[5GC]《5G核心网-赋能数字化时代》| 6.6&6.7 会话认证和授权&LADN

Posted Greyplayground

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了[5GC]《5G核心网-赋能数字化时代》| 6.6&6.7 会话认证和授权&LADN相关的知识,希望对你有一定的参考价值。

6.6 会话鉴权和授权

PDU会话建立中的鉴权和授权

1. AAA服务器位置:一般位于公司网络或者第三方提供的DN

2. 额外功能:在某些场景下,为PDU会话管理参数特性

3. 鉴权和授权的主体:5GS支持PDU会话建立过程中的二次鉴权和授权,这个动作由DN-AAA来完成。二次鉴权和授权是可选项

4. 二次鉴权授权发生的时间点:
注册期间AMF发起的首次5GC接入鉴权之后
SMF利用从UDM获取的订阅数据,进行首次PDU会话授权之后

UE和DN-AAA服务器间的二次鉴权

1. 二次鉴权中的概念
二次鉴权的执行利用EAP协议
SMF需要充当EAP鉴权器的角色

2. 鉴权流程
SMF从UE收到一个PDU Session Establishment request,并且被DN-AAA配置为"需要进行二次鉴权授权 " 时,SMF发起EAP鉴权(从UE处请求DN-specific Identify,这个Identify在DN中是唯一的,并且与SUPI/SUCI无关)
二次鉴权使用的信用信息与UDM中存储的用于首次鉴权的信用信息无关

3. 下图是对二次授权鉴权流程的简要描述
在UE提供了DN Identify之后,UE和DN-AAA通过SMF转发EAP authentication messages
UE和SMF之间传递EAP消息:通过SM NAS message
SMF和DN-AAA之间传递EAP消息:通过RADIUS或者Diameter消息

二次授权的过程

二次授权发生时,DN-AAA检查用户是否被授权进入DN(这发生在根据UDM签约数据进行的首次授权之后)
DN-AAA提供DN授权数据给SMF,SMF将数据应用在已建立的PDU会话中

DN授权数据包括:

  • 对于Ethernet PDU会话:被授权的MAC地址列表
  • 对于基于IP的PDU会话:UE的IP地址/前缀信息

6.7 Local Area Data Network

简称LADN,这是一个5GS中才出现的新功能
LADN的功能:使用户只能从一个或多个指定的区域进入某个DN
使用场景
访问以下场所的本地网络,也就是说只有进入这个区域才可以访问的该区域网络(例如:体育场专门搭建了一个网络,只有身处体育场信号覆盖范围的终端才可以访问)

  • 体育场网络
  • 商场网络
  • 校园网络

这样的区域称之为LADN服务区域
配置存在的形式:一系列的Tracking Area(TA)
配置的绑定对象:某个DN
配置位置:AMF
LADN服务区域的信息是在UE注册时就获取到的,因此UE完全清楚在哪些区域可以访问哪些网络而不能访问哪些网络
下图是LADN应用的一种场景
当一个UE发起去往某个LADN DN的会话建立请求时
AMF将告知SMF该UE是否属于相应的LADN服务区域
SMF将根据结果决定是否同意该会话的建立
在下图中,
如果UE处在TA7这个区域中时,可以访问LADN1对应的网络,而不能访问LADN2对应的网络,反之亦然;
如果UE处在TA15,则既不能访问LADN1对应网络,也不能访问LADN2对应的网络

例外:
在某些场景下,UE处于CM-IDLE状态或者RRC INACTIVE被使用
5GC将不能确定UE的确切位置
此时,LADN服务区域功能将在UE下次访问网络服务时开启(例如:UE的状态从CM-IDLE转变为CM-CONNECTED或者RRC ACTIVE)

LADN特性仅在3GPP接入时启用

以上是关于[5GC]《5G核心网-赋能数字化时代》| 6.6&6.7 会话认证和授权&LADN的主要内容,如果未能解决你的问题,请参考以下文章

[5GC]《5G核心网-赋能数字化时代》| 6.1 PDU会话的概念

[5GC]《5G核心网-赋能数字化时代》| 6.1 PDU会话的概念

[5GC]《5G核心网-赋能数字化时代》| 6.1 PDU会话的概念

[5GC]《5G核心网-赋能数字化时代》| 6.5边缘计算

[5GC]《5G核心网-赋能数字化时代》| 6.5边缘计算

[5GC]《5G核心网-赋能数字化时代》| 6.2 PDU会话类型