CN111885604B - 一种基于天地一体化网络的认证鉴权方法、装置及系统 - Google Patents

Abstract

本发明公开了一种基于天地一体化网络的认证鉴权方法、装置及系统，该方法包括：获取申请入网的用户的身份信息；根据用户的身份信息为用户分配用户接入设备以及用户权限；接收用户根据用户接入设备和用户指纹、用户名和密码以及用户名和证书密码中的任意一组或多组发送的认证请求数据；根据认证请求数据判断用户是否为合法用户；当用户为合法用户时，将为用户分配的路由标识信息保存，并将生成的认证结果发送至用户。通过实施本发明，为用户分配具有唯一用户接入标识的设备。在认证过程中，通过对用户接入标识的识别，为用户分配了用户可以在网络的核心网中使用的路由标识，同时实现了用户接入标识到路由标识的映射，保障了用户侧及网络侧的安全。

Description

一种基于天地一体化网络的认证鉴权方法、装置及系统

技术领域

本发明涉及无线通信技术领域，具体涉及一种基于天地一体化网络的认证鉴权方法、装置及系统。

背景技术

目前，由卫星网络、地面网络等多种网络融合而形成的天地一体化网络因具有广域覆盖，不受地理限制，抗毁应急能力强等优点，得到学术界和工业界的广泛关注。然而，天地一体化网络通信信道高度开放的特点使得其面临信息泄露，恶意登录等诸多安全威胁。其中，为了防止恶意用户非法接入天地一体化网络获取网络服务或破坏系统，在用户接入网络之前，接入网络需要对用户的合法性进行认证。天地一体化网络的接入认证方法的设计成为天地一体化网络研究和发展过程中的尤为重要的一步。

天地一体化网络接入认证技术用来防止恶意用户非法接入网络以保护开放环境中通信系统的安全。接入认证的目的是确保接入网络的用户是合法的授权用户，而不是非法用户或未注册过的用户。而天地一体化信息网络存在结构复杂、异构动态、间歇连通、高延时等特点，当前地面网络的认证机制无法直接应用，其频繁切换导致的交互次数增加以及高延时带来的通信时延增加将严重影响用户的通信质量。同时目前基于天地一体化网络的接入认证也无法更精细、多层次、多维度地认证用户。因此，亟需一种基于天地一体化网络的接入认证方法解决现有接入认证方法的缺陷。

发明内容

有鉴于此，本发明实施例提供了一种基于天地一体化网络的认证鉴权方法、装置及系统，以解决现有技术中基于天地一体化网络的接入认证无法更精细、多层次、多维度地认证用户的技术问题。

本发明提出的技术方案如下：

本发明实施例第一方面提供一种基于天地一体化网络的认证鉴权方法，该认证鉴权方法包括：获取申请入网的用户的身份信息；根据用户的身份信息为用户分配用户接入设备以及用户权限，将用户接入设备信息和用户权限保存；接收用户根据用户接入设备和用户指纹、用户名和密码以及用户名和证书密码中的任意一组或多组发送的认证请求数据；根据所述认证请求数据判断用户是否为合法用户；当用户为合法用户时，将为用户分配的路由标识信息保存，并将生成的认证结果发送至用户。

进一步地，该基于天地一体化网络的认证鉴权方法还包括：接收用户根据所述用户接入设备发送的通信数据包；根据所述通信数据包查找用户的用户权限和服务权限；根据所述用户权限和服务权限进行通信。

进一步地，该基于天地一体化网络的认证鉴权方法还包括：将用户接入设备信息、用户权限以及相应的标识信息发送至邻近网络节点；根据邻近网络节点接收的信息实现用户的通信；当通信完成后，删除用户接入设备信息、用户权限以及相应的标识信息。

进一步地，根据所述认证请求数据判断用户是否为合法用户，包括：根据所述认证请求数据随机生成时间戳，将所述时间戳和认证请求数据加密后发送至用户；接收用户根据加密后的数据确认网络安全后生成的请求数据，所述请求数据为用户根据用户密码加密生成；根据所述请求数据中的用户密码信息判断用户是否为合法用户；当所述用户密码信息和保存的用户接入设备中的密码信息一致时，判断用户为合法用户。

进一步地，当用户为合法用户时，将为用户分配的路由标识信息保存，并将生成的认证结果发送至用户，包括：当用户为合法用户时，根据所述认证请求数据中地址信息为用户分配路由标识信息；根据所述用户接入设备中的接入标识和路由标识信息生成标识映射并保存；将根据合法用户生成的认证结果发送至用户。

进一步地，根据所述通信数据包查找用户的用户权限和服务权限，包括：根据所述通信数据包中的接入标识查找相应的路由标识信息和服务权限；当查询到相应的路由标识信息和服务权限后，根据所述通信数据包中的接入标识确定发送通信数据包的用户的权限；判断所述用户的权限是否满足所述服务权限；当满足所述服务权限时，将所述服务权限和用户的权限发送至核心网端。

本发明实施例第二方面提供一种基于天地一体化网络的认证鉴权装置，该认证鉴权装置包括：信息获取模块，用于获取申请入网的用户的身份信息；设备分配模块，用于根据用户的身份信息为用户分配用户接入设备以及用户权限，将用户接入设备信息和用户权限保存；认证请求模块，用于接收用户根据用户接入设备和用户指纹、用户名和密码以及用户名和证书密码中的任意一组或多组发送的认证请求数据；合法判断模块，用于根据所述认证请求数据判断用户是否为合法用户；路由分配模块，用于当用户为合法用户时，将为用户分配的路由标识信息保存，并将生成的认证结果发送至用户。

本发明实施例第三方面提供一种基于天地一体化网络的认证鉴权系统，该认证鉴权系统包括：认证鉴权服务器、标识映射服务器及认证鉴权用户端，所述认证鉴权用户端获取申请入网的用户的身份信息通过所述认证鉴权代理端发送至所述认证鉴权服务器；所述认证鉴权服务器根据用户的身份信息为用户分配用户接入设备以及用户权限，将用户接入设备信息和用户权限保存；所述认证鉴权服务器通过所述认证鉴权用户端接收用户根据用户接入设备和用户指纹、用户名和密码以及用户名和证书密码中的任意一组或多组发送的认证请求数据；根据所述认证请求数据判断用户是否为合法用户，当用户为合法用户时，向用户发送认证结果；根据认证结果为用户分配的路由标识信息保存至所述标识映射服务器。

本发明实施例第四方面提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使所述计算机执行如本发明实施例第一方面及第一方面任一项所述的基于天地一体化网络的认证鉴权方法。

本发明实施例第五方面提供一种电子设备，包括：存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行如本发明实施例第一方面及第一方面任一项所述的基于天地一体化网络的认证鉴权方法。

本发明提供的技术方案，具有如下效果：

本发明实施例提供的一种基于天地一体化网络的认证鉴权方法、装置及系统，通过用户注册过程，为每位用户分配了具有唯一用户接入标识的UTA设备，用户可以通过该设备完成后续用户的接入认证。在认证过程中，通过对用户接入标识的识别，为用户分配了用户可以在网络的核心网中使用的路由标识，并传递用户安全级别、用户类别等等信息，方便后续的分级分类管理。同时还实现了用户接入标识到路由标识的映射，从而保障了用户侧及网络侧的安全。

本发明实施例提供的一种基于天地一体化网络的认证鉴权方法、装置及系统，在用户认证时，需要提供UTA设备、指纹、用户名、密码、证书密码等多维属性进行认证，提升了网络安全性；同时采用用户唯一接入标识表示接入侧用户身份，路由标识表示网络侧用户位置身份，实现接入侧与网络侧的隔离；从而使得天地一体化信息网络具有更强的安全性能。

本发明实施例提供的一种基于天地一体化网络的认证鉴权方法、装置及系统，可以在用户通过注册和认证过程后，实现用户的安全业务通信。在用户进行业务通信时，可以根据缓存的映射条目实现用户身份的确认，从而实现用户与网络间信息的安全传输。因此，本发明实施例提供的基于天地一体化网络的认证鉴权方法及装置，只有用户完成正确的接入认证过程，网络才会为其后续的网络需求提供必要的资源，否则该用户将无法获取所需的网络服务。身份信息的双向认证使得网络中用户的身份信息的真实性得以保证，对网络安全事件追踪以及节点行为管控等具有重要意义。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例的基于天地一体化网络的认证鉴权方法的应用场景示意图；

图2是根据本发明实施例的基于天地一体化网络的认证鉴权方法的流程图；

图3是根据本发明另一实施例的基于天地一体化网络的认证鉴权方法的流程图；

图4是根据本发明另一实施例的基于天地一体化网络的认证鉴权方法的流程图；

图5是根据本发明实施例基于天地一体化网络的认证鉴权装置的结构框图；

图6是根据本发明另一实施例基于天地一体化网络的认证鉴权装置的结构框图；

图7是根据本发明另一实施例基于天地一体化网络的认证鉴权装置的结构框图；

图8是根据本发明实施例提供的计算机可读存储介质的结构示意图；

图9是根据本发明实施例提供的电子设备的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供的基于天地一体化网络的认证鉴权方法可以用于天地一体化网络的系统中进行用户身份认证。如图1所示，为本发明实施例的应用场景示意图。该系统可以设置认证鉴权服务器、标识映射服务器用于用户的身份认证。

在一实施例中，认证鉴权用户端获取申请入网的用户的身份信息发送至认证鉴权服务器；认证鉴权服务器根据用户的身份信息为用户分配用户接入设备以及用户权限，将用户接入设备信息和用户权限保存；之后可以通过认证鉴权用户端接收用户根据用户接入设备和用户指纹、用户名和密码以及用户名和证书密码中的任意一组或多组发送的认证请求数据；根据认证请求数据判断用户是否为合法用户，当用户为合法用户时，向用户发送认证结果；同时根据认证结果将为用户分配的路由标识信息保存至标识映射服务器。

在一实施例中，该系统还可以包括认证鉴权代理端，在进行身份认证时，认证鉴权用户端可以通过认证鉴权代理端与认证鉴权服务器进行通信。具体认证过程如下：认证鉴权用户端获取申请入网的用户的身份信息通过认证鉴权代理端发送至认证鉴权服务器；认证鉴权服务器根据用户的身份信息为用户分配用户接入设备以及用户权限，将用户接入设备信息和用户权限保存；认证鉴权代理端通过认证鉴权用户端接收用户根据用户接入设备和用户指纹、用户名和密码以及用户名和证书密码中的任意一组或多组发送的认证请求数据并发送至认证鉴权服务器；认证鉴权服务器根据所述认证请求数据判断用户是否为合法用户，当用户为合法用户时，向认证鉴权代理端发送认证结果；认证鉴权代理端根据认证结果将为用户分配的包含路由标识信息的认证结果发送至用户；标识映射服务器保存路由标识信息。

在一实施例中，用户认证中心的硬件部分可以采用国产龙芯或者飞腾系列处理器平台，目前相应系列的处理器单核主频已达到1G以上，经过深空测试的抗辐射处理器也达到了几百兆的处理能力，经过深空加固的硬件平台完全可以满足天基网络处理平台的需求。在操作系统的选型上，可以选用国产的锐华嵌入式操作系统，锐华嵌入式操作系统是嵌入式实时操作系统，目前已完成与多家硬件芯片的适配工作，包括龙芯、飞腾系列，该系统具有实时性强，便于裁剪，具有良好的扩展能力以及安全性能等。

本发明实施例提供一种基于天地一体化网络的认证鉴权方法，如图1及图2所示，该认证鉴权方法包括如下步骤：

步骤S101：获取申请入网的用户的身份信息；具体地，对于天地一体化网络，当用户申请加入网络时，首先要进行注册，即用户需要准备自己的身份信息例如姓名、性别、职位、住址、电话等通过认证鉴权用户端提供给该网络中的用户认证中心，其中，认证鉴权用户端会根据用户的身份信息生成用户属性信息通过标识交换路由器发送至认证鉴权服务器。同时，用户在注册过程中还需要设置相应的用户名和密码便于用户后续登录。

步骤S102：根据用户的身份信息为用户分配用户接入设备和用户权限，将用户接入设备信息和用户权限保存；具体地，当认证鉴权服务器收到根据用户的身份信息生成的用户属性信息时，认证鉴权服务器的注册模块可以为该用户分配上网所需的UTA设备，同时根据用户身份及特殊性为该用户制定用户权限。当分配好后，认证鉴权服务器的数据库模块可以将用户属性信息、UTA设备信息以及用户权限构成的用户接入标识进行存储，并将分配的UTA设备发送至用户。该UTA设备中包含用户对应的用户接入标识信息。当用户收到UTA设备之后就完成了用户注册过程。

可选地，用户接入标识(AID)报文格式可以包括2^m比特长度，覆盖接入网中所有的用户节点，用户接入标识通过不同的标识前缀区分不同的用户信息，每个用户拥有唯一一个与其他用户不相同的标识。接入标识采用层次化命名结构，如表1所示。

表1

n比特	(2<sup>m－1</sup>－n)比特	2<sup>m－1</sup>比特
			全局接入前缀	用户归属域	用户标识码

其中，全局接入前缀为第一级，其长度为n(1≤n≤2^m－1)比特，用以表示用户类型，例如可以分为军用和民用，同时也可以根据天地一体化网络的具体应用场景分为不同的用户类型。用户归属域为第二级，其长度为(2^m－1－n)比特，用于表示用户接入组织的信息，例如可以是党政军或者国有企业等。用户标识码为第三级，其长度为2^m－1比特，用于表示用户接入的信息，由接入组织自行分配。具体分配规则可以根据用户提供的身份信息性质，为每位用户生成不同的用户接入标识。

步骤S103：接收用户根据用户接入设备和用户指纹、用户名和密码以及用户名和证书密码中的任意一组或多组发送的认证请求数据；具体地，当完成用户注册过程后，为了使用户和网络之间建立一个互信的网络通信环境，用户与网络间还必须完成身份认证过程，才能进行正常的通信。否则，双方都会认为对方是虚假或冒充的，而不能进行任何后续的数据通信。

具体地，在身份认证过程中，用户可以通过认证鉴权用户端向认证鉴权代理端发送认证请求数据。其中，UTA设备设置指纹解锁功能，用户需要指纹将UTA设备解锁后，将UTA设备连接认证鉴权用户端；用户还可以通过输入注册时设置的用户名和密码完成登录过程，或者通过用户名以及收到的UTA设备对应的证书密码进行登录。此外，还可以根据安全需求的需要，设置用户需要采用用户接入设备和用户指纹、用户名和密码以及用户名和证书密码任意两组或所有信息进行登录。本发明对此不做限定。之后认证鉴权用户端会根据用户的登录信息以及相应的UTA设备信息如用户权限信息等生成认证请求数据，并将其发送给认证鉴权代理端如标识交换路由器IDSR。

可选地，认证请求数据的数据包字段包括：R＿auth＝{IP|Hash_R|AID message|Flag…}，其中，IP是该用户终端设备的IP地址，Hash_R为对用户名密码的单向哈希值，即Hash_R＝H(用户名，密码)，AID message为该用户唯一身份标识，Flag为随机标记符。用户端利用UTA中的私钥信息对该消息进行签名。

步骤S104：根据认证请求数据判断用户是否为合法用户。

在一实施例中，当认证鉴权代理端接收到认证请求数据的数据包后，可以将该消息进行封装，并转发给认证鉴权服务器，进行用户认证。

在一实施例中，当认证鉴权服务器接收到R＿auth报文后，会随机生成一个时间戳，通过私钥加密后回复报文到认证鉴权代理端，并转发给认证鉴权用户端；当认证鉴权用户端收到报文后，利用公钥解密后检查Flag标记符，确认未被修改，保证网络安全后，使用私钥对用户密码进行加密处理后，生成请求数据通过认证鉴权代理端发送给认证鉴权服务器。

在一实施例中，当认证鉴权服务器接收到请求数据后，可以对其进行解密，将解密得到的密码信息哈希值和保存的用户接入设备中的经过加密运算后的密码信息进行对比，如果相同，则该用户为合法用户。否则，丢弃并通知网管。若该用户有效，则认证鉴权服务器将用户权限嵌套在认证结果消息中，并利用其私钥对认证结果消息进行签名，回复给认证鉴权代理端，完成双向认证全过程。

步骤S105：当用户为合法用户时，将为用户分配的路由标识信息保存，并将生成的认证结果发送至用户。

在一实施例中，当认证鉴权代理端接收到认证结果后时，查询其公钥并验证该消息，查看认证结果。如果该用户为合法用户，则通知标识映射服务器为其分配或更新相应的路由标识信息或路径标识信息，并将该用户对应的用户接入标识和地址信息与该路由标识信息的映射条目缓存在认证鉴权代理端，同时将映射条目保存在标识映射服务器。缓存条目可以是：{IP|AID message|RID message|用户权限|…}。之后，将认证结果消息发送给认证鉴权用户端。

在一实施例中，当认证鉴权用户端收到认证结果后，查询认证鉴权服务器的公钥，验证认证结果，完成对认证鉴权服务器的认证。认证通过后，则可以开始准备信息传输。

在一实施例中，根据不同的路由方式，标识映射服务器可以生成相应的路由标识信息或路径标识信息。其中，路由标识RID用于标识交换路由器之间的互联互通和用户数据在核心网的定位、寻址和数据转发。考虑到实际节点数目较少，将RID设计为16位寻址空间来标识不同网络节点，具体报文格式如表2所示。路由标识空间的前面3位表示节点类型，具体包括天基骨干节点(001表示)、天基接入节点(010表示)和地基节点(011表示)，其余预留。后面13位为真正的节点地址。

表2

3比特	13比特
		节点类型	节点地址

可选地，路径标识PID设定可以为2^h比特，设计2^h位寻址空间来标识不同传输路径，具体报文格式见表3。标识空间的前g位用于存储一些节点间可共享的元信息，如TTL等信息。第g－2g位留作保留字段，最后2^h－2g位用于标记流的随机生成标签。与接入标识AID或路由标识RID不同的是，路径标识PID以流为单位进行标识，因此不需要再对源和目的进行分别标识。

表3

g比特	g比特	2h－2g比特
			元信息	保留字段	流标签

具体地，当用户收到认证鉴权代理端发送的包含路由标识信息的认证结果后，就可以根据相应的UTA设备与路由标识信息通过天地一体化网络进行通信。

本发明实施例提供的基于天地一体化网络的认证鉴权方法，通过用户注册过程，为每位用户分配了具有唯一用户接入标识的UTA设备，用户可以通过该设备完成后续用户的接入认证。在认证过程中，通过对用户接入标识的识别，为用户分配了用户可以在网络的核心网中使用的路由标识，同时实现了用户接入标识到路由标识的映射，从而保障了用户侧及网络侧的安全。

本发明实施例提供的基于天地一体化网络的认证鉴权方法，在用户认证时，需要提供UTA设备、指纹、用户名、密码、证书密码等多维属性进行认证，提升了网络安全性；同时采用用户唯一接入标识表示接入侧用户身份，路由标识表示网络侧用户位置身份，实现接入侧与网络侧的隔离；从而使得天地一体化信息网络具有更强的安全性能。

本发明实施例提供的基于天地一体化网络的认证鉴权方法，运行于两种不同的标识空间：用户接入标识空间和网络路由标识空间。接入标识代表了节点的身份信息，只在接入网使用，而路由标识代表了终端的位置信息，只在核心网使用。该设计使得接入网的用户节点以接入标识发送认证请求，在路由标识网络空间实现了接入标识到路由标识的映射变换，若未经过接入标识到路由标识的映射变换，将不能在核心网进行路由和转发，反之亦然。

本发明实施例提供的基于天地一体化网络的认证鉴权方法，能够对注册天地一体化信息网络的用户进行统一的接入控制管理，实现认证鉴权协议的基础功能是否完整全面，是否支持合法用户的注册、认证操作，以及对非法用户的屏蔽功能。其中，用户注册功能通过管理员审核用户身份信息，将信息录入到后台服务器并将其导入UTA设备中，其次将该设备分发给该注册用户；用户认证功能通过终端提交AID、用户名和密码，并用数字证书加密、并传送给认证鉴权服务器，通过加解密的过程，服务器端将其与数据库条目比对来完成；非法用户屏蔽功能通过上述比对失败后终止接入请求来完成。

本发明实施例提供的基于天地一体化网络的认证鉴权方法，能够实现接入侧与网络侧隔离，实现认证鉴权协议的用户多元化控制、用户侧与网络侧的有效隔离、恶意主机的快速屏蔽。由于AID标识代表用户的身份信息，RID标识表示用户在核心网的位置信息。因此，恶意主机无法利用非法用户信息接入核心网，同时攻击者无法在核心网获取任何用户信息，保障了用户信息的安全性，实现了接入与核心的安全隔离。

本发明实施例提供的基于天地一体化网络的认证鉴权方法，支持用户高并发接入认证和低时延认证，实现认证鉴权协议的低时间复杂度，以及在大用户并发数和移动认证中实现延迟较低的性能。在大用户并发数情况下，认证鉴权协议是否能提供正常的接入服务，不至于导致卫星组网系统瘫痪。通过大量已经完成注册的用户虚拟机同时开启接入认证请求，以及虚拟机的实际认证结果来判断服务器以及协议是否有能力处理大量用户并发请求。

作为本发明实施例的一种可选的实施方式，如图1及图3所示，本发明实施例提供的基于天地一体化网络的认证鉴权方法，还包括如下步骤：

步骤S201：接收用户根据用户接入设备发送的通信数据包；当用户完成注册和认证过程后，则可以进行业务通信，实现网络服务的请求。具体地，用户根据用户接入设备登录认证鉴权用户端，进行网络服务请求，认证鉴权用户端可以根据网络服务请求和用户的登录信息生成通信数据包发送至认证鉴权代理端，该通信数据包可以包括网络五元组结构：{源AID|目的AID|源端口|目的端口|协议}。

步骤S202：根据通信数据包查找用户的用户权限和服务权限；具体地，当认证鉴权代理端收到该通信数据包后，可以从标识映射服务器保存的映射条目查找该源AID和目的AID对应的路由标识信息。此外，标识映射服务器还可以从数据库中查找用户所请求资源对应的服务权限，将查询到的路由标识信息和服务权限一并返回给认证鉴权代理端。

具体地，服务权限可将不同服务资源按不同等级分类，如表4所示。

表4服务权限制定

服务类别	服务等级
		文本	0
语音	1
		视频	3
……	……

当认证鉴权代理端收到相应的路由标识服务器和服务权限后，可以在认证鉴权服务器查询发送通信数据包的用户的权限，并判断该用户权限是否满足该业务请求的服务权限。当确定满足服务权限后，可以将{源RID|目的RID|用户权限|服务权限}这些信息发送给核心网端实现通信。

步骤S203：根据用户权限和服务权限进行通信。具体地，当用户认证中心获取到相关信息并发送至核心网端之后，就可以实现用户和核心网端的信息传输。

本发明实施例提供的基于天地一体化网络的认证鉴权方法，可以在用户通过注册和认证过程后，实现用户的安全业务通信。在用户进行业务通信时，可以根据缓存的映射条目实现用户身份的确认，从而实现用户与网络间信息的安全传输。因此，本发明实施例提供的基于天地一体化网络的认证鉴权方法，只有用户完成正确的接入认证过程，网络才会为其后续的网络需求提供必要的资源，否则该用户将无法获取所需的网络服务。身份信息的双向认证使得网络中接入的用户身份信息的真实性得以保证，对网络安全事件追踪以及节点行为管控等具有重要意义。

作为本发明实施例的一种可选的实施方式，如图4所示，本发明实施例提供的基于天地一体化网络的认证鉴权方法，还包括如下步骤：

步骤S301：将用户接入设备信息、用户权限以及相应的标识信息发送至邻近网络节点；具体地，由于该认证鉴权方法用于天地一体化网络，其中，认证鉴权服务器、认证鉴权代理端以及标识映射服务器均设置在卫星上，而卫星是在轨道上不断移动，某一时刻用户可能通过某一卫星进行通信，下一时刻这一卫星可能会发生移动，用户可能需要根据下一个移动过来的卫星进行通信。因此，当用户通过某一卫星上的认证鉴权服务器、认证鉴权代理端以及标识映射服务器进行注册认证后，该卫星可以将保存的信息按照邻居周期表发送至下一时刻的网络节点即卫星。

步骤S302：根据邻近网络节点接收的信息实现用户的通信；具体地，当邻近网络节点接收到相关信息后，可以将其进行缓存，当前一卫星移动之后，用户可以无间断的根据该邻近节点实现通信。同时，前一卫星中保存的信息可以删除。此外，当邻近网络节点接收到相关信息后预设时间内没有用户接入，则接收的相关信息失效。

步骤S303：当通信完成后，删除用户接入设备信息、用户权限以及相应的标识信息。具体地，当用户完成通信之后，可以在认证鉴权用户端进行退出下线操作；之后认证鉴权代理端会删除缓存的用户信息以及相应的映射条目。

本发明实施例提供的基于天地一体化网络的认证鉴权方法，采用了用户信息和位置分离的思想，在用户侧用户通过AID身份唯一标识进行路由，当接入网络侧时，通过IDSR映射关系，即：AID－RID转换过程。在网络侧，数据包通过RID路由标识进行路由，位于用户侧的攻击者无法获取用户的位置信息，而位于网络侧的攻击者无法获取RID对应的身份信息。另外，网络侧通过控制转发分离，实现数据的更高效灵活的传输。

作为本发明实施例的一种可选的实施方式，可以对按照本发明实施例提供的基于天地一体化网络的认证鉴权方法认证的天地一体化网络的安全性进行验证。具体验证采用的工具包括：天地一体化信息网络、恶意终端(如网络上常见的开源的DDoS攻击，地址攻击模拟工具包)以及网络流量监测工具(如NetXMS。它们有的是轻量级的，有的适用于Windows或Linux系统)。

其中，可以采用一个模拟恶意流量发生器来模拟恶意终端。恶意流量的产生方式很多，但是大部分恶意流量在发生时，都会在时间和空间上产生一定的特征。如宏观上表现出流量的突发性，直观上表现为网络流量波形图的尖刺形状。微观上表现为数据包的到达过程和数据包的发送时间呈现紧密，高发的特征。其主要表现在两方面：节点短时间产生大量流量以及报文内容或长度异常。造成的影响主要为IP地址空间的异常。例如在DDoS攻击发生时，会出现大量相同宿地址和端口的报文。在传输层上恶意流量表现在流量使用的协议和报文字段上。例如不同攻击报文会出现ACK字段等标志位的不同组合。而在应用层上，恶意流量主要表现为含有特定字段或负载的攻击。标识交换路由器可以将这些特点作为有效依据来判定各种流量。另外，国内外一些网站上会更新恶意流量黑名单列表，这也将成为一个重要的判定依据。

在验证时，恶意流量发生器可以产生多种恶意目的的数据包来攻击网络。主要表现为向标识交换路由器提出大量的认证请求，或向终端申请通信，或窃取，控制合法终端个体信息等行为。将一台或多台用户终端安装上述攻击工具包即可。另外使用目前现有开源的网络流量监测工具来跟踪网络流量变化，如NetXMS等。

在该实施例中，以接入标识(AID标识)为128比特、路由标识(RID标识)16比特、路径标识(PID标识)32比特为例，采用挑战－应答方式和基于AID信息的公钥查询机制，开展认鉴权方法的验证过程。具体验证过程如下：将天地一体化信息网络各节点上电，保持其正常运行状态。在流量监测软件上跟踪网络流量变化；将安装有模拟攻击工具包的终端设备作为模拟恶意终端接入天地一体化信息网络，对网络发起地址攻击，例如DDoS攻击；在认证鉴权代理端观察检测这些恶意数据包是否被丢弃，在流量监测软件上跟踪网络流量上观察网络流量变化，并检查它们是否窃取或控制了用户的个体信息。在核心网标识映射服务器中检测是否存在这些数据包对应的AID和RID绑定条目。

验证结果显示恶意终端数据包被拒绝分配RID或PID，不通过认证，网内合法用户信息不被窃取，控制中心有恶意终端信息记录，满足天地一体化网络的技术指标。同时在地址攻击，例如DDoS等攻击下网络仍可正常运作，不陷入瘫痪。

本发明实施例还提供一种基于天地一体化网络的认证鉴权装置，如图5所示，该认证鉴权装置包括：

信息获取模块10，用于获取申请入网的用户的身份信息；详细内容参见上述方法实施例中步骤S101的相关描述。

设备分配模块20，用于根据用户的身份信息为用户分配用户接入设备以及用户权限，将用户接入设备信息和用户权限保存；详细内容参见上述方法实施例中步骤S102的相关描述。

认证请求模块30，用于接收用户根据用户接入设备和用户指纹、用户名和密码以及用户名和证书密码中的任意一组或多组发送的认证请求数据；详细内容参见上述方法实施例中步骤S103的相关描述。

合法判断模块40，用于根据认证请求数据判断用户是否为合法用户；详细内容参见上述方法实施例中步骤S104的相关描述。

路由分配模块50，用于当用户为合法用户时，将为用户分配的路由标识信息保存，并将生成的认证结果发送至用户。详细内容参见上述方法实施例中步骤S105的相关描述。

本发明实施例提供的基于天地一体化网络的认证鉴权方法，通过用户注册过程，为每位用户分配了具有唯一用户接入标识的UTA设备，用户可以通过该设备完成后续用户的接入认证。在认证过程中，通过对用户接入标识的识别，为用户分配了用户可以在网络的核心网中使用的路由标识，同时实现了用户接入标识到路由标识的映射，从而保障了用户侧及网络侧的安全。

作为本发明实施例的一种可选的实施方式，如图6所示，该基于天地一体化网络的认证鉴权装置还包括：

通信数据接收模块21，用于接收用户根据所述用户接入设备和地址信息发送的通信数据包；详细内容参见上述方法实施例中步骤S201的相关描述。

权限确定模块22，用于根据所述通信数据包查找用户的用户权限和服务权限；详细内容参见上述方法实施例中步骤S202的相关描述。

通信模块23，用于根据用户权限和服务权限进行通信。详细内容参见上述方法实施例中步骤S203的相关描述。

作为本发明实施例的一种可选的实施方式，如图7所示，该基于天地一体化网络的认证鉴权装置还包括：

信息发送模块31，用于将用户接入设备信息、用户权限以及相应的标识信息发送至邻近网络节点；详细内容参见上述方法实施例中步骤S301的相关描述。

邻近节点通信模块32，用于根据邻近网络节点接收的信息实现用户的通信；详细内容参见上述方法实施例中步骤S302的相关描述。

退出模块33，用于当通信完成后，删除用户接入设备信息、用户权限以及相应的标识信息。详细内容参见上述方法实施例中步骤S303的相关描述。

本发明实施例提供的基于天地一体化网络的认证鉴权装置，可以在用户通过注册和认证过程后，实现用户的业务通信。在用户进行业务通信时，可以根据缓存的映射条目实现用户身份的确认，从而实现用户与网络间信息的安全传输。因此，本发明实施例提供的基于天地一体化网络的认证鉴权装置，只有用户完成正确的接入认证过程，网络才会为其后续的网络需求提供必要的资源，否则该用户将无法获取所需的网络服务。身份信息的双向认证使得网络中接入的用户身份信息的真实性得以保证，对网络安全事件追踪以及节点行为管控等具有重要意义。

本发明实施例提供的基于天地一体化网络的认证鉴权装置的功能描述详细参见上述实施例中基于天地一体化网络的认证鉴权方法描述。

本发明实施例还提供一种存储介质，如图8所示，其上存储有计算机程序601，该指令被处理器执行时实现上述实施例中的基于天地一体化网络的认证鉴权方法步骤。该存储介质上还存储有音视频流数据，特征帧数据、交互请求信令、加密数据以及预设数据大小等。其中，存储介质可为磁碟、光盘、只读存储记忆体(Read－Only Memory，ROM)、随机存储记忆体(Random Access Memory，RAM)、快闪存储器(Flash Memory)、硬盘(Hard DiskDrive，缩写：HDD)或固态硬盘(Solid－State Drive，SSD)等；所述存储介质还可以包括上述种类的存储器的组合。

本领域技术人员可以理解，实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述存储介质可为磁碟、光盘、只读存储记忆体(Read－Only Memory，ROM)、随机存储记忆体(Random AccessMemory，RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive，缩写：HDD)或固态硬盘(Solid－State Drive，SSD)等；所述存储介质还可以包括上述种类的存储器的组合。

本发明实施例还提供了一种电子设备，如图9所示，该电子设备可以包括处理器51和存储器52，其中处理器51和存储器52可以通过总线或者其他方式连接，图9中以通过总线连接为例。

处理器51可以为中央处理器(Central Processing Unit，CPU)。处理器51还可以为其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。

存储器52作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块，如本发明实施例中的对应的程序指令/模块。处理器51通过运行存储在存储器52中的非暂态软件程序、指令以及模块，从而执行处理器的各种功能应用以及数据处理，即实现上述方法实施例中的基于天地一体化网络的认证鉴权方法。

存储器52可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储处理器51所创建的数据等。此外，存储器52可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器52可选包括相对于处理器51远程设置的存储器，这些远程存储器可以通过网络连接至处理器51。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

所述一个或者多个模块存储在所述存储器52中，当被所述处理器51执行时，执行如图2－4所示实施例中的基于天地一体化网络的认证鉴权方法。

上述电子设备具体细节可以对应参阅图2至图4所示的实施例中对应的相关描述和效果进行理解，此处不再赘述。

虽然结合附图描述了本发明的实施例，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。

Claims (8)

1.一种基于天地一体化网络的认证鉴权方法，其特征在于，包括：

获取申请入网的用户的身份信息；

根据用户的身份信息为用户分配用户接入设备以及用户权限，将用户接入设备信息和用户权限保存；

接收用户根据用户接入设备和用户指纹、用户名和密码以及用户名和证书密码中的任意一组或多组发送的认证请求数据；

根据所述认证请求数据判断用户是否为合法用户；

当用户为合法用户时，将为用户分配的路由标识信息保存，并将生成的认证结果发送至用户；

接收用户根据所述用户接入设备发送的通信数据包；

根据所述通信数据包查找用户的用户权限和服务权限；

根据所述用户权限和服务权限进行通信；

将用户接入设备信息、用户权限以及相应的标识信息发送至邻近网络节点；

根据邻近网络节点接收的信息实现用户的通信；

当通信完成后，删除用户接入设备信息、用户权限以及相应的标识信息。

2.根据权利要求1所述的基于天地一体化网络的认证鉴权方法，其特征在于，根据所述认证请求数据判断用户是否为合法用户，包括：

根据所述认证请求数据随机生成时间戳，将所述时间戳和认证请求数据加密后发送至用户；

接收用户根据加密后的数据确认网络安全后生成的请求数据，所述请求数据为用户根据用户密码加密生成；

根据所述请求数据中的用户密码信息判断用户是否为合法用户；

当所述用户密码信息和保存的用户接入设备中的密码信息一致时，判断用户为合法用户。

3.根据权利要求1所述的基于天地一体化网络的认证鉴权方法，其特征在于，当用户为合法用户时，将为用户分配的路由标识信息保存，并将生成的认证结果发送至用户，包括：

当用户为合法用户时，根据所述认证请求数据中地址信息为用户分配路由标识信息；

根据所述用户接入设备中的接入标识和路由标识信息生成标识映射并保存；

将根据合法用户生成的认证结果发送至用户。

4.根据权利要求1所述的基于天地一体化网络的认证鉴权方法，其特征在于，根据所述通信数据包查找用户的用户权限和服务权限，包括：

根据所述通信数据包中的接入标识查找相应的路由标识信息和服务权限；

当查询到相应的路由标识信息和服务权限后，根据所述通信数据包中的接入标识确定发送通信数据包的用户的权限；

判断所述用户的权限是否满足所述服务权限；

当满足所述服务权限时，将所述服务权限和用户的权限发送至核心网端。

5.一种基于天地一体化网络的认证鉴权装置，其特征在于，包括：

信息获取模块，用于获取申请入网的用户的身份信息；

设备分配模块，用于根据用户的身份信息为用户分配用户接入设备以及用户权限，将用户接入设备信息和用户权限保存；

认证请求模块，用于接收用户根据用户接入设备和用户指纹、用户名和密码以及用户名和证书密码中的任意一组或多组发送的认证请求数据；

合法判断模块，用于根据所述认证请求数据判断用户是否为合法用户；

路由分配模块，用于当用户为合法用户时，将为用户分配的路由标识信息保存，并将生成的认证结果发送至用户；

通信数据接收模块，用于接收用户根据所述用户接入设备发送的通信数据包；

权限确定模块，用于根据所述通信数据包查找用户的用户权限和服务权限；

通信模块，用于根据所述用户权限和服务权限进行通信；

信息发送模块，用于将用户接入设备信息、用户权限以及相应的标识信息发送至邻近网络节点；

邻近节点通信模块，用于根据邻近网络节点接收的信息实现用户的通信；

退出模块，用于当通信完成后，删除用户接入设备信息、用户权限以及相应的标识信息。

6.一种基于天地一体化网络的认证鉴权系统，其特征在于，包括：认证鉴权服务器、标识映射服务器、认证鉴权用户端及认证鉴权代理端，

所述认证鉴权用户端获取申请入网的用户的身份信息发送至所述认证鉴权服务器；

所述认证鉴权服务器根据用户的身份信息为用户分配用户接入设备以及用户权限，将用户接入设备信息和用户权限保存；

所述认证鉴权服务器通过所述认证鉴权用户端接收用户根据用户接入设备和用户指纹、用户名和密码以及用户名和证书密码中的任意一组或多组发送的认证请求数据；根据所述认证请求数据判断用户是否为合法用户，当用户为合法用户时，向用户发送认证结果；根据认证结果将为用户分配的路由标识信息保存至所述标识映射服务器；

所述认证鉴权代理端接收用户根据所述用户接入设备发送的通信数据包；根据所述通信数据包查找用户的用户权限和服务权限；根据所述用户权限和服务权限进行通信；将用户接入设备信息、用户权限以及相应的标识信息发送至邻近网络节点；根据邻近网络节点接收的信息实现用户的通信；当通信完成后，删除用户接入设备信息、用户权限以及相应的标识信息。

7.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使所述计算机执行如权利要求1－4任一项所述的基于天地一体化网络的认证鉴权方法。

8.一种电子设备，其特征在于，包括：存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行如权利要求1－4任一项所述的基于天地一体化网络的认证鉴权方法。

Images