《适用于多类移动场景的融合认证机制设计.docx》由会员分享,可在线阅读,更多相关《适用于多类移动场景的融合认证机制设计.docx(21页珍藏版)》请在优知文库上搜索。
1、适用于多类移动场景的融合认证机制设计认证是移动通信系统的重要安全手段,主要用于鉴别功能实体的身份的合法性。为满足企业/行业用户远程移动业务应用的需求,依托移动运营商网络构建专网已成为业界的主流方式。目前业界认证的主流思路是在移动运营商提供的主认证、二次认证基础上叠加额外的用户面认证。这种思路在面向多类移动场景应用时存在不足。针对这一问题首先对不同利益相关方对认证的需求进行了分析;其次提出了一种全新的、灵活的融合认证机制,对普通垂直行业、关键行业两类行业应用以及大带宽、低功耗以及低时延等移动场景进行深入设计;最后给出了在实物和半实物环境中针对主认证、用户面认证以及二次认证试验验证的结果,证明了方
2、案的优势,为5G面向垂直行业和关键行业应用提供理论支撑。内容目录:1现有移动通信认证机制2融合认证机制设计2. 1不同利益相关方对认证的需求2.2总体设计2.2.1高安全等级eMBB专线场景2.2.2高安全等级mMTC专线场景2.2.3高安全等级uRLLC专线场景2.2.4高安全等级专网场景3融合认证机制试验验证3.1实物验证3.1.1eMBB实物场景3.1.2mMTC模拟场景3.1.3uRLLC模拟场景3.2半实物仿真验证4结语认证是移动通信系统的重要安全手段,主要用于鉴别功能实体的身份的合法性。2G系统提供了单向认证能力,即网络认证终端而没有终端认证网络,因此出现了伪基站的攻击方式。进入3
3、G和4G时代,“第三代合作伙伴计划”标准化组织(3rdGenerationPartnershipProject,3GPP)完善了认证机制,提供了双向认证能力,即网络认证终端,终端同时也认证网络,这种认证比较适合2C的模式,即运营商为公众用户提供服务的情况。之后,在移动通信与行业相结合的背景下,运营商除了面向公众用户,还能够为行业用户提供专线服务。为了提高行业应用的安全性,运营商除了提供双向主认证,还为专线提供了二层隧道协议网络服务器(L2TPNetworkServer,LNS)+认证、授权、计费(AuthenticationAuthorization、Accounting,AAA)的认证,这种
4、认证常被称为AAA认证。这种认证方式通过在用户身份标识模块(SubscriberIdentityModule,SIM)卡里配置行业用户的用户名和口令信息,并在主认证的过程中通过非接入层(Non-AccessStratum,NAS)消息将用户名和口令信息带给分组数据网络网关(PaCketDataNetworkGateway,PGW)网元,再由PGW网元与部署在行业用户数据网络(DataNetwork,DN)处的AAA服务器之间的基于Radius或Diameter协议实现AAA认证。认证通过后,由同样部署在行业用户DN处的LNS为终端分配专线的网际互联协议(InternetProtocol,IP)
5、地址,并提供接入控制能力。进入5G时代,3GPP提出了一种更加符合行业需求的二次认证机制。在从2C向2B转型的背景下,相较于3G和4G的AAA认证,5G的二次认证虽然也是一种面向行业的接入认证,但5G网络只提供了基于可扩展的身份认证协议(ExtensibleAuthenticationProtocol,EAP)统一承载的二次认证通道。二次协议相当于应用层协议,完全由行业自主选择和确定,同时这个二次认证是一个从终端到AAA之间的端到端认证,因此认证能力有较大提升。1现有移动通信认证机制我国的5G商用采用的是独立组网(StandAlone,SA)思路,因此目前主流的移动通信系统有两大类四小类场景,
6、第一大类是4G移动通信系统,第二大类是5G移动通信系统。两个大类各自都有两个小类,分别是漫游架构和非漫游架构,前者实现用户依托拜访地基础设施接入的情况,后者实现用户依托本地基础设施接入的情况。下面以漫游架构为例进行说明。4G移动通信漫游架构场景的认证机制如图1所示。其中,主认证和AAA认证均由归属地运营商提供,采用国际的标准认证体制;用户面认证由行业用户提供,采用国产或专用认证体制。图14G移动通信漫游架构认证机制5G移动通信漫游架构场景的认证机制如图2所示。其中,主认证由归属地运营商提供,采用国际标准认证体制;切片认证和二次认证根据运营商为行业提供服务的模式进行选取,若运营商为行业提供专用切
7、片,则采用切片认证,若运营商为行业提供专线,则采用二次认证。切片认证和二次认证由行业用户提供,原则上可采用国产或专用认证体制。用户面认证由行业用户提供,采用国产或专用认证体制。图25G移动通信漫游架构认证机制但是在传统思路的认证体系中,看似进行了3重认证,但实际上每重认证所扮演的角色雷同,没有起到实质性多重认证的目的。此外,在面向不同应用场景,特别是面向不同垂直行业应用时仍有不足,主要体现在以下5个方面。(1)认证协议单一。3G主认证采用通用移动通信系统(UniVerSalMobileTelecommunicationsSystem,UMTS)和认证与密钥协商协议(Authentication
8、andKeyAgreement,AKA),4G主认证采用演进分组系统(EVolVedPacketSystem,EPS)AKA,5G主认证采用5GAKA和EAPAKA,。这些认证协议虽然有细微差异,但本质上原理一样,差异仅仅在于AKA协议本身安全性的提升。3G和4G的AAA认证只规定了RadiUS和DianIeter两种协议,5G的二次认证或切片认证只定义了EAP作为底层承载协议,并未规定和描述上层的认证协议,但运营商在实际规划中仍然会采用RadiUS等主流认证协议,无法适应不同应用场景对认证协议的差异化需要。(2)认证算法单一。无论是3G、4G的AAA认证还是5G的二次认证,虽然都没有对认证算
9、法进行规定,但实际上都默认使用的是特定的国际公开算法。对于行业而言,虽然以上认证体系进行了多重认证,但真正有效的仍然只有用户面认证,效率不高,无法适应不同行业、不同场景对认证算法的差异化安全需要。(3)认证手段单一。主认证基于对称密码的挑战应答机制进行认证,3G和4G的AAA认证以用户名加口令作为认证手段,5G的二次认证并未对此做明确规定,但按常理仍然会以口令为主,无法满足不同应用场景对认证手段的差异化需求。(4)实体界限不清。3G和4G的AAA认证虽然信息来自终端和AAA服务器,但认证协议的对等双方却实际上是PGW和AAA服务器,在协议上不是端到端的认证。而5G的二次认证虽然规定了认证协议的
10、对等方是终端和AAA服务器,但目前3GPPR17标准仍然并未规定终端内部如何分工并提供认证能力,因此无法适应不同情况下认证协议与认证计算对载体的差异化需求。(5)功能部署僵化。对于主认证、3G和4G的AAA认证及5G的二次认证,在终端侧均由终端完成协议解析,由通用用户身份标识模块(UniversalSubscriberIdentityModule,USIM)卡完成认证计算,其认证协议与认证计算的部署是固化的。在网络侧,主认证由统一数据管理功能(UnifiedDataManagement,UDM)完成协议解析和认证计算,3G和4G的AAA认证及5G的二次认证由AAA服务器完成,协议解析和认证计算
11、均同时完成,部署位置也是固定不变的,无法适应不同场景对部署方式的差异化需要。为了更好地支撑智能制造及工业4.0的发展,以5G和6G新一代宽带移动通信技术的发展为契机,本文提出一种适用于移动通信多类应用场景的融合认证机制,以解决上述5个方面的难题。2融合认证机制设计2.1不同利益相关方对认证的需求3GPP在5G的R16标准阶段定义了主认证、二次认证以及切片认证。有安全需求的垂直行业和关键行业通常还会额外叠加用户面认证。主认证主要是面向运营商,用于运营商验证移动用户的合法性,其依托的是对称密码,验证的目标对象是USIM卡或嵌入式用户身份标识模块(embeddedSubscriberIdentity
12、Module,eSIM),通常这一验证过程由运营商掌控。二次认证主要面向行业专线应用模式,用于验证移动用户的合法性,其依托的可以是对称密码技术、数字证书等,验证的目标对象可以是安全介质、用户名口令或者生物特征等。切片认证主要面向行业专用切片或专网应用模式,用于验证移动用户的合法性,其依托的可以是对称密码、数字证书等,验证的目标对象可以是安全介质、用户名口令等。用户面认证主要由行业自行提供,用于验证移动用户的合法性,其依托的主要是数字证书,验证的目标对象通常是安全介质或生物特征等,还能额外提供密钥分发功能。从不同利益相关方需求的角度,运营商认可的是主认证的过程和结果,信任二次认证和切片认证的结果
13、;而行业认可的是二次认证和切片认证的过程和结果以及用户面认证的过程和结果。通常行业对二次认证、切片认证和用户面认证的认可度相同。若验证的目标对象相同,则可将两种认证合一;若不同,则可作为多种验证目标对象的相互补充。从认证过程和结果认可度的角度,行业对认证过程和结果的信任度主要取决于行业对于参与认证功能单元,特别是提供认证运算和认证协议处理的硬件载体的认可度。因此,普通垂直行业认可虚拟认证卡或者信任运营商或其他的认证介质,而关键行业则不会信任运营商或其他的认证介质,其只认可其专用认证介质。从认证算法和协议对通信特征的适应性的角度,主认证的AKA协议是一种基于对称密码体制的比较中性的认证协议,强度
14、不低并且开销也不高,因此可以用于高强度、低功耗以及低时延的应用场景。对于专用认证而言,由于其往往更加追求极致体验,会有专门的高强度、低功耗以及低时延认证算法和协议,以适应不同的应用场景的通信特征。2.2总体设计为了能够兼顾行业对认证安全性的要求、认证对通信特征适应性的要求以及运营商为行业提供的不同应用模式的要求,提出一种适用于多种移动场景的融合认证机制,如图3所示。该认证机制的核心思想是根据场景特点,将终端侧和网络侧认证的通信功能、认证协议处理和认证计算处理等功能进行解耦设计和按需分离部署,以适应行业对认证载体、认证体制、通信信道特征等的要求。图3适用于多种移动场景的融合认证机制图3中,认证机
15、制分为3层,分别是主认证、二次认证和切片认证、用户面认证。其中,用户面认证利益相关方最单纯,由行业自行提供,运营商不参与,并且其验证目标是行业用户在终端上嵌入的安全模块。用户面认证通过之后,行业用户就认为移动终端是合法的。但其缺陷在于用户面认证发生在通信连接建立之后,安全性弱于在通信连接建立之前进行认证。主认证分为专线模式和专网模式两种情况。它们的共同点在于认证体制均完全遵循3GPP标准,并且通信协议处理、认证协议处理由移动终端和UDM网元处理。它们的区别在于提供认证计算的载体本身的安全性是否具有行业认可度,具体如下文所述。(1)专线模式情况下,主认证完全依托运营商,由运营商基于国际标准认证协
16、议和算法提供双向接入认证,客户端为运营商发行的USlM卡,服务端为标准的核心网UDM网元。这种情况下,计算处理终端侧认证由标准USlM卡提供,网络侧由标准UDM完成。此外,普通垂直行业可信任运营商的接入认证,而关键行业则不信任运营商的接入认证,主要依赖于后面两重认证。(2)专网模式情况下,主认证则由运营商和行业共同提供基于标准AKA协议和国产或专用认证算法的双向接入认证。客户端为运营商与行业联合发行的基于行业认可的载体研制的安全增强USlM卡,完成认证计算处理的安全增强。服务端为运营商提供的专用UDM网元,负责通信功能和认证协议处理部分,面向核心网提供标准UDM的接口,面向认证服务器提供专用认证调用接口,以实现国产和专用认证运算的嵌入。行业提供的认证服务器,提供第三方的认证计算处理的安全增强。这种情况主要面向体量比较大的关键行业,同时由于针对主认证进行了安全增强,因此关键