一種在軌衛(wèi)星身份認證方法技術

本發(fā)明專利技術提供一種在軌衛(wèi)星身份認證方法，其基于衛(wèi)星軌道的周期性，根據(jù)地面站與衛(wèi)星的相對位置進行位置認證；采用公私鑰認證機制，一個認證請求中包含私鑰簽名和公鑰加密兩部分信息，實現(xiàn)一次交互過程完成公鑰驗簽和私鑰解密的兩個動作，從而達到雙向認證的目的。相比其它衛(wèi)星身份認證方法，本發(fā)明專利技術認證強度高、占用衛(wèi)星資源少。

【技術實現(xiàn)步驟摘要】
一種在軌衛(wèi)星身份認證方法
本專利技術涉及數(shù)據(jù)認證領域，尤其是涉及一種在軌衛(wèi)星身份認證方法。
技術介紹
衛(wèi)星使用無線傳輸媒介與地面交互信息，開放度高、距離遠、覆蓋廣，容易遭受假冒、篡改攻擊，采用身份認證機制可以抵御此類攻擊。CCSDS(空間數(shù)據(jù)系統(tǒng)咨詢委員會)的安全工作組一直致力于針對空間任務的安全需求。2012年對空間網(wǎng)絡中的加密算法、認證完整性算法提出了推薦標準，2015年對空間鏈路層的安全協(xié)議提出了推薦標準，其推薦的認證算法、認證協(xié)議與地面的IPSEC機制類似，資源占用較大。近幾年，國內外學者加快了對于高效認證機制的研究，如2012年白登選等人提出的基于橢圓曲線密碼體制的零知識證明的高效雙向身份認證方法，2010年彭長艷提出基于IBC的TLS安全認證協(xié)議，2008年唐彩沐等人提出的適應低功耗移動設備的利用ECC算法產(chǎn)生授信碼的無線移動認證機制。由于在軌衛(wèi)星的通信鏈路存在帶寬窄、時延長和非對稱等特點，目前的認證方法多采用基于對稱算法的認證機制，安全強度不高，難以滿足各類地面站與衛(wèi)星網(wǎng)絡之間的安全互聯(lián)的需求。
技術實現(xiàn)思路
本專利技術的目的在于：針對現(xiàn)有技術存在資源占用大、安全強度不高的問題，提供一種在軌衛(wèi)星身份認證方法，解決星地通信過程中，雙向身份認證的問題。本專利技術的專利技術目的通過以下技術方案來實現(xiàn)：一種在軌衛(wèi)星身份認證方法，用于地球A與衛(wèi)星B之間的身份認證，其特征在于，該方法包括地球A向衛(wèi)星B進行上行數(shù)據(jù)傳輸時的雙向認證，該雙向認證包括步驟：(1)位置驗證：地球站A預測出當前時刻地球站A與衛(wèi)星B的仰角el，并將仰角el與地球站A的最小衛(wèi)星仰角Emin進行比較，判斷出衛(wèi)星B是否在地球站A的可視范圍內，如果不在就返回，否則進入步驟(2)；(2)身份標識驗證：地球站A產(chǎn)生隨機數(shù)RandA，根據(jù)衛(wèi)星B的名字B-ID，利用ECC的組合公鑰算法計算出其公鑰PubB，生成身份信息M＝(A-ID,RandA,KeyA(RandA))，計算M的摘要X＝MD5(M)，利用PubB對身份信息和摘要進行加密，生成認證消息PubB(M,MD5(M))，向衛(wèi)星B發(fā)送認證消息；(3)篡改判定：衛(wèi)星B利用自己的私鑰KeyB解密認證消息，獲得身份信息M和摘要X，并計算M的摘要MD5(M)，然后通過將其與X比較是否相等來判斷認證消息是否被篡改過，如果被篡改，則丟棄返回，否則繼續(xù)步驟(4)；(4)位置驗證：衛(wèi)星B計算出當前時刻衛(wèi)星B與地面站A的仰角el’，通過el’與地球站A的最小衛(wèi)星仰角Emin的比較，判斷出地球站A是否在衛(wèi)星B的可視范圍內，如果不在就返回認證失敗，否則進入步驟(5)；(5)身份標識驗證：衛(wèi)星B計算出地球站A的公鑰PubA，利用PubA(KeyA(RandA))得到Y，與RandA比較是否一致，如果不一致則返回認證失敗，一致則判定該身份信息確實是地球站A發(fā)出，進入步驟(6)；(6)數(shù)據(jù)傳輸保護階段：利用前面階段產(chǎn)生的RandA作為對稱密鑰，采用DES和MD5算法將從地球站A發(fā)往衛(wèi)星B的消息進行完整性和機密性保護。作為進一步的技術方案，地球站A從密鑰管理中心獲取自己的私鑰KeyA；地球站A獲取自己的經(jīng)緯度坐標λ、緯度φ以及最小衛(wèi)星仰角Emin；衛(wèi)星B從密鑰管理中心獲取自己的私鑰KeyB。作為進一步的技術方案，地球站A根據(jù)衛(wèi)星B的兩行軌道數(shù)據(jù)TLE、當前時刻t，通過SGP4/SDP4軌道模型預測出當前時刻衛(wèi)星B的星下點位置和軌道高度，根據(jù)星下點位置和軌道高度計算出地球站A與衛(wèi)星B的仰角el。作為進一步的技術方案，步驟(4)中的地球站A的最小衛(wèi)星仰角Emin是衛(wèi)星B根據(jù)獲得的A-ID，查詢得到地球站A的坐標和最小仰角Emin。作為進一步的技術方案，該方法還包括衛(wèi)星B向地球A進行下行數(shù)據(jù)傳輸時的雙向認證，該雙向認證包括步驟：(1)位置驗證：衛(wèi)星B計算當前時刻衛(wèi)星B與地面站A的仰角el’，通過el’與地球站A的最小衛(wèi)星仰角Emin的比較，判斷出在地球站A是否在衛(wèi)星B的可視范圍內，如果不在就返回認證失敗，否則進入步驟(2)；(2)身份標識驗證：衛(wèi)星B產(chǎn)生隨機數(shù)RandB，根據(jù)衛(wèi)星A的名字A-ID，利用ECC的組合公鑰算法計算出其公鑰PubA，生成身份信息M＝(B-ID,RandB,KeyB(RandB))，計算M的摘要X＝MD5(M)，利用PubA對身份信息和摘要進行加密，生成認證消息PubA(M,MD5(M))，向地球站A發(fā)送認證消息；(3)篡改判定：地球站A利用自己的私鑰KeyA解密認證消息，獲得身份信息M和摘要X，計算M的摘要MD5(M)，后通過將其與X比較是否相等來判斷認證消息是否被篡改過，如果被篡改，則丟棄返回，否則繼續(xù)步驟(4)；(4)位置驗證：地球站A預測出當前時刻地球站A與衛(wèi)星B的仰角el，通過el與Emin的比較，判斷出衛(wèi)星B是否在地球站A的可視范圍內，如果不在就返回認證失敗，否則進入下一步；(5)身份標識驗證：地球A計算出衛(wèi)星B的公鑰PubB，利用PubB(KeyB(RandB))得到Y，與RandB比較是否一致，如果不一致則返回認證失敗，一致則判定該身份信息確實是衛(wèi)星B發(fā)出，進入步驟(6)；(6)數(shù)據(jù)傳輸保護階段：利用前面階段產(chǎn)生的RandB作為對稱密鑰，采用AES和MD5算法將從衛(wèi)星B發(fā)往地球站A的消息進行完整性和機密性保護。作為進一步的技術方案，在衛(wèi)星B向地球A進行下行數(shù)據(jù)傳輸時的雙向認證中，衛(wèi)星B從密鑰管理中心獲取自己的私鑰KeyB；地球站A從密鑰管理中心獲取自己的私鑰KeyA；地球站A獲取自己的經(jīng)緯度坐標λ、緯度φ以及最小衛(wèi)星仰角Emin。作為進一步的技術方案，在衛(wèi)星B向地球A進行下行數(shù)據(jù)傳輸時的雙向認證中，地球站A根據(jù)衛(wèi)星B的兩行軌道數(shù)據(jù)TLE、當前時刻t，通過SGP4/SDP4軌道模型預測出當前時刻衛(wèi)星B的星下點位置和軌道高度，根據(jù)星下點位置和軌道高度計算出地球站A與衛(wèi)星B的仰角el。作為進一步的技術方案，在衛(wèi)星B向地球A進行下行數(shù)據(jù)傳輸時的雙向認證中，其步驟(1)中的地球站A的最小衛(wèi)星仰角Emin是衛(wèi)星B根據(jù)A-ID，查詢得到地球站A的坐標和最小仰角Emin。與現(xiàn)有技術相比，本專利技術具有以下優(yōu)點：1、通過雙向身份認證機制可以抵御星地通信中的假冒、篡改等網(wǎng)絡攻擊；2、本專利技術在保證認證強度的基礎上，最大限度降低對衛(wèi)星資源的占用。附圖說明圖1為上行鏈路雙向認證交互圖；圖2為上行鏈路雙向認證時地球站A處理流程圖；圖3為上行鏈路雙向認證時衛(wèi)星B處理流程圖I；圖4為上行鏈路雙向認證時衛(wèi)星B處理流程圖II；圖5為下行鏈路雙向認證交互圖；圖6為下行鏈路雙向認證時地球站A處理流程圖I；圖7為下行鏈路雙向認證時地球站A處理流程圖II；圖8為下行鏈路雙向認證時衛(wèi)星B處理流程圖。具體實施方式下面結合附圖和具體實施例對本專利技術進行詳細說明。實施例本專利技術結合在軌衛(wèi)星的通信鏈路特征和周期性的運行特征，采用基于公私鑰認證機制提高安全強度，創(chuàng)新點包括：基于衛(wèi)星軌道的周期性，根據(jù)地面站與衛(wèi)星的相對位置進行位置認證；采用公私鑰認證機制，一個認證請求中包含私鑰簽名和公鑰加密兩部分信息，實現(xiàn)一次交互過程完成公鑰驗簽和私鑰解密的兩個動作，從而達到雙向認證的目的；對于衛(wèi)星鏈路的上行和下行信息的傳遞，采用不同強度的加密算法進行加密保護；采用基于本文檔來自技高網(wǎng)...

【技術保護點】
一種在軌衛(wèi)星身份認證方法，用于地球站A與衛(wèi)星B之間的身份認證，其特征在于，該方法包括地球站A向衛(wèi)星B進行上行數(shù)據(jù)傳輸時的雙向認證，該雙向認證包括以下步驟：(1)位置驗證：地球站A預測出當前時刻地球站A與衛(wèi)星B的仰角el，并將仰角el與地球站A的最小衛(wèi)星仰角Emin進行比較，判斷出衛(wèi)星B是否在地球站A的可視范圍內，如果不在就返回，否則進入步驟(2)；(2)身份標識驗證：地球站A產(chǎn)生隨機數(shù)RandA，根據(jù)衛(wèi)星B的名字B?ID，利用ECC的組合公鑰算法計算出其公鑰PubB，生成身份信息M＝(A?ID,RandA,KeyA(RandA))，計算M的摘要X＝MD5(M)，利用PubB對身份信息和摘要進行加密，生成認證消息PubB(M,MD5(M))，向衛(wèi)星B發(fā)送認證消息；(3)篡改判定：衛(wèi)星B利用自己的私鑰KeyB解密認證消息，獲得身份信息M和摘要X，并計算M的摘要MD5(M)，然后通過將其與X比較是否相等來判斷認證消息是否被篡改過，如果被篡改，則丟棄返回，否則繼續(xù)步驟(4)；(4)位置驗證：衛(wèi)星B計算出當前時刻衛(wèi)星B與地面站A的仰角el’，通過el’與地球站A的最小衛(wèi)星仰角Emin的比較，判斷出地球站A是否在衛(wèi)星B的可視范圍內，如果不在就返回認證失敗，否則進入步驟(5)；(5)身份標識驗證：衛(wèi)星B計算出地球站A的公鑰PubA，利用PubA(KeyA(RandA))得到Y，與RandA比較是否一致，如果不一致則返回認證失敗，一致則判定該身份信息確實是地球站A發(fā)出，進入步驟(6)；(6)數(shù)據(jù)傳輸保護階段：利用前面階段產(chǎn)生的RandA作為對稱密鑰，采用DES和MD5算法將從地球站A發(fā)往衛(wèi)星B的消息進行完整性和機密性保護。...

【技術特征摘要】
2016.12.02 CN 20161109405101.一種在軌衛(wèi)星身份認證方法，用于地球站A與衛(wèi)星B之間的身份認證，其特征在于，該方法包括地球站A向衛(wèi)星B進行上行數(shù)據(jù)傳輸時的雙向認證，該雙向認證包括以下步驟：(1)位置驗證：地球站A預測出當前時刻地球站A與衛(wèi)星B的仰角el，并將仰角el與地球站A的最小衛(wèi)星仰角Emin進行比較，判斷出衛(wèi)星B是否在地球站A的可視范圍內，如果不在就返回，否則進入步驟(2)；(2)身份標識驗證：地球站A產(chǎn)生隨機數(shù)RandA，根據(jù)衛(wèi)星B的名字B-ID，利用ECC的組合公鑰算法計算出其公鑰PubB，生成身份信息M＝(A-ID,RandA,KeyA(RandA))，計算M的摘要X＝MD5(M)，利用PubB對身份信息和摘要進行加密，生成認證消息PubB(M,MD5(M))，向衛(wèi)星B發(fā)送認證消息；(3)篡改判定：衛(wèi)星B利用自己的私鑰KeyB解密認證消息，獲得身份信息M和摘要X，并計算M的摘要MD5(M)，然后通過將其與X比較是否相等來判斷認證消息是否被篡改過，如果被篡改，則丟棄返回，否則繼續(xù)步驟(4)；(4)位置驗證：衛(wèi)星B計算出當前時刻衛(wèi)星B與地面站A的仰角el’，通過el’與地球站A的最小衛(wèi)星仰角Emin的比較，判斷出地球站A是否在衛(wèi)星B的可視范圍內，如果不在就返回認證失敗，否則進入步驟(5)；(5)身份標識驗證：衛(wèi)星B計算出地球站A的公鑰PubA，利用PubA(KeyA(RandA))得到Y，與RandA比較是否一致，如果不一致則返回認證失敗，一致則判定該身份信息確實是地球站A發(fā)出，進入步驟(6)；(6)數(shù)據(jù)傳輸保護階段：利用前面階段產(chǎn)生的RandA作為對稱密鑰，采用DES和MD5算法將從地球站A發(fā)往衛(wèi)星B的消息進行完整性和機密性保護。2.根據(jù)權利要求1所述的一種在軌衛(wèi)星身份認證方法，其特征在于，地球站A從密鑰管理中心獲取自己的私鑰KeyA；地球站A獲取自己的經(jīng)緯度坐標λ、緯度φ以及最小衛(wèi)星仰角Emin；衛(wèi)星B從密鑰管理中心獲取自己的私鑰KeyB。3.根據(jù)權利要求1或2所述的一種在軌衛(wèi)星身份認證方法，其特征在于，地球站A根據(jù)衛(wèi)星B的兩行軌道數(shù)據(jù)TLE、當前時刻t，通過SGP4/SDP4軌道模型預測出當前時刻衛(wèi)星B的星下點位置和軌道高度，根據(jù)星下點位置和軌道高度計算出地球站A與衛(wèi)星B的仰角el。4.根據(jù)權利要求1所述的一種在軌衛(wèi)星身份認證方法，其特征在于，步驟(4)中的地球站A的最小衛(wèi)星仰角Emin是衛(wèi)星B根據(jù)獲得的A-ID，查詢得到地球站A的坐標和最小仰角...

【專利技術屬性】
技術研發(fā)人員：付江，萬抒，陳捷，羅栗，趙越，程永新，
申請(專利權)人：中國電子科技集團公司第三十研究所，
類型：發(fā)明
國別省市：四川,51