經WiFi接入互聯網的5G終端APP免密登錄方案研究

1 背景

在移動互聯網時代，相當一部分的終端，在接入應用平臺前需要經過鑒權認證。通常情況下，這部分流量在移動蜂窩網上承載，但由于覆蓋盲區的存在以及流量、資費等方面的原因，WiFi接入仍然在無線接入中占據相當大的比重。即使進入5G時代，WiFi依然是極其重要的接入方式，因此，5G終端通過WiFi接入互聯網后，在使用APP時，仍然需要經過應用平臺的鑒權和認證。

2 常用的終端免密登錄方案

當前，手機終端常用的免密登錄互聯網應用平臺的方案大致有3種：第三方的免密認證、基于短信校驗碼的免密認證、基于蜂窩移動網的終端/卡號的免密認證。

2.1 第三方的免密認證

在4G時代，大量移動互聯網應用平臺已經打通了與微信、QQ、支付寶等通道，通過這一類第三方授權實現了基于平臺賬號的免密登錄。手機終端APP使用這一類免密登錄方案的前提是必須完成與微信、QQ或者支付寶平臺帳號系統的對接，實現帳號的捆綁。但由于平臺安全或者個人隱私方面的考慮，依然有很多互聯網應用（特別是證券類、銀行類、金融類應用）沒有與上述系統對接，用戶還需要通過人工輸入賬號/密碼或者手機號碼/短信驗證碼的方式對進行登錄。

2.2 基于短信校驗碼的免密認證

某些移動互聯網APP在安裝時已經獲得了終端短信的讀取權限，在APP登錄過程中，平臺側將發送一條短信校驗碼到終端上，APP直接讀取短信并對序列號進行分析、識別，自動把短信校驗碼拷貝粘貼到對應欄目進行主動校驗和登錄。

這種方式并不依賴于4G或者WiFi接入，在一定程度上可以簡化終端用戶的操作步驟，但是由于短信（特別是2G短信）在傳送和存儲過程中大都沒有經過加解密處理，如果缺乏TEE（可信運行環境）的支持，或者沒有借助加密短信、安全短信、短信保險柜等技術手段，就有可能出現短信被攔截、轉發、篡改等安全風險。

2.3 基于蜂窩網的終端/卡號的免密認證

這種方案利用蜂窩無線網，以終端的IMEI或IMSI作為用戶身份標識，通過APP、認證服務器、核心網設備、應用服務器之間的交互實現APP應用的免密登錄。這類方案涉及4G核心網網元的改造。除了HSS需要開放接口供認證平臺查詢用戶數據，還有對P-GW進行開發，使之具備分析終端請求和插入擴展字段的能力，包括：

（1）增強HTTP/HTTPS協議頭功能，在終端發送的認證請求中插入關鍵信息，比如終端手機號碼、IMSI、IMEI、手機IP地址、P-GW的IP地址等信息。

（2）管理協議頭增強的服務器域名和IP地址白名單，對比認證請求消息中的服務器域名或者IP地址是否在白名單中，判斷是否需要插入手機號碼；

（3）對應用服務器的域名和IP地址進行匹配校驗等等；

目前這類方案在4G網絡中已有相關實現案例。

3 通過WiFi免密登錄應用平臺的方案

以上3種免密登錄方案各有其優缺點，并適用于不同的應用場合，但目前并沒有針對WiFi接入5G核心網的終端APP免密登錄方案。

一般認為，5G終端通過WiFi接入5G核心網實現APP免密登錄需要經過兩個過程：（1）WiFi接入5G核心網的過程；（2）APP免密登錄應用平臺的過程。

3.1 WiFi接入5G核心網

5G核心網的PCF可以為終端提供移動性、UE接入選擇和PDU會話的相關策略。策略和計費控制功能可以應用到每個切片實例、DNN或切片實例和DNN的組合上。終端路由選擇策略（URSP）、ANDSP策略（接入網檢測和選擇策略）就存儲在PCF上并可下發到終端。

5G終端在選擇WLAN之前要構造WLAN列表，如果沒有列表就要通過ANQP與WiFi AP交互，或者通過EAP-Request/Identity申請PLMN，結合5G核心網下發的ANDSP中的非3GPP接入點配置信息，構造一張具有接入優先級的WLAN列表。由于5G支持網絡切片，核心網可以通過網絡切片實例為終端提供服務。終端通過WiFi接入并在向PLMN注冊時，可以在向AMF發送的Requested NSSAI中包括一個或多個S-NSSAIs of the allowed NSSAI或者 Con fi gured NSSAI，并且可以通過網絡或終端發起網絡切片的更改。利用網絡切片特性，可以實現應用與終端路由策略的關聯。

從電信運營商角度看，WiFi AP可分為第三方的AP和自營AP。第三方AP一般提供免費接入服務，如果沒有與運營商合作，則屬于Untrusted Non-3GPP Access（非可信的非3GPP接入）；電信運營商自建的AP 可以提供可信接入服務，如果終端不支持5GC NAS信令over WLAN，則需要通過可信 WLAN接入點(TWAP)+可信WLAN交互功能(TWIF)接入5GC，如果終端支持5GC NAS 信令Over WLAN，則可以通過可信的非3GPP接入點（TNAP） +可信的非3GPP網關功能（TNGF）接入5G核心網。可信的非3GPP接入點可采用Hotspot 2.0技術，利用IEEE 802.11u身份識別，用戶無需通過手動發現熱點、輸入密碼就能獲取WiFi的接入授權。

除了可信的WiFi AP，公眾網絡上部署了大量的第三方WiFi AP，終端從AP直接獲得IP地址（有時候需經過企業或運營商的二次認證），就可以直接訪問互聯網了。通過第三方AP接入的終端如果沒有在核心網鑒權注冊，對5GC而言是不可信的。除非終端繼續與5GC的N3IWF交互并建立IKEv2 SA，在UE和AMF之間建立安全連接、傳遞安全的NAS消息。[7]

終端在獲得WiFi接入授權后只是得到訪問互聯網的權限。終端上的APP登錄互聯網應用平臺時仍然需要輸入帳號、密碼進行驗證，特別是那些基于安全原因不便在客戶端保存密碼的應用。因此，還需要APP登錄相關聯的應用平臺的過程。

3.2 APP免密登錄應用平臺

終端通過WiFi接入5G核心網后，經過鑒權認證就可以通過Data Network訪問互聯網了。終端上的APP向互聯網上的應用平臺發起業務請求前，需要用戶名和密碼進行應用層的登錄認證。

為此，需要通過PCF可以激活SMF中相應的PCC規則，指示SMF在哪些APP應用程序上檢測并向PCF提交檢測到的應用程序標識符，從SMF接收到報告后，PCF可以基于所接收的信息做出策略決定。PCF下發到終端的URSP策略可以指示終端在5G核心網功能實體的配合下把APP流量路由到不同的目的地。

在5G核心網內部部署一個AF，直接與5GC的相關功能實體直接交互，為APP提供鑒權、驗證APP與終端的映射關系、APP登錄的唯一性與合法性，并對互聯網上的認證平臺提供服務。

如圖1所示，在互聯網上部署一個對外的應用認證平臺，與5C核心網內部的AF功能實體進行交互通信，并為互聯網應用平臺提供服務，以完成終端APP的免密登錄。AF與AMF、SMF、UPF、AUSF、UDM等功能實體對接，獲取用戶相關信息的檢索服務。具體實施時，AF也可以通過服務器虛擬化對外部不同的認證平臺分別提供服務。

圖1 非漫游網絡下部署的拓撲示意圖[8]

5GC支持基于SBA的接口，相信實現起來比4G網元的改造更為便捷。AF部署在5G核心網內，與AMF、UPF、SMF、PCF等5G核心網功能實體對接時更為安全，網絡切片和虛擬化技術的使用也有利于AF與互聯網上的認證平臺對接。

至于在終端提供的認證參數方面，由于5G終端關鍵標識主要有SUPI、SUCI、GPSI（可能是MSISDN或者NAI，供3GPP外網標識）、IMEI（PEI）等，IP地址也可以作為識別終端的標識之一， 由于終端通過非可信WiFi接入往往經歷兩次IP分配，第一次是WiFi AP分配IP地址，第二次是UPF或者SMF分配IP地址。對于5G核心網而言，第二次分配的IP地址更重要。

3.3 免密登錄交互流程

在終端接入WiFi并在核心網注冊后，在終端已經從PCF獲取URSP、ANDSP、WLANSP策略的前提下，APP發起免密登錄請求，登錄請求中攜帶應用ID和某個標志位。有兩種驗證方式：

（1）N3IWF插入終端信息

把終端流量的檢測點設置在N3IWF。當終端免密登錄請求經過N3IWF時，N3IWF從中識別出標志位，將用戶SUPI或SUCI、PEI、終端IP地址等信息插入到請求中的擴展字段的Payload中，在根據URSP發送給制定的AF。流量檢測功能可能涉及N3IWF的二次開發。這一功能也可以在UPF上實現，但流經UPF的用戶流量是經過加密的，可能需要SMF的配合才能實現終端信息的插入，實現起來流程會更為復雜。

（2）終端自主插入認證信息

另外，終端APP在發送登錄請求時，利用URSP中允許攜帶的OS Id + OS App Id type、遠程IPv4/IPv6地址、Destination FQDN、OS APP id type和 connection capabilities等信息，附帶上MSISDN、SUPI、終端IP地址、N3IWF、AF服務器IP地址等信息。在URSP策略的控制下，該請求信息將路由到指定的認證AF來完成APP登錄。

AF獲取到終端APP認證請求后，對內容進行解析并進行驗證，并分別與AMF、UPF、SMF或者UDM通信，進一步驗證其合法性。如認證成功則生成唯一的APP_Subscriber標識與用戶SUPI、SUCI、PEI、IP地址等信息綁定，并把該標識及時間戳返回給終端，并推送到互聯網的認證平臺上。

終端APP對返回的結果進行解析，獲取APP_Subscriber標識后并發送到APP關聯的應用平臺，應用平臺把該標識發往認證平臺進行信息進行驗證，如果驗證通過，則向用戶終端返回登錄成功的消息。APP自動進入登錄后的界面。在這個過程中，用戶無需在APP上輸入任何帳號和密碼信息。

除了上述的方案以外，還有一種借道蜂窩網絡免密登錄的方式，即在用戶不察覺的情況下，終端打開蜂窩網絡數據開關，利用很小的一部分數據流量進行APP的免密登錄，完成后再關閉蜂窩流量，繼續使用WiFi上網。這種情況尤其適用于終端不支持在核心網注冊的終端。但是這種手段，在4G網絡上也可以實現，也就不贅述了。

4 總結

5G時代NR流量是主流，但不能忽視WiFi 6將為終端提供另一個數據高速通道。通過5G核心網為APP提供WiFi免密登錄既可以利用5G的終端鑒權功能和切片特性，同時，WiFi與5G可以合設認證AF，在提升用戶使用APP便捷性的同時能夠加強運營商對終端鑒權/APP登錄的配置和統一管理。