5G網(wǎng)絡(luò)無線接入安全技術(shù)的研究

國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心河南分中心 李孜峰

河南省信息咨詢?cè)O(shè)計(jì)研究有限公司 黃少華

5G作為新一代移動(dòng)通信技術(shù)，承載了物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、云計(jì)算、智能終端、工業(yè)控制、移動(dòng)支付等各種應(yīng)用技術(shù)，它給人們帶來全新體驗(yàn)的同時(shí)，也引發(fā)了新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。本文從5G網(wǎng)絡(luò)安全面臨的挑戰(zhàn)入手，闡述了5G網(wǎng)絡(luò)無線接入安全的關(guān)鍵技術(shù)，并著重介紹了物理層安全保密技術(shù)。

5G時(shí)代，萬物互聯(lián)，接入設(shè)備數(shù)量日益增多，種類日益復(fù)雜。隨著網(wǎng)絡(luò)的發(fā)展和終端的普及，人們對(duì)無線通信的要求越來越高。應(yīng)時(shí)代發(fā)展需求，第五代移動(dòng)通信網(wǎng)絡(luò)（5G）應(yīng)提供更高更好的傳輸性能：峰值速率相較于4G提升10倍，端到端時(shí)延要求達(dá)到毫秒級(jí)，能耗下降至4G時(shí)代的十分之一。與此同時(shí)，人們對(duì)網(wǎng)絡(luò)安全的關(guān)注越來越多，業(yè)界專家提出5G通信發(fā)展應(yīng)兼顧通信效率和安全的雙重需求，在保障5G通信效率的同時(shí)提供增強(qiáng)的無線通信安全。目前，世界各國(guó)已將5G網(wǎng)絡(luò)安全納入重要研究?jī)?nèi)容之一。美國(guó)、歐洲等為此相繼投入數(shù)千億美元，我國(guó)早在“十二五”綱要中已經(jīng)強(qiáng)調(diào)了網(wǎng)絡(luò)信息安全的重要性，并在863科技攻關(guān)計(jì)劃中持續(xù)對(duì)信息網(wǎng)絡(luò)安全投入大量研發(fā)基金。

1 5G網(wǎng)絡(luò)的安全需求與挑戰(zhàn)

2G至4G的安全機(jī)制主要采用對(duì)稱加密技術(shù)，該技術(shù)獨(dú)立于無線通信網(wǎng)絡(luò)，一般采用“打補(bǔ)丁”的方式，考慮無線通信固有特征的因素較少。這就導(dǎo)致其本身就存在缺陷，例如安全連接建立之前的信息保護(hù)、身份保密、密集網(wǎng)絡(luò)中的秘鑰管理等。因此，5G不能簡(jiǎn)單依賴前期技術(shù)的演進(jìn)，而是需要在前期安全機(jī)制基礎(chǔ)上擇優(yōu)利用，提供更靈活強(qiáng)大精細(xì)化的安全保障技術(shù)。特別是5G三大應(yīng)用場(chǎng)景中，異構(gòu)網(wǎng)絡(luò)、超密集組網(wǎng)、互聯(lián)網(wǎng)業(yè)務(wù)延伸趨勢(shì)加劇等問題，促使網(wǎng)絡(luò)安全面臨巨大挑戰(zhàn)。如圖1所示。

圖1 5G不同應(yīng)用場(chǎng)景下的安全挑戰(zhàn)

（1）無線通信的固有安全問題：首先，無線鏈路固有的開放性，致使無線信道上的信令和信息易被竊聽，且不易被發(fā)現(xiàn)。其次，終端與網(wǎng)絡(luò)間無固定物理連接，接入隨機(jī)性大，存在欺騙隱患。最后，終端的存儲(chǔ)計(jì)算功能限制了其不能承載過于復(fù)雜的安全算法。

（2）移動(dòng)互聯(lián)網(wǎng)帶來的安全隱患：傳統(tǒng)移動(dòng)通信處于相對(duì)封閉的網(wǎng)絡(luò)環(huán)境，終端類型和功能相對(duì)單一。進(jìn)入5G后，移動(dòng)通信永久在線的特性使竊聽和信息攔截更加容易，移動(dòng)電商交易、支付環(huán)節(jié)等信息傳遞過程中極易造成信息泄露。

（3）5G異構(gòu)網(wǎng)絡(luò)融合帶來的安全挑戰(zhàn)：移動(dòng)通信的發(fā)展造就了今天多種類無線接入網(wǎng)絡(luò)融合在一起形成異構(gòu)無線網(wǎng)（HetNets）。5G HetNets中含有多種多樣的接入網(wǎng)類型，不同網(wǎng)絡(luò)的安全保障能力也有差異。因此，HetNets應(yīng)充分利用不同網(wǎng)絡(luò)的互補(bǔ)性，為用戶提供安全服務(wù)，打造出多級(jí)別安全保障的網(wǎng)絡(luò)。

為滿足5G網(wǎng)絡(luò)的高速率、大容量、低成本、多業(yè)務(wù)等性能指標(biāo)，5G采用了密集組網(wǎng)、HetNets、Ad Hoc、D2D、M2M、Wi-Fi、近場(chǎng)通信等無線通信技術(shù)。這些技術(shù)決定了5G網(wǎng)絡(luò)安全問題無處不在。因此5G應(yīng)建立一套全方位立體化的安全體系架構(gòu)，實(shí)現(xiàn)安全與網(wǎng)絡(luò)的有效統(tǒng)一。

2 無線接入安全關(guān)鍵技術(shù)

5G在改進(jìn)4G安全機(jī)制漏洞的基礎(chǔ)上，引入新型安全技術(shù)。

（1）4G安全機(jī)制的演進(jìn)

盡管4G網(wǎng)絡(luò)在安全架構(gòu)上較之前有很多改進(jìn)，網(wǎng)絡(luò)安全有很大升級(jí)。但仍然存在安全漏洞。如AKA機(jī)制雖有改進(jìn)，但實(shí)際通信中其認(rèn)證向量仍然被截獲、IMSI依然被泄露；UE進(jìn)行越區(qū)切換時(shí)候密鑰更新不具有后向安全性等。

針對(duì)這些安全漏洞，5G采取以下優(yōu)化改進(jìn)措施。

第一，使用統(tǒng)一認(rèn)證機(jī)制。5G網(wǎng)絡(luò)的接入網(wǎng)絡(luò)類型眾多，不同網(wǎng)絡(luò)安全體系千差萬別，因此MS漫游于各網(wǎng)絡(luò)之間時(shí)候，就會(huì)出現(xiàn)不斷進(jìn)行安全機(jī)制切換的現(xiàn)象，導(dǎo)致信息頻繁多次無效傳遞，通信效率降低。所以5G網(wǎng)絡(luò)必須實(shí)現(xiàn)網(wǎng)絡(luò)間安全機(jī)制的統(tǒng)一認(rèn)證，有效融合。

第二，優(yōu)化秘鑰結(jié)構(gòu)。4G為增強(qiáng)網(wǎng)絡(luò)安全，采用了非接入層（NAS）和接入層（AS）多級(jí)秘鑰結(jié)構(gòu)。但5G網(wǎng)絡(luò)因其接入類型復(fù)雜，網(wǎng)絡(luò)節(jié)點(diǎn)密集，且業(yè)務(wù)對(duì)時(shí)延和速率要求極高，無法繼承復(fù)雜的秘鑰推演過程。所以5G要求其秘鑰架構(gòu)盡量靈活、輕量、可擴(kuò)展。

第三，加密算法輕量化。針對(duì)5G中物聯(lián)網(wǎng)、M2M等節(jié)點(diǎn)設(shè)備多，計(jì)算能力弱的場(chǎng)景，無法使用常規(guī)加密算法，5G需針對(duì)性開發(fā)提供輕量級(jí)加密方案。

第四，適當(dāng)引入公鑰加密機(jī)制。5G網(wǎng)絡(luò)中工業(yè)控制、智能手機(jī)等高端設(shè)備計(jì)算能力強(qiáng)大，為公鑰加密的引入提供了技術(shù)條件，因此5G網(wǎng)絡(luò)安全體系應(yīng)適當(dāng)引入公鑰加密體制。

（2）物理層安全的引入

公鑰、私鑰等密碼學(xué)技術(shù)通常部署在高層協(xié)議中，當(dāng)網(wǎng)絡(luò)層數(shù)節(jié)點(diǎn)設(shè)備過多，秘鑰管理將會(huì)變得異常復(fù)雜。嚴(yán)重影響網(wǎng)絡(luò)性能，且密碼學(xué)依賴于竊聽者的數(shù)學(xué)計(jì)算能力，當(dāng)竊聽者收集足夠多的破解信息，秘鑰終將會(huì)被破解。網(wǎng)絡(luò)安全無從保障。

為增強(qiáng)網(wǎng)絡(luò)安全，學(xué)術(shù)界提出向物理層滲透，構(gòu)建物理層與密碼學(xué)相結(jié)合的全方位立體化安全保障體系。

3 物理層安全保密通信技術(shù)

如圖2所示，物理層安全性能通常采用保密容量來評(píng)估。Wyner定義通信系統(tǒng)可達(dá)到的最大保密速率為保密容量。

圖2 Wyner退化廣播信道模型

其中：U為輔助變量，X為信源，Y和Z表示接受者與竊聽者的接受信息，p(u,x)表示信道分布函數(shù)。目前該技術(shù)分為以下三大類：

（1）保密信道編碼技術(shù)

根據(jù)信息論，保密容量大于零，即可存在一種信道編碼技術(shù)使接受者誤碼率趨于零，竊聽者信息量無限小。該技術(shù)要求保證傳輸可靠性的同時(shí)還要保證通信保密性。目前多數(shù)工作還停留在理論研究階段。

（2）物理層安全傳輸技術(shù)

由保密容量定義可知，通信安全的前提是接收信道優(yōu)于竊聽信道。但實(shí)際工作中，由于無線信道的隨機(jī)性，這一條件不見得就能夠成立。此時(shí)可選用信號(hào)處理技術(shù)增強(qiáng)接收信道的傳播特性，促使通信系統(tǒng)更為安全。目前，最廣泛使用的技術(shù)包括預(yù)編碼、協(xié)作、分集技術(shù)、網(wǎng)絡(luò)編碼技術(shù)。

（3）物理層密鑰生成技術(shù)

該技術(shù)作為無線網(wǎng)絡(luò)秘鑰生成方案之一，充分利用了無線信道的隨機(jī)性、唯一性和短時(shí)互易性，為高層加密技術(shù)產(chǎn)生秘鑰。使合法通信雙方利用兩者之間的短時(shí)互易性提取相同的比特序列作為通信秘鑰，而竊聽者因隨機(jī)衰落無法獲取相同的秘鑰。

目前該技術(shù)包括四種：基于信道脈沖響應(yīng)的秘鑰生成、基于接收信號(hào)強(qiáng)度的秘鑰生成、基于接收信號(hào)相位的秘鑰生成和基于信道相關(guān)性的秘鑰生成技術(shù)。

小結(jié)：5G為我們帶來便利的同時(shí)，對(duì)網(wǎng)絡(luò)安全要求也更嚴(yán)格。我們應(yīng)堅(jiān)持發(fā)展與安全并重、鼓勵(lì)與規(guī)范并舉的理念，加快5G網(wǎng)絡(luò)部署、深度推進(jìn)5G與各領(lǐng)域融合，持續(xù)開展5G安全能力建設(shè)，統(tǒng)籌做好5G網(wǎng)絡(luò)設(shè)施安全、應(yīng)用安全、數(shù)據(jù)安全等工作。密切跟蹤5G安全風(fēng)險(xiǎn)，動(dòng)態(tài)開展5G技術(shù)安全評(píng)估，明確5G安全保障重點(diǎn)。加快構(gòu)建5G網(wǎng)絡(luò)威脅監(jiān)測(cè)、全局感知、預(yù)警防護(hù)、聯(lián)動(dòng)處置一體化網(wǎng)絡(luò)安全防御體系，形成覆蓋全生命周期的網(wǎng)絡(luò)安全防護(hù)能力。