您现在的位置是:首页 > 新兴行业 > 云计算云计算

5G的SUCI、SUPI、5G-GUTI使用场景及关系

2021-06-05 09:12:22云计算人已围观

简介使用场景(来源于对23.501、23.502、33.501、23.003的理解)1、UE初始注册时,根据HN Public Key把SUPI加密成SUCI,并发送初始注册请求2、AMF转发SUCI给AUSF和UDM进行认证,并获取解密后的SUPI3、AMF根据SUPI生成一个5G-GUTI,并保存映射关系,用于下次注册或PDU会话请求,并通知UE注册完成4、下一次注册请求,UE使用5G-GUTI发送注册请求:AMF根据5G-GUTI找到SUPI,使用SUPI完成认证 AMF根据5G

使用场景(来源于对23.501、23.502、33.501、23.003的理解)

1、UE初始注册时,根据HN Public Key把SUPI加密成SUCI,并发送初始注册请求

2、AMF转发SUCI给AUSF和UDM进行认证,并获取解密后的SUPI

3、AMF根据SUPI生成一个5G-GUTI,并保存映射关系,用于下次注册或PDU会话请求,并通知UE注册完成

4、下一次注册请求,UE使用5G-GUTI发送注册请求:

  • AMF根据5G-GUTI找到SUPI,使用SUPI完成认证
  • AMF根据5G-GUTI找不到对应的SUPI,AMF再向UE请求SUCI,根据SUCI重新进行认证

5、只有在成功激活NAS安全性后,AMF才能向UE发送新的5G-GUTI

6、在从UE接收到“初始注册”或“移动性注册更新”或“定期注册更新”类型的注册请求消息时,AMF应该在注册过程中向UE发送新的5G-GUTI

7、在接收到UE响应于寻呼消息而发送的服务请求消息时,AMF将向UE发送新的5G-GUTI。这个新的5G-GUTI应在当前的NAS信令连接被释放之前发送。(注1:实际情景中要比上述情况更频繁地重新分配5G-GUTI,例如在收到来自UE的Service Request消息而非网络触发。)

8、当UE处于CM-IDLE时,AMF可以延迟向UE提供新的5G-GUTI,直到下一个NAS事务。

 

5G-GUTI(5G Globally Unique Temporary UE Identity )

5G全局唯一的临时UE标识,减少在通信中显示使用UE的永久性标识,提升安全性

<5G-GUTI> = <GUAMI><5G-TMSI>

1)<GUAMI>:标识由哪个AMF分配的5G-GUTI

<GUAMI> = <MCC><MNC><AMF Identifier>

<AMF Identifier> = <AMF Region ID><AMF Set ID><AMF Pointer>

2)<5G-TMSI>:UE在AMF内唯一的id,32bit

 

5G-GUTI和GUTI

 

SUCI

SUPI Type:0 IMSI(0-IMSI,1-NAI(Network Access Identifier),2~7-扩展用)

  • IMS由3GPP TS 23.503定义
  • NAI根据TS 23.003 for non-3GPP RAT由RFC4282定义

Home Network Identifier:MCC-MNC(SUPI TYPE:0),代表域名的字符串(SUPI TYPE:NAI)

Routing Indicator:路由标识,用于发现UDM和AUSF

Protection Scheme Id:0-NULL-scheme,1-Profile<A>, 2-Profile<B>

Home Network Public Key Id:归属网络提供的公钥ID,范围0-255,只有NULL-scheme情况下置为0

Scheme Output:终端ID加密后的密文,NULL-scheme和IMSI情况下即IMSI中的MSIN部分

注:关于SUCI更详细的说明,可参考下文中的【type of identity "SUCI"】:

艾偶倜:一文看懂5GS mobile identity​

 

SUPI

用户的5G全球唯一用户永久标识符

  • IMS由3GPP TS 23.503定义
    • SUPI由15位十进制数组成,其中前三位为国家代码MCC,中间2-3位为运营商代码MNC,剩余9-10位为移动用户标识码MSIN共同来代表用户和运营商;SUPI就等同于唯一标识ME的IMSI,也是一个15位的字符串。

  • NAI由RFC4282定义

SUCI与SUPI

总的来讲,终端的真实身份在5G里称为SUPI(SUbscription Permanent Identifier)(类似IMSI),通过公钥加密后的密文称为SUCI(SUbscription Concealed Identifier),SUCI传送给基站后,基站直接上传至核心网。手机用来加密SUPI的公钥放在USIM中,SUCI的解密算法只能被执行一次,放置在核心网的UDM中。

 

5G中的SUPI相当于LTE中的IMSI,但是和IMSI不同的是,该用户永久身份信息永远不会出现的空口上。以往使用IMSI的场合(如初次registration,Identify procedure等),5G网络将会使用SUCI。所谓的SUCI就是SUPI的加密版本,具体的加密方式参见3GPP TS 33.501附录C.3,该加密过程可以简单概括为,使用椭圆曲线的PKI加密机制,利用两对公私钥的特殊性质:公钥1*私钥2=公钥2*私钥1,实现SUPI加密为SUCI,这样既能保证空口SUPI不被泄露,还保证了UE和网络的鉴权的正常进行。

 

可以看33.501,简单说SUPI可以看成是过去的IMSI,SUCI是对IMSI中的MSIN部分使用公钥协商机制生成的对称密钥加密再传输 

文章来源:https://blog.csdn.net/ZhongGuoRenMei/article/details/117533579

Tags:

很赞哦! ()

随机图文

文章评论

留言与评论(共有 0 条评论)
   
验证码:

本栏推荐

站点信息

  • 文章统计247968篇文章
  • 浏览统计18356次浏览
  • 评论统计1个评论
  • 标签管理标签云
  • 统计数据:统计代码
  • 微信公众号:扫描二维码,关注我们