51学通信

深度解析 3GPP TS 23.015:2.9节 “白名单”模式的数据接入限制

16分钟阅读

好的,我们继续对TS 23.015的深度拆解。

这是系列文章的第八篇,我们将解读规范中一个面向未来的新章节:2.9节 Barring of Access to All Except Some Specific DNNs/APNs (白名单模式的数据接入限制)。这一节为5G时代的网络切片、边缘计算和物联网安全,提供了一种极其强大的精细化管控能力。

深度解析 3GPP TS 23.015:2.9节 “白名单”模式的数据接入限制

本文技术原理深度参考了3GPP TS 23.015 V18.1.0 (2024-06) Release 18规范中,关于“2.9 Barring of Access to All Except Some Specific DNNs/APNs”的核心章节。本文旨在为读者揭示一种与传统“黑名单”模式截然相反的、更为精细和安全的ODB(运营商决定性呼叫限制)新范式。我们将通过一个典型的工业物联网场景,来剖析这种“白名单”模式是如何在5G/4G网络中实现的。

引言:从“禁止做什么”到“只允许做什么”

在此前的所有篇章中,我们所讨论的ODB,其核心逻辑都是**“黑名单”模式**——默认所有业务都是允许的,除非被明确禁止。例如,“禁止国际漫游”、“禁止访问高价热线”等等。这种模式对于管理普通消费者的通信行为是有效的。

然而,随着5G时代的到来,连接的对象从“人”大规模扩展到了“物”。想象一下,一座智慧工厂里,成千上万的传感器、机械臂、AGV(自动导引运输车)都通过5G网络连接。对于这些“物”,网络安全的需求发生了根本性的变化。工厂管理者需要的不再是“禁止我的机械臂访问娱乐网站”,而是更严格的**“我的机械臂,除了指定的工厂内部生产控制服务器,禁止访问任何其他网络地址!”**

这种“默认禁止,例外允许”的逻辑,就是**“白名单”模式**。它提供了比“黑名单”模式高出几个数量级的安全性。TS 23.015的2.9节,正是为这种新兴需求而生的技术实现方案。

场景设定: 我们引入一个新的主角——工业质检摄像头**“鹰眼-01”。它被安装在一家汽车工厂的生产线上,通过5G网络,将高清图像实时上传到一个位于工厂边缘计算节点的AI质检服务器**进行分析。为了安全和成本考虑,工厂与运营商签订了协议,为“鹰眼-01”这张SIM卡,开通了“白名单”模式的ODB。

1. 2.9.1 & 2.9.2 策略的部署:在“基因”层面重塑签约档案

这一节描述了“白名单”策略是如何在中央数据库中被定义和下发的。

2.9.1 General Barring of access to all except some specific DNNs/APNs shall be performed based on the Operator Determined Barring for Packet Oriented Services…

2.9.2 Application or Change of Barring in the UDM/HSS/HLR When barring of access to all except some specific DNNs/APNs is invoked in the UDM/HSS/HLR, the UDM/HSS/HLR shall update the subscription profile to contain only the specific non barred DNNs/APNs as the subscribed DNNs/APNs and indicate the updated subscription information to the AMF, SMF, MME or the SGSN.

  • 核心流程解读:

    1. 策略设定: 工厂管理员通过运营商提供的企业管理门户,为“鹰眼-01”的签约ID(SUPI/IMSI)配置了ODB“白名单”规则:“只允许访问DNN为ai-inspection.factory.com”。
    2. 签约档案的“重塑”: 这是“白名单”模式与“黑名单”模式在实现上的根本区别
      • 在**“黑名单”**模式下,UDM/HSS会保留用户完整的签约DNN/APN列表,然后额外附加一条“禁止xx”的ODB标志。
      • 而在**“白名单”模式下,UDM/HSS会执行一次“外科手术”:它会直接修改用户的签约DNN/APN列表本身,将其中所有不在“白名单”上的DNN/APN全部删除**,只保留白名单上的那几个。
    3. 被“重塑”的档案下发: UDM/HSS将这份被“净化”过的、只包含白名单DNN/APN的签约数据,通过标准的签约数据同步流程(如5G的Nudm_SDM_Notification或4G的Insert Subscriber Data),下发给AMF/SMF/MME/SGSN

  • 关键影响:

    • “If the existing default DNN/APN is barred, one of the specific non barred DNN/APNs shall be the new default DNN/APN.”: 如果原来的默认上网DNN被禁止了,UDM/HSS必须从白名单中指定一个新的默认DNN。
    • “The UDM/HSS/HLR shall disable any other barring of Packet Oriented Services when this function is used.”: “白名单”模式的优先级是最高的。一旦启用,它会覆盖所有其他的“黑名单”式数据业务限制规则。

  • 场景演绎: 在为“鹰眼-01”配置后,其在UDM中的签约数据Subscribed DNN List,从原来可能包含internet, management, ai-inspection.factory.com等多个DNN,被“重塑”为只剩下ai-inspection.factory.com这一个条目。这份“迷你”版的签约档案,被推送给了工厂内的AMF和SMF。

2. 2.9.3 限制的触发:“不知者”无罪,“不在表上”必拒

这一节描述了当前线网络节点(AMF/SMF/MME/SGSN)收到了这份被“净化”过的签约数据后,是如何执行拦截的。

2.9.3 Invocation of Barring …when the AMF, the MME or the SGSN receives PDU/PDN Connectivity Request message from the UE or the MS, the AMF, the MME or the SGSN shall check whether or not the requested DNN/APN is included in the list of subscribed DNNs/APNs for the subscriber. If not included, then the AMF, the MME or the SGSN rejects the… request…

  • 核心流程解读:

    • 拦截者: AMF, SMF, MME, SGSN这些一线的服务节点。
    • 拦截时机: 收到来自UE的PDU/PDN Connectivity RequestAttach Request时。
    • 决策逻辑: 这里的决策逻辑变得极其简单和高效。服务节点不再需要去理解复杂的ODB规则和多种场景的排列组合。它只需要做一个简单的**“查表”**动作:
      1. 从UE的请求中,提取出用户想要访问的DNN/APN。
      2. 在本地缓存的、那份已经从UDM/HSS同步过来的“迷你”签约列表中,查找是否存在这个DNN/APN。
      3. “If included, then … continues the … procedures”: 如果找到了,说明是白名单内的合法请求,继续正常的会话建立流程。
      4. “If not included, then … rejects the … request”: 如果没找到,直接拒绝。

  • 对存量连接的影响:

    …if the subscriber has existing PDN connectivity for DNNs/APNs not in the received list of subscribed DNN/APN, the SMF, MME or the SGSN deactivates the PDU/PDN connectivity…

    • 这条规定与我们在2.6节中学到的“追溯性”限制一脉相承。当服务节点收到一份更新后的、更小的“白名单”时,它会“自查”当前已存在的连接。如果发现某个连接的DNN/APN已经不在新的白名单上,它会主动发起去激活流程,将其“强拆”。

  • 场景演绎:

    • 合法请求: “鹰眼-01”开机后,请求连接到DNN ai-inspection.factory.com。SMF在它从UDM收到的签约数据中,找到了这个DNN。请求被允许,PDU会话成功建立,“鹰眼-01”开始向AI服务器上传图像。
    • 非法请求: 假设一个黑客通过某种方式,侵入了“鹰眼-01”的操作系统,并尝试让它连接到internet DNN,企图将其作为一个跳板发起网络攻击。
      • 这个请求到达SMF。
      • SMF在“鹰眼-01”的“迷你”签约数据中,找不到internet这个条目。
      • SMF立即拒绝了这个PDU会话建立请求。
    • 结果: 黑客的企图在网络接入的第一关就被挫败了。由于这份签约数据是从UDM这个“可信根”下发的,即使黑客完全控制了设备,也无法绕过网络核心层的签约数据检查。

3. “白名单”模式的价值与意义

2.9节引入的“白名单”模式,是3GPP为适应5G时代高安全、垂直行业应用需求而迈出的重要一步。

  • 极高的安全性: “默认禁止”原则,极大地缩小了物联网终端的攻击面。即使终端本身存在漏洞被攻破,攻击者也无法利用它来访问未经授权的网络,有效遏制了攻击的横向扩散。
  • 简化的网络执行逻辑: 将复杂的策略判断,集中在了UDM/HSS这个“大脑”层面。而一线的服务节点(AMF/SMF/MME)的执行逻辑被大大简化,只需进行高效的“查表匹配”。这使得网络控制面的处理更快速、更健壮。
  • 赋能垂直行业: 这种精细化的接入控制能力,是运营商向制造、能源、交通等垂直行业提供高价值、高安全专网服务的关键技术之一。它让企业客户能够像管理内网防火墙一样,精确地管理其成千上万蜂窝终端的网络行为。

FAQ环节

Q1:“白名单”模式和传统的企业APN/DNN有什么区别? A1:传统的企业APN/DNN也提供了一种接入控制,但2.9节的“白名单”模式是更强制、更动态的。

  • 传统模式: 用户可能签约了多个APN,包括internet和企业APN。UE可以自行选择连接哪个。企业通常需要依赖终端侧的MDM(移动设备管理)软件,来限制UE只能使用企业APN。这种方式依赖于终端的配合,安全性较低。
  • “白名单”模式: 这是网络侧的强制行为。用户的签约数据本身就被“阉割”了,只剩下企业指定的APN/DNN。终端即使想请求internet,也会被核心网直接拒绝。这种安全不依赖于终端,是**零信任(Zero Trust)**网络安全理念的体现。

Q2:如果一个用户的签约数据被“白名单”模式修改了,这个修改是永久的吗? A2:不是的。“白名单”模式本身是ODB功能的一种,它的激活和去激活都是动态的

When barring of access to all except some specific DNNs/APNs is removed in the UDM/HSS/HLR, the UDM/HSS/HLR shall update the subscription profile to restore the originally subscribed DNNs/APNs

  • 当工厂管理员通过门户网站,为“鹰眼-01”取消“白名单”模式时,UDM/HSS会从其永久的、完整的数据库中,恢复该用户原始的、完整的签约DNN列表,并将其重新同步给AMF/SMF。之后,“鹰眼-01”就又可以访问internet等其他DNN了。

Q3:这个功能是5G独有的吗? A3:不是。正如章节标题和内容所示,它同时适用于UDM/HSS/HLR,以及AMF/SMF/MME/SGSN。这意味着,它被设计为可以同时在5G、4G甚至2G/3G的GPRS网络中实现。只是在5G时代,随着物联网和垂直行业应用的爆发,这个功能的应用场景和重要性被极大地凸显了。

Q4:在执行“白名单”模式时,服务节点(如MME/SMF)如何区分这是ODB行为,还是一次普通的签约数据变更? A4:服务节点不需要区分。这正是这种实现方式的巧妙之处。对于MME/SMF来说,它收到的永远只是一份“签约数据”。它不需要知道这份数据是用户的原始签约,还是被UDM/HSS“重塑”过的结果。它的工作永远是——忠实地、无条件地执行它收到的这份签约数据。这种信息屏蔽,使得底层的执行逻辑与上层的策略意图完美解耦。

Q5:如果白名单中唯一的DNN/APN,正好解析到一个发生了故障的网关(PGW/UPF),会发生什么? A5:在这种情况下,用户的所有数据业务都会中断。因为这是他唯一被允许访问的路径。这凸显了在部署“白名单”模式时,保障白名单目标网络(如企业专网的UPF/PGW)高可用性的重要性。运营商通常会为此类企业专网提供冗余备份和快速故障切换机制,以确保服务的连续性。

关系图谱