張應(yīng)輝，胡凌云，李藝昕，寧建廷，鄭東,5

（1.西安郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，陜西 西安 710121；2.福建師范大學(xué)福建省網(wǎng)絡(luò)安全與密碼技術(shù)重點實驗室，福建 福州 350007；3.西安郵電大學(xué)無線網(wǎng)絡(luò)安全技術(shù)國家工程實驗室，陜西 西安 710121；4.中國科學(xué)院信息工程研究所信息安全國家重點實驗室，北京 100093；5.衛(wèi)士通摩石實驗室，北京 100070）

0 引言

隨著航天技術(shù)和衛(wèi)星通信技術(shù)的高速發(fā)展以及用戶隨時隨地通信需求的日益迫切，將衛(wèi)星通信融合到地面網(wǎng)絡(luò)中已經(jīng)成為必然的趨勢和亟待解決的難題。空間信息網(wǎng)絡(luò)（SIN,space information network）是由多顆不同軌道上、不同種類、不同性能的衛(wèi)星形成星座覆蓋全球，通過星間和星地鏈路，將地面、海上、空中和深空中的用戶、航空器和各種通信平臺緊密結(jié)合起來，采用互聯(lián)網(wǎng)之間的通信協(xié)議（IP,Internet protocol）作為信息承載方式，采用智能高速星上處理、交換和路由技術(shù)，以光、紅外多譜段信息為導(dǎo)向，遵循信息資源的最大化、有效綜合利用原則，對信息進(jìn)行準(zhǔn)確獲取、快速處理和高效傳輸?shù)囊惑w化高速寬帶大容量信息網(wǎng)絡(luò)[1]。與傳統(tǒng)的無線網(wǎng)絡(luò)相比，空間信息網(wǎng)絡(luò)具有更大的覆蓋優(yōu)勢，這使一些地面上的無人區(qū)、海上和空中的用戶更愿意訪問空間信息網(wǎng)絡(luò)，尤其是在某些極端情況下，如在海洋、沙漠或地震災(zāi)區(qū)等地區(qū)，沒有分配的網(wǎng)關(guān)供用戶去訪問傳統(tǒng)的無線網(wǎng)絡(luò)，SIN 提供漫游等服務(wù)成為必要條件[2]。

同時，由于空間信息網(wǎng)絡(luò)本身的特點，例如動態(tài)拓?fù)洹⒂邢薜挠嬎隳芰蜔o線廣播的性質(zhì)，它所面臨的安全風(fēng)險也越來越嚴(yán)重。一方面，衛(wèi)星節(jié)點的計算能力受限、星際鏈路的不穩(wěn)定性和高軌道衛(wèi)星以及地球同步衛(wèi)星通信時延相對較高等因素，使移動節(jié)點和衛(wèi)星節(jié)點在漫游切換過程中需要反復(fù)接入認(rèn)證，隨之帶來高通信時延；另一方面，與傳統(tǒng)的無線網(wǎng)絡(luò)一樣，SIN 中的鏈路也是高度開放的，這一結(jié)構(gòu)特性使系統(tǒng)容易受到攔截、篡改、重放和模擬攻擊等傳統(tǒng)惡意攻擊[3-6]。即使外域網(wǎng)絡(luò)實體也可能是潛在的攻擊者，他們可以根據(jù)用戶的身份信息泄露用戶的隱私。此外，隨著全球化進(jìn)程的普遍性，大量的用戶會選擇訪問該信息網(wǎng)絡(luò)，這使衛(wèi)星可能在同一時段需要進(jìn)行大量的認(rèn)證服務(wù)，從而要求所提出的方案支持批量身份驗證，這是本文關(guān)注的焦點。

在空間信息網(wǎng)絡(luò)中，衛(wèi)星的軌跡是可以預(yù)測的，也就是說地面節(jié)點與新衛(wèi)星節(jié)點之間的切換認(rèn)證是可以提前完成的[7-8]。除了衛(wèi)星的移動軌跡可以預(yù)測之外，位置相鄰的用戶在發(fā)生切換時也具有很多相似的特點，即相同的衛(wèi)星接入節(jié)點、相同的目的衛(wèi)星接入節(jié)點以及相同的切換時間，而以聚合消息的方式進(jìn)行切換，可以節(jié)省通信開銷以及衛(wèi)星的計算開銷。近年來，研究者已經(jīng)提出了幾種訪問認(rèn)證方案[9-11]，以提供安全可靠的SIN 通信系統(tǒng)。然而，這些方案不能直接應(yīng)用于SIN 中的漫游場景，并且它們都沒有考慮到SIN 的長傳播時延。這些方案在移動用戶與地面設(shè)施，如網(wǎng)關(guān)和網(wǎng)絡(luò)控制中（NCC,network control center）之間實現(xiàn)認(rèn)證，衛(wèi)星僅轉(zhuǎn)發(fā)認(rèn)證信令，而不參與實際的認(rèn)證會話。因此，認(rèn)證方案在地面與衛(wèi)星之間（至少在用戶/衛(wèi)星與NCC/衛(wèi)星之間來回傳輸）需要至少4 倍的信令傳輸時延，用戶無法忍受這么長的訪問時延。此外，作為SIN 系統(tǒng)的接入節(jié)點，衛(wèi)星應(yīng)負(fù)責(zé)禁止未經(jīng)授權(quán)的用戶訪問SIN。然而，這些方案直到信令被轉(zhuǎn)發(fā)到地面設(shè)施才能夠識別非法接入請求。同訪問用戶及接入域衛(wèi)星的身份驗證相比，安全漫游也同樣重要，但這一問題尚未引起足夠的重視。如何確保安全高效的切換無疑是提高SIN 通信質(zhì)量的關(guān)鍵。事實上，隨著衛(wèi)星硬件技術(shù)的發(fā)展，衛(wèi)星將具有更大的計算能力，并能夠與用戶進(jìn)行認(rèn)證交互。因此，讓衛(wèi)星代替地面設(shè)施執(zhí)行訪問控制成為一種有前途的方法，從而減少網(wǎng)絡(luò)訪問時延。

針對上述問題，本文主要做出了以下貢獻(xiàn)。

1) 提出了基于動態(tài)撤銷機制的安全高效批量認(rèn)證方案，該方案不需要復(fù)雜且耗時的配對操作，從而提高了系統(tǒng)的計算效率。進(jìn)行批量認(rèn)證時，用戶先從附近其他用戶接收到所有簽名信息，然后將其聚合為一個簽名，這樣衛(wèi)星只需確認(rèn)已注冊移動終端簽署的相應(yīng)請求，從而減少總簽名的大小和批量驗證的開銷。

2) 為了保證所提方案適用于漫游場景，要考慮計費的問題，因此所提方案加入了動態(tài)撤銷機制。該機制通過引入布谷鳥過濾器，支持查詢、插入和刪除功能，進(jìn)而可以隨時動態(tài)地撤銷用戶，從源頭上保護(hù)合法用戶，達(dá)到實時更新保護(hù)的作用，利用其刪除功能解決了衛(wèi)星有限存儲的問題。

3) 在安全性方面，采用隨機預(yù)言機和形式化驗證工具AVISPA（automated validation of Internet security protocols and applications）對所提方案進(jìn)行了嚴(yán)格的分析。結(jié)果表明，所提方案可以抵抗重放、篡改等傳統(tǒng)攻擊的同時，也兼顧了用戶匿名以及可追蹤等特性。盡管用戶端在聚合時會額外產(chǎn)生一定的計算開銷，但是由于所提方案不需要耗時的雙線性對運算，因此在考慮用戶端總的計算開銷時，相較于現(xiàn)有方案而言，所提方案在兼顧用戶隱私數(shù)據(jù)完整性等安全需求的同時，傳輸和計算開銷依然是最低的。

1 相關(guān)工作

由于空間信息網(wǎng)絡(luò)很早就已經(jīng)被使用，許多研究人員對其相應(yīng)的通信安全認(rèn)證方案進(jìn)行了探索與改進(jìn)。1996 年，Cruickshank[12]首先提出了一種使用公共密鑰密碼系統(tǒng)的身份驗證方案，以實現(xiàn)移動用戶與NCC 之間的雙向身份驗證。但是，該方案需要復(fù)雜的加密和解密操作，并且用戶的身份信息會被暴露，認(rèn)證效率不高。2003 年，Hwang 等[13]在Cruickshank 方案的基礎(chǔ)上為了減少計算開銷，提出了一種適用于空間信息網(wǎng)絡(luò)的輕量級認(rèn)證，其中涉及的計算操作都是一些簡單的散列函數(shù)、異或操作等。與以前的基于公鑰的身份驗證方案相比，他們的方案具有較低的計算成本，但是在2005 年，Chang 等[14]發(fā)現(xiàn)Hwang 等的方案的安全性和效率仍然存在不足的地方，缺乏完善的前向保密性，因此提出了一種基于哈希鏈的身份驗證方案，以提高效率和安全性，同時用Diffie-Hellman密鑰交換來生成新的會話密鑰生成，但是在Chang 等的方案中，當(dāng)有大量移動用戶同時使用漫游服務(wù)時，歸屬域網(wǎng)絡(luò)控制中心將會成為安全通信的瓶頸，因為它必須參與每個移動用戶的身份驗證會話。此外，Chang 等方案可能會遭受假冒攻擊，并且用戶的隱私保密也沒有解決。公鑰基礎(chǔ)設(shè)施在解決隱私保護(hù)方面有一定的作用，并且公鑰基礎(chǔ)結(jié)構(gòu)已在傳統(tǒng)網(wǎng)絡(luò)中廣泛使用。然而，它需要復(fù)雜而耗時的證書管理。文獻(xiàn)[15]針對重要信息的明文傳輸問題引入公鑰加密算法，并采用中國剩余定理解決衛(wèi)星快速切換問題。但是，這2 種算法依賴于受信任的第三方，該第三方可能是單個瓶頸點，會受到攻擊。文獻(xiàn)[16]考慮了5G 網(wǎng)絡(luò)場景，在半可信第三方環(huán)境下結(jié)合區(qū)塊鏈技術(shù)實現(xiàn)了不同網(wǎng)絡(luò)之間的無縫切換，雖然該方案解決了第三方的瓶頸難題，但是并沒有考慮衛(wèi)星組網(wǎng)的場景。文獻(xiàn)[17]采用群組管理的方法，使衛(wèi)星切換效率得到了提高，但是方案沒有實現(xiàn)用戶的匿名保護(hù)。因此，這些方案在安全性方面的問題沒有得到解決。

訪問認(rèn)證方案除了能在空間信息網(wǎng)絡(luò)中應(yīng)用外，還應(yīng)滿足漫游服務(wù)這個場景，空間信息網(wǎng)絡(luò)與傳統(tǒng)無線網(wǎng)絡(luò)一樣都是開放的鏈路，傳統(tǒng)無線網(wǎng)絡(luò)的安全漫游認(rèn)證方案在不斷改進(jìn)。文獻(xiàn)[18]分析了傳統(tǒng)的匿名漫游認(rèn)證方案，指出了其匿名性和通信時延的缺點。遠(yuǎn)程網(wǎng)絡(luò)認(rèn)證服務(wù)器基于一輪消息交互驗證移動終端的身份合法性；另外，當(dāng)移動終端發(fā)生惡意操作時，家庭網(wǎng)絡(luò)認(rèn)證服務(wù)器可協(xié)助遠(yuǎn)程網(wǎng)絡(luò)認(rèn)證服務(wù)器撤銷移動終端的身份匿名性。然而，該方案未考慮計費問題，且要在列表中查找合法用戶，加大了認(rèn)證時延。對于通信量大等問題，文獻(xiàn)[19]提出了一種基于無證書聚合簽名的無線漫游方案，但該方案對于安全模型中的敵手均是可偽造的。針對這一安全問題，文獻(xiàn)[20]給出了新的無證書聚合簽名方案，該方案不使用雙線性對操作，大大提高了效率，但是存在暴露用戶身份隱私的問題。而在漫游環(huán)境中，確保用戶的安全和有效訪問一直是一個巨大的挑戰(zhàn)。為了解決用戶實時安全高效訪問的問題，文獻(xiàn)[21]提出了一種基于雙線性對和聚合簽名的組認(rèn)證協(xié)議，節(jié)點密鑰由密鑰生成中心（KGC,key generation center）和節(jié)點同時生成以抵抗偽裝攻擊，并且由于離散對數(shù)問題引起了會話密鑰，大大改善了身份驗證過程中的計算復(fù)雜性。但是，該協(xié)議涉及大量的雙線性對操作，即使衛(wèi)星的計算能力已經(jīng)改善了，還是會有通信時延增加的問題。在傳統(tǒng)的空間信息網(wǎng)絡(luò)方案中，由于衛(wèi)星存儲空間有限，會引發(fā)拒絕服務(wù)攻擊，如文獻(xiàn)[22-24]中雖然通過代理簽名等算法對該問題進(jìn)行了改進(jìn)，但是改進(jìn)后的效率大大降低。文獻(xiàn)[25]對上述部分安全問題提出了解決方案，采用基于生物特性的三因子認(rèn)證技術(shù)，實現(xiàn)了用戶與外域網(wǎng)絡(luò)的雙向安全切換認(rèn)證，但是該方案缺少具體的漫游計費敘述，適用性不高。上述文獻(xiàn)為無線網(wǎng)絡(luò)的漫游認(rèn)證提供了安全性，但是在傳統(tǒng)的空間信息網(wǎng)絡(luò)場景下，衛(wèi)星和網(wǎng)關(guān)之間的傳播時延很高，導(dǎo)致移動用戶承受高認(rèn)證時延。因此，這些方案在空間信息網(wǎng)絡(luò)漫游場景中實用性不高。

2 預(yù)備知識

本節(jié)主要對方案中所使用的算法定義進(jìn)行概括。

2.1 Schnorr 簽名

該簽名算法主要分為初始化階段、簽名生成階段和簽名驗證階段。

2.2 布谷鳥過濾器

當(dāng)存在大量數(shù)據(jù)時，如何快速搜尋并確定數(shù)據(jù)的位置？對于這一問題，研究者以前會選擇撤銷算法或者使用布隆過濾器，但是布隆過濾器不支持反向刪除元素，一旦數(shù)組元素被賦值，就無法刪除。而布谷鳥過濾器是用于集合成員身份測試的新數(shù)據(jù)結(jié)構(gòu)，與傳統(tǒng)的布隆過濾器相比，它具有更低的誤報率、更低的空間開銷和更好的性能。布谷鳥過濾器支持在實現(xiàn)高性能的同時動態(tài)地添加和刪除項目。布谷鳥過濾器本質(zhì)上是一個由一組存儲桶組成的哈希表，每個存儲桶都包含固定數(shù)量的指紋（具有較少輸出位的哈希函數(shù)）。

布谷鳥過濾器算法包括3 個功能，即查詢、插入和刪除。查詢函數(shù)首先計算查詢項的指紋，并根據(jù)該指紋獲取查詢項在對應(yīng)哈希表中的位置，如果找到該位置則查詢成功。插入函數(shù)首先計算插入項的指紋，然后根據(jù)指紋獲取插入項在相應(yīng)哈希表中的位置，如果該位置已被占用，則從該位置移除元素，插入要插入的項目，再將移除的項目插入一個空位置。刪除函數(shù)首先查詢哈希表，如果查詢成功，無論查詢到存儲桶中的指紋數(shù)量是否滿足要求，僅刪除一個指紋即可。布谷鳥過濾器源于布谷鳥哈希算法，布谷鳥哈希表有兩張，分別是2 個哈希函數(shù)，當(dāng)有新的數(shù)據(jù)插入的時候，它會計算出這個數(shù)據(jù)在兩張表中對應(yīng)的2 個位置，這個數(shù)據(jù)一定會被存儲在這2 個位置之一。一旦發(fā)現(xiàn)其中一張表的位置被占，就將該位置原來的數(shù)據(jù)踢出，被踢出的數(shù)據(jù)就去另一張表找對應(yīng)的位置。通過不斷地踢出數(shù)據(jù)，最終所有數(shù)據(jù)都可找到自己的位置[26]。

3 系統(tǒng)模型和安全需求

3.1 系統(tǒng)模型

本文主要研究的是空間信息網(wǎng)絡(luò)中漫游場景下，多用戶離開歸屬域網(wǎng)絡(luò)進(jìn)入漫游域網(wǎng)絡(luò)認(rèn)證通信過程，參與這一過程的主要有以下實體：移動用戶（MU,mobile user）、歸屬域網(wǎng)絡(luò)控制中心（HNCC,home network control center）、歸屬域網(wǎng)關(guān)（HG,home gateway）、歸屬域低軌道地球衛(wèi)星（HLEO,home low earth orbit satellite）、拜訪域網(wǎng)絡(luò)控制中心（FNCC,foreign network control center）、拜訪域網(wǎng)關(guān)（FG,foreign gateway）、拜訪域低軌道地球衛(wèi)星（FLEO,foreign low earth orbit satellite）。系統(tǒng)模型結(jié)構(gòu)如圖1 所示，具體說明如下。

圖1 系統(tǒng)模型結(jié)構(gòu)

1) MU 在其HNCC 上注冊，希望通過FLEO 使用拜訪域網(wǎng)絡(luò)。

2) HNCC 與FNCC 為用戶提供到特定拜訪域的漫游憑證以及后續(xù)認(rèn)證需要用到的信息。

3) FLEO 和HLEO 是MU 與網(wǎng)關(guān)之間的中繼節(jié)點，負(fù)責(zé)轉(zhuǎn)發(fā)認(rèn)證信息與會話協(xié)商參數(shù)。

4) HG 和FG 連接衛(wèi)星網(wǎng)絡(luò)和地面服務(wù)器。移動用戶可通過網(wǎng)關(guān)接入地面互聯(lián)網(wǎng)，衛(wèi)星也可以通過網(wǎng)關(guān)與網(wǎng)絡(luò)控制中心進(jìn)行通信。漫游時，移動用戶通過FG 連入拜訪域的網(wǎng)絡(luò)中。

3.2 安全需求

本文方案基于Dolev-Yao 攻擊者模型[27]，該模型的描述如下。

1) 確定攻擊者所掌握的信息集合。

2) 隨機攔截網(wǎng)絡(luò)中的任意一條消息，使用分解規(guī)則分解該條消息，并更新信息集合。

3) 隨機使用合成規(guī)則來構(gòu)造一個消息，將其發(fā)送到網(wǎng)絡(luò)中，其中需要的信息從已有的信息集合中隨機選取。

在該模型中，攻擊者幾乎是無所不能的，因此設(shè)計的方案如果抵抗了該模型的攻擊，那就證明該方案是安全的。

本文方案中的各域網(wǎng)絡(luò)控制中心是完全可信的。網(wǎng)絡(luò)控制中心根據(jù)用戶的注冊信息來誠實地分發(fā)一些參數(shù)以及分發(fā)一些LEO 的公私鑰對?？臻g信息網(wǎng)絡(luò)的衛(wèi)星接入節(jié)點是不同區(qū)域的，接入節(jié)點在為用戶提供接入服務(wù)的同時，為擴大自己的利益，對合法用戶的身份及地理位置信息會感興趣，所以外域接入節(jié)點對用戶來說也會是惡意實體，而各域內(nèi)的網(wǎng)關(guān)和LEO 之間假設(shè)建立了可信關(guān)聯(lián)。非授權(quán)移動用戶被認(rèn)為是系統(tǒng)模型中的惡意實體，他們會嘗試采取各種非法手段來獲得可以接入網(wǎng)絡(luò)的權(quán)限，從而竊取合法用戶的隱私信息以及非法訪問網(wǎng)絡(luò)服務(wù)。一般完全的匿名性伴隨著不可審計性，這會讓非法用戶逃脫追責(zé)，且漫游服務(wù)的計費問題不易解決。因此，用戶的身份既要是匿名的，又要保證是條件可追蹤的，這2 個特性看似矛盾，實則是對該網(wǎng)絡(luò)的挑戰(zhàn)。從以上的角度來看，本文方案應(yīng)主要關(guān)注以下安全需求。

1) 雙向認(rèn)證。移動用戶與LEO 之間的相互認(rèn)證是漫游服務(wù)的基本需求。驗證LEO 是為了保護(hù)用戶的身份信息，綠化網(wǎng)絡(luò)環(huán)境。驗證移動用戶是為了讓合法用戶訪問網(wǎng)絡(luò)，確保網(wǎng)絡(luò)的權(quán)限。

2) 會話密鑰協(xié)商。由于開放的通信環(huán)境，通信內(nèi)容會被竊聽，因此方案應(yīng)該確保雙方之間的通信是使用共享會話密鑰進(jìn)行加密的，從而保證通信過程的保密性。

3) 動態(tài)撤銷及防止非法接入。當(dāng)用戶想要撤銷時，一些用戶可能非法使用票據(jù)或申請退出漫游服務(wù)，系統(tǒng)需要主動撤銷這些用戶的票據(jù)來撤銷用戶；一些非法用戶使用已經(jīng)過期的票據(jù)來進(jìn)行漫游服務(wù)時，系統(tǒng)要能夠查詢并找出該非法用戶。

4) 可追蹤性。為了保護(hù)移動用戶的隱私，本文方案應(yīng)實現(xiàn)匿名性。然而，如果當(dāng)用戶實施非法行為時，該方案應(yīng)該確定非法用戶的真實信息并取消用戶漫游身份。

5) 抗重放攻擊。鑒于該網(wǎng)絡(luò)中通信鏈路開放的特點，攻擊者能更容易地竊取用戶的傳輸信息，因此本文方案需要考慮驗證消息的即時性以抵抗重放攻擊。

6) 抗拒絕服務(wù)（DoS,denial of service）攻擊。由于衛(wèi)星的存儲資源有限，應(yīng)在快速有效地驗證合法用法用戶的身份同時拒絕非法請求，以避免DoS 攻擊。

4 漫游認(rèn)證方案

本節(jié)主要描述了本文方案，包括系統(tǒng)初始化及用戶注冊、預(yù)協(xié)商、用戶認(rèn)證及密鑰協(xié)商、批量驗證、用戶計費及動態(tài)撤銷等階段。為了描述方便，表1 列舉了涉及的相關(guān)符號及其定義。

表1 相關(guān)符號及其定義

4.1 系統(tǒng)初始化及用戶注冊階段

1) 用戶獲取漫游服務(wù)前，需要向HNCC 訂閱對應(yīng)拜訪域的漫游服務(wù)。用戶首先向HNCC 發(fā)送漫游訂閱請求，其中IDFNCC是拜訪域網(wǎng)絡(luò)控制中心的身份標(biāo)識。

2) HNCC 生成一個隨機數(shù)di作為其私鑰，并將其私鑰保密，相應(yīng)的公鑰為Di=d iG。

3) HNCC 為用戶隨機生成一個計費憑證xi，通過計費憑證生成用戶的偽身份，以及憑證相應(yīng)的有效票據(jù)TEND（過期作廢）。

4) 在系統(tǒng)初始化階段，每個NCC 都可以看作密鑰分發(fā)中心，當(dāng)用戶注冊時，為用戶分發(fā)公私鑰（其中ki為隨機數(shù)），其對應(yīng)的公鑰為Pi=skiG。

5) 各歸屬域內(nèi)的衛(wèi)星已經(jīng)認(rèn)證，網(wǎng)絡(luò)控制中心為低軌道地球衛(wèi)星（LEO,low earth orbit satellite ）計算公、私鑰對，分別為（其中l(wèi)為隨機數(shù)），；然后把私鑰通過安全通道發(fā)送給衛(wèi)星，并公布公鑰。

6) HNCC 把{xi,TIDi,TEND,ski,pkFLEO}通過安全通道發(fā)送給用戶，然后本地存儲{IDi,IDFNCC,xi}作為后續(xù)計費審計用，并公布一些公共參數(shù){G,n,H1,H2,H3,Pi,pkLEO}。

用戶注冊階段的信息交換如圖2 所示。

圖2 用戶注冊階段的信息交換

4.2 預(yù)協(xié)商階段

為了簡單起見，本文假設(shè)接入衛(wèi)星與網(wǎng)關(guān)已經(jīng)完成了相互認(rèn)證，并建立了信任關(guān)系。在此階段，網(wǎng)關(guān)通過安全通道不斷向本域內(nèi)的衛(wèi)星發(fā)送預(yù)協(xié)商消息{IDG,TGnew,RG}。預(yù)協(xié)商消息包含網(wǎng)關(guān)的身份標(biāo)識、時間戳和密鑰協(xié)商參數(shù)，計算為RG=rGG，其中，rG是網(wǎng)關(guān)選擇的隨機數(shù)，用于用戶認(rèn)證及密鑰協(xié)商階段生成會話密鑰。衛(wèi)星收到消息后，首先檢查時間戳以防止重放攻擊，然后檢查網(wǎng)關(guān)的身份信息，最后存儲此預(yù)協(xié)商消息。每個時間戳對應(yīng)不同的協(xié)商參數(shù)，且每個時間對應(yīng)不同的時間戳TGnew。預(yù)協(xié)商階段的信息交換如圖3 所示。

圖3 預(yù)協(xié)商階段的信息交換

4.3 用戶認(rèn)證及密鑰協(xié)商階段

用戶認(rèn)證及密鑰協(xié)商階段發(fā)生在MU 移動到漫游區(qū)域的網(wǎng)絡(luò)，并且向網(wǎng)絡(luò)發(fā)起請求時。由于同一時間段，計費憑證的有效期限相同，漫游到同一區(qū)域的用戶很多，且衛(wèi)星的運動軌跡可預(yù)測以及衛(wèi)星的計算、存儲能力有限。因此，以分組方式為這些用戶執(zhí)行漫游服務(wù)是合理的。如圖4 所示，當(dāng)用戶請求訪問空間信息網(wǎng)絡(luò)中的漫游資源時，將進(jìn)行身份認(rèn)證，具體步驟如下。

圖4 用戶認(rèn)證及密鑰協(xié)商階段

3) 驗證后計算會話密鑰。移動用戶收到接入衛(wèi)星發(fā)來的消息后，首先檢查時間戳的有效性，即，如果超出閾值范圍，則丟棄該消息并中止方案；否則對等式進(jìn)行驗證。如果驗證通過，則計算會話密鑰SK=ri RG；否則判定該接入衛(wèi)星是不合法的并中止方案。網(wǎng)關(guān)收到響應(yīng)消息后，先驗證時間戳是否在閾值內(nèi)，若在，則計算會話密鑰SK=rG Ri；若不在閾值內(nèi)，則終止方案。

4.4 批量驗證階段

4.5 用戶計費及動態(tài)撤銷階段

HNCC 通過FNCC 向FLEO 發(fā)送當(dāng)月有效票據(jù)，當(dāng)用戶被漫游區(qū)域的網(wǎng)絡(luò)認(rèn)證后，為防止有效票據(jù)被重復(fù)使用，F(xiàn)LEO 將認(rèn)證之后的有效票據(jù)插入所維護(hù)的布谷過濾器的正過濾器中，過期的票據(jù)插入負(fù)過濾器中。為防止過濾器無限增大，每個月月初都會清空過濾器。當(dāng)移動用戶量增大時，衛(wèi)星廣播量增大，一種有效的解決方案是將過濾器切成薄片并將切片分配到附近的LEO，詳細(xì)步驟如下。首先，F(xiàn)LEO 將正濾波器和負(fù)濾波器分別切為切片集{PF1,PF2,…,PFm}和{NF1,NF2,… ,NFm}。然后，F(xiàn)LEO使用ECDSA 簽名算法計算σFLEO=SignskFLEO(PF1,PF2,…,PFm,NF1,NF2,…,NFm)，并將簽名廣播到所在歸屬域的其他LEO 上，其他LEO 可以用該衛(wèi)星的公鑰去驗證真實性。當(dāng)用戶想撤銷時，由于一些用戶可能非法使用票據(jù)或想要申請退出漫游服務(wù)，系統(tǒng)需要主動撤銷這些用戶的票據(jù)來撤銷用戶。HNCC 將撤銷用戶有效期的票據(jù)通過安全通道發(fā)送給FNCC。FNCC 收到消息后，將這些票據(jù)通過FG的安全通道廣播給所在域的所有LEO，LEO 將這些值存入負(fù)過濾器中。同時，LEO 也可以通過驗證發(fā)現(xiàn)非法用戶，同樣也會把非法用戶對應(yīng)的票據(jù)存入負(fù)過濾器中，并廣播給FG，F(xiàn)G 再反饋給HNCC。若用戶還有剩余票據(jù)沒有撤銷，則在憑證生效的月初執(zhí)行撤銷操作。當(dāng)用戶認(rèn)證完畢后，F(xiàn)LEO 把xi通過FG 發(fā)送給FNCC。FNCC 利用收集的有效票據(jù)向HNCC 收取費用，HNCC 再根據(jù)用戶使用的憑證數(shù)目向其收取費用。用戶計費及動態(tài)撤銷如圖5 所示。

圖5 用戶計費及動態(tài)撤銷

5 安全評估

本節(jié)首先使用隨機預(yù)言機模型（ROM,random oracle model）證明本文方案實施期間協(xié)商的會話密鑰是安全的；然后，基于自動化驗證工具AVISPA[28]來證明本文方案能抵抗重放和中間人等攻擊；最后，非形式化分析說明了本文方案的安全屬性和抵抗其他攻擊的能力。

5.1 基于隨機預(yù)言機模型的安全性分析

本節(jié)將使用ROM 對本文方案進(jìn)行安全性分析。

5.1.1 安全模型

假設(shè)存在一個多項式時間攻擊者A，其可以訪問通信雙方之間傳輸?shù)乃邢?，也知道所有公共參?shù)。符號表示參與方i的第k個會話實例，每個會話實例也稱為預(yù)言機。每個預(yù)言機有3 種狀態(tài)，即接受、拒絕、無效。如果預(yù)言機收到正確的消息，則狀態(tài)為接受；如果預(yù)言機收到錯誤的消息，則狀態(tài)為拒絕；如果預(yù)言機沒有收到消息，則狀態(tài)為無效。攻擊者A可以使用模擬器進(jìn)行以下詢問以破壞提議方案的安全性。

5.1.2 詢問模型

攻擊者A的攻擊能力用以下幾個詢問模型來模擬。

1) Extract (IDMU)。在這個詢問模型中，攻擊者A可以得到用戶身份IDMU對應(yīng)的公鑰/私鑰對。

語義安全性。作為實驗的一部分，攻擊者A需要區(qū)分會話實例中的密鑰是新會話密鑰還是隨機密鑰。允許A對實例MU 或FLEO 實例執(zhí)行多次測試詢問。攻擊者在游戲結(jié)束后，必須輸出一個猜測結(jié)果。如果A猜中了正確的結(jié)果，則認(rèn)為攻擊者A獲得了方案D的語義安全性的成功并把這個成功定義為Succ，則攻擊者A進(jìn)行本次攻擊的優(yōu)勢定義為

一般地，如果AdvD(A) 可以忽略不計（即對于任何足夠小的ε＞ 0，有AdvD(A)＜ε），則稱方案在隨機預(yù)言機下是安全的。

5.1.3 安全性證明

定義1如果滿足以下條件，則認(rèn)為方案是安全的。在上存在良性敵手的情況下，2 個預(yù)言機總是協(xié)商同一個會話密鑰，并且這個密鑰隨機均勻分布。對于任何多項式敵手，成功的概率AdvD(A) 可以忽略不計。

引理1假設(shè)ECDH 問題是困難的，那么在隨機預(yù)言機模型中，攻擊者對該方案的優(yōu)勢可以忽略不計。

證明假設(shè)有一個敵手A，他可以在多項式時間t內(nèi)以不可忽略的概率λ(k)破壞所提方案的認(rèn)證密鑰協(xié)商語義安全性，則可以從敵手A構(gòu)造另一個算法φ，以另一個不可忽略的概率求解 ECDH 問題。φ在解決ECDH 問題上的優(yōu)勢是AdvECDH(φ)。

5.2 基于AVISPA 的安全性分析

本節(jié)首先介紹自動化驗證工具 AVISPA；其次對本文方案用 AVISPA 的 OFMC（on-the-fly model-checker）分析終端進(jìn)行分析，模擬攻擊路徑；最后根據(jù)攻擊，證明本文方案的安全性。

1) 為了對本文方案的安全性進(jìn)行形式化分析，本節(jié)使用工具對方案進(jìn)行了建模和安全性證明，用高級協(xié)議規(guī)范語言（HLPSL,high level protocols specification language）實現(xiàn)了會話、目標(biāo)和環(huán)境的角色說明。在AVISPA 中，采用了HLPSL 的模塊化，通過表達(dá)形式語言來指定協(xié)議并驗證協(xié)議的安全性。AVISPA 工具一共有4 種終端分析技術(shù)，分別為 OFMC 終端、CL_AtSe（constraint-logic-based attack searcher）終端、SATMC（SAT-based model-checker）終端和TA4SP（tree automata based on automatic approximations for the analysis of security protocols）終端。這4 種終端分析技術(shù)基于2 個假設(shè)，一個是完美的密碼安全，一個是協(xié)議運行中存在的攻擊者模型滿足 Dolev-Yao 攻擊者模型。本文用HLPSL 對用戶和衛(wèi)星角色進(jìn)行了描述，分析過程包括初始狀態(tài)、角色轉(zhuǎn)換狀態(tài)、終止?fàn)顟B(tài)。具體以用戶角色描述為例，如圖6 所示。

圖6 用戶角色描述

2) 該模型的用戶和衛(wèi)星角色過程包含全局的常量和一個或者多個會話的混合角色過程，其中，方案的主體是衛(wèi)星和用戶產(chǎn)生并傳送共享會話密鑰，在發(fā)送的同時要確保共享會話密鑰的機密性；用戶和衛(wèi)星之間可以有效分辨雙方真實性。同時，入侵者可能偽裝成合法用戶，運行某些角色進(jìn)行會話。

3) 以O(shè)FMC 模塊為例給出具體的分析，檢測結(jié)果表明方案是安全的（SUMMARY:SAFE），結(jié)果中的統(tǒng)計量還包含運行搜索的時間開銷為0.05 s，訪問的節(jié)點總數(shù)為4 個，深度為2，采用的入侵檢測模型表明該方案中攻擊者無突破口。

5.3 進(jìn)一步安全性分析

1) 雙向認(rèn)證。在本文設(shè)計的接入認(rèn)證方案中，用戶和接入衛(wèi)星之間能夠?qū)崿F(xiàn)雙向認(rèn)證。其中，衛(wèi)星通過驗證等式是否成立來驗證用戶的合法性。基于橢圓曲線離散對數(shù)問題和哈希函數(shù)單向性的特點，攻擊者在無法獲得用戶私鑰的情況下仿造一個合法有效的接入請求消息是困難的。因此，只有在注冊階段獲得合法有效的認(rèn)證信息元組的用戶才能產(chǎn)生有效的接入請求消息，從而成功被接入衛(wèi)星認(rèn)證。相似地，用戶可以通過驗證等式modn]G=ZpkFLEO+RFLEO是否成立來認(rèn)證該接入衛(wèi)星的合法性，同樣地，只有已注冊的合法衛(wèi)星才能夠產(chǎn)生有效的接入響應(yīng)消息SFLEO}。因此，本文方案能夠?qū)崿F(xiàn)用戶與接入衛(wèi)星之間的雙向認(rèn)證。

2) 會話密鑰協(xié)商。本文方案采取橢圓曲線上的密鑰交換技術(shù)，使用戶與網(wǎng)關(guān)之間共同協(xié)商出會話密鑰SK=ri RG和SK=rG Ri，其中rG和ri是隨機數(shù)。攻擊者要想得到該會話密鑰，需要從截獲的消息中推導(dǎo)出ri或者rG，這相當(dāng)于求解橢圓曲線離散對數(shù)問題的難度，這種攻擊方式在計算上是不可行的。因此，本文方案提出的認(rèn)證方案可以實現(xiàn)安全的會話密鑰協(xié)商。

3) 防止非法接入。當(dāng)有用戶想要在票據(jù)失效后或者已注銷的用戶想要再次連接該網(wǎng)絡(luò)時，F(xiàn)NCC通過查閱FG 和HNCC 發(fā)送的數(shù)據(jù)可找出失效或非法的用戶，F(xiàn)NCC 再通過安全信道把名單發(fā)送給HNCC，HNCC 根據(jù)其真實信息針對錯誤給出懲罰措施。

4) 條件匿名性及可追蹤性。本文方案中，用戶在可信網(wǎng)絡(luò)控制中心上注冊時，網(wǎng)絡(luò)控制中心會為其生成臨時偽身份，且傳輸?shù)脑L問消息中包含的也是臨時偽身份。由于哈希函數(shù)單向性的特點，攻擊者和其他參與認(rèn)證的網(wǎng)絡(luò)實體（接入衛(wèi)星、網(wǎng)關(guān)）無法通過偽造的身份來冒充合法用戶。然而用戶的身份信息并不是完全可匿的，當(dāng)用戶在漫游期間做出非法的行為時，歸屬域網(wǎng)絡(luò)控制中心可以通過xi來計算出用戶的真實身份，這樣就實現(xiàn)了漫游方案的可追蹤性。

5) 抗重放攻擊。訪問請求以及響應(yīng)消息、預(yù)協(xié)商消息都包含時間戳。且對消息的簽名中也對時間戳進(jìn)行了哈希處理，攻擊者無法篡改接入請求消息中的時間戳。一旦時間戳被修改，等式不再成立，接入衛(wèi)星將拒絕接受該接入請求消息，同時通過檢查時間戳和等式a=H2(T||pk)可以找到重放消息。因此，所提方案能夠抵抗重播攻擊。

6) 抗DoS 攻擊。本文方案中，用戶使用TEND來實現(xiàn)基本認(rèn)證，而TEND是基于用戶的身份生成的，是有時效性的，過期作廢，因此HNCC 不需要存儲海量與用戶的驗證信息，且本文方案中設(shè)計的動態(tài)撤銷機制可以刪除過期的身份信息，通過簡單的查詢就可以驗證用戶的合法性，消耗極少的資源，因此無法實施DoS 攻擊。

為了顯現(xiàn)所提方案的安全性，本文進(jìn)一步將其與衛(wèi)星網(wǎng)絡(luò)中現(xiàn)有的其他認(rèn)證方案進(jìn)行了比較，具體如表2 所示。

表2 安全性對比

6 性能分析

本節(jié)基于安全目標(biāo)對本文方案的計算開銷、通信開銷以及算法實現(xiàn)效率方面與現(xiàn)有方案進(jìn)行比較。此外，本節(jié)分析了本文方案批量身份驗證的優(yōu)勢，并給出了仿真結(jié)果。因為用戶只在HNCC 上注冊一次，所以不考慮注冊階段的計算開銷。

6.1 計算開銷

對于漫游身份驗證時延，本文將其定義為整個身份驗證過程的總時間成本，包括計算和傳播時延的時間成本，即各個認(rèn)證實體執(zhí)行密碼學(xué)操作所需的計算時延以及各個實體間交互造成的通信時延，計算式如下。

其中，通信時延取決于實體之間信號的傳播時延以及交互次數(shù)。因為驗證過程主要由點乘法、點加法和哈希運算這幾個操作來完成，為了方便評估計算成本，本文在方案比較過程中忽略哈希運算帶來的時延，使用Intel(R)Core(TM) 2.20 GHz 處理器上的JPBC[29]代碼仿真了密碼術(shù)操作的時間成本分別為點乘法Tm=0.082 ms 和點加法Ta=0.073 ms。用戶與衛(wèi)星、衛(wèi)星與網(wǎng)關(guān)、網(wǎng)關(guān)與服務(wù)器之間的信號傳播時間成本分別表示為Tu-l、T l-g、T g-n。由于衛(wèi)星與地面距離為500～2 000km，因此設(shè)置Tu-l=Tl-g=10 ms。進(jìn)行了大量實驗并參考網(wǎng)上示例后，本文將移動用戶連接到網(wǎng)絡(luò)控制中心所需的時間設(shè)置為20 ms。為便于比較認(rèn)證時延，本文假設(shè)網(wǎng)關(guān)與網(wǎng)絡(luò)控制中心之間的傳播時延Tg-n為10ms。本文方案需要執(zhí)行7 次橢圓雙曲線點乘算法、2 次橢圓雙曲線點加算法，而文獻(xiàn)[22-24]方案則分別需要執(zhí)行橢圓雙曲線點乘算法9 次、10 次、11 次，以及橢圓雙曲線點加算法4 次。批量認(rèn)證時延數(shù)值分析如圖7 所示。從圖7 可以看出，本文方案在執(zhí)行身份驗證階段所需的總時間（即本文方案成功進(jìn)行切換身份驗證所需的總時間）比文獻(xiàn)[22-24]方案少得多。這是因為本文方案采用高效的操作，并且操作成本比其他方法低得多。因此，本文方案更適合于SIN 為移動終端提供更好的接入服務(wù)。

圖7 批量認(rèn)證時延數(shù)值分析

6.2 批驗證的評估

當(dāng)衛(wèi)星同時接收到來自多個用戶的大量訪問請求時，可以執(zhí)行批量身份驗證以顯著減少衛(wèi)星的計算開銷。處理單個身份驗證、n個沒有批處理驗證的身份驗證、文獻(xiàn)[22]中n個有批處理驗證以及本文方案中n個有批處理驗證的系統(tǒng)驗證開銷數(shù)值分析如圖8 所示。結(jié)果表明，當(dāng)n個用戶同時轉(zhuǎn)發(fā)其訪問認(rèn)證請求時，衛(wèi)星通過本文方案的批量驗證的操作可以顯著降低計算成本。

圖8 系統(tǒng)驗證開銷數(shù)值分析

7 結(jié)束語

本文針對空間信息網(wǎng)絡(luò)漫游服務(wù)中存在的通信質(zhì)量以及安全問題，引入了一種新型批量認(rèn)證方案來提高身份驗證的效率。本文方案考慮到衛(wèi)星的運行軌跡可預(yù)測的特點，通過用戶提前自主聚合公鑰及簽名來減輕衛(wèi)星的驗證負(fù)擔(dān)，大大減少了冗余的身份驗證，保障了空間信息網(wǎng)絡(luò)的通信質(zhì)量，而且專門為漫游方案設(shè)計了撤銷機制以支持用戶動態(tài)撤銷。安全性分析表明，本文方案可以抵抗重放等傳統(tǒng)攻擊。性能分析結(jié)果表明，本文方案在滿足可追蹤性、匿名性、可撤銷性等安全要求的同時效率優(yōu)于其他方案。