移動(dòng)通信無線接入安全方法探討

李 巖，聶邵華，孫 健，田成立

（吉林吉大通信設(shè)計(jì)院股份有限公司，吉林 長春 130012）

0 引 言

目前，移動(dòng)通信建設(shè)進(jìn)入了高速發(fā)展的時(shí)期，支持增強(qiáng)移動(dòng)帶寬、高可靠低時(shí)延以及低功耗大連接等應(yīng)用場景。除了現(xiàn)有的移動(dòng)互聯(lián)網(wǎng)之外，5G 的出現(xiàn)為增強(qiáng)現(xiàn)實(shí)（Augmented Reality，AR）、虛擬現(xiàn)實(shí)（Virtual Reality，VR）、車聯(lián)網(wǎng)以及物聯(lián)網(wǎng)等新興產(chǎn)業(yè)的發(fā)展提供強(qiáng)大的網(wǎng)絡(luò)接入能力，為垂直行業(yè)的迅速發(fā)展提供了信息基礎(chǔ)平臺(tái)。5G 與垂直行業(yè)的結(jié)合，為移動(dòng)通信技術(shù)帶來了新的安全需求和安全風(fēng)險(xiǎn)。文章圍繞移動(dòng)通信無線接入安全問題進(jìn)行了深入探討，為移動(dòng)通信技術(shù)的安全推廣建設(shè)提供了有效參考價(jià)值。

1 移動(dòng)通信技術(shù)

人們的生活方式逐漸朝著信息化和數(shù)據(jù)化的方向發(fā)展，“萬物物聯(lián)”是人們生活和工作的基礎(chǔ)，也是人們生活和工作的必要條件，而“萬物物聯(lián)”的第一步，便是4G 向5G 的升級(jí)。5G 移動(dòng)通信網(wǎng)絡(luò)與4G 網(wǎng)絡(luò)相比，數(shù)據(jù)的傳輸速度有很大優(yōu)勢，并且支持多種不同設(shè)備的高效通信，最大限度地發(fā)揮無線資源的利用率[1]。因此，可以有效避免在網(wǎng)絡(luò)使用過程中出現(xiàn)高頻段頻譜資源應(yīng)用效率低下的問題，實(shí)現(xiàn)通信資源的合理配置，既能改善通信品質(zhì)，又能大幅降低運(yùn)作費(fèi)用。目前，移動(dòng)通信技術(shù)的應(yīng)用重點(diǎn)主要圍繞用戶的業(yè)務(wù)體驗(yàn)需求展開。在同樣的小區(qū)里，居中的人和不居中的人，體驗(yàn)完全不同；在人多的地方和空曠的地方，也會(huì)有不同的體驗(yàn)。因此，對無線網(wǎng)絡(luò)進(jìn)行規(guī)劃時(shí)，需要根據(jù)不同用戶的體驗(yàn)需求進(jìn)行針對性的規(guī)劃，保證發(fā)揮出移動(dòng)通信技術(shù)的最大優(yōu)勢[2]。

2 移動(dòng)通信無線網(wǎng)絡(luò)接入安全方法特點(diǎn)

安全訪問技術(shù)廣泛應(yīng)用于移動(dòng)通信和無線網(wǎng)絡(luò)，其特征表現(xiàn)有以下幾點(diǎn)。第一，安全性。通過對安全接入技術(shù)的有效選擇和運(yùn)用，可以對用戶身份和用戶隱私進(jìn)行保護(hù)，防止惡意追蹤的發(fā)生，充分發(fā)揮接入技術(shù)的用戶信息保護(hù)功能。在進(jìn)行實(shí)體認(rèn)證時(shí)，主要認(rèn)證內(nèi)容包括用戶認(rèn)證和網(wǎng)絡(luò)認(rèn)證，進(jìn)一步增強(qiáng)通信的安全性。在無線網(wǎng)絡(luò)中進(jìn)行信號(hào)傳輸時(shí)，如果想要實(shí)現(xiàn)實(shí)體認(rèn)證，不僅依靠網(wǎng)絡(luò)，還要與各個(gè)區(qū)域的認(rèn)證機(jī)制和密鑰等結(jié)合。一方面，網(wǎng)絡(luò)用戶可以根據(jù)自己需要，發(fā)送認(rèn)證矢量，由鑒證方進(jìn)行認(rèn)證；另一方面，可以利用密鑰的作用，由鑒證方的用戶端發(fā)送密鑰，從而完成實(shí)體認(rèn)證[3]。第二，保密性。移動(dòng)通信無線網(wǎng)絡(luò)中的信號(hào)訪問具有加密性，可以在用戶的身份信息和系統(tǒng)的指示信息中使用加密算法和密鑰，防止用戶信息遭到惡意篡改。第三，完整性。在移動(dòng)通信技術(shù)中，使用安全訪問技術(shù)可以確保信息的完整性。完整性指指令信號(hào)和用戶信息之間的完整性，確保信息在傳遞時(shí)不發(fā)生畸變[4]。

3 5G 移動(dòng)無線網(wǎng)絡(luò)體系結(jié)構(gòu)的設(shè)計(jì)原則

傳統(tǒng)的移動(dòng)接入網(wǎng)架構(gòu)基于一種標(biāo)準(zhǔn)的網(wǎng)絡(luò)架構(gòu)，即中央地區(qū)的中央控制與管理，確保各地區(qū)之間的訪問與互聯(lián)關(guān)系。由于系統(tǒng)的人機(jī)接口較窄，系統(tǒng)的控制面比較窄，系統(tǒng)的單元和系統(tǒng)的函數(shù)之間存在著較強(qiáng)的偶合性。在5G 環(huán)境下，隨著5G 移動(dòng)業(yè)務(wù)和業(yè)務(wù)場景的不斷涌現(xiàn)，現(xiàn)有的5G 移動(dòng)網(wǎng)絡(luò)體系結(jié)構(gòu)存在著較大的靈活性和自適應(yīng)能力，通過對5G 業(yè)務(wù)覆蓋和核心性能指標(biāo)的研究，提出了5G 移動(dòng)網(wǎng)絡(luò)體系結(jié)構(gòu)應(yīng)該具有高度靈活性、可擴(kuò)展性以及可定制性，能夠靈活地進(jìn)行網(wǎng)絡(luò)資源和功能的優(yōu)化配置，同時(shí)兼顧功能、成本和能耗等多個(gè)方面。

4 移動(dòng)通信技術(shù)的安全架構(gòu)

移動(dòng)通信作為數(shù)字經(jīng)濟(jì)的核心驅(qū)動(dòng)力量，為個(gè)體與社會(huì)提供了有力支持。為適應(yīng)新的安全要求，移動(dòng)通信無線接入安全架構(gòu)體系的建設(shè)既要考慮到實(shí)際應(yīng)用效果，又要做好新技術(shù)的融合。在建立網(wǎng)絡(luò)安全架構(gòu)體系時(shí)，盡量融入一些有數(shù)據(jù)支撐的安全保護(hù)系統(tǒng)，統(tǒng)一認(rèn)證框架和具體業(yè)務(wù)流程。移動(dòng)通信無線接入的安全體系結(jié)構(gòu)如圖1 所示。

圖1 移動(dòng)通信無線接入的安全體系結(jié)構(gòu)

5 移動(dòng)通信無線接入的安全需求與挑戰(zhàn)

2G 至4G 的安全機(jī)制主要采用對稱加密技術(shù)，該技術(shù)獨(dú)立于無線通信網(wǎng)絡(luò)，一般采用“打補(bǔ)丁”的方式，無線通信固有特征的因素較少，導(dǎo)致其存在缺陷。例如，安全連接之前，建立信息保護(hù)、身份保密以及密集網(wǎng)絡(luò)中的密鑰管理等，移動(dòng)通信無線接入不能簡單依賴前期技術(shù)的演進(jìn)，而是在前期安全的基礎(chǔ)上，選擇移動(dòng)通信無線接入不同應(yīng)用場景下的安全需求和挑戰(zhàn)，提供更靈活、強(qiáng)大、精細(xì)化的安全保障技術(shù)。在移動(dòng)通信無線接入的3 大應(yīng)用場景中，出現(xiàn)了異構(gòu)網(wǎng)絡(luò)、超密集組網(wǎng)以及互聯(lián)網(wǎng)業(yè)務(wù)延伸趨勢加劇等問題，致使網(wǎng)絡(luò)安全面臨巨大挑戰(zhàn)。如增強(qiáng)移動(dòng)寬帶、用戶體驗(yàn)值、用戶峰值速率、低功耗連接、聯(lián)網(wǎng)密度以及低時(shí)延高可靠等。

5.1 無線通信的固有安全問題

第一，無線鏈路本身具有的開放特性，使得無線信道中傳輸?shù)男盘?hào)和消息容易被竊取，并且很難被檢測。第二，由于終端和網(wǎng)絡(luò)之間沒有固定的物理鏈接，使得用戶訪問具有隨機(jī)性和潛在的欺詐風(fēng)險(xiǎn)。第三，終端本身的存儲(chǔ)運(yùn)算能力無法實(shí)現(xiàn)太過復(fù)雜的保密算法[5]。

5.2 移動(dòng)互聯(lián)網(wǎng)帶來的安全隱患

傳統(tǒng)的移動(dòng)通信系統(tǒng)存在終端種類、功能比較單一以及網(wǎng)絡(luò)封閉等問題。隨著5G 時(shí)代的發(fā)展，移動(dòng)通信時(shí)很容易被人竊聽，在移動(dòng)電商交易和支付等信息傳輸中，容易導(dǎo)致信息泄漏。

6 移動(dòng)通信無線網(wǎng)絡(luò)安全接入技術(shù)研究

6.1 適合5G 的身份認(rèn)證技術(shù)

本項(xiàng)目從5G 網(wǎng)絡(luò)角度出發(fā)，面向5G 網(wǎng)絡(luò)中的多個(gè)網(wǎng)絡(luò)技術(shù)，提供一個(gè)統(tǒng)一的接入平臺(tái)，并提供一個(gè)標(biāo)準(zhǔn)的應(yīng)用程序接口（Application Program Interface，API）。在此背景下，用戶的通信會(huì)涉及多個(gè)網(wǎng)絡(luò)中的通信技術(shù)，不同的接入技術(shù)采用的安全機(jī)制也不一樣。因此，本項(xiàng)目在5G基礎(chǔ)上提出一種面向多個(gè)網(wǎng)絡(luò)、安全、高效以及低成本的跨平臺(tái)身份認(rèn)證機(jī)制，以保障5G 網(wǎng)絡(luò)的安全性能。針對5G 的應(yīng)用需求，研究一種基于人體生理特性與信道特性的差異化安全認(rèn)證方法，以滿足5G 網(wǎng)絡(luò)對各種應(yīng)用的全方位和細(xì)粒度需求。

6.2 切片安全隔離技術(shù)

5G 最大的特點(diǎn)是能夠?qū)崿F(xiàn)網(wǎng)絡(luò)分層。完成網(wǎng)絡(luò)切片后，再選擇與之對應(yīng)的切片組合，構(gòu)建端到端的邏輯網(wǎng)絡(luò)，利用安全資源虛擬化、安全能力開放共享以及多元化信任等功能，為不同行業(yè)提供差別化的安全能力。在此基礎(chǔ)上，通過對5G 網(wǎng)絡(luò)中的網(wǎng)絡(luò)功能和安全功能進(jìn)行分層，形成5G 網(wǎng)絡(luò)切片。對于高保密要求的特殊行業(yè)用戶，則需要將其分為2個(gè)部分：運(yùn)營商的部分和特殊行業(yè)的部分。使用白話網(wǎng)絡(luò)編排（Management And Network Orchestration，MANO）技術(shù)，將2 個(gè)部分的網(wǎng)絡(luò)功能和安全功能編入同一個(gè)網(wǎng)絡(luò)切片中，針對不同的網(wǎng)絡(luò)切片，構(gòu)建安全可靠的隔離和相應(yīng)的網(wǎng)絡(luò)通道，避免在數(shù)據(jù)傳輸過程中出現(xiàn)丟失。采用安全隔離技術(shù)，通過數(shù)據(jù)傳輸和邊界控制等手段，實(shí)現(xiàn)切片間的數(shù)據(jù)傳輸，通過基于安全策略的數(shù)據(jù)流量控制，最大限度規(guī)避非法侵入和跨域數(shù)據(jù)越界等問題，從而在切片間建立高效的安全隔離，阻止數(shù)據(jù)的非法流動(dòng)，防止泄露用戶隱[6]。

6.3 物理層安全保密通信技術(shù)

6.3.1 保密信道編碼技術(shù)

從信息理論出發(fā)，當(dāng)系統(tǒng)的安全容量大于0 時(shí)，會(huì)有一種可以使接收方錯(cuò)誤率趨近于0 的信道編碼方法，而竊方信息無窮小。這一技術(shù)可以確保信息的安全，但目前對這方面的研究大多以理論為主。

6.3.2 物理層安全傳輸技術(shù)

從安全容量的定義中可以得出結(jié)論，它在接收通道比在竊聽通道中更有優(yōu)勢。但現(xiàn)實(shí)生活中，這個(gè)條件并不一定滿足。這種情況下，可以選擇信號(hào)處理技術(shù)提高接收通道的傳輸性能，從而提高通信系統(tǒng)的安全性。其中，預(yù)編碼、協(xié)作、多樣性以及網(wǎng)絡(luò)編碼是應(yīng)用最廣泛的一種技術(shù)。

6.3.3 物理層密鑰生成技術(shù)

本文提出了一種基于隨機(jī)、唯一性、短時(shí)互易特性的無線網(wǎng)絡(luò)密鑰生成機(jī)制，通信雙方可以通過短時(shí)間互易，抽取出同一位的密鑰，而被竊聽者由于隨機(jī)衰落不能得到同一密鑰。現(xiàn)有的密鑰生成方法主要包括基于通道沖激響應(yīng)的密鑰生成方法、基于接收信號(hào)強(qiáng)度的密鑰生成方法、基于接收信號(hào)相位的密鑰生成方法以及基于通道相關(guān)性的密鑰生成方法等[7]。

7 結(jié) 論

無線安全存取技術(shù)的進(jìn)步極大提升了4G 網(wǎng)絡(luò)中通信和傳送的安全性。在4G 移動(dòng)通信中，正確使用密碼算法和密碼，可以保證4G 移動(dòng)通信的安全性。利用臨時(shí)身份實(shí)現(xiàn)的認(rèn)證模式，不僅可以確保認(rèn)證的有效性，而且可以大大增強(qiáng)用戶信息的安全性，為移動(dòng)通信安全高效的發(fā)展打下堅(jiān)實(shí)的基礎(chǔ)。