摘要：基于5G网络架构对物联网终端安全性提出的高动态、高并发要求,本文对设备接入层、边缘处理层与策略控制层的防护机制进行了研究,阐述了双向轻量级身份认证模型与动态访问控制策略的设计方法,介绍了分层功能模块的部署结构与操作流程,结合虚拟实验环境对认证时延、检测准确率与防护效果进行了对比验证。研究结果表明,该系统在多种攻击场景下具备更高识别精度与稳定响应能力,能够适应复杂5G-IoT融合场景中的安全防护需求。

　　关键词：5G网络；物联网设备；身份认证；访问控制策略；边缘安全

　　0引言

　　5G网络的高速率、低时延与大连接能力为物联网大规模部署提供了基础支撑,但同时带来了身份伪造、切片越权、边缘节点篡改等多种安全威胁。传统静态防护机制难以应对5G架构中设备异构性强、通信动态性高的复杂态势,亟需构建适配新型网络特性的安全防护体系。本文以5G环境下的物联网终端为研究对象,设计覆盖设备接入、边缘防御与策略控制的多层安全架构,提出身份认证机制与动态访问控制策略,并通过实验验证系统在多场景下的性能表现与防护能力,为提升物联网安全水平提供技术支撑与理论基础。

　　1安全防护需求分析

　　在5G网络中,物联网设备的接入方式更趋多样,数据交互频度显著提升,攻击面随之扩大。终端层面,由于设备计算能力受限,普遍缺乏完整的安全模块,易受到中间人攻击、固件篡改与设备仿冒等威胁。传输过程中,5G网络的控制面与用户面分离架构在带来灵活组网的同时,也引入了路径重定向、会话劫持等新型风险。边缘计算节点作为接入汇聚点,其身份验证与访问权限控制机制不足,易被利用进行流量注入、策略绕过等攻击,形成“边缘侧薄弱环节”。此外,5G网络支持的网络切片机制虽具备业务隔离能力,但在切片策略调度、终端动态迁移等过程中缺乏跨域一致的认证标准,易造成切片间非法横向访问。海量异构设备的引入也加剧了认证系统的负担,对低延迟、高并发的安全协商机制提出了新的需求。因此,安全防护体系必须针对设备层可信接入、边缘节点可信协同、切片安全隔离及动态策略执行四类核心风险进行。

　　2安全防护系统设计

　　2.1系统总体架构

　　本系统基于“端—边—核”三层协同防护架构,按功能划分为设备接入层、安全感知层与策略控制层（如图1所示）。设备接入层部署轻量级身份认证模块,支持设备启动阶段的安全引导与远程固件校验,保障终端接入的可信性。安全感知层依托MEC节点运行入侵检测与行为建模模块,结合局部策略缓存,实现边缘级异常流量识别与实时阻断[1]。策略控制层部署集中式策略编译与签发引擎,通过SDN通道将动态安全策略下发至边缘节点与终端设备,统一调度跨网络切片的访问控制规则。系统各层之间通过标准化接口进行安全信令与元数据交互,采用消息队列缓冲机制保障跨层通信的时效性与一致性。在资源受限场景中,通过模块裁剪与策略精简机制,提升架构在低功耗设备中的可部署性。架构支持异构设备管理,并可与现有运营商5G核心网安全平台兼容集成。

　　2.2身份认证机制

　　系统采用基于轻量级椭圆曲线加密（ECC）的双向认证机制,结合物联网设备资源受限特性,优化认证计算流程与消息结构。终端设备启动后,通过唯一设备标识符（DevID）与预设私钥kd向边缘认证节点发起认证请求,边缘节点基于公钥Pd=kd·G进行签名验证。认证消息构造格式如式（1）所示：

　　式中,R为目标资源；P为策略评估函数；θ为策略阈值（默认取值0.75）。C中,T表示访问时间戳；L为设备位置标签；A为行为序列（如上传频率、端口调用、协议类型等）[3]。策略引擎定期根据设备行为特征库进行更新,策略刷新周期为10分钟,采用滑动窗口分析模型提取最近通信行为特征并反馈至边缘安全节点。策略下发采用SDN通道,通过策略控制语言（SCL）实现指令编译,边缘节点解码后执行本地访问约束,支持“准入/阻断/观察”三种状态切换,并提供策略冲突自动回退机制。该策略融合了ABAC（基于属性的访问控制）与RBAC（基于角色的访问控制）两类模型的优势,既能满足精细化权限分配,又能适应多终端动态变化的场景。

　　2.4功能模块设计

　　系统功能模块按分层架构部署于设备端、边缘节点与策略中心三个关键位置,构成协同防护体系。设备端嵌入认证发起模块和本地策略执行器,支持启动即发起DevID认证请求,认证成功后接收边缘下发的访问控制表（ACL）,按设备资源类型执行准入或拦截操作[4]。

　　边缘节点部署四个核心模块：（1）认证验证模块,负责快速匹配设备公钥及签名信息；（2）行为感知模块,基于三元特征向量（端口、频率、协议）实时监测通信流；（3）安全策略缓存模块,保存最近一次策略快照,确保连接异常状态下仍可执行本地控制逻辑；（4）告警响应模块,接收策略中心的风险通报,触发本地中断或限速指令[5]。

　　策略控制层包含策略生成引擎、签发调度模块与安全日志解析器,策略生成引擎依据预定义规则模板生成结构化策略语句,调度模块通过SDN接口完成策略注入,日志模块周期性归档认证事件与异常流量记录,支持回溯追踪与威胁模型迭代。

　　3实验验证

　　3.1实验环境

　　实验平台基于Mininet5G模拟器搭建,结合ONOS控制器与MEC边缘仿真模块构建三层架构。设备侧采用多类虚拟物联网终端（模拟智能摄像头、传感器、车载单元等）,分别配置不同通信协议（MQTT、CoAP、HTTP）及带宽负载模型。每类设备数量设置为100,运行状态持续模拟48小时,测试覆盖身份认证、策略执行、行为检测三个流程。MEC节点部署行为感知引擎、轻量入侵检测模块与本地策略执行器。核心控制层运行策略生成器、日志收集器及密钥管理服务,通过南向接口与SDN交换机连接边缘节点,实现策略下发与回传采样。实验期间设置多种攻击场景,包括DoS攻击、伪造身份认证与异常流量注入,观察系统在不同条件下的响应效率与处理性能,实验数据通过ELK日志系统实时收集,所有结果经统一接口格式化存储用于比对分析。
　　3.2性能指标

　　实验性能评估主要围绕认证响应时间、策略处理时延、异常检测准确率、系统资源消耗四个维度展开。认证响应时间以设备首次接入到收到认证结果的总耗时为准,目标控制在10ms以内；策略处理时延指策略引擎生成控制指令到边缘节点成功执行指令之间的平均间隔,要求不超过25ms；异常检测准确率采用标准Precision/Recall/F1指标,识别目标包括端口扫描、会话劫持及伪协议通信；通过监控CPU占用率、内存使用率及网络吞吐量等关键指标,评估系统在高并发接入场景下的资源消耗水平,进而判断其稳定性表现。所有指标均在1s级别采样周期下连续记录48小时,按设备类型与攻击场景分类整理,结合异常流量注入强度分析系统在边缘过载与复杂状态转换条件下的性能稳定性,并对比不同配置组合下的适应性表现。

　　3.3防护效果对比

　　为验证系统在实际攻击场景下的防护能力,设置基线对照组（传统静态ACL控制+预置签名机制）与本系统进行效果对比。实验场景包括正常访问、伪造认证请求、大流量DoS、周期性端口探测共四种典型威胁。对比维度包括认证通过率、检测准确率、误报率与平均响应时延四项指标。结果表明,在大流量场景下,本系统依托边缘级检测与动态策略调整,仍能维持较低误报率与高检测精度；传统机制在复杂行为识别能力与响应效率上的表现稍显不足。对比结果汇总如表1所示。

　　从表1可见,在所有测试场景中,本系统防护能力均明显优于传统机制,尤其在高并发异常行为识别方面,准确率提升20%以上,响应时间控制更稳定,适应边缘部署需求。

　　4结语

　　本文围绕5G网络环境下物联网设备面临的安全挑战,构建了以分层协同、动态策略和边缘感知为核心的安全防护体系,并通过实验验证了其在性能与防护效果方面的优越性。未来研究可进一步引入联邦学习与多源信任模型,提升边缘节点自适应防御能力与跨域安全策略协同效率。

参考文献

　　[1]李玉荣.边缘计算与网络切片融合:提升5G/6G网络资源利用与性能的智能框架[J].通信与信息技术,2025(4):53-58+67.

　　[2]葛伟涛,冯敬然,路晓彤,等.铁路5G-R网络技术特点及智能运维技术分析[J].铁路通信信号工程技术,2025,22(7):53-59.

　　[3]贾根五.校园5G融合网建设探索与实践[J].信息记录材料,2025,26(7):203-205.

　　[4]刘新跃,胡科,杨文,等.基于身份策略的5G专网安全系统研究[J].成都大学学报(自然科学版),2025,44(2):153-158.

　　[5]赖名廉.物联网应用化智能网关技术探索[J].数字技术与应用,2025,43(6):44-46.