可應(yīng)用于5G網(wǎng)絡(luò)的垂直行業(yè)二次認(rèn)證方法淺析

０引言5G定義了三大應(yīng)用場景，即eMBB（EnhancedMobileBroadband，增強型移動寬帶）、mMTC(MassiveMachine-TypeCommunications，海量機器類通信)、uRLLC（Ultra-reliableandLow-latencyCommunications，超可靠、低時延通信），與4G相比，5G全新的網(wǎng)絡(luò)架構(gòu)能夠提供十倍以上的峰值速率、千億級別的連接能力以及毫秒級的傳輸時延。5G將開啟萬物互聯(lián)的新時代，工業(yè)、農(nóng)業(yè)、金融、交通等垂直行業(yè)存在著巨大的市場潛力，5G時代電信運營商將完成以面向普通公眾用戶為主到面向公眾和垂直行業(yè)并重的轉(zhuǎn)變。對于普通公眾用戶，在接入互聯(lián)網(wǎng)之前首先需要完成移動通信網(wǎng)絡(luò)的主認(rèn)證鑒權(quán)，以驗證其身份的合法性，而對于垂直行業(yè)用戶，他們所訪問的數(shù)據(jù)業(yè)務(wù)網(wǎng)絡(luò)通常關(guān)系國家安全、國計民生或商業(yè)機密，相較于普通公眾用戶有著更高的安全保密需求，因此除了要通過移動網(wǎng)絡(luò)的主認(rèn)證鑒權(quán)，通常還需要通過數(shù)據(jù)網(wǎng)絡(luò)的二次認(rèn)證。2019年是5G商業(yè)元年，目前各大運營商所開通的5G業(yè)務(wù)大都基于NSA架構(gòu)，未來將逐步向SA架構(gòu)演進。在NSA架構(gòu)下，移動通信網(wǎng)絡(luò)空口部分屬于5G，而核心網(wǎng)部分仍然屬于4G，因此二次認(rèn)證方式與4G網(wǎng)絡(luò)沒有太大區(qū)別。在SA架構(gòu)下，除了可以繼續(xù)沿用4G網(wǎng)絡(luò)中的方法以外，3GPP標(biāo)準(zhǔn)還可選地定義了5G二次身份認(rèn)證，由NAS信令承載認(rèn)證消息，并允許用戶對認(rèn)證協(xié)議和算法進行定制。本文將分別對當(dāng)前4G網(wǎng)絡(luò)中常用的安全網(wǎng)關(guān)認(rèn)證、VPDN用戶認(rèn)證，以及5GSA架構(gòu)下的5G二次身份認(rèn)證進行分析比較，期望能夠為各垂直行業(yè)用戶的選擇提供一定參考。１二次認(rèn)證方法選用建議1.1安全網(wǎng)關(guān)認(rèn)證基于安全網(wǎng)關(guān)的二次認(rèn)證通過在用戶應(yīng)用服務(wù)器前端部署安全網(wǎng)關(guān)以及在用戶終端設(shè)備上安裝相應(yīng)的認(rèn)證客戶端程序?qū)崿F(xiàn)，如圖1所示。圖1安全網(wǎng)關(guān)認(rèn)證方案用戶通過安全網(wǎng)關(guān)進行二次認(rèn)證訪問數(shù)據(jù)業(yè)務(wù)網(wǎng)絡(luò)的流程如圖2所示。圖2安全網(wǎng)關(guān)認(rèn)證流程終端在完成5G移動網(wǎng)絡(luò)的主認(rèn)證鑒權(quán)之后，5G網(wǎng)絡(luò)將為其建立起用戶面數(shù)據(jù)通道，隨后用戶可以利用終端上的認(rèn)證客戶端軟件輸入身份憑證，如口令、人臉、指紋等，并連接到安全網(wǎng)關(guān)，與認(rèn)證服務(wù)程序交互進行二次身份認(rèn)證，在通過二次認(rèn)證后便可訪問應(yīng)用服務(wù)器處理業(yè)務(wù)。在該方案中，安全網(wǎng)關(guān)由行業(yè)用戶自建并放置于用戶機房內(nèi)自行維護，運營商僅提供數(shù)據(jù)傳輸通道，具有建設(shè)周期短、成本低，運維管理方便等特點。1.2VPDN身份認(rèn)證VPDN是一種在互聯(lián)網(wǎng)公網(wǎng)上通過加密隧道進行通信以達到類似于私有專用網(wǎng)絡(luò)效果的虛擬專網(wǎng)技術(shù)。用戶需要使用該方案實現(xiàn)二次認(rèn)證只需要向運營商申請VPDN專線接入即可，圖3所示為典型的VPDN接入方案。圖3VPDN專線接入方案用戶通過VPDN接入數(shù)據(jù)業(yè)務(wù)網(wǎng)絡(luò)的流程如下所述：（1）用戶在終端設(shè)備中設(shè)置好屬于自己的專用APN，終端設(shè)備在主認(rèn)證過程中將VPDNAPN信息發(fā)送給移動網(wǎng)絡(luò)；（2）完成主認(rèn)證鑒權(quán)后，核心網(wǎng)PGW網(wǎng)元在為終端建立用戶面數(shù)據(jù)通道時，發(fā)現(xiàn)用戶使用的是VPDN專業(yè)APN，將用戶名與密碼信息發(fā)送給LNS請求進行二次認(rèn)證；（3）LNS將認(rèn)證信息封裝成Radius包發(fā)送給二次認(rèn)證AAA服務(wù)器進行認(rèn)證；（4）通過二次認(rèn)證之后，將為用戶分配IP地址，并在PGW和LNS之間建立L2TP隧道，用以傳輸用戶數(shù)據(jù)。在該方案中，需要由運營商投資建設(shè)并在行業(yè)用戶側(cè)部署LNS及AAA設(shè)備，并由運營商負責(zé)用戶的二次認(rèn)證鑒權(quán)管理，而用戶則需要支付相應(yīng)服務(wù)費用。1.35G二次身份認(rèn)證5GSA組網(wǎng)架構(gòu)在設(shè)計時充分考慮了面向垂直行業(yè)的應(yīng)用需要，引入了網(wǎng)絡(luò)切片技術(shù)，將一個物理網(wǎng)絡(luò)分割成多個虛擬的端到端網(wǎng)絡(luò)，每個虛擬網(wǎng)絡(luò)之間邏輯獨立，用不同的網(wǎng)絡(luò)切片為不同的行業(yè)用戶提供服務(wù)。在安全性方面，系統(tǒng)內(nèi)生地支持用戶接入二次身份認(rèn)證，以保護數(shù)據(jù)網(wǎng)絡(luò)免遭非法用戶的侵害。圖4所示為5GSA組網(wǎng)網(wǎng)絡(luò)架構(gòu)。圖45GSA組網(wǎng)網(wǎng)絡(luò)架構(gòu)用戶終端在訪問數(shù)據(jù)業(yè)務(wù)網(wǎng)絡(luò)前首先需要完成與UDM及AUSF之間的主認(rèn)證鑒權(quán)，隨后SMF網(wǎng)元在為其建立用戶面數(shù)據(jù)通道時將根據(jù)簽約信息決定是否發(fā)起二次身份認(rèn)證。5G二次身份認(rèn)證遵循可擴展身份認(rèn)證協(xié)議EAP，認(rèn)證消息由NAS信令承載，其中終端UE作為被認(rèn)證端（Peer），SMF網(wǎng)元作為認(rèn)證端（Authenticator），AAA作為認(rèn)證服務(wù)器（Server），圖5所示為二次認(rèn)證流程。圖55G二次身份認(rèn)證流程SMF網(wǎng)元向AAA服務(wù)器發(fā)出認(rèn)證開始的消息，并建立起UE與AAA之間的認(rèn)證通道，之后UE和AAA將經(jīng)過若干次EAP-Request/EAP-Response消息交互，具體交互次數(shù)和交互內(nèi)容根據(jù)所使用的認(rèn)證協(xié)議而定，用戶可以使用PAP、CHAP、AKA、TLS等公開協(xié)議，也可以自定義算法與協(xié)議，最后由AAA向UE發(fā)送認(rèn)證結(jié)果，二次認(rèn)證通過之后，5G核心網(wǎng)將為終端建立到數(shù)據(jù)網(wǎng)絡(luò)的連接。在該方案中，運營商為行業(yè)用戶提供了底層認(rèn)證通道，由用戶自己選擇或定制具體的算法和協(xié)議，AAA服務(wù)器可以部署在用戶數(shù)據(jù)網(wǎng)絡(luò)中通過UPF與SMF連接，也可以直接部署在運營商機房內(nèi)與SMF直接連接。２二次認(rèn)證方法選用建議本文對安全網(wǎng)關(guān)認(rèn)證、VPDN身份認(rèn)證及5G二次身份認(rèn)證三種方法從應(yīng)用場景、建設(shè)運維方式、安全性、成本方面對比分析如表1所示。表1二次認(rèn)證方法比較認(rèn)證方法安全網(wǎng)關(guān)認(rèn)證VPDN身份認(rèn)證5G二次身份認(rèn)證應(yīng)用場景NSA組網(wǎng)、SA組網(wǎng)NSA組網(wǎng)SA組網(wǎng)建設(shè)方式用戶自建運營商建設(shè)運營商建設(shè)運維方式用戶維護運營商維護運營商維護建設(shè)成本高低低使用成本低高高安全性高低中其中，安全網(wǎng)關(guān)認(rèn)證與5G組網(wǎng)模式無關(guān)，在NSA組網(wǎng)和SA組網(wǎng)下都能適用，由用戶在應(yīng)用服務(wù)器前端建設(shè)部署安全網(wǎng)關(guān)設(shè)備，配合用戶終端設(shè)備上安裝的認(rèn)證客戶端程序，并借助運營商數(shù)據(jù)通道共同完成二次認(rèn)證。由于是用戶自建自管，所以費用成本主要是前期一次性建設(shè)投入較高，建成后使用過程中只需額外負擔(dān)少量的維護升級費用。安全網(wǎng)關(guān)認(rèn)證完全掌控在用戶自己手中，整個過程不需要運營商參與，且用戶可以選擇復(fù)雜的認(rèn)證方法，具有較高的安全性。VPDN身份認(rèn)證屬于4G階段專線用戶終端接入數(shù)據(jù)網(wǎng)絡(luò)的主流認(rèn)證方法，未來在5GNSA階段還將延續(xù)使用，其認(rèn)證設(shè)施由運營商建設(shè)部署并負責(zé)后期維護管理，用戶只需要向運營商申請VPDN接入即可。成本包括前期較低的業(yè)務(wù)開通費用，以及后期使用需要持續(xù)支付的較高的服務(wù)使用費用。VPDN身份認(rèn)證過程由運營商負責(zé)完成，需要用戶與運營商之間建立較強的信任關(guān)系，且這種方式采用簡單的用戶名和密碼進行認(rèn)證，容易被非法用戶破解，因此安全性較低。5G二次身份認(rèn)證是國際標(biāo)準(zhǔn)協(xié)議里規(guī)定未來可能在SA組網(wǎng)模式下使用的認(rèn)證方法，同VPDN身份認(rèn)證類似，其基礎(chǔ)設(shè)施由運營商負責(zé)建設(shè)和維護，用戶向運營商支付較低的開通費用及較高的后期使用費用，整個認(rèn)證過程主要由運營商負責(zé)完成，需要用戶與運營商之間建立較強的信任關(guān)系。與VPDN身份認(rèn)證不同的是，5G二次身份認(rèn)證允許用戶參與到認(rèn)證過程中，用戶不僅可以在現(xiàn)有的認(rèn)證協(xié)議中進行選擇使用，甚至可以根據(jù)需要定制私有的協(xié)議與算法，因此具有更強的安全性。通過以上分析本文建議，對時延、帶寬等網(wǎng)絡(luò)資源要求不高且業(yè)務(wù)安全性等級較低的用戶，沒有必要向運營商租用VPDN專線或?qū)Ｓ芯W(wǎng)絡(luò)切片，直接使用安全網(wǎng)關(guān)認(rèn)證的方法即可滿足使用需求。對需要獨享網(wǎng)絡(luò)資源或具有數(shù)據(jù)高安全等級的用戶而言，在5GNSA組網(wǎng)階段，可以采用VPDN身份認(rèn)證加安全網(wǎng)關(guān)認(rèn)證的方式，利用安全網(wǎng)關(guān)來彌補VPDN身份認(rèn)證本身安全性低且需要強信任運營商的不足，在5GSA組網(wǎng)階段，如果用戶業(yè)務(wù)安全等級較低并且信任運營商，則直接采用5G二次身份認(rèn)證并選擇現(xiàn)有認(rèn)證協(xié)議即可，否則用戶需要對認(rèn)證協(xié)議和算法進行私有定制，并同時采用安全網(wǎng)關(guān)認(rèn)證以達到安全增強的目的。３結(jié)語5G與各垂直行業(yè)的融合