在移動通信中網(wǎng)絡(luò)運營商通常給每個SIM卡分配一個(唯一的)標(biāo)識;這個標(biāo)識在4G就是IMSI(國際移動用戶識別碼)�,在5G網(wǎng)絡(luò)中就是SUPI(用戶永久標(biāo)識符); 用戶與運營商之間的認(rèn)證是基于共享的對稱密鑰,因此它只能在用戶識別之后起效����。如果IMSI/SUPI在無線空口接入中以明文發(fā)送,(其它人)就可能利用該數(shù)據(jù)對用戶進(jìn)行識別����、定位和跟蹤。
為避免這種私人信息泄露���,2和3G網(wǎng)絡(luò)為SIM卡分配了臨時標(biāo)識TMSI��,4G以后拜訪地網(wǎng)絡(luò)為SIM卡分配了GUTI;這些頻繁更換的臨時標(biāo)識,被用來無線接入過程中對用戶的識別����。然而在某些情況下不能使用臨時標(biāo)識符進(jìn)行認(rèn)證如��,用戶首次向網(wǎng)絡(luò)注冊(還未分配臨時標(biāo)識符)���;另一種就是所訪問網(wǎng)絡(luò)無法解析源自TMSI/GUTI的IMSI/SUPI;就需使用明文來標(biāo)識用戶��;
在現(xiàn)實中可以模擬這個場景�����,強(qiáng)迫用戶終端暴露其身份(如wei基站)����;其目的就是“截獲IMSI”;這種情況在當(dāng)今包括4G LTE/LTE-Adv網(wǎng)絡(luò)中依然存在�����。
一�、5G中的IMSI 標(biāo)識SUPI
空中“截獲IMSI”問題在移動通信中從2G到4G已經(jīng)有幾十年歷史了;由于系統(tǒng)向后兼容性�����,這個問題一直存在;3GPP決定解決這個問題�,其代價是向下兼容。5G(NR)的安全規(guī)范中不允許通過無線空口進(jìn)行SUPI的明文傳輸��,而是提出了一種基于橢圓曲線集成加密方案(ECIES)的隱私保護(hù)標(biāo)識符��,該標(biāo)識符隱藏 SUPI��;這個隱藏的SUPI稱為SUCI (用戶隱藏標(biāo)識符)�����。
SUPI是分配給每個用戶的5G全球唯一用戶永久標(biāo)識符����,在3GPP TS 23.501中定義:SUPI值由USIM中提供,UDM /UDR函數(shù)由5G核心網(wǎng)提供����。具體定義:
SUPI由15位十進(jìn)制數(shù)組成,其中前三位為國家代碼MCC,中間2-3位為運營商代碼MNC����,剩余9-10位為移動用戶標(biāo)識碼MSIN共同來代表用戶和運營商;SUPI就等同于唯一標(biāo)識ME的IMSI�����,也是一個15位的字符串�����。
二����、用戶隱藏標(biāo)識符SUCI
用戶隱藏標(biāo)識符(SUCI)是包含隱藏SUPI的保護(hù)隱私標(biāo)識符; UE使用基于ECIES的保護(hù)方案和注冊地網(wǎng)絡(luò)的公共密鑰生成一個SUCI,該方案在USIM注冊期間安全地提供網(wǎng)絡(luò)公鑰�。
SUPI中只有MSIN部分根據(jù)注冊網(wǎng)絡(luò)標(biāo)識進(jìn)行了隱藏;如MCC/MNC仍以明文傳輸�����;組成SUCI的數(shù)據(jù)字段如下:
三�、 SUPI類型
標(biāo)識0---7,標(biāo)識SUPI中隱藏的SUCI(定義如下)
0: IMSI(隱藏IMSI)
1: Network Access Identifier (NAI) (隱藏NAI)
2: 2 to 7 spare values for future use. (預(yù)留)
注冊地網(wǎng)絡(luò)標(biāo)識:標(biāo)注用戶注冊地網(wǎng)絡(luò)��。當(dāng)SUPI為IMSI時���,其注冊地標(biāo)識包括MCC和MNC��;當(dāng)SUPI為NAI時���,其注冊地網(wǎng)絡(luò)長度不定代表域名的字符串�;
路由標(biāo)識:包括1—4個十進(jìn)制數(shù)據(jù)�,標(biāo)識注冊網(wǎng)絡(luò)運營商和其USIM;
保護(hù)方案:標(biāo)識(0---15)用4比特表示
null-scheme 0x0
Profile <A> 0x1
Profile <B> 0x2
注冊地公共密鑰:取值0-255由HPLMN提供公共密鑰用于進(jìn)行SUPI保護(hù)��;當(dāng)未啟用(null-scheme)時���,取值為0
保護(hù)方案輸出:由長度可變或16進(jìn)制數(shù)字的字符串組成��,其依賴所使用保護(hù)方案����;
四���、5G網(wǎng)絡(luò)中UE與網(wǎng)絡(luò)標(biāo)識使用
用戶標(biāo)識機(jī)制中允許UE在空中通過無線接口以SUCI標(biāo)識進(jìn)行傳遞�����;UE和網(wǎng)絡(luò)之間的標(biāo)識交互流程如下圖所示���。
當(dāng)UE嘗試第一次注冊時,把SUPI加密成SUCI 并發(fā)送一個請求SUCI初始注冊���。AMF將這個SUCI轉(zhuǎn)發(fā)給AUSF & UDM 以獲取帶有身份驗證請求的SUPI�����。AUSF將對含有SUPI信息的身份驗證響應(yīng)��。AMF 進(jìn)一為這個SUPI生成了一個GUTI���,并保留了用于進(jìn)一步注冊或PDU會話請求
在隨后的注冊請求,UE使用其GUTI發(fā)送登記請求��。其具體分為兩種情況:
1. AMF能夠使用GUTI生成SUPI及映射����;
2. AMF不能生成SUPI
在第一種情況下,AMF通過使用GUTI生成SUPI�;使用SUPI完成對AUSF的身份認(rèn)證。
在第二種情況下����,當(dāng)在AMF中使用的GUTI不能識別UE時,AMF請求UE身份�,然后UE可用包含SUCI的身份響應(yīng)身份認(rèn)證。
源文來自:[url]http://www.techplayon.com/[/url]
關(guān)注樓主