51学通信

深度解析 3GPP TS 33.512:4.2.2.8.1 S-NSSAI校验:网络切片的“VIP门禁”

14分钟阅读

深度解析 3GPP TS 33.512:4.2.2.8.1 S-NSSAI校验:网络切片的“VIP门禁”

本文技术原理深度参考了3GPP TS 33.512 V18.2.0 (2024-06) Release 18规范中,关于“4.2.2.8.1 Validation of S-NSSAIs in PDU session establishment request”的核心章节。我们将进入5G最激动人心的特性之一——网络切片的世界,并揭示AMF如何扮演“VIP门禁”的角色,确保只有授权用户才能进入专属的“私人俱乐部”。

引言:一场电竞决赛的“专属赛道”

让我们引入一位新主角——顶尖电竞选手“Shadow”。她正准备参加一场全球瞩目的5G云游戏总决赛。比赛的胜负就在毫秒之间,任何网络延迟或抖动都可能让她与冠军失之交臂。为此,赛事主办方与运营商“未来移动”合作,在赛场内启用了一个名为“e-Sports Pro”的网络切片

这个切片,是为选手们量身定制的“数字高速公路”。它提供了超低时延、超高带宽和SLA保障,与现场数万名观众使用的普通公众网络完全隔离。要进入这条“专属赛道”,选手的设备必须出示一张特殊的“VIP通行证”——即代表“e-Sports Pro”切片的S-NSSAI (Single Network Slice Selection Assistance Information)

然而,观众席中有一位技术高超的粉丝“Hacker-Fan”,他通过技术手段嗅探到了这个切片的S-NSSAI。他心想:“如果我也能连上这条赛道,是不是就能享受到和选手一样的极致网络体验?”于是,他尝试修改自己的手机配置,企图蒙混过关。

此时,网络核心的AMF面临着一个严峻的考验。它能否准确识别出谁是真正的“VIP”(Shadow),谁是企图闯入的“不速之客”(Hacker-Fan)?安全工程师李工今天的任务,就是搭建这个“电竞决赛”的模拟场景,验证“先锋通信”的AMF是否是一个称职、严格、且智能的“VIP门禁管理员”。

1. 核心原则:AMF——基于“订阅档案”的铁面判官

网络切片是5G的一项宝贵资源。允许哪些用户访问哪些切片,绝不是由UE单方面决定的。其最终的、唯一的裁决权掌握在核心网手中,而AMF是执行这一裁决的第一道关卡。

AMF的“法律依据”,是存储在UDM(统一数据管理)中的用户订阅档案。每个用户的档案中,都有一份名为“Allowed NSSAI”(允许的NSSAI列表)的“VIP名单”。这份名单详细记录了该用户被授权可以访问的所有切片。

当UE发起一个PDU会话建立请求,想要连接到一个特定的切片时,它会亮出“Requested S-NSSAI”。AMF的核心职责,就是将这个请求的S-NSSAI,与从UDM获取的该用户的“Allowed NSSAI”名单进行严格比对。在名单上,则放行;不在,则拦截。

2. 规范解读:高效的“前端拦截”机制

规范对AMF的拦截动作,设计得非常高效,它甚至不会去打扰真正管理切片会话的SMF。

规范原文 4.2.2.8.1 Requirement Description:

“As specified in TS 24.501, clause 5.4.5.2.5, if the Request type IE is set to “initial request” and the S-NSSAI IE contains an S-NSSAI that is not allowed by the network, then the AMF sends back to the UE the 5GSM message which was not forwarded as specified in subclause 5.4.5.3.1 case e) or case f); of TS 24.501.”

深度解析:

李工将这段描述解读为一种**“短路(Short-Circuit)”**机制:

  • 触发条件:当UE发起一个全新的PDU会话建立请求(initial request),其中携带的S-NSSAI经过AMF的校验,被确认为不在该用户的“Allowed NSSAI”列表中。

  • 拦截动作

    • 这个PDU Session Establishment Request本身是一条**5GSM(5G Session Management)**消息,它的最终目的地本应是处理该切片的SMF(会话管理功能)。

    • 然而,AMF作为“中转站”,在检查出“通行证”无效后,会立即拦截这条消息。

    • 不会将这条请求转发给SMF,从而避免了用一个非法的请求去消耗SMF和切片内部的宝贵资源。

    • 相反,AMF会直接构造一条5GSM的拒绝消息,并将其原路返回给UE,告知其请求被拒绝。

这个机制确保了非法访问在进入“俱乐部内部”(SMF和UPF)之前,就在“大门口”(AMF)被高效地挡住了。

更进一步:结合NSSAA的精细化门禁

对于像“e-Sports Pro”这样的顶级切片,仅有订阅还不够,可能还需要进行一次网络切片特定认证和授权(NSSAA)。这相当于进入VIP俱乐部后,想进入最顶级的“密室”,还需要一次额外的指纹或虹膜扫描。这个过程由一个名为NSSAAF的网元来处理。

  • AMF会先触发NSSAA流程。如果NSSAA成功,AMF会记录下“此人已通过顶级认证”。

  • 如果NSSAA失败,AMF同样会记下“此人认证失败”。

  • 当UE后续发起PDU会话请求时,AMF的校验逻辑会更进一步:不仅要查“Allowed NSSAI”名单,还要检查NSSAA的认证结果。如果认证失败,即便S-NSSAI在允许列表中,请求也同样会被拒绝。

3. 测试场景:电竞决赛的“门禁”攻防战

李工将在他的实验室里,上演这场惊心动魄的“门禁”攻防战。

  • 场景设置

    • 李工在UDM模拟器中创建了两个用户档案:

      • Shadow:订阅了“e-Sports Pro”切片(S-NSSAI=123),且具备NSSAA所需的凭证。

      • Hacker-Fan:未订阅该切片。

    • 被测AMF与NSSAAF模拟器、SMF模拟器相连。

Test Case A: 冠军选手的“绿灯通道” (模拟NSSAA成功)

  • 执行步骤

    1. UE模拟器以“Shadow”的身份发起注册。

    2. AMF发现其订阅的切片需要NSSAA,便触发了与NSSAAF的交互。由于“Shadow”凭证有效,NSSAAF向AMF返回“认证成功”。

    3. 随后,“Shadow”的UE发起PDU Session Establishment Request,请求连接到S-NSSAI=123的切片。

    4. 【关键观测点】:李工密切监视AMF与其上游SMF模拟器之间的Nsmf接口。

  • 预期结果与裁决

    • AMF在收到请求后,校验“Allowed NSSAI”通过,并检查到NSSAA状态为“成功”。

    • 因此,AMF必须将这个请求封装成一条Nsmf_PDUSession_CreateSMContext Request消息,并将其转发给负责该切片的SMF。

    • 李工的协议分析仪捕获到这条发往SMF的消息,即宣告测试成功。AMF为真正的VIP敞开了大门。

Test Case B: 闯入者的“红色警报” (模拟NSSAA失败)

  • 执行步骤

    1. UE模拟器以“Hacker-Fan”的身份发起注册。

    2. 他也尝试请求需要NSSAA的切片。由于凭证无效,NSSAAF向AMF返回“认证失败”。

    3. 然而,“Hacker-Fan”的手机(被李工配置为恶意模式)仍然不死心,继续发送PDU Session Establishment Request,请求连接到S-NSSAI=123的切片。

    4. 【关键观测点】:李工同时监视Nsmf接口(AMFSMF)和N1接口(AMFUE)。

  • 预期结果与裁决

    • AMF收到请求后,校验发现该S-NSSAI根本不在“Hacker-Fan”的“Allowed NSSAI”列表中,或者即便在(某些更复杂的场景),也会检查到NSSAA状态为“失败”。

    • AMF必须执行“前端拦截”。

    • 在Nsmf接口上,必须是沉寂的,没有任何消息发往SMF。

    • 在N1接口上,AMF必须向UE发回一条5GSM拒绝消息

    • 这个结果证明,AMF成功地将“不速之客”拒之门外,保护了专属切片资源的纯洁性。

通过这场模拟的攻防战,李工可以确认,“先锋通信”的AMF不仅是一个简单的信令中继,更是一个智能、高效、且严格的安全策略执行点。它确保了5G网络切片这项革命性技术,能够真正地为其目标用户提供承诺的、受保护的优质服务。

FAQ 环节

Q1:S-NSSAI和NSSAI有什么区别?

A1:S-NSSAI(Single-NSSAI)指的是单个网络切片的标识。而NSSAI(Network Slice Selection Assistance Information)通常指的是一个列表,即UE支持或被允许的所有S-NSSAI的集合。例如,“Allowed NSSAI”就是一个S-NSSAI的列表。

Q2:AMF是如何知道UE的“Allowed NSSAI”的?

A2:在UE发起注册流程时,AMF会向UDM查询该用户的订阅数据。UDM会将包含了“Allowed NSSAI”列表的完整用户档案返回给AMF。AMF会将这份档案缓存在本地,用于后续的策略决策。

Q3:为什么这个校验不由SMF来做?

A3:这是基于5G核心网“关注点分离”的设计原则。AMF的核心职责是接入和移动性管理,这其中就包含了对UE的接入权限控制。而SMF的核心职责是会话管理,负责PDU会话的建立、修改、删除,IP地址分配等。由AMF在前端处理权限问题,可以防止大量非法的请求涌入后端的会话管理层,提高了整个系统的效率和安全性。

Q.4:NSSAA(网络切片特定认证)在什么场景下特别有用?

A.4:NSSAA对于那些对安全和准入控制有极高要求的切片至关重要。例如:1)政府或公共安全切片:只有特定的急救、消防、警察设备才能接入。2)企业专网切片:只有该企业的员工设备才能接入,可能还需要与企业的AAA服务器进行二次认证。3)高级付费业务切片:如本次案例中的电竞切片,需要验证用户的付费订阅状态。

Q5:如果一个合法的用户(如Shadow)请求了一个她未订阅的切片,她会收到怎样的提示?

A5:从网络层面,她的手机会收到AMF发回的5GSM拒绝消息,其中会包含一个原因码,例如“S-NSSAI not available”。从用户体验层面,这通常会转化为她正在使用的App(例如云游戏客户端)弹出的一个错误提示,比如“无法连接到专属游戏服务器,请检查您的订阅”或类似的提示。

关系图谱