終端在5G網(wǎng)絡(luò)中標(biāo)識SUPI與SUCI

終端在5G網(wǎng)絡(luò)中標(biāo)識SUPI與SUCI\o"5G"#5G\o"終端標(biāo)識"#終端標(biāo)識\o"SUPI"#SUPI\o"SUCI"#SUCI在無線通信系統(tǒng)中網(wǎng)絡(luò)運營商為每個SIM卡分配了一個唯一的標(biāo)識符；這在4G之前被稱為IMSI(InternationalMobileSubscriberIdentity);在5G網(wǎng)絡(luò)中稱為用戶永久標(biāo)識SUPI(SubscriptionPermanentIdentifier)。由于用戶（UE)及其網(wǎng)絡(luò)服務(wù)商之間的身份驗證基于共享的對稱密鑰,因此只能在用戶標(biāo)識識別之后才能使用。但如果IMSI/SUPI在通過無線鏈路中以明文發(fā)送,則可能(被別人)使用這些永久標(biāo)識符來識別,定位和跟蹤。為避免這種用戶隱私信息的泄露,運營商在網(wǎng)絡(luò)中為SIM卡分配了臨時標(biāo)識符(臨時移動用戶身份-TMSI),這就是3G,4G和5G系統(tǒng)中的GUTI。這些頻繁更改的臨時標(biāo)識符隨后全部用于無線接入鏈路上的標(biāo)識目的。但是在某些情況下不可能通過使用臨時標(biāo)識符進行身份驗證,例如用戶首次在網(wǎng)絡(luò)上注冊并且尚未分配臨時標(biāo)識符時,另一種情況是網(wǎng)絡(luò)無法從TMSI/GUTI解析出IMSI/SUPI時?！熬W(wǎng)絡(luò)黑客”就是有意模擬這種情況,以迫使毫無戒心的用戶泄露其身份ID(IMSI/SUPI),這些攻擊被稱為“IMSI捕獲”攻擊,并持續(xù)存在當(dāng)今包括4GLTE/LTE-Adv的移動網(wǎng)絡(luò)中。5G中IMSI獲取方案數(shù)十年來IMSI捕獲攻擊一直威脅著2G/3G/4G的移動通信。由于傳統(tǒng)網(wǎng)絡(luò)向后兼容,因此這一隱私問題幾乎一直存在。然而盡管以向后兼容為代價3GPP已決定解決該問題；與前幾代通信系統(tǒng)不同，在5G-GUTI識別失敗的情況下5G的安全規(guī)范不允許SUPI通過無線接口進行純文本傳輸,而是將SUPI經(jīng)過ECIES加密方案(EllipticCurveIntegratedEncryptionScheme)生成隱私保護標(biāo)識符---隱藏SUPI后的標(biāo)識SUCI(SubscriptionConcealedIdentifier)。SUPI(SubscriptionPermanentIdentifier)用戶(訂閱)永久標(biāo)識符SUPI是3GPP規(guī)范TS23.501中定義網(wǎng)絡(luò)運營商分配給每個用戶的5G全球唯一訂閱永久標(biāo)識符(SUPI).SUPI值由5GCore的USIM和UDM/UDR功能單元提供。SUPI中將包括以下任意一項：TS23.503為3GPPRAT定義的IMSI(InternationalMobileSubscriberIdentifier）非3GPPRAT的TS23.003中定義基于RFC4282的用戶標(biāo)識中定義的NAI(NetworkAccessIdentifier）SUPI通常由15個十進制數(shù)字組成字符串。前三位代表移動國家/地區(qū)代碼(MCC),而后兩位或三位數(shù)字則代表標(biāo)識網(wǎng)絡(luò)運營商的移動網(wǎng)絡(luò)代碼(MNC)。其余(9或10位)數(shù)字稱為移動用戶識別號(MSIN),代表該特定運營商的單個用戶。SUPI等效于IMSI,它唯一地標(biāo)識ME,也是15位數(shù)字的字符串。SUC(SubscriptionConcealedIdentifier)用戶(訂閱)隱藏標(biāo)識符用戶(訂閱)隱藏標(biāo)識符-SUCI是包含隱藏著SUPI的隱私保護標(biāo)識符。UE使用基于ECIES的加密方案以及家庭網(wǎng)絡(luò)的公鑰來生成SUCI,該SUCI在USIM注冊期間安全地提供給USIM。SUPI中僅MSIN部分被保護方案隱藏,而歸屬網(wǎng)絡(luò)標(biāo)識符(即MCC/MNC）以純文本格式傳輸。構(gòu)成SUCI的數(shù)據(jù)字段如下:SUPI類型:由0~7之間值組成。它標(biāo)識了隱藏在SUCI中SUPI的類型,定義值如下：

0:IMSI

1:網(wǎng)絡(luò)訪問標(biāo)識(NAI）

2~7:備用值本地網(wǎng)絡(luò)標(biāo)識符:標(biāo)識用戶本地網(wǎng)絡(luò)。當(dāng)SUPI類型為IMSI時,歸屬網(wǎng)絡(luò)標(biāo)識由MCC和MNC組成。當(dāng)SUPI類型為網(wǎng)絡(luò)訪問標(biāo)識符時,歸屬網(wǎng)絡(luò)標(biāo)識符由字符串組成,這些字符串長度可變,代表域名，如user@techno路由標(biāo)識:由本地網(wǎng)絡(luò)運營商分配并由USIM規(guī)定1~4個十進制數(shù)字組成。保護方案標(biāo)識符:它由一個0~15之間的值組成，并用4位表示：

空

0x0

文件<A>0x1

文件<B>0x2家庭網(wǎng)絡(luò)公共密鑰標(biāo)識符:它由一個0~255之間的值組成。它表示由HPLMN設(shè)置的公共密鑰，用于標(biāo)識用于SUPI保護的密鑰。如果使用零方案，則該數(shù)據(jù)字段應(yīng)設(shè)置為0;保護方案輸出:它由一串具有可變長度或十六進制數(shù)字的字符組成,具體取決于所使用的保護方案.UE與網(wǎng)絡(luò)用戶5GID交換用戶識別機制允許通過SUCI在空中無線接口上識別終端(UE)。下圖顯示了終端(UE)與網(wǎng)絡(luò)之間的識別交換流程。當(dāng)終端(UE)嘗試首次注冊時,將SUPI加密為SUCI并發(fā)送SUCI請求的初始注冊。AMF將此SUCI轉(zhuǎn)發(fā)給AUSF＆UDM以檢索帶有身份驗證請求的SUPI。AUSF應(yīng)使用SUPI信息以身份驗證響應(yīng)進行回復(fù)。進一步的AMF會為此SUPI生成GUTI，并保留GUTI到SUPI的映射,以進行下一步的注冊或PDU會話請求。在隨后注冊請求中，終端(UE)向GUTI發(fā)送注冊請求?，F(xiàn)有兩種可能情況：

1.AMF能夠使用GUTI和SUPI映射生成SUPI

2.AMF無法生成