CN110808830A

CN110808830A - 一种基于5G网络切片的IoT安全验证框架及其服务方法

Info

Publication number: CN110808830A
Application number: CN201910998988.8A
Authority: CN
Inventors: 郭永安; 钟耀慧; 乔露雨; 张天宇; 朱洪波; 杨龙祥
Original assignee: Edge Intelligence Research Institute Nanjing Co Ltd; Nanjing University of Posts and Telecommunications
Current assignee: Edge Intelligence Research Institute Nanjing Co Ltd; Nanjing University of Posts and Telecommunications
Priority date: 2019-10-21
Filing date: 2019-10-21
Publication date: 2020-02-18

Abstract

本发明提出了一种基于5G网络切片的IoT安全验证框架及其服务方法。在此框架下，物联网架构包括用户设备，接入网络，核心网络和物联网服务器，所述用户设备按所需服务类型不同被分成不同的网络切片，再通过接入网络接入核心网络，与数据网络连接并与物联网服务器通信，本发明通过引入隐私保护切片选择机制，允许雾节点选择适当的网络切片进行数据转发，并隐藏用户的访问服务类型。此外还实现了面向服务的匿名认证和密钥协商，确保用户的匿名性和真实性以及服务数据的保密性。基于此框架，用户可以基于5G核心网络和物联网服务器的授权，对物联网服务器进行匿名认证，并构建安全数据通道，以访问缓存在本地雾上并在远程物联网服务器上维护的服务数据。

Description

一种基于5G网络切片的IoT安全验证框架及其服务方法

技术领域

本发明涉及一种支持验证的基于5G网络切片的物联网架构及其服务方法，属于无线通信技术领域。

背景技术

5G通信技术引入网络切片和雾计算，为物联网中的定制服务带来了各种独特的优势，但它们在安全性和隐私保护方面也会引发相当多的问题。首先，物联网服务和5G基础设施(特定雾节点)都面临着对隐私、完整性、可用性和身份验证的严重威胁，例如窃听攻击、冒充攻击、追踪攻击和篡改攻击。其次，很难保证用户以真实信息访问5G网络和物联网服务。例如，某些用户会假装合法的用户访问核心网络并享受物联网服务而无需收费。此外，物联网服务提供商或雾节点会窃取用户的隐私信息。简而言之，在为单个服务构建逻辑网络切片和雾计算之后，支持5G的物联网缺乏足够的安全性和隐私保障。

已有的基于5G网络切片架构的5G网络安全验证机制，普遍着重于切片选择的策略，而忽略了使用网络切片的面向服务的身份验证在5G网络中用户设备和IoT服务器之间建立安全通信。另外，现有的安全通信协议是基于4G/LTE网络架构中的机器类型通信(MTC)安全网络认证，无法满足5G-IoT大规模机器类通信对带宽、QoS和安全性等方面的要求，还需要基于网络切片架构考虑网络切片选择的安全保护问题。根据当前署名发明人的工作，现有技术中在基于网络切片的物联网服务安全验证方面尚存在以下任务尚未解决：(1)保护用户切片选择隐私，避免用户服务偏好隐私的被雾节点和外来攻窃听；(2)面向服务的匿名身份验证，使用户能够安全地访问委托的物联网服务；(3)面向服务的密钥协议，为信息交换建立安全通道。

发明内容

发明目的：为了解决现有技术中提出的问题，本发明提出一种有效且安全的面向服务的验证框架(Efficient and Secure network-Sliced and Service-orientedAuthentication framework，ES3A)及其服务方法，支持基于5G网络切片的物联网服务和雾计算。

技术方案：根据本发明的第一方面，提供一种基于5G网络切片的IoT安全验证框架，包括用户设备，接入网络，核心网络和物联网服务器，所述用户设备按所需服务类型不同被分成不同的网络切片，再通过接入网络接入核心网络，与数据网络连接并与物联网服务器通信，其中，所述接入网络被配置为：为每个网络切片维护一个加密保护的配置NSSAI(PS_i,ACF_i)，用于在选择服务包网络切片时使用，其中PS_i为切片/服务类型SSTs的加密值，ACF_i为网络切片特征值SAI_S的加密值；以及，生成会话协商密钥，用于在物联网服务器和用户设备之间进行会话协商；

所述核心网络被配置为：接收用户设备的注册请求和服务请求，对切片/服务类型及其配置的网络切片的特征值进行加密，与用户设备进行服务认证并向用户设备发送单个网络服务切片选择关联信息S-NSSAI_S；

所述物联网服务器被配置为：基于用户设备的请求生成服务依据，用于用户设备获取S-NSSAI_S；以及根据用户设备的密钥验证消息为用户设备提供物联网服务。

根据本发明的第二方面，提供一种基于5G网络切片的IoT安全验证框架的服务方法，包括以下阶段：

接入5G网络阶段：用户设备向核心网络发送用户注册信息，核心网络和用户设备之间进行服务认证并向用户设备发送订阅的S-NSSAI_S信息；

服务授权阶段：用户设备提出服务请求，把核心网络生成的部分服务依据发送给物联网服务器，物联网服务器把生成的服务依据发送给用户设备，用户设备由此获得允许的S-NSSAI_S；

服务验证阶段：用户设备生成受保护的S-NSSAI_S和密钥验证消息，分别发送给接入网络和物联网服务器，物理网服务器根据验证消息并给用户设备提供物联网服务；

密钥协商阶段：接入网络生成会话协商密钥，在物联网服务器和用户设备之间进行会话协商，以保证用户和服务器之间的安全通信。

有益效果：本发明基于5G网络切片为物联网架构提出了一种有效且安全的面向服务的认证框架及其服务方法。在此框架下，引入了隐私保护切片选择机制，允许雾节点选择适当的网络切片进行数据转发，并隐藏用户的访问服务类型。此外，实现了面向服务的匿名认证和密钥协商，以确保用户的匿名性和真实性以及服务数据的保密性。基于此框架，用户可以基于5G核心网络和物联网服务器的授权，对物联网服务器进行匿名认证，并构建安全数据通道，以访问缓存在本地雾上并在远程物联网服务器上维护的服务数据。

附图说明

图1为本发明的基于5G网络切片的物联网架构；

图2为本发明的ES3A框架信息流程图；

图3为本发明的IoT安全验证框架服务方法流程图。

具体实施方式

下面结合附图对本发明的技术方案作进一步说明。应当了解，以下提供的实施例仅是为了详尽地且完全地公开本发明，并且向所属技术领域的技术人员充分传达本发明的技术构思，本发明还可以用许多不同的形式来实施，并且不局限于此处描述的实施例。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。

为了支持5G网络中的不同物联网服务，本发明引入网络切片架构，实现了公共基础设施上资源的分离和优先级划分，包括网络功能，计算资源，虚拟网络功能和无线接入技术设置。5G通信设备根据其所需的服务类型被分成不同的网络切片，以支持各种类型的物联网服务。参照图1，本发明的物联网架构由四个部分组成：用户设备，接入网络，核心网络和物联网服务器，所述网络架构根据用户设备UE所需服务类型不同，如机器类通信、移动服务、车辆通信服务等，把它们分成不同的网络切片，再通过接入网络接入核心网络，如图1所示。大规模用户设备通过核心网络和接入网络与数据网络连接(例如，E-UTRAN，WLAN，WiMAX或其他非3GPP接入网络)，并与IoT服务器通信。所述核心网络中的控制平面功能(Control Plane Function，CPF)与用户平面功能(User Plane Function，UPF)分离，以允许独立的可扩展性和灵活部署。UPF负责包括数据转发，流量使用报告，上行链路和下行链路中的传输级别分组标记等。CPF通过在会话中提供一组规则来控制UPF中的分组处理，即，用于分组处理的转发动作规则，用于分组的分组检测规则检查，QoS实施规则，以对数据包实施QoS策略。所述CPF包括多种功能，包括访问和移动管理功能(Access and MobilityManagement Function，AMF)，会话管理功能(Session Management Function，SMF)，策略控制功能(Policy Control Function，PCF)，网络片选择功能(Network Slice SelectionFunction，NSSF)，统一数据管理(Unified Data Manager，UDM)，认证服务器功能(Authentication Server Function，AUSF)等，具有各自的功能。具体而言，AMF管理用户注册，连接，可达性和移动性，访问认证和授权；SMF包括会话管理和漫游功能；PCF支持统一的政策框架来管理网络行为；UMD负责身份验证凭据生成和订阅管理；AUSF提供对服务器的认证功能；NSSF选择为用户服务的网络切片实例集，并确定与适用的网络切片实例对应的网络切片选择关联信息(Network Slice Selection Assistance Information，NSSAI)。核心网络连接到外部数据网络，物联网服务提供商可以快速为用户提供各种吸引人的物联网服务，无处不在的低功耗连接。

在此基础上，本发明提出的ES3A框架主要解决以下问题：(1)保护隐私片选，允许控制器根据服务类型选择合适的网络片进行包转发，而不暴露片/服务类型；(2)匿名服务认证实现5G运营商和物联网服务器的授权，使用户能够安全地访问委托的物联网服务而不会发生隐私泄露，并支持批量验证，以提高物联网服务器在身份验证方面的计算效率；(3)面向服务的密钥协议，为用户、本地雾和远程物联网服务器之间的信息交换建立安全通道。

本发明的框架数据流如图2所示，基于网络切片架构的数据流程分为五个阶段：5G网络接入，服务授权，服务认证，密钥协商，服务接入。首先在用户接入5G网络阶段，用户设备U_i通过雾节点和控制器向AMF发送用户注册信息，AUSF和U_i之间进行服务认证并向U_i发送订阅的S-NSSAI_S信息。在服务授权阶段，U_i向AMF提出服务请求，通过AUSF把生成的部分服务依据发送给物联网服务器，服务器把生成的服务依据发送给U_i，用户由此获得允许的S-NSSAI_S。第三步是服务验证阶段，U_i生成受保护的S-NSSAI_S和密钥验证消息，分别发送给控制器和物联网服务器，服务器会根据验证消息并给用户提供物联网服务。随后，在密钥协商阶段，控制器生成会话协商密钥，在物联网服务器和U_i之间进行会话协商来保证用户和服务器之间的安全通信。最后，在服务接入阶段，完成用户设备UE与雾控制器之间的本地服务接入和与IoT服务器之间的远程服务接入。

具体地，参照图3，用户请求网络服务以及建立通信的过程具体包括以下步骤：

1、系统初始化：5G网络运营商建立包括无线电接入网络和5G核心网络在内的整个5G移动网络，以连接用户设备和数据网络以支持IoT服务。初始化各种网络功能，即AMF，SMF，AUSF，UDM，NSSF和PCF，以提供网络连接和数据网络访问。AUSF设置表示安全级别的安全参数k，并基于该安全参数和哈希函数生成系统参数params，所生成的参数保持在AUSF上，用于表示认证服务功能的安全级别。AUSF同时生成5G运营商的密钥(a₀,a₁)和公钥(A₀,

)，用于下一个阶段生成加密值。物联网服务器(ISV)和本地控制器(接入网中的控制器)也分别生成它们的秘密-公共密钥对(b,

)和(c,

)。

2、网络分片：核心网络将物理网络资源分成多个网络切片。每个网络切片都部署了一个参数NSSAI_S，该参数由切片/服务类型SSTs和网络切片特征值SAI_S组成(这两者由核心网络根据提供的网络服务定义)。为了阻止用户隐私泄露，应保护用户访问的服务类型免受雾节点的侵害，因此需要5G核心网络对切片/服务类型及其配置的网络切片的特征值进行加密。为此，AMF通过运营商的秘密钥(a₀,a₁)和公钥(A₀,

)计算服务加密值PS_i来保护每个切片/服务类型SST_i，并生成特征加密值ACF_i来保护网络切片特征值SAI_i。控制器维护受保护的配置NSSAI(PS_i,ACF_i)以选择适当的服务包网络切片。

3、5G网络访问：具有身份信息ID_i(可以是ID号，电话号码，电子邮件地址或家庭地址)的用户设备U_i在AMF注册，可以访问5G网络及其支持的数据网络。U_i执行密钥提取算法，生成自己的秘密-公共密钥对(usk_i,upk_i)，并通过(usk_i,upk_i)执行3GPP中指定的注册和认身份证以访问5G网络。具体来说，如果需要真实身份信息，U_i向5G运营商提供其身份信息ID_i进行注册，并获取网络访问凭据和订阅信息，包括一个或多个S-NSSAI，即用户订阅的网络切片的S-NSSAI。用户U_i的凭据和订阅信息都在UDM上维护。U_i通过使用其网络访问凭据和(usk_i,upk_i)与AUSF执行主要身份验证来连接5G网络，并在主要身份验证成功的情况下通过AMF建立NAS安全连接。

4、服务授权：为了访问IoT服务器(ISV)，U_i向AMF提交NAS(Non-Access-Stratum)消息和请求。SMF使用NSSF生成允许的S-NSSAI_S，并且AUSF通过生成部分服务依据来委托访问能力并将它们转发给物联网服务器。ISV为U_i生成服务依据PST_i，包括会话标识符N_i、服务凭证φ_i以及密钥协商标签(X_i1,X_i2)，用于保证会话的隐私性。U_i验证PST_i并获得允许的S-NSSAI_S和匿名服务认证的服务凭证。

5、服务认证：为了对服务进行认证，用户U_i生成密钥协商消息AKA_i和受保护的S-NSSAI_S，每个用户自己生成以匹配切片类型和已配置切片的功能。在网络分片时部署的NSSAI_S中包含了网络切片的服务类型和特征值，用于在服务认证阶段与用户所需服务类型的特征值进行对比验证，根据用户所需服务类型选择合适的网络切片。根据S-NSSAI_S中的特征值SAI_S，控制器能够在不知道详细服务类型的情况下找到用于消息传输的符合用户所需网络服务类型的适当网络切片。如果AKA_i中的服务凭证有效，ISV会验证AKA_i以允许其在不了解U_i的真实身份的情况下访问服务。另外，控制器为会话密钥协议生成密钥协商标签(Y_i1,Y_i2)对服务认证会话进行加密。

6、密钥协商：控制器生成器密钥协商标签(Z_i1,Z_i2)，并与ISV和U_i交互，通过(Z_i1,Z_i2)以及系统初始化生成的ISV和本地控制器的密钥对(b,

)、(c,

)进行秘密协商会话，生成协商密钥sk_i来建立安全通信和服务访问。

Claims

1.一种基于5G网络切片的IoT安全验证框架，其特征在于，包括用户设备，接入网络，核心网络和物联网服务器，所述用户设备按所需服务类型不同被分成不同的网络切片，再通过接入网络接入核心网络，与数据网络连接并与物联网服务器通信，其中，所述接入网络被配置为：为每个网络切片维护一个加密保护的配置NSSAI(PS_i,ACF_i)，用于在选择服务包网络切片时使用，其中PS_i为切片/服务类型SSTs的加密值，ACF_i为网络切片特征值SAI_S的加密值；以及，生成会话协商密钥，用于在物联网服务器和用户设备之间进行会话协商；

2.根据权利要求1所述的基于5G网络切片的IoT安全验证框架，其特征在于，所述核心网络控制平面功能包括：

访问和移动管理功能AMF，用于管理用户注册，连接，可达性和移动性，访问认证和授权；

会话管理功能SMF，用于完成会话管理和漫游功能；

策略控制功能PCF，支持统一的政策框架来管理网络行为；

网络片选择功能NSSF，选择为用户服务的网络切片实例集，并确定与适用的网络切片实例对应的网络切片选择关联信息；

统一数据管理UDM，负责身份验证凭据生成和订阅管理；以及

认证服务器功能AUSF，提供对服务器的认证功能。

3.根据权利要求1所述的基于5G网络切片的IoT安全验证框架，其特征在于，所述核心网络用户平面功能包括：数据转发，流量使用报告，上行链路和下行链路中的传输级别分组标记，所述分组处理经由所述控制平面功能通过在会话中提供一组规则来控制。

4.根据权利要求3所述的基于5G网络切片的IoT安全验证框架，其特征在于，所述一组规则包括：用于分组处理的转发动作规则，用于分组的分组检测规则检查；以及QoS实施规则，用于对数据包实施QoS策略。

5.一种根据权利要求1-4中任一项所述的IoT安全验证框架的服务方法，其特征在于，包括以下阶段：

6.根据权利要求5所述的IoT安全验证框架的服务方法，其特征在于，所述接入5G网络阶段包括：用户设备向运营商获取网络访问凭据和订阅信息，并通过密钥提取算法生成自己的秘密-公共密钥对(usk_i,upk_i)，通过使用其网络访问凭据和(usk_i,upk_i)与核心网络的认证服务器功能AUSF执行主要身份验证，在认证成功的情况下接入5G网络并建立NAS安全上下文。

7.根据权利要求5所述的IoT安全验证框架的服务方法，其特征在于，所述服务授权阶段包括：核心网络的会话管理功能SMF使用网络片选择功能NSSF生成允许的S-NSSAI_S，并且核心网络的认证服务器功能AUSF通过生成部分服务依据来委托访问能力并将它们转发给物联网服务器，物联网服务器为用户设备生成服务依据PST_i，用户设备验证PST_i并获得允许的S-NSSAI_S和匿名服务认证的服务凭证。

8.根据权利要求7所述的IoT安全验证框架的服务方法，其特征在于，所述服务依据PST_i包括会话标识符N_i、服务凭证φ_i以及密钥协商标签(X_i1,X_i2)。

9.根据权利要求5所述的IoT安全验证框架的服务方法，其特征在于，所述服务验证阶段包括：用户设备生成密钥协商消息AKA_i和受保护的S-NSSAI_S，接入网控制器为会话密钥协议生成密钥协商标签(Y_i1,Y_i2)，对服务认证会话进行加密，并根据S-NSSAI_S中的特征值与网络切片的特征值进行对比验证，根据用户所需服务类型选择合适的网络切片；物联网服务器通过验证AKA_i中有效的服务凭证以允许其在不了解用户设备的真实身份的情况下访问服务。