6.6 會話鑒權和授權
PDU會話建立中的鑒權和授權
1. AAA伺服器位置:一般位于公司網絡或者第三方提供的DN
2. 額外功能:在某些場景下,為PDU會話管理參數和特性
3. 鑒權和授權的主體:5GS支援PDU會話建立過程中的二次鑒權和授權,這個動作由DN-AAA來完成。二次鑒權和授權是可選項
4. 二次鑒權授權發生的時間點:
注冊期間AMF發起的首次5GC接入鑒權之後
SMF利用從UDM擷取的訂閱資料,進行首次PDU會話授權之後
UE和DN-AAA伺服器間的二次鑒權
1. 二次鑒權中的概念:
二次鑒權的執行利用EAP協定
SMF需要充當EAP鑒權器的角色
2. 鑒權流程:
當SMF從UE收到一個PDU Session Establishment request,并且被DN-AAA配置為"需要進行二次鑒權授權 " 時,SMF發起EAP鑒權(從UE處請求DN-specific Identify,這個Identify在DN中是唯一的,并且與SUPI/SUCI無關)
二次鑒權使用的信用資訊與UDM中存儲的用于首次鑒權的信用資訊無關
3. 下圖是對二次授權鑒權流程的簡要描述:
在UE提供了DN Identify之後,UE和DN-AAA通過SMF轉發EAP authentication messages
UE和SMF之間傳遞EAP消息:通過SM NAS message
SMF和DN-AAA之間傳遞EAP消息:通過RADIUS或者Diameter消息
二次授權的過程
二次授權發生時,DN-AAA檢查使用者是否被授權進入DN(這發生在根據UDM簽約資料進行的首次授權之後)
DN-AAA提供DN授權資料給SMF,SMF将資料應用在已建立的PDU會話中
DN授權資料包括:
- 對于Ethernet PDU會話:被授權的MAC位址清單
- 對于基于IP的PDU會話:UE的IP位址/字首資訊
6.7 Local Area Data Network
簡稱LADN,這是一個5GS中才出現的新功能
LADN的功能:使使用者隻能從一個或多個指定的區域進入某個DN
使用場景:
通路以下場所的本地網絡,也就是說隻有進入這個區域才可以通路的該區域網絡(例如:體育場專門搭建了一個網絡,隻有身處體育場信号覆寫範圍的終端才可以通路)
- 體育場網絡
- 商場網絡
- 校園網絡
這樣的區域稱之為LADN服務區域
配置存在的形式:一系列的Tracking Area(TA)
配置的綁定對象:某個DN
配置位置:AMF
LADN服務區域的資訊是在UE注冊時就擷取到的,是以UE完全清楚在哪些區域可以通路哪些網絡而不能通路哪些網絡
下圖是LADN應用的一種場景:
當一個UE發起去往某個LADN DN的會話建立請求時
AMF将告知SMF該UE是否屬于相應的LADN服務區域
SMF将根據結果決定是否同意該會話的建立
在下圖中,
如果UE處在TA7這個區域中時,可以通路LADN1對應的網絡,而不能通路LADN2對應的網絡,反之亦然;
如果UE處在TA15,則既不能通路LADN1對應網絡,也不能通路LADN2對應的網絡
例外:
在某些場景下,UE處于CM-IDLE狀态或者RRC INACTIVE被使用
5GC将不能确定UE的确切位置
此時,LADN服務區域功能将在UE下次通路網絡服務時開啟(例如:UE的狀态從CM-IDLE轉變為CM-CONNECTED或者RRC ACTIVE)
LADN特性僅在3GPP接入時啟用