5G的SUCI、SUPI、5G-GUTI使用场景及关系

使用场景(来源于对23.501、23.502、33.501、23.003的理解)

1、UE初始注册时，根据HN Public Key把SUPI加密成SUCI，并发送初始注册请求

2、AMF转发SUCI给AUSF和UDM进行认证，并获取解密后的SUPI

3、AMF根据SUPI生成一个5G-GUTI，并保存映射关系，用于下次注册或PDU会话请求，并通知UE注册完成

4、下一次注册请求，UE使用5G-GUTI发送注册请求：

• AMF根据5G-GUTI找到SUPI，使用SUPI完成认证
• AMF根据5G-GUTI找不到对应的SUPI，AMF再向UE请求SUCI，根据SUCI重新进行认证

5、只有在成功激活NAS安全性后，AMF才能向UE发送新的5G-GUTI

6、在从UE接收到“初始注册”或“移动性注册更新”或“定期注册更新”类型的注册请求消息时，AMF应该在注册过程中向UE发送新的5G-GUTI

7、在接收到UE响应于寻呼消息而发送的服务请求消息时，AMF将向UE发送新的5G-GUTI。这个新的5G-GUTI应在当前的NAS信令连接被释放之前发送。（注1：实际情景中要比上述情况更频繁地重新分配5G-GUTI，例如在收到来自UE的Service Request消息而非网络触发。）

8、当UE处于CM-IDLE时，AMF可以延迟向UE提供新的5G-GUTI，直到下一个NAS事务。

 

5G-GUTI(5G Globally Unique Temporary UE Identity )

5G全局唯一的临时UE标识，减少在通信中显示使用UE的永久性标识，提升安全性

<5G-GUTI> = <5G-TMSI>

1）：标识由哪个AMF分配的5G-GUTI

=

=

2）<5G-TMSI>：UE在AMF内唯一的id，32bit

 

5G-GUTI和GUTI

 

SUCI

SUPI Type：0 IMSI（0-IMSI，1-NAI(Network Access Identifier)，2~7-扩展用）

• IMS由3GPP TS 23.503定义
• NAI根据TS 23.003 for non-3GPP RAT由RFC4282定义

Home Network Identifier：MCC-MNC(SUPI TYPE:0)，代表域名的字符串（SUPI TYPE:NAI）

Routing Indicator：路由标识，用于发现UDM和AUSF

Protection Scheme Id：0-NULL-scheme,1-Profile, 2-Profile

Home Network Public Key Id:归属网络提供的公钥ID，范围0-255，只有NULL-scheme情况下置为0

Scheme Output：终端ID加密后的密文，NULL-scheme和IMSI情况下即IMSI中的MSIN部分

注：关于SUCI更详细的说明，可参考下文中的【type of identity "SUCI"】：

艾偶倜：一文看懂5GS mobile identity​

 

SUPI

用户的5G全球唯一用户永久标识符

• IMS由3GPP TS 23.503定义
  • SUPI由15位十进制数组成，其中前三位为国家代码MCC,中间2-3位为运营商代码MNC，剩余9-10位为移动用户标识码MSIN共同来代表用户和运营商；SUPI就等同于唯一标识ME的IMSI，也是一个15位的字符串。

• NAI由RFC4282定义

SUCI与SUPI

总的来讲，终端的真实身份在5G里称为SUPI（SUbscription Permanent Identifier）（类似IMSI），通过公钥加密后的密文称为SUCI（SUbscription Concealed Identifier），SUCI传送给基站后，基站直接上传至核心网。手机用来加密SUPI的公钥放在USIM中，SUCI的解密算法只能被执行一次，放置在核心网的UDM中。

 

5G中的SUPI相当于LTE中的IMSI，但是和IMSI不同的是，该用户永久身份信息永远不会出现的空口上。以往使用IMSI的场合（如初次registration，Identify procedure等），5G网络将会使用SUCI。所谓的SUCI就是SUPI的加密版本，具体的加密方式参见3GPP TS 33.501附录C.3，该加密过程可以简单概括为，使用椭圆曲线的PKI加密机制，利用两对公私钥的特殊性质：公钥1*私钥2=公钥2*私钥1，实现SUPI加密为SUCI，这样既能保证空口SUPI不被泄露，还保证了UE和网络的鉴权的正常进行。

 

可以看33.501，简单说SUPI可以看成是过去的IMSI，SUCI是对IMSI中的MSIN部分使用公钥协商机制生成的对称密钥加密再传输