殷卫海
(北京全路通信信号研究设计院集团有限公司,北京 100070) 摘要:
5G-R MCX 用户漫游到拜访地后,要先经过统一认证IDMS 的有效性校验和授权,才能访问拜访地的M C X 服务资源。从统一认证I D M S 的组网部署、交互认证等角度进行研究和分析,
提出全路共用IDMS、全路/路局两级IDMS、路局IDMS 等多种组网部署方式,以及对应的交互认证处理机制。 关键词:
漫游;统一认证;公共配置管理;5G-R;关键集业务中图分类号:
U285 文献标志码:A 文章编号:1673-4440(2023)04-0033-07Discussion on Unified Authentication of 5G-R MCX Roaming Users
Yin Weihai
(CRSC Research & Design Institute Group Co., Ltd., Beijing 100070, China)
Abstract: After roaming, a user of 5G-R Mission Critical X-Service (MCX) needs to pass the validity verification and authorization of the Identity Management Server (IDMS) for unified authentication in order to securely access the MCX service resources of the visited place.This paper studies and analyzes IDMS network deployment and interactive authentication, etc., and proposes a variety of networking methods such as IDMS shared by all railways, two-level IDMS of all railways/railway bureaus, and IDMS deployed by railway bureaus, as well as their corresponding interactive authentication mechanisms.
Keywords: roaming; IDMS; Common Service Configuration (CSC) ; 5G-R; MCX
DOI: 10.3969/j.issn.1673-4440.2023.04.007
收稿日期:2022-07-27;修回日期:
2023-02-15基金项目:中国国家铁路集团有限公司课题项目(P2021G012)
发明专利:
2022年国家发明专利(ZL2022112905470)作者简介:殷卫海(1980—)
,男,工程师,硕士,主要研究方向:5G-R 核心网,邮箱:
******************* 。1 概述
5G 网络作为新一代信息技术的基础设施网
络,与经济社会各领域深度融合。铁路专用移动通
信历经数十年的发展,在技术迭代的关口,结合国家“新基建”决策部署,率先在铁路行业提出了5G 专网的概念和系统目标[1]。铁路5G 专用移动通信系统,分为全路共用设备、局核心网设备两级架构。全路共用设备是全路公共访问的一级节点设备,主要
有智能网5G-IN、一级DNS、5G-EIR 等网元。局核心网设备,是路局自行管理维护的设备,主要有
5GC 核心网、宽带集调度业务(Mission Critical
X-Service,MCX)等网元[2]。MCX 包括SIP 核心交
换(Sipcore)[3]、公共服务配置(Common Service Configuration,CSC)[4],语音(MC Push to Ta
lk,MCPTT)[5]、视频(MC Video,MCVideo)[6]、数据(MC Data,MCData)[7]服务器等和终端APP、网络管理维护OMC等网元。
全路共有18个路局,各路局自行管理各自的局核心网设备和用户签约/配置数据。在列车长途运行中,存在5G-R用户跨局切换的场景。当用户移动到拜访地后,漫游用户要尽量使用当前所在拜访地路局的网络资源或服务来开展业务,可大幅减少列控、列调等业务传输的时延。
5G-R MCX的CSC,是MCX业务的用户配置统一管理服务,包含统一认证服务(Identity Management Server,IDMS)、秘钥管理(Key Management Server,KMS)、位置服务(Location Management Server,LMS)、用户配置管理(Configuration Management Server,CMS)、组配置管理(Group Management Server,GMS)等网元。其中的IDMS是用户登录5G-R MCX业务的入口,是解决MCX用户跨局漫游时,如何访问拜访地的MCPTT、MCData、MCVideo以及KMS、LMS、CMS、GMS等服务资源的关键点。
2 5G-R MCX域内用户统一认证及漫游问题 IDMS的处理过程,即单点认证流程(Single Sign On,SSO),需UE、IDMS、MCX之间进行访问令牌(Access Token)的获取及校验。铁路5G-R 路局域内的IDMS认证流程遵循3GPP《TS 33.180 MC业务安全》[8]的标准规范,如图1所示。
当用户漫游到拜访路局时,理想情况是,漫游用户重新在拜访地的IDMS服务进行认证,获取到拜访地M
CX服务资源的Access Token,从而能够使用拜访地的服务资源。但这种情况需要在拜访地的IDMS上配置该漫游用户的认证签约信息,不符合用户数据归所在路局管理的原则。如果漫游用户直接回到归属地IDMS服务进行认证,原有的处理流程是:用户认证通过后,用户可以获取到归属地MCX服务资源的Access Token,但这些Access Token仅属于归属地,不能用于访问拜访地的MCX服务资源。
针对该问题,对于跨域的IDMS的认证流程,3GPP的《TS 33.180 MC业务安全》中有一种Partner IDMS、Primary IDMS的交互认证方案。但是,相对于铁路的上述漫游场景,3GPP的跨域统一认证流程不够完整,不能构成一个完整的铁路5G-R MCX的统一认证解决方案。因此,本文考虑了几种处理方式。
1)方案一:IDMS全路共用部署,全路统一认证和授权。
2)方案二:IDMS分成全路共用、路局两级部署,全路统一认证和路局自行授权。
3)方案三:IDMS路局部署,跨局IDMS间相互认证和路局自行授权。
3 5G-R MCX跨域用户的统一认证机制研究1)方案一:IDMS全路共用部署,CSC其他网元归路局管理
从系统组网角度,将IDMS部署为全路共用设备, CSC其他网元,如CMS、GMS等仍为路局设备,如图
2所示。当用户跨局漫游时,用户在归属地和拜访地访问的都是相同的共用IDMS,全路共用IDMS可以根据用户当前所在的路局情况,进行用户的统一认证、各路局MCX资源的令牌签发和权限分配,保证漫游用户能够利用拜访地的服务资源。用户终端(User Equipment,UE),归属于路局-1,现在漫游到路局-2,需要访问使用拜访路
Fig.1 Authentication mechanism in IDMS coverage area
Fig.3 Workflow of unified authentication of IDMS shared by all railways 步骤1:漫游终端UE-1与全路共用IDMS建立安全隧道,以保证后续交互流程的消息安全。步骤2:漫游终端UE-1发送用户认证请求消息给全路共用IDMS,携带用户名标识Client-ID、需要申请的MCX服务资源范围(如MCPTT、MCData、MCVideo、CMS等资源URL列表)以及Client的重定向Redirect_URL地址等信息。步骤2a:全路共用IDMS服务器与漫游终端UE-1进行用户身份和关联的凭据的验证(可采用如Digest、EAP-AKA
等多种认证方法)。
步骤3:全路共用IDMS对漫游终端认证通过后,返回用户认证响应消息给漫游终端UE-1,携带授权码Code。
步骤4:漫游终端UE-1发送访问令牌请求消息给全路共用IDMS,携带终端设备Client-ID、Client的Redirect_URL地址和步骤3下发的授权码Code。
步骤5:全路共用IDMS收到漫游终端UE-1的认证请求后,根据预配置的用户签约放号信息,生成拜访地MCX-2服务资源访问令牌,如:MCPTT-ID的令牌(ID Token)、MCX各服务的访问令牌(Access Token)、令牌超时时间(Expires_in)、超时刷新令牌(Refresh Token)等,通过访问令牌响应消息,返回给漫游终端UE-1。
步骤6:漫游终端UE-1携带获取到的拜访地MCX-2各服务的Access Tokens,请求使用拜访地的MCX-2的CSC、MCPTT、MCData、MCVideo等服务资源。
步骤7:拜访地MCX-2的各服务(如MCPTT)收到漫游终端UE-1的服务请求消息后,对UE-1的Access Token进行有效时长和验证码的验证,判断该终端是否有访问资源的权限。方式一,拜访地MCX-2使用JWT规范进行Access Token的自校验;方式二,拜访地MCX-2将Access Token发给全路共用IDMS进行Access Token的校验。
步骤8:如果校验成功,漫游终端UE-1可进行拜访地MCX-2的服务发现、配置获取、注册、单呼、组呼等业务流程;如果失败,拜访地MCX-2返回漫游终端UE-1失败的响应消息,流程终止。步骤9:漫游终端UE-1定期到全路共用IDMS-1去进行拜访地MCX-2访问令牌的刷新,以保持MCX-2各资源的Access Token的有效性。
2)方案二IDMS 分成全路共用、路局两级部署,CSC 其他网元归路局管理
从系统组网角度,将IDMS 分成全路共用、路
局部署两部分,CSC 其他网元,如CMS、GMS 等仍为路局设备,如图4所示。一级全路共用IDMS 负责全路的用户认证及路局二级IDMS 的访问令牌授权,路局的二级IDMS 负责各路局MCX 资源的访问令牌授权,保证漫游用户能够利用拜访地的服
务资源。
图� 全路/路局IDMS二级部署组网框架
Fig.4 Networking framework of two-level IDMS of
all railways/railway bureaus
MCX-�应用�G-R-�网络
�G-R终端UE-�
MCX-�应用�G-R-�网络
一级IDMS、DNS、�G-IN等
路局�
路局�
�G-R全路共用
�G-R终端UE-�
漫游
二级IDMS-�二级IDMS-�MCX-n 应用�G-R-n 网络
路局N
�G-R终端UE-�
漫游
二级IDMS-n 用户终端UE-1,归属于路局-1,现在漫游到路局-2,需要访问使用拜访路局-2的服务资源,如图5所示。
步骤1~3,漫游终端UE-1的用户认证过程,与方案一的全路共用IDMS 的业务流程相同,区别是全路共用IDMS 改为全路共用一级IDMS。步骤4:漫游终端UE-1发送拜访地二级IDMS-2
的访问令牌请求消息给全路共用一级IDMS,携带用户名标识Client-ID、Client 的重定向Redirect_URL 地址和步骤3下发的授权码Code。
步骤5:全路共用一级IDMS 收到漫游终端
UE-1的拜访地IDMS-2认证请求后,根据预配置的用户签约放号信息,生成当前路局的IDMS-2服务资源的Access Token、Expires_in、Refresh Token
等,通过访问令牌响应消息返回给终端UE-1。
步骤6:漫游终端UE-1发送拜访地MCX-2
的访问令牌请求消息给拜访地二级IDMS-2,携带终端设备Client-ID、需要申请的MCX 服务资源范围(如MCPTT、MCData、MCVideo、CMS 等)、Client 的重定向Redirect_URL 地址和步骤5下发的拜访地IDMS-2访问令牌。拜访地IDMS-2收到请求消息后,对UE-1的IDMS-2访问令牌进行校验。
步骤7:如果校验成功,则拜访地IDMS-2根
据本地预配置的用户签约放号信息,生成当前路
局MCX-2的服务资源访问令牌,如:MCPTT-
ID 的令牌(ID Token)、MCX 各服务的访问令牌
(Access Token)、令牌超时时间(expires_in)、超时刷新令牌(Refresh Token)等,通过访问令牌响应消息返回给漫游终端UE-1。
步骤8~10,与方案一的步骤6~8流程相同。步骤11:漫游终端UE-1定期到全路共用一
级IDMS、拜访地的二级IDMS-2去进行访问令牌的刷新,可以保持IDMS-2和MCX-2各资源的Access Token 的有效性。3)方案三IDMS 及CSC 其他网元都归路局管理,跨局IDMS 之间相互认证
从系统组网角度,将IDMS 及CSC 其他网元,
全部部署为路局设备,如图6所示。当用户漫游到拜访地时,用户拜访路局的IDMS 与归属地IDMS 进行交互认证,结合本地的MCX 资源配置情况,生成该漫游终端能使用的本地MCX 资源访问令牌,
下发给该漫游用户。漫游用户携带获取到的MCX 资源访问令牌,使用拜访地的各种MCX 服务资源。
用户终端UE-1,归属于路局-1,现在漫游到
路局-2,需要访问使用拜访路局-2的服务资源,如图7所示。步骤1:漫游终端UE-1与路局IDMS-1、
IDMS-2等建立安全隧道,以保证后续交互流程的
消息安全。
图� 路局IDMS部署组网框架
Fig.6 Networking framework of IDMS deployed by railway bureaus
MCX-�应用�G-R-�网络
�G-R
终端UE-�
MCX-�应用�G-R-�网络
路局�
路局�(或路局n )
�G-R 终端UE-�
漫游
CSC-�公共配置CSC-�公共配置IDMS-�
IDMS-�
跨域认证
步骤2:漫游终端UE-1发送用户认证请求消
息给拜访地的IDMS-2,携带用户名标识Client-ID、需要申请MCX 服务资源范围(如MCPTT、
MCData、MCVideo、CMS 等)以及Client 的重定向Redirect_URL 地址等信息。
步骤3:拜访地IDMS-2通过对漫游用户的
号码进行分析,判断出该用户的归属地统一认
证IDMS-1。IDMS-2发送UE-1重定向到归属地IDMS-1进行认证的响应消息给终端UE-1,携带要
访问的归属地IDMS-1的URL 地址,并指示终端该流程为跨局漫游场景。步骤4:漫游终端UE-1与归属地IDMS-1进行认证授权的交互过程。
步骤5:漫游终端UE-1,在用户认证通过后,
根据步骤1中IDMS-2的跨局漫游指示,向归属地IDMS-1发送拜访地IDMS-2的访问令牌请求消息,
携带拜访地IDMS-2的URL 地址、终端UE-1的ID Token 等信息。
步骤6:归属地的IDMS-1根据用户签约放
号信息,生成拜访地IDMS-2的Access Token、Token 过期时间等信息,返回IDMS-2访问令牌响应消息给漫游终端UE-1。
Fig.5 Workflow of two-level IDMS deployment
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议