[发明专利]一种卫星通信网中的实体认证权限管理系统及方法

说明书

本发明一种卫星通信网中实体认证权限管理系统及方法，属于卫星通信中的权限管理及实体认证技术领域。包括实体认证与权限管理系统和分级跨域的动态权限属性协同映射方法。实体认证与权限管理系统，包括网络节点身份认证模块、用户终端身份认证模块和权限管理模块；网络节点身份认证模块由主认证中心；用户终端身份认证模块由各个域认证中心完成；权限管理模块在主认证中心和域认证中心分别存储网络节点和用户终端的角色、权限映射表，通过多表联合查询的方式得到节点或用户的权限；本发明可实现大规模实体身份认证和权限管理；利用实体身份认证方案和分级跨域的动态权限属性协同映射方法，保障了卫星通信网中用户终端的跨域访问和安全漫游。

技术领域

本发明涉及一种卫星通信网中的实体认证权限管理系统及方法，尤其涉及一种新的实体认证权限管理系统，采用两级管理的方式来实现接入访问实体的身份认证，采用分级跨域的属性协同映射的方式实现实体权限管理，属于卫星通信中的权限管理及实体认证技术领域。

背景技术

随着卫星技术和无线通信技术的不断进步和应用，以及国家安全、航空航天、灾害预警等需求的日益紧迫，卫星通信网络作为重要的对应技术之一迅速发展。卫星通信网络由多个骨干节点，如低轨卫星关口站、中轨卫星关口站、高轨卫星关口站、网络服务中心、低轨卫星、中轨卫星、高轨卫星、域认证中心及多种用户终端组成，重点实现按需服务能力。有别于传统网络，卫星通信网实现全球通信，通信信道具有开放性的特点，信号发送地附近的所有用户在拥有一定设备的情况下都可以接收到信息，这就使得接入实体更易遭受实体假冒、非授权访问、信息窃取、跨网攻击等。因此，卫星通信网络需要支持低轨卫星关口站、中轨卫星关口站、高轨卫星关口站、网络服务中心、高轨卫星、低轨卫星为主的骨干节点和多种用户终端的统一身份权限管理。

传统的权限管理模式主要有自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC)。自主访问控制根据访问者的身份和授权来决定访问方式，访问主体对访问控制有决定权，这种权力在信息移动的过程中很容易产生安全漏洞。强制访问控制是系统将主体和客体分级，根据级别来决定访问模式，过于偏重机密性，不利于管理。基于角色的访问控制是对前二者的改进，基于用户在系统中的作用规定其访问权限，解决了管理难的问题，但是无法解决用户终端跨域访问的问题。

而且各骨干节点与用户终端所具有的功能与管理模式完全不同，进行统一管理的技术难度很大。且如采用传统的用户管理方式，动辄需要存储十亿甚至百亿的数据，对用户信息进行一次比对时间开销巨大，必然会对用户的认证带来长时间的延迟。

综上所述，现有的权限管理方案无法满足卫星通信网中的权限管理需求。

发明内容

本发明的目的在于针对亿级用户和多样化网络实体的身份标识管理的技术难题以及为了解决终端信息存储数据量大、查询时延长的技术缺陷，提出了一种卫星通信网中的实体认证权限管理系统及方法，对骨干节点和用户终端进行区分化管理，具体采用一个主认证中心负责各网络节点的管理，在各域分别建设域认证中心对所属用户终端进行管理的模式。

本发明一种卫星通信网中实体认证权限管理系统及方法，包括实体认证与权限管理系统和分级跨域的动态权限属性协同映射方法。

实体认证与权限管理系统主要包括网络节点密钥分发、主认证中心与网络节点互认证协议、网络节点失效协议、网络节点密钥更新协议、网络节点身份信息存储；用户终端密钥分配、域认证中心与用户终端互认证协议、用户终端密钥更新协议、用户终端身份信息存储和权限管理模块。

其中，网络节点密钥分发、主认证中心与网络节点互认证协议、网络节点失效协议、网络节点密钥更新协议、网络节点身份信息存储共同组成网络节点身份认证模块，完成卫星通信网中低轨卫星关口站、中轨卫星关口站、高轨卫星关口站、网络服务中心、高轨卫星、低轨卫星为主的骨干节点的身份认证。