51学通信

深度解析 3GPP TS 33.501:16 Security procedures for network slices (网络切片安全)

18分钟阅读

好的,我们继续深入解读3GPP TS 33.501规范。

深度解析 3GPP TS 33.501:16 Security procedures for network slices (网络切片安全)

本文技术原理深度参考了3GPP TS 33.501 V18.9.0 (2025-03) Release 18规范中,关于“16 Security procedures for network slices”的核心章节,旨在为读者深度剖析5G最具革命性的功能之一——网络切片,是如何通过一套专属的安全机制,实现从“公共高速”到“私家专线”的安全隔离与访问控制的。

在上一篇文章中,我们探讨了网络切片的“创生”安全——即管理平面的安全。今天,我们将把焦点转向用户侧,深入解读规范的第16章——网络切片安全流程。这一章回答了一个核心问题:当一个普通用户(UE)尝试接入一个特殊的、需要额外安全验证的网络切片时,网络是如何实现这“第二重门禁”的?

这一章是5G赋能垂直行业(B2B/B2B2C)商业模式的安全基石。它所定义的**网络切片特定认证和授权(NSSAA, Network Slice-Specific Authentication and Authorization)**机制,使得网络切片不再仅仅是运营商内部的QoS划分,而真正成为可以为企业客户提供独立安全域、独立身份认证的“网络私有定制服务”。

为了让这个场景更加鲜活,我们将再次引入“飞驰物流”的无人配送车“智行二号”。它不仅需要接入运营商的5G公网,更需要进入一个由“飞驰物流”自己管理、用于车队远程遥控的“超可靠低时延(URLLC)”专属切片。这张“入场券”如何获取?“检票”流程又是怎样的?让我们跟随“智行二号”的接入过程,一步步揭开NSSAA的神秘面纱。

1. 16.1 & 16.2 授权与认证的关系 - “大门票”与“VIP区门票”

在进入复杂的NSSAA流程之前,我们必须首先理清5G主认证与切片特定认证之间的关系。

16.2 Authorization for network slice access This clause specifies the relationship between primary authentication (as described in Clause 6.1) and authorization for network slice access… An authorized S-NSSAI (i.e. allowed S-NSSAI) shall be granted to a UE only after the UE has completed successfully primary authentication.

核心思想:先公后私,逐级授权

  • 主认证是“大门票”:UE必须首先通过5G主认证(5G AKA / EAP-AKA’),证明自己是运营商的合法用户,获得进入5G网络这个“大园区”的资格。这是所有后续服务的基础。
  • 允许NSSAI列表是“普通区通行证”:主认证成功后,AMF会从UDM获取一份“允许的S-NSSAI列表(Allowed NSSAI list)”。这份列表记录了该用户根据其签约,有权访问的所有“普通公共切片”(例如,标准的eMBB上网切片)。
  • NSSAA是“VIP区门票”:对于某些特殊的、需要额外认证的S-NSSAI(例如,“飞驰物流”的URLLC专有切片),仅仅在Allowed NSSAI列表中是不够的。UE还必须通过一次额外的、由该切片所有者(飞驰物流)主导的认证流程,即NSSAA,才能获得进入这个“VIP专区”的最终许可。

流程概览 (Figure 16.2-1)

  1. UE发起注册 (Step 1):“智行二号”在注册请求中,声明了它想要访问的S-NSSAI列表,其中既包含普通的eMBB切片,也包含了“飞驰物流”的URLLC切片。
  2. 主认证 (Step 2):AMF/SEAF发起并完成主认证,确认“智行二号”是运营商的合法设备。
  3. AMF决策 (Step 3):AMF从UDM获取用户签约数据,发现“智行二号”签约的URLLC切片被标记为“需要NSSAA”。
  4. 初步授权 (Step 4):AMF首先完成注册流程,向UE下发Registration Accept消息。此时,UE可能已经可以访问普通的eMBB切片了。
  5. 启动NSSAA (Step 5):随后,AMF为那个需要额外认证的URLLC切片,启动NSSAA流程。
  6. 最终授权 (Step 6):NSSAA流程成功后,AMF会通过UE Configuration Update程序,正式将URLLC切片的权限授予UE。

2. 16.3 网络切片特定认证与授权(NSSAA) - “专属门卫”的盘问

NSSAA的核心,是借用通用的EAP框架,在UE和切片所有者的**AAA服务器(AAA-S)**之间,建立一条“认证代理通道”。

16.3 Network slice specific authentication and authorization This clause specifies the optional-to-use NSSAA between a UE and an AAA server (AAA-S) which may be owned by an external 3rd party enterprise. NSSAA uses a User ID and credentials, different from the 3GPP subscription credentials… The EAP framework … shall be used for NSSAA between the UE and the AAA server. The SEAF/AMF shall perform the role of the EAP Authenticator and communicates with the AAA-S via the NSSAAF.

认证三(四)方

  • UE (Peer):“智行二号”,持有“飞驰物流”颁发的专属凭证(如证书、用户名/密码等)。
  • AMF (Authenticator):扮演EAP认证器,负责在UE和下一跳之间中继EAP消息。
  • NSSAAF (Proxy/Agent):网络切片认证的“专业代理”。它从AMF接收EAP消息,并将其“翻译”成标准的AAA协议(如RADIUS),再发往企业AAA服务器。
  • AAA-S (Backend Server):“飞驰物流”自己的AAA服务器,是认证的最终决策者。

NSSAA流程详解 (Figure 16.3-1)

场景代入: AMF已经决定为“智行二号”的URLLC切片请求启动NSSAA。

  1. AMF索要“工牌号” (Step 2):AMF向“智行二号”发送一条NAS MM Transport消息,其中包含一个EAP请求,大意是:“请出示你用于访问‘飞驰物流URLLC切片’的EAP身份(EAP ID)。”
  2. UE出示“工牌号” (Step 3):“智行二号”回复NAS MM Transport消息,其中包含了它的EAP ID(例如,[email protected])。
  3. AMF NSSAAF (Step 4):AMF将这个EAP ID封装在Nnssaaf_NSSAA_Authenticate请求中,发给NSSAAF。请求中还包含了切片的S-NSSAI和UE的通用公共身份标识GPSI。
  4. NSSAAF AAA-S (Step 5-6):NSSAAF根据S-NSSAI,找到了“飞驰物流”的AAA服务器地址。它将EAP ID通过AAA协议(如RADIUS Access-Request)发送过去。
  5. EAP认证“对话” (Step 6-11):接下来,一场完整的EAP认证在UE和AAA-S之间展开。所有的EAP消息都沿着 UE > AMF > NSSAAF > AAA-S 这条链路来回传递。AMF和NSSAAF都扮演着透明的“信使”角色。具体使用哪种EAP方法(如EAP-TLS进行证书认证,或EAP-TTLS进行密码认证),完全由“飞驰物流”的AAA服务器决定。
  6. AAA-S下发结果 (Step 12):认证成功后,“飞驰物流”的AAA-S向NSSAAF返回一个AAA Access-Accept消息,其中封装了EAP-Success
  7. 结果逐级返回 (Step 13-14):NSSAAF将EAP-Success通过Nnssaaf_NSSAA_Authenticate Response返回给AMF。AMF再通过NAS MM Transport消息将其最终送达UE。
  8. AMF更新配置 (Step 15):AMF收到成功结果后,确认“智行二号”已获得“VIP区门票”。它会更新UE的上下文,并将这个URLLC切片加入到UE的“允许访问列表”中。最后,通过UE Configuration Update流程,将这个更新后的列表同步给UE。

至此,“智行二号”才算真正获得了访问其专属URLLC切片的全部权限。

3. 16.4-16.5 AAA服务器发起的重认证与撤销 - “专属门卫”的主动出击

NSSAA不仅支持UE发起的认证,还支持由AAA服务器主动发起的“安全抽查”和“权限回收”。

16.4 AAA Server triggered Network Slice-Specific Re-authentication and Re-authorization procedure 16.5 AAA Server triggered Slice-Specific Authorization Revocation

  • 重认证 (Re-authentication):“飞驰物流”的AAA服务器可以因为安全策略(如密钥轮换)、用户状态变化等原因,在任何时候主动向NSSAAF发起请求,要求对“智行二号”进行一次重认证。NSSAAF会将这个请求逐级传递给AMF,AMF再触发与UE之间的EAP流程。
  • 撤销 (Revocation):如果“飞驰物流”的管理员发现“智行二号”行为异常,或者其服务已到期,AAA服务器可以主动发起一个“授权撤销”流程。这个指令会通过NSSAAF和AMF,最终使得AMF通过UE Configuration Update流程,从UE的“允许列表”中移除该URLLC切片,并拆除相关的PDU会话,强制“智行二号”离开这个“VIP专区”。

这两个机制,赋予了切片所有者(垂直行业客户)对其网络切片近乎实时的、动态的安全控制能力,是实现网络即服务(NaaS)的关键安全保障。

4. 总结

本章深入探讨的第16章,为我们完整呈现了5G网络切片这一核心功能的安全全貌。它是一套构建在5G主认证基础之上的、灵活、强大且独立的“第二重安全体系”。

  • 分级的授权模型:通过“主认证(大门票) + Allowed NSSAI(普通区通行证) + NSSAA(VIP区门票)”的三级授权模型,实现了公共网络服务与私有定制服务的安全隔离。
  • 开放的认证框架:通过复用EAP框架,并引入NSSAAF作为“认证代理”,NSSAA机制可以灵活地与企业现有的各种AAA身份认证系统(基于证书、密码、令牌等)进行无缝集成。
  • 企业级的自主可控:通过支持AAA服务器主动发起的重认证和撤销流程,5G网络切片将安全控制的“遥控器”交到了垂直行业客户的手中,满足了企业对自身核心业务通信的自主可控安全需求。

NSSAA机制,是5G从一张“to C”的移动宽带网络,迈向一张“to B”的、赋能千行百业的生产力平台的安全宣言。它为运营商与垂直行业的深度合作,提供了坚实、可信、灵活的“安全握手”方式。

FAQ

Q1:NSSAA和第11章的“二次认证”有什么区别和联系? A1:它们在技术上都采用了EAP框架,由网络功能(AMF/SMF)扮演认证代理。但它们的业务目的触发点完全不同。

  • 二次认证(第11章):其目的是访问一个外部数据网络(DN)。它是由SMFPDU会话建立过程中触发的。认证成功的结果是UE获得了一个可以访问该DN的IP地址。
  • NSSAA(第16章):其目的是获得访问一个特定网络切片(S-NSSAI)的资格。它是由AMF注册(Registration)配置更新过程中触发的。认证成功的结果是该S-NSSAI被加入到UE的Allowed NSSAI列表中。 可以理解为,NSSAA是决定你“能走哪条路”(网络切片),而二次认证是决定你在这条路上最终能打开“哪扇门”(数据网络)。

Q2:如果一个UE需要访问一个既需要NSSAA,又需要二次认证的切片内应用,流程是怎样的? A2:这是一个很好的组合问题。流程将是串行的:

  1. UE发起注册,请求访问该S-NSSAI。
  2. AMF触发NSSAA流程。UE与企业AAA-S完成认证。
  3. NSSAA成功后,AMF将该S-NSSAI加入UE的Allowed NSSAI,并通过配置更新告知UE。
  4. UE现在有权使用这个切片了。它发起PDU会话建立请求,请求通过这个切片连接到企业内网的DNN。
  5. AMF将请求转发给SMF。SMF发现这个DNN需要二次认证,于是触发二次认证流程。
  6. UE再次与企业AAA-S(可能是同一个,也可能是另一个)完成二次认证。
  7. 二次认证成功后,SMF才最终为UE建立PDU会话,分配IP地址。 这是一个典型的“层层加锁”的高安全场景。

Q3:NSSAAF这个网元是必须的吗?AMF不能直接和AAA服务器通信吗? A3:NSSAAF在逻辑上是必须的。它的核心作用是协议转换和策略执行点。AMF使用的是3GPP内部的、基于SBA的Nnssaaf_*服务接口,而企业AAA服务器使用的是标准的RADIUS或Diameter等AAA协议。NSSAAF正是负责在这两种协议之间进行“翻译”的“翻译官”。此外,NSSAAF还是HPLMN执行漫游策略、选择AAA-P(AAA代理)的策略执行点。在物理部署上,NSSAAF可以与AMF合设,也可以独立部署。

Q4:为什么NSSAA流程中使用UE的GPSI(通用公共订阅标识符)而不是SUPI? A4:这是出于隐私和身份隔离的考虑。SUPI是用户在3GPP网络中的最高级别、最核心的永久身份,与用户的签约和计费直接挂钩。NSSAA所交互的AAA服务器可能属于第三方企业,向其暴露用户的SUPI会带来不必要的隐私风险和安全耦合。而GPSI(例如,一个外部ID或MSISDN)是运营商分配给用户的、可以在外部环境中使用的公共标识。使用GPSI可以在不泄露核心网内部身份(SUPI)的情况下,让外部AAA服务器能够唯一地识别一个用户,实现了身份的解耦和隐私保护。

Q5:如果NSSAA认证失败了会怎么样?UE还能上网吗? A5:NSSAA认证失败,只影响UE对那个特定切片的访问,通常不影响UE的普通上网功能。

  • AMF收到NSSAA失败的结果后,会将该S-NSSAI标记为“已拒绝”,并可能通过UE Configuration Update通知UE。UE将无法通过这个切片建立任何PDU会话。
  • 但是,如果UE的Allowed NSSAI中还包含其他不需要NSSAA的公共切片(如默认的eMBB上网切片),UE仍然可以正常发起PDU会话建立,通过那个公共切片来上网。 这体现了切片安全与基础网络安全的分离,一个“VIP区”的门禁失败,不应影响用户在“公共区域”的正常活动。

关系图谱