一种适用于双层卫星网络的星间组网认证系统及方法技术方案

本发明专利技术属于信息安全技术领域，公开了一种适用于双层卫星网络的星间组网认证系统及方法，系统包括地面认证服务器、高轨卫星认证客户端和低轨卫星认证客户端；地面认证服务器，负责完成卫星认证系统的初始化，即生成与分发卫星间认证所需要的身份信息、密钥、轨道参数；高轨卫星认证客户端和低轨卫星认证客户端是星间组网认证的主体，通过交互认证参数实现星间身份认证与密钥协商。利用卫星网络时钟高度同步、节点运行轨迹可预测的特点，本发明专利技术设计了认证预计算机制，有效提升了卫星间的认证效率。本发明专利技术能够实现双层卫星网络中高、低轨卫星在组网阶段安全、高效的身份认证和密钥协商，可用于高、低轨卫星间的组网认证。

【技术实现步骤摘要】
一种适用于双层卫星网络的星间组网认证系统及方法
本专利技术属于信息安全
，尤其涉及一种适用于双层卫星网络的星间组网认证系统及方法。可用于为商业卫星网络在卫星组网时提供卫星身份认证服务，能够在无可信第三方参与的情况下，实现卫星之间的信任建立和安全通信。
技术介绍
目前，业内常用的现有技术是这样的：由于目前的卫星网络包含卫星数量较少，如铱星(66颗)、GPS(24颗)，卫星组网主要由地面站控制完成。卫星组网认证通常采用的方式是由地面站直接为卫星分配认证参数、会话密钥等。在这种控制结构中，卫星通常不具备自主组网能力，致使其组网认证的进行严重依赖地面站。然而，随着航天技术的发展，卫星网络趋向复杂化，如卫星节点数量众多、卫星控制模型复杂。在这种趋势下，传统的卫星组网控制方式因为地面站的部署位置、处理能力、管理能力等问题，存在一定的应用局限性。同时，由于卫星通信链路采用无线传输媒介，信道高度开放，通信内容极易被监听、篡改、伪造，卫星组网极有可能因为遭受恶意干扰而无法完成。此外，卫星网络特殊的部署环境，对星间身份认证协议的设计提出了更高的要求。首先，星上资源受限，难以应对较大的计算开销，需要复杂计算的方案会严重影响认证效率。其次，星间距离较远，通信时延不可忽略，通信开销成为方案设计中一个必须要考虑的问题。针对卫星网络的组网问题，人们提出了一些解决方案，比如：中国电子科技集团公司第三十研究所申请的专利“一种在轨卫星身份认证方法”(申请号CN2017101415439申请公布号CN106850674A)公开了一种在轨卫星身份认证方法，其基于卫星轨道的周期性，采用公私钥认证机制，解决了星地之间的身份认证问题。然而，随着航天技术的发展，设计中的卫星网络包含节点越来越多，如果卫星组网认证需要地面站的频繁参与，认证效率会因为星地通信时延等问题而受到严重影响。因此，为保证卫星组网的安全、高效，认证协议需要尽量减少地面站等第三方的参与，提高认证节点的自主性与独立性，从而保证卫星网络能够在地面站故障情况下安全运行。综上所述，现有技术存在的问题是：(1)星间身份认证需要地面参与，在无地面站等可信第三方参与的情况下，很难实现卫星之间独立、自主的信任建立和安全通信，不适应拥有海量节点的卫星网络组网场景；(2)星间身份认证未对自身身份信息进行保护，致使攻击者能够利用截获的明文身份信息伪造接入请求，从而实施拒绝服务等攻击，干扰卫星组网；(3)星间身份认证的计算开销会影响认证时延，相比于节点数量较少的卫星网络，在拥有海量节点的卫星网络中，由于组网认证更加频繁，星间组网会因为星上计算机的算力问题而产生认证时延。解决上述技术问题的难度和意义：(1)设计独立、自主的星间组网认证方法，需要为其设计安全、高效的密钥更新方式，既要减少地面站的参与，还要保证卫星能够准确更新认证密钥；(2)设计保护卫星的身份信息的星间组网认证方法，需要考虑因此而带来的额外计算开销，既要保证卫星身份信息的保密性，还要减少因此而产生的计算开销；(3)设计适用于复杂卫星网络的星间组网认证方法，需要考虑认证过程中的计算开销，尽量避免出现多星同时认证时，因为计算资源受限而带来的计算时延。随着航天技术的发展，未来的卫星网络必将包含越来越多的卫星节点，设计无需地面站频繁参与就能够实现独立、自主组网的星间组网认证方法对于保证拥有海量卫星节点的卫星网络能够稳定运行具有重要意义。
技术实现思路
针对现有技术存在的问题，本专利技术提供了一种适用于双层卫星网络的星间组网认证系统及方法。本专利技术是这样实现的，本专利技术的一种适用于双层卫星网络的星间组网认证系统，包括：地面认证服务器，负责完成卫星认证系统的初始化，即生成与分发卫星间认证所需要的身份信息、密钥、轨道参数；高轨卫星(GEO)认证客户端，负责接收来自LEO的认证请求，计算并返回认证令牌Token，计算预期响应XRES和会话密钥CK，检验认证请求中LEO使用的临时身份TID是否有效，检验LEO返回的响应值RES是否正确，为LEO维护一个认证信息表；低轨卫星(LEO)认证客户端，负责向GEO提交认证请求，检验GEO返回的认证令牌Token是否有效，计算临时身份TID、响应值RES和会话密钥CK，为GEO维护一个认证信息表。地面认证服务器包括：系统初始化模块，用于完成卫星认证系统的初始化，即将身份信息生成模块生成的身份信息、密钥生成模块生成的密钥、轨道分配模块分配的轨道参数写入卫星的认证系统；身份信息生成模块，用于根据卫星的生产序列、发射顺序等，为卫星生成认证所需要的身份信息；密钥生成模块，用于为卫星生成认证所需要的密钥；轨道分配模块，用于为卫星分配运行轨道。高轨卫星(GEO)认证客户端包括：系统初始化模块，用于完成星上认证系统的初始化，即从地面认证服务器获取卫星认证所需要的身份信息、密钥、轨道参数；组网认证模块，包括三个子模块：认证子模块、数据处理子模块，预计算管理子模块。其中，认证子模块，用于和低轨卫星(LEO)认证客户端交互认证所需要的参数；数据处理子模块，用于生成和解析认证参数、检验收到的认证参数是否有效；预计算管理子模块，用于根据认证信息表中数据管理卫星的认证参数预计算，并维护认证信息表；轨道预测模块，用于计算卫星间下次认证的时间节点；认证信息管理模块，用于管理LEO认证信息的注册、更新。低轨卫星(LEO)认证客户端包括：系统初始化模块，用于完成星上认证系统的初始化，即从地面认证服务器获取卫星认证所需要的身份信息、密钥、轨道参数；组网认证模块，包括三个子模块：认证子模块、数据处理子模块，预计算管理子模块。其中，认证子模块，用于和高轨卫星(GEO)认证客户端交互认证所需要的参数；数据处理子模块，用于生成和解析认证参数、检验收到的认证参数是否有效；预计算管理子模块，用于根据认证信息表中数据管理卫星的认证参数预计算，并维护认证信息表；轨道预测模块，用于计算卫星间下次认证的时间节点；认证信息管理模块，用于管理GEO认证信息的注册、更新。本专利技术的另一目的在于提供一种搭载有所述适用于双层卫星网络的星间组网认证系统的信息数据处理终端。为实现上述目的，本专利技术提供一种适用于双层卫星网络的星间组网认证方法，包括：1、认证系统初始化(1a)在发射准备阶段，由卫星向地面认证服务器提交系统初始化申请。(1b)收到申请后，地面认证服务器为卫星生成和分发身份信息、密钥、轨道参数，包括身份信息ID、群组身份信息SGID、卫星的身份信息的匿名保护密钥IDKey、卫星的认证主密钥MainKey。2、卫星认证信息注册(2a)LEO向GEO发送自身的精确轨道数据，如轨道高度、轨道倾角等进行卫星轨位预测所需要的轨道参数。(2b)收到LEO发送的轨道信息后，GEO在认证信息表中添加该LEO的认证信息，即将该LEO的ID连同轨道数据一起存入卫星上的认证信息数据库。注册完成后，GEO向该LEO返回自身的精确轨道数据。(2c)收到返回的轨道数据后，LEO采用同样的操作，将该数据存入自身的认证数据库。3、星间身份认证与密钥协商星间身份认证与密钥协商根据星间组网认证的执行阶段分为两个子协议，分别是卫星认证信息注册之前的认证子协议和卫星认证信息注册之后的认证子协议。3.1)认证信息注册之前的本文档来自技高网...

【技术保护点】
1.一种适用于双层卫星网络的星间组网认证方法，其特征在于，所述适用于双层卫星网络的星间组网认证方法包括：LEO通过判断由本地计算得到的XMAC与Token中的MAC是否相等完成对GEO的身份认证；GEO通过判断本地存储的XRES与返回的RES是否相等完成对LEO的身份认证；进行身份认证时，GEO和LEO之间传递的认证参数有TID、Token和RES；其中，TID的生成需要时间戳TTID，GEO借此判断TID的新鲜性；Token中包含加密后的时间参数TToken，LEO结合MAC值判断收到的Token是否为重放消息；RES和Token存在对应关系，GEO能够通过消息返回速度判断RES是否为重放消息；LEO发送认证请求时，使用基于时间生成的临时身份，每次认证使用的身份信息各不相同；认证过程中身份信息的验证采用字符比较的方式；生成临时身份时，卫星使用由GEO和LEO群组之间共享的IDKey对时间戳TTID和真实身份RID的合成字符串进行密码运算，使用运算结果表示卫星的临时身份；利用卫星网络时钟高度同步、运行轨迹可预测的特点，GEO和LEO均根据预测时间进行认证密钥AuthKey的更新并提前计算认证参数。...

【技术特征摘要】
1.一种适用于双层卫星网络的星间组网认证方法，其特征在于，所述适用于双层卫星网络的星间组网认证方法包括：LEO通过判断由本地计算得到的XMAC与Token中的MAC是否相等完成对GEO的身份认证；GEO通过判断本地存储的XRES与返回的RES是否相等完成对LEO的身份认证；进行身份认证时，GEO和LEO之间传递的认证参数有TID、Token和RES；其中，TID的生成需要时间戳TTID，GEO借此判断TID的新鲜性；Token中包含加密后的时间参数TToken，LEO结合MAC值判断收到的Token是否为重放消息；RES和Token存在对应关系，GEO能够通过消息返回速度判断RES是否为重放消息；LEO发送认证请求时，使用基于时间生成的临时身份，每次认证使用的身份信息各不相同；认证过程中身份信息的验证采用字符比较的方式；生成临时身份时，卫星使用由GEO和LEO群组之间共享的IDKey对时间戳TTID和真实身份RID的合成字符串进行密码运算，使用运算结果表示卫星的临时身份；利用卫星网络时钟高度同步、运行轨迹可预测的特点，GEO和LEO均根据预测时间进行认证密钥AuthKey的更新并提前计算认证参数。2.如权利要求1所述的适用于双层卫星网络的星间组网认证方法，其特征在于，所述适用于双层卫星网络的星间组网认证方法具包括：第一步，认证系统初始化，地面站生成与分发卫星间认证所需要的身份信息、密钥、轨道参数；第二步，卫星认证信息注册，收到LEO发送的轨道信息后，GEO在认证信息表中添加该LEO的认证信息，将LEO的ID连同轨道数据一起存入卫星上的认证信息数据库；注册完成后，GEO向LEO返回自身的精确轨道数据；第三步，星间身份认证与密钥协商，根据认证阶段选择执行卫星认证信息注册之前的认证子协议和卫星认证信息注册之后的认证子协议；第四步，认证预计算，根据认证阶段选择执行卫星认证信息注册之前的预计算子协议和卫星认证信息注册之后的预计算子协议。3.如权利要求2所述的适用于双层卫星网络的星间组网认证方法，其特征在于，第一步，认证系统初始化具体包括：(1a)在发射准备阶段，由卫星向地面认证服务器提交系统初始化申请；(1b)收到申请后，地面认证服务器为卫星生成和分发身份信息、密钥、轨道参数，包括身份信息ID、群组身份信息SGID、卫星的身份信息的匿名保护密钥IDKey、卫星的认证主密钥MainKey。4.如权利要求2所述的适用于双层卫星网络的星间组网认证方法，其特征在于，第二步，卫星认证信息注册具体包括：(2a)LEO向GEO发送自身的精确轨道数据，包括进行卫星轨位预测的轨道高度、轨道倾角道参数；(2b)收到LEO发送的轨道信息后，GEO在认证信息表中添加LEO的认证信息，将LEO的ID连同轨道数据一起存入卫星上的认证信息数据库；注册完成后，GEO向LEO返回自身的精确轨道数据；(2c)收到返回的轨道数据后，LEO将数据存入自身的认证数据库；第三步，星间身份认证与密钥协商具体包括：执行卫星认证信息注册之前的认证子协议和卫星认证信息注册之后的认证子协议；所述认证信息注册之前的认证子协议包括：(3a)LEO通过星载时钟获取时间戳TTID；基于获取的TTID和预置的IDKey，LEO计算本次认证应使用的临时身份TID，TID＝fTID(IDKey，TTID||RID)；计算完成后，LEO将TID连同认证请求一起发送给GEO；(3b)收到TID后，GEO使用预置的IDKey对TID解密，并通过解密得到的TTID和RID对认证请求的新鲜性和有效性进行判定；(3c)GEO通过星载时钟获取生成AuthKey所需的时间戳TAuth；基于获取的TAuth和预置的MainKey，AuthKey＝fAK(MainKey，TAuth)；GEO生成一个一次性随机数RAND；基于生成的RAND和AuthKey，GEO计算时间戳保护序列TK，TK＝fTK(AuthKey，RAND)；GEO通过星载时钟获取生成Token时间戳TToken；基于生成的RAND、获取的TToken、存储的SGID，GEO计算消息验证码MAC，MAC＝fMAC(AuthKey，RAND||TToken||SGID)；GEO将RAND、TToken、TK、SGID、MAC合并成一个认证令牌Token，并计算预期响应XRES和会话密钥CK，CK＝fCK(AuthKey，RAND)，XRES＝fRES(CK，RAND)；(3d)LEO使用(3b)-(3c)的方式生成的AuthKey，并利用生成的AuthKey对Token的新鲜性和有效性进行判定；(3e)验证后，LEO计算出CK和RES，并将RES返回给GEO；(3f)收到RES后，GEO比较收到的RES和存储的XRES是否相等；如果相等，完成对LEO的认证；否则，认证失败；所述认证信息注册之后的认证子协议包括：建立通信链路后，LEO首先判断自身轨道参数是否发生改变；如果出现轨道摄动，认证预计算得到的认证参数失效，终止本协议，重新执行认证信息注册之前的认证子协议；如果运行轨道正常，LEO将预计算得到的TID和RES连同接入请求一起发送给GEO；收到接入请求后，GEO将收到的T...

【专利技术属性】
技术研发人员：朱辉，武衡，张之义，李晖，赵海强，王宇辉，
申请(专利权)人：西安电子科技大学，中国电子科技集团公司第五十四研究所，
类型：发明
国别省市：陕西,61