[发明专利]一种卫星通信网中的实体认证权限管理系统及方法

权利要求书

1.实体认证与权限管理系统，其特征在于：主要包括网络节点身份认证模块,用户终端身份认证模块和权限管理模块；

其中，网络节点密钥分发、主认证中心与网络节点互认证协议、网络节点失效协议、网络节点密钥更新协议、网络节点身份信息存储共同组成网络节点身份认证模块，完成卫星通信网中低轨卫星关口站、中轨卫星关口站、高轨卫星关口站、网络服务中心、高轨卫星、低轨卫星为主的网络节点的身份认证；

网络节点密钥分发完成网络节点的ID和密钥的产生，并在各个网络节点投入使用之前预置；主认证中心与网络节点互认证协议完成网络节点投入使用之后主认证中心与网络节点之间的认证，在完成过程中需检索主认证中心的网络节点身份信息表；网络节点失效协议完成网络节点在更新失效状态后向主认证中心返还状态信息；网络节点密钥更新协议首先完成主认证中心与网络节点互认证协议，然后再向网络节点分发新的密钥，从而完成定期、不定期对网络节点的密钥更新；各个网络节点的ID、密钥、MAC地址、节点状态、节点类型信息存储在主认证中心的网络节点身份信息表里；

用户终端密钥分发、域认证中心与用户终端互认证协议、用户终端密钥更新协议、用户终端身份信息存储共同组成用户终端身份认证模块，完成低轨星座手持、车载终端、高速航天器终端、高轨卫星军用手持终端、高轨卫星民用车载终端为主的用户终端的身份认证；

其中，用户终端密钥分发完成用户终端的ID和密钥的产生，普通用户终端通过网络完成注册，军用手持终端、飞行器在投入使用之前预置密钥；域认证中心与用户终端互认证协议完成域认证中心与用户终端之间的相互认证，在完成过程中需要检索域认证中心的用户终端身份信息表；用户终端密钥更新协议首先使用域认证中心与用户终端互认证协议，然后再向用户终端分发新的密钥，完成定期、不定期对用户终端的密钥更新；各个用户终端的ID、密钥、所属域、终端类型、终端状态信息存储在各自所属域的域认证中心的用户终端身份信息表里，每个域认证中心存储200万用户，分为100张表，每张表存储2万用户，并将用户ID与表名之间建立映射关系，方便查询，增大并发量；并借助公民网络电子身份标识对用户进行管理，实现了信息隐藏；

其中，低轨卫星关口站、中轨卫星关口站、高轨卫星关口站、网络服务中心、低轨卫星、中轨卫星、高轨卫星、用户终端以及其他需要访问网络资源的实体，统一称为访问请求实体；

其中，各个域可分为注册域和访问域；其中，注册域为用户注册时所在的域；注册域认证中心是指用户注册时所在的域对应的域认证中心；访问域为用户想要访问的域；访问域认证中心是指用户想要访问的域对应的域认证中心；

权限管理模块在主认证中心和域认证中心分别存储网络节点和用户终端的角色、权限映射表，通过多表联合查询的方式得到节点或用户的权限；

实体认证与权限管理系统中各模块的功能如下：

网络节点身份认证模块负责网络节点的身份信息管理；用户终端身份认证模块负责用户终端的身份信息管理；权限管理模块负责网络节点、用户终端的角色-权限管理；

实体认证与权限管理系统中各模块之间的关系如下：

当网络节点或用户终端请求访问某网络资源时，首先通过网络节点身份认证模块或用户终端身份认证模块验证实体身份，再将其ID或角色传入权限管理模块得到实体的权限；根据实体的权限判断是否允许其对该网络资源的访问。

2.分级跨域的动态权限属性协同映射方法，其特征在于：通过以下步骤实现：

步骤1：当注册域LA的访问请求实体 q 通过网络向系统提出对另一个域LB的资源o 的访问请求；

步骤2：注册域LA得到访问请求并对实体q进行认证，确定实体q的角色r；

步骤3：注册域LA根据角色r确定实体在注册域的权限LAP；

步骤4：注册域认证中心将LAP发送到访问域认证中心；

步骤5：访问域认证中心根据权限映射表对权限进行动态映射，确定LA的实体在LB所具有的权限LBP，取两个权限的交集，即P=LAP×LBP；

步骤6:访问域认证中心将P封装后返还注册域认证中心，完成动态权限属性协同映射；

至此，经过步骤1到步骤6，完成了分级跨域的动态权限属性协同映射方法。