3GPP知识更新阅读系列-21: 网络切片特定鉴权和授权过程

4.2.9 网络切片特定鉴权和授权过程

4.2.9.1 总体概述

网络切片特定鉴权和授权过程针对需要使用 EAP 框架（参考 TS 33.501 ）与 AAA 服务器 (AAA-S) 进行鉴权和授权的 S-NSSAI (网络切片服务区域标识符) 而触发。该 AAA 服务器可能由 H-PLMN 运营商托管，也可能由与 H-PLMN 存在业务关系的第三方托管。如果 AAA 服务器属于第三方，HPLMN 中的 AAA 代理 (AAA-P) 可能参与其中。

该过程会在以下几种情况下由 AMF 在注册过程中触发：

• 某些网络切片需要切片特定鉴权和授权时。

• AMF 确定当前允许 NSSAI 或部分允许 NSSAI 中的 S-NSSAI 需要网络切片特定鉴权和授权时（例如，订阅变更）。

• 对网络切片进行鉴权的 AAA 服务器触发重新鉴权时。

注意 1： 过程中的 S-NSSAI 可以是允许 NSSAI、允许 NSSAI 映射、部分允许 NSSAI 或部分允许 NSSAI 映射的一部分。

AMF 扮演 EAP 认证器的角色，并通过网络切片特定和 SNPN 鉴权和授权功能 (NSSAAF) 与 AAA-S 通信。NSSAAF 负责与 AAA-S 支持的 AAA 协议进行任何 AAA 协议互通。

网络切片特定鉴权和授权过程需要使用 GPSI (全球定位系统身份识别码)。换句话说，包含受网络切片特定鉴权和授权的 S-NSSAI 的订阅应至少包含一个 GPSI。

UE 网络切片特定鉴权和授权成功或失败后，AMF 会将 NSSAA 结果状态存储在 UE 上下文中，用于相关 S-NSSAI。

注意 2： 如果由于网络切片准入控制（例如每个网络切片的最大 UE 数量已达到）而拒绝了受 NSSAA 管控的 S-NSSAI，则存储在 UE 上下文中的 NSSAA 结果状态不会受到影响。

4.2.9.2 特定网络片的认证和授权

特定网络片的认证和授权

(1）对于需要进行网络切片特定身份验证和授权的S-NSSAI，该身份验证和授权可能基于订阅信息的更改或由AAA-S触发，AMF可能触发网络切片特定身份验证和授权过程。

• 如果网络切片特定身份验证和授权是由注册过程触发的，AMF可以根据AMF中的UE上下文确定，对于某些或所有需要进行网络切片特定身份验证和授权的S-NSSAI，UE已经在首次接入时通过注册过程进行了身份验证。根据先前注册的网络切片特定身份验证和授权的结果（例如成功/失败），AMF可能基于网络策略决定在第二次接入时跳过这些S-NSSAI的网络切片特定身份验证和授权。

• 如果网络切片特定身份验证和授权过程对应于由AAA服务器触发的UE重新身份验证和重新授权过程（如4.2.9.2中所述），或者由AMF根据运营商政策或订阅更改触发，如果需要进行网络切片特定身份验证和授权的S-NSSAI包含在每个接入类型的允许NSSAI中，AMF基于网络策略选择要用于执行网络切片特定身份验证和授权过程的接入类型。

（2）AMF在NAS MM Transport消息中发送EAP Identity Request for the S-NSSAI，包括S-NSSAI。这是H-PLMN的S-NSSAI值，而不是本地映射的S-NSSAI值。

（3）UE在NAS MM Transport消息中向AMF提供EAP Identity Response for the S-NSSAI，同时包括S-NSSAI。

（4）当AMF在NAS MM Transport消息中发送EAP Identity Request for the S-NSSAI时，将包含S-NSSAI。这是H-PLMN的S-NSSAI值，而不是本地映射的S-NSSAI值。

（5）UE在NAS MM Transport消息中向AMF提供EAP Identity Response for the S-NSSAI，同时包括S-NSSAI。

注意：如果 UE 订阅包括多个 GPSI，AMF 将使用 UDM 为 NSSAA 程序提供的列表中的任何 GPSI。

（6）AAA-P 将 EAP Identity 信息与 S-NSSAI 和 GPSI 一起转发给 AAA-S 地址。AAA-S 存储 GPSI，以便在 EAP ID 响应信息中创建与 EAP Identity 的关联，这样 AAA-S 以后就可以用它来撤销授权或触发重新认证。

（7-14）与 UE 交换 EAP 消息。这些步骤可能会重复一次或多次。

（15）EAP 验证完成。AAA-S 会存储已授权的 S-NSSAI，以便根据本地策略决定触发重新认证和重新授权。EAP-Success/Failure 消息会连同 GPSI 和 S-NSSAI 发送到 AAA-P（如果 AAA-P 不在，则直接发送到 NSSAAF）。

（16）如果使用 AAA-P，AAA-P 将向 NSSAAF 发送 AAA 协议信息，其中包括（EAP-成功/失败、S-NSSAI、GPSI）。

（17）NSSAAF 向 AMF 发送 Nnssaaf_NSSAA_Authenticate Response（EAP-成功/失败、S-NSSAI、GPSI）。

（18）AMF 向 UE 发送 NAS MM 传输消息（EAP-成功/失败）。AMF 应存储执行了步骤 1-17 中 NSSAA 程序的每个 S-NSSAI 的 EAP 结果。

（19a）[有条件] 如果新的允许 NSSAI（即 包括 NSSAA 程序成功的请求 NSSAI 中的任何新 S-NSSAI，和/或不包括程序失败的 UE 现有允许 NSSAI 中的任何 S-NSSAI，或包括默认 S-NSSAI（如果请求 NSSAI 中或现有允许 NSSAI 中的所有 S-NSSAI 均受 NSSAA 约束，且由于 NSSAA 程序失败，这些 S-NSSAI 不能在允许 NSSAI 中））和/或新的拒绝 S-NSSAI（即包括程序失败的 UE 现有允许 NSSAI 中的任何 S-NSSAI，和/或不包括程序失败的 UE 现有允许 NSSAI 中的任何 S-NSSAI））。例如，包括程序失败的 UE 现有允许的 NSSAI 中的任何 S-NSSAI，或 NSSAA 程序失败的任何新请求的 S-NSSAI）需要交付给 UE，或者如果需要 AMF 重新分配，则 AMF 会针对每个接入类型启动 UE 配置更新程序，如第 4.2.4.2 条所述。如果特定于网络片的重新认证和重新授权失败，并且已建立的 PDU 会话与 NSSAA 程序失败的 S-NSSAI 相关联，则 AMF 应按照条款 4.3.4 的规定启动 PDU 会话释放流程，以适当的原因值释放 PDU 会话。

（19b）[有条件] 如果特定网络片认证和授权对 UE 现有允许 NSSAI 中的所有 S-NSSAI（如有）和（如有）对请求 NSSAI 中的所有 S-NSSAI（如有）失败，且允许 NSSAI 中无法添加默认 S-NSSAI，则 AMF 应执行条款 4.2.3.3 中描述的网络发起的注销流程。2.2.3.3 中描述的网络发起的注销程序，并应在明确的注销请求中包含被拒绝的 S-NSSAI 列表，每个列表都带有相应的拒绝原因值。