對于5G環(huán)境而言，如何實現(xiàn)大量移動端的安全有效接入，是當前面對的一大問題。實際工作中可以考慮通過改進算法，用聚合認證的形式對現(xiàn)有工作框架進行改進，從而獲取更優(yōu)的時延效果和更高的安全水平。

　　5G網(wǎng)絡(luò)環(huán)境之下，移動端的接入是關(guān)系到整個5G網(wǎng)絡(luò)信息安全的關(guān)鍵環(huán)節(jié)。如果這個環(huán)節(jié)的安全工作沒有落實到位，就有可能讓非法用戶混入5G環(huán)境，進一步造成更嚴重的信息安全風險。但是如何落實新的移動端接入，又進一步牽涉兩個細節(jié)，其一，即用戶群體的隱私保護，其二則是對新接入的移動端的身份驗證的效率。尤其是第二個問題，當大量移動端涌入5G網(wǎng)絡(luò)環(huán)境之中的時候，如何快速處理多個接入請求，就成為網(wǎng)絡(luò)質(zhì)量的一個重要衡量。

　　為了對5G接入網(wǎng)絡(luò)環(huán)節(jié)實現(xiàn)優(yōu)化，可以考慮采用聚合的方式，用不同移動接入端的多個簽名來生成一個聚合簽名，從而實現(xiàn)網(wǎng)絡(luò)對于這一批移動接入端的批量驗證。此種方式可以有效節(jié)省網(wǎng)絡(luò)中的認證開銷，并且大大提升對于接入移動端的驗證效率，降低驗證時延，提升網(wǎng)絡(luò)接入效率和使用體驗。想要實現(xiàn)這一目標，可以在網(wǎng)絡(luò)中設(shè)定三個通信實體，即密鑰生成中心KGC、物聯(lián)網(wǎng)終端設(shè)備IOTD以及網(wǎng)絡(luò)網(wǎng)元AMF，三方之間都存在通信，但IOTD和AMF之間的通信，是經(jīng)由NG-RAN實現(xiàn)的。在這個框架之下，KGC的作用是實現(xiàn)對用戶身份的標記，生成系統(tǒng)公共參數(shù)以及用戶初始部分密鑰，KGC只是一個半可信實體，并不意味著這些參數(shù)的分配而確定其可信地位。IOTD(IOTDevice)即接入5G環(huán)境中的各類移動終端，這其中也包括在物聯(lián)網(wǎng)環(huán)境中會遇到的各種機械等。而AMF則負責實現(xiàn)對IOTD的身份認證，相對于KGC來說，AMF執(zhí)行了可信身份，其能夠?qū)崿F(xiàn)對各類設(shè)備發(fā)送過來的驗證請求實現(xiàn)聚合式的處理和解密。

　　從執(zhí)行的流程角度看，這種多方認證加密方案含有多個環(huán)節(jié)，包括系統(tǒng)初始化、用戶端密鑰生成、初始部分密鑰生成、部分密鑰生成、認證加密、多方聚合認證加密以及多方聚合認證解密。其中系統(tǒng)初始化由KGC執(zhí)行，其職責主要是依據(jù)輸入的安全參數(shù)來生成對應(yīng)的系統(tǒng)公開參數(shù)和主密鑰。用戶端密鑰生成環(huán)節(jié)負責生成用戶端公鑰和用戶端私鑰，但是需要注意這個環(huán)節(jié)由接入用戶端IOTD和AMF完成，即AMF同樣需要執(zhí)行這個環(huán)節(jié)的工作。而后進一步由KGC展開初始部分密鑰生成工作，主要是以第一個環(huán)節(jié)所產(chǎn)生的的系統(tǒng)公共參數(shù)和主密鑰，以用戶ID及用戶端公鑰作為依據(jù)，來生成初始部分密鑰，包括初始部分公鑰和私鑰兩個部分。隨后用戶端繼續(xù)執(zhí)行部分密鑰生成工作，即依據(jù)KGC產(chǎn)生的系統(tǒng)公共參數(shù)和用戶端公鑰、初始部分公鑰以及私鑰，來確定出部分公鑰和部分私鑰。隨后由接入5G系統(tǒng)中的移動端用戶來執(zhí)行認證加密，對需要傳輸?shù)男畔⑦M行認證加密，形成對應(yīng)的密文供傳輸。最后多方聚合認證加密和多方聚合認證解密都歸于AMF執(zhí)行，依據(jù)系統(tǒng)參數(shù)和之前AMF接收到的密文來產(chǎn)生對應(yīng)的聚合密文，解密部分則是依據(jù)系統(tǒng)參數(shù)、AMF私鑰以及IOTD公鑰來對密文進行解密。這一解密方式需要展開多方認證，只有在認證成功的基礎(chǔ)上才能實現(xiàn)解密，否則解密失敗。

　　在這樣的安全框架之下，身份認證和信息的傳輸安全水平整體實現(xiàn)了進一步的優(yōu)化。而從方案的實現(xiàn)角度看，可以將上述工作分為三個部分，即系統(tǒng)初始化、密鑰的生成以及數(shù)據(jù)信息傳輸與認證。其中系統(tǒng)的初始化由KGC執(zhí)行，用于生成系統(tǒng)公鑰和主私鑰，并且主私鑰并不公開。隨后的密鑰生成階段，指的是用戶端密鑰生成，這種密鑰又進一步分為兩個部分，分別由KGC和用戶端產(chǎn)生。對于這種由兩個方面來產(chǎn)生的密鑰，能夠同時實現(xiàn)用戶密鑰的安全性和密鑰托管的兩個方面問題。在這里應(yīng)用的密鑰生成機制并不局限于無證書形態(tài)，對應(yīng)的用戶密鑰產(chǎn)生過程則包括了三個環(huán)節(jié)。首先由需要接入5G網(wǎng)絡(luò)的移動用戶端來產(chǎn)生用戶端私鑰和用戶端公鑰，而后KGC依據(jù)所產(chǎn)生的用戶端公鑰生成初始部分密鑰，最后再由移動用戶端依據(jù)KGC產(chǎn)生的用戶端公鑰和初始部分密鑰來生成部分密鑰。5在完成了密鑰生成這一個環(huán)節(jié)的工作之后，對應(yīng)的信息傳輸機制可以建立起來。首先，IOTD用戶群落將包括加密數(shù)據(jù)以及簽名的信息發(fā)送給AMF用以進行認證，AMF隨后將獲取到的數(shù)據(jù)包中的多個簽名進行聚合技術(shù)生成聚合簽名，通過驗證聚合簽名本身的合法性來確定對應(yīng)的這一組申請接入終端的合法性。如果驗證正確，則AMF可以解密獲取到對應(yīng)的加密信息內(nèi)容，完成信息傳輸。

　　對于這樣的信息框架，可以確定能夠在四個方面實現(xiàn)其信息傳輸?shù)陌踩�。首先，多方認證可以阻止外部攻擊產(chǎn)生有效的聚合簽名，從而實現(xiàn)了對于入網(wǎng)許可的加強管理。因為聚合簽名是從多個簽名中產(chǎn)生的，并且產(chǎn)生的過程由AMF生成，因此如果沒有正確的私鑰，攻擊者就無法產(chǎn)生正確的聚合簽名，因此也就無法在5G網(wǎng)絡(luò)中獲取到合法的身份，無法參與信息的傳輸，從而實現(xiàn)信息安全。

　　其次，可以有效保證數(shù)據(jù)的隱私特征以及其完整性，這是信息安全的另一個根基所在。這一方案選用無證書聚合簽名加密技術(shù)來實現(xiàn)對于信息的加密和完整性保護，確保只有獲取到合法身份的用戶才能使用其對應(yīng)的各種密鑰和進行簽名。并且在進行聚合簽名認證的過程中，只有AMF才能依據(jù)其私鑰對IOTD設(shè)備群提交的信息展開聚合認證，因此用戶的身份也會有所保證。綜合這兩個點可以確定，該方案傳輸數(shù)據(jù)的隱私性和完整性都能夠得到保證。

　　再次，在匿名性方面，本質(zhì)上是由KGC來對用戶身份進行替代標記。具體而言，就是由KGC來為每一個進入網(wǎng)絡(luò)的用戶確定一個序列號，用以代替原先的真實身份標記。通過這種方式來對用戶身份進行隱藏，可以實現(xiàn)在信息傳輸，以及認證的過程中對用戶身份進行保護，從而進一步達到規(guī)避外來攻擊，或者通過身份來識別信息特征的安全風險。而與用戶相關(guān)的原始信息則存放在KGC中進行統(tǒng)一存放，也便于加強保護。

　　最后，此種工作結(jié)構(gòu)還可以有效抵抗中間人的攻擊。主要是因為任何外來的攻擊力量都不能在不掌握私鑰的基礎(chǔ)上生成有效的簽名，因此基于簽名的欺詐行為也就可以得到禁止。

　　在實際應(yīng)用的過程中，這種新的工作機制具有一定先進性，尤其是在面向海量接入節(jié)點的時候，其信息安全以及應(yīng)答及時性的優(yōu)點就會更為突出。當前比較常見的是EPS-AKA方案，與之相對比不難發(fā)現(xiàn)，隨著請求接入網(wǎng)絡(luò)環(huán)境的終端總量的增加，無論是EPS-AKA方案還是本文中提出的聚合簽名技術(shù)方案都會呈現(xiàn)出顯著的時延上升問題，如果網(wǎng)絡(luò)環(huán)境中的接入請求比較有限，則傳統(tǒng)的EPS-AKA方案會更具優(yōu)勢，但是終端數(shù)量超過1000的時候，聚合簽名思路支持下的相應(yīng)方案會在認證時延方面表現(xiàn)更優(yōu)。而在信令開銷方面，同樣與執(zhí)行傳統(tǒng)AKA協(xié)議的EPS-AKA方案相比，本文思路支持下的工作方案對信令的要求更低。EPS-AKA方案下需要6N信令才能完成認證，但是本文方案支持下只需要3N+2信令就可以完成同樣認證任務(wù)，突出表現(xiàn)出來聚合簽名認證方案的優(yōu)勢。除此以外，在計算方面，EPS-AKA方案中雖然只涉及計算開銷比較小的哈希計算，但是因為需要采用對稱加密算法，所以每次同心之前都不能避免密鑰協(xié)商的過程，從而帶來額外的計算開銷，并且交互過程中密鑰泄露也存在風險，這也是造成信息傳輸隱患的一個源頭問題。而對應(yīng)地，如果選用多方訪問認證，則有利于在信息安全上實現(xiàn)保證。雖然計算開銷會有所增加，但是無證書的簽名算法可以避免密鑰托管帶來的相應(yīng)問題，安全性可以得到保證，并且認證開銷也可以削減。

　　《5G環(huán)境下移動端接入的信息安全》來源：《中國科技信息》，作者:吳昭