對于5G環境而言，如何實現大量移動端的安全有效接入，是當前面對的一大問題。實際工作中可以考慮通過改進算法，用聚合認證的形式對現有工作框架進行改進，從而獲取更優的時延效果和更高的安全水平。

　　5G網絡環境之下，移動端的接入是關系到整個5G網絡信息安全的關鍵環節。如果這個環節的安全工作沒有落實到位，就有可能讓非法用戶混入5G環境，進一步造成更嚴重的信息安全風險。但是如何落實新的移動端接入，又進一步牽涉兩個細節，其一，即用戶群體的隱私保護，其二則是對新接入的移動端的身份驗證的效率。尤其是第二個問題，當大量移動端涌入5G網絡環境之中的時候，如何快速處理多個接入請求，就成為網絡質量的一個重要衡量。

　　為了對5G接入網絡環節實現優化，可以考慮采用聚合的方式，用不同移動接入端的多個簽名來生成一個聚合簽名，從而實現網絡對于這一批移動接入端的批量驗證。此種方式可以有效節省網絡中的認證開銷，并且大大提升對于接入移動端的驗證效率，降低驗證時延，提升網絡接入效率和使用體驗。想要實現這一目標，可以在網絡中設定三個通信實體，即密鑰生成中心KGC、物聯網終端設備IOTD以及網絡網元AMF，三方之間都存在通信，但IOTD和AMF之間的通信，是經由NG-RAN實現的。在這個框架之下，KGC的作用是實現對用戶身份的標記，生成系統公共參數以及用戶初始部分密鑰，KGC只是一個半可信實體，并不意味著這些參數的分配而確定其可信地位。IOTD(IOTDevice)即接入5G環境中的各類移動終端，這其中也包括在物聯網環境中會遇到的各種機械等。而AMF則負責實現對IOTD的身份認證，相對于KGC來說，AMF執行了可信身份，其能夠實現對各類設備發送過來的驗證請求實現聚合式的處理和解密。

　　從執行的流程角度看，這種多方認證加密方案含有多個環節，包括系統初始化、用戶端密鑰生成、初始部分密鑰生成、部分密鑰生成、認證加密、多方聚合認證加密以及多方聚合認證解密。其中系統初始化由KGC執行，其職責主要是依據輸入的安全參數來生成對應的系統公開參數和主密鑰。用戶端密鑰生成環節負責生成用戶端公鑰和用戶端私鑰，但是需要注意這個環節由接入用戶端IOTD和AMF完成，即AMF同樣需要執行這個環節的工作。而后進一步由KGC展開初始部分密鑰生成工作，主要是以第一個環節所產生的的系統公共參數和主密鑰，以用戶ID及用戶端公鑰作為依據，來生成初始部分密鑰，包括初始部分公鑰和私鑰兩個部分。隨后用戶端繼續執行部分密鑰生成工作，即依據KGC產生的系統公共參數和用戶端公鑰、初始部分公鑰以及私鑰，來確定出部分公鑰和部分私鑰。隨后由接入5G系統中的移動端用戶來執行認證加密，對需要傳輸的信息進行認證加密，形成對應的密文供傳輸。最后多方聚合認證加密和多方聚合認證解密都歸于AMF執行，依據系統參數和之前AMF接收到的密文來產生對應的聚合密文，解密部分則是依據系統參數、AMF私鑰以及IOTD公鑰來對密文進行解密。這一解密方式需要展開多方認證，只有在認證成功的基礎上才能實現解密，否則解密失敗。

　　在這樣的安全框架之下，身份認證和信息的傳輸安全水平整體實現了進一步的優化。而從方案的實現角度看，可以將上述工作分為三個部分，即系統初始化、密鑰的生成以及數據信息傳輸與認證。其中系統的初始化由KGC執行，用于生成系統公鑰和主私鑰，并且主私鑰并不公開。隨后的密鑰生成階段，指的是用戶端密鑰生成，這種密鑰又進一步分為兩個部分，分別由KGC和用戶端產生。對于這種由兩個方面來產生的密鑰，能夠同時實現用戶密鑰的安全性和密鑰托管的兩個方面問題。在這里應用的密鑰生成機制并不局限于無證書形態，對應的用戶密鑰產生過程則包括了三個環節。首先由需要接入5G網絡的移動用戶端來產生用戶端私鑰和用戶端公鑰，而后KGC依據所產生的用戶端公鑰生成初始部分密鑰，最后再由移動用戶端依據KGC產生的用戶端公鑰和初始部分密鑰來生成部分密鑰。5在完成了密鑰生成這一個環節的工作之后，對應的信息傳輸機制可以建立起來。首先，IOTD用戶群落將包括加密數據以及簽名的信息發送給AMF用以進行認證，AMF隨后將獲取到的數據包中的多個簽名進行聚合技術生成聚合簽名，通過驗證聚合簽名本身的合法性來確定對應的這一組申請接入終端的合法性。如果驗證正確，則AMF可以解密獲取到對應的加密信息內容，完成信息傳輸。

　　對于這樣的信息框架，可以確定能夠在四個方面實現其信息傳輸的安全。首先，多方認證可以阻止外部攻擊產生有效的聚合簽名，從而實現了對于入網許可的加強管理。因為聚合簽名是從多個簽名中產生的，并且產生的過程由AMF生成，因此如果沒有正確的私鑰，攻擊者就無法產生正確的聚合簽名，因此也就無法在5G網絡中獲取到合法的身份，無法參與信息的傳輸，從而實現信息安全。

　　其次，可以有效保證數據的隱私特征以及其完整性，這是信息安全的另一個根基所在。這一方案選用無證書聚合簽名加密技術來實現對于信息的加密和完整性保護，確保只有獲取到合法身份的用戶才能使用其對應的各種密鑰和進行簽名。并且在進行聚合簽名認證的過程中，只有AMF才能依據其私鑰對IOTD設備群提交的信息展開聚合認證，因此用戶的身份也會有所保證。綜合這兩個點可以確定，該方案傳輸數據的隱私性和完整性都能夠得到保證。

　　再次，在匿名性方面，本質上是由KGC來對用戶身份進行替代標記。具體而言，就是由KGC來為每一個進入網絡的用戶確定一個序列號，用以代替原先的真實身份標記。通過這種方式來對用戶身份進行隱藏，可以實現在信息傳輸，以及認證的過程中對用戶身份進行保護，從而進一步達到規避外來攻擊，或者通過身份來識別信息特征的安全風險。而與用戶相關的原始信息則存放在KGC中進行統一存放，也便于加強保護。

　　最后，此種工作結構還可以有效抵抗中間人的攻擊。主要是因為任何外來的攻擊力量都不能在不掌握私鑰的基礎上生成有效的簽名，因此基于簽名的欺詐行為也就可以得到禁止。

　　在實際應用的過程中，這種新的工作機制具有一定先進性，尤其是在面向海量接入節點的時候，其信息安全以及應答及時性的優點就會更為突出。當前比較常見的是EPS-AKA方案，與之相對比不難發現，隨著請求接入網絡環境的終端總量的增加，無論是EPS-AKA方案還是本文中提出的聚合簽名技術方案都會呈現出顯著的時延上升問題，如果網絡環境中的接入請求比較有限，則傳統的EPS-AKA方案會更具優勢，但是終端數量超過1000的時候，聚合簽名思路支持下的相應方案會在認證時延方面表現更優。而在信令開銷方面，同樣與執行傳統AKA協議的EPS-AKA方案相比，本文思路支持下的工作方案對信令的要求更低。EPS-AKA方案下需要6N信令才能完成認證，但是本文方案支持下只需要3N+2信令就可以完成同樣認證任務，突出表現出來聚合簽名認證方案的優勢。除此以外，在計算方面，EPS-AKA方案中雖然只涉及計算開銷比較小的哈希計算，但是因為需要采用對稱加密算法，所以每次同心之前都不能避免密鑰協商的過程，從而帶來額外的計算開銷，并且交互過程中密鑰泄露也存在風險，這也是造成信息傳輸隱患的一個源頭問題。而對應地，如果選用多方訪問認證，則有利于在信息安全上實現保證。雖然計算開銷會有所增加，但是無證書的簽名算法可以避免密鑰托管帶來的相應問題，安全性可以得到保證，并且認證開銷也可以削減。

　　《5G環境下移動端接入的信息安全》來源：《中國科技信息》，作者:吳昭