5G的SUCI、SUPI、5G-GUTI使用场景及关系
使用场景(来源于对23.501、23.502、33.501、23.003的理解)
1、UE初始注册时,根据HN Public Key把SUPI加密成SUCI,并发送初始注册请求
2、AMF转发SUCI给AUSF和UDM进行认证,并获取解密后的SUPI
3、AMF根据SUPI生成一个5G-GUTI,并保存映射关系,用于下次注册或PDU会话请求,并通知UE注册完成
4、下一次注册请求,UE使用5G-GUTI发送注册请求:
- AMF根据5G-GUTI找到SUPI,使用SUPI完成认证
- AMF根据5G-GUTI找不到对应的SUPI,AMF再向UE请求SUCI,根据SUCI重新进行认证
5、只有在成功激活NAS安全性后,AMF才能向UE发送新的5G-GUTI
6、在从UE接收到“初始注册”或“移动性注册更新”或“定期注册更新”类型的注册请求消息时,AMF应该在注册过程中向UE发送新的5G-GUTI
7、在接收到UE响应于寻呼消息而发送的服务请求消息时,AMF将向UE发送新的5G-GUTI。这个新的5G-GUTI应在当前的NAS信令连接被释放之前发送。(注1:实际情景中要比上述情况更频繁地重新分配5G-GUTI,例如在收到来自UE的Service Request消息而非网络触发。)
8、当UE处于CM-IDLE时,AMF可以延迟向UE提供新的5G-GUTI,直到下一个NAS事务。
5G-GUTI(5G Globally Unique Temporary UE Identity )
5G全局唯一的临时UE标识,减少在通信中显示使用UE的永久性标识,提升安全性
<5G-GUTI> =
1)
2)<5G-TMSI>:UE在AMF内唯一的id,32bit
5G-GUTI和GUTI
SUCI
SUPI Type:0 IMSI(0-IMSI,1-NAI(Network Access Identifier),2~7-扩展用)
- IMS由3GPP TS 23.503定义
- NAI根据TS 23.003 for non-3GPP RAT由RFC4282定义
Home Network Identifier:MCC-MNC(SUPI TYPE:0),代表域名的字符串(SUPI TYPE:NAI)
Routing Indicator:路由标识,用于发现UDM和AUSF
Protection Scheme Id:0-NULL-scheme,1-Profile, 2-Profile
Home Network Public Key Id:归属网络提供的公钥ID,范围0-255,只有NULL-scheme情况下置为0
Scheme Output:终端ID加密后的密文,NULL-scheme和IMSI情况下即IMSI中的MSIN部分
注:关于SUCI更详细的说明,可参考下文中的【type of identity "SUCI"】:
艾偶倜:一文看懂5GS mobile identity
SUPI
用户的5G全球唯一用户永久标识符
- IMS由3GPP TS 23.503定义
- SUPI由15位十进制数组成,其中前三位为国家代码MCC,中间2-3位为运营商代码MNC,剩余9-10位为移动用户标识码MSIN共同来代表用户和运营商;SUPI就等同于唯一标识ME的IMSI,也是一个15位的字符串。
- NAI由RFC4282定义
SUCI与SUPI
总的来讲,终端的真实身份在5G里称为SUPI(SUbscription Permanent Identifier)(类似IMSI),通过公钥加密后的密文称为SUCI(SUbscription Concealed Identifier),SUCI传送给基站后,基站直接上传至核心网。手机用来加密SUPI的公钥放在USIM中,SUCI的解密算法只能被执行一次,放置在核心网的UDM中。
5G中的SUPI相当于LTE中的IMSI,但是和IMSI不同的是,该用户永久身份信息永远不会出现的空口上。以往使用IMSI的场合(如初次registration,Identify procedure等),5G网络将会使用SUCI。所谓的SUCI就是SUPI的加密版本,具体的加密方式参见3GPP TS 33.501附录C.3,该加密过程可以简单概括为,使用椭圆曲线的PKI加密机制,利用两对公私钥的特殊性质:公钥1*私钥2=公钥2*私钥1,实现SUPI加密为SUCI,这样既能保证空口SUPI不被泄露,还保证了UE和网络的鉴权的正常进行。
可以看33.501,简单说SUPI可以看成是过去的IMSI,SUCI是对IMSI中的MSIN部分使用公钥协商机制生成的对称密钥加密再传输