可應用于5G網(wǎng)絡的垂直行業(yè)二次認證方法淺析

０引言5G定義了三大應用場景，即eMBB（EnhancedMobileBroadband，增強型移動寬帶）、mMTC(MassiveMachine-TypeCommunications，海量機器類通信)、uRLLC（Ultra-reliableandLow-latencyCommunications，超可靠、低時延通信），與4G相比，5G全新的網(wǎng)絡架構能夠提供十倍以上的峰值速率、千億級別的連接能力以及毫秒級的傳輸時延。5G將開啟萬物互聯(lián)的新時代，工業(yè)、農業(yè)、金融、交通等垂直行業(yè)存在著巨大的市場潛力，5G時代電信運營商將完成以面向普通公眾用戶為主到面向公眾和垂直行業(yè)并重的轉變。對于普通公眾用戶，在接入互聯(lián)網(wǎng)之前首先需要完成移動通信網(wǎng)絡的主認證鑒權，以驗證其身份的合法性，而對于垂直行業(yè)用戶，他們所訪問的數(shù)據(jù)業(yè)務網(wǎng)絡通常關系國家安全、國計民生或商業(yè)機密，相較于普通公眾用戶有著更高的安全保密需求，因此除了要通過移動網(wǎng)絡的主認證鑒權，通常還需要通過數(shù)據(jù)網(wǎng)絡的二次認證。2019年是5G商業(yè)元年，目前各大運營商所開通的5G業(yè)務大都基于NSA架構，未來將逐步向SA架構演進。在NSA架構下，移動通信網(wǎng)絡空口部分屬于5G，而核心網(wǎng)部分仍然屬于4G，因此二次認證方式與4G網(wǎng)絡沒有太大區(qū)別。在SA架構下，除了可以繼續(xù)沿用4G網(wǎng)絡中的方法以外，3GPP標準還可選地定義了5G二次身份認證，由NAS信令承載認證消息，并允許用戶對認證協(xié)議和算法進行定制。本文將分別對當前4G網(wǎng)絡中常用的安全網(wǎng)關認證、VPDN用戶認證，以及5GSA架構下的5G二次身份認證進行分析比較，期望能夠為各垂直行業(yè)用戶的選擇提供一定參考。１二次認證方法選用建議1.1安全網(wǎng)關認證基于安全網(wǎng)關的二次認證通過在用戶應用服務器前端部署安全網(wǎng)關以及在用戶終端設備上安裝相應的認證客戶端程序實現(xiàn)，如圖1所示。圖1安全網(wǎng)關認證方案用戶通過安全網(wǎng)關進行二次認證訪問數(shù)據(jù)業(yè)務網(wǎng)絡的流程如圖2所示。圖2安全網(wǎng)關認證流程終端在完成5G移動網(wǎng)絡的主認證鑒權之后，5G網(wǎng)絡將為其建立起用戶面數(shù)據(jù)通道，隨后用戶可以利用終端上的認證客戶端軟件輸入身份憑證，如口令、人臉、指紋等，并連接到安全網(wǎng)關，與認證服務程序交互進行二次身份認證，在通過二次認證后便可訪問應用服務器處理業(yè)務。在該方案中，安全網(wǎng)關由行業(yè)用戶自建并放置于用戶機房內自行維護，運營商僅提供數(shù)據(jù)傳輸通道，具有建設周期短、成本低，運維管理方便等特點。1.2VPDN身份認證VPDN是一種在互聯(lián)網(wǎng)公網(wǎng)上通過加密隧道進行通信以達到類似于私有專用網(wǎng)絡效果的虛擬專網(wǎng)技術。用戶需要使用該方案實現(xiàn)二次認證只需要向運營商申請VPDN專線接入即可，圖3所示為典型的VPDN接入方案。圖3VPDN專線接入方案用戶通過VPDN接入數(shù)據(jù)業(yè)務網(wǎng)絡的流程如下所述：（1）用戶在終端設備中設置好屬于自己的專用APN，終端設備在主認證過程中將VPDNAPN信息發(fā)送給移動網(wǎng)絡；（2）完成主認證鑒權后，核心網(wǎng)PGW網(wǎng)元在為終端建立用戶面數(shù)據(jù)通道時，發(fā)現(xiàn)用戶使用的是VPDN專業(yè)APN，將用戶名與密碼信息發(fā)送給LNS請求進行二次認證；（3）LNS將認證信息封裝成Radius包發(fā)送給二次認證AAA服務器進行認證；（4）通過二次認證之后，將為用戶分配IP地址，并在PGW和LNS之間建立L2TP隧道，用以傳輸用戶數(shù)據(jù)。在該方案中，需要由運營商投資建設并在行業(yè)用戶側部署LNS及AAA設備，并由運營商負責用戶的二次認證鑒權管理，而用戶則需要支付相應服務費用。1.35G二次身份認證5GSA組網(wǎng)架構在設計時充分考慮了面向垂直行業(yè)的應用需要，引入了網(wǎng)絡切片技術，將一個物理網(wǎng)絡分割成多個虛擬的端到端網(wǎng)絡，每個虛擬網(wǎng)絡之間邏輯獨立，用不同的網(wǎng)絡切片為不同的行業(yè)用戶提供服務。在安全性方面，系統(tǒng)內生地支持用戶接入二次身份認證，以保護數(shù)據(jù)網(wǎng)絡免遭非法用戶的侵害。圖4所示為5GSA組網(wǎng)網(wǎng)絡架構。圖45GSA組網(wǎng)網(wǎng)絡架構用戶終端在訪問數(shù)據(jù)業(yè)務網(wǎng)絡前首先需要完成與UDM及AUSF之間的主認證鑒權，隨后SMF網(wǎng)元在為其建立用戶面數(shù)據(jù)通道時將根據(jù)簽約信息決定是否發(fā)起二次身份認證。5G二次身份認證遵循可擴展身份認證協(xié)議EAP，認證消息由NAS信令承載，其中終端UE作為被認證端（Peer），SMF網(wǎng)元作為認證端（Authenticator），AAA作為認證服務器（Server），圖5所示為二次認證流程。圖55G二次身份認證流程SMF網(wǎng)元向AAA服務器發(fā)出認證開始的消息，并建立起UE與AAA之間的認證通道，之后UE和AAA將經(jīng)過若干次EAP-Request/EAP-Response消息交互，具體交互次數(shù)和交互內容根據(jù)所使用的認證協(xié)議而定，用戶可以使用PAP、CHAP、AKA、TLS等公開協(xié)議，也可以自定義算法與協(xié)議，最后由AAA向UE發(fā)送認證結果，二次認證通過之后，5G核心網(wǎng)將為終端建立到數(shù)據(jù)網(wǎng)絡的連接。在該方案中，運營商為行業(yè)用戶提供了底層認證通道，由用戶自己選擇或定制具體的算法和協(xié)議，AAA服務器可以部署在用戶數(shù)據(jù)網(wǎng)絡中通過UPF與SMF連接，也可以直接部署在運營商機房內與SMF直接連接。２二次認證方法選用建議本文對安全網(wǎng)關認證、VPDN身份認證及5G二次身份認證三種方法從應用場景、建設運維方式、安全性、成本方面對比分析如表1所示。表1二次認證方法比較認證方法安全網(wǎng)關認證VPDN身份認證5G二次身份認證應用場景NSA組網(wǎng)、SA組網(wǎng)NSA組網(wǎng)SA組網(wǎng)建設方式用戶自建運營商建設運營商建設運維方式用戶維護運營商維護運營商維護建設成本高低低使用成本低高高安全性高低中其中，安全網(wǎng)關認證與5G組網(wǎng)模式無關，在NSA組網(wǎng)和SA組網(wǎng)下都能適用，由用戶在應用服務器前端建設部署安全網(wǎng)關設備，配合用戶終端設備上安裝的認證客戶端程序，并借助運營商數(shù)據(jù)通道共同完成二次認證。由于是用戶自建自管，所以費用成本主要是前期一次性建設投入較高，建成后使用過程中只需額外負擔少量的維護升級費用。安全網(wǎng)關認證完全掌控在用戶自己手中，整個過程不需要運營商參與，且用戶可以選擇復雜的認證方法，具有較高的安全性。VPDN身份認證屬于4G階段專線用戶終端接入數(shù)據(jù)網(wǎng)絡的主流認證方法，未來在5GNSA階段還將延續(xù)使用，其認證設施由運營商建設部署并負責后期維護管理，用戶只需要向運營商申請VPDN接入即可。成本包括前期較低的業(yè)務開通費用，以及后期使用需要持續(xù)支付的較高的服務使用費用。VPDN身份認證過程由運營商負責完成，需要用戶與運營商之間建立較強的信任關系，且這種方式采用簡單的用戶名和密碼進行認證，容易被非法用戶破解，因此安全性較低。5G二次身份認證是國際標準協(xié)議里規(guī)定未來可能在SA組網(wǎng)模式下使用的認證方法，同VPDN身份認證類似，其基礎設施由運營商負責建設和維護，用戶向運營商支付較低的開通費用及較高的后期使用費用，整個認證過程主要由運營商負責完成，需要用戶與運營商之間建立較強的信任關系。與VPDN身份認證不同的是，5G二次身份認證允許用戶參與到認證過程中，用戶不僅可以在現(xiàn)有的認證協(xié)議中進行選擇使用，甚至可以根據(jù)需要定制私有的協(xié)議與算法，因此具有更強的安全性。通過以上分析本文建議，對時延、帶寬等網(wǎng)絡資源要求不高且業(yè)務安全性等級較低的用戶，沒有必要向運營商租用VPDN專線或專有網(wǎng)絡切片，直接使用安全網(wǎng)關認證的方法即可滿足使用需求。對需要獨享網(wǎng)絡資源或具有數(shù)據(jù)高安全等級的用戶而言，在5GNSA組網(wǎng)階段，可以采用VPDN身份認證加安全網(wǎng)關認證的方式，利用安全網(wǎng)關來彌補VPDN身份認證本身安全性低且需要強信任運營商的不足，在5GSA組網(wǎng)階段，如果用戶業(yè)務安全等級較低并且信任運營商，則直接采用5G二次身份認證并選擇現(xiàn)有認證協(xié)議即可，否則用戶需要對認證協(xié)議和算法進行私有定制，并同時采用安全網(wǎng)關認證以達到安全增強的目的。３結語5G與各垂直行業(yè)的融合