赵聃，周文辉，魏骁，段冉阳

（华北计算机系统工程研究所，北京 100083）

0 引言

卫星通信是指利用卫星作为中继站进行数据中继，实现两个或多个地球站间数据通信的通信方式。相较于传统地面通信网络，卫星通信网络具有覆盖范围广、抗毁能力强、通信灵活等特点，可以不受地形限制为海岛、沙漠等偏远地区实现网络覆盖，通过多颗卫星组网还可以实现卫星网络全球覆盖，为移动用户提供无缝衔接的网络服务，广泛应用在军事、航海、抗灾救险[1]、应急通信等多个领域，引起广泛的关注和研究。

同时，由于卫星设备处在复杂、开放的太空环境中，卫星通信网络中可能发生用户接入攻击、链路恶意拦截、通信数据窃取等问题[2]。因此，安全的接入认证机制是保证卫星通信网络中信息实体间的安全通信的首要问题。此外，卫星网络普遍存在信道质量差、传输延时高等问题，用户终端在接入卫星网络时经常面临认证等待时间长、通信中断的情况[3]。为保证卫星通信网络认证效率，提升用户的通信体验，应尽量缩短认证等待时间。综上，卫星通信网络中的认证方案的设计应该在保证安全性的前提下，尽可能满足较小的计算开销和较低的认证时延。

针对上述问题，国内外学者提出一些解决方案。在卫星通信网络中的身份认证方面，1996年，Cruickshank[4]提出了一种用于卫星网络的安全认证协议，认证过程中需要复杂的流程交互和计算开销，且用户信息传递过程中得不到安全保护；赵东昊等[5]的方案提出使用传统的证书加密结合位置信息来抵抗常见的攻击方式，但并没有对用户身份标识进行隐私保护，存在身份信息泄露问题；朱辉等人[6]提出一种基于Token 的动态接入认证协议，使用哈希函数和对称加密体制为用户身份提供匿名性和防止认证消息被破解；文献[7]提出一种基于椭圆曲线加密（Elliptic Curve Cryptography，ECC）的安全匿名认证方案；Qi 等人[8]提出一种基于椭圆曲线密码和对称密码的匿名认证方案，并通过安全性分析证明具有完善的安全属性，具备抵御已知攻击的能力；Kumar等[9]提出了一种基于对称加密算法、哈希函数以及异或操作的动态协议认证方案，该方案在保障安全性的条件下减少了计算开销和信令开销。

在减少计算开销和降低认证时延方面，Hwang等[10]提出了一种预置密钥的认证方案，降低了计算开销和交互次数，但需要地面网络控制中心（Network Control Center，NCC）保存大量的用户验证信息；文献[11]提出一种简单高效的移动卫星通信系统认证方案，该方案仅基于异或哈希进行认证，计算开销较小；2015年，Zhang等人[12]分析了文献[11]，并对其方案进行改进，提出通过用户到NCC 进行第三方认证，卫星在认证过程中只起到中转作用而不参与计算的认证方案；文献[10-12]都选择NCC 参与生成更新主密钥和管理实体的注册信息，当NCC 负载过大时，容易造成单点故障问题，且“终端-卫星-地面”架构中存在被破坏的风险，地面NCC 遭到恶意毁坏时，会导致终端通信受阻。

基于对上述文献的分析，本文提出一种多模式的身份认证方案，该方案采用星上指挥控制中心与地面指挥控制中心双中心协同工作方式，支持星上认证和地面认证模式切换。星上认证模式下，用户通过星上指挥控制中心进行实现快速认证，减少对地面NCC 的依赖，降低认证时延；当星上认证失效异常时，可切换至地面认证模式，保证认证过程安全稳定；对用户终端的身份信息进行保护，满足对用户隐私保护的需求。

1 安全需求分析与理论模型

1.1 系统模型

针对上述安全需求，本文对提出的多模式卫星通信身份认证系统进行模型设计。系统架构模型如图1 所示，系统中主要包括卫星网络、用户终端，地面控制中心和星载控制中心（Satellite Control Center，SCC）。

图1 身份认证系统框架

卫星网络主要负责用户终端设备注册和用户与控制中心、用户与用户间的数据传输。用户终端通过卫星网络获取相应通信服务，主要包括手持、车载、机载、舰载等地面终端设备。地面控制中心包含地面网络控制中心和密钥生成中心，地面网络控制中心在身份认证过程中负责生成和校验用户身份，维护认证信息，密钥生成中心负责用户注册、管理用户数据。星载控制中心包括星载网络控制中心和星载密钥生成中心，部署在卫星网络中，具备地面控制中心注册、管理、维护用户信息等功能。

1.2 模型可行性分析

不同于地面网络，太空存在辐射效应和温度变化影响，卫星设备计算与存储能力都受到限制，且设备管理与配置对硬件的依赖性强，因此，高性能、小型化的要求对于卫星设备尤为重要。传统的商用级元器件在太空中无法正常工作，而宇航级元器件的工作频率和存储能力通常较小，因此，卫星设备多采用CPU 与FPGA 相结合的方式应对卫星网络复杂的计算和高额的通信开销，该方法目前应用于收集遥测信息、遥感图像[13]等多个航天任务中，实践证明系统性能良好且具有较高的可靠性。

本方案设计为星上认证和地面认证结合的方式，地面认证采用仅使用高性能CPU 作为处理器的方式，解决系统的数据处理与计算开销问题。而星上认证存在计算开销和硬件设计等方面的要求，因此采用CPU 和FPGA 控制与计算相结合的方式完成身份认证过程，该架构充分利用了CPU 控制灵活和FPGA 计算高效的特点，能够满足本文中星上认证的要求，保证星上控制系统工作状态稳定和认证过程安全可靠。

2 身份认证方案设计

本方案提出的多模式身份认证方案分为初始预分配阶段和终端身份认证阶段。终端接入可通过星上认证和地面认证两种方式，星上依据策略向地面同步认证数据，正常使用下使用星上认证模式进行终端接入，当星上模式出现故障时，通过模式切换功能使用地面认证方式进行终端接入，保证终端安全接入，卫星通信稳定运行。协议中使用的部分符号及其对应的含义如表1所示。

2.1 初始预分配阶段

本阶段用户终端根据设备信息向控制中心进行离线用户身份注册，控制中心检查终端设备身份信息合法后，为设备生成唯一的身份标识信息ID，预置密钥K，选择一个椭圆曲线E上的循环群G，G的阶为q。选择一个随机数sk∈Z*q，计算pk=sk·P作为控制中心公钥，sk 作为私钥保存，ID||K||pk 保存至用户设备。至此，控制中心将用户终端预分配所需的资源通过离线注册方式存储到终端设备，具体过程如图2 所示。

图2 用户终端资源预分配过程

2.2 身份认证阶段

卫星网络选择不同模式进行认证时，终端设备认证的方式不同，分为星上认证方式和地面认证方式两种，下面介绍两种认证方式的认证过程。

2.2.1 星上接入认证过程

针对用户终端认证过程需要星地交互，认证时延高，为降低认证过程对地面归属网络的依赖，结合卫星网络抗毁能力强的特点，设计星载控制中心在保证安全性的前提下，降低星地接入认证的时延问题，过程如图3所示。

图3 星上接入认证过程

（1）用户终端生成随机数a∈Z*q，当前时间T1，计算对称密钥D=a·pk和A=a·P，通过对称加密算法对用户身份进行匿名保护生成匿名身份cID，生成随机数R1，消息验证码MAC1=h(K,cID||T1)、认证向量AV1=cID||A||MAC1||T1，将包含cID和A的认证请求消息AV1发送至卫星网络。

（2）卫星收到用户发来的认证请求消息，连同自身身份标识IDS发送给星载控制中心。

（3）星载控制中心检查时间戳T1的有效性，若时间差在有效范围内，则对该认证请求进行处理，计算出对称密钥D=sk·A，对称解密获取用户真实身份标识ID 和随机数R1，并查找用户终端预置密钥K，计算消息认证码HMAC1=h(K,cID||T1)与收到的MAC1是否相等，若相等则获取当前的时间T2，生成随机数R2，计算临时身份标识TID=h(R2,ID)，消息验证码HMAC2=h(K,TID||T2)，会话密钥SK=f(ID||R1||R2)，认证响应值XRES=h(K,SK||R1||R2||IDS)，生成认证响应消息AV2=TID||T2||R2||HMAC2，将认证响应向量AV2和认证响应值XRES 发送给卫星。

（4）卫星收到认证响应消息后，将自身身份标识IDS与认证向量AV2发送给终端。

（5）用户终端接收到认证响应消息后，检查T2的有效性，若有效，计算MAC2=h(K,TID||T2)，比较MAC2与从认证响应向量中提取的HMAC2是否相等，对比一致则表示该消息由卫星发出，完成对卫星节点的校验。计算会话密钥SK=f(ID||R1||R2)，认证响应值 RES=h(K,SK||R1||R2||IDS)和TID=h(R2,ID)，将认证响应值发送给卫星，完成用户侧认证过程。

（6）卫星收到用户终端认证消息后，将RES 与XRES将进行比较，结果一致则将认证成功的结果发给星载控制中心。

（7）星载控制中心确认认证成功结果，并存储SK、ID和TID，用于保障后续用户数据的安全传输。

2.2.2 地面接入认证过程

当需要使用地面认证模式进行身份认证时，用户终端通过卫星网络转发接入地面网络的认证过程，采用哈希算法和对称密钥算法进行终端与地面指控中心的双向认证，生成后续通信所需的会话密钥，简化认证过程计算量，降低计算开销。步骤如图4 所示。

图4 地面接入认证过程

（1）用户终端生成随机数a∈Z*q，当前时间T1，计算对称密钥D=a·pk和A=a·P，生成匿名身份标识cID，将包含cID和A的认证请求向量AV1发送至卫星；卫星收到认证消息后转添加自身信息标识，经卫星链路透传发送给地面控制中心。

（2）地面控制中心接收到认证请求后，用对称密钥解密得到ID 和随机数R1，与已存储的星地同步用户信息进行比较，识别用户终端状态，获得用户信息ID、K，比较T1，校验HMAC1的有效性后，生成R2、T2,计算临时身份标识、消息验证码、会话密钥和认证响应值，生成AV2和XRES 的认证响应消息发给卫星节点；卫星接收消息后转发AV2和自身认证标识IDS给用户终端。

（3）用户终端判断认证响应消息的有效性，校验成功后，计算会话密钥SK与RES，发送认证确认，完成认证过程；卫星收到认证确认后进行校验，校验成功后转发给地面控制中心；地面控制中心接收确认消息，整个地面认证过程完成。

2.2.3 认证信息星地同步过程

地面接入认证过程在星上接入认证过程失效或主动进行地面模式切换时发生。当系统工作在星上接入模式时，地面指控中心作为星上指控中心的热备节点存在，星上指控中心可按策略定期向地面指控中心发送数据同步信息，保证整个系统入网数据的安全，星上用户信息向地面同步过程如图5 所示。

图5 用户信息星地同步过程

星上控制中心会保存星上接入终端的身份标识ID、预置密钥K等用户信息，根据策略定期发送包含身份标识ID、预置密钥K、会话密钥SK、终端用户状态ST 等在内的星地同步数据{ID||K||SK||ST}给地面控制中心；当地面控制中心收到同步数据后，向星上控制中心发送星地同步响应数据；星上控制中心收到响应信息，表示星地同步过程完成，地面控制中心获得星上接入认证的用户信息。

3 安全性分析与性能对比

3.1 安全性分析

3.1.1 非形式化安全性分析

（1）防重放攻击分析

在认证过程中，用户端和指挥控中心端都通过获取时间戳判断当前接收的认证消息是否有效，当时间间隔超过设定的最大忍受时延，将不会对发送端的认证消息进行响应，有效避免了重放攻击。

（2）通信数据的完整性与机密性分析

在用户接入过程中，通信双方会对传输的数据进行哈希值计算HMAC1=h(K,ID||T1)，将计算值与接收到的哈希值MAC1进行比较，保证数据具有完整性后才进行响应；认证过程使用会话密钥，对通信数据进行加密，第三方在不知道会话密钥的情况下无法获取会话内容，能够实现会话的机密性。

（3）前后向安全性

在本方案中生成的会话密钥SK=f(ID||R1||R2)中包含随机数R1、R2，每次选择的随机数都不相同，每次生成的SK也不同，使得通信时会话密钥相互独立，即使获取当前密钥，也无法推出前后会话的密钥，能够保证前后向通信内容的安全性。

（4）用户匿名性

在终端认证过程中，通过对称加密对用户身份进行匿名保护，用户终端的身份标识ID 加密传输，且在接入网络后通信过程中，用户终端使用临时身份标识TID 进行数据通信，使用完成后立即更新，可以实现用户身份匿名性。

3.1.2 安全性对比

本文协议和其他协议安全性对比分析结果如表2 所示。文献[5]提出的方案中没有考虑对于用户终端隐私信息的保护，不具备用户匿名性的要求；文献[9]动态协议认证方案中，存在后向会话密钥容易推断出的问题，后向安全性难以保证。本方案通过认证消息中添加时间戳信息，认证过程中终端的真实身份标识均被加密后传输，且协商密钥在后续通信中不断更新，有效地保障了交互过程的安全性和可靠性。

表2 安全性对比

3.2 性能对比

从执行运算的复杂度方面进行分析，结合文献[14]中对常用密码操作开销的计算，计算开销如表3所示[14]。

表3 常用密码算法计算开销 （μs）

对于星上认证测试环境，终端和卫星采用Intel Core m3-6Y30 CPU@0.9 GHz 的处理器进行模拟，星载控制中心采用BM3823 CPU@200 MHz 和Virtex5 BQ5VSX130T FPGA 的处理器作为服务器，使用CPU 进行基本逻辑功能实现，利用FPGA 计算效率高的特点进行密码算法计算，模拟验证获取基本密码算法的计算开销如表4 所示。

表4 星载常用密码算法计算开销（μs）

由表5 本方案与其他协议计算开销比较来看，本方案的计算开销较小，可以提供与地面认证计算开销相同的认证能力；从认证交互的传输时延上看，文献[5]与文献[9]都是用户终端-卫星-地面NCC 的认证过程，需要将认证消息从卫星通过星地链路发送给地面控制中心，接收后再通过原链路返回响应，本方案采用星上交互认证，卫星与星载控制中心认证时，通过有线信道传输消息，减少3 次星地间数据传输，在传输时延上明显小于其他方案。综上分析，本方案具有总体较低的计算开销。

表5 本方案与其他相关协议的计算开销比较

4 结论

本文设计了一种在卫星通信中多模式的身份认证方案，从减少认证时延的方向考虑，采用主用星上接入认证，备用地面接入认证的方式，星上认证能够有效解决星地认证过程的高时延问题，减少认证时延，提高认证效率。同时为保证系统稳定运行，采用多模式的设计思路，设计地面认证模式作为补充，提高系统的安全性与稳定性。

综上，本文设计的多模式的认证方案在一定程度上能够抵抗被破坏的风险，可以满足防重放攻击、数据完整性、前后安全性和用户匿名性等安全需求。同时，本方案在地面认证模式下在减少交互过程的信令开销上还有一定的优化空间，如何在终端-卫星-地面传统架构上保证高安全性的同时降低信令开销[15]是本方案值得改进的方向。