天地一體化網絡中基于令牌的安全高效漫游認證方案

薛開平，馬永金，洪佳楠，許婕，楊青友

（中國科學技術大學電子工程與信息科學系，安徽 合肥 230026）

1 引言

隨著航天技術、衛星通信技術的高速發展，以及用戶對網絡全球化的迫切需求，衛星網絡與地面網絡融合組建天地一體化網絡已經成為學術界和工業界的重要方向[1]。該網絡以衛星網絡為骨干，以地面網絡為基礎，實現空、天、地、海等多維網絡的融合。相比傳統無線網絡，如蜂窩網絡，它具有廣域覆蓋、不受地理限制、抗毀、應急能力強的優點。作為傳統地面網絡的擴充，邊遠地區、災區、航海等場景下用戶對接入天地一體化網絡存在迫切的需求。

漫游業務是天地一體化網絡中必須實現的服務之一，因為這種異構、融合的網絡中用戶的漫游不可避免，如從傳統的無線網絡漫游到衛星網絡，或在不同域天地一體化網絡漫游。然而，由于衛星網絡固有的特點，實現安全高效的漫游認證方案面臨著許多挑戰。一方面，無線信道的開放性使惡意用戶可以通過監聽信道竊取用戶隱私或通過偽造、重放、中間人攻擊破壞漫游協議，損害合法用戶的權益[1]。另一方面，衛星和地面實體的高傳播時延會給設計低延時的漫游方案帶來嚴重的挑戰。此外，衛星鏈路的高度動態性和不穩定性也使高時延消耗的漫游機制難以在天地一體化網絡中實施。

現有的衛星網絡無漫游認證協議而只有接入認證協議，主要有文獻[2～4]。它們能提供用戶和網絡的雙向認證，并進行密鑰協商等，但不適合多域的漫游場景，且這些認證協議需要到網絡控制中心或地面站認證用戶的身份，認證時延大。另外，傳統無線網絡中的漫游認證協議，如文獻[5,6]，盡管能保障漫游安全，包括漫游認證、匿名性、密鑰協商等。但是這些漫游協議應用到天地一體化場景中會帶來巨大的認證時延。因為在傳統的衛星網絡場景下，衛星只負責轉發認證消息，認證過程由網絡控制中心或地面站完成。因此，本文將針對天地一體化網絡的特點，提出一種安全高效的漫游認證方案。

本文基于低軌衛星作為網絡接入點的場景，立足于衛星具有一定計算能力的前提，設計了一種基于令牌的雙方漫游認證方案。在本文的系統中，令牌是代表固定服務量（通話時長，流量）的入網憑據。用戶根據自己的需求向網絡控制中心（NCC，network control center）申請一定數目的令牌。本文將認證功能由 NCC提前到衛星上，認證過程由攜帶令牌的漫游用戶和衛星直接完成，大大減少了傳播時延，且基于單向累加器生成的令牌，不僅初始化簡單，一次模指數計算的認證過程還使認證過程計算開銷小，進一步縮短認證時延。本文基于單向累加器的單向性設計令牌的計費方式。這種計費方式可以做到漫游域網絡根據提供的總服務量向歸屬域網絡收費；歸屬域網絡也根據用戶使用過的令牌數目向用戶收費；用戶多申請但沒有使用的令牌不額外收費。另外，本文通過修改單向累加器密碼學算法使令牌機制支持用戶動態加入和自主業務定制，并通過引入Bloom Filter使漫游用戶的身份可以隨時撤銷，同時防止惡意用戶的接入。

2 相關工作

近年來，隨著衛星網絡的高速發展，許多衛星認證協議被提出。在1996年，Cruickshank[7]首先提出了衛星網絡的認證模型，并提出了基于公鑰密碼體制的認證方案。但是該方案計算開銷大，而且存在重放攻擊，只能實現衛星對用戶的單向認證。Hwang等[8]提出了基于預共享密鑰的認證方案。在此方案中，用戶和 NCC利用預共享密鑰加密隨機數實現雙向認證。每次認證完后，NCC會向用戶發送新的預共享密鑰和隨機數實現密鑰的更新，防止重放攻擊。該方案相比文獻[7]更高效，然而密鑰存儲開銷大。Chang等[9]的方案和Hwang類似，前者把后者中的加密函數換為高效的散列函數來提高認證效率，并且通過DH (Diffie-Hellman)交換和反向散列鏈實現密鑰更新。Chen等[10]結合公鑰密碼體制和預共享密鑰提出了一種新的認證方案，該方案既能實現雙向認證，還能具有較低的認證開銷和密鑰更新開銷。Chen等[2]和 Zhao等[3]根據現有方案的安全漏洞，提出了更安全的認證方案。他們的方案能防止惡意用戶攻擊，保護用戶隱私。然而，由于天體一體化網絡的多域漫游特征以及天地網絡實體的高傳播時延，這些方案不能直接應用到漫游場景中。

傳統無線網絡的漫游認證協議也不斷被完善。Jiang等[11]提出了一種基于秘密分割的匿名漫游協議，該方案具備匿名性，但是不具備不可追蹤性。而且認證服務器兩兩之間需要共享會話密鑰，這使系統難以管理，可擴展性差。公鑰密碼體制隨即廣泛用于實現無線網絡中的漫游認證，用來克服對稱密鑰體制中的缺點。Yang等[12]結合了無線漫游中的安全需求，提出了匿名無線漫游協議的整體框架結構。之后，Yang等[13]在此結構框架基礎上，進一步提出一種基于 DH交換和公鑰證書的無線漫游協議，并給出了詳細的安全性分析。雖然相對于對稱密鑰體制而言，該方案更具備一定的靈活性以及很強的可擴展性。但是，由于PKI系統需要對證書進行大量處理，尤其是認證時需要在無線信道上傳遞證書并在終端進行證書的驗證，嚴重增加了網絡負載及移動終端的計算量。為了避免這類弊端，提出了不同的基于身份的認證協議。He等[5]利用群簽名機制實現了具有用戶匿名性的漫游方案，然而該方案需要不斷更新和檢查用戶撤銷列表，用戶撤銷開銷大。針對此，Liu等[6]提出了一種不需要用戶撤銷列表的群簽名漫游方案。它將生存時間寫入到用戶的私鑰中，過期的用戶將會被漫游域NCC檢測出而自動失效，大大節約了因用戶撤銷而造成的開銷。盡管上述傳統網絡的漫游認證方案能提供安全性保障，但是在傳統的衛星網絡場景下，衛星和地面站的高傳播時延將會導致無法忍受的高認證時延。

因此，這些方案無法直接應用到天地一體化漫游場景中。本文基于天地一體化網絡的特異性，提出了一種基于令牌的雙方漫游認證協議，不僅保證了安全性，還極大減少了認證時延。

3 預備知識

3.1 單向累加器

單向累加器的概念最早由Benaloh和Mare提出[14]，用于驗證某個元素是否在一個指定的集合中。安全的單向累加器函數族是一個有限的函數f∶X×Y→X的集合且滿足3個屬性。

1) 計算有效性（computing availability）：存在一個多項式P，對每個給定的整數k，對所有的x∈X以及所有的y∈Y，f(x,y)是在P(k)時間內可計算的。

2) 單向性(unidirection)：不存在多項式P，使存在一個概率多項式時間算法Ak，對任意給定的足夠大的k，隨機給定(x,y) ∈ (X,Y)，y'∈Y，Ak找到x'∈X，(x,y)≠(x',y')，使等式f(x,y)=f(x',y')成立的概率小于

3) 擬交換性（quasi-commutativity）：對所有的x∈X，y1,y2∈Y滿足

單向累加器常用于成員驗證（membership testing）[14]，定義集合Y′= {y1,y2,… ,ym}的累加值為f(f(…f(f(x,y1),y2)… ,ym?1),ym)。假設有m個元素，則z為集合Y= {y1,y2,… ,ym}的累加值，zi為集合Yi= {y1,y2,…yi?1,yi+1,… ,ym?1,ym}的累加值。當單向累加器被用來驗證群組成員時，系統公布z，并頒發令牌(zi,yi)給成員。成員向驗證者提供令牌，驗證者計算f(zi,yi)是否和z相等，若相等，則成員屬于群組。f的準交換性保證了一組數據按不同的順序進行累加，所得的結果是相同的，也保證了上述等式的準確性。f的安全性體現在它的單向性，即給定x∈X,y∈Y，對y'∈Y，找到滿足f(x,y) =f(x′,y′)是困難的。

Benaloh和Mare在文獻[14]中證明該單向累加器在強 RSA假設的前提下是安全的，定義p,q為 2個大素數，且滿足和均為大素數，n=pq。在本文方案中，令f(x,y) =xymodn。

3.2 Bloom Filter

Bloom Filter[15]是一種高效的數據結構。它利用精簡的比特數組來代表一個數據集。初始時候長度為m的比特數組置為全 0。在 Bloom Filter的構建過程中，利用數據集中的每一個字符串作為k個散列函數的輸入，輸出k個[0,m?1]的值。對每一個輸出值，將數組相應位置置 1。如果相應位置已經是1，就不再處理。在數據查詢階段，對查詢的字符串也做同樣的k次散列運算。檢查比特數組相應k個位置的值是否全為 1，若有一位為 0，則表示該字符串一定不在這個數據集。若全為1，則以一定的誤判率判定該字符串屬于該數據集。文獻[15]通過數學分析得到的誤判率為

其中，n為數據集的元素個數。由求導計算得當時，誤判率最低。

本文方案利用Bloom Filter來存儲已使用過的或已撤銷的令牌，實現失效令牌在衛星網絡上的輕量級傳輸，能有效防止失效令牌的使用，進一步實現了漫游用戶的管理和計費。

4 系統和安全模型

4.1 系統模型

系統模型如圖1所示。在天地一體化網絡的漫游場景下，用戶離開歸屬域網絡進入到漫游域網絡。漫游域網絡根據與歸屬域網絡的協議對漫游用戶進行認證，并提供網絡接入服務。在本文方案中，系統模型主要包括以下幾個實體：漫游用戶（U）、低軌衛星（LEO）、地面站（GS）、網絡控制中心（NCC）。下面是主要實體的具體描述。

1) 漫游用戶（U）

在漫游場景下，U作為移動實體，離開歸屬域網絡進入到漫游域網絡，并獲得網絡接入服務。在本文方案中，U向歸屬域NCC（HNCC）申請漫游服務，HNCC給U頒發漫游憑據令牌。漫游域網絡認證U的令牌，并提供固定的網絡服務。

2) 低軌衛星（LEO）

圖1 天地一體化網絡漫游認證架構

LEO作為天地一體化網絡的接入點，連接用戶和地面站，具有一定的計算和存儲能力[16]。在本文方案中，漫游域LEO(FLEO)參與漫游認證過程，進一步減少認證時延。

3) 地面站（GS）

GS連接衛星網絡和地面互聯網。用戶可通過GS連入地面互聯網。衛星也可通過GS與NCC進行通信。漫游時，U通過漫游域GS(FGS)連入地面互聯網中。

4) 網絡管理中心（NCC）

NCC是所在域網絡的管理中心。根據所在域不同，又可分為歸屬域 NCC（HNCC）和漫游域NCC(FNCC)。在本文方案中，HNCC與 FNCC簽署了漫游協議。HNCC給U頒發令牌。漫游域網絡對令牌進行認證。FNCC收集 U使用過的令牌向HNCC收取費用。

4.2 安全模型及安全需求

由于天地一體化網絡信道的暴露性，任何用戶均可通過監聽信道獲得通信數據。因此，攻擊者可以通過竊聽來獲取合法用戶的傳輸信息。另外，攻擊者可以利用竊聽到的數據進行篡改、重放或中間人攻擊，假扮合法用戶，從而欺騙系統，非法接入網絡。

在漫游認證過程中，用戶固定的身份信息會暴露用戶的隱私，因為攻擊者可以利用身份信息鎖定用戶的地理位置。這種危害在軍事行動中尤為突出，敵方可以通過監聽信道掌握我方的動向。完全的匿名性伴隨的是不可審計性，這不利于漫游的計費以及對非法用戶的追責。因此，用戶的身份既要對其他用戶匿名性，又要保證可追蹤性，這種看似矛盾的要求是天地一體化網絡的挑戰。鑒于上述提出的天地一體化網絡中的安全挑戰，本文提出下列安全需求。

1) 雙向認證：漫游域網絡要對 U進行認證，防止非法用戶使用網絡資源。同時，U也要認證FLEO，防止偽 FLEO獲取用戶隱私并進行一系列惡意攻擊。

2) 密鑰協商：在相互認證完畢后，U要和FGS協商出會話密鑰，用于后續數據的認證和加密，防止攻擊者偽造數據以及通過公開信道竊聽數據。

3) 匿名性：U的身份對其他用戶匿名，但是HNCC能夠揭露U的真實身份。

4.3 安全假設

基于上述安全模型和安全，本文做出下列安全假設。

1) HNCC完全可信。它向U頒發令牌用于漫游服務，不可能被任何敵手攻破。

2) 漫游域網絡實體半可信。它們遵循與歸屬域的漫游協議，向合法U提供網絡服務，但是為了謀取更多利益，漫游域網絡實體可能偽造令牌用于向HNCC收取額外的費用。

3) 其他用戶不可信。他們嘗試破解本文提出的漫游認證方案。例如，試圖破解合法U的隱私或偽造合法U的身份。

4) 不失一般性，本文假設用戶與HNCC、地面站與HNCC、衛星與地面站之間存在安全通道。

5 漫游認證方案

本文先簡要地介紹提出的漫游認證方案；然后詳細描述方案細節，包括系統初始化及用戶注冊、預協商、漫游認證及密鑰協商、用戶動態加入及令牌動態補充、令牌失效及用戶動態撤銷、令牌計費。

為了描述方便，表1列舉了方案中涉及的相關實體的符號定義。

表1 實體符號定義

5.1 方案概述

漫游認證方案如圖2所示。在系統初始化階段，HNCC通過FNCC向漫游域低軌衛星廣播已撤銷的令牌標識yi，衛星存入到Bloom Filter中。HNCC給 U頒發令牌。FGS通過預協商將密鑰協商參數bP和FNCC傳來的用戶暫時身份標識組TMSI發送給 FLEO。其中，P為橢圓曲線的生成元，是系統公布參數，b為FGS生成的隨機數。待U進入漫游域時，他向FLEO出示令牌并發送密鑰協商參數aP。FLEO驗證令牌的合法性后，將從TMSI中隨機抽取的標識TMSIi和bP一起發送給U。TMSIi用于后續對U提供定量的網絡服務，并進行域內的管理和監督；bP用于密鑰協商。與此同時，FLEO將aP和yi發送給FGS。aP用于密鑰協商；yi發送給FNCC用于向HNCC收取費用。最后FLEO將已認證過的yi廣播給其余衛星，防止令牌重用。由于FLEO直接驗證用戶的合法性，避免了地面站或NCC的直接參與，大大減少傳播時延，且令牌也基于單向累加器產生，相比于其他認證方案，驗證高效，大大減少了計算時延。

5.2 系統初始化及用戶注冊

NCC利用單向累加器為每個衛星頒發身份驗證憑據(zi′,yi′)，將衛星公共參數z′通過安全通道廣播給與它簽訂漫游協議的NCC。其中z′、zi′定義為

圖2 漫游認證方案

其中，yi′為滿足等式的自然數，l為衛星數目。

在本文方案中，一個令牌代表一定的服務量（通話時長，流量），U根據自己的需求向 HNCC申請一定數目的令牌。HNCC利用用戶公共參數z為U分配令牌。z有固定的有效期，以一個月為例。HNCC在不同的月份用不同的z生成令牌。HNCC將 12個月份的z發送給與它簽訂漫游協議的FNCC。FNCC廣播給域內所有低軌衛星。低軌衛星在不同的月份用相應的z驗證令牌的合法性。令牌為(zi,yi)，yi為滿足等式的自然數，m為令牌總數目，其他參數定義為

用戶注冊時，HNCC將用戶申請的令牌以及漫游域衛星公共參數z′通過安全通道發送給用戶。每個衛星維護一個由系統撤銷或已使用過的令牌標識yi構建的 Bloom Filter。初始時候，HNCC通過安全通道向FNCC傳輸當月已撤銷的yi。FNCC再通過安全通道向所在域所有低軌衛星廣播這些yi。衛星將這些yi添加到Bloom Filter中。

5.3 預協商

預認證過程如圖3所示。FNCC將域內暫時身份標識組TMSI通過安全通道傳輸給FGS，且給不同的 FGS傳輸不同的 TMSI從而防止身份重用。FGS生成密鑰協商參數bP，FGS將TMSI和bP通過安全通道發送給FLEO。

5.4 漫游認證及密鑰協商

這個階段發生在U移動到漫游域網絡，并且向網絡發起接入請求。U首先和FLEO進行雙向認證，接著通過FLEO和FGS協商出會話密鑰。認證過程如圖3所示，下面描述具體細節。

第一步，U產生隨機數a，計算aP，并結合當前的時間戳tsU計算出散列值s1=h(aP||tsU)。再通過s1和令牌中的zi產生認證載荷R1=f(zi,s1)。最后U將密鑰協商參數aP、yi、R1，歸屬域標識NETID，tsU一起發給FLEO。

第二步，當FLEO收到U發來的接入請求載荷后，它首先驗證傳播時延tnow?tsU是否在可接受的閾值Δt以內。如果超出閾值，則認為此為重放分組，拒絕U的接入。如果未超出閾值，FLEO將yi作為查詢元素，通過Bloom Filter檢查令牌是否失效。若令牌失效，則FLEO拒絕U的接入。若令牌未失效，FLEO通過aP和tsU生成s1，并根據域NETID頒發的z驗證等式f(R1,yi) =f(z,s1)是否成立。若不成立，同樣拒絕用戶接入。若成立，則認為 U合法，繼續執行下列步驟。FLEO結合當前的時間戳tsSAP和 FGS發來的bP計算散列值s2=h(bP||tsSAP)，接著利用HNCC頒發的身份驗證憑據產生認證載荷R2=f(zi′ ,s2)，然后隨機從TMSI中 選 擇 一 個TMSIi， 將 接 入 應 答 {yi,bP,yi′ ,R2,TMSIi,tsSAP}發送給 U同時將{bP,aP,yi,TMSIi,NETID}通過安全通道發送給 FGS。最后，FLEO將yi插入到Bloom Filter中，并向所在域其他低軌衛星廣播yi。其他衛星收到yi后做同樣操作。

圖3 漫游認證及密鑰協商

第三步，U收到FLEO發來的接入應答后，它首先驗證傳播時延tnow?tsSAP是否在可接受的閾值Δt以內。如果超出閾值，則認為是重放分組，忽略FLEO的應答。如果未超出閾值，U通過bP和tsSAP生成s2，并驗證等式f(R2,yi′ ) =f(z′,s2)是否成立。若不成立，則認為FLEO非法，同樣忽略FLEO的應答。若成立，計算會話密鑰SK=abP。FGS收到衛星的應答分組后，也計算出和U共享的會話密鑰SK=abP，并將yi和NETID發送給FNCC，用于后續的計費。

至此，U和FGS協商出共享的會話密鑰，從而建立了安全通道。認證結束后，U獲得漫游域網絡的暫時身份標識 TMSIi，相當于漫游域的其他合法用戶。漫游域網絡根據本域規則對U進行管理和監督，并提供令牌包含的定量網絡服務。

5.5 用戶動態加入和令牌動態補充

在實際網絡運營過程中，用戶可能隨時向HNCC申請新的令牌，包括新漫游用戶因為需要漫游而申請令牌或老漫游用戶因為令牌數目不足而申請新的令牌。所以，合理的方案必須要滿足即使在系統初始化和用戶注冊完畢后，用戶仍能申請令牌，即能實現令牌的動態加入。令牌動態加入過程如下：假設當月的用戶公共參數為z，HNCC產生一個隨機數yk，yk滿足和(p? 1)(q? 1)互素且未被使用過，HNCC生成zk，zk滿足

5.6 令牌失效及用戶動態撤銷

當令牌被漫游域網絡認證后，為了防止令牌重用，FLEO將yi插入到所維護的Bloom Filter中，同時向所在域其他低軌衛星廣播已認證的yi，其他衛星收到yi后做同樣操作。當令牌被認證后，U會被分配TMSIi。后續歸屬域網絡利用TMSIi，根據所在域網絡規則向U提供定量的網絡服務。考慮到漫游高峰期可能存在過多漫游用戶同時接入網絡，FLEO廣播yi開銷大，此時，FLEO可以將這一時間段的yi聚合后再廣播給其余低軌衛星。

由于令牌的驗證依賴于用戶公共參數z，而z有特定的生存周期，衛星在不同月份用相應的z認證令牌，所以令牌也有特定的生存周期，它只在對應的月份有效。衛星在新的月份來臨的時候清空Bloom Filter，防止Filter無限增大。

由于一些 U可能非法使用令牌或想申請退出漫游服務，系統需要主動撤銷這些U的所有令牌來撤銷用戶。本文設計一套機制來支持用戶的動態撤銷。HNCC將撤銷用戶有效期為當月的令牌yi通過安全通道發送給FNCC。FNCC收到消息后，將這些yi通過安全通道廣播給所在域的所有低軌衛星。低軌衛星將這些值存入到Bloom Filter中。若用戶還有剩余令牌沒有撤銷，則在令牌生效的月初執行撤銷操作。

5.7 令牌計費

當U認證完畢后，FLEO將yi通過FGS發送給FNCC。FNCC利用收集的yi向HNCC收取費用。HNCC也根據用戶使用的令牌數目向其收取費用。這樣的計費方式有以下優點。

1) 用戶享受多少服務就收取多少費用，極大維護用戶的權益。

2) 用戶即使多申請了額外的令牌也不用主動撤銷，因為不使用的令牌不會被計費。

3) 漫游域根據提供的服務量向歸屬域收取費用，收費公平。

FNCC可能試圖偽造yi向 HNCC收取額外費用，下面本文證明這種行為不可能發生。令牌由HNCC通過安全通道發送給U，其他網絡實體包括FNCC無法得知未使用過的yi。FNCC可能猜測yi，然而由于單向累加器的單向性，以及yi的隨機性，猜測的yi不一定準確，HNCC針對錯誤的yi給予嚴厲的懲罰措施可以制止這種行為。

6 安全分析

6.1 雙向認證

1) FLEO認證合法U

在漫游接入階段，U向 FLEO發送接入請求。由于用戶公共參數z提前通過安全通道發送給FLEO，所以FLEO可以通過等式f(R1,yi) =f(z,s1)驗證令牌的合法性從而驗證U的身份。等式成立依據為

考慮攻擊者偽造合法U身份惡意接入網絡。

攻擊目標：攻擊者構造接入請求分組 {aP,yi,R1,NETID,tsU}，以使 FLEO能夠檢測到f(R1,yi)=f(z,s1)。其中，s1和R1滿足

攻擊資源：攻擊者能夠獲得用戶公共參數z，并且能夠獲得過去時間內 U發送的接入請求五元組{aP,yi,R1,NETID,tsU}。

攻擊者的攻擊可形式化為生成新的接入請求五元組 {aP,yi,R1′ ,N ETID,tsU′ }。根據攻擊方式不同，yi可以是偽造的令牌標識或是截獲的已知令牌標識。R1′為構造的認證載荷，tsU′為待攻擊的時間點，其他信息aP和NETID都是已知且可修改的。

若攻擊者虛構U身份，則yi由攻擊者生成。由于R1′由zi和s1經單向累加器函數生成，且s1由已知信息aP和tsU′散列生成，所以攻擊可進一步歸約為構造令牌(zi,yi)。由單向累加器函數的單向性可知，已知z=f(zi,yi)，構造(zi,yi)滿足等式在計算上是不可行的。所以攻擊者無法虛構 U身份。

若攻擊者截獲用戶發送的接入請求分組，并且假冒U身份，則yi已知。且R1′由zi和s1經單向累加器函數生成，s1由已知信息aP和tsU′散列生成，所以攻擊可進一步歸約為構造已知yi的令牌(zi,yi)。已知

攻擊者可以從已知的z和yi或R1和s1的關系中求解出zi，且這2種方式求解難度相同。在已知z、yi和n，但n的素因子p和q未知的情況下，求解zi的難度等價于大數分解難題，這在計算上是不可行的。同理，已知R1和s1，求解zi在計算上也是不可行的。所以攻擊者無法假冒U的身份。

綜上所述，攻擊者無法偽造接入請求分組以通過FLEO的驗證，因此本方案可以實現FLEO認證合法U的功能。

2) U認證合法FLEO

在漫游應答階段，FLEO向 U發送接入應答{yi,bP,yi′,R2,TMSIi,tsSAP}。由于衛星公共參數z′提前通過安全通道發送給 U，所以 U可以通過等式f(R2,yi′ ) =f(z′,s2)驗證FLEO身份的合法性。等式成立依據為

考慮攻擊者偽造FLEO身份。

攻擊目標：攻擊者構造接入應答分組以使 U能夠檢測到其中，s2和R2滿足

攻擊資源：攻擊者能夠獲得衛星公共參數z'，并且能夠獲得過去時間內FLEO對U發送的接入應答六元組 {yi,bP,yi′ ,R2,TMSIi,tsSAP}。

攻擊者的攻擊可形式化為生成接入應答六元組{yi,bP,yi′ ,R2′,T MSIi,tsS′AP}。其中，yi為發起接入請求U的令牌標識，根據攻擊方式不同，yi′可以是偽造的衛星身份驗證憑據標識或是已知的FLEO身份驗證憑據標識。R2′為構造的認證載荷，tsS′AP為待攻擊的未來時間，其他信息bP，TMSIi都是已知并且可修改的。

若攻擊者虛構FLEO身份，則yi′由攻擊者生成。且R2′由zi′和s2經單向累加器函數生成，s2由已知信息bP和tsS′AP散列生成，所以攻擊可進一步歸約為構造衛星身份驗證憑據(zi′,yi′ )。由單向累加器函數的單向性可知，已知z′ =f(zi′ ,yi′ )，構造(zi′ ,yi′)滿足等式在計算上是不可行的。所以攻擊者也無法虛構FLEO的身份。

若攻擊者假冒已知FLEO身份，則yi′是已知的。且R2′由zi′和s2經單向累加器函數生成，s2由已知信息bP和tsS′AP散列生成，所以攻擊可進一步歸約為構造已知yi'的衛星身份驗證憑據(zi′ ,yi′ )。已知

攻擊者可以從已知的z′和yi′或R2和s2的關系中求解出zi′，且這2種方式求解難度相同。已知z′、yi′和n，但是n的素因子p和q未知的情況下，求解zi′的難度等價于大數分解難題，這在計算上是不可行的。同理，已知R2和s2，求解zi′在計算上也是不可行的。所以攻擊者無法構造已知yi′的衛星身份驗證憑據(zi′,yi′)，即無法假冒已知FLEO的身份。

綜上所述，攻擊者無法偽造接入應答分組以通過U的驗證，因此，本文方案可以實現U認證合法FLEO的功能。

6.2 抵抗中間人攻擊

攻擊目標：在漫游接入階段，攻擊者截獲U發送的接入請求分組，修改密鑰協商參數等信息，偽造新的接入請求分組以被FLEO驗證通過。在漫游應答階段，攻擊者截獲FLEO發送的接入應答分組，修改密鑰協商參數等信息，偽造新的接入應答分組以被U驗證通過。

攻擊資源：用戶公共參數z，衛星公共參數z′，U發送給 FLEO的接入請求五元組 {aP,yi,R1,NETID,tsU}，FLEO發送給 U的接入應答六元組

由6.1節所分析的雙向認證特性可知，攻擊者在截獲了 U發送給衛星的接入請求分組后無法偽造新的接入請求分組以被FLEO驗證通過，同時攻擊者在截獲了 FLEO發送給用戶的接入應答分組后也無法偽造新的接入應答分組以被U驗證通過，即中間人攻擊不會成功，因此，本文方案可以有效地抵抗中間人攻擊。

6.3 抵抗重放攻擊

攻擊目標：攻擊者重放在過去時間tsU′合法 U的漫游接入請求分組 {aP,yi,R1,NETID,tsU′ }，以使FLEO能夠檢測到f(R1,yi) =f(z,s1)。或攻擊者重放在過去時間tsS′AP合法FLEO的漫游接入應答分組{yi,bP,yi′,R2,TMSIi,tsS′AP}， 以 使 U能 夠 檢 測 到f(R2,yi′ ) =f(z′,s2)。

攻擊資源：攻擊者能夠獲得過去時間內U發送給FLEO的接入請求五元組 {aP,yi,R1,NETID,tsU}，以及 FLEO發送給 U的接入應答六元組{yi,bP,yi′,R2,TMSIi,tsSAP}。

漫游認證過程中，FLEO在收到U的漫游接入請求分組后，會首先驗證傳播時延tnow?tsU是否在可接受的閾值Δt以內。若超出閾值，則認為接入請求超時，拒絕U的接入，所以能抵抗攻擊者重放接入請求分組。U在收到FLEO的漫游應答分組后，也會首先驗證傳播時延tnow?tsSAP是否在可接受的閾值Δt以內。如果超出閾值，則認為接入應答超時，終止認證操作，所以能抵抗攻擊者重放接入應答分組。綜上所述，本文方案可以抵抗重放攻擊。

6.4 密鑰協商

本文方案的密鑰協商過程是基于橢圓曲線的DH密鑰交換算法。基于DH困難假設，任何攻擊者在僅知道P、aP和bP的情況下無法計算出abP。在本文方案中，U和FGS分別產生DH密鑰協商參數aP和bP，然后協商出會話密鑰SK=abP。鑒于上文所證明的安全性，攻擊者只能獲得aP和bP，并且無法篡改他們，因為一旦篡改他們，認證將不通過，所以任何除了U和FGS的實體都無法計算出會話密鑰，包括FLEO。

6.5 身份隱私保護

U根據自己的服務量向HNCC申請多個令牌。不同令牌之間不具有任何相關性，相當于多個假名。其他用戶甚至FNCC都無法確定不同令牌是否屬于同一個用戶，只有HNCC能根據yi或zi查詢令牌表確定U的真實身份。在U認證完畢后，FLEO隨機挑選一個TMSIi發送給U。TMSIi的隨機性使U的身份對其他用戶具有一定的匿名性。

7 性能分析

本文通過分析認證時延評估本方案的性能。認證時延是用戶執行一次認證流程所耗費的總時間，包括各個認證實體執行密碼學操作造成的計算時延以及實體間交互造成的通信時延，即認證時延=計算時延+通信時延。其中，通信時延取決于實體之間信號的傳播時延以及交互次數。為了方便分析，本文分別將U到FLEO，FLEO到FGS，FGS到 FNCC，FNCC到 HNCC的傳播時延表示為TU-FLEO、TFLEO-FGS、TFGS-FNCC、TFNCC-HNCC。由于低軌衛星和地面相距 500～2 000 km[17]且實測實驗室主機至云端服務器（百度服務器、阿里服務器等）來回時延10～30 ms，所以本文設定TU-FLEO=TFLEO-FGS=10 ms，TFGS-FNCC= 5 ms，TFNCC-HNCC= 5 ms。文獻[18]以Intel P-IV 3 GHz處理器利用OPENSSL庫測得一些密碼學算法的計算耗時。其中，一次雙線性映射、一次橢圓曲線的點乘、一次模指數運算分別耗時Tpair= 11.903ms，Tmul= 0.376 ms ，Texp= 0.387 ms 。由于散列運算和對稱加密相對于別的密碼學算法耗時可忽略不計，本文在方案比較過程中忽略散列運算帶來的時延。另外，本文所提方案在認證過程中需要查詢Bloom Filter表，而查表過程的復雜度相當于做有限次散列運算，所以我們忽略查表帶來的時延。

本文選取具有代表性的文獻[2, 3, 5, 11]的漫游相關方案和本文方案進行比較。需要注意的是，由于衛星網絡關于漫游的研究匱乏，所以選取的這些方案并非專門針對天地一體化網絡漫游場景。文獻[2,3]的方案是衛星網絡下的認證方案，選取它們作為比較對象是因為這2種方案和本文方案均針對天地一體化網絡環境，且均提供了較為高效的認證方案。文獻[5,11]的方案是無線網絡環境下的漫游方案，選取它們作為比較對象是因為這2種方案和本文方案同處于漫游場景且也較為高效。鑒于這些方案和本文方案場景的差異性，本文根據天地一體化網絡特點對被比較方案做了適應性修改。文獻[2, 3]的方案的身份驗證者原為所在域NCC，本文將其的移動至HNCC，既保證了方案的自然遷移也保障了安全性。文獻[5,11]的方案的身份驗證者原本即分別為HNCC和FNCC，本文不做修改。

表2展示了相關方案性能對比的情況。從表2可以看出，本文方案在計算上需執行6次模指數運算，2次橢圓曲線點乘運算。而文獻[2]的方案需執行3次模指數運算，文獻[5]的方案需執行3次雙向線性映射計算和16次橢圓曲線點乘運算，文獻[3]和文獻[11]的方案由于涉及的密碼學算法為散列計算或者對稱加密，相比其他密碼學算法計算時延可忽略不計。所以本文方案在計算時延上雖高于文獻[2, 3, 11]的方案，但是差距不大，且明顯低于文獻[5]方案。本文方案將認證功能由HNCC提前至FLEO，且漫游認證過程只需一次星地交互，顯著減少通信時延。從表2可以看出，本文方案相比其他方案至少減少了一半通信時延。考慮到天地一體化網絡特殊的環境，其認證時延瓶頸在于星地鏈路的高時延，所以本文方案在認證時延上具有不可比擬的優越性。通過模擬計算得出本文方案認證時延約為23.074 ms，是整體耗時最少的，且幾乎是其他耗時最少的。此外，本文方案相比其他方案同樣具有匿名性，用戶身份也支持動態撤銷，另外，還考慮了用戶、漫游域和歸屬域三方根據服務量計費的問題。即本文方案在功能完備性上具有一定的優越性。

表2 相關方案性能對比

8 結束語

本文針對天地一體化網絡的漫游場景，提出了一種基于令牌的雙方漫游認證方案。該方案將漫游認證功能從地面提前到接入衛星，很好地減少了傳播時延。另外，基于單向累加器生成的令牌，不僅使認證過程高效，還支持靈活的加入和撤銷。基于令牌的收費機制，既能防止FNCC向HNCC收取額外的費用，還能保證用戶只為使用過的令牌支付費用，極大維護了用戶和HNCC的權益。本文的安全分析表明：本文方案能夠提供雙向認證，抵抗中間人和重放攻擊，還具有一定的匿名性。本文的性能分析表明：本文方案大大減少了漫游認證時延，具有顯著的優越性。

[1] 李鳳華, 殷麗華, 吳巍, 等. 天地一體化信息網絡安全保障技術研究進展及發展趨勢[J]. 通信學報, 2016, 37(11)∶ 156-168.LI F H, YIN L H, WU W, et al. Research status and development trends of security assurance for space-ground integration information network[J]. Journal on Communications, 2016, 37(11)∶ 156-168.

[2] CHEN C L, CHENG K W, CHEN Y L, et al. An improvement on the self-verification authentication mechanism for a mobile satellite communication system[J]. Applied Mathematics & Information Sciences,2014, 8(1L)∶ 97-106.

[3] ZHAO W, ZHANG A, LI J, et al. Analysis and design of an authentication protocol for space information network[C]// IEEE Military Communications Conference on MILCOM. IEEE, 2016∶ 43-48.

[4] LIU Y, ZHANG A, LI J, et al. An anonymous distributed key management system based on CL-PKC for space information network[C]//IEEE International Conference on Communications (ICC). 2016∶ 1-7.

[5] HE D, BU J, CHAN S, et al. Privacy-preserving universal authentication protocol for wireless communications[J]. IEEE Transactions on Wireless Communications, 2011, 10(2)∶ 431-436.

[6] LIU J K, CHU C K, CHOW S S M, et al. Time-bound anonymous authentication for roaming networks[J]. IEEE Transactions on Information Forensics and Security, 2015, 10(1)∶ 178-189.

[7] CRUICKSHANK H S. A security system for satellite networks[C]//Fifth International Conference on Satellite Systems for Mobile Communications and Navigation, IET. 1996∶ 187-190.

[8] HWANG M S, YANG C C, SHIU C Y. An authentication scheme for mobile satellite communication systems[J]. ACM SIGOPS Operating Systems Review, 2003, 37(4)∶ 42-47.

[9] CHANG Y F, CHANG C C. An efficient authentication protocol for mobile satellite communication systems[J]. ACM SIGOPS Operating Systems Review, 2005, 39(1)∶ 70-84.

[10] CHEN T H, LEE W B, CHEN H B. A self-verification authentication mechanism for mobile satellite communication systems[J]. Computers& Electrical Engineering, 2009, 35(1)∶ 41-48.

[11] JIANG Y, LIN C, SHEN X, et al. Mutual authentication and key exchange protocols for roaming services in wireless mobile networks[J].IEEE Transactions on Wireless Communications, 2006, 5(9)∶ 2569-2577.

[12] YANG G, WONG D S, DENG X. Anonymous and authenticated key exchange for roaming networks[J]. IEEE Transactions on Wireless Communications, 2007, 6(9)∶3461-3472.

[13] YANG G, WONG D S, DENG X. Formal security definition and efficient construction for roaming with a privacy-preserving extension[J]. Journal of Universal Computer Science, 2008, 14(3)∶ 441-462.

[14] BENALOH J C, MARE M D. One-way accumulators∶ a decentralized alternative to digital signatures[C]//Workshop on the Theory and Application of of Cryptographic Techniques. 1993∶ 274-285.

[15] BLOOM B H. Space/time trade-offs in hash coding with allowable errors[J]. Communications of the ACM, 1970, 13(7)∶ 422-426.

[16] MUKHERJEE J, RAMAMURTHY B. Communication technologies and architectures for space network and interplanetary internet[J].IEEE Communications Surveys & Tutorials, 2013, 15(2)∶ 881-897.

[17] AKYILDIZ I F, UZUNALIO?LU H, BENDER M D. Handover management in low earth orbit (LEO) satellite networks[J]. Mobile Networks and Applications, 1999, 4(4)∶ 301-310.

[18] HE D, BU J, CHAN S, et al. Handauth∶ efficient handover authentication with conditional privacy for wireless networks[J]. IEEE Transactions on Computers, 2013, 62(3)∶ 616-622.