无线网络安全 课件 第5章 6G网络中适用于无人值守终端的切片接入认证架构.ppt

**************6G网络中适用于无人值守终端的切片接入认证架构研究背景现有工作我们的方案安全性分析实验结果总结研究背景6G网络中适用于无人值守终端的切片接入认证架构与5G网络相比，6G网络将提供可广泛接入的、更加灵活的网络，覆盖开放环境中更多无人值守终端，如无人工厂、无人医疗、无人救援等等。为了服务这些终端，继承自5G网络的切片技术能够使更多切片服务提供商以差异化的服务质量（QualityofServices，QoS）和成本提供相同的服务。研究背景6G网络切片研究背景无人机网络一些终端可能根据它们的偏好在不同的切片之间切换。运营商也可能希望将终端移动到另一个切片进行负载平衡。因此，无人值守终端相关的任务更加复杂。在6G网络中，无人值守的终端总是暴露在开放的环境中，它们很容易受到物理攻击（如克隆和篡改），从而导致密钥泄露，并且攻击者还可以进一步进行假冒攻击。考虑到无人值守终端的资源约束和无缝服务的需求，需要避免花费大量的成本和时间重复进行认证。研究背景现有工作我们的方案安全性分析实验结果总结现有工作6G网络中适用于无人值守终端的切片接入认证架构现有工作现有的无人值守终端的切片接入认证方案主要分为两类：使用扩展认证协议（ExtensibleAuthenticationProtocol，EAP）或切片服务提供商提出的自定义认证架构来实现切片接入认证。然而，这些方案均基于共享密钥或公钥，需要在终端本地存储密钥。使用PUF的唯一性对终端进行身份认证。PUF的使用不可避免地要求认证服务器预先存储挑战应答对。然而，在6G网络中，终端数量的爆炸性增长将给预存储的挑战应答对带来巨大的存储开销，这将是认证服务器无法接受的。研究现状当前无人值守终端的切片接入认证方案无法同时兼顾安全性和高效性。因此，如何在支持终端大规模接入和动态切换的同时确保认证的安全高效是亟待解决的问题。研究背景现有工作我们的方案安全性分析实验结果总结我们的方案6G网络中适用于无人值守终端的切片接入认证架构我们的方案基于区块链的互愈式群组密钥管理方案预备知识为了抵抗物理攻击，在架构中使用PUF。由于实际应用时存在不同的应用服务器，而系统中没有通用的私钥生成器，因此选择变色龙哈希函数来实现具有密钥自由托管特性的身份认证。PUF：由于硬件制造工艺存在微小差异，PUF已经成为机器集成电路的指纹信息，在PUF中输入挑战将产生不可预测的响应。由于它具有不可克隆和轻量级的特性，PUF有望用于设计针对物理攻击的身份认证架构。变色龙哈希函数有两个特性：碰撞抵抗性和陷门碰撞。除了陷门的持有者，要找到哈希函数的一个正确碰撞是不可行的。相反，陷门的持有者可以很容易地找到哈希函数的一个正确碰撞。我们的方案我们提供了一个切片接入认证架构来克服以前工作中的缺点，实现了切片接入认证，并支持快速片间切换认证：本架构的两种认证场景我们的方案攻击模型与5G网络相比，6G网络具有更多的移动终端，并且在开放环境中，无人值守终端可能会执行更复杂的任务。攻击模型攻击者可以在开放环境中从无人值守的终端提取密钥，并发起假冒或克隆攻击。假设攻击者具备窃听、拦截、篡改、重放、加密和解密的基本能力。由运营商负责管理切片，我们假设信息可以在运营商和应用服务器之间安全传输。6G网络中适用于无人值守终端的切片接入认证架构切片接入认证主要步骤：系统初始化、6G网络接入、服务注册以及切片接入认证切片接入认证阶段6G网络中适用于无人值守终端的切片接入认证架构片间切换认证当终端发起或网络触发时，终端将进行片间切换。片间切换认证阶段6G网络中适用于无人值守终端的切片接入认证架构研究背景现有工作我们的方案安全性分析实验结果总结四.安全性分析安全性分析我们方案的安全性（1）身份匿名性在切片接入认证阶段，终端将使用匿名身份而不是真实身份。运营商仅在注册阶段存储应用服务器凭证的变色龙哈希函数值，不会泄露真实身份。因此，该架构可以实现终端的身份匿名性。（2）能够追踪恶意用户的条件匿名性在注册阶段，终端的真实身份将绑定到变色龙哈希函数值上。真实身份和变色龙哈希函数值的关系保存在运营商的统一数据管理（UDM）中。假设终端被检测到有恶意行为，在指定恶意认证消息后，运营商可以跟踪终端并显示真实身份。（3）抗物理攻击终端不会存储任何密钥，因此即使攻击者捕获了终端，它也无法从终端的内存中获取任何秘密。假设一个攻击者想要执行物理篡改攻击以获取利润，但任何篡改PUF的