5G網(wǎng)絡是數(shù)字化轉型的關鍵，將推動各行各業(yè)的巨大變革和創(chuàng)新。除“人網(wǎng)”外，其還催生出眾多的“物網(wǎng)”、“工業(yè)網(wǎng)”新應用，如：車聯(lián)網(wǎng)、遠程醫(yī)療、智能電表、自動駕駛、視頻監(jiān)控等。在如此多樣化的商業(yè)模式下，5G網(wǎng)絡也將面臨更加復雜的網(wǎng)絡安全和隱私保護的挑戰(zhàn)。

為了加強5G網(wǎng)絡的安全性，3GPP定義了新的5G安全相關認證框架，其鑒權認證架構如下圖:

圖1：5G安全相關認證框架

相比3G/4G網(wǎng)絡的鑒權/加密/完整性保護方式，5G端到端的網(wǎng)絡安全認證架構更加安全可靠：

主要總結為以下幾點:

基于統(tǒng)一認證架構，提供用戶和網(wǎng)絡之間的雙向認證。

支持多種認證方法，例如 5G-AKA, EAP-AKA’等。

采用層次化的密鑰派生機制。

提供空口的加密。

增加了用戶標識隱私保護。

針對5G對網(wǎng)絡安全的超高要求，中興通訊提出基于ZTE?Cloud Native SDM的統(tǒng)一用戶安全認證解決方案，此方案不僅為5G網(wǎng)絡提供了端到端的鑒權認證和加密機制, 而且實現(xiàn)2G/3G/4G/5G/IMS多網(wǎng)絡接入下的統(tǒng)一鑒權認證，確保全網(wǎng)絡的安全可靠。

中興通訊Cloud NaTIve SDM統(tǒng)一用戶安全認證方案

圖2：ZTE Cloud NaTIve SDM解決方案

如圖所示，中興通訊Cloud NaTIve SDM，包括BE（BackEnd）和FE（FrontEnd）兩部分， BE基于云化統(tǒng)一數(shù)據(jù)層，其中結構化存儲單元UDR統(tǒng)一融合2G/3G/4G/5G/IMS等用戶數(shù)據(jù)；FE深度融合HLR/HSS/UDM/AUSF等網(wǎng)元業(yè)務功能，實現(xiàn)了多網(wǎng)絡接入下統(tǒng)一移動性管理和認證鑒權管理。

UDR：融合存儲多種結構化數(shù)據(jù)，包括2G/3G/4G/5G簽約數(shù)據(jù)、PCRF策略數(shù)據(jù)、用戶鑒權數(shù)據(jù)等。

UDM：作為5GC網(wǎng)絡中的數(shù)據(jù)管理NF， 實現(xiàn)5G網(wǎng)絡統(tǒng)一接入、鑒權認證功能，包括鑒權證書計算、5G HE?Avs生成、重同步鑒權證書計算等。

AUSF：作為5GC網(wǎng)絡中的鑒權NF，提供鑒權服務功能，支持5G鑒權架構的5G AKA流程和EAP AKA’流程，并提供服務網(wǎng)絡授權檢查、鑒權算法、增強歸屬網(wǎng)絡控制以及SUCI(SubscripTIon concealed identifier)等功能。

中興通訊Cloud Native SDM的統(tǒng)一用戶安全認證解決方案，為5G而生，保護用戶數(shù)據(jù)的完整性、可靠性和一致性、安全性，時刻保障多接入網(wǎng)絡的安全穩(wěn)定運行，主要特點如下：

統(tǒng)一的云原生/微服務架構，實現(xiàn)業(yè)務快速部署

滿足云原生相關特征，支持虛機和容器化部署，對服務級的業(yè)務進行了進一步的擴充和細分，拆分為更細粒度的微服務，每個微服務/服務都可以獨立部署、升級、遷移和重生，幫助運營商快速部署網(wǎng)絡和新業(yè)務。

大容量，全融合，高可靠，降低TCO

大容量：單設備支持多達億級2/3/4/5G/IMS靜態(tài)用戶；

全融合：支持HLR/HSS/UDM/AUSF/EIR/ENUM/SPR/AAA等網(wǎng)元的融合，有效降低CAPEX和OPEX；

高可靠：多級數(shù)據(jù)庫備份和恢復機制、完善的過負荷保護機制等，充分保障設備的穩(wěn)定性。

多網(wǎng)絡接入的統(tǒng)一鑒權認證，簡化網(wǎng)絡

中興通訊Cloud Native SDM集中化存儲2G/3G/4G/5G用戶數(shù)據(jù)。當用戶從不同網(wǎng)絡接入時，基于統(tǒng)一的用戶鑒權信息，依據(jù)不同網(wǎng)絡的鑒權算法可以生成3G五元組、4G四元組、5G四元組，從而實現(xiàn)同一用戶從不同網(wǎng)絡接入時的統(tǒng)一鑒權認證。

為5G用戶永久標識提供私密性保護功能，保護用戶隱私

中興通訊Cloud Native SDM解決方案為5G USIM卡提供了用戶標識隱私保護功能，相比4G網(wǎng)絡空口消息中采用明文IMSI，5G網(wǎng)絡空口消息中采用SUCI，即密文IMSI，防止非法基站和設備獲取用戶IMSI信息，保護用戶隱私信息。

5G用戶注冊時雙向認證，防止非法用戶接入

當用戶接入時，中興通訊Cloud Native SDM按照5G AKA或者EAP AKA’鑒權算法進行鑒權認證。當用戶側和網(wǎng)絡側完成雙向認證后，網(wǎng)絡才允許用戶接入網(wǎng)絡，完成用戶注冊等業(yè)務操作。

增強歸屬網(wǎng)絡鑒權認證控制，防止欺詐

中興通訊Cloud Native SDM的5G鑒權認證在歸屬網(wǎng)控制方面做了增強，即歸屬網(wǎng)絡將終端認證確認與注冊流程關聯(lián)，如果在該網(wǎng)絡下終端未曾通過鑒權認證，歸屬網(wǎng)絡可拒絕注冊，同時可指示拜訪網(wǎng)絡在注冊前應重新請求鑒權認證，進一步提高了網(wǎng)絡安全性，有效避免拜訪網(wǎng)絡欺騙發(fā)生。

中興通訊Cloud Native SDM的統(tǒng)一用戶安全認證解決方案，為多種終端、多種接入、多種應用提供統(tǒng)一用戶鑒權和認證，簡化網(wǎng)絡架構，確保用戶信息不被非法設備侵入、篡改和泄露，為2G/3G/4G/5G/IMS網(wǎng)絡安全提供最根本的保障。?