CN113098686B - 一种面向低轨卫星网络的组密钥管理方法 - Google Patents

Abstract

本发明公开了一种面向低轨卫星网络的组密钥管理方法，目的是解决传统组密钥管理方法的存储开销和通信开销大的问题，同时保证低轨卫星网络中通信的机密性和安全性。技术方案是先构建由PKG，卫星LEO_A，卫星LEO_B和地面终端TE_A组成的面向低轨卫星网络的组密钥管理系统，通过设计身份基签名和单向函数树，对组密钥管理系统初始化后，通过组密钥管理系统完成组成员注册、组密钥生成、组成员加入、组成员退出和组控制器切换以实现组密钥的生成、分发和更新维护。本发明能够提供机密性服务，保证前向安全性和后向安全性，存储开销和通信开销小。

Description

一种面向低轨卫星网络的组密钥管理方法

技术领域

本发明涉及网络安全技术领域，具体的说，涉及一种面向低轨卫星网络的组密钥管理方法。

背景技术

低轨卫星网络可以用于军事目标探测、手机通讯等功能，是目前最有前途的卫星移动通信系统。在低轨卫星网络中，卫星需要实现一点对多点的通信，即多播技术。多播允许组成员自由的加入或退出，并要求只有组成员可以接收到组内的通信内容。但是如果不采取安全措施，那么通信的信息就面临被窃听、篡改、重放等安全危险。为了保护信息的机密性、安全性，就需要引入保密措施，在通话组内引入组建共享的密钥，称为组密钥。在低轨卫星网络中，通话组包括组成员(地面终端)和组控制器(卫星)。在使用对称密钥的情况下，组密钥是所有组成员共同拥有的密钥。进行通信时，发送消息的组成员把通信内容用组密钥加密，这时候只有组内成员才能对通信内容解密。因此，如何对组密钥的生成、分发和更新维护进行管理是保障低轨卫星网络通信安全的关键。低轨卫星网络领域一般将对组密钥的生成、分发和更新维护进行管理统称为组密钥管理。

组密钥管理的安全性主要分为前向安全和后向安全。前向安全保证当有组成员离开通话组时，离开的成员不能再获取退出时间以后的通信内容。后向安全保证有新成员加入通话组时，新成员不能获取加入时间以前的通信内容。为了满足这样的需求，组密钥就必须随着组成员的变更而更新，并由组控制器(在低轨卫星网络中指当前通话组的过顶卫星，同一时刻一个组内只有一颗过顶卫星，即组控制器)下发给变更后的组成员。在低轨卫星网络中，由于卫星和地球自转并不同步，所以每间隔一段时间，一个通话组的组控制器即过顶卫星就会发生切换。

通话组的开销主要包括密钥生成，密钥加解密次数，密钥分发，密钥储存和通信开销等。对于组成员变更频繁的通话组，其开销尤其是不可忽视的。在传统的应用逻辑密钥树(Logical Key Hierarchy,LKH)的密钥管理方法中，储存开销和通信开销比较大。因此，需要寻找一种既能保证通信机密性、安全性，又能够有效减少开销的组密钥管理方法。

本发明涉及到的背景技术主要有身份基密码学和单向函数树。

1)身份基密码学。Shamir在1984年首次提出基于身份的密码体制(Identity-Based Cryptosystem,IBC)的概念。在他的设想中，需要进行通信的两方不需要发送任何的数字证书，直接将对方选定的ID作为公钥，以此免于公钥基础设施PKI(Public KeyInfrastructure)因管理用户证书所带来的负担。随后在2001年，Boneh和Franklin基于椭圆曲线上的双线性映射，给出了第一个实用的基于身份的公钥加密方案。随后，密码学家又提出了各种新的身份基密码学方案。在低轨卫星网络中，带宽资源十分宝贵，传输数字证书所带来的通信开销是其所不能承受的。因此，本发明的组密钥管理方法采用身份基密码学算法来保证通信的认证性和安全性，而不采用其他基于数字证书的公钥算法。目前已经有学者研究采用身份基密码学的组密钥管理方法，如罗长远、李伟等人提出的基于身份的空间网络组密钥管理方案，但其算法在存储开销上仍有改进的空间。

2)单向函数树。David A.McGrew等人提出了利用单向函数树OFT(One-wayFunction Tree)进行组密钥协商(参见谢尔曼·T，麦克格鲁·D·A·基利用单向函数树建立大型动态群组.IEEE软件工程汇刊2003,29(5):444–458，Sherman A T,McGrew D A.Keyestablishment in large dynamic groups using one-way function trees[J].IEEEtransactions on Software Engineering.2003,29(5):444–458.)。OFT使用二叉树来管理密钥，用户节点被安排在二叉树的叶子结点上，根结点对应整个通话组的管理者。二叉树中的每个结点都有两个密钥，分别是结点密钥k_x和结点盲密钥k_x'。结点盲密钥k_x'由结点密钥k_x利用单向函数g(·)计算得到，即k_x'＝g(k_x)。任何人不能依据盲密钥k_x'计算出k_x。此外，在OFT方案中，中间结点的结点密钥根据其左右结点的下属结点(称为孩子结点)的盲密钥通过混合函数f(·)计算得出。因此，组成员不需要存储从当前结点到根结点路径上的所有密钥，只需要存储自己的结点密钥和到根节点路径上结点的下属邻近结点(称为兄弟结点)的盲密钥。组密钥可以根据组成员自己存储的密钥计算得到。

如图1所示，地面终端1被设置在叶子结点31上，其需要存储结点31到根结点01路径上兄弟结点的盲密钥，即结点32，结点22，结点12的盲密钥。根据这些盲密钥，地面终端1便可以算出结点01的结点密钥即组密钥。计算过程如下所示：

K₀₀＝f(k'₁₁,k'₁₂)

＝f(f(k'₂₁,k'₂₂),k'₁₂)

＝f(f(f(k'₃₁,k'₃₂),k₂₂),k'₁₂)

＝f(f(f(g(k₃₁),k'₃₂),k₂₂),k'₁₂)

其中f(·)是混合函数(如哈希、异或等)。

需要注意的是，在OFT中，根结点需要知道每个组成员的结点密钥。因此，根结点需要存储2N-1个密钥，每个组成员需要存储H+1个密钥(N是组成员的个数，H是树的高度，以组成员所在叶子结点到根结点最长路径边的条数作为H)。在图1中，一共有6个地面终端，所以N＝6，叶子结点到根结点最长路径边的条数为3，所以H＝3。根结点需要存储11个密钥，即所有结点的密钥。

发明内容

本发明要解决的技术问题是提出一种面向低轨卫星网络的组密钥管理方法,结合身份基密码学技术和单向函数树，解决传统组密钥管理方法的存储开销和通信开销大的问题，同时保证低轨卫星网络中通信的机密性和安全性。

本发明的技术方案是通过设计身份基签名和单向函数树，通过系统初始化、组成员注册、组密钥生成、组成员加入、组成员退出和组控制器切换六个步骤完成组密钥的生成、分发和更新维护。

本发明的具体技术方案是：

第一步，构建面向低轨卫星网络的组密钥管理系统。面向低轨卫星网络的组密钥管理系统由密钥生成中心PKG，卫星LEO_A，卫星LEO_B和地面终端TE_A组成。如果有地面终端TE_A想要加入组密钥管理系统，首先地面终端TE_A向PKG提交选定身份标识ID，申请系统参数的请求和申请私钥的请求，然后PKG根据系统参数和身份标识ID计算出TE_A对应的私钥。PKG将TE_A对应的私钥和系统参数发送给TE_A。如果有卫星LEO_A想要加入组密钥管理系统，首先LEO_A向PKG提交选定身份标识ID，申请系统参数的请求和申请私钥的请求，然后PKG根据系统参数和身份标识ID计算出LEO_A对应的私钥，将LEO_A对应的私钥和系统参数发送给LEO_A。地面终端TE_A向卫星LEO_A发送请求加入报文，卫星LEO_A收到请求加入报文后，验证请求加入报文是否合法，即验证身份基签名是否正确，身份基签名包含于身份标识ID中。如果合法，卫星LEO_A发送确认加入报文给地面终端TE_A协商相关的密钥；如果不合法，则拒绝地面终端TE_A的加入。当该地面终端TE_A想要退出面向低轨卫星网络的组密钥管理系统时，向卫星LEO_A发送请求退出报文，卫星LEO_A收到请求退出报文后，发送确认退出报文给地面终端TE_A同意其离开。当通话组的过顶卫星LEO_A发生变化时，需要进行组控制器切换，当前过顶卫星LEO_A(即组控制器)将自己维护的OFT发送给下一颗过顶卫星LEO_B，并向地面终端TE_A广播LEO_B的ID。当下一颗过顶卫星LEO_B抵达时，向地面终端TE_A广播自己的ID。TE_A收到后比较从两次收到的ID(即从LEO_A收到的ID和从LEO_B收到的ID)是否一致。一致则完成组控制器切换，否则重新进行切换。

PKG上安装有系统参数管理模块和第一计算模块，地面终端TE_A上安装有第一密钥管理模块和第二计算模块，卫星LEO_A和卫星LEO_B上安装有第二密钥管理模块和第三计算模块。

PKG的系统参数管理模块与第一计算模块、地面终端TE_A的第一密钥管理模块、卫星LEO_A的第二密钥管理模块相连。PKG的系统参数管理模块接收卫星LEO_A和地面终端TE_A发送的选定身份标识ID、申请系统参数的请求和申请私钥的请求，生成系统参数并储存，将系统参数和选定身份标识ID发送给第一计算模块。

PKG的第一计算模块与系统参数管理模块、地面终端TE_A的第一密钥管理模块和卫星LEO_A的第二密钥管理模块相连，PKG的第一计算模块从系数参数管理模块接收系统参数，根据系统参数和选定身份标识ID计算产生对应的私钥，将系统参数和TE_A对应的私钥发送给地面终端TE_A，将系统参数和LEO_A对应的私钥发送给卫星LEO_A。

地面终端TE_A的第一密钥管理模块与地面终端TE_A的第二计算模块、PKG的第一计算模块、卫星LEO_A的第二密钥管理模块、卫星LEO_A的第三计算模块、卫星LEO_B的第二密钥管理模块相连。第一密钥管理模块从第一计算模块接收系统参数和私钥，对系统参数和私钥进行储存，并向第二计算模块发送系统参数和私钥；第一密钥管理模块向卫星LEO_A的第二密钥管理模块发送请求加入报文、请求退出报文，提交地面终端加入通话组或退出通话组的请求；第一密钥管理模块从卫星LEO_A的第二密钥管理模块接收到确认加入报文、确认退出报文，执行地面终端加入通话组或退出通话组的操作；第一密钥管理模块从卫星LEO_A的第三计算模块接收报文LBI，存储报文信息并发送给第二计算模块；第一密钥管理模块从卫星LEO_A的第二密钥管理模块接收下一颗过顶卫星LEO_B的ID(令为第一ID)，储存第一ID；第一密钥管理模块从卫星LEO_B的第二密钥管理模块接收卫星LEO_B的ID(令为第二ID)，储存第二ID并核对第一ID和第二ID是否相同，若相同则确认组控制器切换，若不相同则拒绝组控制器切换。

地面终端TE_A的第二计算模块与第一密钥管理模块、卫星LEO_A的第二密钥管理模块相连，第二计算模块接收第一密钥管理模块发送的系统参数、私钥和LBI报文信息，计算出与卫星LEO_A协商的会话密钥，将包含了会话密钥的报文TRI发送给卫星LEO_A的第二密钥管理模块。

卫星LEO_A的第二密钥管理模块与卫星LEO_A的第三计算模块、PKG的第一计算模块、地面终端TE_A的第一密钥管理模块、地面终端TE_A的第二计算模块、卫星LEO_B的第二密钥管理模块相连，卫星LEO_A的第二密钥管理模块从第一计算模块接收系统参数和私钥，对系统参数和私钥进行储存，并向卫星LEO_A的第三计算模块发送系统参数和私钥；当卫星LEO_A的第二密钥管理模块从TE_A收到请求加入报文时，判断TE_A的合法性，向第一密钥管理模块发送确认加入报文；当卫星LEO_A的第二密钥管理模块从TE_A收到请求退出报文时，向第一密钥管理模块发送确认退出报文；当下一颗过顶卫星LEO_B到达过顶位置时(一般10-15分钟)，卫星LEO_A的第二密钥管理模块向第一密钥管理模块发送下一颗过顶卫星LEO_B的ID；当第一密钥模块确认组控制器切换时，卫星LEO_A的第二密钥管理模块向卫星LEO_B的第二密钥管理模块发送维护的单向函数树OFT。

卫星LEO_A的第三计算模块与卫星LEO_A的第二密钥管理模块、第一密钥管理模块相连，卫星LEO_A的第三计算模块从卫星LEO_A的第二密钥管理模块接收系统参数和私钥，计算出与地面终端TE_A协商的会话密钥，将包含会话密钥的报文LBI发送给地面终端TE_A的第一密钥管理模块。

卫星LEO_B的第二密钥管理模块到达过顶位置前与地面终端TE_A的第一密钥管理模块、卫星LEO_A的第二密钥管理模块相连，当卫星LEO_B到达过顶位置时，卫星LEO_B的第二密钥管理模块向地面终端TE_A的第一密钥管理模块发送卫星LEO_B的ID；当第一密钥管理模块确认组控制器切换时，卫星LEO_B的第二密钥管理模块从卫星LEO_A的第二密钥管理模块接收卫星LEO_A维护的单向函数树OFT。卫星LEO_B的第二密钥管理模块到达过顶位置后连接状态和功能与卫星LEO_A的第二密钥管理模块一致。

卫星LEO_B的第三计算模块与卫星LEO_B的第二密钥管理模块相连，在到达过顶位置前不进行任何工作。卫星LEO_B的第三计算模块在到达过顶位置后连接状态和功能与卫星LEO_A的第三计算模块相同。

第二步，PKG上的系统参数管理模块根据安全参数产生系统参数和PKG的主密钥，具体流程是：

系统初始化的目的是完成系统参数十元组

的生成以及为LEO_A和TE_A生成对应的私钥。方法是：

2.1系统参数管理模块获得系统管理员输入的安全参数k，k为正整数；

2.2系统参数管理模块使用k作为输入，使用BDH(BilinearDiffie-Hellman译为双线性对的迪菲-赫尔曼问题，Diffie、Hellman为人名)参数生成方法(参见丹.鲍恩.基于weil对的身份基加密[J].siam计算期刊,2001,32(3):213-229，第8页，第15行-第24行，BDHParameterGenerator.英文文献索引为BonehD,FranklinM.IdentitybasedencryptionfromtheWeilpairing[J].SiamJournalonComputing,2001,32(3):213-229)产生安全级别为k位(k越大安全等级越高)的身份基密码学参数，包括生成元为P、阶为q的加法循环群G₁，阶为q的乘法循环群G_T(G₁、G_T为椭圆曲线上的点组成的集合，G₁、G_T中的元素是椭圆曲线上的点)，P∈G₁、q∈Z_q ^*，Z_q ^*为正整数集合。椭圆曲线上的双线性映射函数

(表示将G₁中的某两个元素x，y映射到G_T中的某个元素

)，三个哈希函数：

(表示将长度为k₂的二进制字符串u映射到G₁的元素H₁(u))，

(表示将长度为k₁+n的二进制字符串v映射到Z_q ^*的某个整数H₂(v))，

(表示将G_T的某一个元素映射到长度为k₁+k₂+n的二进制字符串w)其中k₁是G₁元素的比特数，k₂是地面终端或卫星提交ID的比特数，n是从地面终端或卫星接收明文的比特数。

2.3系统参数管理模块在正整数集合Z_q ^*中随机选取整数s，0<s<q，作为PKG的主密钥。

2.4系统参数管理模块计算系统公钥Q_TA，Q_TA＝s·P，s是主密钥，P是生成元即原始点，Q_TA为新的点，其中“·”表示G₁中元素P₁的标量乘法运算(标量乘法运算，参见现代数学基础丛书《椭圆曲线公钥密码导引》，祝跃飞，张亚娟，第七章7.2节第220页算法7.6，与普通非循环整数域乘法完全不同，知道系数和原始点，可用标量乘法计算出新的点，知道新的点和原始点，无法逆运算出系数)。

2.5系统参数管理模块将十元组

作为系统参数公开给PKG的第一计算模块，并把s作为主密钥保存，不泄漏给地面终端TE_A和卫星LEO_A。虽然P，Q_TA公开，依据标量乘法运算的性质，无法根据Q_TA＝s·P算出s。g(·)为计算密钥时的单向函数，f(·)为计算密钥时的混合函数。

第三步，地面终端TE_A和卫星LEO_A的密钥管理模块与PKG相互配合，完成私钥分发，具体流程是：

3.1地面终端TE_A的第一密钥管理模块向PKG的系统参数管理模块发送身份标识ID，申请系统参数的请求、申请私钥的请求。同时卫星LEO_A的第二密钥管理模块向PKG的系统参数管理模块发送身份标识ID，申请系统参数的请求、申请私钥的请求。需要注意的是，此过程需要在安全的环境下进行。

3.2 PKG的系统参数管理模块验证地面终端TE_A和卫星LEO_A的设备编号，若设备编号在PKG内置白名单中，则审核通过，转步骤3.3；若审核不通过，向地面终端TE_A和卫星LEO_A的发送审核不通过的消息，转步骤3.1。

3.3 PKG的第一计算模块利用地面终端TE_A的身份标识ID及PKG主密钥s生成地面终端TE_A相应的私钥S_TE,方法是：S_TE＝s·H₁(ID_TE)，ID_TE为地面终端TE_A的身份标识，即将PKG的主密钥s与H₁(ID_TE)做标量乘法运算，H₁(ID_TE)指ID_TE的哈希值，将任意长度二进制字符串ID_TE映射为一个循环加法群G₁的元素。

3.4 PKG的第一计算模块利用卫星LEO_A的身份标识ID及PKG主密钥s生成卫星的私钥S_LEO,方法是：S_LEO＝s·H₁(ID_LEO)，H₁(ID_LEO)指ID_LEO的哈希值。

3.5若地面终端TE_A和卫星LEO_A能与PKG建立安全会话连接，则PKG的系统参数管理模块向地面终端TE_A的第一密钥管理模块和卫星LEO_A的第二密钥管理模块发送系统参数和私钥，若地面终端TE_A和卫星LEO_A不能与PKG建立安全会话连接，则PKG的系统参数管理模块通过离线方式向地面终端TE_A的第一密钥管理模块和卫星LEO_A的第二密钥管理模块发送系统参数和私钥。

第四步，地面终端TE_A和卫星LEO_A相互配合完成组成员注册，完成会话密钥

的协商。组成员注册的目的是完成地面终端TE_A和卫星LEO_A之间的会话密钥协商。此外，为了保证密钥协商过程的安全性，需要向卫星与地面终端的通信提供机密性、完整性、不可否认性等安全服务。方法是：

4.1 LEO_A向TE_A广播含ID信息、时间戳信息的报文LBI，具体步骤是：

4.1.1 LEO_A的第二密钥管理模块随机选择一个整数r_LEO，r_LEO∈Z_q ^*，将r_LEO发送给LEO_A的第三计算模块。

4.1.2 LEO_A的第三计算模块计算卫星公钥Q_LEO并储存，Q_LEO＝H₁(ID_LEO)。

4.1.3 LEO_A的第三计算模块计算报文LBI第一变量X_LEO，X_LEO＝r_LEOQ_LEO；

4.1.4 LEO_A的第三计算模块计算报文LBI第三变量h₁和报文LBI第二变量Z_LEO，h₁＝H₂(X_LEO||ID_LEO||tt_LEO)，Z_LEO＝(r_LEO+h₁)S_LEO；其中tt_LEO是LEO当前的时间戳，S_LEO是卫星的私钥。

4.1.5 LEO_A的第二密钥管理模块生成报文LBI，LBI＝<ID_LEO,tt_LEO,X_LEO,Z_LEO，h₁>。随后，LEO_A向地面终端广播报文LBI。

4.2 TE_A的第一密钥管理模块收到LEO_A卫星广播的报文LBI后，检查当前时刻减去LBI上的时间戳值是否在第一时间阈值内，第一时间阈值为一个能够表征卫星和地面时延的值，一般可以设置为100ms。如果当前时刻减去LBI上的时间戳值不在第一时间阈值内，则丢弃该报文，返回步骤4.1；如果当前时刻减去LBI上的时间戳值在第一时间阈值内,TE_A的第一密钥管理模块将报文LBI发送给TE_A的第二计算模块，执行步骤4.3。

4.3 TE_A的第二计算模块向LEO_A的第二密钥管理模块发送报文TRI和计算终端会话密钥K_TE，具体步骤是：

4.3.1 TE_A的第二计算模块计算卫星公钥Q_LEO和第三变量h₁，Q_LEO＝H₁(ID_LEO),h₁＝H₂(X_LEO||ID_LEO||tt_LEO)(||是字符串连接符，X_LEO||ID_LEO||tt_LEO表示将报文LBI第一变量X_LEO、卫星的ID_LEO和时间戳tt_LEO的字符串连接起来)。随后验证

是否成立，如果不成立，返回步骤4.1；如果成立，执行步骤4.3.2。

4.3.2 TE_A的第一密钥管理模块随机选择一个整数r_TE，r_TE∈Z_q ^*，将r_TE发送给TE_A的第二计算模块；

4.3.3 TE_A的第二计算模块计算报文TRI第一变量X_TE，X_TE＝r_TEQ_TE；

4.3.4TE_A的第二计算模块计算验证变量h'₁，h'₁＝H₂(X_TE||ID_LEO||tt_TE)，计算中间第一变量Z_TE，Z_TE＝(r_TE+h'₁)S_TE；

4.3.5 TE_A的第二计算模块计算中间第二变量w_TE，

计算报文TRI第二变量Y_TE，

是异或运算符；

4.3.6 TE_A的第二计算模块生成报文TRI，TRI＝<tt_TE,X_TE,Y_TE>。

4.3.7TE_A的第二计算模块计算终端会话密钥K_TE，

4.3.8 TE_A的第二计算模块将报文TRI发送给LEO_A的第二密钥管理模块。

4.4 LEO_A的第二密钥管理模块收到报文TRI后，检查当前时刻减去TRI上的时间戳值是否在第二时间阈值内(第二时间阈值为一个能够表征卫星和地面时延的值，可以设置为与第一时间阈值相同的值)，如果不在，则丢弃TRI，返回步骤4.3.8。否则，LEO_A执行步骤4.5。

4.5 LEO_A的第三计算模块计算卫星会话密钥K_LEO，具体步骤是：

4.5.1 LEO_A的第三计算模块计算中间第二变量w_TE

4.5.2 LEO_A的第三计算模块计算地面终端TE_A的公钥Q_TE，Q_TE＝H₁(ID_TE)，计算验证变量h'₁，h'₁＝H₂(X_TE||ID_LEO||tt_TE)。

4.5.3 LEO_A的第三计算模块验证

是否成立，若成立，转步骤4.5.4；若不成立，返回步骤4.5。

4.5.4 LEO_A的第三计算模块计算卫星会话密钥K_LEO，

4.6经过以上步骤后，LEO_A和TE_A就协商出了终端会话密钥K_TE和卫星会话密钥K_LEO。密钥协商过程的正确性证明如下：

第五步，地面终端和卫星LEO_A配合进行组密钥生成，且LEO_A判断通话组成员是不是发生变化，根据变化采取不同的措施。为了生成组密钥，LEO_A需要维护一个OFT，树的叶子结点存贮向LEO_A注册的地面终端组成员的会话密钥和地面终端到根结点路径上兄弟结点的盲密钥。假设卫星LEO_A的OFT共有M个叶子结点，对应共有M个地面终端组成员，分别为TE₁,…,TE_m,…,TE_M，1≤m≤M，地面终端TE_m为OFT树中从左至右第m个叶子结点对应的地面终端。地面终端和卫星LEO_A配合进行组密钥协商生成组密钥的具体流程是：

5.1 LEO_A的第三计算模块计算出OFT中所有结点的结点密钥和盲密钥并存储在LEO_A。将OFT中第h层，从左至右为第m_h个的结点记为

其中H为OFT树的高度，M_h为第h层结点总数，结点

的结点密钥记为

叶子结点的密钥

就是地面终端TE₁，TE₂,…,TE_m,…,TE_M的会话密钥

具体步骤是：

5.1.1 LEO_A的第三计算模块初始化h＝H-1，m_h＝1，m_h+1＝1。

5.1.2 LEO_A的第三计算模块计算叶子结点(即第H层中M_H个结点)的盲密钥

为第H层中第m_H个结点的盲密钥，

5.1.3 LEO_A的第三计算模块计算第h层中第m_h个结点的密钥

其中

分别是结点

的盲密钥，

然后令m_h＝m_h+1,m_h+1＝m_h+1+2。

5.1.4 LEO_A的第三计算模块计算结点

的盲密钥

5.1.5 LEO_A的第三计算模块判断是否满足m_h>M_h，如果满足，令h＝h-1,m_h＝1,m_h+1＝1,转步骤5.1.6；如果不满足，返回步骤5.1.3。

5.1.6 LEO_A的第三计算模块判断是否满足h<0，如果满足，转步骤5.2；如果不满足，返回步骤5.1.3。

5.2 LEO_A的第三计算模块同时向TE₁,…,TE_m,…,TE_M分别发送报文

分别包含TE₁,…,TE_m,…,TE_M到根结点路径上兄弟结点的盲密钥和时间戳tt¹ _LEO,…tt^m _LEO,…tt^M _LEO，盲密钥分别用会话密钥

加密。例如

包含TE_m到LEO_A路径上兄弟结点的盲密钥以及时间戳tt^m _LEO，盲密钥用地面终端TE_m的会话密钥

加密。

5.3TE₁,…,TE_m,…,TE_M分别接收

并行计算组密钥。TE₁,…,TE_m,…,TE_M计算组密钥的步骤相同，地面终端TE_m计算组密钥的方法是：

5.3.1 TE_m的第一密钥管理模块接收LEO_A的第三计算模块发来的报文

检查当前时刻减去报文

上的时间戳tt^m _LEO的值是否在第二时间阈值内，如果不在第二时间阈值内，丢弃

请求LEO_A的第三计算模块重新发送报文

返回步骤5.3(TE₁,…,TE_m,…,TE_M中只要存在有一个或及以上地面终端检查的时间差值不在第二时间阈值内，就请求LEO_A的第三计算模块重新发送丢弃的报文，返回步骤5.3)；如果在第二时间阈值内，转步骤5.3.2。

5.3.2 TE_m的第一密钥管理模块将报文

发送给TE_m的第二计算模块。

5.3.3 TE_m的第二计算模块用终端会话密钥

解密

得到TE_m到根结点路径上所有兄弟结点的盲密钥。

5.3.4 TE_m的第二计算模块计算组密钥K₀₁，K₀₁表示根结点的密钥，为整个通话组的公共密钥。具体步骤是：

5.3.4.1 TE_m的第二计算模块初始化变量，即令h＝H-1，m_h＝m。

5.3.4.2 TE_m的第二计算模块判断m_h是否为奇数，如果是，转步骤5.3.4.3；如果不是，转步骤5.3.4.6。

5.3.4.3 TE_m的第二计算模块令m_h+1＝(m_h+1)/2。

5.3.4.4 TE_m的第二计算模块计算

然后令h＝h-1,m_h＝m_h+1。

5.3.4.5 TE_m的第二计算模块判断是否满足h<0，如果满足，则说明计算出通话组的组密钥K₀₁，转步骤5.4；如果不满足，转步骤5.3.4.2。

5.3.4.6 TE_m的第二计算模块令m_h+1＝m_h/2。

5.3.4.7 TE_m的第二计算模块计算

然后令h＝h-1,m_h＝m_h+1。

5.3.4.8 TE_m的第二计算模块判断是否满足h<0，如果满足，则计算出通话组的组密钥K₀₁，转步骤5.4；如果不满足，转步骤5.3.4.2。

5.4 LEO_A的第二密钥管理模块判断是否有新的地面终端需加入通话组，如果有，转第六步；如果没有，转步骤5.5。

5.5 LEO_A的第二密钥管理模块判断是否有地面终端需退出通话组，如果有，转第七步；如果没有，转步骤5.6。

5.6 LEO_A的第二密钥管理模块判断过顶卫星是否变化，如果变化，转第八步；如果未变化，转步骤5.4。

第六步，当有新的地面终端(记为TE_p)向卫星LEO_A注册，卫星LEO_A判断有新的组成员加入,TE_p和卫星LEO_A相互配合完成组成员注册，完成会话密钥

的协商，并进行组密钥的更新。具体流程是：

6.1当TE_p想要加入通话组时，TE_p按第四步所述方法和卫星LEO_A相互配合完成组成员注册，完成会话密钥

的协商。

6.2 LEO_A将TE_p放置在OFT的叶子结点上，放置的规则是：在OFT中找到密钥路径最短的结点，路径最短结点有多个时，按照先左后右的原则，优先选择最左的路径最短结点，将该结点扩展出左右两个孩子结点，将原本该结点上的地面终端置于左边孩子结点上，将新加入的地面终端TE_p置于右边孩子结点上。令TE_p下标改为当前OFT中TE_p右边终端的下标，令OFT中TE_p右边所有的终端下标加一，令地面终端总数M＝M+1。

6.3 LEO_A的第二密钥管理模块向LEO_A的第三计算模块发送含有OFT树变更信息的报文E_C。

6.4 LEO_A的第三计算模块接收报文E_C，进行整个通话组的密钥更新和分发。具体步骤是：

6.4.1 LEO_A的第三计算模块按5.1所述方法计算出OFT中所有结点的结点密钥和盲密钥并存储在LEO_A。

6.4.2 LEO_A的第三计算模块同时向M个地面终端TE₁，…,TE_m,…,TE_M分发相应的报文

分别包含地面终端TE₁，…,TE_m,…,TE_M到根结点路径上所有兄弟结点更新的盲密钥和时间戳tt¹ _LEO,…tt^m _LEO,…tt^M _LEO，盲密钥分别用会话密钥

加密。以TE_m(1≤m≤M)作说明，向TE_m分发

中包含地面终端TE_m到根结点路径上所有兄弟结点更新的盲密钥和时间戳tt^m _LEO，盲密钥用会话密钥

加密(各个地面终端的终端会话密钥在第四步就得到了，之所以加个上撇，是因为加入新终端之后原先各个终端从左至右的位置可能发变化，但是各自的会话密钥仍然是第四步得到的，并没有变化，只是因为每个会话密钥的下标TE_m变了，所以用

表示)。

6.5 TE₁,…,TE_m,…,TE_M分别接收

并行计算组密钥。TE₁,…,TE_m,…,TE_M计算组密钥的步骤相同，地面终端TE_m计算组密钥的方法是：

6.5.1TE_m的第一密钥管理模块接收

检查当前时刻减去

上的时间戳的值是否在第二时间阈值内。如果不在第二时间阈值内，丢弃当前收到的报文，请求LEO_A的第三计算模块重新发送报文

返回步骤6.5(只要存在有一个或及以上地面终端检查的时间差值不在第二时间阈值内，请求LEO_A的第三计算模块只给这些终端重新发送丢弃的报文，返回步骤6.5)；如果在，转步骤6.5.2。

6.5.2 TE_m的第一密钥管理模块将报文

发送给TE_m的第二计算模块。

6.5.3 TE_m的第二计算模块用终端会话密钥

解密

得到TE_m到根结点路径上所有兄弟结点的盲密钥。

6.5.4 TE_m的第二计算模块采用步骤5.3.4所述方法计算新的组密钥K₀₁'，返回步骤5.4。

第七步，若有组成员退出时，令需退出的终端为TE_q(1≤q≤M)，TE_q和卫星LEO_A配合完成组成员退出，对组密钥进行更新和分发。具体流程是：

7.1 TE_q的第一密钥管理模块向卫星LEO_A的第二密钥管理模块发送请求退出报文E_TEq,报文中包含TE_q所在的结点信息和时间戳tt_TEq。

7.2卫星LEO_A的第二密钥管理模块检查当前时刻减去报文E_TEq上时间戳的值是否在第三时间阈值内(第三时间阈值是一个表征地面终端给卫星发送消息时延的值，可以设置与第一时间阈值相同)。如果在第三时间阈值内，卫星LEO_A的第二密钥管理模块向TE_m的第一密钥管理模块发送确认退出报文，将TE_q从OFT上去除，并将TE_q兄弟结点的终端置于TE_q的父结点上，令OFT中原TE_q右边所有的终端下标减一，令M＝M-1，执行步骤7.3；如果不在第三时间阈值内，返回步骤7.1。

7.3 LEO_A的第二密钥管理模块向LEO_A的第三计算模块发送含有OFT树变更信息的报文E'_C。

7.4 LEO_A的第三计算模块接收报文E'_C，进行整组的密钥更新和分发。具体步骤是：

7.4.1 LEO_A的第三计算模块按5.1所述方法计算出OFT中所有结点的结点密钥和盲密钥并存储在LEO_A。

7.4.2 LEO_A的第三计算模块同时向M个地面终端TE₁，…,TE_m,…,TE_M分发相应的报文

分别包含地面终端TE₁，…,TE_m,…,TE_M到根结点路径上所有兄弟结点更新的盲密钥和时间戳tt¹ _LEO，…，tt^m _LEO,…，tt^M _LEO，盲密钥分别用会话密钥

加密。以TE_m(1≤m≤M)作说明，向TE_m分发

中包含地面终端TE_m到根结点路径上所有兄弟结点更新的盲密钥和时间戳tt^m _LEO，盲密钥用会话密钥

加密。(各个地面终端的终端会话密钥在第四步就得到了，之所以加个上两个撇，是因为有终端既定出时原先各个终端从左至右的位置可能发变化，但是各自的会话密钥仍然是第四步得到的，并没有变化，只是因为每个会话密钥的下标变了，所以用

表示)

7.5 TE₁,…,TE_m,…,TE_M分别接收

并行计算组密钥。TE₁,…,TE_m,…,TE_M计算组密钥的步骤相同，地面终端TE_m计算组密钥的方法是：

7.5.1TE_m的第一密钥管理模块接收

检查当前时刻减去

上的时间戳的值是否在第二时间阈值内。如果不在第二时间阈值内，丢弃当前收到的报文，请求LEO_A的第三计算模块重新发送报文

返回步骤7.5(只要存在有一个或及以上地面终端检查的时间差值不在第二时间阈值内，请求LEO_A的第三计算模块只给这些终端重新发送丢弃的报文，返回步骤7.5)；如果在，转步骤7.5.2。

7.5.2 TE_m的第一密钥管理模块将报文

发送给TE_m的第二计算模块。

7.5.3 TE_m的第二计算模块用终端会话密钥

解密

得到TE_m到根结点路径上所有兄弟结点的盲密钥。

7.5.4 TE_m的第二计算模块采用步骤5.3.4所述方法计算出新的组密钥K₀₁”，返回步骤5.4。

第八步，当过顶卫星发生变化时，OFT树中所有地面终端TE₁,…,TE_m,…,TE_M、卫星LEO_A和卫星LEO_B配合完成组控制器切换，具体流程是：

8.1 LEO_A的第二密钥管理模块将LEO_A维护的OFT通过星间链路发送给下一颗过顶卫星LEO_B的第二密钥管理模块。

8.2当前过顶卫星LEO_A的第二密钥管理模块向地面终端TE,…,TE_m,…,TE_M同时发送报文

报文

中包含下一颗过顶卫星LEO_B的

和时间戳

8.3地面终端TE₁,…,TE_m,…,TE_M的第一密钥管理模块收到LEO_A广播的报文

后，检查当前时刻减去时间戳

的值是否在第二时间阈值内。如果当前时刻减去地面终端TE₁,…,TE_m,…,TE_M的时间戳

值都在第二时间阈值内，则TE₁,…,TE_m,…,TE_M的第一密钥管理模块将

存储在本地，执行步骤8.4；如果存在当前时刻减去地面终端TE₁,…,TE_m,…,TE_M的时间戳值不在第二时间阈值内，丢弃当前收到的报文，请求LEO_A的第二密钥管理模块重新发送报文

转步骤8.3(只要存在有一个或及以上地面终端检查的时间差值不在第二时间阈值内，请求LEO_A的第二密钥管理模块只给这些终端重新发送丢弃的报文，返回步骤8.3)。

8.4 LEO_B的第二密钥管理模块向地面终端TE₁,…,TE_m,…,TE_M同时广播广播报文

报文

中包含卫星LEO_B的

和时间戳

8.5地面终端TE₁,…,TE_m,…,TE_M的第一密钥管理模块收到LEO_B广播的报文后，检查当前时刻减去时间戳

的值是否在第二时间阈值内。如果当前时刻减去地面终端TE₁,…,TE_m,…,TE_M检查的时间戳

的值都在第二时间阈值内，则TE₁,…,TE_m,…,TE_M的第一密钥管理模块将

存储在本地，执行步骤8.6；如果存在当前时刻减去地面终端TE₁,…,TE_m,…,TE_M的时间戳值不在第二时间阈值内，丢弃当前收到的报文，请求LEO_A的第二密钥管理模块重新发送报文

转步骤8.5(只要存在有一个或及以上地面终端检查的时间差值不在第二时间阈值内，请求LEO_A的第二密钥管理模块只给这些终端重新发送丢弃的报文，返回步骤8.5)。

8.6地面终端TE₁,…,TE_m,…,TE_M的第一密钥管理模块比较两次收到的

(即从LEO_A收到的

和从LEO_B收到的

)是否一致，如果地面终端TE₁,…,TE_m,…,TE_M第一密钥管理模块比较两次收到的

均一致，则说明完成组控制器切换，卫星LEO_A退出通话组，卫星LEO_B接替卫星LEO_A执行组控制器工作，返回步骤5.4；如果存在地面终端TE₁,…,TE_m,…,TE_M中第一密钥管理模块比较两次收到的

不一致，转步骤8.1。

采用本发明可以达到以下技术效果：

1.在组成员注册时，每个地面终端都和卫星进行双向认证和会话密钥协商，以确保地面终端的合法性。在组密钥生成、组成员加入、组成员退出和组控制器切换时，卫星和地面终端之间利用注册时协商好的密钥进行加密通信，保证了消息的安全。因此，本发明能够提供机密性服务。

2.在第六步组成员加入时，卫星在新地面终端加入后，对OFT进行更新。新地面终端拥有的盲密钥无法对之前的信息进行解密，从而保证了后向安全性。在第七步组成员退出时，卫星在地面终端退出后，与位于其兄弟结点上的地面终端协商新的密钥，随后对整个OFT进行更新。已退出的地面终端无法根据所拥有的盲密钥对后续的加密信息进行解密，从而保证了前向安全性。

3.认证性：本发明星地之间发送的每条报文都包含相应的签名或者消息认证码，卫星或者地面终端收到报文后，通过对报文上的签名或者消息认证码进行验证，可以确定发送者的身份，从而保证了不可否认性。

4.采用本发明时，星地之间的每条报文都包含对应的时间戳以保证消息的新鲜性。敌手无法通过发送相同的消息来获取卫星或者地面终端的响应。

5.完整性:卫星或者地面终端在收到对方发来的报文后，都需要对报文中的签名和消息认证码的合法性进行验证，从而保证了完整性。

6.本发明具有更小的存储开销和通信开销，同时组控制器切换时，将原本卫星管理的OFT通过星间链路发送给下一颗卫星，也省去了重新构建OFT和生成、分发、更新密钥的开销。

附图说明

图1为单向函数树OFT的说明示意图；

图2为本发明总体流程图；

图3为第一步构建面向低轨卫星网络的组密钥管理系统示意图。

具体实施方式

如图2所示，本发明包括以下步骤：

第一步，构建面向低轨卫星网络的组密钥管理系统。面向低轨卫星网络的组密钥管理系统如图3所示，由密钥生成中心PKG，卫星LEO_A，卫星LEO_B和地面终端TE_A组成。如果有地面终端TE_A想要加入组密钥管理系统，首先地面终端TE_A向PKG提交选定身份标识ID，申请系统参数的请求和申请私钥的请求，然后PKG根据系统参数和身份标识ID计算出TE_A对应的私钥。PKG将TE_A对应的私钥和系统参数发送给TE_A。如果有卫星LEO_A想要加入组密钥管理系统，首先LEO_A向PKG提交选定身份标识ID，申请系统参数的请求和申请私钥的请求，然后PKG根据系统参数和身份标识ID计算出LEO_A对应的私钥，将LEO_A对应的私钥和系统参数发送给LEO_A。地面终端TE_A向卫星LEO_A发送请求加入报文，卫星LEO_A收到请求加入报文后，验证请求加入报文是否合法，即验证身份基签名是否正确，身份基签名包含于身份标识ID中。如果合法，卫星LEO_A发送确认加入报文给地面终端TE_A协商相关的密钥；如果不合法，则拒绝地面终端TE_A的加入。当该地面终端TE_A想要退出面向低轨卫星网络的组密钥管理系统时，向卫星LEO_A发送请求退出报文，卫星LEO_A收到请求退出报文后，发送确认退出报文给地面终端TE_A同意其离开。当通话组的过顶卫星LEO_A发生变化时，需要进行组控制器切换，当前过顶卫星LEO_A(即组控制器)将自己维护的OFT发送给下一颗过顶卫星LEO_B，并向地面终端TE_A广播LEO_B的ID。当下一颗过顶卫星LEO_B抵达时，向地面终端TE_A广播自己的ID。TE_A收到后比较从两次收到的ID(即从LEO_A收到的ID和从LEO_B收到的ID)是否一致。一致则完成组控制器切换，否则重新进行切换。

PKG上安装有系统参数管理模块和第一计算模块，地面终端TE_A上安装有第一密钥管理模块和第二计算模块，卫星LEO_A和卫星LEO_B上安装有第二密钥管理模块和第三计算模块。

PKG的系统参数管理模块与第一计算模块、地面终端TE_A的第一密钥管理模块、卫星LEO_A的第二密钥管理模块相连。PKG的系统参数管理模块接收卫星LEO_A和地面终端TE_A发送的选定身份标识ID、申请系统参数的请求和申请私钥的请求，生成系统参数并储存，将系统参数和选定身份标识ID发送给第一计算模块。

PKG的第一计算模块与系统参数管理模块、地面终端TE_A的第一密钥管理模块和卫星LEO_A的第二密钥管理模块相连，PKG的第一计算模块从系数参数管理模块接收系统参数，根据系统参数和选定身份标识ID计算产生对应的私钥，将系统参数和TE_A对应的私钥发送给地面终端TE_A，将系统参数和LEO_A对应的私钥发送给卫星LEO_A。

地面终端TE_A的第一密钥管理模块与地面终端TE_A的第二计算模块、PKG的第一计算模块、卫星LEO_A的第二密钥管理模块、卫星LEO_A的第三计算模块、卫星LEO_B的第二密钥管理模块相连。第一密钥管理模块从第一计算模块接收系统参数和私钥，对系统参数和私钥进行储存，并向第二计算模块发送系统参数和私钥；第一密钥管理模块向卫星LEO_A的第二密钥管理模块发送请求加入报文、请求退出报文，提交地面终端加入通话组或退出通话组的请求；第一密钥管理模块从卫星LEO_A的第二密钥管理模块接收到确认加入报文、确认退出报文，执行地面终端加入通话组或退出通话组的操作；第一密钥管理模块从卫星LEO_A的第三计算模块接收报文LBI，存储报文信息并发送给第二计算模块；第一密钥管理模块从卫星LEO_A的第二密钥管理模块接收下一颗过顶卫星LEO_B的ID(令为第一ID)，储存第一ID；第一密钥管理模块从卫星LEO_B的第二密钥管理模块接收卫星LEO_B的ID(令为第二ID)，储存第二ID并核对第一ID和第二ID是否相同，若相同则确认组控制器切换，若不相同则拒绝组控制器切换。

地面终端TE_A的第二计算模块与第一密钥管理模块、卫星LEO_A的第二密钥管理模块相连，第二计算模块接收第一密钥管理模块发送的系统参数、私钥和LBI报文信息，计算出与卫星LEO_A协商的会话密钥，将包含了会话密钥的报文TRI发送给卫星LEO_A的第二密钥管理模块。

卫星LEO_A的第二密钥管理模块与卫星LEO_A的第三计算模块、PKG的第一计算模块、地面终端TE_A的第一密钥管理模块、地面终端TE_A的第二计算模块、卫星LEO_B的第二密钥管理模块相连，卫星LEO_A的第二密钥管理模块从第一计算模块接收系统参数和私钥，对系统参数和私钥进行储存，并向卫星LEO_A的第三计算模块发送系统参数和私钥；当卫星LEO_A的第二密钥管理模块从TE_A收到请求加入报文时，判断TE_A的合法性，向第一密钥管理模块发送确认加入报文；当卫星LEO_A的第二密钥管理模块从TE_A收到请求退出报文时，向第一密钥管理模块发送确认退出报文；当下一颗过顶卫星LEO_B到达过顶位置时(一般10-15分钟)，卫星LEO_A的第二密钥管理模块向第一密钥管理模块发送下一颗过顶卫星LEO_B的ID；当第一密钥模块确认组控制器切换时，卫星LEO_A的第二密钥管理模块向卫星LEO_B的第二密钥管理模块发送维护的单向函数树OFT。

卫星LEO_A的第三计算模块与卫星LEO_A的第二密钥管理模块、第一密钥管理模块相连，卫星LEO_A的第三计算模块从卫星LEO_A的第二密钥管理模块接收系统参数和私钥，计算出与地面终端TE_A协商的会话密钥，将包含会话密钥的报文LBI发送给地面终端TE_A的第一密钥管理模块。

卫星LEO_B的第二密钥管理模块到达过顶位置前与地面终端TE_A的第一密钥管理模块、卫星LEO_A的第二密钥管理模块相连，当卫星LEO_B到达过顶位置时，卫星LEO_B的第二密钥管理模块向地面终端TE_A的第一密钥管理模块发送卫星LEO_B的ID；当第一密钥管理模块确认组控制器切换时，卫星LEO_B的第二密钥管理模块从卫星LEO_A的第二密钥管理模块接收卫星LEO_A维护的单向函数树OFT。卫星LEO_B的第二密钥管理模块到达过顶位置后连接状态和功能与卫星LEO_A的第二密钥管理模块一致。

卫星LEO_B的第三计算模块与卫星LEO_B的第二密钥管理模块相连，在到达过顶位置前不进行任何工作。卫星LEO_B的第三计算模块在到达过顶位置后连接状态和功能与卫星LEO_A的第三计算模块相同。

第二步，PKG上的系统参数管理模块根据安全参数产生系统参数和PKG的主密钥，具体流程是：

系统初始化的目的是完成系统参数十元组

的生成以及为LEO_A和TE_A生成对应的私钥。方法是：

2.1系统参数管理模块获得系统管理员输入的安全参数k，k为正整数；

2.2系统参数管理模块使用k作为输入，使用BDH参数生成方法产生安全级别为k位的身份基密码学参数，包括生成元为P、阶为q的加法循环群G₁，阶为q的乘法循环群G_T(G₁、G_T为椭圆曲线上的点组成的集合，G₁、G_T中的元素是椭圆曲线上的点)，P∈G₁、q∈Z_q ^*，Z_q ^*为正整数集合。椭圆曲线上的双线性映射函数

(表示将G₁中的某两个元素x，y映射到G_T中的某个元素

)，三个哈希函数：

(表示将长度为k₂的二进制字符串u映射到G₁的元素H₁(u))，

(表示将长度为k₁+n的二进制字符串v映射到Z_q ^*的某个整数H₂(v))，

(表示将G_T的某一个元素映射到长度为k₁+k₂+n的二进制字符串w)其中k₁是G₁元素的比特数，k₂是地面终端或卫星提交ID的比特数，n是从地面终端或卫星接收明文的比特数。

2.3系统参数管理模块在正整数集合Z_q ^*中随机选取整数s，0<s<q，作为PKG的主密钥。

2.4系统参数管理模块计算系统公钥Q_TA，Q_TA＝s·P，s是主密钥，P是生成元即原始点，Q_TA为新的点，其中“·”表示G₁中元素P₁的标量乘法运算。

2.5系统参数管理模块将十元组

作为系统参数公开给PKG的第一计算模块，并把s作为主密钥保存，不泄漏给地面终端TE_A和卫星LEO_A。虽然P，Q_TA公开，依据标量乘法运算的性质，无法根据Q_TA＝s·P算出s。g(·)为计算密钥时的单向函数，f(·)为计算密钥时的混合函数。

第三步，地面终端TE_A和卫星LEO_A的密钥管理模块与PKG相互配合，完成私钥分发，具体流程是：

3.1地面终端TE_A的第一密钥管理模块向PKG的系统参数管理模块发送身份标识ID，申请系统参数的请求、申请私钥的请求。同时卫星LEO_A的第二密钥管理模块向PKG的系统参数管理模块发送身份标识ID，申请系统参数的请求、申请私钥的请求。需要注意的是，此过程需要在安全的环境下进行。

3.2 PKG的系统参数管理模块验证地面终端TE_A和卫星LEO_A的设备编号，若设备编号在PKG内置白名单中，则审核通过，转步骤3.3；若审核不通过，向地面终端TE_A和卫星LEO_A的发送审核不通过的消息，转步骤3.1。

3.3 PKG的第一计算模块利用地面终端TE_A的身份标识ID及PKG主密钥s生成地面终端TE_A相应的私钥S_TE,方法是：S_TE＝s·H₁(ID_TE)，ID_TE为地面终端TE_A的身份标识，即将PKG的主密钥s与H₁(ID_TE)做标量乘法运算，H₁(ID_TE)指ID_TE的哈希值，将任意长度二进制字符串ID_TE映射为一个循环加法群G₁的元素。

3.4 PKG的第一计算模块利用卫星LEO_A的身份标识ID及PKG主密钥s生成卫星的私钥S_LEO,方法是：S_LEO＝s·H₁(ID_LEO)，H₁(ID_LEO)指ID_LEO的哈希值。

3.5若地面终端TE_A和卫星LEO_A能与PKG建立安全会话连接，则PKG的系统参数管理模块向地面终端TE_A的第一密钥管理模块和卫星LEO_A的第二密钥管理模块发送系统参数和私钥，若地面终端TE_A和卫星LEO_A不能与PKG建立安全会话连接，则PKG的系统参数管理模块通过离线方式向地面终端TE_A的第一密钥管理模块和卫星LEO_A的第二密钥管理模块发送系统参数和私钥。

第四步，地面终端TE_A和卫星LEO_A相互配合完成组成员注册，完成会话密钥

的协商。方法是：

4.1 LEO_A向TE_A广播含ID信息、时间戳信息的报文LBI，具体步骤是：

4.1.1 LEO_A的第二密钥管理模块随机选择一个整数r_LEO，r_LEO∈Z_q ^*，将r_LEO发送给LEO_A的第三计算模块。

4.1.2 LEO_A的第三计算模块计算卫星公钥Q_LEO并储存，Q_LEO＝H₁(ID_LEO)。

4.1.3 LEO_A的第三计算模块计算报文LBI第一变量X_LEO，X_LEO＝r_LEOQ_LEO；

4.1.4 LEO_A的第三计算模块计算报文LBI第三变量h₁和报文LBI第二变量Z_LEO，h₁＝H₂(X_LEO||ID_LEO||tt_LEO)，Z_LEO＝(r_LEO+h₁)S_LEO；其中tt_LEO是LEO当前的时间戳，S_LEO是卫星的私钥。

4.1.5 LEO_A的第二密钥管理模块生成报文LBI，LBI＝<ID_LEO,tt_LEO,X_LEO,Z_LEO，h₁>。随后，LEO_A向地面终端广播报文LBI。

4.2 TE_A的第一密钥管理模块收到LEO_A卫星广播的报文LBI后，检查当前时刻减去LBI上的时间戳值是否在第一时间阈值内，第一时间阈值为一个能够表征卫星和地面时延的值，一般可以设置为100ms。如果当前时刻减去LBI上的时间戳值不在第一时间阈值内，则丢弃该报文，返回步骤4.1；如果当前时刻减去LBI上的时间戳值在第一时间阈值内,TE_A的第一密钥管理模块将报文LBI发送给TE_A的第二计算模块，执行步骤4.3。

4.3 TE_A的第二计算模块向LEO_A的第二密钥管理模块发送报文TRI和计算终端会话密钥K_TE，具体步骤是：

4.3.1 TE_A的第二计算模块计算卫星公钥Q_LEO和第三变量h₁，Q_LEO＝H₁(ID_LEO),h₁＝H₂(X_LEO||ID_LEO||tt_LEO)(||是字符串连接符，X_LEO||ID_LEO||tt_LEO表示将报文LBI第一变量X_LEO、卫星的ID_LEO和时间戳tt_LEO的字符串连接起来)。随后验证

是否成立，如果不成立，返回步骤4.1；如果成立，执行步骤4.3.2。

4.3.2 TE_A的第一密钥管理模块随机选择一个整数r_TE，r_TE∈Z_q ^*，将r_TE发送给TE_A的第二计算模块；

4.3.3 TE_A的第二计算模块计算报文TRI第一变量X_TE，X_TE＝r_TEQ_TE；

4.3.4TE_A的第二计算模块计算验证变量h'₁，h'₁＝H₂(X_TE||ID_LEO||tt_TE)，计算中间第一变量Z_TE，Z_TE＝(r_TE+h'₁)S_TE；

4.3.5 TE_A的第二计算模块计算中间第二变量w_TE，

计算报文TRI第二变量Y_TE，

是异或运算符；

4.3.6 TE_A的第二计算模块生成报文TRI，TRI＝<tt_TE,X_TE,Y_TE>。

4.3.7 TE_A的第二计算模块计算终端会话密钥K_TE，

4.3.8 TE_A的第二计算模块将报文TRI发送给LEO_A的第二密钥管理模块。

4.4 LEO_A的第二密钥管理模块收到报文TRI后，检查当前时刻减去TRI上的时间戳值是否在第二时间阈值内(第二时间阈值设置为与第一时间阈值相同的值)，如果不在，则丢弃TRI，返回步骤4.3.8。否则，LEO_A执行步骤4.5。

4.5 LEO_A的第三计算模块计算卫星会话密钥K_LEO，具体步骤是：

4.5.1 LEO_A的第三计算模块计算中间第二变量w_TE

4.5.2 LEO_A的第三计算模块计算地面终端TE_A的公钥Q_TE，Q_TE＝H₁(ID_TE)，计算验证变量h'₁，h'₁＝H₂(X_TE||ID_LEO||tt_TE)。

4.5.3 LEO_A的第三计算模块验证

是否成立，若成立，转步骤4.5.4；若不成立，返回步骤4.5。

4.5.4 LEO_A的第三计算模块计算卫星会话密钥K_LEO，

4.6经过以上步骤后，LEO_A和TE_A就协商出了终端会话密钥K_TE和卫星会话密钥K_LEO。

第五步，地面终端和卫星LEO_A配合进行组密钥生成，且LEO_A判断通话组成员是不是发生变化，根据变化采取不同的措施。为了生成组密钥，LEO_A需要维护一个OFT，树的叶子结点存贮向LEO_A注册的地面终端组成员的会话密钥和地面终端到根结点路径上兄弟结点的盲密钥。假设卫星LEO_A的OFT共有M个叶子结点，对应共有M个地面终端组成员，分别为TE₁,…,TE_m,…,TE_M，1≤m≤M，地面终端TE_m为OFT树中从左至右第m个叶子结点对应的地面终端。地面终端和卫星LEO_A配合进行组密钥协商生成组密钥的具体流程是：

5.1 LEO_A的第三计算模块计算出OFT中所有结点的结点密钥和盲密钥并存储在LEO_A。将OFT中第h层，从左至右为第m_h个的结点记为

其中H为OFT树的高度，M_h为第h层结点总数，结点

的结点密钥记为

叶子结点的密钥

就是地面终端TE₁，TE₂,…,TE_m,…,TE_M的会话密钥

具体步骤是：

5.1.1 LEO_A的第三计算模块初始化h＝H-1，m_h＝1，m_h+1＝1。

5.1.2 LEO_A的第三计算模块计算叶子结点(即第H层中M_H个结点)的盲密钥

为第H层中第m_H个结点的盲密钥，

5.1.3 LEO_A的第三计算模块计算第h层中第m_h个结点的密钥

其中

分别是结点

的盲密钥，

然后令m_h＝m_h+1,m_h+1＝m_h+1+2。

5.1.4 LEO_A的第三计算模块计算结点

的盲密钥

5.1.5 LEO_A的第三计算模块判断是否满足m_h>M_h，如果满足，令h＝h-1,m_h＝1,m_h+1＝1,转步骤5.1.6；如果不满足，返回步骤5.1.3。

5.1.6 LEO_A的第三计算模块判断是否满足h<0，如果满足，转步骤5.2；如果不满足，返回步骤5.1.3。

5.2 LEO_A的第三计算模块同时向TE₁,…,TE_m,…,TE_M分别发送报文

分别包含TE₁,…,TE_m,…,TE_M到根结点路径上兄弟结点的盲密钥和时间戳tt¹ _LEO,…tt^m _LEO,…tt^M _LEO，盲密钥分别用会话密钥

加密。例如

包含TE_m到LEO_A路径上兄弟结点的盲密钥以及时间戳tt^m _LEO，盲密钥用地面终端TE_m的会话密钥

加密。

5.3TE₁,…,TE_m,…,TE_M分别接收

并行计算组密钥。TE₁,…,TE_m,…,TE_M计算组密钥的步骤相同，地面终端TE_m计算组密钥的方法是：

5.3.1 TE_m的第一密钥管理模块接收LEO_A的第三计算模块发来的报文

检查当前时刻减去报文

上的时间戳tt^m _LEO的值是否在第二时间阈值内，如果不在第二时间阈值内，丢弃

请求LEO_A的第三计算模块重新发送报文

返回步骤5.3(TE₁,…,TE_m,…,TE_M中只要存在有一个或及以上地面终端检查的时间差值不在第二时间阈值内，就请求LEO_A的第三计算模块重新发送丢弃的报文，返回步骤5.3)；如果在第二时间阈值内，转步骤5.3.2。

5.3.2 TE_m的第一密钥管理模块将报文

发送给TE_m的第二计算模块。

5.3.3 TE_m的第二计算模块用终端会话密钥

解密

得到TE_m到根结点路径上所有兄弟结点的盲密钥。

5.3.4 TE_m的第二计算模块计算组密钥K₀₁，K₀₁表示根结点的密钥，为整个通话组的公共密钥。具体步骤是：

5.3.4.1 TE_m的第二计算模块初始化变量，即令h＝H-1，m_h＝m。

5.3.4.2 TE_m的第二计算模块判断m_h是否为奇数，如果是，转步骤5.3.4.3；如果不是，转步骤5.3.4.6。

5.3.4.3 TE_m的第二计算模块令m_h+1＝(m_h+1)/2。

5.3.4.4 TE_m的第二计算模块计算

然后令h＝h-1,m_h＝m_h+1。

5.3.4.5 TE_m的第二计算模块判断是否满足h<0，如果满足，则说明计算出通话组的组密钥K₀₁，转步骤5.4；如果不满足，转步骤5.3.4.2。

5.3.4.6 TE_m的第二计算模块令m_h+1＝m_h/2。

5.3.4.7 TE_m的第二计算模块计算

然后令h＝h-1,m_h＝m_h+1。

5.3.4.8 TE_m的第二计算模块判断是否满足h<0，如果满足，则计算出通话组的组密钥K₀₁，转步骤5.4；如果不满足，转步骤5.3.4.2。

5.4 LEO_A的第二密钥管理模块判断是否有新的地面终端需加入通话组，如果有，转第六步；如果没有，转步骤5.5。

5.5 LEO_A的第二密钥管理模块判断是否有地面终端需退出通话组，如果有，转第七步；如果没有，转步骤5.6。

5.6 LEO_A的第二密钥管理模块判断过顶卫星是否变化，如果变化，转第八步；如果未变化，转步骤5.4。

第六步，当有新的地面终端(记为TE_p)向卫星LEO_A注册，卫星LEO_A判断有新的组成员加入,TE_p和卫星LEO_A相互配合完成组成员注册，完成会话密钥

的协商，并进行组密钥的更新。具体流程是：

6.1当TE_p想要加入通话组时，TE_p按第四步所述方法和卫星LEO_A相互配合完成组成员注册，完成会话密钥

的协商。

6.2 LEO_A将TE_p放置在OFT的叶子结点上，放置的规则是：在OFT中找到密钥路径最短的结点，路径最短结点有多个时，按照先左后右的原则，优先选择最左的路径最短结点，将该结点扩展出左右两个孩子结点，将原本该结点上的地面终端置于左边孩子结点上，将新加入的地面终端TE_p置于右边孩子结点上。令TE_p下标改为当前OFT中TE_p右边终端的下标，令OFT中TE_p右边所有的终端下标加一，令地面终端总数M＝M+1。

6.3 LEO_A的第二密钥管理模块向LEO_A的第三计算模块发送含有OFT树变更信息的报文E_C。

6.4 LEO_A的第三计算模块接收报文E_C，进行整个通话组的密钥更新和分发。具体步骤是：

6.4.1 LEO_A的第三计算模块按5.1所述方法计算出OFT中所有结点的结点密钥和盲密钥并存储在LEO_A。

6.4.2 LEO_A的第三计算模块同时向M个地面终端TE₁，…,TE_m,…,TE_M分发相应的报文

分别包含地面终端TE₁，…,TE_m,…,TE_M到根结点路径上所有兄弟结点更新的盲密钥和时间戳tt¹ _LEO,…tt^m _LEO,…tt^M _LEO，盲密钥分别用会话密钥

加密。以TE_m(1≤m≤M)作说明，向TE_m分发

中包含地面终端TE_m到根结点路径上所有兄弟结点更新的盲密钥和时间戳tt^m _LEO，盲密钥用会话密钥

加密(各个地面终端的终端会话密钥在第四步就得到了，之所以加个上撇，是因为加入新终端之后原先各个终端从左至右的位置可能发变化，但是各自的会话密钥仍然是第四步得到的，并没有变化，只是因为每个会话密钥的下标TE_m变了，所以用

表示)。

6.5 TE₁,…,TE_m,…,TE_M分别接收

并行计算组密钥。TE₁,…,TE_m,…,TE_M计算组密钥的步骤相同，地面终端TE_m计算组密钥的方法是：

6.5.1TE_m的第一密钥管理模块接收

检查当前时刻减去

上的时间戳的值是否在第二时间阈值内。如果不在第二时间阈值内，丢弃当前收到的报文，请求LEO_A的第三计算模块重新发送报文

返回步骤6.5(只要存在有一个或及以上地面终端检查的时间差值不在第二时间阈值内，请求LEO_A的第三计算模块只给这些终端重新发送丢弃的报文，返回步骤6.5)；如果在，转步骤6.5.2。

6.5.2 TE_m的第一密钥管理模块将报文

发送给TE_m的第二计算模块。

6.5.3 TE_m的第二计算模块用终端会话密钥

解密

得到TE_m到根结点路径上所有兄弟结点的盲密钥。

6.5.4 TE_m的第二计算模块采用步骤5.3.4所述方法计算新的组密钥K₀₁'，返回步骤5.4。

第七步，若有组成员退出时，令需退出的终端为TE_q(1≤q≤M)，TE_q和卫星LEO_A配合完成组成员退出，对组密钥进行更新和分发。具体流程是：

7.1 TE_q的第一密钥管理模块向卫星LEO_A的第二密钥管理模块发送请求退出报文E_TEq,报文中包含TE_q所在的结点信息和时间戳tt_TEq。

7.2卫星LEO_A的第二密钥管理模块检查当前时刻减去报文E_TEq上时间戳的值是否在第三时间阈值内(第三时间阈值设置为与第一时间阈值相同)。如果在第三时间阈值内，卫星LEO_A的第二密钥管理模块向TE_m的第一密钥管理模块发送确认退出报文，将TE_q从OFT上去除，并将TE_q兄弟结点的终端置于TE_q的父结点上，令OFT中原TE_q右边所有的终端下标减一，令M＝M-1，执行步骤7.3；如果不在第三时间阈值内，返回步骤7.1。

7.3 LEO_A的第二密钥管理模块向LEO_A的第三计算模块发送含有OFT树变更信息的报文E'_C。

7.4 LEO_A的第三计算模块接收报文E'_C，进行整组的密钥更新和分发。具体步骤是：

7.4.1 LEO_A的第三计算模块按5.1所述方法计算出OFT中所有结点的结点密钥和盲密钥并存储在LEO_A。

7.4.2 LEO_A的第三计算模块同时向M个地面终端TE₁，…,TE_m,…,TE_M分发相应的报文

分别包含地面终端TE₁，…,TE_m,…,TE_M到根结点路径上所有兄弟结点更新的盲密钥和时间戳tt¹ _LEO，…，tt^m _LEO，…，tt^M _LEO，盲密钥分别用会话密钥

加密。以TE_m(1≤m≤M)作说明，向TE_m分发

中包含地面终端TE_m到根结点路径上所有兄弟结点更新的盲密钥和时间戳tt^m _LEO，盲密钥用会话密钥

加密。

7.5 TE₁,…,TE_m,…,TE_M分别接收

并行计算组密钥。TE₁,…,TE_m,…,TE_M计算组密钥的步骤相同，地面终端TE_m计算组密钥的方法是：

7.5.1TE_m的第一密钥管理模块接收

检查当前时刻减去

上的时间戳的值是否在第二时间阈值内。如果不在第二时间阈值内，丢弃当前收到的报文，请求LEO_A的第三计算模块重新发送报文

返回步骤7.5；如果在，转步骤7.5.2。

7.5.2 TE_m的第一密钥管理模块将报文

发送给TE_m的第二计算模块。

7.5.3 TE_m的第二计算模块用终端会话密钥

解密

得到TE_m到根结点路径上所有兄弟结点的盲密钥。

7.5.4 TE_m的第二计算模块采用步骤5.3.4所述方法计算出新的组密钥K₀₁”，返回步骤5.4。

第八步，当过顶卫星发生变化时，OFT树中所有地面终端TE₁,…,TE_m,…,TE_M、卫星LEO_A和卫星LEO_B配合完成组控制器切换，具体流程是：

8.1 LEO_A的第二密钥管理模块将LEO_A维护的OFT通过星间链路发送给下一颗过顶卫星LEO_B的第二密钥管理模块。

8.2当前过顶卫星LEO_A的第二密钥管理模块向地面终端TE,…,TE_m,…,TE_M同时发送报文

报文

中包含下一颗过顶卫星LEO_B的

和时间戳

8.3地面终端TE₁,…,TE_m,…,TE_M的第一密钥管理模块收到LEO_A广播的报文

后，检查当前时刻减去时间戳

的值是否在第二时间阈值内。如果当前时刻减去地面终端TE₁,…,TE_m,…,TE_M的时间戳

值都在第二时间阈值内，则TE₁,…,TE_m,…,TE_M的第一密钥管理模块将

存储在本地，执行步骤8.4；如果存在当前时刻减去地面终端TE₁,…,TE_m,…,TE_M的时间戳值不在第二时间阈值内，丢弃当前收到的报文，请求LEO_A的第二密钥管理模块重新发送报文

转步骤8.3。

8.4 LEO_B的第二密钥管理模块向地面终端TE₁,…,TE_m,…,TE_M同时广播广播报文

报文

中包含卫星LEO_B的

和时间戳

8.5地面终端TE₁,…,TE_m,…,TE_M的第一密钥管理模块收到LEO_B广播的报文后，检查当前时刻减去时间戳

的值是否在第二时间阈值内。如果当前时刻减去地面终端TE₁,…,TE_m,…,TE_M检查的时间戳

的值都在第二时间阈值内，则TE₁,…,TE_m,…,TE_M的第一密钥管理模块将

存储在本地，执行步骤8.6；如果存在当前时刻减去地面终端TE₁,…,TE_m,…,TE_M的时间戳值不在第二时间阈值内，丢弃当前收到的报文，请求LEO_A的第二密钥管理模块重新发送报文

转步骤8.5。

8.6地面终端TE₁,…,TE_m,…,TE_M的第一密钥管理模块比较两次收到的

(即从LEO_A收到的

和从LEO_B收到的

)是否一致，如果地面终端TE₁,…,TE_m,…,TE_M第一密钥管理模块比较两次收到的

均一致，则说明完成组控制器切换，卫星LEO_A退出通话组，卫星LEO_B接替卫星LEO_A执行组控制器工作，返回步骤5.4；如果存在地面终端TE₁,…,TE_m,…,TE_M中第一密钥管理模块比较两次收到的

不一致，转步骤8.1。

Claims (7)

1.一种面向低轨卫星网络的组密钥管理方法，其特征在于包括以下步骤：

第一步，构建面向低轨卫星网络的组密钥管理系统；面向低轨卫星网络的组密钥管理系统由密钥生成中心PKG，卫星LEO_A，卫星LEO_B和地面终端TE_A组成；若有地面终端TE_A想要加入组密钥管理系统，首先地面终端TE_A向PKG提交选定身份标识ID，申请系统参数的请求和申请私钥的请求，然后PKG根据系统参数和身份标识ID计算出TE_A对应的私钥；PKG将TE_A对应的私钥和系统参数发送给TE_A；若有卫星LEO_A想要加入组密钥管理系统，首先LEO_A向PKG提交选定身份标识ID，申请系统参数的请求和申请私钥的请求，然后PKG根据系统参数和身份标识ID计算出LEO_A对应的私钥，将LEO_A对应的私钥和系统参数发送给LEO_A；地面终端TE_A向卫星LEO_A发送请求加入报文，卫星LEO_A收到请求加入报文后，验证请求加入报文是否合法，即验证身份基签名是否正确，身份基签名包含于身份标识ID中；如果合法，卫星LEO_A发送确认加入报文给地面终端TE_A协商相关的密钥；如果不合法，则拒绝地面终端TE_A的加入；当该地面终端TE_A想要退出面向低轨卫星网络的组密钥管理系统时，向卫星LEO_A发送请求退出报文，卫星LEO_A收到请求退出报文后，发送确认退出报文给地面终端TE_A同意其离开；当通话组的过顶卫星LEO_A发生变化时，需要进行组控制器切换，当前过顶卫星LEO_A即组控制器将自己维护的OFT发送给下一颗过顶卫星LEO_B，并向地面终端TE_A广播LEO_B的ID；当下一颗过顶卫星LEO_B抵达时，向地面终端TE_A广播自己的ID；TE_A收到后比较从两次收到的ID是否一致；一致则完成组控制器切换，否则重新进行切换；

PKG上安装有系统参数管理模块和第一计算模块，地面终端TE_A上安装有第一密钥管理模块和第二计算模块，卫星LEO_A和卫星LEO_B上安装有第二密钥管理模块和第三计算模块；

PKG的系统参数管理模块与第一计算模块、地面终端TE_A的第一密钥管理模块、卫星LEO_A的第二密钥管理模块相连；PKG的系统参数管理模块接收卫星LEO_A和地面终端TE_A发送的选定身份标识ID、申请系统参数的请求和申请私钥的请求，生成系统参数并储存，将系统参数和选定身份标识ID发送给第一计算模块；

PKG的第一计算模块与系统参数管理模块、地面终端TE_A的第一密钥管理模块和卫星LEO_A的第二密钥管理模块相连，PKG的第一计算模块从系数参数管理模块接收系统参数，根据系统参数和选定身份标识ID计算产生对应的私钥，将系统参数和TE_A对应的私钥发送给地面终端TE_A，将系统参数和LEO_A对应的私钥发送给卫星LEO_A；

地面终端TE_A的第一密钥管理模块与地面终端TE_A的第二计算模块、PKG的第一计算模块、卫星LEO_A的第二密钥管理模块、卫星LEO_A的第三计算模块、卫星LEO_B的第二密钥管理模块相连；第一密钥管理模块从第一计算模块接收系统参数和私钥，对系统参数和私钥进行储存，并向第二计算模块发送系统参数和私钥；第一密钥管理模块向卫星LEO_A的第二密钥管理模块发送请求加入报文、请求退出报文，提交地面终端加入通话组或退出通话组的请求；第一密钥管理模块从卫星LEO_A的第二密钥管理模块接收到确认加入报文、确认退出报文，执行地面终端加入通话组或退出通话组的操作；第一密钥管理模块从卫星LEO_A的第三计算模块接收报文LBI，存储报文信息并发送给第二计算模块；第一密钥管理模块从卫星LEO_A的第二密钥管理模块接收下一颗过顶卫星LEO_B的ID即第一ID，储存第一ID；第一密钥管理模块从卫星LEO_B的第二密钥管理模块接收卫星LEO_B的ID即第二ID，储存第二ID并核对第一ID和第二ID是否相同，若相同则确认组控制器切换，若不相同则拒绝组控制器切换；

地面终端TE_A的第二计算模块与第一密钥管理模块、卫星LEO_A的第二密钥管理模块相连，第二计算模块接收第一密钥管理模块发送的系统参数、私钥和LBI报文信息，计算出与卫星LEO_A协商的会话密钥，将包含了会话密钥的报文TRI发送给卫星LEO_A的第二密钥管理模块；

卫星LEO_A的第二密钥管理模块与卫星LEO_A的第三计算模块、PKG的第一计算模块、地面终端TE_A的第一密钥管理模块、地面终端TE_A的第二计算模块、卫星LEO_B的第二密钥管理模块相连，卫星LEO_A的第二密钥管理模块从第一计算模块接收系统参数和私钥，对系统参数和私钥进行储存，并向卫星LEO_A的第三计算模块发送系统参数和私钥；当卫星LEO_A的第二密钥管理模块从TE_A收到请求加入报文时，判断TE_A的合法性，向第一密钥管理模块发送确认加入报文；当卫星LEO_A的第二密钥管理模块从TE_A收到请求退出报文时，向第一密钥管理模块发送确认退出报文；当下一颗过顶卫星LEO_B到达过顶位置时，卫星LEO_A的第二密钥管理模块向第一密钥管理模块发送下一颗过顶卫星LEO_B的ID；当第一密钥模块确认组控制器切换时，卫星LEO_A的第二密钥管理模块向卫星LEO_B的第二密钥管理模块发送维护的单向函数树OFT；

卫星LEO_A的第三计算模块与卫星LEO_A的第二密钥管理模块、第一密钥管理模块相连，卫星LEO_A的第三计算模块从卫星LEO_A的第二密钥管理模块接收系统参数和私钥，计算出与地面终端TE_A协商的会话密钥，将包含会话密钥的报文LBI发送给地面终端TE_A的第一密钥管理模块；

卫星LEO_B的第二密钥管理模块到达过顶位置前与地面终端TE_A的第一密钥管理模块、卫星LEO_A的第二密钥管理模块相连，当卫星LEO_B到达过顶位置时，卫星LEO_B的第二密钥管理模块向地面终端TE_A的第一密钥管理模块发送卫星LEO_B的ID；当第一密钥管理模块确认组控制器切换时，卫星LEO_B的第二密钥管理模块从卫星LEO_A的第二密钥管理模块接收卫星LEO_A维护的单向函数树OFT；卫星LEO_B的第二密钥管理模块到达过顶位置后连接状态和功能与卫星LEO_A的第二密钥管理模块一致；

卫星LEO_B的第三计算模块与卫星LEO_B的第二密钥管理模块相连，在到达过顶位置前不进行任何工作；卫星LEO_B的第三计算模块在到达过顶位置后连接状态和功能与卫星LEO_A的第三计算模块相同；

第二步，PKG上的系统参数管理模块根据安全参数产生系统参数和PKG的主密钥，具体流程是：

2.1系统参数管理模块获得系统管理员输入的安全参数k，k为正整数；

2.2系统参数管理模块使用k作为输入，使用BDH参数生成方法产生安全级别为k位的身份基密码学参数，包括生成元为P、阶为q的加法循环群G₁，阶为q的乘法循环群G_T，G₁、G_T为椭圆曲线上的点组成的集合，G₁、G_T中的元素是椭圆曲线上的点，P∈G₁、q∈Z_q ^*，Z_q ^*为正整数集合；椭圆曲线上的双线性映射函数

表示将G₁中的某两个元素x，y映射到G_T中的某个元素

三个哈希函数：

表示将长度为k₂的二进制字符串u映射到G₁的元素H₁(u))；

表示将长度为k₁+n的二进制字符串v映射到Z_q ^*的某个整数H₂(v)；

表示将G_T的某一个元素映射到长度为k₁+k₂+n的二进制字符串w；其中k₁是G₁元素的比特数，k₂是地面终端或卫星提交ID的比特数，n是从地面终端或卫星接收明文的比特数；

2.3系统参数管理模块在正整数集合Z_q ^*中随机选取整数s，0<s<q，作为PKG的主密钥；

2.4系统参数管理模块计算系统公钥Q_TA，Q_TA＝s·P，s是主密钥，P是生成元即原始点，Q_TA为新的点，其中“·”表示G₁中元素P₁的标量乘法运算；

2.5系统参数管理模块将十元组

作为系统参数公开给PKG的第一计算模块，并把s作为主密钥保存，不泄漏给地面终端TE_A和卫星LEO_A；g(·)为计算密钥时的单向函数，f(·)为计算密钥时的混合函数；

第三步，地面终端TE_A和卫星LEO_A的密钥管理模块与PKG相互配合，完成私钥分发，具体流程是：

3.1地面终端TE_A的第一密钥管理模块向PKG的系统参数管理模块发送身份标识ID，申请系统参数的请求、申请私钥的请求；同时卫星LEO_A的第二密钥管理模块向PKG的系统参数管理模块发送身份标识ID，申请系统参数的请求、申请私钥的请求；

3.2 PKG的系统参数管理模块验证地面终端TE_A和卫星LEO_A的设备编号，若设备编号在PKG内置白名单中，则审核通过，转步骤3.3；若审核不通过，向地面终端TE_A和卫星LEO_A的发送审核不通过的消息，转步骤3.1；

3.3 PKG的第一计算模块利用地面终端TE_A的身份标识ID_TE及PKG主密钥s生成地面终端TE_A相应的私钥S_TE；

3.4 PKG的第一计算模块利用卫星LEO_A的身份标识ID_LEO及PKG主密钥s生成卫星的私钥S_LEO；

3.5若地面终端TE_A和卫星LEO_A能与PKG建立安全会话连接，则PKG的系统参数管理模块向地面终端TE_A的第一密钥管理模块和卫星LEO_A的第二密钥管理模块发送系统参数和私钥，若地面终端TE_A和卫星LEO_A不能与PKG建立安全会话连接，则PKG的系统参数管理模块通过离线方式向地面终端TE_A的第一密钥管理模块和卫星LEO_A的第二密钥管理模块发送系统参数和私钥；

第四步，地面终端TE_A和卫星LEO_A相互配合完成组成员注册，完成会话密钥

的协商，方法是：

4.1 LEO_A向TE_A广播含ID信息、时间戳信息的报文LBI，LBI＝<ID_LEO,tt_LEO,X_LEO,Z_LEO，h₁>，tt_LEO是LEO当前的时间戳，X_LEO是报文LBI第一变量X_LEO，X_LEO＝r_LEOQ_LEO，Q_LEO是卫星公钥，r_LEO是整数，Z_LEO是报文LBI第二变量，h₁是报文LBI第三变量；

4.2 TE_A的第一密钥管理模块收到LEO_A卫星广播的报文LBI后，检查当前时刻减去LBI上的时间戳值是否在第一时间阈值内；如果当前时刻减去LBI上的时间戳值不在第一时间阈值内，则丢弃该报文，返回步骤4.1；如果当前时刻减去LBI上的时间戳值在第一时间阈值内,TE_A的第一密钥管理模块将报文LBI发送给TE_A的第二计算模块，执行步骤4.3；

4.3 TE_A的第二计算模块向LEO_A的第二密钥管理模块发送报文TRI和计算终端会话密钥K_TE，具体步骤是：

4.3.1 TE_A的第二计算模块计算卫星公钥Q_LEO和第三变量h₁，Q_LEO＝H₁(ID_LEO),h₁＝H₂(X_LEO||ID_LEO||tt_LEO)，||是字符串连接符；随后验证

是否成立，如果不成立，返回步骤4.1；如果成立，执行步骤4.3.2；

4.3.2 TE_A的第一密钥管理模块随机选择一个整数r_TE，r_TE∈Z_q ^*，将r_TE发送给TE_A的第二计算模块；

4.3.3 TE_A的第二计算模块计算报文TRI第一变量X_TE，X_TE＝r_TEQ_TE；

4.3.4 TE_A的第二计算模块计算验证变量h'₁，h'₁＝H₂(X_TE||ID_LEO||tt_TE)，计算中间第一变量Z_TE，Z_TE＝(r_TE+h'₁)S_TE；

4.3.5 TE_A的第二计算模块计算中间第二变量w_TE，

计算报文TRI第二变量Y_TE，

是异或运算符；

4.3.6 TE_A的第二计算模块生成报文TRI，TRI＝<tt_TE,X_TE,Y_TE>；

4.3.7 TE_A的第二计算模块计算终端会话密钥K_TE，

4.3.8 TE_A的第二计算模块将报文TRI发送给LEO_A的第二密钥管理模块；

4.4 LEO_A的第二密钥管理模块收到报文TRI后，检查当前时刻减去TRI上的时间戳值是否在第二时间阈值内，如果不在，则丢弃TRI，返回步骤4.3.8；否则，LEO_A执行步骤4.5；

4.5 LEO_A的第三计算模块计算卫星会话密钥K_LEO，具体步骤是：

4.5.1 LEO_A的第三计算模块计算中间第二变量w_TE

4.5.2 LEO_A的第三计算模块计算地面终端TE_A的公钥Q_TE，Q_TE＝H₁(ID_TE)，计算验证变量h'₁，h'₁＝H₂(X_TE||ID_LEO||tt_TE)；

4.5.3 LEO_A的第三计算模块验证

是否成立，若成立，转步骤4.5.4；若不成立，返回步骤4.5.1；

4.5.4 LEO_A的第三计算模块计算卫星会话密钥K_LEO，

4.6经过以上步骤后，LEO_A和TE_A协商出了终端会话密钥K_TE和卫星会话密钥K_LEO；

第五步，地面终端和卫星LEO_A配合进行组密钥生成，且LEO_A判断通话组成员是不是发生变化，根据变化采取不同的措施；LEO_A维护一个OFT，树的叶子结点存贮向LEO_A注册的地面终端组成员的会话密钥和地面终端到根结点路径上兄弟结点的盲密钥；假设卫星LEO_A的OFT共有M个叶子结点，对应共有M个地面终端组成员，分别为TE₁,…,TE_m,…,TE_M，1≤m≤M，地面终端TE_m为OFT树中从左至右第m个叶子结点对应的地面终端；地面终端和卫星LEO_A配合进行组密钥协商,生成组密钥的具体流程是：

5.1 LEO_A的第三计算模块计算出OFT中所有结点的结点密钥和盲密钥并存储在LEO_A；将OFT中第h层，从左至右为第m_h个的结点记为

0≤h≤H,1≤m_h≤M_h，其中H为OFT树的高度，M_h为第h层结点总数，结点

的结点密钥记为

叶子结点的密钥

就是地面终端TE₁，TE₂,…,TE_m,…,TE_M的会话密钥

第h层中第m_h个结点

的盲密钥为

5.2 LEO_A的第三计算模块同时向TE₁,…,TE_m,…,TE_M分别发送报文

分别包含TE₁,…,TE_m,…,TE_M到根结点路径上兄弟结点的盲密钥和时间戳tt¹ _LEO,…tt^m _LEO,…tt^M _LEO，盲密钥分别用会话密钥

加密；

5.3 TE₁,…,TE_m,…,TE_M分别接收

并行计算组密钥；TE₁,…,TE_m,…,TE_M计算组密钥的步骤相同，地面终端TE_m计算组密钥的方法是：

5.3.1 TE_m的第一密钥管理模块接收LEO_A的第三计算模块发来的报文

检查当前时刻减去报文

上的时间戳tt^m _LEO的值是否在第二时间阈值内，如果不在第二时间阈值内，丢弃

请求LEO_A的第三计算模块重新发送报文

返回步骤5.3；如果在第二时间阈值内，转步骤5.3.2；

5.3.2 TE_m的第一密钥管理模块将报文

发送给TE_m的第二计算模块；

5.3.3 TE_m的第二计算模块用终端会话密钥

解密

得到TE_m到根结点路径上所有兄弟结点的盲密钥；

5.3.4 TE_m的第二计算模块计算组密钥K₀₁，K₀₁表示根结点的密钥，为整个通话组的公共密钥；具体步骤是：

5.3.4.1 TE_m的第二计算模块初始化变量，即令h＝H-1，m_h＝m；

5.3.4.2 TE_m的第二计算模块判断m_h是否为奇数，如果是，转步骤5.3.4.3；如果不是，转步骤5.3.4.6；

5.3.4.3 TE_m的第二计算模块令m_h+1＝(m_h+1)/2；

5.3.4.4 TE_m的第二计算模块计算

然后令h＝h-1,m_h＝m_h+1；

5.3.4.5 TE_m的第二计算模块判断是否满足h<0，如果满足，则说明计算出通话组的组密钥K₀₁，转步骤5.4；如果不满足，转步骤5.3.4.2；

5.3.4.6 TE_m的第二计算模块令m_h+1＝m_h/2；

5.3.4.7 TE_m的第二计算模块计算

然后令h＝h-1,m_h＝m_h+1；

5.3.4.8 TE_m的第二计算模块判断是否满足h<0，如果满足，则计算出通话组的组密钥K₀₁，转步骤5.4；如果不满足，转步骤5.3.4.2；

5.4 LEO_A的第二密钥管理模块判断是否有新的地面终端需加入通话组，如果有，转第六步；如果没有，转步骤5.5；

5.5 LEO_A的第二密钥管理模块判断是否有地面终端需退出通话组，如果有，转第七步；如果没有，转步骤5.6；

5.6 LEO_A的第二密钥管理模块判断过顶卫星是否变化，如果变化，转第八步；如果未变化，转步骤5.4；

第六步，当有新的地面终端TE_p向卫星LEO_A注册，卫星LEO_A判断有新的组成员加入，TE_p和卫星LEO_A相互配合完成组成员注册，完成会话密钥

的协商，并进行组密钥的更新；具体流程是：

6.1当TE_p想要加入通话组时，TE_p按第四步所述方法和卫星LEO_A相互配合完成组成员注册，完成会话密钥

的协商；

6.2 LEO_A将TE_p放置在OFT的叶子结点上，令TE_p下标改为当前OFT中TE_p右边终端的下标，令OFT中TE_p右边所有的终端下标加一，令地面终端总数M＝M+1；

6.3 LEO_A的第二密钥管理模块向LEO_A的第三计算模块发送含有OFT树变更信息的报文E_C；

6.4 LEO_A的第三计算模块接收报文E_C，进行整个通话组的密钥更新和分发；具体步骤是：

6.4.1 LEO_A的第三计算模块按5.1所述方法计算出OFT中所有结点的结点密钥和盲密钥并存储在LEO_A；

6.4.2 LEO_A的第三计算模块同时向M个地面终端TE₁，…,TE_m,…,TE_M分发相应的报文

分别包含地面终端TE₁，…,TE_m,…,TE_M到根结点路径上所有兄弟结点更新的盲密钥和时间戳tt¹ _LEO,…tt^m _LEO,…tt^M _LEO，盲密钥分别用会话密钥

加密；即LEO_A的第三计算模块向TE_m分发

中包含地面终端TE_m到根结点路径上所有兄弟结点更新的盲密钥和时间戳tt^m _LEO，盲密钥用会话密钥

加密；

6.5 TE₁,…,TE_m,…,TE_M分别接收

并行计算组密钥；TE₁,…,TE_m,…,TE_M计算组密钥的步骤相同，地面终端TE_m计算组密钥的方法是：

6.5.1 TE_m的第一密钥管理模块接收

检查当前时刻减去

上的时间戳的值是否在第二时间阈值内；如果不在第二时间阈值内，丢弃当前收到的报文，请求LEO_A的第三计算模块重新发送报文

返回步骤6.5；如果在，转步骤6.5.2；

6.5.2 TE_m的第一密钥管理模块将报文

发送给TE_m的第二计算模块；

6.5.3 TE_m的第二计算模块用终端会话密钥

解密

得到TE_m到根结点路径上所有兄弟结点的盲密钥；

6.5.4 TE_m的第二计算模块采用步骤5.3.4所述方法计算新的组密钥K₀₁'，返回步骤5.4；

第七步，若有组成员退出时，令需退出的终端为TE_q(1≤q≤M)，TE_q和卫星LEO_A配合完成组成员退出，对组密钥进行更新和分发；具体流程是：

7.1 TE_q的第一密钥管理模块向卫星LEO_A的第二密钥管理模块发送请求退出报文E_TEq,报文中包含TE_q所在的结点信息和时间戳tt_TEq；

7.2卫星LEO_A的第二密钥管理模块检查当前时刻减去报文E_TEq上时间戳的值是否在第三时间阈值内；如果在第三时间阈值内，卫星LEO_A的第二密钥管理模块向TE_m的第一密钥管理模块发送确认退出报文，将TE_q从OFT上去除，并将TE_q兄弟结点的终端置于TE_q的父结点上，令OFT中原TE_q右边所有的终端下标减一，令M＝M-1，执行步骤7.3；如果不在第三时间阈值内，返回步骤7.1；

7.3 LEO_A的第二密钥管理模块向LEO_A的第三计算模块发送含有OFT树变更信息的报文E'_C；

7.4 LEO_A的第三计算模块接收报文E'_C，进行整组的密钥更新和分发；具体步骤是：

7.4.1 LEO_A的第三计算模块按5.1所述方法计算出OFT中所有结点的结点密钥和盲密钥并存储在LEO_A；

7.4.2 LEO_A的第三计算模块同时向M个地面终端TE₁，…,TE_m,…,TE_M分发相应的报文

分别包含地面终端TE₁，…,TE_m,…,TE_M到根结点路径上所有兄弟结点更新的盲密钥和时间戳tt¹ _LEO,…tt^m _LEO,…tt^M _LEO，盲密钥分别用会话密钥

加密；即LEO_A的第三计算模块向TE_m分发

中包含地面终端TE_m到根结点路径上所有兄弟结点更新的盲密钥和时间戳tt^m _LEO，盲密钥用会话密钥

加密；

7.5 TE₁,…,TE_m,…,TE_M分别接收

并行计算组密钥；TE₁,…,TE_m,…,TE_M计算组密钥的步骤相同，地面终端TE_m计算组密钥的方法是：

7.5.1 TE_m的第一密钥管理模块接收

检查当前时刻减去

上的时间戳的值是否在第二时间阈值内；如果不在第二时间阈值内，丢弃当前收到的报文，请求LEO_A的第三计算模块重新发送报文

返回步骤7.5；如果在，转步骤7.5.2；

7.5.2 TE_m的第一密钥管理模块将报文

发送给TE_m的第二计算模块；

7.5.3 TE_m的第二计算模块用终端会话密钥

解密

得到TE_m到根结点路径上所有兄弟结点的盲密钥；

7.5.4 TE_m的第二计算模块采用步骤5.3.4所述方法计算出新的组密钥K₀₁”，返回步骤5.4；

第八步，当过顶卫星发生变化时，OFT树中所有地面终端TE₁,…,TE_m,…,TE_M、卫星LEO_A和卫星LEO_B配合完成组控制器切换，具体流程是：

8.1 LEO_A的第二密钥管理模块将LEO_A维护的OFT通过星间链路发送给下一颗过顶卫星LEO_B的第二密钥管理模块；

8.2当前过顶卫星LEO_A的第二密钥管理模块向地面终端TE,…,TE_m,…,TE_M同时发送报文

报文

中包含下一颗过顶卫星LEO_B的

和时间戳

8.3地面终端TE₁,…,TE_m,…,TE_M的第一密钥管理模块收到LEO_A广播的报文

后，检查当前时刻减去时间戳

的值是否在第二时间阈值内；如果当前时刻减去地面终端TE₁,…,TE_m,…,TE_M的时间戳

值都在第二时间阈值内，则TE₁,…,TE_m,…,TE_M的第一密钥管理模块将

存储在本地，执行步骤8.4；如果存在当前时刻减去地面终端TE₁,…,TE_m,…,TE_M的时间戳值不在第二时间阈值内，丢弃当前收到的报文，请求LEO_A的第二密钥管理模块重新发送报文

转步骤8.3；

8.4 LEO_B的第二密钥管理模块向地面终端TE₁,…,TE_m,…,TE_M同时广播广播报文

报文

中包含卫星LEO_B的

和时间戳

8.5地面终端TE₁,…,TE_m,…,TE_M的第一密钥管理模块收到LEO_B广播的报文后，检查当前时刻减去时间戳

的值是否在第二时间阈值内；如果当前时刻减去地面终端TE₁,…,TE_m,…,TE_M检查的时间戳

的值都在第二时间阈值内，则TE₁,…,TE_m,…,TE_M的第一密钥管理模块将

存储在本地，执行步骤8.6；如果存在当前时刻减去地面终端TE₁,…,TE_m,…,TE_M的时间戳值不在第二时间阈值内，丢弃当前收到的报文，请求LEO_A的第二密钥管理模块重新发送报文

转步骤8.5；

8.6地面终端TE₁,…,TE_m,…,TE_M的第一密钥管理模块比较两次收到的

即从LEO_A收到的

和从LEO_B收到的

是否一致，如果地面终端TE₁,…,TE_m,…,TE_M第一密钥管理模块比较两次收到的

均一致，则说明完成组控制器切换，卫星LEO_A退出通话组，卫星LEO_B接替卫星LEO_A执行组控制器工作，返回步骤5.4；如果存在地面终端TE₁,…,TE_m,…,TE_M中第一密钥管理模块比较两次收到的

不一致，转步骤8.1。

2.如权利要求1所述的一种面向低轨卫星网络的组密钥管理方法，其特征在于3.3步PKG的第一计算模块生成地面终端TE_A相应的私钥S_TE的方法是：S_TE＝s·H₁(ID_TE)，ID_TE为地面终端TE_A的身份标识，即将PKG的主密钥s与H₁(ID_TE)做标量乘法运算，H₁(ID_TE)指ID_TE的哈希值，将任意长度二进制字符串ID_TE映射为一个循环加法群G₁的元素。

3.如权利要求1所述的一种面向低轨卫星网络的组密钥管理方法，其特征在于3.4步所述PKG的第一计算模块生成卫星的私钥S_LEO,方法是：S_LEO＝s·H₁(ID_LEO)，H₁(ID_LEO)指ID_LEO的哈希值。

4.如权利要求1所述的一种面向低轨卫星网络的组密钥管理方法，其特征在于4.1步所述LEO_A向TE_A广播含ID信息、时间戳信息的报文LBI的方法是：

4.1.1 LEO_A的第二密钥管理模块随机选择一个整数r_LEO，r_LEO∈Z_q ^*，将r_LEO发送给LEO_A的第三计算模块；

4.1.2 LEO_A的第三计算模块计算卫星公钥Q_LEO并储存，Q_LEO＝H₁(ID_LEO)；

4.1.3 LEO_A的第三计算模块计算报文LBI第一变量X_LEO，X_LEO＝r_LEOQ_LEO；

4.1.4 LEO_A的第三计算模块计算报文LBI第三变量h₁和报文LBI第二变量Z_LEO，h₁＝H₂(X_LEO||ID_LEO||tt_LEO)，Z_LEO＝(r_LEO+h₁)S_LEO；其中tt_LEO是LEO当前的时间戳，S_LEO是卫星的私钥；

4.1.5 LEO_A的第二密钥管理模块生成报文LBI，LBI＝<ID_LEO,tt_LEO,X_LEO,Z_LEO，h₁>；随后，LEO_A向地面终端广播报文LBI。

5.如权利要求1所述的一种面向低轨卫星网络的组密钥管理方法，其特征在于4.2步所述第一时间阈值为一个能够表征卫星和地面时延的值，设置为100ms；4.4步所述第二时间阈值为一个能够表征卫星和地面时延的值，设置为与第一时间阈值相同的值；7.2步所述第三时间阈值是一个表征地面终端给卫星发送消息时延的值，设置与第一时间阈值相同。

6.如权利要求1所述的一种面向低轨卫星网络的组密钥管理方法，其特征在于5.1步所述LEO_A的第三计算模块计算出OFT中所有结点的结点密钥和盲密钥并存储在LEO_A的方法是：

5.1.1 LEO_A的第三计算模块初始化h＝H-1，m_h＝1，m_h+1＝1；

5.1.2 LEO_A的第三计算模块计算叶子结点即第H层中M_H个结点的盲密钥

为第H层中第m_H个结点的盲密钥，

5.1.3 LEO_A的第三计算模块计算第h层中第m_h个结点的密钥

其中

分别是结点

的盲密钥，

然后令m_h＝m_h+1,m_h+1＝m_h+1+2；

5.1.4 LEO_A的第三计算模块计算结点

的盲密钥

5.1.5 LEO_A的第三计算模块判断是否满足m_h>M_h，如果满足，令h＝h-1,m_h＝1,m_h+1＝1,转步骤5.1.6；如果不满足，返回步骤5.1.3；

5.1.6 LEO_A的第三计算模块判断是否满足h<0，如果满足，结束；如果不满足，返回步骤5.1.3。

7.如权利要求1所述的一种面向低轨卫星网络的组密钥管理方法，其特征在于6.2步所述LEO_A将TE_p放置在OFT的叶子结点上的规则是：在OFT中找到密钥路径最短的结点，路径最短结点有多个时，按照先左后右的原则，优先选择最左的路径最短结点，将该结点扩展出左右两个孩子结点，将原本该结点上的地面终端置于左边孩子结点上，将新加入的地面终端TE_p置于右边孩子结点上。

Images