終端在5G網(wǎng)絡(luò)中標(biāo)識(shí)SUPI與SUCI

終端在5G網(wǎng)絡(luò)中標(biāo)識(shí)SUPI與SUCI\o"5G"#5G\o"終端標(biāo)識(shí)"#終端標(biāo)識(shí)\o"SUPI"#SUPI\o"SUCI"#SUCI在無(wú)線通信系統(tǒng)中網(wǎng)絡(luò)運(yùn)營(yíng)商為每個(gè)SIM卡分配了一個(gè)唯一的標(biāo)識(shí)符；這在4G之前被稱(chēng)為IMSI(InternationalMobileSubscriberIdentity);在5G網(wǎng)絡(luò)中稱(chēng)為用戶永久標(biāo)識(shí)SUPI(SubscriptionPermanentIdentifier)。由于用戶（UE)及其網(wǎng)絡(luò)服務(wù)商之間的身份驗(yàn)證基于共享的對(duì)稱(chēng)密鑰,因此只能在用戶標(biāo)識(shí)識(shí)別之后才能使用。但如果IMSI/SUPI在通過(guò)無(wú)線鏈路中以明文發(fā)送,則可能(被別人)使用這些永久標(biāo)識(shí)符來(lái)識(shí)別,定位和跟蹤。為避免這種用戶隱私信息的泄露,運(yùn)營(yíng)商在網(wǎng)絡(luò)中為SIM卡分配了臨時(shí)標(biāo)識(shí)符(臨時(shí)移動(dòng)用戶身份-TMSI),這就是3G,4G和5G系統(tǒng)中的GUTI。這些頻繁更改的臨時(shí)標(biāo)識(shí)符隨后全部用于無(wú)線接入鏈路上的標(biāo)識(shí)目的。但是在某些情況下不可能通過(guò)使用臨時(shí)標(biāo)識(shí)符進(jìn)行身份驗(yàn)證,例如用戶首次在網(wǎng)絡(luò)上注冊(cè)并且尚未分配臨時(shí)標(biāo)識(shí)符時(shí),另一種情況是網(wǎng)絡(luò)無(wú)法從TMSI/GUTI解析出IMSI/SUPI時(shí)?！熬W(wǎng)絡(luò)黑客”就是有意模擬這種情況,以迫使毫無(wú)戒心的用戶泄露其身份ID(IMSI/SUPI),這些攻擊被稱(chēng)為“IMSI捕獲”攻擊,并持續(xù)存在當(dāng)今包括4GLTE/LTE-Adv的移動(dòng)網(wǎng)絡(luò)中。5G中IMSI獲取方案數(shù)十年來(lái)IMSI捕獲攻擊一直威脅著2G/3G/4G的移動(dòng)通信。由于傳統(tǒng)網(wǎng)絡(luò)向后兼容,因此這一隱私問(wèn)題幾乎一直存在。然而盡管以向后兼容為代價(jià)3GPP已決定解決該問(wèn)題；與前幾代通信系統(tǒng)不同，在5G-GUTI識(shí)別失敗的情況下5G的安全規(guī)范不允許SUPI通過(guò)無(wú)線接口進(jìn)行純文本傳輸,而是將SUPI經(jīng)過(guò)ECIES加密方案(EllipticCurveIntegratedEncryptionScheme)生成隱私保護(hù)標(biāo)識(shí)符---隱藏SUPI后的標(biāo)識(shí)SUCI(SubscriptionConcealedIdentifier)。SUPI(SubscriptionPermanentIdentifier)用戶(訂閱)永久標(biāo)識(shí)符SUPI是3GPP規(guī)范TS23.501中定義網(wǎng)絡(luò)運(yùn)營(yíng)商分配給每個(gè)用戶的5G全球唯一訂閱永久標(biāo)識(shí)符(SUPI).SUPI值由5GCore的USIM和UDM/UDR功能單元提供。SUPI中將包括以下任意一項(xiàng)：TS23.503為3GPPRAT定義的IMSI(InternationalMobileSubscriberIdentifier）非3GPPRAT的TS23.003中定義基于RFC4282的用戶標(biāo)識(shí)中定義的NAI(NetworkAccessIdentifier）SUPI通常由15個(gè)十進(jìn)制數(shù)字組成字符串。前三位代表移動(dòng)國(guó)家/地區(qū)代碼(MCC),而后兩位或三位數(shù)字則代表標(biāo)識(shí)網(wǎng)絡(luò)運(yùn)營(yíng)商的移動(dòng)網(wǎng)絡(luò)代碼(MNC)。其余(9或10位)數(shù)字稱(chēng)為移動(dòng)用戶識(shí)別號(hào)(MSIN),代表該特定運(yùn)營(yíng)商的單個(gè)用戶。SUPI等效于IMSI,它唯一地標(biāo)識(shí)ME,也是15位數(shù)字的字符串。SUC(SubscriptionConcealedIdentifier)用戶(訂閱)隱藏標(biāo)識(shí)符用戶(訂閱)隱藏標(biāo)識(shí)符-SUCI是包含隱藏著SUPI的隱私保護(hù)標(biāo)識(shí)符。UE使用基于ECIES的加密方案以及家庭網(wǎng)絡(luò)的公鑰來(lái)生成SUCI,該SUCI在USIM注冊(cè)期間安全地提供給USIM。SUPI中僅MSIN部分被保護(hù)方案隱藏,而歸屬網(wǎng)絡(luò)標(biāo)識(shí)符(即MCC/MNC）以純文本格式傳輸。構(gòu)成SUCI的數(shù)據(jù)字段如下:SUPI類(lèi)型:由0~7之間值組成。它標(biāo)識(shí)了隱藏在SUCI中SUPI的類(lèi)型,定義值如下：

0:IMSI

1:網(wǎng)絡(luò)訪問(wèn)標(biāo)識(shí)(NAI）

2~7:備用值本地網(wǎng)絡(luò)標(biāo)識(shí)符:標(biāo)識(shí)用戶本地網(wǎng)絡(luò)。當(dāng)SUPI類(lèi)型為IMSI時(shí),歸屬網(wǎng)絡(luò)標(biāo)識(shí)由MCC和MNC組成。當(dāng)SUPI類(lèi)型為網(wǎng)絡(luò)訪問(wèn)標(biāo)識(shí)符時(shí),歸屬網(wǎng)絡(luò)標(biāo)識(shí)符由字符串組成,這些字符串長(zhǎng)度可變,代表域名，如user@techno路由標(biāo)識(shí):由本地網(wǎng)絡(luò)運(yùn)營(yíng)商分配并由USIM規(guī)定1~4個(gè)十進(jìn)制數(shù)字組成。保護(hù)方案標(biāo)識(shí)符:它由一個(gè)0~15之間的值組成，并用4位表示：

空

0x0

文件<A>0x1

文件<B>0x2家庭網(wǎng)絡(luò)公共密鑰標(biāo)識(shí)符:它由一個(gè)0~255之間的值組成。它表示由HPLMN設(shè)置的公共密鑰，用于標(biāo)識(shí)用于SUPI保護(hù)的密鑰。如果使用零方案，則該數(shù)據(jù)字段應(yīng)設(shè)置為0;保護(hù)方案輸出:它由一串具有可變長(zhǎng)度或十六進(jìn)制數(shù)字的字符組成,具體取決于所使用的保護(hù)方案.UE與網(wǎng)絡(luò)用戶5GID交換用戶識(shí)別機(jī)制允許通過(guò)SUCI在空中無(wú)線接口上識(shí)別終端(UE)。下圖顯示了終端(UE)與網(wǎng)絡(luò)之間的識(shí)別交換流程。當(dāng)終端(UE)嘗試首次注冊(cè)時(shí),將SUPI加密為SUCI并發(fā)送SUCI請(qǐng)求的初始注冊(cè)。AMF將此SUCI轉(zhuǎn)發(fā)給AUSF＆UDM以檢索帶有身份驗(yàn)證請(qǐng)求的SUPI。AUSF應(yīng)使用SUPI信息以身份驗(yàn)證響應(yīng)進(jìn)行回復(fù)。進(jìn)一步的AMF會(huì)為此SUPI生成GUTI，并保留GUTI到SUPI的映射,以進(jìn)行下一步的注冊(cè)或PDU會(huì)話請(qǐng)求。在隨后注冊(cè)請(qǐng)求中，終端(UE)向GUTI發(fā)送注冊(cè)請(qǐng)求?，F(xiàn)有兩種可能情況：

1.AMF能夠使用GUTI和SUPI映射生成SUPI

2.AMF無(wú)法生成