一种移动通信系统密钥管理机制和端到端加密协议设计方案

一种移动通信系统密钥管理机制和端到端加密协议设计方案邵琳，李晖北京邮电大学信息工程学院信息安全中心，北京(100876)E-mail：monkshao@gmail.com摘要：移动通信系统为了提高安全性，必须支持端到端加密功能。但是，目前GSM系统的话音传输过程由于经过了压缩语音编解码，不能将加密语音无损的传输到另一终端，因此在语音信道上实现端到端加密的困难性很大。这里我们采用数据信道来传递加密语音通话的信息。本文主要进行公众移动通信系统的端到端加密系统密钥管理机制和加密协议设计，提出了一种交互流程简单参与方较少的协议，并对协议的安全性进行分析。关键字：端到端加密会话初始化协议密钥管理中心注册数据服务器中图分类号：TP3091引言由于移动公网用户通信的信号经由空中、基站、中继线路和交换设备等众多在安全上难以控制的环节，因此采用端到端加密方案是保证通话安全最为可靠的方法。要实现端到端的保密通信，公网必须在两个用户之间提供一条透明同时又是低时延（就语音通信而言）的信道。然而，目前的移动公网并不能为用户提供低时延的信道用于端到端加密。这是因为，话音加密后成为白噪声，不再具有话音的特征，因此，通过声码板后是无法正确还原的[1]。由于第二代移动通信系统移动终端作为受限设备仍然具有有限的能力，无法承担较重的计算任务，而且无线信道的带宽限制也使得消息的发送量受到限制。因此在这样的环境下设计的安全认证协议主要是基于对称加密体制的。有可信第三方参与的对称密钥认证协议多数存在安全问题，如NeedhamSchroeder私钥协议[2]。当移动用户通过通信网络安全地建立起呼叫时，其中最关键的问题是如何设计一个认证和密钥管理协议集成到呼叫建立过程中。认证过程作为安全通信的开始，在保密通信系统中有着重要的地位和作用。认证协议安全性能的好坏将直接影响到整个会话过程的安全性，以及后续会话的安全性。互认证和密钥分发协议是具有端到端加密功能的移动通信系统的关键技术。鉴于移动终端的特点，对这类协议的要求是：轻量级（交互过程和计算复杂性）和比较好的安全特性。到目前为止国内外对这种协议的研究比较少或者没有公开，影响比较大的是Chang-SeopPark提出的方案[3]但该方案的不足之处是交互过程复杂和参与方较多。现有的密钥协商/交换协议大多是针对用户和服务器之间的应用环境，服务端的计算量较大。这里我们设计了基于voip技术的方案，并设计了基于对称密钥体制的端到端认证和密-1-钥分发协议。由于移动公网可以为用户提供IP数据业务，因此可以利用Voip技术来为移动用户提供一条透明的业务信道，实现保密话音通信。这种方案的最大好处是无需对公网进行修改，只需在原IP网上叠加VoIP的相关设备，并研制专用的VoIP加密移动台即可实现加密功能，投资少见效快。2承载端到端加密的通信平台GPRS可向用户提供从9.6Kbps到多于150Kbps的接入速率；支持多用户共享一个信道的机制，提高了无线信道的利用率，在技术上提供了按数据量计费的可能;支持一个用户占用多个信道,提供较高的接入速率，是移动网和IP网的结合，可提供固定IP网支持的所有业务[4]。CSD(CircuitSwitchData)是GSM网络中有专门用于传输数据服务的数据通道，要对数据进行加密、解密是很容易实现的。我们设计的端到端加密系统是采用GPRS信道进行加密数据信息的传输，并采用方便以时间计费的CSD信道进行话音数据的传输。3端到端安全协议设计准则如果在协议设计阶段能够充分考虑一些不当的协议结构可能使协议的安全性遭到破坏从而避免不必要的协议错误。MartinAbadi和RogerNeedham提出了设计协议应遵守的原则[5]，归纳起来有如下方面：消息独立完整性原则、消息前提准确原则、主体身份标识原则、加密目的原则、签名原则（当主体对一个加密消息进行签名时，并不表面主体知道加密消息的内容；反之，如果主体对一个消息签名后再加密，则表明主体知道消息的内容。因此，如果需要同时使用加密与签名时，应当先对消息进行签名在对结果进行加密）、随机数的使用原则（在协议中使用随机数时，应明确其所起的作用和属性，使用随机数可提供消息的新鲜性，因此随机数的真正随机性是关键）、时戳的使用原则（当使用时戳时，必须考虑各个机器的始终与当地标准时间的差异，这种差异不能影响到协议执行的有效性。时间系统的维护成为可信任计算基础的重要部分。时戳的使用极大地依赖于时钟的同步，但这一点不容易做到）、编码原则（如果一个编码用于表示消息的含义，那么它应当指出所使用的具体的编码格式）。这里所讨论的认证协议，不但具有一般认证协议设计时需要注意的问题，而且必须考虑到无线移动环境下的特点。在这里关注的移动通信系统对认证协议的影响因素主要是：1移动终端有限的计算存储资源和能源储备能力；2无线网络传输能力和传输质量远比不上有线网；3无线网络在物理访问特性上的开放性使得无线网比有线网有更高的安全脆弱性。上述特征使得认证协议在无线移动环境下的设计更为困难。协议设计不像在有线网络环-2-境下有比较多的自由度。因此它要求安全协议的设计以“够用”为准则，在安全性能与系统可用性之间找到合适的结合点。4端到端加密系统设计思想我们借用了SIP协议的思想，克服了SIP协议中的安全问题[6]，并加以简化，设计了一种新的能够进行密钥分发和呼叫控制的加密通话协议。为了尽量模仿无线环境以得到准确的分析结果，在设计系统时充分考虑了移动通信系统的限制和具体交互过程。SIP利用消息头和消息体为多媒体会话提供点到点或端到端的安全机制，但是SIP请求和响应不能在端到端的用户之间完全加密[7]。由于GPRS网络中具有转发服务器与重定向服务器所具有的功能，所以这里我们只保留了SIP服务器中的注册服务器，并将注册服务器和密钥管理中心关联在一起。这样一方面，能够实现了传输过程的端到端加密，另一方面能够控制协议的复杂度并缩短密钥分发的准备时间。为了尽量模拟移动通信环境中用户可以与任一其他用户主动通信的需求，同时考虑系统的通用性简易性和扩展性，我们在设计中将系统的加密层面和通话层面分开。手机终端尽可能不包含加密通信所需要的参数和信息，它基本只在通话层面工作。加密SIM保存有加密通信所需要的参数和信息，它和注册数据服务器、密钥管理中心构成了加密层面。由于密钥管理中心和注册服务器处于核心网络中，我们认为注册数据服务器和密钥管理中心之间的网路相对安全的，也就是说，注册服务器始终认为密钥管理中心是可靠的，对于从密钥管理中心下发的消息是信任的。GSM端到端语音加密系统的加密网络包括密钥管理中心和注册数据服务器两部分。密钥管理中心（KeyManagementCenter,KMC）和注册数据服务器（RegisterDataServer）通过网络中的GGSN接入核心网络，实现密钥管理的功能；在移动终端EMT中添加加密卡（ESIM），实现在移动终端中的语音加密功能。4.1端到端加密系统的工作方式在密钥的管理中，带有保密功能的GSM保密手机在每次开机的时候都会向指定的密钥管理中心KMC(KeyManagementCenter)发送带有自身身份认证的短消息，在KMC确认了它的合法性和真实性后，会向保密终端发送密钥。保密手机收到密钥后才能打开保密功能。在每次发起保密呼叫的时候，保密机都要向密钥管理中心申请新的密钥，并由KMC将密钥传送给被叫端，双方根据密钥完成此次保密通话的加密和解密。这样每次通信的密钥都不一样，即使密钥一次被破译，下一次通话也无法使用。保密手机每隔一定的时间都要通过短信重新验证，如果保密手机不慎丢失，KMC可以通过短消息发送遥毙命令进行。-3-密钥管理机制层次密钥体制的好处是当主密钥注入系统后，传输密钥的内容是变化的，从而构成了一个动态的密钥系统，提供了系统的安全性。密钥管理中心提供密钥的产生、分发、更新、存储的管理功能，并提供对用户的认证服务。整个密钥管理体系包括手机终端、加密SIM卡、注册数据服务器和密钥管理中心。三层密钥管理，第一层：主密钥（RK）；第二层：密钥加密密钥（KEK）第三层：会话密钥、信令保护密钥（TEK/挑战随机数CN）。KMCRDSESIMRKxRKjRKiKEKiKEKjKEKxTEKiTEKiCNiMEKMCnRKnKEKnx=i,j,nCNi图4-1E2EE密钥分布密钥管理中心与其他密钥管理中心、密钥管理中心与用户、密钥管理中心与注册数据服务器间分别共享主密钥。密钥管理中心使用主密钥为实体间分发加密密钥，主密钥保护更新密钥加密密钥、信令保护密钥；密钥加密密钥保护分发会话密钥；信令保护密钥（挑战随机数）保护信令消息；会话密钥保护通信的语音。KMC中的所有密钥由加密机随机产生。5协议消息的设计加密终端与注册数据服务器之间传递的所有消息分为两类，分别为请求与响应消息。请求消息是指参与通信流程的某一实体（可能包括主叫与被叫方移动台，注册数据服务器或密钥管理中心等）主动发起的，对另外一个实体提出要求并希望其处理的一类消息。响应消息是指接收到请求消息的实体对该请求消息进行分析和处理之后，回复给请求消息发送方并通知对方处理结果的一类消息。在加密服务中需要注册数据服务器与加密终端共同完成的功能包括：加密终端的注册/注销，加密终端向注册数据服务器发起通话请求并同时申请会话密钥，以及其它的密钥管理消息等。于是，应用在本协议中的请求消息包括如下的几种：注册及申请CN消息、注销消息，以及密钥管理消息，共三种。-4-响应消息是请求消息的响应，其消息首部与它要响应的请求消息应保持一致（除了消息体长度字段之外），但是为了标识请求消息处理的结果，所有响应消息应该在消息首部前面增加状态码字段。响应消息由状态码来表示临时响应和最终响应，通信的一端收到临时响应，表明这是临时状态的改变，还会有其它响应出现，而如果收到最终响应，则说明本次通信计划完成的功能已经完成，不会有其它响应。5.1协议消息结构的设计为了保证端到端加密过程中加密终端和注册数据服务器之间的通信能够顺利进行，不但要考虑所有消息都需要具备的一些信息字段，还需要考虑不同的消息可能会含有各自不同的内容，而且为了保证消息的完整性和真实性，在消息中还应该包括完整性的检验等相关内容，所以在消息体之后应该插入用于MAC校验的字段，这一校验的过程中会使用到注册过程中分发的挑战随机数CN。基于上述考虑，每一条消息都可以分为三个部分：1．消息首部请求消息中包括消息类型，消息体长度，消息序列号，消息发送方ID以及消息接收方ID。响应消息除包含以上元素外还包含状态码。2．消息体不是所有的消息都用消息体，只有和SIM卡相关的交互消息有消息体。注册请求消息，包含注册消息子类型（用于区别是申请CN的消息，还是更新注册时间的消息）、消息应用的网络类型标识（用于区别目前所处的网络类型是CSD网络、EDGE网络、GPRS网络还是3G网络）、注册的有效时间（用于标识本次注册流程的有效时间范围）和传输至KMC的消息体及其长度标识；注册响应消息，注册消息子类型和包含用于信令保护的挑战随机数（CN）及其长度标识；密钥管理消息，包含密钥管理消息子类型和一个传输至KMC的消息体及其长度标识；密钥管理的响应消息，包含密钥管理消息子类型和KMC回复的密钥管理消息体机器长度标识。3．消息末端消息末端提供对消息的完整性校验和保护，在整个消息的设计中起着至关重要的作用，消息末端包括一个由CN生成的MAC校验码。在开机后注册的情况下，由于加密终端还没有得到CN，此时可以使用全0作为CN的取值，一旦加密终端获得了CN，则必须使用CN来生成MAC校验码。5.2协议流程对应的消息5.2.1注册流程消息终端要想使用端到端加密的业务，必须首先向注册数据服务器进行注册，这一注册过程可以在终端开机的时候立即进行，也可以在用户开启端到端加密服务时进行。