面向 5G uRLLC 的安全设计
一、5G 正助力 uRLLC 业务(自动驾驶、工业 4.0)走向成熟
“超低延迟 / 时延”对于自动驾驶、工业控制以及其他高度延迟敏感型业务的广泛应用非常关键。E2E(端到端)的 5G 移动通信时延须在上述应用场景中降低至 1 毫秒以下。在大多数情况下,时延在 1 毫秒与 10 毫秒之间。而在目前已广泛部署的 4G 网络中,端到端时延在 50~100 毫秒,比 5G 的要大约高一个数量级。
uRLLC(超高可靠及低延时通信)将是 5G 移动通信网络的三大应用场景之一,其中都是延迟 / 时延高度敏感类型的业务应用,包括自动或辅助驾驶、AR(增强现实)、VR(虚拟现实)、触觉互联网、工业控制。如果网络时延较高,uRLLC 类业务的正常运行就会受到影响,并会出现(工业)控制方面的误差。
图 1 所示为在 5G 移动通信时代对时延的需求在 10 毫秒以下的业务类型(来源:全球移动通信协会)。
uRLLC 图 1
图 1[1]
二、5G uRLLC 的需求:更低延迟 / 时延的接入认证、传输保护以及安全上下文切换
“端到端时延”是 5G 移动通信网络路径中所有部分 / 段的累积时延。因此,如果要使得 5G uRLLC 类型业务的端到端时延降低到 1 毫秒以下(含),就不能只是降低 5G 网络中某一部分 / 段的延迟。也即,一条 5G 端到端传输路径的所有部分均必须被纳入到延时控制的对象范畴之内。
在延迟敏感型数据传输的每一个阶段,可采取多项措施来达到最终获得极低延迟 / 时延的目标,包括:(1)提高空口传输效率;(2)完善 5G 移动通信网络体系结构;(3)减小中间传输节点数量;(4)优化网络传输协议;(5)提高流编码 / 解码效率。
为了最终达到 5G uRLLC 的端到端极低延迟 / 时延目标,须对身份认证、数据传输保护、于网络节点处的数据加密与解密、面向移动终端设备的安全上下文变更这四大安全因素进行优化。具体如图 2 所示。
uRLLC 图 2
图 2[1]
三、可降低端到端 5G 网络延迟 / 时延的 5G uRLLC 安全设计
如何对身份认证、数据传输保护、于网络节点处的数据加密与解密、面向移动终端设备的安全上下文变更 / 切换进行优化,以达到把 5G uRLLC 端到端时延降低至低于 1 毫秒的水平?下文对此问题进行探讨。
1、减小由身份认证所产生的时延
可采取以下措施:(1)减小终端设备与认证服务器之间的物理距离。比如,不在认证设备附近部署集中式的节点,而是以分布式节点方式来重新部署认证服务器,这样就将可使得认证链变得更短、认证消息的传输变得更快;(2)降低认证协议的复杂度。为此,须研发可提高认证效率的机制,包括减小参数数量或消息长度、简化认证消息流程以及本地计算。
2、减小由数据传输安全保护所产生的时延
现有的数据安全传输机制增大了所传输数据的长度。而额外的数据负载就又增加了传输负担。在小数据传输的应用场景之中,安全负载部分的长度甚至超过了数据部分。
从而,就需要考虑研发一种新的安全算法来减小由数据传输安全保护所带来的额外开销(比如加密、完整性保护以及反复制)。与此同时,应该对数据实施端到端(从终端设备一直到业务数据网关)的加密,这样,就将可把中间传输节点从“重复地对数据进行加密与解密操作”中“解脱”出来,进而就将可减小由数据传输安全保护所产生的时延。
3、减小由安全上下文切换所产生的时延
位于高速行驶的汽车与火车中的 5G uRLLC 终端需要进行快速的网络切换。在现有 4G 移动通信的安全机制中,在移动终端设备完成网络切换之前,基站需要计算、发送并接收相关密钥。而在将来的 5G 移动通信网络之中,基站将是高 / 超高密集度组网部署的,从而,届时,不同类型无线接入系统、不同类型无线接入网络、不同基站之间协作就将会成为普遍现象,而这就将进一步地增大移动终端以超低延迟 / 时延来快速完成网络切换的难度。
减小 5G uRLLC 终端于移动网络切换过程的时延可采取的措施包括:异构多层接入网络的统一认证机制、高效的安全上下文推导、把各网络节点间的安全上下文传送降低到最小程度。
4、减小由在网络节点进行数据加密与解密所产生的时延
所有密码算法均采取复杂的逻辑来设计。为了减小这种负面影响对于比特率及吞吐量的负面影响,传统的通信系统采取专用的密码算法芯片进行加密与解密操作(比如 AES、Snow3G 与 ZUC)。
为加速加密与解密的“本地化”,可采取的措施包括:(1)面向 5G uRLLC 引入一种更为高效的密码算法;(2)探索于虚拟化网络或云网络中部署计算资源池;(3)实施“硬件加速”;(4)实施能够进行并行加 / 解密操作的密码算法。
四、对 5G uRLLC 安全设计的总结
为了可靠地达到 5G uRLLC 的端到端超低延迟 / 时延目标,5G 移动通信基础网络运营商应面向安全保护机制采取以下六种增强型的措施而同时又不会降低其安保质量:(1)实施端到端的加密与解密,以减小由各中间传输节点所重复进行的加 / 解密操作所带来的时延;(2)改变认证服务器现有的部署方式,不再作集中式部署,而是分布式地部署,以减小认证消息传输所产生的时延;(3)通过建立一种新的认证框架及协议来简化认证交互流程;(4)实施一种新的传输协议来减小由数据加密、完整性保护、反复制所带来的额外的安全开销;(5)对于移动终端进行网络切换过程中的安全上下文切换及密钥重建,建立一种高效的机制;(6)通过设计一种高效的密码算法来减小由数据加密与解密所产生的时延。