一种空天信息网络漫游可信安全接入方法技术

一种空天信息网络漫游可信安全接入方法，包括5个阶段：节点注册阶段；请求接入阶段；身份认证阶段；完整性验证阶段；密钥生成阶段；终端接入节点MN和外地安全域认证服务器FA完成会话密钥的协商，此时，整个空天信息网络漫游可信安全接入方法过程全部完成，实现了终端接入节点MN和外地安全域认证服务器FA之间相互的身份认证和完整性度量，并实现了由终端接入节点MN、外地安全域认证服务器FA、本地域安全域认证服务器HA三方参与的终端接入节点MN和外地安全域认证服务器FA之间会话密钥的协商。它交互轮数少，会话密钥安全性高，使用可信计算相关技术，实现了对终端接入点的完整性度量，解决了由于终端完整性和可信性而易发的针对网络的攻击。

【技术实现步骤摘要】
一种空天信息网络漫游可信安全接入方法
本专利技术提供一种空天信息网络漫游可信安全接入方法，它涉及一种空天信息网络环境下终端节点可信安全的接入网络的方法，该方法将可信计算的概念引入到空天信息网络中，实现了对终端的完整性度量和可信认证，属于安全接入

技术介绍
空天信息网络（SpaceInformationNetwork，SIN）是以卫星系统为主的导航、通信、信息支援与保障的综合信息体系，它能把轨道高度不同、执行不同任务的卫星、其他各类飞行器、具有空间通信能力的航天器（如卫星、航天飞机等）、航空器（如飞机、热气球等）和地面站系统联系起来。如图1所示。同时SIN传输的开放性带来的安全问题引起了人们的重视。SIN应用的领域均非常重要，远程维护和管理非常复杂，系统成本高，这些特点决定了SIN必须具有高安全性和高可靠性。网络安全技术是SIN研究和应用中一项极为重要的关键性支撑技术。从信息安全理论的角度出发,身份认证则可以看作是几乎所有安全系统的第一道防线,如果没有良好的身份认证体制作为基础和保障,其余的任何技术都是“沙上筑楼”，所以对SIN安全接入技术方面的研究具有重大价值。如果把信息安本文档来自技高网...

【技术保护点】
一种空天信息网络漫游可信安全接入方法，其特征在于：它共包括5个阶段，分别为节点注册阶段、请求接入阶段、身份认证阶段、完整性验证阶段、密钥生成阶段；阶段1节点注册阶段：合法的TPM在制造商所在网络加入直接匿名证明即DAA方案颁发者群，并取得DAA证书；嵌入了合法TPM芯片的终端节点MN在本地安全域完成注册；阶段2请求接入阶段：终端接入节点MN漫游到外地安全域后，向外地安全域认证服务器FA发送接入认证挑战，MN用自己的私钥对消息进行签名，FA转发消息给HA，请求对MN进行身份验证；阶段3身份认证阶段：本地域安全域认证服务器HA收到FA发送的认证请求消息后，首先验证MN的签名是否正确，然后计算得到M...

【技术特征摘要】
1.一种空天信息网络漫游可信安全接入方法，其特征在于：它共包括5个阶段，分别为节点注册阶段、请求接入阶段、身份认证阶段、完整性验证阶段、密钥生成阶段；阶段1节点注册阶段：合法的TPM在制造商所在网络加入直接匿名证明即DAA方案颁发者群，并取得DAA证书；嵌入了合法TPM芯片的终端节点MN在本地安全域完成注册；阶段2请求接入阶段：终端接入节点MN漫游到外地安全域后，向外地安全域认证服务器FA发送接入认证挑战，MN用自己的私钥对消息进行签名，FA转发消息给HA，请求对MN进行身份验证；阶段3身份认证阶段：本地域安全域认证服务器HA收到FA发送的认证请求消息后，首先验证MN的签名是否正确，然后计算得到MN的身份信息，查询撤销列表，确认MN身份合法；阶段4完整性验证阶段：身份认证通过后，FA收集完整性度量信息请求与MN进行完整性验证；MN验证通过后，收集完整性信息给FA，FA验证签名通过后，请求HA对MN的完整性进行验证；阶段5密钥生成阶段：外地安全域认证服务器FA结合HA的公钥、部分私钥和FA的签名，终端接入节点MN结合FA的公钥、部分私钥和MN的签名三部分密钥生成会话密钥；至此，终端接入节点MN和外地安全域认证服务器FA完成会话密钥的协商，此时，整个空天信息网络漫游可信安全接入方法过程全部完成，实现了MN和FA之间相互的身份认证和完整性度量，并实现了由MN、FA、HA三方参与的终端接入节点MN和外地安全域认证服务器FA之间会话密钥的协商。2.根据权利要求1所述的一种空天信息网络漫游可信安全接入方法，其特征在于：在阶段1中所述的节点注册阶段，其具体实现过程如下：(1)合法的TPM在制造商所在网络加入DAA颁发者群，并取得其DAA证书，终端接入节点即MN嵌入合法TPM芯片；(2)合法的终端接入节点即MN在HA处注册时，HA首先完成对MN平台中TPM的身份验证，注册成功后，HA确定MN和TPM的绑定关系，并存储在数据库中。3.根据权利要求1所述的一种空天信息网络漫游可信安全接入方法，其特征在于：在阶段2中所述的接入请求阶段，其具体实现过程如下：当终端接入节点首次漫游到异地的外部空间信息子网中时，在对外部空间子网链路的探测和发现后,需要请求外部空间子网中的FA进行身份认证；MN获获取当前时戳TMN，计算公钥对<XMN＝xMNg,YMN＝xMNg0>，由TPM随机生成MN的挑战NMN，MN构造消息发送FA，开启可信接入过程，进入到身份认证阶段；其中消息中包括＜IDHA,IDv,TMN＞，<XMN＝xMNg,YMN＝xMNg0>，＜c,PIDMN＞，NMN，IDv是MN想与之通信的节点身份信息；MN用自己的私钥对消息进行私钥签名；签名为<UMN,vMN>，其中UMN＝vMNSMN+ag0∈G1，vMN＝H(MMN,rMN)∈Zq，rMN＝e(ag0,g0)∈G2。4.根据权利要求1所述的一种空天信息网络漫游可信安全接入方法，其特征在于：在阶段3中所述的身份认证阶段，其具体实现过程如下：(1)FA收到消息后，检验TMN新鲜性，避免重放攻击；若TMN新鲜，验证XMN,YMN∈G1，验证e(XMN,g0)＝e(YMN,g)，验证通过则加上时戳TFA，后根据MN提供...

【专利技术属性】
技术研发人员：刘建伟，张雷，童丹，
申请(专利权)人：北京航空航天大学，
类型：发明
国别省市：