一种用于实现星地预认证的终端入网认证方法及系统技术方案

技术编号:37781093 阅读:18 留言:0更新日期:2023-06-09 09:11
本发明专利技术涉及移动通信安全技术领域,公开了一种用于实现星地预认证的终端入网认证方法及系统,该入网认证方法,终端发起主认证之前,首先在终端与卫星之间进行身份预认证,预认证的结果为卫星鉴别用户链路接收的主认证申请是否合法的基础;并且,将同轨卫星定义为同域卫星,终端与本域中任意一颗卫星完成星地预认证,该域所有卫星均承认该终端发起主认证的合法性。本发明专利技术解决了星地融合的NTN网络面临的可以从用户链路实施对网络的DDOS风暴攻击导致全网瘫痪问题,将攻击限定于接入卫星,消除对后续路由节点卫星、信关站和地面核心网的攻击隐患。击隐患。击隐患。

【技术实现步骤摘要】
一种用于实现星地预认证的终端入网认证方法及系统


[0001]本专利技术涉及移动通信安全
,具体是一种用于实现星地预认证的终端入网认证方法及系统。

技术介绍

[0002]空天地一体化网络是未来构建全球性公共移动通信网络的核心发展方向之一,自3GPP在5G标准R15中首次提出NTN(non

terrestrial network,非地面网络)的概念以来,一直致力于实现5G网络和卫星网络/高空平台系统(HAPS)的融合,目前已形成3GPP TR 38.811、3GPP TR 38.821等研究报告,在支持NTN的NR解决方案中提出了基于卫星的透明载荷转发和再生载荷转发两种组网模式。在6G规划中,更提出空天地一体网络架构将以地面蜂窝移动网络为基础,结合卫星通信的广覆盖、灵活部署的特点,通过多种异构网络的深度融合来实现立体空间的全域、全天候的泛在覆盖,提供泛在化、按需接入的能力。
[0003]星地融合网络的全球性的覆盖能力虽提高了终端接入的便捷性和组网的灵活性,但也在安全性方面带来了新的问题,如在5G和卫星网络融合的接入网架构演进中,深度融合的模式是将gNB完整部署在卫星上成为S

gNB,采用再生载荷模式组网。星上部署gNB虽在提升单基站的覆盖能力,但引入了的新风险:攻击者可以利用3GPP TS 33.501中存在的一个漏洞(UE启动身份验证时首次发起的<N1 messege>包中用户信息为SUCI,基站无法验证用户合法性故只能透明转发至核心网),从用户链路实现对5G接入网和核心网发起DDOS风暴攻击。此漏洞在当前5G网络中一直存在,但因目前5G网络均部署于地面,其覆盖范围都在我国国土范围内,攻击者要想通过接入网的NR uu口实施大规模的DDOS攻击难度极大。而对于全球覆盖的星地深度融合NTN网络,攻击者可以在全球任意地方、任意时间有组织的伪造超大规模数量的终端通过用户链路对系统实施DDOS攻击,严重时可能导致全网运行瘫痪。攻击涉及的网元/功能实体包括接入卫星S

gNB、路由节点卫星、信关站、5G核心网中的AMF、AUSF、UDM、SIDF功能实体等。
[0004]针对在星地融合的NTN网络中,如何解决从用户链路实施对接入网和核心网发起DDOS风暴攻击的问题,目前未有相关研究和解决措施,有待进一步的研究和完善。

技术实现思路

[0005]为克服现有技术的不足,本专利技术提供了一种用于实现星地预认证的终端入网认证方法及系统,解决星地融合的NTN网络面临的可以从用户链路实施对网络的DDOS风暴攻击导致全网瘫痪问题,将攻击限定于接入卫星,消除对后续路由节点卫星、信关站和地面核心网的攻击隐患。
[0006]本专利技术解决上述问题所采用的技术方案是:
[0007]一种用于实现星地预认证的终端入网认证方法,终端发起主认证之前,首先在终端与卫星之间进行身份预认证,预认证的结果为卫星鉴别用户链路接收的主认证申请是否合法的基础;并且,将同轨卫星定义为同域卫星,终端与本域中任意一颗卫星完成星地预认
级联后的数据串,Rnd1置于左位,SSVID1置于右位),IBC_S
Sks1
(Rnd1||SSVID1)表示采用IBC算法和私钥Sks1对Rnd1||SSVID1签名后得到的签名数据;
[0026]S235,基于IBC算法和卫星2的公钥Pks2加密IBC_S
Sks1
(Rnd1||SSVID1)||Rnd1||TS1,得到认证向量V
12
,记V
12
=IBC_E
Pks2
(IBC_S
Sks1
(Rnd1||SSVID1)||Rnd1||TS1);
[0027]IBC_E
Pks2
(IBC_S
Sks1
(Rnd1||SSVID1)||Rnd1||TS1)表示采用IBC算法和卫星2的公钥Pks2加密明文认证数据IBC_S
Sks1
(Rnd1||SSVID1)||Rnd1||TS1后得到的密文认证数据;
[0028]S24,卫星1发送认证向量V
12
至卫星2;
[0029]S25,卫星2验证认证向量V
12
,包括以下步骤:
[0030]S251,采用IBC算法和自身私钥Sks2解密认证向量V
12
得到IBC_S
Sks1
(Rnd1||SSVID1)、Rnd1和TS1;若解密成功,则验证消息新鲜性;若解密失败,则终止认证流程;
[0031]S252,基于TS1验证消息新鲜性;若验证通过,则验签消息;若验证失败,则终止认证流程;
[0032]S253,卫星2基于IBC算法和SSVID1派生卫星1的公钥Pks1,然后验签IBC_S
Sks1
(Rnd1||SSVID1);若通过,则进入步骤S26,若失败,则终止认证流程;
[0033]S26,卫星2获得会话密钥:产生随机数Rnd2,将Rnd1和Rnd2按位逐比特异或得到会话密钥SeK;
[0034]S27,卫星2产生认证向量V
21
,包括以下步骤:
[0035]S271,获取时间戳TS2;
[0036]S272,通过IBC算法和自身私钥Sks2签名Rnd2||SSVID2,得到签名数据IBC_S
Sks2
(Rnd2||SSVID2);
[0037]S273,基于IBC算法和卫星1的公钥Pks1加密认证数据IBC_S
Sks2
(Rnd2||SSVID2)||Rnd2||TS2,得到认证向量V
21
,记V
21
=IBC_E
Pks1
(IBC_S
Sks2
(Rnd2||SSVID2)||Rnd2||TS2);
[0038]其中,IBC_E
Pks1
(IBC_S
Sks2
(Rnd2||SSVID2)||Rnd2||TS2)表示采用IBC算法和卫星1的公钥Pks1加密明文认证数据IBC_S
Sks2
(Rnd2||SSVID2)||Rnd2||TS2后得到的密文认证数据;
[0039]S28,卫星2发送认证向量V
21
至卫星1;
[0040]S29,卫星1验证认证向量V
21
,获得会话密钥,包括以下步骤:
[0041]S291,采用IBC算法和自身私钥Sks1解密认证向量V
21
得到IBC_S
Sks2
(Rnd2||SSVID2)、Rnd2和TS2;若解密成功,则验证消息新鲜性;若解密失败,则终止认证流程并返回步骤S21;
[0042]S292,基于TS2验证消息新鲜性;若验证成功,则验签消息;本文档来自技高网
...

【技术保护点】

【技术特征摘要】
1.一种用于实现星地预认证的终端入网认证方法,其特征在于,终端发起主认证之前,首先在终端与卫星之间进行身份预认证,预认证的结果为卫星鉴别用户链路接收的主认证申请是否合法的基础;并且,将同轨卫星定义为同域卫星,终端与本域中任意一颗卫星完成星地预认证,该域所有卫星均承认该终端发起主认证的合法性。2.根据权利要求1所述的一种用于实现星地预认证的终端入网认证方法,其特征在于,包括以下步骤:S1,全网卫星分域:将全网卫星按照轨道面进行分域,将同轨的卫星划分在同一域内,同域卫星的卫星安全虚拟标识SSVID中的域字段相同,卫星在启用后广播自身的SSVID;S2,同域相邻卫星互联认证:处于同域的相邻卫星之间完成双向互联认证,建立本域内的星间安全传输链路;若建立成功,则进入步骤S3;若建立失败,则重新执行步骤S2直至建立成功;S3,卫星判定认证申请类型:卫星接收到认证申请后基于认证申请中携带的类型字判定认证类型;若认证类型是星地预认证,则进入步骤S5;若认证类型是主认证,则进入步骤S8;S4,终端准备入网:终端准备发起入网认证,在接收到拟接入卫星的SSVID后,判定是否需要发起星地预认证;若需要,则进入步骤S5;若否,则进入步骤S7;S5,星地预认证:终端发起星地预认证申请,与接入卫星进行星地预认证;若认证成功,则终端获得通信令牌并保存,然后进入步骤S6;若认证失败,则卫星返回步骤S3、终端返回步骤S4直至预认证成功;S6,卫星本域内共享预认证结果:接入卫星将终端预认证结果采用卫星互联认证协商的会话密钥加密后,通过星间链路推送给本域内其他所有卫星,本域内其他卫星保存该认证结果,返回步骤S3实现卫星等待接收终端的认证申请并判定认证申请类型;S7,终端发起主认证申请:终端启动主认证流程,并发起主认证申请,认证申请中携带预认证成功后获得的通信令牌;S8,卫星判定认证申请合法性:接入卫星接收到终端的主认证申请后,基于申请中携带的通信令牌判定该申请是否合法;若合法,则进入步骤S9;若不合法,则抛弃认证申请,返回步骤S3;S9,终端主认证:接入卫星将终端主认证申请数据透明转发到地面核心网,后续遵循地面网的主认证机制完成终端到地面核心网的入网认证;若认证失败,则终端返回步骤S7重新发起主认证申请直至入网认证成功,同时卫星返回步骤S3等待接收终端的认证申请并判定认证申请类型。3.根据权利要求2所述的一种用于实现星地预认证的终端入网认证方法,其特征在于,步骤S2中,设卫星1、卫星2为处于同域的两相邻卫星,卫星1和卫星2之间完成双向互联认证包括以下步骤:S21,卫星1根据卫星2身份标识SSVID2中的域标识判断是否属于同域卫星;若是,则进入步骤S22;若否,则进入步骤S21;S22,卫星1根据SSVID2判断是否已与卫星2完成过互联认证;若是,则进入步骤S21;若否,则进入步骤S23;S23,卫星1产生认证向量V
12
,包括以下步骤:
S231,产生随机数Rnd1;S232,获取时间戳TS1;S233,基于IBC算法和SSVID2派生卫星2的公钥Pks2;S234,基于IBC算法和自身私钥Sks1签名Rnd1||SSVID1得到IBC_S
Sks1
(Rnd1||SSVID1);其中,||表示数据级联符号,Rnd1||SSVID1表示随机数Rnd1和卫星1身份标识SSVID1级联后的数据串,Rnd1置于左位,SSVID1置于右位),IBC_S
Sks1
(Rnd1||SSVID1)表示采用IBC算法和私钥Sks1对Rnd1||SSVID1签名后得到的签名数据;S235,基于IBC算法和卫星2的公钥Pks2加密IBC_S
Sks1
(Rnd1||SSVID1)||Rnd1||TS1,得到认证向量V
12
,记V
12
=IBC_E
Pks2
(IBC_S
Sks1
(Rnd1||SSVID1)||Rnd1||TS1);IBC_E
Pks2
(IBC_S
Sks1
(Rnd1||SSVID1)||Rnd1||TS1)表示采用IBC算法和卫星2的公钥Pks2加密明文认证数据IBC_S
Sks1
(Rnd1||SSVID1)||Rnd1||TS1后得到的密文认证数据;S24,卫星1发送认证向量V
12
至卫星2;S25,卫星2验证认证向量V
12
,包括以下步骤:S251,采用IBC算法和自身私钥Sks2解密认证向量V
12
得到IBC_S
Sks1
(Rnd1||SSVID1)、Rnd1和TS1;若解密成功,则验证消息新鲜性;若解密失败,则终止认证流程;S252,基于TS1验证消息新鲜性;若验证通过,则验签消息;若验证失败,则终止认证流程;S253,卫星2基于IBC算法和SSVID1派生卫星1的公钥Pks1,然后验签IBC_S
Sks1
(Rnd1||SSVID1);若通过,则进入步骤S26,若失败,则终止认证流程;S26,卫星2获得会话密钥:产生随机数Rnd2,将Rnd1和Rnd2按位逐比特异或得到会话密钥SeK;S27,卫星2产生认证向量V
21
,包括以下步骤:S271,获取时间戳TS2;S272,通过IBC算法和自身私钥Sks2签名Rnd2||SSVID2,得到签名数据IBC_S
Sks2
(Rnd2||SSVID2);S273,基于IBC算法和卫星1的公钥Pks1加密认证数据IBC_S
Sks2
(Rnd2||SSVID2)||Rnd2||TS2,得到认证向量V
21
,记V
21
=IBC_E
Pks1
(IBC_S
Sks2
(Rnd2||SSVID2)||Rnd2||TS2);其中,IBC_E
Pks1
(IBC_S
Sks2
(Rnd2||SSVID2)||Rnd2||TS2)表示采用IBC算法和卫星1的公钥Pks1加密明文认证数据IBC_S
Sks2
(Rnd2||SSVID2)||Rnd2||TS2后得到的密文认证数据;S28,卫星2发送认证向量V
21
至卫星1;S29,卫星1验证认证向量V
21
,获得会话密钥,包括以下步骤:S291,采用IBC算法和自身私钥Sks1解密认证向量V
21
得到IBC_S
Sks2
(Rnd2||SSVID2)、Rnd2和TS2;若解密成功,则验证消息新鲜性;若解密失败,则终止认证流程并返回步骤S21;S292,基于TS2验证消息新鲜性;若验证成功,则验签消息;若验证失败,则终止认证流程并返回步骤S21;S293,采用Pks2验签IBC_S
Sks2
(Rnd2||SSVID2);若验签成功,则进入步骤S210;若验签失败,则终止认证流程并返回步骤S21;S210,卫星1获得会话密钥:将Rnd1和Rnd2按位逐比特异或得到会话密钥SeK。4.根据权利要求3所述的一种用于实现星地预认证的终端入网认证方法,其特征在于,
步骤S4中,终端判定是否需要星地预认证包括以下步骤:S41,终端查询本地存储的令牌,是否存在拟接入卫星所在域的令牌;若存在,则进入步骤S42;若不存在,则进入步骤S5;S42,终端查询令牌是否已过期;若是,则删除该令牌并进入步骤S5;若否,则进入步骤S7。5.根据权利要求4所述的一种用于实现星地预认证的终端入网...

【专利技术属性】
技术研发人员:王驭梁鸿斌曾勇徐文斌
申请(专利权)人:成都三零瑞通移动通信有限公司
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1