5G網(wǎng)絡(luò)是數(shù)字化轉(zhuǎn)型的關(guān)鍵，將推動(dòng)各行各業(yè)的巨大變革和創(chuàng)新。除“人網(wǎng)”外，其還催生出眾多的“物網(wǎng)”、“工業(yè)網(wǎng)”新應(yīng)用，如：車聯(lián)網(wǎng)、遠(yuǎn)程醫(yī)療、智能電表、自動(dòng)駕駛、視頻監(jiān)控等。在如此多樣化的商業(yè)模式下，5G網(wǎng)絡(luò)也將面臨更加復(fù)雜的網(wǎng)絡(luò)安全和隱私保護(hù)的挑戰(zhàn)。

為了加強(qiáng)5G網(wǎng)絡(luò)的安全性，3GPP定義了新的5G安全相關(guān)認(rèn)證框架，其鑒權(quán)認(rèn)證架構(gòu)如下圖:

圖1：5G安全相關(guān)認(rèn)證框架

相比3G/4G網(wǎng)絡(luò)的鑒權(quán)/加密/完整性保護(hù)方式，5G端到端的網(wǎng)絡(luò)安全認(rèn)證架構(gòu)更加安全可靠：

主要總結(jié)為以下幾點(diǎn):

基于統(tǒng)一認(rèn)證架構(gòu)，提供用戶和網(wǎng)絡(luò)之間的雙向認(rèn)證。

支持多種認(rèn)證方法，例如 5G-AKA, EAP-AKA’等。

采用層次化的密鑰派生機(jī)制。

提供空口的加密。

增加了用戶標(biāo)識(shí)隱私保護(hù)。

針對(duì)5G對(duì)網(wǎng)絡(luò)安全的超高要求，中興通訊提出基于ZTE?Cloud Native SDM的統(tǒng)一用戶安全認(rèn)證解決方案，此方案不僅為5G網(wǎng)絡(luò)提供了端到端的鑒權(quán)認(rèn)證和加密機(jī)制, 而且實(shí)現(xiàn)2G/3G/4G/5G/IMS多網(wǎng)絡(luò)接入下的統(tǒng)一鑒權(quán)認(rèn)證，確保全網(wǎng)絡(luò)的安全可靠。

中興通訊Cloud NaTIve SDM統(tǒng)一用戶安全認(rèn)證方案

圖2：ZTE Cloud NaTIve SDM解決方案

如圖所示，中興通訊Cloud NaTIve SDM，包括BE（BackEnd）和FE（FrontEnd）兩部分， BE基于云化統(tǒng)一數(shù)據(jù)層，其中結(jié)構(gòu)化存儲(chǔ)單元UDR統(tǒng)一融合2G/3G/4G/5G/IMS等用戶數(shù)據(jù)；FE深度融合HLR/HSS/UDM/AUSF等網(wǎng)元業(yè)務(wù)功能，實(shí)現(xiàn)了多網(wǎng)絡(luò)接入下統(tǒng)一移動(dòng)性管理和認(rèn)證鑒權(quán)管理。

UDR：融合存儲(chǔ)多種結(jié)構(gòu)化數(shù)據(jù)，包括2G/3G/4G/5G簽約數(shù)據(jù)、PCRF策略數(shù)據(jù)、用戶鑒權(quán)數(shù)據(jù)等。

UDM：作為5GC網(wǎng)絡(luò)中的數(shù)據(jù)管理NF， 實(shí)現(xiàn)5G網(wǎng)絡(luò)統(tǒng)一接入、鑒權(quán)認(rèn)證功能，包括鑒權(quán)證書(shū)計(jì)算、5G HE?Avs生成、重同步鑒權(quán)證書(shū)計(jì)算等。

AUSF：作為5GC網(wǎng)絡(luò)中的鑒權(quán)NF，提供鑒權(quán)服務(wù)功能，支持5G鑒權(quán)架構(gòu)的5G AKA流程和EAP AKA’流程，并提供服務(wù)網(wǎng)絡(luò)授權(quán)檢查、鑒權(quán)算法、增強(qiáng)歸屬網(wǎng)絡(luò)控制以及SUCI(SubscripTIon concealed identifier)等功能。

中興通訊Cloud Native SDM的統(tǒng)一用戶安全認(rèn)證解決方案，為5G而生，保護(hù)用戶數(shù)據(jù)的完整性、可靠性和一致性、安全性，時(shí)刻保障多接入網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行，主要特點(diǎn)如下：

統(tǒng)一的云原生/微服務(wù)架構(gòu)，實(shí)現(xiàn)業(yè)務(wù)快速部署

滿足云原生相關(guān)特征，支持虛機(jī)和容器化部署，對(duì)服務(wù)級(jí)的業(yè)務(wù)進(jìn)行了進(jìn)一步的擴(kuò)充和細(xì)分，拆分為更細(xì)粒度的微服務(wù)，每個(gè)微服務(wù)/服務(wù)都可以獨(dú)立部署、升級(jí)、遷移和重生，幫助運(yùn)營(yíng)商快速部署網(wǎng)絡(luò)和新業(yè)務(wù)。

大容量，全融合，高可靠，降低TCO

大容量：?jiǎn)卧O(shè)備支持多達(dá)億級(jí)2/3/4/5G/IMS靜態(tài)用戶；

全融合：支持HLR/HSS/UDM/AUSF/EIR/ENUM/SPR/AAA等網(wǎng)元的融合，有效降低CAPEX和OPEX；

高可靠：多級(jí)數(shù)據(jù)庫(kù)備份和恢復(fù)機(jī)制、完善的過(guò)負(fù)荷保護(hù)機(jī)制等，充分保障設(shè)備的穩(wěn)定性。

多網(wǎng)絡(luò)接入的統(tǒng)一鑒權(quán)認(rèn)證，簡(jiǎn)化網(wǎng)絡(luò)

中興通訊Cloud Native SDM集中化存儲(chǔ)2G/3G/4G/5G用戶數(shù)據(jù)。當(dāng)用戶從不同網(wǎng)絡(luò)接入時(shí)，基于統(tǒng)一的用戶鑒權(quán)信息，依據(jù)不同網(wǎng)絡(luò)的鑒權(quán)算法可以生成3G五元組、4G四元組、5G四元組，從而實(shí)現(xiàn)同一用戶從不同網(wǎng)絡(luò)接入時(shí)的統(tǒng)一鑒權(quán)認(rèn)證。

為5G用戶永久標(biāo)識(shí)提供私密性保護(hù)功能，保護(hù)用戶隱私

中興通訊Cloud Native SDM解決方案為5G USIM卡提供了用戶標(biāo)識(shí)隱私保護(hù)功能，相比4G網(wǎng)絡(luò)空口消息中采用明文IMSI，5G網(wǎng)絡(luò)空口消息中采用SUCI，即密文IMSI，防止非法基站和設(shè)備獲取用戶IMSI信息，保護(hù)用戶隱私信息。

5G用戶注冊(cè)時(shí)雙向認(rèn)證，防止非法用戶接入

當(dāng)用戶接入時(shí)，中興通訊Cloud Native SDM按照5G AKA或者EAP AKA’鑒權(quán)算法進(jìn)行鑒權(quán)認(rèn)證。當(dāng)用戶側(cè)和網(wǎng)絡(luò)側(cè)完成雙向認(rèn)證后，網(wǎng)絡(luò)才允許用戶接入網(wǎng)絡(luò)，完成用戶注冊(cè)等業(yè)務(wù)操作。

增強(qiáng)歸屬網(wǎng)絡(luò)鑒權(quán)認(rèn)證控制，防止欺詐

中興通訊Cloud Native SDM的5G鑒權(quán)認(rèn)證在歸屬網(wǎng)控制方面做了增強(qiáng)，即歸屬網(wǎng)絡(luò)將終端認(rèn)證確認(rèn)與注冊(cè)流程關(guān)聯(lián)，如果在該網(wǎng)絡(luò)下終端未曾通過(guò)鑒權(quán)認(rèn)證，歸屬網(wǎng)絡(luò)可拒絕注冊(cè)，同時(shí)可指示拜訪網(wǎng)絡(luò)在注冊(cè)前應(yīng)重新請(qǐng)求鑒權(quán)認(rèn)證，進(jìn)一步提高了網(wǎng)絡(luò)安全性，有效避免拜訪網(wǎng)絡(luò)欺騙發(fā)生。

中興通訊Cloud Native SDM的統(tǒng)一用戶安全認(rèn)證解決方案，為多種終端、多種接入、多種應(yīng)用提供統(tǒng)一用戶鑒權(quán)和認(rèn)證，簡(jiǎn)化網(wǎng)絡(luò)架構(gòu)，確保用戶信息不被非法設(shè)備侵入、篡改和泄露，為2G/3G/4G/5G/IMS網(wǎng)絡(luò)安全提供最根本的保障。?