一种基于SDN的抗量子卫星网络接入认证方法

一种基于sdn的抗量子卫星网络接入认证方法
技术领域
1.本发明属于信息网络安全领域，具体涉及一种基于sdn的抗量子卫星网络接入认证方法。


背景技术：

2.天地一体化网络是利用空间、陆地、海洋中的各种传感器获取的感知信息，为各类应用需求提供高效服务的宽带大容量智能化综合网络，是保障国民经济重大基础设施。天地一体化网络区别于传统网络，存在信道暴露、拓扑多变、资源受限、链路间歇连接、终端数量多、终端种类多、硬件资源有限、卫星网络之间具有各种通信、认证协议导致网络更新换代复杂等问题，面临着网络攻击、数据窃取等众多威胁和挑战。因此，针对卫星网络安全，首要问题就是设计用户终端接入认证机制。为了更高效地实现安全接入认证，本发明将软件定义网络应用到天地一体化网络中，从而产生了一种新型的网络架构：软件定义卫星网络(software-defined satellite network,sdsn)。sdsn是一种支持动态、弹性管理的新型网络体系结构，是实现高带宽、动态网络的理想架构。 sdsn将网络的控制平面与数据平面相分离，抽象了数据平面的网络资源，并支持通过统一的接口对网络直接进行编程控制。
3.sdsn相较于传统的卫星网络架构能够有效的减少星地传输时延、充分利用网络资源，降低网络的复杂度和成本。在本方法中高轨卫星充当服务器的作用， ue的注册通过与高轨卫星(geotationary orbit，geo)的信息交互来完成而接入认证则通过与低轨卫星(low earth orbit，leo)交互完成。与此同时，在传统的天地一体化网络中，终端接入认证时使用的密码体制都是基于大整数分解和椭圆曲线上离散对数问题的困难性。但是shor与grover算法的提出以及量子计算机的出现，在理论和实践上都证明了传统密钥体制rsa、elganal等不再安全。传统密码体制无法抵御量子计算的攻击，存在着极大的安全隐患。因此，亟需一种基于sdn的抗量子卫星网络接入认证方法，在保证安全性的前提下，能够尽量减少节点计算开销、实体交互次数，并能在抵御量子攻击的前提下，保障 leo接入卫星能够为更多的ue提供服务。


技术实现要素：

4.针对现有技术存在的不足，本发明提出了一种基于sdn的抗量子卫星网络接入认证方法，该方法包括：
5.s1：初始化卫星网络中的高轨卫星geo系统参数并广播系统参数；
6.s2：终端设备ue向geo发送注册信息；其中，注册信息包括：身份id
ue
、用户公钥h
ue
、登录验证la
ue
、ue的注册时间戳t
rue
和随机数λ；
7.s3：用户将身份id
ue
和密码lp
ue
输入到ue中进行验证，若验证失败，则用户登录终端失败；若验证成功，则ue生成接入认证请求消息，并将该消息发送给低轨卫星leo；其中，接入认证请求信息包括：ue的登录时间戳t
ue
、ue的匿名身份sid
ue
、ue当前时间戳t1、id
ue
的加密信息a1、随机多项式β
ue
的加密信息a2、用户侧会话密钥公开参数b
ue
以及校验信息z1；
8.s4：leo对接入认证请求消息的ue当前时间戳t1进行验证，若验证失败，则接入失败；若验证成功，则验证ue的匿名身份sid
ue
合法性，若验证失败，则接入失败，若验证成功，则leo生成接入认证请求响应消息并将接入认证请求响应消息发送给ue；其中，接入认证请求响应消息包括id
ue
的加密信息a3、卫星侧会话密钥公开参数b
leo
以及校验信息z2；
9.s5：ue验证leo身份的合法性，若验证失败，则接入失败；若验证成功， ue计算会话密钥sk'，根据会话密钥sk'计算校验信息z2'，验证校验信息z2'与校验信息z2是否相等，若不相等，则接入失败，若相等，完成接入认证。
10.优选的，终端设备ue向geo发送注册信息后，geo根据私钥f
geo
和ue 的注册时间戳t
rue
生成ue身份证明poi，geo保存数据对{id
ue
，poi}并将poi 发送给ue。
11.优选的，用户将身份id
ue
和密码lp
ue
输入到ue中进行验证的过程包括：ue 根据身份id
ue
、密码lp
ue
和随机数λ计算登录验证la
ue
'，判断la
ue
'是否与登录验证la
ue
相等，若相等，则验证成功，允许ue用户登录；若不相等，验证失败，则拒绝非法ue登录；计算登录验证la
ue
'的公式为：
12.la
ue
'＝h(id
ue
||lp
ue
||λ)
13.其中，la
ue
'表示ue计算的登录验证，h()表示单项哈希函数，||表示字符拼接。
14.优选的，ue生成接入认证请求消息的过程包括：记录ue的登录时间戳t
ue
；从格空间ξr中选取随机多项式β
ue
；根据身份证明poi、时间戳t
ue
、随机多项式β
ue
和用户身份id
ue
计算ue的匿名身份sid
ue
；基于格密码加密算法分别对id
ue
和β
ue
进行数据加密得到加密信息a1和a2；记录ue当前时间戳t1；从格空间ξr中选取随机多项式s
ue
和e
ue
，根据h
ue
、s
ue
和e
ue
计算用户侧会话密钥公开参数b
ue
；根据身份证明poi、用户身份id
ue
、随机多项式β
ue
、ue当前时间戳t1和用户侧会话密钥公开参数b
ue
计算校验信息z1。
15.优选的，leo对接入认证请求消息的ue当前时间戳t1进行验证的过程包括：记录ue的接入请求时间戳t2；验证是否满足t
2-t1＜＝δt，若不满足，则验证失败；如满足，则验证成功；其中，δt表示系统允许的最大时延。
16.优选的，验证ue的匿名身份sid
ue
合法性的过程包括：leo通过自己的私钥f
leo
解密ue加密的加密信息a1和a2，根据解密信息得到id
ue
'和β
ue
'；根据id
ue
' 和β
ue
'计算校验信息sid
ue
'和z1'，判断sid
ue
'和z1'是否分别与sid
ue
和z1相等，若相等，则leo认为ue匿名身份合法，否则，认为不合法。
17.优选的，leo生成接入认证请求响应消息的过程包括：使用用户公钥h
ue
对id
ue
进行加密得到id
ue
的加密信息a3；从格空间中选取两个随机多项式e
leo
和s
leo
，根据h
ue
、e
leo
和s
leo
计算卫星侧会话密钥公开参数b
leo
；根据用户侧会话密钥公开参数b
ue
计算会话密钥sk；根据id
ue
、sid
ue
、a3以及sk计算接入认证请求响应消息验证信息z2。
18.进一步的，计算会话密钥sk的公式为：
19.sharedg＝s
leo
·bue
modq
20.其中，sharedg表示加噪会话密钥，s
leo
表示随机多项式，b
ue
表示用户侧会话密钥公开参数，q表示geo广播系统参数。
21.优选的，ue验证leo身份的合法性的过程为：ue使用自身的密钥f
ue
解密接入认证请求响应信息中的加密信息a3，得到id
ue
'；验证id
ue
'与身份id
ue
是否相等，若不相等，则认为不合法，若相等，则认为合法。
22.本发明的有益效果为：本发明基于sdsn架构，使用高轨注册、低轨接入方式进行接入认证，相较于传统低轨卫星接入能够有效减少星地间交互次数，进而降低传输时延，提高网络资源的利用率；在接入认证过程中，本发明基于容错学习问题进行会话密钥的协商，该方法可以在一次交互过程中完成密钥协商并且能够抵御量子计算机的攻击，即使主密钥遭到破坏，该会话密钥还是能够保障会话的前后向安全；同时本发明使用基于格密码加密体制能够保障接入认证的安全性，相较于传统的基于大整数分解和椭圆曲线上离散对数难题的加密体制，格密码加密体制计算效率更高、资源消耗更小同时能够抵御量子计算机的攻击。因此本发明适合信道暴露、资源有效、拓扑多变、安全要求高的天地一体化网络环境。本发明的接入认证方法运用了格密码加密体制，能够抵御量子攻击；同时，本发明能降低卫星的存储和计算开销，控制接入认证时延，保证用户能够快速的接入卫星并提高系统的安全性。
附图说明
23.图1为本发明中一种基于sdn的抗量子卫星网络接入认证方法流程图；
24.图2为本发明中ue注册和接入卫星认证流程图；
25.图3为本发明中基于sdn的ue接入卫星认证场景图；
26.图4为本发明中sdn架构图。
具体实施方式
27.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
28.本发明提出了一种基于sdn的抗量子卫星网络接入认证方法，如图1所示，所述方法包括：
29.s1：初始化卫星网络中的高轨卫星geo系统参数并广播系统参数；
30.s2：终端设备ue向geo发送注册信息；其中，注册信息包括：身份id
ue
、用户公钥h
ue
、登录验证la
ue
、ue的注册时间戳t
rue
和随机数λ；
31.s3：用户将身份id
ue
和密码lp
ue
输入到ue中进行验证，若验证失败，则用户登录终端失败；若验证成功，则ue生成接入认证请求消息，并将该消息发送给低轨卫星leo；其中，接入认证请求信息包括：ue的登录时间戳t
ue
、ue的匿名身份sid
ue
、ue当前时间戳t1、id
ue
的加密信息a1、随机多项式β
ue
的加密信息a2、用户侧会话密钥公开参数b
ue
以及校验信息z1；
32.s4：leo对接入认证请求消息的ue当前时间戳t1进行验证，若验证失败，则接入失败；若验证成功，则验证ue的匿名身份sid
ue
合法性，若验证失败，则接入失败，若验证成功，则leo生成接入认证请求响应消息并将接入认证请求响应消息发送给ue；其中，接入认证请求响应消息包括id
ue
的加密信息a3、卫星侧会话密钥公开参数b
leo
以及校验信息z2；
33.s5：ue验证leo身份的合法性，若验证失败，则接入失败；若验证成功， ue计算会话密钥sk'，根据会话密钥sk'计算校验信息z2'，验证校验信息z2'与校验信息z2是否相等，若不相等，则接入失败，若相等，完成接入认证。
34.基于sdn的ue接入卫星认证场景图如图3所示，图中高轨卫星作为接入认证过程中注册阶段的交互实体，低轨卫星作为认证阶段的交互实体。由于高轨卫星相对于地面静止，低轨卫星相对于地面高速移动，若选择低轨卫星作为注册对象，就需要频繁的进行终端实体的注册与接入认证，增加交互次数，增大传输时延且大大降低了网络资源的利用率；但是选择高轨注册、低轨认证的方式并结合sdn架构，则终端与卫星频繁接入认证的问题就能得到有效解决，在高轨卫星注册的信息会基于卫星轨迹的预测通过流表的形式下发给低轨卫星，大大提高了卫星网络的效率。
35.sdn架构如图4所示，架构包含应用层、控制层以及基础设施层。在本发明中应用层对应地面网络需求，控制层对应高轨卫星，基础设施层对应低轨卫星。
36.如图2所示，基于sdn的抗量子卫星网络接入认证方法具体流程如下：
37.初始化卫星网络中的高轨卫星geo系统参数并广播系统参数，系统参数包括p，q，n，h
geo
以及一系列单项哈希函数h()、h1()、h2()、h3()、h4()，其中 n为多项式环的纬度，p是一个一般为2或3的素数，q是用于取模的远远大于 p的正整数，例如，q为97；h
geo
是geo的公钥。
38.ue携带设备固有信息向geo进行注册，注册过程为：ue选择一个随机数λ并设置登录密码lp
ue
，f
ue
和h
ue
满足g
ue
是一个随机多项式。计算登录验证la
ue
＝h(id
ue
||lp
ue
||λ)是否合法并通过安全信道将ue 的注册信息通过h
geo
加密发送给geo，其中，注册信息包括身份id
ue
、用户公钥 h
ue
、登录验证la
ue
、ue的注册时间戳t
rue
和随机数λ即{id
ue
，h
ue
，la
ue
，t
rue
，λ}；geo接收到ue的注册消息之后利用私钥f
geo
和ue的注册时间戳t
rue
生成他人无法计算和伪造的ue身份证明poi＝h1(id
ue
||t
rue
||f
geo
)，geo存储ue信息表{id
ue
，poi}并将poi发送ue；ue将{p、q、n、h()、la
ue
、poi、λ}存储至智能卡。
39.用户登录ue并将身份id
ue
和密码lp
ue
输入到ue中进行验证，验证过程为： ue根据身份id
ue
、密码lp
ue
和随机数λ计算登录验证la
ue
'，判断la
ue
'是否与登录验证la
ue
相等，若相等，则验证成功，允许ue用户登录；若不相等，验证失败，则拒绝非法ue登录；计算登录验证la
ue
'的公式为：
40.la
ue
'＝h(id
ue
||lp
ue
||λ)
41.其中，la
ue
'表示ue计算的登录验证，h()表示单项哈希函数，||表示字符拼接。
42.用户登录成功后，ue生成接入认证请求消息并将该消息发送给低轨卫星 leo；其中，接入认证请求信息包括：ue的登录时间戳t
ue
、ue的匿名身份sid
ue
、 ue当前时间戳t1、id
ue
的加密信息a1、随机多项式β
ue
的加密信息a2、用户侧会话密钥公开参数b
ue
以及校验信息z1。
43.ue生成接入认证请求消息的过程包括：
44.记录ue的登录时间戳t
ue
；从格空间ξr中选取随机多项式β
ue
；根据身份证明poi、时间戳t
ue
、随机多项式β
ue
和用户身份id
ue
计算ue的匿名身份sid
ue
，计算公式为：
45.sid
ue
＝h2(poi||id
ue
||β
ue
||t
ue
)
46.从格空间ξr中选取随机多项式α
ue
，基于格密码加密算法分别对id
ue
和β
ue
进行数据加密得到id
ue
的加密信息a1和随机多项式β
ue
的加密信息a2，加密公式为：
47.a1＝p
·hleo
·
α
ue
id
ue
48.a2＝a1·
id
ue
β
ue
49.从格空间ξr中选取随机多项式s
ue
和e
ue
，将s
ue
和e
ue
作为用户侧私有会话密钥参数和噪声参数；根据h
ue
、s
ue
和e
ue
计算用户侧会话密钥公开参数b
ue
，计算公式为：
50.b
ue
＝h
ue
·sue
e
ue
modq
51.记录ue当前时间戳即信息发送时间t1；根据身份证明poi、用户身份id
ue
、随机多项式β
ue
、ue当前时间戳t1和用户侧会话密钥公开参数b
ue
计算校验信息 z1，计算公式为：
52.z1＝h3(poi||id
ue
||β
ue
||t1||b
ue
)
53.leo接收接入认证请求消息并对接入认证请求消息的ue当前时间戳t1进行验证，验证的过程包括：
54.记录ue的接入请求时间戳t2；验证是否满足t
2-t1＜＝δt，其中，δt表示系统允许的最大时延；若不满足，则验证失败，leo拒绝ue的接入请求消息并向ue发送拒绝接入响应；如满足，则验证成功，之后leo验证ue的匿名身份sid
ue
合法性，验证过程包括：
55.leo通过自己的私钥f
leo
解密ue加密的加密信息a1和a2，根据解密信息得到id
ue
'和β
ue
'；leo基于id
ue
检索对应的身份证明poi，根据id
ue
'和β
ue
'计算校验信息sid
ue
'和z1'，计算z1'的公式为：
56.z1'＝h3(poi|||id
ue
'||β
ue
'||t1||b
ue
)
57.判断sid
ue
'和z1'是否分别与sid
ue
和z1相等，如果不相等，则认为ue匿名身份不合法，leo拒绝ue的接入请求消息并向ue发送拒绝接入响应；若相等，则leo认为ue匿名身份合法，表明ue发送的接入认证请求消息没有被篡改。
58.ue匿名身份合法后，leo生成接入认证请求响应消息并将接入认证请求响应消息发送给ue；其中，接入认证请求响应消息包括id
ue
的加密信息a3、卫星侧会话密钥公开参数b
leo
以及校验信息z2；leo生成接入认证请求响应消息的过程包括：
59.基于格密码加密体制，从格空间ξr中选取随机多项式α
leo
，leo使用用户公钥h
ue
对id
ue
进行加密得到id
ue
的加密信息a3，计算公式为：
60.a3＝p
·hue
·
α
leo
id
ue
61.从格空间中选取两个随机多项式e
leo
和s
leo
，其中e
leo
是噪声参数多项式，s
leo
是卫星侧私有会话密钥参数；根据h
ue
、e
leo
和s
leo
计算卫星侧会话密钥公开参数 b
leo
，计算公式为：
62.b
leo
＝h
ue
·sleo
e
leo
modq
63.leo根据用户侧会话密钥公开参数b
ue
计算会话密钥sk，计算公式为：
64.sharedg＝s
leo
·bue
modq＝s
leo
·
(h
ue
·sue
e
ue
)modq＝s
leo
·hue
·sue
s
leo
·eue
modq
65.其中，sharedg表示加噪会话密钥，sharedg通过降噪处理得到会话密钥sk。
66.leo根据id
ue
、sid
ue
、a3以及sk计算接入认证请求响应消息验证信息z2，计算公式为：
67.z2＝h4(id
ue
||sid
ue
||a3||sk)
68.ue接收认证请求响应消息并验证leo身份的合法性，验证leo身份的合法性的过程为：
69.ue使用自身的密钥f
ue
解密接入认证请求响应的信息a3，得到id
ue
'并验证与ue身份信息id
ue
是否相等，若不相等，则认为不合法，若相等，则认为合法；
70.验证身份合法之后，基于卫星侧公开密钥参数b
leo
结合用户侧私有密钥参数 s
ue
生
成会话密钥sk'，计算公式为：
71.sharedg'＝s
ue
·bleo
modq＝s
ue
·
(h
ue
·sleo
e
leo
)modq＝s
ue
·hue
·sleo
s
ue
·eleo
modq
72.sharedg'通过降噪处理得到sk'，然后根据话密钥sk'计算校验信息z2'：
73.z2'＝h4(id
ue
||sid
ue
||a3||sk')
74.验证校验信息z2'与校验信息z2是否相等，若不相等，则接入失败，若相等，会话密钥协商成功，即完成接入认证。
75.本发明基于sdsn架构，使用高轨注册、低轨接入方式进行接入认证，相较于传统低轨卫星接入能够有效减少星地间交互次数，进而降低传输时延，提高网络资源的利用率；在接入认证过程中，本发明基于容错学习问题进行会话密钥的协商，该方法可以在一次交互过程中完成密钥协商并且能够抵御量子计算机的攻击，即使主密钥遭到破坏，该会话密钥还是能够保障会话的前后向安全；同时本发明使用基于格密码加密体制能够保障接入认证的安全性，相较于传统的基于大整数分解和椭圆曲线上离散对数难题的加密体制，格密码加密体制计算效率更高、资源消耗更小同时能够抵御量子计算机的攻击。因此本发明适合信道暴露、资源有效、拓扑多变、安全要求高的天地一体化网络环境。本发明的接入认证方法运用了格密码加密体制，能够抵御量子攻击；同时，本发明能降低卫星的存储和计算开销，控制接入认证时延，保证用户能够快速的接入卫星并提高系统的安全性。
76.以上所举实施例，对本发明的目的、技术方案和优点进行了进一步的详细说明，所应理解的是，以上所举实施例仅为本发明的优选实施方式而已，并不用以限制本发明，凡在本发明的精神和原则之内对本发明所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。