在移動(dòng)通信中網(wǎng)絡(luò)運(yùn)營商通常給每個(gè)SIM卡分配一個(gè)(唯一的)標(biāo)識�;這個(gè)標(biāo)識在4G就是IMSI(國際移動(dòng)用戶識別碼),在5G網(wǎng)絡(luò)中就是SUPI(用戶永久標(biāo)識符); 用戶與運(yùn)營商之間的認(rèn)證是基于共享的對稱密鑰,因此它只能在用戶識別之后起效��。如果IMSI/SUPI在無線空口接入中以明文發(fā)送��,(其它人)就可能利用該數(shù)據(jù)對用戶進(jìn)行識別����、定位和跟蹤�����。
為避免這種私人信息泄露�����,2和3G網(wǎng)絡(luò)為SIM卡分配了臨時(shí)標(biāo)識TMSI�,4G以后拜訪地網(wǎng)絡(luò)為SIM卡分配了GUTI;這些頻繁更換的臨時(shí)標(biāo)識,被用來無線接入過程中對用戶的識別���。然而在某些情況下不能使用臨時(shí)標(biāo)識符進(jìn)行認(rèn)證如�,用戶首次向網(wǎng)絡(luò)注冊(還未分配臨時(shí)標(biāo)識符)�����;另一種就是所訪問網(wǎng)絡(luò)無法解析源自TMSI/GUTI的IMSI/SUPI;就需使用明文來標(biāo)識用戶��;
在現(xiàn)實(shí)中可以模擬這個(gè)場景����,強(qiáng)迫用戶終端暴露其身份(如wei基站);其目的就是“截獲IMSI”����;這種情況在當(dāng)今包括4G LTE/LTE-Adv網(wǎng)絡(luò)中依然存在。
一����、5G中的IMSI 標(biāo)識SUPI
空中“截獲IMSI”問題在移動(dòng)通信中從2G到4G已經(jīng)有幾十年歷史了;由于系統(tǒng)向后兼容性���,這個(gè)問題一直存在�����;3GPP決定解決這個(gè)問題�����,其代價(jià)是向下兼容�����。5G(NR)的安全規(guī)范中不允許通過無線空口進(jìn)行SUPI的明文傳輸���,而是提出了一種基于橢圓曲線集成加密方案(ECIES)的隱私保護(hù)標(biāo)識符���,該標(biāo)識符隱藏 SUPI;這個(gè)隱藏的SUPI稱為SUCI (用戶隱藏標(biāo)識符)�����。
SUPI是分配給每個(gè)用戶的5G全球唯一用戶永久標(biāo)識符��,在3GPP TS 23.501中定義:SUPI值由USIM中提供����,UDM /UDR函數(shù)由5G核心網(wǎng)提供����。具體定義:
SUPI由15位十進(jìn)制數(shù)組成,其中前三位為國家代碼MCC,中間2-3位為運(yùn)營商代碼MNC����,剩余9-10位為移動(dòng)用戶標(biāo)識碼MSIN共同來代表用戶和運(yùn)營商;SUPI就等同于唯一標(biāo)識ME的IMSI,也是一個(gè)15位的字符串�。
二、用戶隱藏標(biāo)識符SUCI
用戶隱藏標(biāo)識符(SUCI)是包含隱藏SUPI的保護(hù)隱私標(biāo)識符; UE使用基于ECIES的保護(hù)方案和注冊地網(wǎng)絡(luò)的公共密鑰生成一個(gè)SUCI�����,該方案在USIM注冊期間安全地提供網(wǎng)絡(luò)公鑰����。
SUPI中只有MSIN部分根據(jù)注冊網(wǎng)絡(luò)標(biāo)識進(jìn)行了隱藏;如MCC/MNC仍以明文傳輸����;組成SUCI的數(shù)據(jù)字段如下:
三、 SUPI類型
標(biāo)識0---7�����,標(biāo)識SUPI中隱藏的SUCI(定義如下)
0: IMSI(隱藏IMSI)
1: Network Access Identifier (NAI) (隱藏NAI)
2: 2 to 7 spare values for future use. (預(yù)留)
注冊地網(wǎng)絡(luò)標(biāo)識:標(biāo)注用戶注冊地網(wǎng)絡(luò)�����。當(dāng)SUPI為IMSI時(shí)��,其注冊地標(biāo)識包括MCC和MNC�;當(dāng)SUPI為NAI時(shí)���,其注冊地網(wǎng)絡(luò)長度不定代表域名的字符串;
路由標(biāo)識:包括1—4個(gè)十進(jìn)制數(shù)據(jù)�����,標(biāo)識注冊網(wǎng)絡(luò)運(yùn)營商和其USIM���;
保護(hù)方案:標(biāo)識(0---15)用4比特表示
null-scheme 0x0
Profile <A> 0x1
Profile <B> 0x2
注冊地公共密鑰:取值0-255由HPLMN提供公共密鑰用于進(jìn)行SUPI保護(hù)����;當(dāng)未啟用(null-scheme)時(shí)���,取值為0
保護(hù)方案輸出:由長度可變或16進(jìn)制數(shù)字的字符串組成,其依賴所使用保護(hù)方案���;
四�、5G網(wǎng)絡(luò)中UE與網(wǎng)絡(luò)標(biāo)識使用
用戶標(biāo)識機(jī)制中允許UE在空中通過無線接口以SUCI標(biāo)識進(jìn)行傳遞����;UE和網(wǎng)絡(luò)之間的標(biāo)識交互流程如下圖所示。
當(dāng)UE嘗試第一次注冊時(shí)���,把SUPI加密成SUCI 并發(fā)送一個(gè)請求SUCI初始注冊���。AMF將這個(gè)SUCI轉(zhuǎn)發(fā)給AUSF & UDM 以獲取帶有身份驗(yàn)證請求的SUPI�。AUSF將對含有SUPI信息的身份驗(yàn)證響應(yīng)�����。AMF 進(jìn)一為這個(gè)SUPI生成了一個(gè)GUTI�����,并保留了用于進(jìn)一步注冊或PDU會(huì)話請求
在隨后的注冊請求���,UE使用其GUTI發(fā)送登記請求�。其具體分為兩種情況:
1. AMF能夠使用GUTI生成SUPI及映射�;
2. AMF不能生成SUPI
在第一種情況下,AMF通過使用GUTI生成SUPI���;使用SUPI完成對AUSF的身份認(rèn)證�����。
在第二種情況下��,當(dāng)在AMF中使用的GUTI不能識別UE時(shí)��,AMF請求UE身份��,然后UE可用包含SUCI的身份響應(yīng)身份認(rèn)證���。
源文來自:[url]http://www.techplayon.com/[/url]
關(guān)注樓主