可應(yīng)用于5G 網(wǎng)絡(luò)的垂直行業(yè)二次認(rèn)證方法淺析*

王建英，呂俟林，許建明

（1.解放軍總醫(yī)院醫(yī)療保障中心信息科，北京 100000；2.解放軍31006 部隊(duì)，北京 100000；3.中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041)

0 引言

5G 定義了三大應(yīng)用場景，即eMBB（Enhanced Mobile Broadband，增強(qiáng)型移動(dòng)寬帶）、mMTC(Massive Machine-Type Communications，海量機(jī)器類通信)、uRLLC（Ultra-reliable and Low-latency Communications，超可靠、低時(shí)延通信），與4G 相比，5G 全新的網(wǎng)絡(luò)架構(gòu)能夠提供十倍以上的峰值速率、千億級別的連接能力以及毫秒級的傳輸時(shí)延。5G 將開啟萬物互聯(lián)的新時(shí)代，工業(yè)、農(nóng)業(yè)、金融、交通等垂直行業(yè)存在著巨大的市場潛力，5G 時(shí)代電信運(yùn)營商將完成以面向普通公眾用戶為主到面向公眾和垂直行業(yè)并重的轉(zhuǎn)變。對于普通公眾用戶，在接入互聯(lián)網(wǎng)之前首先需要完成移動(dòng)通信網(wǎng)絡(luò)的主認(rèn)證鑒權(quán)，以驗(yàn)證其身份的合法性，而對于垂直行業(yè)用戶，他們所訪問的數(shù)據(jù)業(yè)務(wù)網(wǎng)絡(luò)通常關(guān)系國家安全、國計(jì)民生或商業(yè)機(jī)密，相較于普通公眾用戶有著更高的安全保密需求，因此除了要通過移動(dòng)網(wǎng)絡(luò)的主認(rèn)證鑒權(quán)，通常還需要通過數(shù)據(jù)網(wǎng)絡(luò)的二次認(rèn)證[1]。

2019 年是5G 商業(yè)元年，目前各大運(yùn)營商所開通的5G 業(yè)務(wù)大都基于NSA 架構(gòu)，未來將逐步向SA 架構(gòu)演進(jìn)。在NSA 架構(gòu)下，移動(dòng)通信網(wǎng)絡(luò)空口部分屬于5G，而核心網(wǎng)部分仍然屬于4G，因此二次認(rèn)證方式與4G 網(wǎng)絡(luò)沒有太大區(qū)別。在SA 架構(gòu)下，除了可以繼續(xù)沿用4G 網(wǎng)絡(luò)中的方法以外，3GPP 標(biāo)準(zhǔn)還可選地定義了5G 二次身份認(rèn)證，由NAS 信令承載認(rèn)證消息，并允許用戶對認(rèn)證協(xié)議和算法進(jìn)行定制。本文將分別對當(dāng)前4G 網(wǎng)絡(luò)中常用的安全網(wǎng)關(guān)認(rèn)證、VPDN 用戶認(rèn)證，以及5G SA 架構(gòu)下的5G二次身份認(rèn)證進(jìn)行分析比較，期望能夠?yàn)楦鞔怪毙袠I(yè)用戶的選擇提供一定參考。

1 可應(yīng)用于5G 網(wǎng)絡(luò)的二次認(rèn)證方法

1.1 安全網(wǎng)關(guān)認(rèn)證

基于安全網(wǎng)關(guān)的二次認(rèn)證通過在用戶應(yīng)用服務(wù)器前端部署安全網(wǎng)關(guān)以及在用戶終端設(shè)備上安裝相應(yīng)的認(rèn)證客戶端程序?qū)崿F(xiàn)，如圖1 所示。

圖1 安全網(wǎng)關(guān)認(rèn)證方案

用戶通過安全網(wǎng)關(guān)進(jìn)行二次認(rèn)證訪問數(shù)據(jù)業(yè)務(wù)網(wǎng)絡(luò)的流程如圖2 所示。

圖2 安全網(wǎng)關(guān)認(rèn)證流程

終端在完成5G 移動(dòng)網(wǎng)絡(luò)的主認(rèn)證鑒權(quán)之后，5G 網(wǎng)絡(luò)將為其建立起用戶面數(shù)據(jù)通道，隨后用戶可以利用終端上的認(rèn)證客戶端軟件輸入身份憑證，如口令、人臉、指紋等[2]，并連接到安全網(wǎng)關(guān)，與認(rèn)證服務(wù)程序交互進(jìn)行二次身份認(rèn)證，在通過二次認(rèn)證后便可訪問應(yīng)用服務(wù)器處理業(yè)務(wù)。

在該方案中，安全網(wǎng)關(guān)由行業(yè)用戶自建并放置于用戶機(jī)房內(nèi)自行維護(hù)，運(yùn)營商僅提供數(shù)據(jù)傳輸通道，具有建設(shè)周期短、成本低，運(yùn)維管理方便等特點(diǎn)。

1.2 VPDN 身份認(rèn)證

VPDN 是一種在互聯(lián)網(wǎng)公網(wǎng)上通過加密隧道進(jìn)行通信以達(dá)到類似于私有專用網(wǎng)絡(luò)效果的虛擬專網(wǎng)技術(shù)[3]。用戶需要使用該方案實(shí)現(xiàn)二次認(rèn)證只需要向運(yùn)營商申請VPDN 專線接入即可，圖3 所示為典型的VPDN 接入方案。

圖3 VPDN 專線接入方案

用戶通過VPDN 接入數(shù)據(jù)業(yè)務(wù)網(wǎng)絡(luò)的流程如下所述：

（1）用戶在終端設(shè)備中設(shè)置好屬于自己的專用APN，終端設(shè)備在主認(rèn)證過程中將VPDN APN 信息發(fā)送給移動(dòng)網(wǎng)絡(luò)；

（2）完成主認(rèn)證鑒權(quán)后，核心網(wǎng)PGW 網(wǎng)元在為終端建立用戶面數(shù)據(jù)通道時(shí)，發(fā)現(xiàn)用戶使用的是VPDN 專業(yè)APN，將用戶名與密碼信息發(fā)送給LNS請求進(jìn)行二次認(rèn)證；

（3）LNS 將認(rèn)證信息封裝成Radius 包發(fā)送給二次認(rèn)證AAA 服務(wù)器進(jìn)行認(rèn)證；

（4）通過二次認(rèn)證之后，將為用戶分配IP 地址，并在PGW 和LNS 之間建立L2TP 隧道，用以傳輸用戶數(shù)據(jù)。

在該方案中，需要由運(yùn)營商投資建設(shè)并在行業(yè)用戶側(cè)部署LNS 及AAA 設(shè)備，并由運(yùn)營商負(fù)責(zé)用戶的二次認(rèn)證鑒權(quán)管理，而用戶則需要支付相應(yīng)服務(wù)費(fèi)用。

1.3 5G 二次身份認(rèn)證

5G SA 組網(wǎng)架構(gòu)在設(shè)計(jì)時(shí)充分考慮了面向垂直行業(yè)的應(yīng)用需要，引入了網(wǎng)絡(luò)切片技術(shù)，將一個(gè)物理網(wǎng)絡(luò)分割成多個(gè)虛擬的端到端網(wǎng)絡(luò)，每個(gè)虛擬網(wǎng)絡(luò)之間邏輯獨(dú)立，用不同的網(wǎng)絡(luò)切片為不同的行業(yè)用戶提供服務(wù)。在安全性方面，系統(tǒng)內(nèi)生地支持用戶接入二次身份認(rèn)證，以保護(hù)數(shù)據(jù)網(wǎng)絡(luò)免遭非法用戶的侵害。圖4 所示為5G SA 組網(wǎng)網(wǎng)絡(luò)架構(gòu)。

圖4 5G SA 組網(wǎng)網(wǎng)絡(luò)架構(gòu)

用戶終端在訪問數(shù)據(jù)業(yè)務(wù)網(wǎng)絡(luò)前首先需要完成與UDM 及AUSF 之間的主認(rèn)證鑒權(quán)，隨后SMF 網(wǎng)元在為其建立用戶面數(shù)據(jù)通道時(shí)將根據(jù)簽約信息決定是否發(fā)起二次身份認(rèn)證[4]。5G 二次身份認(rèn)證遵循可擴(kuò)展身份認(rèn)證協(xié)議EAP，認(rèn)證消息由NAS 信令承載，其中終端UE 作為被認(rèn)證端（Peer），SMF網(wǎng)元作為認(rèn)證端（Authenticator），AAA 作為認(rèn)證服務(wù)器（Server），圖5 所示為二次認(rèn)證流程[5]。

SMF網(wǎng)元向AAA服務(wù)器發(fā)出認(rèn)證開始的消息，并建立起UE 與AAA 之間的認(rèn)證通道，之后UE 和AAA 將經(jīng)過若干次EAP-Request/EAP-Response 消息交互，具體交互次數(shù)和交互內(nèi)容根據(jù)所使用的認(rèn)證協(xié)議而定，用戶可以使用PAP、CHAP、AKA、TLS 等公開協(xié)議，也可以自定義算法與協(xié)議，最后由AAA 向UE 發(fā)送認(rèn)證結(jié)果，二次認(rèn)證通過之后，5G 核心網(wǎng)將為終端建立到數(shù)據(jù)網(wǎng)絡(luò)的連接。

圖5 5G 二次身份認(rèn)證流程

在該方案中，運(yùn)營商為行業(yè)用戶提供了底層認(rèn)證通道，由用戶自己選擇或定制具體的算法和協(xié)議，AAA 服務(wù)器可以部署在用戶數(shù)據(jù)網(wǎng)絡(luò)中通過UPF與SMF 連接，也可以直接部署在運(yùn)營商機(jī)房內(nèi)與SMF 直接連接。

2 二次認(rèn)證方法選用建議

本文對安全網(wǎng)關(guān)認(rèn)證、VPDN 身份認(rèn)證及5G二次身份認(rèn)證三種方法從應(yīng)用場景、建設(shè)運(yùn)維方式、安全性、成本方面對比分析如表1 所示。

其中，安全網(wǎng)關(guān)認(rèn)證與5G 組網(wǎng)模式無關(guān)，在NSA 組網(wǎng)和SA 組網(wǎng)下都能適用，由用戶在應(yīng)用服務(wù)器前端建設(shè)部署安全網(wǎng)關(guān)設(shè)備，配合用戶終端設(shè)備上安裝的認(rèn)證客戶端程序，并借助運(yùn)營商數(shù)據(jù)通道共同完成二次認(rèn)證。由于是用戶自建自管，所以費(fèi)用成本主要是前期一次性建設(shè)投入較高，建成后使用過程中只需額外負(fù)擔(dān)少量的維護(hù)升級費(fèi)用。安全網(wǎng)關(guān)認(rèn)證完全掌控在用戶自己手中，整個(gè)過程不需要運(yùn)營商參與，且用戶可以選擇復(fù)雜的認(rèn)證方法，具有較高的安全性。

表1 二次認(rèn)證方法比較

VPDN 身份認(rèn)證屬于4G 階段專線用戶終端接入數(shù)據(jù)網(wǎng)絡(luò)的主流認(rèn)證方法，未來在5G NSA 階段還將延續(xù)使用，其認(rèn)證設(shè)施由運(yùn)營商建設(shè)部署并負(fù)責(zé)后期維護(hù)管理，用戶只需要向運(yùn)營商申請VPDN接入即可。成本包括前期較低的業(yè)務(wù)開通費(fèi)用，以及后期使用需要持續(xù)支付的較高的服務(wù)使用費(fèi)用。VPDN 身份認(rèn)證過程由運(yùn)營商負(fù)責(zé)完成，需要用戶與運(yùn)營商之間建立較強(qiáng)的信任關(guān)系，且這種方式采用簡單的用戶名和密碼進(jìn)行認(rèn)證，容易被非法用戶破解，因此安全性較低。

5G 二次身份認(rèn)證是國際標(biāo)準(zhǔn)協(xié)議里規(guī)定未來可能在SA 組網(wǎng)模式下使用的認(rèn)證方法，同VPDN身份認(rèn)證類似，其基礎(chǔ)設(shè)施由運(yùn)營商負(fù)責(zé)建設(shè)和維護(hù)，用戶向運(yùn)營商支付較低的開通費(fèi)用及較高的后期使用費(fèi)用，整個(gè)認(rèn)證過程主要由運(yùn)營商負(fù)責(zé)完成，需要用戶與運(yùn)營商之間建立較強(qiáng)的信任關(guān)系。與VPDN 身份認(rèn)證不同的是，5G 二次身份認(rèn)證允許用戶參與到認(rèn)證過程中，用戶不僅可以在現(xiàn)有的認(rèn)證協(xié)議中進(jìn)行選擇使用，甚至可以根據(jù)需要定制私有的協(xié)議與算法，因此具有更強(qiáng)的安全性。

通過以上分析本文建議，對時(shí)延、帶寬等網(wǎng)絡(luò)資源要求不高且業(yè)務(wù)安全性等級較低的用戶，沒有必要向運(yùn)營商租用VPDN 專線或?qū)Ｓ芯W(wǎng)絡(luò)切片，直接使用安全網(wǎng)關(guān)認(rèn)證的方法即可滿足使用需求。對需要獨(dú)享網(wǎng)絡(luò)資源或具有數(shù)據(jù)高安全等級的用戶而言，在5G NSA 組網(wǎng)階段，可以采用VPDN 身份認(rèn)證加安全網(wǎng)關(guān)認(rèn)證的方式，利用安全網(wǎng)關(guān)來彌補(bǔ)VPDN 身份認(rèn)證本身安全性低且需要強(qiáng)信任運(yùn)營商的不足，在5G SA 組網(wǎng)階段，如果用戶業(yè)務(wù)安全等級較低并且信任運(yùn)營商，則直接采用5G 二次身份認(rèn)證并選擇現(xiàn)有認(rèn)證協(xié)議即可，否則用戶需要對認(rèn)證協(xié)議和算法進(jìn)行私有定制，并同時(shí)采用安全網(wǎng)關(guān)認(rèn)證以達(dá)到安全增強(qiáng)的目的。

3 結(jié)語

5G 與各垂直行業(yè)的融合發(fā)展是推動(dòng)社會經(jīng)濟(jì)數(shù)字化轉(zhuǎn)型的重要?jiǎng)恿?，隨著5G 商用步伐不斷加快，未來將會有越來越多的行業(yè)借助5G 網(wǎng)絡(luò)實(shí)現(xiàn)產(chǎn)業(yè)升級。二次認(rèn)證作為一種簡單有效的安全防護(hù)手段，能夠保護(hù)用戶內(nèi)部網(wǎng)絡(luò)免遭非法接入訪問。本文對可應(yīng)用于5G 網(wǎng)絡(luò)的二次認(rèn)證方法進(jìn)行了簡要分析，并根據(jù)各方案的應(yīng)用特點(diǎn)提出了一些使用建議，能夠?yàn)楹罄m(xù)垂直行業(yè)用戶選取二次認(rèn)證方法提供一定的參考。