本文技术原理深度参考了3GPP TS 23.501 V18.9.0 (2025-03) Release 18规范中，关于“5.39 至 5.42”的核心章节，旨在为读者提供一个5G核心网如何支持远程凭证配置、灾备漫游、RedCap终端差异化以及非无缝WLAN卸载等一系列高级特性与特定场景解决方案的全景视图。

深度解析 3GPP TS 23.501：5.39-5.42 远程配置、灾备漫游与终端新能力

欢迎回到“解构5G核心网”系列。在之前的文章中，我们已经深入探讨了5G网络的核心架构、切片、计费等宏大主题。今天，我们将聚焦于一系列看似“小众”但却至关重要的特定能力。这些能力如同5G的“特种工具箱”，旨在解决一些极端、特殊但又极具价值的场景，展现了5G设计的深度、广度和灵活性。

本篇，我们将一次性打包解读规范中的四个关键章节：

• 5.39 远程凭证配置 (Remote provisioning of credentials): 解决海量物联网设备“身份”从何而来的问题。

• 5.40 灾备漫游 (Support of Disaster Roaming): 探讨在极端灾难下，网络如何提供“生命线”通信。

• 5.41 NR RedCap终端差异化 (NR RedCap and NR eRedCap UEs differentiation): 揭示5G如何为中速率物联网设备“量体裁衣”。

• 5.42 非无缝WLAN卸载 (Support of Non-seamless WLAN offload): 分析UE如何智能地将流量“甩”到Wi-Fi网络以节省蜂窝数据。

为了将这些看似不相关的技术点串联起来，让我们进入今天的综合场景：“未来城市（Future City）”。这座新兴的智慧城市正在大规模部署其5G基础设施，其中包括一个覆盖全市的公共5G网络，以及一个用于城市公共安全和管理的独立SNPN（独立非公共网络）。

• 张工，作为“未来城市”网络项目的总架构师，正面临着如何为市内数万个环境传感器自动配置网络凭证的挑战。

• “守护者一号”，一架隶属于城市应急管理中心的公共安全无人机，它的通信签约在城市的SNPN。

• 突然，一场突如其来的地震摧毁了城市SNPN的核心机房，但公共运营商的网络依然部分可用。“守护者一号”能否继续执行勘灾任务？

• 与此同时，城市中大量的环境传感器（RedCap设备）和市民的普通手机，在灾后如何智能地利用尚存的公共Wi-Fi热点，也成了网络面临的一大考验。

我们将跟随张工和“守护者一号”的视角，共同见证5G的这些高级特性是如何在平时的高效运维和灾时的紧急响应中发挥关键作用的。

---

1. “空中发证”：海量物联网设备的远程凭证配置 (5.39)

在“未来城市”中，部署了数以万计的智能井盖、空气质量监测器等物联网设备。为每一台设备都手动安装SIM卡，显然是不现实的。远程凭证配置功能，就是为了解决这一大规模部署的“身份”难题。

The UE’s subscribed network (i.e. HPLMN, or subscribed SNPN) may provide functionalities to provision or update the credentials used for NSSAA or credentials used for secondary authentication/authorization to the UE. The provisioning procedure is supported via User Plane.

1.1 核心理念：从“出厂设置”到“正式身份”

• 问题： 海量物联网设备在出厂时，通常只有一个基础的、用于引导的“默认凭证”。它不知道自己未来将被部署在哪个网络，更没有访问高安全等级网络切片（需要NSSAA）或特定企业应用（需要二次认证）的正式凭证。

• 解决方案： 允许UE在建立一个基础的、受限的PDU会话后，通过用户面（User Plane）安全地连接到一个PVS（Provisioning Server，配置服务器），并从中下载它所需要的正式凭证。

1.2 配置与发现流程 (5.39.2 Configuration for the UE)

UE Configuration Data for UP Remote Provisioning consist of PVS IP address(es) and/or PVS FQDN(s). The PVS IP address or PVS FQDN may be associated with dedicated DNN(s) and/or S-NSSAI(s).

1. PVS地址的获取： UE必须首先知道PVS的地址。这个地址可以通过以下方式获得：

   • UE预配置： 在设备出厂时就预先配置好。

   • 网络下发： UE在初始注册后，SMF可以在PDU会话建立的PCO（协议配置选项）中，将PVS的地址下发给UE。

2. 建立受限连接： UE使用一个通用的DNN/S-NSSAI建立一个PDU会话。这个会话可能受到网络的严格限制，例如，UPF被配置为只允许访问PVS的IP地址，所有其他流量都被阻断。

3. 下载凭证： UE通过这条安全的用户面通道，连接到PVS，并下载用于NSSAA或二次认证的加密凭证包。

4. 应用新凭证： 凭证下载并安全地存储到UE后，UE就可以使用这些新凭证，去请求需要更高安全等级的服务了。

1.3 场景代入：数万传感器的“激活仪式”

张工面临的挑战是为“未来城市”的10万个环境传感器配置SNPN的接入凭证。

1. 出厂状态： 这些传感器出厂时，只配置了公共运营商的基础物联网签约和一个指向运营商PVS服务器的FQDN。

2. 首次上电： 传感器被安装在城市的各个角落并上电。它们使用自己的公网签约，建立了一个基础的PDU会话。

3. 连接PVS： 传感器根据预置的FQDN，通过这个PDU会话连接到了运营商的PVS。

4. 远程发放： PVS根据每个传感器的唯一设备ID（PEI），从其数据库中找到了由“未来城市”SNPN管理方预先上传的、与该设备绑定的SNPN凭证。PVS将这些凭证（包括新的SUPI、密钥、SNPN ID等）安全地推送并安装到传感器中。

5. 切换身份： 凭证安装完成后，传感器立即使用新的SNPN凭证，重新选择并注册到了“未来城市”的SNPN网络上，正式成为城市专网的一员。

这个“空中发证”的流程，实现了海量设备的零接触、自动化部署。

---

2. “生命线通信”：灾备漫游机制 (5.40)

当地震来袭，“未来城市”的SNPN核心机房损毁，“守护者一号”无人机与它的归属网络失联。此时，保障其通信的唯一希望，就是灾备漫游。

Subject to operator policy and national/regional regulations, 5GS provides Disaster Roaming service for the UEs from PLMN(s) with Disaster Condition. The UE shall attempt Disaster Roaming only if:

• there is no available PLMN which is allowable…

• the UE is not in RM-REGISTERED and CM-CONNECTED state over non-3GPP access…

• the UE supports Disaster Roaming service;

• the UE has been configured by the HPLMN with an indication of whether Disaster roaming is enabled…

2.1 灾备漫游 vs. 普通漫游

• 普通漫游： 是UE主动选择的结果，基于商业协议，发生在HPLMN可用的情况下。

• 灾备漫游： 是UE在HPLMN不可用，且没有其他可用PLMN时的最后手段。它是一种紧急机制，需要得到HPLMN的预先授权和VPLMN的接纳。

2.2 触发与注册流程

1. 灾难发生： HPLMN（未来城市SNPN）出现大面积故障。

2. VPLMN广播： 仍在运行的公共运营商网络（VPLMN），根据政府指令或运营商间协议，开始在其广播信息中包含一个**“Disaster Condition”**的指示，告知区域内的UE“我这里可以提供灾备漫游服务”。

3. UE决策： “守护者一号”在多次尝试连接其归属SNPN失败后，检测到了这个广播。它检查自身的配置（由HPLMN预先下发），发现自己被授权使用灾备漫游。

4. 特殊注册： UE向VPLMN的AMF发起一个特殊的注册请求，其注册类型为**"Disaster Roaming Initial Registration"**。

5. VPLMN处理： VPLMN的AMF收到请求后，会启动一个特殊的鉴权和接纳流程。它可能会尝试与HPLMN的部分可用功能（如仍在运行的UDM）进行通信以验证用户，或者在无法联系HPLMN的情况下，根据本地策略进行有限度的接纳。

6. 受限服务： 注册成功后，UE在VPLMN中通常只能获得受限的服务，例如，只能访问紧急服务相关的DNN，或者被限制在灾区范围内活动。

2.3 场景代入：“守护者一号”的绝境重生

1. 地震后，SNPN核心网宕机，“守护者一号”与指挥中心失联。

2. 无人机在空中盘旋，其通信模块不断尝试重连SNPN，均告失败。

3. 它扫描到了附近一个公共运营商基站的信号，并在广播中发现了“Disaster Roaming”的指示。

4. 无人机的配置允许灾备漫游。它立即向这个公共网络发起了Disaster Roaming Initial Registration。

5. 公共网络的AMF通过与HPLMN预先建立的紧急接口，验证了“守护者一号”的公共安全设备身份，并接纳了它的注册。

6. AMF为它建立了一个连接到紧急服务数据网的PDU会話。“守护者一号”成功地将第一批灾区的高清影像，通过这张“借来”的网络，传回了应急指挥中心。

---

3. “轻装上阵”：NR RedCap终端差异化 (5.41)

RedCap（Reduced Capability），即“能力缩减”，是3GPP为中档物联网场景量身打造的一种新型UE类别。它填补了eMBB（高速率，高成本）和LPWA（如NB-IoT，极低速率，极低成本）之间的巨大空白。

An NR RedCap UE or NR eRedCap UE using NR shall provide an NR RedCap indication or respectively an NR eRedCap indication to the NG-RAN during RRC Connection Establishment procedure… When the AMF receives an NR RedCap Indication… the AMF shall store the NR RedCap Indication in the UE context, consider that the RAT type is NR RedCap and signal it accordingly…

核心思想：

RedCap通过在带宽、天线数量、调制阶数等方面进行“减配”，在保证比NB-IoT更高性能（如更高带宽、更低时延、支持移动性）的同时，大幅降低了终端的成本、尺寸和功耗。

网络如何识别和差异化处理RedCap UE？

1. UE自报家门： RedCap UE在RRC连接建立时，就会向NG-RAN明确表明自己的“RedCap”身份。

2. RAN通知AMF： NG-RAN在INITIAL UE MESSAGE中将这个RedCap Indication上报给AMF。

3. AMF记录在案并全网通知： AMF将“RedCap”作为该UE的一种特殊RAT类型记录在上下文中，并通知所有相关的NF：

   • 通知SMF/PCF： SMF和PCF可以根据这个身份，为RedCap设备应用不同的QoS策略和计费标准。

   • 通知CHF： CHF可以根据RAT类型，生成差异化的计费详单。

场景代入： “未来城市”的环境传感器正是RedCap设备。它们需要比NB-IoT更高的速率来上报高清图片或进行远程固件升级，但又不需要智能手机那样的Gbps带宽。

• 当一个传感器上报数据时，AMF和SMF知道它是一个RedCap设备。

• SMF可能会为其分配一个专为RedCap设计的、中等带宽的QoS Flow。

• CHF会根据其RedCap的身份，按照更低的“物联网流量”费率进行计费。

这使得张工能够以更经济的成本，为这些中档物联网设备提供比NB-IoT更优质的服务。

---

4. “智能分流”：非无缝WLAN卸载 (5.42)

在网络覆盖良好的区域，如何智能地利用无处不在的Wi-Fi来节省昂贵的蜂窝流量？这就是非无缝WLAN卸载（Non-seamless WLAN offload）的作用。

A UE supporting Non-seamless WLAN offload may, while connected to WLAN access, route specific data flows via the WLAN access without traversing the 5GC. These UE data flows are identified using URSP configuration…

核心机制：

• URSP规则驱动： 决策的核心在UE侧的URSP规则。运营商可以配置一条规则，指示UE“对于某些应用（如浏览器、应用商店下载），如果检测到可用的Wi-Fi，则直接通过Wi-Fi连接互联网，不要为它建立PDU会话”。

• 流量不经过5GC： 这是它与ATSSS最大的区别。被卸载的流量，从UE发出后，直接通过Wi-Fi路由器进入互联网，完全不经过5GC的任何网元（UPF, SMF等）。

• 5G凭证认证 (5G NSWO): 为了安全，UE在连接到一个受信任的公共Wi-Fi时，可以使用其5G的SIM卡凭证进行认证。这个认证过程需要通过网络侧的**NSWOF（Non-Seamless WLAN Offload Function）**来完成。认证信令会经过5GC，但认证成功后，数据流量则直接本地 breakout。

场景代入：

市民小晴走进了“未来城市”的图书馆，这里有运营商提供的可信公共Wi-Fi。

1. URSP规则： 她的手机URSP规则中有一条：“应用类型=网页浏览 → 路由选择=非无缝WLAN卸载”。

2. 5G NSWO认证： 手机检测到Wi-Fi信号，并发现它支持5G NSWO。手机使用SIM卡中的5G凭证，通过这个Wi-Fi网络，向运营商的NSWOF发起了EAP-AKA’认证。

3. 本地流量 breakout： 认证成功后，手机获得了Wi-Fi网络分配的一个本地IP地址。小晴打开浏览器，所有网页浏览的流量都直接通过图书馆的Wi-Fi路由器访问互联网。

4. 蜂窝业务并行： 与此同时，她的微信电话（VoNR）依然保持在5G网络上，通过PDU会话进行通信。

通过这种方式，网络智能地将大流量、非实时的业务卸载到了成本更低的Wi-Fi网络上，节省了宝贵的5G频谱资源和用户的流量套餐。

5. FAQ

Q1: 远程凭证配置（Remote Provisioning）和我们平时通过营业厅APP办理eSIM有什么区别？

A:

两者都是远程配置凭证的方式，但面向的场景和技术底层不同。

• eSIM办理主要面向2C（To-Consumer）场景，如智能手机、手表。它通常需要用户进行扫码、确认等人工交互，流程设计更侧重于用户体验和安全性。它下载的是一个完整的eSIM Profile，包含了PLMN的签约信息。

• 5.39中定义的远程凭证配置主要面向2B（To-Business）和海量物联网场景。它强调的是零接触、自动化、大规模的配置能力。整个过程被设计为可以完全无人干预地自动完成。它通常不是下载一个完整的USIM Profile，而是为设备注入特定的、用于访问某个高安全等级业务（如NSSAA）的补充凭证。

Q2: 灾备漫游（Disaster Roaming）是自动发生的吗？我需要手动设置什么吗？

A:

它需要预先授权，但在灾难发生时是自动触发的。

• 预先授权： 您的归属运营商（HPLMN）必须在您的签约信息中，为您开启“允许灾备漫游”的权限。这个开关通常只为特定用户（如政府、公共安全人员）或在特定区域开启。

• 自动触发： 当灾难发生，您的手机在多次尝试连接归属网络和所有优选PLMN都失败后，如果扫描到有基站广播“Disaster Roaming”可用，并且您有权限，手机就会自动发起灾备漫游注册。您无需手动操作。

Q3: RedCap相比eMBB，具体“缩减”（Reduced）了哪些能力？

A:

RedCap的“缩减”是多维度的，主要包括：

• 带宽缩减： RedCap的最大带宽远低于eMBB，例如，下行速率可能在百兆级别，而不是Gbps级别。

• 天线数量缩减： RedCap设备通常只支持1T2R或1T1R（1发2收或1发1收）的天线配置，而eMBB手机通常是2T4R或4T4R。这大大降低了射频前端的复杂度和成本。

• MIMO层数减少： RedCap支持的MIMO层数更少。

• 调制阶数降低（可选）： 可能不支持最高的调制方式（如256QAM）。

这些“减配”使得RedCap芯片的尺寸、成本和功耗都显著降低，非常适合可穿戴设备、工业传感器、视频监控等中档物联网应用。

Q4: 非无缝WLAN卸载（Non-seamless WLAN offload）中的“非无缝”体现在哪里？

A:

“非无缝”主要体现在IP地址的连续性上。

• 当一个数据流被从蜂窝网络卸载到WLAN时，UE会获得一个由WLAN网络分配的、全新的IP地址。这个IP地址与它在蜂窝网络PDU会话中使用的IP地址是不同的。

• 这种IP地址的改变，会导致所有基于IP地址的会话（如TCP连接、正在进行的下载、视频通话）中断。

• 因此，这种卸载方式只适用于发起新的会话，例如，打开一个新的网页，开始一次新的下载。它不适用于将会话从蜂窝无缝地“平移”到Wi-Fi，这正是ATSSS技术要解决的问题。

Q5: 为什么5G NSWO（Non-seamless WLAN Offload）认证需要一个叫NSWOF的网元？

A:

NSWOF（Non-Seamless WLAN Offload Function）是实现使用5G凭证进行WLAN认证的桥梁和翻译官。

• 协议转换： WLAN接入网（AP）和UE之间使用的是Wi-Fi的认证协议（如EAP）。而核心网的鉴权中心（AUSF/UDM）使用的是5G的认证协议。NSWOF位于两者之间，负责将Wi-Fi侧的EAP认证请求，转换为5GC内部的Nausf_UEAuthentication服务调用。

• 安全边界： NSWOF是运营商核心网的安全边界。它代表核心网与外部的、不可信的WLAN网络进行交互，确保了核心的AUSF/UDM不会直接暴露在外部网络中。

• 发现与路由： WLAN接入网需要知道将认证请求发往哪个NSWOF。这个发现过程可以通过DNS等机制实现。

简单来说，如果没有NSWOF，WLAN网络将不知道如何与5G核心网的“身份认证中心”对话，使用5G SIM卡来认证Wi-Fi就无从谈起。