面向 5G 多业务场景的大规模异构终端认证与密钥管理研究

5G 网络的开放融合特性带来了多样化业务需求、异构网络共存和海量终端连接等新挑战，对移动通信网络的安全提出了严峻要求。其中，设备和网络之间的相互认证和会话密钥建立是 5G 网络重要的安全机制之一，但目前认证机制存在着单一固化认证流程、不够灵活的密钥管理和海量设备并发接入时的信令拥塞等问题，无法满足不同业务场景下的终端需求。

为了提升 5G 用户设备接入稳定性和移动有序性，开展安全、高效的认证与密钥管理机制研究具备重要的现实意义和良好的应用前景。针对上述问题，本文构建统一的身份认证框架，结合谱聚类算法和接入等级限制方案 (Access Class Barring Schemes, ACB) 为多业务场景下的终端提供定制化的接入认证服务与密钥管理，并基于无证书认证方案保证各场景下的设备接入认证与切换认证安全，实现多业务场景下的终端的异构融合、互联互通。

本文主要研究点如下：

1. 构建了一种面向 5G 多业务场景的大规模异构终端的认证架构。该架构基于谱聚类对终端进行动态群组划分；结合 ACB 机制对三种时延类设备分配不同数量的前导码；最后集成了接入认证、切换认证及对应批量认证方式，根据需求转译模块提供认证方案，实现不同类型终端的异构融合。仿真表明随机分布的区域中所有分组呈现出来位置与时延结合的状态，在 0-50ms 接入时隙体现了动态前导码分配过程，0-16ms 间隙前导码预先分配给低时延设备，在满足时延需求的情况下，本方案保证最大成功入网设备数量。

2. 设计一种面向大规模异构终端的接入认证与密钥协商机制。该机制基于无证书签名保障了单个用户的接入隐私及数据安全；针对大规模机器类型通信 (massive machine type communication, mMTC) 业务场景下的海量设备同时接入需求，提出一种基于聚合签名的批量认证机制；最后通过非形式化的安全模型以及形式化工具 ProVerif 验证本文机制。仿真表明本文机制满足了移动终端认证和密钥协商的安全，与 5G 认证机制相比传输时延减少了 33%。

3. 基于优化后的无证书机制提出一种新型切换认证和密钥更新。该机制改进了无证书密钥机制，移动设备具备自主发起密钥更新请求的权限，密钥更新流程不需要核心网的参与；针对 mMTC 业务场景下的海量设备同时切换网络需求，提出一种批量认证机制；最后通过 eCK 安全模型，在 Diffie-Hellman 困难问题下论证了所提机制的安全性。仿真表明本章方案符合密钥管理的前向安全要求，与 5G 认证机制相比传输时延减少了约 40%，对比其它切换认证方案，本方案在通信成本和计算成本方面具有明显优势。

综上所述，本文提出的接入认证机制提供了定制化的接入管理以及安全服务，缓解了 mMTC 场景下并发连接时的网络拥塞；切换认证机制满足了移动终端密钥协商的前向安全，有更低的通信开销和计算开销。本论文的成果对开展安全、高效的认证与密钥协商研究提供了可行方案。