《适用于多类移动场景的融合认证机制设计.docx》由会员分享,可在线阅读,更多相关《适用于多类移动场景的融合认证机制设计.docx(21页珍藏版)》请在三一办公上搜索。
1、适用于多类移动场景的融合认证机制设计认证是移动通信系统的重要安全手段,主要用于鉴别功能实体的身份的合法性。为满足企业/行业用户远程移动业务应用的需求,依托移动运营商网络构建专网已成为业界的主流方式。目前业界认证的主流思路是在移动运营商提供的主认证、二次认证基础上叠加额外的用户面认证。这种思路在面向多类移动场景应用时存在不足。针对这一问题首先对不同利益相关方对认证的需求进行了分析;其次提出了一种全新的、灵活的融合认证机制,对普通垂直行业、关键行业两类行业应用以及大带宽、低功耗以及低时延等移动场景进行深入设计;最后给出了在实物和半实物环境中针对主认证、用户面认证以及二次认证试验验证的结果,证明了方
2、案的优势,为5G面向垂直行业和关键行业应用提供理论支撑。内容目录:1现有移动通信认证机制2融合认证机制设计2. 1不同利益相关方对认证的需求2.2总体设计2.2.1高安全等级eMBB专线场景2.2.2高安全等级mMTC专线场景2.2.3高安全等级uRLLC专线场景2.2.4高安全等级专网场景3融合认证机制试验验证3.1实物验证3.1.1eMBB实物场景3.1.2mMTC模拟场景3.1.3uRLLC模拟场景3.2半实物仿真验证4结语认证是移动通信系统的重要安全手段,主要用于鉴别功能实体的身份的合法性。2G系统提供了单向认证能力,即网络认证终端而没有终端认证网络,因此出现了伪基站的攻击方式。进入3
3、G和4G时代,“第三代合作伙伴计划”标准化组织(3rdGenerationPartnershipProject,3GPP)完善了认证机制,提供了双向认证能力,即网络认证终端,终端同时也认证网络,这种认证比较适合2C的模式,即运营商为公众用户提供服务的情况。之后,在移动通信与行业相结合的背景下,运营商除了面向公众用户,还能够为行业用户提供专线服务。为了提高行业应用的安全性,运营商除了提供双向主认证,还为专线提供了二层隧道协议网络服务器(L2TPNetworkServer,LNS)+认证、授权、计费(AuthenticationAuthorization、Accounting,AAA)的认证,这种
4、认证常被称为AAA认证。这种认证方式通过在用户身份标识模块(SubscriberIdentityModule,SIM)卡里配置行业用户的用户名和口令信息,并在主认证的过程中通过非接入层(Non-AccessStratum,NAS)消息将用户名和口令信息带给分组数据网络网关(PaCketDataNetworkGateway,PGW)网元,再由PGW网元与部署在行业用户数据网络(DataNetwork,DN)处的AAA服务器之间的基于Radius或Diameter协议实现AAA认证。认证通过后,由同样部署在行业用户DN处的LNS为终端分配专线的网际互联协议(InternetProtocol,IP)
5、地址,并提供接入控制能力。进入5G时代,3GPP提出了一种更加符合行业需求的二次认证机制。在从2C向2B转型的背景下,相较于3G和4G的AAA认证,5G的二次认证虽然也是一种面向行业的接入认证,但5G网络只提供了基于可扩展的身份认证协议(ExtensibleAuthenticationProtocol,EAP)统一承载的二次认证通道。二次协议相当于应用层协议,完全由行业自主选择和确定,同时这个二次认证是一个从终端到AAA之间的端到端认证,因此认证能力有较大提升。1现有移动通信认证机制我国的5G商用采用的是独立组网(StandAlone,SA)思路,因此目前主流的移动通信系统有两大类四小类场景,
6、第一大类是4G移动通信系统,第二大类是5G移动通信系统。两个大类各自都有两个小类,分别是漫游架构和非漫游架构,前者实现用户依托拜访地基础设施接入的情况,后者实现用户依托本地基础设施接入的情况。下面以漫游架构为例进行说明。4G移动通信漫游架构场景的认证机制如图1所示。其中,主认证和AAA认证均由归属地运营商提供,采用国际的标准认证体制;用户面认证由行业用户提供,采用国产或专用认证体制。图14G移动通信漫游架构认证机制5G移动通信漫游架构场景的认证机制如图2所示。其中,主认证由归属地运营商提供,采用国际标准认证体制;切片认证和二次认证根据运营商为行业提供服务的模式进行选取,若运营商为行业提供专用切
7、片,则采用切片认证,若运营商为行业提供专线,则采用二次认证。切片认证和二次认证由行业用户提供,原则上可采用国产或专用认证体制。用户面认证由行业用户提供,采用国产或专用认证体制。图25G移动通信漫游架构认证机制但是在传统思路的认证体系中,看似进行了3重认证,但实际上每重认证所扮演的角色雷同,没有起到实质性多重认证的目的。此外,在面向不同应用场景,特别是面向不同垂直行业应用时仍有不足,主要体现在以下5个方面。(1)认证协议单一。3G主认证采用通用移动通信系统(UniVerSalMobileTelecommunicationsSystem,UMTS)和认证与密钥协商协议(Authentication
8、andKeyAgreement,AKA),4G主认证采用演进分组系统(EVolVedPacketSystem,EPS)AKA,5G主认证采用5GAKA和EAPAKA,。这些认证协议虽然有细微差异,但本质上原理一样,差异仅仅在于AKA协议本身安全性的提升。3G和4G的AAA认证只规定了RadiUS和DianIeter两种协议,5G的二次认证或切片认证只定义了EAP作为底层承载协议,并未规定和描述上层的认证协议,但运营商在实际规划中仍然会采用RadiUS等主流认证协议,无法适应不同应用场景对认证协议的差异化需要。(2)认证算法单一。无论是3G、4G的AAA认证还是5G的二次认证,虽然都没有对认证算
9、法进行规定,但实际上都默认使用的是特定的国际公开算法。对于行业而言,虽然以上认证体系进行了多重认证,但真正有效的仍然只有用户面认证,效率不高,无法适应不同行业、不同场景对认证算法的差异化安全需要。(3)认证手段单一。主认证基于对称密码的挑战应答机制进行认证,3G和4G的AAA认证以用户名加口令作为认证手段,5G的二次认证并未对此做明确规定,但按常理仍然会以口令为主,无法满足不同应用场景对认证手段的差异化需求。(4)实体界限不清。3G和4G的AAA认证虽然信息来自终端和AAA服务器,但认证协议的对等双方却实际上是PGW和AAA服务器,在协议上不是端到端的认证。而5G的二次认证虽然规定了认证协议的
10、对等方是终端和AAA服务器,但目前3GPPR17标准仍然并未规定终端内部如何分工并提供认证能力,因此无法适应不同情况下认证协议与认证计算对载体的差异化需求。(5)功能部署僵化。对于主认证、3G和4G的AAA认证及5G的二次认证,在终端侧均由终端完成协议解析,由通用用户身份标识模块(UniversalSubscriberIdentityModule,USIM)卡完成认证计算,其认证协议与认证计算的部署是固化的。在网络侧,主认证由统一数据管理功能(UnifiedDataManagement,UDM)完成协议解析和认证计算,3G和4G的AAA认证及5G的二次认证由AAA服务器完成,协议解析和认证计算
11、均同时完成,部署位置也是固定不变的,无法适应不同场景对部署方式的差异化需要。为了更好地支撑智能制造及工业4.0的发展,以5G和6G新一代宽带移动通信技术的发展为契机,本文提出一种适用于移动通信多类应用场景的融合认证机制,以解决上述5个方面的难题。2融合认证机制设计2.1不同利益相关方对认证的需求3GPP在5G的R16标准阶段定义了主认证、二次认证以及切片认证。有安全需求的垂直行业和关键行业通常还会额外叠加用户面认证。主认证主要是面向运营商,用于运营商验证移动用户的合法性,其依托的是对称密码,验证的目标对象是USIM卡或嵌入式用户身份标识模块(embeddedSubscriberIdentity
12、Module,eSIM),通常这一验证过程由运营商掌控。二次认证主要面向行业专线应用模式,用于验证移动用户的合法性,其依托的可以是对称密码技术、数字证书等,验证的目标对象可以是安全介质、用户名口令或者生物特征等。切片认证主要面向行业专用切片或专网应用模式,用于验证移动用户的合法性,其依托的可以是对称密码、数字证书等,验证的目标对象可以是安全介质、用户名口令等。用户面认证主要由行业自行提供,用于验证移动用户的合法性,其依托的主要是数字证书,验证的目标对象通常是安全介质或生物特征等,还能额外提供密钥分发功能。从不同利益相关方需求的角度,运营商认可的是主认证的过程和结果,信任二次认证和切片认证的结果
13、;而行业认可的是二次认证和切片认证的过程和结果以及用户面认证的过程和结果。通常行业对二次认证、切片认证和用户面认证的认可度相同。若验证的目标对象相同,则可将两种认证合一;若不同,则可作为多种验证目标对象的相互补充。从认证过程和结果认可度的角度,行业对认证过程和结果的信任度主要取决于行业对于参与认证功能单元,特别是提供认证运算和认证协议处理的硬件载体的认可度。因此,普通垂直行业认可虚拟认证卡或者信任运营商或其他的认证介质,而关键行业则不会信任运营商或其他的认证介质,其只认可其专用认证介质。从认证算法和协议对通信特征的适应性的角度,主认证的AKA协议是一种基于对称密码体制的比较中性的认证协议,强度
14、不低并且开销也不高,因此可以用于高强度、低功耗以及低时延的应用场景。对于专用认证而言,由于其往往更加追求极致体验,会有专门的高强度、低功耗以及低时延认证算法和协议,以适应不同的应用场景的通信特征。2.2总体设计为了能够兼顾行业对认证安全性的要求、认证对通信特征适应性的要求以及运营商为行业提供的不同应用模式的要求,提出一种适用于多种移动场景的融合认证机制,如图3所示。该认证机制的核心思想是根据场景特点,将终端侧和网络侧认证的通信功能、认证协议处理和认证计算处理等功能进行解耦设计和按需分离部署,以适应行业对认证载体、认证体制、通信信道特征等的要求。图3适用于多种移动场景的融合认证机制图3中,认证机
15、制分为3层,分别是主认证、二次认证和切片认证、用户面认证。其中,用户面认证利益相关方最单纯,由行业自行提供,运营商不参与,并且其验证目标是行业用户在终端上嵌入的安全模块。用户面认证通过之后,行业用户就认为移动终端是合法的。但其缺陷在于用户面认证发生在通信连接建立之后,安全性弱于在通信连接建立之前进行认证。主认证分为专线模式和专网模式两种情况。它们的共同点在于认证体制均完全遵循3GPP标准,并且通信协议处理、认证协议处理由移动终端和UDM网元处理。它们的区别在于提供认证计算的载体本身的安全性是否具有行业认可度,具体如下文所述。(1)专线模式情况下,主认证完全依托运营商,由运营商基于国际标准认证协
16、议和算法提供双向接入认证,客户端为运营商发行的USlM卡,服务端为标准的核心网UDM网元。这种情况下,计算处理终端侧认证由标准USlM卡提供,网络侧由标准UDM完成。此外,普通垂直行业可信任运营商的接入认证,而关键行业则不信任运营商的接入认证,主要依赖于后面两重认证。(2)专网模式情况下,主认证则由运营商和行业共同提供基于标准AKA协议和国产或专用认证算法的双向接入认证。客户端为运营商与行业联合发行的基于行业认可的载体研制的安全增强USlM卡,完成认证计算处理的安全增强。服务端为运营商提供的专用UDM网元,负责通信功能和认证协议处理部分,面向核心网提供标准UDM的接口,面向认证服务器提供专用认
17、证调用接口,以实现国产和专用认证运算的嵌入。行业提供的认证服务器,提供第三方的认证计算处理的安全增强。这种情况主要面向体量比较大的关键行业,同时由于针对主认证进行了安全增强,因此关键行业会信任本次接入认证。二次认证和切片认证本身就是移动通信网络为行业提供的高度灵活的认证机制。二次认证用于专项模式情况,切片认证用于专网模式情况。其认证均发生在通信连接建立之前,认证通道由运营商提供,但认证体制又由行业提供,安全性较高,并且利益相关方同时包含运营商和行业,因此最为复杂。下面专门针对适用于多种移动场景的二次认证和切片认证机制进行展开描述。根据行业对认证安全性与合规性要求以及信道特征对认证协议与其承载通
18、信协议的适应性要求,将终端侧认证功能分解为终端侧认证载体、认证客户端软件、EAP客户端软件以及AAA服务器软硬件、认证服务器软硬件,从而实现通信功能与认证功能间的去耦合。通过终端侧和网络侧双方灵活性支持的配合,最终满足二次认证在架构上各种差异化的需求,同时满足各功能实体灵活部署的需求,具体如下文所述。(1)终端侧认证载体提供认证计算处理功能。该载体可以是硬件实体,也可以是虚拟实体。通过认证载体的剥离,实现认证协议与认证计算的去耦合,提供认证算法体制的差异化能力,支持普通垂直行业或关键行业用户,也可提供认证能力的差异化能力,支持超高速、低时延以及低功耗等认证能力。(2)认证客户端软件提供终端侧认
19、证协议的解析与封装,通过二次认证客户端软件的剥离,提供认证协议的差异化能力,可支持高强度认证能力、低开销窄带认证能力及低时延认证能力。(3) EAP客户端软件实现EAP承载协议的解析与封装,通过EAP客户端的剥离,实现差异化的承载开销,从而可通过EAP客户端部署位置的差异化来适应宽带和窄带网络特征。(4) AAA服务器提供认证功能以外的其他通用功能,包括底层通信及EAP承载相关功能。(5)认证服务器软硬件提供认证计算及协议的封装与解析,通过在网络侧将通信功能与认证功能剥离,提供差异化的二次认证能力。其中,EAP客户端软件与AAA服务器成对使用,提供底层EAP的对等交互;认证载体、认证客户端软件
20、与认证服务器软硬件成对使用,提供上层认证的对等交互。通过以上两个层次的配合,在不对移动通信网络提要求的情况下,提供有差异化能力的二次认证和切片认证功能。在面向不同的典型移动场景的情况下,由于不同移动场景的移动通信网络的能力和特点差异很大,因此通过终端侧认证载体、认证客户端软件和EAP客户端软件,以及网络侧AAA服务器和二次认证服务器的分离部署,来按需提供灵活性和差异化能力。对于普通安全等级的场景,通常采用专线模式,主认证完全依托运营商,行业提供适合于特定移动场景通信特征的、基于国产体制的二次认证或者用户面认证。而对于高安全等级的场景,则需要考虑得更多,下面具体分情况进行描述。2.2.1高安全等
21、级eMBB专线场景高安全等级增强移动宽带(enhancedMobileBroadband,eMBB)的专线场景主要面向中小型体量的关键行业,通信基础设施完全由运营商提供。这种情况下,运营商提供主认证,但是行业不信任运营商的主认证。运营商和行业联合提供二次认证,并且行业额外再提供单独的用户面认证作为第二重专用认证。高安全等级eMBB专线场景的应用方式如图4所示。在终端侧认证载体方面,单独配备计算资源丰富的实体认证卡作为二次认证载体,提升认证强度。此外,可采用支持生物特征配合证书的二次认证客户端软件来提高易用性。在功能部署方面,将EAP客户端软件与二次认证客户端软件进行融合设计,由二次认证客户端及
22、服务器软件实现高强度的认证协议。在行业安全需求方面,对于关键行业,使用有专用认证算法资质的终端侧认证载体和二次认证服务器硬件,配合提供标准认证协议的客户端及服务器软件来实现专用体制的二次认证功能。二次认证基于高强度认证协议,采用专用认证算法,其流程如图5所示。图4高安全等级eMBB专线场景的应用方式图5基于专用高强度认证机制的二次认证流程2.2.2高安全等级mMTC专线场景高安全等级低功耗大连接(massiveMachineTypeCommunication,mMTC)专线场景同样主要面向中小型体量的关键行业,通信基础设施完全由运营商提供。同样的,运营商提供主认证,但是行业不信任运营商的主认证
23、,运营商和行业联合提供二次认证,行业可根据需要额外提供单独的用户面认证作为第二重专用认证。安全等级mMTC场景的应用方式如图6所示。在终端侧认证载体方面,复用专用eSIM模块提供专用的二次认证,可采用支持用户名口令的二次认证客户端软件来提高易用性。另外,可根据需要单独配备低功耗的实体认证卡作为用户面认证载体增强安全强度,并可采用支持对称密码的用户面认证客户端。在功能部署方面,将EAP客户端软件与二次认证客户端软件融合设计,由二次认证客户端及服务器软件实现轻量级的认证协议。在行业安全需求方面,对于关键行业,使用有专用认证算法资质的终端侧认证载体和二次认证服务器硬件,配合提供标准认证协议的客户端及
24、服务器软件,来实现专用体制的二次认证功能。二次认证基于专用轻量级认证协议,采用专用认证算法,其流程如图6所示。图6高安全等级mMTC场景的应用方式图7基于专用轻量级机制的二次认证流程2. 2.3高安全等级uRLLC专线场景高安全等级低时延高可靠(UItra-ReliableLow-LatencyCommunications,URLLC)场景,也主要面向中小型体量的关键行业,通信基础设施完全由运营商提供。同样的,运营商提供主认证,但是行业不信任运营商的主认证,运营商和行业联合提供快速的二次认证。高安全等级uRLLC场景的应用方式如图8所示。在终端侧认证载体方面,采用专用高速认证卡提供专用的低时延
25、二次认证。另外,可根据需要单独配备低功耗的实体认证卡作为用户面认证载体增强安全强度,并可采用支持对称密码的用户面认证客户端。在功能部署方面,将EAP客户端软件与二次认证客户端软件融合设计,由二次认证客户端及服务器软件实现低时延的认证协议。在行业安全需求方面,对于关键行业,使用有专用认证算法资质的终端侧认证载体和二次认证服务器硬件,配合提供标准认证协议的客户端及服务器软件来提供专用体制的二次认证功能。二次认证基于专用轻量级认证协议,采用专用认证算法,其流程如图9所示。图8高安全等级uRLLC场景的应用方式图9基于专用轻量级机制的二次认证流程2.2.4高安全等级专网场景高安全等级的专网场景主要面向
26、大型体量的、有更高安全需求的关键行业,由行业和运营商共同提供通信基础设施。这种情况下,运营商和行业联合定制专用网络切片。这个专用网络切片由运营商和行业联合提供行业信任的主认证及切片认证。行业可额外再按需提供单独的用户面认证作为第三重专用认证。高安全等级的专网场景的应用方式具体如图10所示。在终端侧认证载体方面,单独配备基于有专用认证算法资质的增强USlM卡提供增强主认证,再额外配备计算资源丰富的实体认证卡作为切片认证载体提升认证强度,并可采用支持生物特征配合证书的切片认证客户端软件来提高易用性。在功能部署方面,将主认证的通信功能和认证功能分离为专用UDM和主认证服务器,并将EAP客户端软件与切
27、片认证客户端软件融合设计,由切片认证客户端及服务器软件实现高强度的认证协议。在行业安全需求方面,对于关键行业,使用有专用认证算法资质的终端侧认证载体和切片认证服务器硬件,配合提供专用认证协议的客户端及服务器软件来实现专用体制的切片认证功能。具体而言,主认证采用基于3GPP标准5GAKA或EAP-AKA认证协议和专用认证算法的安全增强机制。切片认证和用户面认证,均基于行业专用认证协议,采用专用认证算法。其认证协议和认证算法与前面几种专线场景的二次认证类似,需适应相应移动场景的通信特征,即eMBB场景需要采用高强度的认证体制,mMTC场景需要采用低功耗的轻量级认证体制,URLLC场景需要采用低时延
28、的快速认证体制。3融合认证机制试验验证由于当前5G终端、基站以及核心网等产业链资源均基于3GPPR15版本构建,不支持mMTC场景、uRLLC场景以及二次认证机制。因此,采用不同的验证环境对主认证、二次认证和切片认证以及用户面认证分别进行有针对性的验证。其中,搭建实物环境对主认证和用户面认证机制进行验证,搭建半实物仿真系统对二次认证/切片认证机制进行验证。3. 1实物验证本文依托从运营商租赁的标准商用5G网络设备,构建eMBB实物场景、mMTC模拟场景和URLLC模拟场景,并分别基于该网络对主认证安全增强、专用用户面认证进行试验验证。图10高安全等级eMBB专网场景的应用方式4. 1.1eMB
29、B实物场景eMBB实物场景基于5G成熟产业链构建,可验证eMBB专线和专网两种场景。专线情况下,使用标准UDM网元;专网情况下,采用专用UDM网元加控制面安全增强设备。网络拓扑如图11所示。图11eMBB专网场景试验验证环境网络拓扑试验验证环境包括用户终端、基站、核心网、应用以及安全增强设备。其中,安全增强SIM卡中嵌入了国产或专用的认证算法。专用UDM网元除了具备标准UDM的全部功能,还开放与控制面安全增强服务之间交互的接口,用于嵌入其安全增强能力。控制面安全增强服务设备提供国产或专用的认证算法。安全组件、VPN网关、汇聚VPN网关提供用户面认证功能,采用基于专用体制的、高强度的认证算法和认
30、证协议。试验验证情况具体如下。(1)主认证安全增强机制验证。通过SlM卡读写卡器,为安全增强SIM卡和标准SIM卡同时写入相同的参数,包括相同的国际移动用户识别码(InternationalMobileSubscriberIdentity,IMSl)以及根密钥K等。然后将写入了相同参数的安全增强SIM卡和标准SIM卡插入相同的移动智能终端,经过试验验证发现,只有插入了安全增强SIM卡的手机能够通过接入认证,从而有效验证了主认证的安全增强机制。(2)专用用户面认证机制验证。启动终端侧安全组件、虚拟专用网络(VirtUalPrivateNetwork,VPN)网关,以及网络侧汇聚VPN网关,经过试
31、验验证发现,只有完成用户面认证后,加密业务才能正常开展。通过wireshark抓包可以看到高强度专用认证协议的报文格式,从而有效验证基于专用体制的用户面认证。3. 1.2mMTC模拟场景由于3GPPR15暂未对mMTC场景进行细化,因此mMTC采用模拟方式构建,其模拟场景基于4GNB-IoT产业链资源模拟构建,如图12所示。图12mMTC模拟场景试验验证环境网络拓扑试验验证环境包括用户终端、基站、核心网、应用以及安全增强设备。其中,主认证遵循标准安全机制。NBToT终端中集成标准物联网通信模组5310-A、应用处理器、环境传感器、标准USlM卡,并通过嵌入安全组件提供用户面专用认证,与网络侧配
32、备的物联网安全网关配合使用。专用认证采用基于专用体制的、低功耗轻量级的认证算法和认证协议。下面对专用用户面认证机制进行验证。启动NB-IoT终端、物联网安全网关,经过试验验证发现,只有完成用户面认证后,加密业务才能正常开展。同时,只有嵌入了安全组件的NB-IoT终端才能与应用服务器完成业务交互。通过wireshark抓包可以看到低功耗的轻量级专用认证协议的报文格式,从而有效验证了基于专用体制的用户面认证。3 .1.3uRLLC模拟场景由于3GPPR15暂未对URLLC场景进行细化,因此URLLC采用模拟方式构建,其模拟场景基于eMBB产业链资源和运用边缘计算(MobileEdgeComputi
33、ng,MEC)技术模拟构建,如图13所示。图13uRLLC模拟场景试验验证环境网络拓扑试验验证环境包括用户终端、基站、核心网、MEC节点、应用以及安全增强设备。其中,主认证遵循标准安全机制。移动终端通过嵌入安全组件或VPN网关提供用户面专用认证,与边缘侧配备的VPN网关配合使用。专用认证采用基于专用体制的、低时延的快速认证算法和认证协议。下面对专用用户面认证机制进行验证。启动终端侧安全组件、VPN网关,以及边缘侧VPN网关,经过试验验证发现,只有完成用户面认证后,加密业务才能正常开展。通过wireshark抓包可以看到低时延、快速的专用认证协议的报文格式,从而有效验证了基于专用体制的用户面认证
34、。4 .2半实物仿真验证半实物仿真验证系统基于开源空中接口(OpenAirInterface,OAI)、开源软件系统、通用服务器平台以及自研的射频模块构建。考虑到二次认证和切片认证只是部署位置不同,其认证的承载体制和开放给第三方认证服务器的方式基本一样,因此在半实物仿真系统中重点对二次认证机制进行验证。半实物仿真验证环境的网络拓扑如图14所示。网络环境中实物部分和仿真部分的配置关系如图15所示。图14半实物仿真验证环境网络拓扑图15半实物仿真验证网络环境配置试验验证环境包括用户终端、基站、核心网、MEC节点、应用以及安全增强设备。其中,在终端侧OAl系统的软件中,嵌入二次认证客户端软件和EAP
35、客户端软件。在网络侧OAl系统外部挂接二次认证服务器,即在用户面功能(UserPlanFunction,UPF)网元与应用系统之间串接二次认证服务器。试验验证情况具体如下。(1)二次认证的EAP承载机制验证。通过wireshark抓包可以看到系统提供了移动终端在进入应用系统之间的基于EAP承载的二次认证流程,包括UE与DN-AAA之间交互的认证请求消息Access-Requests认证响应消息Access-ChalIenge认证成功消息ACCeSS-ACCePt,从而有效验证了EAP承载机制。(2)二次认证的上层认证机制验证。通过wireshark抓包可以看到EAP之上承载的认证协议分三次启动
36、,第一次运行高强度的专用认证协议,第二次运行低功耗的轻量级专用认证协议,第三次运行低时延、快速的专用认证协议,从而有效验证了二次认证可以灵活支持不同的移动场景。随着5G标准的完善、5G设备的成熟以及运营商5G网络的逐步广泛覆盖,5G面向行业应用的解决方案也会越来越成熟。本文从5G标准演进趋势以及行业和运营商对认证的需求出发,提出了一种全新的、灵活性较高的、适用于多种移动场景的融合认证机制,能够同时兼顾不同移动场景对认证机制的通信适应性的要求,以及运营商、行业对认证安全性的要求。所提机制既能够适用于普通垂直行业应用,又能够适用于关键行业应用;既能够适用于专线模式的应用,又能够适用于专网模式的应用。本文研究能够为未来面向有差异化高安全需求的各种垂直行业的5G应用提供理论支撑和方案参考。
