5G核心网技术基础自学系列 | 会话鉴权和授权

Posted COCOgsta

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了5G核心网技术基础自学系列 | 会话鉴权和授权相关的知识,希望对你有一定的参考价值。

书籍来源:《5G核心网 赋能数字化时代》

一边学习一边整理内容,并与大家分享,侵权即删,谢谢支持!

附上汇总贴:5G核心网技术基础自学系列 | 汇总_COCOgsta的博客-CSDN博客


当建立到DN的PDU会话时, 有时需要通过DN中的AAA(鉴权、授权和计费) 服务器进行鉴权和授权,这种情况包括DN对应的是企业网或由第三方提供。正如我们将在下面看到的, 在其他情况下它也可以用作运营商管理PDU会话的参数和属性的一种方式。5G系统通过在PDU会话建立期间与DN-AAA服务器进行辅助的鉴权和授权来支持此功能。这个辅助的鉴权/授权是可选的。它是针对DN的PDU会话的验证/授权, 是在注册过程中AMF所执行的“主要”5GC接入鉴权之外, 也是在SMF使用从UDM检索到的签约数据执行的“主要”PDU会话授权之外。

UE和DN-AAA服务器之间的辅助鉴权使用EAP。SMF应执行EAP身份验证器的角色。这意味着, 当SMF从UE接收到PDU会话建立请求, 并被配置为需要DN-AAA服务器进行辅助鉴权/授权时, SMF通过请求UE提供其DN特定身份来启动EAP鉴权。该身份可能特定于该DN, 而与SUPI/SUCI无关。使用的凭证也与存储在用于“主要”鉴权的UDM中的凭证无关。UE在提供其DN标识后, 与DN-AAA交换由SMF转发的EAP鉴权消息。在UE和SMF之间, EAP消息应在SM NAS消息中发送。在SMF与DN-AAA之间, 通过RADIUS或Diameter发送EAP消息。图6.11显示了PDU会话建立期间用于辅助鉴权/授权的简化流程。

图6.11 辅助鉴权/授权的简化流程

进行辅助授权时, DN-AAA检查用户是否有权访问DN(是在基于UDM中的签约数据进行的主要授权之外进行的) 。DN-AAA还可以向SMF提供DN授权数据, 该数据将用于已建立的PDU会话。DN授权数据可以包括以太网PDU会话的授权MAC地址列表或要为基于IP的PDU会话分配的UE IP地址/前缀。

 

以上是关于5G核心网技术基础自学系列 | 会话鉴权和授权的主要内容,如果未能解决你的问题,请参考以下文章

[5GC]《5G核心网-赋能数字化时代》| 6.6&6.7 会话认证和授权&LADN

[5GC]《5G核心网-赋能数字化时代》| 6.6&6.7 会话认证和授权&LADN

5G核心网技术基础自学系列 | PDU会话类型

5G核心网技术基础自学系列 | PDU会话概念

5G核心网技术基础自学系列 | AUSF提供的服务

5G核心网技术基础自学系列 | 移动性和会话管理中使用辅助RAN节点