功能

1、终端鉴权

2、提供关键材料

3、保护控制信息列表

交互

服务AUSF的NF网元介绍AUSF

5.1、简介

-    Nausf_UEAuthentication

-    Nausf_SoRProtection

-    Nausf_UPUProtection 

5.2、Nausf_UEAuthentication

5.2.1、服务描述

AUSF作为生产者为AMF提供UE鉴权服务。

为了提供这个服务，定义了如下服务操作：

-    Authenticate

此服务允许对UE进行身份验证，并提供一个或多个主密钥，AMF将这些主密钥用于派生的后续密钥。

5.2.2、服务操作

5.2.2.1 简介

-    Authenticate: 允许AMF为UE鉴权

5.2.2.2、Authenticate 

5.2.2.2.1、通用

“Authenticate”操作允许请求NF通过给AUSF提供如下信息去发起UE鉴权:

-    UE id (e.g. SUPI)论文网

-    Serving Network Name

AUSF从UDM中检索UE的订阅身份验证方法，根据UDM提供的信息，AUSF进入以下过程之一：

-    5G-AKA

-    EAP-based authentication' 

对于这两个不同的过程，AUSF会生成一个新的资源。资源的内容将取决于过程，并将返回给AMF。

5.2.2.2.2、5G AKA

在这个过程中，NF服务使用者（AMF）通过提供与UE相关的信息以及服务网络名称和5G AKA来请求对UE进行身份验证。

然后，NF服务使用者（AMF）应将从UE收到的结果返回给AUSF：

1、AMF发送POST消息给AUSF。主题的有效负载至少包含UE ID和Serving Network Name 。

2a、成功，返回“201 Created ”。有效载荷主体应包含所创建资源的表示，"Location" 头应包含所创建资源的URI（例如，../v1/ue_authentications/authctxid）。AUSF生成一个子资源“5g aka confirmation”。AUSF应向有效载荷中的该子资源提供一个超媒体链接，以向AMF表明其应在何处发送一个PUT以供确认。

2b、失败。。。。

3、根据关系类型，nf服务使用者（amf）推断，它应将包含由ue提供的“res*”的Put发送到ausf提供的或自己派生的uri。对于下列情况，NF服务使用者（AMF）还应向AUSF发送一份包含空值"RES*"，以表明其失败：

-如果未达到UE，并且nf服务使用者（amf）从未收到res*；

-在nf服务使用者（amf）中，hres*和hxres*的比较不成功；

-从用户端接收到认证失败，如同步失败或MAC失败；

4、成功。将返回"200 OK"。如果UE鉴权失败，AUSF将会把鉴权结果设置为AUTHENTICATION_FAILURE 

5.2.2.2.3              EAP-based authentication method