□ 文 賈聿庸 湯建歡

1.概述

隨著5G的來(lái)臨，企業(yè)和消費(fèi)者已經(jīng)對(duì)其高可靠、低時(shí)延、大容量的性能垂涎三尺，5G網(wǎng)絡(luò)速率的極大提高，可讓用戶享受到高清視頻、游戲和其他密集文件等內(nèi)容下載的速度帶來(lái)的快感。5G將催生一個(gè)全新的生態(tài)系統(tǒng)，充滿潛在的技術(shù)創(chuàng)新和業(yè)務(wù)創(chuàng)新，這不僅關(guān)系到消費(fèi)領(lǐng)域和商業(yè)領(lǐng)域，而且對(duì)制造業(yè)、能源、醫(yī)療保健等垂直市場(chǎng)領(lǐng)域也會(huì)產(chǎn)生深遠(yuǎn)的影響。原有的4G網(wǎng)絡(luò)存在一些安全隱患，如IM SI（International Mobile Su bsc riber Id entific ation Nu mber）泄露，用戶位置更新欺詐等安全問(wèn)題，且4G主要是以業(yè)務(wù)訂購(gòu)為中心的移動(dòng)網(wǎng)絡(luò)，無(wú)法讓運(yùn)營(yíng)商看到訂閱服務(wù)后的具體使用者或具體的“物聯(lián)網(wǎng)設(shè)備”，導(dǎo)致用戶信息數(shù)據(jù)安全管理存在嚴(yán)重的不足；因此，人們對(duì)5G提出了以用戶為中心的認(rèn)證要求，面向5G的以用戶為中心的認(rèn)證管理將是5G的重要研究方向。

IAM（Identity and Access Management身份和訪問(wèn)管理）是GSM A（全球移動(dòng)通信系統(tǒng)協(xié)會(huì)）提出的以用戶為中心的認(rèn)證管理方案，它以5G網(wǎng)絡(luò)為研究基礎(chǔ)，解決5G網(wǎng)絡(luò)下設(shè)備背后的用戶身份的安全認(rèn)證和管理的需求，可為企業(yè)、運(yùn)營(yíng)商和消費(fèi)者提供更安全的認(rèn)證管理服務(wù)。

2.5G身份認(rèn)證需求

在5G中，以用戶為中心的身份認(rèn)證，需考慮如何區(qū)分訂購(gòu)關(guān)系背后的人或者事物，其中我們將可被識(shí)別的事物或人稱為“實(shí)體”?！皩?shí)體”不一定是個(gè)人，也可能是應(yīng)用程序或設(shè)備。實(shí)體在系統(tǒng)中由一個(gè)標(biāo)識(shí)唯一地表示，身份可以取決于實(shí)體在系統(tǒng)中的角色（例如，某種服務(wù)用于某種目的）。如此，用戶可以具有多個(gè)用戶身份，例如，一個(gè)用戶身份代表（人類）用戶的職業(yè)角色，另一個(gè)用戶身份代表她私人生活的某些方面。用戶和用戶身份之間有1：N的關(guān)系。如下是用戶、用戶身份、標(biāo)識(shí)符和屬性之間的關(guān)系示意：

用戶身份與一些信息相關(guān)聯(lián)，這些信息通常稱為屬性，具有特殊形式的屬性稱為標(biāo)識(shí)符，身份和標(biāo)識(shí)符之間的關(guān)系是1：N；每個(gè)用戶身份在系統(tǒng)中由一個(gè)或多個(gè)用戶標(biāo)識(shí)符進(jìn)行標(biāo)識(shí)，標(biāo)識(shí)符可以采用電子郵件地址或某些號(hào)碼的形式來(lái)表示，可以是永久性的，也可以是臨時(shí)性的?；?G的身份認(rèn)證架構(gòu)的功能和需求分析如下：

1)能夠使用特定自然身份（用戶或設(shè)備）的唯一標(biāo)識(shí)符創(chuàng)建和驗(yàn)證數(shù)字身份；

2)能夠在不同的網(wǎng)絡(luò)和不同的應(yīng)用服務(wù)提供商之間使用相同的標(biāo)識(shí)符；

3)能夠定義和管理運(yùn)營(yíng)商發(fā)布的標(biāo)識(shí)符與其他標(biāo)識(shí)符之間的關(guān)系，例如第三方標(biāo)識(shí)符；

4)能夠根據(jù)用戶（或設(shè)備所有者）同意或控制，將自然標(biāo)識(shí)的屬性（包括數(shù)據(jù)和服務(wù)訪問(wèn)）共享給另一實(shí)體。

圖1 用戶、用戶身份、標(biāo)識(shí)符和屬性之間的關(guān)系示意圖

3.以用戶為中心的5G認(rèn)證技術(shù)研究

3.1 以用戶為中心的認(rèn)證原則

為了更安全地管理5G網(wǎng)絡(luò)的接入，運(yùn)營(yíng)商需要基于5G網(wǎng)絡(luò)改進(jìn)IAM（身份和訪問(wèn)管理）機(jī)制，達(dá)到以用戶為中心的服務(wù)認(rèn)證機(jī)制。增強(qiáng)用戶的身份和訪問(wèn)管理的方法可以增強(qiáng)消費(fèi)者的體驗(yàn)，可優(yōu)化網(wǎng)絡(luò)與服務(wù)。5G網(wǎng)絡(luò)中實(shí)現(xiàn)IAM架構(gòu)的如下幾個(gè)原則：

1)引入“新身份”作為設(shè)備背后的身份。這個(gè)“新身份”應(yīng)該具有可跨設(shè)備、網(wǎng)絡(luò)和服務(wù)使用的憑據(jù)，其可能是設(shè)備的使用者或物聯(lián)網(wǎng)服務(wù)中的網(wǎng)關(guān)或主機(jī)設(shè)備（例如：特定身份的汽車(chē)，醫(yī)療設(shè)備和智能電表等）；

2)可實(shí)現(xiàn)跨網(wǎng)絡(luò)域、跨接入技術(shù)、跨層的服務(wù)無(wú)關(guān)的身份識(shí)別，其認(rèn)證方法和授權(quán)允許跨運(yùn)營(yíng)商使用，且允許在服務(wù)提供商和網(wǎng)絡(luò)運(yùn)營(yíng)商之間使用。

5G系統(tǒng)中，以用戶為中心的IAM認(rèn)證架構(gòu)可實(shí)現(xiàn)資源共享，降低成本，提高效率，IAM可利用5G的多個(gè)網(wǎng)絡(luò)切片的特點(diǎn)，IAM所在的網(wǎng)絡(luò)運(yùn)行在統(tǒng)一的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上，可以大大降低建網(wǎng)成本，提高物理資源的利用率；同樣，5G核心網(wǎng)重構(gòu)了統(tǒng)一的安全框架，以支持各種接入方式，如3GPP接入，WiFi接入，固網(wǎng)接入等，可以為多種業(yè)務(wù)提供多樣化、個(gè)性化的服務(wù)，滿足大家的生活便利和安全保障。

3.2 認(rèn)證架構(gòu)中的角色分析

IAM提出的以用戶為中心認(rèn)證由一組角色定義，每組角色具有相應(yīng)的功能，每個(gè)實(shí)體將扮演一個(gè)或多個(gè)角色，以完成實(shí)體參與的事務(wù)，這些角色可以分為如下幾個(gè)層次：

1)數(shù)據(jù)層：數(shù)據(jù)層與服務(wù)中的數(shù)據(jù)流相關(guān)，數(shù)據(jù)層中的參與者：

a)數(shù)據(jù)源：生成數(shù)據(jù)的實(shí)體。所生成的數(shù)據(jù)可能由另一個(gè)實(shí)體(例如傳感器)收集；數(shù)據(jù)源的一個(gè)例子是服務(wù)的自然標(biāo)識(shí)(用戶/設(shè)備)；

b)數(shù)據(jù)用戶：使用/消費(fèi)數(shù)據(jù)的實(shí)體，例如，有自然標(biāo)識(shí)(人工用戶/設(shè)備)和服務(wù)提供商；

2)服務(wù)層：服務(wù)層與服務(wù)流相關(guān)，服務(wù)層中的參與者：

a)服務(wù)提供商：提供服務(wù)的實(shí)體；

b)服務(wù)設(shè)備：支持服務(wù)的設(shè)備，例如，提供測(cè)量的傳感器；

c)服務(wù)用戶：使用/消費(fèi)服務(wù)的實(shí)體，例如，自然標(biāo)識(shí)(人工用戶/設(shè)備)和B2B上下文中的另一個(gè)服務(wù)提供商；

3)服務(wù)實(shí)現(xiàn)層：服務(wù)實(shí)現(xiàn)層與支持/交付服務(wù)的功能相關(guān)，服務(wù)實(shí)現(xiàn)層中的參與者：

a)身份提供商：向用戶或設(shè)備提供身份并使用戶或設(shè)備能夠向另一個(gè)實(shí)體（例如服務(wù)提供商）聲明其身份的實(shí)體；執(zhí)行服務(wù)的實(shí)體也可以執(zhí)行身份提供商的的角色(例如，為其自己的用戶或設(shè)備)；

b)標(biāo)識(shí)用戶：擁有和使用標(biāo)識(shí)提供程序給它的標(biāo)識(shí)的實(shí)體，例如，自然身份（人類用戶/設(shè)備）；

c)設(shè)備所有者：具有設(shè)備所有權(quán)的實(shí)體，并充當(dāng)設(shè)備的代理(授予權(quán)限)，例如用于管理權(quán)限；

4)連接層：服務(wù)實(shí)現(xiàn)層中的參與者：

a)連接供應(yīng)商：為設(shè)備提供連接服務(wù)的實(shí)體，例如，移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商可以作為連接供應(yīng)商；

b)連接用戶：使用連接提供商提供的連接的實(shí)體，如設(shè)備（例如智能手機(jī)或通信模塊）和相關(guān)訂閱。

圖2 身份管理的角色分層示意

圖3 5G系統(tǒng)架構(gòu)

3.3 5G認(rèn)證架構(gòu)分析

5G架構(gòu)是基于服務(wù)和網(wǎng)絡(luò)功能的交互性來(lái)定義的，擁有云本地訪問(wèn)、傳輸和核心網(wǎng)絡(luò)，以支持多樣化的5G服務(wù)和關(guān)鍵技術(shù)，如邊緣到邊緣網(wǎng)絡(luò)切片和基于組件的網(wǎng)絡(luò)功能。5G網(wǎng)絡(luò)中引入了網(wǎng)絡(luò)切片技術(shù)，在復(fù)雜的網(wǎng)絡(luò)融合和業(yè)務(wù)場(chǎng)景個(gè)性化的環(huán)境下，5G網(wǎng)絡(luò)的安全認(rèn)證顯得至關(guān)重要，5G的相關(guān)認(rèn)證包括5G認(rèn)證框架、身份標(biāo)識(shí)、認(rèn)證憑證、認(rèn)證機(jī)制等。5 G系統(tǒng)架構(gòu)將用戶平面(UP)與控制平面(CP)分開(kāi)，允許獨(dú)立的可伸縮性、演化和靈活的部署，來(lái)支持統(tǒng)一的身份認(rèn)證框架。

如上圖所示，5G核心網(wǎng)中的主要認(rèn)證功能有ARPF、AUSF、SEAF和SCM F，它們都位于運(yùn)營(yíng)商網(wǎng)絡(luò)或第三方系統(tǒng)安全可靠的環(huán)境中，且此環(huán)境不會(huì)暴露給非授權(quán)的物理接入。5G架構(gòu)中的主要功能的簡(jiǎn)單介紹如下：

1)A RPF（A u t hent ic ation Cred ent ial Rep ository and Processing Function）：該功能存儲(chǔ)用于認(rèn)證的長(zhǎng)期安全證書(shū)，并使用長(zhǎng)期安全證書(shū)作為輸入執(zhí)行密碼運(yùn)算；另外，還存儲(chǔ)訂購(gòu)的Profile；ARPF和AUSF之間進(jìn)行交互；

2)A USF（A u t h e n t ic at io n Ser v er Fu nc tion）：該功能與A RPF交互來(lái)實(shí)現(xiàn)認(rèn)證功能，并終止來(lái)自SEAF的請(qǐng)求；AUSF與UDM之間的接口，用于獲取簽約用戶信息；支持對(duì)3GPP訪問(wèn)和不可信的非3GPP訪問(wèn)的身份驗(yàn)證；

3)SEAF（Security Anchor Function）：通過(guò)服務(wù)網(wǎng)絡(luò)中的AMF提供身份驗(yàn)證功能；

4)SCMF（Security Context M anagement Function）：該功能從SEAF接受密鑰并衍生其他密鑰；

5)AMF（Access and Mobility Management Function）：將為終端分配5G全球唯一標(biāo)識(shí)（5G GUTI），該標(biāo)識(shí)對(duì)于3GPP接入和非3GPP接入都適用；

6)UDM統(tǒng)一數(shù)據(jù)管理（Un if ie d Dat a M anagement)：對(duì)信息數(shù)據(jù)進(jìn)行統(tǒng)一管理，該功能包含ARPF。

5G的認(rèn)證框架應(yīng)對(duì)接入5G核心網(wǎng)的多種接入網(wǎng)絡(luò)進(jìn)行認(rèn)證，包括3GPP未定義的接入網(wǎng)絡(luò)（如固網(wǎng)接入或WLAN接入網(wǎng)）。非3GPP接入網(wǎng)必須通過(guò)N3IWF（非3GPP交互功能模塊）接入5G核心網(wǎng)。N3IWF分別通過(guò)N2/N3參考點(diǎn)和5G核心網(wǎng)的控制/用戶平面連接交互。

圖4 5G非漫游架構(gòu)，非3GPP接入

4.在5G中身份認(rèn)證管理的應(yīng)用場(chǎng)景

通過(guò)5G及IA M現(xiàn)有架構(gòu)技術(shù)的研究，以用戶為中心的身份認(rèn)證管理技術(shù)可解決用戶和設(shè)備之間的關(guān)系、訪問(wèn)第三方服務(wù)和網(wǎng)關(guān)后面的物聯(lián)網(wǎng)設(shè)備的可見(jiàn)性等問(wèn)題，從而提供更高效精準(zhǔn)的服務(wù)給用戶。針對(duì)5G下的用戶與設(shè)備之間的關(guān)系管理，我們以共享平板電腦為例，考慮的應(yīng)用場(chǎng)景如下：

Alice是Shared table（共享平板電腦）設(shè)備的所有者，在Alice同意的情況下，Bob可使用共享平板電腦設(shè)備，即Bob是共享平板電腦的使用者。Alice和Bob都在運(yùn)營(yíng)商處訂購(gòu)了身份認(rèn)證管理服務(wù)和適合自己的服務(wù)，大家可直接在共享平板電腦上使用運(yùn)營(yíng)商提供的服務(wù)，而不需要復(fù)雜的認(rèn)證操作流程。

目前，通過(guò)使用WiFi連接的平板電腦無(wú)法在任何給定時(shí)間分辨誰(shuí)正在使用平板電腦。因此，所有有權(quán)訪問(wèn)平板電腦的用戶都可以使用其上可用的所有應(yīng)用程序，即Alice在平板電腦上有她的工作應(yīng)用程序等信息，那么其他人，如Bob也可以在平板電腦上訪問(wèn)此應(yīng)用程序。在5G網(wǎng)絡(luò)中，使用IAM認(rèn)證架構(gòu)，不需要考慮訪問(wèn)的類型（如WiFi、5G或有線等），運(yùn)營(yíng)商就可以根據(jù)預(yù)訂中存儲(chǔ)的授權(quán)用戶的Profile文件識(shí)別使用平板電腦的用戶，并相應(yīng)地配置用戶可用的服務(wù)。

圖5 IAM架構(gòu)角色映射到共享平板電腦的用例圖

圖6 用戶訪問(wèn)管理的流程示意

4.1 設(shè)備與用戶之間認(rèn)證管理的分析

基于5G的身份認(rèn)證架構(gòu)具有對(duì)用戶進(jìn)行訪問(wèn)管理的功能，包括對(duì)請(qǐng)求的實(shí)體進(jìn)行身份驗(yàn)證請(qǐng)求ID和訪問(wèn)特定實(shí)體的授權(quán)的功能；Alice可通過(guò)共享平板電腦訪問(wèn)運(yùn)營(yíng)商提供的電子郵件服務(wù)，IDP（ID平臺(tái)）驗(yàn)證其身份ID并授權(quán)其ID，以連接Alice訪問(wèn)運(yùn)營(yíng)商電子郵件的服務(wù)。

Alice的ID已在運(yùn)營(yíng)商（M NO）的后臺(tái)系統(tǒng)中配置好，Alice的標(biāo)識(shí)符已由身份提供商配置和管理，她可使用共享平板電腦訪問(wèn)和使用她的服務(wù)。訪問(wèn)管理功能的信息既包括身份驗(yàn)證請(qǐng)求和響應(yīng)，也包括授權(quán)請(qǐng)求和響應(yīng)。設(shè)備所有者Alice通過(guò)共享平板電腦對(duì)其身份進(jìn)行驗(yàn)證，來(lái)訪問(wèn)服務(wù)，下面的場(chǎng)景流程介紹了運(yùn)營(yíng)商是服務(wù)提供商和身份提供商進(jìn)行身份識(shí)別認(rèn)證的流程：

a Alic e登陸共享平板電腦，共享平板電腦通過(guò)她的指紋識(shí)別到Alice；

b運(yùn)營(yíng)商是標(biāo)識(shí)符的提供者，Alice通過(guò)共享平板電腦(沒(méi)有SIM卡)向運(yùn)營(yíng)商注冊(cè)其標(biāo)識(shí)符；

c服務(wù)提供商（M N O）請(qǐng)求I D提供商（MNO）驗(yàn)證Alice的ID；

d Alice的ID通過(guò)ID提供商進(jìn)行身份驗(yàn)證；

e服務(wù)提供商（MNO）請(qǐng)求ID提供商（M NO）授權(quán)給Alice的ID進(jìn)行相關(guān)服務(wù)的訪問(wèn)；

f對(duì)Alice ID的授權(quán)完成；

g服務(wù)提供商和ID提供商授權(quán)完成后，Alice即可通過(guò)平板電腦訪問(wèn)她的服務(wù)。

圖7 創(chuàng)建新的關(guān)系流程示意

圖8 設(shè)備所有者的訪問(wèn)權(quán)限的更新

4.2 設(shè)備與用戶之間的關(guān)系管理分析

對(duì)于共享平板電腦，除了設(shè)備的所有者使用之外，還有很多使用者，所以身份認(rèn)證架構(gòu)需要考慮設(shè)備和使用者之間關(guān)系管理的功能，包括在共享設(shè)備上創(chuàng)建、添加、刪除、修改實(shí)體之間關(guān)系的功能；共享設(shè)備的所有者和使用者都可在設(shè)備上完成認(rèn)證后進(jìn)行與自身相關(guān)的服務(wù)，并能在設(shè)備中對(duì)實(shí)體的關(guān)系進(jìn)行管理的操作。

身份提供商已在設(shè)備系統(tǒng)中配置了相關(guān)身份，設(shè)備可存儲(chǔ)多種身份，每個(gè)身份的訪問(wèn)權(quán)限根據(jù)用戶訂購(gòu)的服務(wù)不同，如，一個(gè)身份可能具有多個(gè)訪問(wèn)權(quán)限，也可能一個(gè)身份享有其他身份的訪問(wèn)權(quán)限等。并且設(shè)備的所有者允許創(chuàng)建、更新設(shè)備的使用者與身份和訪問(wèn)權(quán)限之間的的關(guān)系管理功能，設(shè)備中的身份可以是任何的實(shí)體，如設(shè)備所有者、使用者等。

Alice（設(shè)備所有者）允許Bob在共享平板電腦上創(chuàng)建新的關(guān)系，ID提供商已為Bob提供Bob的ID。在5G的身份認(rèn)證架構(gòu)中創(chuàng)建新的關(guān)系的信息包括創(chuàng)建關(guān)系請(qǐng)求和響應(yīng)，需要在用戶ID的身份驗(yàn)證成功之后執(zhí)行的，下面的場(chǎng)景流程介紹了運(yùn)營(yíng)商是服務(wù)提供商和身份提供商進(jìn)行身份識(shí)別認(rèn)證的流程：

a Bob第一次訪問(wèn)平板電腦，并請(qǐng)求他的所有服務(wù)(電話號(hào)碼、信息服務(wù)、視頻服務(wù))在平板電腦上可用；

b設(shè)備向服務(wù)提供商(MNO)發(fā)送請(qǐng)求；

c服務(wù)提供商(M NO)請(qǐng)求Bo b的ID提供商(MNO)創(chuàng)建一個(gè)新關(guān)系；

d Bob的ID已經(jīng)過(guò)身份驗(yàn)證。在成功的身份驗(yàn)證時(shí)，ID提供商創(chuàng)建一個(gè)新的“訪問(wèn)權(quán)限”，其中包含關(guān)于平板電腦的信息，以及Bob可以從其訪問(wèn)所有的服務(wù)。假設(shè)所有者(Alice)允許創(chuàng)建新的關(guān)系；

e通過(guò)ID提供商成功創(chuàng)建新關(guān)系；

f Bob被告知操作成功。

此時(shí)，Bob可在共享平板電腦上使用他在運(yùn)營(yíng)商訂購(gòu)的服務(wù)。Bob使用完之后，交還給Alice，設(shè)備所有者Alice登錄平板電腦并更新訪問(wèn)權(quán)限，她在平板電腦上可看到平板電腦的“訪問(wèn)權(quán)限”的更新信息如下所示：

通過(guò)上述分析可看到在5G網(wǎng)絡(luò)中，進(jìn)行用戶身份和訪問(wèn)管理，需對(duì)用戶進(jìn)行角色定位，角色識(shí)別和關(guān)系管理，從而實(shí)現(xiàn)用戶、網(wǎng)絡(luò)和應(yīng)用等多方關(guān)系的處理和識(shí)別，從而達(dá)到用戶角色識(shí)別和服務(wù)提供，滿足用戶個(gè)性化的服務(wù)需求。

5.結(jié)束語(yǔ)

綜上所述，5G時(shí)代與身份和認(rèn)證相關(guān)的商業(yè)機(jī)會(huì)將取決于運(yùn)營(yíng)商將“ID”與由該“ID”直接或間接生成的數(shù)據(jù)鏈接起來(lái)的能力，最終會(huì)將這些數(shù)據(jù)與用戶或“事物”聯(lián)系起來(lái)，對(duì)這些數(shù)據(jù)采用分析能力來(lái)創(chuàng)造巨大的價(jià)值。5G技術(shù)的發(fā)展，引入以用戶為中心的身份管理能力，形成以用戶為中心的服務(wù)能力，可為后續(xù)運(yùn)營(yíng)商更大程度的提升業(yè)務(wù)能力和精細(xì)化運(yùn)營(yíng)能力。■