美军电子密钥管理系统概述

前言

美军在2018年完成了密码现代化计划（CM）的第一期工作，升级替代了一系列密码产品，为C4ISR系统计划、信息技术现代化计划以及先进的武器平台铺路。于是在第二期密码现代化工作中，将工作重点放在密钥管理基础架构（KMI）上，其中就包括国防部联合需求委员会批准的电子密钥管理系统(EKMS),自动化的、可通过网络访问的、基于电子的密钥管理和交换的基础架构，为安全地订购、生成、生产、分发、管理和审核加密密钥和产品提供手段。

1 电子密钥系统介绍

电子密钥管理系统（electronic key management system，EKMS）[1]是一种集成和自动化的系统，专门设计用于增强密码材料分发过程。与常用的手动程序相比，它减少了时间、资源和成本。EKMS提供了密钥分发过程的更大内在保证，并促进了参与密码材料分发的军事机构之间的互操作性。

EKMS执行订购、分发和审计等步骤，实施电子通信安全（COMSEC）材料的管理和分发。其模块化设计方便根据角色和规定分配权限，可扩展性保证组织变更时轻松调整，动态系统配置则满足临时需求，例如在操作区域分发密码材料。

图1 电子密钥概念图

2 EKMS系统在军事通信中扮演的角色

EKMS（Electronic Key Management System）在军事通信中扮演着至关重要的角色，它是一种专门设计用于管理和分发加密密钥的系统。以下是EKMS系统在军事通信中的一些关键角色：

1.加密密钥的自动化管理：EKMS系统自动化了加密密钥的生成、分发、存储、使用和销毁过程。这减少了对人工操作的依赖，提高了效率，并减少了人为错误的风险。

2.加密材料的快速分发：EKMS系统能够实现加密材料的快速分发，确保在需要时能够迅速地将密钥分发到指定的终端设备，从而支持实时的通信需求。

3.加强安全性：通过使用EKMS系统，可以确保加密密钥的安全分发和管理，减少密钥泄露的风险。系统通常会使用安全的网络连接和加密技术来保护密钥传输过程。

4.促进互操作性：EKMS系统支持不同军事机构之间的互操作性，允许它们在需要时共享和使用加密密钥，这对于多国或跨军种的联合行动尤为重要。

5.降低运营成本：通过自动化和优化密钥管理流程，EKMS系统有助于减少所需的人力资源，从而降低运营成本。

6.提高透明度和可追溯性：EKMS系统通过其会计系统跟踪密钥的使用情况，提供密钥位置和状态的即时信息，这有助于提高操作的透明度和可追溯性。

7.支持多种加密标准和协议：EKMS系统通常支持多种加密标准和协议，确保它能够与不同类型的加密设备和系统兼容。

8.符合安全认证标准：EKMS系统可能获得如Common Criteria EAL3等安全认证，这表明它满足了特定的安全要求和标准。

综上所述，EKMS系统在军事通信中扮演着核心角色，它通过自动化和优化密钥管理流程，提高了通信的安全性、效率和可靠性。

3 EKMS的工作原理

EKMS允许分发单个密码密钥和多个或复杂的密钥文件。传输网络是基于IP的，通过批准的加密设备提供保护，并创建专用的VPN（虚拟专用网络）。

密码信息存储在系统组件中，数据交换始终采用经过授权的加密算法进行保护。密码材料的供应（通过外部密钥生成系统）到EKMS是通过物理隔离（AirGap）模式进行的。密钥加载和导出，从单个工作站到终端密码单元（ECU），通过支持DS-101和DS-102标准的Fill Device（密钥注入设备）实现。

系统可以根据非标准密钥类型和非国家客户进行定制。EKMS 采用用户界面清晰、直观且面向流程的设计，并使用具有适当安全配置的商用计算机和软件。资源和系统数据的访问基于操作员的具体角色，遵循最小信息披露原则和最小权限原则。

1.1. EKMS的3层系统架构

中央分配设施-国家分配机构（CDF-NDA）（第0层）：这是所有要分发的密码材料的入口点，并执行管理规划的密码材料的订单，通过AirGap转发到负责生成密码材料的外部系统，以及向下层CDF-SA分发生成的密码材料。

中央分配设施-次级机构（CDF-SA）（第1层）：代表次级分配机构，并执行从NDA订购密钥，向LDF分发从NDA接收的密码材料，以及与NDA和依赖的LDF交换日志和会计信息。

本地分配设施（LDF）（第2层）：代表接收机构的最终收集站，并执行密钥管理、接收和在ECU上加载密钥，以及规划密钥需求并将其交付给SA。

图2 EKMS三层系统架构

3.2. EKMS系统构成组件

本地管理设备（LMD）：在CDF-NDA、CDF-SA和LDF级别使用，运行在带有适当软件应用的COTS PC上，配备分布式数据库及其管理软件和应用程序，用于管理密码材料。

图3 本地管理设备（LMD）示意图

密钥处理器（KP）：COMSEC和TEMPEST（SDIP-27/1 Level A）设备，用于处理分类信息，是EKM网络节点的一部分，执行加密和解密功能，以及建立VPN，连接EKM网络工作站。

图4 密钥处理器（KP）示意图

密钥和网络管理系统（KNMS）：用于管理密钥处理器的管理系统，基于硬件/软件客户端-服务器架构，配置和监控KP（警报和状态）以及监控安全连接（VPN）的配置和监控。

图5 密钥和网络管理系统（KNMS）示意图

数据传输设备（IT-DTD）：用于在终端密码单元（ECU）上加载密钥的手持计算机，使用EKMS-308协议，存储和在ECU上加载密钥时解密密钥，是COMSEC和TEMPEST（SDIP-27/1 Level A）设备，用于处理分类信息。

图6 数据传输设备（IT-DTD）示意图

EKMS系统是模块化的，由NDA级别和子机构级别（CDF）以及密码保管人级别（LDF）的模块组成。系统由尽可能多的CDF和LDF组成，每个级别都有其特定的软件和硬件需求。

4 EKMS系统的密钥安全保障措施

1.加密传输：EKMS系统使用IP安全网络传输电子数据，确保数据在传输过程中得到加密保护。这意味着即使数据在传输过程中被截获，没有正确的密钥也无法解密。

2.物理安全：EKMS系统中的密钥存储在安全的硬件设备中，这些设备通常具有防篡改机制，以防止未授权访问或物理破坏。

3.访问控制：EKMS系统通过角色和权限管理来控制对密钥的访问。只有授权的用户才能访问特定的密钥，且访问权限是基于“需要知道”和“最小权限”原则。

4.密钥生命周期管理：EKMS系统管理密钥的整个生命周期，包括生成、分发、存储、使用和销毁。这确保了密钥在使用完毕后能够被安全地销毁，防止泄露。

5.审计和监控：EKMS系统通常包含审计和监控功能，可以记录密钥的使用情况和用户活动，以便在发生安全事件时进行调查和分析。

6.密钥加密设备：EKMS系统中的密钥处理器（KP）是专门设计用于处理加密密钥的设备，它们通常符合国家安全标准，如TEMPEST（SDIP-27/1 Level A）测试，以确保在处理敏感信息时的安全性。

7.安全配置：EKMS系统运行在商用计算机和软件上，但这些计算机和软件都配置了适当的安全措施，如防火墙、入侵检测系统和防病毒软件。

8.密钥分发协议：EKMS系统支持标准的密钥分发协议，如DS-101和DS-102（EKMS-308），这些协议定义了密钥分发和管理的流程，确保密钥的分发过程是安全和可靠的。

9.紧急销毁机制：在紧急情况下，EKMS系统可以执行紧急销毁操作，以确保在设备被非法访问或丢失时，敏感的密钥信息不会被泄露。

通过这些措施，EKMS系统能够确保密钥的安全性，减少密钥泄露的风险，并保护军事通信的安全。

5 EKMS的密钥轮换防丢失策略

为保证数据的连续性和完整性，在密钥轮换过程中确保数据不丢失需要采取一系列的预防措施和策略，包括以下关键步骤：

1.数据备份：在密钥轮换之前，应该对所有关键数据进行备份。这样，如果在密钥轮换过程中出现问题，可以使用备份恢复数据。

2.数据加密：在密钥轮换期间，所有敏感数据应该保持加密状态。这样，即使密钥泄露，数据也不会被未授权的第三方访问。

3.系统测试：在实际进行密钥轮换之前，应该在测试环境中进行充分的测试，以确保新密钥能够正确地与系统交互，且不会导致数据丢失。

4.逐步实施：密钥轮换可以分阶段进行，先在非关键系统上实施，然后逐步扩展到关键系统。这样可以减少一次性风险，并在出现问题时更容易定位和解决。

5.监控和日志记录：在整个密钥轮换过程中，应该密切监控系统性能和数据完整性。同时，记录详细的日志，以便在出现问题时可以追溯和分析。

6.应急计划：制定应急计划，以便在密钥轮换过程中出现任何问题时，能够迅速采取行动，恢复数据和系统。

7.用户培训：确保所有用户都了解密钥轮换的过程和他们需要采取的任何特定行动，以避免因用户错误导致的数据丢失。

8.数据恢复计划：制定数据恢复计划，以便在密钥轮换过程中出现数据丢失时，能够迅速恢复数据。

9.系统兼容性检查：确保新旧密钥在系统中兼容，以避免在密钥轮换期间出现兼容性问题导致数据丢失。

10.密钥轮换后的验证：在密钥轮换完成后，进行彻底的验证，确保所有数据都已正确更新，并且没有丢失。

通过这些措施，组织可以最大限度地减少在密钥轮换过程中数据丢失的风险，并确保数据的连续性和完整性。

参考文献

[1] R. Reininger, “Electronic key management system (EKMS),” Proceedings of TCC”94 – Tactical Communications Conference, Fort Wayne, IN, USA, 1994, pp. 387-388, doi: 10.1109/TCC.1994.472108.

作者：北京遥测技术研究所密码工程中心崔越

责编：向灵孜

声明：本文来自中国保密协会科学技术分会，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。