謝澤鋮，徐雷，張曼君，郭新海，蘇俐竹（中國聯(lián)通研究院，北京 100048）

1 概述

5G網(wǎng)絡(luò)作為下一代移動通信技術(shù)的發(fā)展方向，是新一輪科技革命和產(chǎn)業(yè)變革的載體，將助力傳統(tǒng)產(chǎn)業(yè)的轉(zhuǎn)型升級。5G網(wǎng)絡(luò)不再局限于人與人之間的通信，還考慮了人與物、物與物之間的通信，進(jìn)入萬物互聯(lián)的狀態(tài)，進(jìn)一步擴(kuò)展了在不同場景下向垂直行業(yè)提供服務(wù)的能力。考慮到5G 網(wǎng)絡(luò)“一網(wǎng)賦能萬業(yè)”的開放性特點(diǎn)以及多終端、多行業(yè)的接入趨勢，5G 網(wǎng)絡(luò)安全認(rèn)證體系在以運(yùn)營商USIM 卡為基礎(chǔ)的主認(rèn)證上，增加了垂直行業(yè)客戶可控的二次認(rèn)證和切片認(rèn)證，豐富和拓展了5G 網(wǎng)絡(luò)的安全認(rèn)證體系。在運(yùn)營商安全認(rèn)證的基礎(chǔ)上，最大程度滿足垂直行業(yè)客戶的不同安全需求。本文將對5G 網(wǎng)絡(luò)的安全認(rèn)證體系做詳細(xì)的介紹，涵蓋主認(rèn)證、二次認(rèn)證和切片認(rèn)證。

圖1 給出了5G 網(wǎng)絡(luò)的安全認(rèn)證體系示意。UE 入網(wǎng)時向核心網(wǎng)發(fā)起注冊請求，由5G 主認(rèn)證控制5G 用戶終端是否可接入運(yùn)營商5G 網(wǎng)絡(luò)，由核心網(wǎng)網(wǎng)元AMF、AUSF、UDM 共同完成5G 用戶終端與5G 網(wǎng)絡(luò)之間的雙向鑒權(quán)認(rèn)證；切片認(rèn)證用來控制用戶終端能否接入垂直行業(yè)切片，由AMF 對用戶終端發(fā)起切片接入認(rèn)證流程，確保接入切片的用戶終端合法；二次認(rèn)證用來控制用戶終端是否可接入垂直行業(yè)的企業(yè)網(wǎng)絡(luò)，在用戶發(fā)起PDU 會話建立請求時，由SMF 觸發(fā)二次認(rèn)證，由垂直行業(yè)客戶側(cè)的DN-AAA 對UE 進(jìn)行認(rèn)證授權(quán)。

圖1 5G網(wǎng)絡(luò)中的安全認(rèn)證

2 主認(rèn)證

2.1 主認(rèn)證應(yīng)用場景

在移動通信網(wǎng)絡(luò)從2G 到5G 的發(fā)展過程中，主認(rèn)證的流程也在不斷完善。主認(rèn)證主要應(yīng)用場景是驗證用戶身份的合法性，避免非法用戶接入移動網(wǎng)絡(luò)或者避免攻擊者通過偽基站向用戶提供虛假網(wǎng)絡(luò)服務(wù)，因此主認(rèn)證是用戶接入移動網(wǎng)絡(luò)必不可少的一環(huán)。

移動網(wǎng)絡(luò)中一般采用基于“挑戰(zhàn)-響應(yīng)”的AKA（Authentication and Key Agreement）認(rèn)證協(xié)議。用戶接入網(wǎng)絡(luò)需要通過長期密鑰K 實現(xiàn)UE 和網(wǎng)絡(luò)之間的相互認(rèn)證，并推導(dǎo)出會話密鑰，密鑰分別存放在運(yùn)營商網(wǎng)絡(luò)的核心網(wǎng)和用戶的SIM（2G）/USIM（3G、4G、5G）卡中，后續(xù)通信時需要使用的其他密鑰基于長期密鑰通過不可逆的函數(shù)衍生。5G 網(wǎng)絡(luò)的主認(rèn)證包括5GAKA 和EAP-AKA′2 種方式，涉及的網(wǎng)元如圖2 所示，包括AMF/SEAF、AUSF、UDM/ARPF等網(wǎng)元。

圖2 主認(rèn)證相關(guān)網(wǎng)元

2.2 5G AKA認(rèn)證流程

傳統(tǒng)認(rèn)證機(jī)制下，拜訪地/歸屬地的兩級移動網(wǎng)絡(luò)架構(gòu)下的認(rèn)證機(jī)制要求歸屬網(wǎng)絡(luò)無條件信任拜訪網(wǎng)絡(luò)的認(rèn)證結(jié)果。但若拜訪網(wǎng)絡(luò)和歸屬網(wǎng)絡(luò)之間的信任程度較低，仍然存在一些安全風(fēng)險，例如拜訪地運(yùn)營商可以聲稱為某歸屬運(yùn)營商的用戶提供了接入服務(wù)而實際未提供服務(wù)，導(dǎo)致計費(fèi)糾紛等。相比4G網(wǎng)絡(luò)中的AKA 認(rèn)證，5G-AKA 認(rèn)證加強(qiáng)了歸屬網(wǎng)絡(luò)對用戶終端的認(rèn)證能力，使其擺脫對拜訪網(wǎng)絡(luò)的依賴，實現(xiàn)用戶在歸屬地和拜訪地等不同地點(diǎn)間認(rèn)證機(jī)制的統(tǒng)一。

3GPP TS 33.501 規(guī)范中詳細(xì)描述了5G-AKA 的認(rèn)證過程，如圖3所示。具體認(rèn)證流程如下。

圖3 5G AKA認(rèn)證

a）歸屬網(wǎng)絡(luò)的UDM 使用長期密鑰和RAND 隨機(jī)數(shù)，生成一個預(yù)期響應(yīng) XRES*，XRES*=KDF(K,RAND)；UDM/ARPF 應(yīng)創(chuàng)建一個包含RAND、AUTN、XRES*和KAUSF的5G HE AV。

b）UDM向AUSF發(fā)送生成的5G HE AV。

c）AUSF存儲XRES*。

d）AUSF 根據(jù)安全的單向函數(shù)計算HXRES*。其中HXRES*由XRES*和RAND 做SHA256 運(yùn)算得到，HXRES*=SHA256(XRES*,RAND)。由于通過安全的單向函數(shù)生成HXRES*，所以不能由HXRES*推出XRES*。歸屬網(wǎng)絡(luò)將RAND 和HXRES*分享給拜訪網(wǎng)絡(luò)。從XRES*計算出HXRES*，從KAUSF推衍出KSEAF，然后用HXRES*和KSEAF分別替換5G HE AV 中XRES*和KAUSF，生成5G SE AV。

e）AUSF將5G SE AV發(fā)送給AMF/SEAF。

f）SEAF通過NAS消息向UE發(fā)送RAND 和AUTN。

g）終端用USIM 卡里預(yù)置的K 和RAND 計算出RES*，正常情況下，這個參數(shù)與XRES*是相同的。

h）UE 在NAS 消息認(rèn)證響應(yīng)中將RES*返回給SEAF。

i）SEAF 根據(jù)同樣的單向算法通過RES*計算HRES*，并比較HRES*和HXRES*。若兩值一致，SEAF從服務(wù)網(wǎng)的角度認(rèn)為認(rèn)證成功；否則，SEAF認(rèn)為認(rèn)證失敗，并向AUSF指示失敗。

j）AMF/SEAF 將RES*進(jìn)一步發(fā)送給歸屬網(wǎng)絡(luò)的AUSF進(jìn)行驗證。

k）AUSF 將RES*和存儲的XRES*比較，從而知道拜訪網(wǎng)絡(luò)確認(rèn)通過認(rèn)證并從終端處獲得了RES*，因為從歸屬網(wǎng)絡(luò)發(fā)送給拜訪網(wǎng)絡(luò)的HXRES*是推導(dǎo)不出XRES*的，拜訪網(wǎng)絡(luò)必須從終端處獲得，也就是必須完成一次認(rèn)證，從而無法欺騙歸屬網(wǎng)絡(luò)。

l）AUSF向SEAF指示認(rèn)證是否成功。

2.3 EAP-AKA′認(rèn)證流程

5G 網(wǎng)絡(luò)將EAP-AKA′認(rèn)證方式提升到了和5GAKA 并列的位置。EAP 認(rèn)證框架實現(xiàn)了5G 網(wǎng)絡(luò)與其他異構(gòu)網(wǎng)絡(luò)的統(tǒng)一接入認(rèn)證需求，即在使用5G無線網(wǎng)接入的時候，也可以采用EAP-AKA′認(rèn)證方式。EAP框架非常靈活，既可運(yùn)行在數(shù)據(jù)鏈路層上，不必依賴于IP 協(xié)議；也可運(yùn)行于TCP 或UDP 協(xié)議之上。由于這個特點(diǎn)，EAP 具有很普遍的適用性，支持多種認(rèn)證協(xié)議，如EAP-PSK、EAP-TLS、EAP-AKA、EAP-AKA′等。這使得5G 網(wǎng)絡(luò)可以為各種不同類型的終端提供安全的認(rèn)證機(jī)制和流程。

3GPP TS 33.501 中詳細(xì)描述了EAP-AKA′的認(rèn)證過程，如圖4所示。具體認(rèn)證流程如下。

圖4 EAP-AKA′認(rèn)證

a）歸屬網(wǎng)絡(luò)的DM/ARPF 首先生成認(rèn)證向量EAP-AKA′AV（RAND、AUTN、XRES、CK′、IK′）。

b）UDM向AUSF發(fā)送生成的EAP-AKA′AV。

c）AUSF 將EAP-Request/AKA′-Challenge 消息發(fā)送至AMF/SEAF。

d）SEAF 在NAS 消息認(rèn)證請求中將EAP-Request/AKA′-Challenge消息透明轉(zhuǎn)發(fā)給UE。

e）UE根據(jù)USIM卡里預(yù)置的K和收到的RAND計算出RES*。

f）UE 在NAS 消息Auth-Response 消息中將EAPResponse/AKA′-Challenge 消息發(fā)送至SEAF。

g）SEAF 將EAP-Response/AKA′-Challenge 消息透明轉(zhuǎn)發(fā)給AUSF。

h）AUSF 驗證該消息。若AUSF 不能成功驗證該消息，返回錯誤消息。

i）（可選）AUSF 和UE 可通過SEAF 交換EAPRequest/AKA′-Notification 和 EAP-Response/AKA′-Notification消息；SEAF透明地轉(zhuǎn)發(fā)這些信息。

j）AUSF 向SEAF發(fā)送EAP Success消息，該消息應(yīng)被透明地轉(zhuǎn)發(fā)給UE。

k）SEAF 在N1 消息中將EAP Success 消息發(fā)送到UE。

3 二次認(rèn)證

3.1 二次認(rèn)證應(yīng)用場景

5G 開啟了萬物互聯(lián)的新時代，電信運(yùn)營商將完成以面向普通公眾用戶為主到面向公眾和垂直行業(yè)并重的轉(zhuǎn)變。垂直行業(yè)用戶所訪問的數(shù)據(jù)業(yè)務(wù)關(guān)系到國計民生或商業(yè)機(jī)密，相較于普通公眾用戶有著更高的安全需求。面向?qū)K端有多重接入控制需求的工業(yè)互聯(lián)網(wǎng)等垂直行業(yè)客戶，5G網(wǎng)絡(luò)可以為其提供底層認(rèn)證通道，由垂直行業(yè)客戶自己選擇或定制具體的認(rèn)證算法和協(xié)議，實現(xiàn)自主可控的二次認(rèn)證。二次認(rèn)證通過，則為用戶建立PDU 會話并提供網(wǎng)絡(luò)服務(wù)，否則不能為用戶建立PDU 會話。5G 用戶和核心網(wǎng)的主認(rèn)證完成之后，在用戶建立PDU 會話時，由SMF 發(fā)起二次認(rèn)證。二次認(rèn)證涉及的網(wǎng)元包括AMF、SMF、UPF、AUSF、DN-AAA等，如圖5所示。

圖5 二次認(rèn)證相關(guān)網(wǎng)元

3.2 二次認(rèn)證流程

二次認(rèn)證由外部數(shù)據(jù)網(wǎng)絡(luò)的DN-AAA 服務(wù)器對用戶進(jìn)行認(rèn)證授權(quán)，UE 和DN-AAA 之間的認(rèn)證使用EAP 認(rèn)證框架，由SMF 執(zhí)行EAP 認(rèn)證的角色。3GPP對二次認(rèn)證所采用的具體認(rèn)證協(xié)議沒有規(guī)定，符合EAP 框架的認(rèn)證協(xié)議都可以使用，如口令驗證協(xié)議（Password Authentication Protocol，PAP）、詢問握手認(rèn)證協(xié)議（Challenge Handshake Authentication Protocol，CHAP）和安全傳輸層協(xié)議（Transport Layer Security，TLS）等。

3GPP TS 33.501 中詳細(xì)描述了二次認(rèn)證的認(rèn)證過程，如圖6所示。具體認(rèn)證流程如下。

圖6 5G網(wǎng)絡(luò)中的二次認(rèn)證

a）NG-UE 通過使用其網(wǎng)絡(luò)接入憑證執(zhí)行和AUSF/ARPF 之間的基本認(rèn)證過程注冊到網(wǎng)絡(luò)，并且和AMF建立NAS安全上下文。

b）當(dāng)UE 有業(yè)務(wù)時，UE 通過發(fā)送包含PDU 會話建立請求消息的會話管理NAS 消息發(fā)起建立新的PDU會話。

c）AMF 選擇合適的V-SMF/H-SMF 請求為用戶建立PDU 會話，當(dāng)PDU 會話建立過程中只包括單個SMF的情況，例如非漫游或者本地疏導(dǎo)場景中，單個的SMF扮演V-SMF和H-SMF的角色。

d）H-SMF 從UDM 獲取用戶簽約數(shù)據(jù)，SMF 檢查UE請求是否符合用戶簽約數(shù)據(jù)和本地策略，觸發(fā)二次認(rèn)證。

e）二次認(rèn)證基于EAP 認(rèn)證過程從外部DN-AAA服務(wù)器得到授權(quán)。

f）完成認(rèn)證過程后，DN-AAA 服務(wù)器發(fā)送EAP 成功消息給H-SMF。

g）若認(rèn)證成功，則SMF 等網(wǎng)元繼續(xù)為用戶建立PDU會話；否則不能建立PDU會話，返回失敗消息。

4 切片認(rèn)證

4.1 切片認(rèn)證應(yīng)用場景

為滿足垂直行業(yè)客戶對于移動網(wǎng)絡(luò)的不同需求，5G 網(wǎng)絡(luò)引入了網(wǎng)絡(luò)切片技術(shù)，為不同行業(yè)客戶提供多個端到端的虛擬網(wǎng)絡(luò)。為保證合法切片用戶接入網(wǎng)絡(luò)切片，在用戶初始接入時，通過切片選擇輔助信息（Single Network Slice Selection Assistance Information，NSSAI）選擇AMF。切片認(rèn)證的主要應(yīng)用場景為高安全需求的行業(yè)客戶根據(jù)自己的業(yè)務(wù)特點(diǎn)自主可控用戶終端是否可以接入切片，顯然由運(yùn)營商控制的主認(rèn)證和網(wǎng)絡(luò)切片選擇不能滿足其需求，因此5G網(wǎng)絡(luò)中引入了切片認(rèn)證。切片認(rèn)證時，首先用戶通過NSSAI 選擇合適的切片接入，再由AMF 根據(jù)UE 的簽約信息發(fā)起切片認(rèn)證流程。切片認(rèn)證能夠在運(yùn)營商主認(rèn)證的基礎(chǔ)上，更多考慮垂直行業(yè)等第三方客戶的需求，由第三方客戶根據(jù)自己的需求對用戶進(jìn)行是否可以使用切片資源的額外認(rèn)證。例如垂直行業(yè)客戶限制僅僅在客戶認(rèn)可的IMSI 清單內(nèi)的行業(yè)終端才可以接入到客戶專屬切片，從而確保將網(wǎng)絡(luò)切片分配給正確的簽約用戶，保證切片的接入認(rèn)證安全。

切片認(rèn)證涉及的網(wǎng)元包括AMF、NSSAAF、AAA-P（可選網(wǎng)元）和AAA-S（Authentication Authorization Accounting-Server），具體如圖7 所示。其中SEAF/AMF 承擔(dān)EAP 認(rèn)證者的角色，并通過NSSAAF 與AAA-S 進(jìn)行通信。如果AAA-S 屬于第三方，則NSSAAF通過AAA-P 與AAA-S聯(lián)系，NSSAAF 和AAA-P可以合設(shè)。

圖7 切片認(rèn)證相關(guān)網(wǎng)元

4.2 切片認(rèn)證流程

在主認(rèn)證結(jié)束后，基于UE 的簽約信息或UE 欲接入切片的安全策略，AMF向執(zhí)行二次認(rèn)證的AAA-S服務(wù)器發(fā)送切片內(nèi)認(rèn)證請求，從而觸發(fā)一個切片認(rèn)證過程?；贏AA-S返回的認(rèn)證結(jié)果，AMF決定是否允許UE使用切片資源。

3GPP TS 33.501 中詳細(xì)描述了切片認(rèn)證的基本流程，如圖8 所示。UE 成功完成主認(rèn)證后，歸屬/服務(wù)PLMN向AMF和UE授予允許接入的S-NSSAI列表，具體認(rèn)證流程如下。

圖8 切片認(rèn)證流程

a）UE發(fā)送攜帶S-NSSAI列表的注冊請求。

b）UE 與AMF/SEAF、ARPF/UDM、AUSF 交互，完成主認(rèn)證流程。對于后續(xù)的注冊請求，如果UE 已經(jīng)通過認(rèn)證并且AMF 具有有效的安全上下文，則可以跳過主認(rèn)證。

c）AMF 應(yīng)根據(jù)本地存儲的信息或來自UDM 的簽約信息，確定每個S-NSSAI 是否需要網(wǎng)絡(luò)切片認(rèn)證和授權(quán)。

d）AMF向UE發(fā)送注冊接受消息。

e）對于需要進(jìn)行網(wǎng)絡(luò)切片認(rèn)證和授權(quán)的用戶，執(zhí)行基于EAP 的網(wǎng)絡(luò)切片認(rèn)證流程。UE 和AAA 服務(wù)器之間的網(wǎng)絡(luò)切片認(rèn)證使用IETF RFC 3748 中定義的EAP 框架，可以使用多種EAP 方法，如PAP、CHAP、PPP、TLS、MD5等認(rèn)證協(xié)議。

f）AMF 根據(jù)e）的結(jié)果，向UE 發(fā)送UE 配置更新消息從而更新請求的S-NSSAI狀態(tài)。

5 結(jié)束語

5G 網(wǎng)絡(luò)拉通了從工廠級到設(shè)備級的無線連接，助力工業(yè)互聯(lián)網(wǎng)、電力能源等垂直行業(yè)的數(shù)字化轉(zhuǎn)型。5G 網(wǎng)絡(luò)與各垂直行業(yè)深度融合的新業(yè)態(tài)是推動社會經(jīng)濟(jì)數(shù)字化轉(zhuǎn)型的重要動力，未來將會有越來越多的行業(yè)借助5G 網(wǎng)絡(luò)實現(xiàn)產(chǎn)業(yè)升級。面對垂直行業(yè)對5G網(wǎng)絡(luò)提出的更高安全需求，5G網(wǎng)絡(luò)對其安全認(rèn)證體系做了豐富和拓展，在運(yùn)營商主認(rèn)證的基礎(chǔ)上，引入了切片認(rèn)證和二次認(rèn)證，使用了非運(yùn)營商控制的信任狀。后續(xù)需要加強(qiáng)與垂直行業(yè)客戶的合作，不斷優(yōu)化主認(rèn)證、二次認(rèn)證、切片認(rèn)證的融合機(jī)制，促進(jìn)垂直行業(yè)的安全、可靠、高質(zhì)量發(fā)展，助力全行業(yè)安全數(shù)字化轉(zhuǎn)型。