【技术实现步骤摘要】
适用于天地一体化的群组接入认证和切换认证方法及应用
[0001]本专利技术属于通信网络安全
,尤其涉及一种适用于天地一体化的群组接入认证和切换认证方法及应用。
技术介绍
[0002]随着卫星网络的发展,以及国家对航空航天、灾害预警的需求的增强,不同维度空间的融合成为未来发展趋势,由此提出以地面网路为核心,向空间网络延伸,通过星间链路、星地链路等相互连通构成天地一体化的综合网络。天地一体化网络是由卫星网络、地面网络等多种异构网络互联融合而成的网络,能实现跨地域、跨空域通信和网络各节点协同工作。目前,第五代(5G)移动通信系统的发展,使得卫星网络与地面网络的融合成为可能。而大规模移动设备的接入也带来了更多安全隐患。
[0003]接入认证是系统安全的第一道防线,用接入认证的程序来保障接入系统用户的合法性,由于天地网络中节点位置不固定,为保证节点间的不间断通信,需要安全高效的网络切换认证机制。针对天地一体化网路的节点间位置不固定,网络拓扑变化频繁、信道开放、星地/星间节点链路暴露,易受到恶意节点攻击、星地高延迟、星地发展不平衡,卫星节点计算能力弱等问题,设计一种适合天地一体化网络的安全接入认证机制。现有天地一体化接入认证大多各自采用地面通信网络的认证机制,通过设计轻量级协议,或者转移部分认证功能给卫星等方法来减轻地面控制中心的负担,降低通信延迟。但是,地面控制中心的安全性无法保证。此外,现有的切换认证方案多从切换开销、切换时延等角度考虑切换性能的优化,很少考虑切换安全性的保障。并且针对群组成员变动,也缺乏灵活的...
【技术保护点】
【技术特征摘要】
1.一种适用于天地一体化的群组接入认证和切换认证方法,其特征在于,所述适用于天地一体化的群组接入认证和切换认证方法基于改进的现有5G接入认证协议,采用群组鉴权向量实现一个群组的所有终端的一次性接入认证,并且提供终端与服务网络后续使用的基础密钥,利用基础密钥建立安全切换,实现可信通信保持;支持群组中群中成员的加入和退出;在认证过程中,卫星、关口站/网管系统内嵌地基访问域接入认证模块、移动切换安全服务系统、接入鉴权系统与实体身份管理系统之间已经提前建立好安全通道。2.如权利要求1所述的适用于天地一体化的群组接入认证和切换认证方法,其特征在于,所述适用于天地一体化的群组接入认证和切换认证方法在终端接入认证卫星网络的过程中,卫星将终端的身份标识信息发送给实体身份管理系统,实体身份管理系统为终端生成相应的认证鉴权向量并且发送给卫星,进而卫星采用认证鉴权向量与终端进行相互认证与密钥协商;在切换过程中,移动切换安全服务系统结合群组位置信息、卫星位置信息、当前拜访网络信息、卫星轨迹等等有效信息预测出该群组即将接入的下一个卫星,并且生成相应的认证向量,提前发送给目标卫星,当群组进入目标卫星的覆盖范围后,可与目标卫星进行快速认证;为保护用户的隐私信息,采用隐私保护的群组接入认证与切换认证方法。3.如权利要求1所述的适用于天地一体化的群组接入认证和切换认证方法,其特征在于,所述适用于天地一体化的群组接入认证和切换认证方法包括以下步骤:第一步,终端注册过程;第二步,群成员注册过程;第三步,群主发现过程;第四步,群组接入认证过程;第五步,群组切换过程;第六步,群成员加入过程;第七步,群成员退出过程;第八步,隐私保护的群组接入认证与切换认证方法。4.如权利要求3所述的适用于天地一体化的群组接入认证和切换认证方法,其特征在于,所述第一步包括:(1)注册机向实体身份管理系统发送注册请求;(2)实体身份管理系统收到注册请求后,生成终端的永久身份标识ID,然后,根据ID生成预置的主密钥K;最后,实体身份管理系统将包含ID||K的注册响应消息发送给注册机;(3)注册机收到消息后写入终端密码模块,然后离线分发终端密码模块K给终端;所述第二步包括:(1)执行完终端注册过程后,处于同一区域的终端或者隶属于同一管理者的终端构成一个固定群组,群成员向实体身份管理系统发送注册请求,包含群组身份标识GID和群成员身份标识ID;(2)实体身份管理系统收到群成员注册请求后生成一个群共享密钥GK,然后发送包含GID||GK的注册响应消息给注册机;(3)注册机收到注册响应后将其写入终端的密码模块,离线分发终端密码模块GK给群成员;所述第三步包括:
(1)完成群成员注册阶段后,离线执行群主发现过程;每个终端内部都有一个用于衡量计算能力和存储能力的值,Xi;在注册过程中,每一个群成员用群共享密钥GK加密自己的性能参数包含IDi,Xi,然后向周围广播加密后的性能参数;(2)每个群成员将收到的性能参数进行比较排名,并且广播加密后的性能参数排名顺序(IDm,IDi,IDj...)
GK
;(3)若超2/3的群成员的性能参数排名中,成员m的值最大,则选取m作为群主,群主向群成员广播自己的有效信息。5.如权利要求3所述的适用于天地一体化的群组接入认证和切换认证方法,其特征在于,所述第四步包括:(1)当群主监测到需要接入卫星网络时,启动定时器,设置定时器触发值,群主向周围广播群组接入认证通知消息,消息中包含群主新生成的随机数R1;(2)终端收到群主广播的群组接入认证消息后,如果需要接入网络,每个群成员向群主发送终端接入认证请求消息,终端接入认证请求消息包含终端的身份标识IDi;(3)当定时器时间到达后,群主将收到的所有群成员认证请求,群主接收到了n个终端的认证请求,(ID1,ID2,...,IDn),群组身份标识GID以及随机数R1发送给卫星,卫星转发群组认证请求消息给地面的地基访问域接入认证模块;(4)地基访问域接入认证模块将ID1,ID2,...,IDn,GID,R1以及其访问域身份标识SNID发送给接入鉴权系统;(5)接入鉴权系统收到群组认证授权请求后,向实体身份管理系统发送群组认证向量获取请求;(6)实体身份管理系统收到认证请求消息后,按照以下步骤进行,h为安全的哈希函数,KDF为密钥导出函数:1)选取一个随机数R2,在其数据库中搜索该群组的共享密钥GK以及每个群成员的长期共享密钥Ki;2)计算XMACi=h(SNID,Ki,R1),3)计算群组临时共享密钥TGK=KDF(GK,R2);4)计算认证向量值XRESi=h(Ki,R2),K
AMFi
=KDF(Ki,R2),每个终端的认证向量AVi=IDi||XRESi||K
AMFi
;5)向接入鉴权系统发送群组认证向量获取响应消息,包含随机数R2、群组身份标识GID,群组临时共享密钥TGK,消息认证码XMAC和所有群成员的认证向量AVi;(7)接入鉴权系统收到群组认证向量获取响应后,进行以下步骤:1)计算2)计算HXRESG=h(R2,XRESG);3)接入鉴权系统向地基访问域接入认证模块发送群组认证授权响应消息,包含R2、GID、TGK、XMAC、HXRESG和所有IDi||K
AMFi
;(8)地基访问域接入认证模块收到群组认证授权响应后计算每个成员的基础密钥K
Sat-i
=KDF(R2,K
AMFi
,TGK);向卫星发送包含R2、XMAC、HXRESG以及所有IDi、K
Sat-i
在内的群组认证授权响应消息;
(9)卫星收到群组认证授权响应消息后,提取出HXRESG,IDi,K
Sat-i
;然后向群主发送群组认证响应消息R2,XMAC;群主收到消息后广播R2给群成员;(10)群成员收到认证响应消息后,计算MACi=h(SNID,Ki,R1),RESi=h(Ki,R2),K
Sat-i
,并向群主发送MACi,RESi;(11)群主收到群成员认证确认信息后计算然后验证MAC=XMAC,验证通过后计算给群成员发送认证成功消息,给卫星发送群组认证确认消息RESG,卫星计算HRESG=h(R2,RESG),将HRESG与HXRESG进行比较,若验证成功则将RESG转发给接入鉴权系统;(12)接入鉴权系统收到RESG消息后,将RESG和XRESG进行比对,比对成功则群组验证通过;那么群组与天地一体化网络完成双向认证,卫星与每个群组成员将K
Sat-i
作为基础密钥。6.如权利要求3所述的适用于天地一体化的群组接入认证和切换认证方法,其特征在于,所述第五步包括:(1)在安全切换发生前,所需如下步骤:1)切换前,终端始终保留两个群组密钥,与实体身份管理系统共享的密钥GK,和与移动切换安全服务系统共享的临时密钥TGK;当群主检测到当前接入卫星信号变弱即将无法提供平滑通信时,群主广播群组预切换通知消息给所有群组成员;群组成员则将其身份标识IDi发送给群主,群主将所有标识以及群组标识GID,新生成的随机数R3发送给当前卫星;2)当前卫星SA1将群组预切换请求消息(ID1,...,IDn),R3,GID转发给移动切换安全服务系统;3)移动切换安全服务系统结合群组位置信息、卫星位置信息、当前拜访网络信息、卫星轨迹等等有效信息预测出该群组即将接入的下一个卫星,并且生成相应的认证向量,提前发送给目标卫星;生成认证向量过程为:移动切换安全服务系统选择一个随机数R4,在其数据库中寻找每一群成员IDi对应的共享密钥K
AMFi
,其中i=1,...,n,并分别...
【专利技术属性】
技术研发人员:曹进,马如慧,李晖,陈李兰,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。