基于CFL的空間網(wǎng)絡(luò)認(rèn)證策略研究

摘 要：衛(wèi)星網(wǎng)絡(luò)作為一種新興的網(wǎng)絡(luò)，具有覆蓋范圍廣、傳輸環(huán)節(jié)少等優(yōu)點(diǎn)，但拓?fù)浣Y(jié)構(gòu)復(fù)雜、鏈路頻繁切換，因而面臨諸多網(wǎng)絡(luò)安全威脅。為解決衛(wèi)星網(wǎng)絡(luò)中身份認(rèn)證等安全性問(wèn)題，結(jié)合CFL認(rèn)證體制，提出了一種適用于衛(wèi)星網(wǎng)絡(luò)的安全認(rèn)證策略研究。在注冊(cè)階段，用戶和衛(wèi)星分別向地面控制中心申請(qǐng)證書，地面控制中心驗(yàn)證用戶和衛(wèi)星的身份后為用戶和衛(wèi)星簽署證書；在認(rèn)證階段，用戶與衛(wèi)星互相交換證書，自主生成驗(yàn)證密鑰并驗(yàn)證證書，實(shí)現(xiàn)用戶與衛(wèi)星的雙向快速認(rèn)證。分析結(jié)果表明，所提方案能夠滿足衛(wèi)星網(wǎng)絡(luò)的安全需求，抵御各種常見的網(wǎng)絡(luò)安全攻擊；與其他相關(guān)方案的相比，該方案無(wú)須地面中心參與認(rèn)證過(guò)程，通信開銷與計(jì)算開銷較小，在保證安全性的基礎(chǔ)上，與最低計(jì)算開銷方法相比，將通信效率提升了33%，有效提高了認(rèn)證效率。因此，本方案不僅適合星載資源有限的衛(wèi)星網(wǎng)絡(luò)，且能夠增強(qiáng)衛(wèi)星網(wǎng)絡(luò)的安全性。

關(guān)鍵詞：衛(wèi)星網(wǎng)絡(luò)；安全認(rèn)證；CFL證書；指數(shù)乘積型密碼算法

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-3695（2022）11-041-3455-06

doi：10.19734/j.issn.1001-3695.2022.04.0177

Research on spatial network authentication strategy based on CFL

Wang Lin^a，Wang Xiran^a，Hou Bowen^b，Shi Leyi^b

（a.College of Oceanography amp; Space Information，b.College of Computer Science amp; Technology，China University of Petroleum，Qingdao Shangdong 266580，China）

Abstract：As a new network，satellite network has the advantage of wide range and few transmission links.However，due to the complex topology and frequent link switching，it faces many network security threats.To solve security problems such as identity authentication in satellite network，combined with CFL authentication，this paper put forward a applicable satellite network security authentication scheme.In the registration stage，the user and the satellite applied for certificates to the ground control center respectively.The ground control center verified the identity of the user and the satellite and signed the certificates for the user and the satellite.In the authentication stage，users and satellites exchanged certificates，generated authentication keys and verified certificates independently，and realized two-way fast authentication between users and satellites.The results of security analysis show that the proposed scheme can meet the security requirements of satellite network and resist various kinds of common network security attacks.Compared with other related schemes，this scheme didn’t require the ground center to participate in the authentication process，and the communication overhead and computing overhead are small.On the basis of ensuring security，compared with the minimum computing overhead method，the communication overhead is reduced by nearly 33%，which effectively improves the authentication efficiency.Therefore，this scheme is not only suitable for satellite network with limited on-board resources，but also can enhance the security of satellite network.

Key words：satellite network；security authentication；CFL certificate；exponential multiplication cipher algorithm

基金項(xiàng)目：國(guó)家自然科學(xué)基金資助項(xiàng)目（61772551）；山東省自然科學(xué)基金資助項(xiàng)目（ZR2019MF034）

作者簡(jiǎn)介：王琳（1997-），男，山東威海人，碩士研究生，主要研究方向?yàn)榭臻g網(wǎng)絡(luò)、CFL認(rèn)證；王夕冉（1995-），山東濟(jì)南人，碩士研究生，主要研究方向?yàn)槊酃蕖FL認(rèn)證；侯博文（1997-），男，山東濰坊人，碩士，主要研究方向?yàn)镃FL認(rèn)證；石樂(lè)義（1975-），男（通信作者），教授，博士，主要研究方向?yàn)樾畔踩⒍诵畔⑻鴶U(kuò)（shileyi@upc.edu.cn）.

0 引言

隨著社會(huì)的發(fā)展，地面網(wǎng)絡(luò)^［1］已無(wú)法滿足用戶通信需求。在地面網(wǎng)絡(luò)無(wú)法覆蓋的區(qū)域，或者是用戶需要定位、導(dǎo)航等特殊服務(wù)^［2］時(shí)，地面網(wǎng)絡(luò)就無(wú)法正常為用戶提供網(wǎng)絡(luò)服務(wù)。因此，衛(wèi)星網(wǎng)絡(luò)是通過(guò)衛(wèi)星通信技術(shù)建設(shè)的，實(shí)現(xiàn)衛(wèi)星與地面用戶之間、衛(wèi)星與衛(wèi)星之間的通信，為用戶提供服務(wù)^［3］。

不同于地面網(wǎng)絡(luò)，衛(wèi)星網(wǎng)絡(luò)具有拓?fù)浣Y(jié)構(gòu)不穩(wěn)定、星間鏈路易阻斷等特點(diǎn)，帶來(lái)了很大的安全隱患。近年來(lái)，衛(wèi)星網(wǎng)絡(luò)正在成為信息截獲、假冒、重放、拒絕服務(wù)等傳統(tǒng)網(wǎng)絡(luò)攻擊的新戰(zhàn)場(chǎng)^［4］。

身份認(rèn)證是一種重要的保護(hù)衛(wèi)星網(wǎng)絡(luò)的手段。然而，衛(wèi)星網(wǎng)絡(luò)的特殊運(yùn)行環(huán)境，對(duì)認(rèn)證方案具有更高的要求。一方面，衛(wèi)星計(jì)算資源有限，認(rèn)證方案需要較小的計(jì)算開銷；另一方面，由于用戶數(shù)量和衛(wèi)星數(shù)量眾多，認(rèn)證方案中，地面中心不能有太過(guò)頻繁的參與。CFL認(rèn)證作為一種新興的基于標(biāo)識(shí)的證書認(rèn)證體制^［5］，相比較于PKI、IBC等傳統(tǒng)認(rèn)證方式^［6］具有安全強(qiáng)度高、計(jì)算開銷小、證書傳遞次數(shù)少、認(rèn)證過(guò)程無(wú)須第三方介入等特點(diǎn)，更適合衛(wèi)星網(wǎng)絡(luò)。

本文針對(duì)衛(wèi)星網(wǎng)絡(luò)的安全問(wèn)題和場(chǎng)景特點(diǎn)，結(jié)合CFL認(rèn)證體制，提出一種安全、高效的認(rèn)證方案，能夠?qū)崿F(xiàn)在無(wú)地面中心參與的情況下完成用戶與衛(wèi)星之間的雙向認(rèn)證。對(duì)方案分析表明，該方案可以抵抗常見的針對(duì)衛(wèi)星網(wǎng)絡(luò)的攻擊，且具有較低的計(jì)算和通信開銷。

1 相關(guān)工作

近年來(lái)，衛(wèi)星網(wǎng)絡(luò)安全研究日益受到關(guān)注。Liu等人^［7］給出了衛(wèi)星網(wǎng)絡(luò)的形式化安全模型和安全需求，討論了加密算法及協(xié)議、密鑰分發(fā)更新、高效訪問(wèn)驗(yàn)證等認(rèn)證關(guān)鍵技術(shù)。李鳳華等人^［8］從物理層、運(yùn)行層、數(shù)據(jù)層三個(gè)層面分析了衛(wèi)星網(wǎng)絡(luò)面臨的威脅并對(duì)其相應(yīng)技術(shù)進(jìn)行詳細(xì)綜述。

在衛(wèi)星網(wǎng)絡(luò)的認(rèn)證協(xié)議方案研究方面，Cruickshank^［9］首先提出了一個(gè)適用于衛(wèi)星網(wǎng)絡(luò)的認(rèn)證協(xié)議，該協(xié)議基于PKI認(rèn)證方式，實(shí)現(xiàn)衛(wèi)星與用戶的雙向認(rèn)證，然而認(rèn)證效率較低。Hwang等人^［10］提出了一種基于私鑰密碼系統(tǒng)的、計(jì)算開銷更小的認(rèn)證方案，但該方案并不滿足前向安全性。

在后續(xù)的研究工作中，提高認(rèn)證方案安全性是一個(gè)研究重點(diǎn)。文獻(xiàn)［11］提出了一種基于證書的認(rèn)證方案，采用分布式證書頒發(fā)，提高了用戶與衛(wèi)星認(rèn)證的安全性，但計(jì)算開銷較大。Chen等人^［12］提出了一個(gè)基于口令的衛(wèi)星認(rèn)證方案，該方案通過(guò)加密和簽名驗(yàn)證用戶的身份，以此來(lái)提高方案的安全性。Zhang等人^［13］提出了一種可以抵御拒絕服務(wù)攻擊的認(rèn)證方案，而Yan等人^［14］發(fā)現(xiàn)文獻(xiàn)［13］的方案仍存在缺陷，為此提出了一種改進(jìn)方案，能夠有效抵御多種網(wǎng)絡(luò)攻擊。

提升方案的認(rèn)證效率也是一個(gè)重要研究方向。文獻(xiàn)［15］針對(duì)一系列傳統(tǒng)認(rèn)證方案中存在效率低、過(guò)程復(fù)雜等問(wèn)題，提出了一種數(shù)字簽名的衛(wèi)星網(wǎng)絡(luò)認(rèn)證方案。Lin^［16］在Lee等人^［17］的基礎(chǔ)上提出了一種動(dòng)態(tài)衛(wèi)星身份認(rèn)證方案，只進(jìn)行散列函數(shù)和異或運(yùn)算，計(jì)算成本較低，但無(wú)法應(yīng)對(duì)拒絕服務(wù)攻擊等安全威脅。Qi等人^［18］基于對(duì)稱密碼提出了一種衛(wèi)星網(wǎng)絡(luò)身份認(rèn)證方案，該方案不需要驗(yàn)證表，減小了計(jì)算開銷。Xu等人^［19］指出了文獻(xiàn)［18］的方案無(wú)法抵御智能卡丟失攻擊，為此提出了一種改進(jìn)的認(rèn)證方案，能夠抵御智能卡丟失攻擊的同時(shí)滿足前向安全性。

如何在保證安全性的前提下，有效地提高認(rèn)證效率成為近期研究者們的關(guān)注重點(diǎn)。Liu等人^［20］提出了一種衛(wèi)星網(wǎng)絡(luò)的輕量級(jí)認(rèn)證方案，以較低的計(jì)算和存儲(chǔ)成本提供了較好的攻擊抵抗能力，但存在一定的設(shè)計(jì)缺陷。文獻(xiàn)［21］根據(jù)3GPP協(xié)議，提出一種衛(wèi)星組網(wǎng)認(rèn)證方案，能夠應(yīng)對(duì)多種衛(wèi)星網(wǎng)絡(luò)安全威脅，但其應(yīng)用范圍僅限低軌衛(wèi)星組網(wǎng)認(rèn)證。文獻(xiàn)［22，23］提出了基于Token的認(rèn)證方案，采用對(duì)稱加密的方式，提高了認(rèn)證效率，但是沒(méi)有考慮攻擊者假冒衛(wèi)星節(jié)點(diǎn)的問(wèn)題。

綜上所述，現(xiàn)有的認(rèn)證方案在提高安全性、減少計(jì)算開銷方面進(jìn)行了改進(jìn)，但在應(yīng)用方面仍然存在局限性。目前尚未有將CFL認(rèn)證應(yīng)用到衛(wèi)星網(wǎng)絡(luò)的相關(guān)工作，本文旨在針對(duì)衛(wèi)星網(wǎng)絡(luò)，基于CFL認(rèn)證體制，提出一種安全、高效的衛(wèi)星網(wǎng)絡(luò)認(rèn)證方案。

2 CFL簡(jiǎn)介

2.1 CFL的基本原理與性質(zhì)

CFL（cryptography fundamental logics）認(rèn)證體制是在PKI和IBC認(rèn)證體制的基礎(chǔ)上提出的一種基于標(biāo)識(shí)的證書認(rèn)證體制。

2.1.1 CFL的基本原理

a）CFL認(rèn)證體制的基礎(chǔ)密鑰對(duì)包括由證書生成中心生成的標(biāo)識(shí)密鑰對(duì)和由證書生成中心生成的工作密鑰對(duì)。

b）驗(yàn)證過(guò)程（圖1）。生成用戶工作密鑰對(duì)，隨后向CFL證書生成中心申請(qǐng)證書并提交自己的工作公鑰等信息，再將簽發(fā)了的CFL證書發(fā)送給用戶端，然后用戶再將動(dòng)態(tài)CFL證書發(fā)送給驗(yàn)證方，進(jìn)行證書的識(shí)別驗(yàn)證，最后將驗(yàn)證結(jié)果返回。

2.1.2 CFL的性質(zhì)

a）CFL認(rèn)證體制安全性高、保密性強(qiáng)。

b）CFL認(rèn)證體制認(rèn)證過(guò)程快，應(yīng)用去中心化。

c）CFL認(rèn)證體制在數(shù)學(xué)結(jié)構(gòu)上極具靈活性。

2.2 指數(shù)乘積型密碼算法

在CFL認(rèn)證中，標(biāo)識(shí)密鑰對(duì)采用標(biāo)識(shí)認(rèn)證體制，目前廣泛使用的RSA密碼算法不是基于標(biāo)識(shí)的，因此本文使用一種基于標(biāo)識(shí)的指數(shù)乘積型密碼算法作為標(biāo)識(shí)密鑰對(duì)的基礎(chǔ)密碼算法。本節(jié)給出利用指數(shù)乘積型密碼算法生成標(biāo)識(shí)密鑰對(duì)的過(guò)程：選擇規(guī)模相當(dāng)?shù)膬蓚€(gè)大素?cái)?shù)p和q，令n=p*q。令p₁=（p-1）/2，q₁=（q-1）/2且要求p₁、q₁、（p₁-1）/2、（q₁-1）/2都為素?cái)?shù)。通過(guò)把SKB、PKB的數(shù)據(jù)放在數(shù)組中，由hash函數(shù)H得輸出序列構(gòu)成的停走序列來(lái)控選。設(shè)H的輸出為N bit，滿足s|N，并設(shè)N=st，輸出序列h={h₀，h₁，…，h_t-1}，其中h_i（i=0，1，…，t-1）為s bit的數(shù)。

設(shè)SKB={d₀，d₁，…，d_t*（2s-1）}，PKB={e₀，e₁，…，e_t*（2s-1）}且e_i ，d_i為從模φ（n）=（p-1）（q-1）的剩余類環(huán)的乘法群中選出的兩兩不同的比特?cái)?shù)小于［log 2φ（n）/t］的素?cái)?shù)。多線性函數(shù)設(shè)定為

對(duì)偶的：

其中：e_idi≡1 mod φ（n）。上述兩式中，記s（i）=∑ij=0h_j（i=0，1，…，t-1），其即為停走序列，用于控選私鑰基或公鑰基，且與h={h₀，h₁，…，h_t-1}一一對(duì)應(yīng)。本文把兩式統(tǒng)一稱為多線性函數(shù)變換。

本文稱類似于上述經(jīng)過(guò)指數(shù)乘積給出的公鑰密碼算法為指數(shù)乘積型公鑰密碼算法，算法的公鑰和私鑰由多個(gè)指數(shù)的乘積構(gòu)成，突破了RSA密碼算法的公鑰和私鑰的單指數(shù)結(jié)構(gòu)。對(duì)于CFL認(rèn)證來(lái)說(shuō)，攻擊者利用公開的公鑰基PKB和截獲的證書內(nèi)容，來(lái)得到私鑰基SKB是不可行的^［24］。

3 基于CFL認(rèn)證的衛(wèi)星網(wǎng)絡(luò)認(rèn)證方案研究

3.1 應(yīng)用場(chǎng)景

本文的衛(wèi)星網(wǎng)絡(luò)場(chǎng)景如圖2所示。衛(wèi)星網(wǎng)絡(luò)分為衛(wèi)星層和地面層兩層。其中衛(wèi)星層是核心部分，由在軌運(yùn)行的衛(wèi)星組成；地面層分為用戶與地面中心兩部分。用戶是具有衛(wèi)星通信功能的終端。地面中心包括控制中心和雷達(dá)基站，控制中心負(fù)責(zé)驗(yàn)證用戶身份、簽署證書及存儲(chǔ)證書信息；雷達(dá)基站是用戶、衛(wèi)星與控制中心的通信轉(zhuǎn)接站，負(fù)責(zé)消息的轉(zhuǎn)發(fā)。

在本文的場(chǎng)景中，作為網(wǎng)絡(luò)核心部分的衛(wèi)星，它們的運(yùn)行軌道是已知的，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的變化也是可以預(yù)知的，通過(guò)星地鏈路向地面中心申請(qǐng)證書，當(dāng)有新的衛(wèi)星加入衛(wèi)星網(wǎng)絡(luò)時(shí)，需要向地面中心申請(qǐng)證書。而用戶節(jié)點(diǎn)是隨機(jī)移動(dòng)的，當(dāng)用戶接入衛(wèi)星網(wǎng)絡(luò)時(shí)，首先通過(guò)地面網(wǎng)絡(luò)向地面中心申請(qǐng)證書，然后通過(guò)星地鏈路與接入的衛(wèi)星節(jié)點(diǎn)互換證書實(shí)現(xiàn)雙向認(rèn)證。當(dāng)用戶離開當(dāng)前衛(wèi)星的覆蓋范圍進(jìn)入新的衛(wèi)星覆蓋范圍時(shí)，需要與新接入的衛(wèi)星節(jié)點(diǎn)互換證書進(jìn)行認(rèn)證，達(dá)到安全接入、切換的效果。

3.2 攻擊者模型

結(jié)合安全協(xié)議形式化分析常用的Dolve-Yao模型^［25］和應(yīng)用場(chǎng)景，攻擊者對(duì)衛(wèi)星網(wǎng)絡(luò)發(fā)起的攻擊主要有以下幾種：

a）重放攻擊。攻擊者通過(guò)截獲衛(wèi)星網(wǎng)絡(luò)節(jié)點(diǎn)之間的消息進(jìn)行重放。

b）假冒攻擊。攻擊者通過(guò)截獲、破解用戶發(fā)送的認(rèn)證消息，偽造成合法的用戶向現(xiàn)有衛(wèi)星網(wǎng)絡(luò)發(fā)起認(rèn)證；或是截獲地面中心向用戶發(fā)送的消息，偽裝成地面中心向用戶發(fā)送消息。

c）DoS攻擊。攻擊者通過(guò)截獲用戶的認(rèn)證信息，利用得到的信息構(gòu)造大量的偽認(rèn)證信息發(fā)送至目標(biāo)衛(wèi)星節(jié)點(diǎn)，消耗其大量的計(jì)算資源和通信帶寬，使該衛(wèi)星系統(tǒng)癱瘓。

3.3 基于CFL認(rèn)證的衛(wèi)星網(wǎng)絡(luò)認(rèn)證方案

針對(duì)衛(wèi)星網(wǎng)絡(luò)的場(chǎng)景特點(diǎn)和安全需求，本節(jié)提出了一種適用于衛(wèi)星網(wǎng)絡(luò)的認(rèn)證方案，包括證書的簽署、入網(wǎng)認(rèn)證、證書的撤銷這三個(gè)部分。本文選用RSA密碼算法作為用戶和衛(wèi)星的工作密鑰對(duì)的基礎(chǔ)密碼算法。

3.3.1 證書的簽署

當(dāng)有用戶節(jié)點(diǎn)、新的衛(wèi)星節(jié)點(diǎn)接入網(wǎng)絡(luò)或證書需要更新時(shí)，地面中心為用戶或者需要更新證書的節(jié)點(diǎn)簽署并分發(fā)證書，這就是證書的簽署過(guò)程。本節(jié)以地面中心為用戶A簽署證書為例，主要有以下幾個(gè)步驟：

a）用戶A根據(jù)自己的身份信息生成ID，并根據(jù)工作密碼算法，生成一組工作公鑰私鑰對(duì)（RASK，RAPK）。

b）用戶A利用自己的hash函數(shù)H_A，計(jì)算h_A=H_A（ID‖RAPK）。利用簽名算法SIGN_A，用工作私鑰RASK加密H_A（ID‖RAPK），得數(shù)字簽名sign₁=SIGN_A（RASK，h_A）。隨后，用戶A將CD_A=〈ID，RAPK，H_A，sign₁〉發(fā)送給地面中心。

c）地面中心對(duì)數(shù)字簽名sign₁進(jìn)行驗(yàn)證。確保用戶身份的真實(shí)性和唯一性。若驗(yàn)證通過(guò)，繼續(xù)執(zhí)行后續(xù)步驟；否則終止認(rèn)證。對(duì)認(rèn)證請(qǐng)求的驗(yàn)證通過(guò)后，地面中心向用戶A返回一個(gè)證書CU_A，其生成過(guò)程如下所示。

（a）地面中心首先確定證書的簽署時(shí)間T_sign和撤銷時(shí)間T_expire，得到待簽署證書cert_A=〈ID，RAPK，H_A，T_sign，T_expire〉。

（b）管理中心根據(jù)簽名用hash函數(shù)H_C，得到多線性函數(shù)輸入的控制信息h_CA=H_C（ID‖RAPK‖H_A‖T_sign‖T_expire）。

（c）管理中心根據(jù)h_CA和私鑰基SKB，經(jīng)式（1）的多線性變換，生成用戶A的標(biāo)識(shí)私鑰IASK。

（d）管理中心使用簽名算法SIGN_C，以標(biāo)識(shí)私鑰IASK為密鑰加密h_CA，計(jì)算得sign₂=SIGN_C（IASK，h_CA）。

（e）將H_C、sign₂附在待簽署證書cert_A后就得到一份合法的經(jīng)簽名的證書C_UA=〈cert_A，H_C，sign₂〉發(fā)給用戶A。證書的簽署過(guò)程如圖3所示。

用戶A獲得證書以后將證書存儲(chǔ)在本地。地面中心將證書發(fā)送給用戶A之后，記錄證書簽署信息。衛(wèi)星的證書簽署過(guò)程與用戶相同。

3.3.2 入網(wǎng)認(rèn)證

入網(wǎng)認(rèn)證指衛(wèi)星網(wǎng)絡(luò)某一用戶接入衛(wèi)星網(wǎng)絡(luò)的認(rèn)證過(guò)程。本文以用戶A接入衛(wèi)星網(wǎng)絡(luò)的過(guò)程為例，當(dāng)用戶A想要接入衛(wèi)星網(wǎng)絡(luò)，與衛(wèi)星B建立連接時(shí)，用戶A和衛(wèi)星B需要將證書發(fā)送至對(duì)方進(jìn)行相互驗(yàn)證，驗(yàn)證過(guò)程分以下幾個(gè)步驟：

a）用戶A使用證書時(shí)，根據(jù)當(dāng)前時(shí)間生成時(shí)間戳T₁，并隨機(jī)生成隨機(jī)數(shù)J₁，用戶A使用自己的簽名用hash函數(shù)H_A，計(jì)算Z_A=H_A（ID‖RAPK‖T₁‖J₁），利用自己的簽名算法SIGN_A，得到簽名sign₃=SIGN_A（RASK，H_A（ID‖RAPK‖T₁‖J₁））。用戶A形成證書C_A=〈C_UA，T₁，J₁，sign₃〉發(fā)送給衛(wèi)星B。

b）衛(wèi)星B收到來(lái)自用戶A的證書以后，衛(wèi)星B計(jì)算H_A（ID‖RAPK‖T₁‖J₁），以RAPK為驗(yàn)算的公鑰，使用SIGN_A對(duì)應(yīng)的驗(yàn)證算法Verify_A，驗(yàn)證Verify_A（RAPK，sign₃，H_A（ID‖RAPK‖T₁‖J₁））是否正確，若驗(yàn)證通過(guò)，繼續(xù)執(zhí)行后續(xù)步驟；否則終止認(rèn)證。

c）步驟b）通過(guò)以后，衛(wèi)星B將cert_A輸入H_C，得到多線性函數(shù)輸入的控制信息h_BA；根據(jù)h_BA與地面中心公開的公鑰基PKB，經(jīng)式（2）的多線性函數(shù)變換，生成用戶A的標(biāo)識(shí)公鑰IAPK。

d）衛(wèi)星B生成IAPK以后，衛(wèi)星B根據(jù)證書C_A內(nèi)的cert_A與H_C，計(jì)算H_C（cert_A），衛(wèi)星B以IAPK為驗(yàn)算的公鑰，使用SIGN_C對(duì)應(yīng)的驗(yàn)證算法Verify_C，驗(yàn)證Verify_C（IAPK，sign₂，H_C（cert_A）），正確則通過(guò)，不正確則不通過(guò)。

e）衛(wèi)星B按照步驟a）生成證書C_B，將證書發(fā)給用戶A，用戶A按照步驟b）～d）進(jìn)行驗(yàn)證。若驗(yàn)證通過(guò)，用戶A和衛(wèi)星B實(shí)現(xiàn)了雙向認(rèn)證，雙方都相信對(duì)方是經(jīng)控制中心簽名認(rèn)證的合法衛(wèi)星網(wǎng)絡(luò)節(jié)點(diǎn)，認(rèn)證過(guò)程如圖4所示。

由于用戶A和衛(wèi)星B都是在移動(dòng)的，所以通信一段時(shí)間之后，雙方距離可能會(huì)超出通信距離，此時(shí)用戶A與衛(wèi)星B的連接會(huì)斷開，用戶A需要重新選擇一顆通信范圍內(nèi)的衛(wèi)星，重新進(jìn)行入網(wǎng)認(rèn)證過(guò)程來(lái)重新接入衛(wèi)星網(wǎng)絡(luò)。

3.3.3 證書的撤銷

地面中心和每個(gè)用戶、衛(wèi)星節(jié)點(diǎn)都在本地存儲(chǔ)一張證書撤銷列表CRL（certificate revocation lists）。當(dāng)一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)證書被撤銷時(shí)，CRL提供了一種通知其余網(wǎng)絡(luò)節(jié)點(diǎn)的中心管理方式。地面中心負(fù)責(zé)維護(hù)和更新CRL，并以多種方式將其公布，用戶、衛(wèi)星根據(jù)地面中心的CRL的更新情況來(lái)更新自己的CRL。在以下幾種情況下衛(wèi)星網(wǎng)絡(luò)節(jié)點(diǎn)需要撤銷證書：

a）證書到達(dá)撤銷時(shí)間。地面中心為衛(wèi)星網(wǎng)絡(luò)用戶節(jié)點(diǎn)簽署的證書內(nèi)容包括簽署時(shí)間和撤銷時(shí)間，當(dāng)?shù)竭_(dá)撤銷時(shí)間時(shí)，地面中心會(huì)撤銷證書并更新CRL。當(dāng)證書被撤銷后，用戶節(jié)點(diǎn)重新向地面中心申請(qǐng)證書。

b）用戶、衛(wèi)星節(jié)點(diǎn)離開當(dāng)前地面中心的覆蓋域。由于用戶、衛(wèi)星都是移動(dòng)的，有可能會(huì)離開原來(lái)覆蓋它的地面中心的覆蓋域，此時(shí)節(jié)點(diǎn)需要重新尋找新的地面中心。以用戶A為例，用戶A由于移動(dòng)而離開它當(dāng)前地面中心的覆蓋范圍時(shí)，當(dāng)前地面中心需要撤銷其為用戶A簽署的證書。此時(shí)，當(dāng)前地面中心更新CRL，隨后向覆蓋范圍內(nèi)的所有網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)布消息宣稱為用戶A簽署的證書作廢，同時(shí)向該地面中心向所有的地面中心發(fā)布同樣的消息，再由其余的地面中心將消息轉(zhuǎn)發(fā)給覆蓋域內(nèi)的所有網(wǎng)絡(luò)節(jié)點(diǎn)，收到該消息的網(wǎng)絡(luò)節(jié)點(diǎn)將用戶A的證書添加到自己的CRL中。當(dāng)用戶A進(jìn)入到新的地面中心的覆蓋域時(shí)，再向新的地面中心重新申請(qǐng)證書。

c）用戶私鑰泄露。一旦某一用戶節(jié)點(diǎn)當(dāng)前使用的工作私鑰RASK因某種原因泄露。該用戶節(jié)點(diǎn)必須在第一時(shí)間向地面中心聲明證書作廢。隨后地面中心將證書作廢聲明轉(zhuǎn)發(fā)至當(dāng)前覆蓋域的其他網(wǎng)絡(luò)節(jié)點(diǎn)以及其余地面中心，繼而轉(zhuǎn)發(fā)到衛(wèi)星網(wǎng)絡(luò)的其余全部節(jié)點(diǎn)。泄露節(jié)點(diǎn)將生成新的工作公私鑰對(duì)，向當(dāng)前地面中心申請(qǐng)新的證書。

根據(jù)網(wǎng)絡(luò)中所有存在的節(jié)點(diǎn)，對(duì)本地存儲(chǔ)的CRL進(jìn)行定期性更新，根據(jù)收到的撤銷消息將新的作廢證書加入CRL，用戶與衛(wèi)星之間進(jìn)行認(rèn)證時(shí)，衛(wèi)星首先檢查用戶證書是否超出有效期以及其是否出現(xiàn)在自己的CRL中，在保證證書沒(méi)有超出有效期且沒(méi)有作廢的情況下，再進(jìn)行之后的入網(wǎng)認(rèn)證過(guò)程。

4 方案分析

4.1 安全性分析

4.1.1 去中心自認(rèn)證

本文方案延續(xù)了CFL技術(shù)去認(rèn)證中心化的特性，主要體現(xiàn)在以下兩方面：

a）基于公私鑰基和身份ID生成簽名密鑰對(duì)。與PKI體系中CA進(jìn)行私鑰簽名的過(guò)程不同，CFL證書生成中心利用注冊(cè)節(jié)點(diǎn)的身份標(biāo)識(shí)ID和私鑰基SKB基于多線性控選函數(shù)生成對(duì)應(yīng)的標(biāo)志私鑰IASK，驗(yàn)證方也可直接通過(guò)公鑰基 PKB 和對(duì)方身份ID生成用于驗(yàn)證的標(biāo)志公鑰IAPK。這種簽名公私鑰生成方式?jīng)]有認(rèn)證中心私鑰的參與，免去了證書生成對(duì)認(rèn)證中心私鑰的依賴，能夠避免認(rèn)證中心私鑰泄露問(wèn)題，進(jìn)而降低證書生成中心身份偽造的可能性。

b）驗(yàn)證階段無(wú)須第三方參與。PKI和IBE認(rèn)證分別需要CA回證和KGC下發(fā)密鑰對(duì)才能完成雙方身份認(rèn)證，屬于典型的中心認(rèn)證機(jī)制。而本文方案在認(rèn)證過(guò)程中并無(wú)任何第三方參與，僅通過(guò)雙方交換并驗(yàn)證彼此的動(dòng)態(tài)證書就能夠自主實(shí)現(xiàn)對(duì)方的身份認(rèn)證，降低了驗(yàn)證過(guò)程中的通信開銷的同時(shí)還能夠很好地預(yù)防非誠(chéng)信的第三方實(shí)體對(duì)認(rèn)證過(guò)程發(fā)起的中間人攻擊。

4.1.2 防御重放攻擊

本文所提方案以采用時(shí)間戳技術(shù)抵御重放攻擊。證書發(fā)送方在向認(rèn)證方發(fā)送證書時(shí)，需要在證書內(nèi)容里加上時(shí)間戳T₁和隨機(jī)數(shù)J₁，然后把時(shí)間戳T₁、隨機(jī)數(shù)J₁和其他參數(shù)一起進(jìn)行簽名處理后發(fā)給認(rèn)證方。由于T₁和J₁的新鮮性，攻擊者將截獲的證書重放發(fā)給驗(yàn)證方時(shí)，驗(yàn)證不通過(guò)，有效防止了重放攻擊。

4.1.3 防御假冒攻擊

a）假冒地面中心節(jié)點(diǎn)攻擊。攻擊者若偽裝地面中心，需要向用戶A簽署證書CUA。但是，攻擊者無(wú)法獲取地面中心使用的標(biāo)識(shí)私鑰IASK，且對(duì)于一個(gè)合法的證書CUA內(nèi)的簽名值sign₂，攻擊者想要偽造一份內(nèi)容與合法證書不同、但使得其簽名值也為sign₂的證書是不可行的。因此攻擊者無(wú)法實(shí)施假冒地面中心攻擊。

b）假冒用戶節(jié)點(diǎn)攻擊。如果攻擊者假冒用戶A向衛(wèi)星B發(fā)起接入認(rèn)證，或是向地面中心發(fā)出申請(qǐng)。因?yàn)闆](méi)有用戶A的工作私鑰RASK，無(wú)法通過(guò)衛(wèi)星B或是地面中心的驗(yàn)證。若攻擊者截獲證書CA或是CDA，也無(wú)法根據(jù)證書內(nèi)容獲得用戶A的工作私鑰RASK或是構(gòu)造內(nèi)容不同、簽名值相同的偽證書。因此，假冒用戶節(jié)點(diǎn)來(lái)進(jìn)行攻擊也是難以進(jìn)行的。

c）假冒衛(wèi)星節(jié)點(diǎn)攻擊。如果攻擊者假冒衛(wèi)星節(jié)點(diǎn)向地面中心發(fā)出申請(qǐng)，或是假冒衛(wèi)星節(jié)點(diǎn)與用戶建立連接，與假冒用戶節(jié)點(diǎn)攻擊類似，攻擊者無(wú)法獲取衛(wèi)星節(jié)點(diǎn)的工作私鑰，也就無(wú)法通過(guò)地面中心或是用戶的認(rèn)證。因此，假冒衛(wèi)星節(jié)點(diǎn)來(lái)進(jìn)行攻擊同樣是難以進(jìn)行的。

4.1.4 防御DoS攻擊

對(duì)于衛(wèi)星網(wǎng)絡(luò)，攻擊者可通過(guò)向目標(biāo)衛(wèi)星或地面中心頻繁發(fā)送接入請(qǐng)求來(lái)消耗其有限的計(jì)算資源。在本方案中，對(duì)地面中心和衛(wèi)星B來(lái)說(shuō)，只需對(duì)數(shù)字簽名sign₁或sign₃進(jìn)行驗(yàn)證，即可驗(yàn)證用戶A的身份，消耗計(jì)算資源小，因此可以有效防御DoS攻擊。

4.2 性能分析

4.2.1 通信開銷

本節(jié)對(duì)比本文方案與其余相關(guān)方案的通信開銷。注冊(cè)階段包括用戶向地面中心提交身份信息，地面中心為用戶生成證書、口令或智能卡；認(rèn)證階段即認(rèn)證過(guò)程。假設(shè)SK為星地（即衛(wèi)星與用戶、衛(wèi)星與控制中心）間的一次會(huì)話，SW為用戶和控制中心之間的一次會(huì)話。表1對(duì)比了本文方案與相關(guān)方案的通信開銷。

根據(jù)衛(wèi)星軌道的高度不同，目前用于通信的衛(wèi)星主要分為低軌道（low earth orbit，LEO）衛(wèi)星、中軌道（medium earth orbit，MEO）衛(wèi)星和地球同步軌道（geostationary earth orbit，GEO）衛(wèi)星。GEO衛(wèi)星又稱高軌道衛(wèi)星，軌道高度在36 000 km左右，與地球保持相對(duì)靜止，覆蓋面積大，且通信傳輸時(shí)延較大，在250 ms左右；MEO衛(wèi)星軌道高度在2 000～36 000 km不等；LEO衛(wèi)星軌道高度在500～2 000 km左右，距離地面近，在通信中傳輸時(shí)延僅在20～50 ms，且通信過(guò)程中損耗低。

為探究SW所帶來(lái)的通信開銷，本文將位于坐標(biāo)上海的Ubuntu20.04騰訊云服務(wù)器作為控制中心（處理器為Intel? Xeon? Platinum 8255C CPU @ 2.50 GHz，網(wǎng)卡為Tencent VirtIO Ethernet Adapter，用戶A 選用Ubuntu虛擬機(jī)，CPU型號(hào)為Inter? Core^TM i5-7200U CPU @ 2.50 GHz，網(wǎng)卡為Intel? Wireless-AC 3165），以此來(lái)模擬控制中心與用戶A的實(shí)際網(wǎng)絡(luò)位置。經(jīng)測(cè)試，工具psping在兩個(gè)設(shè)備上訪問(wèn)并記錄時(shí)延數(shù)據(jù)與中間節(jié)點(diǎn)個(gè)數(shù)。時(shí)延數(shù)據(jù)差異主要影響因素是路由跳數(shù)以及網(wǎng)絡(luò)流量狀態(tài)，與設(shè)備自身性能無(wú)關(guān)。訪問(wèn)次數(shù)設(shè)置為300次，數(shù)據(jù)如表2所示。

由表1可見，本文方案中，由于控制中心需要為雙方簽署證書，所以注冊(cè)階段會(huì)話次數(shù)為4SW，高于部分方案，但是在認(rèn)證階段，本文會(huì)話次數(shù)明顯少于其他方案。因?yàn)樵诒疚乃岱桨钢校脩襞c衛(wèi)星之間的認(rèn)證過(guò)程不需要控制中心的參與，所以能夠減少用戶與控制中心、衛(wèi)星與控制中心的會(huì)話次數(shù)，有效減少了通信開銷。

4.2.2 計(jì)算開銷

一般來(lái)說(shuō)，采用基于證書的認(rèn)證方案的計(jì)算開銷大于基于對(duì)稱加密的認(rèn)證方案，但安全性和應(yīng)用范圍方面優(yōu)于基于對(duì)稱加密的認(rèn)證方案。

因此，本節(jié)只比較各采用基于證書或公鑰的認(rèn)證方案之間的計(jì)算開銷。由于密鑰生成算法、認(rèn)證過(guò)程各不相同，所以只比較認(rèn)證注冊(cè)階段控制中心為用戶、衛(wèi)星生成證書或簽名消息的計(jì)算開銷，以及認(rèn)證過(guò)程的計(jì)算開銷。其中，H代表一次散列運(yùn)算，E代表一次指數(shù)運(yùn)算，R代表一次求余運(yùn)算，M代表一次模逆預(yù)算。哈希算法采用SHA256，密鑰協(xié)商算法采用SM2國(guó)密算法。表3對(duì)比了本文方案與相關(guān)方案的計(jì)算開銷。因此能夠減少用戶與控制中心、衛(wèi)星與控制中心的會(huì)話次數(shù)，有效減少了通信開銷。

其中，文獻(xiàn)［11］采用分布式證書簽署，K的值最小為2。文獻(xiàn)［28］中利用密碼學(xué)PBC（Pairing-based cryptography）庫(kù)進(jìn)行實(shí)驗(yàn)，得出不同密碼運(yùn)算的平均耗時(shí)：哈希運(yùn)算約為0.002 3 ms，圓錐曲線點(diǎn)乘（包含了指數(shù)運(yùn)算等）約為2.226 ms，哈希運(yùn)算相較于指數(shù)運(yùn)算，可忽略不計(jì)，R、M則位于兩者中間，一般情況下，四者之間的關(guān)系為Egt;gt;Mgt;gt;Rgt;gt;H。由表3可以看出，本方案的計(jì)算開銷優(yōu)于文獻(xiàn)［11，14］ ；與文獻(xiàn)［9］的方案一致，但本方案通信開銷更小。本方案略微增加了用戶和衛(wèi)星的計(jì)算開銷，較大地減小了地面中心的計(jì)算負(fù)擔(dān)，整體的計(jì)算開銷較小。

5 結(jié)束語(yǔ)

本文針對(duì)衛(wèi)星網(wǎng)絡(luò)的特點(diǎn)和安全需求，提出一種基于CFL認(rèn)證的衛(wèi)星網(wǎng)絡(luò)認(rèn)證方案。該方案中地面中心分別為用戶與衛(wèi)星簽署CFL證書，認(rèn)證時(shí)用戶與衛(wèi)星交換證書，雙方根據(jù)公開的密碼資源生成密鑰驗(yàn)證對(duì)方的證書，實(shí)現(xiàn)用戶與衛(wèi)星的雙向認(rèn)證，整個(gè)認(rèn)證過(guò)程無(wú)須地面中心參與；在此基礎(chǔ)上，本文分析了認(rèn)證方案的安全性和效率性能，結(jié)果表明本文方案能夠?qū)崿F(xiàn)預(yù)期安全目標(biāo)，能夠抵御假冒攻擊、重放攻擊和拒絕服務(wù)攻擊等攻擊手段，可保證用戶高效、安全的接入衛(wèi)星網(wǎng)絡(luò)，在保證安全性的基礎(chǔ)上，減小了通信開銷和計(jì)算開銷，提高了認(rèn)證效率。下一步的研究重點(diǎn)主要聚焦在更高效的密碼算法以及其他網(wǎng)絡(luò)防御技術(shù)結(jié)合等方面。

參考文獻(xiàn)：

［1］肖葉秋，祝幸輝，趙雙睿，等.衛(wèi)星通信系統(tǒng)的物理層安全性能分析［J］.西安電子科技大學(xué)學(xué)報(bào).2021，48（3）：163-169.（Xiao Yeqiu，Zhu Xinghui，Zhao Shuangrui，et al.Analysis of physical layer security performance of satellite communication system［J］.Journal of Xidian University，2021，48（3）：163-169.）

［2］韓帥，李季蹊，李靜濤.衛(wèi)星地面融合網(wǎng)絡(luò)的竊聽威脅與物理層安全解決方案［J］.中興通訊技術(shù)，2021，27（5）：43-47.（Han Shuai，Li Jixi，Li Jingtao.Eavesdropping threat and physical layer security solution of satellite ground fusion network［J］.ZTE Communications，2021，27（5）：43-47.）

［3］齊小剛，馬久龍，劉立芳.基于拓?fù)淇刂频男l(wèi)星網(wǎng)絡(luò)路由優(yōu)化［J］.通信學(xué)報(bào)，2018，39（2）：11-20.（Qi Xiaogang，Ma Jiulong，Liu Lifang.Routing optimization of satellite network based on topology control［J］.Journal of Communication，2018，39（2）：11-20.）

［4］He Daojing，Li Xuru，Chan S，et al.Security analysis of a space-based wireless network［J］.IEEE Network，2019，33（1）：36-43.

［5］陳華平，呂述望，范修斌.基于標(biāo)識(shí)的證書認(rèn)證體制CFL［P］.中國(guó)，102957563A，2013-03-06.（ Chen Huaping，Lyu Shuwang，F(xiàn)an Xiubin.Logo-based certificate authentication system CFL［P］.China，102957563A，2013-03-06.）

［6］周萍，何大可，張文芳.具有強(qiáng)安全性不含雙線性對(duì)的基于證書盲簽名［J］.工程科學(xué)與技術(shù)，2013，45（4）：111-116.（Zhou Ping，He Dake，Zhang Wenfang.Strongly secure certificate-based blind signature scheme without pairings［J］.Advanced Engineering Sciences，2013，45（4）：111-116.）

［7］Liu Jianwei，Liu Weiran，Wu Qianhong，et al.Survey on key security technologies for space information networks［J］.Journal of Com-munications and Information Networks，2016，1（1）：72-85.

［8］李鳳華，殷麗華，吳巍，等.天地一體化信息網(wǎng)絡(luò)安全保障技術(shù)研究進(jìn)展及發(fā)展趨勢(shì)［J］.通信學(xué)報(bào)，2016，37（11）：156-168.（Li Fenghua，Yin Lihua，Wu Wei，et al.Research status and development trends of security assurance for space-ground integration information network［J］.Journal on Communications，2016，37（11）：156-168.）

［9］Cruickshank H S.A security system for satellite networks［C］//Proc of the 5th International Conference on Satellite Systems for Mobile Communications and Navigation.1996：187-190.

［10］Hwang M S，Yang C C，Shiu C Y.An authentication scheme for mobile satellite communication systems［J］.ACM SIGOPS Operating Systems Review，2003，37（4）：42-47.

［11］任方，馬建峰，郝選文.空間信息網(wǎng)基于證書的混合式公鑰基礎(chǔ)設(shè)施［J］.吉林大學(xué)學(xué)報(bào)：工學(xué)版，2012，42（2）：440-445.（Ren Fang，Ma Jianfeng，Hao Xuanwen.Certificate-based hybrid public key infrastructure for space information networks［J］.Journal of Jilin University：Engineering Edition，2012，42（2）：440-445.）

［12］Chen C L，Cheng Kaiwen，Chen Y L，et al.An improvement on the self-verification authentication mechanism for a mobile satellite communication system［J］.Applied Mathematics amp; Information Sciences，2014，8（1）：97-106.

［13］Zhang Yuanyuan，Chen Jianhua，Huang Baojun.An improved authentication scheme for mobile satellite communication systems［J］.International Journal of Satellite Communications and Networking，2015，33（2）：135-146.

［14］Yan Lili，Chang Yan，Zhang Shibin.Comments on an improved authentication scheme for mobile satellite communication systems［J］.International Journal of Electronic Security and Digital Forensics，2017，9（4）：396-406.

［15］高婧，黃望宗.基于ELGamal 數(shù)字簽名的衛(wèi)星網(wǎng)絡(luò)認(rèn)證方案［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2011，32（12）：3980-3982，4029.（Gao Jing，Huang Wangzong.Satellite network authentication scheme based on ELGamal digital signature［J］.Computer Engineering and Design，2011，32（12）：3980-3982，4029.）

［16］Lin Hanyu.Efficient dynamic authentication for mobile satellite com-munication systems without verification table［J］.International Journal of Satellite Communications and Networking，2016，34（1）：3-10.

［17］Lee C C，Li C T，Chang R X.A simple and efficient authentication scheme for mobile satellite communication systems［J］.International Journal of Satellite Communications amp; Networking，2012，30（1）：29-38.

［18］Qi Mingping，Chen Jianhua.An enhanced authentication with key agreement scheme for satellite communication systems［J］.International Journal of Satellite Communications amp; Networking，2018，36（3）：296-304.

［19］Xu Shuishuai，Liu Xindong，Ma Mimi，et al.An improved mutual authentication protocol based on perfect forward secrecy for satellite communications［J］.International Journal of Satellite Communications and Networking，2020，38（1）：62-73.

［20］Liu Yuchen，Zhang Aixin，Li Shenghong，et al.A lightweight authentication scheme based on self-updating strategy for space information network［J］.International Journal of Satellite Communications and Networking，2017，35（3）：231-248.

［21］張子劍，周琪，張川，等.新的低軌星座組網(wǎng)認(rèn)證與群組密鑰協(xié)商協(xié)議［J］.通信學(xué)報(bào)，2018，39（6）：146-154.（Zhang Zijian，Zhou Qi，Zhang Chuan，et al.New lowearth orbit satellites authentication and group key agreement protocol［J］.Journal on Communications，2018，39（6）：146-154.）

［22］朱輝，武衡，趙海強(qiáng)，等.面向低軌衛(wèi)星網(wǎng)絡(luò)的用戶隨遇接入?yún)f(xié)議［J］.清華大學(xué)學(xué)報(bào) ：自然科學(xué)版 ，2019，59（1）：1-8.（Zhu Hui，Wu Heng，Zhao Haiqiang，et al.User random access authentication protocol for low earth orbit satellite networks［J］.Journal of Tsinghua University：Science and Technology，2019，59（1）：1-8.）

［23］薛開平，周煥城，孟薇，等.天地一體化網(wǎng)絡(luò)無(wú)縫切換和跨域漫游場(chǎng)景下的安全認(rèn)證增強(qiáng)方案［J］.通信學(xué)報(bào)，2019，40（6）：138-147.（Xue Kaiping，Zhou Huancheng，Meng Wei，et al.Secure authentication enhancement scheme for seamless handover and roaming in space information network［J］.Journal on Communications，2019，40（6）：138-147.）

［24］秦紅兵，潘月君，范修斌，等.CFL可證明安全性分析［J］.信息安全研究，2016，2（7）：589-599.（Qin Hongbing，Pan Yuejun，F(xiàn)an Xiubin，et al.Analysis on CFL provable security［J］.Journal of Information Security Research，2016，2（7）：589-599.）

［25］Dolev D ，Yao A.On the security of public key protocols［J］.IEEE Trans on Information Theory，1983，29（2）：198-207.

［26］Burrows M，Abadi M，Needham R.A logic of authentication［J］.ACM SIGOPS Operaring System Review，1989，23（5）：1-13.

［27］Qi Mingping，Chen Jianhua，Chen Yitao.A secure authentication with key agreement scheme using ECC for satellite communication systems［J］.International Journal of Satellite Communications and Networking，2019，37（3）：234-244.

［28］Kilinc H H，Yanik T.A survey of SIP authentication and key agreement schemes［J］.IEEE Communications Surveys and Tutorials，2014，16（2）：1005-1023.