CN116599653A - 一种卫星通信网络动态安全管理方法、系统及存储介质 - Google Patents
一种卫星通信网络动态安全管理方法、系统及存储介质 Download PDFInfo
- Publication number
- CN116599653A CN116599653A CN202310269816.3A CN202310269816A CN116599653A CN 116599653 A CN116599653 A CN 116599653A CN 202310269816 A CN202310269816 A CN 202310269816A CN 116599653 A CN116599653 A CN 116599653A
- Authority
- CN
- China
- Prior art keywords
- satellite
- node
- user
- nodes
- satellite node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 70
- 238000007726 management method Methods 0.000 title abstract description 16
- 238000000034 method Methods 0.000 claims abstract description 32
- 238000012795 verification Methods 0.000 claims abstract description 13
- 238000011156 evaluation Methods 0.000 claims description 33
- 230000004044 response Effects 0.000 claims description 21
- 238000012423 maintenance Methods 0.000 claims description 16
- 230000006870 function Effects 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 6
- 125000004122 cyclic group Chemical group 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000013507 mapping Methods 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 abstract description 10
- 238000004422 calculation algorithm Methods 0.000 abstract description 8
- 238000005516 engineering process Methods 0.000 description 12
- 230000003068 static effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B7/00—Radio transmission systems, i.e. using radiation field
- H04B7/14—Relay systems
- H04B7/15—Active relay systems
- H04B7/185—Space-based or airborne stations; Stations for satellite systems
- H04B7/1851—Systems using a satellite or space-based relay
- H04B7/18513—Transmission in a satellite or space-based system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Astronomy & Astrophysics (AREA)
- Aviation & Aerospace Engineering (AREA)
- General Physics & Mathematics (AREA)
- Radio Relay Systems (AREA)
Abstract
本发明公开了一种卫星通信网络动态安全管理方法、系统及存储介质,其方法包括步骤:建立全局系统参数并初始化卫星系统;对系统内的卫星节点进行注册;对卫星系统的用户进行注册;当卫星节点加入和/或离开时更新卫星系统的公共加密密钥和各卫星节点的解密密钥;当用户发起通信请求时,验证用户身份后加密发送会话信息至卫星系统中的目标节点;卫星系统中的目标节点验证后解密会话。本发明解决了现有卫星通信网络安全算法动态计算复杂度高及存在用户信息泄露隐患的问题。
Description
技术领域
本发明属于通信技术领域,特别是涉及一种卫星通信网络动态安全管理方法、系统及存储介质。
背景技术
低轨卫星物联网在实现“万物互联”全球覆盖带来了更多机遇的同时,固有的广域开放性和高速移动性,又使其面临严峻的安全威胁。由于卫星节点处理能力弱,网络拓扑结构动态变化快,信号传播时延大,终端数量多,通信时间短,难以实现复杂的安全接入控制和完美信道估计,因此传统基于密钥体系的安全通信技术,在去中心化的网络架构中无法实现加密和解密的功能。
目前卫星通信安全管理主要采用广播加密技术和基于身份的密码系统。广播加密技术是加密者首先选择一组接收者,使用其公钥集合加密数据,最后通过公开信道发送密文,只有在集合内的用户才能正确解密获得明文,不在集合内的用户无法获取明文内容。基于身份的密码系统是将用户的身份信息直接用作公钥,而用户的私钥则由密钥生成中心用主密钥和用户身份信息生成。这些加密技术主要针对静态的卫星通信系统,一旦出现新卫星的加入或系统内卫星节点变异,则需要执行复杂的密钥加密算法。而且这些加密技术中采用管理中心保存用户密码,存在用户信息泄露的问题。
为了解决现有卫星通信网络安全算法动态计算复杂度高及存在用户信息泄露隐患的问题,提出一种卫星通信网络动态安全管理方法、系统及存储介质。
发明内容
本发明实施例提出一种卫星通信网络动态安全管理方法、系统及存储介质,以至少解决相关技术中动态计算复杂度高及存在用户信息泄露隐患的问题。根据本发明的一个实施例,提供了一种卫星通信网络动态安全管理方法,包括:
建立全局系统参数并初始化卫星系统;
对系统内的卫星节点进行注册;
对卫星系统的用户进行注册;
当卫星节点加入和/或离开时更新卫星系统的公共加密密钥和各卫星节点的解密密钥;
当用户发起通信请求时,验证用户身份后加密发送会话信息至卫星系统中的目标节点;
卫星系统中的目标节点验证后解密会话。
在一个示例性实施例中,所述建立全局系统参数,包括步骤:
卫星管理中心TA选择一个素阶的循环乘法群进行双线性加密;
生成多个格式的元组;
选择随机参数和哈希函数;
根据双线性映射、元组、随机参数和哈希函数建立系统参数。
在一个示例性实施例中,所述初始化卫星系统,包括步骤:
设置初始卫星节点的数量、协商后组的大小及其对应元组;
根据卫星节点的元组和随机数计算卫星节点参数集合;
发送卫星节点参数集合到系统中所有的卫星节点;
系统中的卫星节点接收到卫星节点参数集合后计算公共加密密钥;
根据卫星节点的参数计算解密密钥并生成注册信息,将注册信息存储在卫星节点中。
在一个示例性实施例中,所述对系统内的卫星节点进行注册,包括步骤:
系统内的卫星节点向卫星管理中心TA发送身份信息;
TA接收到该节点的身份信息后,选择一个随机数并根据随机数和身份信息计算生成数;
TA将卫星节点的身份信息和对应的随机数存储到数据库中并将生成数发送到卫星节点;
卫星节点接收到生成数后,完成注册。
在一个示例性实施例中,所述对卫星系统的用户进行注册,包括步骤:
用户设置身份信息和密码,选择一个用户随机数并以此计算用户识别码,将用户身份信息和识别码发送至卫星管理中心TA;
TA接收到用户身份信息和用户生成数后,选择一个鉴权随机数并根据该鉴权随机数、用户身份信息和用户生成数计算第一鉴权数和第二鉴权数;
TA将用户身份信息和用户随机数存储到数据库中并将第一鉴权数和第二鉴权数发送到用户;
用户根据第一鉴权数、第二鉴权数与用户随机数计算得到注册信息并存储在本地存储器中,完成注册。
在一个示例性实施例中,所述当卫星节点加入和/或离开时更新卫星系统的公共加密密钥和各卫星节点的解密密钥,包括步骤:
当新卫星节点加入卫星系统时,选择随机数,计算卫星识别参数并将卫星识别参数发布给系统中其他卫星节点;
卫星节点根据卫星识别参数计算新公共加密密钥和自身的解密密钥并将其发送至待加入的新卫星节点;
新卫星节点根据公共加密密钥和各卫星节点的解密密钥计算自身的解密密钥并存储到卫星节点参数集合中;
当系统内卫星节点离开卫星系统时,将卫星识别参数发送到系统中其他的卫星节点;
卫星节点接收到卫星识别参数后根据卫星识别参数计算新公共加密密钥和自身的解密密钥。
在一个示例性实施例中,步骤:当卫星节点加入和/或离开时更新卫星系统的公共加密密钥和各卫星节点的解密密钥之前,还包括步骤:根据系统内卫星节点的偏离程度和/或通信响应和/或维护周期计算卫星节点的失效指示值并将失效指示值大于预设失效阈值的卫星节点标识为待离开卫星,将待离开卫星暂移除出卫星系统集合,不作为用户的目标卫星;当待离开卫星的失效指示值小于或等于预设失效阈值后,将该卫星标识为正常卫星,再次加入卫星系统集合;
所述根据系统内卫星节点的偏离程度和/或通信响应和/或维护周期计算卫星节点的失效指示值,包括:
根据系统内卫星节点与其余卫星节点距离的平均值和/或卫星节点与卫星系统质心的距离与偏离程度评估值得正相关关系计算得到卫星节点的偏离程度评估值;
根据系统内卫星节点最近一段时间(预设时间,例如5分钟内)通信响应时延的平均值和/或数据传输时延的平均值与通信响应评估值的负相关关系计算通信响应评估值;
根据系统内卫星节点的计划检修日期的临近程度计算维护周期临近性评估值;
根据卫星节点的偏离程度评估值和/或通信响应评估值和/或维护周期临近性评估值计算卫星节点的失效指示值。
在一个示例性实施例中,所述验证用户身份后加密发送会话信息至卫星系统中的目标节点,包括:
用户的一个或多个目标卫星节点的索引构成集合;
用户在验证器上输入身份信息和密码,计算验证码;
判断验证码与本地存储器中的注册信息是否一致,若是,则继续执行下一步骤;否则拒绝用户的会话请求;
根据公共加密密钥计算密文并发送到集合中的目标卫星节点;
根据密文生成目标卫星节点的会话密钥。
在一个示例性实施例中,所述卫星系统中的目标节点验证后解密会话,包括:
目标卫星节点根据自身密钥和卫星参数计算解密参数;
根据解密参数和密文计算会话密钥;
根据会话密钥解密会话密文,得到会话内容。
根据本发明的又一个实施例,还提供了一种计算机可读存储介质,其存储用于电子数据交换的计算机程序,其中,所述计算机程序使计算机执行上述方法。
根据本发明的又一个实施例,还提供了一种卫星通信网络动态安全管理系统,包括:
卫星管理中心TA;
卫星节点;
用户;
存储器;
以及
一个或多个程序,其中所述一个或多个程序被存储在存储器中,并且被配置成由所述TA和/或卫星节点和/或用户执行,所述程序使计算机执行上述方法。
本发明的卫星通信网络动态安全管理方法、系统及存储介质具有的优点是:
(1)针对不同用户分配匿名身份,当终端新用户申请加入网络时,会更新所有节点的解密密钥,相比传统的卫星网络加密技术,可以充分利用不同网络层的优势,提升网络的安全性能。
(2)在卫星加入和离开卫星系统时,只需要一轮通信便可更新公共加密密钥和卫星节点解密密钥,相比传统的静态卫星网络加密技术,算法更简洁,计算消耗更低,有效实现动态的卫星加密。
(3)在用户发送通信请求并输入身份ID和身份密码前,TA不知道用户身份密码,仅使用用户输入的密码进行鉴权判定,相比传统的IBC技术方案,可以有效保护用户身份密码并进行伪装,算法的安全性更高。
(4)本发明采用了动态广播技术,卫星系统的节点子集负责生成各自的解密密钥,虽然用户可向卫星系统的所有节点子集发送通信请求,但只有选定的卫星节点可以使用各自的解密密钥进行解密,相比传统的广播加密技术方案,可以有效避免TA被攻破可能导致的用户信息泄露,提高卫星通信的安全性。
附图说明
图1是本发明实施例的一种卫星通信网络动态安全管理方法的流程图;
图2是本发明实施例的子步骤S011的方法流程图;
图3是本发明实施例的子步骤S012的流程图;
图4是本发明实施例的步骤S02的方法流程图;
图5是本发明实施例的步骤S03的方法流程图;
图6是本发明实施例的步骤S04的流程图;
图7是本发明实施例的步骤S05的方法流程图;
图8是本发明实施例的步骤S06的方法流程图;
图9是本发明实施例的一种卫星通信网络动态安全管理系统结构示意图。
具体实施方式
下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变化和改进。这些都属于本发明的保护范围。
本发明实施例的一种卫星通信网络动态安全管理方法,流程图如图1所示,包括步骤:
步骤S01、建立全局系统参数并初始化卫星系统;
步骤S02、对系统内的卫星节点进行注册;
步骤S03、对卫星系统的用户进行注册;
步骤S04、当卫星节点加入和/或离开时更新卫星系统的公共加密密钥和各卫星节点的解密密钥;
步骤S05、当用户发起通信请求时,验证用户身份后加密发送会话信息至卫星系统中的目标节点;
步骤06、卫星系统中的目标节点验证后解密会话。
本发明通过卫星系统的全局初始化和对系统内卫星节点的注册,对后续实时监测节点状态和更新密钥提供便利,充分利用不同网络层的优势,提升网络的安全性能。同时,本发明的卫星加入和离开卫星系统时,只需要一轮通信便可更新公共加密密钥和卫星节点解密密钥,相比传统的静态卫星网络加密技术,算法更简洁,计算消耗更低,实现动态的卫星加密。另外,本发明采用了动态广播技术,卫星系统的节点子集负责生成各自的解密密钥,虽然用户可向卫星系统的所有节点子集发送通信请求,但只有选定的卫星节点可以使用各自的解密密钥进行解密,相比传统的广播加密技术方案,可以有效避免密钥管理中心被攻破可能导致的用户信息泄露,提高卫星通信的安全性。
在一个示例性实施例中,所述步骤S01包括子步骤S011、建立全局系统参数和子步骤S012、初始化卫星系统,子步骤S011的流程图如图2所示,包括步骤:
步骤S0111、卫星管理中心选择一个素阶的循环乘法群进行双线性加密;
步骤S0112、生成多个格式的元组;
步骤S0113、选择随机参数和哈希函数;
步骤S0114、根据双线性映射、元组、随机参数和哈希函数建立系统参数。
本实施例中,卫星管理中心TA选择一个素阶q的循环乘法群G1进行双线性加密,其中G1由P1生成,P1为G1的生成元,存在一个双线性映射选择Q,D1,…,Dγ∈G1,其中γ为最大允许的组大小,设置D={D1,…,Dγ};生成m个格式为(Rθ,Fθ)的元组,每个元组都对应于一个可选的组大小;选择随机参数/>然后计算/>1≤i≤n;计算/>1≤i,j≤n,i≠j;设Rθ={Riθ}i∈{1,...,n},Fjθ={Fijθ}{1≤i≤n,i≠j},和Fθ={Fjθ}{1≤i≤n};选择六个单向哈希函数h0(·),h1(·),h2(·),h3(·),h4(·),h5(·),分别为h0:G1→{0,1}*, 建立系统参数
子步骤S012的流程图如图3所示,包括步骤:
步骤S0121、设置初始卫星节点的数量、协商后组的大小及其对应元组;
步骤S0122、根据卫星节点的元组和随机数计算卫星节点参数集合;
步骤S0123、发布卫星节点参数集合给系统中所有的卫星节点;
步骤S0124、系统中的卫星节点接收到卫星节点参数集合后计算公共加密密钥;
步骤S0125、根据卫星节点的参数计算解密密钥并生成注册信息,将注册信息存储在卫星节点中。
本实施例中,假设初始卫星节点的数量为t,协商后组的大小为n,对应元组(Rθ,Fθ),当节点数超过组的大小则重新初始化;对于卫星节点i,1≤i≤t,选择随机的计算/>对于卫星节点j,1≤j≤n,计算/>生成卫星参数集合/>将卫星参数集合Mi发送到系统中所有的卫星节点;系统中的卫星节点l接收到Mi后计算公共加密密钥/> 计算将/>设为解密密钥,生成注册信息将注册信息/>存储在卫星节点中。其中,用字符串st表示卫星通信网络中节点的索引,若st为一个n位的全零字符串,[st]i是st的第i个位,如果卫星通信系统的第i个位置被占用,则[st]i被设置为1。即对于卫星节点i,1≤i≤t,设置[st]i=1。
在一个示例性实施例中,所述步骤S02、对系统内的卫星节点进行注册,流程图如图4所示,包括步骤:
步骤S021、系统内的卫星节点向卫星管理中心TA发送身份信息;
步骤S022、TA接收到该节点的身份信息后,选择一个随机数并根据随机数和身份信息计算生成数;
步骤S023、TA将卫星节点的身份信息和对应的随机数存储到数据库中并将生成数发送到卫星节点;
步骤S024、卫星节点接收到生成数后,完成注册。
本实施例中,系统内的卫星节点j通过安全通道向卫星管理中心TA发送IDj;TA接收到IDj后,选择随机数yj并计算生成数gj=h2(IDj||s||yi),然后TA将(IDi,yi)存储到自己的数据库中,将生成数gj发送到卫星节点j;卫星节点j接收到生成数gj后,完成注册。
在一个示例性实施例中,在一个示例性实施例中,所述步骤S03、对卫星系统的用户进行注册,流程图如图5所示,包括步骤:
步骤S031、用户设置身份信息和密码,选择一个用户随机数并以此计算用户识别码,将用户身份信息和识别码发送至卫星管理中心TA;
步骤S032、TA接收到用户身份信息和用户生成数后,选择一个鉴权随机数并根据该鉴权随机数、用户身份信息和用户生成数计算第一鉴权数和第二鉴权数;
步骤S033、TA将用户身份信息和用户随机数存储到数据库中并将第一鉴权数和第二鉴权数发送到用户;
步骤S034、用户根据第一鉴权数、第二鉴权数与用户随机数计算得到注册信息并存储在本地存储器中,完成注册。
本实施例中,用户ui设置身份IDi和密码PWi,选择一个用户随机数并计算用户识别码/>将(IDi,RIDi)发送到卫星管理中心TA;TA接收到(IDi,RIDi)后选择一个鉴权随机数xi,计算用户生成数qi=h2(IDi||s||xi),并以此计算第一鉴权数/>和第二鉴权数/>TA将(IDi,xi)存储到数据库中并将{Ci,Di}发送到用户ui;用户ui接收到{Ci,Di}后计算注册信息和/>在本地存储器中将(Ci,Di)更新为/>完成注册。
从上述实施例可知,本实施例针对不同系统用户分配匿名身份,当新用户申请加入网络时,会更新所有节点的解密密钥,相比传统的卫星网络加密技术,可以充分利用不同网络层的优势,提升网络的安全性能。在用户发送通信请求并输入身份ID和身份密码前,TA不知道用户身份密码,仅使用用户输入的密码进行鉴权判定,相比传统的IBC技术方案,可以有效保护用户身份密码并进行伪装,算法的安全性更高。
在一个示例性实施例中,所述步骤S04、当卫星节点加入和/或离开时更新卫星系统的公共加密密钥和各卫星节点的解密密钥,流程图如图6所示,包括步骤:
步骤S041、当新卫星节点加入卫星系统时,选择随机数,计算卫星识别参数并将卫星识别参数发布给系统中其他卫星节点;
步骤S042、卫星节点根据卫星识别参数计算新公共加密密钥和自身的解密密钥并将其发送至待加入的新卫星节点;
步骤S043、新卫星节点根据公共加密密钥和各卫星节点的解密密钥计算自身的解密密钥并存储到卫星节点参数集合中;
步骤S044、当系统内卫星节点离开卫星系统时,将卫星识别参数发送到系统中其他的卫星节点;
步骤S045、卫星节点接收到卫星识别参数后根据卫星识别参数计算新公共加密密钥和自身的解密密钥。
本实施例中,若外部卫星节点(待加入的新卫星节点)要加入卫星系统作为第i个节点,应先运行卫星节点注册算法。要求[st]i=0。执行以下步骤:随机选择计算/>计算/>其中1≤j≤n;发布卫星识别参数给系统中所有的卫星节点;第j个卫星节点接收到消息后,设置其中1≤l≤n,l≠i;更新公共加密密钥/>更新第j个卫星节点的解密密钥为/>其中,一个卫星节点还需要发送消息/>通常选择索引最低的卫星节点发送消息给待加入的新卫星节点。
当卫星节点i离开卫星系统时(第i个卫星节点失效或者进行设备维护或被标识为待离开的卫星节点),该节点发布给系统中其他的卫星节点;第j个卫星节点接收到消息后,设置/>其中1≤l≤n,l≠i;更新公共加密密钥更新第j个卫星节点的解密密钥为/>设[st]i=0。
从上述实施例描述可知,卫星加入和离开卫星系统时,只需要一轮通信便可更新公共加密密钥和卫星节点解密密钥,相比传统的静态卫星网络加密技术,算法更简洁,计算消耗更低,有效实现动态的卫星加密。
在另一个示例性实施例中,步骤S04之前还包括步骤:根据系统内卫星节点的偏离程度和/或通信响应和/或维护周期计算卫星节点的失效指示值并将失效指示值大于预设失效阈值的卫星节点标识为待离开卫星,将待离开卫星暂移除出卫星系统集合S,不作为用户的目标卫星。当待离开卫星的失效指示值小于或等于预设失效阈值后,将该卫星标识为正常卫星,再次加入卫星系统集合S。
在该示例性实施例中,所述根据系统内卫星节点的偏离程度和/或通信响应和/或维护周期计算卫星节点的失效指示值,包括:
根据系统内卫星节点与其余卫星节点距离的平均值和/或卫星节点与卫星系统质心的距离与偏离程度评估值得正相关关系计算得到卫星节点的偏离程度评估值;
根据系统内卫星节点最近一段时间(预设时间,例如5分钟内)通信响应时延的平均值和/或数据传输时延的平均值与通信响应评估值的负相关关系计算通信响应评估值;
根据系统内卫星节点的计划检修日期的临近程度计算维护周期临近性评估值;
根据卫星节点的偏离程度评估值和/或通信响应评估值和/或维护周期临近性评估值计算卫星节点的失效指示值。
卫星节点的偏离程度评估值用变量a表示,通信响应评估值用变量b表示,维护周期临近性评估值用变量c表示。
所述根据卫星节点的偏离程度评估值和/或通信响应评估值和/或维护周期临近性评估值计算卫星节点的失效指示值是根据卫星节点的失效指示值与偏离程度评估值的正相关关系、与通信响应评估值的负相关关系、与维护周期临近性评估值的正相关关系计算得到,卫星节点的失效指示值用变量e表示。
表A中A1~A7表示计算卫星节点的失效指示值的不同实施方式,其中表A中涉及的偏离程度评估值a、通信响应评估值b、维护周期临近性评估值c采用上述实施方式中的公式得到。
表A计算卫星节点的失效指示值的不同实施方式
/>
/>
/>
/>
/>
/>
预先根据当前卫星通信环境和通信类型对应的时延要求设定卫星节点的失效阈值,当前阈值为0.6,若根据表A中任一项计算得到卫星节点的失效指示值e>0.6,则标识该卫星节点为待离开卫星,将待离开卫星暂移除出卫星系统集合S,不作为用户的目标卫星。若根据表A中任一项计算得到卫星节点的失效指示值e≤0.6,则将该卫星标识为正常卫星,再次加入卫星系统集合S。
从上述实施例可知,本发明可以全面分析和实时检测卫星通信系统中各卫星的状态并动态调整卫星系统,从而实时动态调整和更新卫星系统密钥,有效降低计算消耗,降低通信更新轮次。
在一个示例性实施例中,所述步骤S05、验证用户身份后加密发送会话信息至卫星系统中的目标节点,流程图如图7所示,包括:
步骤S051、用户的一个或多个目标卫星节点的索引构成集合;
步骤S052、用户在验证器上输入身份信息和密码,计算验证码;
步骤S053、判断验证码与本地存储器中的注册信息是否一致,若是,则继续执行下一步骤;否则拒绝用户的会话请求;
步骤S054、根据公共加密密钥计算密文并发送到集合中的目标卫星节点。
本实施例中,用户ui的一个或多个目标卫星节点的索引构成集合U,使得S={i|[st]=1},则用户ui在验证器上输入IDi和密码PWi,计算得到验证码/>判断验证码Vi *与本地存储器中的注册信息Vi是否一致,若是,则继续执行下一步骤;设选择/>计算密文/>W2=Ea,发送(W1,W2,U)到集合U中的卫星节点。
从上述实施例可知,本发明在用户发送通信请求并输入身份ID和身份密码前,TA不知道用户身份密码,仅使用用户输入的密码进行鉴权判定,相比传统的IBC技术方案,可以有效保护用户身份密码并进行伪装,算法的安全性更高。
在一个示例性实施例中,所述步骤S06、卫星系统中的目标节点验证后解密会话,包括:
步骤S061、目标卫星节点根据自身密钥和卫星参数计算解密参数;
步骤S062、根据解密参数和密文计算会话密钥;
步骤S063、根据会话密钥解密会话密文,得到会话内容。
本实施例中,集合U中目标卫星节点根据自身密钥Si和卫星参数计算解密参数/>根据解密参数和密文计算会话密钥/>
根据会话密钥解密会话密文,得到会话内容。
解密算法的正确性可用以下方式进行验证:
从上述实施例可知,本发明采用了动态广播技术,卫星系统的节点子集负责生成各自的解密密钥,虽然用户可向卫星系统的所有节点子集发送通信请求,但只有选定的卫星节点可以使用各自的解密密钥进行解密,相比传统的广播加密技术方案,可以有效避免TA被攻破可能导致的用户信息泄露,提高卫星通信的安全性。
本发明实施例的一种计算机可读存储介质,其存储用于电子数据交换的计算机程序,其中,所述计算机程序使计算机执行上述任一实施例的方法。
本发明实施例的一种卫星通信网络动态安全管理系统,结构示意图如图8所示,包括:
卫星管理中心TA;
卫星节点;
用户;
存储器;
以及
一个或多个程序,其中所述一个或多个程序被存储在存储器中,并且被配置成由所述TA和/或卫星节点和/或用户执行,所述程序使计算机执行上述任一实施例的方法。
当然,本技术领域中的普通技术人员应当认识到,以上实施例仅是用来说明本发明的,而并非作为对本发明的限定,只要在本发明的范围内,对以上实施例的变化、变型都将落入本发明的保护范围。
Claims (10)
1.一种卫星通信网络动态安全管理方法,其特征在于,包括:
建立全局系统参数并初始化卫星系统;
对系统内的卫星节点进行注册;
对卫星系统的用户进行注册;
当卫星节点加入和/或离开时更新卫星系统的公共加密密钥和各卫星节点的解密密钥;
当用户发起通信请求时,验证用户身份后加密发送会话信息至卫星系统中的目标节点;
卫星系统中的目标节点验证后解密会话。
2.根据权利要求1所述的卫星通信网络动态安全管理方法,其特征在于,所述建立全局系统参数,包括步骤:
卫星管理中心TA选择一个素阶的循环乘法群进行双线性加密;
生成多个格式的元组;
选择随机参数和哈希函数;
根据双线性映射、元组、随机参数和哈希函数建立系统参数。
3.根据权利要求2所述的卫星通信网络动态安全管理方法,其特征在于,所述初始化卫星系统,包括步骤:
设置初始卫星节点的数量、协商后组的大小及其对应元组;
根据卫星节点的元组和随机数计算卫星节点参数集合;
发送卫星节点参数集合到系统中所有的卫星节点;
系统中的卫星节点接收到卫星节点参数集合后计算公共加密密钥;
根据卫星节点的参数计算解密密钥并生成注册信息,将注册信息存储在卫星节点中。
4.根据权利要求1所述的卫星通信网络动态安全管理方法,其特征在于,所述对系统内的卫星节点进行注册,包括步骤:
系统内的卫星节点向卫星管理中心TA发送身份信息;
TA接收到该节点的身份信息后,选择一个随机数并根据随机数和身份信息计算生成数;
TA将卫星节点的身份信息和对应的随机数存储到数据库中并将生成数发送到卫星节点;
卫星节点接收到生成数后,完成注册。
5.根据权利要求1所述的卫星通信网络动态安全管理方法,其特征在于,所述对卫星系统的用户进行注册,包括步骤:
用户设置身份信息和密码,选择一个用户随机数并以此计算用户识别码,将用户身份信息和识别码发送至卫星管理中心TA;
TA接收到用户身份信息和用户生成数后,选择一个鉴权随机数并根据该鉴权随机数、用户身份信息和用户生成数计算第一鉴权数和第二鉴权数;
TA将用户身份信息和用户随机数存储到数据库中并将第一鉴权数和第二鉴权数发送到用户;
用户根据第一鉴权数、第二鉴权数与用户随机数计算得到注册信息并存储在本地存储器中,完成注册。
6.根据权利要求3所述的卫星通信网络动态安全管理方法,其特征在于,所述当卫星节点加入和/或离开时更新卫星系统的公共加密密钥和各卫星节点的解密密钥,包括步骤:
当新卫星节点加入卫星系统时,选择随机数,计算卫星识别参数并将卫星识别参数发布给系统中其他卫星节点;
卫星节点根据卫星识别参数计算新公共加密密钥和自身的解密密钥并将其发送至待加入的新卫星节点;
新卫星节点根据公共加密密钥和各卫星节点的解密密钥计算自身的解密密钥并存储到卫星节点参数集合中;
当系统内卫星节点离开卫星系统时,将卫星识别参数发送到系统中其他的卫星节点;
卫星节点接收到卫星识别参数后根据卫星识别参数计算新公共加密密钥和自身的解密密钥。
7.根据权利要求6所述的卫星通信网络动态安全管理方法,其特征在于,步骤:当卫星节点加入和/或离开时更新卫星系统的公共加密密钥和各卫星节点的解密密钥之前,还包括步骤:根据系统内卫星节点的偏离程度和/或通信响应和/或维护周期计算卫星节点的失效指示值并将失效指示值大于预设失效阈值的卫星节点标识为待离开卫星,将待离开卫星暂移除出卫星系统集合,不作为用户的目标卫星;当待离开卫星的失效指示值小于或等于预设失效阈值后,将该卫星标识为正常卫星,再次加入卫星系统集合;
所述根据系统内卫星节点的偏离程度和/或通信响应和/或维护周期计算卫星节点的失效指示值,包括:
根据系统内卫星节点与其余卫星节点距离的平均值和/或卫星节点与卫星系统质心的距离与偏离程度评估值得正相关关系计算得到卫星节点的偏离程度评估值;
根据系统卫星节点最近一段时间内通信响应时延的平均值和/或数据传输时延的平均值与通信响应评估值的负相关关系计算通信响应评估值;
根据系统内卫星节点的计划检修日期的临近程度计算维护周期临近性评估值;
根据卫星节点的偏离程度评估值和/或通信响应评估值和/或维护周期临近性评估值计算卫星节点的失效指示值。
8.根据权利要求1所述的卫星通信网络动态安全管理方法,其特征在于,所述验证用户身份后加密发送会话信息至卫星系统中的目标节点,包括:
用户的一个或多个目标卫星节点的索引构成集合;
用户在验证器上输入身份信息和密码,计算验证码;
判断验证码与本地存储器中的注册信息是否一致,若是,则继续执行下一步骤;否则拒绝用户的会话请求;
根据公共加密密钥计算密文并发送到集合中的目标卫星节点;
根据密文生成目标卫星节点的会话密钥;
所述卫星系统中的目标节点验证后解密会话,包括:
目标卫星节点根据自身密钥和卫星参数计算解密参数;
根据解密参数和密文计算会话密钥;
根据会话密钥解密会话密文,得到会话内容。
9.种计算机可读存储介质,其存储用于电子数据交换的计算机程序,其中,所述计算机程序使计算机执行如权利要求1-8任一项所述的方法。
10.一种卫星通信网络动态安全管理系统,其特征在于包括:
卫星管理中心TA;
卫星节点;
用户;
存储器;
以及
一个或多个程序,其中所述一个或多个程序被存储在存储器中,并且被配置成由所述TA和/或卫星节点和/或用户执行,所述程序使计算机执行如权利要求1-8任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310269816.3A CN116599653A (zh) | 2023-03-20 | 2023-03-20 | 一种卫星通信网络动态安全管理方法、系统及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310269816.3A CN116599653A (zh) | 2023-03-20 | 2023-03-20 | 一种卫星通信网络动态安全管理方法、系统及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116599653A true CN116599653A (zh) | 2023-08-15 |
Family
ID=87599644
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310269816.3A Pending CN116599653A (zh) | 2023-03-20 | 2023-03-20 | 一种卫星通信网络动态安全管理方法、系统及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116599653A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117040744A (zh) * | 2023-10-07 | 2023-11-10 | 北京数盾信息科技有限公司 | 一种卫星通信组网方法、装置及密钥管理系统 |
-
2023
- 2023-03-20 CN CN202310269816.3A patent/CN116599653A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117040744A (zh) * | 2023-10-07 | 2023-11-10 | 北京数盾信息科技有限公司 | 一种卫星通信组网方法、装置及密钥管理系统 |
CN117040744B (zh) * | 2023-10-07 | 2024-01-16 | 北京数盾信息科技有限公司 | 一种卫星通信组网方法、装置及密钥管理系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112039872B (zh) | 基于区块链的跨域匿名认证方法及系统 | |
CN111639361B (zh) | 一种区块链密钥管理方法、多人共同签名方法及电子装置 | |
CN111371730B (zh) | 边缘计算场景下支持异构终端匿名接入的轻量级认证方法 | |
CN109218018B (zh) | 一种基于身份的无人机密钥管理与组网认证系统及方法 | |
CN108667616B (zh) | 基于标识的跨云安全认证系统和方法 | |
CN114730420A (zh) | 用于生成签名的系统和方法 | |
CN108809637B (zh) | 基于混合密码的lte-r车-地通信非接入层认证密钥协商方法 | |
CN111092717A (zh) | 智能家居环境下基于组认证安全可靠的通信方法 | |
CN113572765B (zh) | 一种面向资源受限终端的轻量级身份认证密钥协商方法 | |
Xie et al. | Provably secure and anonymous V2I and V2V authentication protocol for VANETs | |
Xi et al. | ZAMA: A ZKP-based anonymous mutual authentication scheme for the IoV | |
CN114124371A (zh) | 一种基于无证书的满足mtp安全的公钥可搜索加密方法 | |
CN114422106B (zh) | 一种多服务器环境下的物联网系统安全认证方法及系统 | |
CN114466318B (zh) | 组播服务有效认证和密钥分配协议实现方法、系统及设备 | |
CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
CN116599653A (zh) | 一种卫星通信网络动态安全管理方法、系统及存储介质 | |
Ma et al. | A robust authentication scheme for remote diagnosis and maintenance in 5G V2N | |
CN116318739B (zh) | 一种电子数据交换方法及系统 | |
CN111669275A (zh) | 一种无线网络环境下可选择从节点的主从协作签名方法 | |
CN111541668A (zh) | 一种基于区块链的能源物联网信息安全传输与存储方法 | |
CN114584975B (zh) | 一种基于sdn的抗量子卫星网络接入认证方法 | |
CN114172742B (zh) | 基于节点地图与边缘认证的电力物联网终端设备分层认证方法 | |
CN114844649A (zh) | 一种基于超晶格puf的含可信第三方的密钥分发方法 | |
CN114826651A (zh) | 一种面向低轨卫星网络的轻量无证书认证方法 | |
CN112511544A (zh) | 针对多服务器环境下认证协议的优化方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |