51学通信

深度解析 3GPP TS 23.122:3.8 CAG selection (N1 mode only) (CAG选择)

21分钟阅读

好的,我们继续下一篇的规范深度解读。这次我们将进入5G时代一个非常重要且相对较新的领域——CAG(Closed Access Group),它是CSG(封闭用户组)在5G架构下的演进与增强。

深度解析 3GPP TS 23.122:3.8 CAG selection (N1 mode only) (CAG选择)

本文技术原理深度参考了3GPP TS 23.122 V18.10.0 (2025-03) Release 18规范中,关于“3.8 CAG selection (N1 mode only)”的核心章节,旨在为读者详细剖析5G终端(UE)是如何在公网和“半公半私”的CAG网络之间进行智能识别、选择与接入的,揭示其作为实现5G企业专网“本地分流”和“公专融合”的关键技术原理。

在之前的章节中,我们已经了解了3G/4G时代的CSG技术,它像是在公网上开设的“VIP包间”,为家庭或小型企业提供了专属的网络接入。进入5G时代,随着垂直行业对网络需求的爆炸式增长,这种“包间”模式需要升级。企业不仅需要“专属”,还需要更灵活的管理、更清晰的标识,以及与公网更无缝的融合。

为此,3GPP在5G核心网架构(N1模式)下,推出了CAG(Closed Access Group,封闭接入组)。CAG继承了CSG的核心理念——基于“白名单”的接入控制,但在标识、管理和终端行为上进行了全面的增强和演进。它可以被看作是5G时代实现轻量级企业专网、校园专网等场景的主流技术之一。

那么,CAG与CSG相比,到底“新”在哪里?5G手机又是如何“喜新厌旧”,优先识别和选择CAG网络的呢?

为了生动地展现CAG的工作流程,让我们引入今天的主角——大型智能制造工厂的设备维护工程师“王工”。王工所在的工厂部署了一张5G CAG专网,覆盖了整个生产车间。这张网络专门用于AGV小车调度、生产数据采集和AR辅助维修等关键业务。王工的工作手机既需要连接工厂的CAG专网来执行维修任务,又需要在离开车间后,无缝切换到运营商公网,接听日常电话。

当王工每天佩戴着AR眼镜,从办公区走进生产车间时,他的手机NAS层就在上演着一场由CAG定义的、高度智能的“公专网络无感切换”。

1. CAG的“身份证”:CAG-ID与CAG Information List

要接入CAG网络,手机首先需要一份“通行证”。这份通行证就是由网络下发并存储在手机中的“CAG信息列表(CAG information list)”。

If the MS supports CAG, the MS can be provisioned by the network with a “CAG information list”, consisting of zero or more entries, each containing: a) a PLMN ID; b) an “Allowed CAG list”. The “Allowed CAG list” contains zero or more CAG-IDs… c) an optional “indication that the MS is only allowed to access 5GS via CAG cells”.

深度解析:

这段话定义了CAG“通行证”的核心结构,它比CSG的“白名单”更为精细和强大:

  1. 分层结构 (Hierarchical Structure)CAG information list不再是CSG时代简单的{PLMN ID, CSG ID}对列表。它是一个更复杂的结构,以PLMN ID为索引。每个PLMN条目下,包含一个Allowed CAG list(许可CAG列表),这个列表里才是一个或多个CAG-ID

  2. CAG-ID: 这是CAG网络的唯一标识。与CSG ID类似,它由基站(gNB)在系统信息(SIB1)中广播。一个gNB可以同时广播多个CAG-ID,服务于不同的企业或部门。

  3. 增强的控制能力 (Enhanced Control)

    • (c)项 “仅限CAG接入”指示: 这是一个非常强大的“枷锁”。如果某个PLMN条目下包含了这个指示,意味着手机在该运营商网络下,只能接入CAG小区,不能使用普通的宏站公网。这对于一些安全性要求极高的专网设备(如只允许在厂区内工作的终端)是至关重要的。
    • 时间有效性 (Time Validity):规范还引入了time validity information,允许运营商为每个CAG-ID设置生效的时间段。例如,一个展会的CAG网络可以被设置为只在展会期间有效。

场景再现:

王工的手机里就存储着一份由公司IT部门和运营商共同配置的CAG information list,其结构大致如下:

[
  {
    "PLMN ID": "460-00", // 运营商公网
    "Allowed CAG list": [
      {
        "CAG-ID": "Factory-A-Prod", // A厂区生产网
        "Time validity": "工作日 08:00-18:00"
      },
      {
        "CAG-ID": "Factory-A-Test",  // A厂区测试网
        "Time validity": "永久有效"
      }
    ],
    "indication_only_CAG": false // 允许接入公网
  }
]

这份“通行证”清晰地告诉王工的手机:在运营商460-00的网络下,你有权在特定时间接入生产网,随时可以接入测试网,并且在没有CAG信号时,可以自由使用公网。

2. “通行证”的来源与同步:USIM与ME的协同

这份重要的CAG information list从何而来?又如何保持最新?

The “CAG information list” provisioned by the network is stored in the non-volatile memory of the ME… In addition, the MS can also be pre-configured with a “CAG information list” stored in the USIM… NOTE 3: The MS ignores the “CAG information list” stored in the USIM except when the USIM is inserted.

深度解析:

规范为CAG信息的来源设计了“预置+同步”的双轨机制:

  1. USIM预置 (Pre-configuration):最直接的方式是在USIM卡出厂时,就预先写入一份基础的CAG information list。这非常适合批量部署的行业终端。当手机插入一张新的、包含CAG信息的USIM卡时,它会读取这份信息,并将其作为初始配置存入手机的非易失性存储(ME)中。

  2. 网络同步 (Network Provisioning):手机在网络上注册后,核心网(AMF)可以通过NAS信令(如Configuration Update命令),向手机动态下发或更新CAG information list。这是保持CAG权限信息最新、最灵活的方式。

  3. USIM的“一次性”作用NOTE 3是一个关键点。规范指出,手机只在插入USIM卡的那个瞬间才会去读取卡里的CAG信息。之后,它将完全依赖存储在ME中、并由网络动态更新的版本。USIM卡里的信息只作为“初始引导”,真正的“权威版本”在手机的内存和网络侧。

场景再现:

王工刚领到新的工作手机时,IT部门给了他一张新的USIM卡。他将卡插入手机,开机。手机检测到新卡,读取了其中预置的工厂CAG信息,并将其存入ME。之后,王工的手机在工厂网络注册时,网络AMF发现后台为王工新增了一个临时访问“研发中心CAG”的权限,于是AMF通过NAS信令,向王工的手机更新了CAG information list,动态地添加了新的CAG-ID。

3. CAG选择:自动模式下的“公专切换”逻辑

当王工走进生产车间,手机是如何从公网自动切换到CAG专网的?这个过程在自动PLMN选择(clause 4.4.3.1.1)的m)条款中有详细描述。

m) In i to vii, if the MS supports CAG and:

  1. is provisioned with a non-empty “CAG information list”, the MS shall consider a PLMN indicated by an NG-RAN cell only if: A) the cell is a CAG cell and broadcasts a CAG-ID for the PLMN such that there exists an entry with the PLMN ID of the PLMN in the “CAG information list” and the CAG-ID is authorized based on the “Allowed CAG list” of the entry; or B) the cell is not a CAG cell and:
    • there is no entry with the PLMN ID of the PLMN in the “CAG information list” but the “indication that the MS is only allowed to access 5GS via CAG cells” is not included in the entry; or…

深度解析:

这段复杂的规则可以简化为一套清晰的决策逻辑,它在手机进行小区选择/重选的每一步都会被执行:

对于任何一个扫描到的小区,手机会问自己三个问题:

  1. 你是谁?(小区类型):你是普通小区(non-CAG cell)还是CAG小区?(通过SIB1中的cag-InfoList判断)
  2. 我有什么指令?(CAG配置):我的CAG information list里,关于你这个PLMN,有什么样的规定?
  3. 我们匹配吗?(决策)

基于此,形成了以下决策矩阵:

小区类型我的CAG配置决策场景
CAG小区我有该CAG-ID的“通行证”允许驻留王工走进车间,手机发现车间CAG信号,核对通行证后成功接入。
CAG小区我没有该CAG-ID的“通行证”禁止驻留王工的朋友来访,手机发现CAG信号,但没有通行证,只能忽略。
普通小区配置了“仅限CAG接入”禁止驻留工厂里的AGV小车,被限制只能用CAG网,即使有公网信号也不能用。
普通小区未配置“仅限CAG接入”允许驻留王工离开车间,手机搜索不到CAG信号,于是自由地接入了公网。

这个逻辑确保了手机在有权访问的、信号更优的CAG网络出现时,能够优先、自动地切换过去;而在离开CAG覆盖后,又能无缝地退回到公网。

4. 手动模式下的CAG选择

除了自动切换,规范也为用户提供了手动选择CAG网络的能力,这在clause 4.4.3.1.2(手动网络选择)中有详细描述。

In i to v, if the MS supports CAG, for each PLMN/access technology combination of NG-RAN access technology, the MS shall present to the user: a) the PLMN/access technology combination and a list of CAG-IDs composed of one or more CAG-IDs such that for each CAG-ID:

  1. there is an available CAG cell which broadcasts the CAG-ID for the PLMN; and
  2. …the CAG-ID is authorized based on the “Allowed CAG list” of the entry;

深度解析:

在手动模式下,手机会:

  1. 扫描并分类呈现:扫描所有可用的小区,并将结果以更友好的方式呈现给用户。它不再是简单地列出PLMN,而是会列出{PLMN, CAG-ID}的组合。例如,用户可能会看到:
    • 中国移动
    • 中国移动 - 工厂生产网 (CAG)
    • 中国移动 - 工厂测试网 (CAG)
  2. 标注权限:手机还会根据自己的CAG information list,在列表旁清晰地标注出哪些CAG是用户有权访问的。
  3. 广播人性化名称:基站可以在SIB中广播每个CAG-ID对应的人性化名称(human-readable network name),如“Factory-A-Production-Network”。手机在手动列表中会优先显示这个名称,而不是一长串的ID,极大地提升了用户体验。

场景再现:

王工需要进入测试车间,他想手动确认一下网络连接。他打开手机的手动选网界面,看到了如下列表:

  • 中国移动
  • 工厂生产网 (已连接)
  • 工厂测试网 (可用)
  • 研发中心 (无权限)

他清晰地看到了自己当前连接的网络,以及其他可用的CAG网络和权限状态。他点击“工厂测试网”,手机便会发起向该CAG网络的切换。

5. 总结

CAG作为5G时代CSG的演进,为企业专网与公网的融合提供了强大而灵活的标准化方案。通过本章对TS 23.122中3.8章节的深度剖析,我们理解了CAG机制的四大核心创新:

  • 更精细的身份管理:通过PLMN ID + CAG-ID的分层结构,以及可附加的时间有效性,实现了对网络接入权限的精细化、动态化管理。
  • 更灵活的配置方式:结合USIM预置网络动态更新,既满足了行业终端的批量部署需求,又保证了策略的实时性和灵活性。
  • 更强大的接入控制:“仅限CAG接入”指示为高安全级别的专网应用提供了一个“物理隔离”级别的安全保障,是CAG相比CSG的一个重大增强。
  • 更友好的用户体验:在手动模式下,通过呈现人性化的网络名称权限状态,大大降低了用户在复杂“公专融合”网络环境下的使用门槛。

王工在工厂里的每一次无感网络切换,背后都是这套精密CAG选择逻辑的完美演绎。它不仅是实现5G to B(面向企业)应用落地的重要技术抓手,也为未来个人用户享受更丰富、更差异化的场景化网络服务(如体育场专享网络、演唱会高清直播网络等)铺平了道路。

FAQ环节

Q1:CAG和SNPN(独立组网的非公共网络)都是5G专网技术,它们有什么区别? A1:两者都是实现5G专网的关键技术,但适用场景和部署模式不同。

  • SNPN:是完全独立的专网,拥有自己的核心网和专用PLMN ID(由NID+MCC/MNC组成)。它与公共网络物理或逻辑上完全隔离,安全性最高,适合对数据不出园区、自主可控要求极高的场景(如军工、政府)。终端需要有专门的SNPN签约信息才能接入。
  • CAG:是基于公共运营商网络(PLMN)实现的“公专融合”专网。它与运营商共享核心网和PLMN ID,但通过CAG-ID在无线接入侧进行隔离,并能实现数据流量的本地分流(LADN)。它部署更轻量、成本更低,适合对公专融合、漫入漫出有需求的场景(如智慧工厂、校园、医院)。

Q2:一个基站(gNB)可以同时服务于公网用户和CAG用户吗? A2:可以。一个gNB可以被配置为“混合模式”(Hybrid Cell)。在这种模式下,基站会同时广播一个PLMN ID和一个或多个CAG-ID。拥有CAG“通行证”的用户(如王工)会识别出这是一个CAG小区并优先接入。而没有通行证的普通公网用户,则会将其视为一个普通的宏站小区进行接入。这种模式非常适合在企业园区、商场等既有公众又有专网用户覆盖需求的场景。

Q3:我的手机支持5G,是不是就一定支持CAG? A3:不一定。支持CAG需要手机的基带芯片和NAS协议栈都实现相关的协议功能。虽然这是5G N1模式下的一个标准功能,但早期的5G手机或一些低成本的物联网模块可能并未实现。终端会在其能力信息(UE Capability Information)中向网络上报自己是否支持CAG。网络侧只有在确认终端支持CAG的情况下,才会向其下发CAG information list

Q4:如果我手动选择了一个无权限的CAG网络,会发生什么? A4:你的手机会忠实地执行你的指令。它会尝试在该CAG小区上发起注册请求。但是,当这个请求到达核心网(AMF)后,AMF会查询你的签约数据(UDM),发现你的“Allowed CAG list”中并不包含这个CAG-ID。于是,AMF会拒绝你的注册请求,并返回一个相应的拒绝原因,例如5GMM cause #76 "Not authorized for this CAG or authorized for a CAG but the CAG-ID is not included in the 'Allowed CAG list'"。你的手机屏幕上会显示“注册失败”或“无法连接到此网络”。

Q5:CAG的时间有效性(Time Validity)功能有什么实际应用? A5:这个功能非常实用。例如:

  • 临时活动网络:为一个大型会议或体育赛事部署的临时CAG网络,可以精确地设置为只在活动期间(如某年某月某日8点到18点)生效。活动结束后,该CAG-ID自动失效,无需网络侧做额外操作。
  • 分时权限管理:在王工的工厂里,可以将生产网CAG的权限设置为仅在工作时间对普通员工有效,而在非工作时间,只有高级管理员或安保人员的终端才能接入,从而实现更精细化的安全管理。
  • 潮汐网络:在一些旅游景区,可以为旺季和淡季设置不同的CAG策略,动态调整网络资源和服务。

关系图谱