理论篇

第2章 5G核心网

2.1 系统架构及功能

2.1.1 系统架构

1. 独立组网（Standalone，SA）和非独立组网（Non-Standalone，NSA）

根据3GPP规范，从4G向5G迁移的过程中，组网方式分为SA方式和NSA方式。

SA方式的特点：需要建设5G核心网（Next Generation Core，NGC，也称为5GC）；5G核心网与4G核心网之间可进行互操作。

NSA方式的特点：引入双连接的概念，UE（用户终端）可同时接入5G和4G网络，NR（5G基站）与4G基站之间控制面相连。

SA和NSA主要包括以下场景。

（1）Option 2

Option 2部署示意如图2-1所示。

（2）Option 3

Option 3部署示意如图2-2所示。

（3）Option 3a

Option 3a部署示意如图2-3所示。

（4）Option 3x

Option 3x部署示意如图2-4所示。

（5）Option 4

Option 4部署示意如图2-5所示。

（6）Option 4a

Option 4a部署示意如图2-6所示。

（7）Option 5

Option 5部署示意如图2-7所示。

（8）Option 7

Option 7部署示意如图2-8所示。

（9）Option 7a

Option 7a部署示意如图2-9所示。

（10）Option 7x

Option 7x部署示意如图2-10所示。

以上主要场景中，Option 2和Option 5是SA方式，Option 3/3a/3x、Option 4/4a、Option 7/7a/7x都是NSA方式。

整个迁移过程可以有多种路径选择，例如4G网络→ Option 3/3a/3x → Option 7/7a/7x →Option 4/4a → Option 2（5G网络），每一步不是必需的，可以跨越。

2. 基于服务的架构（Service-Based Architecture，SBA）

根据3GPP规范TS 23.501，基于SBA理念，5G系统架构如图2-11所示。

5G核心网控制平面功能采用基于服务的设计理念来描述控制面网络功能和接口交互，并实现网络功能的服务注册、发现和认证等功能。在服务化架构下，控制平面的功能既可以是服务的生产者，也可以是服务的消费者，消费者要访问生产者的服务时，必须使用生产者提供的统一接口进行访问。采取服务化设计，可以提高功能的重用性，简化业务流程设计，优化参数传递效率，提高网络控制功能的整体灵活性。

5G核心网具有如下关键特性：

（1）控制和承载完全分离，控制面和用户面可以分别灵活部署与扩容；

（2）控制面采用服务化架构，接口统一，简化流程；

（3）采用虚拟化技术，实现软硬件解耦，计算和存储资源动态分配；

（4）支持网络切片，灵活快速按需部署网络；

（5）支持边缘计算，有利于低时延、高带宽等创新型业务的部署；

（6）软件定义网络，实现网络可编排。

关于存储，类似于4G的归属签约用户服务器（Home Subscriber Server，HSS）的前台/后台（Front End/Back End，FE/BE）架构，5G的统一数据管理（Unified Data Management，UDM）、策略控制功能（Policy Control Function，PCF）和网络开放功能（Network Exposure Function，NEF）的后台数据存储在统一数据库（Unified Data Repository，UDR）中，如图2-12所示。

2.1.2 网元功能

5G系统架构中，各网元的功能简介见表2-1。

5G网元功能与4G网元功能比较见表2-2。

2.1.3 接口介绍

1. 基于服务的接口

5G系统中基于服务的接口简介见表2-3。

2. 网元之间的接口

各网元之间的接口如图2-13所示，为了简化，NEF、NRF在图中未标示出。

在多个分组数据单元（Packet Data Unit，PDU）会话的情况下，5G系统架构及网元接口示意如图2-14所示。

在单个PDU会话同时接入本地DN和中心DN的情况下，5G系统架构及网元接口示意如图2-15所示。

NEF与AF之间的接口示意如图2-16所示。

漫游状态下local breakout场景的5G系统架构及网元接口示意如图2-17所示。

其中，安全边缘保护代理（Security Edge Protection Proxy，SEPP）是一种非透明代理，支持公共陆地移动网（Public Land Mobile Network，PLMN）间控制面接口上的消息过滤和监管，并支持拓扑隐藏。

漫游状态下home routed场景的5G系统架构及网元接口如图2-18所示。

5G系统中网元之间的接口简介见表2-4。

3. 控制面主要协议栈

（1）AN与AMF之间的协议栈

AN与AMF之间的协议栈如图2-19所示。

（2）AN与SMF之间的协议栈

AN与SMF之间的协议栈如图2-20所示。

（3）UE与AMF之间的协议栈

UE与AMF之间的协议栈如图2-21所示。

（4）UE与SMF之间的协议栈

UE与SMF之间的协议栈如图2-22所示。

4. 用户面主要协议栈

PDU会话的用户面协议栈如图2-23所示。

2.1.4 QoS机制

1. 5G QoS术语

5G QoS领域出现了一些术语，为了便于理解，我们与4G QoS术语进行了类比，具体如下所述：

（1）5G中的5G QoS标识符（5G QoS Identifier，5QI）相当于4G中的QoS等级标识符（QoS Class Identifier，QCI）；

（2）5G中的QoS Flow相当于4G中的Bearer；

（3）5G中的QoS流标识（QoS Flow ID，QFI）相当于4G中的Bearer ID；

（4）5G中的APN 聚合最大比特率（Aggregate Maximum Bit Rate，AMBR）相当于4G中的Session AMBR。

2. 5G QoS参数

5G QoS参数见表2-5。

每个QoS流的QoS配置文件都会包括5QI和ARP参数；每个保证比特率（Guaranteed Bit Rate，GBR）QoS流的QoS配置文件还可以包括GFBR、MFBR和通知控制参数；每个非保证比特率（Non-Guaranteed Bit Rate，Non-GBR）QoS流的QoS配置文件还可以包括RQA参数。

与4G相比，RQA是一个新参数，引入的具体原因如下所述。

（1）虽然有些数据业务的特点通过现有机制不易实施，但又需要将其纳入特定QFI进行差异化调度和控制。例如P2P业务，数据流很多且无法预知。

（2）充分利用核心网侧识别能力，在数据面标记后实现E2E QoS控制，在实时性、可行性和信令面性能上都有优化。

反射QoS策略实施是在标准的基于QoS Flow机制的基础上增加对反射的处理。

反射QoS策略的信令面处理流程如下所述。

（1）在特定业务的QoS规则中，可携带RQA标识，从PCF下发到SMF。

（2）SMF将该规则通过信令面向UE/AN和UPF传递，UE/AN/UPF完成对该QFI的处理。

反射QoS策略的用户面处理流程如下所述。

（1）UPF首先进行业务识别，对特定业务数据流下行包在GTP协议用户面（GTP for User Plane，GTP-U）层带反射QoS指示符（Reflective QoS Indication，RQI）标记。

（2）AN实现协议映射，将GTP-U层的RQI标记转换为业务数据适配协议（ServiceData Adaptation Protocol，SDAP）头向UE传递。

（3）UE对携带了RQI标记的流，生成对应的QoS规则，上行流也映射到该QoS Flow进行调度处理。

3. 5G E2E QoS实现机制

5G E2E QoS实现机制如下所述。

（1）QoS签约：PDU Session建立时SMF经UDM从UDR获取签约QoS信息，仅包含缺省5QI/ARP及Session-AMB。

（2）QoS授权：PDU Session建立时SMF经PCF从UDR获取授权QoS信息，请求时可携带签约QoS，PCF授权的QoS既包含缺省也包含与业务相关的QoS规则。

（3）QoS E2E实施：SMF对PCF下发的Session或业务级QoS要求进行处理，根据需要向UE/AN/UPF进行分发实施。

（4）UE-AMBR管理：UE-AMBR需经AMF/UDM获得，下发给NR，由NR进行上下行带宽管控；SMF/UPF只对Session AMBR感知并处理。

4. 5G QoS模型与4G QoS模型比较

5G QoS模型与4G QoS模型比较示意如图2-24所示，具体见表2-6。

一个用户或一个切片可能有多个PDU Session，一个PDU Session可能包含多个QoS Flow，根据5QI和QoS特征，将不同的QoS Flow映射到不同等级的承载上，将近似的QoS Flow可以合并映射到相同等级的承载上，对承载做差异化处理。将各QoS Flow映射到数据无线承载（Data Radio Bearer，DRB）时，可能出现一个终端有很多种QoS Flow（很多种业务）而DRB个数受限的问题，5G因此新增SDAP。根据配置，由基站的SDAP层将各QoS Flow映射到DRB上，可以通过QoS Flow到DRB的映射关系配置，将QoS特性比较相近的QoS Flow映射到同一个DRB上，从而支持多个QoS Flow使用同一个DRB。

5. 4G Bearer映射与5G QoS Flow映射的比较

4G Bearer映射示意如图2-25所示。

在4G Bearer映射中，PDN GW、Serving GW、eNB、UE上的具体操作如下所述。

（1）PDN GW

下行：PDN GW根据业务数据流（Service Data Flow，SDF）模板将数据包映射到EPS bearer，并在对应的隧道上传输。

上行：PDN GW接收上行数据包，并执行QoS验证。

（2）Serving GW

下行：根据数据的S5/S8隧道标识将数据包映射到对应的S1隧道。

上行：根据S1隧道标识将数据包映射到对应的S5/S8隧道上。

（3）eNB

下行：根据数据的S1隧道标识将数据包映射到对应的DRB。

上行：根据DRB标识将数据包映射到对应的S1隧道上。

（4）UE

根据业务流模板（Traffic Flow Template，TFT）将数据包映射到对应的DRB。

5G QoS Flow映射如图2-26所示。

在5G QoS Flow映射中，UPF、AN和UE上的具体操作如下所述。

（1）UPF

下行：UPF根据SDF模板将数据包映射到QoS Flow，并在N3隧道头标记QFI。

上行：UPF接收AN发送的数据包，并执行验证。

（2）AN

下行：AN根据QFI将数据包映射到DBR上。

上行：AN根据DRB上接收到的数据包的QFI，在N3隧道头标记QFI。

（3）UE

NAS层根据QoS规则将数据包映射到QoS Flow，AS层负责QoS Flow到DRB的映射。

6. 5QI到QoS映射

5QI到QoS映射见表2-7。

2.1.5 系统安全

1. 5G安全面临的需求和挑战

5G安全面临很多需求和挑战，具体如下所述。

（1）5G网络需要为物联网提供可靠的网络通信服务，物联网设备对安全提出对应的要求，如海量设备的认证成本、自动驾驶的安全传输时延等，这需要5G网络具备轻量级安全传输、轻量级认证和轻量级算法。

（2）5G核心网重构了统一框架，以支持各种接入方式，如3GPP接入、非3GPP接入、Wi-Fi接入等，这需要5G核心网具备统一的认证框架、统一的鉴权算法、统一的密钥推衍。

（3）面对4G网络中存在的一些安全隐患，如国际移动用户识别码（International Mobile Subscriber Identity，IMSI）泄露、用户位置更新欺诈问题等，这需要5G网络具备IMSI隐私保护、归属地鉴权结果确认等功能。

（4）网络虚拟化、云原生的网络架构和网络切片的引入，需要5G网络具备网络切片隔离安全、接入安全和管理安全的能力。

2. 5G安全体系架构

根据3GPP规范，5G安全体系架构如图2-27所示。

图2-27中的相关术语解释如下所述。

（1）移动设备（Mobile Equipment，ME）：用户的移动终端，如手机等。

（2）通用用户识别模块（Universal Subscriber Identity Module，USIM）：用户终端内包含的USIM卡。

（3）归属环境（Home Environment，HE）：用户的归属网络。

（4）AN：接入核心网的各种无线接入网，对于5G系统，AN指的是下一代无线接入网（Next Generation Radio Access Network，NG-RAN），即5G无线接入网。

（5）服务网络（Serving Network，SN）：拜访地给用户直接提供服务的网络。

5G安全体系架构包括以下安全域。

（1）网络接入安全（I）：该安全功能提供用户从接入（包括3GPP接入和非3GPP接入）到业务的安全保障，尤其是防止空中接口受到攻击。

（2）网络域安全（II）：该安全功能保证网络节点间安全地交互控制面数据和用户面数据。

（3）用户域安全（III）：该安全功能保证移动终端的安全接入。

（4）应用域安全（IV）：该安全功能保证应用程序在用户和应用提供者之间安全地交互信息。

（5）SBA域安全（V）：该安全功能保证SBA体系结构的网络功能在服务网络域内与其他网络域间的安全通信。这些功能包括网络功能注册、发现、授权以及SBA域接口的安全保护。

（6）安全可视性和可配置性（VI）：该安全功能确保用户知道某个安全功能是否在运行。

3. 5G安全涉及的主要网元

5G安全涉及的主要网元如下所述。

（1）AUSF

EAP认证服务器（认证服务器在归属域）进行可扩展鉴权协议（Extensible Authentication Protocol，EAP）认证，推导锚点密钥；5G 鉴权和密钥协商（Authentication and Key Agreement，AKA）认证完成归属域确认（可选）。

（2）认证证书存储和处理功能（Authentication Credential Repository and Processing Function，ARPF）

存储用户的根密钥（Key identifier，Ki）以及认证的相关签约数据；计算5G认证鉴权向量，包括EAP-AKA’ （随机数（RANDom number，RAND）、鉴权令牌（AUthentication TokeN，AUTN）、完整性密钥（Integrity Key’，IK’）、加密密钥（Cipher Key’，CK’）、期望响应（Expected Response，XRES））和5G AKA（RAND、AUTN、KASME*、XRES*）。

（3）安全锚点功能（Security Anchor Function，SEAF）

根据锚点密钥推到下层的NAS和AS密钥；5G AKA完成鉴权结果比较功能。

4. 4G和5G的认证方法

4G和5G的认证方法比较见表2-8。

在4G中，3GPP和非3GPP接入通过两套不同的认证方法实现接入认证。

3GPP接入的认证方法（EPS-AKA）如下所述。

（1）HSS：计算鉴权四元组（RAND、AUTN、XRES、KASME）。

（2）MME：比较XRES（HSS）和RES（MME），根据KASME计算机密性和完整性密钥。

（3）UE：根据RAND计算RES、KASME，使用AUTN验证网络。

非3GPP接入的认证方法（基于USIM卡的EAP-AKA/EAP-AKA’）如下所述。

（1）HSS：计算鉴权五元组（RAND、AUTN、XRES、IK、CK）。

（2）3GPP AAA Server：EAP认证服务器（认证服务器在归属域）把IK/CK作为EAP认证的根密钥计算主会话密钥（Master Session Key，MSK），并决定EAP认证是否成功。

（3）ePDG：使用MSK和UE建立IKEv2隧道。

（4）UE：根据RAND计算RES、IK、CK，并进一步计算EAP认证的MSK、消息鉴权码（Message Authentication Code，MAC）；使用AUTN验证网络；与ePDG建立IKEv2隧道。

在5G中，3GPP和非3GPP接入通过统一的认证方法实现接入认证：对于多种网络接入，支持同一套认证机制；漫游时，增加拜访域对鉴权结果的控制，以减少漫游网络欺诈。

在R15阶段，3GPP接入的认证方法包括EAP-AKA’和5G-AKA，后者是4G的EPS-AKA的升级，增加了归属域确认流程。非3GPP接入的认证方法是EAP-AKA’。

5G认证方法简介如下所述。

（1）5G-AKA认证方法

5G-AKA认证是4G的EPS-AKA认证的升级，用于3GPP接入的主认证，增加了归属域确认流程。对于漫游和非漫游场景，5G-AKA流程是一样的，AUSF根据服务网络的ID决定是否在AUSF上进行鉴权结果确认。

具体流程如下。

① ARPF生成鉴权四元组向量（RAND、XRES*、KASME*、AUTN）。

② AUSF根据XRES*生成HXRES*，HXRES*=SHA-256（XRES*||RAND），下发给SEAF的鉴权向量中使用HXRES*替代XRES*，并根据服务网络ID决定SEAF是否需要进行鉴权确认流程。

③ SEAF下发RAND和AUTN给UE。

④ UE根据AUTN验证网络，验证通过后根据RAND计算RES*。

⑤ SEAF根据RES*计算HRES*，并比较HRES*和HXRES*是否一致。如果一致，则SEAF验证UE通过；如果需要鉴权确认（5G-AC），则在5G-AC消息中携带RES*，SEAF根据KASME*推衍NAS和空口密钥。

⑥ AUSF比较5G-AC消息中的RES*和XRES*是否一致，完成鉴权确认流程（可选）。

（2）EAP-AKA’认证

EAP-AKA’认证是一种基于USIM的EAP认证方式，用于3GPP和非3GPP接入的主认证。

具体流程如下。

① ARPF计算鉴权五元组向量（RAND、AUTN、IK’、CK’、XRES）。

② AUSF下发EAP-challenge消息，携带RAND、AUTN、AT-MAC（保护EAP消息完整性）。

③ SEAF透传EAP消息给UE。

④ UE根据AT-MAC验证消息完整性，根据AUTN验证网络，验证通过后，计算RES、AT-MAC（保护响应消息）。

⑤ SEAF透传EAP消息给AUSF。

⑥ AUSF根据AT-MAC验证消息完整性，比较RES和XRES验证UE的合法性，如果验证通过，则鉴权通过。

⑦ AUSF根据IK、CK、用户ID计算（E）MSK。

⑧ AUSF下发EAP-Success消息，消息中包含anchor key。

⑨ SEAF使用anchor key推导后续NAS和空口密钥以及非3GPP接入使用的密钥。

（3）二次认证

切片是5G的重要特性，切片可以提供给垂直行业，二次认证用于业务认证，如接入垂直行业切片场景。

5. 5G安全标准内容

在R15阶段，eMBB的安全标准主要包括的领域和内容见表2-9。

在R16阶段，mMTC和uRLLC的安全标准主要包括的领域和内容见表2-10。