一种空管智慧台站的身份认证方法及数据加解密方法技术

本发明专利技术属于数据加密技术领域，一种空管智慧台站的身份认证方法及数据加解密方法。在源头处对空管设备的相关实时数据进行应用级源加密，实现相关实时数据在全链路上的端到端机密性保护，在不安全信道上完成会话密钥分发和身份认证，并且通过会话加密使通信数据在整个传输过程中都是以密文的形式存在。身份认证方法，包括智慧台站端侧采集设备、智慧台站后台服务器、KDC秘钥分发中心；智慧台站侧采集设备和智慧台站后台服务器每一次通信前，通信双方通过KDC秘钥分发中心进行身份验证和密钥分发。数据加解密方法，包括智慧台站端侧采集设备到智慧台站后台服务器的数据消息加解密；智慧台站后台服务器到智慧台站端侧采集设备的数据消息加解密。数据消息加解密。数据消息加解密。

【技术实现步骤摘要】
一种空管智慧台站的身份认证方法及数据加解密方法


[0001]本专利技术属于数据加密
，特别是涉及一种空管智慧台站的身份认证方法及数据加解密方法。

技术介绍

[0002]5G网络中新应用、新技术，以及新空口的引入，在使网络开放性，灵活性得到保障的同时也扩大了网络的攻击面，信息的完整性需要通信系统保证信息在传输的过程中不被篡改或替换。中间人(man in the middle,MITM)攻击是常见的破坏信息完整性的攻击方式，它通过秘密控制两个合法通信方之间的通信通道，拦截、修改和替换通信消息，由于无线通信的广播特性，其更有可能受到MITM攻击。用户面和控制面的分离是5G核心网的重要特征，它使用户面更加灵活，也给降低时延和边缘计算奠定了基础。但中继节点和边缘节点的增加给信息的完整性带来了极大的挑战，因为每个节点都可以成为MITM攻击者攻击的目标。在核心网，攻击者可以利用网络漏洞操纵网络配置数据，从而影响信息的完整性。在边缘节点，攻击者可以通过伪造的移动边缘计算(mobile edge computing,MEC)网关部署自己网关设备，造成与中间本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种空管智慧台站的身份认证方法，其特征在于：包括智慧台站端侧采集设备(1)、智慧台站后台服务器(2)、KDC秘钥分发中心(3)；智慧台站侧采集设备(1)和智慧台站后台服务器(2)每一次通信前，通信双方通过KDC秘钥分发中心(3)进行身份验证和密钥分发。2.根据权利要求1所述的空管智慧台站的身份认证方法，其特征在于：包括以下步骤：S100、智慧台站侧采集设备向KDC秘钥分发中心发送自身设备唯一编号和智慧台站后台服务器的唯一编号；S110、KDC秘钥分发中心收到请求后，随机生成一个会话密钥K
S，C
，然后分别生成票据T
C
和T
S
，最后将票据T
S
发送给智慧台站侧采集设备；依据公式1生成票据T
C
；T
C
＝E(K
C
，(ID
S
，K
S，C
))
ꢀꢀꢀꢀ
公式1；依据公式2生成票据T
S
；T
S
＝E(K
S
，(ID
C
，K
S，C
，T
C
))
ꢀꢀꢀꢀ
公式2；S120、智慧台站侧采集设备收到票据T
S
后，用K
S
解密得到会话密钥K
S，C
和T
C
，然后用会话密钥将当前时间戳TS和数据校检和ChS加密生成一个认证因子A，并将认证因子A和T
C
一起发送给智慧台站后台服务器；依据公式3生成认证因子A；A＝E(K
S，C
，(TS，ChS))
ꢀꢀꢀꢀ
公式3；S130、智慧台站后台服务器接收到票据T
C
和认证因子A后，先用K
C
将T
C
解密得到会话密钥K
S，C
，然后用K
S，C
解密认证因子A得到时间戳TS和数据校检和ChS，如果时间戳TS在当前时间上下3分钟以内并且是第一次出现，则检查数据校检和ChS是否正确，如果都能够通过，则进入下一步；S140、智慧台站后台服务器将收到的时间戳TS自增1后用会话密钥K
S，C
加密，发送给智慧台站侧采集设备完成双向认证。3.根据权利要求2所述的空管智慧台站的身份认证方法，其特征在于：所述ID
X
：分别表示智慧台站端侧采集设备或智慧台站后台服务器的唯一名字；所述K
S
：KDC秘钥分发中心与智慧台站端侧采集设备之间预共享密钥；所述K
C
：KDC秘钥分发中心与智慧台站后台服务器之间预共享密钥；所述T
S
：KDC秘钥分发中心用K
S
密钥加密过的票据信息；所述T
C
：KDC秘钥分发中心用K
C
密钥加密过的票据信息；所述K
S，C
：智慧台站端侧采集设备与智慧台站后台服务器通信的会话密钥。4.根据权利要求3所述的空管智慧台站的身份认证方法，其特征在于：所述智慧台站端侧采集设备进行身份验证和密钥分发，包括以下步骤：S200、检查管理员设置的配置信息中KDC秘钥分发中心地址及智慧台站后台服务器地址是否可以连接，如果不可以建立socket连接，则提示配置信息有误，结束总流程，若都可以正常连接，则继续下一步；S210、连接KDC秘钥分发中心并向其发送两部分内容，一部分是由该智慧台站端侧采集设备的唯一编号标识，另一部分是由智慧台站后台服务器的IP地址和连接端口号组成的服务器编号标识；
S220、接收KDC秘钥分发中心发送来的数据并检查数据是否为票据信息，如果不是票据信息，则说明KDC秘钥分发中心生成票据时出错，提示错误信息并结束总流程，若判断数据为票据信息，则进行下一步；S230、用预共享密钥解密接收的数据中当前设备的票据得到会话密钥和标识信息，如标识信息与当前网络设备不一致，则提示错误信息并回到步骤S210，重新向KDC申请票据，若标识信息正确则继续下一步；S240、用会话密钥加密当前时间戳和一个随机校验值得到认证因子，然后连接智慧台站后台服务器，将另一个票据连同认证因子一起发送给智慧台站后台服务器；S250、检查智慧台站后台服务器回传的数据，如果是错误信息则返回步骤S210，否则用会话密钥解密服务器传来的密文数据，明文若为步骤S230中所发送的时间戳值自增1则完成双向身份认证，如果认证失败返回步骤S210重新进行身份认证和密钥分发。5.根据权利要求4所述的空管智慧台站的身份认证方法，其特征在于：所述智慧台站后台服务器进行身份验证和密钥分发，包括以下步骤：S300、开启票据接收服务，监听特定Socket端口；S310、接受网络设备的连接请求，并接收票据信息和认证因子；S320、用预共享密钥解密票据信息得到会话密钥和网络设备标识信息，如果标识信息与当前加密代理所在运行的网络设备不一致，则发送错误信息到交换机端并准备重新接收票据，若标识信息正确则继续下一步；S330、用会话密钥解密认证因子，得到时间戳和一个随机数，如果时间戳在当前时间上下3分钟以内并且是第一次出现，则检查校验值格式是否正确，如果都不能通过，则向SDN交换机端发送错误信息并返回步骤S310，准备重新接收票据，若都能通过则进入下一步；S340、将正确的时间戳自增1单独用会话密钥加密后发送给智慧台站端侧采集设备，用来完成双向的身份认证。6.一种数据加解密方法，其特征在于：用...

【专利技术属性】
技术研发人员：张颖，王岩磊，刘亮，邹斌斌，张建杰，任航，潘旋，
申请(专利权)人：中国民用航空华东地区空中交通管理局，
类型：发明
国别省市：