51学通信

深度解析 3GPP TS 23.501:5.30 Support for non-public networks (Part 3 - 自动“入籍”与无缝漫游)

18分钟阅读

本文技术原理深度参考了3GPP TS 23.501 V18.9.0 (2025-03) Release 18规范中,关于“5.30 Support for non-public networks”的核心章节,旨在为读者提供一个5G独立非公共网络(SNPN)如何实现新设备的自动“入籍”(Onboarding)以及网络内部的无缝移动(Mobility)的全景视图。本文为系列解读的第二部分。

深度解析 3GPP TS 23.501:5.30 Support for non-public networks (Part 3 - 自动“入籍”与无缝漫游)

欢迎回到“解构5G核心网”的SNPN专题。在Part 2中,我们成功地为CyberGear工厂的SNPN“独立王国”搭建了通往外部世界的“桥梁”,实现了与公共网络(PLMN)的双向互通。然而,一个王国要发展壮大,除了对外交流,还必须解决两个核心的内部问题:新成员的“入籍”国民在疆域内的“自由通行”

今天,我们将继续深入规范的5.30章节,聚焦于两个极具实践意义的议题:

  1. UE自动“入籍” (Onboarding of UEs for SNPNs - 5.30.2.10): 一台全新的、“空白”的设备(如刚出厂的AGV),是如何安全、自动地获取身份凭证,并成为SNPN的合法“公民”的?
  2. SNPN内的“无缝漫游” (UE Mobility support for SNPN - 5.30.2.11): 当已入籍的设备在工厂内部的不同区域移动,甚至跨越到另一个互信的SNPN网络时,网络如何保证其连接不中断,实现无缝的移动性支持?

我们的主角,网络总监张工,今天迎来了一个新任务:一批全新的**“AGV-NextGen”**运抵工厂。这些AGV出厂时只带有最基础的“出厂设置”(Default Credentials),张工需要将它们安全、高效地接入到CyberGear的SNPN中。同时,CyberGear最近还并购了隔壁的“Innovate Robotics”工厂,并希望两家工厂的SNPN网络能够互联互通,实现AGV的跨厂区无缝调度。

让我们跟随张工的操作,揭开SNPN新成员“入籍”和内部“漫游”的神秘面纱。

1. 从“访客”到“公民”:UE的自动入籍流程 (Onboarding, 5.30.2.10)

“Onboarding”(入网/引导)是一个安全引导过程,它允许一个仅持有默认凭证的UE,安全地连接到一个临时的“引导网络”(Onboarding Network, ONN),并从中获取用于访问其最终归属网络(Subscription Owner SNPN, SO-SNPN)的正式凭证。

Onboarding of UEs for SNPNs allows the UE to access an Onboarding Network (ONN) for the purpose of provisioning the UE with SNPN credentials for primary authentication and other information to enable access to a desired SNPN, i.e. (re-)select and (re-)register with SNPN.

1.1 核心角色与概念

这个“入籍”流程涉及多个关键角色:

  • UE with Default Credentials: 我们的“AGV-NextGen”,它持有的不是某个运营商的SIM卡,而是一套出厂时预置的、全球唯一的默认身份凭证。
  • ON-SNPN (Onboarding SNPN): 扮演“移民局”角色的SNPN。它是一个特殊的SNPN,允许持有默认凭证的UE进行临时注册,其唯一目的是为了后续的凭证发放。
  • SO-SNPN (Subscription Owner SNPN): UE最终要加入的“国籍”网络,即CyberGear工厂的SNPN。
  • DCS (Default Credentials Server): “出生证明认证中心”。这是一个权威服务器,能够验证UE的默认凭证是否合法。它可以由设备制造商、行业联盟或ON-SNPN自己运营。
  • PVS (Provisioning Server): “护照发放中心”。这是一个存储着SO-SNPN凭证(如新的SUPI、密钥、配置信息等)的服务器,UE将从这里下载自己的“新护照”。

1.2 “入籍”的详细步骤与架构

规范在Figure 5.30.2.10.2.2-15.30.2.10.2.2-3中描绘了不同的Onboarding架构。我们将这些架构的核心流程串联起来,看看AGV-NextGen是如何一步步完成“入籍”的。

Step 1: 寻找“移民局” - 选择ON-SNPN (5.30.2.10.2.5)

AGV-NextGen首次开机。

  1. 进入Onboarding模式: 由于没有配置任何正式的SNPN凭证,UE会自动进入Onboarding流程。
  2. 寻找Onboarding信号: 它开始扫描周围的5G信号,专门寻找那些在广播信息中包含了**onboarding enabled**指示的SNPN。
  3. 选定ON-SNPN: AGV-NextGen发现了一个符合条件的ON-SNPN(可能是CyberGear临时开放的,也可能是第三方提供的引导网络),并决定向其发起注册。

Step 2: 递交“出生证明” - Onboarding注册 (5.30.2.10.2.6)

The UE shall set the 5GS Registration Type to the value “SNPN Onboarding”… The UE shall provide a SUCI derived from a SUPI as specified in TS 23.003 and TS 33.501. The SUPI shall uniquely identify the UE and shall be derived from the Default UE credentials for primary authentication.

  1. 特殊注册请求: AGV-NextGen向ON-SNPN的AMF发送Registration Request消息,其注册类型被特殊地设置为**"SNPN Onboarding"**。
  2. 使用默认凭证: 请求中携带的SUCI,是由其默认UE凭证加密生成的。这个SUCI的realm部分(领域标识)会指向能够验证其身份的DCS。

Step 3: 身份核验 - 委派认证

ON-SNPN的AMF收到这个特殊的注册请求后,它知道自己无法直接认证这个UE,必须将认证过程“委派”给DCS。这个委派过程有两种模型:

  • AAA服务器模型 (Figure 5.30.2.10.2.2-2):

    • ON-SNPN的UDM根据SUCI的realm,指示AUSF需要进行外部AAA认证。
    • AUSF通过NSSAAF,将EAP认证消息中继到DCS的AAA服务器
    • DCS的AAA服务器使用其数据库中的默认凭证信息,对UE进行认证。

  • AUSF/UDM模型 (Figure 5.30.2.10.2.2-1):

    • 这是一个更5G原生的方式。ON-SNPN的AMF通过N32接口(SEPP保护),可以直接与DCS的AUSF/UDM进行交互,完成基于5G AKA的认证。

无论哪种模型,核心都是由DCS来完成对UE默认凭证的合法性验证。

Step 4: 办理“临时签证” - 建立受限PDU会话

Upon successful authentication from AUSF, the AMF informs the UE about the result of the registration. [Subsequently] the SMF may provide the UE Configuration Data (i.e. PVS IP address(es) and/or PVS FQDN(s)) to the UE…

认证成功后,ON-SNPN的AMF会接受UE的注册,并为其建立一个高度受限的PDU会话

  • 专用DNN/S-NSSAI: 这个PDU会话使用的是ON-SNPN中专为Onboarding配置的DNN和S-NSSAI。
  • 受限访问: SMF会配置UPF,使得这个PDU会话的流量只能访问PVS(护照发放中心)的地址,其他所有互联网地址都被禁止。
  • 获取PVS地址: PVS的地址可以由DCS在认证成功后下发给AMF/SMF,也可以在SMF中本地配置。

Step 5: 领取“新护照” - 远程凭证发放

The UE connects to the PVS over the user plane and securely downloads its new SO-SNPN credentials (new SUPI, new keys, etc.).

通过这个受限的PDU会话,AGV-NextGen安全地连接到了PVS。它通过一个标准化的远程配置协议(如LwM2M或OMA-DM),从PVS上下载了属于CyberGear SNPN的正式凭证,包括:

  • 新的SUPI
  • 新的鉴权密钥
  • CyberGear SNPN的ID ({999-99, ABCD123})
  • 相关的URSP规则等

Step 6: 注销“临时户口” - 从ON-SNPN去注册 (5.30.2.10.2.7)

Once remote provisioning of SO-SNPN credentials is completed, the UE should initiate deregistration from the ON-SNPN.

“入籍”手续全部办妥,AGV-NextGen现在已经是CyberGear SNPN的“合法公民”了。它必须立即从ON-SNPN这个“移民局”中去注册,断开临时连接。随后,它将使用刚刚获得的全新凭证,重新发起网络选择,这一次,它的目标将是它的“祖国”——CyberGear SNPN。

2. 疆域内的通行:SNPN中的移动性支持 (5.30.2.11 UE Mobility support for SNPN)

AGV-007(现在已成功入籍)开始在CyberGear的巨大厂区内穿梭,执行物料搬运任务。它的移动性管理,遵循标准的5G流程,但又具有SNPN的特色。

2.1 厂区内的移动 (Intra-SNPN Mobility)

这是最简单的情况。AGV-007在厂区内从A车间移动到B车间,它所经过的所有基站都广播着同一个SNPN ID ({999-99, ABCD123})。

  • IDLE模式: UE执行标准的小区重选。当它跨越了TA边界时,会发起Mobility Registration Update,流程与公共网络完全相同。
  • CONNECTED模式: UE执行标准的N2/Xn切换,PDU会话无缝保持。

2.2 跨厂区的“漫游”:等效SNPN (Equivalent SNPNs)

现在,AGV-007需要将一个精密部件运送到隔壁的“Innovate Robotics”工厂。由于两家工厂已经合并,并且IT部门(由张工领导)已经将它们的SNPN网络配置为等效SNPN

If the UE and network supports equivalent SNPNs, the AMF may provide list of equivalent SNPNs to the UE and NG-RAN. The UE may move its 3GPP access to the SNPN in the list of equivalent SNPNs without performing network selection.

  1. 等效关系建立: CyberGear和Innovate Robotics的运营商(可能是同一个实体,也可能是联盟)在各自的AMF和UDM中,将对方的SNPN ID配置为“等效”。
  2. 下发等效列表: 当AGV-007在CyberGear SNPN注册时,AMF会在Registration Accept消息中,将{Innovate-Robotics-SNPN-ID}作为一个等效SNPN告知UE。
  3. 无缝移动:
    • 当AGV-007驶向Innovate Robotics工厂时,它会检测到{Innovate-Robotics-SNPN-ID}的信号。
    • 由于这个ID在它的“等效列表”中,UE不会将其视为一个全新的、需要重新选择和初始注册的网络。
    • 相反,它会像在同一个SNPN内部跨越TA一样,直接发起**Mobility Registration Update**流程。
    • 后续的核心网信令交互(如AMF重定向、上下文转移)会确保会话的连续性。

这与PLMN漫游的本质区别在于: 这不是两个对等运营商网络之间的漫游,而更像是同一个逻辑网络(由同一个CH或统一策略管理)在不同地理区域的延伸。它不涉及计费清算,信令流程也远比漫游简单,更接近于PLMN内部的跨TA移动

5. FAQ

Q1: Onboarding Network (ONN) 必须是一个SNPN吗?

A: 规范5.30.2.10.3明确指出,ONN也可以是一个PLMN

  • 当ONN是SNPN时 (ON-SNPN): 流程如本文所述,UE使用默认凭证在ON-SNPN进行特殊类型的注册。
  • 当ONN是PLMN时 (ON-PLMN): UE使用其预置的PLMN凭证(如测试用的SIM卡)先正常注册到这个PLMN上。然后,通过在这个PLMN上建立的普通PDU会话,连接到PVS去下载SNPN凭证。这种方式更适用于那些已经与运营商有合作关系的设备制造商。

Q2: 什么是“默认UE凭证”(Default UE Credentials)?它从哪里来?

A: 默认UE凭证是设备出厂时就被制造商写入的一套唯一的、基础的身份信息。它可以被看作是设备的“数字出生证明”。

  • 组成: 它通常包含一个全球唯一的标识符(可以用来生成SUPI)和一个对应的密钥。
  • 验证方: 能够验证这套凭证合法性的,通常是设备制造商或其授权的第三方运营的DCS(默认凭证服务器)
  • 目的: 它的唯一目的就是在Onboarding流程中,向ONN证明自己的“清白”身份,从而获得一个临时的网络准入,以便去获取其最终的、正式的签约凭证。一旦Onboarding完成,这套默认凭证就不再用于网络接入。

Q3: 为什么Onboarding流程中建立的PDU会话是“受限的”?

A: 这是出于安全管理的双重考虑。

  • 安全: Onboarding阶段的UE,其身份刚刚被初步验证,尚未被其最终的归属网络(SO-SNPN)完全管理。限制其只能访问指定的PVS,可以防止这个UE利用这个临时连接去访问互联网或进行其他未经授权的活动,最小化了潜在的安全风险。
  • 管理: Onboarding的唯一目的是获取凭证。将PDU会话限制为只能访问PVS,确保了该连接“专款专用”,简化了网络策略和计费(通常Onboarding流量是免费的)的管理。

Q4: 什么是“等效SNPN”(Equivalent SNPNs)?它们是如何定义的?

A: 等效SNPNs是指一组在功能、服务和安全策略上被认为是相同的、可以被同一个用户凭证无缝访问的SNPNs。

  • 定义方: 等效关系是由网络侧定义的,通常是由这些SNPN的共同所有者或管理者(例如,同一个企业集团,或者同一个行业联盟CH)通过OAM配置在AMF和UDM中的。
  • UE侧行为: UE是被动接收这个等效列表的。一旦收到,UE在进行网络和小区选择时,就会将列表中的所有SNPN视为“一家人”,在它们之间移动时会采用更简化的移动性管理程序(Mobility Registration Update),而不是完整的初始注册流程。 这个机制是实现跨物理SNPN网络服务连续性的关键。

Q5: 如果一个AGV从CyberGear工厂(SNPN-A)移动到一个不支持等效关系的SNPN-B,会发生什么?

A: AGV的连接将会中断,并且它无法自动注册到SNPN-B。

  • 网络选择失败: 当AGV进入SNPN-B的覆盖区,它会读取到SNPN-B的ID。它会检查自己的“签约SNPN列表”和“等效SNPN列表”。由于SNPN-B不在这两个列表中,UE会认为这是一个“非法的”或“不相关的”网络,因此不会发起任何注册请求。
  • 服务中断: 与SNPN-A的连接会因为信号丢失而最终中断。
  • 后续行为: AGV会继续扫描,直到重新找到SNPN-A的信号,或者找到其列表中其他签约/等效的SNPN信号,才会再次尝试连接。

这体现了SNPN严格的“白名单”接入控制,确保了终端设备不会连接到任何未经授权的私有网络。

关系图谱