5G網(wǎng)絡(luò)是數(shù)字化轉(zhuǎn)型的關(guān)鍵，將推動各行各業(yè)的巨大變革和創(chuàng)新。除“人網(wǎng)”外，其還催生出眾多的“物網(wǎng)”、“工業(yè)網(wǎng)”新應(yīng)用，如：車聯(lián)網(wǎng)、遠程醫(yī)療、智能電表、自動駕駛、視頻監(jiān)控等。在如此多樣化的商業(yè)模式下，5G網(wǎng)絡(luò)也將面臨更加復(fù)雜的網(wǎng)絡(luò)安全和隱私保護的挑戰(zhàn)。

為了加強5G網(wǎng)絡(luò)的安全性，3GPP定義了新的5G安全相關(guān)認證框架，其鑒權(quán)認證架構(gòu)如下圖:

圖1：5G安全相關(guān)認證框架

相比3G/4G網(wǎng)絡(luò)的鑒權(quán)/加密/完整性保護方式，5G端到端的網(wǎng)絡(luò)安全認證架構(gòu)更加安全可靠：

主要總結(jié)為以下幾點:

基于統(tǒng)一認證架構(gòu)，提供用戶和網(wǎng)絡(luò)之間的雙向認證。

支持多種認證方法，例如 5G-AKA, EAP-AKA’等。

采用層次化的密鑰派生機制。

提供空口的加密。

增加了用戶標(biāo)識隱私保護。

針對5G對網(wǎng)絡(luò)安全的超高要求，中興通訊提出基于ZTE?Cloud Native SDM的統(tǒng)一用戶安全認證解決方案，此方案不僅為5G網(wǎng)絡(luò)提供了端到端的鑒權(quán)認證和加密機制, 而且實現(xiàn)2G/3G/4G/5G/IMS多網(wǎng)絡(luò)接入下的統(tǒng)一鑒權(quán)認證，確保全網(wǎng)絡(luò)的安全可靠。

中興通訊Cloud NaTIve SDM統(tǒng)一用戶安全認證方案

圖2：ZTE Cloud NaTIve SDM解決方案

如圖所示，中興通訊Cloud NaTIve SDM，包括BE（BackEnd）和FE（FrontEnd）兩部分， BE基于云化統(tǒng)一數(shù)據(jù)層，其中結(jié)構(gòu)化存儲單元UDR統(tǒng)一融合2G/3G/4G/5G/IMS等用戶數(shù)據(jù)；FE深度融合HLR/HSS/UDM/AUSF等網(wǎng)元業(yè)務(wù)功能，實現(xiàn)了多網(wǎng)絡(luò)接入下統(tǒng)一移動性管理和認證鑒權(quán)管理。

UDR：融合存儲多種結(jié)構(gòu)化數(shù)據(jù)，包括2G/3G/4G/5G簽約數(shù)據(jù)、PCRF策略數(shù)據(jù)、用戶鑒權(quán)數(shù)據(jù)等。

UDM：作為5GC網(wǎng)絡(luò)中的數(shù)據(jù)管理NF， 實現(xiàn)5G網(wǎng)絡(luò)統(tǒng)一接入、鑒權(quán)認證功能，包括鑒權(quán)證書計算、5G HE?Avs生成、重同步鑒權(quán)證書計算等。

AUSF：作為5GC網(wǎng)絡(luò)中的鑒權(quán)NF，提供鑒權(quán)服務(wù)功能，支持5G鑒權(quán)架構(gòu)的5G AKA流程和EAP AKA’流程，并提供服務(wù)網(wǎng)絡(luò)授權(quán)檢查、鑒權(quán)算法、增強歸屬網(wǎng)絡(luò)控制以及SUCI(SubscripTIon concealed identifier)等功能。

中興通訊Cloud Native SDM的統(tǒng)一用戶安全認證解決方案，為5G而生，保護用戶數(shù)據(jù)的完整性、可靠性和一致性、安全性，時刻保障多接入網(wǎng)絡(luò)的安全穩(wěn)定運行，主要特點如下：

統(tǒng)一的云原生/微服務(wù)架構(gòu)，實現(xiàn)業(yè)務(wù)快速部署

滿足云原生相關(guān)特征，支持虛機和容器化部署，對服務(wù)級的業(yè)務(wù)進行了進一步的擴充和細分，拆分為更細粒度的微服務(wù)，每個微服務(wù)/服務(wù)都可以獨立部署、升級、遷移和重生，幫助運營商快速部署網(wǎng)絡(luò)和新業(yè)務(wù)。

大容量，全融合，高可靠，降低TCO

大容量：單設(shè)備支持多達億級2/3/4/5G/IMS靜態(tài)用戶；

全融合：支持HLR/HSS/UDM/AUSF/EIR/ENUM/SPR/AAA等網(wǎng)元的融合，有效降低CAPEX和OPEX；

高可靠：多級數(shù)據(jù)庫備份和恢復(fù)機制、完善的過負荷保護機制等，充分保障設(shè)備的穩(wěn)定性。

多網(wǎng)絡(luò)接入的統(tǒng)一鑒權(quán)認證，簡化網(wǎng)絡(luò)

中興通訊Cloud Native SDM集中化存儲2G/3G/4G/5G用戶數(shù)據(jù)。當(dāng)用戶從不同網(wǎng)絡(luò)接入時，基于統(tǒng)一的用戶鑒權(quán)信息，依據(jù)不同網(wǎng)絡(luò)的鑒權(quán)算法可以生成3G五元組、4G四元組、5G四元組，從而實現(xiàn)同一用戶從不同網(wǎng)絡(luò)接入時的統(tǒng)一鑒權(quán)認證。

為5G用戶永久標(biāo)識提供私密性保護功能，保護用戶隱私

中興通訊Cloud Native SDM解決方案為5G USIM卡提供了用戶標(biāo)識隱私保護功能，相比4G網(wǎng)絡(luò)空口消息中采用明文IMSI，5G網(wǎng)絡(luò)空口消息中采用SUCI，即密文IMSI，防止非法基站和設(shè)備獲取用戶IMSI信息，保護用戶隱私信息。

5G用戶注冊時雙向認證，防止非法用戶接入

當(dāng)用戶接入時，中興通訊Cloud Native SDM按照5G AKA或者EAP AKA’鑒權(quán)算法進行鑒權(quán)認證。當(dāng)用戶側(cè)和網(wǎng)絡(luò)側(cè)完成雙向認證后，網(wǎng)絡(luò)才允許用戶接入網(wǎng)絡(luò)，完成用戶注冊等業(yè)務(wù)操作。

增強歸屬網(wǎng)絡(luò)鑒權(quán)認證控制，防止欺詐

中興通訊Cloud Native SDM的5G鑒權(quán)認證在歸屬網(wǎng)控制方面做了增強，即歸屬網(wǎng)絡(luò)將終端認證確認與注冊流程關(guān)聯(lián)，如果在該網(wǎng)絡(luò)下終端未曾通過鑒權(quán)認證，歸屬網(wǎng)絡(luò)可拒絕注冊，同時可指示拜訪網(wǎng)絡(luò)在注冊前應(yīng)重新請求鑒權(quán)認證，進一步提高了網(wǎng)絡(luò)安全性，有效避免拜訪網(wǎng)絡(luò)欺騙發(fā)生。

中興通訊Cloud Native SDM的統(tǒng)一用戶安全認證解決方案，為多種終端、多種接入、多種應(yīng)用提供統(tǒng)一用戶鑒權(quán)和認證，簡化網(wǎng)絡(luò)架構(gòu)，確保用戶信息不被非法設(shè)備侵入、篡改和泄露，為2G/3G/4G/5G/IMS網(wǎng)絡(luò)安全提供最根本的保障。?