一种多类型终端接入与切换认证方法、系统、设备及应用技术方案

本发明专利技术属于通信网络安全技术领域，公开了一种多类型终端接入与切换认证方法、系统、设备及应用，实体注册；基于地基的普通终端接入认证；基于天基的特殊终端接入认证；Ka终端接入认证；终端切换认证。本发明专利技术针对普通终端可以通过执行基于地基的普通终端接入认证过程安全、高效地接入地面网络；针对重要/高速用户等类型的特殊终端可采用基于天基的特殊终端接入认证过程通过提前预置认证向量而无需归属网络参与的情况下快速接入网络，避免由于归属网络故障而无法提供网络服务等问题；针对Ka终端采用基于Ka终端的接入认证过程保障Ka终端接入网络的高可靠性，极大地提高了接入认证效率，实现了多种不同类型终端的接入认证与切换。

【技术实现步骤摘要】
一种多类型终端接入与切换认证方法、系统、设备及应用
本专利技术属于通信网络安全
，尤其涉及一种多类型终端接入与切换认证方法、系统、设备及应用。
技术介绍
目前，随着5G通信技术的普及以及物联网设备的高速增长，人们对于移动通信业务的需求不断提升，通过卫星通信网络来覆盖山区、远洋等特殊通信场景，构建卫星网络与地面网络融合的信息网络，有利于实现全球信息网络的深度互连。在现有卫星通信系统中，铱星(Iridium)系统是早期较为成熟的卫星通信系统，铱星系统属于低轨道卫星移动通信系统，由Motorola提出并主导建设，由分布在6个轨道平面上的66颗卫星组成，这些卫星均匀的分布在6个轨道面上，轨道高度为780km。主要为个人用户提供全球范围内的移动通信，采用地面集中控制方式，具有星际链路、星上处理和星上交换功能。铱星系统除了提供电话业务外，还提供传真、全球定位(GPS)、无线电定位以及全球寻呼业务。此外，由美国SpaceX公司推出的星链计划，计划在2019年至2024年间在太空搭建由约1.2万颗卫星组成的“星链”网络，其中1584颗将部署在地球上空550千米处的近地轨道，并从2020年开始工作。与此同时，国内正在开展的虹云工程计划发射156颗卫星，它们在距离地面1000公里的轨道上组网运行，致力于构建一个星载宽带全球移动互联网络。在此背景下，如何保证不同类型终端的高效安全接入、移动终端无缝安全切换成为了当前研究重点。目前，适用于卫星网络的终端接入与切换认证主要面临以下挑战：(1)卫星通信采用开放链路通信，任何网络实体都可以对通信内容进行监听、篡改和伪造，甚至伪装成合法用户进行非授权访问，进而进行信息窃取，发动网络攻击等。(2)由于星地通信距离远，卫星通信网络传输时延相对传统通信系统而言将大大增加，需要在尽可能低的交互轮次的前提下完成双向认证，减少交互次数，降低认证时延。(3)针对不同类型的终端，需要设计差异化的认证协议来保证终端的高效接入认证，减少信令开销。具体地，针对普通终端，需设计安全、高效的接入认证机制确保普通终端接入地面网络；针对重要/高速终端，需设计特殊的接入认证机制减少认证时延，确保终端快速可靠地接入地面网络；针对Ka终端，需设计强安全性的接入认证机制，确保Ka终端安全地接入地面网络。(4)目前的卫星网络认证标准大多基于地面4G/5G网络认证协议改进，存在一些安全漏洞，例如未实现密钥的完全前向、后向安全以及前、后密钥分离，无法保证终端安全、高效的接入网络和终端的无缝安全切换，要克服当前接入和切换认证安全协议缺陷的同时，实现多类型终端的安全高效地接入与无缝切换。通过上述分析，现有技术存在的问题及缺陷为：(1)目前卫星通信采用开放链路通信，任何网络实体都可以对通信内容进行监听、篡改和伪造，甚至伪装成合法用户进行非授权访问，进行信息窃取，发动网络攻击等。(2)目前卫星通信认证机制存在交互次数较多，认证时延过长等问题。(3)目前卫星通信网络采用的认证机制存在安全漏洞，例如未实现密钥的完全前向、后向安全以及前、后密钥分离，无法保证终端安全、高效的接入网络和终端的无缝安全切换等问题。解决以上问题及缺陷的难度为：(1)如何设计普通终端的接入认证方案，在保障安全性的前提下尽量减少认证开销。(2)如何保障某些重要/高速等类型的特殊终端在不依赖于归属网络的情况下的快速认证，且避免归属网络故障等影响。(3)如何保障Ka终端通过天基骨干网节点接入网络的高安全性。(4)如何设计多类型终端切换认证方案，保障终端网络服务的连续性。(5)如何确保认证过程中终端身份信息的隐私性，防止隐私泄漏。(6)如何保障卫星网络通信数据的强机密性至关重要。解决以上问题及缺陷的意义为：设计适合于卫星网络多类型终端的接入与切换认证方法，保障普通终端、特殊终端、Ka终端等实体安全、高效的接入网络，且同时保障移动过程中终端网络服务的连续性，为未来卫星网络与地面网络融合提供可靠的安全支撑。
技术实现思路
针对现有技术存在的问题，本专利技术提供了一种多类型终端接入与切换认证方法、系统、设备及应用。本专利技术是这样实现的，一种多类型终端接入与切换认证方法，所述多类型终端接入与切换认证方法包括：普通终端、特殊终端以及Ka终端实体与实体身份管理系统交互执行实体注册流程，完成实体注册；在完成终端注册流程之后，普通终端通过执行基于地基的普通终端接入认证流程接入地面网络；在完成终端注册流程之后，对于重要/高速用户类型的特殊终端通过向拜访网络中的地基节点提前预置认证向量的方式执行基于天基的特殊终端接入认证流程快速接入地面网络；在完成Ka终端的注册流程之后，Ka频段终端通过执行Ka终端接入认证流程接入地面网络；接入网络后，由于卫星节点和终端的移动性，终端通过执行移动安全切换流程完成不同卫星间的切换。进一步，实体注册流程具体包括：在终端注册之前，实体身份管理系统选择一个椭圆曲线E以及E上的循环群G，其中G的生成元为P，阶为q，实体身份管理系统选择sk∈Zq作为私钥，公钥pk＝sk＊P，实体注册过程针对不同类型的终端具体包括以下两种不同的注册流程：1)普通终端和特殊终端通过注册机或写卡器与实体身份管理系统交互完成注册流程；(1)注册机向实体身份管理系统发送注册请求；(2)实体身份管理系统为每个终端生成身份标识ID，同时为终端生成预置密钥K以及生成认证管理域标识AMF，并通过安全信道将ID||K||AMF||pk作为响应发送至注册机；(3)注册机离线将ID||K||AMF||pk写入终端的密码模块，完成终端注册流程；2)Ka终端注册流程：(1)Ka终端向实体身份管理系统发送注册请求；(2)实体身份管理系统收到注册请求消息后，生成Ka终端的永久身份标识ID和公私钥，同时为Ka终端生成证书，证书内容包含终端ID、Ka终端公钥信息、实体身份管理系统公钥pk等；(3)实体身份管理系统将证书包含在注册响应中发送至Ka终端。进一步，基于地基的普通终端接入认证流程具体包括：(1)终端选择一个随机数a∈Zq，计算A＝a＊P以及D＝a＊pk，随后终端采用D执行对称加密算法加密其身份标识ID以及新生成的随机数R1获得cID，终端将cID以及A发送给卫星节点，卫星节点将收到数据包转发至地基节点；(2)地基节点将cID、A以及其访问域身份标识SNID发送至接入认证系统，随后由接入认证系统转发至实体身份管理系统；(3)实体身份管理系统收到认证请求消息后，计算D＝A＊sk，利用D解密获得终端的永久身份标识ID以及随机数R1；(4)随后，实体身份管理系统判断ID的合法性并查找终端相应的主密钥K，同时选择随机数R2，计算MAC＝f1(K，AMF，R1||R2，SNID)、XRES＝f2(K，R1||R2，SNID)、CK＝f3(K，R1||R2)、IK＝f4(K，R本文档来自技高网...

【技术保护点】
1.一种多类型终端接入与切换认证方法，其特征在于，所述多类型终端接入与切换认证方法包括：/n普通终端、特殊终端以及Ka终端实体与实体身份管理系统交互执行实体注册流程，完成实体注册；/n在完成终端注册流程之后，普通终端通过执行基于地基的普通终端接入认证流程接入地面网络；/n在完成终端注册流程之后，对于重要/高速用户类型的特殊终端通过向拜访网络中的地基节点提前预置认证向量的方式执行基于天基的特殊终端接入认证流程快速接入地面网络；/n在完成Ka终端的注册流程之后，Ka频段终端通过执行Ka终端接入认证流程接入地面网络；/n接入网络后，由于卫星节点和终端的移动性，终端通过执行移动安全切换流程完成不同卫星间的切换。/n

【技术特征摘要】
1.一种多类型终端接入与切换认证方法，其特征在于，所述多类型终端接入与切换认证方法包括：
普通终端、特殊终端以及Ka终端实体与实体身份管理系统交互执行实体注册流程，完成实体注册；
在完成终端注册流程之后，普通终端通过执行基于地基的普通终端接入认证流程接入地面网络；
在完成终端注册流程之后，对于重要/高速用户类型的特殊终端通过向拜访网络中的地基节点提前预置认证向量的方式执行基于天基的特殊终端接入认证流程快速接入地面网络；
在完成Ka终端的注册流程之后，Ka频段终端通过执行Ka终端接入认证流程接入地面网络；
接入网络后，由于卫星节点和终端的移动性，终端通过执行移动安全切换流程完成不同卫星间的切换。


2.如权利要求1所述的多类型终端接入与切换认证方法，其特征在于，实体注册流程具体包括：在终端注册之前，实体身份管理系统选择一个椭圆曲线E以及E上的循环群G，其中G的生成元为P，阶为q，实体身份管理系统选择sk∈Zq作为私钥，公钥pk＝sk＊P，实体注册过程针对不同类型的终端具体包括以下两种不同的注册流程：
1)普通终端和特殊终端通过注册机或写卡器与实体身份管理系统交互完成注册流程；
(1)注册机向实体身份管理系统发送注册请求；
(2)实体身份管理系统为每个终端生成身份标识ID，同时为终端生成预置密钥K以及生成认证管理域标识AMF，并通过安全信道将ID||K||AMF||pk作为响应发送至注册机；
(3)注册机离线将ID||K||AMF||pk写入终端的密码模块，完成终端注册流程；
2)Ka终端注册流程：
(1)Ka终端向实体身份管理系统发送注册请求；
(2)实体身份管理系统收到注册请求消息后，生成Ka终端的永久身份标识ID和公私钥，同时为Ka终端生成证书，证书内容包含终端ID、Ka终端公钥信息、实体身份管理系统公钥pk等；
(3)实体身份管理系统将证书包含在注册响应中发送至Ka终端。


3.如权利要求1所述的多类型终端接入与切换认证方法，其特征在于，基于地基的普通终端接入认证流程具体包括：
(1)终端选择一个随机数a∈Zq，计算A＝a＊P以及D＝a＊pk，随后终端采用D执行对称加密算法加密其身份标识ID以及新生成的随机数R1获得cID，终端将cID以及A发送给卫星节点，卫星节点将收到数据包转发至地基节点；
(2)地基节点将cID、A以及其访问域身份标识SNID发送至接入认证系统，随后由接入认证系统转发至实体身份管理系统；
(3)实体身份管理系统收到认证请求消息后，计算D＝A＊sk，利用D解密获得终端的永久身份标识ID以及随机数R1；
(4)随后，实体身份管理系统判断ID的合法性并查找终端相应的主密钥K，同时选择随机数R2，计算MAC＝f1(K，AMF，R1||R2，SNID)、XRES＝f2(K，R1||R2，SNID)、CK＝f3(K，R1||R2)、IK＝f4(K，R1||R2)，其中AMF为认证管理域，共由十五位十进制数进行标识，其前五位用于标识服务网络，即SNID，实体身份管理系统利用CK、IK、SNID以及密钥导出函数KDF生成KAMF＝KDF(SNID，CK||IK，R1||R2)；
(5)实体身份管理系统将认证向量AV＝A||R1||R2||XRES||KAMF||AUTN发送至接入认证系统，其中AUTN＝AMF||MAC；
(6)接入认证系统收到向量AV后，计算HXRES＝KDF(R1，XRES)，AV′＝A||R1||R2||HXRES||KAMF||AUTN，然后将AV′转发至地基节点；
(7)收到AV′后，地基节点选择一个随机数b∈Zq，计算B＝b＊P和C＝b＊A，然后，地基节点计算密钥KSat＝KDF(R2，KAMF，B||C)，HMAC＝KDF(R1，A||B||C，MAC)，TID＝h(R2，ID)，AUTN′＝AMF||HMAC，同时生成AV″＝TID||B||R1||R2||HXRES||KSat||AUTN′，并且将AV″转发至卫星；
(8)卫星收到应答后，存储AV″，发送认证请求B||R2||AUTN′到终端；
(9)终端收到认证请求后，计算C＝B*a，XMAC＝f1(K，AMF，R1||R2，SNID)、RES＝f2(K，R1||R2，SNID)、CK＝f3(K，R1||R2)、IK＝f4(K，R1||R2)，终端提取AUTN′中的HMAC，计算HXMAC＝KDF(R1，A||B||C，XMAC)，比较HXMAC和HMAC是否相等；如果相等，则计算KAMF＝KDF(SNID，CK||IK，R1||R2)、KSat＝KDF(R2，KAMF，B||C)，终端临时标识TID＝h(R2，ID)，并将RES传输给卫星；
(10)卫星收到消息后，首先计算HRES＝KDF(R1，RES)，并且将HRES与从AV″中提取出的HXRES进行比较，如果一致，则通过认证，卫星继续将RES转发至接入认证系统；
(11)接入认证系统收到消息后，验证RES是否与从AV中提取出的XRES相同，如果相同，则验证通过，该终端成功接入网络；认证完成后，卫星采用终端的临时标识TID识别终端，且卫星与终端将KSat作为基础密钥，根据密钥衍生算法推演出随后空口信令和数据保护的加密密钥与完整性保护密钥，随后进行保密通信。


4.如权利要求1所述的多类型终端接入与切换认证方法，其特征在于，基于天基的特殊终端接入认证流程如下：
首先，针对重要/高速用户特殊终端，地基节点首先同接入认证系统交互为每个终端预置认证向量，预置向量过程如下：
(1)为减少信令开销可以每次为多个终端进行预置，地基节点发送预置请求(IDA||IDB||...IDM||R1)至接入认证系统，接入认证系统为每个终端执行单独的认证向量生成过程，单每个终端的多组认证向量中随机数R2不同，不同终端同一组认证向量中R2可以相同，实体身份管理系统收到接入认证系统转发的认证请求(IDA||IDB||...IDM||R1)后，为每个终端生成多组认证向量AVs＝(ID||R21||XRES1||KAMF1||AUTN1，…R2n||XRESn||KAMFn||AUTNn)转发至接入认证系统，其中AUTN＝AMF||MAC；
(2)接入认证系统在收到认证向量组AVs后，为向量组中每个认证向量AV计算HXRES＝KDF(R1，XRES)，AV′＝R2||HXRES||KAMF||AUTN，然后将每个AV′组合成AVs′转发至地基节点；
(3)地基节点收到认证向量AVs′后，进行储存，并向接入认证系统返回确认响应，完成认证向量预置流程；
在特殊终端接入卫星网络之前，实体身份管理系统给每个地基节点分发了公私钥(skg，pkg＝skg*P)以及包含公钥pkg在内的证书，卫星节点广播包含其所属的地基节点的证书；特殊终端获取到地基节点的证书后，采用实体身份管理系统的公钥验证证书的有效性并从证书中提取出地基节点的公钥pkg；
然后，当特殊终端接入卫星网络时，执行如下的基于天基的特殊终端接入认证流程：
(1)终端选择一个随机数a∈Zq，计算A＝a＊P以及D＝a＊pkg，随后终端采用D执行对称加密算法加密其身份标识ID获得cID，终端将cID以及A发送给卫星节点，卫星节点将收到数据包转发至地基节点；
(2)地基节点收到认证请求后，从中选取任一认证向量AV′，计算D＝A＊skg，利用D解密获得终端身份标识ID，然后选择一个随机数b∈Zq，计算B＝b＊P和C＝b＊A，KSat＝KDF(R2，KAMF，B||C)，然后从AUTN中提取MAC，计算HMAC＝KDF(R1，A||B||C，MAC)，AUTN′＝AMF||HMAC，TID＝h(R2，ID)，生成终端认证向量AV″＝TID||B||R1||R2||HXRES||KSat||AUTN′并作为认证授权响应发送至卫星节点；
(3)卫星节点收到认证向量AV″后，提取(B||R1||R2，A...

【专利技术属性】
技术研发人员：曹进，马如慧，李晖，关键，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：陕西;61