空天车地轨道专用网络接入认证与密钥协商协议和方法技术

本发明专利技术公开了一种空天车地轨道专用网络接入认证与密钥协商协议和方法。认证系统有：核心网配置认证子系统和用户接入认证子系统，分别完成飞艇和安全与运营保障中心间及用户和飞艇间认证及密钥协商。考虑空天车地轨道专用网络的结构及通信特点，构建核心网配置子系统，用公钥密码完成飞艇和安全与运营保障中心间认证及密钥协商，得对称密钥；用户和飞艇间用对称密钥在LTE协议基础上相互认证，得到会话密钥。本发明专利技术解决了安全通信及密钥更新问题；用户接入认证及密钥协商，无需认证中心参与，使用对称密钥保证轻量高效。用于飞艇、高铁、轨旁设备等用户的接入认证与密钥协商,确保从用户到飞艇至安全与运营保障中心间无线通信链路的安全传输。

Dedicated network access authentication and key agreement protocol and method for aerospace vehicle track

The invention discloses a network access authentication and key agreement protocol and method for aerospace vehicles. The authentication system consists of core network configuration authentication subsystem and user access authentication subsystem, which completes the authentication and key agreement between the airship and the security and operation support center and between the user and the airship respectively. Considering the structure and communication characteristics of special network rail crane empty, construct the core network configuration subsystem, complete the airship and safety and operations center security authentication and key agreement with public key cryptography, symmetric key to user; and airship with symmetric key mutual authentication based on LTE protocol, get the session key. The invention solves the problems of secure communication and key updating; the user access authentication and key negotiation need no authentication center participation, and the symmetric key is used to ensure the lightweight and efficient. For the airship, high-speed rail, rail equipment and other users access authentication and key agreement, to ensure that the user from the airship to the security and operation center between the wireless communication link secure transmission.

【技术实现步骤摘要】
空天车地轨道专用网络接入认证与密钥协商协议和方法
本专利技术属于通信
，涉及空天信息网络接入认证与密钥协商,具体是一种面向空天车地信息一体化轨道专用网络的接入认证与密钥协商协议和方法。用于飞艇、高铁、轨旁设备等用户设备的接入认证与密钥协商,确保从用户设备到飞艇至安全与运营保障中心无线通信链路的安全传输。
技术介绍
空天车地信息一体化轨道专用网络是以平流层飞艇作为中继平台，通过安置通信信号接收、处理与交换设备，对地面高铁、轨旁传感器及无人机等用户设备提供无线宽带点对多点服务，使用户设备数据传输至安全与运营保障中心的通信网络。空基中继平台与航空、地面信息系统互为补充，用于实时获取、监测、融合与处理轨道交通状态信息。该专用网络在区域监视侦查、预警探测、通信中继、信息网络融合等方面具有极大优势。空天车地信息一体化轨道专用网络中涉及飞艇、高铁、轨旁设备等重要基础设施。而且，空天车地信息一体化轨道专用网络中节点通信依赖无线信道,信道中传输高铁安全运营相关的关键信息。使其面临非法信息截取、篡改、插入、流量分析、未授权信息服务、网络资源被侵占等安全问题。因此，保障系统的安全性、有效性与可靠性至关重要。认证是用户设备接入信息系统的第一步，是保障系统安全的基础。关于认证问题，当前公开的研究成果中针对空天信息网的解决方案，如专利号为201610059910公开的“一种面向空天信息网的异构网络端到端认证密钥交换方法”，以及专利号为201310656160公开的“一种空天信息网络漫游可信安全接入方法”，都旨在解决空基平台覆盖区域下的移动终端即用户设备相互之间认证，并以此为基础，建立安全通信的问题。这些研究成果与空天车地信息一体化轨道专用网络应用场景所描述的空基平台仅作为中继节点接收用户数据，然后转发至安全与运营保障中心的功能存在差异。且这些方法均未涉及空基平台和安全与运营保障中心组成的核心网部分的认证及密钥协商解决方案。LTE(LongTermEvolution，通用移动通信技术的长期演进)为当前较为成熟的无线通信技术，是一种较为理想的空天车地信息一体化轨道专用网络通信解决方案。现有LTE安全认证协议主要缺陷包括关键信息明文传输及主密钥固定不更新，而对其改进的研究成果，如在[LiXiehua，WangYongjun，SecurityEnhancedAuthenticationandKeyAgreementProtocolforLTE/SAENetwork，2011IEEE]中，以及专利号为201510131390公开的“一种基于公钥密码体制的LTE无线网络的安全认证方法”，在认证过程中都全局使用公钥密钥体制进行加密，以实现安全认证。但引入公钥密码体制会造成终端设备较大的加解密计算量，以及需要各网络节点与认证中心之间进行实时通信，用于公钥的查询和验证。破坏了原有LTE认证协议快速、高效的接入认证优点。换句话说，传输认证数据的大量的公钥加密解密计算，使得终端计算能力有所要求，且计算耗时增加，接入过程效率降低。现有空天信息网接入认证方案在解决空基平台覆盖区域下的移动终端相互认证并建立安全通信的问题，与空天车地信息一体化专用网络拟合度较低，且未涉及核心网部分的认证及密钥协商方法；即使针对LTE安全认证协议的改进方案，使用全局公钥密码体制，解决了安全漏洞，却引入了较大计算量，用户设备接入效率较低,因而不适用空天车地信息一体化专用网络应用场景。
技术实现思路
本专利技术的目的在于克服以上存在缺点，通过在现有LTE安全认证协议标准的基础上，充分考虑空天车地一体化轨道专用网络的通信模式以及网络特点，并针对地面用户设备计算资源和通信资源受限等因素，公开了一种轻量、高效的认证与密钥协商方法。本专利技术是一种面向空天车地信息一体化专用网络的接入认证与密钥协商协议，其特征在于，在空天车地信息一体化轨道专用网络的网络结构和通信模式下，实现飞艇和安全与运用保障中心的接入认证与密钥协商，用户与飞艇间的接入认证与密钥协商，包括有如下子系统：核心网配置认证子系统：包括有飞艇、安全与运营保障中心，在飞艇和安全与运营保障中心进行认证过程中使用公钥密码体制对传输认证信息进行加密，需要可信的第三方认证中心CA参与；在飞艇和安全与运营保障中心间进行接入认证以及密钥协商，通过协商产生得到的对称密钥K，以对称密钥K为基础，在两者间建立安全信道；若通过协商产生得到的对称密钥K后，若非存在飞艇更换或密钥定期更新情况，在相对较长的周期内无需重新进行配置。用户接入认证子系统：包括用户设备、飞艇、安全与运营保障中心，是在LTE安全认证基础上进行改进，实现用户设备和飞艇之间的认证及密钥协商，完成用户设备的接入认证，获得用户设备和飞艇间的通信会话密钥，以会话密钥为基础，在两者间建立安全通信，用户设备接入飞艇的认证过程中无需认证中心CA参与，在飞艇和安全与运用保障中心间传输的认证数据使用对称密钥K进行加密，在不破坏原有LTE认证机制的轻便性的前提下，完成用户认证及密钥协商。核心网配置认证子系统在用户设备接入认证之前独立完成配置，其过程不影响用户设备接入认证。本专利技术还是一种面向空天车地信息一体化专用网络的接入认证与密钥协商方法，其特征在于，包括有如下协商过程：(1)飞艇和安全与运营保障中心间进行认证以及密钥协商，完成飞艇和安全与运营保障中心间的相互认证，并得到对称密钥K；(2)用户设备和飞艇之间进行认证及密钥协商，完成用户设备和飞艇之间的相互认证，得到会话密钥；(3)通过核心网认证子系统，协商得到的对称密钥K，可以保证用户认证子系统中飞艇与认证中心间的安全通信；通过用户认证子系统，协商得到的会话密钥，可以保证后续用户设备和飞艇间的安全通信；从而实现保证从用户设备到飞艇到安全与运营保障中心整个传输链路中的可靠传输。本专利技术依据空天车地信息一体化轨道专用网络通信结构，即飞艇平台仅作为中继节点接收用户数据，然后转发至安全与运营保障中心，期间飞艇覆盖区域下的用户设备不做相互通信；且飞艇更换周期长，飞艇平台与安全与运营保障中心网络结构相对稳定。将整个认证系统分为两个认证子系统：核心网配置认证子系统，使用公钥密码体制完成飞艇和安全与运营保障中心之间相互认证及密钥协商，获得对称密钥用与两者间安全通信；用户接入认证子系统，在LTE的基础上完成用户设备和飞艇间的认证及密钥协商，实现两者间的安全通信。与现有技术相比，本专利技术具有如下优点：1)本专利技术与空天车地信息一体化轨道专用网络的通信模式紧密相关，根据其通信特点将认证流程分解为相对独立的子系统，实现明确的功能划分，便于实际操作和设计出高效的接入认证协议。2)核心网配置认证子系统使用公钥密钥体制进行认证与密钥协商，得到飞艇和安全与运营保障中心间密钥。使用公钥协商获得对称密钥便于主密钥更新；对称密钥体制的使用户设备接入认证过程中传输的认证数据的加解密运算更加快速。两个子系统保持相对独立，该子系统使用公钥引入的繁重计算量，对用户设备接入认证效率无影响。3)用户接入认证子系统使用对称密钥进行信息加密，与现有LTE改进协议研究成果中认证过程全局采取公钥密码体制相比，使资源受限的地面用户设备无需进行繁琐的公钥加解密计算，没有额外通信。此外，认证过程中无需认证中心CA参与，本文档来自技高网...

【技术保护点】
一种面向空天车地信息一体化专用网络的接入认证与密钥协商协议，其特征在于，在空天车地信息一体化轨道专用网络的网络结构和通信模式下，实现飞艇和安全与运用保障中心的接入认证与密钥协商，用户与飞艇间的接入认证与密钥协商，包括有如下子系统：核心网配置认证子系统：包括有飞艇、安全与运营保障中心，在飞艇和安全与运营保障中心进行认证过程中使用公钥密码体制对传输的认证信息进行加密，需要可信的第三方认证中心CA参与；飞艇和安全与运营保障中心间进行接入认证以及密钥协商，通过协商产生得到的对称密钥K，以对称密钥K为基础，在两者间建立安全信道；若通过协商产生得到的对称密钥K后，若非存在飞艇更换或密钥定期更新情况，在相对较长的周期内无需重新进行配置；用户接入认证子系统：包括用户设备、飞艇、安全与运营保障中心，实现用户设备和飞艇之间的认证及密钥协商，完成用户设备的接入认证，获得用户设备和飞艇间的通信会话密钥，以会话密钥为基础，在两者间建立安全通信，用户设备接入飞艇的认证过程中无需认证中心CA参与，在飞艇和安全与运用保障中心间传输的认证数据使用对称密钥K进行加密，在不破坏原有LTE认证机制的轻便性的前提下，完成用户认证及密钥协商；核心网配置认证子系统在用户设备接入认证之前独立完成配置，其过程不影响用户设备接入认证。...

【技术特征摘要】
1.一种面向空天车地信息一体化专用网络的接入认证与密钥协商协议，其特征在于，在空天车地信息一体化轨道专用网络的网络结构和通信模式下，实现飞艇和安全与运用保障中心的接入认证与密钥协商，用户与飞艇间的接入认证与密钥协商，包括有如下子系统：核心网配置认证子系统：包括有飞艇、安全与运营保障中心，在飞艇和安全与运营保障中心进行认证过程中使用公钥密码体制对传输的认证信息进行加密，需要可信的第三方认证中心CA参与；飞艇和安全与运营保障中心间进行接入认证以及密钥协商，通过协商产生得到的对称密钥K，以对称密钥K为基础，在两者间建立安全信道；若通过协商产生得到的对称密钥K后，若非存在飞艇更换或密钥定期更新情况，在相对较长的周期内无需重新进行配置；用户接入认证子系统：包括用户设备、飞艇、安全与运营保障中心，实现用户设备和飞艇之间的认证及密钥协商，完成用户设备的接入认证，获得用户设备和飞艇间的通信会话密钥，以会话密钥为基础，在两者间建立安全通信，用户设备接入飞艇的认证过程中无需认证中心CA参与，在飞艇和安全与运用保障中心间传输的认证数据使用对称密钥K进行加密，在不破坏原有LTE认证机制的轻便性的前提下，完成用户认证及密钥协商；核心网配置认证子系统在用户设备接入认证之前独立完成配置，其过程不影响用户设备接入认证。2.根据权利要求1所述的面向空天车地信息一体化专用网络的接入认证与密钥协商协议，其特征在于，对称密钥K由核心网配置认证子系统完成身份认证后协商得到，应用于用户接入认证子系统中，实现用户设备接入流程中飞艇和安全与运营保障中心间链路的加密，保障通信数据安全传输。3.根据权利要求1或2所述的面向空天车地信息一体化专用网络的接入认证与密钥协商协议，其特征在于，在飞艇和安全与运营保障中心间完成接入认证，并通过协商得到的对称密钥K，建立安全信道，具体如下：(1.a)飞艇获取安全与运营保障中心的公钥；(1.b)飞艇使用公钥地面安全与运营保障中心发送接入请求；(1.c)地面安全与运营保障中心获取飞艇的公钥；(1.d)地面安全与运营保障中心给飞艇发送请求响应；(1.e)飞艇验证安全与运营保障中心真实性；(1.f)安全与运营保障中心验证飞艇身份真实性后，并生成对称密钥K；(1.g)安全与运营保障中心向飞艇传递密钥K，完成认证与密钥协商流程。4.根据权利要求1或2所述的面向空天车地信息一体化专用网络的接入认证与密钥协商协议，其特征在于，在用户设备和飞艇间完成接入认证，并通过协商得到的会话密钥，建立安全信道，具体如下：(2.a)用户设备向飞艇发送接入认证请求；(2.b)飞艇转发认证请求至安全与运营保障中心；(2.c)安全与运营保障中心验证用户设备身份合法性，并生成认证向量组；(2.d)安全与运营保障中心将认证向量及用户设备身份信息，使用(1)中协商得到的对称密钥K加密，发送给飞艇；(2.e)飞艇解密得到认证向量组中选取一个向量，并为基础密钥生成一个密钥标识；(2.f)飞艇将随机数、认证令牌及密钥标识作为认证响应发送给用户设备；(2.g)用户设备接收到认证响应后，验证飞艇身份；(2.h)飞艇通过验证后，用户设备向飞艇发送用户响应；(2.i)飞艇验证用户设备身份；(2.j)通过验证后，两者根据基础密钥生成后续加密密钥及完整性密钥。5.一种面向空天车地信息一体化专用网络的接入认证与密钥协商方法，其特征在于，包括有如下协商过程：(1)飞艇和安全与运营保障中心间进行认证以及密钥协商，完成飞艇和安全与运营保障中心间的相互认证，并得到对称密钥K；(2)用户设备和飞艇之间进行认证及密钥协商，完成用户设备和飞艇之间的相互认证，得到会话密钥；(3)通过核心网认证子系统，协商得到的对称密钥K，可以保证用户认证子系统中飞艇与认证中心间的安全通信；通过用户认证子系统，协商得到的会话密钥，可以保证后续用户设备和飞艇间的安全通信；从而实现保证从用户设备到飞艇到安全与运营保障中心整个传输链路中的可靠传输。6.根据权利要求5所述的面向空天车地信息一体化专用网络的接入认证与密钥协商方法，其特征在于，步骤(1)中飞艇和安全与运营保障中心间的相互认证，得到对称密钥K，具体包括有：(1.1)飞艇MME向认证中心CA发送(1.2)认证中心CA解密，并向飞艇MME发送(1.3)飞艇MME验证认证中心签名，并生产随机数R1，向安全与运营保障中...

【专利技术属性】
技术研发人员：朱晓妍，王上庆，贾鑫，张海林，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：陕西,61