劉淼 曹煒

隨著5G網(wǎng)絡開啟了萬物互聯(lián)，面向全場景、全行業(yè)應用以及終端形態(tài)、接入技術多樣化的局面后，網(wǎng)絡的業(yè)務和功能需求越來越多樣化，比如遠程醫(yī)療、遠程工程機械的操作、汽車自動駕駛，海量物聯(lián)網(wǎng)連接等，這些都將深刻地影響、變革、融入社會的方方面面， 所以說5G對網(wǎng)絡安全提出了更高的要求。

5G網(wǎng)絡相對2G/3G/4G網(wǎng)絡所面臨的主要挑戰(zhàn)：1.如何加強海量終端接入合法性的校驗;2.如何加強用戶數(shù)據(jù)在傳輸過程中的保護;3.如何加強用戶隱私信息在無線空中接口的保護。

5G端到端網(wǎng)絡鑒權認證架構特點

為了加強5G網(wǎng)絡的安全性，3GPP定義了新的5G安全相關認證框架，對比2G/3G/4G網(wǎng)絡的鑒權/加密/完整性保護方式，5G端到端網(wǎng)絡鑒權認證架構有如下特點：

1.基于統(tǒng)一認證架構，提供用戶和網(wǎng)絡之間的雙向認證。

2.支持多種認證方法，例如 5G-AKA， EAP-AKA。

3.支持主流的加密和完整性保護算法，例如 AES、Snow 3G、ZUC。

4.提供空口和NAS層信令的加密和完整性保護。

5.提供空口和/或UE到核心網(wǎng)之間的用戶面加密和完整性保護。

6.采用層次化的密鑰派生機制。

7.增加了用戶面數(shù)據(jù)（UP）在移動網(wǎng)絡傳送過程中的完整性保護功能。

8.增加了用戶標識隱私保護（SUCI）。

3GPP規(guī)定所有的2G/3G/4G/5G用戶數(shù)據(jù)以及用戶鑒權數(shù)據(jù)全部統(tǒng)一存儲在UDR中，這樣盡管可以保證原來的2G/3G/4G用戶可以在不換卡，不換號的情況下，直接開通5G業(yè)務， 但是由于原來的老式USIM卡缺少用戶標識隱私保護機制所需的歸屬網(wǎng)密鑰，導致無法支持SUCI保護，因此建議用戶開通5G業(yè)務時更換原來的USIM卡，但是不需要換號，提高安全性。

9.增加了歸屬網(wǎng)絡控制。

5G鑒權要求歸屬網(wǎng)的AUSF網(wǎng)元實現(xiàn)對UE返回的RES數(shù)據(jù)進行校驗，降低了對AMF的要求，實現(xiàn)了歸屬網(wǎng)絡對UE的控制。

其中用戶數(shù)據(jù)面（UP）完整性保護、用戶標識（SUCI）隱私保護、歸屬網(wǎng)絡控制均是5G網(wǎng)絡新增的特有功能，這進一步增強的5G網(wǎng)絡的安全性。

ZTE Cloud Native SDM鑒權解決方案

由于5G網(wǎng)絡的超大帶寬，超低時延以及海量連接等特點，5G相對于4G將是一次顛覆性的升級，網(wǎng)絡安全將是整個社會數(shù)字化轉型的基石。中興通訊提出的基于ZTE Cloud Native SDM的鑒權解決方案為5G網(wǎng)絡提供了端到端的鑒權、加密解決方案， 為5G網(wǎng)絡安全的提供了最根本的保證。

ZTE Cloud Native SDM解決方案包含ZXUN CUDR（Cloud Unified Data Repository）和ZXUN USPP兩個產(chǎn)品，是中興通訊統(tǒng)一云化數(shù)據(jù)層解決方案，實現(xiàn)2G/3G/4G/5G/IMS網(wǎng)絡用戶數(shù)據(jù)、鑒權數(shù)據(jù)的統(tǒng)一存儲與管理。中興通訊Cloud Native SDM，融合了HLR/HSS/UDM/AUSF等功能，支持作為2G/3G/4G/5G統(tǒng)一的數(shù)據(jù)管理設備，實現(xiàn)2G/3G/4G/5G/IMS網(wǎng)絡的統(tǒng)一接入、鑒權。

UDR：部署于歸屬網(wǎng)絡，融合存儲多種結構化數(shù)據(jù)，2G/3G/4G/5G簽約數(shù)據(jù)，PCRF策略數(shù)據(jù)，用戶鑒權數(shù)據(jù)等。

UDM：支持5G網(wǎng)絡的UDM功能，實現(xiàn)5G網(wǎng)絡的統(tǒng)一接入、鑒權功能（鑒權證書計算、生成5G HE Avs、重同步鑒權證書計算等）。

AUSF：提供5G鑒權架構5G AKA流程支持;提供EAP AKA流程支持;服務網(wǎng)絡授權檢查;鑒權算法，生成5G AKA AVs;增強歸屬網(wǎng)絡控制;支持SUCI等。

考慮到僅僅依靠鑒權過程，無法完全防止欺詐，基于ZTE Cloud Native SDM的鑒權解決方案通過關聯(lián)Authentication與后續(xù)Registration 過程，提供了增強的歸屬網(wǎng)絡控制功能。歸屬網(wǎng)絡將終端的認證確認與隨后的注冊流程關聯(lián)起來，在注冊流程中，檢查該拜訪網(wǎng)絡下，用戶近期是否鑒權認證通過。如果該網(wǎng)絡下用戶未曾通過鑒權認證，則拒絕注冊，同時在拒絕消息中攜帶5G鑒權指示，指示拜訪網(wǎng)絡在注冊前應獲取新的鑒權向量重新對用戶進行認證，進一步提高了網(wǎng)絡的安全性。

基于ZTE Cloud Native SDM的5G鑒權解決方案為5G而生，能夠保護用戶數(shù)據(jù)的完整性、可靠性和一致性、安全性，時刻保障網(wǎng)絡業(yè)務安全穩(wěn)定運行，主要體現(xiàn)在以下幾點：

統(tǒng)一的云原生/微服務架構，實現(xiàn)業(yè)務快速部署和灰度升級

滿足云原生相關特征，支持虛機和容器化部署，對服務級的業(yè)務進行進一步的擴充和細分，拆分為更細粒度的微服務，每個微服務/服務都可以獨立部署、升級、遷移和重生，幫助運營商快速部署網(wǎng)絡和新業(yè)務。

高可用、高性能、大容量的設計保障。

合理的系統(tǒng)結構保證了設備的高可靠性和高性能，采用分布式，網(wǎng)絡功能無狀態(tài)處理的設計思路，各個服務及服務組件之間獨立運行，保證優(yōu)異的整體性能，某一處理單元故障，不會影響到其它處理單元。

冗余設計保證電信設備運營的高可靠性。在設計上綜合采取了多種措施，充分保證了系統(tǒng)電信級的穩(wěn)定性。

大容量，單套設備同時支持多達3億2/3/4/5G靜態(tài)用戶;高性能，基于內存數(shù)據(jù)庫，數(shù)據(jù)訪問延低，高可用性、高性能、大容量的設計保障了海量終端接入、鑒權需求。

多層數(shù)據(jù)校驗，保證了數(shù)據(jù)的一致性。

多種接入模式下的統(tǒng)一鑒權。

AUSF能夠處理3GPP接入和非3GPP接入下的鑒權認證請求。

為用戶永久標識提供私密性保護。

僅在用戶認證成功后提供用戶永久標識給服務網(wǎng)絡，從而為UE提供通信服務安全保障。

增強的歸屬網(wǎng)絡控制。

AUSF支持將用戶認證結果告知UDM，將用戶的認證確認與隨后的注冊流程關聯(lián)起來有助于防止某些類型的欺詐。

多維度的數(shù)據(jù)組織安全保護。

租戶隔離，按照租戶進行數(shù)據(jù)組織和訪問，數(shù)據(jù)存儲和訪問嚴格隔離;訪問安全，嚴格的ACL控制;敏感數(shù)據(jù)和備份數(shù)據(jù)的加密存儲，為敏感數(shù)據(jù)提供硬件和軟件安全加密機制，用來保護用戶數(shù)據(jù)。

嚴格的個人數(shù)據(jù)保護，包括嚴格的權限控制，嚴格的安全審核。

基于ZTE Cloud Native SDM的鑒權解決方案為5G而生，為多種終端類型、多種接入模式、多種應用提供統(tǒng)一的鑒權、認證;確保用戶數(shù)據(jù)的完整性、可靠性、一致性;從容應對各種自然災害，以及大話務量的沖擊，確保用戶數(shù)據(jù)的安全性;保證用戶信息不易被非法用戶侵入，篡改、泄露，為5G網(wǎng)絡安全提供最根本的保障。

中興通訊作為領先的5G解決方案與產(chǎn)品供應商，深刻理解各領域客戶對于網(wǎng)絡安全方面的重視，致力于為客戶提供安全、可信的5G解決方案與服務。