CN109688583B - 一种星地通信***中的数据加密方法 - Google Patents

一种星地通信***中的数据加密方法 Download PDF

Info

Publication number
CN109688583B
CN109688583B CN201811467414.XA CN201811467414A CN109688583B CN 109688583 B CN109688583 B CN 109688583B CN 201811467414 A CN201811467414 A CN 201811467414A CN 109688583 B CN109688583 B CN 109688583B
Authority
CN
China
Prior art keywords
access point
terminal
random number
encrypted
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811467414.XA
Other languages
English (en)
Other versions
CN109688583A (zh
Inventor
付强
严新荣
胡志金
刘翼
范月霞
周确
张琼宇
周勋
林飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
722th Research Institute of CSIC
Original Assignee
722th Research Institute of CSIC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 722th Research Institute of CSIC filed Critical 722th Research Institute of CSIC
Priority to CN201811467414.XA priority Critical patent/CN109688583B/zh
Publication of CN109688583A publication Critical patent/CN109688583A/zh
Application granted granted Critical
Publication of CN109688583B publication Critical patent/CN109688583B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/06Airborne or Satellite Networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Astronomy & Astrophysics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种星地通信***中的数据加密方法。包括:根据第一终端发送的接入请求,确定认证参数元组,并发送至第一终端的数据传输路径中的第一接入点,以使得第一接入点根据认证参数元组与第一终端进行双向认证,并当双向认证成功时与第一终端协商出第一会话密钥;生成第一加密随机数并发送至第一接入点,以使得第一接入点根据第一接入点与数据传输路径中的第二接入点协商出第二会话密钥。本发明实施例提供的方法,通过不同的加密方法分别对接入网络区和骨干网络区中传输的数据进行加密,实现了数据全程加密传输,保障了天地一体化网络的安全。

Description

一种星地通信***中的数据加密方法
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种星地通信***中的数据加密方法。
背景技术
天地一体化网络按照“天基组网、地网跨代、天地互联”的思路,统筹规划、重点建设天基信息网,自主创新、典型示范未来互联网,协同对接、积极应用移动通信专项成果,实现天基信息网、未来互联网、移动通信网的融合发展,形成万物互联、人机交互、天地一体的网络空间。在这个空间中,网络之间、***之间的边界日趋模糊,管理、运行以及拥有者、用户等主体间的责任难以完全划清。面对新形势、新问题,要按照总体布局,统筹各方的要求,以体系化保障网络空间的思维和理念开展网络安全工作。
密码是互联网安全的核心支撑,推动互联网安全互联需要发挥密码的基础支撑作用。天地一体化网络是网络空间构建的支撑技术之一,天地一体化网络拓扑复杂、高度异构、实体类型多元化的特点,使得传统密码应用模式不能完全解决新的安全问题,迫切需要从全局视角,体系化发挥密码在天地一体化网络安全中整体保障效能,以实现对天地一体化网络中传输的数据进行加密。因此,天地一体化网络中的数据加密问题是目前业界亟待解决的课题。
发明内容
针对现有技术中存在的技术问题,本发明实施例提供一种星地通信***中的数据加密方法。
第一方面,本发明实施例提供一种星地通信***中的数据加密方法,包括:
根据第一终端发送的接入请求,确定认证参数元组,并发送至第一终端的数据传输路径中的第一接入点,以使得第一接入点根据认证参数元组与第一终端进行双向认证,并当双向认证成功时与第一终端协商出第一会话密钥,以对第一终端与第一接入点间传输的数据进行加密;
生成第一加密随机数并发送至第一接入点,以使得第一接入点根据第一加密随机数与数据传输路径中的第二接入点协商出第二会话密钥,以对第一接入点与第二接入点间传输的数据进行加密。
第二方面,本发明实施例提供一种星地通信***中的数据加密方法,包括:
接收管理***发送的根据第一终端发送的接入请求所确定的认证参数元组,并根据认证参数元组与第一终端进行双向认证,并当双向认证成功时与第一终端协商出第一会话密钥,以对第一终端与第一接入点间传输的数据进行加密;
接收管理***发送的第一加密随机数,并根据第一加密随机数与数据传输路径中的第二接入点协商出第二会话密钥,以对第一接入点与第二接入点间传输的数据进行加密。
本发明实施例提供的一种星地通信***中的数据加密方法,通过不同的加密方法分别对接入网络区和骨干网络区中传输的数据进行加密,实现了数据全程加密传输,保障了天地一体化网络的安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种天地一体化网络的架构示意图;
图2为本发明一实施例提供的一种星地通信***中的数据加密方法流程图;
图3为本发明另一实施例提供的一种星地通信***中的数据加密方法流程图;
图4为本发明实施例提供的一种本地接入密码服务流程图;
图5为本发明实施例提供的一种漫游接入密码服务流程图;
图6为本发明实施例提供的一种组网节点密钥协商流程图;
图7为本发明实施例提供的一种域内端到端保密通信流程图;
图8为本发明实施例提供的一种跨域端到端保密通信流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了更好地说明本发明实施例,将本发明实施例提供的方法应用在天地一体化网络中进行说明,需要说明的是,本发明实施例提供的方法的应用场景并不限于天地一体化网络,本发明实施例对此不作具体限定。
首先,结合图1对本发明实施例中的天地一体化网络的架构进行说明。图1为本发明实施例提供的一种天地一体化网络的架构示意图,如图1所示,可根据网络实体管辖权限和物理部署位置的不同,将天地一体化网络划分为多个安全区:用户区、接入网络区和骨干网络区。其中,用户区指的地面区域中由终端所组成的网络,接入网络区指的是终端到接入点之间的所有设备组成的网络,骨干网络区是连接多个接入点的高速网络。需要说明的是,接入点指的是关口站或星上处理节点。
而对于用户区来说,又可根据各主体密码保障作用范围和密码应用环境,以及对密码应用和人员管理的安全保障水平的区别,将用户区划分为多个安全域:党政主体安全域、军队主体安全域、国际主体安全域和国内商用主体安全域。
而对于每一个安全域,又可根据地域等条件,将安全域划分为多个用户域。通常,一个接入点与一个用户域相匹配,即,一个用户域中的进行注册了的终端均可接入至与该用户域匹配的接入点。
通常情况下,天地一体化网络指的是由天基骨干网、低轨星座接入网和地面网络基础设施所组成的公共基础网络,用于为公众用户提供综合网络服务并配置网络基础密码服务以保障入网认证、接入传输、网络传输等网络基础业务安全可靠。
同时,天地一体化网络支持由党政、军队等特定主体借用公共网络基础设施组建虚拟私有网络,在网络基础密码服务之上构建用户业务密码服务体系,自行配置和管理密码资源,保证其通信业务具有更高的安全性和私密性。
此外,特定主体等还可采用与公共基础网络相同通信技术体制独立组建私有网络,与公共基础网络物理隔离,并采用相同密码服务技术体制,并重新配置密码算法和密钥资源,为所辖用户提供私有网络密码服务。
图1中示出了上述的三种网络,即:通常情况下的公共基础网络(简称实际公共基础网络)、由党政、军队等特定主体借用公共网络基础设施组建的虚拟私有网络(简称虚拟私有网络)、私有网络。
在实际公共基础网络中,用户区中存在终端B1、B2,假定B1、B2为进行通信的两端,若B1、B2不属于同一用户域,则两端间的数据传输路径可以有两类:第一类路径和第二类路径,其中,第一类路径为经由接入点的传输路径,具体为“B1-第一接入点-第二接入点-B2”,第二类路径为不经由接入点的传输路径,具体为跨域端端通信传输路径,即“B1-B2”。若B1、B2属于同一用户域,则两端间的数据传输路径还可以第三类路径,即不经由接入点的传输路径,具体为域内端端通信传输路径,也即“B1-B2”。在以下实施例中,若不作明确说明,则默认B1、B2不属于同一用户域。其中,需要说明的是,一个终端属于一个用户域指的是该终端已在该用户域中进行注册。
对于任意两端的通信过程,均需对两端中所传输的数据进行加密,对此,本发明实施例提供了一种星地通信***中的数据加密方法。图2为本发明一实施例提供的一种星地通信***中的数据加密方法流程图,该方法的执行主体为管理***,如图2所示,该方法包括:
步骤201,根据第一终端发送的接入请求,确定认证参数元组,并发送至第一终端的数据传输路径中的第一接入点,以使得第一接入点根据认证参数元组与第一终端进行双向认证,并当双向认证成功时与第一终端协商出第一会话密钥,以对第一终端与第一接入点间传输的数据进行加密。
具体地,以B1、B2为进行通信的两端对本发明实施例提供的方法进行说明。在此,假定B1为第一终端,B2为第二终端。B1、B2间的数据传输路径可以有两类:第一类路径和第二类路径,两类路径已在前文中进行说明,此处不再赘述。
在本发实施例中,若管理***接收到了B1发送的接入请求,则判定B1、B2间的数据传输路径为第一类路径,即“B1-第一接入点-第二接入点-B2”。进一步地,步骤201的具体流程为:首先,B1向第一接入点发送接入请求,其中,接入请求指的是B1欲接入至第一接入点的请求;然后,第一接入点将接入请求转发至与第一接入点匹配的用户域中的管理***,以供管理***确定认证参数元组并将其发送至第一接入点,进而使得第一接入点与B1进行双向认证,并当双向认证成功时,与B1协商出会话密钥,以对B1与第一接入点间传输的数据进行加密,从而保障B1与第一接入点间传输的数据的安全性,也即,保障接入网络区的通信安全。
步骤202,生成第一加密随机数并发送至第一接入点,以使得第一接入点根据第一加密随机数与数据传输路径中的第二接入点协商出第二会话密钥,以对第一接入点与第二接入点间传输的数据进行加密。
具体地,不仅需要保障B1与第一接入点间传输的数据的安全性,还需保障第一接入点与第二接入点间传输的数据的安全性,也即,还需保障骨干网络区的通信安全。对此,提出了对第一接入点与第二接入点间对传输的数据进行加密的方法为:管理***生成第一加密随机数并发送至第一接入点,以使得第一接入点与第二接入点协商出第二会话密钥,以对第一接入点与第二接入点间传输的数据进行加密。
需要说明的是,对第二接入点和B2间传输的数据进行加密的方法与上述的对B1与第一接入点间传输的数据进行加密的方法一致,此处不再赘述。
将B1-第一接入点,第一接入点-第二接入点,第二接入点-B2这三段传输路径中传输的数据均进行加密后,可保障B1与B2间的通信安全。
本发明实施例提供的方法,通过不同的加密方法分别对接入网络区和骨干网络区中传输的数据进行加密,实现了数据全程加密传输,保障了天地一体化网络的安全。
在上述各实施例的基础上,本发明实施例对上述实施例中确定认证参数元组的过程进行说明。需要说明的是,对于管理***而言,认证参数元组的确定包括两种方式,其一为自己生成,其二为从其他管理***处获取。即,根据第一终端发送的接入请求确定认证参数元组,包括:
根据第一终端发送的接入请求,判定第一终端所注册的用户域与第一接入点所匹配的用户域是否一致。
具体地,第一终端向第一接入点发送接入请求,第一接入点将接入请求转发至管理***,以供管理***判定第一终端所注册的用户域与第一接入点所匹配的用户域是否一致。
需要说明的是,在第一终端向第一接入点发送接入请求之前,第一终端会到一用户域中进行注册,将其进行注册的用户域称为其注册用户域。其中,注册指的是:第一终端在其注册用户域的管理***中注册一个合法身份,该注册用户域中的管理***生成第一终端的预置共享密钥,并将合法身份作为终端信息与预置共享密钥关联存储于自身以及第一终端中。
若一致,则根据接入请求中携带的终端信息调取第一终端的预置共享密钥,并生成随机数,并根据预置共享密钥和随机数生成一体化网络身份令牌、消息验证码和会话密钥以组成认证参数元组。
具体地,若第一终端的注册用户域与第一接入点所匹配的用户域一致,则管理***根据接收到的接入请求中携带的终端信息,调取与第一终端的终端信息关联存储的预置共享密钥。同时,管理***生成随机数。并且,管理***根据预置共享密钥和随机数,生成一体化网络身份令牌、消息验证码和会话密钥以组成认证参数元组。上述的接入过程,也可称为本地接入过程。
若不一致,则向第一终端所注册的用户域中的管理***发送认证参数调取请求,并接收第一终端所注册的用户域中的管理***发送的根据认证参数调取请求所生成的认证参数元组。
具体地,若第一终端的注册用户域与第一接入点所匹配的用户域不一致,则管理***向第一终端的注册用户域中的管理***发送认证参数调取请求,当第一终端的注册用户域中的管理***接收到认证参数调取请求后,调取与第一终端的终端信息关联存储的预置共享密钥。同时,第一终端的注册用户域中的管理***生成随机数。并且,第一终端的注册用户域中的管理***根据预置共享密钥和随机数,生成一体化网络身份令牌、消息验证码和会话密钥以组成认证参数元组。然后,第一终端的注册用户域中的将认证参数元组发送给管理***。上述的接入过程,也可称为漫游接入过程。
在上述各实施例的基础上,本发明实施例对上述实施例中生成第一加密随机数的过程进行说明。即,生成第一加密随机数,包括:
调取第一接入点与第二接入点间的预置共享密钥,并生成第一随机数。
需要说明的是,在管理***调取第一接入点的预置共享密钥之前,天地一体化网络中各接入点在匹配的用户域中的管理***中进行注册,以使得各管理***为对应的接入点分配身份标识,并生成各接入点间的预置共享密钥。
本发明实施例是对第一接入点与第二接入点间传输的数据进行加密,因此,管理***调取第一接入点与第二接入点间的预置共享密钥,并生成第一随机数。
通过预置共享密钥对第一随机数进行加密以生成第一加密随机数。
具体地,管理***通过预置共享密钥对第一随机数进行加密以生成第一加密随机数。
图3为本发明另一实施例提供的一种星地通信***中的数据加密方法流程图,该方法的执行主体为第一接入点,如图3所示,该方法包括:
步骤301,接收管理***发送的根据第一终端发送的接入请求所确定的认证参数元组,并根据认证参数元组与第一终端进行双向认证,并当双向认证成功时与第一终端协商出第一会话密钥,以对第一终端与第一接入点间传输的数据进行加密。
具体地,以B1、B2为进行通信的两端对本发明实施例提供的方法进行说明。在此,假定B1为第一终端,B2为第二终端。B1、B2间的数据传输路径可以有两类:第一类路径和第二类路径,两类路径已在前文中进行说明,此处不再赘述。
在本发实施例中,若第一接入点接收到了B1发送的接入请求,则判定B1、B2间的数据传输路径为第一类路径,即“B1-第一接入点-第二接入点-B2”。进一步地,步骤301的具体流程为:首先,B1向第一接入点发送接入请求,其中,接入请求指的是B1欲接入至第一接入点的请求;然后,第一接入点将接入请求转发至与第一接入点匹配的用户域中的管理***,以供管理***确定认证参数元组并将其发送至第一接入点;随后,第一接入点接收管理***发送的认证参数元组,并根据认证参数元组与B1进行双向认证,并当双向认证成功时,与B1协商出会话密钥,以对B1与第一接入点间传输的数据进行加密,从而保障B1与第一接入点间传输的数据的安全性,也即,保障接入网络区的通信安全。
步骤302,接收管理***发送的第一加密随机数,并根据第一加密随机数与第一终端的数据传输路径中的第二接入点协商出第二会话密钥,以对第一接入点与第二接入点间传输的数据进行加密。
具体地,不仅需要保障B1与第一接入点间传输的数据的安全性,还需保障第一接入点与第二接入点间传输的数据的安全性,也即,还需保障骨干网络区的通信安全。对此,提出了对第一接入点与第二接入点间对传输的数据进行加密的方法为:首先,管理***生成第一加密随机数并发送至第一接入点;然后,第一接入点接收管理***发送第一加密随机数,并根据第一加密随机数与第二接入点协商出第二会话密钥,以对第一接入点与第二接入点间传输的数据进行加密。
需要说明的是,对第二接入点和B2间传输的数据进行加密的方法与上述的B1和第一接入点间传输的数据进行加密的方法一致,此处不再赘述。
将B1-第一接入点,第一接入点-第二接入点,第二接入点-B2这三段传输路径中传输的数据均进行加密后,可保障B1与B2间的通信安全。
本发明实施例提供的方法,通过不同的加密方法分别对接入网络区和骨干网络区中传输的数据进行加密,实现了数据全程加密传输,保障了天地一体化网络的安全。
在上述各实施例的基础上,本发明实施例对上述实施例中第一接入点与第一终端的双向认证过程进行说明,即,根据认证参数元组与第一终端进行双向认证,包括:
根据认证参数元组中的一体化网络身份令牌,提取一体化网络身份令牌中的随机数。
将随机数与一体化网络身份令牌组成挑战请求,并发送至第一终端,以使得第一终端根据挑战请求对第一接入点进行认证。
具体地,第一接入点接收到管理终端发送的认证参数元组后,保存认证参数元组中的消息验证码和会话密钥,并将提取到的随机数与一体化网络身份令牌组成挑战请求发送至第一终端,以使得第一终端根据挑战请求对第一接入点进行认证。
若接收到第一终端发送的根据挑战请求所生成的指示认证成功的挑战响应,则根据挑战响应对第一终端进行认证。
具体地,第一终端通过接收到的随机数以及自身存储的预置共享密钥验证一体化网络身份令牌,进而对天地一体化网络进行认证。若认证成功则通过随机数和预置共享密钥生成消息验证码以及会话密钥,并将消息验证码作为挑战响应发送至第一接入点,若认证失败则将认证失败的信息发送至第一接入点。若第一接入点接收到指示认证成功的挑战响应,则根据挑战响应中的消息验证码,对第一终端进行认证,并将认证成功或失败的信息发送至第一终端。
在上述各实施例的基础上,本发明实施例对上述实施例中第二会话密钥的协商过程进行说明,即,根据第一加密随机数与第一终端的数据传输路径中的第二接入点协商出第二会话密钥,包括:
将第一加密随机数发送至第二接入点,以使得第二接入点匹配的用户域中的管理***对第一加密随机数进行解密以生成第一随机数并发送至第二接入点。
需要说明的是,在第一接入点将第一加密随机数发送至第二接入点之前,天地一体化网络中各接入点在匹配的用户域中的管理***中进行注册,以使得各管理***为对应的接入点分配身份标识,并生成各接入点间的预置共享密钥。
具体地,管理***调取第一接入点与第二接入点间的预置共享密钥,并生成第一随机数;然后,管理***通过预置共享密钥对第一随机数进行加密以生成第一加密随机数并发送给第一接入点;随后,第一接入点将第一加密随机数发送至第二接入点,以使得第二接入点匹配的用户域中的管理***对第一加密随机数进行解密以生成第一随机数并发送至第二接入点。
接收第二接入点发送的第二加密随机数,并发送给管理***,以使得管理***对第二加密随机数进行解密以生成第二随机数;其中,第二加密随机数为第二接入点匹配的用户域中的管理***对自身生成的第二随机数进行加密后所生成。
具体地,第二接入点匹配的用户域中的管理***对第一加密随机数进行解密以生成第一随机数并发送至第二接入点;然后,第一接收点接收第一随机数并发送给管理***,以使得管理***对第二加密随机数进行解密以生成第二随机数;其中,第二加密随机数为第二接入点匹配的用户域中的管理***对自身生成的第二随机数进行加密后所生成。
接收管理***发送的第二随机数,以使得第一接入点与第二接入点根据各自接收到的随机数,协商出第二会话密钥。
具体地,管理***将第二随机数发送给第一接入点,以使得第一接入点与第二接入点根据各自接收到的随机数,协商出第二会话密钥。
需要说明的是,B1、B2间的数据传输路径还可为第二类路径,若为第二类路径,则加密方法如下:
通信双方完成入网认证,由通信业务发起方向通信双方的注册用户域的指定管理***发送端端加密通信请求;然后,指定管理***生成此次通信的会话密钥,并分发至通信双方的注册用户域中的管理***;随后,通信双方的管理***分别将会话密钥发送至各自对应的通信方;最后,通信双方利用会话密钥实现端到端保密通信。
例如,B1向指定管理***发送端端加密通信请求,则指定管理***生成此次通信的会话密钥,并分发至B1的注册用户域中的管理***和B2的注册用户域中的管理***,以使得B1的注册用户域中的管理***和B2的注册用户域中的管理***分别将会话密钥分发至B1和B2,以保障B1与B2间的通信安全。
假定B1、B2属于同一用户域,则B1、B2间的数据传输路径还可为第三类路径,若为第三类路径,则加密方法如下:
通信双方完成入网认证后,由通信发起方向自身的注册用户域的管理***发送端端加密通信请求;然后,管理***生成此次通信会话密钥,并分发至通信双方用户终端;最后,通信双方利用会话密钥实现端到端保密通信。
具例如,B1向自身注册用户域中的管理***发送保密通信请求,则管理***生成此次通信的会话密钥并分发至B1和B2,以保障B1与B2间的通信安全。
可选地,以下将结合附图,对用户终端与接入点,以及两个接入点间的密钥协商过程进行说明。
图4为本发明实施例提供的一种本地接入密码服务流程图,如图4所示:
步骤1:用户终端A将携带有其信息(合法身份与预置共享密钥)的接入申请发送至接入点,申请接入至网络。
步骤2:接入点将接入申请转发至管理***,管理***根据接入申请中携带的合法身份调取预置共享密钥并生成随机数,利用随机数和预置共享密钥生成一体化网络身份令牌、消息验证码以及接入会话密钥,组成认证参数元组发送至接入点。
步骤3:接入点保存消息验证码和会话密钥,将随机数与一体化网络身份令牌组成挑战申请发送至用户终端A。
步骤4:用户终端A密码模块利用接收到的随机数以及自身预置共享密钥验证一体化网络身份令牌,对接入点进行认证。若认证成功则利用随机数和预置共享密钥生成消息验证码以及会话密钥,将消息验证码作为挑战响应发送至接入点;若认证失败则将认证失败信息发送至接入点。
步骤5:接入点通过验证挑战响应中的消息验证码正确性对用户终端A进行认证,将认证成功或失败信息发送至用户终端A。
图5为本发明实施例提供的一种漫游接入密码服务流程图,如图5所示,漫游接入流程和本地接入的区别在于被访问的用户域收到接入申请后查询到用户终端B的注册用户域后,向该注册用户域发送调取认证参数元组的申请。注册用户域收到申请后采用与本地接入步骤2相同的方法生成认证参数元组后推送至被访问用户域,后者继续将认证参数元组推送到接入点。之后,接入点利用认证参数元组完成与用户终端B的双向认证与密钥协商,其流程与本地接入步骤3、4、5相同。
图6为本发明实施例提供的一种组网节点密钥协商流程图,参与组网的各天基、地基节点密码设备利用预置共享密钥两两之间进行会话密钥协商。任意两个组网节点间密钥协商流程如图6所示(以卫星A、B为例):
步骤1:卫星A密码设备生成随机数,用A、B间预置共享密钥加密后发送至卫星B。
步骤2:卫星B密码设备利用预置共享密钥解密组网申请信息得到A发送的随机数,同时生成随机数,并由预置共享密钥加密后发送至A。
步骤3:卫星A、B密码设备利用交换的随机数生成会话密钥。
用户接入一体化网络后可与其它授权用户间进行端到端加密的业务通信,包括用户域内端到端保密通信以及跨用户域端到端保密通信。
用户域内端到端保密通信:由通信双方所属用户域密码资源管理***为双方分发端到端加密密钥,图7为本发明实施例提供的一种域内端到端保密通信流程图,如图7所示:
步骤1:通信双方完成入网认证后,由通信发起方向所属用户域密码资源管理***发送端到端保密通信申请。
步骤2:密码资源管理***生成此次通信会话密钥通过密钥资源管理密钥进行保护后分发至通信双方用户终端。
步骤3:通信双方用户终端密码模块利用密码资源管理***分发的会话密钥实现端到端保密通信。
跨用户域端到端保密加密:由通信双方分别所属的用户域共同制定的密码资源管理***为双方分发端到端加密密钥,图8为本发明实施例提供的一种跨域端到端保密通信流程图,如图8所示:
步骤1:通信双方完成入网认证,由通信业务发起方向双方用户域指定的密码资源管理***发送端端加密通信申请。
步骤2:指定密码资源管理***生成此次通信的会话密钥分发至通信双方所属用户域密码资源管理***。
步骤3:通信双方所属用户域密码资源管理***分别将受保护的会话密钥发送至通信双方用户终端。
步骤4:通信双方用户终端密码模块利用密码资源管理***分发的会话密钥实现端到端保密通信。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (6)

1.一种星地通信***中的数据加密方法,其特征在于,包括:
根据第一终端发送的接入请求,确定认证参数元组,并发送至第一终端的数据传输路径中的第一接入点,以使得第一接入点根据认证参数元组与第一终端进行双向认证,并当双向认证成功时与第一终端协商出第一会话密钥,以对第一终端与第一接入点间传输的数据进行加密;
生成第一加密随机数并发送至第一接入点,以使得第一接入点根据第一加密随机数与数据传输路径中的第二接入点协商出第二会话密钥,以对第一接入点与第二接入点间传输的数据进行加密;
其中,第一终端与第二终端为进行通信的两端,其数据传输路径为第一终端至第一接入点、第一接入点至第二接入点、第二接入点至第二终端;
第二接入点和第二终端间传输的数据进行加密的方式与对第一终端和第一接入点间传输的数据进行加密的方式一致。
2.根据权利要求1所述的方法,其特征在于,根据第一终端发送的接入请求,确定认证参数元组,包括:
根据第一终端发送的接入请求,判定第一终端所注册的用户域与第一接入点所匹配的用户域是否一致;
若一致,则根据接入请求中携带的终端信息调取第一终端的预置共享密钥,并生成随机数,并根据预置共享密钥和随机数生成一体化网络身份令牌、消息验证码和会话密钥以组成认证参数元组;
若不一致,则向第一终端所注册的用户域中的管理***发送认证参数调取请求,并接收第一终端所注册的用户域中的管理***发送的根据认证参数调取请求所生成的认证参数元组。
3.根据权利要求1所述的方法,其特征在于,生成第一加密随机数,包括:
调取第一接入点与第二接入点间的预置共享密钥,并生成第一随机数;
通过预置共享密钥对第一随机数进行加密以生成第一加密随机数。
4.一种星地通信***中的数据加密方法,其特征在于,包括:
接收管理***发送的根据第一终端发送的接入请求所确定的认证参数元组,并根据认证参数元组与第一终端进行双向认证,并当双向认证成功时与第一终端协商出第一会话密钥,以对第一终端与第一接入点间传输的数据进行加密;
接收管理***发送的第一加密随机数,并根据第一加密随机数与第一终端的数据传输路径中的第二接入点协商出第二会话密钥,以对第一接入点与第二接入点间传输的数据进行加密;
其中,第一终端与第二终端为进行通信的两端,其数据传输路径为第一终端至第一接入点、第一接入点至第二接入点、第二接入点至第二终端;
第二接入点和第二终端间传输的数据进行加密的方式与对第一终端和第一接入点间传输的数据进行加密的方式一致。
5.根据权利要求4所述的方法,其特征在于,根据认证参数元组与第一终端进行双向认证,包括:
根据认证参数元组中的一体化网络身份令牌,提取一体化网络身份令牌中的随机数;
将随机数与一体化网络身份令牌组成挑战请求,并发送至第一终端,以使得第一终端根据挑战请求对第一接入点进行认证;
若接收到第一终端发送的根据挑战请求所生成的指示认证成功的挑战响应,则根据挑战响应对第一终端进行认证。
6.根据权利要求4所述的方法,其特征在于,根据第一加密随机数与第一终端的数据传输路径中的第二接入点协商出第二会话密钥,包括:
将第一加密随机数发送至第二接入点,以使得第二接入点匹配的用户域中的管理***对第一加密随机数进行解密以生成第一随机数并发送至第二接入点;
接收第二接入点发送的第二加密随机数,并发送给管理***,以使得管理***对第二加密随机数进行解密以生成第二随机数;其中,第二加密随机数为第二接入点匹配的用户域中的管理***对自身生成的第二随机数进行加密后所生成;
接收管理***发送的第二随机数,以使得第一接入点与第二接入点根据各自接收到的随机数,协商出第二会话密钥。
CN201811467414.XA 2018-12-03 2018-12-03 一种星地通信***中的数据加密方法 Active CN109688583B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811467414.XA CN109688583B (zh) 2018-12-03 2018-12-03 一种星地通信***中的数据加密方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811467414.XA CN109688583B (zh) 2018-12-03 2018-12-03 一种星地通信***中的数据加密方法

Publications (2)

Publication Number Publication Date
CN109688583A CN109688583A (zh) 2019-04-26
CN109688583B true CN109688583B (zh) 2022-04-29

Family

ID=66186039

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811467414.XA Active CN109688583B (zh) 2018-12-03 2018-12-03 一种星地通信***中的数据加密方法

Country Status (1)

Country Link
CN (1) CN109688583B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112866987B (zh) * 2019-11-08 2023-08-04 佛山市云米电器科技有限公司 组网验证方法、设备及计算机可读存储介质
CN111431717A (zh) * 2020-03-31 2020-07-17 兴唐通信科技有限公司 一种卫星移动通信***的加密方法
CN111741464B (zh) * 2020-07-22 2021-04-09 深圳Tcl新技术有限公司 设备连接方法、主控设备、被控设备、控制***及介质
CN113747438A (zh) * 2021-09-12 2021-12-03 胡忠南 Wlan接入管理方法、装置及***
CN116996113B (zh) * 2023-09-26 2023-12-26 北京数盾信息科技有限公司 一种卫星终端组网方法、装置及设备

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9585012B2 (en) * 2012-05-14 2017-02-28 Futurewei Technologies, Inc. System and method for establishing a secure connection in communications systems
EP2785010A1 (en) * 2013-03-28 2014-10-01 Astrium Limited Key distribution in a satellite system
CN105407081A (zh) * 2015-10-26 2016-03-16 南京中网卫星通信股份有限公司 一种安全高效卫星数据传输***及其数据同步和传输方法
CN106027140B (zh) * 2016-07-06 2019-03-05 大连理工大学 可重构卫星地面站***及方法
CN108282779B (zh) * 2018-01-24 2020-05-12 中国科学技术大学 天地一体化空间信息网络低时延匿名接入认证方法

Also Published As

Publication number Publication date
CN109688583A (zh) 2019-04-26

Similar Documents

Publication Publication Date Title
CN109688583B (zh) 一种星地通信***中的数据加密方法
CN113194469B (zh) 基于区块链的5g无人机跨域身份认证方法、***及终端
US10243742B2 (en) Method and system for accessing a device by a user
CN109547213B (zh) 适用于低轨卫星网络的星间组网认证***及方法
CN100591003C (zh) 实现基于无状态服务器的预共享私密
RU2325693C2 (ru) Способы аутентификации потенциальных членов, приглашенных присоединиться к группе
CN112425136B (zh) 采用多方计算(mpc)的物联网安全性
CN100592678C (zh) 用于网络元件的密钥管理
CN114788226B (zh) 用于建立分散式计算机应用的非托管工具
EP2767029B1 (en) Secure communication
CA2886849A1 (en) A secure mobile electronic payment system where only the bank has the key, distributed key handshakes, one way and two way authentication distributed key processes and setting up a dynamic distributed key server
JP2023500570A (ja) コールドウォレットを用いたデジタルシグニチャ生成
Wang et al. An efficient and privacy-preserving blockchain-based authentication scheme for low earth orbit satellite-assisted internet of things
CN113643134A (zh) 基于多密钥同态加密的物联网区块链交易方法及***
CN110519222B (zh) 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和***
CN113365264B (zh) 一种区块链无线网络数据传输方法、装置及***
US11170094B2 (en) System and method for securing a communication channel
CN111709053B (zh) 基于松散耦合交易网络的作业方法及作业装置
Guo et al. A Novel RLWE‐Based Anonymous Mutual Authentication Protocol for Space Information Network
CN110809000B (zh) 基于区块链网络的业务交互方法、装置、设备及存储介质
EP1623551B1 (en) Network security method and system
Bello et al. A cloud based conceptual identity management model for secured Internet of Things operation
Rahman et al. Man in the Middle Attack Prevention for edg-fog, mutual authentication scheme
WO2017130200A1 (en) System and method for securing a communication channel
Lu et al. Distributed ledger technology based architecture for decentralized device-to-device communication network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information
CB03 Change of inventor or designer information

Inventor after: Fu Qiang

Inventor after: Yan Xinrong

Inventor after: Hu Zhijin

Inventor after: Liu Yi

Inventor after: Fan Yuexia

Inventor after: Zhou Que

Inventor after: Zhang Qiongyu

Inventor after: Zhou Xun

Inventor after: Lin Fei

Inventor before: Yan Xinrong

Inventor before: Fu Qiang

Inventor before: Hu Zhijin

Inventor before: Liu Yi

Inventor before: Fan Yuexia

Inventor before: Zhou Que

Inventor before: Zhang Qiongyu

Inventor before: Zhou Xun

Inventor before: Lin Fei

GR01 Patent grant
GR01 Patent grant