企業/行業用戶5G二次身份認證方案初探

池曉金 孫望舒

摘 要 目前，我國的企業發展十分迅速，企業的發展帶動社會的不斷進步，為滿足企業/行業用戶遠程移動辦公業務的需求，運營商為用戶提供了VPDN專線的接入方式，3G/5G網絡采用系統默認的方式對用戶進行兩次身份認證。5G網絡在設計之初就考慮面向行業用戶需求，通過引入網絡切片為行業用戶提供有資源保障的邏輯網絡，而且還可以在切片內讓用戶對第二次身份認證進行算法定制和協議的定制。文章首先對3G/5G網絡的專線接入認證方式進行說明，然后對5G的二次身份認證的原理、安全性進行了分析，并提供了一種定制的5G二次身份認證方案，為企業用戶二次身份認證方案提供參考。

關鍵詞 二次身份認證;AAA（認證授權計費）;5G

引言

移動通信技術近年來發展迅速，在第三代移動通信技術正式商用的同時，對第四代移動通信技術的預研工作也正在學術界和產業界蓬勃展開。第四代移動通信技術（5G）要求支撐更高速率的通信環境，并實現小同移動通信技術的無縫融介對在5G環境下的安全性，尤其是身份認證與密鑰分配機制提出了更高的要求。本文針對5G環境下的安全性要求，對基于5G環境的身份認證和密鑰分配方案進行了系統的研究。論文首先介紹了身份認證與密鑰分配的基本知識及相關協議，詳細討論了身份驗證的手段、種類和方法，以及兩種身份驗證與密鑰分配協議的安全性分析的方法。隨后，本人對5G環境的研究現狀、關鍵技術等做了詳細的論述，并分析了5G環境所面臨的安全威脅。針對其安全威脅，提出5G的安全需求。接下來針對單鑰和公鑰體制在構建身份驗證與密鑰分配方案時應用在5G中存在的缺陷，分析了基于公鑰體制的身份驗證與密鑰分配方案在5G環境下應用的可行性及必然趨勢。

1身份認證概念及作用

在1984年首次系統的提出了認證系統的信息理論。他將信息論用于研究認證系統的理論安全性和實際安全問題，指出認證系統的性能極限以及設計認證碼所必須遵循的原則。雖然這一理論還不太成熟和完善，但它在認證系統中的地位與信息理論在保密系統中的地位一樣重要，它為研究認證系統奠定了理論基礎。認證理論的主要目標有兩個：一個是推導欺騙者成功的概率的下界;另一個是構造欺騙者成功的概率盡可能小的認證碼。身份認證的本質是被認證方有一些信息（無論是一些秘密信息還是一些個人持有的特殊硬件或個人特有的生物學信息），除被認證方自己外，任何第三方（在有些需要認證權威的方案中，認證權威除外）不能偽造，被認證方能夠使認證方相信他確實擁有那些秘密（無論是將那些信息出示給認證方或采用零知識證明的方法），則他的身份就得到了認證。一個身份認證系統一般需要具有以下特征：①驗證者正確識別合法用戶的概率極大。②攻擊者偽裝示證者騙取驗證者信任的成功率極小。③通過重放認證信息進行欺騙和偽裝的成功率極小。④計算有效性，實現身份認證的算法計算量足夠小。⑤通信有效性，實現身份認證所需的通信量足夠小。⑥秘密參數能夠安全存儲。⑦第三方的可信賴性[1]。

25G網絡用戶接入認證方案

2.1 一種5G的二次認證定制方案設計

對于大多數企業用戶來說，可以采用按照3GPP標準實現的二次認證協議，對安全性要求高的用戶可以利用5G能力開放和面向行業的特征，采用定制的二次認證算法和協議，實現企業/行業自主可控的二次身份認證功能。身份認證協議根據是否依賴第三方分為：基于可信第三方認證協議和雙方認證協議。根據認證使用的密碼體制分為：基于對稱密鑰的認證協議和基于公鑰密碼體制的認證協議。根據認證實體的個數分為：單向認證協議和雙向認證協議。協議的設計假設是攻擊者可以完全控制網絡上的通信，也可以作為合法用戶參與協議。攻擊的方式多種多樣，最常用的兩種為消息重放攻擊和中間人攻擊。因此身份認證協議將防護消息重放攻擊和中間人作為防護的重點。采用密碼學設計了多種安全的身份認證協議，例如kerberos（一種計算機網絡授權協議）、TLS等，都是運用廣泛且安全性較高的身份認證協議。隨著生物特征識別技術的日趨成熟，生物特征也被加入其中，使得個人身份認證技術呈現出了多樣性趨勢。

2.2 雙因素身份認證技術

雙因素認證就是除了使用靜態口令外，增加一個物理因素一認證令牌，用于產生動態口令。認證令牌可以是硬件、軟件或者智能卡等形式。用戶登錄時，必須同時驗證靜態口令和動態口令，只有兩者均正確時才能確認用戶身份。認證令牌會每隔一定時間就產生一個新隨機數（令牌碼），保證用戶登錄服務器的認證口令是動態變化和不可猜測的。通過時間同步技術，使認證服務器與用戶的認證令牌保持時間上的一致，保證認證服務器在同一時間能夠按同樣的方式，使用同樣的種子數和算法產生該時刻的合法認證口令碼，據此驗證用戶發送來的認證口令碼。雙因素身份認證有挑戰響應方式、事件同步方式和時間同步方式。美國RSA公司提出的安全身份認證技術SecurID是一種采用時間同步技術的雙因素認證系統。該系統由三部分組成：認證令牌，驗證服務器Sever和客戶端代理AgentoSecurID身份認證的雙因素中，一個因素是用戶所知道的PIN碼，一個是用戶所擁有的令牌動態碼。這種用戶身份的雙重保證提高了認證的可靠性，在內部或外部訪問使用者獲得訪問許可之前，安全有效地證實其身份。

2.3 公鑰密碼體制在5G環境下應用的可行性

當前的移動通信網絡大都采用了基于單鑰密碼技術的身份認證與密鑰分配方法來保障網絡安全。而單鑰密碼算法大多基于一些簡單的數學運算，容易實現，適合于計算能力低和就是資源有限的通信系統。并且單鑰密碼算法的數據參數比較短，也只適合通信帶寬有限的移動通信網絡[2]。

3結束語

隨著5G標準的完善，5G設備的成熟以及運營商5G網絡的逐步廣泛覆蓋，企業/行業用戶將逐漸采用運營商提供的5G網絡切片實現端到端的移動辦公接入，讓遠程高清視頻會議、遠程協作、遠程控制成為現實。本文對5G的二次身份認證原理、自定義算法協議的實現方式等進行了探討，并提供了一種二次身份認證方案，為后續企業/行業用戶的5G二次身份認證提供方案參考。

參考文獻

[1] 黃勁安.邁向5G—從關鍵技術到網絡部署[M].北京：人民郵電出版社，2018：78-79.

[2] AfifOsseiran，JoseFMonserrat，PatrickMarch.5G移動無線通信技術[M].北京：人民郵電出版社，2017：431.