TS 24.502 v16.9.0 中文解析版-2

一花碎碎念

• 如果你看得下去，真的是勇者，承接上一篇，繼續看下去

i)如果visited country授權N3IWF selection

A)若UE 3GPP access註冊在VPLMN上，

且DNS response當中的VPLMN ID不屬於forbidden PLMNs for non-3GPP access to 5GCN，

UE要基於OP ID FQDN去建立該VPLMN的N3IWF FQDN

B)若UE 3GPP access沒註冊，

或UE 3GPP access註冊在VPLMN上 + VPLMN ID不在DNS record裡，

或VPLMN ID是在forbidden PLMNs for non-3GPP access to 5GCN，

若N3AN node configuration information存在，UE會從DNS response當中對應N3AN node selection information，找最高優先權的PLMN基於N3AN node selection information entry的型式來發N3IWF FQDN

若N3AN node configuration information不存在，

或N3AN node selection information的PLMN沒有包含在DNS response內，

UE根據自己的實作進行visited country PLMN selection，若UE沒選PLMN，就停止N3AN node selection procedure；若UE選了一個PLMN，就基於OP ID FQDN建立N3IWF FQDN並發送

ii)若進行visited country是否授權使用N3IWF selection的DNS response是空的，就要繼續進行visited country是否授權使用ePDG selection

如果UE發現visited country授權使用ePDG selection，UE需要假設visited country是授權使用N3IWF selection(代表operator理論上沒有部署5GN3)

如果UE發現visited country未授權使用ePDG selection，UE需要假設visited country未授權使用N3IWF selection，並需要進行以下判斷(目前無法判斷operator有沒有部署5GN3)

A)若N3AN node configuration information存在，

且N3AN node selection information有的visited country PLMN不在forbidden PLMNs for non-3GPP access to 5GCN，

UE就選擇最高優先權的PLMN，以N3AN node configuration information entry來建立N3IWF FQDN

B)若N3AN node configuration information不存在，

或N3AN node configuration information存在，但VPLMN沒有包含在內

若home N3IWF identifier configuration有包含IP資訊，就用此IP向N3IWF連線

若home N3IWF identifier configuration沒包含IP資訊但有FQDN資訊，就以此為N3IWF FQDN發送去查詢IP

若home N3IWF identifier configuration沒包含在內，以USIM的HPLMN建立N3IWF FQDN

iii)若沒收到DNS response，停止N3AN node selection procedure

如果UE向N3IWF建立IKEv2 SA的時候沒收到IKE_SA_INIT response，就跳過此N3IWF去選其他的連線

7.2.4.4 UE procedure when the UE supports connectivity with N3IWF and ePDG

7.2.4.4.2 N3AN node selection for IMS service

若是由IMS service所要進行N3AN node selection的需求，與7.2.4.3流程非常相似

大致上是如果N3IWF不成功，就改用ePDG去嘗試

7.2.4.4.3 N3AN node selection for Non-IMS service

大致上跟7.2.4.4.2極度相似

7.2.5 Selection of an N3AN node in an SNPN

觀念：UE會被configure一個SNPN N3IWF的FQDN+此N3IWF所位於的國家，所以要先確定UE所在國家，才能進行接下來的selection

a)若UE位在config當中的國家，就以config中的FQDN為N3IWF FQDN並發送

b)若UE不在config當中的國家

1)UE得建立Visited Country FQDN進行DNS NAPTR的查詢

2)接著發送Visited Country FQDN，

i)若有回應

A)包含至少一個record，就根據UE的實作挑選N3IWF FQDN，

B)沒有record，就以UE configured N3IWF FQDN進行SNPN N3IWF selection

ii)沒有回應，就停止SNPN N3IWF selection

7.3 IKE SA establishment procedure for untrusted non-3GPP access

7.3.1

目的：UE要跟AMF交換NAS signalling的訊息，需要藉由建立secure connection確保安全通訊

方式：UE建立IKE SA+第一個child SA(稱signalling IPsec SA)，signalling IPsec SA建立是為了NAS signalling traffic，additional child SA(user plane IPsec SA)就是用來傳遞UE跟N3IWF之間的user plane data

N3IWF selection->IKE_SA_INIT exchange->IKE_AUTH exchange

註冊期間，NAS message + AN parameter會被包在EAP-5G內傳遞

7.3.2 IKE SA and signalling IPsec SA establishment procedure

7.3.2.1 IKE SA and signalling IPsec SA establishment initiation

UE要嘗試去以EAP進行認證，藉由在IKE_AUTH request不帶AUTH payload達成。N3IWF收到後要回應IKE_AUTH response並帶有開Start EAP-5G session的通知，開始觸發initial NAS message的夾帶

7.3.2.2 IKE SA and signalling IPsec SA establishment accepted by the network

當IKE SA+signalling IPsec SA都完成建立，N3IWF會送給UE IKE_AUTH response並帶有EAP-Success，此後就中斷EAP-5G的連線

當UE完成IKE SA+signalling IPsec SA建立前，UE會發送IKE_AUTH request並帶AUTH payload，裡面須包含：

在CFG_REQUEST的Configuration payload，加入INTERNAL_IP4_ADDRESS/INTERNAL_IP6_ADDRESS至少一個attribute，並將該attribute的數值設為0

加入MOBIKE_SUPPORTED的Notify payload，如果支援MOBIKE的話(RFC4555)

在CFG_REQUEST的Configuration payload，加入TIMEOUT_PERIOD_FOR_LIVENESS_CHECK attribute，如果支援liveness check

N3IWF會回應IKE_AUTH response，並攜帶AUTH payload及

CFG_REPLY的payload，根據request要求的IP type加入INTERNAL_IP4_ADDRESS/INTERNAL_IP6_ADDRESS取得IP

加入NAS_IP4_ADDRESS/NAS_IP6_ADDRESS的Notify payload，根據request要求的IP type一併配發，用來傳遞NAS message

加入NAS_TCP_PORT的Notify payload，通知N3IWF的TCP port number作為NAS message的傳遞

※※※加入MOBIKE_SUPPORTED的Notify payload，如果UE在request有說支援MOBIKE，並且CFG_REQUEST是要求INTERNAL_IP4_ADDRESS的話(IP6不行????????????????????? P.36這邊，

※※※目前內部結論是"configuration payload with the INTERNAL_IP4_ADDRESS attribute."這段話多餘，因MOBIKE與IP層無關，可在IPv6執行，在2022/10/19查看V17.6.0仍然保留這個敘述

在CFG_REPLY的Configuration payload，加入TIMEOUT_PERIOD_FOR_LIVENESS_CHECK attribute，如果UE有支援liveness check(UE不支援就不會加這個)

liveness check time period由UE預先設定

當IKE SA and signalling IPsec SA建立完成，UE與N3IWF後續的NAS messages都會藉由signalling IPsec SA的TCP connection進行傳遞

7.3.2.3 IKE SA and signalling IPsec SA establishment not accepted by the network

如果IKE SA and signalling IPsec SA 建立失敗，N3IWF的IKE_AUTH response會有Notify payload通知error type

如果error type不是CONGESTION，EAP內有NAS訊息的話要把error indication往上層送

如果error type是CONGESTION，UE捨棄掉所有已建立的IKE SA and signalling IPsec SA，若有N3GPP_BACKOFF_TIMER Notify payload

a)timer value != 0 && timer value != deactivated，UE要啟用Tw3 timer，直到

Tw3 timer expire/UE關機/USIM被移除

b)timer value == deactivated，UE就不針對相同N3IWF retry，直到

UE關機/USIM被移除

c)timer value == 0，UE可以進行retry

N3IWF發CONGESTION的情況

a)AMF有發OVERLOAD START

b)UE要求的NSSAI有涵蓋到OVERLOAD START的network slice

如果收到IKE_AUTH response帶有error type的Notify payload，若EAP-5G session已建立，UE就要對EAP-5G session進行local termination