前言:想要寫出一篇引人入勝的文章?我們特意為您整理了5G環(huán)境下移動(dòng)端接入信息安全范文,希望能給你帶來靈感和參考,敬請(qǐng)閱讀。
對(duì)于5g環(huán)境而言,如何實(shí)現(xiàn)大量移動(dòng)端的安全有效接入,是當(dāng)前面對(duì)的一大問題。實(shí)際工作中可以考慮通過改進(jìn)算法,用聚合認(rèn)證的形式對(duì)現(xiàn)有工作框架進(jìn)行改進(jìn),從而獲取更優(yōu)的時(shí)延效果和更高的安全水平。
5G網(wǎng)絡(luò)環(huán)境之下,移動(dòng)端的接入是關(guān)系到整個(gè)5G網(wǎng)絡(luò)信息安全的關(guān)鍵環(huán)節(jié)。如果這個(gè)環(huán)節(jié)的安全工作沒有落實(shí)到位,就有可能讓非法用戶混入5G環(huán)境,進(jìn)一步造成更嚴(yán)重的信息安全風(fēng)險(xiǎn)。但是如何落實(shí)新的移動(dòng)端接入,又進(jìn)一步牽涉兩個(gè)細(xì)節(jié),其一,即用戶群體的隱私保護(hù),其二則是對(duì)新接入的移動(dòng)端的身份驗(yàn)證的效率。尤其是第二個(gè)問題,當(dāng)大量移動(dòng)端涌入5G網(wǎng)絡(luò)環(huán)境之中的時(shí)候,如何快速處理多個(gè)接入請(qǐng)求,就成為網(wǎng)絡(luò)質(zhì)量的一個(gè)重要衡量。
為了對(duì)5G接入網(wǎng)絡(luò)環(huán)節(jié)實(shí)現(xiàn)優(yōu)化,可以考慮采用聚合的方式,用不同移動(dòng)接入端的多個(gè)簽名來生成一個(gè)聚合簽名,從而實(shí)現(xiàn)網(wǎng)絡(luò)對(duì)于這一批移動(dòng)接入端的批量驗(yàn)證。此種方式可以有效節(jié)省網(wǎng)絡(luò)中的認(rèn)證開銷,并且大大提升對(duì)于接入移動(dòng)端的驗(yàn)證效率,降低驗(yàn)證時(shí)延,提升網(wǎng)絡(luò)接入效率和使用體驗(yàn)。想要實(shí)現(xiàn)這一目標(biāo),可以在網(wǎng)絡(luò)中設(shè)定三個(gè)通信實(shí)體,即密鑰生成中心KGC、物聯(lián)網(wǎng)終端設(shè)備IOTD以及網(wǎng)絡(luò)網(wǎng)元AMF,三方之間都存在通信,但I(xiàn)OTD和AMF之間的通信,是經(jīng)由NG-RAN實(shí)現(xiàn)的。在這個(gè)框架之下,KGC的作用是實(shí)現(xiàn)對(duì)用戶身份的標(biāo)記,生成系統(tǒng)公共參數(shù)以及用戶初始部分密鑰,KGC只是一個(gè)半可信實(shí)體,并不意味著這些參數(shù)的分配而確定其可信地位。IOTD(IOTDevice)即接入5G環(huán)境中的各類移動(dòng)終端,這其中也包括在物聯(lián)網(wǎng)環(huán)境中會(huì)遇到的各種機(jī)械等。而AMF則負(fù)責(zé)實(shí)現(xiàn)對(duì)IOTD的身份認(rèn)證,相對(duì)于KGC來說,AMF執(zhí)行了可信身份,其能夠?qū)崿F(xiàn)對(duì)各類設(shè)備發(fā)送過來的驗(yàn)證請(qǐng)求實(shí)現(xiàn)聚合式的處理和解密。
從執(zhí)行的流程角度看,這種多方認(rèn)證加密方案含有多個(gè)環(huán)節(jié),包括系統(tǒng)初始化、用戶端密鑰生成、初始部分密鑰生成、部分密鑰生成、認(rèn)證加密、多方聚合認(rèn)證加密以及多方聚合認(rèn)證解密。其中系統(tǒng)初始化由KGC執(zhí)行,其職責(zé)主要是依據(jù)輸入的安全參數(shù)來生成對(duì)應(yīng)的系統(tǒng)公開參數(shù)和主密鑰。用戶端密鑰生成環(huán)節(jié)負(fù)責(zé)生成用戶端公鑰和用戶端私鑰,但是需要注意這個(gè)環(huán)節(jié)由接入用戶端IOTD和AMF完成,即AMF同樣需要執(zhí)行這個(gè)環(huán)節(jié)的工作。而后進(jìn)一步由KGC展開初始部分密鑰生成工作,主要是以第一個(gè)環(huán)節(jié)所產(chǎn)生的的系統(tǒng)公共參數(shù)和主密鑰,以用戶ID及用戶端公鑰作為依據(jù),來生成初始部分密鑰,包括初始部分公鑰和私鑰兩個(gè)部分。隨后用戶端繼續(xù)執(zhí)行部分密鑰生成工作,即依據(jù)KGC產(chǎn)生的系統(tǒng)公共參數(shù)和用戶端公鑰、初始部分公鑰以及私鑰,來確定出部分公鑰和部分私鑰。隨后由接入5G系統(tǒng)中的移動(dòng)端用戶來執(zhí)行認(rèn)證加密,對(duì)需要傳輸?shù)男畔⑦M(jìn)行認(rèn)證加密,形成對(duì)應(yīng)的密文供傳輸。最后多方聚合認(rèn)證加密和多方聚合認(rèn)證解密都?xì)w于AMF執(zhí)行,依據(jù)系統(tǒng)參數(shù)和之前AMF接收到的密文來產(chǎn)生對(duì)應(yīng)的聚合密文,解密部分則是依據(jù)系統(tǒng)參數(shù)、AMF私鑰以及IOTD公鑰來對(duì)密文進(jìn)行解密。這一解密方式需要展開多方認(rèn)證,只有在認(rèn)證成功的基礎(chǔ)上才能實(shí)現(xiàn)解密,否則解密失敗。
在這樣的安全框架之下,身份認(rèn)證和信息的傳輸安全水平整體實(shí)現(xiàn)了進(jìn)一步的優(yōu)化。而從方案的實(shí)現(xiàn)角度看,可以將上述工作分為三個(gè)部分,即系統(tǒng)初始化、密鑰的生成以及數(shù)據(jù)信息傳輸與認(rèn)證。其中系統(tǒng)的初始化由KGC執(zhí)行,用于生成系統(tǒng)公鑰和主私鑰,并且主私鑰并不公開。隨后的密鑰生成階段,指的是用戶端密鑰生成,這種密鑰又進(jìn)一步分為兩個(gè)部分,分別由KGC和用戶端產(chǎn)生。對(duì)于這種由兩個(gè)方面來產(chǎn)生的密鑰,能夠同時(shí)實(shí)現(xiàn)用戶密鑰的安全性和密鑰托管的兩個(gè)方面問題。在這里應(yīng)用的密鑰生成機(jī)制并不局限于無證書形態(tài),對(duì)應(yīng)的用戶密鑰產(chǎn)生過程則包括了三個(gè)環(huán)節(jié)。首先由需要接入5G網(wǎng)絡(luò)的移動(dòng)用戶端來產(chǎn)生用戶端私鑰和用戶端公鑰,而后KGC依據(jù)所產(chǎn)生的用戶端公鑰生成初始部分密鑰,最后再由移動(dòng)用戶端依據(jù)KGC產(chǎn)生的用戶端公鑰和初始部分密鑰來生成部分密鑰。5在完成了密鑰生成這一個(gè)環(huán)節(jié)的工作之后,對(duì)應(yīng)的信息傳輸機(jī)制可以建立起來。首先,IOTD用戶群落將包括加密數(shù)據(jù)以及簽名的信息發(fā)送給AMF用以進(jìn)行認(rèn)證,AMF隨后將獲取到的數(shù)據(jù)包中的多個(gè)簽名進(jìn)行聚合技術(shù)生成聚合簽名,通過驗(yàn)證聚合簽名本身的合法性來確定對(duì)應(yīng)的這一組申請(qǐng)接入終端的合法性。如果驗(yàn)證正確,則AMF可以解密獲取到對(duì)應(yīng)的加密信息內(nèi)容,完成信息傳輸。
對(duì)于這樣的信息框架,可以確定能夠在四個(gè)方面實(shí)現(xiàn)其信息傳輸?shù)陌踩?。首先,多方認(rèn)證可以阻止外部攻擊產(chǎn)生有效的聚合簽名,從而實(shí)現(xiàn)了對(duì)于入網(wǎng)許可的加強(qiáng)管理。因?yàn)榫酆虾灻菑亩鄠€(gè)簽名中產(chǎn)生的,并且產(chǎn)生的過程由AMF生成,因此如果沒有正確的私鑰,攻擊者就無法產(chǎn)生正確的聚合簽名,因此也就無法在5G網(wǎng)絡(luò)中獲取到合法的身份,無法參與信息的傳輸,從而實(shí)現(xiàn)信息安全。
其次,可以有效保證數(shù)據(jù)的隱私特征以及其完整性,這是信息安全的另一個(gè)根基所在。這一方案選用無證書聚合簽名加密技術(shù)來實(shí)現(xiàn)對(duì)于信息的加密和完整性保護(hù),確保只有獲取到合法身份的用戶才能使用其對(duì)應(yīng)的各種密鑰和進(jìn)行簽名。并且在進(jìn)行聚合簽名認(rèn)證的過程中,只有AMF才能依據(jù)其私鑰對(duì)IOTD設(shè)備群提交的信息展開聚合認(rèn)證,因此用戶的身份也會(huì)有所保證。綜合這兩個(gè)點(diǎn)可以確定,該方案?jìng)鬏敂?shù)據(jù)的隱私性和完整性都能夠得到保證。
再次,在匿名性方面,本質(zhì)上是由KGC來對(duì)用戶身份進(jìn)行替代標(biāo)記。具體而言,就是由KGC來為每一個(gè)進(jìn)入網(wǎng)絡(luò)的用戶確定一個(gè)序列號(hào),用以代替原先的真實(shí)身份標(biāo)記。通過這種方式來對(duì)用戶身份進(jìn)行隱藏,可以實(shí)現(xiàn)在信息傳輸,以及認(rèn)證的過程中對(duì)用戶身份進(jìn)行保護(hù),從而進(jìn)一步達(dá)到規(guī)避外來攻擊,或者通過身份來識(shí)別信息特征的安全風(fēng)險(xiǎn)。而與用戶相關(guān)的原始信息則存放在KGC中進(jìn)行統(tǒng)一存放,也便于加強(qiáng)保護(hù)。
最后,此種工作結(jié)構(gòu)還可以有效抵抗中間人的攻擊。主要是因?yàn)槿魏瓮鈦淼墓袅α慷疾荒茉诓徽莆账借€的基礎(chǔ)上生成有效的簽名,因此基于簽名的欺詐行為也就可以得到禁止。
在實(shí)際應(yīng)用的過程中,這種新的工作機(jī)制具有一定先進(jìn)性,尤其是在面向海量接入節(jié)點(diǎn)的時(shí)候,其信息安全以及應(yīng)答及時(shí)性的優(yōu)點(diǎn)就會(huì)更為突出。當(dāng)前比較常見的是EPS-AKA方案,與之相對(duì)比不難發(fā)現(xiàn),隨著請(qǐng)求接入網(wǎng)絡(luò)環(huán)境的終端總量的增加,無論是EPS-AKA方案還是本文中提出的聚合簽名技術(shù)方案都會(huì)呈現(xiàn)出顯著的時(shí)延上升問題,如果網(wǎng)絡(luò)環(huán)境中的接入請(qǐng)求比較有限,則傳統(tǒng)的EPS-AKA方案會(huì)更具優(yōu)勢(shì),但是終端數(shù)量超過1000的時(shí)候,聚合簽名思路支持下的相應(yīng)方案會(huì)在認(rèn)證時(shí)延方面表現(xiàn)更優(yōu)。而在信令開銷方面,同樣與執(zhí)行傳統(tǒng)AKA協(xié)議的EPS-AKA方案相比,本文思路支持下的工作方案對(duì)信令的要求更低。EPS-AKA方案下需要6N信令才能完成認(rèn)證,但是本文方案支持下只需要3N+2信令就可以完成同樣認(rèn)證任務(wù),突出表現(xiàn)出來聚合簽名認(rèn)證方案的優(yōu)勢(shì)。除此以外,在計(jì)算方面,EPS-AKA方案中雖然只涉及計(jì)算開銷比較小的哈希計(jì)算,但是因?yàn)樾枰捎脤?duì)稱加密算法,所以每次同心之前都不能避免密鑰協(xié)商的過程,從而帶來額外的計(jì)算開銷,并且交互過程中密鑰泄露也存在風(fēng)險(xiǎn),這也是造成信息傳輸隱患的一個(gè)源頭問題。而對(duì)應(yīng)地,如果選用多方訪問認(rèn)證,則有利于在信息安全上實(shí)現(xiàn)保證。雖然計(jì)算開銷會(huì)有所增加,但是無證書的簽名算法可以避免密鑰托管帶來的相應(yīng)問題,安全性可以得到保證,并且認(rèn)證開銷也可以削減。
作者:吳昭 單位:大慶油田信息技術(shù)公司北京分公司