本發明專利技術涉及一種適用于衛星移動通信網絡的入網認證方法,包括4個步驟分別是:用戶注冊、用戶管理、移動認證和更新認證;有效的入網認證協議對于衛星移動通信網絡的安全至關重要。本發明專利技術強調了信關站的認證作用,減少了NCC的認證計算負載;還能夠抵抗任意一方的冒充、篡改和重放等常見攻擊,同時對傳輸的數據進行了完整性保護,因此本發明專利技術大大增強了衛星移動通信網絡的安全性。
【技術實現步驟摘要】
【技術保護點】
一種適用于衛星移動通信網絡的入網認證方法,其特征在于包括4個步驟分別是:用戶注冊、用戶管理、移動認證和更新認證;(1)用戶注冊實現過程用戶U在使用網絡前,首先需要到網絡控制中心NCC去登記注冊,并由NCC為其分配用戶信息;NCC分配給新用戶U的信息包括:用戶的永久身份IDU;用戶和NCC之間的共享認證密鑰KA及允許KA使用的最大次數NU,KA在用戶注冊時由NCC產生,并在每次更新認證時進行更新;用戶的臨時身份TIDU,在用戶注冊時由NCC產生,并在每次更新認證時進行更新;SU用于標識NCC能否為移動用戶U提供入網認證服務,如果NCC允許為用戶U提供入網認證服務,SU字段取值TURE,否則,SU字段取值FALSE;用戶認證計數器m記錄移動用戶U在衛星移動通信網絡中的認證次數;用戶注冊完成后,用戶U、信關站G和NCC分別保存有一組與用戶U進行入網認證相關的私密信息;(2)用戶管理實現過程如果NCC發現或懷疑用戶U不再可信,則可以禁用該用戶,如果用戶U發現自己已被禁用,則可以到NCC去申請解禁,NCC將為其重新生成認證信息;如果不再需要用戶U的信息,則可以刪除該用戶;(3)移動認證移動用戶如需接入衛星移動通信網與其他用戶進行通信,必須完成移動認證;用戶成功通過移動認證后,信關站G信任此用戶,用戶U和信關站G之間擁有加密密鑰KE=K'E,KE,K'E分別為用戶端和信關站端解密密鑰,可使用此密鑰對后面傳輸的數據進行加密保護;所述移動認證實現流程如下:Step1:首先衛星向移動用戶發出認證請求,用戶U收到請求后,計算其中R為一個隨機數,H()表示抗碰撞的單向散列函數,然后向衛星返回計算結果以及TIDU值;衛星收到來自用戶U的信息后,添加IDsat信息再發送給信關站G相應信息,其中IDsat是當前衛星的身份編號;||表示連接操作;Step2:信關站G收到信息,首先檢查IDsat是否合法,合法則查找用戶U的信息,如果找到用戶U信息,則轉Step5;否則信關站G通過安全信道向NCC發送(IDG,TIDU),其中IDG是用戶可接入的信關站G的身份編號;Step3:NCC收到信息后,首先通過TIDU查找用戶U的信息,如果未找到用戶信息,則向G返回“非注冊用戶”的認證失敗通知;否則NCC檢查SU字段值,如果SU值為FALSE,則向G返回“禁用用戶”的認證失敗通知,并通知注冊信關站G'刪除用戶信息,則認證失敗;如果SU值為TRUE,NCC通過安全信道向注冊信關站G'查詢U的用戶信息,并把用戶信息從注冊信關站G'轉移到信關站G;Step4:如果G收到NCC返回的認證失敗通知,則向衛星和U轉發此認證失敗通知,終止;否則,G收到U的用戶信息并存儲;Step5:信關站G計算R′=HNU+1-(j-1)(KA||IDU||TIDU)⊕(H(P)⊕R)]]>和如果H(P')與不一致,則向U發送“驗證失敗”的認證失敗通知,終止;否則,G向U發送[TIDU,H(R'||P')],更新U的用戶信息并計算密鑰K'E;Step6:如果U收到認證失敗通知,則記錄失敗信息,終止過程;否則,U收到[TIDU,H(R'||P')],驗證H(R'||P')與H(R||P)是否一致;如果一致,U的第j次入網認證成功,否則認證失敗,終止過程;(4)更新認證更新認證過程中,Step1至Step4過程與移動認證相同,最大的不同是生成一個新的共享密鑰和臨時身份用于隨后的入網認證,更新認證過程為:Step1:首先衛星向移動用戶發出認證請求,用戶U收到請求后,計算然后向衛星返回計算結果以及TIDU值;衛星收到來自用戶U的信息后,添加IDsat信息再發送給信關站G相應信息;Step2:信關站G收到信息,首先檢查IDsat是否合法,合法則查找用戶U的信息,如果找到用戶U信息,則轉Step5;否則信關站G通過安全信道向NCC發送(IDG,TIDU);Step3:NCC收到信息后,首先通過TIDU查找用戶U的信息,如果未找到用戶信息,則向G返回“非注冊用戶”的認證失敗通知;否則NCC檢查SU字段值,如果SU值為FALSE,則向G返回“禁用用戶”的認證失敗通知,并通知注冊信關站G'刪除用戶信息,則認證失敗;如果SU值為TRUE,NCC通過安全信道向注冊信關站G'查詢U的用戶信息,并把用戶信息從注冊信關站G'轉移到信關站G;Step4:如果G收到NCC返回的認證失敗通知,則向衛星和U轉發此認證失敗通知,終止過程;否則,G收到U的用戶信息并存儲;Step5:G向NCC發送信息Step6:NCC收到信息后計算R'和P',如果H(P')與H2(KA||IDU||TIDU)不一致,則NCC向G發送“驗證失敗”的認證失敗通知;否則,NCC隨機產生一個新的臨時身份T...
【技術特征摘要】
【專利技術屬性】
技術研發人員:馬恒太,劉小霞,朱登科,吳曉慧,張楠,
申請(專利權)人:中國科學院軟件研究所,
類型:發明
國別省市:北京;11
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。