專利名稱:一種分域處理的衛星網絡安全接入系統的制作方法
技術領域:
本發明涉及一種網絡安全接入系統,特別是在衛星網絡分域處理的安全接入系統。
背景技術:
衛星網絡具有作用范圍廣、獲取信息和傳輸信息速度快等優點,同時也存在暴露性和易損性。各種針對衛星網絡的攻擊手段層出不窮:除了反衛星技術等物理級攻擊手段夕卜,運用網絡攻擊手段對系統信息流或系統提供的服務實施破壞,已經對衛星網絡及衛星網絡所支持的空間信息系統構成了的巨大威脅。加強衛星網絡的防護,提高防御性衛星網絡對抗能力正逐步得到各國政府的重視。針對衛星網絡的信息級安全保障技術缺乏,不能構成完整的安全保障平臺,衛星網絡的安全防護要區別不同對象的安全需求,對現有的安全技術進行改進,提出有針對性的防御策略和安全保障平臺。
發明內容
由于在衛星網絡中,衛星的物理位置比較分散,而設備及其用戶的數量不固定,節點的加入和退出比較頻繁,本發明的目的是提出了一種分域處理的衛星網絡安全接入系統。本發明的技術方案為:分域處理的衛星網絡安全接入系統,在搭建時的初始化步驟,是為后續的安全通信設計做鋪墊。由于衛星網絡在初始化時尚未處于易被攻擊、破壞的環境下,故可以認為此時衛星網絡處于安全環境,因此為了提高初始化的效率,在衛星網絡初始化設計中,采用如下的方式。一種分域處理的衛星網絡安全接入系統,它分為以下以幾個部分:網絡操作控制中心的主密鑰和公鑰的生成、網絡操作控制中心的證書獲取、衛星公私鑰的生成和證書的獲取、地面網關證書的獲取和網絡用戶的初始化。本發明的網絡操作控制中心的主密鑰生成和公鑰的生成和證書獲取:網絡操作控制中心首先生成網絡操作控制中心和所有衛星組成的最高域的RSA的公私鑰,該公私鑰在系統中的安全性需求高,網絡操作控制中心的計算能力高,所以該公私鑰的位數要使用2048 位。本發明的衛星公私鑰的生成和證書的獲取:在衛星發射之前注入該衛星的公私鑰對和證書,由于衛星的運算能力和安全需求的級別,生成公私鑰的位數為1024位。所有衛星證書申請完畢之后,網絡操作控制中心廣播公布所有衛星和網絡操作控制中心組成的最終的Compressed Bloom Filters的值,該廣播的對象包括所有衛星和網絡操作控制中心。本發明的地面網關的公私鑰的生成和證書的獲取:地面網關在建立之初由網絡操作控制中心注入證書,設置公私鑰的位數為1024位。所有網關證書申請完畢之后,網絡操作控制中心廣播公布所有地面網關組成的最終的Compressed Bloom Filters的值,該廣播的對象包括所有的地面網關和所有的衛星。本發明的網絡用戶(NU)的初始化:網絡用戶采用證書的形式進行認證,微型計算機可以用USB Key來儲存證書,采用1024位的公私鑰位。本發明的有益效果為:本發明有利于對衛星或者其他設備的身份的認證或者密鑰的分發。考慮到衛星網絡在可靠性方面要求較高,應該盡量采用離線身份認證和相應的密鑰協商協議,即采用雙方認證而不是三方認證。在衛星網絡中,三方認證所帶來的時間消耗是不能接受的,而且三方認證對于認證中心的要求會比較高,一旦認證中心出點問題,整個網絡的認證就會癱瘓。所以提出采用非對稱密碼系統,在各種節點進行網絡之前預先注入私有密鑰和證書,在進行認證時需要認證的雙方只需交換并驗證彼此的公鑰證書。這樣就實現了離線認證即雙方驗證,也因此提高了方案的可靠性。
圖1衛星網絡安全方案結構
具體實施例方式下面結合附圖和實施例對本發明作進一步的說明。如圖1所示,一種分域處理的衛星網絡安全接入系統,它分為以下以幾個部分:網絡操作控制中心的主密鑰和公鑰的生成、網絡操作控制中心的證書獲取、衛星公私鑰的生成和證書的獲取、地面網關證書的獲取和網絡用戶的初始化。本發明的網絡操作控制中心的主密鑰生成和公鑰的生成和證書獲取:網絡操作控制中心首先生成網絡操作控制中心和所有衛星組成的最高域的RSA的公私鑰,該公私鑰在系統中的安全性需求高,網絡操作控制中心的計算能力高,所以該公私鑰的位數要使用2048 位。本發明的衛星公私鑰的生成和證書的獲取:在衛星發射之前注入該衛星的公私鑰對和證書,由于衛星的運算能力和安全需求的級別,生成公私鑰的位數為1024位。所有衛星證書申請完畢之后,網絡操作控制中心廣播公布所有衛星和網絡操作控制中心組成的最終的Compressed Bloom Filters的值,該廣播的對象包括所有衛星和網絡操作控制中心。本發明的地面網關的公私鑰的生成和證書的獲取:地面網關在建立之初由網絡操作控制中心注入證書,設置公私鑰的位數為1024位。所有網關證書申請完畢之后,網絡操作控制中心廣播公布所有地面網關組成的最終的Compressed Bloom Filters的值,該廣播的對象包括所有的地面網關和所有的衛星。本發明的網絡用戶(NU)的初始化:網絡用戶采用證書的形式進行認證,微型計算機可以用USB Key來儲存證書,采用1024位的公私鑰位。具體實施時:網絡操作控制中心用其私鑰給所有衛星節點,并將自己的公鑰對發送給它們,同時網絡操作控制中心還生成了一個地面網關RSA參數,并用該私鑰在初始化來完成對地面網關的初始化,并將對應的公鑰發送給衛星節點和地面網關,同時網絡操作控制中心將地面網關RSA參數的私鑰分存在衛星節點上,以此達到用一定個數的衛星來給一個地面網關完成證書的更新。衛星節點通過相應的合作可以完成對地面網關的證書更新。地面網關用自己的私鑰給下屬的網絡用戶簽發證書,并將自己的公鑰發送給所有的網絡用戶。
權利要求
1.一種分域處理的衛星網絡安全接入系統,其特征是它分為以下部分:網絡操作控制中心的主密鑰和公鑰的生成、網絡操作控制中心的證書獲取、衛星公私鑰的生成和證書的獲取、地面網關證書的獲取和網絡用戶的初始化。
2.根據權利要求1所述的分域處理的衛星網絡安全接入系統,其特征是所述的網絡操作控制中心的主密鑰生成和公鑰的生成和證書獲取為:網絡操作控制中心首先生成網絡操作控制中心和所有衛星組成的最高域的RSA的公私鑰,該公私鑰在系統中的安全性需求高,網絡操作控制中心的計算能力高,該公私鑰的位數要使用2048位。
3.根據權利要求1所述的分域處理的衛星網絡安全接入系統,其特征是所述的衛星公私鑰的生成和證書的獲取為:在衛星發射的之前注入該衛星的公私鑰對和證書,由于衛星的運算能力和安全需求的級別,生成公私鑰的位數為1024位;所有衛星證書申請完畢之后,網絡操作控制中心廣播公布所有衛星和網絡操作控制中心組成的最終的CompressedBloom Filters的值,該廣播的對象包括所有衛星和網絡操作控制中心。
4.根據權利要求1所述的分域處理的衛星網絡安全接入系統,其特征是所述的地面網關的公私鑰的生成和證書的獲取為:地面網關在建立之初由網絡操作控制中心注入證書,公私鑰的位數為1024位,所有網關證書申請完畢之后,網絡操作控制中心廣播公布所有地面網關組成的最終的Compressed Bloom Filters的值,該廣播的對象包括所有的地面網關和所有的衛星。
5.根據權利要求1所述的分域處理的衛星網絡安全接入系統,其特征是所述的網絡用戶NU的初始化為:網絡用戶采用證書的形式進行認證,微型計算機可以用USB Key來儲存證書,采用1024位的公私鑰位。
全文摘要
一種分域處理的衛星網絡安全接入系統,它分為以下以幾個部分網絡操作控制中心的主密鑰和公鑰的生成、網絡操作控制中心的證書獲取、衛星公私鑰的生成和證書的獲取、地面網關證書的獲取和網絡用戶的初始化。該系統針對衛星網絡中,衛星的物理位置比較分散,而設備及其用戶的數量不固定,節點的加入和退出比較頻繁的問題,該方案有利于對衛星或者其他設備的身份的認證或者密鑰的分發。考慮到衛星網絡在可靠性方面要求較高,采用離線身份認證和相應的密鑰協商協議即采用雙方認證。采用了非對稱密碼系統,在各種節點進行網絡之前預先注入私有密鑰和證書,在進行認證時需要認證的雙方只需交換并驗證彼此的公鑰證書,進而實現了離線認證即雙方驗證。
文檔編號H04W12/04GK103188666SQ20111045140
公開日2013年7月3日 申請日期2011年12月29日 優先權日2011年12月29日
發明者李千目, 戚湧, 謝新, 陸妍蕾, 何文韜, 侯君 申請人:無錫南理工科技發展有限公司