本发明涉及通信技术领域,特别涉及一种基于hss的5g核心网信息处理装置及方法。
背景技术:
在目前5g核心网架构(以下简称5gc)中,udm(统一数据管理)和ausf(认证服务)与4g核心网中的hss(归属签约用户服务器)所使用的加密和完整性保护算法相同且功能相似,用于存储用户数据和鉴权。
在5g核心网架构中,基于控制面与用户面分离的目的,在4g核心网架构的基础上,网元功能细分,演变出新的网络功能(nf)。控制面的网络功能nfs主要有:amf:接入和移动性管理功能实体;smf:会话管理功能实体;af:应用功能实体;nssf:网络切片选择功能实体;nef:网络开放功能实体;nrf:网络仓储功能实体;pcf:策略控制功能实体;ausf:鉴权服务器功能实体;udm:统一数据管理实体。
根据3gpp的r15和r16规范,4g核心网中hss用于存储用户签约信息和位置信息以及鉴权,其与mme(移动性管理实体)通过逻辑接s6a接口相连,其应用层间通信协议采用diameter协议。而到了5gc,nf之间通信基于sbi的服务接口框架,其应用层通信协议采用http2,鉴权方法分为两种,分别是:5g-aka和eap-aka两种。3gpp非漫游的5gc参考架构如图1-1所示,epc参考架构如图1-2所示。
按照3gpp规范,5gc的架构相比epc增加了很多网元,这主要是考虑到了控制面与用户面分离,虚拟化部署等。但是网元的增加会增加epc升级到5gc的难度和复杂度,而且需要其他的技术手段兼容2g/3g/4g的核心网络。
中国专利申请公开号为cn109756896a,发明名称为“一种信息处理方法、网络设备及计算机可读存储介质”,公开的是在5gc核心网中保留了hss,以支持2/3/4g的用户数据,达到数据共享的目的。相比本发明,其5gc还是要部署和配置udm以及ausf这两个网元,也就是说,采用其方案需要完整的一套5gc核心网设备。
技术实现要素:
有鉴于此,为了解决现有技术的问题,本发明的目的是提供一种基于hss的5g核心网信息处理装置及方法,使hss可以支持5gc网络中nfs的接入,无需部署udm和ausf就可以支持5gue的服务,完成hss支持5g鉴权和用户签约数据存储的功能,可以作为一种从epc兼容5gc的部署方案,也能够支持原有epc的接入。
本发明的目的是通过以下技术方案实现的:
第一方面,本发明提供一种基于hss的5g核心网的信息处理装置,包括接收模块、处理模块、发送模块,接收模块负责接收核心网控制面的网络功能nfs通过sbi接口发送的http2消息,以及hss发送回来的diameter消息,并将http2消息和diameter消息传递给处理模块;处理模块分别解析收到的http2消息和diameter消息,将关于鉴权请求的http2消息与diameter消息做对应的映射,根据不同的http2消息和diameter消息类型进行对应的业务处理之后交给发送模块;发送模块将处理模块解析和处理后的diameter消息发送到hss进行鉴权向量的生成,以及将http2消息发送至对应的网络功能nfs。
进一步的,所述的http2消息包括http2请求消息和http2响应消息;所述的diameter消息包括diameter请求消息和diameter响应消息。
第二方面,本发明提供一种http2消息和diameter消息相互转换的方法,采用上述信息处理装置,将http2消息转换为diameter消息,或者将diameter消息转换为http2消息;
将http2消息转换为diameter消息的方法为:所述的信息处理装置将amf发送的注册请求的http2消息中所带的json数据中key为永久订阅标识符或隐藏订阅标识符的值编码成diameter消息中用户名属性值对的鉴权请求的diameter消息后发送给hss;
将diameter消息转换为http2消息的方法为:所述的信息处理装置将hss发送的鉴权请求响应的diameter消息中的epc鉴权四元组中的rand、autn,以及由信息处理装置根据鉴权方法的选择将epc鉴权四元组中其余的鉴权参数按照预设的鉴权算法计算得到鉴权向量,将其序列化成json形式的5g鉴权数据,就得到了鉴权请求消息的响应数据,将响应数据加入http2消息头部即成为鉴权请求响应的http2消息并返回给amf。
进一步的,如果是隐藏订阅标识符,应当解密之后得到永久订阅标识符再编码,如果是永久订阅标识符可以直接进行编码。
进一步的,所述的epc鉴权四元组由rand、autn、xres和kasme组成。
进一步的,所述的鉴权方法为5g-aka或eap-aka。
第三方面,本发明提供一种基于hss的5g核心网信息处理方法,包括以下步骤:
步骤s1、用户端发送注册请求的http2消息给接入网;
步骤s2、接入网将用户端的注册请求的http2消息转发给amf;
步骤s3、amf将注册请求的http2消息发送给权利要求1所述的信息处理装置;
步骤s4、信息处理装置按照上述http2消息和diameter消息相互转换的方法,将注册请求的http2消息转换为鉴权请求的diameter消息后发送给hss;
步骤s5、hss发送鉴权请求响应的diameter消息给信息处理装置;
步骤s6、信息处理装置按照上述http2消息和diameter消息相互转换的方法,将鉴权请求响应的diameter消息转换为鉴权请求响应的http2消息并返回给amf;
步骤s7、amf通过接入网向用户终端发起鉴权请求;
步骤s8、用户终端通过接入网返回鉴权响应给amf;
步骤s9、amf向信息处理装置发起鉴权确认请求;
步骤s10、信息处理装置处理后返回鉴权确认响应给amf,完成鉴权流程;
步骤s11、amf向信息处理装置发送统一数据管理服务接口的上下文管理注册服务操作请求的http2消息;
步骤s12、信息处理装置将注册服务操作请求的http2消息中的永久订阅标识符、公共陆地移动网络号、接入类型的消息元素和位置更新请求消息中的用户名属性对、拜访公共陆地移动网络号属性对、接入类型属性对进行转换;
步骤s13、信息处理装置向hss发送位置更新请求消息;
步骤s14、hss返回位置更新响应消息;
步骤s15、信息处理装置返回统一数据管理服务接口的上下文管理注册服务操作请求响应消息给amf;
步骤s16、amf向信息处理装置发起统一数据管理服务接口的订阅数据的获取服务操作请求;
步骤s17、信息处理装置将位置更新响应消息中订阅数据和统一数据管理服务接口的订阅数据管理服务响应消息中的消息元素进行映射转换处理;
步骤s18、信息处理装置返回统一数据管理服务接口的订阅数据管理服务操作响应给amf。
本发明的有益效果在于:
本发明提供了hd_msg_proc的装置,使得在epc的hss的基础上支持5gc的udm和ausf的协议处理,减少了数据迁移硬件升级等操作,实现无需部署udm/ausf的5gc。本发明的信息处理方法,将5gc和epc鉴权所对应ie进行映射,使得hss可以支持5gc鉴权流程,从而实现5gc的部署以及对原有epc的支持。
附图说明
图1-1为3gpp非漫游的5gc参考架构图;
图1-2为非漫游epc参考架构图;
图2-1为本发明的信息处理装置单独外置的核心网组网架构图;
图2-2为本发明的信息处理装置部署在hss内的核心网组网架构图;
图3为本发明的信息处理装置的结构示意图;
图4为本发明的信息处理装置的处理流程示意图;
图5为本发明的信息处理方法的流程图之一;
图6为本发明的信息处理方法的流程图之二。
具体实施例
下面结合附图对本公开实施例进行详细描述。
以下通过特定的具体实例说明本公开的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本公开的其他优点与功效。显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。本公开还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本公开的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
实施例一
本实施例提供一种基于hss的5g核心网信息处理装置(http2-diameter_msg——processer,以下简称hd_msg_proc),如图3所示,包括接收模块、处理模块、发送模块;接收模块负责接收5g核心网控制面amf、smf或其他核心网控制面nfs通过sbi接口发送的http2消息,以及hss发送回来的diameter消息,并将http2消息和diameter消息传递给处理模块;处理模块分别解析收到的http2消息和diameter消息,将关于鉴权请求的http2消息与diameter消息做对应的映射,根据不同的http2消息和diameter消息类型进行对应的业务处理之后交给发送模块;发送模块将处理模块解析和处理后的diameter消息发送到hss,进行鉴权向量的生成以及将http2消息发送至对应的nfs。
http2消息包括http2请求消息和http2响应消息。diameter消息包括diameter请求消息和diameter响应消息。
diameter消息是指头部包括20个字节,头4个字节是8比特的版本信息和24比特的消息长度(包括消息头长度)。随后的4个字节是8比特的消息标志位和24比特的命令代码。命令代码用来表示这个消息所对应的命令,请求消息和相应的回答消息共享一个命令应用标识、逐跳标识和端到端标识都有4个字节,其中应用标识用以指示消息适用的应用,逐跳标识用于判断请求与应答的对应关系,而端到端标识主要用于重复消息的检查。
消息头部后的全部字节就是消息的具体内容,以avp的形式逐个头尾衔接。avp的格式也是由头部和数据组成的,结构为:头4个字节是avp代码,下4个字节由8比特的avp标志和24比特的avp长度(包括avp头部长度)构成,avp标志用于通知接收端如何处理这个属性。头部后的字节就是数据内容。avp内的数据类型包括字符串、32比特整数、64比特整数、32比特浮点数、64比特浮点数以及avp组等。
hd_msg_proc最核心的为处理模块,处理模块实现hss支持udm/ausf,其主要工作是http2消息和diameter转换。epc中mme向hss发起鉴权请求采用diameter协议进行通信,到了5gc,nfs通过sbi接口采用http2协议进行通信;且5gc分为5gaka和eap-aka两种鉴权方式,5g-aka鉴权方式下udm生成的鉴权向量为rand、autn、xres*和kausf,epc中hss生成的鉴权向量为rand、autn、xres和kasme。处理模块最核心的功能即为将有关鉴权请求的http2消息(authentication-informationrequest鉴权请求消息)转换为diameter消息发送给hss,然后处理从hss返回的diameter(authentication-informationanswer鉴权请求响应)消息,用得到的xres计算出xres*,以及计算出kausf、hxres*、kseaf。http2消息转换diameter消息主要是要从http2消息中解析出所需的ie,并将这些ie按照diameter协议封装。
除了鉴权相关的消息不同,由于hss的功能在5gc中被分离成udm和ausf两个功能,5gc中还有一个amf向udm发送注册请求的流程,udm响应成功则会返回对应的用户签约数据。epc中鉴权完成后amf向hss发起updatelocation请求,hss会回应update-location应答,将用户的签约数据返回。这里就涉及在注册请求/响应消息nudm_uecm_registrationsreques/responset和位置更新请求/响应消息updatelocationrequest/answer的映射转换。
在hd_msg_proc装置上配置其ip地址、端口号、证书和私钥。端口号用于区分消息的类型,发至udm和发至ausf的http2消息以及发至hss的diameter消息各占一个端口号。证书和私钥主要是用于http2消息的加解密。
hd_msg_proc可以是一个独立的装置单独部署在hss之外,也可以作为一个扩展的部件部署在hss之中。hd_msg_proc需要向所属核心网的nrf进行注册,或者是直接配置对端网元,如amf、smf等的ip地址和端口等信息。
hd_msg_proc装置实现了5gcudm/ausf的n8/10/12/13接口的http2消息和epchss的s6a接口的diameter消息的处理和接收发送,以及最关键的http2消息和diameter消息的转换处理,5g鉴权方式的选择以及鉴权向量xres与xres*的转换和kausf、hxres*、kseaf的计算。
采用hd_msg_proc的5g核心网组网架构图如图2-1和图2-2所示。
实施例二
本实施例提供一种基于hss的5g核心网信息处理方法,该方法的重点在于http2消息和diameter消息的相互转换。diameter协议是epc用于认证授权和计费的,到了5gc,考虑到了控制面和数据面分离、虚拟化部署以及安全性等因素,设计出了一种基于服务的框架。应用层采用全新的协议http2,相对http,http2语义不变,但是增加了安全性、拥塞控制、头部压缩以及服务推送等诸多特性。本方法的提出是为了将两种协议进行映射转换,以实现hd_msg_proc的核心功能使得hss可以支持udm和ausf,支持5gue的接入和服务。
本发明的基于hss的5g核心网信息处理方法的鉴权流程如图5所示,http2消息和diameter消息的转换主要是在鉴权请求和回复的过程。amf通过其namf接口发出终端认证ue-authentications的http2post请求消息到hd_msg_proc。选择了鉴权方式之后(5gaka或者eapaka),开始diameter消息的编码。本发明的方法的具体步骤包括:
步骤s1、用户端ue发送注册请求的http2消息给接入网(r)an;
步骤s2、接入网(r)an将用户端ue的注册请求的http2消息转发给接入和移动性管理功能实体amf;
步骤s3、接入和移动性管理功能实体amf将注册请求的http2消息发送给实施例一所述的信息处理装置hd_msg_proc;
步骤s4、信息处理装置hd_msg_proc将注册请求的http2消息中所带的json数据中key为永久订阅标识符或隐藏订阅标识符(supiorsuci,即epc中的imsi)的值编码成diameter消息中用户名属性值对(user-nameavp,attribute-value-pairs)的鉴权请求的diameter消息后发送给hss。
如果是隐藏订阅标识符suci(加密的supi),应当解密之后得到永久订阅标识符supi再编码,如果是supi可以直接用supi进行编码。
信息处理装置hd_msg_proc将注册请求消息中所带的json数据中key为“服务网络名称”(servingnetworkname)的值中mmc mnc(即plmnid)编码成diameter消息中拜访公共陆地移动网络visited-plmn-id。例如:servingnetworkname:5g:mnc000.mcc460.3gppnetwork.org这个值,将mnc数字部分000,和mcc的460提取出来组合成460000。
步骤s5、hss发送鉴权请求响应的diameter消息给信息处理装置hd_msg_proc;
步骤s6、信息处理装置hd_msg_proc将鉴权请求响应(authentication-informationanswer)的diameter消息中的鉴权信息消息元素(authentication-info)中epc鉴权四元组(rand、autn、xres、kasme)中rand、autn以及由信息处理装置hd_msg_proc根据鉴权方法的选择将其余的鉴权参数按照预设的鉴权算法形成鉴权向量序列化成json形式的5g鉴权数据5gauthdata就得到了鉴权请求消息ue-authenticationrequest的响应数据。将响应数据加入http2消息头部即成为鉴权请求响应消息并返回给接入及移动性管理功能实体amf。
例如,在5g-aka鉴权方式中,通过hss返回的xres进一步按照预设算法推导出xres*,根据xres*,处理模块计算hxres*,hxres*可用于计算kseaf。最终组成json数据{“5gauthdata”:{“aunt”:”xxx”,”hxresstar”:”xxxxx”,”rand”:”xxxx”}}的鉴权向量返回给amf。
表1鉴权相关消息http2和diameter的映射
步骤s7、接入及移动性管理功能实体amf通过接入网(r)an向用户终端ue发起鉴权请求;
步骤s8、用户终端ue通过接入网(r)an返回鉴权响应给amf。
步骤s9、amf向信息处理装置hd_msg_proc发起鉴权确认请求。
步骤s10、信息处理装置hd_msg_proc处理后返回鉴权确认响应给amf,完成鉴权流程。
鉴权完成后,执行剩余注册流程,总体步骤见图6:
步骤s11、接入及移动性管理功能实体amf向信息处理装置hd_msg_proc发送统一数据管理服务接口的上下文管理注册服务操作请求nudm_uecm_registration的http2消息。
步骤s12、信息处理装置hd_msg_proc将注册服务操作请求的http2消息中的永久订阅标识符supi、公共陆地移动网络号plmnid、接入类型rattype这些消息元素和位置更新update-location请求消息中的用户名属性对user-name(imsi)、拜访公共陆地移动网络号属性对visited-plmn-id、接入类型属性对rattype进行转换。update-location请求以下简称(ulr)中的必选消息元素,ulrflags需根据统一数据管理服务接口的上下文管理注册服务操作nudm_uecm_registration请求消息中一些非必选消息元素的值进行转换。
具体请看表2:
表2ulr消息中http2和diameter的映射
步骤s13、信息处理装置hd_msg_proc向hss发送位置更新请求消息(ulr)。
步骤s14、hss返回位置更新响应update-locationanswer消息(以下简称ula)。
步骤s15、信息处理装置hd_msg_proc返回统一数据管理服务接口的上下文管理注册服务操作请求响应消息给接入和移动性管理功能实体amf。
步骤s16、接入和移动性管理功能实体amf向信息处理装置hd_msg_proc发起统一数据管理服务接口的订阅数据获取服务操作nudm_sdm_get请求。
步骤s17、信息处理装置hd_msg_proc将之前位置更新响应消息中订阅数据subscriptiondata和统一数据管理服务接口的订阅数据管理服务操作nudm_sdm_get响应消息中的消息元素进行映射转换处理。具体见表3:
表3ula消息中http2和diameter的映射
步骤s18、信息处理装置hd_msg_proc返回统一数据管理服务接口的订阅数据管理服务操作响应给amf。
以上仅为说明本发明的实施方式,并不用于限制本发明,对于本领域的技术人员来说,凡在本发明的精神和原则之内,不经过创造性劳动所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
1.一种基于hss的5g核心网的信息处理装置,其特征在于:包括接收模块、处理模块、发送模块,接收模块负责接收核心网控制面的网络功能nfs通过sbi接口发送的http2消息,以及hss发送回来的diameter消息,并将http2消息和diameter消息传递给处理模块;处理模块分别解析收到的http2消息和diameter消息,将关于鉴权请求的http2消息与diameter消息做对应的映射,根据不同的http2消息和diameter消息类型进行对应的业务处理之后交给发送模块;发送模块将处理模块解析和处理后的diameter消息发送到hss进行鉴权向量的生成,以及将http2消息发送至对应的网络功能nfs。
2.根据权利要求1所述的一种基于hss的5g核心网的信息处理装置,其特征在于:所述的http2消息包括http2请求消息和http2响应消息;所述的diameter消息包括diameter请求消息和diameter响应消息。
3.一种http2消息和diameter消息相互转换的方法,其特征在于:采用权利要求1所述的信息处理装置,将http2消息转换为diameter消息,或者将diameter消息转换为http2消息;
将http2消息转换为diameter消息的方法为:所述的信息处理装置将amf发送的注册请求的http2消息中所带的json数据中key为永久订阅标识符或隐藏订阅标识符的值编码成diameter消息中用户名属性值对的鉴权请求的diameter消息后发送给hss;
将diameter消息转换为http2消息的方法为:所述的信息处理装置将hss发送的鉴权请求响应的diameter消息中的epc鉴权四元组中的rand、autn,以及由信息处理装置根据鉴权方法的选择将epc鉴权四元组中其余的鉴权参数按照预设的鉴权算法计算得到鉴权向量,将其序列化成json形式的5g鉴权数据,就得到了鉴权请求消息的响应数据,将响应数据加入http2消息头部即成为鉴权请求响应的http2消息并返回给amf。
4.根据权利要求3所述的一种http2消息和diameter消息相互转换的方法,其特征在于:如果是隐藏订阅标识符,应当解密之后得到永久订阅标识符再编码,如果是永久订阅标识符可以直接进行编码。
5.根据权利要求3所述的一种http2消息和diameter消息相互转换的方法,其特征在于:所述的epc鉴权四元组由rand、autn、xres和kasme组成。
6.根据权利要求3所述的一种http2消息和diameter消息相互转换的方法,其特征在于:所述的鉴权方法为5g-aka或eap-aka。
7.一种基于hss的5g核心网信息处理方法,其特征在于:包括以下步骤:
步骤s1、用户端发送注册请求的http2消息给接入网;
步骤s2、接入网将用户端的注册请求的http2消息转发给amf;
步骤s3、amf将注册请求的http2消息发送给权利要求1所述的信息处理装置;
步骤s4、信息处理装置按照权利要求3所述的http2消息和diameter消息相互转换的方法,将注册请求的http2消息转换为鉴权请求的diameter消息后发送给hss;
步骤s5、hss发送鉴权请求响应的diameter消息给信息处理装置;
步骤s6、信息处理装置按照权利要求3所述的http2消息和diameter消息相互转换的方法,将鉴权请求响应的diameter消息转换为鉴权请求响应的http2消息并返回给amf;
步骤s7、amf通过接入网向用户终端发起鉴权请求;
步骤s8、用户终端通过接入网返回鉴权响应给amf;
步骤s9、amf向信息处理装置发起鉴权确认请求;
步骤s10、信息处理装置处理后返回鉴权确认响应给amf,完成鉴权流程;
步骤s11、amf向信息处理装置发送统一数据管理服务接口的上下文管理注册服务操作请求的http2消息;
步骤s12、信息处理装置将注册服务操作请求的http2消息中的永久订阅标识符、公共陆地移动网络号、接入类型的消息元素和位置更新请求消息中的用户名属性对、拜访公共陆地移动网络号属性对、接入类型属性对进行转换;
步骤s13、信息处理装置向hss发送位置更新请求消息;
步骤s14、hss返回位置更新响应消息;
步骤s15、信息处理装置返回统一数据管理服务接口的上下文管理注册服务操作请求响应消息给amf;
步骤s16、amf向信息处理装置发起统一数据管理服务接口的订阅数据获取服务操作请求;
步骤s17、信息处理装置将位置更新响应消息中订阅数据和统一数据管理服务接口的订阅数据管理服务操作响应消息中的消息元素进行映射转换处理;
步骤s18、信息处理装置返回统一数据管理服务接口的订阅数据管理服务操作响应给amf。
技术总结