5G 双域专网多DNN 二次鉴权方案研究
2023-11-22刘志坚何广明
汪 杰 刘志坚 何广明
中国移动通信集团江苏有限公司镇江分公司
0 引言
5G 网络发展至今已形成了包含面向大众的广覆盖网络以及面向政企单位的专用网络共同发展的新格局。5G 网络协议中定义了安全流程的规范,包括用户身份识别、鉴权、用户身份保密等功能,用户只有完成安全鉴权后才能接入5G 网络,但该流程仅基于用户在运营商处开户时留存的信息,无法对政企高校用户中的成员进行内部身份认证。出于政企高校内网信息安全保护的考虑,政企高校单位希望对访问内网的用户进行控制而不仅仅依赖运营商的开户审核,因此开发了5G 双域专网二次鉴权技术,即运营商网络鉴权后再进行内网身份鉴权。用户在完成运营商5G 网络鉴权,注册5G 网络后可获得建立Internet 方向会话的权限,当用户访问政企高校内网时由5G 核心网与政企高校单位内部AAA(即Authentication,Authorization,Accounting,认证,授权,计费)服务器交互进行二次鉴权,通过后方能访问内网。
1 5G 专网实现及不足
政企高校用户普遍开始尝试利用5G 赋能自身业务,其中典型的需求为通过5G 网络连接政企高校内网实现移动办公或网上教学,同时不影响用户原先访问外网功能,此即为双域专网的主要应用场景。现有的双域专网技术方案主要为3GPP协议中定义的ULCL(Uplink Classifier)功能,利用上行分流器将用户上行流量分别指向专用网络和Internet。
ULCL 方案的业务分流主要由ULCL UPF(User plane Function)实现,用户可签约通用DNN(Data Network Name)或专用DNN,用户进入分流业务服务区时,UE 发起PDU 会话建立流程,SMF 基于用户的DNN(Data Network Name),位置区(TAC)及DNAI(Data Network Access Identifier)选择ULCL UPF 作为本地辅锚点,并对其下发相应的分流规则,一般情况下分流规则中以明细方式配置需要分流至政企高校内网的域名或地址,用户访问流量在ULCL UPF 上匹配规则后,命中规则的数据通过PSA(Local)UPF,即本地辅锚点UPF发往政企高校内网,其余数据通过N9 接口发往PSA(Center)UPF,即中心主锚点UPF 送至Internet。
虽然ULCL 组网实现了5G 双域访问,但此组网方案也同时存在着一些不足。考虑到减少对用户侧感知的影响,分流业务应尽量基于通用DNN,即用户用于访问Internet的DNN实现,避免用户在终端上调整DNN 设置。但由此导致用户地址与内网地址冲突,无法全国漫游,难以在4G 网络下实现分流,且不支持政企高校二次鉴权等问题。后续出现的一些改进方案,如基于专用DNN 的ULCL,在用户使用的便利性和上网时延等方面仍然不尽如人意,需要研究更加贴近实际使用需求的分流方案。
2 5G 双域专网多DNN 方案基本原理
为满足政企高校用户不换卡、不换号、无感知切换内外网的需求,双域专网的实现需要更加灵活的方案。多DNN 方案即为一种新的实现用户流量分流的定制方案,方案组网如图1 所示。
图1 5G 多DNN 分流组网结构图
对于国内漫游场景,漫游地AMF(Access and Mobility Management Function)根据用户位置为通用DNN 会话插入I-SMF(Intermediate-Session Management Function),I-SMF 根据用户位置为通用DNN 会话插入I-UPF(Intermediate-User plane Function),用户数据回初始接入智能分流UPF 进行分流,通用DNN 流量从初始智能分流UPF 送往Internet,专网DNN流量经过I-UPF 转发送往专网UPF。
用户使用该业务前需签约通用DNN 和智能分流DNN,其接入的流程如图2 所示。主要步骤为:(1)用户向AMF发起注册;(2)AMF 从UDM 获取用户签约DNN,因为用户除了通用DNN 外还签约了智能分流DNN,AMF 将该用户识别为多DNN 智能分流用户;(3)用户发起通用DNN 会话建立请求;(4)AMF 向NRF(NF Repository Function)查询智能分流SMF,而NRF 根据SMF 注册时是否携带智能分流关键字识别该设备是否具备多DNN 智能分流能力并优选智能分流SMF;(5)AMF 向智能分流SMF 转发会话建立请求;(6)智能分流SMF 从PCF(Policy Control Function)获取用户分流策略;(7)智能分流SMF 选择智能分流UPF 并与之建立用户面上下文,将分流策略发送给智能分流UPF;(8)和(9),智能分流SMF 向AMF 回复会话建立响应,AMF转发给UE;(10)用户发送访问内网上行数据;(11)智能分流UPF 根据分流策略检测到用户访问目的域名或IP 为内网业务则向智能分流SMF 上报事件;(12)收到用户内网访问事件后智能分流SMF 基于用户的专用DNN 向NRF 查询专网SMF;(13)智能分流SMF 代替用户向专网SMF 发送专用DNN 会话建立请求;(14)专网SMF 与专网UPF 建立用户面上下文;(15)专网SMF 向智能分流SMF 回复会话建立响应;(16)智能分流SMF 与智能分流UPF 间进行用户面更新;(17)智能分流UPF 将用户访问内网数据转发至专网UPF。
图2 5G 多DNN 用户接入流程
该方案与通用的ULCL 方案相比,由于是在网络侧为用户多签约一个专用DNN,并由网络侧根据用户访问的目的IP或域名自动进行分流,用户端不感知该DNN 的存在,只需在手机上设置通用DNN。此前通用ULCL 分流方案中用户IP 地址在通用DNN 地址池中分配,该地址池为所有5G 用户共用,无法随意更改,存在与政企高校内网地址冲突的可能,在实施该方案时需要在与政企高校内网对接处添加防火墙对用户地址进行NAT 转换。而多DNN 方案中可以为专用DNN 配置单独地址池,在规划时便可避免冲突问题,不同的专网业务使用不同的DNN 进行隔离。用户访问内网时由专网UPF 单独分配地址,智能分流UPF 将用户访问内网数据包中的UE 地址转换成专网UPF 分配的UE 地址再转发至专网UPF。对于用户通用DNN 的地址,由于PCF 的多DNN 规则中包含园区的IP 地址列表,智能分流SMF 可将该列表发给智能分流UPF,所以当出现通用DNN 地址与专网地址冲突的情况,则由智能分流UPF 重新为用户分配IP 地址或只允许用户访问Internet。
在4/5G 网元融合的条件下,多DNN 方案可以实现4G 接入下的智能分流。首先融合AMF/MME(Mobility Management Entity)需要能够根据智能分流关键字优选智能分流SMF/SGW-C(Serving Gateway-C)/PGW-C(PDN Gateway-C),并在DNS 上配置智能分流SMF/SGW-C/PGW-C 定制的FQDN(Fully Qualitied Domain Naming)记录。当用户从4G 初始接入,并且发起访问内网请求时,融合AMF/MME 根据用户签约的多DNN 智能分流关键字识别多DNN 用户,通过DNS 查询支持智能分流的SMF/SGW-C/PGW-C,智能分流SMF 对接归属地SMF,创建5G 专用DNN 会话,智能分流UPF 通过N9 接口与归属地UPF 对接,智能分流UPF 进行4G 和5G GTP-U报文的格式转换,同时进行UE IP 地址的转换。当发生4/5G互操作时,通用DNN 会话进行4/5G 互操作,专用DNN 会话保持为5G 会话。
3 5G 多DNN 二次鉴权方案基本原理
在使用5G 双域专网多DNN 方案的基础上,利用专网DNN 可配置二次鉴权功能,二次鉴权(UPF 转接)功能主要应用在5G UPF 与用户内网对接场景下,政企高校专网AAA服务器与SMF 之间不能直接互通,需要经过UPF 转接。此场景下SMF 和UPF 间利用N4 接口用户面建立N4 GTP-U 隧道,用来转接SMF 与政企高校专网AAA 之间二次鉴权的消息。二次鉴权消息对UPF 而言为普通的数据报文。该流程如图3所示:(1)SMF 选择专网UPF 创建专用的N4 会话,给UPF发送PFCP Session Establishment Request 消息。(2)专网UPF收到会话创建请求,根据PDR/FAR 中携带的source interface、destination interface 及各自对应的接口类型,识别此会话为创建N4 的GTP-U 隧道的专用N4 会话。(3)专网UPF 收到SMF 发送的报文后,解析GTP-U 头的信息,匹配到SMF 下发的PDR,使用对应的FAR 进行报文转发,剥离GTP-U 头,由于当前主流AAA 实现协议为Radius 协议,所以此处一般是转发Radius 消息给专网AAA。(4)专网UPF 收到专网AAA发送的Radius 消息后,匹配SMF 下发的PDR,使用对应的FAR,对收到的IP 报文进行GTP-U 封装后转发给SMF,完成Radius 消息转发。Radius 消息中用于鉴权的参数有多种选择,包括MSISDN,IMSI,PCO 中携带的用户名密码等,可由核心网与政企高校客户进行协商后确定。
图3 5G 二次鉴权(UPF 转发)流程
该方案为政企高校用户提供了自主控制内网访问行为的能力并且对终端访问Internet 不产生影响。终端鉴权时可以使用MSISDN、IMSI 或单独的用户名和密码,通过标准radius协议与AAA 服务器交互。在实际部署方案中为保证容灾能力,可配置多台专网UPF 和主备AAA 服务器对接,当UPF或AAA 服务器故障时能够通过备用设备转发鉴权消息。
4 5G 多DNN 二次鉴权方案部署实现
在多DNN 实际部署中,AMF、SMF、UPF 分别为组POOL 模式,为保证可靠性,同一POOL 中部署多台智能分流设备。用户号卡签约专用DNN,包含关键字multidomain,智能分流设备中同样以该关键字识别智能分流客户。对端AAA服务器以用户MSISDN 作为识别用户身份的参数,5G 核心网在建立专网会话前与内网AAA 服务器进行鉴权交互,鉴权通过后建立5G 专用会话访问客户内网。通过在现网设备上进行跟踪可以看到各设备间的具体交互情况。
4.1 终端从5G 接入
AMF 流程中关键信令如图4 所示。在AMF 向UDM 发送Nudm_SDM_GetMultipleDataSets_Request 后,UDM 在Nudm_SDM_GetMultipleDataSets_Response 里返回用户签约,其中subscribedDnnList 里携带客户签约的多DNN 信息,AMF 根据其中的multidomain 关键字判断出用户为智能分流用户,并为用户优选智能分流SMF。但后续用户访问内网URL 或地址时,并非由终端发起新建会话请求,该访问仍然从通用DNN 会话发送,所以AMF 不会发起Nsmf_PDUSession_CreateSMContext_Request。
图4 Nudm_SDM_GetMultipleDataSets_Response 消息内容
SMF 关键信令如图5 至图8 所示。在建立通用会话时智能分流SMF 通过Npcf_ SmPolicy ControlAPI_SmPolicy Control Creat Request 及Npcf_SmPolicyControlAPI_SmPolicyControlCreat Response 从PCF 获取用户的会话策略信息。信息中包含了多DNN 智能分流策略,目前部署了7 层域名与3 层IP 两种过滤器,该策略会下发给UPF,UPF 在接收到用户发送的匹配过滤器条件的报文时会主动上报事件。当用户首次访问内网时,智能分流UPF 向SMF 上报PFCP Session Report Reqest,其中包含multidomain 项,通知SMF 用户流量需分流。此后SMF向UDM 进行SMF 注册,获取用户签约信息。由于在SMF 上配置了二次鉴权,SMF 会首先向AAA 服务器发起鉴权请求,本研究中采用Radius 协议,即图7 所示Access Request,其中携带用户信息(MSISDN)、NASIP 及端口、AAA 服务器IP及端口、用户名和密码,对端AAA 服务器根据鉴权信息判断该用户是否为合法用户。鉴权通过后AAA 服务器回复Access Accept,SMF 向PCF 请求专用DNN 相关的策略,之后向UPF发起会话建立请求,如图8 所示,此时为智能分流SMF 代替用户向专网UPF 发起专网DNN 会话请求,终端用户并不感知该会话的建立。
图5 Npcf_SmPolicyControlAPI_SmPolicyControlCreat Reqest 消息内容
图6 PFCP Session Report Reqest 消息内容
图7 Access Request 消息内容
图8 PFCP Session Establishment Request 消息内容
在智能分流UPF 侧,主要承担用户通用DNN 的会话建立和承载,同时根据过滤器规则上报用户访问内网情况,触发专网DNN 会话的建立,分流用户访问内网的流量。而专网UPF 则负责转发智能分流SMF 与AAA 服务器之间的鉴权消息,鉴权通过后承载专网DNN 会话转发专网流量。智能分流SMF 与专网UPF 间的鉴权消息通过N4-U 口进行转发。
4.2 终端从4G 接入
对于用户从4G 接入进行双域分流的需求,在使用传统4G 专用网络设备时难以实现,但在完成4/5G 融合后,AMF/MME、SMF/SGW-C/PGW-C、UPF/SGW-U/PGW-U 的功能分别进行了融合部署,则可以利用设备本身特性实现分流。当前部署的环境中,用户从4G 接入,在触发专网访问时,融合智能分流SMF/SGW-C/PGW-C 创建5G 会话至专网UPF。首先AMF/MME 与HSS 交互获取用户签约信息如图9 所示。AMF/MME 从UDM/HSS 回复的Update Location Answer 中得知用户签约中有智能分流关键字,所以AMF/MME 优选具有智能分流功能的SMF/SGW-C/PGW-C 创建公网的默认承载。该承载与普通4G 用户的默认承载相同,可以进行4/5G 互操作。与5G 接入时相同,SMF/SGW-C/PGW-C 会从PCF/PCRF处获取用户的策略信息,其中包含了智能分流的3 层及7 层过滤规则,规则内容类似图5 所示,该规则会下发给智能分流UPF/SGW-U/PGW-U。当用户发起内网访问请求时,触发智能分流UPF/SGW-U/PGW-U 的过滤规则,设备通过N4 接口发起PFCP Session Report Request 通知SMF,SMF 发起5G PDU 专网DNN 会话建立请求,触发二次鉴权流程,并通知智能分流UPF 作为I-UPF,该专网会话固定为5G 会话,如图10 所示。
图9 Update Location Answer 消息内容
图10 4G 接入SMF 多DNN 关键信令
5 结束语
在5G 双域专网多DNN 方案中,利用网络侧新建专用DNN 会话可以实现原ULCL 分流方案中无法提供的功能,如漫游、4G 接入、二次鉴权等,其中二次鉴权功能对于用户对访问内网进行身份验证有重要价值,鉴权消息中的用户身份信息可以是MSISDN、IMSI、双方商定的固定字符串或者用户在终端APN 设置中手动填写的身份信息。而终端地址可以由UPF 分配,也可以由专网部署的AAA 服务器分配,对于后续进行上网日志留存或审计提供了可靠的信息。