關於使用者認證協定,Hwang et al.[13]提出一個專為衛星環境設計的架構。
此系統元件有衛星、使用者、閘道和網路控制中心(Network Control Center),如 下圖所示:
圖 13 Hwang et al. 衛星通訊架構
Mobile User 完成註冊之後即可直接和衛星進行通訊不需再經過 Gateway 的 轉送。Gateway 的主要功能在於服務地面有線的使用者,由於有線的使用者無法 直接和衛星連線,因此需藉由 Gateway 的協助將資料送出。此外,還連結當地的 電信業者,創造出更多元化的服務。地面控制站(以下簡稱 NCC),所擔任的工作 是負責使用者的認證、註冊服務和衛星的監控。
在此協定中,分成為兩個階段:行動使用者註冊和使用者認證階段,並且在 每次的通訊之中都將會自動產生一把新的 session-key 已供加密之用。
一、註冊階段
在使用衛星通訊系統服務之前,使用者必需先和向 Gateway 註冊一個帳號,
如圖 14 所示,使用者將可得到一個永久的 UID,一個暫時的 TID,NCC 和 user 之間所共同持有的 secret key Kmd,接著 gateway 將(UID,TID, Kmd)和使用者所 屬衛星的 ID 一同傳到送 NCC,以做為日後認證之用,茲將符號說明如下表:
圖 14 註冊階段程序
表 6 Hwangs’Scheme 符號說明 符號 說明
UID 使用者永久不變的 ID TID 使用者在系統中暫時的 ID
Kmd 由使用者和 NCC 所共用持有的 secret key IDS 衛星的識別碼
二、認證階段
當使用者想和其他使用者進行通訊之前需先經過系統的認證,一個使用者的 認證協定如圖 15 下所示:
圖 15 認證階段程序 詳細資料流程說明如下:
(1) 由衛星送出認證請求到使用者,要求提供認證所需的相關資料。
(2) 當使用者收到認證請求後,使用者送出 TID,並以 shared key Kmd將(UID,
TID)加密送出。
(3) 衛星收到由使用者所送出之認證資料後,隨即將 IDS附加於資料後,送 到 NCC。
(4) NCC 收到之後,先由使用者 TID得到共用的私密金匙,將使用者所加密 的資料解密,得到 TID,並和未加密的 TID比對,若相同則代表使用者 通過認證。NCC 產生一把新的 K'md和一個新的 T'ID,再以舊的私密金 匙加密(TID,T'ID,K'md),將資料送回。
(5) 衛星收到 NCC 所傳送的資料,將資料內衛星的 ID 去除,再回傳到使用 者。
使用者利用舊 Kmd將 NCC 所傳送過來的資料解密,核對其中的 TID,若 和原來的相同則使用者對 NCC 的認證成功,並更新 Kmd和新的 TID。
探討過前幾節現行的的認證系統之後,將其特性整理如下。
表 7 各項認證協定比較表
GSM IS-95 UMTS Hwang et al.
Scheme
密碼系統 對稱式 對稱式 對稱式 對稱式
訊息私密性 是 是 是 是
使用者認證 是 是 是 是
系統端認證 否 是 否 是
安全性 低 高 中 中
運算負擔 低 中 高 低
適用於衛星 否 否 否 是