[发明专利]一种卫星通信网中的实体认证权限管理系统及方法

摘要

本发明一种卫星通信网中实体认证权限管理系统及方法，属于卫星通信中的权限管理及实体认证技术领域。包括实体认证与权限管理系统和分级跨域的动态权限属性协同映射方法。实体认证与权限管理系统，包括网络节点身份认证模块、用户终端身份认证模块和权限管理模块；网络节点身份认证模块由主认证中心；用户终端身份认证模块由各个域认证中心完成；权限管理模块在主认证中心和域认证中心分别存储网络节点和用户终端的角色、权限映射表，通过多表联合查询的方式得到节点或用户的权限；本发明可实现大规模实体身份认证和权限管理；利用实体身份认证方案和分级跨域的动态权限属性协同映射方法，保障了卫星通信网中用户终端的跨域访问和安全漫游。

主权项

1.实体认证与权限管理系统，其特征在于：主要包括网络节点密钥分发、主认证中心与网络节点互认证协议、网络节点失效协议、网络节点密钥更新协议、网络节点身份信息存储；用户终端密钥分配、域认证中心与用户终端互认证协议、用户终端密钥更新协议、用户终端身份信息存储和权限管理模块；其中，网络节点密钥分发、主认证中心与网络节点互认证协议、网络节点失效协议、网络节点密钥更新协议、网络节点身份信息存储共同组成网络节点身份认证模块，完成卫星通信网中低轨卫星关口站、中轨卫星关口站、高轨卫星关口站、网络服务中心、高轨卫星、低轨卫星为主的网络节点的身份认证；网络节点密钥分发完成网络节点的ID和密钥的产生，并在各个网络节点投入使用之前预置；主认证中心与网络节点互认证协议完成网络节点投入使用之后主认证中心与网络节点之间的认证，在完成过程中需检索主认证中心的网络节点身份信息表；网络节点失效协议完成网络节点在更新失效状态后向主认证中心返还状态信息；网络节点密钥更新协议首先完成主认证中心与网络节点互认证协议，然后再向网络节点分发新的密钥，从而完成定期、不定期对网络节点的密钥更新；各个网络节点的ID、密钥、MAC地址、节点状态、节点类型信息存储在主认证中心的网络节点身份信息表里；用户终端密钥分发、域认证中心与用户终端互认证协议、用户终端密钥更新协议、用户终端身份信息存储共同组成用户终端身份认证模块，完成低轨星座手持、车载终端、高速航天器终端、高轨卫星军用手持终端、高轨卫星民用车载终端为主的用户终端的身份认证；其中，用户终端密钥分发完成用户终端的ID和密钥的产生，普通用户终端通过网络完成注册，军用手持终端、飞行器等设备在投入使用之前预置密钥；域认证中心与用户终端互认证协议完成域认证中心与用户终端之间的相互认证，在完成过程中需要检索域认证中心的用户终端身份信息表；用户终端密钥更新协议首先使用域认证中心与用户终端互认证协议，然后再向用户终端分发新的密钥，完成定期、不定期对用户终端的密钥更新；各个用户终端的ID、密钥、所属域、终端类型、终端状态等信息存储在各自所属域的域认证中心的用户终端身份信息表里，每个域认证中心存储200万用户，分为100张表，每张表存储2万用户，并将用户ID与表名之间建立映射关系，方便查询，增大并发量；并借鉴了eID思想对用户进行管理，实现了信息隐藏；其中，低轨卫星关口站、中轨卫星关口站、高轨卫星关口站、网络服务中心、低轨卫星、中轨卫星、高轨卫星、用户终端以及其他需要访问网络资源的实体，统一称为访问请求实体；其中，各个域可分为注册域和访问域；其中，注册域为用户注册时所在的域；注册域认证中心是指用户注册时所在的域对应的域认证中心；访问域为用户想要访问的域；访问域认证中心是指用户想要访问的域对应的域认证中心；权限管理模块在主认证中心和域认证中心分别存储网络节点和用户终端的角色、权限映射表，通过多表联合查询的方式得到节点或用户的权限；实体认证与权限管理系统中各模块的功能如下：网络节点身份认证模块负责网络节点的身份信息管理；用户终端身份认证模块负责用户终端的身份信息管理；权限管理模块负责网络节点、用户终端的角色-权限管理；实体认证与权限管理系统中各模块之间的关系如下：当网络节点或用户终端请求访问某网络资源时，首先通过网络节点身份认证模块或用户终端身份认证模块验证实体身份，再将其ID或角色传入权限管理模块得到实体的权限；根据实体的权限判断是否允许其对该网络资源的访问。