中兴通讯鉴权解决方案,构建安全的5G网络

发布时间:2019-06-17

背景和挑战

2G/3G/4G移动通讯网络时代,依靠网络自身强大的加密和认证措施,一直以来被认为是最安全的商用网络,但是2G/3G/4G网络是面向移动终端的、面向人网的,终端类型相对单一,应用场景相对简单。随着5G网络开启了万物互联,面向全场景、全行业应用以及终端形态、接入技术多样化的局面后,网络的业务和功能需求越来越多样化,比如远程医疗、远程工程机械的操作、汽车自动驾驶,海量物联网连接等,这些都将深刻地影响、变革、融入社会的方方面面, 所以说5G对网络安全提出了更高的要求。

图-1 5G网络的特征

5G网络相对2G/3G/4G网络所面临的主要挑战:

  • 如何加强海量终端接入合法性的校验
  • 如何加强用户数据在传输过程中的保护
  • 如何加强用户隐私信息在无线空中接口的保护

5G端到端网络鉴权认证架构特点

为了加强5G网络的安全性,3GPP定义了新的5G安全相关认证框架,对比2G/3G/4G网络的鉴权/加密/完整性保护方式,5G端到端网络鉴权认证架构有如下特点:

1.    基于统一认证架构,提供用户和网络之间的双向认证

2.    支持多种认证方法,例如 5G-AKA, EAP-AKA’

3.    支持主流的加密和完整性保护算法,例如 AES, Snow 3G, ZUC

4.    提供空口和NAS层信令的加密和完整性保护

5.    提供空口和/或UE到核心网之间的用户面加密和完整性保护

6.    采用层次化的密钥派生机制

7.    增加了用户面数据(UP)在移动网络传送过程中的完整性保护功能

8.    增加了用户标识隐私保护(SUCI)

3GPP组织规定所有的2G/3G/4G/5G用户数据以及用户鉴权数据全部统一存储在UDR中,这样尽管可以保证原来的2G/3G/4G用户可以在不换卡,不换号的情况下,能够直接开通5G业务, 但是由于原来的老式USIM卡缺少用户标识隐私保护机制所需的归属网密钥,导致无法支持SUCI保护,因此建议用户开通5G业务时更换原来的USIM卡,但是不需要换号,提高安全性。

9.    增加了归属网络控制

5G鉴权要求归属网的AUSF网元实现对UE返回的RES数据进行校验,降低了对AMF的要求,实现了归属网络对UE的控制。

其中用户数据面(UP)完整性保护、用户标识(SUCI)隐私保护、归属网络控制均是5G网络新增的特有功能,这进一步增强的5G网络的安全性。

图-2 3GPP标准所定义的5G端到端网络认证框架

ZTE Cloud Native SDM的鉴权解决方案

由于5G网络的超大带宽,超低时延以及海量连接等特点,5G相对于4G将是一次颠覆性的升级,网络安全将是整个社会数字化转型的基石,中兴通讯提出的基于ZTE Cloud Native SDM的鉴权解决方案为5G网络提供了端到端的鉴权、加密解决方案, 为5G网络安全的提供了最根本的保证。

图-3 ZTE Cloud Native SDM解决方案

如图所示,ZTE Cloud Native SDM解决方案包含ZXUN CUDR(Cloud Unified Data Repository)、ZXUN USPP两个产品。ZXUN CUDR是中兴通讯统一云化数据层解决方案,实现2G/3G/4G/5G/IMS网络用户数据、鉴权数据的统一存储与管理。中兴通讯Cloud Native SDM,融合了HLR/HSS/UDM/AUSF等功能,支持作为2G/3G/4G/5G统一的数据管理设备,实现2G/3G/4G/5G/IMS网络的统一接入、鉴权。

  • UDR:部署于归属网络,融合存储多种结构化数据,2G/3G/4G/5G签约数据,PCRF策略数据,用户鉴权数据等。
  • UDM:支持5G网络的UDM功能,实现5G网络的统一接入、鉴权功能(鉴权证书计算、生成5G HE Avs、重同步鉴权证书计算等)。
  • AUSF:提供5G鉴权架构5G AKA流程支持;提供EAP AKA’流程支持;服务网络授权检查;鉴权算法,生成5G AKA AVs;增强归属网络控制;支持SUCI等。

考虑到仅仅依靠鉴权过程,无法完全防止欺诈,基于ZTE Cloud Native SDM的鉴权解决方案通过关联Authentication与后续Registration 过程,提供了增强的归属网络控制功能。归属网络将终端的认证确认与随后的注册流程关联起来,在注册流程中,检查该拜访网络下,用户近期是否鉴权认证通过。如果该网络下用户未曾通过鉴权认证,则拒绝注册,同时在拒绝消息中携带5G鉴权指示,指示拜访网络在注册前应获取新的鉴权向量重新对用户进行认证,进一步提高了网络的安全性。

基于ZTE Cloud Native SDM的5G鉴权解决方案为5G而生,能够保护用户数据的完整性、可靠性和一致性、安全性,时刻保障网络业务安全稳定运行,主要体现在以下几点:

  • 统一的云原生/微服务架构,实现业务快速部署和灰度升级

满足云原生相关特征,支持虚机和容器化部署,对服务级的业务进行进一步的扩充和细分,拆分为更细粒度的微服务,每个微服务/服务都可以独立部署、升级、迁移和重生,帮助运营商快速部署网络和新业务。

  • 高可用、高性能、大容量的设计保障

合理的系统结构保证了设备的高可靠性和高性能,采用分布式,网络功能无状态处理的设计思路,各个服务及服务组件之间独立运行,保证优异的整体性能,某一处理单元故障,不会影响到其它处理单元。

冗余设计保证电信设备运营的高可靠性。在设计上综合采取了多种措施,保证设备的稳定性。比如:提供操作维护类组件1+1冗余备份,应用逻辑处理、信令接入、接口转发类组件N+M冗余备份,支持组件自愈,地理容灾等,完善的过负荷保护机制,多级数据库备份和恢复机制等,充分保证了系统电信级的稳定性。

大容量,单套设备同时支持多达3亿2/3/4/5G静态用户;高性能,基于内存数据库,数据访问時延低,高可用性、高性能、大容量的设计保障了海量终端接入、鉴权需求。

  • 多层数据校验,保证数据的一致性
  • 多种接入模式下的统一鉴权

AUSF能够处理3GPP接入和非3GPP接入下的鉴权认证请求

  • 为用户永久标识提供私密性保护

仅在用户认证成功后提供用户永久标识给服务网络,从而为UE提供通信服务安全保障。

  • 增强的归属网络控制

AUSF支持将用户认证结果告知UDM,将用户的认证确认与随后的注册流程关联起来有助于防止某些类型的欺诈。

  • 多维度的数据组织安全保护

租户隔离,按照租户进行数据组织和访问,数据存储和访问严格隔离;访问安全,严格的ACL控制;敏感数据和备份数据的加密存储,为敏感数据提供硬件和软件安全加密机制,用来保护用户数据。

  • 严格的个人数据保护,包括严格的权限控制,严格的安全审核。

小结:

基于ZTE Cloud Native SDM的鉴权解决方案为5G而生,为多种终端类型、多种接入模式、多种应用提供统一的鉴权、认证。能够确保用户数据的完整性、可靠性、一致性。从容应对各种自然灾害、以及大话务量的冲击,确保用户数据的安全性。保证用户信息不易被非法用户侵入,篡改、泄露。为5G网络安全提供最根本的保障。