51学通信

深度解析 3GPP TS 33.512:4.2.2.4.2 跨AMF切换的算法再协商

16分钟阅读

深度解析 3GPP TS 33.512:4.2.2.4.2 跨AMF切换的算法再协商

本文技术原理深度参考了3GPP TS 33.512 V18.2.0 (2024-06) Release 18规范中,关于“4.2.2.4.2 NAS protection algorithm selection in AMF change”的核心章节。我们将跟随用户小敏的一次跨城之旅,深入探讨当她从一个AMF的服务区域移动到另一个AMF区域时,网络如何智能且安全地重新协商和应用安全策略。

引言:从京城到魔都的安全策略“交接仪式”

结束了高铁上的无缝切换体验后,我们的主角小敏从北京抵达了上海。在北京,她的“银河哨兵”手机一直由位于北京数据中心的AMF-BJ提供服务。而当她踏入上海的土地,她的移动性管理服务将被无缝地“交棒”给位于上海数据中心的AMF-SH。这个过程,在5G术语中被称为AMF变更(AMF Change)

对于普通用户小敏来说,这只是一次地理位置的变迁。但对于安全工程师李工来说,这是一次关键的“安全管辖权”交接。他深知,不同地区、不同城市的网络,其安全策略可能存在差异。比如,运营商“未来移动”可能在北京部署了稳健的NIA2算法作为首选,而在技术更前沿的上海,则将更先进的NIA3算法作为最高优先级。

当小敏从AMF-BJ的“地盘”进入AMF-SH的“地盘”时,新的AMF-SH会盲目地沿用北京的老策略吗?还是会果断地执行上海的“新规矩”?如何确保这个“新规矩”的下达过程本身是安全的?这正是李工今天要对“先锋通信”的AMF产品进行的核心拷问。

1. 核心原则:安全策略的“属地管辖权”

在5G核心网的联邦式架构中,每一个AMF都是其服务区域内安全策略的最高执行官。当一个用户漫游进入其管辖范围时,新的AMF(目标AMF)拥有绝对的权力,根据自己的本地策略,重新评估并决定该用户的安全等级。它绝不会盲从于用户上一个所在AMF(源AMF)的配置。这就是安全策略的**“属地管轄”原则**。

这个原则确保了网络的安全水平不会因为用户的移动而出现“木桶短板”。一个用户从安全策略配置较低的区域移动到配置较高的区域时,其安全等级必须被提升,反之亦然。

2. 规范解读:两种场景,同一目标

AMF变更主要发生在两种典型的移动性场景中:N2切换(当用户处于连接状态时)和移动性注册更新(当用户处于空闲状态时)。规范为这两种场景定义了不同的信令流程,但其核心的安全目标完全一致:由目标AMF重新决策,并安全地通知UE。

规范原文 4.2.2.4.2 Requirement Description:

“If the change of the AMF at N2-Handover or mobility registration update results in the change of algorithm to be used for establishing NAS security, the target AMF indicates the selected algorithm to the UE as defined in Clause 6.9.2.3.3 of TS 33.501 for N2-Handover (i.e., using NAS Container) and Clause 6.9.3 of the same document for mobility registration update (i.e., using NAS SMC). The AMF shall select the NAS algorithm which has the highest priority according to the ordered lists…”

深度解析:

李工将这段描述拆解为一套清晰的“决策-执行”逻辑:

第一步:信息交接与重新决策

  • 当AMF变更发生时,源AMF会将其掌握的UE安全上下文(包括UE的完整安全能力清单)传递给目标AMF。

  • 目标AMF拿到这份“原始档案”后,必须重新执行我们在上一篇文章中讨论过的“择强汰弱”算法选择流程。它会用UE的能力清单,去匹配自己本地配置的算法优先级列表,从而得出一个新的、符合本地策略的“最优算法”。

第二步:两种路径,安全下达

如果目标AMF重新决策出的算法,与之前源AMF使用的算法不同,那么它必须将这个变更通知给UE。规范为此设计了两条不同的“高速公路”:

  • 路径A:N2切换 搭载“NAS集装箱” (NAS Container)

    • 场景:小敏正在高铁上视频通话(连接态),列车跨越了北京和上海的行政边界,触发了从AMF-BJ到AMF-SH的N2切换。

    • 机制:这是一个追求极致效率的场景。目标AMF-SH不会启动一次完整的NAS安全模式流程,那样太慢了。相反,它会将新选定的算法信息,打包进一个被称为“NAS容器(NAS Container)”的“密封信封”里。

    • 这个“信封”会被放入到AMF-SH发给目标基站的NGAP HANDOVER REQUEST消息中。基站不关心信封里是什么,它只负责在无线接口上,将这个信封原封不动地转发给UE。

    • UE收到后,打开这个来自新AMF的“密令”,更新自己的安全算法,切换完成。整个过程与切换信令“并行”处理,效率极高。

  • 路径B:移动性注册更新 启动完整的“安全模式命令” (NAS SMC)

    • 场景:小敏抵达上海后,手机处于待机状态(空闲态)。当她点亮屏幕,手机检测到跟踪区(Tracking Area)已变更且超出了原AMF-BJ的管辖,便会发起一次Registration Request,其类型为“Mobility Registration Update”。

    • 机制:这是一个非实时的场景,有充足的时间进行更正式的交互。目标AMF-SH在完成身份验证和上下文获取后,如果发现需要变更算法,它会启动一次完整的、全新的NAS安全模式命令流程(NAS SMC Procedure)

    • 它会像对待初次注册一样,向UE发送Security Mode Command消息,其中明确包含新选定的算法。UE收到后,返回Security Mode Complete。这是一个非常正式、交互清晰的“换约”仪式。

3. 测试场景:李工的“跨城安全策略审计”

李工将在实验室里,对这两种AMF变更场景进行精准的模拟和审计。

  • 场景设置

    • 李工部署了两个AMF实例:AMF-BJ(源)和AMF-SH(目标)。

    • 策略差异配置

      • AMF-BJ的算法优先级:[NIA2, NIA3, NIA1]

      • AMF-SH的算法优先级:[NIA3, NIA2, NIA1]

    • UE模拟器(“银河哨兵”)上报其能力为[NIA3, NIA2, NIA1]。

3.1 Test Case 1: N2切换中的“密令”审计

  • 执行步骤

    1. UE首先在AMF-BJ下注册成功。根据AMF-BJ的策略,协商使用的算法是NIA2。UE处于连接态。

    2. 李工触发一次从AMF-BJ下的gNB到AMF-SH下的gNB的N2切换。

    3. 【关键观测点】:李工的协议分析仪聚焦在目标AMF-SH与目标gNB之间的N2接口上。

  • 预期结果与裁决

    • 李工必须捕获到一条由AMF-SH发出的NGAP HANDOVER REQUEST消息。

    • 点开这条消息,他必须找到NAS-PDUNAS Container信息单元(IE)。

    • 对这个容器内容进行解码,其中包含的“Selected NAS security algorithms”必须是NIA3

    • 这个结果证明,在高速切换中,目标AMF-SH不仅正确地执行了其更强的安全策略,还通过高效、安全的“NAS集装箱”机制,将这一决策传达给了UE。

3.2 Test Case 2: 移动性注册更新中的“换约仪式”审计

  • 执行步骤

    1. UE在AMF-BJ下注册成功(使用NIA2),然后进入空闲态。

    2. 李工模拟UE移动到了AMF-SH的覆盖区,并触发了一次“Mobility Registration Update”类型的Registration Request

    3. 【关键观测点】:这次,李工的协议分析仪聚焦在UE与目标AMF-SH之间的N1接口上。

  • 预期结果与裁决

    • Registration Request和可能的Authentication流程之后,AMF-SH必须主动发起一次安全模式控制流程。

    • 李工必须捕获到一条由AMF-SH发出的Security Mode Command消息。

    • 该消息中明确选择的完整性算法必须是NIA3

    • 随后,UE会返回一条使用NIA3保护的Security Mode Complete消息。

    • 这个结果证明,在空闲态的AMF变更中,目标AMF-SH通过一个正式的、信令清晰的流程,成功地将网络的安全等级提升到了其本地策略所要求的最高水平。

通过这两场严谨的“跨城审计”,李工满意地确认,“先锋通信”的AMF产品深刻理解并正确实现了5G网络中“安全策略属地管辖”的原则,无论是高速飞驰还是静默待机,都能确保用户的安全防护等级始终与最强的网络策略保持一致。

FAQ 环节

Q1:为什么AMF变更需要两套不同的流程(N2切换 vs. 移动性注册)?

A1:这主要是为了平衡效率健壮性,以适应UE的两种不同状态。在连接态(Connected Mode),UE正在进行实时通信,任何中断都要尽可能短,因此采用高效的、嵌入在切换信令中的“NAS容器”方式。在空闲态(Idle Mode),UE没有实时业务,有充足的时间进行更完整、更明确的信令交互,因此采用标准的“安全模式命令”流程,逻辑更清晰,鲁棒性更强。

Q2:什么是“NAS容器”(NAS Container)?它安全吗?

A2:“NAS容器”可以理解为一个“黑盒子”或“密封信封”。AMF将要给UE的NAS层消息打包在里面,然后交给AS层(接入层,即gNB)去传递。gNB只负责投递,不关心内容。这个容器本身是安全的,因为它被包含在受N2接口安全(IPsec)保护的NGAP消息中,并且它最终在空口上会被RRC层的安全机制保护,最终UE的NAS层还会对其内容进行校验。

Q3:在AMF变更时,旧的AMF(源AMF)如何将UE的上下文传递给新的AMF(目标AMF)?

A3:这通常有两种方式。在N2切换中,源AMF可能会通过核心网内部接口直接将上下文发送给目标AMF。在移动性注册更新中,UE的请求会先到达目标AMF,目标AMF会根据UE提供的GUTI,反向查询到源AMF(或通过UDM中转),然后从源AMF拉取完整的UE上下文。

Q4:如果小敏从上海(高安全策略)回到北京(低安全策略),她的安全等级会被“降级”吗?

A4:是的,会的。安全策略的“属地管辖”原则是双向的。当她回到北京,新的AMF(在这个场景下是AMF-BJ)会重新进行算法选择。由于AMF-BJ的最高优先级是NIA2,它会选择NIA2,并通过相应的流程通知UE。这确保了UE使用的安全策略始终与当前服务网络的策略保持一致,即使这意味着从一个更高的等级降到一个相对较低但仍符合标准和运营商要求的等级。

Q5:这次的算法再协商,需要UE重新进行一次完整的AKA认证吗?

A5:通常不需要。AMF变更是一个上下文传递(Context Transfer)的过程。源AMF会将已经建立的、包含根密钥(K_amf)的有效安全上下文传递给目标AMF。目标AMF基于这个已有的根密钥,派生出新的NAS密钥,然后启动安全模式流程来激活这套新密钥和新算法。这个过程比完整的AKA认证要快得多。只有在上下文丢失或过期等异常情况下,才需要重新进行AKA认证。

关系图谱