CN111200500A - 基于区块链及物理不可克隆函数的卫星管理方法 - Google Patents
基于区块链及物理不可克隆函数的卫星管理方法 Download PDFInfo
- Publication number
- CN111200500A CN111200500A CN201911318861.3A CN201911318861A CN111200500A CN 111200500 A CN111200500 A CN 111200500A CN 201911318861 A CN201911318861 A CN 201911318861A CN 111200500 A CN111200500 A CN 111200500A
- Authority
- CN
- China
- Prior art keywords
- satellite
- domain
- virtual trust
- source
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3278—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/04—Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B7/00—Radio transmission systems, i.e. using radiation field
- H04B7/14—Relay systems
- H04B7/15—Active relay systems
- H04B7/185—Space-based or airborne stations; Stations for satellite systems
- H04B7/1853—Satellite systems for providing telephony service to a mobile station, i.e. mobile satellite service
- H04B7/18565—Arrangements for preventing unauthorised access or for providing user protection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Technology Law (AREA)
- Strategic Management (AREA)
- Marketing (AREA)
- Economics (AREA)
- General Business, Economics & Management (AREA)
- Development Economics (AREA)
- Theoretical Computer Science (AREA)
- Astronomy & Astrophysics (AREA)
- Aviation & Aerospace Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种基于区块链及物理不可克隆函数的卫星管理方法,其包括:划分数片卫星虚拟信任区域,在每片卫星虚拟信任区域内建立域内区块链网络,在卫星虚拟信任区域间建立域间区块链网络;在每片卫星虚拟信任区域包含的域内卫星中设立一域主卫星,域主卫星创建并部署域内区块链网络的第一智能合约,以用于记录待加入卫星虚拟信任区域的域外卫星的身份认证数据、域外卫星与域内卫星的服务交易数据及域外卫星的权力撤回数据;地面工作站创建并部署域间区块链网络的第二智能合约,以用于记录卫星虚拟信任区域间的身份认证数据和服务交易数据。本发明能够克服传统卫星网络在性能上的不足,获得更好的安全性能。
Description
技术领域
本发明涉及区块链及物理不可克隆函数应用技术。更具体地说,本发明涉及一种基于区块链及物理不可克隆函数的卫星管理方法。
背景技术
伴随移动用户数量迅速增长,随时随地为用户提供安全高质量的通信服务为无线通信带来极大的挑战。受益于星载计算和信号处理能力的增强,移动卫星通信网络(MobileSatellite Communication Network,MSNET)成为解决高质量通信的重要手段。移动卫星通信网络拥有全面覆盖、长距离通信、高传输能力以及对地面依赖逐渐减少等特点,满足基础卫星通信的同时,对于灾害预警、紧急搜救、全球定位导航也能提供准确良好的服务。
然而,移动卫星通信也存在的一定的问题与挑战:1、长距离通信导致的长传输延迟;2、传输干扰导致的较高误码率;3、复杂空间环境下卫星节点移动带来的链路干扰;4、异构网络协议;5、有限的星上存储资源与计算处理能力。为了应对这些挑战,建立一种稳定而又安全的分布式互联卫星通信系统至关重要。
发明内容
本发明的一个目的是解决至少上述问题,并提供至少后面将说明的优点。
本发明还有一个目的是提供一种基于区块链及物理不可克隆函数的卫星管理方法,能够克服传统卫星网络在性能上的不足,在满足大规模卫星节点感知-通信-计算的前提下,获得更好的安全性能。
为了实现根据本发明的这些目的和其它优点,提供了一种基于区块链及物理不可克隆函数的卫星管理方法,其包括:
划分数片卫星虚拟信任区域,在每片卫星虚拟信任区域内建立域内区块链网络,在卫星虚拟信任区域间建立域间区块链网络;
在每片卫星虚拟信任区域包含的域内卫星中设立一域主卫星,域主卫星对其所在卫星虚拟信任区域的域内卫星进行鉴定认证,且域主卫星创建并部署其所在卫星虚拟信任区域的域内区块链网络的第一智能合约,以用于记录待加入卫星虚拟信任区域的域外卫星的身份认证数据、域外卫星加入卫星虚拟信任区域后与域内卫星的服务交易数据及域外卫星加入卫星虚拟信任区域后的权力撤回数据;
地面工作站创建并部署域间区块链网络的第二智能合约,以用于记录卫星虚拟信任区域间的身份认证数据和服务交易数据;
其中,域外卫星的身份认证数据包含域外卫星基于物理不可克隆函数产生的激励-响应对信息,卫星虚拟信任区域间的身份认证数据包含卫星虚拟信任区域内每一域内卫星基于物理不可克隆函数产生的激励信息和响应信息。
优选的是,所述域主卫星对其所在卫星虚拟信任区域的域内卫星进行鉴定认证的过程包括:
为所有卫星均创建账户,每一卫星账户由一对非对称公私钥对构成,其中公钥可通过私钥生成,将卫星虚拟信任区域内每一域内卫星账户的公钥记录在域内区块中,并以每一域内卫星账户的公钥地址建立索引,将该地址作为每一域内卫星的虚拟id记录在域主卫星建立的配置文件库中。
优选的是,待加入卫星虚拟信任区域的域外卫星的身份认证过程包括:
域主卫星接受待加入卫星虚拟信任区域的域外卫星的加入请求,加入请求中包含服务交易权限,域主卫星根据域外卫星服务交易紧急程度和先验信任度判断是否允许域外卫星加入,若允许域外卫星加入,再由卫星虚拟信任区域内的域内卫星集体投票判断是否允许域外卫星加入,若仍允许域外卫星加入,则由域主卫星向第一智能合约写入授权令牌,并向域外卫星及域外卫星服务交易对象的域内卫星发送授权令牌在第一智能合约中的地址;
所述授权令牌的数据结构为:
VidST为域外卫星的虚拟id;
VidST1、……、VidSTn为投票支持域外卫星加入的域内卫星的虚拟id;
Timereq为授权令牌颁发时间;
EpheST为域外卫星星历,供域外卫星服务交易对象的域内卫星知悉以提前部署服务;
InfoCRP为域外卫星基于物理不可克隆函数产生的激励-响应对信息;
Oprt为域外卫星的服务交易权限。
优选的是,域外卫星加入卫星虚拟信任区域后与域内卫星的服务交易过程包括:
域外卫星发送服务交易请求至域外卫星服务交易对象的域内卫星,该域内卫星根据授权令牌在第一智能合约中的地址查找获取授权令牌TokenST,再为域外卫星提供相关服务,并将确认服务信息AckST,STn以及服务完成时间TimeSTn发送至域主卫星,由域主卫星记录于第一智能合约中。
优选的是,域外卫星加入卫星虚拟信任区域后的权力撤回过程包括:
部分权力撤回,由域主卫星在第一智能合约中修改授权令牌TokenST关于Oprt的权限;或
全部权力撤回,由域主卫星在第一智能合约中写入授权令牌TokenST无效。
优选的是,卫星虚拟信任区域间的身份认证过程包括:
源卫星虚拟信任区域DNsource的域主卫星向地面工作站提交身份认证请求,地面工作站接受请求后向源卫星虚拟信任区域身份认证对象的目标卫星虚拟信任区域DNm播发源卫星虚拟信任区域的身份辨识符idm,并同时由地面工作站向第二智能合约中写入身份辨识符idm;
所述身份辨识符idm=P1keym(Cm1,Cm2,…,Cmn,keysource(Rm1,Rm2,…,Rmn));
n为源卫星虚拟信任区域所包含的域内卫星的数量;
keysource(Rm1,Rm2,…,Rmn)为源卫星虚拟信任区域使用密钥keysource对自身包含的n个域内卫星的激励-响应对信息中的响应信息(Rm1,Rm2,…,Rmn)进行加密;
keysource为地面工作站针对此次身份认证生成的密钥,生成同时仅发送至源卫星虚拟信任区域DNsource的域主卫星,源卫星虚拟信任区域DNsource的域主卫星在获得密钥keysource后广播此密钥keysource至目标卫星虚拟信任区域DNm;
Cm1,Cm2,…,Cmn为源卫星虚拟信任区域包含的n个域内卫星的激励-响应对信息中的激励信息;
P1keym(Cm1,Cm2,…,Cmn,keysource(Rm1,Rm2,…,Rmn))为地面工作站使用公钥P1keym对身份认证信息(Cm1,Cm2,…,Cmn,keysource(Rm1,Rm2,…,Rmn))进行二次加密;
P1keym为地面工作站针对此次身份认证过程生成的公私钥对Pkeym中的公钥,P2keym为私钥,地面工作站还将公钥P1keym发送至源卫星虚拟信任区域的域主卫星;
目标卫星虚拟信任区域DNm的域主卫星接收到源卫星虚拟信任区域广播的keysource后,向地面工作站获取身份辨识符idm及私钥P2keym,并使用该私钥P2keym和广播收到的keysource解密idm,获取激励-响应对信息中的激励信息Cm1,Cm2,…,Cmn以及对应的响应信息Rm1,Rm2,…,Rmn记录备用,然后目标卫星虚拟信任区域域主卫星将激励信息回传至源卫星虚拟信任区域域主卫星处,源卫星虚拟信任区域域主卫星通过基于域内卫星的不可克隆函数得到唯一的响应信息,然后再次使用公钥P1keym加密后回传给目标卫星虚拟信任区域DNm的域主卫星,目标卫星虚拟信任区域DNm的域主卫星使用私钥P2keym解密后通过比对前后得到的响应信息是否一致确认源卫星虚拟信任区域身份。
优选的是,卫星虚拟信任区域间的服务交易过程包括:
以域主卫星的账户作为域主卫星所在卫星虚拟信任区域的账户,将每一卫星虚拟信任区域域主卫星的账户的公钥记录在域间区块中,并以每一域主卫星账户的公钥地址建立索引,将该地址作为每一卫星虚拟信任区域的虚拟id记录在地面工作站建立于域间区块的配置文件库中
源卫星虚拟信任区域的身份认证通过后,由其域主卫星建立播发文件索引Filecipherid,并将加密的服务交易数据文件Filecipher以及播发文件索引Filecipherid广播至目标卫星虚拟信任区域DNm,目标卫星虚拟信任区域的域主卫星接收后与源卫星虚拟信任区域建立服务交易,源卫星虚拟信任区域的域主卫星将交易内容记录于第二智能合约中,交易内容包括源卫星虚拟信任区域DNsource、目标卫星虚拟信任区域DNm和播发文件索引Filecipherid;
Timedest为源卫星虚拟信任区域DNsource播发数据时间;
m为目标卫星虚拟信任区域的数目;
Filedata为初始服务交易数据,Filecipher为加密后的服务交易数据。
本发明至少包括以下有益效果:区块链作为一种拥有多个独立节点的分布式数据库系统,可追踪,难以伪造及破坏。物理不可克隆函数(Physical Unclonable Functions,缩写PUF)利用设备制造过程中引入的不可避免的差异作为设备的“指纹”信息,可用于可靠的认证、验证、密钥存储以及其他安全环境,避免完全应用区块链所带来的零信任问题,本发明考虑星上资源分配有限的情况,为有效减少共识过程带来的大量计算,将区块链技术及PUF联合应用到移动卫星网络系统中,对移动卫星网络进行优化,对卫星星座进行管理,对星间数据沟通预处理,可以有效地保障卫星系统数据安全。而使用智能合约进行管理,移动卫星通信网络系统重要的安全数据将会被存放在智能合约中,被其他卫星节点拥有保存,做到真正的可靠存储、安全共享、接入权力控制及系统修复。
本发明的其它优点、目标和特征将部分通过下面的说明体现,部分还将通过对本发明的研究和实践而为本领域的技术人员所理解。
附图说明
图1为本发明其中一实施例所述基于区块链及物理不可克隆函数的卫星管理方法的流程示意图。
具体实施方式
下面结合附图对本发明做进一步的详细说明,以令本领域技术人员参照说明书文字能够据以实施。
需要说明的是,下述实施方案中所述实验方法,如无特殊说明,均为常规方法,所述试剂和材料,如无特殊说明,均可从商业途径获得;在本发明的描述中,术语“横向”、“纵向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,并不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
如图1所示,本发明提供一种基于区块链及物理不可克隆函数的卫星管理方法,其包括:
S101、划分数片卫星虚拟信任区域,在每片卫星虚拟信任区域内建立域内区块链网络,在卫星虚拟信任区域间建立域间区块链网络;
这里划分卫星虚拟信任区域时,将卫星运行空间区域划分为若干等大正方体区间,地球外卫星活动空间是一种客观存在的卫星空间域,根据现有技术(J.Li,H.Lu,K.Xueand Y.Zhang,"Temporal Netgrid Model-Based Dynamic Routing in Large-ScaleSmall Satellite Networks,"in IEEE Transactions on Vehicular Technology,vol.68,no.6,pp.6009-6021,June2019.)可将其划分等大正方体。每一个正方体区间内的所有卫星可以作为一个域节点(Domain Node,缩写DN),在一个域节点内设置域内区块链网络,卫星虚拟信任区域即是正方体区间内所有卫星相互信任,可随时发起通信无需身份认证,但对域外卫星需要接入认证和授权的虚拟区域。在多个域节点间设置域间区块链网络;
S102、在每片卫星虚拟信任区域包含的域内卫星中设立一域主卫星,域主卫星对其所在卫星虚拟信任区域的域内卫星进行鉴定认证,且域主卫星创建并部署其所在卫星虚拟信任区域的域内区块链网络的第一智能合约,以用于记录待加入卫星虚拟信任区域的域外卫星的身份认证数据、域外卫星加入卫星虚拟信任区域后与域内卫星的服务交易数据及域外卫星加入卫星虚拟信任区域后的权力撤回数据;
卫星通信系统通常由卫星星座、关口地球站、地面工作站(控制中心)和地面用户组成,这里的域主卫星指定为各卫星星座首次发射部署的卫星,设计之初即要求具备优于其他卫星的星上处理能力以及域主卫星间交互能力,在轨运行稳定后即着手域内管理。随着第一批域主卫星使用寿命将至,由地面工作站指定的卫星替代域主卫星进行域主权力交接,可由域内交接或者地面重新发射后接入域内取而代之;当然域主也可以指定地面工作站,但是考虑域内的半去中心化管理要求,排除了地面工作站做域主的方案,域内全部交由卫星自主管理;
这里所述域主卫星对其所在卫星虚拟信任区域的域内卫星进行鉴定认证的过程包括:为所有卫星均创建账户,每一卫星账户由一对非对称公私钥对构成,其中公钥可通过私钥生成,将卫星虚拟信任区域内每一域内卫星账户的公钥记录在域内区块中,并以每一域内卫星账户的公钥地址建立索引,将该地址作为每一域内卫星的虚拟id记录在域主卫星建立于域内区块的配置文件库中。
这里的第一智能合约为区块链中的一个功能节点,用来记录交易,这个节点收集区块链中的交易信息,当有交易满足自己的要求的时候,就执行本身的合约,如:当域外卫星满足接入验证请求时,域主卫星将域外卫星接入“这笔交易”记录在第一智能合约中。在域内区块链网络中,第一智能合约创建并部署后,将会对整个网络可见。由于区块链的透明性和公开性,意味着域内区块链网络中所有的域内卫星都可以访问查看交易和智能合约。
这里待加入卫星虚拟信任区域的域外卫星包括不在所有卫星虚拟信任区域中的卫星和欲脱离原卫星虚拟信任区域加入另一卫星虚拟信任区域的其他域域内卫星。
这里待加入卫星虚拟信任区域的域外卫星的身份认证过程包括:域主卫星接受待加入卫星虚拟信任区域的域外卫星的加入请求,加入请求中包含服务交易权限。域主卫星根据域外卫星服务交易紧急程度和先验信任度判断是否允许域外卫星加入。
这里的服务交易紧急程度是一种相对的概念,一般来说对服务交易平等对待,然而出现临时紧急情况则需优先对待,如:地面某一地区流量需求增大,热度升高,需要大量卫星加急接入域后为地面提供流量服务,其服务交易紧急程度视为高;例如某地开演唱会,用户手机信号差,就需要紧急调度移动运营商移动基站来加强信号,调度服务的优先级相比于其他服务交易紧急程度就视为高。
这里先验信任度即指域外卫星是否有恶意节点记录而降低域外卫星的信任度,一般来说所有卫星未出现恶意事件时信任度都是相同分值,恶意事件包括卫星接入域内后不履行接入时请求的服务交易或者自行终止服务交易连接,以及卫星接入域内后立即出现该域被网络攻击或者物理攻击的情形,由于这些情形出现后会立即被原域主记录于域内区块中,其他域主卫星可通过域间区块链交流获取这些恶意事件记录,故通过预设一个先验信任度阈值即可判断域外卫星是否可以加入。
当域主卫星允许域外卫星加入后,再由卫星虚拟信任区域内的域内卫星集体投票判断是否允许域外卫星加入。这里域内卫星并非全无自我意识,分布式的划区域管理本身就是一种去中心化的自我管理,投票作为一种决策过程可以被卫星应用,域内卫星可以自主选择参与投票或者不参与投票,最终计票也仅考虑投出票的卫星,考虑绝大多数卫星与域外卫星并无交集关系,而且明确是与域内有服务交易对接,所以大多会投票赞成,考虑最一般的情况也是半数,而对接卫星也会投出赞成票,所有结果为同意过半即可算同意加入。此投票过程作为一次“交易”,记录在第一智能合约,可供查看。
当域内卫星集体投票允许域外卫星加入后,由域主卫星向第一智能合约写入授权令牌,并向域外卫星及域外卫星服务交易对象的域内卫星发送授权令牌在第一智能合约中的地址;
所述授权令牌的数据结构为:
VidST为域外卫星的虚拟id;
VidST1、……、VidSTn为投票支持域外卫星加入的域内卫星的虚拟id;
Timereq为授权令牌颁发时间;
EpheST为域外卫星星历,供域外卫星服务交易对象的域内卫星知悉以提前部署服务;
InfoCRP为域外卫星基于物理不可克隆函数产生的激励-响应对信息;
Oprt为域外卫星的服务交易权限。
Oprt为域外卫星申请加入时请求要在域内进行的一系列服务,包括但不限于{read,write,scan,serve,……}或者{wait},对于{read,write}等,需要与之对应的域内卫星承认并负责,同时还考虑域外卫星并未如实履行职责而成为恶意节点等情况而引入惩罚机制;{wait}视为域外卫星暂不与域内卫星进行数据交互,等待处理。
域外卫星加入域内后,身份认证不必再受到第三方信任权威牵制。所有域内卫星可以自主相互通信,同时计入智能合约备案,然而不同域的域内卫星不允许自主通信。
这里域外卫星加入卫星虚拟信任区域后与域内卫星的服务交易过程包括:域外卫星发送服务交易请求至域外卫星服务交易对象的域内卫星,该域内卫星根据授权令牌在第一智能合约中的地址查找获取授权令牌TokenST,再为域外卫星提供相关服务,并将确认服务信息AckST,STn以及服务完成时间TimeSTn发送至域主卫星,由域主卫星记录于第一智能合约中,本次交易即为其他域内卫星知悉,透明可见。
这里域外卫星加入卫星虚拟信任区域后的权力撤回过程包括:部分权力撤回,由域主卫星在第一智能合约中修改授权令牌TokenST关于Oprt的权限;或全部权力撤回,由域主卫星在第一智能合约中写入授权令牌TokenST无效。域外卫星服务完成后,可以选择留在此卫星虚拟信任区域内成为常驻卫星,也可以选择继续运动离开此域,同时备案并撤回域内权力。权力撤回分为两方面:部分权力撤回以及全部撤回。在各个卫星虚拟信任区域中只有域主卫星有权力在第一智能合约中写入权力撤回过程。如果选择部分权力撤回,则只撤回其部分能力,域外卫星尚存于域内可以独立地作为服务提供者为后续卫星提供服务,如果选择全部撤回,此时域外卫星虽然还在空间结构上的域中,但是已不能与域内卫星进行任何通信与服务交换,一旦其有需要提供或获取新服务,需要重新向域主卫星申请令牌,重复身份认证操作。
本实施例中由于使用分类将卫星归属于不同的卫星域,各域之间相互独立,只有那些已授权的卫星可以与域内其他卫星通信,域间节点通信分发采用基于PUF联合智能合约管理,避免大规模卫星节点零共识基础所带来的高能耗计算的同时,对数据进行溯源,保证广播的同时有效防止数据的篡改。
S103、地面工作站创建并部署域间区块链网络的第二智能合约,以用于记录卫星虚拟信任区域间的身份认证数据和服务交易数据;
这里每一卫星虚拟信任区域也需要账户来代表其数字身份,而卫星虚拟信任区域的账户不需要另新建账户,而是直接采用其域主卫星的账户,将每一卫星虚拟信任区域域主卫星的账户的公钥记录在域间区块中,并以每一域主卫星账户的公钥地址建立索引,将该地址作为每一卫星虚拟信任区域的虚拟id记录在地面工作站建立于域间区块的配置文件库中。
这里卫星虚拟信任区域间的身份认证过程包括:
源卫星虚拟信任区域DNsource的域主卫星向地面工作站提交身份认证请求,地面工作站接受请求后向源卫星虚拟信任区域身份认证对象的目标卫星虚拟信任区域DNm播发源卫星虚拟信任区域的身份辨识符idm,并同时由地面工作站向第二智能合约中写入身份辨识符idm,这里目标卫星虚拟信任区域可以有多个(如m个),DNm为第m个目标卫星虚拟信任区域;
所述身份辨识符idm=P1keym(Cm1,Cm2,…,Cmn,keysource(Rm1,Rm2,…,Rmn));
n为源卫星虚拟信任区域所包含的域内卫星的数量;
keysource(Rm1,Rm2,…,Rmn)为使用密钥keysource对需要验证的n个源卫星虚拟信任区域域内卫星的激励-响应对信息中的响应信息(Rm1,Rm2,…,Rmn)进行加密,此为第一次加密;
密钥keysource为地面工作站针对源卫星虚拟信任区域DNsource配置生成的,生成同时仅发送给DNsource的域主卫星。源卫星虚拟信任区域DNsource的域主卫星在获得密钥keysource后会广播此密钥keysource至目标卫星虚拟信任区域DNm,只有DNm可以使用该密钥keysource解密响应信息;
Cm1,Cm2,…,Cmn为源卫星虚拟信任区域包含的n组域内卫星的激励-响应对信息中的激励信息;
Pkeym包括一对公钥P1keym(Public key)与私钥P2keym(Private key),由地面工作站针对此次身份认证过程配置生成,应用于PUF验证过程,地面工作站使用公钥P1keym加密(Cm1,Cm2,…,Cmn,keysource(Rm1,Rm2,…,Rmn))中的信息,此为第二次加密,同时还将此公钥P1keym发送给源卫星虚拟信任区域的域主卫星。
目标卫星虚拟信任区域DNm的域主卫星接收到源卫星虚拟信任区域广播的keysource后,知悉将要接收来自源卫星虚拟信任区域的广播,故向地面工作站获取身份辨识符idm及私钥P2keym,并使用该私钥P2keym和广播收到的keysource解密idm,获取激励-响应对信息中的激励信息Cm1,Cm2,…,Cmn以及对应的响应信息Rm1,Rm2,…,Rmn记录备用,然后目标卫星虚拟信任区域域主卫星将激励信息回传至源卫星虚拟信任区域域主卫星处,源卫星虚拟信任区域域主卫星通过部署在域内卫星上的PUF电路得到唯一的不可预测的响应,然后再次使用公钥P1keym加密后回传给目标卫星虚拟信任区域DNm的域主卫星,后者使用私钥P2keym解密后通过比对前后得到的响应一致性确认源卫星虚拟信任区域身份,此为第二次验证,至此验证过程完毕。
这里卫星虚拟信任区域间的服务交易过程包括:
源卫星虚拟信任区域的身份认证通过后,由其域主卫星建立播发文件索引Filecipherid,并将加密的服务交易数据文件Filecipher以及播发文件索引Filecipherid广播至目标卫星虚拟信任区域DNm,目标卫星虚拟信任区域的域主卫星接收后与源卫星虚拟信任区域建立服务交易,源卫星虚拟信任区域的域主卫星将交易内容记录于第二智能合约中,交易内容包括源卫星虚拟信任区域DNsource、目标卫星虚拟信任区域DNm和播发文件索引Filecipherid;
Timedest(注:此处下角标为dest,意为destination目标节点)为源卫星虚拟信任区域DNsource播发数据时间;
m为目标卫星虚拟信任区域的数目;
Filedata为初始服务交易数据,Filecipher为加密后的服务交易数据。
尽管本发明的实施方案已公开如上,但其并不仅仅限于说明书和实施方式中所列运用,它完全可以被适用于各种适合本发明的领域,对于熟悉本领域的人员而言,可容易地实现另外的修改,因此在不背离权利要求及等同范围所限定的一般概念下,本发明并不限于特定的细节和这里示出与描述的图例。
Claims (7)
1.基于区块链及物理不可克隆函数的卫星管理方法,其特征在于,包括:
划分数片卫星虚拟信任区域,在每片卫星虚拟信任区域内建立域内区块链网络,在卫星虚拟信任区域间建立域间区块链网络;
在每片卫星虚拟信任区域包含的域内卫星中设立一域主卫星,域主卫星对其所在卫星虚拟信任区域的域内卫星进行鉴定认证,且域主卫星创建并部署其所在卫星虚拟信任区域的域内区块链网络的第一智能合约,以用于记录待加入卫星虚拟信任区域的域外卫星的身份认证数据、域外卫星加入卫星虚拟信任区域后与域内卫星的服务交易数据及域外卫星加入卫星虚拟信任区域后的权力撤回数据;
地面工作站创建并部署域间区块链网络的第二智能合约,以用于记录卫星虚拟信任区域间的身份认证数据和服务交易数据;
其中,域外卫星的身份认证数据包含域外卫星基于物理不可克隆函数产生的激励-响应对信息,卫星虚拟信任区域间的身份认证数据包含卫星虚拟信任区域内每一域内卫星基于物理不可克隆函数产生的激励信息和响应信息。
2.如权利要求1所述的基于区块链及物理不可克隆函数的卫星管理方法,其特征在于,所述域主卫星对其所在卫星虚拟信任区域的域内卫星进行鉴定认证的过程包括:
为所有卫星均创建账户,每一卫星账户由一对非对称公私钥对构成,其中公钥可通过私钥生成,将卫星虚拟信任区域内每一域内卫星账户的公钥记录在域内区块中,并以每一域内卫星账户的公钥地址建立索引,将该地址作为每一域内卫星的虚拟id记录在域主卫星建立的配置文件库中。
3.如权利要求2所述的基于区块链及物理不可克隆函数的卫星管理方法,其特征在于,待加入卫星虚拟信任区域的域外卫星的身份认证过程包括:
域主卫星接受待加入卫星虚拟信任区域的域外卫星的加入请求,加入请求中包含服务交易权限,域主卫星根据域外卫星服务交易紧急程度和先验信任度判断是否允许域外卫星加入,若允许域外卫星加入,再由卫星虚拟信任区域内的域内卫星集体投票判断是否允许域外卫星加入,若仍允许域外卫星加入,则由域主卫星向第一智能合约写入授权令牌,并向域外卫星及域外卫星服务交易对象的域内卫星发送授权令牌在第一智能合约中的地址;
所述授权令牌的数据结构为:
VidST为域外卫星的虚拟id;
VidST1、……、VidSTn为投票支持域外卫星加入的域内卫星的虚拟id;
Timereq为授权令牌颁发时间;
EpheST为域外卫星星历,供域外卫星服务交易对象的域内卫星知悉以提前部署服务;
InfoCRP为域外卫星基于物理不可克隆函数产生的激励-响应对信息;
Oprt为域外卫星的服务交易权限。
4.如权利要求3所述的基于区块链及物理不可克隆函数的卫星管理方法,其特征在于,域外卫星加入卫星虚拟信任区域后与域内卫星的服务交易过程包括:
域外卫星发送服务交易请求至域外卫星服务交易对象的域内卫星,该域内卫星根据授权令牌在第一智能合约中的地址查找获取授权令牌TokenST,再为域外卫星提供相关服务,并将确认服务信息AckST,STn以及服务完成时间TimeSTn发送至域主卫星,由域主卫星记录于第一智能合约中。
5.如权利要求4所述的基于区块链及物理不可克隆函数的卫星管理方法,其特征在于,域外卫星加入卫星虚拟信任区域后的权力撤回过程包括:
部分权力撤回,由域主卫星在第一智能合约中修改授权令牌TokenST关于Oprt的权限;或
全部权力撤回,由域主卫星在第一智能合约中写入授权令牌TokenST无效。
6.如权利要求2所述的基于区块链及物理不可克隆函数的卫星管理方法,其特征在于,卫星虚拟信任区域间的身份认证过程包括:
源卫星虚拟信任区域DNsource的域主卫星向地面工作站提交身份认证请求,地面工作站接受请求后向源卫星虚拟信任区域身份认证对象的目标卫星虚拟信任区域DNm播发源卫星虚拟信任区域的身份辨识符idm,并同时由地面工作站向第二智能合约中写入身份辨识符idm;
所述身份辨识符idm=P1keym(Cm1,Cm2,…,Cmn,keysource(Rm1,Rm2,…,Rmn));
n为源卫星虚拟信任区域所包含的域内卫星的数量;
keysource(Rm1,Rm2,…,Rmn)为源卫星虚拟信任区域使用密钥keysource对自身包含的n个域内卫星的激励-响应对信息中的响应信息(Rm1,Rm2,…,Rmn)进行加密;
keysource为地面工作站针对此次身份认证生成的密钥,生成同时仅发送至源卫星虚拟信任区域DNsource的域主卫星,源卫星虚拟信任区域DNsource的域主卫星在获得密钥keysource后广播此密钥keysource至目标卫星虚拟信任区域DNm;
Cm1,Cm2,…,Cmn为源卫星虚拟信任区域包含的n个域内卫星的激励-响应对信息中的激励信息;
P1keym(Cm1,Cm2,…,Cmn,keysource(Rm1,Rm2,…,Rmn))为地面工作站使用公钥P1keym对身份认证信息(Cm1,Cm2,…,Cmn,keysource(Rm1,Rm2,…,Rmn))进行二次加密;
P1keym为地面工作站针对此次身份认证过程生成的公私钥对Pkeym中的公钥,P2keym为私钥,地面工作站还将公钥P1keym发送至源卫星虚拟信任区域的域主卫星;
目标卫星虚拟信任区域DNm的域主卫星接收到源卫星虚拟信任区域广播的keysource后,向地面工作站获取身份辨识符idm及私钥P2keym,并使用该私钥P2keym和广播收到的keysource解密idm,获取激励-响应对信息中的激励信息Cm1,Cm2,…,Cmn以及对应的响应信息Rm1,Rm2,…,Rmn记录备用,然后目标卫星虚拟信任区域域主卫星将激励信息回传至源卫星虚拟信任区域域主卫星处,源卫星虚拟信任区域域主卫星通过基于域内卫星的不可克隆函数得到唯一的响应信息,然后再次使用公钥P1keym加密后回传给目标卫星虚拟信任区域DNm的域主卫星,目标卫星虚拟信任区域DNm的域主卫星使用私钥P2keym解密后通过比对前后得到的响应信息是否一致确认源卫星虚拟信任区域身份。
7.如权利要求6所述的基于区块链及物理不可克隆函数的卫星管理方法,其特征在于,卫星虚拟信任区域间的服务交易过程包括:
以域主卫星的账户作为域主卫星所在卫星虚拟信任区域的账户,将每一卫星虚拟信任区域域主卫星的账户的公钥记录在域间区块中,并以每一域主卫星账户的公钥地址建立索引,将该地址作为每一卫星虚拟信任区域的虚拟id记录在地面工作站建立于域间区块的配置文件库中
源卫星虚拟信任区域的身份认证通过后,由其域主卫星建立播发文件索引Filecipherid,并将加密的服务交易数据文件Filecipher以及播发文件索引Filecipherid广播至目标卫星虚拟信任区域DNm,目标卫星虚拟信任区域的域主卫星接收后与源卫星虚拟信任区域建立服务交易,源卫星虚拟信任区域的域主卫星将交易内容记录于第二智能合约中,交易内容包括源卫星虚拟信任区域DNsource、目标卫星虚拟信任区域DNm和播发文件索引Filecipherid;
Timedest为源卫星虚拟信任区域DNsource播发数据时间;
m为目标卫星虚拟信任区域的数目;
Filedata为初始服务交易数据,Filecipher为加密后的服务交易数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911318861.3A CN111200500B (zh) | 2019-12-19 | 2019-12-19 | 基于区块链及物理不可克隆函数的卫星管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911318861.3A CN111200500B (zh) | 2019-12-19 | 2019-12-19 | 基于区块链及物理不可克隆函数的卫星管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111200500A true CN111200500A (zh) | 2020-05-26 |
CN111200500B CN111200500B (zh) | 2022-07-01 |
Family
ID=70747485
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911318861.3A Active CN111200500B (zh) | 2019-12-19 | 2019-12-19 | 基于区块链及物理不可克隆函数的卫星管理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111200500B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112688728A (zh) * | 2020-12-17 | 2021-04-20 | 西安电子科技大学 | 一种星间认证方法、系统、介质、设备、终端及应用 |
US11206127B2 (en) | 2019-11-22 | 2021-12-21 | Guangzhou University | Blockchain-based verifiable inter-domain routing validation method |
CN113987070A (zh) * | 2021-10-09 | 2022-01-28 | 重庆电子工程职业学院 | 一种基于区块链的地质灾害风险识别和预警系统 |
CN114281887A (zh) * | 2021-04-07 | 2022-04-05 | 暗链科技(深圳)有限公司 | 基于区块分布式区块链的数据保存方法及电子设备 |
CN115361393A (zh) * | 2022-07-05 | 2022-11-18 | 合肥工业大学 | 基于联盟链的虚拟星座任务管理系统 |
EP4231751A4 (en) * | 2020-12-03 | 2024-04-03 | Huawei Technologies Co., Ltd. | WIRELESS COMMUNICATIONS METHOD, APPARATUS AND SYSTEM |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105678151A (zh) * | 2016-03-04 | 2016-06-15 | 邓迪 | 构建可信节点/卫星节点的区块链传输方法和系统 |
CN107147489A (zh) * | 2017-05-02 | 2017-09-08 | 南京理工大学 | 一种leo卫星网络内分布式的接入认证管理方法 |
CN108400872A (zh) * | 2018-02-24 | 2018-08-14 | 清华大学 | 一种基于星地协同的区块链信息传输方法和系统 |
CN108738017A (zh) * | 2017-04-21 | 2018-11-02 | 网件公司 | 网络接入点中的安全通信 |
CN109412677A (zh) * | 2018-11-12 | 2019-03-01 | 清华大学 | 星地协同区块链系统中的通信广播自适应融合方法 |
US20190273617A1 (en) * | 2018-03-02 | 2019-09-05 | Intertrust Technologies Corporation | Trust and identity management systems and methods |
US20190289018A1 (en) * | 2018-03-16 | 2019-09-19 | Vector Launch Inc. | Distributed blockchain data management in a satellite environment |
-
2019
- 2019-12-19 CN CN201911318861.3A patent/CN111200500B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105678151A (zh) * | 2016-03-04 | 2016-06-15 | 邓迪 | 构建可信节点/卫星节点的区块链传输方法和系统 |
CN108738017A (zh) * | 2017-04-21 | 2018-11-02 | 网件公司 | 网络接入点中的安全通信 |
CN107147489A (zh) * | 2017-05-02 | 2017-09-08 | 南京理工大学 | 一种leo卫星网络内分布式的接入认证管理方法 |
CN108400872A (zh) * | 2018-02-24 | 2018-08-14 | 清华大学 | 一种基于星地协同的区块链信息传输方法和系统 |
US20190273617A1 (en) * | 2018-03-02 | 2019-09-05 | Intertrust Technologies Corporation | Trust and identity management systems and methods |
US20190289018A1 (en) * | 2018-03-16 | 2019-09-19 | Vector Launch Inc. | Distributed blockchain data management in a satellite environment |
CN109412677A (zh) * | 2018-11-12 | 2019-03-01 | 清华大学 | 星地协同区块链系统中的通信广播自适应融合方法 |
Non-Patent Citations (3)
Title |
---|
CHARIDIMOS CHAINTOUTIS: ""Optical PUFs as physical root of trust for blockchain-driven applications"", 《THE INSTITUTION OF ENGINEERING AND TECHNOLOGY》 * |
周海涛等: "基于物理不可克隆函数的智能警务设备认证协议", 《计算机应用与软件》 * |
魏松杰等: "基于共识机制的LEO低轨卫星网络区域合作认证协议", 《计算机研究与发展》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11206127B2 (en) | 2019-11-22 | 2021-12-21 | Guangzhou University | Blockchain-based verifiable inter-domain routing validation method |
EP4231751A4 (en) * | 2020-12-03 | 2024-04-03 | Huawei Technologies Co., Ltd. | WIRELESS COMMUNICATIONS METHOD, APPARATUS AND SYSTEM |
CN112688728A (zh) * | 2020-12-17 | 2021-04-20 | 西安电子科技大学 | 一种星间认证方法、系统、介质、设备、终端及应用 |
CN112688728B (zh) * | 2020-12-17 | 2022-02-08 | 西安电子科技大学 | 一种星间认证方法、系统、介质、设备、终端及应用 |
CN114281887A (zh) * | 2021-04-07 | 2022-04-05 | 暗链科技(深圳)有限公司 | 基于区块分布式区块链的数据保存方法及电子设备 |
CN114281887B (zh) * | 2021-04-07 | 2022-08-05 | 暗链科技(深圳)有限公司 | 基于区块分布式区块链的数据保存方法及电子设备 |
CN113987070A (zh) * | 2021-10-09 | 2022-01-28 | 重庆电子工程职业学院 | 一种基于区块链的地质灾害风险识别和预警系统 |
CN115361393A (zh) * | 2022-07-05 | 2022-11-18 | 合肥工业大学 | 基于联盟链的虚拟星座任务管理系统 |
Also Published As
Publication number | Publication date |
---|---|
CN111200500B (zh) | 2022-07-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111200500B (zh) | 基于区块链及物理不可克隆函数的卫星管理方法 | |
CN110086821A (zh) | 基于区块链的电力物联网网关和电力物联网终端接入的认证方法 | |
Jiang et al. | Joint transaction relaying and block verification optimization for blockchain empowered D2D communication | |
US10764040B2 (en) | Dynamic domain key exchange for authenticated device to device communications | |
CN112532676B (zh) | 一种基于区块链数据共享的车辆计算任务卸载方法 | |
EP2790370B1 (en) | Authentication method and system oriented to heterogeneous network | |
US7552321B2 (en) | Method and hybrid system for authenticating communications | |
CN102111766B (zh) | 网络接入方法、装置及系统 | |
US8060741B2 (en) | System and method for wireless mobile network authentication | |
CN106572088B (zh) | 一种基于虚拟用户的车载自组织网络假名变换方法 | |
CN112953726B (zh) | 融合双层卫星网络星地和星间组网认证方法、系统及应用 | |
Liu et al. | A secure and efficient authentication protocol for satellite-terrestrial networks | |
CN101645900A (zh) | 一种跨域权限管理系统及方法 | |
CN110636495B (zh) | 一种雾计算系统中的终端用户安全漫游认证的方法 | |
Han et al. | Blockchain based spectrum sharing algorithm | |
CN109362062A (zh) | 基于ID-based群签名的VANETs匿名认证系统及方法 | |
CN105491076A (zh) | 一种面向空天信息网的异构网络端到端认证密钥交换方法 | |
CN104010302A (zh) | 车载自组织网络路况数据信任评价方法 | |
CN112235290B (zh) | 基于区块链的物联网设备管理方法及第一物联网设备 | |
CN116321147A (zh) | 基于零信任的多属性终端身份认证方法及系统 | |
Mohanty et al. | Siovchain: time-lock contract based privacy-preserving data sharing in siov | |
Yang et al. | Ultra reliable and low latency authentication scheme for internet of vehicles based on blockchain | |
Zhang et al. | Secure channel establishment scheme for task delivery in vehicular cloud computing | |
CN116366302A (zh) | 节点准入方法、共识方法、装置、电子设备及存储介质 | |
CN116761148A (zh) | 一种基于区块链的v2x身份管理系统及认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |