下一代網(wǎng)絡(luò)（NGN）與認(rèn)證技術(shù)

摘要　IP網(wǎng)絡(luò)在為人們帶來巨大方便的同時也使人們擔(dān)心其安全性，為此在研究下一代網(wǎng)絡(luò)（NGN）初期便開始研究相關(guān)的安全性問題，認(rèn)證是為了保證網(wǎng)絡(luò)安全性而采用的重要手段之一。本文從NGN對認(rèn)證的需求入手，討論目前認(rèn)證技術(shù)以及正在或還需要研究的認(rèn)證技術(shù)。

一、概述

　　在通信發(fā)展初期，通信技術(shù)主要以電路交換為主，在用戶進(jìn)行通信時一般是獨(dú)占所使用的通信線路資源。通信網(wǎng)絡(luò)運(yùn)營者通過其分配給用戶的主叫線標(biāo)識來實(shí)施對用戶的認(rèn)證、授權(quán)和計(jì)費(fèi)。同時用戶所使用的終端智能程度有限，用戶不可能通過其所使用的終端改變通信網(wǎng)絡(luò)設(shè)施而對通信網(wǎng)絡(luò)和其他用戶造成任何安全威脅。對網(wǎng)絡(luò)安全保證方面的主要職責(zé)幾乎均由通信網(wǎng)絡(luò)運(yùn)營商來負(fù)責(zé)。

　　計(jì)算機(jī)與通信技術(shù)的進(jìn)步，計(jì)算機(jī)性能與計(jì)算機(jī)處理能力的提升以及人們對數(shù)據(jù)通信業(yè)務(wù)需求的不斷提高，數(shù)據(jù)通信網(wǎng)絡(luò)和數(shù)據(jù)通信業(yè)務(wù)迅猛發(fā)展，特別是IP技術(shù)和應(yīng)用的發(fā)展給人們的工作和生活帶來了巨大的便利，但由于數(shù)據(jù)通信的特點(diǎn)（數(shù)據(jù)的承載體為服務(wù)器或計(jì)算機(jī)），數(shù)據(jù)通信主要是在機(jī)器和機(jī)器之間進(jìn)行（而電話通信主要是在人與人之間進(jìn)行），為此在確認(rèn)機(jī)器雙方的身份時需要由一套認(rèn)證協(xié)議來實(shí)現(xiàn)。這樣，促使了認(rèn)證技術(shù)和認(rèn)證協(xié)議的發(fā)展。目前情況下，在基于IP的網(wǎng)絡(luò)上進(jìn)行數(shù)據(jù)通信時需要有各種認(rèn)證技術(shù)和協(xié)議與業(yè)務(wù)和應(yīng)用一同使用。

　　將所有的通信業(yè)務(wù)由一個統(tǒng)一的通信網(wǎng)絡(luò)來提供一直是通信領(lǐng)域?qū)＜抑铝ρ芯康膯栴}之一。進(jìn)入21世紀(jì)以來，對下一代通信網(wǎng)絡(luò)的研究成為通信界研究的重點(diǎn)問題之一，從目前研究的方向來看，下一代網(wǎng)絡(luò)將以分組交換技術(shù)為主，網(wǎng)絡(luò)上承載的業(yè)務(wù)將包括傳統(tǒng)的電話業(yè)務(wù)、Internet上承載的業(yè)務(wù)以及其他業(yè)務(wù)。這樣認(rèn)證技術(shù)和認(rèn)證協(xié)議也將是下一代網(wǎng)絡(luò)所涉及的技術(shù)之一。在ITU-T進(jìn)行下一代網(wǎng)絡(luò)的相關(guān)研究中也將認(rèn)證技術(shù)和協(xié)議作為其研究的一個組成部分。本文從NGN對認(rèn)證的需求入手，討論現(xiàn)有的認(rèn)證技術(shù)在NGN上使用的可能性以及與認(rèn)證相關(guān)的技術(shù)的進(jìn)展情況。

二、NGN對認(rèn)證的需求

　　在ITU-T SG13第15課題與ITU-T SG17組第2工作組2006年1月召開的聯(lián)合會議上討論了由ITU-T SG13 Q.15起草的NGN對認(rèn)證需求的文稿。該文稿主要描述了NGN網(wǎng)絡(luò)對認(rèn)證的需求。NGN對認(rèn)證需求的端到端參考體系架構(gòu)模型如圖1所示。


圖1　NGN對認(rèn)證需求的端到端參考體系架構(gòu)模型

　　在NGN網(wǎng)絡(luò)中需要的認(rèn)證包括：

　�。�1）網(wǎng)絡(luò)對擬連接到網(wǎng)絡(luò)上的終端設(shè)備（包括家庭網(wǎng)絡(luò)設(shè)備、企業(yè)UNI設(shè)備以及一般用戶設(shè)備）進(jìn)行的接入認(rèn)證，如圖1中的1所示。網(wǎng)絡(luò)對用戶終端進(jìn)行認(rèn)證的認(rèn)證點(diǎn)通常設(shè)置在網(wǎng)絡(luò)接入設(shè)備處。

　　（2）網(wǎng)絡(luò)上的業(yè)務(wù)系統(tǒng)對用戶身份的認(rèn)證。NGN將承載多種業(yè)務(wù)，由于不同業(yè)務(wù)系統(tǒng)的用戶群并不完全相同，因而在用戶使用每一個業(yè)務(wù)系統(tǒng)（或使用某一資源時），業(yè)務(wù)系統(tǒng)需要對用戶進(jìn)行認(rèn)證。在具體實(shí)施認(rèn)證時，可以是由業(yè)務(wù)提供者（或資源提供者）對用戶進(jìn)行認(rèn)證，也可以是在網(wǎng)絡(luò)接入處設(shè)置用戶權(quán)限數(shù)據(jù)庫，在用戶接入網(wǎng)絡(luò)的同時完成接入認(rèn)證和業(yè)務(wù)認(rèn)證，在業(yè)務(wù)提供者（或資源提供者）處對認(rèn)證結(jié)果進(jìn)行核實(shí)或鑒權(quán)。具體被認(rèn)證實(shí)體可以是用戶、設(shè)備或用戶/設(shè)備，如圖1中的2所示。

　　（3）與PSTN網(wǎng)絡(luò)采用國家之間或大的運(yùn)營企業(yè)之間經(jīng)過協(xié)議進(jìn)行網(wǎng)絡(luò)互聯(lián)互通不同，NGN將可能在多個子網(wǎng)絡(luò)之間進(jìn)行互聯(lián)互通，這樣在網(wǎng)絡(luò)之間進(jìn)行互聯(lián)互通之前，網(wǎng)絡(luò)設(shè)備之間需要進(jìn)行交互認(rèn)證，以確保網(wǎng)絡(luò)設(shè)備之間的相互信任性。網(wǎng)絡(luò)交互認(rèn)證包括通過NNI接口的傳送級認(rèn)證以及業(yè)務(wù)/應(yīng)用系統(tǒng)之間的認(rèn)證等，如圖1中的3所示。

　�。�4）在NGN網(wǎng)絡(luò)中，會出現(xiàn)在IP網(wǎng)絡(luò)中一樣，由于用戶在使用網(wǎng)絡(luò)時其網(wǎng)絡(luò)地址可能是動態(tài)分配的，因而不能完全依據(jù)用戶的網(wǎng)絡(luò)地址來識別用戶。在數(shù)據(jù)通信中通常包含機(jī)器對機(jī)器之間的直接通信，而在進(jìn)行數(shù)據(jù)交換時需要進(jìn)行通信雙方之間的相互認(rèn)證，即用戶對等體到對等體之間的認(rèn)證，如圖1中的4所示。

　�。�5）NGN的最大特點(diǎn)之一是允許第3方應(yīng)用提供者利用NGN網(wǎng)絡(luò)環(huán)境提供的開放接口提供業(yè)務(wù)，在實(shí)施中需要對第3方應(yīng)用提供者進(jìn)行認(rèn)證，如圖1的5所示。

　�。�6）IP網(wǎng)絡(luò)不能為用戶提供完全的安全保證，使得人們對網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)本身的安全性產(chǎn)生懷疑，為此在以分組技術(shù)為基礎(chǔ)的NGN發(fā)展中需要考慮用戶對網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的認(rèn)證問題。

　�。�7）在NGN網(wǎng)絡(luò)上除了承載向公眾提供的業(yè)務(wù)或應(yīng)用外，還可以承載由政府部門或網(wǎng)絡(luò)/業(yè)務(wù)運(yùn)營者為某種特定目的而提供的業(yè)務(wù)和應(yīng)用，如應(yīng)急通信業(yè)務(wù)或TDR查詢業(yè)務(wù)/應(yīng)用等。這些業(yè)務(wù)/應(yīng)用的使用需要特定的認(rèn)證如圖1中的7所示。

三、認(rèn)證技術(shù)

　　3.1　傳統(tǒng)電話網(wǎng)絡(luò)中使用的認(rèn)證技術(shù)

　�。�1）固定電話網(wǎng)絡(luò)中的認(rèn)證

　　在用戶使用固定電話網(wǎng)絡(luò)進(jìn)行電話通信時，不需要使用者針對自身的身份提供任何證明信息，用戶并沒有感覺到網(wǎng)絡(luò)對使用者進(jìn)行了任何認(rèn)證。但實(shí)際上由于用戶需要對使用網(wǎng)絡(luò)的用戶實(shí)施計(jì)費(fèi)就必須記錄與使用者相關(guān)的信息。對于主線固定電話，每一部固定電話均對應(yīng)一個電話號碼，同時固定電話與電話交換局之間通過一條用戶專用線路連接。在某一固定電話在使用過程中，與其相連的電話交換機(jī)便可識別其電話號碼，并根據(jù)該電話號碼來認(rèn)證該固定電話并根據(jù)主叫號碼和被叫號碼對主叫用戶實(shí)施計(jì)費(fèi)。而使用電話的雙方在進(jìn)行通話初期由通話雙方通過交換對方的身份而進(jìn)行相互的認(rèn)證。電話網(wǎng)絡(luò)根據(jù)固定電話的號碼對電話設(shè)備進(jìn)行認(rèn)證，而使用通信業(yè)務(wù)的對等體則通過雙方之間的對話來對對方進(jìn)行認(rèn)證。

　�。�2）移動電話網(wǎng)絡(luò)中的認(rèn)證

　　與固定電話網(wǎng)絡(luò)一樣，每一個移動電話終端對應(yīng)一個固定的移動電話號碼。根據(jù)移動電話號碼對使用終端進(jìn)行認(rèn)證。與固定電話網(wǎng)絡(luò)不同點(diǎn)在于在每一個移動通信終端中包含的SIM卡中存儲與移動電話相關(guān)的信息，在用戶使用移動終端時，通過將SIM卡中存儲的信息發(fā)送到通信網(wǎng)絡(luò)來實(shí)施認(rèn)證。又由于移動通信網(wǎng)絡(luò)為用戶提供移動和漫游的便利，其網(wǎng)絡(luò)的計(jì)費(fèi)和認(rèn)證系統(tǒng)較固定電話網(wǎng)絡(luò)復(fù)雜一些。但二者均不需要由用戶顯式地提供用于認(rèn)證的信息。

　�。�3）對智能網(wǎng)絡(luò)業(yè)務(wù)用戶或預(yù)付費(fèi)用戶的認(rèn)證

　　在現(xiàn)有的固定電話網(wǎng)絡(luò)和移動電話網(wǎng)絡(luò)均向用戶提供智能業(yè)務(wù)和用戶預(yù)付費(fèi)業(yè)務(wù)。對于800號智能業(yè)務(wù)，通信網(wǎng)絡(luò)運(yùn)營者主要是通過將800號碼分配給相應(yīng)的用戶來實(shí)施對800號被叫用戶的號碼進(jìn)行認(rèn)證并實(shí)施計(jì)費(fèi)，而對預(yù)付費(fèi)業(yè)務(wù)可以采用根據(jù)預(yù)付費(fèi)卡的序列號和密碼實(shí)施認(rèn)證和計(jì)費(fèi)，在具體實(shí)施時可以將預(yù)付費(fèi)卡號與主叫號碼綁定來減少用戶輸入預(yù)付費(fèi)卡的序列號和密碼的麻煩。但其認(rèn)證和計(jì)費(fèi)方式依然與采用預(yù)付費(fèi)卡的序列號和密碼進(jìn)行認(rèn)證和計(jì)費(fèi)的規(guī)則相同。

　　3.2　用于IP網(wǎng)絡(luò)的認(rèn)證技術(shù)

　　由于IP網(wǎng)絡(luò)通常采用動態(tài)地址分配的方式向使用網(wǎng)絡(luò)的用戶提供IP地址信息，因而在IP網(wǎng)絡(luò)中采用類似于電話交換網(wǎng)絡(luò)中所采用的主叫線標(biāo)識的地址對用戶進(jìn)行認(rèn)證是不可行的。下面簡單介紹在基于IP協(xié)議的網(wǎng)絡(luò)上使用的Radius、Diameter、PKIX對用戶進(jìn)行認(rèn)證的認(rèn)證技術(shù)。

　�。�1）RADIUS

　　RADIUS（用戶遠(yuǎn)程撥號認(rèn)證服務(wù)）協(xié)議是由IETF制定的用于對遠(yuǎn)程撥入方式連接到IP網(wǎng)絡(luò)時對用戶進(jìn)行認(rèn)證的協(xié)議。該協(xié)議由IETF于1997年推出，后經(jīng)兩次修訂，目前其標(biāo)準(zhǔn)號為RFC 2865。該協(xié)議主要以客戶端/服務(wù)器的方式對作為客戶端的用戶進(jìn)行認(rèn)證，而在作為服務(wù)器的一端有包含相關(guān)信息的數(shù)據(jù)庫相連，實(shí)現(xiàn)對用戶所提交相關(guān)信息進(jìn)行認(rèn)證以確定用戶是否可以通過認(rèn)證。由于Radius協(xié)議本身的簡單性及可擴(kuò)展性，Radius協(xié)議被廣泛應(yīng)用于網(wǎng)絡(luò)接入認(rèn)證以及業(yè)務(wù)層認(rèn)證。目前IETF已經(jīng)開始著手?jǐn)U展Radius協(xié)議使其可應(yīng)用于如IP電話等特定的業(yè)務(wù)。同時Radius協(xié)議對用戶連接到網(wǎng)絡(luò)的方式并沒有限制，換句話說，用不同的接入方式（如PPP協(xié)議、IEEE 802.1X協(xié)議等）連接到網(wǎng)絡(luò)上的用戶均可以使用Radius協(xié)議進(jìn)行認(rèn)證。通過擴(kuò)展協(xié)議（EAP）的使用進(jìn)行認(rèn)證的標(biāo)識符也從過去的使用用戶名加密碼擴(kuò)展到使用數(shù)字證書作為用戶標(biāo)識。

　　（2）DIAMETER

　　Diameter是對Radius協(xié)議的擴(kuò)展，主要是為網(wǎng)絡(luò)接入、移動IP等具體應(yīng)用中使用的認(rèn)證、授權(quán)、計(jì)費(fèi)提供一個基本的框架，它可以用于本地及漫游情況下的認(rèn)證、授權(quán)與計(jì)費(fèi)。在由3GPP所制定的IMS系統(tǒng)中將Diameter協(xié)議作為認(rèn)證、授權(quán)、計(jì)費(fèi)的候選協(xié)議，但由于目前移動IP以及IMS僅在一定范圍內(nèi)試驗(yàn)或應(yīng)用，并沒有廣泛地應(yīng)用。為此Diameter協(xié)議的應(yīng)用也沒有大規(guī)模地采用。與Radius協(xié)議相比，Diameter協(xié)議在使用時除了Radius協(xié)議使用時采用的客戶端、服務(wù)器外還需要網(wǎng)絡(luò)代理、重定向代理、變換代理、中繼器、Diameter節(jié)點(diǎn)等實(shí)現(xiàn)用戶漫游認(rèn)證等功能。Diameter協(xié)議在使用過程中需要與其他協(xié)議相互配合。

　�。�3）PKI

　　PKI（公開密鑰基礎(chǔ)設(shè)施）與Radius協(xié)議和Diameter協(xié)議不同，它并不是采用客戶機(jī)/服務(wù)器方式進(jìn)行，即服務(wù)器一方對客戶端一方實(shí)施認(rèn)證、授權(quán)和計(jì)費(fèi)，而是采用組建由認(rèn)證方和被認(rèn)證方均信任的第三方機(jī)構(gòu)（認(rèn)證中心）通過向所服務(wù)的用戶提供基于公開密鑰加密的數(shù)字證書并管理數(shù)字證書的生成、頒發(fā)以及撤消等，并提供證書廢棄列表，供基于數(shù)字證書進(jìn)行認(rèn)證的各方查詢數(shù)字證書的有效性，由認(rèn)證方和被認(rèn)證方相互認(rèn)證。PKI為完成認(rèn)證而組建的基礎(chǔ)設(shè)施。PKI相關(guān)的標(biāo)準(zhǔn)建議由IETF PKIX工作組制訂，有關(guān)數(shù)字證書的標(biāo)準(zhǔn)由ITU-T SG17所制訂的ITU-T建議書X.509所規(guī)定。

　　由于數(shù)字證書采用了非對稱密鑰加密的方式，是目前情況下安全保密領(lǐng)域普遍認(rèn)為效果較好而且使用廣泛的加密技術(shù)。采用數(shù)字證書作為用戶標(biāo)識安全性保證是一個很好的選擇。為此很多認(rèn)證技術(shù)或協(xié)議開始擴(kuò)展，以支持將數(shù)字證書作為用戶標(biāo)識對用戶進(jìn)行認(rèn)證。但也應(yīng)當(dāng)注意到，基于PKI系統(tǒng)本身的組建和運(yùn)營成本都較高，這樣客觀上增加了使用數(shù)字證書作為其標(biāo)識的用戶的成本，在用戶選擇使用認(rèn)證系統(tǒng)時需要在安全性與使用成本之間進(jìn)行權(quán)衡。

四、正在研究或需要研究的認(rèn)證技術(shù)

　　認(rèn)證和計(jì)費(fèi)技術(shù)是保證通信網(wǎng)絡(luò)和其運(yùn)營的安全性以及順利發(fā)展必不可少的一種技術(shù)，特別在基于IP協(xié)議的數(shù)據(jù)通信網(wǎng)絡(luò)和業(yè)務(wù)發(fā)展過程中起到非常重要的作用。但由于目前網(wǎng)絡(luò)和業(yè)務(wù)的發(fā)展進(jìn)入了一個網(wǎng)絡(luò)融合并且在一個網(wǎng)絡(luò)上承載多種業(yè)務(wù)的新階段，若要用戶在使用網(wǎng)絡(luò)、使用每一種業(yè)務(wù)或每一個資源時都要進(jìn)行一次認(rèn)證，勢必造成用戶在使用網(wǎng)絡(luò)和業(yè)務(wù)過程中需要多次進(jìn)行認(rèn)證。為此人們開始研究在保證網(wǎng)絡(luò)和業(yè)務(wù)安全性的同時，方便用戶使用電信網(wǎng)絡(luò)和電信業(yè)務(wù)的認(rèn)證技術(shù)。

　　4.1　聯(lián)合認(rèn)證技術(shù)

　　聯(lián)合認(rèn)證是指在多個網(wǎng)絡(luò)運(yùn)營者和業(yè)務(wù)提供者之間建立聯(lián)合協(xié)議，用戶在具有聯(lián)合協(xié)議的多個網(wǎng)絡(luò)運(yùn)營者或業(yè)務(wù)提供者之一完成了認(rèn)證后就可以使用具有聯(lián)合關(guān)系的其他網(wǎng)絡(luò)或業(yè)務(wù)提供者所提供的服務(wù)。而對每一個網(wǎng)絡(luò)運(yùn)營者或業(yè)務(wù)提供者本身所采用的認(rèn)證技術(shù)不做統(tǒng)一的規(guī)定。換句話說，每一個網(wǎng)絡(luò)運(yùn)營者或業(yè)務(wù)提供者均可以繼續(xù)使用已經(jīng)應(yīng)用的認(rèn)證技術(shù)而不必做大的修改。主要的修改部分應(yīng)是在每一個加入聯(lián)盟的網(wǎng)絡(luò)運(yùn)營者或業(yè)務(wù)提供者需要在其認(rèn)證系統(tǒng)中增加安全聯(lián)盟協(xié)議中間件，完成聯(lián)盟內(nèi)部之間的安全協(xié)議。相關(guān)的安全聯(lián)盟協(xié)議已經(jīng)由ITU-T SG17形成了正式的標(biāo)準(zhǔn)建議。

　　4.2　對等體之間的認(rèn)證技術(shù)

　　由于目前網(wǎng)絡(luò)發(fā)展趨勢是采用分組交換技術(shù)作為主要的網(wǎng)絡(luò)技術(shù)，在使用分組交換網(wǎng)絡(luò)進(jìn)行通信時，不能完全保證可連接到網(wǎng)絡(luò)上通信雙方之間的相互信任性，為此需要進(jìn)行對等體之間的認(rèn)證。公開密鑰基礎(chǔ)設(shè)施（PKI）提供了采用數(shù)字證書進(jìn)行相互認(rèn)證的方法，但由于PKI系統(tǒng)的復(fù)雜性以及系統(tǒng)運(yùn)行維護(hù)的高成本性，人們正在尋找其他可行的對等體之間進(jìn)行相互認(rèn)證的新技術(shù)。

　　4.3　需要研究的認(rèn)證技術(shù)

　　從NGN對認(rèn)證的需求可以看到，除了上面介紹的一些可以應(yīng)用于實(shí)現(xiàn)網(wǎng)絡(luò)接入認(rèn)證、業(yè)務(wù)接入認(rèn)證、對等體之間認(rèn)證的技術(shù)外，還應(yīng)當(dāng)研究網(wǎng)絡(luò)之間的認(rèn)證以及對第三方業(yè)務(wù)/應(yīng)用提供者進(jìn)行認(rèn)證技術(shù)，以保證NGN可以為用戶提供安全、可靠的網(wǎng)絡(luò)和業(yè)務(wù)/應(yīng)用服務(wù)。