空間信息網絡中基于動態撤銷機制的安全高效批量認證方案

張應輝，胡凌云，李藝昕，寧建廷，鄭東,5

（1.西安郵電大學網絡空間安全學院，陜西 西安 710121；2.福建師范大學福建省網絡安全與密碼技術重點實驗室，福建 福州 350007；3.西安郵電大學無線網絡安全技術國家工程實驗室，陜西 西安 710121；4.中國科學院信息工程研究所信息安全國家重點實驗室，北京 100093；5.衛士通摩石實驗室，北京 100070）

0 引言

隨著航天技術和衛星通信技術的高速發展以及用戶隨時隨地通信需求的日益迫切，將衛星通信融合到地面網絡中已經成為必然的趨勢和亟待解決的難題。空間信息網絡（SIN,space information network）是由多顆不同軌道上、不同種類、不同性能的衛星形成星座覆蓋全球，通過星間和星地鏈路，將地面、海上、空中和深空中的用戶、航空器和各種通信平臺緊密結合起來，采用互聯網之間的通信協議（IP,Internet protocol）作為信息承載方式，采用智能高速星上處理、交換和路由技術，以光、紅外多譜段信息為導向，遵循信息資源的最大化、有效綜合利用原則，對信息進行準確獲取、快速處理和高效傳輸的一體化高速寬帶大容量信息網絡[1]。與傳統的無線網絡相比，空間信息網絡具有更大的覆蓋優勢，這使一些地面上的無人區、海上和空中的用戶更愿意訪問空間信息網絡，尤其是在某些極端情況下，如在海洋、沙漠或地震災區等地區，沒有分配的網關供用戶去訪問傳統的無線網絡，SIN 提供漫游等服務成為必要條件[2]。

同時，由于空間信息網絡本身的特點，例如動態拓撲、有限的計算能力和無線廣播的性質，它所面臨的安全風險也越來越嚴重。一方面，衛星節點的計算能力受限、星際鏈路的不穩定性和高軌道衛星以及地球同步衛星通信時延相對較高等因素，使移動節點和衛星節點在漫游切換過程中需要反復接入認證，隨之帶來高通信時延；另一方面，與傳統的無線網絡一樣，SIN 中的鏈路也是高度開放的，這一結構特性使系統容易受到攔截、篡改、重放和模擬攻擊等傳統惡意攻擊[3-6]。即使外域網絡實體也可能是潛在的攻擊者，他們可以根據用戶的身份信息泄露用戶的隱私。此外，隨著全球化進程的普遍性，大量的用戶會選擇訪問該信息網絡，這使衛星可能在同一時段需要進行大量的認證服務，從而要求所提出的方案支持批量身份驗證，這是本文關注的焦點。

在空間信息網絡中，衛星的軌跡是可以預測的，也就是說地面節點與新衛星節點之間的切換認證是可以提前完成的[7-8]。除了衛星的移動軌跡可以預測之外，位置相鄰的用戶在發生切換時也具有很多相似的特點，即相同的衛星接入節點、相同的目的衛星接入節點以及相同的切換時間，而以聚合消息的方式進行切換，可以節省通信開銷以及衛星的計算開銷。近年來，研究者已經提出了幾種訪問認證方案[9-11]，以提供安全可靠的SIN 通信系統。然而，這些方案不能直接應用于SIN 中的漫游場景，并且它們都沒有考慮到SIN 的長傳播時延。這些方案在移動用戶與地面設施，如網關和網絡控制中（NCC,network control center）之間實現認證，衛星僅轉發認證信令，而不參與實際的認證會話。因此，認證方案在地面與衛星之間（至少在用戶/衛星與NCC/衛星之間來回傳輸）需要至少4 倍的信令傳輸時延，用戶無法忍受這么長的訪問時延。此外，作為SIN 系統的接入節點，衛星應負責禁止未經授權的用戶訪問SIN。然而，這些方案直到信令被轉發到地面設施才能夠識別非法接入請求。同訪問用戶及接入域衛星的身份驗證相比，安全漫游也同樣重要，但這一問題尚未引起足夠的重視。如何確保安全高效的切換無疑是提高SIN 通信質量的關鍵。事實上，隨著衛星硬件技術的發展，衛星將具有更大的計算能力，并能夠與用戶進行認證交互。因此，讓衛星代替地面設施執行訪問控制成為一種有前途的方法，從而減少網絡訪問時延。

針對上述問題，本文主要做出了以下貢獻。

1) 提出了基于動態撤銷機制的安全高效批量認證方案，該方案不需要復雜且耗時的配對操作，從而提高了系統的計算效率。進行批量認證時，用戶先從附近其他用戶接收到所有簽名信息，然后將其聚合為一個簽名，這樣衛星只需確認已注冊移動終端簽署的相應請求，從而減少總簽名的大小和批量驗證的開銷。

2) 為了保證所提方案適用于漫游場景，要考慮計費的問題，因此所提方案加入了動態撤銷機制。該機制通過引入布谷鳥過濾器，支持查詢、插入和刪除功能，進而可以隨時動態地撤銷用戶，從源頭上保護合法用戶，達到實時更新保護的作用，利用其刪除功能解決了衛星有限存儲的問題。

3) 在安全性方面，采用隨機預言機和形式化驗證工具AVISPA（automated validation of Internet security protocols and applications）對所提方案進行了嚴格的分析。結果表明，所提方案可以抵抗重放、篡改等傳統攻擊的同時，也兼顧了用戶匿名以及可追蹤等特性。盡管用戶端在聚合時會額外產生一定的計算開銷，但是由于所提方案不需要耗時的雙線性對運算，因此在考慮用戶端總的計算開銷時，相較于現有方案而言，所提方案在兼顧用戶隱私數據完整性等安全需求的同時，傳輸和計算開銷依然是最低的。

1 相關工作

由于空間信息網絡很早就已經被使用，許多研究人員對其相應的通信安全認證方案進行了探索與改進。1996 年，Cruickshank[12]首先提出了一種使用公共密鑰密碼系統的身份驗證方案，以實現移動用戶與NCC 之間的雙向身份驗證。但是，該方案需要復雜的加密和解密操作，并且用戶的身份信息會被暴露，認證效率不高。2003 年，Hwang 等[13]在Cruickshank 方案的基礎上為了減少計算開銷，提出了一種適用于空間信息網絡的輕量級認證，其中涉及的計算操作都是一些簡單的散列函數、異或操作等。與以前的基于公鑰的身份驗證方案相比，他們的方案具有較低的計算成本，但是在2005 年，Chang 等[14]發現Hwang 等的方案的安全性和效率仍然存在不足的地方，缺乏完善的前向保密性，因此提出了一種基于哈希鏈的身份驗證方案，以提高效率和安全性，同時用Diffie-Hellman密鑰交換來生成新的會話密鑰生成，但是在Chang 等的方案中，當有大量移動用戶同時使用漫游服務時，歸屬域網絡控制中心將會成為安全通信的瓶頸，因為它必須參與每個移動用戶的身份驗證會話。此外，Chang 等方案可能會遭受假冒攻擊，并且用戶的隱私保密也沒有解決。公鑰基礎設施在解決隱私保護方面有一定的作用，并且公鑰基礎結構已在傳統網絡中廣泛使用。然而，它需要復雜而耗時的證書管理。文獻[15]針對重要信息的明文傳輸問題引入公鑰加密算法，并采用中國剩余定理解決衛星快速切換問題。但是，這2 種算法依賴于受信任的第三方，該第三方可能是單個瓶頸點，會受到攻擊。文獻[16]考慮了5G 網絡場景，在半可信第三方環境下結合區塊鏈技術實現了不同網絡之間的無縫切換，雖然該方案解決了第三方的瓶頸難題，但是并沒有考慮衛星組網的場景。文獻[17]采用群組管理的方法，使衛星切換效率得到了提高，但是方案沒有實現用戶的匿名保護。因此，這些方案在安全性方面的問題沒有得到解決。

訪問認證方案除了能在空間信息網絡中應用外，還應滿足漫游服務這個場景，空間信息網絡與傳統無線網絡一樣都是開放的鏈路，傳統無線網絡的安全漫游認證方案在不斷改進。文獻[18]分析了傳統的匿名漫游認證方案，指出了其匿名性和通信時延的缺點。遠程網絡認證服務器基于一輪消息交互驗證移動終端的身份合法性；另外，當移動終端發生惡意操作時，家庭網絡認證服務器可協助遠程網絡認證服務器撤銷移動終端的身份匿名性。然而，該方案未考慮計費問題，且要在列表中查找合法用戶，加大了認證時延。對于通信量大等問題，文獻[19]提出了一種基于無證書聚合簽名的無線漫游方案，但該方案對于安全模型中的敵手均是可偽造的。針對這一安全問題，文獻[20]給出了新的無證書聚合簽名方案，該方案不使用雙線性對操作，大大提高了效率，但是存在暴露用戶身份隱私的問題。而在漫游環境中，確保用戶的安全和有效訪問一直是一個巨大的挑戰。為了解決用戶實時安全高效訪問的問題，文獻[21]提出了一種基于雙線性對和聚合簽名的組認證協議，節點密鑰由密鑰生成中心（KGC,key generation center）和節點同時生成以抵抗偽裝攻擊，并且由于離散對數問題引起了會話密鑰，大大改善了身份驗證過程中的計算復雜性。但是，該協議涉及大量的雙線性對操作，即使衛星的計算能力已經改善了，還是會有通信時延增加的問題。在傳統的空間信息網絡方案中，由于衛星存儲空間有限，會引發拒絕服務攻擊，如文獻[22-24]中雖然通過代理簽名等算法對該問題進行了改進，但是改進后的效率大大降低。文獻[25]對上述部分安全問題提出了解決方案，采用基于生物特性的三因子認證技術，實現了用戶與外域網絡的雙向安全切換認證，但是該方案缺少具體的漫游計費敘述，適用性不高。上述文獻為無線網絡的漫游認證提供了安全性，但是在傳統的空間信息網絡場景下，衛星和網關之間的傳播時延很高，導致移動用戶承受高認證時延。因此，這些方案在空間信息網絡漫游場景中實用性不高。

2 預備知識

本節主要對方案中所使用的算法定義進行概括。

2.1 Schnorr 簽名

該簽名算法主要分為初始化階段、簽名生成階段和簽名驗證階段。

2.2 布谷鳥過濾器

當存在大量數據時，如何快速搜尋并確定數據的位置？對于這一問題，研究者以前會選擇撤銷算法或者使用布隆過濾器，但是布隆過濾器不支持反向刪除元素，一旦數組元素被賦值，就無法刪除。而布谷鳥過濾器是用于集合成員身份測試的新數據結構，與傳統的布隆過濾器相比，它具有更低的誤報率、更低的空間開銷和更好的性能。布谷鳥過濾器支持在實現高性能的同時動態地添加和刪除項目。布谷鳥過濾器本質上是一個由一組存儲桶組成的哈希表，每個存儲桶都包含固定數量的指紋（具有較少輸出位的哈希函數）。

布谷鳥過濾器算法包括3 個功能，即查詢、插入和刪除。查詢函數首先計算查詢項的指紋，并根據該指紋獲取查詢項在對應哈希表中的位置，如果找到該位置則查詢成功。插入函數首先計算插入項的指紋，然后根據指紋獲取插入項在相應哈希表中的位置，如果該位置已被占用，則從該位置移除元素，插入要插入的項目，再將移除的項目插入一個空位置。刪除函數首先查詢哈希表，如果查詢成功，無論查詢到存儲桶中的指紋數量是否滿足要求，僅刪除一個指紋即可。布谷鳥過濾器源于布谷鳥哈希算法，布谷鳥哈希表有兩張，分別是2 個哈希函數，當有新的數據插入的時候，它會計算出這個數據在兩張表中對應的2 個位置，這個數據一定會被存儲在這2 個位置之一。一旦發現其中一張表的位置被占，就將該位置原來的數據踢出，被踢出的數據就去另一張表找對應的位置。通過不斷地踢出數據，最終所有數據都可找到自己的位置[26]。

3 系統模型和安全需求

3.1 系統模型

本文主要研究的是空間信息網絡中漫游場景下，多用戶離開歸屬域網絡進入漫游域網絡認證通信過程，參與這一過程的主要有以下實體：移動用戶（MU,mobile user）、歸屬域網絡控制中心（HNCC,home network control center）、歸屬域網關（HG,home gateway）、歸屬域低軌道地球衛星（HLEO,home low earth orbit satellite）、拜訪域網絡控制中心（FNCC,foreign network control center）、拜訪域網關（FG,foreign gateway）、拜訪域低軌道地球衛星（FLEO,foreign low earth orbit satellite）。系統模型結構如圖1 所示，具體說明如下。

圖1 系統模型結構

1) MU 在其HNCC 上注冊，希望通過FLEO 使用拜訪域網絡。

2) HNCC 與FNCC 為用戶提供到特定拜訪域的漫游憑證以及后續認證需要用到的信息。

3) FLEO 和HLEO 是MU 與網關之間的中繼節點，負責轉發認證信息與會話協商參數。

4) HG 和FG 連接衛星網絡和地面服務器。移動用戶可通過網關接入地面互聯網，衛星也可以通過網關與網絡控制中心進行通信。漫游時，移動用戶通過FG 連入拜訪域的網絡中。

3.2 安全需求

本文方案基于Dolev-Yao 攻擊者模型[27]，該模型的描述如下。

1) 確定攻擊者所掌握的信息集合。

2) 隨機攔截網絡中的任意一條消息，使用分解規則分解該條消息，并更新信息集合。

3) 隨機使用合成規則來構造一個消息，將其發送到網絡中，其中需要的信息從已有的信息集合中隨機選取。

在該模型中，攻擊者幾乎是無所不能的，因此設計的方案如果抵抗了該模型的攻擊，那就證明該方案是安全的。

本文方案中的各域網絡控制中心是完全可信的。網絡控制中心根據用戶的注冊信息來誠實地分發一些參數以及分發一些LEO 的公私鑰對。空間信息網絡的衛星接入節點是不同區域的，接入節點在為用戶提供接入服務的同時，為擴大自己的利益，對合法用戶的身份及地理位置信息會感興趣，所以外域接入節點對用戶來說也會是惡意實體，而各域內的網關和LEO 之間假設建立了可信關聯。非授權移動用戶被認為是系統模型中的惡意實體，他們會嘗試采取各種非法手段來獲得可以接入網絡的權限，從而竊取合法用戶的隱私信息以及非法訪問網絡服務。一般完全的匿名性伴隨著不可審計性，這會讓非法用戶逃脫追責，且漫游服務的計費問題不易解決。因此，用戶的身份既要是匿名的，又要保證是條件可追蹤的，這2 個特性看似矛盾，實則是對該網絡的挑戰。從以上的角度來看，本文方案應主要關注以下安全需求。

1) 雙向認證。移動用戶與LEO 之間的相互認證是漫游服務的基本需求。驗證LEO 是為了保護用戶的身份信息，綠化網絡環境。驗證移動用戶是為了讓合法用戶訪問網絡，確保網絡的權限。

2) 會話密鑰協商。由于開放的通信環境，通信內容會被竊聽，因此方案應該確保雙方之間的通信是使用共享會話密鑰進行加密的，從而保證通信過程的保密性。

3) 動態撤銷及防止非法接入。當用戶想要撤銷時，一些用戶可能非法使用票據或申請退出漫游服務，系統需要主動撤銷這些用戶的票據來撤銷用戶；一些非法用戶使用已經過期的票據來進行漫游服務時，系統要能夠查詢并找出該非法用戶。

4) 可追蹤性。為了保護移動用戶的隱私，本文方案應實現匿名性。然而，如果當用戶實施非法行為時，該方案應該確定非法用戶的真實信息并取消用戶漫游身份。

5) 抗重放攻擊。鑒于該網絡中通信鏈路開放的特點，攻擊者能更容易地竊取用戶的傳輸信息，因此本文方案需要考慮驗證消息的即時性以抵抗重放攻擊。

6) 抗拒絕服務（DoS,denial of service）攻擊。由于衛星的存儲資源有限，應在快速有效地驗證合法用法用戶的身份同時拒絕非法請求，以避免DoS 攻擊。

4 漫游認證方案

本節主要描述了本文方案，包括系統初始化及用戶注冊、預協商、用戶認證及密鑰協商、批量驗證、用戶計費及動態撤銷等階段。為了描述方便，表1 列舉了涉及的相關符號及其定義。

表1 相關符號及其定義

4.1 系統初始化及用戶注冊階段

1) 用戶獲取漫游服務前，需要向HNCC 訂閱對應拜訪域的漫游服務。用戶首先向HNCC 發送漫游訂閱請求，其中IDFNCC是拜訪域網絡控制中心的身份標識。

2) HNCC 生成一個隨機數di作為其私鑰，并將其私鑰保密，相應的公鑰為Di=d iG。

3) HNCC 為用戶隨機生成一個計費憑證xi，通過計費憑證生成用戶的偽身份，以及憑證相應的有效票據TEND（過期作廢）。

4) 在系統初始化階段，每個NCC 都可以看作密鑰分發中心，當用戶注冊時，為用戶分發公私鑰（其中ki為隨機數），其對應的公鑰為Pi=skiG。

5) 各歸屬域內的衛星已經認證，網絡控制中心為低軌道地球衛星（LEO,low earth orbit satellite ）計算公、私鑰對，分別為（其中l為隨機數），；然后把私鑰通過安全通道發送給衛星，并公布公鑰。

6) HNCC 把{xi,TIDi,TEND,ski,pkFLEO}通過安全通道發送給用戶，然后本地存儲{IDi,IDFNCC,xi}作為后續計費審計用，并公布一些公共參數{G,n,H1,H2,H3,Pi,pkLEO}。

用戶注冊階段的信息交換如圖2 所示。

圖2 用戶注冊階段的信息交換

4.2 預協商階段

為了簡單起見，本文假設接入衛星與網關已經完成了相互認證，并建立了信任關系。在此階段，網關通過安全通道不斷向本域內的衛星發送預協商消息{IDG,TGnew,RG}。預協商消息包含網關的身份標識、時間戳和密鑰協商參數，計算為RG=rGG，其中，rG是網關選擇的隨機數，用于用戶認證及密鑰協商階段生成會話密鑰。衛星收到消息后，首先檢查時間戳以防止重放攻擊，然后檢查網關的身份信息，最后存儲此預協商消息。每個時間戳對應不同的協商參數，且每個時間對應不同的時間戳TGnew。預協商階段的信息交換如圖3 所示。

圖3 預協商階段的信息交換

4.3 用戶認證及密鑰協商階段

用戶認證及密鑰協商階段發生在MU 移動到漫游區域的網絡，并且向網絡發起請求時。由于同一時間段，計費憑證的有效期限相同，漫游到同一區域的用戶很多，且衛星的運動軌跡可預測以及衛星的計算、存儲能力有限。因此，以分組方式為這些用戶執行漫游服務是合理的。如圖4 所示，當用戶請求訪問空間信息網絡中的漫游資源時，將進行身份認證，具體步驟如下。

圖4 用戶認證及密鑰協商階段

3) 驗證后計算會話密鑰。移動用戶收到接入衛星發來的消息后，首先檢查時間戳的有效性，即，如果超出閾值范圍，則丟棄該消息并中止方案；否則對等式進行驗證。如果驗證通過，則計算會話密鑰SK=ri RG；否則判定該接入衛星是不合法的并中止方案。網關收到響應消息后，先驗證時間戳是否在閾值內，若在，則計算會話密鑰SK=rG Ri；若不在閾值內，則終止方案。

4.4 批量驗證階段

4.5 用戶計費及動態撤銷階段

HNCC 通過FNCC 向FLEO 發送當月有效票據，當用戶被漫游區域的網絡認證后，為防止有效票據被重復使用，FLEO 將認證之后的有效票據插入所維護的布谷過濾器的正過濾器中，過期的票據插入負過濾器中。為防止過濾器無限增大，每個月月初都會清空過濾器。當移動用戶量增大時，衛星廣播量增大，一種有效的解決方案是將過濾器切成薄片并將切片分配到附近的LEO，詳細步驟如下。首先，FLEO 將正濾波器和負濾波器分別切為切片集{PF1,PF2,…,PFm}和{NF1,NF2,… ,NFm}。然后，FLEO使用ECDSA 簽名算法計算σFLEO=SignskFLEO(PF1,PF2,…,PFm,NF1,NF2,…,NFm)，并將簽名廣播到所在歸屬域的其他LEO 上，其他LEO 可以用該衛星的公鑰去驗證真實性。當用戶想撤銷時，由于一些用戶可能非法使用票據或想要申請退出漫游服務，系統需要主動撤銷這些用戶的票據來撤銷用戶。HNCC 將撤銷用戶有效期的票據通過安全通道發送給FNCC。FNCC 收到消息后，將這些票據通過FG的安全通道廣播給所在域的所有LEO，LEO 將這些值存入負過濾器中。同時，LEO 也可以通過驗證發現非法用戶，同樣也會把非法用戶對應的票據存入負過濾器中，并廣播給FG，FG 再反饋給HNCC。若用戶還有剩余票據沒有撤銷，則在憑證生效的月初執行撤銷操作。當用戶認證完畢后，FLEO 把xi通過FG 發送給FNCC。FNCC 利用收集的有效票據向HNCC 收取費用，HNCC 再根據用戶使用的憑證數目向其收取費用。用戶計費及動態撤銷如圖5 所示。

圖5 用戶計費及動態撤銷

5 安全評估

本節首先使用隨機預言機模型（ROM,random oracle model）證明本文方案實施期間協商的會話密鑰是安全的；然后，基于自動化驗證工具AVISPA[28]來證明本文方案能抵抗重放和中間人等攻擊；最后，非形式化分析說明了本文方案的安全屬性和抵抗其他攻擊的能力。

5.1 基于隨機預言機模型的安全性分析

本節將使用ROM 對本文方案進行安全性分析。

5.1.1 安全模型

假設存在一個多項式時間攻擊者A，其可以訪問通信雙方之間傳輸的所有消息，也知道所有公共參數。符號表示參與方i的第k個會話實例，每個會話實例也稱為預言機。每個預言機有3 種狀態，即接受、拒絕、無效。如果預言機收到正確的消息，則狀態為接受；如果預言機收到錯誤的消息，則狀態為拒絕；如果預言機沒有收到消息，則狀態為無效。攻擊者A可以使用模擬器進行以下詢問以破壞提議方案的安全性。

5.1.2 詢問模型

攻擊者A的攻擊能力用以下幾個詢問模型來模擬。

1) Extract (IDMU)。在這個詢問模型中，攻擊者A可以得到用戶身份IDMU對應的公鑰/私鑰對。

語義安全性。作為實驗的一部分，攻擊者A需要區分會話實例中的密鑰是新會話密鑰還是隨機密鑰。允許A對實例MU 或FLEO 實例執行多次測試詢問。攻擊者在游戲結束后，必須輸出一個猜測結果。如果A猜中了正確的結果，則認為攻擊者A獲得了方案D的語義安全性的成功并把這個成功定義為Succ，則攻擊者A進行本次攻擊的優勢定義為

一般地，如果AdvD(A) 可以忽略不計（即對于任何足夠小的ε＞ 0，有AdvD(A)＜ε），則稱方案在隨機預言機下是安全的。

5.1.3 安全性證明

定義1如果滿足以下條件，則認為方案是安全的。在上存在良性敵手的情況下，2 個預言機總是協商同一個會話密鑰，并且這個密鑰隨機均勻分布。對于任何多項式敵手，成功的概率AdvD(A) 可以忽略不計。

引理1假設ECDH 問題是困難的，那么在隨機預言機模型中，攻擊者對該方案的優勢可以忽略不計。

證明假設有一個敵手A，他可以在多項式時間t內以不可忽略的概率λ(k)破壞所提方案的認證密鑰協商語義安全性，則可以從敵手A構造另一個算法φ，以另一個不可忽略的概率求解 ECDH 問題。φ在解決ECDH 問題上的優勢是AdvECDH(φ)。

5.2 基于AVISPA 的安全性分析

本節首先介紹自動化驗證工具 AVISPA；其次對本文方案用 AVISPA 的 OFMC（on-the-fly model-checker）分析終端進行分析，模擬攻擊路徑；最后根據攻擊，證明本文方案的安全性。

1) 為了對本文方案的安全性進行形式化分析，本節使用工具對方案進行了建模和安全性證明，用高級協議規范語言（HLPSL,high level protocols specification language）實現了會話、目標和環境的角色說明。在AVISPA 中，采用了HLPSL 的模塊化，通過表達形式語言來指定協議并驗證協議的安全性。AVISPA 工具一共有4 種終端分析技術，分別為 OFMC 終端、CL_AtSe（constraint-logic-based attack searcher）終端、SATMC（SAT-based model-checker）終端和TA4SP（tree automata based on automatic approximations for the analysis of security protocols）終端。這4 種終端分析技術基于2 個假設，一個是完美的密碼安全，一個是協議運行中存在的攻擊者模型滿足 Dolev-Yao 攻擊者模型。本文用HLPSL 對用戶和衛星角色進行了描述，分析過程包括初始狀態、角色轉換狀態、終止狀態。具體以用戶角色描述為例，如圖6 所示。

圖6 用戶角色描述

2) 該模型的用戶和衛星角色過程包含全局的常量和一個或者多個會話的混合角色過程，其中，方案的主體是衛星和用戶產生并傳送共享會話密鑰，在發送的同時要確保共享會話密鑰的機密性；用戶和衛星之間可以有效分辨雙方真實性。同時，入侵者可能偽裝成合法用戶，運行某些角色進行會話。

3) 以OFMC 模塊為例給出具體的分析，檢測結果表明方案是安全的（SUMMARY:SAFE），結果中的統計量還包含運行搜索的時間開銷為0.05 s，訪問的節點總數為4 個，深度為2，采用的入侵檢測模型表明該方案中攻擊者無突破口。

5.3 進一步安全性分析

1) 雙向認證。在本文設計的接入認證方案中，用戶和接入衛星之間能夠實現雙向認證。其中，衛星通過驗證等式是否成立來驗證用戶的合法性。基于橢圓曲線離散對數問題和哈希函數單向性的特點，攻擊者在無法獲得用戶私鑰的情況下仿造一個合法有效的接入請求消息是困難的。因此，只有在注冊階段獲得合法有效的認證信息元組的用戶才能產生有效的接入請求消息，從而成功被接入衛星認證。相似地，用戶可以通過驗證等式modn]G=ZpkFLEO+RFLEO是否成立來認證該接入衛星的合法性，同樣地，只有已注冊的合法衛星才能夠產生有效的接入響應消息SFLEO}。因此，本文方案能夠實現用戶與接入衛星之間的雙向認證。

2) 會話密鑰協商。本文方案采取橢圓曲線上的密鑰交換技術，使用戶與網關之間共同協商出會話密鑰SK=ri RG和SK=rG Ri，其中rG和ri是隨機數。攻擊者要想得到該會話密鑰，需要從截獲的消息中推導出ri或者rG，這相當于求解橢圓曲線離散對數問題的難度，這種攻擊方式在計算上是不可行的。因此，本文方案提出的認證方案可以實現安全的會話密鑰協商。

3) 防止非法接入。當有用戶想要在票據失效后或者已注銷的用戶想要再次連接該網絡時，FNCC通過查閱FG 和HNCC 發送的數據可找出失效或非法的用戶，FNCC 再通過安全信道把名單發送給HNCC，HNCC 根據其真實信息針對錯誤給出懲罰措施。

4) 條件匿名性及可追蹤性。本文方案中，用戶在可信網絡控制中心上注冊時，網絡控制中心會為其生成臨時偽身份，且傳輸的訪問消息中包含的也是臨時偽身份。由于哈希函數單向性的特點，攻擊者和其他參與認證的網絡實體（接入衛星、網關）無法通過偽造的身份來冒充合法用戶。然而用戶的身份信息并不是完全可匿的，當用戶在漫游期間做出非法的行為時，歸屬域網絡控制中心可以通過xi來計算出用戶的真實身份，這樣就實現了漫游方案的可追蹤性。

5) 抗重放攻擊。訪問請求以及響應消息、預協商消息都包含時間戳。且對消息的簽名中也對時間戳進行了哈希處理，攻擊者無法篡改接入請求消息中的時間戳。一旦時間戳被修改，等式不再成立，接入衛星將拒絕接受該接入請求消息，同時通過檢查時間戳和等式a=H2(T||pk)可以找到重放消息。因此，所提方案能夠抵抗重播攻擊。

6) 抗DoS 攻擊。本文方案中，用戶使用TEND來實現基本認證，而TEND是基于用戶的身份生成的，是有時效性的，過期作廢，因此HNCC 不需要存儲海量與用戶的驗證信息，且本文方案中設計的動態撤銷機制可以刪除過期的身份信息，通過簡單的查詢就可以驗證用戶的合法性，消耗極少的資源，因此無法實施DoS 攻擊。

為了顯現所提方案的安全性，本文進一步將其與衛星網絡中現有的其他認證方案進行了比較，具體如表2 所示。

表2 安全性對比

6 性能分析

本節基于安全目標對本文方案的計算開銷、通信開銷以及算法實現效率方面與現有方案進行比較。此外，本節分析了本文方案批量身份驗證的優勢，并給出了仿真結果。因為用戶只在HNCC 上注冊一次，所以不考慮注冊階段的計算開銷。

6.1 計算開銷

對于漫游身份驗證時延，本文將其定義為整個身份驗證過程的總時間成本，包括計算和傳播時延的時間成本，即各個認證實體執行密碼學操作所需的計算時延以及各個實體間交互造成的通信時延，計算式如下。

其中，通信時延取決于實體之間信號的傳播時延以及交互次數。因為驗證過程主要由點乘法、點加法和哈希運算這幾個操作來完成，為了方便評估計算成本，本文在方案比較過程中忽略哈希運算帶來的時延，使用Intel(R)Core(TM) 2.20 GHz 處理器上的JPBC[29]代碼仿真了密碼術操作的時間成本分別為點乘法Tm=0.082 ms 和點加法Ta=0.073 ms。用戶與衛星、衛星與網關、網關與服務器之間的信號傳播時間成本分別表示為Tu-l、T l-g、T g-n。由于衛星與地面距離為500～2 000km，因此設置Tu-l=Tl-g=10 ms。進行了大量實驗并參考網上示例后，本文將移動用戶連接到網絡控制中心所需的時間設置為20 ms。為便于比較認證時延，本文假設網關與網絡控制中心之間的傳播時延Tg-n為10ms。本文方案需要執行7 次橢圓雙曲線點乘算法、2 次橢圓雙曲線點加算法，而文獻[22-24]方案則分別需要執行橢圓雙曲線點乘算法9 次、10 次、11 次，以及橢圓雙曲線點加算法4 次。批量認證時延數值分析如圖7 所示。從圖7 可以看出，本文方案在執行身份驗證階段所需的總時間（即本文方案成功進行切換身份驗證所需的總時間）比文獻[22-24]方案少得多。這是因為本文方案采用高效的操作，并且操作成本比其他方法低得多。因此，本文方案更適合于SIN 為移動終端提供更好的接入服務。

圖7 批量認證時延數值分析

6.2 批驗證的評估

當衛星同時接收到來自多個用戶的大量訪問請求時，可以執行批量身份驗證以顯著減少衛星的計算開銷。處理單個身份驗證、n個沒有批處理驗證的身份驗證、文獻[22]中n個有批處理驗證以及本文方案中n個有批處理驗證的系統驗證開銷數值分析如圖8 所示。結果表明，當n個用戶同時轉發其訪問認證請求時，衛星通過本文方案的批量驗證的操作可以顯著降低計算成本。

圖8 系統驗證開銷數值分析

7 結束語

本文針對空間信息網絡漫游服務中存在的通信質量以及安全問題，引入了一種新型批量認證方案來提高身份驗證的效率。本文方案考慮到衛星的運行軌跡可預測的特點，通過用戶提前自主聚合公鑰及簽名來減輕衛星的驗證負擔，大大減少了冗余的身份驗證，保障了空間信息網絡的通信質量，而且專門為漫游方案設計了撤銷機制以支持用戶動態撤銷。安全性分析表明，本文方案可以抵抗重放等傳統攻擊。性能分析結果表明，本文方案在滿足可追蹤性、匿名性、可撤銷性等安全要求的同時效率優于其他方案。