1 背景

在移動互聯(lián)網(wǎng)時代，相當一部分的終端，在接入應用平臺前需要經(jīng)過鑒權認證。通常情況下，這部分流量在移動蜂窩網(wǎng)上承載，但由于覆蓋盲區(qū)的存在以及流量、資費等方面的原因，WiFi接入仍然在無線接入中占據(jù)相當大的比重。即使進入5G時代，WiFi依然是極其重要的接入方式，因此，5G終端通過WiFi接入互聯(lián)網(wǎng)后，在使用APP時，仍然需要經(jīng)過應用平臺的鑒權和認證。

2 常用的終端免密登錄方案

當前，手機終端常用的免密登錄互聯(lián)網(wǎng)應用平臺的方案大致有3種：第三方的免密認證、基于短信校驗碼的免密認證、基于蜂窩移動網(wǎng)的終端/卡號的免密認證。

2.1 第三方的免密認證

在4G時代，大量移動互聯(lián)網(wǎng)應用平臺已經(jīng)打通了與微信、QQ、支付寶等通道，通過這一類第三方授權實現(xiàn)了基于平臺賬號的免密登錄。手機終端APP使用這一類免密登錄方案的前提是必須完成與微信、QQ或者支付寶平臺帳號系統(tǒng)的對接，實現(xiàn)帳號的捆綁。但由于平臺安全或者個人隱私方面的考慮，依然有很多互聯(lián)網(wǎng)應用（特別是證券類、銀行類、金融類應用）沒有與上述系統(tǒng)對接，用戶還需要通過人工輸入賬號/密碼或者手機號碼/短信驗證碼的方式對進行登錄。

2.2 基于短信校驗碼的免密認證

某些移動互聯(lián)網(wǎng)APP在安裝時已經(jīng)獲得了終端短信的讀取權限，在APP登錄過程中，平臺側(cè)將發(fā)送一條短信校驗碼到終端上，APP直接讀取短信并對序列號進行分析、識別，自動把短信校驗碼拷貝粘貼到對應欄目進行主動校驗和登錄。

這種方式并不依賴于4G或者WiFi接入，在一定程度上可以簡化終端用戶的操作步驟，但是由于短信（特別是2G短信）在傳送和存儲過程中大都沒有經(jīng)過加解密處理，如果缺乏TEE（可信運行環(huán)境）的支持，或者沒有借助加密短信、安全短信、短信保險柜等技術手段，就有可能出現(xiàn)短信被攔截、轉(zhuǎn)發(fā)、篡改等安全風險。

2.3 基于蜂窩網(wǎng)的終端/卡號的免密認證

這種方案利用蜂窩無線網(wǎng)，以終端的IMEI或IMSI作為用戶身份標識，通過APP、認證服務器、核心網(wǎng)設備、應用服務器之間的交互實現(xiàn)APP應用的免密登錄。這類方案涉及4G核心網(wǎng)網(wǎng)元的改造。除了HSS需要開放接口供認證平臺查詢用戶數(shù)據(jù)，還有對P-GW進行開發(fā)，使之具備分析終端請求和插入擴展字段的能力，包括：

（1）增強HTTP/HTTPS協(xié)議頭功能，在終端發(fā)送的認證請求中插入關鍵信息，比如終端手機號碼、IMSI、IMEI、手機IP地址、P-GW的IP地址等信息。

（2）管理協(xié)議頭增強的服務器域名和IP地址白名單，對比認證請求消息中的服務器域名或者IP地址是否在白名單中，判斷是否需要插入手機號碼；

（3）對應用服務器的域名和IP地址進行匹配校驗等等；

目前這類方案在4G網(wǎng)絡中已有相關實現(xiàn)案例。

3 通過WiFi免密登錄應用平臺的方案

以上3種免密登錄方案各有其優(yōu)缺點，并適用于不同的應用場合，但目前并沒有針對WiFi接入5G核心網(wǎng)的終端APP免密登錄方案。

一般認為，5G終端通過WiFi接入5G核心網(wǎng)實現(xiàn)APP免密登錄需要經(jīng)過兩個過程：（1）WiFi接入5G核心網(wǎng)的過程；（2）APP免密登錄應用平臺的過程。

3.1 WiFi接入5G核心網(wǎng)

5G核心網(wǎng)的PCF可以為終端提供移動性、UE接入選擇和PDU會話的相關策略。策略和計費控制功能可以應用到每個切片實例、DNN或切片實例和DNN的組合上。終端路由選擇策略（URSP）、ANDSP策略（接入網(wǎng)檢測和選擇策略）就存儲在PCF上并可下發(fā)到終端。

5G終端在選擇WLAN之前要構造WLAN列表，如果沒有列表就要通過ANQP與WiFi AP交互，或者通過EAP-Request/Identity申請PLMN，結(jié)合5G核心網(wǎng)下發(fā)的ANDSP中的非3GPP接入點配置信息，構造一張具有接入優(yōu)先級的WLAN列表。由于5G支持網(wǎng)絡切片，核心網(wǎng)可以通過網(wǎng)絡切片實例為終端提供服務。終端通過WiFi接入并在向PLMN注冊時，可以在向AMF發(fā)送的Requested NSSAI中包括一個或多個S-NSSAIs of the allowed NSSAI或者 Con fi gured NSSAI，并且可以通過網(wǎng)絡或終端發(fā)起網(wǎng)絡切片的更改。利用網(wǎng)絡切片特性，可以實現(xiàn)應用與終端路由策略的關聯(lián)。

從電信運營商角度看，WiFi AP可分為第三方的AP和自營AP。第三方AP一般提供免費接入服務，如果沒有與運營商合作，則屬于Untrusted Non-3GPP Access（非可信的非3GPP接入）；電信運營商自建的AP 可以提供可信接入服務，如果終端不支持5GC NAS信令over WLAN，則需要通過可信 WLAN接入點(TWAP)+可信WLAN交互功能(TWIF)接入5GC，如果終端支持5GC NAS 信令Over WLAN，則可以通過可信的非3GPP接入點（TNAP） +可信的非3GPP網(wǎng)關功能（TNGF）接入5G核心網(wǎng)。可信的非3GPP接入點可采用Hotspot 2.0技術，利用IEEE 802.11u身份識別，用戶無需通過手動發(fā)現(xiàn)熱點、輸入密碼就能獲取WiFi的接入授權。

除了可信的WiFi AP，公眾網(wǎng)絡上部署了大量的第三方WiFi AP，終端從AP直接獲得IP地址（有時候需經(jīng)過企業(yè)或運營商的二次認證），就可以直接訪問互聯(lián)網(wǎng)了。通過第三方AP接入的終端如果沒有在核心網(wǎng)鑒權注冊，對5GC而言是不可信的。除非終端繼續(xù)與5GC的N3IWF交互并建立IKEv2 SA，在UE和AMF之間建立安全連接、傳遞安全的NAS消息。[7]

終端在獲得WiFi接入授權后只是得到訪問互聯(lián)網(wǎng)的權限。終端上的APP登錄互聯(lián)網(wǎng)應用平臺時仍然需要輸入帳號、密碼進行驗證，特別是那些基于安全原因不便在客戶端保存密碼的應用。因此，還需要APP登錄相關聯(lián)的應用平臺的過程。

3.2 APP免密登錄應用平臺

終端通過WiFi接入5G核心網(wǎng)后，經(jīng)過鑒權認證就可以通過Data Network訪問互聯(lián)網(wǎng)了。終端上的APP向互聯(lián)網(wǎng)上的應用平臺發(fā)起業(yè)務請求前，需要用戶名和密碼進行應用層的登錄認證。

為此，需要通過PCF可以激活SMF中相應的PCC規(guī)則，指示SMF在哪些APP應用程序上檢測并向PCF提交檢測到的應用程序標識符，從SMF接收到報告后，PCF可以基于所接收的信息做出策略決定。PCF下發(fā)到終端的URSP策略可以指示終端在5G核心網(wǎng)功能實體的配合下把APP流量路由到不同的目的地。

在5G核心網(wǎng)內(nèi)部部署一個AF，直接與5GC的相關功能實體直接交互，為APP提供鑒權、驗證APP與終端的映射關系、APP登錄的唯一性與合法性，并對互聯(lián)網(wǎng)上的認證平臺提供服務。

如圖1所示，在互聯(lián)網(wǎng)上部署一個對外的應用認證平臺，與5C核心網(wǎng)內(nèi)部的AF功能實體進行交互通信，并為互聯(lián)網(wǎng)應用平臺提供服務，以完成終端APP的免密登錄。AF與AMF、SMF、UPF、AUSF、UDM等功能實體對接，獲取用戶相關信息的檢索服務。具體實施時，AF也可以通過服務器虛擬化對外部不同的認證平臺分別提供服務。

圖1 非漫游網(wǎng)絡下部署的拓撲示意圖[8]

5GC支持基于SBA的接口，相信實現(xiàn)起來比4G網(wǎng)元的改造更為便捷。AF部署在5G核心網(wǎng)內(nèi)，與AMF、UPF、SMF、PCF等5G核心網(wǎng)功能實體對接時更為安全，網(wǎng)絡切片和虛擬化技術的使用也有利于AF與互聯(lián)網(wǎng)上的認證平臺對接。

至于在終端提供的認證參數(shù)方面，由于5G終端關鍵標識主要有SUPI、SUCI、GPSI（可能是MSISDN或者NAI，供3GPP外網(wǎng)標識）、IMEI（PEI）等，IP地址也可以作為識別終端的標識之一， 由于終端通過非可信WiFi接入往往經(jīng)歷兩次IP分配，第一次是WiFi AP分配IP地址，第二次是UPF或者SMF分配IP地址。對于5G核心網(wǎng)而言，第二次分配的IP地址更重要。

3.3 免密登錄交互流程

在終端接入WiFi并在核心網(wǎng)注冊后，在終端已經(jīng)從PCF獲取URSP、ANDSP、WLANSP策略的前提下，APP發(fā)起免密登錄請求，登錄請求中攜帶應用ID和某個標志位。有兩種驗證方式：

（1）N3IWF插入終端信息

把終端流量的檢測點設置在N3IWF。當終端免密登錄請求經(jīng)過N3IWF時，N3IWF從中識別出標志位，將用戶SUPI或SUCI、PEI、終端IP地址等信息插入到請求中的擴展字段的Payload中，在根據(jù)URSP發(fā)送給制定的AF。流量檢測功能可能涉及N3IWF的二次開發(fā)。這一功能也可以在UPF上實現(xiàn)，但流經(jīng)UPF的用戶流量是經(jīng)過加密的，可能需要SMF的配合才能實現(xiàn)終端信息的插入，實現(xiàn)起來流程會更為復雜。

（2）終端自主插入認證信息

另外，終端APP在發(fā)送登錄請求時，利用URSP中允許攜帶的OS Id + OS App Id type、遠程IPv4/IPv6地址、Destination FQDN、OS APP id type和 connection capabilities等信息，附帶上MSISDN、SUPI、終端IP地址、N3IWF、AF服務器IP地址等信息。在URSP策略的控制下，該請求信息將路由到指定的認證AF來完成APP登錄。

AF獲取到終端APP認證請求后，對內(nèi)容進行解析并進行驗證，并分別與AMF、UPF、SMF或者UDM通信，進一步驗證其合法性。如認證成功則生成唯一的APP_Subscriber標識與用戶SUPI、SUCI、PEI、IP地址等信息綁定，并把該標識及時間戳返回給終端，并推送到互聯(lián)網(wǎng)的認證平臺上。

終端APP對返回的結(jié)果進行解析，獲取APP_Subscriber標識后并發(fā)送到APP關聯(lián)的應用平臺，應用平臺把該標識發(fā)往認證平臺進行信息進行驗證，如果驗證通過，則向用戶終端返回登錄成功的消息。APP自動進入登錄后的界面。在這個過程中，用戶無需在APP上輸入任何帳號和密碼信息。

除了上述的方案以外，還有一種借道蜂窩網(wǎng)絡免密登錄的方式，即在用戶不察覺的情況下，終端打開蜂窩網(wǎng)絡數(shù)據(jù)開關，利用很小的一部分數(shù)據(jù)流量進行APP的免密登錄，完成后再關閉蜂窩流量，繼續(xù)使用WiFi上網(wǎng)。這種情況尤其適用于終端不支持在核心網(wǎng)注冊的終端。但是這種手段，在4G網(wǎng)絡上也可以實現(xiàn)，也就不贅述了。

4 總結(jié)

5G時代NR流量是主流，但不能忽視WiFi 6將為終端提供另一個數(shù)據(jù)高速通道。通過5G核心網(wǎng)為APP提供WiFi免密登錄既可以利用5G的終端鑒權功能和切片特性，同時，WiFi與5G可以合設認證AF，在提升用戶使用APP便捷性的同時能夠加強運營商對終端鑒權/APP登錄的配置和統(tǒng)一管理。