YD/T 2038-2009
基本信息
标准号: YD/T 2038-2009
中文名称:移动通信网 应用服务端到端通信 密钥管理
标准类别:通信行业标准(YD)
标准状态:现行
发布日期:2009-12-11
实施日期:2010-01-01
出版语种:简体中文
下载格式:.rar .pdf
下载大小:5426243
标准分类号
关联标准
出版信息
出版社:中国标准出版社
标准价格:0.0 元
出版日期:2010-01-01
相关单位信息
发布部门:工业和信息化部
标准简介
YD/T 2038-2009 移动通信网 应用服务端到端通信 密钥管理 YD/T2038-2009 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
1CS33.040.01
中华人民共和国通信行业标准
YD/T 2038-2009
移动通信网应用服务端到端通信密钥管理Key management of end-to-end data communication forapplication in mobile network2009-12-11 发布
2010-01-01实施
中华人民共和国工业和信息化部 发 布 前言
1范围
2规范性引用文件·
3术语和定义
4符号和缩略语
4.1符号
4.2缩略语…
应用场景描述·
密钥的生成
6.1根密钥Ki的生成
6.2共享密钥材料的生成…
6.3衍生密钥的生成
6.4会话密钥的生成·
密钥的保存·
7.1根密钥Ki的保存.
7.2共享密钥材料的保存·
7.3衍生密钥的保存
7.4会话密钥的保存·
密钥的分发与传递
8.1根密钥Ki的分发与传递
8.2共享密钥材料的分发与传递
8.3衍生密钥的分发与传递
8.4会话密钥的分发与传递
9密钥的生存期…
密钥的更新
根密钥Ki的更新.
共享密钥材料的更新·
衍生密钥的更新
会话密钥的更新
11密钥的销毁
11.1根密钥Ki的销毁·
11.2共享密钥材料的销毁·
11.3衍生密钥的销毁
11.4会话密钥的销毁
附录A(资料性附录)密钥管理的威胁目
YD/T2038-2009
YD/T2038-2009
《移动通信网应用服务端到端通信密钥管理》是基于《移动通信网应用服务端到端通信认证机制》的密钥管理方法。《移动通信网应用服务端到端通信认证机制》是移动用户与网络中各种应用业务提供者之间的端到端通信的一种通用认证机制,其独立于移动网络用户的网络接入认证机制,针对不同的移动网络应用环境,可以灵活地选择端到端认证的认证模式及实体间的认证方式。在该认证机制中没有详细描述密钥管理的相关内容,所以本标准详细描述了在此认证框架下的密钥管理方法。本标准是基于移动通信网应用服务端到端安全通信的系列标准,该系列标准的名称及结构如下:YD/T2038-2009移动通信网应用服务端到端通信密钥管理YD/T2039-2009移动通信网应用服务端到端通信认证机制本标准参考了ISO/IEC11770-1:1996《信息技术安全技术密钥管理第1部分:框架》、ITU-TQ.9/SG17X.msec-1《基于移动网络应用服务端到端通信的安全技术》以及X.msec-2《基于PKI的移动通信用户到服务提供者之间的端到端数据通信安全框架》。本标准的附录A为资料性附录。
本标准由中国通信标准化协会提出并归口。本标准起草单位:华为技术有限公司。本标准起草人:庄小君、位继伟。I
1范围
移动通信网应用服务端到端通信密钥管理YD/T2038-2009
本标准规定了移动通信网应用服务端到端通信的密钥管理方法。包括密钥的生成、保存、分发和传递、生存期、更新和销毁服务的实施和运用。本标准适用于基于上述认证机制下的所有业务实体,包括所有基于不同移动通信标准的移动终端以及任意的应用服务器。其中应用服务器包括部署于移动网络内部以及位于开放网络的第三方的应用服务器。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T2039-2009移动通信网应用服务端到端通信认证机制3GPPTS33.102:\3GSecurity;Security architecture\.3GPP TS 33.220:\Generic Authentication Architecture (GAA); Generic Bootstrapping Architecture\3GPPTS 33.221:\Generic Authentication Architecture (GAA); Support for Subscriber Certificates\.3GPP2SP0109:\Generic Bootstrapping Architecture(GBA)Framework\.3GPP2 SP0114: \ Security Mechanisms using GBA \.ISO/IEC11770-1:1996《信息技术安全技术密钥管理第1部分:框架》:ITU-T Recommendation X.1121(2004),Framework of security technologies for mobile end-to-end datacommunications.
ITU-T Recommendation X.1122(2004),Guideline for implementing secure mobile systems based on PKI..3术语和定义
下列术语和定义适用于本标准。3.1
实体认证中心entityauthenticationcenter是移动通信网一一应用服务端到端通信认证机制的认证框架中的一个网络元素。其功能是完成与业务实体的认证协商以及互认证过程,生成与业务实体间的共享密钥材料,查询认证情况以及计算衍生密钥等。EAC还可以包括BSF的功能、Kerberos服务器的功能、证书检测的功能等。3.2
实体签约信息数据库entitysubscriptiondatabase是移动通信网一应用服务端到端通信认证机制的认证框架中的一个网络元素。保存有业务实体的签约信息,其中实体的认证信息与身份标识一起保存。3.3
YD/T2038-2009
业务签约者servicesubscriber
具有请求业务的功能,可以是普通的移动用户,也可以是第三方的应用服务器等。3.4
业务提供者serviceprovider
具有提供业务的功能,可以是运营商网络的应用服务器(AS,ApplicationServer)或外部网络的SP(ServiceProvider),甚至是移动终端。3.5
业务实体serviceentity
业务提供者与业务签约者的统称,包括SS、SP两种类型。3.6
私有身份标识private identity业务实体的真实身份标识,是由网络运营商定义的、具有全球唯一性的、用于在归属网络内从网络角度唯一识别用户的标识。它主要用于对用户的认证、计费、管理。3.1.7
公开身份标识publicidentity
业务实体的公共身份标识,是该业务实体和其他实体通信时所使用的身份标识。3.8
根密钥ki
可以是业务实体与网络(EAC)之间共享的密钥,可以永久不变也可以是周期性更新,如3GPP标准组织定义的3G网络里USIM和AuC之间的长期共享秘密密钥K,3GPP2标准组织定义的网络中移动台和归属位置寄存器/认证中心(HLR/CA)之间共享的根密钥AKey:如果业务实体和网络(EAC)都持有彼此信任的机构颁发的证书,此时的根密钥K就是证书公私钥对中的私钥。3.9
共享密钥材料sharedkeymaterial业务实体与EAC互认证过程中生成的,记为Ks/Kp,SS与EAC间的共享密钥材料记为Ks,SP与EAC间的共享密钥材料记为Kp。Ks/Kp可以是对称密钥以及一些其他的材料(共享密码算法、压缩算法、安全关联等)。它可以用于保护Zb和Zb'参考点的通信安全以及导出衍生密钥,具有一定的有效期,与临时身份标识ISR-ID/LAC-ID关联保存,该密钥的长度、算法强度以及有效期可以根据业务类型和安全等级等参数设置。
衍生密钥derivedkey
在认证查询和密钥生成过程中产生,由SS与SP共享的密钥,记为Ksp。通常由共享密钥材料Ks以及业务实体的身份信息导出,可以作为SS和SP的直接互认证的基础,同时可以导出保护二者业务通信的会话密钥Kr-SS-SP,衍生密钥的长度以及有效期可以根据业务类型和安全等级等参数设置,一般来说衍生密钥的算法具有本地默认设置。3.11
会话密钥sessionKey
YD/T 2038-2009
SS和SP基于Ksp成功互认证后将生成保护本次通信的会话密钥Kr-SS-SP,从而保证通信时的一次一3.12
密钥管理Keymanagement
根据安全策略,实施并运用对密钥材料进行产生、登记、认证、注销、分发、安装、存储、归档、撤消、衍生和销毁的服务。
认证模式authenticationmode
在本标准所提供的认证机制中,SS/SP与EAC需要根据网络环境和业务类型等灵活地协商后续认证采用的认证方式和密钥生成方法等,这些协商信息统称认证模式,包括SS/SP与EAC的互认证方法,认证查询和衍生密钥生成方法、SS和SP的互认证方法等,其中,这三项均为可选项。认证模式的命名一般为E2E_XXX,例如:E2E_3G_GBA、E2E_KERBEROS、E2E_Mediation、E2E_TLS。4符号和缩略语
下列符号和缩略语适用于本标准。4.1符号
4.2缩略语
EAC和ESD之间的参考点
EAC和SS之间的参考点
SP与EAC之间的参考点
SS与SP之间的参考点
SS与EAC之间的共享密钥
SP与EAC之间的共享密钥
SS与SP之间的共享密钥
AuthenticationandKeyAgreementCipherKey
Entity Authentication CenterEntity Subscription DatabaseIntegrity Key
Over-The-Air Service ProvisioningPrivate Identity
Service Provider免费标准下载网bzxz
Service Subscriber
User Equipment
UMTS IC Card UMTS
Public Identity
认证与密钥协商
加密密钥
实体认证中心
实体签约数据库
完整性密钥
空中业务提供
私有身份标识
业务提供者
业务签约者
用户设备
集成电路卡
公开身份标识
YD/T2038-2009
5应用场景描述
在移动网络环境下,当一个移动用户(即业务签约者SS)需要使用业务时,它需要向能够提供此项业务的应用服务器(即业务提供者SP)发出业务请求。为了保证安全,应用服务器收到业务请求后需要验证请求者的身份,同时移动用户也需要验证该应用服务器的身份。有关二者之间进行相互认证的具体方法见YD/T2039-2009《移动通信网应用服务端到端通信认证机制》。端到端通信认证模型如图1所示。实体签约
数据库(ESD)
认证中心
签约者
提供者
注:图1中的Ue,Zb,Zm,Zm是参考点,有关详细描述见YD/T2039-2009《移动通信网应用服务端到端通信认证机制》的7.4条。
图1端到端通信认证模型
在图1中,移动用户和应用服务器之间在进行安全的业务通信时,二者之间需要存在相互信任关系。为了在二者之间建立其相互信任的关系,YD/T2039-2009《移动通信网应用服务端到端通信认证机制》中在网络侧引入了实体认证中心(EAC)和实体签约数据库(ESD)。实体认证中心(EAC)作为移动用户和应用服务器之间互认证建立信任关系的可信第三方。实体签约数据库(ESD)存放移动用户和应用服务器的签约信息,这个签约信息是移动用户或应用服务器进行请求业务或提供业务之前和网络签订的。
移动用户和应用服务器都与移动网络之间有了签约关系,并且已经将签约信息存放到签约数据库中此时这个移动用户就可以开始向应用服务器请求业务的过程。首先,作为可信第三方的实体认证中心(EAC)和移动用户之间,以及实体认证中心和应用服务器之间需要建立互信任关系。为了保证安全的建立互信任关系,移动用户和实体认证中心之间,以及应用服务器和实体认证中心之间需要预先共享一个密钥,或者持有双方都信任机构颁发的证书。本标准规定这个预先共享的密钥,或者所持证书的私钥叫根密钥Ki。
移动用户向实体认证中心发送认证请求。实体认证中心收到认证请求后查找实体签约数据库中此用户和业务提供者即应用服务器的签约信息,确认此用户和应用服务器是否和网络存在签约关系,即二者是否能够请求/提供此项业务。如果确认成功,EAC将和此用户协商认证模式,并按照认证模式中规定的认证方法进行相互的认证。认证成功后,EAC和用户之间将生成共享密钥材料Ks,此Ks可以用于保护参考点Zb的通信安全,即用来保护EAC和移动用户之间的秘密通信。然后,EAC和应用服务器之间按照认证模式中协商的认证方法进行相互的认证。认证成功后,EAC和应用服务器之间将生成共享密钥材料Kp此Kp可以用于保护参考点Zb'的通信安全,即用来保护EAC和应用服务器之间的秘密通信。移动用户收到EAC发送的认证成功响应后,向应用服务器发起业务请求。应用服务器收到来自移动4
YD/T2038-2009
用户的业务请求后,向EAC查询此移动用户的认证状态。当查询成功后,EAC为此应用服务器生成衍生密钥Ksp。移动用户收到来自应用服务器的成功响应后,在本地生成相同的衍生密钥Ksp。衍生密钥Ksp将作为应用服务器和移动用户互认证的基础,可以用于保护参考点Ue的通信安全。移动用户和应用服务器之间利用Ksp进行相互认证成功后,将生成保护本次通信的会话密钥Kr-SS-SP,此时移动用户和应用服务器就可以在Kr-SS-SP的保护下进行安全的通信了。有关密钥管理的威胁请参考附录A。
本标准中4种密钥之间的关系如图2所示。根密钥Ki
共享密钥材料
衍生密钥
图24种密钥之间的关系
本标准在第6章到第11章将具体描述基于上述认证架构的密钥管理方法。6密钥的生成
6.1根密钥Ki的生成
会话密钥
Kr-SS-SP
根密钥Ki一般不直接参与认证和保密,而是用于产生业务实体(即业务签约者SS和业务提供者SP)和EAC之间的共享密钥材料,因此保证Ki的安全至关重要。Ki通常要用诸如掷硬币、般子,从随机数表中选数等随机方式产生,以保证密钥的随机性,避免预测性。根密钥可以由设备制造商产生,如2G网络中SIM卡里的K就是由设备制造商产生的;可以由网络运营商产生,在销售点由机器分配或由用户手动设置;可以通过OTASP(Over-The-AirServiceProvisioning,空中业务提供)在用户和网络运营商之间实现密钥的产生;还可以由业务实体和EAC都信任的第三方机构产生,或者由用户自已生成在第三方机构注册。6.2共享密钥材料的生成
业务实体和EAC互认证成功后就各自在本地按照认证方法中包含的运算法则计算出共享密钥材料,此认证方法是在认证模式信息中协商好的。例如:如果业务签约者SS和EAC协商的认证模式信息中,SS和EAC的互认证方法是AKA(参见3GPP33.102),当SS和EAC成功互认证后,SS和EAC就按照AKA中的密钥计算方法计算出了加密密钥CK和完整性密钥IK,然后通过计算Ks=f(IK,CK)得到共享密钥材料。注1:f()是一个单向函数,具体的算法是在认证模式中根据业务类型以及业务安全需求协商的。注2:如果在认证模式中协商的SP和EAC之间的互认证方法是NULL(如;EAC如果有Kerberos服务器功能时,SP和EAC之间可以不用认证),EAC和SP之间就不用生成共享密钥Kp。为了保证安全,本标准不推荐此种认证方法。6.3衍生密钥的生成
当EAC收到来自SP的查询请求需确认SS和SP的认证状态。如果EAC和SS/SP之间已经成功认证过了,EAC将按照认证模式信息中协商好的运算法则为SP计算出衍生密钥Ksp;当业务签约者SS收到来自EAC或者业务提供者SP的认证查询成功响应后将使用和EAC相同的运算法则计算出衍生密钥Ksp。Ksp的生成方法可以是将SS和EAC之间的共享密钥材料Ks,SS的私有身份标识PID,SP的公开身份标识UID以及防重放攻击的随机数RAND作为输入参数衍生出Ksp,即Ksp=KSx(Ks,SP'sUD,SS'PID,RAND)注1:KSx()是一个单向函数。6.4会话密钥的生成
当SS和SP基于衍生密钥互认证成功后,可以按照认证模式信息中协商好的运算法则计算出保护当前5
YD/T2038-2009
通信的会话密钥Kr-SS-SP。例如,认证模式中协商的产生会话密钥的运算法则是Diffie-Hellman方法,此时SS和SP就需要交换用衍生密钥Ksp加密的相关参数,然后SS和SP利用收到的参数各自计算出会话密钥。在认证模式中协商的运算法则要符合业务类型和业务安全等级的需求。7密钥的保存
7.1根密钥Ki的保存
本标准中,根密钥Ki的安全性要求显然是最高的。一旦根密钥Ki被破译将直接威胁到整个通信的安全。所以根密钥Ki一般要保存在最安全的地方,防止它被泄露、窜改、销毁和重用。本标准推荐以下3种保存方法:
(1)采用密码技术对根密钥进行处理后保存在业务实体侧和网络侧。例如:可以用加密技术来对抗密钥泄漏和未授权使用;可以用数据完整性机制来对抗算改;可以用数字签名机制来对抗冒充。(2)采用物理手段对根密钥进行保存。例如:可以存储在密码设备的安全区;可以存储在智能安全设备(如智能卡、存储卡)的安全区;可以是脱机存储(如磁盘)。(3)使根密钥的访问减至最少。例如:采用密钥分割(双重或者n重控制)或使用专用密码方案(秘密共享方案)来保存根密钥,可以使任何单一用户都不能访问根密钥。7.2共享密钥材料的保存
本标准中,在实体侧要把共享密钥材料Ks/Kp和衍生密钥Ksp、临时身份标识以及它们的有效期一起关联保存;在网络侧要把共享密钥材料Ks/Kp和临时身份标识以及它们的有效期一起关联保存。所以共享密钥材料Ks/Kp将分别被保存在业务实体和EAC的本地存储区。例如,对于3GPP标准组织定义的3G网络里的UE,共享密钥材料Ks将和CK、IK一起保存在UICC的存储区里以及VLR/SGSN的本地存储区里。7.3衍生密钥的保存
SS按照认证模式里协商的运算法则计算出衍生密钥后,保存在SS的本地存储区;SP收到EAC发送来的Ksp后,保存在SP的本地存储区。7.4会话密钥的保存
SS和SP按照协商的运算法则计算出会话密钥后,也保存在各自的本地存储区。8密钥的分发与传递
8.1根密钥Ki的分发与传递
根密钥Ki的生成方法不同,其分发与传递方法也不同。(1)根密钥Ki由制造商产生时,用户可以通过购买的方式获得(如购买SIM卡);网络运营商可以和制造商建立安全通道,由制造商通过安全通道把Ki传送给网络运营商,也可以是网络运营商和制造商之间签订书面合同获得Ki。
(2)根密钥由网络运营商产生时,用户可以通过购买的方法获得在销售点由机器分配或由用户手动设置的根密钥。
(3)在3GPP2标准组织定义的网络里,用户和网络运营商之间可以通过OTASP方式在本地自已生成根密钥。
(4)根密钥Ki由用户和网络都信任的第三方机构产生时,第三方机构将通过安全路径传送给业务实体和网络;如果根密钥是由用户自己产生的,则需要得到第三方的认证许可。6
8.2共享密钥材料的分发与传递
YD/T2038-2009
在本标准基于的认证架构中,共享密钥材料Ks/Kp是业务实体和EAC在本地自已生成的,所以不需要密钥的分发与传递过程。
8.3衍生密钥的分发与传递
SS在本地自已生成衍生密钥;EAC在本地为SP生成衍生密钥,然后用EAC和SP之间的共享密钥材料Kp加密后传送给SP。如果EAC有Kerberos服务器的功能,EAC将为SS生成业务许可票据,在此票据中包含了衍生密钥Ksp。EAC直接可以用Kp加密票据后传送给SS,当SS请求业务时把此业务许可票据传送给SP,SP用Kp解密票据就获得Ksp。EAC也可以把用Kp加密的业务许可票据发送给SP。8.4会话密钥的分发与传递
SS和SP交换计算会话密钥所需要的参数,这些参数用二者之间共享的衍生密钥加密。交换成功后,SS和SP各自在本地生成保护当前通信的会话密钥。9密钥的生存期
所有的密钥都需要有生存期,因为一个密钥使用得太多会给攻击者增加收集密文的机会,而且当一个密钥受到威胁或用一个特定密钥的加密/解密过程被分析时,则限定密钥的使用期限就相当于限制危险的发生。所谓一个密钥的生存周期是指授权使用该密钥的周期。一个密钥将经历一系列状态,这些状态确定了其生命期,主要状态有以下3种:(1)待激活,在待激活状态,密钥已产生好但未被激活供使用;(2)激活,在激活状态,密钥用于按密码技术处理信息;(3)次激活,在次激活状态,密钥将只用于解密或验证。若已知某个密钥已被泄露,应立即将其变为次激活状态,并可能需要进行立即处理。当已知或怀疑密钥被未授权使用时,认为该密钥已泄露。密钥生存期的模型,如图3所示。产生
待激活状态
激活状态
再激活
支解除激活
次激活状态
图3密钥生存期一般模型
本标准中密钥的有效期是由实体认证中心EAC综合业务类型和业务安全需求设置的。当密钥到了生存期的次激活状态,就需要更新密钥的同时销毁原来的处于次激活状态的密钥。具体过程见第10章和11章。
10密钥的更新
10.1根密钥Ki的更新
根密钥Ki可以是业务实体和网络长期共享的对称密钥在销毁之前不需要更新,也可以根据业务类型7
YD/T2038-2009
和业务安全需求定期更新,如:OTASP方法产生的根密钥可以定期进行更新。10.2共享密钥材料的更新
EAC需要根据业务类型和业务安全等级,利用本地策略为共享密钥材料设置一个有效期,当共享密钥材料快到有效期时,SS/SP自身能向EAC发起重认证请求,同时EAC也能够触发SS/SP发起重认证请求。重认证成功后,SS/SP和EAC之间的共享密钥材料就更新了。10.3衍生密钥的更新
衍生密钥的有效期也是EAC根据业务类型和业务安全等级,利用本地策略设置的。当衍生密钥快过期时,SS能够向EAC发起重认证请求,SP也能够触发SS向EAC发起重认证过程。如果此时衍生出Ksp的共享密钥材料Ks/Kp还在有效期内,SS和EAC可以再次基于此共享密钥材料衍生出一个新的衍生密钥Ksp;SS和EAC也可以重新协商认证模式,并按照认证模式里的认证方法生成新的共享密钥材料,然后SS和EAC基于此共享密钥材料衍生出新的Ksp。成功生成Ksp后,EAC将新的Ksp用Kp加密后传送给SP。显然,后者的安全性更高,具体选择哪个方案,由EAC综合业务类型和业务安全等级,利用本地策略决定。10.4会话密钥的更新
会话密钥是保护本次通信的,每次业务通信都要重新生成,保证一次一密。所以,只要在本次通信过程中没有发现会话密钥遭受泄漏、篡改、销毁和重用攻击,就不用更新此会话密钥。11密钥的销毁
11.1根密钥Ki的销毁
如果根密钥Ki已经更新,那么旧的根密钥Ki就必须销毁,因为攻击者如果拥有旧的根密钥Ki就有可能通过它推算出共享密钥、衍生密钥,从而威胁业务实体的通信安全。密钥销毁包括清除一个密钥的所有踪迹。根密钥Ki被销毁后,虽然将此根密钥作为输入的一部分计算出来的共享密钥材料还在有效期内,但EAC或业务实体自已也需要触发重认证,在新的根密钥基础上生成新的共享密钥材料。根密钥必须安全销毁,如果根密钥在EEPROM硬件中,根密钥应进行多次重写;如果根密钥保存在计算机磁盘里,应多次重写覆盖磁盘存储的实际位置或将磁盘切碎;但如果根密钥的许多副本存储在计算机的多个地方:要销毁有关该根密钥的全部副本,较谨慎的做法是:写下一个特殊的删除程序,让它查看所有的磁盘导找在未用存储区上的密钥副本,并将它们删除,还要删除所有临时文件或交换文件的内容。11.2共享密钥材料的销毁
如果已经生成了新的共享密钥材料(可以是利用新的根密钥作为输入函数的一部分生成的,也可以是基于原来的根密钥生成的并更新了有效期),旧的共享密钥材料就要被安全销毁。但是,此密钥材料被停止后可能还需要持续一段时间,因为以前用此密钥材料加密的信息可能仍然需要保密一段时间,所以旧的共享密钥材料的秘密性需要保持到所保护的信息不再需要保密为止。11.3衍生密钥的销毁
如果已经生成了新的衍生密钥(可以是利用新的共享密钥材料作为输入函数的一部分生成的,也可以是基于原来的共享密钥材料生成的并更新了有效期),旧的衍生密钥就要被销毁。旧的衍生密钥的秘密性也需要保持到所保护的信息不再需要保密为止。11.4会话密钥的销毁
如果已经生成了新的衍生密钥,那么就需要基于这个新的衍生密钥生成新的保护当前通信的会话密钥,并销毁旧的会话密钥。旧的会话密钥的秘密性也需要保持到所保护的信息不再需要保密为止。8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 2038-2009
移动通信网应用服务端到端通信密钥管理Key management of end-to-end data communication forapplication in mobile network2009-12-11 发布
2010-01-01实施
中华人民共和国工业和信息化部 发 布 前言
1范围
2规范性引用文件·
3术语和定义
4符号和缩略语
4.1符号
4.2缩略语…
应用场景描述·
密钥的生成
6.1根密钥Ki的生成
6.2共享密钥材料的生成…
6.3衍生密钥的生成
6.4会话密钥的生成·
密钥的保存·
7.1根密钥Ki的保存.
7.2共享密钥材料的保存·
7.3衍生密钥的保存
7.4会话密钥的保存·
密钥的分发与传递
8.1根密钥Ki的分发与传递
8.2共享密钥材料的分发与传递
8.3衍生密钥的分发与传递
8.4会话密钥的分发与传递
9密钥的生存期…
密钥的更新
根密钥Ki的更新.
共享密钥材料的更新·
衍生密钥的更新
会话密钥的更新
11密钥的销毁
11.1根密钥Ki的销毁·
11.2共享密钥材料的销毁·
11.3衍生密钥的销毁
11.4会话密钥的销毁
附录A(资料性附录)密钥管理的威胁目
YD/T2038-2009
YD/T2038-2009
《移动通信网应用服务端到端通信密钥管理》是基于《移动通信网应用服务端到端通信认证机制》的密钥管理方法。《移动通信网应用服务端到端通信认证机制》是移动用户与网络中各种应用业务提供者之间的端到端通信的一种通用认证机制,其独立于移动网络用户的网络接入认证机制,针对不同的移动网络应用环境,可以灵活地选择端到端认证的认证模式及实体间的认证方式。在该认证机制中没有详细描述密钥管理的相关内容,所以本标准详细描述了在此认证框架下的密钥管理方法。本标准是基于移动通信网应用服务端到端安全通信的系列标准,该系列标准的名称及结构如下:YD/T2038-2009移动通信网应用服务端到端通信密钥管理YD/T2039-2009移动通信网应用服务端到端通信认证机制本标准参考了ISO/IEC11770-1:1996《信息技术安全技术密钥管理第1部分:框架》、ITU-TQ.9/SG17X.msec-1《基于移动网络应用服务端到端通信的安全技术》以及X.msec-2《基于PKI的移动通信用户到服务提供者之间的端到端数据通信安全框架》。本标准的附录A为资料性附录。
本标准由中国通信标准化协会提出并归口。本标准起草单位:华为技术有限公司。本标准起草人:庄小君、位继伟。I
1范围
移动通信网应用服务端到端通信密钥管理YD/T2038-2009
本标准规定了移动通信网应用服务端到端通信的密钥管理方法。包括密钥的生成、保存、分发和传递、生存期、更新和销毁服务的实施和运用。本标准适用于基于上述认证机制下的所有业务实体,包括所有基于不同移动通信标准的移动终端以及任意的应用服务器。其中应用服务器包括部署于移动网络内部以及位于开放网络的第三方的应用服务器。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T2039-2009移动通信网应用服务端到端通信认证机制3GPPTS33.102:\3GSecurity;Security architecture\.3GPP TS 33.220:\Generic Authentication Architecture (GAA); Generic Bootstrapping Architecture\3GPPTS 33.221:\Generic Authentication Architecture (GAA); Support for Subscriber Certificates\.3GPP2SP0109:\Generic Bootstrapping Architecture(GBA)Framework\.3GPP2 SP0114: \ Security Mechanisms using GBA \.ISO/IEC11770-1:1996《信息技术安全技术密钥管理第1部分:框架》:ITU-T Recommendation X.1121(2004),Framework of security technologies for mobile end-to-end datacommunications.
ITU-T Recommendation X.1122(2004),Guideline for implementing secure mobile systems based on PKI..3术语和定义
下列术语和定义适用于本标准。3.1
实体认证中心entityauthenticationcenter是移动通信网一一应用服务端到端通信认证机制的认证框架中的一个网络元素。其功能是完成与业务实体的认证协商以及互认证过程,生成与业务实体间的共享密钥材料,查询认证情况以及计算衍生密钥等。EAC还可以包括BSF的功能、Kerberos服务器的功能、证书检测的功能等。3.2
实体签约信息数据库entitysubscriptiondatabase是移动通信网一应用服务端到端通信认证机制的认证框架中的一个网络元素。保存有业务实体的签约信息,其中实体的认证信息与身份标识一起保存。3.3
YD/T2038-2009
业务签约者servicesubscriber
具有请求业务的功能,可以是普通的移动用户,也可以是第三方的应用服务器等。3.4
业务提供者serviceprovider
具有提供业务的功能,可以是运营商网络的应用服务器(AS,ApplicationServer)或外部网络的SP(ServiceProvider),甚至是移动终端。3.5
业务实体serviceentity
业务提供者与业务签约者的统称,包括SS、SP两种类型。3.6
私有身份标识private identity业务实体的真实身份标识,是由网络运营商定义的、具有全球唯一性的、用于在归属网络内从网络角度唯一识别用户的标识。它主要用于对用户的认证、计费、管理。3.1.7
公开身份标识publicidentity
业务实体的公共身份标识,是该业务实体和其他实体通信时所使用的身份标识。3.8
根密钥ki
可以是业务实体与网络(EAC)之间共享的密钥,可以永久不变也可以是周期性更新,如3GPP标准组织定义的3G网络里USIM和AuC之间的长期共享秘密密钥K,3GPP2标准组织定义的网络中移动台和归属位置寄存器/认证中心(HLR/CA)之间共享的根密钥AKey:如果业务实体和网络(EAC)都持有彼此信任的机构颁发的证书,此时的根密钥K就是证书公私钥对中的私钥。3.9
共享密钥材料sharedkeymaterial业务实体与EAC互认证过程中生成的,记为Ks/Kp,SS与EAC间的共享密钥材料记为Ks,SP与EAC间的共享密钥材料记为Kp。Ks/Kp可以是对称密钥以及一些其他的材料(共享密码算法、压缩算法、安全关联等)。它可以用于保护Zb和Zb'参考点的通信安全以及导出衍生密钥,具有一定的有效期,与临时身份标识ISR-ID/LAC-ID关联保存,该密钥的长度、算法强度以及有效期可以根据业务类型和安全等级等参数设置。
衍生密钥derivedkey
在认证查询和密钥生成过程中产生,由SS与SP共享的密钥,记为Ksp。通常由共享密钥材料Ks以及业务实体的身份信息导出,可以作为SS和SP的直接互认证的基础,同时可以导出保护二者业务通信的会话密钥Kr-SS-SP,衍生密钥的长度以及有效期可以根据业务类型和安全等级等参数设置,一般来说衍生密钥的算法具有本地默认设置。3.11
会话密钥sessionKey
YD/T 2038-2009
SS和SP基于Ksp成功互认证后将生成保护本次通信的会话密钥Kr-SS-SP,从而保证通信时的一次一3.12
密钥管理Keymanagement
根据安全策略,实施并运用对密钥材料进行产生、登记、认证、注销、分发、安装、存储、归档、撤消、衍生和销毁的服务。
认证模式authenticationmode
在本标准所提供的认证机制中,SS/SP与EAC需要根据网络环境和业务类型等灵活地协商后续认证采用的认证方式和密钥生成方法等,这些协商信息统称认证模式,包括SS/SP与EAC的互认证方法,认证查询和衍生密钥生成方法、SS和SP的互认证方法等,其中,这三项均为可选项。认证模式的命名一般为E2E_XXX,例如:E2E_3G_GBA、E2E_KERBEROS、E2E_Mediation、E2E_TLS。4符号和缩略语
下列符号和缩略语适用于本标准。4.1符号
4.2缩略语
EAC和ESD之间的参考点
EAC和SS之间的参考点
SP与EAC之间的参考点
SS与SP之间的参考点
SS与EAC之间的共享密钥
SP与EAC之间的共享密钥
SS与SP之间的共享密钥
AuthenticationandKeyAgreementCipherKey
Entity Authentication CenterEntity Subscription DatabaseIntegrity Key
Over-The-Air Service ProvisioningPrivate Identity
Service Provider免费标准下载网bzxz
Service Subscriber
User Equipment
UMTS IC Card UMTS
Public Identity
认证与密钥协商
加密密钥
实体认证中心
实体签约数据库
完整性密钥
空中业务提供
私有身份标识
业务提供者
业务签约者
用户设备
集成电路卡
公开身份标识
YD/T2038-2009
5应用场景描述
在移动网络环境下,当一个移动用户(即业务签约者SS)需要使用业务时,它需要向能够提供此项业务的应用服务器(即业务提供者SP)发出业务请求。为了保证安全,应用服务器收到业务请求后需要验证请求者的身份,同时移动用户也需要验证该应用服务器的身份。有关二者之间进行相互认证的具体方法见YD/T2039-2009《移动通信网应用服务端到端通信认证机制》。端到端通信认证模型如图1所示。实体签约
数据库(ESD)
认证中心
签约者
提供者
注:图1中的Ue,Zb,Zm,Zm是参考点,有关详细描述见YD/T2039-2009《移动通信网应用服务端到端通信认证机制》的7.4条。
图1端到端通信认证模型
在图1中,移动用户和应用服务器之间在进行安全的业务通信时,二者之间需要存在相互信任关系。为了在二者之间建立其相互信任的关系,YD/T2039-2009《移动通信网应用服务端到端通信认证机制》中在网络侧引入了实体认证中心(EAC)和实体签约数据库(ESD)。实体认证中心(EAC)作为移动用户和应用服务器之间互认证建立信任关系的可信第三方。实体签约数据库(ESD)存放移动用户和应用服务器的签约信息,这个签约信息是移动用户或应用服务器进行请求业务或提供业务之前和网络签订的。
移动用户和应用服务器都与移动网络之间有了签约关系,并且已经将签约信息存放到签约数据库中此时这个移动用户就可以开始向应用服务器请求业务的过程。首先,作为可信第三方的实体认证中心(EAC)和移动用户之间,以及实体认证中心和应用服务器之间需要建立互信任关系。为了保证安全的建立互信任关系,移动用户和实体认证中心之间,以及应用服务器和实体认证中心之间需要预先共享一个密钥,或者持有双方都信任机构颁发的证书。本标准规定这个预先共享的密钥,或者所持证书的私钥叫根密钥Ki。
移动用户向实体认证中心发送认证请求。实体认证中心收到认证请求后查找实体签约数据库中此用户和业务提供者即应用服务器的签约信息,确认此用户和应用服务器是否和网络存在签约关系,即二者是否能够请求/提供此项业务。如果确认成功,EAC将和此用户协商认证模式,并按照认证模式中规定的认证方法进行相互的认证。认证成功后,EAC和用户之间将生成共享密钥材料Ks,此Ks可以用于保护参考点Zb的通信安全,即用来保护EAC和移动用户之间的秘密通信。然后,EAC和应用服务器之间按照认证模式中协商的认证方法进行相互的认证。认证成功后,EAC和应用服务器之间将生成共享密钥材料Kp此Kp可以用于保护参考点Zb'的通信安全,即用来保护EAC和应用服务器之间的秘密通信。移动用户收到EAC发送的认证成功响应后,向应用服务器发起业务请求。应用服务器收到来自移动4
YD/T2038-2009
用户的业务请求后,向EAC查询此移动用户的认证状态。当查询成功后,EAC为此应用服务器生成衍生密钥Ksp。移动用户收到来自应用服务器的成功响应后,在本地生成相同的衍生密钥Ksp。衍生密钥Ksp将作为应用服务器和移动用户互认证的基础,可以用于保护参考点Ue的通信安全。移动用户和应用服务器之间利用Ksp进行相互认证成功后,将生成保护本次通信的会话密钥Kr-SS-SP,此时移动用户和应用服务器就可以在Kr-SS-SP的保护下进行安全的通信了。有关密钥管理的威胁请参考附录A。
本标准中4种密钥之间的关系如图2所示。根密钥Ki
共享密钥材料
衍生密钥
图24种密钥之间的关系
本标准在第6章到第11章将具体描述基于上述认证架构的密钥管理方法。6密钥的生成
6.1根密钥Ki的生成
会话密钥
Kr-SS-SP
根密钥Ki一般不直接参与认证和保密,而是用于产生业务实体(即业务签约者SS和业务提供者SP)和EAC之间的共享密钥材料,因此保证Ki的安全至关重要。Ki通常要用诸如掷硬币、般子,从随机数表中选数等随机方式产生,以保证密钥的随机性,避免预测性。根密钥可以由设备制造商产生,如2G网络中SIM卡里的K就是由设备制造商产生的;可以由网络运营商产生,在销售点由机器分配或由用户手动设置;可以通过OTASP(Over-The-AirServiceProvisioning,空中业务提供)在用户和网络运营商之间实现密钥的产生;还可以由业务实体和EAC都信任的第三方机构产生,或者由用户自已生成在第三方机构注册。6.2共享密钥材料的生成
业务实体和EAC互认证成功后就各自在本地按照认证方法中包含的运算法则计算出共享密钥材料,此认证方法是在认证模式信息中协商好的。例如:如果业务签约者SS和EAC协商的认证模式信息中,SS和EAC的互认证方法是AKA(参见3GPP33.102),当SS和EAC成功互认证后,SS和EAC就按照AKA中的密钥计算方法计算出了加密密钥CK和完整性密钥IK,然后通过计算Ks=f(IK,CK)得到共享密钥材料。注1:f()是一个单向函数,具体的算法是在认证模式中根据业务类型以及业务安全需求协商的。注2:如果在认证模式中协商的SP和EAC之间的互认证方法是NULL(如;EAC如果有Kerberos服务器功能时,SP和EAC之间可以不用认证),EAC和SP之间就不用生成共享密钥Kp。为了保证安全,本标准不推荐此种认证方法。6.3衍生密钥的生成
当EAC收到来自SP的查询请求需确认SS和SP的认证状态。如果EAC和SS/SP之间已经成功认证过了,EAC将按照认证模式信息中协商好的运算法则为SP计算出衍生密钥Ksp;当业务签约者SS收到来自EAC或者业务提供者SP的认证查询成功响应后将使用和EAC相同的运算法则计算出衍生密钥Ksp。Ksp的生成方法可以是将SS和EAC之间的共享密钥材料Ks,SS的私有身份标识PID,SP的公开身份标识UID以及防重放攻击的随机数RAND作为输入参数衍生出Ksp,即Ksp=KSx(Ks,SP'sUD,SS'PID,RAND)注1:KSx()是一个单向函数。6.4会话密钥的生成
当SS和SP基于衍生密钥互认证成功后,可以按照认证模式信息中协商好的运算法则计算出保护当前5
YD/T2038-2009
通信的会话密钥Kr-SS-SP。例如,认证模式中协商的产生会话密钥的运算法则是Diffie-Hellman方法,此时SS和SP就需要交换用衍生密钥Ksp加密的相关参数,然后SS和SP利用收到的参数各自计算出会话密钥。在认证模式中协商的运算法则要符合业务类型和业务安全等级的需求。7密钥的保存
7.1根密钥Ki的保存
本标准中,根密钥Ki的安全性要求显然是最高的。一旦根密钥Ki被破译将直接威胁到整个通信的安全。所以根密钥Ki一般要保存在最安全的地方,防止它被泄露、窜改、销毁和重用。本标准推荐以下3种保存方法:
(1)采用密码技术对根密钥进行处理后保存在业务实体侧和网络侧。例如:可以用加密技术来对抗密钥泄漏和未授权使用;可以用数据完整性机制来对抗算改;可以用数字签名机制来对抗冒充。(2)采用物理手段对根密钥进行保存。例如:可以存储在密码设备的安全区;可以存储在智能安全设备(如智能卡、存储卡)的安全区;可以是脱机存储(如磁盘)。(3)使根密钥的访问减至最少。例如:采用密钥分割(双重或者n重控制)或使用专用密码方案(秘密共享方案)来保存根密钥,可以使任何单一用户都不能访问根密钥。7.2共享密钥材料的保存
本标准中,在实体侧要把共享密钥材料Ks/Kp和衍生密钥Ksp、临时身份标识以及它们的有效期一起关联保存;在网络侧要把共享密钥材料Ks/Kp和临时身份标识以及它们的有效期一起关联保存。所以共享密钥材料Ks/Kp将分别被保存在业务实体和EAC的本地存储区。例如,对于3GPP标准组织定义的3G网络里的UE,共享密钥材料Ks将和CK、IK一起保存在UICC的存储区里以及VLR/SGSN的本地存储区里。7.3衍生密钥的保存
SS按照认证模式里协商的运算法则计算出衍生密钥后,保存在SS的本地存储区;SP收到EAC发送来的Ksp后,保存在SP的本地存储区。7.4会话密钥的保存
SS和SP按照协商的运算法则计算出会话密钥后,也保存在各自的本地存储区。8密钥的分发与传递
8.1根密钥Ki的分发与传递
根密钥Ki的生成方法不同,其分发与传递方法也不同。(1)根密钥Ki由制造商产生时,用户可以通过购买的方式获得(如购买SIM卡);网络运营商可以和制造商建立安全通道,由制造商通过安全通道把Ki传送给网络运营商,也可以是网络运营商和制造商之间签订书面合同获得Ki。
(2)根密钥由网络运营商产生时,用户可以通过购买的方法获得在销售点由机器分配或由用户手动设置的根密钥。
(3)在3GPP2标准组织定义的网络里,用户和网络运营商之间可以通过OTASP方式在本地自已生成根密钥。
(4)根密钥Ki由用户和网络都信任的第三方机构产生时,第三方机构将通过安全路径传送给业务实体和网络;如果根密钥是由用户自己产生的,则需要得到第三方的认证许可。6
8.2共享密钥材料的分发与传递
YD/T2038-2009
在本标准基于的认证架构中,共享密钥材料Ks/Kp是业务实体和EAC在本地自已生成的,所以不需要密钥的分发与传递过程。
8.3衍生密钥的分发与传递
SS在本地自已生成衍生密钥;EAC在本地为SP生成衍生密钥,然后用EAC和SP之间的共享密钥材料Kp加密后传送给SP。如果EAC有Kerberos服务器的功能,EAC将为SS生成业务许可票据,在此票据中包含了衍生密钥Ksp。EAC直接可以用Kp加密票据后传送给SS,当SS请求业务时把此业务许可票据传送给SP,SP用Kp解密票据就获得Ksp。EAC也可以把用Kp加密的业务许可票据发送给SP。8.4会话密钥的分发与传递
SS和SP交换计算会话密钥所需要的参数,这些参数用二者之间共享的衍生密钥加密。交换成功后,SS和SP各自在本地生成保护当前通信的会话密钥。9密钥的生存期
所有的密钥都需要有生存期,因为一个密钥使用得太多会给攻击者增加收集密文的机会,而且当一个密钥受到威胁或用一个特定密钥的加密/解密过程被分析时,则限定密钥的使用期限就相当于限制危险的发生。所谓一个密钥的生存周期是指授权使用该密钥的周期。一个密钥将经历一系列状态,这些状态确定了其生命期,主要状态有以下3种:(1)待激活,在待激活状态,密钥已产生好但未被激活供使用;(2)激活,在激活状态,密钥用于按密码技术处理信息;(3)次激活,在次激活状态,密钥将只用于解密或验证。若已知某个密钥已被泄露,应立即将其变为次激活状态,并可能需要进行立即处理。当已知或怀疑密钥被未授权使用时,认为该密钥已泄露。密钥生存期的模型,如图3所示。产生
待激活状态
激活状态
再激活
支解除激活
次激活状态
图3密钥生存期一般模型
本标准中密钥的有效期是由实体认证中心EAC综合业务类型和业务安全需求设置的。当密钥到了生存期的次激活状态,就需要更新密钥的同时销毁原来的处于次激活状态的密钥。具体过程见第10章和11章。
10密钥的更新
10.1根密钥Ki的更新
根密钥Ki可以是业务实体和网络长期共享的对称密钥在销毁之前不需要更新,也可以根据业务类型7
YD/T2038-2009
和业务安全需求定期更新,如:OTASP方法产生的根密钥可以定期进行更新。10.2共享密钥材料的更新
EAC需要根据业务类型和业务安全等级,利用本地策略为共享密钥材料设置一个有效期,当共享密钥材料快到有效期时,SS/SP自身能向EAC发起重认证请求,同时EAC也能够触发SS/SP发起重认证请求。重认证成功后,SS/SP和EAC之间的共享密钥材料就更新了。10.3衍生密钥的更新
衍生密钥的有效期也是EAC根据业务类型和业务安全等级,利用本地策略设置的。当衍生密钥快过期时,SS能够向EAC发起重认证请求,SP也能够触发SS向EAC发起重认证过程。如果此时衍生出Ksp的共享密钥材料Ks/Kp还在有效期内,SS和EAC可以再次基于此共享密钥材料衍生出一个新的衍生密钥Ksp;SS和EAC也可以重新协商认证模式,并按照认证模式里的认证方法生成新的共享密钥材料,然后SS和EAC基于此共享密钥材料衍生出新的Ksp。成功生成Ksp后,EAC将新的Ksp用Kp加密后传送给SP。显然,后者的安全性更高,具体选择哪个方案,由EAC综合业务类型和业务安全等级,利用本地策略决定。10.4会话密钥的更新
会话密钥是保护本次通信的,每次业务通信都要重新生成,保证一次一密。所以,只要在本次通信过程中没有发现会话密钥遭受泄漏、篡改、销毁和重用攻击,就不用更新此会话密钥。11密钥的销毁
11.1根密钥Ki的销毁
如果根密钥Ki已经更新,那么旧的根密钥Ki就必须销毁,因为攻击者如果拥有旧的根密钥Ki就有可能通过它推算出共享密钥、衍生密钥,从而威胁业务实体的通信安全。密钥销毁包括清除一个密钥的所有踪迹。根密钥Ki被销毁后,虽然将此根密钥作为输入的一部分计算出来的共享密钥材料还在有效期内,但EAC或业务实体自已也需要触发重认证,在新的根密钥基础上生成新的共享密钥材料。根密钥必须安全销毁,如果根密钥在EEPROM硬件中,根密钥应进行多次重写;如果根密钥保存在计算机磁盘里,应多次重写覆盖磁盘存储的实际位置或将磁盘切碎;但如果根密钥的许多副本存储在计算机的多个地方:要销毁有关该根密钥的全部副本,较谨慎的做法是:写下一个特殊的删除程序,让它查看所有的磁盘导找在未用存储区上的密钥副本,并将它们删除,还要删除所有临时文件或交换文件的内容。11.2共享密钥材料的销毁
如果已经生成了新的共享密钥材料(可以是利用新的根密钥作为输入函数的一部分生成的,也可以是基于原来的根密钥生成的并更新了有效期),旧的共享密钥材料就要被安全销毁。但是,此密钥材料被停止后可能还需要持续一段时间,因为以前用此密钥材料加密的信息可能仍然需要保密一段时间,所以旧的共享密钥材料的秘密性需要保持到所保护的信息不再需要保密为止。11.3衍生密钥的销毁
如果已经生成了新的衍生密钥(可以是利用新的共享密钥材料作为输入函数的一部分生成的,也可以是基于原来的共享密钥材料生成的并更新了有效期),旧的衍生密钥就要被销毁。旧的衍生密钥的秘密性也需要保持到所保护的信息不再需要保密为止。11.4会话密钥的销毁
如果已经生成了新的衍生密钥,那么就需要基于这个新的衍生密钥生成新的保护当前通信的会话密钥,并销毁旧的会话密钥。旧的会话密钥的秘密性也需要保持到所保护的信息不再需要保密为止。8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。