51学通信

深度解析 3GPP TR 21.916:15 User Identities, Authentication, multi-device (用户身份、认证与多设备)

21分钟阅读

深度解析 3GPP TR 21.916:15 User Identities, Authentication, multi-device (用户身份、认证与多设备)

本文技术原理深度参考了3GPP TR 21.916 V16.2.0 (2022-06) Release 16规范中,关于“15 User Identities, Authentication, multi-device”的核心章节,旨在为读者深入探讨5G时代“身份”的革命性演进——它如何超越一张小小的SIM卡,演变为一个与服务、设备、角色深度绑定的,灵活、安全、统一的数字身份新体系。

引言:你的5G身份,不止于一张SIM卡

在之前的探索中,我们已经见证了5G如何构建起强大的网络能力。但所有这些能力最终都要服务于一个主体——用户。在5G之前,我们在蜂窝网络中的身份,几乎完全等同于那张小小的SIM卡及其背后的签约(Subscription)。SIM卡决定了我们是谁,我们能用哪个网络,我们能享受什么服务。然而,在万物互联、角色多元的5G时代,这种单一、固化的身份体系,已经越来越难以满足新的需求。

Rel-16在第15章中,对5G的“身份体系”进行了一次深刻的、具有前瞻性的重塑。它要回答两个核心问题:

  1. 企业/行业应用中,如何将服务访问权限与“人”(或角色)的身份绑定,而不是与某台设备的SIM卡绑定?

  2. 在个人生活中,如何终结“一人多号多设备”的通信碎片化,实现“一个身份,通行所有设备;一个设备,承载多重角色”的融合体验?

为了深入理解这场身份革命,让我们隆重介绍本章的主角——伊芙琳·瑞德医生(Dr. Evelyn Reed)。她是一位顶尖的外科医生,在一家国际领先的智慧医院工作,同时她也运营着自己的私人线上咨询业务。她的工作与生活,完美地诠释了现代专业人士面临的“身份”挑战:

  • 挑战一(行业身份): 在医院,她需要通过她的个人手机,随时接入一个为远程机器人手术专设的、具有超高安全性和超低时延保障的**“手术级”网络切片**。医院IT部门关心的是“伊芙琳医生”这个角色是否有权限,而不是她用的是哪张电话卡。

  • 挑战二(个人身份): 她希望她的个人手机,既能接听私人电话,也能接听打到她“医院外科主刀医生”这个公开身份的电话。并且,当她回拨工作电话时,希望显示的也是医院的号码,而不是她的私人号码。同时,一个来电,她希望能在手机、办公室平板、智能手表上同时响起,并在任何一台设备上无缝接听。

伊芙琳医生的双重挑战,正是Rel-16在“用户身份、认证与多设备”这一章中要解决的核心问题。我们将跟随她的脚步,深入剖析两大关键技术:网络切片特定认证与授权(NSSAA),以及多设备与多身份(MuD/MiD)

1. 数字身份的“通行证”:网络切片特定认证与授权 (15.1 User Identities and Authentication)

伊芙琳医生接到紧急通知,需要立刻远程指导一台在中国上海的手术机器人进行一场精密操作。她需要立即将自己的手机接入医院专为远程手术搭建的、具有最高QoS保障的“跨国手术切片”。这个切片的访问权限,绝不能仅仅依赖一张普通的SIM卡认证。

传统的5G切片选择,主要基于UE上配置的NSSAI(网络切片选择辅助信息)和用户的签约数据。这在很大程度上仍是“以SIM卡为中心”的。Rel-16引入的NSSAA (Network Slice-Specific Authentication and Authorization),彻底改变了这一模式。

The feature allows the use of a User Identifier, which is independent of existing identifiers relating to a 3GPP subscription or UE, for Network Slice-Specific Authentication and Authorization.

NSSAA的核心思想,是引入一个独立于3GPP签约(SUPI)的**“用户标识符”(User Identifier)**,并为特定的网络切片执行一次独立的、额外的认证和授权流程。

1.1 认证流程:从“SIM卡准入”到“用户身份准入”

Now with the Rel. 16 feature, Subscription information allows the indication which S-NSSAIs are subject to Network Slice-Specific Authentication and Authorization (NSSAA). For those S-NSSAIs the AMF invokes an EAP-based Network Slice-Specific authentication procedure in which the AUSF exchanges AAA protocol messages with a potentially external AAA Server (AAA-S)…

场景解读:伊芙琳医生的“切片通行证”获取之旅

  1. 切片被“标记”: 医院的“跨国手术切片”所对应的S-NSSAI,在运营商的核心网(UDM)中,被特殊地标记为“需要NSSAA”。

  2. 发起连接: 伊芙琳医生在手机上选择接入该切片。她的手机在向网络发起注册(Registration)时,会带上这个特殊的S-NSSAI。

  3. AMF触发NSSAA: 核心网的AMF接收到请求后,发现这个切片需要NSSAA。于是,在完成了基于SIM卡的常规主认证之后,AMF并没有立刻允许访问,而是“暂停”了一下,并启动了NSSAA流程。

  4. “请证明你是伊芙琳医生”: AMF通过AUSF(认证服务器功能),发起一个基于EAP(可扩展认证协议)的二次认证。这个认证请求,通过AAA协议,被代理转发到了**医院自己的认证服务器(AAA-S)**上。

  5. 身份验证: 此时,伊芙琳医生的手机上会弹出一个认证界面(由EAP框架驱动),要求她输入医院的工号和密码,或者进行指纹/面容识别。这些凭证被安全地传送到医院的AAA服务器进行验证。

  6. 授权与接入: 医院的AAA服务器确认了“来者正是伊芙琳医生本人”,并确认她此刻有权限执行远程手术。于是,它向5G核心网返回“认证成功并授权访问”的结果。AUSF将结果通知AMF,AMF这才正式允许伊芙琳医生的手机接入“跨国手术切片”,并为其建立具有相应QoS保障的PDU会话。

1.2 核心价值:企业自主可控的安全“钥匙”

Depending on the result of the procedure a UE is either authorized for a network slice, re-allocated to a different one or deregistered. A re-authentication and re-authorization procedure may be triggered by the AAA Server at any time.

NSSAA的价值是革命性的:

  • 访问控制权回归企业: 切片能否被访问,最终的决定权,从运营商手中,交还给了企业自己(通过企业的AAA服务器)。医院可以根据自己的安全策略,随时授权或撤销某位医生的访问权限,而无需通知运营商。

  • 身份与设备解耦: 授权的对象是“伊芙琳医生”这个用户身份,而不是她的某张SIM卡或某台设备。无论她用的是个人手机、医院发的平板,还是临时借用的一台设备,只要能通过医院的身份认证,就能接入该切片。

  • 动态与灵活: 医院的AAA服务器可以在任何时候,主动发起对伊芙琳医生的“重认证”,或者直接撤销其授权(例如,手术结束后),5G网络会根据指令,立即终止该UE对切片的访问。

对于伊芙琳医生所在的智慧医院而言,NSSAA就像是为每一个高度机密的网络切片,都配备了一把由医院自己掌控的、基于角色的“数字门禁卡”,其安全性、灵活性和自主可控性都得到了前所未有的提升。

2. 融合通信的未来:多设备(MuD)与多身份(MiD) (15.2 Multi-device and multi-identity)

结束了紧张的手术指导,伊芙琳医生回归到日常的门诊和咨询工作。此时,她的“身份”挑战从B端转向了C端——如何优雅地管理自己“医生”和“生活者”的双重角色,以及手机、平板、手表等多个设备之间的通信。

Rel-16的**MuD(Multi-Device)MiD(Multi-Identity)**特性,正是为解决这种“数字身份碎片化”而生。它们都是基于IMS(IP多媒体子系统)的增强功能。

The “Multi-device and multi-identity” (MUD) Feature enables the realization of the IMS enhancement for Multi-device and multi-identity.

2.1 MiD:一部手机,多重“面具”

The Multi-Identity (MiD) service is an operator specific service which enables a user to use different identities. A served user can use a single UE to receive calls addressed to any of its identities and to make calls using any of its identities.

MiD(多身份)服务,让伊芙琳医生可以在一部手机上,同时管理多个电话号码(身份)。

  • 呼入统一: 无论是打到她私人号码的电话,还是打到医院前台转接给“外科主刀医生”这个工作号码的电话,最终都会在她的手机上响起,并清晰地标明是“呼叫私人”还是“呼叫工作”。

  • 呼出选择: 当她需要回访一位病人时,她可以在拨号前,简单地选择本次呼叫使用“工作号码”作为主叫号码。这样,病人手机上看到的来电显示就是医院的总机号码,保护了她的个人隐私。

场景解读: MiD为伊芙琳医生提供了一个完美的“公私分离”解决方案。她不再需要携带两部手机,或者频繁更换SIM卡。一部手机,就能承载她的多重社会角色,并让她在不同角色间自由、无缝地切换。

2.2 MuD:一个号码,处处可达

The Multi-Device (MuD) service is an operator specific service which enables a user to use different UEs that are registered under the same public user identity. The UEs can be of different types (e.g. phone, tablet, wearable device, PC) and can support a communication log.

MuD(多设备)服务,则解决了“一个身份”在多个设备上的呈现问题。

  • 来电同振: 当有电话呼叫伊芙琳医生的主号码时,她的手机、办公室的平板电脑、手腕上的智能手表,会同时振铃。她可以选择在最方便的一台设备上接听。

  • 体验一致: 当她在平板上接听了电话,手机和手表会自动停止振铃。通话记录、未接来电、语音留言等,会在所有设备之间自动同步。她不会在手机上处理完一个未接来电后,发现平板上还有一个红点在闪烁。

场景解读: MuD为伊芙琳医生提供了极致的便利性和无缝的体验。无论她身处何处,使用哪台设备,都不会错过任何重要来电。她可以随时随地,以最自然的方式接入她的通信世界。

The MuD and MiD services can be used at the same time.

更强大的是,MuD和MiD可以同时使用。这意味着,无论是她的私人号码还是工作号码的来电,都可以在她的所有设备上同时响起,她可以在任何一台设备上,选择以任何一个身份进行接听或回拨。这构建了一个真正以“用户”为中心的、跨越设备和角色界限的融合通信体验。

总结:身份的重塑,价值的延伸

通过对第15章的深度解读,我们看到了Rel-16在“身份”这一核心概念上的深刻洞察与创新。它不再将身份与物理的SIM卡死板地绑定,而是将其重塑为一个更灵活、更强大、更以人为本的数字概念。

  • 对于行业(B端)NSSAA通过将认证授权与用户/角色身份挂钩,将网络能力的安全控制权交还给企业,为高价值、高安全的网络切片商业模式铺平了道路,这是5G to B价值实现的关键一步。

  • 对于个人(C端)MuD/MiD通过打破设备与号码之间的壁垒,解决了现代人多设备、多角色的通信碎片化痛点,提供了运营商级的、无缝融合的通信体验,极大地提升了用户粘性。

对于伊芙琳医生而言,Rel-16的身份革命,让她在专业领域获得了更安全、更自主的连接,在个人生活中获得了更便捷、更统一的沟通。对于整个5G生态而言,这场身份的重塑,则意味着价值的延伸——5G不再仅仅是售卖连接,更是开始提供基于身份的、差异化的、高附加值的服务。

FAQ环节

Q1:NSSAA和我们平时登录App需要输入用户名密码有什么本质区别?

A1:本质区别在于认证的主体和作用的层面不同。登录App是应用层的认证,它只决定了你是否能使用这个App的功能。而NSSAA是网络层的认证,它决定了你的设备是否能够接入到一个特定的、具有特殊网络资源(如超低时延、物理隔离)的网络切片。NSSAA成功后,你才获得了使用这条“VIP网络通道”的资格,运行在这个通道上的所有应用(无论是否需要再次登录)都将享受到这个切片提供的网络能力。

Q2:如果我的企业使用了NSSAA,是否意味着运营商就完全无法控制我的网络访问了?

A2:不是的。NSSAA是一种分层、协同的控制机制。运营商仍然掌控着最基础的网络准入(基于SIM卡的主认证)、资源分配、移动性管理等。企业通过NSSAA获得的,是针对特定切片访问授权控制权。可以理解为,进入一个大厦(运营商网络)的门禁卡,还是由物业(运营商)发放;但进入大厦内某个高度机密的实验室(特定切片)的第二道门禁,其钥匙则由实验室自己(企业)管理。

Q3:MuD/MiD服务是手机OS的功能,还是运营商提供的服务?

A3:这是运营商提供的、基于IMS核心网的电信级服务,但需要手机OS和终端进行配合。它与手机OS自带的多账户功能或第三方VoIP应用有本质不同。MuD/MiD是在网络侧实现的,保证了无论你用的是哪个品牌的手机、平板,只要登录了同一个运营商账户,就能获得一致的体验。它提供了电话网络最底层的可靠性和服务质量,这是OTT应用无法比拟的。

Q4:使用MiD服务时,我如何区分来电是打给哪个号码的?切换主叫号码方便吗?

A4:这通常通过终端(如手机的原生拨号器)与IMS网络的深度集成来实现。当有电话呼入时,网络会在信令中携带被叫号码的信息,手机OS可以解析这个信息,并在来电界面上清晰地显示“来电呼叫:私人号码”或“来电呼叫:工作号码”。在呼出时,原生拨号器也会提供一个简单的选项(如下拉菜单或按钮),让你在拨号前选择本次通话使用哪个身份(号码)作为主叫。

Q5:NSSAA听起来很强大,它会成为未来企业专网的主流认证方式吗?

A5:非常有潜力成为主流方式之一,尤其是在**PNI-NPN(公共网络集成NPN)**这种专网部署模式下。对于希望利用运营商网络能力,但又对安全和访问控制有极高要求的企业(如金融、医疗、政府),NSSAA提供了一个完美的解决方案。它将专网的灵活性、安全性与公网的覆盖、运维优势完美地结合在了一起,是推动5G切片即服务(Slicing-as-a-Service)商业模式走向成熟的关键技术。

关系图谱