CN114339735A - 一种基于ntru的天地一体化网络匿名接入认证方法 - Google Patents
一种基于ntru的天地一体化网络匿名接入认证方法 Download PDFInfo
- Publication number
- CN114339735A CN114339735A CN202111510378.2A CN202111510378A CN114339735A CN 114339735 A CN114339735 A CN 114339735A CN 202111510378 A CN202111510378 A CN 202111510378A CN 114339735 A CN114339735 A CN 114339735A
- Authority
- CN
- China
- Prior art keywords
- satellite
- access authentication
- information
- identity
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Radio Relay Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明属于信息网络安全领域,具体涉及一种基于NTRU的天地一体化网络匿名接入认证方法;包括:终端设备与卫星分别向网络控制中心注册信息;用户登陆UE;UE基于NTRU算法计算UE接入认证请求消息并向卫星发送接入认证请求消息;卫星向网络控制中心转发接入认证请求消息;网络控制中心计算接入认证请求响应并向卫星发送接入认证请求响应;卫星基于NTRU加密体制计算星地接入认证请求响应并向UE发送星地接入认证请求响应;UE接收星地接入认证请求响应并完成接入认证;本发明基于非对称NTRU加密体制,设计了能够抵御量子攻击的匿名接入认证方法对终端设备进行认证,能降低卫星的存储和计算开销,同时提高系统的安全性。
Description
技术领域
本发明属于信息网络安全领域,具体涉及一种基于NTRU的天地一体化网络匿名接入认证方法。
背景技术
天地一体化网络是利用空间、陆地、海洋中的各种传感器获取的感知信息,为各类应用需求提供高效服务的宽带大容量智能化综合网络,是保障国民经济和国家安全的重大基础设施。天地一体化网络支持卫星、地面网络、飞机、航天器和其他空中或地面网络节点之间的通信,具有广泛覆盖的优势。与此同时,天地一体化网络区别于传统网络,存在信道暴露、拓扑多变、资源受限、链路间歇连接等问题,面临着网络攻击、数据窃取等众多威胁和挑战。因此,针对卫星网络安全,首要问题就是设计用户终端接入认证机制。
在传统的天地一体化网络中,终端接入认证时使用的密码体制都是基于大整数分解和椭圆曲线上离散对数问题的困难性。但是Shor与Grover算法的提出以及量子计算机的出现,在理论和实践上都证明了传统密钥体制RSA、ElGanal等不再安全。传统密码体制无法抵御量子计算的攻击,存在着极大的安全隐患,因此,亟需一种基于能够抗量子攻击的天地一体化网络的匿名接入认证方法,提高天地一体化网络的安全性。
发明内容
针对现有技术存在的不足,本发明提出了一种基于NTRU的天地一体化网络匿名接入认证方法,该方法包括:
S1:初始化系统参数;
S2:终端设备与卫星分别向网络控制中心发送注册信息;其中,终端设备的注册信息包括:身份IDUE、用户公钥hUE、登录验证LAUE和随机数λ;
S3:用户将身份IDUE和密码LPUE输入到终端设备UE中进行验证,若验证失败,则用户登录终端失败;若验证成功,则终端设备生成接入认证请求消息,并将该消息发送给卫星;其中,接入认证请求信息包括:UE的匿名身份SIDUE、UE登录的时间戳tUE、IDUE的加密信息A1、随机多项式βUE的加密信息A2以及校验信息Z1;
S4:卫星对接入认证请求消息的时间戳tUE进行验证,若验证失败,则接入失败;若验证成功,则卫星保存UE的匿名身份SIDUE并计算卫星对UE接入认证的签名DS,卫星向网络控制中心转发接入认证请求消息和签名DS;
S5:网络控制中心判断接收的信息是否满足接收条件;
若不满足,则拒绝接收卫星发送的信息;若满足,则接收接入认证请求消息并验证卫星身份IDSAT和UE匿名身份SIDUE的合法性;
若验证失败,则接入失败;若验证成功,则网络控制中心计算接入认证请求响应,并将接入认证请求响应发送给卫星;其中,接入认证请求响应包括:校验信息Z2的加密信息A3、随机多项式βUE的加密信息A4、UE公钥hUE以及校验信息Z3。
S6:卫星根据接收的接入认证请求响应验证网络控制中心和保存的UE的匿名身份SIDUE的合法性,若验证失败,则接入失败;若验证成功,则卫星计算会话密钥SKSM,并根据会话密钥生成接入认证请求成功响应,将接入认证请求成功响应发送给UE;其中,接入认证请求成功响应包括校验信息Z2的加密信息A5、随机多项式βSAT的加密信息A6以及校验信息Z4;
S7:UE验证卫星身份的合法性,若验证失败,则接入失败;若验证成功,UE计算会话密钥SKMS,根据话密钥SKMS计算校验信息Z4′,验证校验信息Z4′与校验信息Z4是否相等,若不相等,则接入失败,若相等,完成接入认证。
优选的,终端设备向网络控制中心发送注册信息后,网络控制中心根据注册信息生成终端设备的身份证明POI,并将身份证明POI发送给注册的终端设备。
优选的,用户将身份IDUE和密码LPUE输入到终端设备UE中进行验证包括:终端设备UE根据身份IDUE、密码LPUE和随机数λ计算登录验证LAUE′,判断LAUE′是否与登录验证LAUE相等,如果相等,则验证成功,允许UE用户登录;如果不相等,验证失败,则拒绝非法UE登录;计算登录验证LAUE′的公式为:
LAUE′=H1(IDUE||LPUE||λ)
其中,LAUE′表示终端设备UE计算的登录验证,H1()表示单向哈希函数,||表示字段拼接。
优选的,终端设备生成接入认证请求消息包括:记录UE的登录时间戳tUE;从格空间ξr中选取随机多项式βUE;根据身份证明POI、时间戳tUE、随机多项式βUE和用户身份IDUE计算UE的匿名身份SIDUE;基于NTRU加密算法对IDUE和βUE进行加密;根据身份证明、用户身份IDUE、随机多项式βUE以及时间戳tUE计算校验信息Z1。
优选的,卫星对接入认证请求消息的时间戳tUE进行验证包括:记录UE接入请求的时间戳tSAT;验证是否满足tSAT-tUE<Δt,若不满足,则验证失败,若满足,则验证成功;其中,Δt表示系统允许的最大时延。
优选的,验证卫星身份IDSAT和UE匿名身份SIDUE的合法性的过程包括:
网络控制中心计算卫星对UE接入认证的签名DS′,判断DS′是否与DS相等,若相等,则网络控制中心认为卫星身份合法,若不相等,则认为不合法;
网络控制中心通过自己的密钥fNCC解密UE加密的加密信息A1,A2,根据解密信息得到IDUE′和βUE′,根据IDUE′和βUE′计算校验信息Z1′和SIDUE′,判断Z1′和SIDUE′是否分别与Z1和SIDUE相等,若相等,则网络控制中心认为UE匿名身份合法,否则,则认为不合法。
优选的,网络控制中心计算接入认证请求响应包括:在格空间ξr中随机选取一个多项式αNCC;根据卫星身份IDSAT和格空间ξr中的随机多项式βUE计算校验信息Z2;基于NTRU加密体制加密Z2和βUE;根据校验信息Z2计算校验信息Z3。
优选的,卫星计算会话密钥SKSM包括:从格空间ξr中选取随机多项式βSAT,根据随机多项式βSAT计算卫星与UE之间的共享密钥算子KSM=βSAT·βUE,卫星根据共享密钥算子生成会话密钥SKSM,计算公式为:
SKSM=H3(KSM||IDSAT||SIDUE)
其中,IDSAT表示卫星的身份ID,SIDUE表示UE的匿名信息,H3()表示单向哈希函数。
优选的,卫星根据会话密钥生成接入认证请求成功响应包括:根据UE的公钥hUE分别对校验信息Z2和格空间ξr中的随机多项式βSAT进行加密,得到校验信息Z2的加密信息A5和随机多项式βSAT的加密信息A6;根据会话密钥SKSM、UE的匿名身份SIDUE、校验信息Z2和βSAT计算校验信息Z4。
优选的,UE验证卫星身份的合法性包括:UE使用自身的密钥fUE解密卫星发送的加密信息A5、A6,得到Z2和βSAT;UE计算Z2′,判断Z2′与解密得到的Z2是否相等,如果相等,则UE认为卫星是合法的,否则,则认为不合法。
本发明的有益效果为:提出了天地一体化网络中NTRU加密体制的天地一体化网络匿名接入认证的方法,可以有效在UE和SAT之间进行双向认证,避免非法恶意用户对网络资源的非法访问以及非法卫星获取合法UE的身份信息。同时使用基于格空间的NTRU加密体制能够保障接入认证的安全性,相较于传统的基于大整数分解和椭圆曲线上离散对数难题的加密体制,NTRU加密体制计算效率更高、资源消耗更小同时能够抵御量子计算机的攻击,因此更加适合信道暴露、资源有效、拓扑多变的天地一体化网络环境。当UE向SAT发送接入认证请求时,UE使用匿名身份SIDUE,卫星首先校验时间戳以防止重放攻击,然后将接入认证请求转发给NCC进行UE以及SAT身份进行验证,若验证成功,则向卫星回复认证响应消息,同时通过使用匿名终端身份SIDUE,实现了终端设备的匿名认证,保护了终端设备的隐私。针对卫星网络通信中断链问题,本发明基于断链前会话密钥提出了一种再次接入认证方案。认证过程简单、计算量较首次接入认证小,并完成新的会话密钥协商。一方面,此过程减少了卫星与NCC的交互次数,减轻NCC负担;另一方面,断续重连可以避免频繁发起初始认证耗费大量资源的问题。本发明基于非对称NTRU加密体制,设计了能够抵御量子攻击的匿名接入认证方法对终端设备进行认证,能降低卫星的存储和计算开销,控制接入认证时延,保证了用户能够快速的接入卫星,同时提高系统的安全性。
附图说明
图1为本发明中基于NTRU的天地一体化网络匿名接入认证方法流程图;
图2为本发明中终端设备接入卫星认证流程图;
图3为本发明中终端设备再次接入认证流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提出了一种基于NTRU的天地一体化网络匿名接入认证方法,如图1所示,所述方法包括:
S1:初始化系统参数;
S2:终端设备与卫星分别向网络控制中心发送注册信息;其中,终端设备的注册信息包括:身份IDUE、用户公钥hUE、登录验证LAUE和随机数λ;
S3:用户将身份IDUE和密码LPUE输入到终端设备UE中进行验证,若验证失败,则用户登录终端失败;若验证成功,则终端设备生成UE接入认证请求消息,并将该消息发送给卫星;其中,接入认证请求信息包括:UE的匿名身份SIDUE、UE登录的时间戳tUE、IDUE的加密信息A1、随机多项式βUE的加密信息A2以及校验信息Z1;
S4:卫星对接入认证请求消息的时间戳tUE进行验证,若验证失败,则接入失败;若验证成功,则卫星保存UE的匿名身份SIDUE并计算卫星对UE接入认证的签名DS,卫星向网络控制中心转发接入认证请求消息和签名DS;
S5:网络控制中心判断接收的信息是否满足接收条件;
若不满足,则拒绝接收卫星发送的信息;若满足,则接收接入认证请求消息并验证卫星身份IDSAT和UE匿名身份SIDUE的合法性;
若验证失败,则接入失败;若验证成功,则网络控制中心计算接入认证请求响应,并将接入认证请求响应发送给卫星;其中,接入认证请求响应包括:校验信息Z2的加密信息A3、随机多项式βUE的加密信息A4、UE公钥hUE以及校验信息Z3。
S6:卫星根据接收的接入认证请求响应验证网络控制中心和保存的UE的匿名身份SIDUE的合法性,若验证失败,则接入失败;若验证成功,则卫星计算会话密钥SKSM,并根据会话密钥生成接入认证请求成功响应,将接入认证请求成功响应发送给UE;其中,接入认证请求成功响应包括校验信息Z2的加密信息A5、随机多项式βSAT的加密信息A6以及校验信息Z4;
S7:UE验证卫星身份的合法性,若验证失败,则接入失败;若验证成功,UE计算会话密钥SKMS,根据话密钥SKMS计算校验信息Z4′,验证校验信息Z4′与校验信息Z4是否相等,若不相等,则接入失败,若相等,完成接入认证。
如图2所示,基于NTRU的天地一体化网络匿名接入认证具体流程如下:
初始化系统参数,网络控制中心NCC广播系统参数p,q,n,hNCC以及一系列单向哈希函数H()、H1()、H2()、H3()、H4(),其中n是多项式环的纬度,p是一个一般为2或3的素数,q是用于取模的远远大于p的正整数,例如,q为97;hNCC是网络控制中心NCC的公钥。
终端设备UE与卫星SAT携带设备固有信息向网络控制中心NCC进行注册;注册过程为:UE选择一个随机数λ并设置登录密码LPUE,并基于NTRU算法计算UE的私钥fUE、公钥hUE,其中满足gUE是一个随机多项式。计算登录验证LAUE=H1(IDUE||LPUE||λ)并通过离线的安全信道将UE的注册信息发送给NCC,其中,注册信息包括身份IDUE、用户公钥hUE、登录验证LAUE和随机数λ即{IDUE,hUE,LAUE,λ};网络控制中心NCC接收到UE的注册消息之后,首先记录下UE的注册时间戳tNCC,然后NCC利用私钥fNCC和UE的注册时间戳tNCC生成他人无法计算和伪造的UE身份证明POI=H1(IDUE||tNCC||fNCC),NCC存储终端设备信息表{IDUE,POI,tNCC,hUE};由于卫星SAT数目相对于UE的数目是较少的,所以设定在SAT发射之前已经在NCC注册且卫星与终端设备两者之间使用安全的对称密钥来传输信息,同时需要在SAT维护数据表以检验接入设备的合法性;注册信息包括卫星身份IDSAT、卫星公钥hSAT、卫星私钥fSAT和对称密钥SKSN,数据表为{IDSAT,hSAT,fSAT,SKSN}。
用户将身份IDUE和密码LPUE输入到终端设备UE中进行验证,验证过程为:
终端设备UE根据身份IDUE、密码LPUE和随机数λ计算登录验证LAUE′,判断LAUE′是否与登录验证LAUE相等,若相等,则验证成功,允许UE用户登录;若不相等,验证失败,则拒绝非法UE登录;计算登录验证LAUE′的公式为:
LAUE′=H1(IDUE||LPUE||λ)
其中,LAUE′表示终端设备UE计算的登录验证,H1()表示单向哈希函数,||表示字段拼接。
登录成功之后,终端设备UE基于NTRU算法生成接入认证请求消息,并将该消息发送给卫星;其中,接入认证请求信息包括:UE的匿名身份SIDUE、UE登录的时间戳tUE、IDUE的加密信息A1、随机多项式βUE的加密信息A2以及校验信息Z1;生成UE接入认证请求消息过程为:首先记录下UE的登录时间戳tUE,从格空间中选取两个随机多项式βUE,αUE∈ξr;然后,根据身份证明POI、时间戳tUE、随机多项式βUE、用户IDUE等计算UE的匿名身份SIDUE,计算公式为:
SIDUE=H4(POI||IDUE||βUE||tUE)
之后,基于NTRU加密算法对IDUE和βUE进行加密,得到IDUE的加密信息A1和随机多项式βUE的加密信息A2;加密公式为:
A1=p·hNCC·αUE+IDUE
A2=A1·IDUE+βUE;
UE计算校验信息Z1,用于NCC校验解密信息的正确性,计算公式为:
Z1=H2(POI||IDUE||βUE|tUE)
UE向卫星SAT发送接入认证请求消息;SAT验证接入认证请求消息的时间戳tUE防止重发攻击,验证过程为:记录UE接入请求的时间戳tSAT;验证是否满足tSAT-tUE<Δt,其中,Δt表示系统允许的最大时延;若不满足,则验证失败,SAT向UE发送拒绝接入认证响应,拒绝接入请求消息;若满足,则SAT保存UE的匿名信息SIDUE并且计算SAT对UE接入认证的签名DS,DS计算公式为:
DS=H2(A1||A2||SKSN||IDSAT)
终端设备UE首次接入卫星SAT时为了保证非法终端设备UE无法访问卫星资源和非法卫星SAT无法获取终端用户UE的私密信息需要实现双向认证。终端设备UE和卫星SAT之间的双向认证需要在网络控制中心NCC的参与下完成。所以卫星SAT对终端设备UE的接入认证请求消息进行数签之后,需要向网络控制中心转发接入认证请求消息和签名DS,卫星向网络控制中心转发的消息还包括UE接入请求的时间戳tSAT和卫星身份IDSAT,即卫星向网络控制中心转发的消息可表示为{SIDUE,tUE,A1,A2,Z1,tSAT,DS,IDSAT};
网络控制中心记录接收时间戳tSN,并判断是否满足接收条件tSN-tSAT<Δt,Δt表示字段拼接,若不满足,则拒绝接收卫星发送的信息并向SAT发送拒绝接入响应;若满足,则接收接入认证请求消息并验证卫星身份IDSAT和UE匿名身份SIDUE的合法性,验证卫星身份IDSAT和UE匿名身份SIDUE的合法性的过程包括:
网络控制中心计算卫星对UE接入认证的签名DS′,判断DS′是否与DS相等,若相等,则网络控制中心认为卫星身份合法,若不相等,则认为不合法。
网络控制中心通过自己的密钥fNCC解密UE加密的加密信息A1,A2,根据解密信息得到IDUE′和βUE′,根据IDUE′和βUE′计算校验信息Z1′和SIDUE′,判断Z1′和SIDUE'是否分别与Z1和SIDUE相等,若相等,则网络控制中心认为UE匿名身份合法,否则,则认为不合法。
网络控制中心计算接入认证请求响应包括:在格空间ξr中随机选取一个多项式αNCC;根据卫星身份IDSAT和格空间ξr中的随机多项式βUE计算校验信息Z2,计算公式为:
Z2=H2(POI||IDSAT||βUE)
基于NTRU加密体制加密Z2和βUE,得到校验信息Z2的加密信息A3和随机多项式βUE的加密信息A4;加密公式为:
A3=p·hSAT·αNCC+Z2
A4=A3·Z2+βUE
根据校验信息Z2计算校验信息Z3,计算公式为:
Z3=H2(Z2||hUE||SKNS||SIDUE)
网络控制中心卫星向发送接入认证请求响应;其中,接入认证请求响应包括:校验信息Z2的加密信息A3、随机多项式βUE的加密信息A4、UE公钥hUE以及校验信息Z3。
SAT接收到NCC的接入请求响应消息之后,卫星根据接收的接入认证请求响应验证网络控制中心和保存的UE的匿名身份SIDUE的合法性,若验证失败,则接入失败;若验证成功,则卫星计算会话密钥SKSM。验证UE的匿名身份SIDUE和网络控制中心身份的合法性过程为:SAT使用自己的私钥fSAT解密A3、A4得到数据Z'2和随机多项式βUE';利用保存的SIDUE来计算校验信息Z3':
Z3'=H2(Z2||hUE||SKSN||SIDUE),
判断Z3'与Z3是否相等,若相等,则SAT认为NCC和UE的匿名SIDUE都是合法的,验证成功;若不相等,则SAT认为NCC和UE的匿名SIDUE不合法,验证失败。
SAT从格空间ξr中选取两个随机多项式βSAT和αSAT,卫星计算会话密钥SKSM的过程为:根据随机多项式βSAT计算SAT与UE之间的共享密钥算子KSM=βSAT·βUE,SAT生成会话密钥SKSM:
SKSM=H3(KSM||IDSAT||SIDUE)
卫星SAT基于NTRU加密体制,利用UE的公钥hUE分别对Z2和βSAT进行加密计算,得到校验信息Z2的加密信息A5和随机多项式βSAT的加密信息A6:
A5=p·hUE·αSAT+Z2
A6=A5·Z2+βSAT
SAT生成信息校验码Z4并向UE发送接入认证请求成功响应消息{A5,A6,Z4},Z4计算公式为:
Z4=H(SKSM||SIDUE||Z2||βSAT)
UE接收接入认证请求成功响应并验证卫星身份的合法性的过程为:UE接收到SAT发送的接入认证请求响应之后,首先使用自身的密钥fUE解密SAT加密发送的信息A5、A6得到Z2和βSAT;UE计算Z2′,Z2′计算公式为:
Z2′=H2(POI||IDSAT||βUE)
判断Z2′与解密得到的Z2是否相等,如果相等,则UE认为卫星是合法的,否则,则认为不合法。
卫星合法后,计算UE和SAT之间的共享密钥算子KMS=βSAT·βUE并通过密钥算子计算UE与SAT之间的会话密钥SKMS:
SKMS=H3(KSM||IDSAT||SIDUE)
最后校验SAT与UE之间生成的会话密钥Z4′:
Z4′=H(SKMS||SIDUE||Z2′||βSAT)
验证校验信息Z4′与校验信息Z4是否相等,如果相等,说明会话密钥协商成功,完成接入认证;如果不等,则表示会话密钥协商失败,接入认证失败。
如图3所示,一种当星地链路中断之后,UE发起再次接入认证的具体实施方式为:
UE选取格空间ξr的随机多项式βUE′∈ξr,计算并向SAT网络发送再次接入认证器请求消息{SIDUE,M,tUE′},M计算公式为:
其中SKMS为断开链路前的会话密钥,tUE′为再次接入认证的时间戳,SIDUE为终端设备的匿名信息。
SAT接收到再次接入认证消息之后,检测时间戳tUE′的有效性,若无效,则接入失败,若有效,则计算βUE”:
SAT选取格空间ξr的随机多项式βSAT′∈ξr,计算新的会话密钥SKSAT2和N:
SKSAT2=H2(SIDUE,βUE”,βSAT′)
最后计算MAC并向UE发送{N,MAC,tSAT'};
MAC=H3(SIDUE,βUE”,βSAT′,tSAT′,SKSAT2)
其中,ttSAT′为当前SAT时间戳。
SKUE2=H2(SIDUE,βUE′,βSAT”)
计算MAC′:
MAC′=H3(SIDUE,βUE′,βSAT”,tSAT',SKUE2)
验证MAC'与MAC是否相等,如果不相等,则验证失败,接入失败;如果相等,则验证成功,完成再接入认证。
本发明提出了天地一体化网络中NTRU加密体制的天地一体化网络匿名接入认证的方法,可以有效在UE和SAT之间进行双向认证,避免非法恶意用户对网络资源的非法访问以及非法卫星获取合法UE的身份信息。同时使用基于格空间的NTRU加密体制能够保障接入认证的安全性,相较于传统的基于大整数分解和椭圆曲线上离散对数难题的加密体制,NTRU加密体制计算效率更高、资源消耗更小同时能够抵御量子计算机的攻击,因此更加适合信道暴露、资源有效、拓扑多变的天地一体化网络环境。当UE向SAT发送接入认证请求时,UE使用匿名身份SIDUE,卫星首先校验时间戳以防止重放攻击,然后将接入认证请求转发给NCC进行UE以及SAT身份进行验证,若验证成功,则向卫星回复认证响应消息,同时通过使用匿名终端身份SIDUE,实现了终端设备的匿名认证,保护了终端设备的隐私。针对卫星网络通信中断链问题,本发明基于断链前会话密钥提出了一种再次接入认证方案。认证过程简单、计算量较首次接入认证小,并完成新的会话密钥协商。一方面,此过程减少了卫星与NCC的交互次数,减轻NCC负担;另一方面,断续重连可以避免频繁发起初始认证耗费大量资源的问题。本发明基于非对称NTRU加密体制,设计了能够抵御量子攻击的匿名接入认证方法对终端设备进行认证,能降低卫星的存储和计算开销,控制接入认证时延,保证了用户能够快速的接入卫星,同时提高系统的安全性。
以上所举实施例,对本发明的目的、技术方案和优点进行了进一步的详细说明,所应理解的是,以上所举实施例仅为本发明的优选实施方式而已,并不用以限制本发明,凡在本发明的精神和原则之内对本发明所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于NTRU的天地一体化网络匿名接入认证方法,其特征在于,包括:
S1:初始化系统参数;
S2:终端设备与卫星分别向网络控制中心发送注册信息;其中,终端设备的注册信息包括:身份IDUE、用户公钥hUE、登录验证LAUE和随机数λ;
S3:用户将身份IDUE和密码LPUE输入到终端设备UE中进行验证,若验证失败,则用户登录终端失败;若验证成功,则终端设备生成接入认证请求消息,并将该消息发送给卫星;其中,接入认证请求信息包括:UE的匿名身份SIDUE、UE登录的时间戳tUE、IDUE的加密信息A1、随机多项式βUE的加密信息A2以及校验信息Z1;
S4:卫星对接入认证请求消息的时间戳tUE进行验证,若验证失败,则接入失败;若验证成功,则卫星保存UE的匿名身份SIDUE并计算卫星对UE接入认证的签名DS,卫星向网络控制中心转发接入认证请求消息和签名DS;
S5:网络控制中心判断接收的信息是否满足接收条件;
若不满足,则拒绝接收卫星发送的信息;若满足,则接收接入认证请求消息并验证卫星身份IDSAT和UE匿名身份SIDUE的合法性;
若验证失败,则接入失败;若验证成功,则网络控制中心计算接入认证请求响应,并将接入认证请求响应发送给卫星;其中,接入认证请求响应包括:校验信息Z2的加密信息A3、随机多项式βUE的加密信息A4、UE公钥hUE以及校验信息Z3。
S6:卫星根据接收的接入认证请求响应验证网络控制中心和保存的UE的匿名身份SIDUE的合法性,若验证失败,则接入失败;若验证成功,则卫星计算会话密钥SKSM,并根据会话密钥生成接入认证请求成功响应,将接入认证请求成功响应发送给UE;其中,接入认证请求成功响应包括校验信息Z2的加密信息A5、随机多项式βSAT的加密信息A6以及校验信息Z4;
S7:UE验证卫星身份的合法性,若验证失败,则接入失败;若验证成功,UE计算会话密钥SKMS,根据话密钥SKMS计算校验信息Z4′,验证校验信息Z4′与校验信息Z4是否相等,若不相等,则接入失败,若相等,完成接入认证。
2.根据权利要求1所述的一种基于NTRU的天地一体化网络匿名接入认证方法,其特征在于,终端设备向网络控制中心发送注册信息后,网络控制中心根据注册信息生成终端设备的身份证明POI,并将身份证明POI发送给注册的终端设备。
3.根据权利要求1所述的一种基于NTRU的天地一体化网络匿名接入认证方法,其特征在于,用户将身份IDUE和密码LPUE输入到终端设备UE中进行验证包括:终端设备UE根据身份IDUE、密码LPUE和随机数λ计算登录验证LAUE′,判断LAUE′是否与登录验证LAUE相等,如果相等,则验证成功,允许UE用户登录;如果不相等,验证失败,则拒绝非法UE登录;计算登录验证LAUE′的公式为:
LAUE′=H1(IDUE||LPUE||λ)
其中,LAUE′表示终端设备UE计算的登录验证,H1()表示单向哈希函数,||表示字段拼接。
4.根据权利要求1所述的一种基于NTRU的天地一体化网络匿名接入认证方法,其特征在于,终端设备生成接入认证请求消息包括:记录UE的登录时间戳tUE;从格空间ξr中选取随机多项式βUE;根据身份证明POI、时间戳tUE、随机多项式βUE和用户身份IDUE计算UE的匿名身份SIDUE;基于NTRU加密算法对IDUE和βUE进行加密;根据身份证明、用户身份IDUE、随机多项式βUE以及时间戳tUE计算校验信息Z1。
5.根据权利要求1所述的一种基于NTRU的天地一体化网络匿名接入认证方法,其特征在于,卫星对接入认证请求消息的时间戳tUE进行验证包括:记录UE接入请求的时间戳tSAT;验证是否满足tSAT-tUE<Δt,若不满足,则验证失败,若满足,则验证成功;其中,Δt表示系统允许的最大时延。
6.根据权利要求1所述的一种基于NTRU的天地一体化网络匿名接入认证方法,其特征在于,验证卫星身份IDSAT和UE匿名身份SIDUE的合法性的过程包括:
网络控制中心计算卫星对UE接入认证的签名DS′,判断DS′是否与DS相等,若相等,则网络控制中心认为卫星身份合法,若不相等,则认为不合法;
网络控制中心通过自己的密钥fNCC解密UE加密的加密信息A1,A2,根据解密信息得到IDUE′和βUE′,根据IDUE′和βUE′计算校验信息Z1′和SIDUE′,判断Z1′和SIDUE′是否分别与Z1和SIDUE相等,若相等,则网络控制中心认为UE匿名身份合法,否则,则认为不合法。
7.根据权利要求1所述的一种基于NTRU的天地一体化网络匿名接入认证方法,其特征在于,网络控制中心计算接入认证请求响应包括:在格空间ξr中随机选取一个多项式αNCC;根据卫星身份IDSAT和格空间ξr中的随机多项式βUE计算校验信息Z2;基于NTRU加密体制加密Z2和βUE;根据校验信息Z2计算校验信息Z3。
8.根据权利要求1所述的一种基于NTRU的天地一体化网络匿名接入认证方法,其特征在于,卫星计算会话密钥SKSM包括:从格空间ξr中选取随机多项式βSAT,根据随机多项式βSAT计算卫星与UE之间的共享密钥算子KSM=βSAT·βUE,卫星根据共享密钥算子生成会话密钥SKSM,计算公式为:
SKSM=H3(KSM||IDSAT||SIDUE)
其中,IDSAT表示卫星的身份ID,SIDUE表示UE的匿名信息,H3()表示单向哈希函数。
9.根据权利要求1所述的一种基于NTRU的天地一体化网络匿名接入认证方法,其特征在于,卫星根据会话密钥生成接入认证请求成功响应包括:根据UE的公钥hUE分别对校验信息Z2和格空间ξr中的随机多项式βSAT进行加密,得到校验信息Z2的加密信息A5和随机多项式βSAT的加密信息A6;根据会话密钥SKSM、UE的匿名身份SIDUE、校验信息Z2和βSAT计算校验信息Z4。
10.根据权利要求1所述的一种基于NTRU的天地一体化网络匿名接入认证方法,其特征在于,UE验证卫星身份的合法性包括:UE使用自身的密钥fUE解密卫星发送的加密信息A5、A6,得到Z2和βSAT;UE计算Z2′,判断Z2′与解密得到的Z2是否相等,如果相等,则UE认为卫星是合法的,否则,则认为不合法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111510378.2A CN114339735B (zh) | 2021-12-10 | 2021-12-10 | 一种基于ntru的天地一体化网络匿名接入认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111510378.2A CN114339735B (zh) | 2021-12-10 | 2021-12-10 | 一种基于ntru的天地一体化网络匿名接入认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114339735A true CN114339735A (zh) | 2022-04-12 |
CN114339735B CN114339735B (zh) | 2023-09-08 |
Family
ID=81050417
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111510378.2A Active CN114339735B (zh) | 2021-12-10 | 2021-12-10 | 一种基于ntru的天地一体化网络匿名接入认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114339735B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116056080A (zh) * | 2022-08-18 | 2023-05-02 | 重庆邮电大学 | 一种面向低轨卫星网络的卫星切换认证方法 |
CN116056078A (zh) * | 2022-10-10 | 2023-05-02 | 西安电子科技大学 | 天地一体化场景下基于轨迹预测的高速终端安全认证方法 |
CN118102290A (zh) * | 2024-04-26 | 2024-05-28 | 华侨大学 | 基于ntru公钥加密的抗量子攻击车地认证方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107005414A (zh) * | 2014-12-09 | 2017-08-01 | 索尼公司 | 信息处理设备、信息处理方法、程序和信息处理系统 |
CN108282779A (zh) * | 2018-01-24 | 2018-07-13 | 中国科学技术大学 | 天地一体化空间信息网络低时延匿名接入认证方法 |
CN110971415A (zh) * | 2019-12-13 | 2020-04-07 | 重庆邮电大学 | 一种天地一体化空间信息网络匿名接入认证方法及系统 |
CN111586685A (zh) * | 2020-04-26 | 2020-08-25 | 重庆邮电大学 | 一种基于格的匿名漫游认证方法 |
US20210376919A1 (en) * | 2019-02-27 | 2021-12-02 | Huawei Technologies Co., Ltd. | Coordinated satellite communication method, apparatus, and system |
-
2021
- 2021-12-10 CN CN202111510378.2A patent/CN114339735B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107005414A (zh) * | 2014-12-09 | 2017-08-01 | 索尼公司 | 信息处理设备、信息处理方法、程序和信息处理系统 |
CN108282779A (zh) * | 2018-01-24 | 2018-07-13 | 中国科学技术大学 | 天地一体化空间信息网络低时延匿名接入认证方法 |
US20210376919A1 (en) * | 2019-02-27 | 2021-12-02 | Huawei Technologies Co., Ltd. | Coordinated satellite communication method, apparatus, and system |
CN110971415A (zh) * | 2019-12-13 | 2020-04-07 | 重庆邮电大学 | 一种天地一体化空间信息网络匿名接入认证方法及系统 |
CN111586685A (zh) * | 2020-04-26 | 2020-08-25 | 重庆邮电大学 | 一种基于格的匿名漫游认证方法 |
Non-Patent Citations (3)
Title |
---|
XIANG LIU: "Decentralized Anonymous Authentication With Fair Billing for Space-Ground Integrated Networks", 《IEEE TRANSACTIONS ON VEHICULAR TECHNOLOGY 》 * |
李少华: "云端卷积神经网络算法的安全增强机制研究", 《硕士电子期刊》 * |
赵国锋: "一种基于双线性配对的天地一体化网络安全身份认证方案", 《信息网络安全》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116056080A (zh) * | 2022-08-18 | 2023-05-02 | 重庆邮电大学 | 一种面向低轨卫星网络的卫星切换认证方法 |
CN116056078A (zh) * | 2022-10-10 | 2023-05-02 | 西安电子科技大学 | 天地一体化场景下基于轨迹预测的高速终端安全认证方法 |
CN116056078B (zh) * | 2022-10-10 | 2024-05-31 | 西安电子科技大学 | 天地一体化场景下基于轨迹预测的高速终端安全认证方法 |
CN118102290A (zh) * | 2024-04-26 | 2024-05-28 | 华侨大学 | 基于ntru公钥加密的抗量子攻击车地认证方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN114339735B (zh) | 2023-09-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108768608B (zh) | 在区块链pki下支持瘦客户端的隐私保护身份认证方法 | |
Lee et al. | Secure and efficient honey list-based authentication protocol for vehicular ad hoc networks | |
KR100581590B1 (ko) | 이중 요소 인증된 키 교환 방법 및 이를 이용한 인증방법과 그 방법을 포함하는 프로그램이 저장된 기록매체 | |
CN101902476B (zh) | 移动p2p用户身份认证方法 | |
Chattaraj et al. | A new two-server authentication and key agreement protocol for accessing secure cloud services | |
CN103634796B (zh) | 一种空天信息网络漫游可信安全接入方法 | |
CN108282779B (zh) | 天地一体化空间信息网络低时延匿名接入认证方法 | |
US11722887B2 (en) | Privacy protection authentication method based on wireless body area network | |
CN114339735B (zh) | 一种基于ntru的天地一体化网络匿名接入认证方法 | |
Claeys et al. | Securing complex IoT platforms with token based access control and authenticated key establishment | |
Chuang et al. | PPAS: A privacy preservation authentication scheme for vehicle-to-infrastructure communication networks | |
Mishra et al. | A pairing-free identity based authentication framework for cloud computing | |
Santos et al. | FLAT: Federated lightweight authentication for the Internet of Things | |
Patel et al. | Vehiclechain: Blockchain-based vehicular data transmission scheme for smart city | |
Zhang et al. | A Novel Privacy‐Preserving Authentication Protocol Using Bilinear Pairings for the VANET Environment | |
Mahmood et al. | A provably secure mobile user authentication scheme for big data collection in IoT-enabled maritime intelligent transportation system | |
Wazid et al. | TACAS-IoT: trust aggregation certificate-based authentication Scheme for edge-enabled IoT systems | |
CN114422106B (zh) | 一种多服务器环境下的物联网系统安全认证方法及系统 | |
CN116056080A (zh) | 一种面向低轨卫星网络的卫星切换认证方法 | |
Xie et al. | [Retracted] Provable Secure and Lightweight Vehicle Message Broadcasting Authentication Protocol with Privacy Protection for VANETs | |
Hussain et al. | An improved authentication scheme for digital rights management system | |
CN112333705B (zh) | 一种用于5g通信网络的身份认证方法及系统 | |
Chien et al. | A hybrid authentication protocol for large mobile network | |
CN114584975B (zh) | 一种基于sdn的抗量子卫星网络接入认证方法 | |
CN115955320A (zh) | 一种视频会议身份认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |