CN117750372A - 卫星通信方法、系统、装置、电子设备及存储介质 - Google Patents
卫星通信方法、系统、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN117750372A CN117750372A CN202311801389.5A CN202311801389A CN117750372A CN 117750372 A CN117750372 A CN 117750372A CN 202311801389 A CN202311801389 A CN 202311801389A CN 117750372 A CN117750372 A CN 117750372A
- Authority
- CN
- China
- Prior art keywords
- short message
- key
- terminal device
- authentication
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006854 communication Effects 0.000 title claims abstract description 245
- 238000004891 communication Methods 0.000 title claims abstract description 239
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000006870 function Effects 0.000 claims description 48
- 238000010586 diagram Methods 0.000 description 9
- 230000010365 information processing Effects 0.000 description 8
- 238000009432 framing Methods 0.000 description 7
- 238000010295 mobile communication Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000001413 cellular effect Effects 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Abstract
本申请公开了一种卫星通信方法、系统、装置、电子设备及存储介质。其中,该方法包括:卫星通信服务系统从运营商服务平台中获取第一终端设备对应的原始密钥,其中,第一终端设备为具备卫星通信功能和地面网络通信功能的终端设备;依据原始密钥,确定鉴权密钥和加密密钥;依据鉴权密钥对第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,以及依据加密密钥对第一终端设备关联的卫星通信短报文进行加密或解密。本申请解决了由于当卫星网络存在漏洞时,根据原始密钥进行认证鉴权的方式造成的认证鉴权可信度低、存在号码伪装和应用欺诈的风险的技术问题。
Description
技术领域
本申请涉及卫星通信领域,具体而言,涉及一种卫星通信方法、系统、装置、电子设备及存储介质。
背景技术
现有技术仅在卫星网络中根据原始密钥进行认证鉴权,而地面网络依赖卫星网络的认证鉴权结果,当卫星网络遭受攻击时,地面网络接收的报文存在极大的安全风险隐患。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种卫星通信方法、系统、装置、电子设备及存储介质,以至少解决由于当卫星网络存在漏洞时,根据原始密钥进行认证鉴权的方式造成的认证鉴权可信度低、存在号码伪装和应用欺诈的风险的技术问题。
根据本申请实施例的一个方面,提供了一种卫星通信方法,包括:卫星通信服务系统从运营商服务平台中获取第一终端设备对应的原始密钥,其中,第一终端设备为具备卫星通信功能和地面网络通信功能的终端设备;依据原始密钥,确定鉴权密钥和加密密钥;依据鉴权密钥对第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,以及依据加密密钥对第一终端设备关联的卫星通信短报文进行加密或解密。
可选地,依据原始密钥,确定鉴权密钥和加密密钥的步骤包括:确定预设加密算法,其中,预设加密算法包括以下至少之一:商密加密算法,国密加密算法;依据预设加密算法和原始密钥,确定鉴权密钥和加密密钥,其中,鉴权密钥对应第一生效时间段,加密密钥对应第二生效时间段,鉴权密钥在第一生效时间段中为有效状态,在第一生效时间段外为无效状态,加密密钥在第二生效时间段中为有效状态,在第二生效时间段外为无效状态。
可选地,通信流程包括第一通信流程和第二通信流程,其中,第一通信流程为第一终端设备通过卫星网络和运营商服务平台向第二终端设备发送信息,第二通信流程为第二终端设备通过运营商服务平台和卫星网络向第一终端设备发送信息,第二终端设备为具备地面网络通信功能的终端设备。
可选地,在通信流程为第一通信流程的情况下,依据鉴权密钥对第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,以及依据加密密钥对第一终端设备关联的卫星通信短报文进行加密或解密的步骤包括:接收第一终端设备依据鉴权密钥和加密密钥生成的目标卫星短报文,其中,目标卫星短报文中包括报文头和第一短报文密文,第一短报文密文为第一终端设备依据第一认证码和加密密钥对第一短报文明文加密后得到的密文,第一认证码为第一终端设备依据鉴权密钥对第一短报文明文加密后得到的字符串,报文头中包括第一终端设备的用户识别码;在用户信息数据库中检索用户识别码;在检索结果为用户信息数据库中存在用户识别码的情况下,通过加密密钥对第一短报文密文进行解密,得到第一短报文明文和第一认证码。
可选地,在通过加密密钥对第一短报文密文进行解密,得到第一短报文明文和第一认证码的步骤后,卫星通信方法还包括:将第一短报文明文、第一认证码和第一用户识别码发送至运营商服务平台,并通过运营商服务平台将第一短报文明文转发至第二终端设备,其中,运营商服务平台用于依据鉴权密钥和第一短报文明文生成第二认证码,并在第一认证码和第二认证码一致的情况下通过地面网络将第一短报文明文转发至第二终端设备。
可选地,在通信流程为第二通信流程的情况下,依据鉴权密钥对第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,以及依据加密密钥对第一终端设备关联的卫星通信短报文进行加密或解密的步骤包括:从运营商服务平台中获取第二终端设备发送的第二短报文明文,其中,运营商服务平台用于将第二短报文明文存放在与第一终端设备对应的用户信箱中,并在第一终端设备查询用户信箱后将第二短报文明文转发至运营商服务平台;依据加密密钥和鉴权密钥对第二短报文明文进行加密,得到第二短报文密文,并将第二短报文密文通过通信卫星转发至第一终端设备。
可选地,依据加密密钥和鉴权密钥对第二短报文明文进行加密,得到第二短报文密文的步骤包括:确定第一终端设备的用户识别码;依据用户识别码,查询得到第一终端设备对应的加密密钥和鉴权密钥;依据加密密钥和鉴权密钥对第二短报文明文进行加密,得到第二短报文密文。
根据本申请实施例的另一方面,还提供了一种卫星通信系统,包括第一终端设备,第二终端设备,卫星通信服务系统,运营商服务平台,其中,第一终端设备为具备卫星通信功能和地面网络通信功能的终端设备,第二终端设备为具备地面网络通信功能的终端设备;运营商服务平台,用于与第一终端设备协商确定原始密钥,以及依据原始密钥确定鉴权密钥和加密密钥;将原始密钥发送至卫星通信服务系统和第一终端设备;卫星通信服务系统,用于从运营商服务平台中获取第一终端设备对应的原始密钥,其中,第一终端设备为具备卫星通信功能和地面网络通信功能的终端设备;依据原始密钥,确定鉴权密钥和加密密钥;依据鉴权密钥对第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,以及依据加密密钥对第一终端设备关联的卫星通信短报文进行加密或解密。
根据本申请实施例的另一方面,还提供了一种卫星通信装置,适用于卫星通信服务系统中,其特征在于,包括:第一处理模块,用于从运营商服务平台中获取第一终端设备对应的原始密钥,其中,第一终端设备为具备卫星通信功能和地面网络通信功能的终端设备;第二处理模块,用于依据原始密钥,确定鉴权密钥和加密密钥;第三处理模块,用于依据鉴权密钥对第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,以及依据加密密钥对第一终端设备关联的卫星通信短报文进行加密或解密。
根据本申请实施例的另一方面,还提供了一种非易失性存储介质,非易失性存储介质中存储有程序,其中,在程序运行时控制非易失性存储介质所在设备执行卫星通信方法。
根据本申请实施例的另一方面,还提供了一种电子设备,包括:存储器和处理器,处理器用于运行存储在存储器中的程序,其中,程序运行时执行卫星通信方法。
在本申请实施例中,采用卫星通信服务系统从运营商服务平台中获取第一终端设备对应的原始密钥,其中,第一终端设备为具备卫星通信功能和地面网络通信功能的终端设备;依据原始密钥,确定鉴权密钥和加密密钥;依据鉴权密钥对第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,以及依据加密密钥对第一终端设备关联的卫星通信短报文进行加密或解密的方式,通过设置卫星网络和地面网络基于原始密钥分别派生鉴权密钥和加密密钥,达到了减少地面网络对卫星网络的鉴权依赖的目的,从而实现了提高报文信息安全性的技术效果,进而解决了由于当卫星网络存在漏洞时,根据原始密钥进行认证鉴权的方式造成的认证鉴权可信度低、存在号码伪装和应用欺诈的风险的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种卫星通信系统的结构示意图;
图2是根据本申请实施例的一种卫星通信服务系统的结构示意图;
图3是根据本申请实施例的一种运营商服务平台的结构示意图;
图4是根据本申请实施例的一种卫星通信方法的流程示意图;
图5是根据本申请实施例的一种卫星短报文业务开通的流程示意图;
图6是根据本申请实施例的一种密钥更新的流程示意图;
图7是根据本申请实施例的一种第一终端设备向第二终端设备发送消息的流程示意图;
图8是根据本申请实施例的一种第一终端设备发送卫星短报文时入站信息的组帧示意图;
图9是根据本申请实施例的一种卫星通信服务系统对入站信息鉴权解密的流程示意图;
图10是根据本申请实施例的一种运营商服务平台对入站信息鉴权的流程示意图;
图11是根据本申请实施例的一种第二终端设备向第一终端设备发送消息的流程示意图;
图12是根据本申请实施例的一种卫星通信装置的结构示意图;
图13是根据本申请实施例的一种电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了更好地理解本申请实施例,以下将本申请实施例中涉及的技术术语解释如下:
会话初始协议(Session Initiation Protocol,简称为SIP):是一种用于建立、修改和终止多媒体会话的通信协议。它可以用于实现语音通话、视频通话、即时消息等多种实时通信服务。
国际移动用户识别码(International Mobile Subscriber Identity,简称为IMSI):用于识别全球移动通信系统(GSM)和通用移动通信系统(UMTS)网络中的移动用户。IMSI通常存储在SIM卡中,并通过移动设备发送给基站,以便网络可以识别和验证用户身份。
引导服务器功能(Bootstrapping Server Function,简称为BSF):是一种在计算机网络中用于引导和协调网络节点之间通信的功能。它通常用于启动和管理对等网络中的节点,以确保它们能够正确地加入和退出网络,并且能够有效地交换信息和资源。
归属用户服务器(Home Subscriber Server,简称为HSS):是一个用于存储和管理移动通信网络中用户的个人信息和订阅数据的重要组件,它负责验证用户身份、管理用户的服务订阅和配置信息,并支持移动设备的漫游功能。
归属位置寄存器(Home Location Register,简称为HLR):是一个用于移动通信网络中的重要组件。它是一个数据库,用于存储移动用户的个人信息和位置信息。
在相关技术中,仅在卫星网络中进行鉴权认证,因此,在卫星网络存在漏洞时,存在地面网络接收的报文信息安全性不足的问题。为了解决该问题,本申请实施例中提供了相关的解决方案,以下详细说明。
本申请提供了一种卫星通信系统,图1是该卫星通信系统的结构示意图,如图1所示,包括:第一终端设备10、第二终端设备12、卫星通信服务系统14和运营商服务平台16,其中,第一终端设备10为具备卫星通信功能和地面网络通信功能的终端设备,第二终端设备12为具备地面网络通信功能的终端设备;运营商服务平台16用于与第一终端设备协商确定原始密钥,以及依据原始密钥确定鉴权密钥和加密密钥,运营商服务平台16还用于将原始密钥发送至卫星通信服务系统和第一终端设备;卫星通信服务系统14用于从运营商服务平台中获取第一终端设备10对应的原始密钥,其中,第一终端设备10为具备卫星通信功能和地面网络通信功能的终端设备;卫星通信服务系统14还用于依据原始密钥确定鉴权密钥和加密密钥,依据鉴权密钥对第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,以及依据加密密钥对第一终端设备关联的卫星通信短报文进行加密或解密。
在本申请的一些实施例中,卫星通信服务系统14的结构示意图如图2,包括:信号处理子系统、信息处理子系统和鉴权加密子系统,其中,信号处理子系统用于完成入站信号跟踪、解调和译码处理,得到短报文信息,还用于完成出站信号的调制、发射;当信息处理子系统处于第一通信流程时,用于解析短报文信息,并将解密后的短报文信息路由分发至运营商服务平台16;当信息处理子系统处于第二通信流程时,用于对加密后的信息进行组帧;此外,信息处理子系统还用于从运营商服务平台16获取原始密钥,并且还具有位置管理、话单管理等业务管理功能;鉴权加密子系统可以在原始密钥基础上派生加密密钥,在处于第一通信流程时,鉴权加密子系统通过判别短报文中发送方IMSI(国际移动用户识别码-International Mobile Subscriber Identity)信息实现用户身份认证鉴权功能;在处于第二通信流程时,鉴权加密子系统可以利用加密密钥对信息进行加密。
在本申请的一些实施例中,运营商服务平台16的结构示意图如图3,包括:信息互通网关、运营商鉴权模块和SIP模块,其中,信息互通网关在处于第一通信流程时,通过从卫星通信服务系统14获得的解密短报文信息发送至运营商鉴权模块完成认证鉴权判定;信息互通网关在处于第二通信流程时,用于将信息进行组帧发送至卫星通信服务系统14;此外,信息互通网关还用于将原始密钥同步至卫星通信服务系统14,并且还具备开通/关闭/注销、位置管理、计费结算等业务管理功能。运营商鉴权模块用于与地面网BSF网元、HSS/HLR网元和第一终端设备10基于3GPP移动通信网络GBA认证鉴权标准认证方案实现原始密钥的协商生成,此外,还用于在第一通信流程中基于原始密钥等算法派生鉴权密钥,并完成短报文用户身份认证鉴权判定,在第二通信流程中,利用鉴权密钥生成认证码。SIP模块用于将判定通过的用户短报文信息以地面网络短信形式通过地面网发送至第二终端设备12,判定不通过的用户则不服务,还用于接收地面网络发送的短信,并存入用户信箱。
作为一种可选的实施方式,卫星通信系统中的第一终端设备和第二终端设备包括但不限于经由有线线路连接,如经由公共交换电话网络(Public Switched TelephoneNetworks,PSTN)、数字用户线路(Digital Subscriber Line,DSL)、数字电缆、直接电缆连接、和/或另一数据连接/网络、和/或经由无线接口,如,针对蜂窝网络、无线局域网(Wireless Local Area Network,WLAN)、诸如DVB-H网络的数字电视网络、卫星网络、AM-FM广播发送器、和/或另一终端设备的被设置成接收/发送通信信号的装置、和/或物联网(Internet of Things,IoT)设备。被设置成通过无线接口通信的终端设备可以被称为“无线通信终端”、“无线终端”或“移动终端”。移动终端的示例包括但不限于卫星或蜂窝电话;可以组合蜂窝无线电电话与数据处理、传真以及数据通信能力的个人通信系统(PersonalCommunications System,PCS)终端;可以包括无线电电话、寻呼机、因特网/内联网接入、Web浏览器、记事簿、日历以及/或全球定位系统(Global Positioning System,GPS)接收器的PDA;以及常规膝上型和/或掌上型接收器或包括无线电电话收发器的其它电子装置。终端设备可以指接入终端、用户设备(User Equipment,UE)、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。接入终端可以是蜂窝电话、无绳电话、会话启动协议(Session Initiation Protocol,SIP)电话、无线本地环路(Wireless Local Loop,WLL)站、个人数字处理(Personal DigitalAssistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备、5G网络中的终端设备或者未来演进的PLMN中的终端设备等。
本申请实施例还提供了一种卫星通信方法,如图4所示,该方法包括如下步骤:
步骤S402,卫星通信服务系统从运营商服务平台中获取第一终端设备对应的原始密钥,其中,第一终端设备为具备卫星通信功能和地面网络通信功能的终端设备;
步骤S404,依据原始密钥,确定鉴权密钥和加密密钥;
在步骤S404所提供的技术方案中,需要具体说明的是,依据原始密钥,确定鉴权密钥和加密密钥的步骤包括:确定预设加密算法,其中,预设加密算法包括以下至少之一:商密加密算法,国密加密算法;依据预设加密算法和原始密钥,确定鉴权密钥和加密密钥,其中,鉴权密钥对应第一生效时间段,加密密钥对应第二生效时间段,鉴权密钥在第一生效时间段中为有效状态,在第一生效时间段外为无效状态,加密密钥在第二生效时间段中为有效状态,在第二生效时间段外为无效状态。
步骤S406,依据鉴权密钥对第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,以及依据加密密钥对第一终端设备关联的卫星通信短报文进行加密或解密。
在步骤S406所提供的技术方案中,需要具体说明的是,通信流程包括第一通信流程和第二通信流程,其中,第一通信流程为第一终端设备通过卫星网络和运营商服务平台向第二终端设备发送信息,第二通信流程为第二终端设备通过运营商服务平台和卫星网络向第一终端设备发送信息,第二终端设备为具备地面网络通信功能的终端设备。
作为一种可选的实施方式,在通信流程为第一通信流程的情况下,依据鉴权密钥对第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,以及依据加密密钥对第一终端设备关联的卫星通信短报文进行加密或解密的步骤包括:接收第一终端设备依据鉴权密钥和加密密钥生成的目标卫星短报文,其中,目标卫星短报文中包括报文头和第一短报文密文,第一短报文密文为第一终端设备依据第一认证码和加密密钥对第一短报文明文加密后得到的密文,第一认证码为第一终端设备依据鉴权密钥对第一短报文明文加密后得到的字符串,报文头中包括第一终端设备的用户识别码;在用户信息数据库中检索用户识别码;在检索结果为用户信息数据库中存在用户识别码的情况下,通过加密密钥对第一短报文密文进行解密,得到第一短报文明文和第一认证码。
作为一种可选的实施方式,在通过加密密钥对第一短报文密文进行解密,得到第一短报文明文和第一认证码的步骤后,卫星通信方法还包括:将第一短报文明文、第一认证码和第一用户识别码发送至运营商服务平台,并通过运营商服务平台将第一短报文明文转发至第二终端设备,其中,运营商服务平台用于依据鉴权密钥和第一短报文明文生成第二认证码,并在第一认证码和第二认证码一致的情况下通过地面网络将第一短报文明文转发至第二终端设备。
作为一种可选的实施方式,在通信流程为第二通信流程的情况下,依据鉴权密钥对第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,以及依据加密密钥对第一终端设备关联的卫星通信短报文进行加密或解密的步骤包括:从运营商服务平台中获取第二终端设备发送的第二短报文明文,其中,运营商服务平台用于将第二短报文明文存放在与第一终端设备对应的用户信箱中,并在第一终端设备查询用户信箱后将第二短报文明文转发至运营商服务平台;依据加密密钥和鉴权密钥对第二短报文明文进行加密,得到第二短报文密文,并将第二短报文密文通过通信卫星转发至第一终端设备。
作为一种可选的实施方式,依据加密密钥和鉴权密钥对第二短报文明文进行加密,得到第二短报文密文的步骤包括:确定第一终端设备的用户识别码;依据用户识别码,查询得到第一终端设备对应的加密密钥和鉴权密钥;依据加密密钥和鉴权密钥对第二短报文明文进行加密,得到第二短报文密文。
作为一种可选的实施方式,第一终端设备采用第一通信流程发送信息,具体地,第一终端设备开通卫星短报文业务,将用户信息存储在用户信息数据库中,然后第一终端设备基于原始密钥、商密加密算法和国密加密算法派生鉴权密钥和加密密钥,在派生密钥的同时,设置鉴权密钥对应第一生效时间段,加密密钥对应第二生效时间段,在生效时间段外,密钥失效。然后第一终端设备通过卫星网络和运营商服务平台向第二终端设备发送短报文。
作为一种可选的实施方式,卫星通信服务系统接收第一设备发送的短报文,然后依据鉴权密钥对述第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,具体地,通过识别报文头中的用户识别码是否在用户信息数据库来进行认证鉴权,鉴权通过后通过所述加密密钥对第一短报文密文进行解密,得到第一短报文明文和所述第一认证码。接着,将第一短报文明文、第一认证码和第一用户识别码发送至运营商服务平台,并通过运营商服务平台将第一短报文明文转发至第二终端设备;运营商服务平台在转发报文之前,先对用户身份进行鉴权,具体地,运营商服务平台依据鉴权密钥和第一短报文明文生成第二认证码,并在第一认证码和第二认证码一致的情况下通过地面网络将第一短报文明文转发至第二终端设备。
作为一种可选的实施方式,第二终端设备采用第二通信流程发送信息,具体地,第二终端设备发送的短报文明文先经过运营商服务平台,运营商服务平台获取第二终端设备想要通信的第一终端设备的用户信箱,并将短报文存储在该用户信箱中,然后运营商服务平台提取用户信箱中的信息发送至卫星通信服务系统,由卫星通信服务系统对短报文进行加密得到短报文密文,最后,短报文密文经由通信卫星转发至第一终端设备。
在本申请的一些实施例中,基于用户身份鉴权和加密密钥的卫星短报文通信的过程包括:
步骤A1:在开通卫星短报文业务时,运营商服务平台将用户信息同步至卫星通信服务系统,形成用户信息数据库,其中,卫星短报文业务开通流程如图5所示;
步骤A2:第一终端设备处于地面网络覆盖范围内时,完成原始密钥、鉴权密钥和加密密钥派生,并按照更新机制对上述密钥进行更新;
具体地,依照更新机制对密钥进行更新的具体过程如图6所示,包括:
步骤B1:第一终端设备与地面网BSF网元、HSS/HLR网元配合基于3GPP移动通信网络GBA认证鉴权标准认证方案实现原始密钥的协商,使第一终端设备与BSF网元拥有相同的原始密钥;
步骤B2:第一终端设备基于加密算法派生鉴权密钥和加密密钥;
步骤B3:BSF网元将原始秘钥同步至运营商服务平台的运营商鉴权模块,运营商服务平台基于原始密钥和加密算法派生鉴权密钥,使第一终端设备与运营商服务平台获得共享鉴权密钥;
步骤B4:运营商服务平台的运营商鉴权模块经信息互通网关将原始密钥同步至卫星通信服务系统,卫星通信服务系统基于原始密钥和加密算法派生加密密钥,时第一终端设备与卫星通信服务系统获取共享加密密钥;
步骤B5:在用户主动更新密钥或者密钥失效时自动发起原始密钥更新,同时派生新的加密密钥和鉴权密钥。
步骤A31:基于鉴权密钥和加密密钥进行鉴权,第一终端设备向第二终端设备发送消息;
具体地,第一终端设备向第二终端设备发送消息的流程如图7所示,包括如下步骤:
步骤C1:如图8所示,在卫星网络下,第一终端设备使用派生的鉴权密钥和待发送短报文明文使用加密算法生成认证码,使用加密密钥将认证码和短报文明文经加密算法生成短报文密文,与报文头(携带发送方IMSI信息)组帧后形成卫星短报文入站信息,并发射入站信号;
步骤C2:如图9所示,卫星通信服务系统接收入站信号完成信号处理及信息解析后,由鉴权加解密子系统判别报文头中的发送方IMSI信息是否在用户信息数据库来进行认证鉴权;鉴权通过后利用加密密钥对短报文密文进行解密,其中,可以依据发送方IMSI信息查询得到加密密钥;将解密后的短报文明文、认证码以及发送方IMSI信息分发至运营商服务平台;
步骤C3:如图10所示,运营商服务平台的运营商鉴权模块利用经信息互通网关转发的信息对用户身份进行认证鉴权。首先查询用户对应的鉴权密钥,并结合短报文明文得到期望的认证码,将期望的认证码与卫星通信服务系统转发的认证码进行一致性判定,若二者一致则认为用户认证鉴权通过,将短报文信息发送至SIP模块;
步骤C4:运营商服务平台的SIP模块将短报文通过地面网络按照地面网短信协议发送至第二终端设备。
步骤A32:基于加密密钥,第二终端设备向第一终端设备发送消息。
具体地,第二终端设备向向处于地面网络信号盲区但在卫星网络服务覆盖范围内的第一终端设备发送消息的流程如图11所示,包括如下步骤:
步骤D1:第二终端设备通过地面网络按照地面网短信协议(携带接收方IMSI信息)发送至运营商服务平台的SIP模块,运营商服务平台的SIP模块将消息存储至用户信箱;
步骤D2:第一终端设备通过卫星通信服务系统查询用户信箱;
步骤D3:运营商服务平台的信息互通网关提取信箱中用户消息组帧后发送至卫星通信服务系统;
步骤D4:卫星通信服务系统的信息处理子系统获得短报文明文,之后由鉴权加解密子系统利用加密密钥将短报文明文加密形成卫星短报文密文,信息处理子系统完成组帧后,通过信号处理子系统调制形成出站信号,经通信卫星发送至第一终端设备。
通过上述步骤,可以实现采用卫星通信服务系统从运营商服务平台中获取第一终端设备对应的原始密钥,其中,第一终端设备为具备卫星通信功能和地面网络通信功能的终端设备;依据原始密钥,确定鉴权密钥和加密密钥;依据鉴权密钥对第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,以及依据加密密钥对第一终端设备关联的卫星通信短报文进行加密或解密的方式,通过设置卫星网络和地面网络基于原始密钥分别派生鉴权密钥和加密密钥,达到了减少地面网络对卫星网络的鉴权依赖的目的,从而实现了提高报文信息安全性的技术效果,进而解决了由于当卫星网络存在漏洞时,根据原始密钥进行认证鉴权的方式造成的认证鉴权可信度低、存在号码伪装和应用欺诈的风险的技术问题。
本申请实施例提供了一种卫星通信装置,适用于卫星通信服务系统中,图12是卫星通信装置结构示意图,如图12所示,包括第一处理模块120、第二处理模块122和第三处理模块124,其中,第一处理模块120用于从运营商服务平台中获取第一终端设备对应的原始密钥,其中,第一终端设备为具备卫星通信功能和地面网络通信功能的终端设备;第二处理模块122用于依据原始密钥,确定鉴权密钥和加密密钥;第三处理模块124用于依据鉴权密钥对第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,以及依据加密密钥对第一终端设备关联的卫星通信短报文进行加密或解密。
作为一种可选的实施方式,第二处理模块122依据原始密钥,确定鉴权密钥和加密密钥的步骤包括:确定预设加密算法,其中,预设加密算法包括以下至少之一:商密加密算法,国密加密算法;依据预设加密算法和原始密钥,确定鉴权密钥和加密密钥,其中,鉴权密钥对应第一生效时间段,加密密钥对应第二生效时间段,鉴权密钥在第一生效时间段中为有效状态,在第一生效时间段外为无效状态,加密密钥在第二生效时间段中为有效状态,在第二生效时间段外为无效状态。
作为一种可选的实施方式,第三处理模块124在通信流程为第一通信流程的情况下,依据鉴权密钥对第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,以及依据加密密钥对第一终端设备关联的卫星通信短报文进行加密或解密的步骤包括:接收第一终端设备依据鉴权密钥和加密密钥生成的目标卫星短报文,其中,目标卫星短报文中包括报文头和第一短报文密文,第一短报文密文为第一终端设备依据第一认证码和加密密钥对第一短报文明文加密后得到的密文,第一认证码为第一终端设备依据鉴权密钥对第一短报文明文加密后得到的字符串,报文头中包括第一终端设备的用户识别码;在用户信息数据库中检索用户识别码;在检索结果为用户信息数据库中存在用户识别码的情况下,通过加密密钥对第一短报文密文进行解密,得到第一短报文明文和第一认证码。
作为一种可选的实施方式,第三处理模块124在通过加密密钥对第一短报文密文进行解密,得到第一短报文明文和第一认证码的步骤后,卫星通信方法还包括:将第一短报文明文、第一认证码和第一用户识别码发送至运营商服务平台,并通过运营商服务平台将第一短报文明文转发至第二终端设备,其中,运营商服务平台用于依据鉴权密钥和第一短报文明文生成第二认证码,并在第一认证码和第二认证码一致的情况下通过地面网络将第一短报文明文转发至第二终端设备。
作为一种可选的实施方式,第三处理模块124在通信流程为第二通信流程的情况下,依据鉴权密钥对第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,以及依据加密密钥对第一终端设备关联的卫星通信短报文进行加密或解密的步骤包括:从运营商服务平台中获取第二终端设备发送的第二短报文明文,其中,运营商服务平台用于将第二短报文明文存放在与第一终端设备对应的用户信箱中,并在第一终端设备查询用户信箱后将第二短报文明文转发至运营商服务平台;依据加密密钥和鉴权密钥对第二短报文明文进行加密,得到第二短报文密文,并将第二短报文密文通过通信卫星转发至第一终端设备。
作为一种可选的实施方式,第三处理模块124依据加密密钥和鉴权密钥对第二短报文明文进行加密,得到第二短报文密文的步骤包括:确定第一终端设备的用户识别码;依据用户识别码,查询得到第一终端设备对应的加密密钥和鉴权密钥;依据加密密钥和鉴权密钥对第二短报文明文进行加密,得到第二短报文密文。
需要说明的是,上述卫星通信装置中的各个模块可以是程序模块(例如是实现某种特定功能的程序指令集合),也可以是硬件模块,对于后者,其可以表现为以下形式,但不限于此:上述各个模块的表现形式均为一个处理器,或者,上述各个模块的功能通过一个处理器实现。
根据本申请实施例,提供了一种非易失性存储介质。非易失性存储介质中存储有程序,其中,在程序运行时控制非易失性存储介质所在设备执行如下卫星通信方法:卫星通信服务系统从运营商服务平台中获取第一终端设备对应的原始密钥,其中,第一终端设备为具备卫星通信功能和地面网络通信功能的终端设备;依据原始密钥,确定鉴权密钥和加密密钥;依据鉴权密钥对第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,以及依据加密密钥对第一终端设备关联的卫星通信短报文进行加密或解密。
根据本申请实施例,提供了一种电子设备。如图13所示,电子设备包括处理器132、存储器134和传输装置136,处理器132用于运行存储在存储器134中的程序,传输装置136用于经由一个网络接收或者发送数据。其中,程序运行时执行如下卫星通信方法:卫星通信服务系统从运营商服务平台中获取第一终端设备对应的原始密钥,其中,第一终端设备为具备卫星通信功能和地面网络通信功能的终端设备;依据原始密钥,确定鉴权密钥和加密密钥;依据鉴权密钥对第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,以及依据加密密钥对第一终端设备关联的卫星通信短报文进行加密或解密。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对相关技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (11)
1.一种卫星通信方法,其特征在于,包括:
卫星通信服务系统从运营商服务平台中获取第一终端设备对应的原始密钥,其中,所述第一终端设备为具备卫星通信功能和地面网络通信功能的终端设备;
依据所述原始密钥,确定鉴权密钥和加密密钥;
依据所述鉴权密钥对所述第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,以及依据所述加密密钥对所述第一终端设备关联的卫星通信短报文进行加密或解密。
2.根据权利要求1所述的卫星通信方法,其特征在于,所述依据所述原始密钥,确定鉴权密钥和加密密钥的步骤包括:
确定预设加密算法,其中,所述预设加密算法包括以下至少之一:商密加密算法,国密加密算法;
依据所述预设加密算法和所述原始密钥,确定所述鉴权密钥和所述加密密钥,其中,所述鉴权密钥对应第一生效时间段,所述加密密钥对应第二生效时间段,所述鉴权密钥在所述第一生效时间段中为有效状态,在所述第一生效时间段外为无效状态,所述加密密钥在所述第二生效时间段中为有效状态,在所述第二生效时间段外为无效状态。
3.根据权利要求1所述的卫星通信方法,其特征在于,所述通信流程包括第一通信流程和第二通信流程,其中,所述第一通信流程为所述第一终端设备通过卫星网络和运营商服务平台向第二终端设备发送信息,所述第二通信流程为所述第二终端设备通过所述运营商服务平台和所述卫星网络向所述第一终端设备发送信息,所述第二终端设备为具备地面网络通信功能的终端设备。
4.根据权利要求3所述的卫星通信方法,其特征在于,在所述通信流程为所述第一通信流程的情况下,所述依据所述鉴权密钥对所述第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,以及依据所述加密密钥对所述第一终端设备关联的卫星通信短报文进行加密或解密的步骤包括:
接收所述第一终端设备依据所述鉴权密钥和所述加密密钥生成的目标卫星短报文,其中,所述目标卫星短报文中包括报文头和第一短报文密文,所述第一短报文密文为所述第一终端设备依据第一认证码和所述加密密钥对第一短报文明文加密后得到的密文,所述第一认证码为所述第一终端设备依据所述鉴权密钥对所述第一短报文明文加密后得到的字符串,所述报文头中包括所述第一终端设备的用户识别码;
在用户信息数据库中检索所述用户识别码;
在检索结果为所述用户信息数据库中存在所述用户识别码的情况下,通过所述加密密钥对所述第一短报文密文进行解密,得到所述第一短报文明文和所述第一认证码。
5.根据权利要求4所述的卫星通信方法,其特征在于,在所述通过所述加密密钥对所述第一短报文密文进行解密,得到所述第一短报文明文和所述第一认证码的步骤后,所述卫星通信方法还包括:
将所述第一短报文明文、所述第一认证码和所述第一用户识别码发送至所述运营商服务平台,并通过所述运营商服务平台将所述第一短报文明文转发至所述第二终端设备,其中,所述运营商服务平台用于依据所述鉴权密钥和所述第一短报文明文生成第二认证码,并在所述第一认证码和所述第二认证码一致的情况下通过地面网络将所述第一短报文明文转发至所述第二终端设备。
6.根据权利要求3所述的卫星通信方法,其特征在于,在所述通信流程为所述第二通信流程的情况下,所述依据所述鉴权密钥对所述第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,以及依据所述加密密钥对所述第一终端设备关联的卫星通信短报文进行加密或解密的步骤包括:
从所述运营商服务平台中获取所述第二终端设备发送的第二短报文明文,其中,所述运营商服务平台用于将所述第二短报文明文存放在与所述第一终端设备对应的用户信箱中,并在所述第一终端设备查询所述用户信箱后将所述第二短报文明文转发至所述运营商服务平台;
依据所述加密密钥和所述鉴权密钥对所述第二短报文明文进行加密,得到第二短报文密文,并将所述第二短报文密文通过通信卫星转发至所述第一终端设备。
7.根据权利要求6所述的卫星通信方法,其特征在于,所述依据所述加密密钥和所述鉴权密钥对所述第二短报文明文进行加密,得到第二短报文密文的步骤包括:
确定所述第一终端设备的用户识别码;
依据所述用户识别码,查询得到所述第一终端设备对应的所述加密密钥和所述鉴权密钥;
依据所述加密密钥和所述鉴权密钥对所述第二短报文明文进行加密,得到第二短报文密文。
8.一种卫星通信系统,其特征在于,包括第一终端设备,第二终端设备,卫星通信服务系统,运营商服务平台,其中,
所述第一终端设备为具备卫星通信功能和地面网络通信功能的终端设备,所述第二终端设备为具备地面网络通信功能的终端设备;
所述运营商服务平台,用于与所述第一终端设备协商确定原始密钥,以及依据所述原始密钥确定鉴权密钥和加密密钥;将所述原始密钥发送至所述卫星通信服务系统和所述第一终端设备;
所述卫星通信服务系统,用于从运营商服务平台中获取第一终端设备对应的原始密钥,其中,所述第一终端设备为具备卫星通信功能和地面网络通信功能的终端设备;依据所述原始密钥,确定鉴权密钥和加密密钥;依据所述鉴权密钥对所述第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,以及依据所述加密密钥对所述第一终端设备关联的卫星通信短报文进行加密或解密。
9.一种卫星通信装置,适用于卫星通信服务系统中,其特征在于,包括:
第一处理模块,用于从运营商服务平台中获取第一终端设备对应的原始密钥,其中,所述第一终端设备为具备卫星通信功能和地面网络通信功能的终端设备;
第二处理模块,用于依据所述原始密钥,确定鉴权密钥和加密密钥;
第三处理模块,用于依据所述鉴权密钥对所述第一终端设备关联的通信流程中涉及的通信对象的对象身份进行认证鉴权,以及依据所述加密密钥对所述第一终端设备关联的卫星通信短报文进行加密或解密。
10.一种非易失性存储介质,其特征在于,所述非易失性存储介质中存储有程序,其中,在所述程序运行时控制所述非易失性存储介质所在设备执行权利要求1至7中任意一项所述的卫星通信方法。
11.一种电子设备,其特征在于,包括:存储器和处理器,所述处理器用于运行存储在所述存储器中的程序,其中,所述程序运行时执行权利要求1至7中任意一项所述的卫星通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311801389.5A CN117750372A (zh) | 2023-12-25 | 2023-12-25 | 卫星通信方法、系统、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311801389.5A CN117750372A (zh) | 2023-12-25 | 2023-12-25 | 卫星通信方法、系统、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117750372A true CN117750372A (zh) | 2024-03-22 |
Family
ID=90252595
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311801389.5A Pending CN117750372A (zh) | 2023-12-25 | 2023-12-25 | 卫星通信方法、系统、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117750372A (zh) |
-
2023
- 2023-12-25 CN CN202311801389.5A patent/CN117750372A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11228442B2 (en) | Authentication method, authentication apparatus, and authentication system | |
| US8046583B2 (en) | Wireless terminal | |
| US7817986B2 (en) | Method and system for providing cellular assisted secure communications of a plurality of ad hoc devices | |
| US8468353B2 (en) | Method, system and authentication centre for authenticating in end-to-end communications based on a mobile network | |
| US8261078B2 (en) | Access to services in a telecommunications network | |
| US6745326B1 (en) | Authentication process including setting up a secure channel between a subscriber and a service provider accessible through a telecommunications operator | |
| JP3105361B2 (ja) | 移動通信方式における認証方法 | |
| US7444513B2 (en) | Authentication in data communication | |
| US8838972B2 (en) | Exchange of key material | |
| US20070192841A1 (en) | Mutual authentication apparatus and method | |
| US20090117876A1 (en) | Communication system, communication method, authentication information managing server, and small base station | |
| AU5718599A (en) | Efficient authentication with key update | |
| JP2003503896A (ja) | エンティティの認証と暗号化キー生成の機密保護されたリンクのための方法と構成 | |
| JP2001524777A (ja) | データ接続の機密保護 | |
| KR20000068513A (ko) | 전기통신망에서 무선 암호화하는 방법 및 장치 | |
| EP2547051B1 (en) | Confidential communication method using vpn, a system and program for the same, and memory media for program therefor | |
| EP3472969B1 (en) | A key generation and distribution method based on identity-based cryptography | |
| JP2002502204A (ja) | 電気通信システムにおけるメッセージの処理のための手順、およびシステム | |
| CN103795966B (zh) | 一种基于数字证书的安全视频通话实现方法及系统 | |
| US20160044505A1 (en) | Method to establish a secure voice communication using generic bootstrapping architecture | |
| Angermeier et al. | PAL-privacy augmented LTE: A privacy-preserving scheme for vehicular LTE communication | |
| CN117750372A (zh) | 卫星通信方法、系统、装置、电子设备及存储介质 | |
| US20050228997A1 (en) | Methods and devices for providing secure communication sessions | |
| Khozooyi et al. | Security in mobile governmental transactions | |
| CN112235736B (zh) | 漫游场景下的用户标识认定方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |