5G NSSAAF (Network Slice-Specific Authentication and Authorization Function)

아래는 **5G NSSAAF (Network Slice-Specific Authentication and Authorization Function)**에 대한 3GPP 기준의 실무 중심 설명입니다.
이 기능은 Rel-18에서 새롭게 등장한 구조로, 슬라이스 단위로 사용자 또는 장치의 접속 인증 및 정책적 인가를 수행하기 위한 보안 강화 기능입니다.

---

✅ 1. NSSAAF란?

**NSSAAF (Network Slice-Specific Authentication and Authorization Function)**는
특정 **Network Slice (S-NSSAI)**에 대해 별도로 **인증(Authentication)과 인가(Authorization)**를 수행하는
슬라이스 전용 보안 기능입니다.

📌 쉽게 말하면, 슬라이스마다 다른 인증·인가 기준을 적용할 수 있도록 독립적인 보안 게이트웨이를 제공하는 기능입니다.
이는 특히 B2B 슬라이스, 국방/공공 슬라이스, 민간망(Private 5G) 등에서 필수입니다.

---

✅ 2. 포함 표준 릴리즈

릴리즈	포함 여부	주요 내용
Rel-18	✅ 최초 정의	- S-NSSAI 단위 인증/인가 정책 분리 구조 도입 - AMF 접속 전 또는 후 인증 처리 모두 가능

---

✅ 3. NSSAAF의 주요 역할

기능	설명
슬라이스 전용 인증	특정 S-NSSAI에 접근하려는 UE나 서비스에 대해 독립된 인증 로직 수행 (ex: X.509 인증서, SIM 외 인증 등)
인가 정책 적용	슬라이스 별 허용 사용자 그룹, 서비스 조건 등을 별도로 설정 가능
AMF 연동	Slice 접속 시 AMF가 NSSAAF에 인증/인가 요청
UE 유형별 대응	특정 단말 유형(예: 로봇, 차량, 일반 사용자 등)에 따른 인증 절차 적용 가능
Fallback 처리	인증 실패 시 다른 S-NSSAI로의 Fallback 또는 제한 접근 지원

---

✅ 4. 기본 연동 구조 (Simplified)

[UE]  
 ↓ 접속 요청 (S-NSSAI 포함)  
[AMF]  
 ↓  
[NSSAAF] ←→ [UDM / External Auth DB (선택적)]  
 ↓  
정책 허용 시 접속 → [SMF / UPF]

• AMF는 S-NSSAI 기준으로 NSSAAF에 인증/인가 질의
• NSSAAF는 내부 DB 또는 외부 인증서 기반 서버와 연동하여 검증
• 허용되면 Slice 접속 → PDU 세션 설정 가능

---

✅ 5. 기존 인증 체계와의 차이

항목	기존 UDM 인증	NSSAAF 인증
기준	가입자 전체 단위	슬라이스(S-NSSAI) 단위
인증방식	SIM/eSIM 기반	X.509, OAuth2, SIM 등 다양
목적	가입자 전체 인증	슬라이스 격리 보안 정책 적용
구성	AMF ↔ UDM	AMF ↔ NSSAAF ↔ (UDM or 외부 Auth 시스템)

---

✅ 6. 실무 적용 시나리오

환경	적용 예시
공공안전 슬라이스	경찰/소방 단말은 정부 CA 인증서 기반 인증 수행, 일반 단말은 접속 제한
스마트공장 슬라이스	IoT 단말의 장치 ID/제조사 인증서로 인증, 외부 UE는 접속 불가
이중 슬라이스 접속 단말	일반 S-NSSAI는 eSIM 기반 인증, 산업용 S-NSSAI는 사내 인증서 요구

---

✅ 7. Rel-18 고도화 포인트

항목	내용
Slice-aware 인증서 기반 인증	X.509 또는 OIDC 기반 인증 프로파일 지원
UE 인증 실패 시 정책적 대응	Fallback Slice로의 이동, 제한된 접근 허용 가능
NEF/PCF와의 연동 가능성	슬라이스 진입 후 정책 적용 자동화 지원 예정
MEC 연계 구조 고려	로컬 슬라이스 접속 시 지역 인증 시스템 연계 가능

---

✅ 8. NSSAAF vs AAnF vs UDM

항목	NSSAAF	AAnF	UDM
인증 대상	S-NSSAI 기반 인증	외부 서비스/사용자	전체 가입자
인증 위치	접속 시점 (AMF 진입 시)	NEF API 호출 시	UE Attach 시
인증 수단	다양한 프로파일 가능 (eSIM, X.509 등)	OAuth2, 토큰 등	USIM 기반 AKA
적용 목적	슬라이스 보안 분리	API 보안 제어	기본 통신 인증

---

✅ 실무 요약

항목	설명
역할	슬라이스(S-NSSAI)별 인증/인가 제어 기능
도입 목적	B2B, 공공안전, 민간망 등 슬라이스 간 보안 분리를 위한 구조
Rel-18 특징	다양한 인증 방식 지원, 슬라이스 정책 분리, Fallback 구조 포함
적용 대상	대형 통신사, 산업별 슬라이스 보안 요구 환경

**5G 주요 네트워크 기능(NFs)**들의 3GPP 릴리즈(Rel-15~Rel-19) 기준 포함 여부와 해당 릴리즈에서의 주요 도입 목적 및 변화 요약입니다.

---

✅ 5G NF별 릴리즈 포함 정리표

기능명 (NF)	R15	R16	R17	R18	R19예정	주요 내용 요약
LMF (Location Management Function)	✅	✅	✅	✅	🔄 개선 예정	위치 측정 기능 (Rel-15 도입), 정밀도 강화 (Rel-18: sub-meter, Edge-LMF)
GMLC (Gateway Mobile Location Center)	✅	✅	✅	✅	🔄	LMF 연동 게이트웨이 (Rel-15 도입), NEF/API 노출 (Rel-17+), 긴급위치 강화
TNGF (Trusted Non-3GPP Gateway Function)	✅	✅	🔄	❌	❌	보안된 Wi-Fi 단말을 5GC에 연결 (Rel-15부터 도입)
W-AGF (Wireline Access Gateway Function)	❌	✅	✅	✅	🔄	FTTH 등 고정망 접속을 5GC에 연계 (Rel-16 최초 도입, Rel-18은 슬라이스 기반 강화)
TWIF (Trusted WLAN Interworking Function)	❌	❌	✅	✅	🔄	TNGF 경량화 버전 (Rel-17 도입), 가정/기업 Wi-Fi 연동 간소화
UCMF (User Consent Management Function)	❌	❌	✅	✅	🔄	위치정보/API 노출 동의 제어 기능 (Rel-17), 조건부 동의 및 만료 제어 (Rel-18)
AAnF (Authentication Authorization Function)	❌	❌	✅	✅	🔄	NEF/API 연동 외부 서비스 인증 (Rel-17), OAuth2, Scope 제어 등 강화 (Rel-18)
NSWOF (Network Slice-specific WoF)	❌	❌	❌	✅	🔄	슬라이스별 인증/인가 기능 (Rel-18 도입), B2B망 보안 분리 대응
NSSAAF (Network Slice Specific Auth & Authz Function)	❌	❌	❌	✅	🔄	슬라이스 단위 인증·인가 정책 (Rel-18), 공공망·민간망 분리 대응
NSACF (Network Slice Admission Control Function)	❌	❌	❌	✅	🔄	슬라이스 접속 허용/거부 판단 기능 (Rel-18 도입)
TSCTSF (TSC Time Sync Function)	❌	❌	✅	✅	🔄	정밀 시간 동기화 제공 (Rel-17), 산업용 sub-microsecond 대응 (Rel-18)
EASDF (Edge App Server Discovery Function)	❌	❌	✅	✅	🔄	UE 위치/App ID 기반 최적 MEC 서버 탐색 (Rel-17), 정책·부하 기반 강화 (Rel-18)
TSNAF (TSN Adaptation Function)	❌	✅	✅	✅	🔄	TSN ↔ 5G 트래픽 매핑 및 시간정렬 (Rel-16 도입, Rel-18에서 MEC/로봇 연동 강화)

---

🟨 참고 기호

• ✅ : 해당 릴리즈에서 최초 도입 또는 주요 정의
• 🔄 : 해당 기능이 릴리즈에서 기능 보완 또는 고도화됨
• ❌ : 해당 릴리즈에 미포함

---

✅ 결론 요약

릴리즈	핵심 NF 도입
Rel-15	LMF, GMLC, TNGF 등 기본 5GC 구조
Rel-16	W-AGF, TSNAF 등 고정망/산업망 연동
Rel-17	UCMF, AAnF, TSCTSF, EASDF 등 API·TSC 기반 확장
Rel-18	NSWOF, NSSAAF, NSACF 등 슬라이스 보안/정책 분리 강화