衛星通信網中一種新的實體認證與訪問控制方案

祝烈煌，王龍，李嘉盛，張川，原衛華

（1. 北京理工大學計算機學院，北京 100081；2. 61345部隊，陜西 西安 710100）

1 引言

隨著衛星技術和無線通信技術的不斷進步和應用以及國家安全、航空航天、災害預警等需求的日益緊迫，衛星通信網絡作為重要的對應技術之一迅速發展[1]。衛星通信網絡由多個骨干節點，如低軌衛星關口站、中軌衛星關口站、高軌衛星關口站、網絡服務中心、低軌衛星、中軌衛星、高軌衛星、域認證中心及多種用戶終端組成，重點實現按需服務能力。衛星通信網存在接入訪問請求實體規模大、實體類型多等特點，導致傳統的單中心實體認證與訪問控制方案無法直接被應用。有別于傳統網絡，衛星通信網能實現全球通信，通信信道具有開放性的特點，信號發送地附近的所有用戶在擁有一定設備的情況下都可以接收到信息，這就使接入實體更易遭受實體假冒、非授權訪問、信息竊取、跨網攻擊等安全威脅。

衛星通信網身份認證需滿足多種接入請求實體及大量用戶終端不間斷使用，身份認證方案必須能夠克服接入訪問實體規模大、終端類型多樣化、終端地域跨度大的問題。傳統的身份管理方案分為松耦合解決方案、集中解決方案和代理解決方案。松耦合解決方案，一般就是通過填表的方式來實現單點登錄，以實時同步的方式實現用戶統一，這種方案的特點是對現有系統影響較少，但是該方案容易形成訪問瓶頸，當用戶數量多時，需要使用多臺服務器做集群[2]。集中解決方案主要采用集中式認證中心的方法，用戶在登錄時，統一到一個登錄地址，在登錄后，獲得票據，然后以該票據登錄各應用系統，這種方案服務器投入小，但是大多應用需要改動，維護不便[3]。代理方案部署認證代理在應用服務器上，通過安裝代理，把認證服務器上的會話信息直接帶給應用系統[4]，這種方案只支持某些特定的中間件，通用性較弱。綜上所述，現有的身份管理方案均無法直接應用于衛星通信網的實體認證需求。

由于衛星通信網包含多種用戶終端，不同的終端具有的功能也各不相同，且在衛星通信網中存在多個域，如移動、聯通、電信等，因此對終端進行訪問控制也是一個需要解決的難題。同一個用戶終端在不同的域中具有不同的權限，因此，訪問控制方案必須能夠實現多種終端的權限管理，并滿足用戶終端的跨域訪問需求。傳統的權限管理模式主要有自主訪問控制（DAC）、強制訪問控制（MAC）和基于角色的訪問控制（RBAC）。自主訪問控制根據訪問者的身份和授權來決定訪問方式，訪問主體對訪問控制具有決定權，這種權利在信息移動的過程中很容易產生安全漏洞[5]。強制訪問控制是系統將主體和客體分級，根據級別來決定訪問模式，過于偏重機密性，不利于管理[6]。基于角色的訪問控制是對前兩者的改進，它基于用戶在系統中的作用規定其訪問權限，解決了管理難的問題，但是無法解決用戶終端跨域訪問的問題[7]。綜上所述，傳統的方案無法滿足衛星通信網的訪問控制需求。

針對衛星通信網中實體規模大、終端類型多的問題，本文設計了一種新的實體認證方案，建設一個主認證中心，并在每個域單獨設立域認證中心，由主認證中心對低軌衛星關口站、中軌衛星關口站、高軌衛星關口站、網絡服務中心、低軌衛星、中軌衛星、高軌衛星、域認證中心等關鍵節點進行 ID、密鑰、IP和MAC的管理。再由各域認證中心對各自域內的終端進行ID、密鑰、IP和MAC的管理，按照兩級管理的方式對所有訪問請求實體進行管理。

針對衛星通信網中終端所屬域多、權限復雜的特點，本文設計了一種新的訪問控制方案，每個域分別管理自身終端，其中，不同終端具有不同的角色，按照角色確定其權限，在每個域分別建立分級跨域的屬性協同映射表，當終端拜訪域動態變化時，注冊域首先確定終端角色，并根據角色確定終端在注冊域的權限，注冊域認證中心將終端權限信息發送到訪問域認證中心，訪問域認證中心根據權限映射表對權限進行動態映射，封裝后返還注冊域認證中心，完成用戶終端的權限動態管理。

針對上述問題，本文基于衛星通信網提出一種新的實體認證及訪問控制方案。

2 相關工作

本文對國內外的實體認證和訪問控制方案進行調研并概述如下。

2.1 實體認證方案

王迎[8]提出了基于松耦合的身份認證系統。該系統在實現接入集成時比較容易，身份認證系統可以實現應用系統用戶身份的統一管理，提高了用戶身份管理效率與安全性，能夠作為企業的基礎應用。但是這種方案代碼會分散在整個系統中，這種分散為管理和擴展帶來不必要的困難。

孔強等[9]提出了一個用戶集中管理的實體認證系統。該系統描述了基于角色的實體認證流程, 最后對授權管理基礎設施系統與該文作者提出的系統做了對比，在一般的組織機構內部應用環境中使用，該系統可以提高管理效率和驗證效率。但是該方案只能滿足企業級用戶使用，無法解決海量用戶信息讀取的問題。

Wullems等[10]提出了一種基于公鑰密碼體制的認證方案。該方案將地面控制中心作為可信第三方，當某衛星節點與地面用戶通信時，地面控制中心首先生成該衛星節點的一對公私鑰。然后用控制中心的私鑰對其簽名（即用私鑰對信息加密）后通過安全信道（用預共享密鑰加密）發送給衛星。衛星通過驗證控制中心的簽名信息（即用控制中心的公鑰解密）確保獲得公私鑰的真實性。最后衛星用自己的私鑰對發送給用戶的信息進行簽名并廣播自身公鑰。該方案認證協議結構簡單、可用性強，選擇地面控制中心作為認證中心，可以發揮控制中心計算和存儲能力強的優勢，減輕了其他節點證書管理的負擔。但是該方案由于用戶終端并不直接與控制中心通信，因此用戶端無法獲取自己的公私鑰，用戶與衛星的認證關系僅限于單向認證。

2.2 訪問控制方案

馬康等[11]針對現有訪問控制策略和機制復雜的特點，結合標簽機制和多級安全的策略，以強制訪問控制為基礎，提出了一種新的訪問控制機制。該機制的思想是根據客體的訪問密鑰來最終決定主體對客體有何種訪問權限。基于這種思想將訪問控制策略和機制進行了設計，給出一種在 LSM（Linux 安全模塊）框架下基于密鑰對文件進行訪問的策略實現方法。該訪問控制方法將用戶權限放置于密鑰之中，用戶權限容易被仿冒，安全性不夠。

王永濤[12]提出了一個基于身份的多方密鑰協商協議。該協議可用于多域訪問控制中的密鑰協商問題，即該協議解決了基于身份密碼系統中處在不同域下的多個實體之間密鑰協商問題，參與協商的實體不受某個域的限制，可以來自不同的域，隨后給出了一種把原協議轉化成廣播協議的方案。但是該方案程序繁瑣，無法滿足大規模用戶的日常使用。

3 衛星通信網中實體認證及訪問控制模型

大規模實體認證與訪問控制依據生成訪問請求時認證中心、高軌衛星節點、低軌衛星節點、訪問請求實體、域、資源、角色—權限分配等要素獲取相應權限。從技術方案來看，實體身份及訪問控制模型如圖1所示。

圖1 實體身份及訪問控制模型

1) 認證中心

認證中心（IV）負責各接入實體的身份及權限管理，記為 ＜ nIV, gIV, sIV, cIV＞，其中， nIV表示認證中心編號，為一個確定的認證中心； gIV表示網絡服務系統的通用屬性； sIV表示網絡服務系統的安全屬性； cIV表示網絡服務系統的控制屬性。設網絡服務系統的數量為 IM，網絡服務的集合記為

2) 高軌衛星節點

高軌衛星（GV）表示高軌衛星網絡中的節點，記為 ＜ nGV, gGV, sGV, cGV＞ ，其中， nGV表示高軌衛星編號，為一個確定的高軌衛星； gGV表示高軌衛星的通用屬性； sGV表示高軌衛星的安全屬性、加密類型；cGV表示高軌衛星的控制類型和管控信息。

3) 低軌衛星節點

低軌衛星（LV）表示低軌衛星網絡中的低軌衛星，記為 ＜ nLV, gLV, sLV, dLV＞，其中， nLV表示低軌衛星節點編號，唯一標識一個低軌衛星； gLV表示低軌衛星的通用屬性； sLV表示的是低軌衛星的安全屬性、加密類型； dLV表示低軌衛星的受控類型，如姿態控制、軌道控制、動力控制等。

4) 訪問請求實體

資源訪問的發起方為接入網絡的請求實體（Q），記為 ＜ uQ, aQ, sQ, rQ＞，其中， uQ表示用戶的唯一身份標識；aQ表示訪問終端的唯一標識；sQ表示實體的安全信息； rQ表示實體的角色信息。

5) 域

資源訪問請求實體在發起訪問請求時接入網絡系統所屬域為L。接入系統通過域標識區分不同訪問，域標識記為 l = ＜ iL, pL, wL＞，其中， iL表示接入點所屬域 iL∈IL；?pL=＜ xy,z ＞ ∈ PL表示三維空間位置坐標，例如，x表示經度，y表示緯度，z表示高度； wL∈WL表示網絡接入唯一標識，如MAC、IP 等。

6) 資源

訪問的對象資源（O）記為 ＜ co, go, so＞，其中，co∈Co表示資源的內容；so∈So表示資源的通用屬性，指資源的類別、來源等屬性； go∈Go表示資源的安全屬性，指資源允許執行的操作、是否允許轉發、銷毀方式等。

7) 角色—權限分配

角色—權限分配方案（RP），指對資源訪問角色r分配權限p的過程，rp的集合記為RP。

在該系統模型中，主認證中心（IV）對衛星及關口站進行密鑰分發時，根據密鑰分發協議將生成的密鑰發送給衛星、關口站，對原有密鑰進行更新。訪問請求實體Q在所屬域L進行注冊，提交實體信息，所屬域需根據用戶的角色R為其分配不同的權限P。

當訪問請求實體 Q通過網絡向系統提出資源O的訪問請求時，系統在得到訪問請求的同時對實體請求進行認證，確定實體Q的角色R，再通過角色R確定權限P。角色確定的權限為RP?R×P，根據接入點的所屬域 L確定的權限為LRP ? L × R P ，服務器判斷用戶權限P是否與域下角色權限LRP相符合[13]。若相符，則該次訪問請求被允許，否則訪問請求被拒絕。以p″表示發起訪問請求的某個特定的實體則會話 se具有權限{ p |(q", p ) ∈ L RP]}。

4 衛星通信網中實體認證與訪問控制方案

實體認證與訪問控制方案分為實體身份管理和分級跨域的動態權限屬性協同映射2種子方案。

4.1 實體身份管理子方案

衛星通信網需要支持低軌衛星關口站、中軌衛星關口站、高軌衛星關口站、網絡服務中心、高軌衛星、低軌衛星等骨干節點和多種用戶終端的統一身份管理。各骨干節點與用戶終端所具有的功能與管理模式完全不同，對其進行統一管理的技術難度很大。如果采用傳統的用戶管理方式，動輒需要存儲十億甚至百億的數據，對用戶信息進行一次比對的時間開銷巨大，必然會對用戶的認證帶來較大時延。

因此，本文方案采用一個主認證中心負責各骨干節點的管理，在各域分別建設域認證中心對所屬終端進行管理的模式，并對骨干節點和用戶終端進行區分化管理。針對億級用戶和多樣化網絡實體的身份標識管理的難題，為了解決終端信息存儲數據量大、查詢時延長的問題，本文方案通過建立分域索引方法對用戶及終端數據進行管理，如圖2所示。

圖2 實體身份管理架構

圖3 實 體統一 身份信 息管理 架構

實體統一身份管理技術方案如圖3所示。為了實現實體統一身份及權限管理，首先由主認證中心對所有低軌衛星關口站、中軌衛星關口站、高軌衛星關口站、網絡服務中心、高軌衛星、低軌衛星等骨干節點進行 ID、密鑰、IP 和 MAC 的分發和管理。當骨干節點需要進行身份信息更新時，由主認證中心重新生成并發布到骨干節點，對原有身份信息進行更新。各域認證中心為所屬域用戶終端進行 ID、密鑰、IP 和 MAC的分發和管理，實現用戶及終端身份的細致化管理。對所有用戶及終端進一步細化存儲表，最終采用索引表和數據表聯合查詢的方式縮減實體信息的查詢時間，有效降低各認證中心的數據壓力和維護難度，并保證信息的安全傳輸。

4.2 分級跨域的動態權限屬性協同映射子方案

為了實現動態權限管理，本文方案采用基于角色的訪問控制方式，為每個域認證中心分別設置角色與權限對應表。系統在維護時只需對角色權限進行變更就可實現所有該角色實體的權限更新，只需對某個權限進行變更就可以實現所有具有該權限的角色的權限更新。每個實體可以擁有多個角色，根據實體所屬場景確定當前角色，最終通過角色確定實體權限。以超級管理員、高級用戶、普通用戶為例則動態權限管理如圖 4所示。

為了實現分級跨域的屬性協同映射，對不同域的權限等級進行協同映射，即在每個域建立權限跨域映射表，將其他域的權限與自身域的權限進行映射。當用戶終端的訪問域不是注冊域時，訪問域認證中心首先將用戶終端訪問請求發送給注冊域認證中心，注冊域查詢確認用戶終端角色，進而確定用戶終端在注冊域的權限，將用戶終端的注冊域權限信息進行封裝后加密發送到訪問域認證中心，按照權限跨域映射表進行映射，查詢確認用戶終端在訪問域的權限。以超級管理員、高級用戶、普通用戶為例則分級跨域的屬性協同映射架構圖如圖5所示。

5 性能分析

模擬實驗使用了包括壓測工具 loadrunner、MySQL數據庫服務器、Web服務器等對提出方案進行壓力測試。服務器采用32核CPU、140 GB內存、萬兆網卡。在一臺服務器上部署 loadrunner，模擬用戶請求，把用戶請求發送到Web服務器上，由該服務器來處理用戶HTTP請求，并由Web服務器獲取數據庫服務器數據。

圖4 動態權限管理

圖5 分級跨域的屬性協同映射

在數據庫服務器添加用戶，采用目錄表查詢的方式進行用戶信息存儲，由目錄表存儲每個表的特征信息和對應的表信息，每個用戶表存儲1萬用戶，500個表共計存儲500萬用戶。

數據庫服務器將用戶數據存儲在內存中進行操作，以提高數據讀取速度，壓力測試服務器使用loadrunner工具模擬 6.5萬個虛擬用戶隊服務器發出認證請求。測試計劃配置為每秒啟動 50個虛擬用戶，當虛擬用戶數達到6.5萬時進行2 min的并發保持，而后每秒釋放100個用戶請求，完成整個壓力測試過程。實驗結果如圖6 所示。

由圖6可知，系統在42 min內并發用戶數穩定提升，到42 min后開始維持在6.5萬虛擬用戶同時并發，且性能保持穩定。為了保證實驗結果的可靠性，本文對虛擬用戶請求重復次數進行分析，實驗結果如圖7所示。

圖6 并發請求實驗

圖7 虛擬用戶重復請求實驗

由圖7可知，系統在30 min出現重復請求，32 min 重復請求數量急速提高，重復請求數量過高會影響到用戶的使用體驗，每臺服務器保持在5萬并發時可以保證較好的用戶體驗，且性能保持穩定。

6 結束語

為了解決億級用戶實體認證管理和多樣化實體權限管理，本文提出一種新的實體認證與訪問控制方案。本文方案采用主認證中心和域認證中心兩級管理的方式來進行實體的身份認證，采用基于角色跨域權限映射的方式解決多樣化接入實體的權限跨域管理，整個系統由 20臺服務器共同提供服務即可滿足上億用戶的身份和權限管理及百萬并發的需求。