5G网络中PDU会话建立期间由DN-AAA 服务器进行二次授权/认证流程如下:PDU 会话建立认证/授权可选地由 SMF 在 PDU 会话建立期间触发,并通过 UPF 或直接与 DN-AAA 服务器透明执行,如果 DN-AAA 服务器位于 5GC 中且可直接访问,则不涉及 UPF ,如 TS 23.501 [2] 第 5.6.6 条所述。
图 4.3.2.3-1:DN-AAA 服务器的 PDU 会话建立认证/授权
注 1:本规范中未定义步骤 2、3a、3f 和 4。可以根据所使用的机制重复步骤 3。
注2:当SMF不涉及UPF直接与DN-AAA服务器通信时,跳过步骤1,不涉及UPF执行步骤2、3a、3f、4、6。
0. SMF 确定它需要联系 DN-AAA 服务器。 SMF 基于本地配置或使用 UE 在 PDU 会话建立请求中提供的 SM PDU DN 请求容器内或在PDU 会话认证完成消息(TS 24.501 [25])中的 EAP 消息。
注 3:SM PDU DN 请求容器的内容在 TS 24.501 [25] 中定义。
1、如果SMF和DN之间不存在可用于承载DN相关消息的N4会话,则SMF选择一个UPF并触发N4会话建立。
2. SMF 通过 UPF 向 DN-AAA 发起认证过程,以认证 UE 提供的 DN-specific 身份,如 TS 29.561 [63] 中所述。
当可用时,SMF 在与 DN-AAA 交换的信令中提供 GPSI。
UPF 将从 SMF 接收到的消息透明地中继到 DN-AAA 服务器。
3a。 DN-AAA 服务器向 SMF 发送认证/授权消息。消息通过 UPF 传送。
3b。向 UE 传输从 DN-AAA 接收到的 DN 请求容器信息。
在非漫游和 LBO 情况下,SMF 调用 AMF 上的 Namf_Communication_N1N2MessageTransfer 服务操作来传输发送给 UE 的 N1 SM 信息中的 DN Request Container 信息。
在 Home Routed 漫游的情况下,H-SMF 发起 Nsmf_PDUSession_Update 服务操作请求 V-SMF 向 UE 传送 DN Request Container,V-SMF 调用 AMF 上的 Namf_Communication_N1N2MessageTransfer 服务操作来传送 DN Request Container向 UE 发送的 N1 SM 信息中的信息。在 Nsmf_PDUSession_Update Request 中,H-SMF 额外包含 H-SMF SM Context ID。
3c:AMF向UE发送N1 NAS消息
3d-3e。从 UE 接收到的 DN Request Container 信息向 DN-AAA 传输。
当 UE 以包含 DN Request Container 信息的 N1 NAS 消息进行响应时,AMF 通过调用 Nsmf_PDUSession_UpdateSMContext 服务操作通知 SMF。 SMF 发出 Nsmf_PDUSession_UpdateSMContext 响应。
在归属路由漫游的情况下,V-SMF 使用在步骤 3b 中通过 Nsmf_PDUSession_Update 服务操作接收到的 PDU 会话信息将 N1 SM 信息中继到 H-SMF。
3f:SMF(在 HR 的情况下是 H-SMF)通过 UPF 将 DN Request Container 信息(认证消息)的内容发送给 DN-AAA 服务器。
可以重复步骤 3,直到 DN-AAA 服务器确认 PDU 会话的成功认证/授权。
4. DN-AAA服务器确认PDU Session认证/授权成功。 DN-AAA 服务器可以提供:
- 一个到 SMF 的 SM PDU DN 响应容器,用于指示成功的认证/授权;
- TS 23.501 [2] 第 5.6.6 节中定义的 DN 授权数据;
- 请求获得分配给 PDU 会话的 IP 地址和/或 UE 用于 PDU 会话的 N6 流量路由信息或 MAC 地址的通知;和
- PDU 会话的 IP 地址(或 IPV6 前缀)。
N6 流量路由信息在 TS 23.501 [2] 的第 5.6.7 节中定义。
DN 认证/授权成功后,SMF 和 DN-AAA 之间会保持会话。如果 SMF 接收到 DN 授权数据,则 SMF 使用 DN 授权配置文件索引来应用策略和计费控制(参见 TS 23.501 [2] 的第 5.6.6 节)。
5. PDU Session建立继续并完成。在图 4.3.2.2.1-1 的步骤 7b 中,如果 SMF 从 DN-AAA 接收到 DN Authorization Data 中的 DN Authorization Profile Index,则发送 DN Authorization Profile Index 以检索 PDU Session 相关的策略信息(在 TS 23.503 [20] 第 6.4 节中描述)和 PCC 规则(在 TS 23.503 [20] 第 6.3 节中描述)来自 PCF。如果 SMF 在来自 DN-AAA 的 DN Authorization Data 中接收到 DN 授权的 Session AMBR,它会将 Session AMBR 内的 DN 授权的 Session AMBR 发送到 PCF 以检索授权的 Session AMBR(在 TS 23.503 [20] 的第 6.4 节中描述)。对于以太网类型的 PDU 会话,SMF 可以指示 UPF 处理与在 N6 或 N19 或内部接口上接收和发送的 PDU 会话相关的以太网帧的 VLAN 信息,如 TS 23.501 [2] 的第 5.6.10.2 条所述.
6. 如果在步骤 4 中请求或如果本地策略如此配置,则 SMF 将 IP/MAC 地址和/或分配给 PDU 会话的 N6 流量路由信息与 GPSI 一起通知 DN-AAA。
稍后,如果 DN-AAA 请求获取有关以下内容的通知,SMF 会通知 DN-AAA:
.- 为 IP 类型的 PDU 会话分配或释放 IPV6 前缀,或为以太网类型的 PDU 会话添加或删除源 MAC 地址(例如,使用 TS 23.501 [2] 第 5.6.4.3 条中定义的 IPV6 多宿主]);
- N6 流量路由信息的变化。
当 PDU 会话稍后如第 4.3.4 节所述被释放时,SMF 通知 DN-AAA。
DN-AAA 服务器可以撤销 PDU 会话的授权或更新 PDU 会话的 DN 授权数据。根据DN-AAA服务器的请求,SMF可以释放或更新PDU Session。
在 PDU 会话建立后的任何时间,DN-AAA 服务器或 SMF 可以为 PDU 会话启动辅助重认证过程,如 TS 33.501 [15] 中的第 11.1.3 节所述。执行步骤3a至步骤3f以在UE和DN-AAA服务器之间传递Secondary Re-authentication消息。次要重新认证过程可以从步骤 3a(DN-AAA 发起的次要重新认证过程)或步骤 3b(SMF 发起的次要重新认证过程)开始。对于 DN-AAA 服务器发起的次要重认证,步骤 3a 中的消息应包括 GPSI(如果可用)和 PDU 会话的 IP/MAC 地址,以便 SMF 识别相应的 UE 和 PDU 会话。
DN-AAA 可以在不执行基于本地策略的重新认证的情况下发起 DN-AAA 重新授权。 DN-AAA 重新授权过程可以从第 4 步开始。
在辅助重新认证/重新授权期间,如果 SMF 接收到 DN Authorization Profile Index 和/或 DN 授权的会话 AMBR,则 SMF 通过触发将接收到的值报告给 PCF(如 TS 23.501 [2] 中所述)策略控制请求触发器,如 TS 23.503 [20] 中所述。
做为一名工程师从事移动通信超过20年,期间经历了模拟网(1G)退网,GSM(2G)网络建设的设备调测,网络优化;3G时代简单了解;从4G(LTE)开始学习3GPP相关协议,对ZTE和HW的设备从网管到现场进行了系统的学习,期间排查定位解决了因终端能力未上报目标基站造成RRC重建问题;针对地区间切换失败引发的掉话,结合协议确定统计与实际偏差(可参看"一次成功的”假“切换)使大家对4G中的”控制面“和”用户面“有了比较清楚的认识;进入5G时代在MSCBSC上分享了多篇5G基本协议的学习笔记,欢迎大家围观,共同进步!
关注楼主