[硕士论文精品]椭圆曲线密码体制在无线城域网中的应用

中山大学硕士学位论文论文题目椭圆曲线密码体制在无线城域网中的应用专业电子与通信工程硕士生周绍午指导教师张方国教授摘要无线城域网是未来无线通信的重要发展方向之一。随着人们信息安全意识的不断提高，对于宽带无线接入的安全等级要求也越来越高。椭圆曲线密码体制具有计算复杂度低、密钥长度短、安全强度高等特点，很适合于在无线城域网安全接入方案中应用。本论文主要研究椭圆曲线密码体制在无线城域网中的应用。本文首先介绍了无线城域网的基本概念及其发展现状，尤其关注其安全接入方案及已知的安全威胁，并以IEEE80216作为案例对其安全方案进行了弱点分析。然后对公钥密码体制、椭圆曲线密码体制、数字证书及相关算法进行了回顾。随后参考国家无线局域网标准GBL56291L中的WAPI体制，提出并详细论述了基于椭圆曲线密码体制的无线城域网安全接入方案。本文最后给出了对所提安全接入方案的演示程序软件，包括软件架构设计、功能模块划分、程序流程图及用户接口界面的设计，并提供了相关算法和演示程序的源代码。关键词椭圆曲线无线城域网认证加密中山大学硕士学位论文TITLEAPPLICATIONOFTHEELLIPTICCURVECRYPTOSYSTEMINWIRELESSMETROPOLITANAREANETWORKMAJORELECTRONICSANDCOMMUNICATIONENGINEERINGNAMEZHOUSHAOWUSUPERVISORPROFZHANGFANGGUOABSTRACTWIRELESSMETROPOLITANAREANETWORKWMANISONEOFTHEMOSTIMPORTANTDIRECTIONSOFTHEWIRELESSCOMMUNICATIONDEVELOPMENTINTHEFEATUREWITLLTHEIMPROVEMENTOFPEOPLESCONSCIOUSNESSOFINFORMATIONSECURITY，THESECURITYLEVELDEMANDINBROADBANDWIRELESSACCESSSYSTEMBECOMESHIGHERANDHIGHER111EELLIPTICCURVECRYPTOSYSTEMECCHASSEVERALADVANTAGESSUITABLEFORDEPLOYMENTINSECURITYACCESSSCHEMEFORWMANSUCH器LOWCOMPUTATIONALEOMPLEXITY,SHORTKEYSIZEANDHIGLLSECURITYINTENSITYTLLISTHESISMAINLYDISCUSSESTHEAPPLICATIONOFTHEECCINTHE、L仆IANSYSTEMFIRSTLY，WEINTRODUCETHEBASICCONCEPTSANDTHEDEVELOPMENTSTATUSOFTHEWMAN，ESPECIALLYFOCUSEDONTHESECURITYASSSCHEMEANDTHETHREATSBEENPROPOSED111ESECURITYSCHEMEFORTHEIEEE80216STANDARDHASBEENCHOSEN笛ONECASEFORVULNERABILITIESANALYZING，SECONDLY，THEPUBLICKEYCRYPTOSYSTEM,ELLIPTICCURVECRYPTOSYSTEM，DIGITALCERTIFICATIONANDTHERELATEDALGORITHMSALEREVIEWEDTHENWEPROPOSEANDDISCUSSTHESECURITYACCESSSCHEMEINDETAILSFOR、L礓嗄ANBASEDONTHEECCBYREFERENCINGTHEEXPERIENCEOFWAPISYSTEMWHICHISTHEKEYCOMPONENTOFTHEGBL5629“NATIONALWIRELESSLANSTANDARDFINALLYTHESORWAREDEMONSTRATIONFORTHEPROPOSEDSCHEMEISPRESENTEDWITHTHESYSTEMARCHITECTUREANALYSIS，PARTITIONINGOFFUNCTIONALITIES，PROGRAMSFLOWCHARTSANDTHEDESIGNOFGRAPHICUSERINTERFACE而ESOLLREECODEFORTHEDEMONSTRATIONPROGRAMANDTHERELATEDALGODTHMSAREALSOINCLUDEDKEYWORDSELLIPTICCURVECRYPTOSYSTEMECC，WIRELESSMETROPOLITANAREANETWORKWMAN，AUTHEMICMIO玛ENCRYPTION论文原创性声明本人郑重声明所呈交的学位论文，是本人在导师的指导下，独立进行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究作出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。学位论文作者签名J习叶日期年F月7日学位论文使用授权声明本人完全了解中山大学有关保留、使用学位论文的规定，即学校有权保留学位论文并向国家主管部门或其指定机构送交论文的电子版和纸质版，有权将学位论文用于非赢利目的的少量复制并允许论文进入学校图书馆、院系资料室被查阅，有权将学位论文的内容编入有关数据库进行检索，可以采用复印、缩印或其他方法保存学位论文。保密的学位论文在解密后使用本规定。学位论文作者签名闭够争日期年，月7日导师签名日期年月日中山大学硕士学位论文第1章引言进入信息化社会，INTORNOT网络和无线通信的发展逐渐成为工作、社会和生活不可缺少的一部分，在任何地方、任何时间接入网络成为了需求。各种移动终端将可以通过无线链路接入局域网络、城域网络，进而访问INTEMET资源，进行收发邮件、浏览新闻、处理商务、网络游戏、聊天和观看视频等。早期的无线宽带接入系统主要用于满足用户简单的上网需求，对数据的安全性要求并不高。随着各种网络应用的逐渐广泛，所涉及的公司业务数据和私人敏感性数据也越来越多，用户对宽带无线接入网络的信息安全提出了更高的要求。在无线宽带接入领域，安全问题是极其重要的，也是最富挑战性的问题之一。本章主要讨论无线城域网的发展、面L临的安全威胁和标准的安全体制及存在的问题，最后描述本文的意义和主要内容。11无线城域网及其发展现状111无线城域网标准的发展无线城域网WMAN，WIRELESSMENTROPLITANAREANETWORK是一种在城域范围内提供宽带接入的无线通信网络。无线城域网作为接入网络的一种，具有宽带高、移动性好、服务质量可控性好和覆盖范围宽等特点，可实现在更大的范围内为用户提供可靠的宽带接入服务。无线城域网技术是解决“最后一公里”问题的重要技术之一。在无线城域网技术领域，以美国为首的发达国家发展较快。IEEE美国电机电子工程师学会在颁布了无线局域网正EE8021L系列标准基础上，又颁布了针对无线城域网的IEEE80216系列标准。目前所说的80216系列标准主要包含80216A、80216D和80216E标准。80216A于2003年1月批准通过，是80216的早期版本。80216D标准是IEEE802162004的简称，是固定宽带无线接入系统的空中接口物理层PH和媒质接入控制层MAC规范，于2004年6月批准通过。80216E是IEEE80216E2005的简称，是无线城域网标准的移动接入版本，于2005年12月批准通过。第1页共鹋页中山大学硕士学位论文借鉴了无线局域网WIFI论坛的成功经验，业界领先的通信公司及器件公司共同成立了非盈利组织WIMAXWORLDWIDEINTEROPERABILITYFORMICROWAVEACCESS，微波存取全球互通论坛，旨在对基于IEEE80216标准和ETSIHIPERMAN标准的宽带无线接入产品进行兼容性和互操作性认证。WIMAX与IEEE80216之间有着非常紧密的联系与合作，同时又有着分工的不同，后者是标准的制定者，而前者是标准的推动者。WIMAX为IEEE80216的一致性标准作出了重要贡献。目前业界谈论的WIMAX技术实际上就是IEEE80216技术，涵盖了80216D和80216E。本文中将对名词WIMAX和80216不加区别的引用。在无线城域网领域，韩国的WIBROWIRELESSBROADBANDACCESSSERVICE也做出了一定的贡献。WIBRO是韩国电子通信协会ETRD、三星电子和韩国主要运营商发起的HPIHIGHSPEEDPORTABLEINTEMET项目发展而来的，从2004年1月开始制订标准。后来，韩国经过协调将WIBRO标准融合到了IEEE80216E标准中。同时，国际电信联盟ITU于2007年1月底基本达成共识，同意将WIMAX加入到1MT2000技术家族中，并于2007年10月18日批准了WIMAX无线宽带接入技术成为移动设备的国际标准。WIMAX无线宽带接入技术则有望成为下一代受青睐的高速无线互联网接入系统。112无线城域网技术特点下面我们就以IEEE80216标准为例简单描述无线城域网的技术特点。IEEE80216协议栈模型中定义了物理层和MAC层，是一种二层的网络技术。在80216D的物理层中定义了211GHZ频段的非视距NLOS传输和LO66GHZ频段的视距LOS传输。根据使用频段的不同，定义了三种不同的物理层技术单载波SC、256点的OFDM和2048点OFDMA。在OFDM或OFDMA中，每个子载波的调制方式可以选用BPSK、QPSK、16QAM或64QAMI”。在80216E的物理层中定义了26GHZ频段支持移动性的宽带无线接入系统的空中接口标准。80216E是在16D的标准基础上增加了必要的特点和属性来支持便携式移动服务，主要包括125MHZ20MIIZ之间的具有可扩展性频道带第2页共鹄页中山大学硕士学位论文宽的OFDMA技术、高效率带宽切换、睡眠能节模式、支持混合ARQ、支持MIMO、空时编码以及空分多工等21。80216D和80216E的MAC层基本相似，分成了三个子层特定服务汇聚子层SERVICESPECIFICCONVERGENCESUBLAYER、公共部分子层COMMONPARTSUBLAYEO、安全子层PRIVACYSUBLAYER。80216的MAC层是基于“连接”CONNECTION管理的，每一个“连接”均由一个标识符CID来唯一进行标识。MAC层定义了较为完整的QOS机制，可针对每个连接可以分别设置不同的QOS参数，包括速率、延时等。为了更好地控制上行数据的带宽分配，标准中还定义了四种不同的业务，分别为非请求的带宽分配业务UGS、实时轮询业务RTPS、非实时轮询业务NRTPS和尽力而为业务BE。80216可以根据业务的需要提供实时、非实时的不同速率要求的数据传输服务131。从应用模式来看，WIMAX的技术特性使其能适应各种应用环境。WIMAX具有的应用模式包括PMP应用模式，即以基站BS，BASESTATION为中心，多个子站SS，SUBSCDBCRSTATION采用点到多点的连接方式；MESH应用模式，即采用多个基站以网状网方式进行无线覆盖终端接入模式，即用户终端设备TE，TERMINALEQUIPMENT直接连接WIMAX基站接入网络。多样的应用模式决定了WIMAX具有广泛的市场应用潜力。113国内外市场发展现状随着WIMAX的升温，WIMAX论坛成员也在不断增多。中国设备商中兴通信和华为技术相继加入WIMAX论坛。截止2007年6月，全球得到WIMAX许可的企业已经达到了近800家，全球WIMAX试验项目有150多个，商用或试商用的WIMAX网络有数十个。各国对于WIMAX应用的基本策略是在城市用WIMAX补充或者取代固定宽带网，在固定网不易到达的农村边远地区直接用WIMAX提供宽带接入业务，在局部地区直接为终端用户提供移动宽带接入服务。据预计到2010年WIMAX市场的产值将达到30亿美元。从使用的频段的情况看，美国己为WIMAX分配了25GHZ频段，还包括17GHZ、21GHZ、2527GHZ、36537GHZ等频段。英国政府为推动WIMAX，第3页共明页中山大学硕士学位论文分配了20LO2025Z、22902302MHZ和25002690MHZ等频段。在国际电信联盟11U批准WIMAX成为国际标准后，WIMAX可能会与其它3G标准使用相同的频段。在国外厂家方面，英特尔己将WIMAX作为下一个推广的重点，并宣布将在中国台北市建立一家天线实验室，用于对其在亚太地区推出的新产品进行支持和测试。阿尔卡特和西门子等通信厂商也己开始推广WIMAX技术及设备。国内，在3G牌照未发的情况下，中国四大电信运营商纷纷把目光转向了WIMAX在无线宽带接入市场的应用。中国移动、中国电信等运营商已启动村村通宽带和家庭移动宽带等项目，其应用市场前景明朗。广东网通是中国网通集团WIMAX测试、商用试点之一，据报道广东网通己与两家设备商签订了大额的固定WIMAX设备购货合同。中国联通也正式开始筹建WIMAX无线网络。上海贝尔阿尔卡特，中兴、华为及普天等设备提供厂商都在为进入无线宽带接入市场做积极准备。12无线城域网面临的安全威胁随着无线城域网的发展和应用，其安全性问题逐渐受到人们的关注。与其它无线宽带技术一样，无线城域网中的数据是在固定的频段上，以公开的调制方式、调制方法、多址方式和双工方式通过射频无线电进行传输的。由于无线电波具有绕射、折射、反射和穿透等固有传播特性，使得无线城域网中的信号可以在一定覆盖范围内被接收到。非法的接收机在覆盖范围内接收无线电信号将不可能被发现，接收机只要有相应的解调解码设备，并了解相应的数据封装格式就可以轻易的截获无线传输的数据包内容。同理，非法的发送设备只要使用相同的编码调制方式和相同的封包格式发出无线数据信号，同样能被其它接收设备所读取。非法入侵者可以通过这样的原理实现无线传输的数据包的侦听INTERCEPTION、拦截、篡改MODIFICATION、重放、伪造FABRICATION和假冒等操作，以达到截获空中数据、干扰系统正常工作、破坏数据完整性和伪造合法数据等非法目的。在无线城域网中，以获取终端用户敏感数据为主要目的的威胁方式在于以下几个方面第4页共鹊页中山大学硕士学位论文其一，通过无线数据侦听对数据的机密性进行攻击，造成敏感数据信息被非法用户获得，其中也包括流量分析的方式。该方式可以获取通信的统计信息，判断信息的性质；这种方式属于被动攻击；其二，通过伪造、篡改、重放等方式伪造合法用户身份，使得非法用户获得合法用户的网络资源使用权限，或者将非法信息注入系统。这是对数据完整性和认证性进行攻击；其三，通过假冒成为系统中合法的无线接入设备，为用户站提供接入服务，从中过滤、筛选、查找、统计和记录用户站的数据信息。这种情况也包括中间人攻击的方式，非法设备在BS端模拟SS，而面对SS则模拟BS提供接入，从而一样达到获得用户数据信息的目的。这种方式是对数据机密性和认证性的攻击。本文中只对无线通信的安全威胁进行分析，对于网络安全方面可能面L临的威胁相关的资料很多，在这里就不做探讨。13标准的安全体制及其存在的问题13180216D的安全方案简述IEEE80216D安全性是通过在MAC协议底部的一个安全子层SECURITYSUBLAYER来实现的。其目的是提供接入控制和保密的数据连接。80216D的安全体系包含五个部分安全关联SA，SECURITYASSOCIATIONS、X509证书配置、PKMPRIVACYKEYMANAGEMENT授权、保密和密钥管理、DESCBC和AESCCM的加密L“。安全关联是PKM协议中的一个重要的概念，它定义了一个BS与多个SS之间的共享的安全通道的属性，即保持安全通信的状态信息。IEEE80216D安全协议中主要涉及两个实体，及用户站SS，SUBSCRIBERSTATION和基站BS，BASESTATION，两者之间的相互关系为客户端和服务器CLIENLSERVER。除了SS和BS之外，协议还包括一个隐含实体一SS的生产厂商，即可信的第三方CA，它为SS颁发数字证书。80216D协议中使用X509证书，其中定义了两种证书类型制造商证书和SS证书。制造商证书用于标识80216D设备的制造商，它可以是由生产商自己颁发或由其它证书机构来颁发。生产商产生并颁发SS证书，SS证书标识了一个第5页共翩页中山大学硕士学位论文特定的SS并且包括其MAC地址。BS通过验证生产商签发的SS证书来确认SS身份的合法性。协议中并没有定义BS证书，只进行BS与SS之间的单向认证。80216D中定义了RSA鉴权。PKM授权协议负责为合法的SS分配一个授权标记。授权协议包含在BS与SS之间3次消息的交换。SS通过发送头两次消息来发起协议，向BS请求身份认证，BS用第三条消息响应并对SS的身份进行鉴别。当一个SS关联于BS时，首先获取BS的访问授权，并索取与BS共享的授权密钥AK。SS并不对BS进行鉴别吲。数据对称加密方面，80216D版本对数据的加密采用的是56比特CBC模式的DESDATAENCRYPTIONSTANDARD算法或者128比特CCM模式的AESADVANCEDENCRYPTIONSTANDARD算法。13280216E的安全方案简述IEEE80216E是以IEEE80216D为基础制定的移动城域网标准，面临更为复杂的应用场景和更加多样化的终端设备。80216E和80216D面临环境的安全需求是不同的。为区别两种不同安全需求下的安全机制，IEEE80216E定义了私有子层PRIVACYSUBLAYER的概念。私有子层为移动站MS提供安全的宽带无线接入功能【21。在IEEE80216E中提出了双向认证概念，它需要为BS也颁发数字证书。双向认证过程可以分为两种类型基于X509数字证书IETFRFC3280的双向认证过程和基于EAPEXTENSIBLEAUTHEMICATIONPROTOCOL，IETFRFC3748的双向认证过程。基于证书的认证过程主要包括四个步骤BS认证SS实体、SS认证BS实体、BS提供SS一个AK和BS提供SS授权的SAID。比起单向认证过程，双向认证过程主要增加了SS对BS的证书的鉴别，在协议中定义了一个随机数NONCE来保证BS消息的新鲜性。基于EAP的双向认证过程包括四步，其中前三步完成网络的初始认证，而EAP认证过程完成再次认证。EAP认证过程由IETFRFC3748定义，不属于16E协议范围。EAP认证允许使用多种类型的信任凭证，在EAPTLS模式下使用第6页共鹄页中山大学硕士学位论文X509证书代表信任凭证，而在EAPSIM模式下使用用户身份模块SUBSCRIBERIDENTITYMODULE来代表信任凭证。两种认证的最终结果相同，即在SS和BS之间共享一个密钥AK。由AK可以派生会话密钥加密密钥KEK和完整性校验密钥HMACKEY，并利用AK可以完成会话密钥TEK的协商。IEEE80216E安全子层定义了PKMV2PRIVACYKEYMANAGEMENTV2，同时也支持80216D的PMVL版本。PKMV2主要借鉴IEEE8021LI的方法对PKMVL进行改进。PKMV2采用了基于IEEE802IX的认证框架，主要新增了对广播和多播业务的支持，以及MS和BS的相互设备鉴权等内容。PLMV2中公钥的产生模式包括RSA和EAP。在PKMV2中，AK的序列号AKSEQUENCENUMBER由PKMVL中的4BIT增加到了64BIT，弥补了重放攻击的漏洞。PKMV2支持使用EAP，可支持强的密码派生方法，例如EAPTLS，EAPTTLS和EAPSIM等。EAP没有定义每条消息的内容，网络可实现几种不同类型的内容格式。EAP甚至还允许网络运营商采用专用消息传输方案。数据加密方面，80216E相对于80216D并没有太多的改变，仍然采用是56比特CBC模式的DES算法或者128比特CCM模式的AES算法。其中AESCCM数据加密协议与IEEE8021LI相似，AESCCM是基于AES的CCM模式，该模式结合了计数器模式，用于数据保密和CBCMAC模式用于数据完整性鉴权。133存在的问题正如我们所了解的那样，在IEEE80216D以及之前的版本，安全方案设计存在不足之处其一，标准中只能提供了单向认证而没有提供双向认证。即没有提供SS对BS的认证，SS无法确认与之关联的BS是否合法，假冒合法的BS欺骗SS就变得非常容易。在单向认证的前提下，CA没有参与认证过程；其二，密钥质量不高，更新密钥产生漏洞。授权密钥AK和会话密钥TEK均由BS方产生。在这种单向认证的条件下，很难使得SS对保密密钥TEK的质量产生信任；第7页共鹋页中山大学硕士学位论文其三，存在管理协商漏洞，密钥TEK序列号只有2比特，没有新鲜度的验证，管理帧协商交互过程的安全性不够，容易遭受重放攻击【41。对于增加了移动性的80216E标准，同时增加了网络安全威胁的可能性。移动性使得攻击者的存在更加容易，攻击者的物理位置不受限制，使得管理消息更加容易受攻击。在IEEE80216E中提出了双向认证概念，但是双向认证仍允许单向认证存在，增加了系统代价和实现复杂度，新厂商加入时会引起所有厂商的信任列表更新。如果整个系统中既存在单向认证的设备又存在双向认证的设备，允许单向认证的存在，不能避免冒充BS的攻击。单向认证存在的缺陷可能会危及整个系统的安全，包括进行双向认证的部分，这是有待进一步改进的地方。而且，在80216E中定义了使用EAP的方式进行认证的方式61，但其中没有指定认证协议，对于没有确定的认证协议存在安全强度的不确定性。在16E的密钥协商中，密钥AK和TEK均由BS一方产生和分发。由于不是两方参与贡献自己的随机数，BS必须有可靠的随机数生成算法，否则可能会影响系统安全性。80216D和80216E的认证都是采用RSA。RSA算法是第一个能同时用于加密和数字签名的算法，是被研究得最广泛的公钥算法，也是目前最优秀的公钥方案之一。RSA算法解决了大量网络用户密钥管理的难题，这是公钥密码系统相对于对称密码系统最突出的优点。RSA算法在安全接口层SSL标准、智能IC卡和网络安全产品等方面都得到了广泛的应用。但是RSA的特点决定了其存在的不足产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密。安全性方面，RSA的安全性依赖于大数的因子分解，但并没有从理论上证明破译RSA的难度与大数分解难度等价，而且密码学界多数人士倾向于因子分解不是NPC问题；运算量大、速度太慢。由于RSA的分组长度太大，为保证安全性，N至少也要1024BIT以上，使运算代价很高，在嵌入式系统中，问题尤为突出；且随着大数分解技术的发展，这个长度还在增加，不利于数据格式的标准化。第8页共68页中山大学硕士学位论文在IEEE80216的各版本标准中，都没有对密钥的产生进行定义，并没有定义由哪一种伪随机数生成算法产生，如果具体实现的时候使用的随机数生成算法不能达到随机的要求，这将可能成为一个很严重的漏洞。由于80216E考虑了向前的兼容性和较大的灵活性，安全设计过于复杂，实现难度大，安全设计总体效率相对较低。我们清楚的认识到，复杂性是安全性最大的敌人14】。复杂的安全协议对于系统来说本身就可能存在安全隐患。同时，在嵌入式系统实现复杂的安全协议时，增加了对系统的软硬件的资源需求，增加了软硬件的复杂程度和设计难度。44安全目标及设计原则综合考虑无线城域网面L临的安全威胁，我们考虑基于椭圆曲线的密码体制的安全目标应该如下1BS对SS进行认证通过可信单元ASU，BS对接入的SS进行合法性的认证，确保只有合法的用户才能使用网络资源，阻止非授权用户访问网络资源通过认证实现访问控制和权限控制；2SS对BS进行认证防止假冒的接入基站提供不可区分的服务，通过过滤和筛选用户的数据达到非法目的。防止假冒的中间设备面向BS模拟一个SS，而面对SS模拟一个BS进行中间人攻击，从中达到非法目的；3数据传输加密保证用户数据在无线媒体中传输的机密性，防止侦听并截获有效信息；4完整性校验保证传输数据的完整性，确保没有被篡改。本方案针对到了无线城域网面临的安全威胁，并根据当前信息安全技术的发展现状，考虑密码体制方案的设计遵循以下设计原则1采用椭圆曲线密码设计密码体制方案；2实现BS与SS的双向认证，保证合法的无线城域网用户站SS接入合法的无线城域网基站BS；3基于X509数字证书的认证体系；4实现密钥管理，可控的会话协商动态密钥；5实现基站BS和子站SS之间的保密数据传输。第9页共鹋页中山大学硕士学位论文15本文的意义和主要内容宽带无线接入系统中的信息安全是信息安全学的一个重要应用领域。针对无线城域网所面临的安全威胁和实际用户的需求，并考虑到以IEEE80216为例的无线城域网标准的安全协议中存在的不足之处，本文研究如何将安全的鉴别和保密技术应用于无线城域网，实现一套方便实用、更高效，更安全的无线城域网安全接入系统具有很好的实际意义。目前我国还没有形成自己的无线城域网技术标准，但在无线城域网安全接入技术方面已经有了一些进展。2007年8月24日，中国宽带无线IP标准工作组秘书处发送简报“关于成立“无线城域网安全接入技术规范”项目组公告”，由包括国家密码管理局商用密码研究中心、国家无线电监测中心、清华大学、西安电子科技大学、重庆邮电大学、广州杰赛科技股份有限公司、深圳市明华澳汉科技股份有限公司、西安西电捷通无线网络通信有限公司、深圳市熙和科技有限公司在内的9个单位组成项目组开展工作，并由广州杰赛作为项目组负责单位牵头开展工作。目前工作正处于草稿意见征集阶段。作者结合所在单位从事的无线城域网开发和安全接入规范的相关工作，参考了国家无线局域网标准GBL562911中的WAPIWLANAUTHENTICATIONANDPRIVACYINFRASTRUCTURE，无线局域网鉴别和保密基础结构体制，提出并详细论述了一套基于椭圆曲线密码体制的无线城域网安全接入方案。并以此来保证无线城域网的信息安全，防御嗅探、假冒、篡改和重放等信息安全攻击。第10页共船页中山大学硕士学位论文第2章密码基础知识目前，信息安全问题在计算机和通信领域得到了普遍的重视。信息安全主要包括信息的机密性、完整性、不可否认性、可用性和可控性等，其的核心技术是密码技术。利用密码技术实现对信息的加密传输、数据完整性鉴别和用户身份鉴别等。密码学是结合数学、计算机科学和电子与通信多学科交叉的学科，它是以研究数据保密为目的，对储存或者传输的信息采取秘密的交换以防止第三者对信息的窃取的技术。密码学的发展历史大致划分为三个阶段第一阶段是在1949年以前，是密码学发展的原始阶段，密码学专家靠直觉和想象来设计密码和分析密码，并不进行推理证明。第二阶段是从1949年到1976年。主要的标志性事件是SHANNON在1949年发表了“保密系统的信息理论”，它让密码学的研究进入了科学的轨道。第三阶段是从1976年至今。1976年，DI行EW和HELLMANM发表的。密码学的新方向”【6】使密码学技术发生了翻天覆地的变化，第一次证明了在信源和信宿间无密钥传输的保密通信是可能的。1977年，由RIVEG、SHAMK和ADLEMAN提出的第一个比较完善的公钥密码体制，即著名的RSA公钥密码体制【L”。近年来密码学领域又提出了基于离散对数问题的EIGAMAL公钥密码和椭圆曲线公钥密码，使得公钥密码体制的理论体系越来越完善。本章主要描述对称密码体制、公钥密码体制和椭圆曲线密码体制，并介绍与密码体制相关的数字证书、散列算法和消息认证码。21对称密码体制对称算法SYMMETRICMGOFITHM也称为传统密码算法，是一种加密密钥和解密密钥能够相互推算出来的一种密码体制。在大多数对称算法中，加解密使用密钥是相同的。对称算法有时也叫秘密密钥算法或者单密钥算法，它需要在安全通信之前在收发算法商定一个密钥。对称算法的安全性依赖于双方信任的密钥，密钥的泄露意味着任何人都能对消息进行加密或者解密。对称算法的加密和解密可以表示为第1L页共鹋页中山大学硕士学位论文C巩CM一个典型的通信加密信道模型如图L所示密钥一。一。妄答蓓矿一一卜密钥团1通信加密信道示意图信息发送方ALICE将要明文加密后发送给信息接收方BOB，BOB通过双方共同拥有的共享密钥解密获得明文。中间传输的密文可能会被作为攻击者的OSCAR截获文。对于收发双方共同拥有的共享密钥可以是预先设置的，也可以通过安全信道进行传输的，当然，也可以采用公钥体制的密钥协商方式在非安全信道上实现双方共同建立共享密钥。对称密码算法可以分为两类，一类称为序列算法STREAMALGORITHM或者序列密码STREAMCIPHER，有时也叫流密码。它一次只对明文中的一个位或者字节进行运算。另一类称为分组算法BLOCKALGORITHM或者分组密码BLOCKCIPHER。它是对明文的位组BLOCK进行运算，输入是将明文信息划分成的固定长度的位组，运算输出得到等长的密文。人们对分组密码已经有了大量的研究，分组密码技术是相对比较成熟的密码技术。绝大部分基于网络的对称密码应用都是使用分组密码。在分组密码中，较常见的有DES、AES、IDES、RC2、RC4、RC6、RCS等。由美国国家标准局NIST，即现在的美国国家标准技术协会在1977年的FIPSPUB46中公布的数据加密标准DES，DATAENCRYPTIONSTANDRAD曾经是世界上使用最广泛的密码体制。DES采用64位的分组长度和56位的密钥长度。后来由于计算机技术的发展和计算能力的提升，DES的安全强度受到质疑，又出现DES改进的使用方法三重DES3DES算法，以增强算法的安全强度。IDES算法是在DES算法的基础上发展起来的，比DES的安全性更好一些。直到1991年，高级加密标准AES，ADVANCEDENCRYPTIONSTANDARD的出现，才逐步替代DES的使用。AES的具体情况将在后面的章节详细讨论。第12页共68页中山大学硕士学位论文22公钥密码体制公钥密码学的发展是整个密码学发展历史中的一次伟大革命。在公钥密码体制之前，几乎所有的密码体制都是基于替换和置换之类的初等方法，包括更复杂的加密体制DES和AES。而公钥密码算法则不同，它是基于数学函数而不是基于替换和置换的。同时，公钥密码算法是非对称的，它使用两个具有相互联系又相对独立的密钥，这对于消息的保密性、密钥分配和认证领域具有重要的意义。所以，有时也称公钥密码算法为非对称加密算法。公钥密码学的概念主要是为了解决传统密码中最困难的两个问题而提出的。其一是密钥管理中密钥分配问题，其二是“数字签名”问题。公钥密码体制的基本原理描述如图2所示、_，、1_，ALICOBOB密钥对密钥对笋嘿Q相互公开的公钥PLO图2公钥密码体制基本原理通信的双方ALICE和BOB都各自拥有一个公钥和一个私钥，公钥和私钥是成对出现的，并且得知公钥推导出私钥在数学上是困难的。公钥可以在网络上公开，而私钥保存于通信的一方，将不被任何其它方所得到。ALICE采用BOB的公钥PK2加密明文并传送给BOB，即图中的E，。M，只有BOB用对应的私钥SK2才能将密文解密为明文。同时ALICE在发送给BOB的消息中附加了使用ALICE的私钥SKL进行计算得到的“签名”，即图中的艮M，BOB可以在接收到消息后通过ALICE的公钥PKI对其“签名”进行验证，以确保消息是由ALICE发出的。从而实现了确保是特定的发送方加密并发送数据信息，只有特定的接收方才能接收并解密信息。公钥密码体制通过以上原理可以实现相互认证，密钥分配等问题，使得发送端和接收端无密钥传输的保密通信成为可能。从现有的公钥密码体制来看，在DI廊W和HELLMANM提出公钥密码的思想后，国际上已经提出了多种公钥密码体制，其安全性都是基于复杂的数学难题的。第13页共鹋页中山大学硕士学位论文根据基于的数学难题不同，主要分为三类一类是基于大整数因子分解问题IFP的公钥体制，典型代表就是RSA；第二类是基于离散对数问题DLP的公钥体制，如DSA、DIFFIEHELLMAN密钥交换方案和EIGAMAL类公钥密码体制等；第三类是基于椭圆曲线离散对数问题ECDLP的公钥体制，如椭圆曲线密码体制ECC。虽然公钥密码体制有诸多的特点，但并不是说公钥密码体制就比传统密码体制跟安全。事实上，任何加密方法的安全性依赖于密钥的长度和破译密文所需的计算量。而且，也不是说明传统密码已经过时，公钥密码将取代传统密码成为一种通用的方法。由于现有的公钥密码所需的计算量大，短时间内取代传统密码还不可能。使用公钥密码进行密钥管理和认证，并使用对称密码进行数据加密的混合系统将是现在和未来一段时间内密码系统的主要形式。23有限域的椭圆曲线椭圆曲线密码体制ECC和椭圆曲线离散对数问题ECDLP的基础就是椭圆曲线的基本理论。椭圆曲线理论是代数几何、数论等多个数学领域的一个交叉点。椭圆曲线EC的研究来源于椭圆积分J南，其中的且“是石的三次多项式或四次多项式。这样的积分不能用初等函数来表达，为此引进了所谓椭圆函数261。椭圆曲线是指光滑的WEIERSTRASS方程所确定的平面曲线。设WEIERSTRASS方程为Y2口IXY口3YX3口2X2口4XA6式21方程中的参数取自域F上。，可以是有理数域，实数域或有限域GF矿。在密码中，我们比较关心的是有限域上的椭圆曲线。其中A1A2A3A4A6EF且A0，是4一1的判别式，具体定义如下A一哦一8刃一27哦29D2D4D6吐彳4AZD42A4OAA3吨Q24A6蟊AT2A64A；A6一ALA3A4吒Z一云式22第14页共68页中山大学硕士学位论文定义在有限域C上的椭圆曲线E定义为E工，YXLY2口IXYA3YX3A2X2A4XA6UO式23其中Q且6226I8B4327B629B2B4B60。6IA4A2，642A4口LA，66A324A6682蔓4口2一AL，A3口4口2钙2一吒2式24C46；一24B4，C6G一十36B2B4216B6，C43A231椭圆曲线的参数选择椭圆曲线密码体制的安全性是建立在椭圆曲线离散对数的基础上的，但是，并不是所有的椭圆曲线都可以应用到公钥密码体制中，我们必须选择安全的椭圆曲线来保证公钥密码体制的安全性。其中阶为大素数或者含大素数因子的椭圆曲线是安全的椭圆曲线。寻找安全的椭圆曲线有四种方法方法一在有限域GFQ上随机生成一条椭圆曲线，再计算其阶，如果阶是大素数或含有大素数因子，则可得到安全的椭圆曲线；方法二取具有一定特殊性的椭圆曲线的系数，计算该椭圆曲线的阶并进行判断，直到找到所需的安全曲线；方法三如果Q2”，其中M能被一个比较小的整数D整除，我们首先在有限域GFQ，X吼2D上选择一椭圆曲线E并计算其阶，根据此值，并利用WEIL定理计算该曲线在其扩域GFQ上的阶，若此阶符合安全标准，我们再早曲线E。在域GFQ上的嵌入E，则E即为所需的安全椭圆曲线方法四首先给出具有安全条件的曲线阶，然后构造一具有此阶的椭圆曲线。我们知道，椭圆曲线密码体制实现的三个基本问题快速标量乘运算、阶的运算和基点的选取。椭圆曲线素数P的选取可以是任意的，在有限域GFPEO有一个基本运算，即模P归约，这采用通用的计算方法。但对于一类特殊的大素数域P是广义梅森MESESEN素数时，模P归约运算具有更为有效和快速的算法。为了加快计算的速度，我们选择素数时，就选择广义梅森素数。在我们选择192第15页共鹋页中山大学硕士学位论文比特的密钥强度时，表达式为P192P2”一2“一1。一般来说，在密码中普遍应用的是基于大素域GFP和特征为2的域。上的椭圆曲线。在本文中就是选择基于大素域GFP的椭圆曲线。232椭圆曲线的运算椭圆曲线的运算主要包括坐标系转换运算、点运算、标量乘法运算和GFP域的基本运算等。GFP域中选取192比特的N，可转换为二进制形式的多个32比特的字WORD存储的元素，在标准C语言中可支持32比特字的运算，大素数域中的元素运算实质上是多字运算。各种运算具体描述如下。2321坐标系转换在实现中，输入输出采用仿射坐标，这是为了传输和存储方便，在计算中采用射影坐标，这是为了提高速度。所以需要这两个坐标之间的转换函数。我们先来了解仿射坐标和摄影坐标的概念。仿射坐标椭圆曲线E上的一个有限点可以由满足E的方程的GFQ中的两个元素X，Y表出，它们称为点的仿射坐标。无穷远点0没有仿射坐标，为了计算方便，我们用不在E上的任一点X，Y表示无穷远点。对QP，当B0时取0O，1，否则取0O，0。射影坐标如果GFQ中的除法代价是相对较高的，我们可以采用射影坐标。一个仿射点X，Y的射影坐标由XY，Z给出，其中XI，舻孑Y2可一个点的射影坐标是不惟一的，这是因为对每一个五GFQ有X，L，Z五2X，A3Y，旯Z，无穷远点的射影坐标是五2，五3，0，其中旯0。采用射影坐标，椭圆曲线上的点加运算就不需要使用有限域中的除法了。仿射坐标转换到射影坐标定义为Z，YX，Y，1X，Y，Z。射影坐标转换到仿射坐标定义为X，Y，Z寸XZ2,YZ3工，Y。第16页共68页中山大学硕士学位论文2322点运算1点加ELLIPTIC_ADD运算。GFP上椭圆曲线Y2矿搿6的点加公式的射影坐标形式是XO，YO，7OAT，RL，Z1恐，Y2，Z2，这里UO局彳，SOYO刃，UI蜀瑶，SLH露，矿UO一“，RSO一两，RUOUT，MSOSL，Z2ZOZL巩施R2一R形2，VTW22X2，2Y2PRMW3。算法的输入P，A，B,TO局，YO，ZOPL，YLZL，这里局、Z1不等0，输出P2，圪，Z2POPL。2倍点ELLIPTIC_DOUBL运_算。GFPL椭圆曲线Y2X3甜6的倍点公式的射影坐标形式是2XL，Y1，ZDX2，Y2，Z2，其中M3矸耐，Z22YLZ,，S4XIYL2，置M22S，TSYT4，KM一五一R。算法输入P，A，B，丑五，E，Z1，输出最五，砭，Z22E,。2323标量乘法运算椭圆曲线中最基本最重要的运算之一就是标量乘法SCALARMULTIPLICATION，即求点P的K倍，在密码体制的实现中，它的运算速度直接影响到算法的整体速度。前面描述的点加运算与倍点运算就是为标量乘法服务的。采用投射平面上的点加和倍点运算，将会提高标量乘法的运算效率。目前计算标量乘的算法主要有二元展开法、带符号的二元法、M进制方法、带符号的M进制方法、滑动窗口法、FROBENIUS自同态法等等。同时考虑到具体实现的效率，有的可以采用预计算。根据计算的点的不同，标量乘运算又分为随机点标量乘和固定点标量乘运算两组。目前最快的随机点标量乘算法是滑动窗NAFNONADJACENTFORM方法，下面将这一算法描述如下算法输入窗口宽度W，整数K，NAFKEI2K,，椭圆曲线上的点P，算法输出椭圆曲线上的点Q，QKP。基本步骤如下1对I1，3，5，2一一L，计算只IP第17页共明页中山大学硕士学位论文2Q93FORIFROM，一1DOWNTO0DOQ卜2QIFT0THENIF皇0，THENQ卜Q最；ELSEQ卜Q一最4RETURNQ。对于固定点标量乘，我们采用的是基点固定的快速标量乘算法，窗口大小W4，预存储了32个点，算法输入窗口大小W，DFWL，J2K，七L，KO2，PEGHP，算法输出KP。基本步骤如下1将P由仿射坐标X，Y转换为射影坐标X，Y，12预计算令8RD2；计算【钆L,“AL，】P和2。【口LQ，】P，对所有，Q，AOE0，1”其中卜KL，Q，嘞1尸口卜12。叫FPQ24PAOP3把七写成七七”1卜忖ILK。，每个七是D比特，不够时，左边可用0补足。令纠为七的第F比特4Q卜5FORIE一1DOWNTO0DOQ卜2QG卜QK“，叫，七JOJ尸28K一，碟。，醒。JP6、返回Q7、将Q由投射坐标工，Y，Z转化为仿射坐标仁，兰ZZ8、输出Q。第18页共明页中山大学硕士学位论文2324GFP域的基本运算而GFP域的基本运算是在GFP域上模的一般运算的更有效的快速算法。GF域的基本运算包括模加运算、模减运算、模乘运算、模规约运算、整数平方运算、BARRETT模归约运算、求逆运算、模除运算等。描述如下1模加运算。模加运算输入模数P，整数A,B【0，P一1】，口Q1，DF2，口L，B2L，岛2，岛，。输出为CABMODPO2模减运算。模减运算和模加运算是非常类似的，不同的是运算中要用到借位。模减运算输入模数P，整数A，B0，PL】，AAL1，口2，AL，AO，BBT_1,I_2，6L，BO，输出CABROODP。3模乘运算。在有限域中的乘法是模乘运算，一般分成两步整数乘运算和模P归约。模乘运算输入整数A，B“0，P1】，输出CAB。乘法所得结果C是在OP2之间，需要将它归约到【O，PILK。对于一般的素数P，我们采用BARRETT模归约算法，详见后文描述。4整数平方运算。整数平方运算输入整数AO，PI】。输出CA2。乘法所得结果C是在OP2之间，需要将它归约到【O，PL】上。对于一般的素数P，我们采用BARRETT模归约算法，详见后文描述。5BARRETT模归约运算。BARRETT模归约输入CC，Q，”K232“PJ，输出FCMODPL92。6求逆运算。求逆运算输入P，A【1，PL】，输出AMODP。7模除运算。在有限域中的除法运算是通过乘法运算和求逆运算的组合完成的。GFD域的模运算是椭圆曲线基本运算用到的基本域运算。各算法的运算效率很大程度的决定了整个算法的速度。24椭圆曲线密码体制椭圆曲线密码体制ECC，ELLIPTICCURVECRYPTOSYSTEM是1985年由NKOBLITZ和VMILLER分别独立提出的，是一种基于椭圆曲线离散对数问题ECDLP，ELLIPTICCURVEDISCRETELOGARITHMPROBLEM的公钥体制。ECDLP问题是相比大整数因子第19页共68页中山大学硕士学位论文分解问题和离散对数问题要难得多的数学问题。椭圆曲线密码体制具有安全性高、密钥尺寸小、存储空间少、计算量小、处理速度快和带宽要求低等诸多优点。在安全性方面，ECC与RSA相比，ECC的抗攻击性具有相当的优势。经证明，160比特的ECC和1024比特的RSA密码体制具有相同的安全强度。而256比特的ECC就和3072比特的RSA密码体制具有相同的安全强度【I31。可见，在相同安全级别下，ECC具有更小的密钥尺寸、系统参数和存储空间。在计算量和处理速度方面，ECC要比RS