1.一种用于根据从通信系统中的终端接收的消息确定终端id的方法,该方法包括:
通过在包括多个接入节点、操作地连接到所述多个接入节点的认证代理、和多个终端的通信系统中的接入节点接收从具有唯一终端标识符(id)的终端传送的消息和终端密钥,其中,接收的消息至少包括消息认证代码(mac)、n位哈希以及加密的消息文本,并且,其中,至少使用终端密钥和nonce以生成mac,并且在传送的消息中不包括终端id以及终端密钥;
向认证代理至少提供接收的消息认证代码(mac)和n位哈希,其中,认证代理对于通信系统中的多个终端存储所有(终端id、终端密钥)对的集合;
将终端密钥集分割为至少两个分区,并且识别包括通过使用n位哈希传送所接收消息的终端的终端密钥的搜索分区;
在搜索分区中搜索对mac进行认证的终端密钥;以及
通过使用对mac进行认证的终端密钥识别终端id。
2.如权利要求1所述的方法,其中,nonce不被包含于接收的消息中,并且,终端和认证代理已知的预定义分割函数被用于从至少nonce和终端密钥生成n位哈希,并且所述方法还包括获得nonce的步骤,其中,nonce是通过使用认证代理已知或可估计的系统信息或者终端和认证代理均已知或可估计的公共信息获得的。
3.如权利要求2所述的方法,其中,对终端密钥集进行分割的步骤包括通过使用获得的nonce和终端密钥作为预定义分割函数的输入对各终端生成n位测试值,并且使用相同的n位哈希对终端进行分组,并且,识别搜索分区的步骤包括选择具有其n位测试值与接收的n位哈希匹配的终端的分区。
4.如权利要求3所述的方法,其中,预定义函数是
5.如权利要求2~4中的任一项所述的方法,其中,通过分析终端的历史空间、时间或时空传送模式获得nonce。
6.如权利要求5所述的方法,还包括估计从其接收传送的地理区域,并且,通过在预定义的时间窗口内对系统中的各终端使用最后已知位置来执行选择nonce,并且,搜索分区包含其最后已知位置在估计的地理区域内的终端。
7.如权利要求5所述的方法,其中,通过使用系统中的传送终端的定时或频率模式执行获得nonce,并且,基于接收的传送的时间识别搜索分区。
8.如权利要求2~4中的任一项所述的方法,其中,通过在相对于消息的传送时间确定的时间确定计数器的当前值获得nonce值,其中,相对于预定参考时间和增量点计数。
9.如权利要求8所述的方法,其中,计数器基于在消息的估计传送时间计算的接收器和传送器已知的卫星轨道的参数,其中,参考时间是参考epoch,并且增量点是预定轨道参考点。
10.如权利要求9所述的方法,其中,参数是轨道计数,并且由卫星通信网络中的卫星的星历数据确定。
11.如权利要求9或10所述的方法,其中,多个接入节点包括多个卫星接入节点,并且计数器所基于的卫星是多个卫星接入节点中的一个。
12.如权利要求2所述的方法,其中,分区的数量为2,并且通过以下步骤迭代所有终端密钥集同时执行分割和搜索:
对于终端,计算通过将预定义的分割函数应用于终端密钥和nonce获得的n位测试值;
对于终端,确定n位测试值是否与接收的n位哈希匹配,并且,如果n位测试值与接收的n位哈希匹配,则确定终端密钥和nonce是否成功地对mac进行认证。
13.如权利要求1所述的方法,其中,nonce被包含于接收的消息中,并且,对于终端和认证代理已知的预定义分割函数被用于通过使用nonce以从终端id选择n位来生成n位哈希,并且对终端密钥集进行分割的步骤包括通过使用接收的nonce和终端标识符作为预定义分割函数的输入对各终端生成n位测试值,以及用相同的n位哈希将终端分组,并且识别搜索分区包括选择具有其n位测试值与接收的n位哈希相匹配的终端的分区。
14.如权利要求13所述的方法,其中,nonce由终端从伪随机源生成。
15.如权利要求13或14所述的方法,其中,预定义的分割函数通过以下方式从nonce和终端标识符生成n位测试值:
将终端标识符分割为m个n位非重叠部分;
根据2k≥m的要求,计算nonce的预定义k位部分的值j模m,并选择l位终端标识符的j模mn位部分。
16.如权利要求15所述的方法,其中,nonce的预定义k位部分是nonce的第一个或最后一个k位部分。
17.如任何前面的权利要求所述的方法,其中,分割基于分析终端的历史空间、时间或时空传送模式。
18.如权利要求1所述的方法,其中,nonce被包含于接收的消息中,并且对终端密钥集进行分割包括在接收消息之前生成m个分割,并且,m个分割中的第j个分割通过以下方式获得:
对于每个j=1..m,选择各终端标识符的第j个n位部分,并且使用其终端标识符的相同第j个n位部分对终端进行分组,以形成2n个分区;以及
在接收消息时,根据2k≥m的要求,计算nonce的预定义k位部分的值j模m,并且,识别搜索分区包括在包含其终端标识符的n位部分与接收的n位哈希匹配的终端密钥的m个分割的第j个分割中选择分区。
19.如任何前面的权利要求所述的方法,其中,至少两个分区中的每一个具有相联的分区密钥,并且n位哈希包含从用于搜索分区的分区密钥生成的分区消息认证代码(pmac),并且,识别搜索分区包括搜索分区密钥集以寻找对接收的pmac进行认证的分区密钥。
20.如权利要求19所述的方法,其中,至少两个分区是被分组成树以形成多个层次分区层的多个分区,其中,各分区具有相关联的分区密钥,并且n位哈希是在从根节点到包含搜索分区的叶节点遍历树的搜索路径中从各层上的各分区密钥生成的各分区消息认证代码(pmac)的有序组合,并且识别搜索分区包括通过对认证与从有序组合确定的层相关的接收pmac的分区密钥在树的各层上搜索分区密钥集来遍历树,其中,其分区密钥对与叶节点层相关联的接收的pmac进行认证的叶节点是搜索分区。
21.如权利要求19所述的方法,其中,至少两个分区是分组成树以形成多个层次分区层的多个分区,这里,除叶节点分区的各分区具有相关联的分区密钥,并且叶节点分区分别包含单个终端密钥,并且n位哈希是在从根节点到叶节点遍历树的搜索路径中从各层上的各分区密钥生成的各分区消息认证代码(pmac)的有序组合,并且识别搜索分区包括通过对认证与从有序组合确定的层相关的接收pmac的分区密钥在树的各层上搜索分区密钥集遍历树直到获得叶节点的集合,并且搜索分区是终端密钥对终端的mac进行认证的叶节点分区。
22.如权利要求20或21所述的方法,其中,有序组合是通过从根节点到叶节点遍历树获得的顺序,n位哈希是搜索路径中的各pmac到搜索分区的连接。
23.如任何前面的权利要求所述的方法,其中,终端标识符为128位,并且终端密钥为128位或256位。
24.如除权利要求12以外的任何前面的权利要求所述的方法,其中,分区的数量大于100。
25.如任何前面的权利要求所述的方法,其中,多个预定义的分割函数被用于对终端密钥集进行分割,并且消息还包括被认证代理使用以确定要使用来自多个预定义分割函数的哪个预定义分割函数以对终端密钥集进行分割的至少1位指示符字段。
26.如任何前面的权利要求所述的方法,其中,通信系统是卫星通信系统,并且多个接入节点包括多个卫星接入节点。
27.一种用于通过终端生成认证的消息以供在包括多个终端、多个接入节点和认证代理的卫星通信系统中向接入节点传送的方法,其中,各终端存储唯一的终端标识符(id)和终端密钥,并且认证代理存储多个终端中的每一个的(终端id,终端密钥)对的集合,该方法包括:
生成nonce值;
通过使用由终端存储的终端密钥和nonce值对用于传送的消息进行加密,以获得加密的消息文本或者获取用于传送的加密的消息文本;
由终端通过使用从至少终端密钥和nonce生成n位或者通过从终端id选择n位生成n位测试值的预定义的分割函数生成n位哈希,另选地,n位包含从与包含终端密钥的分区相关联的分区密钥生成的一个或更多个分区消息认证代码(pmac);
通过至少使用nonce和终端密钥生成消息认证代码(mac);以及
由终端向多个接入节点中的接入节点传送包括至少n位哈希、mac和加密的消息文本的消息。
28.如权利要求27所述的方法,其中,通过使用终端和认证代理均已知或可估计的公共信息确定nonce值,并且不传送nonce,并且预定义的分割函数从至少终端密钥和nonce生成n位哈希。
29.如权利要求28所述的方法,其中,通过在相对于消息的传送时间确定的时间确定计数器的当前值获得nonce值,其中,计数器基于接收器和发射器已知的卫星轨道的参数,并且相对于预定的参考时间和增量点进行计数。
30.如权利要求29所述的方法,其中,计数器是传送消息时的卫星的轨道计数,其中,参考时间是参考epoch,并且增量点是预定的轨道参考点。
31.如权利要求30所述的方法,其中,多个接入节点包括多个卫星接入节点,并且计数器所基于的卫星是多个卫星接入节点中的一个。
32.如权利要求28~32中的任一项所述的方法,其中,通过使用
33.如权利要求32所述的方法,其中,nonce由伪随机源生成并在消息中传送,并且,预定义的分割函数通过从终端id中选择n位生成n位终端哈希。
34.如权利要求33所述的方法,其中,生成n位终端哈希包括:
选择nonce的预定义k位部分;
根据2k≥m将终端标识符分割为m个n位非重叠部分
计算nonce值的k位部分的值j模m;
选择终端标识符的第jn位部分作为n位终端哈希。
35.如权利要求24所述的方法,其中,分割函数进一步将多个分区分组为包含多个层次分区层的树,并且分区密钥与各分区相关联,并且n位哈希是在从根节点到包含终端密钥的叶节点遍历树的搜索路径中从各层上的各分区密钥生成的各分区消息认证代码(pmac)的有序组合。
36.如权利要求27~35中的任一项所述的方法,其中,通信系统是卫星通信系统,并且多个接入节点包括多个卫星接入节点。
37.一种包括处理器和包含配置处理器以实现权利要求1~26中的任一项的方法的指令的存储器的认证代理装置。
38.一种终端装置,包括天线、通信硬件、处理器和包含配置处理器以实现权利要求27~35中的任一项的方法的指令的存储器。
39.一种通信系统,包括:
多个根据权利要求38所述的终端;
多个接入节点;以及
根据权利要求37所述的认证代理装置。
40.如权利要求39所述的系统,其中,多个接入节点包括多个卫星接入节点。
41.一种包括用于使处理器执行权利要求1~26中的任一项的方法的指令的计算机可读介质。
42.一种包括用于使处理器执行权利要求27~36中的任一项的方法的指令的计算机可读介质。