Nothing Special   »   [go: up one dir, main page]

CN108289026A - 一种卫星网络中的身份认证方法及相关设备 - Google Patents

一种卫星网络中的身份认证方法及相关设备 Download PDF

Info

Publication number
CN108289026A
CN108289026A CN201711404385.8A CN201711404385A CN108289026A CN 108289026 A CN108289026 A CN 108289026A CN 201711404385 A CN201711404385 A CN 201711404385A CN 108289026 A CN108289026 A CN 108289026A
Authority
CN
China
Prior art keywords
node
satellite
key
satellite node
legal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201711404385.8A
Other languages
English (en)
Other versions
CN108289026B (zh
Inventor
佘春东
贾潞汀
马雅琪
刘绍华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Posts and Telecommunications
Original Assignee
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Posts and Telecommunications filed Critical Beijing University of Posts and Telecommunications
Priority to CN201711404385.8A priority Critical patent/CN108289026B/zh
Publication of CN108289026A publication Critical patent/CN108289026A/zh
Application granted granted Critical
Publication of CN108289026B publication Critical patent/CN108289026B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B7/00Radio transmission systems, i.e. using radiation field
    • H04B7/14Relay systems
    • H04B7/15Active relay systems
    • H04B7/185Space-based or airborne stations; Stations for satellite systems
    • H04B7/1851Systems using a satellite or space-based relay
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Astronomy & Astrophysics (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • General Physics & Mathematics (AREA)
  • Radio Relay Systems (AREA)

Abstract

本发明公开了一种卫星网络中的身份认证方法和相关设备,根据空间信息网络的基本特性、业务类型和安全需求,设计适用于空间信息网络的身份认证协议,解决卫星网络的身份认证协议中普遍存在的,对密钥分发中心KGC和密钥通道完全可信的不合理假设的问题;同时在身份认证的密钥对中引入有效期的概念,使其可以根据卫星的具体需求和业务确定密钥更新频率,灵活性更高。

Description

一种卫星网络中的身份认证方法及相关设备
技术领域
本发明涉及空间通信技术领域,特别是指一种卫星网络中的身份认证方法及相关设备。
背景技术
随着空间信息网络发展的不断深入,空间通信技术已经逐渐趋于成熟,然而信息网络的安全问题也随之显露出来,空间信息网络的安全性愈发受到科研人员的广泛关注。其中,身份认证作为空间卫星网络安全技术体系的重要一环,是一切安全通信和安全接入的基础过程,是保障空间信息网络安全的基石。目前空间信息网络中普遍使用的是基于身份的身份认证协议(以下简称IBI协议)。在IBI协议中,节点通常持有一组非对称密钥的密钥对。此密钥对中的公钥是节点根据既定的规则自行计算出的可以标识节点身份的字符串,而私钥则是由密钥分发中心KGC根据既定的规则生成,并由密钥分发通道秘密发送给节点的,与公钥相对应的字符串。通过这样的方式,验证方在认证协议之前可以无需对CA进行访问,可以直接获得公钥,降低了网络中申请密钥的通信消耗,满足空间信息网络资源有限的特征。
目前空间信息网络的IBI方案存在的普遍问题是无法保证密钥分发中心KGC的完全可信,目前通常假设密钥分发中心KGC和密钥通道完全可信;虽然目前已有人提出了几种无证书的密钥分发方案,如CL-PKC,eck等,但是其算法普遍比较复杂,而且通常集中在密钥分发和协商方面,在身份认证方面鲜有涉及。同时,由于本文针对的是空间信息网络,应当尽可能选取轻量级的算法,并将复杂的计算集中在密钥分发中心完成。然而就现有的身份认证算法研究而言,针对此类问题的研究还比较欠缺。
发明内容
有鉴于此,本发明的目的在于提出一种卫星网络中的身份认证方法及相关设备,适用于卫星网络的身份认证领域,提高了卫星网络身份认证的安全性和可靠性,同时减少卫星网络中的通信和资源消耗。
基于上述目的本发明提供的一种卫星网络中的身份认证方法,应用于密钥分发中心,包括:
初始化参数,生成系统公开参数并公开;
接收地面站发送的合法节点列表;所述合法节点列表包括卫星节点的安全级别以及所述卫星节点的密钥的有效时长;
接收所述第一卫星节点发送的节点公钥以及节点身份信息;所述节点公钥由所述第一卫星节点基于秘密值生成;
根据所述合法节点列表判断所述第一卫星节点是否为合法节点;若是,则根据所述节点公钥以及所述节点身份信息生成所述第一卫星节点的中间认证参数、节点部分私钥,并发送给所述第一卫星节点。
本发明还提供一种卫星网络中的身份认证方法,应用于地面站,包括:
识别卫星节点,确认每个所述卫星节点的安全级别;
根据每个所述卫星节点的安全级别确认所述卫星节点从密钥分发中心收到的密钥的有效时长;
根据所述卫星节点的安全级别以及所述卫星节点接收到的密钥的有效时长生成合法节点列表,并发送给所述密钥分发中心。
本发明还提供一种卫星网络中的身份认证方法,应用于第一卫星节点,包括:
判断所述第一卫星节点是否具有有效密钥;
若否,则生成秘密值,并根据所述秘密值生成节点公钥;
将所述节点公钥以及节点身份信息发送给密钥分发中心;
接收所述密钥分发中心发送的中间认证参数以及节点部分私钥,并验证所述节点部分私钥是否合法;所述中间认证参数以及所述节点部分私钥根据所述节点公钥以及所述节点身份信息生成;
若是,将所述节点公钥以及所述节点身份信息发送给第二卫星节点;反之,向地面站发送所述密钥分发中心异常告警。
接收所述第二卫星节点返回的随机数,并根据所述随机数生成辅助认证参数发送给所述第二卫星节点。
本发明还提供一种卫星网络中的身份认证方法,应用于第二卫星节点,包括:
接收第一卫星节点发送的节点公钥以及节点身份信息;所述节点公钥由所述第一卫星节点基于秘密值生成;
生成随机数并发送给所述第一卫星节点;
接收所述第一卫星节点发送的辅助认证参数,所述辅助认证参数根据所述随机数生成;
根据所述辅助认证参数判断所述第一卫星节点的身份认证是否合法;若是,则所述第一卫星节点的身份认证成功。
本发明还提供一种终端设备,包括:
初始化模块,用于初始化参数,生成系统公开参数并公开;
第一接收模块,用于接收地面站发送的合法节点列表;所述合法节点列表包括卫星节点的安全级别以及所述卫星节点的密钥的有效时长;
第二接收模块,用于接收第一卫星节点发送的节点公钥以及节点身份信息;所述节点公钥由所述第一卫星节点基于秘密值生成;
第一生成模块,用于根据所述合法节点列表判断所述第一卫星节点是否为合法节点;若是,则根据所述节点公钥以及所述节点身份信息生成所述第一卫星节点的中间认证参数、节点部分私钥,并发送给所述第一卫星节点。
本发明还提供一种另终端设备,包括:
识别模块,用于识别卫星节点,确认每个所述卫星节点的安全级别;
确认模块,用于根据每个所述卫星节点的安全级别确认所述卫星节点从密钥分发中心收到的密钥的有效时长;
第一发送模块,用于根据所述卫星节点的安全级别以及所述卫星节点接收到的密钥的有效时长生成合法节点列表,并发送给所述密钥分发中心。
本发明还提供一种卫星节点,包括:
第一判断模块,用于判断第一卫星节点是否具有有效密钥;
第二生成模块,用于生成秘密值,并根据所述秘密值生成节点公钥;
第二发送模块,用于将所述节点公钥以及节点身份信息发送给密钥分发中心;
第一验证模块,用于接收所述密钥分发中心发送的中间认证参数以及节点部分私钥,并验证所述节点部分私钥是否合法;所述中间认证参数以及所述节点部分私钥根据所述节点公钥以及所述节点身份信息生成;
第三发送模块,用于在所述节点部分私钥合法时,将所述节点公钥以及所述节点身份信息发送给第二卫星节点;以及在所述节点部分私钥不合法时,向地面站发送密钥分发中心异常告警;
第三生成模块,用于接收所述第二卫星节点返回的随机数,并根据所述随机数生成辅助认证参数发送给所述第二卫星节点。
本发明还提供另一种卫星节点,包括:
第三接收模块,用于接收第一卫星节点发送的节点公钥以及节点身份信息;所述节点公钥由所述第一卫星节点基于秘密值生成;
第四生成模块,用于生成随机数并发送给所述第一卫星节点;
第四接收模块,用于接收所述第一卫星节点发送的辅助认证参数,所述辅助认证参数根据所述随机数生成;
第二验证模块,用于根据所述辅助认证参数判断所述第一卫星节点的身份认证是否合法;若是,则所述第一卫星节点的身份认证成功。
本发明还提供一种卫星网络中的身份认证系统,包括:
如上述权利要求所述的终端设备,以及上述权利要求所述的卫星节点。
从上面所述可以看出,本发明提供的一种卫星网络中的身份认证方法及相关设备,适用于卫星网络的身份认证领域,很好的解决传统协议中对密钥分发中心和密钥分发通道完全信任的不合理假设,提高了卫星网络身份认证的安全性和可靠性;引入密钥对有效时长的概念,使其可以根据卫星的具体需求和业务确定密钥更新频率,灵活性更高。
附图说明
图1为本发明实施例应用于密钥分发中心的身份认证方法流程图;
图2为本发明实施例应用于地面站的身份认证方法流程图;
图3为本发明实施例应用于第一卫星节点的身份认证方法流程图;
图4为本发明实施例应用于第二卫星节点的身份认证方法流程图;
图5为本发明实施例一种卫星网络中的身份认证方法的流程图;
图6为本发明实施例卫星网络中的身份认证方法的另一流程图;
图7为本发明实施例一种终端设备的结构示意图;
图8为本发明实施例另一种终端设备的结构示意图;
图9为本发明实施例一种卫星节点的结构示意图;
图10为本发明实施例另一种卫星节点的结构示意图;
图11为本发明实施例卫星网络中的身份认证系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
本发明实施例提出一种卫星网络中的身份认证方法,应用于密钥分发中心KGC,参照附图1所示,包括:
S101,初始化参数,生成系统公开参数并公开;所述系统公开参数包括循环加法群G1、乘法循环群G2、双线性对参数n、循环加法群G1的一个生成元P、系统公钥P0以及哈希函数H1
在一个具体的实施例中,所述初始化参数的过程进一步包括:
设置安全参数k、循环加法群G1以及乘法循环群G2;其中循环加法群G1、乘法循环群G2的阶均为p,p为k比特长的素数,循环加法群G1的一个生成元为P,满足P∈G1
选取双线性对其中双线性对满足
选取安全的哈希函数H1。其中,所述哈希函数H1满足H1:{0,1}*→G1,{0,1}*表示集合{0,1}的映射。
选取系统主私钥s,并根据所述系统主私钥s计算生成系统公钥P0,系统主私钥s满足系统公钥P0=sP。其中,满足:当n为素数q时,中的q-1个非零元都可逆,组成乘法群 是有限域,中的元素都可以写成一个元素的幂,是循环群。
生成系统公开参数并在整个系统中公开,所述系统公开参数包括
S102,接收地面站发送的合法节点列表;所述合法节点列表包括卫星节点的安全级别以及所述卫星节点的密钥的有效时长T。所述卫星节点包括第一卫星节点A和第二卫星节点V。在本实施例中,第一卫星节点A作为证明者,是需要申请接入并进行身份验证的卫星节点;第二卫星节点V作为验证者,是用来验证第一卫星节点A的合法身份的。
优选的,在卫星节点在进行身份认证所使用的密钥中设置有效时长T,有效时长T限制了密钥对的有效期。当所述密钥处于有效期时,该密钥才有效。若当前密钥失效,则需要重新向密钥分发中心KGC申请,重新进行密钥分发。所述密钥包括该卫星节点的公钥和私钥。在具体使用过程中,可以根据业务需要单独的对公钥或者私钥的有效时长进行设置,也可以同时对该卫星节点的公钥和私钥的有效时长进行设置。在本发明的一个具体的实施例中,对中间认证参数QA、节点部分私钥DA、节点私钥SA以及辅助认证参数S的有效时长进行了设置。
S103,接收第一卫星节点A发送的节点公钥PA以及节点身份信息IDA;所述节点公钥PA由所述第一卫星节点A基于秘密值χA生成。在一个具体的实施例中,节点公钥PA满足PA=χAP。
S104,根据所述合法节点列表判断所述第一卫星节点A是否为合法节点。在一个具体的实施例中,可以判断第一卫星节点A是否为合法节点列表中的合法节点,若所述第一卫星节点A为合法节点,则根据所述节点公钥PA以及所述节点身份信息IDA生成所述第一卫星节点A的中间认证参数QA、节点部分私钥DA,并将中间认证参数QA、节点部分私钥DA发送给所述第一卫星节点A。
在一个具体的实施例中,中间认证参数QA满足QA=H1(IDA,PA)∈G1 *,节点部分私钥DA满足DA=sQA∈G1 *,其中G1 *为G1的映射。
本发明实施例还提供了一种卫星网络中的身份认证方法,应用于地面站,参照附图2所示,包括:
S201,识别卫星节点,确认每个所述卫星节点的安全级别。
S202,根据每个所述卫星节点的安全级别确认所述卫星节点从密钥分发中心收到的密钥对的有效时长T。
S203,根据所述卫星节点的安全级别以及所述卫星节点接收到的密钥对的有效时长T生成合法节点列表,并发送给所述密钥分发中心KGC。
具体的,地面站识别当前的法律卫星节点,根据不同的业务和需求,确定每个卫星节点的安全级别。而不同安全等级的卫星节点从密钥分发中心KGC收到的密钥对会具有不同的有效时长。卫星节点的密钥对的有效时长根据此卫星的安全需求、业务类型、通信频率等属性,由地面站统一确定并授权密钥分发中心进行更新和密钥分发。卫星节点的密钥有效时长越短,其更新频率越高,安全性要求也就越高,反之亦然。当所述合法节点列表中的列表规则发生改变,地面站将向密钥分发中心KGC发送新的合法节点列表。
卫星节点不应当每次接入都进行一次密钥获取,这样会耗费大量的通信资源;同时节点的密钥对不能一直保持有效,否则节点可能被入侵但还一直使用一套密钥对,这就不能保证使用的安全性。因此在身份认证的密钥对中引入有效期,能够尽可能减少卫星网络中的通信和资源消耗,解决卫星网络中资源短缺的问题;同时能够保证通信的安全性,提高了卫星网络身份认证的安全性和可靠性。
本发明的另一个实施例还提供了一种卫星网络中的身份认证方法,应用于第一卫星节点,参照附图3所示,包括:
S301,所述第一卫星节点判断自身是否具有有效密钥。当第一卫星节点A需要接入时,需要对第一卫星节点A的身份进行认证。具体的,第一卫星节点A先判断自己是否具有密钥,若具有密钥则判断该密钥是否处于有效期,若密钥不处于有效期则所述第一卫星节点A不具有有效密钥,此时第一卫星节点A需要重新申请密钥。
S302,若第一卫星节点不具有有效密钥,则生成秘密值,并根据所述秘密值生成节点公钥。
具体的,第一卫星节点A生成一个秘密值χA,其中秘密值χA满足并根据秘密值χA生成节点公钥PA,其中节点公钥PA满足PA=χAP,P为循环加法群G1的一个生成元。之后公开节点公钥PA
S303,将所述节点公钥以及节点身份信息发送给密钥分发中心。
第一卫星节点A将节点公钥PA以及自己的节点身份信息IDA发送给密钥分发中心KGC。
S304,接收所述密钥分发中心KGC发送的中间认证参数QA以及节点部分私钥DA,并验证所述节点部分私钥DA是否合法;其中,所述中间认证参数QA以及所述节点部分私钥DA根据所述节点公钥PA以及所述节点身份信息IDA生成。中间认证参数QA满足QA=H1(IDA,PA)∈G1 *,节点部分私钥DA满足DA=sQA∈G1 *,其中G1 *为G1的映射。
优选的,根据验证所述节点部分私钥DA是否合法,若满足则所述节点部分私钥DA合法。
优选的,第一卫星节点A还接收密钥分发中心KGC发送的第一卫星节点A所使用密钥的有效时长T。
S305,若所述节点部分私钥DA合法,将所述节点公钥PA以及所述节点身份信息IDA发送给第二卫星节点V。反之,若所述节点部分私钥DA不合法,第二卫星节点V向地面站发送密钥分发中心异常告警。
S306,接收所述第二卫星节点V返回的随机数c;并根据所述随机数c、秘密值χA、节点部分私钥DA以及有效时长T生成辅助认证参数S发送给所述第二卫星节点V。
在一个具体的实施例中,所述辅助认证参数S满足
在本发明的另一个实施例中还提出了一种卫星网络中的身份认证方法,应用于第二卫星节点V,参照附图4所示,包括:
S401,接收第一卫星节点A发送的节点公钥PA以及节点身份信息IDA;所述节点公钥PA由所述第一卫星节点A基于秘密值χA生成,其中PA=χAP。
S402,生成随机数c并发送给所述第一卫星节点A。
S403,接收所述第一卫星节点A发送的辅助认证参数S,所述辅助认证参数S根据所述随机数c、秘密值χA、节点部分私钥DA以及有效时长T生成。在一个具体的实施例中,所述辅助认证参数S满足
S404,根据所述辅助认证参数S验证所述第一卫星节点A的身份认证是否合法。在一个具体的实施例中,第二卫星节点V根据辅助认证参数S、随机数c、生成元P、节点公钥PA、双线性对哈希函数H1、节点身份信息IDA以及系统公钥P0验证第一卫星节点A身份的合法性,具体的验证所述第一卫星节点A的身份认证是否合法即验证是否成立,若成立,则所述第一卫星节点A的身份认证合法,反之不合法。
S405,若是,则所述第一卫星节点的身份认证成功,允许第一卫星节点A接入。
为了便于理解,本发明还公开了一个更为具体的实施例,该方法主要包括四个节点,包括证明者A(即第一卫星节点)、验证者V(即第二卫星节点)、密钥分发中心KGC以及地面站;其流程图参照附图5、附图6所示,包括:
S501,密钥分发中心KGC初始化参数,生成系统公开参数并在整个系统中公开。
S502,地面站向密钥分发中心KGC发送合法节点列表,合法节点列表包括合法节点卫星的一些基本信息以及卫星节点从密钥分发中心KGC收到的密钥对的有效时长T;并且,每当合法节点列表中的规则发生变化,地面站将把最新的合法节点列表发送给密钥分发中心KGC。合法节点列表保存在KGC规则数据库中。
S503,第一卫星节点A判断自己是否具有有效的密钥。若是,则跳转到步骤S510;若否,则进行步骤S504。
当第一卫星节点A需要接入时,需要对第一卫星节点A进行身份认证。身份认证时,第一卫星节点首先判断自己是否具有有效的密钥,若具有有效密钥,则直接使用该有效密钥直接进行身份认证;若不具有有效密钥,则需要向密钥分发中心KGC重新申请密钥。
S504,第一卫星节点A生成秘密值χA,根据秘密值χA生成节点公钥PA并公开,其中PA=χAP。
S505,第一卫星节点A将生成的节点公钥PA以及节点身份信息IDA发送给密钥分发中心KGC。
S506,密钥分发中心KGC基于KGC规则数据库中存储的合法节点列表判断第一卫星节点A是否合法;若合法,则进行步骤S507;否则密钥分发中心KGC拒绝发送密钥。
S507,密钥分发中心KGC计算中间认证参数QA和节点部分私钥DA,其中QA=H1(IDA,PA)∈G1 *,DA=sQA∈G1 *
S508,密钥分发中心KGC将中间认证参数QA、节点部分私钥DA以及第一卫星节点A的有效时长T发送给第一卫星节点A。
S509,第一卫星节点A根据判断节点部分私钥DA是否合法;若合法则根据节点部分私钥DA以及秘密值χA计算节点私钥SA,之后进行步骤S510;反之则判定密钥分发中心KGC不可信,向地面站发送告警。
S510,第一卫星节点A向第二卫星节点V发送节点公钥PA和节点身份信息IDA
S511,第二卫星节点V返回随机数c。
S512,第一卫星节点A根据随机数c、秘密值χA、节点部分私钥DA以及有效时长T生成辅助认证参数S发送给所述第二卫星节点V,其中
S513,第二卫星节点V通过验证的正确性来验证第一卫星节点A的身份的合法性;若成立则第一卫星节点A的身份认证成功,允许第一卫星节点A接入;否则拒绝接入。
本发明所述卫星网络中的身份认证方法,无需证书托管密钥,也不完全信任来自密钥分发中心KGC的密钥材料;在本发明所述技术方案中,卫星节点会判断接收到的密钥材料是否合法,并将合法的部分私钥与自己持有的秘密值组合得到完整的节点私钥,使得本发明所述CL-PKC密钥分发机制具有很高的性能,其特性如下:
(1)本发明所述CL-PKC密钥分发体制避免了在公开的材料(如公钥)中使用身份标识,为用户提供了更高的私密性;同时不需要创建、修改、删除证书等相关的操作,因此节省了存储和通信带宽的消耗,具有很高的效率和更好的灵活性。
(2)相对灵活的密码学工作流程;私钥由密钥分发中心生成,公钥由节点自己计算生成,二者的生成过程完全分离,可以以任意顺序确定,因此具有很高的灵活性。
(3)信任级别和抗否认性;通常,根据可信的权威机构TA假设的不同攻击情况下密码体制的响应情况,定义了密码体制的三级信任等级:
级别1:在已知用户私钥的情况下,可以在任何时候成功冒充成任何实体;
级别2:在不知道用户私钥的情况下,可以通过伪造保证书来成功冒充实体;
级别3:在不知道用户私钥的情况下,可以成功冒充任何实体,但在一定的认证过程后可以被发现。
基于上述三级信任等级,判断CL-PKC密钥分发机制的信任等级:在本发明所述的密钥机制中,用户的完整密钥是由部分私钥和用户自己的秘密值共同组成的。因此,不知道用户私钥又可以细分为两种情况:其一,部分私钥已知,在这种情况下,如果KGC伪造部分私钥,则将会被发现,处于级别3;其二,部分私钥未知,在这种情况下,无法判断KGC是否伪造部分私钥,处于级别2;因此,综合来看,可以将CL-PKC的信任级别定义为2.5。
综上所述,本发明所述卫星网络中的身份认证方法,适用于卫星网络的身份认证领域;设置节点私钥和设置节点公钥都是在设置秘密值之后运行的,并且都是由用户节点自己来完成,使得密钥分发中心KGC不知道用户完全的节点私钥,可以很好的解决传统协议中对密钥分发中心和密钥分发通道完全信任的不合理假设,提高了卫星网络身份认证的安全性和可靠性;引入密钥对有效时长的概念,使其可以根据卫星的具体需求和业务确定密钥更新频率,灵活性更高。
本发明实施例还提出一种终端设备10,在一个具体的实施例中所述终端设备为密钥分发中心KGC,所述参照附图7所示,所述终端设备包括:
初始化模块11,用于初始化参数,生成系统公开参数并公开。
第一接收模块12,用于接收地面站发送的合法节点列表;所述合法节点列表包括卫星节点的安全级别以及所述卫星节点的密钥的有效时长。
第二接收模块13,用于接收第一卫星节点发送的节点公钥以及节点身份信息;所述节点公钥由所述第一卫星节点基于秘密值生成。
第一生成模块14,用于根据所述合法节点列表判断所述第一卫星节点是否为合法节点;若所述第一卫星节点是合法节点,则根据所述节点公钥以及所述节点身份信息生成所述第一卫星节点的中间认证参数、节点部分私钥,并发送给所述第一卫星节点。
本发明实施例还提出另一种终端设备20,在一个具体的实施例中所述终端设备为地面站,所述参照附图8所示,所述终端设备包括:
识别模块21,用于识别卫星节点,确认每个所述卫星节点的安全级别;
确认模块22,用于根据每个所述卫星节点的安全级别确认所述卫星节点从密钥分发中心收到的密钥的有效时长;
第一发送模块23,用于根据所述卫星节点的安全级别以及所述卫星节点接收到的密钥的有效时长生成合法节点列表,并发送给所述密钥分发中心。
本发明实施例还提出一种卫星节点30,在一个具体的实施例中所述终端设备为第一卫星节点即证明者,所述参照附图9所示,所述卫星节点包括:
第一判断模块31,用于判断第一卫星节点是否具有有效密钥。
第二生成模块32,用于生成秘密值,并根据所述秘密值生成节点公钥。
第二发送模块33,用于将所述节点公钥以及节点身份信息发送给密钥分发中心。
第一验证模块34,用于接收所述密钥分发中心发送的中间认证参数以及节点部分私钥,并验证所述节点部分私钥是否合法;所述中间认证参数以及所述节点部分私钥根据所述节点公钥以及所述节点身份信息生成。
第三发送模块35,用于在若所述节点部分私钥合法时,将所述节点公钥以及所述节点身份信息发送给第二卫星节点;以及在所述节点部分私钥不合法时,向地面站发送密钥分发中心异常告警。
第三生成模块36,用于接收所述第二卫星节点返回的随机数,并根据所述随机数生成辅助认证参数发送给所述第二卫星节点。
本发明实施例还提出另一种卫星节点40,在一个具体的实施例中所述终端设备为第二卫星节点即验证者,所述参照附图10所示,所述卫星节点包括:
第三接收模块41,用于接收第一卫星节点发送的节点公钥以及节点身份信息;所述节点公钥由所述第一卫星节点基于秘密值生成;
第四生成模块42,用于生成随机数并发送给所述第一卫星节点;
第四接收模块43,用于接收所述第一卫星节点发送的辅助认证参数,所述辅助认证参数根据所述随机数生成;
第二验证模块44,用于根据所述辅助认证参数判断所述第一卫星节点的身份认证是否合法;若是,则所述第一卫星节点的身份认证成功。
上述实施例所述的终端设备、卫星节点用于实现前述实施例中相应的卫星网络中的身份认证方法方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
本发明实施例还提供一种卫星网络中的身份认证系统,参照图11所示,所述系统包括上述实施例中所述的终端设备10、终端设备20以及卫星节点30、卫星节点40。具体的,所述卫星网络中的身份认证系统包括密钥分发中心KGC10、地面站20、第一卫星节点30(即证明者)以及第二卫星节点40(即验证者)。
上述实施例所述的系统用于实现前述实施例中相应的卫星网络中的身份认证方法方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本发明难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本发明难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本发明的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本发明的具体实施例对本发明进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本发明的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本发明的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (9)

1.一种卫星网络中的身份认证方法,其特征在于,应用于密钥分发中心,包括:
初始化参数,生成系统公开参数并公开;
接收地面站发送的合法节点列表;所述合法节点列表包括卫星节点的安全级别以及所述卫星节点的密钥的有效时长;
接收第一卫星节点发送的节点公钥以及节点身份信息;所述节点公钥由所述第一卫星节点基于秘密值生成;
根据所述合法节点列表判断所述第一卫星节点是否为合法节点;若是,则根据所述节点公钥以及所述节点身份信息生成所述第一卫星节点的中间认证参数、节点部分私钥,并发送给所述第一卫星节点。
2.一种卫星网络中的身份认证方法,其特征在于,应用于地面站,包括:
识别卫星节点,确认每个所述卫星节点的安全级别;
根据每个所述卫星节点的安全级别确认所述卫星节点从密钥分发中心收到的密钥的有效时长;
根据所述卫星节点的安全级别以及所述卫星节点接收到的密钥的有效时长生成合法节点列表,并发送给所述密钥分发中心。
3.一种卫星网络中的身份认证方法,其特征在于,应用于第一卫星节点,包括:
判断所述第一卫星节点是否具有有效密钥;
若否,则生成秘密值,并根据所述秘密值生成节点公钥;
将所述节点公钥以及节点身份信息发送给密钥分发中心;
接收所述密钥分发中心发送的中间认证参数以及节点部分私钥,并验证所述节点部分私钥是否合法;所述中间认证参数以及所述节点部分私钥根据所述节点公钥以及所述节点身份信息生成;
若是,将所述节点公钥以及所述节点身份信息发送给第二卫星节点;反之,向地面站发送所述密钥分发中心异常告警;
接收所述第二卫星节点返回的随机数,并根据所述随机数生成辅助认证参数发送给所述第二卫星节点。
4.一种卫星网络中的身份认证方法,其特征在于,应用于第二卫星节点,包括:
接收第一卫星节点发送的节点公钥以及节点身份信息;所述节点公钥由所述第一卫星节点基于秘密值生成;
生成随机数并发送给所述第一卫星节点;
接收所述第一卫星节点发送的辅助认证参数,所述辅助认证参数根据所述随机数生成;
根据所述辅助认证参数判断所述第一卫星节点的身份认证是否合法;若是,则所述第一卫星节点的身份认证成功。
5.一种终端设备,其特征在于,包括:
初始化模块,用于初始化参数,生成系统公开参数并公开;
第一接收模块,用于接收地面站发送的合法节点列表;所述合法节点列表包括卫星节点的安全级别以及所述卫星节点的密钥的有效时长;
第二接收模块,用于接收第一卫星节点发送的节点公钥以及节点身份信息;所述节点公钥由所述第一卫星节点基于秘密值生成;
第一生成模块,用于根据所述合法节点列表判断所述第一卫星节点是否为合法节点;若是,则根据所述节点公钥以及所述节点身份信息生成所述第一卫星节点的中间认证参数、节点部分私钥,并发送给所述第一卫星节点。
6.一种终端设备,其特征在于,包括:
识别模块,用于识别卫星节点,确认每个所述卫星节点的安全级别;
确认模块,用于根据每个所述卫星节点的安全级别确认所述卫星节点从密钥分发中心收到的密钥的有效时长;
第一发送模块,用于根据所述卫星节点的安全级别以及所述卫星节点接收到的密钥的有效时长生成合法节点列表,并发送给所述密钥分发中心。
7.一种卫星节点,其特征在于,包括:
第一判断模块,用于判断第一卫星节点是否具有有效密钥;
第二生成模块,用于生成秘密值,并根据所述秘密值生成节点公钥;
第二发送模块,用于将所述节点公钥以及节点身份信息发送给密钥分发中心;
第一验证模块,用于接收所述密钥分发中心发送的中间认证参数以及节点部分私钥,并验证所述节点部分私钥是否合法;所述中间认证参数以及所述节点部分私钥根据所述节点公钥以及所述节点身份信息生成;
第三发送模块,用于在所述节点部分私钥合法时,将所述节点公钥以及所述节点身份信息发送给第二卫星节点;以及在所述节点部分私钥不合法时,向地面站发送密钥分发中心异常告警;
第三生成模块,用于接收所述第二卫星节点返回的随机数,并根据所述随机数生成辅助认证参数发送给所述第二卫星节点。
8.一种卫星节点,其特征在于,包括:
第三接收模块,用于接收第一卫星节点发送的节点公钥以及节点身份信息;所述节点公钥由所述第一卫星节点基于秘密值生成;
第四生成模块,用于生成随机数并发送给所述第一卫星节点;
第四接收模块,用于接收所述第一卫星节点发送的辅助认证参数,所述辅助认证参数根据所述随机数生成;
第二验证模块,用于根据所述辅助认证参数判断所述第一卫星节点的身份认证是否合法;若是,则所述第一卫星节点的身份认证成功。
9.一种卫星网络中的身份认证系统,其特征在于,包括:
如权利要求5和权利要求6所述的终端设备,以及权利要求7和权利要求8所述的卫星节点。
CN201711404385.8A 2017-12-22 2017-12-22 一种卫星网络中的身份认证方法及相关设备 Expired - Fee Related CN108289026B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711404385.8A CN108289026B (zh) 2017-12-22 2017-12-22 一种卫星网络中的身份认证方法及相关设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711404385.8A CN108289026B (zh) 2017-12-22 2017-12-22 一种卫星网络中的身份认证方法及相关设备

Publications (2)

Publication Number Publication Date
CN108289026A true CN108289026A (zh) 2018-07-17
CN108289026B CN108289026B (zh) 2020-07-31

Family

ID=62832208

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711404385.8A Expired - Fee Related CN108289026B (zh) 2017-12-22 2017-12-22 一种卫星网络中的身份认证方法及相关设备

Country Status (1)

Country Link
CN (1) CN108289026B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109150290A (zh) * 2018-10-23 2019-01-04 中国科学院信息工程研究所 一种卫星轻量化数据传输保护方法及地面安全服务系统
CN109871668A (zh) * 2019-03-08 2019-06-11 重庆邮电大学 智能电网中基于时限属性密码的认证、授权和访问控制方法
CN111049567A (zh) * 2019-11-21 2020-04-21 北京天海达科技有限公司 一种北斗用户卡有效期管理方式的实现方法
CN111314056A (zh) * 2020-03-31 2020-06-19 四川九强通信科技有限公司 基于身份加密体制的天地一体化网络匿名接入认证方法
CN113162678A (zh) * 2021-03-31 2021-07-23 北京微纳星空科技有限公司 用于密钥切换、数据传输的方法、终端、电子设备和介质
CN114826651A (zh) * 2022-03-08 2022-07-29 重庆邮电大学 一种面向低轨卫星网络的轻量无证书认证方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2334008A1 (en) * 2009-12-10 2011-06-15 Tata Consultancy Services Limited A system and method for designing secure client-server communication protocols based on certificateless public key infrastructure
CN104052599A (zh) * 2013-03-15 2014-09-17 南京理工大学常熟研究院有限公司 泛在融合的星地节点网络可信接入方法
CN104539423A (zh) * 2014-12-16 2015-04-22 熊荣华 一种无双线性对运算的无证书公钥密码体制的实现方法
CN106209374A (zh) * 2016-06-24 2016-12-07 西安电子科技大学 基于卫星网络安全域的节点证书颁布方法
CN107204847A (zh) * 2017-06-20 2017-09-26 西安电子科技大学 空天车地轨道专用网络接入认证与密钥协商协议和方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2334008A1 (en) * 2009-12-10 2011-06-15 Tata Consultancy Services Limited A system and method for designing secure client-server communication protocols based on certificateless public key infrastructure
CN104052599A (zh) * 2013-03-15 2014-09-17 南京理工大学常熟研究院有限公司 泛在融合的星地节点网络可信接入方法
CN104539423A (zh) * 2014-12-16 2015-04-22 熊荣华 一种无双线性对运算的无证书公钥密码体制的实现方法
CN106209374A (zh) * 2016-06-24 2016-12-07 西安电子科技大学 基于卫星网络安全域的节点证书颁布方法
CN107204847A (zh) * 2017-06-20 2017-09-26 西安电子科技大学 空天车地轨道专用网络接入认证与密钥协商协议和方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
钟焰涛,马建峰,任方: "空间信息网中基于身份的认证协议", 《二〇一〇国防空天信息技术前沿论坛论文集》 *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109150290A (zh) * 2018-10-23 2019-01-04 中国科学院信息工程研究所 一种卫星轻量化数据传输保护方法及地面安全服务系统
CN109150290B (zh) * 2018-10-23 2020-09-15 中国科学院信息工程研究所 一种卫星轻量化数据传输保护方法及地面安全服务系统
CN109871668A (zh) * 2019-03-08 2019-06-11 重庆邮电大学 智能电网中基于时限属性密码的认证、授权和访问控制方法
CN109871668B (zh) * 2019-03-08 2022-11-15 重庆邮电大学 智能电网中基于时限属性密码的认证、授权和访问控制方法
CN111049567A (zh) * 2019-11-21 2020-04-21 北京天海达科技有限公司 一种北斗用户卡有效期管理方式的实现方法
CN111314056A (zh) * 2020-03-31 2020-06-19 四川九强通信科技有限公司 基于身份加密体制的天地一体化网络匿名接入认证方法
CN111314056B (zh) * 2020-03-31 2022-07-01 四川九强通信科技有限公司 基于身份加密体制的天地一体化网络匿名接入认证方法
CN113162678A (zh) * 2021-03-31 2021-07-23 北京微纳星空科技有限公司 用于密钥切换、数据传输的方法、终端、电子设备和介质
CN114826651A (zh) * 2022-03-08 2022-07-29 重庆邮电大学 一种面向低轨卫星网络的轻量无证书认证方法
CN114826651B (zh) * 2022-03-08 2023-07-18 重庆邮电大学 一种面向低轨卫星网络的轻量无证书认证方法

Also Published As

Publication number Publication date
CN108289026B (zh) 2020-07-31

Similar Documents

Publication Publication Date Title
CN108289026B (zh) 一种卫星网络中的身份认证方法及相关设备
CN104539423B (zh) 一种无双线性对运算的无证书公钥密码体制的实现方法
CN108667616B (zh) 基于标识的跨云安全认证系统和方法
JP5446453B2 (ja) 情報処理装置、電子署名生成システム、電子署名用の鍵生成方法、情報処理方法、及びプログラム
CN104158661B (zh) 一种基于模糊身份的一次性公钥签密构造方法
EP2120389A1 (en) A method, system and communication device for generating session cryptographic
CN103596167B (zh) 基于代理的机器类型通信认证和密钥协商方法
CN105308897A (zh) 用于渗透式社交联网中的匿名和可信认证的方法和装置
CN107979840A (zh) 一种密钥隔离安全的车联网v2i认证系统及方法
CN102420691A (zh) 基于证书的前向安全签名方法及系统
CN113821789B (zh) 基于区块链的用户密钥生成方法、装置、设备及介质
Peng et al. Efficient certificateless online/offline signature scheme for wireless body area networks
CN107231363A (zh) 一种分布式认证方法与认证模型
CN101272244A (zh) 一种无线自组织网络密钥更新和撤销方法
US20200374116A1 (en) System and method for computing an escrow session key and a private session key for encoding digital communications between two devices
Yan et al. Secure pervasive social networking based on multi-dimensional trust levels
CN111614462B (zh) 一种基于区块链的密钥计算方法及系统
Gao et al. An Anonymous Access Authentication Scheme Based on Proxy Ring Signature for CPS‐WMNs
CN108449174B (zh) 云计算应用中智能终端的可撤销加密方法及装置
CN115242412B (zh) 无证书聚合签名方法及电子设备
Sung et al. ID-based sensor node authentication for multi-layer sensor networks
CN113726523B (zh) 基于Cookie和DR身份密码体制的多重身份认证方法及装置
Liu et al. Strong Identity‐Based Proxy Signature Schemes, Revisited
US20170250822A1 (en) Method of managing implicit certificates using a distributed public keys infrastructure
CN110572788B (zh) 基于非对称密钥池和隐式证书的无线传感器通信方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20200731

CF01 Termination of patent right due to non-payment of annual fee