5G網絡無線接入安全技術的研究

國家計算機網絡與信息安全管理中心河南分中心 李孜峰

河南省信息咨詢設計研究有限公司 黃少華

5G作為新一代移動通信技術，承載了物聯網、車聯網、云計算、智能終端、工業控制、移動支付等各種應用技術，它給人們帶來全新體驗的同時，也引發了新的網絡安全風險。本文從5G網絡安全面臨的挑戰入手，闡述了5G網絡無線接入安全的關鍵技術，并著重介紹了物理層安全保密技術。

5G時代，萬物互聯，接入設備數量日益增多，種類日益復雜。隨著網絡的發展和終端的普及，人們對無線通信的要求越來越高。應時代發展需求，第五代移動通信網絡（5G）應提供更高更好的傳輸性能：峰值速率相較于4G提升10倍，端到端時延要求達到毫秒級，能耗下降至4G時代的十分之一。與此同時，人們對網絡安全的關注越來越多，業界專家提出5G通信發展應兼顧通信效率和安全的雙重需求，在保障5G通信效率的同時提供增強的無線通信安全。目前，世界各國已將5G網絡安全納入重要研究內容之一。美國、歐洲等為此相繼投入數千億美元，我國早在“十二五”綱要中已經強調了網絡信息安全的重要性，并在863科技攻關計劃中持續對信息網絡安全投入大量研發基金。

1 5G網絡的安全需求與挑戰

2G至4G的安全機制主要采用對稱加密技術，該技術獨立于無線通信網絡，一般采用“打補丁”的方式，考慮無線通信固有特征的因素較少。這就導致其本身就存在缺陷，例如安全連接建立之前的信息保護、身份保密、密集網絡中的秘鑰管理等。因此，5G不能簡單依賴前期技術的演進，而是需要在前期安全機制基礎上擇優利用，提供更靈活強大精細化的安全保障技術。特別是5G三大應用場景中，異構網絡、超密集組網、互聯網業務延伸趨勢加劇等問題，促使網絡安全面臨巨大挑戰。如圖1所示。

圖1 5G不同應用場景下的安全挑戰

（1）無線通信的固有安全問題：首先，無線鏈路固有的開放性，致使無線信道上的信令和信息易被竊聽，且不易被發現。其次，終端與網絡間無固定物理連接，接入隨機性大，存在欺騙隱患。最后，終端的存儲計算功能限制了其不能承載過于復雜的安全算法。

（2）移動互聯網帶來的安全隱患：傳統移動通信處于相對封閉的網絡環境，終端類型和功能相對單一。進入5G后，移動通信永久在線的特性使竊聽和信息攔截更加容易，移動電商交易、支付環節等信息傳遞過程中極易造成信息泄露。

（3）5G異構網絡融合帶來的安全挑戰：移動通信的發展造就了今天多種類無線接入網絡融合在一起形成異構無線網（HetNets）。5G HetNets中含有多種多樣的接入網類型，不同網絡的安全保障能力也有差異。因此，HetNets應充分利用不同網絡的互補性，為用戶提供安全服務，打造出多級別安全保障的網絡。

為滿足5G網絡的高速率、大容量、低成本、多業務等性能指標，5G采用了密集組網、HetNets、Ad Hoc、D2D、M2M、Wi-Fi、近場通信等無線通信技術。這些技術決定了5G網絡安全問題無處不在。因此5G應建立一套全方位立體化的安全體系架構，實現安全與網絡的有效統一。

2 無線接入安全關鍵技術

5G在改進4G安全機制漏洞的基礎上，引入新型安全技術。

（1）4G安全機制的演進

盡管4G網絡在安全架構上較之前有很多改進，網絡安全有很大升級。但仍然存在安全漏洞。如AKA機制雖有改進，但實際通信中其認證向量仍然被截獲、IMSI依然被泄露；UE進行越區切換時候密鑰更新不具有后向安全性等。

針對這些安全漏洞，5G采取以下優化改進措施。

第一，使用統一認證機制。5G網絡的接入網絡類型眾多，不同網絡安全體系千差萬別，因此MS漫游于各網絡之間時候，就會出現不斷進行安全機制切換的現象，導致信息頻繁多次無效傳遞，通信效率降低。所以5G網絡必須實現網絡間安全機制的統一認證，有效融合。

第二，優化秘鑰結構。4G為增強網絡安全，采用了非接入層（NAS）和接入層（AS）多級秘鑰結構。但5G網絡因其接入類型復雜，網絡節點密集，且業務對時延和速率要求極高，無法繼承復雜的秘鑰推演過程。所以5G要求其秘鑰架構盡量靈活、輕量、可擴展。

第三，加密算法輕量化。針對5G中物聯網、M2M等節點設備多，計算能力弱的場景，無法使用常規加密算法，5G需針對性開發提供輕量級加密方案。

第四，適當引入公鑰加密機制。5G網絡中工業控制、智能手機等高端設備計算能力強大，為公鑰加密的引入提供了技術條件，因此5G網絡安全體系應適當引入公鑰加密體制。

（2）物理層安全的引入

公鑰、私鑰等密碼學技術通常部署在高層協議中，當網絡層數節點設備過多，秘鑰管理將會變得異常復雜。嚴重影響網絡性能，且密碼學依賴于竊聽者的數學計算能力，當竊聽者收集足夠多的破解信息，秘鑰終將會被破解。網絡安全無從保障。

為增強網絡安全，學術界提出向物理層滲透，構建物理層與密碼學相結合的全方位立體化安全保障體系。

3 物理層安全保密通信技術

如圖2所示，物理層安全性能通常采用保密容量來評估。Wyner定義通信系統可達到的最大保密速率為保密容量。

圖2 Wyner退化廣播信道模型

其中：U為輔助變量，X為信源，Y和Z表示接受者與竊聽者的接受信息，p(u,x)表示信道分布函數。目前該技術分為以下三大類：

（1）保密信道編碼技術

根據信息論，保密容量大于零，即可存在一種信道編碼技術使接受者誤碼率趨于零，竊聽者信息量無限小。該技術要求保證傳輸可靠性的同時還要保證通信保密性。目前多數工作還停留在理論研究階段。

（2）物理層安全傳輸技術

由保密容量定義可知，通信安全的前提是接收信道優于竊聽信道。但實際工作中，由于無線信道的隨機性，這一條件不見得就能夠成立。此時可選用信號處理技術增強接收信道的傳播特性，促使通信系統更為安全。目前，最廣泛使用的技術包括預編碼、協作、分集技術、網絡編碼技術。

（3）物理層密鑰生成技術

該技術作為無線網絡秘鑰生成方案之一，充分利用了無線信道的隨機性、唯一性和短時互易性，為高層加密技術產生秘鑰。使合法通信雙方利用兩者之間的短時互易性提取相同的比特序列作為通信秘鑰，而竊聽者因隨機衰落無法獲取相同的秘鑰。

目前該技術包括四種：基于信道脈沖響應的秘鑰生成、基于接收信號強度的秘鑰生成、基于接收信號相位的秘鑰生成和基于信道相關性的秘鑰生成技術。

小結：5G為我們帶來便利的同時，對網絡安全要求也更嚴格。我們應堅持發展與安全并重、鼓勵與規范并舉的理念，加快5G網絡部署、深度推進5G與各領域融合，持續開展5G安全能力建設，統籌做好5G網絡設施安全、應用安全、數據安全等工作。密切跟蹤5G安全風險，動態開展5G技術安全評估，明確5G安全保障重點。加快構建5G網絡威脅監測、全局感知、預警防護、聯動處置一體化網絡安全防御體系，形成覆蓋全生命周期的網絡安全防護能力。