基于信關(guān)站的衛(wèi)星網(wǎng)絡(luò)匿名認(rèn)證方法
【專利摘要】本發(fā)明提供一種基于信關(guān)站的衛(wèi)星網(wǎng)絡(luò)匿名認(rèn)證方法，傳統(tǒng)的衛(wèi)星網(wǎng)絡(luò)認(rèn)證方法都采用網(wǎng)絡(luò)控制中心NCC對(duì)用戶進(jìn)行授權(quán)認(rèn)證，為了降低網(wǎng)絡(luò)控制中心NCC的認(rèn)證計(jì)算量，本發(fā)明將授權(quán)認(rèn)證功能轉(zhuǎn)移到信關(guān)站G，減輕了網(wǎng)絡(luò)控制中心NCC的負(fù)擔(dān)，本發(fā)明在認(rèn)證過(guò)程中采用了消息認(rèn)證碼MAC，實(shí)現(xiàn)了用戶的匿名認(rèn)證，保護(hù)了用戶的隱私，本發(fā)明在實(shí)現(xiàn)衛(wèi)星網(wǎng)絡(luò)對(duì)用戶的安全認(rèn)證后，完成了用戶對(duì)衛(wèi)星網(wǎng)絡(luò)的安全認(rèn)證，達(dá)到了雙向認(rèn)證的目的，進(jìn)一步提高網(wǎng)絡(luò)的安全性。本發(fā)明的認(rèn)證方法主要分為兩個(gè)階段，即注冊(cè)階段與認(rèn)證階段。
【專利說(shuō)明】
基于信關(guān)站的衛(wèi)星網(wǎng)絡(luò)匿名認(rèn)證方法
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及一種基于信關(guān)站的衛(wèi)星網(wǎng)絡(luò)匿名認(rèn)證方法，實(shí)現(xiàn)用戶與衛(wèi)星網(wǎng)絡(luò)的雙向認(rèn)證，進(jìn)一步提高網(wǎng)絡(luò)的安全性，屬于衛(wèi)星通信技術(shù)領(lǐng)域。
【背景技術(shù)】
[0002]由于衛(wèi)星網(wǎng)絡(luò)信道的開放性，衛(wèi)星網(wǎng)絡(luò)的安全性問(wèn)題不容忽視，特別是在軍事和商業(yè)應(yīng)用中安全問(wèn)題至關(guān)重要。雖然衛(wèi)星通信技術(shù)已經(jīng)相對(duì)比較成熟，但其中的安全防護(hù)技術(shù)仍處于理論探索和試驗(yàn)階段，仍然需要進(jìn)行大量的研究工作。如何構(gòu)建可信的衛(wèi)星網(wǎng)絡(luò)，如何實(shí)現(xiàn)保密通信，如何確認(rèn)業(yè)務(wù)參與方的身份信息，這些安全問(wèn)題是我們?cè)跇?gòu)建衛(wèi)星網(wǎng)絡(luò)時(shí)必須考慮和解決的。
[0003]用戶通過(guò)衛(wèi)星通信系統(tǒng)的認(rèn)證，可接入系統(tǒng)并獲取服務(wù)。如果系統(tǒng)未采取較高強(qiáng)度的認(rèn)證機(jī)制，非法用戶就可以通過(guò)協(xié)議攻擊來(lái)接入，從而非法獲取服務(wù)或破壞系統(tǒng)，所以實(shí)現(xiàn)用戶終端和衛(wèi)星通信系統(tǒng)之間的雙向認(rèn)證，確保信息來(lái)自合法用戶，可有效地避免攻擊者通過(guò)假冒終端和衛(wèi)星來(lái)實(shí)施欺騙。

【發(fā)明內(nèi)容】

[0004]本發(fā)明提出一種基于信關(guān)站的衛(wèi)星網(wǎng)絡(luò)匿名認(rèn)證方法，傳統(tǒng)的衛(wèi)星網(wǎng)絡(luò)認(rèn)證方法都采用網(wǎng)絡(luò)控制中心(Network Control Center，NCC)對(duì)用戶進(jìn)行授權(quán)認(rèn)證，為了降低NCC的認(rèn)證計(jì)算量，將授權(quán)認(rèn)證功能轉(zhuǎn)移到信關(guān)站(Gateway，G);本發(fā)明在認(rèn)證過(guò)程中采用了消息認(rèn)證碼(Message Authenticat1n Code，MAC)，實(shí)現(xiàn)了用戶的匿名認(rèn)證，保護(hù)了用戶的隱私;本發(fā)明在實(shí)現(xiàn)衛(wèi)星對(duì)用戶安全認(rèn)證的同時(shí)，完成用戶對(duì)衛(wèi)星的認(rèn)證，達(dá)到了雙向認(rèn)證的目的，進(jìn)一步提尚網(wǎng)絡(luò)的安全性。
[0005]本發(fā)明提供的基于信關(guān)站的衛(wèi)星網(wǎng)絡(luò)匿名認(rèn)證方法，傳統(tǒng)衛(wèi)星網(wǎng)絡(luò)認(rèn)證方法的基礎(chǔ)上，將授權(quán)認(rèn)證功能轉(zhuǎn)移到信關(guān)站，大大降低了網(wǎng)絡(luò)控制中心NCC的認(rèn)證計(jì)算量，在認(rèn)證過(guò)程中采用了消息認(rèn)證碼，實(shí)現(xiàn)了用戶的匿名認(rèn)證，保護(hù)了用戶的隱私;本發(fā)明在實(shí)現(xiàn)衛(wèi)星對(duì)用戶安全認(rèn)證的同時(shí)，完成用戶對(duì)衛(wèi)星的認(rèn)證，達(dá)到了雙向認(rèn)證的目的，是一種安全有效的認(rèn)證方法，本發(fā)明的認(rèn)證方法主要分為兩個(gè)階段，即注冊(cè)階段與認(rèn)證階段。
[0006]注冊(cè)階段:
[0007]用戶U發(fā)送自己的身份編號(hào)IDu給網(wǎng)絡(luò)控制中心NCC，網(wǎng)絡(luò)控制中心NCC計(jì)算密鑰key = h(IDu |m)作為用戶U的密鑰，并為用戶U提供一個(gè)臨時(shí)身份TIDu，最后計(jì)算V=IDu e h(TIDu I m)，其中，m為網(wǎng)絡(luò)控制中心NCC永久性私鑰；注冊(cè)完成之后，用戶U保存的信息為[IDu,TIDu,key]，注冊(cè)信關(guān)站保存一個(gè)驗(yàn)證表{TIDu，V}和網(wǎng)絡(luò)控制中心NCC私鑰m，網(wǎng)絡(luò)控制中心NCC保存信息[TIDu，IDu，IDg，，IDsat]，其中IDG，和IDsat分別表示注冊(cè)信關(guān)站G’和衛(wèi)星SAT的身份編號(hào)；
[0008]認(rèn)證階段:
[0009]步驟1:用戶U生成會(huì)話密鑰sk = h(key，TIDu)和消息認(rèn)證碼macu=MACkey(IDu，sk)，并發(fā)送消息[TIDu，macu ]給接入衛(wèi)星；
[0010]步驟2:衛(wèi)星SAT接收到用戶U發(fā)來(lái)的消息后，加入自己的身份編號(hào)IDsat，發(fā)送消息[11011，11^(311，10訓(xùn)]給信關(guān)站6;
[0011 ]步驟3:信關(guān)站G收到衛(wèi)星SAT發(fā)來(lái)的消息后，首先檢查衛(wèi)星編號(hào)IDsat是否合法，如果合法，信關(guān)站G通過(guò)TIDu在驗(yàn)證表中檢查用戶U的身份信息，如果找到相對(duì)應(yīng)的用戶信息，則轉(zhuǎn)入步驟6，否則信關(guān)站G通過(guò)安全信道發(fā)送消息[IDg，TIDu]給網(wǎng)絡(luò)控制中心NCC，其中IDg為信關(guān)站G的身份編號(hào)；
[0012]步驟4:網(wǎng)絡(luò)控制中心NCC在收到信關(guān)站G發(fā)來(lái)的消息[IDg，TIDu]后，通過(guò)TIDu查找用戶注冊(cè)信息[!1011，1011，10(；’，10訓(xùn)]，查找用戶1]的注冊(cè)信關(guān)站6’，如果網(wǎng)絡(luò)控制中心％(:沒(méi)有找到相應(yīng)用戶信息，則通知信關(guān)站G此用戶為非法用戶，認(rèn)證失??；否則，通過(guò)找到的IDg，找到相應(yīng)的注冊(cè)信關(guān)站G’，并在注冊(cè)信關(guān)站G’的驗(yàn)證表中找到TIDu想對(duì)應(yīng)的V，然后通過(guò)安全信道將用來(lái)認(rèn)證用戶的V轉(zhuǎn)移到信關(guān)站G;
[0013]步驟5:信關(guān)站收到網(wǎng)絡(luò)控制中心NCC發(fā)送來(lái)的相應(yīng)用戶為非法用戶的消息后，信關(guān)站G此消息發(fā)送給相應(yīng)衛(wèi)星和用戶，認(rèn)證結(jié)束;否則，信關(guān)站G收到由注冊(cè)信關(guān)站G’通過(guò)安全信道發(fā)來(lái)的用戶認(rèn)證消息{TIDu，V}，并且將此消息保存；
[0014]步驟6:信關(guān)站G利用接收到的TIDu計(jì)算h(TIDu，m)，然后計(jì)算V十h(TIDu，m)得到IDu，，分別計(jì)算密鑰key’ =h(IDu，，m)，會(huì)話密鑰sk’ =h(key’ ,TIDu)，消息認(rèn)證碼macu’ =MACkey(IDu'，sk’)，檢查計(jì)算得到的macu’與接收到的macu是否相等，如果相等，則完成了對(duì)用戶的身份認(rèn)證，并且會(huì)話密鑰確定，否則認(rèn)證失??；
[0015]如果認(rèn)證成功，則信關(guān)站G先通知網(wǎng)絡(luò)控制中心NCC該用戶身份認(rèn)證成功，NCC產(chǎn)生一個(gè)新的臨時(shí)身份編號(hào)TIDUne3w替換原來(lái)的TIDU，并將TIDUne3w發(fā)送給信關(guān)站G，信關(guān)站收到之后，將驗(yàn)證表中的TIDU替換為TIDUnew。并計(jì)算c = h(sk’)? TIDUPmacG=MACsk，(TIDUnew)，然后發(fā)送消息[c，macG，IDsat]給接入衛(wèi)星；
[0016]步驟7:衛(wèi)星將macG和c轉(zhuǎn)發(fā)給用戶U，用戶U收到之后，計(jì)算注冊(cè)認(rèn)證碼macG’ =MACsk' (TIDUnew，)，其中TIDUnew’ =C ? sk = h(sk，) ? TIDUnew，比較計(jì)算得到的maCG’ 和接收至Ij的macG是否相等，如果相等，則本次接入認(rèn)證成功，且下次認(rèn)證用TIDUnew進(jìn)行認(rèn)證。
[0017]本發(fā)明具有以下有益效果:傳統(tǒng)的衛(wèi)星網(wǎng)絡(luò)認(rèn)證方法都采用NCC對(duì)用戶進(jìn)行授權(quán)認(rèn)證，本發(fā)明提供的應(yīng)用于衛(wèi)星網(wǎng)絡(luò)的基于信關(guān)站的衛(wèi)星網(wǎng)絡(luò)匿名認(rèn)證方法，將授權(quán)認(rèn)證功能轉(zhuǎn)移到信關(guān)站，大大降低了網(wǎng)絡(luò)控制中心NCC的認(rèn)證計(jì)算量，本發(fā)明在認(rèn)證過(guò)程中采用了消息認(rèn)證碼，實(shí)現(xiàn)了用戶的匿名認(rèn)證，保護(hù)了用戶的隱私，本發(fā)明在實(shí)現(xiàn)衛(wèi)星對(duì)用戶安全認(rèn)證的同時(shí)，完成用戶對(duì)衛(wèi)星的認(rèn)證，達(dá)到了雙向認(rèn)證的目的，進(jìn)一步提高網(wǎng)絡(luò)的安全性。
【附圖說(shuō)明】
[0018]圖1為衛(wèi)星通信網(wǎng)絡(luò)體系結(jié)構(gòu)；
[0019]圖2為本發(fā)明提供的認(rèn)證方法的注冊(cè)階段；
[0020]圖3為本發(fā)明提供的認(rèn)證方法的認(rèn)證階段。
【具體實(shí)施方式】
[0021]如圖1所示，本發(fā)明采用的衛(wèi)星通信網(wǎng)絡(luò)體系結(jié)構(gòu)涉及的鏈路有:星間鏈路、用戶鏈路、饋線鏈路和安全通道。
[0022]本發(fā)明使用的標(biāo)記含義為:U:終端用戶、SAT:衛(wèi)星、G:信關(guān)站、G’:注冊(cè)信關(guān)站、NCC:網(wǎng)絡(luò)控制中心。
[0023]消息認(rèn)證碼(MAC):在密碼學(xué)中，通信實(shí)體雙方使用的一種驗(yàn)證機(jī)制，保證消息數(shù)據(jù)完整性的一種工具，也可以稱之為帶秘鑰的hash函數(shù)。消息認(rèn)證碼是基于密鑰和消息摘要所獲得的一個(gè)值，可用于數(shù)據(jù)源發(fā)認(rèn)證和完整性校驗(yàn)。
[0024]本發(fā)明提供的基于信關(guān)站的衛(wèi)星網(wǎng)絡(luò)匿名認(rèn)證方法主要有注冊(cè)和認(rèn)證兩個(gè)階段，主要流程如下:
[0025]注冊(cè)階段，如圖2所示:
[0026]用戶U在使用網(wǎng)絡(luò)前，首先需要到網(wǎng)絡(luò)控制中心NCC去登記注冊(cè)，并由NCC為其分配用戶信息，假設(shè)NCC擁有一個(gè)永久性私鑰m。首先用戶U發(fā)送自己的IDu給NCC，NCC計(jì)算密鑰key = h(IDu |m)作為用戶U的密鑰，并為用戶U提供一個(gè)臨時(shí)身份TIDu，最后計(jì)算V=IDu e h(TIDu |111)。注冊(cè)完成之后，用戶1]保存的信息為[1011，1'1011，1?^]，注冊(cè)信關(guān)站保存一個(gè)驗(yàn)證信關(guān)站G’和衛(wèi)星SAT的身份編號(hào)。
[0027]認(rèn)證階段，如圖3所示:
[0028]步驟1:用戶U生成會(huì)話密鑰sk = h(key，TIDu)和消息認(rèn)證碼macu=MACkey(IDu，sk)，并發(fā)送消息[TIDu，macu ]給接入衛(wèi)星。
[0029]步驟2:衛(wèi)星SAT接收到用戶U發(fā)來(lái)的消息后，加入自己的身份編號(hào)IDsat，發(fā)送消息[TIDu，macu，IDSAT]給信關(guān)站 G0
[0030]步驟3:信關(guān)站G收到衛(wèi)星SAT發(fā)來(lái)的消息后，首先檢查衛(wèi)星編號(hào)IDsat是否合法，如果合法，信關(guān)站G通過(guò)TIDu在驗(yàn)證表中檢查用戶U的身份信息，如果找到相對(duì)應(yīng)的用戶信息，則轉(zhuǎn)入步驟6，否則信關(guān)站G通過(guò)安全信道發(fā)送消息[IDc，TIDu]給網(wǎng)絡(luò)控制中心NCC。
[0031]步驟4:NCC在收到信關(guān)站G發(fā)來(lái)的消息[I Dg，TI Du ]后，通過(guò)TI Du查找用戶注冊(cè)信息[TIDu，IDu，IDg’，IDsat]，查找用戶U的注冊(cè)信關(guān)站G ’，如果NCC沒(méi)有找到相應(yīng)用戶信息，則告知信關(guān)站G此用戶為非法用戶，認(rèn)證失敗。否則，通過(guò)找到的IDg，找到相應(yīng)的注冊(cè)信關(guān)站G’，并在G’的驗(yàn)證表中找到TIDu想對(duì)應(yīng)的V，然后通過(guò)安全信道將用來(lái)認(rèn)證用戶的V轉(zhuǎn)移到信關(guān)站G ο
[0032]步驟5:如果信關(guān)站G收到網(wǎng)絡(luò)控制中心NCC發(fā)來(lái)相關(guān)用戶為非法用戶的消息，則將此消息發(fā)送給相應(yīng)衛(wèi)星和用戶，認(rèn)證結(jié)束。否則，信關(guān)站G收到由注冊(cè)信關(guān)站G’通過(guò)安全信道發(fā)來(lái)的用戶認(rèn)證消息{TIDu，V}，并且將此消息保存。
[0033]步驟6:信關(guān)站G利用接收到的TIDu計(jì)算h(TIDu，m)，然后計(jì)算V十h(TIDu，m)得到IDu，，分別計(jì)算密鑰key’ =h(IDu，，m)，會(huì)話密鑰sk’ =h(key’ ,TIDu)，消息認(rèn)證碼macu’ =MACkey(IDu'，sk’)，檢查計(jì)算得到的macu’與接收到的macu是否相等，如果相等，則完成了對(duì)用戶的身份認(rèn)證，并且會(huì)話密鑰可以確定，否則認(rèn)證失敗。如果認(rèn)證成功，則信關(guān)站G先通知網(wǎng)絡(luò)控制中心NCC該用戶身份認(rèn)證成功，NCC產(chǎn)生一個(gè)新的臨時(shí)身份編號(hào)TIDUnew替換原來(lái)的TIDU，并TIDUnew將發(fā)送給信關(guān)站G，信關(guān)站收到之后，也將驗(yàn)證表中的TIDU替換為TIDUnew。并計(jì)算c = h(sk’) ? TIDUnew和macG = MACsk，(TIDUnew)，然后發(fā)送消息[c，macG，IDsat]給接入衛(wèi)星。[OO34]步驟7:衛(wèi)星將macG和c轉(zhuǎn)發(fā)給用戶U，用戶U收到之后，計(jì)算c ? sk = h(sk’ ) ?TIDUnew得到TIDUnew’和根據(jù)TIDUnew’計(jì)算得到macG’ =MACsk, (TIDUnew，)，比較計(jì)算得到的macG’和接收到的macG是否相等，如果相等，則本次接入認(rèn)證成功，且下次認(rèn)證用TIDUnew進(jìn)行認(rèn)證。
【主權(quán)項(xiàng)】
1.一種基于信關(guān)站的衛(wèi)星網(wǎng)絡(luò)匿名認(rèn)證方法，其特征在于:包括注冊(cè)階段和認(rèn)證階段； 注冊(cè)階段: 用戶U發(fā)送自己的身份編號(hào)IDu給網(wǎng)絡(luò)控制中心NCC，網(wǎng)絡(luò)控制中心NCC計(jì)算密鑰key = h(IDu Im)作為用戶U的密鑰，并為用戶U提供一個(gè)臨時(shí)身份TIDu，最后計(jì)算V= IDue h(TIDuIm)，其中，m為網(wǎng)絡(luò)控制中心NCC永久性私鑰;注冊(cè)完成之后，用戶U保存的信息為[IDu，TIDu，key ]，注冊(cè)信關(guān)站保存一個(gè)驗(yàn)證表{TIDu，V}和網(wǎng)絡(luò)控制中心NCC私鑰m，網(wǎng)絡(luò)控制中心NCC保存信息[TIDu，IDuJDg'，IDsat]，其中IDg，和IDsat分別表示注冊(cè)信關(guān)站G，和衛(wèi)星SAT的身份編號(hào)； 認(rèn)證階段: 步驟1:用戶U生成會(huì)話密鑰sk = h(key，TIDu)和消息認(rèn)證碼macu=MACkey(IDu，sk)，并發(fā)送消息[TIDu，macu ]給接入衛(wèi)星； 步驟2:衛(wèi)星SAT接收到用戶U發(fā)來(lái)的消息后，加入自己的身份編號(hào)IDsat，發(fā)送消息[TIDu，macu，IDsat]給信關(guān)站G; 步驟3:信關(guān)站G收到衛(wèi)星SAT發(fā)來(lái)的消息后，首先檢查衛(wèi)星編號(hào)IDsat是否合法，如果合法，信關(guān)站G通過(guò)TIDu在驗(yàn)證表中檢查用戶U的身份信息，如果找到相對(duì)應(yīng)的用戶信息，則轉(zhuǎn)入步驟6，否則信關(guān)站G通過(guò)安全信道發(fā)送消息[IDg，TIDu]給網(wǎng)絡(luò)控制中心NCC，其中IDg為信關(guān)站G的身份編號(hào)； 步驟4:網(wǎng)絡(luò)控制中心NCC在收到信關(guān)站G發(fā)來(lái)的消息[IDg，TIDu]后，通過(guò)TIDu查找用戶注冊(cè)信息[!1011，1011，10(；’，10訓(xùn)]，查找用戶1]的注冊(cè)信關(guān)站6’，如果網(wǎng)絡(luò)控制中心％(:沒(méi)有找至IJ相應(yīng)用戶信息，則通知信關(guān)站G此用戶為非法用戶，認(rèn)證失敗；否則，通過(guò)找到的IDg，找到相應(yīng)的注冊(cè)信關(guān)站G’，并在注冊(cè)信關(guān)站G’的驗(yàn)證表中找到TIDu想對(duì)應(yīng)的V，然后通過(guò)安全信道將用來(lái)認(rèn)證用戶的V轉(zhuǎn)移到信關(guān)站G; 步驟5:信關(guān)站G收到由注冊(cè)信關(guān)站G’通過(guò)安全信道發(fā)來(lái)的用戶認(rèn)證消息{TIDu，V}，并且將此消息保存； 步驟6:信關(guān)站6利用接收到的1'1011計(jì)算11(1'1011，111)，然后計(jì)算￥^(1'1011，111)得到1011’，分別計(jì)算密鑰key’ =h(IDu’，m)，會(huì)話密鑰sk’ =h(key’ ,TIDu)，消息認(rèn)證碼macu’ =MACkey(IDu’，sk’)，檢查計(jì)算得到的macu’與接收到的macu是否相等，如果相等，則完成了對(duì)用戶的身份認(rèn)證，并且會(huì)話密鑰確定，否則認(rèn)證失??； 如果認(rèn)證成功，則信關(guān)站G先通知網(wǎng)絡(luò)控制中心NCC該用戶身份認(rèn)證成功，NCC產(chǎn)生一個(gè)新的臨時(shí)身份編號(hào)TIDUnew替換原來(lái)的TIDU，并將TIDUnew發(fā)送給信關(guān)站G，信關(guān)站收到之后，將驗(yàn)證表中的TIDU替換為TIDUnew。并計(jì)算c = h(sk’)? TIDUne4PmacG = MACsk，(TIDUnew)，然后發(fā)送消息[c，macG，IDsat]給接入衛(wèi)星； 步驟7:衛(wèi)星將macG和c轉(zhuǎn)發(fā)給用戶U，用戶U收到之后，計(jì)算注冊(cè)認(rèn)證碼macG’ =MACsk'(TIDUnew')，其中TIDUnew’ =c ? sk = h(sk’) ? TIDUnew，比較計(jì)算得到的macG’ 和接收到的macG是否相等，如果相等，則本次接入認(rèn)證成功，且下次認(rèn)證用TIDUnew進(jìn)行認(rèn)證。2.如權(quán)利要求1所述的基于信關(guān)站的衛(wèi)星網(wǎng)絡(luò)匿名認(rèn)證方法，其特征在于:所述步驟4中，網(wǎng)絡(luò)控制中心NCC通知信關(guān)站G相應(yīng)用戶為非法用戶后，信關(guān)站G此消息發(fā)送給相應(yīng)衛(wèi)星和用戶，認(rèn)證結(jié)束。
【文檔編號(hào)】H04W12/06GK105827304SQ201610162478
【公開日】2016年8月3日
【申請(qǐng)日】2016年3月21日
【發(fā)明人】孫力娟, 陳思雨, 王汝傳, 韓崇, 周劍, 肖甫, 郭劍
【申請(qǐng)人】南京郵電大學(xué)