空間信息網(wǎng)跨域的端到端密鑰交換方法【
技術(shù)領(lǐng)域:
】[0001]本發(fā)明屬于無(wú)線通信
技術(shù)領(lǐng)域:
,具體涉及一種端到端的密鑰交換方法,可用于在空間信息網(wǎng)中實(shí)現(xiàn)信息跨域端到端的安全傳輸。【
背景技術(shù):
】[0002]隨著航天技術(shù)的飛速發(fā)展,我國(guó)的空間信息網(wǎng)也在不斷地建設(shè)和完善著。空間信息網(wǎng)是由具有空間通信能力的航天器,如衛(wèi)星、航天飛機(jī)等和地面站組成的網(wǎng)絡(luò)信息系統(tǒng),它能夠?qū)崿F(xiàn)地面站與衛(wèi)星、空間站之間的互聯(lián)互通功能。它能把部署在不同軌道的、執(zhí)行不同任務(wù)的各類(lèi)衛(wèi)星、飛行器等空間站和地面系統(tǒng)聯(lián)系起來(lái)。同時(shí),航空器,如飛機(jī)、熱氣球等也能夠接入空間信息網(wǎng)??臻g信息作為國(guó)家重要的空間信息基礎(chǔ)設(shè)施,對(duì)于提高我國(guó)的國(guó)際地位,促進(jìn)經(jīng)濟(jì)社會(huì)的發(fā)展,保障國(guó)家安全等許多方面,具有十分重大特殊的戰(zhàn)略意義。對(duì)于轉(zhuǎn)變經(jīng)濟(jì)發(fā)展方式、促進(jìn)國(guó)家信息化建設(shè)、調(diào)整產(chǎn)業(yè)結(jié)構(gòu)、提高社會(huì)生產(chǎn)效率、轉(zhuǎn)變?nèi)嗣裆罘绞?、提高大眾生活質(zhì)量,也具有重要意義。[0003]由于空間信息網(wǎng)中空、天結(jié)點(diǎn)的暴露性及無(wú)線的通信方式使通信信號(hào)易受到截獲、干擾、侵入等安全威脅,空、天結(jié)點(diǎn)甚至?xí)艿焦艉痛輾?,使得空間信息網(wǎng)絡(luò)面臨極大的安全威脅,無(wú)法實(shí)現(xiàn)基于空間信息網(wǎng)絡(luò)的跨域協(xié)同操作。[0004]未來(lái)空間信息網(wǎng)應(yīng)用呈現(xiàn)多樣性,將會(huì)遇到終端面向的環(huán)境不同、安全需求不同、安全機(jī)制不同等方面問(wèn)題,空間信息網(wǎng)將涉及到多個(gè)安全域。安全域是由在同一工作環(huán)境中、具有相同或相似的安全保護(hù)需求和保護(hù)策略、相互信任、相互關(guān)聯(lián)或相互作用的實(shí)體組成的網(wǎng)絡(luò)。對(duì)于每一個(gè)安全域而言,至少存在一個(gè)代理結(jié)點(diǎn)用來(lái)實(shí)現(xiàn)代理結(jié)點(diǎn)與域內(nèi)結(jié)點(diǎn)的安全關(guān)聯(lián)以及域內(nèi)結(jié)點(diǎn)間的安全關(guān)聯(lián)。同時(shí),代理結(jié)點(diǎn)也為安全域間或跨域結(jié)點(diǎn)間的安全提供支持。[0005]如何保證不同域之間的端到端安全是空間信息網(wǎng)安全的主要問(wèn)題之一,也是要實(shí)現(xiàn)異構(gòu)多域環(huán)境下核心安全任務(wù)之一。[0006]在2014年第九屆InternationalConferenceonBroadbandandWirelessComputing,CommuccationandApplication中,會(huì)議論文《ASecureEnd-t〇-EndMobileChatScheme》中提出了一種安全的移動(dòng)端到端傳輸方式。該傳輸方式通過(guò)密碼的身份認(rèn)證,為端到端之間提供相同的認(rèn)證,從而阻止密碼猜測(cè)攻擊以及未被檢測(cè)到的在線密碼猜測(cè)攻擊。這種方法可以保障不同安全域之間端到端傳輸?shù)陌踩裕侵会槍?duì)于移動(dòng)智能設(shè)備提出,適用于交互頻繁的端到端操作,不能直接應(yīng)用于空間信息網(wǎng),因?yàn)槠渫負(fù)浣Y(jié)構(gòu)具有高動(dòng)態(tài)性,端到端之間不適合頻繁交互。[0007]《InternationalJournalofSecurityandItsApplication》在2014年8月發(fā)表的〈〈End-to-EndAuthenticationProtocolsforPersonaI/PortableDevicesoverCognitiveRadioNetworks》一文針對(duì)端到端傳輸?shù)陌踩裕岢隽藘煞N基于本地認(rèn)證的協(xié)議,它使用本地信息認(rèn)證作為安全憑證,減少了端與端之間的交互,并且該協(xié)議可以整合進(jìn)現(xiàn)有的可擴(kuò)展協(xié)議中來(lái)。這種方法在端到端傳輸過(guò)程中交互動(dòng)作較少,滿足空間信息網(wǎng)拓?fù)浣Y(jié)構(gòu)高動(dòng)態(tài)性以及結(jié)點(diǎn)能力有限的特點(diǎn),但是該方法只關(guān)注個(gè)人便攜式設(shè)備以及在無(wú)線電網(wǎng)絡(luò)中的應(yīng)用,無(wú)法完成多個(gè)域間的安全協(xié)同,不適用于空間信息網(wǎng)中多安全域并存的狀態(tài)。[0008]2015年1月第12屆IBCAST的會(huì)議記錄《SecureEnd-to-EndSMSCommunicationoverGSMNetworks》一文提出了一種使用對(duì)稱(chēng)密鑰和身份認(rèn)證技術(shù)進(jìn)行加密和密鑰認(rèn)證的方式,它可以在信息傳輸中斷、泄漏以及被檢測(cè)的情況下保障端到端的安全性。這種方法在端到端傳輸過(guò)程中需要的交互動(dòng)作較少,同時(shí)延遲時(shí)間短,滿足空間信息網(wǎng)結(jié)點(diǎn)距離遠(yuǎn)以及拓?fù)浣Y(jié)構(gòu)高動(dòng)態(tài)性的特點(diǎn),但是該僅限于特定的網(wǎng)絡(luò)環(huán)境以及特定的網(wǎng)絡(luò)服務(wù),同時(shí)也未考慮空間信息網(wǎng)周期性運(yùn)動(dòng)的特點(diǎn)。【
發(fā)明內(nèi)容】[0009]本發(fā)明的目的在于克服上述現(xiàn)有技術(shù)的不足,提出一種空間信息網(wǎng)跨域端到端的密鑰交換方法,以滿足空間信息網(wǎng)的特點(diǎn),保證其各個(gè)安全域之間的交互以及密鑰交換的安全性。[0010]為實(shí)現(xiàn)上述目的,本發(fā)明采用的技術(shù)方案包括以下步驟:[0011](1)請(qǐng)求網(wǎng)絡(luò)端點(diǎn)Cl作為發(fā)起者計(jì)算它的交互式臨時(shí)公鑰Sl,并發(fā)送如下信息給目標(biāo)網(wǎng)絡(luò)端點(diǎn)C2:[0012]請(qǐng)求網(wǎng)絡(luò)端點(diǎn)Cl的標(biāo)識(shí)號(hào)IDci,[0013]空間信息網(wǎng)中的第一安全域代理Al的標(biāo)識(shí)號(hào)IDa1,[0014]目標(biāo)網(wǎng)絡(luò)端點(diǎn)C2的標(biāo)識(shí)號(hào)IDc2,[0015]空間信息網(wǎng)中的第二安全域代理A2的標(biāo)識(shí)號(hào)IDa2,[0016]請(qǐng)求網(wǎng)絡(luò)端點(diǎn)Cl的交互式臨時(shí)公鑰Sl,[0017]請(qǐng)求網(wǎng)絡(luò)端點(diǎn)Cl的密鑰更新周期集合{丹},[0018]請(qǐng)求網(wǎng)絡(luò)端點(diǎn)Cl的密鑰簽名SIGcidDci,IDai,IDc2,IDA2,Sl),[0019]空間信息網(wǎng)中的第一安全域代理Al對(duì)請(qǐng)求網(wǎng)絡(luò)端點(diǎn)Cl產(chǎn)生的臨時(shí)證書(shū)CAA1{C1};[0020](2)目標(biāo)網(wǎng)絡(luò)端點(diǎn)C2作為響應(yīng)者,接收請(qǐng)求網(wǎng)絡(luò)端點(diǎn)Cl發(fā)送的信息,并通過(guò)第一安全域代理Al對(duì)請(qǐng)求網(wǎng)絡(luò)端點(diǎn)Cl產(chǎn)生的臨時(shí)證書(shū)CAa1{C1}驗(yàn)證簽名的有效性,驗(yàn)證通過(guò)后,執(zhí)行步驟(3);[0021](3)目標(biāo)網(wǎng)絡(luò)端點(diǎn)C2計(jì)算它的交互式臨時(shí)公鑰S2,并返回如下信息給請(qǐng)求網(wǎng)絡(luò)端點(diǎn)Cl:[0022]發(fā)送目標(biāo)網(wǎng)絡(luò)端點(diǎn)C2的標(biāo)識(shí)號(hào)IDc2,[0023]空間信息網(wǎng)中的第二安全域代理A2的標(biāo)識(shí)號(hào)IDa2,[0024I請(qǐng)求網(wǎng)絡(luò)端點(diǎn)C1的標(biāo)識(shí)號(hào)IDci,[0025]空間信息網(wǎng)中的第一安全域代理Al的標(biāo)識(shí)號(hào)IDa1,[0026]目標(biāo)網(wǎng)絡(luò)端點(diǎn)C2的臨時(shí)公鑰S2,[0027]目標(biāo)網(wǎng)絡(luò)端點(diǎn)C2的周期P,[0028]目標(biāo)網(wǎng)絡(luò)端點(diǎn)C2的簽名SIGC2(IDC2,IDa2,IDc1,IDai,S2),[0029]空間信息網(wǎng)中的第二安全域代理A2對(duì)目標(biāo)網(wǎng)絡(luò)端點(diǎn)C2產(chǎn)生的臨時(shí)證書(shū)CAa2{C2};[0030](4)請(qǐng)求網(wǎng)絡(luò)端點(diǎn)Cl收到目標(biāo)網(wǎng)絡(luò)端點(diǎn)C2返回的信息后,根據(jù)第一安全域代理Al對(duì)請(qǐng)求網(wǎng)絡(luò)端點(diǎn)C2產(chǎn)生的臨時(shí)證書(shū)CAA2{C2}驗(yàn)證簽名的有效性,完成交互式臨時(shí)公鑰對(duì)(SI,S2)的交換,驗(yàn)證通過(guò)后,執(zhí)行步驟(5);[0031](5)請(qǐng)求網(wǎng)絡(luò)端點(diǎn)Cl和目標(biāo)網(wǎng)絡(luò)端點(diǎn)C2在得到交互式臨時(shí)公鑰對(duì)(SI,S2)后,終止交互過(guò)程,并分別對(duì)自身的非交互式會(huì)話密鑰Kl,K2進(jìn)行多個(gè)周期的計(jì)算;[0032](6)在計(jì)算完最后一個(gè)周期的非交互式會(huì)話密鑰對(duì)后,返回步驟(1),協(xié)商出新的交互式臨時(shí)公鑰對(duì),并進(jìn)行下一輪周期性的非交互式會(huì)話密鑰對(duì)的更新。[0033]本發(fā)明具有如下優(yōu)點(diǎn):[0034]1)本發(fā)明使用公鑰密碼體制,在已有的安全基礎(chǔ)上僅涉及空間信息網(wǎng)中的安全域代理和網(wǎng)絡(luò)端點(diǎn)的公私鑰對(duì),不涉及安全域內(nèi)的安全體制,可以滿足空間信息網(wǎng)異構(gòu)多安全域并存的特點(diǎn);[0035]2)本發(fā)明僅需要一次端到端的協(xié)議交互,并且該交互過(guò)程無(wú)安全域代理參與,可滿足空間信息網(wǎng)拓?fù)浣Y(jié)構(gòu)高動(dòng)態(tài)性以及空間結(jié)點(diǎn)能力有限的特點(diǎn);[0036]3)本發(fā)明支持周期性的多個(gè)會(huì)話密鑰的非交互式協(xié)商,適用于空間信息網(wǎng)節(jié)點(diǎn)距離遠(yuǎn)的特點(diǎn);[0037]4)本發(fā)明的非交互式會(huì)話密鑰交換屬于周期性的自動(dòng)完成密鑰更新,適用于空間信息網(wǎng)拓?fù)浣Y(jié)構(gòu)周期性的特點(diǎn)。[0038]綜上,本發(fā)明在安全域代當(dāng)前第1頁(yè)1 2 3 4