CN114826651B

CN114826651B - 一种面向低轨卫星网络的轻量无证书认证方法

Info

Publication number: CN114826651B
Application number: CN202210227277.2A
Authority: CN
Inventors: 吴奇; 张毅; 徐川; 周霜霜; 贺杨洪
Original assignee: Chongqing University of Post and Telecommunications
Current assignee: Chongqing University of Post and Telecommunications
Priority date: 2022-03-08
Filing date: 2022-03-08
Publication date: 2023-07-18
Anticipated expiration: 2042-03-08
Also published as: CN114826651A

Abstract

本发明涉及卫星网络安全领域，具体涉及一种面向低轨卫星网络的轻量无证书认证方法，包括构建包括密钥生成中心、卫星和用户终端的无证书认证系统；卫星和用户终端分别向密钥生成中心申请密钥；卫星和用户终端接收并验证密钥生成中心返回的公私钥对；卫星和用户终端进行双向身份认证；本发明中的认证算法基于CDH假设和DL困难问题，通过群上少量群上点乘运算和群上点加运算构造无证书认证方案，避免了复杂的双线性配对运算，减少了计算开销，并且没有密钥托管问题；在保证安全的前提下，整个认证过程轻量且高效，适用于资源受限的低轨卫星网络。

Description

一种面向低轨卫星网络的轻量无证书认证方法

技术领域

本发明涉及卫星网络安全领域，尤其涉及一种面向低轨卫星网络的轻量无证书认证方法。

背景技术

低轨(low earth orbit,LEO)卫星网络具有低时延、通信功耗小、机动性高等优势，可以有效弥补传统地基网络覆盖不足的特点。由于其在天基通信、全球导航、资源探测、环境监测、专用通信、应急救援等民用、商用、军用领域发挥着不可替代的特殊功能与作用，近年来，受到了学术界和工业界的广泛关注。

但是LEO卫星网络具有节点暴露、信道开放、资源受限、网络拓扑结构高动态变化、用户终端海量等特点，导致用户接入LEO卫星网络容易遭受欺骗、恶意拦截、信息窃取等问题，同时，LEO卫星网络相对于传统卫星网络链路切换更加频繁，对认证时延更加敏感。而传统卫星场景的认证方案主要采取用户到卫星再到地面控制中心的方式，使得认证时延依赖星上路由性能且存在额外传播时延，导致认证时延过大且不稳定，所以并不能很好适用于LEO卫星网络。为了满足LEO卫星网络低时延通信要求，基于身份(Identity-BasedCryptography,IBC)的LEO卫星认证方案逐渐被提出。IBC认证过程无需第三方参与，可以很好降低认证时延，但是需要一个完全的信任的KGC，所以存在密钥托管问题。而无证书密码体制(Certificateless Public Key Cryptography,CL-PKC)可以提供端到端的认证方式同时避免密钥托管问题，并且可以很好的应用在LEO卫星网络中。然而，目前面向LEO卫星网络无证书认证方案研究较少，且存在计算量过大、认证流程复杂的问题。

发明内容

为解决上述问题，本发明提供一种面向低轨卫星网络的轻量无证书认证方法，包括以下步骤：

S1.构建无证书认证系统，该系统包括密钥生成中心、卫星和用户终端；

S2.卫星和用户终端分别向密钥生成中心申请密钥；

S3.卫星和用户终端接收并验证密钥生成中心返回的公私钥对；

S4.卫星和用户终端进行双向身份认证。

进一步的，无证书认证系统进行初始化，密钥生成中心选取阶数为q的循环群G，其中q为大素数，P为G的一个生成元，定义：无证书认证系统的公开参数为params＝＜q,P,G,P_pub,H₁,H₂＞，P_pub为无证书认证系统的公钥，且s_m为密钥生成中心随机选取的无证书认证系统的主密钥，且s_m∈Z_q ^*，H₁,H₂为单向哈希函数，l_u为设备身份标识符ID的长度，l_m为发送消息的长度。

进一步的，设用户终端的身份标识符为用户终端向密钥生成中心申请密钥的过程为：

用户终端随机选取秘密值根据秘密值/>计算公开参数/>并通过安全通道发送/>到密钥生成中心；

密钥生成中心收到后，选取用户随机数/>计算用户的公私密钥并通过安全信道将公私密钥/>返回给用户终端；

设卫星的身份标识符为卫星向密钥生成中心申请密钥的过程为：

卫星随机选取秘密值根据秘密值/>计算公开参数/>并通过安全通道发送/>到密钥生成中心；

密钥生成中心收到后，选取卫星随机数/>计算卫星的公私密钥通过安全信道将公私密钥/>返回给卫星；

其中，Z_q ^*表示小于大素数q的正整数。

进一步的，密钥生成中心计算公私密钥的公式为：

Y_ID＝r_IDP；

y_U＝r_ID+s_mH₁(ID_U,X_ID,Y_ID)；

其中，Y_ID表示密钥生成中心生成的用户终端公钥或卫星公钥，r_ID表示用户随机数或卫星随机数，y_U表示密钥生成中心生成的用户终端私钥或卫星私钥，s_m表示密钥生成中心随机选取的系统主密钥，ID_U表示用户终端或卫星的身份标识符，X_ID表示用户终端或卫星的公开参数，H₁(·)表示单向哈希函数。

进一步的，用户终端判断密钥生成中心返回的公私密钥的合法性，包括：

判断等式是否成立，若不成立，则公私密钥不合法，用户终端重新向密钥密钥生成中心申请密钥，否则，公私密钥合法，用户终端生成的公钥为/>私钥为/>

卫星判断密钥生成中心返回的公私密钥的合法性，包括：

判断等式是否成立，若不成立，则公私密钥不合法，卫星重新向密钥生成中心申请密钥，否则，公私密钥合法，卫星生成的公钥为私钥为/>

其中，P为循环群G的一个生成元，P_pub表示无证书认证系统的公钥，H₁(·)表示单向哈希函数。

进一步的，采用用户终端A和卫星S进行双向身份认证，包括：

S11.用户终端A选取随机数a₁计算中间变量Q_A，根据当前时间戳T_A和中间变量Q_A计算参数h_A,1，并生成用户签名V_A，将包括用户签名的消息m_A发送给卫星S；

S12.卫星S判断T-T_A≤ΔT是否成立，若不成立，则结束认证流程，否则卫星S计算参数h_A,1′、h_A并判断等式V_AP＝h_A,1′x₁(X_A+Y_A+P_pubh_A)-Q_A是否成立，若成立，则用户A通过卫星S的身份合法性验证，执行步骤S13，否则结束认证流程；

S13.卫星S选取随机数s₁计算中间变量Q_S，根据当前时间戳T_S和中间变量Q_S计算参数h_S,1，并生成卫星签名V_S，将包括卫星签名V_S的消息m_S发送给用户A；

S14.用户A判断T-T_S≤ΔT是否成立，若不成立，则结束认证流程，否则用户A计算参数h_S,1′、h_S并验证等式V_SP＝h_S,1′x₂(X_S+Y_S+P_pubh_S)-Q_S是否成立，若成立，则用户S和用户A完成身份双向认证，否则身份双向认证失败；

其中，T表示用户终端或卫星收到消息时的时间戳，ΔT表示无证书认证系统容忍的最大时延，a₁∈Z_q ^*，s₁∈Z_q ^*，Z_q ^*表示小于大素数q的正整数，x₁为用户终端随机选取的秘密值，X_A为用户终端计算的公开参数，Y_A为密钥生成中心返回给用户终端的公钥，P_pub表示无证书认证系统的公钥，x₂为卫星随机选取的秘密值，X_S为卫星计算的公开参数，Y_S为密钥生成中心返回给卫星的公钥。

本发明的有益效果：

本发明提供了一种面向低轨卫星网络的轻量无证书认证方法，使得接入认证过程无需地面管理中心参与，避免了单点故障问题的同时减少了认证交互次数。认证算法基于CDH假设和DL困难问题，通过群上少量群上点乘运算和群上点加运算构造认证方案，避免了复杂的双线性配对运算，减少了计算开销使得。整个认证过程快速高效且没有密钥托管问题。

附图说明

图1为本发明的轻量无证书认证方法的过程步骤图；

图2为本发明的轻量无证书认证方法的流程示意图；

图3为本发明的用户终端和卫星双向认证流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提出了一种面向低轨卫星网络的轻量无证书认证方法，如图1所示，包括以下步骤：

S2.卫星和用户终端分别向密钥生成中心申请密钥；

S4.卫星和用户终端进行双向身份认证；

在一实施例中，如图2所示，本发明提出的低轨卫星网络的轻量无证书认证方法，包括三个阶段，系统初始化阶段、注册阶段与双向认证阶段，首先构建无证书认证系统并进行该系统的初始化；初始化完成后，用户终端和卫星向系统中的密钥生成中心进行身份注册，身份注册完成的用户终端与卫星进行双向认证，若认证成功，则可使用服务，否则终止流程。

系统初始化阶段：密钥生成中心选取阶数为q的循环群G，其中q为大素数，P为G的一个生成元。定义：l_u为设备身份标识符ID的长度，l_m为发送消息的长度，密钥生成中心随机选取系统主密钥s_m∈Z_q ^*，计算系统公钥P_pub＝s_mP，然后公开参数params＝＜q,P,G,P_pub,H₁,H₂＞。

注册阶段：设用户终端的身份标识符为用户终端向密钥生成中心申请密钥的过程为：

用户终端随机选取秘密值根据秘密值/>计算公开参数/> 并通过安全通道发送/>到密钥生成中心；

密钥生成中心收到后，选取用户随机数/>计算用户的公私密钥/>并通过安全信道将公私密钥/>返回给用户终端；

具体地，密钥生成中心计算用户终端的公私密钥的公式为：

其中，表示密钥生成中心生成的用户终端U_i的公钥，/>表示密钥生成中心生成的用户终端U_i的私钥。

卫星随机选取秘密值根据秘密值/>计算公开参数/> 并通过安全通道发送/>到密钥生成中心；

密钥生成中心收到后，选取卫星随机数/>计算卫星的公私密钥/>通过安全信道将公私密钥/>返回给卫星；

具体地，密钥生成中心计算卫星的公私密钥的公式为：

其中，表示密钥生成中心生成的卫星s_i的公钥，/>表示密钥生成中心生成的卫星s_i的私钥。

用户终端或卫星收到密钥生成中心返回的公私钥对后，验证其合法性。

具体地，用户终端判断密钥生成中心返回的公私密钥的合法性，包括：

用户终端验证等式是否成立，若不成立，则公私密钥不合法，用户终端重新向密钥密钥生成中心申请密钥，否则，公私密钥合法，用户终端生成的公钥为/>私钥为/>

卫星判断密钥生成中心返回的公私密钥的合法性，包括：

判断等式是否成立，若不成立，则公私密钥不合法，卫星重新向密钥密钥生成中心申请密钥，否则，公私密钥合法，卫星生成的公钥为私钥为/>

认证阶段：用户终端和卫星进行双向身份认证。用户终端设备生成相关认证参数向卫星发起接入认证，卫星根据收到的参数然后验证用户终端设备身份有效性，若验证失败，则中止认证流程，若验证成功，卫星计算相关认证响应参数然后返回认证响应给用户终端。用户终端设备验证卫星返回的认证响应，计算协商好的会话密钥，完成双向认证流程。

在一实施例中，采用用户终端A和卫星S进行双向身份认证，如图3所示，包括：

S11.用户终端A选取随机数a₁，a₁∈Z_q ^*计算中间变量Q_A，Q_A＝a₁P＝(x₁,y₁)，根据当前时间戳T_A和中间变量Q_A计算参数h_A,1，h_A,1＝H₂(T_A,Q_A)，并生成用户签名V_A，将包括用户签名的消息m_A，m_A＝(x₁,ID_A,X_A,Y_A,Q_A,T_A,V_A)发送给卫星S；

S12.卫星S判断T-T_A≤ΔT是否成立，若不成立，则结束认证流程，否则卫星S计算参数h_A,1′，h_A,1′＝H₂(T_A,Q_A)和h_A，h_A＝H₁(ID_A,X_A,Y_A)并判断等式是否成立，若成立，则用户A通过卫星S的身份合法性验证，执行步骤S13，否则结束认证流程；

S13.卫星S选取随机数s₁，s₁∈Z_q ^*计算中间变量Q_S，Q_S＝s₁P＝(x₂,y₂)，根据当前时间戳T_S和中间变量Q_S计算参数h_S,1，h_S,1＝H₂(T_S,Q_S)，并生成卫星签名V_S，将包括卫星签名V_S的消息m_S，m_S＝(x₂,ID_S,X_S,Y_S,Q_S,T_S,V_S)发送给用户A；

S14.用户A判断T-T_S≤ΔT是否成立，若不成立，则结束认证流程，否则用户A计算参数h_S,1′，h_S,1′＝H₂(T_S,Q_S)和h_S，h_S＝H₁(ID_S,X_S,Y_S)，并验证等式是否成立，若成立，则用户S和用户A完成身份双向认证，否则身份双向认证失败；

其中，T表示用户终端或卫星收到消息时的时间戳，ΔT表示无证书认证系统容忍的最大时延，x₁、x₂、y₁、y₂为中间变量，X_A为用户终端计算的公开参数，Y_A为密钥生成中心返回给用户终端的公钥，P_pub表示无证书认证系统的公钥，X_S为卫星计算的公开参数，Y_S为密钥生成中心返回给卫星的公钥。

本发明的计算开销主要取决于注册、签密和解签密算法的计算开销，计算开销主要包括群上点乘运算和群上点加运算。由于哈希运算和普通四则运算花费时间很少，因此我们将其可以忽略。设E_M表示群上点乘运算，E_A表示群上点加运算。本实施例中采用了两种方案与本发明进行对比，其中方案一为：周彦伟等人提出的一种改进的无证书两方认证密钥协商协议，方案二为周彦伟、杨波、王青龙提出的安全的无双线性映射的无证书签密机制，其对比结果如表1所示：

表1开销对比

根据表1的开销计算对比看出，本发明的注册开销与其他两种方案一致，但身份认证开销，即签密阶段和解密阶段的开销大大减少，从而总计算开销得到了改善。在实际应用中，在身份注册后，主要运行身份认证阶段算法，所以大部分时间开销主要考虑身份认证阶段，所以本发明使得计算效率可以进一步提高。

本发明采用的安全模型是基于eCK安全模型。在eCK安全模型中主要面临AI和AII两类敌手攻击。其中敌手AI表示恶意用户，它具有替换合法用户公钥的能力，但是无法获取系统主密钥。敌手AII表示恶意的KGC，它掌握了系统的主密钥，但是不具备替换合法用户公钥能力。本算法在敌手AI和AII存在情况下，都是安全的，原因如下：

当敌手AI存在时，如果它想伪造合法用户签名，那么他有如下两种方式：

1.通过KGC的公钥P_pub＝s_mP或者KGC发送给用户的部分私钥计算主密钥s_m；

2.通过替换用户公钥PK_ID＝＜X_ID,Y_ID＞来直接伪造用户签名。

第一种方式相当于破解了离散数学对问题(Discrete logarithm，DL)，而任意的概率多项式算法A成功解决DL问题的概率为Adv^DL(A)＝Pr[A(P,s_mP＝s_m)]，这是可忽略的，概率来源于s_m在Z_q ^*上随机选取和算法A的随机选择；第二种方式必须伪造私钥这必然是主密钥s_m的函数，而这类敌手无法获取系统主密钥，所以本发明的算法对第一类敌手AI是安全的。

当敌手AII存在时，如果它想伪造用户合法签名，那么它有如下两种方式：

1.通过用户的部分公钥P计算用户的秘密值/>

2.直接伪造合法用户签名。

同理，第一种方式相当于破解了DL问题，所以概率是可以忽略不计的；第二种方式必须伪造私钥SK_ID＝＜x_ID,y_ID＞＝x_ID+r_ID+s_mH₁(ID,X_ID,Y_ID)，这必然是x_ID的函数，而这类敌手无法替换合法用户的公钥，即无法替换或获取用户秘密值x_ID，所以本发明的算法对第二类敌手AII是安全的。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims

1.一种面向低轨卫星网络的轻量无证书认证方法，其特征在于，包括以下步骤：

无证书认证系统进行初始化，密钥生成中心选取阶数为q的循环群G，其中q为大素数，P为G的一个生成元，定义：无证书认证系统的公开参数为params＝＜q,P,G,P_pub,H₁,H₂＞，P_pub为无证书认证系统的公钥，且P_pub＝s_mP，s_m为密钥生成中心随机选取的无证书认证系统的主密钥，且s_m∈Z_q ^*，H₁,H₂为单向哈希函数，H₁:H₂:/>l_u为设备身份标识符ID的长度，l_m为发送消息的长度；

S2.卫星和用户终端分别向密钥生成中心申请密钥；

设用户终端的身份标识符为用户终端向密钥生成中心申请密钥的过程为：

卫星随机选取秘密值根据秘密值/>计算公开参数/>并通过安全通道发送到密钥生成中心；

其中，Z_q ^*表示小于大素数q的正整数；

密钥生成中心计算公私密钥的公式为：

Y_ID＝r_IDP；

y_U＝r_ID+s_mH₁(ID_U,X_ID,Y_ID)；

其中，Y_ID表示密钥生成中心生成的用户终端公钥或卫星公钥，r_ID表示用户随机数或卫星随机数，y_U表示密钥生成中心生成的用户终端私钥或卫星私钥，s_m表示密钥生成中心随机选取的系统主密钥，ID_U表示用户终端或卫星的身份标识符，X_ID表示用户终端或卫星的公开参数，H₁(·)表示单向哈希函数；

用户终端判断密钥生成中心返回的公私密钥的合法性，包括：

判断等式是否成立，若不成立，则公私密钥不合法，用户终端重新向密钥密钥生成中心申请密钥，否则，公私密钥合法，用户终端生成的公钥为私钥为/>

卫星判断密钥生成中心返回的公私密钥的合法性，包括：

其中，P为循环群G的一个生成元，P_pub表示无证书认证系统的公钥，H₁(·)表示单向哈希函数；

S4.卫星和用户终端进行双向身份认证；

采用用户终端A和卫星S进行双向身份认证，包括：

其中，T表示用户终端或卫星收到消息时的时间戳，ΔT表示无证书认证系统容忍的最大时延，a₁∈Z_q ^*，s₁∈Z_q ^*，Z_q ^*表示小于大素数q的正整数，x₁、x₂为中间变量，X_A为用户终端计算的公开参数，Y_A为密钥生成中心返回给用户终端的公钥，P_pub表示无证书认证系统的公钥，X_S为卫星计算的公开参数，Y_S为密钥生成中心返回给卫星的公钥。