【5G核心网】 Identifiers 身份标识

    应为 5G 系统中的每个用户分配一个 5G 用户永久标识符（SUPI），以在 3GPP 系统中使用。5G 系统支持独立于用户设备标识的用户标识。

    每个接入 5G 系统的 UE 都应分配一个永久设备标识符（PEI）。在此版本的范围内，这仅适用于支持至少一种 3GPP 接入技术的设备。

    5G 系统支持分配临时标识符（5G-GUTI），以支持用户机密性保护。

 

    在电信系统中，网络运营商为每个SIM卡分配一个唯一的标识符，该标识符在4G之前称为IMSI（国际移动用户身份），而在5G则称为 SUPI（用户永久标识符）。由于用户及其网络提供商之间的身份验证基于共享的对称密钥，因此只能在用户标识之后进行。但是，如果 IMSI / SUPI 值是通过无线电访问链路以明文形式发送的，则可以使用这些永久标识符来识别，定位和跟踪用户。

    为避免这种隐私泄露，拜访网络为 SIM 卡分配了临时标识符（称为临时移动用户身份（TMSI），直到 3G 系统以及用于4G 和 5G 系统的 GUTI）。这些频繁更改的临时标识符随后用于无线电访问链路上的标识目的。但是，在某些情况下，无法通过使用临时标识符进行身份验证，例如当用户首次在网络上注册并且尚未分配临时标识符时，另一种情况是访问网络无法解析 IMSI / SUPI。

 

1. SUPI

    supi，Subscription Permanent Identifier，用户永久标识符。全球唯一的 5G 用户永久标识符（SUPI）必须分配给 5G 系统中的每个用户，并在 UDM / UDR 中进行配置。

    IMSI（TS23.003）或者 network-specific identifier（TS22.261）

    SUPI 仅在 3GPP 系统内部使用，其保密性在 TS 33.501 [29] 中指定。

      SUPI 由 15 位十进制数组成，其中前三位为国家代码 MCC,中间 2-3 位为运营商代码 MNC，剩余 9-10 位为移动用户标识码MSIN 共同来代表用户和运营商；SUPI 就等同于唯一标识 ME 的 IMSI，也是一个 15 位的字符串，比如：

460 03 0000007487

    包含特定于网络的标识符的 SUPI 应采用网络访问标识符（NAI）的形式，使用TS 23.003 [19]中定义的基于 NAI RFC 7542 [20] 的用户标识。

    当 UE 需要向网络指示其 SUPI 时（例如，作为注册过程的一部分），UE 以 TS 23.003 [19] 中定义的隐藏形式提供 SUPI。

    为了启用漫游方案，SUPI 应包含本地网络的地址（例如，在基于IMSI的SUPI情况下，MCC和MNC）。

    为了与 EPC 互通，分配给 3GPP UE 的 SUPI 将始终基于 IMSI，以使 UE 能够向 EPC 呈现 IMSI。

 

2. SUCI

    SUCI， Subscription Concealed Identifier， 用户隐藏标识符。SUCI 是包含隐藏 SUPI 的保护隐私标识符; UE 使用基于 ECIES 的保护方案和注册地网络的公共密钥生成一个 SUCI

                 suci   -0                     -460-03                          -0                     -0                     -0                 -0000007487

                          IMSI               MCC MNC                    null-scheme                      

   2.1 SUPI Type： 包含一个介于0到7之间的值。它标识 SUCI 中隐藏的的类型。定义了以下值

–  0: IMSI
–  1: Network Specific Identifier
–  2 to 7: spare values for future use.

    2.2 Home Network Identifier:  标识用户的归属网络。

    当 SUPI 类型为 IMSI，则 Home Network Identifier 由两部分组成：

    –  Mobile Country Code (MCC)， 包含三个数字，比如 460

    –  Mobile Network Code (MNC)， 包含两个或者三个数字

    当 SUPI 类型为 Network Specific Identifier，则 Home Network Identifier 长度可变的字符串域名，例如 abc@xyz.com

    2.3 Routing Indicator:  包含一到四个数字，其由归属网络运营商分配，由 USIM 提供 

    2.4 Protection Scheme Identifier:  包含0到15范围内的值，并以4位表示。

• null-scheme         0x0;
• Profile <A>         0x1;
• Profile <B>         0x2.

    2.5 Home Network Public Key Identifier:   包含一个介于0到255之间的值。它表示 HPLMN 提供的公共密钥，标识用于 SUPI 保护的密钥。如果使用 null-scheme，则该数据字段应设置为值0；

    2.6 Scheme Output:   由长度可变或十六进制数字的字符串组成，具体取决于所使用的保护方案。

    -  Null Scheme   对于 null-scheme 不加密，方案输出字段将按原样使用 IMSI 的 MSIN（从IMSI中取出MCC和MNC之后的值）替换。

    -  Elliptic Curve Integrated Encryption Scheme(ECIES) Profile A 

    -  Elliptic Curve Integrated Encryption Scheme(ECIES) Profile B

  

 

3. GUTI

     5G-GUTI，  5G Globally Unique Temporary Identifier， 全局唯一的临时 UE 标识

    由 AMF 分配，且 AMF 可以在任何时候重新为 UE 分配 5G-GUTI

•     GUTI 是 80 位长的核心网络标识符
•     由主要的三个网络身份 PLMN + AMF ID + TMSI 组成
•     单个 5G-GUTI 可用于访问 AMF 中的 3GPP 和非 3GPP 技术安全上下文
•     AMF 可以在指定条件下随时将新的 5G-GUTI 重新分配给 UE
•     当 UE 处于 CM-IDLE 时，AMF 可能会延迟新 5G-GUTI 的分配，直到发生下一个 NAS 事务

     <5G-GUTI> := <GUAMI> <5G-TMSI>

      GUAMI （The Globally Unique AMF ID）标识一个或者多个 AMF TS 23.003

    <GUAMI> := <MCC> <MNC> <AMF Region ID> <AMF Set ID> <AMF Pointer>

    其中 <AMF Region ID> 标识区域，<AMF Set ID> 唯一标识AMF区域内的AMF集，<AMF Pointer> 标识AMF集中的一个或多个AMF   

      5G-S-TMSI 是 5G-GUTI 的缩短形式，引入5 G-S-TMSI 是为了使空口信令消息更小，提升空口效率。例如寻呼时，只需要用5G-S-TMSI 寻呼移动台即可。

    <5G-S-TMSI> := <AMF Set ID> <AMF Pointer> <5G-TMSI>

    如 TS 38.304 [50 ]和 TS 36.304 [52] 中针对 3GPP 接入所规定的那样，NG-RAN 使用 5G-TMSI 的 10个 最低有效位来确定寻呼不同 UE 的时间。因此，AMF 必须确保 5G-TMSI 的 10 个最低有效位均匀分布。

   3.1 When AMF provides a New 5G-GUTI

    在收到来自 UE 的“初始注册”或“移动性注册更新”类型的注册请求消息后，AMF 将在注册接受消息中向 UE 发送新的 5G-GUTI

    在收到来自 UE 的“定期注册更新”类型的注册请求消息后，AMF 应在注册接受消息中向 UE 发送新的 5G-GUTI

    在从 UE 接收到网络触发的业务请求消息（即 UE 响应寻呼消息而发送的业务请求消息）后，AMF 将使用 UE 配置更新过程向UE 发送新的 5G-GUTI

 

4. PEI

    PEI， Permanent Equipment Identifier， 永久设备标识符

     PEI 定义用来为 3GPP UE 进入 5G 系统，PEI 可以针对不同的 UE 类型和用例采用不同的格式。UE 将把 PEI 连同正在使用的 PEI 格式的指示一起呈现给网络。

    如果 UE 支持至少一种 3GPP 接入技术（即，NG-RAN，E-UTRAN，UTRAN或GERAN），则必须为 UE 分配 IMEI 或I MEISV 格式的 PEI。

 

5. GPSI

    GPSI， Generic Public Subscription Identifier， 通用公共用户标识符。需要通用公共用户标识符（GPSI）来处理 3GPP 系统外部不同数据网络中的 3GPP 用户。3GPP 系统在用户数据内存储 GPSI 和对应的 SUPI 之间的关联。

•     3GPP 系统内外用于标识用户的公有标识
•     GPSI 作为 SUPI 的签约数据
•     GPSI 可能是一个 MSI SDN 或外部标识
•     SUPI 和 GPSI 并不是一一对应的关系

 

6. RAN UE NGAP ID

    应当分配 RAN UE NGAP ID，以便在 gNB 内的 NG 接口上唯一标识 UE。 当 AMF 收到 RAN UE NGAP ID 时，它将在该 UE 的与 UE 相关的逻辑内存储它。 一旦被 AMF 知道，它就包含在所有与 UE 相关的 NGAP 信令中。

    RAN UE NGAP ID 在逻辑 NG-RAN 节点内应是唯一的。

 

7. AMF UE NGAP ID

    AMF UE NGAP ID 是用于在 N2 参考点上的 AMF 中标识 UE 。    AMF 分配 AMF UE NGAP ID 并将其发送到 5G-AN。对于从 5G-AN 发送到 AMF 的 N2 信令交互，使用 AMF UE NGAP ID 标识 AMF 处的 UE。每个 AMF 集的 AMF UE NGAP ID 是唯一的。在给定时间，具有不同 AMF 指针值的 GUAMI 仅与一个 AMF 名称关联。

    必须分配 AMF UE NGAP ID，以便通过 AMF 中的 NG 接口唯一地标识 UE。 当 NG-RAN 节点收到 AMF UE NGAP ID 时，NG-RAN 节点知道此 ID 后，便会将其包含在所有与 UE 相关的 NGAP 信令中。

   AMF UE NGAP ID 在 AMF 逻辑节点内应是唯一的。

 

5G Identity Exchange between UE and Network

    用户识别机制允许通过 SUCI 在无线接口上识别 UE。下图显示了 UE 与网络之间的识别交换。

•     当 UE 尝试首次注册时，UE 将 SUPI 加密为 SUCI 并发送 SUCI 请求的初始注册。
•      AMF 将此 SUCI 转发给 AUSF＆UDM 以检索带有身份验证请求的 SUPI。
•      AUSF 应使用 SUPI 信息回复身份验证响应。
•      AMF 会为此 SUPI 生成 GUTI，并保留 GUTI 到 SUPI 的映射，以进行进一步的注册或 PDU 会话请求。

     在随后的注册请求中，UE 以 GUTI 发送注册请求。 现在可以有两种可能的情况。

     -  AMF able to generate SUPI using GUTI and SUPI mapping

     -  AMF not able to generate SUPI

     在第一种情况下，AMF 使用 GUTI 生成 SUPI，并且可以使用 SUPI 完成对AUSF 的身份验证。

     在第二种情况下，当无法使用 AMF 处的 GUTI 标识 UE 时，AMF 请求 UE 进行身份请求，然后 UE 可以使用包含 SUCI 的身份响应进行响应。

 

参考：

  http://www.techplayon.com/5g-identifiers-supi-and-suci/

  http://www.techplayon.com/5g-nr-global-unique-temporary-identifier-guti/

  TS 23.501

  TS 23.003

  TS 22.261

  TS 33.501