中興通訊統一安全認證方案，為5G而生

5G網絡是數字化轉型的關鍵，將推動各行各業的巨大變革和創新。除“人網”外，其還催生出眾多的“物網”、“工業網”新應用，如：車聯網、遠程醫療、智能電表、自動駕駛、視頻監控等。在如此多樣化的商業模式下，5G網絡也將面臨更加復雜的網絡安全和隱私保護的挑戰。

為了加強5G網絡的安全性，3GPP定義了新的5G安全相關認證框架，其鑒權認證架構如下圖:

圖1：5G安全相關認證框架

相比3G/4G網絡的鑒權/加密/完整性保護方式，5G端到端的網絡安全認證架構更加安全可靠：

主要總結為以下幾點:

基于統一認證架構，提供用戶和網絡之間的雙向認證。

支持多種認證方法，例如 5G-AKA, EAP-AKA’等。

采用層次化的密鑰派生機制。

提供空口的加密。

增加了用戶標識隱私保護。

針對5G對網絡安全的超高要求，中興通訊提出基于ZTE Cloud Native SDM的統一用戶安全認證解決方案，此方案不僅為5G網絡提供了端到端的鑒權認證和加密機制, 而且實現2G/3G/4G/5G/IMS多網絡接入下的統一鑒權認證，確保全網絡的安全可靠。

中興通訊Cloud Native SDM統一用戶安全認證方案

圖2：ZTE Cloud Native SDM解決方案

如圖所示，中興通訊Cloud Native SDM，包括BE（BackEnd）和FE（FrontEnd）兩部分， BE基于云化統一數據層，其中結構化存儲單元UDR統一融合2G/3G/4G/5G/IMS等用戶數據；FE深度融合HLR/HSS/UDM/AUSF等網元業務功能，實現了多網絡接入下統一移動性管理和認證鑒權管理。

UDR：融合存儲多種結構化數據，包括2G/3G/4G/5G簽約數據、PCRF策略數據、用戶鑒權數據等。

UDM：作為5GC網絡中的數據管理NF， 實現5G網絡統一接入、鑒權認證功能，包括鑒權證書計算、5G HE Avs生成、重同步鑒權證書計算等。

AUSF：作為5GC網絡中的鑒權NF，提供鑒權服務功能，支持5G鑒權架構的5G AKA流程和EAP AKA’流程，并提供服務網絡授權檢查、鑒權算法、增強歸屬網絡控制以及SUCI(Subscription concealed identifier)等功能。

中興通訊Cloud Native SDM的統一用戶安全認證解決方案，為5G而生，保護用戶數據的完整性、可靠性和一致性、安全性，時刻保障多接入網絡的安全穩定運行，主要特點如下：

1、統一的云原生/微服務架構，實現業務快速部署

滿足云原生相關特征，支持虛機和容器化部署，對服務級的業務進行了進一步的擴充和細分，拆分為更細粒度的微服務，每個微服務/服務都可以獨立部署、升級、遷移和重生，幫助運營商快速部署網絡和新業務。

2、大容量，全融合，高可靠，降低TCO

大容量：單設備支持多達億級2/3/4/5G/IMS靜態用戶；

全融合：支持HLR/HSS/UDM/AUSF/EIR/ENUM/SPR/AAA等網元的融合，有效降低CAPEX和OPEX；

高可靠：多級數據庫備份和恢復機制、完善的過負荷保護機制等，充分保障設備的穩定性。

3、多網絡接入的統一鑒權認證，簡化網絡

中興通訊Cloud Native SDM集中化存儲2G/3G/4G/5G用戶數據。當用戶從不同網絡接入時，基于統一的用戶鑒權信息，依據不同網絡的鑒權算法可以生成3G五元組、4G四元組、5G四元組，從而實現同一用戶從不同網絡接入時的統一鑒權認證。

4、為5G用戶永久標識提供私密性保護功能，保護用戶隱私

中興通訊Cloud Native SDM解決方案為5G USIM卡提供了用戶標識隱私保護功能，相比4G網絡空口消息中采用明文IMSI，5G網絡空口消息中采用SUCI，即密文IMSI，防止非法基站和設備獲取用戶IMSI信息，保護用戶隱私信息。

5、5G用戶注冊時雙向認證，防止非法用戶接入

當用戶接入時，中興通訊Cloud Native SDM按照5G AKA或者EAP AKA’鑒權算法進行鑒權認證。當用戶側和網絡側完成雙向認證后，網絡才允許用戶接入網絡，完成用戶注冊等業務操作。

6、增強歸屬網絡鑒權認證控制，防止欺詐

中興通訊Cloud Native SDM的5G鑒權認證在歸屬網控制方面做了增強，即歸屬網絡將終端認證確認與注冊流程關聯，如果在該網絡下終端未曾通過鑒權認證，歸屬網絡可拒絕注冊，同時可指示拜訪網絡在注冊前應重新請求鑒權認證，進一步提高了網絡安全性，有效避免拜訪網絡欺騙發生。

中興通訊Cloud Native SDM的統一用戶安全認證解決方案，為多種終端、多種接入、多種應用提供統一用戶鑒權和認證，簡化網絡架構，確保用戶信息不被非法設備侵入、篡改和泄露，為2G/3G/4G/5G/IMS網絡安全提供最根本的保障。