[发明专利]一种面向天基网络的身份基认证方法

说明书

本发明公开了一种面向天基网络的身份基认证方法，目的解决在天基网络中地面终端与卫星的安全认证问题，提高天基网络通信的安全性。技术方案是先构建由地面终端、密钥生成中心KGC、低轨卫星组成的面向天基网络的身份基认证系统；KGC的初始化计算模块计算系统主密钥和公开参数；KGC的私钥计算模块计算对应的私钥，并将私钥和公开参数分发给地面终端和卫星。终端TE_A接入时进行当前过顶卫星LEO_A和TE_A的双向认证和会话密钥协商，然后LEO_A和TE_A正常通信，LEO_A在服务结尾若预判LEO_A即将离开当前区域，则进行星间切换认证，若预判LEO_A不离开，则LEO_A和TE_A继续进行通信。本发明有效减小了传输消息的尺寸，且在保障安全性的同时实现了快速切换认证和会话密钥协商。

技术领域

本发明涉及空间网络安全通讯领域，特别涉及一种面向天基网络的身份基认证方法。

背景技术

作为传统地面网络的有力补充，天基网络能够向诸如荒漠这样的特殊区域提供接入服务，实现真正的全球互联。然而，由于卫星通信的天然开放环境，恶意攻击者很容易获取星地之间的通信数据或者假装是合法用户发布恶意指令，这些行为都对天基网络的安全性构成了极大挑战。因此，天基网络需要一种认证方案来保证自身运行安全；认证的主要作用有两个：一是对地面终端的合法性进行鉴定，保证只有合法终端才能向卫星发送获取到的数据；二是终端对卫星的合法性进行认证，保证发送控制指令的卫星是合法的。天基网络是近几年才兴起的概念，国内外对天基网络中安全技术的研究还比较少，在现有的针对天基网络安全技术的研究中，认证方法大多考虑用户和网络控制中心之间的认证，然而在天基网络中，卫星需要给地面终端发送控制指令，地面终端需要向卫星上传收集到的数据，因此，在天基网络中卫星和地面终端之间的认证是极其重要的一个环节。当前，卫星和地面终端之间认证的相关研究比较匮乏，因此需要设计一种在天基网络中卫星和地面终端的互认证方法来保障天地之间的安全通信。

在进行认证方法设计时，需要考虑到天基网络的特点：

(1)网络拓扑高度变化。由于卫星随着时间的变化围绕地球高速运动，每颗卫星为特定区域地面终端提供服务的时间只有几分钟，因此天基网络中的认证方法应该能够让地面终端从当前的服务卫星切换到下一颗卫星时能够快速地进行双向认证。

(2)网络传输时延高。受限于地面平台终端的发展，天基网络中的链路传输速率为kbps级，为了降低认证消耗的总时间，卫星和地面终端之间认证所需要的交互次数应尽可能少。

(3)网络带宽资源有限。天基网络依赖于低轨窄带卫星星座，网络带宽十分受限，所以认证过程涉及到的报文尺寸应尽可能小。

(4)地面终端和星上计算存储能力有限。受卫星有效载荷技术和终端基础设施的影响，卫星和终端的计算存储能力都十分有限，完成认证过程所需的计算操作不能太复杂。

传统的天基网络安全认证方法包括基于传统数字证书的认证方法、基于扩展广播身份验证协议证书的源认证方法、基于身份标识的轻量级认证方法、基于身份基密码学技术和区块链技术的分布式认证方法、基于令牌的动态接入方法。然而传统的天基网络安全认证方法中存在着如下技术问题：

(1)基于传统数字证书的认证方法，指在天基网络中使用公钥加密算法进行双向认证和会话密钥协商。此方法中，通信双方都需要向对方发送自己的数字证书，通信和计算的开销较大，不适用于当前通信带宽有限的天基网络环境。

(2)基于扩展广播身份验证协议证书的源认证方法，指将卫星作为认证中心，生成扩展广播身份验证协议证书和运行源认证协议，该方法减小了传统数字证书传输带来的开销，但是对星上计算和存储能力要求高，成本高，不利于推广。