適用于多類移動場景的融合認(rèn)證機(jī)制設(shè)計*

王俊，田永春，王夢琦，楊波

（1.中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041；2.空裝駐成都地區(qū)某代表室，四川 成都 610000）

0 引言

認(rèn)證是移動通信系統(tǒng)的重要安全手段，主要用于鑒別功能實(shí)體的身份的合法性。

2G 系統(tǒng)提供了單向認(rèn)證能力，即網(wǎng)絡(luò)認(rèn)證終端而沒有終端認(rèn)證網(wǎng)絡(luò)，因此出現(xiàn)了偽基站的攻擊方式。

進(jìn)入3G 和4G 時代，“第三代合作伙伴計劃”標(biāo)準(zhǔn)化組織（3rd Generation Partnership Project，3GPP）完善了認(rèn)證機(jī)制，提供了雙向認(rèn)證能力，即網(wǎng)絡(luò)認(rèn)證終端，終端同時也認(rèn)證網(wǎng)絡(luò)，這種認(rèn)證比較適合2C 的模式，即運(yùn)營商為公眾用戶提供服務(wù)的情況。之后，在移動通信與行業(yè)相結(jié)合的背景下，運(yùn)營商除了面向公眾用戶，還能夠?yàn)樾袠I(yè)用戶提供專線服務(wù)。為了提高行業(yè)應(yīng)用的安全性，運(yùn)營商除了提供雙向主認(rèn)證，還為專線提供了二層隧道協(xié)議網(wǎng)絡(luò)服務(wù)器（L2TP Network Server，LNS）+認(rèn)證、授 權(quán)、計 費(fèi)（Authentication、Authorization、Accounting，AAA）的認(rèn)證，這種認(rèn)證常被稱為AAA 認(rèn)證。這種認(rèn)證方式通過在用戶身份標(biāo)識模塊（Subscriber Identity Module，SIM）卡里配置行業(yè)用戶的用戶名和口令信息，并在主認(rèn)證的過程中通過非接入層（Non-Access Stratum，NAS）消息將用戶名和口令信息帶給分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)（Packet Data Network Gateway，PGW）網(wǎng)元，再由PGW 網(wǎng)元與部署在行業(yè)用戶數(shù)據(jù)網(wǎng)絡(luò)（Data Network，DN）處的AAA 服務(wù)器之間的基于Radius 或Diameter 協(xié)議實(shí)現(xiàn)AAA 認(rèn)證。認(rèn)證通過后，由同樣部署在行業(yè)用戶DN 處的LNS 為終端分配專線的網(wǎng)際互聯(lián)協(xié)議（Internet Protocol，IP）地址，并提供接入控制能力[1]。

進(jìn)入5G 時代，3GPP 提出了一種更加符合行業(yè)需求的二次認(rèn)證機(jī)制。在從2C 向2B 轉(zhuǎn)型的背景下，相較于3G 和4G 的AAA 認(rèn)證，5G 的二次認(rèn)證雖然也是一種面向行業(yè)的接入認(rèn)證，但5G 網(wǎng)絡(luò)只提供了基于可擴(kuò)展的身份認(rèn)證協(xié)議（Extensible Authentication Protocol，EAP）統(tǒng)一承載的二次認(rèn)證通道。二次協(xié)議相當(dāng)于應(yīng)用層協(xié)議，完全由行業(yè)自主選擇和確定，同時這個二次認(rèn)證是一個從終端到AAA 之間的端到端認(rèn)證，因此認(rèn)證能力有較大提升[2-3]。

1 現(xiàn)有移動通信認(rèn)證機(jī)制

我國的5G 商用采用的是獨(dú)立組網(wǎng)（Stand Alone，SA）思路，因此目前主流的移動通信系統(tǒng)有兩大類四小類場景，第一大類是4G 移動通信系統(tǒng)，第二大類是5G 移動通信系統(tǒng)。兩個大類各自都有兩個小類，分別是漫游架構(gòu)和非漫游架構(gòu)，前者實(shí)現(xiàn)用戶依托拜訪地基礎(chǔ)設(shè)施接入的情況，后者實(shí)現(xiàn)用戶依托本地基礎(chǔ)設(shè)施接入的情況。下面以漫游架構(gòu)為例進(jìn)行說明。

4G 移動通信漫游架構(gòu)場景的認(rèn)證機(jī)制如圖1所示。其中，主認(rèn)證和AAA 認(rèn)證均由歸屬地運(yùn)營商提供，采用國際的標(biāo)準(zhǔn)認(rèn)證體制；用戶面認(rèn)證由行業(yè)用戶提供，采用國產(chǎn)或?qū)Ｓ谜J(rèn)證體制[4-5]。

圖1 4G 移動通信漫游架構(gòu)認(rèn)證機(jī)制

5G 移動通信漫游架構(gòu)場景的認(rèn)證機(jī)制[6-7]如圖2 所示。其中，主認(rèn)證由歸屬地運(yùn)營商提供，采用國際標(biāo)準(zhǔn)認(rèn)證體制；切片認(rèn)證和二次認(rèn)證根據(jù)運(yùn)營商為行業(yè)提供服務(wù)的模式進(jìn)行選取，若運(yùn)營商為行業(yè)提供專用切片，則采用切片認(rèn)證，若運(yùn)營商為行業(yè)提供專線，則采用二次認(rèn)證。切片認(rèn)證和二次認(rèn)證由行業(yè)用戶提供，原則上可采用國產(chǎn)或?qū)Ｓ谜J(rèn)證體制。用戶面認(rèn)證由行業(yè)用戶提供，采用國產(chǎn)或?qū)Ｓ谜J(rèn)證體制[8-9]。

圖2 5G 移動通信漫游架構(gòu)認(rèn)證機(jī)制

但是在傳統(tǒng)思路的認(rèn)證體系中，看似進(jìn)行了3重認(rèn)證，但實(shí)際上每重認(rèn)證所扮演的角色雷同，沒有起到實(shí)質(zhì)性多重認(rèn)證的目的。此外，在面向不同應(yīng)用場景，特別是面向不同垂直行業(yè)應(yīng)用時仍有不足，主要體現(xiàn)在以下5 個方面。

（1）認(rèn)證協(xié)議單一。3G 主認(rèn)證采用通用移動通信系統(tǒng)（Universal Mobile Telecommunications System，UMTS）和認(rèn)證與密鑰協(xié)商協(xié)議（Authentication and Key Agreement，AKA），4G 主認(rèn)證采用演進(jìn)分組系統(tǒng)（Evolved Packet System，EPS）AKA，5G主認(rèn)證采用5GAKA 和EAP AKA’。這些認(rèn)證協(xié)議雖然有細(xì)微差異，但本質(zhì)上原理一樣，差異僅僅在于AKA 協(xié)議本身安全性的提升。3G 和4G 的AAA 認(rèn)證只規(guī)定了Radius 和Diameter 兩種協(xié)議，5G 的二次認(rèn)證或切片認(rèn)證只定義了EAP 作為底層承載協(xié)議，并未規(guī)定和描述上層的認(rèn)證協(xié)議，但運(yùn)營商在實(shí)際規(guī)劃中仍然會采用Radius 等主流認(rèn)證協(xié)議，無法適應(yīng)不同應(yīng)用場景對認(rèn)證協(xié)議的差異化需要。

（2）認(rèn)證算法單一。無論是3G、4G 的AAA認(rèn)證還是5G 的二次認(rèn)證，雖然都沒有對認(rèn)證算法進(jìn)行規(guī)定，但實(shí)際上都默認(rèn)使用的是特定的國際公開算法。對于行業(yè)而言，雖然以上認(rèn)證體系進(jìn)行了多重認(rèn)證，但真正有效的仍然只有用戶面認(rèn)證，效率不高，無法適應(yīng)不同行業(yè)、不同場景對認(rèn)證算法的差異化安全需要。

（3）認(rèn)證手段單一。主認(rèn)證基于對稱密碼的挑戰(zhàn)應(yīng)答機(jī)制進(jìn)行認(rèn)證，3G 和4G 的AAA 認(rèn)證以用戶名加口令作為認(rèn)證手段，5G 的二次認(rèn)證并未對此做明確規(guī)定，但按常理仍然會以口令為主，無法滿足不同應(yīng)用場景對認(rèn)證手段的差異化需求。

（4）實(shí)體界限不清。3G 和4G 的AAA 認(rèn)證雖然信息來自終端和AAA 服務(wù)器，但認(rèn)證協(xié)議的對等雙方卻實(shí)際上是PGW 和AAA 服務(wù)器，在協(xié)議上不是端到端的認(rèn)證。而5G 的二次認(rèn)證雖然規(guī)定了認(rèn)證協(xié)議的對等方是終端和AAA 服務(wù)器，但目前3GPP R17 標(biāo)準(zhǔn)仍然并未規(guī)定終端內(nèi)部如何分工并提供認(rèn)證能力，因此無法適應(yīng)不同情況下認(rèn)證協(xié)議與認(rèn)證計算對載體的差異化需求。

（5）功能部署僵化。對于主認(rèn)證、3G 和4G的AAA 認(rèn)證及5G 的二次認(rèn)證，在終端側(cè)均由終端完成協(xié)議解析，由通用用戶身份標(biāo)識模塊（Universal Subscriber Identity Module，USIM）卡完成認(rèn)證計算，其認(rèn)證協(xié)議與認(rèn)證計算的部署是固化的。在網(wǎng)絡(luò)側(cè)，主認(rèn)證由統(tǒng)一數(shù)據(jù)管理功能（Unified Data Management，UDM）完成協(xié)議解析和認(rèn)證計算，3G和4G 的AAA 認(rèn)證及5G 的二次認(rèn)證由AAA 服務(wù)器完成，協(xié)議解析和認(rèn)證計算均同時完成，部署位置也是固定不變的，無法適應(yīng)不同場景對部署方式的差異化需要。

為了更好地支撐智能制造及工業(yè)4.0 的發(fā)展，以5G 和6G 新一代寬帶移動通信技術(shù)的發(fā)展為契機(jī)，本文提出一種適用于移動通信多類應(yīng)用場景的融合認(rèn)證機(jī)制，以解決上述5 個方面的難題。

2 融合認(rèn)證機(jī)制設(shè)計

2.1 不同利益相關(guān)方對認(rèn)證的需求

3GPP 在5G 的R16 標(biāo)準(zhǔn)階段定義了主認(rèn)證、二次認(rèn)證以及切片認(rèn)證。有安全需求的垂直行業(yè)和關(guān)鍵行業(yè)通常還會額外疊加用戶面認(rèn)證。

主認(rèn)證主要是面向運(yùn)營商，用于運(yùn)營商驗(yàn)證移動用戶的合法性，其依托的是對稱密碼，驗(yàn)證的目標(biāo)對象是USIM 卡或嵌入式用戶身份標(biāo)識模塊（embedded Subscriber Identity Module，eSIM），通常這一驗(yàn)證過程由運(yùn)營商掌控。

二次認(rèn)證主要面向行業(yè)專線應(yīng)用模式，用于驗(yàn)證移動用戶的合法性，其依托的可以是對稱密碼技術(shù)、數(shù)字證書等，驗(yàn)證的目標(biāo)對象可以是安全介質(zhì)、用戶名口令或者生物特征等。

切片認(rèn)證主要面向行業(yè)專用切片或?qū)＞W(wǎng)應(yīng)用模式，用于驗(yàn)證移動用戶的合法性，其依托的可以是對稱密碼、數(shù)字證書等，驗(yàn)證的目標(biāo)對象可以是安全介質(zhì)、用戶名口令等。

用戶面認(rèn)證主要由行業(yè)自行提供，用于驗(yàn)證移動用戶的合法性，其依托的主要是數(shù)字證書，驗(yàn)證的目標(biāo)對象通常是安全介質(zhì)或生物特征等，還能額外提供密鑰分發(fā)功能。

從不同利益相關(guān)方需求的角度，運(yùn)營商認(rèn)可的是主認(rèn)證的過程和結(jié)果，信任二次認(rèn)證和切片認(rèn)證的結(jié)果；而行業(yè)認(rèn)可的是二次認(rèn)證和切片認(rèn)證的過程和結(jié)果以及用戶面認(rèn)證的過程和結(jié)果。通常行業(yè)對二次認(rèn)證、切片認(rèn)證和用戶面認(rèn)證的認(rèn)可度相同。若驗(yàn)證的目標(biāo)對象相同，則可將兩種認(rèn)證合一；若不同，則可作為多種驗(yàn)證目標(biāo)對象的相互補(bǔ)充。

從認(rèn)證過程和結(jié)果認(rèn)可度的角度，行業(yè)對認(rèn)證過程和結(jié)果的信任度主要取決于行業(yè)對于參與認(rèn)證功能單元，特別是提供認(rèn)證運(yùn)算和認(rèn)證協(xié)議處理的硬件載體的認(rèn)可度。因此，普通垂直行業(yè)認(rèn)可虛擬認(rèn)證卡或者信任運(yùn)營商或其他的認(rèn)證介質(zhì)，而關(guān)鍵行業(yè)則不會信任運(yùn)營商或其他的認(rèn)證介質(zhì)，其只認(rèn)可其專用認(rèn)證介質(zhì)[10]。

從認(rèn)證算法和協(xié)議對通信特征的適應(yīng)性的角度，主認(rèn)證的AKA 協(xié)議是一種基于對稱密碼體制的比較中性的認(rèn)證協(xié)議，強(qiáng)度不低并且開銷也不高，因此可以用于高強(qiáng)度、低功耗以及低時延的應(yīng)用場景[11]。對于專用認(rèn)證而言，由于其往往更加追求極致體驗(yàn)，會有專門的高強(qiáng)度、低功耗以及低時延認(rèn)證算法和協(xié)議，以適應(yīng)不同的應(yīng)用場景的通信特征[12-13]。

2.2 總體設(shè)計

為了能夠兼顧行業(yè)對認(rèn)證安全性的要求、認(rèn)證對通信特征適應(yīng)性的要求以及運(yùn)營商為行業(yè)提供的不同應(yīng)用模式的要求，提出一種適用于多種移動場景的融合認(rèn)證機(jī)制，如圖3 所示。該認(rèn)證機(jī)制的核心思想是根據(jù)場景特點(diǎn)，將終端側(cè)和網(wǎng)絡(luò)側(cè)認(rèn)證的通信功能、認(rèn)證協(xié)議處理和認(rèn)證計算處理等功能進(jìn)行解耦設(shè)計和按需分離部署，以適應(yīng)行業(yè)對認(rèn)證載體、認(rèn)證體制、通信信道特征等的要求。

圖3 適用于多種移動場景的融合認(rèn)證機(jī)制

圖3 中，認(rèn)證機(jī)制分為3 層，分別是主認(rèn)證、二次認(rèn)證和切片認(rèn)證、用戶面認(rèn)證。其中，用戶面認(rèn)證利益相關(guān)方最單純，由行業(yè)自行提供，運(yùn)營商不參與，并且其驗(yàn)證目標(biāo)是行業(yè)用戶在終端上嵌入的安全模塊。用戶面認(rèn)證通過之后，行業(yè)用戶就認(rèn)為移動終端是合法的。但其缺陷在于用戶面認(rèn)證發(fā)生在通信連接建立之后，安全性弱于在通信連接建立之前進(jìn)行認(rèn)證。

主認(rèn)證分為專線模式和專網(wǎng)模式兩種情況。它們的共同點(diǎn)在于認(rèn)證體制均完全遵循3GPP 標(biāo)準(zhǔn)，并且通信協(xié)議處理、認(rèn)證協(xié)議處理由移動終端和UDM 網(wǎng)元處理。它們的區(qū)別在于提供認(rèn)證計算的載體本身的安全性是否具有行業(yè)認(rèn)可度，具體如下文所述。

（1）專線模式情況下，主認(rèn)證完全依托運(yùn)營商，由運(yùn)營商基于國際標(biāo)準(zhǔn)認(rèn)證協(xié)議和算法提供雙向接入認(rèn)證，客戶端為運(yùn)營商發(fā)行的USIM 卡，服務(wù)端為標(biāo)準(zhǔn)的核心網(wǎng)UDM 網(wǎng)元。這種情況下，計算處理終端側(cè)認(rèn)證由標(biāo)準(zhǔn)USIM 卡提供，網(wǎng)絡(luò)側(cè)由標(biāo)準(zhǔn)UDM 完成。此外，普通垂直行業(yè)可信任運(yùn)營商的接入認(rèn)證，而關(guān)鍵行業(yè)則不信任運(yùn)營商的接入認(rèn)證，主要依賴于后面兩重認(rèn)證。

（2）專網(wǎng)模式情況下，主認(rèn)證則由運(yùn)營商和行業(yè)共同提供基于標(biāo)準(zhǔn)AKA 協(xié)議和國產(chǎn)或?qū)Ｓ谜J(rèn)證算法的雙向接入認(rèn)證?？蛻舳藶檫\(yùn)營商與行業(yè)聯(lián)合發(fā)行的基于行業(yè)認(rèn)可的載體研制的安全增強(qiáng)USIM 卡，完成認(rèn)證計算處理的安全增強(qiáng)。服務(wù)端為運(yùn)營商提供的專用UDM 網(wǎng)元，負(fù)責(zé)通信功能和認(rèn)證協(xié)議處理部分，面向核心網(wǎng)提供標(biāo)準(zhǔn)UDM 的接口，面向認(rèn)證服務(wù)器提供專用認(rèn)證調(diào)用接口，以實(shí)現(xiàn)國產(chǎn)和專用認(rèn)證運(yùn)算的嵌入。行業(yè)提供的認(rèn)證服務(wù)器，提供第三方的認(rèn)證計算處理的安全增強(qiáng)。這種情況主要面向體量比較大的關(guān)鍵行業(yè)，同時由于針對主認(rèn)證進(jìn)行了安全增強(qiáng)，因此關(guān)鍵行業(yè)會信任本次接入認(rèn)證。

二次認(rèn)證和切片認(rèn)證本身就是移動通信網(wǎng)絡(luò)為行業(yè)提供的高度靈活的認(rèn)證機(jī)制。二次認(rèn)證用于專項(xiàng)模式情況，切片認(rèn)證用于專網(wǎng)模式情況。其認(rèn)證均發(fā)生在通信連接建立之前，認(rèn)證通道由運(yùn)營商提供，但認(rèn)證體制又由行業(yè)提供，安全性較高，并且利益相關(guān)方同時包含運(yùn)營商和行業(yè)，因此最為復(fù)雜。下面專門針對適用于多種移動場景的二次認(rèn)證和切片認(rèn)證機(jī)制進(jìn)行展開描述。

根據(jù)行業(yè)對認(rèn)證安全性與合規(guī)性要求以及信道特征對認(rèn)證協(xié)議與其承載通信協(xié)議的適應(yīng)性要求，將終端側(cè)認(rèn)證功能分解為終端側(cè)認(rèn)證載體、認(rèn)證客戶端軟件、EAP客戶端軟件以及AAA服務(wù)器軟硬件、認(rèn)證服務(wù)器軟硬件，從而實(shí)現(xiàn)通信功能與認(rèn)證功能間的去耦合。通過終端側(cè)和網(wǎng)絡(luò)側(cè)雙方靈活性支持的配合，最終滿足二次認(rèn)證在架構(gòu)上各種差異化的需求，同時滿足各功能實(shí)體靈活部署的需求，具體如下文所述。

（1）終端側(cè)認(rèn)證載體提供認(rèn)證計算處理功能。該載體可以是硬件實(shí)體，也可以是虛擬實(shí)體。通過認(rèn)證載體的剝離，實(shí)現(xiàn)認(rèn)證協(xié)議與認(rèn)證計算的去耦合，提供認(rèn)證算法體制的差異化能力，支持普通垂直行業(yè)或關(guān)鍵行業(yè)用戶，也可提供認(rèn)證能力的差異化能力，支持超高速、低時延以及低功耗等認(rèn)證能力。

（2）認(rèn)證客戶端軟件提供終端側(cè)認(rèn)證協(xié)議的解析與封裝，通過二次認(rèn)證客戶端軟件的剝離，提供認(rèn)證協(xié)議的差異化能力，可支持高強(qiáng)度認(rèn)證能力、低開銷窄帶認(rèn)證能力及低時延認(rèn)證能力。

（3）EAP 客戶端軟件實(shí)現(xiàn)EAP 承載協(xié)議的解析與封裝，通過EAP 客戶端的剝離，實(shí)現(xiàn)差異化的承載開銷，從而可通過EAP 客戶端部署位置的差異化來適應(yīng)寬帶和窄帶網(wǎng)絡(luò)特征。

（4）AAA 服務(wù)器提供認(rèn)證功能以外的其他通用功能，包括底層通信及EAP 承載相關(guān)功能。

（5）認(rèn)證服務(wù)器軟硬件提供認(rèn)證計算及協(xié)議的封裝與解析，通過在網(wǎng)絡(luò)側(cè)將通信功能與認(rèn)證功能剝離，提供差異化的二次認(rèn)證能力。

其中，EAP客戶端軟件與AAA服務(wù)器成對使用，提供底層EAP 的對等交互；認(rèn)證載體、認(rèn)證客戶端軟件與認(rèn)證服務(wù)器軟硬件成對使用，提供上層認(rèn)證的對等交互。通過以上兩個層次的配合，在不對移動通信網(wǎng)絡(luò)提要求的情況下，提供有差異化能力的二次認(rèn)證和切片認(rèn)證功能。

在面向不同的典型移動場景的情況下，由于不同移動場景的移動通信網(wǎng)絡(luò)的能力和特點(diǎn)差異很大，因此通過終端側(cè)認(rèn)證載體、認(rèn)證客戶端軟件和EAP 客戶端軟件，以及網(wǎng)絡(luò)側(cè)AAA 服務(wù)器和二次認(rèn)證服務(wù)器的分離部署，來按需提供靈活性和差異化能力。對于普通安全等級的場景，通常采用專線模式，主認(rèn)證完全依托運(yùn)營商，行業(yè)提供適合于特定移動場景通信特征的、基于國產(chǎn)體制的二次認(rèn)證或者用戶面認(rèn)證。而對于高安全等級的場景，則需要考慮得更多，下面具體分情況進(jìn)行描述。

2.2.1 高安全等級eMBB 專線場景

高安全等級增強(qiáng)移動寬帶（enhanced Mobile Broadband，eMBB）的專線場景主要面向中小型體量的關(guān)鍵行業(yè)，通信基礎(chǔ)設(shè)施完全由運(yùn)營商提供。這種情況下，運(yùn)營商提供主認(rèn)證，但是行業(yè)不信任運(yùn)營商的主認(rèn)證。運(yùn)營商和行業(yè)聯(lián)合提供二次認(rèn)證，并且行業(yè)額外再提供單獨(dú)的用戶面認(rèn)證作為第二重專用認(rèn)證。

高安全等級eMBB 專線場景的應(yīng)用方式如圖4所示。在終端側(cè)認(rèn)證載體方面，單獨(dú)配備計算資源豐富的實(shí)體認(rèn)證卡作為二次認(rèn)證載體，提升認(rèn)證強(qiáng)度。此外，可采用支持生物特征配合證書的二次認(rèn)證客戶端軟件來提高易用性。在功能部署方面，將EAP 客戶端軟件與二次認(rèn)證客戶端軟件進(jìn)行融合設(shè)計，由二次認(rèn)證客戶端及服務(wù)器軟件實(shí)現(xiàn)高強(qiáng)度的認(rèn)證協(xié)議。在行業(yè)安全需求方面，對于關(guān)鍵行業(yè)，使用有專用認(rèn)證算法資質(zhì)的終端側(cè)認(rèn)證載體和二次認(rèn)證服務(wù)器硬件，配合提供標(biāo)準(zhǔn)認(rèn)證協(xié)議的客戶端及服務(wù)器軟件來實(shí)現(xiàn)專用體制的二次認(rèn)證功能。二次認(rèn)證基于高強(qiáng)度認(rèn)證協(xié)議，采用專用認(rèn)證算法，其流程如圖5 所示。

圖4 高安全等級eMBB 專線場景的應(yīng)用方式

圖5 基于專用高強(qiáng)度認(rèn)證機(jī)制的二次認(rèn)證流程

2.2.2 高安全等級mMTC 專線場景

高安全等級低功耗大連接（massive Machine Type Communication，mMTC）專線場景同樣主要面向中小型體量的關(guān)鍵行業(yè)，通信基礎(chǔ)設(shè)施完全由運(yùn)營商提供。同樣的，運(yùn)營商提供主認(rèn)證，但是行業(yè)不信任運(yùn)營商的主認(rèn)證，運(yùn)營商和行業(yè)聯(lián)合提供二次認(rèn)證，行業(yè)可根據(jù)需要額外提供單獨(dú)的用戶面認(rèn)證作為第二重專用認(rèn)證。

安全等級mMTC 場景的應(yīng)用方式如圖6 所示。在終端側(cè)認(rèn)證載體方面，復(fù)用專用eSIM 模塊提供專用的二次認(rèn)證，可采用支持用戶名口令的二次認(rèn)證客戶端軟件來提高易用性。另外，可根據(jù)需要單獨(dú)配備低功耗的實(shí)體認(rèn)證卡作為用戶面認(rèn)證載體增強(qiáng)安全強(qiáng)度，并可采用支持對稱密碼的用戶面認(rèn)證客戶端。在功能部署方面，將EAP 客戶端軟件與二次認(rèn)證客戶端軟件融合設(shè)計，由二次認(rèn)證客戶端及服務(wù)器軟件實(shí)現(xiàn)輕量級的認(rèn)證協(xié)議。在行業(yè)安全需求方面，對于關(guān)鍵行業(yè)，使用有專用認(rèn)證算法資質(zhì)的終端側(cè)認(rèn)證載體和二次認(rèn)證服務(wù)器硬件，配合提供標(biāo)準(zhǔn)認(rèn)證協(xié)議的客戶端及服務(wù)器軟件，來實(shí)現(xiàn)專用體制的二次認(rèn)證功能。二次認(rèn)證基于專用輕量級認(rèn)證協(xié)議，采用專用認(rèn)證算法，其流程如圖6所示。

圖6 高安全等級mMTC 場景的應(yīng)用方式

圖7 基于專用輕量級機(jī)制的二次認(rèn)證流程

2.2.3 高安全等級uRLLC 專線場景

高安全等級低時延高可靠（Ultra-Reliable Low-Latency Communications，uRLLC）場景，也主要面向中小型體量的關(guān)鍵行業(yè)，通信基礎(chǔ)設(shè)施完全由運(yùn)營商提供。同樣的，運(yùn)營商提供主認(rèn)證，但是行業(yè)不信任運(yùn)營商的主認(rèn)證，運(yùn)營商和行業(yè)聯(lián)合提供快速的二次認(rèn)證。

高安全等級uRLLC 場景的應(yīng)用方式如圖8 所示。在終端側(cè)認(rèn)證載體方面，采用專用高速認(rèn)證卡提供專用的低時延二次認(rèn)證。另外，可根據(jù)需要單獨(dú)配備低功耗的實(shí)體認(rèn)證卡作為用戶面認(rèn)證載體增強(qiáng)安全強(qiáng)度，并可采用支持對稱密碼的用戶面認(rèn)證客戶端。在功能部署方面，將EAP 客戶端軟件與二次認(rèn)證客戶端軟件融合設(shè)計，由二次認(rèn)證客戶端及服務(wù)器軟件實(shí)現(xiàn)低時延的認(rèn)證協(xié)議。在行業(yè)安全需求方面，對于關(guān)鍵行業(yè)，使用有專用認(rèn)證算法資質(zhì)的終端側(cè)認(rèn)證載體和二次認(rèn)證服務(wù)器硬件，配合提供標(biāo)準(zhǔn)認(rèn)證協(xié)議的客戶端及服務(wù)器軟件來提供專用體制的二次認(rèn)證功能。二次認(rèn)證基于專用輕量級認(rèn)證協(xié)議，采用專用認(rèn)證算法，其流程如圖9 所示。

圖8 高安全等級uRLLC 場景的應(yīng)用方式

圖9 基于專用輕量級機(jī)制的二次認(rèn)證流程

2.2.4 高安全等級專網(wǎng)場景

高安全等級的專網(wǎng)場景主要面向大型體量的、有更高安全需求的關(guān)鍵行業(yè)，由行業(yè)和運(yùn)營商共同提供通信基礎(chǔ)設(shè)施。這種情況下，運(yùn)營商和行業(yè)聯(lián)合定制專用網(wǎng)絡(luò)切片。這個專用網(wǎng)絡(luò)切片由運(yùn)營商和行業(yè)聯(lián)合提供行業(yè)信任的主認(rèn)證及切片認(rèn)證。行業(yè)可額外再按需提供單獨(dú)的用戶面認(rèn)證作為第三重專用認(rèn)證。

高安全等級的專網(wǎng)場景的應(yīng)用方式具體如圖10所示。在終端側(cè)認(rèn)證載體方面，單獨(dú)配備基于有專用認(rèn)證算法資質(zhì)的增強(qiáng)USIM 卡提供增強(qiáng)主認(rèn)證，再額外配備計算資源豐富的實(shí)體認(rèn)證卡作為切片認(rèn)證載體提升認(rèn)證強(qiáng)度，并可采用支持生物特征配合證書的切片認(rèn)證客戶端軟件來提高易用性。在功能部署方面，將主認(rèn)證的通信功能和認(rèn)證功能分離為專用UDM 和主認(rèn)證服務(wù)器，并將EAP 客戶端軟件與切片認(rèn)證客戶端軟件融合設(shè)計，由切片認(rèn)證客戶端及服務(wù)器軟件實(shí)現(xiàn)高強(qiáng)度的認(rèn)證協(xié)議。在行業(yè)安全需求方面，對于關(guān)鍵行業(yè)，使用有專用認(rèn)證算法資質(zhì)的終端側(cè)認(rèn)證載體和切片認(rèn)證服務(wù)器硬件，配合提供專用認(rèn)證協(xié)議的客戶端及服務(wù)器軟件來實(shí)現(xiàn)專用體制的切片認(rèn)證功能。

圖10 高安全等級eMBB 專網(wǎng)場景的應(yīng)用方式

具體而言，主認(rèn)證采用基于3GPP 標(biāo)準(zhǔn)5G AKA 或EAP-AKA’認(rèn)證協(xié)議和專用認(rèn)證算法的安全增強(qiáng)機(jī)制。切片認(rèn)證和用戶面認(rèn)證，均基于行業(yè)專用認(rèn)證協(xié)議，采用專用認(rèn)證算法。其認(rèn)證協(xié)議和認(rèn)證算法與前面幾種專線場景的二次認(rèn)證類似，需適應(yīng)相應(yīng)移動場景的通信特征，即eMBB 場景需要采用高強(qiáng)度的認(rèn)證體制，mMTC 場景需要采用低功耗的輕量級認(rèn)證體制，uRLLC 場景需要采用低時延的快速認(rèn)證體制。

3 融合認(rèn)證機(jī)制試驗(yàn)驗(yàn)證

由于當(dāng)前5G 終端、基站以及核心網(wǎng)等產(chǎn)業(yè)鏈資源均基于3GPP R15 版本構(gòu)建，不支持mMTC 場景、uRLLC 場景以及二次認(rèn)證機(jī)制。因此，采用不同的驗(yàn)證環(huán)境對主認(rèn)證、二次認(rèn)證和切片認(rèn)證以及用戶面認(rèn)證分別進(jìn)行有針對性的驗(yàn)證。其中，搭建實(shí)物環(huán)境對主認(rèn)證和用戶面認(rèn)證機(jī)制進(jìn)行驗(yàn)證，搭建半實(shí)物仿真系統(tǒng)對二次認(rèn)證/切片認(rèn)證機(jī)制進(jìn)行驗(yàn)證。

3.1 實(shí)物驗(yàn)證

本文依托從運(yùn)營商租賃的標(biāo)準(zhǔn)商用5G 網(wǎng)絡(luò)設(shè)備，構(gòu)建eMBB 實(shí)物場景、mMTC 模擬場景和uRLLC 模擬場景，并分別基于該網(wǎng)絡(luò)對主認(rèn)證安全增強(qiáng)、專用用戶面認(rèn)證進(jìn)行試驗(yàn)驗(yàn)證。

3.1.1 eMBB 實(shí)物場景

eMBB 實(shí)物場景基于5G 成熟產(chǎn)業(yè)鏈構(gòu)建，可驗(yàn)證eMBB 專線和專網(wǎng)兩種場景。專線情況下，使用標(biāo)準(zhǔn)UDM 網(wǎng)元；專網(wǎng)情況下，采用專用UDM 網(wǎng)元加控制面安全增強(qiáng)設(shè)備。網(wǎng)絡(luò)拓?fù)淙鐖D11 所示。

圖11 eMBB 專網(wǎng)場景試驗(yàn)驗(yàn)證環(huán)境網(wǎng)絡(luò)拓?fù)?/p>

試驗(yàn)驗(yàn)證環(huán)境包括用戶終端、基站、核心網(wǎng)、應(yīng)用以及安全增強(qiáng)設(shè)備。其中，安全增強(qiáng)SIM 卡中嵌入了國產(chǎn)或?qū)Ｓ玫恼J(rèn)證算法。專用UDM 網(wǎng)元除了具備標(biāo)準(zhǔn)UDM 的全部功能，還開放與控制面安全增強(qiáng)服務(wù)之間交互的接口，用于嵌入其安全增強(qiáng)能力?？刂泼姘踩鰪?qiáng)服務(wù)設(shè)備提供國產(chǎn)或?qū)Ｓ玫恼J(rèn)證算法。安全組件、VPN 網(wǎng)關(guān)、匯聚VPN 網(wǎng)關(guān)提供用戶面認(rèn)證功能，采用基于專用體制的、高強(qiáng)度的認(rèn)證算法和認(rèn)證協(xié)議。試驗(yàn)驗(yàn)證情況具體如下。

（1）主認(rèn)證安全增強(qiáng)機(jī)制驗(yàn)證。通過SIM 卡讀寫卡器，為安全增強(qiáng)SIM 卡和標(biāo)準(zhǔn)SIM 卡同時寫入相同的參數(shù)，包括相同的國際移動用戶識別碼（International Mobile Subscriber Identity，IMSI）以及根密鑰K 等。然后將寫入了相同參數(shù)的安全增強(qiáng)SIM 卡和標(biāo)準(zhǔn)SIM 卡插入相同的移動智能終端，經(jīng)過試驗(yàn)驗(yàn)證發(fā)現(xiàn)，只有插入了安全增強(qiáng)SIM 卡的手機(jī)能夠通過接入認(rèn)證，從而有效驗(yàn)證了主認(rèn)證的安全增強(qiáng)機(jī)制。

（2）專用用戶面認(rèn)證機(jī)制驗(yàn)證。啟動終端側(cè)安全組件、虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）網(wǎng)關(guān)，以及網(wǎng)絡(luò)側(cè)匯聚VPN 網(wǎng)關(guān)，經(jīng)過試驗(yàn)驗(yàn)證發(fā)現(xiàn)，只有完成用戶面認(rèn)證后，加密業(yè)務(wù)才能正常開展。通過wireshark 抓包可以看到高強(qiáng)度專用認(rèn)證協(xié)議的報文格式，從而有效驗(yàn)證基于專用體制的用戶面認(rèn)證。

3.1.2 mMTC 模擬場景

由于3GPP R15 暫未對mMTC 場景進(jìn)行細(xì)化，因此mMTC 采用模擬方式構(gòu)建，其模擬場景基于4G NB-IoT 產(chǎn)業(yè)鏈資源模擬構(gòu)建，如圖12 所示。

圖12 mMTC 模擬場景試驗(yàn)驗(yàn)證環(huán)境網(wǎng)絡(luò)拓?fù)?/p>

試驗(yàn)驗(yàn)證環(huán)境包括用戶終端、基站、核心網(wǎng)、應(yīng)用以及安全增強(qiáng)設(shè)備。

其中，主認(rèn)證遵循標(biāo)準(zhǔn)安全機(jī)制。NB-IoT 終端中集成標(biāo)準(zhǔn)物聯(lián)網(wǎng)通信模組5310-A、應(yīng)用處理器、環(huán)境傳感器、標(biāo)準(zhǔn)USIM 卡，并通過嵌入安全組件提供用戶面專用認(rèn)證，與網(wǎng)絡(luò)側(cè)配備的物聯(lián)網(wǎng)安全網(wǎng)關(guān)配合使用。專用認(rèn)證采用基于專用體制的、低功耗輕量級的認(rèn)證算法和認(rèn)證協(xié)議。下面對專用用戶面認(rèn)證機(jī)制進(jìn)行驗(yàn)證。

啟動NB-IoT 終端、物聯(lián)網(wǎng)安全網(wǎng)關(guān)，經(jīng)過試驗(yàn)驗(yàn)證發(fā)現(xiàn)，只有完成用戶面認(rèn)證后，加密業(yè)務(wù)才能正常開展。同時，只有嵌入了安全組件的NBIoT 終端才能與應(yīng)用服務(wù)器完成業(yè)務(wù)交互。通過wireshark 抓包可以看到低功耗的輕量級專用認(rèn)證協(xié)議的報文格式，從而有效驗(yàn)證了基于專用體制的用戶面認(rèn)證。

3.1.3 uRLLC 模擬場景

由于3GPP R15 暫未對uRLLC 場景進(jìn)行細(xì)化，因此uRLLC 采用模擬方式構(gòu)建，其模擬場景基于eMBB 產(chǎn)業(yè)鏈資源和運(yùn)用邊緣計算（Mobile Edge Computing，MEC）技術(shù)模擬構(gòu)建，如圖13 所示。

圖13 uRLLC 模擬場景試驗(yàn)驗(yàn)證環(huán)境網(wǎng)絡(luò)拓?fù)?/p>

試驗(yàn)驗(yàn)證環(huán)境包括用戶終端、基站、核心網(wǎng)、MEC 節(jié)點(diǎn)、應(yīng)用以及安全增強(qiáng)設(shè)備。

其中，主認(rèn)證遵循標(biāo)準(zhǔn)安全機(jī)制。移動終端通過嵌入安全組件或VPN 網(wǎng)關(guān)提供用戶面專用認(rèn)證，與邊緣側(cè)配備的VPN 網(wǎng)關(guān)配合使用。專用認(rèn)證采用基于專用體制的、低時延的快速認(rèn)證算法和認(rèn)證協(xié)議。下面對專用用戶面認(rèn)證機(jī)制進(jìn)行驗(yàn)證。

啟動終端側(cè)安全組件、VPN 網(wǎng)關(guān)，以及邊緣側(cè)VPN 網(wǎng)關(guān)，經(jīng)過試驗(yàn)驗(yàn)證發(fā)現(xiàn)，只有完成用戶面認(rèn)證后，加密業(yè)務(wù)才能正常開展。通過wireshark 抓包可以看到低時延、快速的專用認(rèn)證協(xié)議的報文格式，從而有效驗(yàn)證了基于專用體制的用戶面認(rèn)證。

3.2 半實(shí)物仿真驗(yàn)證

半實(shí)物仿真驗(yàn)證系統(tǒng)基于開源空中接口（Open Air Interface，OAI）、開源軟件系統(tǒng)、通用服務(wù)器平臺以及自研的射頻模塊構(gòu)建?？紤]到二次認(rèn)證和切片認(rèn)證只是部署位置不同，其認(rèn)證的承載體制和開放給第三方認(rèn)證服務(wù)器的方式基本一樣，因此在半實(shí)物仿真系統(tǒng)中重點(diǎn)對二次認(rèn)證機(jī)制進(jìn)行驗(yàn)證。半實(shí)物仿真驗(yàn)證環(huán)境的網(wǎng)絡(luò)拓?fù)淙鐖D14 所示。網(wǎng)絡(luò)環(huán)境中實(shí)物部分和仿真部分的配置關(guān)系如圖15所示。

圖14 半實(shí)物仿真驗(yàn)證環(huán)境網(wǎng)絡(luò)拓?fù)?/p>

圖15 半實(shí)物仿真驗(yàn)證網(wǎng)絡(luò)環(huán)境配置

試驗(yàn)驗(yàn)證環(huán)境包括用戶終端、基站、核心網(wǎng)、MEC 節(jié)點(diǎn)、應(yīng)用以及安全增強(qiáng)設(shè)備。

其中，在終端側(cè)OAI 系統(tǒng)的軟件中，嵌入二次認(rèn)證客戶端軟件和EAP 客戶端軟件。在網(wǎng)絡(luò)側(cè)OAI系統(tǒng)外部掛接二次認(rèn)證服務(wù)器，即在用戶面功能（User Plan Function，UPF）網(wǎng)元與應(yīng)用系統(tǒng)之間串接二次認(rèn)證服務(wù)器。試驗(yàn)驗(yàn)證情況具體如下。

（1）二次認(rèn)證的EAP 承載機(jī)制驗(yàn)證。通過wireshark 抓包可以看到系統(tǒng)提供了移動終端在進(jìn)入應(yīng)用系統(tǒng)之間的基于EAP 承載的二次認(rèn)證流程，包括UE 與DN-AAA 之間交互的認(rèn)證請求消息Access-Request、認(rèn)證響應(yīng)消息Access-Challenge、認(rèn)證成功消息Access-Accept，從而有效驗(yàn)證了EAP 承載機(jī)制。

（2）二次認(rèn)證的上層認(rèn)證機(jī)制驗(yàn)證。通過wireshark 抓包可以看到EAP 之上承載的認(rèn)證協(xié)議分三次啟動，第一次運(yùn)行高強(qiáng)度的專用認(rèn)證協(xié)議，第二次運(yùn)行低功耗的輕量級專用認(rèn)證協(xié)議，第三次運(yùn)行低時延、快速的專用認(rèn)證協(xié)議，從而有效驗(yàn)證了二次認(rèn)證可以靈活支持不同的移動場景。

4 結(jié)語

隨著5G 標(biāo)準(zhǔn)的完善、5G 設(shè)備的成熟以及運(yùn)營商5G 網(wǎng)絡(luò)的逐步廣泛覆蓋，5G 面向行業(yè)應(yīng)用的解決方案也會越來越成熟。本文從5G 標(biāo)準(zhǔn)演進(jìn)趨勢以及行業(yè)和運(yùn)營商對認(rèn)證的需求出發(fā)，提出了一種全新的、靈活性較高的、適用于多種移動場景的融合認(rèn)證機(jī)制，能夠同時兼顧不同移動場景對認(rèn)證機(jī)制的通信適應(yīng)性的要求，以及運(yùn)營商、行業(yè)對認(rèn)證安全性的要求。所提機(jī)制既能夠適用于普通垂直行業(yè)應(yīng)用，又能夠適用于關(guān)鍵行業(yè)應(yīng)用；既能夠適用于專線模式的應(yīng)用，又能夠適用于專網(wǎng)模式的應(yīng)用。本文研究能夠?yàn)槲磥砻嫦蛴胁町惢甙踩枨蟮母鞣N垂直行業(yè)的5G 應(yīng)用提供理論支撐和方案參考。