本发明专利技术公开了一种基于身份加密体制的天地一体化网络匿名接入认证方法,属于信息网络安全领域,该方法由终端设备和卫星分别向密钥分发中心进行离线注册,终端设备向卫星发送接入认证请求,卫星接收终端设备的接入认证请求以及身份认证消息,验证终端设备的合法性后回复终端设备接入认证响应消息,完成接入认证过程,终端设备向卫星发送恢复连接认证请求,无需再对终端设备进行重认证,完成连接恢复认证过程,本方法可以有效地对终端设备的合法性进行验证,并为不同安全需求的用户提供多种接入认证方式的选择,保证了终端设备的隐私安全,大大降低了接入认证的复杂度。
An anonymous access authentication method based on identity encryption
【技术实现步骤摘要】
基于身份加密体制的天地一体化网络匿名接入认证方法
本专利技术涉及信息网络安全领域,更为具体地,涉及一种基于身份加密体制的天地一体化网络匿名接入认证方法。
技术介绍
网络空间安全是反恐、社会服务和治理之基,天地一体化网络安全作为其组成部分,保证合法用户的安全通信具有重要意义。然而,天地一体化网络有别于传统网络,其信道高度开放,容易受到非法用户攻击等众多威胁和挑战,接入认证作为网络安全防护的第一道防线,其能够用于自身网络中各个节点之间的身份合法性的识别,并且作为保证合法终端设备获取相应业务资源的前提,防止恶意非法终端设备占用网络资源。因此安全接入认证方案对于天地一体化网络来说至关重要。由于在天地一体化网络中,存在拓扑高度动态变化、链路质量不稳性、通信时延高、资源受限等特征,终端种类繁多,终端接入卫星时候会面临着频繁接入认证的问题。但是,传统的基于公钥密码体制天地一体化网络匿名接入认证方法,大多是集中认证管理的方式,其计算开销大,每次认证都需要地面认证中心参与导致大量的通信开销,并且给地面认证中心带来巨大的处理开销,不能防止重放攻击等。这使得在资源有限的天地一体化网络中想对终端设备提供服务变得更加困难,终端设备的服务体验也极大的受到影响。
技术实现思路
本专利技术的目的在于克服现有技术的不足,提供一种基于身份加密体制的天地一体化网络匿名接入认证方法,认证过程无需第三方认证中心参与,减少接入认证交互次数,降低接入认证时延和计算开销,同时保证终端设备接入认证过程的安全性,并对不同安全等级需求的用户提供不同的接入认证方式。本专利技术的目的是通过以下技术方案来实现的:一种基于身份加密体制的天地一体化网络匿名接入认证方法,包括以下步骤:步骤201,终端设备和卫星分别向密钥分发中心发送携带有固有身份的信息来进行注册,密钥分发中心向所述终端设备发送包含有终端设备注册身份RIDu、由注册身份RIDu生成相对应的私钥K、卫星的公钥Pubs的注册响应;密钥分发中心向卫星发送包含有卫星设备注册身份RIDs、由注册身份RIDs生成相对应的私钥K’的注册响应,每当注册完一个终端设备以后,密钥分发中心会通过安全信道将用户的真实身份信息IDu,所述真实身份信息IDu包括用户的身份证号或设备生成编号;同时,还有相关密钥生成算法发送给注册过的卫星,卫星上存储当前注册用户的验证表信息;步骤202,终端设备向卫星发送接入认证请求消息,所述接入认证请求消息包括:使用哈希函数计算得到的第二随机数H=h(IDu||Ru)、利用第二随机数H计算得到的终端设备伪身份PIDu=RIDu⊕H、终端设备使用自己的私钥K对消息进行签名得到签名消息MACu,其中Ru为终端发送认证请求的时候生成的第一随机数,T为第一时间戳,⊕运算符号表示异或运算,||运算符号表示拼接运算,h()函数为哈希函数;步骤203,卫星接收接入认证请求消息,卫星验证终端设备的接入认证请求消息,若验证失败,则回复认证失败消息;若验证成功,卫星发送接入认证响应消息给终端设备,所述接入认证响应消息包括:使用卫星的公钥Pubs对第一会话密钥SK的元素Hsat以及唯一指定终端设备的第一标识消息session_id加密得到的消息,使用卫星的私钥K’对所述响应消息的签名消息以及第二时间戳Ts;步骤204,终端设备接收并验证接入认证响应消息,用卫星的公钥Pubs验证签名消息,若验证成功,使用终端设备的私钥K解密得到第一会话密钥SK的元素Hsat和第一标识消息session_id,将第一标识消息session_id存储起来,计算用于第一会话密钥SK=h(K’||K||Ru||Rs),以及终端消息验证码密钥MACUS_key=h(IDu||Hsat),完成终端设备的接入认证过程;步骤205,当终端设备需要恢复连接时,计算第一消息验证码密钥MAC_key=h(K||IDu||Ru’),向卫星发送恢复连接认证请求消息,所述恢复连接认证请求消息包括:接入认证过程中保存的第一标识消息session_id、使用终端设备的私钥K对终端设备注册身份RIDu、第一会话密钥SK以及第一消息验证码密钥MAC_Key加密的消息、第三随机数Ru’和第三时间戳Tu’、使用第一消息验证码密钥MAC_key对所述恢复连接认证请求消息的签名消息;步骤206,卫星接收并验证恢复连接认证请求消息,若验证成功,与终端设备协商第二会话密钥SK’和第二消息验证码密钥MAC_key’,计算出第二标识消息session_id,删除之前保存的会话密钥信息,回复终端设备恢复连接认证响应消息,所述恢复连接认证响应消息包括:第二标识消息session_id、使用卫星私钥K’进行签名的签名消息、第四随机数Rs’和第四时间戳Ts”;步骤207,终端设备接收恢复连接认证响应消息,计算出用于数据安全传输的第三会话密钥SK’以及第三消息验证码密钥MAC_key’,完成恢复连接认证过程。进一步的,在步骤202中,所述接入认证请求消息还包括:终端设备选择的安全等级的接入认证方式;所述安全等级的接入认证方式经过卫星转发到达密钥分发中心,密钥分发中心根据所述安全等级的接入认证方式选择对应的认证方式进行认证。进一步的,所述安全等级的接入认证方式包括哈希hash算法选项、随机数长度选项以及对称加密算法选项,其中,哈希hash算法选项至少包括安全散列算法SHA1、安全散列算法SHA128以及安全散列算法SHA256,随机数长度选项至少包括32bit、64bit以及128bit,对称加密算法选项至少包括高级加密标准AES,数据加密标准DES以及三重数据加密标准3DES。进一步的,在步骤203中,所述的卫星验证终端设备的接入认证请求消息,包括:使用哈希函数计算得到的第二随机数H=h(IDu||Ru)、利用第二随机数H计算得到的终端设备伪身份PIDu=RIDu⊕H、终端设备使用自己的私钥K对消息进行签名得到签名消息MACu,其中Ru为终端发送认证请求的时候生成的第一随机数,T为第一时间戳,⊕运算符号表示异或运算,||运算符号表示拼接运算,h()函数为哈希函数,若验证成功,回复认证成功消息,否则验证失败,回复认证失败消息。进一步的,在步骤206中,所述卫星接收并验证恢复连接认证请求消息,包括:卫星根据接收到的第一标识消息session_id查找到唯一指定的终端设备的第一密钥K;进一步使用第一密钥K解密得到用于验证的终端设备真实身份IDu’、第二会话密钥SK和终端消息验证码密钥MACUS_key,同时通过对应关系表查找第一密钥K对应的终端设备真实身份IDu,比对IDu和IDu’;若一致,且验证签名消息成功,则验证成功;否则验证失败,回复认证失败消息。本专利技术的有益效果是:本专利技术提出了一种基于身份加密体制的天地一体化网络匿名接入认证方法,可以有效地对终端设备的合法性进行判断,避免非法恶意用户对网络资源的非法访问。当终端设备首次向卫星发送接入认证请求时,卫星直接对用户身份进行验证,若验证成功,则向终端设备回复认证响应本文档来自技高网...
【技术保护点】
1.一种基于身份加密体制的天地一体化网络匿名接入认证方法,其特征在于,包括以下步骤:/n步骤201,终端设备和卫星分别向密钥分发中心发送携带有固有身份的信息来进行注册,密钥分发中心向所述终端设备发送包含有终端设备注册身份RID
【技术特征摘要】
1.一种基于身份加密体制的天地一体化网络匿名接入认证方法,其特征在于,包括以下步骤:
步骤201,终端设备和卫星分别向密钥分发中心发送携带有固有身份的信息来进行注册,密钥分发中心向所述终端设备发送包含有终端设备注册身份RIDu、由注册身份RIDu生成相对应的私钥K、卫星的公钥Pubs的注册响应;密钥分发中心向卫星发送包含有卫星设备注册身份RIDs、由注册身份RIDs生成相对应的私钥K’的注册响应,每当注册完一个终端设备以后,密钥分发中心会通过安全信道将用户的真实身份信息IDu,所述真实身份信息IDu包括用户的身份证号或设备生成编号;同时,还有相关密钥生成算法发送给注册过的卫星,卫星上存储当前注册用户的验证表信息;
步骤202,终端设备向卫星发送接入认证请求消息,所述接入认证请求消息包括:使用哈希函数计算得到的第二随机数H=h(IDu||Ru)、利用第二随机数H计算得到的终端设备伪身份PIDu=RIDu⊕H、终端设备使用自己的私钥K对消息进行签名得到签名消息MACu,其中Ru为终端发送认证请求的时候生成的第一随机数,T为第一时间戳,⊕运算符号表示异或运算,||运算符号表示拼接运算,h()函数为哈希函数;
步骤203,卫星接收接入认证请求消息,卫星验证终端设备的接入认证请求消息,若验证失败,则回复认证失败消息;若验证成功,卫星发送接入认证响应消息给终端设备,所述接入认证响应消息包括:使用卫星的公钥Pubs对第一会话密钥SK的元素Hsat以及唯一指定终端设备的第一标识消息session_id加密得到的消息,使用卫星的私钥K’对所述响应消息的签名消息以及第二时间戳Ts;
步骤204,终端设备接收并验证接入认证响应消息,用卫星的公钥Pubs验证签名消息,若验证成功,使用终端设备的私钥K解密得到第一会话密钥SK的元素Hsat和第一标识消息session_id,将第一标识消息session_id存储起来,计算用于第一会话密钥SK=h(K’||K||Ru||Rs),以及终端消息验证码密钥MACUS_key=h(IDu||Hsat),完成终端设备的接入认证过程;
步骤205,当终端设备需要恢复连接时,计算第一消息验证码密钥MAC_key=h(K||IDu||Ru’),向卫星发送恢复连接认证请求消息,所述恢复连接认证请求消息包括:接入认证过程中保存的第一标识消息session_id、使用终端设备的私钥K对终端设备注册身份RIDu、第一会话密钥SK以及第一消息验证码密钥MAC_Key加密的消息、第三随机数Ru’和第三时间戳Tu’、使用第一消息验证码密钥MAC_key对所述恢复连接认证请求消息的签名消息;
步骤206,卫星接收并验证恢复连接认证请求消息,若验证成功,与终端设...
【专利技术属性】
技术研发人员:徐磊,赵国锋,徐川,伊俊杰,石润,刘子琦,
申请(专利权)人:四川九强通信科技有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。