一种面向空天信息网的异构网络端到端认证密钥交换方法

摘要

本发明公开了一种面向空天信息网的异构网络端到端认证密钥交换方法，包括依次进行的移动终端注册阶段、密钥建立请求阶段、端到端认证密钥交换阶段及口令更新阶段；本发明能够为分属两个不同信任域的移动终端在验证其身份合法性的基础上建立共同的会话密钥，从而实现的端到端的安全通信，本发明基于对称加密和哈希函数设计，没有用到计算耗时的公钥密码运算，因此完全适用于空天信息网中移动终端资源受限的应用需求，并且服务器计算代价小，不会由于移动终端的频繁请求造成拥塞，除此之外，本发明采用了“智能卡-口令”的双因素认证方式，具有更高的安全性，并且在公开信息中隐藏了移动终端的身份信息，实现了移动终端的身份匿名性。

说明书

【技术领域】

本发明的属于通信技术领域，具体涉及一种面向空天信息网的异构网络端到端认 证密钥交换方法。

【背景技术】

空天信息网(Space-SkyInformationNetwork)是一种将天基网络中的各类卫 星、空基网络中的各种飞行器以及陆基网络中的地面通信系统进行融合的一体化大容量信 息网络。空天信息网可以实现空天网络中各类实体的安全通信以及信息的快速获取、高速 传输以及安全处理。空天信息网以信息资源效益最大化为目的，具有覆盖范围大、抗毁性强 以及服务能力强的优势，因此在应急通信、空间数据传输、战场态势感知、网络空间信息战 等多个领域得到了广泛应用。

随着空天信息网的迅速发展，当前军用乃至民用的多种关键业务都依托于空天信 息网。但由于空天信息网的泛在性和开放性，使得空天信息网的信息安全问题日趋凸显。安 全问题已成为当前制约空天信息网发展的一个瓶颈问题。空天信息网中需要解决的安全问 题种类繁多，包括安全路由、终端安全接入、安全切换、数据安全传输、异构网络端到端安全 通信等。虽然对于上述安全问题在传统网络中已有大量研究成果，但天基网络和空基网络 具有节点动态性、传输距离远、链路时空变化尺度大等特点，使得传统的网络安全解决方案 不适用于空天信息网。

空天信息网最显著的特点之一是融合了多种异构网络。因此，如何将天基网络、空 基网络和陆基网络实现有效融合，保证异构网络中的两个移动终端实现安全的端到端安全 通信是当前空天信息网亟待解决的安全问题之一。空基网络和天基网络中的移动终端存在 节点能量有限、计算资源受限、传输时延高等不足，但由于通信信息的敏感性又需要具有强 安全的安全机制保证信息的机密性和完整性。当前，公开的研究成果中尚未发现针对空天 信息网设计的跨域端到端数据安全传输方案。如专利号为201310656160公开的“一种空天 信息网络漫游可信安全接入方法”，该方法针对空天信息网中移动终端漫游接入问题，旨在 解决终端接入的身份验证问题，并不适用于异构网络端到端安全通信的环境，并且该方法 采用计算复杂性较高的公钥密码体制，使得计算资源受限的移动终端无法承受该方案的计 算代价。

【发明内容】

本发明的目的在于克服上述不足，提供一种面向空天信息网的异构网络端到端认 证密钥交换方法，从而实现空天信息网中端到端的安全通信和数据传输。

为了达到上述目的，本发明包括依次进行的移动终端注册阶段、密钥建立请求阶 段、端到端认证密钥交换阶段及口令更新阶段；

所述移动终端注册阶段：当移动终端MN_i向其所属信任域的服务器S_i进行注册时， MN_i通过安全信道发送其口令以及身份信息给S_i；服务器S_i收到移动终端MN_i的注册信息后， 会利用其私钥K_i计算相应的秘密信息并将相应的信息写入智能卡SC_i并颁发该智能卡给移 动终端MN_i；

所述密钥建立请求阶段：当分属两个不同信任域的第一移动终端MN₁和第二移动 终端MN₂想要进行通信时，第一移动终端MN₁和第二移动终端MN₂分别向其所属信任域的第一 服务器S₁和第二服务器S₂发送通信请求，接受到通信请求后，第一服务器S₁和第二服务器S₂预留通道准备为第一移动终端MN₁和第二移动终端MN₂建立端到端会话密钥；

所述端到端认证密钥交换阶段：第一移动终端MN₁和第二移动终端MN₂分别将其智 能卡插入读卡器，并输入其口令及身份信息，之后智能卡进行相应的计算并分别向第一服 务器S₁和第二服务器S₂发送证明第一移动终端MN₁和第二移动终端MN₂合法身份的验证信 息；第一服务器S₁和第二服务器S₂分别验证第一移动终端MN₁和第二移动终端MN₂的身份验 证信息；如果通过验证，第一服务器S₁和第二服务器S₂将交换相应的密钥材料为第一移动终 端MN₁和第二移动终端MN₂建立会话密钥，并进一步分别发送相应的密钥建立材料给第一移 动终端MN₁和第二移动终端MN₂；第一移动终端MN₁和第二移动终端MN₂分别验证其服务器发 送的密钥材料的有效性，如果通过验证，则第一移动终端MN₁和第二移动终端MN₂分别计算产 生会话密钥；

所述口令更新阶段：当移动终端MN_i想要更新其口令信息时，将其所持有的智能卡 插入读卡器并输入其原口令、新口令以及身份信息，智能卡将通过更新储存的信息实现口 令更新的目的。

所述移动终端注册阶段包括以下步骤：

101、移动终端MN_i首先选择其低熵口令PW_i以及一个高熵随机数b_i，然后计算PW_i^*＝ h(PW_i||b_i)，其中h()是一个密码学单向哈希函数，最后，MN_i通过安全的信道发送消息 给所在域的服务器S_i；

102、当服务器S_i接收到移动终端MN_i的注册消息后，服务器S_i利用其 私钥K_i计算和此外，服务器S_i还选择移动终端 MN_i的伪身份并在其数据库中添加记录最后，服务器S_i生成一个智 能卡SC_i并且将数据N_i,h(g)写入智能卡，然后将智能卡SC_i通过安全信道发送给移 动终端MN_i；

103、接收到服务器S_i发送的智能卡SC_i，移动终端MN_i将随机数b_i写入智能卡。

所述端到端认证密钥交换阶段包括以下步骤：

移动终端MN₁执行以下步骤，

201、第一移动终端MN₁将所持第一智能卡SC₁插入读卡器，并输入其真实身份以及口令PW₁；

202、第一智能卡SC₁利用储存的信息计算PW₁^*＝h(PW₁||b₁)、 )以及临时加密密钥k₁＝h(V₁||T₁)，其中T₁是系统当前的时戳；

203、第一智能卡SC₁利用密钥k₁加密消息并得到密文C₁，其中R₁是 随机选择的高熵随机数；

204、第一智能卡SC₁发送消息给第一服务器S₁；

于此同时，移动终端MN₂执行以下步骤：

205、第二移动终端MN₂将所持第二智能卡SC₂插入读卡器，并输入其真实身份以及口令PW₂；

206、第二智能卡SC₂利用储存的信息计算PW₂^*＝h(PW₂||b₂)、 以及临时加密密钥k₂＝h(V₂||T₂)，其中T₂是系统当前的时戳；

207、第二智能卡SC₂利用密钥k₂加密消息并得到密文C₂，其中R₂是 随机选择的高熵随机数；

208、第二智能卡SC₂发送消息给第二服务器S₂；

第一服务器S₁在T₁^*时刻接收到消息后，执行以下步骤：

209、第一服务器S₁验证T₁^*-T₁是否在允许的时延ΔT之内；如果是则执行下一步， 否则结束本次会话；

210、第一服务器S₁从其数据库记录中根据查找

211、第一服务器S₁计算以及临时密钥k₁＝h(V₁||T₁)；

212、第一服务器S₁利用解密密钥k₁解密密文C₁；

213、第一服务器S₁验证解密得到的和T₁是否与所接收消息中的相应消息 一致；如果一致则执行下一步，否则结束本次会话；

214、第一服务器S₁利用其与第二服务器S₂共享的对称密钥K₁₂加密消息 得到密文C₃，其中T₃是系统当前的时戳；

215、第一服务器S₁发送消息(S₁,C₃,T₃)给第二服务器S₂；

第二服务器S₂在T₂^*时刻接收到消息后，执行以下步骤：

216、第二服务器S₂验证T₂^*-T₂是否在允许的时延ΔT之内；如果是则执行下一步， 否则结束本次会话；

217、第二服务器S₂从其数据库记录中根据查找

218、第二服务器S₂计算以及临时解密密钥k₂＝h(V₂||T₂)；

219、第二服务器S₂利用解密密钥k₂解密密文C₂；

220、第二服务器S₂验证解密得到的和T₂是否与所接收消息中的相应消息 一致；如果一致则执行下一步，否则结束本次会话；

221、第二服务器S₂利用其与第一服务器S₁共享的对称密钥K₁₂加密消息 得到密文C₄，其中T₄是系统当前的时戳；

222、第二服务器S₂发送消息(S₂,C₄,T₄)给第一服务器S₁；

第一服务器S₁在T₄^*时刻接收到消息(S₂,C₄,T₄)后，执行以下步骤：

223、第一服务器S₁验证T₄^*-T₄是否在允许的时延ΔT之内；如果是则执行下一步， 否则结束本次会话；

224、第一服务器S₁利用其与第二服务器S₂共享的对称密钥K₁₂解密消息C₄；

225、第一服务器S₁验证解密得到的T₄及相应的身份信息是否与所接收消息中的相 应消息一致；如果一致则执行下一步，否则结束本次会话；；

226、第一服务器S₁利用临时密钥k₁加密消息得到 密文C₅，其中T₅是系统当前的时戳；

227、第一服务器S₁发送消息(S₁,C₅,T₅)给第一移动终端MN₁；

与此同时，服务器S₂在T₃^*时刻接收到消息(S₂,C₃,T₃)后，执行以下步骤：

228、第二服务器S₂验证T₃^*-T₃是否在允许的时延ΔT之内；如果是则执行下一步， 否则结束本次会话；

229、第二服务器S₂利用其与服务器S₁共享的对称密钥K₁₂解密消息C₃；

230、第二服务器S₂验证解密得到的T₃及相应的身份信息是否与所接收消息中的相 应消息一致；如果一致则执行下一步，否则结束本次会话；

231、第二服务器S₂利用临时密钥k₂加密消息得到 密文C₆，其中T₆是系统当前的时戳；

232、第二服务器S₂发送消息(S₂,C₆,T₆)给第二移动终端MN₂；

第一当移动终端MN₁在T₅^*时刻接收到消息(S₁,C₅,T₅)后执行以下步骤：

233、第一移动终端MN₁验证T₅^*-T₅是否在允许的时延ΔT之内；如果是则执行下一 步，否则结束本次会话；

234、第一移动终端MN₁利用临时密钥k₁解密密文C₅；

235、第一移动终端MN₁验证解密得到的T₅及相应的身份信息是否与所接收消息中 的相应消息一致；如果一致则执行下一步，否则结束本次会话；

236、第一移动终端MN₁计算会话密钥并结束 本次会话；

与此同时，当第二移动终端MN₂在T₆^*时刻接收到消息(S₂,C₆,T₆)后执行以下步骤：

237、第二移动终端MN₂验证T₆^*-T₆是否在允许的时延ΔT之内；如果是则执行下一 步，否则结束本次会话；

238、第二移动终端MN₂利用临时密钥k₂解密密文C₆；

239、第二移动终端MN₂验证解密得到的T₆及相应的身份信息是否与所接收消息中 的相应消息一致；如果一致则执行下一步，否则结束本次会话；

240、第二移动终端MN₂计算会话密钥并结束 本次会话。

所述口令更新阶段包括以下步骤：

301、移动终端MN_i将其智能卡SC_i插入读卡器；

302、移动终端MN_i将身份原口令PW_i以及新口令PW_i'输入智能卡SC_i；

303、智能卡SC_i计算${N_i}^{\prime }=N_i\oplus h\left({\mathrm{ID}}_{{\mathrm{MN}}_i}\right|\left|h\left({\mathrm{PW}}_i\right|\left|b_i\right)\right)\oplus h\left({\mathrm{ID}}_{{\mathrm{MN}}_i}\right|\left|h\left({{\mathrm{PW}}_i}^{\prime }\right|\left|b_i\right)\right),$并用 N_i'替换原有的N_i。

与现有技术相比，本发明能够为分属两个不同信任域的移动终端在验证其身份合 法性的基础上建立共同的会话密钥，从而实现的端到端的安全通信，本发明基于对称加密 和哈希函数设计，没有用到计算耗时的公钥密码运算，因此完全适用于空天信息网中移动 终端资源受限的应用需求，并且服务器计算代价小，不会由于移动终端的频繁请求造成拥 塞，除此之外，本发明采用了“智能卡-口令”的双因素认证方式，具有更高的安全性，并且在 公开信息中隐藏了移动终端的身份信息，实现了移动终端的身份匿名性。

【附图说明】

图1为本发明移动终端注册阶段流程示意图；

图2为本发明端到端认证密钥交换阶段流程示意图；

图3为本发明移动终端口令更新阶段流程示意图。

【具体实施方式】

下面结合实施例和附图对本发明做进一步说明。

本发明包括依次进行的移动终端注册阶段、密钥建立请求阶段、端到端认证密钥 交换阶段及口令更新阶段；

移动终端注册阶段：当移动终端MN_i向其所属信任域的服务器S_i进行注册时，MN_i通 过安全信道发送其口令以及身份信息给S_i；服务器S_i收到移动终端MN_i的注册信息后，会利 用其私钥K_i计算相应的秘密信息并将相应的信息写入智能卡SC_i并颁发该智能卡给移动终 端MN_i；

密钥建立请求阶段：当分属两个不同信任域的第一移动终端MN₁和第二移动终端 MN₂想要进行通信时，第一移动终端MN₁和第二移动终端MN₂分别向其所属信任域的第一服务 器S₁和第二服务器S₂发送通信请求，接受到通信请求后，第一服务器S₁和第二服务器S₂预留 通道准备为第一移动终端MN₁和第二移动终端MN₂建立端到端会话密钥；

端到端认证密钥交换阶段：第一移动终端MN₁和第二移动终端MN₂分别将其智能卡 插入读卡器，并输入其口令及身份信息，之后智能卡进行相应的计算并分别向第一服务器 S₁和第二服务器S₂发送证明第一移动终端MN₁和第二移动终端MN₂合法身份的验证信息；第 一服务器S₁和第二服务器S₂分别验证第一移动终端MN₁和第二移动终端MN₂的身份验证信 息；如果通过验证，第一服务器S₁和第二服务器S₂将交换相应的密钥材料为第一移动终端 MN₁和第二移动终端MN₂建立会话密钥，并进一步分别发送相应的密钥建立材料给第一移动 终端MN₁和第二移动终端MN₂；第一移动终端MN₁和第二移动终端MN₂分别验证其服务器发送 的密钥材料的有效性，如果通过验证，则第一移动终端MN₁和第二移动终端MN₂分别计算产生 会话密钥；

口令更新阶段：当移动终端MN_i想要更新其口令信息时，将其所持有的智能卡插入 读卡器并输入其原口令、新口令以及身份信息，智能卡将通过更新储存的信息实现口令更 新的目的。

参见图1，移动终端注册阶段包括以下步骤：

101、移动终端MN_i首先选择其低熵口令PW_i以及一个高熵随机数b_i，然后计算PW_i^*＝ h(PW_i||b_i)，其中h()是一个密码学单向哈希函数，最后，MN_i通过安全的信道发送消息 给所在域的服务器S_i；

102、当服务器S_i接收到移动终端MN_i的注册消息后，服务器S_i利用其 私钥K_i计算和)；此外，服务器S_i还选择移动终端 MN_i的伪身份并在其数据库中添加记录最后，服务器S_i生成一个智 能卡SC_i并且将数据N_i,h(g)写入智能卡，然后将智能卡SC_i通过安全信道发送给移 动终端MN_i；

103、接收到服务器S_i发送的智能卡SC_i，移动终端MN_i将随机数b_i写入智能卡。

参见图2，端到端认证密钥交换阶段包括以下步骤：

移动终端MN₁执行以下步骤，

201、第一移动终端MN₁将所持第一智能卡SC₁插入读卡器，并输入其真实身份以及口令PW₁；

202、第一智能卡SC₁利用储存的信息计算PW₁^*＝h(PW₁||b₁)、 以及临时加密密钥k₁＝h(V₁||T₁)，其中T₁是系统当前的时戳；

203、第一智能卡SC₁利用密钥k₁加密消息并得到密文C₁，其中R₁是 随机选择的高熵随机数；

204、第一智能卡SC₁发送消息给第一服务器S₁；

于此同时，移动终端MN₂执行以下步骤：

205、第二移动终端MN₂将所持第二智能卡SC₂插入读卡器，并输入其真实身份以及口令PW₂；

206、第二智能卡SC₂利用储存的信息计算PW₂^*＝h(PW₂||b₂)、 以及临时加密密钥k₂＝h(V₂||T₂)，其中T₂是系统当前的时戳；

207、第二智能卡SC₂利用密钥k₂加密消息并得到密文C₂，其中R₂是 随机选择的高熵随机数；

208、第二智能卡SC₂发送消息给第二服务器S₂；

第一服务器S₁在T₁^*时刻接收到消息后，执行以下步骤：

209、第一服务器S₁验证T₁^*-T₁是否在允许的时延ΔT之内；如果是则执行下一步， 否则结束本次会话；

210、第一服务器S₁从其数据库记录中根据查找

211、第一服务器S₁计算以及临时密钥k₁＝h(V₁||T₁)；

212、第一服务器S₁利用解密密钥k₁解密密文C₁；

213、第一服务器S₁验证解密得到的和T₁是否与所接收消息中的相应消息 一致；如果一致则执行下一步，否则结束本次会话；

214、第一服务器S₁利用其与第二服务器S₂共享的对称密钥K₁₂加密消息 得到密文C₃，其中T₃是系统当前的时戳；

215、第一服务器S₁发送消息(S₁,C₃,T₃)给第二服务器S₂；

第二服务器S₂在T₂^*时刻接收到消息后，执行以下步骤：

216、第二服务器S₂验证T₂^*-T₂是否在允许的时延ΔT之内；如果是则执行下一步， 否则结束本次会话；

217、第二服务器S₂从其数据库记录中根据查找

218、第二服务器S₂计算以及临时解密密钥k₂＝h(V₂||T₂)；

219、第二服务器S₂利用解密密钥k₂解密密文C₂；

220、第二服务器S₂验证解密得到的和T₂是否与所接收消息中的相应消息 一致；如果一致则执行下一步，否则结束本次会话；

221、第二服务器S₂利用其与第一服务器S₁共享的对称密钥K₁₂加密消息 得到密文C₄，其中T₄是系统当前的时戳；

222、第二服务器S₂发送消息(S₂,C₄,T₄)给第一服务器S₁；

第一服务器S₁在T₄^*时刻接收到消息(S₂,C₄,T₄)后，执行以下步骤：

223、第一服务器S₁验证T₄^*-T₄是否在允许的时延ΔT之内；如果是则执行下一步， 否则结束本次会话；

224、第一服务器S₁利用其与第二服务器S₂共享的对称密钥K₁₂解密消息C₄；

225、第一服务器S₁验证解密得到的T₄及相应的身份信息是否与所接收消息中的相 应消息一致；如果一致则执行下一步，否则结束本次会话；；

226、第一服务器S₁利用临时密钥k₁加密消息得到 密文C₅，其中T₅是系统当前的时戳；

227、第一服务器S₁发送消息(S₁,C₅,T₅)给第一移动终端MN₁；

与此同时，服务器S₂在T₃^*时刻接收到消息(S₂,C₃,T₃)后，执行以下步骤：

228、第二服务器S₂验证T₃^*-T₃是否在允许的时延ΔT之内；如果是则执行下一步， 否则结束本次会话；

229、第二服务器S₂利用其与服务器S₁共享的对称密钥K₁₂解密消息C₃；

230、第二服务器S₂验证解密得到的T₃及相应的身份信息是否与所接收消息中的相 应消息一致；如果一致则执行下一步，否则结束本次会话；

231、第二服务器S₂利用临时密钥k₂加密消息得到 密文C₆，其中T₆是系统当前的时戳；

232、第二服务器S₂发送消息(S₂,C₆,T₆)给第二移动终端MN₂；

第一当移动终端MN₁在T₅^*时刻接收到消息(S₁,C₅,T₅)后执行以下步骤：

233、第一移动终端MN₁验证T₅^*-T₅是否在允许的时延ΔT之内；如果是则执行下一 步，否则结束本次会话；

234、第一移动终端MN₁利用临时密钥k₁解密密文C₅；

235、第一移动终端MN₁验证解密得到的T₅及相应的身份信息是否与所接收消息中 的相应消息一致；如果一致则执行下一步，否则结束本次会话；

236、第一移动终端MN₁计算会话密钥并结束 本次会话；

与此同时，当第二移动终端MN₂在T₆^*时刻接收到消息(S₂,C₆,T₆)后执行以下步骤：

237、第二移动终端MN₂验证T₆^*-T₆是否在允许的时延ΔT之内；如果是则执行下一 步，否则结束本次会话；

238、第二移动终端MN₂利用临时密钥k₂解密密文C₆；

239、第二移动终端MN₂验证解密得到的T₆及相应的身份信息是否与所接收消息中 的相应消息一致；如果一致则执行下一步，否则结束本次会话；

240、第二移动终端MN₂计算会话密钥并结束 本次会话。

参见图3，口令更新阶段包括以下步骤：

301、移动终端MN_i将其智能卡SC_i插入读卡器；

302、移动终端MN_i将身份原口令PW_i以及新口令PW_i'输入智能卡SC_i；

303、智能卡SC_i计算${N_i}^{\prime }=N_i\oplus h\left({\mathrm{ID}}_{{\mathrm{MN}}_i}\right|\left|h\left({\mathrm{PW}}_i\right|\left|b_i\right)\right)\oplus h\left({\mathrm{ID}}_{{\mathrm{MN}}_i}\right|\left|h\left({{\mathrm{PW}}_i}^{\prime }\right|\left|b_i\right)\right),$并用 N_i'替换原有的N_i。

上述方法公开的功能如果以软件功能单元的形式实现并作为独立的产品销售或 使用时，可以存储在一个计算设备可读取存储介质中。基于这样的理解，本发明对现有技术 做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该软件产品存储 在一个存储介质中，包括若干指令用以使得一台计算设备(可以是个人计算机，服务器，移 动计算设备或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述 的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器 (RAM，RandomAccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。