下一代网络（NGN）与认证技术

admin

　　本文从NGN对认证的需求入手，讨论目前认证技术以及正在或还需要研究的认证技术。
　　一、概述
　　在通信发展初期，通信技术主要以电路交换为主，在用户进行通信时一般是独占所使用的通信线路资源。通信网络运营者通过其分配给用户的主叫线标识来实施对用户的认证、授权和计费。同时用户所使用的终端智能程度有限，用户不可能通过其所使用的终端改变通信网络设施而对通信网络和其他用户造成任何安全威胁。对网络安全保证方面的主要职责几乎均由通信网络运营商来负责。
　　计算机与通信技术的进步，计算机性能与计算机处理能力的提升以及人们对数据通信业务需求的不断提高，数据通信网络和数据通信业务迅猛发展，特别是IP技术和应用的发展给人们的工作和生活带来了巨大的便利，但由于数据通信的特点（数据的承载体为服务器或计算机），数据通信主要是在机器和机器之间进行（而电话通信主要是在人与人之间进行），为此在确认机器双方的身份时需要由一套认证协议来实现。这样，促使了认证技术和认证协议的发展。目前情况下，在基于IP的网络上进行数据通信时需要有各种认证技术和协议与业务和应用一同使用。
　　将所有的通信业务由一个统一的通信网络来提供一直是通信领域专家致力研究的问题之一。进入21世纪以来，对下一代通信网络的研究成为通信界研究的重点问题之一，从目前研究的方向来看，下一代网络将以分组交换技术为主，网络上承载的业务将包括传统的电话业务、Internet上承载的业务以及其他业务。这样认证技术和认证协议也将是下一代网络所涉及的技术之一。在ITU-T进行下一代网络的相关研究中也将认证技术和协议作为其研究的一个组成部分。本文从NGN对认证的需求入手，讨论现有的认证技术在NGN上使用的可能性以及与认证相关的技术的进展情况。
　　二、NGN对认证的需求
　　在ITU-T SG13第15课题与ITU-T SG17组第2工作组2006年1月召开的联合会议上讨论了由ITU-T SG13 Q.15起草的NGN对认证需求的文稿。该文稿主要描述了NGN网络对认证的需求。NGN对认证需求的端到端参考体系架构模型如图1所示。



图1　NGN对认证需求的端到端参考体系架构模型

　　在NGN网络中需要的认证包括：
　　（1）网络对拟连接到网络上的终端设备（包括家庭网络设备、企业UNI设备以及一般用户设备）进行的接入认证，如图1中的1所示。网络对用户终端进行认证的认证点通常设置在网络接入设备处。
　　（2）网络上的业务系统对用户身份的认证。NGN将承载多种业务，由于不同业务系统的用户群并不完全相同，因而在用户使用每一个业务系统（或使用某一资源时），业务系统需要对用户进行认证。在具体实施认证时，可以是由业务提供者（或资源提供者）对用户进行认证，也可以是在网络接入处设置用户权限数据库，在用户接入网络的同时完成接入认证和业务认证，在业务提供者（或资源提供者）处对认证结果进行核实或鉴权。具体被认证实体可以是用户、设备或用户/设备，如图1中的2所示。
　　（3）与PSTN网络采用国家之间或大的运营企业之间经过协议进行网络互联互通不同，NGN将可能在多个子网络之间进行互联互通，这样在网络之间进行互联互通之前，网络设备之间需要进行交互认证，以确保网络设备之间的相互信任性。网络交互认证包括通过NNI接口的传送级认证以及业务/应用系统之间的认证等，如图1中的3所示。
　　（4）在NGN网络中，会出现在IP网络中一样，由于用户在使用网络时其网络地址可能是动态分配的，因而不能完全依据用户的网络地址来识别用户。在数据通信中通常包含机器对机器之间的直接通信，而在进行数据交换时需要进行通信双方之间的相互认证，即用户对等体到对等体之间的认证，如图1中的4所示。
　　（5）NGN的最大特点之一是允许第3方应用提供者利用NGN网络环境提供的开放接口提供业务，在实施中需要对第3方应用提供者进行认证，如图1的5所示。
　　（6）IP网络不能为用户提供完全的安全保证，使得人们对网络设备或网络本身的安全性产生怀疑，为此在以分组技术为基础的NGN发展中需要考虑用户对网络或网络设备的认证问题。
　　（7）在NGN网络上除了承载向公众提供的业务或应用外，还可以承载由政府部门或网络/业务运营者为某种特定目的而提供的业务和应用，如应急通信业务或TDR查询业务/应用等。这些业务/应用的使用需要特定的认证如图1中的7所示。
　　三、认证技术
　　3.1　传统电话网络中使用的认证技术
　　（1）固定电话网络中的认证
　　在用户使用固定电话网络进行电话通信时，不需要使用者针对自身的身份提供任何证明信息，用户并没有感觉到网络对使用者进行了任何认证。但实际上由于用户需要对使用网络的用户实施计费就必须记录与使用者相关的信息。对于主线固定电话，每一部固定电话均对应一个电话号码，同时固定电话与电话交换局之间通过一条用户专用线路连接。在某一固定电话在使用过程中，与其相连的电话交换机便可识别其电话号码，并根据该电话号码来认证该固定电话并根据主叫号码和被叫号码对主叫用户实施计费。而使用电话的双方在进行通话初期由通话双方通过交换对方的身份而进行相互的认证。电话网络根据固定电话的号码对电话设备进行认证，而使用通信业务的对等体则通过双方之间的对话来对对方进行认证。
　　（2）移动电话网络中的认证
　　与固定电话网络一样，每一个移动电话终端对应一个固定的移动电话号码。根据移动电话号码对使用终端进行认证。与固定电话网络不同点在于在每一个移动通信终端中包含的SIM卡中存储与移动电话相关的信息，在用户使用移动终端时，通过将SIM卡中存储的信息发送到通信网络来实施认证。又由于移动通信网络为用户提供移动和漫游的便利，其网络的计费和认证系统较固定电话网络复杂一些。但二者均不需要由用户显式地提供用于认证的信息。
　　（3）对智能网络业务用户或预付费用户的认证
　　在现有的固定电话网络和移动电话网络均向用户提供智能业务和用户预付费业务。对于800号智能业务，通信网络运营者主要是通过将800号码分配给相应的用户来实施对800号被叫用户的号码进行认证并实施计费，而对预付费业务可以采用根据预付费卡的序列号和密码实施认证和计费，在具体实施时可以将预付费卡号与主叫号码绑定来减少用户输入预付费卡的序列号和密码的麻烦。但其认证和计费方式依然与采用预付费卡的序列号和密码进行认证和计费的规则相同。
　　3.2　用于IP网络的认证技术
　　由于IP网络通常采用动态地址分配的方式向使用网络的用户提供IP地址信息，因而在IP网络中采用类似于电话交换网络中所采用的主叫线标识的地址对用户进行认证是不可行的。下面简单介绍在基于IP协议的网络上使用的Radius、Diameter、PKIX对用户进行认证的认证技术。
　　（1）RADIUS
　　RADIUS（用户远程拨号认证服务）协议是由IETF制定的用于对远程拨入方式连接到IP网络时对用户进行认证的协议。该协议由IETF于1997年推出，后经两次修订，目前其标准号为RFC 2865。该协议主要以客户端/服务器的方式对作为客户端的用户进行认证，而在作为服务器的一端有包含相关信息的数据库相连，实现对用户所提交相关信息进行认证以确定用户是否可以通过认证。由于Radius协议本身的简单性及可扩展性，Radius协议被广泛应用于网络接入认证以及业务层认证。目前IETF已经开始着手扩展Radius协议使其可应用于如IP电话等特定的业务。同时Radius协议对用户连接到网络的方式并没有限制，换句话说，用不同的接入方式（如PPP协议、IEEE 802.1X协议等）连接到网络上的用户均可以使用Radius协议进行认证。通过扩展协议（EAP）的使用进行认证的标识符也从过去的使用用户名加密码扩展到使用数字证书作为用户标识。
　　（2）DIAMETER
　　Diameter是对Radius协议的扩展，主要是为网络接入、移动IP等具体应用中使用的认证、授权、计费提供一个基本的框架，它可以用于本地及漫游情况下的认证、授权与计费。在由3GPP所制定的IMS系统中将Diameter协议作为认证、授权、计费的候选协议，但由于目前移动IP以及IMS仅在一定范围内试验或应用，并没有广泛地应用。为此Diameter协议的应用也没有大规模地采用。与Radius协议相比，Diameter协议在使用时除了Radius协议使用时采用的客户端、服务器外还需要网络代理、重定向代理、变换代理、中继器、Diameter节点等实现用户漫游认证等功能。Diameter协议在使用过程中需要与其他协议相互配合。
　　（3）PKI
　　PKI（公开密钥基础设施）与Radius协议和Diameter协议不同，它并不是采用客户机/服务器方式进行，即服务器一方对客户端一方实施认证、授权和计费，而是采用组建由认证方和被认证方均信任的第三方机构（认证中心）通过向所服务的用户提供基于公开密钥加密的数字证书并管理数字证书的生成、颁发以及撤消等，并提供证书废弃列表，供基于数字证书进行认证的各方查询数字证书的有效性，由认证方和被认证方相互认证。PKI为完成认证而组建的基础设施。PKI相关的标准建议由IETF PKIX工作组制订，有关数字证书的标准由ITU-T SG17所制订的ITU-T建议书X.509所规定。
　　由于数字证书采用了非对称密钥加密的方式，是目前情况下安全保密领域普遍认为效果较好而且使用广泛的加密技术。采用数字证书作为用户标识安全性保证是一个很好的选择。为此很多认证技术或协议开始扩展，以支持将数字证书作为用户标识对用户进行认证。但也应当注意到，基于PKI系统本身的组建和运营成本都较高，这样客观上增加了使用数字证书作为其标识的用户的成本，在用户选择使用认证系统时需要在安全性与使用成本之间进行权衡。
　　四、正在研究或需要研究的认证技术
　　认证和计费技术是保证通信网络和其运营的安全性以及顺利发展必不可少的一种技术，特别在基于IP协议的数据通信网络和业务发展过程中起到非常重要的作用。但由于目前网络和业务的发展进入了一个网络融合并且在一个网络上承载多种业务的新阶段，若要用户在使用网络、使用每一种业务或每一个资源时都要进行一次认证，势必造成用户在使用网络和业务过程中需要多次进行认证。为此人们开始研究在保证网络和业务安全性的同时，方便用户使用电信网络和电信业务的认证技术。
　　4.1　联合认证技术
　　联合认证是指在多个网络运营者和业务提供者之间建立联合协议，用户在具有联合协议的多个网络运营者或业务提供者之一完成了认证后就可以使用具有联合关系的其他网络或业务提供者所提供的服务。而对每一个网络运营者或业务提供者本身所采用的认证技术不做统一的规定。换句话说，每一个网络运营者或业务提供者均可以继续使用已经应用的认证技术而不必做大的修改。主要的修改部分应是在每一个加入联盟的网络运营者或业务提供者需要在其认证系统中增加安全联盟协议中间件，完成联盟内部之间的安全协议。相关的安全联盟协议已经由ITU-T SG17形成了正式的标准建议。
　　4.2　对等体之间的认证技术
　　由于目前网络发展趋势是采用分组交换技术作为主要的网络技术，在使用分组交换网络进行通信时，不能完全保证可连接到网络上通信双方之间的相互信任性，为此需要进行对等体之间的认证。公开密钥基础设施（PKI）提供了采用数字证书进行相互认证的方法，但由于PKI系统的复杂性以及系统运行维护的高成本性，人们正在寻找其他可行的对等体之间进行相互认证的新技术。
　　4.3　需要研究的认证技术
　　从NGN对认证的需求可以看到，除了上面介绍的一些可以应用于实现网络接入认证、业务接入认证、对等体之间认证的技术外，还应当研究网络之间的认证以及对第三方业务/应用提供者进行认证技术，以保证NGN可以为用户提供安全、可靠的网络和业务/应用服务。