NR 5G NAS非接入层

NAS非接入层

Non-Access-Stratum
协议文档：24.501和33.501
5G(NR)系统中NAS位置图

非接入层功能

UE和AMF之间的控制面最高层。功能包括支持UE移动性的一般过程如认证、鉴权、通用UE配置更新和安全控制模式过程；支持会话管理过程以建立和维持UE与数据网络之间的数据连接；支持NAS传输过程以提供SMS、LPP、UE策略容器、SOR透明容器和UE参数更新信息等有效载荷的传输。

NAS层移动性管理(MM)

在5G网络中NAS(非接入层)做为终端(UE)和核心网单元AM之间控制面的最高层除负责3GPP和non 3GPP网络的接入外，负责终端(UE)的移动性管理(Mobility Management)，具体负责：

注册(registration)
注销(de-registration)
eCall不活动流程(eCall inactivity procedure)
连接模式流程(connected mode procedure)
网络发起的NAS消息传输(network-initiated NAS transport)
初次认证和密钥协商流程(primary authentication and key agreement procedure)
安全模式控制(security mode control)
通用UE配置更新(generic UE configuration update)
鉴权(identification)
UE发起的NAS消息传输(UE-initiated NAS transport)
连接管理程序(connection management procedure)
服务请求(service request)
寻呼(paging)
通知(notification)

NAS层会话管理

在5G网络中终端(UE)通过N1接口的NAS消息执行5GS会话(5GSM)管理流程。也就是5GSM子层支持UE和SMF中的PDU会话处理(经AMF传输)的实体。5GSM包括以下流程：

• PDU会话认证和授权、建立、修改和释放；和
• 请求在3GPP接入和non 3GPP接入网间执行现有PDU会话切换，或将EPS中现有的PDN连接转移到5GS。

每个PDU会话代表一个在UE和SMF之间建立的PDU会话；即使构成UE和 SMF之间相应PDU会话的无线和网络资源被临时释放，PDU会话也可以保持建立。只有在UE和AMF之间建立了5GMM 上下文，并且AMF使用5GMM流程启动NAS消息安全交换后才能执行5GSM流程。会话管理具体包括：

PDU会话建立
PDU会话认证
PDU会话修改
PDU会话释放
5GSM状态管理

安全上下文

基础认证和安全密钥协商后或者在N1模式到N1模式切换期间，AMF和UE建立5G NAS安全上下文。用于认证、完整性保护和加密的安全参数在安全上下文中绑定在一起，并由密钥集标识符（ngKSI）标识。ngKSI由一个值和一种安全上下文参数构成，用于指示安全上下文是本机（值为KSIAMF）的还是映射（值为KASME）的。当AMF启动安全模式控制过程时，UE和AMF使用安全上下文。UE和AMF可以同时维持两个安全上下文。
AMF在注册过程中初始化安全模式控制进程，从而建立安全的NAS消息交换。此后在AMF和UE之间传递的所有NAS消息都是完整性保护的，除了……，还都是加密的。
AMF初始化安全控制进程，发送SECURITY MODE COMMAND消息携带新5G NAS安全上下文的ngKSI，该消息使用新安全上下文进行完整性保护，但不加密。UE回复SECURITY MODE COMPLETE消息，该消息使用新安全上下文进行完整性保护和加密。

NAS COUNT

每一个5G NAS安全上下文都与两个独立的计数器NAS COUNT（24位）相关，分别是上行的和下行的，由UE和AMF各自维持。该值由NAS sequence number（8个最低位）级联NAS overflow counter（16个最高位）。在NAS加密或NAS完整性保护算法中使用该参数时在最高位添8个0扩展为32位。NAS sequence number可以作为NAS信令在UE和AMF之间传递。每传输一个被安全保护的5G NAS消息，发送方将NAS COUNT值加1，具体来说，NAS sequence number值加1，如果结果为0则NAS overflow number加1。当5G NAS安全上下文投入使用，将NAS COUNT值置0。
重放保护
保证同一条NAS消息不被接收方接收两次，具体来说在消息完整性验证正确的情况下，一个NAS COUNT值只能被接收一次。AMF和UE都应该支持NAS消息的重放保护。
发送方要使用本地存储的NAS COUNT值作为完整性保护算法和加密算法的输入，接收方使用消息中携带的NAS sequence number值对消息进行证。
当增加NAS COUNT值后AMF检测到上下行NAS COUNT值都接近溢出（接近224），如果没有NAS COUNT值很低的非当前5G NAS安全上下文，AMF重新初始化认证进程，建立新的5G NAS安全上下文并重置NAS COUNT值为0；否则AMF激活可用的非当前5G NAS安全上下文。如果没有在NAS COUNT值溢出时使用新的安全上下文，AMF和UE节点要释放NAS信令连接，UE要在发送下一个上行NAS消息之前删除当前安全上下文的ngKSI。
使用5G-IA0时重放保护不适用，完整性验证不适用，允许NAS COUNT溢出（此时UE和AMF继续使用当前5G NAS安全上下文，AMF不能初始化认证和密钥协商进程，不能释放NAS信令连接，UE不能本地释放NAS信令连接）。

完整性保护

对UE来说，5G NAS安全上下文建立并应用后5GMM NAS消息必须进行完整性保护；对网络来说，5G NAS消息的安全交换建立后的5GMM NAS消息必须进行完整性保护。5G-IA0只允许在以下情况中使用，即允许紧急服务的未认证的UE，且接收方依然要认为此消息被完整性保护了。先加密，再完整性保护。附带5GSM消息的5GMM消息只有一个序列号信元和一个消息鉴权码信元。如果NAS消息的安全交换建立后接收到未进行完整性保护的消息，接收方应丢弃该消息；如果消息的完整性检查没有通过，接收方应丢弃该消息。
UE不需要对以下消息进行完整性检查：
IDENTITY REQUEST ;
AUTHENTICATION REQUEST;
AUTHENTICATION RESULT;
AUTHENTICATION REJECT;
REGISTRATION REJECT;
DEREGISTRATION ACCEPT；
SERVICE REJECT。
AMF不需要对以下消息进行完整性检查：
REGISTRATION REQUEST;
IDENTITY RESPONSE ；
AUTHENTICATION RESPONSE;
AUTHENTICATION FAILURE;
SECURITY MODE REJECT;
DEREGISTRATION REQUEST;
DEREGISTRATION ACCEPT。
5G NAS安全上下文建立后，NAS消息的安全传输建立前，即使没有经过完整性检查，AMF的5GMM接收实体也要处理上述信令，因为安全上下文再网络中不可用。
完整性保护算法如下图所示：

KEY：KNASint
BEARER：等于NAC连接标识符
DIRECTION：上行0下行1
COUNT：=0x00 || NAS COUNT=0x00 ||NAS OVERFLOW || NAS SQN
128-NIA0：0000，空完整性
128-NIA1：0001，同128-EIA1，基于SNOW 3G
128-NIA2：0010，同128-EIA2，基于AES
128-NIA3：0011，同128-EIA3，基于ZUC

加密

再N1 NAS信令连接建立之后的所有NAS消息都应进行加密，除了SECURITY MODE COMMAND，且没有加密的消息应被丢弃。使用5G-EA0的，接收方认为消息也被加密。
加密算法如下图所示:：

KEY：KNASenc
BEARER：等于NAC连接标识符
DIRECTION：上行0下行1
COUNT：=0x00 || NAS COUNT=0x00 ||NAS OVERFLOW || NAS SQN
128-NEA0：0000，空完整性
128-NEA1：0001，同128-EEA1，基于SNOW 3G
128-NEA2：0010，同128-EEA2，基于AES
128-NEA3：0011，同128-EEA3，基于ZUC

统一访问控制

UE要访问5GS时，首先进行访问控制检查，确定访问是否被允许。检测到一些特定的个事件后，NAS将请求的种类映射到一或多个访问身份和一个访问类别，下层进行访问禁止检查。如果允许访问，若处在IDLE模式NAS发送初始化NAS消息，若处在CONNECTED模式告知上层，或发送相应的NAS消息；如果禁止访问，NAS不初始化进程，告知上层，或继续进行EMM和ESM特定进程。访问请求不需要进行多余的检查，以避免二次禁止，出于NAS信令连接恢复的目的或遵循来自较低层的回退指示。对于有些服务，NAS需要知道什么时候开始什么时候结束。5GMM要求建立NAS信令连接时，UE需要基于访问身份和访问类别根据一定的映射关系选择RRC建立原因。

网络切片

网络切片由S-NSSAI识别，包括切片服务类型SST和切片微分器SD，S-NSSAI的集合是NSSAI。服务PLMN可以为每一个PLMN使用NSSAI配置UE。当前注册域允许的NSSAI和拒绝的NSSAI适用于该注册域的PLMN。注册PLMN时，UE要向AMF发送要求的NSSAI或者配置的NSSAI，对应于UE要注册的网络切片。AMF验证要求的NSSAI是否被允许，并提供PLMN允许的NSSAI和对应的S-NSSAI映射，询问NSSF决定给定注