適用于多類移動場景的融合認證機制設計

適用于多類移動場景的融合認證機制設計認證是移動通信系統(tǒng)的重要安全手段，主要用于鑒別功能實體的身份的合法性。為滿足企業(yè)/行業(yè)用戶遠程移動業(yè)務應用的需求，依托移動運營商網(wǎng)絡構(gòu)建專網(wǎng)已成為業(yè)界的主流方式。目前業(yè)界認證的主流思路是在移動運營商提供的主認證、二次認證基礎(chǔ)上疊加額外的用戶面認證。這種思路在面向多類移動場景應用時存在不足。針對這一問題首先對不同利益相關(guān)方對認證的需求進行了分析；其次提出了一種全新的、靈活的融合認證機制，對普通垂直行業(yè)、關(guān)鍵行業(yè)兩類行業(yè)應用以及大帶寬、低功耗以及低時延等移動場景進行深入設計；最后給出了在實物和半實物環(huán)境中針對主認證、用戶面認證以及二次認證試驗驗證的結(jié)果，證明了方案的優(yōu)勢，為5G面向垂直行業(yè)和關(guān)鍵行業(yè)應用提供理論支撐。內(nèi)容目錄：1現(xiàn)有移動通信認證機制2融合認證機制設計2.1不同利益相關(guān)方對認證的需求2.2總體設計2.2.1高安全等級eMBB專線場景2.2.2高安全等級mMTC專線場景2.2.3高安全等級uRLLC專線場景2.2.4高安全等級專網(wǎng)場景3融合認證機制試驗驗證3.1實物驗證3.1.1eMBB實物場景3.1.2mMTC模擬場景3.1.3uRLLC模擬場景3.2半實物仿真驗證4結(jié)語認證是移動通信系統(tǒng)的重要安全手段，主要用于鑒別功能實體的身份的合法性。2G系統(tǒng)提供了單向認證能力，即網(wǎng)絡認證終端而沒有終端認證網(wǎng)絡，因此出現(xiàn)了偽基站的攻擊方式。進入3G和4G時代，“第三代合作伙伴計劃”標準化組織(3rdGenerationPartnershipProject，3GPP)完善了認證機制，提供了雙向認證能力，即網(wǎng)絡認證終端，終端同時也認證網(wǎng)絡，這種認證比較適合2C的模式，即運營商為公眾用戶提供服務的情況。之后，在移動通信與行業(yè)相結(jié)合的背景下，運營商除了面向公眾用戶，還能夠為行業(yè)用戶提供專線服務。為了提高行業(yè)應用的安全性，運營商除了提供雙向主認證，還為專線提供了二層隧道協(xié)議網(wǎng)絡服務器(L2TPNetworkServer，LNS)+認證、授權(quán)、計費(Authentication、Authorization、Accounting，AAA)的認證，這種認證常被稱為AAA認證。這種認證方式通過在用戶身份標識模塊(SubscriberIdentityModule，SIM)卡里配置行業(yè)用戶的用戶名和口令信息，并在主認證的過程中通過非接入層(Non-AccessStratum，NAS)消息將用戶名和口令信息帶給分組數(shù)據(jù)網(wǎng)絡網(wǎng)關(guān)(PacketDataNetworkGateway，PGW)網(wǎng)元，再由PGW網(wǎng)元與部署在行業(yè)用戶數(shù)據(jù)網(wǎng)絡(DataNetwork，DN)處的AAA服務器之間的基于Radius或Diameter協(xié)議實現(xiàn)AAA認證。認證通過后，由同樣部署在行業(yè)用戶DN處的LNS為終端分配專線的網(wǎng)際互聯(lián)協(xié)議(InternetProtocol，IP)地址，并提供接入控制能力。進入5G時代，3GPP提出了一種更加符合行業(yè)需求的二次認證機制。在從2C向2B轉(zhuǎn)型的背景下，相較于3G和4G的AAA認證，5G的二次認證雖然也是一種面向行業(yè)的接入認證，但5G網(wǎng)絡只提供了基于可擴展的身份認證協(xié)議(ExtensibleAuthenticationProtocol，EAP)統(tǒng)一承載的二次認證通道。二次協(xié)議相當于應用層協(xié)議，完全由行業(yè)自主選擇和確定，同時這個二次認證是一個從終端到AAA之間的端到端認證，因此認證能力有較大提升。1現(xiàn)有移動通信認證機制我國的5G商用采用的是獨立組網(wǎng)(StandAlone，SA)思路，因此目前主流的移動通信系統(tǒng)有兩大類四小類場景，第一大類是4G移動通信系統(tǒng)，第二大類是5G移動通信系統(tǒng)。兩個大類各自都有兩個小類，分別是漫游架構(gòu)和非漫游架構(gòu)，前者實現(xiàn)用戶依托拜訪地基礎(chǔ)設施接入的情況，后者實現(xiàn)用戶依托本地基礎(chǔ)設施接入的情況。下面以漫游架構(gòu)為例進行說明。4G移動通信漫游架構(gòu)場景的認證機制如圖1所示。其中，主認證和AAA認證均由歸屬地運營商提供，采用國際的標準認證體制；用戶面認證由行業(yè)用戶提供，采用國產(chǎn)或?qū)Ｓ谜J證體制。圖14G移動通信漫游架構(gòu)認證機制5G移動通信漫游架構(gòu)場景的認證機制如圖2所示。其中，主認證由歸屬地運營商提供，采用國際標準認證體制；切片認證和二次認證根據(jù)運營商為行業(yè)提供服務的模式進行選取，若運營商為行業(yè)提供專用切片，則采用切片認證，若運營商為行業(yè)提供專線，則采用二次認證。切片認證和二次認證由行業(yè)用戶提供，原則上可采用國產(chǎn)或?qū)Ｓ谜J證體制。用戶面認證由行業(yè)用戶提供，采用國產(chǎn)或?qū)Ｓ谜J證體制。圖25G移動通信漫游架構(gòu)認證機制但是在傳統(tǒng)思路的認證體系中，看似進行了3重認證，但實際上每重認證所扮演的角色雷同，沒有起到實質(zhì)性多重認證的目的。此外，在面向不同應用場景，特別是面向不同垂直行業(yè)應用時仍有不足，主要體現(xiàn)在以下5個方面。(1)認證協(xié)議單一。3G主認證采用通用移動通信系統(tǒng)(UniversalMobileTelecommunicationsSystem，UMTS)和認證與密鑰協(xié)商協(xié)議(AuthenticationandKeyAgreement，AKA)，4G主認證采用演進分組系統(tǒng)(EvolvedPacketSystem，EPS)AKA，5G主認證采用5GAKA和EAPAKA’。這些認證協(xié)議雖然有細微差異，但本質(zhì)上原理一樣，差異僅僅在于AKA協(xié)議本身安全性的提升。3G和4G的AAA認證只規(guī)定了Radius和Diameter兩種協(xié)議，5G的二次認證或切片認證只定義了EAP作為底層承載協(xié)議，并未規(guī)定和描述上層的認證協(xié)議，但運營商在實際規(guī)劃中仍然會采用Radius等主流認證協(xié)議，無法適應不同應用場景對認證協(xié)議的差異化需要。(2)認證算法單一。無論是3G、4G的AAA認證還是5G的二次認證，雖然都沒有對認證算法進行規(guī)定，但實際上都默認使用的是特定的國際公開算法。對于行業(yè)而言，雖然以上認證體系進行了多重認證，但真正有效的仍然只有用戶面認證，效率不高，無法適應不同行業(yè)、不同場景對認證算法的差異化安全需要。(3)認證手段單一。主認證基于對稱密碼的挑戰(zhàn)應答機制進行認證，3G和4G的AAA認證以用戶名加口令作為認證手段，5G的二次認證并未對此做明確規(guī)定，但按常理仍然會以口令為主，無法滿足不同應用場景對認證手段的差異化需求。(4)實體界限不清。3G和4G的AAA認證雖然信息來自終端和AAA服務器，但認證協(xié)議的對等雙方卻實際上是PGW和AAA服務器，在協(xié)議上不是端到端的認證。而5G的二次認證雖然規(guī)定了認證協(xié)議的對等方是終端和AAA服務器，但目前3GPPR17標準仍然并未規(guī)定終端內(nèi)部如何分工并提供認證能力，因此無法適應不同情況下認證協(xié)議與認證計算對載體的差異化需求。(5)功能部署僵化。對于主認證、3G和4G的AAA認證及5G的二次認證，在終端側(cè)均由終端完成協(xié)議解析，由通用用戶身份標識模塊(UniversalSubscriberIdentityModule，USIM)卡完成認證計算，其認證協(xié)議與認證計算的部署是固化的。在網(wǎng)絡側(cè)，主認證由統(tǒng)一數(shù)據(jù)管理功能(UnifiedDataManagement，UDM)完成協(xié)議解析和認證計算，3G和4G的AAA認證及5G的二次認證由AAA服務器完成，協(xié)議解析和認證計算均同時完成，部署位置也是固定不變的，無法適應不同場景對部署方式的差異化需要。為了更好地支撐智能制造及工業(yè)4.0的發(fā)展，以5G和6G新一代寬帶移動通信技術(shù)的發(fā)展為契機，本文提出一種適用于移動通信多類應用場景的融合認證機制，以解決上述5個方面的難題。2融合認證機制設計2.1不同利益相關(guān)方對認證的需求3GPP在5G的R16標準階段定義了主認證、二次認證以及切片認證。有安全需求的垂直行業(yè)和關(guān)鍵行業(yè)通常還會額外疊加用戶面認證。主認證主要是面向運營商，用于運營商驗證移動用戶的合法性，其依托的是對稱密碼，驗證的目標對象是USIM卡或嵌入式用戶身份標識模塊(embeddedSubscriberIdentityModule，eSIM)，通常這一驗證過程由運營商掌控。二次認證主要面向行業(yè)專線應用模式，用于驗證移動用戶的合法性，其依托的可以是對稱密碼技術(shù)、數(shù)字證書等，驗證的目標對象可以是安全介質(zhì)、用戶名口令或者生物特征等。切片認證主要面向行業(yè)專用切片或?qū)＞W(wǎng)應用模式，用于驗證移動用戶的合法性，其依托的可以是對稱密碼、數(shù)字證書等，驗證的目標對象可以是安全介質(zhì)、用戶名口令等。用戶面認證主要由行業(yè)自行提供，用于驗證移動用戶的合法性，其依托的主要是數(shù)字證書，驗證的目標對象通常是安全介質(zhì)或生物特征等，還能額外提供密鑰分發(fā)功能。從不同利益相關(guān)方需求的角度，運營商認可的是主認證的過程和結(jié)果，信任二次認證和切片認證的結(jié)果；而行業(yè)認可的是二次認證和切片認證的過程和結(jié)果以及用戶面認證的過程和結(jié)果。通常行業(yè)對二次認證、切片認證和用戶面認證的認可度相同。若驗證的目標對象相同，則可將兩種認證合一；若不同，則可作為多種驗證目標對象的相互補充。從認證過程和結(jié)果認可度的角度，行業(yè)對認證過程和結(jié)果的信任度主要取決于行業(yè)對于參與認證功能單元，特別是提供認證運算和認證協(xié)議處理的硬件載體的認可度。因此，普通垂直行業(yè)認可虛擬認證卡或者信任運營商或其他的認證介質(zhì)，而關(guān)鍵行業(yè)則不會信任運營商或其他的認證介質(zhì)，其只認可其專用認證介質(zhì)。從認證算法和協(xié)議對通信特征的適應性的角度，主認證的AKA協(xié)議是一種基于對稱密碼體制的比較中性的認證協(xié)議，強度不低并且開銷也不高，因此可以用于高強度、低功耗以及低時延的應用場景。對于專用認證而言，由于其往往更加追求極致體驗，會有專門的高強度、低功耗以及低時延認證算法和協(xié)議，以適應不同的應用場景的通信特征。2.2總體設計為了能夠兼顧行業(yè)對認證安全性的要求、認證對通信特征適應性的要求以及運營商為行業(yè)提供的不同應用模式的要求，提出一種適用于多種移動場景的融合認證機制，如圖3所示。該認證機制的核心思想是根據(jù)場景特點，將終端側(cè)和網(wǎng)絡側(cè)認證的通信功能、認證協(xié)議處理和認證計算處理等功能進行解耦設計和按需分離部署，以適應行業(yè)對認證載體、認證體制、通信信道特征等的要求。圖3適用于多種移動場景的融合認證機制圖3中，認證機制分為3層，分別是主認證、二次認證和切片認證、用戶面認證。其中，用戶面認證利益相關(guān)方最單純，由行業(yè)自行提供，運營商不參與，并且其驗證目標是行業(yè)用戶在終端上嵌入的安全模塊。用戶面認證通過之后，行業(yè)用戶就認為移動終端是合法的。但其缺陷在于用戶面認證發(fā)生在通信連接建立之后，安全性弱于在通信連接建立之前進行認證。主認證分為專線模式和專網(wǎng)模式兩種情況。它們的共同點在于認證體制均完全遵循3GPP標準，并且通信協(xié)議處理、認證協(xié)議處理由移動終端和UDM網(wǎng)元處理。它們的區(qū)別在于提供認證計算的載體本身的安全性是否具有行業(yè)認可度，具體如下文所述。(1)專線模式情況下，主認證完全依托運營商，由運營商基于國際標準認證協(xié)議和算法提供雙向接入認證，客戶端為運營商發(fā)行的USIM卡，服務端為標準的核心網(wǎng)UDM網(wǎng)元。這種情況下，計算處理終端側(cè)認證由標準USIM卡提供，網(wǎng)絡側(cè)由標準UDM完成。此外，普通垂直行業(yè)可信任運營商的接入認證，而關(guān)鍵行業(yè)則不信任運營商的接入認證，主要依賴于后面兩重認證。(2)專網(wǎng)模式情況下，主認證則由運營商和行業(yè)共同提供基于標準AKA協(xié)議和國產(chǎn)或?qū)Ｓ谜J證算法的雙向接入認證?？蛻舳藶檫\營商與行業(yè)聯(lián)合發(fā)行的基于行業(yè)認可的載體研制的安全增強USIM卡，完成認證計算處理的安全增強。服務端為運營商提供的專用UDM網(wǎng)元，負責通信功能和認證協(xié)議處理部分，面向核心網(wǎng)提供標準UDM的接口，面向認證服務器提供專用認證調(diào)用接口，以實現(xiàn)國產(chǎn)和專用認證運算的嵌入。行業(yè)提供的認證服務器，提供第三方的認證計算處理的安全增強。這種情況主要面向體量比較大的關(guān)鍵行業(yè)，同時由于針對主認證進行了安全增強，因此關(guān)鍵行業(yè)會信任本次接入認證。二次認證和切片認證本身就是移動通信網(wǎng)絡為行業(yè)提供的高度靈活的認證機制。二次認證用于專項模式情況，切片認證用于專網(wǎng)模式情況。其認證均發(fā)生在通信連接建立之前，認證通道由運營商提供，但認證體制又由行業(yè)提供，安全性較高，并且利益相關(guān)方同時包含運營商和行業(yè)，因此最為復雜。下面專門針對適用于多種移動場景的二次認證和切片認證機制進行展開描述。根據(jù)行業(yè)對認證安全性與合規(guī)性要求以及信道特征對認證協(xié)議與其承載通信協(xié)議的適應性要求，將終端側(cè)認證功能分解為終端側(cè)認證載體、認證客戶端軟件、EAP客戶端軟件以及AAA服務器軟硬件、認證服務器軟硬件，從而實現(xiàn)通信功能與認證功能間的去耦合。通過終端側(cè)和網(wǎng)絡側(cè)雙方靈活性支持的配合，最終滿足二次認證在架構(gòu)上各種差異化的需求，同時滿足各功能實體靈活部署的需求，具體如下文所述。(1)終端側(cè)認證載體提供認證計算處理功能。該載體可以是硬件實體，也可以是虛擬實體。通過認證載體的剝離，實現(xiàn)認證協(xié)議與認證計算的去耦合，提供認證算法體制的差異化能力，支持普通垂直行業(yè)或關(guān)鍵行業(yè)用戶，也可提供認證能力的差異化能力，支持超高速、低時延以及低功耗等認證能力。(2)認證客戶端軟件提供終端側(cè)認證協(xié)議的解析與封裝，通過二次認證客戶端軟件的剝離，提供認證協(xié)議的差異化能力，可支持高強度認證能力、低開銷窄帶認證能力及低時延認證能力。(3)EAP客戶端軟件實現(xiàn)EAP承載協(xié)議的解析與封裝，通過EAP客戶端的剝離，實現(xiàn)差異化的承載開銷，從而可通過EAP客戶端部署位置的差異化來適應寬帶和窄帶網(wǎng)絡特征。(4)AAA服務器提供認證功能以外的其他通用功能，包括底層通信及EAP承載相關(guān)功能。(5)認證服務器軟硬件提供認證計算及協(xié)議的封裝與解析，通過在網(wǎng)絡側(cè)將通信功能與認證功能剝離，提供差異化的二次認證能力。其中，EAP客戶端軟件與AAA服務器成對使用，提供底層EAP的對等交互；認證載體、認證客戶端軟件與認證服務器軟硬件成對使用，提供上層認證的對等交互。通過以上兩個層次的配合，在不對移動通信網(wǎng)絡提要求的情況下，提供有差異化能力的二次認證和切片認證功能。在面向不同的典型移動場景的情況下，由于不同移動場景的移動通信網(wǎng)絡的能力和特點差異很大，因此通過終端側(cè)認證載體、認證客戶端軟件和EAP客戶端軟件，以及網(wǎng)絡側(cè)AAA服務器和二次認證服務器的分離部署，來按需提供靈活性和差異化能力。對于普通安全等級的場景，通常采用專線模式，主認證完全依托運營商，行業(yè)提供適合于特定移動場景通信特征的、基于國產(chǎn)體制的二次認證或者用戶面認證。而對于高安全等級的場景，則需要考慮得更多，下面具體分情況進行描述。2.2.1高安全等級eMBB專線場景高安全等級增強移動寬帶(enhancedMobileBroadband，eMBB)的專線場景主要面向中小型體量的關(guān)鍵行業(yè)，通信基礎(chǔ)設施完全由運營商提供。這種情況下，運營商提供主認證，但是行業(yè)不信任運營商的主認證。運營商和行業(yè)聯(lián)合提供二次認證，并且行業(yè)額外再提供單獨的用戶面認證作為第二重專用認證。高安全等級eMBB專線場景的應用方式如圖4所示。在終端側(cè)認證載體方面，單獨配備計算資源豐富的實體認證卡作為二次認證載體，提升認證強度。此外，可采用支持生物特征配合證書的二次認證客戶端軟件來提高易用性。在功能部署方面，將EAP客戶端軟件與二次認證客戶端軟件進行融合設計，由二次認證客戶端及服務器軟件實現(xiàn)高強度的認證協(xié)議。在行業(yè)安全需求方面，對于關(guān)鍵行業(yè)，使用有專用認證算法資質(zhì)的終端側(cè)認證載體和二次認證服務器硬件，配合提供標準認證協(xié)議的客戶端及服務器軟件來實現(xiàn)專用體制的二次認證功能。二次認證基于高強度認證協(xié)議，采用專用認證算法，其流程如圖5所示。圖4高安全等級eMBB專線場景的應用方式圖5基于專用高強度認證機制的二次認證流程2.2.2高安全等級mMTC專線場景高安全等級低功耗大連接(massiveMachineTypeCommunication，mMTC)專線場景同樣主要面向中小型體量的關(guān)鍵行業(yè)，通信基礎(chǔ)設施完全由運營商提供。同樣的，運營商提供主認證，但是行業(yè)不信任運營商的主認證，運營商和行業(yè)聯(lián)合提供二次認證，行業(yè)可根據(jù)需要額外提供單獨的用戶面認證作為第二重專用認證。安全等級mMTC場景的應用方式如圖6所示。在終端側(cè)認證載體方面，復用專用eSIM模塊提供專用的二次認證，可采用支持用戶名口令的二次認證客戶端軟件來提高易用性。另外，可根據(jù)需要單獨配備低功耗的實體認證卡作為用戶面認證載體增強安全強度，并可采用支持對稱密碼的用戶面認證客戶端。在功能部署方面，將EAP客戶端軟件與二次認證客戶端軟件融合設計，由二次認證客戶端及服務器軟件實現(xiàn)輕量級的認證協(xié)議。在行業(yè)安全需求方面，對于關(guān)鍵行業(yè)，使用有專用認證算法資質(zhì)的終端側(cè)認證載體和二次認證服務器硬件，配合提供標準認證協(xié)議的客戶端及服務器軟件，來實現(xiàn)專用體制的二次認證功能。二次認證基于專用輕量級認證協(xié)議，采用專用認證算法，其流程如圖6所示。圖6高安全等級mMTC場景的應用方式圖7基于專用輕量級機制的二次認證流程2.2.3高安全等級uRLLC專線場景高安全等級低時延高可靠(Ultra-ReliableLow-LatencyCommunications，uRLLC)場景，也主要面向中小型體量的關(guān)鍵行業(yè)，通信基礎(chǔ)設施完全由運營商提供。同樣的，運營商提供主認證，但是行業(yè)不信任運營商的主認證，運營商和行業(yè)聯(lián)合提供快速的二次認證。高安全等級uRLLC場景的應用方式如圖8所示。在終端側(cè)認證載體方面，采用專用高速認證卡提供專用的低時延二次認證。另外，可根據(jù)需要單獨配備低功耗的實體認證卡作為用戶面認證載體增強安全強度，并可采用支持對稱密碼的用戶面認證客戶端。在功能部署方面，將EAP客戶端軟件與二次認證客戶端軟件融合設計，由二次認證客戶端及服務器軟件實現(xiàn)低時延的認證協(xié)議。在行業(yè)安全需求方面，對于關(guān)鍵行業(yè)，使用有專用認證算法資質(zhì)的終端側(cè)認證載體和二次認證服務器硬件，配合提供標準認證協(xié)議的客戶端及服務器軟件來提供專用體制的二次認證功能。二次認證基于專用輕量級認證協(xié)議，采用專用認證算法，其流程如圖9所示。圖8高安全等級uRLLC場景的應用方式圖9基于專用輕量級機制的二次認證流程2.2.4高安全等級專網(wǎng)場景高安全等級的專網(wǎng)場景主要面向大型體量的、有更高安全需求的關(guān)鍵行業(yè)，由行業(yè)和運營商共同提供通信基礎(chǔ)設施。這種情況下，運營商和行業(yè)聯(lián)合定制專用網(wǎng)絡切片。這個專用網(wǎng)絡切片由運營商和行業(yè)聯(lián)合提供行業(yè)信任的主認證及切片認證。行業(yè)可額外再按需提供單獨的用戶面認證作為第三重專用認證。高安全等級的專網(wǎng)場景的應用方式具體如圖10所示。在終端側(cè)認證載體方面，單獨配備基于有專用認證算法資質(zhì)的增強USIM卡提供增強主認證，再額外配備計算資源豐富的實體認證卡作為切片認證載體提升認證強度，并可采用支持生物特征配合證書的切片認證客戶端軟件來提高易用性。在功能部署方面，將主認證的通信功能和認證功能分離為專用UDM和主認證服務器，并將EAP客戶端軟件與切片認證客戶端軟件融合設計，由切片認證客戶端及服務器軟件實現(xiàn)高強度的認證協(xié)議。在行業(yè)安全需求方面，對于關(guān)鍵行業(yè)，使用有專用認證算法資質(zhì)的終端側(cè)認證載體和切片認證服務器硬件，配合提供專用認證協(xié)議的客戶端及服務器軟件來實現(xiàn)專用體制的切片認證功能。具體而言，主認證采用基于3GPP標準5GAKA或EAP-AKA’認證協(xié)議和專用認證算法的安全增強機制。切片認證和用戶面認證，均基于行業(yè)專用認證協(xié)議，采用專用認證算法。其認證協(xié)議和認證算法與前面幾種專線場景的二次認證類似，需適應相應移動場景的通信特征，即eMBB場景需要采用高強度的認證體制，mMTC場景需要采用低功耗的輕量級認證體制，uRLLC場景需要采用低時延的快速認證體制。3融合認證機制試驗驗證由于當前5G終端、基站以及核心網(wǎng)等產(chǎn)業(yè)鏈資源均基于3GPPR15版本構(gòu)建，不支持mMTC場景、uRLLC場景以及二次認證機制。因此，采用不同的驗證環(huán)境對主認證、二次認證和切片認證以及用戶面認證分別進行有針對性的驗證。其中，搭建實物環(huán)境對主認證和用戶面認證機制進行驗證，搭建半實物仿真系統(tǒng)對二次認證/切片認證機制進行驗證。3.1實物驗證本文依托從運營商租賃的標準商用5G網(wǎng)絡設備，構(gòu)建eMBB實物場景、mMTC模擬場景和uRLLC模擬場景，并分別基于該網(wǎng)絡對主認證安全增強、專用用戶面認證進行試驗驗證。圖10高安全等級eMBB專網(wǎng)場景的應用方式3.1.1eMBB實物場景eMBB實物場景基于5G成熟產(chǎn)業(yè)鏈構(gòu)建，可驗證eMBB專線和專網(wǎng)兩種場景。專線情況下，使用標準UDM網(wǎng)元；專網(wǎng)情況下，采用專用UDM網(wǎng)元加控制面安全增強設備。網(wǎng)絡拓撲如圖11所示。圖11eMBB專網(wǎng)場景試驗驗證環(huán)境網(wǎng)絡拓撲試驗驗證環(huán)境包括用戶終端、基站、核心網(wǎng)、應用以及安全增強設備。其中，安全增強SIM卡中嵌入了國產(chǎn)或?qū)Ｓ玫恼J證算法。專用UDM網(wǎng)元除了具備標準UDM的全部功能，還開放與控制面安全增強服務之間交互的接口，用于嵌入其安全增強能力?？刂泼姘踩鰪姺赵O備提供國產(chǎn)或?qū)Ｓ玫恼J證算法。安全組件、VPN網(wǎng)關(guān)、匯聚VPN網(wǎng)關(guān)提供用戶面認證功能，采用基于專用體制的、高強度的認證算法和認證協(xié)議。試驗驗證情況具體如下。(1)主認證安全增強機制驗證。通過SIM卡讀寫卡器，為安全增強SIM卡和標準SIM卡同時寫入相同的參數(shù)，包括相同的國際移動用戶識別碼(InternationalMobileSubscriberIdentity，IMSI)以及根密鑰K等。然后將寫入了相同參數(shù)的安全增強SIM卡和標準SIM卡插入相同的移動智能終端，經(jīng)過試驗驗證發(fā)現(xiàn)，只有插入了安全增強SIM卡的手機能夠通過接入認證，從而有效驗證了主認證的安全增強機制。(2)專用用戶面認證機制驗證。啟動終端側(cè)安全組件、虛擬專用網(wǎng)絡(VirtualPrivateNetwork，VPN)網(wǎng)關(guān)，以及網(wǎng)絡側(cè)匯聚VPN網(wǎng)關(guān)，經(jīng)過試驗驗證發(fā)現(xiàn)，只有完成用戶面認證后，加密業(yè)務才能正常開展。通過wireshark抓包可以看到高強度專用認證協(xié)議的報文格式，從而有效驗證基于專用體制的用戶面認證。3.1.2mMTC模擬場景由于3GPPR15暫未對mMTC場景進行細化，因此mMTC采用模擬方式構(gòu)建，其模擬場景基于4GNB-IoT產(chǎn)業(yè)鏈資源模擬構(gòu)建，如圖12所示。圖12mMTC模擬場景試驗驗證環(huán)境網(wǎng)絡拓撲試驗驗證環(huán)境包括用戶終端、基站、核心網(wǎng)、應用以及安全增強設備。其中，主認證遵循標準安全機制。NB-IoT終端中集成標準物聯(lián)網(wǎng)通信模組5310-A、應用處理器、環(huán)境傳感器、標準USIM卡，并通過嵌入安全組件提供用戶面專用認證，與網(wǎng)絡側(cè)配備的物聯(lián)網(wǎng)安全網(wǎng)關(guān)配合使用。專用認證采用基于專用體制的、低功耗輕量級的認證算法和認證協(xié)議。下面對專用用戶面認證機制進行驗證。啟動NB-IoT終端、物聯(lián)網(wǎng)安全網(wǎng)關(guān)，經(jīng)過試驗驗證發(fā)現(xiàn)，只有完成用戶面認證后，加密業(yè)務才能正常開展。同時，只有嵌入了安全組件的NB-IoT終端才能與應用服務器完成業(yè)務交互。通過wireshark抓包可以看到低功耗的輕量級專用認證協(xié)議的報文格式，從而有效驗證了基于專用體制的用戶面認證。3.1.3uRLLC模擬場景由于3GPPR15暫未對uRLLC場景進行細化，因此uRLLC采用模擬方式構(gòu)建，其模擬場景基于eMBB產(chǎn)業(yè)鏈資源和運用邊緣計算(MobileEdgeComputing，MEC)技術(shù)模擬構(gòu)建，如圖13所示。圖13uRLLC模擬場景試驗驗證環(huán)境網(wǎng)絡拓撲試驗驗證環(huán)境包括用戶終端、基站、核心網(wǎng)、MEC節(jié)點、應用以及安全增強設備。其中，主認證遵循標準安全機制。移動終端通過嵌入安全組件或VPN網(wǎng)關(guān)提供用戶面專用認證，與邊緣側(cè)配備的VPN網(wǎng)關(guān)配合使用。專用認證采用基于專用體制的、低時延的快速