近日,記者從中國科學院軟體研究所獲悉,該所研究員張振峰等人在5G網路安全核心協議——5G認證金鑰協商協議(5G-AKA)研究中,創新性地提出了基於金鑰封裝機制的隱私保護5G認證金鑰協商協議設計方法——5G-AKA’,以標準相容的方式解決了當前3GPP 5G-AKA標準存在連結攻擊這一隱私安全公開問題,可為行動通訊使用者安全接入提供新一代技術。
2017年,國際標準組織3GPP在5G系統安全架構和流程(3GPP TS 33.501)技術規範中釋出了5G-AKA協議,該協議在繼承3G/4G行動通訊網路認證金鑰協商協議設計思想的基礎上增加了對使用者隱私的保護,首次引入了公鑰密碼技術來加密移動使用者識別符號,以防範攻擊者竊聽無線通道侵犯使用者隱私。不過,近年來研究表明,5G-AKA在隱私保護方面存在安全缺陷,容易遭受連結攻擊。
為了抵抗連結攻擊,學術界提出了各種解決方案,但均不能滿足後向相容的應用需求。隨著全球5G網路的商用推進,5G-AKA已經得到了廣泛應用和部署,如何解決5G-AKA的隱私缺陷成為學術界公開問題。
針對這一隱私安全問題,張振峰等人以相容5G標準的方式設計了5G-AKA’協議。“5G-AKA’協議能夠在不更換移動使用者SIM卡、保持5G服務網現行部署的基礎上安全抵抗連結攻擊、保護使用者隱私,不僅具有相容3GPP標準的設計優勢,而且具有良好的效能優勢,在計算時間上僅引入了0.03%的額外開銷、頻寬方面則實現了零增長,易於標準化和應用部署。現行5G端點可由5G-AKA便捷遷移、也可以相容的方式支援5G-AKA’,其軟體修改只涉及約20程式碼行。”張振峰介紹說。
據介紹,團隊透過安全協議形式化驗證工具對該協議進行了建模和驗證,證明了該協議可達到隱私性、認證性和機密性目標。此協議不僅適用於ECIES橢圓曲線整合加密方案和我國SM2橢圓曲線公鑰加密演算法,支援現行公鑰密碼標準在5G移動通訊系統中的大規模應用,也適用於抗量子安全的金鑰封裝機制,為行動通訊接入認證與金鑰協商應對量子計算帶來的安全威脅提供模組化理論支撐。
該成果發表在國際網路安全旗艦會議USENIX Security 2021上,這也是我國學者首次在國際頂級安全會議上發表行動通訊安全協議設計研究成果。(肖春芳)
來源: 光明網
