【2022年第8期】基于IPv6的5G专网终端身份认证技术与应用:符篆分类

免费测运势 免费批八字：

师父微信： master8299

目录 | 2022年第8期出版 本期专题：5G专网应用

5G行业虚拟专网驱动应用规模化发展

5G工业专网架构和关键技术探讨

5G专网技术研究及其行业应用

5G专网技术实现与演进分析

面向行业数字化的5G ToB宏观发展之路：回顾与展望

5G专网融合时间敏感网络架构技术

5G专网大上行带宽技术设计与实现

5G专网TSN总体架构及关键技术

5G专网应用专题 09

基于IPv6的5G专网终端身份认证技术与应用

李聪符篆分类，孙吉斌，解冲锋

【摘 要】为了解决5G物联网场景下地址空间不足、海量终端安全连接和管理的问题，提出了一种基于IPv6的5G专网终端身份认证的方法符篆分类。首先分析了5G物联网中面临的技术问题；然后提出了基于IPv6的核心网侧终端验证方法，并描述了该方案中的系统架构及关键方法，包括一种新型的终端标识方法和在核心网进行终端身份认证的方法，可实现IP网络层对终端唯一性的标识验证，有效增强终端接入的安全性以及提高地址的管理效率；最后还探讨了该技术适用的具体应用场景和部署方式。

【关键词】IPv6；5G专网；身份认证；物联网

doi:10.3969/j.issn.10061010.2022.08.009

中图分类号：TN929.5 文献标志码：A

文章编号：10061010(2022)08004706

引用格式：李聪,孙吉斌,解冲锋. 基于IPv6的5G专网终端身份认证技术与应用[J]. 移动通信, 2022,46(8): 4752.

0 引言

随着新一代移动通信技术的广泛应用，5G大连接、高速率、低时延等特性驱动移动物联网逐步实现从基础连接到万物互联、智能感知的高度跃迁符篆分类。5G驱动工业互联网海量设备终端互联互通，使能工业流程智能化、自动化，加速物联网规模化、泛在化，催生出更多样化的垂直行业应用及终端类型。

5G专网可以面向不一样垂直行业提供定制化和差异化的解决方案 [1] ，实现行业应用与网络的深度融合，有效赋能各行业进行数字化转型符篆分类。针对不一样的行业应用，5G专网可以提供超低时延、大带宽、业务隔离等多种定制化网络能力，满足客户生产业务、管理相关应用的通信服务需求。本文针对特定场景下的网络安全可控需求，提出了一种基于IPv6的接入认证增强方法，并给出了可行的部署方案及相关应用案例。

展开全文

1 5G物联网中的技术问题

随着5G时代的到来，移动通信网不仅影响着人与人之间的连接，也同样深刻地促进了物与物之间的连接符篆分类。截至2022年第一季度，据工信部数据显示，移动物联网用户数规模突破15亿，“物联”即将超越“人联”，这意味着移动网络正从服务于人向服务于设备和数据生产倾斜。

物联网的发展也面临着一些问题符篆分类。首先，物联网中每个被连接的物体都具有唯一地址（即IP地址），这些智设备可使用该IP地址进行互联网访问，从而实现在不需要人工协助的情况下通过网络收集和传输数据。物联网的海量终端导致了终端对IP地址的大量需求，由于IPv4地址已经枯竭，无法满足物联网“一物一地址，万物皆在线”的需求，严重制约了其发展。目前通常采用为智能终端分配私有IPv4地址的方式来解决地址不足的问题，终端侧配置私有IPv4地址，网络侧再进行私网地址和公网地址之间的转换映射，这导致了智能设备和公共互联网是分离的。终端需要定期发送心跳包以保持至应用服务器的长连接，从而导致了终端设备功耗高，且大量占用网络资源。

此外，由于物联网终端通常部署于公共的开放空间，这导致了物联网终端易于受到物理攻击和信息传输攻击，存在被恶意置换或伪造的风险符篆分类。目前终端接入仅基于SIM卡信息校验，缺乏网络层对于终端身份信息的感知，一旦终端受到攻击，攻击者可以通过伪造终端的方式通过5G核心网的验证。这样的攻击会导致物联网应用中的数据信息不可信，使用户无法获得真实的传感器信息。在5G专网的部分应用场景中，专用网络应提供全面的端到端安全性，以确保数据信息免受威胁。因此，加强5G专网中的设备/用户身份验证机制尤为关键。

在物联网场景下，为了区分恶意设备和合法设备，有的研究中提出了一些安全控制方法，以限制有害终端的接入符篆分类。现有研究中有一些访问控制方案采用应用平台对终端/用户的身份进行认证 [2] ，认证手段通常基于用户名和密码、终端的卡信息或者用户的生物信息 [35] ，大多在建立网络连接后才进行身份的校验。

2 基于IPv6的核心网侧终端验证方法

2.1 系统架构

本文针对在5G网络中终端设备的身份验证问题，提出了在核心网侧基于IPv6的接入控制方法，在网络层对终端身份进行认证符篆分类。为了从根本上解决地址枯竭的问题，终端设备应被分配IPv6地址，有效避免进行地址转换，且易于实现平台侧至终端侧的远程控制。终端接入5G网络需要与核心网进行认证，从而安全地交换信息，防止假冒终端入网。该方案中设计了物联网终端与核心网网元之间的交互流程，通过已有的信令携带必要信息，进行终端身份以及数据包源地址的校验。

5G核心网网络基于4G核心网进行了网络功能的解耦和重构 [6] ，采用服务化架构（SBA, ServiceBased Architecture）以及控制平面和用户平面分离（CUPS, Control and User Plane Separation），并且具备网络切片和边缘计算（MEC, Multiaccess Edge Computing）等关键技术符篆分类。3GPP标准中定义了5G核心网系统架构，包括控制面网元以及用户面网元。其中，接入和移动性管理功能（AMF, Access and Mobility Management Function）将不一样接入网的控制平面接入5G核心网，并对用户进行接入认证、访问授权和移动性管理；会话管理功能（SMF, Session Management Function）跟踪用户的PDU会话和QoS流，并确保它们在控制面和用户面的网络功能之间同步；用户面功能（UPF, User Plane Function）在用户数据传输过程中起到关键作用，提供了移动基础设施和数据网络之间的互连点；统一数据管理（UDM, Unified Data Management）是通过Nudm接口处理网络用户数据的集中方式，同时承担访问鉴权、注册、不间断服务等功能。

本方案在标准5G核心网架构基础上新增了认证服务功能（ISF, Identification Server Function）网元，该网元的主要功能是依据特定算法计算并对终端的IPv6标识信息进行校验符篆分类。图1为支持IPv6标识认证的5G定制化核心网架构示意图，其中ISF网元满足5G核心网SBA架构，与其他网元通过服务化接口通信，并且支持网元容器化部署。该架构中也需要对相关网元进行能力扩展，其中AMF需支持NAS信令传递IPv6微标识校验信息，并对ISF的校验结果进行处理；UDM/UDR支持存储/读取终端特征信息并进行密钥管理；SMF需支持将ISF生成的白名单下发给UPF；UPF支持基于IPv6地址过滤。

2.2 终端标识生成方法

本文设计了一种标识符生成方法，终端中集成物理不可克隆功能（PUF, Physically Unclonable Functions）符篆分类。在半导体制造过程中，生产加工工艺使得每一块芯片都存在物理差异，表现为不一样的路径延迟、晶体管阈值电压、电压增益等。PUF技术是一种硬件安全技术，它利用固有的设备物理差异来对给定的输入产生不可克隆的唯一设备响应，该响应可作为硬件的固有和唯一的标识符。生成的标识符是一种“数字指纹”，类似于人类生物指纹或虹膜等生物特征信息，可用作半导体设备（如微处理器）的唯一身份。PUF技术是一种固有的非易失性技术，设备并不实际存储任何密钥，攻击者无法通过硬件攻击读取存储器的方式获取密钥。此外，它是利用自然界的真随机性来创造真正不可预测的响应，能够有效防止终端受到物理和克隆攻击，可应用于设备身份验证、随机密钥生成等场景。本文提出一种基于PUF的IPv6标识符生成方法如图2所示，其中涉及的符号定义如表1所示，具体步骤如下：

（1）在初始化阶段，每个物联网终端可以通过装备的SIM卡来读取对应的IMSI i 符篆分类。

（2）终端利用芯片中封装的PUF功能生成初始的质询响应对CRP(C i , R i )，并存储R i 符篆分类。

（3）利用MD5摘要算法生成40 bit的PUF_key=H(R i )，截取IMSIi中的20 bit生成IMSI_key，生成tID=(PUF_key20|IMSI_key)符篆分类。

（4）利用PUF响应生成公私密钥对(Private_key, Public_key)=Gen(R i )符篆分类。

（5）利用生成的私钥对tID进行加密，生成IPv6地址的结构标识符IID=G(Private_key, tID)符篆分类。

基于终端的IMSI信息以及PUF物理特征生成IPv6地址，实现了地址和标识的可信关联，并且采用加密算法防止终端关键信息暴露在网络侧，保证了地址的唯一性和真实性符篆分类。用户终端自行生成静态的64位接口标识符上报给核心网设备，与核心网分配的64位静态IPv6前缀组成完整的128位IPv6地址。上述的标识生成方法仅为其中的一种实现方式，实际应用中客户可根据业务需求，提取终端的生产厂家、设备类型、设备编号等信息映射进IPv6地址标识符中，实现网络侧对于终端信息的多维度感知。

2.3 核心网侧验证方法

在5G核心网系统中新增ISF网元作为IPv6微标识的认证服务系统，从而使得5G网络中能够支持基于IPv6微标识的终端接入认证符篆分类。ISF网元满足5G核心网SBA架构，与其他网元通过服务化接口通信。ISF系统架构示意图如图3所示：

由于在该方案中实现了终端静态地址前缀绑定，在终端发起初始化注册时，AMF可根据IMSI判断终端是否为需要做IPv6微标识校验的物联网终端，如果是则通过NAS信令Identity Request和Response消息向终端请求IPv6微标识校验所需的参数，消息格式分别如图4和图5所示符篆分类。依据3GPP TS 24.501（R16/15），考虑开辟新类型，传递摘要后的PUF值和IPv6地址接口标识符等验证解析字段。

ISF网元为AMF提供认证服务接口，由AMF调用并将NAS信令中的相关信息以字节流形式传递给ISF，ISF解析模块按照相应格式进行解析符篆分类。为增强IPv6微标识校验的安全性，在ISF完成校验后需要生成IMSI与IPv6地址后缀的白名单，并将白名单信息下发给SMF，由SMF补充完整IPv6地址，形成白名单策略下发给UPF，UPF侧可实现流量控制。终端身份认证流程示意图如图6所示：

（1）UDM/UDR数据库中预先存储IMSI、终端公钥和设备特征等信息符篆分类。

（2）终端上电向核心网发送注册请求，AMF在鉴权前先判断当前是否为未校验的物联网终端，随后通过NAS信令向终端请求进行IPv6微标识校验所需参数符篆分类。

（3）AMF将校验参数发送给ISF，ISF再将终端参数与录入到核心网的参数进行加密算法计算，并完成校验符篆分类。如果校验通过，则终端继续进行注册与PDU会话建立流程，并由SMF分配相应的IPv6地址前缀；如果不通过，则终端注册失败。

（4）ISF将校验过的终端信息形成白名单（包括IMSI、IPv6地址后缀）发送给SMF， SMF拼接IPv6地址前缀后形成完成IPv6地址白名单，UPF基于SMF下发的白名单过滤，不允许非物联网终端访问物联网平台符篆分类。

3 融合应用场景分析

3.1 军事应用

军事化应用的典型场景可划分为作战指挥、作训演习、后勤保障和特装保障四大场景 [78] 符篆分类。其中在后勤保障以及特装保障场景中涉及到物资供应管理应用，需实现物资可管可控，建立数字化营区。基于5G一体机构建专网易于实现机动式组网，满足特定场景下的快速组网需求，可保障军事应用数据的绝对安全。

结合本文提出的身份认证技术以及高精度定位技术，可实现装备物资需求信息、保障供应信息、在储在运信息、物资消耗信息、装备物资回收信息的实时感知、传输和汇总符篆分类。可构建全军被装物资直达供应链，涵盖个人物资申领、物资生产计划制定、物资生产过程和分拣发运情况监管，形成了一个完整闭合的供应链条，实现装备物资平战时保障全流程精准的可视、可管、可控，能实时掌握动静态保障物资全局性及局部性感知状态。此外，该技术能够助力军事安全运营，落实5G新型网络下的内生安全机制，可实现管控设备接入物联网时的IP源地址验证，实时阻拦非法终端入网，实现对管控设备状态的在线实时监管、事件报警、定位跟踪、反向控制等功能。

该场景下支持IPv6标识认证的5G定制化专网可采用一体机部署模式 [9] ，部署模式示意图 如图7所示符篆分类。专网5GC部署在超融合一体机上，而一体机作为独立设备的形态运行在专用机房内。各个网元运行在一体机中，并通过内部网络与用户的专网5G基站及其他系统平台实现对接，形成一体化的企业级5G专网。该部署模式能实现专网与公网的物理隔离，核心网和无线均本地部署，回传距离短且专网不受公网断网、拥塞等影响。

3.2 工业互联网

工业互联网是第四次工业革命的重要基石，通过人、机、物的全面互联，目标是实现全要素、全产业链、全价值链的连接 [10] 符篆分类。各类垂直行业为5G新一代通信技术提供了广阔的应用空间，网络是工业互联网中重要的基础设施，也是实现各类生产要素互联的基础。本文提出的基于5G专网的身份验证方法可以在工业互联网的数据采集和物料跟踪场景中进行应用，5G专网可以采用全云化部署方式，易于实现与云平台上部署的工业平台集成与互联。

在数据采集场景中，工业控制系统将利用各类传感器采集生产过程中的数据，采集内容包括各种物理量、图像、定位等多种类型信息符篆分类。如何保证在生产过程中采集新信息的安全可靠成为了该场景下的重要问题，采用本文提出的身份验证方法可防止非法终端入网，易于实现工业控制平台对于远程传感器的反向控制以及数据包的溯源。在物料跟踪场景中，工厂中的全体员工及各类设备会具有“身份属性”，在IPv6标识生成过程中可将设备信息嵌入IPv6地址，该模式下网络层地址与设备实体信息进行绑定，易于实现供应链中的物料管理与溯源。

该场景下支持IPv6标识认证的5G定制化专网可采用全云化部署模式，部署模式示意图 如图8所示符篆分类。专网5GC整体部署在云平台之上，各个网元运行在云平台中，并接受云平台的统一纳管。企业使用公网5G基站通过网络专线接入云平台，与云平台5GC实现互联，从而构成一张完整的5G专网。该部署模式下企业用户可根据业务需要，借助云计算厂商提供的资源池化及调度能力灵活地调整5G专网配置，并与云平台上的其他业务系统实现无缝集成。由于企业不需要独自搭建环境和维护，因此总体成本会相对较低。

4 结束语

本文提出了一种新型的适用于5G专网的IPv6地址配置和终端身份认证方法，保护了终端不会受到物理和克隆攻击，并保证了地址的真实性与唯一性，该方法有助于进行地址的规划管理以及终端认证和控制符篆分类。5G和IPv6都是非常重要的新一代网络通信技术，两者技术的融合将影响行业应用的创新和变革，未来应继续探索更多的创新场景，打造5G专网的个性化应用，助力产业生态发展。

参考文献：（上下滑动浏览）

[1] 陈丰,刘子建,郭春旭. 面向5G专网的轻量化核心网技术研究[J]. 邮电设计技术, 2022,2(5): 8892.

[3] Wazid M, Das A K, Odelu V, et al. Secure remote user authenticated key establishment protocol for smart home environment[J]. IEEE Trans. Dependable Secure Comput., Mar. 2020,17(2): 391406.

[4] Zhou L, Li X, Yeh K H, et al. Lightweight IoTbased authentication scheme in cloud computing circumstance[J]. Future Generation Computer Systems, 2019,91: 244251.

[6] 3GPP. 3GPP TS 23.501: System architecture for the 5G System (5GS)[S]. 2020.

[7] 廖晶静,欧新建. 5G军事应用场景及专网部署研究[J]. 火力与指挥控制, 2021,46(6): 16.

[8] 韩松岳,苗恺,田春元,等. 5G移动通信技术军事应用研究[J]. 兵工自动化, 2022,41(4): 5359.

[9] 罗丹,谢忱. 面向行业专网的轻量化5GC发展与应用[J]. 通信世界, 2022,8(2): 3132.

[10] 黄颖,于青民,李宗祥,等. 5G在工业互联网领域的应用进展[J]. 移动通信, 2022,46(1): 4145.

[11] Qi K. Security Application of 5G Technology in Industrial Internet[J]. 电子研究与应用, 2022(1): 1114.

[13] Lee J, Lee D, Lee Y, et al. A 354F LeakageBased Physically Unclonable Function With Lossless Stabilization Through Remapping for LowCost IoT Security[J]. IEEE Journal of SolidState Circuits, 2020,99: 1.

[14] Mall P, Bhuiyan M Z A, Amin R. A Lightweight Secure Communication Protocol for IoT Devices Using Physically Unclonable Function[C]//International Conference on Security, Privacy and Anonymity in Computation, Communication and Storage. Springer, Cham, 2019: 2635.

[15] Kumar V, Oikonomou G, Tryfonas T. Traffic forensics for IPv6based Wireless Sensor Networks and the Internet of Things[J]. Internet of Things IEEE, 2017,12: 633638.

[16] Lamaazi H, Benamar N, Jara A J, et al. Challenges of the Internet of Things: IPv6 and Network Management[C]//Eighth International Conference on Innovative Mobile Internet Services in Ubiquitous Computing. IEEE, 2014.

[17] Khurpade J M, Rao D, Sanghavi P D. A Survey on IOT and 5G Network[C]//2018 International Conference on Smart City and Emerging Technology (ICSCET). 2018: 13.

[19] Sun Y, Cao J, Ma M, et al. PrivacyPreserving Device Discovery and Authentication Scheme for D2D Communication in 3GPP 5G HetNet[C]//2019 International Conference on Computing, Networking and Communications (ICNC). IEEE, 2019: 425431.

[20] 刘胜兰,邱勤,赵蓓,等. 基于5G的物联网安全技术[C]//5G网络创新研讨会(2020)论文集. 2020.

[21] 黄雄,沈军,陈思勤,等. 5G专网在电厂标准化作业安全管控的应用[J]. 电力安全技术, 2021(7): 4548.

[22] Liao J, Ou X. 5G Military Application Scenarios and Private Network Architectures[C]//2020 IEEE International Conference on Advances in Electrical Engineering and Computer Applications (AEECA). IEEE, 2020: 726732.★

★扫描 二维码符篆分类，到知网阅读下载本篇论文

★原文发表于《 移动通信》2022年第8期★

doi:10.3969/j.issn.10061010.2022.08.009

中图分类号：TN929.5 文献标志码：A

文章编号：10061010(2022)08004706

引用格式：李聪,孙吉斌,解冲锋. 基于IPv6的5G专网终端身份认证技术与应用[J]. 移动通信, 2022,46(8): 4752.

作者简介

孙吉斌：学士毕业于西安电子科技大学，现任职于中国电信股份有限公司研究院网络技术研究所，主要研究方向为5G核心网、路由协议、算力网络等符篆分类。

解冲锋：教授级高级工程师，博士毕业于清华大学，现任职于中国电信股份有限公司研究院，欧洲电信标准化协会（ETSI）IPE工作组副主席、北京市IPv6重点实验室主任，主要研究方向为下一代互联网、IPv6、网络架构、SDN/NFV、物联网、云网融合等符篆分类。

《移动通信》投稿方式为在线投稿

请您登录网页投稿系统

链接地址：

【12月专题征稿】毫米波、太赫兹通信技术

2022年第9期目录 | 专题【面向6G的边缘人工智能】

2022年第8期 目录 | 本期专题：5G专网应用

《移动通信》2022年第7期论文集合（15篇）

2022年第6期 | 6G专题论文集合（13篇）

【100篇】《移动通信》2021年1—6期专题论文集合

#扫码关注符篆分类我们#

《移动通信》

用论文解读通信

《移动通信》杂志由中国电子科技集团公司主管，中国电子科技集团公司第七研究所主办，是中国期刊方阵“双效期刊”、工业和信息化部精品电子期刊、中国科技论文统计源刊、中国科协《高质量科技期刊分级目录》入选期刊、日本JST收录期刊符篆分类。国内连续出版物号：CN441301/TN，国际连续出版物号：ISSN10061010，邮发代号：46181。

本文链接：https://daojiaowz.com/index.php/post/73515.html

转载声明：本站发布文章及版权归原作者所有，转载本站文章请注明文章来源！