本发明涉及无线通信技术领域,尤其涉及一种天地一体化空间信息网络低时延匿名接入认证方法。
背景技术:
目前,由卫星网络、地面网络等多种网络融合而形成的天地一体化网络因具有广域覆盖,不受地理限制,抗毁应急能力强等优点,得到学术界和工业界的广泛关注。然而,天地一体化网络通信信道高度开放的特点使得其面临信息窃取、实体欺骗等诸多安全威胁。其中,为了防止非法用户非法接入天地一体化网络获取网络服务或破坏系统,在用户接入网络之前,接入网络需要对用户的合法性进行认证。因此,天地一体化网络的接入认证方法的设计成为天地一体化网络研究和发展过程中的迫切需求。天地一体化网络接入认证技术用来防止恶意用户非法接入网络以保护开放环境中通信系统的安全。接入认证的目的是确保接入网络的用户是合法的授权用户,而不是非法用户或被仿冒的用户。同时,为确保网络环境的安全,用户需要对将要接入的拜访网络进行验证,判断该网络的合法性。因此,天地一体化网络接入认证技术是确保网络安全的关键技术之一。
然而,由于天地一体化网络具有通信信道高度开放性、节点能力受限、通信链路高时延等特点,设计适用于天地一体化网络的接入认证机制面临诸多挑战。一方面,无线信道的开放性使得恶意用户能够通过监听信道获取用户隐私,或者通过伪造,重放等攻击破坏接入认证协议,损害合法用户的权益。另一方面,由于天地一体化网络中节点能力受限,接入认证机制应该尽量避免过于复杂的密码操作。在目前的天地一体化网络接入认证方案中,用户隐私保护没有被很好的考虑进去,这将使得用户的真实身份被恶意第三方获取,同时,攻击者可以根据用户唯一的身份标识追踪用户的活动轨迹。因此,用户的隐私保护对于一个安全的接入认证方案至关重要。除此之外,在现有的接入认证方案中,用户的认证均由地面的某个实体验证。由于天地一体化网络中卫星节点与地面节点之间具有很高的传输时延,因此现有接入认证方案的认证时延往往很高,使得用户的接入网络的服务质量下降。
技术实现要素:
本发明的目的是提供一种天地一体化空间信息网络低时延匿名接入认证方法,将认证功能转移到低轨卫星,从而降低执行认证流程的时延;同时,在注册阶段为用户产生多个临时身份,实现用户的匿名认证,保护用户的身份及位置隐私;并且,基于身份的加密体制还能够有效地向定位恶意用户。
本发明的目的是通过以下技术方案实现的:
一种天地一体化空间信息网络低时延匿名接入认证方法,包括:
系统初始化阶段:建立系统参数;
注册阶段:用户通过向网络控制中心登记注册以获取相关用户信息,同时,用户完成注册时,网络控制中心还向相关的接入卫星发送认证所需信息;
认证阶段:用户利用用户信息生成认证向量auth1并发送给接入卫星,由接入卫星对认证向量auth1进行验证,若验证通过,则利用接入卫星利用认证所需信息生成认证向量auth2并发送给用户,同时,将用户此次认证所使用的临时身份信息以及相关的密钥协商参数发送给信关站;由用户对认证向量auth2进行验证,若验证通过,则计算与信关站通信的会话密钥,同时,信关站也利用接收到的信息计算与用户通信的会话密钥,完成双向认证。
由上述本发明提供的技术方案可以看出,利用上述方法可以有效地对用户的合法性进行判断,避免非法用户对网络资源的非法访问,有效保证了天地一体化网络的安全性,本发明将认证功能转移到卫星,大大降低了用户接入网络的时延,同时通过用户临时身份的使用,实现了用户的匿名认证,保护了用户的隐私,本发明在保护隐私的同时,能够揭露恶意用户的真实身份并向其追究责任。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例提供的天地一体化网络架构图;
图2为本发明实施例提供的一种天地一体化空间信息网络低时延匿名接入认证方法的流程图;
图3为本发明实施例提供的注册阶段的流程图;
图4为本发明实施例提供的认证阶段的流程图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
如图1所述,为天地一体化网络架构图,其主要包含如下实体:终端用户u,卫星接入点,信关站gs以及网络控制中心(ncc)。为了降低用户接入时延,本发明采用低轨卫星(leo)作为卫星接入点,由低轨卫星认证用户合法性。
如图2所示,为本发明实施例提供的一种天地一体化空间信息网络低时延匿名接入认证方法的流程图,其主要包括如下三个阶段:系统初始化阶段、注册阶段与认证阶段。下面针对这三个阶段做详细的介绍。
一、系统初始化阶段:建立系统参数。
本发明实施例中,所建立的系统参数主要包括:素数p;由素数p、整数a、整数b定义的椭圆曲线上的点集ep(a,b):穷远点o并上{(x,y)|0≤x≤p,0≤y≤p,且x,y为整数};ep(a,b)的生成元g;网络控制中心ncc的公私钥对(pkncc,skncc);用户u长期使用的公私钥对(pku,sku);单向哈希函数
二、注册阶段:用户通过向网络控制中心登记注册以获取相关用户信息,同时,用户完成注册时,网络控制中心还向相关的接入卫星发送认证所需信息。
如图3所示,为注册阶段的流程图。用户u使用网络之前,需要向网络控制中心发送自己的身份标识idu,网络控制中心为用户u生成多个临时身份
三、认证阶段:用户利用用户信息生成认证向量auth1并发送给接入卫星,由接入卫星对认证向量auth1进行验证,若验证通过,则利用接入卫星利用认证所需信息生成认证向量auth2并发送给用户,同时,将用户此次认证所使用的临时身份信息以及相关的密钥协商参数发送给信关站;由用户对认证向量auth2进行验证,若验证通过,则计算与信关站通信的会话密钥,同时,信关站也利用接收到的信息计算与用户通信的会话密钥,完成双向认证。
如图4所示,为认证阶段的流程图,主要过程如下:
1)用户u选择一个未使用过的临时身份
2)接入卫星对认证向量auth1进行验证时,先检查时间戳
本发明实施例中,接入卫星生成的认证向量auth2:
3)用户u对认证向量auth2进行验证时,首先检查认证向量auth2中的时间戳
4)信关站接收到用户u此次认证所使用的临时身份信息
通过上述安全接入认证过程,用户u能够快速接入天地一体化网络,与接入卫星完成双向认证,并建立会话密钥sk,用户u可以通过所建立的会话密钥保护后续通信的机密性。
另一方面,如果接入卫星接收到多个用户接入请求时,可以采用批量验证机制,即接入卫星不需要对接入请求做逐一认证,只需要验证下面的等式是否成立:
上式中的标号j为用户的编号,其他参数的含义与前文一致。
如果等式成立,说明这些用户都是合法用户;否则存在非法用户,通过二分法可以找出非法用户。
此外,当网络中发生纠纷,或者某用户u出现不正当的行为时,应该能够追究该用户的责任,还可以通过追责机制来揭露恶意用户的真实身份,从而追究其不法行为的责任。具体方法如下:
通过用户u的临时身份信息
之后,网络控制中心利用自己的私钥skncc解密获得用户u的临时身份信息
本发明实施例所提供的上述方案,主要具有如下优点:
1)用户接入认证时延的降低:将认证功能转移到卫星上,由低轨接入卫星认证用户的合法性,通过减少星地之间的交互次数达到降低认证时延的目的。
2)用户隐私的增强:用户每次接入网络时使用未使用过的临时身份访问网络,使得恶意第三方无法获取用户的真实身份,且无法连接用户的移动轨迹,从而保护用户的身份隐私及位置隐私。
3)条件的隐私保护:当网络中发生纠纷时,可以通过网络控制中心ncc获取恶意用户的真实身份,达到追究责任的目的,从而保障通信系统的稳定,为用户提供绿色安全的网络环境。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例可以通过软件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,上述实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是cd-rom,u盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。