5G 雙域?qū)＞W(wǎng)多DNN 二次鑒權(quán)方案研究

汪 杰 劉志堅 何廣明

中國移動通信集團江蘇有限公司鎮(zhèn)江分公司

0 引言

5G 網(wǎng)絡(luò)發(fā)展至今已形成了包含面向大眾的廣覆蓋網(wǎng)絡(luò)以及面向政企單位的專用網(wǎng)絡(luò)共同發(fā)展的新格局。5G 網(wǎng)絡(luò)協(xié)議中定義了安全流程的規(guī)范，包括用戶身份識別、鑒權(quán)、用戶身份保密等功能，用戶只有完成安全鑒權(quán)后才能接入5G 網(wǎng)絡(luò)，但該流程僅基于用戶在運營商處開戶時留存的信息，無法對政企高校用戶中的成員進行內(nèi)部身份認證。出于政企高校內(nèi)網(wǎng)信息安全保護的考慮，政企高校單位希望對訪問內(nèi)網(wǎng)的用戶進行控制而不僅僅依賴運營商的開戶審核，因此開發(fā)了5G 雙域?qū)＞W(wǎng)二次鑒權(quán)技術(shù)，即運營商網(wǎng)絡(luò)鑒權(quán)后再進行內(nèi)網(wǎng)身份鑒權(quán)。用戶在完成運營商5G 網(wǎng)絡(luò)鑒權(quán)，注冊5G 網(wǎng)絡(luò)后可獲得建立Internet 方向會話的權(quán)限，當(dāng)用戶訪問政企高校內(nèi)網(wǎng)時由5G 核心網(wǎng)與政企高校單位內(nèi)部AAA（即Authentication，Authorization，Accounting，認證，授權(quán)，計費）服務(wù)器交互進行二次鑒權(quán)，通過后方能訪問內(nèi)網(wǎng)。

1 5G 專網(wǎng)實現(xiàn)及不足

政企高校用戶普遍開始嘗試利用5G 賦能自身業(yè)務(wù)，其中典型的需求為通過5G 網(wǎng)絡(luò)連接政企高校內(nèi)網(wǎng)實現(xiàn)移動辦公或網(wǎng)上教學(xué)，同時不影響用戶原先訪問外網(wǎng)功能，此即為雙域?qū)＞W(wǎng)的主要應(yīng)用場景。現(xiàn)有的雙域?qū)＞W(wǎng)技術(shù)方案主要為3GPP協(xié)議中定義的ULCL（Uplink Classifier）功能，利用上行分流器將用戶上行流量分別指向?qū)Ｓ镁W(wǎng)絡(luò)和Internet。

ULCL 方案的業(yè)務(wù)分流主要由ULCL UPF（User plane Function）實現(xiàn)，用戶可簽約通用DNN（Data Network Name）或?qū)Ｓ肈NN，用戶進入分流業(yè)務(wù)服務(wù)區(qū)時，UE 發(fā)起PDU 會話建立流程，SMF 基于用戶的DNN（Data Network Name），位置區(qū)（TAC）及DNAI（Data Network Access Identifier）選擇ULCL UPF 作為本地輔錨點，并對其下發(fā)相應(yīng)的分流規(guī)則，一般情況下分流規(guī)則中以明細方式配置需要分流至政企高校內(nèi)網(wǎng)的域名或地址，用戶訪問流量在ULCL UPF 上匹配規(guī)則后，命中規(guī)則的數(shù)據(jù)通過PSA（Local）UPF，即本地輔錨點UPF發(fā)往政企高校內(nèi)網(wǎng)，其余數(shù)據(jù)通過N9 接口發(fā)往PSA（Center）UPF，即中心主錨點UPF 送至Internet。

雖然ULCL 組網(wǎng)實現(xiàn)了5G 雙域訪問，但此組網(wǎng)方案也同時存在著一些不足。考慮到減少對用戶側(cè)感知的影響，分流業(yè)務(wù)應(yīng)盡量基于通用DNN，即用戶用于訪問Internet的DNN實現(xiàn)，避免用戶在終端上調(diào)整DNN 設(shè)置。但由此導(dǎo)致用戶地址與內(nèi)網(wǎng)地址沖突，無法全國漫游，難以在4G 網(wǎng)絡(luò)下實現(xiàn)分流，且不支持政企高校二次鑒權(quán)等問題。后續(xù)出現(xiàn)的一些改進方案，如基于專用DNN 的ULCL，在用戶使用的便利性和上網(wǎng)時延等方面仍然不盡如人意，需要研究更加貼近實際使用需求的分流方案。

2 5G 雙域?qū)＞W(wǎng)多DNN 方案基本原理

為滿足政企高校用戶不換卡、不換號、無感知切換內(nèi)外網(wǎng)的需求，雙域?qū)＞W(wǎng)的實現(xiàn)需要更加靈活的方案。多DNN 方案即為一種新的實現(xiàn)用戶流量分流的定制方案，方案組網(wǎng)如圖1 所示。

圖1 5G 多DNN 分流組網(wǎng)結(jié)構(gòu)圖

對于國內(nèi)漫游場景，漫游地AMF（Access and Mobility Management Function）根據(jù)用戶位置為通用DNN 會話插入I-SMF（Intermediate-Session Management Function），I-SMF 根據(jù)用戶位置為通用DNN 會話插入I-UPF（Intermediate-User plane Function），用戶數(shù)據(jù)回初始接入智能分流UPF 進行分流，通用DNN 流量從初始智能分流UPF 送往Internet，專網(wǎng)DNN流量經(jīng)過I-UPF 轉(zhuǎn)發(fā)送往專網(wǎng)UPF。

用戶使用該業(yè)務(wù)前需簽約通用DNN 和智能分流DNN，其接入的流程如圖2 所示。主要步驟為：（1）用戶向AMF發(fā)起注冊；（2）AMF 從UDM 獲取用戶簽約DNN，因為用戶除了通用DNN 外還簽約了智能分流DNN，AMF 將該用戶識別為多DNN 智能分流用戶；（3）用戶發(fā)起通用DNN 會話建立請求；（4）AMF 向NRF（NF Repository Function）查詢智能分流SMF，而NRF 根據(jù)SMF 注冊時是否攜帶智能分流關(guān)鍵字識別該設(shè)備是否具備多DNN 智能分流能力并優(yōu)選智能分流SMF；（5）AMF 向智能分流SMF 轉(zhuǎn)發(fā)會話建立請求；（6）智能分流SMF 從PCF（Policy Control Function）獲取用戶分流策略；（7）智能分流SMF 選擇智能分流UPF 并與之建立用戶面上下文，將分流策略發(fā)送給智能分流UPF；（8）和（9），智能分流SMF 向AMF 回復(fù)會話建立響應(yīng)，AMF轉(zhuǎn)發(fā)給UE；（10）用戶發(fā)送訪問內(nèi)網(wǎng)上行數(shù)據(jù)；（11）智能分流UPF 根據(jù)分流策略檢測到用戶訪問目的域名或IP 為內(nèi)網(wǎng)業(yè)務(wù)則向智能分流SMF 上報事件；（12）收到用戶內(nèi)網(wǎng)訪問事件后智能分流SMF 基于用戶的專用DNN 向NRF 查詢專網(wǎng)SMF；（13）智能分流SMF 代替用戶向?qū)＞W(wǎng)SMF 發(fā)送專用DNN 會話建立請求；（14）專網(wǎng)SMF 與專網(wǎng)UPF 建立用戶面上下文；（15）專網(wǎng)SMF 向智能分流SMF 回復(fù)會話建立響應(yīng)；（16）智能分流SMF 與智能分流UPF 間進行用戶面更新；（17）智能分流UPF 將用戶訪問內(nèi)網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)至專網(wǎng)UPF。

圖2 5G 多DNN 用戶接入流程

該方案與通用的ULCL 方案相比，由于是在網(wǎng)絡(luò)側(cè)為用戶多簽約一個專用DNN，并由網(wǎng)絡(luò)側(cè)根據(jù)用戶訪問的目的IP或域名自動進行分流，用戶端不感知該DNN 的存在，只需在手機上設(shè)置通用DNN。此前通用ULCL 分流方案中用戶IP 地址在通用DNN 地址池中分配，該地址池為所有5G 用戶共用，無法隨意更改，存在與政企高校內(nèi)網(wǎng)地址沖突的可能，在實施該方案時需要在與政企高校內(nèi)網(wǎng)對接處添加防火墻對用戶地址進行NAT 轉(zhuǎn)換。而多DNN 方案中可以為專用DNN 配置單獨地址池，在規(guī)劃時便可避免沖突問題，不同的專網(wǎng)業(yè)務(wù)使用不同的DNN 進行隔離。用戶訪問內(nèi)網(wǎng)時由專網(wǎng)UPF 單獨分配地址，智能分流UPF 將用戶訪問內(nèi)網(wǎng)數(shù)據(jù)包中的UE 地址轉(zhuǎn)換成專網(wǎng)UPF 分配的UE 地址再轉(zhuǎn)發(fā)至專網(wǎng)UPF。對于用戶通用DNN 的地址，由于PCF 的多DNN 規(guī)則中包含園區(qū)的IP 地址列表，智能分流SMF 可將該列表發(fā)給智能分流UPF，所以當(dāng)出現(xiàn)通用DNN 地址與專網(wǎng)地址沖突的情況，則由智能分流UPF 重新為用戶分配IP 地址或只允許用戶訪問Internet。

在4/5G 網(wǎng)元融合的條件下，多DNN 方案可以實現(xiàn)4G 接入下的智能分流。首先融合AMF/MME（Mobility Management Entity）需要能夠根據(jù)智能分流關(guān)鍵字優(yōu)選智能分流SMF/SGW-C（Serving Gateway-C）/PGW-C（PDN Gateway-C），并在DNS 上配置智能分流SMF/SGW-C/PGW-C 定制的FQDN（Fully Qualitied Domain Naming）記錄。當(dāng)用戶從4G 初始接入，并且發(fā)起訪問內(nèi)網(wǎng)請求時，融合AMF/MME 根據(jù)用戶簽約的多DNN 智能分流關(guān)鍵字識別多DNN 用戶，通過DNS 查詢支持智能分流的SMF/SGW-C/PGW-C，智能分流SMF 對接歸屬地SMF，創(chuàng)建5G 專用DNN 會話，智能分流UPF 通過N9 接口與歸屬地UPF 對接，智能分流UPF 進行4G 和5G GTP-U報文的格式轉(zhuǎn)換，同時進行UE IP 地址的轉(zhuǎn)換。當(dāng)發(fā)生4/5G互操作時，通用DNN 會話進行4/5G 互操作，專用DNN 會話保持為5G 會話。

3 5G 多DNN 二次鑒權(quán)方案基本原理

在使用5G 雙域?qū)＞W(wǎng)多DNN 方案的基礎(chǔ)上，利用專網(wǎng)DNN 可配置二次鑒權(quán)功能，二次鑒權(quán)（UPF 轉(zhuǎn)接）功能主要應(yīng)用在5G UPF 與用戶內(nèi)網(wǎng)對接場景下，政企高校專網(wǎng)AAA服務(wù)器與SMF 之間不能直接互通，需要經(jīng)過UPF 轉(zhuǎn)接。此場景下SMF 和UPF 間利用N4 接口用戶面建立N4 GTP-U 隧道，用來轉(zhuǎn)接SMF 與政企高校專網(wǎng)AAA 之間二次鑒權(quán)的消息。二次鑒權(quán)消息對UPF 而言為普通的數(shù)據(jù)報文。該流程如圖3所示：（1）SMF 選擇專網(wǎng)UPF 創(chuàng)建專用的N4 會話，給UPF發(fā)送PFCP Session Establishment Request 消息。（2）專網(wǎng)UPF收到會話創(chuàng)建請求，根據(jù)PDR/FAR 中攜帶的source interface、destination interface 及各自對應(yīng)的接口類型，識別此會話為創(chuàng)建N4 的GTP-U 隧道的專用N4 會話。（3）專網(wǎng)UPF 收到SMF 發(fā)送的報文后，解析GTP-U 頭的信息，匹配到SMF 下發(fā)的PDR，使用對應(yīng)的FAR 進行報文轉(zhuǎn)發(fā)，剝離GTP-U 頭，由于當(dāng)前主流AAA 實現(xiàn)協(xié)議為Radius 協(xié)議，所以此處一般是轉(zhuǎn)發(fā)Radius 消息給專網(wǎng)AAA。（4）專網(wǎng)UPF 收到專網(wǎng)AAA發(fā)送的Radius 消息后，匹配SMF 下發(fā)的PDR，使用對應(yīng)的FAR，對收到的IP 報文進行GTP-U 封裝后轉(zhuǎn)發(fā)給SMF，完成Radius 消息轉(zhuǎn)發(fā)。Radius 消息中用于鑒權(quán)的參數(shù)有多種選擇，包括MSISDN，IMSI，PCO 中攜帶的用戶名密碼等，可由核心網(wǎng)與政企高校客戶進行協(xié)商后確定。

圖3 5G 二次鑒權(quán)（UPF 轉(zhuǎn)發(fā)）流程

該方案為政企高校用戶提供了自主控制內(nèi)網(wǎng)訪問行為的能力并且對終端訪問Internet 不產(chǎn)生影響。終端鑒權(quán)時可以使用MSISDN、IMSI 或單獨的用戶名和密碼，通過標準radius協(xié)議與AAA 服務(wù)器交互。在實際部署方案中為保證容災(zāi)能力，可配置多臺專網(wǎng)UPF 和主備AAA 服務(wù)器對接，當(dāng)UPF或AAA 服務(wù)器故障時能夠通過備用設(shè)備轉(zhuǎn)發(fā)鑒權(quán)消息。

4 5G 多DNN 二次鑒權(quán)方案部署實現(xiàn)

在多DNN 實際部署中，AMF、SMF、UPF 分別為組POOL 模式，為保證可靠性，同一POOL 中部署多臺智能分流設(shè)備。用戶號卡簽約專用DNN，包含關(guān)鍵字multidomain，智能分流設(shè)備中同樣以該關(guān)鍵字識別智能分流客戶。對端AAA服務(wù)器以用戶MSISDN 作為識別用戶身份的參數(shù)，5G 核心網(wǎng)在建立專網(wǎng)會話前與內(nèi)網(wǎng)AAA 服務(wù)器進行鑒權(quán)交互，鑒權(quán)通過后建立5G 專用會話訪問客戶內(nèi)網(wǎng)。通過在現(xiàn)網(wǎng)設(shè)備上進行跟蹤可以看到各設(shè)備間的具體交互情況。

4.1 終端從5G 接入

AMF 流程中關(guān)鍵信令如圖4 所示。在AMF 向UDM 發(fā)送Nudm_SDM_GetMultipleDataSets_Request 后，UDM 在Nudm_SDM_GetMultipleDataSets_Response 里返回用戶簽約，其中subscribedDnnList 里攜帶客戶簽約的多DNN 信息，AMF 根據(jù)其中的multidomain 關(guān)鍵字判斷出用戶為智能分流用戶，并為用戶優(yōu)選智能分流SMF。但后續(xù)用戶訪問內(nèi)網(wǎng)URL 或地址時，并非由終端發(fā)起新建會話請求，該訪問仍然從通用DNN 會話發(fā)送，所以AMF 不會發(fā)起Nsmf_PDUSession_CreateSMContext_Request。

圖4 Nudm_SDM_GetMultipleDataSets_Response 消息內(nèi)容

SMF 關(guān)鍵信令如圖5 至圖8 所示。在建立通用會話時智能分流SMF 通過Npcf_ SmPolicy ControlAPI_SmPolicy Control Creat Request 及Npcf_SmPolicyControlAPI_SmPolicyControlCreat Response 從PCF 獲取用戶的會話策略信息。信息中包含了多DNN 智能分流策略，目前部署了7 層域名與3 層IP 兩種過濾器，該策略會下發(fā)給UPF，UPF 在接收到用戶發(fā)送的匹配過濾器條件的報文時會主動上報事件。當(dāng)用戶首次訪問內(nèi)網(wǎng)時，智能分流UPF 向SMF 上報PFCP Session Report Reqest，其中包含multidomain 項，通知SMF 用戶流量需分流。此后SMF向UDM 進行SMF 注冊，獲取用戶簽約信息。由于在SMF 上配置了二次鑒權(quán)，SMF 會首先向AAA 服務(wù)器發(fā)起鑒權(quán)請求，本研究中采用Radius 協(xié)議，即圖7 所示Access Request，其中攜帶用戶信息（MSISDN）、NASIP 及端口、AAA 服務(wù)器IP及端口、用戶名和密碼，對端AAA 服務(wù)器根據(jù)鑒權(quán)信息判斷該用戶是否為合法用戶。鑒權(quán)通過后AAA 服務(wù)器回復(fù)Access Accept，SMF 向PCF 請求專用DNN 相關(guān)的策略，之后向UPF發(fā)起會話建立請求，如圖8 所示，此時為智能分流SMF 代替用戶向?qū)＞W(wǎng)UPF 發(fā)起專網(wǎng)DNN 會話請求，終端用戶并不感知該會話的建立。

圖5 Npcf_SmPolicyControlAPI_SmPolicyControlCreat Reqest 消息內(nèi)容

圖6 PFCP Session Report Reqest 消息內(nèi)容

圖7 Access Request 消息內(nèi)容

圖8 PFCP Session Establishment Request 消息內(nèi)容

在智能分流UPF 側(cè)，主要承擔(dān)用戶通用DNN 的會話建立和承載，同時根據(jù)過濾器規(guī)則上報用戶訪問內(nèi)網(wǎng)情況，觸發(fā)專網(wǎng)DNN 會話的建立，分流用戶訪問內(nèi)網(wǎng)的流量。而專網(wǎng)UPF 則負責(zé)轉(zhuǎn)發(fā)智能分流SMF 與AAA 服務(wù)器之間的鑒權(quán)消息，鑒權(quán)通過后承載專網(wǎng)DNN 會話轉(zhuǎn)發(fā)專網(wǎng)流量。智能分流SMF 與專網(wǎng)UPF 間的鑒權(quán)消息通過N4-U 口進行轉(zhuǎn)發(fā)。

4.2 終端從4G 接入

對于用戶從4G 接入進行雙域分流的需求，在使用傳統(tǒng)4G 專用網(wǎng)絡(luò)設(shè)備時難以實現(xiàn)，但在完成4/5G 融合后，AMF/MME、SMF/SGW-C/PGW-C、UPF/SGW-U/PGW-U 的功能分別進行了融合部署，則可以利用設(shè)備本身特性實現(xiàn)分流。當(dāng)前部署的環(huán)境中，用戶從4G 接入，在觸發(fā)專網(wǎng)訪問時，融合智能分流SMF/SGW-C/PGW-C 創(chuàng)建5G 會話至專網(wǎng)UPF。首先AMF/MME 與HSS 交互獲取用戶簽約信息如圖9 所示。AMF/MME 從UDM/HSS 回復(fù)的Update Location Answer 中得知用戶簽約中有智能分流關(guān)鍵字，所以AMF/MME 優(yōu)選具有智能分流功能的SMF/SGW-C/PGW-C 創(chuàng)建公網(wǎng)的默認承載。該承載與普通4G 用戶的默認承載相同，可以進行4/5G 互操作。與5G 接入時相同，SMF/SGW-C/PGW-C 會從PCF/PCRF處獲取用戶的策略信息，其中包含了智能分流的3 層及7 層過濾規(guī)則，規(guī)則內(nèi)容類似圖5 所示，該規(guī)則會下發(fā)給智能分流UPF/SGW-U/PGW-U。當(dāng)用戶發(fā)起內(nèi)網(wǎng)訪問請求時，觸發(fā)智能分流UPF/SGW-U/PGW-U 的過濾規(guī)則，設(shè)備通過N4 接口發(fā)起PFCP Session Report Request 通知SMF，SMF 發(fā)起5G PDU 專網(wǎng)DNN 會話建立請求，觸發(fā)二次鑒權(quán)流程，并通知智能分流UPF 作為I-UPF，該專網(wǎng)會話固定為5G 會話，如圖10 所示。

圖9 Update Location Answer 消息內(nèi)容

圖10 4G 接入SMF 多DNN 關(guān)鍵信令

5 結(jié)束語

在5G 雙域?qū)＞W(wǎng)多DNN 方案中，利用網(wǎng)絡(luò)側(cè)新建專用DNN 會話可以實現(xiàn)原ULCL 分流方案中無法提供的功能，如漫游、4G 接入、二次鑒權(quán)等，其中二次鑒權(quán)功能對于用戶對訪問內(nèi)網(wǎng)進行身份驗證有重要價值，鑒權(quán)消息中的用戶身份信息可以是MSISDN、IMSI、雙方商定的固定字符串或者用戶在終端APN 設(shè)置中手動填寫的身份信息。而終端地址可以由UPF 分配，也可以由專網(wǎng)部署的AAA 服務(wù)器分配，對于后續(xù)進行上網(wǎng)日志留存或?qū)徲嬏峁┝丝煽康男畔ⅰ?/p>