The invention discloses a cross-domain end-to-end key exchange method for spatial information network, which mainly solves the problems of low compatibility, time extension and not considering the periodicity of spatial information network when the existing technology performs cross-domain end-to-end key exchange. Its implementation scheme is as follows: 1. Request network endpoints and target network endpoints to calculate their interactive temporary public keys separately and send relevant information to each other; 2. After requesting network endpoints and target network endpoints to terminate interaction, calculate their own non-interactive session keys for several cycles separately, and exchange their session keys once after each cycle. The invention can support non-interactive negotiation of multiple session keys periodically without involving the security regimes of various security domains. It not only guarantees the security of network transmission, but also can change the period to adapt to the change of spatial information network, and can be used to realize the secure cross-domain end-to-end transmission of information in spatial information network.
【技术实现步骤摘要】
空间信息网跨域的端到端密钥交换方法
本专利技术属于无线通信
,具体涉及一种端到端的密钥交换方法,可用于在空间信息网中实现信息跨域端到端的安全传输。
技术介绍
随着航天技术的飞速发展,我国的空间信息网也在不断地建设和完善着。空间信息网是由具有空间通信能力的航天器,如卫星、航天飞机等和地面站组成的网络信息系统,它能够实现地面站与卫星、空间站之间的互联互通功能。它能把部署在不同轨道的、执行不同任务的各类卫星、飞行器等空间站和地面系统联系起来。同时,航空器,如飞机、热气球等也能够接入空间信息网。空间信息作为国家重要的空间信息基础设施,对于提高我国的国际地位,促进经济社会的发展,保障国家安全等许多方面,具有十分重大特殊的战略意义。对于转变经济发展方式、促进国家信息化建设、调整产业结构、提高社会生产效率、转变人民生活方式、提高大众生活质量,也具有重要意义。由于空间信息网中空、天结点的暴露性及无线的通信方式使通信信号易受到截获、干扰、侵入等安全威胁,空、天结点甚至会受到攻击和摧毁,使得空间信息网络面临极大的安全威胁,无法实现基于空间信息网络的跨域协同操作。未来空间信息网应用呈现多样性,将会遇到终端面向的环境不同、安全需求不同、安全机制不同等方面问题,空间信息网将涉及到多个安全域。安全域是由在同一工作环境中、具有相同或相似的安全保护需求和保护策略、相互信任、相互关联或相互作用的实体组成的网络。对于每一个安全域而言,至少存在一个代理结点用来实现代理结点与域内结点的安全关联以及域内结点间的安全关联。同时,代理结点也为安全域间或跨域结点间的安全提供支持。如何保证不同域之间 ...
【技术保护点】
1.一种空间信息网跨域的端到端密钥交换方法,包括如下步骤:(1)请求网络端点C1作为发起者计算它的交互式临时公钥S1,并发送如下信息给目标网络端点C2:请求网络端点C1的标识号IDC1,空间信息网中的第一安全域代理A1的标识号IDA1,目标网络端点C2的标识号IDC2,空间信息网中的第二安全域代理A2的标识号IDA2,请求网络端点C1的交互式临时公钥S1,请求网络端点C1的密钥更新周期集合{P1},请求网络端点C1的密钥签名SIGC1(IDC1,IDA1,IDC2,IDA2,S1)空间信息网中的第一安全域代理A1对请求网络端点C1产生的临时证书CAA1{C1};(2)目标网络端点C2作为响应者,接收请求网络端点C1发送的信息,并通过第一安全域代理A1对请求网络端点C1产生的临时证书CAA1{C1}验证签名的有效性,验证通过后,执行步骤(3);(3)目标网络端点C2计算它的交互式临时公钥S2,并返回如下信息给请求网络端点C1:发送目标网络端点C2的标识号IDC2,空间信息网中的第二安全域代理A2的标识号IDA2,请求网络端点C1的标识号IDC1,空间信息网中的第一安全域代理A1的标识号I ...
【技术特征摘要】
1.一种空间信息网跨域的端到端密钥交换方法,包括如下步骤:(1)请求网络端点C1作为发起者计算它的交互式临时公钥S1,并发送如下信息给目标网络端点C2:请求网络端点C1的标识号IDC1,空间信息网中的第一安全域代理A1的标识号IDA1,目标网络端点C2的标识号IDC2,空间信息网中的第二安全域代理A2的标识号IDA2,请求网络端点C1的交互式临时公钥S1,请求网络端点C1的密钥更新周期集合{P1},请求网络端点C1的密钥签名SIGC1(IDC1,IDA1,IDC2,IDA2,S1)空间信息网中的第一安全域代理A1对请求网络端点C1产生的临时证书CAA1{C1};(2)目标网络端点C2作为响应者,接收请求网络端点C1发送的信息,并通过第一安全域代理A1对请求网络端点C1产生的临时证书CAA1{C1}验证签名的有效性,验证通过后,执行步骤(3);(3)目标网络端点C2计算它的交互式临时公钥S2,并返回如下信息给请求网络端点C1:发送目标网络端点C2的标识号IDC2,空间信息网中的第二安全域代理A2的标识号IDA2,请求网络端点C1的标识号IDC1,空间信息网中的第一安全域代理A1的标识号IDA1,目标网络端点C2的临时公钥S2,目标网络端点C2的周期P,目标网络端点C2的签名SIGC2(IDC2,IDA2,IDC1,IDA1,S2),空间信息网中的第二安全域代理A2对目标网络端点C2产生的临时证书CAA2{C2};(4)请求网络端点C1收到目标网络端点C2返回的信息后,根据第二安全域代理A2对目标网络端点C2产生的临时证书CAA2{C2}验证签名的有效性,完成交互式临时公钥对(S1,S2)的交换,验证通过后,执行步骤(5);(5)请求网络端点C1和目标网络端点C2在得到交互式临时公钥对(S1,S2)后,终止交互过程,并分别对自身的非交互式会话密钥K1,K2进行多个周期的计算;(6)在计算完最后一个周期的非交互式会话密钥对后,返回步骤(1),协商出新的交互式临时公钥对,并进行下一轮周期性的非交互式会话密钥对的更新。2.根据权利要求1所述的空间信息网跨域的端到端密钥交换方法,其中所述步骤(1)计算交互式临时公钥S1是借鉴Diffie-Hellman算法,按如下步骤计算:1a)请求网络端点C1选取大素数q和其本原根g,其中,大素数q和其本原根g是两个公开的整数;1b)请求网络端点C1选取一个随机整数x1作为临时私钥,其中x1<q,1c)根据1a)和1b),得到交互式临时公钥:S1=gx1modq。3.根据权利要求1所述的空间信息网跨域的端到端密钥交换方法,其中所述步骤(2)中目标网络端点C2通过第一安全域代理A1对请求网络端点C1产生的临时证书CAA1{C1}验证签名的有效性,按如下步骤进行:2a)第二安全域代理A2向目标网络端点C2发送的请求网络端点C1的公钥信息(IDC1,PKC1);2b)目标网络端点C2在接收到请求网络端点C1发送的信息后,解析请求网络端点C1的临时证书CAA1{C1}=SIGA1(SN1,IDC1,PKC1,TA1),其中,SN1表示请求网络端点C1的临时证书索引号,TA1表示请求网络端点C1的临时证书有效时间,IDC1,PKC1表示请求网络端点C1的公钥信息;2c)将第二安全域代理A2发送的公钥信息(IDC1,PKC1)与解析临时证书CAA1{C1}得到的公钥信息(IDC1,PKC1)进行对比,如果两者相同,验证通过,否则验证失败。4.根据权利要求1所述的空间信息网跨域的端到端密钥交换方法,其中所述步骤(3)计算交互式临时公钥S2是借鉴Diffie-Hellman算法,按如下步骤计算:3a)目标网络端点C2选取大素数q和其本原根g,其中,大素数q和其本原根g与请求网络端点C1选取的相同;3b)目标网络端点C2选取一个随机整数x2作为临时私钥,其中x2<q,3c)根据3a)和3b),得到交互式临时公钥S2:gx2modq。5.根据权利要求1所述的空间信息网跨域的端到端密钥交换方法,其中所述步骤(4)中请求网络端点C1通过第二安全域代理A2对目标网络端点C2产生的临时证书CAA2{C2}验证签名的有效性,按如下步骤进行:4a)第一安全域代理A1向请求网络端点C1发送的目标网络端点C2的公钥信息(IDC2,PKC2);4b)请求网络端点C1在接收到目标网络端点C2发送的信息后,解析目标网络端点C2的临时证书CAA2{C2}=SIGA2(SN2,IDC2,PKC2,TA2),其中,SN2表示目标网络端点C2的临时证书索引号,TA2表示目标网络端点C2的临时证书有效时间,IDC2,PKC2表示目标网络端点C2的公钥信息;4c)将第一安全域代理A1发送...
【专利技术属性】
技术研发人员:张俊伟,龙奔,马建峰,李兴华,马卓,姜奇,李晨,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:陕西,61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。