1.《原子密钥建立与实体鉴别系列》团体标准概述
2021年12月,中关村无线网络安全产业联盟(WAPI产业联盟)发布了T/WAPIA 045《信息技术 系统间远程通信和信息交换 原子密钥建立与实体鉴别》系列7项团体标准,首次提出原子密钥建立与实体鉴别(Atomic Key Establishment and entity Authentication,AKEA)的概念,并制定了多种具体的AKEA机制。该系列团体标准的起草单位主要包括西安西电捷通无线网络通信股份有限公司、无线网络安全技术国家工程研究中心、WAPI产业联盟、国家密码管理局商用密码检测中心、国家无线电监测中心检测中心、北京数字认证股份有限公司、中国网络安全审查技术与认证中心、中国通用技术研究院、国家信息技术安全研究中心等。
.jpg)
图1 T/WAPIA 045系列团体标准
2.相关术语概念
T/WAPIA 045系列团体标准首次提出原子密钥建立与实体鉴别(AKEA)的概念,为便于理解AKEA概念以及该系列标准,首先给出如下两个术语概念:
(1)实体鉴别(entity authentication):实体鉴别指证实一个实体就是所声称实体的过程(ISO/IEC 9798-1:2010),也即某一实体确信与之关联的实体正是所需要的实体的过程。在实体鉴别过程中,身份由某次通信连接或者会话的参与者提供,实体鉴别在连接建立或在数据传送阶段的某些时刻发生;
(2)密钥建立(key establishment):密钥建立指为一个或多个实体产生一个可用的共享的秘密密钥的过程,包括密钥协商、密钥传送(ISO/IEC 11770-1:2010);通过该过程创建的密钥通常用于实体建立连接后的保密通信过程,用于实现数据的机密性和完整性。
从上述定义可以看出,实体鉴别与密钥建立是两个独立的术语概念。T/WAPIA 045系列团体标准在前述两个术语概念基础上首次提出了原子密钥建立与实体鉴别AKEA。
原子是化学元素的最小单位,在化学反应中不可再分割。原子性则指事务的不可分割性,一个事务的所有操作要么不间断地全部被执行,要么任何操作也没有被执行。
T/WAPIA 045中首次提出的原子机制,指一种向两个对等实体提供一项或多项服务的机制。首先,两个实体均无法在接收到最后一条消息之前完成任何服务;其次,每个实体均可以检测到交换的所有消息的内容和顺序的任何更改,包括接收到的最后一条消息。
T/WAPIA 045中首次提出的AKEA,指一种原子机制,使用不可还原且不可分割的消息交换序列,为两个对等实体提供实体身份鉴别和密钥建立,任何实体在收到最后一条消息之前均无法完成对其对等实体的身份鉴别或密钥建立。
AKEA的提出,标志着在基础网络安全协议技术演进中实体鉴别和密钥建立两个概念的融合。AKEA的原子性意味着以下特性:
(1)隐式密钥确认:确保那些通过身份鉴别的实体都持有已建立的密钥。注意,不可能发生这样的情况:首先由实体A和B进行身份验证,然后由实体A和C进行密钥建立,以至于最终C拥有密钥,而A以为是B拥有密钥;
(2)整体性:两个实体均不能在收到最后一条消息之前验证其对等实体或建立密钥;
(3)完整性:每个实体均可以检测交换的所有消息的内容和顺序的任何更改,包括最后收到的消息;
(4)不可分割性:防止接力攻击的组合机制。机制执行结束后,两个实体将获得相同的结果(成功或失败),并且在成功的情况下,将获得对端身份证明和拥有相同密钥。
3.相关标准情况
3.1 国际标准
全球技术标准体系历经演进,与实体鉴别及密钥建立相关的信息安全基础共性技术标准化工作主要集中在国际标准化组织/国际电工委员会第一联合技术委员会信息安全分委会(ISO/IEC JTC 1/SC 27),实体鉴别系列国际标准对应ISO/IEC 9798系列,密钥建立系列国际标准对应ISO/IEC 11770系列。
.png)
图2 ISO/IEC 9798系列标准
ISO/IEC 9798系列现行有效标准有6项:第1部分是总则,规范了使用安全技术的实体鉴别机制的模型、一般要求和约束条件;第2部分是采用对称加密算法的机制;第3部分是采用数字签名技术的机制;第4部分是采用密码校验函数的机制;第5部分是采用零知识技术的机制;第6部分是采用人工数据传递的机制。其中ISO/IEC 9798-3自1998年后20多年间仅有的两次技术标准演进均由我国推动,该部分标准中所有在线实体鉴别技术均由中国贡献。ISO/IEC 9798-3:1998/Amd.1:2010中纳入了我国自主研发的2项三元对等实体鉴别(双向鉴别)技术;ISO/IEC 9798-3:2019中进一步丰富了实体鉴别国际标准技术体系,增加了单向鉴别、多在线可信第三方等3项三元对等实体鉴别机制。这五项自主研发的鉴别机制有效防范了信息未经授权使用、误用等网络信息安全隐患。
.png)
图3 ISO/IEC 11770系列标准
ISO/IEC 11770系列现行有效标准有7项(第1至第7部分),第8部分正在制定中。第1部分是框架,规范了建立密钥管理机制所基于的通用模型,给出了ISO/IEC 11770所有部分通用的密钥管理基本概念,规范了密钥管理服务的特征,建立密钥材料生命周期管理的一般原则以及建立密钥分配的概念模型;第2部分是采用对称技术的机制;第3部分是采用非对称技术的机制;第4部分是基于弱秘密的机制;第5部分是群组密钥管理;第6部分是密钥派生;第7部分是基于口令的跨域鉴别密钥交换;第8部分是基于口令的密钥派生(制定中)。
3.2 国家标准
国家标准体系中,与实体鉴别及密钥建立相关的信息安全基础共性技术标准化工作主要集中在全国信息安全标准化技术委员会(TC 260),实体鉴别系列国家标准对应GB/T 15843系列,密钥建立系列国家标准对应GB/T 17901系列。
.png)
图4 GB/T 15843系列标准
GB/T 15843系列国家标准对应ISO/IEC 9798系列国际标准,也划分为6个部分,分别等同采用国际标准ISO/IEC 9798的对应部分。随着我国参与制定的国际标准ISO/IEC 9798-3:2019的发布,目前GB/T 15843.3正在推动相应的修订,已进入报批阶段。
.png)
图5 GB/T 17901系列标准
GB/T 17901系列国家标准对应ISO/IEC 11770系列国际标准,拟包含上述6部分,目前第1和第3部分已发布。GB/T 17901.1—2020修改采用国际标准ISO/IEC 11770-1:2010,GB/T 17901.3—2021修改采用国际标准ISO/IEC 11770-3:2015,这两部分和国际标准的区别主要是适应我国密码算法使用等相关要求。
3.3 技术标准演进需求
随着安全需求的不断发展,在实际的通信环境中,仅需要身份鉴别或仅需要实体之间保密通信(需首先完成密钥建立)的场景非常少见,若要在一个完整的通信过程中既实现实体鉴别又实现保密通信,则需要实体鉴别机制和密钥建立机制二者结合。目前业界通常的做法是将上述两个标准体系中分别规范的实体鉴别和密钥建立机制简单叠加、组合,这种做法在流程上交互消息会比较多,在叠加的过程中还需要考虑安全衔接等技术细节。因此,亟需一种原子机制的概念及标准,以对同时实现实体身份鉴别和密钥建立两个功能的新机制进行规范。
T/WAPIA 045 AKEA系列7项团体标准,就是在上述需求背景下首次提出了原子机制、AKEA的术语概念,并规范了一系列具体的AKEA机制。
4.原子密钥建立与实体鉴别系列团体标准
4.1 T/WAPIA 045.1—2021
T/WAPIA 045.1—2021是AKEA系列第1部分:服务和协议,本部分规范了AKEA的服务和协议,用以支持实体间安全的通信和信息交换,还规范了AKEA可扩展的封装协议(EEP)。
.jpg)
图6 AKEA标准体系框架
本部分第5章规范了AKEA系列标准各协议使用到的数据元素及格式,是AKEA系统标准后6部分的基础。本部分第6章规范了AKEA架构、实体、协议构成及各协议关系。本部分第7章规范了AKEA提供的6种鉴别服务及密钥建立服务,明确了对无鉴别的支持,但从安全的角度不建议使用无鉴别机制。本部分第8章规范了AKEA协议,其中EEP协议将需要传输的消息、分片数据按照可管理的分组进行处理,可选地进行压缩、数据完整性计算、加密处理,然后传送;而接收到的数据首先进行解密处理、数据完整性校验、解压缩,重组后发送给更高一层的客户端。EEP协议可用于封装AKEA系列后面几部分规范的具体的AKEA机制,是AKEA系列标准的公共基础技术组件,通过在消息封装头部携带前序消息的杂凑值,形成一个杂凑链,同步保证了协议执行的效率和安全性。本部分第9章规范了EEP协议对快速鉴别的支持,第10章规范了密钥上报过程。
4.2 T/WAPIA 045.2—2021
T/WAPIA 045.2—2021是AKEA系列第2部分:轻量级原子实体鉴别与密钥建立,本部分规范了轻量级原子实体鉴别与密钥建立(AKEA-L),可封装在EEP协议中实现实体间原子实体鉴别与密钥建立。
本部分第5章规范了AKEA-L架构,使用AKEA-L协议协商的密钥建立算法和参数,通过密钥交换协议或随机数交换算法,请求者REQ和鉴别接入控制器AAC基于预共享密钥协商建立一个共享的主鉴别密钥MAK,通过MAK建立用于安全通信的会话密钥体系。
本部分第6章规范了AKEA-L格式和数据元素,明确了与EEP协议的接口。AKEA-L协议不仅实现初始鉴别功能和实现密钥更新功能,还可用于实现快速密钥更新。
AKEA-L支持两种密钥建立体系:第7.2章节中规范的基于基密钥BK的实体鉴别与密钥建立体系,以及第7.3章节中规范的基于预共享密钥PSK的实体鉴别与密钥建立体系。
本部分第8章规范了AKEA-L握手消息交互流程,包括带鉴别、无鉴别、随机数密钥交换情况下实体鉴别和密钥建立过程,以及用于切换网络接入点时的快速鉴别或者在同(跨)域情况下的快速密钥更新。
AKEA-L协议不仅支持实现初始鉴别,还支持实现密钥更新以及快速密钥更新等能力。
4.3 T/WAPIA 045.3—2021
T/WAPIA 045.3—2021是AKEA系列第3部分:采用证书的原子密钥建立与实体鉴别,该部分规范了采用证书的原子密钥建立与实体鉴别协议(AKEA-C),可封装在EEP协议中实现实体间原子实体鉴别与密钥建立。
AKEA-C中实体采用证书作为身份凭证,实现实体之间单向或双向鉴别,包括全网络隐私信息保护、鉴别实体之间隐私信息的保护以及漫游情况下的实体鉴别和密钥建立等。
本部分第5章规范了AKEA-C协议的握手交互过程,在安全通信前,AKEA-C在请求端和接入端实体之间提供鉴别,并进行密钥协商和确认,采用数字证书作为实体间的凭证。在鉴别和密钥管理协议、压缩和鉴别服务使用的密码套件的算法和参数协商后,AKEA-C成功完成,建立共享基密钥BK,基于BK建立整个密钥体系。
本部分第6章规范了AKEA-C格式和相关的数据元素及其定义,其中的数据元素是在第1部分的基础上完善了证书验证结果和涉及AS时需要接入端向其发送的指定信息等。
本部分第7章规范了AKEA-C的协议握手消息交互,包括两个实体之间分别相互的单向和双向的实体鉴别与密钥建立过程,以及网络中存在可信第三方时实体利用第三方实现单向或者双向的身份鉴别与密钥建立的过程。AKEA-C协议中,还支持主动身份保护,在协议执行过程中,当请求端获得接入端的身份鉴别结果并确定其是自己想要接入的网络时,才将自己的身份信息发送至接入端让其验证。
4.4 T/WAPIA 045.4—2021
T/WAPIA 045.4—2021是AKEA系列第4部分:采用预共享密钥的原子密钥建立与实体鉴别,该部分规范了采用预共享密钥的原子密钥建立与实体鉴别(AKEA-P),可封装在EEP协议中实现实体间原子实体鉴别与密钥建立。
该标准规范了采用预共享密钥作为身份凭证,实现实体之间单向或双向鉴别的机制,其中包括了全网络隐私信息保护、鉴别实体之间隐私信息的保护情况下的原子密钥建立与实体鉴别,并且可以实现抵御字典攻击和降低量子计算攻击的功能。
本部分第5章规范了AKEA-P的过程和协议,第6章规范了AKEA-P格式和相关的数据元素,第7章规范了AKEA-P握手消息交互的具体实现,包括不存在可信第三方的两元实体架构下的两个单向和一个双向的实体鉴别与密钥建立机制;以及存在可信第三方的情况下(漫游与非漫游)实体利用第三方实现双向的身份鉴别与密钥建立。
4.5 T/WAPIA 045.5—2021
T/WAPIA 045.5—2021是AKEA系列第5部分:采用预共享密钥与证书组合的原子密钥建立与实体鉴别,该部分规范了采用预共享密钥与证书组合的原子密钥建立与实体鉴别(AKEA-M),即实体一端采用数字证书、一端采用预共享密钥的密钥建立与实体鉴别,可封装在EEP协议中实现实体间原子实体鉴别与密钥建立。
本部分主要规范了非对等网络环境下,实体一端采用预共享密钥一端采用证书作为身份凭证,实现实体之间单向或双向鉴别的机制,其中包括了全网络保护、鉴别实体之间网络信息的保护情况下的原子密钥建立与实体鉴别等,解决了实体申请证书难的问题。
AKEA-M握手消息交互中需要可信第三方的参与;在AKEA-M中持证书的实体和鉴别服务器分别持有数字证书及其对应的私钥;持证书的实体知晓其所信任的鉴别服务器的数字证书或者数字证书中的公钥;鉴别服务器具有验证实体数字证书合法性的能力以及验证持有PSK实体的身份合法性的能力;持有PSK的实体和鉴别服务器之间具有有效的预共享密钥,并使用预先约定的校验算法。
当实体需要身份主动保护(隐私信息全局网络保护)时,鉴别服务器应同时持有用于加密的证书及其对应的私钥,且实体持有鉴别服务器加密证书或者加密证书中的公钥。
本部分在7.1章节中规范了请求端采用预共享密钥、接入端采用数字证书作为身份凭证,在7.2章节中规范了请求端采用数字证书、接入端采用预共享密钥作为身份凭证,在存在可信第三方的情况下(漫游与非漫游)实体利用可信第三方实现双向的身份鉴别与密钥建立。
特别说明的是,此过程中持有证书的实体使用AKEA-L中基于BK的密钥建立层次建立密钥体系,持有PSK的实体使用AKEA-L中基于PSK的密钥建立层次建立密钥体系,在整个原子机制的执行过程中,实现了密钥的确认,即,对方均持有与自己相同的会话密钥。
4.6 T/WAPIA 045.6—2021和T/WAPIA 045.7—2021
T/WAPIA 045.6—2021和T/WAPIA 045.7—2021分别是AKEA系列第6部分和第7部分,是AKEA在三元移动通信系统安全中的具体应用,分别是基于对称密钥的原子密钥建立与实体鉴别,和基于非对称密钥的原子密钥建立与实体鉴别。
第6部分规范了在移动通信系统中,基于对称密钥的原理,保护申请访问网络的实体身份不被泄露(正常情况下使用临时身份或者临时身份失效或者首次执行本次协议时加密身份)并实现实体之间漫游(非漫游)情况下的双向鉴别以及密钥建立,并且同步执行请求对端实体临时身份更新以保证其安全性。
第7部分规范了在移动通信系统中,基于非对称密钥的原理实现实体之间漫游和非漫游情况下的双向鉴别以及密钥建立过程。
5.标准应用建议
WAPI产业联盟发布的T/WAPIA 045系列团体标准,基于三元对等安全架构,具备身份保护能力、抗字典攻击、抗量子计算攻击等能力,充分考虑了区块链等新技术应用中的技术特性,提供了传统非对称密码算法向后量子密码算法演进阶段协议的安全能力提升。同时,在安全性方面,该系列标准充分考虑了已知和预测的各种应用技术需求,提出了通用的技术组件以供调用;多种技术机制完备且设计合理,满足了各种应用场景;在协议设计过程中,使用多种密码机制保证消息传递过程中的保密性和完整性;在同步实现密钥建立与实体鉴别过程中,利用哈希链、身份保护、完整性校验以及签名验签等方式,保证了协议设计的原子性。
T/WAPIA 045系列团体标准所规范的AKEA架构及协议,是信息安全技术领域基础共性技术,可与IP、WLAN等多种网络通信协议相结合,增强其网络安全性。AKEA技术体系中提出了安全通道建立机制,可被采纳并应用于WLAN、LAN、IP层以及应用层等,满足网络安全访问和保密通信等需求。AKEA使用不可还原且不可分割的消息交换序列,为两个对等实体提供实体身份鉴别和密钥建立,任何实体在收到最后一条消息之前都无法完成对其对等实体的身份鉴别或密钥建立,可满足目前和未来网络通信领域中合法客户端访问合法网络以及保密通信的安全需求。该标准在实际应用中可结合不同需求,通过配置相关安全能力参数,在完成实体鉴别和密钥建立功能时为全网络或局部网络提供多安全级别的差异化保障能力。该系列技术标准还提供了一种量子安全中期演进架构,以融合运用经典公钥密码与分组密码体制的方式,为网络空间提供抗量子计算攻击的纵深防御能力。
本文由西电捷通公司、无线网络安全技术国家工程研究中心供稿,作者:赵晓荣,李琴,铁满霞,黄振海。 | 
