5G网络无线接入安全技术的研究

国家计算机网络与信息安全管理中心河南分中心 李孜峰

河南省信息咨询设计研究有限公司 黄少华

5G作为新一代移动通信技术，承载了物联网、车联网、云计算、智能终端、工业控制、移动支付等各种应用技术，它给人们带来全新体验的同时，也引发了新的网络安全风险。本文从5G网络安全面临的挑战入手，阐述了5G网络无线接入安全的关键技术，并着重介绍了物理层安全保密技术。

5G时代，万物互联，接入设备数量日益增多，种类日益复杂。随着网络的发展和终端的普及，人们对无线通信的要求越来越高。应时代发展需求，第五代移动通信网络（5G）应提供更高更好的传输性能：峰值速率相较于4G提升10倍，端到端时延要求达到毫秒级，能耗下降至4G时代的十分之一。与此同时，人们对网络安全的关注越来越多，业界专家提出5G通信发展应兼顾通信效率和安全的双重需求，在保障5G通信效率的同时提供增强的无线通信安全。目前，世界各国已将5G网络安全纳入重要研究内容之一。美国、欧洲等为此相继投入数千亿美元，我国早在“十二五”纲要中已经强调了网络信息安全的重要性，并在863科技攻关计划中持续对信息网络安全投入大量研发基金。

1 5G网络的安全需求与挑战

2G至4G的安全机制主要采用对称加密技术，该技术独立于无线通信网络，一般采用“打补丁”的方式，考虑无线通信固有特征的因素较少。这就导致其本身就存在缺陷，例如安全连接建立之前的信息保护、身份保密、密集网络中的秘钥管理等。因此，5G不能简单依赖前期技术的演进，而是需要在前期安全机制基础上择优利用，提供更灵活强大精细化的安全保障技术。特别是5G三大应用场景中，异构网络、超密集组网、互联网业务延伸趋势加剧等问题，促使网络安全面临巨大挑战。如图1所示。

图1 5G不同应用场景下的安全挑战

（1）无线通信的固有安全问题：首先，无线链路固有的开放性，致使无线信道上的信令和信息易被窃听，且不易被发现。其次，终端与网络间无固定物理连接，接入随机性大，存在欺骗隐患。最后，终端的存储计算功能限制了其不能承载过于复杂的安全算法。

（2）移动互联网带来的安全隐患：传统移动通信处于相对封闭的网络环境，终端类型和功能相对单一。进入5G后，移动通信永久在线的特性使窃听和信息拦截更加容易，移动电商交易、支付环节等信息传递过程中极易造成信息泄露。

（3）5G异构网络融合带来的安全挑战：移动通信的发展造就了今天多种类无线接入网络融合在一起形成异构无线网（HetNets）。5G HetNets中含有多种多样的接入网类型，不同网络的安全保障能力也有差异。因此，HetNets应充分利用不同网络的互补性，为用户提供安全服务，打造出多级别安全保障的网络。

为满足5G网络的高速率、大容量、低成本、多业务等性能指标，5G采用了密集组网、HetNets、Ad Hoc、D2D、M2M、Wi-Fi、近场通信等无线通信技术。这些技术决定了5G网络安全问题无处不在。因此5G应建立一套全方位立体化的安全体系架构，实现安全与网络的有效统一。

2 无线接入安全关键技术

5G在改进4G安全机制漏洞的基础上，引入新型安全技术。

（1）4G安全机制的演进

尽管4G网络在安全架构上较之前有很多改进，网络安全有很大升级。但仍然存在安全漏洞。如AKA机制虽有改进，但实际通信中其认证向量仍然被截获、IMSI依然被泄露；UE进行越区切换时候密钥更新不具有后向安全性等。

针对这些安全漏洞，5G采取以下优化改进措施。

第一，使用统一认证机制。5G网络的接入网络类型众多，不同网络安全体系千差万别，因此MS漫游于各网络之间时候，就会出现不断进行安全机制切换的现象，导致信息频繁多次无效传递，通信效率降低。所以5G网络必须实现网络间安全机制的统一认证，有效融合。

第二，优化秘钥结构。4G为增强网络安全，采用了非接入层（NAS）和接入层（AS）多级秘钥结构。但5G网络因其接入类型复杂，网络节点密集，且业务对时延和速率要求极高，无法继承复杂的秘钥推演过程。所以5G要求其秘钥架构尽量灵活、轻量、可扩展。

第三，加密算法轻量化。针对5G中物联网、M2M等节点设备多，计算能力弱的场景，无法使用常规加密算法，5G需针对性开发提供轻量级加密方案。

第四，适当引入公钥加密机制。5G网络中工业控制、智能手机等高端设备计算能力强大，为公钥加密的引入提供了技术条件，因此5G网络安全体系应适当引入公钥加密体制。

（2）物理层安全的引入

公钥、私钥等密码学技术通常部署在高层协议中，当网络层数节点设备过多，秘钥管理将会变得异常复杂。严重影响网络性能，且密码学依赖于窃听者的数学计算能力，当窃听者收集足够多的破解信息，秘钥终将会被破解。网络安全无从保障。

为增强网络安全，学术界提出向物理层渗透，构建物理层与密码学相结合的全方位立体化安全保障体系。

3 物理层安全保密通信技术

如图2所示，物理层安全性能通常采用保密容量来评估。Wyner定义通信系统可达到的最大保密速率为保密容量。

图2 Wyner退化广播信道模型

其中：U为辅助变量，X为信源，Y和Z表示接受者与窃听者的接受信息，p(u,x)表示信道分布函数。目前该技术分为以下三大类：

（1）保密信道编码技术

根据信息论，保密容量大于零，即可存在一种信道编码技术使接受者误码率趋于零，窃听者信息量无限小。该技术要求保证传输可靠性的同时还要保证通信保密性。目前多数工作还停留在理论研究阶段。

（2）物理层安全传输技术

由保密容量定义可知，通信安全的前提是接收信道优于窃听信道。但实际工作中，由于无线信道的随机性，这一条件不见得就能够成立。此时可选用信号处理技术增强接收信道的传播特性，促使通信系统更为安全。目前，最广泛使用的技术包括预编码、协作、分集技术、网络编码技术。

（3）物理层密钥生成技术

该技术作为无线网络秘钥生成方案之一，充分利用了无线信道的随机性、唯一性和短时互易性，为高层加密技术产生秘钥。使合法通信双方利用两者之间的短时互易性提取相同的比特序列作为通信秘钥，而窃听者因随机衰落无法获取相同的秘钥。

目前该技术包括四种：基于信道脉冲响应的秘钥生成、基于接收信号强度的秘钥生成、基于接收信号相位的秘钥生成和基于信道相关性的秘钥生成技术。

小结：5G为我们带来便利的同时，对网络安全要求也更严格。我们应坚持发展与安全并重、鼓励与规范并举的理念，加快5G网络部署、深度推进5G与各领域融合，持续开展5G安全能力建设，统筹做好5G网络设施安全、应用安全、数据安全等工作。密切跟踪5G安全风险，动态开展5G技术安全评估，明确5G安全保障重点。加快构建5G网络威胁监测、全局感知、预警防护、联动处置一体化网络安全防御体系，形成覆盖全生命周期的网络安全防护能力。