本發(fā)明公開了一種空間信息網(wǎng)絡(luò)中域間信任建立及多級安全關(guān)聯(lián)方法，主要解決現(xiàn)有技術(shù)無法獨(dú)立提供域間動態(tài)信任管理和支持多域多安全級的服務(wù)協(xié)同的問題。其技術(shù)方案是：動態(tài)計(jì)算不同安全域之間總體信任值和不同安全域內(nèi)交互節(jié)點(diǎn)間的信任值；跨域交互節(jié)點(diǎn)根據(jù)信任值的變化動態(tài)建立不同等級的安全關(guān)聯(lián)，并根據(jù)安全關(guān)聯(lián)等級的變化動態(tài)提供不同安全等級的服務(wù)。本發(fā)明具有動態(tài)性和提供多域的多級安全關(guān)聯(lián)服務(wù)的特點(diǎn)，能夠滿足空間信息網(wǎng)絡(luò)環(huán)境多安全域間動態(tài)信任管理和不同信任等級、不同應(yīng)用場景下不同的安全需求，可用于空間信息網(wǎng)絡(luò)中動態(tài)信任管理和多域安全協(xié)同操作。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及域間信任建立及多域訪問控制技術(shù)，可用于空間信息網(wǎng)絡(luò)中動態(tài)信任管理和多域安全協(xié)同操作。

背景技術(shù)

隨著航天技術(shù)的飛速發(fā)展，我國的空間信息網(wǎng)也在不斷地建設(shè)和完善?？臻g信息網(wǎng)是由具有空間通信能力的航天器，如衛(wèi)星、航天飛機(jī)等和地面站組成的網(wǎng)絡(luò)信息系統(tǒng)，它能夠?qū)崿F(xiàn)地面站與衛(wèi)星、空間站之間的互聯(lián)互通功能。它能把部署在不同軌道的、執(zhí)行不同任務(wù)的各類衛(wèi)星、飛行器等空間站和地面系統(tǒng)聯(lián)系起來。同時(shí)，航空器，如飛機(jī)、熱氣球等也能夠接入空間信息網(wǎng)?？臻g信息作為國家重要的空間信息基礎(chǔ)設(shè)施，對于提高我國的國際地位，促進(jìn)經(jīng)濟(jì)社會的發(fā)展，保障國家安全等許多方面，具有十分重大特殊的戰(zhàn)略意義。

未來空間信息網(wǎng)將會遇到終端面向的環(huán)境不同、安全需求不同、安全機(jī)制不同等方面問題，因此，空間信息網(wǎng)將涉及到多個(gè)安全域。安全域是由在同一工作環(huán)境中、具有相同或相似的安全保護(hù)需求和保護(hù)策略、相互信任、相互關(guān)聯(lián)或相互作用的實(shí)體組成的網(wǎng)絡(luò)。對于每一個(gè)安全域而言，至少存在一個(gè)代理結(jié)點(diǎn)用來實(shí)現(xiàn)代理結(jié)點(diǎn)與域內(nèi)結(jié)點(diǎn)的安全關(guān)聯(lián)以及域內(nèi)結(jié)點(diǎn)間的安全關(guān)聯(lián)。同時(shí)，代理結(jié)點(diǎn)也為安全域間或跨域結(jié)點(diǎn)間的安全提供支持。

由于空間信息網(wǎng)中空、天結(jié)點(diǎn)的暴露性及無線的通信方式，使通信信號易受到截獲、干擾、侵入等安全威脅，空、天結(jié)點(diǎn)甚至?xí)艿焦艉痛輾?，使得空間信息網(wǎng)絡(luò)面臨極大的安全威脅，空間信息網(wǎng)絡(luò)無法實(shí)現(xiàn)多個(gè)安全域間的協(xié)同操作。所面臨的挑戰(zhàn)具體如下：

(1)由于空間信息網(wǎng)絡(luò)具有高度的動態(tài)性，因此，如何在多個(gè)安全域之間建立實(shí)時(shí)的信任關(guān)系，實(shí)現(xiàn)有效的動態(tài)信任管理，是多域安全協(xié)同操作的基礎(chǔ)。

(2)由于不同域之間使用的安全機(jī)制存在一定的差異性，在不同信任等級下也有不同的安全需求，因此，如何在異構(gòu)環(huán)境下構(gòu)造可擴(kuò)展的接入認(rèn)證機(jī)制，實(shí)現(xiàn)自適應(yīng)的域間安全關(guān)聯(lián)，是多域安全協(xié)同操作的關(guān)鍵。

(3)由于未來空間信息網(wǎng)絡(luò)在不同信任等級、不同應(yīng)用場景下會有不同需求，空間信息網(wǎng)絡(luò)所涉及的服務(wù)也將呈現(xiàn)復(fù)雜性、多樣性等特點(diǎn)。因此，如何將服務(wù)劃為多個(gè)安全級別，實(shí)現(xiàn)面向多域的多安全級的服務(wù)協(xié)同，是多域安全協(xié)同操作的保障。

對于域間信任建立及安全關(guān)聯(lián)，《計(jì)算機(jī)研究與發(fā)展》2008年45卷6期《結(jié)合信任機(jī)制的移動IPv6網(wǎng)絡(luò)快速跨域認(rèn)證方法》一文提出了一種結(jié)合信任機(jī)制的MIPv6網(wǎng)絡(luò)快速跨域認(rèn)證方法，其中在預(yù)切換階段考慮移動用戶家鄉(xiāng)域和接入域之間的信任關(guān)系，通過移動用戶和接入網(wǎng)絡(luò)的一次交互實(shí)現(xiàn)用戶和接入域的有效雙向認(rèn)證，并設(shè)計(jì)了域間信任關(guān)系的動態(tài)維護(hù)機(jī)制。這種方法的信任關(guān)系只用于接入認(rèn)證，并不允許多級安全關(guān)聯(lián)，在空間信息網(wǎng)絡(luò)中不同用戶間交互行為對于安全服務(wù)等級的需求是不同的。

2007年CASCON會議論文集中《A Trust Based Approach for Protecting UserData in Social Networks》一文中提出了一種多安全等級的社交數(shù)據(jù)訪問控制策略，訪問者的信任值由其他用戶確定，數(shù)據(jù)擁有者可以根據(jù)自己的信任值確定所擁有數(shù)據(jù)實(shí)體的信任值，訪問者根據(jù)自身信任值可以訪問對應(yīng)信任值或者低于信任值的數(shù)據(jù)實(shí)體。這種方法只限于用戶對數(shù)據(jù)實(shí)體訪問控制并沒有涉及用戶之間的交互，并且沒有涉及跨域的問題，在空間信息網(wǎng)絡(luò)中網(wǎng)絡(luò)是由多個(gè)安全域組成的，這種策略并不能實(shí)現(xiàn)多域的多安全級的服務(wù)協(xié)同。