本發(fā)明涉及衛(wèi)星通信，特別涉及一種面向低軌寬帶衛(wèi)星星間組網(wǎng)身份認證方法。

背景技術(shù)：

1、在現(xiàn)有的低軌衛(wèi)星星間組網(wǎng)認證方案中，輕量級的組網(wǎng)認證協(xié)議往往更加適用于計算能力與資源相對受限的通信設(shè)備中。然而，在天地一體化信息網(wǎng)絡(luò)中，大多數(shù)方法專注于提高認證流程執(zhí)行時的性能與安全性，沒有考慮到衛(wèi)星增補與替換的場景。由于原衛(wèi)星無法預置增補衛(wèi)星的身份密鑰信息，無法采用基于對稱密碼學的預置密鑰的方式進行衛(wèi)星間的身份認證，且傳統(tǒng)的非對稱密碼學一般采用公鑰基礎(chǔ)設(shè)施實現(xiàn)，需要數(shù)字證書參與身份的認證與公鑰的綁定，管理數(shù)字證書需要建造復雜的可信證書，在認證過程中需要可信證書的在線認證，對身份認證的流程帶來過多的開銷。

2、因此，針對發(fā)射衛(wèi)星的不確定性以及數(shù)字證書管理復雜等問題，本發(fā)明提出一種面向低軌寬帶衛(wèi)星星間組網(wǎng)身份認證方法，主要包括系統(tǒng)初始化階段、星間組網(wǎng)認證階段、會話密鑰協(xié)商階段等三部分。系統(tǒng)初始化階段，低軌寬帶衛(wèi)星與地面密鑰管理中心進行交互，完成身份信息的注冊，并且在低軌寬帶衛(wèi)星中預置公鑰矩陣、衛(wèi)星身份標識、id證書等參數(shù)。星間組網(wǎng)認證階段，鄰近軌道的低軌寬帶衛(wèi)星間進行身份認證。會話密鑰協(xié)商階段，利用認證過程中生成的參數(shù)進行密鑰協(xié)商。

技術(shù)實現(xiàn)思路

1、針對上述問題，本發(fā)明的目的是：提出一種面向低軌寬帶衛(wèi)星星間組網(wǎng)身份認證方法，減少星間組網(wǎng)認證對第三方的依賴，更高效地進行低軌寬帶衛(wèi)星之間的身份認證。

2、為了實現(xiàn)上述目的，本發(fā)明所采用的的技術(shù)方案為：一種面向低軌寬帶衛(wèi)星星間組網(wǎng)身份認證方法，包括以下步驟：

3、步驟1：系統(tǒng)初始化是在衛(wèi)星發(fā)射前的準備階段進行，包括密碼標識的分配、組合密鑰的派生、id證書的生成與分發(fā)。采用組合公鑰體制為低軌寬帶衛(wèi)星進行密碼標識分配與生成公私鑰對。通過特定的映射算法，如哈希映射算法，可以將衛(wèi)星的密碼標識映射成n個映射值，密鑰管理中心會通過組合原理為每個衛(wèi)星生成公私鑰對，生成id證書，通過安全通道分發(fā)給衛(wèi)星節(jié)點；

4、步驟2：星間組網(wǎng)認證是低軌寬帶衛(wèi)星之間進行身份認證的過程，也是天地一體化信息網(wǎng)絡(luò)接入控制的中心環(huán)節(jié)，基于組合加密技術(shù)的非對稱密碼體制的認證模型，在兩顆低軌寬帶衛(wèi)星a、b之間建立通信，相互進行身份認證，包括：a生成時間戳，臨時身份，并發(fā)送認證請求給b，b校驗時間戳；計算明文，生成密文，構(gòu)造響應數(shù)據(jù)包resp發(fā)送給a；a校驗時間戳；計算明文，生成密文，構(gòu)造響應數(shù)據(jù)包resp發(fā)送給b；b校驗時間戳，比較校驗函數(shù)和fn(r1)是否一致，一致則完成對a的身份認證；a校驗時間戳，比較校驗函數(shù)和fn(r2)是否一致，一致則完成對b的身份認證；

5、步驟3：在身份認證過程中，雙方進行密鑰協(xié)商，每顆衛(wèi)星都預設(shè)系統(tǒng)的橢圓曲線參數(shù)(a,b,g,n,p)，包括：a生成隨機數(shù)ra，計算臨時變量ta發(fā)送給b；b生成隨機數(shù)rb，計算臨時變量tb發(fā)送給a，計算協(xié)商秘鑰k；a收到b的消息后，計算計算協(xié)商秘鑰k。

6、所述步驟2包括以下步驟：

7、步驟2.1：星載時鐘根據(jù)當前時間生成時間戳time，基于生成的時間戳time和預置的身份保護密鑰k計算臨時身份idtemp＝f(k,time,ida)發(fā)送給b；

8、步驟2.2：b收到認證請求后，首先驗證時間戳time是否滿足新鮮性要求，再提取a的密碼標識ida，查看本地數(shù)據(jù)庫是否存在ida對應的會話密鑰，并驗證該會話密鑰是否在有效期內(nèi)，如果a對應的會話密鑰存在且有效，則通信雙方身份驗證通過；

9、步驟2.3：b基于預置的公鑰矩陣pkm和a的密碼標識ida，利用映射算法計算公鑰cpka，并生成隨機數(shù)r1和初始化向量iv，然后利用約定的變化f對隨機數(shù)r1進行變換得到利用星載時鐘生成時間戳tb，構(gòu)造明文數(shù)據(jù)msg＝iv∥tb∥r1，生成響應密文構(gòu)造密文并將響應數(shù)據(jù)包resp＝idb∥signb發(fā)送給a；

10、步驟2.4：收到b返回的resp后，a提取b的密碼標識idb，基于預置的公鑰矩陣和b的密碼標識idb，利用映射算法計算b的公鑰cpkb對signb進行解密，利用自己的私鑰cska對響應密文cipher進行解密，得到隨機數(shù)r1和時間戳tb，驗證時間戳tb是否滿足新鮮性驗證；

11、步驟2.5：a按照事先預置約定的變化f對隨機數(shù)r1進行變換得到校驗函數(shù)fn(r1)，用來讓對方驗證，并利用隨機數(shù)生成器生成挑戰(zhàn)隨機數(shù)r2生成校驗函數(shù)利用星載時鐘計算生成時間戳ta，構(gòu)造明文數(shù)據(jù)計算響應密文構(gòu)造密文并將響應數(shù)據(jù)包resp＝ida∥signa發(fā)送給b；

12、步驟2.6：b收到來自a的resp，首先利用自己的公鑰對signa進行解密，然后利用自己的私鑰cskb對cipher進行解密，得到時間戳ta、校驗函數(shù)fn(r1)，驗證時間戳是否滿足新鮮性，檢查校驗函數(shù)和fn(r1)是否一致，同時對收到的隨機數(shù)r2進行f變換；

13、步驟2.7：b利用星載時鐘計算當前時間，生成時間戳tsat，計算明文數(shù)據(jù)msg＝iv∥tsat∥fn(r2)，利用a的公鑰cpka對明文數(shù)據(jù)msg進行加密，計算響應密文利用自己的私鑰cskb對響應密文cipher加密，計算密文構(gòu)造響應數(shù)據(jù)包resp＝idb∥signb；

14、步驟2.8：a收到來自b的明文數(shù)據(jù)msg，利用b的公鑰對signb進行解密，再利用自己的私鑰cska對cipher進行解密，得到時間戳tsat、校驗函數(shù)fn(r2)，驗證時間戳tsat是否滿足新鮮性要求，檢查校驗函數(shù)和fn(r2)是否一致，如果一致，則通過了對的身份認證，承認是衛(wèi)星b合法，建立安全通道。

15、所述步驟3包括以下步驟：

16、步驟3.1：a利用隨機數(shù)生成器生成隨機數(shù)ra，利用公共參數(shù)g和b的組合公鑰cpkb計算臨時變量ta＝ra·(g+cpkb)，并發(fā)送給b；

17、步驟3.2：b利用隨機數(shù)生成器生成隨機數(shù)rb，利用公共參數(shù)g和a的組合公鑰cpka計算臨時變量tb＝rb·(g+cpka)，發(fā)送給a，并計算會話密鑰k，

18、k＝rb·ta·(cskb+1)-1＝rb·ra·(g+cpkb)·(cskb+1)-1＝rb·ta·

19、(g+g·cskb)·(cskb+1)-1＝rbrag；

20、步驟3.3：a收到來自b的消息后，計算會話密鑰k，

21、k＝ra·tb·(cska+1)-1＝ra·rb·(g+cpka)·(cska+1)-1＝ra·tb·

22、(g+g·cska)·(cska+1)-1＝rarbg。

23、與現(xiàn)有技術(shù)相比，本發(fā)明所公開的技術(shù)方案具有以下技術(shù)效果：

24、1、針對低軌寬帶衛(wèi)星特有的軌道壽命短、星間網(wǎng)絡(luò)拓撲動態(tài)變化及衛(wèi)星意外損毀等復雜挑戰(zhàn)，設(shè)計出一種高度靈活的星間組網(wǎng)認證協(xié)議，確保網(wǎng)絡(luò)在多變環(huán)境下仍能穩(wěn)定運行；

25、2、支持對衛(wèi)星進行動態(tài)增補和快速替換，有效應對衛(wèi)星失效或損壞的緊急情況，保障網(wǎng)絡(luò)的連續(xù)性和穩(wěn)定性；

26、3、顯著降低了星間組網(wǎng)認證對地面控制中心的依賴，而且能夠不受傳輸帶寬、數(shù)據(jù)庫、以及設(shè)備水平等外部條件的限制，認證過程簡單高效；

27、4、采用了組合公鑰密碼體制，將標識密鑰與隨機密鑰復合構(gòu)成完整的組合私鑰，實現(xiàn)密鑰的隨機化。并且其密鑰管理模式是采用集中生產(chǎn)分發(fā)，分散保管使用的方式，將每個低軌寬帶衛(wèi)星的私鑰寫進對應的id證書，極大地減輕密鑰中心的管理負擔。