楊清飛

[摘 要]隨著社會的發(fā)展，人們對移動通信網(wǎng)絡(luò)的要求不斷提升，為了適應(yīng)人們的需求，下一代移動通信網(wǎng)絡(luò)正在向著業(yè)務(wù)多樣化、網(wǎng)絡(luò)融合化、傳輸寬帶化的方向發(fā)展，這種情況下，作為移動通信網(wǎng)絡(luò)重要組成部分的傳輸層，逐漸成為相關(guān)人員的研究重點。

[關(guān)鍵詞]下一代移動通信網(wǎng)絡(luò)；傳輸層；關(guān)鍵技術(shù)；應(yīng)用

中圖分類號：S719 文獻標識碼：A 文章編號：1009-914X（2018）16-0176-01

引言

網(wǎng)絡(luò)安全問題是現(xiàn)階段移動通信網(wǎng)絡(luò)面臨的主要問題，提升移動通信網(wǎng)絡(luò)的安全性，成為下一代移動通信網(wǎng)絡(luò)的研究重點。文章基于現(xiàn)階段移動通信網(wǎng)絡(luò)面臨的安全威脅及其原因展開討論，研究了設(shè)備認證授權(quán)算法，并分析了其在移動通信網(wǎng)絡(luò)中的具體應(yīng)用。

1、下一代移動通信網(wǎng)絡(luò)面臨的安全威脅

1.1 移動IP安全

在固定網(wǎng)絡(luò)中，終端和終端通常使用固定的IP地址進行通信，因此這類問題通常使用IPSec進行保護。而在無線網(wǎng)絡(luò)中，終端移動到外地時，通常使用移動護技術(shù)進行通信。在移動護技術(shù)中，引入了轉(zhuǎn)交地址的概念和路由優(yōu)化技術(shù)，這導致終端IP地址的變動。因此必須對IPSec協(xié)議進行擴展，以實現(xiàn)移動中的通信安全。

1.2 終端的移動性

無線網(wǎng)絡(luò)中的終端具有移動性，當終端移動到外地網(wǎng)絡(luò)時，由于外地域的網(wǎng)絡(luò)實體通常不會保存終端的安全信息，因此在外地網(wǎng)絡(luò)中完成認證過程，往往需要通過與移動終端的家鄉(xiāng)域交互來實現(xiàn)，這個過程不僅會增加移動通信網(wǎng)絡(luò)受攻擊的可能性，還會可能導致網(wǎng)絡(luò)攻擊在多個域之間擴散。

1.3 接入認證

高效、快速的實現(xiàn)切換認證，是當前無線網(wǎng)絡(luò)發(fā)展中亟需解決的問題。在無線網(wǎng)絡(luò)中，終端有時會快速在無線接入設(shè)備之間移動。而現(xiàn)有的接入認證技術(shù)通常耗時較長，不能滿足無線網(wǎng)絡(luò)中快速認證的需要，這在一定程度上阻礙了一些時延敏感業(yè)務(wù)在無線網(wǎng)絡(luò)中的部署，例如VoIP等。

2、安全需求

2.1 接入授權(quán)

根據(jù)用戶的身份判斷用戶可以訪問哪些資源和享受哪些服務(wù)。需要注意的是，認證與授權(quán)并非同一概念，認證解決“你是誰”，授權(quán)決定“你可以做什么”。

2.2 身份認證驗證

在用戶接入網(wǎng)絡(luò)之前，要驗證用戶身份的合法性，只有身份合法的用戶才能夠進入網(wǎng)絡(luò)。另外，需要進行網(wǎng)絡(luò)和用戶的雙向認證，以避免偽網(wǎng)絡(luò)攻擊。

2.3 設(shè)備合法性

對設(shè)備合法性的認證可以采用認證和授權(quán)機制解決。目前，應(yīng)用于下一代移動通信網(wǎng)絡(luò)的認證體系主要有兩種：PKI和802.1x。PKI是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的體系。它最早是從有線環(huán)境發(fā)展起來的，認證過程難免帶有繁瑣性，對系統(tǒng)的資源消耗較大?？紤]到無線設(shè)備處理能力和功耗受限的原因，采用的PKI認證體系實際上是傳統(tǒng)PKI認證體系的一個縮影。

3、設(shè)備認證授權(quán)算法

根據(jù)上文中提到的網(wǎng)絡(luò)安全隱患以及傳輸層網(wǎng)絡(luò)的安全需求，文章設(shè)計了一種設(shè)備認證授權(quán)算法，以提升移動通信網(wǎng)絡(luò)的安全性。

3.1 錯誤碼觸發(fā)時機定義

文章提出的7種錯誤碼可以劃分為兩種類型：永久性授權(quán)失敗和非永久性授權(quán)失敗?，F(xiàn)定義七種錯誤碼的觸發(fā)時機如下：

錯誤碼0：用于所有的安全子層錯誤回復信息；

錯誤碼1：用于回復AuthRequest的AuihReject或者KeyReques的AuthInvalid消息；

錯誤碼2：用于回復KeyRequest的AuthInvalid消息；

錯誤碼3：用于回復KeyReject或者AuthReject消息；

錯誤碼4：用于回復KeyRequest的AuthInvalid消息，表明驗證消息摘要認證碼失?。?/p>

錯誤碼5：用于回復KeyRequest的AuthInvalid消息并表明當前AK或TEK超出范圍；

錯誤碼6：用于回復AuthRequest的AuthReject消息，表明永久性授權(quán)失敗。

3.2 基站認證授權(quán)算法

基站對用戶站的認證授權(quán)算法主要處理步驟如下：

一，通過X.509對設(shè)備的合法性進行認證；

二，處理用戶的認證請求并將判斷結(jié)果發(fā)送給用戶；

三，判斷確認設(shè)備商合法性，如認證失敗則返回決絕信息；

四，確認通信設(shè)備及設(shè)備商合法性；

五，協(xié)商用戶及基站之間的匹配能力；

六，安全認證結(jié)束，向用戶設(shè)備發(fā)送認證通過信息。

4、實際應(yīng)用

文章提出的設(shè)備認證授權(quán)算法能夠在很大程度上為專網(wǎng)通信安全提供保障。為針對某特殊應(yīng)用的設(shè)備認證算法應(yīng)用場景，該場景分為三個層次結(jié)構(gòu)，在移動通信網(wǎng)絡(luò)部分主要實現(xiàn)無線通信過程，該過程中對多樣化終端的安全認證過程由基站設(shè)備統(tǒng)一完成。在行業(yè)接入層，主要針對終端業(yè)務(wù)開展認證，不再重復對設(shè)備進行認證。行業(yè)專網(wǎng)層部署開展特殊行業(yè)應(yīng)用，該部分的驗證主要通過身份識別、數(shù)據(jù)加解密方式實現(xiàn)。而上述上個層次的安全保障機制設(shè)計中，均是以終端設(shè)備的安全認證作為基礎(chǔ)，設(shè)備安全是整個網(wǎng)絡(luò)安全的基礎(chǔ)。

傳統(tǒng)的專網(wǎng)應(yīng)用采取多層次的認證方法，例如結(jié)合業(yè)務(wù)應(yīng)用進行認證、通過接入層對終端進行認證等。文章提出的設(shè)備認證授權(quán)算法能夠?qū)?shù)據(jù)加解密器、密鑰分發(fā)器、證書認證器等設(shè)備設(shè)置在基站中，從而實現(xiàn)對業(yè)務(wù)的全面認證以及一次性認證終端設(shè)備，進而降低信令開支。

三種認證授權(quán)算法延遲開銷如圖1所示，由圖1可知，三種認證授權(quán)算法中以基站認證累計延遲最低，完成所有驗證過程小超過0.2s，而接入層以及業(yè)務(wù)層的認證最終延遲分別超過0.4s和0.9s，此外，接入層認證及業(yè)務(wù)層認證算法計算起點小為零，原因在于該兩類認證算法需要通過分布式的安全認證實體實現(xiàn)，網(wǎng)絡(luò)傳輸延遲增大，導致整個認證延遲的基數(shù)增大。

在三種認證授權(quán)策略中，基站認證算法能夠在一跳范圍內(nèi)實現(xiàn)點對點的認證授權(quán)，因此信令開銷主要為無線接入端的開銷。合計開銷不超過10個字節(jié)，并且在不同采樣點上采集的數(shù)據(jù)結(jié)果類似。而接入層的認證授權(quán)及業(yè)務(wù)層的認證授權(quán)方法均需要實現(xiàn)交互，增加了傳輸認證信息所需的信令開銷，接入層的信令開銷約為20字節(jié)，而業(yè)務(wù)層由于跨多個網(wǎng)絡(luò)，設(shè)備信息增多，導致認證過程的信令開銷增加到25字節(jié)左右。

結(jié)語

文章從現(xiàn)階段移動通信網(wǎng)絡(luò)面臨的安全風險入手，對移動通信網(wǎng)絡(luò)傳輸層的需求進行分析，研究了設(shè)備認證授權(quán)算法，通過論述其在網(wǎng)絡(luò)拓撲環(huán)境下開展性能驗證，結(jié)果顯示該中驗證方法在信令開銷以及認證延遲等方面更具優(yōu)勢，因此，文章研究的設(shè)備認證授權(quán)算法更適合于專用通信網(wǎng)絡(luò)環(huán)境。

參考文獻

[1] 趙琛，任偉，張玉成.下一代移動通信網(wǎng)絡(luò)傳輸層關(guān)鍵技術(shù)研究與應(yīng)用[J].警察技術(shù)，2011（05）：8-11.

[2] 吳立知.關(guān)于第五代移動通信技術(shù)的展望與探討[J].數(shù)字技術(shù)與應(yīng)用，2015（11）：24.

[3] 倪善金，趙軍輝.5G無線通信網(wǎng)絡(luò)物理層關(guān)鍵技術(shù)[J].電信科學，2015，31（12）：48-53.