CN106209374B - 基于卫星网络安全域的节点证书颁布方法 - Google Patents

基于卫星网络安全域的节点证书颁布方法 Download PDF

Info

Publication number
CN106209374B
CN106209374B CN201610472933.XA CN201610472933A CN106209374B CN 106209374 B CN106209374 B CN 106209374B CN 201610472933 A CN201610472933 A CN 201610472933A CN 106209374 B CN106209374 B CN 106209374B
Authority
CN
China
Prior art keywords
node
security domain
satellite
private key
new
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610472933.XA
Other languages
English (en)
Other versions
CN106209374A (zh
Inventor
马卓
车卓文
姜奇
马建峰
张俊伟
王亚男
任恒剑
张梦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xidian University
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN201610472933.XA priority Critical patent/CN106209374B/zh
Publication of CN106209374A publication Critical patent/CN106209374A/zh
Application granted granted Critical
Publication of CN106209374B publication Critical patent/CN106209374B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Radio Relay Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于卫星网络安全域的节点证书颁布方法,主要解决现有技术的节点证书颁布效率低的问题。其技术方案是:由地面控制中心将卫星网络划分成多个安全域,并在卫星网络运行前对安全域进行初始化;卫星网络在运行过程中,卫星节点向安全域中的头节点发送证书颁发请求,头节点接收到请求后发送给安全域中的私钥服务节点;多个私钥服务节点采用秘密共享方案对卫星节点证书进行颁发,并对卫星网络根据卫星节点当前情况进行周期性更新。本发明能同时处理多个卫星节点的证书颁发请求,并减少证书颁发过程中节点寻找服务节点所需的时间,可用于空间信息网络中的卫星网络安全。

Description

基于卫星网络安全域的节点证书颁布方法
技术背景
本发明属于空间信息安全领域,特别涉及一种节点证书颁布方法,可用于空间信息网络中的卫星网络。
背景技术
空间信息网络是以空间平台为载体,实时获取、传输和处理空间信息的网络系统,通过组网互联形成了一个跨地球空间、临近空间、空中、陆地和海上的“天地一体化”立体格局。该空间信息网络主要用于研究高动态条件下空间信息的快速获取、实时传输、协同处理和智能服务问题,将人类科学、生产、军事活动拓展至外层空间,是全球研究热点,由于空间信息网络在军事上担任重要角色,因此空间信息网络也是我国重视的研究领域,尤其是我国国防领域研究的重点,空间信息网络的发展会促进我国国防事业的发展,提高国家安全。
临近空间网络即卫星网络,在空间信息网络中处于举足轻重的地位,是空间信息网络的重要组成部分。然而,卫星网络的环境高度复杂,节点间通信具有不可忽略的延迟,并具有动态性和开放性等特点,这些特点就要求卫星网络必须采用高效可靠的安全协议和方法,保证节点间通信的高效和安全。节点证书颁布是保证网络安全性的重要方面,因此卫星网络需要采用高效的节点证书颁发方法为卫星节点颁发证书,从而提高卫星节点间通信的安全以及整个卫星网络系统的安全。现有的节点证书颁布方法主要有以下几种:
第一种是传统的公钥基础设施和证书认证系统PKI/CA。该方法要求有一个可信的第三方为网络节点颁发证书,节点间的安全通信需要向可信第三方认证机构请求对方的证书,即公钥部分。但是该方法的缺陷是:每次节点间的通信都需要访问第三方认证机构,增加了通信量,对于整个网络系统来说是较大的通信负担,影响证书颁发效率。
第二种是Adi Shamir在其发表的论文“Identity-Based Cryptosystems andSignature schemes”提出的基于身份的密码体制IBC。在IBC中,通过一种公开算法,输入节点的身份信息即可直接得到节点公钥,节点私钥则由一个可信的私钥生成器PKG通过输入一个系统密钥和节点身份信息生成,从而为节点颁发证书。但是,由于卫星网络开放性的特点,私钥生成器PKG必然会成为敌方攻击的重点,PKG一旦被攻击,整个系统的安全就会受到威胁;此外,由于所有节点的私钥生成工作都由一个PKG完成,PKG的业务负担过重,导致PKG成为提高证书颁发效率的瓶颈。
第三种是Ren Feng和Fan Jiulun在其发表的论文“An adaptive distributedcertificate management scheme for space information network”中提出的方法。该方法采用传统的公钥基础设施和证书认证系统PKI/CA为节点生成证书,并动态选择多个卫星节点作为证书认证服务节点,由超过一定门限的服务节点合作完成节点通信时的证书认证。但是,该方法在证书颁发效率方面没有明显改善,而且该方法需要卫星节点在整个卫星网络中寻找服务节点,而服务节点分布区域太大会增大通信负担,影响节点通信效率,也会影响节点证书颁发的效率。
发明内容
本发明的目的在于针对上述有技术的不足,提出一种基于卫星网络安全域的节点证书颁布方法,以提高节点证书颁发的效率。
实现本发明目的的技术方案是:将卫星网络划分成多个结构稳定的安全域,在安全域采用基于身份的密码体制IBC和秘密共享方案,实现高效地对卫星节点证书进行颁发,具体步骤包括如下:
(1)地面控制中心GC对卫星网络初始化:
1a)为每个卫星节点静态划分安全域,为每个安全域生成参数,包括公开参数P、主秘钥s、公钥pk和标识符SC_ID以及安全域更新周期,并将公开参数P、pk、SC_ID和安全域更新周期预置到相应卫星节点中,并创建用来保存安全域head节点的头节点表;
1b)根据卫星节点的实际情况设置每个节点的选举值排序表L,并利用安全域的公开参数P计算得到各个卫星节点的公钥pki,私钥ski,i=1,2,…;
1c)根据卫星节点的选举值排序表L为安全域选择私钥服务节点,即从节点的L中选择前n个节点作为私钥服务节点PKGj,j=1,2,…,n,并采用秘密共享方案将系统主秘钥s分成n个碎片sj分发给私钥服务节点PKGj
1d)根据卫星节点的选举值排序表L为安全域选择head节点,即选择位于L首位的节点作为安全域的head节点h,并将其保存在头节点表中;
(2)卫星网络运行之后,若有新节点T请求加入卫星网络,则对T进行证书颁发:
2a)新节点T向地面控制中心GC发出颁发证书请求;
2b)地面控制中心GC验证新节点T的安全性后为其分配安全域,并为新节点T设置所属安全域的公开参数P、公钥pk和标识符SC_ID、安全域更新周期和新节点T的选举值以及用于新节点T与所属安全域内其他卫星节点安全通信的临时会话秘钥k;
2c)地面控制中心GC对临时会话秘钥k和新节点T的身份信息IDt,用新节点T安全域的head节点h的公钥pkh加密,并用新节点T的安全域主秘钥s签名后发送给head节点h;
2d)head节点h验证消息签名并解密后得到新节点T的身份信息IDt和临时会话秘钥k,并用安全域内其他私钥服务节点PKGj的公钥对IDt和k加密,然后用自己的私钥签名分别发送给相应私钥服务节点PKGj,j=1,2,…,n;
2e)私钥服务节点PKGj验证消息签名并解密后得到新节点T的身份信息IDt和临时会话秘钥k,并利用安全域的公开参数P通过新节点T的身份信息IDt得到新节点T的公钥pkt,再通过自己所持主秘钥碎片sj和新节点T的公钥pkt计算得到新节点T的私钥碎片sktj,然后用临时会话秘钥k对私钥碎片sktj加密后用自己的私钥签名后发送给新节点T;
2f)新节点T接受私钥服务节点PKGj的消息,验证消息签名并解密后得到不少于m个私钥碎片sktr,r=1,2,…m,再采用秘密共享方案合成新节点T的私钥skt,并利用安全域的公开参数P通过新节点T的身份IDt获得T的公钥pkt,即新节点T颁发证书完成;
(3)卫星网络正常运行后,为保证证书颁发方法有效实施,要对卫星网络安全域进行周期性维护。
本发明具有如下优点:
第一,由于本发明提出的方法是分布式的,在基于身份的密码体制的基础上,将私钥生成任务分发给多个服务节点共同完成,克服了单个私钥服务节点在收到多个私钥生成请求时可能出现的低效率问题。
第二,由于本发明是基于安全域而不是整个卫星网络,节点请求颁发证书时只需向所在安全域中的头节点发请求,由头节点在安全域中寻找私钥服务节点,有效减少了证书颁发过程中寻找私钥服务节点所需的时间,提高了节点证书颁发的效率。
第三,由于本发明中安全域的头节点和私钥服务节点是根据节点的实际情况动态选举,并根据网络实际情况进行周期性更新,克服了节点证书颁发效率随头节点和私钥服务节点处理能力减弱而降低的问题。
附图说明
图1为本发明的卫星网络总流程图;
图2为本发明中对卫星网络初始化的子流程图;
图3为本发明中卫星网络进行证书颁发的子流程图;
图4为本发明中对安全域选举值排序表更新的子流程;
图5为本发明中对安全域私钥服务节点更新的子流程图;
图6为本发明中对安全域头节点更新的子流程图。
具体实施方式
以下结合附图对本发明作进一步详细描述。
本发明使用的场景包括地面控制中心和卫星节点。
地面控制中心,中包含有安全域参数初始单元、节点数据初始单元和碎片生成单元,其中安全域参数初始单元实现卫星节点安全域划分和安全域参数生成,节点数据初始单元实现卫星节点选举值排序表、公钥和私钥的生成,以及安全域私钥服务节点和头节点的选举。
卫星节点,包含有选举值计算单元和重组单元,其中选举值计算单元实现卫星节点选举值的计算,重组单元依据Shamir提出的秘密共享方案实现秘钥的重组后和秘钥碎片的生成。
参照图1,本发明的实现步骤如下:
步骤1,卫星网络初始化。
在卫星网络正常运行之前,实现地面控制中心GC对卫星网络进行初始化。
参照图2,本步骤的具体实现如下:
1a)地面控制中心GC的安全域参数初始单元为每个卫星节点静态划分安全域,并为每个安全域生成公开参数P、主秘钥s、公钥pk和标识符SC_ID以及安全域更新周期,其中公开参数P包括G1和G2是同阶的加法群和乘法群,阶数为质数q;为从G1×G1到G2的双线性映射,用于安全域中卫星节点间会话秘钥生成;H1为从{0,1}*到G1的单向哈希函数,用于生成卫星节点公钥;H2为从G2到{0,1}*的单向哈希函数,用于安全域中卫星节点间会话秘钥生成。
1b)地面控制中心GC将公开参数P、pk、SC_ID和安全域更新周期预置到相应卫星节点中,并创建用来保存安全域head节点的头节点表,其中头节点表包含安全域标识符SC_ID、安全域head节点h的身份信息IDh和安全域head节点h的公钥pkh
1c)地面控制中心GC的节点数据初始单元利用安全域的公开参数P计算得到每个卫星节点的公钥pki,私钥ski,i=1,2,…,并根据卫星节点的实际情况设置每个卫星节点的选举值排序表L,其中,卫星节点的公钥pki是利用公开参数中的单向哈希函数H1通过卫星节点的身份信息得到,卫星节点的私钥ski是利用公开参数中的单向哈希函数H2通过安全域主秘钥和卫星节点公钥得到,选举值排序表L是节点数据初始单元通过计算安全域中每个卫星节点当前的选举值并按降序排列后得到;
1c)地面控制中心GC的节点数据初始单元选择卫星节点的选举值排序表L中前n个节点作为私钥服务节点PKGj,j=1,2,…,n,并将私钥服务节点的身份信息发送给地面控制中心的碎片生成单元,碎片生成单元采用Shamir提出的秘密共享方案,将系统主秘钥s分成n个碎片sj分发给相应的私钥服务节点PKGj
1d)地面控制中心GC的节点数据初始单元选择卫星节点的选举值排序表L首位的节点作为安全域的head节点h,并将其保存在头节点表中。
步骤2,卫星网络对卫星节点进行证书颁发。
卫星网络初始化完成后,运行卫星网络,若有新节点T请求加入卫星网络,则对T进行证书颁发。
参照图3,本步骤的具体实现如下:
2a)新节点T向地面控制中心GC发送自己的身份信息IDt,请求颁发证书;
2b)地面控制中心GC验证新节点T的安全性后,根据新节点T的需求为其分配安全域,并为新节点T设置所属安全域的公开参数P、公钥pk和标识符SC_ID、安全域更新周期和新节点T的选举值以及用于新节点T与所属安全域内其他卫星节点安全通信的临时会话秘钥k,其中的临时会话秘钥由地面控制中心根据安全域标识符SC_ID、新节点T的身份信息IDt、系统时间和一个随机数组成;
2c)地面控制中心GC对临时会话秘钥k和新节点T的身份信息IDt,用新节点T安全域的head节点h的公钥pkh加密,并用新节点T的安全域主秘钥s签名后发送给head节点h,其中的加密和签名可以采用的现有算法有RSA、Diffie-Hellman、ElGamal,其中本实例采用RSA算法;
2d)head节点h验证消息签名并解密后得到新节点T的身份信息IDt和临时会话秘钥k,并用安全域内其他私钥服务节点PKGj的公钥对IDt和k加密,然后用自己的私钥签名分别发送给相应私钥服务节点PKGj,j=1,2,…,n,其中的加密、解密、签名和验证签名可以采用的现有算法有RSA、Diffie-Hellman、ElGamal,其中本实例采用RSA算法;
2e)私钥服务节点PKGj验证消息签名并解密后得到新节点T的身份信息IDt和临时会话秘钥k,并利用安全域的公开参数P通过新节点T的身份信息IDt得到新节点T的公钥pkt,再通过自己所持主秘钥碎片sj和新节点T的公钥pkt计算得到新节点T的私钥碎片sktj;然后用临时会话秘钥k对私钥碎片sktj加密后用自己的私钥签名后发送给新节点T,其中新节点T的私钥碎片sktj利用公式sktj=sj·pkt计算得到,解密、签名和验证签名可以采用的现有算法有RSA、Diffie-Hellman、ElGamal,其中本实例采用RSA算法,加密可以采用的现有算法有DES、3DES、Blowfish,其中本实例采用DES算法;
2f)新节点T接受私钥服务节点PKGj的消息,验证消息签名并解密后得到不少于m个私钥服务节点PKGr的私钥碎片sktr,r=1,2,…m,采用Shamir提出的秘密共享方案将m个私钥服务节点PKGr的私钥碎片sktr合成新节点T的私钥skt,并利用安全域的公开参数P通过新节点T的身份IDt获得T的公钥pkt,即新节点T颁发证书完成,其中的验证签名可以采用的现有算法有RSA、Diffie-Hellman、ElGamal,其中本实例采用RSA算法,解密可以采用的现有算法有DES、3DES、Blowfish,其中本实例采用DES算法。
步骤3,卫星网络安全域进行周期性维护。
卫星网络正常运行后,为保证证书颁发方法有效实施,要对卫星网络安全域进行周期性维护,其包括安全域卫星节点选举值排序表更新、安全域私钥服务节点更新和安全域头节点更新。
3a)安全域卫星节点选举值排序表更新:
参照图4,本步骤中的具体实现如下:
3a1)在安全域更新周期之后,每个卫星节点重新计算自己的选举值,安全域中所有卫星节点之间相互发送自己的选举值,其中卫星节点的选举值由卫星节点中的选举值计算单元根据卫星节点当前情况计算获得;
3a2)每个卫星节点得到安全域中所有卫星节点的选举值后,更新自己的选举值排序表,得到最新的选举值排序表L′;
3b)安全域私钥服务节点更新:
参照图5,本步骤中的具体实现如下:
3b1)根据最新的选举值排序表L′,卫星节点选择新进入选举值排序表L′的前n位卫星节点作为安全域的新私钥服务节点PKGw
3b2)安全域中其他有效私钥服务节点PKGj,j=1,2,…向新私钥服务节点PKGw发送主秘钥碎片sj
3b3)新私钥服务节点PKGw接受安全域中其他有效私钥服务节点PKGj,得到不少于m个有效私钥服务节点PKGr的主秘钥碎片sr,r=1,2,…,m,新私钥服务节点PKGw的重组单元采用Shamir提出的秘密共享方案利用m个有效私钥服务节点PKGr的主秘钥碎片sr生成自己的主秘钥碎片sw
3c)安全域头节点更新:
参照图6,本步骤中的具体实现如下:
3c1)根据最新的选举值排序表L′,卫星节点检查当前head节点h在最新选举值排序表L′中的位置,当h不在选举值排序表L′前n/3的位置时,重新选择排在L′首位的卫星节点作为安全域的新head节点he
3c2)安全域的私钥服务节点PKGj向新head节点he发送自己主秘钥碎片sj
3c3)新head节点he用安全域公钥pk对自己的身份信息IDh加密,并用从私钥服务节点PKGj收到的主秘钥碎片sj分别签名后发送给地面控制中心GC,其中的加密可以采用的现有算法有RSA、Diffie-Hellman、ElGamal,其中本实例采用RSA算法;
3c4)地面控制中心GC验证消息签名并解密后,对头节点表进行更新,其中的验证签名和解密可以采用的现有算法有RSA、Diffie-Hellman、ElGamal,其中本实例采用RSA算法。
以上描述仅是本发明的一个实例,显然对于本领域的专业人员来说,在了解本发明内容和原理后,都可能在不背离本发明原理、结构的情况下,进行形式和细节上的各种修正和改变,但是这些基于本发明思想的修正和改变仍在本发明的权利要求保护范围之内。

Claims (4)

1.一种基于卫星网络安全域的节点证书颁布方法,包括:
(1)地面控制中心GC对卫星网络初始化:
1a)为每个卫星节点静态划分安全域,为每个安全域生成参数,包括公开参数P、主秘钥s、公钥pk和标识符SC_ID以及安全域更新周期,并将公开参数P、pk、SC_ID和安全域更新周期预置到相应卫星节点中,并创建用来保存安全域head节点的头节点表;
1b)根据卫星节点的实际情况设置每个节点的选举值排序表L,并利用安全域的公开参数P计算得到各个卫星节点的公钥pki,私钥ski,i=1,2,...;
1c)根据卫星节点的选举值排序表L为安全域选择私钥服务节点,即从节点的L中选择前n个节点作为私钥服务节点PKGj,j=1,2,...,n,并采用秘密共享方案将系统主秘钥s分成n个碎片sj分发给私钥服务节点PKGj
1d)根据卫星节点的选举值排序表L为安全域选择head节点,即选择位于L首位的节点作为安全域的head节点h,并将其保存在头节点表中;
(2)卫星网络运行之后,若有新节点T请求加入卫星网络,则对T进行证书颁发:
2a)新节点T向地面控制中心GC发出颁发证书请求;
2b)地面控制中心GC验证新节点T的安全性后为其分配安全域,并为新节点T设置所属安全域的公开参数P、公钥pk和标识符SC_ID、安全域更新周期和新节点T的选举值以及用于新节点T与所属安全域内其他卫星节点安全通信的临时会话秘钥k;
2c)地面控制中心GC对临时会话秘钥k和新节点T的身份信息IDt,用新节点T安全域的head节点h的公钥pkh加密,并用新节点T的安全域主秘钥s签名后发送给head节点h;
2d)head节点h验证消息签名并解密后得到新节点T的身份信息IDt和临时会话秘钥k,并用安全域内其他私钥服务节点PKGj的公钥对IDt和k加密,然后用自己的私钥签名分别发送给相应私钥服务节点PKGj,j=1,2,...,n;
2e)私钥服务节点PKGj验证消息签名并解密后得到新节点T的身份信息IDt和临时会话秘钥k,并利用安全域的公开参数P通过新节点T的身份信息IDt得到新节点T的公钥pkt,再通过自己所持主秘钥碎片sj和新节点T的公钥pkt计算得到新节点T的私钥碎片sktj,然后用临时会话秘钥k对私钥碎片sktj加密后用自己的私钥签名后发送给新节点T;
2f)新节点T接受私钥服务节点PKGj的消息,验证消息签名并解密后得到不少于m个私钥碎片sktr,r=1,2,...m,再采用秘密共享方案合成新节点T的私钥skt,并利用安全域的公开参数P通过新节点T的身份IDt获得T的公钥pkt,即新节点T颁发证书完成;
(3)卫星网络正常运行后,为保证证书颁发方法有效实施,要对卫星网络安全域进行周期性维护。
2.根据权利要求1所述的方法,其中所述的安全域公开参数P,包括其中,G1和G2是同阶的加法群和乘法群,阶数为质数q;为从G1×G1到G2的双线性映射,用于安全域中卫星节点间会话秘钥生成;H1为从{0,1}*到G1的单向哈希函数,用于生成卫星节点公钥;H2为从G2到{0,1}*的单向哈希函数,用于安全域中卫星节点间会话秘钥生成。
3.根据权利 要求1所述的方法,其中所述的头节点表,包含安全域标识符SC_ID、安全域head节点h的身份信息IDh和安全域head节点h的公钥pkh
4.根据权利要求1所述的方法,其中步骤(3)中对卫星网络安全域进行周期性维护,按如下步骤进行:
3a)在安全域更新周期之后,每个卫星节点重新计算自己的选举值,安全域中所有卫星节点之间相互发送自己的选举值;
3b)每个卫星节点得到安全域中所有卫星节点的选举值后,更新自己的选举值排序表,得到最新的选举值排序表L′;
3c)根据最新的选举值排序表L′,卫星节点选择新进入选举值排序表L′的前n位卫星节点作为安全域的新私钥服务节点PKGw
3d)安全域中其他有效私钥服务节点PKGj,j=1,2,...,向新私钥服务节点PKGw发送主秘钥碎片sj
3e)新私钥服务节点PKGw接受安全域中其他有效私钥服务节点PKGj,得到不少于m个有效私钥服务节点PKGj的主秘钥碎片sr,r=1,2,...,m,并依据秘密共享方案生成自己的主秘钥碎片sw
3f)根据最新的选举值排序表L′,卫星节点检查当前head节点h在最新选举值排序表L′中的位置,当h不在选举值排序表L′前n/3的位置时,重新选择排在L′首位的卫星节点作为安全域的新head节点he
3g)安全域的私钥服务节点PKGj向新head节点he发送自己主秘钥碎片sj
3h)新head节点he用安全域公钥pk对自己的身份信息IDh加密,并用从私钥服务节点PKGj收到的主秘钥碎片sj分别签名后发送给地面控制中心GC;
3i)地面控制中心GC验证消息签名并解密后,对头节点表进行更新。
CN201610472933.XA 2016-06-24 2016-06-24 基于卫星网络安全域的节点证书颁布方法 Active CN106209374B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610472933.XA CN106209374B (zh) 2016-06-24 2016-06-24 基于卫星网络安全域的节点证书颁布方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610472933.XA CN106209374B (zh) 2016-06-24 2016-06-24 基于卫星网络安全域的节点证书颁布方法

Publications (2)

Publication Number Publication Date
CN106209374A CN106209374A (zh) 2016-12-07
CN106209374B true CN106209374B (zh) 2019-02-15

Family

ID=57461774

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610472933.XA Active CN106209374B (zh) 2016-06-24 2016-06-24 基于卫星网络安全域的节点证书颁布方法

Country Status (1)

Country Link
CN (1) CN106209374B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108289026B (zh) * 2017-12-22 2020-07-31 北京邮电大学 一种卫星网络中的身份认证方法及相关设备
CN112543102A (zh) * 2019-09-20 2021-03-23 云控蜂核(北京)科技有限公司 一种抗丢失且云端可干预的密钥存储方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101370248A (zh) * 2007-08-15 2009-02-18 中国移动通信集团公司 密钥更新方法、第三方服务器及激活第三方应用的系统
CN102315935A (zh) * 2010-07-02 2012-01-11 中国人民解放军总参谋部第六十一研究所 无线传感器网与计算机网融合网络密钥管理方法
CN105610575A (zh) * 2015-09-22 2016-05-25 西安电子科技大学 空间信息网跨域的端到端密钥交换方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101621374A (zh) * 2008-06-30 2010-01-06 华为技术有限公司 一种网络认证的方法、装置、系统及服务器

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101370248A (zh) * 2007-08-15 2009-02-18 中国移动通信集团公司 密钥更新方法、第三方服务器及激活第三方应用的系统
CN102315935A (zh) * 2010-07-02 2012-01-11 中国人民解放军总参谋部第六十一研究所 无线传感器网与计算机网融合网络密钥管理方法
CN105610575A (zh) * 2015-09-22 2016-05-25 西安电子科技大学 空间信息网跨域的端到端密钥交换方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
空间信息网安全组网新架构;刘小跃; 马建峰; 钟焰涛; 任方;《网络安全技术与应用》;20090630;第13-15页

Also Published As

Publication number Publication date
CN106209374A (zh) 2016-12-07

Similar Documents

Publication Publication Date Title
Semal et al. A certificateless group authenticated key agreement protocol for secure communication in untrusted UAV networks
Li et al. Cryptanalysis and improvement of certificateless aggregate signature with conditional privacy-preserving for vehicular sensor networks
Huang et al. Certificateless signature revisited
EP3345335B1 (en) Homomorphic based method and system for securely aggregating data
CN102811125B (zh) 基于多变量密码体制的无证书多接收者签密方法
Chen et al. Efficient decentralized attribute-based access control for cloud storage with user revocation
CN110120939B (zh) 一种基于异构系统的可否认认证的加密方法和系统
CN102223629B (zh) 一种移动自组网门限密钥分发方法
Shim Security models for certificateless signature schemes revisited
CN104636672B (zh) 一种基于哈希树及匿名技术的安全数据汇报系统
SenthilKumar et al. Review of asymmetric key cryptography in wireless sensor networks
US9660813B1 (en) Dynamic privacy management for communications of clients in privacy-preserving groups
CN106209374B (zh) 基于卫星网络安全域的节点证书颁布方法
Nicanfar et al. EIBC: Enhanced identity-based cryptography, a conceptual design
Lee Unified public key infrastructure supporting both certificate-based and id-based cryptography
Liu et al. An efficient identity-based online/offline signature scheme without key escrow
CN113872759B (zh) 一种智能电网的轻量级身份认证方法
Sun et al. A Certificateless Group Authenticated Key Agreement Protocol Based on Dynamic Binary Tree.
Hassouna et al. A New Level 3 Trust Hierarchal Certificateless Public Key Cryptography Scheme in the Random Oracle Model.
Wang et al. A Signature Scheme Applying on Blockchain Voting Scene Based on the Asmuth-Bloom Algorithm
CN105187213A (zh) 一种计算机信息安全的方法
An et al. Efficient Certificateless Online/Offline Signcryption Scheme without Bilinear Pairing for Smart Home Consumer Electronics
Chen et al. T-HIBE: a trustworthy HIBE scheme for the OSN privacy protection
Wang et al. Towards distributed privacy-preserving mobile access control
CN104168113A (zh) 一种n层CA结构的基于证书加密的方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant