5G网络是数字化转型的关键,将推动各行各业的巨大变革和创新。除“人网”外,其还催生出众多的“物网”、“工业网”新应用,如:车联网、远程医疗、智能电表、自动驾驶、视频监控等。在如此多样化的商业模式下,5G网络也将面临更加复杂的网络安全和隐私保护的挑战。
为了加强5G网络的安全性,3GPP定义了新的5G安全相关认证框架,其鉴权认证架构如下图:
图1:5G安全相关认证框架
相比3G/4G网络的鉴权/加密/完整性保护方式,5G端到端的网络安全认证架构更加安全可靠:
主要总结为以下几点:
基于统一认证架构,提供用户和网络之间的双向认证。
支持多种认证方法,例如 5G-AKA, EAP-AKA’等。
采用层次化的密钥派生机制。
提供空口的加密。
增加了用户标识隐私保护。
针对5G对网络安全的超高要求,中兴通讯提出基于ZTE Cloud Native SDM的统一用户安全认证解决方案,此方案不仅为5G网络提供了端到端的鉴权认证和加密机制, 而且实现2G/3G/4G/5G/IMS多网络接入下的统一鉴权认证,确保全网络的安全可靠。
中兴通讯Cloud Native SDM统一用户安全认证方案
图2:ZTE Cloud Native SDM解决方案
如图所示,中兴通讯Cloud Native SDM,包括BE(BackEnd)和FE(FrontEnd)两部分, BE基于云化统一数据层,其中结构化存储单元UDR统一融合2G/3G/4G/5G/IMS等用户数据;FE深度融合HLR/HSS/UDM/AUSF等网元业务功能,实现了多网络接入下统一移动性管理和认证鉴权管理。
UDR:融合存储多种结构化数据,包括2G/3G/4G/5G签约数据、PCRF策略数据、用户鉴权数据等。
UDM:作为5GC网络中的数据管理NF, 实现5G网络统一接入、鉴权认证功能,包括鉴权证书计算、5G HE Avs生成、重同步鉴权证书计算等。
AUSF:作为5GC网络中的鉴权NF,提供鉴权服务功能,支持5G鉴权架构的5G AKA流程和EAP AKA’流程,并提供服务网络授权检查、鉴权算法、增强归属网络控制以及SUCI(Subscription concealed identifier)等功能。
中兴通讯Cloud Native SDM的统一用户安全认证解决方案,为5G而生,保护用户数据的完整性、可靠性和一致性、安全性,时刻保障多接入网络的安全稳定运行,主要特点如下:
1、统一的云原生/微服务架构,实现业务快速部署
满足云原生相关特征,支持虚机和容器化部署,对服务级的业务进行了进一步的扩充和细分,拆分为更细粒度的微服务,每个微服务/服务都可以独立部署、升级、迁移和重生,帮助运营商快速部署网络和新业务。
2、大容量,全融合,高可靠,降低TCO
大容量:单设备支持多达亿级2/3/4/5G/IMS静态用户;
全融合:支持HLR/HSS/UDM/AUSF/EIR/ENUM/SPR/AAA等网元的融合,有效降低CAPEX和OPEX;
高可靠:多级数据库备份和恢复机制、完善的过负荷保护机制等,充分保障设备的稳定性。
3、多网络接入的统一鉴权认证,简化网络
中兴通讯Cloud Native SDM集中化存储2G/3G/4G/5G用户数据。当用户从不同网络接入时,基于统一的用户鉴权信息,依据不同网络的鉴权算法可以生成3G五元组、4G四元组、5G四元组,从而实现同一用户从不同网络接入时的统一鉴权认证。
4、为5G用户永久标识提供私密性保护功能,保护用户隐私
中兴通讯Cloud Native SDM解决方案为5G USIM卡提供了用户标识隐私保护功能,相比4G网络空口消息中采用明文IMSI,5G网络空口消息中采用SUCI,即密文IMSI,防止非法基站和设备获取用户IMSI信息,保护用户隐私信息。
5、5G用户注册时双向认证,防止非法用户接入
当用户接入时,中兴通讯Cloud Native SDM按照5G AKA或者EAP AKA’鉴权算法进行鉴权认证。当用户侧和网络侧完成双向认证后,网络才允许用户接入网络,完成用户注册等业务操作。
6、增强归属网络鉴权认证控制,防止欺诈
中兴通讯Cloud Native SDM的5G鉴权认证在归属网控制方面做了增强,即归属网络将终端认证确认与注册流程关联,如果在该网络下终端未曾通过鉴权认证,归属网络可拒绝注册,同时可指示拜访网络在注册前应重新请求鉴权认证,进一步提高了网络安全性,有效避免拜访网络欺骗发生。
中兴通讯Cloud Native SDM的统一用户安全认证解决方案,为多种终端、多种接入、多种应用提供统一用户鉴权和认证,简化网络架构,确保用户信息不被非法设备侵入、篡改和泄露,为2G/3G/4G/5G/IMS网络安全提供最根本的保障。