本发明专利技术提供了一种卫星网络安全通信方法,包括以下步骤:步骤A:对用户端发出的接入申请分别沿反向链路和前向链路进行两级鉴权,鉴权通过则允许用户入网;步骤B:对入网用户沿反向链路发送的数据进行鉴权,并存储鉴权通过的数据。本发明专利技术提供的卫星网络安全通信方法的优点在于:通过双向鉴权验证用户身份,杜绝非法用户在任何阶段劫持鉴权信息的可能;对于验证通过的合法用户,仅对反向链路的发送消息进行鉴权验证,降低了对前向链路的资源占用,确保通讯安全的情况下释放了信道资源。
【技术实现步骤摘要】
一种卫星网络安全通信方法
本专利技术涉及卫星通信
,尤其涉及一种卫星网络安全通信方法。
技术介绍
近年来,在卫星通信领域,随着高、中、低轨航天器呈规模的爆发性增长,大量航天器用户的网络接入逐渐成为卫星通信领域亟待解决的技术难题。在卫星网络中,返向链路为用户到卫星到地面站的链路,前向链路为地面站到卫星到用户的链路。在某些卫星网络中,用户返向业务需求大于前向业务需求,此外还受制于卫星的功率资源,这些因素都导致前返向链路资源不对称,即前向链路波束资源受限。而随着越来越频繁的非法用户入侵,进一步挤压了反向链路的空间,增加了对正常前向链路的资源占用,而且通信内容存在安全隐患。
技术实现思路
本专利技术所要解决的技术问题在于提供一种限制非法用户接入,减少对前向链路资源占用的卫星网络安全通信方法。本专利技术是通过以下技术方案解决上述技术问题的:一种卫星网络安全通信方法,包括以下步骤:步骤A:对用户端发出的接入申请分别沿反向链路和前向链路进行两级鉴权,鉴权通过则允许用户入网;步骤B:对入网用户沿反向链路发送的数据进行鉴权,并存储鉴权通过的数据。本专利技术通过双向鉴权验证用户身份,杜绝非法用户在任何阶段劫持鉴权信息的可能;对于验证通过的合法用户,仅对反向链路的发送消息进行鉴权验证,降低了对前向链路的资源占用,确保通讯安全的情况下释放了信道资源。优选的,用户端存储有用户端私钥和控制中心公钥;控制中心存储有控制中心私钥和用户端公钥;步骤A所述的两级鉴权包括以下步骤:步骤i:用户端对身份信息进行处理生成请求码,通过用户端私钥加密用户端身份信息、请求码和请求发出时间,生成鉴权请求消息;步骤ii:鉴权请求消息沿反向链路经通信卫星中转后发给控制中心,控制中心使用用户端公钥解密鉴权请求消息,对解密后的身份信息进行处理得到验证码,并记录请求接收时间;步骤iii:若请求码与验证码相等,且请求接收时间与请求发出时间的差值在允许范围内,则控制中心对用户端鉴权成功,控制中心生成一个随机数计算得到期望响应,对期望响应与当前的响应发出时间使用控制中心私钥加密得到响应消息;否则,鉴权失败;步骤iv:响应消息沿前向链路发送给用户端,用户端使用控制中心公钥解密得到随机数和响应发出时间,对随机数进行运算得到响应向量,如果响应向量与期望响应相同,且响应接收时间与响应发出时间的差值在允许范围内,则鉴权成功,向控制中心反馈入网确认消息;否则鉴权失败。优选的,步骤i中所述的用户端身份信息包括用户ID、mac地址。优选的,步骤B所述的对入网用户发送数据行为进行鉴权的方法为:步骤I:基于当前的随机数使用现有技术中的鉴权算法生成响应,截取响应的前16位与CRC进行异或运算,对异或运算结果和报文数据进行加密后沿反向链路发送到控制中心;发送数据后使用用户的约定时间和mac地址更新当前的随机数;步骤II:用户端加密后的数据沿反向链路发送给控制中心,控制中心根据接入鉴权时用户发送的请求发出时间推算约定时间,并结合用户mac地址推算出随机数,基于推算出的随机数在本地重新生成期望响应,截取期望响应的前16位与接收数据的后16位进行异或运算,并将异或结果与接收数据进行CRC检验,若检验通过,则判断为合法用户发送的正确数据,使用前一次随机数生成的解密密钥对数据进行解密并将数据包上传至高层,若校验不通过,则数据不正确和/或用户不合法,丢弃接收到的数据。优选的,控制中心推算约定时间的方法为:根据接入鉴权时的用户请求发出时间和请求接收时间计算出传输时延,根据当前消息的接收时间减去传输时延推算出约定时间。优选的,所述控制中心推算随机数的方法为:根据推算的约定时间结合用户mac地址对前一次通信时存储的随机数进行更新推算出当前消息对应的随机数。本专利技术提供的卫星网络安全通信方法的优点在于:通过双向鉴权验证用户身份,杜绝非法用户在任何阶段劫持鉴权信息的可能;对于验证通过的合法用户,仅对反向链路的发送消息进行鉴权验证,降低了对前向链路的资源占用,确保通讯安全的情况下释放了信道资源。附图说明图1为本专利技术的实施例提供的卫星网络安全通信方法的接入申请鉴权示意图;图2为本专利技术的实施例提供的鉴权请求消息示意图;图3为本专利技术的实施例提供的鉴权响应消息示意图;图4为本专利技术的实施例提供的报文传输鉴权方法流程图;图5为本专利技术的实施例提供的报文传输鉴权消息示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本专利技术作进一步的详细说明。本实施例提供了一种卫星网络安全通信方法,用户和控制中心通过通信卫星中转信号进行通讯,图1示出了基于两步握手思想的接入申请鉴权消息流程,具体包括以下步骤:步骤A:对用户端发出的接入申请分别沿反向链路和前向链路进行两级鉴权,鉴权通过则允许用户入网;步骤B:对入网用户沿反向链路发送的数据进行鉴权,并存储鉴权通过的数据。本实施例通过双向鉴权验证用户身份,杜绝非法用户在任何阶段劫持鉴权信息的可能;对于验证通过的合法用户,仅对反向链路的发送消息进行鉴权验证,降低了对前向链路的资源占用,确保通讯安全的情况下释放了信道资源。步骤A所述的量级鉴权的具体包括以下步骤:步骤i:用户端基于身份信息进行运算生成请求码,通过用户端私钥加密用户端身份信息、请求发出时间和请求码,生成鉴权请求消息;所述用户端身份信息至少包括用户ID和mac地址;生成的鉴权请求消息的结构如图2所示,其中请求发出时间采用GPS时间。步骤ii:鉴权请求消息沿反向链路经通信卫星中转后发给控制中心,控制中心使用用户端公钥解密鉴权请求消息,对解密后的身份信息进行运算得到验证码,生成验证码的规则与生成请求码的规则相同,并记录请求接收时间;步骤iii:若请求码与验证码相等,且请求接收时间与请求发出时间的差值在允许范围内,则控制中心对用户端鉴权成功,控制中心生成一个随机数计算得到期望响应,将期望响应与当前的响应发出时间使用控制中心私钥加密得到如图3所示的响应消息;否则,鉴权失败;步骤iv:响应消息沿前向链路发送给用户端,用户端使用控制中心公钥解密得到随机数和响应发出时间,对随机数进行运算得到响应向量,计算响应向量的规则与计算期望响应的规则相同,如果响应向量与期望响应相同,且响应接收时间与响应发出时间的差值在允许范围内,则鉴权成功,用户向控制中心反馈入网确认消息;否则鉴权失败。在成功接入网络之后,用户需要通过发送短报文业务给控制中心,由于此时用户仅发送数据,不需要控制中心进行反馈,所以为了降低对前向链路资源的占用,仅对发送过程进行单向鉴权。参考图4,步骤B所述的对入网用户发送数据行为进行鉴权的方法为:步骤I:基于当前的随机数使用现有技术中的鉴权算法生成响应(RES),截取响应的前16位与CRC(Cyclicredundancycheck,本文档来自技高网...
【技术保护点】
1.一种卫星网络安全通信方法,其特征在于:包括以下步骤:/n步骤A:对用户端发出的接入申请分别沿反向链路和前向链路进行两级鉴权,鉴权通过则允许用户入网;/n步骤B:对入网用户沿反向链路发送的数据进行鉴权,并存储鉴权通过的数据。/n
【技术特征摘要】
1.一种卫星网络安全通信方法,其特征在于:包括以下步骤:
步骤A:对用户端发出的接入申请分别沿反向链路和前向链路进行两级鉴权,鉴权通过则允许用户入网;
步骤B:对入网用户沿反向链路发送的数据进行鉴权,并存储鉴权通过的数据。
2.根据权利要求1所述的一种卫星网络安全通信方法,其特征在于:用户端存储有用户端私钥和控制中心公钥;控制中心存储有控制中心私钥和用户端公钥;
步骤A所述的两级鉴权包括以下步骤:
步骤i:用户端对身份信息进行处理生成请求码,通过用户端私钥加密用户端身份信息、请求发出时间和请求码,生成鉴权请求消息;
步骤ii:鉴权请求消息沿反向链路经通信卫星中转后发给控制中心,控制中心使用用户端公钥解密鉴权请求消息,对解密后的身份信息进行处理得到验证码,并记录请求接收时间;
步骤iii:若请求码与验证码相等,且请求接收时间与请求发出时间的差值在允许范围内,则控制中心对用户端鉴权成功,控制中心生成一个随机数计算得到期望响应,对期望响应与当前的响应发出时间使用控制中心私钥加密得到响应消息;否则,鉴权失败;
步骤iv:响应消息沿前向链路发送给用户端,用户端使用控制中心公钥解密得到随机数和响应发出时间,对随机数进行运算得到响应向量,如果响应向量与期望响应相同,且响应接收时间与响应发出时间的差值在允许范围内,则鉴权成功,向控制中心反馈入网确认消息;否则鉴权失败。
3.根据权利要求2所述的一种卫星网络安全通信方法,其特征在于:步...
【专利技术属性】
技术研发人员:姚艳军,任伟龙,王烁,章仁飞,邹永庆,张霄,贺超,胡树楷,张正宇,张靖,
申请(专利权)人:中国电子科技集团公司第三十八研究所,
类型:发明
国别省市:安徽;34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。