本發(fā)明涉及衛(wèi)星通信，特別涉及一種面向低軌寬帶衛(wèi)星星間組網(wǎng)身份認(rèn)證方法。

背景技術(shù)：

1、在現(xiàn)有的低軌衛(wèi)星星間組網(wǎng)認(rèn)證方案中，輕量級(jí)的組網(wǎng)認(rèn)證協(xié)議往往更加適用于計(jì)算能力與資源相對(duì)受限的通信設(shè)備中。然而，在天地一體化信息網(wǎng)絡(luò)中，大多數(shù)方法專(zhuān)注于提高認(rèn)證流程執(zhí)行時(shí)的性能與安全性，沒(méi)有考慮到衛(wèi)星增補(bǔ)與替換的場(chǎng)景。由于原衛(wèi)星無(wú)法預(yù)置增補(bǔ)衛(wèi)星的身份密鑰信息，無(wú)法采用基于對(duì)稱(chēng)密碼學(xué)的預(yù)置密鑰的方式進(jìn)行衛(wèi)星間的身份認(rèn)證，且傳統(tǒng)的非對(duì)稱(chēng)密碼學(xué)一般采用公鑰基礎(chǔ)設(shè)施實(shí)現(xiàn)，需要數(shù)字證書(shū)參與身份的認(rèn)證與公鑰的綁定，管理數(shù)字證書(shū)需要建造復(fù)雜的可信證書(shū)，在認(rèn)證過(guò)程中需要可信證書(shū)的在線(xiàn)認(rèn)證，對(duì)身份認(rèn)證的流程帶來(lái)過(guò)多的開(kāi)銷(xiāo)。

2、因此，針對(duì)發(fā)射衛(wèi)星的不確定性以及數(shù)字證書(shū)管理復(fù)雜等問(wèn)題，本發(fā)明提出一種面向低軌寬帶衛(wèi)星星間組網(wǎng)身份認(rèn)證方法，主要包括系統(tǒng)初始化階段、星間組網(wǎng)認(rèn)證階段、會(huì)話(huà)密鑰協(xié)商階段等三部分。系統(tǒng)初始化階段，低軌寬帶衛(wèi)星與地面密鑰管理中心進(jìn)行交互，完成身份信息的注冊(cè)，并且在低軌寬帶衛(wèi)星中預(yù)置公鑰矩陣、衛(wèi)星身份標(biāo)識(shí)、id證書(shū)等參數(shù)。星間組網(wǎng)認(rèn)證階段，鄰近軌道的低軌寬帶衛(wèi)星間進(jìn)行身份認(rèn)證。會(huì)話(huà)密鑰協(xié)商階段，利用認(rèn)證過(guò)程中生成的參數(shù)進(jìn)行密鑰協(xié)商。

技術(shù)實(shí)現(xiàn)思路

1、針對(duì)上述問(wèn)題，本發(fā)明的目的是：提出一種面向低軌寬帶衛(wèi)星星間組網(wǎng)身份認(rèn)證方法，減少星間組網(wǎng)認(rèn)證對(duì)第三方的依賴(lài)，更高效地進(jìn)行低軌寬帶衛(wèi)星之間的身份認(rèn)證。

2、為了實(shí)現(xiàn)上述目的，本發(fā)明所采用的的技術(shù)方案為：一種面向低軌寬帶衛(wèi)星星間組網(wǎng)身份認(rèn)證方法，包括以下步驟：

3、步驟1：系統(tǒng)初始化是在衛(wèi)星發(fā)射前的準(zhǔn)備階段進(jìn)行，包括密碼標(biāo)識(shí)的分配、組合密鑰的派生、id證書(shū)的生成與分發(fā)。采用組合公鑰體制為低軌寬帶衛(wèi)星進(jìn)行密碼標(biāo)識(shí)分配與生成公私鑰對(duì)。通過(guò)特定的映射算法，如哈希映射算法，可以將衛(wèi)星的密碼標(biāo)識(shí)映射成n個(gè)映射值，密鑰管理中心會(huì)通過(guò)組合原理為每個(gè)衛(wèi)星生成公私鑰對(duì)，生成id證書(shū)，通過(guò)安全通道分發(fā)給衛(wèi)星節(jié)點(diǎn)；

4、步驟2：星間組網(wǎng)認(rèn)證是低軌寬帶衛(wèi)星之間進(jìn)行身份認(rèn)證的過(guò)程，也是天地一體化信息網(wǎng)絡(luò)接入控制的中心環(huán)節(jié)，基于組合加密技術(shù)的非對(duì)稱(chēng)密碼體制的認(rèn)證模型，在兩顆低軌寬帶衛(wèi)星a、b之間建立通信，相互進(jìn)行身份認(rèn)證，包括：a生成時(shí)間戳，臨時(shí)身份，并發(fā)送認(rèn)證請(qǐng)求給b，b校驗(yàn)時(shí)間戳；計(jì)算明文，生成密文，構(gòu)造響應(yīng)數(shù)據(jù)包resp發(fā)送給a；a校驗(yàn)時(shí)間戳；計(jì)算明文，生成密文，構(gòu)造響應(yīng)數(shù)據(jù)包resp發(fā)送給b；b校驗(yàn)時(shí)間戳，比較校驗(yàn)函數(shù)和fn(r1)是否一致，一致則完成對(duì)a的身份認(rèn)證；a校驗(yàn)時(shí)間戳，比較校驗(yàn)函數(shù)和fn(r2)是否一致，一致則完成對(duì)b的身份認(rèn)證；

5、步驟3：在身份認(rèn)證過(guò)程中，雙方進(jìn)行密鑰協(xié)商，每顆衛(wèi)星都預(yù)設(shè)系統(tǒng)的橢圓曲線(xiàn)參數(shù)(a,b,g,n,p)，包括：a生成隨機(jī)數(shù)ra，計(jì)算臨時(shí)變量ta發(fā)送給b；b生成隨機(jī)數(shù)rb，計(jì)算臨時(shí)變量tb發(fā)送給a，計(jì)算協(xié)商秘鑰k；a收到b的消息后，計(jì)算計(jì)算協(xié)商秘鑰k。

6、所述步驟2包括以下步驟：

7、步驟2.1：星載時(shí)鐘根據(jù)當(dāng)前時(shí)間生成時(shí)間戳time，基于生成的時(shí)間戳time和預(yù)置的身份保護(hù)密鑰k計(jì)算臨時(shí)身份idtemp＝f(k,time,ida)發(fā)送給b；

8、步驟2.2：b收到認(rèn)證請(qǐng)求后，首先驗(yàn)證時(shí)間戳time是否滿(mǎn)足新鮮性要求，再提取a的密碼標(biāo)識(shí)ida，查看本地?cái)?shù)據(jù)庫(kù)是否存在ida對(duì)應(yīng)的會(huì)話(huà)密鑰，并驗(yàn)證該會(huì)話(huà)密鑰是否在有效期內(nèi)，如果a對(duì)應(yīng)的會(huì)話(huà)密鑰存在且有效，則通信雙方身份驗(yàn)證通過(guò)；

9、步驟2.3：b基于預(yù)置的公鑰矩陣pkm和a的密碼標(biāo)識(shí)ida，利用映射算法計(jì)算公鑰cpka，并生成隨機(jī)數(shù)r1和初始化向量iv，然后利用約定的變化f對(duì)隨機(jī)數(shù)r1進(jìn)行變換得到利用星載時(shí)鐘生成時(shí)間戳tb，構(gòu)造明文數(shù)據(jù)msg＝iv∥tb∥r1，生成響應(yīng)密文構(gòu)造密文并將響應(yīng)數(shù)據(jù)包resp＝idb∥signb發(fā)送給a；

10、步驟2.4：收到b返回的resp后，a提取b的密碼標(biāo)識(shí)idb，基于預(yù)置的公鑰矩陣和b的密碼標(biāo)識(shí)idb，利用映射算法計(jì)算b的公鑰cpkb對(duì)signb進(jìn)行解密，利用自己的私鑰cska對(duì)響應(yīng)密文cipher進(jìn)行解密，得到隨機(jī)數(shù)r1和時(shí)間戳tb，驗(yàn)證時(shí)間戳tb是否滿(mǎn)足新鮮性驗(yàn)證；

11、步驟2.5：a按照事先預(yù)置約定的變化f對(duì)隨機(jī)數(shù)r1進(jìn)行變換得到校驗(yàn)函數(shù)fn(r1)，用來(lái)讓對(duì)方驗(yàn)證，并利用隨機(jī)數(shù)生成器生成挑戰(zhàn)隨機(jī)數(shù)r2生成校驗(yàn)函數(shù)利用星載時(shí)鐘計(jì)算生成時(shí)間戳ta，構(gòu)造明文數(shù)據(jù)計(jì)算響應(yīng)密文構(gòu)造密文并將響應(yīng)數(shù)據(jù)包resp＝ida∥signa發(fā)送給b；

12、步驟2.6：b收到來(lái)自a的resp，首先利用自己的公鑰對(duì)signa進(jìn)行解密，然后利用自己的私鑰cskb對(duì)cipher進(jìn)行解密，得到時(shí)間戳ta、校驗(yàn)函數(shù)fn(r1)，驗(yàn)證時(shí)間戳是否滿(mǎn)足新鮮性，檢查校驗(yàn)函數(shù)和fn(r1)是否一致，同時(shí)對(duì)收到的隨機(jī)數(shù)r2進(jìn)行f變換；

13、步驟2.7：b利用星載時(shí)鐘計(jì)算當(dāng)前時(shí)間，生成時(shí)間戳tsat，計(jì)算明文數(shù)據(jù)msg＝iv∥tsat∥fn(r2)，利用a的公鑰cpka對(duì)明文數(shù)據(jù)msg進(jìn)行加密，計(jì)算響應(yīng)密文利用自己的私鑰cskb對(duì)響應(yīng)密文cipher加密，計(jì)算密文構(gòu)造響應(yīng)數(shù)據(jù)包resp＝idb∥signb；

14、步驟2.8：a收到來(lái)自b的明文數(shù)據(jù)msg，利用b的公鑰對(duì)signb進(jìn)行解密，再利用自己的私鑰cska對(duì)cipher進(jìn)行解密，得到時(shí)間戳tsat、校驗(yàn)函數(shù)fn(r2)，驗(yàn)證時(shí)間戳tsat是否滿(mǎn)足新鮮性要求，檢查校驗(yàn)函數(shù)和fn(r2)是否一致，如果一致，則通過(guò)了對(duì)的身份認(rèn)證，承認(rèn)是衛(wèi)星b合法，建立安全通道。

15、所述步驟3包括以下步驟：

16、步驟3.1：a利用隨機(jī)數(shù)生成器生成隨機(jī)數(shù)ra，利用公共參數(shù)g和b的組合公鑰cpkb計(jì)算臨時(shí)變量ta＝ra·(g+cpkb)，并發(fā)送給b；

17、步驟3.2：b利用隨機(jī)數(shù)生成器生成隨機(jī)數(shù)rb，利用公共參數(shù)g和a的組合公鑰cpka計(jì)算臨時(shí)變量tb＝rb·(g+cpka)，發(fā)送給a，并計(jì)算會(huì)話(huà)密鑰k，

18、k＝rb·ta·(cskb+1)-1＝rb·ra·(g+cpkb)·(cskb+1)-1＝rb·ta·

19、(g+g·cskb)·(cskb+1)-1＝rbrag；

20、步驟3.3：a收到來(lái)自b的消息后，計(jì)算會(huì)話(huà)密鑰k，

21、k＝ra·tb·(cska+1)-1＝ra·rb·(g+cpka)·(cska+1)-1＝ra·tb·

22、(g+g·cska)·(cska+1)-1＝rarbg。

23、與現(xiàn)有技術(shù)相比，本發(fā)明所公開(kāi)的技術(shù)方案具有以下技術(shù)效果：

24、1、針對(duì)低軌寬帶衛(wèi)星特有的軌道壽命短、星間網(wǎng)絡(luò)拓?fù)鋭?dòng)態(tài)變化及衛(wèi)星意外損毀等復(fù)雜挑戰(zhàn)，設(shè)計(jì)出一種高度靈活的星間組網(wǎng)認(rèn)證協(xié)議，確保網(wǎng)絡(luò)在多變環(huán)境下仍能穩(wěn)定運(yùn)行；

25、2、支持對(duì)衛(wèi)星進(jìn)行動(dòng)態(tài)增補(bǔ)和快速替換，有效應(yīng)對(duì)衛(wèi)星失效或損壞的緊急情況，保障網(wǎng)絡(luò)的連續(xù)性和穩(wěn)定性；

26、3、顯著降低了星間組網(wǎng)認(rèn)證對(duì)地面控制中心的依賴(lài)，而且能夠不受傳輸帶寬、數(shù)據(jù)庫(kù)、以及設(shè)備水平等外部條件的限制，認(rèn)證過(guò)程簡(jiǎn)單高效；

27、4、采用了組合公鑰密碼體制，將標(biāo)識(shí)密鑰與隨機(jī)密鑰復(fù)合構(gòu)成完整的組合私鑰，實(shí)現(xiàn)密鑰的隨機(jī)化。并且其密鑰管理模式是采用集中生產(chǎn)分發(fā)，分散保管使用的方式，將每個(gè)低軌寬帶衛(wèi)星的私鑰寫(xiě)進(jìn)對(duì)應(yīng)的id證書(shū)，極大地減輕密鑰中心的管理負(fù)擔(dān)。