5G核心网技术基础自学系列 | 会话鉴权和授权

Posted 2022-11-24 COCOgsta

书籍来源：《5G核心网 赋能数字化时代》

一边学习一边整理内容，并与大家分享，侵权即删，谢谢支持！

附上汇总贴：5G核心网技术基础自学系列 | 汇总_COCOgsta的博客-CSDN博客

---

当建立到DN的PDU会话时， 有时需要通过DN中的AAA(鉴权、授权和计费) 服务器进行鉴权和授权，这种情况包括DN对应的是企业网或由第三方提供。正如我们将在下面看到的， 在其他情况下它也可以用作运营商管理PDU会话的参数和属性的一种方式。5G系统通过在PDU会话建立期间与DN-AAA服务器进行辅助的鉴权和授权来支持此功能。这个辅助的鉴权/授权是可选的。它是针对DN的PDU会话的验证/授权， 是在注册过程中AMF所执行的“主要”5GC接入鉴权之外， 也是在SMF使用从UDM检索到的签约数据执行的“主要”PDU会话授权之外。

UE和DN-AAA服务器之间的辅助鉴权使用EAP。SMF应执行EAP身份验证器的角色。这意味着， 当SMF从UE接收到PDU会话建立请求， 并被配置为需要DN-AAA服务器进行辅助鉴权/授权时， SMF通过请求UE提供其DN特定身份来启动EAP鉴权。该身份可能特定于该DN， 而与SUPI/SUCI无关。使用的凭证也与存储在用于“主要”鉴权的UDM中的凭证无关。UE在提供其DN标识后， 与DN-AAA交换由SMF转发的EAP鉴权消息。在UE和SMF之间， EAP消息应在SM NAS消息中发送。在SMF与DN-AAA之间， 通过RADIUS或Diameter发送EAP消息。图6.11显示了PDU会话建立期间用于辅助鉴权/授权的简化流程。

图6.11 辅助鉴权/授权的简化流程

进行辅助授权时， DN-AAA检查用户是否有权访问DN(是在基于UDM中的签约数据进行的主要授权之外进行的) 。DN-AAA还可以向SMF提供DN授权数据， 该数据将用于已建立的PDU会话。DN授权数据可以包括以太网PDU会话的授权MAC地址列表或要为基于IP的PDU会话分配的UE IP地址/前缀。