ARTICLE / 2026·06·28
LTE非接入层(NAS)流程详解
NAS协议层定位与EMM/ESM状态机、PLMN搜网优先级、小区选择S准则与重选R准则、Attach完整信令流程(含Mermaid时序图)、EPS AKA鉴权与密钥派生体系、TAU跟踪区更新、Detach去附着、Service Request业务请求,以及常见失败原因值与关键定时器
LTE非接入层(NAS)流程详解
一、NAS协议概述
1.1 NAS层定位
非接入层(Non-Access Stratum, NAS)是UE和核心网(MME)之间的控制平面协议层,信令消息直接透传过eNodeB,基站不解析NAS消息内容。
协议栈分层:
graph TB
subgraph UE侧
UE_NAS[NAS层<br/>MM/SM/ESM/EMM]
UE_RRC[RRC层]
UE_PDCP[PDCP]
UE_RLC[RLC]
UE_MAC[MAC]
UE_PHY[物理层]
end
subgraph eNodeB
eNB_PHY[物理层]
eNB_MAC[MAC]
eNB_RLC[RLC]
eNB_PDCP[PDCP]
eNB_RRC[RRC层<br/>NAS透传]
end
subgraph MME侧
MME_NAS[NAS层<br/>MM/SM/ESM/EMM]
end
UE_NAS <-->|NAS信令<br/>RRC透传| UE_RRC
UE_RRC <--> UE_PDCP
UE_PDCP <--> UE_RLC
UE_RLC <--> UE_MAC
UE_MAC <--> UE_PHY
UE_PHY <-->|空口Uu| eNB_PHY
eNB_PHY <--> eNB_MAC
eNB_MAC <--> eNB_RLC
eNB_RLC <--> eNB_PDCP
eNB_PDCP <--> eNB_RRC
eNB_RRC <-->|S1-AP| MME_NAS
UE_NAS <-->|NAS信令<br/>端到端| MME_NAS
1.2 NAS主要子层
| 子层 | 全称 | 功能 |
|---|---|---|
| EMM | EPS Mobility Management | EPS移动性管理:附着、TAU、鉴权、安全 |
| ESM | EPS Session Management | EPS会话管理:PDN连接、承载建立/修改/释放 |
| MM | Mobility Management (2G/3G遗留) | 移动性管理 |
| SM | Session Management (2G/3G遗留) | 会话管理 |
1.3 NAS状态机
stateDiagram-v2
[*] --> EMM_DEREGISTERED: 开机/无SIM
EMM_DEREGISTERED --> EMM_REGISTERED_INITIATED: Attach Request发送
EMM_REGISTERED_INITIATED --> EMM_REGISTERED: Attach Accept/完成
EMM_REGISTERED_INITIATED --> EMM_DEREGISTERED: Attach失败/被拒
EMM_REGISTERED --> EMM_DEREGISTERED: Detach/去附着
EMM_REGISTERED --> EMM_REGISTERED: TAU/Handover
EMM_REGISTERED --> EMM_CONNECTED: 业务请求/RRC建立
EMM_CONNECTED --> EMM_REGISTERED: RRC释放/业务结束
state "EMM-DEREGISTERED" as EMM_DEREGISTERED
state "EMM-REGISTERED-INITIATED" as EMM_REGISTERED_INITIATED
state "EMM-REGISTERED" as EMM_REGISTERED
state "EMM-CONNECTED" as EMM_CONNECTED
| 状态 | 说明 |
|---|---|
| EMM-DEREGISTERED | 未注册,网络不知道UE位置,需执行Attach |
| EMM-REGISTERED-INITIATED | 正在注册流程中,等待网络响应 |
| EMM-REGISTERED | 已注册,空闲态,网络知道TA级位置 |
| EMM-CONNECTED | 连接态,有RRC连接,网络知道小区级位置 |
二、搜网流程(PLMN选择)
UE开机后首先执行PLMN选择,找到可用网络。
2.1 PLMN选择优先级
graph TD
START[UE开机] --> RPLMN[尝试RPLMN<br/>上次注册的PLMN]
RPLMN -->|成功| CAMP[驻扎该PLMN小区]
RPLMN -->|失败| HPLMN[尝试HPLMN<br/>归属PLMN]
HPLMN -->|成功| CAMP
HPLMN -->|失败| UPLMN[尝试UPLMN列表<br/>用户/运营商控制]
UPLMN -->|成功| CAMP
UPLMN -->|失败| OPLMN[尝试OPLMN列表<br/>运营商优选]
OPLMN -->|成功| CAMP
OPLMN -->|失败| FULL[全频段扫描<br/>选择信号最强的可用PLMN]
FULL -->|找到| CAMP
FULL -->|未找到| LIMITED[受限服务<br/>仅紧急呼叫]
CAMP --> CELL_SEL[开始小区选择]
2.2 PLMN类型
| PLMN类型 | 说明 | 选择优先级 |
|---|---|---|
| RPLMN | Registered PLMN,上次成功注册的PLMN | 最高 |
| HPLMN | Home PLMN,归属运营商(MCC+MNC匹配SIM) | 高 |
| EHPLMN | Equivalent HPLMN,等效归属PLMN列表 | 高 |
| UPLMN | User-controlled PLMN,用户控制列表 | 中 |
| OPLMN | Operator-controlled PLMN,运营商控制列表 | 中 |
| VPLMN | Visited PLMN,拜访地PLMN(漫游) | 低 |
| FPLMN | Forbidden PLMN,禁止PLMN列表 | 排除 |
2.3 搜网模式
- 自动搜网:Modem按优先级自动搜索选择最优网络
- 手动搜网:用户手动选择运营商,UE尝试注册指定PLMN
- 存储频段搜网:优先搜索上次使用过的频段(快速搜网)
- 全频段扫描:搜索所有支持频段(慢但全面)
三、小区选择与重选
搜网找到PLMN后,执行小区选择并驻扎。
3.1 小区选择准则(S准则)
满足Srxlev > 0且Squal > 0:
Srxlev = Qrxlevmeas - (Qrxlevmin + Qrxlevminoffset) - Pcompensation
Squal = Qqualmeas - (Qqualmin + Qqualminoffset)
其中:
- Qrxlevmeas:测量的RSRP值
- Qrxlevmin:小区最小接收电平(SIB1广播,通常-140dBm)
- Qqualmeas:测量的RSRQ值
- Qqualmin:小区最小接收质量
3.2 小区选择类型
| 类型 | 场景 | 特点 |
|---|---|---|
| 初始小区选择 | 开机/无先验信息 | 全频段扫描,速度慢 |
| 带存储信息小区选择 | 有关键信息存储 | 利用上次存储的频点/PCI快速搜索 |
3.3 小区重选流程
sequenceDiagram
participant UE
participant CurrentCell[当前服务小区]
participant NeighborCell[邻区]
UE->>CurrentCell: 持续测量服务小区信号
Note over UE: 计算S准则
alt 服务小区Srxlev > Sintrasearch
Note over UE: 不启动同频测量(省电)
else 服务小区Srxlev ≤ Sintrasearch
UE->>NeighborCell: 启动同频/异频/异系统测量
Note over UE: 启动Treselection定时器
alt 邻区满足R准则持续Treselection时间
Note over UE: R_n > R_s + Qoffset
UE->>NeighborCell: 重选到新小区
UE->>NeighborCell: 读取新小区SIB
end
end
3.4 R准则(重选排序)
Rs = Qmeas,s + Qhyst
Rn = Qmeas,n - Qoffset
邻区Rn大于服务小区Rs且持续Treselection时间,则触发重选。
四、Attach附着流程(核心NAS流程)
Attach是UE向网络注册的核心流程,完成后UE获得IP地址,可以使用数据业务。
4.1 完整Attach信令流程
sequenceDiagram
autonumber
participant UE
participant eNB
participant MME
participant HSS
participant SGW
participant PGW
participant PCRF
Note over UE,PCRF: 1. 随机接入与RRC连接建立
UE->>eNB: Random Access Preamble
eNB->>UE: Random Access Response
UE->>eNB: RRC Connection Request
eNB->>UE: RRC Connection Setup
UE->>eNB: RRC Connection Setup Complete<br/>(携带NAS: Attach Request)
Note over UE,PCRF: 2. 初始UE消息发送到MME
eNB->>MME: S1-AP Initial UE Message<br/>(Attach Request + Selected PLMN)
Note over UE,PCRF: 3. 鉴权流程(可选,若MME无有效UE上下文)
MME->>HSS: Authentication Information Request
HSS->>MME: Authentication Information Answer<br/>(RAND, AUTN, XRES, KASME)
MME->>UE: Authentication Request(RAND, AUTN)
Note over UE: USIM计算RES, CK, IK<br/>验证AUTN合法性
UE->>MME: Authentication Response(RES)
Note over MME: 比较RES与XRES
Note over UE,PCRF: 4. NAS安全模式
MME->>UE: Security Mode Command<br/>(加密/完整性算法选择)
Note over UE: 派生NAS密钥
UE->>MME: Security Mode Complete
Note over UE,PCRF: 5. 位置更新与签约数据获取
MME->>HSS: Update Location Request
HSS->>MME: Update Location Answer<br/>(签约数据QoS/APN)
Note over UE,PCRF: 6. 默认承载建立
MME->>SGW: Create Session Request
SGW->>PGW: Create Session Request
PGW->>PCRF: IP-CAN Session Establishment
PCRF->>PGW: PCC规则(QoS策略)
PGW->>PGW: 分配UE IP地址
PGW->>SGW: Create Session Response
SGW->>MME: Create Session Response
Note over UE,PCRF: 7. Attach Accept与RRC重配
MME->>eNB: Initial Context Setup Request<br/>(Attach Accept + 承载上下文)
eNB->>UE: RRC Connection Reconfiguration<br/>(Attach Accept + SRB2/DRB配置)
Note over UE: 保存GUTI、TAI List、IP地址
UE->>eNB: RRC Connection Reconfiguration Complete
eNB->>MME: Initial Context Setup Response
UE->>MME: Attach Complete(Direct Transfer)
Note over UE,PCRF: 8. 承载更新
MME->>SGW: Modify Bearer Request
SGW->>MME: Modify Bearer Response
Note over UE,PCRF: Attach完成! UE获得IP,可以传输数据
4.2 Attach Request关键信息
| IE信息 | 说明 |
|---|---|
| EPS Attach Type | EPS Attach / Combined EPS/IMSI Attach |
| IMSI或GUTI | UE标识(优先用GUTI,无有效GUTI用IMSI) |
| UE Network Capability | UE支持的加密/完整性算法、频段能力 |
| ESM Message | PDN Connectivity Request(请求建立PDN连接) |
| PDN Type | IPv4 / IPv6 / IPv4v6 |
| APN | 接入点名称(若请求特定APN) |
4.3 Attach Accept关键信息
| IE信息 | 说明 |
|---|---|
| GUTI | 新分配的临时标识(保护IMSI隐私) |
| TAI List | 跟踪区列表(TAU时无需更新,减少信令) |
| EPS Bearer Context | 默认承载QoS、APN、IP地址 |
| T3412 Timer | 周期性TAU定时器(通常54分钟) |
| T3402 Timer | Attach失败后的等待定时器 |
4.4 Attach类型
| Attach类型 | 说明 |
|---|---|
| EPS Attach | 仅EPS附着,仅PS域数据业务 |
| Combined EPS/IMSI Attach | 联合附着,同时在CS域注册(CSFB语音需要) |
| EPS Emergency Attach | 紧急附着,无SIM卡也可(仅紧急呼叫) |
五、鉴权与密钥协商流程
5.1 EPS AKA鉴权流程
sequenceDiagram
participant UE
participant USIM[UE/USIM卡]
participant MME
participant HSS/AuC
MME->>HSS/AuC: 鉴权请求(IMSI)
HSS/AuC->>HSS/AuC: 生成RAND随机数
HSS/AuC->>HSS/AuC: 计算XRES=f2K(RAND)
HSS/AuC->>HSS/AuC: 计算CK=f3K(RAND), IK=f4K(RAND)
HSS/AuC->>HSS/AuC: 计算AUTN=SQN⊕AK|AMF|MAC
HSS/AuC->>HSS/AuC: 计算KASME=KDF(CK, IK, SQN, PLMN)
HSS/AuC->>MME: 返回鉴权向量(RAND, AUTN, XRES, KASME)
MME->>UE: Authentication Request(RAND, AUTN)
UE->>USIM: 传递RAND, AUTN
USIM->>USIM: 验证AUTN中的MAC<br/>(确认网络合法)
USIM->>USIM: 检查SQN序号<br/>(防止重放攻击)
USIM->>USIM: 计算RES=f2K(RAND)
USIM->>USIM: 计算CK=f3K(RAND), IK=f4K(RAND)
USIM->>USIM: 计算KASME=KDF(CK, IK...)
USIM->>UE: 返回RES, KASME
UE->>MME: Authentication Response(RES)
Note over MME: 比较RES == XRES?<br/>一致则鉴权成功
5.2 密钥派生体系
graph TD
K[根密钥 Ki<br/>存储在USIM和AuC] -->|AKA算法| CK[CK 加密密钥]
K -->|AKA算法| IK[IK 完整性密钥]
CK --> KDF1[KDF派生]
IK --> KDF1
KDF1 --> KASME[KASME<br/>ASME基础密钥]
KASME -->|NAS层| KNASenc[NAS加密密钥]
KASME -->|NAS层| KNASint[NAS完整性密钥]
KASME --> KENB[KeNB<br/>eNB基础密钥]
KENB -->|RRC层| KRRCenc[RRC加密密钥]
KENB -->|RRC层| KRRCint[RRC完整性密钥]
KENB -->|UP层| KUPenc[用户面加密密钥]
KENB --> KENBstar[S-KeNB<br/>切换时派生]
5.3 加密与完整性算法
| 算法标识 | 加密算法(EEA) | 完整性算法(EIA) | 说明 |
|---|---|---|---|
| EEA0/EIA0 | 无加密 | 无完整性保护 | 仅紧急呼叫使用 |
| EEA1/EIA1 | SNOW 3G | SNOW 3G | 3GPP指定,强制支持 |
| EEA2/EIA2 | AES | AES | 美国标准,广泛支持 |
| EEA3/EIA3 | ZUC(祖冲之) | ZUC | 中国标准,安全性高 |
六、TAU跟踪区更新流程
当UE进入新的TA(不在TAI List中)或周期性TAU定时器超时,执行TAU。
6.1 TAU触发条件
- UE发现新TAI不在注册的TAI List中
- 周期性TAU定时器T3412超时
- UE从异系统(E-UTRAN)重选到LTE
- RRC连接释放时携带负载均衡TAU指示
- UE的CSG能力变化
- UE的网络能力变更
6.2 TAU流程概览
sequenceDiagram
UE->>eNB: RRC Connection Request
eNB->>UE: RRC Connection Setup
UE->>eNB: RRC Connection Setup Complete<br/>(TAU Request)
eNB->>MME: Uplink NAS Transport(TAU Request)
Note over MME: 若新MME,需从旧MME取上下文
MME->>HSS: Update Location Request
HSS->>MME: Update Location Answer
MME->>SGW: Modify Bearer Request
SGW->>MME: Modify Bearer Response
MME->>UE: TAU Accept<br/>(新GUTI/TAI List/T3412)
UE->>MME: TAU Complete(若GUTI重分配)
七、Detach去附着流程
7.1 Detach类型
| 类型 | 发起方 | 触发场景 |
|---|---|---|
| UE发起关机Detach | UE | 关机、飞行模式 |
| UE发起非关机Detach | UE | 手动换网、SIM移除 |
| MME发起显式Detach | MME | 签约过期、HLR删除、HSS发起 |
| MME发起隐式Detach | MME | 长时间无TAU、无线链路失败超时 |
7.2 UE关机Detach流程
sequenceDiagram
participant UE
participant eNB
participant MME
participant SGW
participant PGW
Note over UE: 用户关机
UE->>UE: 执行Detach流程(无需等响应)
UE->>eNB: RRC Connection Request(若不在连接态)
eNB->>UE: RRC Connection Setup
UE->>eNB: Detach Request(Switch Off=1)
eNB->>MME: Uplink NAS Transport(Detach Request)
MME->>SGW: Delete Session Request
SGW->>PGW: Delete Session Request
PGW->>SGW: Delete Session Response
SGW->>MME: Delete Session Response
MME->>HSS: Cancel Location
Note over MME: Detach Accept不发送<br/>(因为UE即将关机)
Note over UE: 立即断电,无需等待响应
八、Service Request业务请求流程
UE在EMM-REGISTERED空闲态需要发送上行数据或信令时,触发Service Request建立连接。
sequenceDiagram
participant UE
participant eNB
participant MME
participant SGW
Note over UE: 有上行数据要发送<br/>(当前在RRC_IDLE态)
UE->>eNB: Random Access
UE->>eNB: RRC Connection Request
eNB->>UE: RRC Connection Setup
UE->>eNB: RRC Connection Setup Complete<br/>(Service Request)
eNB->>MME: Initial UE Message(Service Request)
Note over MME: 鉴权/安全(如需要)
MME->>eNB: Initial Context Setup Request
eNB->>UE: RRC Connection Reconfiguration<br/>(重建DRB承载)
UE->>eNB: RRC Connection Reconfiguration Complete
eNB->>MME: Initial Context Setup Response
MME->>SGW: Modify Bearer Request(eNB地址更新)
SGW->>MME: Modify Bearer Response
Note over UE: 数据通路恢复<br/>可以发送上行数据
九、常见NAS失败原因与处理
| 原因值 | 含义 | UE处理策略 |
|---|---|---|
| #2 IMSI unknown in HLR | IMSI在HLR未注册 | 标记SIM无效,禁止重试,提示用户 |
| #3 Illegal MS | 非法终端 | 移除USIM后重试或换卡 |
| #5 IMEI not accepted | IMEI被拒绝 | 无有效SIM时可能出现 |
| #6 Illegal ME | 非法设备 | 同上 |
| #7 GPRS services not allowed | GPRS服务不允许 | 禁止该PLMN,尝试其他PLMN |
| #11 PLMN not allowed | PLMN被禁止 | 加入FPLMN列表,尝试其他PLMN |
| #12 Tracking Area not allowed | TA不允许 | 同PLMN下换TA尝试 |
| #13 Roaming not allowed in TA | 漫游不允许 | 换PLMN |
| #15 No suitable cells | 无合适小区 | 继续重选/搜网 |
| #17 Network failure | 网络故障 | T3402计时后重试(指数退避) |
| #19 CS domain not available | CS域不可用 | 尝试EPS-only Attach |
| #22 Congestion | 网络拥塞 | 延迟重试,退避机制 |
| #32 Service option not supported | 服务不支持 | 重新尝试合适的服务类型 |
十、NAS流程关键参数总结
| 定时器 | 典型值 | 功能 |
|---|---|---|
| T3402 | 12分钟 | Attach/TAU失败后等待重试时间 |
| T3410 | 15秒 | Attach Request等待响应超时 |
| T3411 | 10秒 | attach/restart指示超时 |
| T3412 | 54分钟 | 周期性TAU定时器 |
| T3417 | 6秒 | Service Request超时 |
| T3421 | 15秒 | Detach Request等待响应超时 |
参考标准:
- 3GPP TS 24.301 (NAS协议 - EMM)
- 3GPP TS 24.008 (NAS协议 - 会话管理)
- 3GPP TS 33.401 (EPS安全架构)
- 3GPP TS 23.401 (EPS总体描述)