謝絨娜，譚 莉，武佳卉，史國(guó)振，李楚涵，鄧 燁

北京電子科技學(xué)院 密碼科學(xué)與技術(shù)系，北京100070

1 引言

天地一體化網(wǎng)絡(luò)是未來(lái)國(guó)家信息化領(lǐng)域的重要基礎(chǔ)設(shè)施，是打破西方發(fā)達(dá)國(guó)家技術(shù)堡壘、捍衛(wèi)國(guó)家主權(quán)與領(lǐng)土完整的強(qiáng)有力保障，其建設(shè)意義十分重大.天地一體化網(wǎng)絡(luò)以信息流作為通信載體，充分發(fā)揮空間優(yōu)勢(shì)，實(shí)現(xiàn)空、天、地、海等多維信息的傳輸和處理，支持各類用戶終端大規(guī)模進(jìn)行域內(nèi)以及跨域服務(wù)，構(gòu)成了一種極為復(fù)雜的通信和信息服務(wù)系統(tǒng)[1].然而天地一體化網(wǎng)絡(luò)因其無(wú)線傳輸?shù)拈_放性、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)頻繁變化的動(dòng)態(tài)性、空間環(huán)境惡劣、節(jié)點(diǎn)資源有限等特點(diǎn)，更易遭受敵方的惡意破壞與攻擊，面臨嚴(yán)峻的安全挑戰(zhàn).

為了應(yīng)對(duì)天地一體化網(wǎng)絡(luò)的安全挑戰(zhàn)，在用戶接入網(wǎng)絡(luò)時(shí)，對(duì)用戶進(jìn)行合法性認(rèn)證十分重要.身份認(rèn)證是合法用戶訪問(wèn)天地一體化網(wǎng)絡(luò)的關(guān)鍵，也是安全通信的前提.在用戶完成合法性認(rèn)證后，需要協(xié)商出會(huì)話密鑰為通信雙方提供安全的通信信道，來(lái)保障通信數(shù)據(jù)的安全傳輸.因此，設(shè)計(jì)基于天地一體化網(wǎng)絡(luò)的認(rèn)證與密鑰協(xié)商協(xié)議(authentication and key agreement，AKA) 方案至關(guān)重要.近些年來(lái)，不少學(xué)者研究了不同領(lǐng)域的AKA 方案，根據(jù)所依賴的密碼體制，現(xiàn)有的AKA 方案可分為[2]: 基于哈希函數(shù)的AKA 協(xié)議、基于對(duì)稱密碼體制的AKA 協(xié)議、基于公鑰密碼體制的AKA 協(xié)議.

在基于哈希函數(shù)的AKA 方案中，朱輝等人[3]針對(duì)衛(wèi)星網(wǎng)絡(luò)的動(dòng)態(tài)性提出了基于哈希函數(shù)的認(rèn)證與密鑰協(xié)商協(xié)議.然而衛(wèi)星采用真實(shí)身份進(jìn)行通信，不能達(dá)到身份隱私保護(hù)的要求.同時(shí)控制中心需要處理轉(zhuǎn)發(fā)數(shù)據(jù)，也無(wú)法實(shí)現(xiàn)透明傳輸.Wei 等人[4]提出了車聯(lián)網(wǎng)認(rèn)證與密鑰協(xié)商方案，該方案采用輕量級(jí)的哈希函數(shù)生成會(huì)話密鑰，所需計(jì)算開銷較少.Amin 等人[5]采用輕量級(jí)哈希函數(shù)提出了一種應(yīng)用于無(wú)線傳感器網(wǎng)絡(luò)(wireless sensor networks，WSN) 的不可追溯性匿名認(rèn)證協(xié)商協(xié)議，但是該方案不能抵抗假冒攻擊.綜上，基于哈希函數(shù)的AKA 方案可以很大程度上解決通信資源有限的問(wèn)題，但是無(wú)法較好地保障通信安全，很少有AKA 方案能同時(shí)實(shí)現(xiàn)身份隱私保護(hù)、透明傳輸、抵抗假冒攻擊等安全需求.

除了輕量級(jí)的哈希函數(shù)AKA 方案，也有學(xué)者提出了一系列基于對(duì)稱密碼體制的AKA 方案，朱輝等人[6]提出了基于雙層衛(wèi)星進(jìn)行設(shè)計(jì)的組網(wǎng)認(rèn)證方案，采取認(rèn)證預(yù)計(jì)算機(jī)制，衛(wèi)星在首次認(rèn)證后只需要查表就可以重新獲得認(rèn)證參數(shù)，然而查表也帶來(lái)了不少的存儲(chǔ)開銷.曹進(jìn)等人[7]基于北斗衛(wèi)星系統(tǒng)提出了用戶接入認(rèn)證協(xié)議，將位置信息和主密鑰相結(jié)合實(shí)現(xiàn)了雙因子認(rèn)證，提高了協(xié)議的安全性.Wazid 等人[8]提出了一種用于分層網(wǎng)絡(luò)的輕量級(jí)認(rèn)證密鑰協(xié)商協(xié)議，使用智能卡、口令和生物特征作為三因子進(jìn)行認(rèn)證，增強(qiáng)了認(rèn)證安全性.在基于對(duì)稱密碼體制的AKA 方案中，往往需要多因子進(jìn)行認(rèn)證密鑰協(xié)商，比如采取生物識(shí)別技術(shù)、位置信息、口令和智能卡等進(jìn)行加強(qiáng)認(rèn)證，與天地一體化網(wǎng)絡(luò)的通用場(chǎng)景并不相符.

為了增強(qiáng)協(xié)議的安全性，不少學(xué)者提出了一系列基于公鑰密碼體制的AKA 方案.Chang 等人[9]討論了基于橢圓曲線密碼(elliptic curve cryptography，ECC) 的認(rèn)證方案，該方案具有完美前向安全的優(yōu)勢(shì).Yeh 等人[10]在WSN 環(huán)境中設(shè)計(jì)了一種基于ECC 的認(rèn)證方案，采用雙因子進(jìn)行認(rèn)證，但是該方案未能實(shí)現(xiàn)通信方之間的相互認(rèn)證.Challa 等人[11]為未來(lái)的物聯(lián)網(wǎng)應(yīng)用設(shè)計(jì)了一種基于ECC 的用戶認(rèn)證密鑰協(xié)商方案，與其他非基于ECC 的方案相比，該方案需要更多的通信和計(jì)算成本.

與基于ECC 的公鑰密碼體制相比，混沌映射技術(shù)本質(zhì)上是輕量級(jí)的，此外，運(yùn)用混沌映射技術(shù)進(jìn)行AKA 方案的設(shè)計(jì)具有與ECC 媲美的安全性.因此也有學(xué)者為了解決公鑰密碼體制帶來(lái)的計(jì)算消耗問(wèn)題，提出了一系列基于混沌映射技術(shù)的AKA 方案.Roy 等人[12]設(shè)計(jì)了一種基于混沌映射的物聯(lián)網(wǎng)匿名用戶身份認(rèn)證方案，采用三因子進(jìn)行加強(qiáng)認(rèn)證，并且證明了基于混沌映射的認(rèn)證方案比基于ECC 的方案具有更高的效率.Srinivas 等人[13]基于工業(yè)物聯(lián)網(wǎng)提出了一種基于混沌映射技術(shù)的匿名輕量級(jí)認(rèn)證密鑰協(xié)商方案，經(jīng)形式化安全證明，該方案能抵御常見的攻擊.Zhang 等人[14]基于車聯(lián)網(wǎng)系統(tǒng)提出了基于切比雪夫混沌映射的認(rèn)證密鑰協(xié)商方案，車輛節(jié)點(diǎn)在不同路側(cè)設(shè)備(road side unit，RSU) 切換時(shí)，RSU 需要將自己維護(hù)的車輛節(jié)點(diǎn)信息表進(jìn)行轉(zhuǎn)發(fā)，帶來(lái)了較大的計(jì)算開銷.Zhu 等人[15]也使用混沌映射技術(shù)設(shè)計(jì)了一種認(rèn)證密鑰協(xié)商方案，支持多個(gè)服務(wù)器的分布式架構(gòu)，從而解決單點(diǎn)故障問(wèn)題.Cui 等人[16]提出了基于混沌映射的車聯(lián)網(wǎng)全會(huì)話密鑰協(xié)商方案，除了在霧服務(wù)器與群管理員之間，還可以在群組內(nèi)的車輛之間生成會(huì)話密鑰，從而實(shí)現(xiàn)安全的群組數(shù)據(jù)共享.此外，基于衛(wèi)星領(lǐng)域的AKA 協(xié)議多只注重于同層衛(wèi)星網(wǎng)絡(luò)內(nèi)的研究，不考慮其他類型衛(wèi)星的存在，僅滿足單一服務(wù)需求，協(xié)議適用范圍較小.如Zhang 等人[17]針對(duì)低軌衛(wèi)星組網(wǎng)提出了一種輕量級(jí)認(rèn)證協(xié)議，可以適應(yīng)低軌衛(wèi)星拓?fù)浣Y(jié)構(gòu)高度變化的特點(diǎn)，但因只研究了低軌衛(wèi)星間的認(rèn)證，其協(xié)議的通用性并不強(qiáng).曹進(jìn)等人[18]提出了針對(duì)雙層衛(wèi)星網(wǎng)絡(luò)的AKA 協(xié)議，在層間或跨軌道進(jìn)行通信時(shí)，需要切換不同的認(rèn)證協(xié)議進(jìn)行認(rèn)證，帶來(lái)了不少的通信延遲.

天地一體化網(wǎng)絡(luò)采用多層次網(wǎng)絡(luò)架構(gòu)，具有動(dòng)態(tài)性、開放性的特點(diǎn).各個(gè)衛(wèi)星節(jié)點(diǎn)按照不同的軌道運(yùn)行，群組關(guān)系動(dòng)態(tài)發(fā)生變化.這種動(dòng)態(tài)性不僅體現(xiàn)在終端節(jié)點(diǎn)在動(dòng)態(tài)變化，同時(shí)群組管理者、子群管理者也在動(dòng)態(tài)變化.天地一體化網(wǎng)絡(luò)開放性的特點(diǎn)導(dǎo)致通信容易遭受中間人攻擊，惡意節(jié)點(diǎn)可以未經(jīng)授權(quán)對(duì)通信中各種消息進(jìn)行獲取或篡改.同時(shí)各個(gè)節(jié)點(diǎn)面臨被腐化的風(fēng)險(xiǎn).鑒于以上AKA 協(xié)議的研究，普通地面AKA 協(xié)議多適用于地面扁平化的通信場(chǎng)景，難以滿足天地一體化網(wǎng)絡(luò)的立體化通信場(chǎng)景;同時(shí)，現(xiàn)有方案存在難以滿足安全需求、需要多因子參與認(rèn)證、計(jì)算與通信開銷大、應(yīng)用范圍片面等問(wèn)題.為了克服現(xiàn)有方案中存在的安全缺陷，本文的主要貢獻(xiàn)有:

(1) 分析天地一體化網(wǎng)絡(luò)通信模式和特點(diǎn)，采用樹狀結(jié)構(gòu)，設(shè)計(jì)適合天地一體化網(wǎng)絡(luò)的AKA 協(xié)議，分為相鄰節(jié)點(diǎn)認(rèn)證與密鑰協(xié)商階段和跨節(jié)點(diǎn)認(rèn)證與密鑰協(xié)商階段.

(2) 基于切比雪夫混沌映射技術(shù)設(shè)計(jì)認(rèn)證與密鑰協(xié)商方案，實(shí)現(xiàn)衛(wèi)星通信透明傳輸，對(duì)比分析其他協(xié)議，在前向后向安全性和計(jì)算開銷方面有較好的優(yōu)勢(shì).

(3) 設(shè)計(jì)認(rèn)證預(yù)測(cè)機(jī)制.在節(jié)點(diǎn)動(dòng)態(tài)變化時(shí)，預(yù)測(cè)節(jié)點(diǎn)的運(yùn)動(dòng)軌跡，提前完成節(jié)點(diǎn)認(rèn)證數(shù)據(jù)的遷移，實(shí)現(xiàn)衛(wèi)星網(wǎng)絡(luò)實(shí)時(shí)通信.

本文內(nèi)容安排如下: 第2 節(jié)分析天地一體化網(wǎng)絡(luò)中AKA 協(xié)議的研究動(dòng)機(jī);第3 節(jié)詳細(xì)介紹面向天地一體化網(wǎng)絡(luò)的AKA 協(xié)議;第4 節(jié)分析協(xié)議安全性;第5 節(jié)分析協(xié)議性能;第6 節(jié)對(duì)本文工作進(jìn)行總結(jié)和展望.

2 研究動(dòng)機(jī)

本節(jié)研究了天地一體化網(wǎng)絡(luò)的體系結(jié)構(gòu)和通信模式，對(duì)天地一體化網(wǎng)絡(luò)的特點(diǎn)進(jìn)行分析，提出面向天地一體化網(wǎng)絡(luò)的AKA 協(xié)議所需的安全需求與性能需求.

2.1 天地一體化網(wǎng)絡(luò)體系結(jié)構(gòu)分析

天地一體化網(wǎng)絡(luò)是由天基骨干網(wǎng)、天基接入網(wǎng)和地基節(jié)點(diǎn)網(wǎng)組成的衛(wèi)星通信系統(tǒng)，是匯聚多種網(wǎng)絡(luò)節(jié)點(diǎn)和網(wǎng)絡(luò)用戶，涵蓋陸、海、空、天在內(nèi)的異構(gòu)網(wǎng)絡(luò)[1].體系結(jié)構(gòu)如圖1 所示.

圖1 天地一體化網(wǎng)絡(luò)體系結(jié)構(gòu)Figure 1 Space-ground integrated network architecture

網(wǎng)絡(luò)節(jié)點(diǎn)包括天基骨干網(wǎng)和天基接入網(wǎng)中的衛(wèi)星網(wǎng)絡(luò)節(jié)點(diǎn)與地基節(jié)點(diǎn)網(wǎng)中的地面網(wǎng)絡(luò)節(jié)點(diǎn).多種類型的網(wǎng)絡(luò)節(jié)點(diǎn)融合組網(wǎng)實(shí)現(xiàn)天地互聯(lián)互通.天基骨干網(wǎng)由若干地球同步軌道衛(wèi)星組成，為高軌道衛(wèi)星，可以進(jìn)行實(shí)時(shí)監(jiān)測(cè)、管理和控制，提供大容量寬帶接入和海量數(shù)據(jù)信息傳輸服務(wù);天基接入網(wǎng)由若干天基接入節(jié)點(diǎn)組成，為中、低軌道衛(wèi)星，為全球機(jī)構(gòu)平臺(tái)和用戶提供安全的通信服務(wù)，包括空中/海上目標(biāo)監(jiān)視、頻譜監(jiān)測(cè)和數(shù)據(jù)收集回程等附加服務(wù);地基節(jié)點(diǎn)網(wǎng)由若干信關(guān)站、綜合網(wǎng)絡(luò)互連節(jié)點(diǎn)等地基節(jié)點(diǎn)組網(wǎng)而成，提供對(duì)天基網(wǎng)絡(luò)節(jié)點(diǎn)的管理和數(shù)據(jù)處理，其中，運(yùn)維管控系統(tǒng)、網(wǎng)絡(luò)服務(wù)系統(tǒng)分別提供按需服務(wù).

網(wǎng)絡(luò)用戶主要分為三種類型: 衛(wèi)星網(wǎng)絡(luò)用戶、移動(dòng)通信網(wǎng)中的移動(dòng)網(wǎng)絡(luò)用戶、地面互聯(lián)網(wǎng)的互聯(lián)網(wǎng)用戶.衛(wèi)星網(wǎng)絡(luò)用戶分為空基用戶、?；脩?、陸基用戶，分別對(duì)應(yīng)不同領(lǐng)域的空間用戶;移動(dòng)網(wǎng)絡(luò)用戶主要為移動(dòng)通信網(wǎng)中的移動(dòng)終端;互聯(lián)網(wǎng)用戶主要為地面互聯(lián)網(wǎng)中的PC (personal computer) 端.

2.2 天地一體化網(wǎng)絡(luò)通信模式分析

天地一體化網(wǎng)絡(luò)的通信模式可由通信中的信息流直觀表達(dá).如圖1 所示，網(wǎng)絡(luò)用戶通過(guò)覆蓋它們的衛(wèi)星節(jié)點(diǎn)或者地基節(jié)點(diǎn)進(jìn)行通信，即網(wǎng)絡(luò)用戶通過(guò)天地一體化網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行互聯(lián)互通，包括不同網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行通信和不同網(wǎng)絡(luò)用戶通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行通信.因此，網(wǎng)絡(luò)用戶之間的通信最終可以轉(zhuǎn)化為天地一體化網(wǎng)絡(luò)節(jié)點(diǎn)之間的通信.

網(wǎng)絡(luò)節(jié)點(diǎn)之間的通信模式可分為相鄰節(jié)點(diǎn)進(jìn)行通信與跨節(jié)點(diǎn)進(jìn)行通信.(1) 相鄰節(jié)點(diǎn)間進(jìn)行通信只需要通信雙方的參與，有跨軌道相鄰節(jié)點(diǎn)通信和同軌道相鄰節(jié)點(diǎn)通信兩種情況.跨軌道相鄰節(jié)點(diǎn)通信如天基骨干節(jié)點(diǎn)/信關(guān)站和其覆蓋的天基接入節(jié)點(diǎn)進(jìn)行通信;同軌道相鄰節(jié)點(diǎn)通信如相鄰的天基骨干節(jié)點(diǎn)之間進(jìn)行通信.(2) 跨節(jié)點(diǎn)進(jìn)行通信需要中間節(jié)點(diǎn)的參與，中間節(jié)點(diǎn)的作用為轉(zhuǎn)發(fā)通信雙方的信息.根據(jù)所跨的中間節(jié)點(diǎn)數(shù)量可以分為跨單節(jié)點(diǎn)/跨節(jié)點(diǎn)鏈，如天基接入節(jié)點(diǎn)之間通過(guò)一個(gè)/多個(gè)天基骨干節(jié)點(diǎn)進(jìn)行通信.

此外，在節(jié)點(diǎn)動(dòng)態(tài)變化時(shí)，以上兩種通信模式會(huì)相互轉(zhuǎn)化.在通信中節(jié)點(diǎn)間的通信連接不是一直不變的，而是經(jīng)常間斷性改變.如天基接入網(wǎng)中的低軌衛(wèi)星節(jié)點(diǎn)處于高度運(yùn)轉(zhuǎn)狀態(tài)，覆蓋低軌衛(wèi)星節(jié)點(diǎn)的天基骨干節(jié)點(diǎn)/信關(guān)站也在時(shí)時(shí)刻刻發(fā)生變化.

由此可見，天地一體化網(wǎng)絡(luò)復(fù)雜、易變的通信模式亟需一種可以覆蓋大多數(shù)網(wǎng)絡(luò)節(jié)點(diǎn)與網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，滿足天地一體化網(wǎng)絡(luò)中大部分的通信模式，適應(yīng)天地一體化網(wǎng)絡(luò)特點(diǎn)，進(jìn)一步達(dá)到其安全與性能需求.

2.3 天地一體化網(wǎng)絡(luò)特點(diǎn)

本小節(jié)分析天地一體化網(wǎng)絡(luò)的主要特點(diǎn)，基于網(wǎng)絡(luò)特點(diǎn)提出設(shè)計(jì)認(rèn)證與密鑰協(xié)商協(xié)議的重要性.

(1) 動(dòng)態(tài)性.天地一體化網(wǎng)絡(luò)中的網(wǎng)絡(luò)節(jié)點(diǎn)處于高速運(yùn)轉(zhuǎn)狀態(tài)，頻繁地加入或退出網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)拓?fù)湟苍跁r(shí)時(shí)刻刻發(fā)生變化.因此需要基于動(dòng)態(tài)性完成實(shí)時(shí)通信認(rèn)證，實(shí)現(xiàn)通信雙方高效動(dòng)態(tài)組網(wǎng).

(2) 開放性.天地一體化網(wǎng)絡(luò)中的網(wǎng)絡(luò)節(jié)點(diǎn)采用無(wú)線鏈路進(jìn)行通信，具有開放性特點(diǎn)，攻擊者通過(guò)監(jiān)聽無(wú)線信道，使數(shù)據(jù)傳輸?shù)陌踩允艿酵{.因此，通信中會(huì)話密鑰的協(xié)商對(duì)于保障數(shù)據(jù)安全傳輸十分重要.

(3) 多層級(jí)架構(gòu).天地一體化網(wǎng)絡(luò)具有明顯的分層分組性質(zhì)以及層級(jí)互聯(lián)互通模式.因此，需要多層級(jí)多分組的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以適用天地一體化網(wǎng)絡(luò)體系結(jié)構(gòu).

(4) 通信資源有限.天地一體化網(wǎng)絡(luò)衛(wèi)星節(jié)點(diǎn)受載荷技術(shù)以及太空惡劣環(huán)境影響，通信資源十分有限.

綜上分析，天地一體化網(wǎng)絡(luò)具有如下特點(diǎn): 整個(gè)網(wǎng)絡(luò)采用多層次復(fù)雜的網(wǎng)絡(luò)架構(gòu)，消息一般會(huì)在同軌道或者不同軌道衛(wèi)星節(jié)點(diǎn)多次轉(zhuǎn)發(fā);網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)具有動(dòng)態(tài)性，這種動(dòng)態(tài)性不僅體現(xiàn)在終端節(jié)點(diǎn)在動(dòng)態(tài)變化，同時(shí)由于衛(wèi)星節(jié)點(diǎn)在動(dòng)態(tài)變化，導(dǎo)致負(fù)責(zé)路由的中間轉(zhuǎn)發(fā)節(jié)點(diǎn)也在發(fā)生變化;從網(wǎng)絡(luò)運(yùn)行環(huán)境來(lái)說(shuō)，天地一體化網(wǎng)絡(luò)具有開放性的特點(diǎn)，通信中消息容易遭受中間人攻擊，惡意節(jié)點(diǎn)可以未經(jīng)授權(quán)對(duì)通信中各種消息進(jìn)行獲取或篡改，同時(shí)各個(gè)節(jié)點(diǎn)面臨被腐化的風(fēng)險(xiǎn);各個(gè)衛(wèi)星節(jié)點(diǎn)計(jì)算資源、存儲(chǔ)資源受限，通信帶寬也受限.而普通地面網(wǎng)絡(luò)負(fù)責(zé)路由的中間節(jié)點(diǎn)處于相對(duì)固定安全的環(huán)境，各種資源相對(duì)也比較豐富.為保障天地一體化網(wǎng)絡(luò)通信的安全性，設(shè)計(jì)一個(gè)認(rèn)證與密鑰協(xié)商協(xié)議十分重要，同時(shí)認(rèn)證與密鑰協(xié)商協(xié)議也面臨很大挑戰(zhàn).天地一體化網(wǎng)絡(luò)中的節(jié)點(diǎn)需要相互認(rèn)證，確定彼此身份的合法性，非法節(jié)點(diǎn)一旦接入天地一體化網(wǎng)絡(luò)，極大可能導(dǎo)致衛(wèi)星通信資源遭到非法獲取或者破壞;此外，在協(xié)議交互時(shí)，數(shù)據(jù)極易遭受各種攻擊.為了保證通信中消息的完整性和機(jī)密性，在相互認(rèn)證之后通信雙方需要協(xié)商出安全的會(huì)話密鑰以便后續(xù)數(shù)據(jù)傳輸.

2.4 面向天地一體化網(wǎng)絡(luò)的AKA 協(xié)議安全需求與性能需求

針對(duì)天地一體化網(wǎng)絡(luò)特點(diǎn)，節(jié)點(diǎn)之間的通信除了滿足相互認(rèn)證以及密鑰協(xié)商外，還需滿足以下安全需求與性能需求:

(1) 透明傳輸.為了增加協(xié)議的保密性，在跨節(jié)點(diǎn)密鑰協(xié)商時(shí)，中間節(jié)點(diǎn)無(wú)需處理轉(zhuǎn)發(fā)數(shù)據(jù)，僅負(fù)責(zé)轉(zhuǎn)發(fā).即除了通信雙方，其他任何節(jié)點(diǎn)無(wú)法推出會(huì)話密鑰進(jìn)而解密通信內(nèi)容.

(2) 身份隱私保護(hù).衛(wèi)星身份信息暴露在開放的無(wú)線鏈路中，容易受到攻擊.可以利用偽身份在公開信道傳輸以替代節(jié)點(diǎn)的真實(shí)身份，增強(qiáng)認(rèn)證與密鑰協(xié)商過(guò)程的安全性.

(3) 前向后向安全性.為了保證通信中的機(jī)密性和完整性，當(dāng)前的會(huì)話密鑰泄露，攻擊者不能從當(dāng)前的密鑰推出之前的會(huì)話密鑰，也不能由當(dāng)前密鑰推出將來(lái)會(huì)話中所協(xié)商的會(huì)話密鑰.

(4) 能夠抵御常見的攻擊.如中間人攻擊、假冒攻擊、重放攻擊、拒絕服務(wù)攻擊等.

(5) 輕量級(jí).天地一體化網(wǎng)絡(luò)的通信資源有限，需要保障衛(wèi)星的處理能力在有限的通信資源下進(jìn)行最大化利用，盡量控制計(jì)算開銷，滿足天地一體化網(wǎng)絡(luò)性能需求.

3 面向天地一體化網(wǎng)絡(luò)的AKA 協(xié)議

本節(jié)提出一種面向天地一體化網(wǎng)絡(luò)的AKA 協(xié)議，采用樹狀結(jié)構(gòu)以適應(yīng)天地一體化網(wǎng)絡(luò)的多層級(jí)架構(gòu)，所擬方案包括注冊(cè)階段、相鄰節(jié)點(diǎn)認(rèn)證和密鑰協(xié)商階段、跨節(jié)點(diǎn)認(rèn)證和密鑰協(xié)商階段、實(shí)時(shí)通信認(rèn)證和密鑰協(xié)商階段.

3.1 天地一體化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

本協(xié)議以一顆高軌衛(wèi)星所覆蓋的中、低軌道衛(wèi)星和網(wǎng)絡(luò)用戶為例，天地一體化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)可以抽象成如圖2 所示的樹狀結(jié)構(gòu).樹狀結(jié)構(gòu)的最高點(diǎn)代表天基骨干網(wǎng)中的天基骨干節(jié)點(diǎn)，為高軌衛(wèi)星，高度為2的節(jié)點(diǎn)代表天基接入網(wǎng)中的中軌衛(wèi)星，高度為3 的節(jié)點(diǎn)代表天基接入網(wǎng)中的低軌衛(wèi)星，葉子節(jié)點(diǎn)代表網(wǎng)絡(luò)用戶.

圖2 天地一體化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)Figure 2 Space-ground integrated network topology

根據(jù)天地一體化網(wǎng)絡(luò)的通信模式以及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，節(jié)點(diǎn)可分為兩種相鄰節(jié)點(diǎn)和跨節(jié)點(diǎn)，可以直觀地由圖2 中的通信鏈路表示，相鄰節(jié)點(diǎn)為可以進(jìn)行直接通信的節(jié)點(diǎn)，例如U4，1和U3，1，U3，1和U3，2;跨節(jié)點(diǎn)為不能直接通信而需要其他節(jié)點(diǎn)輔助進(jìn)行通信的節(jié)點(diǎn)，例如U4，1和U4，2是間接通信的節(jié)點(diǎn)，需要U3，1的輔助.協(xié)議所討論的節(jié)點(diǎn)間通信也可分為以下三類:

(1) 相鄰節(jié)點(diǎn)進(jìn)行通信.跨軌道相鄰節(jié)點(diǎn)完成組網(wǎng)認(rèn)證，指節(jié)點(diǎn)與父節(jié)點(diǎn)之間完成組網(wǎng)認(rèn)證，例如U4，1和U3，1、U3，1和U2，1、U2，1和U1，1;此外，同軌道相鄰節(jié)點(diǎn)也可以直接進(jìn)行通信，例如U3，1和U3，2、U3，2和U3，3、U2，1和U2，2.

(2) 跨節(jié)點(diǎn)進(jìn)行通信.即節(jié)點(diǎn)之間通過(guò)父節(jié)點(diǎn)或者認(rèn)證鏈進(jìn)行通信.例如U4，1和U4，2之間需要通過(guò)父節(jié)點(diǎn)U3，1進(jìn)行通信;U4，4和U4，9之間需要通過(guò)節(jié)點(diǎn)間的認(rèn)證鏈路進(jìn)行通信:U4，4→U3，2→U2，1→U1，1→U2，2→U3，5→U4，9.

(3) 節(jié)點(diǎn)動(dòng)態(tài)變化時(shí)，需要預(yù)測(cè)節(jié)點(diǎn)的運(yùn)動(dòng)軌跡，重新進(jìn)行組網(wǎng)認(rèn)證建立完備的認(rèn)證表格.例如U4，1從U3，1組下移動(dòng)到U3，4和U3，5組下，需要預(yù)測(cè)U4，1的運(yùn)動(dòng)軌跡，尋找U4，1的下一個(gè)可能的父節(jié)點(diǎn)U3，4和U3，5，提前完成認(rèn)證數(shù)據(jù)遷移.

表1 列舉了協(xié)議中使用的參數(shù)以及含義.

表1 系統(tǒng)參數(shù)Table 1 System parameter

3.2 注冊(cè)階段

本節(jié)介紹了天地一體化網(wǎng)絡(luò)在部署過(guò)程中的注冊(cè)階段: 完成衛(wèi)星系統(tǒng)的初始化設(shè)置以及節(jié)點(diǎn)偽身份的生成.

Step1.系統(tǒng)初始化.給定階為q的有限乘法群G〈g〉，q為素?cái)?shù)，g為該乘法群G的生成元.選取哈希函數(shù)h:{0，1}*×G →{G，q，g，h}是公開的.各節(jié)點(diǎn)完成系統(tǒng)參數(shù)設(shè)置，非葉子節(jié)點(diǎn)預(yù)置認(rèn)證數(shù)據(jù): 孩子節(jié)點(diǎn)的真實(shí)身份IDi和身份標(biāo)識(shí)密鑰IDkeyi，完成衛(wèi)星網(wǎng)絡(luò)部署.

Step2.偽身份的生成.在衛(wèi)星部署完成后，節(jié)點(diǎn)選擇隨機(jī)數(shù)xi作為其私鑰Pri，計(jì)算公鑰Pui接下來(lái)，節(jié)點(diǎn)計(jì)算偽身份TIDi，TIDiIDi ⊕h(IDkeyi||Pui).偽身份TIDi計(jì)算完畢后通過(guò)廣播進(jìn)行公布，而節(jié)點(diǎn)的真實(shí)身份IDi只有節(jié)點(diǎn)的父節(jié)點(diǎn)知道.

3.3 相鄰節(jié)點(diǎn)認(rèn)證與密鑰協(xié)商階段

本節(jié)詳細(xì)介紹了相鄰節(jié)點(diǎn)認(rèn)證與密鑰協(xié)商階段的兩種情況，分為跨軌道相鄰節(jié)點(diǎn)組網(wǎng)認(rèn)證、同軌道相鄰節(jié)點(diǎn)認(rèn)證與密鑰協(xié)商.

3.3.1 跨軌道相鄰節(jié)點(diǎn)組網(wǎng)認(rèn)證

基于樹狀結(jié)構(gòu)，孩子節(jié)點(diǎn)與其父節(jié)點(diǎn)完成組網(wǎng)認(rèn)證，協(xié)商出各個(gè)孩子節(jié)點(diǎn)Ui與其父節(jié)點(diǎn)Uparent之間的會(huì)話密鑰SKip.組網(wǎng)認(rèn)證完成后，所有非葉子節(jié)點(diǎn)更新自身的認(rèn)證表格，保存自己孩子節(jié)點(diǎn)對(duì)應(yīng)的真實(shí)身份IDi、身份標(biāo)識(shí)密鑰IDkeyi、偽身份TIDi、公鑰Pui以及協(xié)商的會(huì)話密鑰SKip.以圖2 中U3，1節(jié)點(diǎn)所保存的認(rèn)證表格為例，認(rèn)證表格如表2 所示.

表2 父節(jié)點(diǎn)U3，1 的認(rèn)證表格Table 2 Authentication form for parent U3，1

3.3.2 同軌道相鄰節(jié)點(diǎn)認(rèn)證與密鑰協(xié)商

同軌道相鄰的孩子節(jié)點(diǎn)在通信時(shí)，在數(shù)據(jù)請(qǐng)求的過(guò)程中需要父節(jié)點(diǎn)的參與，因此協(xié)議過(guò)程與跨節(jié)點(diǎn)認(rèn)證與密鑰協(xié)議過(guò)程較為相似.以同軌道相鄰的兩個(gè)節(jié)點(diǎn)UA與UB進(jìn)行通信為例，首先需要向父節(jié)點(diǎn)Uparent請(qǐng)求對(duì)方公鑰PuA和PuB，并利用父節(jié)點(diǎn)生成的隨機(jī)數(shù)r1與r2進(jìn)行節(jié)點(diǎn)UA和UB之間的認(rèn)證與密鑰協(xié)商.由于在數(shù)據(jù)請(qǐng)求過(guò)程中進(jìn)行了跨節(jié)點(diǎn)的數(shù)據(jù)傳輸，因此本小節(jié)的協(xié)議過(guò)程和與跨節(jié)點(diǎn)認(rèn)證與密鑰協(xié)商的區(qū)別將于3.4 節(jié)進(jìn)行詳細(xì)闡述.

3.4 跨節(jié)點(diǎn)認(rèn)證與密鑰協(xié)商階段

跨節(jié)點(diǎn)進(jìn)行通信，節(jié)點(diǎn)間的認(rèn)證和密鑰協(xié)商依靠父節(jié)點(diǎn)/認(rèn)證鏈透明轉(zhuǎn)發(fā)完成.本節(jié)以節(jié)點(diǎn)UA與節(jié)點(diǎn)UB通過(guò)父節(jié)點(diǎn)Uparent進(jìn)行認(rèn)證和密鑰協(xié)商為例，其過(guò)程如圖3.

圖3 跨節(jié)點(diǎn)認(rèn)證和密鑰協(xié)商流程圖Figure 3 Flowchart of cross-node authentication key agreement

Step1.節(jié)點(diǎn)UA通過(guò)父節(jié)點(diǎn)Uparent向節(jié)點(diǎn)UB提出會(huì)話請(qǐng)求.UA選擇時(shí)間戳t1，生成會(huì)話請(qǐng)求REQ(A)，REQ(A)TIDA||TIDB.同時(shí)，UA利用與父節(jié)點(diǎn)Uparent在組網(wǎng)認(rèn)證與密鑰協(xié)商時(shí)協(xié)商的會(huì)話密鑰SKAP計(jì)算認(rèn)證向量AV1HMAC(SKAP，REQ(A)||t1)，生成消息M1{REQ(A)，t1，AV1}發(fā)送給父節(jié)點(diǎn)Uparent.

Step3.節(jié)點(diǎn)UB接收來(lái)自父節(jié)點(diǎn)Uparent的轉(zhuǎn)發(fā)消息，處理節(jié)點(diǎn)UA的會(huì)話請(qǐng)求并返回認(rèn)證響應(yīng).UB首先檢查時(shí)間戳t2的新鮮度.檢驗(yàn)通過(guò)后，UB計(jì)算XAV2HMAC(SKBP，CREQ(A)||t2)，通過(guò)與接收到的認(rèn)證向量AV2進(jìn)行對(duì)比，判斷等式XAV2AV2是否成立，如果等式不成立，說(shuō)明消息M2被破壞，結(jié)束通信;反之，可說(shuō)明M2消息完整.接下來(lái)，UB利用與父節(jié)點(diǎn)Uparent在組網(wǎng)認(rèn)證與密鑰協(xié)商時(shí)協(xié)商的會(huì)話密鑰SKBP解密會(huì)話請(qǐng)求，得到隨機(jī)數(shù)r1，保存UA的公鑰PuA與隨機(jī)數(shù)r1.若UB同意與UA進(jìn)行通信，則選擇時(shí)間戳t3，通信成功標(biāo)志succeed，生成會(huì)話響應(yīng)RES(B)succeed||TIDA||TIDB，并計(jì)算認(rèn)證向量AV3HMAC(SKBP，RES(B)||t3)，生成消息M3{RES(B)，t3，AV3}發(fā)送給父節(jié)點(diǎn)Uparent.

同軌道相鄰節(jié)點(diǎn)進(jìn)行通信與跨節(jié)點(diǎn)進(jìn)行通信的區(qū)別是: 同軌道相鄰的兩個(gè)孩子節(jié)點(diǎn)在向父節(jié)點(diǎn)請(qǐng)求對(duì)方公鑰和隨機(jī)數(shù)后可以不再通過(guò)父節(jié)點(diǎn)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，即本小節(jié)步驟Step5—Step7 無(wú)需父節(jié)點(diǎn)透明轉(zhuǎn)發(fā)，直接進(jìn)行兩個(gè)孩子節(jié)點(diǎn)的相互認(rèn)證與密鑰協(xié)商;跨節(jié)點(diǎn)進(jìn)行通信需要有中間節(jié)點(diǎn)的參與，節(jié)點(diǎn)之間不能直接進(jìn)行通信，在向父節(jié)點(diǎn)請(qǐng)求對(duì)方公鑰和隨機(jī)數(shù)后仍由父節(jié)點(diǎn)轉(zhuǎn)發(fā)通信數(shù)據(jù)完成通信.

3.5 實(shí)時(shí)通信認(rèn)證與密鑰協(xié)商階段

衛(wèi)星拓?fù)浣Y(jié)構(gòu)高度動(dòng)態(tài)變化，節(jié)點(diǎn)可能會(huì)因?yàn)槲恢靡苿?dòng)，導(dǎo)致之前的通信鏈路中斷，上一刻連接的鏈路很可能在下一刻失去可見性.為了保證實(shí)時(shí)通信，設(shè)計(jì)認(rèn)證預(yù)測(cè)機(jī)制，預(yù)測(cè)節(jié)點(diǎn)接下來(lái)的運(yùn)動(dòng)軌跡，提前完成節(jié)點(diǎn)認(rèn)證數(shù)據(jù)的遷移.

根據(jù)衛(wèi)星節(jié)點(diǎn)的運(yùn)動(dòng)軌跡，通信鏈路的建立具有以下兩種特性[19]: (1) 物理可見性.當(dāng)衛(wèi)星節(jié)點(diǎn)之間進(jìn)行通信時(shí)，形成通信鏈路的主要條件是兩個(gè)節(jié)點(diǎn)是否可見.假設(shè)衛(wèi)星節(jié)點(diǎn)為U，地球中心為O，地球半徑為Re，地球中心O到兩個(gè)衛(wèi)星節(jié)點(diǎn)的距離為H，則形成物理可見性的條件為:H≥Re;(2) 周期性.在天地一體化網(wǎng)絡(luò)中，每顆衛(wèi)星周期性地圍繞地球運(yùn)行，同一軌道的衛(wèi)星在同一高度運(yùn)行，因此，同一軌道的衛(wèi)星運(yùn)動(dòng)周期是相同的.

當(dāng)節(jié)點(diǎn)動(dòng)態(tài)變化時(shí)，需要預(yù)測(cè)其運(yùn)動(dòng)軌跡，根據(jù)物理可見性尋找節(jié)點(diǎn)的下一個(gè)可能的父節(jié)點(diǎn).當(dāng)節(jié)點(diǎn)UA移動(dòng)時(shí)，UA的父節(jié)點(diǎn)UAparent需要提前完成UA認(rèn)證數(shù)據(jù)IDkeyA||IDA的遷移.UAparent可以根據(jù)UA的運(yùn)動(dòng)軌跡，將認(rèn)證數(shù)據(jù)提前發(fā)送給UA節(jié)點(diǎn)的下一個(gè)可能的父節(jié)點(diǎn)Unewparent.UAparent選擇的Unewparent是滿足其物理可見性的節(jié)點(diǎn)，地球中心O到Unewparent與UAparent的距離H，需滿足H≥Re.接下來(lái)，UAparent利用協(xié)商出的會(huì)話密鑰SKAparent-newparent加密孩子節(jié)點(diǎn)UA的遷移數(shù)據(jù)IDkeyA||IDA，通過(guò)其父節(jié)點(diǎn)/認(rèn)證鏈發(fā)送給Unewparent.根據(jù)衛(wèi)星通信鏈路建立的周期性，在孩子節(jié)點(diǎn)UA運(yùn)動(dòng)一段時(shí)間后，會(huì)和所有可能的父節(jié)點(diǎn)分別完成組網(wǎng)認(rèn)證，其父節(jié)點(diǎn)會(huì)不斷更新遷移數(shù)據(jù)，直至所有可能的父節(jié)點(diǎn)形成完備的認(rèn)證表格.之后，即使節(jié)點(diǎn)UA不斷動(dòng)態(tài)變化，父節(jié)點(diǎn)可以不再進(jìn)行數(shù)據(jù)遷移，通過(guò)存儲(chǔ)的認(rèn)證數(shù)據(jù)便可完成相應(yīng)的組網(wǎng)認(rèn)證，從而實(shí)現(xiàn)衛(wèi)星節(jié)點(diǎn)的實(shí)時(shí)通信.

例如圖2 中，當(dāng)節(jié)點(diǎn)U4，1動(dòng)態(tài)變化時(shí)，父節(jié)點(diǎn)U3，1需要預(yù)測(cè)U4，1的運(yùn)動(dòng)軌跡，尋找U4，1的下一個(gè)可能的父節(jié)點(diǎn)U3，4和U3，5，提前完成預(yù)置認(rèn)證數(shù)據(jù)IDkey4，1||ID4，1遷移.當(dāng)節(jié)點(diǎn)U4，1運(yùn)動(dòng)到U3，4組下后，U4，1與新父節(jié)點(diǎn)U3，4基于認(rèn)證數(shù)據(jù)IDkey4，1||ID4，1進(jìn)行組網(wǎng)認(rèn)證，新父節(jié)點(diǎn)U3，4保存U4，1的公鑰Pu4，1，并協(xié)商出會(huì)話密鑰SK4，1-3，4，以備后續(xù)通信.

表3 為父節(jié)點(diǎn)U3，4建立的認(rèn)證表格.在節(jié)點(diǎn)U4，1離開U3，4組下后，U4，1的認(rèn)證數(shù)據(jù)并不會(huì)被清除，待節(jié)點(diǎn)U4，1經(jīng)周期性動(dòng)態(tài)變化后再一次加入U(xiǎn)3，4組下，可以不再提前進(jìn)行數(shù)據(jù)的遷移，直接使用存儲(chǔ)的認(rèn)證數(shù)據(jù)便可完成實(shí)時(shí)通信.

表3 父節(jié)點(diǎn)U3，4 的認(rèn)證表格Table 3 Authentication form for parent U3，4

4 安全性分析

4.1 困難問(wèn)題

認(rèn)證和密鑰協(xié)商方案的安全性基于2 種困難問(wèn)題，一是計(jì)算離散對(duì)數(shù)問(wèn)題[17](computational discrete logarithm problem，CDLP);二是基于擴(kuò)展切比雪夫混沌映射的計(jì)算Diffie-Hellman 問(wèn)題(computational Diffie-Hellman problem，CDHP).

CDLP.給定階為q的有限循環(huán)乘法群G〈g〉，q為一個(gè)大素?cái)?shù)，g為該乘法群G的生成元.選定任意乘法群G的生成元g和y，計(jì)算x滿足ygxmodq，當(dāng)已知大素?cái)?shù)q和生成元g，給定y，求解x的值的問(wèn)題稱為CDLP[14].通常情況下，想要在多項(xiàng)式時(shí)間內(nèi)解決CDLP 是非常困難的.

CDHP.給定(-∞，+∞)，若已知x、Tα(x)modn、Tβ(x)modn的值，求解Tαβ(x)modn的值的問(wèn)題稱為擴(kuò)展切比雪夫混沌映射的CDHP.CDHP 也屬于計(jì)算難題，不能在常規(guī)的多項(xiàng)式時(shí)間內(nèi)得到有效解決.

4.2 形式化安全性分析

本文設(shè)計(jì)的認(rèn)證與密鑰協(xié)商協(xié)議共包括注冊(cè)階段、相鄰節(jié)點(diǎn)的認(rèn)證與密鑰協(xié)商、跨節(jié)點(diǎn)的認(rèn)證與密鑰協(xié)商三個(gè)階段.注冊(cè)階段為預(yù)置各個(gè)節(jié)點(diǎn)的身份密鑰和偽身份，不需要進(jìn)行安全分析.相鄰節(jié)點(diǎn)的認(rèn)證與密鑰協(xié)商是跨節(jié)點(diǎn)的認(rèn)證與密鑰協(xié)商特殊情況.本文通過(guò)Scyther 的形式化安全驗(yàn)證工具重點(diǎn)對(duì)跨節(jié)點(diǎn)的認(rèn)證與密鑰協(xié)商的身份認(rèn)證進(jìn)行了安全性分析.Scyther 用于識(shí)別潛在的攻擊和漏洞，支持各種對(duì)手模型，包括標(biāo)準(zhǔn)的Dolev-Yao 模型.本文選擇Dolev-Yao 模型來(lái)分析安全性.攻擊者可以以主動(dòng)攻擊或被動(dòng)攻擊的方式竊聽、刪除、偽造消息.采用安全協(xié)議描述語(yǔ)言(security protocol description language，SPDL) 描述提出的協(xié)議，對(duì)協(xié)議的不同節(jié)點(diǎn)身份驗(yàn)證聲明的安全屬性(包括Alive、Weakagree、Niagree、Nisynch) 進(jìn)行分析，從圖4 可以看出，聲明的Alive、Weakagree、Niagree、Nisynch 沒有受到攻擊，可以抵抗重放攻擊、中間人攻擊等.

圖4 Scyther 仿真結(jié)果Figure 4 Scyther simulation result

4.3 非形式化安全性分析

(1) 相互認(rèn)證

父節(jié)點(diǎn)和孩子節(jié)點(diǎn)的相互認(rèn)證: 父節(jié)點(diǎn)對(duì)孩子節(jié)點(diǎn)的認(rèn)證，利用孩子節(jié)點(diǎn)的真實(shí)身份IDA、身份標(biāo)識(shí)密鑰IDkeyA和公鑰PuA計(jì)算孩子節(jié)點(diǎn)的真實(shí)身份TIDA⊕h(IDkeyA||PuA)，并與自己存儲(chǔ)的孩子節(jié)點(diǎn)真實(shí)身份IDA對(duì)比，以此判斷孩子節(jié)點(diǎn)身份的合法性;孩子節(jié)點(diǎn)對(duì)父節(jié)點(diǎn)的認(rèn)證，通過(guò)存儲(chǔ)的孩子節(jié)點(diǎn)身份標(biāo)識(shí)密鑰IDkeyA，利用HMAC() 函數(shù)生成預(yù)期認(rèn)證向量XAV，與收到的認(rèn)證向量進(jìn)行對(duì)比XAVAV，以此判斷父節(jié)點(diǎn)身份的合法性以及消息的完整性.敵手A在不知道身份標(biāo)識(shí)密鑰IDkeychildren的情況下，即使偽造了消息，也無(wú)法通過(guò)父節(jié)點(diǎn)和孩子節(jié)點(diǎn)對(duì)其身份合法性的驗(yàn)證.

此外，因?yàn)轵?yàn)證值的計(jì)算使用了密鑰協(xié)商材料Q，h(Q||ti)Pri-(r)，對(duì)身份進(jìn)行合法性驗(yàn)證之外還可以對(duì)消息完整性進(jìn)行檢驗(yàn).

(2) 密鑰協(xié)商

會(huì)話密鑰的建立基于擴(kuò)展切比雪夫混沌映射的CDHP 難題，在已知x，(x)，(x) 值的情況下，求解(x) 屬于計(jì)算難題，無(wú)法在多項(xiàng)式時(shí)間內(nèi)進(jìn)行解決.因此，采用切比雪夫混沌映射的性質(zhì)進(jìn)行會(huì)話密鑰的協(xié)商，能夠保證除協(xié)商雙方外，其他節(jié)點(diǎn)無(wú)法由密鑰協(xié)商材料Q(TIDA||TIDB) 和N(TIDA||TIDB) 得到最終的會(huì)話密鑰，實(shí)現(xiàn)了會(huì)話密鑰的安全建立.

根據(jù)切比雪夫混沌映射的半群性質(zhì):

會(huì)話密鑰的正確性證明如下:

(3) 透明傳輸

在跨節(jié)點(diǎn)密鑰協(xié)商過(guò)程中，父節(jié)點(diǎn)不會(huì)對(duì)孩子節(jié)點(diǎn)轉(zhuǎn)發(fā)的密鑰協(xié)商材料做任何處理，僅負(fù)責(zé)轉(zhuǎn)發(fā).因?yàn)閿U(kuò)展切比雪夫混沌映射的CDHP 難題，父節(jié)點(diǎn)在轉(zhuǎn)發(fā)孩子節(jié)點(diǎn)的密鑰協(xié)商材料時(shí)，也無(wú)法由孩子節(jié)點(diǎn)發(fā)送的消息推出孩子節(jié)點(diǎn)雙方協(xié)商的會(huì)話密鑰.

(4) 身份隱私保護(hù)

認(rèn)證和密鑰協(xié)商過(guò)程中，所有節(jié)點(diǎn)均采用偽身份TIDi進(jìn)行通信，敵手A想要通過(guò)節(jié)點(diǎn)的偽身份TIDiIDi ⊕h(IDkeyi||Pui) 得知節(jié)點(diǎn)真實(shí)身份IDi，就必須需要知道節(jié)點(diǎn)的身份標(biāo)識(shí)密鑰IDkeyi，因?yàn)樯矸輼?biāo)識(shí)密鑰是保密的，只有節(jié)點(diǎn)本身和節(jié)點(diǎn)父節(jié)點(diǎn)知道，所以可以保證節(jié)點(diǎn)自身的真實(shí)身份不被暴露.

(5) 前向和后向安全性

所提出方案的最終輸出是建立的會(huì)話密鑰SKABh(Tr3r4(TIDA||TIDB)||LA|LB)，其中采用了兩個(gè)隨機(jī)數(shù)r3、r4，隨機(jī)數(shù)是由協(xié)商雙方隨機(jī)生成的，并且只能使用一次，因此SKAB在不同的會(huì)話中也是不同的，這意味著在兩個(gè)不同會(huì)話中生成的兩個(gè)SKAB之間沒有任何關(guān)系.因此，本文協(xié)議實(shí)現(xiàn)了前向和后向安全性.

(6) 抵抗中間人攻擊

假設(shè)敵手A攔截了消息M1和M3并嘗試修改消息，但由于敵手A沒有節(jié)點(diǎn)的秘密參數(shù)，包括真實(shí)身份IDA、身份標(biāo)識(shí)密鑰IDkeyA，不能通過(guò)認(rèn)證;敵手A想要修改消息M2和M4，由于沒有節(jié)點(diǎn)與父節(jié)點(diǎn)協(xié)商的會(huì)話密鑰，也不能通過(guò)認(rèn)證;敵手A想要修改消息M5和M6，則需要擁有秘密的隨機(jī)數(shù)以及破解擴(kuò)展切比雪夫混沌映射的CDHP 難題.綜上，敵手A不能修改消息通過(guò)認(rèn)證，因此本文協(xié)議可以抵抗中間人攻擊.

(7) 抵抗假冒攻擊

敵手A想要假冒孩子節(jié)點(diǎn)和父節(jié)點(diǎn)完成組網(wǎng)認(rèn)證，由于敵手A沒有預(yù)置的身份標(biāo)識(shí)密鑰IDkeyA，無(wú)法協(xié)商出孩子節(jié)點(diǎn)與父節(jié)點(diǎn)的會(huì)話密鑰;而敵手A想要假冒節(jié)點(diǎn)UA和節(jié)點(diǎn)UB完成會(huì)話密鑰協(xié)商，由于敵手A不是父節(jié)點(diǎn)的合法孩子節(jié)點(diǎn)，沒有合法孩子節(jié)點(diǎn)的真實(shí)身份IDA、身份標(biāo)識(shí)密鑰IDkeyA，無(wú)法通過(guò)父節(jié)點(diǎn)的認(rèn)證，也無(wú)法獲得父節(jié)點(diǎn)所產(chǎn)生的隨機(jī)數(shù)r1和隨機(jī)數(shù)r2，不能生成驗(yàn)證值SA1和SA2，因此，不能完成會(huì)話密鑰協(xié)商.綜上，本文協(xié)議可以抵御假冒攻擊.

(8) 抵抗重放攻擊

在所提的方案中發(fā)送的每一條消息中均加上了時(shí)間戳t，之后，接收的每一條消息都會(huì)驗(yàn)證時(shí)間戳t，以此保證消息的新鮮度，只有檢驗(yàn)通過(guò)，才會(huì)繼續(xù)進(jìn)行下一步操作.此外，父節(jié)點(diǎn)在給孩子節(jié)點(diǎn)發(fā)送的消息中還生成了隨機(jī)數(shù)r.由于時(shí)間戳t和隨機(jī)數(shù)r的存在，本文協(xié)議可以抵御重放攻擊.

(9) 抵抗拒絕服務(wù)攻擊

在消息和認(rèn)證向量中添加了時(shí)間戳t，保證了消息的新鮮度;對(duì)請(qǐng)求認(rèn)證的節(jié)點(diǎn)發(fā)送的信息，使用組網(wǎng)認(rèn)證時(shí)節(jié)點(diǎn)與父節(jié)點(diǎn)協(xié)商的會(huì)話密鑰SKAP、SKBP，采用HMAC() 函數(shù)進(jìn)行加密傳輸: AV1HMAC(SKAP，REQ(A)||PuA||t1)，通信開銷較小.響應(yīng)認(rèn)證的節(jié)點(diǎn)可以通過(guò)以上兩點(diǎn)快速拒絕來(lái)自敵手A的非法認(rèn)證請(qǐng)求，從而抵抗拒絕服務(wù)攻擊.

5 性能分析

本文協(xié)議比較分析了Amin 等人[5]提出的基于哈希函數(shù)的AKA 協(xié)議、Challa 等人[11]提出的基于ECC 函數(shù)的AKA 協(xié)議、Cui 等人[16]提出的基于切比雪夫混沌映射的AKA 協(xié)議.結(jié)果顯示，本文協(xié)議在安全性、計(jì)算開銷和通信開銷上都具有一定的優(yōu)勢(shì).

5.1 安全性對(duì)比

本節(jié)從雙向認(rèn)證、身份隱私保護(hù)等8 個(gè)方面與本文協(xié)議進(jìn)行對(duì)比，如表4 所示.結(jié)果顯示，本文協(xié)議有更好的安全性，Amin 等人[5]協(xié)議無(wú)法滿足前向后向安全性將導(dǎo)致會(huì)話密鑰泄露帶來(lái)安全缺陷;Challa等人[11]協(xié)議不能進(jìn)行透明轉(zhuǎn)發(fā)，因此需要高度信任中間轉(zhuǎn)發(fā)節(jié)點(diǎn)，一旦中間節(jié)點(diǎn)被腐化，將面臨會(huì)話密鑰泄露的安全風(fēng)險(xiǎn);Cui 等人[16]協(xié)議不能實(shí)現(xiàn)雙向認(rèn)證，因此也無(wú)法抵抗假冒攻擊.

表4 AKA 協(xié)議安全性質(zhì)對(duì)比Table 4 Comparison of security properties of AKA protocols

5.2 計(jì)算開銷對(duì)比

為了對(duì)比本文協(xié)議與其他三個(gè)協(xié)議的計(jì)算開銷，根據(jù)文獻(xiàn)[4，20] 的結(jié)論，實(shí)驗(yàn)的配置環(huán)境為Ubuntu 16.04、i7-6700 CPU 和8 GB RAM 的PC 機(jī)，得出協(xié)議中密碼學(xué)運(yùn)算的平均執(zhí)行時(shí)間如表5 所示.其中異或運(yùn)算和級(jí)聯(lián)運(yùn)算計(jì)算開銷較小，因此在分析中忽略.其他運(yùn)算的計(jì)算時(shí)間為: 哈希運(yùn)算Th、HMAC運(yùn)算Thmac、切比雪夫混沌映射Tc、模冪運(yùn)算Texp、橢圓曲線點(diǎn)乘Tecm、對(duì)稱加/解密Tsym.

表5 密碼學(xué)運(yùn)算的平均執(zhí)行時(shí)間Table 5 Average execution time of a cryptographic operation

使用表5 密碼學(xué)運(yùn)算的平均執(zhí)行時(shí)間計(jì)算本文協(xié)議與其他三個(gè)協(xié)議的計(jì)算開銷，詳情如表6 及圖5 所示.與基于ECC 函數(shù)的AKA 協(xié)議相比，本文協(xié)議總的計(jì)算開銷約為Challa 等人[11]協(xié)議的55%;與基于切比雪夫混沌映射的AKA 協(xié)議相比，本文協(xié)議總的計(jì)算開銷約為Cui 等人[16]協(xié)議的82%;雖然Amin 等人[5]提出的基于哈希函數(shù)的AKA 協(xié)議計(jì)算開銷非常小，但是其不能滿足前向后向安全性，極大可能導(dǎo)致會(huì)話密鑰的泄露，因此在安全性方面有致命的缺陷.

表6 計(jì)算開銷比較Table 6 Computation cost comparison

圖5 計(jì)算開銷比較圖Figure 5 Computational overhead comparison chart

5.3 通信開銷對(duì)比

為了比較本文協(xié)議與其他三個(gè)協(xié)議的通信效率，計(jì)算通信開銷中所涉及的元數(shù)據(jù)長(zhǎng)度如表7 所示.其中分別代表: ID 長(zhǎng)度Lid(真實(shí)身份與偽身份的數(shù)據(jù)長(zhǎng)度相同)、哈希摘要長(zhǎng)度Lh、HMAC 長(zhǎng)度Lhmac、切比雪夫混沌映射長(zhǎng)度Lc、橢圓曲線點(diǎn)乘長(zhǎng)度Lecm、對(duì)稱加密長(zhǎng)度Lsym、時(shí)間戳長(zhǎng)度Lt.

表7 元數(shù)據(jù)的長(zhǎng)度Table 7 Length of metadata

使用表7 元數(shù)據(jù)的通信長(zhǎng)度計(jì)算本文協(xié)議與其他三個(gè)協(xié)議的通信開銷，詳情如表8 及圖6 所示.與Amin 等人[5]協(xié)議和Cui 等人[16]協(xié)議相比，本文協(xié)議需要更多的通信開銷，這是因?yàn)樘峁┝烁玫陌踩?而與Challa 等人[11]提出的基于ECC 函數(shù)的AKA 協(xié)議相比，本文協(xié)議的通信開銷減少了12%，相較于ECC 協(xié)議，本文協(xié)議基于切比雪夫混沌映射技術(shù)而提出的AKA 協(xié)議有著良好的通信開銷，可以在一定程度上滿足輕量級(jí)的特點(diǎn).

表8 通信開銷比較Table 8 Computation cost comparison

圖6 通信開銷比較圖Figure 6 Communication overhead comparison chart

5.4 實(shí)時(shí)通信效率分析

本節(jié)對(duì)實(shí)時(shí)通信階段協(xié)議中有認(rèn)證預(yù)測(cè)機(jī)制與無(wú)認(rèn)證預(yù)測(cè)機(jī)制進(jìn)行性能比較，如表9 所示.在協(xié)議無(wú)認(rèn)證預(yù)測(cè)機(jī)制時(shí)，衛(wèi)星的運(yùn)動(dòng)軌跡無(wú)法預(yù)測(cè)，意味著衛(wèi)星節(jié)點(diǎn)在注冊(cè)階段需要存儲(chǔ)所有節(jié)點(diǎn)的孩子節(jié)點(diǎn)認(rèn)證數(shù)據(jù)，存儲(chǔ)開銷十分巨大，假設(shè)一個(gè)節(jié)點(diǎn)的存儲(chǔ)開銷為1，而所有節(jié)點(diǎn)的孩子節(jié)點(diǎn)數(shù)為n，則總的存儲(chǔ)開銷為n.此外，在節(jié)點(diǎn)請(qǐng)求通信時(shí)，由于存儲(chǔ)的認(rèn)證表格十分巨大，在通信開銷上有查表時(shí)延;而協(xié)議有認(rèn)證預(yù)測(cè)機(jī)制時(shí)，僅需存儲(chǔ)節(jié)點(diǎn)自身預(yù)置的孩子節(jié)點(diǎn)認(rèn)證數(shù)據(jù)以及遷移的孩子節(jié)點(diǎn)認(rèn)證數(shù)據(jù)，假設(shè)孩子節(jié)點(diǎn)數(shù)為i，總的存儲(chǔ)開銷共為i(i ?n)，遠(yuǎn)遠(yuǎn)小于協(xié)議無(wú)認(rèn)證預(yù)測(cè)機(jī)制時(shí)的通信開銷.此外，在節(jié)點(diǎn)因?yàn)樾l(wèi)星動(dòng)態(tài)變化而變更所屬集群時(shí)，通過(guò)預(yù)測(cè)衛(wèi)星運(yùn)動(dòng)軌跡可以提前完成認(rèn)證數(shù)據(jù)遷移，進(jìn)而實(shí)現(xiàn)實(shí)時(shí)通信，通信過(guò)程中也無(wú)查表時(shí)延.

表9 實(shí)時(shí)通信階段性能比較Table 9 Performance comparison of real-time communication phase

5.5 并發(fā)通信效率分析

考慮并發(fā)通信時(shí)的協(xié)議效率，即在中間轉(zhuǎn)發(fā)節(jié)點(diǎn)處理多個(gè)節(jié)點(diǎn)(假設(shè)節(jié)點(diǎn)數(shù)為x) 的協(xié)議請(qǐng)求時(shí)，使用表5 密碼學(xué)運(yùn)算的平均執(zhí)行時(shí)間計(jì)算，并發(fā)計(jì)算開銷比較如表10 所示.與基于ECC 函數(shù)的AKA 協(xié)議在并發(fā)通信時(shí)的計(jì)算開銷相比，本文協(xié)議僅為Challa 等人[11]協(xié)議的29%.此外，本文協(xié)議在并發(fā)通信時(shí)的計(jì)算開銷主要集中于協(xié)議的認(rèn)證階段，而在密鑰協(xié)商階段因中間轉(zhuǎn)發(fā)節(jié)點(diǎn)進(jìn)行透明轉(zhuǎn)發(fā)，計(jì)算開銷為0，完成認(rèn)證后的密鑰協(xié)商不再需要中間轉(zhuǎn)發(fā)節(jié)點(diǎn)的參與，極大減輕了中間節(jié)點(diǎn)的計(jì)算開銷，在并發(fā)性能上相較于Challa 等人[11]協(xié)議有較好的優(yōu)勢(shì).

表10 并發(fā)通信中間轉(zhuǎn)發(fā)節(jié)點(diǎn)計(jì)算開銷比較Table 10 Comparison of computational overhead for concurrent communication

6 結(jié)束語(yǔ)

本文分析了天地一體化網(wǎng)絡(luò)通信模式和特點(diǎn)，研究了現(xiàn)有認(rèn)證與密鑰協(xié)商協(xié)議存在的安全問(wèn)題，提出一種適合天地一體化網(wǎng)絡(luò)的AKA 協(xié)議，將協(xié)議分為相鄰節(jié)點(diǎn)AKA 階段和跨節(jié)點(diǎn)AKA 階段.采用樹狀結(jié)構(gòu)，使用切比雪夫混沌映射技術(shù)設(shè)計(jì)了一種滿足透明傳輸?shù)腁KA 協(xié)議.在衛(wèi)星拓?fù)浣Y(jié)構(gòu)高度變化的情況下，設(shè)計(jì)認(rèn)證預(yù)測(cè)機(jī)制，提前完成認(rèn)證數(shù)據(jù)的遷移.通過(guò)與其他典型協(xié)議在安全需求、計(jì)算開銷和通信開銷等5 個(gè)方面的對(duì)比分析評(píng)估了本文協(xié)議的性能，相較于其他方案，本文協(xié)議具有更好的安全性、更低的計(jì)算開銷和通信開銷，能夠滿足天地一體化網(wǎng)絡(luò)的綜合需求.未來(lái)將從實(shí)驗(yàn)仿真角度驗(yàn)證本文協(xié)議的可行性.