51学通信

深度解析 3GPP TS 33.501:Annex J-L (特殊业务安全) - SRVCC, 5GLAN与TSC

21分钟阅读

好的,我们继续深入解读3GPP TS 33.501规范。

深度解析 3GPP TS 33.501:Annex J-L (特殊业务安全) - SRVCC, 5GLAN与TSC

本文技术原理深度参考了3GPP TS 33.501 V18.9.0 (2025-03) Release 18规范中,关于“Annex J: SRVCC from 5G to UTRAN”、“Annex K: Security for 5GLAN services”和“Annex L: Security for TSC service”的核心章节,旨在为读者深入剖析5G安全体系如何为保障语音连续性、局域网通信以及时间敏感通信这三类关键特殊业务,提供量身定制的安全解决方案。

在前面的系列文章中,我们已经详细剖析了5G安全的主体框架、扩展机制以及专网适配。然而,5G作为一张“万物互联”的网络,其承载的业务类型千差万别。对于一些具有特殊需求的业务,通用的安全模型可能无法完全满足其要求。

今天,我们将深入解读规范的附录J、K、L。这三个规范性附录,如同5G安全工具箱中的“特种工具”,分别为三类关键的特殊业务场景,提供了专属的安全增强和适配方案:

  • 附录J (5G to UTRAN SRVCC):当5G VoNR用户移动到只有3G覆盖的区域时,如何确保其语音通话不中断,并安全地切换到传统的电路域?
  • 附录K (5GLAN业务安全):当5G网络被用来模拟一个传统的以太网“局域网”时,如何对局域网内的设备进行身份认证和授权
  • 附录L (TSC业务安全):当5G网络被用于传输工业控制等对时间同步要求达到纳秒级的“时间敏感”数据时,安全机制如何确保这些关键业务的数据保护

为了贯穿这些场景,我们的主角“安安”将再次出场。她正在进行一次重要的VoNR视频通话,但驾车进入了偏远的乡村地区,5G信号消失,只有3G信号覆盖;而在“智行一号”所在的智能工厂,一组AGV需要像在同一个局域网中一样相互通信;同时,工厂的机械臂集群,则需要通过5G网络接收精确到微秒的同步控制指令。这三个场景,将帮助我们理解这三大特殊业务背后的安全逻辑。

1. Annex J: 5G到UTRAN的SRVCC - 语音通话的“时空穿越”

SRVCC(Single Radio Voice Call Continuity,单无线语音呼叫连续性)是移动通信中的一项关键技术,用于确保在IP语音(如VoLTE, VoNR)和传统电路域语音(CS Voice)之间的无缝切换。附录J专门定义了从5G NR切换到3G UTRAN场景下的安全流程。

J.1.1 General During SRVCC from 5G to UTRAN CS, the MSC server should never know the KAMF nor should the KAMF be revealed to an entity other than an AMF. The AMF derives new key(s) to create a mapped SRVCC security context for the MSC server instead of sending KAMF to the MSC server.

核心思想:间接映射,隔离信任域 这个流程的核心安全挑战在于:5G核心网(AMF)和3G核心网的MSC(移动交换中心)之间没有直接的安全接口。信任的传递,必须通过一个“中间人”——**MME(4G的移动性管理实体)**来完成。

密钥派生链条 (Figure J.1.2-1): 这是一个典型的、跨越多代网络和多个核心网元的复杂密钥映射过程。

场景代入: 安安的VoNR通话正在进行。她的汽车驶入一个只有3G信号的区域,gNB决定发起向UTRAN的SRVCC切换。

  1. AMF派生K_ASME_SRVCC (Step 2):AMF收到gNB的切换请求后,它首先执行一次从5G到4G的密钥映射。它使用当前的K_AMF和下行NAS COUNT,派生出一个专用于SRVCC的4G密钥**K_ASME_SRVCC**。这个过程与8.6.1节中的5GEPS映射类似,但使用了专用的功能码(FC)。

  2. AMF MME_SRVCC (Step 3):AMF将这个K_ASME_SRVCC,连同UE的安全能力等信息,通过N26接口(如果存在)发送给一个具备SRVCC功能的MME。

  3. MME派生CS密钥 (Step 4):MME收到K_ASME_SRVCC后,扮演了“翻译官”的角色。它基于这个4G的PS域密钥,使用一个标准的算法,派生出一对专用于3G CS域的密钥CK_SRVCC(加密密钥)和**IK_SRVCC**(完整性密钥)。

  4. MME MSC Server (Step 5):MME将这对新生成的CK_SRVCCIK_SRVCC,连同UE的能力信息,发送给目标MSC Server。

  5. UE侧的同步派生 (Step 10):与此同时,AMF通过gNB,在切换命令中将用于派生K_ASME_SRVCC下行NAS COUNT的最低有效位告知UE。UE收到后,会执行与AMF和MME完全相同的、一连串的派生过程:K_AMF K_ASME_SRVCC CK_SRVCC & IK_SRVCC

  6. 切换完成:当UE切换到3G网络后,它和MSC Server之间已经拥有了同一对CK_SRVCCIK_SRVCC,可以立即建立起安全的CS信令和语音通道。

After a 5G to UTRAN SRVCC session has terminated, a UE shall run a successfully (re)authentication in 5GS before allowed to access 5G.

安全闭环:返回5G必须重认证 为了防止潜在的跨代攻击,规范强制要求,一旦UE完成了这次SRVCC会话并返回5G网络覆盖时,它必须重新执行一次完整的主认证,才能再次接入5G服务。

附录J的SRVCC安全机制,通过一个“AMF MME MSC”的“三级跳”密钥映射,巧妙地解决了5G与3G CS域之间没有直接信任通路的问题,在保证了语音通话连续性的同时,维护了严格的密钥隔离原则。

2. Annex K: 5GLAN业务安全 - 虚拟局域网的“身份准入”

5GLAN是5G的一项重要功能,它允许运营商为一组特定的UE(例如,一个工厂里的所有AGV)创建一个虚拟的、表现得像传统以太网一样的二层局域网。这使得这些设备可以进行IP广播/多播通信,实现设备间的直接发现和通信。

K.2 Authentication and authorization For authentication and authorization of a UE in 5G LAN communication, the secondary authentication procedures between UE and external data networks via the 5G Network as described in clause 11 shall apply.

核心思想:复用二次认证,实现群组准入 附录K对5GLAN的安全要求非常简洁,但指向明确:一个UE是否有权加入一个特定的5GLAN群组,其认证和授权机制,应复用第11章定义的二次认证流程

场景代入: 工厂里新购入了一台AGV“智行三号”,它需要加入由“智行一号”和“智行二号”组成的AGV工作群组(一个5GLAN)。

  1. 主认证:“智行三号”首先完成5G主认证,接入工厂专网。
  2. PDU会话请求:它请求建立一个PDU会话,其目标DNN指向了这个5GLAN。
  3. SMF触发二次认证:SMF收到请求后,发现这个DNN对应的是一个受控的5GLAN群组。它会立即触发二次认证流程。
  4. EAP认证:SMF扮演EAP认证器,与UE之间通过NAS SM消息,和工厂的AAA服务器(DN-AAA)进行一次EAP认证。这个认证可以基于设备的证书(EAP-TLS)或其他企业凭证。
  5. AAA服务器授权:工厂的AAA服务器验证了“智行三号”的证书后,确认它是合法的AGV设备,并有权加入这个群组。它向SMF返回EAP-Success,其中可能还包含了该AGV在这个LAN中的静态IP地址或MAC地址等授权信息。
  6. 加入LAN:SMF收到成功响应后,完成PDU会话的建立,并将“智行三号”的流量接入到这个5GLAN的虚拟二层网络中。

通过复用二次认证框架,5GLAN的安全准入控制权被牢牢地掌握在了企业/垂直行业自己手中,实现了灵活、可控的设备群组管理。

K.3 Handling of UP security policy To reduce incremental complexity added by security, all PDU sessions associated with a specific 5G LAN group should have the same UP security policy.

此外,附录K建议,属于同一个5GLAN群组的所有PDU会话,应该使用相同的用户平面(UP)安全策略,以简化网络配置和管理。

3. Annex L: TSC业务安全 - 时间敏感通信的“金钟罩”

TSC(Time-Sensitive Communication,时间敏感通信)是5G赋能工业互联网(IIoT)的核心技术之一。它旨在为如远程控制、运动控制、协同机器人等场景,提供纳秒级的精确时间同步和超高可靠、确定性的低时延通信。

L.3 Protection of user plane data in TSC including (g)PTP control messages in bridge mode After the 5GS TSC-enabled UE is authenticated and data connection is set up, any data received from a TSC bridge or another 5GS TSC-enabled UE shall be transported between DS-TT (in the UE) and NW-TT (in the UPF) in a protected way using the mechanisms for UP security as described in clause 6.6. The UP security enforcement information shall be set to “required” for data transferred from gNB to a 5GS TSC-enabled UE.

核心思想:强制的最强UP安全 对于TSC业务,其数据的完整性和时效性是第一位的。任何数据的篡改或延迟,都可能导致生产事故。因此,附录L对TSC的安全要求是最高等级的

  • 标准接入安全:TSC设备的接入安全,遵循标准的5G认证和密钥协商流程(见L.2)。
  • 强制的用户平面保护:一旦PDU会话建立,所有TSC业务的用户平面数据,都必须在UE和UPF之间受到强制性的保护。SMF在为TSC会话下发UP安全策略时,必须将加密和完整性保护都设置为“Required”。
  • 保护同步消息:这种保护同样适用于在用户平面上传输的、用于时间同步的**(g)PTP(精确时间协议)**控制消息。

场景代入: 工厂的机械臂集群,需要通过5G TSC网络,接收来自中央控制器的、带有精确时间戳的协同动作指令。

  1. SMF策略:李工在SMF上为这个TSC业务的S-NSSAI配置了安全策略,明确UP安全为{Confidentiality=Required, Integrity=Required}
  2. PDU会话建立:当机械臂的5G模组请求建立PDU会话时,SMF会将这个“双重必须”的策略下发给gNB。
  3. UP安全激活:gNB在为该会话建立DRB时,会严格执行这个策略,通过RRC Connection Reconfiguration流程,强制UE和gNB都为这个DRB开启加密和完整性保护。
  4. 安全传输:之后,所有包含精确控制指令和PTP同步信息的IP包,在UE和gNB之间的空中接口上,都会受到K_UPencK_UPint的“双重锁”保护,确保了指令的绝对安全和不可篡改。

4. 总结

本章我们深入解读了附录J、K、L,看到了5G安全体系如何为三类截然不同的特殊业务,提供“量体裁衣”式的安全解决方案。

  • SRVCC安全 (J):通过一个精巧的“三级跳”密钥映射链(K_AMF K_ASME_SRVCC CK/IK_SRVCC),在没有直接信任通路的情况下,实现了5G PS域与3G CS域之间的安全切换,保障了语音业务的连续性。
  • 5GLAN安全 (K):通过复用标准的二次认证框架,将局域网群组的“准入控制权”交还给了企业/垂直行业,实现了灵活、可控的设备群组安全管理
  • TSC安全 (L):通过强制实施最高等级的用户平面安全策略(加密和完整性均为Required),为工业控制等时间敏感业务的数据传输,提供了“金钟罩”般的强力保护

这三个附录充分展现了5G安全设计的灵活性可扩展性。它并非一个僵化的、一成不变的框架,而是能够根据具体业务的独特需求,智能地“嫁接”或“强化”其安全机制,从而在更广阔的业务领域,都能提供与之相匹配的安全保障。

FAQ

Q1:为什么5G到2G的SRVCC没有被标准化? A1:规范中只定义了到3G(UTRAN)的SRVCC。这主要是出于技术复杂性和市场需求的综合考量。2G(GERAN)的电路域安全机制(基于A5/GEA算法和密钥Kc)与3G/4G/5G的AKA体系差异巨大,要实现安全的密钥映射,技术上非常复杂且可能引入新的安全风险。同时,随着全球2G网络的逐步退网,为其开发如此复杂的标准化互通流程的商业价值和紧迫性都在降低。因此,3GPP的焦点主要放在保障与仍然广泛存在的3G网络之间的语音连续性。

Q2:在5GLAN中,UE之间的通信是直接的吗?它的安全如何保障? A2:这取决于5GLAN的类型。5G系统可以将UE之间的流量“桥接”起来,使其在IP层看起来像是直接通信(例如,可以相互Ping通)。在物理路径上,流量仍然需要“上行”到UPF,再由UPF进行二层转发,“下行”给目标UE。UE之间的通信安全,由标准的UP安全机制来保障。即每个UE与UPF之间的无线链路(UE-gNB)和核心网隧道(gNB-UPF)都是受保护的。因此,数据在离开源UE时被加密,到达目标UE时被解密,实现了端到端的安全。

Q3:TSC业务为什么对安全的要求如此之高,强制要求加密和完整性? A3:因为TSC承载的业务通常是“关键任务型(Mission-Critical)”的。例如,在协同机器人场景下,一个微小的时延抖动或一条被篡改的动作指令,都可能导致机器人动作失调,造成生产线停工甚至物理损坏。在远程手术场景下,后果更是不堪设想。因此,对于这类业务:

  • **完整性(Integrity)**是“生命线”,必须100%确保指令未被篡改。
  • **机密性(Confidentiality)**同样重要,可以防止攻击者通过窃听控制指令,来分析和破解整个工业生产流程,窃取商业机密。 因此,为其配置最高等级的“双重必须”安全策略,是保障工业生产安全的基本要求。

Q4:SRVCC切换时,密钥派生链条那么长,会不会导致切换延迟很大? A4:虽然逻辑链条很长,但实际的计算开销非常小,不会对切换时延构成瓶颈。整个密钥派生链上的所有计算(KDF)都是高效的对称密码学运算,在现代芯片中都可以在微秒级完成。SRVCC切换时延的主要瓶颈在于跨网络、跨域的信令交互(gNBAMFMMEMSC,以及反向的响应),而不是密钥计算本身。规范的设计已经是在保证安全前提下,对信令流程进行了最大程度的优化。

Q5:这些附录中定义的特殊安全机制,是所有5G网络和手机都支持的吗? A5:不一定。这些都属于可选特性(Optional Feature)。一个UE或网络是否支持SRVCC、5GLAN或TSC,取决于它的能力(Capabilities)配置

  • UE会在注册时,向网络上报自己支持的特性列表。
  • 网络侧(AMF, SMF等)也会根据自身的版本和运营商的部署策略,来决定是否启用这些功能。 例如,一个普通的消费级5G网络,可能完全不需要支持TSC;而一个部署在工厂里的5G专网,则会将TSC作为其核心能力。这种可选的、模块化的设计,使得5G可以根据不同的市场需求,进行灵活的功能裁剪和部署。

关系图谱