天地一體化網(wǎng)絡(luò)中基于令牌的安全高效漫游認(rèn)證方案

薛開平，馬永金，洪佳楠，許婕，楊青友

（中國科學(xué)技術(shù)大學(xué)電子工程與信息科學(xué)系，安徽 合肥 230026）

1 引言

隨著航天技術(shù)、衛(wèi)星通信技術(shù)的高速發(fā)展，以及用戶對網(wǎng)絡(luò)全球化的迫切需求，衛(wèi)星網(wǎng)絡(luò)與地面網(wǎng)絡(luò)融合組建天地一體化網(wǎng)絡(luò)已經(jīng)成為學(xué)術(shù)界和工業(yè)界的重要方向[1]。該網(wǎng)絡(luò)以衛(wèi)星網(wǎng)絡(luò)為骨干，以地面網(wǎng)絡(luò)為基礎(chǔ)，實現(xiàn)空、天、地、海等多維網(wǎng)絡(luò)的融合。相比傳統(tǒng)無線網(wǎng)絡(luò)，如蜂窩網(wǎng)絡(luò)，它具有廣域覆蓋、不受地理限制、抗毀、應(yīng)急能力強的優(yōu)點。作為傳統(tǒng)地面網(wǎng)絡(luò)的擴充，邊遠(yuǎn)地區(qū)、災(zāi)區(qū)、航海等場景下用戶對接入天地一體化網(wǎng)絡(luò)存在迫切的需求。

漫游業(yè)務(wù)是天地一體化網(wǎng)絡(luò)中必須實現(xiàn)的服務(wù)之一，因為這種異構(gòu)、融合的網(wǎng)絡(luò)中用戶的漫游不可避免，如從傳統(tǒng)的無線網(wǎng)絡(luò)漫游到衛(wèi)星網(wǎng)絡(luò)，或在不同域天地一體化網(wǎng)絡(luò)漫游。然而，由于衛(wèi)星網(wǎng)絡(luò)固有的特點，實現(xiàn)安全高效的漫游認(rèn)證方案面臨著許多挑戰(zhàn)。一方面，無線信道的開放性使惡意用戶可以通過監(jiān)聽信道竊取用戶隱私或通過偽造、重放、中間人攻擊破壞漫游協(xié)議，損害合法用戶的權(quán)益[1]。另一方面，衛(wèi)星和地面實體的高傳播時延會給設(shè)計低延時的漫游方案帶來嚴(yán)重的挑戰(zhàn)。此外，衛(wèi)星鏈路的高度動態(tài)性和不穩(wěn)定性也使高時延消耗的漫游機制難以在天地一體化網(wǎng)絡(luò)中實施。

現(xiàn)有的衛(wèi)星網(wǎng)絡(luò)無漫游認(rèn)證協(xié)議而只有接入認(rèn)證協(xié)議，主要有文獻(xiàn)[2～4]。它們能提供用戶和網(wǎng)絡(luò)的雙向認(rèn)證，并進(jìn)行密鑰協(xié)商等，但不適合多域的漫游場景，且這些認(rèn)證協(xié)議需要到網(wǎng)絡(luò)控制中心或地面站認(rèn)證用戶的身份，認(rèn)證時延大。另外，傳統(tǒng)無線網(wǎng)絡(luò)中的漫游認(rèn)證協(xié)議，如文獻(xiàn)[5,6]，盡管能保障漫游安全，包括漫游認(rèn)證、匿名性、密鑰協(xié)商等。但是這些漫游協(xié)議應(yīng)用到天地一體化場景中會帶來巨大的認(rèn)證時延。因為在傳統(tǒng)的衛(wèi)星網(wǎng)絡(luò)場景下，衛(wèi)星只負(fù)責(zé)轉(zhuǎn)發(fā)認(rèn)證消息，認(rèn)證過程由網(wǎng)絡(luò)控制中心或地面站完成。因此，本文將針對天地一體化網(wǎng)絡(luò)的特點，提出一種安全高效的漫游認(rèn)證方案。

本文基于低軌衛(wèi)星作為網(wǎng)絡(luò)接入點的場景，立足于衛(wèi)星具有一定計算能力的前提，設(shè)計了一種基于令牌的雙方漫游認(rèn)證方案。在本文的系統(tǒng)中，令牌是代表固定服務(wù)量（通話時長，流量）的入網(wǎng)憑據(jù)。用戶根據(jù)自己的需求向網(wǎng)絡(luò)控制中心（NCC，network control center）申請一定數(shù)目的令牌。本文將認(rèn)證功能由 NCC提前到衛(wèi)星上，認(rèn)證過程由攜帶令牌的漫游用戶和衛(wèi)星直接完成，大大減少了傳播時延，且基于單向累加器生成的令牌，不僅初始化簡單，一次模指數(shù)計算的認(rèn)證過程還使認(rèn)證過程計算開銷小，進(jìn)一步縮短認(rèn)證時延。本文基于單向累加器的單向性設(shè)計令牌的計費方式。這種計費方式可以做到漫游域網(wǎng)絡(luò)根據(jù)提供的總服務(wù)量向歸屬域網(wǎng)絡(luò)收費；歸屬域網(wǎng)絡(luò)也根據(jù)用戶使用過的令牌數(shù)目向用戶收費；用戶多申請但沒有使用的令牌不額外收費。另外，本文通過修改單向累加器密碼學(xué)算法使令牌機制支持用戶動態(tài)加入和自主業(yè)務(wù)定制，并通過引入Bloom Filter使漫游用戶的身份可以隨時撤銷，同時防止惡意用戶的接入。

2 相關(guān)工作

近年來，隨著衛(wèi)星網(wǎng)絡(luò)的高速發(fā)展，許多衛(wèi)星認(rèn)證協(xié)議被提出。在1996年，Cruickshank[7]首先提出了衛(wèi)星網(wǎng)絡(luò)的認(rèn)證模型，并提出了基于公鑰密碼體制的認(rèn)證方案。但是該方案計算開銷大，而且存在重放攻擊，只能實現(xiàn)衛(wèi)星對用戶的單向認(rèn)證。Hwang等[8]提出了基于預(yù)共享密鑰的認(rèn)證方案。在此方案中，用戶和 NCC利用預(yù)共享密鑰加密隨機數(shù)實現(xiàn)雙向認(rèn)證。每次認(rèn)證完后，NCC會向用戶發(fā)送新的預(yù)共享密鑰和隨機數(shù)實現(xiàn)密鑰的更新，防止重放攻擊。該方案相比文獻(xiàn)[7]更高效，然而密鑰存儲開銷大。Chang等[9]的方案和Hwang類似，前者把后者中的加密函數(shù)換為高效的散列函數(shù)來提高認(rèn)證效率，并且通過DH (Diffie-Hellman)交換和反向散列鏈實現(xiàn)密鑰更新。Chen等[10]結(jié)合公鑰密碼體制和預(yù)共享密鑰提出了一種新的認(rèn)證方案，該方案既能實現(xiàn)雙向認(rèn)證，還能具有較低的認(rèn)證開銷和密鑰更新開銷。Chen等[2]和 Zhao等[3]根據(jù)現(xiàn)有方案的安全漏洞，提出了更安全的認(rèn)證方案。他們的方案能防止惡意用戶攻擊，保護用戶隱私。然而，由于天體一體化網(wǎng)絡(luò)的多域漫游特征以及天地網(wǎng)絡(luò)實體的高傳播時延，這些方案不能直接應(yīng)用到漫游場景中。

傳統(tǒng)無線網(wǎng)絡(luò)的漫游認(rèn)證協(xié)議也不斷被完善。Jiang等[11]提出了一種基于秘密分割的匿名漫游協(xié)議，該方案具備匿名性，但是不具備不可追蹤性。而且認(rèn)證服務(wù)器兩兩之間需要共享會話密鑰，這使系統(tǒng)難以管理，可擴展性差。公鑰密碼體制隨即廣泛用于實現(xiàn)無線網(wǎng)絡(luò)中的漫游認(rèn)證，用來克服對稱密鑰體制中的缺點。Yang等[12]結(jié)合了無線漫游中的安全需求，提出了匿名無線漫游協(xié)議的整體框架結(jié)構(gòu)。之后，Yang等[13]在此結(jié)構(gòu)框架基礎(chǔ)上，進(jìn)一步提出一種基于 DH交換和公鑰證書的無線漫游協(xié)議，并給出了詳細(xì)的安全性分析。雖然相對于對稱密鑰體制而言，該方案更具備一定的靈活性以及很強的可擴展性。但是，由于PKI系統(tǒng)需要對證書進(jìn)行大量處理，尤其是認(rèn)證時需要在無線信道上傳遞證書并在終端進(jìn)行證書的驗證，嚴(yán)重增加了網(wǎng)絡(luò)負(fù)載及移動終端的計算量。為了避免這類弊端，提出了不同的基于身份的認(rèn)證協(xié)議。He等[5]利用群簽名機制實現(xiàn)了具有用戶匿名性的漫游方案，然而該方案需要不斷更新和檢查用戶撤銷列表，用戶撤銷開銷大。針對此，Liu等[6]提出了一種不需要用戶撤銷列表的群簽名漫游方案。它將生存時間寫入到用戶的私鑰中，過期的用戶將會被漫游域NCC檢測出而自動失效，大大節(jié)約了因用戶撤銷而造成的開銷。盡管上述傳統(tǒng)網(wǎng)絡(luò)的漫游認(rèn)證方案能提供安全性保障，但是在傳統(tǒng)的衛(wèi)星網(wǎng)絡(luò)場景下，衛(wèi)星和地面站的高傳播時延將會導(dǎo)致無法忍受的高認(rèn)證時延。

因此，這些方案無法直接應(yīng)用到天地一體化漫游場景中。本文基于天地一體化網(wǎng)絡(luò)的特異性，提出了一種基于令牌的雙方漫游認(rèn)證協(xié)議，不僅保證了安全性，還極大減少了認(rèn)證時延。

3 預(yù)備知識

3.1 單向累加器

單向累加器的概念最早由Benaloh和Mare提出[14]，用于驗證某個元素是否在一個指定的集合中。安全的單向累加器函數(shù)族是一個有限的函數(shù)f∶X×Y→X的集合且滿足3個屬性。

1) 計算有效性（computing availability）：存在一個多項式P，對每個給定的整數(shù)k，對所有的x∈X以及所有的y∈Y，f(x,y)是在P(k)時間內(nèi)可計算的。

2) 單向性(unidirection)：不存在多項式P，使存在一個概率多項式時間算法Ak，對任意給定的足夠大的k，隨機給定(x,y) ∈ (X,Y)，y'∈Y，Ak找到x'∈X，(x,y)≠(x',y')，使等式f(x,y)=f(x',y')成立的概率小于

3) 擬交換性（quasi-commutativity）：對所有的x∈X，y1,y2∈Y滿足

單向累加器常用于成員驗證（membership testing）[14]，定義集合Y′= {y1,y2,… ,ym}的累加值為f(f(…f(f(x,y1),y2)… ,ym?1),ym)。假設(shè)有m個元素，則z為集合Y= {y1,y2,… ,ym}的累加值，zi為集合Yi= {y1,y2,…yi?1,yi+1,… ,ym?1,ym}的累加值。當(dāng)單向累加器被用來驗證群組成員時，系統(tǒng)公布z，并頒發(fā)令牌(zi,yi)給成員。成員向驗證者提供令牌，驗證者計算f(zi,yi)是否和z相等，若相等，則成員屬于群組。f的準(zhǔn)交換性保證了一組數(shù)據(jù)按不同的順序進(jìn)行累加，所得的結(jié)果是相同的，也保證了上述等式的準(zhǔn)確性。f的安全性體現(xiàn)在它的單向性，即給定x∈X,y∈Y，對y'∈Y，找到滿足f(x,y) =f(x′,y′)是困難的。

Benaloh和Mare在文獻(xiàn)[14]中證明該單向累加器在強 RSA假設(shè)的前提下是安全的，定義p,q為 2個大素數(shù)，且滿足和均為大素數(shù)，n=pq。在本文方案中，令f(x,y) =xymodn。

3.2 Bloom Filter

Bloom Filter[15]是一種高效的數(shù)據(jù)結(jié)構(gòu)。它利用精簡的比特數(shù)組來代表一個數(shù)據(jù)集。初始時候長度為m的比特數(shù)組置為全 0。在 Bloom Filter的構(gòu)建過程中，利用數(shù)據(jù)集中的每一個字符串作為k個散列函數(shù)的輸入，輸出k個[0,m?1]的值。對每一個輸出值，將數(shù)組相應(yīng)位置置 1。如果相應(yīng)位置已經(jīng)是1，就不再處理。在數(shù)據(jù)查詢階段，對查詢的字符串也做同樣的k次散列運算。檢查比特數(shù)組相應(yīng)k個位置的值是否全為 1，若有一位為 0，則表示該字符串一定不在這個數(shù)據(jù)集。若全為1，則以一定的誤判率判定該字符串屬于該數(shù)據(jù)集。文獻(xiàn)[15]通過數(shù)學(xué)分析得到的誤判率為

其中，n為數(shù)據(jù)集的元素個數(shù)。由求導(dǎo)計算得當(dāng)時，誤判率最低。

本文方案利用Bloom Filter來存儲已使用過的或已撤銷的令牌，實現(xiàn)失效令牌在衛(wèi)星網(wǎng)絡(luò)上的輕量級傳輸，能有效防止失效令牌的使用，進(jìn)一步實現(xiàn)了漫游用戶的管理和計費。

4 系統(tǒng)和安全模型

4.1 系統(tǒng)模型

系統(tǒng)模型如圖1所示。在天地一體化網(wǎng)絡(luò)的漫游場景下，用戶離開歸屬域網(wǎng)絡(luò)進(jìn)入到漫游域網(wǎng)絡(luò)。漫游域網(wǎng)絡(luò)根據(jù)與歸屬域網(wǎng)絡(luò)的協(xié)議對漫游用戶進(jìn)行認(rèn)證，并提供網(wǎng)絡(luò)接入服務(wù)。在本文方案中，系統(tǒng)模型主要包括以下幾個實體：漫游用戶（U）、低軌衛(wèi)星（LEO）、地面站（GS）、網(wǎng)絡(luò)控制中心（NCC）。下面是主要實體的具體描述。

1) 漫游用戶（U）

在漫游場景下，U作為移動實體，離開歸屬域網(wǎng)絡(luò)進(jìn)入到漫游域網(wǎng)絡(luò)，并獲得網(wǎng)絡(luò)接入服務(wù)。在本文方案中，U向歸屬域NCC（HNCC）申請漫游服務(wù)，HNCC給U頒發(fā)漫游憑據(jù)令牌。漫游域網(wǎng)絡(luò)認(rèn)證U的令牌，并提供固定的網(wǎng)絡(luò)服務(wù)。

2) 低軌衛(wèi)星（LEO）

圖1 天地一體化網(wǎng)絡(luò)漫游認(rèn)證架構(gòu)

LEO作為天地一體化網(wǎng)絡(luò)的接入點，連接用戶和地面站，具有一定的計算和存儲能力[16]。在本文方案中，漫游域LEO(FLEO)參與漫游認(rèn)證過程，進(jìn)一步減少認(rèn)證時延。

3) 地面站（GS）

GS連接衛(wèi)星網(wǎng)絡(luò)和地面互聯(lián)網(wǎng)。用戶可通過GS連入地面互聯(lián)網(wǎng)。衛(wèi)星也可通過GS與NCC進(jìn)行通信。漫游時，U通過漫游域GS(FGS)連入地面互聯(lián)網(wǎng)中。

4) 網(wǎng)絡(luò)管理中心（NCC）

NCC是所在域網(wǎng)絡(luò)的管理中心。根據(jù)所在域不同，又可分為歸屬域 NCC（HNCC）和漫游域NCC(FNCC)。在本文方案中，HNCC與 FNCC簽署了漫游協(xié)議。HNCC給U頒發(fā)令牌。漫游域網(wǎng)絡(luò)對令牌進(jìn)行認(rèn)證。FNCC收集 U使用過的令牌向HNCC收取費用。

4.2 安全模型及安全需求

由于天地一體化網(wǎng)絡(luò)信道的暴露性，任何用戶均可通過監(jiān)聽信道獲得通信數(shù)據(jù)。因此，攻擊者可以通過竊聽來獲取合法用戶的傳輸信息。另外，攻擊者可以利用竊聽到的數(shù)據(jù)進(jìn)行篡改、重放或中間人攻擊，假扮合法用戶，從而欺騙系統(tǒng)，非法接入網(wǎng)絡(luò)。

在漫游認(rèn)證過程中，用戶固定的身份信息會暴露用戶的隱私，因為攻擊者可以利用身份信息鎖定用戶的地理位置。這種危害在軍事行動中尤為突出，敵方可以通過監(jiān)聽信道掌握我方的動向。完全的匿名性伴隨的是不可審計性，這不利于漫游的計費以及對非法用戶的追責(zé)。因此，用戶的身份既要對其他用戶匿名性，又要保證可追蹤性，這種看似矛盾的要求是天地一體化網(wǎng)絡(luò)的挑戰(zhàn)。鑒于上述提出的天地一體化網(wǎng)絡(luò)中的安全挑戰(zhàn)，本文提出下列安全需求。

1) 雙向認(rèn)證：漫游域網(wǎng)絡(luò)要對 U進(jìn)行認(rèn)證，防止非法用戶使用網(wǎng)絡(luò)資源。同時，U也要認(rèn)證FLEO，防止偽 FLEO獲取用戶隱私并進(jìn)行一系列惡意攻擊。

2) 密鑰協(xié)商：在相互認(rèn)證完畢后，U要和FGS協(xié)商出會話密鑰，用于后續(xù)數(shù)據(jù)的認(rèn)證和加密，防止攻擊者偽造數(shù)據(jù)以及通過公開信道竊聽數(shù)據(jù)。

3) 匿名性：U的身份對其他用戶匿名，但是HNCC能夠揭露U的真實身份。

4.3 安全假設(shè)

基于上述安全模型和安全，本文做出下列安全假設(shè)。

1) HNCC完全可信。它向U頒發(fā)令牌用于漫游服務(wù)，不可能被任何敵手攻破。

2) 漫游域網(wǎng)絡(luò)實體半可信。它們遵循與歸屬域的漫游協(xié)議，向合法U提供網(wǎng)絡(luò)服務(wù)，但是為了謀取更多利益，漫游域網(wǎng)絡(luò)實體可能偽造令牌用于向HNCC收取額外的費用。

3) 其他用戶不可信。他們嘗試破解本文提出的漫游認(rèn)證方案。例如，試圖破解合法U的隱私或偽造合法U的身份。

4) 不失一般性，本文假設(shè)用戶與HNCC、地面站與HNCC、衛(wèi)星與地面站之間存在安全通道。

5 漫游認(rèn)證方案

本文先簡要地介紹提出的漫游認(rèn)證方案；然后詳細(xì)描述方案細(xì)節(jié)，包括系統(tǒng)初始化及用戶注冊、預(yù)協(xié)商、漫游認(rèn)證及密鑰協(xié)商、用戶動態(tài)加入及令牌動態(tài)補充、令牌失效及用戶動態(tài)撤銷、令牌計費。

為了描述方便，表1列舉了方案中涉及的相關(guān)實體的符號定義。

表1 實體符號定義

5.1 方案概述

漫游認(rèn)證方案如圖2所示。在系統(tǒng)初始化階段，HNCC通過FNCC向漫游域低軌衛(wèi)星廣播已撤銷的令牌標(biāo)識yi，衛(wèi)星存入到Bloom Filter中。HNCC給 U頒發(fā)令牌。FGS通過預(yù)協(xié)商將密鑰協(xié)商參數(shù)bP和FNCC傳來的用戶暫時身份標(biāo)識組TMSI發(fā)送給 FLEO。其中，P為橢圓曲線的生成元，是系統(tǒng)公布參數(shù)，b為FGS生成的隨機數(shù)。待U進(jìn)入漫游域時，他向FLEO出示令牌并發(fā)送密鑰協(xié)商參數(shù)aP。FLEO驗證令牌的合法性后，將從TMSI中隨機抽取的標(biāo)識TMSIi和bP一起發(fā)送給U。TMSIi用于后續(xù)對U提供定量的網(wǎng)絡(luò)服務(wù)，并進(jìn)行域內(nèi)的管理和監(jiān)督；bP用于密鑰協(xié)商。與此同時，F(xiàn)LEO將aP和yi發(fā)送給FGS。aP用于密鑰協(xié)商；yi發(fā)送給FNCC用于向HNCC收取費用。最后FLEO將已認(rèn)證過的yi廣播給其余衛(wèi)星，防止令牌重用。由于FLEO直接驗證用戶的合法性，避免了地面站或NCC的直接參與，大大減少傳播時延，且令牌也基于單向累加器產(chǎn)生，相比于其他認(rèn)證方案，驗證高效，大大減少了計算時延。

5.2 系統(tǒng)初始化及用戶注冊

NCC利用單向累加器為每個衛(wèi)星頒發(fā)身份驗證憑據(jù)(zi′,yi′)，將衛(wèi)星公共參數(shù)z′通過安全通道廣播給與它簽訂漫游協(xié)議的NCC。其中z′、zi′定義為

圖2 漫游認(rèn)證方案

其中，yi′為滿足等式的自然數(shù)，l為衛(wèi)星數(shù)目。

在本文方案中，一個令牌代表一定的服務(wù)量（通話時長，流量），U根據(jù)自己的需求向 HNCC申請一定數(shù)目的令牌。HNCC利用用戶公共參數(shù)z為U分配令牌。z有固定的有效期，以一個月為例。HNCC在不同的月份用不同的z生成令牌。HNCC將 12個月份的z發(fā)送給與它簽訂漫游協(xié)議的FNCC。FNCC廣播給域內(nèi)所有低軌衛(wèi)星。低軌衛(wèi)星在不同的月份用相應(yīng)的z驗證令牌的合法性。令牌為(zi,yi)，yi為滿足等式的自然數(shù)，m為令牌總數(shù)目，其他參數(shù)定義為

用戶注冊時，HNCC將用戶申請的令牌以及漫游域衛(wèi)星公共參數(shù)z′通過安全通道發(fā)送給用戶。每個衛(wèi)星維護一個由系統(tǒng)撤銷或已使用過的令牌標(biāo)識yi構(gòu)建的 Bloom Filter。初始時候，HNCC通過安全通道向FNCC傳輸當(dāng)月已撤銷的yi。FNCC再通過安全通道向所在域所有低軌衛(wèi)星廣播這些yi。衛(wèi)星將這些yi添加到Bloom Filter中。

5.3 預(yù)協(xié)商

預(yù)認(rèn)證過程如圖3所示。FNCC將域內(nèi)暫時身份標(biāo)識組TMSI通過安全通道傳輸給FGS，且給不同的 FGS傳輸不同的 TMSI從而防止身份重用。FGS生成密鑰協(xié)商參數(shù)bP，F(xiàn)GS將TMSI和bP通過安全通道發(fā)送給FLEO。

5.4 漫游認(rèn)證及密鑰協(xié)商

這個階段發(fā)生在U移動到漫游域網(wǎng)絡(luò)，并且向網(wǎng)絡(luò)發(fā)起接入請求。U首先和FLEO進(jìn)行雙向認(rèn)證，接著通過FLEO和FGS協(xié)商出會話密鑰。認(rèn)證過程如圖3所示，下面描述具體細(xì)節(jié)。

第一步，U產(chǎn)生隨機數(shù)a，計算aP，并結(jié)合當(dāng)前的時間戳tsU計算出散列值s1=h(aP||tsU)。再通過s1和令牌中的zi產(chǎn)生認(rèn)證載荷R1=f(zi,s1)。最后U將密鑰協(xié)商參數(shù)aP、yi、R1，歸屬域標(biāo)識NETID，tsU一起發(fā)給FLEO。

第二步，當(dāng)FLEO收到U發(fā)來的接入請求載荷后，它首先驗證傳播時延tnow?tsU是否在可接受的閾值Δt以內(nèi)。如果超出閾值，則認(rèn)為此為重放分組，拒絕U的接入。如果未超出閾值，F(xiàn)LEO將yi作為查詢元素，通過Bloom Filter檢查令牌是否失效。若令牌失效，則FLEO拒絕U的接入。若令牌未失效，F(xiàn)LEO通過aP和tsU生成s1，并根據(jù)域NETID頒發(fā)的z驗證等式f(R1,yi) =f(z,s1)是否成立。若不成立，同樣拒絕用戶接入。若成立，則認(rèn)為 U合法，繼續(xù)執(zhí)行下列步驟。FLEO結(jié)合當(dāng)前的時間戳tsSAP和 FGS發(fā)來的bP計算散列值s2=h(bP||tsSAP)，接著利用HNCC頒發(fā)的身份驗證憑據(jù)產(chǎn)生認(rèn)證載荷R2=f(zi′ ,s2)，然后隨機從TMSI中 選 擇 一 個TMSIi， 將 接 入 應(yīng) 答 {yi,bP,yi′ ,R2,TMSIi,tsSAP}發(fā)送給 U同時將{bP,aP,yi,TMSIi,NETID}通過安全通道發(fā)送給 FGS。最后，F(xiàn)LEO將yi插入到Bloom Filter中，并向所在域其他低軌衛(wèi)星廣播yi。其他衛(wèi)星收到y(tǒng)i后做同樣操作。

圖3 漫游認(rèn)證及密鑰協(xié)商

第三步，U收到FLEO發(fā)來的接入應(yīng)答后，它首先驗證傳播時延tnow?tsSAP是否在可接受的閾值Δt以內(nèi)。如果超出閾值，則認(rèn)為是重放分組，忽略FLEO的應(yīng)答。如果未超出閾值，U通過bP和tsSAP生成s2，并驗證等式f(R2,yi′ ) =f(z′,s2)是否成立。若不成立，則認(rèn)為FLEO非法，同樣忽略FLEO的應(yīng)答。若成立，計算會話密鑰SK=abP。FGS收到衛(wèi)星的應(yīng)答分組后，也計算出和U共享的會話密鑰SK=abP，并將yi和NETID發(fā)送給FNCC，用于后續(xù)的計費。

至此，U和FGS協(xié)商出共享的會話密鑰，從而建立了安全通道。認(rèn)證結(jié)束后，U獲得漫游域網(wǎng)絡(luò)的暫時身份標(biāo)識 TMSIi，相當(dāng)于漫游域的其他合法用戶。漫游域網(wǎng)絡(luò)根據(jù)本域規(guī)則對U進(jìn)行管理和監(jiān)督，并提供令牌包含的定量網(wǎng)絡(luò)服務(wù)。

5.5 用戶動態(tài)加入和令牌動態(tài)補充

在實際網(wǎng)絡(luò)運營過程中，用戶可能隨時向HNCC申請新的令牌，包括新漫游用戶因為需要漫游而申請令牌或老漫游用戶因為令牌數(shù)目不足而申請新的令牌。所以，合理的方案必須要滿足即使在系統(tǒng)初始化和用戶注冊完畢后，用戶仍能申請令牌，即能實現(xiàn)令牌的動態(tài)加入。令牌動態(tài)加入過程如下：假設(shè)當(dāng)月的用戶公共參數(shù)為z，HNCC產(chǎn)生一個隨機數(shù)yk，yk滿足和(p? 1)(q? 1)互素且未被使用過，HNCC生成zk，zk滿足

5.6 令牌失效及用戶動態(tài)撤銷

當(dāng)令牌被漫游域網(wǎng)絡(luò)認(rèn)證后，為了防止令牌重用，F(xiàn)LEO將yi插入到所維護的Bloom Filter中，同時向所在域其他低軌衛(wèi)星廣播已認(rèn)證的yi，其他衛(wèi)星收到y(tǒng)i后做同樣操作。當(dāng)令牌被認(rèn)證后，U會被分配TMSIi。后續(xù)歸屬域網(wǎng)絡(luò)利用TMSIi，根據(jù)所在域網(wǎng)絡(luò)規(guī)則向U提供定量的網(wǎng)絡(luò)服務(wù)?？紤]到漫游高峰期可能存在過多漫游用戶同時接入網(wǎng)絡(luò)，F(xiàn)LEO廣播yi開銷大，此時，F(xiàn)LEO可以將這一時間段的yi聚合后再廣播給其余低軌衛(wèi)星。

由于令牌的驗證依賴于用戶公共參數(shù)z，而z有特定的生存周期，衛(wèi)星在不同月份用相應(yīng)的z認(rèn)證令牌，所以令牌也有特定的生存周期，它只在對應(yīng)的月份有效。衛(wèi)星在新的月份來臨的時候清空Bloom Filter，防止Filter無限增大。

由于一些 U可能非法使用令牌或想申請退出漫游服務(wù)，系統(tǒng)需要主動撤銷這些U的所有令牌來撤銷用戶。本文設(shè)計一套機制來支持用戶的動態(tài)撤銷。HNCC將撤銷用戶有效期為當(dāng)月的令牌yi通過安全通道發(fā)送給FNCC。FNCC收到消息后，將這些yi通過安全通道廣播給所在域的所有低軌衛(wèi)星。低軌衛(wèi)星將這些值存入到Bloom Filter中。若用戶還有剩余令牌沒有撤銷，則在令牌生效的月初執(zhí)行撤銷操作。

5.7 令牌計費

當(dāng)U認(rèn)證完畢后，F(xiàn)LEO將yi通過FGS發(fā)送給FNCC。FNCC利用收集的yi向HNCC收取費用。HNCC也根據(jù)用戶使用的令牌數(shù)目向其收取費用。這樣的計費方式有以下優(yōu)點。

1) 用戶享受多少服務(wù)就收取多少費用，極大維護用戶的權(quán)益。

2) 用戶即使多申請了額外的令牌也不用主動撤銷，因為不使用的令牌不會被計費。

3) 漫游域根據(jù)提供的服務(wù)量向歸屬域收取費用，收費公平。

FNCC可能試圖偽造yi向 HNCC收取額外費用，下面本文證明這種行為不可能發(fā)生。令牌由HNCC通過安全通道發(fā)送給U，其他網(wǎng)絡(luò)實體包括FNCC無法得知未使用過的yi。FNCC可能猜測yi，然而由于單向累加器的單向性，以及yi的隨機性，猜測的yi不一定準(zhǔn)確，HNCC針對錯誤的yi給予嚴(yán)厲的懲罰措施可以制止這種行為。

6 安全分析

6.1 雙向認(rèn)證

1) FLEO認(rèn)證合法U

在漫游接入階段，U向 FLEO發(fā)送接入請求。由于用戶公共參數(shù)z提前通過安全通道發(fā)送給FLEO，所以FLEO可以通過等式f(R1,yi) =f(z,s1)驗證令牌的合法性從而驗證U的身份。等式成立依據(jù)為

考慮攻擊者偽造合法U身份惡意接入網(wǎng)絡(luò)。

攻擊目標(biāo)：攻擊者構(gòu)造接入請求分組 {aP,yi,R1,NETID,tsU}，以使 FLEO能夠檢測到f(R1,yi)=f(z,s1)。其中，s1和R1滿足

攻擊資源：攻擊者能夠獲得用戶公共參數(shù)z，并且能夠獲得過去時間內(nèi) U發(fā)送的接入請求五元組{aP,yi,R1,NETID,tsU}。

攻擊者的攻擊可形式化為生成新的接入請求五元組 {aP,yi,R1′ ,N ETID,tsU′ }。根據(jù)攻擊方式不同，yi可以是偽造的令牌標(biāo)識或是截獲的已知令牌標(biāo)識。R1′為構(gòu)造的認(rèn)證載荷，tsU′為待攻擊的時間點，其他信息aP和NETID都是已知且可修改的。

若攻擊者虛構(gòu)U身份，則yi由攻擊者生成。由于R1′由zi和s1經(jīng)單向累加器函數(shù)生成，且s1由已知信息aP和tsU′散列生成，所以攻擊可進(jìn)一步歸約為構(gòu)造令牌(zi,yi)。由單向累加器函數(shù)的單向性可知，已知z=f(zi,yi)，構(gòu)造(zi,yi)滿足等式在計算上是不可行的。所以攻擊者無法虛構(gòu) U身份。

若攻擊者截獲用戶發(fā)送的接入請求分組，并且假冒U身份，則yi已知。且R1′由zi和s1經(jīng)單向累加器函數(shù)生成，s1由已知信息aP和tsU′散列生成，所以攻擊可進(jìn)一步歸約為構(gòu)造已知yi的令牌(zi,yi)。已知

攻擊者可以從已知的z和yi或R1和s1的關(guān)系中求解出zi，且這2種方式求解難度相同。在已知z、yi和n，但n的素因子p和q未知的情況下，求解zi的難度等價于大數(shù)分解難題，這在計算上是不可行的。同理，已知R1和s1，求解zi在計算上也是不可行的。所以攻擊者無法假冒U的身份。

綜上所述，攻擊者無法偽造接入請求分組以通過FLEO的驗證，因此本方案可以實現(xiàn)FLEO認(rèn)證合法U的功能。

2) U認(rèn)證合法FLEO

在漫游應(yīng)答階段，F(xiàn)LEO向 U發(fā)送接入應(yīng)答{yi,bP,yi′,R2,TMSIi,tsSAP}。由于衛(wèi)星公共參數(shù)z′提前通過安全通道發(fā)送給 U，所以 U可以通過等式f(R2,yi′ ) =f(z′,s2)驗證FLEO身份的合法性。等式成立依據(jù)為

考慮攻擊者偽造FLEO身份。

攻擊目標(biāo)：攻擊者構(gòu)造接入應(yīng)答分組以使 U能夠檢測到其中，s2和R2滿足

攻擊資源：攻擊者能夠獲得衛(wèi)星公共參數(shù)z'，并且能夠獲得過去時間內(nèi)FLEO對U發(fā)送的接入應(yīng)答六元組 {yi,bP,yi′ ,R2,TMSIi,tsSAP}。

攻擊者的攻擊可形式化為生成接入應(yīng)答六元組{yi,bP,yi′ ,R2′,T MSIi,tsS′AP}。其中，yi為發(fā)起接入請求U的令牌標(biāo)識，根據(jù)攻擊方式不同，yi′可以是偽造的衛(wèi)星身份驗證憑據(jù)標(biāo)識或是已知的FLEO身份驗證憑據(jù)標(biāo)識。R2′為構(gòu)造的認(rèn)證載荷，tsS′AP為待攻擊的未來時間，其他信息bP，TMSIi都是已知并且可修改的。

若攻擊者虛構(gòu)FLEO身份，則yi′由攻擊者生成。且R2′由zi′和s2經(jīng)單向累加器函數(shù)生成，s2由已知信息bP和tsS′AP散列生成，所以攻擊可進(jìn)一步歸約為構(gòu)造衛(wèi)星身份驗證憑據(jù)(zi′,yi′ )。由單向累加器函數(shù)的單向性可知，已知z′ =f(zi′ ,yi′ )，構(gòu)造(zi′ ,yi′)滿足等式在計算上是不可行的。所以攻擊者也無法虛構(gòu)FLEO的身份。

若攻擊者假冒已知FLEO身份，則yi′是已知的。且R2′由zi′和s2經(jīng)單向累加器函數(shù)生成，s2由已知信息bP和tsS′AP散列生成，所以攻擊可進(jìn)一步歸約為構(gòu)造已知yi'的衛(wèi)星身份驗證憑據(jù)(zi′ ,yi′ )。已知

攻擊者可以從已知的z′和yi′或R2和s2的關(guān)系中求解出zi′，且這2種方式求解難度相同。已知z′、yi′和n，但是n的素因子p和q未知的情況下，求解zi′的難度等價于大數(shù)分解難題，這在計算上是不可行的。同理，已知R2和s2，求解zi′在計算上也是不可行的。所以攻擊者無法構(gòu)造已知yi′的衛(wèi)星身份驗證憑據(jù)(zi′,yi′)，即無法假冒已知FLEO的身份。

綜上所述，攻擊者無法偽造接入應(yīng)答分組以通過U的驗證，因此，本文方案可以實現(xiàn)U認(rèn)證合法FLEO的功能。

6.2 抵抗中間人攻擊

攻擊目標(biāo)：在漫游接入階段，攻擊者截獲U發(fā)送的接入請求分組，修改密鑰協(xié)商參數(shù)等信息，偽造新的接入請求分組以被FLEO驗證通過。在漫游應(yīng)答階段，攻擊者截獲FLEO發(fā)送的接入應(yīng)答分組，修改密鑰協(xié)商參數(shù)等信息，偽造新的接入應(yīng)答分組以被U驗證通過。

攻擊資源：用戶公共參數(shù)z，衛(wèi)星公共參數(shù)z′，U發(fā)送給 FLEO的接入請求五元組 {aP,yi,R1,NETID,tsU}，F(xiàn)LEO發(fā)送給 U的接入應(yīng)答六元組

由6.1節(jié)所分析的雙向認(rèn)證特性可知，攻擊者在截獲了 U發(fā)送給衛(wèi)星的接入請求分組后無法偽造新的接入請求分組以被FLEO驗證通過，同時攻擊者在截獲了 FLEO發(fā)送給用戶的接入應(yīng)答分組后也無法偽造新的接入應(yīng)答分組以被U驗證通過，即中間人攻擊不會成功，因此，本文方案可以有效地抵抗中間人攻擊。

6.3 抵抗重放攻擊

攻擊目標(biāo)：攻擊者重放在過去時間tsU′合法 U的漫游接入請求分組 {aP,yi,R1,NETID,tsU′ }，以使FLEO能夠檢測到f(R1,yi) =f(z,s1)?；蚬粽咧胤旁谶^去時間tsS′AP合法FLEO的漫游接入應(yīng)答分組{yi,bP,yi′,R2,TMSIi,tsS′AP}， 以 使 U能 夠 檢 測 到f(R2,yi′ ) =f(z′,s2)。

攻擊資源：攻擊者能夠獲得過去時間內(nèi)U發(fā)送給FLEO的接入請求五元組 {aP,yi,R1,NETID,tsU}，以及 FLEO發(fā)送給 U的接入應(yīng)答六元組{yi,bP,yi′,R2,TMSIi,tsSAP}。

漫游認(rèn)證過程中，F(xiàn)LEO在收到U的漫游接入請求分組后，會首先驗證傳播時延tnow?tsU是否在可接受的閾值Δt以內(nèi)。若超出閾值，則認(rèn)為接入請求超時，拒絕U的接入，所以能抵抗攻擊者重放接入請求分組。U在收到FLEO的漫游應(yīng)答分組后，也會首先驗證傳播時延tnow?tsSAP是否在可接受的閾值Δt以內(nèi)。如果超出閾值，則認(rèn)為接入應(yīng)答超時，終止認(rèn)證操作，所以能抵抗攻擊者重放接入應(yīng)答分組。綜上所述，本文方案可以抵抗重放攻擊。

6.4 密鑰協(xié)商

本文方案的密鑰協(xié)商過程是基于橢圓曲線的DH密鑰交換算法?；贒H困難假設(shè)，任何攻擊者在僅知道P、aP和bP的情況下無法計算出abP。在本文方案中，U和FGS分別產(chǎn)生DH密鑰協(xié)商參數(shù)aP和bP，然后協(xié)商出會話密鑰SK=abP。鑒于上文所證明的安全性，攻擊者只能獲得aP和bP，并且無法篡改他們，因為一旦篡改他們，認(rèn)證將不通過，所以任何除了U和FGS的實體都無法計算出會話密鑰，包括FLEO。

6.5 身份隱私保護

U根據(jù)自己的服務(wù)量向HNCC申請多個令牌。不同令牌之間不具有任何相關(guān)性，相當(dāng)于多個假名。其他用戶甚至FNCC都無法確定不同令牌是否屬于同一個用戶，只有HNCC能根據(jù)yi或zi查詢令牌表確定U的真實身份。在U認(rèn)證完畢后，F(xiàn)LEO隨機挑選一個TMSIi發(fā)送給U。TMSIi的隨機性使U的身份對其他用戶具有一定的匿名性。

7 性能分析

本文通過分析認(rèn)證時延評估本方案的性能。認(rèn)證時延是用戶執(zhí)行一次認(rèn)證流程所耗費的總時間，包括各個認(rèn)證實體執(zhí)行密碼學(xué)操作造成的計算時延以及實體間交互造成的通信時延，即認(rèn)證時延=計算時延+通信時延。其中，通信時延取決于實體之間信號的傳播時延以及交互次數(shù)。為了方便分析，本文分別將U到FLEO，F(xiàn)LEO到FGS，F(xiàn)GS到 FNCC，F(xiàn)NCC到 HNCC的傳播時延表示為TU-FLEO、TFLEO-FGS、TFGS-FNCC、TFNCC-HNCC。由于低軌衛(wèi)星和地面相距 500～2 000 km[17]且實測實驗室主機至云端服務(wù)器（百度服務(wù)器、阿里服務(wù)器等）來回時延10～30 ms，所以本文設(shè)定TU-FLEO=TFLEO-FGS=10 ms，TFGS-FNCC= 5 ms，TFNCC-HNCC= 5 ms。文獻(xiàn)[18]以Intel P-IV 3 GHz處理器利用OPENSSL庫測得一些密碼學(xué)算法的計算耗時。其中，一次雙線性映射、一次橢圓曲線的點乘、一次模指數(shù)運算分別耗時Tpair= 11.903ms，Tmul= 0.376 ms ，Texp= 0.387 ms 。由于散列運算和對稱加密相對于別的密碼學(xué)算法耗時可忽略不計，本文在方案比較過程中忽略散列運算帶來的時延。另外，本文所提方案在認(rèn)證過程中需要查詢Bloom Filter表，而查表過程的復(fù)雜度相當(dāng)于做有限次散列運算，所以我們忽略查表帶來的時延。

本文選取具有代表性的文獻(xiàn)[2, 3, 5, 11]的漫游相關(guān)方案和本文方案進(jìn)行比較。需要注意的是，由于衛(wèi)星網(wǎng)絡(luò)關(guān)于漫游的研究匱乏，所以選取的這些方案并非專門針對天地一體化網(wǎng)絡(luò)漫游場景。文獻(xiàn)[2,3]的方案是衛(wèi)星網(wǎng)絡(luò)下的認(rèn)證方案，選取它們作為比較對象是因為這2種方案和本文方案均針對天地一體化網(wǎng)絡(luò)環(huán)境，且均提供了較為高效的認(rèn)證方案。文獻(xiàn)[5,11]的方案是無線網(wǎng)絡(luò)環(huán)境下的漫游方案，選取它們作為比較對象是因為這2種方案和本文方案同處于漫游場景且也較為高效。鑒于這些方案和本文方案場景的差異性，本文根據(jù)天地一體化網(wǎng)絡(luò)特點對被比較方案做了適應(yīng)性修改。文獻(xiàn)[2, 3]的方案的身份驗證者原為所在域NCC，本文將其的移動至HNCC，既保證了方案的自然遷移也保障了安全性。文獻(xiàn)[5,11]的方案的身份驗證者原本即分別為HNCC和FNCC，本文不做修改。

表2展示了相關(guān)方案性能對比的情況。從表2可以看出，本文方案在計算上需執(zhí)行6次模指數(shù)運算，2次橢圓曲線點乘運算。而文獻(xiàn)[2]的方案需執(zhí)行3次模指數(shù)運算，文獻(xiàn)[5]的方案需執(zhí)行3次雙向線性映射計算和16次橢圓曲線點乘運算，文獻(xiàn)[3]和文獻(xiàn)[11]的方案由于涉及的密碼學(xué)算法為散列計算或者對稱加密，相比其他密碼學(xué)算法計算時延可忽略不計。所以本文方案在計算時延上雖高于文獻(xiàn)[2, 3, 11]的方案，但是差距不大，且明顯低于文獻(xiàn)[5]方案。本文方案將認(rèn)證功能由HNCC提前至FLEO，且漫游認(rèn)證過程只需一次星地交互，顯著減少通信時延。從表2可以看出，本文方案相比其他方案至少減少了一半通信時延?？紤]到天地一體化網(wǎng)絡(luò)特殊的環(huán)境，其認(rèn)證時延瓶頸在于星地鏈路的高時延，所以本文方案在認(rèn)證時延上具有不可比擬的優(yōu)越性。通過模擬計算得出本文方案認(rèn)證時延約為23.074 ms，是整體耗時最少的，且?guī)缀跏瞧渌臅r最少的。此外，本文方案相比其他方案同樣具有匿名性，用戶身份也支持動態(tài)撤銷，另外，還考慮了用戶、漫游域和歸屬域三方根據(jù)服務(wù)量計費的問題。即本文方案在功能完備性上具有一定的優(yōu)越性。

表2 相關(guān)方案性能對比

8 結(jié)束語

本文針對天地一體化網(wǎng)絡(luò)的漫游場景，提出了一種基于令牌的雙方漫游認(rèn)證方案。該方案將漫游認(rèn)證功能從地面提前到接入衛(wèi)星，很好地減少了傳播時延。另外，基于單向累加器生成的令牌，不僅使認(rèn)證過程高效，還支持靈活的加入和撤銷?；诹钆频氖召M機制，既能防止FNCC向HNCC收取額外的費用，還能保證用戶只為使用過的令牌支付費用，極大維護了用戶和HNCC的權(quán)益。本文的安全分析表明：本文方案能夠提供雙向認(rèn)證，抵抗中間人和重放攻擊，還具有一定的匿名性。本文的性能分析表明：本文方案大大減少了漫游認(rèn)證時延，具有顯著的優(yōu)越性。

[1] 李鳳華, 殷麗華, 吳巍, 等. 天地一體化信息網(wǎng)絡(luò)安全保障技術(shù)研究進(jìn)展及發(fā)展趨勢[J]. 通信學(xué)報, 2016, 37(11)∶ 156-168.LI F H, YIN L H, WU W, et al. Research status and development trends of security assurance for space-ground integration information network[J]. Journal on Communications, 2016, 37(11)∶ 156-168.

[2] CHEN C L, CHENG K W, CHEN Y L, et al. An improvement on the self-verification authentication mechanism for a mobile satellite communication system[J]. Applied Mathematics & Information Sciences,2014, 8(1L)∶ 97-106.

[3] ZHAO W, ZHANG A, LI J, et al. Analysis and design of an authentication protocol for space information network[C]// IEEE Military Communications Conference on MILCOM. IEEE, 2016∶ 43-48.

[4] LIU Y, ZHANG A, LI J, et al. An anonymous distributed key management system based on CL-PKC for space information network[C]//IEEE International Conference on Communications (ICC). 2016∶ 1-7.

[5] HE D, BU J, CHAN S, et al. Privacy-preserving universal authentication protocol for wireless communications[J]. IEEE Transactions on Wireless Communications, 2011, 10(2)∶ 431-436.

[6] LIU J K, CHU C K, CHOW S S M, et al. Time-bound anonymous authentication for roaming networks[J]. IEEE Transactions on Information Forensics and Security, 2015, 10(1)∶ 178-189.

[7] CRUICKSHANK H S. A security system for satellite networks[C]//Fifth International Conference on Satellite Systems for Mobile Communications and Navigation, IET. 1996∶ 187-190.

[8] HWANG M S, YANG C C, SHIU C Y. An authentication scheme for mobile satellite communication systems[J]. ACM SIGOPS Operating Systems Review, 2003, 37(4)∶ 42-47.

[9] CHANG Y F, CHANG C C. An efficient authentication protocol for mobile satellite communication systems[J]. ACM SIGOPS Operating Systems Review, 2005, 39(1)∶ 70-84.

[10] CHEN T H, LEE W B, CHEN H B. A self-verification authentication mechanism for mobile satellite communication systems[J]. Computers& Electrical Engineering, 2009, 35(1)∶ 41-48.

[11] JIANG Y, LIN C, SHEN X, et al. Mutual authentication and key exchange protocols for roaming services in wireless mobile networks[J].IEEE Transactions on Wireless Communications, 2006, 5(9)∶ 2569-2577.

[12] YANG G, WONG D S, DENG X. Anonymous and authenticated key exchange for roaming networks[J]. IEEE Transactions on Wireless Communications, 2007, 6(9)∶3461-3472.

[13] YANG G, WONG D S, DENG X. Formal security definition and efficient construction for roaming with a privacy-preserving extension[J]. Journal of Universal Computer Science, 2008, 14(3)∶ 441-462.

[14] BENALOH J C, MARE M D. One-way accumulators∶ a decentralized alternative to digital signatures[C]//Workshop on the Theory and Application of of Cryptographic Techniques. 1993∶ 274-285.

[15] BLOOM B H. Space/time trade-offs in hash coding with allowable errors[J]. Communications of the ACM, 1970, 13(7)∶ 422-426.

[16] MUKHERJEE J, RAMAMURTHY B. Communication technologies and architectures for space network and interplanetary internet[J].IEEE Communications Surveys & Tutorials, 2013, 15(2)∶ 881-897.

[17] AKYILDIZ I F, UZUNALIO?LU H, BENDER M D. Handover management in low earth orbit (LEO) satellite networks[J]. Mobile Networks and Applications, 1999, 4(4)∶ 301-310.

[18] HE D, BU J, CHAN S, et al. Handauth∶ efficient handover authentication with conditional privacy for wireless networks[J]. IEEE Transactions on Computers, 2013, 62(3)∶ 616-622.