核心痛点：5G网络工程师在核心网信令分析时，常遇到NAS消息解析不完整、安全上下文建立过程难以追踪、5GMM/5GSM消息类型混淆等问题。

一、5G NAS消息结构深度解析

5G NAS消息分为明文NAS消息和安全保护的NAS消息两种形态。理解这两种形态的切换时机是分析抓包的第一步 [^17^]。

扩展协议鉴别器(EPD): 0x7e (5GS mobility management messages)
          安全头类型: 标识消息是否加密/完整性保护
          消息类型: 区分5GMM(移动性管理)和5GSM(会话管理)

二、Wireshark过滤实战

• nas_5g - 显示所有5G NAS消息
• nas_5g.mm.message_type == 0x41 - 筛选Registration Request
• nas_5g.sm.message_type == 0xc1 - 筛选PDU Session Establishment Request

三、典型故障案例：Registration Reject分析

当终端无法接入5G网络时，通过Wireshark抓包发现NAS消息显示"5GMM cause: Implicitly de-registered (25)"，表明AMF已隐式注销该用户...