04-17 | 2020-04-17 | 一种卫星网络安全通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010310110.3A CN111431586B (zh) | 2020-04-17 | 2020-04-17 | 一种卫星网络安全通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111431586A CN111431586A (zh) | 2020-07-17 |
| CN111431586B true CN111431586B (zh) | 2021-09-21 |
Family
ID=71558190
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010310110.3A Active CN111431586B (zh) | 2020-04-17 | 2020-04-17 | 一种卫星网络安全通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111431586B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112291783B (zh) * | 2020-10-28 | 2024-05-31 | 中国科学院空天信息创新研究院 | 电文认证方法及系统、发送端、接收端 |
| CN113015111B (zh) * | 2021-02-23 | 2022-03-29 | 中国人民解放军火箭军工程大学 | 基于动态时间戳和国密算法的短报文加密通信方法 |
| CN113660026B (zh) * | 2021-07-26 | 2022-08-16 | 长光卫星技术股份有限公司 | 基于多用户自主访问控制的卫星安全管理方法 |
| CN113923057B (zh) * | 2021-12-15 | 2022-03-01 | 北京航天驭星科技有限公司 | 卫星测运控平台的数据处理方法、装置、电子设备及介质 |
| CN114827998B (zh) * | 2022-03-17 | 2023-11-17 | 北京航天科工世纪卫星科技有限公司 | 一种基于加密芯片的卫星终端入网鉴权装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101375284A (zh) * | 2004-10-25 | 2009-02-25 | 里克·L·奥尔西尼 | 安全数据分析方法和系统 |
| CN109039436A (zh) * | 2018-10-23 | 2018-12-18 | 中国科学院信息工程研究所 | 一种卫星安全接入认证的方法及系统 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009155002A2 (en) * | 2008-05-27 | 2009-12-23 | Viasat, Inc. | Time of day encryption using tdma timing |
| CN102378170B (zh) * | 2010-08-27 | 2014-12-10 | 中国移动通信有限公司 | 一种鉴权及业务调用方法、装置和系统 |
| CN103415008A (zh) * | 2013-07-24 | 2013-11-27 | 牟大同 | 一种加密通信方法和加密通信系统 |
| CN104038937A (zh) * | 2014-06-24 | 2014-09-10 | 中国科学院软件研究所 | 一种适用于卫星移动通信网络的入网认证方法 |
| CN105323754B (zh) * | 2014-07-29 | 2019-02-22 | 北京信威通信技术股份有限公司 | 一种基于预共享密钥的分布式鉴权方法 |
| CN105827304B (zh) * | 2016-03-21 | 2018-11-09 | 南京邮电大学 | 基于信关站的卫星网络匿名认证方法 |
| CA3052982A1 (en) * | 2017-02-10 | 2018-08-16 | Hughes Network Systems, Llc | Enhanced paging in 4g lte mobile satellite systems |
| CN107508796B (zh) * | 2017-07-28 | 2019-01-04 | 北京明朝万达科技股份有限公司 | 一种数据通信方法和装置 |
-
2020
- 2020-04-17 CN CN202010310110.3A patent/CN111431586B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101375284A (zh) * | 2004-10-25 | 2009-02-25 | 里克·L·奥尔西尼 | 安全数据分析方法和系统 |
| CN109039436A (zh) * | 2018-10-23 | 2018-12-18 | 中国科学院信息工程研究所 | 一种卫星安全接入认证的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111431586A (zh) | 2020-07-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111431586B (zh) | 一种卫星网络安全通信方法 | |
| US8838975B2 (en) | System and method for protecting a password against brute force attacks | |
| US8788802B2 (en) | Constrained cryptographic keys | |
| US6633979B1 (en) | Methods and arrangements for secure linking of entity authentication and ciphering key generation | |
| CN108650210A (zh) | 一种认证系统和方法 | |
| US20100135491A1 (en) | Authentication method | |
| CN113079022B (zh) | 一种基于sm2密钥协商机制的安全传输方法和系统 | |
| CN101340443A (zh) | 一种通信网络中会话密钥协商方法、系统和服务器 | |
| WO2005008950A1 (en) | Secure seed generation protocol | |
| CN114599033B (zh) | 一种通信鉴权处理方法及装置 | |
| CN114499857B (zh) | 一种实现大数据量子加解密中数据正确性与一致性的方法 | |
| CN113765664A (zh) | 基于量子密钥的区块链网络安全通信方法 | |
| US12244580B2 (en) | Encrypted data communication and gateway device for encrypted data communication | |
| CN113452687B (zh) | 基于量子安全密钥的发送邮件的加密方法和系统 | |
| CN118337386B (zh) | 基于改进增强型量子安全加密算法的网络安全通信方法、存储介质、设备及计算机程序产品 | |
| CN108599944A (zh) | 一种基于手机身份的验证码短信透明加密方法 | |
| CN114765543A (zh) | 一种量子密码网络扩展设备的加密通信方法及系统 | |
| CN107666491A (zh) | 基于对称加密的空地一体化网络的数据传输方法 | |
| US20130010953A1 (en) | Encryption and decryption method | |
| CN117098123B (zh) | 一种基于量子密钥的北斗短报文加密通信系统 | |
| CN116318739B (zh) | 一种电子数据交换方法及系统 | |
| US20020138732A1 (en) | Methods, systems and computer program products for providing digital signatures in a network environment | |
| KR20190115489A (ko) | 보안기술을 활용한 iot기기 보안인증 시스템 | |
| CN112822015A (zh) | 信息传输方法及相关装置 | |
| CN117134904B (zh) | 一种基于身份识别与动态加解密通信的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |