6.6 会话鉴权和授权
PDU会话建立中的鉴权和授权
1. AAA服务器位置:一般位于公司网络或者第三方提供的DN
2. 额外功能:在某些场景下,为PDU会话管理参数和特性
3. 鉴权和授权的主体:5GS支持PDU会话建立过程中的二次鉴权和授权,这个动作由DN-AAA来完成。二次鉴权和授权是可选项
4. 二次鉴权授权发生的时间点:
注册期间AMF发起的首次5GC接入鉴权之后
SMF利用从UDM获取的订阅数据,进行首次PDU会话授权之后
UE和DN-AAA服务器间的二次鉴权
1. 二次鉴权中的概念:
二次鉴权的执行利用EAP协议
SMF需要充当EAP鉴权器的角色
2. 鉴权流程:
当SMF从UE收到一个PDU Session Establishment request,并且被DN-AAA配置为"需要进行二次鉴权授权 " 时,SMF发起EAP鉴权(从UE处请求DN-specific Identify,这个Identify在DN中是唯一的,并且与SUPI/SUCI无关)
二次鉴权使用的信用信息与UDM中存储的用于首次鉴权的信用信息无关
3. 下图是对二次授权鉴权流程的简要描述:
在UE提供了DN Identify之后,UE和DN-AAA通过SMF转发EAP authentication messages
UE和SMF之间传递EAP消息:通过SM NAS message
SMF和DN-AAA之间传递EAP消息:通过RADIUS或者Diameter消息
二次授权的过程
二次授权发生时,DN-AAA检查用户是否被授权进入DN(这发生在根据UDM签约数据进行的首次授权之后)
DN-AAA提供DN授权数据给SMF,SMF将数据应用在已建立的PDU会话中
DN授权数据包括:
- 对于Ethernet PDU会话:被授权的MAC地址列表
- 对于基于IP的PDU会话:UE的IP地址/前缀信息
6.7 Local Area Data Network
简称LADN,这是一个5GS中才出现的新功能
LADN的功能:使用户只能从一个或多个指定的区域进入某个DN
使用场景:
访问以下场所的本地网络,也就是说只有进入这个区域才可以访问的该区域网络(例如:体育场专门搭建了一个网络,只有身处体育场信号覆盖范围的终端才可以访问)
- 体育场网络
- 商场网络
- 校园网络
这样的区域称之为LADN服务区域
配置存在的形式:一系列的Tracking Area(TA)
配置的绑定对象:某个DN
配置位置:AMF
LADN服务区域的信息是在UE注册时就获取到的,因此UE完全清楚在哪些区域可以访问哪些网络而不能访问哪些网络
下图是LADN应用的一种场景:
当一个UE发起去往某个LADN DN的会话建立请求时
AMF将告知SMF该UE是否属于相应的LADN服务区域
SMF将根据结果决定是否同意该会话的建立
在下图中,
如果UE处在TA7这个区域中时,可以访问LADN1对应的网络,而不能访问LADN2对应的网络,反之亦然;
如果UE处在TA15,则既不能访问LADN1对应网络,也不能访问LADN2对应的网络
例外:
在某些场景下,UE处于CM-IDLE状态或者RRC INACTIVE被使用
5GC将不能确定UE的确切位置
此时,LADN服务区域功能将在UE下次访问网络服务时开启(例如:UE的状态从CM-IDLE转变为CM-CONNECTED或者RRC ACTIVE)
LADN特性仅在3GPP接入时启用