下一代网络(NGN)与认证技术

　　本文从NGN对认证的需求入手，讨论目前认证技术以及正在或还需要研究的认证技术。

　　一、概述

　　在通信发展初期，通信技术主要以电路交换为主，在用户进行通信时一般是独占所使用的通信线路资源。通信网络运营者通过其分配给用户的主叫线标识来实施对用户的认证、授权和计费。同时用户所使用的终端智能程度有限，用户不可能通过其所使用的终端改变通信网络设施而对通信网络和其他用户造成任何安全威胁。对网络安全保证方面的主要职责几乎均由通信网络运营商来负责。

　　计算机与通信技术的进步，计算机性能与计算机处理能力的提升以及人们对数据通信业务需求的不断提高，数据通信网络和数据通信业务迅猛发展，特别是IP技术和应用的发展给人们的工作和生活带来了巨大的便利，但由于数据通信的特点（数据的承载体为服务器或计算机），数据通信主要是在机器和机器之间进行（而电话通信主要是在人与人之间进行），为此在确认机器双方的身份时需要由一套认证协议来实现。这样，促使了认证技术和认证协议的发展。目前情况下，在基于IP的网络上进行数据通信时需要有各种认证技术和协议与业务和应用一同使用。

　　将所有的通信业务由一个统一的通信网络来提供一直是通信领域专家致力研究的问题之一。进入21世纪以来，对下一代通信网络的研究成为通信界研究的重点问题之一，从目前研究的方向来看，下一代网络将以分组交换技术为主，网络上承载的业务将包括传统的电话业务、Internet上承载的业务以及其他业务。这样认证技术和认证协议也将是下一代网络所涉及的技术之一。在ITU-T进行下一代网络的相关研究中也将认证技术和协议作为其研究的一个组成部分。本文从NGN对认证的需求入手，讨论现有的认证技术在NGN上使用的可能性以及与认证相关的技术的进展情况。

　　二、NGN对认证的需求

　　在ITU-T SG13第15课题与ITU-T SG17组第2工作组2006年1月召开的联合会议上讨论了由ITU-T SG13 Q.15起草的NGN对认证需求的文稿。该文稿主要描述了NGN网络对认证的需求。NGN对认证需求的端到端参考体系架构模型如图1所示。

　　在NGN网络中需要的认证包括：

　　（1）网络对拟连接到网络上的终端设备（包括家庭网络设备、企业UNI设备以及一般用户设备）进行的接入认证，如图1中的1所示。网络对用户终端进行认证的认证点通常设置在网络接入设备处。

　　（2）网络上的业务系统对用户身份的认证。NGN将承载多种业务，由于不同业务系统的用户群并不完全相同，因而在用户使用每一个业务系统（或使用某一资源时），业务系统需要对用户进行认证。在具体实施认证时，可以是由业务提供者（或资源提供者）对用户进行认证，也可以是在网络接入处设置用户权限数据库，在用户接入网络的同时完成接入认证和业务认证，在业务提供者（或资源提供者）处对认证结果进行核实或鉴权。具体被认证实体可以是用户、设备或用户/设备，如图1中的2所示。

　　（3）与PSTN网络采用国家之间或大的运营企业之间经过协议进行网络互联互通不同，NGN将可能在多个子网络之间进行互联互通，这样在网络之间进行互联互通之前，网络设备之间需要进行交互认证，以确保网络设备之间的相互信任性。网络交互认证包括通过NNI接口的传送级认证以及业务/应用系统之间的认证等，如图1中的3所示。

　　（4）在NGN网络中，会出现在IP网络中一样，由于用户在使用网络时其网络地址可能是动态分配的，因而不能完全依据用户的网络地址来识别用户。在数据通信中通常包含机器对机器之间的直接通信，而在进行数据交换时需要进行通信双方之间的相互认证，即用户对等体到对等体之间的认证，如图1中的4所示。

　　（5）NGN的最大特点之一是允许第3方应用提供者利用NGN网络环境提供的开放接口提供业务，在实施中需要对第3方应用提供者进行认证，如图1的5所示。

　　（6）IP网络不能为用户提供完全的安全保证，使得人们对网络设备或网络本身的安全性产生怀疑，为此在以分组技术为基础的NGN发展中需要考虑用户对网络或网络设备的认证问题。

　　（7）在NGN网络上除了承载向公众提供的业务或应用外，还可以承载由政府部门或网络/业务运营者为某种特定目的而提供的业务和应用，如应急通信业务或TDR查询业务/应用等。这些业务/应用的使用需要特定的认证如图1中的7所示。

　　三、认证技术

　　3.1　传统电话网络中使用的认证技术

　　（1）固定电话网络中的认证

在用户使用固定电话网络进行电话通信时，不需要使用者针对自身的身份提供任何证明信息，用户并没有感觉到网络对使用者