空间信息网络中域间信任建立及多级安全关联方法

摘要

本发明公开了一种空间信息网络中域间信任建立及多级安全关联方法，主要解决现有技术无法独立提供域间动态信任管理和支持多域多安全级的服务协同的问题。其技术方案是：动态计算不同安全域之间总体信任值和不同安全域内交互节点间的信任值；跨域交互节点根据信任值的变化动态建立不同等级的安全关联，并根据安全关联等级的变化动态提供不同安全等级的服务。本发明具有动态性和提供多域的多级安全关联服务的特点，能够满足空间信息网络环境多安全域间动态信任管理和不同信任等级、不同应用场景下不同的安全需求，可用于空间信息网络中动态信任管理和多域安全协同操作。

说明书

技术领域

本发明属于网络安全技术领域，具体涉及域间信任建立及多域访问控制技术，可用 于空间信息网络中动态信任管理和多域安全协同操作。

背景技术

随着航天技术的飞速发展，我国的空间信息网也在不断地建设和完善。空间信息网 是由具有空间通信能力的航天器，如卫星、航天飞机等和地面站组成的网络信息系统， 它能够实现地面站与卫星、空间站之间的互联互通功能。它能把部署在不同轨道的、执 行不同任务的各类卫星、飞行器等空间站和地面系统联系起来。同时，航空器，如飞机、 热气球等也能够接入空间信息网。空间信息作为国家重要的空间信息基础设施，对于提 高我国的国际地位，促进经济社会的发展，保障国家安全等许多方面，具有十分重大特 殊的战略意义。

未来空间信息网将会遇到终端面向的环境不同、安全需求不同、安全机制不同等方 面问题，因此，空间信息网将涉及到多个安全域。安全域是由在同一工作环境中、具有 相同或相似的安全保护需求和保护策略、相互信任、相互关联或相互作用的实体组成的 网络。对于每一个安全域而言，至少存在一个代理结点用来实现代理结点与域内结点的 安全关联以及域内结点间的安全关联。同时，代理结点也为安全域间或跨域结点间的安 全提供支持。

由于空间信息网中空、天结点的暴露性及无线的通信方式，使通信信号易受到截获、 干扰、侵入等安全威胁，空、天结点甚至会受到攻击和摧毁，使得空间信息网络面临极 大的安全威胁，空间信息网络无法实现多个安全域间的协同操作。所面临的挑战具体如 下：

(1)由于空间信息网络具有高度的动态性，因此，如何在多个安全域之间建立实时 的信任关系，实现有效的动态信任管理，是多域安全协同操作的基础。

(2)由于不同域之间使用的安全机制存在一定的差异性，在不同信任等级下也有不 同的安全需求，因此，如何在异构环境下构造可扩展的接入认证机制，实现自适应的域 间安全关联，是多域安全协同操作的关键。

(3)由于未来空间信息网络在不同信任等级、不同应用场景下会有不同需求，空间 信息网络所涉及的服务也将呈现复杂性、多样性等特点。因此，如何将服务划为多个安 全级别，实现面向多域的多安全级的服务协同，是多域安全协同操作的保障。

对于域间信任建立及安全关联，《计算机研究与发展》2008年45卷6期《结合信 任机制的移动IPv6网络快速跨域认证方法》一文提出了一种结合信任机制的MIPv6网 络快速跨域认证方法，其中在预切换阶段考虑移动用户家乡域和接入域之间的信任关 系，通过移动用户和接入网络的一次交互实现用户和接入域的有效双向认证，并设计了 域间信任关系的动态维护机制。这种方法的信任关系只用于接入认证，并不允许多级安 全关联，在空间信息网络中不同用户间交互行为对于安全服务等级的需求是不同的。

2007年CASCON会议论文集中《ATrustBasedApproachforProtectingUserDatain SocialNetworks》一文中提出了一种多安全等级的社交数据访问控制策略，访问者的信 任值由其他用户确定，数据拥有者可以根据自己的信任值确定所拥有数据实体的信任 值，访问者根据自身信任值可以访问对应信任值或者低于信任值的数据实体。这种方法 只限于用户对数据实体访问控制并没有涉及用户之间的交互，并且没有涉及跨域的问 题，在空间信息网络中网络是由多个安全域组成的，这种策略并不能实现多域的多安全 级的服务协同。

2005年SACMAT会议论文集中《Adaptivetrustnegotiationandaccesscontrol 》一文中结合TrustBuilder和GAA-API两种已有的系统提出了一种自适应的信任协商和 访问控制的框架用以解决网络中认证和访问控制的问题。这种方法需要第三方API支持 和其他用户数据进行分析从而进行信任协商,会带来安全隐患。

发明内容

本发明的目的在于针对上述现有技术的不足，提出一种空间信息网络中域间信任建 立及多级安全关联方法，以满足空间信息网的特点，解决域间的动态信任管理问题， 并提供自适应的域间安全关联机制，实现多安全级的域间协同服务。

本发明的技术方案是这样实现的：

在信任评估基础上，将信任值划分为n个等级，以此为依据，将安全关联和安全服 务进一步划分为n个等级。信任值越高，所建立的安全关联等级越高，所提供的安全服 务等级也越高。当信任值的动态变化导致信任等级发生变化时，在新的等级下重新建立 安全关联，提供新等级下的安全服务。本发明重点关注如何根据实现动态信任管理，并 根据信任等级构建多安全级的安全关联，其技术方案包括如下：

(1)计算两个参与方所在安全域之间的总体信任值：

1a)第一参与方A计算自己所在安全域对第二参与方B所在安全域的总体信任值 T_AB：

对于两个安全域之间存在已经交互节点对的相邻域，则通过如下公式计算T_AB：

其中t_ai,bj表示两个安全域之间已经交互的节点对<a_i,b_j>的信任值，w_ai,bj表示时间 权重，其中s_now为当前时间戳，s_ai,bj为节点对交互时生 成的时间戳，tw为时间窗口，超过时间窗口的交互节点对不进行计算，

对于两个安全域之间不存在已经交互节点对的非相邻域，则通过信任传播方法计算 T_AB，即从第一参与方A所在的安全域经过其他安全域到第二参与方B所在的安全域的所 有信任路径的总体信任值中选择最大值作为T_AB的值；

1b)第二参与方B采用与步骤1a)相同的步骤，计算自己所在安全域对第一参与 方A所在安全域的总体信任值T_BA；

(2)计算两个参与方所在节点之间的信任值：

2a)第一参与方A计算自己所在节点a_i对第二参与方B所在节点b_j的信任值t_ai,bj：

t_ai,bj＝t_ai,as*T_AB*t_bs,bj＝T_AB*t_bs,bj，

其中t_ai,as为第一参与方A所在节点a_i对其所在安全域的代理节点a_s的信任值，其值为 1，t_bs,bj为第二参与方B所在安全域的代理节点b_s对节点b_j的信任值，

其中t_yk,bj表示已经于节点b_j交互的其他域外节点对节点b_j的信任值，w_yk,bj表示时间权 重；

2b)第二参与方B采用与步骤2a)相同的步骤，计算自己所在节点b_j对第一参与方 A所在节点a_i的信任值t_bj,ai；

(3)第一参与方A作为发起者向第二参与者B发送安全关联建立请求，协商本次安全 关联的等级和所需的参数及算法；

(4)第一参与方A作为发起者向第二参与方B发送认证请求，协商会话秘钥；

(5)第一参与方A作为发起者向第二参与方B发送建立请求，建立会话，如果第一参 与方A和第二参与方B之间的信任值变化导致信任等级变化时，则第一参与方A和第二参 与方B将以新的信任等级为基础，选择是否重新建立新等级下的安全关联，并为新等级 的服务提供安全支持。

本发明具有如下优点：

1)本发明由于动态计算域间、域内以及跨域实体之间的信任值，建立实时的信任 关系，可实现面向空间信息网络多域环境下的动态信任管理；

2)本发明由于根据信任等级构造了统一的接入认证框架，可实现面向空间信息网 络异构环境下可扩展的多域安全关联；

3)本发明由于根据信任等级在已构建的安全关联基础上提供不同安全等级的服务， 可实现面向空间信息网络多域环境下多安全级的服务协同。

附图说明

图1是本发明使用的安全关联与服务关系图；

图2是本发明的实现流程图；

图3是本发明中相邻域间的信任计算模型图；

图4是本发明中非相邻域间的信任计算模型图；

图5是本发明中端到端节点间的信任计算模型图；

图6是本发明中的安全关联建立子流程图；

图7是本发明中的认证子流程图；

图8是本发明中的会话建立子流程图。

具体实施方式

下面结合附图，对本发明作进一步详细的描述。

前提假设

本发明提供了域间的动态信任管理，根据不同的信任值提供自适应的域间安全关联， 并根据不同的安全关联等级提供不同安全等级的服务，所以需要将信任值划分为n个等 级，并以此为依据将安全关联和安全服务也划分为n个等级，如图1所示。信任值越高， 所建立的安全关联等级越高，所提供的安全服务等级也越高。当信任值的动态变化导致 信任等级发生变化时，在新的等级下重新建立安全关联，提供新等级下的安全服务。

对于任意安全域，存在至少一个代理Agent和多个终端Client。证书授权中心CA， 为多个安全域的Agent颁发证书。每个Agent均有一个公私钥对，并以此为域内Client 的公私钥生成临时证书。

参照图2，本发明的实现包括信任计算、安全关联建立、认证和会话建立四大部分， 其详细描述如下：

一.信任计算

步骤1、计算两个参与方所在安全域之间的总体信任值。

第一参与方A和第二参与方B所在的两个安全域进行信任计算，如果两个安全域之间 存在已交互的节点对，成为两个安全域为相邻域，反正，则称为非相邻域，根据两种情 况进行如下计算：

第一种情况是第一参与方A和第二参与方B所在安全域为相邻域：

如图3所示，其中F_A＝{a_s,a₁,…,a_n}和F_B＝{b_s,b₁,…,b_m}是两个不同的安全域，a_s和 b_s分别是安全域F_A和安全域F_B的代理节点，a₁～a_n和b₁～b_m分别是安全域F_A和安全域F_B的 普通节点；

假设a_i和b_j已交互，记为<a_i,b_j>，则a_i对b_j的信任评价为e_ai,bj＝(t_ai,bj,s_ai,bj)， 1≤i≤n,1≤j≤m，其中t_ai,bj表示a_i对b_j的信任值，它是[0,1]范围内的一个实数，数字越大 表示信任越强，s_ai,bj为e_ai,bj生成时的时间戳，e_ai,bj保存在代理节点a_s和b_s中；

a)计算安全域F_A对安全域F_B的总体信任值T_AB：

其中w_ai,bj为e_ai,bj的时间权重，计算公式为：

其中s_now为当前时间戳，s_ai,bj为节点对交互时生成的时间戳，tw为时间窗口，超过时 间窗口的交互节点对不进行计算；

b)计算安全域F_B对安全域F_A的总体信任值T_BA：

其中w_bj,ai为e_bj,ai的时间权重，计算公式为：

其中s_now为当前时间戳，s_bj,ai为节点对交互时生成的时间戳，tw为时间窗口，超过时 间窗口的交互节点对不进行计算；

第二种情况是第一参与方A和第二参与方B所在安全域为非相邻域：

如图4所示，通过信任传播方法计算T_AB:

(a)在安全域F_A到安全域F_B存在4条信任路径选择总体信任值最大的路径计算信任 值T_AB：

T_AB＝MAX{T_AF*T_FD*T_DB,T_AF*T_FE*T_EB,T_AC*T_CD*T_DB,T_AC*T_CE*T_EB}，

(b)计算安全域F_B对安全域F_A的信任值T_BA：

T_BA＝MAX{T_BD*T_DF*T_FA,T_BE*T_EF*T_FA,T_BD*T_DC*T_CA,T_BE*T_EC*T_CA}。

步骤2、计算两个参与方所在节点之间的信任值。

2.1)如图5所示，第一参与方A所在节点a_i到第二参与方B所在节点a_j存在一条 信任路径：其中t_ai,as为第一参与方A所在的节点a_i对安全 域F_A的代理节点a_s的信任值，其值为1；

计算安全域F_B的代理节点b_s对节点b_j的信任值t_bs,bj为：

计算第一参与方A所在节点a_i对第二参与方B所在节点b_j的信任值t_ai,bj

t_ai,bj＝t_ai,as*T_AB*t_bs,bj＝T_AB*t_bs,bj；

2.2)如图5所示，第二参与方B所在节点b_j到第一参与方A所在节点a_i存在一条 信任路径：其中t_bj,bs为第二参与方B所在节点b_j对安全域 F_B的代理节点b_s的信任值，其值为1；

计算安全域F_A的代理节点a_s对节点a_i的信任值t_as,ai为：

计算第二参与方B所在节点b_j对第一参与方A所在节点a_i的信任值t_bj,ai：

t_bj,ai＝t_bj,bs*T_BA*t_as,ai＝T_BA*t_as,ai。

二.安全关联建立

参照图6，该部分的具体实现如下：

步骤3、建立安全关联

第一参与方A作为发起者向第二参与者B发送安全关联建立请求，协商本次安全关联 的等级和所需的参数和算法。

3a)第一参与方A作为发起者根据步骤2中得到的第一参与方A对第二参与方B得信 任值选择对应的信任等级n_B，并向第二参与方B发送安全关联建立请求，该安全关联建 立请求包括会话标识sid₁和第一参与方A对第二参与方B的信任等级n_B，其中sid₁＝ {SeqNo₁,ID_A,ID_B}，ID_A和ID_B分别为第一参与方A和第二参与方B的身份标识，SeqNo₁为安全关联建立请求的序列号；

3b)第二参与方B收到参与方A的安全关联请求后，根据第二参与方B对第一参与方 A的信任值选择对应的信任等级n_A，向第一参与方A发送安全关联建立响应，该安全关 联建立响应包括会话标识sid₂和第二参与方B对第一参与方A的信任等级n_A，其中sid₂＝ {SeqNo₂,ID_A,ID_B}，ID_A和ID_B分别为第一参与方A和第二参与方B的身份标识，SeqNo₂为安全关联建立响应的序列号，其值为安全关联建立请求中序列号SeqNo₁加1；

3c)第一参与方A收到第二参与方B的安全关联建立响应后，第一参与方A根据第二 参与方B对第一参与方A的信任等级n_A和第一参与方A对第二参与方B的信任等级n_B，选 择较小的作为本次安全关联的等级n_sid，即n_sid＝min{n_A,n_B}，第一参与方A以安全关联等 级n_sid为依据，确定第一参与方A的参数集合{para}_A和第一参与方A的算法集合{alg}_A， 其中{para}_A包括安全关联等级n_sid下第一参与方A可使用的多个参数的标识，{alg}_A包括 安全关联等级n_sid下第一参与方A可使用的多个算法的标识，向第二参与方B发送安全关 联请求，该安全关联请求包括包括会话标识sid₃、安全关联等级n_sid、第一参与方A的参 数集合{para}_A和第一参与方A的算法集合{alg}_A，其中sid₃＝{SeqNo₃,ID_A,ID_B}，SeqNo₃为安全关联请求的序列号，其值为安全关联建立响应中序列号SeqNo₂加1，ID_A和ID_B分 别为第一参与方A和第二参与方B的身份标识；

3d)第二参与方B收到第一参与方A发送的安全关联请求后，第二参与方B根据安全 关联等级n_sid为依据，确定第二参与方B的参数集合{para}_B和第二参与方B的算法集合 {alg}_B，从第二参与方B的参数集合{para}_B与第一参与方A的参数集合{para}_A的交集中 选择本次安全关联所需的参数para_sid，从第一参与方B的算法集合{alg}_B与第一参与方A 的算法集合{alg}_A的交集中选择本次安全关联所需的算法alg_sid，向第一参与方A发送安 全关联响应，该安全关联响应包括会话标识sid₄、安全关联等级n_sid、第二参与方B的参 数集合{para}_B、第二参与方B的算法集合{alg}_B、参数para_sid和算法alg_sid，其中sid₄＝ {SeqNo₄,ID_A,ID_B}，SeqNo₄为安全关联响应的序列号，其值为安全关联请求中序列号 SeqNo₃加1，ID_A和ID_B分别为第一参与方A和第二参与方B的身份标识；

3e)第一参与方A收到安全关联响应后，得到参数para_sid和算法alg_sid，并将安全关联 确认消息发送给第二参与方B，该安全关联确认消息包括会话标识sid₅、安全关联结果建 立标识、安全关联等级n_sid、参数para_sid和算法alg_sid，其中sid₅＝{SeqNo₅,ID_A,ID_B}， SeqNo₅为安全关联确认消息的序列号，其值为安全关联响应中序列号SeqNo₄加1，ID_A和ID_B分别为第一参与方A和第二参与方B的身份标识，安全关联建立结果标识为安全关 联建立成功或安全关联建立失败；

此时，第一参与方A与第二参与方B根据信任等级n_A和n_B，确定了本次安全关联的等 级n_sid，并协商了后续所需的参数para_sid和算法alg_sid。

三.认证

参照图7，该部分的具体实现如下：

步骤4、参与方A作为发起者向参与方B发送认证请求，协商会话秘钥。

4a)第一参与方A向第二参与方B发送认证请求，该认证请求包括会话标识sid₆、 第一参与方A的认证信息C_A、第一参与方A生成的随机数Rand_A和第一参与方A与第 二参与方B协商会话密钥所需信息KeyEx_A，其中sid₆＝{SeqNo₆,ID_A,ID_B}，ID_A和ID_B分别为第一参与方A和第二参与方B的身份标识，SeqNo₆为认证请求的序列号，认证 消息C_A、随机数Rand_A以及协商会话密钥所需信息KeyEx_A均为可选项，具体内容 由第一参与方A和第二参与方B双方所协商的参数para_sid和算法alg_sid决定；

4b)第二参与方B收到来自第一参与方A的认证请求后，发送认证响应，该认证响 应包括会话标识sid₇、第二参与方B的认证信息C_B、第二参与方B生成的随机数Rand_B和第二参与方B和第一参与方A协商会话密钥所需信息KeyEx_B，其中sid₇＝{SeqNo₇, ID_A,ID_B}，SeqNo₇为认证响应的序列号，其值为认证请求中序列号SeqNo₆加1，ID_A和ID_B分别为第一参与方A和第二参与方B的身份标识；

4c)完成密钥协商之后，第一参与方A向第二参与方B发送认证确认消息，该认证 确认消息包括会话标识sid₈和第一参与方A实现密钥确认所需的信息Ack_A，其中sid₈＝ {SeqNo₈,ID_A,ID_B}，SeqNo₈为认证确认消息的序列号，其值为认证响应中序列号 SeqNo₇加1，ID_A和ID_B分别为第一参与方A和第二参与方B的身份标识；

4d)第二参与方B收到来自第一参与方A认证确认消息后，向第一参与方A发送认 证确认响应，该认证确认响应包括会话标识sid₉和第二参与方B实现密钥确认所需的信 息Ack_B，其中sid₉＝{SeqNo₉,ID_A,ID_B}，SeqNo₉为认证确认响应的序列号，其值为认 证确认消息中序列号SeqNo₈加1，ID_A和ID_B分别为第一参与方A和第二参与方B的身 份标识；

根据参数para_sid和算法alg_sid的需要，步骤2a)和2b)可能需要多轮交互，用来完 成双方的身份认证和会话密钥协商的过程；

此时，第一参与方A与第二参与方B根据参数para_sid和算法alg_sid，完成了身份认 证，并协商了会话密钥。

四.会话建立

参照图8，该部分的具体实现如下：

步骤5、建立会话

第一参与方A作为发起者向第二参与方B发送建立请求，建立会话，如果第一参与 方A和第二参与方B之间的信任值变化导致信任等级变化时，第一参与方A和第二参 与方B将以新的信任等级为基础，选择是否重新建立新等级下的安全关联，并为新等级 的服务提供安全支持。

5a)第一参与方A向第二参与方B发送会话建立请求，该会话建立请求包括会话标 识sid₁₀，其中sid₁₀＝{SeqNo₁₀,ID_A,ID_B}，SeqNo₁₀为会话建立请求的序列号，ID_A和ID_B分别为第一参与方A和第二参与方B的身份标识；

5b)第二参与方B收到第一参与方A的建立请求后，发送会话建立响应，该会话建 立响应包括会话标识sid₁₁和会话建立结果标识，其中sid₁₁＝{SeqNo₁₁,ID_A,ID_B}， SeqNo₁₁为会话建立响应的序列号，其值为会话建立请求中序列号SeqNo₁₀加1，ID_A和 ID_B分别为第一参与方A和第二参与方B的身份标识，会话建立结果标识为会话建立成 功或会话建立失败。

以上描述仅是本发明的一个具体实例，显然对于本领域的专业人员来说，在了解了 本发明内容和原理后，都可能在不背离本发明原理、结构的情况下，进行形式和细节上 的各种修正和改变，但是这些基于本发明思想的修正和改变仍在本发明的权利要求保护 范围之内。