面向 5G 多业务场景的异构终端认证与密钥管理机制研究

5G 网络以其开放融合的特性，支持业务需求多样化、不同接入网络异构共存、多元终端海量连接等新特征，这对移动通信网络的安全带来了严峻挑战。5G 网络重要的安全机制之一是在设备和网络之间实现相互认证，建立会话密钥以保证后续的安全通信，然而当前的认证机制仍然存在诸多问题，例如认证流程单一固化、密钥生命周期管理不够灵活、海量设备并发接入场景下信令拥塞等，无法应对不同业务场景下终端的差异化需求。为了提升 5G 用户设备接入稳定性和移动有序性，开展安全、高效的认证与密钥管理机制研究具备重要的现实意义和良好的应用前景。

针对上述问题，本文构建统一的身份认证框架，结合谱聚类算法和接入等级限制方案 (Access Class Barring Schemes, ACB) 为多业务场景下的终端提供定制化的接入认证服务与密钥管理，并基于无证书认证方案保证各场景下的设备接入认证与切换认证安全，实现多业务场景下的终端的异构融合、互联互通。本文主要研究点如下：

1. 构建了一种面向 5G 多业务场景的大规模异构终端的认证架构。该架构基于谱聚类对终端进行动态群组划分；结合 ACB 机制对三种时延类设备分配不同数量的前导码；最后集成了接入认证、切换认证及对应批量认证方式，根据需求转译模块提供认证方案，实现不同类型终端的异构融合。仿真表明随机分布的区域中所有分组呈现出来位置与时延结合的状态，在 0-50ms 接入时隙体现了动态前导码分配过程，0-16ms 间隙前导码预先分配给低时延设备，在满足时延需求的情况下，本方案保证最大成功入网设备数量。

2. 设计一种面向大规模异构终端的接入认证与密钥协商机制。该机制基于无证书签名保障了单个用户的接入隐私及数据安全；针对大规模机器类型通信 (massive machine type communication, mMTC) 业务场景下的海量设备同时接入需求，提出一种基于聚合签名的批量认证机制；最后通过非形式化的安全模型以及形式化工具 ProVerif 验证本文机制。仿真表明本文机制满足了移动终端认证和密钥协商的安全，与 5G 认证机制相比传输时延减少了 33%。

3. 基于优化后的无证书机制提出一种新型切换认证和密钥更新。该机制改进了无证书密钥机制，移动设备具备自主发起密钥更新请求的权限，密钥更新流程不需要核心网的参与；针对 mMTC 业务场景下的海量设备同时切换网络需求，提出一种批量认证机制；最后通过eCK 安全模型，在 Diffie-Hellman 困难问题下论证了所提机制的安全性。仿真表明本章方案符合密钥管理的前向安全要求，与 5G 认证机制相比传输时延减少了约 40%，对比其它切换认证方案，本方案在通信成本和计算成本方面具有明显优势。综上所述，本文提出的接入认证机制提供了定制化的接入管理以及安全服务，缓解了 mMTC 场景下并发连接时的网络拥塞；切换认证机制满足了移动终端密钥协商的前向安全，有更低的通信开销和计算开销。本论文的成果对开展安全、高效的认证与密钥协商研究提供了可行方案。

5G networks, with their open and integrated nature, face severe security challenges due to diverse business requirements, heterogeneous access networks, and massive device connectivity. One important security mechanism in 5G is mutual authentication between devices and networks to establish session keys for secure communication. However, current authentication mechanisms have many problems, such as a rigid authentication process, inflexible key lifecycle management, and signaling congestion in scenarios with concurrent device access. To address these issues, this paper proposes a unified authentication framework based on spectral clustering and Access Class Barring schemes to provide customized authentication services and key management for heterogeneous terminals in multiple business scenarios. Furthermore, the paper also proposes an access authentication and key negotiation mechanism for massive device connectivity and a new switching authentication and key update mechanism. Simulation results show that the proposed mechanisms are secure and efficient, providing a feasible solution for secure and efficient authentication and key negotiation in 5G networks.