1.2.4 5G安全认证架构

5G支持多种接入技术，例如，4G接入、WLAN接入等。为了使用户可以在不同接入网间实现无缝切换，5G网络采用一种统一的认证框架，实现灵活并且高效支持各种应用场景下的双向身份鉴权，进而建立统一的密钥体系。在5G统一认证框架中，各种接入方式均可在可扩展身份验证协议（Extensible Authentication Protocol，EAP）框架下接入5G核心网。用户通过WLAN接入时，可使用EAP-AKA′认证；用户通过有线接入时，可采用IEEE802.1x认证；用户通过5G新空口接入时，可使用EAP-AKA′认证。不同的接入网在逻辑功能上使用统一的AMF和AUSF/ARPF提供认证服务。

5G统一认证可以提供以下3种框架。

提供对终端身份认证，确保只有运营商认可的合法终端能够接入5G网络。认证的同时，5G AKA机制能够为终端及网络协商出加密及完整性保护密钥，用于在网络接入层面和非接入层面对终端信令及用户数据进行加密，防止用户信息被篡改、窃听。

提供切片选择辅助信息的隐私保护。切片选择辅助信息NSSAI可以区分不同类型、不同用途的切片。在用户初始接入网络时，NSSAI指示基站及核心网网元将其路由到正确的切片网元。切片选择辅助信息对于垂直行业属于敏感信息，5G 网络可对NSSAI 进行隐私保护，提供针对终端的攻击防护。

提供双向鉴权认证机制，使用了经过验证的标准机密算法，可防止非授权终端接入与发起攻击。基站对数据只做隧道封装并转发至核心网用户面，其他终端无法基于空口直接发起对行业终端的攻击，必须先攻破核心网，从而确保行业内网的安全性。对于特殊行业需求，终端架构需包含两个平行的执行环境：非安全执行环境和需要认证的安全执行环境，提供多层应用程序接口（Application Program Interface，API）适应不同目标应用的需求。

5G网络的安全架构与以往移动网络的安全架构明显不同，统一认证框架的引入不仅能降低运营商的投资和运营成本，也为将来5G网络提供新业务时对用户的认证打下坚实的基础。 U5857goKNCBZ4QSmbrPJQcbuzUBugg09K7ewHsPbmwPcFRvHE3xrEdzmsuzmwlHq