薛開(kāi)平，馬永金，洪佳楠，許婕，楊青友

（中國(guó)科學(xué)技術(shù)大學(xué)電子工程與信息科學(xué)系，安徽 合肥 230026）

1 引言

隨著航天技術(shù)、衛(wèi)星通信技術(shù)的高速發(fā)展，以及用戶對(duì)網(wǎng)絡(luò)全球化的迫切需求，衛(wèi)星網(wǎng)絡(luò)與地面網(wǎng)絡(luò)融合組建天地一體化網(wǎng)絡(luò)已經(jīng)成為學(xué)術(shù)界和工業(yè)界的重要方向[1]。該網(wǎng)絡(luò)以衛(wèi)星網(wǎng)絡(luò)為骨干，以地面網(wǎng)絡(luò)為基礎(chǔ)，實(shí)現(xiàn)空、天、地、海等多維網(wǎng)絡(luò)的融合。相比傳統(tǒng)無(wú)線網(wǎng)絡(luò)，如蜂窩網(wǎng)絡(luò)，它具有廣域覆蓋、不受地理限制、抗毀、應(yīng)急能力強(qiáng)的優(yōu)點(diǎn)。作為傳統(tǒng)地面網(wǎng)絡(luò)的擴(kuò)充，邊遠(yuǎn)地區(qū)、災(zāi)區(qū)、航海等場(chǎng)景下用戶對(duì)接入天地一體化網(wǎng)絡(luò)存在迫切的需求。

漫游業(yè)務(wù)是天地一體化網(wǎng)絡(luò)中必須實(shí)現(xiàn)的服務(wù)之一，因?yàn)檫@種異構(gòu)、融合的網(wǎng)絡(luò)中用戶的漫游不可避免，如從傳統(tǒng)的無(wú)線網(wǎng)絡(luò)漫游到衛(wèi)星網(wǎng)絡(luò)，或在不同域天地一體化網(wǎng)絡(luò)漫游。然而，由于衛(wèi)星網(wǎng)絡(luò)固有的特點(diǎn)，實(shí)現(xiàn)安全高效的漫游認(rèn)證方案面臨著許多挑戰(zhàn)。一方面，無(wú)線信道的開(kāi)放性使惡意用戶可以通過(guò)監(jiān)聽(tīng)信道竊取用戶隱私或通過(guò)偽造、重放、中間人攻擊破壞漫游協(xié)議，損害合法用戶的權(quán)益[1]。另一方面，衛(wèi)星和地面實(shí)體的高傳播時(shí)延會(huì)給設(shè)計(jì)低延時(shí)的漫游方案帶來(lái)嚴(yán)重的挑戰(zhàn)。此外，衛(wèi)星鏈路的高度動(dòng)態(tài)性和不穩(wěn)定性也使高時(shí)延消耗的漫游機(jī)制難以在天地一體化網(wǎng)絡(luò)中實(shí)施。

現(xiàn)有的衛(wèi)星網(wǎng)絡(luò)無(wú)漫游認(rèn)證協(xié)議而只有接入認(rèn)證協(xié)議，主要有文獻(xiàn)[2～4]。它們能提供用戶和網(wǎng)絡(luò)的雙向認(rèn)證，并進(jìn)行密鑰協(xié)商等，但不適合多域的漫游場(chǎng)景，且這些認(rèn)證協(xié)議需要到網(wǎng)絡(luò)控制中心或地面站認(rèn)證用戶的身份，認(rèn)證時(shí)延大。另外，傳統(tǒng)無(wú)線網(wǎng)絡(luò)中的漫游認(rèn)證協(xié)議，如文獻(xiàn)[5,6]，盡管能保障漫游安全，包括漫游認(rèn)證、匿名性、密鑰協(xié)商等。但是這些漫游協(xié)議應(yīng)用到天地一體化場(chǎng)景中會(huì)帶來(lái)巨大的認(rèn)證時(shí)延。因?yàn)樵趥鹘y(tǒng)的衛(wèi)星網(wǎng)絡(luò)場(chǎng)景下，衛(wèi)星只負(fù)責(zé)轉(zhuǎn)發(fā)認(rèn)證消息，認(rèn)證過(guò)程由網(wǎng)絡(luò)控制中心或地面站完成。因此，本文將針對(duì)天地一體化網(wǎng)絡(luò)的特點(diǎn)，提出一種安全高效的漫游認(rèn)證方案。

本文基于低軌衛(wèi)星作為網(wǎng)絡(luò)接入點(diǎn)的場(chǎng)景，立足于衛(wèi)星具有一定計(jì)算能力的前提，設(shè)計(jì)了一種基于令牌的雙方漫游認(rèn)證方案。在本文的系統(tǒng)中，令牌是代表固定服務(wù)量（通話時(shí)長(zhǎng)，流量）的入網(wǎng)憑據(jù)。用戶根據(jù)自己的需求向網(wǎng)絡(luò)控制中心（NCC，network control center）申請(qǐng)一定數(shù)目的令牌。本文將認(rèn)證功能由 NCC提前到衛(wèi)星上，認(rèn)證過(guò)程由攜帶令牌的漫游用戶和衛(wèi)星直接完成，大大減少了傳播時(shí)延，且基于單向累加器生成的令牌，不僅初始化簡(jiǎn)單，一次模指數(shù)計(jì)算的認(rèn)證過(guò)程還使認(rèn)證過(guò)程計(jì)算開(kāi)銷(xiāo)小，進(jìn)一步縮短認(rèn)證時(shí)延。本文基于單向累加器的單向性設(shè)計(jì)令牌的計(jì)費(fèi)方式。這種計(jì)費(fèi)方式可以做到漫游域網(wǎng)絡(luò)根據(jù)提供的總服務(wù)量向歸屬域網(wǎng)絡(luò)收費(fèi)；歸屬域網(wǎng)絡(luò)也根據(jù)用戶使用過(guò)的令牌數(shù)目向用戶收費(fèi)；用戶多申請(qǐng)但沒(méi)有使用的令牌不額外收費(fèi)。另外，本文通過(guò)修改單向累加器密碼學(xué)算法使令牌機(jī)制支持用戶動(dòng)態(tài)加入和自主業(yè)務(wù)定制，并通過(guò)引入Bloom Filter使漫游用戶的身份可以隨時(shí)撤銷(xiāo)，同時(shí)防止惡意用戶的接入。

2 相關(guān)工作

近年來(lái)，隨著衛(wèi)星網(wǎng)絡(luò)的高速發(fā)展，許多衛(wèi)星認(rèn)證協(xié)議被提出。在1996年，Cruickshank[7]首先提出了衛(wèi)星網(wǎng)絡(luò)的認(rèn)證模型，并提出了基于公鑰密碼體制的認(rèn)證方案。但是該方案計(jì)算開(kāi)銷(xiāo)大，而且存在重放攻擊，只能實(shí)現(xiàn)衛(wèi)星對(duì)用戶的單向認(rèn)證。Hwang等[8]提出了基于預(yù)共享密鑰的認(rèn)證方案。在此方案中，用戶和 NCC利用預(yù)共享密鑰加密隨機(jī)數(shù)實(shí)現(xiàn)雙向認(rèn)證。每次認(rèn)證完后，NCC會(huì)向用戶發(fā)送新的預(yù)共享密鑰和隨機(jī)數(shù)實(shí)現(xiàn)密鑰的更新，防止重放攻擊。該方案相比文獻(xiàn)[7]更高效，然而密鑰存儲(chǔ)開(kāi)銷(xiāo)大。Chang等[9]的方案和Hwang類(lèi)似，前者把后者中的加密函數(shù)換為高效的散列函數(shù)來(lái)提高認(rèn)證效率，并且通過(guò)DH (Diffie-Hellman)交換和反向散列鏈實(shí)現(xiàn)密鑰更新。Chen等[10]結(jié)合公鑰密碼體制和預(yù)共享密鑰提出了一種新的認(rèn)證方案，該方案既能實(shí)現(xiàn)雙向認(rèn)證，還能具有較低的認(rèn)證開(kāi)銷(xiāo)和密鑰更新開(kāi)銷(xiāo)。Chen等[2]和 Zhao等[3]根據(jù)現(xiàn)有方案的安全漏洞，提出了更安全的認(rèn)證方案。他們的方案能防止惡意用戶攻擊，保護(hù)用戶隱私。然而，由于天體一體化網(wǎng)絡(luò)的多域漫游特征以及天地網(wǎng)絡(luò)實(shí)體的高傳播時(shí)延，這些方案不能直接應(yīng)用到漫游場(chǎng)景中。

傳統(tǒng)無(wú)線網(wǎng)絡(luò)的漫游認(rèn)證協(xié)議也不斷被完善。Jiang等[11]提出了一種基于秘密分割的匿名漫游協(xié)議，該方案具備匿名性，但是不具備不可追蹤性。而且認(rèn)證服務(wù)器兩兩之間需要共享會(huì)話密鑰，這使系統(tǒng)難以管理，可擴(kuò)展性差。公鑰密碼體制隨即廣泛用于實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)中的漫游認(rèn)證，用來(lái)克服對(duì)稱密鑰體制中的缺點(diǎn)。Yang等[12]結(jié)合了無(wú)線漫游中的安全需求，提出了匿名無(wú)線漫游協(xié)議的整體框架結(jié)構(gòu)。之后，Yang等[13]在此結(jié)構(gòu)框架基礎(chǔ)上，進(jìn)一步提出一種基于 DH交換和公鑰證書(shū)的無(wú)線漫游協(xié)議，并給出了詳細(xì)的安全性分析。雖然相對(duì)于對(duì)稱密鑰體制而言，該方案更具備一定的靈活性以及很強(qiáng)的可擴(kuò)展性。但是，由于PKI系統(tǒng)需要對(duì)證書(shū)進(jìn)行大量處理，尤其是認(rèn)證時(shí)需要在無(wú)線信道上傳遞證書(shū)并在終端進(jìn)行證書(shū)的驗(yàn)證，嚴(yán)重增加了網(wǎng)絡(luò)負(fù)載及移動(dòng)終端的計(jì)算量。為了避免這類(lèi)弊端，提出了不同的基于身份的認(rèn)證協(xié)議。He等[5]利用群簽名機(jī)制實(shí)現(xiàn)了具有用戶匿名性的漫游方案，然而該方案需要不斷更新和檢查用戶撤銷(xiāo)列表，用戶撤銷(xiāo)開(kāi)銷(xiāo)大。針對(duì)此，Liu等[6]提出了一種不需要用戶撤銷(xiāo)列表的群簽名漫游方案。它將生存時(shí)間寫(xiě)入到用戶的私鑰中，過(guò)期的用戶將會(huì)被漫游域NCC檢測(cè)出而自動(dòng)失效，大大節(jié)約了因用戶撤銷(xiāo)而造成的開(kāi)銷(xiāo)。盡管上述傳統(tǒng)網(wǎng)絡(luò)的漫游認(rèn)證方案能提供安全性保障，但是在傳統(tǒng)的衛(wèi)星網(wǎng)絡(luò)場(chǎng)景下，衛(wèi)星和地面站的高傳播時(shí)延將會(huì)導(dǎo)致無(wú)法忍受的高認(rèn)證時(shí)延。

因此，這些方案無(wú)法直接應(yīng)用到天地一體化漫游場(chǎng)景中。本文基于天地一體化網(wǎng)絡(luò)的特異性，提出了一種基于令牌的雙方漫游認(rèn)證協(xié)議，不僅保證了安全性，還極大減少了認(rèn)證時(shí)延。

3 預(yù)備知識(shí)

3.1 單向累加器

單向累加器的概念最早由Benaloh和Mare提出[14]，用于驗(yàn)證某個(gè)元素是否在一個(gè)指定的集合中。安全的單向累加器函數(shù)族是一個(gè)有限的函數(shù)f∶X×Y→X的集合且滿足3個(gè)屬性。

1) 計(jì)算有效性（computing availability）：存在一個(gè)多項(xiàng)式P，對(duì)每個(gè)給定的整數(shù)k，對(duì)所有的x∈X以及所有的y∈Y，f(x,y)是在P(k)時(shí)間內(nèi)可計(jì)算的。

2) 單向性(unidirection)：不存在多項(xiàng)式P，使存在一個(gè)概率多項(xiàng)式時(shí)間算法Ak，對(duì)任意給定的足夠大的k，隨機(jī)給定(x,y) ∈ (X,Y)，y'∈Y，Ak找到x'∈X，(x,y)≠(x',y')，使等式f(x,y)=f(x',y')成立的概率小于

3) 擬交換性（quasi-commutativity）：對(duì)所有的x∈X，y1,y2∈Y滿足

單向累加器常用于成員驗(yàn)證（membership testing）[14]，定義集合Y′= {y1,y2,… ,ym}的累加值為f(f(…f(f(x,y1),y2)… ,ym?1),ym)。假設(shè)有m個(gè)元素，則z為集合Y= {y1,y2,… ,ym}的累加值，zi為集合Yi= {y1,y2,…yi?1,yi+1,… ,ym?1,ym}的累加值。當(dāng)單向累加器被用來(lái)驗(yàn)證群組成員時(shí)，系統(tǒng)公布z，并頒發(fā)令牌(zi,yi)給成員。成員向驗(yàn)證者提供令牌，驗(yàn)證者計(jì)算f(zi,yi)是否和z相等，若相等，則成員屬于群組。f的準(zhǔn)交換性保證了一組數(shù)據(jù)按不同的順序進(jìn)行累加，所得的結(jié)果是相同的，也保證了上述等式的準(zhǔn)確性。f的安全性體現(xiàn)在它的單向性，即給定x∈X,y∈Y，對(duì)y'∈Y，找到滿足f(x,y) =f(x′,y′)是困難的。

Benaloh和Mare在文獻(xiàn)[14]中證明該單向累加器在強(qiáng) RSA假設(shè)的前提下是安全的，定義p,q為 2個(gè)大素?cái)?shù)，且滿足和均為大素?cái)?shù)，n=pq。在本文方案中，令f(x,y) =xymodn。

3.2 Bloom Filter

Bloom Filter[15]是一種高效的數(shù)據(jù)結(jié)構(gòu)。它利用精簡(jiǎn)的比特?cái)?shù)組來(lái)代表一個(gè)數(shù)據(jù)集。初始時(shí)候長(zhǎng)度為m的比特?cái)?shù)組置為全 0。在 Bloom Filter的構(gòu)建過(guò)程中，利用數(shù)據(jù)集中的每一個(gè)字符串作為k個(gè)散列函數(shù)的輸入，輸出k個(gè)[0,m?1]的值。對(duì)每一個(gè)輸出值，將數(shù)組相應(yīng)位置置 1。如果相應(yīng)位置已經(jīng)是1，就不再處理。在數(shù)據(jù)查詢階段，對(duì)查詢的字符串也做同樣的k次散列運(yùn)算。檢查比特?cái)?shù)組相應(yīng)k個(gè)位置的值是否全為 1，若有一位為 0，則表示該字符串一定不在這個(gè)數(shù)據(jù)集。若全為1，則以一定的誤判率判定該字符串屬于該數(shù)據(jù)集。文獻(xiàn)[15]通過(guò)數(shù)學(xué)分析得到的誤判率為

其中，n為數(shù)據(jù)集的元素個(gè)數(shù)。由求導(dǎo)計(jì)算得當(dāng)時(shí)，誤判率最低。

本文方案利用Bloom Filter來(lái)存儲(chǔ)已使用過(guò)的或已撤銷(xiāo)的令牌，實(shí)現(xiàn)失效令牌在衛(wèi)星網(wǎng)絡(luò)上的輕量級(jí)傳輸，能有效防止失效令牌的使用，進(jìn)一步實(shí)現(xiàn)了漫游用戶的管理和計(jì)費(fèi)。

4 系統(tǒng)和安全模型

4.1 系統(tǒng)模型

系統(tǒng)模型如圖1所示。在天地一體化網(wǎng)絡(luò)的漫游場(chǎng)景下，用戶離開(kāi)歸屬域網(wǎng)絡(luò)進(jìn)入到漫游域網(wǎng)絡(luò)。漫游域網(wǎng)絡(luò)根據(jù)與歸屬域網(wǎng)絡(luò)的協(xié)議對(duì)漫游用戶進(jìn)行認(rèn)證，并提供網(wǎng)絡(luò)接入服務(wù)。在本文方案中，系統(tǒng)模型主要包括以下幾個(gè)實(shí)體：漫游用戶（U）、低軌衛(wèi)星（LEO）、地面站（GS）、網(wǎng)絡(luò)控制中心（NCC）。下面是主要實(shí)體的具體描述。

1) 漫游用戶（U）

在漫游場(chǎng)景下，U作為移動(dòng)實(shí)體，離開(kāi)歸屬域網(wǎng)絡(luò)進(jìn)入到漫游域網(wǎng)絡(luò)，并獲得網(wǎng)絡(luò)接入服務(wù)。在本文方案中，U向歸屬域NCC（HNCC）申請(qǐng)漫游服務(wù)，HNCC給U頒發(fā)漫游憑據(jù)令牌。漫游域網(wǎng)絡(luò)認(rèn)證U的令牌，并提供固定的網(wǎng)絡(luò)服務(wù)。

2) 低軌衛(wèi)星（LEO）

圖1 天地一體化網(wǎng)絡(luò)漫游認(rèn)證架構(gòu)

LEO作為天地一體化網(wǎng)絡(luò)的接入點(diǎn)，連接用戶和地面站，具有一定的計(jì)算和存儲(chǔ)能力[16]。在本文方案中，漫游域LEO(FLEO)參與漫游認(rèn)證過(guò)程，進(jìn)一步減少認(rèn)證時(shí)延。

3) 地面站（GS）

GS連接衛(wèi)星網(wǎng)絡(luò)和地面互聯(lián)網(wǎng)。用戶可通過(guò)GS連入地面互聯(lián)網(wǎng)。衛(wèi)星也可通過(guò)GS與NCC進(jìn)行通信。漫游時(shí)，U通過(guò)漫游域GS(FGS)連入地面互聯(lián)網(wǎng)中。

4) 網(wǎng)絡(luò)管理中心（NCC）

NCC是所在域網(wǎng)絡(luò)的管理中心。根據(jù)所在域不同，又可分為歸屬域 NCC（HNCC）和漫游域NCC(FNCC)。在本文方案中，HNCC與 FNCC簽署了漫游協(xié)議。HNCC給U頒發(fā)令牌。漫游域網(wǎng)絡(luò)對(duì)令牌進(jìn)行認(rèn)證。FNCC收集 U使用過(guò)的令牌向HNCC收取費(fèi)用。

4.2 安全模型及安全需求

由于天地一體化網(wǎng)絡(luò)信道的暴露性，任何用戶均可通過(guò)監(jiān)聽(tīng)信道獲得通信數(shù)據(jù)。因此，攻擊者可以通過(guò)竊聽(tīng)來(lái)獲取合法用戶的傳輸信息。另外，攻擊者可以利用竊聽(tīng)到的數(shù)據(jù)進(jìn)行篡改、重放或中間人攻擊，假扮合法用戶，從而欺騙系統(tǒng)，非法接入網(wǎng)絡(luò)。

在漫游認(rèn)證過(guò)程中，用戶固定的身份信息會(huì)暴露用戶的隱私，因?yàn)楣粽呖梢岳蒙矸菪畔㈡i定用戶的地理位置。這種危害在軍事行動(dòng)中尤為突出，敵方可以通過(guò)監(jiān)聽(tīng)信道掌握我方的動(dòng)向。完全的匿名性伴隨的是不可審計(jì)性，這不利于漫游的計(jì)費(fèi)以及對(duì)非法用戶的追責(zé)。因此，用戶的身份既要對(duì)其他用戶匿名性，又要保證可追蹤性，這種看似矛盾的要求是天地一體化網(wǎng)絡(luò)的挑戰(zhàn)。鑒于上述提出的天地一體化網(wǎng)絡(luò)中的安全挑戰(zhàn)，本文提出下列安全需求。

1) 雙向認(rèn)證：漫游域網(wǎng)絡(luò)要對(duì) U進(jìn)行認(rèn)證，防止非法用戶使用網(wǎng)絡(luò)資源。同時(shí)，U也要認(rèn)證FLEO，防止偽 FLEO獲取用戶隱私并進(jìn)行一系列惡意攻擊。

2) 密鑰協(xié)商：在相互認(rèn)證完畢后，U要和FGS協(xié)商出會(huì)話密鑰，用于后續(xù)數(shù)據(jù)的認(rèn)證和加密，防止攻擊者偽造數(shù)據(jù)以及通過(guò)公開(kāi)信道竊聽(tīng)數(shù)據(jù)。

3) 匿名性：U的身份對(duì)其他用戶匿名，但是HNCC能夠揭露U的真實(shí)身份。

4.3 安全假設(shè)

基于上述安全模型和安全，本文做出下列安全假設(shè)。

1) HNCC完全可信。它向U頒發(fā)令牌用于漫游服務(wù)，不可能被任何敵手攻破。

2) 漫游域網(wǎng)絡(luò)實(shí)體半可信。它們遵循與歸屬域的漫游協(xié)議，向合法U提供網(wǎng)絡(luò)服務(wù)，但是為了謀取更多利益，漫游域網(wǎng)絡(luò)實(shí)體可能偽造令牌用于向HNCC收取額外的費(fèi)用。

3) 其他用戶不可信。他們嘗試破解本文提出的漫游認(rèn)證方案。例如，試圖破解合法U的隱私或偽造合法U的身份。

4) 不失一般性，本文假設(shè)用戶與HNCC、地面站與HNCC、衛(wèi)星與地面站之間存在安全通道。

5 漫游認(rèn)證方案

本文先簡(jiǎn)要地介紹提出的漫游認(rèn)證方案；然后詳細(xì)描述方案細(xì)節(jié)，包括系統(tǒng)初始化及用戶注冊(cè)、預(yù)協(xié)商、漫游認(rèn)證及密鑰協(xié)商、用戶動(dòng)態(tài)加入及令牌動(dòng)態(tài)補(bǔ)充、令牌失效及用戶動(dòng)態(tài)撤銷(xiāo)、令牌計(jì)費(fèi)。

為了描述方便，表1列舉了方案中涉及的相關(guān)實(shí)體的符號(hào)定義。

表1 實(shí)體符號(hào)定義

5.1 方案概述

漫游認(rèn)證方案如圖2所示。在系統(tǒng)初始化階段，HNCC通過(guò)FNCC向漫游域低軌衛(wèi)星廣播已撤銷(xiāo)的令牌標(biāo)識(shí)yi，衛(wèi)星存入到Bloom Filter中。HNCC給 U頒發(fā)令牌。FGS通過(guò)預(yù)協(xié)商將密鑰協(xié)商參數(shù)bP和FNCC傳來(lái)的用戶暫時(shí)身份標(biāo)識(shí)組TMSI發(fā)送給 FLEO。其中，P為橢圓曲線的生成元，是系統(tǒng)公布參數(shù)，b為FGS生成的隨機(jī)數(shù)。待U進(jìn)入漫游域時(shí)，他向FLEO出示令牌并發(fā)送密鑰協(xié)商參數(shù)aP。FLEO驗(yàn)證令牌的合法性后，將從TMSI中隨機(jī)抽取的標(biāo)識(shí)TMSIi和bP一起發(fā)送給U。TMSIi用于后續(xù)對(duì)U提供定量的網(wǎng)絡(luò)服務(wù)，并進(jìn)行域內(nèi)的管理和監(jiān)督；bP用于密鑰協(xié)商。與此同時(shí)，F(xiàn)LEO將aP和yi發(fā)送給FGS。aP用于密鑰協(xié)商；yi發(fā)送給FNCC用于向HNCC收取費(fèi)用。最后FLEO將已認(rèn)證過(guò)的yi廣播給其余衛(wèi)星，防止令牌重用。由于FLEO直接驗(yàn)證用戶的合法性，避免了地面站或NCC的直接參與，大大減少傳播時(shí)延，且令牌也基于單向累加器產(chǎn)生，相比于其他認(rèn)證方案，驗(yàn)證高效，大大減少了計(jì)算時(shí)延。

5.2 系統(tǒng)初始化及用戶注冊(cè)

NCC利用單向累加器為每個(gè)衛(wèi)星頒發(fā)身份驗(yàn)證憑據(jù)(zi′,yi′)，將衛(wèi)星公共參數(shù)z′通過(guò)安全通道廣播給與它簽訂漫游協(xié)議的NCC。其中z′、zi′定義為

圖2 漫游認(rèn)證方案

其中，yi′為滿足等式的自然數(shù)，l為衛(wèi)星數(shù)目。

在本文方案中，一個(gè)令牌代表一定的服務(wù)量（通話時(shí)長(zhǎng)，流量），U根據(jù)自己的需求向 HNCC申請(qǐng)一定數(shù)目的令牌。HNCC利用用戶公共參數(shù)z為U分配令牌。z有固定的有效期，以一個(gè)月為例。HNCC在不同的月份用不同的z生成令牌。HNCC將 12個(gè)月份的z發(fā)送給與它簽訂漫游協(xié)議的FNCC。FNCC廣播給域內(nèi)所有低軌衛(wèi)星。低軌衛(wèi)星在不同的月份用相應(yīng)的z驗(yàn)證令牌的合法性。令牌為(zi,yi)，yi為滿足等式的自然數(shù)，m為令牌總數(shù)目，其他參數(shù)定義為

用戶注冊(cè)時(shí)，HNCC將用戶申請(qǐng)的令牌以及漫游域衛(wèi)星公共參數(shù)z′通過(guò)安全通道發(fā)送給用戶。每個(gè)衛(wèi)星維護(hù)一個(gè)由系統(tǒng)撤銷(xiāo)或已使用過(guò)的令牌標(biāo)識(shí)yi構(gòu)建的 Bloom Filter。初始時(shí)候，HNCC通過(guò)安全通道向FNCC傳輸當(dāng)月已撤銷(xiāo)的yi。FNCC再通過(guò)安全通道向所在域所有低軌衛(wèi)星廣播這些yi。衛(wèi)星將這些yi添加到Bloom Filter中。

5.3 預(yù)協(xié)商

預(yù)認(rèn)證過(guò)程如圖3所示。FNCC將域內(nèi)暫時(shí)身份標(biāo)識(shí)組TMSI通過(guò)安全通道傳輸給FGS，且給不同的 FGS傳輸不同的 TMSI從而防止身份重用。FGS生成密鑰協(xié)商參數(shù)bP，F(xiàn)GS將TMSI和bP通過(guò)安全通道發(fā)送給FLEO。

5.4 漫游認(rèn)證及密鑰協(xié)商

這個(gè)階段發(fā)生在U移動(dòng)到漫游域網(wǎng)絡(luò)，并且向網(wǎng)絡(luò)發(fā)起接入請(qǐng)求。U首先和FLEO進(jìn)行雙向認(rèn)證，接著通過(guò)FLEO和FGS協(xié)商出會(huì)話密鑰。認(rèn)證過(guò)程如圖3所示，下面描述具體細(xì)節(jié)。

第一步，U產(chǎn)生隨機(jī)數(shù)a，計(jì)算aP，并結(jié)合當(dāng)前的時(shí)間戳tsU計(jì)算出散列值s1=h(aP||tsU)。再通過(guò)s1和令牌中的zi產(chǎn)生認(rèn)證載荷R1=f(zi,s1)。最后U將密鑰協(xié)商參數(shù)aP、yi、R1，歸屬域標(biāo)識(shí)NETID，tsU一起發(fā)給FLEO。

第二步，當(dāng)FLEO收到U發(fā)來(lái)的接入請(qǐng)求載荷后，它首先驗(yàn)證傳播時(shí)延tnow?tsU是否在可接受的閾值Δt以內(nèi)。如果超出閾值，則認(rèn)為此為重放分組，拒絕U的接入。如果未超出閾值，F(xiàn)LEO將yi作為查詢?cè)?，通過(guò)Bloom Filter檢查令牌是否失效。若令牌失效，則FLEO拒絕U的接入。若令牌未失效，F(xiàn)LEO通過(guò)aP和tsU生成s1，并根據(jù)域NETID頒發(fā)的z驗(yàn)證等式f(R1,yi) =f(z,s1)是否成立。若不成立，同樣拒絕用戶接入。若成立，則認(rèn)為 U合法，繼續(xù)執(zhí)行下列步驟。FLEO結(jié)合當(dāng)前的時(shí)間戳tsSAP和 FGS發(fā)來(lái)的bP計(jì)算散列值s2=h(bP||tsSAP)，接著利用HNCC頒發(fā)的身份驗(yàn)證憑據(jù)產(chǎn)生認(rèn)證載荷R2=f(zi′ ,s2)，然后隨機(jī)從TMSI中 選 擇 一 個(gè)TMSIi， 將 接 入 應(yīng) 答 {yi,bP,yi′ ,R2,TMSIi,tsSAP}發(fā)送給 U同時(shí)將{bP,aP,yi,TMSIi,NETID}通過(guò)安全通道發(fā)送給 FGS。最后，F(xiàn)LEO將yi插入到Bloom Filter中，并向所在域其他低軌衛(wèi)星廣播yi。其他衛(wèi)星收到y(tǒng)i后做同樣操作。

圖3 漫游認(rèn)證及密鑰協(xié)商

第三步，U收到FLEO發(fā)來(lái)的接入應(yīng)答后，它首先驗(yàn)證傳播時(shí)延tnow?tsSAP是否在可接受的閾值Δt以內(nèi)。如果超出閾值，則認(rèn)為是重放分組，忽略FLEO的應(yīng)答。如果未超出閾值，U通過(guò)bP和tsSAP生成s2，并驗(yàn)證等式f(R2,yi′ ) =f(z′,s2)是否成立。若不成立，則認(rèn)為FLEO非法，同樣忽略FLEO的應(yīng)答。若成立，計(jì)算會(huì)話密鑰SK=abP。FGS收到衛(wèi)星的應(yīng)答分組后，也計(jì)算出和U共享的會(huì)話密鑰SK=abP，并將yi和NETID發(fā)送給FNCC，用于后續(xù)的計(jì)費(fèi)。

至此，U和FGS協(xié)商出共享的會(huì)話密鑰，從而建立了安全通道。認(rèn)證結(jié)束后，U獲得漫游域網(wǎng)絡(luò)的暫時(shí)身份標(biāo)識(shí) TMSIi，相當(dāng)于漫游域的其他合法用戶。漫游域網(wǎng)絡(luò)根據(jù)本域規(guī)則對(duì)U進(jìn)行管理和監(jiān)督，并提供令牌包含的定量網(wǎng)絡(luò)服務(wù)。

5.5 用戶動(dòng)態(tài)加入和令牌動(dòng)態(tài)補(bǔ)充

在實(shí)際網(wǎng)絡(luò)運(yùn)營(yíng)過(guò)程中，用戶可能隨時(shí)向HNCC申請(qǐng)新的令牌，包括新漫游用戶因?yàn)樾枰味暾?qǐng)令牌或老漫游用戶因?yàn)榱钆茢?shù)目不足而申請(qǐng)新的令牌。所以，合理的方案必須要滿足即使在系統(tǒng)初始化和用戶注冊(cè)完畢后，用戶仍能申請(qǐng)令牌，即能實(shí)現(xiàn)令牌的動(dòng)態(tài)加入。令牌動(dòng)態(tài)加入過(guò)程如下：假設(shè)當(dāng)月的用戶公共參數(shù)為z，HNCC產(chǎn)生一個(gè)隨機(jī)數(shù)yk，yk滿足和(p? 1)(q? 1)互素且未被使用過(guò)，HNCC生成zk，zk滿足

5.6 令牌失效及用戶動(dòng)態(tài)撤銷(xiāo)

當(dāng)令牌被漫游域網(wǎng)絡(luò)認(rèn)證后，為了防止令牌重用，F(xiàn)LEO將yi插入到所維護(hù)的Bloom Filter中，同時(shí)向所在域其他低軌衛(wèi)星廣播已認(rèn)證的yi，其他衛(wèi)星收到y(tǒng)i后做同樣操作。當(dāng)令牌被認(rèn)證后，U會(huì)被分配TMSIi。后續(xù)歸屬域網(wǎng)絡(luò)利用TMSIi，根據(jù)所在域網(wǎng)絡(luò)規(guī)則向U提供定量的網(wǎng)絡(luò)服務(wù)。考慮到漫游高峰期可能存在過(guò)多漫游用戶同時(shí)接入網(wǎng)絡(luò)，F(xiàn)LEO廣播yi開(kāi)銷(xiāo)大，此時(shí)，F(xiàn)LEO可以將這一時(shí)間段的yi聚合后再?gòu)V播給其余低軌衛(wèi)星。

由于令牌的驗(yàn)證依賴于用戶公共參數(shù)z，而z有特定的生存周期，衛(wèi)星在不同月份用相應(yīng)的z認(rèn)證令牌，所以令牌也有特定的生存周期，它只在對(duì)應(yīng)的月份有效。衛(wèi)星在新的月份來(lái)臨的時(shí)候清空Bloom Filter，防止Filter無(wú)限增大。

由于一些 U可能非法使用令牌或想申請(qǐng)退出漫游服務(wù)，系統(tǒng)需要主動(dòng)撤銷(xiāo)這些U的所有令牌來(lái)撤銷(xiāo)用戶。本文設(shè)計(jì)一套機(jī)制來(lái)支持用戶的動(dòng)態(tài)撤銷(xiāo)。HNCC將撤銷(xiāo)用戶有效期為當(dāng)月的令牌yi通過(guò)安全通道發(fā)送給FNCC。FNCC收到消息后，將這些yi通過(guò)安全通道廣播給所在域的所有低軌衛(wèi)星。低軌衛(wèi)星將這些值存入到Bloom Filter中。若用戶還有剩余令牌沒(méi)有撤銷(xiāo)，則在令牌生效的月初執(zhí)行撤銷(xiāo)操作。

5.7 令牌計(jì)費(fèi)

當(dāng)U認(rèn)證完畢后，F(xiàn)LEO將yi通過(guò)FGS發(fā)送給FNCC。FNCC利用收集的yi向HNCC收取費(fèi)用。HNCC也根據(jù)用戶使用的令牌數(shù)目向其收取費(fèi)用。這樣的計(jì)費(fèi)方式有以下優(yōu)點(diǎn)。

1) 用戶享受多少服務(wù)就收取多少費(fèi)用，極大維護(hù)用戶的權(quán)益。

2) 用戶即使多申請(qǐng)了額外的令牌也不用主動(dòng)撤銷(xiāo)，因?yàn)椴皇褂玫牧钆撇粫?huì)被計(jì)費(fèi)。

3) 漫游域根據(jù)提供的服務(wù)量向歸屬域收取費(fèi)用，收費(fèi)公平。

FNCC可能試圖偽造yi向 HNCC收取額外費(fèi)用，下面本文證明這種行為不可能發(fā)生。令牌由HNCC通過(guò)安全通道發(fā)送給U，其他網(wǎng)絡(luò)實(shí)體包括FNCC無(wú)法得知未使用過(guò)的yi。FNCC可能猜測(cè)yi，然而由于單向累加器的單向性，以及yi的隨機(jī)性，猜測(cè)的yi不一定準(zhǔn)確，HNCC針對(duì)錯(cuò)誤的yi給予嚴(yán)厲的懲罰措施可以制止這種行為。

6 安全分析

6.1 雙向認(rèn)證

1) FLEO認(rèn)證合法U

在漫游接入階段，U向 FLEO發(fā)送接入請(qǐng)求。由于用戶公共參數(shù)z提前通過(guò)安全通道發(fā)送給FLEO，所以FLEO可以通過(guò)等式f(R1,yi) =f(z,s1)驗(yàn)證令牌的合法性從而驗(yàn)證U的身份。等式成立依據(jù)為

考慮攻擊者偽造合法U身份惡意接入網(wǎng)絡(luò)。

攻擊目標(biāo)：攻擊者構(gòu)造接入請(qǐng)求分組 {aP,yi,R1,NETID,tsU}，以使 FLEO能夠檢測(cè)到f(R1,yi)=f(z,s1)。其中，s1和R1滿足

攻擊資源：攻擊者能夠獲得用戶公共參數(shù)z，并且能夠獲得過(guò)去時(shí)間內(nèi) U發(fā)送的接入請(qǐng)求五元組{aP,yi,R1,NETID,tsU}。

攻擊者的攻擊可形式化為生成新的接入請(qǐng)求五元組 {aP,yi,R1′ ,N ETID,tsU′ }。根據(jù)攻擊方式不同，yi可以是偽造的令牌標(biāo)識(shí)或是截獲的已知令牌標(biāo)識(shí)。R1′為構(gòu)造的認(rèn)證載荷，tsU′為待攻擊的時(shí)間點(diǎn)，其他信息aP和NETID都是已知且可修改的。

若攻擊者虛構(gòu)U身份，則yi由攻擊者生成。由于R1′由zi和s1經(jīng)單向累加器函數(shù)生成，且s1由已知信息aP和tsU′散列生成，所以攻擊可進(jìn)一步歸約為構(gòu)造令牌(zi,yi)。由單向累加器函數(shù)的單向性可知，已知z=f(zi,yi)，構(gòu)造(zi,yi)滿足等式在計(jì)算上是不可行的。所以攻擊者無(wú)法虛構(gòu) U身份。

若攻擊者截獲用戶發(fā)送的接入請(qǐng)求分組，并且假冒U身份，則yi已知。且R1′由zi和s1經(jīng)單向累加器函數(shù)生成，s1由已知信息aP和tsU′散列生成，所以攻擊可進(jìn)一步歸約為構(gòu)造已知yi的令牌(zi,yi)。已知

攻擊者可以從已知的z和yi或R1和s1的關(guān)系中求解出zi，且這2種方式求解難度相同。在已知z、yi和n，但n的素因子p和q未知的情況下，求解zi的難度等價(jià)于大數(shù)分解難題，這在計(jì)算上是不可行的。同理，已知R1和s1，求解zi在計(jì)算上也是不可行的。所以攻擊者無(wú)法假冒U的身份。

綜上所述，攻擊者無(wú)法偽造接入請(qǐng)求分組以通過(guò)FLEO的驗(yàn)證，因此本方案可以實(shí)現(xiàn)FLEO認(rèn)證合法U的功能。

2) U認(rèn)證合法FLEO

在漫游應(yīng)答階段，F(xiàn)LEO向 U發(fā)送接入應(yīng)答{yi,bP,yi′,R2,TMSIi,tsSAP}。由于衛(wèi)星公共參數(shù)z′提前通過(guò)安全通道發(fā)送給 U，所以 U可以通過(guò)等式f(R2,yi′ ) =f(z′,s2)驗(yàn)證FLEO身份的合法性。等式成立依據(jù)為

考慮攻擊者偽造FLEO身份。

攻擊目標(biāo)：攻擊者構(gòu)造接入應(yīng)答分組以使 U能夠檢測(cè)到其中，s2和R2滿足

攻擊資源：攻擊者能夠獲得衛(wèi)星公共參數(shù)z'，并且能夠獲得過(guò)去時(shí)間內(nèi)FLEO對(duì)U發(fā)送的接入應(yīng)答六元組 {yi,bP,yi′ ,R2,TMSIi,tsSAP}。

攻擊者的攻擊可形式化為生成接入應(yīng)答六元組{yi,bP,yi′ ,R2′,T MSIi,tsS′AP}。其中，yi為發(fā)起接入請(qǐng)求U的令牌標(biāo)識(shí)，根據(jù)攻擊方式不同，yi′可以是偽造的衛(wèi)星身份驗(yàn)證憑據(jù)標(biāo)識(shí)或是已知的FLEO身份驗(yàn)證憑據(jù)標(biāo)識(shí)。R2′為構(gòu)造的認(rèn)證載荷，tsS′AP為待攻擊的未來(lái)時(shí)間，其他信息bP，TMSIi都是已知并且可修改的。

若攻擊者虛構(gòu)FLEO身份，則yi′由攻擊者生成。且R2′由zi′和s2經(jīng)單向累加器函數(shù)生成，s2由已知信息bP和tsS′AP散列生成，所以攻擊可進(jìn)一步歸約為構(gòu)造衛(wèi)星身份驗(yàn)證憑據(jù)(zi′,yi′ )。由單向累加器函數(shù)的單向性可知，已知z′ =f(zi′ ,yi′ )，構(gòu)造(zi′ ,yi′)滿足等式在計(jì)算上是不可行的。所以攻擊者也無(wú)法虛構(gòu)FLEO的身份。

若攻擊者假冒已知FLEO身份，則yi′是已知的。且R2′由zi′和s2經(jīng)單向累加器函數(shù)生成，s2由已知信息bP和tsS′AP散列生成，所以攻擊可進(jìn)一步歸約為構(gòu)造已知yi'的衛(wèi)星身份驗(yàn)證憑據(jù)(zi′ ,yi′ )。已知

攻擊者可以從已知的z′和yi′或R2和s2的關(guān)系中求解出zi′，且這2種方式求解難度相同。已知z′、yi′和n，但是n的素因子p和q未知的情況下，求解zi′的難度等價(jià)于大數(shù)分解難題，這在計(jì)算上是不可行的。同理，已知R2和s2，求解zi′在計(jì)算上也是不可行的。所以攻擊者無(wú)法構(gòu)造已知yi′的衛(wèi)星身份驗(yàn)證憑據(jù)(zi′,yi′)，即無(wú)法假冒已知FLEO的身份。

綜上所述，攻擊者無(wú)法偽造接入應(yīng)答分組以通過(guò)U的驗(yàn)證，因此，本文方案可以實(shí)現(xiàn)U認(rèn)證合法FLEO的功能。

6.2 抵抗中間人攻擊

攻擊目標(biāo)：在漫游接入階段，攻擊者截獲U發(fā)送的接入請(qǐng)求分組，修改密鑰協(xié)商參數(shù)等信息，偽造新的接入請(qǐng)求分組以被FLEO驗(yàn)證通過(guò)。在漫游應(yīng)答階段，攻擊者截獲FLEO發(fā)送的接入應(yīng)答分組，修改密鑰協(xié)商參數(shù)等信息，偽造新的接入應(yīng)答分組以被U驗(yàn)證通過(guò)。

攻擊資源：用戶公共參數(shù)z，衛(wèi)星公共參數(shù)z′，U發(fā)送給 FLEO的接入請(qǐng)求五元組 {aP,yi,R1,NETID,tsU}，F(xiàn)LEO發(fā)送給 U的接入應(yīng)答六元組

由6.1節(jié)所分析的雙向認(rèn)證特性可知，攻擊者在截獲了 U發(fā)送給衛(wèi)星的接入請(qǐng)求分組后無(wú)法偽造新的接入請(qǐng)求分組以被FLEO驗(yàn)證通過(guò)，同時(shí)攻擊者在截獲了 FLEO發(fā)送給用戶的接入應(yīng)答分組后也無(wú)法偽造新的接入應(yīng)答分組以被U驗(yàn)證通過(guò)，即中間人攻擊不會(huì)成功，因此，本文方案可以有效地抵抗中間人攻擊。

6.3 抵抗重放攻擊

攻擊目標(biāo)：攻擊者重放在過(guò)去時(shí)間tsU′合法 U的漫游接入請(qǐng)求分組 {aP,yi,R1,NETID,tsU′ }，以使FLEO能夠檢測(cè)到f(R1,yi) =f(z,s1)?；蚬粽咧胤旁谶^(guò)去時(shí)間tsS′AP合法FLEO的漫游接入應(yīng)答分組{yi,bP,yi′,R2,TMSIi,tsS′AP}， 以 使 U能 夠 檢 測(cè) 到f(R2,yi′ ) =f(z′,s2)。

攻擊資源：攻擊者能夠獲得過(guò)去時(shí)間內(nèi)U發(fā)送給FLEO的接入請(qǐng)求五元組 {aP,yi,R1,NETID,tsU}，以及 FLEO發(fā)送給 U的接入應(yīng)答六元組{yi,bP,yi′,R2,TMSIi,tsSAP}。

漫游認(rèn)證過(guò)程中，F(xiàn)LEO在收到U的漫游接入請(qǐng)求分組后，會(huì)首先驗(yàn)證傳播時(shí)延tnow?tsU是否在可接受的閾值Δt以內(nèi)。若超出閾值，則認(rèn)為接入請(qǐng)求超時(shí)，拒絕U的接入，所以能抵抗攻擊者重放接入請(qǐng)求分組。U在收到FLEO的漫游應(yīng)答分組后，也會(huì)首先驗(yàn)證傳播時(shí)延tnow?tsSAP是否在可接受的閾值Δt以內(nèi)。如果超出閾值，則認(rèn)為接入應(yīng)答超時(shí)，終止認(rèn)證操作，所以能抵抗攻擊者重放接入應(yīng)答分組。綜上所述，本文方案可以抵抗重放攻擊。

6.4 密鑰協(xié)商

本文方案的密鑰協(xié)商過(guò)程是基于橢圓曲線的DH密鑰交換算法?；贒H困難假設(shè)，任何攻擊者在僅知道P、aP和bP的情況下無(wú)法計(jì)算出abP。在本文方案中，U和FGS分別產(chǎn)生DH密鑰協(xié)商參數(shù)aP和bP，然后協(xié)商出會(huì)話密鑰SK=abP。鑒于上文所證明的安全性，攻擊者只能獲得aP和bP，并且無(wú)法篡改他們，因?yàn)橐坏┐鄹乃麄?，認(rèn)證將不通過(guò)，所以任何除了U和FGS的實(shí)體都無(wú)法計(jì)算出會(huì)話密鑰，包括FLEO。

6.5 身份隱私保護(hù)

U根據(jù)自己的服務(wù)量向HNCC申請(qǐng)多個(gè)令牌。不同令牌之間不具有任何相關(guān)性，相當(dāng)于多個(gè)假名。其他用戶甚至FNCC都無(wú)法確定不同令牌是否屬于同一個(gè)用戶，只有HNCC能根據(jù)yi或zi查詢令牌表確定U的真實(shí)身份。在U認(rèn)證完畢后，F(xiàn)LEO隨機(jī)挑選一個(gè)TMSIi發(fā)送給U。TMSIi的隨機(jī)性使U的身份對(duì)其他用戶具有一定的匿名性。

7 性能分析

本文通過(guò)分析認(rèn)證時(shí)延評(píng)估本方案的性能。認(rèn)證時(shí)延是用戶執(zhí)行一次認(rèn)證流程所耗費(fèi)的總時(shí)間，包括各個(gè)認(rèn)證實(shí)體執(zhí)行密碼學(xué)操作造成的計(jì)算時(shí)延以及實(shí)體間交互造成的通信時(shí)延，即認(rèn)證時(shí)延=計(jì)算時(shí)延+通信時(shí)延。其中，通信時(shí)延取決于實(shí)體之間信號(hào)的傳播時(shí)延以及交互次數(shù)。為了方便分析，本文分別將U到FLEO，F(xiàn)LEO到FGS，F(xiàn)GS到 FNCC，F(xiàn)NCC到 HNCC的傳播時(shí)延表示為T(mén)U-FLEO、TFLEO-FGS、TFGS-FNCC、TFNCC-HNCC。由于低軌衛(wèi)星和地面相距 500～2 000 km[17]且實(shí)測(cè)實(shí)驗(yàn)室主機(jī)至云端服務(wù)器（百度服務(wù)器、阿里服務(wù)器等）來(lái)回時(shí)延10～30 ms，所以本文設(shè)定TU-FLEO=TFLEO-FGS=10 ms，TFGS-FNCC= 5 ms，TFNCC-HNCC= 5 ms。文獻(xiàn)[18]以Intel P-IV 3 GHz處理器利用OPENSSL庫(kù)測(cè)得一些密碼學(xué)算法的計(jì)算耗時(shí)。其中，一次雙線性映射、一次橢圓曲線的點(diǎn)乘、一次模指數(shù)運(yùn)算分別耗時(shí)Tpair= 11.903ms，Tmul= 0.376 ms ，Texp= 0.387 ms 。由于散列運(yùn)算和對(duì)稱加密相對(duì)于別的密碼學(xué)算法耗時(shí)可忽略不計(jì)，本文在方案比較過(guò)程中忽略散列運(yùn)算帶來(lái)的時(shí)延。另外，本文所提方案在認(rèn)證過(guò)程中需要查詢Bloom Filter表，而查表過(guò)程的復(fù)雜度相當(dāng)于做有限次散列運(yùn)算，所以我們忽略查表帶來(lái)的時(shí)延。

本文選取具有代表性的文獻(xiàn)[2, 3, 5, 11]的漫游相關(guān)方案和本文方案進(jìn)行比較。需要注意的是，由于衛(wèi)星網(wǎng)絡(luò)關(guān)于漫游的研究匱乏，所以選取的這些方案并非專(zhuān)門(mén)針對(duì)天地一體化網(wǎng)絡(luò)漫游場(chǎng)景。文獻(xiàn)[2,3]的方案是衛(wèi)星網(wǎng)絡(luò)下的認(rèn)證方案，選取它們作為比較對(duì)象是因?yàn)檫@2種方案和本文方案均針對(duì)天地一體化網(wǎng)絡(luò)環(huán)境，且均提供了較為高效的認(rèn)證方案。文獻(xiàn)[5,11]的方案是無(wú)線網(wǎng)絡(luò)環(huán)境下的漫游方案，選取它們作為比較對(duì)象是因?yàn)檫@2種方案和本文方案同處于漫游場(chǎng)景且也較為高效。鑒于這些方案和本文方案場(chǎng)景的差異性，本文根據(jù)天地一體化網(wǎng)絡(luò)特點(diǎn)對(duì)被比較方案做了適應(yīng)性修改。文獻(xiàn)[2, 3]的方案的身份驗(yàn)證者原為所在域NCC，本文將其的移動(dòng)至HNCC，既保證了方案的自然遷移也保障了安全性。文獻(xiàn)[5,11]的方案的身份驗(yàn)證者原本即分別為HNCC和FNCC，本文不做修改。

表2展示了相關(guān)方案性能對(duì)比的情況。從表2可以看出，本文方案在計(jì)算上需執(zhí)行6次模指數(shù)運(yùn)算，2次橢圓曲線點(diǎn)乘運(yùn)算。而文獻(xiàn)[2]的方案需執(zhí)行3次模指數(shù)運(yùn)算，文獻(xiàn)[5]的方案需執(zhí)行3次雙向線性映射計(jì)算和16次橢圓曲線點(diǎn)乘運(yùn)算，文獻(xiàn)[3]和文獻(xiàn)[11]的方案由于涉及的密碼學(xué)算法為散列計(jì)算或者對(duì)稱加密，相比其他密碼學(xué)算法計(jì)算時(shí)延可忽略不計(jì)。所以本文方案在計(jì)算時(shí)延上雖高于文獻(xiàn)[2, 3, 11]的方案，但是差距不大，且明顯低于文獻(xiàn)[5]方案。本文方案將認(rèn)證功能由HNCC提前至FLEO，且漫游認(rèn)證過(guò)程只需一次星地交互，顯著減少通信時(shí)延。從表2可以看出，本文方案相比其他方案至少減少了一半通信時(shí)延。考慮到天地一體化網(wǎng)絡(luò)特殊的環(huán)境，其認(rèn)證時(shí)延瓶頸在于星地鏈路的高時(shí)延，所以本文方案在認(rèn)證時(shí)延上具有不可比擬的優(yōu)越性。通過(guò)模擬計(jì)算得出本文方案認(rèn)證時(shí)延約為23.074 ms，是整體耗時(shí)最少的，且?guī)缀跏瞧渌臅r(shí)最少的。此外，本文方案相比其他方案同樣具有匿名性，用戶身份也支持動(dòng)態(tài)撤銷(xiāo)，另外，還考慮了用戶、漫游域和歸屬域三方根據(jù)服務(wù)量計(jì)費(fèi)的問(wèn)題。即本文方案在功能完備性上具有一定的優(yōu)越性。

表2 相關(guān)方案性能對(duì)比

8 結(jié)束語(yǔ)

本文針對(duì)天地一體化網(wǎng)絡(luò)的漫游場(chǎng)景，提出了一種基于令牌的雙方漫游認(rèn)證方案。該方案將漫游認(rèn)證功能從地面提前到接入衛(wèi)星，很好地減少了傳播時(shí)延。另外，基于單向累加器生成的令牌，不僅使認(rèn)證過(guò)程高效，還支持靈活的加入和撤銷(xiāo)?；诹钆频氖召M(fèi)機(jī)制，既能防止FNCC向HNCC收取額外的費(fèi)用，還能保證用戶只為使用過(guò)的令牌支付費(fèi)用，極大維護(hù)了用戶和HNCC的權(quán)益。本文的安全分析表明：本文方案能夠提供雙向認(rèn)證，抵抗中間人和重放攻擊，還具有一定的匿名性。本文的性能分析表明：本文方案大大減少了漫游認(rèn)證時(shí)延，具有顯著的優(yōu)越性。

[1] 李鳳華, 殷麗華, 吳巍, 等. 天地一體化信息網(wǎng)絡(luò)安全保障技術(shù)研究進(jìn)展及發(fā)展趨勢(shì)[J]. 通信學(xué)報(bào), 2016, 37(11)∶ 156-168.LI F H, YIN L H, WU W, et al. Research status and development trends of security assurance for space-ground integration information network[J]. Journal on Communications, 2016, 37(11)∶ 156-168.

[2] CHEN C L, CHENG K W, CHEN Y L, et al. An improvement on the self-verification authentication mechanism for a mobile satellite communication system[J]. Applied Mathematics & Information Sciences,2014, 8(1L)∶ 97-106.

[3] ZHAO W, ZHANG A, LI J, et al. Analysis and design of an authentication protocol for space information network[C]// IEEE Military Communications Conference on MILCOM. IEEE, 2016∶ 43-48.

[4] LIU Y, ZHANG A, LI J, et al. An anonymous distributed key management system based on CL-PKC for space information network[C]//IEEE International Conference on Communications (ICC). 2016∶ 1-7.

[5] HE D, BU J, CHAN S, et al. Privacy-preserving universal authentication protocol for wireless communications[J]. IEEE Transactions on Wireless Communications, 2011, 10(2)∶ 431-436.

[6] LIU J K, CHU C K, CHOW S S M, et al. Time-bound anonymous authentication for roaming networks[J]. IEEE Transactions on Information Forensics and Security, 2015, 10(1)∶ 178-189.

[7] CRUICKSHANK H S. A security system for satellite networks[C]//Fifth International Conference on Satellite Systems for Mobile Communications and Navigation, IET. 1996∶ 187-190.

[8] HWANG M S, YANG C C, SHIU C Y. An authentication scheme for mobile satellite communication systems[J]. ACM SIGOPS Operating Systems Review, 2003, 37(4)∶ 42-47.

[9] CHANG Y F, CHANG C C. An efficient authentication protocol for mobile satellite communication systems[J]. ACM SIGOPS Operating Systems Review, 2005, 39(1)∶ 70-84.

[10] CHEN T H, LEE W B, CHEN H B. A self-verification authentication mechanism for mobile satellite communication systems[J]. Computers& Electrical Engineering, 2009, 35(1)∶ 41-48.

[11] JIANG Y, LIN C, SHEN X, et al. Mutual authentication and key exchange protocols for roaming services in wireless mobile networks[J].IEEE Transactions on Wireless Communications, 2006, 5(9)∶ 2569-2577.

[12] YANG G, WONG D S, DENG X. Anonymous and authenticated key exchange for roaming networks[J]. IEEE Transactions on Wireless Communications, 2007, 6(9)∶3461-3472.

[13] YANG G, WONG D S, DENG X. Formal security definition and efficient construction for roaming with a privacy-preserving extension[J]. Journal of Universal Computer Science, 2008, 14(3)∶ 441-462.

[14] BENALOH J C, MARE M D. One-way accumulators∶ a decentralized alternative to digital signatures[C]//Workshop on the Theory and Application of of Cryptographic Techniques. 1993∶ 274-285.

[15] BLOOM B H. Space/time trade-offs in hash coding with allowable errors[J]. Communications of the ACM, 1970, 13(7)∶ 422-426.

[16] MUKHERJEE J, RAMAMURTHY B. Communication technologies and architectures for space network and interplanetary internet[J].IEEE Communications Surveys & Tutorials, 2013, 15(2)∶ 881-897.

[17] AKYILDIZ I F, UZUNALIO?LU H, BENDER M D. Handover management in low earth orbit (LEO) satellite networks[J]. Mobile Networks and Applications, 1999, 4(4)∶ 301-310.

[18] HE D, BU J, CHAN S, et al. Handauth∶ efficient handover authentication with conditional privacy for wireless networks[J]. IEEE Transactions on Computers, 2013, 62(3)∶ 616-622.