CN112235792A - 一种多类型终端接入与切换认证方法、系统、设备及应用 - Google Patents
一种多类型终端接入与切换认证方法、系统、设备及应用 Download PDFInfo
- Publication number
- CN112235792A CN112235792A CN202010970241.4A CN202010970241A CN112235792A CN 112235792 A CN112235792 A CN 112235792A CN 202010970241 A CN202010970241 A CN 202010970241A CN 112235792 A CN112235792 A CN 112235792A
- Authority
- CN
- China
- Prior art keywords
- terminal
- authentication
- access
- satellite
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/20—Selecting an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/06—Airborne or Satellite Networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Astronomy & Astrophysics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明属于通信网络安全技术领域,公开了一种多类型终端接入与切换认证方法、系统、设备及应用,实体注册;基于地基的普通终端接入认证;基于天基的特殊终端接入认证;Ka终端接入认证;终端切换认证。本发明针对普通终端可以通过执行基于地基的普通终端接入认证过程安全、高效地接入地面网络;针对重要/高速用户等类型的特殊终端可采用基于天基的特殊终端接入认证过程通过提前预置认证向量而无需归属网络参与的情况下快速接入网络,避免由于归属网络故障而无法提供网络服务等问题;针对Ka终端采用基于Ka终端的接入认证过程保障Ka终端接入网络的高可靠性,极大地提高了接入认证效率,实现了多种不同类型终端的接入认证与切换。
Description
技术领域
本发明属于通信网络安全技术领域,尤其涉及一种多类型终端接入与切换认证方法、系统、设备及应用。
背景技术
目前,随着5G通信技术的普及以及物联网设备的高速增长,人们对于移动通信业务的需求不断提升,通过卫星通信网络来覆盖山区、远洋等特殊通信场景,构建卫星网络与地面网络融合的信息网络,有利于实现全球信息网络的深度互连。在现有卫星通信系统中,铱星(Iridium)系统是早期较为成熟的卫星通信系统,铱星系统属于低轨道卫星移动通信系统,由Motorola提出并主导建设,由分布在6个轨道平面上的66颗卫星组成,这些卫星均匀的分布在6个轨道面上,轨道高度为780km。主要为个人用户提供全球范围内的移动通信,采用地面集中控制方式,具有星际链路、星上处理和星上交换功能。铱星系统除了提供电话业务外,还提供传真、全球定位(GPS)、无线电定位以及全球寻呼业务。此外,由美国SpaceX公司推出的星链计划,计划在2019年至2024年间在太空搭建由约1.2万颗卫星组成的“星链”网络,其中1584颗将部署在地球上空550千米处的近地轨道,并从2020年开始工作。与此同时,国内正在开展的虹云工程计划发射156颗卫星,它们在距离地面1000公里的轨道上组网运行,致力于构建一个星载宽带全球移动互联网络。在此背景下,如何保证不同类型终端的高效安全接入、移动终端无缝安全切换成为了当前研究重点。
目前,适用于卫星网络的终端接入与切换认证主要面临以下挑战:
(1)卫星通信采用开放链路通信,任何网络实体都可以对通信内容进行监听、篡改和伪造,甚至伪装成合法用户进行非授权访问,进而进行信息窃取,发动网络攻击等。
(2)由于星地通信距离远,卫星通信网络传输时延相对传统通信系统而言将大大增加,需要在尽可能低的交互轮次的前提下完成双向认证,减少交互次数,降低认证时延。
(3)针对不同类型的终端,需要设计差异化的认证协议来保证终端的高效接入认证,减少信令开销。具体地,针对普通终端,需设计安全、高效的接入认证机制确保普通终端接入地面网络;针对重要/高速终端,需设计特殊的接入认证机制减少认证时延,确保终端快速可靠地接入地面网络;针对Ka终端,需设计强安全性的接入认证机制,确保Ka终端安全地接入地面网络。
(4)目前的卫星网络认证标准大多基于地面4G/5G网络认证协议改进,存在一些安全漏洞,例如未实现密钥的完全前向、后向安全以及前、后密钥分离,无法保证终端安全、高效的接入网络和终端的无缝安全切换,要克服当前接入和切换认证安全协议缺陷的同时,实现多类型终端的安全高效地接入与无缝切换。
通过上述分析,现有技术存在的问题及缺陷为:
(1)目前卫星通信采用开放链路通信,任何网络实体都可以对通信内容进行监听、篡改和伪造,甚至伪装成合法用户进行非授权访问,进行信息窃取,发动网络攻击等。
(2)目前卫星通信认证机制存在交互次数较多,认证时延过长等问题。
(3)目前卫星通信网络采用的认证机制存在安全漏洞,例如未实现密钥的完全前向、后向安全以及前、后密钥分离,无法保证终端安全、高效的接入网络和终端的无缝安全切换等问题。
解决以上问题及缺陷的难度为:
(1)如何设计普通终端的接入认证方案,在保障安全性的前提下尽量减少认证开销。
(2)如何保障某些重要/高速等类型的特殊终端在不依赖于归属网络的情况下的快速认证,且避免归属网络故障等影响。
(3)如何保障Ka终端通过天基骨干网节点接入网络的高安全性。
(4)如何设计多类型终端切换认证方案,保障终端网络服务的连续性。
(5)如何确保认证过程中终端身份信息的隐私性,防止隐私泄漏。
(6)如何保障卫星网络通信数据的强机密性至关重要。
解决以上问题及缺陷的意义为:设计适合于卫星网络多类型终端的接入与切换认证方法,保障普通终端、特殊终端、Ka终端等实体安全、高效的接入网络,且同时保障移动过程中终端网络服务的连续性,为未来卫星网络与地面网络融合提供可靠的安全支撑。
发明内容
针对现有技术存在的问题,本发明提供了一种多类型终端接入与切换认证方法、系统、设备及应用。
本发明是这样实现的,一种多类型终端接入与切换认证方法,所述多类型终端接入与切换认证方法包括:
普通终端、特殊终端以及Ka终端实体与实体身份管理系统交互执行实体注册流程,完成实体注册;
在完成终端注册流程之后,普通终端通过执行基于地基的普通终端接入认证流程接入地面网络;
在完成终端注册流程之后,对于重要/高速用户类型的特殊终端通过向拜访网络中的地基节点提前预置认证向量的方式执行基于天基的特殊终端接入认证流程快速接入地面网络;
在完成Ka终端的注册流程之后,Ka频段终端通过执行Ka终端接入认证流程接入地面网络;
接入网络后,由于卫星节点和终端的移动性,终端通过执行移动安全切换流程完成不同卫星间的切换。
进一步,实体注册流程具体包括:在终端注册之前,实体身份管理系统选择一个椭圆曲线E以及E上的循环群G,其中G的生成元为P,阶为q,实体身份管理系统选择sk∈Zq作为私钥,公钥pk=sk*P,实体注册过程针对不同类型的终端具体包括以下两种不同的注册流程:
1)普通终端和特殊终端通过注册机或写卡器与实体身份管理系统交互完成注册流程;
(1)注册机向实体身份管理系统发送注册请求;
(2)实体身份管理系统为每个终端生成身份标识ID,同时为终端生成预置密钥K以及生成认证管理域标识AMF,并通过安全信道将ID||K||AMF||pk作为响应发送至注册机;
(3)注册机离线将ID||K||AMF||pk写入终端的密码模块,完成终端注册流程;
2)Ka终端注册流程:
(1)Ka终端向实体身份管理系统发送注册请求;
(2)实体身份管理系统收到注册请求消息后,生成Ka终端的永久身份标识ID和公私钥,同时为Ka终端生成证书,证书内容包含终端ID、Ka终端公钥信息、实体身份管理系统公钥pk等;
(3)实体身份管理系统将证书包含在注册响应中发送至Ka终端。
进一步,基于地基的普通终端接入认证流程具体包括:
(1)终端选择一个随机数a∈Zq,计算A=a*P以及D=a*pk,随后终端采用D执行对称加密算法加密其身份标识ID以及新生成的随机数R1获得cID,终端将cID以及A发送给卫星节点,卫星节点将收到数据包转发至地基节点;
(2)地基节点将cID、A以及其访问域身份标识SNID发送至接入认证系统,随后由接入认证系统转发至实体身份管理系统;
(3)实体身份管理系统收到认证请求消息后,计算D=A*sk,利用D解密获得终端的永久身份标识ID以及随机数R1;
(4)随后,实体身份管理系统判断ID的合法性并查找终端相应的主密钥K,同时选择随机数R2,计算MAC=f1(K,AMF,R1||R2,SNID)、XRES=f2(K,R1||R2,SNID)、CK=f3(K,R1||R2)、IK=f4(K,R1||R2),其中AMF为认证管理域,共由十五位十进制数进行标识,其前五位用于标识服务网络,即SNID,实体身份管理系统利用CK、IK、SNID以及密钥导出函数KDF生成KAMF=KDF(SNID,CK||IK,R1||R2);
(5)实体身份管理系统将认证向量AV=A||R1||R2||XRES||KAMF||AUTN发送至接入认证系统,其中AUTN=AMF||MAC;
(6)接入认证系统收到向量AV后,计算HXRES=KDF(R1,XRES),AV′=A||R1||R2||HXRES||KAMF||AUTN,然后将AV′转发至地基节点;
(7)收到AV′后,地基节点选择一个随机数b∈Zq,计算B=b*P和C=b*A。然后,地基节点计算密钥KSat=KDF(R2,KAMF,B||C),HMAC=KDF(R1,A||B||C,MAC),TID=h(R2,ID),AUTN′=AMF||HMAC。同时生成AV″=TID||B||R1||R2||HXRES||KSat||AUTN′,并且将AV″转发至卫星;
(8)卫星收到应答后,存储AV″,发送认证请求B||R2||AUTN′到终端;
(9)终端收到认证请求后,计算C=B*a,XMAC=f1(K,AMF,R1||R2,SNID)、RES=f2(K,R1||R2,SNID)、CK=f3(K,R1||R2)、IK=f4(K,R1||R2),终端提取AUTN′中的HMAC,计算HXMAC=KDF(R1,A||B||C,XMAC),比较HXMAC和HMAC是否相等;如果相等,则计算KAMF=KDF(SNID,CK||IK,R1||R2)、KSat=KDF(R2,KAMF,B||C),终端临时标识TID=h(R2,ID),并将RES传输给卫星;
(10)卫星收到消息后,首先计算HRES=KDF(R1,RES),并且将HRES与从AV″中提取出的HXRES进行比较,如果一致,则通过认证,卫星继续将RES转发至接入认证系统;
(11)接入认证系统收到消息后,验证RES是否与从AV中提取出的XRES相同,如果相同,则验证通过,该终端成功接入网络;认证完成后,卫星采用终端的临时标识TID识别终端,且卫星与终端将KSat作为基础密钥,根据密钥衍生算法推演出随后空口信令和数据保护的加密密钥与完整性保护密钥,随后进行保密通信。
进一步,基于天基的特殊终端接入认证流程如下:
首先,针对重要/高速用户特殊终端,地基节点首先同接入认证系统交互为每个终端预置认证向量,预置向量过程如下:
(1)为减少信令开销可以每次为多个终端进行预置,地基节点发送预置请求(IDA||IDB||...IDM||R1)至接入认证系统,接入认证系统为每个终端执行单独的认证向量生成过程,单每个终端的多组认证向量中随机数R2不同,不同终端同一组认证向量中R2可以相同,实体身份管理系统收到接入认证系统转发的认证请求(IDA||IDB||...IDM||R1)后,为每个终端生成多组认证向量AVs=(ID||R21||XRES1||KAMF1||AUTN1,...,R2n||XRESn||KAMFn||AUTNn)转发至接入认证系统,其中AUTN=AMF||MAC;
(2)接入认证系统在收到认证向量组AVs后,为向量组中每个认证向量AV计算HXRES=KDF(R1,XRES),AV′=R2||HXRES||KAMF||AUTN,然后将每个AV′组合成AVs′转发至地基节点;
(3)地基节点收到认证向量AVs′后,进行储存,并向接入认证系统返回确认响应,完成认证向量预置流程;
在特殊终端接入卫星网络之前,实体身份管理系统给每个地基节点分发了公私钥(skg,pkg=skg*P)以及包含公钥pkg在内的证书,卫星节点广播包含其所属的地基节点的证书;特殊终端获取到地基节点的证书后,采用实体身份管理系统的公钥验证证书的有效性并从证书中提取出地基节点的公钥pkg;
然后,当特殊终端接入卫星网络时,执行如下的基于天基的特殊终端接入认证流程:
(1)终端选择一个随机数a∈Zq,计算A=a*P以及D=a*pkg,随后终端采用D执行对称加密算法加密其身份标识ID获得cID,终端将cID以及A发送给卫星节点,卫星节点将收到数据包转发至地基节点;
(2)地基节点收到认证请求后,从中选取任一认证向量AV′,计算D=A*skg,利用D解密获得终端身份标识ID,然后选择一个随机数b∈Zq,计算B=b*P和C=b*A,KSat=KDF(R2,KAMF,B||C),然后从AUTN中提取MAC,计算HMAC=KDF(R1,A||B||C,MAC),AUTN′=AMF||HMAC,TID=h(R2,ID),生成终端认证向量AV″=TID||B||R1||R2||HXRES||KSat||AUTN′并作为认证授权响应发送至卫星节点;
(3)卫星节点收到认证向量AV″后,提取(B||R1||R2,AUTN′)作为认证响应发送至终端;
(4)收到认证响应后,终端计算C=B*a,XMAC=f1(K,AMF,R1||R2,SNID)、RES=f2(K,R1||R2,SNID)、CK=f3(K,R1||R2)、IK=f4(K,R1||R2),并对HMAC进行验证,验证完成后,终端计算KAMF=KDF(SNID,CK||IK,R1||R2)、KSat=KDF(R2,KAMF,B||C),并将RES发送至卫星;
(5)卫星计算HRES=KDF(R1,RES),并与从AV″中提取的HXRES进行比较,若一致,则向接入认证系统发送认证确认消息,完成终端接入认证流程;若不一致,则拒绝终端接入。
进一步,Ka终端接入认证流程具体包含以下步骤:
(1)Ka终端首先选择一个随机数a∈Zq,计算A=a*P,然后将自己的身份信息ID和新生成的随机数R1采用实体身份管理系统的公钥pk进行加密得到密文C1,并利用自己的私钥对密文和A进行签名得到Sign(C1,A);Ka终端将密文C1、A和签名Sign(C1,A)作为认证请求发送给天基骨干网节点;
(2)天基骨干网节点通过地基节点转发认证请求及SNID至接入认证系统,接入认证系统转发至实体身份管理系统;
(3)实体身份管理系统利用自己的私钥解密得到ID和随机数R1,随后,根据ID找到终端证书,并且利用证书中的公钥对签名进行验证,验证成功后,实体身份管理系统生成一个随机数R2,计算MAC=h(R1||R2),利用R1加密R2得到c2,并且计算XRES=f2(SNID,R1||R2),最后,实体身份管理系统将c2||MAC||R1||R2||A||XRES发送给接入认证系统;
(4)接入认证系统计算HXRES=KDF(R1,XRES),将c2||MAC||R1||A||HXRES发送给地基节点;
(5)地基节点选择一个随机数b∈Zq,计算B=b*P和C=b*A,然后计算HMAC=KDF(R1,A||B||C,MAC),将c2||B||R1||HXRES||HMAC发送给天基骨干网节点;
(6)天基骨干网节点将c2||B||HMAC发送给Ka终端;
(7)Ka终端利用R1解密c2获得R2,计算C=a*B,验证HMAC的有效性;若验证成功,则Ka终端向天基骨干网节点发送认证成功消息RES=f2(SNID,R1||R2);
(8)天基骨干网节点计算HRES=KDF(R1,RES),比较HXRES与HRES。比较成功后,天基骨干网节点将RES发送给地基节点,地基节点转发给接入认证系统;
(9)接入认证系统收到认证成功消息后,验证RES=f2(SNID,R1||R2)。验证成功后,接入认证系统将R2通过安全通道发送给地基节点;
(10)地基节点计算密钥KAMF=KDF(SNID,R2,R1),Ksat=KDF(R2,KAMF,B||C),终端临时标识TID=h(R2,ID),随后,地基节点将TID,Ksat发送至天基骨干网节点;
(11)与此同时,Ka终端也利用R2派生出KAMF=KDF(SNID,R2,R1),Ksat=KDF(R2,KAMF,B||C),最后,Ka终端与天基骨干网节点根据约定的算法基于Ksat推演出随后空口信令和数据保护的加密密钥与完整性保护密钥,随后进行保密通信。
进一步,移动安全切换流程具体包含以下步骤:
1)预切换认证过程:
(1)在发生切换前,当终端监测到信号变弱即将无法提供平滑通信时,终端向当前提供通信服务的卫星发送预切换请求消息,预切换请求消息包括终端临时身份标识TID以及终端新生成的随机数R1、A=a*P以及mac=h(KAMF,TID,A,R1),其中a∈Zq;
(2)源卫星转发预切换请求消息给移动切换安全服务系统;
(3)移动切换安全服务系统验证mac的有效性,验证成功后,结合终端的位置信息、终端归属网络、拜访网络信息、卫星轨迹有效信息预测出终端即将接入的下一个卫星节点,并且生成相应的认证向量,提前发送给目标节点,生成认证向量过程为:移动切换安全服务系统选择一个随机值R2和一个随机数b∈Zq,计算B=b*P和C=b*A,然后计算KSat=KDF(R2,KAMF,B||C)XRES=f2(SNID,KAMF,R1||R2),MAC=f1(KAMF,AMF,R1||R2,SNID),HMAC=KDF(R1,A||B||C,MAC),TID*=h(R2,ID),最后,移动切换安全服务系统将TID、TID*、KSat、XRES、HMAC、B、R2通过已经组网建立好的安全通道发送给目标卫星;
2)安全切换过程如下:
(1)当切换触发后,终端向目标卫星发送自己当前的用户临时身份信息TID请求接入目标卫星网络;
(2)卫星收到用户的切换请求消息后,将B||HMAC||R2值发送给终端;
(3)终端收到后,利用存储的长期密钥KAMF和收到的R2值,计算C=B*a,KSat=KDF(R2,KAMF,B||C)并验证接收到的HMAC值是否正确,如果验证通过,则终端成功认证卫星,最后,终端计算RES=f2(SNID,KAMF,R1||R2)并将RES传输给卫星;
(4)卫星将收到的RES与本地XRES进行比较,如果一致,则通过认证;完成移动安全切换过程之后,目标卫星采用TID*标识终端且目标卫星与终端将此次生成的Ksat作为基础密钥,根据约定的算法推演出随后空口信令和数据保护的加密密钥与完整性保护密钥,随后进行保密通信。
本发明的另一目的在于提供一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如下步骤:
普通终端、特殊终端以及Ka终端实体与实体身份管理系统交互执行实体注册流程,完成实体注册;
在完成终端注册流程之后,普通终端通过执行基于地基的普通终端接入认证流程接入地面网络;
在完成终端注册流程之后,对于重要/高速用户类型的特殊终端通过向拜访网络中的地基节点提前预置认证向量的方式执行基于天基的特殊终端接入认证流程快速接入地面网络;
在完成Ka终端的注册流程之后,Ka频段终端通过执行Ka终端接入认证流程接入地面网络;
接入网络后,由于卫星节点和终端的移动性,终端通过执行移动安全切换流程完成不同卫星间的切换。
本发明的另一目的在于提供一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如下步骤:
普通终端、特殊终端以及Ka终端实体与实体身份管理系统交互执行实体注册流程,完成实体注册;
在完成终端注册流程之后,普通终端通过执行基于地基的普通终端接入认证流程接入地面网络;
在完成终端注册流程之后,对于重要/高速用户类型的特殊终端通过向拜访网络中的地基节点提前预置认证向量的方式执行基于天基的特殊终端接入认证流程快速接入地面网络;
在完成Ka终端的注册流程之后,Ka频段终端通过执行Ka终端接入认证流程接入地面网络;
接入网络后,由于卫星节点和终端的移动性,终端通过执行移动安全切换流程完成不同卫星间的切换。
本发明的另一目的在于提供一种实施所述多类型终端接入与切换认证方法的多类型终端接入与切换认证系统,所述多类型终端接入与切换认证系统包括:
身份注册模块,用于实体身份注册;
普通终端接入认证模块,用于实现基于地基的普通终端接入认证;
特殊终端接入认证模块,用于实现基于天基的特殊终端接入认证;
Ka终端接入认证模块,用于实现Ka终端接入认证;
终端移动安全切换认证模块,用于实现终端移动安全切换认证。
本发明的另一目的在于提供一种适用于卫星网络的多类型终端,所述适用于卫星网络的多类型终端安装有所述的多类型终端接入与切换认证系统。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:接入卫星通信网络的普通终端/特殊终端/Ka终端设备,将利用提前预置的密钥/证书通过特定的协议完成接入认证流程,当需要发生移动切换时,也将通过特定的协议完成通信的无缝安全切换。
本发明针对不同类型的终端,分别设计了适用于卫星网络场景下的终端接入与切换认证方法。具体如下:a)针对普通终端,设计了基于地基的普通终端接入认证机制,基于预共享密钥的方式完成相互认证与密钥协商;b)针对重要/高速用户等特殊终端,设计了基于天基的特殊终端接入认证机制,基于预共享密钥以及提前预置认证向量的方式来实现特殊终端的快速接入认证;c)针对Ka终端,设计了基于Ka终端的接入认证机制,基于公钥证书方式保障Ka终端安全可靠的接入网络。d)此外,为保障终端和卫星节点移动过程中,终端网络服务的连续性,设计了终端移动安全切换机制。
本发明提出的多类型终端接入认证机制,可以保证双向认证的前提下实现匿名性和不可链路性、完全前向、后向安全,能够抵抗重放、中间人等多种攻击方式。本发明中所述的终端接入认证方法,认证双方在每次认证过程中,通过生成各自的随机数来保证协议可以抵抗重放攻击,相较于采用序列号SQN的方式降低了存储开销,更加适用于卫星通信网络场景。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的多类型终端接入与切换认证方法流程图。
图2是本发明实施例提供的多类型终端接入与切换认证系统的结构示意图;
图2中:1、身份注册模块;2、普通终端接入认证模块;3、特殊终端接入认证模块;4、Ka终端接入认证模块;5、终端移动安全切换认证模块。
图3是本发明实施例提供的卫星网络部署图。
图4是本发明实施例提供的实体注册流程中普通/特殊终端注册流程图。
图5是本发明实施例提供的实体注册流程中Ka终端注册流程图。
图6是本发明实施例提供的基于地基的普通终端接入认证过程图。
图7是本发明实施例提供的基于天基的特殊终端认证向量预置过程图。
图8是本发明实施例提供的基于天基的特殊终端接入认证过程图。
图9是本发明实施例提供的Ka终端接入认证过程图。
图10是本发明实施例提供的终端无缝安全切换过程图。
图11是本发明实施例提供的普通终端/特殊终端接入过程中网络侧认证向量导出过程图。
图12是本发明实施例提供的普通终端/特殊终端接入过程中终端侧认证向量导出过程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种多类型终端接入与切换认证方法、系统、设备及应用,下面结合附图对本发明作详细的描述。
如图1所示,本发明提供的多类型终端接入与切换认证方法包括以下步骤:
S101:普通终端、特殊终端以及Ka终端等实体与实体身份管理系统交互执行实体注册流程,完成实体注册。
S102:在完成终端注册流程之后,普通终端可以通过执行基于地基的普通终端接入认证流程接入地面网络。
S103:在完成终端注册流程之后,对于重要/高速用户等类型的特殊终端可以通过向拜访网络中的地基节点提前预置认证向量的方式执行基于天基的特殊终端接入认证流程快速接入地面网络。
S104:在完成Ka终端的注册流程之后,Ka频段终端可以通过执行Ka终端接入认证流程接入地面网络。
S105:接入网络后,由于卫星节点和终端的移动性,终端通过执行移动安全切换流程完成不同卫星间的切换,保障网络服务的连续性。
本发明提供的多类型终端接入与切换认证方法业内的普通技术人员还可以采用其他的步骤实施,图1的本发明提供的多类型终端接入与切换认证方法仅仅是一个具体实施例而已。
如图2所示,本发明提供的多类型终端接入与切换认证系统包括:
身份注册模块1,用于实体身份注册;
普通终端接入认证模块2,用于实现基于地基的普通终端接入认证;
特殊终端接入认证模块3,用于实现基于天基的特殊终端接入认证;
Ka终端接入认证模块4,用于实现Ka终端接入认证;
终端移动安全切换认证模块5,用于实现终端移动安全切换认证。
下面结合附图对本发明的技术方案作进一步的描述。
如图3所示为卫星网络系统架构,分别由天基节点、地基节点网、接入认证系统、移动切换安全服务系统、实体身份管理系统及终端设备组成,其具体包含以下步骤:
第一步,普通终端、特殊终端以及Ka终端等实体与实体身份管理系统交互执行实体注册流程,完成实体注册。
第二步、在完成终端注册流程之后,普通终端可以通过执行基于地基的普通终端接入认证流程接入地面网络。
第三步、在完成终端注册流程之后,对于重要/高速用户等类型的特殊终端可以通过向拜访网络中的地基节点提前预置认证向量的方式执行基于天基的特殊终端接入认证流程快速接入地面网络。
第四步、在完成Ka终端的注册流程之后,Ka频段终端可以通过执行Ka终端接入认证流程接入地面网络。
第五步、接入网络后,由于卫星节点和终端的移动性,终端通过执行移动安全切换流程完成不同卫星间的切换,保障网络服务的连续性。
具体如下:
在终端注册之前,实体身份管理系统选择一个椭圆曲线E以及E上的循环群G,其中G的生成元为P,阶为q。随后,实体身份管理系统选择sk∈Zq作为私钥,公钥pk=sk*P。实体注册过程针对不同类型的终端具体包括以下两种不同的注册流程:
如图4所示,其具体展示了普通终端/特殊终端注册流程:普通终端和特殊终端可以通过注册机(写卡器)与实体身份管理系统交互完成注册流程。
(1)注册机向实体身份管理系统发送注册请求。
(2)实体身份管理系统为每个终端生成身份标识ID,同时为终端生成预置密钥K以及生成认证管理域标识AMF,并通过安全信道将ID||K||AMF||pk作为响应发送至注册机。
(3)注册机离线将ID||K||AMF||pk写入终端的密码模块,完成终端注册流程。
如图5所示,其具体展示了Ka终端注册流程,具体如下:
(1)Ka终端向实体身份管理系统发送注册请求。
(2)实体身份管理系统收到注册请求消息后,生成Ka终端的永久身份标识ID和公私钥,同时为Ka终端生成证书(证书内容包含终端ID、Ka终端公钥信息、实体身份管理系统公钥pk等)。
(3)实体身份管理系统将证书包含在注册响应中发送至Ka终端。
如图6所示,其具体展示了所述基于地基的普通终端的接入认证流程:
(1)终端选择一个随机数a∈Zq,计算A=a*P以及D=a*pk,随后终端采用D执行对称加密算法加密其身份标识ID以及新生成的随机数R1获得cID。最后,终端将cID以及A发送给卫星节点。卫星节点将收到数据包转发至地基节点。
(2)地基节点将cID、A以及其访问域身份标识SNID发送至接入认证系统,随后由接入认证系统转发至实体身份管理系统。
(3)实体身份管理系统收到认证请求消息后,计算D=A*sk,利用D解密获得终端的永久身份标识ID以及随机数R1。
(4)随后,实体身份管理系统判断ID的合法性并查找终端相应的主密钥K,同时选择随机数R2,计算MAC=f1(K,AMF,R1||R2,SNID)、XRES=f2(K,R1||R2,SNID)、CK=f3(K,R1||R2)、IK=f4(K,R1||R2),其中AMF为认证管理域,共由十五位十进制数进行标识,其前五位用于标识服务网络,即SNID。然后,实体身份管理系统利用CK、IK、SNID以及密钥导出函数KDF生成KAMF=KDF(SNID,CK||IK,R1||R2)。
(5)实体身份管理系统将认证向量AV=A||R1||R2||XRES||KAMF||AUTN发送至接入认证系统,其中AUTN=AMF||MAC。
(6)接入认证系统收到向量AV后,计算HXRES=KDF(R1,XRES),AV′=A||R1||R2||HXRES||KAMF||AUTN,然后将AV′转发至地基节点。
(7)收到AV′后,地基节点选择一个随机数b∈Zq,计算B=b*P和C=b*A。然后。地基节点计算密钥KSat=KDF(R2,KAMF,B||C),HMAC=KDF(R1,A||B||C,MAC),TID=h(R2,ID),AUTN′=AMF||HMAC。同时生成AV″=TID||B||R1||R2||HXRES||KSat||AUTN′,并且将AV″转发至卫星。
(8)卫星收到应答后,存储AV″,发送认证请求B||R2||AUTN′到终端。
(9)终端收到认证请求后,计算C=B*a,XMAC=f1(K,AMF,R1||R2,SNID)、RES=f2(K,R1||R2,SNID)、CK=f3(K,R1||R2)、IK=f4(K,R1||R2)。然后,终端提取AUTN′中的HMAC,计算HXMAC=KDF(R1,A||B||C,XMAC),比较HXMAC和HMAC是否相等。如果相等,则计算KAMF=KDF(SNID,CK||IK,R1||R2)、KSat=KDF(R2,KAMF,B||C),终端临时标识TID=h(R2,ID),并将RES传输给卫星。
(10)卫星收到消息后,首先计算HRES=KDF(R1,RES),并且将HRES与从AV″中提取出的HXRES进行比较,如果一致,则通过认证,卫星继续将RES转发至接入认证系统。
(11)接入认证系统收到消息后,验证RES是否与从AV中提取出的XRES相同,如果相同,则验证通过,该终端成功接入网络。认证完成后,卫星采用终端的临时标识TID识别终端,且卫星与终端将KSat作为基础密钥,根据密钥衍生算法推演出随后空口信令和数据保护的加密密钥与完整性保护密钥,随后进行保密通信。
如图7所示,其具体展示了所述方法中基于天基的终端认证向量预置过程:
首先,针对重要/高速用户等特殊终端,地基节点首先同接入认证系统交互为每个终端预置认证向量,预置向量过程如下:
(1)为减少信令开销可以每次为多个终端进行预置。地基节点发送预置请求(IDA||IDB||…IDM||R1)至接入认证系统,接入认证系统为每个终端执行单独的认证向量生成过程,单个终端向量生成流程如权利要求3步骤(4)~(5)所述,每个终端的多组认证向量中随机数R2不同,不同终端同一组认证向量中R2可以相同。实体身份管理系统收到接入认证系统转发的认证请求(IDA||IDB||…IDM||R1)后,为每个终端生成多组认证向量AVs=(ID||R21||XRES1||KAMF1||AUTN1,…,R2n||XRESn||KAMFn||AUTNn)转发至接入认证系统,其中AUTN=AMF||MAC。
(2)接入认证系统在收到认证向量组AVs后,为向量组中每个认证向量AV计算HXRES=KDF(R1,XRES),AV′=R2||HXRES||KAMF||AUTN,然后将每个AV′组合成AVs′转发至地基节点。
(3)地基节点收到认证向量AVs′后,进行储存,并向接入认证系统返回确认响应,完成认证向量预置流程。
如图8所示,其展示了所述方法中基于天基的特殊终端接入认证流程,其主要针对重要/高速用户,具体流程如下:
在特殊终端接入卫星网络之前,实体身份管理系统给每个地基节点分发了公私钥(skg,pkg=skg*P)以及包含公钥pkg在内的证书,卫星节点广播包含其所属的地基节点的证书;特殊终端获取到地基节点的证书后,采用实体身份管理系统的公钥验证证书的有效性并从证书中提取出地基节点的公钥pkg。
然后,当特殊终端接入卫星网络时,执行如下的基于天基的特殊终端接入认证流程:
(1)终端选择一个随机数a∈Zq,计算A=a*P以及D=a*pkg,随后终端采用D执行对称加密算法加密其身份标识ID获得cID。最后,终端将cID以及A发送给卫星节点。卫星节点将收到数据包转发至地基节点。
(2)地基节点收到认证请求后,从中选取任一认证向量AV′,计算D=A*skg,利用D解密获得终端身份标识ID,然后选择一个随机数b∈Zq,计算B=b*P和C=b*A,KSat=KDF(R2,KAMF,B||C),然后从AUTN中提取MAC,计算HMAC=KDF(R1,A||B||C,MAC),AUTN′=AMF||HMAC,TID=h(R2,ID),生成终端认证向量AV″=TID||B||R1||R2||HXRES||KSat||AUTN′并作为认证授权响应发送至卫星节点。
(3)卫星节点收到认证向量AV″后,提取(B||R1||R2,AUTN′)作为认证响应发送至终端。
(4)收到认证响应后,终端计算C=B*a,XMAC=f1(K,AMF,R1||R2,SNID)、RES=f2(K,R1||R2,SNID)、CK=f3(K,R1||R2)、IK=f4(K,R1||R2),并对HMAC进行验证。验证完成后,终端计算KAMF=KDF(SNID,CK||IK,R1||R2)、KSat=KDF(R2,KAMF,B||C),并将RES发送至卫星。
(5)卫星计算HRES=KDF(R1,RES),并与从AV″中提取的HXRES进行比较,若一致,则向接入认证系统发送认证确认消息,完成终端接入认证流程;若不一致,则拒绝终端接入。
如图9所示,其具体展示了所述方法中Ka终端基于证书的接入认证的主要流程,具体如下:
(1)Ka终端首先选择一个随机数a∈Zq,计算A=a*P,然后将自己的身份信息ID和新生成的随机数R1采用实体身份管理系统的公钥pk进行加密得到密文C1,并利用自己的私钥对密文和A进行签名得到Sign(C1,A)。Ka终端将密文C1、A和签名Sign(C1,A)作为认证请求发送给天基骨干网节点。
(2)天基骨干网节点通过地基节点转发认证请求及SNID至接入认证系统。接入认证系统转发至实体身份管理系统。
(3)实体身份管理系统利用自己的私钥解密得到ID和随机数R1。随后,根据ID找到终端证书,并且利用证书中的公钥对签名进行验证。验证成功后,实体身份管理系统生成一个随机数R2,计算MAC=h(R1||R2),利用R1加密R2得到c2,并且计算XRES=f2(SNID,R1||R2)。最后,实体身份管理系统将c2||MAC||R1||R2||A||XRES发送给接入认证系统。
(4)接入认证系统计算HXRES=KDF(R1,XRES),将c2||MAC||R1||A||HXRES发送给地基节点。
(5)地基节点选择一个随机数b∈Zq,计算B=b*P和C=b*A,然后计算HMAC=KDF(R1,A||B||C,MAC),将c2||B||R1||HXRES||HMAC发送给天基骨干网节点。
(6)天基骨干网节点将c2||B||HMAC发送给Ka终端。
(7)Ka终端利用R1解密c2获得R2,计算C=a*B,验证HMAC的有效性。若验证成功,则Ka终端向天基骨干网节点发送认证成功消息RES=f2(5NID,R1||R2)。
(8)天基骨干网节点计算HRES=KDF(R1,RES),比较HXRES与HRES。比较成功后,天基骨干网节点将RES发送给地基节点。地基节点转发给接入认证系统。
(9)接入认证系统收到认证成功消息后,验证RES=f2(SNID,R1||R2)。验证成功后,接入认证系统将R2通过安全通道发送给地基节点。
(10)地基节点计算密钥KAMF=KDF(SNID,R2,R1),Ksat=KDF(R2,KAMF,B||C),终端临时标识TID=h(R2,ID)。随后,地基节点将TID,Ksat发送至天基骨干网节点。
(11)与此同时,Ka终端也利用R2派生出KAMF=KDF(SNID,R2,R1),Ksat=KDF(R2,KAMF,B||C)。最后,Ka终端与天基骨干网节点根据约定的算法基于Ksat推演出随后空口信令和数据保护的加密密钥与完整性保护密钥,随后进行保密通信。
如图10所示,其具体展示了所述方法中的移动安全切换流程,具体包括:
1)预切换认证过程:
(1)在发生切换前,当终端监测到信号变弱即将无法提供平滑通信时,终端向当前提供通信服务的卫星发送预切换请求消息。预切换请求消息包括终端临时身份标识TID以及终端新生成的随机数R1、A=a*P以及mac=h(KAMF,TID,A,R1),其中a∈Zq。
(2)源卫星转发预切换请求消息给移动切换安全服务系统(移动切换安全服务系统依附于地基节点)。
(3)移动切换安全服务系统验证mac的有效性,验证成功后,结合终端的位置信息、终端归属网络、拜访网络信息、卫星轨迹等有效信息预测出终端即将接入的下一个卫星节点,并且生成相应的认证向量,提前发送给目标节点。生成认证向量过程为:移动切换安全服务系统选择一个随机值R2和一个随机数b∈Zq,计算B=b*P和C=b*A,然后计算KSat=KDF(R2,KAMF,B||C)XRES=f2(SNID,KAMF,R1||R2),MAC=f1(KAMF,AMF,R1||R2,SNID),HMAC=KDF(R1,A||B||C,MAC),TID*=h(R2,ID)。最后,移动切换安全服务系统将TID、TID*、KSat、XRES、HMAC、B、R2通过已经组网建立好的安全通道发送给目标卫星。
2)安全切换过程如下:
(1)当切换触发后,终端向目标卫星发送自己当前的用户临时身份信息TID请求接入目标卫星网络;
(2)卫星收到用户的切换请求消息后,将B||HMAC||R2值发送给终端。
(3)终端收到后,利用存储的长期密钥KAMF和收到的R2值,计算C=B*a,KSat=KDF(R2,KAMF,B||C)并验证接收到的HMAC值是否正确,如果验证通过,则终端成功认证卫星,最后,终端计算RES=f2(SNID,KAMF,R1||R2)并将RES传输给卫星;
(4)卫星将收到的RES与本地XRES进行比较,如果一致,则通过认证;完成移动安全切换过程之后,目标卫星采用TID*标识终端且目标卫星与终端将此次生成的Ksat作为基础密钥,根据约定的算法推演出随后空口信令和数据保护的加密密钥与完整性保护密钥,随后进行保密通信。
如图11所示,其具体展示了所述方法中普通终端/特殊终端接入过程中网络侧认证向量导出过程。
如图12所示,其具体展示了所述方法中普通终端/特殊终端接入过程中终端侧认证向量导出过程,认证过程中用到的消息认证码函数f1、f2,密钥导出函数f3、f4均可替换,本发明的方法基于SM3、SM4算法128-EIA3实现f1~f4。
具体而言,本发明具有以下特点:
(1)本发明针对不同类型的终端,分别设计了适用于卫星网络场景下的终端接入与切换认证方法。具体如下:
针对普通终端,设计了基于地基的普通终端接入认证机制,基于预共享密钥的方式完成相互认证与密钥协商;
针对重要/高速用户等特殊终端,设计了基于天基的特殊终端接入认证机制,基于预共享密钥以及提前预置认证向量的方式来实现特殊终端的快速接入认证;
针对Ka终端,设计了基于Ka终端的接入认证机制,基于公钥证书方式保障Ka终端安全可靠的接入网络。
此外,为保障终端和卫星节点移动过程中,终端网络服务的连续性,设计了终端移动安全切换机制。
(2)本发明提出的多类型终端接入认证机制,可以保证双向认证的前提下实现匿名性和不可链路性、完全前向、后向安全,能够抵抗重放、中间人等多种攻击方式。
(3)本发明中所述的终端接入认证方法,认证双方在每次认证过程中,通过生成各自的随机数来保证协议可以抵抗重放攻击,相较于采用序列号SQN的方式降低了存储开销,更加适用于卫星通信网络场景。
从安全性角度来看,本发明的安全性分析具体如下:
(1)相互认证与密钥协商
本发明中所述实体之间进行的认证,均实现了双向认证与密钥协商。其中,在普通终端/特殊终端接入认证过程中,终端与网络侧实体可通过预置共享密钥完成相互认证;在Ka终端接入认证过程中,Ka终端与网络侧实体可通过验证彼此的签名完成相互认证。此外,在终端接入认证过程中,终端与网络侧均协商出基础密钥KSat以保护未来通信数据的机密性。
(2)完全前向、后向安全
在终端接入认证过程中,终端与卫星的基础密钥KSat的协商依赖于双方发送的随机数、地基节点与终端的密钥KAMF以及终端与地基节点基于椭圆曲线上的ECDH算法协商出的值C。由于椭圆曲线上的困难问题ECDHP,攻击者即使获取到了终端的长期共享密钥K或者地基节点与终端的密钥KAMF也无法获取之前或者之后的基础密钥KSat,因此可以实现完全前向、后向安全。
(3)匿名性
在终端接入认证过程中,终端的真实身份标识均被加密后传输,攻击者无法获取终端的真实身份标识。在认证完成后,采用临时标识TID识别终端且TID使用完立即更新。因此,可以保证匿名性。
(4)不可链路性
在终端接入认证过程中,由于随机数的使用,每次接入认证请求会话均不相同,攻击者无法将不同会话中的消息链路到同一个用户,因此可以实现不可链路性。
(5)数据机密性
终端接入认证完成之后,终端与网络侧交互的数据均采用基础密钥KSat保护通信数据的机密性,因此可以实现数据的机密性。
(6)抵挡重放攻击
由于在终端接入认证与切换过程中,每个会话都使用了随机数,因此可以避免重放攻击。
(7)抵抗假冒、中间人攻击
由于实体之间成功地实现了相互认证,敌手无法假冒任何一方与另外一方进行通信,因此可以抵抗假冒攻击。另外,由于敌手无法执行假冒攻击,进而敌手也无法假冒为中间人伪造消息与终端或者卫星通信。因此,此方案可以抵挡中间人攻击。
应当注意,本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现;软件部分可以存储在存储器中,由适当的指令执行系统,例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现,例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和软件的结合例如固件来实现。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种多类型终端接入与切换认证方法,其特征在于,所述多类型终端接入与切换认证方法包括:
普通终端、特殊终端以及Ka终端实体与实体身份管理系统交互执行实体注册流程,完成实体注册;
在完成终端注册流程之后,普通终端通过执行基于地基的普通终端接入认证流程接入地面网络;
在完成终端注册流程之后,对于重要/高速用户类型的特殊终端通过向拜访网络中的地基节点提前预置认证向量的方式执行基于天基的特殊终端接入认证流程快速接入地面网络;
在完成Ka终端的注册流程之后,Ka频段终端通过执行Ka终端接入认证流程接入地面网络;
接入网络后,由于卫星节点和终端的移动性,终端通过执行移动安全切换流程完成不同卫星间的切换。
2.如权利要求1所述的多类型终端接入与切换认证方法,其特征在于,实体注册流程具体包括:在终端注册之前,实体身份管理系统选择一个椭圆曲线E以及E上的循环群G,其中G的生成元为P,阶为q,实体身份管理系统选择sk∈Zq作为私钥,公钥pk=sk*P,实体注册过程针对不同类型的终端具体包括以下两种不同的注册流程:
1)普通终端和特殊终端通过注册机或写卡器与实体身份管理系统交互完成注册流程;
(1)注册机向实体身份管理系统发送注册请求;
(2)实体身份管理系统为每个终端生成身份标识ID,同时为终端生成预置密钥K以及生成认证管理域标识AMF,并通过安全信道将ID||K||AMF||pk作为响应发送至注册机;
(3)注册机离线将ID||K||AMF||pk写入终端的密码模块,完成终端注册流程;
2)Ka终端注册流程:
(1)Ka终端向实体身份管理系统发送注册请求;
(2)实体身份管理系统收到注册请求消息后,生成Ka终端的永久身份标识ID和公私钥,同时为Ka终端生成证书,证书内容包含终端ID、Ka终端公钥信息、实体身份管理系统公钥pk等;
(3)实体身份管理系统将证书包含在注册响应中发送至Ka终端。
3.如权利要求1所述的多类型终端接入与切换认证方法,其特征在于,基于地基的普通终端接入认证流程具体包括:
(1)终端选择一个随机数a∈Zq,计算A=a*P以及D=a*pk,随后终端采用D执行对称加密算法加密其身份标识ID以及新生成的随机数R1获得cID,终端将cID以及A发送给卫星节点,卫星节点将收到数据包转发至地基节点;
(2)地基节点将cID、A以及其访问域身份标识SNID发送至接入认证系统,随后由接入认证系统转发至实体身份管理系统;
(3)实体身份管理系统收到认证请求消息后,计算D=A*sk,利用D解密获得终端的永久身份标识ID以及随机数R1;
(4)随后,实体身份管理系统判断ID的合法性并查找终端相应的主密钥K,同时选择随机数R2,计算MAC=f1(K,AMF,R1||R2,SNID)、XRES=f2(K,R1||R2,SNID)、CK=f3(K,R1||R2)、IK=f4(K,R1||R2),其中AMF为认证管理域,共由十五位十进制数进行标识,其前五位用于标识服务网络,即SNID,实体身份管理系统利用CK、IK、SNID以及密钥导出函数KDF生成KAMF=KDF(SNID,CK||IK,R1||R2);
(5)实体身份管理系统将认证向量AV=A||R1||R2||XRES||KAMF||AUTN发送至接入认证系统,其中AUTN=AMF||MAC;
(6)接入认证系统收到向量AV后,计算HXRES=KDF(R1,XRES),AV′=A||R1||R2||HXRES||KAMF||AUTN,然后将AV′转发至地基节点;
(7)收到AV′后,地基节点选择一个随机数b∈Zq,计算B=b*P和C=b*A,然后,地基节点计算密钥KSat=KDF(R2,KAMF,B||C),HMAC=KDF(R1,A||B||C,MAC),TID=h(R2,ID),AUTN′=AMF||HMAC,同时生成AV″=TID||B||R1||R2||HXRES||KSat||AUTN′,并且将AV″转发至卫星;
(8)卫星收到应答后,存储AV″,发送认证请求B||R2||AUTN′到终端;
(9)终端收到认证请求后,计算C=B*a,XMAC=f1(K,AMF,R1||R2,SNID)、RES=f2(K,R1||R2,SNID)、CK=f3(K,R1||R2)、IK=f4(K,R1||R2),终端提取AUTN′中的HMAC,计算HXMAC=KDF(R1,A||B||C,XMAC),比较HXMAC和HMAC是否相等;如果相等,则计算KAMF=KDF(SNID,CK||IK,R1||R2)、KSat=KDF(R2,KAMF,B||C),终端临时标识TID=h(R2,ID),并将RES传输给卫星;
(10)卫星收到消息后,首先计算HRES=KDF(R1,RES),并且将HRES与从AV″中提取出的HXRES进行比较,如果一致,则通过认证,卫星继续将RES转发至接入认证系统;
(11)接入认证系统收到消息后,验证RES是否与从AV中提取出的XRES相同,如果相同,则验证通过,该终端成功接入网络;认证完成后,卫星采用终端的临时标识TID识别终端,且卫星与终端将KSat作为基础密钥,根据密钥衍生算法推演出随后空口信令和数据保护的加密密钥与完整性保护密钥,随后进行保密通信。
4.如权利要求1所述的多类型终端接入与切换认证方法,其特征在于,基于天基的特殊终端接入认证流程如下:
首先,针对重要/高速用户特殊终端,地基节点首先同接入认证系统交互为每个终端预置认证向量,预置向量过程如下:
(1)为减少信令开销可以每次为多个终端进行预置,地基节点发送预置请求(IDA||IDB||...IDM||R1)至接入认证系统,接入认证系统为每个终端执行单独的认证向量生成过程,单每个终端的多组认证向量中随机数R2不同,不同终端同一组认证向量中R2可以相同,实体身份管理系统收到接入认证系统转发的认证请求(IDA||IDB||...IDM||R1)后,为每个终端生成多组认证向量AVs=(ID||R21||XRES1||KAMF1||AUTN1,…R2n||XRESn||KAMFn||AUTNn)转发至接入认证系统,其中AUTN=AMF||MAC;
(2)接入认证系统在收到认证向量组AVs后,为向量组中每个认证向量AV计算HXRES=KDF(R1,XRES),AV′=R2||HXRES||KAMF||AUTN,然后将每个AV′组合成AVs′转发至地基节点;
(3)地基节点收到认证向量AVs′后,进行储存,并向接入认证系统返回确认响应,完成认证向量预置流程;
在特殊终端接入卫星网络之前,实体身份管理系统给每个地基节点分发了公私钥(skg,pkg=skg*P)以及包含公钥pkg在内的证书,卫星节点广播包含其所属的地基节点的证书;特殊终端获取到地基节点的证书后,采用实体身份管理系统的公钥验证证书的有效性并从证书中提取出地基节点的公钥pkg;
然后,当特殊终端接入卫星网络时,执行如下的基于天基的特殊终端接入认证流程:
(1)终端选择一个随机数a∈Zq,计算A=a*P以及D=a*pkg,随后终端采用D执行对称加密算法加密其身份标识ID获得cID,终端将cID以及A发送给卫星节点,卫星节点将收到数据包转发至地基节点;
(2)地基节点收到认证请求后,从中选取任一认证向量AV′,计算D=A*skg,利用D解密获得终端身份标识ID,然后选择一个随机数b∈Zq,计算B=b*P和C=b*A,KSat=KDF(R2,KAMF,B||C),然后从AUTN中提取MAC,计算HMAC=KDF(R1,A||B||C,MAC),AUTN′=AMF||HMAC,TID=h(R2,ID),生成终端认证向量AV″=TID||B||R1||R2||HXRES||KSat||AUTN′并作为认证授权响应发送至卫星节点;
(3)卫星节点收到认证向量AV″后,提取(B||R1||R2,AUTN′)作为认证响应发送至终端;
(4)收到认证响应后,终端计算C=B*a,XMAC=f1(K,AMF,R1||R2,SNID)、RES=f2(K,R1||R2,SNID)、CK=f3(K,R1||R2)、IK=f4(K,R1||R2),并对HMAC进行验证,验证完成后,终端计算KAMF=KDF(SNID,CK||IK,R1||R2)、KSat=KDF(R2,KAMF,B||C),并将RES发送至卫星;
(5)卫星计算HRES=KDF(R1,RES),并与从AV″中提取的HXRES进行比较,若一致,则向接入认证系统发送认证确认消息,完成终端接入认证流程;若不一致,则拒绝终端接入。
5.如权利要求1所述的多类型终端接入与切换认证方法,其特征在于,Ka终端接入认证流程具体包含以下步骤:
(1)Ka终端首先选择一个随机数a∈Zq,计算A=a*P,然后将自己的身份信息ID和新生成的随机数R1采用实体身份管理系统的公钥pk进行加密得到密文C1,并利用自己的私钥对密文和A进行签名得到Sign(C1,A);Ka终端将密文C1、A和签名Sign(C1,A)作为认证请求发送给天基骨干网节点;
(2)天基骨干网节点通过地基节点转发认证请求及SNID至接入认证系统,接入认证系统转发至实体身份管理系统;
(3)实体身份管理系统利用自己的私钥解密得到ID和随机数R1,随后,根据ID找到终端证书,并且利用证书中的公钥对签名进行验证,验证成功后,实体身份管理系统生成一个随机数R2,计算MAC=h(R1||R2),利用R1加密R2得到c2,并且计算XRES=f2(SNID,R1||R2),最后,实体身份管理系统将c2||MAC||R1||R2||A||XRES发送给接入认证系统;
(4)接入认证系统计算HXRES=KDF(R1,XRES),将c2||MAC||R1||A||HXRES发送给地基节点;
(5)地基节点选择一个随机数b∈Zq,计算B=b*P和C=b*A,然后计算HMAC=KDF(R1,A||B||C,MAC),将c2||B||R1||HXRES||HMAC发送给天基骨干网节点;
(6)天基骨干网节点将c2||B||HMAC发送给Ka终端;
(7)Ka终端利用R1解密c2获得R2,计算C=a*B,验证HMAC的有效性;若验证成功,则Ka终端向天基骨干网节点发送认证成功消息RES=f2(SNID,R1||R2);
(8)天基骨干网节点计算HRES=KDF(R1,RES),比较HXRES与HRES,比较成功后,天基骨干网节点将RES发送给地基节点,地基节点转发给接入认证系统;
(9)接入认证系统收到认证成功消息后,验证RES=f2(SNID,R1||R2),验证成功后,接入认证系统将R2通过安全通道发送给地基节点;
(10)地基节点计算密钥KAMF=KDF(SNID,R2,R1),Ksat=KDF(R2,KAMF,B||C),终端临时标识TID=h(R2,ID),随后,地基节点将TID,Ksat发送至天基骨干网节点;
(11)与此同时,Ka终端也利用R2派生出KAMF=KDF(SNID,R2,R1),Ksat=KDF(R2,KAMF,B||C),最后,Ka终端与天基骨干网节点根据约定的算法基于Ksat推演出随后空口信令和数据保护的加密密钥与完整性保护密钥,随后进行保密通信。
6.如权利要求1所述的多类型终端接入与切换认证方法,其特征在于,移动安全切换流程具体包含以下步骤:
1)预切换认证过程:
(1)在发生切换前,当终端监测到信号变弱即将无法提供平滑通信时,终端向当前提供通信服务的卫星发送预切换请求消息,预切换请求消息包括终端临时身份标识TID以及终端新生成的随机数R1、A=a*P以及mac=h(KAMF,TID,A,R1),其中a∈Zq;
(2)源卫星转发预切换请求消息给移动切换安全服务系统;
(3)移动切换安全服务系统验证mac的有效性,验证成功后,结合终端的位置信息、终端归属网络、拜访网络信息、卫星轨迹有效信息预测出终端即将接入的下一个卫星节点,并且生成相应的认证向量,提前发送给目标节点,生成认证向量过程为:移动切换安全服务系统选择一个随机值R2和一个随机数b∈Zq,计算B=b*P和C=b*A,然后计算KSat=KDF(R2,KAMF,B||C)XRES=f2(SNID,KAMF,R1||R2),MAC=f1(KAMF,AMF,R1||R2,SNID),HMAC=KDF(R1,A||B||C,MAC),TID*=h(R2,ID),最后,移动切换安全服务系统将TID、TID*、KSat、XRES、HMAC、B、R2通过已经组网建立好的安全通道发送给目标卫星;
2)安全切换过程如下:
(1)当切换触发后,终端向目标卫星发送自己当前的用户临时身份信息TID请求接入目标卫星网络;
(2)卫星收到用户的切换请求消息后,将B||HMAC||R2值发送给终端;
(3)终端收到后,利用存储的长期密钥KAMF和收到的R2值,计算C=B*a,KSat=KDF(R2,KAMF,B||C)并验证接收到的HMAC值是否正确,如果验证通过,则终端成功认证卫星,最后,终端计算RES=f2(SNID,KAMF,R1||R2)并将RES传输给卫星;
(4)卫星将收到的RES与本地XRES进行比较,如果一致,则通过认证;完成移动安全切换过程之后,目标卫星采用TID*标识终端且目标卫星与终端将此次生成的Ksat作为基础密钥,根据约定的算法推演出随后空口信令和数据保护的加密密钥与完整性保护密钥,随后进行保密通信。
7.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如下步骤:
普通终端、特殊终端以及Ka终端实体与实体身份管理系统交互执行实体注册流程,完成实体注册;
在完成终端注册流程之后,普通终端通过执行基于地基的普通终端接入认证流程接入地面网络;
在完成终端注册流程之后,对于重要/高速用户类型的特殊终端通过向拜访网络中的地基节点提前预置认证向量的方式执行基于天基的特殊终端接入认证流程快速接入地面网络;
在完成Ka终端的注册流程之后,Ka频段终端通过执行Ka终端接入认证流程接入地面网络;
接入网络后,由于卫星节点和终端的移动性,终端通过执行移动安全切换流程完成不同卫星间的切换。
8.一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如下步骤:
普通终端、特殊终端以及Ka终端实体与实体身份管理系统交互执行实体注册流程,完成实体注册;
在完成终端注册流程之后,普通终端通过执行基于地基的普通终端接入认证流程接入地面网络;
在完成终端注册流程之后,对于重要/高速用户类型的特殊终端通过向拜访网络中的地基节点提前预置认证向量的方式执行基于天基的特殊终端接入认证流程快速接入地面网络;
在完成Ka终端的注册流程之后,Ka频段终端通过执行Ka终端接入认证流程接入地面网络;
接入网络后,由于卫星节点和终端的移动性,终端通过执行移动安全切换流程完成不同卫星间的切换。
9.一种实施权利要求1~6任意一项所述多类型终端接入与切换认证方法的多类型终端接入与切换认证系统,其特征在于,所述多类型终端接入与切换认证系统包括:
身份注册模块,用于实体身份注册;
普通终端接入认证模块,用于实现基于地基的普通终端接入认证;
特殊终端接入认证模块,用于实现基于天基的特殊终端接入认证;
Ka终端接入认证模块,用于实现Ka终端接入认证;
终端移动安全切换认证模块,用于实现终端移动安全切换认证。
10.一种适用于卫星网络的多类型终端,其特征在于,所述适用于卫星网络的多类型终端安装有权利要求9所述的多类型终端接入与切换认证系统。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010970241.4A CN112235792B (zh) | 2020-09-15 | 2020-09-15 | 一种多类型终端接入与切换认证方法、系统、设备及应用 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010970241.4A CN112235792B (zh) | 2020-09-15 | 2020-09-15 | 一种多类型终端接入与切换认证方法、系统、设备及应用 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112235792A true CN112235792A (zh) | 2021-01-15 |
CN112235792B CN112235792B (zh) | 2022-03-11 |
Family
ID=74117113
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010970241.4A Active CN112235792B (zh) | 2020-09-15 | 2020-09-15 | 一种多类型终端接入与切换认证方法、系统、设备及应用 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112235792B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113068187A (zh) * | 2021-02-20 | 2021-07-02 | 西安电子科技大学 | 一种无人机辅助的终端接入认证方法、系统、设备及应用 |
CN113133078A (zh) * | 2021-04-19 | 2021-07-16 | 西安电子科技大学 | 一种巨型低轨卫星网络轻量级的星间切换装置及方法 |
CN114466359A (zh) * | 2022-01-07 | 2022-05-10 | 中国电子科技集团公司电子科学研究院 | 适用于低轨卫星网络的分布式用户认证系统及认证方法 |
CN116056078A (zh) * | 2022-10-10 | 2023-05-02 | 西安电子科技大学 | 天地一体化场景下基于轨迹预测的高速终端安全认证方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6850497B1 (en) * | 1995-09-19 | 2005-02-01 | Mobile Satellite Ventures, Lp | Satellite trunked radio service system |
KR20090039585A (ko) * | 2007-10-17 | 2009-04-22 | 엘지전자 주식회사 | 이기종 무선접속망간 핸드오버 방법 |
CN107147489A (zh) * | 2017-05-02 | 2017-09-08 | 南京理工大学 | 一种leo卫星网络内分布式的接入认证管理方法 |
CN108833334A (zh) * | 2018-04-13 | 2018-11-16 | 西安电子科技大学 | 一种数字家庭网络的设备安全接入系统及方法 |
CN109039436A (zh) * | 2018-10-23 | 2018-12-18 | 中国科学院信息工程研究所 | 一种卫星安全接入认证的方法及系统 |
CN110971415A (zh) * | 2019-12-13 | 2020-04-07 | 重庆邮电大学 | 一种天地一体化空间信息网络匿名接入认证方法及系统 |
CN111314056A (zh) * | 2020-03-31 | 2020-06-19 | 四川九强通信科技有限公司 | 基于身份加密体制的天地一体化网络匿名接入认证方法 |
-
2020
- 2020-09-15 CN CN202010970241.4A patent/CN112235792B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6850497B1 (en) * | 1995-09-19 | 2005-02-01 | Mobile Satellite Ventures, Lp | Satellite trunked radio service system |
KR20090039585A (ko) * | 2007-10-17 | 2009-04-22 | 엘지전자 주식회사 | 이기종 무선접속망간 핸드오버 방법 |
CN107147489A (zh) * | 2017-05-02 | 2017-09-08 | 南京理工大学 | 一种leo卫星网络内分布式的接入认证管理方法 |
CN108833334A (zh) * | 2018-04-13 | 2018-11-16 | 西安电子科技大学 | 一种数字家庭网络的设备安全接入系统及方法 |
CN109039436A (zh) * | 2018-10-23 | 2018-12-18 | 中国科学院信息工程研究所 | 一种卫星安全接入认证的方法及系统 |
CN110971415A (zh) * | 2019-12-13 | 2020-04-07 | 重庆邮电大学 | 一种天地一体化空间信息网络匿名接入认证方法及系统 |
CN111314056A (zh) * | 2020-03-31 | 2020-06-19 | 四川九强通信科技有限公司 | 基于身份加密体制的天地一体化网络匿名接入认证方法 |
Non-Patent Citations (2)
Title |
---|
KAIPING XUE等: "A Secure and Efficient Access and Handover", 《IEEE INTERNET OF THINGS JOURNAL》 * |
陈思宇: "低轨卫星网络用户快速动态接入与切换协议研究", 《中国优秀硕士论文全文数据库》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113068187A (zh) * | 2021-02-20 | 2021-07-02 | 西安电子科技大学 | 一种无人机辅助的终端接入认证方法、系统、设备及应用 |
CN113133078A (zh) * | 2021-04-19 | 2021-07-16 | 西安电子科技大学 | 一种巨型低轨卫星网络轻量级的星间切换装置及方法 |
CN113133078B (zh) * | 2021-04-19 | 2022-04-08 | 西安电子科技大学 | 一种巨型低轨卫星网络轻量级的星间切换装置及方法 |
CN114466359A (zh) * | 2022-01-07 | 2022-05-10 | 中国电子科技集团公司电子科学研究院 | 适用于低轨卫星网络的分布式用户认证系统及认证方法 |
CN114466359B (zh) * | 2022-01-07 | 2024-03-01 | 中国电子科技集团公司电子科学研究院 | 适用于低轨卫星网络的分布式用户认证系统及认证方法 |
CN116056078A (zh) * | 2022-10-10 | 2023-05-02 | 西安电子科技大学 | 天地一体化场景下基于轨迹预测的高速终端安全认证方法 |
CN116056078B (zh) * | 2022-10-10 | 2024-05-31 | 西安电子科技大学 | 天地一体化场景下基于轨迹预测的高速终端安全认证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112235792B (zh) | 2022-03-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112235792B (zh) | 一种多类型终端接入与切换认证方法、系统、设备及应用 | |
US7793103B2 (en) | Ad-hoc network key management | |
CN107920350B (zh) | 一种基于sdn的隐私保护切换认证方法、5g异构网络 | |
CN111371730A (zh) | 边缘计算场景下支持异构终端匿名接入的轻量级认证方法 | |
CN108809637B (zh) | 基于混合密码的lte-r车-地通信非接入层认证密钥协商方法 | |
US8060741B2 (en) | System and method for wireless mobile network authentication | |
Liu et al. | Toward a secure access to 5G network | |
CN112243235B (zh) | 适用于天地一体化的群组接入认证和切换认证方法及应用 | |
CN108880813B (zh) | 一种附着流程的实现方法及装置 | |
US20060094401A1 (en) | Method and apparatus for authentication of mobile devices | |
KR100749846B1 (ko) | 무선 휴대 인터넷 시스템의 mac 계층에서 보안 기능을 구현하기 위한 장치 및 이를 이용한 인증 방법 | |
CN112564775B (zh) | 一种基于区块链的空间信息网络访问控制系统与认证方法 | |
CN112953726B (zh) | 融合双层卫星网络星地和星间组网认证方法、系统及应用 | |
RU2008146960A (ru) | Способ и система предоставления защищенной связи с использованием сотовой сети для множества устройств специализированной связи | |
CN107181597B (zh) | 一种基于身份代理群签名的PMIPv6认证系统及方法 | |
CN112087750A (zh) | 卫星网络断续连通场景下的接入和切换认证方法及系统 | |
Tang et al. | Mobile privacy in wireless networks-revisited | |
CN104683343B (zh) | 一种终端快速登录WiFi热点的方法 | |
CN115396887A (zh) | 一种高速移动终端快速安全切换认证方法、装置及系统 | |
Rengaraju et al. | Analysis on mobile WiMAX security | |
CN110248334B (zh) | 一种lte-r车-地通信非接入层认证方法 | |
Wang et al. | A lightweight and secure authentication protocol for space-ground integrated network of railway | |
CN116321158B (zh) | 基于证书的本地ue认证 | |
CN1964259B (zh) | 一种切换过程中的密钥管理方法 | |
Lin et al. | A fast iterative localized re-authentication protocol for heterogeneous mobile networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |