CN115022868A - 卫星终端实体认证方法、系统及存储介质 - Google Patents
卫星终端实体认证方法、系统及存储介质 Download PDFInfo
- Publication number
- CN115022868A CN115022868A CN202210590800.8A CN202210590800A CN115022868A CN 115022868 A CN115022868 A CN 115022868A CN 202210590800 A CN202210590800 A CN 202210590800A CN 115022868 A CN115022868 A CN 115022868A
- Authority
- CN
- China
- Prior art keywords
- terminal
- authentication
- chip
- key
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/06—Airborne or Satellite Networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开一种卫星终端实体认证方法、系统及可读存储介质,属于网络安全通信技术领域,方法包括通过卫星信道获取终端提交的入网申请;向密钥管理平台发送入网申请,以使密钥管理平台解密入网申请,获取终端个人信息与随机数;接收密钥管理平台返回的终端个人信息与随机数,并记录终端个人信息与芯片ID的对应关系,开通业务权限;将终端个人信息发送给终端,以使终端将终端个人信息发送给芯片。本发明通过代理鉴权平台,解决认证鉴权过程中卫星信道编码和传统密钥管理平台支持协议不匹配的问题。
Description
技术领域
本发明涉及网络安全通信技术领域,具体涉及一种卫星终端实体认证方法、系统及存储介质。
背景技术
卫星移动通信凭借其覆盖范围广、不受地理条件影响等优势,与地面通信系统形成互补,广泛应用于地面通信系统不易覆盖或建设成本过高的领域。当前基于卫星通讯领域已经实现具备卫星移动网络语音、短信、低数据传输速率功能,能够实现卫星话音速2.4kbps等低速率通话质量。
卫星终端大多没有对语音数据加密功能,为实现语音加密功能,最高效方式是采用对称密码体系。当前卫星有数据终端类产品,但是依然存在着大量手持终端没有专用数据信道,在密钥协商中存在卫星信道和密钥管理平台信道不匹配的问题;而且当前基于正常的认证协议存在交互次数多,不适合卫星信道的特点。
相关技术中,公开号为CN108055263A的中国发明专利申请公开了一种卫星通信网中的实体认证权限管理系统及方法,网络节点身份认证模块、用户终端身份认证模块和权限管理模块;网络节点身份认证模块由主认证中心;用户终端身份认证模块由各个域认证中心完成;权限管理模块在主认证中心和域认证中心分别存储网络节点和用户终端的角色、权限映射表,通过多表联合查询的方式得到节点或用户的权限;可实现大规模实体身份认证和权限管理;利用实体身份认证方案和分级跨域的动态权限属性协同映射方法,保障了卫星通信网中用户终端的跨域访问和安全漫游。但该方法采用非对称密钥体系且在部分场景下会出现密钥传输情况。
发明内容
本发明所要解决的技术问题在于如何解决认证鉴权过程中卫星信道编码和传统密钥管理平台支持协议不匹配的问题。
本发明通过以下技术手段实现解决上述技术问题的:
一方面,本发明提出了一种卫星终端实体认证方法,所述方法包括:
通过卫星信道获取终端提交的入网申请token,所述入网申请token为所述终端根据从芯片中获取的密钥信息加密得到,所述密钥信息包括密钥Z、密钥标识C和芯片ID,所述密钥Z为密钥管理平台预先充注在所述芯片内,所述芯片集成于所述终端;
向所述密钥管理平台发送所述入网申请token、所述芯片ID和所述密钥标识C,以使所述密钥管理平台通过所述芯片ID和所述密钥标识C解密所述入网申请token,获取终端个人信息与随机数;
接收所述密钥管理平台返回的所述终端个人信息与所述随机数,并记录所述终端个人信息与所述芯片ID的对应关系,开通业务权限;
将所述终端个人信息发送给所述终端,以使所述终端将所述终端个人信息发送给所述芯片。
本发明采用密钥管理平台预先向安全芯片内充注密钥作为认证密钥,解决卫星手持终端认证中密钥重复使用,实现一次认证一次密钥功能;并通过代理鉴权平台,解决认证鉴权过程中卫星信道编码和传统密钥管理平台支持协议不匹配的问题。
进一步地,所述方法还包括:
通过所述卫星信道接收第一认证消息,并发送至所述密钥管理平台,以使所述密钥管理平台通过所述芯片ID获取密钥,利用所述密钥对所述第一认证信息进行解密并验证,完成终端到平台的认证;
获取所述密钥管理平台发送的第二认证信息,并通过所述卫星信道通道下发到所述终端,以使所述终端根据对应的所述芯片内的密钥对所述第二认证信息进行解密并验证,平台到终端的认证。
进一步地,所述通过所述卫星信道接收第一认证消息,并发送至所述密钥管理平台,以使所述密钥管理平台通过所述芯片ID获取密钥,利用所述密钥对所述第一认证信息进行解密并验证,完成终端到平台的认证,包括:
通过所述卫星信道接收所述第一认证信息,所述第一认证信息为所述终端进行认证协议组装得到,所述第一认证信息携带的信息包括终端ID、芯片ID、密钥序列号和第一加密信息,所述第一加密信息为对所述密钥管理平台标识、所述芯片ID和随机数A进行加密得到;
根据所述第一认证信息进行初步验证,确定用户生命周期或用户与所述芯片绑定关系;
若初步验证通过,则向所述密钥管理平台发送认证,以使所述密钥管理平台根据所述芯片ID和所述密钥序列号对所述加密信息进行解密,并比对所述密钥管理平台标识和记录随机数A,通过比对解密后芯片ID确认该加密消息未被篡改后反馈验证结果;
若初步验证未通过,则通过所述卫星信道反馈初步验证结果至所述终端。
进一步地,所述获取所述密钥管理平台发送的第二认证信息,并通过所述卫星信道通道下发到所述终端,以使所述终端根据对应的所述芯片内的密钥对所述第二认证信息进行解密并验证,平台到终端的认证,包括:
获取所述密钥管理平台发送的第二认证信息,所述第二认证信息携带的信息包括芯片ID、密钥序列号和第二加密信息,所述第二加密信息为对所述密钥管理平台标识、所述芯片ID、所述随机数A和所述随机数B进行加密得到;
通过所述卫星信道将所述第二认证信息下发到所述终端,以使所述终端获取对应所述芯片内的密钥对所述第二加密信息进行解密,并验证所述随机数A是否是上一次发送,解密后芯片ID是否和明文芯片ID一致,并记录所述随机数B。
此外,本发明还提出了一种卫星终端实体认证系统,所述系统包括:终端、代理鉴权平台和密钥管理平台,所述终端集成有芯片,所述终端经卫星信道与所述代理鉴权平台进行通信连接,其中,所述代理鉴权平台包括:
用户管理模块,用于通过卫星信道获取终端提交的入网申请token,所述入网申请token为所述终端根据从芯片中获取的密钥信息加密得到,所述密钥信息包括密钥Z、密钥标识C和芯片ID,所述密钥Z为密钥管理平台预先充注在所述芯片内,所述芯片集成于所述终端;
代理鉴权模块,用于向所述密钥管理平台发送所述入网申请token、所述芯片ID和所述密钥标识C,以使所述密钥管理平台通过所述芯片ID和所述密钥标识C解密所述入网申请token,获取终端个人信息与随机数;
业务开通模块,用于接收所述密钥管理平台返回的所述终端个人信息与所述随机数,并记录所述终端个人信息与所述芯片ID的对应关系,开通业务权限;
信息下发模块,用于将所述终端个人信息发送给所述终端,以使所述终端将所述终端个人信息发送给所述芯片。
进一步地,所述代理鉴权平台包括:
一次认证模块,用于通过所述卫星信道接收第一认证消息,并发送至所述密钥管理平台,以使所述密钥管理平台通过所述芯片ID获取密钥,利用所述密钥对所述第一认证信息进行解密并验证,完成终端到平台的认证;
二次认证模块,用于获取所述密钥管理平台发送的第二认证信息,并通过所述卫星信道通道下发到所述终端,以使所述终端根据对应的所述芯片内的密钥对所述第二认证信息进行解密并验证,平台到终端的认证。
进一步地,所述一次认证模块具体用于:
通过所述卫星信道接收所述第一认证信息,所述第一认证信息为所述终端进行认证协议组装得到,所述第一认证信息携带的信息包括终端ID、芯片ID、密钥序列号和第一加密信息,所述第一加密信息为对所述密钥管理平台标识、所述芯片ID和随机数A进行加密得到;
根据所述第一认证信息进行初步验证,确定用户生命周期或用户与所述芯片绑定关系;
若初步验证通过,则向所述密钥管理平台发送认证,以使所述密钥管理平台根据所述芯片ID和所述密钥序列号对所述加密信息进行解密,并比对所述密钥管理平台标识和记录随机数A,通过比对解密后芯片ID确认该加密消息未被篡改后反馈验证结果;
若初步验证未通过,则通过所述卫星信道反馈初步验证结果至所述终端。
进一步地,所述二次认证模块具体用于:
获取所述密钥管理平台发送的第二认证信息,所述第二认证信息携带的信息包括芯片ID、密钥序列号和第二加密信息,所述第二加密信息为对所述密钥管理平台标识、所述芯片ID、所述随机数A和所述随机数B进行加密得到;
通过所述卫星信道将所述第二认证信息下发到所述终端,以使所述终端获取对应所述芯片内的密钥对所述第二加密信息进行解密,并验证所述随机数A是否是上一次发送,解密后芯片ID是否和明文芯片ID一致,并记录所述随机数B。
此外,本发明还提出了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,实现如上所述的卫星终端实体认证方法。
本发明的优点在于:
(1)本发明采用密钥管理平台预先向安全芯片内充注密钥作为认证密钥,解决卫星手持终端认证中密钥重复使用,实现一次认证一次密钥功能;并通过代理鉴权平台,解决认证鉴权过程中卫星信道编码和传统密钥管理平台支持协议不匹配的问题。
(2)本发明实现在卫星信道下快速鉴权方式,将传统四次交互转化为两次交互,实现卫星终端到密钥管理平台快速认证。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
图1是本发明一实施例中卫星终端实体认证方法的流程示意图;
图2是本发明实施例中业务开通时序图;
图3是本发明实施例中卫星终端代理鉴权时序图;
图4是本发明实施例中卫星终端代理鉴权流程示意图;
图5是本发明另一实施例中卫星终端实体认证系统的结构示意图;
图6是本发明另一实施例中卫星终端认证应用架构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1至图2所示,本发明第一实施例提出了一种卫星终端实体认证方法,所述方法包括以下步骤:
S10、通过卫星信道获取终端提交的入网申请token,所述入网申请token为所述终端根据从芯片中获取的密钥信息加密得到,所述密钥信息包括密钥Z、密钥标识C和芯片ID,所述密钥Z为密钥管理平台预先充注在所述芯片内,所述芯片集成于所述终端。
具体地,密钥管理平台预先向安全芯片的TF卡中充注密钥集合,卫星终端从TF卡中获取一支密钥Z、密钥标识C和芯片ID,终端使用密钥Z对数据进行加密,数据包括芯片ID、终端个人信息、密钥标识C和随机数,得到入网申请token,然后通过卫星信道将入网申请token发送至代理鉴权平台。
S20、向所述密钥管理平台发送所述入网申请token、所述芯片ID和所述密钥标识C,以使所述密钥管理平台通过所述芯片ID和所述密钥标识C解密所述入网申请token,获取终端个人信息与随机数。
S30、接收所述密钥管理平台返回的所述终端个人信息与所述随机数,并记录所述终端个人信息与所述芯片ID的对应关系,开通业务权限。
S40、将所述终端个人信息发送给所述终端,以使所述终端将所述终端个人信息发送给所述芯片。
具体来说,代理鉴权平台代理记录终端个人信息与芯片ID的对应关系,并并开通相关业务权限,然后将个人信息发送给终端,终端写入个人信息,终端将个人信息发送给TF卡,写入个人信息。
本实施例采用密钥管理平台预先向安全芯片内充注密钥作为认证密钥,解决卫星手持终端认证中密钥重复使用,实现一次认证一次密钥功能;并通过代理鉴权平台,解决认证鉴权过程中卫星信道编码和传统密钥管理平台支持协议不匹配的问题。
需要说明的是,本实施例主要使用了代理鉴权平台参与认证过程中,与公开号为CN108055263A的中国发明专利申请记载的方案相比,主要优势如下:
(1)提供了多种卫星终端以及卫星信道适配的功能,卫星终端种类日益增多,每一种终端和卫星之间信道协议、信道编码均不相同,但是密钥管理平台对外认证协议只有一种,通过代理鉴权平台的信息下发模块的多协议支撑,就可以实现终端和卫星信道与密钥管理平台认证的解耦,具备适配简单、适应性好的特点。
(2)具备认证协议简单、认证高效的特点,本方案主要采用令牌机制保证身份认证安全,终端提交自身实现在卫星信道下快速鉴权方式,将传统四次交互转化为二次交互,实现卫星终端到密钥管理平台双向快速认证。
(3)本实施例方案采用的是对称密钥体系而不是非对称密钥体系,其密钥安全性不依赖数据计算,无法通过大因数分解来破译;而且通过本方案实现一次交互一次密钥,密钥之间无关联性,实现了理论上面无法破译,在使用过程中所有密钥均传输密钥序列号,实现对密钥的保护。
在一实施例中,如图3至图4所示,所述方法还包括:
通过所述卫星信道接收第一认证消息,并发送至所述密钥管理平台,以使所述密钥管理平台通过所述芯片ID获取密钥,利用所述密钥对所述第一认证信息进行解密并验证,完成终端到平台的认证。
获取所述密钥管理平台发送的第二认证信息,并通过所述卫星信道通道下发到所述终端,以使所述终端根据对应的所述芯片内的密钥对所述第二认证信息进行解密并验证,平台到终端的认证。
需要说明的是,当前卫星终端的认证协议存在交互次数多,不适合卫星信道的特点,本实施例借助于代理鉴权平台能够实现基于对称密钥体系实现在卫星网络实现身份认证,能够显著减少终端和卫星的交互次数,具备认证密钥更新速度快、前后密钥之间无关联、安全性高的特点。
在一实施例中,终端到平台的认证过程具体为:
(1)通过所述卫星信道接收所述第一认证信息,所述第一认证信息为所述终端进行认证协议组装得到,所述第一认证信息携带的信息包括终端ID、芯片ID、密钥序列号和第一加密信息,所述第一加密信息为对所述密钥管理平台标识、所述芯片ID和随机数A进行加密得到。
需要说明的是,终端获取芯片内一支密钥Z,标识为C后,卫星终端开始认证协议组装,以内部存储终端ID、芯片ID、密钥管理平台标识、产生随机数A,一起组装第一次认证消息,并通过卫星信道发送代理鉴权平台。
(2)根据所述第一认证信息进行初步验证,确定用户生命周期或用户与所述芯片绑定关系。
(3)若初步验证通过,则向所述密钥管理平台发送认证,以使所述密钥管理平台根据所述芯片ID和所述密钥序列号对所述加密信息进行解密,并比对所述密钥管理平台标识和记录随机数A,通过比对解密后芯片ID确认该加密消息未被篡改后反馈验证结果。
(4)若初步验证未通过,则通过所述卫星信道反馈初步验证结果至所述终端。
在一实施例中,平台到终端的认证过程包括:
(1)获取所述密钥管理平台发送的第二认证信息,所述第二认证信息携带的信息包括芯片ID、密钥序列号和第二加密信息,所述第二加密信息为对所述密钥管理平台标识、所述芯片ID、所述随机数A和所述随机数B进行加密得到。
(2)通过所述卫星信道将所述第二认证信息下发到所述终端,以使所述终端获取对应所述芯片内的密钥对所述第二加密信息进行解密,并验证所述随机数A是否是上一次发送,解密后芯片ID是否和明文芯片ID一致,并记录所述随机数B。
需要说明的是,卫星终端根据自身芯片内的密钥Z’对第二加密信息进行解密,验证其自身提供随机数A、芯片ID、密钥管理平台ID,完成终端对平台认证。
需要说明的是,密钥Z’与密钥Z不同,本实施例在平台验证完成之后,进行密钥更换,使用了Z’作为第二消息进行认证鉴权。
本实施例可实现在卫星信道下快速鉴权方式,将传统四次交互转化为二次交互,实现卫星终端到密钥管理平台快速认证。
进一步地,卫星终端在集成安全芯片与充注密钥后,卫星通话业务流程如下:
(1)卫星终端A发起呼叫业务,向代理鉴权平台发起认证请求。
(2)代理鉴权平台通过两次交互,使用充注密钥认证卫星终端A的身份与权限的鉴别。
(3)代理鉴权平台向密钥管理平台申请工作密钥,并使用充注密钥加密工作密钥,下发工作密钥给卫星终端A与卫星终端B。
(4)卫星终端A通过寻址呼叫流程,与卫星终端B建立连接,使用工作密钥加密通信数据,直至呼叫业务结束。
此外,如图5至图6所示,本发明另一实施例还提出了一种卫星终端实体认证系统,所述系统包括:终端10、代理鉴权平台20和密钥管理平台30,所述终端10集成有芯片,所述终端10经卫星信道与所述代理鉴权平台20进行通信连接,其中,所述代理鉴权平台20包括:
用户管理模块,用于通过卫星信道获取终端提交的入网申请token,所述入网申请token为所述终端根据从芯片中获取的密钥信息加密得到,所述密钥信息包括密钥Z、密钥标识C和芯片ID,所述密钥Z为密钥管理平台预先充注在所述芯片内,所述芯片集成于所述终端;
代理鉴权模块,用于向所述密钥管理平台发送所述入网申请token、所述芯片ID和所述密钥标识C,以使所述密钥管理平台通过所述芯片ID和所述密钥标识C解密所述入网申请token,获取终端个人信息与随机数;
业务开通模块,用于接收所述密钥管理平台返回的所述终端个人信息与所述随机数,并记录所述终端个人信息与所述芯片ID的对应关系,开通业务权限;
信息下发模块,用于将所述终端个人信息发送给所述终端,以使所述终端将所述终端个人信息发送给所述芯片。
在一实施例中,所述代理鉴权平台包括:
一次认证模块,用于通过所述卫星信道接收第一认证消息,并发送至所述密钥管理平台,以使所述密钥管理平台通过所述芯片ID获取密钥,利用所述密钥对所述第一认证信息进行解密并验证,完成终端到平台的认证;
二次认证模块,用于获取所述密钥管理平台发送的第二认证信息,并通过所述卫星信道通道下发到所述终端,以使所述终端根据对应的所述芯片内的密钥对所述第二认证信息进行解密并验证,平台到终端的认证。
在一实施例中,所述一次认证模块具体用于:
通过所述卫星信道接收所述第一认证信息,所述第一认证信息为所述终端进行认证协议组装得到,所述第一认证信息携带的信息包括终端ID、芯片ID、密钥序列号和第一加密信息,所述第一加密信息为对所述密钥管理平台标识、所述芯片ID和随机数A进行加密得到;
根据所述第一认证信息进行初步验证,确定用户生命周期或用户与所述芯片绑定关系;
若初步验证通过,则向所述密钥管理平台发送认证,以使所述密钥管理平台根据所述芯片ID和所述密钥序列号对所述加密信息进行解密,并比对所述密钥管理平台标识和记录随机数A,通过比对解密后芯片ID确认该加密消息未被篡改后反馈验证结果;
若初步验证未通过,则通过所述卫星信道反馈初步验证结果至所述终端。
在一实施例中,所述二次认证模块具体用于:
获取所述密钥管理平台发送的第二认证信息,所述第二认证信息携带的信息包括芯片ID、密钥序列号和第二加密信息,所述第二加密信息为对所述密钥管理平台标识、所述芯片ID、所述随机数A和所述随机数B进行加密得到;
通过所述卫星信道将所述第二认证信息下发到所述终端,以使所述终端获取对应所述芯片内的密钥对所述第二加密信息进行解密,并验证所述随机数A是否是上一次发送,解密后芯片ID是否和明文芯片ID一致,并记录所述随机数B。
本实施例卫星终端实体认证系统的优点如下:
(1)安全性能提升
解决网络攻击日益严峻的环境对卫星通话安全影响。解决卫星手持终端到密钥管理平台认证问题,使用量子安全芯片内置密钥基于对称密钥体系实现身份认证,实现一次认证一份密钥。
(2)交互次数减少
通过代理鉴权平台,解决认证鉴权过程中卫星信道编码和传统密钥管理平台支持协议不匹配的问题。实现在卫星信道下快速鉴权方式,将传统四次交互转化为二次交互,实现卫星终端到密钥管理平台快速认证。
(3)防范未来量子计算机和量子算法带来的安全威胁
防范基于大因数分解难题的公钥密码算法被破译问题:使用量子对称密钥,无法通过大因数分解来破译;防范未来出现的量子计算机带来的安全威胁:使用量子安全密码进行加密传输,理论上是完全安全可信的;
(4)技术成熟、易于实现、通用性强、延展性好
安全芯片是可行的存在的技术,基于量子对称密钥的安全认证也是可以实现的技术,用于卫星手持终端对安全芯片集成技术成熟,安全性高。对卫星平台自身无改造,主要是通过代理鉴权平台方式实现和卫星信道的对接以及对密钥管理平台的鉴权认证协议的转换,可以适配多种卫星通道通讯方式,通用性强,延展性好。
需要说明的是,本发明所述卫星终端实体认证系统的其他实施例或具有实现方法可参照上述各方法实施例,此处不再赘余。
此外,本发明第三实施例提出了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,实现如上所述的卫星终端实体认证方法。
需要说明的是,在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (9)
1.一种卫星终端实体认证方法,其特征在于,所述方法包括:
通过卫星信道获取终端提交的入网申请token,所述入网申请token为所述终端根据从芯片中获取的密钥信息加密得到,所述密钥信息包括密钥Z、密钥标识C和芯片ID,所述密钥Z为密钥管理平台预先充注在所述芯片内,所述芯片集成于所述终端;
向所述密钥管理平台发送所述入网申请token、所述芯片ID和所述密钥标识C,以使所述密钥管理平台通过所述芯片ID和所述密钥标识C解密所述入网申请token,获取终端个人信息与随机数;
接收所述密钥管理平台返回的所述终端个人信息与所述随机数,并记录所述终端个人信息与所述芯片ID的对应关系,开通业务权限;
将所述终端个人信息发送给所述终端,以使所述终端将所述终端个人信息发送给所述芯片。
2.如权利要求1所述的卫星终端实体认证方法,其特征在于,所述方法还包括:
通过所述卫星信道接收第一认证消息,并发送至所述密钥管理平台,以使所述密钥管理平台通过所述芯片ID获取密钥,利用所述密钥对所述第一认证信息进行解密并验证,完成终端到平台的认证;
获取所述密钥管理平台发送的第二认证信息,并通过所述卫星信道通道下发到所述终端,以使所述终端根据对应的所述芯片内的密钥对所述第二认证信息进行解密并验证,平台到终端的认证。
3.如权利要求2所述的卫星终端实体认证方法,其特征在于,所述通过所述卫星信道接收第一认证消息,并发送至所述密钥管理平台,以使所述密钥管理平台通过所述芯片ID获取密钥,利用所述密钥对所述第一认证信息进行解密并验证,完成终端到平台的认证,包括:
通过所述卫星信道接收所述第一认证信息,所述第一认证信息为所述终端进行认证协议组装得到,所述第一认证信息携带的信息包括终端ID、芯片ID、密钥序列号和第一加密信息,所述第一加密信息为对所述密钥管理平台标识、所述芯片ID和随机数A进行加密得到;
根据所述第一认证信息进行初步验证,确定用户生命周期或用户与所述芯片绑定关系;
若初步验证通过,则向所述密钥管理平台发送认证,以使所述密钥管理平台根据所述芯片ID和所述密钥序列号对所述加密信息进行解密,并比对所述密钥管理平台标识和记录随机数A,通过比对解密后芯片ID确认该加密消息未被篡改后反馈验证结果;
若初步验证未通过,则通过所述卫星信道反馈初步验证结果至所述终端。
4.如权利要求2所述的卫星终端实体认证方法,其特征在于,所述获取所述密钥管理平台发送的第二认证信息,并通过所述卫星信道通道下发到所述终端,以使所述终端根据对应的所述芯片内的密钥对所述第二认证信息进行解密并验证,平台到终端的认证,包括:
获取所述密钥管理平台发送的第二认证信息,所述第二认证信息携带的信息包括芯片ID、密钥序列号和第二加密信息,所述第二加密信息为对所述密钥管理平台标识、所述芯片ID、所述随机数A和所述随机数B进行加密得到;
通过所述卫星信道将所述第二认证信息下发到所述终端,以使所述终端获取对应所述芯片内的密钥对所述第二加密信息进行解密,并验证所述随机数A是否是上一次发送,解密后芯片ID是否和明文芯片ID一致,并记录所述随机数B。
5.一种卫星终端实体认证系统,其特征在于,所述系统包括:终端、代理鉴权平台和密钥管理平台,所述终端集成有芯片,所述终端经卫星信道与所述代理鉴权平台进行通信连接,其中,所述代理鉴权平台包括:
用户管理模块,用于通过卫星信道获取终端提交的入网申请token,所述入网申请token为所述终端根据从芯片中获取的密钥信息加密得到,所述密钥信息包括密钥Z、密钥标识C和芯片ID,所述密钥Z为密钥管理平台预先充注在所述芯片内,所述芯片集成于所述终端;
代理鉴权模块,用于向所述密钥管理平台发送所述入网申请token、所述芯片ID和所述密钥标识C,以使所述密钥管理平台通过所述芯片ID和所述密钥标识C解密所述入网申请token,获取终端个人信息与随机数;
业务开通模块,用于接收所述密钥管理平台返回的所述终端个人信息与所述随机数,并记录所述终端个人信息与所述芯片ID的对应关系,开通业务权限;
信息下发模块,用于将所述终端个人信息发送给所述终端,以使所述终端将所述终端个人信息发送给所述芯片。
6.如权利要求5所述的卫星终端实体认证系统,其特征在于,所述代理鉴权平台包括:
一次认证模块,用于通过所述卫星信道接收第一认证消息,并发送至所述密钥管理平台,以使所述密钥管理平台通过所述芯片ID获取密钥,利用所述密钥对所述第一认证信息进行解密并验证,完成终端到平台的认证;
二次认证模块,用于获取所述密钥管理平台发送的第二认证信息,并通过所述卫星信道通道下发到所述终端,以使所述终端根据对应的所述芯片内的密钥对所述第二认证信息进行解密并验证,平台到终端的认证。
7.如权利要求6所述的卫星终端实体认证系统,其特征在于,所述一次认证模块具体用于:
通过所述卫星信道接收所述第一认证信息,所述第一认证信息为所述终端进行认证协议组装得到,所述第一认证信息携带的信息包括终端ID、芯片ID、密钥序列号和第一加密信息,所述第一加密信息为对所述密钥管理平台标识、所述芯片ID和随机数A进行加密得到;
根据所述第一认证信息进行初步验证,确定用户生命周期或用户与所述芯片绑定关系;
若初步验证通过,则向所述密钥管理平台发送认证,以使所述密钥管理平台根据所述芯片ID和所述密钥序列号对所述加密信息进行解密,并比对所述密钥管理平台标识和记录随机数A,通过比对解密后芯片ID确认该加密消息未被篡改后反馈验证结果;
若初步验证未通过,则通过所述卫星信道反馈初步验证结果至所述终端。
8.如权利要求6所述的卫星终端实体认证系统,其特征在于,所述二次认证模块具体用于:
获取所述密钥管理平台发送的第二认证信息,所述第二认证信息携带的信息包括芯片ID、密钥序列号和第二加密信息,所述第二加密信息为对所述密钥管理平台标识、所述芯片ID、所述随机数A和所述随机数B进行加密得到;
通过所述卫星信道将所述第二认证信息下发到所述终端,以使所述终端获取对应所述芯片内的密钥对所述第二加密信息进行解密,并验证所述随机数A是否是上一次发送,解密后芯片ID是否和明文芯片ID一致,并记录所述随机数B。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现如权利要求1-4中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210590800.8A CN115022868A (zh) | 2022-05-27 | 2022-05-27 | 卫星终端实体认证方法、系统及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210590800.8A CN115022868A (zh) | 2022-05-27 | 2022-05-27 | 卫星终端实体认证方法、系统及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115022868A true CN115022868A (zh) | 2022-09-06 |
Family
ID=83070311
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210590800.8A Pending CN115022868A (zh) | 2022-05-27 | 2022-05-27 | 卫星终端实体认证方法、系统及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115022868A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116886404A (zh) * | 2023-08-04 | 2023-10-13 | 中国电子信息产业集团有限公司第六研究所 | 一种卫星互联网密钥管理系统及方法 |
CN117040744A (zh) * | 2023-10-07 | 2023-11-10 | 北京数盾信息科技有限公司 | 一种卫星通信组网方法、装置及密钥管理系统 |
CN117439658A (zh) * | 2023-12-21 | 2024-01-23 | 长光卫星技术股份有限公司 | 一种基于密钥库的卫星遥测数据解析权限管理方法 |
-
2022
- 2022-05-27 CN CN202210590800.8A patent/CN115022868A/zh active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116886404A (zh) * | 2023-08-04 | 2023-10-13 | 中国电子信息产业集团有限公司第六研究所 | 一种卫星互联网密钥管理系统及方法 |
CN117040744A (zh) * | 2023-10-07 | 2023-11-10 | 北京数盾信息科技有限公司 | 一种卫星通信组网方法、装置及密钥管理系统 |
CN117040744B (zh) * | 2023-10-07 | 2024-01-16 | 北京数盾信息科技有限公司 | 一种卫星通信组网方法、装置及密钥管理系统 |
CN117439658A (zh) * | 2023-12-21 | 2024-01-23 | 长光卫星技术股份有限公司 | 一种基于密钥库的卫星遥测数据解析权限管理方法 |
CN117439658B (zh) * | 2023-12-21 | 2024-03-12 | 长光卫星技术股份有限公司 | 一种基于密钥库的卫星遥测数据解析权限管理方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109218825B (zh) | 一种视频加密系统 | |
WO2017028593A1 (zh) | 网络接入设备接入无线网络接入点的方法、网络接入设备、应用程序服务器和非易失性计算机可读存储介质 | |
US20060281442A1 (en) | Method for inclusive authentication and management of service provider, terminal and user identity module, and system and terminal device using the method | |
US20090068988A1 (en) | Sim based authentication | |
US20080215888A1 (en) | Method and Arrangement For Authentication and Privacy | |
CN115022868A (zh) | 卫星终端实体认证方法、系统及存储介质 | |
CN109151508B (zh) | 一种视频加密方法 | |
EP2767029B1 (en) | Secure communication | |
RU2008118495A (ru) | Способ и устройство для установления безопасной ассоциации | |
US8234497B2 (en) | Method and apparatus for providing secure linking to a user identity in a digital rights management system | |
CN104836784A (zh) | 一种信息处理方法、客户端和服务器 | |
CN113452687B (zh) | 基于量子安全密钥的发送邮件的加密方法和系统 | |
CN113630407A (zh) | 使用对称密码技术增强mqtt协议传输安全的方法和系统 | |
CN112020038A (zh) | 一种适用于轨道交通移动应用的国产加密终端 | |
CN115334497A (zh) | 卫星终端密钥分发方法、装置及系统 | |
CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
CN113868684A (zh) | 一种签名方法、装置、服务端、介质以及签名系统 | |
JP2024501326A (ja) | アクセス制御方法、装置、ネットワーク側機器、端末及びブロックチェーンノード | |
RU2698424C1 (ru) | Способ управления авторизацией | |
US20060048235A1 (en) | Method and system for managing authentication and payment for use of broadcast material | |
CN114599033B (zh) | 一种通信鉴权处理方法及装置 | |
CN114124513B (zh) | 身份认证方法、系统、装置、电子设备和可读介质 | |
CN113727059B (zh) | 多媒体会议终端入网认证方法、装置、设备及存储介质 | |
CN116032556A (zh) | 小程序应用的密钥协商方法及装置 | |
CN112054905B (zh) | 一种移动终端的安全通信方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |