卫星网络场景下超高速终端安全接入与群内安全通信方法

本发明涉及卫星通信，尤其涉及一种卫星网络场景下超高速终端安全接入与群内安全通信方法。

背景技术：

1、随着人类对空间领域的探索，多种场景下需要使用超高速终端携带载荷设备到指定位置投递出各类型设备。例如航天飞机会携带空间站的模块或补给货物，并在到达国际空间站附近时，通过机械臂或其他机制将其安装到空间站上。

2、超高速终端的行进轨迹固定并且会快速离开地面，以至于无法连接到地面的接入点来与地面站进行通信，这就需要根据轨迹来接入空间接入点，例如卫星等，在其轨迹上设置接入点，来保证接入认证的实时性与通信的连续性。并且超高速终端与之携带的载荷设备之间也需要进行通信，来查验载荷设备等情况。载荷设备需要在超高速终端将其释放之后，也就是脱离超高速终端的范围外时，仍然可以接入网络来保持网络通信。然而现有技术中尚没有在上述场景下实现安全通信的解决方案。

技术实现思路

1、本发明通过提供一种卫星网络场景下超高速终端安全接入与群内安全通信方法，解决了现有技术中未考虑超高速终端与其他设备或者其他终端之间的协同传输，或以超高速终端作为群主的快速建立群组的群组通信的问题，实现了超高速终端在快速离开地面时可以安全连续地通过空间接入点接入地面控制中心，并使用群密钥进行群内通信。

2、本发明提供了一种卫星网络场景下超高速终端安全接入与群内安全通信方法，该方法包括：

3、地面控制中心和超高速终端进行初始化，得到地面控制中心初始化结果和超高速终端初始化结果；其中，所述超高速终端携带多个载荷设备；

4、所述地面控制中心利用所述超高速终端的轨迹计算得到所述超高速终端的轨迹上的多个接入点，所述超高速终端和所述地面控制中心利用所述多个接入点、所述地面控制中心初始化结果和所述超高速终端初始化结果完成接入认证，所述地面控制中心分别计算所述多个接入点与所述超高速终端之间的会话密钥，所述超高速终端和所述地面控制中心利用所述会话密钥进行安全通信；

5、所述超高速终端发射多个载荷设备，根据所述超高速终端的轨迹确定所述多个载荷设备中的部分载荷设备为群组成员，并根据所述部分载荷设备构建群组，利用所述超高速终端初始化结果计算所述群组中的群密钥，所述群组内的成员根据所述群密钥进行安全通信。

6、在一种可能的实现方式中，所述地面控制中心和超高速终端进行初始化，包括：

7、所述地面控制中心生成所述地面控制中心的主密钥；

8、所述地面控制中心为所述超高速终端分配长期的第一共享密钥和所述超高速终端的第一身份标识；

9、所述地面控制中心随机生成第一随机数，根据所述第一随机数计算所述超高速终端的隐藏身份标识值；

10、所述地面控制中心将所述第一身份标识、所述第一共享密钥、所述隐藏身份标识值和所述第一随机数..作为第一离线预置消息发送至所述超高速终端；

11、所述超高速终端根据每个载荷设备的第一载荷设备身份标识生成该载荷设备对应的第一密钥，并生成第二随机数，根据所述第二随机数计算该载荷设备的荷载设备隐藏身份标识值；

12、所述超高速终端将所述第一载荷设备身份标识、所述第一密钥、所述荷载设备隐藏身份标识值和所述第二随机数作为第二离线预置消息发送至每个载荷设备；

13、所述地面控制中心确定接入点的身份标识为，且所述接入点与所述地面控制中心之间建立安全通道；

14、所述地面控制中心初始化结果，包括所述第一身份标识、所述第一随机数和所述身份标识为；所述超高速终端初始化结果，包括所述隐藏身份标识值和所述第一共享密钥。

15、在一种可能的实现方式中，所述地面控制中心利用所述超高速终端的轨迹计算得到所述超高速终端的轨迹上的多个接入点，所述超高速终端和所述地面控制中心利用所述多个接入点、所述地面控制中心初始化结果和所述超高速终端初始化结果完成接入认证，包括：

16、所述超高速终端生成第一接入认证请求消息，并将所述第一接入认证请求消息发送至所述多个接入点中的第一接入点；其中，所述第一接入点与所述超高速终端距离最近；

17、所述第一接入点将所述第一接入点的第一接入点身份标识添加至所述第一接入认证请求消息中，并根据所述超高速终端初始化结果得到第一请求认证消息；其中，表示初始计算值；表示第一时间戳；

18、所述第一接入点转发所述第一请求认证消息至所述地面控制中心；

19、所述地面控制中心对所述第一请求认证消息进行响应，根据所述地面控制中心初始化结果生成第一请求响应认证消息，并根据所述超高速终端的轨迹确定接收所述第一请求响应认证消息的接入点为第二接入点，将所述第一请求响应认证消息通过所述第二接入点转发至所述超高速终端；

20、所述地面控制中心计算所述地面控制中心与所述超高速终端之间的第二密钥，并根据所述第二密钥计算所述超高速终端和所述第二接入点之间的第二共享密钥；

21、所述地面控制中心为所述超高速终端的轨迹上的多个接入点分别计算与第个接入点对应的临时标识；

22、所述地面控制中心根据所述第二共享密钥和临时标识完成对应接入点的接入响应认证。

23、在一种可能的实现方式中，所述群组包括：所述部分载荷设备和一个超高速终端。

24、在一种可能的实现方式中，所述超高速终端，利用所述超高速终端初始化结果计算所述群组中的群密钥，包括：

25、所述超高速终端广播第一群组认证通知消息；其中，所述第一群组认证通知消息包括：所述超高速终端的第一身份标识和第一挑战值；

26、所述载荷设备接收所述第一群组认证通知消息，并利用所述第一群组认证通知消息将第一群组接入认证请求消息发送至对应的所述超高速终端；其中，所述第一群组接入认证请求消息包括：所述载荷设备对应的荷载设备隐藏身份标识值、第二随机数和第一计算值；

27、所述超高速终端利用所述群组接入认证请求消息，得到所述载荷设备的第一载荷设备身份标识、所述载荷设备对应的第一密钥、第一加密密钥和第一完整性保护密钥；

28、所述超高速终端利用所述第一载荷设备身份标识、所述第一密钥、所述第一加密密钥和第一完整性保护密钥对所述第一计算值进行验证，验证成功后对所述第一载荷设备身份标识和所述第一加密密钥进行存储；

29、所述超高速终端生成第三随机数，构建第一插值多项式；选取所述第一插值多项式中的个点，根据该个点和所述第三随机数计算得到第二计算值和所述群组的密钥标识，广播群密钥建立请求消息；其中，所述群密钥建立请求消息包括：所述地面控制中心的第一身份标识、所述密钥标识、所述第二计算值和所述个点；

30、所述载荷设备接收所述群密钥建立请求消息，根据所述载荷设备中存储的所述第一载荷设备身份标识和所述第一加密密钥构建所述第一插值多项式，利用所述第一插值多项式计算得到所述第三随机数；

31、利用所述第三随机数验证所述第二计算值的有效性，若有效，则确定所述第三随机数为群密钥。

32、在一种可能的实现方式中，所述载荷设备，利用所述第一插值多项式计算得到所述第三随机数，包括：

33、根据所述个点和所述第一插值多项式计算得到所述第三随机数。

34、在一种可能的实现方式中，所述第一计算值是根据所述载荷设备的第一载荷设备身份标识和所述载荷设备对应的第一完整性保护密钥计算得到的。

35、在一种可能的实现方式中，在计算所述群组中的群密钥之后，所述方法还包括：更新所述群组的成员，得到第二群组，并计算所述第二群组的更新密钥，以完成第二群组内的安全通信；

36、所述更新所述群组的成员，得到第二群组，并计算所述第二群组的更新密钥，包括：

37、第二载荷设备向所述超高速终端发送群组加入请求消息；

38、所述超高速终端生成第二挑战值，并广播与所述第二载荷设备相关的第二群组认证通知消息；其中，所述第二群组认证通知消息包括：所述超高速终端的第一身份标识和所述第二挑战值；

39、所述第二载荷设备接收所述第二群组认证通知消息，利用所述第二群组认证通知消息将第二群组接入认证请求消息发送至对应的所述超高速终端，其中，所述第二群组接入认证请求消息包括：所述第二载荷设备对应的第二加密密钥、第二完整性保护密钥和第二计算值；

40、所述超高速终端利用所述第二群组接入认证请求消息计算得到第二载荷设备的第二身份标识、第二载荷设备对应的密钥、第二加密密钥和第二完整性保护密钥，并对所述第二计算值进行验证，验证成功后对所述第二身份标识和所述第二加密密钥进行存储；

41、所述超高速终端利用所述第二身份标识和所述第二加密密钥计算得到更新群密钥，以完成第二群组内的安全通信。

42、在一种可能的实现方式中，所述第二计算值是根据所述第二载荷设备的第二身份标识和第二载荷设备对应的第二完整性保护密钥计算得到。

43、在一种可能的实现方式中，在计算所述群组中的群密钥之后，所述方法还包括：所述群组中第三载荷设备与所述超高速终端或所述接入点进行交互；其中，所述第三载荷设备为退出所述群组的载荷设备或需要与网络进行单独通信的载荷设备；

44、所述群组中第三载荷设备与所述超高速终端或所述接入点进行交互，包括：

45、第三载荷设备向所述超高速终端发送接入网络预请求消息；其中，所述接入网络预请求消息包括：密钥有效期；

46、所述超高速终端根据所述网络预请求消息计算所述第三载荷设备对应的第二载荷设备身份标识；

47、所述超高速终端确定所述超高速终端和所述地面控制中心之间的第二密钥，根据所述第二载荷设备身份标识、所述密钥有效期和所述第二密钥，计算得到密文；

48、根据所述超高速终端的临时身份标识为所述第三载荷设备计算临时密钥值，将第一消息发送至第三载荷设备；其中，所述第一消息包括：临时密钥值、所述超高速终端的临时身份标识、第三载荷设备对应的第二载荷设备身份标识和密文；

49、第三载荷设备通过所述接入点向所述地面控制中心发送第二接入认证请求；

50、所述地面控制中心对所述第二接入认证请求进行验证，若验证成功，则计算不同的接入点与所述第三载荷设备之间的第三共享密钥和第三计算值，并将第二消息发送至第三载荷设备；其中，所述第二消息包括：所述第三计算值、所述超高速终端生成的第五随机数和地面控制中心中的当前时间戳；

51、所述第三载荷设备验证所述地面控制中心中的当前时间戳和第三计算值，若验证成功，则将所述第三共享密钥作为与所述地面控制中心通信的安全通信密钥，以完成所述第三载荷设备与所述地面控制中心进行交互通信。

52、本发明中提供的一个或多个技术方案，至少具有如下技术效果或优点：

53、(1)本发明中的超高速终端在发射升空后，地面控制中心利用轨迹预测获知其即将接入的接入点；同时，接入点和超高速终端的会话密钥由地面控制中心派生，接入点仅起到中继作用，使接入认证过程中接入点的变更得以实现，也解决了在接入认证过程中，超高速终端因其超高速特性而偏离接入点，进而导致接入失败的问题；

54、(2)本发明通过利用轨迹预测、基于长期共享密钥为超高速终端和多个接入点分别协商会话密钥，避免了超高速终端在后续的超高速移动过程中所面临的频繁切换认证问题，使得超高速终端和接入点可以直接使用协商好的密钥进行通信，确保了终端网络服务的连续稳定性。