5G超密集網絡的認證方案綜述

曹舒雅 姚英英 常曉林

摘 ? 要：隨著移動數據流量的增長，超密集網絡成為5G研究和應用最廣泛的技術之一，目前主要應用于地鐵、購物中心、體育場館、校園和辦公室等熱點地區(qū)。超密集網絡雖然滿足了5G的高數據流量的需求，但接入點的大量部署可能會導致移動用戶頻繁的認證切換，并伴隨著服務延遲或中斷以及信息泄露和黑客攻擊等諸多安全問題。因此，安全高效的超密集網絡認證方案成為學術界研究和探索的新熱點。文章回顧了5G超密集網絡的體系架構與發(fā)展，總結了5G超密集網絡認證方案的最新發(fā)現并提出未來的研究方向。

關鍵詞：5G;超密集網絡;認證方案;認證切換

中圖分類號： TP309.2 ? ? ? ? ?文獻標識碼：A

Abstract： With the growth of mobile data traffic， ultra-dense networks have become one of the most widely studied and used technologies in 5G system， and have been mainly applied to many hotspot areas like subways， shopping centers， stadiums， campuses and offices. Although ultra-dense networks meet the needs of high data traffic， mobile users may experience frequent handovers， incurring delay or interruption issues and various security issues like information leakage and hacker attack due to a large number of deployed access points. Therefore， in academia， the secure and efficient authentication schemes in ultra-dense networks have become the new hotspot in the research and exploration. In this article， we review the architecture and development of ultra-dense networks， summarize the latest findings of authentication schemes， and look forward to the next step of authentication schemes.

Key words： 5G; ultra-dense networks; authentication schemes; authentication handover

1 引言

在5G時代，移動數據流量呈爆炸式增長，根據思科年度互聯網報告[1]，到2023年連接到網絡的設備數量將是全球人口的三倍多，與2018年的聯網設備數量相比增加了約110億，這無疑增加了移動通信負載。研究人員提出采用超密集網絡[2]（Ultra-dense Networks，UDN），通過更密集地部署接入點（Access Point，AP），從而增強本地熱點容量，達到減輕通信負載的目的[3]。然而，UDN中AP的密集部署給資源管理和通信安全帶來了巨大的挑戰(zhàn)，例如用戶的移動性會導致頻繁的身份認證和密鑰協商操作，造成服務的延遲或中斷以及許多安全問題，如信息泄露和黑客攻擊[4]?？紤]到5G網絡的低時延、高容量、高速率要求[5]和移動通信的安全性要求，3GPP[6]（3rd Generation Partnership Project）委員會提出的認證和密鑰協商方案不再適用[7]，所以UDN需要解決與認證切換和通信安全相關的問題。近年來，適用于UDN的許多安全高效認證與密鑰協商方案被提出，旨在向用戶設備（User Equipment，UE）提供連續(xù)可靠的連接，并降低服務延遲，提高認證效率與通信安全性。本文將近年來研究人員提出的UDN的認證方案進行了歸納總結，探討了目前的研究進展與相關解決方案，為未來的研究提供了方向與思路。

本文組織結構為：第2節(jié)簡要介紹了UDN體系架構。第3節(jié)總結了UDN新的需求與挑戰(zhàn)。第4節(jié)分析了現有的面向UDN結合不同技術提出的認證方案。第5節(jié)基于所調查的文獻提供了更廣泛的研究方向和展望。

2 ?超密集網絡體系架構

自20世紀70年代貝爾實驗室提出“蜂窩網絡”概念以來，這種體系結構已被連續(xù)幾代的移動網絡所采用[8]。隨著移動數據傳輸量的增加，Chen等人[8]指出，5G的“宏蜂窩-小蜂窩”共存合作的模式將取代傳統的以宏蜂窩為主導的架構模式。然而，新的模式將給容量管理帶來巨大的挑戰(zhàn)，增加較小覆蓋范圍的AP的密度是有效的途徑之一，特別是在熱點地區(qū)[9]。

如表1所示，給出了UDN和傳統蜂窩網絡的區(qū)別。傳統的蜂窩網絡通常提供大面積的覆蓋，AP密度比用戶密度低。UDN主要應用于地鐵、購物中心、體育場館、校園和辦公室等各種熱點地區(qū)[10]，AP密度與用戶密度相當，旨在為用戶提供非常高的數據速率。

基于對AP的組織調度方式不同，UDN可以分為分布式、集中式、以用戶為中心等網絡架構[11]。

2.1 分布式超密集網絡

Ge等人[12]提出了一種具備單網關與多網關的以網絡為中心的分布式UDN，如圖1和圖2所示。分布式結構關注網絡側的部署，屬于靜態(tài)型結構。分布式UDN由多個AP統籌規(guī)劃而成，AP可直接與5G核心網絡連接，AP間協作管理與調度資源。

如表2所示，針對傳統蜂窩網絡與分布式UDN進行了比較。傳統蜂窩網絡為集中式結構，宏蜂窩與小蜂窩的基站（Base Station，BS）的覆蓋范圍重疊且功能相同，都可以將用戶數據和管理數據傳送給相關聯的用戶。在5G超密集蜂窩場景，宏蜂窩和小蜂窩的BS覆蓋范圍不重疊，宏蜂窩BS用于傳輸管理數據，小蜂窩BS負責用戶數據傳輸。

2.2 ?集中式超密集網絡

Pan等人[13]指出，C-RAN（Cloud Radio Access Network）是一種典型的集中式UDN架構的無線接入網。Lei等人[14]提出，集中式UDN的設計沒有從根本上改變“以網絡為中心”的概念，屬于靜態(tài)型結構，可采用基于集中化處理、協作式無線電和實時云計算架構等多種實現方式。在集中式UDN中，AP不與5G核心網絡直接連接，而是連接到本地處理中心，通過本地處理中心的同一管理與協調后再與核心網絡連接。集中式UDN便于集中管理與協調，比分布式UDN復雜度低、耗能低，與傳統蜂窩網絡相比，有高容量、低延遲等優(yōu)點。

2.3 ?以用戶為中心的超密集網絡

目前，UDN架構正在從傳統的以網絡為中心轉變?yōu)橐杂脩魹橹行腫15]，不再有“蜂窩小區(qū)”的物理和邏輯概念?；趯P組織方式的不同，以用戶為中心的UDN（User-centric UDN，UUDN）可以區(qū)分為靜態(tài)小區(qū)簇模式[16]和動態(tài)接入點組模式[8]。

靜態(tài)小區(qū)簇模式利用虛擬小區(qū)技術，該區(qū)域的多個AP組成靜態(tài)虛擬小區(qū)，通過統一的實體和服務為UE提供類似于宏蜂窩BS的服務覆蓋范圍。此模式下的UUDN不是完全意義上的以用戶為中心。

基于動態(tài)接入點組模式的網絡結構是典型的UUDN結構，如圖3所示。在該模式中，虛擬鄰接小區(qū)基于用戶定義，AP在控制平面組成AP小組（AP Group，APG）。UUDN關注網絡側和無線側的部署，在網絡側引入網絡服務中心（Network Service Center，NSC）和網絡數據中心（Network Data Center， NDC），用于提供控制和傳輸功能。在無線側引入本地服務中心（Local Service Center，LSC）和本地數據中心（Local Data Center，LDC），用于實現控制平面和用戶平面的邏輯解耦。

UUDN具有四個主要特征[17]。

（1）覆蓋范圍有限的AP是超密集部署的[18];

（2）一個AP可以同時服務多個移動UE;

（3）多個AP生成的動態(tài)APG可以為UE提供聯合協作的無縫服務;

（4）當AP加入APG時，網絡將通過AP的身份認證和UE身份認證提供安全保障[19]。

如表3所示，給出了傳統UDN與UUDN的區(qū)別。在UUDN中，網絡跟隨用戶移動而自適應調整。當用戶移動時，其APG動態(tài)調整以支持其移動。APG的成員將根據用戶的需求進行自適應調整。網絡可以智能地識別用戶的無線通信環(huán)境，自動檢測終端的能力和用戶需求，靈活地組織相應APG和所需資源為用戶服務。UE和服務于該UE的多個AP組成以用戶為中心的小組，UUDN由多個重疊的小組組成[13]。

3 ?超密集網絡的需求與挑戰(zhàn)

UDN架構是在傳統蜂窩網絡與異構網絡的發(fā)展基礎之上的演進，安全和性能面臨著新的需求與挑戰(zhàn)。

3.1 ?安全需求與挑戰(zhàn)

在UDN中，AP的密集部署導致UE和AP之間頻繁的認證和密鑰協商，安全面臨著巨大的挑戰(zhàn)，進而突出了UDN架構對安全的需求。

（1）相互認證與密鑰協商

當UE接入網絡時，AP或APG成為關鍵的網絡實體，傳統的身份認證和密鑰協商協議[21]無法避免UDN的安全威脅。Chen等人[18]指出，用戶接入網絡需要與APG成員進行相互認證，在APG與UE之間生成加密密鑰和完整性密鑰，從而當一個UE訪問或離開某個APG時，密鑰將被生成或撤銷。

（2）用戶隱私保護

UDN中存在很多移動設備和網絡實體，數據保護成為一大需求。為了保證5G用戶的匿名性與不可鏈接性和通信消息的機密性，在認證與切換過程中，必須將UE的身份隱藏在正常消息中，這樣即使攻擊者從UE獲得了多個包含不同假名的切換認證消息，也無法恢復UE的真實身份。

（3）AP間通信保護

Chen等人[20]指出，在5G網絡環(huán)境中，諸多網絡節(jié)點（例如AP）通過異步通信構成集群，網絡環(huán)境十分復雜。在用戶移動過程中，APG將隨著用戶移動更新成員AP等信息，但由于節(jié)點之間存在網絡延遲，且接收到的事務的順序不確定，很可能面臨AP間的通信威脅。Yao等人[22]指出，當AP加入一個APG時，需要進行認證，以保證通信安全性。

（4）認證切換安全

Cao等人[7]指出，在考慮UDN中頻繁切換帶來的安全威脅時，應考慮在用戶同一接入網間移動和不同接入網間移動兩種場景。當用戶在同一接入網間移動時，面臨與AP的頻繁切換，若某AP被攻擊者控制，則可能帶來安全威脅。當用戶在不同接入網間移動時，需要與不同運營商的認證服務器建立信任關系，頻繁切換會造成服務延遲或中斷。

（5）物理安全

UDN中，AP的部署十分靈活，物理環(huán)境復雜。Chen等人[23]指出，用戶自部署的AP或不受控制的部署環(huán)境的AP可能被偷盜、自然或人為損壞，導致AP不受信任，從而使用戶被威脅，甚至對整個網絡造成損害。

3.2 ?性能需求與挑戰(zhàn)

在UDN中，UE和AP之間頻繁的認證和密鑰協商可能導致服務延遲或中斷。Cao等人[7]指出，目前3GPP委員會提出的切換方案存在性能漏洞，當應用于UDN，問題將變得更加嚴重。Hamidouche等人[24]指出，在UDN環(huán)境中，應選擇“最佳”AP與UE進行相互認證和數據通信，以滿足性能需求。Chen等人[18]指出，UUDN有助于減輕頻繁認證帶來的負擔。如表4所示，在UUDN中，不同的UE移動場景下，網絡需要提供的切換服務。

4 ?認證方案研究進展

近些年，研究人員研究UDN的身份認證與密鑰協商協議，并嘗試結合軟件定義網絡、區(qū)塊鏈技術、機器學習等技術，以滿足低延遲、高容量和安全性等要求。本節(jié)對最新的研究成果進行概述。

4.1 ?基于軟件定義網絡

軟件定義網絡[25]（Software Defined Network，SDN）的控制平面與數據平面分離，具有可編程和網絡管理靈活等特性。目前，移動網絡朝著更大規(guī)模的需求發(fā)展，需要更好的管理和靈活性。SDN的發(fā)展可以為UDN面臨的挑戰(zhàn)提供新的思路與解決方案。

Cao等人[7]將SDN應用到UDN上，提出了一種具有隱私保護能力的切換認證方案，利用SDN控制器采集網絡流量，對移動用戶的位置和路由進行監(jiān)測和預測，預先配置好AP的資源，保證無縫切換認證。該方案分為三個階段：（1）初始身份認證階段;（2）基于SDN的切換認證階段;（3）身份跟蹤階段。該方案保證了安全性，提高了切換效率，減少了切換開銷。

Miranda等人[26]提出了一種基于SDN的快速交叉認證方案，該方案將UE處接收到的無線電信號強度向量作為指紋源以生成密鑰，利用生成的密鑰進行身份認證和密鑰協議。并且提出了一個無線可信區(qū)數據庫，將給定的覆蓋區(qū)域劃分為可信區(qū)域，以減少重復認證。該方案分為三個階段：（1）指紋生成;（2）估計和分發(fā);（3）跨層認證。該方案降低了延遲和重復認證頻率。

Bilen等人[27]提出了一種基于SDN的移動性可用資源估計策略來解決切換導致的服務延遲和中斷問題，在實際連接需要之前選擇并虛擬分配最優(yōu)化AP到移動UE。該策略可以降低切換失敗率和延遲，很好地滿足UDN需求。

4.2 ?基于區(qū)塊鏈技術

區(qū)塊鏈[28]作為一個分布式共享數據庫，其關鍵技術是共識算法，包括工作量證明[28]、權益證明[28]、委托權益證明[29]、拜占庭共識算法[30]等。區(qū)塊鏈的數據不可篡改、交易匿名性、可審計性[31]可以為UDN安全挑戰(zhàn)提供新的解決思路。

Chen等人[32]基于區(qū)塊鏈技術，提出了一種面向非中心化APG的移動用戶安全認證方案。該方案利用改進的拜占庭共識算法，對UE附近的AP進行篩選，將可信的AP組織成APG可信鏈?；趨^(qū)塊鏈傳播機制，通過定向信任傳輸，將UE的認證結果向量在APG可信鏈中傳輸，達到APG成員共享認證結果的目的。該方案分為五個階段：（1）請求階段;（2）可信AP篩選階段;（3）APG鏈生成階段;（4）相互認證階段;（5）共享認證結果階段。該方案提高了APG的安全性和可靠性，降低了UE的認證頻率，提高了接入效率和用戶體驗。

4.3 ?基于機器學習技術

近年來，機器學習技術取得了重大突破，受到廣泛關注，并在很多領域中取得了很好的應用成果，可以為UDN認證機制中的切換挑戰(zhàn)提供新的解決思路與方案。

Hamidouche等人[24]研究了UDN中UE與BS的關聯問題，基于機器學習技術，提出了一種神經Q學習算法[33]，基于用戶之間在網絡條件等方面的相似性，利用用戶本地數據和相鄰用戶的學習結果，幫助用戶更快地選擇服務BS，以達到縮短認證時間，提高認證效率的目的。

Yang等人[34]針對UDN頻繁切換的需求，提出了一種基于支持向量機[35]的移動UE定位預測方案。該方案對用戶的運動狀態(tài)進行建模和分析，利用支持向量機挖掘UE的向量索引，采用回歸算法[36]預測UE位置。實現了預測區(qū)域的預切換，提高了UDN移動環(huán)境下的切換效率。

4.4 ?其他

除通過結合不同技術提出的認證方案之外，其余的方案按照是否基于密碼系統進行分類介紹。

4.4.1 ?基于密碼系統

Chen等人[37]基于橢圓曲線Qu-Vanstone[38]隱式證書方案，設計了一種輕量級、高效率的算法，進而提出了身份認證和密鑰協商方案，解決了動態(tài)APG中AP之間以及AP與UE之間的安全問題。該方案分為四個階段：（1）隱式證書生成階段;（2）相互認證階段;（3）共享密鑰生成階段;（4）安全通信階段。該方案基于隱式證書，可以快速生成密鑰，在AP之間以及AP和UE之間建立安全的數據通信會話，具有輕量級、高效、低資源消耗等優(yōu)點。

Han等人[39]基于可擴展身份認證和密鑰協商協議[40]，利用移動邊緣計算服務器，提出了一種新的UDN認證方案，該方案包括兩種協議：（1）完整的可擴展身份認證和密鑰協商協議;（2）移動邊緣計算服務器再認證協議。其中，移動邊緣計算服務器再認證協議采用單向散列函數和對稱加密算法，增強了認證的安全性。而且，移動邊緣計算服務器的應用減少了信息傳輸距離和認證延遲。

Yao等人[22]通過引入批認證解決方案和一對一密鑰協商方案，提出了一種新的面向UUDN的輕量級認證和密鑰協商方案，該方案分為兩個階段：（1）初始化階段;（2）認證和密鑰協商階段。該方案減少了頻繁的認證開銷和計算開銷，緩解了由于頻繁更新和撤銷組密鑰而導致的流量中斷問題，實現了UE和AP的身份隱私保護。

4.4.2 ?基于非密碼系統

Chen等人[8]在分析UDN特點和典型場景的基礎上，針對減少頻繁認證開銷的需求，提出了UUDN體系結構，將動態(tài)APG作為UUDN的核心功能，達到了提高用戶服務質量的目的。

Chen等人[23]在分析UUDN體系結構面臨的挑戰(zhàn)和需求的基礎上，提出了一種新的UUDN安全體系結構，并針對其核心功能APG安全設計了一種新的共享認證方案，該方案可以保證在不中斷流量的情況下為移動UE提供高數據速率。

Gong等人[41]針對UDN宏蜂窩與小蜂窩之間頻繁的垂直切換的需求，基于Xu等人[42]和Li等人[43]得到的基于隨機性的分析結果，在模糊層次分析法[44]和灰色關聯分析法[45]的基礎上，將接收信號強度、AP覆蓋范圍內的逗留時間和BS的任務量結合起來，提出了一種模糊邏輯多屬性切換決策算法。該算法提高了UDN跨層切換性能，降低了切換失敗概率。

[13] Cunhua P， Maged E， Jiangzhou W， et al. User-Centric C-RAN Architecture for Ultra-Dense 5G Networks： Challenges and Methodologies[J]. IEEE Communications Magazine. 2018. 56（6）：14-20.

[14] Qiuyan L， Zhizhong Z， Fang C， et al. 5G Radio Access Network Architecture Based on C-RAN[J]. Telecommunications ence. 2015.

[15] Liu Y， Li X， Yu F R， et al. Grouping and Cooperating Among Access Points in User-Centric Ultra-Dense Networks with Non-Orthogonal Multiple Access[J]. IEEE Journal on Selected Areas in Communications. 2017. 35（10）：2295-2311.

[16] Zhao W， Hou X， Zhang S， et al. A new cell search scheme based on cell-clustering for UDN[C]. International Conference on Wireless Communications IET. 2015.

[17] Choudhary G， Kim J， Sharma V. Security of 5G-Mobile Backhaul Networks： A Survey[J]. 2019.

[18] Shanzhi Chen， Fei Qin， Bo Hu， et al. User-Centric Ultra-Dense Networks for 5G[J]. IEEE Wireless Communications. 2018. 23（2）：78-85.

[19] Jove R P. The current state of affairs in 5G security and the main remaining security challenges[J]. 2019.

[20] M. Adedoyin. Efficient radio resource management for future generation heterogeneous wireless networks[OL]. https：//open.uct.ac.za， 2018.

[21] Borgaonkar， Hirschi， Park， Shaik. New Privacy Threat on 3G， 4G， and Upcoming 5G AKA Protocols. Proceedings on Privacy Enhancing Technologies[J]. 2019. 3：108-127.

[22] Yingying Yao， Xiaolin Chang， Jelena Misic， Vojislav Misic. Lightweight Batch AKA Scheme for User-Centric Ultra-Dense Networks[J]. IEEE Transactions on Cognitive Communications and Networking. DOI： 10.1109/TCCN.2020.2982141.

[23] Chen Z， Chen S， Xu H， et al. Security architecture and scheme of user-centric ultra-dense network （UUDN）[J]. Transactions on Emerging Telecommunications Technologies. 2017.

[24] Hamidouche， Kenza et al. Collaborative Artificial Intelligence （AI） for User-Cell Association in Ultra-Dense Cellular Systems[C]. IEEE International Conference on Communications Workshops （ICC Workshops）. 2018.

[25] Software-Defined Networking： A Comprehensive Survey[J]. Proceedings of the IEEE. 2015. 103（1）：14-76.

[26] Miranda C， Kaddoum G， Bou-Harb E. Cross-Layer Authentication Protocol Design for Ultra-Dense 5G HetNets[J]. 2018.

[27] Tugce， Bilen， Berk， et al. Handover Management in Software-Defined Ultra-Dense 5G Networks[J]. IEEE Network. 2017.

[28] S. Nakamoto. Bitcoin： A peer-to-peer electronic cash system[OL]. https：//www.coindesk.com/bitcoin-peer-to-peer-electronic-cash-system， 2008.

[29] Ken Y.K. Hui， John C.S. Lui， David K.Y. Yau. Small-world overlay P2P networks： Construction， management and handling of dynamic flash crowds[J]. Computer Networks. 50（15）：2727-2746.

[30] Lamport， Leslie， Shostak， Robert， Pease， Marshall. The Byzantine Generals Problem[J]. Acm Transactions on Programming Languages & Systems. 4（3）：382-401.

[31] Yan Z， Guohua G， Di D， et al. Security Architecture and Key Technologies of Blockchain[J]. journal of information security research. 2016.

[32] Chen Z， Chen S， Xu H， et al. A Security Authentication Scheme of 5G Ultra-Dense Network Based on Block Chain[J]. IEEE Access.2018：1-1.

[33] Hu， Junling， Wellman， Michael P. Nash Q-Learning for General-Sum Stochastic Games[J]. Journal of Machine Learning Research. 2004. 4（4）：1039--1069.

[34] Yang，Dai，Ding. A scheme of terminal mobility prediction of Ultra Dense Network based on SVM[C]. IEEE 2nd International Conference on Big Data Analysis （ICBDA）. 2017.

[35] YG Qian， HB Lu， SL Ji. A Poisoning Attack on Intrusion Detection System Based on SVM[J]. Tien Tzu Hsueh Pao/Acta Electronica Sinica. 2019. 47（1）：59-65.

[36] Woosley J T. Simple method for nonparametric linear regression analysis.[J]. Clinical Chemistry. 2020（1）：1.

[37] Zhonglin C， Shanzhi C， Hui X， et al. A Security Scheme of 5G Ultradense Network Based on the Implicit Certificate[J]. Wireless Communications & Mobile Computing. 2018. 2018：1-11.

[38] Hyla Tomasz， Peja? Jerzy. A Hess-Like Signature Scheme Based on Implicit and Explicit Certificates[J]. Computer Journal.2016（4）：4.

[39] Kaihong Han， Maode Ma et al. An Efficient Handover Authentication Mechanism for 5G Wireless Network[C]. 2019.

[40] WANG Peng， LI Xie-hua. Formal analysis of EAP-AKA protocol based on authentication tests[J]. Computer Engineering & Applications. 2007. 43（15）：157-159.

[41] Fanyu Gong， Ziwei Sun， Xiaodong Xu， Xiaosheng Tang. Cross-Tier Handover Decision Optimization with Stochastic Based Analytical Results for 5G Heterogeneous Ultra-dense Networks[C]. 2018.

[42] Xiaodong Xu， Zhao et al. Modeling and Analyzing the Cross-Tier Handover in Heterogeneous Networks[J]. IEEE Transactions on Wireless Communications. 2017.

[43] Li J， Svensson T. Cross-tier Handover Analyses in Small Cell Networks： A Stochastic Geometry Approach[J]. 2015.

[44] 張吉軍. 模糊層次分析法（FAHP）[J]. 模糊系統與數學. 2000. 014（002）：80-88.

[45] Liu L ， Li F ， Gao G ， et al. Application of Grey Relational Analysis to the Preparation of Porous Ceramic Dynamic Membrane[C]. International Conference on Wireless Communications. 2008.

[46] Hucheng Wang， Shanzhi Chen， Shanzhi Chen，Ming Ai，Hui Xu. Localized Mobility Management for 5G Ultra Dense Network[J]. IEEE Transactions on Vehicular Technology. 2017.