CN117156433A - 卫星互联网密钥管理分发方法、装置和部署架构 - Google Patents
卫星互联网密钥管理分发方法、装置和部署架构 Download PDFInfo
- Publication number
- CN117156433A CN117156433A CN202311422241.0A CN202311422241A CN117156433A CN 117156433 A CN117156433 A CN 117156433A CN 202311422241 A CN202311422241 A CN 202311422241A CN 117156433 A CN117156433 A CN 117156433A
- Authority
- CN
- China
- Prior art keywords
- satellite
- orbit
- low
- key
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000006854 communication Effects 0.000 claims abstract description 139
- 238000004891 communication Methods 0.000 claims abstract description 138
- 239000006185 dispersion Substances 0.000 claims description 17
- 230000000977 initiatory effect Effects 0.000 claims description 2
- 230000003993 interaction Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000006855 networking Effects 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 231100000817 safety factor Toxicity 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/06—Airborne or Satellite Networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Astronomy & Astrophysics (AREA)
- General Physics & Mathematics (AREA)
- Radio Relay Systems (AREA)
Abstract
本申请提供了一种卫星互联网密钥管理分发方法、装置和部署架构,涉及卫星通信技术领域,该方法应用于卫星互联网密钥管理分发部署架构,包括第一低轨通信卫星发起会话密钥协商请求,基于高轨管理卫星的公钥加密;高轨管理卫星响应会话密钥协商请求,通过合法低轨通信卫星的证书公钥加密链式低轨星群的低轨会话密钥,并将低轨会话密钥分发至第一低轨通信卫星;第一低轨通信卫星通过低轨会话密钥进行认证,并在第一低轨通信卫星与链式部署的低轨通信卫星链路中的第二低轨通信卫星通信时,进行信道的加密或解密。本申请大大降低了巨量卫星认证和密钥协商的困难,使全体低轨卫星安全通信成为可能,提升了卫星互联网空间通信安全。
Description
技术领域
本申请涉及卫星通信技术领域,尤其是涉及一种卫星互联网密钥管理分发方法、装置和部署架构。
背景技术
卫星互联网首先以复杂的卫星网络体系作为基础,由空间卫星段、地面段和用户段3部分组成。由于卫星接收到地面终端的通信数据后,需要将数据通过星间路由转发到某一个地面的信关站,因此必须通过空间链路实现星间转发、或星地转发,同时由于空间链路的开放性,容易从空间发起对空间链路的监听、信息劫持,从而产生信息安全的严重隐患。
目前,在进行通信时,由于卫星空间位置变换迅速,需要进行信息交换的对象也不断且迅速变化,为保障空间链路的通信安全,一般采用空间链路通信信道加密的方式进行安全防护;通信信道加密的第一步必须进行通信两端的身份认证和密钥分发,同时由于卫星的实时位置不断变化,交互时间特别短暂,使用传统的基于证书的两两身份认证和密钥交换非常低效和不方便。
发明内容
本申请的目的在于提供一种卫星互联网密钥管理分发方法、装置和部署架构,大大降低了巨量卫星认证和密钥协商的困难,使全体低轨卫星安全通信成为可能,提升了卫星互联网空间通信安全。
第一方面,本发明提供一种卫星互联网密钥管理分发方法,方法应用于卫星互联网密钥管理分发部署架构,卫星互联网密钥管理分发部署架构通过一颗或多颗高轨管理卫星完成对链式部署的链式低轨星群进行密钥管理和分发;方法包括:第一低轨通信卫星发起会话密钥协商请求,基于高轨管理卫星的公钥加密;高轨管理卫星响应会话密钥协商请求,通过合法低轨通信卫星的证书公钥加密链式低轨星群的低轨会话密钥,并将低轨会话密钥分发至第一低轨通信卫星;第一低轨通信卫星通过低轨会话密钥进行认证,并在第一低轨通信卫星与链式部署的低轨通信卫星链路中的第二低轨通信卫星通信时,进行信道的加密或解密。
在可选的实施方式中,在响应会话密钥协商请求之前,方法还包括:高轨管理卫星通过高轨管理卫星的私钥解密第一低轨通信卫星的卫星标识和证书,在证书撤销列表中查找判断卫星标识的合法性,以进行合法认证。
在可选的实施方式中,将低轨会话密钥分发至第一低轨通信卫星之后,方法还包括:第一低轨通信卫星保存低轨会话密钥。
在可选的实施方式中,第一低轨通信卫星通过低轨会话密钥进行认证,包括:
基于低轨会话密钥作为密钥源,结合第一低轨通信卫星的标识进行一级密钥分散,得到一级分散结果;
根据一级分散结果对接收端卫星发送已知信息并进行加密,得到加密后的信息,并将加密后的信息发送至对端卫星;
接收端通过一级分散结果对加密后的信息进行解密,完成认证。
在可选的实施方式中,高轨管理卫星存储有链式低轨星群中所有低轨卫星的证书。
在可选的实施方式中,构建卫星互联网认证和密钥分发空口协议,由高轨管理卫星生成工作密钥,并将工作密钥定期分发给低轨运行的卫星互联网卫星。
第二方面,本发明提供一种卫星互联网密钥管理分发装置,装置应用于卫星互联网密钥管理分发部署架构,卫星互联网密钥管理分发部署架构通过一颗或多颗高轨管理卫星完成对链式部署的链式低轨星群进行密钥管理和分发;装置包括:请求模块,用于第一低轨通信卫星发起会话密钥协商请求,基于高轨管理卫星的公钥加密;加密模块,用于高轨管理卫星响应会话密钥协商请求,通过合法低轨通信卫星的证书公钥加密链式低轨星群的低轨会话密钥,并将低轨会话密钥分发至第一低轨通信卫星;通信模块,用于第一低轨通信卫星通过低轨会话密钥进行认证,并在第一低轨通信卫星与链式部署的低轨通信卫星链路中的第二低轨通信卫星通信时,进行信道的加密或解密。
在可选的实施方式中,在响应会话密钥协商请求之前,装置还包括:合法认证模块,用于高轨管理卫星通过高轨管理卫星的私钥解密第一低轨通信卫星的卫星标识和证书,在证书撤销列表中查找判断卫星标识的合法性,以进行合法认证。
第三方面,本发明提供一种卫星互联网密钥管理分发部署架构,卫星互联网密钥管理分发部署架构通过一颗或多颗高轨管理卫星完成对链式部署的链式低轨星群进行密钥管理和分发,卫星互联网密钥管理分发部署架构实现前述实施方式任一项的卫星互联网密钥管理分发方法。
本申请提供的卫星互联网密钥管理分发方法、装置和部署架构,解决了卫星互联网低轨通信卫星位置和高速运动带来的认证和密钥交换的难点问题,通过高轨卫星对低轨卫星全体的通信可见性,大大降低了巨量卫星认证和密钥协商的困难,使全体低轨卫星安全通信成为可能,提升了卫星互联网空间通信安全。
附图说明
为了更清楚地说明本申请具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种卫星互联网密钥管理分发方法的流程图;
图2为本申请实施例提供的一种卫星互联网密钥管理分发方法的具体交互示意图;
图3为本申请实施例提供的一种卫星互联网密钥管理分发装置的结构图;
图4为本申请实施例提供的一种卫星互联网密钥管理分发部署架构的示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
卫星互联网是先进的通信技术,通过大量的低轨通信卫星组网,达到世界范围的宽带通信,尤其是偏远地区,这些地区往往是基于基站的移动通信难以覆盖的地区。
由于卫星互联网通信关系到各种重要领域,会有大量的不确定的安全因素会威胁到卫星互联网正常运行,尤其是在空间发起的探测、监听、乃至渗透等行为,会大大影响到卫星互联网的安全运营。
因此,必须通过有效手段防范和化解从空间发起的对卫星互联网空间链路的探测、监听行为,必须建立以密码技术为核心的卫星互联网空间信道保障体系,在空间通信中使用科学、坚固的通信加密安全链路,实现卫星互联网安全运营。
卫星互联网空间信道加密传输的第一步必须有效解决通信双方身份认证和会话密钥协商的问题,因为卫星在空间不断运行,时刻变换位置,时刻跟不同的卫星进行通信交互,每个交互过程如果进行身份认证和密钥协商会降低通信体系的效率,增加出错机会。
因此,给出一个高效、稳健的身份认证和密钥分发方法是卫星互联网安全通信的前提。
卫星互联网是通过低轨通信卫星组成的卫星互联网结构,并通过不同的轨道面组成的卫星互联网结构共同完成对地球表面的覆盖,并将通信波束与地面通信终端和信关站交互,形成通信网络,完成互联网接入和服务。
卫星互联网首先以复杂的卫星网络体系作为基础,由空间卫星段、地面段和用户段3部分组成。空间卫星段是由数千颗的低轨通信卫星、一定数量的中轨卫星和少数高轨通信卫星组成。其中空间卫星段的低轨卫星由一个轨道面上的链式部署的几十颗甚至几百颗低轨通信卫星组成一个通信链路,空间段低地球轨道主用卫星,分布在合理高度的多个轨道面上,每个轨道面上有N颗工作星,即由N颗星组成同一轨道面上多颗颗卫星的一个卫星互联网。卫星互联网的卫星个数越多,轨道高度可以越低,地面的覆盖面积就可以越小,延迟和信号越好,终端设备可以进一步小型化。
地面段包括系统控制部分和关口站。系统控制部分是卫星互联网组网信息安全验证系统的管理中心,负责系统的运营和业务的提供,并将在轨卫星的运行轨迹数据提供给关口站。关口站的作用是连接地面网络系统与卫星互联网组网信息安全验证系统,并对卫星互联网组网信息安全验证系统的业务进行管理。用户段包括可提供移动终端的数据接入服务。
卫星互联网中卫星的轨道周期约100min。单颗卫星波束覆盖直径大约几十km。若用户的终端保持不动,则终端大约每分钟切换一次,从同一颗卫星的一个波束切换到另一个波束,即从一颗卫星切换到另一颗卫星的服务区。根据卫星互联网组网架构,可以实现全球的通信波束覆盖,在地球任意一点,终端的接入都可以找到一颗卫星接入卫星互联网。
由于卫星接收到地面终端的通信数据后,需要将数据通过星间路由转发到某一个地面的信关站,因此必须通过空间链路实现星间转发、或星地转发,同时由于空间链路的开放性,容易从空间发起对空间链路的监听、信息劫持,从而产生信息安全的严重隐患。
综上所述,由于卫星空间位置变换迅速,需要进行信息交换的对象也不断且迅速变化,为保障空间链路的通信安全,一般采用空间链路通信信道加密的方式进行安全防护;通信信道加密的第一步必须进行通信两端的身份认证和密钥分发,同时由于卫星的实时位置不断变化,交互时间特别短暂,使用传统的基于证书的两两身份认证和密钥交换非常低效和不方便。
基于此,本申请实施例提供了一种卫星互联网密钥管理分发方法、装置和部署架构,解决了卫星互联网低轨通信卫星位置和高速运动带来的认证和密钥交换的难点问题。
本申请实施例提供了一种卫星互联网密钥管理分发方法,方法应用于卫星互联网密钥管理分发部署架构,卫星互联网密钥管理分发部署架构通过一颗或多颗高轨管理卫星完成对链式部署的链式低轨星群进行密钥管理和分发;参见图1所示,该方法主要包括以下步骤:
步骤S110,第一低轨通信卫星发起会话密钥协商请求,基于高轨管理卫星的公钥加密;
步骤S120,高轨管理卫星响应会话密钥协商请求,通过合法低轨通信卫星的证书公钥加密链式低轨星群的低轨会话密钥,并将低轨会话密钥分发至第一低轨通信卫星;
步骤S130,第一低轨通信卫星通过低轨会话密钥进行认证,并在第一低轨通信卫星与链式部署的低轨通信卫星链路中的第二低轨通信卫星通信时,进行信道的加密或解密。
进一步,为保证通信的安全性和合法性,在响应会话密钥协商请求之前,方法还包括:
高轨管理卫星通过高轨管理卫星的私钥解密第一低轨通信卫星的卫星标识和证书,在证书撤销列表中查找判断卫星标识的合法性,以进行合法认证。
此外,将低轨会话密钥分发至第一低轨通信卫星之后,为便于对后续通信加密,第一低轨通信卫星保存低轨会话密钥。
在可选的实施方式中,第一低轨通信卫星通过低轨会话密钥进行认证,可以通过轻量级认证算法,使用低轨会话密钥进行认证,具体的,轻量级认证算法的执行逻辑如下:
1)基于低轨会话密钥作为密钥源,结合第一低轨通信卫星的标识进行一级密钥分散,得到一级分散结果;在一种实施方式中,假设密钥源KW0,结合发送信息卫星ID进行一级密钥分散,一级分散的方法如下:KW1′= Enc(第一低轨通信卫星的ID,KW0),此时,第一低轨通信卫星为发送卫星。
2)根据一级分散结果对接收端卫星发送已知信息并进行加密,得到加密后的信息,并将加密后的信息发送至对端卫星;在实际应用中,可以用上述KW1′对接收端发送已知信息F进行加密,生成F’,并将F’发送给对端卫星。
3)接收端通过一级分散结果对加密后的信息进行解密,完成认证。在进行解密之前,接收端用工作密钥KW0和发送端ID做密钥分散,然后解密数据,生成F,验证成功。
在可选的实施方式中,高轨管理卫星存储有链式低轨星群中所有低轨卫星的证书。
在可选的实施方式中,构建卫星互联网认证和密钥分发空口协议,由高轨管理卫星生成工作密钥,并将工作密钥定期分发给低轨运行的卫星互联网卫星。
本申请实施例所公开的通过高轨通信卫星进行工作密钥分发的方法,可以包括以下部分内容:
1)建立一个卫星互联网密码密钥基础设施,在卫星互联网卫星构建时就预置由卫星互联网密码密钥基础设施颁发的证书和私钥。
2)建立一个或几个对所有卫星互联网卫星都通信信道可见的高轨通信卫星。
3)卫星互联网高轨密码核心卫星需保存所有低轨卫星的证书。
4)卫星互联网卫星构建基本的密码密钥处理硬件单元,如专用芯片,内置算法和储存。
5)构建卫星互联网认证和密钥分发空口协议,参见图2所示,由高轨卫星生成工作密钥,定期分发给低轨运行的卫星互联网卫星,使该工作密钥在通信过程中作为基本的认证和通信加密元素完成安全通信。
在具体实施时,卫星互联网认证和密钥分发流程可以参见图2所示,其中,前述第一低轨通信卫星为直接与高轨通信卫星通信的卫星,前述第二低轨通信卫星为与第一低轨通信卫星通信的卫星,该方法具体实施时包括以下步骤:
步骤S1,低轨工作星发起会话密钥协商请求(自身id),用密钥管理星公钥加密。
步骤S2,用合法工作星的证书公钥加密工作星群工作会话密钥,发送给工作星。
步骤S3,工作星保存密钥。
步骤S4,工作星之间通过轻量级认证算法,使用会话密钥进行认证,同时进行信道加密。
本申请实施例通过构建高轨密钥管理卫星实现对全体低轨运行的进行认证和密钥分发,解决了卫星互联网低轨通信卫星位置和高速运动带来的认证和密钥交换的难点问题,通过高轨卫星对低轨卫星全体的通信可见性,大大降低了巨量卫星认证和密钥协商的困难,使全体低轨卫星安全通信成为可能,解决了卫星互联网安全通信的核心问题,是卫星互联网空间通信安全的一个重大进步。
基于上述方法实施例,本申请实施例还提供一种卫星互联网密钥管理分发装置,装置应用于卫星互联网密钥管理分发部署架构,卫星互联网密钥管理分发部署架构通过一颗或多颗高轨管理卫星完成对链式部署的链式低轨星群进行密钥管理和分发;参见图3所示,该装置主要包括以下部分:
请求模块310,用于第一低轨通信卫星发起会话密钥协商请求,基于高轨管理卫星的公钥加密;
加密模块320,用于高轨管理卫星响应会话密钥协商请求,通过合法低轨通信卫星的证书公钥加密链式低轨星群的低轨会话密钥,并将低轨会话密钥分发至第一低轨通信卫星;
通信模块330,用于第一低轨通信卫星通过低轨会话密钥进行认证,并在第一低轨通信卫星与链式部署的低轨通信卫星链路中的第二低轨通信卫星通信时,进行信道的加密或解密。
在一可行的实施方式中,在响应会话密钥协商请求之前,装置还包括:
合法认证模块,用于高轨管理卫星通过高轨管理卫星的私钥解密第一低轨通信卫星的卫星标识和证书,在证书撤销列表中查找判断卫星标识的合法性,以进行合法认证。
在一可行的实施方式中,将低轨会话密钥分发至第一低轨通信卫星之后,上述装置还包括,密钥保存模块,用于:
第一低轨通信卫星保存低轨会话密钥。
在一可行的实施方式中,上述通信模块330,还用于:
基于低轨会话密钥作为密钥源,结合第一低轨通信卫星的标识进行一级密钥分散,得到一级分散结果;根据一级分散结果对接收端卫星发送已知信息并进行加密,得到加密后的信息,并将加密后的信息发送至对端卫星;接收端通过一级分散结果对加密后的信息进行解密,完成认证。
在一可行的实施方式中,高轨管理卫星存储有链式低轨星群中所有低轨卫星的证书。
在一可行的实施方式中,构建卫星互联网认证和密钥分发空口协议,由高轨管理卫星生成工作密钥,并将工作密钥定期分发给低轨运行的卫星互联网卫星。
本申请实施例提供的卫星互联网密钥管理分发装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,卫星互联网密钥管理分发装置的实施例部分未提及之处,可参考前述卫星互联网密钥管理分发方法实施例中相应内容。
本申请实施例还提供一种卫星互联网密钥管理分发部署架构,参见图4所示,卫星互联网在空间部署,通过一颗(图4中所示)或多颗(未示出,实际应用时可适应性设置)高轨通信卫星完成对链式部署的低轨通信卫星进行密钥管理和分发。
申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令在被处理器调用和执行时,该计算机可执行指令促使处理器实现上述卫星互联网密钥管理分发方法,具体实现可参见前述方法实施例,在此不再赘述。
本申请实施例所提供的卫星互联网密钥管理分发方法、装置和部署架构的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本申请的范围。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本申请的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。此外,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
此外,术语“水平”、“竖直”、“悬垂”等术语并不表示要求部件绝对水平或悬垂,而是可以稍微倾斜。如“水平”仅仅是指其方向相对“竖直”而言更加水平,并不是表示该结构一定要完全水平,而是可以稍微倾斜。
在本申请的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (9)
1.一种卫星互联网密钥管理分发方法,其特征在于,所述方法应用于卫星互联网密钥管理分发部署架构,所述卫星互联网密钥管理分发部署架构通过一颗或多颗高轨管理卫星完成对链式部署的链式低轨星群进行密钥管理和分发;所述方法包括:
第一低轨通信卫星发起会话密钥协商请求,基于高轨管理卫星的公钥加密;
所述高轨管理卫星响应所述会话密钥协商请求,通过合法低轨通信卫星的证书公钥加密链式低轨星群的低轨会话密钥,并将所述低轨会话密钥分发至所述第一低轨通信卫星;
所述第一低轨通信卫星通过所述低轨会话密钥进行认证,并在所述第一低轨通信卫星与链式部署的低轨通信卫星链路中的第二低轨通信卫星通信时,进行信道的加密或解密。
2.根据权利要求1所述的卫星互联网密钥管理分发方法,其特征在于,在响应所述会话密钥协商请求之前,所述方法还包括:
所述高轨管理卫星通过高轨管理卫星的私钥解密所述第一低轨通信卫星的卫星标识和证书,在证书撤销列表中查找判断所述卫星标识的合法性,以进行合法认证。
3.根据权利要求1所述的卫星互联网密钥管理分发方法,其特征在于,将所述低轨会话密钥分发至所述第一低轨通信卫星之后,所述方法还包括:
所述第一低轨通信卫星保存所述低轨会话密钥。
4.根据权利要求1所述的卫星互联网密钥管理分发方法,其特征在于,所述第一低轨通信卫星通过所述低轨会话密钥进行认证,包括:
基于所述低轨会话密钥作为密钥源,结合所述第一低轨通信卫星的标识进行一级密钥分散,得到一级分散结果;
根据所述一级分散结果对接收端卫星发送已知信息并进行加密,得到加密后的信息,并将加密后的信息发送至对端卫星;
接收端通过所述一级分散结果对加密后的信息进行解密,完成认证。
5.根据权利要求1所述的卫星互联网密钥管理分发方法,其特征在于,
所述高轨管理卫星存储有所述链式低轨星群中所有低轨卫星的证书。
6.根据权利要求1所述的卫星互联网密钥管理分发方法,其特征在于,
构建卫星互联网认证和密钥分发空口协议,由高轨管理卫星生成工作密钥,并将所述工作密钥定期分发给低轨运行的卫星互联网卫星。
7.一种卫星互联网密钥管理分发装置,其特征在于,所述装置应用于卫星互联网密钥管理分发部署架构,所述卫星互联网密钥管理分发部署架构通过一颗或多颗高轨管理卫星完成对链式部署的链式低轨星群进行密钥管理和分发;所述装置包括:
请求模块,用于第一低轨通信卫星发起会话密钥协商请求,基于高轨管理卫星的公钥加密;
加密模块,用于所述高轨管理卫星响应所述会话密钥协商请求,通过合法低轨通信卫星的证书公钥加密链式低轨星群的低轨会话密钥,并将所述低轨会话密钥分发至所述第一低轨通信卫星;
通信模块,用于所述第一低轨通信卫星通过所述低轨会话密钥进行认证,并在所述第一低轨通信卫星与链式部署的低轨通信卫星链路中的第二低轨通信卫星通信时,进行信道的加密或解密。
8.根据权利要求7所述的卫星互联网密钥管理分发装置,其特征在于,在响应所述会话密钥协商请求之前,所述装置还包括:
合法认证模块,用于所述高轨管理卫星通过高轨管理卫星的私钥解密所述第一低轨通信卫星的卫星标识和证书,在证书撤销列表中查找判断所述卫星标识的合法性,以进行合法认证。
9.一种卫星互联网密钥管理分发部署架构,其特征在于,所述卫星互联网密钥管理分发部署架构通过一颗或多颗高轨管理卫星完成对链式部署的链式低轨星群进行密钥管理和分发,所述卫星互联网密钥管理分发部署架构实现权利要求1至6任一项所述的卫星互联网密钥管理分发方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311422241.0A CN117156433B (zh) | 2023-10-31 | 2023-10-31 | 卫星互联网密钥管理分发方法、装置和部署架构 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311422241.0A CN117156433B (zh) | 2023-10-31 | 2023-10-31 | 卫星互联网密钥管理分发方法、装置和部署架构 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117156433A true CN117156433A (zh) | 2023-12-01 |
CN117156433B CN117156433B (zh) | 2024-02-06 |
Family
ID=88910472
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311422241.0A Active CN117156433B (zh) | 2023-10-31 | 2023-10-31 | 卫星互联网密钥管理分发方法、装置和部署架构 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117156433B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160056957A1 (en) * | 2013-03-28 | 2016-02-25 | Airbus Defence And Space Limited | Autonomous and seamless key distribution mechanism |
CN107979408A (zh) * | 2017-12-08 | 2018-05-01 | 北京理工大学 | 一种高轨卫星组网认证及可信保持协议 |
CN108566240A (zh) * | 2018-03-28 | 2018-09-21 | 西安电子科技大学 | 一种适用于双层卫星网络的星间组网认证系统及方法 |
CN109547213A (zh) * | 2018-12-14 | 2019-03-29 | 西安电子科技大学 | 适用于低轨卫星网络的星间组网认证系统及方法 |
CN109698744A (zh) * | 2018-12-24 | 2019-04-30 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 一种卫星组网会话密钥的协商方法及装置 |
CN112953726A (zh) * | 2021-03-01 | 2021-06-11 | 西安电子科技大学 | 融合双层卫星网络星地和星间组网认证方法、系统及应用 |
CN113949517A (zh) * | 2021-10-15 | 2022-01-18 | 南京审计大学金审学院 | 一种基于空间信道特征的低轨卫星安全认证方法 |
CN115776672A (zh) * | 2021-09-08 | 2023-03-10 | 大唐移动通信设备有限公司 | 卫星通信系统、认证方法及装置 |
-
2023
- 2023-10-31 CN CN202311422241.0A patent/CN117156433B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160056957A1 (en) * | 2013-03-28 | 2016-02-25 | Airbus Defence And Space Limited | Autonomous and seamless key distribution mechanism |
CN107979408A (zh) * | 2017-12-08 | 2018-05-01 | 北京理工大学 | 一种高轨卫星组网认证及可信保持协议 |
CN108566240A (zh) * | 2018-03-28 | 2018-09-21 | 西安电子科技大学 | 一种适用于双层卫星网络的星间组网认证系统及方法 |
CN109547213A (zh) * | 2018-12-14 | 2019-03-29 | 西安电子科技大学 | 适用于低轨卫星网络的星间组网认证系统及方法 |
CN109698744A (zh) * | 2018-12-24 | 2019-04-30 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 一种卫星组网会话密钥的协商方法及装置 |
CN112953726A (zh) * | 2021-03-01 | 2021-06-11 | 西安电子科技大学 | 融合双层卫星网络星地和星间组网认证方法、系统及应用 |
CN115776672A (zh) * | 2021-09-08 | 2023-03-10 | 大唐移动通信设备有限公司 | 卫星通信系统、认证方法及装置 |
CN113949517A (zh) * | 2021-10-15 | 2022-01-18 | 南京审计大学金审学院 | 一种基于空间信道特征的低轨卫星安全认证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN117156433B (zh) | 2024-02-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Xue et al. | A secure and efficient access and handover authentication protocol for Internet of Things in space information networks | |
US7793103B2 (en) | Ad-hoc network key management | |
CN1805333B (zh) | 无线网络系统中的数据安全 | |
KR101648158B1 (ko) | 동시적 재인증 및 접속 셋업을 이용하는 무선 통신 | |
CN100591003C (zh) | 实现基于无状态服务器的预共享私密 | |
US8726022B2 (en) | Method for the access of the mobile terminal to the WLAN and for the data communication via the wireless link securely | |
CN108683501B (zh) | 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法 | |
US20030095663A1 (en) | System and method to provide enhanced security in a wireless local area network system | |
CN108650028B (zh) | 基于量子通信网络与真随机数的多次身份认证系统和方法 | |
CN101741555B (zh) | 身份认证和密钥协商方法及系统 | |
CN111052672A (zh) | 无证书或预共享对称密钥的安全密钥传输协议 | |
CN101218800A (zh) | 用于鉴权和隐私的方法与布置 | |
KR20070032885A (ko) | 유비쿼터스 망의 보안 시스템 및 방법 | |
CN108964897B (zh) | 基于群组通信的身份认证系统和方法 | |
CN113765664B (zh) | 基于量子密钥的区块链网络安全通信方法 | |
Wang et al. | An efficient and privacy-preserving blockchain-based authentication scheme for low earth orbit satellite-assisted internet of things | |
CN112332900A (zh) | 一种低轨卫星通信网络快速切换认证方法 | |
CN109995739B (zh) | 一种信息传输方法、客户端、服务器及存储介质 | |
Wei et al. | BAVP: Blockchain‐Based Access Verification Protocol in LEO Constellation Using IBE Keys | |
CN108880799B (zh) | 基于群组密钥池的多次身份认证系统和方法 | |
CN116056080B (zh) | 一种面向低轨卫星网络的卫星切换认证方法 | |
CN114070579A (zh) | 一种基于量子密钥的工控业务鉴权认证方法和系统 | |
US20070055870A1 (en) | Process for secure communication over a wireless network, related network and computer program product | |
WO2001024560A1 (en) | Radio communications | |
CN114765543A (zh) | 一种量子密码网络扩展设备的加密通信方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |