CN112261650B

CN112261650B - 网络接入切换方法、装置、电子设备及存储介质

Info

Publication number: CN112261650B
Application number: CN202011019990.5A
Authority: CN
Inventors: 关建峰; 姚苏; 吴一楠; 戴斯达; 赵航
Original assignee: Beijing University of Posts and Telecommunications
Current assignee: Beijing University of Posts and Telecommunications
Priority date: 2020-09-24
Filing date: 2020-09-24
Publication date: 2022-05-03
Anticipated expiration: 2040-09-24
Also published as: CN112261650A

Abstract

本发明实施例提供一种网络接入切换方法、装置、设备及存储介质，所述方法包括：当前接入端将基于当前组的组共享密钥生成的接入认证消息发送至其所在的当前组的组播地址，以使当前组内的目标认证节点基于接入认证消息和包括当前组内所有接入端的接入端标识的组相关信息表，验证当前组内所有接入端的身份，且使所述当前组内其他接入端不再发送接入认证消息；接收目标认证节点在对当前组内所有接入端的身份验证通过后发送到所述组播地址的验证消息，则确认成功重新接入网络；本发明实施例实现了在大量的接入端需要重新认证到链路切换的新接入点上时，通过组播认证阶段来传输重新认证消息，大大减少了现有协议的认证延迟和信令开销。

Description

网络接入切换方法、装置、电子设备及存储介质

技术领域

本发明涉及通信技术领域，尤其涉及一种网络接入切换方法、装置、电子设备及存储介质。

背景技术

天地一体化网络旨在构建一个能确保任何事物，任何时间，任何地方都可以实现高数据速率，低延迟和高可靠性连接的信息网络。由于天地一体化网络中卫星节点的高速移动，为了保持地面节点能持续稳定的访问网络，地面节点需要频繁的在卫星或同一卫星的不同波束之间切换。

现有的天体一体化网络接入端的接入方案中，通过批量向目标卫星发送用户白名单，然后用户向当前卫星发送切换认证请求，当前卫星将切换认证请求转发至目标卫星；且在对于高速移动的用户进行星间切换时，同时要考虑地面信关站之间的切换，这种方法缺乏灵活性，且用户在进行切换认证时产生的计算开销和传输开销随着用户的数量不断增大，缺乏轻量性。

因此，如何提出一种传输开销小的网络接入切换方法，成为亟需解决的问题。

发明内容

本发明实施例提供一种网络接入切换方法、装置、电子设备及存储介质，用以解决现有技术中用户在进行切换认证时产生的计算开销和传输开销大的缺陷，实现传输开销小，轻量级的网络接入切换。

第一方面，本发明实施例提供一种网络接入切换方法，包括：当前接入端将接入认证消息发送至其所在的当前组的组播地址，以使所述当前组内的目标认证节点基于所述接入认证消息和当前组的组相关信息表，验证所述当前组内所有接入端的身份，且使所述当前组内其他接入端不再发送接入认证消息；

接收所述目标认证节点在对所述当前组内所有接入端的身份验证通过后发送到所述组播地址的验证消息，则确认成功重新接入网络；

其中，所述组相关信息表内包括当前组内所有接入端的接入端标识；所述接入认证消息基于所述当前组的组共享密钥加密生成，所述当前组的组共享密钥以及组播地址在所述当前接入端初次接入网络时获取。

根据本发明一个实施例的网络接入切换方法，所述将接入认证消息发送至其所在的当前组的组播地址之前，还包括：

基于当前组标识获得所述当前组的组播地址；

其中，所述当前组标识是所述当前接入节点初次接入网络时从其初始认证卫星获取的。

根据本发明一个实施例的网络接入切换方法，所述组相关信息表包括：用于反映每一认证卫星覆盖范围内的所有组的组标识的组标识映射表，以及用于反映每一组内的接入端标识及每一组的组共享密钥的组成员映射表；

所述组相关信息表在所有认证卫星之间通过卫星通信共享。

第二方面，本发明实施例提供一种网络接入切换方法，包括：

目标认证节点接收其所在的当前组内的当前接入端发送至组播地址的接入认证消息，所述接入认证消息为所述当前组内所有接入端唯一发送的接入认证消息；

基于所述接入认证消息和当前组的组相关信息表，验证所述当前组内所有接入端的身份；

在对所述当前组内所有接入端的身份验证通过后，发送验证消息到所述组播地址，以使所述当前组内所有接入端确认成功重新接入网络；

其中，所述组相关信息表内包括当前组内所有接入端的接入端标识；所述接入认证消息为当前接入端基于所述当前组的组共享密钥加密生成，所述当前组的组共享密钥以及组播地址在所述当前接入端初次接入网络时获取。

根据本发明一个实施例的网络接入切换方法，所述基于所述接入认证消息和当前组的组相关信息表，验证所述当前组内所有接入端的身份，具体包括：

基于所述组共享密钥解密所述接入认证消息；

基于所述当前组的组相关信息表获知当前组内的所有接入端；

基于解密后的接入认证消息，对所述当前组内的所有接入端的身份进行验证。

根据本发明一个实施例的网络接入切换方法，所述组播地址为所述当前接入节点基于当前组标识获得；所述当前组标识为所述当前接入节点初次接入网络时从其初始认证卫星获取的。

根据本发明一个实施例的网络接入切换方法，所述组相关信息表包括：用于反映每一认证卫星覆盖范围内的所有组的组标识的组标识映射表，以及用于反映每一组的接入端标识及每一组的组共享密钥的组成员映射表；

所述组相关信息表在所有认证卫星之间通过卫星通信共享。

第三方面，本发明实施例提供一种网络接入切换装置，包括：

发送模块，用于当前接入端将接入认证消息发送至其所在的当前组的组播地址，以使所述当前组内的目标认证节点基于所述接入认证消息和当前组的组相关信息表，验证所述当前组内所有接入端的身份，且使所述当前组内其他接入端不再发送接入认证消息；

接收模块，用于接收所述目标认证节点在对所述当前组内所有接入端的身份验证通过后发送到所述组播地址的验证消息，则确认成功重新接入网络；

第四方面，本发明实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所提供的网络接入切换方法的步骤。

第五方面，本发明实施例提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面所提供的网络接入切换方法的步骤。

本发明实施例提供的网络接入切换方法、装置、电子设备及存储介质，通过将接入认证消息发送至接入端所在的当前组的组播地址，以使当前组内的目标认证节点基于接入认证消息和当前组的组相关信息表，验证所述当前组内所有接入端的身份，且使所述当前组内其他接入端不再发送接入认证消息，实现批量用户轻量级的接入认证请求；目标认证节点在对当前组内所有接入端的身份验证通过后发送到组播地址的验证消息，则确认成功重新接入网络；实现了在大量的接入端需要重新认证到链路切换的新接入点上时，通过组播认证阶段来传输重新认证消息，大大减少了现有协议的认证延迟和信令开销。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种网络接入切换方法的流程示意图；

图2是本发明实施例提供的一种网络接入方法的流程示意图；

图3是本发明实施例提供的一种网络接入切换方法的流程示意图；

图4是本发明实施例提供的一种网络接入切换装置的结构示意图；

图5是本发明一实施例提供的电子设备的实体结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

与地面网络相比，天地一体化网络中扩展的网络范围，具体包括陆基网络、海基网络、近空网络(航空网)、深空网络(低轨、中轨、高轨等)，其增加了大尺度空中无线数据传输，使得其通信面临着新的挑战，例如易受攻击的通信信道和空间网络节点的资源受限，这两点都将导致网络被恶意攻击。因此，天地一体化网络的安全性已成为一个广泛关注的问题，尤其是当非法节点正在访问网络并发起致命的未知攻击时。作为网络防御的第一线，接入认证是一项重要的技术来识别访问天体一体化网络接入端的合法性并防止非法节点的访问。因此，设计一个适用于天地一体化网络的安全接入认证方法及系统对于天地一体化网络抵御非法接入、防范数据泄露等请至关重要。

在现有技术中，第一种安全接入认证方案考虑到低轨卫星的移动速度太快，可能导致接入节点发生频繁的星内和星间切换。因此，提出了一种快速的重新认证机制该方案，该方案在一组用户切换到另一颗卫星进行身份验证时引入了批量处理的概念以提高切换效率。

该方案的目的是提供一种天地一体化空间信息网络低时延匿名接入认证方法，其将认证功能转移到低轨卫星上，从而降低执行认证流程的时延；同时，在注册阶段为用户产生多个临时身份，实现用户的匿名认证，保护用户的身份及位置隐私；并且给予身份的加密体制还能够有效地定位恶意用户。

该方案分为五个阶段：

1.系统初始化阶段：建立系统参数；

2.注册阶段：用户通过向认证中心登记注册以获取相关用户信息(临时身份信息及公私钥对)，同时，用户完成注册时，认证中心还向相关的接入卫星发送认证所需信息，完成卫星的注册；

3.密钥预协商阶段：地面信关站定期向卫星广播密钥预协商参数，来保证密钥协商的安全，卫星接收到预协商参数后进行存储，用于在认证阶段生成会话密钥；

4.认证阶段：用户利用用户信息生成认证向量Auth1并发给接入卫星，由接入卫星对认证向量Auth1进行验证，若验证通过，则利用接入卫星利用认证所需信息生成认证相量Auth2并发送给用户，同时，将用户此次认证所使用的临时身份信息以及相关的密钥协商参数发给信关站；由用户对认证向量Auth2进行验证，若验证通过，则计算与信关站通信的会话密钥，同时，信关站也利用接收到的信息计算与用户通信的会话密钥完成双向认证。

5.切换认证阶段：对于低速用户，地面信关站提前将其服务的用户白名单上报给即将切换的目标卫星，之后用户向当前卫星发送切换信息，当前卫星将信息转发给即将切换的目标卫星，它根据获取到的用户白名单判断是否接受切换请求；对于高速移动的用户，如飞机、无人机等，其切换不仅要考虑星间切换，也要考虑地面信关站之间的切换，因此要先完成目标卫星与新地面信关站之间的密钥预协商，之后用户将切换信息发送给当前卫星，当前卫星将所有要用户的切换消息批量发送给目标卫星进行批量验证，如果验证通过则原路返回成功信息，否则采用分治法来检测无效的切换消息，并对该消息源用户返回拒绝消息，对通过用户返回成功切换消息。

现有技术中的第二种安全接入认证方案，提出了一种基于身份的高效、轻量级的天地一体化网络相互认证方案MASIT(Mutual authentication scheme for space groundintegrated network，天地一体化网络相互认证方案)。MASIT充分利用了天地一体化物联网的广播特性，设计生成基于身份的服务器签名，实现用户对认证服务器的认证；加快了认证过程，并利用IPv6(Internet Protocol Version 6，互联网协议第6版)的独特特性支持多个并发节点。解决了传统安全认证方案证书管理复杂、传输带宽和计算时间开销大、无法实现任意互联网节点双方的互认证、无法实现核心节点与大范围内的大量互联网节点之间的安全互认证的问题。该方案与传统的基于身份的安全认证方法相比，用户签名验证时间有效减小；结合广播预认证机制，实际单播传输的认证服务器签名大小可大大减小。有效提高互联网节点安全认证的高效性。

该方案分为五个阶段：

1.系统初始化阶段：建立系统参数；

2.注册阶段：用户和认证中心通过向私钥生成中心提供ID(Identity document，身份标识)登记注册以获取相关私钥；

3.网络控制中心广播签名：这一阶段完成地面节点对网络控制中心的认证，利用天地一体化网络的广播特性，通过飞行节点(飞机、卫星等)将认证消息(包括时间戳、随机数、认证请求等)及其网络控制中心的签名广播给大量地面节点；

4.地面节点请求接入认证：地面节点在收到广播消息后，开始验证网络控制中心的签名来完成对其单向认证，认证通过后，地面节点向网络控制中心发送带有其签名的消息来请求接入认证；

5.网络控制中心验证：网络控制中心对接收到的地面节点认证签名消息进行验证，如果通过，则MASIT双向认证完成。

可是，现有技术提供的两种方案均具有一定的缺陷：

第一种安全接入认证方案的缺陷：

1.在双向认证过程中，卫星验证用户发来的消息时首先验证该消息的传输时延是否在允许的时间间隔内，由此判断是否进行正式的验证步骤，而此处设置的时间间隔是一个根据经验估计的预计值，由此存在缺陷缺乏灵活性，其双向认证方案可以优化；

2.用户在进行切换认证时，虽然采用批量验证的方案，虽然节省了部分计算开销，但其计算开销和传输开销仍随着用户的数量不断增大，缺乏轻量性。

第二种安全接入认证方案的缺陷：

1.该方案在认证时，首先没有考虑用户匿名性，直接使用用户的原始ID进行私钥的生成，这带来了极大的安全风险；

2.同时，由于天地一体化网络中卫星节点的高速移动，为了保持地面节点能持续稳定的访问网络，地面节点需要频繁的在卫星或同一卫星的不同波束之间切换，该方案没有到地面节点的移动切换时的快速重新认证方式；

3.用户每次认证均需要通过飞行节点FN(flying node，飞行节点)与地面认证中心NAC(Network Access Control，网络认证中心)进行通信，卫星只当作消息中转站并没有充当代理认证中心，导致认证时延过大。

为了克服现有技术中的上述缺陷，本发明各实施例的构思为：通过引入卫星代理认证功能的组认证方案以减少资源消耗，即使接入接入端的数量增加，资源消耗也将保持恒定。

本发明各实施例是首次在接入认证中引入组播通信方式传输重新认证消息，以大大降低认证延迟和信令开销。

在详细介绍本申请的各实施例之前，首先需要介绍本实施例中出现的各实体设备：

1.接入端MN(moving node，移动节点)：本系统的实体用户；可以理解的是，本实施例中，可以认为移动节点为接入端；

2.认证代理中心PAC(Proxy Access Control，代理认证中心):由低轨卫星LEO(Low Earth Orbit，低轨卫星)充当，当节点再次访问网络时进行身份验证，代理认证中心提供节点代理认证服务；与GEO(the geostationary orbit，高轨卫星)和MEO(MediumEarth Orbit,中轨道卫星)卫星相比，LEO卫星离地球更近。因此，用LEO卫星充当代理认证中心的传输延迟更短，传输开销更低；

3.地面网关站TGS(Telemetry Ground Station，地面网关站):提供代理认证中心和网络认证中心之间的身份认证消息的传输；

4.网络认证中心NAC(Network Access Control，网络认证中心)：当节点想要接入认证访问网络时，网络认证中心提供节点认证服务的全部标识。

下面通过各实施例详细介绍本申请的技术方案：

图1是本发明实施例提供的一种网络接入切换方法的流程示意图，如图1所示，该方法包括如下步骤：

步骤100，当前接入端将接入认证消息发送至其所在的当前组的组播地址，以使所述当前组内的目标认证节点基于所述接入认证消息和当前组的组相关信息表，验证所述当前组内所有接入端的身份，且使所述当前组内其他接入端不再发送接入认证消息；

具体地，本实施例中，当作为代理认证中心的卫星在低轨上移动时其覆盖区域会相应的变化。因此，需要新的PAC代理认证中心重新认证接入的接入端。由于接入端的数量较大，在此切换认证过程中会有大量的请求。因此，可以引入组播认证方案来减少接入认证消息的数量，在接入端进行星间切换认证时采用组播认证方式，一旦一个组成员被认证，整个组都会被认证。当前接入端将接入认证消息发送至其所在的当前组的组播地址，组内其余的成员发现有一个成员发送了接入认证消息后，为节省传输开销，将不再发送接入认证消息，目标认证节点也只需要接收组内的一条接入认证消息，便开始对组内所有接入端进行身份验证。

可以理解的是，本实施例中，目标认证节点可以基于当前组的组相关信息表，获知当前组内所有的接入端，并基于通过组播地址收到的接入认证消息，验证组内所有接入端的身份。

步骤110，接收所述目标认证节点在对所述当前组内所有接入端的身份验证通过后发送到所述组播地址的验证消息，则确认成功重新接入网络；

具体地，目标认证节点基于接入认证消息和当前组的组相关信息表，验证当前组内所有接入端的身份后，可以向组播地址发送身份验证成功的验证消息，组内所有的接入端包括当前接入端均可以收到验证消息，并确认验证通过。

具体地，组相关信息表内包括当前组内所有接入端的接入端标识，可以使得目标认证节点基于当前组的组相关信息表，获知当前组内所有的接入端，进一步对所有接入端进行身份验证。

具体地，本实施例中，为了使组内所有组成员均可以接收并解密接入认证消息，接入认证消息通过组共享密钥生成，其中，当前组的组共享密钥以及组播地址在所述当前接入端初次接入网络时获取，且当前组的组共享密钥以及组播地址对于当前组的所有组成员均是已知的。

具体地，假设在天地一体化网络中每一个LEO，其覆盖的n个MN节点可以划分为m个组。组成员使用共享的组会话密钥SK将重新接入认证消息发送到组播地址，同一组中的其他成员将抑制其自身的重新认证消息并等待来自PAC的组播回复消息。组成员从PAC接收已验证MN身份的消息。最终，GID_MN由休眠状态变为活跃状态，该组中的所有组成员都通过了身份验证。组播构建标准可采用IGMPv3协议(RFC3376)，其特点在于用户可以指定接收来自特定组播源对象的流量，阻止非指定源的流量减少干扰，同时对于天地一体化网络中动态变化的组播成员来说，该协议也包含了查询离开消息，允许迅速向路由协议报告组成员终止的情况。

可以理解的是，对于一个组，其所有组成员获知的组共享密钥均是一致的。

本实施例在接入认证中引入组播通信方式，尤其在大量的接入端需要重新认证到链路切换的新接入点上时，提出组播认证阶段来传输重新认证消息，大大减少了现有协议的认证延迟和信令开销。

本发明实施例提供的网络接入切换方法，通过将接入认证消息发送至接入端所在的当前组的组播地址，以使当前组内的目标认证节点基于接入认证消息和当前组的组相关信息表，验证所述当前组内所有接入端的身份，且使所述当前组内其他接入端不再发送接入认证消息，实现批量用户轻量级的接入认证请求；目标认证节点在对当前组内所有接入端的身份验证通过后发送到组播地址的验证消息，则确认成功重新接入网络；实现了在大量的接入端需要重新认证到链路切换的新接入点上时，通过组播认证阶段来传输重新认证消息，大大减少了现有协议的认证延迟和信令开销。

可以理解的是，本实施例中，验证消息即为目标认证节点对接入端的认证回复消息。

可选地，在上述实施例的基础上，所述将接入认证消息发送至其所在的当前组的组播地址之前，还包括：

基于当前组标识获得所述当前组的组播地址；

具体地，当前接入端将接入认证消息发送至其所在的当前组的组播地址之前，可以首先基于当前组标识获得当前组的组播地址。可以理解的是，每一个组的组标识仅对应一个组播地址，且一旦一个组的组播地址确定，则不再发生变化。接入端基于组标识即可直接获得组播地址；因此当前接入端需要首先获得其接入的当前组标识。

本实施例中，每一个接入端在获得其所在组的组标识时，可以在接入端初次接入天地一体化网络的过程中从初始认证的代理认证中心获得，即当前接入端也是在初次接入网络时从其初始认证卫星获取的。

具体地，图2是本发明实施例提供的一种网络接入方法的流程示意图，如图2所示，在当前接入端初次接入网络时，接入过程为以下四个步骤:

步骤一，初始化阶段：在这一阶段，由网络认证中心建立如下系统参数：素数p；由素数p、整数a和b定义的椭圆曲线上的点集E_p(a,b)；同时选择椭圆曲线上的一个生成元P；系统主密钥和系统公钥，单向哈希函数hash1:

hash2:

G₁是生成元P的p阶循环加法群，G₂是椭圆曲线上的p阶循环乘法群，

表示阶数为p非零整数群。然后将这些参数发布给天地一体化网络中的其他实体。基于这些参数，关键是系统公钥，对方ID以及生成元P，接入端和代理认证中心可以计算双方的公钥。

同时，代理认证中心初始化组相关信息表包括的两个表，即用于管理在其覆盖范围内所有组的组标识符映射表(GIMT)和用于管理第i个组中的组成员的组成员映射表(GMMT)，其中GIMT表的属性信息包括组ID，PAC的覆盖区域，PAC的切换顺序和活跃或休眠等可选状态，而GMMT的属性信息包括接入端的访问ID(AID_MN)，接入端的组ID(GID_MN)和接入端的共享组会话密钥SK。基于代理认证中心覆盖区域，可以提前划分组数以及切换顺序。在此阶段，每个组都被设置为休眠状态。

步骤二，注册阶段：用户即当前接入端通过向地面的网络认证中心登记注册以获取相关用户信息，为了保护接入用户的隐私，网络认证中心将在注册阶段基于用户节点的真实身份标识ID_MN为每个节点生成接入身份标识AID_MN，相关用户信息主要包括接入端标识AID，以实现身份匿名，以及当前接入端的私钥，当前接入端完成注册时，认证中心还向其初始接入的卫星即初始代理认证中心发送认证所需的信息，即该初始代理认证中心的私钥；可以理解的是，网络认证中心会为接入端及代理认证中心计算好各自的私钥，用于供接入端和代理认证中心在认证时传输信息的加密使用。

具体地，在接入端和代理认证中心应用身份认证系统之前，应该基于其身份标识向网络认证中心注册来获取相应的私钥。网络认证中心在计算完上述私钥之后，将通过诸如离线之类的机制由网络认证中心在安全通信信道中向各自分别发送接入端的长期私钥PTK_MN和代理认证中心的长期私钥PTK_PAC。代理认证中心和接入端可以用各自的私钥通过签名对认证过程中发送的消息进行加密。接收者只有通过对应发送者的公钥，才能验证签名并认证发送者的身份。同时，代理认证中心将自己生成IPv6链路本地地址LID_PAC作为接口单播地址。为了减少接入节点和代理认证中心之间的切换延迟，可以使不同的代理认证中心保持相同的接口单播地址LID_PAC。

步骤三，广播认证阶段：相互认证过程通常以接入端请求接入与其他节点进行通信开始。但是，与地面网络节点不同，代理认证中心具有丰富的广播范围和资源。因此，在本实施例中的相互认证过程开始时，代理认证中心会使用其私钥签名定期广播相互认证请求消息，包括随机数和时间戳；具体地，随机数用于身份验证时的计算过程。代理认证中心可以利用天地一体化网络广播范围大、广播资源丰富的优点通过广播的形式定期向服务范围内所有接入端发送相互认证请求来减少对下行链路的带宽占用，广播周期可结合实际应用场景设定，如选取60s/次，接入端收到广播认证消息后，根据初始化阶段给出的公钥参数计算出代理认证中心的公钥，并验证代理认证中心的签名来认证代理认证中心的身份。若验证通过，则进行单播认证阶段。

步骤四，单播认证阶段：与广播认证阶段不同，接入端通过单播使用其私钥签名发送认证请求消息，包括随机数，时间戳和地理位置。当前接入端通过单播形式发送认证请求消息，在代理认证中心从接入端接收到认证请求消息之后，基于系统公钥，对方ID以及生成元P，计算每个接入端的公钥并验证接入端签名的身份，如果验证通过，则可以证明该接入的接入端是合法节点。然后，代理认证中心生成接入端的共享组会话密钥SK，并根据接入端的地理位置获得接入端应该加入的组，并将接入端的AID_MN添加到相应的组中。最后，代理认证中心可以使用其私钥发送包括SK和组标识GID_MN的认证响应消息。接入端接收到该消息后通过步骤三计算出的PAC公钥获得SK和GID_MN。接入端基于组标识GID_MN生成当前组的组播地址。至此，代理认证中心和接入的接入端完成了第一次相互身份认证，接入的接入端可以合法的访问天地一体化网络。

基于上述四个步骤，当前接入端也获得了当前组的组播地址以及组共享密钥SK。

其中，本实施例提出的这种安全、轻量的天地一体化网络接入认证方案，具体基于IPv6和椭圆曲线密码学提出了一种由三个部分，五个程序阶段组成的基于身份的天地一体化网络双向认证方案。

其中，上述三个部分分别为：

1.认证段：认证段负责天地一体化网络中的单播认证和组播认证，包括通信密钥分发，接入端和代理认证中心注册，认证策略建立和组播地址分配。身份认证段由太空中的代理认证中心和地面的网络接入认证中心组成。

2.控制段：控制段负责通过空间控制器和地面控制器转发身份认证数据。在单播身份认证阶段，包括各种卫星的空间控制器将身份认证数据转发到地面控制器。诸如网关站的地面控制器将地面认证数据转发给认证中心。

3.接入段：接入段由各种接入实体组成，这些实体会请求由NAC进行身份认证的接入，例如各种地面和空间移动通信节点。

在本实施例中，接入层中的实体首先向控制段发送接入认证请求，然后接入认证数据通过空间和地面控制器转发到认证段。最后，基于身份认证策略，PAC和认证段中的地面认证中心将响应认证请求回复到控制层，并完成整个身份认证过程。

可选地，在上述实施例的基础上，所述组相关信息表包括：用于反映每一认证卫星覆盖范围内的所有组的组标识的组标识映射表，以及用于反映每一组内的接入端标识及每一组的组共享密钥的组成员映射表；

所述组相关信息表在所有认证卫星之间通过卫星通信共享。

具体地，组相关信息表包括的两个表，即用于管理在其覆盖范围内所有组的组标识符映射表(GIMT)和用于管理第i个组中的组成员的组成员映射表(GMMT)，其中GIMT表的属性信息包括组ID，PAC的覆盖区域，PAC的切换顺序和活跃或休眠等可选状态，而GMMT的属性信息包括接入端的访问ID(AID_MN)，接入端的组ID(GID_MN)和接入端的共享组会话密钥SK。

可以理解的是，本实施例中，组相关信息表在所有认证卫星之间通过卫星通信共享，作为代理认证中心的卫星均可以获得最新的组相关信息。

图3是本发明实施例提供的一种网络接入切换方法的流程示意图，如图3所示，该方法包括如下步骤：

步骤300，目标认证节点接收其所在的当前组内的当前接入端发送至组播地址的接入认证消息，所述接入认证消息为所述当前组内所有接入端唯一发送的接入认证消息；

具体地，目标认证节点接收其所在的当前组内的当前接入端发送至组播地址的接入认证消息，可以理解的是，当前接入端将接入认证消息发送至其所在的当前组的组播地址，组内其余的成员发现有一个成员发送了接入认证消息后，为节省传输开销，将不再发送接入认证消息，目标认证节点也只需要接收组内的一条接入认证消息便开始对组内所有接入端进行身份验证。

步骤310，基于所述接入认证消息和当前组的组相关信息表，验证所述当前组内所有接入端的身份；

具体地，本实施例中，目标认证节点可以基于当前组的组相关信息表，获知当前组内所有的接入端，并基于通过组播地址收到的接入认证消息，验证组内所有接入端的身份。

步骤320，在对所述当前组内所有接入端的身份验证通过后，发送验证消息到所述组播地址，以使所述当前组内所有接入端确认成功重新接入网络；

可选地，在上述实施例的基础上，所述基于所述接入认证消息和当前组的组相关信息表，验证所述当前组内所有接入端的身份，具体包括：

基于所述组共享密钥解密所述接入认证消息；

具体地，在目标认证节点接收其所在的当前组内的当前接入端发送至组播地址的接入认证消息后，可以基于组共享密钥解密接入认证消息；可以理解的是，组共享密钥是目标认证节点基于组相关信息表获得；

具体地，目标认证节点在接收组内的一条接入认证消息便对组内所有接入端进行身份验证，其中，目标认证节点可以基于当前组的组相关信息表获知当前组内的所有接入端，并进行验证。

可选地，在上述实施例的基础上，所述组播地址为所述当前接入节点基于当前组标识获得；所述当前组标识为所述当前接入节点初次接入网络时从其初始认证卫星获取的。

可选地，在上述实施例的基础上，所述组相关信息表包括：用于反映每一认证卫星覆盖范围内的所有组的组标识的组标识映射表，以及用于反映每一组的接入端标识及每一组的组共享密钥的组成员映射表；

所述组相关信息表在所有认证卫星之间通过卫星通信共享。

下面对本发明实施例提供的网络接入切换装置进行描述，下文描述的网络接入切换装置与上文描述的网络接入切换方法可相互对应参照。

图4是本发明实施例提供的一种网络接入切换装置的结构示意图，如图4所示，该装置包括：发送模块410及接收模块420；其中：

发送模块410用于当前接入端将接入认证消息发送至其所在的当前组的组播地址，以使所述当前组内的目标认证节点基于所述接入认证消息和当前组的组相关信息表，验证所述当前组内所有接入端的身份，且使所述当前组内其他接入端不再发送接入认证消息；

接收模块420用于接收所述目标认证节点在对所述当前组内所有接入端的身份验证通过后发送到所述组播地址的验证消息，则确认成功重新接入网络；

具体地，网络接入切换装置通过发送模块410将基于当前组的组共享密钥生成的接入认证消息发送至当前接入端所在的当前组的组播地址，以使当前组内的目标认证节点基于接入认证消息和包括当前组内所有接入端的接入端标识的组相关信息表，验证当前组内所有接入端的身份，且使当前组内其他接入端不再发送接入认证消息；再通过接收模块420接收目标认证节点在对当前组内所有接入端的身份验证通过后发送到所述组播地址的验证消息，则确认成功重新接入网络。

本发明实施例提供的网络接入切换装置，通过将接入认证消息发送至接入端所在的当前组的组播地址，以使当前组内的目标认证节点基于接入认证消息和当前组的组相关信息表，验证所述当前组内所有接入端的身份，且使所述当前组内其他接入端不再发送接入认证消息，实现批量用户轻量级的接入认证请求；目标认证节点在对当前组内所有接入端的身份验证通过后发送到组播地址的验证消息，则确认成功重新接入网络；实现了在大量的接入端需要重新认证到链路切换的新接入点上时，通过组播认证阶段来传输重新认证消息，大大减少了现有协议的认证延迟和信令开销。

图5是本发明一实施例提供的电子设备的实体结构示意图，如图5所示，该电子设备可以包括：处理器(processor)510、通信接口(Communications Interface)520、存储器(memory)530和通信总线540，其中，处理器510，通信接口520，存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令，以执行网络接入切换方法，该方法包括：当前接入端将接入认证消息发送至其所在的当前组的组播地址，以使所述当前组内的目标认证节点基于所述接入认证消息和当前组的组相关信息表，验证所述当前组内所有接入端的身份，且使所述当前组内其他接入端不再发送接入认证消息；

此外，上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

另一方面，本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的网络接入切换方法，该方法包括：当前接入端将接入认证消息发送至其所在的当前组的组播地址，以使所述当前组内的目标认证节点基于所述接入认证消息和当前组的组相关信息表，验证所述当前组内所有接入端的身份，且使所述当前组内其他接入端不再发送接入认证消息；

又一方面，本发明实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的网络接入切换方法，该方法包括：当前接入端将接入认证消息发送至其所在的当前组的组播地址，以使所述当前组内的目标认证节点基于所述接入认证消息和当前组的组相关信息表，验证所述当前组内所有接入端的身份，且使所述当前组内其他接入端不再发送接入认证消息；

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

1.一种网络接入切换方法，其特征在于，包括：

在天地一体化网络中，当前接入端将接入认证消息发送至其所在的当前组的组播地址，以使所述当前组内的目标认证节点基于所述接入认证消息和当前组的组相关信息表，验证所述当前组内所有接入端的身份，且使所述当前组内其他接入端不再发送接入认证消息；

其中，所述组相关信息表内包括当前组内所有接入端的接入端标识；所述接入认证消息基于所述当前组的组共享密钥加密生成，所述当前组的组共享密钥以及组播地址在所述当前接入端初次接入网络时获取；

所述目标认证节点是在所述天地一体化网络中充当代理认证中心的低轨卫星。

2.根据权利要求1所述的网络接入切换方法，其特征在于，所述将接入认证消息发送至其所在的当前组的组播地址之前，还包括：

基于当前组标识获得所述当前组的组播地址；

3.根据权利要求1所述的网络接入切换方法，其特征在于，所述组相关信息表包括：用于反映每一认证卫星覆盖范围内的所有组的组标识的组标识映射表，以及用于反映每一组内的接入端标识及每一组的组共享密钥的组成员映射表；

所述组相关信息表在所有认证卫星之间通过卫星通信共享。

4.一种网络接入切换方法，其特征在于，包括：

在天地一体化网络中，目标认证节点接收其所在的当前组内的当前接入端发送至组播地址的接入认证消息，所述接入认证消息为所述当前组内所有接入端唯一发送的接入认证消息；

其中，所述组相关信息表内包括当前组内所有接入端的接入端标识；所述接入认证消息为当前接入端基于所述当前组的组共享密钥加密生成，所述当前组的组共享密钥以及组播地址在所述当前接入端初次接入网络时获取；

5.根据权利要求4所述的网络接入切换方法，其特征在于，所述基于所述接入认证消息和当前组的组相关信息表，验证所述当前组内所有接入端的身份，具体包括：

基于所述组共享密钥解密所述接入认证消息；

6.根据权利要求4所述的网络接入切换方法，其特征在于，所述组播地址为所述当前接入节点基于当前组标识获得；所述当前组标识为所述当前接入节点初次接入网络时从其初始认证卫星获取的。

7.根据权利要求4所述的网络接入切换方法，其特征在于，所述组相关信息表包括：用于反映每一认证卫星覆盖范围内的所有组的组标识的组标识映射表，以及用于反映每一组的接入端标识及每一组的组共享密钥的组成员映射表；

所述组相关信息表在所有认证卫星之间通过卫星通信共享。

8.一种网络接入切换装置，其特征在于，包括：

发送模块，用于在天地一体化网络中，当前接入端将接入认证消息发送至其所在的当前组的组播地址，以使所述当前组内的目标认证节点基于所述接入认证消息和当前组的组相关信息表，验证所述当前组内所有接入端的身份，且使所述当前组内其他接入端不再发送接入认证消息；

9.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至7任一项所述网络接入切换方法的步骤。

10.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1至7任一项所述网络接入切换方法的步骤。