CN114679303B - 一种用于卫星互联网的源地址验证方法及装置 - Google Patents
一种用于卫星互联网的源地址验证方法及装置 Download PDFInfo
- Publication number
- CN114679303B CN114679303B CN202210209517.6A CN202210209517A CN114679303B CN 114679303 B CN114679303 B CN 114679303B CN 202210209517 A CN202210209517 A CN 202210209517A CN 114679303 B CN114679303 B CN 114679303B
- Authority
- CN
- China
- Prior art keywords
- satellite
- user terminal
- user
- state information
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/255—Maintenance or indexing of mapping tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/255—Maintenance or indexing of mapping tables
- H04L61/2553—Binding renewal aspects, e.g. using keep-alive messages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种用于卫星互联网的源地址验证方法及装置。该方法包括:确定接入设备切换时需要转移的用户状态信息;将用户状态信息发送到初始接入设备的用户终端;在接入设备切换时,利用用户终端中的用户状态信息和新接入设备协同进行绑定状态转移,以实现将用户状态信息从初始接入设备经由用户终端转移到新接入设备的锚点绑定状态表;基于锚点绑定状态表中的用户状态信息对用户终端的网络数据报文进行源地址验证,以保证报文源地址的真实性。本发明提供的方法,通过将用户状态信息发送到用户终端进行维护,在接入设备切换时由用户终端与网络侧新接入设备联动完成绑定状态转移,降低了切换卫星时的状态转移开销,提高了源地址验证性能。
Description
技术领域
本发明涉及卫星通信技术领域,具体涉及一种用于卫星互联网的源地址验证方法及装置。另外,还涉及一种电子设备及处理器可读存储介质。
背景技术
近年来,随着Starlink、OneWeb等商业巨型低轨卫星星座的快速发展,全球卫星互联网接入用户终端的数量不断增加。低轨卫星星座可以提供全球覆盖的低时延网络服务,覆盖地面互联网难以覆盖的偏远地区和海洋区域,将大大提高全球互联网用户规模。过去,对卫星通信系统的攻击主要发生在物理层,如干扰、篡改和频率阻塞等。而随着巨型星座中星间链路的出现使得攻击对象从卫星单体逐渐扩展到卫星网络,攻击手段也从底层向上层演进。作为地面互联网的扩展,巨型星座(mega constellations)与地面网络同样面临DDoS、蠕虫、DNS污染和其他形式的网络攻击威胁,并且由于卫星具有资源受限、非受控接入环境和动态拓扑等特征,巨型星座比地面网络更容易受到DDoS攻击。随着网络技术不断发展,对DDoS的防御措施也从最初在主机操作系统内核进行优化,到专业抗DDoS的硬件防火墙,再到云时代的DDoS高防IP系统。然而对于内存和算力严重受限的卫星来说,并不能支持传统安全手段如高性能防火墙的星上部署。在DDoS的攻击手段中,大部分都以伪造源地址作为攻击前奏。因此,源地址验证技术作为一种协议层面的内生安全机制,能够低成本从源头抑制伪造源地址的恶意行为,是巨型星座通常采用的抗DDoS解决方案。然而由于巨型星座中卫星的高动态性,用户与卫星的连接会发生频繁切换,导致源地址验证机制中绑定的映射关系不能维持长期稳定。每当接入卫星切换发生,用户都需要通过新的接入卫星进行完整的认证、地址分配和锚点绑定操作,造成极大的信令开销。随着巨型星座用户量不断上升和星座不断升级扩展,这种开销将占据大量星间和星地链路带宽,并对执行身份认证的网络控制中心造成冲击,形成性能和安全瓶颈,降低整体网络性能。
SAVI(Source Address Validation Improvements)技术是一种用于确保数据报文源地址真实性,使伪造地址的主机无法连接到网络的技术。SAVI透明化地实现了IP地址级别的检测粒度,且不需要在主机上部署任何额外支持。SAVI通过监听主机获取地址时交换的控制类报文,即CPS(Control Packet Snooping),在接入设备上(AP或交换机)为终端建立基于IP源地址、源MAC地址及不可被伪造的链路层属性即锚点信息(ANCHOR)的绑定关系,进而对IP数据报文进行源地址校验。只有报文源地址与绑定表项匹配时才可以转发,保证网络上数据报文源地址真实性。锚点是整个接入网源地址验证体系当中信任的基础,因此必须具有唯一性、不可欺骗性和真实性。SAVI支持有状态及无状态地址分配协议,并支持多种链路层属性作为锚点。一般而言,在有线网络中,将与主机相连的以太网交换机的物理端口作为锚点;在无线网络中,不再有具体的物理端口可以与主机绑定,常用由802.11i等技术保护的MAC地址作为锚点。SAVI设备维护由于锚点绑定状态表(BST,Binding StateTable),并分别对相应地址分配方式的数据报文进行监听和解析。目前,现有技术中的SAVI机制的核心是稳定的锚点绑定,然而在卫星互联网中锚点将随卫星节点高速移动,不再具有相对用户稳定的特性。锚点的移动性导致在新旧接入卫星之间需要频繁执行用户的状态转移。由于用户的状态维护仅在网络侧(接入卫星)执行,当接入设备切换发生后,新接入卫星将重新认证用户或者与远端锚点卫星进行交互获取用户状态,从而引入大量额外通信时延和信令开销。因此,如何提供一种卫星互联网场景下低开销、高性能的源地址验证方案成为亟待解决的难题。
发明内容
为此,本发明提供一种用于卫星互联网的源地址验证方法及装置,以解决现有技术中存在的基于SAVI技术的源地址验证方案局限性较高,从而导致在频繁切换过程中通信延迟和信令开销较大的缺陷。
第一方面,本发明提供一种用于卫星互联网的源地址验证方法,包括:
确定接入设备切换时需要转移的用户状态信息;
将所述用户状态信息发送到初始接入设备的用户终端;
在接入设备切换时,利用所述用户终端中的用户状态信息和新接入设备协同进行绑定状态转移,以实现将所述用户状态信息从所述初始接入设备经由所述用户终端转移到新接入设备的锚点绑定状态表;
基于所述锚点绑定状态表中的用户状态信息对所述用户终端的网络数据报文进行源地址验证,以保证报文源地址的真实性。
进一步的,将所述用户状态信息发送到初始接入设备的用户终端,具体包括:
将预设身份认证机制成功认证后获得的通信密钥确定为网络数据报文源地址验证中的锚点信息;
将所述锚点信息与所述用户终端的IP地址和MAC地址绑定后获得的用户状态信息存储到初始接入设备的锚点绑定状态表;
利用所述初始接入设备的私钥对所述锚点绑定状态表中的用户状态信息进行加密后发送到所述用户终端,以实现所述用户状态信息在所述用户终端的维护管理;其中,所述初始接入设备是所述用户终端当前接入的卫星设备。
进一步的,所述利用所述用户终端中的用户状态信息和新接入设备协同进行绑定状态转移,具体包括:
接收所述用户终端发送到所述新接入设备的加密后用户状态信息;
基于从IP地址中解析得到的卫星特征信息,在所述新接入设备的本地公钥对照表中查询到初始接入卫星的公钥,基于所述初始接入卫星的公钥对所述用户状态信息解密后获得初始绑定信息;
将所述初始绑定信息存储到所述新接入设备的锚点绑定状态表,以实现绑定状态迁移。
进一步的,接收所述用户终端发送到所述新接入设备的加密后用户状态信息,具体包括:接收所述用户终端发送的包含所述用户状态信息的扩展RS报文,从所述扩展RS报文提取所述用户终端发送到所述新接入设备的用户状态信息。
进一步的,所述的用于卫星互联网的源地址验证方法,还包括:预先利用加解密方法生成入轨部署阶段的初始接入设备的密钥对,并将所述初始接入设备的卫星特征信息与所述密钥对中的公钥进行绑定得到公钥对照表,将所述公钥对照表分发到卫星互联网内的所有卫星设备,并更新原始卫星设备的本地公钥对照表,以使得基于所述本地公钥对照表能够查询到卫星互联网内所有卫星设备的卫星特征信息及其公钥;其中,所述原始卫星设备包含所述初始接入设备和所述新接入设备。
进一步的,所述的用于卫星互联网的源地址验证方法,还包括:将所述卫星特征信息通过扩展RA报文嵌入到所述用户终端的IP地址结构中,以实现卫星互联网内的卫星设备在为所述用户终端提供接入服务时能够从IP地址中解析出对所述用户终端进行初始认证的卫星特征信息。
进一步的,所述的用于卫星互联网的源地址验证方法,确定所述锚点信息之前,还包括:
向所述用户终端发送包含卫星特征信息的扩展RA报文;
接收所述用户终端基于所述卫星特征信息生成的临时IP地址,并对所述临时IP地址进行重复地址检测。
第二方面,本发明还提供一种用于卫星互联网的源地址验证装置,包括:状态信息确定单元,用于确定接入设备切换时需要转移的用户状态信息;
状态信息发送单元,用于将所述用户状态信息发送到初始接入设备的用户终端;
状态转移单元,用于在接入设备切换时,利用所述用户终端中的用户状态信息和新接入设备协同进行绑定状态转移,以实现将所述用户状态信息从所述初始接入设备经由所述用户终端转移到新接入设备的锚点绑定状态表;
地址验证单元,用于基于所述锚点绑定状态表中的用户状态信息对所述用户终端的网络数据报文进行源地址验证,以保证报文源地址的真实性。
进一步的,所述状态信息发送单元,具体用于:
将预设身份认证机制成功认证后获得的通信密钥确定为网络数据报文源地址验证中的锚点信息;
将所述锚点信息与所述用户终端的IP地址和MAC地址绑定后获得的用户状态信息存储到初始接入设备的锚点绑定状态表;
利用所述初始接入设备的私钥对所述锚点绑定状态表中的用户状态信息进行加密后发送到所述用户终端,以实现所述用户状态信息在所述用户终端的维护管理;其中,所述初始接入设备是所述用户终端当前接入的卫星设备。
进一步的,所述状态转移单元,具体用于:
接收所述用户终端发送到所述新接入设备的加密后用户状态信息;
基于从IP地址中解析得到的卫星特征信息,在所述新接入设备的本地公钥对照表中查询到初始接入卫星的公钥,基于所述初始接入卫星的公钥对所述用户状态信息解密后获得初始绑定信息;
将所述初始绑定信息存储到所述新接入设备的锚点绑定状态表,以实现绑定状态迁移。
进一步的,接收所述用户终端发送到所述新接入设备的加密后用户状态信息,具体包括:接收所述用户终端发送的包含所述用户状态信息的扩展RS报文,从所述扩展RS报文提取所述用户终端发送到所述新接入设备的用户状态信息。
进一步的,所述的用于卫星互联网的源地址验证装置,还包括:初始配置单元,用于预先利用加解密方法生成入轨部署阶段的初始接入设备的密钥对,并将所述初始接入设备的卫星特征信息与所述密钥对中的公钥进行绑定得到公钥对照表,将所述公钥对照表分发到卫星互联网内的所有卫星设备,并更新原始卫星设备的本地公钥对照表,以使得基于所述本地公钥对照表能够查询到卫星互联网内所有卫星设备的卫星特征信息及其公钥;其中,所述原始卫星设备包含所述初始接入设备和所述新接入设备。
进一步的,所述的用于卫星互联网的源地址验证装置,还包括:地址嵌入单元,用于将所述卫星特征信息通过扩展RA报文嵌入到所述用户终端的IP地址结构中,以实现卫星互联网内的卫星设备在为所述用户终端提供接入服务时能够从IP地址中解析出对所述用户终端进行初始认证的卫星特征信息。
进一步的,所述的用于卫星互联网的源地址验证装置,确定所述锚点信息之前,还包括:
RA报文发送单元,用于向所述用户终端发送包含卫星特征信息的扩展RA报文;
地址检测单元,用于接收所述用户终端基于所述卫星特征信息生成的临时IP地址,并对所述临时IP地址进行重复地址检测,待完成重复地址检测之后将所述通信密钥确定为网络数据报文源地址验证中的锚点信息。
第三方面,本发明还提供一种电子设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行所述计算机程序时实现如上述任意一项所述的用于卫星互联网的源地址验证方法的步骤。
第四方面,本发明还提供一种处理器可读存储介质,所述处理器可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现如上述任意一项所述的用于卫星互联网的源地址验证方法的步骤。
本发明提供的用于卫星互联网的源地址验证方法,通过将用户状态信息发送到用户终端进行维护,在接入设备切换时由用户终端与网络侧新接入设备联动完成绑定状态转移,从而大幅降低切换卫星时的状态转移开销,避免出现绕路、信令风暴等现象,提升卫星互联网场景中源地址验证的性能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获取其他的附图。
图1是本发明实施例提供的用于卫星互联网的源地址验证方法的流程示意图;
图2是本发明实施例提供的用户终端接入设备切换的示意图;
图3是本发明实施例提供的对RA报文进行扩展的示意图;
图4是本发明实施例提供的将卫星特征信息嵌入IP地址的示意图;
图5是本发明实施例提供的锚点绑定状态表的示意图;
图6是本发明实施例提供的对RS报文进行扩展的示意图;
图7是本发明实施例提供的用于卫星互联网的源地址验证方法的具体实例示意图;
图8是本发明实施例提供的用于卫星互联网的源地址验证装置的结构示意图;
图9是本发明实施例提供的电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获取的所有其他实施例,都属于本发明保护的范围。
下面基于本发明所述的用于卫星互联网的源地址验证方法,对其实施例进行详细描述。如图1所示,其为本发明实施例提供的用于卫星互联网的源地址验证方法的流程示意图,具体实现过程包括以下步骤:
步骤101:确定接入设备切换时需要转移的用户状态信息。
在本发明实施例中,首选需要分解出接入设备(如接入卫星)切换时所述初始接入设备(如初始接入卫星)中需要转移的用户状态信息,后续操作采用如非对称加密等加密算法保证状态转移的安全性。
具体的,所述用户状态信息包含用户终端的IP地址(Internet ProtocolAddress)、MAC地址(Media Access Control Address)以及锚点信息。所述锚点信息为通过预设身份认证机制成功认证后获得的通信密钥,可通过将所述锚点信息与所述用户终端的IP地址和MAC地址绑定后得到本步骤所述的用户状态信息。
本发明实现过程为基于卫星互联网的用户终端切换接入设备场景,具体涉及用户终端、地面网络控制中心以及卫星互联网。其中,用户终端能够直接向接入设备发送数据包;地面网络控制中心能够用于完成用户终端的身份认证;所述卫星互联网包含多个用于为用户终端提供网络服务的接入设备。除此之外,在本发明实施例中,还需要配置现有接入设备上存储的信息,比如预先配置公钥对照表和锚点绑定状态表。基于公钥对照表能够根据卫星特征信息(比如卫星编号等)查询对应卫星的公钥。锚点绑定状态表用于存储经过验证的锚点绑定条目(即用户状态信息对应的条目),在数据平面基于该锚点绑定状态表能够完成用户数据报文源地址的验证,以确保数据报文源地址真实性、使伪造地址的主机无法连接到卫星网络。
步骤102:将所述用户状态信息发送到初始接入设备的用户终端。
在本发明实施例中,可将SAVI机制中的用户状态信息维护主体由网络侧扩展至用户侧,通过端网协同实现接入设备切换时的绑定状态转移,以替代原机制中需要传输到网络侧的NCC(Network Control Center,网络控制中心)或接入设备进行的传统验证方式,从而降低切换卫星时的状态转移开销,提升卫星互联网场景中源地址验证性能。
具体的,如图2所示,将传统SAVI技术中只由网络侧管理的用户状态信息分解到用户终端与网络侧协同管理,即将用户状态信息发送到用户终端进行维护管理,在接入设备切换时由用户终端与网络侧的新接入设备(如新接入卫星)联动完成用户状态转移。通过预先在IP地址中嵌入卫星特征信息(比如卫星编号等),并将其作为用户终端初次接入时网络侧基础设施(如接入卫星)的稳定标识,以使得后续任意新接入设备均可从用户终端的IP地址解析出相应的标识,从而查询到解密相应用户状态信息所需的元素。通过加解密技术(比如非对称加密算法等)将加密后初始的用户状态信息存放于用户终端,每次接入设备切换后用户终端将该初始的用户状态信息发送到新接入设备进行解密验证和重绑定,完成状态信息的迁移,从而保证在尚未身份认证的明文环境下,用户状态信息从上一接入设备在经由用户终端转移到新接入设备过程中的安全性。通过将通信密钥选作SAVI技术中的锚点,在状态转移完成后新接入设备便获得该通信密钥,在后续与用户终端之间的数据通信中可继续使用该通信密钥,从而有效避免重新认证和密钥协商过程,使得用户终端仅在首次接入卫星时需进行身份认证。其中,所述的初始接入设备(如初始接入卫星)可以是指用户终端在卫星互联网中当前接入的卫星设备。所述新接入设备可以是指用户终端在接入设备切换后将要接入的卫星设备。
本步骤具体实现过程中,首先可将预设身份认证机制成功认证后获得的通信密钥确定为网络数据报文源地址验证中的锚点信息,避免接入设备切换后为获得通信密钥重新执行身份认证过程;并将所述锚点信息与所述用户终端的IP地址和MAC地址绑定后获得的用户状态信息作为新条目插入到初始接入设备的锚点绑定状态表,绑定状态表如图5所示;然后,利用所述初始接入设备的私钥对所述锚点绑定状态表中的用户状态信息进行加密后发送到所述用户终端,以实现所述用户状态信息在所述用户终端的维护管理。其中,所述初始接入设备是所述用户终端当前接入的卫星设备。需要说明的是,所述卫星设备需要预先向所述用户终端发送包含卫星特征信息的扩展RA(Router Advertisement路由器通告)报文;并接收所述用户终端基于所述卫星特征信息生成的临时IP地址,并对所述临时IP地址进行重复地址检测。
步骤103:在接入设备切换时,利用所述用户终端中的用户状态信息和新接入设备协同进行绑定状态转移,以实现将所述用户状态信息从所述初始接入设备经由所述用户终端转移到新接入设备的锚点绑定状态表。
在本发明实施例中,需要预先利用加解密方法生成入轨部署阶段的初始卫星设备的密钥对,并将所述初始卫星设备的卫星特征信息与所述密钥对中的公钥进行绑定得到公钥对照表,将所述公钥对照表分发到卫星互联网内的原始卫星设备(其他所有卫星设备),并更新原始卫星设备的本地公钥对照表,以使得基于所述本地公钥对照表能够查询到卫星互联网内所有卫星设备的卫星特征信息及其公钥。其中,所述原始卫星设备包含所述初始接入设备和所述新接入设备。如图3和4所示,对RA报文进行扩展,将卫星特征信息通过扩展RA报文嵌入到用户终端的IP地址结构(如IPv6地址结构)中,以实现卫星互联网内的卫星设备在为所述用户终端提供接入服务时能够从IP地址中解析出对所述用户终端进行初始认证的卫星特征信息。
本步骤具体实现过程中,接入设备切换时,首先接收所述用户终端发送到所述新接入设备的加密后用户状态信息;基于从IP地址中解析得到的卫星特征信息,在所述新接入设备的本地公钥对照表中查询到初始接入卫星的公钥,基于所述初始接入卫星的公钥对所述用户状态信息解密后获得初始绑定信息,从而将所述初始绑定信息存储到所述新接入设备的锚点绑定状态表,以实现绑定状态迁移。其中,接收所述用户终端发送到所述新接入设备的加密后用户状态信息可通过扩展RS报文实现。具体的,如图6所示,对RS(RouterSolicitation,路由器请求)报文进行扩展,通过用户终端将初始接入卫星私钥签名过的用户状态信息发送到新接入卫星,实现用户终端未进行身份认证获取通信秘钥的情况下便能够与新接入卫星的通信;通过新接入卫星对该用户状态信息进行验签操作,从而确认该用户状态信息的真实性;将该用户状态信息添加到新接入卫星的本地锚点绑定状态表,以完成该用户终端的用户状态信息的安全迁移。
步骤104:基于所述锚点绑定状态表中的用户状态信息对所述用户终端的网络数据报文进行源地址验证,以保证报文源地址的真实性。
如图7所示,本发明提供的一个具体实施例包括:
在入轨部署阶段,接入卫星为用户终端提供服务前,通过预设的加密算法(比如RSA加密算法等)生成当前入轨卫星的公私密钥对(PubS||PriS),并将该卫星编号SatID与自身公钥PubS绑定形成公钥对照表(SatID||PubS),通过地站或高轨卫星分发到星座内其他卫星(即卫星互联网内的原始卫星设备),并请求更新原始卫星设备内相应的本地公钥对照表,收敛完成后每个原始卫星设备的本地公钥对照表都将包含本星座所有卫星的特征信息(比如卫星编号等)与公钥,分发方式可借助卫星网络的路由协议扩展实现公钥信息的交换同步,也可以通过地站或高轨卫星控制节点集中收集公钥再分发给其他卫星。
在身份认证阶段,可通过具体的身份认证机制认证成功后获得通信密钥,本发明以802.1x协议架构为示例进行说明,则认证成功后将通过密钥消息报文EAPoL-Key从初始接入设备获得通信密钥Key。
在地址分配阶段,可采用无状态配置方式,下面以一种地理位置编址为例进行说明,初始接入卫星通过扩展的RA报文将地址前缀Prefix与卫星特征信息SatInfo(例如卫星编号SatID和轨道Orbit)发送至用户终端,用户终端结合自身的位置信息Location以及接口地址InterfaceID生成临时IPv6地址(即临时IP地址),并通过NS报文发回初始接入卫星进行重复地址检测。
在初绑定阶段,初始接入卫星对临时IP地址完成重复地址检测后,将通信密钥Key作为源地址验证的锚点信息,与用户终端的MAC地址及IPv6地址绑定形成用户状态信息M,添加到初始接入卫星的源地址验证的锚点绑定状态表中,并为相应条目设定生命周期,用自身私钥PriS对用户状态信息M签名后得到加密后的用户状态信息M’,签名过程M’=PriS(MAC||IPv6||Key)。初始接入卫星将加密后的用户状态信息M’发送给用户终端的方案可能有多种,本发明采用的NA扩展报文是指在NA报文的扩展Options字段引入新的扩展项Source Encrypted Validation Message,用于将加密后的用户状态信息M’发送至用户终端。
在重绑定阶段,用户终端切换到新接入卫星后,新接入卫星上并没有该用户终端的通信秘钥Key,因此无法发起加密通信,需要首先接收用户终端发送的加密后的用户状态信息M’。用户终端将加密后的用户状态信息M’发送给新接入卫星的方案可能有多种,本发明采用的RS扩展报文是指在RS报文的扩展Options字段引入新的扩展项Source EncryptedValidation Message,用于将加密后的用户状态信息M’发送至新接入卫星。新接入卫星通过从用户终端的IPv6地址中解析出的初始接入卫星的编号SatID,在本地公钥对照表中查询到初始接入卫星的公钥PubS,对加密后的用户状态信息M’验签后获得初始的用户状态信息M,验签过程M=PubS(M’),在本地的锚点绑定状态表进行查询,若查询成功,说明该用户终端曾经接入本卫星,则重置该条目的生命周期,若查询失败,则将用户状态信息M与当前用户终端的MAC地址、IPv6地址进行匹配验证,匹配通过则将其作为新条目添加到新接入卫星的本地绑定状态表,并设定生命周期。在内存回收阶段,为节省卫星上存储空间以及提高锚点绑定表的匹配效率,绑定状态表中相应的条目对应设定的生命周期归零则自动删除,每次重绑定成功将刷新相应条目生命周期。通过新接入卫星通知用户终端此后将使用通信密钥Key用于后续网络数据报文传输的加密。
采用本发明实施例所述的用于卫星互联网的源地址验证方法,通过将用户状态信息发送到用户终端进行维护,在接入设备切换时由用户终端与网络侧新接入设备联动完成绑定状态转移,从而大幅降低切换卫星时的状态转移开销,提升卫星互联网场景中源地址验证的性能。
与上述提供的一种用于卫星互联网的源地址验证方法相对应,本发明还提供一种用于卫星互联网的源地址验证装置。由于该装置的实施例相似于上述方法实施例,所以描述得比较简单,相关之处请参见上述方法实施例部分的说明即可,下面描述的用于卫星互联网的源地址验证装置的实施例仅是示意性的。请参考图8所示,其为本发明实施例提供的一种用于卫星互联网的源地址验证装置的结构示意图。
本发明所述的用于卫星互联网的源地址验证装置,具体包括如下部分:
状态信息确定单元801,用于确定接入设备切换时需要转移的用户状态信息;
状态信息发送单元802,用于将所述用户状态信息发送到初始接入设备的用户终端;
状态转移单元803,用于在接入设备切换时,利用所述用户终端中的用户状态信息和新接入设备协同进行绑定状态转移,以实现将所述用户状态信息从所述初始接入设备经由所述用户终端转移到新接入设备的锚点绑定状态表;
地址验证单元804,用于基于所述锚点绑定状态表中的用户状态信息对所述用户终端的网络数据报文进行源地址验证,以保证报文源地址的真实性。
进一步的,所述状态信息发送单元,具体用于:
将预设身份认证机制成功认证后获得的通信密钥确定为网络数据报文源地址验证中的锚点信息;
将所述锚点信息与所述用户终端的IP地址和MAC地址绑定后获得的用户状态信息存储到初始接入设备的锚点绑定状态表;
利用所述初始接入设备的私钥对所述锚点绑定状态表中的用户状态信息进行加密后发送到所述用户终端,以实现所述用户状态信息在所述用户终端的维护管理;其中,所述初始接入设备是所述用户终端当前接入的卫星设备。
进一步的,所述状态转移单元,具体用于:
接收所述用户终端发送到所述新接入设备的加密后用户状态信息;
基于从IP地址中解析得到的卫星特征信息,在所述新接入设备的本地公钥对照表中查询到初始接入卫星的公钥,基于所述初始接入卫星的公钥对所述用户状态信息解密后获得初始绑定信息;
将所述初始绑定信息存储到所述新接入设备的锚点绑定状态表,以实现绑定状态迁移。
进一步的,接收所述用户终端发送到所述新接入设备的加密后用户状态信息,具体包括:接收所述用户终端发送的包含所述用户状态信息的扩展RS报文,从所述扩展RS报文提取所述用户终端发送到所述新接入设备的用户状态信息。
进一步的,所述的用于卫星互联网的源地址验证装置,还包括:初始配置单元,用于预先利用加解密方法生成入轨部署阶段的初始卫星设备的密钥对,并将所述初始卫星设备的卫星特征信息与所述密钥对中的公钥进行绑定得到公钥对照表,将所述公钥对照表分发到卫星互联网内的原始卫星设备,并更新原始卫星设备的本地公钥对照表,以使得基于所述本地公钥对照表能够查询到卫星互联网内所有卫星设备的卫星特征信息及其公钥;其中,所述原始卫星设备包含所述初始接入设备和所述新接入设备。
进一步的,所述的用于卫星互联网的源地址验证装置,还包括:地址嵌入单元,用于将所述卫星特征信息通过扩展RA报文嵌入到所述用户终端的IP地址结构中,以实现卫星互联网内的卫星设备在为所述用户终端提供接入服务时能够从IP地址中解析出对所述用户终端进行初始认证的卫星特征信息。
进一步的,所述的用于卫星互联网的源地址验证装置,确定所述锚点信息之前,还包括:
RA报文发送单元,用于向所述用户终端发送包含卫星特征信息的扩展RA报文;
地址检测单元,用于接收所述用户终端基于所述卫星特征信息生成的临时IP地址,并对所述临时IP地址进行重复地址检测,从而在完成重复地址检测之后将所述通信密钥确定为网络数据报文源地址验证中的锚点信息。
采用本发明实施例所述的用于卫星互联网的源地址验证装置,通过将用户状态信息发送到用户终端进行维护,在接入设备切换时由用户终端与网络侧新接入设备联动完成绑定状态转移,从而大幅降低切换卫星时的状态转移开销,提升卫星互联网场景中源地址验证的性能。
与上述提供的用于卫星互联网的源地址验证方法相对应,本发明还提供一种电子设备。由于该电子设备的实施例相似于上述方法实施例,所以描述得比较简单,相关之处请参见上述方法实施例部分的说明即可,下面描述的电子设备仅是示意性的。如图9所示,其为本发明实施例公开的一种电子设备的实体结构示意图。该电子设备可以包括:处理器(processor)901、存储器(memory)902和通信总线903,其中,处理器901,存储器902通过通信总线903完成相互间的通信,通过通信接口904与外部进行通信。处理器901可以调用存储器902中的逻辑指令,以执行用于卫星互联网的源地址验证方法,该方法包括:确定接入设备切换时需要转移的用户状态信息;将所述用户状态信息发送到初始接入设备的用户终端;在接入设备切换时,利用所述用户终端中的用户状态信息和新接入设备协同进行绑定状态转移,以实现将所述用户状态信息从所述初始接入设备经由所述用户终端转移到新接入设备的锚点绑定状态表;基于所述锚点绑定状态表中的用户状态信息对所述用户终端的网络数据报文进行源地址验证,以保证报文源地址的真实性。
此外,上述的存储器902中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:存储芯片、U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括存储在处理器可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的用于卫星互联网的源地址验证方法。该方法包括:确定接入设备切换时需要转移的用户状态信息;将所述用户状态信息发送到初始接入设备的用户终端;在接入设备切换时,利用所述用户终端中的用户状态信息和新接入设备协同进行绑定状态转移,以实现将所述用户状态信息从所述初始接入设备经由所述用户终端转移到新接入设备的锚点绑定状态表;基于所述锚点绑定状态表中的用户状态信息对所述用户终端的网络数据报文进行源地址验证,以保证报文源地址的真实性。
又一方面,本发明实施例还提供一种处理器可读存储介质,所述处理器可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的用于卫星互联网的源地址验证方法。该方法包括:确定接入设备切换时需要转移的用户状态信息;将所述用户状态信息发送到初始接入设备的用户终端;在接入设备切换时,利用所述用户终端中的用户状态信息和新接入设备协同进行绑定状态转移,以实现将所述用户状态信息从所述初始接入设备经由所述用户终端转移到新接入设备的锚点绑定状态表;基于所述锚点绑定状态表中的用户状态信息对所述用户终端的网络数据报文进行源地址验证,以保证报文源地址的真实性。
所述处理器可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD))等。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种用于卫星互联网的源地址验证方法,其特征在于,包括:
确定接入设备切换时需要转移的用户状态信息;所述用户状态信息包含用户终端的IP地址、MAC地址以及锚点信息;
将所述用户状态信息发送到初始接入设备的用户终端;
在接入设备切换时,利用所述用户终端中的用户状态信息和新接入设备协同进行绑定状态转移,以实现将所述用户状态信息从所述初始接入设备经由所述用户终端转移到新接入设备的锚点绑定状态表;所述锚点绑定状态表用于存储经过验证的锚点绑定条目,所述锚点绑定条目为用户状态信息对应的条目;
所述利用所述用户终端中的用户状态信息和新接入设备协同进行绑定状态转移,具体包括:接收所述用户终端发送到所述新接入设备的加密后用户状态信息;基于从IP地址中解析得到的卫星特征信息,在所述新接入设备的本地公钥对照表中查询到初始接入卫星的公钥,基于所述初始接入卫星的公钥对所述用户状态信息解密后获得初始绑定信息;将所述初始绑定信息存储到所述新接入设备的锚点绑定状态表,以实现绑定状态迁移;
基于所述锚点绑定状态表中的用户状态信息对所述用户终端的网络数据报文进行源地址验证,以保证报文源地址的真实性。
2.根据权利要求1所述的用于卫星互联网的源地址验证方法,其特征在于,将所述用户状态信息发送到初始接入设备的用户终端,具体包括:
将预设身份认证机制成功认证后获得的通信密钥确定为网络数据报文源地址验证中的锚点信息;
将所述锚点信息与所述用户终端的IP地址和MAC地址绑定后获得的用户状态信息存储到初始接入设备的锚点绑定状态表;
利用所述初始接入设备的私钥对所述锚点绑定状态表中的用户状态信息进行加密后发送到所述用户终端,以实现所述用户状态信息在所述用户终端的维护管理;其中,所述初始接入设备是所述用户终端当前接入的卫星设备。
3.根据权利要求1所述的用于卫星互联网的源地址验证方法,其特征在于,接收所述用户终端发送到所述新接入设备的加密后用户状态信息,具体包括:接收所述用户终端发送的包含所述用户状态信息的扩展RS报文,从所述扩展RS报文提取所述用户终端发送到所述新接入设备的用户状态信息。
4.根据权利要求1所述的用于卫星互联网的源地址验证方法,其特征在于,还包括:预先利用加解密方法生成入轨部署阶段的初始接入设备的密钥对,并将所述初始接入设备的卫星特征信息与所述密钥对中的公钥进行绑定得到公钥对照表,将所述公钥对照表分发到卫星互联网内的所有卫星设备,并更新原始卫星设备的本地公钥对照表,以使得基于所述本地公钥对照表能够查询到卫星互联网内所有卫星设备的卫星特征信息及其公钥;其中,所述原始卫星设备包含所述初始接入设备和所述新接入设备。
5.根据权利要求4所述的用于卫星互联网的源地址验证方法,其特征在于,还包括:将所述卫星特征信息通过扩展RA报文嵌入到所述用户终端的IP地址结构中,以实现卫星互联网内的卫星设备在为所述用户终端提供接入服务时能够从IP地址中解析出对所述用户终端进行初始认证的卫星特征信息。
6.根据权利要求2所述的用于卫星互联网的源地址验证方法,其特征在于,确定所述锚点信息之前,还包括:
向所述用户终端发送包含卫星特征信息的扩展RA报文;
接收所述用户终端基于所述卫星特征信息生成的临时IP地址,并对所述临时IP地址进行重复地址检测。
7.一种用于卫星互联网的源地址验证装置,其特征在于,包括:
状态信息确定单元,用于确定接入设备切换时需要转移的用户状态信息;所述用户状态信息包含用户终端的IP地址、MAC地址以及锚点信息;
状态信息发送单元,用于将所述用户状态信息发送到初始接入设备的用户终端;
状态转移单元,用于在接入设备切换时,利用所述用户终端中的用户状态信息和新接入设备协同进行绑定状态转移,以实现将所述用户状态信息从所述初始接入设备经由所述用户终端转移到新接入设备的锚点绑定状态表;所述锚点绑定状态表用于存储经过验证的锚点绑定条目,所述锚点绑定条目为用户状态信息对应的条目;所述利用所述用户终端中的用户状态信息和新接入设备协同进行绑定状态转移,具体包括:接收所述用户终端发送到所述新接入设备的加密后用户状态信息;基于从IP地址中解析得到的卫星特征信息,在所述新接入设备的本地公钥对照表中查询到初始接入卫星的公钥,基于所述初始接入卫星的公钥对所述用户状态信息解密后获得初始绑定信息;将所述初始绑定信息存储到所述新接入设备的锚点绑定状态表,以实现绑定状态迁移;
地址验证单元,用于基于所述锚点绑定状态表中的用户状态信息对所述用户终端的网络数据报文进行源地址验证,以保证报文源地址的真实性。
8.一种电子设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6任意一项所述的用于卫星互联网的源地址验证方法的步骤。
9.一种处理器可读存储介质,所述处理器可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任意一项所述的用于卫星互联网的源地址验证方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210209517.6A CN114679303B (zh) | 2022-03-04 | 2022-03-04 | 一种用于卫星互联网的源地址验证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210209517.6A CN114679303B (zh) | 2022-03-04 | 2022-03-04 | 一种用于卫星互联网的源地址验证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114679303A CN114679303A (zh) | 2022-06-28 |
| CN114679303B true CN114679303B (zh) | 2023-04-07 |
Family
ID=82072825
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210209517.6A Active CN114679303B (zh) | 2022-03-04 | 2022-03-04 | 一种用于卫星互联网的源地址验证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114679303B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115694600B (zh) * | 2022-09-20 | 2023-08-29 | 航天科工空间工程网络技术发展(杭州)有限公司 | 一种卫星终端的关联注册方法、关联注册系统 |
| CN116032344A (zh) * | 2022-11-15 | 2023-04-28 | 清华大学 | 网元状态管理方法、装置、电子设备及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107147489A (zh) * | 2017-05-02 | 2017-09-08 | 南京理工大学 | 一种leo卫星网络内分布式的接入认证管理方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100705579B1 (ko) * | 2005-08-01 | 2007-04-10 | 삼성전자주식회사 | 복합망을 이용한 핸드오프 구현 시스템 및 그 방법 |
| CN1984436A (zh) * | 2005-12-15 | 2007-06-20 | 上海原动力通信科技有限公司 | 不同接入系统之间移动性管理系统及管理方法 |
| CN100450304C (zh) * | 2006-01-24 | 2009-01-07 | 华为技术有限公司 | 无线通信系统中状态转移的实现方法及装置 |
| CN112332901B (zh) * | 2020-09-29 | 2022-01-11 | 北京邮电大学 | 一种天地一体化移动接入认证方法及装置 |
-
2022
- 2022-03-04 CN CN202210209517.6A patent/CN114679303B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107147489A (zh) * | 2017-05-02 | 2017-09-08 | 南京理工大学 | 一种leo卫星网络内分布式的接入认证管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114679303A (zh) | 2022-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7702901B2 (en) | Secure communications between internet and remote client | |
| JP5597676B2 (ja) | 鍵マテリアルの交換 | |
| CN101616410B (zh) | 一种蜂窝移动通信网络的接入方法和系统 | |
| EP3633949B1 (en) | Method and system for performing ssl handshake | |
| CN114679303B (zh) | 一种用于卫星互联网的源地址验证方法及装置 | |
| Park et al. | Lightweight secure communication for CoAP-enabled internet of things using delegated DTLS handshake | |
| WO2002068418A2 (en) | Authentication and distribution of keys in mobile ip network | |
| CN110493367B (zh) | 无地址的IPv6非公开服务器、客户机与通信方法 | |
| CN112332901B (zh) | 一种天地一体化移动接入认证方法及装置 | |
| EP3472969B1 (en) | A key generation and distribution method based on identity-based cryptography | |
| JP2004241976A (ja) | 移動通信ネットワークシステムおよび移動端末認証方法 | |
| CN114726523B (zh) | 密码应用服务系统和量子安全能力开放平台 | |
| US7933253B2 (en) | Return routability optimisation | |
| CN112788594B (zh) | 数据传输方法、装置和系统、电子设备、存储介质 | |
| US20240195839A1 (en) | Data transmission method and related device | |
| Jacob et al. | Security of current Mobile IP solutions | |
| Li et al. | SDN-Ti: a general solution based on SDN to attacker traceback and identification in IPv6 networks | |
| CN107888383B (zh) | 登录认证方法及装置 | |
| US20080222693A1 (en) | Multiple security groups with common keys on distributed networks | |
| Merlino et al. | Infrastructure-centric, NetworkServer-agnostic LoRaWAN Roaming | |
| CN100536471C (zh) | 一种家乡代理信令消息有效保护方法 | |
| Jara et al. | Secure mobility management scheme for 6lowpan id/locator split architecture | |
| WO2023125642A1 (zh) | 认证和/或密钥管理方法、第一设备、终端及通信设备 | |
| US20240137757A1 (en) | Systems and methods for authorization of proximity based services | |
| CN117914525A (zh) | 一种数据报文处理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |