CN112332901B - 一种天地一体化移动接入认证方法及装置 - Google Patents

Abstract

本发明实施例提供一种天地一体化移动接入认证方法及装置，所述方法包括:空基接入点获取用户终端与空基接入点之间的位置变化幅度，并获取用户身份模块相对于终端设备之间的变动信息；用户身份模块为存储用户的接入标识与用户证书的装置；终端设备为用于识别用户身份模块与接收用户认证信息的装置；基于位置变化幅度和变动信息，对用户终端进行接入认证。通过用户身份模块内的接入标识信息及其证书中密钥加密后的信息与认证鉴权中心数据库进行对比，进而实现用户的认证；同时解决了接入交换路由器与用户终端的相对移动造成设备周期性的网络切换问题，简化了用户终端接入认证的程序,提高了用户终端的接入效率。

Description

一种天地一体化移动接入认证方法及装置

技术领域

本发明涉及卫星通信技术领域，尤其涉及一种天地一体化移动接入认证方法及装置。

背景技术

在保障网络安全的各类协议中，认证机制是用户准入与网络接入的基石，是抵御网络攻击的第一道防线。如果没有一种高效率、高鲁棒性、健全的接入认证机制，将给网络带来极大的安全性威胁。地面网络经过多年发展，具备系统化的层次性的体系架构，且拓扑相对稳定，服务器拥有大量运算资源，网络带宽充沛，因此各种接入认证机制可以充分发挥作用。

不同于地基网络，天地一体化信息网络包括了地基空基以及海基等异构网络，网络间的链路大多数由无线链路互联，导致其拥有较高的时延及较大的误码率，且节点暴露在开放环境中易遭受攻击，并且由于其网络构成包含中低轨卫星等，导致其网络拓扑复杂多变。在这种复杂的网络环境下提供认证，面临着诸多挑战，为此先后出现了一系列相关的认证方法。主要包括星地认证和切换认证。

但是，现有的技术方案在面临用户移动和网络移动时，存在用户终端接入认证时程序繁琐复杂的问题，并导致了认证接入效率低下的缺陷。

发明内容

本发明实施例提供一种天地一体化移动接入认证方法及装置，用以解决现有技术中当面临用户移动和网络移动时，存在的用户终端接入认证时程序繁琐复杂的问题，以及导致的认证接入效率低下的缺陷，简化用户终端接入认证时程序,提高认证接入效率。

本发明实施例提供一种天地一体化移动接入认证方法，包括：

空基接入点获取用户终端与所述空基接入点之间的位置变化幅度，并获取用户身份模块相对于终端设备之间的变动信息；所述空基接入点是指设置于卫星轨道的所述用户终端接入网络的设备；所述用户终端由所述用户身份模块和所述终端设备组成；所述用户身份模块为存储用户的接入标识与身份证书的装置；所述终端设备为用于识别所述用户身份模块与接收用户认证信息的装置；

基于所述位置变化幅度和所述变动信息，对所述用户终端进行接入认证。

根据本发明一个实施例的天地一体化移动接入认证方法，所述基于所述位置变化幅度和所述变动信息，对所述用户终端进行接入认证，具体包括：

基于所述用户终端与空基接入点之间的位置变化幅度，获取所述用户终端的网络接入位置的切换信息；

基于所述用户身份模块相对于终端设备之间的变动信息，获取用于识别所述用户身份模块的终端设备的改变信息；

基于所述切换信息和所述改变信息，对所述用户终端进行接入认证。

根据本发明一个实施例的天地一体化移动接入认证方法，所述基于所述切换信息和所述改变信息，对所述用户终端进行接入认证，具体包括：

基于所述用户终端的网络接入位置的切换信息判断所述网络接入位置是否发生改变；

若所述网络接入位置发生改变，基于第一空基接入点和第二空基接入点之间的交互，对所述用户终端进行接入认证；所述第一空基接入点为所述网络接入位置发生改变前的空基接入点，所述第二空基接入点为所述网络接入位置发生改变后的空基接入点；

基于所述用户身份模块的终端设备的改变信息判断用于识别所述用户身份模块的终端设备是否发生改变；

若用于识别所述用户身份模块的终端设备发生改变，所述用户终端向接入交换路由器发送认证请求；

所述接入交换路由器通过认证路由器对所述用户终端进行接入认证。

根据本发明一个实施例的天地一体化移动接入认证方法，所述基于第一空基接入点和第二空基接入点之间的交互，对所述用户终端进行接入认证，具体包括：

所述第一空基接入点根据其位置信息激活其存储的切换序列信息表；所述切换序列信息表是预设的用于存储空基接入点之间的切换序列的信息表；

所述第一空基接入点基于所述切换序列信息表，发送迁移消息至所述第二空基接入点；所述迁移消息是由源空基接入点对目标空基接入点发出的用于对所述用户终端进行接入认证的指令；

所述第二空基接入点接收所述第一空基接入点发送的迁移消息；

所述第二空基接入点基于所述迁移消息对所述用户终端进行接入认证。

根据本发明一个实施例的天地一体化移动接入认证方法，所述接入交换路由器通过认证路由器对所述用户终端进行接入认证，具体包括：

所述接入交换路由器基于接收到的所述认证请求通过认证服务器获取认证结果；

所述接入交换路由器将所述认证结果发送至所述用户终端实现对所述用户终端的接入认证。

根据本发明一个实施例的天地一体化移动接入认证方法，所述接入交换路由器将所述认证结果发送至所述用户终端实现对所述用户终端的接入认证，之前还包括：

所述接入交换路由器基于获取的所述认证结果为所述用户终端分配路由标识；

所述接入交换路由器基于所述路由标识生成映射条目；

所述接入交换路由器将所述映射条目发送至映射服务器进行保存。

根据本发明一个实施例的天地一体化移动接入认证方法，所述接入交换路由器将所述映射条目发送至映射服务器进行保存，之后还包括：

所述接入交换路由器将所述用户终端的接入标识和权限信息发送至临近卫星设备；所述权限信息是从所述认证结果中获取的用于表征所述用户终端的用户权限的信息；

所述临近卫星设备基于接收的所述用户终端的接入标识和权限信息生成备份映射条目；所述备份映射条目用于当所述用户终端移动至所述临近卫星设备网段下时，对所述用户终端进行接入认证。

本发明实施例还提供一种天地一体化移动接入认证装置，包括：

信息获取模块：用于通过空基接入点获取用户终端与所述空基接入点之间的位置变化幅度，并获取用户身份模块相对于终端设备之间的变动信息；所述空基接入点是指设置于卫星轨道的所述用户终端接入网络的设备；所述用户终端由所述用户身份模块和所述终端设备组成；所述用户身份模块为存储用户的接入标识与身份证书的装置；所述终端设备为用于识别所述用户身份模块与接收用户认证信息的装置；

接入认证模块：用于基于所述位置变化幅度和所述变动信息，对所述用户终端进行接入认证。

本发明实施例还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述一种天地一体化移动接入认证方法的步骤。

本发明实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述一种天地一体化移动接入认证方法的步骤。

本发明实施例提供的一种天地一体化移动接入认证方法及装置，通过用户身份模块内的接入标识信息及其证书中密钥加密后的信息与认证鉴权中心数据库进行对比，进而实现用户的认证；同时解决了接入交换路由器与用户终端的相对移动造成设备周期性的网络切换问题，简化了用户终端接入认证的程序,提高了用户终端的接入效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种天地一体化移动接入认证方法中基本认证消息交互过程示意图；

图2是本发明实施例提供的一种天地一体化移动接入认证方法的流程示意图；

图3是本发明实施例提供的一种天地一体化移动接入认证装置的结构示意图；

图4是本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在保障网络安全的各类协议中，认证机制是用户准入与网络接入的基石，是抵御网络攻击的第一道防线。如果没有一种高效率、高鲁棒性、健全的接入认证机制，将给网络带来极大的安全性威胁。地面网络经过多年发展，具备系统化的层次性的体系架构，且拓扑相对稳定，服务器拥有大量运算资源，网络带宽充沛，因此各种接入认证机制可以充分发挥作用。但是，与地基网络不同，天地一体化信息网络包括了地基空基以及海基等异构网络，网络间的链路大多数由无线链路互联，导致其拥有较高的时延及较大的误码率，且节点暴露在开放环境中易遭受攻击，并且由于其网络构成包含中低轨卫星等，导致其网络拓扑复杂多变。在这种复杂的网络环境下提供认证，面临着诸多挑战，为此先后出现了一系列相关的认证方法。综合起来，主要包括以下两大类：

(一)星地认证

早在1996年卫星接入认证方案就被提出，Cruick Shank H.S.基于公私钥机制以及对称秘钥机制提出了一个能实现用户与卫星网络间相互认证的认证系统。但是，由于该方法需要大量的加解密过程和消耗大量的网络资源，导致系统吞吐量不够理想。此外，由于认证过程中，用户需将证书传递到服务器，可能导致隐私泄露问题。为了避免卫星上执行大量的运算，Hwang Min-Shiang等人在2003年提出了采用对称密钥加密的接入认证系统能有效的降低认证流程对卫星系统带来的开销。但是，其也带来了一些弊端：(1)每个会话密匙都依赖于上个会话的密匙，因此可能被攻击者推测出后续的密钥；(2)由于采用对称密钥，因此不可避免地带来服务器被攻击导致所有用户密钥信息泄露的问题；(3)由于用户一旦通过认证，服务器端就需要更新会话密钥，当并发数提升后，地基网管中心可能会成为系统瓶颈。此外，Zhang等人^[3]为了提升认证的效率提出一种仅用哈希函数的认证方案，但是却无法保障安全性。Yan等人^[4]指出Zhang等人的方案可能遭受DoS攻击，并且提出了一种改进方案，但是未证明其可信性。Wu^[5]在Zhang等人的基础上修改，提出了一种轻量级的移动卫星通信认证与密钥协商方案。Chang^[6]等人提出了基于异或操作和哈希操作的认证方案，以减少协议开销。但是，其也存在着一旦哈希链上哈希值用尽后，需要极高的运算代价执行密钥更新。Liu等人^[7]提出了一种基于用户临时的身份认证的机制，用户使用临时身份进行认证，临时身份在每个验证的流程中独立的更新，每次认证结束后都会将用户的临时身份进行更新以达到用户隐私保护的目的。2019年，Qi等人^[8]提出了一种基于对称加密和椭圆曲线加密算法的卫星认证方法。

(二)切换认证

由于低轨卫星相对于用户高速移动，因此地基用户不可避免的需要频繁切换卫星接入节点，而如果每次切换节点都需要重新认证就会使得业务无法流畅的进行。因此，认证机制还需考虑切换的问题。

Choi等人^[9]针对3GPP标准中的通信场景提出了基于哈希链的切换认证机制。Li等人^[10]提出了一种群组多用户的快速认证机制，采用了对称加密体系，在群内完成认证的用户可以向其他用户发送与某接入点的认证信息，使得其他用户均可计算出与该接入点通信的密匙，以实现高效的切换。He等人^[11]提炼出切换认证协议的基本安全准则，针对高铁中的命名数据网络的切换问题提出了一种切换认证协议。朱辉等人在2019年提出了一种地轨卫星的用户动态接入认证方法，通过基于令牌网的预认证机制实现星间切换时的认证。

上述这些认证方案主要侧重于通过结合应用场景特点，通过引入不同密钥体制，借助组播、快速切换等机制来优化认证性能，主要应用于以IP为主的网络中，而在天地一体化网络中，基于IP的网络设计由于IP内置的双重性，其在支持移动性方面存在着天然不足，而其后续改进的移动性支持方案则存在着路由不优化、对终端不透明、存在单一失效点等问题，尚无法高效解决移动问题。为此，本发明专利拟设计一种基于标识网络的认证方法及装置。该发明基于标识网络的接入与核心分离机制，来对用户提供接入认证，并充分考虑与当前用户终端的兼容，进行了优化设计，以提供接入认证服务。

标识网络(或一体化标识网)背景介绍：

针对传统互联网原始设计体系与机制存在的严重问题，标识网络提出了以“两层模型”、“三次映射”、“四种标识”为典型特征的标识网络架构，解决了新型互联网的体系结构问题。针对传统互联网网络安全性、移动性和可扩展性差等问题，其采用用户与网络分离的思想，提出了以“接入标识”、“路由标识”及其分离解析映射机制为核心的“基础设施层”关键技术与方法，从本质上大幅提高了网络安全性、移动性和可扩展性。针对传统互联网服务质量差、资源利用低等问题，采用资源与位置分离的思想，发明了以“服务标识”、“连接标识”及其分离解析映射机制为核心的“普适服务层”关键技术与方法，创建了各种服务的统一命名与获取机制，有效提升了服务质量、服务迁移、资源利用等服务支持能力。

就构建天地一体化网络需求而言，其优势在于：(1)标识网络通过户空间与网络空间的分离，用户难以获知网络拓扑、编址等敏感信息，加大其攻击网络的难度，保障网络侧安全；用户侧还可通过认证系统进行有效的进入控制，进一步保障网络测的安全；(2)采用标识网络自主协议体系，包括接入认证、标识映射、路由管理等，保障网络的多维监管与控制。

Hwang等人的方案分为两个阶段：移动用户注册阶段和移动用户认证阶段。同时，它使用会话密钥来加密数据。

(1)移动用户注册阶段：

在访问LEO卫星通信系统服务之前，移动用户必须在系统中注册为合法用户。网关为新的移动用户分配永久标识(U_ID)、密钥(K_md)和临时标识(T_ID)。网关通过秘密隧道将移动用户的身份发送到网络控制中心NCC(一般位于地面)。在用户注册阶段之后，移动用户以私有方式存储消息(U_ID、T_ID、K_md)。NCC为每个移动用户存储这些消息(U_ID、T_ID、K_md)和LEO_ID。这里，K_md表示由移动用户和NCC共享的密钥。LEO _ID表示LEO的身份ID。

(2)移动用户认证阶段：

第1步：LEO向移动用户发送身份验证请求；

第2步：当移动用户收到身份验证请求时，移动用户使用会话密钥K_md加密其身份U_ID和T_ID(前者为用户真实身份，后者为用户临时身份)。然后，MS将加密信息和T_ID发送给LEO。

第3步：当LEO从MS接收到消息时，它会将自己的身份(LEO_ID)附加到消息中，并将消息发送到NCC。

第4步：a)NCC从LEO接收这些信息。NCC认证来自LEO的LEO_ID是否合法。如果LEO是合法的，NCC使用T_ID通过查找表获取MS和NCC之间的会话密钥。接下来，NCC通过解密K_md(U_ID，T_ID)来获取移动用户的ID和T_ID。NCC检查解密的T_ID是否等于前一个T_ID，同时NCC还检查U_ID信息。b)如果移动用户的ID是合法的，NCC随机为用户生成一个新的T_ID和一个新的会话密钥(K_md)，并更新数据库中的新数据。NCC使用旧会话密钥K_md加密旧T_ID、新T_ID和新的K_md。接下来，NCC会将加密的消息、旧T_ID和LEO_ID发送给LEO。

Hwang等人的协议仍还存在一些薄弱点:

(1)缺乏会话独立性，攻击者可以通过获取某次的会话密钥推断出后续的会话密钥，破坏后续会话通信的机密性；

(2)由于用户的敏感信息(例如，与每个移动用户共享的秘密密钥)都存储服务器侧的验证表中，因此服务器可能成为各种攻击目标，验证信息面临被窃取的风险；

(3)只要用户通过身份验证，就需要服务器端更新会话密钥，当同一时间需要验证的用户数多时，NCC可能成为系统的瓶颈。

本发明旨在一体化标识网络的基础上，采用用户权限控制和服务权限控制的双重验证思想，结合固定场景和移动场景两类情况，设计固定和移动终端高安全接入认证机制，包括普适接入认证的网络资源访问控制机制、移动接入认证的网络资源访问控制机制等，以实现终端设备在接入天地一体化信息网络后，对其网络权限和网络行为能够做到可控可管，保证网络运行的安全性和可靠性。

本发明所涉及的装置主要包括：用户端、认证代理端和认证服务器。其中，用户端装置为用户身份模块，主要内置用户AID及证书(保护公钥以及加密的私钥)。认证代理端为接入交换路由器ASR，执行认证消息的代理转发，同时通过与邻居ASR(邻居ASR是从用户切换后接入的ASR)交互，提供预认证机制来支持快速切换认证。此外，相关的装置还包括映射服务器，该装置主要维护用户的接入标识AID与其路由标识RID的映射关系。

本发明有两种认证工作模式：一是用户端直接与认证服务器交互实现认证；二是用户端通过代理端与认证服务器交互实现认证。

本认证方法主要包括以下流程：用户身份注册流程、用户身份认证流程、用户数据转发流程、用户访问控制流程、移动接入认证流程。

新用户若想接入天地一体化网络，需事先进行用户身份注册。该过程主要是在认证服务器上为新用户构建信息条目，可以通过安全通道经由网络进行注册，或通过离线方式直接在认证服务器上注册，其主要过程如下：

(1)用户提供多维属性信息给认证服务器；

(2)认证服务器依据用户多维属性信息，生成用户的AID、公钥、私钥等，并将公钥或公私钥封装到用户证书中导入到用户身份模块；

(3)用户保存用户身份模块，用于进行身份认证。

为了使用户和网络之间建立一个互信的网络通信环境，用户与网络间还必须完成下述的认证过程，才能进行正常的通信。否则，双方都会认为对方是伪造的，而不能进行任何后续的数据通信。

图1是本发明实施例提供的一种天地一体化移动接入认证方法中基本认证消息交互过程示意图，如图1所示，身份认证流程主要包括以下五个步骤：

步骤一：用户终端向网络asr发起认证请求数据R_authque，认证数据包字段主要包括：R_authque＝{IP|AID message|challenge|…}，将其发送给ASR(接入交换路由器)。其中，IP是该用户终端设备的IP地址，AID message为该用户的接入标识AID，其中AID中内置入网权限信息，challenge用于终端用户和网络之间后续数据通信可靠性验证。

步骤二：ASR接收用户终端发给它的数据包R_authque后，将其发给认证服务器，执行用户认证查询。

步骤三：认证服务器收到数据包R_authque后，查看数据包中AID信息是否存在该认证中心数据库中，若存在，则该用户为合法用户。否则丢弃。若该用户有效，则认证服务器则将该数据包F_authque＝{IP|AID message|response|用户权限|认证结果…}返回ASR作为认证结果，同时，将用户权限嵌套在其中，给出认证结果。

步骤四：当ASR收到来自认证服务器后，会查看认证结果，如果该用户为合法用户，则为其分配相应的RID信息，并将该映射条目缓存在ASR中，另一方面，同时将映射条目发送给IDMS，用于持久化保存，方便其他设备对该用户端进行RID查找。缓存条目包括：{IP|AIDmessage|RID message|用户权限|…}。之后，将认证结果发送给用户端。

步骤五：用户端程序收到认证结果后，查看认证结果。如果认证通过后，则开始准备信息传输。

为了对接入网络的终端实施近乎实时的控制，接入交换路由器上的认证列表需要进行定时更新，超过规定的时间，对应的终端认证条目将被从认证列表中删除。在本文提出的安全认证机制中，当用户把自己的用户身份模块从设备上拔掉时，ASR(接入交换路由器)和IDMS(映射服务器)存储的相关的映射条目将被清除，从而可以实现对认证列表中的条目的更新维持。

当用户认证阶段通过后，用户则开始进行网络服务的请求，具体包括以下过程：

步骤一：用户通过发送数据包给ASR(接入交换路由器)进行网络服务访问，具体包括现有网络五元组结构。{源IP|目的IP|源端口|目的端口|协议}。

步骤二：当ASR收到该数据包后，从该数据库中查找该源IP对应的RID，同时利用该数据包中的目的IP向IDMS服务器查到目的IP对应的RID。

步骤三：当IDMS(映射服务器)收到ASR请求后，在IDMS(映射服务器)数据库中查找该IP地址对应的RID信息，之后发送给ASR。

步骤四：该ASR收到目的IP对应的RID后，在本地数据库中查找该数据发起者用户的权限。

步骤五：ASR通过判断该数据包从哪个端口出，从对应的服务权限策略系统中查找对应的服务权限。

步骤六：在ASR拿到了源RID、目的RID、用户权限、服务权限后，将{源RID|目的RID|用户权限|服务权限}这些信息发送给核心网端。

以上过程即可完成用户接入侧的所有过程。

移动接入认证协议中的访问控制是一个很重要的功能，它可以为映射的终端用户选择特定的终端能够与之通信。通过将移动终端动态认证协议加入ASR中，可以保护正常业务不中断，不但可以防止非法用户的恶意接入攻击，而且确保了合法用户的可以访问ASR映射。此外，访问控制的集成可以支持高级服务和细粒度功能，既控制了用户身份也限制了服务等级。

当前天地一体化信息网络在移动终端方面的缺点是接入控制路由器缺乏映射信息的动态更新。接入控制路由器提供的查询服务目前无法保证AID到RID的映射长期有效。接入控制路由器和终端用户都无法控制对卫星移动的动态安全接入控制，因此无法保证服务的正常使用。所以，移动终端接入认证机制就显得尤为重要。

为提供用户基于AID的访问控制功能：该流程在(ASR)接入交换路由器上构建访问控制模块，记录当前本地通过认证的用户信息，对来自用户的数据进行访问控制。如果来自用户的数据包的源AID或目的AID未通过认证(非法用户)，则将该数据包丢弃。如果源AID通过认证，则判断目的AID是否在当前ASR，如果目的AID位于当前ASR，则将数据包在本地传输，不经过核心网；否则，则将数据包发送到核心。

图2是本发明实施例提供的一种天地一体化移动接入认证方法的流程示意图，如图2所示，具体包括：

步骤201、空基接入点获取用户终端与所述空基接入点之间的位置变化幅度，并获取用户身份模块相对于终端设备之间的变动信息；所述空基接入点是指设置于卫星轨道的所述用户终端接入网络的设备；所述用户终端由所述用户身份模块和所述终端设备组成；所述用户身份模块为存储用户的接入标识与身份证书的装置；所述终端设备为用于识别所述用户身份模块与接收用户认证信息的装置。

具体地，空基接入点获取用户终端与空基接入点之间的位置变化幅度是用以判断用户终端与接入点如MEO、LEO等卫星发生相对移动而是否导致其网络接入位置发生切换，使得用户需要在新的接入点重新认证以接入网络的指标。用户身份模块相对于终端设备之间的变动信息是用以表征一个用户是否将自己的用户身份模块从一个设备拔下后，插到另一端主机设备时的场景。在该场景下，用户手中的用户身份模块中的AID信息都是不变的。因此，只考虑为其分配新的RID和配置映射信息。空基接入点是指设置于卫星轨道的所述用户终端接入网络的设备，例如卫星、空间站等。用户终端由所述用户身份模块和所述终端设备组成，用户身份模块为存储用户的接入标识的装置，终端设备为用于识别所述用户身份模块的装置。

通过用户身份模块内的接入标识信息及其证书中密钥加密后的信息与认证鉴权中心数据库进行对比，进而实现用户的认证；同时解决了接入交换路由器与用户终端的相对移动造成设备周期性的网络切换问题。

步骤202、基于所述位置变化幅度和所述变动信息，对所述用户终端进行接入认证。

具体地，终端的接入标识和系统映射条目的动态管理。其中包括两个移动的概念：用户移动性和网络移动性。针对用户移动性，当用户从一台终端将用户身份模块拔出后，IDSR相应的映射条目会自动删除，当该用户移动到其他终端设备，并将用户身份模块插入到该终端，标识认证协议则开始对该用户进行身份验证，通过用户身份模块内的AID信息与认证鉴权中心进行对比，进而实现用户移动性。

对于网络移动性，本发明考虑了IDSR与终端设备的相对移动造成设备周期性的网络切换问题。当用户在某一设备认证时，被接入的IDSR会同时通知周围IDSR为其备份映射条目，从而实现软交接。实现终端设备的网络高效移动。

基于标识的天地一体化信息网络拥有一套自主设计的网络传输流程和认证机制。在用户获得用户身份模块后，该用户利用该模块进行网络认证，认证通过后该接入侧IDSR会为其分配对应的路由标识RID，并将与该用户终端有关的映射条目(IP、AID、RID、用户权限、服务权限)缓存在IDSR映射数据库中，同时存储在标识映射服务器。该映射条目会随着用户的接入离开动态更新。

同时，在该用户认证通过时，该用户接入的IDSR周围的标识交换路由器也会为其分配相应的映射信息条目，不过该信息条目处在未激活状态。当用户离开当前IDSR，并接入到临近IDSR时，会向新IDSR发起数据连接，该IDSR会被重新认证，同时激活休眠的映射信息条目。对于旧的IDSR映射信息条目则进入休眠状态，等待该终端用户接入。因此，通过终端的唯一标识AOD接入和IDSR的动态条目更新使得天地一体化信息网络具有内生支持网络层移动性的功能。

通过用户身份模块内的接入标识信息及其证书中密钥加密后的信息与认证鉴权中心数据库进行对比，进而实现用户的认证；同时解决了接入交换路由器与用户终端的相对移动造成设备周期性的网络切换问题，简化了用户终端接入认证的程序,提高了用户终端的接入效率。

可选地，在上述各实施例的基础上，所述基于所述位置变化幅度和所述变动信息，对所述用户终端进行接入认证，具体包括：

基于所述用户终端与空基接入点之间的位置变化幅度，获取所述用户终端的网络接入位置的切换信息；

基于所述用户身份模块相对于终端设备之间的变动信息，获取用于识别所述用户身份模块的终端设备的改变信息；

基于所述切换信息和所述改变信息，对所述用户终端进行接入认证。

具体地，空基接入点获取用户终端与空基接入点之间的位置变化幅度是用以判断用户终端与接入点如MEO、LEO等卫星发生相对移动而是否导致其网络接入位置发生切换，使得用户需要在新的接入点重新认证以接入网络的指标。用户身份模块相对于终端设备之间的变动信息是用以表征一个用户是否将自己的用户身份模块从一个设备拔下后，插到另一端主机设备时的场景。

在该场景下，用户手中的用户身份模块中的AID信息都是不变的。因此，只考虑为其分配新的RID和配置映射信息。空基接入点是指设置于卫星轨道的所述用户终端接入网络的设备，例如卫星、空间站等。用户终端由所述用户身份模块和所述终端设备组成，用户身份模块为存储用户的接入标识的装置，终端设备为用于识别所述用户身份模块的装置。

通过用户身份模块内的接入标识信息及其证书中密钥加密后的信息与认证鉴权中心数据库进行对比，进而实现用户的认证；同时解决了接入交换路由器与用户终端的相对移动造成设备周期性的网络切换问题，简化了用户终端接入认证的程序,提高了用户终端的接入效率。

可选地，在上述各实施例的基础上，所述基于所述切换信息和所述改变信息，对所述用户终端进行接入认证，具体包括：

基于所述用户终端的网络接入位置的切换信息判断所述网络接入位置是否发生改变；

若所述网络接入位置发生改变，基于第一空基接入点和第二空基接入点之间的交互，对所述用户终端进行接入认证；所述第一空基接入点为所述网络接入位置发生改变前的空基接入点，所述第二空基接入点为所述网络接入位置发生改变后的空基接入点；

基于所述用户身份模块的终端设备的改变信息判断用于识别所述用户身份模块的终端设备是否发生改变；

若用于识别所述用户身份模块的终端设备发生改变，所述用户终端向接入交换路由器发送认证请求；

所述接入交换路由器通过认证路由器对所述用户终端进行接入认证。

具体地，对于天地一体化信息网络移动性方面，网络借助于标识协议体系，可内生支持网络层移动性。具体体现在：终端的接入标识和系统映射条目的动态管理。其中包括两个移动的概念：用户移动性和网络移动性。

空基接入点获取用户终端与空基接入点之间的位置变化幅度是用以判断用户终端与接入点如MEO、LEO等卫星发生相对移动而是否导致其网络接入位置发生切换，使得用户需要在新的接入点重新认证以接入网络的指标。

用户身份模块相对于终端设备之间的变动信息是用以表征一个用户是否将自己的用户身份模块从一个设备拔下后，插到另一端主机设备时的场景。在该场景下，用户手中的用户身份模块中的AID信息都是不变的。

基于所述用户终端的网络接入位置的切换信息判断所述网络接入位置是否发生改变；基于所述用户身份模块的终端设备的改变信息判断用于识别所述用户身份模块的终端设备是否发生改变；若用于识别所述用户身份模块的终端设备发生改变，所述用户终端向接入交换路由器发送认证请求；所述接入交换路由器通过认证路由器对所述用户终端进行接入认证。

通过用户身份模块内的接入标识信息及其证书中密钥加密后的信息与认证鉴权中心数据库进行对比，进而实现用户的认证；同时解决了接入交换路由器与用户终端的相对移动造成设备周期性的网络切换问题，简化了用户终端接入认证的程序,提高了用户终端的接入效率。

可选地，在上述各实施例的基础上，所述基于第一空基接入点和第二空基接入点之间的交互，对所述用户终端进行接入认证，具体包括：

所述第一空基接入点根据其位置信息激活其存储的切换序列信息表；所述切换序列信息表是预设的用于存储空基接入点之间的切换序列的信息表；

所述第一空基接入点基于所述切换序列信息表，发送迁移消息至所述第二空基接入点；所述迁移消息是由源空基接入点对目标空基接入点发出的用于对所述用户终端进行接入认证的指令；

所述第二空基接入点接收所述第一空基接入点发送的迁移消息；

所述第二空基接入点基于所述迁移消息对所述用户终端进行接入认证。

具体地，本发明提出一种考虑接入点移动特征的预切换机制，对于给定的空基接入点，结合其移动特征和用户的切换策略，其覆盖地面用户时具有周期性特征，可借助其周期性特征优化移动认证过程，具体流程如下：

首先分析处理空基接入点的移动信息，并将地球表面划分为不同的区域(每个区域用区域ID表示)，每个区域内用户具有相同的接入点的切换序列，并形成切换序列信息表，由每个空基接入点保存，该信息表并至少包括：区域ID，{时间，接入点ID}列表；

空基接入点依据当前自身的位置信息(用区域ID表示位置)，激活与区域ID相应的信息表，并按照信息表所指向的下一个接入点，执行认证信息迁移；

空基接入点(第二空基接入点)接受邻近空基接入节点(第一空基接入点)发送的迁移消息，并结合自己存储的信息表，激活相应的信息表，实现对用户的快速接入。

通过用户身份模块内的接入标识信息及其证书中密钥加密后的信息与认证鉴权中心数据库进行对比，进而实现用户的认证。

可选地，在上述各实施例的基础上，所述接入交换路由器通过认证路由器对所述用户终端进行接入认证，具体包括：

所述接入交换路由器基于接收到的所述认证请求通过认证服务器获取认证结果；

所述接入交换路由器将所述认证结果发送至所述用户终端实现对所述用户终端的接入认证。

具体地，本发明实施例考虑当一个用户将自己的用户身份模块从一个设备拔下后，插到另一端主机设备时的场景。

在该场景下，用户手中的用户身份模块中的AID信息都是不变的。因此，只考虑为其分配新的RID和配置映射信息，具体过程如下：

该移动用户将个人的用户身份模块插到新的主机终端后(该设备已经分配好IP地址)，向网络发起认证请求数据R_authque，认证数据包字段包括：R_authque＝{IP|AIDmobile|challenge|…}，将其发送给ASR。其中IP是该用户终端设备的IP地址，AID mobile为该移动用户入网权限信息，challenge用于移动终端用户和网络之间后续数据通信可靠性验证。

ASR接收移动用户终端发给它的数据包R_authque后，将其发给认证服务器，用户认证查询。

认证服务器收到数据包R_authque后，查看该移动用户发出的数据包中AID信息是否存在该认证中心数据库中，若存在，则该用户为合法用户。否则丢弃。若该用户有效，则认证服务器则将该数据包F_authque＝{IP|AID mobile|response|用户权限|认证结果…}返回ASR作为认证结果，给出认证结果。

本发明实施例解决了接入交换路由器与用户终端的相对移动造成设备周期性的网络切换问题，简化了用户终端接入认证的程序,提高了用户终端的接入效率。

可选地，在上述各实施例的基础上，所述接入交换路由器将所述认证结果发送至所述用户终端实现对所述用户终端的接入认证，之前还包括：

所述接入交换路由器基于获取的所述认证结果为所述用户终端分配路由标识；

所述接入交换路由器基于所述路由标识生成映射条目；

所述接入交换路由器将所述映射条目发送至映射服务器进行保存。

具体地，当ASR收到来自认证服务器的消息后，会查看认证结果，如果该移动用户为合法用户，则为其分配相应的RID信息，并将该映射条目缓存在ASR中，同时将映射条目发送给IDMS(映射服务器)，用于持久性保存，方便其他设备对该用户端进行RID查找。缓存条目包括：{IP|AID message|RID message|用户权限|…}。这里与普适终端用户不同的是，在移动环境下，ASR还需将该用户的AID和权限信息发送给临近的卫星设备，用于临近卫星设备移动切换，之后将认证结果发送给用户端。

本发明实施例通过解决接入交换路由器与用户终端的相对移动造成设备周期性的网络切换问题，简化了用户终端接入认证的程序,提高了用户终端的接入效率。

可选地，在上述各实施例的基础上，所述接入交换路由器将所述映射条目发送至映射服务器进行保存，之后还包括：

所述接入交换路由器将所述用户终端的接入标识和权限信息发送至临近卫星设备；所述权限信息是从所述认证结果中获取的用于表征所述用户终端的用户权限的信息；

所述临近卫星设备基于接收的所述用户终端的接入标识和权限信息生成备份映射条目；所述备份映射条目用于当所述用户终端移动至所述临近卫星设备网段下时，对所述用户终端进行接入认证。

具体地，临近卫星设备收到该用户的AID和用户权限信息后，为其生成备份的映射信息条目，用于该用户使用的设备级移动后的映射条目分配，但是该备份映射信息条目不激活，只有等到该用户设备移动到该卫星网段下，才自动激活该映射条目。用户终端收到认证结果后，查看认证结果。如果认证通过后，则开始准备信息传输。

本发明实施例通过用户身份模块内的接入标识信息及其证书中密钥加密后的信息与认证鉴权中心数据库进行对比，进而实现用户的认证；同时解决了接入交换路由器与用户终端的相对移动造成设备周期性的网络切换问题，简化了用户终端接入认证的程序,提高了用户终端的接入效率。

相比以往的认证接入协议，天地一体化接入认证协议与其最大的差别在于卫星链路不稳定、时延高、卫星计算资源匮乏，且由于低轨卫星的特性，接入移动性是必须考虑的问题。本发明对天地一体化信息网络进行分析，量体裁衣地设计了一套卫星接入认证方案。

不同于以往的卫星接入网络，通过ARP代理，使得所有的接入卫星在用户侧都为统一标识接入，因此隐藏了卫星的位置信息，也隐藏了卫星的拓扑信息。同时使得用户接入卫星时只需要向统一的标识发送请求即可，也实现了卫星网络的负载均衡问题。卫星内部核心网络可以根据具体组网规模进行自定义设计，比如采用16位地址空间，可以大大减少卫星网络的计算量，并且可有效屏蔽来自外部的恶意请求(因为16位地址空间和传统的IPv4与IPv6互不兼容)；用户与用户间可以通过隧道连接而不用去在乎内部16位网络的实现，实现高度的封装；也可以更简单地实现移动认证；因此卫星网络可以实现高拓展性。

图3是本发明实施例提供的一种天地一体化移动接入认证装置的结构示意图，如图3所示，具体包括：信息获取模块301，用于通过空基接入点获取用户终端与所述空基接入点之间的位置变化幅度，并获取用户身份模块相对于终端设备之间的变动信息；所述空基接入点是指设置于卫星轨道的所述用户终端接入网络的设备；所述用户终端由所述用户身份模块和所述终端设备组成；所述用户身份模块为存储用户的接入标识与身份证书的装置；所述终端设备为用于识别所述用户身份模块与接收用户认证信息的装置；接入认证模块302，用于基于所述位置变化幅度和所述变动信息，对所述用户终端进行接入认证。

具体地，空基接入点获取用户终端与空基接入点之间的位置变化幅度是用以判断用户终端与接入点如MEO、LEO等卫星发生相对移动而是否导致其网络接入位置发生切换，使得用户需要在新的接入点重新认证以接入网络的指标。用户身份模块相对于终端设备之间的变动信息是用以表征一个用户是否将自己的用户身份模块从一个设备拔下后，插到另一端主机设备时的场景。在该场景下，用户手中的用户身份模块中的AID信息都是不变的。因此，只考虑为其分配新的RID和配置映射信息。空基接入点是指设置于卫星轨道的所述用户终端接入网络的设备，例如卫星、空间站等。用户终端由所述用户身份模块和所述终端设备组成，用户身份模块为存储用户的接入标识的装置，终端设备为用于识别所述用户身份模块的装置。

终端的接入标识和系统映射条目的动态管理。其中包括两个移动的概念：用户移动性和网络移动性。针对用户移动性，当用户从一台终端将用户身份模块拔出后，IDSR相应的映射条目会自动删除，当该用户移动到其他终端设备，并将用户身份模块插入到该终端，标识认证协议则开始对该用户进行身份验证，通过用户身份模块内的AID信息与认证鉴权中心进行对比，进而实现用户移动性。

对于网络移动性，本发明考虑了IDSR与终端设备的相对移动造成设备周期性的网络切换问题。当用户在某一设备认证时，被接入的IDSR会同时通知周围IDSR为其备份映射条目，从而实现软交接。实现终端设备的网络高效移动。

基于标识的天地一体化信息网络拥有一套自主设计的网络传输流程和认证机制。在用户获得用户身份模块后，该用户利用该模块进行网络认证，认证通过后该接入侧IDSR会为其分配对应的路由标识RID，并将与该用户终端有关的映射条目(IP、AID、RID、用户权限、服务权限)缓存在IDSR映射数据库中，同时存储在标识映射服务器。该映射条目会随着用户的接入离开动态更新。

本发明实施例提供的一种天地一体化移动接入认证装置，通过用户身份模块内的接入标识信息及其证书中密钥加密后的信息与认证鉴权中心数据库进行对比，进而实现用户的认证；同时解决了接入交换路由器与用户终端的相对移动造成设备周期性的网络切换问题，简化了用户终端接入认证的程序,提高了用户终端的接入效率。

图4是本发明实施例提供的一种电子设备的结构示意图，如图4所示，该电子设备可以包括：处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840，其中，处理器810，通信接口820，存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令，以执行一种天地一体化移动接入认证方法，该方法包括：空基接入点获取用户终端与所述空基接入点之间的位置变化幅度，并获取用户身份模块相对于终端设备之间的变动信息；所述空基接入点是指设置于卫星轨道的所述用户终端接入网络的设备；所述用户终端由所述用户身份模块和所述终端设备组成；所述用户身份模块为存储用户的接入标识与身份证书的装置；所述终端设备为用于识别所述用户身份模块与接收用户认证信息的装置；基于位置变化幅度和变动信息，对用户终端进行接入认证。

此外，上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

另一方面，本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的一种天地一体化移动接入认证方法，该方法包括：空基接入点获取用户终端与所述空基接入点之间的位置变化幅度，并获取用户身份模块相对于终端设备之间的变动信息；所述空基接入点是指设置于卫星轨道的所述用户终端接入网络的设备；所述用户终端由所述用户身份模块和所述终端设备组成；所述用户身份模块为存储用户的接入标识与身份证书的装置；所述终端设备为用于识别所述用户身份模块与接收用户认证信息的装置；基于位置变化幅度和变动信息，对用户终端进行接入认证。

又一方面，本发明实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的一种天地一体化移动接入认证方法，该方法包括：空基接入点获取用户终端与所述空基接入点之间的位置变化幅度，并获取用户身份模块相对于终端设备之间的变动信息；所述空基接入点是指设置于卫星轨道的所述用户终端接入网络的设备；所述用户终端由所述用户身份模块和所述终端设备组成；所述用户身份模块为存储用户的接入标识与身份证书的装置；所述终端设备为用于识别所述用户身份模块与接收用户认证信息的装置；基于位置变化幅度和变动信息，对用户终端进行接入认证。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (9)

1.一种天地一体化移动接入认证方法，其特征在于，包括：

空基接入点获取用户终端与所述空基接入点之间的位置变化幅度，并获取用户身份模块相对于终端设备之间的变动信息；所述空基接入点是指设置于卫星轨道的所述用户终端接入网络的设备；所述用户终端由所述用户身份模块和所述终端设备组成；所述用户身份模块为存储用户的接入标识与身份证书的装置；所述终端设备为用于识别所述用户身份模块与接收用户认证信息的装置；

基于所述位置变化幅度和所述变动信息，对所述用户终端进行接入认证；

所述基于所述位置变化幅度和所述变动信息，对所述用户终端进行接入认证，具体包括：

基于所述用户终端与空基接入点之间的位置变化幅度，获取所述用户终端的网络接入位置的切换信息；

基于所述用户身份模块相对于终端设备之间的变动信息，获取用于识别所述用户身份模块的终端设备的改变信息；

基于所述切换信息和所述改变信息，对所述用户终端进行接入认证。

2.根据权利要求1所述的天地一体化移动接入认证方法，其特征在于，所述基于所述切换信息和所述改变信息，对所述用户终端进行接入认证，具体包括：

基于所述用户终端的网络接入位置的切换信息判断所述网络接入位置是否发生改变；

若所述网络接入位置发生改变，基于第一空基接入点和第二空基接入点之间的交互，对所述用户终端进行接入认证；所述第一空基接入点为所述网络接入位置发生改变前的空基接入点，所述第二空基接入点为所述网络接入位置发生改变后的空基接入点；

基于所述用户身份模块的终端设备的改变信息判断用于识别所述用户身份模块的终端设备是否发生改变；

若用于识别所述用户身份模块的终端设备发生改变，所述用户终端向接入交换路由器发送认证请求；

所述接入交换路由器通过认证路由器对所述用户终端进行接入认证。

3.根据权利要求2所述的天地一体化移动接入认证方法，其特征在于，所述基于第一空基接入点和第二空基接入点之间的交互，对所述用户终端进行接入认证，具体包括：

所述第一空基接入点根据其位置信息激活其存储的切换序列信息表；所述切换序列信息表是预设的用于存储空基接入点之间的切换序列的信息表；

所述第一空基接入点基于所述切换序列信息表，发送迁移消息至所述第二空基接入点；所述迁移消息是由源空基接入点对目标空基接入点发出的用于对所述用户终端进行接入认证的指令；

所述第二空基接入点接收所述第一空基接入点发送的迁移消息；

所述第二空基接入点基于所述迁移消息对所述用户终端进行接入认证。

4.根据权利要求2所述的天地一体化移动接入认证方法，其特征在于，所述接入交换路由器通过认证路由器对所述用户终端进行接入认证，具体包括：

所述接入交换路由器基于接收到的所述认证请求通过认证服务器获取认证结果；

所述接入交换路由器将所述认证结果发送至所述用户终端实现对所述用户终端的接入认证。

5.根据权利要求4所述的天地一体化移动接入认证方法，其特征在于，所述接入交换路由器将所述认证结果发送至所述用户终端实现对所述用户终端的接入认证，之前还包括：

所述接入交换路由器基于获取的所述认证结果为所述用户终端分配路由标识；

所述接入交换路由器基于所述路由标识生成映射条目；

所述接入交换路由器将所述映射条目发送至映射服务器进行保存。

6.根据权利要求5所述的天地一体化移动接入认证方法，其特征在于，所述接入交换路由器将所述映射条目发送至映射服务器进行保存，之后还包括：

所述接入交换路由器将所述用户终端的接入标识和权限信息发送至临近卫星设备；所述权限信息是从所述认证结果中获取的用于表征所述用户终端的用户权限的信息；

所述临近卫星设备基于接收的所述用户终端的接入标识和权限信息生成备份映射条目；所述备份映射条目用于当所述用户终端移动至所述临近卫星设备网段下时，对所述用户终端进行接入认证。

7.一种天地一体化移动接入认证装置，其特征在于，包括：

信息获取模块：用于通过空基接入点获取用户终端与所述空基接入点之间的位置变化幅度，并获取用户身份模块相对于终端设备之间的变动信息；所述空基接入点是指设置于卫星轨道的所述用户终端接入网络的设备；所述用户终端由所述用户身份模块和所述终端设备组成；所述用户身份模块为存储用户的接入标识与身份证书的装置；所述终端设备为用于识别所述用户身份模块与接收用户认证信息的装置；

接入认证模块：用于基于所述位置变化幅度和所述变动信息，对所述用户终端进行接入认证；

所述接入认证模块，具体包括：

第一获取单元，用于基于所述用户终端与空基接入点之间的位置变化幅度，获取所述用户终端的网络接入位置的切换信息；

第二获取单元，用于基于所述用户身份模块相对于终端设备之间的变动信息，获取用于识别所述用户身份模块的终端设备的改变信息；

接入认证单元，用于基于所述切换信息和所述改变信息，对所述用户终端进行接入认证。

8.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至6任一项所述一种天地一体化移动接入认证方法的步骤。

9.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1至6任一项所述一种天地一体化移动接入认证方法的步骤。

Images