中興通訊鑒權方案為網絡安全筑“墻”

劉淼 曹煒

隨著5G網絡開啟了萬物互聯，面向全場景、全行業應用以及終端形態、接入技術多樣化的局面后，網絡的業務和功能需求越來越多樣化，比如遠程醫療、遠程工程機械的操作、汽車自動駕駛，海量物聯網連接等，這些都將深刻地影響、變革、融入社會的方方面面， 所以說5G對網絡安全提出了更高的要求。

5G網絡相對2G/3G/4G網絡所面臨的主要挑戰：1.如何加強海量終端接入合法性的校驗;2.如何加強用戶數據在傳輸過程中的保護;3.如何加強用戶隱私信息在無線空中接口的保護。

5G端到端網絡鑒權認證架構特點

為了加強5G網絡的安全性，3GPP定義了新的5G安全相關認證框架，對比2G/3G/4G網絡的鑒權/加密/完整性保護方式，5G端到端網絡鑒權認證架構有如下特點：

1.基于統一認證架構，提供用戶和網絡之間的雙向認證。

2.支持多種認證方法，例如 5G-AKA， EAP-AKA。

3.支持主流的加密和完整性保護算法，例如 AES、Snow 3G、ZUC。

4.提供空口和NAS層信令的加密和完整性保護。

5.提供空口和/或UE到核心網之間的用戶面加密和完整性保護。

6.采用層次化的密鑰派生機制。

7.增加了用戶面數據（UP）在移動網絡傳送過程中的完整性保護功能。

8.增加了用戶標識隱私保護（SUCI）。

3GPP規定所有的2G/3G/4G/5G用戶數據以及用戶鑒權數據全部統一存儲在UDR中，這樣盡管可以保證原來的2G/3G/4G用戶可以在不換卡，不換號的情況下，直接開通5G業務， 但是由于原來的老式USIM卡缺少用戶標識隱私保護機制所需的歸屬網密鑰，導致無法支持SUCI保護，因此建議用戶開通5G業務時更換原來的USIM卡，但是不需要換號，提高安全性。

9.增加了歸屬網絡控制。

5G鑒權要求歸屬網的AUSF網元實現對UE返回的RES數據進行校驗，降低了對AMF的要求，實現了歸屬網絡對UE的控制。

其中用戶數據面（UP）完整性保護、用戶標識（SUCI）隱私保護、歸屬網絡控制均是5G網絡新增的特有功能，這進一步增強的5G網絡的安全性。

ZTE Cloud Native SDM鑒權解決方案

由于5G網絡的超大帶寬，超低時延以及海量連接等特點，5G相對于4G將是一次顛覆性的升級，網絡安全將是整個社會數字化轉型的基石。中興通訊提出的基于ZTE Cloud Native SDM的鑒權解決方案為5G網絡提供了端到端的鑒權、加密解決方案， 為5G網絡安全的提供了最根本的保證。

ZTE Cloud Native SDM解決方案包含ZXUN CUDR（Cloud Unified Data Repository）和ZXUN USPP兩個產品，是中興通訊統一云化數據層解決方案，實現2G/3G/4G/5G/IMS網絡用戶數據、鑒權數據的統一存儲與管理。中興通訊Cloud Native SDM，融合了HLR/HSS/UDM/AUSF等功能，支持作為2G/3G/4G/5G統一的數據管理設備，實現2G/3G/4G/5G/IMS網絡的統一接入、鑒權。

UDR：部署于歸屬網絡，融合存儲多種結構化數據，2G/3G/4G/5G簽約數據，PCRF策略數據，用戶鑒權數據等。

UDM：支持5G網絡的UDM功能，實現5G網絡的統一接入、鑒權功能（鑒權證書計算、生成5G HE Avs、重同步鑒權證書計算等）。

AUSF：提供5G鑒權架構5G AKA流程支持;提供EAP AKA流程支持;服務網絡授權檢查;鑒權算法，生成5G AKA AVs;增強歸屬網絡控制;支持SUCI等。

考慮到僅僅依靠鑒權過程，無法完全防止欺詐，基于ZTE Cloud Native SDM的鑒權解決方案通過關聯Authentication與后續Registration 過程，提供了增強的歸屬網絡控制功能。歸屬網絡將終端的認證確認與隨后的注冊流程關聯起來，在注冊流程中，檢查該拜訪網絡下，用戶近期是否鑒權認證通過。如果該網絡下用戶未曾通過鑒權認證，則拒絕注冊，同時在拒絕消息中攜帶5G鑒權指示，指示拜訪網絡在注冊前應獲取新的鑒權向量重新對用戶進行認證，進一步提高了網絡的安全性。

基于ZTE Cloud Native SDM的5G鑒權解決方案為5G而生，能夠保護用戶數據的完整性、可靠性和一致性、安全性，時刻保障網絡業務安全穩定運行，主要體現在以下幾點：

統一的云原生/微服務架構，實現業務快速部署和灰度升級

滿足云原生相關特征，支持虛機和容器化部署，對服務級的業務進行進一步的擴充和細分，拆分為更細粒度的微服務，每個微服務/服務都可以獨立部署、升級、遷移和重生，幫助運營商快速部署網絡和新業務。

高可用、高性能、大容量的設計保障。

合理的系統結構保證了設備的高可靠性和高性能，采用分布式，網絡功能無狀態處理的設計思路，各個服務及服務組件之間獨立運行，保證優異的整體性能，某一處理單元故障，不會影響到其它處理單元。

冗余設計保證電信設備運營的高可靠性。在設計上綜合采取了多種措施，充分保證了系統電信級的穩定性。

大容量，單套設備同時支持多達3億2/3/4/5G靜態用戶;高性能，基于內存數據庫，數據訪問延低，高可用性、高性能、大容量的設計保障了海量終端接入、鑒權需求。

多層數據校驗，保證了數據的一致性。

多種接入模式下的統一鑒權。

AUSF能夠處理3GPP接入和非3GPP接入下的鑒權認證請求。

為用戶永久標識提供私密性保護。

僅在用戶認證成功后提供用戶永久標識給服務網絡，從而為UE提供通信服務安全保障。

增強的歸屬網絡控制。

AUSF支持將用戶認證結果告知UDM，將用戶的認證確認與隨后的注冊流程關聯起來有助于防止某些類型的欺詐。

多維度的數據組織安全保護。

租戶隔離，按照租戶進行數據組織和訪問，數據存儲和訪問嚴格隔離;訪問安全，嚴格的ACL控制;敏感數據和備份數據的加密存儲，為敏感數據提供硬件和軟件安全加密機制，用來保護用戶數據。

嚴格的個人數據保護，包括嚴格的權限控制，嚴格的安全審核。

基于ZTE Cloud Native SDM的鑒權解決方案為5G而生，為多種終端類型、多種接入模式、多種應用提供統一的鑒權、認證;確保用戶數據的完整性、可靠性、一致性;從容應對各種自然災害，以及大話務量的沖擊，確保用戶數據的安全性;保證用戶信息不易被非法用戶侵入，篡改、泄露，為5G網絡安全提供最根本的保障。

中興通訊作為領先的5G解決方案與產品供應商，深刻理解各領域客戶對于網絡安全方面的重視，致力于為客戶提供安全、可信的5G解決方案與服務。