CN113259091A - 基于椭圆曲线密码的空间信息网络时钟异步安全认证方法 - Google Patents

Abstract

本发明提供一种基于椭圆曲线密码的空间信息网络时钟异步安全认证方法。该方法包括初始化阶段、注册阶段、登录和认证阶段以及密码更改阶段，所述初始化阶段包括：NCC_s发布系统参数；所述登录和认证阶段包括：移动设备接收移动用户U_i输入的登录参数，移动设备根据登录参数计算中间参数

移动设备比较

与m_i是否相等；移动设备将M₁＝<PID_i,α_i,Q_i,N₀>发送给LEOS_q；LEOS_q收到消息后，转发

到NCC_s；NCC_s收到后，计算得到

NCC_s使用N₀在验证程序表中找到匹配的h(ID_i)：若找不到，NCC_s拒绝U_i的请求，ID_i为移动用户U_i在注册阶段预先存储在移动设备中的个人身份；否则，NCC_s根据计算得到的

私钥k和生产元P计算中间参数

根据

ID_i、PID_i和N₀计算中间参数

本发明提供了有效的相互身份验证，以避免假冒攻击，可对抗空间信息网中出现时钟异步的情况。

Description

基于椭圆曲线密码的空间信息网络时钟异步安全认证方法

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于椭圆曲线密码的空间信息网络时钟异步安全认证方法。

背景技术

空间信息网络(SIN)是由在轨的多个卫星及卫星星座组成的骨干通信网络，它克服了传统个人通信系统(例如LTE-A网络，WiFi)中地理和环境限制的缺点，可以为专业探险、商业活动、军事行动和紧急情况下的各种空间任务提供通信和广播服务，已成为当今全球研究的热点。在空间信息网络中，典型模型是低地球轨道卫星通信系统(LSC系统)，该系统由低地球轨道卫星、地面站/网关、网络控制中心(服务器)和移动用户(客户端)组成，如图1所示。这个系统的本质是，基于无线电技术在无线移动环境中实现广覆盖范围的通信，因此，各个设备之间的相互认证和安全通信是该系统中最基本也是最重要的属性之一。为了防止不法用户连接登陆到系统中，服务器必须确认用户的合法身份，对使用者进行身份的认证；同时避免被恶意的服务器欺骗，用户也要对服务器的合法性进行认证。而且，在实现双方认证的同时，通常移动用户和服务器也需要进行密钥协商，产生共享的会话密钥用于加密随后双方的通信信息，确保双方之间通信的保密性。所以，针对低地球轨道卫星通信系统在设计健壮认证方案时，应预先考虑以下安全性和功能性基本要求：(1)有效的相互认证。通信系统中所有加入的实体应相互识别，并且通信消息应经过认证以确保来自原始发送者；与身份验证相比，应该更仔细地验证信息身份验证，因为在这个系统中，通信信息是在高暴露的无线链路上传输的，非常容易被忽略和窃听。(2)数据机密性和完整性。确保通信数据的保密性是普遍公认的，但是除此之外，数据的完整性也至关重要；为了保护数据完整性，有效认证方案应具有检测通信数据被篡改(包括插入、删除和替换)的能力。(3)服务器和用户端都不保存敏感数据：为了实现服务器和用户之间的相互认证，一种简单的方案应避免将敏感数据存储在两个终端中，例如服务器端的保存用户的验证数据表以及存储在用户移动设备中的数值。(4)完美的会话密钥保密性。一定要确保服务器和用户之间协商的会话密钥的保密性，即是该阶段的会话密钥的泄露不会导致前一阶段或者后一阶段的会话密钥暴露出来。(5)用户的隐私权。充分考虑用户的匿名性，不应泄露用户的任何信息给外界，即使是服务端的工作人员。(6)快速的计算和较少的通信量。一方面，由于移动用户端的设备计算资源都有限，大型存储和高计算量都毫无价值；另一方面，由于需要用户和服务器之间的通信数据需要经过多次转发，并暴露于无线环境，因此通信交互的次数越少越好，而且每次通信的数据量尽可能的小。

近年来，已经有很多研究者为该系统提供了很多访问认证协议，但是许多方案仅提供了单方面的或无效的属性。例如，2019提出的文献1“Ostad-Sharif A,Abbasinezhad-Mood D,Nikooghadam M.Efficient utilization of elliptic curve cryptography indesign of a three-factor authentication protocol for satellite communications[J].Computer Communications,2019,147”；2020年Altaf等人提出的文献2“Altaf I,Saleem M A,Mahmood K,et al.A Lightweight Key Agreement and AuthenticationScheme for Satellite-Communication Systems[J].IEEE Access,2020,PP(99):1-1.”，声称该方案可以免受所有可能的安全威胁。但是，我们发现他们的方案容易受到一些普通的攻击。

首先，这个协议存在离线猜测攻击，因为协议设计中智能卡在注册阶段记录了敏感数据。经过上述攻击后，恶意用户可以轻松获取主控服务器的密码，这是整个系统的关键参数。

其次，是这一类协议都存在的普遍性问题，大多数协议都使用时间戳的新鲜度来验证消息的有效性，这不适合于时钟异步环境。因为在空间信息网络本质上是基于无线电技术在无线移动环境中实现广覆盖范围的通信，它具有高度公开暴露的通信链接和非常高的传播延迟。在此种情况下，各个通信设备的时间戳不一致是非常普遍存在的，如专业登山运动员在登陆海拔很高的山峰过程，远洋航海人员行驶在人迹罕见的区域，甚至航天员在太空航行时，使用的设备都不一定与通信的服务器的时间戳保持一致，在此种情况下，如果无法利用时间戳的新鲜度来验证通信消息的有效性，各个设备也将无法实现相互的通信。

发明内容

针对现有认证方法存在的无法避免离线猜测攻击以及不适合时钟异步环境的问题，本发明提供一种基于椭圆曲线密码的空间信息网络时钟异步安全认证方法。

本发明提供的一种基于椭圆曲线密码的空间信息网络时钟异步安全认证方法，包括初始化阶段、注册阶段、登录和认证阶段以及密码更改阶段，所述初始化阶段包括：NCC_s发布系统参数；所述系统参数包括{E_p(a,b),n,P,K,h(·),kdf}，E_p(a,b)为选定的安全椭圆曲线方程，P为生产元，n为生产元P的阶数，K为公钥，h(·)为单项哈希函数，kdf表示用于生成共享会话密码的单向密钥导出函数；

所述登录和认证阶段包括：

步骤A1：移动设备接收移动用户U_i输入的登录参数，所述登录参数包括个人身份

密码P_i ^*和生物特征值

移动设备根据

P_i ^*和

计算中间参数

根据

和在注册阶段中已预先存储在移动设备中的中间参数l_i计算中间参数

根据

和

计算中间参数

移动设备比较

与在注册阶段中已预先存储在移动设备中的中间参数m_i是否相等：若不相等，则提示移动用户U_i重新输入登录参数；若相等，则随机选择b_i∈[1,n-1]，并根据b_i和在初始化阶段由NCC_s发布的生产元P计算中间参数Q_i，根据b_i和在初始化阶段由NCC_s发布的公钥K计算中间参数V_i，根据V_i和在注册阶段中已预先存储在移动设备中的移动用户U_i的个人身份ID_i计算中间参数PID_i，根据PID_i、ID_i和在注册阶段中已预先存储在移动设备中的中间参数S_i与随机数N₀计算中间参数α_i；

移动设备将M₁＝<PID_i,α_i,Q_i,N₀>发送给LEOS_q；LEOS_q表示第q颗近地面卫星；

步骤A2：LEOS_q收到移动用户U_i的移动设备发送的消息M₁＝<PID_i,α_i,Q_i,N₀＞后，转发

到NCC_s；

表示LEOS_q的身份信息；

步骤A3：NCC_s收到LEOS_q发送的消息

后，根据Q_i和NCC_s的私钥k∈[1,n-1]计算中间参数

根据

和PID_i计算得到

NCC_s使用N₀在验证程序表中找到匹配的h(ID_i)：若找不到，NCC_s拒绝U_i的请求，ID_i为移动用户U_i在注册阶段预先存储在移动设备中的个人身份；否则，NCC_s根据计算得到的

私钥k和生产元P计算中间参数

根据

ID_i、PID_i和N₀计算中间参数

NCC_s比较中间参数

和α_i是否相等：若相等，则对SC进行身份验证并生成一个现时数N₁，采用kdf函数根据N₁、N₀、ID_i和在注册阶段中已预先存储在移动设备中的中间参数S_i计算中间参数SK_s，根据SK_s、S_i、N₁和ID_i计算中间参数β_s；

NCC_s在验证程序表中的N₀旁边记录随机数N₁并发送

到LEOS_q；

步骤A4：LEOS_q收到消息

后，将M₂＝<β_s,N₁>转发到移动用户U_i的移动设备；

步骤A5：移动用户U_i的移动设备收到来自LEOS_q的回复消息M₂＝<β_s,N₁>后，采用kdf函数根据N₁、N₀、ID_i和S_i计算中间参数

根据

ID_i、S_i和N₁计算中间参数

移动用户U_i的移动设备比较

和β_s是否相等，若相等，则移动用户U_i确认NCC_s是真实的，并在移动设备中将N₀更新为N₁；此时，U_i和NCC_s实现相互认证并协商共享会话密钥SK＝SK_s或者

进一步地，步骤A1中，移动设备根据

P_i ^*和

计算中间参数

根据

和在注册阶段中已预先存储在移动设备中的中间参数l_i计算中间参数

根据

和

计算中间参数

具体为：

进一步地，步骤A1中，根据b_i和在初始化阶段由NCC_s发布的生产元P计算中间参数Q_i，根据b_i和在初始化阶段由NCC_s发布的公钥K计算中间参数V_i，根据V_i和在注册阶段中已预先存储在移动设备中的移动用户U_i的个人身份ID_i计算中间参数PID_i，根据PID_i、ID_i和在注册阶段中已预先存储在移动设备中的中间参数S_i与随机数N₀计算中间参数α_i，具体为：

Q_i＝b_iP＝(x_q,y_q)

V_i＝b_iK＝(x_v,y_v)

α_i＝h(ID_i||x_s||PID_i||N₀)

其中，x_s表示中间参数S_i中的对称密钥。

进一步地，步骤A3中，根据Q_i和NCC_s的私钥k∈[1,n-1]计算中间参数

根据

和PID_i计算得到

具体为：

进一步地，步骤A3中，NCC_s根据计算得到的

私钥k和生产元P计算中间参数

根据

ID_i、PID_i和N₀计算中间参数

具体为：

进一步地，步骤A3中，采用kdf函数根据N₁、N₀、ID_i和在注册阶段中已预先存储在移动设备中的中间参数S_i计算中间参数SK_s，根据SK_s、S_i、N₁和ID_i计算中间参数β_s，具体为：

SK_s＝kdf(ID_i||x_s||N₀||N₁)

β_s＝h(ID_i||SK_s||x_s||N₁)

其中，x_s表示中间参数S_i中的对称密钥。

进一步地，步骤A5中，采用kdf函数根据N₁、N₀、ID_i和S_i计算中间参数

根据

ID_i、S_i和N₁计算中间参数

具体为：

其中，x_s表示中间参数S_i中的对称密钥。

进一步地，所述注册阶段包括：

步骤B1：移动设备接收移动用户U_i输入的个人身份ID_i和密码P_i，以及收集移动用户U_i的生物特征值B_i；并根据个人身份ID_i、密码P_i和生物特征值B_i计算中间参数v_i，然后通过安全通道将消息<ID_i,v_i>发送到NCC_s；

步骤B2：NCC_s收到消息<ID_i,v_i>后，计算h(ID_i)，判断h(ID_i)是否已注册在验证程序表中，若未注册，则根据ID_i、NCC_s的私钥k和生产元P生成中间参数S_i，根据S_i、ID_i和v_i生成中间参数m_i；

NCC_s将<N₀,h(ID_i)>插入验证程序表中，并通过安全通道向移动设备返回响应信息M₀＝<N₀,l_i,m_i>；

步骤B3：移动设备接收到响应信息M₀＝<N₀,l_i,m_i>后，提示移动用户U_i将所述响应信息<N₀,l_i,m_i>存储在移动设备中。

进一步地，步骤B1中，根据个人身份ID_i、密码P_i和生物特征值B_i计算中间参数v_i，具体为：

v_i＝h(ID_i||P_i||B_i)

步骤B2中，根据ID_i、NCC_s的私钥k和生产元P生成中间参数S_i，根据S_i、ID_i和v_i生成中间参数m_i，具体为：

S_i＝(k+h(ID_i))^-1P＝(x_s,y_s)

m_i＝h(v_i||x_s||ID_i)。

进一步地，所述密码更改阶段包括：

步骤C1：移动设备接收移动用户U_i输入的原始登录参数

P_i ^*和

以及更改密码请求；计算

和

其中，l_i为移动用户U_i在注册阶段中已预先存储在移动设备中的中间参数；

移动设备比较

与在注册阶段中已预先存储在移动设备中的中间参数m_i是否相等：若不相等，则拒绝U_i的更改密码请求，若相等，则提示移动用户U_i输入新密码P_i ^new；

步骤C2：移动设备接收到移动用户U_i输入的新密码P_i ^new后，计算

其中，x_s为在注册阶段中已预先存储在移动设备中的中间参数S_i中的对称密钥；

移动设备采用

替换原始的<l_i,m_i>存储在内存中。

本发明的有益效果：

本发明提供的基于椭圆曲线密码的空间信息网络时钟异步安全认证方法，提供了有效的相互身份验证，以避免假冒攻击；可确保所有方面的数据机密性和完整性；没有需要由NCC_s和U_i维护的敏感数据；具有完美的会话密钥保密性；此外，通过与其他协议进行比较可知，本发明方法使用的时间最少，通信成本也少得多。

附图说明

图1为现有技术提供的低地球轨道卫星通信系统(简称LSC系统)示意图；

图2为本发明实施例提供的基于椭圆曲线密码的空间信息网络时钟异步安全认证方法中的注册阶段与登录和认证阶段的示意图；

图3为本发明实施例提供的基于椭圆曲线密码的空间信息网络时钟异步安全认证方法的流程示意图；

图4为本发明实施例提供的本发明方法的Scyther SPDL中的仿真代码；

图5为本发明实施例提供的本发明方法的使用AVISPA协议的仿真代码，其中：(a)为CAS+中的仿真代码；(b)为HDLS中的部分仿真代码；

图6为本发明实施例提供的采用本发明方法的消息可达性分析报告；

图7为本发明实施例提供的采用本发明方法的机密性分析报告；

图8为本发明实施例提供的使用Scyther的Dolev-Yao模型下的攻击路径，其中：(a)为用户端攻击路径；(b)为网络控制中心攻击路径；

图9为本发明实施例提供的使用AVISPA的OFMC和CL-AtSe的结果，其中：(a)为OFMC模式下结果；(b)为CL-AtSe模式下结果；

图10为本发明实施例提供的AVISPA入侵者仿真下的流程图；

图11为本发明实施例提供的AVISPA模拟攻击后的入侵者获得知识。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

椭圆曲线密码(Elliptic Curve Cryptograph，ECC)：一种建立公开密钥加密的算法，基于数学中的椭圆曲线方程；

为了克服这些缺点，本发明基于椭圆曲线密码系统，设计一种针对空间信息网络的时钟异步的安全认证方法，该方法主要包括初始化阶段、注册阶段、登录和认证阶段、密码更改阶段四个阶段，其中，注册阶段以及登录和认证阶段这两个阶段见图2。本发明中的符号定义如下：U为用户；NCC_s为服务器(也称为网络控制中心)；ID为用户的身份；P为用户的密码或口令；B为用户的生物特征；SC为智能卡；k为服务器的高熵秘钥；h(·)为单项哈希函数；||为字符串连接操作；⊕异或运算；安全信道；→为普通信道或公开通道。

(1)初始化阶段

由于本发明提供的方法是基于ECC的，因此该初始化阶段与目前现有的相关方案不同，本发明中，初始化阶段可以分为以下四个步骤：

S101：NCC_s选择一个安全椭圆曲线方程E_p(a,b)，由该方程中的点形成一个循环椭圆曲线点乘群G_p，设P是阶为n的生产元，P是x-bit的素数。

S102：NCC_s选择一个随机数k∈[1,n-1]作为其私钥，并计算相应的公钥K＝kP；

S103：NCC_s选择一个单向密钥导出函数kdf:(0,1)^j→(0,1)^m，该函数主要用于生成共享会话密码；

S104：NCC_s发布{E_p(a,b),n,P,K,h(·),kdf}作为系统参数，并保留其私钥k的机密性。

(2)注册阶段

如果移动用户U_i要注册到系统，则注册阶段仅需要执行一次，注册阶段包括以下步骤：

S201：移动用户U_i自由选择有效的个人身份ID_i和密码P_i，输入到个人的移动设备(例如经常使用的个人智能手机)中。其中，身份ID_i可以是用户U_i的姓名、电子邮件地址、身份证件号或其他个人身份属性中的任何一个或者它们的组合，作为其唯一签名的公钥。接下来，个人移动设备收集U_i的生物特征值B_i。并根据个人身份ID_i、密码P_i和生物特征值B_i计算中间参数v_i，然后通过安全通道将消息<ID_i,v_i>发送到NCC_s。

作为一种可实施方式，根据个人身份ID_i、密码P_i和生物特征值B_i计算中间参数v_i，具体为：

v_i＝h(ID_i||P_i||B_i)

S202：NCC_s收到消息<ID_i,v_i>后，计算h(ID_i)，判断h(ID_i)是否已注册在验证程序表中，若未注册，则根据ID_i、NCC_s的私钥k和生产元P生成中间参数S_i，根据S_i、ID_i和v_i生成中间参数m_i；

作为一种可实施方式，根据ID_i、NCC_s的私钥k和生产元P生成中间参数S_i，根据S_i、ID_i和v_i生成中间参数m_i，具体为：

S_i＝(k+h(ID_i))^-1P＝(x_s,y_s)

m_i＝h(v_i||x_s||ID_i)

接下来，NCC_s将<N₀,h(ID_i)>插入验证程序表中，并通过安全通道向移动设备返回响应信息M₀＝<N₀,l_i,m_i＞；其中，N₀是随机数。

具体地，NCC_s有两种方法将消息M₀传递到移动用户U_i的移动设备：一种方法是离线方法，即NCC_s记录M₀放入智能卡，然后将其颁发给U_i；另一种方法是在线方法，NCC_s通过Internet密钥交换协议版本2(IKEv2)或安全套接字层协议(SSL)连接到移动用户U_i的移动设备，该消息将被加密以进行传输。

需要说明的是，若判断获知h(ID_i)已注册在验证程序表中，则要求移动用户U_i选择一个新的身份标识。

S203：移动设备接收到响应信息M₀＝<N₀,l_i,m_i＞后，提示移动用户U_i将所述响应信息<N₀,l_i,m_i＞存储在移动设备中，以备以后在登录过程中使用。

需要说明的是，随机数N₀是NCC_s随机生成的唯一值，在本发明实施例中，N₀用于避免重播攻击并将其作为对抗异步时钟方案的一种机制。

(3)登录和认证阶段

本阶段为用户登录系统过程以及U_i和NCC_s之间的相互认证过程，包括以下步骤：

S301：当移动用户U_i想要通过LSC系统与其他人通信，或者希望从NCC_s获得服务时，移动用户U_i向移动设备输入相关的登录参数，包括个人身份

密码

和生物特征值

移动设备接收移动用户U_i输入的登录参数，移动设备根据

P_i ^*和

计算中间参数

根据

和在注册阶段中已预先存储在移动设备中的中间参数l_i计算中间参数

根据

和

计算中间参数

作为一种可实施方式，具体为：

接着，移动设备比较

与在注册阶段中已预先存储在移动设备中的中间参数m_i是否相等：若不相等，则提示移动用户U_i重新输入登录参数；若相等，则随机选择b_i∈[1,n-1]，并根据b_i和在初始化阶段由NCC_s发布的生产元P计算中间参数Q_i，根据b_i和在初始化阶段由NCC_s发布的公钥K计算中间参数V_i，根据V_i和在注册阶段中已预先存储在移动设备中的移动用户U_i的个人身份ID_i计算中间参数PID_i，根据PID_i、ID_i和在注册阶段中已预先存储在移动设备中的中间参数S_i与随机数N₀计算中间参数α_i；

作为一种可实施方式，具体为：

Q_i＝b_iP＝(x_q,y_q)

V_i＝b_iK＝(x_v,y_v)

α_i＝h(ID_i||x_s||PID_i||N₀)

其中，x_s表示中间参数S_i中的对称密钥；

然后，移动设备将M₁＝<PID_i,α_i,Q_i,N₀>发送给LEOS_q；LEOS_q表示第q颗近地面卫星；

S302：LEOS_q收到移动用户U_i的移动设备发送的消息M₁＝<PID_i,α_i,Q_i,N₀>后，转发

到NCC_s；

表示LEOS_q的身份信息。

S303：NCC_s收到LEOS_q发送的消息

后，根据Q_i和NCC_s的私钥k∈[1,n-1]计算中间参数

根据

和PID_i计算得到

作为一种可实施方式，具体为：

接下来，NCC_s使用N₀在验证程序表中找到匹配的h(ID_i)：若找不到，NCC_s拒绝U_i的请求，ID_i为移动用户U_i在注册阶段预先存储在移动设备中的个人身份；否则，NCC_s根据计算得到的

私钥k和生产元P计算中间参数

根据

ID_i、PID_i和N₀计算中间参数

作为一种可实施方式，具体为：

然后，NCC_s比较中间参数

和α_i是否相等：若相等，则对SC进行身份验证并生成一个现时数N₁，采用kdf函数根据N₁、N₀、ID_i和在注册阶段中已预先存储在移动设备中的中间参数S_i计算中间参数SK_s，根据SK_s、S_i、N₁和ID_i计算中间参数β_s；

作为一种可实施方式，具体为：

SK_s＝kdf(ID_i||x_s||N₀||N₁)

β_s＝h(ID_i||SK_s||x_s||N₁)。

最后，NCC_s在验证程序表中的N₀旁边记录随机数N₁并发送

到LEOS_q。

S304：LEOS_q收到消息

后，将M₂＝<β_s,N₁>转发到移动用户U_i的移动设备。

S305：移动用户U_i的移动设备收到来自LEOS_q的回复消息M₂＝<β_s,N₁>后，采用kdf函数根据N₁、N₀、ID_i和S_i计算中间参数

根据

ID_i、S_i和N₁计算中间参数

作为一种可实施方式，具体为：

然后，移动用户U_i的移动设备比较β_s ^*和β_s是否相等，若相等，则移动用户U_i确认NCC_s是真实的，并在移动设备中将N₀更新为N₁；此时，U_i和NCC_s实现相互认证并协商共享会话密钥SK＝SK_s或者

即：

SK＝kdf(ID_i||x_s||N₀||N₁)。

(4)密码更改阶段

每当移动用户U_i想要将其密码P_i更新为新的P_i ^new时，便会激活此阶段而无需与NCC_s进行通信。密码更改阶段包括以下步骤：

S401：备接收移动用户U_i输入的原始登录参数

P_i ^*和

以及更改密码请求；移动设备在接收到移动用户U_i的更改密码请求后，自动计算

然后，移动设备比较

与在注册阶段中已预先存储在移动设备中的中间参数m_i是否相等：若不相等，则拒绝U_i的更改密码请求，若相等，则提示移动用户U_i输入新密码P_i ^new；

S402：移动设备接收到移动用户U_i输入的新密码P_i ^new后，计算

其中，x_s为在注册阶段中已预先存储在移动设备中的中间参数S_i中的对称密钥；

移动设备采用

替换原始的<l_i,m_i>存储在内存中。

具体而言，本发明实施例的登录和认证阶段是本发明的关键改进点之一，本发明引入了一个“去同步挑战”的机制，详细情况如图3所示。

在网络控制中心NCC_s收到用户的登录请求后，NCC_s在验证程序表中找到记录关于用户U_i的随机数N₀，在N₀旁边保存用户本次登录认证的随机数N₁，而不是将N₁更新为N₀。而且，NCC_s保留N₀，直到收到U_i的下一个登录消息，即使用随机数N₁。此时，NCC_s将产生一个新的随机数N₂，然后将N₁更新为N₀，并将N₂更新为N₁。简而言之，NCC_s始终在验证程序表中保留两个与U_i相关的新数字，但第一次登录除外。该机制主要用于抵抗由于U_i和NCC_s之间的随机数不同步而导致的拒绝服务攻击。

“认证成功”表示U_i已认证NCC_s并将N₀更新为N₁。然后，U_i可以使用共享密钥SK来加密带有NCC_s的下一个流量，即“数据交换阶段”。

“认证不成功”表示U_i无法验证NCC_s，因为消息M₃被攻击者篡改或干扰了恶劣的无线环境。然后，调用“去同步挑战”。由于NCC_s仍保留新数字N₀，因此U_i可以继续发送带有N₀的登录请求信息。

在本发明提供的方法中，利用了U_i和NCC_s之间的两个对称密钥。第一个对称密钥为x_s，该对称密钥x_s通过计算S_i＝(k+h(ID_i))^-1P＝(x_s,y_s)建立在注册阶段中。除了双方的身份验证之外，x_s还用于验证消息M₀，M₁，M₂的完整性并生成共享密钥SK，以及用于在数据交换阶段加密信息。因为x_s受到U_i的真实身份ID_i和NCC_s的主密钥k保护，如果攻击者Adv要获取x_s，则只能通过蛮力计算来获取。但是，根据文献3(Debiao H,Jianhua C,Jin H.An ID-basedclient authentication with key agreement protocol for mobile client–serverenvironment on ECC with provable security[J].Information Fusion,2012,13(3):223-230.)中的困难计算问题K-CAA1，Adv无法启动蛮力(例如对文献1的攻击中使用的离线密码猜测攻击的方案)计算以获取该值，也就是说，本发明方法完全可以抵抗离线密码猜测攻击。

第二个对称密钥是x_v，通过在ECC上计算ECDLP和CDHP来保证。一方面，Adv通过公共渠道拦截消息M₁来获取Q_i。根据ECDLP，Adv无法通过计算Q_i＝b_iP来获得b_i的值，并且通过操作K＝kP也无法获得NCC_s的主密钥k。另一方面，如果Adv获得Q_i和k，则也无法获得V_i，因为根据Q_i＝b_iP和K＝kP找到Q_i＝b_i(kP)，这相当于在ECC上计算CDHP。密钥x_v主要用于保护U_i的真实身份ID_i，并通过计算V_i ^*＝kQ_i来实现服务器签名的验证。

为了进一步阐述本发明方法可以提高空间信息网络的安全性，下面给出相关论证过程。

1)有效的相互认证

在本发明提供的方法中，NCC_s首先通过验证

来验证身份ID_i的真实性，然后通过检查

验证U_i。

和

的条件全部由对称密钥x_v和x_s保证，实际的U_i可以计算这两个密钥。因此，NCC_s可以有效地验证U_i。

同时，U_i通过验证

来认证NCC_s，这直接涉及U_i的真实身份ID_i和对称密钥x_s。仅通过知道NCC_s的主密钥k来计算ID_i和x_s。

因此，本发明方法提供了有效的相互身份验证，以避免假冒攻击。

2)数据机密性和完整性

对于数据机密性，本发明方法需要保护三种类型的数据：U_i选择的随机数b_i，U_i的标识ID_i和共享会话密钥SK。其中，b_i受ECDLP保护；ID_i由对称密钥x_v加密并通过操作

传输；SK在单向密钥推导操作SK＝kdf(ID_i||x_S||N₀||N₁)中与ID_i和对称密钥x_s绑定。

对于数据完整性，它是指能够快速发现是否已插入，替换和删除消息M₀，M₁，M₂。其中，通过条件

验证存储在U_i的移动设备中的M₀；通过分别检查

和

来验证M₁和M₂。此外，值m_i，α_i和β_s均通过哈希函数h(·)绑定到对称密钥x_s。

因此，本发明方法可确保所有方面的数据机密性和完整性。

3)没有由NCC_s和U_i维护的敏感数据

NCC_s的验证程序表中只有<N₀,h(ID_i)>和<N₀,l_i,m_i>存储在U_i的移动设备中。N₀只是一个随机数，每个会话都会刷新。对于h(ID_i)，虽然Adv可以在对NCC_s内部进行攻击之后，通过离线密码猜测攻击获得用户的身份ID。但是，由于Adv无法获得有关U_i的密码和NCC_s的主密钥的任何线索，因此对于整个系统而言，这是没有意义的。对于存储在U_i移动设备中的数据，l_i和m_i来自U_i的机密和服务器的私有密钥仅在U_i登录阶段开始使用，并且都不会显示系统的关键参数。

因此，在本发明方法中，NCC_s和U_i都不维护敏感数据。

4)完美的会话密钥保密性

共享会话密钥是从SK_i＝kdf(ID_i||x_S||N₀||N₁)派生而来的，它用随机数N₀和N₁，每个会话刷新一次。因此，即使这次j个会话密钥

被泄漏，也不会导致前一个

或下一个会话密钥

妥协。

5)用户的隐私

本发明方法主要涉及三种类型的U_i个人隐私：身份ID_i，密码P_i和生物识别B_i。首先，U_i通过提交<ID_i,v_i>进行注册，其中v_i＝h(ID_i||P_i||B_i)，以便保留来自NCC_s的秘密密码P_i和U_i的生物特征B_i。然后，在登录和认证阶段，从

派生的伪身份PID_i通过公共通道而不是真实通道传输ID_i。因此，与U_i相关的任何隐私信息都包含在本发明方案中。

在安全功能和计算性能的抵抗方面，本发明还将本发明方法与其他两个协议(文献1和文献2)进行了比较，具体如下：

在2019年，文献1在安全性和计算性能方面将其提议的协议与其他6个协议进行了详细的比较，并声称它们的协议在安全性方面具有明显的优势。同样，文献2指出，与2020年的其他4种协议相比，它们的协议具有很大的优势。因此，本发明仅将这两篇代表性文章进行比较。此外，文献1方案还使用椭圆曲线密码学设计，而文献2方案也使用公钥秘密密钥算法，这在他们的文章中未进行说明。

表1本方案与其他方案在安全功能上的对比

表2文献1中OpenSSL库的加密元素的运行时间

表3各种设计方案在计算和通信成本上的比较

在表1中，我们列出了6种常规安全属性和2种安全攻击，用于为SIN设计可靠的身份验证协议。在这里，没有赋予所有方案可以抵抗的现有攻击，例如模拟攻击，DoS攻击，中间人攻击，明智的成见攻击，重播攻击等。表1中的结果表明，我们的协议的优势在于可以抵抗离线密码猜测攻击和时钟异步。

众所周知，NCC_s对于功能强大的服务器始终没有限制。尽管最昂贵的操作是相关协议中的点乘法椭圆曲线，但在Intel Core-i7处理器上执行160位椭圆曲线点乘法只需46微秒。因此，我们仅在表2中比较U_i移动设备中不同操作的效率，表2是引用了文献1中Table11。为了方便评估计算成本，我们假设文献2中的公钥私钥算法也是椭圆曲线密码学，因为主要考虑到160位ECC具有相同的安全级别。实际上是1024位RSA或DLP。另外，通常可以接受的XOR操作执行时间可以忽略，因为它消耗的时间很少。

此外，我们在表3的最后一行中考虑了通讯成本。我们假设文献1中参数的每个长度大致相同：随机数/随机数的大小为64位，哈希输出为256位，标识符/时间戳为32位，而ECC的通信成本为384位，因为我们也在计算时间中使用了此长度。

在我们的设计方案中，LEOS从以下位置接收M₁＝<PID_i,α_i,Q_i,N₀>U_i的登录请求消息，最后向U_i发送M₂＝<β_s,N₁>。因此，总通信成本位$M₁＝<32,256,(384,384),64>和M₂＝<256,64>是1440位。表3证明了我们的协议比其他两种协议更有效，因为它使用的时间最少，通信成本也少得多。

此外，本发明还使用Scyther和AVISPA安全协议分析工具进行了仿真分析。在模拟本发明方法的实施过程中，Scyther可以检测到参与者之间消息的可达性，并发现由伪装者发起的攻击路径。AVISPA仿真工具在内部设置了各种攻击模型，以测试协议是“安全的”还是“不安全的”。Scyther的详细说明可以参考文献4“Cremers C J F.The Scyther Tool:Verification,Falsification,and Analysis of Security Protocols[C]//International Conference on Computer Aided Verification.Springer,Berlin,Heidelberg,2008”；AVISPA可以参考文献5“AVISPA Team.(2014).AVISPA Tool.http://www.avispa-project.org(accessed on August 2020)”。

1)仿真代码说明

使用Scyther形式语言SPDL(安全协议描述语言)和AVISPA形式语言HLPSL(高级协议规范语言)来对本发明方法进行建模。

(1)Scyther SPDL中的仿真代码：

图5展示了本发明协议与Scyther SPDL的仿真代码。在SPDL模拟代码的开头定义了两个哈希函数和一个模拟的椭圆曲线函数(ECC)。ECC被建模为公钥加密，其中NCC_s具有私钥k。接下来，定义方案中的3个角色：“I”模拟U_i；“R”表示NCC_s；“LEOS”表示LEOS。在这里，我们以U_i角色为例来介绍SPDL代码，该代码主要在图4的左侧显示。在定义了会话协议所需的变量之后，用户端操作主要由事件集合表示。“发送”和“接收”事件意味着U_i发送一条消息并接收一条消息。第16至19行表示U_i在登录阶段从NCC_s收到消息M₀并检查

的事件。其中，第16行表示对称密钥x_s被建模为ECC函数，其参数为NCC_s的私钥k和U_i的身份ID_i；第17行表示U_i通过l_i获得x_s；然后，U_i可以接收M₀并检查

分别显示在第18行和第19行。除此之外，第28行还添加了验证β_s的匹配项，以确保攻击者无法自主构造消息；第30行中的“声明”事件用于描述角色的身份验证和变量的机密性。

(2)AVISPA HLPSL中的仿真代码：

在本发明协议的HLPSL建模中，首先按照的图5中(a)所示的CAS+规范语言对协议进行形式化，然后使用SPAN(AVISPA的安全协议ANimator)自动将CAS+文件转换为图5中(b)所示HLPSL格式代码。以下简要描述了本发明方案的仿真CAS+代码。在图5(a)中定义了变量之后，建模与Scyther建模基本相同，并且XOR和ECC的操作均由近似操作表示。然后，使用Alice-Bob消息格式，清除协议执行过程。其中，“J”，“L”和“S”分别表示U_i，LEOS和NCC_s；“＝>”表示加密通道，“->”表示开放通道，“'”表示反函数，例如“Ks'”是NCC_s的私钥，而“ks”是这里的publick密钥。第19至21行，每行代表协议执行过程中已知的参数U_i，LEOS和NCC_s。第28行定义了攻击本发明方案安全性时的入侵者知识。从CAS+文件生成HLPSL格式文件后，我们在两个文件中手动添加了验证目标“secret(KDF(ECC(inv(Ks).H(IDi))。N0.N1)，sec1，{J，S})”U_i和NCC_s角色，然后生成模拟本发明协议的最终HLPSL格式代码。由于转换后的HDLS语言行数相对较多，因此在图5(b)中我们仅给出U_i角色代码。

(3)模拟结果:

首先介绍使用Scyther的协议仿真结果，如图6和图7所示。图6是用于验证参与者之间消息的可达性的输出报告，图7示出了共享会话秘密密钥SK的攻击路径搜索结果。所有分析结果都证明，在我们的形式化过程中没有问题，这意味着U_i和NCC_s可以安全地传达消息，并相信我们方案中协商的共享会话密钥SK的机密性。然后，我们验证协议是否存在攻击者攻击，即攻击者获取协议消息的漏洞。图8是Dolev-Yao对手威胁模型(参考文献6“D.Dolev,A.Yao,On the security of public key protocols,IEEETrans.Inform.Theory 29(2)(1983)198–208”)下的输出路径。分析结果表明，在U_i和NCC_s之间进行相互身份验证的过程中，该协议具有LEOS模拟攻击，因为LEOS仅转发消息，而未在方案中进行身份验证。但是，由于随机数N₀和N₁以及验证消息代码α_i和β_s的限制，攻击者无法独立构造消息，并且这次只能在U_i和NCC_s之间重播消息。因此，Scyther测试结果表明，本发明协议在各种主动和被动攻击下都没有任何威胁。

接下来，介绍AVISPA分析的结果。AVISPA提供的OFMC和ATSE的两个后端分析结果如图9所示，它们都是安全的(摘要安全)。该演示结果表明本发明协议可以实现预期的安全目标。图10显示了入侵者仿真下的协议流程图。入侵者可以在图11所示的模拟攻击后获得知识。从图11中，可以看到Adv通过窃听通过开放通道传输的消息来获得诸如N₀，N₁和

的值，但是没有有效的攻击路径。因此，AVISPA的测试结果也证明本发明方案可以抵抗各种现有的主动和被动攻击。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.基于椭圆曲线密码的空间信息网络时钟异步安全认证方法，包括初始化阶段、注册阶段、登录和认证阶段以及密码更改阶段，其特征在于，

所述初始化阶段包括：NCC_s发布系统参数；所述系统参数包括{E_p(a,b),n,P,K,h(·),kdf}，E_p(a,b)为选定的安全椭圆曲线方程，P为生产元，n为生产元P的阶数，K为公钥，h(·)为单项哈希函数，kdf表示用于生成共享会话密码的单向密钥导出函数；

所述登录和认证阶段包括：

步骤A1：移动设备接收移动用户U_i输入的登录参数，所述登录参数包括个人身份

密码P_i ^*和生物特征值

移动设备根据

P_i ^*和

计算中间参数

根据

和在注册阶段中已预先存储在移动设备中的中间参数l_i计算中间参数

根据

和

计算中间参数

移动设备比较

与在注册阶段中已预先存储在移动设备中的中间参数m_i是否相等：若不相等，则提示移动用户U_i重新输入登录参数；若相等，则随机选择b_i∈[1,n-1]，并根据b_i和在初始化阶段由NCC_s发布的生产元P计算中间参数Q_i，根据b_i和在初始化阶段由NCC_s发布的公钥K计算中间参数V_i，根据V_i和在注册阶段中已预先存储在移动设备中的移动用户U_i的个人身份ID_i计算中间参数PID_i，根据PID_i、ID_i和在注册阶段中已预先存储在移动设备中的中间参数S_i与随机数N₀计算中间参数α_i；

移动设备将M₁＝<PID_i,α_i,Q_i,N₀>发送给LEOS_q；LEOS_q表示第q颗近地面卫星；

步骤A2：LEOS_q收到移动用户U_i的移动设备发送的消息M₁＝<PID_i,α_i,Q_i,N₀>后，转发

到NCC_s；

表示LEOS_q的身份信息；

步骤A3：NCC_s收到LEOS_q发送的消息

后，根据Q_i和NCC_s的私钥k∈[1,n-1]计算中间参数V_i ^*，根据V_i ^*和PID_i计算得到

NCC_s使用N₀在验证程序表中找到匹配的h(ID_i)：若找不到，NCC_s拒绝U_i的请求，ID_i为移动用户U_i在注册阶段预先存储在移动设备中的个人身份；否则，NCC_s根据计算得到的

私钥k和生产元P计算中间参数

根据

ID_i、PID_i和N₀计算中间参数

NCC_s比较中间参数

和α_i是否相等：若相等，则对SC进行身份验证并生成一个现时数N₁，采用kdf函数根据N₁、N₀、ID_i和在注册阶段中已预先存储在移动设备中的中间参数S_i计算中间参数SK_s，根据SK_s、S_i、N₁和ID_i计算中间参数β_s；

NCC_s在验证程序表中的N₀旁边记录随机数N₁并发送

到LEOS_q；

步骤A4：LEOS_q收到消息

后，将M₂＝<β_s,N₁>转发到移动用户U_i的移动设备；

步骤A5：移动用户U_i的移动设备收到来自LEOS_q的回复消息M₂＝<β_s,N₁>后，采用kdf函数根据N₁、N₀、ID_i和S_i计算中间参数

根据

ID_i、S_i和N₁计算中间参数

移动用户U_i的移动设备比较

和β_s是否相等，若相等，则移动用户U_i确认NCC_s是真实的，并在移动设备中将N₀更新为N₁；此时，U_i和NCC_s实现相互认证并协商共享会话密钥SK＝SK_s或者

2.根据权利要求1所述的空间信息网络时钟异步安全认证方法，其特征在于，步骤A1中，移动设备根据

P_i ^*和

计算中间参数

根据

和在注册阶段中已预先存储在移动设备中的中间参数l_i计算中间参数

根据

和

计算中间参数

具体为：

3.根据权利要求1所述的空间信息网络时钟异步安全认证方法，其特征在于，步骤A1中，根据b_i和在初始化阶段由NCC_s发布的生产元P计算中间参数Q_i，根据b_i和在初始化阶段由NCC_s发布的公钥K计算中间参数V_i，根据V_i和在注册阶段中已预先存储在移动设备中的移动用户U_i的个人身份ID_i计算中间参数PID_i，根据PID_i、ID_i和在注册阶段中已预先存储在移动设备中的中间参数S_i与随机数N₀计算中间参数α_i，具体为：

Q_i＝b_iP＝(x_q,y_q)

V_i＝b_iK＝(x_v,y_v)

α_i＝h(ID_i||x_s||PID_i||N₀)

其中，x_s表示中间参数S_i中的对称密钥。

4.根据权利要求1所述的空间信息网络时钟异步安全认证方法，其特征在于，步骤A3中，根据Q_i和NCC_s的私钥k∈[1,n-1]计算中间参数V_i ^*，根据V_i ^*和PID_i计算得到

具体为：

5.根据权利要求1所述的空间信息网络时钟异步安全认证方法，其特征在于，步骤A3中，NCC_s根据计算得到的

私钥k和生产元P计算中间参数

根据

ID_i、PID_i和N₀计算中间参数

具体为：

6.根据权利要求1所述的空间信息网络时钟异步安全认证方法，其特征在于，步骤A3中，采用kdf函数根据N₁、N₀、ID_i和在注册阶段中已预先存储在移动设备中的中间参数S_i计算中间参数SK_s，根据SK_s、S_i、N₁和ID_i计算中间参数β_s，具体为：

SK_s＝kdf(ID_i||x_s||N₀||N₁)

β_s＝h(ID_i||SK_s||x_s||N₁)

其中，x_s表示中间参数S_i中的对称密钥。

7.根据权利要求1所述的空间信息网络时钟异步安全认证方法，其特征在于，步骤A5中，采用kdf函数根据N₁、N₀、ID_i和S_i计算中间参数

根据

ID_i、S_i和N₁计算中间参数

具体为：

其中，x_s表示中间参数S_i中的对称密钥。

8.根据权利要求1所述的空间信息网络时钟异步安全认证方法，其特征在于，所述注册阶段包括：

步骤B1：移动设备接收移动用户U_i输入的个人身份ID_i和密码P_i，以及收集移动用户U_i的生物特征值B_i；并根据个人身份ID_i、密码P_i和生物特征值B_i计算中间参数v_i，然后通过安全通道将消息<ID_i,v_i>发送到NCC_s；

步骤B2：NCC_s收到消息<ID_i,v_i>后，计算h(ID_i)，判断h(ID_i)是否已注册在验证程序表中，若未注册，则根据ID_i、NCC_s的私钥k和生产元P生成中间参数S_i，根据S_i、ID_i和v_i生成中间参数m_i；

NCC_s将<N₀,h(ID_i)>插入验证程序表中，并通过安全通道向移动设备返回响应信息M₀＝<N₀,l_i,m_i>；

步骤B3：移动设备接收到响应信息M₀＝<N₀,l_i,m_i>后，提示移动用户U_i将所述响应信息<N₀,l_i,m_i>存储在移动设备中。

9.根据权利要求8所述的空间信息网络时钟异步安全认证方法，其特征在于，步骤B1中，根据个人身份ID_i、密码P_i和生物特征值B_i计算中间参数v_i，具体为：

v_i＝h(ID_i||P_i||B_i)

步骤B2中，根据ID_i、NCC_s的私钥k和生产元P生成中间参数S_i，根据S_i、ID_i和v_i生成中间参数m_i，具体为：

S_i＝(k+h(ID_i))^-1P＝(x_s,y_s)

m_i＝h(v_i||x_s||ID_i)。

10.根据权利要求1所述的空间信息网络时钟异步安全认证方法，其特征在于，所述密码更改阶段包括：

步骤C1：移动设备接收移动用户U_i输入的原始登录参数

P_i ^*和

以及更改密码请求；计算

和

其中，l_i为移动用户U_i在注册阶段中已预先存储在移动设备中的中间参数；

移动设备比较

与在注册阶段中已预先存储在移动设备中的中间参数m_i是否相等：若不相等，则拒绝U_i的更改密码请求，若相等，则提示移动用户U_i输入新密码P_i ^new；

步骤C2：移动设备接收到移动用户U_i输入的新密码P_i ^new后，计算

和

其中，x_s为在注册阶段中已预先存储在移动设备中的中间参数S_i中的对称密钥；

移动设备采用

替换原始的<l_i，m_i>存储在内存中。

Images