5G環(huán)境下移動(dòng)端接入信息安全

前言：想要寫(xiě)出一篇引人入勝的文章？我們特意為您整理了5G環(huán)境下移動(dòng)端接入信息安全范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

對(duì)于5g環(huán)境而言，如何實(shí)現(xiàn)大量移動(dòng)端的安全有效接入，是當(dāng)前面對(duì)的一大問(wèn)題。實(shí)際工作中可以考慮通過(guò)改進(jìn)算法，用聚合認(rèn)證的形式對(duì)現(xiàn)有工作框架進(jìn)行改進(jìn)，從而獲取更優(yōu)的時(shí)延效果和更高的安全水平。

5G網(wǎng)絡(luò)環(huán)境之下，移動(dòng)端的接入是關(guān)系到整個(gè)5G網(wǎng)絡(luò)信息安全的關(guān)鍵環(huán)節(jié)。如果這個(gè)環(huán)節(jié)的安全工作沒(méi)有落實(shí)到位，就有可能讓非法用戶(hù)混入5G環(huán)境，進(jìn)一步造成更嚴(yán)重的信息安全風(fēng)險(xiǎn)。但是如何落實(shí)新的移動(dòng)端接入，又進(jìn)一步牽涉兩個(gè)細(xì)節(jié)，其一，即用戶(hù)群體的隱私保護(hù)，其二則是對(duì)新接入的移動(dòng)端的身份驗(yàn)證的效率。尤其是第二個(gè)問(wèn)題，當(dāng)大量移動(dòng)端涌入5G網(wǎng)絡(luò)環(huán)境之中的時(shí)候，如何快速處理多個(gè)接入請(qǐng)求，就成為網(wǎng)絡(luò)質(zhì)量的一個(gè)重要衡量。

為了對(duì)5G接入網(wǎng)絡(luò)環(huán)節(jié)實(shí)現(xiàn)優(yōu)化，可以考慮采用聚合的方式，用不同移動(dòng)接入端的多個(gè)簽名來(lái)生成一個(gè)聚合簽名，從而實(shí)現(xiàn)網(wǎng)絡(luò)對(duì)于這一批移動(dòng)接入端的批量驗(yàn)證。此種方式可以有效節(jié)省網(wǎng)絡(luò)中的認(rèn)證開(kāi)銷(xiāo)，并且大大提升對(duì)于接入移動(dòng)端的驗(yàn)證效率，降低驗(yàn)證時(shí)延，提升網(wǎng)絡(luò)接入效率和使用體驗(yàn)。想要實(shí)現(xiàn)這一目標(biāo)，可以在網(wǎng)絡(luò)中設(shè)定三個(gè)通信實(shí)體，即密鑰生成中心KGC、物聯(lián)網(wǎng)終端設(shè)備IOTD以及網(wǎng)絡(luò)網(wǎng)元AMF，三方之間都存在通信，但I(xiàn)OTD和AMF之間的通信，是經(jīng)由NG-RAN實(shí)現(xiàn)的。在這個(gè)框架之下，KGC的作用是實(shí)現(xiàn)對(duì)用戶(hù)身份的標(biāo)記，生成系統(tǒng)公共參數(shù)以及用戶(hù)初始部分密鑰，KGC只是一個(gè)半可信實(shí)體，并不意味著這些參數(shù)的分配而確定其可信地位。IOTD（IOTDevice）即接入5G環(huán)境中的各類(lèi)移動(dòng)終端，這其中也包括在物聯(lián)網(wǎng)環(huán)境中會(huì)遇到的各種機(jī)械等。而AMF則負(fù)責(zé)實(shí)現(xiàn)對(duì)IOTD的身份認(rèn)證，相對(duì)于KGC來(lái)說(shuō)，AMF執(zhí)行了可信身份，其能夠?qū)崿F(xiàn)對(duì)各類(lèi)設(shè)備發(fā)送過(guò)來(lái)的驗(yàn)證請(qǐng)求實(shí)現(xiàn)聚合式的處理和解密。

從執(zhí)行的流程角度看，這種多方認(rèn)證加密方案含有多個(gè)環(huán)節(jié)，包括系統(tǒng)初始化、用戶(hù)端密鑰生成、初始部分密鑰生成、部分密鑰生成、認(rèn)證加密、多方聚合認(rèn)證加密以及多方聚合認(rèn)證解密。其中系統(tǒng)初始化由KGC執(zhí)行，其職責(zé)主要是依據(jù)輸入的安全參數(shù)來(lái)生成對(duì)應(yīng)的系統(tǒng)公開(kāi)參數(shù)和主密鑰。用戶(hù)端密鑰生成環(huán)節(jié)負(fù)責(zé)生成用戶(hù)端公鑰和用戶(hù)端私鑰，但是需要注意這個(gè)環(huán)節(jié)由接入用戶(hù)端IOTD和AMF完成，即AMF同樣需要執(zhí)行這個(gè)環(huán)節(jié)的工作。而后進(jìn)一步由KGC展開(kāi)初始部分密鑰生成工作，主要是以第一個(gè)環(huán)節(jié)所產(chǎn)生的的系統(tǒng)公共參數(shù)和主密鑰，以用戶(hù)ID及用戶(hù)端公鑰作為依據(jù)，來(lái)生成初始部分密鑰，包括初始部分公鑰和私鑰兩個(gè)部分。隨后用戶(hù)端繼續(xù)執(zhí)行部分密鑰生成工作，即依據(jù)KGC產(chǎn)生的系統(tǒng)公共參數(shù)和用戶(hù)端公鑰、初始部分公鑰以及私鑰，來(lái)確定出部分公鑰和部分私鑰。隨后由接入5G系統(tǒng)中的移動(dòng)端用戶(hù)來(lái)執(zhí)行認(rèn)證加密，對(duì)需要傳輸?shù)男畔⑦M(jìn)行認(rèn)證加密，形成對(duì)應(yīng)的密文供傳輸。最后多方聚合認(rèn)證加密和多方聚合認(rèn)證解密都?xì)w于AMF執(zhí)行，依據(jù)系統(tǒng)參數(shù)和之前AMF接收到的密文來(lái)產(chǎn)生對(duì)應(yīng)的聚合密文，解密部分則是依據(jù)系統(tǒng)參數(shù)、AMF私鑰以及IOTD公鑰來(lái)對(duì)密文進(jìn)行解密。這一解密方式需要展開(kāi)多方認(rèn)證，只有在認(rèn)證成功的基礎(chǔ)上才能實(shí)現(xiàn)解密，否則解密失敗。

在這樣的安全框架之下，身份認(rèn)證和信息的傳輸安全水平整體實(shí)現(xiàn)了進(jìn)一步的優(yōu)化。而從方案的實(shí)現(xiàn)角度看，可以將上述工作分為三個(gè)部分，即系統(tǒng)初始化、密鑰的生成以及數(shù)據(jù)信息傳輸與認(rèn)證。其中系統(tǒng)的初始化由KGC執(zhí)行，用于生成系統(tǒng)公鑰和主私鑰，并且主私鑰并不公開(kāi)。隨后的密鑰生成階段，指的是用戶(hù)端密鑰生成，這種密鑰又進(jìn)一步分為兩個(gè)部分，分別由KGC和用戶(hù)端產(chǎn)生。對(duì)于這種由兩個(gè)方面來(lái)產(chǎn)生的密鑰，能夠同時(shí)實(shí)現(xiàn)用戶(hù)密鑰的安全性和密鑰托管的兩個(gè)方面問(wèn)題。在這里應(yīng)用的密鑰生成機(jī)制并不局限于無(wú)證書(shū)形態(tài)，對(duì)應(yīng)的用戶(hù)密鑰產(chǎn)生過(guò)程則包括了三個(gè)環(huán)節(jié)。首先由需要接入5G網(wǎng)絡(luò)的移動(dòng)用戶(hù)端來(lái)產(chǎn)生用戶(hù)端私鑰和用戶(hù)端公鑰，而后KGC依據(jù)所產(chǎn)生的用戶(hù)端公鑰生成初始部分密鑰，最后再由移動(dòng)用戶(hù)端依據(jù)KGC產(chǎn)生的用戶(hù)端公鑰和初始部分密鑰來(lái)生成部分密鑰。5在完成了密鑰生成這一個(gè)環(huán)節(jié)的工作之后，對(duì)應(yīng)的信息傳輸機(jī)制可以建立起來(lái)。首先，IOTD用戶(hù)群落將包括加密數(shù)據(jù)以及簽名的信息發(fā)送給AMF用以進(jìn)行認(rèn)證，AMF隨后將獲取到的數(shù)據(jù)包中的多個(gè)簽名進(jìn)行聚合技術(shù)生成聚合簽名，通過(guò)驗(yàn)證聚合簽名本身的合法性來(lái)確定對(duì)應(yīng)的這一組申請(qǐng)接入終端的合法性。如果驗(yàn)證正確，則AMF可以解密獲取到對(duì)應(yīng)的加密信息內(nèi)容，完成信息傳輸。

對(duì)于這樣的信息框架，可以確定能夠在四個(gè)方面實(shí)現(xiàn)其信息傳輸?shù)陌踩Ｊ紫龋喾秸J(rèn)證可以阻止外部攻擊產(chǎn)生有效的聚合簽名，從而實(shí)現(xiàn)了對(duì)于入網(wǎng)許可的加強(qiáng)管理。因?yàn)榫酆虾灻菑亩鄠€(gè)簽名中產(chǎn)生的，并且產(chǎn)生的過(guò)程由AMF生成，因此如果沒(méi)有正確的私鑰，攻擊者就無(wú)法產(chǎn)生正確的聚合簽名，因此也就無(wú)法在5G網(wǎng)絡(luò)中獲取到合法的身份，無(wú)法參與信息的傳輸，從而實(shí)現(xiàn)信息安全。

其次，可以有效保證數(shù)據(jù)的隱私特征以及其完整性，這是信息安全的另一個(gè)根基所在。這一方案選用無(wú)證書(shū)聚合簽名加密技術(shù)來(lái)實(shí)現(xiàn)對(duì)于信息的加密和完整性保護(hù)，確保只有獲取到合法身份的用戶(hù)才能使用其對(duì)應(yīng)的各種密鑰和進(jìn)行簽名。并且在進(jìn)行聚合簽名認(rèn)證的過(guò)程中，只有AMF才能依據(jù)其私鑰對(duì)IOTD設(shè)備群提交的信息展開(kāi)聚合認(rèn)證，因此用戶(hù)的身份也會(huì)有所保證。綜合這兩個(gè)點(diǎn)可以確定，該方案?jìng)鬏敂?shù)據(jù)的隱私性和完整性都能夠得到保證。

再次，在匿名性方面，本質(zhì)上是由KGC來(lái)對(duì)用戶(hù)身份進(jìn)行替代標(biāo)記。具體而言，就是由KGC來(lái)為每一個(gè)進(jìn)入網(wǎng)絡(luò)的用戶(hù)確定一個(gè)序列號(hào)，用以代替原先的真實(shí)身份標(biāo)記。通過(guò)這種方式來(lái)對(duì)用戶(hù)身份進(jìn)行隱藏，可以實(shí)現(xiàn)在信息傳輸，以及認(rèn)證的過(guò)程中對(duì)用戶(hù)身份進(jìn)行保護(hù)，從而進(jìn)一步達(dá)到規(guī)避外來(lái)攻擊，或者通過(guò)身份來(lái)識(shí)別信息特征的安全風(fēng)險(xiǎn)。而與用戶(hù)相關(guān)的原始信息則存放在KGC中進(jìn)行統(tǒng)一存放，也便于加強(qiáng)保護(hù)。

最后，此種工作結(jié)構(gòu)還可以有效抵抗中間人的攻擊。主要是因?yàn)槿魏瓮鈦?lái)的攻擊力量都不能在不掌握私鑰的基礎(chǔ)上生成有效的簽名，因此基于簽名的欺詐行為也就可以得到禁止。

在實(shí)際應(yīng)用的過(guò)程中，這種新的工作機(jī)制具有一定先進(jìn)性，尤其是在面向海量接入節(jié)點(diǎn)的時(shí)候，其信息安全以及應(yīng)答及時(shí)性的優(yōu)點(diǎn)就會(huì)更為突出。當(dāng)前比較常見(jiàn)的是EPS-AKA方案，與之相對(duì)比不難發(fā)現(xiàn)，隨著請(qǐng)求接入網(wǎng)絡(luò)環(huán)境的終端總量的增加，無(wú)論是EPS-AKA方案還是本文中提出的聚合簽名技術(shù)方案都會(huì)呈現(xiàn)出顯著的時(shí)延上升問(wèn)題，如果網(wǎng)絡(luò)環(huán)境中的接入請(qǐng)求比較有限，則傳統(tǒng)的EPS-AKA方案會(huì)更具優(yōu)勢(shì)，但是終端數(shù)量超過(guò)1000的時(shí)候，聚合簽名思路支持下的相應(yīng)方案會(huì)在認(rèn)證時(shí)延方面表現(xiàn)更優(yōu)。而在信令開(kāi)銷(xiāo)方面，同樣與執(zhí)行傳統(tǒng)AKA協(xié)議的EPS-AKA方案相比，本文思路支持下的工作方案對(duì)信令的要求更低。EPS-AKA方案下需要6N信令才能完成認(rèn)證，但是本文方案支持下只需要3N+2信令就可以完成同樣認(rèn)證任務(wù)，突出表現(xiàn)出來(lái)聚合簽名認(rèn)證方案的優(yōu)勢(shì)。除此以外，在計(jì)算方面，EPS-AKA方案中雖然只涉及計(jì)算開(kāi)銷(xiāo)比較小的哈希計(jì)算，但是因?yàn)樾枰捎脤?duì)稱(chēng)加密算法，所以每次同心之前都不能避免密鑰協(xié)商的過(guò)程，從而帶來(lái)額外的計(jì)算開(kāi)銷(xiāo)，并且交互過(guò)程中密鑰泄露也存在風(fēng)險(xiǎn)，這也是造成信息傳輸隱患的一個(gè)源頭問(wèn)題。而對(duì)應(yīng)地，如果選用多方訪(fǎng)問(wèn)認(rèn)證，則有利于在信息安全上實(shí)現(xiàn)保證。雖然計(jì)算開(kāi)銷(xiāo)會(huì)有所增加，但是無(wú)證書(shū)的簽名算法可以避免密鑰托管帶來(lái)的相應(yīng)問(wèn)題，安全性可以得到保證，并且認(rèn)證開(kāi)銷(xiāo)也可以削減。

作者:吳昭 單位:大慶油田信息技術(shù)公司北京分公司