【技术实现步骤摘要】
一种多类型终端接入与切换认证方法、系统、设备及应用
本专利技术属于通信网络安全
,尤其涉及一种多类型终端接入与切换认证方法、系统、设备及应用。
技术介绍
目前,随着5G通信技术的普及以及物联网设备的高速增长,人们对于移动通信业务的需求不断提升,通过卫星通信网络来覆盖山区、远洋等特殊通信场景,构建卫星网络与地面网络融合的信息网络,有利于实现全球信息网络的深度互连。在现有卫星通信系统中,铱星(Iridium)系统是早期较为成熟的卫星通信系统,铱星系统属于低轨道卫星移动通信系统,由Motorola提出并主导建设,由分布在6个轨道平面上的66颗卫星组成,这些卫星均匀的分布在6个轨道面上,轨道高度为780km。主要为个人用户提供全球范围内的移动通信,采用地面集中控制方式,具有星际链路、星上处理和星上交换功能。铱星系统除了提供电话业务外,还提供传真、全球定位(GPS)、无线电定位以及全球寻呼业务。此外,由美国SpaceX公司推出的星链计划,计划在2019年至2024年间在太空搭建由约1.2万颗卫星组成的“星链”网络,其中1584颗将部署在地球上空550千米处的近地轨道,并从2020年开始工作。与此同时,国内正在开展的虹云工程计划发射156颗卫星,它们在距离地面1000公里的轨道上组网运行,致力于构建一个星载宽带全球移动互联网络。在此背景下,如何保证不同类型终端的高效安全接入、移动终端无缝安全切换成为了当前研究重点。目前,适用于卫星网络的终端接入与切换认证主要面临以下挑战:(1)卫星通信采用开放链路通信,任何 ...
【技术保护点】
1.一种多类型终端接入与切换认证方法,其特征在于,所述多类型终端接入与切换认证方法包括:/n普通终端、特殊终端以及Ka终端实体与实体身份管理系统交互执行实体注册流程,完成实体注册;/n在完成终端注册流程之后,普通终端通过执行基于地基的普通终端接入认证流程接入地面网络;/n在完成终端注册流程之后,对于重要/高速用户类型的特殊终端通过向拜访网络中的地基节点提前预置认证向量的方式执行基于天基的特殊终端接入认证流程快速接入地面网络;/n在完成Ka终端的注册流程之后,Ka频段终端通过执行Ka终端接入认证流程接入地面网络;/n接入网络后,由于卫星节点和终端的移动性,终端通过执行移动安全切换流程完成不同卫星间的切换。/n
【技术特征摘要】
1.一种多类型终端接入与切换认证方法,其特征在于,所述多类型终端接入与切换认证方法包括:
普通终端、特殊终端以及Ka终端实体与实体身份管理系统交互执行实体注册流程,完成实体注册;
在完成终端注册流程之后,普通终端通过执行基于地基的普通终端接入认证流程接入地面网络;
在完成终端注册流程之后,对于重要/高速用户类型的特殊终端通过向拜访网络中的地基节点提前预置认证向量的方式执行基于天基的特殊终端接入认证流程快速接入地面网络;
在完成Ka终端的注册流程之后,Ka频段终端通过执行Ka终端接入认证流程接入地面网络;
接入网络后,由于卫星节点和终端的移动性,终端通过执行移动安全切换流程完成不同卫星间的切换。
2.如权利要求1所述的多类型终端接入与切换认证方法,其特征在于,实体注册流程具体包括:在终端注册之前,实体身份管理系统选择一个椭圆曲线E以及E上的循环群G,其中G的生成元为P,阶为q,实体身份管理系统选择sk∈Zq作为私钥,公钥pk=sk*P,实体注册过程针对不同类型的终端具体包括以下两种不同的注册流程:
1)普通终端和特殊终端通过注册机或写卡器与实体身份管理系统交互完成注册流程;
(1)注册机向实体身份管理系统发送注册请求;
(2)实体身份管理系统为每个终端生成身份标识ID,同时为终端生成预置密钥K以及生成认证管理域标识AMF,并通过安全信道将ID||K||AMF||pk作为响应发送至注册机;
(3)注册机离线将ID||K||AMF||pk写入终端的密码模块,完成终端注册流程;
2)Ka终端注册流程:
(1)Ka终端向实体身份管理系统发送注册请求;
(2)实体身份管理系统收到注册请求消息后,生成Ka终端的永久身份标识ID和公私钥,同时为Ka终端生成证书,证书内容包含终端ID、Ka终端公钥信息、实体身份管理系统公钥pk等;
(3)实体身份管理系统将证书包含在注册响应中发送至Ka终端。
3.如权利要求1所述的多类型终端接入与切换认证方法,其特征在于,基于地基的普通终端接入认证流程具体包括:
(1)终端选择一个随机数a∈Zq,计算A=a*P以及D=a*pk,随后终端采用D执行对称加密算法加密其身份标识ID以及新生成的随机数R1获得cID,终端将cID以及A发送给卫星节点,卫星节点将收到数据包转发至地基节点;
(2)地基节点将cID、A以及其访问域身份标识SNID发送至接入认证系统,随后由接入认证系统转发至实体身份管理系统;
(3)实体身份管理系统收到认证请求消息后,计算D=A*sk,利用D解密获得终端的永久身份标识ID以及随机数R1;
(4)随后,实体身份管理系统判断ID的合法性并查找终端相应的主密钥K,同时选择随机数R2,计算MAC=f1(K,AMF,R1||R2,SNID)、XRES=f2(K,R1||R2,SNID)、CK=f3(K,R1||R2)、IK=f4(K,R1||R2),其中AMF为认证管理域,共由十五位十进制数进行标识,其前五位用于标识服务网络,即SNID,实体身份管理系统利用CK、IK、SNID以及密钥导出函数KDF生成KAMF=KDF(SNID,CK||IK,R1||R2);
(5)实体身份管理系统将认证向量AV=A||R1||R2||XRES||KAMF||AUTN发送至接入认证系统,其中AUTN=AMF||MAC;
(6)接入认证系统收到向量AV后,计算HXRES=KDF(R1,XRES),AV′=A||R1||R2||HXRES||KAMF||AUTN,然后将AV′转发至地基节点;
(7)收到AV′后,地基节点选择一个随机数b∈Zq,计算B=b*P和C=b*A,然后,地基节点计算密钥KSat=KDF(R2,KAMF,B||C),HMAC=KDF(R1,A||B||C,MAC),TID=h(R2,ID),AUTN′=AMF||HMAC,同时生成AV″=TID||B||R1||R2||HXRES||KSat||AUTN′,并且将AV″转发至卫星;
(8)卫星收到应答后,存储AV″,发送认证请求B||R2||AUTN′到终端;
(9)终端收到认证请求后,计算C=B*a,XMAC=f1(K,AMF,R1||R2,SNID)、RES=f2(K,R1||R2,SNID)、CK=f3(K,R1||R2)、IK=f4(K,R1||R2),终端提取AUTN′中的HMAC,计算HXMAC=KDF(R1,A||B||C,XMAC),比较HXMAC和HMAC是否相等;如果相等,则计算KAMF=KDF(SNID,CK||IK,R1||R2)、KSat=KDF(R2,KAMF,B||C),终端临时标识TID=h(R2,ID),并将RES传输给卫星;
(10)卫星收到消息后,首先计算HRES=KDF(R1,RES),并且将HRES与从AV″中提取出的HXRES进行比较,如果一致,则通过认证,卫星继续将RES转发至接入认证系统;
(11)接入认证系统收到消息后,验证RES是否与从AV中提取出的XRES相同,如果相同,则验证通过,该终端成功接入网络;认证完成后,卫星采用终端的临时标识TID识别终端,且卫星与终端将KSat作为基础密钥,根据密钥衍生算法推演出随后空口信令和数据保护的加密密钥与完整性保护密钥,随后进行保密通信。
4.如权利要求1所述的多类型终端接入与切换认证方法,其特征在于,基于天基的特殊终端接入认证流程如下:
首先,针对重要/高速用户特殊终端,地基节点首先同接入认证系统交互为每个终端预置认证向量,预置向量过程如下:
(1)为减少信令开销可以每次为多个终端进行预置,地基节点发送预置请求(IDA||IDB||...IDM||R1)至接入认证系统,接入认证系统为每个终端执行单独的认证向量生成过程,单每个终端的多组认证向量中随机数R2不同,不同终端同一组认证向量中R2可以相同,实体身份管理系统收到接入认证系统转发的认证请求(IDA||IDB||...IDM||R1)后,为每个终端生成多组认证向量AVs=(ID||R21||XRES1||KAMF1||AUTN1,…R2n||XRESn||KAMFn||AUTNn)转发至接入认证系统,其中AUTN=AMF||MAC;
(2)接入认证系统在收到认证向量组AVs后,为向量组中每个认证向量AV计算HXRES=KDF(R1,XRES),AV′=R2||HXRES||KAMF||AUTN,然后将每个AV′组合成AVs′转发至地基节点;
(3)地基节点收到认证向量AVs′后,进行储存,并向接入认证系统返回确认响应,完成认证向量预置流程;
在特殊终端接入卫星网络之前,实体身份管理系统给每个地基节点分发了公私钥(skg,pkg=skg*P)以及包含公钥pkg在内的证书,卫星节点广播包含其所属的地基节点的证书;特殊终端获取到地基节点的证书后,采用实体身份管理系统的公钥验证证书的有效性并从证书中提取出地基节点的公钥pkg;
然后,当特殊终端接入卫星网络时,执行如下的基于天基的特殊终端接入认证流程:
(1)终端选择一个随机数a∈Zq,计算A=a*P以及D=a*pkg,随后终端采用D执行对称加密算法加密其身份标识ID获得cID,终端将cID以及A发送给卫星节点,卫星节点将收到数据包转发至地基节点;
(2)地基节点收到认证请求后,从中选取任一认证向量AV′,计算D=A*skg,利用D解密获得终端身份标识ID,然后选择一个随机数b∈Zq,计算B=b*P和C=b*A,KSat=KDF(R2,KAMF,B||C),然后从AUTN中提取MAC,计算HMAC=KDF(R1,A||B||C,MAC),AUTN′=AMF||HMAC,TID=h(R2,ID),生成终端认证向量AV″=TID||B||R1||R2||HXRES||KSat||AUTN′并作为认证授权响应发送至卫星节点;
(3)卫星节点收到认证向量AV″后,提取(B||R1||R2,A...
【专利技术属性】
技术研发人员:曹进,马如慧,李晖,关键,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。