4d)第二参与方B收到来自第一参与方A认证确认消息后,向第一参与方A发送认证 确认响应,该认证确认响应包括会话标识sid9和第二参与方B实现密钥确认所需的信息 AckB,其中sid9= {SeqN〇9, IDa, IDb},SeqN〇9为认证确认响应的序列号,其值为认证确认消息 中序列号SeqNos加1,IDa和IDb分别为第一参与方A和第二参与方B的身份标识;
[0098] 根据参数parasid和算法algsid的需要,步骤2a)和2b)可能需要多轮交互,用来完成 双方的身份认证和会话密钥协商的过程;
[0099]此时,第一参与方A与第二参与方B根据参数parasid和算法algsid,完成了身份认 证,并协商了会话密钥。
[0100] 四.会话建立
[0101] 参照图8,该部分的具体实现如下:
[0102]步骤5、建立会话
[0103] 第一参与方A作为发起者向第二参与方B发送建立请求,建立会话,如果第一参与 方A和第二参与方B之间的信任值变化导致信任等级变化时,第一参与方A和第二参与方B将 以新的信任等级为基础,选择是否重新建立新等级下的安全关联,并为新等级的服务提供 安全支持。
[0104] 5a)第一参与方A向第二参与方B发送会话建立请求,该会话建立请求包括会话标 识sidio,其中sidio= {SeqNoio, IDa, IDb},SeqNoio为会话建立请求的序列号,IDa和IDb分别为 第一参与方A和第二参与方B的身份标识;
[0105] 5b)第二参与方B收到第一参与方A的建立请求后,发送会话建立响应,该会话建立 响应包括会话标识sidii和会话建立结果标识,其中sidii = {SeqNoii, IDa, IDb},SeqNoii为会 话建立响应的序列号,其值为会话建立请求中序列号SeqNcno加1,IDa和IDb分别为第一参与 方A和第二参与方B的身份标识,会话建立结果标识为会话建立成功或会话建立失败。
[0106]以上描述仅是本发明的一个具体实例,显然对于本领域的专业人员来说,在了解 了本
【发明内容】
和原理后,都可能在不背离本发明原理、结构的情况下,进行形式和细节上的 各种修正和改变,但是这些基于本发明思想的修正和改变仍在本发明的权利要求保护范围 之内。
【主权项】
1. 一种空间信息网络中域间信任建立及多级安全关联方法,包含: (1) 计算两个参与方所在安全域之间的总体信任值: la) 第一参与方A计算自己所在安全域对第二参与方B所在安全域的总体信任值Tab: 对于两个安全域之间存在已经交互节点对的相邻域,则通过如下公式计算Tab:其中tai,bj表示两个安全域之间已经交互的节点对<ai,bj>的信任值,Wai,bj表示时间权其中sn?为当前时间戳,Sai, b j为节点对交互时生成的时 , 间戳,tw为时间窗口,超过时间窗口的交互节点对不进行计算, 对于两个安全域之间不存在已经交互节点对的非相邻域,则通过信任传播方法计算 Tab,即从第一参与方A所在的安全域经过其他安全域到第二参与方B所在的安全域的所有信 任路径的总体信任值中选择最大值作为Tab的值; lb) 第二参与方B采用与步骤la)相同的步骤,计算自己所在安全域对第一参与方A所在 安全域的总体信任值TBA; (2) 计算两个参与方所在节点之间的信任值: 2a)第一参与方A计算自己所在节点ai对第二参与方B所在节点bj的信任值1^^: tai,bj = tai,as*TAB*tbs,bj = TAB*tbs,b j, 其中tal,as为第一参与方A所在节点&1对其所在安全域的代理节点^的信任值,其值为1, tbs,bj为第二参与方B所在安全域的代理节点匕对节点bj的信任值,其中tyk,bj表示已经于节点匕交互的其他域外节点对节点匕的信任值,wyk, bj表示时间权 重; 2b)第二参与方B采用与步骤2a)相同的步骤,计算自己所在节点匕对第一参与方A所在 节点ai的信任值tbj,ai; (3) 第一参与方A作为发起者向第二参与者B发送安全关联建立请求,协商本次安全关 联的等级和所需的参数及算法; (4) 第一参与方A作为发起者向第二参与方B发送认证请求,协商会话秘钥; (5) 第一参与方A作为发起者向第二参与方B发送建立请求,建立会话,如果第一参与方 A和第二参与方B之间的信任值变化导致信任等级变化时,则第一参与方A和第二参与方B将 以新的信任等级为基础,选择是否重新建立新等级下的安全关联,并为新等级的服务提供 安全支持。2. 根据权利要求1所述的一种空间信息网络中域间信任建立及多级安全关联方法,其 中步骤(3)中第一参与方A作为发起者向第二参与者B发送安全关联建立请求,协商本次安 全关联的等级和所需的参数及算法,按如下步骤进行: 3a)第一参与方A作为发起者根据步骤2中得到的第一参与方A对第二参与方B的信任值 确定第一参与方A对第二参与方B的信任等级nB,并向第二参与方B发送安全关联建立请求; 3b)第二参与方B收到第一参与方A的安全关联建立请求后,根据第二参与方B对第一参 与方A的信任值确定第二参与方B对第一参与方A的信任等级nA,向第一参与方A发送安全关 联建立响应; 3c)第一参与方A收到第二参与方B的安全关联建立响应后,第一参与方A根据第二参与 方B对第一参与方A的信任等级nA和第一参与方A对第二参与方B的信任等级nB,选择较小的 作为本次安全关联的等级n sid,即nsid = min{nA,nB},第一参与方A以安全关联等级nsid为依 据,确定第一参与方A的参数集合{para}a和第一参与方A的算法集合{algU,其中{para}a包 括安全关联等级n sld下第一参与方A可使用的多个参数的标识,{alg}A包括安全关联等级 nsld下第一参与方A可使用的多个算法的标识,向第二参与方B发送安全关联请求; 3d)第二参与方B收到第一参与方A发送的安全关联请求后,第二参与方B根据安全关联 等级nsid为依据,确定第二参与方B的参数集合{parah和第二参与方B的算法集合{alg}B,从 第二参与方B的参数集合{para} B与第一参与方A的参数集合{paraU的交集中选择本次安全 关联所需的参数parasld,从第一参与方B的算法集合{alg} B与第一参与方A的算法集合 {alg}a的交集中选择本次安全关联所需的算法algsid,向第一参与方A发送安全关联响应; 3e)第一参与方A收到安全关联响应后,得到参数parasid和算法algsid,向第二参与方B 发送安全关联确认消息。3. 根据权利要求2所述的方法,其中步骤3a)中的安全关联建立请求,包括会话标识sicU 和第一参与方A对第二参与方B的信任等级n B,其中sicUiiSeqNcnJDAjDBhSeqNcn为安全 关联建立请求的序列号,IDa和IDb分别为第一参与方A和第二参与方B的身份标识。4. 根据权利要求2所述的方法,其中步骤3b)中的安全关联建立响应,包括会话标识sid2 和第二参与方B对第一参与方A的信任等级nA,其中8丨(12={369如2,1〇11〇8},369如 2为安全 关联建立响应的序列号,其值为安全关联建立请求的序列号SeqNcn加1,IDa和IDb分别为第 一参与方A和第二参与方B的身份标识。5. 根据权利要求2所述的方法,其中步骤3c)中的安全关联请求,包括会话标识sid3、安 全关联等级n sid、第一参与方A的参数集合{paraU和第一参与方A的算法集合{alg}A,其中 sid 3= {SeqN〇3,IDa,IDb},SeqN〇3为安全关联请求的序列号,其值为安全关联建立响应中序 列号SeqN〇2加1,IDa和IDb分别为第一参与方A和第二参与方B的身份标识。6. 根据权利要求2所述的方法,其中步骤3d)中安全关联响应,包括会话标识sid4、安全 关联等级n sid、第二参与方B的参数集合{parah、第二参与方B的算法集合{alg}B、参数 parasid和算法algsid,其中sid4= {SeqN〇4, IDa, IDb},SeqN〇4为安全关联响应的序列号,其值 为安全关联请求中序列号SeqN〇3加1,IDa和IDb分别为第一参与方A和第二参与方B的身份标 识。7. 根据权利要求2所述的方法,其中步骤3e)中安全关联确认消息,包括会话标识sid5、 安全关联结果建立标识、安全关联等级n sid、参数parasid和算法algsid,其中sid5 = {SeqN〇5, IDA,IDB},SeqN〇5S安全关联确认消息的序列号,其值为安全关联响应中序列号SeqNcn加1, IDa和IDb分别为第一参与方A和第二参与方B的身份标识,安全关联建立结果标识为安全关 联建立成功或安全关联建立失败。
【专利摘要】本发明公开了一种空间信息网络中域间信任建立及多级安全关联方法,主要解决现有技术无法独立提供域间动态信任管理和支持多域多安全级的服务协同的问题。其技术方案是:动态计算不同安全域之间总体信任值和不同安全域内交互节点间的信任值;跨域交互节点根据信任值的变化动态建立不同等级的安全关联,并根据安全关联等级的变化动态提供不同安全等级的服务。本发明具有动态性和提供多域的多级安全关联服务的特点,能够满足空间信息网络环境多安全域间动态信任管理和不同信任等级、不同应用场景下不同的安全需求,可用于空间信息网络中动态信任管理和多域安全协同操作。
【IPC分类】H04L29/06
【公开号】CN105681349
【申请号】CN201610152477
【发明人】李晨, 张俊伟, 马建峰, 刘志全, 杜方琼, 陈治平, 徐尚书
【申请人】西安电子科技大学
【公开日】2016年6月15日
【申请日】2016年3月17日