51学通信

深度解析 3GPP TR 21.916:16.1 Enhancement of Network Slicing (网络切片增强)

22分钟阅读

深度解析 3GPP TR 21.916:16.1 Enhancement of Network Slicing (网络切片增强)

本文技术原理深度参考了3GPP TR 21.916 V16.2.0 (2022-06) Release 16规范中,关于“16.1 Enhancement of Network Slicing”的核心章节,旨在为读者深度剖析5G网络切片技术如何从一个相对静态的“蓝图”演进为一个能够支撑全场景移动性、并具备企业级自主安全能力的“实战利器”。

引言:从“静态专网”到“移动堡垒”,切片技术的实战化演进

在前面的章节中,我们已经多次提及网络切片这一5G的标志性技术。它如同一种神奇的“变形术”,能在一套物理网络基础设施上,为不同业务“切”出成百上千个性能隔离、功能定制的虚拟专网。Rel-15为我们描绘了这幅蓝图,定义了切片的基础架构和概念。然而,初版的切片更像是一个个“静态”的、绑定在特定区域的“虚拟专网”,在两个关键的实战化问题上留下了空白:

  1. 移动性难题: 当一个正在使用切片服务的用户,从4G覆盖区域移动到5G区域时,如何保证他的切片服务不中断、不降级?

  2. 身份与安全难题: 如何让切片的访问权限,真正与“人”或“角色”的身份绑定,而不是仅仅绑定于一张SIM卡,从而满足企业对安全和自主可控的极致追求?

Rel-16对网络切片的增强,正是为了精准地回答这两个问题。它为切片插上了“移动的翅膀”,并为其装上了“身份识别的门禁”。

为了身临其境地感受这场演进,让我们再次请出伊芙琳·瑞德医生(Dr. Evelyn Reed)。这一次,她正乘坐一辆搭载了最先进远程医疗设备的“5G智慧救护车”,紧急从郊区赶往市中心的创伤中心。这辆救护车本身,就是一个移动的、多切片服务的“消费终端”:

  • “远程诊断切片”: 一路之上,救护车需要通过一个高带宽、低时延的切片,将患者的高清B超影像和生命体征数据,实时回传给医院的专家团队。

  • “手术机器人切片”: 救护车一旦进入医院园区,就需要无缝接入一个安全性、可靠性和时延要求都达到极致的院内专用切片,以便医生能直接在车上对即将送达的手术机器人进行预操作。

这趟与时间赛跑的生命救援之旅,将完美地诠释Rel-16网络切片增强的两大核心——增强的4G/5G互通性切片特定认证授权(NSSAA)

Release 16 Network Slicing addresses two major limitations of Release 15 in 5GC:

(1) Enhancement of interworking between EPC and 5GC when UE moves from EPC to 5GC, the target serving AMF may not be able to serve all the PDU sessions that the UE intends to move to the 5GC. More specifically, the following aspects needs to be addressed…

(2) Support for Network Slice Specific Authentication and Authorization (NSSAA)

正如规范开篇所指出的,Rel-16切片增强直指两大核心:解决4G/5G互通时目标AMF可能无法服务所有切片的问题,以及支持切片特定的认证与授权

1. 跨越代际的“无缝之桥”:增强的EPC与5GC互通

“5G智慧救护车”正从4G覆盖的郊区高速公路,驶向5G信号覆盖的市区。在Rel-15的框架下,这趟旅程可能会充满“惊险”:当救护车从4G切换到5G时,它可能会被分配给一个不支持“远程诊断切片”的AMF(接入与移动性管理功能),导致关键的视频回传中断!这对于急救而言是不可接受的。Rel-16通过精细化的流程设计,彻底解决了这个难题。

1.1 空闲态移动(CM-IDLE state mobility):未雨绸缪的“导航”

空闲态移动,指的是救护车虽然在线,但没有进行大规模数据传输的场景。当它从4G区域进入5G区域,需要从EPC向5GC更新其位置(Tracking Area Update Registration Update)。

During the mobility from EPS to 5GS, in case of CM-IDLE state, the PGW-C+SMF sends PDU Session IDs and related S-NSSAIs to AMF in Registration procedure. The AMF derives S-NSSAI values for the Serving PLMN and determines whether the current AMF is appropriate to serve the UE. If not, the AMF reallocation may need to be triggered. For each PDU Session the AMF determines whether the V-SMF need to be reselected…

场景解读:救护车进入5G“城区”的智能分诊

  1. “亮出身份”: 救护车向5G网络发起注册请求。在这个过程中,融合了4G PGW-C和5G SMF功能的网元(PGW-C+SMF),会将救护车在4G网络下正在使用的所有PDU会话(及其对应的切片标识S-NSSAI)信息,一并告知给它接触到的第一个5G AMF。

  2. AMF的“自我审视”: 这个AMF(我们称之为AMF-1)收到列表后,首先进行“翻译”,将HPLMN(归属网络)的S-NSSAI映射为当前VPLMN(访问网络)的S-NSSAI。然后,它开始审视自己的能力:“我是否支持救护车需要的‘远程诊断切片’和另一个‘车辆遥测切片’?”

  3. 智能“重定向”(AMF Reallocation): 如果AMF-1发现自己不支持“远程诊断切片”,它不会勉强服务,而是会立即触发AMF重定向流程。它会查询NRF(网络功能仓库),找到一个能够支持救护车所需全部切片的、更合适的AMF(我们称之为AMF-2),然后将救护车的注册请求,无缝地重定向到AMF-2上。

  4. SMF的“二次优化”(SMF Reselection): 最终接管的AMF-2,还会为每一个PDU会话做一次“体检”。它会判断当前服务于这个会话的SMF,在5G环境下是否仍然是最佳选择。例如,如果切换到了一个新的地理区域,可能会有一个更靠近的V-SMF(拜访地SMF)能提供更低的时延。如果需要,AMF-2会触发SMF重选流程。

解读:

这个流程就像一个高效的医院分诊系统。救护车(UE)到达医院(5G网络)后,导诊台(AMF-1)看了一眼病人的多项专科需求(S-NSSAIs),发现自己这里的外科设备不全,立刻通过内部系统,将病人直接引导到了设备最齐全的急诊中心(AMF-2)。急诊中心接手后,还为病人的不同病症(不同PDU会話),分别联系了最对口的专科医生(V-SMF)。这个未雨绸缪的“导航”机制,确保了UE从一开始就能被最合适的一组网络功能所服务,避免了后续的业务中断风险。

1.2 连接态移动(CM-CONNECTED state mobility):切换中的“精准预判”

现在,场景变得更具挑战性。救护车正一边飞驰,一边通过“远程诊断切片”实时回传高清B超影像。此时,车辆跨越4G/5G边界,触发了连接态的切换(Handover)

In case of CM-CONNECTED state, during handover preparation phase the PGW-C+SMF sends PDU Session IDs and related S-NSSAIs to AMF… Based on the received S-NSSAIs values, the target AMF derives the S-NSSAI values… the target AMF reselects a final target AMF if necessary and forwards the handover request to the final target AMF.

场景解读:空中的“无缝交接棒”

这个过程,发生在切换准备阶段,一切都在“幕后”悄然完成,对车上的业务毫无影响。

  1. “情报传递”: 在4G基站决定要切换到5G基站之前,切换所需的所有切片信息(S-NSSAIs),就已经通过核心网,从PGW-C+SMF传递到了预想的目标AMF(我们称之为Target-AMF-1)。

  2. “预判与决策”: Target-AMF-1会立即执行与空闲态类似的“自我审视”和“重定向”决策。如果它发现自己能力不足,它会在切换执行前,就确定一个最终能够胜任的Final-Target-AMF

  3. “指令直达”: 切换指令会被直接发送给这个最终确认的、能力完备的Final-Target-AMF。

  4. 平滑切换: 救护车根据指令,直接切换到5G基站,并与Final-Target-AMF建立连接。此时,由于预先的智能匹配,Final-Target-AMF能够完美地承接所有的切片业务,高清B超影像的回传没有出现一丝卡顿。

  5. 后续优化: 切换成功后,新的AMF同样会检查并触发必要的SMF重选,并通过N2 SM消息,将最新的切片路由信息更新给基站。

解读:

连接态的互通增强,如同一次精准的空中加油。在加油机(UE)到达对接点(切换执行)之前,两架加油机(源网络和目标网络)已经完成了所有复杂的航线规划和能力匹配,确保了对接过程的一次成功,万无一失。

2. 身份定义的访问权限:网络切片特定认证与授权 (NSSAA)

救护车顺利抵达医院园区。此时,车上的医疗终端需要接入一个安全性、可靠性和隔离性都达到最高级别的院内“手术机器人切片”。这个切片的访问权限,不能授予给“这辆救护车”,而必须精确地授予给“车上的伊芙琳·瑞德医生本人”。这正是NSSAA大显身手的时刻。

Enable the support for separate authentication and authorization per Network Slice. The trigger of NSSAA in the 5GC is based on UE subscription information from UDM and also operator’s policy… The AMF performs the role of the EAP Authenticator and communicates with the AAA-S via the AUSF.

2.1 NSSAA的触发与调用时机

NSSAA并非针对所有切片,而是一个可选的“加强版”安全程序。网络何时会启动它?

This procedure can be invoked for a supporting UE by an AMF at any time, e.g. when:

a. The UE registers with the AMF and one of the S-NSSAIs… is requiring Network Slice-Specific Authentication and Authorization; or

b. The Network Slice-Specific AAA Server triggers a UE re-authentication and re-authorization…; or

c. The AMF, based on operator policy or a subscription change, decides to initiate the [NSSAA] procedure…

场景解读:门禁系统的“三重奏”

  1. 场景A - 主动申请(UE注册时): 这是最常见的场景。救护车进入医院园区后,伊芙琳医生的终端检测到“手术机器人切片”的信号,并尝试注册。AMF从UDM获取的签约信息中得知,该切片被标记为“需要NSSAA”,于是主动发起了二次认证流程。

  2. 场景B - 服务器主动“查岗”(AAA-S触发): 伊芙琳医生已经连接上切片,正在进行术前准备。医院的安全策略规定,每隔30分钟必须进行一次身份重认证。此时,医院自己的AAA服务器会主动向5G核心网发起一个“重认证”请求,要求伊芙琳医生再次确认身份。

  3. 场景C - 网络策略触发(AMF触发): AMF可以配置一些智能策略。例如,当AMF检测到伊芙琳医生的终端从医院A区移动到了B区,即使AAA-S没有要求,AMF也可以根据预设的“跨区移动需重认证”的策略,主动发起一次NSSAA。

2.2 结果与后果:授权、失败与撤销

NSSAA的结果直接决定了UE的命运。

Based on the outcome of the Network Slice-Specific Authentication and Authorization, the Allowed NSSAI for each Access Type will be updated accordingly… if the [NSSAA] fails for all S-NSSAIs in the Allowed NSSAI, the AMF shall execute the Network-initiated Deregistration procedure… A Network Slice-Specific AAA server may revoke the authorization… at any time.

  • 成功: 医院AAA服务器确认了伊芙琳医生的身份和权限。该切片的S-NSSAI被正式加入到UE上下文的“允许的NSSAI(Allowed NSSAI)”列表中。伊芙琳医生现在可以畅通无阻地使用这个切片了。

  • 失败: 如果伊芙琳医生身份验证失败,AMF会将该S-NSSAI从“Allowed NSSAI”中移除。如果这是她唯一请求的、且需要NSSAA的切片,AMF甚至会执行网络发起的去注册流程,将该UE“踢下线”,以确保安全。

  • 撤销(Revocation): 手术顺利结束。医院的IT管理员在系统后台,将伊芙琳医生对该切片的访问权限撤销。AAA服务器会立即通知5G核心网。AMF收到通知后,会立刻强制释放该终端上所有与该切片相关的PDU会话,并更新其“Allowed NSSAI”,瞬间收回了访问权限。

解读:

NSSAA为5G网络切片构建了一个动态、灵活、且控制权掌握在企业手中的强大安全体系。它就像一个智能的、可远程管理的“动态门禁”,确保了在正确的时间、正确的地点,只有正确的人,才能访问正确的网络资源。

总结

通过对16.1节的深度解读,我们看到Rel-16为网络切片这一5G的核心技术,补上了“移动性”和“身份安全”这两块最关键的拼图,使其真正具备了大规模商用的实战能力。

  • 增强的EPC-5GC互通性,通过在切换前进行智能的AMF/SMF预判和重选,为切片服务构建了一座跨越4G和5G的“无缝之桥”,保证了业务在移动中的连续性。

  • 切片特定认证与授权(NSSAA),通过引入独立于SIM卡的二次身份认证,为高安全要求的企业切片打造了一把由企业自己掌控的“金钥匙”,实现了从“认证设备”到“认证用户”的飞跃。

对于伊芙琳医生和她的智慧救护车而言,这两项增强意味着,无论是在高速移动的途中,还是在安全壁垒森严的院区内,她所依赖的“生命线切片”都既能“畅通无阻”,又能“壁垒森严”。这正是5G网络切片从一个静态的概念,走向一个动态、安全、智能的商业现实的完美写照。

FAQ环节

Q1:在4G到5G的切换中,切片信息(S-NSSAI)是如何从4G网络传递到5G网络的?

A1:这依赖于一个前提:运营商部署了4G/5G融合核心网,其中的PGW-C(4G)和SMF(5G)功能被合并部署,并且MME和AMF之间启用了N26接口。在这种架构下,切片信息(S-NSSAI)作为PDU会话上下文的一部分,存储在融合的PGW-C+SMF中。当发生移动性事件时(无论是空闲态的TAU还是连接态的Handover),这个上下文信息(包括S-NSSAIs)就可以通过核心网内部信令,被传递给目标AMF。

Q2:AMF重定向(Reallocation)和普通的UE被网络重定向有什么区别?

A2:AMF重定向是一个对UE透明的、在核心网内部完成的快速重定向过程。它发生在UE的初始接入或切换准备阶段,UE本身可能感知不到自己被“转手”给了另一个AMF。而普通的网络重定向,通常是在UE注册被拒绝后,网络在拒绝消息中携带一个新的目标AMF信息,UE需要重新发起一次对新AMF的注册,过程相对较慢,对用户体验影响较大。

Q3:NSSAA认证过程,是否会增加用户接入网络的时延?

A3:是的,会增加。因为NSSAA引入了一次额外的、端到端(UE到企业AAA-S)的信令交互流程。这个时延的大小,取决于EAP认证方法的复杂程度以及企业AAA服务器的响应速度。因此,NSSAA通常只用于那些对安全性要求远高于时延要求的场景,如访问高度机密的企业内部系统、金融交易网络或关键基础设施控制网络等。

Q4:如果一个UE不支持NSSAA功能,但它请求了一个需要NSSAA的切片,会发生什么?

A4:根据规范,如果UE不支持NSSAA(在其5GMM能力中未上报支持),但它请求的S-NSSAI在UDM的签约数据中又被标记为“需要NSSAA”,那么AMF将直接拒绝该UE对这个S-NSSAI的请求。这意味着,不支持NSSAA的终端,将无法访问那些被强制要求NSSAA保护的切片。

Q.5:NSSAA的认证状态是永久有效的吗?

A5:不是。NSSAA的认证状态是有生命周期的,并且可以被动态管理。首先,认证结果(成功或失败)会缓存在AMF中,只要UE保持注册状态,在后续的移动性事件(如周期性更新)中通常无需重复认证。其次,如前文所述,企业AAA服务器或AMF可以随时根据策略,主动发起重认证来刷新状态,或者直接撤销授权。这保证了认证状态的“新鲜”和安全。

关系图谱