5G環(huán)境下移動端接入信息安全

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了5G環(huán)境下移動端接入信息安全范文，希望能給你帶來靈感和參考，敬請閱讀。

對于5g環(huán)境而言，如何實(shí)現(xiàn)大量移動端的安全有效接入，是當(dāng)前面對的一大問題。實(shí)際工作中可以考慮通過改進(jìn)算法，用聚合認(rèn)證的形式對現(xiàn)有工作框架進(jìn)行改進(jìn)，從而獲取更優(yōu)的時延效果和更高的安全水平。

5G網(wǎng)絡(luò)環(huán)境之下，移動端的接入是關(guān)系到整個5G網(wǎng)絡(luò)信息安全的關(guān)鍵環(huán)節(jié)。如果這個環(huán)節(jié)的安全工作沒有落實(shí)到位，就有可能讓非法用戶混入5G環(huán)境，進(jìn)一步造成更嚴(yán)重的信息安全風(fēng)險(xiǎn)。但是如何落實(shí)新的移動端接入，又進(jìn)一步牽涉兩個細(xì)節(jié)，其一，即用戶群體的隱私保護(hù)，其二則是對新接入的移動端的身份驗(yàn)證的效率。尤其是第二個問題，當(dāng)大量移動端涌入5G網(wǎng)絡(luò)環(huán)境之中的時候，如何快速處理多個接入請求，就成為網(wǎng)絡(luò)質(zhì)量的一個重要衡量。

為了對5G接入網(wǎng)絡(luò)環(huán)節(jié)實(shí)現(xiàn)優(yōu)化，可以考慮采用聚合的方式，用不同移動接入端的多個簽名來生成一個聚合簽名，從而實(shí)現(xiàn)網(wǎng)絡(luò)對于這一批移動接入端的批量驗(yàn)證。此種方式可以有效節(jié)省網(wǎng)絡(luò)中的認(rèn)證開銷，并且大大提升對于接入移動端的驗(yàn)證效率，降低驗(yàn)證時延，提升網(wǎng)絡(luò)接入效率和使用體驗(yàn)。想要實(shí)現(xiàn)這一目標(biāo)，可以在網(wǎng)絡(luò)中設(shè)定三個通信實(shí)體，即密鑰生成中心KGC、物聯(lián)網(wǎng)終端設(shè)備IOTD以及網(wǎng)絡(luò)網(wǎng)元AMF，三方之間都存在通信，但I(xiàn)OTD和AMF之間的通信，是經(jīng)由NG-RAN實(shí)現(xiàn)的。在這個框架之下，KGC的作用是實(shí)現(xiàn)對用戶身份的標(biāo)記，生成系統(tǒng)公共參數(shù)以及用戶初始部分密鑰，KGC只是一個半可信實(shí)體，并不意味著這些參數(shù)的分配而確定其可信地位。IOTD（IOTDevice）即接入5G環(huán)境中的各類移動終端，這其中也包括在物聯(lián)網(wǎng)環(huán)境中會遇到的各種機(jī)械等。而AMF則負(fù)責(zé)實(shí)現(xiàn)對IOTD的身份認(rèn)證，相對于KGC來說，AMF執(zhí)行了可信身份，其能夠?qū)崿F(xiàn)對各類設(shè)備發(fā)送過來的驗(yàn)證請求實(shí)現(xiàn)聚合式的處理和解密。

從執(zhí)行的流程角度看，這種多方認(rèn)證加密方案含有多個環(huán)節(jié)，包括系統(tǒng)初始化、用戶端密鑰生成、初始部分密鑰生成、部分密鑰生成、認(rèn)證加密、多方聚合認(rèn)證加密以及多方聚合認(rèn)證解密。其中系統(tǒng)初始化由KGC執(zhí)行，其職責(zé)主要是依據(jù)輸入的安全參數(shù)來生成對應(yīng)的系統(tǒng)公開參數(shù)和主密鑰。用戶端密鑰生成環(huán)節(jié)負(fù)責(zé)生成用戶端公鑰和用戶端私鑰，但是需要注意這個環(huán)節(jié)由接入用戶端IOTD和AMF完成，即AMF同樣需要執(zhí)行這個環(huán)節(jié)的工作。而后進(jìn)一步由KGC展開初始部分密鑰生成工作，主要是以第一個環(huán)節(jié)所產(chǎn)生的的系統(tǒng)公共參數(shù)和主密鑰，以用戶ID及用戶端公鑰作為依據(jù)，來生成初始部分密鑰，包括初始部分公鑰和私鑰兩個部分。隨后用戶端繼續(xù)執(zhí)行部分密鑰生成工作，即依據(jù)KGC產(chǎn)生的系統(tǒng)公共參數(shù)和用戶端公鑰、初始部分公鑰以及私鑰，來確定出部分公鑰和部分私鑰。隨后由接入5G系統(tǒng)中的移動端用戶來執(zhí)行認(rèn)證加密，對需要傳輸?shù)男畔⑦M(jìn)行認(rèn)證加密，形成對應(yīng)的密文供傳輸。最后多方聚合認(rèn)證加密和多方聚合認(rèn)證解密都?xì)w于AMF執(zhí)行，依據(jù)系統(tǒng)參數(shù)和之前AMF接收到的密文來產(chǎn)生對應(yīng)的聚合密文，解密部分則是依據(jù)系統(tǒng)參數(shù)、AMF私鑰以及IOTD公鑰來對密文進(jìn)行解密。這一解密方式需要展開多方認(rèn)證，只有在認(rèn)證成功的基礎(chǔ)上才能實(shí)現(xiàn)解密，否則解密失敗。

在這樣的安全框架之下，身份認(rèn)證和信息的傳輸安全水平整體實(shí)現(xiàn)了進(jìn)一步的優(yōu)化。而從方案的實(shí)現(xiàn)角度看，可以將上述工作分為三個部分，即系統(tǒng)初始化、密鑰的生成以及數(shù)據(jù)信息傳輸與認(rèn)證。其中系統(tǒng)的初始化由KGC執(zhí)行，用于生成系統(tǒng)公鑰和主私鑰，并且主私鑰并不公開。隨后的密鑰生成階段，指的是用戶端密鑰生成，這種密鑰又進(jìn)一步分為兩個部分，分別由KGC和用戶端產(chǎn)生。對于這種由兩個方面來產(chǎn)生的密鑰，能夠同時實(shí)現(xiàn)用戶密鑰的安全性和密鑰托管的兩個方面問題。在這里應(yīng)用的密鑰生成機(jī)制并不局限于無證書形態(tài)，對應(yīng)的用戶密鑰產(chǎn)生過程則包括了三個環(huán)節(jié)。首先由需要接入5G網(wǎng)絡(luò)的移動用戶端來產(chǎn)生用戶端私鑰和用戶端公鑰，而后KGC依據(jù)所產(chǎn)生的用戶端公鑰生成初始部分密鑰，最后再由移動用戶端依據(jù)KGC產(chǎn)生的用戶端公鑰和初始部分密鑰來生成部分密鑰。5在完成了密鑰生成這一個環(huán)節(jié)的工作之后，對應(yīng)的信息傳輸機(jī)制可以建立起來。首先，IOTD用戶群落將包括加密數(shù)據(jù)以及簽名的信息發(fā)送給AMF用以進(jìn)行認(rèn)證，AMF隨后將獲取到的數(shù)據(jù)包中的多個簽名進(jìn)行聚合技術(shù)生成聚合簽名，通過驗(yàn)證聚合簽名本身的合法性來確定對應(yīng)的這一組申請接入終端的合法性。如果驗(yàn)證正確，則AMF可以解密獲取到對應(yīng)的加密信息內(nèi)容，完成信息傳輸。

對于這樣的信息框架，可以確定能夠在四個方面實(shí)現(xiàn)其信息傳輸?shù)陌踩?。首先，多方認(rèn)證可以阻止外部攻擊產(chǎn)生有效的聚合簽名，從而實(shí)現(xiàn)了對于入網(wǎng)許可的加強(qiáng)管理。因?yàn)榫酆虾灻菑亩鄠€簽名中產(chǎn)生的，并且產(chǎn)生的過程由AMF生成，因此如果沒有正確的私鑰，攻擊者就無法產(chǎn)生正確的聚合簽名，因此也就無法在5G網(wǎng)絡(luò)中獲取到合法的身份，無法參與信息的傳輸，從而實(shí)現(xiàn)信息安全。

其次，可以有效保證數(shù)據(jù)的隱私特征以及其完整性，這是信息安全的另一個根基所在。這一方案選用無證書聚合簽名加密技術(shù)來實(shí)現(xiàn)對于信息的加密和完整性保護(hù)，確保只有獲取到合法身份的用戶才能使用其對應(yīng)的各種密鑰和進(jìn)行簽名。并且在進(jìn)行聚合簽名認(rèn)證的過程中，只有AMF才能依據(jù)其私鑰對IOTD設(shè)備群提交的信息展開聚合認(rèn)證，因此用戶的身份也會有所保證。綜合這兩個點(diǎn)可以確定，該方案傳輸數(shù)據(jù)的隱私性和完整性都能夠得到保證。

再次，在匿名性方面，本質(zhì)上是由KGC來對用戶身份進(jìn)行替代標(biāo)記。具體而言，就是由KGC來為每一個進(jìn)入網(wǎng)絡(luò)的用戶確定一個序列號，用以代替原先的真實(shí)身份標(biāo)記。通過這種方式來對用戶身份進(jìn)行隱藏，可以實(shí)現(xiàn)在信息傳輸，以及認(rèn)證的過程中對用戶身份進(jìn)行保護(hù)，從而進(jìn)一步達(dá)到規(guī)避外來攻擊，或者通過身份來識別信息特征的安全風(fēng)險(xiǎn)。而與用戶相關(guān)的原始信息則存放在KGC中進(jìn)行統(tǒng)一存放，也便于加強(qiáng)保護(hù)。

最后，此種工作結(jié)構(gòu)還可以有效抵抗中間人的攻擊。主要是因?yàn)槿魏瓮鈦淼墓袅α慷疾荒茉诓徽莆账借€的基礎(chǔ)上生成有效的簽名，因此基于簽名的欺詐行為也就可以得到禁止。

在實(shí)際應(yīng)用的過程中，這種新的工作機(jī)制具有一定先進(jìn)性，尤其是在面向海量接入節(jié)點(diǎn)的時候，其信息安全以及應(yīng)答及時性的優(yōu)點(diǎn)就會更為突出。當(dāng)前比較常見的是EPS-AKA方案，與之相對比不難發(fā)現(xiàn)，隨著請求接入網(wǎng)絡(luò)環(huán)境的終端總量的增加，無論是EPS-AKA方案還是本文中提出的聚合簽名技術(shù)方案都會呈現(xiàn)出顯著的時延上升問題，如果網(wǎng)絡(luò)環(huán)境中的接入請求比較有限，則傳統(tǒng)的EPS-AKA方案會更具優(yōu)勢，但是終端數(shù)量超過1000的時候，聚合簽名思路支持下的相應(yīng)方案會在認(rèn)證時延方面表現(xiàn)更優(yōu)。而在信令開銷方面，同樣與執(zhí)行傳統(tǒng)AKA協(xié)議的EPS-AKA方案相比，本文思路支持下的工作方案對信令的要求更低。EPS-AKA方案下需要6N信令才能完成認(rèn)證，但是本文方案支持下只需要3N+2信令就可以完成同樣認(rèn)證任務(wù)，突出表現(xiàn)出來聚合簽名認(rèn)證方案的優(yōu)勢。除此以外，在計(jì)算方面，EPS-AKA方案中雖然只涉及計(jì)算開銷比較小的哈希計(jì)算，但是因?yàn)樾枰捎脤ΨQ加密算法，所以每次同心之前都不能避免密鑰協(xié)商的過程，從而帶來額外的計(jì)算開銷，并且交互過程中密鑰泄露也存在風(fēng)險(xiǎn)，這也是造成信息傳輸隱患的一個源頭問題。而對應(yīng)地，如果選用多方訪問認(rèn)證，則有利于在信息安全上實(shí)現(xiàn)保證。雖然計(jì)算開銷會有所增加，但是無證書的簽名算法可以避免密鑰托管帶來的相應(yīng)問題，安全性可以得到保證，并且認(rèn)證開銷也可以削減。

作者:吳昭 單位:大慶油田信息技術(shù)公司北京分公司