本系列来自于对3GPP TS 33.501 V15.5.0的学习。
一、SUPI(订阅永久标识符)
Subscription Permanent Identifier
在5G系统中,全球唯一的5G订阅永久标识符称为SUPI,如3GPP TS 23.501 [2]中所定义。 SUCI是包含隐匿SUPI的隐私保护标识符。
SUPI通过使用SUCI进行隐私保护。
二、SUCI(订阅隐匿标识符)
称为SUCI的SUBScription隐藏标识符是包含隐藏SUPI的隐私保护标识符。
UE应使用具有原始公钥(即归属网络公钥)的保护方案来生成SUCI,该公钥是在归属网络的控制下安全地提供的。保护方案应为本文件附件C中规定的保护方案或HPLMN规定的保护方案。
UE应从SUPI的订阅标识符部分构造一个方案输入,如下所示:
- 对于包含IMSI的SUPI,SUPI的订阅标识符部分包括TS 23.003 [19]中定义的IMSI的MSIN。
- 对于采用NAI形式的SUPI,SUPI的订阅标识符部分包括NAI RFC 7542 [57]中定义的NAI的“用户名”部分。
UE应以构造的方案输入作为输入执行保护方案,并将输出作为方案输出。
UE不应隐藏归属网络标识符和路由指示符。
对于包含IMSI的SUPI,UE应使用以下数据字段构造SUCI:
- TS 23.003 [19]中定义的SUPI类型识别SUCI中隐藏的SUPI的类型。
- 归属网络标识符设置为23.003 [19]中规定的IMSI的MCC和MNC。
- TS 23.003 [19]中规定的路由指示符。
- 本规范附录C中规定的保护方案标识符。
- 本文件中规定并在TS 23.003 [19]中详述的归属网络公钥标识符。
- 本文件中规定的方案输出,详见TS 23.003 [19]。
对于包含网络特定标识符的SUPI,UE应使用以下数据字段构建NAI格式的SUCI:
- SUI的领域部分设置为SUPI的领域部分。
- 使用SUPI类型,路由指示符,保护方案标识符,归属网络公钥标识符和方案输出,按照TS 23.003 [19]中的规定格式化SUCI的用户名部分。
注1:SUPI保护方案标识符的格式在附件C中定义.
注2:方案输出的标识符和格式由附件C中的保护方案定义。在非零方案的情况下,SUCI的新鲜度和随机性将由相应的SUPI保护方案处理。
注2a:在使用空方案的情况下,归属网络公钥标识符被设置为默认值,如TS 23.003 [19]中所述。
UE应仅在以下5G NAS消息中包括SUCI:
- 如果UE正在向UE尚未具有5G-GUTI的PLMN发送类型为“初始注册”的注册请求消息,则UE应包括到注册请求消息的SUCI
- 如果UE响应于网络请求UE提供其永久标识符的身份请求消息,则UE在身份响应消息中包括SUCI
- 如果UE在初始注册过程中向PLMN发送去注册请求消息,而UE没有收到5G-GUTI的注册接受消息,则UE应将初始注册中使用的SUCI包括到去注册请求消息中。
- 注3:响应身份请求消息,UE从不发送SUPI。
仅在以下情况下UE才使用“空方案”生成SUCI:
- 如果UE正在进行未经认证的紧急会话,并且它没有所选PLMN的5G-GUTI
- 如果归属网络配置了“null-scheme”
- 如果归属网络没有提供生成SUCI所需的公钥。
如果USIM指示的运营商决定是由USIM计算SUCI,则USIM不应给ME任何用于计算SUCI的参数,包括归属网络公钥标识符,归属网络公钥和保护方案标识符。如果ME确定由USIM指示的SUCI的计算应由USIM执行,则ME应删除用于计算SUCI的任何先前接收或本地高速缓存的参数,包括SUPI类型,路由指示符,归属网络公钥标识符,归属网络公钥和保护方案标识符。如果运营商选择在USIM中完成SUCI的计算,则运营商应使用专有标识符作为保护方案。
如果运营商决定是由ME计算SUCI,则归属网络运营商应在USIM中提供运营商允许的保护方案标识符的有序优先级列表。 USIM中的保护方案标识符的优先级列表应仅包含附件C中规定的保护方案标识符,并且该列表可以包含一个或多个保护方案标识符。 ME应从USIM读取SUCI计算信息,包括SUPI,SUPI类型,路由指示符,归属网络公钥标识符,归属网络公钥和保护方案标识符列表。 ME应从其支持的方案中选择保护方案,该方案在列表中具有最高优先级,从USIM获得。
如果在USIM中没有提供归属网络公钥或优先级列表,则ME应使用空方案计算SUCI。
注4:引入了上述功能,因为将来可能会为ME版本更新版本指定其他保护方案。在这种情况下,较旧的ME选择的保护方案可能不是USIM列表中具有最高优先级的保护方案。
三、订阅临时标识符
只有在成功激活NAS安全性后,才能向UE发送新的5G-GUTI。 5G-GUTI(Globally Unique Temporary UE Identity)在TS 23.003 [19]中定义。
在从UE接收到“初始注册”或“移动性注册更新”类型的注册请求消息时,AMF将在注册过程中向UE发送新的5G-GUTI。
在从UE接收到“定期注册更新”类型的注册请求消息时,AMF应该在注册过程中向UE发送新的5G-GUTI。
在收到UE响应寻呼消息发送的服务请求消息后,AMF将向UE发送新的5G-GUTI。 新的5G-GUTI必须在当前NAS信令连接释放之前发送。
注1:实际情景中要比上述情况更频繁地重新分配5G-GUTI,例如在收到来自UE的Service Request消息而非网络触发。
注2:实现生成包含5G-TMSI的5G-GUTI,其唯一地标识AMF内的UE。
5G-TMSI生成应遵循不可预测的标识符生成的最佳实践。
只有在成功激活AS安全性之后,才应将新的I-RNTI发送到UE。
在RRC恢复过程或RNAU过程期间在UE转换到由gNB请求的RRC INACTIVE状态时,gNB将向UE分配新的I-RNTI。
四、订阅识别过程
当不能通过临时标识(5G-GUTI)识别UE时,服务网络可以调用订户标识机制。特别是,当服务网络无法根据5G-GUTI检索SUPI时,应该使用它。
下图中描述的机制允许通过SUCI识别UE。
该机制由请求UE发送其SUCI的AMF发起。
The UE shall calculate a fresh SUCI from SUPI using the Home Network Public Key, and respond with Identity Response carrying the SUCI. The UE shall implement a mechanism to limit the frequency at which the UE responds with a fresh SUCI to an Identity Request for a given 5G-GUTI.
UE使用归属网络公钥从SUPI计算新的SUCI,并且携带SUCI进行响应。 对于给定的5G-GUTI,UE必须实施一种机制来限制UE用新的SUCI响应身份请求的频率。
注1:如果UE使用除零方案之外的任何其他方案,则SUCI不显示SUPI。
AMF可以启动AUSF认证,以接收第6.1.3条规定的SUPI。
在UE注册紧急服务并且接收身份请求的情况下,UE将使用空方案在身份响应中生成SUCI。
注2:紧急注册不提供订阅标识符机密性。
五、订阅标识符解密功能(SIDF)
SIDF负责从SUCI中隐藏SUPI。当归属网络公钥用于SUPI的加密时,SIDF将使用安全存储在归属运营商网络中的归属网络私钥来解密SUCI。
解密应在UDM进行。
应定义对SIDF的访问权限,以便仅允许归属网络的网络元素请求SIDF。
注意:一个UDM可以包含多个UDM实例。 SUCI中的路由指示符可用于识别能够为订户提供服务的正确UDM实例。