网络通信 频道

跟着李华,学习鉴权流程只需要五分钟!

  信令流程反映了用户在使用5G服务时,各网元是如何协同服务的。不过,错综复杂的流程图是不是让你兴趣全无?协议中列出的信令流程图虽然全面,但是难免有些冗余,并且不够形象。

  因此,在本系列的流程讲解中,我们将跟着李华走进流程内部,看看李华是如何和核心网中的服务人员打交道的。

  作为一名合格的网民,李华每天起床第一件事就是打开手机,访问互联网。但要想使用5G服务,他必须首先在5G区域下进行初始注册。

  不是每个网民都有权限进行注册的,在注册之前,需要对李华进行资格审核,这个过程我们称为“鉴权”。在这个过程中,手机及各网元之间是如何交互完成鉴权流程的呢?

  网元的角色

  我们可以把5G核心网看成提供5G服务的公司,公司内的服务人员各司其职。李华要想完成鉴权,获得接入5G网络的权限,就相当于要有进入公司的权限。那么在鉴权流程中涉及到哪些服务人员?

  那么李华在获得进入公司的权限之前,要经历几重手续呢?我们一起看一看。

  李华的资格审查

  1. 李华来到公司大门口,主动给接待人员(AMF)递交拜访名帖,表明自己的来意——初始注册。他的名帖里可能有以下信息:

  消息名称:nas请求消息

  接待人员扫了一眼名帖,看到了一个重要信息——SUCI,拿着这个“身份证号码”,他开始翻通讯录,准备联系公司的合规审查人员(AUSF),以便核实他是不是有进入公司的正当理由(即鉴定用户是否非法访问5G网络)。

  2. 接待人员(AMF)联系了合规审查人员(AUSF):“李华要进我们公司了,请问李华有权限进入公司嘛?这是李华的身份信息:身份证号码“SUCI”和服务网络名称。”(启动鉴权流程)

  消息名称:Nausf_UEAuthentication_Authenticate Request

  合规审查人员(AUSF):“好的,稍等一下,我这需要查询一会。”

  3.收到了接待人员(AMF)的电话后,合规审查人员(AUSF)赶忙联系HR(UDM):“有个叫李华的要进入我们公司,这是他的身份信息,麻烦你看一下他的权限(鉴权信息)。”

  消息名称:Nudm_UEAuthentication_Get Request

  4.HR(UDM)根据李华的身份信息,找到了他的权限范围,回复说:“我们解密李华的身份信息(SUPI),根据李华之前签约的信息,这是他的权限范围:……(包括李华的鉴权方式——5G AKA以及根据他的信息生成的5G HE AV,其中包含RAND、AUTN、XRES*和Kausf。)”

  消息名称:Nudm_UEAuthentication_Get Response

  5.合规审查人员(AUSF)根据HR(UDM)提供的信息(XRES*和Kausf分别计算出HXRES*和Kseaf)进行处理。

  6.处理完后,合规审查人员(AUSF)反馈给接待人员(AMF):“这是李华的三个关键的权限信息:RAND、AUTN以及HXRES*。”

  消息名称:Nausf_UEAuthentication_Authenticate Response

  7.接待人员(AMF)收到信息后,对李华说:“你核对一下,这些(RAND、AUTN等参数信息)是你的个人信息吗?”

  消息名称:消息名称:Authentication Request

  8.李华根据接待人员(AMF)提供的信息检查了一下自己的信息,并生成了自己的校验信息信息(RES*)。

  9.李华确认信息(核对AUTN,计算RES*)后,回复说:“没有问题,这是我的校验信息。”

  消息名称:Authentication Response

  10. 接待人员AMF对李华提供的期望信息进行处理(RES*计算HRES*),并和从合规审查人员AUSF获取的信息(HXRES*)进行比较,发现一致,李华的信息合法,完成校验。

  11. 于是他赶紧通知合规审查人员AUSF:“我这里的李华的鉴权信息没有问题,这是他的期望信息(RES*),你那边比对一下吧。”

  消息名称:Nausf_UEAuthentication_Authenticate Request

  12. 合规审查人员(AUSF)比对了李华提供的新信息和公司内部保存的信息(RES*与本地保存的XRES*)。

  13. 合规审查人员(AUSF)比对完成后,回复AMF说:我比较了,是一致的,李华有申请进入公司的权限。”(鉴权结果为成功)。

  消息名称:Nausf_UEAuthentication_Authenticate Response

  李华发起的鉴权流程到此结束啦!

  PS:附上定制版鉴权流程信令流程大图:


0
相关文章