在R16中,新增了一个NSSAA(Network Slice-Specific Authentication and Authorization)的概念,要求服务的PLMN应根据订阅信息对HPLMN的S-NSSAI(Single Network Slice Selection Assistance Information)进行特定网络切片的认证和鉴权。UE应在5GMM核心网能力的Registration Request消息中指明是否支持NSSAA特性。如果UE不支持NSSAA特性,且UE请求为这些S-NSSAI中的任何一个进行特定于网络切片的认证和鉴权,则AMF不会为UE触发此过程,并且它们将被PLMN拒绝。如果UE支持NSSAA特性,且UE请求的这些S-NSSAI中的任何一个均要经过特定于网络切片的认证和鉴权,则它们需包括在PLMN的待定NSSAI列表中。
如果UE配置有S-NSSAI(是切片用户),S-NSSAI受制于网络切片特定的认证和授权,则UE存储S-NSSAI和用于网络切片特定认证和鉴权的相应凭证之间的关联。
为了对S-NSSAI执行特定网络切片的认证和鉴权,AMF对S-NSSAI调用基于EAP的网络切片特定鉴权流程。当S-NSSAI的NSSAA流程启动并正在进行时,AMF将S-NSSAI的NSSAA状态存储为挂起,当NSSAA完成时,S-NSSAI将成为允许的NSSAI或拒绝的S-NSSAI的一部分。AMF可以随时为支持的UE调用此流程:
1. UE向AMF注册,HPLMN的一个S-NSSAI(该S-NSSAI映射到请求的NSSAI中的一个)需要特定网络切片的身份验证和鉴权,一旦HPLMN S-NSSAI的网络切片特定认证和鉴权成功,AMF可以将请求的NSSAI中的S-NSSAI添加到允许的NSSAI中;
2. 特定网络切片的AAA服务器触发对S-NSSAI的UE重新认证和重新鉴权;
3. AMF基于运营商策略或订阅更改,决定为先前鉴权的特定S-NSSAI发起网络切片特定的认证和鉴权流程。
在成功或不成功的UE网络切片特定认证和授权之后,AMF中的UE上下文应保持UE对HPLMN的相关特定S-NSSAI的认证和鉴权状态,同时UE在PLMN中保持RM-REGISTERED,因此,AMF不需要在与PLMN的每次周期性Registration Update 或 Mobility Registration流程中对UE执行特定网络切片的认证和授权。
针对需要与AAA服务器(AAA-S)进行网络切片特定认证和鉴权,是基于S-NSSAI来触发网络切片特定认证和鉴权,该AAA服务器可由H-PLMN运营商或与H-PLMN有业务关系的第三方托管。
特定网络切片的身份验证和鉴权过程需要使用GPSI(Generic Public Subscription Identifier)。换句话说,包含受网络片特定认证和授权的S-NSSAI的订阅应包括至少一个GPSI。
1.S-NSSAI需要网络切片特定认证鉴权,根据订阅信息的变化,或由AAA-S触发,AMF可以触发启动网切片特定认证鉴权流程。
如果作为注册过程的结果触发了特定网络切片的认证和鉴权,则AMF可以基于AMF中的UE上下文来确定,对于受特定网络切片的认证和鉴权约束的一些或所有S-NSSAI,UE已经在第一时间按照注册流程被认证进入。根据先前注册的特定网络切片的认证和鉴权结果(例如成功/失败),AMF可以基于网络策略决定在第二次访问注册期间跳过这些S-NSSAI的特定网络切片的认证和鉴权。
2.AMF可以在包括S-NSSAI的NAS MM传输消息中为S-NSSAI发送EAP标识请求。这是H-PLMN的S-NSSAI,而不是本地映射的S-NSSAI值。
3.UE在向AMF的NAS MM传输消息中为S-NSSAI和S-NSSAI提供EAP标识响应。
4.AMF以
Nnssaaf_NSSAA_Authenticate Request(含EAP Identity Response,GPSI,S-NSSAI)向NSSAAF发送EAP Identity Response。
5.如果存在AAA-P(例如,因为AAA-S属于第三方,运营商向第三方部署了代理),则NSSAAF将EAP Identity Response消息转发给AAA-P,否则,NSSAAF将消息直接转发给AAA-S。NSSAAF负责根据每个S-NSSAI的AAA-S地址的本地配置将NSSAA请求发送到适当的AAA-S。NSSAAF向AAA-P或AAA-S使用AAA-S支持的同一协议的AAA协议消息。
6.AAA-P将EAP标识消息与S-NSSAI和GPSI一起转发到AAA-S地址可寻址的AAA-S。AAA-S存储GPSI以在EAP ID响应消息中创建与EAP标识的关联,因此AAA-S稍后可以使用它来撤销鉴权或触发重新验证。
7-14.EAP报文与UE交换。可能会发生这些步骤的一次或多次迭代。
15.EAP认证完成。AAA-S存储已授予鉴权的S-NSSAI,因此它可以根据其本地策略决定触发重新验证和重新鉴权。EAP成功或失败消息通过GPSI和S-NSSAI传递给AAA-P(如果AAA-P不存在,则直接发送给NSSAAF)。
16.如果使用AAA-P,则AAA-P向NSSAAF发送AAA协议消息,包括(EAP成功/失败、S-NSSAI、GPSI)。
17.NSSAAF向AMF发送
Nnssaaf_NSSAA_Authenticate Response(EAP Success/Failure,S-NSSAI,GPSI)。
18.AMF向UE发送NAS MM传输消息(EAP成功/失败)。AMF应存储执行步骤1-17中NSSAA程序的每个S-NSSAI的EAP结果。
19a.[有条件]如果新允许的NSSAI或新的被拒绝的S-NSSAI需要交付给UE,或者如果需要AMF重新分配,则AMF为每种访问类型启动UE配置更新流程。如果特定网络切片的重新认证和重新鉴权失败,并且建立了与NSSAA程序失败的S-NSSAI相关联的PDU会话,AMF应启动PDU Session Release,以释放具有适当原因值的PDU会话。
19b.[有条件的]如果针对UE的现有允许NSSAI中的所有S-NSSAI(如果有的话)和针对请求的NSSAI中的所有S-NSSAI(如果有的话)的特定网络切片认证和鉴权失败,AMF应执行Network-initiated Deregistration,并应在明确的注销请求中包括被拒绝的S-NSSAI列表,每一个都有相应的拒绝原因值。