（信号与信息处理专业论文）wimax无线城域网身份认证设计与实现.pdf

南京邮电大学 硕士学位论文摘要 学科、专业：工学信号与信息处理 研究方向： 现代通信中的信号与信息处理技术 作者：2 0 0 3 级研究生吉晓东指导教师蜚塞撞 题目：w i m a x 元线城域网身份认证设计与实现 英文题目：t h ed e s i g na n di m p l e m e n t a t i o no fw i m a x a u t h e n t i e a t i o n 主题词：w i m a x网络安全身份认证无线城域网 k e y w o r d s ： w i m a xn e t w o r ks e c u r i t ya u t h e n t i c a t i o n w m a n 南京邮电大学学位论文独创性声明 过8 5 0 8 6 2 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电大学或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签名：。堑塑! 曼z 日期：主! 生：生些 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电大学研究生部办理。 研究生签名：垂趟2 导师签名5 长初会期 名务h 为1 幻期 a d o 、牛i 最 南京邮电大学颈士研究生学位论文 摘要 摘要 w i m a x 是一项新兴的基于i e e e 8 0 2 1 6 标准的宽带无线接入城域网技 术。作为一种极具竞争力的无线接入技术，众多运营商和设备厂商已在积极 酝酿将其推向市场。但是由于无线传输信道的开放性，它的安全性一直是人 们关注的问题，并将影响其市场推广。因此在8 0 2 1 6 的安全标准尚未确定 前，关注w i m a x 的安全机制有着极为重要的意义。 本文首先介绍了w i m a x 的相关知识、课题的研究背景和研究范围，接 着分析了无线移动通信网络存在的各种安全威胁，引出基于现代密码学的安 全身份认证技术，并论述了现代认证技术中流行的密码机制和算法。作者综 合考虑了多方面的因素，参照了8 0 2 1 l i 标准以及8 0 2 1 6 e 的e a p 认证机制， 提出e a p s i m 、e a p p s k 和e a p t t l s 三种认证机制并作了重点分析，对 三种认证技术进行了多方位的比较。 在分析比较三种认证机制安全性和实用性的基础上，本文选择 e a p - t t l s 作为w i m a x 的认证机制，并提出将c h a p 认证作为e a p t t l s 阶段二的认证方案。文章构建了认证实验的模型，说明了各功能模块的作用 和数据接口。在软件实现上重点描述了e a pc l i e n t 、认证服务器的实现和数 字证书的手工制作。最后对认证实验的结果进行了总结分析。 本文在描述身份隐藏这一用户安全新需求的基础上，揭示e a p p s k 将 用户i d 透明传输的缺点，最后提出一种支持身份隐藏机制的e a p p s k 改 进方案。 堕蔓堂皇查兰堡主里墨生堂堡堡茎 竺! ! 坠! ! a b s t r a c t w i m a xi san e wb r o a d b a n dw i r e l e s st e c h n o l o g y ，w h i c hi sb a s e do nt h e i e e e 8 0 2 1 6s t a n d a r d a san e w t e c h n o l o g yw i t hp o w e r f u lc o m p e t i t i o n s ，n u m e r o u s o p e r a t o r sa n dm a n u f a c t u r e r sh i 曲l yr e c o g n i z ew i m a xt e c h n o l o g y b u tw i r e l e s s n e t w o r k s e c h r i t y i s s u s c e p t i b l eb e c a u s e o fi t s o p e n n e s st r a n s m i s s i o nm e d i a t h e r e f o r ei ti sa ni m p o r t a n ti s s u et oc o n s i d e rt h es a f em e c h a n i s m so fw i m a x b e f o r et h ea p p e a r a n c eo f8 0 2 16s e c u r es t a n d a r d t h i sp a p e ri n t r o d u c e sas e to fa u t h e n t i c a t i o nm e c h a n i s m s ，a f t e ra n a l y z i n g v a r i o u ss e c u r ei n t i m i d a t e sa n ds u m m a r i z i n gt h ef o r m e rr e s e a r c h e s f u r t h e r m o r ei t d e s c r i b e st h er e l a t e da d v a n c e dc r y p t o g r a p h yt h e o r i e s t h i sp a p e ri n t r o d u c e st h r e ek i n d s o fa u t h e n t i c a t i o np r o t o c o l s ( e a p s i m ， e a p p s ka n de a p t t l s ) f o rw i m a x ，a c c o r d i n gt ot h e8 0 2 1 6 ea n d8 0 2 1l i s t a n d a r d s a l s og i v e ss o m ec o m p a r e sb e t w e e nt h et h r e ep r o t o c o l s t h i sp a p e rp r o v i d e sa ne x p e r i m e n t a lm o d e lo fa u t h e n t i c a t i o n f u r t h e r m o r e s e l e c t se a p t t l sa st h ea u t h e n t i c a t i o np r o t o c o la n dc h o i c e sc h a pa st h e e a p t t l sp h a s e2p r o t o c o l 。m o r e o v e ri td e s c r i b e st h es o f t w a r er e a l i z a t i o no ft h e e a pc l i e n t ，a u t h e n t i c a t i o ns e r v e ra n dt h ed i g i t a lc e r t i f i c a t e s f i n a l l yi tg i v e sa s u m m a r i z a t i o no f t h ea u t h e n t i c a t i o ne x p e r i m e n t t h i sp a p e rd e s c r i b e st h ei d e n t i t yp r i v a c ys c h e m e ，w h i c hi s an e ws e c u r e r e q u i r e m e n to f m o b i l en e t w o r k s a n da n n o u n c e sad r a w b a c ko fe a p p s kp r o t o c o l f i n a l l yp r e s e n t san e we a p p s kp r o t o c o l ，w h i c he n a b l e si d e n t i t yp r i v a c y 1 i 南京邮电大学硕士研究生学位论文 第1 章绪论 1 绪论 1 1 移动通信的发展及w i m a x 的出现 当今的社会已经进入了一个信息化的社会，人们期望随时随地、及时可靠、不受时空 限制的进行信息交流、提高工作的效率和经济效益，因此信息化技术日新月异。此外随 着现代电子技术尤其是半导体集成电路及计算机技术的发展以及满足人们现代化、快节 奏生活和工作的需要，固定通信、移动通信咀及因特网( i n t e r n e t ) 正以惊人的速度飞 速发展着。w i m a x ( w o r l di n t e r o p e r a b i l i t yf o rm i c r o w a v ea c c e s s ) 无线城域网就是为了 满足现代通信需要，新兴出现的一项宽带无线接入技术。w i m a x 的中文名是全球微波 接八互操作性。它是一项基于i e e e s 0 2 1 6 标准的宽带无线接入城域网( b r o a d b a n d w i r e l e s s a c c e s s m e t r o p o l i t a n a r e a n e t w o r k ，b w a m a n ) 技术。w i m a x 亦常被称为i e e e w i r e l e s s m a n ( m e t r o p o l i t a n a r e a n e t w o r k ) ，其基本目标是提供一种在城域网一点对多 点的多厂商下。可有效的互操作的宽带接入手段。w i m a x 是鉴于w i f i 组织对于无线 局域网推广的作用，为了推进w m a n ( w i r e l e s s m e t r o p o l i t a n a r e a n e t w o r k ) 设备的业务 应用提高设备互操作性，因特尔、诺基亚、阿尔卡特、富士通等公司共同组建的非赢 利性的组织，旨在帮助推动与保证基于i e e e 8 0 2 1 6 宽带无线设备的兼容性和互操作性。 1 2w i m a x 的优点 w i m a x 技术的出现无疑在无线宽带接入技术领域投下了一颗重磅炸弹，众多i t 厂商包 括诺基亚、阿尔卡特、英国电信、富士通、以及因特尔等行业巨头列此大加追捧ew i m a x 作为一项新的宽带无线接入技术，包括众多目前先进的研究成果，如服务质量、较高的数 据传输、网状网技术( m e s h ) 以及可以有效利用频谱的智能天线拽术。w i m a x 与现自的 无线局域网( w l a n ，w i r e l e s sl o c a l a r e a n e t w o r k ) w i - f i 以及即将实现电信运营的3 g ( 3 r d g e n e r a t i o n ，第三代移动通信) 相比，有自身的特点和优势。 w i m a x 的技术优势可以简要概括为以下几点： 传输距离远。 w i m a x 的无线信号传输距离最远可达5 0 公里。是无线局域网所不能比拟的，其网络 覆盖面积是3 g 基站的l o 倍，只要建设少数基站就能实现全城覆盖，这样就使得无线9 日络应 用的范围大大扩展。 用的范围大大扩展。 1 里堕塑堕型塑塑生塑燮堕兰 塑! 童丝丝 接入速度高。 w i m a x 所能提供的最高接入速度是7 0 m ，这个速度是3 g 所能提供的宽带速度的3 0 倍。 w i m a x 采用与w l a n 标准8 0 2 1 l a 和1 1 9 相同的o f d m ( o r t h o g o n a lf r e q u e n c v d i v i s i o n m u l t i p l e x i n g ，正交频分复用) 调制方式，每个频道的带宽为2 0 m h z ，这也和1 l a 和1 l g 几乎 相同。不过因为可通过室外固定天线稳定的收发无线电波，所以无线电波可承载的比特数 高于l l a 和n g 。因此，可实现7 4 8 1 m 的最大传输速度。 无“最后一公里”瓶颈限制。 作为一种无线城域网技术，它可以将w i f i 热点连接到互联网，也可作为d s l ( d i g i t a l s u b s c r i b e rl i n e ，数字用户线) 等有线接入方式的无线扩展，实现最后一公里的宽带接入。 w i m a x 可为5 0 公里线性区域内的用户提供服务，用户无需线缆即可与基站建立宽带连接。 提供广泛的多媒体通信服务。 由于w i m a x 较之w i p i 具有更好的可扩展性，从而能够实现电信级的多媒体通信服务。 高带宽可以将i p 网的缺点大大降低，从而大幅度提高v o l p 的q o s ( 服务质量) 。 1 3w i m a x 的发展现状 目前对w i m a x 的商业应用研究在各i t 厂商的大力支持下正如火如荼的开展着。美国因 特尔公司作为w i m a x 论坛的核心领导者，作为全球最大的芯片供应商，即将推出含有 w i m a x 标准的芯片产品。不仅仅因特尔公司，目前全球更多的其它芯片厂商也正在加入 w i m a x 芯片的研发队伍。除此之外，现在一些大型通信设备制造商如阿尔卡特和西门子 等正在着手开发w i m a x 设备，些运营商也在进行w i m a x 试验。 总之，在如此众多大厂商的共同推动下，似乎很有理由相信w i m a x 将成为未来一 项具有革命性应用的技术。 1 4 论文的背景、内容及安排 w i m a x 作为一项新兴的极具竞争力的宽带无线接入技术，它的未来已经得到业界 众多制造商以及运营商的期待。因此各大厂商们正在积极酝酿将其推向市场。作为通信 行业龙头企业之一的法国阿尔卡特公司( a l c a t e l ) 也投入到w i m a x 设备的研制与开发 工作中去。本人有幸作为研发人员参加了阿尔卡特在上海贝尔的w i m a x 研发团队。作 为阿尔卡特w i m a x 平台和工具研发小组的一员，本人主要致力于阿尔卡特无线网络接 入控制器( 由于知识产权问题，本文用通用名词n a s 代替) 的集成测试工具认证模块的 2 南京邮电大学硕士研究生学位论文 第1 章绪论 研究与开发。起初本人阅读消化了众多i e t fr f c 协议、草案以及i e e e 8 0 2 1 6 e 规范， 在此基础上，按照集成测试工具的研发要求详细制定了e a p s i m 、e a p t t l s 、e a p p s k 三种认证机制的实现方案，并实现了e a p s i m 和e a p t t l s 认证，最后将e a p t t l s 软件实现与d h c p 、m i p 模块进行集成，并在模拟环境下进行集成测试和修改，最终使 软件实现达到了电信级的要求。本文就是在完成以上工作的基础上，由本人总结、完善、 挖掘的成果。 本文第二章介绍了无线开放网络面临的安全威胁，以及针对这些安全威胁所采取的 安全机制。 第三章介绍了应用在网络安全中的一些密码学概念和算法，包括对称加密、不对称 加密、数字签名、数字证书、单向散列函数，以及d e s 、r s a 等算法。 第四章针对不同需求提出了三种身份认证解决方案，介绍了三种认证机制的认证流 程、密码算法和数据结构。最后对三种认证方案进行了不同角度的比较。 第五章介绍e a p t t l s 认证的软件实现和实验，并对认证实验的结果进行了分析。 第六章指出e a p p s k 认证存在的一个安全隐患，并提出了一种解决方案。 南京邮电大学硕士研究生学位论文 第2 章网络安全 2 网络安全 随着通信和计算机技术的迅猛发展，网络日益成为工业、农业、国防以及人们同常生 活等方面的重要信息交换手段，渗透到社会生活的各个领域。因此认清网络的脆弱性和潜 在的威胁，采取有力的安全策略，对于保障网络的安全性变得十分重要。对于无线接入网 来说，由于其数据传输媒介的开放性，任何人都能截获、干扰、篡改正常的通信信号。因 此无线传输网络环境下的安全需求要比有线传输环境下的要求更苛刻。w i m a x 无线城域 网作为新兴的宽带无线接入技术。也不例外面临着与以往无线接入技术相同的安全问题。 因此如何保护w i m a x 网络通信安全，成为当前w i m a x 技术的研究热点之一。由于 w i m a x 无线城域网和无线局域网都属于宽带无线网络，它们有各自的特点，同时在安全 方面也有很大的共性。瞅口它们都需要数据的机密性、完整性保护，设备以及用户的身份 认证。因此在制定w i m a x 安全机制的时候，可以参考相对成熟的无线局域网安全解决方 案。 2 1 安全威胁 无线移动通信系统的安全威胁，根据攻击的位置可分为以下几类：无线链路威胁、服 务网络威肋和终端威胁。 无线链路威胁终端设各与服务网之间的无线接口可能受到以下攻击威脐。 ( 1 ) 非授权访问数据：入侵者可以窃听无线链路上的用户数据、信令数据和控制数据t 甚至可以进行被动或主动流量分析： ( 2 ) 对完整性的威胁：入侵者可以修改、插入、重放和删除无线链路上的合法用户的 数据或信令； ( 3 ) 拒绝服务攻击：入侵者通过在物理上或协议上干扰用户数据、信令数据和控制数 据在无线链路上的正确传输，来实现无线链路上的拒绝服务攻击； 服务网络威胁在服务网络内的攻击可分为以下几类。 ( 1 ) 非授权访问数据：入侵者在服务网内窃听用户数据、信令数据和控制数据，非授 权访问存储在系统网络单元内的数据，甚至可以迸行被动或主动流量分析； ( 2 ) 对完整性的威肋：入侵者可以修改、插入、重放或删除用户的业务数据、信令数 据或控制数据，还可以假冒通信的某一方对通信的数据进行修改，甚至可以修改存储在网 4 里塞堕皇查量堡圭堕壅生主鱼堡壅 蔓! 兰璺垒室垒 络单元中的数据： ( 3 ) 拒绝服务攻击：入侵者通过在物理上或协议上干扰用户数据、信令数据或控制数 据在网络中的正确传输，来实现网络中的拒绝服务攻击，还可以通过假冒某一网络单元阻 止合法用户的业务数据、信令信息或控制数据，从而使合法用户无法接受正常的网络服务； ( 4 ) 否认：用户可能对业务费用、业务数据来源或对接收到其他用户的数据进行否认， 网络单元否认发出信令或控制数据或否认接收到其它网络单元发出的信令或控制数据。 ( 5 ) 非授权访问服务：入侵者可能模仿合法用户使用网络服务，也可能假冒服务网， 当有合法用户接入时就有可能获得网络服务，入侵者还可假冒归属网，以获取假冒某一用 户所需的信息，用户滥用其权限以获取对非授权服务的访问；服务网滥用其权限以获取对 非授权服务的访问。 终端威胁与终端相关的安全威胁如下。 ( 1 ) 攻击者利用终端的终端设备访问系统资源； ( 2 ) 对系统内部工作有足够了解的攻击者可能获取更多的访问权限； ( 3 ) 攻击者利用借来的终端超出允许的范围访问系统二 ( 4 ) 通过修改、插入或删除终端中的数据以破坏终端数据的完整性； 总的来看，无线移动通信网的安全机制主要是保证接入控制和数据传输的安全，这是 无线移动通信安全的基础。 根据i s o1 0 1 8 1 关于开放系统安全服务框架的建议，开放系统的安全服务框架包括认 证、接入控制、机密性、完整性、不可否认性、审计告警六个方面。基于此，无线移动系 统的主要安全需求如下： ( 1 ) 信息的可认证性( 可鉴别性) 需求 需要确认发出信息者的身份； ( 2 ) 数据机密性需求 数据在传送过程中不被泄漏，且未被授权的人不能读懂数据； ( 3 ) 信息的完整性需求 数据在传输和存储的过程中不会受到非法的修改、删除和重放，要确保信息的顺序完 整性和内容的完整性； ( 4 ) 防抵赖性需求 发送方对已发出的信息不可抵赖，接收方对己收到的信息不可否认； ( 5 ) 用户身份隐密 用户的永久身份不能在无线按入链路上被窃听。 5 曼塞墅皇查堂堡主堕塞生兰垡堡奎 兰! 兰塑堑塞全 2 2 安全机制 对于以上安全需求，可以采用以下安全机制实现： 1 认证 认证( a u t h e n t i c a t i o n ) 是建立安全通信的前提条件。认证是通信参与方在进行数据交 换前的身份鉴定过程【1 】。认证是用来确定正在通信的服务器和用户身份的真实性，这一 点是至关重要的。目前鉴定通信参与方有无合法的身份常采用身份认证协议来实现。身份 认证协议是一种特殊的通信协议，它定义了参与认证服务的通信方在身份认证过程中需要 交换的所有消息的格式、语义和产生次序。身份认证协议常采用加密机制来保证消息的完 整性和保密性。 有多种方法来鉴别服务器和用户的合法性。口令( p a s s w o r d ) 是一种最基本的身份认 证方法，但由于许多的口令都采用了很容易被猜到的数字、单词或短语，在网络中容易遭 受到在线攻击或离线攻击。因此使得该方法经常失效。 另一种身份认证技术是身份认证标记，如i c 智能卡，即p i n 保护记忆卡。p i n 记录了 用户识别号，通过读卡设备将p i n 读入，经鉴别有效后才能进行通信。 基于密码学原理的密码身份认证协议可提供更多的安全服务，如共享密钥认证、公钥 认证和零知识认证等。 2 数据机密性 可以使用加密技术和安全信道来实现数据的保密性。加密技术可以是对称密钥加密技 术和非对称密钥加密技术。对称密钥加密技术使用一个或多个密钥对数据进行加密，同时 使用相同的密钥对加密数据进行解密。该加密技术需要使用密钥管理技术。非对称密钥加 密技术包含两个密钥：公开密钥和秘密密钥。使用其中一个密钥加密数据只能使用另个 密钥对其解密。 3 数据的完整性 使用消息摘要技术、加密技术( 安全的散列函数) 、数字管理技术来保证信息的完整 性。消息摘要技术是指从可变大小的消息中提取固定大小的内容，单向消息摘要技术可以 检查信息的完整性。单向消息摘要与加密技术和数字签名技术一起来保证信息的完整性。 4 防抵赖性 使用数字签名技术( 可辅以公开密钥加密技术) 来实现信息的防抵赖。 5 用户身份隐藏 为了达到身份隐藏目标，用户需要一个临时身份来隐密，或通过加密了的永久身份信 6 南京邮电大学硕士研究生学位论文 第2 章网络安全 息来隐藏，临时身份只有被访问网络知道；为了避免跟踪，防止用户身份秘密的泄露，不 能长期使用相同的临时或加密了的永久身份来标识用户；对可能会暴露用户身份的信令和 数据进行加密。 综上所述，很明显身份认证是一项很重要的原则，尤其是发送者能够立即确认接收者 是真正的接收者，不能是无关的第三者，更不能是他人冒充的。如果在通信过程中，不能 确认对方的真实身份，数据机密性、完整性等都变得毫无意义。因此如何安全可靠的确认 通信对端的真实身份成为一项即重要又复杂的问题。 7 旦至墼墨盔兰璧圭堕窒生兰竺丝塞 塑! 兰查璺兰苎篓! 1 3 密码学基础 密码技术是保证信息安全的手段，使用密码技术可以实现身份认证以及保证信息的 机密性和完整性。 在网络安全的实践中，人们已经设计实践出很多加密的思想与算法，按其基本思路 可分为两大类别：对称加密算法与非对称加密算法。除了加密算法外，为了解决端点认 证、消息完整性问题人们又设计出以单向散列函数、非对称加密算法为基础的一套摘要 算法与数字签名算法。在此基础上为了解决密钥的安全分发问题，人们还设计了由受信 任的第三方签署、分发和管理的数字证书技术。这些共同构成了网络安全的基石。 3 1 对称加密 对称加密( s y m m e t r i cc r y p t o g r a p h y ) 是一种传统的密码体制，其加密和解密用的是 相同的密钥，即加密密钥和解密密钥是完全相同和等价的。对称加密从加密模式上又可 分为分组密码和序列密码。 3 1 1 序列密码 序列密码的基本原理是：通过有限状态机产生高品质的伪随机序列，对信息流逐位 进行模2 加后作为密文序列，在接收端，用相同的随机序列与密文序列模2 加便可恢复 明文序列。序列密码的安全强度完全取决于所产生的伪随机序列的品质。目前比较常用 的序列密码有r c 4 等。 3 1 2 分组密码 分组密码的基本原理是：将明文以组为单元，用同一密钥和算法对每一组进行加密， 输出也是固定长度的密文。比较著名的分组密码有d e s 、3 d e s 、a e s 等。 1 d e s d e s 是d a t ae n c r y p t i o ns t a n d a r d ( 数据加密标准) 的首字母缩写，是n i s t ( n a i o n a l i n s t i t u t eo f s t a n d a r d sa n d t e c h n o l o g y ，美国国家标准技术研究所) 发布的f i p s 4 6 ( f e d e r a l i n f o r m a t i o np r o c e s s i n gs t a n d a r d s ，联邦信息处理4 6 ) 的名称。d e s 是一个对称分组加密 算法，加、解密使用同一个密钥。d e s 加密算法以6 4 位明文分组作为输入，输出6 4 位 曼堕唑咀型塑塑婴生堂竺鲨壅 苎i 兰宣璺堂苎墅 的密文分组，解密算法是加密算法的逆。d e s 密钥的长度为6 4 位的数，但每个字节的 第八位都用作奇偶校验，因此其密钥的有效长度为5 6 位( 通常把d e s 的密钥长度说成 5 6 位) 。 d e s 的整个体制是公开的，系统的安全性完全依赖密钥的保密。d e s 算法主要包括： 初始置换i p ( i n i t i a lp e r m u t a t i o n ) ，1 6 轮变换的乘积变换，逆初始置换i p 】以及1 6 个密 钥产生器。在d e s 加密算法中，可以看到明文的处理经过了3 个阶段： ( 1 ) 6 4 b i t 的明文经过一个初始置换i p 后，比特重排产生经过置换的输出。 ( 2 ) 由同一个函数的1 6 次循环构成，这个函数本身既有置换又有替代功能。最后一 个循环的输出由6 4 b i t 组成，其输出的左边和右边两个部分经过交换后就得到预输出。 ( 3 ) 预输出通过逆初始置换j p _ l 生成6 4 b i t 的密文。除了初始置换和逆初始置换之外， d e s 具有严格的f e i s t e l 密码结构。 2 3 d e s 在d e s 作为加密标准提出后，人们逐渐发现5 6 位的密钥长度成为d e s 的主要缺点。 为了弥补d e s 密钥长度较短，易于受到强力或穷举密钥搜索攻击的缺一隧，提出了d e s 的一种替代加密算法3 d e s ( 三重d e s ) 。 3 d e s 使用不同密钥，多次执行d e s 算法。这样的一个方案称为加密一解密一加密 一三重d e s 方案。这个方案的加密记为：c e k l ( d i c 2 ( e k l ( d ) ) ：解密记为： 一d k l ( e k 2 ( d k l ( o ) ) ，这里的k 1 和k 2 是两个5 6 比特的密钥。 3 。a e s n i s t 在1 9 9 7 年宣布将用新的标准a e s 代替d e s 。并向密码学界征询用于a e s 标 准的候选算法。n i s t 规定候选算法必须满足以下要求： 算法必须是没有密级的，绝不能像商业秘密那样保护它； 算法的全部描述必须公开披露； 算法必须可以在全世界范围内公开使用； 密码系统支持至少1 2 8 比特长的分组； 算法支持的密钥长度至少为1 2 8 、1 9 2 和2 5 6 比特。 到1 9 9 8 年8 月，共提交了1 5 个候选算法用于a e s 。n i s t 在1 9 9 9 年8 月9 日宣布选出 其中5 个候选算法进行第二轮的抉择。2 0 0 0 年1 0 月2 日，n i s t 宣布r i j n d a c e t 为a e s 的获胜者。2 0 0 1 年1 1 月2 6 曰n i s t 将a e s 作为f i p s l 9 7 发布。r 日n d a c e l 是一个使用可 变分组和密钥长度的迭代分组密码。它是由比利时的j o a nd a c e m e n 和v i n c e n tr i j n e n 设 计的。m l n d a c e l 支持长度为1 2 8 、1 9 2 和2 5 6 比特的分组和密钥。 9 堕亘墅皇奎堂堡圭堕塞兰堂垡笙塞 苎! 兰查堡兰苎型 同d e s 一样，r i j n d a c e l 算法也是由基本的变换单位一“轮”多次迭代而成。r i j n d a c e l 中的轮变换由字节代替( s u b b y t e s ) 、行移位( s h i f t r o w ) 、列混合( m i x c o l u m n ) 、加密 钥( a d d r o u n d k e y ) 四个不同的计算部件部件组成【2 】。 4 分组加密算法对比 一， 。 一滓溃i “j ；! i 餐镱长壤寒p 糕嚣jj 汾缎长度( 比特j ，i 1。循环次数 j 一7 “，、1二，、1 d e s5 66 41 6 三重d e s1 1 2 1 6 8 6 4 l o 1 2 1 4 a e s1 2 8 1 9 2 2 5 6 1 2 8 8 3 1 3 分组密码运行模式 表3 - 1 分组加密算法对比 在分组密码的基础上设计了许多不同的运行模式。这些运行模式增加了分组密码算 法的随机性，因此增强了密码的安全性。 1 密码分组链接模式( c b c ) 密码分组链接( c b c ) 运行模式是用于一般数据加密的一个通用密码算法。密码分 组链接模式( c b c ) 有下面的运算： c b c 加密输入：i v ( i n i t i a lv e c t o r ，初始化向量) ，p ，如( m 个明文分组) ； 输出：形c 1 ，c 埘( 历个密文分组) ； c o 一| g e ( p f 毋c ，) 。1 = 1 ，2 ，。m ； c b c 解密输出：i v , c ，- 二g ；输出：彤p ，厶； c o i y ； p ，一d ( c ，) oc t ，i = i ，2 ，m 图3 1 【3 】给出了c b c 模式的运行图示。 1 0 南京邮电大学硕士研究生学位论文 第3 章密码学基础 初始负载f 矿 初始负载z 矿 c i 。i 比特存储l 。i 匕特存储g 。 l “r _1 ”一l 1只。 皿夕 r c ； d 、 l e 7 l 7 7 vl 7 明文加密 密文解密 明文 图3 - i 密码分组链接运行模式 第一个密文分组c ，的计算需要一个特殊的输入分组，矿。矿是一个随机的比特分 组，它没有实际的意义，只是用来随机化第一个密文分组。所以为了增加随机性，每次 会话加密时都要使用一个新的随机初始化向量，y 。 2 计数器模式( c t r ) 计数器( c t r ) 模式的特征是将计数器从初始值开始计数所得到的值馈送给基础分 组密码算法。随着计数器的增加，基础分组密码算法输出连续的分组来构成一个比特串， 该比特串作为密钥流与明文相异或形成密文。c t r 模式运算如下： c t r 加密输入：n ( 计数器值) 和尸，p m ( 明文分组) ；输出c i ，厶( 密 文分组) 一e ( + f 1 ) ，i = i ，2 ，m ； g p i 审s i ，i = i ，2 ，小 c t r 解密输入：，c 1 ，c k ；输出：p 1 ，p 。； s e ( + f 一1 ) ，i = 1 ，2 ，掰； p 。一c f o s ，i = 1 ，2 ，m 总之，对称加密的优点是有很强的保密性，算法运算速度快。但对称加密算法的加、 解密钥完全相同，因此在发送、接受数据之前必须完成密钥的安全分发。因而密钥的分 发便成为对称密码系统安全的最重要环节。 3 2 非对称加密 非对称加密( a s y m m e t r i ck e yc r y p t o g r a p h y ) 采用两个密钥，其中一个称为公钥 l l 堕蔓堡皇查堂婴主堕壅生兰垡迨壅 墨! 兰查塑堂苎型 另一个称为私钥，即加密和解密使用的密钥互不相同。每个通信方进行保密通信时，通 常将公钥( p u b l i ck e y ) 公布，而保留私钥( p d v a t ek e y ) ，所以非对称加密技术又被称 为公开密钥技术，简称公钥技术。 公开密钥技术的理论基础是数论，基本上是建立在大素数的基础上。每一个密钥对 ( 公钥、私钥) 都依赖于一个大素数。所以首先讨论的一个概念是素数的个数问题，即是 否有足够的素数保证各个待申请机构、个人使用。一个己证明的命题是：对尺寸为h 的 数，一个随机数是素数的概率接近i nr t 分之一，即小于 的素数的总数为( n l n ”) 。故 在长度小于等于5 1 2 位的二进制数中，素数的个数超过1 05 1 。因此这样个天文级数字 即保证了素数的够用，又确保任选两个大素数刚好相等的概率接近于0 。在公开密钥技 术中起基石作用的是费马小定理、欧拉定理和扩展欧几里德算法。 费马小定理： 如果p 是素数，a 是不能被p 整除的正整数，则 矿7 - - - - - - i ( m o dp ) ( 3 2 - 1 ) 由费马小定理可以推出欧拉定理。 欧拉定理： 如果把欧拉函数妒( 胛) 表示为小于 且与h 互素的正整数个数，那么对任何互素的整 数口和开有； n 删i1 ( m o d ，z ) ( 3 2 2 ) 欧拉定理有个重要推论： 给定两个素数p 和g ，以及整数n 硎和卅，其中0 m n ，则下列关系式成立： ，押州可+ 7 = 聊加。由”+ 7 兰m ( m o d 力) ( 32 - 3 ) 欧几里德算法用于计算任何非负整数口和b 的最大公因子g c d ( ，6 ) ，它基于以下定 理： g c d ( a ，b ) = g e d ( b ，口m o d6 ) ( 3 2 4 ) 扩展欧几里德算法可用来求模的逆元问题。在上述定理和算法的基础上，再加上大 数因式分解在计算上的困难性，就可以构架出具体算法的设计实现。 r s a 算法是目前被广泛接受并推用的公开密钥算法，其具体思想表述如下。r s a 算 法使用指数表达式，明文以分组为单位加密，其中每个分组是小于某个数h 的二进制值， 即分组大小必须小于等于l o g a n ，其密钥产生方案为： ( 1 ) 随机选择两个素数p ，q ，满足i p l “i q l ，q 私有) 1 2 曼堕型堕盔兰堡圭燮兰垡兰奎 蔓! 兰童里兰苎壁 ( 2 ) 计算n = p q( 公开) ( 3 ) 随机选择整数f ( 矿( 疗) ，满足g c d ( e ，p ( ) ) = l ，并计算整数d ，使d 满足( p 公 开，d 私有) e d = = - - 1 ( m o d l p ( n ) ) ( 4 ) 公开公钥( mg ) ，安全销毁p ，g 和妒( h ) ，保留d 为私钥。 而加、解密方案为： c 一( m o d d ( 加密) 坍一一( m o d )( 解密) 扩展欧几里德算法保证了私有密钥的较简单计算，模运算的分配律使得加、解密能 够较简单进行。r s a 算法的安全性主要基于对公开因式分解的难度，在目前的并行计 算能力情况下，用己知的最好的因式分解算法，尺寸为1 5 6 位的大数分解尚未成功，选 择更大的位数显然更为安全。 3 3 对称加密与非对称加密对比 对称加密的优点是：运算简单、易于实现，占用资源少且加密速度快，其缺点是： 进行安全通信前要以安全方式进行密钥交换，这在互联网环境下非常困难：密钥规模非 常大，若有个用户要求两两进行相互通信，那么对每个用户需要维护_ 个密钥，总 共需要( n - 1 ) n 2 个密钥，密钥管理困难。 非对称加密的优点是：适应网络的开放性要求，通信双方事先不需要通过保密信道 交换密钥；密钥持有量大大减少，若有个用户两两相互通信只需要拥有对密钥( 每 个用户一对密钥) ，密钥管理问题也比较简单；非对称加密还提供了对称密码无法或很难 提供的服务，如与散列函数联合运行可生成数字签名，其缺点有：大量的浮点运算致使 计算量大，加密、解密速度慢，需占用较多资源，这一点对于进行大量安全信息交换尤 为突出。 鉴于对称加密与非对称加密各自有着鲜明而又对立的优、缺点，因此在实际应用中， 并不直接使用非对称加密算法或对称加密算法，而是采用一种对两种加密算法的综合应 用，即所谓的数字信封技术。 假设有两个用户a 和b ，他们采用数字信封技术相互发送保密消息。用户a 和b 之 间可使用如下步骤： ( 1 ) a 生成一随机的对称密钥。即会话密钥； 要塞墅皇查兰墅主堑壅墨兰垡望奎 蔓! 兰窒璺兰茎型 ( 2 ) a 用会话密钥加密明文； ( 3 ) a 用b 的公钥加密会话密钥； ( 4 ) a 将密文及加密后的会话密钥传递给b ； ( 5 ) b 使用自己的私钥解密会话密钥； ( 6 ) b 使用会话密钥解密密文，得到明文。 使用这种方式，用户可以在每次发送保密信息时都使用不同的对称密钥，从而增加 密码破译的难度。 3 4 单向散列函数 由于信道本身的干扰和人为的破坏，接收到的信息可能与原来发出的信息不同，一 个通用的方法是加入信息校验码( m a c ，m e s s a g ea u t h e n t i c a t i o nc o d e ) 。单向散列函数 便可用于此用途。单向散列函数用来实现对一个数据流的消息认证( 完整性检查) ，方法 是将数据流分割成数据块，然后对每个数据块在一个共享密钥的基础上计算出固定长度 的m a c 。随后m a c 便成为数据流的一部分发送出去。单向散列函数保证不同的原始消 息将产生不同的m a c 。因此消息接收方只要按照发送端相伺的方法计算出一个临时的 m a c ，并将这个临时的m a c ，与接收到的m a c 进行比较，便可知接收到的消息是否完 整。目前应用广泛的单向散列函数有m d 5 、s h a - i 等。 3 5 数字签名 数字签名并不是书面签名的数字图像化，它是指信息的发送者根据发送信息产生信 息摘要( 信息校验码，m a c ) ，并对所得信息摘要用自己的私钥加密。原始消息和用自 身私钥加密的信息摘要组合成数字签名。 3 6 数字证书技术 数字证书就是网络通信中标志通信各方身份信息的一系列数据，用于网络身份认证 和公钥发放。数字证书采用基于不对称加密算法的公钥加密体制，即利用一对互相匹配 的公钥和私钥进行加、解密。它是由一个权威机构c a ( c e r t i f i c a t ea u t h o r i t y ) 中心发行 的。c a 作为网络通信中受信任的第三方，承担检验公开密钥的合法性的责任。c a 中心 为每个使用公开密钥的用户发放一个数字证书( 经c a 签名的包含公开密钥拥有者信息 1 4 南京邮电大学硕士研究生学位论文 第3 章密码学基础 以及公开密钥的文件) ，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的 公开密钥。c a 机构的数字签名使得攻击者不能伪造和篡改证书。数字证书的格式遵循 x 5 0 9 标准。目前x 5 0 9 有不同的版本，每一版本必须包含下列信息： 版本号：用来区分x ，5 0 9 的不同版本号。 序列号：c a 给予每一个证书分配惟一的数字型编号，当证书被取消时，实际上是将 此证书的序列号放入由c a 签发的c r l ( c e r t i f i c a t er e v o c a t i o nl i s t ，证书吊销列表) 中。 签名算法标识符：用来指定用c a 签发证书时所使用的签名算法，公开密钥算法和散 列算法。 认证机构：即发出该证书的机构的名字。 有效期限：证书开始生效期和证书失效的日期和时间。 主题信息：证书持有人的姓名、服务处所等信息。 认证机构的数字签名：、以确保这个证书在发放之后没有被改过。 公钥信息：包括被证明有效的公钥值和加上使用这个公钥的方法名称。 需要强调的是c a 自身也有一个证书，通常被称为根证书( r o o tc e r t i f i c a t e ) ，并且 c a 将自己的公钥公开。因此，任何用户都能够使用c a 的公钥来解密通过c a 私钥加密 的信息，验证证书信息的完整性和证书中公钥的合法性；并且任何用户也无法伪造证书， 因为他无法得到c a 的私钥。 南京邮电大学硕士研究生学位论文 第4 章w i m a x 认证解决方案 4 w i m a x 认证解决方案 w i m a x 作为一项新兴的无线城域网技术，目前关于它的安全机制标准还未最终确定。 在最新发布的i e e e s 0 2 ，1 6 e d 1 0 中也未对安全认证作出明确的规定。因此关注w i m a x 的 安全机制对w i m a x 的市场化具有极为重要的意义。由于无线城域网和无线局域网都属于 宽带无线网络，它们有各自的特点，同时在安全方面也有很大的共性。i e e e 8 0 2 1 1 i 作为一 种相对成熟的无线局域网安全标准对w i m a x 安全机制的制定具有很好的借鉴作用。本文 按照现有的标准和参照8 0 2