【技术实现步骤摘要】
【国外来华专利技术】通信系统中的终端身份保护方法(优先权文件)本申请要求于2018年8月28日提交的专利技术名称为“TerminalIdentityProtectionMethodinACommunicationSystem”的澳大利亚临时专利申请No.2017903469作为优先权,在此并入其全部内容作为参考。
本公开涉及通信系统。在特定形式中,本公开涉及用于安全地识别卫星通信系统中的终端的方法。
技术介绍
在许多通信系统中,终端被分配包含在每个消息中的唯一的终端标识符(或终端ID)。但是,该终端ID通常占用数十个位,并且,在一些卫星通信或低功率通信系统中,希望使包保持尽可能短。此外,终端标识符几乎总是未加密发送的。这允许接收器确定传送终端是否是有效的终端或系统用户(并且消息因此应作为真实的消息被接受并被处理)。在一些系统中,消息体被加密,并且清楚地发送终端ID允许接收器选择正确的终端密钥以验证和解密消息的剩余部分。但是,这种方法的一个问题是,通过发送未加密的终端标识符,对手可以识别并潜在地跟踪终端。可用于减少对手识别和跟踪的一种方法是将一组标识符(即标识符池)分配给终端或终端的集合,并使终端从该集合中选择终端标识符(其对于接收器是已知的)。但是,虽然这降低对手跟踪终端的能力,但是,这无法消除问题,特别是如果池小并且对手能够在扩展的基础上监视传输以确定池。另一种方法是使用公钥/私钥加密以导出“共享秘密”密钥。但是,这通常需要在消息体中发送额外的数据。又一种方法是终端加密和传送将在将来使用的一组终端ID和/或密钥 ...
【技术保护点】
1.一种用于根据从通信系统中的终端接收的消息确定终端ID的方法,该方法包括:/n通过在包括多个接入节点、操作地连接到所述多个接入节点的认证代理、和多个终端的通信系统中的接入节点接收从具有唯一终端标识符(ID)的终端传送的消息和终端密钥,其中,接收的消息至少包括消息认证代码(MAC)、n位哈希以及加密的消息文本,并且,其中,至少使用终端密钥和nonce以生成MAC,并且在传送的消息中不包括终端ID以及终端密钥;/n向认证代理至少提供接收的消息认证代码(MAC)和n位哈希,其中,认证代理对于通信系统中的多个终端存储所有(终端ID、终端密钥)对的集合;/n将终端密钥集分割为至少两个分区,并且识别包括通过使用n位哈希传送所接收消息的终端的终端密钥的搜索分区;/n在搜索分区中搜索对MAC进行认证的终端密钥;以及/n通过使用对MAC进行认证的终端密钥识别终端ID。/n
【技术特征摘要】
【国外来华专利技术】20170828 AU 20179034691.一种用于根据从通信系统中的终端接收的消息确定终端ID的方法,该方法包括:
通过在包括多个接入节点、操作地连接到所述多个接入节点的认证代理、和多个终端的通信系统中的接入节点接收从具有唯一终端标识符(ID)的终端传送的消息和终端密钥,其中,接收的消息至少包括消息认证代码(MAC)、n位哈希以及加密的消息文本,并且,其中,至少使用终端密钥和nonce以生成MAC,并且在传送的消息中不包括终端ID以及终端密钥;
向认证代理至少提供接收的消息认证代码(MAC)和n位哈希,其中,认证代理对于通信系统中的多个终端存储所有(终端ID、终端密钥)对的集合;
将终端密钥集分割为至少两个分区,并且识别包括通过使用n位哈希传送所接收消息的终端的终端密钥的搜索分区;
在搜索分区中搜索对MAC进行认证的终端密钥;以及
通过使用对MAC进行认证的终端密钥识别终端ID。
2.如权利要求1所述的方法,其中,nonce不被包含于接收的消息中,并且,终端和认证代理已知的预定义分割函数被用于从至少nonce和终端密钥生成n位哈希,并且所述方法还包括获得nonce的步骤,其中,nonce是通过使用认证代理已知或可估计的系统信息或者终端和认证代理均已知或可估计的公共信息获得的。
3.如权利要求2所述的方法,其中,对终端密钥集进行分割的步骤包括通过使用获得的nonce和终端密钥作为预定义分割函数的输入对各终端生成n位测试值,并且使用相同的n位哈希对终端进行分组,并且,识别搜索分区的步骤包括选择具有其n位测试值与接收的n位哈希匹配的终端的分区。
4.如权利要求3所述的方法,其中,预定义函数是(Nonce),其中,K是相应的终端密钥。
5.如权利要求2~4中的任一项所述的方法,其中,通过分析终端的历史空间、时间或时空传送模式获得nonce。
6.如权利要求5所述的方法,还包括估计从其接收传送的地理区域,并且,通过在预定义的时间窗口内对系统中的各终端使用最后已知位置来执行选择nonce,并且,搜索分区包含其最后已知位置在估计的地理区域内的终端。
7.如权利要求5所述的方法,其中,通过使用系统中的传送终端的定时或频率模式执行获得nonce,并且,基于接收的传送的时间识别搜索分区。
8.如权利要求2~4中的任一项所述的方法,其中,通过在相对于消息的传送时间确定的时间确定计数器的当前值获得nonce值,其中,相对于预定参考时间和增量点计数。
9.如权利要求8所述的方法,其中,计数器基于在消息的估计传送时间计算的接收器和传送器已知的卫星轨道的参数,其中,参考时间是参考epoch,并且增量点是预定轨道参考点。
10.如权利要求9所述的方法,其中,参数是轨道计数,并且由卫星通信网络中的卫星的星历数据确定。
11.如权利要求9或10所述的方法,其中,多个接入节点包括多个卫星接入节点,并且计数器所基于的卫星是多个卫星接入节点中的一个。
12.如权利要求2所述的方法,其中,分区的数量为2,并且通过以下步骤迭代所有终端密钥集同时执行分割和搜索:
对于终端,计算通过将预定义的分割函数应用于终端密钥和nonce获得的n位测试值;
对于终端,确定n位测试值是否与接收的n位哈希匹配,并且,如果n位测试值与接收的n位哈希匹配,则确定终端密钥和nonce是否成功地对MAC进行认证。
13.如权利要求1所述的方法,其中,nonce被包含于接收的消息中,并且,对于终端和认证代理已知的预定义分割函数被用于通过使用nonce以从终端ID选择n位来生成n位哈希,并且对终端密钥集进行分割的步骤包括通过使用接收的nonce和终端标识符作为预定义分割函数的输入对各终端生成n位测试值,以及用相同的n位哈希将终端分组,并且识别搜索分区包括选择具有其n位测试值与接收的n位哈希相匹配的终端的分区。
14.如权利要求13所述的方法,其中,nonce由终端从伪随机源生成。
15.如权利要求13或14所述的方法,其中,预定义的分割函数通过以下方式从nonce和终端标识符生成n位测试值:
将终端标识符分割为m个n位非重叠部分;
根据2k≥m的要求,计算nonce的预定义k位部分的值j模m,并选择L位终端标识符的j模mn位部分。
16.如权利要求15所述的方法,其中,nonce的预定义k位部分是nonce的第一个或最后一个k位部分。
17.如任何前面的权利要求所述的方法,其中,分割基于分析终端的历史空间、时间或时空传送模式。
18.如权利要求1所述的方法,其中,nonce被包含于接收的消息中,并且对终端密钥集进行分割包括在接收消息之前生成m个分割,并且,m个分割中的第j个分割通过以下方式获得:
对于每个j=1..m,选择各终端标识符的第j个n位部分,并且使用其终端标识符的相同第j个n位部分对终端进行分组,以形成2n个分区;以及
在接收消息时,根据2k≥m的要求,计算nonce的预定义k位部分的值j模m,并且,识别搜索分区包括在包含其终端标识符的n位部分与接收的n位哈希匹配的终端密钥的m个分割的第j个分割中选择分区。
19.如任何前面的权利要求所述的方法,其中,至少两个分区中的每一个具有相联的分区密钥,并且n位哈希包含从用于搜索分区的分区密钥生成的分区消息认证代码(pMAC),并且,识别搜索分区包括搜索分区密钥集以寻找对接收的pMAC进行认证的分区密钥。
20.如权利要求19所述的...
【专利技术属性】
技术研发人员:安德鲁·贝克,罗伯特·乔治·米克莱姆,
申请(专利权)人:迈锐奥塔企业有限公司,
类型:发明
国别省市:澳大利亚;AU
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。