51学通信

深度解析 3GPP TS 33.512:4.2.2.9.1 NSSAA revocation (VIP通行证的失效与强制离场)

13分钟阅读

深度解析 3GPP TS 33.512:4.2.2.9.1 NSSAA revocation (VIP通行证的失效与强制离场)

本文技术原理深度参考了3GPP TS 33.512 V18.2.0 (2024-06) Release 18规范中,关于“4.2.2.9.1 NSSAA revocation”的核心章节。我们将跟随电竞冠军“Shadow”的脚步,见证一场盛大赛事的落幕,并揭示5G网络如何执行一次安全、果断的“清场”程序,确保动态授权有始有终。

引言:当数字红毯被收起

在上一章的激烈角逐中,电竞选手“Shadow”(小敏)凭借着为她量身定制的“e-Sports Pro”网络切片,成功夺得了全球总决赛的冠军。那条为她提供极致体验的“数字高速公路”,是她胜利背后不可或缺的功臣。

然而,当颁奖典礼的烟花散尽,赛场灯光渐暗,这场科技与电竞的盛宴也迎来了尾声。赛事主办方通知运营商“未来移动”:比赛已结束,可以关闭“e-Sports Pro”切片服务了。这意味着,所有选手持有的那张限时“VIP通行证”——对该切片的访问授权——需要被撤销(Revoke)

此时,一个至关重要的安全问题摆在了AMF面前:当Shadow的这张“VIP通行证”被注销后,会发生什么?特别是,如果这张通行证是她在这片赛场区域内唯一被授权使用的通行证,网络是会让她悄无声息地“降级”为普通观众,还是会执行一次果断的“清场”,礼貌而强制地请她离场?

安全工程师李工今天的任务,就是模拟这场盛大的“闭幕式”。他要验证,“先锋通信”的AMF在收到“撤销授权”的指令后,能否执行最严格、最安全的“清场”程序,确保网络资源的动态管理闭环,不留下任何安全后门。

1. 核心原则:动态授权,有始有终 (Dynamic Authorization: A Beginning and an End)

5G网络切片的核心魅力之一,就是其动态性。授权可以被实时授予,也必须能被实时收回。一个完善的安全体系,不仅要有一套强大的准入控制(Admission Control),更要有一套可靠的撤销机制(Revocation Mechanism)

如果授权只能授予而不能有效撤销,将会导致:

  • 资源滥用:已无权限的用户可能继续占用宝贵的切片资源。

  • 安全风险:一个过期的授权可能会成为攻击者利用的潜在入口。

因此,AMF作为授权策略的执行者,必须具备“翻脸不认人”的能力。当上级(如NSSAAF或运营商策略中心)下达撤销指令时,它必须立即更新用户的访问权限。而当这次撤销导致用户失去了在该网络上的所有合法“居留权”时,AMF就必须扮演“驱逐官”的角色,启动网络侧发起的注销流程(Network-initiated Deregistration)

2. 规范解读:当“通行证”清零时的唯一选择

规范对这种极端但关键的场景,给出了一个不容妥协的、强制性的处理流程。

规范原文 4.2.2.9.1 Requirement Description:

“If no S-NSSAI is left in Allowed NSSAI for an access after the revocation, and no Default NSSAI can be provided to the UE in the Allowed NSSAI or a previous NSSAA failed for the Default NSSAI over this access, then the AMF executes the Network-initiated Deregistration procedure for the access as described in subclause 4.2.2.3.3 in TS 23.502, and it includes in the explicit De-Registration Request message the list of Rejected S-NSSAIs, each of them with the appropriate rejection cause value; as specified in TS 33.501, clause 16.5.”

深度解析:

李工将这段严谨的描述,翻译成了一套清晰的“IF…THEN…”逻辑链:

  • IF (触发条件):

    1. “no S-NSSAI is left in Allowed NSSAI… after the revocation”: 核心触发点。AMF收到 revocation 指令后,更新了用户的上下文,发现其“Allowed NSSAI”(允许的切片列表)对于当前接入类型(如3GPP接入)已经变空了。在我们的例子中,Shadow的列表里原本只有“e-Sports Pro”,撤销后,列表就空了。

    2. AND “no Default NSSAI can be provided…”: 附加条件。网络中通常会配置一个“默认切片”,供没有特殊要求的用户使用。如果用户的“Allowed NSSAI”变空,AMF会尝试为其分配这个默认切片。但如果没有可用的默认切片,或者该用户没有权限使用默认切片(比如默认切片也需要NSSAA而她未通过),那么用户的最后一条路也被堵死了。

  • THEN (执行动作):

    1. “the AMF executes the Network-initiated Deregistration procedure”: 此时,AMF必须主动出击。它不能等待UE下一次发起请求时再拒绝,而是要立刻发起一个由网络侧主导的注销流程,强制将UE从网络中断开。

    2. “includes in the explicit De-Registration Request message the list of Rejected S-NSSAIs…”: 这个“清场”通知不是一封无声的驱逐令。AMF会向UE发送一条明确的Deregistration Request消息。在这条消息中,它会附上被拒绝的S-NSSAI列表(在我们的例子里就是“e-Sports Pro”)以及相应的拒绝原因(例如“授权已撤销”)。这让UE能够清晰地知道自己为什么被“踢下线”,并可以据此更新自己的状态,避免无效的重试。

3. 测试场景:李工的“闭幕式”安全演练

李工将在实验室里,精确地模拟从授权到撤销的全过程,检验AMF是否是一个合格的“闭幕式导演”。

  • 场景设置

    1. 李工在UDM模拟器中,为“Shadow”配置了一个特殊的订阅档案:其“Allowed NSSAI”中仅包含一个需要NSSAA的切片——“e-Sports Pro”(S-NSSAI=123)。同时,确保网络中没有为她配置可用的“Default NSSAI”。

    2. UE模拟器以“Shadow”的身份,成功注册并激活了基于“e-Sports Pro”切片的PDU会话。此刻,一切正常。

    3. 李工的测试工具将扮演NSSAAF的角色,准备向AMF发送撤销指令。

  • 执行步骤

    1. 【模拟撤销】: 李工通过他的测试工具,向被测AMF发送一条Nnssaaf_NSSAA_Revoke服务请求。该请求明确指向了“Shadow”的UE会话,并要求撤销其对S-NSSAI=123的授权。

    2. AMF接收到这条指令。

    3. 【关键观测点】:李工的协议分析仪此时全神贯注地盯着AMF与UE模拟器之间的N1接口。

  • 预期结果与裁决

    1. AMF在处理完Nnssaaf_NSSAA_Revoke请求后,更新了“Shadow”的上下文。它发现“Allowed NSSAI”列表已空,且没有默认切片可以分配。

    2. 此时,在N1接口上,李工必须捕获到一条由AMF主动发起的**Deregistration Request消息**。

    3. 李工点开这条消息的解码内容,进行“三点确认”:

      • 发起方:确认是网络侧发起的(Registration request type IE中会指示)。

      • 被拒切片列表:消息中必须包含一个Rejected S-NSSAI list,其中含有S-NSSAI=123。

      • 原因码:每个被拒的S-NSSAI都必须附带一个恰当的rejection cause值。

    4. UE模拟器在收到这条消息后,会按规程终止其5GMM连接,并释放所有相关资源。

    如果以上所有行为都与预期一致,李工就可以判定,“先锋通信”的AMF完美地执行了授权撤销后的强制离场程序。它证明了AMF不仅能“迎客”,更能安全、有序地“送客”,实现了网络资源动态授权的完整生命周期管理。

FAQ 环节

Q1:是谁决定要撤销一个用户的切片授权?

A1:撤销指令可以来自多个源头。最常见的是:1)NSSAAF:对于需要切片特定认证的场景,如果NSSAAF(可能与第三方应用服务器联动)决定终止授权(如订阅到期、比赛结束),它会通知AMF。2)运营商策略:运营商的策略控制功能(PCF)或操作维护中心(O&M)也可能基于时间、位置、用户行为等策略,动态地修改用户的“Allowed NSSAI”并触发更新。

Q2:为什么不简单地等用户下次想用切片时再拒绝她,而要主动将她注销?

A2:因为在这种特定场景下,用户已经失去了在该网络上所有的合法连接权限。让她保持一个“已注册但无权使用任何服务”的“幽灵”状态,既会占用网络侧(尤其是AMF)的上下文资源,也可能导致UE侧状态机的混乱,并引发不必要的信令重试。主动注销是最干净、最明确的处理方式,它强制UE和网络双方的状态恢复到一个清晰的初始状态(Deregistered)。

Q3:什么是“Default NSSAI”?它有什么作用?

A3:“Default NSSAI”是运营商在网络中配置的一个或一组默认切片。它的作用是为那些在注册时没有特殊切片请求,或者其请求的切片不可用的用户,提供一个基础的网络连接。它确保了即使用户的“VIP通行证”都失效了,只要他还有一张“普通门票”(即有权访问默认切片),就依然可以留在“场馆”内(保持网络注册)。

Q4:UE收到网络侧发起的Deregistration Request后会怎么做?

A4:UE会将其视为一个强制命令。它会立即停止所有正在进行的5GMM活动,释放本地的NAS安全上下文和所有PDU会话,然后进入5GMM-DEREGISTERED状态。从用户的角度看,手机的5G信号标识可能会消失,网络连接中断。

Q5:这个撤销和注销的过程本身是安全的吗?

A5:是的。NSSAAF与AMF之间的撤销指令,是在核心网内部的服务化接口上传递的,受到TLS和OAuth2等机制的保护。AMF发往UE的Deregistration Request消息,是在已建立的NAS安全通道上传输的,受到完整的加密和完整性保护,确保这条“驱逐令”不会被伪造或篡改。

关系图谱