WiMAX數(shù)據(jù)傳輸加密方案設(shè)計與實現(xiàn)

0 引 言

在各種通信設(shè)備和終端電子產(chǎn)品設(shè)計方法中，為使產(chǎn)品具有更強大的功能，越來越多地采用了嵌入式系統(tǒng)，WiMAX無線通信設(shè)備亦是如此。因此設(shè)計和開發(fā)現(xiàn)代網(wǎng)絡(luò)和通信技術(shù)中的安全技術(shù)時，必須和嵌入式技術(shù)結(jié)合在一起。本文提出和實現(xiàn)了一種基于AES-CCM加密算法和ARM+VxWorks嵌入式系統(tǒng)的WiMAX無線接入設(shè)備加密技術(shù)解決方案，并給出了算法模塊在設(shè)備中的應(yīng)用方法。

1 算法實現(xiàn)原理

AES對稱密碼已經(jīng)廣泛應(yīng)用于數(shù)據(jù)的保密和數(shù)據(jù)完整性認(rèn)證。在具體運用時，都會選擇一種具體的工作模式。目前AES算法已有多種工作模式，例如：ECB，CBC，CFB，OFB，CRT，CCM，GCM和AESKW。其中CCM(Counter with Cipher Block Chaining-Message Authentication Code)模式是一種同時提供加密和鑒別服務(wù)的全新操作模式。

1．1 CCM模式原理

使用CCM模式的基本條件包括，發(fā)送方和接收方定義相同的分組密碼算法Ek()(這里為AES加密算法)、密鑰K、記數(shù)器發(fā)生函數(shù)、格式化函數(shù)F()和鑒別標(biāo)記長度Tlen、有效載荷長度Plen、隨機值N。加密算法過程如下：

Step 1：計算格式化函數(shù)F(N，A，P)，產(chǎn)生數(shù)據(jù)塊序列B0，B1，…，Br(每塊為128 b)；

格式化函數(shù)F將N，A，P整合在一起，并分組為r個數(shù)據(jù)塊。對數(shù)據(jù)塊加密，得到MAC值T，加密計數(shù)器發(fā)生函數(shù)產(chǎn)生的計數(shù)塊，加密所得sj和P與T異或得到密文C。解密過程則相反。

1．2 AES算法原理

AES算法加密過程由4個不同的處理階段組成，稱為：字節(jié)代換、行移位、列混淆、輪密鑰加。輸入數(shù)據(jù)數(shù)組state進(jìn)行10輪上述處理后，得到加密密文。結(jié)構(gòu)如圖1所示。

2 WiMAX中CCM應(yīng)用規(guī)則改進(jìn)

在802．16協(xié)議中規(guī)定PDU數(shù)據(jù)包加密后結(jié)構(gòu)如圖2所示。

6個字節(jié)的包頭和4個字節(jié)的PN不需要經(jīng)過加密處理。PN(Packet Number)在協(xié)議中規(guī)定用于防止重放攻擊，如當(dāng)前收到的數(shù)據(jù)包的PN小于前一個數(shù)據(jù)包的PN時，當(dāng)前收到的數(shù)據(jù)包將被丟棄。PN在發(fā)第一個包時值為1，以后每發(fā)一個包則加1。由于PN和包頭都未經(jīng)加密處理，當(dāng)竊聽者得到一個PDU時，將得到當(dāng)前PN，并推導(dǎo)出以后各個數(shù)據(jù)包的PN值。因此引進(jìn)CCM模式雖然能提高攻擊者進(jìn)行重放攻擊的難度和成本，但并不能在技術(shù)上徹底防止重放攻擊。這里采用對PN進(jìn)行加密處理來防止由于PN值泄露而遭受可能的重放攻擊。加密算法選擇AES算法，密鑰為802．16協(xié)議中的密鑰加密密鑰(KEK)。AES，KEK在系統(tǒng)中是用于對傳輸加密密鑰(TEK)進(jìn)行加密處理的，本身已經(jīng)存在于系統(tǒng)中，而且被良好地設(shè)計，在控制信息交互過程中，KEK定時更新。因此采用該方法不會給系統(tǒng)帶來額外的開銷，不需要引入新的加密算法，不需要維護(hù)密鑰。采用該方法PDU加密后結(jié)構(gòu)如圖3所示。

由于對PN進(jìn)行AES加密處理，因此加密后的PN長度將為16個字節(jié)。這降低了傳輸數(shù)據(jù)中有效載荷DATA的百分比，不過在實際應(yīng)用中DATA往往達(dá)到上千或上萬個字節(jié)。因此為提高安全性和抗攻擊性，犧牲如此少的傳輸效率是值得的。

3 AES-CCM算法實現(xiàn)及結(jié)果分析

算法模塊基于富士通3400 wiMAx開發(fā)板ARM+VxWorks平臺開發(fā)，采用通用C庫函數(shù)，可以方便地移植到各種需要安全加密處理的嵌入式產(chǎn)品中。程序提供兩個接口，AES算法接口和AES-CCM算法接口。前者可以用于對傳輸加密密鑰TEK的加密處理，后者可以用于對傳輸數(shù)據(jù)的加密處理，使用者只需簡單的調(diào)用函數(shù)即可。程序框圖如圖4所示。