適用于多類移動場景的融合認證機制設計
摘要
認證是移動通信系統的重要安全手段,主要用于鑒別功能實體的身份的合法性。為滿足企業/行業用戶遠程移動業務應用的需求,依托移動運營商網絡構建專網已成為業界的主流方式。目前業界認證的主流思路是在移動運營商提供的主認證、二次認證基礎上疊加額外的用戶面認證。這種思路在面向多類移動場景應用時存在不足。針對這一問題首先對不同利益相關方對認證的需求進行了分析;其次提出了一種全新的、靈活的融合認證機制,對普通垂直行業、關鍵行業兩類行業應用以及大帶寬、低功耗以及低時延等移動場景進行深入設計;最后給出了在實物和半實物環境中針對主認證、用戶面認證以及二次認證試驗驗證的結果,證明了方案的優勢,為5G面向垂直行業和關鍵行業應用提供理論支撐。
內容目錄:
1 現有移動通信認證機制
2 融合認證機制設計
2.1 不同利益相關方對認證的需求
2.2 總體設計
2.2.1 高安全等級 eMBB 專線場景
2.2.2 高安全等級 mMTC 專線場景
2.2.3 高安全等級 uRLLC 專線場景
2.2.4 高安全等級專網場景
3 融合認證機制試驗驗證
3.1 實物驗證
3.1.1 eMBB 實物場景
3.1.2 mMTC 模擬場景
3.1.3 uRLLC 模擬場景
3.2 半實物仿真驗證
4 結 語
認證是移動通信系統的重要安全手段,主要用于鑒別功能實體的身份的合法性。
2G系統提供了單向認證能力,即網絡認證終端而沒有終端認證網絡,因此出現了偽基站的攻擊方式。
進入3G和4G時代,“第三代合作伙伴計劃”標準化組織(3rd Generation Partnership Project, 3GPP)完善了認證機制,提供了雙向認證能力,即網絡認證終端,終端同時也認證網絡,這種認證比較適合2C的模式,即運營商為公眾用戶提供服務的情況。之后,在移動通信與行業相結合的背景下,運營商除了面向公眾用戶,還能夠為行業用戶提供專線服務。為了提高行業應用的安全性,運營商除了提供雙向主認證,還為專線提供了二層隧道協議網絡服務器(L2TP Network Server,LNS)+認證、授權、計費(Authentication、Authorization、Accounting,AAA)的認證,這種認證常被稱為AAA認證。這種認證方式通過在用戶身份標識模塊 (Subscriber Identity Module,SIM)卡里配置行業用戶的用戶名和口令信息,并在主認證的過程中通過非接入層(Non-Access Stratum,NAS)消息將用戶名和口令信息帶給分組數據網絡網關(Packet Data Network Gateway,PGW)網元,再由PGW網元與部署在行業用戶數據網絡(Data Network,DN)處的AAA服務器之間的基于Radius或Diameter協議實現AAA認證。認證通過后,由同樣部署在行業用戶DN處的LNS為終端分配專線的網際互聯協議 (Internet Protocol,IP)地址,并提供接入控制能力。
進入5G時代,3GPP提出了一種更加符合行業需求的二次認證機制。在從2C向2B轉型的背景下,相較于3G和4G的AAA認證,5G的二次認證雖然也是一種面向行業的接入認證,但5G網絡只提供了基于可擴展的身份認證協議(Extensible Authentication Protocol,EAP)統一承載的二次認證通道。二次協議相當于應用層協議,完全由行業自主選擇和確定,同時這個二次認證是一個從終端到AAA之間的端到端認證,因此認證能力有較大提升。
1 現有移動通信認證機制
我國的5G商用采用的是獨立組網(Stand Alone,SA)思路,因此目前主流的移動通信系統有兩大類四小類場景,第一大類是4G移動通信系統,第二大類是5G移動通信系統。兩個大類各自都有兩個小類,分別是漫游架構和非漫游架構,前者實現用戶依托拜訪地基礎設施接入的情況,后者實現用戶依托本地基礎設施接入的情況。下面以漫游架構為例進行說明。
4G移動通信漫游架構場景的認證機制如圖1所示。其中,主認證和AAA認證均由歸屬地運營商提供,采用國際的標準認證體制;用戶面認證由行業用戶提供,采用國產或專用認證體制。
圖1 4G 移動通信漫游架構認證機制
5G移動通信漫游架構場景的認證機制如圖2所示。其中,主認證由歸屬地運營商提供,采用國際標準認證體制;切片認證和二次認證根據運營商為行業提供服務的模式進行選取,若運營商為行業提供專用切片,則采用切片認證,若運營商為行業提供專線,則采用二次認證。切片認證和二次認證由行業用戶提供,原則上可采用國產或專用認證體制。用戶面認證由行業用戶提供,采用國產或專用認證體制。
圖2 5G 移動通信漫游架構認證機制
但是在傳統思路的認證體系中,看似進行了3重認證,但實際上每重認證所扮演的角色雷同,沒有起到實質性多重認證的目的。此外,在面向不同應用場景,特別是面向不同垂直行業應用時仍有不足,主要體現在以下5個方面。
(1)認證協議單一。3G主認證采用通用移動通信系統(Universal Mobile Telecommunications System,UMTS)和認證與密鑰協商協議 (Authentication and Key Agreement,AKA),4G主認證采用演進分組系統(Evolved Packet System,EPS)AKA,5G主認證采用5G AKA和EAP AKA’。這些認證協議雖然有細微差異,但本質上原理一樣,差異僅僅在于AKA協議本身安全性的提升。3G和4G的AAA認證只規定了Radius和Diameter兩種協議,5G的二次認證或切片認證只定義了EAP作為底層承載協議,并未規定和描述上層的認證協議,但運營商在實際規劃中仍然會采用Radius等主流認證協議,無法適應不同應用場景對認證協議的差異化需要。
(2)認證算法單一。無論是3G、4G的AAA認證還是5G的二次認證,雖然都沒有對認證算法進行規定,但實際上都默認使用的是特定的國際公開算法。對于行業而言,雖然以上認證體系進行了多重認證,但真正有效的仍然只有用戶面認證,效率不高,無法適應不同行業、不同場景對認證算法的差異化安全需要。
(3)認證手段單一。主認證基于對稱密碼的挑戰應答機制進行認證,3G和4G的AAA認證以用戶名加口令作為認證手段,5G的二次認證并未對此做明確規定,但按常理仍然會以口令為主,無法滿足不同應用場景對認證手段的差異化需求。
(4)實體界限不清。3G和4G的AAA認證雖然信息來自終端和AAA服務器,但認證協議的對等雙方卻實際上是PGW和AAA服務器,在協議上不是端到端的認證。而5G的二次認證雖然規定了認證協議的對等方是終端和AAA服務器,但目前3GPP R17標準仍然并未規定終端內部如何分工并提供認證能力,因此無法適應不同情況下認證協議與認證計算對載體的差異化需求。
(5)功能部署僵化。對于主認證、3G和4G的AAA認證及5G的二次認證,在終端側均由終端完成協議解析,由通用用戶身份標識模塊(Universal Subscriber Identity Module,USIM)卡完成認證計算,其認證協議與認證計算的部署是固化的。在網絡側,主認證由統一數據管理功能(Unified Data Management,UDM)完成協議解析和認證計算,3G和4G的AAA認證及5G的二次認證由AAA服務器完成,協議解析和認證計算均同時完成,部署位置也是固定不變的,無法適應不同場景對部署方式的差異化需要。
為了更好地支撐智能制造及工業4.0的發展,以5G和6G新一代寬帶移動通信技術的發展為契機,本文提出一種適用于移動通信多類應用場景的融合認證機制,以解決上述5個方面的難題。
2 融合認證機制設計
2.1 不同利益相關方對認證的需求
3GPP在5G的R16標準階段定義了主認證、二次認證以及切片認證。有安全需求的垂直行業和關鍵行業通常還會額外疊加用戶面認證。
主認證主要是面向運營商,用于運營商驗證移動用戶的合法性,其依托的是對稱密碼,驗證的目標對象是USIM卡或嵌入式用戶身份標識模塊 (embedded Subscriber Identity Module,eSIM),通常這一驗證過程由運營商掌控。
二次認證主要面向行業專線應用模式,用于驗證移動用戶的合法性,其依托的可以是對稱密碼技術、數字證書等,驗證的目標對象可以是安全介質、用戶名口令或者生物特征等。
切片認證主要面向行業專用切片或專網應用模式,用于驗證移動用戶的合法性,其依托的可以是對稱密碼、數字證書等,驗證的目標對象可以是安全介質、用戶名口令等。
用戶面認證主要由行業自行提供,用于驗證移動用戶的合法性,其依托的主要是數字證書,驗證的目標對象通常是安全介質或生物特征等,還能額外提供密鑰分發功能。
從不同利益相關方需求的角度,運營商認可的是主認證的過程和結果,信任二次認證和切片認證的結果;而行業認可的是二次認證和切片認證的過程和結果以及用戶面認證的過程和結果。通常行業對二次認證、切片認證和用戶面認證的認可度相同。若驗證的目標對象相同,則可將兩種認證合一;若不同,則可作為多種驗證目標對象的相互補充。
從認證過程和結果認可度的角度,行業對認證過程和結果的信任度主要取決于行業對于參與認證功能單元,特別是提供認證運算和認證協議處理的硬件載體的認可度。因此,普通垂直行業認可虛擬認證卡或者信任運營商或其他的認證介質,而關鍵行業則不會信任運營商或其他的認證介質,其只認可其專用認證介質。
從認證算法和協議對通信特征的適應性的角度,主認證的AKA協議是一種基于對稱密碼體制的比較中性的認證協議,強度不低并且開銷也不高,因此可以用于高強度、低功耗以及低時延的應用場景。對于專用認證而言,由于其往往更加追求極致體驗,會有專門的高強度、低功耗以及低時延認證算法和協議,以適應不同的應用場景的通信特征。
2.2 總體設計
為了能夠兼顧行業對認證安全性的要求、認證對通信特征適應性的要求以及運營商為行業提供的不同應用模式的要求,提出一種適用于多種移動場景的融合認證機制,如圖3所示。該認證機制的核心思想是根據場景特點,將終端側和網絡側認證的通信功能、認證協議處理和認證計算處理等功能進行解耦設計和按需分離部署,以適應行業對認證載體、認證體制、通信信道特征等的要求。
圖3 適用于多種移動場景的融合認證機制
圖3中,認證機制分為3層,分別是主認證、二次認證和切片認證、用戶面認證。其中,用戶面認證利益相關方最單純,由行業自行提供,運營商不參與,并且其驗證目標是行業用戶在終端上嵌入的安全模塊。用戶面認證通過之后,行業用戶就認為移動終端是合法的。但其缺陷在于用戶面認證發生在通信連接建立之后,安全性弱于在通信連接建立之前進行認證。
主認證分為專線模式和專網模式兩種情況。它們的共同點在于認證體制均完全遵循3GPP標準,并且通信協議處理、認證協議處理由移動終端和UDM網元處理。它們的區別在于提供認證計算的載體本身的安全性是否具有行業認可度,具體如下文所述。
(1)專線模式情況下,主認證完全依托運營商,由運營商基于國際標準認證協議和算法提供雙向接入認證,客戶端為運營商發行的USIM卡,服務端為標準的核心網UDM網元。這種情況下,計算處理終端側認證由標準USIM卡提供,網絡側由標準UDM完成。此外,普通垂直行業可信任運營商的接入認證,而關鍵行業則不信任運營商的接入認證,主要依賴于后面兩重認證。
(2)專網模式情況下,主認證則由運營商和行業共同提供基于標準AKA協議和國產或專用認證算法的雙向接入認證。客戶端為運營商與行業聯合發行的基于行業認可的載體研制的安全增強USIM卡,完成認證計算處理的安全增強。服務端為運營商提供的專用UDM網元,負責通信功能和認證協議處理部分,面向核心網提供標準UDM的接口,面向認證服務器提供專用認證調用接口,以實現國產和專用認證運算的嵌入。行業提供的認證服務器,提供第三方的認證計算處理的安全增強。這種情況主要面向體量比較大的關鍵行業,同時由于針對主認證進行了安全增強,因此關鍵行業會信任本次接入認證。
二次認證和切片認證本身就是移動通信網絡為行業提供的高度靈活的認證機制。二次認證用于專項模式情況,切片認證用于專網模式情況。其認證均發生在通信連接建立之前,認證通道由運營商提供,但認證體制又由行業提供,安全性較高,并且利益相關方同時包含運營商和行業,因此最為復雜。下面專門針對適用于多種移動場景的二次認證和切片認證機制進行展開描述。
根據行業對認證安全性與合規性要求以及信道特征對認證協議與其承載通信協議的適應性要求,將終端側認證功能分解為終端側認證載體、認證客戶端軟件、EAP客戶端軟件以及AAA服務器軟硬件、認證服務器軟硬件,從而實現通信功能與認證功能間的去耦合。通過終端側和網絡側雙方靈活性支持的配合,最終滿足二次認證在架構上各種差異化的需求,同時滿足各功能實體靈活部署的需求,具體如下文所述。
(1)終端側認證載體提供認證計算處理功能。該載體可以是硬件實體,也可以是虛擬實體。通過認證載體的剝離,實現認證協議與認證計算的去耦合,提供認證算法體制的差異化能力,支持普通垂直行業或關鍵行業用戶,也可提供認證能力的差異化能力,支持超高速、低時延以及低功耗等認證能力。
(2)認證客戶端軟件提供終端側認證協議的解析與封裝,通過二次認證客戶端軟件的剝離,提供認證協議的差異化能力,可支持高強度認證能力、低開銷窄帶認證能力及低時延認證能力。
(3)EAP客戶端軟件實現EAP承載協議的解析與封裝,通過EAP客戶端的剝離,實現差異化的承載開銷,從而可通過EAP客戶端部署位置的差異化來適應寬帶和窄帶網絡特征。
(4)AAA服務器提供認證功能以外的其他通用功能,包括底層通信及EAP承載相關功能。
(5)認證服務器軟硬件提供認證計算及協議的封裝與解析,通過在網絡側將通信功能與認證功能剝離,提供差異化的二次認證能力。
其中,EAP客戶端軟件與AAA服務器成對使用,提供底層EAP的對等交互;認證載體、認證客戶端軟件與認證服務器軟硬件成對使用,提供上層認證的對等交互。通過以上兩個層次的配合,在不對移動通信網絡提要求的情況下,提供有差異化能力的二次認證和切片認證功能。
在面向不同的典型移動場景的情況下,由于不同移動場景的移動通信網絡的能力和特點差異很大,因此通過終端側認證載體、認證客戶端軟件和EAP客戶端軟件,以及網絡側AAA服務器和二次認證服務器的分離部署,來按需提供靈活性和差異化能力。對于普通安全等級的場景,通常采用專線模式,主認證完全依托運營商,行業提供適合于特定移動場景通信特征的、基于國產體制的二次認證或者用戶面認證。而對于高安全等級的場景,則需要考慮得更多,下面具體分情況進行描述。
2.2.1 高安全等級 eMBB 專線場景
高安全等級增強移動寬帶(enhanced Mobile Broadband,eMBB)的專線場景主要面向中小型體量的關鍵行業,通信基礎設施完全由運營商提供。這種情況下,運營商提供主認證,但是行業不信任運營商的主認證。運營商和行業聯合提供二次認證,并且行業額外再提供單獨的用戶面認證作為第二重專用認證。
高安全等級eMBB專線場景的應用方式如圖4所示。在終端側認證載體方面,單獨配備計算資源豐富的實體認證卡作為二次認證載體,提升認證強度。此外,可采用支持生物特征配合證書的二次認證客戶端軟件來提高易用性。在功能部署方面,將EAP客戶端軟件與二次認證客戶端軟件進行融合設計,由二次認證客戶端及服務器軟件實現高強度的認證協議。在行業安全需求方面,對于關鍵行業,使用有專用認證算法資質的終端側認證載體和二次認證服務器硬件,配合提供標準認證協議的客戶端及服務器軟件來實現專用體制的二次認證功能。二次認證基于高強度認證協議,采用專用認證算法,其流程如圖5所示。
圖4 高安全等級 eMBB 專線場景的應用方式
圖 5 基于專用高強度認證機制的二次認證流程
2.2.2 高安全等級 mMTC 專線場景
高安全等級低功耗大連接(massive Machine Type Communication,mMTC)專線場景同樣主要面向中小型體量的關鍵行業,通信基礎設施完全由運營商提供。同樣的,運營商提供主認證,但是行業不信任運營商的主認證,運營商和行業聯合提供二次認證,行業可根據需要額外提供單獨的用戶面認證作為第二重專用認證。
安全等級mMTC場景的應用方式如圖6所示。在終端側認證載體方面,復用專用eSIM模塊提供專用的二次認證,可采用支持用戶名口令的二次認證客戶端軟件來提高易用性。另外,可根據需要單獨配備低功耗的實體認證卡作為用戶面認證載體增強安全強度,并可采用支持對稱密碼的用戶面認證客戶端。在功能部署方面,將EAP客戶端軟件與二次認證客戶端軟件融合設計,由二次認證客戶端及服務器軟件實現輕量級的認證協議。在行業安全需求方面,對于關鍵行業,使用有專用認證算法資質的終端側認證載體和二次認證服務器硬件,配合提供標準認證協議的客戶端及服務器軟件,來實現專用體制的二次認證功能。二次認證基于專用輕量級認證協議,采用專用認證算法,其流程如圖6所示。
圖6 高安全等級 mMTC 場景的應用方式
圖7 基于專用輕量級機制的二次認證流程
2.2.3 高安全等級 uRLLC 專線場景
高安全等級低時延高可靠(Ultra-Reliable Low-Latency Communications,uRLLC)場景,也主要面向中小型體量的關鍵行業,通信基礎設施完全由運營商提供。同樣的,運營商提供主認證,但是行業不信任運營商的主認證,運營商和行業聯合提供快速的二次認證。
高安全等級uRLLC場景的應用方式如圖8所示。在終端側認證載體方面,采用專用高速認證卡提供專用的低時延二次認證。另外,可根據需要單獨配備低功耗的實體認證卡作為用戶面認證載體增強安全強度,并可采用支持對稱密碼的用戶面認證客戶端。在功能部署方面,將EAP客戶端軟件與二次認證客戶端軟件融合設計,由二次認證客戶端及服務器軟件實現低時延的認證協議。在行業安全需求方面,對于關鍵行業,使用有專用認證算法資質的終端側認證載體和二次認證服務器硬件,配合提供標準認證協議的客戶端及服務器軟件來提供專用體制的二次認證功能。二次認證基于專用輕量級認證協議,采用專用認證算法,其流程如圖9所示。
圖8 高安全等級 uRLLC 場景的應用方式
圖9 基于專用輕量級機制的二次認證流程
2.2.4 高安全等級專網場景
高安全等級的專網場景主要面向大型體量的、有更高安全需求的關鍵行業,由行業和運營商共同提供通信基礎設施。這種情況下,運營商和行業聯合定制專用網絡切片。這個專用網絡切片由運營商和行業聯合提供行業信任的主認證及切片認證。行業可額外再按需提供單獨的用戶面認證作為第三重專用認證。
高安全等級的專網場景的應用方式具體如圖10所示。在終端側認證載體方面,單獨配備基于有專用認證算法資質的增強USIM卡提供增強主認證,再額外配備計算資源豐富的實體認證卡作為切片認證載體提升認證強度,并可采用支持生物特征配合證書的切片認證客戶端軟件來提高易用性。在功能部署方面,將主認證的通信功能和認證功能分離為專用UDM和主認證服務器,并將EAP客戶端軟件與切片認證客戶端軟件融合設計,由切片認證客戶端及服務器軟件實現高強度的認證協議。在行業安全需求方面,對于關鍵行業,使用有專用認證算法資質的終端側認證載體和切片認證服務器硬件,配合提供專用認證協議的客戶端及服務器軟件來實現專用體制的切片認證功能。
具體而言,主認證采用基于3GPP標準5G AKA或EAP-AKA’認證協議和專用認證算法的安全增強機制。切片認證和用戶面認證,均基于行業專用認證協議,采用專用認證算法。其認證協議和認證算法與前面幾種專線場景的二次認證類似,需適應相應移動場景的通信特征,即eMBB場景需要采用高強度的認證體制,mMTC場景需要采用低功耗的輕量級認證體制,uRLLC場景需要采用低時延的快速認證體制。
3 融合認證機制試驗驗證
由于當前5G終端、基站以及核心網等產業鏈資源均基于3GPP R15版本構建,不支持mMTC場景、uRLLC場景以及二次認證機制。因此,采用不同的驗證環境對主認證、二次認證和切片認證以及用戶面認證分別進行有針對性的驗證。其中,搭建實物環境對主認證和用戶面認證機制進行驗證,搭建半實物仿真系統對二次認證/切片認證機制進行驗證。
3.1 實物驗證
本文依托從運營商租賃的標準商用5G網絡設備,構建eMBB實物場景、mMTC模擬場景和uRLLC模擬場景,并分別基于該網絡對主認證安全增強、專用用戶面認證進行試驗驗證。
圖10 高安全等級 eMBB 專網場景的應用方式
3.1.1 eMBB 實物場景
eMBB實物場景基于5G成熟產業鏈構建,可驗證eMBB專線和專網兩種場景。專線情況下,使用標準UDM網元;專網情況下,采用專用UDM網元加控制面安全增強設備。網絡拓撲如圖11所示。
圖11 eMBB 專網場景試驗驗證環境網絡拓撲
試驗驗證環境包括用戶終端、基站、核心網、應用以及安全增強設備。其中,安全增強SIM卡中嵌入了國產或專用的認證算法。專用UDM網元除了具備標準UDM的全部功能,還開放與控制面安全增強服務之間交互的接口,用于嵌入其安全增強能力。控制面安全增強服務設備提供國產或專用的認證算法。安全組件、VPN網關、匯聚VPN網關提供用戶面認證功能,采用基于專用體制的、高強度的認證算法和認證協議。試驗驗證情況具體如下。
(1)主認證安全增強機制驗證。通過SIM卡讀寫卡器,為安全增強SIM卡和標準SIM卡同時寫入相同的參數,包括相同的國際移動用戶識別碼(International Mobile Subscriber Identity,IMSI)以及根密鑰K等。然后將寫入了相同參數的安全增強SIM卡和標準SIM卡插入相同的移動智能終端,經過試驗驗證發現,只有插入了安全增強SIM卡的手機能夠通過接入認證,從而有效驗證了主認證的安全增強機制。
(2)專用用戶面認證機制驗證。啟動終端側安全組件、虛擬專用網絡(Virtual Private Network,VPN)網關,以及網絡側匯聚VPN網關,經過試驗驗證發現,只有完成用戶面認證后,加密業務才能正常開展。通過wireshark抓包可以看到高強度專用認證協議的報文格式,從而有效驗證基于專用體制的用戶面認證。
3.1.2 mMTC模擬場景
由于3GPP R15暫未對mMTC場景進行細化,因此mMTC采用模擬方式構建,其模擬場景基于4G NB-IoT產業鏈資源模擬構建,如圖12所示。
圖12 mMTC 模擬場景試驗驗證環境網絡拓撲
試驗驗證環境包括用戶終端、基站、核心網、應用以及安全增強設備。
其中,主認證遵循標準安全機制。NB-IoT終端中集成標準物聯網通信模組5310-A、應用處理器、環境傳感器、標準USIM卡,并通過嵌入安全組件提供用戶面專用認證,與網絡側配備的物聯網安全網關配合使用。專用認證采用基于專用體制的、低功耗輕量級的認證算法和認證協議。下面對專用用戶面認證機制進行驗證。
啟動NB-IoT終端、物聯網安全網關,經過試驗驗證發現,只有完成用戶面認證后,加密業務才能正常開展。同時,只有嵌入了安全組件的NB-IoT終端才能與應用服務器完成業務交互。通過wireshark抓包可以看到低功耗的輕量級專用認證協議的報文格式,從而有效驗證了基于專用體制的用戶面認證。
3.1.3 uRLLC模擬場景
由于3GPP R15暫未對uRLLC場景進行細化,因此uRLLC采用模擬方式構建,其模擬場景基于eMBB產業鏈資源和運用邊緣計算(Mobile Edge Computing,MEC)技術模擬構建,如圖13所示。
圖13 uRLLC 模擬場景試驗驗證環境網絡拓撲
試驗驗證環境包括用戶終端、基站、核心網、MEC節點、應用以及安全增強設備。
其中,主認證遵循標準安全機制。移動終端通過嵌入安全組件或VPN網關提供用戶面專用認證,與邊緣側配備的VPN網關配合使用。專用認證采用基于專用體制的、低時延的快速認證算法和認證協議。下面對專用用戶面認證機制進行驗證。
啟動終端側安全組件、VPN網關,以及邊緣側VPN網關,經過試驗驗證發現,只有完成用戶面認證后,加密業務才能正常開展。通過wireshark抓包可以看到低時延、快速的專用認證協議的報文格式,從而有效驗證了基于專用體制的用戶面認證。
3.2 半實物仿真驗證
半實物仿真驗證系統基于開源空中接口(Open Air Interface,OAI)、開源軟件系統、通用服務器平臺以及自研的射頻模塊構建。考慮到二次認證和切片認證只是部署位置不同,其認證的承載體制和開放給第三方認證服務器的方式基本一樣,因此在半實物仿真系統中重點對二次認證機制進行驗證。半實物仿真驗證環境的網絡拓撲如圖14所示。網絡環境中實物部分和仿真部分的配置關系如圖15所示。
圖14 半實物仿真驗證環境網絡拓撲
圖15 半實物仿真驗證網絡環境配置
試驗驗證環境包括用戶終端、基站、核心網、MEC節點、應用以及安全增強設備。
其中,在終端側OAI系統的軟件中,嵌入二次認證客戶端軟件和EAP客戶端軟件。在網絡側OAI系統外部掛接二次認證服務器,即在用戶面功能 (User Plan Function,UPF)網元與應用系統之間串接二次認證服務器。試驗驗證情況具體如下。
(1)二次認證的EAP承載機制驗證。通過wireshark抓包可以看到系統提供了移動終端在進入應用系統之間的基于EAP承載的二次認證流程,包括UE與DN-AAA之間交互的認證請求消息Access-Request、認證響應消息Access-Challenge、認證成功消息Access-Accept,從而有效驗證了EAP承載機制。
(2)二次認證的上層認證機制驗證。通過wireshark抓包可以看到EAP之上承載的認證協議分三次啟動,第一次運行高強度的專用認證協議,第二次運行低功耗的輕量級專用認證協議,第三次運行低時延、快速的專用認證協議,從而有效驗證了二次認證可以靈活支持不同的移動場景。
4 結 語
隨著5G標準的完善、5G設備的成熟以及運營商5G網絡的逐步廣泛覆蓋,5G面向行業應用的解決方案也會越來越成熟。本文從5G標準演進趨勢以及行業和運營商對認證的需求出發,提出了一種全新的、靈活性較高的、適用于多種移動場景的融合認證機制,能夠同時兼顧不同移動場景對認證機制的通信適應性的要求,以及運營商、行業對認證安全性的要求。所提機制既能夠適用于普通垂直行業應用,又能夠適用于關鍵行業應用;既能夠適用于專線模式的應用,又能夠適用于專網模式的應用。本文研究能夠為未來面向有差異化高安全需求的各種垂直行業的5G應用提供理論支撐和方案參考。
