CN103634796A - 一种空天信息网络漫游可信安全接入方法 - Google Patents

Abstract

一种空天信息网络漫游可信安全接入方法，包括5个阶段：节点注册阶段；请求接入阶段；身份认证阶段；完整性验证阶段；密钥生成阶段；终端接入节点MN和外地安全域认证服务器FA完成会话密钥的协商，此时，整个空天信息网络漫游可信安全接入方法过程全部完成，实现了终端接入节点MN和外地安全域认证服务器FA之间相互的身份认证和完整性度量，并实现了由终端接入节点MN、外地安全域认证服务器FA、本地域安全域认证服务器HA三方参与的终端接入节点MN和外地安全域认证服务器FA之间会话密钥的协商。它交互轮数少，会话密钥安全性高，使用可信计算相关技术，实现了对终端接入点的完整性度量，解决了由于终端完整性和可信性而易发的针对网络的攻击。

Description

一种空天信息网络漫游可信安全接入方法

技术领域

本发明提供一种空天信息网络漫游可信安全接入方法，它涉及一种空天信息网络环境下终端节点可信安全的接入网络的方法，该方法将可信计算的概念引入到空天信息网络中，实现了对终端的完整性度量和可信认证，属于安全接入技术领域。

背景技术

空天信息网络（Space Information Network，SIN）是以卫星系统为主的导航、通信、信息支援与保障的综合信息体系，它能把轨道高度不同、执行不同任务的卫星、其他各类飞行器、具有空间通信能力的航天器（如卫星、航天飞机等）、航空器（如飞机、热气球等）和地面站系统联系起来。如图1所示。同时SIN传输的开放性带来的安全问题引起了人们的重视。SIN应用的领域均非常重要，远程维护和管理非常复杂，系统成本高，这些特点决定了SIN必须具有高安全性和高可靠性。网络安全技术是SIN研究和应用中一项极为重要的关键性支撑技术。从信息安全理论的角度出发,身份认证则可以看作是几乎所有安全系统的第一道防线,如果没有良好的身份认证体制作为基础和保障,其余的任何技术都是“沙上筑楼”，所以对SIN安全接入技术方面的研究具有重大价值。

如果把信息安全体系看作一个保险库，防火墙、入侵检测、VPN、安全网关等就可以看作是保险库的墙壁，身份认证则相当于保险库的大门，身份认证机制在安全系统中的地位极其重要，是最为基本的安全防护机制。接入认证协议是保证空天网络安全可信可靠传输的基础，面对SIN严峻的安全形势，国内外进行了大量的研究，这些协议在一定程度上保证了SIN的安全。然而这些协议都忽略了对终端的保护，即无法验证终端的可信性，这使SIN很容易遭受攻击。在SIN实际的应用中，设计能够保证终端可信性的接入方法尤为重要。由于空天信息网络中的接入节点经常是在高速运动中，决定了接入节点会离开自己的安全域而漫游接入外地安全域之中。对于SIN漫游可信安全接入，一方面要考虑对终端的完整性检测而增加的开销，同时也要考虑接入过程会话密钥的安全性和隐私保护等问题。基于此考虑，我们发明了本方法。涉及的主要技术为可信计算技术和无证书公钥密码体制。

可信计算的概念由可信计算组织（Trust Computing Group，TCG）提出，主要手段是进行身份确认和使用加密等手段进行存储保护以及使用完整性度量机制进行完整性保护。TPM（Trusted Platform Module，可信平台模块）是可信计算技术的核心。TPM是一个带有密码运算功能的处理器芯片，具有对称/非对称加密、安全存储、完整性度量和签名认证四项功能。TPM在网络中具有唯一的身份标识，其内部AIK密钥仅对产生此密钥的平台可用，平台的PCR值可以作为“可信完整性度量值”来保证平台的可信，与PCR值相应的日志信息可以保证完整性度量信息的“新鲜性”。在TPM规范中提出了两种方案来解决可信计算平台的隐私性保护问题。TPM v1.1规范提出的方案基于一个称为隐私CA(Privacy-CA)的可信第三方。Privacy-CA为TPM签发身份证书，TPM将该证书发送给验证者，验证者将该证书返回给Privacy-CA一同验证TPM证书的合法型。该方案存在每次通信过程都需要经过Privacy-CA的缺点，Privacy-CA成为系统的安全和性能的瓶颈。为了弥补以上的不足，TPMv1.2规范采纳了Brickell等人首次提出的直接匿名证明(Direct Anonymous Attestation，DAA)方案，通过数学难题假设以及知识证明签名的原理，在满足用户可控的匿名性和不可追踪性前提下，完成可信平台真实性的验证，在签名和验证的过程中不需要可信第三方的参与。

双线性对（Weil Pairing和Tate Pairing）在设计密码协议时起到了很大的作用，很多协议和密码系统都利用了双线性对的理论。它可以把椭圆曲线上的离散对数问题转化到有限域上的离散对数问题。

双线性映射：设G₁、G₂和G_T分别是阶为素数的循环群，l_q∈N，g₁为G₁的生成元，g₂为G₂的生成元，并且G₁，G₂上的离散对数问题是难解的。存在双线性映射e:G₁×G₂→G_T满足以下性质：

（1）双线性：e(aP,bQ)=e(P,Q)^ab，对所有的P∈G₁,Q∈G₂,都成立；

（2）非退化性：存在 $P\∈G_1^{*},Q\∈G_2^{*},$ 使得 $e(P,Q)\≠1_{G_T}$ 其中是G_T的幺元；

（3）可计算性：对于P∈G₁,Q∈G₂，存在有效的算法来计算e(P,Q)。

发明内容

（1）发明目的

本发明的目的是提出一种空天信息网络漫游可信安全接入方法。它可用于解决空天信息网络接入协议中无法对终端的完整性和可信性进行度量的缺陷。该方法要实现接入节点和外地安全域之间相互的身份认证和完整性度量功能，同时实现接入节点和外地安全域之间会话密钥的协商。

（2）技术方案

为了达到上述目的，本发明结合双线性对技术，可信计算技术，身份签名技术和无证书公钥密码体制开展工作，其技术方案如下：

本发明一种空天信息网络漫游可信安全接入方法，包括三个实体，本地安全域认证服务器（HA）、终端接入节点（MN）和外地安全域认证服务器（FA），其中终端接入节点（MN）和外地安全域认证服务器（FA）硬件中嵌入有可信平台模块TPM，以实现对终端接入节点的完整性度量。

本发明采用无证书公钥密码体制来实现终端接入节点MN和外地安全域认证服务器FA之间的密钥协商。在无证书公钥密码体制中，由本地安全域认证服务器HA作为密钥生成中心和认证服务器，它拥有系统主密钥s_HA，然后根据终端接入节点MN和外地安全域认证服务器FA的身份信息生成部分私钥D，并安全的传送给用户，在安全的接收到自己的部分私钥后，MN和FA使用自己的部分私钥和自己随机选择的秘密数生成自己完整的私钥。公钥则由各自的秘密数，身份信息和其他系统参数计算得出，并以可靠的方式公布。之后MN和FA就可以使用对方的公钥和己方的私钥生成会话密钥K。

以下将结合附图对所述的可信安全接入方法进行具体阐述，图1为本发明空天信息网络的结构示意图；图2为本发明空天信息网络漫游可信安全接入的架构模型图；图2为本发明空天信息网络漫游可信安全接入方法流程图。

如图2所示，本发明一种空天信息网络漫游可信安全接入方法，它共包括5个阶段，分别为节点注册阶段、请求接入阶段、身份认证阶段、完整性验证阶段、密钥生成阶段。

阶段1：节点注册阶段：合法的TPM在制造商所在网络加入直接匿名证明(DirectAnonymous Attestation，DAA)方案颁发者群，并取得DAA证书。嵌入了合法TPM芯片的终端节点MN在本地安全域完成注册。

阶段2：请求接入阶段：终端接入节点MN漫游到外地安全域后，向外地安全域认证服务器FA发送接入认证挑战，MN用自己的私钥对消息进行签名，FA转发消息给HA，请求对MN进行身份验证。

阶段3：身份认证阶段：本地域安全域认证服务器HA收到FA发送的认证请求消息后，首先验证MN的签名是否正确，然后计算得到MN的身份信息，查询撤销列表，确认MN身份合法。

阶段4：完整性验证阶段：身份认证通过后，FA收集完整性度量信息请求与MN进行完整性验证。MN验证通过后，收集完整性信息给FA，FA验证签名通过后，请求HA对MN的完整性进行验证。

阶段5：密钥生成阶段：外地安全域认证服务器FA和终端接入节点MN结合三部分密钥生成会话密钥。

其中，阶段1所述的“节点注册阶段”，其具体实现过程如下：

（1）合法的TPM在制造商所在网络加入DAA颁发者群，并取得其DAA证书，终端接入节点（MN）嵌入合法TPM芯片。

（2）合法的终端接入节点（MN）在HA处注册时，HA首先完成对MN平台中TPM的身份验证，注册成功后，HA确定MN和TPM的绑定关系，并存储在数据库中。

其中，阶段2所述的“接入请求阶段”，其具体实现过程如下：当终端接入节点首次漫游到异地的外部空间信息子网中时，在对外部空间子网链路的探测和发现后,需要请求外部空间子网中的FA进行身份认证。MN获获取当前时戳T_MN，计算公钥对<X_MN=x_MNg,Y_MN=x_MNg₀>，由TPM生成随机数N_MN，MN构造消息发送FA，开启可信接入过程，进入到身份认证阶段。其中消息中包括<ID_HA,ID_v,T_MN>，<X_MN=x_MNg,Y_MN=x_MNg₀>，<c,PID_MN>，N_MN，ID_v是MN想与之通信的节点身份信息。MN用自己的私钥对消息进行私钥签名。签名为<U_MN,v_MN>，其中U_MN=v_MNS_MN+ag₀∈G₁，v_MN=H(M_MN,r_MN)∈Z_q，r_MN=e(ag₀,g₀)∈G₂。

其中，阶段3所述的“身份认证阶段”，其具体实现过程如下：

（1）FA收到消息后，检验T_MN新鲜性，避免重放攻击。若T_MN新鲜，验证X_MN,Y_MN∈G₁，验证e(X_MN,g₀)=e(Y_MN,g)，验证通过则加上时戳T_FA，后根据MN提供的HA的标识然后转发信息给HA，否则认证失败，退出认证过程。

（2）HA收到认证请求信息后，对MN的签名进行验证，计算

计算v_MN'=H(M_MN,r_MN')若v_M=v_M'，则验证通过。

（3）HA通过式ID_MN=H(ID_MN||N_HA-MN||c)⊕PID_MN⊕ID_HA求得MN身份，得到MN的身份后，HA进行验证并查询撤销列表RL，如果MN不是一个合法用户，HA向FA发出“该用户非法”的消息，否则认证成功，发送认证结果给FA进入到完整性验证阶段。

其中，阶段4所述的“完整性验证阶段”，其具体实现过程如下：

（1）FA根据HA的认证结果，选取b∈Z_q，计算公钥E_FA=bg₀(b∈Z)、<X_FA=x_FAgY_FA=x_FAg₀>、计算PCR_FA=SHA1(PCR_FA||N_MN)，由TPM生成随机数N_FA，连同FA的度量日志ML_FA、M的挑战N_MN以及FA对信息的签名发送给MN，请求与MN进行完整性验证，签名为<U_FA,v_FA>，其中U_FA=v_FAS_FA+bg₀∈G₁，v_FA=H(M_FA,r_FA)∈Z_q，r_FA=e(bg₀,g₀)∈G₂。

（2）MN收到完整性验证请求信息后，计算

然后计算v_FA'=H(M_FA,r_FA')，如果v_FA=v_FA'，则验证成功。继续验证X_FA,Y_FA∈G₁，验证e(X_FA,g)=e(Y_FA,g₀)，验证通过后根据FA发送的完整性信息对FA的完整性进行验证，通过ML_FA计算PCR_FA，并通过N_MN检验PCR_FA的有效性。

（3）验证通过后MN收集自己的完整性信息，计算PCR_MN=SHA1(PCR_MN||N_FA)，连同自己的度量日志ML_MN、随机因子E_MN=ag₀∈G₁构造完整性认证应答信息，并使用以下公式对应答信息M进行加密：C=<ag₀,M⊕H₂(e(Q_FA,Y_FA)^a)>=<U,V>，然后MN把经过加密的应答信息C发送给FA进行完整性认证。

（4）MN计算出自己的部分私钥S_MN=x_MND_MN。

（5）FA收到MN的完整性验证请求信息后，计算M'=V⊕H₂(e(S_FA,U))，解密后FA将MN的完整性验证信息和随机挑战N_FA发送给HA进行完整验证。

（6）HA根据MN的完整性信息对MN的完整性进行验证，通过ML_MN计算PCR_MN，并通过N_FA检验PCR_MN的有效性，验证通过后向FA发送验证结果。FA根据验证结果，向MN发送接入成功信息进入密钥生成阶段。

其中，阶段5所述的“密钥生成阶段”，其具体实现过程如下：MN和FA利用已有的信息进行会话密钥的生成。

（1）MN计算：

$\begin{array}{c}{K}_{\mathrm{MN}}=e{(Q_{\mathrm{FA}},Y_{\mathrm{FA}})}^a\&CenterDot;e(S_M,E_{\mathrm{FA}})\\ =e{(Q_{\mathrm{FA}},x_{\mathrm{FA}}{\mathrm{sg}}_0)}^a\&CenterDot;e(x_{M}s{Q}_{\mathrm{MN}},{\mathrm{bg}}_0)\\ =e{(Q_{\mathrm{FA}},g_0)}^{{\mathrm{ax}}_{F{A}^s}}\&CenterDot;e{(Q_{\mathrm{MN}},g_0)}^{{\mathrm{bx}}_{M{N}^s}}\end{array}$

（2）FA则计算：

$\begin{array}{c}{K}_{\mathrm{FA}}=e{(Q_{\mathrm{MN}},Y_{\mathrm{MN}})}^b\&CenterDot;e(S_{\mathrm{FA}},E_{\mathrm{MN}})\\ =e{(Q_{\mathrm{MN}},x_{\mathrm{MN}}{\mathrm{sg}}_0)}^b\&CenterDot;e(x_{\mathrm{FA}}s{Q}_{\mathrm{MN}},{\mathrm{ag}}_0)\\ =e{(Q_{\mathrm{MN}},g_0)}^{{\mathrm{bx}}_{{\mathrm{MN}}^s}}\&CenterDot;e{(Q_{\mathrm{FA}},g_0)}^{{\mathrm{ax}}_{M{N}^s}}\end{array}$

（3）可以看出，K=K_MN=K_FA，最后MN和FA选取合适统一的散列函数H，计算会话密钥为H(K||abg₀)。

至此，终端接入节点MN和外地安全域认证服务器FA完成会话密钥的协商。此时，整个本发明一种空天信息网络漫游可信安全接入方法过程全部完成，本方法实现了MN和FA之间相互的身份认证和完整性度量，并实现了由MN、FA、HA三方参与的终端接入节点MN和外地安全域认证服务器FA之间会话密钥的协商。

（3）优点及功效

本发明是一种空天信息网络环境下漫游可信安全的终端接入方法，涉及终端的身份认证、完整性度量和会话密钥的协商三方面内容，其优点和功效是：1）交互轮数少，仅需4次交互即可实现MN与FA之间身份认证、完整性度量和会话密钥的协商，并且FA参与到认证过程，减轻了HA的认证开销，同时也减轻了整个安全接入过程的开销；2）会话密钥安全性高，会话密钥基于无证书公钥密码体制生成，经过证明具有很好的安全性；3）终端完整性。本发明中结合使用了可信计算相关技术，实现了对终端接入点的完整性度量，从根源上解决了一些由于终端完整性和可信性而易发的针对网络的攻击。

附图说明

图1本发明一种空天信息网络漫游可信安全接入方法网络环境图

图2本发明一种空天信息网络漫游可信安全接入方法系统架构图

图3本发明一种空天信息网络漫游可信安全接入方法流程图

图中主要的符号、标记说明如下表。

表1符号含义

具体实施方式

以下将结合附图对所述可信安全接入方法的实施方式进行详细阐述。

本方法中用到的主要的密码学知识、可信计算技术及安全假设说明：

1.双线性对：设G₁、G₂分别是阶为椭圆曲线中质数为q的加法循环群和乘法循环群，P为群G₁的生成元，并且G₁上的离散对数问题是难解的。则两个群之间的双线性映射e:G₁×G₁→G₂满足以下性质。

（1）双线性性：e(aP,bQ)=e(P,Q)^ab，对所有的P,Q∈G₁;a,b∈Z都成立；

（2）非退化性：存在P,Q∈G₁，使得e(P,Q)≠1；

（3）可计算性：对于P,Q∈G₁，存在有效的算法来计算e(P,Q)。

2.PCR是TPM芯片中代表平台完整性信息的一些寄存器的值。TPM芯片使用一个160bit的数n和PCR的索引号i作为参数，然后累计n和PCR[i]到当前的内容，即PCR[i]=SHA1(PCR[i]||n)，系统度量日志ML代表着系统的完整性历史，它的修改不能被禁止但是能够检测，因此使用PCR可以维护度量日志的完整性，从度量日志可以对系统的完整性进行度量。

3.AIK证书是TPM芯片用来证明自己身份的关键证书，通过AIK私钥进行签名可以证明TPM的唯一身份并且不会泄露TPM的隐私信息。

4.本方法中假设HA为一个可信的实体，能够准确的响应FA的每一个请求，FA和HA之间为安全信道，HA选择s_HA∈Z作为系统的主密钥，并且公开整个系统的公共参数H,H₁,e:G₁×G₁→G₂，基点g∈G₁以及系统公钥g₀=s_HAg。

见图1，为本发明一种空天信息网络漫游可信安全接入方法网络环境图

见图2，为本发明一种空天信息网络漫游可信安全接入方法系统架构图

见图3，本发明分为节点注册阶段、请求接入阶段、身份认证阶段、完整性验证阶段、密钥生成阶段。其详细执行过程如下：

1.节点注册阶段

（1）合法的TPM在制造商所在网络加入DAA颁发者群，并取得DAA证书。嵌入了合法TPM芯片的终端接入节点MN在本地安全域完成注册。

（2）合法的终端接入节点（MN）在HA处注册时，HA首先完成对MN平台中TPM的身份验证。MN利用TPM生成AIK密钥对AIK_priv和AIK_pub，随后MN的平台主机及TPM产生随机数r计算R=rg₀，计算c=H₁(R||AIK_pub)MN发送消息<c,

AIK_pub>给HA，同时该消息由TPM进行存储保护。

（3）收到消息后，HA计算c'=H₁(R||AIK_pub)，当c'=c时接受此TPM来自合法的DAA颁发者。

（4）在确认MN的平台身份合法后，HA给MN分配唯一的标识号ID_MN，利用式PID_MN=H(ID_MN||N_HA-MN||c)⊕ID_MN⊕ID_HA计算产生MN的临时身份PID_MN，其中，N_HA-MN为HA随机选取的大数。

（5）HA将PID_MN通过安全通道交给MN，由TPM存储保护。HA确定MN和TPM的绑定关系，并存储在数据库中。

（6）MN在线下根据自己的身份信息向HA申请部分私钥，部分私钥为D_MN=sQ_MN∈G₁，其中Q_MN=H₁(ID_MN)∈G₁。FA在线下根据自己的身份信息向HA申请部分私钥，部分私钥为D_FA=sQ_FA∈G₁，其中Q_FA=H₁(ID_FA)∈G₁。

（7）HA为MN建立账户ID_MN，初始化撤销列表RL，并确认MN并不在撤销列表中。

2.接入请求阶段

（1）MN获获取当前时戳T_MN，计算公钥对<X_MN=x_MNg,Y_MN=x_MNg₀>，由TPM生成随机数N_MN，MN构造消息发送给FA，开启可信接入过程，进入到身份认证阶段。其中消息中包括<ID_HA,ID_v,T_MN>，<X_MN=x_MNg,Y_MN=x_MNg₀>，<c,PID_MN>，N_MN，ID_v是MN想与之通信的节点身份信息。

（2）MN用自己的私钥对消息进行私钥签名。签名为<U_MN,v_MN>，其中U_MN=v_MNS_MN+ag₀∈G₁，v_MN=H(M_MN,r_MN)∈Z_q，r_MN=e(ag₀,g₀)∈G₂。

3.身份认证阶段

（1）FA收到消息后，检验T_MN新鲜性，避免重放攻击。若T_MN新鲜，验证X_MN,Y_MN∈G₁，验证e(X_MN,g₀)=e(Y_MN,g)，验证通过则加上时戳T_FA，后根据MN提供的HA的标识然后转发信息给HA，否则认证失败，退出认证过程。

（2）HA收到认证请求信息后，对MN的签名进行验证，计算

计算v_MN'=H(M_MN,r_MN')若v_M=v_M'，则验证通过，HA通过式ID_MN=H(ID_MN||N_HA-MN||c)⊕PID_MN⊕ID_HA求得MN身份。

（3）得到MN的身份后，HA进行验证并查询撤销列表RL，如果MN不是一个合法用户，HA向FA发出“该用户非法”的消息，否则认证成功，发送认证结果给FA进入到完整性验证阶段。

4.完整性验证阶段

（1）FA根据HA的认证结果，选取b∈Z_q，计算公钥E_FA=bg₀(b∈Z)、<X_FA=x_FAgY_FA=x_FAg₀>、计算PCR_FA=SHA1(PCR_FA||N_MN)，由TPM生成随机数N_FA，连同FA的度量日志ML_FA、M的挑战N_MN以及FA对信息的签名发送给MN，请求与MN进行完整性验证，签名为<U_FA,v_FA>，其中U_FA=v_FAS_FA+bg₀∈G₁，v_FA=H(M_FA,r_FA)∈Z_q，r_FA=e(bg₀,g₀)∈G₂。

（2）MN收到完整性验证请求信息后，计算

然后计算v_FA'=H(M_FA,r_FA')，如果v_FA=v_FA'，则验证成功。继续验证X_FA,Y_FA∈G₁，验证e(X_FA,g)=e(Y_FA,g₀)

（3）验证通过后根据FA发送的完整性信息对FA的完整性进行验证，通过ML_FA计算PCR_FA，并通过N_MN检验PCR_FA的有效性，验证通过后MN收集自己的完整性信息，计算PCR_MN=SHA1(PCR_MN||N_FA)，连同自己的度量日志ML_MN、随机因子E_MN=ag₀∈G₁构造完整性认证应答信息，并使用以下公式对应答信息M进行加密：C=<ag₀,M⊕H₂(e(Q_FA,Y_FA)^a)>=<U,V>，然后MN把经过加密的应答信息C发送给FA进行完整性认证。

（4）MN计算出自己的部分私钥S_MN=x_MND_MN。

（5）FA收到MN的完整性验证请求信息后，计算M'=V⊕H₂(e(S_FA,U))，解密后FA将MN的完整性验证信息和随机挑战N_FA发送给HA进行完整验证。

（6）HA根据MN的完整性信息对MN的完整性进行验证，通过ML_MN计算PCR_MN，并通过N_FA检验PCR_MN的有效性，验证通过后向FA发送验证结果。

（7）FA根据验证结果，向MN发送接入成功信息进入密钥生成阶段。

5.密钥生成阶段

（1）MN计算：

$\begin{array}{c}{K}_{\mathrm{MN}}=e{(Q_{\mathrm{FA}},Y_{\mathrm{FA}})}^a\&CenterDot;e(S_M,E_{\mathrm{FA}})\\ =e{(Q_{\mathrm{FA}},x_{\mathrm{FA}}{\mathrm{sg}}_0)}^a\&CenterDot;e(x_{M}s{Q}_{\mathrm{MN}},{\mathrm{bg}}_0)\\ =e{(Q_{\mathrm{FA}},g_0)}^{{\mathrm{ax}}_{F{A}^s}}\&CenterDot;e{(Q_{\mathrm{MN}},g_0)}^{{\mathrm{bx}}_{M{N}^s}}\end{array}$

（2）FA则计算：

$\begin{array}{c}{K}_{\mathrm{FA}}=e{(Q_{\mathrm{MN}},Y_{\mathrm{MN}})}^b\&CenterDot;e(S_{\mathrm{FA}},E_{\mathrm{MN}})\\ =e{(Q_{\mathrm{MN}},x_{\mathrm{MN}}{\mathrm{sg}}_0)}^b\&CenterDot;e(x_{\mathrm{FA}}s{Q}_{\mathrm{MN}},{\mathrm{ag}}_0)\\ =e{(Q_{\mathrm{MN}},g_0)}^{{\mathrm{bx}}_{{\mathrm{MN}}^s}}\&CenterDot;e{(Q_{\mathrm{FA}},g_0)}^{{\mathrm{ax}}_{M{N}^s}}\end{array}$

（3）可以看出，K=K_MN=K_FA，最后MN和FA选取合适统一的散列函数H，计算会话密钥为H(K||abg₀)。

至此，终端接入节点MN和外地安全域认证服务器FA完成会话密钥的协商。此时，整个本方法一种空天信息网络漫游可信安全接入方法过程全部完成，本方法实现了MN FA之间相互的身份认证和完整性度量，并实现了由MN、FA、HA三方参与的终端接入节点MN和外地安全域认证服务器FA之间会话密钥的协商。

Claims (6)

1.一种空天信息网络漫游可信安全接入方法，其特征在于：它共包括5个阶段，分别为节点注册阶段、请求接入阶段、身份认证阶段、完整性验证阶段、密钥生成阶段；

阶段1节点注册阶段：合法的TPM在制造商所在网络加入直接匿名证明即DAA方案颁发者群，并取得DAA证书；嵌入了合法TPM芯片的终端节点MN在本地安全域完成注册；

阶段2请求接入阶段：终端接入节点MN漫游到外地安全域后，向外地安全域认证服务器FA发送接入认证挑战，MN用自己的私钥对消息进行签名，FA转发消息给HA，请求对MN进行身份验证；

阶段3身份认证阶段：本地域安全域认证服务器HA收到FA发送的认证请求消息后，首先验证MN的签名是否正确，然后计算得到MN的身份信息，查询撤销列表，确认MN身份合法；

阶段4完整性验证阶段：身份认证通过后，FA收集完整性度量信息请求与MN进行完整性验证；MN验证通过后，收集完整性信息给FA，FA验证签名通过后，请求HA对MN的完整性进行验证；

阶段5密钥生成阶段：外地安全域认证服务器FA和终端接入节点MN结合三部分密钥生成会话密钥；

至此，终端接入节点MN和外地安全域认证服务器FA完成会话密钥的协商，此时，整个空天信息网络漫游可信安全接入方法过程全部完成，实现了MN和FA之间相互的身份认证和完整性度量，并实现了由MN、FA、HA三方参与的终端接入节点MN和外地安全域认证服务器FA之间会话密钥的协商。

2.根据权利要求1所述的一种空天信息网络漫游可信安全接入方法，其特征在于：在阶段1中所述的“节点注册阶段”，其具体实现过程如下：

（1）合法的TPM在制造商所在网络加入DAA颁发者群，并取得其DAA证书，终端接入节点即MN嵌入合法TPM芯片；

（2）合法的终端接入节点即MN在HA处注册时，HA首先完成对MN平台中TPM的身份验证，注册成功后，HA确定MN和TPM的绑定关系，并存储在数据库中。

3.根据权利要求1所述的一种空天信息网络漫游可信安全接入方法，其特征在于：在阶段2中所述的“接入请求阶段”，其具体实现过程如下：

当终端接入节点首次漫游到异地的外部空间信息子网中时，在对外部空间子网链路的探测和发现后,需要请求外部空间子网中的FA进行身份认证；MN获获取当前时戳T_MN，计算公钥对<X_MN=x_MNg,Y_MN=x_MNg₀>，由TPM生成随机数N_MN，MN构造消息发送FA，开启可信接入过程，进入到身份认证阶段；其中消息中包括<ID_HA,ID_v,T_MN>，<X_MN=x_MNg,Y_MN=x_MNg₀>，<c,PID_MN>，N_MN，ID_v是MN想与之通信的节点身份信息；MN用自己的私钥对消息进行私钥签名；签名为<U_MN,v_MN>，其中U_MN=v_MNS_MN+ag₀∈G₁，v_MN=H(M_MN,r_MN)∈Z_q，r_MN=e(ag₀,g₀)∈G₂。

4.根据权利要求1所述的一种空天信息网络漫游可信安全接入方法，其特征在于：在阶段3中所述的“身份认证阶段”，其具体实现过程如下：

（1）FA收到消息后，检验T_MN新鲜性，避免重放攻击；若T_MN新鲜，验证X_MN,Y_MN∈G₁，验证e(X_MN,g₀)=e(Y_MN,g)，验证通过则加上时戳T_FA，后根据MN提供的HA的标识然后转发信息给HA，否则认证失败，退出认证过程；

（2）HA收到认证请求信息后，对MN的签名进行验证，计算

计算v_MN'=H(M_MN,r_MN')若v_M=v_M'，则验证通过；

（3）HA通过式ID_MN=H(ID_MN||N_HA-MN||c)⊕PID_MN⊕ID_HA求得MN身份，得到MN的身份后，HA进行验证并查询撤销列表RL，如果MN不是一个合法用户，HA向FA发出“该用户非法”的消息，否则认证成功，发送认证结果给FA进入到完整性验证阶段。

5.根据权利要求1所述的一种空天信息网络漫游可信安全接入方法，其特征在于：在阶段4中所述的“完整性验证阶段”，其具体实现过程如下：

（1）FA根据HA的认证结果，选取b∈Z_q，计算公钥E_FA=bg₀(b∈Z)、<X_FA=x_FAgY_FA=x_FAg₀>、计算PCR_FA=SHA1(PCR_FA||N_MN)，由TPM生成随机数N_FA，连同FA的度量日志ML_FA、M的挑战N_MN以及FA对信息的签名发送给MN，请求与MN进行完整性验证，签名为<U_FA,v_FA>，其中U_FA=v_FAS_FA+bg₀∈G₁，v_FA=H(M_FA,r_FA)∈Z_q，r_FA=e(bg₀,g₀)∈G₂；

（2）MN收到完整性验证请求信息后，计算

然后计算v_FA'=H(M_FA,r_FA')，如果v_FA=v_FA'，则验证成功；继续验证X_FA,Y_FA∈G₁，验证e(X_FA,g)=e(Y_FA,g₀)，验证通过后根据FA发送的完整性信息对FA的完整性进行验证，通过ML_FA计算PCR_FA，并通过N_MN检验PCR_FA的有效性；

（3）验证通过后MN收集自己的完整性信息，计算PCR_MN=SHA1(PCR_MN||N_FA)，连同自己的度量日志ML_MN、随机因子E_MN=ag₀∈G₁构造完整性认证应答信息，并使用以下公式对应答信息M进行加密：C=<ag₀,M⊕H₂(e(Q_FA,Y_FA)^a)>=<U,V>，然后MN把经过加密的应答信息C发送给FA进行完整性认证；

（4）MN计算出自己的部分私钥S_MN=x_MND_MN；

（5）FA收到MN的完整性验证请求信息后，计算M'=V⊕H₂(e(S_FA,U))，解密后FA将MN的完整性验证信息和随机挑战N_FA发送给HA进行完整验证；

（6）HA根据MN的完整性信息对MN的完整性进行验证，通过ML_MN计算PCR_MN，并通过N_FA检验PCR_MN的有效性，验证通过后向FA发送验证结果，FA根据验证结果，向MN发送接入成功信息进入密钥生成阶段。

6.根据权利要求1所述的一种空天信息网络漫游可信安全接入方法，其特征在于：在阶段5中所述的“密钥生成阶段”，其具体实现过程如下：

MN和FA利用已有的信息进行会话密钥的生成；

（1）MN计算：

$\begin{array}{c}{K}_{\mathrm{MN}}=e{(Q_{\mathrm{FA}},Y_{\mathrm{FA}})}^a\&CenterDot;e(S_M,E_{\mathrm{FA}})\\ =e{(Q_{\mathrm{FA}},x_{\mathrm{FA}}{\mathrm{sg}}_0)}^a\&CenterDot;e(x_{M}s{Q}_{\mathrm{MN}},{\mathrm{bg}}_0)\\ =e{(Q_{\mathrm{FA}},g_0)}^{{\mathrm{ax}}_{{\mathrm{FA}}^s}}\&CenterDot;e{(Q_{\mathrm{MN}},g_0)}^{{\mathrm{bx}}_{{MN}^s}}\end{array}$

（2）FA则计算：

$\begin{array}{c}{K}_{\mathrm{FA}}=e{(Q_{\mathrm{MN}},Y_{\mathrm{MN}})}^b\&CenterDot;e(S_{\mathrm{FA}},E_{\mathrm{MN}})\\ =e{(Q_{\mathrm{MN}},x_{\mathrm{MN}}{\mathrm{sg}}_0)}^b\&CenterDot;e(x_{\mathrm{FA}}s{Q}_{\mathrm{MN}},{\mathrm{ag}}_0)\\ =e{(Q_{\mathrm{MN}},g_0)}^{{\mathrm{bx}}_{{\mathrm{MN}}^s}}\&CenterDot;e{(Q_{\mathrm{FA}},g_0)}^{{\mathrm{ax}}_{{MN}^s}}\end{array}$

（3）可以看出，K=K_MN=K_FA，最后MN和FA选取合适统一的散列函数H，计算会话密钥为H(K||abg₀)。

Images