5G环境下移动端接入信息安全

报名入口来源:中国教育在线 2022-05-31

对于5G环境而言,如何实现大量移动端的安全有效接入,是当前面对的一大问题。实际工作中可以考虑通过改进算法,用聚合认证的形式对现有工作框架进行改进,从而获取更优的时延效果和更高的安全水平。

5G网络环境之下,移动端的接入是关系到整个5G网络信息安全的关键环节。如果这个环节的安全工作没有落实到位,就有可能让非法用户混入5G环境,进一步造成更严重的信息安全风险。但是如何落实新的移动端接入,又进一步牵涉两个细节,其一,即用户群体的隐私保护,其二则是对新接入的移动端的身份验证的效率。尤其是第二个问题,当大量移动端涌入5G网络环境之中的时候,如何快速处理多个接入请求,就成为网络质量的一个重要衡量。

为了对5G接入网络环节实现优化,可以考虑采用聚合的方式,用不同移动接入端的多签名来生成一个聚合签名,从而实现网络对于这一批移动接入端的批量验证。此种方式可以有效节省网络中的认证开销,并且大大提升对于接入移动端的验证效率,降低验证时延,提升网络接入效率和使用体验。想要实现这一目标,可以在网络中设定三个通信实体,即密钥生成中心KGC、物联网终端设备IOTD以及网络网元AMF,三方之间都存在通信,但IOTD和AMF之间的通信,是经由NG-RAN实现的。在这个框架之下,KGC的作用是实现对用户身份的标记,生成系统公共参数以及用户初始部分密钥,KGC只是一个半可信实体,并不意味着这些参数的分配而确定其可信地位。IOTD(IOTDevice)即接入5G环境中的各类移动终端,这其中也包括在物联网环境中会遇到的各种机械等。而AMF则负责实现对IOTD的身份认证,相对于KGC来说,AMF执行了可信身份,其能够实现对各类设备发送过来的验证请求实现聚合式的处理和解密。

从执行的流程角度看,这种多方认证加密方案含有多个环节,包括系统初始化、用户端密钥生成、初始部分密钥生成、部分密钥生成、认证加密、多方聚合认证加密以及多方聚合认证解密。其中系统初始化由KGC执行,其职责主要是依据输入的安全参数来生成对应的系统公开参数和主密钥。用户端密钥生成环节负责生成用户端公和用户端私,但是需要注意这个环节由接入用户端IOTD和AMF完成,即AMF同样需要执行这个环节的工作。而后进一步由KGC展开初始部分密钥生成工作,主要是以第一个环节所产生的系统公共参数和主密钥,以用户ID及用户端公作为依据,来生成初始部分密钥,包括初始部分公私钥两个部分。随后用户端继续执行部分密钥生成工作,即依据KGC产生的系统公共参数和用户端公、初始部分公以及私,来确定出部分公和部分私。随后由接入5G系统中的移动端用户来执行认证加密,对需要传输的信息进行认证加密,形成对应的密文供传输。最后多方聚合认证加密和多方聚合认证解密都归于AMF执行,依据系统参数和之前AMF接收到的密文来产生对应的聚合密文,解密部分则是依据系统参数、AMF私以及IOTD公来对密文进行解密。这一解密方式需要展开多方认证,只有在认证成功的基础上才能实现解密,否则解密失败。

在这样的安全框架之下,身份认证和信息的传输安全水平整体实现了进一步的优化。而从方案的实现角度看,可以将上述工作分为三个部分,即系统初始化、密钥的生成以及数据信息传输与认证。其中系统的初始化由KGC执行,用于生成系统公和主私,并且主私并不公开。随后的密钥生成阶段,指的是用户端密钥生成,这种密钥又进一步分为两个部分,分别由KGC和用户端产生。对于这种由两个方面来产生的密钥,能够同时实现用户密钥的安全性和密钥托管的两个方面问题。在这里应用的密钥生成机制并不局限于无证书形态,对应的用户密钥产生过程则包括了三个环节。首先由需要接入5G网络的移动用户端来产生用户端私和用户端公,而后KGC依据所产生的用户端公生成初始部分密钥,最后再由移动用户端依据KGC产生的用户端公和初始部分密钥来生成部分密钥。5在完成了密钥生成这一个环节的工作之后,对应的信息传输机制可以建立起来。首先,IOTD用户群落将包括加密数据以及签名的信息发送给AMF用以进行认证,AMF随后将获取到的数据包中的多个签名进行聚合技术生成聚合签名,通过验证聚合签名本身的合法性来确定对应的这一组申请接入终端的合法性。如果验证正确,则AMF可以解密获取到对应的加密信息内容,完成信息传输。

对于这样的信息框架,可以确定能够在四个方面实现其信息传输的安全。首先,多方认证可以阻止外部攻击产生有效的聚合签名,从而实现了对于入网许可的加强管理。因为聚合签名是从多个签名中产生的,并且产生的过程由AMF生成,因此如果没有正确的私,攻击者就无法产生正确的聚合签名,因此也就无法在5G网络中获取到合法的身份,无法参与信息的传输,从而实现信息安全。

其次,可以有效保证数据的隐私特征以及其完整性,这是信息安全的另一个根基所在。这一方案选用无证书聚合签名加密技术来实现对于信息的加密和完整性保护,确保只有获取到合法身份的用户才能使用其对应的各种密钥和进行签名。并且在进行聚合签名认证的过程中,只有AMF才能依据其私对IOTD设备群提交的信息展开聚合认证,因此用户的身份也会有所保证。综合这两个点可以确定,该方案传输数据的隐私性和完整性都能够得到保证。

再次,在匿名性方面,本质上是由KGC来对用户身份进行替代标记。具体而言,就是由KGC来为每一个进入网络的用户确定一个序列号,用以代替原先的真实身份标记。通过这种方式来对用户身份进行隐藏,可以实现在信息传输,以及认证的过程中对用户身份进行保护,从而进一步达到规避外来攻击,或者通过身份来识别信息特征的安全风险。而与用户相关的原始信息则存放在KGC中进行统一存放,也便于加强保护。

最后,此种工作结构还可以有效抵抗中间人的攻击。主要是因为任何外来的攻击力量都不能在不掌握私的基础上生成有效的签名,因此基于签名的欺诈行为也就可以得到禁止。

在实际应用的过程中,这种新的工作机制具有一定先进性,尤其是在面向海量接入节点的时候,其信息安全以及应答及时性的优点就会更为突出。当前比较常见的是EPS-AKA方案,与之相对比不难发现,随着请求接入网络环境的终端总量的增加,无论是EPS-AKA方案还是本文中提出的聚合签名技术方案都会呈现出显著的时延上升问题,如果网络环境中的接入请求比较有限,则传统的EPS-AKA方案会更具优势,但是终端数量超过1000的时候,聚合签名思路支持下的相应方案会在认证时延方面表现更优。而在信令开销方面,同样与执行传统AKA协议的EPS-AKA方案相比,本文思路支持下的工作方案对信令的要求更低。EPS-AKA方案下需要6N信令才能完成认证,但是本文方案支持下只需要3N+2信令就可以完成同样认证任务,突出表现出来聚合签名认证方案的优势。除此以外,在计算方面,EPS-AKA方案中虽然只涉及计算开销比较小的哈希计算,但是因为需要采用对称加密算法,所以每次同心之前都不能避免密钥协商的过程,从而带来额外的计算开销,并且交互过程中密钥泄露也存在风险,这也是造成信息传输隐患的一个源头问题。而对应地,如果选用多方访问认证,则有利于在信息安全上实现保证。虽然计算开销会有所增加,但是无证书的签名算法可以避免密钥托管带来的相应问题,安全性可以得到保证,并且认证开销也可以削减。

 

我的题库在线题库
近期直播
联系方式

预报名

咨询

课程

题库