TS 24.502 v16.9.0 中文解析版-1

閱讀時間約 15 分鐘

一花碎碎念

  • 這是之前閱讀3GPP標準筆記,不得不說真難讀,但讀懂了你就猛了XD
    24.502的內容太多,分三篇寫


4.2 Untrusted N3GPP access就是UE跟5GCN的溝通不認為是安全的,必須建立安全性連線(IKEv2 SA)

UE對5GCN的NAS溝通(N1)/N3IWF對5GCN CP function,也就是AMF(N2)/N3IWF對5GCN UP function,也就是UPF(N3)

使用EAP-AKA'/5G-AKA連到5GCN進行驗證

4.3.1 User ID

SUPI(常以IMSI或NAI呈現)/SUCI(將SUPI加密)

4.3.2 用於N3IWF selection的FQDN可以是OP ID或TAI FQDN format

如果要透過SNPN連到PLMN,只能用PLMN的TAI來產生TAI FQDN,且不考慮SNPN所提供的N3IWF FQDN

4.4.2.1 N3IWF/TNGF/W-AGF是用來提供QoS Signalling

4.4.2.2 QoS flow由SMF控制

建立PDU session時,N3IWF/TNGF要決定建立幾個IPsec child SA,並關連到QoS profile

4.4.2.3 在user plane上下行的封包管理

從UE上行,每個user packet都要對應到一個QFI,並選擇要用哪個IPsec SA傳送

從UPF下行,將每個user packet對應到一個QFI,並選擇要用哪個IPsec SA傳送

4.4.2.4 若N3IWF/TNGF收到帶有RQI的下行封包,他們必須設定RQI到GRE封包內,Reflective QoS

4.4.2.5 若收到核網給的MFBR,UE要負責執行QoS規則

4.5 Trusted N3GPP access就是UE跟5GCN的溝通認為是安全的,不需要建立IKEv2 SA安全性連線

使用3GPP的驗證

4.6 forbidden PLMNs for non-3GPP access to 5GCN,用來限制N3GPP UE連到VPLMN時要排除的漫遊選項


5.2 Access network discovery

5.2.1如果有3GPP access的情況下,優先選擇;沒有的話才做access network discovery

5.2.2 WLANSP(WLAN Selection Policy)

可以源自pre-configuration/(V-)PCF

若漫遊的情況下,WLANSP rules採用優先順序高到低依序為visited->equivalent->home

5.3 Access network selection procedure

5.3.2.1 WLAN selection procedure

為的是建立出具有優先序的WLAN來進行連線

如果有user preference,UE就透過manual mode產生prioritized list

如果user preference不存在,或範圍內沒有任何user preference的WLAN,就透過automatic mode產生prioritized list

5.3.2.2 manual mode WLAN selection is implementation specific

5.3.2.3 automatic mode WLAN selection

UE首先決定要用哪個WLANSP rule

a)若UE不是透過3GPP access漫遊,就應該用HPLMN的

b)若UE正在透過3GPP access漫遊,UE有機會有多種WLANSP rule,WLANSP rules採用優先順序高到低依序為visited->equivalent->home

接著決定要連到哪個WLAN

a)UE先尋找範圍內存在的WLAN,並可透過ANQP porcedure或hotspot 2.0,取得該WLAN的capabilities(知道屬於哪個PLMN...)

b)若UE透過ANQP取得相關資訊,將其與WLANSP的selection criteria進行比較找出符合的WLAN,並產生prioritiezed list

1)如果UE有多個WLANSP可用,首先找最高優先權的進行比較

2)如果Home network ind = 0(不在HPLMN),根據WLANSP對比出最高優先權的WLAN就是最優先連線,依序排出來prioritized list

3)如果Home network ind = 1(在HPLMN),只能選擇HPLMN相關的WLAN(從ANQP的PLMN資訊或是domain name list) 24.526 5.3.2

5.3A PLMN selection procedures using trusted non-3GPP access

待整理

5.3B PLMN selection procedures using wireline access

有線網路目前未規範roaming,並視HPLMN為一定可用

5.4 Access network reselection procedure

根據user或operator的policy做選擇,後者可能來自ANDSP policies


6 UE - 5GC network protocols

6.3 Authentication and authorization for accessing 5GS via non-3GPP access network

6.3.1 

UE透過untrusted N3GPP,要先取得local IP後,才會進行N3IWF的selection,並開始IKEv2 SA的建立,同時進行authentication and authorization

UE透過trusted N3GPP,他連到TNAN後會進行EAP authentication,並藉由EAP-5G做authentication and authorization,完成後UE會從TNAN得到IP address,接著會觸發IKEv2 SA的建立

UE透過wireline,先用W-CP protocol建立連線,再進行authentication and authorization

6.3.2 Authentication of N5GC device behind a CRG over wireline access

6.4 Handling of ANDSP Information

6.4.1 ANDSP是用來控制UE做trusted/untrusted的AN discovery+selection(不包含wireline)

ANDSP = WLANSP(做WLAN selection) + N3AN configuration(做N3IWF/ePDG selection)

如果在漫遊,UE可收到H/V-PCF的ANDSP,其中N3AN node configuration只需要在乎H-PCF的就好

6.4.2 UE procedures

6.4.2.1 當UE收到來自network端的ANDSP異動,就要重新進行ANDSP的evaluation。並且UE也需要定期做reevaluation(根據timer)、或是現在不符合該ANDSP的使用條件

6.4.2.2 Use of WLAN selection information

UE採用automatic mode,UE需要用WLANSP進行WLAN的選擇

6.4.2.3 Use of N3AN node configuration information

UE透過N3GPP連線,要選擇N3IWF/ePDG,來建立IKEv2 SA

6.4.3 ANDSP information from the network

參考24.501 Annex D(但是一直當機看不了= =)


7 Security association management procedures

7.1 SA management procedure是為了定義UE到N3IWF之間透過IKEv2交換的E2E SA建立或中斷

IKE SA+child signalling IPsec SA的建立是由UE觸發,但child user plane IPsec SA的建立是由N3IWF觸發

7.2 N3AN node selection procedure

7.2.2 N3AN node configuration information

來源:H-PCF或UE自己的實作

包含N3AN node selection information + home N3IWF/ePDG identifier configuration(optional)

前者包含一系列的entries,每個entry包含PLMN ID以及與PLMN ID相關的資訊;至少包含一個entry為HPLMN的,以及any_PLMN的N3AN node selection information entry

UE要能支援DNS來透過FQDN取得N3AN的node IP

7.2.3 Determination of the country the UE is located in

若UE不能決定他的所在country,停止N3AN node selection;若可決定就進行7.2.4的事情

7.2.4 N3AN node selection

7.2.4.1

如果UE支援N3IWF、不支援ePDG,做7.2.4.3來選擇N3IWF

如果UE兩者都支援,做7.2.4.4來選擇N3IWF/ePDG

7.2.4.2 Determine if the visited country mandates the selection of N3IWF in this country

UE藉由Visited Country FQDN去決定visited country是否授權進行N3IWF selection

如果得到的回應是至少一筆的NAPTR n3iwf.5gc.mnc<MNC>.mcc<MCC>.pub.3gppnetwork.org

代表visited country是授權進行N3IWF selection

7.2.4.3 UE procedure when the UE only supports connectivity with N3IWF

UE就忽略掉N3AN node configuration information中,跟ePDG相關的設定參數(the home ePDG identifier configuration + the preference parameter in each N3AN node selection information entry in the N3AN node selection information.


a)若UE在home country

1)若有N3AN node configuration information

i)若home N3IWF identifier configuration有包含IP資訊,就用此IP向N3IWF連線

ii)若home N3IWF identifier configuration沒包含IP資訊但有FQDN資訊,就以此為N3IWF FQDN發送去查詢IP

iii)若home N3IWF identifier configuration沒包含在內,以USIM的HPLMN建立N3IWF FQDN,

2)若沒有N3AN node configuration information,就以USIM的HPLMN ID建立OP ID FQDN格式的N3IWF FQDN

如果得到DNS response,就選擇和UE相同IP版本的N3IWF IP

b)若UE不在home ocuntry

1)若有N3AN node configuration information,

且UE透過3GPP access註冊到VPLMN,

且VPLMN ID不是在forbidden PLMNs for non-3GPP access to 5GCN清單,

且VPLMN的N3AN node selection information entry有在N3AN node configuration information,

UE就要基於VPLMN的N3AN node selection information entry產生N3IWF FQDN

2)若UE 3GPP access沒註冊且透過WLAN連上網,

或N3AN node configuration information不存在,

或N3AN node configuration information存在 + 3GPP access註冊在VPLMN上 + VPLMN ID是在forbidden PLMNs for non-3GPP access to 5GCN清單 或 沒有VPLMN的N3AN node selection information entry

UE需要參照7.2.4.2發DNS query確定visited country是否授權使用N3IWF selection


3會員
32內容數
對我或對大家有幫助的東西,就分享吧
留言0
查看全部
發表第一個留言支持創作者!
你可能也想看
Google News 追蹤
Thumbnail
接下來第二部分我們持續討論美國總統大選如何佈局, 以及選前一週到年底的操作策略建議 分析兩位候選人政策利多/ 利空的板塊和股票
Thumbnail
🤔為什麼團長的能力是死亡筆記本? 🤔為什麼像是死亡筆記本呢? 🤨作者巧思-讓妮翁死亡合理的幾個伏筆
Thumbnail
隨著企業在數位轉型過程中,愈來愈依賴多雲端架構,對雲端安全性和合規性的需求變得前所未有的重要。 雲原生應用程式保護平台(CNAPP)提供了一套全面的解決方案,讓企業能夠有效地管理多雲端環境中的安全性和合規性。
在今天的數字世界中,網站安全性是極為重要的議題。隨著越來越多的網站選擇採用HTTPS協議加密數據傳輸,但這並不意味著它是絕對安全的。事實上,HTTPS本身也存在著一些安全隱患,這些隱患可能會影響網站的安全性和用戶的數據隱私。 1. SSL/TLS 憑證漏洞 HTTPS的加密基於SSL/TLS
Thumbnail
本文介紹如何對 Telegram 憑證監控機器人的代碼進行優化,包括新增指令、讀取變數、提高可讀性和可維護性。
在現今數位時代,網路安全已成為企業和個人必須面對的首要挑戰。隨著網路犯罪活動的日益猖獗,如何有效地保護敏感資訊並確保網絡環境的安全,成為每個組織和個人不可忽視的重要課題。本文將帶你了解如何利用先進的監控軟體來提升資訊安全,為您提供全面的解決方案。
Thumbnail
接下來第二部分我們持續討論美國總統大選如何佈局, 以及選前一週到年底的操作策略建議 分析兩位候選人政策利多/ 利空的板塊和股票
Thumbnail
🤔為什麼團長的能力是死亡筆記本? 🤔為什麼像是死亡筆記本呢? 🤨作者巧思-讓妮翁死亡合理的幾個伏筆
Thumbnail
隨著企業在數位轉型過程中,愈來愈依賴多雲端架構,對雲端安全性和合規性的需求變得前所未有的重要。 雲原生應用程式保護平台(CNAPP)提供了一套全面的解決方案,讓企業能夠有效地管理多雲端環境中的安全性和合規性。
在今天的數字世界中,網站安全性是極為重要的議題。隨著越來越多的網站選擇採用HTTPS協議加密數據傳輸,但這並不意味著它是絕對安全的。事實上,HTTPS本身也存在著一些安全隱患,這些隱患可能會影響網站的安全性和用戶的數據隱私。 1. SSL/TLS 憑證漏洞 HTTPS的加密基於SSL/TLS
Thumbnail
本文介紹如何對 Telegram 憑證監控機器人的代碼進行優化,包括新增指令、讀取變數、提高可讀性和可維護性。
在現今數位時代,網路安全已成為企業和個人必須面對的首要挑戰。隨著網路犯罪活動的日益猖獗,如何有效地保護敏感資訊並確保網絡環境的安全,成為每個組織和個人不可忽視的重要課題。本文將帶你了解如何利用先進的監控軟體來提升資訊安全,為您提供全面的解決方案。