CN114827998B - 一种基于加密芯片的卫星终端入网鉴权装置 - Google Patents
一种基于加密芯片的卫星终端入网鉴权装置 Download PDFInfo
- Publication number
- CN114827998B CN114827998B CN202210267333.5A CN202210267333A CN114827998B CN 114827998 B CN114827998 B CN 114827998B CN 202210267333 A CN202210267333 A CN 202210267333A CN 114827998 B CN114827998 B CN 114827998B
- Authority
- CN
- China
- Prior art keywords
- encryption chip
- random number
- satellite terminal
- mac
- data scheduling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims abstract description 34
- 238000012795 verification Methods 0.000 claims abstract description 31
- 238000004364 calculation method Methods 0.000 claims abstract description 7
- 238000000034 method Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 6
- 238000005336 cracking Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- TVZRAEYQIKYCPH-UHFFFAOYSA-N 3-(trimethylsilyl)propane-1-sulfonic acid Chemical compound C[Si](C)(C)CCCS(O)(=O)=O TVZRAEYQIKYCPH-UHFFFAOYSA-N 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000002243 precursor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/06—Airborne or Satellite Networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- Astronomy & Astrophysics (AREA)
- General Physics & Mathematics (AREA)
- Radio Relay Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种基于加密芯片的卫星终端入网鉴权装置,在卫星通信系统的卫星终端采用加密芯片;加密芯片根据24字节的第一随机数计算获得临时密钥tempkey,之后产生32字节的第二随机数发送至卫星通信系统的数据调度中心。加密芯片根据临时密钥tempkey计算获得第一mac信息验证码并发送至数据调度中心;数据调度中心根据32字节的第二随机数计算获得第二mac信息验证码与第一mac信息验证码进行比较,如果相等则允许卫星终端入网,否则拒绝卫星终端入网。本发明提供的装置能够简单快捷的进行鉴权,提高了入网效率,同时提高了信息安全等级。
Description
技术领域
本发明涉及卫星通信技术领域,具体涉及一种基于加密芯片的卫星终端入网鉴权装置。
背景技术
在移动卫星通信系统中,用户段需要通过地面段接入移动卫星通信网络中进行移动通信。代表用户段的通信终端,可以有不同的表现形式,如手持终端、车载终端、或船载终端等,用户终端作用是通过安装有无线收发天线实现终端用户对通信状态的设置、获取,完成通信。
目前卫星通信的鉴权方案中,通过sim卡,采用LTE的鉴权机制鉴权,存在鉴权方案复杂,不使用卫星通信领域。另外一种是在终端侧使用flash保持根key的方案进行鉴权,这种方案过于简单,根key没有得到很好的保护,容易泄露,造成信息安全事故。
发明内容
有鉴于此,本发明提供了一种基于加密芯片的卫星终端入网鉴权装置,能够简单快捷的进行鉴权,提高了入网效率,同时提高了信息安全等级。
本发明采用的具体技术方案如下:
一种基于加密芯片的卫星终端入网鉴权装置,在卫星通信系统的卫星终端采用加密芯片;所述加密芯片根据24字节的第一随机数计算获得临时密钥tempkey,之后所述加密芯片产生32字节的第二随机数发送至卫星通信系统的数据调度中心;
所述加密芯片根据所述临时密钥tempkey计算获得第一mac信息验证码并发送至所述数据调度中心;所述数据调度中心根据所述32字节的第二随机数计算获得第二mac与所述第一mac进行比较,如果相等则允许卫星终端入网,否则拒绝卫星终端入网。
进一步地,所述第一随机数由所述数据调度中心产生,所述数据调度中心先将所述第一随机数发送至卫星终端,所述卫星终端再将所述第一随机数发送至加密芯片。
进一步地,所述第二随机数发送至数据调度中心的过程为:所述加密芯片产生32字节的第二随机数先发送至卫星终端,再由所述卫星终端将所述第二随机数发送至所述数据调度中心。
进一步地,所述加密芯片根据所述临时密钥tempkey计算获得第一mac并发送至所述数据调度中心的过程为:所述加密芯片根据所述tempkey和根key计算获得派生密钥derivekey,之后所述加密芯片再根据所述tempkey和所述derivekey计算获得所述第一mac;
所述加密芯片先将所述第一mac发送至卫星终端,再由所述卫星终端将所述第一mac发送至所述数据调度中心。
进一步地,所述根key预先存储到所述加密芯片的data区与卫星通信系统的核心网,且所述data区不能读写。
进一步地,所述数据调度中心根据所述32字节的第二随机数计算获得第二mac为:
所述数据调度中心根据所述32字节的第二随机数和根key计算获得第二mac;
所述数据调度中心获取所述根key的过程为:所述卫星终端向所述数据调度中心发送序列SN号和请求入网信号,所述数据调度中心把所述SN号发送至卫星通信系统的核心网并请求获取根key,所述核心网将所述根key发送至所述数据调度中心。
进一步地,所述加密芯片与所述卫星终端采用icc通信协议进行通信。
进一步地,所述加密芯片为ATSHA204A加密芯片。
有益效果:
(1)一种基于加密芯片的卫星终端入网鉴权装置,卫星终端采用加密芯片,提高了卫星通信系统的信息安全等级;加密芯片根据24字节的第一随机数计算获得临时密钥tempkey,之后加密芯片产生32字节的第二随机数发送至卫星通信系统的数据调度中心,相比传统的鉴权装置,使用随机数的装置,更为简单便捷,提高了入网效率。
(2)在计算第一mac的时候,先计算派生密钥derivekey,再根tempkey和derivekey计算获得第一mac,可以防止暴力破解的发生,进一步提高卫星通信系统的信息安全等级。
(3)ATSHA204A加密芯片的data区设置为不能读写,可以防止根key被破解,保证卫星通信系统的安全性。
附图说明
图1为本发明的一种基于加密芯片的卫星终端入网鉴权装置的卫星通信网络框架组成示意图。
图2为本发明的卫星终端架构示意图。
图3为本发明的一种基于加密芯片的卫星终端入网鉴权装置的入网鉴权流程图。
具体实施方式
一种基于加密芯片的卫星终端入网鉴权装置,在卫星通信系统的卫星终端采用加密芯片;加密芯片根据24字节的第一随机数计算获得临时密钥tempkey,之后产生32字节的第二随机数发送至卫星通信系统的数据调度中心。加密芯片根据临时密钥tempkey计算获得第一mac信息验证码并发送至数据调度中心;数据调度中心根据32字节的第二随机数计算获得第二mac与第一mac信息验证码进行比较,如果相等则允许卫星终端入网,否则拒绝卫星终端入网。本发明提供的装置能够简单快捷的进行鉴权,提高了入网效率,同时提高了信息安全等级。其中mac为Message Authentication Codes信息验证码的缩写。
下面结合附图并举实施例,对本发明进行详细描述。
本发明才用的加密芯片为ATSHA204A加密芯片,首先对ATSHA204A加密芯片和其算法进行介绍:
ATSHA204A加密芯片是ATMEL公司研发的一款高安全性的,功能丰富的加密IC,使用SHA-256算法进行加密操作,内置16*32字节的slot(EEPROM)可以存储用户数据和秘钥,唯一的9字节序列号用于区分其他芯片,还有512bits的OTP区用于保存一些固定信息。芯片对外有2中通信方式,分别是单bus和i2c方式,本发明使用I2C方式。
ATSHA204A加密芯片内部rom分三个区域,一个是config zone,一个是slot zone,还有一个是OTP zone。芯片的config区和data区一旦锁定,没有办法解锁,锁的装置只能通过lock command来进行锁定。config区在没锁定的时候,可以使用write command来进行写操作。在config锁定前,data区(包括slot区和OTP区)既不能写也不能读。而在config锁定后,data区锁定前,data区只能写不能读,在data区锁定后,可以根据config中的配置来进行读写。
ATSHA204支持一个标准的挑战-响应协议,以简化编程。最基本的情况是,主机系统向客户端中的设备发送挑战,它将挑战与来自系统的MAC命令的密钥相结合。该设备对组合使用密码哈希算法,它防止总线上的观察者推导出密钥的值,但允许接收者通过执行相同的计算(将挑战与秘密相结合)与存储的秘密副本来验证响应是正确的。
安全散列算法SHA(Secure Hash Algorithm)是美国国家安全局(NSA)设计,美国国家标准与技术研究院(NIST)发布的一系列密码散列函数,包括SHA-1、SHA-224、SHA-256、SHA-384和SHA-512等变体。主要适用于数字签名标准(DigitalSignature Standard DSS)里面定义的数字签名算法(Digital Signature Algorithm DSA)
SHA算法最主要的特点就是,任意长度的输入能生成固定长度的输出,并且从输出的结果中不能还原输入的内容,而且要找到不同两个输入导致相同输出的情况在计算上不能实现。
卫星通信系统由卫星端、地面端、用户端三部分组成。卫星端在空中起中继站的作用,即把地面站发上来的电磁波放大后再返送回另一地面站,卫星星体又包括两大子系统:星载设备和卫星母体。地面站则是卫星系统与地面公众网的接口,地面用户也可以通过地面站出入卫星系统形成链路,地面站还包括地面卫星控制中心,及其跟踪、遥测和指令站。用户端即是各种卫星用户终端。
如图1所示,本发明采用的卫星通信网络架构由卫星终端、卫星、线卡、数据调度中心和核心网组成,卫星终端是用户端。
对于任何通信系统,安全都是至关重要的。一般的复制卡、伪基站,都面对着对通信系统的威胁,对信息安全的威胁。所谓鉴权,就是鉴别终端或网络的真伪,保证通信数据的安全(不被截取、不被篡改、不被伪造)。相对于LTE和5G基于sim卡的复杂的鉴权机制,在卫星通信领域本发明提出一种区别于sim卡的鉴权方案。本发明采用sha204加密芯片来加密鉴权,并且提出了一种相对简单便捷的鉴权流程,大大提高了入网效率。如图2所示,本发明的终端架构采用加密芯片通过iic和卫星终端通信。
ATSHA204使用的SHA256算法,能输出32字节(256位)的固定长度输出,基于SHA算法的特性,完全可以做到程序启动的秘钥验证,或者服务端和客户端的秘钥验证来保护我们产品。
参与认证和密钥协商的有这四个主体:ATSHA204A加密芯片、卫星终端、数据调度管理中心、核心网。首先需要把根key烧写到ATSHA204A加密芯片的data区,并设置data区不能读也不能写,这样根key就没有办法被破解;然后在核心网侧也存储一份相对应终端的根key。鉴权具体流程如图3所示,包括以下步骤:
第一步:卫星终端发送序列SN号和请求入网信号发送给数据调度中心。
第二步:数据调度中心把SN号发送给核心网请求获取此SN号的根key。
第三步:核心网把根key发给数据调度中心。
第四步:数据调度中心产生20byte随机数即第一随机数给卫星终端。
第五步:卫星终端使用20byte随机数通过iic接口控制sha204芯片即ATSHA204A加密芯片生成tempkey。
第六步:ATSHA204A加密芯片生成32byte随机数即第二随机数发送给卫星终端。
第七步:卫星终端把sha204芯片生成的32byte随机数发送给数据调度中心。
第八步:卫星终端发送命令让ATSHA204A加密芯片使用tempkey和根key算出derivekey。
第九步:卫星终端发送命令让ATSHA204A加密芯片使用tempkey和derivekey算出第一mac信息验证码。
第十步:ATSHA204A加密芯片把产生的32byte的第一mac信息验证码发送给卫星终端。
第十一步:卫星终端把32byte的第一mac信息验证码发送给数据调度中心。
第十二步:数据调度中心根据32字节的第二随机数和根key计算获得第二mac信息验证码;数据调度中心第二mac信息验证码与第一mac信息验证码进行比较,如果相等则允许卫星终端入网,否则拒绝卫星终端入网。
本发明提供了一种基于加密芯片的卫星终端入网鉴权装置,相对于LTE的sim卡鉴权方式,鉴权流程复杂,而且sim卡一般用于公网,专网不能去运营商那边开户获取sim卡;这样如果把根key放到flash上,大大的增加了根key被破解的概率。本发明把根key放到加密芯片上,并且使用根key计算derivekey,使得key不断的变化即根key计算得到derivekey,而且空口传输只是传输mac信息验证码和随机数,保证了卫星终端不会破解。
以上的具体实施例仅描述了本发明的设计原理,该描述中的部件形状,名称可以不同,不受限制。所以,本发明领域的技术人员可以对前述实施例记载的技术方案进行修改或等同替换;而这些修改和替换未脱离本发明创造宗旨和技术方案,均应属于本发明的保护范围。
Claims (8)
1.一种基于加密芯片的卫星终端入网鉴权装置,其特征在于,在卫星通信系统的卫星终端采用加密芯片;所述加密芯片根据24字节的第一随机数计算获得临时密钥tempkey,之后所述加密芯片产生32字节的第二随机数发送至卫星通信系统的数据调度中心;
所述加密芯片根据所述临时密钥tempkey计算获得第一mac信息验证码并发送至所述数据调度中心;所述数据调度中心根据所述32字节的第二随机数计算获得第二mac与所述第一mac进行比较,如果相等则允许卫星终端入网,否则拒绝卫星终端入网。
2.如权利要求1所述的卫星终端入网鉴权装置,其特征在于,所述第一随机数由所述数据调度中心产生,所述数据调度中心先将所述第一随机数发送至卫星终端,所述卫星终端再将所述第一随机数发送至加密芯片。
3.如权利要求1所述的卫星终端入网鉴权装置,其特征在于,所述第二随机数发送至数据调度中心的过程为:所述加密芯片产生32字节的第二随机数先发送至卫星终端,再由所述卫星终端将所述第二随机数发送至所述数据调度中心。
4.如权利要求1所述的卫星终端入网鉴权装置,其特征在于,所述加密芯片根据所述临时密钥tempkey计算获得第一mac并发送至所述数据调度中心的过程为:所述加密芯片根据所述tempkey和根key计算获得派生密钥derivekey,之后所述加密芯片再根据所述tempkey和所述derivekey计算获得所述第一mac;
所述加密芯片先将所述第一mac发送至卫星终端,再由所述卫星终端将所述第一mac发送至所述数据调度中心。
5.如权利要求4所述的卫星终端入网鉴权装置,其特征在于,所述根key预先存储到所述加密芯片的data区与卫星通信系统的核心网,且所述data区不能读写。
6.如权利要求4所述的卫星终端入网鉴权装置,其特征在于,所述数据调度中心根据所述32字节的第二随机数计算获得第二mac为:
所述数据调度中心根据所述32字节的第二随机数和根key计算获得第二mac;
所述数据调度中心获取所述根key的过程为:所述卫星终端向所述数据调度中心发送序列SN号和请求入网信号,所述数据调度中心把所述SN号发送至卫星通信系统的核心网并请求获取根key,所述核心网将所述根key发送至所述数据调度中心。
7.如权利要求1所述的卫星终端入网鉴权装置,其特征在于,所述加密芯片与所述卫星终端采用icc通信协议进行通信。
8.如权利要求1~7任一所述的卫星终端入网鉴权装置,其特征在于,所述加密芯片为ATSHA204A加密芯片。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210267333.5A CN114827998B (zh) | 2022-03-17 | 2022-03-17 | 一种基于加密芯片的卫星终端入网鉴权装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210267333.5A CN114827998B (zh) | 2022-03-17 | 2022-03-17 | 一种基于加密芯片的卫星终端入网鉴权装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114827998A CN114827998A (zh) | 2022-07-29 |
| CN114827998B true CN114827998B (zh) | 2023-11-17 |
Family
ID=82528079
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210267333.5A Active CN114827998B (zh) | 2022-03-17 | 2022-03-17 | 一种基于加密芯片的卫星终端入网鉴权装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114827998B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116193423A (zh) * | 2023-03-29 | 2023-05-30 | 芯安微众(上海)微电子技术有限公司 | 一种eSIM实现卫星卡的方案 |
| CN116886404A (zh) * | 2023-08-04 | 2023-10-13 | 中国电子信息产业集团有限公司第六研究所 | 一种卫星互联网密钥管理系统及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108008420A (zh) * | 2017-11-30 | 2018-05-08 | 北京卫星信息工程研究所 | 基于北斗短报文的北斗导航电文认证方法 |
| CN110971415A (zh) * | 2019-12-13 | 2020-04-07 | 重庆邮电大学 | 一种天地一体化空间信息网络匿名接入认证方法及系统 |
| CN111431586A (zh) * | 2020-04-17 | 2020-07-17 | 中国电子科技集团公司第三十八研究所 | 一种卫星网络安全通信方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111885602B (zh) * | 2020-07-27 | 2021-04-27 | 西南交通大学 | 一种面向异构网络的批量切换认证及密钥协商方法 |
-
2022
- 2022-03-17 CN CN202210267333.5A patent/CN114827998B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108008420A (zh) * | 2017-11-30 | 2018-05-08 | 北京卫星信息工程研究所 | 基于北斗短报文的北斗导航电文认证方法 |
| CN110971415A (zh) * | 2019-12-13 | 2020-04-07 | 重庆邮电大学 | 一种天地一体化空间信息网络匿名接入认证方法及系统 |
| CN111431586A (zh) * | 2020-04-17 | 2020-07-17 | 中国电子科技集团公司第三十八研究所 | 一种卫星网络安全通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114827998A (zh) | 2022-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9003516B2 (en) | System and method for encrypted smart card pin entry | |
| CN101583124B (zh) | 一种用户识别模块与终端进行认证的方法和系统 | |
| US8386794B2 (en) | Apparatus and method for protecting RFID data | |
| US8526606B2 (en) | On-demand secure key generation in a vehicle-to-vehicle communication network | |
| US7362869B2 (en) | Method of distributing a public key | |
| US20110113241A1 (en) | Ic card, ic card system, and method thereof | |
| US20030236983A1 (en) | Secure data transfer in mobile terminals and methods therefor | |
| US7000117B2 (en) | Method and device for authenticating locally-stored program code | |
| EP1801721A1 (en) | Computer implemented method for securely acquiring a binding key for a token device and a secured memory device and system for securely binding a token device and a secured memory device | |
| CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
| CA2417770A1 (en) | Trusted authentication digital signature (tads) system | |
| CN102215221A (zh) | 从移动设备对计算机的安全远程唤醒、引导及登录的方法和系统 | |
| US11546163B2 (en) | System for performing service by using biometric information, and control method therefor | |
| CN114827998B (zh) | 一种基于加密芯片的卫星终端入网鉴权装置 | |
| CN111583482A (zh) | 一种基于二维码的门禁控制系统及其控制方法 | |
| CN109302442B (zh) | 一种数据存储证明方法及相关设备 | |
| CN115396121A (zh) | 安全芯片ota数据包的安全认证方法及安全芯片装置 | |
| CN102255727B (zh) | 改进的基于用户自定义算法环境的防攻击智能卡认证方法 | |
| US9143323B2 (en) | Securing a link between two devices | |
| TWI688898B (zh) | 多因子動態快速反應碼認證系統及方法 | |
| KR20150005788A (ko) | 사용자 키 값을 이용한 사용자 인증 방법 | |
| CN1848725B (zh) | 保护第一设备和第二设备之间通信链接的方法和相应设备 | |
| WO1999046881A1 (en) | Transaction card security system | |
| EP1001641A2 (en) | Secure method for generating cryptographic function outputs | |
| CN105184116A (zh) | 智能设备软件加密及本人认证装置及其方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |